CN115767522B - 通信安全一体化设计的物联网应用安全增强***和方法 - Google Patents
通信安全一体化设计的物联网应用安全增强***和方法 Download PDFInfo
- Publication number
- CN115767522B CN115767522B CN202310023793.8A CN202310023793A CN115767522B CN 115767522 B CN115767522 B CN 115767522B CN 202310023793 A CN202310023793 A CN 202310023793A CN 115767522 B CN115767522 B CN 115767522B
- Authority
- CN
- China
- Prior art keywords
- internet
- things
- security
- module
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种通信安全一体化设计的物联网应用安全增强***和方法,所述***包括物联网终端、集成安全SIM模块和密码模块的物联网安全通信模组、集成安全HSS网元的NB‑IoT网络、集成服务器密码机的物联网管理平台以及物联网应用。本发明能够在不增加***流程开销的前提下,提供专用接入认证和专用端到端轻量级业务安全防护能力,既满足关键行业对物联网应用的安全需求,又能够通过通信与安全的一体化设计确保不引入新的流程和新的开销。本发明适用范围广,不仅适用于基于NB‑IoT的物联网应用,还能够适用于未来5G mMTC场景和其他体制的物联网应用。
Description
技术领域
本发明涉及通信技术领域,具体而言,涉及一种通信安全一体化设计的物联网应用安全增强***和方法。
背景技术
随着各大运营商在4G、5G移动通信基础设施的持续投入,物联网作为移动通信中的一个重要分支,也得到了飞速发展,物联网应用也日益普及。相应的,物联网应用的安全需求也越来越旺盛,特别是很多面向关键行业和重要领域的物联网应用,就更需要针对物联网应用进行安全增强设计。
以NB-IoT物联网***为例,物联网应用的模型包括,物联网终端-移动通信网络-物联网管理平台-物联网应用。其中,物联网终端与物联网管理平台之间会进行连接鉴权管理,如图1所示,其中PGW为网关。
通常物联网终端与物联网管理平台之间的连接鉴权管理所采用的认证方式、认证算法、认证协议等安全性不满足关键行业需求,同时也没有提供针对上下行业务数据的机密性和完整性保护。为了满足关键行业针对物联网应用的安全需求,传统解决方案的模型包括,物联网终端-移动通信网络-物联网管理平台-物联网应用。其中,物联网终端需要嵌入密码模块,物联网应用需要通过密码服务SDK调用配套的服务器密码机;由终端侧密码模块与应用侧服务器密码机配合,提供端到端安全防护能力,包括接入鉴权和数据机密性、完整性保护,如图2所示。
物联网应用安全的传统解决方案是不采信物联网终端与NB-IoT网络之间的移动通信主认证以及物联网终端与物联网管理平台之间的连接鉴权认证,而在***叠加了一层应用层的双向认证和端到端业务防护,如图3所示。
但是这种物联网应用安全增强的传统解决方案存在以下重大弊端:
第一,从安全性角度,对于关键行业而言,实际上只提供了一层防护;
第二,从开销角度,实际上提供的是三层防护的开销,费效非常的低;
第三,物联网终端厂家、物联网应用厂商,均需要具有集成密码服务的开发能力,增加了集成安全能力的代价。
因此,迫切需要一种高效率、低开销,同时安全性能够满足关键行业安全需求的物联网应用安全防护方法。
发明内容
本发明旨在提供一种通信安全一体化设计的物联网应用安全增强***和方法,以解决上述物联网应用安全增强的传统解决方案存在的问题。
本发明提供的一种通信安全一体化设计的物联网应用安全增强***,包括物联网终端、集成安全SIM模块和密码模块的物联网安全通信模组、集成安全HSS网元的NB-IoT网络、集成服务器密码机的物联网管理平台以及物联网应用;所述物联网终端连接物联网安全通信模组,并经基站连接至NB-IoT网络;所述物联网应用经物联网管理平台连接至NB-IoT网络。
