[发明专利]一种大规模物联网服务域隔离通信方法、装置、电子设备及存储介质

权利要求书

1.一种大规模物联网服务域隔离通信方法，其特征在于，包括：

将物联网中用户终端的IPv6地址、用户终端的MAC地址和相应交换机进行相互绑定；

根据物联网中用户终端的IPv6地址中用户终端的真实身份，在通信前对物联网的通信进行分配；

根据大规模物联网服务域的资源使用状态，对不同数据流带宽进行分配；

根据用户终端的真实身份对访问目的进行切分，使得非授权用户不能访问权限外的服务资源；

同一服务域内的各用户终端，采用密钥交换算法，实现加密通信；

所述同一服务域内的各用户终端，采用密钥交换方法，实现加密通信，包括：

(1)服务域中心为同一服务域内的各用户终端生成一对公钥和私钥，并将所述公钥发送到本服务域的所有用户终端，所述私钥根据用户终端的真实身份发送到相应用户终端；

(2)发起通信请求的用户终端根据目标用户终端的IP地址，利用目标用户终端的公钥对目标用户终端的IP地址进行加密，得到一个加密后的密文，即auth_S＝Encrypt(IP_D)；

(3)发起通信请求的用户终端根据目标用户终端的IP地址、发起通信请求的用户终端的IP地址和发起通信请求的时间戳，计算得到一个哈希值K_S：

k_S＝H(IP_D||IP_S||T_STAMP),

其中，||表示字符串串接，IP_D表示目标用户终端地址，IP_S表示发起通信请求的用户终端地址，T_STAMP表示时间戳；H()表示一种哈希算法；

(4)发起通信请求的用户终端将所述哈希值K_S的前128位作为本次通信的第一对称密钥K，并使用目标用户终端的公钥对密钥K进行加密，得到一个密文R_S，R_S＝Encrypt(K)；

(5)发起通信请求的用户终端向目标用户终端发送密文R_S和密文auth_S；

(6)目标用户终端利用本终端的私钥，对密文auth_S进行解密，得到目标用户终端的待认证IP地址，将该待认证IP地址与目标用户终端的IP地址进行比较，若待认证IP地址与目标用户终端的IP地址不相同，则直接向发起通信请求的用户终端发送拒绝指令，若待认证IP地址与目标用户终端的IP地址相同，则认证成功，并对所述密文R_S进行解密，得到一个第二对称密钥K′；

(7)目标用户终端利用第二对称密钥K′对发起通信请求的用户终端的IP地址进行加密，得到一个密文auth_D，auth_D＝Encrypt_K′(IP_S)；

(8)目标用户终端向发起通信请求的用户终端发送所述密文auth_D；

(9)发起通信请求的用户终端使用第一对称K对所述密文auth_D进行解密，若得不到发起通信请求的用户终端的IP地址，则密钥交换失败，若得到发起通信请求的用户终端的IP地址，则密钥交换成功，将第一密钥K作为对称密钥用于本次数据加密通信。

2.根据权利要求1所述的大规模物联网服务域隔离通信方法，其特征在于，所述将物联网中用户终端的IPv6地址、用户终端的MAC地址和相应交换机进行相互绑定，包括：

(1)将物联网中用户终端的IPv6地址分布式存储到大规模物联网的各服务域中心；

(2)各服务域中心根据物联网中接入网内用户终端的真实源地址，对服务域接入网内用户终端的身份进行验证；

(3)在用户终端的IPv6地址后64位嵌入用户终端身份的标识信息；

(4)将物联网中用户终端的IPv6地址、用户终端的MAC地址和相应交换机进行相互绑定。