一种适于物联网通信环境的密钥在线协商方法及系统

摘要

一种适于物联网通信环境的密钥在线协商方法及系统，服务端通过注册端口对客户端发生的连接请求进行监听，客户端预置有服务端的数字证书；身份明确的服务端接收客户端发送的信息结构体，信息结构体包含客户端的身份信息和通道连接协商信息；当服务端接收到信息结构体后，服务端使用预置的客户端数字证书或者注册客户端ID进行客户端的身份确认；服务端将确认通道连接协商信息反馈给客户端，当服务端反馈的通道连接协商信息被客户端接收后，确立客户端与服务端之间的安全通信通道。本发明取消扩展信息传递；直接指定算法，不再进行算法协商；不再进行证书内容的传递，减少TLS协议握手阶段通信次数，提高了物联网通信中加密密钥的协商效率。

说明书

技术领域

本发明涉及物联网通信技术领域，具体涉及一种适于物联网通信环境的密钥在线协商方法及系统。

背景技术

目前，全球各国都在加大投入以推动发展物联网产业，随着物联网设备和基础设施的成本降低，物联网产业规模急速普及和增长，应用领域也广泛拓展，尤其在电力、交通、安防等相关领域的应用成效显著，并推动了整个信息产业数字化的发展。物联网产业大都应用在企业甚至国家的基础设施中，随着物联网设备的普及，也意味着其安全性需要更加重视。物联网和互联网通信比较重要的区别是物联网设备之间通信数据小、但是要求响应速度。传输层安全(Transport Layer Security，TLS)标准为网络通信提供安全及数据完整性的一种安全协议，TLS在传输层对网络连接进行加密。

传统技术中，互联网通信均采用TLS协议来解决密钥协商和数据加密，由于互联网是开放环境，通信双方都是未知身份，这为协议的设计带来了很大的难度。而且，协议还必须能够经受所有匪夷所思的攻击，这使得SSL/TLS协议变得异常复杂，需要通信双方多次通信且数据包含内容较多，同时物联网设备大多情况下性能无法与普通PC或者智能终端性能相比，且物联网的控制信号等传输信息均要求快速响应，所以标准TLS协议无法很好的适应特定环境下的物联网应用，完全采用TLS协议来完成密钥协商和数据加密，显得比较笨重。因此亟需一种适于物联网通信环境的密钥在线协商方法及系统。

发明内容

为此，本发明提供一种适于物联网通信环境的密钥在线协商方法及系统，以解决物联网通信中加密密钥的协商效率低，应对客户端计算处理能力弱、通信时延长等问题。

为了实现上述目的，本发明提供如下技术方案：一种适于物联网通信环境的密钥在线协商方法，包括以下步骤：

步骤一、服务端通过注册端口对客户端发生的连接请求进行监听，所述客户端预置有所述服务端的数字证书；

步骤二、身份明确的服务端接收客户端发送的信息结构体，所述信息结构体包含所述客户端的身份信息和通道连接协商信息；

步骤三、当服务端接收到所述信息结构体后，服务端使用预置的客户端数字证书或者注册客户端ID进行客户端的身份确认；

步骤四、服务端将确认通道连接协商信息反馈给客户端，当服务端反馈的通道连接协商信息被客户端接收后，确立所述客户端与所述服务端之间的安全通信通道。

作为适于物联网通信环境的密钥在线协商方法的优选方案，所述服务端与客户端之间的身份认证采用的模式为：客户端使用预置的服务端数字证书对服务端进行身份认证，服务端数字证书统一；服务端使用预置的客户端数字证书对客户端进行身份认证。

作为适于物联网通信环境的密钥在线协商方法的优选方案，所述服务端与客户端之间的身份认证采用的模式为：客户端使用预置的服务端的数字证书对服务端进行身份认证，服务端数字证书统一；

服务端使用客户端注册的身份信息ID认证客户端，服务端预置客户端数字证书；注册客户端身份信息ID在预先注册服务端时得到且与服务端预置的客户端数字证书存在一对一的对应关系。

