一种物联网链路安全传输方法与流程

本发明涉及物联网技术领域，尤其涉及一种物联网链路安全传输方法。

背景技术

物联网是新一代信息技术的重要组成部分，也是“信息化”时代的重要发展阶段，智能工厂、智能家居、智能交通等一系列物联网随着通信技术的发展也都逐渐走进了人们的工作和生活。物联网通过各类可能的网络接入，实现物与物、物与人的泛在连接，实现对物品和过程的智能化感知、识别和管理。它是在互联网的基础上发展起来的，把物理装置与现有的IT及后端平台、应用捆绑在一起，融合不同的应用与系统。

在物联网系统中，由于硬件安全的限制，任意物理设备都可能被盗用。物联网终端散布范围广，是整个网络安全中的薄弱节点。物联网安全模型不仅能保证信息安全，如保护用户隐私、减少身份盗用，同时也会提高通信可靠性。

目前，常用的物联网终端加密技术包括对称加密和非对称加密。在对称加密方法中，加密和解密使用相同的密钥；在非对称加密方法中，加密和解密使用不同的密钥，并且加解密的密钥成对出现。

如中国专利CN105610872B公开了一种物联网终端加密方法，包括：构建密钥组织结构树，所述密钥组织结构树包括对应于物联网终端的根节点密钥对、对应于物联网终端的核心密钥对、和利用所述根节点密钥对对所述核心密钥对的公钥进行签名获得的所述核心密钥对的签名，其中，所述核心密钥对至少包括终端签名密钥对和链路通信密钥对；将所述密钥组织结构树写入所述物联网终端和所述物联网后台服务器中；利用所述密钥组织结构树生成所述物联网终端的鉴权信息；将所述鉴权信息写入所述物联网终端和所述物联网后台鉴权系统中。如中国专利CN209514621U公开了一种基于SOC芯片的链路加密设备，包括SOC芯片模块，闪存存储器模块、以太网上行接口模块、以太网下行接口模块、USB主机接口模块。该基于SOC芯片的链路加密设备或板卡启动速度快，设备一经完成配置通过本地或远程方式设置密钥和安全策略加在原始收发设备两端，实现数据加密传输，且对原始收发设备透明，链路加密设备可以通过远程运维端口，定时从远程运维端口更新文件，报告设备存活情况，有身份认证机制防止来自该端口的攻击或欺骗，支持IP包的分片和组装，支持5元组配置安全策略，每个设备都有一个独立的ID号且都与自己ID号绑定的安全策略文件，进而保证其传输文件的安全性。

但上述现有技术中，均是使用单一密钥来进行通信，当攻击者对链路进行监听探测，可拦截到链路中的密钥信息，从而进一步伪造身份或利用链路发送攻击数据。也就是说，现有技术中的加密方法的安全性较低，因此，如何提供一种更加安全的加密方法成为本领域亟待解决的技术问题。

技术实现要素：

本发明的目的是为了解决现有技术中存在的缺点，而提出的一种物联网链路安全传输方法。

一种物联网链路安全传输方法，包括物联网终端和物联网监管平台，所述物联网终端由外围感知接口、中央处理模块和外部通讯接口三个部分组成，所述物联网终端通过外围感知接口与传感设备连接，并将所述传感设备的数据进行读取并通过中央处理模块处理后，按照网络协议，通过外部通讯接口发送到以太网的指定中心处理平台，即物联网监管平台，包括以下步骤：

Step1、申请通信连接，带入唯一标识：

物联网终端向物联网监管平台发送直接和所述物联网终端进行通信连接的请求，其中，所述请求携带包括物联网终端的标识的物联网终端信息；

Step2、审核请求，生成与物联网终端唯一对应的密钥，并存储：物联网监管平台收到请求后，在物联网监管平台内部对所述请求进行审核，若审核通过，则生成与物联网终端对应的密钥，并将所述密钥存储到物联网监管平台内部；若不通过，直接拒绝所述请求；

Step3、审核通过，下发密钥：

物联网监管平台将生成的密钥下发到物联网终端；

Step4、存储密钥：

物联网终端接收密钥并存储；

Step5、采集数据，并使用密钥进行加密：

物联网终端将从各接口采集到的数据，使用密钥进行加密，生成一个加密数据段；

Step6、上传加密数据段至物联网监管平台：

物联网终端将生成的加密数据段上传至物联网监管平台；

Step7、接收数据，使用对应密钥解析出数据，并存储：

物联网监管平台接收加密数据段后，使用物联网终端对应的密钥解析出数据，并将解析出的数据按类型存储到物联网监管平台中。

优选的，所述方法还包括物联网监管平台主动更新密钥的过程，所述过程包括以下步骤：

Step8、生成物联网终端对应的新密钥：

每隔一个固定或随机时间，物联网监管平台重新生成物联网终端对应的新密钥；

Step9、下发新密钥：

物联网监管平台将生成的新密钥下发到物联网终端；

Step10、存储新密钥：

物联网终端收到新密钥后，对原密钥进行更新，并存储；

Step11、采集数据，并使用新密钥进行加密：

物联网终端将各接口采集到的数据，用新密钥进行加密，生成一个加密数据段；

Step12、上传新密钥加密后的数据到物联网监管平台：

物联网终端将生成的加密数据段上传到物联网监管平台；

Step13、接收数据，使用新密钥解析出数据，并存储：

物联网监管平台接收到加密数据段后，使用物联网终端对应的新密钥解析出数据，并将解析出的数据按类型存储到物联网监管平台中。

优选的，所述方法还包括根据物联网终端的申请请求，被动更新密钥的过程，所述过程包括以下步骤：

Step14、申请更新密钥：

物联网终端向物联网监管平台发送申请新密钥的请求；

Step15、更新物联网终端对应的密钥，并存储：

物联网监管平台审核请求，审核通过后，对物联网终端对应的密钥进行更新，生成新密钥并存储；

Step16、下发新密钥：

物联网监管平台将生成的新密钥下发到物联网终端；

Step17、存储新密钥：

物联网终端收到新密钥后，对原密钥进行更新，并存储。

优选的，所述传感设备为RFID读卡器、红外感应器或环境传感器。

优选的，所述外部通讯接口的发送方式为GPRS模块、以太网接口或者WIFI方式中的一种。

优选的，Step2中，所述密钥的生成方式还可以为在物联网终端上预置直接访问的密钥。

优选的，Step5中，所述密钥的加密方法还可以为MD5加密或者RSA加密。

与现有技术相比，本发明有益效果如下：

本发明中，由物联网终端直接向物联网监管平台直接发起连接请求，物联网监管平台对请求进行审核，审核通过后向物联网终端下发一个加密密钥，同时物联网监管平台会不定时地，主动或被动地向物联网终端更新密钥，从而保证了外部人员无法长期破解传输的信息，进而能够防止通信数据泄露。本发明中，通过设置物联网终端主动向物联网监管平台申请更新密钥，这样的操作能够在物联网终端发现自身某些数据泄露或者被盗用时，由物联网终端主动向物联网监管平台申请更新密钥及其相关签名信息，以及时变更密钥，防止通信数据泄露。相比现有广泛采用的单纯软件加密方式，本发明的加密方式更加可靠，可以在发现泄密时及时挽回损失，进而不会造成更大的损失，因此，在数据通信安全领域中具有重要的意义。另外，由于本发明中，不论是主动或被动更新密钥的动作在整个数据交互过程中，所占比例不高，所以对整体传输效率不会有明显的影响。

附图说明

图1为本发明的数据交互的流程图；

图2为本发明的物联网监管平台被动更新密钥的流程图；

图3为本发明的物联网监管平台主动更新密钥的过程图；

图4为本发明的物联网监管平台定时器的处理过程图。

具体实施方式

下面结合附图和具体实施例对本发明作进一步解说。

参照图1，为本发明的数据交互的流程图。

一种物联网链路安全传输方法，包括物联网终端和物联网监管平台，所述物联网终端由外围感知接口、中央处理模块和外部通讯接口三个部分组成，所述物联网终端通过外围感知接口与传感设备连接，并将所述传感设备的数据进行读取并通过中央处理模块处理后，按照网络协议，通过外部通讯接口发送到以太网的指定中心处理平台，即物联网监管平台，包括以下步骤：

Step1、申请通信连接，带入唯一标识：

物联网终端向物联网监管平台发送直接和所述物联网终端进行通信连接的请求，其中，所述请求携带包括物联网终端的标识的物联网终端信息；

Step2、审核请求，生成与物联网终端唯一对应的密钥，并存储：物联网监管平台收到请求后，在物联网监管平台内部对所述请求进行审核，若审核通过，则生成物联网终端对应的密钥，并将所述密钥存储到物联网监管平台内部；若不通过，直接拒绝请求；

Step3、审核通过，下发密钥：

物联网监管平台将生成的密钥下发到物联网终端；

Step4、存储密钥：

物联网终端接收密钥并存储；

Step5、采集数据，并使用密钥进行加密：

物联网终端将从各接口采集到的数据，使用密钥进行加密，生成一个加密数据段；`

Step6、上传加密数据段至物联网监管平台：

物联网终端将生成的加密数据段上传至物联网监管平台；

Step7、接收数据，使用对应密钥解析出数据，并存储：

物联网监管平台接收加密数据段后，使用物联网终端对应的密钥解析出数据，并将解析出的数据按类型存储到物联网监管平台中。

其中，所述传感设备为RFID读卡器、红外感应器或环境传感器，所述外部通讯接口的发送方式为GPRS模块、以太网接口或者WIFI方式中的一种。

在本发明中，由物联网监管平台生成密钥，这里只是一种示例，本发明不仅限于此，还可以采用其他方式来生成密钥，例如：可以在物联网终端上预置直接访问的密钥。至于加密方法，可以由物联网监管平台指定，也可以是按照物联网终端和物联网监管平台双方默认的加密方法进行加密，如：MD5加密、RSA加密。

参照图1，在本实施例中，还包括物联网监管平台主动更新密钥的过程，所述过程包括以下步骤：

Step8、生成物联网终端对应的新密钥：

每隔一个固定或随机时间，物联网监管平台重新生成物联网终端对应的新密钥；

Step9、下发新密钥：

物联网监管平台将生成的新密钥下发到物联网终端；

Step10、存储新密钥：

物联网终端收到新密钥后，对原密钥进行更新，并存储；

Step11、采集数据，并使用新密钥进行加密：

物联网终端将各接口采集到的数据，用新密钥进行加密，生成一个加密数据段；

Step12、上传新密钥加密后的数据到物联网监管平台：

物联网终端将生成的加密数据段上传到物联网监管平台；

Step13、接收数据，使用新密钥解析出数据，并存储：

物联网监管平台接收到加密数据段后，使用物联网终端对应的新密钥解析出数据，并将解析出的数据按类型存储到物联网监管平台中。

参照图2，本实施例中，还包括根据物联网终端的申请请求，被动更新密钥的过程，所述过程包括以下步骤：

Step14、申请更新密钥：

物联网终端向物联网监管平台发送申请新密钥的请求；

Step15、更新与物联网终端对应的密钥，并存储：

物联网监管平台审核请求，审核通过后，对物联网终端对应的密钥进行更新，生成新密钥并存储；

Step16、下发新密钥：

物联网监管平台将生成的新密钥下发到物联网终端；

Step17、存储新密钥：

物联网终端收到新密钥后，被动对原密钥进行更新，并存储。

参照图3和图4，本实施例中，将详细描述物联网监管平台主动更新密钥的过程。其中，S2.1是物联网监管平台中的定时器，在物联网监管平台内部可以设置一个时间长度，当时间到达时，由定时器发起一个更新物联网终端密钥的动作，由S2.2进行密钥的更新，并通过S2.3进行密钥的发送，由S2.4进行密钥的存储，用于后续上报数据的解析。

具体物联网监管平台定时器的处理过程如下：

首先，确定时间间隔长度下限L1、时间间隔长度上限L2及初始随机时间数T0；

然后，用T0对3取模；

如果余数为0，对T0使用平方取中算法生成临时随机时间数TT0；

生成方式：取T0的位数为2s(不是偶数时最高位补0)，将T0进行平方，得4s位整数(不足4s位时高位补0)，然后取此4s位的中间2s位。

代码描述：TT0＝((T0*T0)<<s)>>2s。

如果余数为1，对T0进行移位异或算法生成临时随机时间数TT0；

生成方式：将T0和T0左移13位进行异或操作，得到V1；将V1和V1右移17位进行异或操作，得到V2；将V2和V2左移5位进行异或操作，得到TT0；

代码描述：

V1＝T0^(T0<<13)；

V2＝V1^(V1>>17)；

TT0＝V2^(V2<<5)；

如果余数为2，按照线性同余算法生成临时随机时间数TT0；

生成方式：对T0进行线性计算后取模。

代码描述：TT0＝(T0*16807L)％((1<<31)-1)；

最后使用T1＝TT0mod(L2-L1) L1，使T1控制在L1和L2之间，用于定时器的下次来临时间。

同时，T1也作为输入参数，用于下一次随机时间的生成。

以此类推，当随机时间计算到Ti时。

然后，用Ti对3取模；

如果余数为0，对Ti使用平方取中算法生成临时随机时间数TTi；

代码描述：TTi＝((Ti*Ti)<<s)>>2s。

如果余数为1，取Ti的位数为2s(不是偶数时最高位补0)，对Ti进行移位异或算法生成临时随机时间数TTi；

代码描述：

V1＝Ti^(Ti<<13；

V2＝V1^(V1>>17)；

TTi＝V2^(V2<<5)；

如果余数为2，按照线性同余算法生成临时随机时间数TTi；

代码描述：TTi＝(Ti*16807L)％((1<<31)-1)；

最后，使用Ti 1＝TTimod(L2-L1) L1，使Ti 1控制在L1和L2之间，用于定时器的下次来临时间。

同时，Ti 1也作为输入参数，用于下一次随机时间的生成。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，根据本发明的技术方案及其发明构思加以等同替换或改变，都应涵盖在本发明的保护范围之内。