CN114172936A - 一种应用于物联网设备通信可信的方法 - Google Patents

一种应用于物联网设备通信可信的方法 Download PDF

Info

Publication number
CN114172936A
CN114172936A CN202111516211.7A CN202111516211A CN114172936A CN 114172936 A CN114172936 A CN 114172936A CN 202111516211 A CN202111516211 A CN 202111516211A CN 114172936 A CN114172936 A CN 114172936A
Authority
CN
China
Prior art keywords
equipment
internet
things
data packet
command
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111516211.7A
Other languages
English (en)
Inventor
罗杰武
林进创
郑日昌
林文件
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CHANGXUN COMMUNICATION SERVICE CO LTD
Original Assignee
CHANGXUN COMMUNICATION SERVICE CO LTD
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CHANGXUN COMMUNICATION SERVICE CO LTD filed Critical CHANGXUN COMMUNICATION SERVICE CO LTD
Priority to CN202111516211.7A priority Critical patent/CN114172936A/zh
Publication of CN114172936A publication Critical patent/CN114172936A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/302Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Theoretical Computer Science (AREA)
  • Cardiology (AREA)
  • Medical Informatics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种应用于物联网设备通信可信的方法,包括:物联网设备将加密后的心跳数据包发送到服务器,并随机数加入FIFO队列;服务器通过接收到的心跳数据包确认设备身份信息,身份无误,替换和记录最新的命令号和随机数,否则丢弃该心跳数据包;在服务器对物联网设备发送指令数据时,将命令数据包加密后发送到物联网设备;物联网设备对获取的命令数据包进行解密,确认身份信息,并对命令号进行校验,满足条件则物联网设备重新生成随机数加入FIFO队列,否则丢弃命令数据包。本发明提高了安全性,解决了物联网设备通信存在的重放攻击隐患;兼容传统加密,不影响原有传输过程的非对称加密,可以叠加使用。

