(19)中华人民共和国国家知识产权局
(12)发明专利申请
(10)申请公布号 (43)申请公布日 (21)申请号 201710671577.9
(22)申请日 2017.08.08
(71)申请人 四川长虹电器股份有限公司
地址 621000 四川省绵阳市高新区绵兴东
路35号
(72)发明人 常清雪 肖建 刘剑飞 付强
(74)专利代理机构 四川省成都市天策商标专利
事务所 51213
代理人 谭德兵 刘渝
(51)Int.Cl.
H04L 29/06(2006.01)
H04W 12/04(2009.01)
H04W 12/06(2009.01)
H04L 29/08(2006.01)
(54)发明名称
(57)摘要
本发明公开了一种基于IOT设备的端云安全
通信方法,解决了端云数据在整个会话连接的数
整性校验和数据的隐私性等,根据不同的业务的
场景,可以灵活的进行安全策略的配置,适应了
互联网的轻量级的认证体系,保证了性能的损失
减小到最少和云端的通信安全;以及通过权限令
牌的方式,保证了云端对App向IOT设备授权,App
与IOT设备之间鉴权,密钥交换过程,从而实现
App与IOT设备的安全通信。权利要求书2页 说明书6页 附图3页CN 107277061 A 2017.10.20
C N 107277061
A
1.一种基于IOT设备的端云安全通信方法,其特征在于包括:
建立IOT设备端与移动终端和家庭网络之间的数据通讯;
IOT设备端向认证平台发送用于激活的请求信息,所述认证平台根据所述IOT设备端上传的请求信息进行审核、且所述IOT设备端对所述认证平台进行合法性验证,以及所述IOT 设备端与所述认证平台之间生成加解密信息,所述认证平台再将对所述IOT设备端的身份信息和相应的服务端的加解密信息存储到服务端的数据库,以及将相应服务的加解密信息返回IOT设备端存储; IOT设备端第一次向服务端发起会话连接请求的情况下,所述服务端根据IOT设备端发送的请求认证的信息通过所述服务端的数据库存储的身份信息和相应的加解密信息对其进行解析认证,所述服务端对所述IOT设备端验证成功后,所述IOT设备端对所述服务端进行身份认证,在所述IOT设备端和所述服务端双方验证成功后建立通信连接。
2.根据权利要求1所述的基于IOT设备的端云安全通信方法,其特征在于所述移动终端通过设置无线AP的方式与所述IOT设备端建立连接;以及
所述移动终端通过扫描二维码的方式获取所述IOT设备端的序列号。
3.根据权利要求1所述的基于IOT设备的端云安全通信方法,其特征在于所述移动终端将家庭网络中的路由器信息加密后发送给所述IOT设备端,所述IOT设备端接收所述路由器信息后连接至家庭网络。
4.根据权利要求1所述的基于IOT设备的端云安全通信方法,其特征在于所述认证平台根据上传的信息进行审核的过程包括:
所述认证平台审核通过后,生成IOT设备端的ID,以及利用所述认证平台的私钥对ID进行签名,再将签名值和审核通过的信息发送给所述IOT设备端。
5.根据权利要求1所述的基于IOT设备的端云安全通信方法,其特征在于所述IOT设备端对所述认证平台的合法性验证包括:
所述IOT设备端集成终端SDK包,所述SDK包内集成了ECC算法和认证平台的证书,所述IOT设备端收到所述认证平台的签名值后,进行验签,如果验签成功,生成ID,则认为所述认证平台合法。
6.根据权利要求5所述的基于IOT设备的端云安全通信方法,其特征在于验证所述认证平台合法后,所述IOT设备端调用ECC算法生成公钥和私钥,所述IOT设备端通过私钥对ID进行签名生成签名值并连同公钥一起发送给所述认证平台,所述认证平台收到签名值和公钥后,利用公钥对签名值进行验签生成ID,并存储终端的公钥信息。
7.根据权利要求1所述的基于IOT设备的端云安全通信方法,其特征在于所述服务器端验证所述IOT设备端的身份过程,包括:
IOT设备端产生一随机值,连同所述IOT设备端身份信息组成一字符串;
所述IOT设备端利用私钥PK1和SDK包的算法,对所述字符串进行签名并生成签名值,再将所述签名值
和所述IOT设备端身份信息发送给服务端;
所述服务端收到所述签名值和所述IOT设备端身份信息后,通过所述IOT设备端身份信息到对应IOT设备端的公钥,以及利用服务器端SDK包的ECC算法进行验签,解析所述IOT 设备端身份信息和所述随机值,在解析成功的情况下,则认为服务端验证所述IOT设备端身份的认证成功。
8.根据权利要求1所述的基于IOT设备的端云安全通信方法,其特征在于所述IOT设备端验证所述服务端的身份流程包括:
服务端为所述服务器端与所述IOT设备端之间的会话配置数据的安全策略,根据所述安全策略,服务端生成一所述IOT设备端可以解析所述安全策略的字符串;
所述服务端通过自己私钥,利用SDK包的算法,对所述字符串进行签名并生成签名值,再返回给所述IOT设备端;
所述IOT设备端收到所述签名值后,利用IOT设备端存储的服务端的公钥,通过IOT设备端SDK包的ECC算法进行验签,解析所述安全策略,解析成功则认为IOT设备端验证服务端身份成功,并获取所述安全策略,并返回给服务器端,身份验证成功。
9.根据权利要求8所述的基于IOT设备的端云安全通信方法,其特征在于还包括为所述安全策略使用加密
算法,以及协商密钥,其过程包括:
服务端根据双方确定加密算法产生密钥,连同IOT设备端的身份信息组成字符串;
服务端利用IOT设备端的身份信息,到对应的IOT设备端公钥,利用ECC算法,通过公钥加密生成字符串,并发送给IOT设备端;
IOT设备端收到加密的字符串后,利用自己私钥,通过ECC算法进行解密,解密成功生成字符串,并返回确认消息给服务端;服务端保存密钥,如果解密失败,返回失败消息给服务器,请求服务端再次协商密钥。
10.根据权利要求1所述的基于IOT设备的端云安全通信方法,其特征在于还包括:
建立移动终端与服务端的通信连接,以及移动终端获取IOT设备端的相应信息后,再向服务端申请获取权限令牌;
服务确定移动终端与IOT设备端是否存在绑定关系,如果存在则生成权限令牌,并通过密钥协商,把权限令牌和权限密钥返回给移动终端;
移动终端将权限令牌发送给IOT设备端,以及IOT设备端接收到权限令牌,通过权限密钥对权限令牌进行鉴权,如果鉴权成功,开始移动终端与IOT设备端之间协商密钥,协商密钥完成后,建立安全通信。
基于IOT设备的端云安全通信方法
技术领域
[0001]本发明涉及物联网安全通信技术领域,具体涉及一种基于IOT设备的端云安全通信的方法。
背景技术
[0002]当今是信息科技高速发展的时代,互联网正迅速成为各行各业的载体,推动着行业的进步,而物联网作为提高互联网应用的基础媒介以及先驱,大大提高着行业生产和人们生活的效率。它的应用被称为继计算机、互联网之后世界信息产业发展的第三次浪潮。与此同时,物联网的安全性问题也备受人们关注。因为从物联网的普及程度来看,一旦出现安全性问题,将会对人们的生产生活造成巨大的损失。
发明内容
[0003]本发明克服了现有技术的不足,提供一种基于IOT设备的端云安全通信方法,旨在保证IOT设备在云端、与终端APP之间安全通信。
[0004]考虑到现有技术的上述问题,根据本发明公开的一个方面,本发明采用以下技术方案:
[0005]一种基于IOT设备的端云安全通信方法,包括:
[0006]建立IOT设备端与移动终端和家庭网络之间的数据通讯;
[0007]IOT设备端向认证平台发送用于激活的请求信息,所述认证平台根据所述IOT设备端上传的请求信息进行审核、且所述IOT设备端对所述认证平台进行合法性验证,以及所述IOT设备端与所述认证平台之间生成加解密信息,所述认证平台再将对所述IOT设备端的身份信息和相应的服务端的加解密信息存储到服务端的数据库,以及将相应服务的加解密信息返回IOT设备端存储;
[0008]IOT设备端第一次向服务端发起会话连接请求的情况下,所述服务端根据IOT设备端发送的请求认证的信息通过所述服务端的数据库存储的身份信息和相应的加解密信息对其进行解析认证,所述服务端对所述IOT设备端验证成功后,所述IOT设备端对所述服务端进行身份认证,在所述IOT设备端和所述服务端双方验证成功后建立通信连接。[0009]为了更好地实现本发明,进一步的技术方案是:
[0010]根据本发明的一个实施方案,所述移动终端通过设置无线AP的方式与所述IOT设备端建立连接;以及
[0011]所述移动终端通过扫描二维码的方式获取所述IOT设备端的序列号。
[0012]根据本发明的另一个实施方案,所述移动终端将家庭网络中的路由器信息加密后发送给所述IOT设备端,所述IOT设备端接收所述路由器信息后连接至家庭网络。[0013]根据本发明的另一个实施方案,所述认证平台根据上传的信息进行审核的过程包括:
[0014]所述认证平台审核通过后,生成IOT设备端的ID,以及利用所述认证平台的私钥对
ID进行签名,再将签名值和审核通过的信息发送给所述IOT设备端;
[0015]根据本发明的另一个实施方案,所述IOT设备端对所述认证平台的合法性验证包括:
[0016]所述IOT设备端集成终端SDK包,所述SDK包内集成了ECC算法和认证平台的证书,所述IOT设备端收到所述认证平台的签名值后,进行验签,如果验签成功,生成ID,则认为所述认证平台合法。
[0017]根据本发明的另一个实施方案,验证所述认证平台合法后,所述IOT设备端调用ECC算法生成公钥和私钥,所述IOT设备端通过私钥对ID进行签名生成签名值并连同公钥一起发送给所述认证平台,所述认证平台收到签名值和公钥后,利用公钥对签名值进行验签生成ID,并存储终端的公钥信息。
[0018]根据本发明的另一个实施方案,所述服务器端验证所述IOT设备端的身份过程,包括:
[0019]IOT设备端产生一随机值,连同所述IOT设备端身份信息组成一字符串;
[0020]所述IOT设备端利用私钥PK1和SDK包的算法,对所述字符串进行签名并生成签名值,再将所述签名值和所述IOT设备端身份信息发送给服务端;
[0021]所述服务端收到所述签名值和所述IOT设备端身份信息后,通过所述IOT设备端身份信息到对应IOT设备端的公钥,以及利用服务器端SDK包的ECC算法进行验签,解析所述IOT设备端身份信息和所述随机值,在解析成功的情况下,则认为服务端验证所述IOT设备端身份的认证成功。
[0022]根据本发明的另一个实施方案,所述IOT设备端验证所述服务端的身份流程包括:[0023]服务端为所述服务器端与所述IOT设备端之间的会话配置数据的安全策略,根据所述安全策略,服务端生成一所述IOT设备端可以解析所述安全策略的字符串;
[0024]所述服务端通过自己私钥,利用SDK包的算法,对所述字符串进行签名并生成签名值,再返回给所述IOT设备端;
[0025]所述IOT设备端收到所述签名值后,利用IOT设备端存储的服务端的公钥,通过IOT 设备端SDK包的ECC算法进行验签,解析所述安全策略,解析成功则认为IOT设备端验证服务端身份成功,并获取所述安全策略,并返回给服务器端,身份验证成功。
[0026]根据本发明的另一个实施方案,还包括为所述安全策略使用加密算法,以及协商密钥,其过程包括:
[0027]服务端根据双方确定加密算法产生密钥,连同IOT设备端的身份信息组成字符串;[0028]服务端利
用IOT设备端的身份信息,到对应的IOT设备端公钥,利用ECC算法,通过公钥加密生成字符串,并发送给IOT设备端;
[0029]IOT设备端收到加密的字符串后,利用自己私钥,通过ECC算法进行解密,解密成功生成字符串,并返回确认消息给服务端;服务端保存密钥,如果解密失败,返回失败消息给服务器,请求服务端再次协商密钥。
[0030]本发明还可以是:
[0031]根据本发明的另一个实施方案,还包括:
[0032]建立移动终端与服务端的通信连接,以及移动终端获取IOT设备端的相应信息后,再向服务端申请获取权限令牌;
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议