作为适于物联网通信环境的密钥在线协商方法的优选方案，所述服务端与客户端之间的身份认证采用的模式为：客户端预置服务端数字证书对服务端进行身份认证，服务端数字证书统一；

服务端使用客户端注册的身份信息ID认证客户端，客户端身份信息ID在预先注册服务端时得到。

作为适于物联网通信环境的密钥在线协商方法的优选方案，所述服务端和客户端预定义有一致的对称密钥算法；

使用对端公钥进行通信数据加密和验签，使用本端私钥进行通信数据解密和签名。

作为适于物联网通信环境的密钥在线协商方法的优选方案，所述对称密钥的生成来源包括：

a)使用服务端和客户端的随机数进行异或的结果作为对称密钥；

b)使用客户端的随机数生成对称密钥。

作为适于物联网通信环境的密钥在线协商方法的优选方案，所述对称密钥的传递方式包括：

c)以加密对称密钥方式传递；

d)以加密随机数方式传递后，再合成对称密钥。

作为适于物联网通信环境的密钥在线协商方法的优选方案，当客户端与服务端加密通信完毕后，客户端退出，双方销毁本次通信的密钥信息。

本发明还提供一种适于物联网通信环境的密钥在线协商方法，包括以下步骤：

步骤一、客户端向服务端发送连接请求，所述连接请求由服务端的注册端口进行监听，所述客户端预置有所述服务端的数字证书；

步骤二、客户端发送信息结构体给身份明确的服务端，所述信息结构体包含所述客户端的身份信息和通道连接协商信息；

步骤三、当客户端发送的所述信息结构体被服务端接收后，服务端使用预置的客户端数字证书或者注册客户端ID进行客户端的身份确认；

步骤四、客户端接收服务端发送的确认通道连接协商信息后，确立所述客户端与所述服务端之间的安全通信通道。

本发明又提供一种适于物联网通信环境的密钥在线协商系统，包括：

连接请求监听模块，用于服务端通过注册端口对客户端发生的连接请求进行监听，所述客户端预置有所述服务端的数字证书；

信息结构体传递模块，用于身份明确的服务端接收客户端发送的信息结构体，所述信息结构体包含所述客户端的身份信息和通道连接协商信息；

身份确认模块，用于当服务端接收到所述信息结构体后，服务端使用预置的客户端数字证书或者注册客户端ID进行客户端的身份确认；

安全通信通道建立模块，用于服务端将确认通道连接协商信息反馈给客户端，当服务端反馈的通道连接协商信息被客户端接收后，确立所述客户端与所述服务端之间的安全通信通道。

本发明具有如下优点：服务端通过注册端口对客户端发生的连接请求进行监听，客户端预置有服务端的数字证书；身份明确的服务端接收客户端发送的信息结构体，信息结构体包含客户端的身份信息和通道连接协商信息；当服务端接收到信息结构体后，服务端使用预置的客户端数字证书或者注册客户端ID进行客户端的身份确认；服务端将确认通道连接协商信息反馈给客户端，当服务端反馈的通道连接协商信息被客户端接收后，确立客户端与服务端之间的安全通信通道。本发明取消扩展信息传递；直接指定算法，不再进行算法协商；不再进行证书内容的传递，减少TLS协议握手阶段通信次数，将四次通信变为两次通信，提高了物联网通信中加密密钥的协商效率，应对客户端计算处理能力强，通信速度快。

附图说明

为了更清楚地说明本发明的实施方式或现有技术中的技术方案，下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地，下面描述中的附图仅仅是示例性的，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图引伸获得其它的实施附图。

本说明书所绘示的结构、比例、大小等，均仅用以配合说明书所揭示的内容，以供熟悉此技术的人士了解与阅读，并非用以限定本发明可实施的限定条件，故不具技术上的实质意义，任何结构的修饰、比例关系的改变或大小的调整，在不影响本发明所能产生的功效及所能达成的目的下，均应仍落在本发明所揭示的技术内容能涵盖的范围内。