可选的,所述安全SIM模块为插拔式的USIM模块,或内嵌于安全通信模组的嵌入式eSIM模块。
本发明还提供一种通信安全一体化设计的物联网应用安全增强方法,所述物联网应用安全增强方法采用上述的通信安全一体化设计的物联网应用安全增强***实现;
所述物联网应用安全增强方法包括:
基于物联网安全通信模组中的安全SIM模块和NB-IoT网络中的安全HSS网元进行专用移动通信主认证;
基于物联网安全通信模组及其中的密码模块和物联网管理平台及其中的服务器密码机进行轻量级专用接入认证和轻量级端到端业务加密防护。
进一步的,所述物联网安全通信模组中的安全SIM模块和NB-IoT网络中的安全HSS网元,通过内嵌专用认证算法进行专用移动通信主认证。
进一步的,所述通过内嵌专用认证算法进行专用移动通信主认证的过程为:
物联网终端通过物联网安全通信模组向NB-IoT网络发起入网附着请求;
NB-IoT网络的安全HSS网元收到入网附着请求后,产生专用移动通信主认证请求;
物联网安全通信模组在收到专用移动通信主认证请求后,将专用移动通信主认证请求中的鉴权请求解析出来,发送给安全SIM模块;
安全SIM模块基于鉴权向量完成对NB-IoT网络的身份鉴别,并生成鉴权终端侧鉴权结果;
物联网安全通信模组基于安全SIM模块返回的鉴权结果生成专用移动通信主认证应答,并向NB-IoT网络发送;
NB-IoT网络完成对物联网终端的身份鉴别后,完成后续入网附着流程之后,返回入网附着成功。
进一步的,所述物联网安全通信模组通过轻度软件适配内嵌密码模块,通过调用密码模块提供的专用身份鉴别运算、专用机密性保护与完整性保护运算,进行终端侧轻量级专用接入认证和轻量级端到端业务加密防护;所述物联网管理平台通过轻度软件适配内嵌密码服务SDK,通过密码服务SDK调用配套服务器密码机提供的专用身份鉴别运算、专用机密性保护与完整性保护运算,进行网络侧轻量级专用接入认证和轻量级端到端业务加密防护。
进一步的,所述专用接入认证的过程包括:
入网附着成功后,物联网安全通信模组将驻网成功结果通知给AT命令处理软件模块和物联网终端;
物联网终端通过发送AT指令CSAUTH,通知物联网安全通信模组准备向物联网管理平台发起接入认证请求;
物联网安全通信模组调用密码模块的专用身份鉴别运算功能,生成身份鉴别凭证;
基于身份鉴别凭证封装接入认证请求,并向物联网管理平台发起专用轻量级接入认证请求;
物联网管理平台收到专用轻量级接入认证请求后,调用服务器密码机的专用身份鉴别运算功能,对物联网终端进行身份鉴别;
完成对物联网终端的身份鉴别后,物联网管理平台向物联网安全通信模组返回专用轻量级接入认证应答;
物联网安全通信模组解封装专用轻量级接入认证应答,获取对端身份鉴别凭证,并调用密码模块的专用身份鉴别运算功能,验证对端身份鉴别凭证;
物联网安全通信模组准备通过应答AT指令AUTH OK通知物联网终端接入认证的结果。
进一步的,所述轻量级端到端业务加密防护的过程包括:
物联网终端产生上行业务数据时的轻量级端到端业务加密防护;
物联网终端产生下行业务数据时的轻量级端到端业务加密防护。
进一步的,所述物联网终端产生上行业务数据时的轻量级端到端业务加密防护的过程包括:
物联网终端通过发送AT指令CSSOCR,通知物联网安全通信模组创建Socket会话;
物联网安全通信模组创建Socket会话,并向物联网终端返回Socket号;
物联网终端通过发送AT指令CSSOST,向物联网安全通信模组发送明文上行业务数据;
物联网安全通信模组调用密码模块的机密性保护运算功能生成密文业务数据;
物联网安全通信模组调用密码模块的完整性保护运算功能,生成校验凭证,至此获得完整的上行密文业务数据;
物联网安全通信模组向物联网管理平台发送上行密文业务数据;
物联网管理平台通过密码服务SDK调用服务器密码机进行完整性保护校验,验证上行密文业务数据在传输过程中是否被篡改;
若上行密文业务数据未被篡改,物联网管理平台通过密码服务SDK调用服务器密码机进行机密性保护解析,获得上行明文业务数据;
