[发明专利]一种MQTT安全传输数据的方法

说明书

本发明公开了一种MQTT安全传输数据的方法，本发明SDP网关通过标识信息验证MQTT发布设备发布数据是否安全，可以有效地安全的传输数据，SDP控制器和SDP可接受连接的主机(AH)拒绝无效数据包，避免MQTT订阅设备被攻击，可以减轻DDoS攻击。而且本发明不需要对MQTT订阅设备进行任何操作，就可以提高数据传输安全性和稳定性，实用性比较强。

技术领域

本发明涉及物联网技术领域，尤其涉及一种MQTT安全传输数据的方法。

背景技术

MQTT是一个基于代理的消息传输协议。在MQTT中，消息以订阅/发布方式传输，一个消息发布者将待发布数据发送给一个代理，并且至少有一个消息订阅者从代理获取数据。MQTT协议被广泛应用于物联网。

在过去，MQTT协议通常应用于具有安全保证的后端网络。目前，以工业系统为例，可编程逻辑控制器(PLC)、监控与数据采集(SCADA)等关键设备均接入工业互联网。此外，工业互联网可以进一步连接到用户的移动终端，可以在工业互联网上完成交易，所有这些变化都要求越来越多的敏感数据需要在互联网上传输。

因此，物联网的发展对数据传输的隐私性和安全性要求越来越高，需要在设备对设备(D2D)或机器对机器(M2M)通信中添加与安全相关的功能。过去的MQTT协议不能满足当前物联网通信的要求。在已知的解决方案中，一种方案是通过身份认证和通信加密需要在原有协议上封装协议栈，客户端和服务器之间进行四次数据交互，通过客户端和服务器协议交换过程中的数据和算法生成相同的会话秘钥，进行双方的身份确认，完成客户端和服务器之间的通信握手；通信握手成功后，通过加密的数字证书及相应的数字证书验证流程判定客户端是否为合法设备。这个方案需要修改原有协议，并需要多次数据交互，还要安装证书。一种方案是，一种利用MQTT和SSL实现双向CA安全授权的方法，所述的方法包括以下步骤：授权推送流程：服务端将用户的授权划分不同类型，分别为每种类型的授权设计一个主题；链路安全认证过程：采用标准的SSL双向认证流程，由终端公钥证书验证服务端合法性，由服务器使用终端对应的公钥证书验证客户端合法性；数据安全性保护：由设备ID和运营商信息为每个设备衍生一个不同密钥，出厂时将该密钥写入到设备中，服务端和该设备通讯的数据采用该密钥进行加密，同时进行签名。实现也比较复杂。这个方案需要厂商对设备进行出厂衍生密钥，可行性不高。而且上述方案实现起来都比较复杂。

发明内容

本发明为了解决上述问题，而提供一种MQTT安全传输数据的方法，本发明中SDP网关通过和MQTT发布设备连接获取到MQTT发布设备得标识信息，SDP网关通过标识信息验证MQTT发布设备发布数据是否安全，可以有效地安全的传输数据，SDP控制器和SDP可接受连接的主机(AH)拒绝无效数据包，避免MQTT订阅设备被攻击，可以减轻DDoS攻击。而且本发明不需要对MQTT订阅设备进行任何操作，就可以提高数据传输安全性和稳定性，实用性比较强。

本发明通过以下技术方案来实现上述目的：

该方法涉及一个MQTT发布设备、一个MQTT代理、一个SDP网关和至少一个MQTT订阅设备，其中SDP网关至少连接到一个MQTT订阅设备。SDP网关包括：SDP主机和SDP控制器。SDP主机可以创建连接或者接受连接。SDP控制器(Controller)主要进行主机认证和策略下发。SDP主机和SDP控制器之间通过一个安全的控制信道进行交互。SDP主机又分为可以创建连接的主机(IH)或者可接受连接的主机(AH)。

该方法用于将MQTT数据安全地发布到MQTT订阅设备。

在该方法中，MQTT发布设备首先向MQTT代理发送一个SDP连接请求，其中SDP连接请求用于请求建立到SDP网关的连接。