图1为本发明实施例1提供的适于物联网通信环境的密钥在线协商方法流程示意图；

图2为本发明实施例1提供的适于物联网通信环境的密钥在线协商方法握手阶段中双向证书认证传递单随机数和对称密钥通信过程；

图3为本发明实施例1提供的适于物联网通信环境的密钥在线协商方法握手阶段中双向证书认证传递双随机数通信过程；

图4为本发明实施例1提供的适于物联网通信环境的密钥在线协商方法双向证书认证传递单随机数通信过程；

图5为本发明实施例1提供的适于物联网通信环境的密钥在线协商方法单向服务端证书认证传递单随机数通信过程；

图6为本发明实施例1提供的适于物联网通信环境的密钥在线协商方法单向服务端证书认证传递双随机数通信过程；

图7为本发明实施例2提供的适于物联网通信环境的密钥在线协商系统示意图。

具体实施方式

以下由特定的具体实施例说明本发明的实施方式，熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例1

参见图1，提供一种适于物联网通信环境的密钥在线协商方法，从服务端的一侧出发，包括以下步骤：

S11、服务端通过注册端口对客户端发生的连接请求进行监听，所述客户端预置有所述服务端的数字证书；

S12、身份明确的服务端接收客户端发送的信息结构体，所述信息结构体包含所述客户端的身份信息和通道连接协商信息；

S13、当服务端接收到所述信息结构体后，服务端使用预置的客户端数字证书或者注册客户端ID进行客户端的身份确认；

S14、服务端将确认通道连接协商信息反馈给客户端，当服务端反馈的通道连接协商信息被客户端接收后，确立所述客户端与所述服务端之间的安全通信通道。

当从客户端的一侧出发，适于物联网通信环境的密钥在线协商方法包括以下步骤：

S21、客户端向服务端发送连接请求，所述连接请求由服务端的注册端口进行监听，所述客户端预置有所述服务端的数字证书；

S22、客户端发送信息结构体给身份明确的服务端，所述信息结构体包含所述客户端的身份信息和通道连接协商信息；

S23、当客户端发送的所述信息结构体被服务端接收后，服务端使用预置的客户端数字证书或者注册客户端ID进行客户端的身份确认；

S24、客户端接收服务端发送的确认通道连接协商信息后，确立所述客户端与所述服务端之间的安全通信通道。

参见图2，适于物联网通信环境的密钥在线协商方法的一个实施例中，服务端和客户端之间采用双向数字证书的认证模式，认证过程中传递单随机数和传递对称密钥。

具体的，客户端预置服务端的数字证书，并预定义密钥算法，服务端预置客户端的数字证书(或多个客户端的数字证书组)，并预定义同样的密钥算法。客户端产生随机数R1，客户端采用服务端公钥加密随机数R1得到密文C1，对密文C1签名得到S1，客户端向服务端发送连接请求包，连接请求包包含密文C1、密文C1签名得到的S1及客户端的ID。服务端接收客户端的连接请求包，根据客户端ID选择对应客户端的数字证书，验证签名S1，通过则执行下一步，否则断开TCP，流程结束。服务端对密文C1解密得到随机数R1，同时服务端产生随机数R2，随机数R2和随机数R1异或处理产生对称密钥K，用客户端的公钥加密对称密钥K得到密文C2，对密文C2签名得到S2。服务端向客户端发送连接确认包，连接确认包包含密文C2和密文C2签名得到的S2。客户端接收服务端发送的连接确认包，对S2进行验证，通过则执行下一步，否则断开TCP，流程结束，验证通过后对密文C2解密得到对称密钥K，至此完成客户端和服务端的握手。