物联网管理平台向物联网应用发送上行明文业务数据;
物联网应用获得上行明文业务数据。
进一步的,所述物联网终端产生下行业务数据时的轻量级端到端业务加密防护的过程包括:
物联网应用向物联网管理平台发送下行明文业务数据;
物联网管理平台调用服务器密码机的机密性保护运算功能生成密文业务数据;
物联网管理平台通过密码服务SDK调用服务器密码机的完整性保护运算功能,生成校验凭证,至此获得完整的下行密文业务数据;
物联网管理平台向物联网终端发送下行密文业务数据;
物联网安全通信模组收到下行密文业务数据后,调用密码模块的完整性保护运算功能,验证下行密文业务数据在传输过程中是否被篡改;
若下行密文业务数据未被篡改,物联网安全通信模组调用密码模块的机密性保护运算功能,解析下行密文业务数据,获得下行明文业务数据;
物联网终端通过发送AT指令CSSORF,从物联网安全通信模组获得下行明文业务数据;
物联网终端根据下行明文业务数据中的控制指令执行相关处理;
物联网终端通过发送AT指令CSSORF,通知物联网安全通信模组释放Socket会话;
物联网安全通信模组释放Socket会话。
综上所述,由于采用了上述技术方案,本发明的有益效果是:
本发明提供的通信安全一体化设计的物联网应用安全增强***和方法,在不增加***流程开销的前提下,提供专用接入认证和专用端到端轻量级业务安全防护能力,既满足关键行业对物联网应用的安全需求,又能够通过通信与安全的一体化设计确保不引入新的流程和新的开销。你发明适用范围广,不仅适用于基于NB-IoT的物联网应用,还能够适用于未来5G mMTC场景和其他体制的物联网应用。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为NB-IoT物联网***中,包括物联网终端-移动通信网络-物联网管理平台-物联网应用的物联网应用模型的结构示意图。
图2为物联网应用安全增强的传统解决方案的结构示意图。
图3为物联网应用安全增强的传统解决方案的实现原理示意图。
图4为本发明实施例中通信安全一体化设计的物联网应用安全增强***的结构示意图。
图5为本发明实施例中通信安全一体化设计的物联网应用安全增强***的工作原理示意图。
图6为本发明实施例中通信安全一体化设计的物联网应用安全增强***的具体业务流程示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
如图4所示,本实施例提出一种通信安全一体化设计的物联网应用安全增强***,包括物联网终端、集成安全SIM模块和密码模块的物联网安全通信模组、集成安全HSS网元的NB-IoT网络、集成服务器密码机的物联网管理平台以及物联网应用;所述物联网终端连接物联网安全通信模组,并经基站连接至NB-IoT网络;所述物联网应用经物联网管理平台连接至NB-IoT网络。其中,密码模块内嵌内嵌于物联网安全通信模组;所述安全SIM模块为插拔式的USIM模块,或内嵌于安全通信模组的嵌入式eSIM模块;NB-IoT网络专用接口调用安全HSS网元;服务器密码机内嵌于物联网管理平台,前者通过专用接口调用后者。
所述通信安全一体化设计的物联网应用安全增强***的工作原理如图5所示,由安全SIM模块与安全HSS网元配合完成通信安全一体化设计的专用移动通信主认证安全增强;物联网安全通信模组及密码模块与物联网管理平台及服务器密码机配合完成通信安全一体化设计的专用轻量级接入认证与端到端业务加密防护。既能够满足关键行业对物联网应用安全增强的强烈需求,又能够保持开销与进行了安全增强以前保持一致。具体地:
在终端侧,物联网安全通信模组集成安全SIM模块,通过内嵌专用认证算法,实现专用移动通信主认证安全增强;物联网安全通信模组轻度软件适配,嵌入密码模块,通过调用密码模块提供的专用身份鉴别运算、专用机密性保护与完整性保护运算,实现对接入认证和业务加密防护的安全增强。
在网络侧,NB-IoT网络部署安全HSS网元,通过内嵌专用认证算法,实现安全专用移动通信主认证安全增强;物联网管理平台轻度软件适配,通过内嵌密码服务SDK,通过密码服务SDK调用配套服务器密码机提供的专用身份鉴别运算、专用机密性保护与完整性保护运算,实现对接入认证和业务加密防护的安全增强。
