[发明专利]基于登录序号的物联网设备动态加密方法

摘要

本申请公开了基于登录序号的物联网设备动态加密方法，方法包括：物联网设备生成第一动态密钥；物联网设备利用生成的第一动态密钥对登录报文进行加密，得到加密登录报文；物联网设备将加密登录报文发送至物联网平台；物联网平台接收加密登录报文，对加密登录报文进行验证，验证后物联网平台生成登录回复报文；物联网平台发送登录回复报文至所述物联网设备；物联网设备接收所述登录回复报文，对该登录回复报文进行验证；物联网设备与物联网平台双向身份认证成功，物联网平台与物联网设备相互发送普通数据报文。本发明由物联网设备的静态密钥和登录序号生成伪随机的动态密钥，提高物联网设备与物联网平台之间通信的安全性。

主权项

1.基于登录序号的物联网设备动态加密方法，应用于物联网设备和物联网平台之间，物联网设备具有设备唯一标识号码，预先存储至物联网设备的非易失存储器中的唯一静态密钥K与设备唯一标识号码一一对应，其特征在于，包括：所述物联网设备生成第一动态密钥：物联网设备通过对静态密钥K和物联网设备登录序号L进行单向散列运算，所述的单向散列运算包括MD5单向散列算法和SHA单向散列算法，得到第一动态HMAC密钥HK；利用动态HMAC密钥作为HMAC算法的密钥对静态密钥K和物联网设备登录序号L进行HMAC运算，以运算结果作为第一动态加密密钥EK；所述第一动态密钥包括：所述第一动态HMAC密钥HK和所述第一动态加密密钥EK；所述物联网设备利用生成的所述第一动态密钥对登录报文进行加密，得到加密登录报文：物联网设备利用第一动态HMAC密钥HK对登录报文原始明文和上行报文流水号N进行HMAC运算，上行报文流水号N由物联网设备维护，生成对应的消息摘要；物联网设备利用第一动态加密密钥EK对登录报文原始明文和消息摘要进行对称加密运算，得到登录报文密文数据；登录报文密文数据、设备唯一标识号码、上行报文流水号N和物联网设备登录序号L组成加密登录报文；所述物联网设备将所述加密登录报文发送至物联网平台；所述物联网平台接收所述加密登录报文，对所述加密登录报文进行验证，验证后物联网平台生成登录回复报文：物联网平台接收到物联网设备发送的加密登录报文，通过登录报文中的设备唯一标识号码，查数据库获取物联网设备的静态密钥K和上次登录的物联网设备登录序号L*，当L小于L*时，物联网平台丢弃加密登录报文，当L大于等于L*时，物联网平台更新上次登录的登录序号L*，令L*＝L，按照所述物联网设备生成第一动态密钥的方法，物联网平台根据L和K生成第二动态HMAC密钥HKK和第二动态加密密钥EKK；判定上行报文流水号N的合法性，上行报文流水号N无效，直接丢弃加密登录报文，上行报文流水号N有效，物联网平台利用第二动态加密密钥EKK作为对称加密算法的密钥，对登录报文密文数据进行解密，得到登录报文原始明文和消息摘要，物联网平台利用第二动态HMAC密钥HKK对登录报文原始明文和上行报文流水号N进行HMAC运算，运算结果与解密得到的消息摘要不相同，加密登录报文无效，直接丢弃加密登录报文，运算结果与解密得到的消息摘要相同，加密登录报文有效，物联网平台更新上次接收的上行报文流水号N*，令N*＝N，物联网平台对登录报文原始明文进行解析处理，物联网平台向物联网设备下发登录回复报文，登录回复报文的加密过程与所述物联网设备利用生成的所述第一动态密钥对登录报文进行加密、得到加密登录报文的过程相同，登录回复报文中携带设备唯一标识号码、下行报文流水号Y和登录回复报文密文数据，下行报文流水号Y由物联网平台进行维护；所述物联网平台发送所述登录回复报文至所述物联网设备；所述物联网设备接收所述登录回复报文，对该登录回复报文进行验证：物联网设备收到物联网平台发送的登录回复报文后，判定下行报文流水号Y的合法性，下行报文流水号Y有效，物联网设备利用第一动态加密密钥EK作为对称加密算法的密钥，对登录回复报文密文数据进行解密，得到登录回复报文原始明文和登录回复报文消息摘要，物联网设备利用第一动态HMAC密钥HK对登录回复报文原始明文和下行报文流水号Y进行HMAC运算，运算结果与解密得到的登录回复报文消息摘要不相同，登录回复报文无效，直接丢弃登录回复报文，运算结果与解密得到的登录回复报文消息摘要相同，登录回复报文有效，物联网设备更新物联网设备登录序号L，令L＝L+1，物联网设备更新上次接收的下行报文流水号Y*，令Y*＝Y，物联网设备对登录回复报文原始明文进行解析处理；所述物联网设备与物联网平台双向身份认证成功，物联网平台与物联网设备相互发送普通数据报文。