一种独立于物联网平台的安全通信方法及系统

摘要

应用服务系统会定时地从密钥管理系统获取到最新版本的密钥，而在收到物联网设备数据，并判断其密钥版本低于当前版本时就会触发更新密钥操作，因此物联网设备总是能够及时地跟随密钥管理系统的密钥的版本变动而更新密钥，并与应用服务系统加密通信，且在该过程中，物联网平台只是作为应用服务系统与物联网设备间转发数据的Broker，而加密功能是基于开发者约定的加密算法和加密密钥且完全脱离于物联网平台的，因此，本发明的一种独立于物联网平台的安全通信方法及系统可以实现针对各种异构物联网平台的安全通信，具有较高的适配性及安全性，同时也更便于对安全模块的本地化管理。

说明书

技术领域

本发明涉及通信安全技术领域，尤其涉及一种独立于物联网平台的安全通信方法及系统。

背景技术

当下，物联网技术得到了飞速发展，各物联网平台在建立之后规模也迅速扩大，海量的物联网设备被接入到不同的物联网平台中。由于物联网设备采集的数据涵盖了各行各业，尤其是其中涉及到了一些敏感数据，因此通过物联网平台与物联网设备通讯的安全问题就显得尤为重要。

物联网平台由于规模的不同，提供的安全通信的功能也有所不同。一些小的物联网平台没有安全通信方面的功能；而大的物联网平台之间的通信安全的实现方法、对接方法也不尽相同，导致在不同物联网平台上的安全通信标准不同且需要针对不同的物联网平台做安全通信方面的开发工作(如双卡设备)。此外，依赖于物联网平台实现通信安全，无法通过本地实现安全模块的升级和维护，不利于本地对安全模块的管理。

发明内容

针对背景技术中提到的现有技术的至少一个缺陷或改进需求，本发明提供一种独立于物联网平台的安全通信方法及系统，用以解决在各种异构物联网平台间进行不依赖于物联网平台的安全通信的技术问题。

为了解决以上技术问题，本发明提供一种独立于物联网平台的安全通信方法，包括：

在密钥管理系统、应用服务系统和物联网设备之间进行包括密钥加密算法、报文加密算法和初始密钥的约定；

从数据库系统中获取密钥历史记录并导入缓存；

定时在所述密钥管理系统中鉴权，然后定时从所述密钥管理系统中获取最新版本的密钥信息，所述密钥信息包括密钥密文和密钥版本中的一种或多种；

缓存中最新的密钥版本低于从所述密钥管理系统中获取的最新版本的密钥版本，则用所述初始密钥解密从所述密钥管理系统中获取的密钥密文，获取对应的密钥明文，然后将最新版本的密钥信息持久化到所述数据库系统的密钥历史记录表中，并在缓存中新增最新版本的密钥信息；

获取所述物联网设备的设备消息密文，并用约定的所述报文加密算法以及缓存中的各历史版本的密钥去解密；

采用某一版本的密钥解密成功，则先对所述设备消息密文做应用层解析；解密成功的密钥版本低于缓存中最新的密钥版本，则更新所述物联网设备的密钥版本。

根据本发明提供的安全通信方法，更新所述物联网设备的密钥版本具体包括：

调用所述物联网平台的接口向所述物联网设备发送更新密钥命令，先用解密成功的版本的密钥来加密所述更新密钥命令得到对应的密文，再将所述密文通过所述物联网平台发送到所述物联网设备；

所述物联网设备收到所述物联网平台转发的所述更新密钥命令对应的密文后，先用本地之前最新版本的密钥解密所述密文，获取密钥密文，再使用所述初始密钥来解密所述密钥密文，获取密钥明文，然后更新所述物联网设备的密钥版本，并将最新版本的密钥信息持久化于本地。

根据本发明提供的安全通信方法，获取所述物联网设备的设备消息密文具体为：

建立监听服务，调用所述物联网平台的订阅数据变化服务接口，获取所述物联网设备的设备消息密文。

根据本发明提供的安全通信方法，所述安全通信方法还包括：

遍历各版本的密钥解密失败，则通过硬件还原的方式，将所述物联网设备中的密钥还原到初始版本。

根据本发明提供的安全通信方法，所述安全通信方法还包括：

解密成功的密钥版本等于缓存中最新的密钥版本，则不更新所述物联网设备的密钥版本。

根据本发明提供的安全通信方法，所述初始密钥包括密钥加密初始密钥和报文加密初始密钥中的一种或多种；

缓存中最新的密钥版本低于从所述密钥管理系统中获取的最新版本的密钥版本，则用所述密钥加密初始密钥解密从所述密钥管理系统中获取的密钥密文；

所述物联网设备收到所述物联网平台转发的更新密钥命令以及密文后，先用本地之前最新版本的密钥解密所述密文，获取密钥密文，再使用所述密钥加密初始密钥来解密所述密钥密文，获取最新版本的密钥明文。

