基于安全标识算法的物联网动态安全分区框架及分区方法与流程

1.本发明属于网络安全技术领域，尤其涉及一种基于安全标识算法的物联网动态安全分区框架及分区方法。


背景技术：

2.目前，一般的物联网系统构建模式通常采用了星状网络结构，构造一个总控制或数据中心服务器，所有的物联网终端均与中心服务器进行通信。这种结构使得随着终端数量的逐渐增多，中心服务器的负担越来越大，中心服务器需要不断增强扩容。此外，这种星状网络结构中，物联网终端都是相互平等的，很难实现物联网设备的分区。随着进入移动物联网时代，物联网数量激增导致中心服务器难以实现物联网终端的网络分区管理，物联网设备在网络空间同样难以实现分区的动态切换。
3.现在，智能家居、智能大棚、智能车间、智能供电系统及智慧城市均离不开物联网设备，多种物联网信息系统已经成为多数据采集与多节点控制的必然选择。《关于深入推进移动物联网全面发展的通知》将“建立健全移动物联网安全保障体系”作为推进移动物联网发展的五项重点任务，而移动物联网中的安全分区问题更是亟待解决的关键问题。现在也存在一些物联网的安全解决方案和网络分区策略，例如《基于商密sm9算法的物联网安全平台设计与应用》中虽然使用了sm9算法实现安全通信，但是物联网云平台与其他所有的物联网终端之间采用了星状网络通信结构，难以实现物联网终端的网络分区；《基于固定分区的无线传感器分簇路由算法研究》中提到的fzcp算法，但是通常采用的是固定分区，无法实现动态分区，同时分区的过程无法实现信息安全的不可否认性；《软件定义物联网分布式控制机制研究》中提出了针对城市尺度物联网使用多个控制器将网络空间划分为多个网络分区进行管理，但是采用的分区方法需要不断查询分布式哈希表实现，动态分区过程非常繁琐，且方案并没有采用密码算法保障通信的安全性。


技术实现要素：

4.本发明针对移动物联网中的安全分区问题，提出一种基于安全标识的物联网动态安全分区方法。
5.为了实现上述目的，本发明采用以下技术方案：本发明一方面提出一种基于安全标识算法的物联网动态安全分区框架，该框架部署于物联网信息系统，所述物联网信息系统由网络分区控制器及物联网设备两部分组成；所述网络分区控制器用于管理物联网设备分区；所述物联网设备包括物联网终端、物联网分区中心服务器，一个物联网分区中存在一个物联网分区中心服务器和多个物联网终端；该框架包括协议层和算法层：所述协议层用于存储各协议，包括：基于安全标识的固定密钥生成协议、基于安全标识的动态分区密钥生成协议、数字认证协议、安全通信协议及基于安全标识的物联网动态安全分区协议；
所述算法层用于存储sm9标识算法和sm3杂凑算法；所述安全标识的固定密钥生成协议包括：基于国密sm9标识算法的密钥生成算法、利用物联网设备的固定标识生成固定的{验证公钥，签名私钥}对，及固定的{加密公钥, 解密私钥}对；所述基于安全标识的动态分区密钥生成协议包括：基于国密sm9标识算法的密钥生成算法、利用物联网设备的网络分区标识和固定标识生成动态的{验证公钥，签名私钥}对及动态的{加密公钥, 解密私钥}对；所述数字认证协议包括：物联网设备在更换网络分区后，获取网络分区标识之前，使用固定的{验证公钥，签名私钥}对进行数字认证；获取网络分区标识之后，生成动态的{验证公钥，签名私钥}对，再进行基于动态的{验证公钥，签名私钥}对的数字认证；所述安全通信协议包括：物联网设备在更换网络分区之后，获取网络分区标识前，使用固定的{加密公钥, 解密私钥}对进行安全通信；获取网络分区标识之后，生成动态的{加密公钥, 解密私钥}对，再进行基于动态的{加密公钥, 解密私钥}对的安全通信；所述基于安全标识的物联网动态安全分区协议包括：物联网设备发起切换分区变换请求时，由物联网网络分区控制器与该物联网设备通过基于安全标识的固定密钥生成协议、基于安全标识的动态分区密钥生成协议、数字认证协议、安全通信协议进行数字认证及进行安全通信，实现对物联网设备的身份合法性认证，同时实现物联网分区标识的交互。
