一種加解密機(jī)制及采用該加解密機(jī)制的物聯(lián)網(wǎng)鎖系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及通信及物聯(lián)網(wǎng)設(shè)備領(lǐng)域,尤其是一種加解密機(jī)制及采用該加解密機(jī)制 的物聯(lián)網(wǎng)鎖系統(tǒng)�����。
【背景技術(shù)】
[0002] 隨著物聯(lián)網(wǎng)技術(shù)的快速發(fā)展�,越來越多的物聯(lián)網(wǎng)智能設(shè)備進(jìn)入了人們的生活�。物 聯(lián)網(wǎng)智能設(shè)備一般具有和其它物聯(lián)網(wǎng)設(shè)備或互聯(lián)網(wǎng)進(jìn)行通信的能力,從而實現(xiàn)了相關(guān)設(shè)備 的遠(yuǎn)程控制或操作�,為人們的工作和生活提供了很多的便利,提高了生活的便捷程度和工 作效率����。
[0003] 鎖作為一種生活中不可缺少的設(shè)備�����,其對應(yīng)的智能物聯(lián)網(wǎng)鎖具有廣闊的應(yīng)用前景 和商業(yè)價值�����。然而�,鎖的特殊性決定了智能物聯(lián)網(wǎng)鎖的使用必須要保證其安全性�,包括其物 理安全和信息傳輸?shù)陌踩R虼?��,如何保證物聯(lián)網(wǎng)鎖信息傳輸?shù)陌踩?���,成為了一個重要的 課題�����。
[0004] 在現(xiàn)有的信息傳輸機(jī)制中�,一般采用對稱密鑰加密或非對稱密鑰加密的方式加密 從發(fā)送方到接受方之間傳遞的信息,從而實現(xiàn)信息傳輸?shù)陌踩浴H绺綀D2所示����,對稱密鑰 加密的方法一般為:發(fā)送方和接收方以一種安全的方式協(xié)商計算一個會話密鑰K加解密信 息(例Oakley密鑰確定協(xié)議,此協(xié)議提供多種機(jī)制對抗多種攻擊��,通過身份認(rèn)證建立更加 安全可靠的保密連接)����,其加解密流程為
[0005]加密:Y=Εκ (X);解密:DK(Y)=DK(Εκ (X)) =X
[0006] 采用此種加解密方式,其優(yōu)點是加解密計算量小��,速度快��,信息傳輸即時性好����;但 其也存在安全性不高,對稱密鑰可被第三方獲取而破解密文的缺陷���。
[0007] 如附圖3所示�����,采用非對稱密鑰加密的方法一般為:發(fā)送方和接收方分別生成或 導(dǎo)入一對非對稱密鑰,私鑰自己保存,公鑰以數(shù)字證書方式公開給對方��,數(shù)字證書由權(quán)威的 第三方CA中心發(fā)放��。當(dāng)發(fā)送方向接收方發(fā)送信息時�����,用接收方的公鑰加密信息后傳輸�,接 收方接收到消息后,用其私鑰解密信息���,其加解密流程為
[0008] 加密
[0009] 采用此種加解密方式��,因為接收方的私鑰只有接收方有����,因此只有接收方能解密 信息����,因而具有很好的安全性。但是��,此種加解密方式的計算量大��,處理速度慢,在傳輸較多 信息時延遲較大���,實際使用時效果不令人滿意��。
[0010] 另外���,采用上述加解密方式,信息在傳輸過程中還是有可能被截獲偽造或進(jìn)行重 放攻擊�����,不能確保信息傳輸?shù)陌踩浴?br>
【發(fā)明內(nèi)容】
[0011] 本發(fā)明解決的技術(shù)問題在于提供一種加解密機(jī)制����,采用混合加密的方式,兼具安 全性和快捷的響應(yīng)速度��,且能防止信息被截獲偽造或被進(jìn)行重復(fù)攻擊���。
[0012] 為了實現(xiàn)上述技術(shù)目的�����,本發(fā)明采用了如下技術(shù)方案:
[0013] -種加解密機(jī)制�,發(fā)送方和接收方分別生成或?qū)胍粚Ψ菍ΨQ密鑰,其中私鑰自 己保存���,公鑰經(jīng)第三方CA中心認(rèn)證后以數(shù)字證書方式公開給對方;
[0014] 當(dāng)發(fā)送方向接收方發(fā)送信息X時�����,具體包括以下步驟:
[0015] a.發(fā)送方隨機(jī)生成對稱密鑰K�����,用所述對稱密鑰K加密信息X得到密文Y;
[0016] b.發(fā)送方用接收方的公鑰PKB加密所述對稱密鑰K�,得到密文對稱密鑰Z;
[0017] c.發(fā)送方將所述密文Y和密文對稱密鑰Z發(fā)送給接收方;
[0018] d.接收方收到所述密文Y和密文對稱密鑰Z后����,用與所述公鑰PKB對應(yīng)的私鑰SKB 解密出對稱密鑰K;
[0019] e.接收方用解密出的對稱密鑰K解密密文Y,得到信息X���。
[0020] 作為進(jìn)一步的改進(jìn)���,
[0021] 所述步驟c中,發(fā)送方將所述密文Y和密文對稱密鑰Z用自己的私鑰SKA簽名后 以SIG(Y+Z)形式發(fā)送給接收方���;
[0022] 所述步驟d中��,接收方收到所述SIG(Y+Z)后�,用發(fā)送方的與所述私鑰SKA對應(yīng)的 公鑰PKA驗證SIG(Y+Z)的合法性;
[0023] 若SIG(Y+Z)的內(nèi)容合法���,進(jìn)行下一步���;若不合法,則報錯���。
[0024] 作為本發(fā)明的加解密機(jī)制進(jìn)一步的改進(jìn)���,
[0025] 當(dāng)發(fā)送方向接收方發(fā)送信息X時,具體包括以下步驟:
[0026] a.發(fā)送方隨機(jī)生成對稱密鑰K及隨機(jī)數(shù)X�,并用所述對稱密鑰K加密信息X得到 密文Y;
[0027] b.發(fā)送方用接收方的公鑰PKB加密所述對稱密鑰K和隨機(jī)數(shù)X,得到密文對稱密 鑰Z��,其中��,Z=PKB(K+x);
[0028] c.發(fā)送方將所述密文Y和密文對稱密鑰Z用自己的私鑰SKA簽名后以SIG(Y+Z) 形式發(fā)送給接收方�����;
[0029] d.接收方收到所述SIG(Y+Z)后,用發(fā)送方的與所述私鑰SKA對應(yīng)的公鑰PKJWIE SIG(Y+Z)的合法性�����;
[0030] 若SIG(Y+Z)的內(nèi)容合法���,進(jìn)行下一步;若不合法�����,則報錯�;
[0031] e.接收方得到密文Y和密文對稱密鑰Z后,用與所述公鑰PKB對應(yīng)的私鑰SK』軍 密出對稱密鑰K及隨機(jī)數(shù)X�����,并驗證所述隨機(jī)數(shù)X是否和上一次重復(fù)����;
[0032] 若不重復(fù),進(jìn)行下一步��;若重復(fù)����,則報錯���;
[0033] f.接收方用解密出的對稱密鑰K解密密文Y,得到信息X�����。
[0034] 本發(fā)明的加解密機(jī)制���,結(jié)合了對稱密鑰加密和非對稱密鑰加密的方式���,使用對稱 密鑰加密信息本身,采用非對稱密鑰加密所述對稱密鑰����,從而既克服了對稱密鑰加密安全 性不高的缺陷,又克服了非對稱密鑰加密計算量大��、處理速度慢的問題�,同時保證了信息 傳輸?shù)陌踩院蜁r效性。
[0035] 進(jìn)一步的��,發(fā)送方發(fā)送密文Y和加密密鑰Z時用發(fā)送方的私鑰簽名后再發(fā)送,接收 方用發(fā)送方的公鑰來驗證上述簽名的合法性��,從而保證上述信息不會被黑客偽造����。
[0036] 進(jìn)一步的,若黑客截獲記錄上一次發(fā)送的SIG(Y+Z)數(shù)據(jù)包后�,向接收方再次 發(fā)送該SIG(Y+Z)數(shù)據(jù)包;這時接收方收到SIG(Y+Z)���,會被驗證通過,但是實際上接受的 SIG(Y+Z)是上次指令傳輸?shù)膬?nèi)容�,接收方會誤認(rèn)為發(fā)送方又發(fā)出新的指令或者數(shù)據(jù)并予以 執(zhí)行,從而使黑客利用該漏洞制造重放攻擊����。而本發(fā)明引入了隨機(jī)數(shù)機(jī)制,發(fā)送方每次發(fā)送 密文Y和加密密鑰Z時�����,還引入隨機(jī)數(shù)X����,保證了SIG(Y+Z)數(shù)據(jù)包不會被重復(fù)接收,阻止了 重放攻擊����。
[0037] 本發(fā)明還提供了一種物聯(lián)網(wǎng)鎖系統(tǒng)����,包括智能鎖和控制器����,所述智能鎖與控制器 之間進(jìn)行通信,所述控制器與其它物聯(lián)網(wǎng)設(shè)備或互聯(lián)網(wǎng)終端通信�,所述智能鎖和控制器分 別內(nèi)置安全模塊,所述安全模塊具有加解密功能�����,所述智能鎖和控制器之間傳輸信息都要 經(jīng)過安全模塊的加解密操作��,具體包括:
