CN114172936A - 一种应用于物联网设备通信可信的方法 - Google Patents
一种应用于物联网设备通信可信的方法 Download PDFInfo
- Publication number
- CN114172936A CN114172936A CN202111516211.7A CN202111516211A CN114172936A CN 114172936 A CN114172936 A CN 114172936A CN 202111516211 A CN202111516211 A CN 202111516211A CN 114172936 A CN114172936 A CN 114172936A
- Authority
- CN
- China
- Prior art keywords
- equipment
- internet
- things
- data packet
- command
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000006854 communication Effects 0.000 title claims abstract description 32
- 238000004891 communication Methods 0.000 title claims abstract description 31
- 238000000034 method Methods 0.000 title claims abstract description 28
- 238000012790 confirmation Methods 0.000 claims description 2
- 230000001172 regenerating effect Effects 0.000 claims description 2
- 230000005540 biological transmission Effects 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000009938 salting Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y30/00—IoT infrastructure
- G16Y30/10—Security thereof
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
- H04L9/302—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Theoretical Computer Science (AREA)
- Cardiology (AREA)
- Medical Informatics (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种应用于物联网设备通信可信的方法,包括:物联网设备将加密后的心跳数据包发送到服务器,并随机数加入FIFO队列;服务器通过接收到的心跳数据包确认设备身份信息,身份无误,替换和记录最新的命令号和随机数,否则丢弃该心跳数据包;在服务器对物联网设备发送指令数据时,将命令数据包加密后发送到物联网设备;物联网设备对获取的命令数据包进行解密,确认身份信息,并对命令号进行校验,满足条件则物联网设备重新生成随机数加入FIFO队列,否则丢弃命令数据包。本发明提高了安全性,解决了物联网设备通信存在的重放攻击隐患;兼容传统加密,不影响原有传输过程的非对称加密,可以叠加使用。
Description
技术领域
本发明涉及物联网技术领域,尤其涉及一种应用于物联网设备通信可信的方法。
背景技术
现有物联网设备与云端平台进行通信时候,一般采用TCP/IP、MQTT、HTTP、WS等通信协议,为保证通信数据安全,TCP/IP可以通过SSL进行加密,MQTT、HTTP、WS可以通过TLS进行加密。但物联网设备的功能往往比较单一,通信指令少,容易被通过抓包手段,获得通信密文与设备功能点的对应关系,入侵者只要按照通信密文与功能点的对应关系,对物联网设备重播通信密文,即可达到控制物联网设备功能点的目的,而不需要破译其通信密文。在生产实践中,有利用时间加盐的方案来抵御密文重放攻击,但攻击者可以通过伪造的网络对时实现对设备的时间劫持,从而绕过时间加盐。因此物联网设备单单依赖通信内容加密会存在巨大的信息安全隐患。
现有物联网设备通信可信技术主要利用WSS或HTTPS等加密通信协议实现,一般用到的加密方式为SSL或TLS,这是一类非对称加密,对于通信内容有较好的保护能力。以SSL的HTTPS加密通信为例,设备端与服务端先协商对话秘钥,再进行秘钥加密的对话,如图1所示。
上述现有技术的缺点:主要用于对话内容的加密保护,但物联网设备通信除了传输内容数据,还有指令数据。指令数据往往比较简单,例如可以远程控制的门禁设备,它只需要接收“开”与“关”两个指令。对这样简单的指令进行加密是毫无意义的,因为黑客并不需要对密文进行破解,黑客可以通过复制密文,利用密文重播的方式,直接操控门禁设备的开与关,从而造成严重的安防事故,如图2展示重播攻击。
发明内容
为解决上述技术问题,本发明的目的是提供一种物联网设备通信安全可信的方法,该方法能判别加密指令的来源是否合法,而且能抵抗设备时间劫持和密文重放攻击。
本发明的目的通过以下的技术方案来实现:
一种应用于物联网设备通信可信的方法,该方法包括以下步骤:
步骤A物联网设备将加密后的心跳数据包发送到服务器,并随机数加入FIFO队列;
步骤B服务器通过接收到的心跳数据包确认设备身份信息,身份无误,替换和记录最新的命令号和随机数,否则丢弃该心跳数据包;
步骤C在服务器对物联网设备发送指令数据时,将命令数据包加密后发送到物联网设备;
步骤D物联网设备对获取的命令数据包进行解密,确认身份信息,并对命令号进行校验,满足条件则物联网设备重新生成随机数加入FIFO队列,否则丢弃命令数据包。
与现有技术相比,本发明的一个或多个实施例可以具有如下优点:
通过引入命令号的概念来保证物联网设备免受重放攻击,利用随机数队列来保证物联网设备能接收命令并发,并发数小于等于随机数队列长度。在此基础上可以兼容现有主流加密技术,如非对称加密RSA、通信过程加密TLS等,因此可保障物联网设备的通信可信。
附图说明