6.进一步地，所述基于安全标识的动态分区密钥生成协议中，动态的公私钥对会随着物联网设备的网络分区变化而动态改变，网络分区标识通过与网络分区控制器采用固定的公私钥对加密通信获得。
7.进一步地，所述数字认证协议中，基于固定的公私钥对的数字认证仅能使用在物联网设备与网络分区控制器之间，其余数字认证均采用基于动态的公私钥对的数字认证方式。
8.进一步地，所述安全通信协议中，基于固定的公私钥对的安全通信仅能使用在物联网设备与网络分区控制器之间，其余安全通信均采用基于动态的公私钥对的安全通信方式。
9.本发明第二方面提出一种基于安全标识算法的物联网动态安全分区方法，该方法基于所述的一种基于安全标识算法的物联网动态安全分区框架，包括：物联网设备选取自身的唯一设备标识fid，根据自身唯一设备标识fid、利用sm9算法的密钥生成算法生成设备固定的{加密公钥, 解密私钥}对、{验证公钥，签名私钥}对，将该物联网设备的加密公钥和验证公钥在网络分区控制器中进行注册、备案，经审查后，获得相应的公钥证书；物联网设备向网络分区控制器发送申请接入的网络分区的分区标识sid，利用自身的fid拼接，并通过sm3算法进行杂凑，然后利用sm9算法进行签名和加密，发送给网络分区控制器；网络分区控制器利用自身的解密私钥进行解密并验证物联网设备的身份合法性和数据的完整性，利用分区代码表查询与sid对应的固定编码scode；网络分区控制器将查询到的scode进行杂凑，并进行签名，将签名值与scode拼接，并使用物联网设备的固定的加密公钥进行加密，将加密结果发送给物联网设备；
物联网设备解密得到scode，并验证其完整性与合法性，并利用scode与自身的fid进行异或处理，并利用sm9算法的密钥生成算法计算得到该物联网设备的动态的加密公钥、解密私钥、验证公钥及签名私钥；物联网设备将自身的动态的加密公钥与验证公钥加密发送给网络分区设备，网络分区设备再通过fid与scode计算，验证加密公钥与验证公钥的正确性，如果正确，则下发相应动态证书，分区动态密钥建立成功；安全通信与认证过程中，物联网设备通过获取其他物联网设备的fid，再将此fid与该网络分区的scode进行异或，即可得到其他物联网设备的动态的加密公钥和验证公钥，能够快速实现安全通信和数字认证。
10.与现有技术相比，本发明具有的有益效果：1）本发明创造性的将国密sm9标识算法与网络分区技术相结合，相较于传统网络分区技术，更加安全，提高了信息机密性、完整性和不可否认性。相较于物联网安全平台，提出了动态分区方案，实现了物联网设备在不同网络分区中动态切换的身份合法认证与安全通信；2）对于动态公私钥对生成，提出了基于固定的和动态的两种公私钥对，解决了在网络分区切换过程中出现的安全隐患，防止了身份假冒；3）本发明能够满足物联网信息系统的弹性变化，同时当新的物联网系统接入时，可以通过增加新的物联网网络分区，解决物联网规模不断扩大的运维问题；4）本发明自动化程度高，无需多次手动配置或更改物联网设备的网络分区标识，能够通过物联网设备与网络分区控制器之间数字认证及安全通信协议自动实现网络分区标识的安全快速数据交换。
附图说明
11.图1为本发明实施例一种基于安全标识算法的物联网动态安全分区框架的示意图；图2为本发明实施例物联网信息系统部署示意图；图3为本发明实施例一种基于安全标识算法的物联网动态安全分区方法的流程图。
具体实施方式
