[发明专利]一种基于SM2密钥协商机制的安全传输方法和系统

说明书

本发明涉及一种基于SM2密钥协商机制的安全传输方法和系统。该方法包括：物联网终端与物联网服务端协商出会话密钥；物联网终端产生业务上报数据，进行数据加密，并将加密后的业务上报数据密文上报给物联网服务端，物联网服务端解密上报数据密文，并进行业务处理；物联网服务端在进行业务处理后，产生业务下发数据，进行数据加密，并将加密后的业务下发数据密文下发给物联网终端，物联网终端解密业务下发数据密文得到业务下发数据明文。本发明在能保证物联网终端和服务端通过身份认证安全接入、保证数据通信安全的前提下，采用基于国密SM2算法的密钥协商机制，简化物联网终端和服务端密钥协商交互流程，减少网络资源消耗和时延的问题。

技术领域

本发明涉及物联网技术领域，尤其涉及一种基于SM2密钥协商机制的安全传输方法和系统。

背景技术

对于海量物联网设备通信场景，物联网终端和服务端需要进行频繁业务交互。需要保证物联网终端的身份可信，防止假冒、非法物联网终端接入。同时，物联网终端和服务端之间的数据通信，需要保证通信双方数据防泄漏、防窃听和防篡改，保证数据机密性和完整性。

传统的终端安全接入主要基于SSLVPN技术实现。而随着物联网技术的发展，各种类型的物联网终端大量涌现，接入需求骤增，基于传统的SSLVPN技术在解决上述安全接入问题时面临许多问题。主要有：一、SSLVPN需要物联网终端接入时与TCP连接一一绑定，这就需要服务端安全接入系统维持与在线终端数量相当的TCP连接，且这些连接均是SSL加密连接，此时海量加密心跳报文会造成沉重负担，使用SSLVPN的终端接入性能受到很大限制；二、SSLVPN在建立连接时流程较为复杂，需要多组数据包额交互才能完成密钥协商，因而终端接入速度相对较慢。

发明内容

当面向当前终端数量极为庞大，而单个终端通信频率和通信数据量较低的物联网场景下，在保证物联网终端和服务端通过身份认证安全接入，且保证数据通信安全的前提下，本发明为简化物联网终端和服务端密钥协商交互流程，减少网络资源消耗和时延的问题，提供一种基于SM2密钥协商机制的安全传输方法和系统，该方法采用基于国密SM2算法的密钥协商机制。

本发明的技术方案为：

一种基于SM2密钥协商机制的安全传输方法，包括：

步骤1：物联网终端与物联网服务端基于国密SM2密钥协商机制协商出会话密钥；

步骤2：所述物联网终端产生业务上报数据，并使用所述会话密钥对所述业务上报数据进行加密，并将加密后的业务上报数据密文上报给所述物联网服务端，所述物联网服务端基于所述会话密钥解密所述上报数据密文，并基于解密后的业务上报数据进行业务处理；

步骤3：所述物联网服务端在进行业务处理后，产生业务下发数据，使用所述会话密钥对所述业务下发数据进行加密，并将加密后的业务下发数据密文下发给所述物联网终端，所述物联网终端基于所述会话密钥解密所述业务下发数据密文得到业务下发数据明文。

进一步的，上述步骤1具体包括：

步骤101：物联网终端调用SM2协商请求函数获取SM2协商请求数据，以及终端证书，并以SM2协商请求数据和终端证书向物联网服务端发出协商请求；

步骤102：物联网服务端收到SM2协商请求数据后，验证终端证书的合法性，待验证通过后，基于SM2协商请求数据进行SM2密钥协商处理，并生成SM2 Key；

步骤103：所述物联网服务端产生随机数并利用所述随机数生成会话密钥；

步骤104：所述物联网服务端将所述随机数作为种子，利用SM2 Key对称加密种子，生成种子密文；

步骤105：所述物联网服务端调用SM2协商回应函数获取SM2协商回应数据，以及服务端证书，并将所述SM2协商回应数据、所述服务端证书以及所述种子密文作为协商回应内容返回给所述物联网终端；