Description

一种应用于物联网设备通信可信的方法
技术领域
本发明涉及物联网技术领域,尤其涉及一种应用于物联网设备通信可信的方法。
背景技术
现有物联网设备与云端平台进行通信时候,一般采用TCP/IP、MQTT、HTTP、WS等通信协议,为保证通信数据安全,TCP/IP可以通过SSL进行加密,MQTT、HTTP、WS可以通过TLS进行加密。但物联网设备的功能往往比较单一,通信指令少,容易被通过抓包手段,获得通信密文与设备功能点的对应关系,入侵者只要按照通信密文与功能点的对应关系,对物联网设备重播通信密文,即可达到控制物联网设备功能点的目的,而不需要破译其通信密文。在生产实践中,有利用时间加盐的方案来抵御密文重放攻击,但攻击者可以通过伪造的网络对时实现对设备的时间劫持,从而绕过时间加盐。因此物联网设备单单依赖通信内容加密会存在巨大的信息安全隐患。
现有物联网设备通信可信技术主要利用WSS或HTTPS等加密通信协议实现,一般用到的加密方式为SSL或TLS,这是一类非对称加密,对于通信内容有较好的保护能力。以SSL的HTTPS加密通信为例,设备端与服务端先协商对话秘钥,再进行秘钥加密的对话,如图1所示。
上述现有技术的缺点:主要用于对话内容的加密保护,但物联网设备通信除了传输内容数据,还有指令数据。指令数据往往比较简单,例如可以远程控制的门禁设备,它只需要接收“开”与“关”两个指令。对这样简单的指令进行加密是毫无意义的,因为黑客并不需要对密文进行破解,黑客可以通过复制密文,利用密文重播的方式,直接操控门禁设备的开与关,从而造成严重的安防事故,如图2展示重播攻击。
发明内容
为解决上述技术问题,本发明的目的是提供一种物联网设备通信安全可信的方法,该方法能判别加密指令的来源是否合法,而且能抵抗设备时间劫持和密文重放攻击。
本发明的目的通过以下的技术方案来实现:
一种应用于物联网设备通信可信的方法,该方法包括以下步骤:
步骤A物联网设备将加密后的心跳数据包发送到服务器,并随机数加入FIFO队列;
步骤B服务器通过接收到的心跳数据包确认设备身份信息,身份无误,替换和记录最新的命令号和随机数,否则丢弃该心跳数据包;
步骤C在服务器对物联网设备发送指令数据时,将命令数据包加密后发送到物联网设备;
步骤D物联网设备对获取的命令数据包进行解密,确认身份信息,并对命令号进行校验,满足条件则物联网设备重新生成随机数加入FIFO队列,否则丢弃命令数据包。
与现有技术相比,本发明的一个或多个实施例可以具有如下优点:
通过引入命令号的概念来保证物联网设备免受重放攻击,利用随机数队列来保证物联网设备能接收命令并发,并发数小于等于随机数队列长度。在此基础上可以兼容现有主流加密技术,如非对称加密RSA、通信过程加密TLS等,因此可保障物联网设备的通信可信。
附图说明
图1是现有技术流程图;
图2是现有技术提供的重播攻击流程图;
图3是物联网设备通信安全可信的方法流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合实施例及附图对本发明作进一步详细的描述。
如图3所示,为物联网设备通信可信方法流程,包括以下步骤:
步骤10物联网设备将加密后的心跳数据包发送到服务器,并随机数加入FIFO队列;
物联网设备通过设备地址码、设备序列号、命令号、随机数形成心跳包数据,由RSA公钥加密后发送到服务器。
步骤20服务器通过接收到的心跳数据包确认设备身份信息,身份无误,替换和记录最新的命令号和随机数,否则丢弃该心跳数据包;
服务器通过RSA秘钥进行解密,并以设备地址码、设备序列号来确认设备身份。
上述步骤10和20具体包括:设备地址码MAC、设备序列号ID、命令号N、随机数M,使用序列号函数形成心跳数据包D
D=fjson(MAC,ID,N,M)
使用RSA算法和公钥K,把D进行加密形成D′
D′=fRAS(D,K)
把随机数M加入FIFO(First Input First Output)队列,把D′通过MQTT、HTTP等协议发送到服务器。服务器端RAS的秘钥为K′
解密过程为:
Figure BDA0003398491200000031
反序列化过程为:
Figure BDA0003398491200000032
身份判别成立条件:{MAC,ID}={MACexit,IDexit}。
步骤30在服务器对物联网设备发送指令数据时,将命令数据包加密后发送到物联网设备;
物联网设备获取命令数据后时,命令号自增1后和指令数据、设备地址码、设备序列号、随机数形成命令数据包,并由RSA秘钥进行加密后发送到物联网设备。
使命令号N′=N+1,命令数据为I,其余设备地址码MAC、设备序列号ID、随机数M都不变,形成D″
D″=fRAS(fjson(N′,I,MAC,ID,M),K′)
步骤40物联网设备对获取的命令数据包进行解密,确认身份信息,并对命令号进行校验,满足条件则物联网设备重新生成随机数加入FIFO队列,否则丢弃命令数据包。
物联网设备通过RSA公钥对获取的命令数据包进行解密,利用设备地址码、设备序列号、随机数确认身份信息。
解密过程为:
Figure BDA0003398491200000041
反序列化过程为:
Figure BDA0003398491200000042
命令号判别成立条件:N′>N
物联网设备获得{N′,I,MAC,ID,M}信息后,对{MAC,ID}进行身份确认,并且检查M是否存在FIFO队列中,均满足条件则执行命令I,令N=N′,生成新的随机数M′加入FIFO队列,M从FIFO队列中剔除。若有一处不满足,则丢弃整个信息。下一次心跳包数据为{MAC,ID,N′,M′}或{MAC,ID,N,M}。
具体实施例如下:
设备地址码MAC、设备序列号ID、命令号N、随机数M,使用序列号函数形成心跳数据包D,使用RAS算法和公钥K进行加密得到D′,如下表1:
表1
Figure BDA0003398491200000043
Figure BDA0003398491200000051
物联网设备把随机数M加入FIFO(First Input First Output)队列,把D′通过MQTT、HTTP等协议发送到服务器。服务器端RAS的秘钥为K′,服务端通过解密获得心跳数据包D,如下表2:
表2
Figure BDA0003398491200000052
服务器从心跳数据包D通过反序列化提取到设备信息、命令号和随机数
Figure BDA0003398491200000053
如下表3
表3
Figure BDA0003398491200000054
Figure BDA0003398491200000061
若设备地址码MAC和设备序列号ID均是在服务端注册设备,则更新服务端对应设备的命令号N和随机数M。
使命令号N′=N+1,命令数据为I,其余设备地址码MAC、设备序列号ID、随机数M都不变,形成D″
D″=fRAS(fjson(N′,I,MAC,ID,M),K′);如下表4所示:
表4
Figure BDA0003398491200000062
Figure BDA0003398491200000071
步骤40中解密过程为和反序列化过程与步骤10、步骤20和步骤30中的一致,是否执行命令的判别条件:N′>N&&M∈FIFO{M1,M1,...,Mn}。满足条件时,令N=N′,生成新的随机数M′加入FIFO队列,M从FIFO队列中剔除。若有一处不满足,则丢弃整个信息。下一次心跳包数据为{MAC,ID,N′,M′}或{MAC,ID,N,M}。如下表5所示:
表5
Figure BDA0003398491200000072
虽然本发明所揭露的实施方式如上,但所述的内容只是为了便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属技术领域内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式上及细节上作任何的修改与变化,但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。

