[发明专利]使用对称密码技术增强MQTT协议传输安全的方法和系统

权利要求书

1.一种使用对称密码技术增强MQTT协议传输安全的方法，其特征在于：包括以下步骤：

S1、对数据进行加密；

物联网终端到物联网平台：量子密钥充注机完成将量子随机数发生器产生的量子密钥到量子安全芯片的充注，量子交换密码机记录存储充注量子安全芯片和密钥的对应关系；

获取登录令牌后，物联网终端调用量子安全芯片内密钥完成对上报消息加密，加密后信息通过MQTT协议中PUBLISH消息PAYLOAD进行传输，消息体中增加本次使用密钥的序列号；

物联网平台到物联网终端：物联网平台根据物联网终端标识向量子密码管理服务系统申请密钥，量子密码管理服务系统通过量子交换密码机根据之前量子安全芯片充注信息，返回和该物联网终端内集成的量子安全芯片内已经充注的可用密钥对称的密钥序列号和密钥，物联网平台对下发消息进行加密，密文放入MQTT协议中PUBLISH消息PAYLOAD中，消息体中增加本次使用密钥的序列号；

S2、对数据进行解密；

物联网平台解密：物联网平台从PUBLISH消息中PAYLOAD获取物联网终端发送的加密后的密文，物联网平台根据消息体中密钥序列号向量子密码管理服务系统获取解密密钥，量子密码管理服务系统通过量子交换密码机返回消息体中密钥序列号对应的量子安全芯片的密钥对称的解密密钥，使用返回的解密密钥以及对应算法完成对密文的解密，并根据消息中时变参数和登录令牌进行验证，验证成功后，开始下行明文内容的解析；

物联网终端解密：物联网终端从PUBLISH消息中PAYLOAD中获取物联网平台下发的密文，根据消息体中的序列号向内置的量子安全芯片获取与加密密钥对称的解密密钥，使用解密密钥以及对应算法完成对密文的解密，并根据消息中时变参数和登录令牌进行验证，验证成功后，开始下行明文内容的解析。

2.根据权利要求1所述的使用对称密码技术增强MQTT协议传输安全的方法，其特征在于：数据加密中，物联网终端到物联网平台流程具体如下：

S101、物联网终端获取登录令牌后，选择数据上报，根据MQTT协议物联网平台发布订阅，并根据订阅内容进行数据上报明文准备；

S102、物联网终端选取内置或者外置的量子安全芯片内密钥序列为Z的密钥B；

S103、物联网终端构造上报消息：密钥序列号+终端ID+密文，密文为：时变参数+终端ID+登录令牌+上报明文,并对所述上报消息的密文内容使用密钥B进行加密；

S104、将所述上报消息：密钥序列号+终端ID+密文放入到PUBLISH消息PAYLOAD消息体中，并上报至物联网平台，密文采用加密算法和芯片密钥B共同产生。

3.根据权利要求2所述的使用对称密码技术增强MQTT协议传输安全的方法，其特征在于：物联网平台对物联网终端解密具体流程如下：

S201、物联网平台根据物联网终端上报PUBLISH消息中PAYLOAD中终端ID和序列号Z向量子密码管理服务系统获取解密密钥；

S202、量子密码管理服务系统从量子交换密码机上获取预先存储的与序列号Z对应的解密密钥B’，并返回给物联网平台，密钥B’与密钥B为对称密钥；

S203、物联网平台根据密钥B’以及对应算法进行解密，验证用户上行消息中的时变参数和登录令牌，对时变参数主要验证本次消息当前时间和平台时间的差值，防止重放攻击，登录令牌由终端ID和终端认证登录时候上报时变参数共同产生，终端ID验证通过消息上报的信息确定该消息代表的终端ID是否和令牌中一致，防止中间人攻击，时变参数验证主要分为两点，一是验证时变参数是否是终端在登录鉴权时候上报的时变参数，确定终端身份，二是验证登录令牌是否还在有效期内，登录令牌超过有效期，需要重新申请，验证成功后，解析上报明文内容，否则验证失败。