[发明专利]适用于资源受限网络节点的数据安全存储系统及方法

说明书

本发明涉及适用于资源受限网络节点的数据安全存储方法，即：节点设备初次启动时建立设备标识清单并获取节点设备标识信息，根据设备标识信息生成节点的设备密钥，并将该设备密钥混淆隐藏于代码中生成设备密钥内含的解密函数，设备密钥内含的解密函数存储于该节点设备上；同时生成节点的数据密钥，并用节点设备的标识信息以及生成的设备密钥对数据密钥进行加密，加密后的数据密钥以及标识清单存储于节点设备上；读取所存储的标识清单以及加密后的数据密钥，并调用设备密钥内含的解密函数对加密的数据密钥进行解密；使用解密后的数据密钥和加密（解密）算法对敏感数据进行加密（解密）。本发明所需资源少，敏感数据存储安全性高，能够抵御白盒攻击。

技术领域

本发明涉及网络信息处理安全领域，尤其涉及一种适用于资源受限网络节点的数据安全存储系统及方法。

背景技术

近年来物联网的飞速发展得到了社会各界的广泛关注，并将在不远的将来彻底改变我们的生活。低成本、低功耗和低速率的无线传感网络是物联网的一个重要组成部分和关键推动者，能够很好地解决成本和能源消耗这两个阻碍大规模部署物联网的关键问题。成千上万的智能传感或控制节点通过无线传感网络互相连接，传输传感/监测信息或者控制指令。海量的无线传感网络节点往往有低成本和低功耗的要求，计算和内存资源受限。另外，由于无线传感网络传输功率和速率都很低，网络通信容易受到干扰和监听/劫持。这使得无线传感网络的节点非常容易受到各类攻击，因而对无线传感网络节点本身数据储存及相互间的通信安全提出了新的要求和挑战。

对于计算能力十分有限的物联网/无线传感网络节点来说，进行复杂的数据加密运算基本上是不可能的，例如最经典的非对称公开密钥算法（RSA），这不仅受限于计算能力，也受节点功耗的制约。其次，管理海量的电子证书和初始化海量的对称加密密钥对于低速率无线传感网络也是巨大的负担。另外，由于无线传感网络传输功率和速率都很低，网络通信容易受到干扰而造成暂时的数据传输失败。因此，一些重要的数据在未能及时上传时也需要本地的暂时储存。这样，诸如通信密钥和重要的传感信息等敏感数据都需要在节点安全存储。传统的安全存储系统一般使用非对称密钥安全算法（例如RSA）实现密钥管理和加密，然后运用对称加密算法（例如AES）做数据加密。同时为了实现密钥中心化的管理，一般需要一套完整的密钥发布系统或者电子证书管理系统（例如基于X509的PKI）。为了绑定加密数据和具体节点设备，很多实现方案还依靠设备提供唯一不可修改的特征值，例如安全芯片等。对于资源极端受限的物联网/传感网络节点来说，由于成本、功耗、计算能力等方面的限制，上面提到的传统技术很难实现。目前对于资源（计算、内存、功耗等）受限的物联网/无线传感网络节点的敏感数据存储尚无很有效的安全方案。有鉴于此，本案由此而生。

发明内容

本发明针对资源受限的物联网/无线传感网络节点安全的需求出发，提供一种所需网络资源少、存储安全、且能够抵御白盒攻击的数据安全存储方法。

为了实现上述目的，本发明所采用的技术方案为：

适用于资源受限网络节点的数据安全存储方法，内容包括：

节点设备初次启动时建立设备标识清单，并获取节点设备的标识信息，根据设备标识信息生成该节点的设备密钥，并将该设备密钥混淆隐藏于代码中生成设备密钥内含的解密函数，设备密钥内含的解密函数存储于该节点设备上；

节点设备初次启动时生成节点的数据密钥，并用节点设备的标识信息以及生成的设备密钥对数据密钥进行加密，标识清单以及加密后的数据密钥均存储于节点设备上；

节点设备进入工作状态后，每次需要操作敏感数据时，读取所存储的标识清单以及加密后的数据密钥，根据标识清单获取设备标识信息并调用设备密钥内含的解密函数对加密的数据密钥进行解密；使用解密后的数据密钥和加密算法对敏感数据进行加密；使用解密后的数据密钥和解密算法对加密的敏感数据进行解密。

作为上述方案的进一步设置，所述节点设备的标识信息采用设备指纹，所述设备标识清单采用设备指纹特征清单。