一種通信安全防護方法、裝置和系統制造方法及圖紙

本發明專利技術公開了一種通信安全防護方法、裝置和系統，其中，所述方法包括：終端根據預設的第一規則生成特定的參數Para；根據應用程序編程接口密鑰API?Key、所要傳遞的消息Payload以及所述Para，生成摘要消息；根據所述終端的標識Device?ID、所述Payload、所述Para以及所述摘要消息，生成第一信息并發送給服務器；所述服務器根據所述第一信息中的所述Device?ID獲取預存的API?Key；根據所述預存的API?Key、所述第一信息中的所述Payload和所述Para，計算得到驗證值；將所述驗證值與所述第一信息中的所述摘要消息進行對比；當所述驗證值與所述摘要消息匹配時，確定所述第一信息鑒權通過。

【技術實現步驟摘要】

本專利技術涉及計算機技術，尤其涉及一種通信安全防護方法、裝置和系統。
技術介紹
通常，物聯網公司開發開放云平臺，參見圖1所示，第三方應用通過httpclient操作開放云平臺提供的資源；設備實現OneNet提供的RestFUL接口，將業務數據封裝成開放平臺要求的格式傳輸到OneNet進行存儲。第三方應用需要業務數據時，通過RestFUL接口獲取。參見圖2所示，平臺提供設備(device)、數據流(datastream)、數據點(datapoint)、觸發器(trigger)、APIkey等資源，通過RESTAPI可以對平臺進行增刪查改操作。每個平臺用戶，可以創建自己的設備列表，設定設備相關屬性；每個設備下，可以創建多個數據流；數據流是某一類按時間順序存儲的數據點；數據點則是以時間戳為key，任意json數據類型為value的key-value對；針對每個數據流，可設定對數據點進行監控的觸發器；Key是用來規定用戶是否具有操作相關資源的權限，細化到數據流級別；使用標準HTTP方法實現資源操作?，F有技術中根據規范說明，參見圖3所示，APIkey以“api-key:xxxx-ffff-zzzzz”的格式放在HTTP頭部信息中，以明文方式發送。根據設計原理，APIkey是用于物聯網OneNet云平臺鑒別物聯網終端設備身份的密鑰。但該密鑰通過明文方式發送，在攻擊者截獲相關消息時，可直接解析獲得APIkey，進而攻擊者可以使用同樣的APIkey冒充物聯網終端發送虛假消息，從而使得物聯網OneNet云平臺收到錯誤的反饋信息或者請求。傳統的解決方案是對APIkey進行加密，但是加密之后將無法解決設備識別的問題，并且會面臨消息被截獲后被重放的問題。或者傳統的解決方案是通過挑戰/響應類流程完成對用戶身份的驗證之后，再通過同時產生的會話密鑰對后續消息進行保護。但是，這種方法將帶來額外的流程與密鑰的計算，將會導致設備額外的開銷，對于物聯網的終端這種資源受限的設備代價巨大。
技術實現思路
為解決現有存在的技術問題，本專利技術實施例提供一種通信安全防護方法、裝置和系統。本專利技術實施例提供一種通信安全防護方法，應用于物聯網，所述方法包括：終端根據預設的第一規則生成特定的參數Para；根據應用程序編程接口密鑰APIKey、所要傳遞的消息Payload以及所述Para，生成摘要消息；根據所述終端的標識DeviceID、所述Payload、所述Para以及所述摘要消息，生成第一信息并發送給服務器；所述服務器根據所述第一信息中的所述DeviceID獲取預存的APIKey；根據所述預存的APIKey、所述第一信息中的所述Payload和所述Para，計算得到驗證值；將所述驗證值與所述第一信息中的所述摘要消息進行對比；當所述驗證值與所述摘要消息匹配時，確定所述第一信息鑒權通過。其中，所述方法還包括：所述服務器判斷所述第一信息中的所述Para是否滿足預設的條件；當所述Para不滿足預設的條件時，確定所述第一信息為重放的信息；當所述Para滿足預設的條件時，進行根據所述第一信息中的所述DeviceID獲取預存的APIKey的步驟。