Claims (8)

1.一种应用于物联网设备通信可信的方法,其特征在于,所述方法包括以下步骤:
步骤A物联网设备将加密后的心跳数据包发送到服务器,并随机数加入FIFO队列;
步骤B服务器通过接收到的心跳数据包确认设备身份信息,身份无误,替换和记录最新的命令号和随机数,否则丢弃该心跳数据包;
步骤C在服务器对物联网设备发送指令数据时,将命令数据包加密后发送到物联网设备;
步骤D物联网设备对获取的命令数据包进行解密,确认身份信息,并对命令号进行校验,满足条件则物联网设备重新生成随机数加入FIFO队列,否则丢弃命令数据包。
2.根据权利要求1所述的应用于物联网设备通信可信的方法,其特征在于,所述步骤A中:物联网设备通过设备地址码、设备序列号、命令号、随机数形成心跳包数据,由RSA公钥加密后发送到服务器。
3.根据权利要求1所述的应用于物联网设备通信可信的方法,其特征在于,所述步骤B中:服务器通过RSA秘钥进行解密,并以设备地址码、设备序列号来确认设备身份。
4.根据权利要求1所述的应用于物联网设备通信可信的方法,其特征在于,所述步骤C具体包括:物联网设备获取命令数据后时,命令号自增1后和指令数据、设备地址码、设备序列号、随机数形成命令数据包,并由RSA秘钥进行加密后发送到物联网设备。
5.根据权利要求1所述的应用于物联网设备通信可信的方法,其特征在于,所述步骤D中物联网设备通过RSA公钥对获取的命令数据包进行解密,利用设备地址码、设备序列号、随机数确认身份信息。
6.根据权利要求1或2所述的应用于物联网设备通信可信的方法,其特征在于,所述步骤A和步骤B具体包括:设备地址码MAC、设备序列号ID、命令号N、随机数M,使用序列号函数形成心跳数据包D
D=fjson(MAC,ID,N,M)
使用RSA算法和公钥K,把D进行加密形成D′
D′=fRAS(D,K)
把随机数M加入FIFO(First Input First Output)队列,把D′通过MQTT、HTTP等协议发送到服务器;服务器端RAS的秘钥为K′;
解密过程为:
Figure FDA0003398491190000021
反序列化过程为:
Figure FDA0003398491190000022
身份判别成立条件:{MAC,ID}={MACexit,IDexit}。
7.根据权利要求1或4所述的应用于物联网设备通信可信的方法,其特征在于,所述步骤C使命令号N′=N+1,命令数据为I,其余设备地址码MAC、设备序列号ID、随机数M都不变,形成D″
D″=fRAS(fjson(N′,I,MAC,ID,M),K′)。
8.根据权利要求1或4所述的应用于物联网设备通信可信的方法,其特征在于所述步骤C具体包括:
解密过程为:
Figure FDA0003398491190000023
反序列化过程为:
Figure FDA0003398491190000024
命令号判别成立条件:N′>N
物联网设备获得{N′,I,MAC,ID,M}信息后,对{MAC,ID}进行身份确认,并且检查M是否存在FIFO队列中,均满足条件则执行命令I,令N=N′,生成新的随机数M′加入FIFO队列,M从FIFO队列中剔除;若有一处不满足,则丢弃整个信息;下一次心跳包数据为{MAC,ID,N′,M′}或{MAC,ID,N,M}。
CN202111516211.7A 2021-12-08 2021-12-08 一种应用于物联网设备通信可信的方法 Pending CN114172936A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111516211.7A CN114172936A (zh) 2021-12-08 2021-12-08 一种应用于物联网设备通信可信的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111516211.7A CN114172936A (zh) 2021-12-08 2021-12-08 一种应用于物联网设备通信可信的方法

