本發(fā)明屬于數據處理領域,尤其涉及一種物聯網終端的身份數據加密方法及系統(tǒng)�����。
背景技術:
1�、物聯網終端是物聯網系統(tǒng)中的核心設備,負責?實時采集物理環(huán)境數據(如溫度�����、位置�、圖像等)并通過網絡(wi-fi、5g����、藍牙等)傳輸至服務器?,同時可接收指令執(zhí)行特定操作(如開關控制��、報警觸發(fā))�。
2、現有物聯網終端普遍采用靜態(tài)固定強度的會話密鑰實現數據加密�����,但由于環(huán)境數據存在顯著的重要性差異(如關鍵設備狀態(tài)監(jiān)測與普通溫濕度采集)���,統(tǒng)一使用相同密鑰強度既會導致高敏感數據面臨安全冗余不足的風險����,又可能對低價值數據產生不必要的算力資源消耗,需要改進���。
技術實現思路
1���、基于此,有必要針對上述的問題���,提供一種物聯網終端的身份數據加密方法及系統(tǒng)��。
2���、本發(fā)明實施例是這樣實現的,一種物聯網終端的身份數據加密方法��,包括以下步驟:
3�、使用非對稱加密算法(如rsa、ecc)生成公私鑰對����,私鑰存儲于物聯網終端(具體可為hsm中,即硬件安全模塊中),公鑰上傳至服務器注冊�;
4、基于公私鑰對認證建立tls/dtls連接后���,通過分級環(huán)境數據重要性(如高/低風險)匹配不同強度的臨時會話密鑰�����,并實時監(jiān)測物聯網終端資源,對臨時會話密鑰動態(tài)升降級�����;
5����、在終端通過臨時會話密鑰對數據加密后,將加密后的數據傳輸至服務器���。
6���、在其中一個實施例中,本發(fā)明提供了一種物聯網終端的身份數據加密方法����,所述使用非對稱加密算法(如rsa���、ecc)生成公私鑰對,私鑰存儲于物聯網終端(具體可為hsm中��,即硬件安全模塊中)����,公鑰上傳至服務器注冊步驟中,具體包括:
7��、在物聯網終端中調用hsm的加密接口(如pkcs#11標準)�����,選擇rsa-2048或ecc-secp256r1算法生成公私鑰對����;
8、將私鑰直接寫入hsm防導出安全區(qū)存儲�;
9、將公鑰編碼為pem/der格式�����,通過https攜帶設備(物聯網終端通常以芯片或其他形式內置于設備硬件中)唯一標識(如序列號)上傳至服務器,在服務器驗證格式后存入數據庫并綁定設備身份�����,形成設備身份證書體系��。
10�、在其中一個實施例中,本發(fā)明提供了一種物聯網終端的身份數據加密方法�����,所述基于公私鑰對認證建立tls/dtls連接后�,通過分級環(huán)境數據重要性(如高/低風險)匹配不同強度的臨時會話密鑰����,并實時監(jiān)測物聯網終端資源,對臨時會話密鑰動態(tài)升降級步驟中����,具體包括:
11、控制物聯網終端和服務器通過公私鑰對進行身份認證��,建立tls/dtls連接����;
12�、建立tls/dtls連接后�����,判斷不同傳感器采集到的環(huán)境數據的重要性���,選擇不同強度的臨時會話密鑰�;
13�����、檢測物聯網終端的資源�����,資源受限時��,對臨時會話密鑰進行降級����,資源充足時,對臨時會話密鑰進行升級����,物聯網終端資源包括mcu算力�、通信帶寬���。
14�、在其中一個實施例中�,本發(fā)明提供了一種物聯網終端的身份數據加密方法,所述建立tls/dtls連接后�����,判斷不同傳感器采集到的環(huán)境數據的重要性����,選擇不同強度的臨時會話密鑰步驟中,具體包括:
15�、建立tls/dtls連接后��,接收各類傳感器獲得的環(huán)境數據(如溫度��、濕度��、運動等)�,當環(huán)境數據正常時����,臨時會話密鑰采用初始加密策略(如普通算法��、長密鑰周期)��;
16�、一旦某個環(huán)境數據超出預設閾值(如溫度暴增、濕度驟變等)且經多個環(huán)境數據交叉驗證確認異常��,立即動態(tài)提升臨時會話密鑰的安全等級(如切換高強度加密����、縮短密鑰更新頻率);
17���、在環(huán)境數據恢復正常后����,控制臨時會話密鑰的安全等級自動逐步降級至初始狀態(tài)�。
18、在其中一個實施例中����,本發(fā)明提供了一種物聯網終端的身份數據加密方法����,所述在終端通過臨時會話密鑰對數據加密后����,將加密后的數據傳輸至服務器步驟中,具體包括:
