本發明公開了一種用于物聯網終端的數據安全認證傳輸方法及裝置。該方法包括：分別在物聯網終端出廠預置標識密鑰對，以及在邊緣網關預置對應公鑰矩陣；根據物聯網終端預置的標識密鑰對和邊緣網關預置的公鑰矩陣，完成物聯網終端和邊緣網關的雙向認證，并得到通信加/解密密鑰；使用通信加/解密密鑰完成物聯網終端與邊緣網關之間傳輸數據的加解密。有效解決傳統安全手段難以物聯場景需求的情況。通過輕量級的認證體制構建基于公鑰密碼技術實現的可應用于物聯網終端上的密鑰管理體系，不需要第三方的在線支持，方便實現大規模密鑰產生，認證效率高，認證流程簡單，并以國密算法為基礎實現密碼協議和密碼模塊，從而實現物聯終端交互認證和數據加密。

技術領域

本發明涉及一種用于物聯網終端的數據安全認證傳輸方法，同時也涉及相應的數據安全認證傳輸裝置，屬于網絡安全技術領域。

背景技術

隨著大量物聯網終端的逐步建設，泛在物聯終端設備接入物聯網絡，對基于傳統的邊界安全手段建設的安全體系造成巨大威脅。在整體的物聯網建設中，可對設備劃分為感知層、網絡層、平臺層和應用層，現階段國內外主流的安全廠商都有相對成熟完備的針對網絡安全、云安全、數據安全和應用安全的整體化的解決方案，對應到網絡層、平臺層和應用層，所以安全能力的最大短板出現在感知層的物聯網終端上。

物聯網的建設在物聯網終端上面臨的安全問題主要表現在三個方面能力的不足，一是身份體系缺失，二是交互數據無保護，三是設備本體安全防護不足，導致終端可能面臨設備被逆向、劫持、仿冒、植毒，數據被竊取、篡改、偽造，以及終端設備供應鏈攻擊等風險。表現在業務上即：采集數據來源、去向和內容是否可信，控制信令來源、去向和內容是否可信，終端設備是否可控。對于系統來說，表現為三個層面的安全危機：一是采集數據出現偏差，尤其是大范圍、長期性偏差，導致錯誤的數據分析和決策依據，直接影響業務系統的運行；二是控制指令執行偏差，正確的人下發了錯誤的指令，或者正確的指令被錯誤的執行，即決策執行出錯；三是終端設備本身被突破，尤其是在供應鏈環節，因為某幾個設備的定向突破，并且被規模化復制，導致成批次的設備均被突破。

傳統的身份認證方法主要是基于公共密鑰基礎設施(Public?KeyInfrastructure，PKI)技術實現的認證系統。采用PKI技術實現身份認證具有存在如下問題：

(1)主要針對上位機與業務后臺的安全認證，可以應用于網關與后臺的認證，但并不適合物聯網終端與網關的安全認證。

(2)由于PKI技術公鑰產生不具有規模性，針對海量的多種通信協議的物聯網終端統一發放證書，實際操作存在困難。

(3)證書目錄需要在線運行，公鑰以目錄的形式存放在在線運行的目錄庫中，維護量大，并且無法解決物聯網終端需要與網關離線認證的需求。

(4)認證可靠性依靠可信第三方證書授權中心(Certificate?Authority，CA)認證鏈，限制了認證的靈活性。

發明內容

本發明所要解決的首要技術問題在于提供一種用于物聯網終端的數據安全認證傳輸方法。

本發明所要解決的另一技術問題在于提供一種用于物聯網終端的數據安全認證傳輸裝置。

為了實現上述目的，本發明采用下述技術方案：

根據本發明實施例的第一方面，提供一種用于物聯網終端的數據安全認證傳輸方法，包括如下步驟：

分別在物聯網終端出廠預置標識密鑰對，以及在邊緣網關預置對應公鑰矩陣；

根據物聯網終端預置的標識密鑰對和邊緣網關預置的公鑰矩陣，完成物聯網終端和邊緣網關的雙向認證，并得到通信加/解密密鑰；

使用通信加/解密密鑰完成物聯網終端與邊緣網關之間傳輸數據的加解密。

其中較優地，所述物聯網終端出廠預置標識密鑰對，包括如下步驟：