其中，所述方法還包括：所述終端根據預設的第二規則生成第一隨機數RAND；相應的，所述生成摘要消息包括：根據APIKey、所要傳遞的消息Payload、所述Para以及所述RAND，生成摘要消息；所述生成第一信息包括：根據所述終端的標識DeviceID、所述Payload、所述Para、所述RAND以及所述摘要消息，生成第一信息；所述計算得到驗證值包括：根據所述預存的APIKey、所述第一信息中的所述Payload、所述Para和所述RAND，計算得到驗證值。其中，所述方法還包括：檢測所述終端的狀態；當所述終端處于第一狀態時，根據預設的第三規則生成第二隨機參數KDF_p；根據APIKey和所述KDF_p，生成密鑰；相應的，所述生成摘要消息包括：根據所述密鑰、所要傳遞的消息Payload、所述Para以及所述KDF_p，生成摘要消息；所述生成第一信息包括：根據所述終端的標識DeviceID、所述Payload、所述Para、所述KDF_p以及所述摘要消息，生成第一信息；所述計算得到驗證值包括：根據所述預存的APIKey和所述KDF_p，生成驗證密鑰；根據所述驗證密鑰、所述第一信息中的所述Payload、所述Para和所述KDF_p，計算得到驗證值。其中，所述生成摘要消息包括：通過HMAC函數生成摘要消息。本專利技術實施例提供一種通信安全防護方法，應用于物聯網，所述方法包括：終端根據預設的第一規則生成特定的參數Para；根據應用程序編程接口密鑰APIKey、所要傳遞的消息Payload以及所述Para，生成摘要消息；根據所述終端的標識DeviceID、所述Payload、所述Para以及所述摘要消息，生成第一信息并發送給服務器；以使所述服務器根據所述第一信息中的信息對所述第一信息進行鑒權。其中，所述方法還包括：所述終端根據預設的第二規則生成第一隨機數RAND；相應的，所述生成摘要消息包括：根據APIKey、所要傳遞的消息Payload、所述Para以及所述RAND，生成摘要消息；所述生成第一信息包括：根據所述終端的標識DeviceID、所述Payload、所述Para、所述RAND以及所述摘要消息，生成第一信息；以使所述服務器能夠根據所述預存的APIKey、所述第一信息中的所述Payload、所述Para和所述RAND，計算得到驗證值，以對所述第一信息進行鑒權。其中，所述方法還包括：檢測所述終端的狀態；當所述終端處于第一狀態時，根據預設的第三規則生成第二隨機參數KDF_p；根據APIKey和所述KDF_p，生成密鑰；相應的，所述生成摘要消息包括：根據所述密鑰、所要傳遞的消息Payload、所述Para以及所述KDF_p，生成摘要消息；所述生成第一信息包括：根據所述終端的標識DeviceID、所述Payload、所述Para、所述KDF_p以及所述摘要消息，生成第一信息；以使所述服務器能夠根據所述預存的APIKey和所述KDF_p，生成驗證密鑰；并根據所述驗證密鑰、所述第一信息中的所述Payload、所述Para和所述KDF_p，計算得到驗證值，以對所述第一信息進行鑒權。本專利技術實施例另一種通信安全防護方法，應用于物聯網，所述方法包括：服務器接收終端發來的第一信息；所述第一信息包括：APIKey、特定的參數Para、所要傳遞的消息Payload和摘要消息；所述參數Para是所述終端根據預設的第一規則生成的，所述摘要消息是根據所述APIKey、所述Payload以及所述Para生成的；根據所述第一信息中的DeviceID獲取預存的APIKey；根據所述預存的APIKey、所述第一信息中的Payload和Para，計算得到驗證值；將所述驗證值與所述第一信息中的摘要消息進行對比；當所述驗證值與所述摘要消息匹配時，確定所述第一信息鑒權通過。其中，所述方法還包括：所述服務器判斷所述第一信息中的所述Para是否滿足預設的條件；當所述Para不滿足預設的條件時，確定所述第一信息為重放的信息；當所述Para滿足預設本文檔來自技高網...

