一種採用安全單鑰管理技術的物聯網密碼認證方法

2023-05-28 23:37:11

專利名稱：一種採用安全單鑰管理技術的物聯網密碼認證方法
技術領域：
本發明涉及信息安全領域，是利用密碼技術進行物聯網傳感節點設備的認證、並對傳感數據進行加密和數字籤名，保證傳感節點設備真實、可信，保證感知層傳感數據的傳輸安全、保密和完整。
背景技術：
目前，國內外一些廠商生產的基於密碼算法的物聯網傳感節點設備認證、感知層傳感數據保密傳輸和完整性驗證的產品，都是採用公鑰技術如PKI，但是，物聯網傳感節點設備數量是網際網路用戶量的32倍，採用PKI技術建立CA數字認證中心的成本較高，且CA 認證中心進行傳感節點設備認證、傳感數據加密和數字籤名，以及傳感數據解密和籤名驗證的速度都較慢，不能滿足超大規模(海量)傳感節點設備的並發認證、傳感數據解密和籤名驗證的市場需求，從而，影響了 PKI技術在物聯網密碼認證領域的應用。

發明內容
採用一種安全單鑰管理技術的物聯網密碼認證方法，是採用單鑰密碼算法、安全單鑰管理技術和晶片硬體技術，建立物聯網密碼認證系統；若在採用常用的單鑰管理情況下，在傳感節點端智慧卡晶片裡寫入單鑰密碼算法、摘要算法、一組傳輸密鑰、傳感節點端智慧卡晶片的標識、傳感節點設備認證協議、傳感數據的加密和數字籤名協議，在認證中心端的認證伺服器加密卡晶片裡，寫入單鑰密碼算法、摘要算法、全體對應認證中心端的傳感節點端智慧卡晶片的標識和對應的傳輸密鑰，以及認證中心端的設備認證協議、傳感數據解密和籤名驗證協議；當傳感節點端的設備量較大時，認證中心需要部署較多的加密卡設備，來存儲大量對應傳感節點端的傳輸密鑰；在傳感節點端智慧卡晶片裡，用一組隨機數作為認證密鑰加密另一組隨機數S，生成傳感節點端的認證口令，並用傳輸密鑰將認證密鑰加密成密文後，與認證口令和隨機數S—起發送給認證中心端，在認證中心端加密卡晶片裡，使用對應傳感節點端的傳輸密鑰，將接收到的認證密鑰的密文解密，再用解密後的認證密鑰加密隨機數S，生成認證中心端的認證口令，通過對比傳感節點端和認證中心兩端的認證口令，來確認傳感節點端的設備是否真實、可信；在傳感節點端智慧卡晶片裡，用一組隨機數作為籤名密鑰對傳感數據進行加密和數字籤名，並用傳輸密鑰將籤名密鑰加密成密文後，與傳感數據的密文和傳感數據的數字籤名一起發送給認證中心端，在認證中心端加密卡晶片裡，使用對應傳感節點端的傳輸密鑰，將接收到的籤名密鑰的密文解密，再用解密後的籤名密鑰,來解密傳感數據的密文，並對傳感數據的數字籤名進行籤名驗證,來實現感知層的傳感數據保密傳輸，確認傳感節點端對傳感數據的籤名是否完整、未被篡改；本發明是採用單鑰密碼算法和一種安全單鑰密鑰管理技術，在傳感節點端和認證中心端的晶片硬體裡，建立傳感節點設備認證、傳感數據加、解密和數字籤名系統，其方法的技術特徵在於在採用一種安全單鑰管理情況下，在傳感節點端智慧卡晶片裡寫入單鑰密碼算法、摘要算法、傳感節點端智慧卡晶片的標識、一組傳輸密鑰、傳感節點端的設備認證協議、傳感數據加密和數字籤名協議，在認證中心端認證伺服器的加密卡晶片裡寫入單鑰密碼算法、摘要算法、一組存儲密鑰、認證中心端設備認證協議、傳感數據解密和籤名驗證協議，在認證中心端認證伺服器的硬碟存儲區，存儲對應認證中心端全體傳感節點端智慧卡晶片標識和傳輸密鑰的密文；當傳感節點端的設備量較大時，不需要在認證中心部署較多的加密卡設備，來存儲大量對應傳感節點端的傳輸密鑰；採用一種安全單鑰管理技術，是指採用三種密鑰管理方法，其中第一種密鑰為認證或籤名密鑰，認證密鑰用來建立設備認證協議，籤名密鑰用來建立傳感數據加密和數字籤名協議；第二種密鑰為傳輸密鑰，傳輸密鑰用於加密認證或籤名密鑰，保證認證或籤名密鑰交換傳輸過程的安全；第三種密鑰為存儲密鑰，存儲密鑰用於分別加密對應全體傳感節點端的傳輸密鑰，保證傳輸密鑰在認證中心端的存儲安全，使用存儲密鑰加密傳輸密鑰，使用傳輸密鑰加密認證或籤名密鑰，再用認證密鑰加密一組隨機數生成認證口令，實現傳感節點端的設備認證，或用籤名密鑰對傳感數據和傳感數據的「摘要」信息進行加密即數字籤名，實現感知層的傳感數據保密傳輸和完整性驗證，從而，建立採用一種安全單鑰管理技術的物聯網密碼認證系統，全部過程用軟體和硬體結合方式實現，具體方法如下I、傳感節點端的設備，包括傳感器或RFID設備和智慧卡設備，傳感器或RFID設 備作為傳感設備，用於採集傳感數據，在傳感器或RFID設備上嵌入一塊智慧卡，將智慧卡作為傳感節點端的加密系統硬體設備，傳感節點端的傳感設備與一塊智慧卡連接，兩者之間的數據是雙向傳輸，在傳感節點端智慧卡晶片裡，建立傳感節點端的加密系統，即:寫入單鑰密碼算法、摘要算法、傳感節點端的物聯網安全協議包括傳感節點端的設備認證協議、加密和數字籤名協議，且寫入數據傳感節點端智慧卡晶片的標識和一組傳輸密鑰。2、認證中心端由認證伺服器和加密卡硬體設備組成，在認證伺服器的PCI接口上插入加密卡，將加密卡作為認證中心端的加密系統硬體設備，物聯網數據中心與認證中心連接，物聯網數據中心與認證中心之間的數據是雙向傳輸，在加密卡的晶片裡，建立認證中心端的加密系統，即寫入單鑰密碼算法、摘要算法、認證中心端的物聯網安全協議包括認證中心端的設備認證協議、解密和籤名驗證協議，且寫入數據一組存儲密鑰，在認證中心端認證伺服器的硬碟存儲區，寫入數據Z，數據Z包括對應全體傳感節點端智慧卡晶片標識和傳輸密鑰SKi (i = I n，n為傳感節點端的設備數量總和)的密文，即將數據Z存儲在認證中心端認證伺服器的傳輸密鑰資料庫中。3、物聯網數據中心由伺服器或小型機組成，在物聯網數據中心裡，存放的內容有兩種(I)存放傳感節點端傳感設備採集的傳感數據、對應的傳感節點端智慧卡晶片標識、接收傳感數據的時間戳、以及接收到的傳感數據完整驗證的「結果」 ；(2)存放設備認證「結果」、對應的傳感節點端智慧卡晶片標識、接收設備認證「結果」的時間戳。4、每個傳感節點端智慧卡晶片都有唯一的標識，每個傳感節點端智慧卡晶片標識兩兩互不相同，傳感節點端智慧卡晶片標識由數字或數字加英文字母加字符組成，設傳感節點端智慧卡晶片標識的數據長度為C2(C2 = 5 15位)，當傳感節點端智慧卡晶片標識由數字加英文字母組成時，若C2位8位字母和數字時，如CG-00017 ;當傳感節點端智慧卡晶片標識全部由數字組成時，若C2為12位數字時，如000000000026，一組傳感節點端智慧卡晶片標識對應一臺傳感節點設備和一組傳輸密鑰，隨機數S長度為128 256比特數字或英文字母。5、傳感節點端和認證中心兩端的加密系統，使用的單鑰密碼算法，如SM1、DES、RC5、SMS4、ASE，使用的摘要算法，如=SHA-U SM3、MD5，密鑰長度M，M = 128比特或210比特，摘要算法的摘要信息長度為128比特或256比特。6、安全單鑰管理(即三種密鑰管理)方法及其特徵如下(I)第一種密鑰即認證或籤名密鑰，設認證或籤名密鑰為CK，在傳感節點端的設備認證協議、或加密和數字籤名協議運行過程時，由傳感節點端智慧卡晶片裡的隨機數發生器實時產生一組128或210比特的隨機數，用該組隨機數作為認證或籤名密鑰CK，當CK作為認證密鑰時，用CK來加密另一組隨機數S產生認證口令，當CK作為籤名密鑰時，用CK對傳感節點端的傳感數據進行加密和數字籤名，認證或籤名密鑰在傳感節點端智慧卡晶片裡產生，在智慧卡晶片裡被使用後，並在智慧卡晶片裡被清除，認證或 籤名密鑰的明文不出傳感節點端智慧卡晶片硬體，保證認證或籤名密鑰在傳感節點端的運行安全；認證或籤名密鑰從傳感節點端傳輸到認證中心端之前,在傳感節點端智慧卡晶片裡，先用傳感節點端智慧卡晶片裡的傳輸密鑰將認證或籤名密鑰加密成密文後，再從傳感節點端智慧卡晶片裡輸出並傳到認證中心端，在認證中心端加密卡晶片裡，使用對應傳感節點端的傳輸密鑰將認證或籤名密鑰的密文解密成明文，保證了認證或籤名密鑰的交換傳輸安全；(2)第二種密鑰即傳輸密鑰，設傳輸密鑰為SKi (i = I n，n為對應認證中心的全體傳感節點端的設備總和)，在密鑰初始化過程中，由認證中心端加密卡晶片裡的隨機數發生器，生成一組128或210比特的隨機數，將該組隨機數作為一組傳輸密鑰SKi (i =I n),分別輸入到對應的各個傳感節點端智慧卡晶片裡，同時，在認證中心端加密卡的晶片裡，使用一組存儲密鑰，將全體對應傳感節點端的每組傳輸密鑰SKi (i = I n)分別加密生成密文即SKi』(i = I n)後輸出加密卡晶片，並將傳輸密鑰SKi (i = I n)以密文即SK1』、SK2』 SKn』的形式，分別與對應傳輸密鑰SKi (i = I n)的傳感節點端智慧卡晶片的標識，一起存儲在認證中心端認證伺服器的傳輸密鑰資料庫中；在傳感節點端智慧卡晶片裡，用傳輸密鑰SKi (i = I n)來加密認證或籤名密鑰CK，生成認證或籤名密鑰密文即CK』，並將CK』發送給認證中心端，每個傳感節點端對應的傳輸密鑰SKi (i = I n)都存儲在傳感節點端智慧卡晶片裡，並在傳感節點端智慧卡晶片裡被使用，傳輸密鑰的明文不出傳感節點端智慧卡晶片，保證了傳感節點端傳輸密鑰在傳感節點端的存儲和運行安全；在認證中心端，全體傳感節點端對應的傳輸密鑰，是以密文形式存放在認證中心的傳輸密鑰資料庫中，保證全體傳感節點端對應的傳輸密鑰在認證中心端的存儲安全，當認證中心端對應傳感節點端的傳輸密鑰的密文SKi』(i = I n)被調用時，是在加密卡晶片裡被解密成明文，並在加密卡晶片裡被使用後清除，傳輸密鑰的明文不出加密卡晶片，保證全體傳感節點端對應的傳輸密鑰在認證中心端的運行安全；(3)第三種密鑰即存儲密鑰，設存儲密鑰為K，在密鑰初始化過程中，存儲密鑰事先由認證中心端加密卡晶片裡的隨機數發生器，產生一組128或210比特的隨機數，將該組隨機數作為一組存儲密鑰K，並存儲在加密卡晶片裡，存儲密鑰K是一組固定的單鑰，用存儲密鑰K分別將全體對應傳感節點端的傳輸密鑰SKi (i = I n)加密成密文即SK1』、SK2』、……、SKn』(i = I n)後，存儲在認證中心端的傳輸密鑰資料庫中；當傳感節點端和認證中心端進行認證或籤名密鑰CK交換時，在認證中心端加密卡晶片裡，使用存儲密鑰K將認證中心端對應加密CK的傳輸密鑰的密文SKi』(i = I n)解密成明文，再用解密後的傳輸密鑰SKi (i = I n)，將收到傳感節點端發送來的認證或籤名密鑰的密文CK』解密成明文即CK，存儲密鑰K在加密卡的晶片裡產生，並存儲在加密卡晶片，存儲密鑰K的明文在使用時不出晶片硬體，保證存儲密鑰K的存儲和運行安全；(4)認證或籤名密鑰是由傳感節點端智慧卡晶片裡的隨機數發生器產生，具有隨機性，一次一變，且都屬於一組亂碼，用傳輸密鑰SKi (i = I n)將每次產生的認證或籤名密鑰即CK1、CK2、……、CKm(m自然數)，分別加密成密文即CK1』、CK2』、……、CKm』，(m自然數)，也具有隨機性，一次一變，也都屬於一組亂碼，無規律性，破譯者無法將CKl 』、CK2』、……、CKm』(m自然數)，作為破譯條件——「重複報」(使用相同的單鑰將多份不同的明文報文加密成密文報文)，來破譯認證或籤名密鑰即CK1、CK2、……、CKm(m自然數)， 或破譯傳輸密鑰SK1、SK2、……、SKn(n為對應認證中心的全體傳感節點端用戶的總和)；(5)每組傳輸密鑰SKi (i = I n)是在密鑰初始化時，由隨機數發生器產生，都具有隨機性，且都屬於一組亂碼，用存儲密鑰K分別來加密每一組傳輸密鑰SKi (i = I n)生成的傳輸密鑰密文，即SK1』、SK2』、……、SKn』，也具有隨機性，一次一變，也都屬於一組亂碼，破譯者無法將SK1』、SK2』、……、SKn，作為破譯條件——「重複報」(使用相同的單鑰將多份不同的明文報文加密成密文報文)來破譯傳輸密鑰SK1、SK2、……、SKn，或者來破譯存儲密鑰K ；(6)採用安全單鑰管理(即三種密鑰管理)方法，保證存放在認證中心端全體對應傳感節點端傳輸密鑰的存儲安全，當用戶量較大時，不需要購置大量的加密卡設備來存儲大量的傳輸密鑰，能大大節約認證中心的建設成本。7、傳感節點端的設備認證協議，由傳感節點端的傳感設備產生另一組隨機數，設該組隨機數為S，將隨機數S輸入傳感節點端智慧卡晶片裡，智慧卡晶片裡的隨機數發生器，產生一組128比特或210比特的隨機數，將該隨機數作為認證密鑰CK，用CK來加密隨機數S，得到隨機數S的密文即認證口令1，之後，在傳感節點端智慧卡晶片裡，用傳輸密鑰SKi (i = I n)將認證密鑰CK加密成密文即CK』，最後，將傳感節點端智慧卡晶片的標識、隨機數S、認證口令I和認證密鑰的密文CK』這4組認證數據，一併發送給認證中心端。8、認證中心端的設備認證協議，當認證中心端收到傳感節點端發送來的認證數據後，認證中心端根據傳感節點端智慧卡晶片的標識，在傳輸密鑰資料庫中定位對應該標識的記錄，再將記錄中的傳輸密鑰的密文即SKi』 (i = I n)，輸入認證中心端的加密卡晶片中，並在加密卡晶片裡，使用存儲密鑰K將SKi』(i = I n)解密成明文即SKi(i = I n)，用SKi (i = I n)將接收到的認證密鑰的密文CK』解密成明文，即CK，用CK加密隨機數S生成認證口令2，通過對比認證口令I和認證口令2是否相同？來判別傳感節點端的設備是否可"[目。9、在傳感節點端的設備認證協議和認證中心端的設備認證協議過程中，是在傳感節點端智慧卡晶片裡，進行如下操作產生認證密鑰，生成認證口令1，用傳輸密鑰加密認證密鑰，在認證中心端加密卡晶片裡，進行如下操作用存儲密鑰將對應傳感節點端的傳輸密鑰密文解密，再用解密後的傳輸密鑰對認證密鑰的密文進行解密，生成認證口令2，並進行認證口令I和認證口令2的對比認證，因此，傳感節點端的設備認證協議和認證中心端的設備認證協議，是「晶片級」的設備認證協議，安全性高。10、傳感節點端的傳感數據加密和數字籤名協議，在傳感節點端，將傳感節點設備採集的傳感數據輸入傳感節點端智慧卡晶片中，在傳感節點端智慧卡晶片裡，使用摘要算法對傳感數據進行「摘要」得到傳感數據的「摘要」信息LI，由傳感節點端智慧卡晶片裡的隨機數發生器，產生一組128比特或210比特的隨機數，將該隨機數作為籤名密鑰CK，來加密傳感數據和「摘要」信息LI，得到傳感數據的密文和LI的密文即數字籤名，之後，用傳感節點端智慧卡晶片裡的傳輸密鑰，將籤名密鑰CK加密成密文即CK』，最後，將傳感節點端智慧卡晶片的標識、傳感數據的密文、傳感數據的數字籤名和籤名密鑰的密文CK』這4組數字籤名數據，一併發送給認證中心端。11、認證中心端的傳感數據解密和籤名驗證協議，當認證中心端收到傳感節點端發送來的數字籤名數據後，首先，根據傳感節點端智慧卡晶片的標識，在傳輸密鑰資料庫中定位對應該標識的記錄，再將記錄中的傳輸密鑰的密文即SKi』(i = I n)輸入認證中心 端的加密卡晶片中，並在加密卡晶片裡，使用存儲密鑰K將SKi』(i = I n)解密成明文即SKi(i = I n)，用SKi (i = I n)將接收到的籤名密鑰的密文CK』解密成明文，SP CK，用CK解密傳感數據的密文和傳感數據的數字籤名，得到傳感數據的明文和傳感數據的「摘要」信息LI，再用摘要算法對傳感數據進行「摘要」，得到傳感數據的「摘要」信息L2，通過對比LI和L2是否相同？來確認傳感節點端對傳感數據的籤名是否可信、完整。12、在傳感節點端的傳感數據加密和數字籤名協議和認證中心端的傳感數據解密和籤名驗證協議過程中，是在傳感節點端智慧卡晶片裡，進行如下操作產生籤名密鑰，用摘要算法對傳感數據進行「摘要」，得到文件的「摘要」信息LI，用籤名密鑰將傳感數據和「摘要」信息LI加密生成密文，其中對「摘要」信息LI的加密為數字籤名，再用傳輸密鑰加密籤名密鑰生成籤名密鑰的密文，在認證中心端加密卡晶片裡，進行如下操作用存儲密鑰解密對應傳感節點端的傳輸密鑰密文，再用解密後的傳輸密鑰對籤名密鑰的密文進行解密，用解密後的籤名密鑰解密傳感數據和數字籤名，得到傳感數據的明文和「摘要」信息LI，用摘要算法對傳感數據進行「摘要」，得到「摘要」信息L2，進行LI和L2的對比，因此，傳感節點端的加密和數字籤名協議是「晶片級」的加密和數字籤名協議，認證中心端的解密和籤名驗證協議也是「晶片級」的解密和籤名驗證協議，安全性高。13、傳感節點端傳感設備產生一組隨機數S，將隨機數S輸入傳感節點端智慧卡晶片裡，在智慧卡晶片裡，傳感節點端的設備認證協議將接收到的隨機數S加密成密文，並將產生的認證數據，發送給傳感節點端的傳感設備，傳感節點端的傳感設備通過物聯網發送給物聯網數據中心，物聯網數據中心再轉發給認證中心，認證中心端的設備認證協議，在加密卡晶片裡，完成對傳感節點端的設備認證後，並將設備認證「結果」即傳感節點端的設備是否可信、對應的傳感節點端智慧卡晶片標識和當前的時間戳，一併反饋給物聯網數據中心。14、傳感節點端傳感設備採集的傳感數據，首先，傳輸給傳感節點端智慧卡晶片裡，在智慧卡晶片裡，傳感節點端傳感數據加密和數字籤名協議，將接收到的傳感數據進行加密和數字籤名，並將產生的數字籤名數據，發送給傳感節點端的傳感設備，傳感節點端的傳感設備通過物聯網發送給物聯網數據中心，物聯網數據中心再轉發給認證中心，認證中心端的傳感數據解密和籤名驗證協議，在加密卡晶片裡完成對傳感數據密文的解密和對傳感數據的籤名驗證後，並將傳感數據的明文、籤名驗證的「結果」、對應的傳感節點端智慧卡晶片標識和當前的時間戳，一併反饋給物聯網數據中心。15、傳感節點端傳感設備負責將智慧卡產生的認證數據或籤名數據，通過物聯網數據中心傳送給認證中心，認證中心根據認證中心端的物聯網安全協議，將設備認證或數據完整性驗證和解密的結果，反饋給物聯網數據中心，從而，實現傳感節點端的物聯網安全協議和認證中心端的物聯網安全協議，直接依附物聯網的通信協議完成數據的傳輸，不需要在傳感節點端智慧卡和認證中心端加密卡之間，再建立單獨的通信協議，這不僅，能降低在傳感節點和認證中心兩端加密系統硬體設備裡，重新建立通信協議的成本，而且，降低物聯網密碼認證系統的複雜度。16、在晶片裡，由於單鑰密碼算法加、解密速度比雙鑰密碼算法快1000倍，採用安全單鑰管理方法，解決了單鑰密碼算法在設備認證、或數字籤名系統中密鑰更新管理的難題，降低了單鑰更新維護的成本，同時，發揮了單鑰密碼算法加、解密速度快的優勢，有效提 高物聯網安全協議的運行速度，因此，基於單鑰密碼算法建立的傳感節點端的設備認證協議、認證中心端的設備認證協議、傳感節點端的傳感數據加密和數字籤名協議，以及認證中心端的傳感數據解密和籤名驗證協議，速度快、效率高。


圖I :3種單鑰在物聯網安全協議中應用流程2 :物聯網密碼認證系統的4種設備的數據傳輸流程圖
具體實施例方式以下結合

3種單鑰在物聯網安全協議中的使用過程，以及物聯網密碼認證系統的4種設備之間的數據傳輸實現步驟圖I :說明3種單鑰在物聯網安全協議的使用過程，首先，在傳感節點端智慧卡晶片裡，傳感節點端的物聯網安全協議，控制隨機數發生器產生一組隨機數，將該組隨機數作為認證或籤名密鑰CK，用傳感節點端智慧卡晶片裡的傳輸密鑰SK，加密認證或籤名密鑰CK，生成認證或籤名密鑰CK的密文即CK』，將CK』發送給認證中心，在認證中心，認證中心端物聯網安全協議從認證中心端的傳輸密鑰資料庫中，取出對應傳感節點端智慧卡晶片標識的傳輸密鑰密文SK』，在認證中心加密卡晶片裡，用存儲密鑰K將SK』解密成明文，即 得到傳輸密鑰SK，再用傳輸密鑰SK將CK』解密成明文，即得到認證或籤名密鑰CK，從而，利用傳輸密鑰SK和存儲密鑰K，實現認證或籤名密鑰CK從傳感節點端到認證中心端的傳輸交換安全。圖2 以傳感節點端的設備認證過程為例，說明物聯網密碼認證系統的4種設備的數據傳輸過程，首先，由傳感節點端的傳感設備產生一組隨機數S，將隨機數S輸入傳感節點端智慧卡晶片裡，在智慧卡晶片裡生成一組認證密鑰CK，用CK來加密隨機數S，得到隨機數S的密文即認證口令1，在傳感節點端智慧卡晶片裡，用傳輸密鑰SK將認證密鑰CK加密成密文即CK』，最後，將傳感節點端智慧卡晶片的標識、隨機數S、認證口令I和認證密鑰的密文CK』這4組認證數據，一併發送給傳感節點端的傳感設備，傳感節點端的傳感設備通過物聯網將認證數據發送給物聯網數據中心，物聯網數據中心再轉發給認證中心，認證中心端根據傳感節點端智慧卡晶片的標識，在傳輸密鑰資料庫中定位對應該標識的記錄，再將記錄中的傳輸密鑰的密文即SK』，輸入認證中心端的加密卡晶片中，並在加密卡晶片裡，使用存儲密鑰K將SK』解密成明文即SK，用SK將接收到的認證密鑰的密文CK』解密成明文，即CK，用CK加密隨機數S生成認證口令2，通過對比認證口令I和認證口令2是否相同？來判別傳感節點端的設備是否可信，之後，認證中心將認證「結果」即設備認證是否可信，反饋給物聯網數據中心。 ·
權利要求
1.採用一種安全單鑰管理技術的物聯網密碼認證方法，是採用單鑰密碼算法、安全單鑰管理技術和晶片硬體技術，建立物聯網密碼認證系統；若在採用常用的單鑰管理情況下，在傳感節點端智慧卡晶片裡寫入單鑰密碼算法、摘要算法、一組傳輸密鑰、傳感節點端智慧卡晶片的標識、傳感節點設備認證協議、傳感數據的加密和數字籤名協議，在認證中心端的認證伺服器加密卡晶片裡，寫入單鑰密碼算法、摘要算法、全體對應認證中心端的傳感節點端智慧卡晶片的標識和對應的傳輸密鑰，以及認證中心端的設備認證協議、傳感數據解密和籤名驗證協議；當傳感節點端的設備量較大時，認證中心需要部署較多的加密卡設備，來存儲大量對應傳感節點端的傳輸密鑰；在傳感節點端智慧卡晶片裡，用一組隨機數作為認證密鑰加密另一組隨機數S，生成傳感節點端的認證口令，並用傳輸密鑰將認證密鑰加密成密文後，與認證口令和隨機數S—起發送給認證中心端，在認證中心端加密卡晶片裡，使用對應傳感節點端的傳輸密鑰，將接收到的認證密鑰的密文解密，再用解密後的認證密鑰加密隨機數S，生成認證中心端的認證口令，通過對比傳感節點端和認證中心兩端的認證口令，來確認傳感節點端的設備是否真實、可信；在傳感節點端智慧卡晶片裡，用一組隨機數作為籤名密鑰對傳感數據進行加密和數字籤名，並用傳輸密鑰將籤名密鑰加密成密文後，與傳感數據的密文和傳感數據的數字籤名一起發送給認證中心端，在認證中心端加密卡晶片裡，使用對應傳感節點端的傳輸密鑰，將接收到的籤名密鑰的密文解密，再用解密後的籤名密鑰,來解密傳感數據的密文，並對傳感數據的數字籤名進行籤名驗證,來實現感知層的傳感數據保密傳輸，確認傳感節點端對傳感數據的籤名是否完整、未被篡改； 本發明是採用單鑰密碼算法和一種安全單鑰密鑰管理技術，在傳感節點端和認證中心端的晶片硬體裡，建立傳感節點設備認證、傳感數據加、解密和數字籤名系統，其方法的技術特徵在於 在採用一種安全單鑰管理情況下，在傳感節點端智慧卡晶片裡寫入單鑰密碼算法、摘要算法、傳感節點端智慧卡晶片的標識、一組傳輸密鑰、傳感節點端的設備認證協議、傳感數據加密和數字籤名協議，在認證中心端認證伺服器的加密卡晶片裡寫入單鑰密碼算法、摘要算法、一組存儲密鑰、認證中心端設備認證協議、傳感數據解密和籤名驗證協議，在認證中心端認證伺服器的硬碟存儲區，存儲對應認證中心端全體傳感節點端智慧卡晶片標識和傳輸密鑰的密文；當傳感節點端的設備量較大時，不需要在認證中心部署較多的加密卡設備，來存儲大量對應傳感節點端的傳輸密鑰；採用一種安全單鑰管理技術，是指採用三種密鑰管理方法，其中第一種密鑰為認證或籤名密鑰，認證密鑰用來建立設備認證協議，籤名密鑰用來建立傳感數據加密和數字籤名協議；第二種密鑰為傳輸密鑰，傳輸密鑰用於加密認證或籤名密鑰，保證認證或籤名密鑰交換傳輸過程的安全；第三種密鑰為存儲密鑰，存儲密鑰用於分別加密對應全體傳感節點端的傳輸密鑰，保證傳輸密鑰在認證中心端的存儲安全，使用存儲密鑰加密傳輸密鑰，使用傳輸密鑰加密認證或籤名密鑰，再用認證密鑰加密一組隨機數生成認證口令，實現傳感節點端的設備認證，或用籤名密鑰對傳感數據和傳感數據的「摘要」信息進行加密即數字籤名，實現感知層的傳感數據保密傳輸和完整性驗證，從而，建立採用一種安全單鑰管理技術的物聯網密碼認證系統。
2.根據權利要求I的方法，其特徵在於 (I)第一種密鑰即認證或籤名密鑰，設認證或籤名密鑰為CK，在傳感節點端的設備認證協議、或加密和數字籤名協議運行過程時，由傳感節點端智慧卡晶片裡的隨機數發生器實時產生一組128或210比特的隨機數，用該組隨機數作為認證或籤名密鑰CK，當CK作為認證密鑰時，用CK來加密另一組隨機數S產生認證口令，當CK作為籤名密鑰時，用CK對傳感節點端的傳感數據進行加密和數字籤名，認證或籤名密鑰在傳感節點端智慧卡晶片裡產生，在智慧卡晶片裡被使用後，並在智慧卡晶片裡被清除，認證或籤名密鑰的明文不出傳感節點端智慧卡晶片硬體，保證認證或籤名密鑰在傳感節點端的運行安全； 認證或籤名密鑰從傳感節點端傳輸到認證中心端之前，在傳感節點端智慧卡晶片裡，先用傳感節點端智慧卡晶片裡的傳輸密鑰將認證或籤名密鑰加密成密文後，再從傳感節點端智慧卡晶片裡輸出並傳到認證中心端，在認證中心端加密卡晶片裡，使用對應傳感節點端的傳輸密鑰將認證或籤名密鑰的密文解密成明文，保證了認證或籤名密鑰的交換傳輸安全； (2)第二種密鑰即傳輸密鑰，設傳輸密鑰為SKi(i = I n，n為對應認證中心的全體 傳感節點端的設備總和)，在密鑰初始化過程中，由認證中心端加密卡晶片裡的隨機數發生器，生成一組128或210比特的隨機數，將該組隨機數作為一組傳輸密鑰SKi (i = I n)，分別輸入到對應的各個傳感節點端智慧卡晶片裡，同時，在認證中心端加密卡的晶片裡，使用一組存儲密鑰，將全體對應傳感節點端的每組傳輸密鑰SKi (i = I n)分別加密生成密文即SKi 』(i = l n)後輸出加密卡晶片，並將傳輸密鑰SKi (i = I n)以密文即SK1』、SK2』 SKn』的形式，分別與對應傳輸密鑰SKi (i = I n)的傳感節點端智慧卡晶片的標識，一起存儲在認證中心端認證伺服器的傳輸密鑰資料庫中； 在傳感節點端智慧卡晶片裡，用傳輸密鑰SKi (i = I n)來加密認證或籤名密鑰CK，生成認證或籤名密鑰密文即CK』，並將CK』發送給認證中心端，每個傳感節點端對應的傳輸密鑰SKi (i = I n)都存儲在傳感節點端智慧卡晶片裡,並在傳感節點端智慧卡晶片裡被使用，傳輸密鑰的明文不出傳感節點端智慧卡晶片，保證了傳感節點端傳輸密鑰在傳感節點端的存儲和運行安全； 在認證中心端，全體傳感節點端對應的傳輸密鑰，是以密文形式存放在認證中心的傳輸密鑰資料庫中，保證全體傳感節點端對應的傳輸密鑰在認證中心端的存儲安全，當認證中心端對應傳感節點端的傳輸密鑰的密文SKi』(i = I n)被調用時，是在加密卡晶片裡被解密成明文，並在加密卡晶片裡被使用後清除，傳輸密鑰的明文不出加密卡晶片，保證全體傳感節點端對應的傳輸密鑰在認證中心端的運行安全； (3)第三種密鑰即存儲密鑰，設存儲密鑰為K，在密鑰初始化過程中，存儲密鑰事先由認證中心端加密卡晶片裡的隨機數發生器，產生一組128或210比特的隨機數，將該組隨機數作為一組存儲密鑰K，並存儲在加密卡晶片裡，存儲密鑰K是一組固定的單鑰，用存儲密鑰K分別將全體對應傳感節點端的傳輸密鑰SKi (i = I n)加密成密文即SK1』、SK2』、……、SKn』(i = I n)後，存儲在認證中心端的傳輸密鑰資料庫中； 當傳感節點端和認證中心端進行認證或籤名密鑰CK交換時，在認證中心端加密卡晶片裡，使用存儲密鑰K將認證中心端對應加密CK的傳輸密鑰的密文SKi，(i = I n)解密成明文，再用解密後的傳輸密鑰SKi (i = I n)，將收到傳感節點端發送來的認證或籤名密鑰的密文CK』解密成明文即CK，存儲密鑰K在加密卡的晶片裡產生，並存儲在加密卡晶片，存儲密鑰K的明文在使用時不出晶片硬體，保證存儲密鑰K的存儲和運行安全。
3.根據權利要求2的方法，其特徵在於(1)認證或籤名密鑰是由傳感節點端智慧卡晶片裡的隨機數發生器產生，具有隨機性，一次一變，且都屬於一組亂碼，用傳輸密鑰SKi (i = I n)將每次產生的認證或籤名密鑰即CK1、CK2、……、CKm(m自然數)，分別加密成密文即CK1，、CK2，、……、CKm』，(m自然數)，也具有隨機性，一次一變，也都屬於一組亂碼，無規律性，破譯者無法將CK1』、CK2』、……、CKm』 (m自然數)，作為破譯條件一「重複報」(使用相同的單鑰將多份不同的明文報文加密成密文報文)，來破譯認證或籤名密鑰即CK1、CK2、……、CKm(m自然數)，或破譯傳輸密鑰SK1、SK2、……、SKn (n為對應認證中心的全體傳感節點端用戶的總和)； (2)每組傳輸密鑰SKi(i = I n)是在密鑰初始化時，由隨機數發生器產生，都具有隨機性，且都屬於一組亂碼，用存儲密鑰K分別來加密每一組傳輸密鑰SKi (i = I n)生成的傳輸密鑰密文，即SK1』、SK2』、......、SKn』，也具有隨機性,一次一變,也都屬於一組亂碼，破譯者無法將SKI』、SK2』、……、SKn，作為破譯條件——「重複報」(使用相同的單鑰將多份不同的明文報文加密成密文報文)來破譯傳輸密鑰SK1、SK2、……、SKn，或者來破譯存儲密鑰K ； (3)採用安全單鑰管理(即三種密鑰管理)方法，保證存放在認證中心端全體對應傳感節點端傳輸密鑰的存儲安全，當用戶量較大時，不需要購置大量的加密卡設備來存儲大量的傳輸密鑰，能大大節約認證中心的建設成本。
4.根據權利要求I的方法，其特徵在於 (1)傳感節點端的設備認證協議，由傳感節點端的傳感設備產生另一組隨機數，設該組隨機數為S，將隨機數S輸入傳感節點端智慧卡晶片裡，智慧卡晶片裡的隨機數發生器， 產生一組128比特或210比特的隨機數，將該隨機數作為認證密鑰CK，用CK來加密隨機數S，得到隨機數S的密文即認證口令1，之後，在傳感節點端智慧卡晶片裡，用傳輸密鑰SKi (i = I n)將認證密鑰CK加密成密文即CK』，最後，將傳感節點端智慧卡晶片的標識、隨機數S、認證口令I和認證密鑰的密文CK』這4組認證數據，一併發送給認證中心端； (2)認證中心端的設備認證協議，當認證中心端收到傳感節點端發送來的認證數據後，認證中心端根據傳感節點端智慧卡晶片的標識，在傳輸密鑰資料庫中定位對應該標識的記錄，再將記錄中的傳輸密鑰的密文即SKi』 (i = I n)，輸入認證中心端的加密卡晶片中，並在加密卡晶片裡，使用存儲密鑰K將SKi』(i = I n)解密成明文即SKi(i = I n)，用SKi (i = I n)將接收到的認證密鑰的密文CK』解密成明文，S卩CK，用CK加密隨機數S生成認證口令2，通過對比認證口令I和認證口令2是否相同？來判別傳感節點端的設備是否可"[目。
5.根據權利要求4的方法，其特徵在於 在傳感節點端的設備認證協議和認證中心端的設備認證協議過程中，是在傳感節點端智慧卡晶片裡，進行如下操作產生認證密鑰，生成認證口令1，用傳輸密鑰加密認證密鑰，在認證中心端加密卡晶片裡，進行如下操作用存儲密鑰將對應傳感節點端的傳輸密鑰密文解密，再用解密後的傳輸密鑰對認證密鑰的密文進行解密，生成認證口令2，並進行認證口令I和認證口令2的對比認證，因此，傳感節點端的設備認證協議和認證中心端的設備認證協議，是「晶片級」的設備認證協議，安全性高。
6.根據權利要求I的方法，其特徵在於 (I)傳感節點端的傳感數據加密和數字籤名協議，在傳感節點端，將傳感節點設備採集的傳感數據輸入傳感節點端智慧卡晶片中，在傳感節點端智慧卡晶片裡，使用摘要算法對傳感數據進行「摘要」得到傳感數據的「摘要」信息LI，由傳感節點端智慧卡晶片裡的隨機數發生器，產生一組128比特或210比特的隨機數，將該隨機數作為籤名密鑰CK，來加密傳感數據和「摘要」信息LI，得到傳感數據的密文和LI的密文即數字籤名，之後，用傳感節點端智慧卡晶片裡的傳輸密鑰，將籤名密鑰CK加密成密文即CK』，最後，將傳感節點端智慧卡晶片的標識、傳感數據的密文、傳感數據的數字籤名和籤名密鑰的密文CK』這4組數字籤名數據，一併發送給認證中心端； (2)認證中心端的傳感數據解密和籤名驗證協議，當認證中心端收到傳感節點端發送來的數字籤名數據後，首先，根據傳感節點端智慧卡晶片的標識，在傳輸密鑰資料庫中定位對應該標識的記錄，再將記錄中的傳輸密鑰的密文即SKi』(i = I n)輸入認證中心端的加密卡晶片中，並在加密卡晶片裡，使用存儲密鑰K將SKi』(i = I n)解密成明文即SKi (i = I n)，用SKi (i = I n)將接收到的籤名密鑰的密文CK』解密成明文，S卩CK，用CK解密傳感數據的密文和傳感數據的數字籤名，得到傳感數據的明文和傳感數據的「摘要」信息LI，再用摘要算法對傳感數據進行「摘要」，得到傳感數據的「摘要」信息L2，通過對比LI和L2是否相同？來確認傳感節點端對傳感數據的籤名是否可信、完整。
7.根據權利要求6的方法,其特徵在於 在傳感節點端的傳感數據加密和數字籤名協議和認證中心端的傳感數據解密和籤名驗證協議過程中，是在傳感節點端智慧卡晶片裡，進行如下操作產生籤名密鑰，用摘要算法對傳感數據進行「摘要」，得到文件的「摘要」信息LI，用籤名密鑰將傳感數據和「摘要」信息LI加密生成密文，其中對「摘要」信息LI的加密為數字籤名，再用傳輸密鑰加密籤名密鑰生成籤名密鑰的密文，在認證中心端加密卡晶片裡，進行如下操作用存儲密鑰解密對應傳感節點端的傳輸密鑰密文，再用解密後的傳輸密鑰對籤名密鑰的密文進行解密，用解密後的籤名密鑰解密傳感數據和數字籤名，得到傳感數據的明文和「摘要」信息LI，用摘要算法對傳感數據進行「摘要」，得到「摘要」信息L2，進行LI和L2的對比，因此，傳感節點端的加密和數字籤名協議是「晶片級」的加密和數字籤名協議，認證中心端的解密和籤名驗證協議也是「晶片級」的解密和籤名驗證協議，安全性高。
8.根據權利要求I的方法，其特徵在於 (1)傳感節點端傳感設備產生一組隨機數S，將隨機數S輸入傳感節點端智慧卡晶片裡，在智慧卡晶片裡，傳感節點端的設備認證協議將接收到的隨機數S加密成密文，並將產生的認證數據，發送給傳感節點端的傳感設備，傳感節點端的傳感設備通過物聯網發送給物聯網數據中心，物聯網數據中心再轉發給認證中心，認證中心端的設備認證協議，在加密卡晶片裡，完成對傳感節點端的設備認證後，並將設備認證「結果」即傳感節點端的設備是否可信、對應的傳感節點端智慧卡晶片標識和當前的時間戳，一併反饋給物聯網數據中心； (2)傳感節點端傳感設備採集的傳感數據，首先，傳輸給傳感節點端智慧卡晶片裡，在智慧卡晶片裡，傳感節點端傳感數據加密和數字籤名協議，將接收到的傳感數據進行加密和數字籤名，並將產生的數字籤名數據，發送給傳感節點端的傳感設備，傳感節點端的傳感設備通過物聯網發送給物聯網數據中心，物聯網數據中心再轉發給認證中心，認證中心端的傳感數據解密和籤名驗證協議，在加密卡晶片裡完成對傳感數據密文的解密和對傳感數據的籤名驗證後，並將傳感數據的明文、籤名驗證的「結果」、對應的傳感節點端智慧卡晶片標識和當前的時間戳，一併反饋給物聯網數據中心。
9.根據權利要求8的方法，其特徵在於 傳感節點端傳感設備負責將智慧卡產生的認證數據或籤名數據，通過物聯網數據中心傳送給認證中心，認證中心根據認證中心端的物聯網安全協議，將設備認證或數據完整性驗證和解密的結果，反饋給物聯網數據中心，從而，實現傳感節點端的物聯網安全協議和認證中心端的物聯網安全協議，直接依附物聯網的通信協議完成數據的傳輸，不需要在傳感節點端智慧卡和認證中心端加密卡之間，再建立單獨的通信協議，這不僅，能降低在傳感節點和認證中心兩端加密系統硬體設備裡，重新建立通信協議的成本，而且，降低物聯網密碼認證系統的複雜度。
10.根據權利要求I的方法，其特徵在於 在晶片裡，由於單鑰密碼算法加、解密速度比雙鑰密碼算法快1000倍，採用安全單鑰管理方法，解決了單鑰密碼算法在設備認證、或數字籤名系統中密鑰更新管理的難題，降低了單鑰更新維護的成本，同時，發揮了單鑰密碼算法加、解密速度快的優勢，有效提高物聯網安全協議的運行速度，因此，基於單鑰密碼算法建立的傳感節點端的設備認證協議、認證中心端的設備認證協議、傳感節點端的傳感數據加密和數字籤名協議，以及認證中心端的傳感數據解密和籤名驗證協議，速度快、效率高。
全文摘要
一種採用安全單鑰管理技術的物聯網密碼認證方法，是採用認證或籤名密鑰來建立物聯網安全協議，用傳輸密鑰加密認證或籤名密鑰，保證認證或籤名密鑰交換傳輸過程的安全，用存儲密鑰分別加密全體對應傳感節點端的傳輸密鑰，保證傳輸密鑰在認證中心端的存儲安全，當傳感節點設備的數量較大時，不需要購置較多的加密卡設備來存儲大量的傳輸密鑰，能大大節約認證中心的建設成本，採用安全單鑰管理方法，解決了單鑰密碼算法在物聯網安全協議中密鑰更新管理的難題，降低了單鑰更新維護的成本，同時，發揮了單鑰密碼算法加解密速度快的優勢，有效提高物聯網安全協議的運行速度，從而，建立一種採用安全單鑰管理技術的物聯網密碼認證系統。
文檔編號H04L9/32GK102833260SQ20121032340
公開日2012年12月19日 申請日期2012年9月5日 優先權日2012年9月5日
發明者胡祥義 申請人:胡祥義