[发明专利]一种安全的物联网通讯协议及方法

说明书

针对目前物联网的通信安全、心跳包过大、数据字段加密不灵活等问题，提出了一个安全的通讯协议及方法。该方法通过动态随机数哈希验证方式登录并安全地协商对称密钥与TCP接入地址，协议可灵活运用选择性地对数据字段加密，并且协议的心跳包仅仅2字节。本方法提供了一种安全的物联网通讯协议及方法，可以很方便应用到物联网分布式架构，消息推送系统等。

技术领域

本发明涉及通讯领域，具体涉及应用到物联网通讯、移动端消息通信的领域。

背景技术

本发明方法涉及HTTPS、TCP、对称加密与协议解析等内容。即通过HTTPS登录获取对称密钥、token与TCP服务器地址，然后连接TCP服务器，通过自定义协议进行验证，最后开始加密的消息通讯的过程。

与本发明最相近的方法有CN103747004A樊建等人提出的一种物联网平台通信协议的实现方法，包括如下步骤：设计平台通信协议枚举类型；设定平台通信协议内容；序列化平台通信协议；协议解析。它解决了物联网平台传输数据量大、自成体系、难以兼容其他系统及难以扩展等缺陷。但在安全性能方面有待提升。

发明内容

目前的物联网通讯协议一般是消息序列化后与协议头打包，然后直接发送到网络中。这种方式导致了通信的不安全，传输的数据应该经过安全的编码后再送入互联网中。而本发明方法克服此缺点，通过HTTPS登录获取对称密钥、token与TCP服务器地址，然后连接TCP服务器，通过自定义协议进行验证，最后开始加密的消息通讯的过程,提供一种安全可靠的通信协议。

图1是该协议实现的流程框图。主要包括登录HTTPS服务器、获取AES密钥与token、登录TCP服务器、维持连接与发送接收数据包四个步骤。

现有的物联网协议安全性都是通过TLS来保证，这使得每个心跳包、不需要加密的消息等都必须运算加解密，无法灵活地选择性加密，因此服务器具有很大的计算压力，而且心跳包加密后，就变成了几十字节，而心跳包正是占据了整个通信系统的绝大部分流量，这将导致流量翻几倍甚至几十倍，非常浪费带宽。本发明采用了极具安全性的登录验证方式来交换AES密钥与token，并采用简易的二进制协议通信，心跳包仅仅2字节，使得TCP流量大大降低，并且可以灵活地选择加密数据字段，具有TLS同样高级别的安全性。此外，本发明非常适合用于分布式架构。

附图说明

图1流程框图；

图2TCP接入验证流程图；

图3集群架构图；

图4逻辑架构图。

具体实施方式

下面结合实施例及附图对本发明作进一步详细的描述

一、登录

首先通过帐号密码登录HTTPS服务器，具体方式为两步：第一步向HTTPS服务器发送GET请求，参数为帐号，服务器记录并返回一个随机数，第二步POST提交表单，有userID字段为帐号，pwd字段为(随机数+帐号+密码的哈希值的)哈希值，服务器从记录中读取随机数，从数据库读取密码，进行相同计算后验证登录。

二、获取对称密钥与TCP接入地址

登录验证后，HTTPS服务器查询TCP服务器列表，随机选取一个，并生成AES密钥、token，返回给客户端，并通过消息队列把客户端信息(帐号、token、AES密钥等)发送到选中的TCP服务器。TCP服务器列表生成方式为：通过etcd服务发现，每个TCP服务器启动后，都会向etcd注册，HTTPS服务器可实时地接收到列表更新，若有TCP服务器故障或者获取心跳包超时，则从列表中删除该地址。消息队列采用NATS，每个TCP服务器启动后生成自己的随机名字并向etcd注册，然后向NATS订阅自己名称的主题，HTTPS服务器通过etcd得知每个TCP服务器的名称，由此来实现发布订阅消息的传输。