最终,将不同的专用认证分别与移动通信主认证、物联网连接鉴权管理分别进行融合,形成专用移动通信主认证、专用物联网连接鉴权管理;将专用机密性保护和完整性保护与上行下行业务传输融合,形成专用轻量级端到端业务防护。最终构建起通信安全一体化设计的两层专用认证和一层轻量级端到端业务防护的物联网应用安全增强体系。
实施例2
由实施例1提供的一种通信安全一体化设计的物联网应用安全增强***,能够实现一种通信安全一体化设计的物联网应用安全增强方法,包括:
基于物联网安全通信模组中的安全SIM模块和NB-IoT网络中的安全HSS网元进行专用移动通信主认证;具体地,所述物联网安全通信模组中的安全SIM模块和NB-IoT网络中的安全HSS网元,通过内嵌专用认证算法进行专用移动通信主认证。
基于物联网安全通信模组及其中的密码模块和物联网管理平台及其中的服务器密码机进行轻量级专用接入认证和轻量级端到端业务加密防护。具体地:所述物联网安全通信模组通过轻度软件适配内嵌密码模块,通过调用密码模块提供的专用身份鉴别运算、专用机密性保护与完整性保护运算,进行终端侧轻量级专用接入认证和轻量级端到端业务加密防护;所述物联网管理平台通过轻度软件适配内嵌密码服务SDK,通过密码服务SDK调用配套服务器密码机提供的专用身份鉴别运算、专用机密性保护与完整性保护运算,进行网络侧轻量级专用接入认证和轻量级端到端业务加密防护。
由此,如图6所示,所述通信安全一体化设计的物联网应用安全增强方法的具体流程如下:
S1、物联网终端开机;
S1-01、物联网终端通过物联网安全通信模组向NB-IoT网络发起入网附着请求;
S1-02、NB-IoT网络的安全HSS网元收到入网附着请求后,产生专用移动通信主认证请求;
S1-03、物联网安全通信模组在收到专用移动通信主认证请求后,将专用移动通信主认证请求中的鉴权请求解析出来,发送给安全SIM模块;
S1-04、安全SIM模块基于鉴权向量完成对NB-IoT网络的身份鉴别,并生成鉴权终端侧鉴权结果;
S1-05、物联网安全通信模组基于安全SIM模块返回的鉴权结果生成专用移动通信主认证应答,并向NB-IoT网络发送;
S1-06、NB-IoT网络完成对物联网终端的身份鉴别后,完成后续入网附着流程之后,返回入网附着成功;
S1-07、入网附着成功后,物联网安全通信模组将驻网成功结果通知给AT命令处理软件模块和物联网终端;
S1-08、物联网终端通过发送AT指令CSAUTH,通知物联网安全通信模组准备向物联网管理平台发起接入认证请求;
S1-09、物联网安全通信模组调用密码模块的专用身份鉴别运算功能,生成身份鉴别凭证;
S1-10、基于身份鉴别凭证封装接入认证请求,并向物联网管理平台发起专用轻量级接入认证请求;
S1-11、物联网管理平台收到专用轻量级接入认证请求后,调用服务器密码机的专用身份鉴别运算功能,对物联网终端进行身份鉴别;
S1-12、完成对物联网终端的身份鉴别后,物联网管理平台向物联网安全通信模组返回专用轻量级接入认证应答;
S1-13、物联网安全通信模组解封装专用轻量级接入认证应答,获取对端身份鉴别凭证,并调用密码模块的专用身份鉴别运算功能,验证对端身份鉴别凭证;
S1-14、物联网安全通信模组准备通过应答AT指令AUTH OK通知物联网终端接入认证的结果。
S2、物联网终端产生上行业务数据;
S2-01、物联网终端通过发送AT指令CSSOCR,通知物联网安全通信模组创建Socket会话;
S2-02、物联网安全通信模组创建Socket会话,并向物联网终端返回Socket号;
S2-03、物联网终端通过发送AT指令CSSOST,向物联网安全通信模组发送明文上行业务数据;
S2-04、物联网安全通信模组调用密码模块的机密性保护运算功能生成密文业务数据;
S2-05、物联网安全通信模组调用密码模块的完整性保护运算功能,生成校验凭证,至此获得完整的上行密文业务数据;
S2-06、物联网安全通信模组向物联网管理平台发送上行密文业务数据;
S2-07、物联网管理平台通过密码服务SDK调用服务器密码机进行完整性保护校验,验证上行密文业务数据在传输过程中是否被篡改;
