[发明专利]一种基于可信计算技术进行物联网数据安全保护的方法

说明书

本发明涉及物联网数据安全技术领域，公开了一种基于可信计算技术进行物联网数据安全保护的方法。即通过本发明创造所提供的物联网设备数据加密传输及物联网服务器数据保护的管理机制，一方面若攻击者攻击传输链路，由于从传输链路获取的数据是用非对称加密算法加密的，而攻击者没有密钥解密，使得数据传输安全得以保证，另一方面若攻击者攻击服务器并获取了服务器的控制权，由于数据解密是在SGX技术下的可信执行环境内进行，而任何权限都无法访问可信执行环境，所以攻击者仍然无法获取解密的数据，由此既保证了数据传输过程的安全性，又保证了数据处理及存储的安全性和可信性，便于实际推广和实现。

技术领域

本发明属于物联网数据安全技术领域，具体涉及一种基于可信计算技术进行物联网数据安全保护的方法。

背景技术

物联网(IoT，Internet of Things的缩写，字面翻译是物体组成的因特网，准确的翻译应该为物联网)由一个或多个IoT设备(也可称为物联网客户端)通过网络与物联网服务器互联。物联网服务器管理IoT设备发送的数据，并与IoT设备进行通信。如果攻击者攻击物联网服务器并获取了服务器的控制权，那所有与此物联网服务器通讯的IoT设备的信息也就会被泄露，而IoT设备例如摄像机和指纹采集器等通常涉及敏感数据，因此这种情况下将会造成非常严重的安全问题。

在目前数据传输中，通常使用RSA算法(即RSA公钥加密算法，是1977年由罗纳德·李维斯特-Ron Rivest、阿迪·萨莫尔-Adi Shamir和伦纳德·阿德曼-Leonard Adleman一起提出的。RSA就是他们三人姓氏开头字母拼在一起组成的，其是目前最有影响力和最常用的公钥加密算法，它能够抵抗到目前为止已知的绝大多数密码攻击，已被ISO推荐为公钥数据加密标准)对物联网数据进行加密/解密，以保障数据的安全传输。此方法虽然能够保证数据在传输过程中的安全性，但是当服务器侧被破解时，攻击者可以获取到服务器侧存储的私钥，进而使得从IoT设备加密传输的数据也可以被攻击者获取，导致敏感数据泄露，所以仅仅使用RSA算法仅能保证数据传输的安全，并不能保证整个物联网系统的安全。

SGX全称Intel Software Guard Extensions，其是对因特尔体系(IA)的一个扩展，用于增强软件的安全性。这种方式并不是识别和隔离平台上的所有恶意软件，而是将合法软件的安全操作封装在一个enclave(英文原意为“飞地”，此处可理解为可信执行环境)中，保护其不受恶意软件的攻击，特权或者非特权的软件都无法访问enclave，也就是说，一旦软件和数据位于enclave可信执行环境中，即便操作系统或者VMM(Hypervisor)也无法影响enclave里面的代码和数据。该enclave可以理解为一个“黑盒”，此“黑盒”并非用来识别和隔离恶意程序，而是将软件的敏感数据和信息封装起来，任何权限包括管理员都无法访问此可信执行环境，因此敏感信息不会被运行在更高特权等级下的欺诈软件进行非法访问和修改。SGX技术依赖操作系统，因此只能保证操作系统上运行的应用的安全性，无法保证数据传输的安全。

发明内容

为了解决现有物联网系统中关于物联网数据在传输及处理过程中所存在的安全性问题，本发明目的在于提供一种采用非对称密钥加密与可信计算相结合的方式实现物联网数据安全保护的新方法。

本发明所采用的技术方案为：

一种基于可信计算技术进行物联网数据安全保护的方法，包括如下步骤：

S101.在初始化配置物联网服务器时，利用SGX技术的enclave可信执行环境进行服务器侧非对称密钥对的生成及存储，其中，所述服务器侧非对称密钥对包含服务器侧公钥和服务器侧私钥；

S102.在初始化配置物联网客户端时，存储来自物联网服务器的所述服务器侧公钥；

S103.物联网客户端在启动后，向物联网服务器请求建立通讯连接；