本發明提供了一種用于物聯網IOT設備間的安全通信方法和裝置，技術方案為：發送端IOT設備與接收端IOT設備建立通信連接之后，生成會話密鑰并與接收端IOT設備交互確定主密鑰；發送端IOT設備使用會話密鑰對通信數據加密，使用主密鑰加密會話密鑰，生成報文頭攜帶加密的會話密鑰、報文體為加密的通信數據、且報文尾為基于報文頭和報文體生成的數字簽名的數據報文，將數據報文發送到接收端IOT設備；接收端IOT設備基于該數據報文的報文頭和報文體生成數字簽名，用生成的數字簽名對該數據報文中的數字簽名進行校驗，并在校驗通過后，使用主密鑰對數據報文中加密的會話密鑰解密，使用解密得到的會話密鑰對加密的通信數據解密。

技術領域

本發明涉及通信技術領域，特別涉及一種用于物聯網設備間的安全通信方法和系統。

背景技術

部分物聯網(IOT)設備因資源有限，計算能力不足等問題，處理性能較弱，因此存在無法運行標準的TLS加密協議，或者缺少存儲空間放置體積較大的加密庫等情況。

現有技術中，對于這種處理性能較弱的IOT設備，可以采用兩種處理方法：

1)通過增加性能或者添加加密硬件的方式使其能夠運行標準加密協議。

2)使用單一的對稱加密算法對數據流進行加密傳輸，或者不加密傳輸。

然而，上述兩種處理方法中，第一種方法會增加開發成本，第二種方法使用單一對稱加密算法對數據流進行加密存在較多的弱點，安全性較低。

發明內容

有鑒于此，本發明的目的在于提供一種用于物聯網設備間的安全通信方法和系統，能夠在不增加開發成本的情況下提高物聯網設備之間的通信安全性。

為了達到上述目的，本發明提供了如下技術方案：

一種用于物聯網IOT設備間的安全通信系統，包括發送端IOT設備和接收端IOT設備；

所述發送端IOT設備，用于與接收端IOT設備建立通信連接之后，根據基于ECC的密鑰交換算法，生成會話密鑰并與接收端IOT設備交互確定主密鑰；用于使用會話密鑰對通信數據加密，使用主密鑰加密會話密鑰，生成報文頭攜帶加密的會話密鑰、報文體為加密的通信數據、且報文尾為基于報文頭和報文體生成的數字簽名的數據報文；用于將數據報文發送到接收端IOT設備；

所述接收端IOT設備，用于與發送端IOT設備建立通信連接之后，根據基于ECC的密鑰交換算法，與發送端IOT設備交互確定主密鑰；用于接收發送端IOT設備發送的報文頭攜帶加密的會話密鑰、報文體為加密的通信數據、且報文尾為數字簽名的數據報文；用于基于所述數據報文的報文頭和報文體生成數字簽名，用生成的數字簽名對數據報文中的數字簽名進行校驗，如果校驗通過，則使用主密鑰對數據報文中加密的會話密鑰解密，使用解密得到的會話密鑰對加密的通信數據解密，否則，丟棄該數據報文。

一種用于物聯網IOT設備間的安全通信方法，應用于發送端IOT設備，包括：

發送端IOT設備與接收端IOT設備建立通信連接之后，根據基于ECC的密鑰交換算法，生成會話密鑰并與接收端IOT設備交互確定主密鑰；

使用會話密鑰對通信數據加密，使用主密鑰加密會話密鑰，生成報文頭攜帶加密的會話密鑰、報文體為加密的通信數據、且報文尾為基于報文頭和報文體生成的數字簽名的數據報文；

將數據報文發送到接收端IOT設備，以使接收端IOT設備基于數據報文的報文頭和報文體生成數字簽名，用生成的數字簽名對數據報文中的數字簽名進行校驗，并在校驗通過后，使用主密鑰對數據報文中加密的會話密鑰解密，使用解密得到的會話密鑰對加密的通信數據解密。

一種非瞬時計算機可讀存儲介質，所述非瞬時計算機可讀存儲介質存儲指令，所述指令在由處理器執行時使得所述處理器執行上述應用于發送端IOT設備的用于物聯網IOT設備間的安全通信方法中的步驟。