[发明专利]物联网平台中用户终端安全通信的方法

摘要

本发明涉及一种物联网平台中用户终端安全通信的方法，特别是用于物联网平台中多元异构的用户终端与平台服务器之间安全通信的实现方案，主要是利用抽象语法标记语言ASN.1结合安全的加解密及认证的算法，建立了一个安全的物联网通信体系模型，不仅为物联网中不同编程语言、不同操作系统以及不同种类的计算机及硬件环境之间的认证互连互通，提供一种标准的数据包的结构，使得认证及交互双方能够识别。同时，引进了一种更为高效的安全机制，使物联网中不同实体安全快速可靠地通信，其数据传输过程中资源开销和时延都得到了显著的改善。

主权项

一种物联网平台中用户终端安全通信的方法，其特征在于：该方法利用抽象语法标记语言ASN.1的描述结合经典的加密安全算法，1） 用户的注册过程：服务器端首先将产生随机数存放到数据库中并加密发送其副本到客户端，客户端将首先解密得到随机数后，再将用户名、密码的摘要(Hash1(psw))、密码经两次不同的摘要算法后的签名(Ska(Hash2(Hash1(psw))))以及随机数的摘要，经加密及ASN.1的编码后发送到服务器端，服务器端完成本地解码、解密后，得到随机数的摘要以及密码经两次不同的摘要算法后的签名(Ska(Hash2(Hash1(psw))))，服务器首先匹配此随机数的摘要与本地数据库的随机数按照与客户端相同的摘要算法后的摘要值，如果不同，提示用户注册不成功；如果成功，进入下一步，服务器再利用客户端的公钥解签名得到密码经两次不同摘要算法后的散列值Hash2(Hash1(psw))；然后，服务器端将得到的密码的摘要(Hash1(psw))跟客户端第二次的密码的摘要算法相同的算法进行一次摘要运算得到Hash2(Hash1(psw))’，将此值与上述解签名后的摘要值进行匹配运算；如果不相同，说明密码在传输过程中已经被篡改，如果相同，将拿到的密码摘要存入数据库，用来下次用户请求登录时的匹配验证，同时，给该用户分配相应的安全等级；其中，Hash1、Hash2是哈希Hash算法，psw是用户的密码，Hash1(psw)是用户密码的散列值，Hash2(Hash1(psw))是密码经两次不同摘要算法后的散列值，SKa是客户端的私有密钥，Ska(Hash2(Hash1(psw)))是客户端对用户密码的两次摘要后的数字签名，数字签名用来验证客户端的身份；2)  用户的登陆过程：服务器端首先将产生随机数存放到数据库中并加密发送其副本到客户端，客户端将首先解密得到随机数后，再将用户名、密码的摘要(Hash1(psw))以及随机数的摘要，经不同于用户注册时的加密算法加密及ASN.1的编码后发送到服务器端；服务器端完成本地解码、解密后，得到随机数的摘要以及密码的摘要(Hash1(psw))，服务器首先匹配此随机数的摘要与本地数据库的随机数按照与客户端相同的摘要算法后的摘要值；如果不同，提示用户非法；如果成功，进入下一步，服务器再利用客户端的公钥解签名得到密码经摘要算法后的散列值 (Hash1(psw))，然后，服务器端将根据此用户名查找对应的密码的摘要值，将此值与上述解签名后的摘要值进行匹配运算，如果不相同，用户登陆不成功，如果相同，登陆成功，服务器将返回客户端该用户所属的安全等级；3）用户的通信过程：服务器端首先将产生随机数存放到数据库中并加密发送其副本到客户端，客户端将首先解密得到随机数后，再将请求消息、请求消息摘要的签名SKa(Hash1(message))以及随机数的摘要，根据用户所属的安全等级采用不同等级的加密方法及ASN.1的编码后发送到服务器端；服务器端完成本地解码、解密后，得到随机数的摘要以及请求消息摘要的签名SKa(Hash1(message))，服务器首先匹配此随机数的摘要与本地数据库的随机数按照与客户端相同的摘要算法后的摘要值，如果不同，提示用户非法；如果成功，进入下一步，服务器再利用客户端的公钥解签名得到请求消息经摘要算法后的散列值 (Hash1(message))，然后，服务器端将客户端传送过来的请求消息摘要与跟客户端相同的摘要算法计算出其散列值Hash1(message)’，将该值与上述解签名后的消息散列值进行匹配，如果匹配不成功，则说明请求消息已经被篡改，服务器端将丢弃此数据包，要求客户端重新传送，若匹配成功，则消息验证成功，将请求消息交给平台服务器的消息处理模块进行下一步的处理。