19�����、在終端通過臨時會話密鑰對數據加密后���,生成hmac或者數字簽名附加到加密數據后��;hmac通過同一個臨時會話密鑰生成����;數字簽名通過服務器終端私鑰生成����;
20�����、將加密數據+hmac或數字簽名傳輸至服務器。
21�����、在其中一個實施例中��,本發(fā)明提供了一種物聯網終端的身份數據加密系統(tǒng)���,包括:
22�、公私鑰對生成模塊�,用于使用非對稱加密算法(如rsa、ecc)生成公私鑰對���,私鑰存儲于物聯網終端(具體可為hsm中����,即硬件安全模塊中)��,公鑰上傳至服務器注冊���;
23�����、臨時會話密鑰升降級模塊�����,用于基于公私鑰對認證建立tls/dtls連接后��,通過分級環(huán)境數據重要性(如高/低風險)匹配不同強度的臨時會話密鑰��,并實時監(jiān)測物聯網終端資源���,對臨時會話密鑰動態(tài)升降級�;
24�����、數據加密傳輸模塊�����,用于在終端通過臨時會話密鑰對數據加密后�,將加密后的數據傳輸至服務器。
25���、在其中一個實施例中���,本發(fā)明提供了一種物聯網終端的身份數據加密系統(tǒng),公私鑰對生成模塊包括:
26�����、公私鑰對獲得單元��,用于在物聯網終端中調用hsm的加密接口(如pkcs#11標準)���,選擇rsa-2048或ecc-secp256r1算法生成公私鑰對����;
27����、私鑰寫入單元,用于將私鑰直接寫入hsm防導出安全區(qū)存儲�;
28、公鑰上傳單元�����,用于將公鑰編碼為pem/der格式,通過https攜帶設備(物聯網終端通常以芯片或其他形式內置于設備硬件中)唯一標識(如序列號)上傳至服務器����,在服務器驗證格式后存入數據庫并綁定設備身份,形成設備身份證書體系��。
29���、在其中一個實施例中���,本發(fā)明提供了一種物聯網終端的身份數據加密系統(tǒng),臨時會話密鑰升降級模塊包括:
30����、身份認證單元,用于控制物聯網終端和服務器通過公私鑰對進行身份認證�����,建立tls/dtls連接����;
31、環(huán)境數據密鑰匹配單元����,用于建立tls/dtls連接后����,判斷不同傳感器采集到的環(huán)境數據的重要性�����,選擇不同強度的臨時會話密鑰�;
32���、密鑰動態(tài)調整單元�,用于檢測物聯網終端的資源����,資源受限時,對臨時會話密鑰進行降級���,資源充足時�����,對臨時會話密鑰進行升級��,物聯網終端資源包括mcu算力���、通信帶寬����。
33����、在其中一個實施例中,本發(fā)明提供了一種物聯網終端的身份數據加密系統(tǒng)���,環(huán)境數據密鑰匹配單元包括:
34�、環(huán)境數據正常子單元����,用于建立tls/dtls連接后,接收各類傳感器獲得的環(huán)境數據(如溫度����、濕度、運動等)�,當環(huán)境數據正常時,臨時會話密鑰采用初始加密策略(如普通算法��、長密鑰周期);
35�����、環(huán)境數據異常子單元�,用于一旦某個環(huán)境數據超出預設閾值(如溫度暴增、濕度驟變等)且經多個環(huán)境數據交叉驗證確認異常�,立即動態(tài)提升臨時會話密鑰的安全等級(如切換高強度加密、縮短密鑰更新頻率)�����;
36��、環(huán)境數據恢復子單元�����,用于在環(huán)境數據恢復正常后�,控制臨時會話密鑰的安全等級自動逐步降級至初始狀態(tài)��。
37���、在其中一個實施例中��,本發(fā)明提供了一種物聯網終端的身份數據加密系統(tǒng)�,數據加密傳輸模塊包括:
38、數據加密單元����,用于在終端通過臨時會話密鑰對數據加密后,生成hmac或者數字簽名附加到加密數據后����;hmac通過同一個臨時會話密鑰生成;數字簽名通過服務器終端私鑰生成����;
39、數據傳輸單元����,用于將加密數據+hmac或數字簽名傳輸至服務器。
40����、與現有技術相比,本發(fā)明的有益效果是:本發(fā)明通過分級環(huán)境數據重要性匹配不同強度的臨時會話密鑰���,使得高敏感環(huán)境數據更加安全���,低敏感環(huán)境數據算力資源消耗較?��。徊崟r監(jiān)測物聯網終端資源�����,對臨時會話密鑰動態(tài)升降級�,保證數據的正常傳輸。