[发明专利]一种物联网信息安全传输方法

摘要

本发明公开了一种物联网信息安全传输方法，包括终端设备和服务器，所述终端设备内部存储有RSA数字证书公钥(PUK)、终端SN号、厂家名称、终端型号、SDK包以及SDK包MD5值，所述SDK包MD5值为SDK包的MD5值，所述服务器内部存储有RSA数字证书私钥(PRK)，所述终端设备与服务器构成一个物联网。本发明保证了终端设备与服务器在整个会话过程的数据安全，同时保证了指纹身份认证、数据的完整性、准确性，采用对称加密算法同时也保证了响应时间的及时性、可靠性。

主权项

一种物联网信息安全传输方法，其特征在于：包括终端设备和服务器，所述终端设备内部存储有RSA数字证书公钥(PUK)、终端SN号、厂家名称、终端型号、SDK包以及SDK包MD5值，所述SDK包MD5值为SDK包的MD5值，所述服务器内部存储有RSA数字证书私钥(PRK)，所述终端设备与服务器构成一个物联网，其方法步骤如下：A、终端设备向服务器发起激活请求：终端设备向服务器上传经过RSA数字证书公钥(PUK)签名的终端相关信息，所述终端相关信息包括终端SN号、厂家名称、终端型号、SDK包以及SDK包MD5值；服务器通过RSA数字证书私钥(PRK)验签终端相关信息，当服务器验签成功后，服务器对终端设备上传的终端相关信息进行审核，当服务器审核通过后，则生成终端设备的唯一标签识别号TID与对应服务器真实身份的SID，然后通过服务器的RSA数字证书私钥(PRK)将TID和SID签名后回传给终端设备；终端设备获取到服务器回传的TID与SID信息后经过PUK验签，当终端设备验签成功后，终端设备旋即获取到TID与SID信息，然后终端设备再次采用RSA数字证书公钥(PUK)签名后上传激活TOF值至服务器，服务器即可完成该终端设备的TID的激活，同时服务器与终端设备均存储相关数据，该相关数据包括终端相关信息、激活TOF值、TID与SID信息；B、终端设备指纹激活流程：终端设备录入使用人的指纹信息，该指纹信息包括不超过使用人的三个指纹数据；当终端设备录入指纹信息成功后，然后终端设备将最新的指纹信息与TID关联后通过RSA数字证书(PUK)签名上传给服务器，服务器获取终端设备上传的指纹信息保存后并返回经RSA数字证书(PRK)签名的TOF值与SID值，TOF值为步骤A的激活TOF值，SID值为步骤A的SID信息，终端设备获取返回的TOF值与SID值；若服务器成功录入，则终端设备保存指纹信息，在指纹激活完成后，终端设备即可正常使用；在每次重启终端设备后，需先通过指纹认证后才能正常进行物联网信息安全传输使用；C、身份认证：包括服务器验证终端设备身份与终端设备验证服务器身份；C1、终端第一次向服务器发起会话连接请求时，服务器需要验证终端设备的身份，服务器验证终端设备身份方法如下：C11、终端设备获取当前时间的时间戳TTM；C12、终端设备将时间戳TTM通过SDK包中的国密对称加密算法SM4进行加密后TSM4数据与TID一起上传至服务器，国密对称加密算法SM4加密的密钥为SID信息与指纹信息的组合密钥；C13、服务器收到TID后，服务器获取相关的指纹信息与SID信息，采用国密对称加密算法SM4解密方法进行解密；当解密成功后，服务器记录时间戳TTM及终端设备上传时间的时间差值TTMV，时间差值TTMV＝当前时间‑时间戳TTM，所述当前时间为服务器解密成功时的时间，则服务器验证终端设备成功；C14、如果服务器验证终端设备身份失败，则向终端设备返回错误信息并要求终端设备再一次验证终端设备身份，然后按照流程C11～C13依次重新执行一次；C2、待服务器验证终端设备身份成功后，终端设备需要验证服务器身份，终端设备验证服务器身份方法如下：C21、服务器通过TID获取终端设备对应的SID信息，再获取当前时间STM，同时获取终端设备的指纹信息；C22、服务器使用国密对称加密算法SM4对当前时间STM加密，国密对称加密算法SM4加密的密钥为SID信息与指纹信息的组合密钥，服务器对当前时间STM加密后为SSM4数据，同时服务器回传SSM4数据与SID信息给终端设备；C23、终端设备利用SDK包中国密对称加密算法SM4将服务器回传的SSM4数据与SID信息进行解密；若解密成功，终端设备记录当前时间及本次回传时间的时间差值STMV，时间差值STMV＝当前时间‑STM，所述当前时间为终端设备解密成功时的时间，则验证服务器成功；C24、若果终端设备验证服务器失败，则向服务器返回错误信息，要求服务器再一次验证服务器身份，然后按照流程C21～C23依次重新执行一次；D、服务器与终端设备之间独立安全的会话：包括如下步骤：D1、服务器与终端设备之间加密算法密钥协商：如果服务器与终端设备均认证成功，那么终端设备与服务器就确认本次会话的安全性，此时双方需要协商密钥；D11、服务器根据终端设备的SDK包的版本VTSDK确定加密算法ALG；D12、服务器根据指纹信息、SID信息、时间戳TTM通过该加密算法ALG产生密钥Skey，利用通过RSA数字证书私钥(PRK)签名生成Skey'，并发送给终端设备；终端设备根据指纹信息、SID信息、时间戳TTM通过该加密算法ALG产生密钥Tkey，利用通过RSA数字证书(PUK)签名生成Tkey'，并发送给服务器；D13、终端设备收到Skey'，利用RSA数字证书(PUK)成功获取Skey，并返回确认消息给服务器；服务器收到Tkey'，利用RSA数字证书私钥(PRK)成功获取Tkey，并返回确认消息给终端；D14、若服务器解密失败，则返回失败消息给终端设备，并且两者再次请求协商加密算法ALG，然后重复步骤D11～D13；若终端设备解密失败，则返回失败消息给服务器，并且两者再次请求协商加密算法ALG，然后重复步骤D11～D13；D15、服务器与终端设备之间的本次会话期间，服务器将一直使用该密钥Skey进行加密，同时服务器一直使用Tkey进行解密；终端设备将一直采用Tkey进行加密，同时终端设备一直使用Skey进行解密；并直到本次会话结束。