参见图3，适于物联网通信环境的密钥在线协商方法的一个实施例中，服务端和客户端之间采用双向数字证书的认证模式，认证过程中传递双随机数。

具体的，客户端预置服务端的数字证书，并预定义密钥算法，服务端预置客户端的数字证书(或多个客户端的数字证书组)，并预定义同样的密钥算法。客户端产生随机数R1，客户端采用服务端公钥加密随机数R1得到密文C1，对密文C1签名得到S1，客户端向服务端发送连接请求包，连接请求包包含会话ID、密文C1、密文C1签名得到的S1及客户端的ID。服务端接收客户端的连接请求包，根据客户端ID选择对应客户端的数字证书，验证签名S1，通过则执行下一步，否则断开TCP，流程结束。服务端对密文C1解密得到随机数R1，同时服务端产生随机数R2，随机数R2和随机数R1组合产生对称密钥K，用客户端的公钥加密随机数R2得到密文C2，对密文C2签名得到S2。服务端向客户端发送连接确认包，连接确认包包含密文C2和密文C2签名得到的S2。客户端接收服务端发送的连接确认包，对S2进行验证，通过则执行下一步，否则断开TCP，流程结束，验证通过后对密文C2解密得到随机数R2，随机数R2和随机数R1组合产生对称密钥K，至此完成客户端和服务端的握手。

参见图4，适于物联网通信环境的密钥在线协商方法的一个实施例中，服务端和客户端之间采用双向数字证书的认证模式，认证过程中传递单随机数。

具体的，客户端预置服务端的数字证书，并预定义密钥算法，服务端预置客户端的数字证书(或多个客户端的数字证书组)，并预定义同样的密钥算法。客户端产生随机数R1，客户端采用服务端公钥加密随机数R1得到密文C1，对密文C1签名得到S1，客户端向服务端发送连接请求包，连接请求包包含密文C1、密文C1签名得到的S1及客户端的ID。服务端接收客户端的连接请求包，根据客户端ID选择对应客户端的数字证书，验证签名S1，通过则执行下一步，否则断开TCP，流程结束。服务端用客户端的公钥加密随机数R1得到密文C2，对密文C2签名得到S2，以随机数R1生成对称密钥K。服务端向客户端发送连接确认包，连接确认包包含密文C2和密文C2签名得到的S2。客户端接收服务端发送的连接确认包，对S2进行验证，通过则执行下一步，否则断开TCP，流程结束，验证通过后以随机数R1产生对称密钥K，至此完成客户端和服务端的握手。

参见图5，适于物联网通信环境的密钥在线协商方法的一个实施例中，服务端和客户端之间采用单向服务端数字证书认证模式，认证过程中传递单随机数。

具体的，客户端预置服务端的数字证书，并预定义密钥算法，服务端预置注册客户端ID(或多个注册客户端的ID组)，并预定义同样的密钥算法。客户端产生随机数R1，客户端采用服务端公钥加密随机数R1得到密文C1，客户端向服务端发送连接请求包，连接请求包包含密文C1及客户端的ID。服务端接收客户端的连接请求包，验证客户端ID有效，通过则执行下一步，否则断开TCP，流程结束。服务端对密文C1解密得到随机数R1，采用随机数R1按照预定义的算法生成对称密钥K，对密文C1签名得到S2，然后服务端向客户端发送连接确认包，连接确认包包含密文C1和密文C1签名得到的S2。客户端接收服务端发送的连接确认包，对S2进行验证，通过则执行下一步，否则断开TCP，流程结束，验证通过后以随机数R1按照预定义的算法生成对称密钥K，至此完成客户端和服务端的握手。

参见图6，适于物联网通信环境的密钥在线协商方法的一个实施例中，服务端和客户端之间采用单向服务端数字证书认证模式，认证过程中传递双随机数。

具体的，客户端预置服务端的数字证书，并预定义密钥算法，服务端预置客户端ID(或多个客户端的ID组)，并预定义同样的密钥算法。客户端产生随机数R1，客户端采用服务端公钥加密随机数R1得到密文C1，客户端向服务端发送连接请求包，连接请求包包含密文C1及客户端的ID。服务端接收客户端的连接请求包，验证客户端ID有效，通过则执行下一步，否则断开TCP，流程结束。服务端对密文C1解密得到随机数R1，采用随机数R1按照预定义的算法生成对称密钥K，服务端产生随机数R2，对R2签名得到S2，然后服务端向客户端发送连接确认包，连接确认包包含R2和R2签名得到的S2。客户端接收服务端发送的连接确认包，对S2进行验证，通过则执行下一步，否则断开TCP，流程结束，验证通过后以随机数R1按照预定义的算法生成对称密钥K，至此完成客户端和服务端的握手。

