[发明专利]一种基于发布订阅模式的安全通讯方法

说明书

本公开涉及一种基于发布订阅模式的安全通讯方法，通过设置多种安全措施复用的安全管理通道，通过发送固定格式的命令报文确保链路的安全以及数据的保密性和完整性。为实现以上目的，本公开通过以下技术方案予以实现：一种基于发布订阅模式的安全通讯方法，基于MQTT协议，包括MQTT服务器及分别与MQTT服务器通讯连接的主站、终端，通过自定义MQTT报文类型，解析报文数据生成加密芯片接口命令，把命令写入加密芯片实现安全管理。本公开通过这样的技术方案，通过安全管理通道确保终端和主站之间的通信链路安全，保障终端和主站之间传输数据的保密性和完整性，同时实现主站和终端之间的双向身份鉴别；防范对主站系统的恶意破坏和攻击以及其它非法操作。

技术领域

本公开涉及一种远程控制方法，尤其是涉及一种基于发布订阅模式的安全通讯方法。

背景技术

MQTT(Message Queuing Telemetry Transport，消息队列遥测传输)是由IBM公司开发的是ISO标准(ISO/IEC PRF 20922)下基于发布/订阅范式的即时通信协议。该协议工作在TCP/IP协议族上，最初是为硬件性能低下的远程设备以及恶劣的网络状况下设计的发布/订阅型消息协议。但是进入物联网时代后，技术人员发现它的精简性、支持连续的回话控制、提供传输的不同服务质量、可定制性强等特点非常符合物联网通讯协议的要求。只需对其安全性以及传输效率进行优化，就能满足很多场景的需求。

对此，现有技术中公布号为CN109088723A的发明专利《一种基于MQTT协议的远程控制方法》中就公开了一种基于MQTT协议的远程控制方法，包括：控制设备端通过相应移动平台连接MQTT服务器，服务器和设备端进行双向认证、控制设备端编辑包含消息唯一ID的控制指令并选择消息的服务质量和主题，消息经过加密后发送到MQTT服务器、设备端连接上MQTT服务器订阅控制设备端发布消息的主题、服务器转发消息到订阅消息主题的设备端，设备端收到消息对数据解密获得原始数据、设备端执行控制指令后，将控制结果和收到的控制指令的消息唯一ID打包，经过数据加密后选择发布主题并发送到MQTT服务器、控制终收到来自设备端的控制响应消息。该发明的方法可实现安全的消息传输，其控制消息和控制响应的一一对应，具有用户认证和数据加密功能。

这样的方案有效提高了整个系统的传输效率和安全性。但是它也有不足之处，即只有在设备端初次登陆MQTT服务器时进行了双向验证，而在后期的数据交换过程中仅仅进行了数据加密，整个数据交换的通信链路没有任何保护。这样一旦遭到重放攻击等攻击，整个系统很容易被侵入或破坏。且MQTT协议本来面向的就是硬件性能低下的远程设备，如果为了提高安全性能全面更换设备端则有悖于初衷。而较为复杂的加密会增加设备端的负担。

发明内容

针对现有技术的不足，本公开涉及一种基于发布订阅模式的安全通讯方法，通过设置多种安全措施复用的安全管理通道，并且在安全管理通道中执行相关的安全权利命令，通过发送固定格式的命令报文确保链路的安全以及数据的保密性和完整性。

为实现以上目的，本公开通过以下技术方案予以实现：

一种基于发布订阅模式的安全通讯方法，基于MQTT协议，包括MQTT服务器及分别与MQTT服务器通讯连接的主站、终端，通过自定义MQTT报文类型，解析报文数据生成加密芯片接口命令，把命令写入加密芯片实现安全管理。

优选的，还包括基于发布订阅模式通信交换的安全管理通道，服务于所述安全管理通道的安全管理命令运行在安全管理通道中。

优选的，通过向加密芯片发送固定格式的命令报文，实现的管理命令包括对称加密、非对称加密、双向身份认证、签名验证、时间验证、证书更新、密钥更新、证书查询、公钥查询、密钥版本查询。

优选的，所述双向身份认证基于数字证书，由主站发起，终端被动响应，一方对另一方认证失败，返回认证失败信息，不响应对方数据；双向身份认证采用基于公开密钥的鉴别过程SM2算法，具体步骤如下：