Publications (1)

Publication Number Publication Date
CN114172936A true CN114172936A (zh) 2022-03-11

Family

ID=80485897

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111516211.7A Pending CN114172936A (zh) 2021-12-08 2021-12-08 一种应用于物联网设备通信可信的方法

Country Status (1)

Country Link
CN (1) CN114172936A (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120124367A1 (en) * 2010-11-15 2012-05-17 Trilliant Holdings Inc. System and Method for Securely Communicating Across Multiple Networks Using a Single Radio
CN107835145A (zh) * 2016-09-21 2018-03-23 炫彩互动网络科技有限公司 一种防重放攻击的方法及分布式***
CN109194656A (zh) * 2018-09-10 2019-01-11 国家电网有限公司 一种配电无线终端安全接入的方法
CN110377268A (zh) * 2019-07-25 2019-10-25 中国工商银行股份有限公司 流水号生成方法、装置及存储介质
CN112511548A (zh) * 2020-12-02 2021-03-16 中电科鹏跃电子科技有限公司 一种防止重放攻击的方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120124367A1 (en) * 2010-11-15 2012-05-17 Trilliant Holdings Inc. System and Method for Securely Communicating Across Multiple Networks Using a Single Radio
CN107835145A (zh) * 2016-09-21 2018-03-23 炫彩互动网络科技有限公司 一种防重放攻击的方法及分布式***
CN109194656A (zh) * 2018-09-10 2019-01-11 国家电网有限公司 一种配电无线终端安全接入的方法
CN110377268A (zh) * 2019-07-25 2019-10-25 中国工商银行股份有限公司 流水号生成方法、装置及存储介质
CN112511548A (zh) * 2020-12-02 2021-03-16 中电科鹏跃电子科技有限公司 一种防止重放攻击的方法及装置

Similar Documents

Publication Publication Date Title
US10432591B2 (en) Establishing a communication event using secure signaling
US10893076B2 (en) Data compression for communications signalling
JP6495548B2 (ja) コンピュータネットワークを改善するためのコンピュータで実現される暗号化方法、及び端末、システム及びそれらのためのコンピュータ可読媒体
US9456002B2 (en) Selective modification of encrypted application layer data in a transparent security gateway
EP3369240B1 (en) Protocol fallback during call signaling
EP3461097B1 (en) Encrypted content detection method and apparatus
CN110266485B (zh) 一种基于NB-IoT的物联网安全通信控制方法
KR101448866B1 (ko) 웹 보안 프로토콜에 따른 암호화 데이터를 복호화하는 보안 장치 및 그것의 동작 방법
CN113645115B (zh) 虚拟专用网络接入方法和***
US9825942B2 (en) System and method of authenticating a live video stream
KR101089269B1 (ko) 보안 기능을 제공하는 안전한 에스아이피 프로토콜을 이용한 공격 탐지 방법 및 시스템
CN102843375B (zh) 基于ip协议中的标识控制网络访问的方法
CN114172936A (zh) 一种应用于物联网设备通信可信的方法
CN111970281B (zh) 基于验证服务器的路由设备远程控制方法、***及电子设备
CN116488815A (zh) 一种基于云化plc的加密协议方法及***
CN117201200A (zh) 基于协议栈的数据安全传输方法
Liu et al. The research of streaming media mutual digest authentication model based on RTSP protocol

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination