一种基于国密算法安全芯片的物联网安全云平台实现方法与流程

1.本发明涉及物联网安全技术领域，尤其是一种基于国密算法安全芯片的物联网安全云平台实现方法。


背景技术：

2.近年来，伴随物联网和车联网的快速发展，安全问题频繁出现，物联网常见的破坏方式有隐私泄露、局部网络破坏、非法入侵和被控制为僵尸网络发起ddos攻击等多种类型，而且随着物联网规模的扩大，其破坏力越大，目前在物联网领域已经有多场景、多领域的大量应用，覆盖智能交通、交易物流、医疗保健、电力调控等多个行业，物联网研究和关注逐年增加，由于物联网是不同网络相互协作、相互融合的产物，其安全性能亦受到各个独立网络的影响，同时不同网络间的数据处理手段庞杂，处理方式多样，决策控制复杂，物联网安全问题因此十分复杂。
3.在传统网络中，网络层和应用层的安全监管是相互独立的，而物联网为保证信息的正确采集、传递和查询，势必需要构造自上而下的安全架构，而现有传输网络中的认证安全机制不足以完成此目标，在目前存在的认证技术中，基于密码的身份认证需要额外的应用程序或协议来连接、无法用于没有键盘鼠标等输入设备的物联网设备中；基于mac地址的认证容易被伪造，因此容易受到伪造等骗行为的攻击；基于用户公开身份的身份认证欺骗攻击等缺点；基于生物特征的认证，随着技术的快速发展，某些时候生物识别特征也变得容易被伪造，为此需要开发不易伪造的生物识别技术。