另外，图2、3、4、5、6实现方式的演变均是为了保护重要信息对称密钥以及生成对称密钥的随机数不被泄露的目的，除此之外的其他演变方式不足以完全满足此项要求。另外，图5和6应用于不能为客户端颁发证书的特殊环境情况下。

需要强调的是，上述实施例中涉及的密钥解密、加密、产生随机数等均采用现有的成熟算法。

适于物联网通信环境的密钥在线协商方法的一个实施例中，当客户端与服务端加密通信完毕后，客户端退出，双方销毁本次通信的密钥信息。

实施例2

参见图7，本发明实施例2又提供一种适于物联网通信环境的密钥在线协商系统，包括：

连接请求监听模块1，用于服务端通过注册端口对客户端发生的连接请求进行监听，所述客户端预置有所述服务端的数字证书；

信息结构体传递模块2，用于身份明确的服务端接收客户端发送的信息结构体，所述信息结构体包含所述客户端的身份信息和通道连接协商信息；

身份确认模块3，用于当服务端接收到所述信息结构体后，服务端使用预置的客户端数字证书或者注册客户端ID进行客户端的身份确认；

安全通信通道建立模块4，用于服务端将确认通道连接协商信息反馈给客户端，当服务端反馈的通道连接协商信息被客户端接收后，确立所述客户端与所述服务端之间的安全通信通道。

需要说明的是，上述装置各模块/单元之间的信息交互、执行过程等内容，由于与本申请实施例1中的方法实施例基于同一构思，其带来的技术效果与本申请方法实施例相同，具体内容可参见本申请前述所示的方法实施例中的叙述，此处不再赘述。

综上所述，本发明服务端通过注册端口对客户端发生的连接请求进行监听，客户端预置有服务端的数字证书；身份明确的服务端接收客户端发送的信息结构体，信息结构体包含客户端的身份信息和通道连接协商信息；当服务端接收到信息结构体后，服务端使用预置的客户端数字证书或者注册客户端ID进行客户端的身份确认；服务端将确认通道连接协商信息反馈给客户端，当服务端反馈的通道连接协商信息被客户端接收后，确立客户端与服务端之间的安全通信通道。本发明取消扩展信息传递；直接指定算法，不再进行算法协商；不再进行证书内容的传递，减少TLS协议握手阶段通信次数，将四次通信变为两次通信，提高了物联网通信中加密密钥的协商效率，应对客户端计算处理能力强，通信速度快。

实施例3

本发明实施例3提供一种计算机可读存储介质，所述计算机可读存储介质中存储适于物联网通信环境的密钥在线协商方法的程序代码，所述程序代码包括用于执行实施例1或其任意可能实现方式的适于物联网通信环境的密钥在线协商方法的指令。

计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘(SolidStateDisk、SSD))等。

实施例4

本发明实施例4提供一种电子设备，所述电子设备包括处理器，所述处理器与存储介质耦合，当所述处理器执行存储介质中的指令时，使得所述电子设备执行实施例1或其任意可能实现方式的适于物联网通信环境的密钥在线协商方法。

具体的，处理器可以通过硬件来实现也可以通过软件来实现，当通过硬件实现时，该处理器可以是逻辑电路、集成电路等；当通过软件来实现时，该处理器可以是一个通用处理器，通过读取存储器中存储的软件代码来实现，该存储器可以集成在处理器中，可以位于所述处理器之外，独立存在。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。

显然，本领域的技术人员应该明白，上述的本发明的各单元或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

虽然，上文中已经用一般性说明及具体实施例对本发明作了详尽的描述，但在本发明基础上，可以对之作一些修改或改进，这对本领域技术人员而言是显而易见的。因此，在不偏离本发明精神的基础上所做的这些修改或改进，均属于本发明要求保护的范围。