S2-08、若上行密文业务数据未被篡改,物联网管理平台通过密码服务SDK调用服务器密码机进行机密性保护解析,获得上行明文业务数据;
S2-09、物联网管理平台向物联网应用发送上行明文业务数据;
S2-10、物联网应用获得上行明文业务数据。
S3、物联网应用或物联网管理平台若有下行控制指令信息;
S3-01、物联网应用向物联网管理平台发送下行明文业务数据;
S3-02、物联网管理平台调用服务器密码机的机密性保护运算功能生成密文业务数据;
S3-03、物联网管理平台通过密码服务SDK调用服务器密码机的完整性保护运算功能,生成校验凭证,至此获得完整的下行密文业务数据;
S3-04、物联网管理平台向物联网终端发送下行密文业务数据;
S3-05、物联网安全通信模组收到下行密文业务数据后,调用密码模块的完整性保护运算功能,验证下行密文业务数据在传输过程中是否被篡改;
S3-06、若下行密文业务数据未被篡改,物联网安全通信模组调用密码模块的机密性保护运算功能,解析下行密文业务数据,获得下行明文业务数据;
S3-07、物联网终端通过发送AT指令CSSORF,从物联网安全通信模组获得下行明文业务数据;
S3-08、物联网终端根据下行明文业务数据中的控制指令执行相关处理;
S3-09、物联网终端通过发送AT指令CSSORF,通知物联网安全通信模组释放Socket会话;
S3-10、物联网安全通信模组释放Socket会话。
由此可见,本发明提供的通信安全一体化设计的物联网应用安全增强***和方法,在不增加***流程开销的前提下,提供专用接入认证和专用端到端轻量级业务安全防护能力,既满足关键行业对物联网应用的安全需求,又能够通过通信与安全的一体化设计确保不引入新的流程和新的开销。你发明适用范围广,不仅适用于基于NB-IoT的物联网应用,还能够适用于未来5G mMTC场景和其他体制的物联网应用。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种通信安全一体化设计的物联网应用安全增强方法,其特征在于,所述物联网应用安全增强方法采用通信安全一体化设计的物联网应用安全增强***实现,所述通信安全一体化设计的物联网应用安全增强***包括物联网终端、集成安全SIM模块和密码模块的物联网安全通信模组、集成安全HSS网元的NB-IoT网络、集成服务器密码机的物联网管理平台以及物联网应用;所述物联网终端连接物联网安全通信模组,并经基站连接至NB-IoT网络;所述物联网应用经物联网管理平台连接至NB-IoT网络;
所述物联网应用安全增强方法包括:
基于物联网安全通信模组中的安全SIM模块和NB-IoT网络中的安全HSS网元进行专用移动通信主认证;
基于物联网安全通信模组及其中的密码模块和物联网管理平台及其中的服务器密码机进行轻量级专用接入认证和轻量级端到端业务加密防护;
所述物联网安全通信模组通过轻度软件适配内嵌密码模块,通过调用密码模块提供的专用身份鉴别运算、专用机密性保护与完整性保护运算,进行终端侧轻量级专用接入认证和轻量级端到端业务加密防护;所述物联网管理平台通过轻度软件适配内嵌密码服务SDK,通过密码服务SDK调用配套服务器密码机提供的专用身份鉴别运算、专用机密性保护与完整性保护运算,进行网络侧轻量级专用接入认证和轻量级端到端业务加密防护;
所述专用接入认证的过程包括:
入网附着成功后,物联网安全通信模组将驻网成功结果通知给AT命令处理软件模块和物联网终端;
物联网终端通过发送AT指令CSAUTH,通知物联网安全通信模组准备向物联网管理平台发起接入认证请求;
物联网安全通信模组调用密码模块的专用身份鉴别运算功能,生成身份鉴别凭证;
基于身份鉴别凭证封装接入认证请求,并向物联网管理平台发起专用轻量级接入认证请求;
物联网管理平台收到专用轻量级接入认证请求后,调用服务器密码机的专用身份鉴别运算功能,对物联网终端进行身份鉴别;
完成对物联网终端的身份鉴别后,物联网管理平台向物联网安全通信模组返回专用轻量级接入认证应答;
物联网安全通信模组解封装专用轻量级接入认证应答,获取对端身份鉴别凭证,并调用密码模块的专用身份鉴别运算功能,验证对端身份鉴别凭证;