技术实现要素：

4.本发明针对背景技术中的不足，提供了一种基于国密算法安全芯片的物联网安全云平台实现方法。
5.本发明为解决上述现象，采用以下技术方案，一种基于国密算法安全芯片的物联网安全云平台实现方法，该基于国密算法安全芯片的物联网安全云平台包括物联网安全云平台、安全芯片和通信加密，其中物联网安全云平台的协同签名实现步骤包括如下：
6.s1，首先物联网安全云平台的客户端会调用协同签名sdk包生成密钥对，一个公钥分量，一个私钥分量1，且用户唯一id；
7.s2，然后客户端通过业务系统的身份认证，就是原有系统，将密钥对和用户唯一id发给业务系统；
8.s3，接着业务系统调用协同签名sdk包，将密钥对和用户唯一id发给统一认证系统的协同签名服务器；
9.s4，协同签名服务器就会通过密钥管理系统调用加密机生成私钥分量2和证书请求文件；
10.s5，然后证书请求文件就会返回给业务系统；
11.s6，最后业务系统向统一认证系统的ca发送证书请求文件，ca返回国密证书，密钥
管理系统将用户id、公钥、国密证书和私钥分量2保存在数据库中。
12.作为本发明的进一步优选方式，通信加密的单向认证实现步骤包括如下：
13.a：首先终端通过se
‑
sdk从se中获取设备证书和设备的随机数；
14.b：然后终端发起联网认证请求，将设备证书和设备随机数发送到iot平台；
15.c：接着iot业务平台通过平台sdk请求物联网安全云设备证书验证服务。
16.作为本发明的进一步优选方式，通信加密的双向认证实现步骤包括如下：
17.a：首先终端通过se
‑
sdk从se中获取设备证书和设备的随机数；
18.b：然后终端发起联网认证请求，将设备证书和设备随机数发送到iot平台；
19.c：接着iot业务平台通过平台sdk请求物联网安全云设备证书验证服务，同时为双向认证；
20.d：当物联网安全云返回验证结果和平台随机数，如果设备验证成功；
21.e：则iot业务平台将平台证书和平台随机数发送到终端。
22.作为本发明的进一步优选方式，步骤s6中，当保存在数据库中后，协同签名服务器需要将国密证书发给业务系统，然后再由业务系统将国密证书发给客户端。
23.作为本发明的进一步优选方式，步骤c中，当平台sdk请求物联网安全云设备证书验证服务后，需要由物联网安全云返回验证结果，然后验证成功后才可进行密钥协商或其他业务流程。
24.作为本发明的进一步优选方式，步骤五中，当平台证书和平台随机数发送到终端后，终端就会调用se
‑
sdk请求验证平台证书，然后返回验证结果，然后验证成功后才可进行密钥协商流程或其他业务流程。
25.本发明通过将物联网安全云平台、安全芯片以及通信加密结合在一起而形成安全云平台，其中物联网安全云负责进行物联网设备的身份安全认证、密钥管理和为物联网业务平台提供密钥协商、加解密服务等功能，由平台sdk，封装安全认证平台接口，部署于业务方平台，支持业务方安全认证业务快速集成，且物联网安全云平台的协同签名基于ssl物联网云平台服务端能够配合协同签名设备端将设备端私钥分割为两部分，一部分在设备端存储和使用，一部分在服务端，提高了私钥存储、使用的安全性。
附图说明
26.图1为本发明的协同签名运行流程图；
27.图2为本发明的单向认证流程图；
28.图3为本发明的双向认证流程图。
具体实施方式
29.下面将结合本发明实施例中，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
30.本发明提供一种技术方案：一种基于国密算法安全芯片的物联网安全云平台实现方法，该基于国密算法安全芯片的物联网安全云平台包括物联网安全云平台、安全芯片和
通信加密，其中物联网安全云平台的协同签名实现步骤包括如下：
31.s1，首先物联网安全云平台的客户端会调用协同签名sdk包生成密钥对，一个公钥分量，一个私钥分量1，且用户唯一id；
32.s2，然后客户端通过业务系统的身份认证，就是原有系统，将密钥对和用户唯一id发给业务系统；
33.s3，接着业务系统调用协同签名sdk包，将密钥对和用户唯一id发给统一认证系统的协同签名服务器；
34.s4，协同签名服务器就会通过密钥管理系统调用加密机生成私钥分量2和证书请求文件；
35.s5，然后证书请求文件就会返回给业务系统；
36.s6，最后业务系统向统一认证系统的ca发送证书请求文件，ca返回国密证书，密钥管理系统将用户id、公钥、国密证书和私钥分量2保存在数据库中。
37.通信加密的单向认证实现步骤包括如下：
38.a：首先终端通过se
‑
sdk从se中获取设备证书和设备的随机数；
39.b：然后终端发起联网认证请求，将设备证书和设备随机数发送到iot平台；
40.c：接着iot业务平台通过平台sdk请求物联网安全云设备证书验证服务。
41.通信加密的双向认证实现步骤包括如下：
42.a：首先终端通过se
‑
sdk从se中获取设备证书和设备的随机数；
43.b：然后终端发起联网认证请求，将设备证书和设备随机数发送到iot平台；
44.c：接着iot业务平台通过平台sdk请求物联网安全云设备证书验证服务，同时为双向认证；
45.d：当物联网安全云返回验证结果和平台随机数，如果设备验证成功；
46.e：则iot业务平台将平台证书和平台随机数发送到终端。
47.步骤s6中，当保存在数据库中后，协同签名服务器需要将国密证书发给业务系统，然后再由业务系统将国密证书发给客户端。
48.步骤c中，当平台sdk请求物联网安全云设备证书验证服务后，需要由物联网安全云返回验证结果，然后验证成功后才可进行密钥协商或其他业务流程。
49.步骤五中，当平台证书和平台随机数发送到终端后，终端就会调用se
‑
sdk请求验证平台证书，然后返回验证结果，然后验证成功后才可进行密钥协商流程或其他业务流程。
50.综上所述，本发明通过将物联网安全云平台、安全芯片以及通信加密结合在一起而形成安全云平台，其中物联网安全云负责进行物联网设备的身份安全认证、密钥管理和为物联网业务平台提供密钥协商、加解密服务等功能，由平台sdk，封装安全认证平台接口，部署于业务方平台，支持业务方安全认证业务快速集成，且物联网安全云平台的协同签名基于ssl物联网云平台服务端能够配合协同签名设备端将设备端私钥分割为两部分，一部分在设备端存储和使用，一部分在服务端，提高了私钥存储、使用的安全性；而物联网安全芯片则是挂载在设备当中，作为物联网设备的身份标识，负责唯一序列号的产生、密钥等信息的加密存储与管理，同时提供加解密和认证服务，封装安全芯片的通信和指令接口，与终端设备进行集成，降低客户方开发门槛，利于业务功能快速集成等功能；最后由通信加密来实现应用级数据加密，不依赖于通信通道安全性；且可以支持单向认证、双向认证，并支持
国密算法对设备进行身份认证、密钥协商、通信数据加密等安全保护，在应用的过程中该平台具备了应用广泛，有效解决隐私泄露、局部网络破坏、非法入侵和被控制为僵尸网络发起ddos攻击等优点，可以提供从云到端全面安全支撑，实现安全连接与数据保护，平台接入方便，国民安全云提供平台sd。
51.以上显示和描述了本发明的基本原理和主要特征和本发明的优点，对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
52.此外，应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。