物联网终端加密方法和物联网终端加密装置

摘要

本发明提供一种物联网终端加密方法，包括：构建密钥组织结构树，所述密钥组织结构树包括对应于物联网终端的根节点密钥对、对应于物联网终端的核心密钥对、和利用所述根节点密钥对对所述核心密钥对的公钥进行签名获得的所述核心密钥对的签名，其中，所述核心密钥对至少包括终端签名密钥对和链路通信密钥对；将所述密钥组织结构树写入所述物联网终端和所述物联网后台服务器中；利用所述密钥组织结构树生成所述物联网终端的鉴权信息；将所述鉴权信息写入所述物联网终端和所述物联网后台鉴权系统中。本发明还提供一种物联网终端加密装置。利用所述物联网终端加密方法对物联网终端进行加密可以提高物联网的安全性。

说明书

技术领域

本发明涉及物联网领域，具体地，涉及一种物联网终端加密方法和一种物联网终 端加密装置。

背景技术

在物联网系统中，由于硬件安全的限制，任意物理设备都可能被盗用。物联网终端 散布范围广，是整个网络安全中的薄弱节点。物联网安全模型不仅能保证信息安全，如保护 用户隐私、减少身份盗用，同时也会提高通信可靠性。

目前常用的物联网终端加密技术包括对称加密和非对称加密。在对称加密方法 中，加密和解密使用相同的密钥；在非对称加密方法中，加密和解密使用不同的密钥，并且 加解密的密钥成对出现。

但是，现有技术中，使用单一密钥进行通信，当攻击者对链路进行监听探测，可拦 截到链路中的密钥信息，从而进一步伪造身份或利用链路发送攻击数据。

也就是说，现有技术中的加密方法的安全性较低，因此，如何提供一种更加安全的 加密方法成为本领域亟待解决的技术问题。

发明内容

本发明的目的在于提供一种物联网终端加密方法和一种物联网终端加密装置，利 用所述物联网终端加密方法对物联网的物联网终端进行加密具有较高的安全性。

为了实现上述目的，作为本发明的一个方面，提供一种物联网终端加密方法，其 中，所述物联网终端加密方法包括：

构建密钥组织结构树，所述密钥组织结构树包括对应于物联网终端的根节点密钥 对、对应于物联网终端的核心密钥对、和利用所述根节点密钥对对所述核心密钥对的公钥 进行签名获得的所述核心密钥对的签名，其中，所述核心密钥对至少包括终端签名密钥对 和链路通信密钥对；

将所述密钥组织结构树写入所述物联网终端和所述物联网后台服务器中；

利用所述密钥组织结构树生成所述物联网终端的鉴权信息；

将所述鉴权信息写入所述物联网终端和所述物联网后台鉴权系统中。

优选地，构建密钥组织结构树的方法包括：

生成所述根节点密钥对；

生成所述核心密钥对；

利用所述根节点密钥对的根节点私钥对所述核心密钥对的公钥进行签名，以生成 该核心密钥对的签名。

优选地，利用所述密钥组织结构树生成所述物联网终端的鉴权信息的步骤包括：

生成与所述物联网终端唯一对应的内部标识符；

生成非对称密钥对；

利用所述终端签名密钥对的私钥对所述非对称密钥对的公钥进行签名，以获得物 联网终端签名，其中，

所述物联网终端的鉴权信息包括所述物联网终端签名、所述非对称密钥对的公钥 和所述内部标识符。

优选地，所述物联网终端加密方法还包括在构建密钥组织结构树的步骤之前进行 的：

按照业务类型对所述物联网终端进行分类；其中，

在构建密钥组织结构树的步骤中，每种类型的物联网终端对应一个根节点密钥 对。

优选地，所述核心密钥对还包括指令密钥对、消息密钥对和主撤销密钥对中的至 少一者。

作为本发明的另一个方面，提供一种物联网终端加密装置，其中，所述物联网终端 加密装置包括：

组织结构树构建模块，所述组织结构树构建模块用于构建密钥组织结构树，所述 密钥组织结构树包括对应于物联网终端的根节点密钥对、对应于物联网终端的核心密钥 对、和利用所述跟节点密钥对对所述核心密钥对的公钥进行签名获得的所述核心密钥对的 签名，其中，所述核心密钥对至少包括终端签名密钥对和链路通信密钥对；

鉴权信息生成模块，所述鉴权信息生成模块用于根据所述组织结构树生成所述物 联网终端的鉴权信息；

写入模块，所述写入模块用于将所述密钥组织结构树写入所述物联网终端和所述 物联网后台服务器中，并且，所述写入模块用于将所述鉴权信息写入所述物联网终端和所 述物联网后台鉴权系统中。

优选地，所述组织结构构建模块包括：

根节点密钥对生成单元，所述根节点密钥生成单元用于生成所述根节点密钥对；

核心密钥对生成单元，所述核心密钥对生成单元用于生成所述核心密钥对；

第一签名单元，所述第一签名单元的输入端与所述根节点密钥对生成单元的输出 端和所述核心密钥对生成单元的输出端分别相连，以获取所述根节点密钥对的根节点私钥 对所述核心密钥对，并利用所述根节点密钥对的根节点私钥对所述核心密钥对的公钥进行 签名，以生成该核心密钥对的签名。

优选地，所述鉴权信息生成模块包括：

标识符生成单元，所述标识符生成单元用于生成与所述物联网终端唯一对应的内 部标识符；

非对称密钥对生成单元，所述非对称密钥对生成单元用于生成非对称密钥对；

第二签名单元，所述第二签名单元的输入端分别与所述非对称密钥生成单元的输 出端和所述组织结构树构件模块的输出端分别相连，以获取所述终端签名密钥对的私钥和 所述非对称密钥对的公钥，并利用所述终端签名密钥对的私钥对所述非对称密钥对的公钥 进行签名，以获得物联网终端签名；其中，

所述物联网终端的鉴权信息包括所述物联网终端签名、所述非对称密钥对的公钥 和所述内部标识符。

优选地，所述物联网终端加密装置还包括终端分类模块，所述终端分类模块的输 入端与物联网中所有物联网终端的输出端分别相连，以获取所有物联网终端的业务类型和 终端信息，所述终端分类模块能够按照业务类型对物联网终端进行分类，所述终端分类模 块的输出端与所述组织结构树构建模块的输入端相连，以分别将各个业务类型的物联网终 端的终端信息发给所述组织结构树构建模块；其中，

所述组织结构树构建模块能够为每种类型的物联网终端都生成一个对应的根节 点密钥对。

优选地，所述核心密钥对还包括指令密钥对、消息密钥对和主撤销密钥对中的至 少一者。

在本发明所提供的物联网终端加密方法中，密钥组织结构树至少包括终端签名密 钥对和链路通信密钥对，终端签名密钥对是对终端唯一序列号进行签名获得的，代表了物 联网终端的身份信息，链路通信密钥对能够在需要建立连接的通信时，对通信连接进行加 密。在所述物联网终端与物联网后台服务器进行通信时，至少包括两级加密，即，当物联网 终端相物联网后台服务器发起通信时，物联网后台的鉴权系统首先根据物联网终端提供的 终端签名密钥对验证物联网终端的身份信息，此为第一级加密；当验证通过后，链路通信密 钥对可以对通信进行加密，防止通信信息被截获，此为第二级加密。因此，利用本发明所提 供的方法对物联网终端进行加密可以使得所述物联网具有较高的安全性。

附图说明

附图是用来提供对本发明的进一步理解，并且构成说明书的一部分，与下面的具 体实施方式一起用于解释本发明，但并不构成对本发明的限制。在附图中：

图1是本发明所提供的物联网终端加密方法的流程图；

图2是本发明所提供的物联网终端加密装置的模块示意图；

图3是经过本发明所提供的物联网终端加密方法加密后的物联网终端的注册流程 示意图。

附图标记说明

100：物联网终端加密装置110：组织结构树构建模块

111：根节点密钥对生成单元112：核心密钥对生成单元

113：第一签名单元120：鉴权信息生成模块

121：标识符生成单元122：非对称密钥对生成单元

123：第二签名单元130：写入模块

140：终端分类模块200：物联网终端

300：物联网后台服务器400：物联网后台鉴权系统

具体实施方式

以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是，此处所描 述的具体实施方式仅用于说明和解释本发明，并不用于限制本发明。

作为本发明的一个方面，提供一种物联网终端加密方法，其中，所述物联网终端加 密方法包括：

S1、构建密钥组织结构树，所述密钥组织结构树包括对应于物联网终端的根节点 密钥对key_root(pk,sk)、对应于物联网终端的核心密钥对、和利用所述根节点密钥对对所述 核心密钥对的公钥进行签名获得的所述核心密钥对的签名，其中，所述核心密钥对至少包 括终端签名密钥对key_id(pk,sk)和链路通信密钥对key_link(pk,sk)；

S2、将所述密钥组织结构树写入所述物联网终端和所述物联网后台服务器中；

S3、利用所述密钥组织结构树生成所述物联网终端的鉴权信息；

S4、将所述鉴权信息写入所述物联网终端和所述物联网后台服务器的鉴权系统 中。

在本发明中，利用根节点密钥对key_root(pk,sk)对所述核心密钥对的公钥进行签 名获得的所述核心密钥对的签名包括多个。例如，至少包括根节点密钥对key_root(pk,sk)对 终端签名密钥对key_id(pk,sk)进行签名获得的签名和根节点密钥对对链路通信密钥对 key_link(pk,sk)进行签名获得的签名。

密钥组织结构树至少包括终端签名密钥对和链路通信密钥对，终端签名密钥对 key_id(pk,sk)是对终端唯一序列号进行签名获得的，代表了物联网终端的身份信息，链路通 信密钥key_link(pk,sk)对能够在需要建立连接的通信时，对通信连接进行加密。在所述物联 网终端与物联网后台服务器进行通信时，至少包括两级加密，即，当物联网终端相物联网后 台服务器发起通信时，物联网后台的鉴权系统首先根据物联网终端提供的终端签名密钥对 验证物联网终端的身份信息，此为第一级加密；当验证通过后，链路通信密钥对可以对通信 进行加密，防止通信信息被截获，此为第二级加密。因此，利用本发明所提供的方法对物联 网终端进行加密可以使得所述物联网具有较高的安全性。

并且，在步骤S3中生成的鉴权信息由密钥组织结构树生成，不容易被破译。

在步骤S2中，所述密钥组织结构树被写入所述物联网终端的可信模块和所述物联 网后台服务器的可信模块中。

在步骤S4中，所述鉴权信息被写入所述物联网终端的可信模块和所述物联网后台 服务器的可信模块中。

当物联网终端注册到物联网中之后，当需要与物联网的后台系统通信时，首先向 物联网后台发出通讯请求，具体通讯过程如图2所示：

Stp1、物联网终端申请连接到物联网后台服务器；

Stp2、物联网后台服务器向物联网终端发送一个唯一的请求验证消息；

Stp3、所述物联网终端在接收到所述验证消息后生成验证回复消息，回复给所述 物联网后台鉴权系统；

Stp4、所述物联网后台服务器的鉴权系统验证回复消息的合法性，当验证回复消 息合法时，向所述物联网终端发送验证通过信息。

终端序列号id、物联网终端的签名和非对称密钥的公钥key(pk)组合为步骤Stp3 中生成的所述验证回复消息(id,signature,key(pk))。

在步骤Stp4中，服务器后台提取验证回复消息(id,signature,key(pk))中的物联 网终端序列号和签名，并且将其与存储在服务器后台鉴权系统中的鉴权信息进行对比，如 果二者一致，则向物联网终端发送验证通过信息，该验证通过信息为非对称密钥对中的私 钥key(sk)；如果二者不一致，则向物联网终端发送错误信息。

物联网终端验证通过后即可向物联网后台的服务器发送信息。

作为本发明的一种优选实施方式，构建密钥组织结构树的步骤(即，步骤S1)可以 包括：

S11、生成所述根节点密钥对key_root(pk,sk)；

S12、生成所述核心密钥对；

S13、利用所述根节点密钥对key_root(pk,sk)的根节点私钥key_root(sk)对所述核心 密钥对的公钥进行签名，以生成该核心密钥对的签名。

在步骤S13中，利用所述根节点密钥对key_root(pk,sk)的根节点私钥key_root(sk)对 每一个核心密钥对的公钥进行签名。

例如，利用所述根节点密钥对key_root(pk,sk)的根节点私钥key_root(sk)对终端签名 密钥对的公钥key_id(pk)签名的过程为{key_root(sk),key_id(pk)}→signature_id。其中， signature_id即为利用根节点密钥对的根节点私钥对终端签名密钥对签名获得的签名信息。

利用所述根节点密钥对key_root(pk,sk)的根节点私钥key_root(sk)对其他核心密钥 对的公钥签名的过程与上述对终端签名密钥对的公钥key_id(pk)签名的过程类似，这里不再 赘述。

优选地，利用所述密钥组织结构树生成所述物联网终端的鉴权信息的步骤(即，步 骤S3)包括：

S31、生成与所述物联网终端唯一对应的内部标识符；

S32、生成非对称密钥对；

S33、利用所述终端签名密钥对的私钥对所述非对称密钥对的公钥进行签名，以获 得物联网终端签名，其中，

所述物联网终端的鉴权信息包括所述物联网终端签名、所述非对称密钥对的公钥 和所述内部标识符。

由此可知，所述鉴权信息包括的信息较多，不容易被破译，从而提高了物联网通信 的安全性。

物联网中通常包括多种类型的物联网终端，为了便于管理，优选地，所述物联网终 端加密方法还包括在构建密钥组织结构树的步骤之前进行的：

按照业务类型对所述物联网终端进行分类；其中，

在构建密钥组织结构树的步骤(即，步骤S1)中，每种类型的物联网终端对应一个 根节点密钥对。

在本发明所提供的方法中，步骤S1中构建的密钥组织结构树的数量与物联网中物 联网终端的种类数相等。

同种类型的物联网终端也可以包括多个物联网终端，每种类型的物联网终端共用 同一个根节点密钥对。

为了提高物联网终端加密方法的安全性，优选地，所述核心密钥对还包括指令密 钥对key_instruction(pk,sk)、消息密钥对key_message(pk,sk)和主撤销密钥对key_revocation(pk, sk)中的至少一者。

核心密钥对包括的密钥的个数越多，那么加密的级数越多，从而使得本发明所提 供的加密方法具有越高的安全性。

指令密钥对key_instruction(pk,sk)用于对通信指令(例如，查询指令、修改指令等)进 行加密，可以防止攻击者监听硬件或总线时探测到执行信息，进而防止攻击者伪装层终端 发送假指令；消息密钥对key_message(pk,sk)用于对通信数据进行加密，防止通信数据泄露； 在终端发现自身某些数据泄露或者被盗用时，使用主撤销密钥对key_revocation(pk,sk)作废 已经泄露或者被盗用的密钥对及其相关签名信息。

作为本发明的另一个方面，提供一种物联网终端加密装置100，该物联网终端加密 装置100用于执行本发明所提供的上述物联网终端加密方法，其中，如图3所示，所述物联网 终端加密装置包括：

组织结构树构建模块110，该组织结构树构建模块用于构建密钥组织结构树，该密 钥组织结构树包括对应于物联网终端的根节点密钥对、对应于物联网终端的核心密钥对、 和利用所述跟节点密钥对对所述核心密钥对的公钥进行签名获得的所述核心密钥对的签 名，其中，所述核心密钥对至少包括终端签名密钥对和链路通信密钥对；

鉴权信息生成模块120，该鉴权信息生成模块120用于根据所述组织结构树生成所 述物联网终端的鉴权信息；

写入模块130，该写入模块130用于将所述密钥组织结构树写入物联网终端200和 物联网后台服务器300中，并且，写入模块130还用于将所述鉴权信息写入物联网后台鉴权 系统400中。

在本发明所提供的物联网终端加密装置中，组织结构树构建模块110用于执行步 骤S1，鉴权信息生成模块120用于执行步骤S3，写入模块130用于执行步骤S2和步骤S4。

作为本发明的一种优选实施方式，组织结构构建模块110包括：

根节点密钥对生成单元111(用于执行步骤S11)，该根节点密钥生成单元111用于 生成所述根节点密钥对；

核心密钥对生成单元112(用于执行步骤S12)，该核心密钥对生成单元112用于生 成所述核心密钥对；

第一签名单元113(用于执行步骤S13)，该第一签名单元113的输入端与根节点密 钥对生成单元110的输出端和核心密钥对生成单元112的输出端分别相连，以获取所述根节 点密钥对的根节点私钥和所述核心密钥对的公钥，并利用所述根节点密钥对的根节点私钥 对所述核心密钥对的公钥进行签名，以生成该核心密钥对的签名。

优选地，鉴权信息生成模块120包括：

标识符生成单元121(用于执行步骤S31)，该标识符生成单元121用于生成与所述 物联网终端唯一对应的内部标识符；

非对称密钥对生成单元122(用于执行步骤S32)，该非对称密钥对生成单元122用 于生成非对称密钥对；

第二签名单元123(用于执行步骤S33)，该第二签名单元123的输入端分别与非对 称密钥生成单元122的输出端和组织结构树构件模块110的输出端分别相连，以获取所述终 端签名密钥对的私钥和所述非对称密钥对的公钥，并利用所述终端签名密钥对的私钥对所 述非对称密钥对的公钥进行签名，以获得物联网终端签名；其中，

所述物联网终端200的鉴权信息包括所述物联网终端签名、所述非对称密钥对的 公钥和所述内部标识符。

优选地，物联网终端加密装置100还包括终端分类模块140，该终端分类模块140的 输入端与物联网中所有物联网终端200的输出端分别相连，以获得所述物联网终端的业务 类型和终端信息，终端分裂模块140能够按照业务类型对物联网终端200进行分类，终端分 类模块140的输出端与组织结构树构建模块110的输入端相连，以分别将各个业务类型的物 联网终端的终端信息发给所述组织结构树构建模块；其中，

组织结构树构建模块110能够为每种类型的物联网终端200都生成一个对应的根 节点密钥对。

优选地，所述核心密钥对还包括指令密钥对、消息密钥对和主撤销密钥对中的至 少一者。

可以理解的是，以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施 方式，然而本发明并不局限于此。对于本领域内的普通技术人员而言，在不脱离本发明的精 神和实质的情况下，可以做出各种变型和改进，这些变型和改进也视为本发明的保护范围。