一种基于安全通信的网关系统的制作方法

1.本发明属于通信技术领域，尤其涉及一种基于安全通信的网关系统。


背景技术：

2.通信安全的核心是保证服务可用，并保障服务和数据不被非法使用。各种各样的破坏、攻击和监听手段，目的是破坏通信安全。安全问题是家庭局域网的关键环节。大多数家庭智能设备缺少安全发送端到端加密通信的能力，存在以明文方式发送账号等秘密信息的问题，导致敏感信息可能会被恶意窃取。


技术实现要素：

3.有鉴于此，本发明提出了一种基于安全通信的网关系统包括第一网关、多个智能设备和一个服务器，其中第一网关具有短信通信接口，多个智能设备与服务器进行安全通信，第一网关通过短信向服务器请求密钥，服务器向第一网关发送密钥，第一网关将密钥根据shamir秘密共享门限方法拆分成多个子密钥，发送给智能设备，智能设备将要发送的数据分块后，随机地用多个子密钥作为对称密钥将分块数据进行加密，并发送到服务器，服务器使用多个子密钥对接收数据进行解密。
4.进一步地，所述服务器使用多个子密钥对接收数据进行解密时，分别用多个子密钥对同一个数据块进行试探解密。
5.进一步地，服务器和智能设备之间通过ipsec安全隧道进行通信。
6.进一步地，第一网关和智能设备之间使用约定静态口令进行身份认证。
7.进一步地，服务器向第一网关发送的短信密钥经过了加密，第一网关收到后用对称密钥方法将加密的短信密钥解密。
8.进一步地，所述短信密钥定期更新。
9.本发明的有益效果如下：
10.加密后的密钥经过短信发送，有效保证了密钥不被泄露，密钥进一步分解为子密钥，用子密钥来对数据进行加密，保证了加密效果。
附图说明
11.图1本发明基于安全通信的网关系统结构图。
具体实施方式
12.下面结合附图对本发明作进一步的说明，但不以任何方式对本发明加以限制，基于本发明教导所作的任何变换或替换，均属于本发明的保护范围。
13.根据本发明的各实施例，每一消息可以例如在消息的首部中包括源标识符、目的地标识符、源端口标识符、目的地端口标识符、同步标志和确认标志。在一些实施例中，每一消息也可以包括初始序列号和确认序列号。源标识符标识消息的发送者设备，且可以是例
如发送者设备的ip地址。目的地标识符标识消息的预期接收者设备，且可以是例如接收者设备的ip地址。源端口标识符标识与从其发送消息的发送者设备的逻辑端口相关联的端口号。目的地端口标识符标识与向其发送消息的接收者设备的逻辑端口相关联的端口号。
14.在一些实施例中，消息也可以包括初始序列号和确认序列号，初始序列号和确认序列号可以用来判断一个消息是否响应于先前的消息而被发送。例如，可以从发送者设备发送具有初始序列号x的消息，且接收者设备可以发送具有确认序列号x 1的应答消息，以便指示该消息是响应于来自发送者设备的具有初始序列号x的消息而发送的。因而，如果发送者设备发送多个消息且在应答中接收到仅一个消息，则通过把应答消息的确认序列号与来自发送者设备的消息的初始序列号进行比较，可以判断应答消息响应于来自发送者设备的哪一消息。
15.本发明公开的一种基于安全通信的网关系统包括第一网关、多个智能设备和一个服务器，其中第一网关具有短信通信接口，多个智能设备与服务器进行安全通信，第一网关通过短信向服务器请求密钥，服务器向第一网关发送密钥，第一网关将密钥根据shamir秘密共享门限方法拆分成多个子密钥，发送给智能设备，智能设备将要发送的数据分块后，随机地用多个子密钥作为对称密钥将分块数据进行加密，并发送到服务器，服务器使用多个子密钥对接收数据进行解密。
16.本实施例中的网关为家庭局域网中的各种智能设备，如智能音箱，智能电视，智能空调，智能摄像头等。其中第一网关可以是智能音箱，接收用户的语音指令，第一网关内嵌短信通信接口，可以收发短信。其它智能设备接收第一网关的指令，如接收拆分后的shamir子密钥。
17.shamir门限共享方法将需共享的密钥分成若干子密钥，并分发给参与者掌管，即通过构造(k,n)门限秘密共享方案，将一个秘密分成若干秘密份额分给n个参与者掌管，这些参与者中k个或k个以上的参与者所构成的子集可重构这个秘密。在本实施例中，k个子秘密都分给某个网关，由网关随机地将某个子秘密对某个分块数据进行加密，再将加密后的数据发送给服务器。
18.服务器收到数据后，使用多个子密钥对接收数据进行解密时，分别用多个子密钥对同一个数据块进行试探解密。因为服务器存储有shamir密钥和其子密钥，服务器可将多个子密钥对某个数据块轮流进行解密。
19.服务器和智能设备之间通过ipsec安全隧道进行通信。ipsec使用认证头ah和封装安全载esp两种安全协议来传输和封装数据，提供认证或加密等安全服务。封装时将ah或esp相关字段插入原始ip报文中，如在传输模式中，ah头或esp头被插入到ip头与传输层协议头之间，保护tcp/udp/icmp负载，或在原ip头部之前插入esp/ah头部，同时生成新的ip头部。本实施例所述ipsec安全隧道与常规的ipsec安全隧道的建立方式相同。
20.第一网关和智能设备之间使用约定静态口令进行身份认证。第一网关和其它网关预置了静态口令，在系统初始化过程中，第一网关和其它智能设备通过消息交互查询口令后，进行身份认证。
21.服务器向第一网关发送的短信密钥经过了加密，第一网关收到后用对称密钥方法将加密的短信密钥解密。该加密方法使用的密钥预设于服务器和第一网关中，加密方法包括sm1算法、sm2算法、sm3算法、sm4算法、sm7算法、sm9算法，以及des算法、aes算法、sha算
法、rsa算法、ecc算法中的一个或多个。
22.本实施例中，第一网关和服务器使用的短信密钥定期更新，示例性地，第一网关可每天向服务器请求发送一次短信密钥。
23.本发明的有益效果如下：
24.加密后的密钥经过短信发送，有效保证了密钥不被泄露，密钥进一步分解为子密钥，用子密钥来对数据进行加密，保证了加密效果。
25.上述实施例为本发明的一种实施方式，但本发明的实施方式并不受所述实施例的限制，其他的任何背离本发明的精神实质与原理下所做的改变、修饰、代替、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。


技术特征：
1.一种基于安全通信的网关系统，其特征在于，包括第一网关、多个智能设备和一个服务器，其中第一网关具有短信通信接口，多个智能设备与服务器进行安全通信，第一网关通过短信向服务器请求密钥，服务器向第一网关发送密钥，第一网关将密钥根据shamir秘密共享门限方法拆分成多个子密钥，发送给智能设备，智能设备将要发送的数据分块后，随机地用多个子密钥作为对称密钥将分块数据进行加密，并发送到服务器，服务器使用多个子密钥对接收数据进行解密。2.根据权利要求1所述的基于安全通信的网关系统，其特征在于，所述服务器使用多个子密钥对接收数据进行解密时，分别用多个子密钥对同一个数据块进行试探解密。3.根据权利要求1所述的基于安全通信的网关系统，其特征在于，服务器和智能设备之间通过ipsec安全隧道进行通信。4.根据权利要求1所述的基于安全通信的网关系统，其特征在于，第一网关和智能设备之间使用约定静态口令进行身份认证。5.根据权利要求1所述的基于安全通信的网关系统，其特征在于，服务器向第一网关发送的短信密钥经过了加密，第一网关收到后用对称密钥方法将加密的短信密钥解密。6.根据权利要求1所述的基于安全通信的网关系统，其特征在于，所述短信密钥定期更新。

技术总结
本发明属于通信领域，公开了一种基于安全通信的网关系统，包括多个网关和一个服务器，其中至少一个第一网关具有短信通信接口，多个网关与服务器进行安全通信，第一网关通过短信向服务器请求密钥，服务器向第一网关发送密钥，第一网关将密钥根据Shamir秘密共享门限方法拆分成多个子密钥，发送给其它网关，其它网关将要发送的数据分块后，随机地用多个子密钥作为对称密钥将分块数据进行加密，并发送到服务器，服务器使用多个子密钥对接收数据进行解密。本发明将加密后的密钥经过短信发送，有效保证了密钥不被泄露，密钥进一步分解为子密钥，用子密钥来对数据进行加密，保证了加密效果。果。果。


技术研发人员：蔡斌 葛云生 赵松林 陈铭熙
受保护的技术使用者：上海赋华网络科技有限公司
技术研发日：2021.10.20
技术公布日：2022/1/4