图1是现有技术流程图;
图2是现有技术提供的重播攻击流程图;
图3是物联网设备通信安全可信的方法流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合实施例及附图对本发明作进一步详细的描述。
如图3所示,为物联网设备通信可信方法流程,包括以下步骤:
步骤10物联网设备将加密后的心跳数据包发送到服务器,并随机数加入FIFO队列;
物联网设备通过设备地址码、设备序列号、命令号、随机数形成心跳包数据,由RSA公钥加密后发送到服务器。
步骤20服务器通过接收到的心跳数据包确认设备身份信息,身份无误,替换和记录最新的命令号和随机数,否则丢弃该心跳数据包;
服务器通过RSA秘钥进行解密,并以设备地址码、设备序列号来确认设备身份。
上述步骤10和20具体包括:设备地址码MAC、设备序列号ID、命令号N、随机数M,使用序列号函数形成心跳数据包D
D=fjson(MAC,ID,N,M)
使用RSA算法和公钥K,把D进行加密形成D′
D′=fRAS(D,K)
把随机数M加入FIFO(First Input First Output)队列,把D′通过MQTT、HTTP等协议发送到服务器。服务器端RAS的秘钥为K′
身份判别成立条件:{MAC,ID}={MACexit,IDexit}。
步骤30在服务器对物联网设备发送指令数据时,将命令数据包加密后发送到物联网设备;
物联网设备获取命令数据后时,命令号自增1后和指令数据、设备地址码、设备序列号、随机数形成命令数据包,并由RSA秘钥进行加密后发送到物联网设备。
使命令号N′=N+1,命令数据为I,其余设备地址码MAC、设备序列号ID、随机数M都不变,形成D″
D″=fRAS(fjson(N′,I,MAC,ID,M),K′)
步骤40物联网设备对获取的命令数据包进行解密,确认身份信息,并对命令号进行校验,满足条件则物联网设备重新生成随机数加入FIFO队列,否则丢弃命令数据包。
物联网设备通过RSA公钥对获取的命令数据包进行解密,利用设备地址码、设备序列号、随机数确认身份信息。
命令号判别成立条件:N′>N
物联网设备获得{N′,I,MAC,ID,M}信息后,对{MAC,ID}进行身份确认,并且检查M是否存在FIFO队列中,均满足条件则执行命令I,令N=N′,生成新的随机数M′加入FIFO队列,M从FIFO队列中剔除。若有一处不满足,则丢弃整个信息。下一次心跳包数据为{MAC,ID,N′,M′}或{MAC,ID,N,M}。
具体实施例如下:
设备地址码MAC、设备序列号ID、命令号N、随机数M,使用序列号函数形成心跳数据包D,使用RAS算法和公钥K进行加密得到D′,如下表1:
表1
物联网设备把随机数M加入FIFO(First Input First Output)队列,把D′通过MQTT、HTTP等协议发送到服务器。服务器端RAS的秘钥为K′,服务端通过解密获得心跳数据包D,如下表2:
表2
服务器从心跳数据包D通过反序列化提取到设备信息、命令号和随机数
表3
若设备地址码MAC和设备序列号ID均是在服务端注册设备,则更新服务端对应设备的命令号N和随机数M。
使命令号N′=N+1,命令数据为I,其余设备地址码MAC、设备序列号ID、随机数M都不变,形成D″
D″=fRAS(fjson(N′,I,MAC,ID,M),K′);如下表4所示:
表4
步骤40中解密过程为和反序列化过程与步骤10、步骤20和步骤30中的一致,是否执行命令的判别条件:N′>N&&M∈FIFO{M1,M1,...,Mn}。满足条件时,令N=N′,生成新的随机数M′加入FIFO队列,M从FIFO队列中剔除。若有一处不满足,则丢弃整个信息。下一次心跳包数据为{MAC,ID,N′,M′}或{MAC,ID,N,M}。如下表5所示:
表5
虽然本发明所揭露的实施方式如上,但所述的内容只是为了便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属技术领域内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式上及细节上作任何的修改与变化,但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
Claims (8)
1.一种应用于物联网设备通信可信的方法,其特征在于,所述方法包括以下步骤:
步骤A物联网设备将加密后的心跳数据包发送到服务器,并随机数加入FIFO队列;
步骤B服务器通过接收到的心跳数据包确认设备身份信息,身份无误,替换和记录最新的命令号和随机数,否则丢弃该心跳数据包;
步骤C在服务器对物联网设备发送指令数据时,将命令数据包加密后发送到物联网设备;
步骤D物联网设备对获取的命令数据包进行解密,确认身份信息,并对命令号进行校验,满足条件则物联网设备重新生成随机数加入FIFO队列,否则丢弃命令数据包。
2.根据权利要求1所述的应用于物联网设备通信可信的方法,其特征在于,所述步骤A中:物联网设备通过设备地址码、设备序列号、命令号、随机数形成心跳包数据,由RSA公钥加密后发送到服务器。
3.根据权利要求1所述的应用于物联网设备通信可信的方法,其特征在于,所述步骤B中:服务器通过RSA秘钥进行解密,并以设备地址码、设备序列号来确认设备身份。
4.根据权利要求1所述的应用于物联网设备通信可信的方法,其特征在于,所述步骤C具体包括:物联网设备获取命令数据后时,命令号自增1后和指令数据、设备地址码、设备序列号、随机数形成命令数据包,并由RSA秘钥进行加密后发送到物联网设备。
5.根据权利要求1所述的应用于物联网设备通信可信的方法,其特征在于,所述步骤D中物联网设备通过RSA公钥对获取的命令数据包进行解密,利用设备地址码、设备序列号、随机数确认身份信息。
7.根据权利要求1或4所述的应用于物联网设备通信可信的方法,其特征在于,所述步骤C使命令号N′=N+1,命令数据为I,其余设备地址码MAC、设备序列号ID、随机数M都不变,形成D″
D″=fRAS(fjson(N′,I,MAC,ID,M),K′)。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111516211.7A CN114172936A (zh) | 2021-12-08 | 2021-12-08 | 一种应用于物联网设备通信可信的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111516211.7A CN114172936A (zh) | 2021-12-08 | 2021-12-08 | 一种应用于物联网设备通信可信的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114172936A true CN114172936A (zh) | 2022-03-11 |
