[发明专利]一种基于窄带物联网的安全混合加密方法

权利要求书

1.一种基于窄带物联网的安全混合加密方法，其特征在于，包括以下步骤：

步骤S1：对各个终端与服务器进行轻量级身份认证，所述轻量级身份认证通过使用单向非对称加密，来实现终端的身份认证以及初始密钥和初始IV向量的传输；

步骤S2：在终端的身份认证成功后，每个终端分别以各自对应的初始密钥和初始IV向量作为初始参数，多次采用动态的对称加解密算法在所述终端和服务器之间进行加密通信，使得所述对称加解密算法在每个终端的每次加密通信时使用不同的对称密钥和不同的结构参数；

在所述步骤S1中，所有终端对其身份信息、初始密钥和初始IV向量进行非对称加密并发送至服务器，服务器进行非对称解密并确认终端身份是否合法，若合法则将所述身份信息、初始密钥和初始IV向量存入所述服务器的数据库，以使所述终端的身份认证成功，若不合法则进行异常处理与重传；

所述步骤S1包括：

步骤S11：每个终端将其身份信息经过散列算法，生成其HASH值，作为身份校验码，服务器使用非对称加解密算法生成服务器的一对公钥和私钥；随后使用人工注入的方式将所述身份校验码灌注到所述服务器的数据库中，并将所述公钥灌注到所述终端中；

步骤S12：每个终端生成两组随机数，一组作为初始密钥，另一组作为初始IV向量，然后终端将所述身份信息、所述初始密钥和所述初始IV向量打包为第一数据包，将该第一数据包经过散列算法生成HASH值并作为第一数据包校验码，并将该第一数据包用所述公钥进行非对称加密以生成第一密文，终端将所述第一密文与所述第一数据包校验码一起发送至所述服务器；

步骤S13：所述服务器将所述第一密文用所述私钥进行非对称解密，得到第一数据包，然后将其经过与终端完全相同的散列算法生成HASH值，将其与所述第一数据包校验码进行校验，若全部一致则确认该第一数据包的完整性，否则进行重传；当确认第一数据包完整后，将所述第一数据包中的身份信息经过与终端完全相同的散列算法生成HASH值，将其与所述身份校验码进行校验，如果两者一一对应则所述终端的身份认证成功，将对应的身份信息、初始密钥和初始IV向量存入数据库；如果不一致则所述终端的身份认证失败，进行异常处理与重传；

所述对称加解密算法为CBC模式、CFB模式或OFB模式的SM4分组加密算法，所述结构参数包括IV向量和CK种子矩阵，采用动态的对称加解密算法在所述终端和服务器之间进行加密通信，包括：

步骤S21：由发送方生成一个至少128BIT的随机数，将所述初始密钥、初始IV向量与所述随机数一起生成新的对称密钥、新的IV向量以及新的CK种子矩阵；发送方将待发送的未加密信息定义为明文，对所述明文经过散列算法生成明文校验码，再将所述明文、所述新的对称密钥和所述新的IV向量经过带有新的CK种子矩阵的对称加解密算法，生成第二密文；将所述终端的身份信息、所述随机数、所述第二密文和所述明文校验码打包为第二数据包，发送至接收方；

步骤S22：接收方收到所述第二数据包，先以所述第二数据包中的身份信息为索引在其数据库中找到对应的初始密钥和初始IV向量，将所述初始密钥、初始IV向量与所述第二数据包中的随机数一起生成新的对称密钥、新的IV向量以及新的CK种子矩阵；将所述第二密文用新的对称密钥、新的IV向量经过带有新的CK种子矩阵的对称加解密算法进行解密以获得所述明文，再将所述明文经过散列算法生成HASH值，将其与所述第二数据包中的明文校验码进行校验；如果校验失败则进行异常处理与重传；如果校验成功，向终端发送解密成功的信息，将明文传至其他位置或者直接进行处理。

2.根据权利要求1所述的基于窄带物联网的安全混合加密方法，其特征在于，在所述步骤S13中，在进行异常处理与重传时，若所述终端的身份认证连续失败超过三次则封锁IP并加入黑名单，若所述终端的身份认证失败小于等于三次则进入请求重传状态。

3.根据权利要求1所述的基于窄带物联网的安全混合加密方法，其特征在于，在所述步骤S22中，在收到所述第二数据包后，还包括步骤：将所述第二数据包中的随机数与之前加密通信时存储的随机数进行比对，若存储的随机数中存在随机数与第二数据包中的随机数相同，且存储的对应的明文校验码与所述第二数据包中的明文校验码完全相同，则发现重放攻击，进行异常处理与重传；且在进行异常处理与重传时，如校验连续失败超过三次或发现重放攻击，则封锁IP并加入黑名单，若校验失败小于等于三次则进入请求重传状态。