[0038] 所述智能鎖和控制器內(nèi)置的安全模塊分別生成或?qū)胍粚Ψ菍ΨQ密鑰�����,其中私鑰 保存于所述安全模塊內(nèi)���,公鑰經(jīng)第三方CA中心認(rèn)證后以數(shù)字證書方式公開給對方��,所述數(shù) 字證書中還包括所述智能鎖的特征數(shù)據(jù)���;
[0039]當(dāng)作為發(fā)送方的智能鎖/控制器向作為接收方的控制器/智能鎖發(fā)送信息X時����, 采用如上所述的加解密機(jī)制����。
[0040] 優(yōu)選的,所述安全模塊為一種安全芯片��,所述安全芯片內(nèi)設(shè)有獨立處理器和存儲 單元����,所述處理器用于進(jìn)行密鑰生產(chǎn)及加解密運算���,所述存儲單元用于存儲特征數(shù)據(jù)��。
[0041] 優(yōu)選的�����,所述處理器支持的信息安全算法包括對稱算法���、非對稱算法及雜湊和哈 希算法���。
[0042] 優(yōu)選的,所述安全芯片的封裝方式包括TF卡封裝��,采用此種成熟的封裝方式����,保 證了封裝工藝的穩(wěn)定性,提高了智能鎖系統(tǒng)的質(zhì)量�。
[0043]作為進(jìn)一步的改進(jìn),所述智能鎖和控制器分別設(shè)置無線通訊模塊�,所述智能鎖和 控制器之間的通信通過所述無線通訊模塊進(jìn)行。
[0044] 優(yōu)選的��,所述無線通訊模塊為ZigBee或藍(lán)牙或wifi模塊��。
[0045] 本發(fā)明的物聯(lián)網(wǎng)鎖系統(tǒng)�,其智能鎖和控制器分別內(nèi)置安全模塊,所有向智能鎖發(fā) 送的信息都要通過控制器�����,所述信息來自其它物聯(lián)設(shè)備����,也可能來自網(wǎng)絡(luò)���;智能鎖向外發(fā)出 的信息也都要經(jīng)過控制器。智能鎖和控制器之間傳輸信息都要經(jīng)過安全模塊的加解密操 作����,其加解密機(jī)制為前述的加解密機(jī)制。所述安全模塊從物理上保證了信息加解密及傳輸 的安全性����,由于信息在傳輸過程中是密文,從而防止信息在傳輸過程中明文泄露或被篡改���, 保證了信息的機(jī)密性和完整性���。
[0046] 進(jìn)一步的,上述加密機(jī)制可結(jié)合成熟的PKI/CA體系�,通過第三方CA中心�,將用戶 公鑰和其他標(biāo)識信息捆綁,進(jìn)行用戶身份驗證��,從而實現(xiàn)以加密保證信息傳輸?shù)谋C苄?��、?整性�,以簽名保證身份的真實性和抗抵賴。
[0047]本發(fā)明的物聯(lián)網(wǎng)鎖系統(tǒng)����,采用無線通訊模塊實現(xiàn)智能鎖和控制器之間的通信,使 鎖的使用更加方便���、靈活���;可與其它物聯(lián)網(wǎng)設(shè)備或互聯(lián)網(wǎng)連接,實現(xiàn)用戶在PC���、筆記本���、手 機(jī)等設(shè)備上安全接收鎖狀態(tài)信息、遠(yuǎn)程控制智能鎖����,再加上良好的安全性能,可廣泛應(yīng)用于 安全要求較高的重要場所����,具有良好的市場前景��。
【附圖說明】
[0048] 圖1為本發(fā)明的物聯(lián)網(wǎng)鎖系統(tǒng)的組成示意圖���;
[0049] 圖2為對稱密鑰加密方式的加解密流程示意圖;
[0050] 圖3為非對稱密鑰加密方式的加解密流程示意圖����;
[0051 ] 圖4為本發(fā)明的加解密機(jī)制流程示意圖。
【具體實施方式】
[0052] 為了進(jìn)一步理解本發(fā)明�����,下面結(jié)合實施例對本發(fā)明優(yōu)選實施方案進(jìn)行描述���,但是 應(yīng)當(dāng)理解�,這些描述只是為進(jìn)一步說明本發(fā)明的特征和優(yōu)點����,而不是對本發(fā)明權(quán)利要求的 限制。
[0053] 本發(fā)明提供了一種加解密機(jī)制�,其發(fā)送方和接收方分別生成或?qū)胍粚Ψ菍ΨQ密 鑰,其中私鑰自己保存����,公鑰經(jīng)第三方CA中心認(rèn)證后以數(shù)字證書方式公開給對方;
[0054] 當(dāng)發(fā)送方向接收方發(fā)送信息X時�,具體包括以下步驟:
[0055] a.發(fā)送方隨機(jī)生成對稱密鑰K,用所述對稱密鑰K加密