本發(fā)明屬于數(shù)據(jù)處理領(lǐng)域，尤其涉及一種物聯(lián)網(wǎng)終端的身份數(shù)據(jù)加密方法及系統(tǒng)。

背景技術(shù)：

1、物聯(lián)網(wǎng)終端是物聯(lián)網(wǎng)系統(tǒng)中的核心設(shè)備，負(fù)責(zé)?實(shí)時(shí)采集物理環(huán)境數(shù)據(jù)（如溫度、位置、圖像等）并通過(guò)網(wǎng)絡(luò)（wi-fi、5g、藍(lán)牙等）傳輸至服務(wù)器?，同時(shí)可接收指令執(zhí)行特定操作（如開(kāi)關(guān)控制、報(bào)警觸發(fā)）。

2、現(xiàn)有物聯(lián)網(wǎng)終端普遍采用靜態(tài)固定強(qiáng)度的會(huì)話密鑰實(shí)現(xiàn)數(shù)據(jù)加密，但由于環(huán)境數(shù)據(jù)存在顯著的重要性差異（如關(guān)鍵設(shè)備狀態(tài)監(jiān)測(cè)與普通溫濕度采集），統(tǒng)一使用相同密鑰強(qiáng)度既會(huì)導(dǎo)致高敏感數(shù)據(jù)面臨安全冗余不足的風(fēng)險(xiǎn)，又可能對(duì)低價(jià)值數(shù)據(jù)產(chǎn)生不必要的算力資源消耗，需要改進(jìn)。

技術(shù)實(shí)現(xiàn)思路

1、基于此，有必要針對(duì)上述的問(wèn)題，提供一種物聯(lián)網(wǎng)終端的身份數(shù)據(jù)加密方法及系統(tǒng)。

2、本發(fā)明實(shí)施例是這樣實(shí)現(xiàn)的，一種物聯(lián)網(wǎng)終端的身份數(shù)據(jù)加密方法，包括以下步驟：

3、使用非對(duì)稱加密算法（如rsa、ecc）生成公私鑰對(duì)，私鑰存儲(chǔ)于物聯(lián)網(wǎng)終端（具體可為hsm中，即硬件安全模塊中），公鑰上傳至服務(wù)器注冊(cè)；

4、基于公私鑰對(duì)認(rèn)證建立tls/dtls連接后，通過(guò)分級(jí)環(huán)境數(shù)據(jù)重要性（如高/低風(fēng)險(xiǎn)）匹配不同強(qiáng)度的臨時(shí)會(huì)話密鑰，并實(shí)時(shí)監(jiān)測(cè)物聯(lián)網(wǎng)終端資源，對(duì)臨時(shí)會(huì)話密鑰動(dòng)態(tài)升降級(jí)；

5、在終端通過(guò)臨時(shí)會(huì)話密鑰對(duì)數(shù)據(jù)加密后，將加密后的數(shù)據(jù)傳輸至服務(wù)器。

6、在其中一個(gè)實(shí)施例中，本發(fā)明提供了一種物聯(lián)網(wǎng)終端的身份數(shù)據(jù)加密方法，所述使用非對(duì)稱加密算法（如rsa、ecc）生成公私鑰對(duì)，私鑰存儲(chǔ)于物聯(lián)網(wǎng)終端（具體可為hsm中，即硬件安全模塊中），公鑰上傳至服務(wù)器注冊(cè)步驟中，具體包括：

7、在物聯(lián)網(wǎng)終端中調(diào)用hsm的加密接口（如pkcs#11標(biāo)準(zhǔn)），選擇rsa-2048或ecc-secp256r1算法生成公私鑰對(duì)；

8、將私鑰直接寫入hsm防導(dǎo)出安全區(qū)存儲(chǔ)；

9、將公鑰編碼為pem/der格式，通過(guò)https攜帶設(shè)備（物聯(lián)網(wǎng)終端通常以芯片或其他形式內(nèi)置于設(shè)備硬件中）唯一標(biāo)識(shí)（如序列號(hào)）上傳至服務(wù)器，在服務(wù)器驗(yàn)證格式后存入數(shù)據(jù)庫(kù)并綁定設(shè)備身份，形成設(shè)備身份證書體系。

10、在其中一個(gè)實(shí)施例中，本發(fā)明提供了一種物聯(lián)網(wǎng)終端的身份數(shù)據(jù)加密方法，所述基于公私鑰對(duì)認(rèn)證建立tls/dtls連接后，通過(guò)分級(jí)環(huán)境數(shù)據(jù)重要性（如高/低風(fēng)險(xiǎn)）匹配不同強(qiáng)度的臨時(shí)會(huì)話密鑰，并實(shí)時(shí)監(jiān)測(cè)物聯(lián)網(wǎng)終端資源，對(duì)臨時(shí)會(huì)話密鑰動(dòng)態(tài)升降級(jí)步驟中，具體包括：

11、控制物聯(lián)網(wǎng)終端和服務(wù)器通過(guò)公私鑰對(duì)進(jìn)行身份認(rèn)證，建立tls/dtls連接；

12、建立tls/dtls連接后，判斷不同傳感器采集到的環(huán)境數(shù)據(jù)的重要性，選擇不同強(qiáng)度的臨時(shí)會(huì)話密鑰；

13、檢測(cè)物聯(lián)網(wǎng)終端的資源，資源受限時(shí)，對(duì)臨時(shí)會(huì)話密鑰進(jìn)行降級(jí)，資源充足時(shí)，對(duì)臨時(shí)會(huì)話密鑰進(jìn)行升級(jí)，物聯(lián)網(wǎng)終端資源包括mcu算力、通信帶寬。

14、在其中一個(gè)實(shí)施例中，本發(fā)明提供了一種物聯(lián)網(wǎng)終端的身份數(shù)據(jù)加密方法，所述建立tls/dtls連接后，判斷不同傳感器采集到的環(huán)境數(shù)據(jù)的重要性，選擇不同強(qiáng)度的臨時(shí)會(huì)話密鑰步驟中，具體包括：

15、建立tls/dtls連接后，接收各類傳感器獲得的環(huán)境數(shù)據(jù)（如溫度、濕度、運(yùn)動(dòng)等），當(dāng)環(huán)境數(shù)據(jù)正常時(shí)，臨時(shí)會(huì)話密鑰采用初始加密策略（如普通算法、長(zhǎng)密鑰周期）；

16、一旦某個(gè)環(huán)境數(shù)據(jù)超出預(yù)設(shè)閾值（如溫度暴增、濕度驟變等）且經(jīng)多個(gè)環(huán)境數(shù)據(jù)交叉驗(yàn)證確認(rèn)異常，立即動(dòng)態(tài)提升臨時(shí)會(huì)話密鑰的安全等級(jí)（如切換高強(qiáng)度加密、縮短密鑰更新頻率）；

17、在環(huán)境數(shù)據(jù)恢復(fù)正常后，控制臨時(shí)會(huì)話密鑰的安全等級(jí)自動(dòng)逐步降級(jí)至初始狀態(tài)。

18、在其中一個(gè)實(shí)施例中，本發(fā)明提供了一種物聯(lián)網(wǎng)終端的身份數(shù)據(jù)加密方法，所述在終端通過(guò)臨時(shí)會(huì)話密鑰對(duì)數(shù)據(jù)加密后，將加密后的數(shù)據(jù)傳輸至服務(wù)器步驟中，具體包括：

19、在終端通過(guò)臨時(shí)會(huì)話密鑰對(duì)數(shù)據(jù)加密后，生成hmac或者數(shù)字簽名附加到加密數(shù)據(jù)后；hmac通過(guò)同一個(gè)臨時(shí)會(huì)話密鑰生成；數(shù)字簽名通過(guò)服務(wù)器終端私鑰生成；

20、將加密數(shù)據(jù)+hmac或數(shù)字簽名傳輸至服務(wù)器。

21、在其中一個(gè)實(shí)施例中，本發(fā)明提供了一種物聯(lián)網(wǎng)終端的身份數(shù)據(jù)加密系統(tǒng)，包括：

22、公私鑰對(duì)生成模塊，用于使用非對(duì)稱加密算法（如rsa、ecc）生成公私鑰對(duì)，私鑰存儲(chǔ)于物聯(lián)網(wǎng)終端（具體可為hsm中，即硬件安全模塊中），公鑰上傳至服務(wù)器注冊(cè)；

23、臨時(shí)會(huì)話密鑰升降級(jí)模塊，用于基于公私鑰對(duì)認(rèn)證建立tls/dtls連接后，通過(guò)分級(jí)環(huán)境數(shù)據(jù)重要性（如高/低風(fēng)險(xiǎn)）匹配不同強(qiáng)度的臨時(shí)會(huì)話密鑰，并實(shí)時(shí)監(jiān)測(cè)物聯(lián)網(wǎng)終端資源，對(duì)臨時(shí)會(huì)話密鑰動(dòng)態(tài)升降級(jí)；

24、數(shù)據(jù)加密傳輸模塊，用于在終端通過(guò)臨時(shí)會(huì)話密鑰對(duì)數(shù)據(jù)加密后，將加密后的數(shù)據(jù)傳輸至服務(wù)器。

25、在其中一個(gè)實(shí)施例中，本發(fā)明提供了一種物聯(lián)網(wǎng)終端的身份數(shù)據(jù)加密系統(tǒng)，公私鑰對(duì)生成模塊包括：

26、公私鑰對(duì)獲得單元，用于在物聯(lián)網(wǎng)終端中調(diào)用hsm的加密接口（如pkcs#11標(biāo)準(zhǔn)），選擇rsa-2048或ecc-secp256r1算法生成公私鑰對(duì)；