Family
ID=80485897
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111516211.7A Pending CN114172936A (zh) | 2021-12-08 | 2021-12-08 | 一种应用于物联网设备通信可信的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114172936A (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120124367A1 (en) * | 2010-11-15 | 2012-05-17 | Trilliant Holdings Inc. | System and Method for Securely Communicating Across Multiple Networks Using a Single Radio |
CN107835145A (zh) * | 2016-09-21 | 2018-03-23 | 炫彩互动网络科技有限公司 | 一种防重放攻击的方法及分布式*** |
CN109194656A (zh) * | 2018-09-10 | 2019-01-11 | 国家电网有限公司 | 一种配电无线终端安全接入的方法 |
CN110377268A (zh) * | 2019-07-25 | 2019-10-25 | 中国工商银行股份有限公司 | 流水号生成方法、装置及存储介质 |
CN112511548A (zh) * | 2020-12-02 | 2021-03-16 | 中电科鹏跃电子科技有限公司 | 一种防止重放攻击的方法及装置 |
-
2021
- 2021-12-08 CN CN202111516211.7A patent/CN114172936A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120124367A1 (en) * | 2010-11-15 | 2012-05-17 | Trilliant Holdings Inc. | System and Method for Securely Communicating Across Multiple Networks Using a Single Radio |
CN107835145A (zh) * | 2016-09-21 | 2018-03-23 | 炫彩互动网络科技有限公司 | 一种防重放攻击的方法及分布式*** |
CN109194656A (zh) * | 2018-09-10 | 2019-01-11 | 国家电网有限公司 | 一种配电无线终端安全接入的方法 |
CN110377268A (zh) * | 2019-07-25 | 2019-10-25 | 中国工商银行股份有限公司 | 流水号生成方法、装置及存储介质 |
CN112511548A (zh) * | 2020-12-02 | 2021-03-16 | 中电科鹏跃电子科技有限公司 | 一种防止重放攻击的方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10432591B2 (en) | Establishing a communication event using secure signaling | |
US10893076B2 (en) | Data compression for communications signalling | |
JP6495548B2 (ja) | コンピュータネットワークを改善するためのコンピュータで実現される暗号化方法、及び端末、システム及びそれらのためのコンピュータ可読媒体 | |
US9456002B2 (en) | Selective modification of encrypted application layer data in a transparent security gateway | |
EP3369240B1 (en) | Protocol fallback during call signaling | |
EP3461097B1 (en) | Encrypted content detection method and apparatus | |
CN110266485B (zh) | 一种基于NB-IoT的物联网安全通信控制方法 | |
KR101448866B1 (ko) | 웹 보안 프로토콜에 따른 암호화 데이터를 복호화하는 보안 장치 및 그것의 동작 방법 | |
CN113645115B (zh) | 虚拟专用网络接入方法和*** | |
US9825942B2 (en) | System and method of authenticating a live video stream | |
KR101089269B1 (ko) | 보안 기능을 제공하는 안전한 에스아이피 프로토콜을 이용한 공격 탐지 방법 및 시스템 | |
CN102843375B (zh) | 基于ip协议中的标识控制网络访问的方法 | |
CN114172936A (zh) | 一种应用于物联网设备通信可信的方法 | |
CN111970281B (zh) | 基于验证服务器的路由设备远程控制方法、***及电子设备 | |
CN116488815A (zh) | 一种基于云化plc的加密协议方法及*** | |
CN117201200A (zh) | 基于协议栈的数据安全传输方法 | |
Liu et al. | The research of streaming media mutual digest authentication model based on RTSP protocol |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |