一種物聯網終端設備安全傳輸認證方法及裝置與流程

本發明涉及物聯網和云計算技術領域，具體涉及一種物聯網終端設備安全傳輸認證方法及裝置。

背景技術：

近年來，物聯網技術發展迅速，應用領域已經遍及交通、物流、公共安全、家居、醫療等多個行業。通過各類傳感設備，可以實時采集來自傳感設備的信息，以實現對設備的識別、監控、定位、連接、跟蹤以及管理，讓設備、網絡和交互變得更加智能。傳統制造廠商也在對產品生產鏈進行改造創新，將物聯網技術與制造技術融合發展，創建智能工廠，發展智能制造裝備。物聯網技術已從單純技術上升到一種經濟形態的新經濟形態。

物聯網所涉及的數據量規模巨大，隨著云計算和虛擬技術的推廣普及，云基礎設施和云服務平臺的建設，使得物聯網中海量物品的實時動態管理以及智能分析變得可能。然而隨著各類接入設備的增多，各類行業數據的集中，物聯網終端設備與云中心之間的認證問題就成為一個亟須解決的問題。一方面，如何能夠保證物聯網終端設備通過傳感器收集的數據可以安全上傳到云中心，而在傳輸過程中無法被第三方監聽獲取數據或惡意篡改。另一方面，如何保證物聯網終端設備不被第三方非法入侵和控制。

技術實現要素：

本發明要解決的技術問題是：本發明針對以上問題，提供一種物聯網終端設備安全傳輸認證方法及裝置。

本發明所采用的技術方案為：

一種物聯網終端設備安全傳輸認證方法，所述方法通過采用分級安全傳輸認證策略，在物聯網終端設備和云中心之間進行安全數據傳輸以及身份認證，其中，云中心包括通訊模塊、硬件加密機、公鑰中心、安全中心和業務中心：

所述通訊模塊負責與所述的物聯網中海量終端設備進行數據交換；

所述硬件加密機保存云中心的多個密鑰對并在硬件層面實現簽名、加解密；

所述公鑰中心保存物聯網終端設備的公鑰信息；

所述安全中心負責根據通訊模塊得到的數據，進行協議解析、數據加解密和相關認證服務；

所述業務中心負責后續物聯網業務邏輯的實現；

所述物聯網終端設備負責從傳感器中采集數據，并通過加密模塊進行相關的安全認證和數據加密傳輸，完成與云中心交互。

所述物聯網終端設備注冊步驟如下：

步驟101、物聯網終端設備通過加密硬件模塊產生密鑰對；

步驟102、根據物聯網終端設備的硬件信息生成注冊申請書，其中包含設備硬件ID和步驟101中產生的公鑰；

步驟103、云中心將審核所述的物聯網終端設備提交的申請書，并將公鑰與其硬件身份信息保存到公鑰中心；

步驟104、云中心將分級的云中心服務端公鑰信息發送到所述的物聯網終端設備；

步驟105、物聯網終端設備將接收到公鑰信息寫入設備端公鑰庫中。

所述于終端設備上傳數據步驟如下：

步驟201、物聯網終端設備根據通過傳感芯片收集的數據的安全級別，選擇相應的傳輸認證安全協議套件；

步驟202、物聯網終端設備根據選擇的傳輸認證安全協議套件在加密模塊中完成數據加密、簽名以及數據協議封包；

步驟203、物聯網終端設備將封包數據發送到云中心；

步驟204、云中心的通訊模塊負責數據接收；

步驟205、云中心的安全中心根據傳輸認證安全協議套件進行數據解析，如果數據是簽名格式，根據終端設備信息在公鑰中心獲取相應的設備公鑰進行簽名認證；如果數據是加密格式，則調用所述的硬件加密機進行數據解密，再根據終端設備信息在公鑰中心獲取相應的設備公鑰進行簽名認證；如果是原文格式，直接返回；

步驟206、云中心的安全中心根據步驟205的認證結果，如果認證通過，則交給業務中心負責后續物聯網業務邏輯的處理，如果認證失敗，則返回錯誤。

所述云中心向終端設備下發指令的步驟如下：

步驟301、云中心根據發送指令的安全級別，選擇相應的傳輸認證安全協議套件；

步驟302、云中心安全中心根據選擇的傳輸認證安全協議套件，調用硬件加密機，完成數據簽名以及數據協議封包；

步驟303、云中心將封包數據發送到物聯網終端設備；

步驟304、物聯網終端設備的調用收發模塊接收指令數據；

步驟305、物聯網終端設備根據傳輸認證安全協議套件進行數據解析，并根據終端設備存儲的公鑰進行簽名認證；

步驟306、物聯網終端設備根據步驟305的認證結果，如果認證通過，則執行指令，如果認證失敗，則返回錯誤。

一種物聯網終端設備安全傳輸認證裝置，所述裝置結構包括：設備主控制器單元、傳感芯片、加密芯片、加密配置存儲模塊、數據存儲模塊、信號指令模塊、收發數據模塊以及IO控制模塊，其中：

設備主控制器單元負責智能設備的指揮控制中心；

傳感芯片負責采集信息和狀態；

加密芯片負責完成加解密、數字簽名、協議封包相關運算；

加密配置存儲模塊分為明文區域、加密區域兩個區域，明文區域存放來自所述的云中心的分級公鑰，加密區域存儲設備密鑰，該密鑰受硬件保護無法被導出；

數據存儲模塊存儲終端設備需要存儲的其他信息；

信號指令模塊負責信號指令的處理；

收發數據模塊負責與云中心進行數據傳輸；

IO控制模塊負責整個終端設備的輸入輸出控制。

本發明的有益效果為：

本發明通過采用分級安全傳輸認證策略，與傳統統一的加密方式相比，極大的提高了數據傳輸效率和認證效率，并且有效的保護了高級密鑰的安全性，保證了終端設備資源訪問控制的合法性和安全性，并且在對于傳感器采集的敏感數據保護的同時，諸如心跳包等數據傳輸又采用明文傳輸，保證了傳輸效率。通過硬件加密裝置保護了終端設備的密鑰，提升了終端設備與云中心數據傳輸的安全性，并且所有涉及安全的運算都在硬件裝置中完成，保證其運算效率。

附圖說明

圖1為終端設備安全傳輸認證裝置硬件結構圖；

圖2為物聯網終端設備與云中心結構示意圖；

圖3為注冊物聯網終端設備流程圖。

具體實施方式

下面根據說明書附圖，結合具體實施方式對本發明進一步說明：

實施例1

如圖2所示，一種物聯網終端設備安全傳輸認證方法，所述方法通過采用分級安全傳輸認證策略，在物聯網終端設備和云中心之間進行安全數據傳輸以及身份認證，其中，云中心包括通訊模塊、硬件加密機、公鑰中心、安全中心和業務中心：

所述通訊模塊負責與所述的物聯網中海量終端設備進行數據交換；

所述硬件加密機保存云中心的多個密鑰對并在硬件層面實現簽名、加解密等功能；

所述公鑰中心保存物聯網終端設備的公鑰信息；

所述安全中心負責根據通訊模塊得到的數據，進行協議解析、數據加解密和相關認證服務；

所述業務中心負責后續物聯網業務邏輯的實現；

所述物聯網終端設備負責從傳感器中采集數據，并通過加密模塊進行相關的安全認證和數據加密傳輸，完成與云中心交互。

實施例2

如圖3所示，在實施例1的基礎上，本實施例所述物聯網終端設備注冊步驟如下：

步驟101、物聯網終端設備通過加密硬件模塊產生密鑰對；

步驟102、根據物聯網終端設備的硬件信息生成注冊申請書，其中包含設備硬件ID和步驟101中產生的公鑰；

步驟103、云中心將審核所述的物聯網終端設備提交的申請書，并將公鑰與其硬件身份信息保存到公鑰中心；

步驟104、云中心將分級的云中心服務端公鑰信息發送到所述的物聯網終端設備；

步驟105、物聯網終端設備將接收到公鑰信息寫入設備端公鑰庫中。

實施例3

在實施例1或2的基礎上，本實施例所述于終端設備上傳數據步驟如下：

步驟201、物聯網終端設備根據通過傳感芯片收集的數據的安全級別，選擇相應的傳輸認證安全協議套件；

步驟202、物聯網終端設備根據選擇的傳輸認證安全協議套件在加密模塊中完成數據加密、簽名以及數據協議封包；

步驟203、物聯網終端設備將封包數據發送到云中心；

步驟204、云中心的通訊模塊負責數據接收；

步驟205、云中心的安全中心根據傳輸認證安全協議套件進行數據解析，如果數據是簽名格式，根據終端設備信息在公鑰中心獲取相應的設備公鑰進行簽名認證；如果數據是加密格式，則調用所述的硬件加密機進行數據解密，再根據終端設備信息在公鑰中心獲取相應的設備公鑰進行簽名認證；如果是原文格式，直接返回；

步驟206、云中心的安全中心根據步驟205的認證結果，如果認證通過，則交給業務中心負責后續物聯網業務邏輯的處理，如果認證失敗，則返回錯誤。

實施例4

在實施例3的基礎上，本實施例所述云中心向終端設備下發指令的步驟如下：

步驟301、云中心根據發送指令的安全級別，選擇相應的傳輸認證安全協議套件；

步驟302、云中心安全中心根據選擇的傳輸認證安全協議套件，調用硬件加密機，完成數據簽名以及數據協議封包；

步驟303、云中心將封包數據發送到物聯網終端設備；

步驟304、物聯網終端設備的調用收發模塊接收指令數據；

步驟305、物聯網終端設備根據傳輸認證安全協議套件進行數據解析，并根據終端設備存儲的公鑰進行簽名認證；

步驟306、物聯網終端設備根據步驟305的認證結果，如果認證通過，則執行指令，如果認證失敗，則返回錯誤。

實施例5

如圖1所示，一種物聯網終端設備安全傳輸認證裝置，所述裝置結構包括：設備主控制器單元、傳感芯片、加密芯片、加密配置存儲模塊、數據存儲模塊、信號指令模塊、收發數據模塊以及IO控制模塊，其中：

設備主控制器單元負責智能設備的指揮控制中心；

傳感芯片負責采集信息和狀態；

加密芯片負責完成加解密、數字簽名、協議封包等相關運算；

加密配置存儲模塊分為明文區域、加密區域兩個區域，明文區域存放來自所述的云中心的分級公鑰，加密區域存儲設備密鑰，該密鑰受硬件保護無法被導出；

數據存儲模塊存儲終端設備需要存儲的其他信息；

信號指令模塊負責信號指令的處理；

收發數據模塊負責與云中心進行數據傳輸；

IO控制模塊負責整個終端設備的輸入輸出控制。

可以在設備端實現密鑰生成、密鑰管理、數據加解密、數據摘要、數字簽名等功能，實現物聯網終端設備與云中心的安全傳輸認證的目的。

實施方式僅用于說明本發明，而并非對本發明的限制，有關技術領域的普通技術人員，在不脫離本發明的精神和范圍的情況下，還可以做出各種變化和變型，因此所有等同的技術方案也屬于本發明的范疇，本發明的專利保護范圍應由權利要求限定。