27、私鑰寫入單元，用于將私鑰直接寫入hsm防導(dǎo)出安全區(qū)存儲(chǔ)；

28、公鑰上傳單元，用于將公鑰編碼為pem/der格式，通過(guò)https攜帶設(shè)備（物聯(lián)網(wǎng)終端通常以芯片或其他形式內(nèi)置于設(shè)備硬件中）唯一標(biāo)識(shí)（如序列號(hào)）上傳至服務(wù)器，在服務(wù)器驗(yàn)證格式后存入數(shù)據(jù)庫(kù)并綁定設(shè)備身份，形成設(shè)備身份證書體系。

29、在其中一個(gè)實(shí)施例中，本發(fā)明提供了一種物聯(lián)網(wǎng)終端的身份數(shù)據(jù)加密系統(tǒng)，臨時(shí)會(huì)話密鑰升降級(jí)模塊包括：

30、身份認(rèn)證單元，用于控制物聯(lián)網(wǎng)終端和服務(wù)器通過(guò)公私鑰對(duì)進(jìn)行身份認(rèn)證，建立tls/dtls連接；

31、環(huán)境數(shù)據(jù)密鑰匹配單元，用于建立tls/dtls連接后，判斷不同傳感器采集到的環(huán)境數(shù)據(jù)的重要性，選擇不同強(qiáng)度的臨時(shí)會(huì)話密鑰；

32、密鑰動(dòng)態(tài)調(diào)整單元，用于檢測(cè)物聯(lián)網(wǎng)終端的資源，資源受限時(shí)，對(duì)臨時(shí)會(huì)話密鑰進(jìn)行降級(jí)，資源充足時(shí)，對(duì)臨時(shí)會(huì)話密鑰進(jìn)行升級(jí)，物聯(lián)網(wǎng)終端資源包括mcu算力、通信帶寬。

33、在其中一個(gè)實(shí)施例中，本發(fā)明提供了一種物聯(lián)網(wǎng)終端的身份數(shù)據(jù)加密系統(tǒng)，環(huán)境數(shù)據(jù)密鑰匹配單元包括：

34、環(huán)境數(shù)據(jù)正常子單元，用于建立tls/dtls連接后，接收各類傳感器獲得的環(huán)境數(shù)據(jù)（如溫度、濕度、運(yùn)動(dòng)等），當(dāng)環(huán)境數(shù)據(jù)正常時(shí)，臨時(shí)會(huì)話密鑰采用初始加密策略（如普通算法、長(zhǎng)密鑰周期）；

35、環(huán)境數(shù)據(jù)異常子單元，用于一旦某個(gè)環(huán)境數(shù)據(jù)超出預(yù)設(shè)閾值（如溫度暴增、濕度驟變等）且經(jīng)多個(gè)環(huán)境數(shù)據(jù)交叉驗(yàn)證確認(rèn)異常，立即動(dòng)態(tài)提升臨時(shí)會(huì)話密鑰的安全等級(jí)（如切換高強(qiáng)度加密、縮短密鑰更新頻率）；

36、環(huán)境數(shù)據(jù)恢復(fù)子單元，用于在環(huán)境數(shù)據(jù)恢復(fù)正常后，控制臨時(shí)會(huì)話密鑰的安全等級(jí)自動(dòng)逐步降級(jí)至初始狀態(tài)。

37、在其中一個(gè)實(shí)施例中，本發(fā)明提供了一種物聯(lián)網(wǎng)終端的身份數(shù)據(jù)加密系統(tǒng)，數(shù)據(jù)加密傳輸模塊包括：

38、數(shù)據(jù)加密單元，用于在終端通過(guò)臨時(shí)會(huì)話密鑰對(duì)數(shù)據(jù)加密后，生成hmac或者數(shù)字簽名附加到加密數(shù)據(jù)后；hmac通過(guò)同一個(gè)臨時(shí)會(huì)話密鑰生成；數(shù)字簽名通過(guò)服務(wù)器終端私鑰生成；

39、數(shù)據(jù)傳輸單元，用于將加密數(shù)據(jù)+hmac或數(shù)字簽名傳輸至服務(wù)器。

40、與現(xiàn)有技術(shù)相比，本發(fā)明的有益效果是：本發(fā)明通過(guò)分級(jí)環(huán)境數(shù)據(jù)重要性匹配不同強(qiáng)度的臨時(shí)會(huì)話密鑰，使得高敏感環(huán)境數(shù)據(jù)更加安全，低敏感環(huán)境數(shù)據(jù)算力資源消耗較??；并實(shí)時(shí)監(jiān)測(cè)物聯(lián)網(wǎng)終端資源，對(duì)臨時(shí)會(huì)話密鑰動(dòng)態(tài)升降級(jí)，保證數(shù)據(jù)的正常傳輸。