[发明专利]传感器认证和共享密钥产生方法和系统以及传感器

说明书

技术领域

本申请涉及传感器认证和共享密钥产生方法和系统以及传感器。

背景技术

传感器是一种典型的物联网终端设备，具有低成本、低功耗等特点，集成有信息采集、数据处理等多种功能，通过采集和处理覆盖区域里被检测对象的信息，并发送给业务应用系统。传感器设备具有即插即用的特点，该特点使传感器设备具备广泛的适用性，同时也带来了安全问题，例如，攻击者可能在合法传感器设备休眠或离线的时间间隙，使用非法的传感器设备替换原有合法的设备，这样，业务平台接收到的数据很有可能是攻击者控制上传的虚假数据，从而给整个业务的正常运行造成严重影响。

为了保护合法传感器设备的正常使用，避免非法传感器设备接入网络，在即插即用传感器接入应用系统时，需要通过安全认证协议对传感器的合法性进行认证，使得应用系统仅接受合法传感器采集的数据。另外，为防止传感器与应用系统之间传输的数据被攻击者截获，传感器与应用系统之间需要协商生成共享密钥，使用共享密钥对传输的数据进行保护。与此同时，由于传感器成本较低，存储和运算能力有限，因此应用于传感器设备的安全机制应该具有较低的存储和运算开销。

公钥基础设施PKI（Public Key Infrastructure）是目前广泛应用的利用非对称加密技术建立的提供安全服务的基础设施，使用由可信证书机构颁发的公钥证书，能够为网络应用提供加密、数字签名、数据完整性保护、数字信封等服务。

在现有的传感器认证方法中，已有基于PKI技术的物联网认证系统，通过PKI体系，完成了上位机对多个传感器的认证工作。但由于上位机没有身份认证的功能，需要将证书发送给CA，由CA对证书进行认证，上位机接收CA的认证结果。由于普通CA机构并不具有此功能，需要单独建设具有此种服务的CA机构并且需要依赖CA完成对证书的认证工作。

现有技术中还存在电子设备接口间基于公钥证书的认证密钥协商和更新方法。该方法采用Diffie-Hellman密钥交换技术来生成共享秘密；通过HMAC密钥杂凑函数保证所生成的共享秘密的一致性和协议消息的完整性；在完全认证的情况下，通过使用签名技术来保证证书的发送者确实持有与证书中公钥相对应的私钥，从而确定设备的合法性；在重新认证的情况下，通过使用持有共享密钥这一事实来确认设备的合法性。但是，该方法的算法复杂，通信流程多，难以较好应用于对资源受限的即插即用传感器。

发明内容

为了解决现有技术中需要改造CA或算法流程较复杂的问题，本申请提出了一种传感器认证和共享密钥产生方法和系统以及相应的传感器。

根据本申请的一个方面，提供了一种传感器认证和共享密钥产生方法，包括：传感器向应用系统发送ID和数字证书；应用系统验证ID和数字证书，若验证通过，则随机生成会话密钥，并使用所述数字证书中的公钥加密所述会话密钥形成加密消息，发送给传感器；传感器使用所述数字证书对应的私钥解密所收到的加密消息，对解密得到的会话密钥进行单向散列函数计算，形成散列值，并将所述散列值发送给应用系统；以及应用系统验证所收到的散列值，若验证通过，则向传感器发送认证成功消息。

根据本申请的另一个方面，提供了一种传感器，包括：发送模块，发送传感器的ID和数字证书；接收模块，接收加密消息；解密模块，使用所述数字证书对应的私钥对接收到的加密消息进行解密得到解密信息；计算模块，对解密得到的解密信息进行单向散列函数计算，形成散列值，其中，所述发送模块进一步发送所述散列值。

根据本申请的再一个方面，提供了一种传感器认证和共享密钥产生系统，包括：第一接收模块，接收传感器发送的ID和数字证书；第一验证模块，验证接收到的ID和数字证书；会话密钥生成模块，随机生成会话密钥；加密模块，使用所述数字证书中的公钥加密所述会话密钥形成加密消息；发送模块，将所述加密消息发送给传感器；第二接收模块，接收传感器发送的散列值；以及第二验证模块，验证接收到的散列值。

通过本申请，无需对CA进行改造便能以较为简单的算法和较少步骤完成认证和密钥共享，以降低对传感器资源的需求和消耗。

附图说明

图1是根据本申请一个实施方案的传感器认证和共享密钥产生方法的流程图；

图2是根据本申请一个实施方案的传感器的框图；

图3是根据本申请另一个实施方案的传感器的框图；以及

图4是根据本申请一个实施方案的传感器认证和共享密钥产生系统的框图。

具体实施方式

下面参照附图，对本申请的实施方案进行详细说明。