[发明专利]物联网、身份认证及保密通信方法、芯片、设备及介质

说明书

本申请提供物联网、身份认证及保密通信方法、安全芯片、设备及介质。所述物联网包括：至少一个第一设备和至少一个第二设备，所述第一设备内部配置安全芯片；所述第二设备内部配置白盒密码算法；其中，所述第一设备通过所述安全芯片与所述第二设备进行身份认证及保密通信。

技术领域

本申请涉及通信安全技术领域，具体涉及物联网、身份认证及保密通信方法、芯片、设备及介质。

背景技术

物联网作为互联网的延伸，本质上是物与物、M2M的互联，通过分布在不同地理位置上的各种传感器采集信息，并将信息通过网络整合在一起，实现集中的管理和处理。物联网的开放性使得其中的设备很容易遭受攻击。因此，要实现“万物互联”，就需要安全通信作为技术支撑，而实现安全通信的前提就是确保通信双方身份的真实性，这需要用到身份认证技术进行保障。

M2M是“机器对机器(Machine to Machine)”的简称，广义上也可扩展为“机器对移动设备(Machine to Mobile)”，代指机器与机器、机器与移动设备之间的连接与通信。M2M是物联网中的重要支撑技术之一，但在物联网环境下M2M系统面临着众多安全问题，尤其是通信中的安全问题，需要身份认证这一关键技术进行解决。从密码学角度来说，身份认证可以通过口令、密码、挑战—应答机制等手段来完成。

物联网中的设备种类多样，既有成本高昂、资源丰富、计算能力很强的设备，也有成本低廉、资源受限、计算能力很弱的设备，因此，如何解决计算资源差距较大的设备间的身份认证，以确保M2M的安全通信是物联网安全中的一个难题。基于密码学的身份认证在互联网中应用广泛，但扩展到物联网，考虑到资源受限设备的场景，密钥的创建和分发、存储和管理仍存在很大挑战。在基于密码学进行身份认证时，在设备密钥的初始分发和在无人管理的情况下无法保证密钥的更新。

基于密码学的M2M身份认证方法有多种实现，通常用的最多的是基于纯软件的密码算法实现。这种方法的缺点是安全性不够高，因为存储在设备中的软件代码也即固件易被提取出来，进而被逆向分析出具体的算法甚至是密钥，且即使固件得到了保护，软件实现的密码算法在运行中也存在侧信息泄露，难以抵抗侧信道攻击。

安全芯片是可以提供安全的密码运算和密钥存储的设备，可加载到物联网中的关键设备如网关设备中，提供高安全等级的密码运算和密钥等敏感信息的存储保护。

白盒密码是一种能够抵抗白盒攻击(攻击者对设备终端拥有完全的控制能力，能够观测和更改程序运行时的内部数据)的密码实现技术，从本质上来说是提高了加解密程序的复杂度，使得攻击者即使获得源码也无法通过逆向分析还原出密钥。针对资源受限的物联网设备，可以采用轻量级的白盒密码实现与其他设备通信时的身份认证及数据加密。

安全芯片和白盒密码都可以用于M2M身份认证，安全芯片可以提供已知的最安全的密码运算和密钥存储，但成本相对较高，适用于对安全性要求较高的设备。白盒密码相对于普通的软件实现的密码算法安全性也有所提升，且成本相对较低，适用于对安全性要求适中的设备。

发明内容

本申请实施例提供了一种物联网，所述物联网包括至少一个第一设备和至少一个第二设备，所述第一设备内部配置安全芯片；所述第二设备内部配置白盒密码算法；其中，所述第一设备通过所述安全芯片与所述第二设备进行身份认证及保密通信。

根据一些实施例，所述第一设备包括网关、服务器的至少一种。

根据一些实施例，所述第二设备包括用户终端设备。

根据一些实施例，所述安全芯片包括认证密钥生成模块和第一认证模块，所述认证密钥生成模块为所述第二设备生成对应的认证密钥；所述第一认证模块利用硬件密码算法，使用所述认证密钥加密通信报文的序列号的映射信息与会话密钥，与所述第二设备进行身份认证。

根据一些实施例，所述认证密钥生成模块采用的算法包括ALG算法。