提供一种物联网终端加密方法,其中,所述物联网终端加密方法包括:
[0056]S1、构建密钥组织结构树,所述密钥组织结构树包括对应于物联网终端的根节点密钥对keyrciclt(pk,Sk)、对应于物联网终端的核心密钥对、和利用所述根节点密钥对对所述核心密钥对的公钥进行签名获得的所述核心密钥对的签名,其中,所述核心密钥对至少包括终端签名密钥对;
[0057]S2、将所述密钥组织结构树写入所述物联网终端和所述物联网后台服务器中;
[0058]S3、利用所述密钥组织结构树生成所述物联网终端的鉴权信息;
[0059]S4、将所述鉴权信息写入所述物联网终端和所述物联网后台服务器的鉴权系统中。
[0060]在本发明中,利用根节点密钥对keyrciclt(pk,Sk)对所述核心密钥对的公钥进行签名获得的所述核心密钥对的签名包括多个。例如,至少包括根节点密钥对keyr。。* (pk,sk)对终端签名密钥对keyid(pk,sk)进行签名获得的签名和根节点密钥对对链路通信密钥对keyiink(pk,sk)进行签名获得的签名。
[0061]密钥组织结构树至少包括终端签名密钥对和链路通信密钥对,终端签名密钥对keyld(pk,Sk)是对终端唯一序列号进行签名获得的,代表了物联网终端的身份信息,链路通信密钥keylink(pk,sk)对能够在需要建立连接的通信时,对通信连接进行加密。在所述物联网终端与物联网后台服务器进行通信时,至少包括两级加密,即,当物联网终端相物联网后台服务器发起通信时,物联网后台的鉴权系统首先根据物联网终端提供的终端签名密钥对验证物联网终端的身份信息,此为第一级加密;当验证通过后,链路通信密钥对可以对通信进行加密,防止通信信息被截获,此为第二级加密。因此,利用本发明所提供的方法对物联网终端进行加密可以使得所述物联网具有较高的安全性。
[0062]并且,在步骤S3中生成的鉴权信息由密钥组织结构树生成,不容易被破译。
[0063]在步骤S2中,所述密钥组织结构树被写入所述物联网终端的可信模块和所述物联网后台服务器的可信模块中。
[0064]在步骤S4中,所述鉴权信息被写入所述物联网终端的可信模块和所述物联网后台服务器的可信模块中。
[0065]当物联网终端注册到物联网中之后,当需要与物联网的后台系统通信时,首先向物联网后台发出通讯请求,具体通讯过程如图2所示:
[0066]Stp1、物联网终端申请连接到物联网后台服务器;
[0067]Stp2、物联网后台服务器向物联网终端发送一个唯一的请求验证消息;
[0068]Stp3、所述物联网终端在接收到所述验证消息后生成验证回复消息,回复给所述物联网后台鉴权系统;
[0069]Stp4、所述物联网后台服务器的鉴权系统验证回复消息的合法性,当验证回复消息合法时,向所述物联网终端发送验证通过信息。
[0070]终端序列号id、物联网终端的签名和非对称密钥的公钥key(pk)组合为步骤Stp3中生成的所述验证回复消息(id,s ignature,key (pk))。
[0071 ] 在步骤Stp4中,服务器后台提取验证回复消息(id, signature ,key(pk))中的物联网终端序列号和签名,并且将其与存储在服务器后台鉴权系统中的鉴权信息进行对比,如果二者一致,则向物联网终端发送验证通过信息,该验证通过信息为非对称密钥对中的私钥key(sk);如果二者不一致,则向物联网终端发送错误信息。[0072 ]物联网终端验证通过后即可向物联网后台的服务器发送信息。
[0073]作为本发明的一种优选实施方式,构建密钥组织结构树的步骤(S卩,步骤SI)可以包括:
[0074]311、生成所述根节点密钥对1^71^。。1;化1^,810 ;
[0075]SI 2、生成所述核心密钥对;
[0076]313、利用所述根节点密钥对1^:。。办1^,810的根节点私钥1^:。。1;(810对所述核心密钥对的公钥进行签名,以生成该核心密钥对的签名。
[0077]在步骤S13中,利用所述根节点密钥对1^7:。。1^1^,810的根节点私钥1^7:。。1;(810对每一个核心密钥对的公钥进行签名。
[0078]例如,利用所述根节点密钥对1^71^。。1;化1^,810的根节点私钥1^7_1;(810对终端签名密钥对的公钥key id (pk)签名的过程为{keyrooi^sk) ,keyid(pk) } — signatureid。其中,Signatureid即为利用根节点密钥对的根节点私钥对终端签名密钥对签名获得的签名信息。
[0079]利用所述根节点密钥对1^7:。。1^1^,810的根节点私钥1^7:。。1;(810对其他核心密钥对的公钥签名的过程与上述对终端签名密钥对的公钥keyld(pk)签名的过程类似,这里不再赘述。
[0080]优选地,利用所述密钥组织结构树生成所述物联网终端的鉴权信息的步骤(S卩,步骤S3)包括:
[0081 ] S31、生成与所述物联网终端唯一对应的内部标识符;
[0082]S32、生成非对称密钥对;
[0083]S33、利用所述终端签名密钥对的私钥对所述非对称密钥对的公钥进行签名,以获得物联网终端签名,其中,
[0084]所述物联网终端的鉴权信息包括所述物联网终端签名、所述非对称密钥对的公钥和所述内部标识符。
[0085]由此可知,所述鉴权信息包括的信息较多,不容易被破译,从而提高了物联网通信的安全性。
[0086]物联网中通常包括多种类型的物联网终端,为了便于管理,优选地,所述物联网终端加密方法还包括在构建密钥组织结构树的步骤之前进行的:
[0087]按照业务类型对所述物联网终端进行分类;其中,
[0088]在构建密钥组织结构树的步骤(S卩,步骤SI)中,每种类型的物联网终端对应一个根节点密钥对。
[0089]在本发明所提供的方法中,步骤SI中构建的密钥组织结构树的数量与物联网中物联网终端的种类数相等。
[0090]同种类型的物联网终端也可以包括多个物联网终端,每种类型的物联网终端共用同一个根节点密钥对。
[0091]为了提高物联网终端加密方法的安全性,优选地,所述核心密钥对还包括指令密钥对1^5^11;^11。1^。11(口1^,810、消息密钥对1^5^33386(口1^,810和主撤销密钥对1^7_。。31^。11(口1^,sk)中的至少一者。
[0092]核心密钥对包括的密钥的个数越多,那么加密的级数越多,从而使得本发明所提供的加密方法具有越高的安全性。
[0093]指令密钥对keyins—(pk,sk)用于对通信指令(例如,查询指令、修改指令等)进行加密,可以防止攻击者监听硬件或总线时探测到执行信息,进而防止攻击者伪装层终端发送假指令;消息密钥对keymessage(pk,sk)用于对通信数据进行加密,防止通信数据泄露;在终端发现自身某些数据泄露或者被盗用时,使用主撤销密钥对keyrevc^Uc^pkjk)作废已经泄露或者被盗用的密钥对及其相关签名信息。
[0094]作为本发明的另一个方面,提供一种物联网终端加密装置100,该物联网终端加密装置100用于执行本发明所提供的上述物联网终端加密方法,其中,如图3所示,所述物联网终端加密装置包括:
[0095]组织结构树构建模块110,该组织结构树构建模块用于构建密钥组织结构树,该密钥组织结构树包括对应于物联网终端的根节点密钥对、对应于物联网终端的核心密钥对、和利用所述跟节点密钥对对所述核心密钥对的公钥进行签名获得的所述核心密钥对的签名,其中,所述核心密钥对至少包括终端签名密钥对和链路通信密钥对;
[0096]鉴权信息生成模块120,该鉴权信息生成模块120用于根据所述组织结构树生成所述物联网终端的鉴权信息;
[0097]写入模块130,该写入模块130用于将所述密钥组织结构树写入物联网终端200和物联网后台服务器300中,并且,写入模块130还用于将所述鉴权信息写入物联网后台鉴权系统400中。
[0098]在本发明所提供的物联网终端加密装置中,组织结构树构建模块110用于执行步