根据本发明提供的安全通信方法，所述密钥历史记录包括密钥版本、密钥明文、密钥密文和报文加密初始密钥中的一种或多种。

根据本发明提供的安全通信方法，所述密钥加密算法为非对称加密算法。

根据本发明提供的安全通信方法，所述报文加密算法为对称加密算法。

本发明还提供一种独立于物联网平台的安全通信系统，包括：

密钥管理系统：负责产生、发布不同版本的密钥，并向外提供获取最新密钥的接口；

应用服务系统：调用密钥管理系统的接口来获取密钥，接收物联网平台推送的物联网设备数据，根据密钥的历史记录以及物联网设备的密文的版本，更新物联网设备的密钥，然后对物联网设备数据做应用层解析；

数据库系统：用来持久化各历史版本的密钥信息以及历史记录查询；

物联网平台：负责在应用服务系统和物联网设备之间转发数据和命令；

物联网设备：负责采集各种业务信息并上报；要在整个安全通信系统运行前，预先将密钥加密初始密钥、报文加密初始密钥持久化到本地；将采集到的各种业务信息加密，并通过物联网平台发送到应用服务系统。

本发明中，应用服务系统会定时地从密钥管理系统获取到最新版本的密钥，而在收到物联网设备数据，并判断其密钥版本低于当前版本时就会触发更新密钥操作，因此物联网设备总是能够及时地跟随密钥管理系统的密钥的版本变动而更新密钥，并与应用服务系统加密通信，且在该过程中，物联网平台只是作为应用服务系统与物联网设备间转发数据的Broker，而加密功能是基于开发者约定的加密算法和加密密钥且完全脱离于物联网平台的，因此，相对于现有技术而言，本发明的一种独立于物联网平台的安全通信方法及系统可以实现针对各种异构物联网平台的安全通信，具有较高的适配性及安全性，同时也更便于对安全模块的本地化管理。

附图说明

为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见的，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种独立于物联网平台的安全通信系统的架构示意图；

图2是本发明实施例提供的一种独立于物联网平台的安全通信方法的流程示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明中的技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，在一个实施例中，一种独立于物联网平台的安全通信系统包含如下部分：

密钥管理系统、应用服务系统、数据库系统、物联网平台和物联网设备。

应用服务系统、物联网设备之间通过密文通信，实现安全通信。密钥管理系统、应用服务系统和物联网设备之间通过密钥交换、更新实现密文通信。

密钥管理系统：用于管理维护整个系统的安全通信功能，具体表现为产生、发布不同版本的密钥，并向外提供获取最新密钥的API。

应用服务系统：具体的业务系统。可以调用密钥管理系统的接口获取密钥，接收物联网平台推送的物联网设备数据，根据密钥的历史记录以及物联网设备密文的版本，更新物联网设备的密钥，然后对物联网设备数据做应用层解析。

数据库系统：负责持久化各历史版本的密钥信息以及历史记录查询。

物联网平台：负责在应用服务系统、物联网设备之间转发数据、命令，本实施例中使用电信IOT平台。

物联网设备：负责采集各种业务信息并上报，比如电表、地磁、烟雾告警器等。物联网设备实时采集各种信息，能够接入各种网络的传感设备。物联网设备要在整个系统运行前，预先将密钥加密初始密钥、报文加密初始密钥持久化到本地。物联网设备将采集的各种信息加密，然后通过物联网平台发送到应用服务系统。

如图2所示，在一个实施例中，应用以上所述的安全通信系统实现一种独立于物联网平台的安全通信方法具体包括以下步骤：

密钥管理系统、应用服务系统和物联网设备之间需要先约定密钥加密算法、报文加密算法。

其中，密钥加密算法若出于安全考虑，可以使用非对称加密算法，如RSA，若出于性能考虑可以使用对称加密算法，包括AES、3DES、SM4等。由于密钥加密算法只会在更新密钥的过程中使用，且使用频率较低，因此在本实施例中使用非对称加密算法RSA，提供安全性。而设备报文传输在整个系统中使用频率很高，且可能存在较大报文的情况，因此在本实施例中使用对称加密算法3DES，提升速度。

除了上述加密算法的约定外，密钥管理系统、应用服务系统和物联网设备之间还需要约定初始密钥，确保通信一直处于加密状态。初始密钥包括密钥加密初始密钥以及报文加密初始密钥，其中，密钥加密初始密钥用于在密钥更新时加密密钥，报文加密初始密钥用于对物联网设备发送的报文密文进行加密。本实施例中，密钥加密算法采用非对称加密算法，密钥加密初始密钥就包含了一对公钥和私钥。公钥用于解密，存放于设备、应用服务器，私钥用于加密，存放于密钥管理系统。因此，密钥管理系统需要持有私钥，应用服务系统需要配置公钥，物联网设备需要将公钥写入到本地持久化设备中。报文加密初始密钥需要同时保存在应用服务系统和物联网设备的本地持久化设备(存储设备)中。密钥加密初始密钥一直不变，报文加密初始密钥会随着密钥管理系统发布新版密钥而改变。本文中若无特殊说明，文中密钥默认为报文加密的密钥。

应用服务系统读取数据库系统中的密钥历史记录——密钥历史记录包含了密钥版本、密钥明文、密钥密文，然后缓存各版本的密钥历史记录。密钥管理系统同时要缓存密钥加密初始密钥。

应用服务系统定时以口令的方式在密钥管理系统中鉴权，然后定时调用密钥管理系统中获取密钥的API，得到最新版本的密钥信息，密钥信息包括了密钥版本以及密钥密文。

应用服务系统获取缓存中最新版本的密钥信息，并将其版本与从密钥管理系统中获取的密钥信息版本进行比对，若版本低于后者，则先用密钥加密初始密钥的公钥解密从密钥管理系统中获取的密钥密文，获取到密钥明文，然后将最新版本的密钥信息持久化到数据库系统的密钥历史记录表中，并在缓存中新增最新版本的密钥信息。

应用服务系统建立监听服务。

应用服务系统调用物联网平台的订阅数据变化服务接口，获取到物联网设备的推送数据。本实施例中物联网平台使用电信IOT平台。

物联网设备监测到周围环境变化后，会生成状态报文，并用密钥加密，然后上报给物联网平台。电信IOT平台收到设备上报的数据后，会将加密报文透明传输到订阅服务指定的地址，即应用服务系统监听地址。

应用服务系统收到设备消息加密报文后，会用约定的报文加密算法以及各历史版本的密钥来尝试解密设备消息加密报文。

若遍历各版本密钥解密失败，说明数据库系统中丢失了该版本的密钥记录，此时只能通过硬件还原的方式，将物联网设备中的密钥还原到初始版本。

若采用某一版本的密钥解密成功，先做报文的应用层解析工作。然后对解密成功的密钥版本做判断。

若解密成功的密钥版本为应用服务系统中缓存的最新版本的密钥，则应用服务系统之后无操作，不做更新密钥操作。

若解密成功的密钥为报文加密初始密钥或其版本低于当前缓存的最新版本的报文加密密钥，则应用服务器开始更新物联网设备的报文加密密钥版本。

应用服务系统调用电信IOT平台的即时命令接口向物联网设备发送更新密钥命令，先用解密成功版本的密钥来加密所述更新密钥命令得到对应的密文，再将密文通过电信IOT平台，发送到物联网设备。

物联网设备收到电信IOT平台转发的所述更新密钥命令对应的密文后，先用本地之前最新版本的密钥，解密所述密文，获取到密钥密文，然后再用密钥加密初始密钥的公钥解密，获取到密钥明文，然后更新所述物联网设备的密钥的版本，并将最新版本的密钥信息持久化于本地。至此物联网设备端的密钥已是最新版本。

由于应用服务系统会定时地从密钥管理系统中获取到最新版本的密钥，而在收到设备数据，并判断其密钥版本低于当前版本时就会触发更新密钥操作，因此设备端总是能够及时地跟随密钥管理系统的密钥的版本变动而更新密钥，并与应用服务系统加密通信，且在该过程中，电信IOT平台只是作为应用服务系统与物联网设备之间的Broker而转发数据，而加密功能是基于开发者约定的加密算法和加密密钥且完全脱离于物联网平台的，因此，本发明的一种独立于物联网平台的安全通信方法及系统可以实现针对各种异构物联网平台的安全通信，具有较高的适配性及安全性。

本领域的技术人员容易理解，以上所述仅为本发明的一些较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。