[发明专利]一种基于物联网的智能设备网络通讯安全实现方法

说明书

本发明公开了一种基于物联网的智能设备网络通讯安全实现方法，包括智能设备发起认证请求；智能设备将业务数据包加密后发送给服务器；服务器验证智能设备的合法性；服务器将业务数据包加密后发送给智能设备；智能设备验证服务器的合法性；实现双向认证连接，业务数据包包括加密区和校验区，所述加密区中的所有数据都进行加密处理，包含业务数据、设备唯一序列号和签名数据，所述校验区中存放请求方或者应答方的签名值，用于身份校验和数据篡改检查。本发明每次通讯的加解密密钥和身份认证信息都会随机变化，能有效抵抗重复数据攻击；采用“密钥组+密钥索引”进行密钥管理，通讯双方始终不进行密钥相关信息交互，保证了密钥的安全性。

技术领域

本发明涉及网络通讯技术领域，尤其涉及一种基于物联网的智能设备网络通讯安全实现方法。

背景技术

随着物联网技术的不断发展，物联网智能设备(以下简称智能设备)的数量呈指数式增长，而网络通讯方式由原来的Wi-Fi、GSM(Global System for MobileCommunications，全球移动通信系统)、LTE(Long Term Evolution，长期演进技术)发展到现在的NB-IoT(Narrow Band Internet of Things，窄带物联网)。目前大部分智能设备出于开发成本和运维成本的考虑，并没有做任何网络通讯的安全措施，只有一小部分设备采用了一定的安全措施。

目前智能设备网络通讯安全的方法，通常有以下几种：

1)通讯数据电子签名。即通讯双方事先约定密钥和授权码，发生数据交互时，发送方通过随机数生成器生成随机数，将待发送数据、密钥、授权码按一定排列规律进行电子签名，然后将本次传输数据和签名结果发送，接收方按照相同的排列规律对接收的数据进行电子签名，验证签名结果是否相同，保证本次数据的安全性。

2)设备单向身份认证，通讯数据对称加密。即智能设备将自己的身份信息发送给服务器，发起认证请求，服务器验证智能设备身份的合法性，如果智能设备合法，给智能设备分配一个令牌token。需要发生数据交互时，智能设备将token添加至待发送数据，接着对数据用对称密钥进行加密，服务器收到数据后用相同的对称密钥进行解密，并验证token的合法性。服务器每隔一定时间回收token，智能设备重新进行认证请求，获取新的token。

3)智能设备和服务器双向认证，用非对称密钥对通讯数据进行加密。即智能设备和服务器通过可信机构CA(证书颁发机构Certificate Authority)签名颁发的数字证书进行双向身份认证，交换各自证书，获取对方的公钥信息，需要发生数据交互时，发送方用对方的公钥信息对数据进行加密，接收方通过自己的私钥进行解密。

而现有技术具有以下缺点：

1)对于没有任何安全措施的智能设备，攻击者可以通过网络工具或本地工具监听通讯过程和通讯数据，通过分析通讯数据破解传输协议，从而进行数据伪造，设备和服务器伪装等攻击。

2)通讯数据电子签名方案只能保证传输数据防篡改，攻击者可以监听通讯数据，不需要解析出数据内容，重复发送监听得到的通讯数据进行非法控制。

3)设备单向身份认证，通讯数据对称加密方案只能在一定程度上保证传输安全。此方案存在以下缺点：

①只对智能设备进行身份认证，默认服务器是安全的，若攻击者伪装成服务器与智能设备通讯，则可以套取智能设备信息，伪装设备，甚至可以完全控制智能设备。

②攻击者可以监听双方通讯，窃取token并伪装设备和服务器进行通讯。

③攻击者同样可以监听通讯数据，不需要解析数据内容，重复发送监听得到的通讯数据进行非法控制。

4)CA数字证书双向身份认证的方法能防止身份伪造，非对称加密能保证数据安全，防止数据窃取和篡改。此方案有以下缺点：