【技術保護點】
一種通信安全防護方法，其特征在于，應用于物聯網，所述方法包括：終端根據預設的第一規則生成特定的參數Para；根據應用程序編程接口密鑰API?Key、所要傳遞的消息Payload以及所述Para，生成摘要消息；根據所述終端的標識Device?ID、所述Payload、所述Para以及所述摘要消息，生成第一信息并發送給服務器；所述服務器根據所述第一信息中的所述Device?ID獲取預存的API?Key；根據所述預存的API?Key、所述第一信息中的所述Payload和所述Para，計算得到驗證值；將所述驗證值與所述第一信息中的所述摘要消息進行對比；當所述驗證值與所述摘要消息匹配時，確定所述第一信息鑒權通過。

【技術特征摘要】
1.一種通信安全防護方法，其特征在于，應用于物聯網，所述方法包括：終端根據預設的第一規則生成特定的參數Para；根據應用程序編程接口密鑰APIKey、所要傳遞的消息Payload以及所述Para，生成摘要消息；根據所述終端的標識DeviceID、所述Payload、所述Para以及所述摘要消息，生成第一信息并發送給服務器；所述服務器根據所述第一信息中的所述DeviceID獲取預存的APIKey；根據所述預存的APIKey、所述第一信息中的所述Payload和所述Para，計算得到驗證值；將所述驗證值與所述第一信息中的所述摘要消息進行對比；當所述驗證值與所述摘要消息匹配時，確定所述第一信息鑒權通過。2.根據權利要求1所述的方法，其特征在于，所述方法還包括：所述服務器判斷所述第一信息中的所述Para是否滿足預設的條件；當所述Para不滿足預設的條件時，確定所述第一信息為重放的信息；當所述Para滿足預設的條件時，進行根據所述第一信息中的所述DeviceID獲取預存的APIKey的步驟。3.根據權利要求1或2所述的方法，其特征在于，所述方法還包括：所述終端根據預設的第二規則生成第一隨機數RAND；相應的，所述生成摘要消息包括：根據APIKey、所要傳遞的消息Payload、所述Para以及所述RAND，生成摘要消息；所述生成第一信息包括：根據所述終端的標識DeviceID、所述Payload、所述Para、所述RAND以及所述摘要消息，生成第一信息；所述計算得到驗證值包括：根據所述預存的APIKey、所述第一信息中的所述Payload、所述Para和所述RAND，計算得到驗證值。4.根據權利要求1或2所述的方法，其特征在于，所述方法還包括：檢測所述終端的狀態；當所述終端處于第一狀態時，根據預設的第三規則生成第二隨機參數KDF_p；根據APIKey和所述KDF_p，生成密鑰；相應的，所述生成摘要消息包括：根據所述密鑰、所要傳遞的消息Payload、所述Para以及所述KDF_p，生成摘要消息；所述生成第一信息包括：根據所述終端的標識DeviceID、所述Payload、所述Para、所述KDF_p以及所述摘要消息，生成第一信息；所述計算得到驗證值包括：根據所述預存的APIKey和所述KDF_p，生成驗證密鑰；根據所述驗證密鑰、所述第一信息中的所述Payload、所述Para和所述KDF_p，計算得到驗證值。5.根據權利要求1或2所述的方法，其特征在于，所述生成摘要消息包括：通過HMAC函數生成摘要消息。6.一種通信安全防護方法，其特征在于，應用于物聯網，所述方法包括：終端根據預設的第一規則生成特定的參數Para；根據應用程序編程接口密鑰APIKey、所要傳遞的消息Payload以及所述Para，生成摘要消息；根據所述終端的標識DeviceID、所述Payload、所述Para以及所述摘要消息，生成第一信息并發送給服務器；以使所述服務器根據所述第一信息中的信息對所述第一信息進行鑒權。7.根據權利要求6所述的方法，其特征在于，所述方法還包括：所述終端根據預設的第二規則生成第一隨機數RAND；相應的，所述生成摘要消息包括：根據APIKey、所要傳遞的消息Payload、所述Para以及所述RAND，生成摘要消息；所述生成第一信息包括：根據所述終端的標識DeviceID、所述Payload、所述Para、所述RAND以及所述摘要消息，生成第一信息；以使所述服務器能夠根據所述預存的APIKey、所述第一信息中的所述Payload、所述Para和所述RAND，計算得到驗證值，以對所述第一信息進行鑒權。8.根據權利要求6所述的方法，其特征在于，所述方法還包括：檢測所述終端的狀態；當所述終端處于第一狀態時，根據預設的第三規則生成第二隨機參數KDF_p；根據APIKey和所述KDF_p，生成密鑰；相應的，所述生成摘要消息包括：根據所述密鑰、所要傳遞的消息Payload、所述Para以及所述KDF_p，生成摘要消息；所述生成第一信息包括：根據所述終端的標識DeviceID、所述Payload、所述Para、所述KDF_p以及所述摘要消息，生成第一信息；以使所述服務器能夠根據所述預存的APIKey和所述KDF_p，生成驗證密鑰；并根據所述驗證密鑰、所述第一信息中的所述Payload、所述Para和所述KDF_p，計算得到驗證值，以對所述第一信息進行鑒權。9.一種通信安全防護方法，其特征在于，應用于物聯網，所述方法包括：服務器接收終端發來的第一信息；所述第一信息包括：APIKey、特定的參數Para、所要傳遞的消息Payload和摘要消息；所述參數Para是所述終端根據預設的第一規...

【專利技術屬性】
技術研發人員：齊旻鵬，閻軍智，程紫堯，
申請(專利權)人：中國移動通信集團公司，
類型：發明
國別省市：北京;11