物联网安全通信模组准备通过应答AT指令AUTH OK通知物联网终端接入认证的结果。
2.根据权利要求1所述的通信安全一体化设计的物联网应用安全增强方法,其特征在于,所述物联网安全通信模组中的安全SIM模块和NB-IoT网络中的安全HSS网元,通过内嵌专用认证算法进行专用移动通信主认证。
3.根据权利要求2所述的通信安全一体化设计的物联网应用安全增强方法,其特征在于,所述通过内嵌专用认证算法进行专用移动通信主认证的过程为:
物联网终端通过物联网安全通信模组向NB-IoT网络发起入网附着请求;
NB-IoT网络的安全HSS网元收到入网附着请求后,产生专用移动通信主认证请求;
物联网安全通信模组在收到专用移动通信主认证请求后,将专用移动通信主认证请求中的鉴权请求解析出来,发送给安全SIM模块;
安全SIM模块基于鉴权向量完成对NB-IoT网络的身份鉴别,并生成鉴权终端侧鉴权结果;
物联网安全通信模组基于安全SIM模块返回的鉴权结果生成专用移动通信主认证应答,并向NB-IoT网络发送;
NB-IoT网络完成对物联网终端的身份鉴别后,完成后续入网附着流程之后,返回入网附着成功。
4.根据权利要求1所述的通信安全一体化设计的物联网应用安全增强方法,其特征在于,所述安全SIM模块为插拔式的USIM模块,或内嵌于安全通信模组的嵌入式eSIM模块。
5.根据权利要求3所述的通信安全一体化设计的物联网应用安全增强方法,其特征在于,所述轻量级端到端业务加密防护的过程包括:
物联网终端产生上行业务数据时的轻量级端到端业务加密防护;
物联网终端产生下行业务数据时的轻量级端到端业务加密防护。
6.根据权利要求5所述的通信安全一体化设计的物联网应用安全增强方法,其特征在于,所述物联网终端产生上行业务数据时的轻量级端到端业务加密防护的过程包括:
物联网终端通过发送AT指令CSSOCR,通知物联网安全通信模组创建Socket会话;
物联网安全通信模组创建Socket会话,并向物联网终端返回Socket号;
物联网终端通过发送AT指令CSSOST,向物联网安全通信模组发送明文上行业务数据;
物联网安全通信模组调用密码模块的机密性保护运算功能生成密文业务数据;
物联网安全通信模组调用密码模块的完整性保护运算功能,生成校验凭证,至此获得完整的上行密文业务数据;
物联网安全通信模组向物联网管理平台发送上行密文业务数据;
物联网管理平台通过密码服务SDK调用服务器密码机进行完整性保护校验,验证上行密文业务数据在传输过程中是否被篡改;
若上行密文业务数据未被篡改,物联网管理平台通过密码服务SDK调用服务器密码机进行机密性保护解析,获得上行明文业务数据;
物联网管理平台向物联网应用发送上行明文业务数据;
物联网应用获得上行明文业务数据。
7.根据权利要求5所述的通信安全一体化设计的物联网应用安全增强方法,其特征在于,所述物联网终端产生下行业务数据时的轻量级端到端业务加密防护的过程包括:
物联网应用向物联网管理平台发送下行明文业务数据;
物联网管理平台调用服务器密码机的机密性保护运算功能生成密文业务数据;
物联网管理平台通过密码服务SDK调用服务器密码机的完整性保护运算功能,生成校验凭证,至此获得完整的下行密文业务数据;
物联网管理平台向物联网终端发送下行密文业务数据;
物联网安全通信模组收到下行密文业务数据后,调用密码模块的完整性保护运算功能,验证下行密文业务数据在传输过程中是否被篡改;
若下行密文业务数据未被篡改,物联网安全通信模组调用密码模块的机密性保护运算功能,解析下行密文业务数据,获得下行明文业务数据;
物联网终端通过发送AT指令CSSORF,从物联网安全通信模组获得下行明文业务数据;
物联网终端根据下行明文业务数据中的控制指令执行相关处理;
物联网终端通过发送AT指令CSSORF,通知物联网安全通信模组释放Socket会话;