12.下面结合附图和具体的实施例对本发明做进一步的解释说明：本发明一方面提出一种基于安全标识算法的物联网动态安全分区框架，如图1所示，该框架部署于物联网信息系统，如图2所示，所述物联网信息系统由网络分区控制器及物联网设备两部分组成；所述网络分区控制器用于管理物联网设备分区；所述物联网设备包括物联网终端、物联网分区中心服务器，一个物联网分区中存在一个物联网分区中心服务器和多个物联网终端；该框架包括协议层和算法层：所述协议层用于存储各协议，包括：基于安全标识的固定密钥生成协议、基于安全标识的动态分区密钥生成协议、数字认证协议、安全通信协议及基于安全标识的物联网动态安全分区协议；
所述算法层用于存储sm9标识算法和sm3杂凑算法；所述安全标识的固定密钥生成协议包括：基于国密sm9标识算法的密钥生成算法、利用物联网设备的固定标识生成固定的{验证公钥，签名私钥}对及固定的{加密公钥, 解密私钥}对；固定的公私钥对（{验证公钥，签名私钥}对、{加密公钥, 解密私钥}对）在物联网设备接入网络之后，固定不变；所述基于安全标识的动态分区密钥生成协议包括：基于国密sm9标识算法的密钥生成算法、利用物联网设备的网络分区标识和固定标识生成动态的{验证公钥，签名私钥}对及动态的{加密公钥, 解密私钥}对；具体地，动态的公私钥对会随着物联网设备的网络分区变化而动态改变，网络分区标识通过与网络分区控制器采用固定的公私钥对加密通信获得；所述数字认证协议包括：物联网设备在更换网络分区后，获取网络分区标识之前，使用固定的{验证公钥，签名私钥}对进行数字认证；获取网络分区标识之后，生成动态的{验证公钥，签名私钥}对，再进行基于动态的{验证公钥，签名私钥}对的数字认证；具体地，数字认证分为基于固定的{验证公钥，签名私钥}对的数字认证和基于动态的{验证公钥，签名私钥}对的数字认证，基于固定的{验证公钥，签名私钥}对的数字认证仅能使用在物联网设备与网络分区控制器之间，其余数字认证均采用基于动态的{验证公钥，签名私钥}对的数字认证方式；所述安全通信协议包括：物联网设备在更换网络分区之后，获取网络分区标识前，使用固定的{加密公钥, 解密私钥}对进行安全通信；获取网络分区标识之后，生成动态的{加密公钥, 解密私钥}对，再进行基于动态的{加密公钥, 解密私钥}对的安全通信；具体地，安全通信分为基于固定的{加密公钥, 解密私钥}对的安全通信和基于动态的{加密公钥, 解密私钥}对的安全通信；基于固定的{加密公钥, 解密私钥}对的安全通信仅能使用在物联网设备与网络分区控制器之间，其余安全通信均采用基于动态的{加密公钥, 解密私钥}对的安全通信方式；所述基于安全标识的物联网动态安全分区协议包括：物联网设备发起切换分区变换请求时，由物联网网络分区控制器与该物联网设备通过基于安全标识的固定密钥生成协议、基于安全标识的动态分区密钥生成协议、数字认证协议、安全通信协议进行数字认证及进行安全通信，实现对物联网设备的身份合法性认证，同时实现物联网分区标识的交互。
13.在上述实施例的基础上，本发明还提出一种基于安全标识算法的物联网动态安全分区方法，如图3所示，该方法基于所述的一种基于安全标识算法的物联网动态安全分区框架，包括：1）物联网设备的初始化首先物联网设备选取自身的固定唯一设备标识，例如芯片的序列号、计算机主板的序列号、可被证明唯一的芯片物理不可克隆函数、固定的网络ip地址等，该标识应具备以下特性：固定性和唯一性。固定性是指物联网设备在使用过程中，该设备标识不会因环境变化、温度变化和使用时长变化而变化，也不能够通过读写操作修改。唯一性是指同一个物联网信息系统中，该设备固定标识是唯一的，任意两个物联网设备的标识均不相同。
14.其次物联网设备根据自身唯一设备标识，利用国密sm9算法的密钥生成算法，生成固定的设备{加密公钥, 解密私钥}对、{验证公钥，签名私钥}对。
15.将该物联网设备的公钥在网络分区控制器中进行注册、备案。管理员定期审查合法物联网设备的注册申请，并将相应的公钥证书发送至该物联网设备中。
16.2）物联网设备首次接入网络及切换网路分区执行步骤如图3所示，具体符号及缩写表示如下：c：表示网络分区控制器；d：表示物联网设备；fid：表示物联网设备d的固定唯一标识；sid：表示分区标识；scode：表示分区标识对应的固定编码，不同的sid对应的scode不同；fenpub：表示固定的加密公钥；fenpri：表示固定的解密私钥；fsigpub：表示固定的验证公钥；fsigpri：表示固定的签名私钥；senpub：表示动态（分区固定）的加密公钥；senpri：表示动态的解密私钥；ssigpub：表示动态的验证公钥；ssigpri：表示动态的签名私钥。
17.具体步骤如下：第一步：物联网设备d向网络分区控制器c发送申请接入的网络分区sid，利用自身的fid拼接，并进行sm3算法进行杂凑，然后利用sm9算法进行签名和加密，发送给网络分区控制器c；第二步：网络分区控制器c利用自身解密私钥进行解密并验证物联网设备d的身份合法性和数据的完整性，利用分区代码表查询与sid对应的scode；具体地，所述分区代码表用于存储分区标识sid对应的固定编码scode；分区代码表随着分区的建立而新增，随着分区的撤销而删除；分区代码表是公知的，但scode并不是公知的，仅网络分区控制器c知道，需要根据sid查询得到，每个物联网设备仅知道自己所在分区对应的scode。
18.第三步：网络分区控制器c将查询到的scode进行杂凑，并进行签名，将签名值与scode拼接，并使用物联网设备d的加密公钥fenpub进行加密，将加密结果发送给物联网设备d；第四步：物联网设备d解密得到scode，并验证其完整性与合法性，并利用scode与fid进行异或处理，并利用sm9算法的密钥生成算法计算得到物联网设备d的senpub、senpri、ssigpub、ssigpri；第五步：物联网设备d将senpub与ssigpub加密发送给网络分区设备，网络分区设备再通过fid与scode计算，验证物联网设备d的senpub与ssigpub的正确性，如果正确，则下发相应动态证书，分区动态密钥建立成功。
19.3）分区内物联网设备安全通信及认证协议。
20.安全通信与认证过程中，物联网设备通过获取其他物联网设备的固定标识fid，再将此fid与该网络分区的scode进行异或，即可得到其他物联网设备的动态的加密公钥和验证公钥，能够快速实现安全通信和数字认证。由于不同网络分区的scode不相同，因此不同
的网络分区之间无法实现正常通信，从而达到网络分区效果。
21.综上，1）本发明创造性的将国密sm9标识算法与网络分区技术相结合，相较于传统网络分区技术，更加安全，提高了信息机密性、完整性和不可否认性。相较于物联网安全平台，提出了动态分区方案，实现了物联网设备在不同网络分区中动态切换的身份合法认证与安全通信；2）对于动态公私钥对生成，提出了基于固定的和动态的两种公私钥对，解决了在网络分区切换过程中出现的安全隐患，防止了身份假冒；3）本发明能够满足物联网信息系统的弹性变化，同时当新的物联网系统接入时，可以通过增加新的物联网网络分区，解决物联网规模不断扩大的运维问题；4）本发明自动化程度高，无需多次手动配置或更改物联网设备的网络分区标识，能够通过物联网设备与网络分区控制器之间数字认证及安全通信协议自动实现网络分区标识的安全快速数据交换。
22.以上所示仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。