本發明涉及物聯網數據安全技術領域，公開了一種基于可信計算技術進行物聯網數據安全保護的方法。即通過本發明創造所提供的物聯網設備數據加密傳輸及物聯網服務器數據保護的管理機制，一方面若攻擊者攻擊傳輸鏈路，由于從傳輸鏈路獲取的數據是用非對稱加密算法加密的，而攻擊者沒有密鑰解密，使得數據傳輸安全得以保證，另一方面若攻擊者攻擊服務器并獲取了服務器的控制權，由于數據解密是在SGX技術下的可信執行環境內進行，而任何權限都無法訪問可信執行環境，所以攻擊者仍然無法獲取解密的數據，由此既保證了數據傳輸過程的安全性，又保證了數據處理及存儲的安全性和可信性，便于實際推廣和實現。

技術領域

本發明屬于物聯網數據安全技術領域，具體涉及一種基于可信計算技術進行物聯網數據安全保護的方法。

背景技術

物聯網(IoT，Internet of Things的縮寫，字面翻譯是物體組成的因特網，準確的翻譯應該為物聯網)由一個或多個IoT設備(也可稱為物聯網客戶端)通過網絡與物聯網服務器互聯。物聯網服務器管理IoT設備發送的數據，并與IoT設備進行通信。如果攻擊者攻擊物聯網服務器并獲取了服務器的控制權，那所有與此物聯網服務器通訊的IoT設備的信息也就會被泄露，而IoT設備例如攝像機和指紋采集器等通常涉及敏感數據，因此這種情況下將會造成非常嚴重的安全問題。

在目前數據傳輸中，通常使用RSA算法(即RSA公鑰加密算法，是1977年由羅納德·李維斯特-Ron Rivest、阿迪·薩莫爾-Adi Shamir和倫納德·阿德曼-Leonard Adleman一起提出的。RSA就是他們三人姓氏開頭字母拼在一起組成的，其是目前最有影響力和最常用的公鑰加密算法，它能夠抵抗到目前為止已知的絕大多數密碼攻擊，已被ISO推薦為公鑰數據加密標準)對物聯網數據進行加密/解密，以保障數據的安全傳輸。此方法雖然能夠保證數據在傳輸過程中的安全性，但是當服務器側被破解時，攻擊者可以獲取到服務器側存儲的私鑰，進而使得從IoT設備加密傳輸的數據也可以被攻擊者獲取，導致敏感數據泄露，所以僅僅使用RSA算法僅能保證數據傳輸的安全，并不能保證整個物聯網系統的安全。

SGX全稱Intel Software Guard Extensions，其是對因特爾體系(IA)的一個擴展，用于增強軟件的安全性。這種方式并不是識別和隔離平臺上的所有惡意軟件，而是將合法軟件的安全操作封裝在一個enclave(英文原意為“飛地”，此處可理解為可信執行環境)中，保護其不受惡意軟件的攻擊，特權或者非特權的軟件都無法訪問enclave，也就是說，一旦軟件和數據位于enclave可信執行環境中，即便操作系統或者VMM(Hypervisor)也無法影響enclave里面的代碼和數據。該enclave可以理解為一個“黑盒”，此“黑盒”并非用來識別和隔離惡意程序，而是將軟件的敏感數據和信息封裝起來，任何權限包括管理員都無法訪問此可信執行環境，因此敏感信息不會被運行在更高特權等級下的欺詐軟件進行非法訪問和修改。SGX技術依賴操作系統，因此只能保證操作系統上運行的應用的安全性，無法保證數據傳輸的安全。

發明內容

為了解決現有物聯網系統中關于物聯網數據在傳輸及處理過程中所存在的安全性問題，本發明目的在于提供一種采用非對稱密鑰加密與可信計算相結合的方式實現物聯網數據安全保護的新方法。

本發明所采用的技術方案為：

一種基于可信計算技術進行物聯網數據安全保護的方法，包括如下步驟：

S101.在初始化配置物聯網服務器時，利用SGX技術的enclave可信執行環境進行服務器側非對稱密鑰對的生成及存儲，其中，所述服務器側非對稱密鑰對包含服務器側公鑰和服務器側私鑰；

S102.在初始化配置物聯網客戶端時，存儲來自物聯網服務器的所述服務器側公鑰；

S103.物聯網客戶端在啟動后，向物聯網服務器請求建立通訊連接；