物联网安全通信模组释放Socket会话。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310023793.8A CN115767522B (zh) | 2023-01-09 | 2023-01-09 | 通信安全一体化设计的物联网应用安全增强***和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310023793.8A CN115767522B (zh) | 2023-01-09 | 2023-01-09 | 通信安全一体化设计的物联网应用安全增强***和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115767522A CN115767522A (zh) | 2023-03-07 |
| CN115767522B true CN115767522B (zh) | 2023-05-05 |
Family
ID=85348349
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310023793.8A Active CN115767522B (zh) | 2023-01-09 | 2023-01-09 | 通信安全一体化设计的物联网应用安全增强***和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115767522B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103532963A (zh) * | 2013-10-22 | 2014-01-22 | 中国联合网络通信集团有限公司 | 一种基于物联网设备认证方法、装置和*** |
| CN105307108A (zh) * | 2015-11-17 | 2016-02-03 | 成都工百利自动化设备有限公司 | 一种物联网信息交互通信方法及*** |
| CN107846668A (zh) * | 2016-09-18 | 2018-03-27 | 展讯通信(上海)有限公司 | 一种物联网网关及其通信方法 |
| CN114584542A (zh) * | 2020-11-18 | 2022-06-03 | 中移物联网有限公司 | 一种在通信模组集成物联卡服务能力的方法及*** |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104244227A (zh) * | 2013-06-09 | 2014-12-24 | ***通信集团公司 | 一种物联网***中终端接入认证的方法及装置 |
| CN105554912A (zh) * | 2015-12-10 | 2016-05-04 | 成都工百利自动化设备有限公司 | 基于虚拟sim/usim的物联网终端 |
| CN106899954A (zh) * | 2015-12-18 | 2017-06-27 | 中兴通讯股份有限公司 | 无线通信***接入方法、装置及终端 |
| CN107104932A (zh) * | 2016-02-23 | 2017-08-29 | 中兴通讯股份有限公司 | 密钥更新方法、装置及*** |
| CN106790217A (zh) * | 2017-01-10 | 2017-05-31 | 北京号码生活网络科技有限公司 | 基于sim卡认证模式的物联网设备的认证鉴权*** |
| US11582233B2 (en) * | 2017-11-22 | 2023-02-14 | Aeris Communications, Inc. | Secure authentication of devices for Internet of Things |
| CN112911588A (zh) * | 2021-02-04 | 2021-06-04 | 郑州信大捷安信息技术股份有限公司 | 一种轻量级的窄带物联网安全传输方法和*** |
| CN113163375B (zh) * | 2021-03-31 | 2022-02-11 | 郑州信大捷安信息技术股份有限公司 | 一种基于NB-IoT通信模组的空中发证方法和*** |
-
2023
- 2023-01-09 CN CN202310023793.8A patent/CN115767522B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103532963A (zh) * | 2013-10-22 | 2014-01-22 | 中国联合网络通信集团有限公司 | 一种基于物联网设备认证方法、装置和*** |
| CN105307108A (zh) * | 2015-11-17 | 2016-02-03 | 成都工百利自动化设备有限公司 | 一种物联网信息交互通信方法及*** |
| CN107846668A (zh) * | 2016-09-18 | 2018-03-27 | 展讯通信(上海)有限公司 | 一种物联网网关及其通信方法 |
| CN114584542A (zh) * | 2020-11-18 | 2022-06-03 | 中移物联网有限公司 | 一种在通信模组集成物联卡服务能力的方法及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115767522A (zh) | 2023-03-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101438243B1 (ko) | Sim 기반 인증방법 | |
| CN108347729B (zh) | 网络切片内鉴权方法、切片鉴权代理实体及会话管理实体 | |
| CN111213339A (zh) | 带有客户端密钥的认证令牌 | |
| CN106936774B (zh) | 可信执行环境中的认证方法和*** | |
| CN107547573B (zh) | 应用于eSIM的认证方法、RSP终端及管理平台 | |
| CN109345245B (zh) | 基于区块链的短信验证方法、设备、网络及存储介质 | |
| CN108848491A (zh) | 虚拟sim卡创建*** | |
| CN110996322B (zh) | 一种实现终端二次认证的方法 | |
| CN110381075B (zh) | 基于区块链的设备身份认证方法和装置 | |
| CN112291064A (zh) | 认证***,注册及认证方法、装置,存储介质及电子设备 | |
| CN106203021B (zh) | 一种多认证模式一体化的应用登录方法和*** | |
| CN104484596A (zh) | 多操作***中创建密码的方法及终端 | |
| CN104717648A (zh) | 一种基于sim卡的统一认证方法和设备 | |
| CN109583154A (zh) | 一种基于Web中间件访问智能密码钥匙的***及方法 | |
| CN106790080A (zh) | 业务***和电子凭证***之间的网络安全通信方法与装置 | |
| CN109120405A (zh) | 一种终端安全接入方法、装置及*** | |
| CN115843030A (zh) | 信令防护装置和接入控制方法 | |
| CN107294968A (zh) | 一种音视频数据的监控方法和*** | |
| CN115767522B (zh) | 通信安全一体化设计的物联网应用安全增强***和方法 | |
| CN106790078A (zh) | 一种sdk和电子凭证***之间的安全通信方法与装置 | |
| CN115767538A (zh) | 一种信息验证方法、信息处理方法、装置及设备 | |
| CN114158046B (zh) | 一键登录业务的实现方法和装置 | |
| CN107277935B (zh) | 蓝牙通信方法、装置及其应用***和设备 | |
| CN115696318B (zh) | 安全通信装置、安全认证方法和安全通信方法 | |
| CN106789013A (zh) | 一种门锁加密芯片和sdk之间互信及加解密方法与装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |