使用对称密码技术增强MQTT协议传输安全的方法和系统与流程

技术特征：
1.一种使用对称密码技术增强mqtt协议传输安全的方法，其特征在于：包括以下步骤：s1、对数据进行加密；物联网终端到物联网平台：量子密钥充注机完成将量子随机数发生器产生的量子密钥到量子安全芯片的充注，量子交换密码机记录存储充注量子安全芯片和密钥的对应关系；获取登录令牌后，物联网终端调用量子安全芯片内密钥完成对上报消息加密，加密后信息通过mqtt协议中publish消息payload进行传输，消息体中增加本次使用密钥的序列号；物联网平台到物联网终端：物联网平台根据物联网终端标识向量子密码管理服务系统申请密钥，量子密码管理服务系统通过量子交换密码机根据之前量子安全芯片充注信息，返回和该量子终端内集成的量子安全芯片内已经充注的可用密钥对称的密钥序列号和密钥，物联网平台对下发消息进行加密，密文放入mqtt协议中publish消息payload中，消息体中增加本次使用密钥的序列号；s2、对数据进行解密；物联网平台解密：物联网平台从publish消息中payload获取物联网终端发送的加密后的密文，物联网平台根据消息体中密钥序列号向量子密码管理服务系统获取解密密钥，量子密码管理服务系统通过量子交换密码机返回消息体中密钥序列号对应的量子安全芯片的密钥对称的解密密钥，使用返回的解密密钥以及对应算法完成对密文的解密，并根据消息中时变参数和登录令牌进行验证，验证成功后，开始下行明文内容的解析；物联网终端解密：物联网终端从publish消息中payload中获取物联网平台下发的密文，根据消息体中的序列号向内置的量子安全芯片获取与加密密钥对称的解密密钥，使用解密密钥以及对应算法完成对密文的解密，并根据消息中时变参数和登录令牌进行验证，验证成功后，开始下行明文内容的解析。2.根据权利要求1所述的使用对称密码技术增强mqtt协议传输安全的方法，其特征在于：数据加密中，物联网终端到物联网平台流程具体如下：s101、物联网终端获取登录令牌后，选择数据上报，根据mqtt协议物联网平台发布订阅，并根据订阅内容进行数据上报明文准备；s102、物联网终端选取内置或者外置的量子安全芯片内密钥序列为z的密钥b；s103、物联网终端构造上报消息：密钥序列号 终端id 密文(时变参数 终端id 登录令牌 上报明文),并对所述上报消息的密文内容使用密钥b进行加密；s104、将所述上报消息：密钥序列号 终端id 密文(时变参数 终端id 登录令牌 上报明文)放入到publish消息payload消息体中，并上报至物联网平台，密文采用加密算法和芯片密钥b共同产生。3.根据权利要求2所述的使用对称密码技术增强mqtt协议传输安全的方法，其特征在于：物联网平台对物联网终端解密具体流程如下：s201、物联网平台根据物联网终端上报publish消息中payload(载荷)中终端id和序列号z向量子密码管理服务系统获取解密密钥；s202、量子密码管理服务系统从量子交换密码机上获取预先存储的与序列号z对应的解密密钥b’，并返回给物联网平台，密钥b’与密钥b为对称密钥；s203、物联网平台根据密钥b’以及对应算法进行解密，验证用户上行消息中的时变参
数和登录令牌，对时变参数主要验证本次消息当前时间和平台时间的差值，防止重放攻击，登录令牌由终端id和终端认证登录时候上报时变参数共同产生，终端id验证通过消息上报的信息确定该消息代表的终端id是否和令牌中一致，防止中间人攻击，时变参数验证主要分为两点，一是验证时变参数是否是终端在登录鉴权时候上报的时变参数，确定终端身份，二是验证登录令牌是否还在有效期内，登录令牌超过有效期，需要重新申请，验证成功后，解析上报明文内容，否则验证失败。4.根据权利要求1所述的使用对称密码技术增强mqtt协议传输安全的方法，其特征在于：数据加密中，物联网平台到物联网终端流程具体如下：s111、物联网平台选择下行消息，根据物联网终端订阅的主题下发消息；s112、物联网平台根据终端id到量子密码管理服务系统获取密钥，返回密钥序列为w的密钥c；s113、物联网平台构造下发消息：密钥序列号w 密文(时变参数 平台id 登录令牌 下行明文),并对密文内容使用密钥c进行加密，密文采用加密算法和芯片密钥c共同产生；s114、物联网平台将所述下发信息：密钥序列号w 密文(时变参数 平台id 登录令牌 下行明文)放入到mqtt协议中publish消息的payload消息体中，并下发至物联网终端。5.根据权利要求4所述的使用对称密码技术增强mqtt协议传输安全的方法，其特征在于：数据解密中，物联网终端对物联网平台的解密的流程如下：s211、物联网终端根据从物联网平台推送的publish消息中payload载荷中的密钥序列号w向内置或者外置的量子安全芯片获取密钥；s212、量子安全芯片根据序列号w返回预先存储的与密钥c对称的解密密钥c’；s213、物联网终端根据密钥c’以及对应算法对密文进行解密，验证下行消息中的时变参数和登录令牌，验证成功后，开始下行明文内容的解析，否则验证失败。6.根据权利要求1所述的使用对称密码技术增强mqtt协议传输安全的方法，其特征在于：所述数据加密和解密前还包括物联网终端使用量子安全芯片内的密钥完成到物联网平台的平台登录认证，获取登录令牌的步骤，具体包括：s1’、第一次身份认证：物联网终端到物联网平台：量子密钥充注机完成将量子随机数发生器产生的量子密钥到量子安全芯片的充注、存储，同时记录存储充注安全芯片和密钥的对应关系，物联网终端调用内置集成或者外置的安全芯片内存储的量子密钥用于构造身份认证请求消息：密钥序列号 终端id 密文(时变参数 终端id 终端预设密码)到物联网平台，物联网平台根据终端id和密钥序列号从与量子交换密码机连接的量子密码管理服务系统获取与终端充注密钥对称的密钥进行解密，比对身份认证请求消息中的终端id和终端预设密码，同时保存终端发送的时变参数，认证成功后根据终端id和时变参数生成登录令牌，并向终端返回验证成功消息，如果不成功则返回不成功消息；s2’、第二次身份认证：物联网平台根据终端id向量子密码管理服务系统申请和终端匹配的充注密钥和对应的密钥序列号，并开始构造身份认证请求消息：密钥序列号 密文(时变参数 平台id 登录令牌)，登录令牌根据第一次身份认证时终端上报的终端id和时变参数结合产生，并将该身份认证请求消息发送至终端；终端根据密钥序列号获取与对应的充注密钥对称的密钥对身份认证请求消息进行解密，验证平台id以及登录令牌，确定登录令牌是第一次身份认证时物联网平台根据认证时的终端id和时变参数产生，验证成功后，终
端开始向物联网平台发送消息。7.根据权利要求6所述的使用对称密码技术增强mqtt协议传输安全的方法，其特征在于：s1’、第一次身份认证，包括下述步骤：s11’、终端获取安全芯片内密钥请求，安全芯片返回芯片密钥序列号g的密钥a；s12’、终端根据mqtt连接消息connect内容格式构造初始身份认证请求消息：密钥序列号g 终端id 密文(时变参数 终端id 终端预设密码)，密文的加密方式采用对称算法完成，加密密钥为s1中取出的密钥a；s13’、终端向物联网平台对外暴露的代理地址发送步骤s12构造的身份认证请求消息；s14’、物联网平台根据所述初始身份认证请求消息中终端id和密钥序列号g向量子密码管理服务系统获取与密钥a对称的密钥a’；s15’、量子密码管理服务系统返回密钥a’至物联网平台，物联网平台利用密钥a’对所述初始身份认证请求消息进行解密，得到解密后的密文：时变参数 终端id 终端预设密码，并将解密后终端id和终端预设密码和后台存储的终端id以及物联网平台预先存储的终端预设密码进行比较，确定终端的身份，同时利用mqtt消息中的connack向终端返回验证成功消息ox00，并保存终端发过来的时变参数，如果不成功则根据mqtt手册返回非0消息。8.根据权利要求7所述的使用对称密码技术增强mqtt协议传输安全的方法，其特征在于：s2’、第二次身份认证，包括下述步骤：s21’、物联网平台根据终端id从量子密码管理服务系统获取与终端匹配的芯片密钥，量子密码管理服务系统向物联网平台返回和终端匹配的芯片密钥e和芯片密钥e的序列号k；s22’、物联网平台构造向终端申请的身份认证请求消息：密钥序列号c 密文(时变参数 平台id 登录令牌)，密文的加密密钥为s21中取出的芯片密钥e，登录令牌由终端第一次身份认证保存的时变参数 终端id共同产生，用publish搭出来物联网平台对终端身份认证机制，向终端推送第二次身份认证请求消息，身份认证请求消息放入payload中；s23’、终端收到物联网平台推送的身份认证请求消息，根据身份认证请求消息中密钥序列号k向安全芯片内获取与序列号k对应的芯片密钥e的对称解密秘钥，安全芯片返回解密秘钥e’；s24’、终端使用解密秘钥e’对身份认证请求消息中的密文解密，通过验证平台id和登录令牌实施解密验证，对登录令牌主要验证是否是第一次身份认证发送的时变参数和终端id共同产生，如果通过，则终端认为物联网平台是可信的，则能够向物联网平台发送数据。9.一种使用对称密码技术增强mqtt协议传输安全的方法，应用在mqtt协议传输系统的物联网终端，其特征在于：包括数据加密和数据解密，物联网终端首先使用量子安全芯片内的密钥完成到物联网平台的平台登录认证，获取登录令牌，然后执行下述mqtt协议传输步骤：对数据进行加密；物联网终端到物联网平台：量子安全芯片获取量子密钥充注机提供的量子密钥的充注；获取登录令牌后，物联网终端调用量子安全芯片内密钥完成对上报消息加密，，加密后信息通过mqtt协议中publish消息payload(载荷)进行传输，消息体中增加本次使用密钥的
序列号；对数据进行解密；物联网终端解密：物联网终端从publish消息中payload中获取物联网平台下发的密文，根据消息体中的序列号向内置的量子安全芯片获取与加密密钥对称的解密密钥，使用解密密钥以及对应算法完成对密文的解密，并根据消息中时变参数和登录令牌进行验证，验证成功后，开始下行明文内容的解析。10.根据权利要求9所述的使用对称密码技术增强mqtt协议传输安全的方法，其特征在于：数据加密中上行流程如下：s101、物联网终端完成双向认证后获取登录令牌，终端选择数据上报，根据mqtt协议物联网平台发布订阅，并根据订阅内容进行数据上报明文准备；s102、物联网终端选取内置或者外置的量子安全芯片内密钥序列为z的密钥b；s103、物联网终端构造上报消息：密钥序列号 终端id 密文(时变参数 终端id 登录令牌 上报明文),并对所述上报消息的密文内容使用密钥b进行加密，密文采用算法和芯片密钥b共同产生；s104、将所述上报消息：密钥序列号 终端id 密文(时变参数 终端id 登录令牌 上报明文)放入到publish消息payload消息体中，并上报至物联网平台；数据解密中下行流程如下：s211、物联网终端根据从物联网平台推送的publish消息中payload载荷中的密钥序列号w向内置或者外置的量子安全芯片获取密钥；s212、量子安全芯片根据序列号w返回预先存储的与密钥c对称的解密密钥c’；s213、物联网终端根据密钥c’以及对应算法对密文进行解密，验证下行消息中的时变参数和登录令牌，验证成功后，开始下行明文内容的解析，否则验证失败。11.一种使用对称密码技术增强mqtt协议传输安全的方法，应用在mqtt协议传输系统的物联网平台，其特征在于：包括数据加密和数据解密，物联网平台首先完成物联网终端的登录认证，然后执行下述mqtt协议传输步骤：对数据进行加密；物联网平台到物联网终端：物联网平台根据物联网终端标识向量子密码管理服务系统申请密钥，量子密码管理服务系统通过量子交换密码机根据之前量子安全芯片充注信息，返回和该量子终端内集成的量子安全芯片内已经充注的可用密钥对称的密钥序列号和密钥，物联网平台对下发消息进行加密，加密可采用sm4,密文放入mqtt协议中publish消息payload中，消息体中增加本次使用密钥的序列号；对数据进行解密；物联网平台解密：物联网平台从publish消息中payload获取物联网终端发送的加密后的密文，物联网平台根据消息体中密钥序列号向量子密码管理服务系统获取解密密钥，量子密码管理服务系统通过量子交换密码机返回消息体中密钥序列号对应的量子安全芯片的密钥对称的解密密钥，使用返回的解密密钥以及对应算法完成对密文的解密，并根据消息中时变参数和登录令牌进行验证，验证成功后，开始下行明文内容的解析。12.根据权利要求11所述的使用对称密码技术增强mqtt协议传输安全的方法，其特征在于：数据加密中下行流程如下：
s111、物联网平台选择下行消息，根据物联网终端订阅的主题下发消息；s112、物联网平台根据终端id到量子密码管理服务系统获取密钥，返回密钥序列为w的密钥c；s113、物联网平台构造下发消息：密钥序列号w 密文(时变参数 平台id 登录令牌 下行明文),并对密文内容使用密钥c进行加密，密文可以采用算法和芯片密钥c共同产生；s114、物联网平台将所述下发信息：密钥序列号w 密文(时变参数 平台id 登录令牌 下行明文)放入到mqtt协议中publish消息的payload消息体中，并下发至物联网终端；数据解密中上行流程如下：s201、物联网平台根据物联网终端上报publish消息中payload中终端id和序列号z向量子密码管理服务系统获取解密密钥；s202、量子密码管理服务系统从量子交换密码机上获取预先存储的与序列号z对应的解密密钥b’，并返回给物联网平台，密钥b’与密钥b为对称密钥；s203、物联网平台根据密钥b’以及对应算法进行解密，验证用户上行消息中的时变参数和登录令牌，对时变参数主要验证本次消息当前时间和平台时间的差值，防止重放攻击，登录令牌由终端id和终端认证登录时候上报时变参数共同产生，终端id验证通过消息上报的信息确定该消息代表的终端id是否和令牌中一致，防止中间人攻击，时变参数验证主要分为两点，一是验证时变参数是否是终端在登录鉴权时候上报的时变参数，确定终端身份，二是验证登录令牌是否还在有效期内，登录令牌超过有效期，需要重新申请，验证成功后，解析上报明文内容，否则验证失败。13.一种使用对称密码技术增强mqtt协议传输安全的系统，其特征在于：包括：量子随机数发生器，用于生成量子密钥；量子交换密码机，接收量子随机数发生器发出的量子密钥，用于提供密钥服务，量子交换密码机内预先存储有密钥，该密钥为量子随机数生成器预生成的密钥，并存储在该量子交换密码机内，与量子安全芯片内的密钥为对称密钥；量子密钥充注机，与量子交换密码机的输出端连接，用于充注量子密钥；量子密码管理服务系统，通过网络与物联网平台实现数据交互，量子密码管理服务系统直接连接量子密码交换机，用于提供基于量子安全芯片身份的密钥分发功能；物联网终端是物联网中连接传感网络层和传输网络层，执行权利要求9所述的步骤；量子安全芯片，存储量子安全密钥，量子安全芯片在使用前预充注密码，量子安全芯片通过量子密钥充注机被充注量子安全密钥，每个量子安全芯片被充注的密钥和量子交换密码机内预置的密钥是对称密钥，每个量子安全芯片有自己的编号，每支量子密钥有自己的序列号，通过内置或者外接于物联网终端中；物联网平台，提供基于mqtt协议的物联网终端设备认证、鉴权、设备数据接入功能，执行权利要求11所述的步骤。

技术总结
本发明提供一种使用对称密码技术增强MQTT协议传输安全的方法，包括对数据进行加密和解密，加密和解密均包括物联网终端到物联网平台的加密和解密以及物联网平台到物联网终端的加密和解密，加解密中使用量子密钥充注机充注到内置或外置于物联网终端的量子安全芯片的与量子交换密码机内存储密钥的对称密钥，量子交换密码机记录存储充注量子安全芯片和密钥的对应关系。本发明的优点在于：量子密钥用于MQTT上下行信息保护：使用量子安全芯片和对称密码技术完成对解决物联网终端上、下行消息、传输过程中密钥重复使用，安全性随着使用会降低的问题。会降低的问题。会降低的问题。


技术研发人员：王丙磊 胡缙 王建礼
受保护的技术使用者：中电信量子科技有限公司
技术研发日：2021.08.02
技术公布日：2021/11/9