CN101345621B - 家庭网络的认证装置、系统和方法 - Google Patents
家庭网络的认证装置、系统和方法 Download PDFInfo
- Publication number
- CN101345621B CN101345621B CN2007101185467A CN200710118546A CN101345621B CN 101345621 B CN101345621 B CN 101345621B CN 2007101185467 A CN2007101185467 A CN 2007101185467A CN 200710118546 A CN200710118546 A CN 200710118546A CN 101345621 B CN101345621 B CN 101345621B
- Authority
- CN
- China
- Prior art keywords
- gateway
- home gateway
- management server
- family
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供了一种家庭网络的认证装置、系统和方法。本发明实施例所述装置包括注册服务器和管理服务器。本发明实施例所述系统包括:管理服务器和家庭网关;管理服务器、第一家庭网关和第二家庭网关。本发明实施例所述方法包括:注册服务器生成和下发随机矩阵给管理服务器,管理服务器接收到家庭网关的请求后,从所述随机矩阵中选取随机值,根据所述随机值和所述家庭网关的口令值与所述家庭网关之间进行信息交互,实现对所述家庭网关的认证。利用本发明,可以实现在家庭网络中管理服务器利用随机矩阵对家庭网关进行认证、团体内的家庭网关之间的认证和团体间的家庭网关之间的认证。
Description
技术领域
本发明涉及网络通信领域,尤其涉及一种家庭网络的认证装置、系统和方法。
背景技术
家庭网络是20世纪70年代出现,90年代开始全面发展的一项网络技术,家庭网络的目标是实现家庭环境中设备的信息化和网络化,以使家居环境更加舒适、安全、高效和便捷。家庭网络并非完全和外界独立,也需要公网提供丰富的业务。家庭网关作为家庭网络的核心,一方面为家庭网络内部的各个终端提供联网手段,并负责公网与家庭网络中各子网(比如PC、电话、家电、照明、安防等)的互通和远程管理与控制;另一方面也作为家庭用户从公网获得各种服务的通道和业务平台,为家庭网络的接入认证和业务安全提供保障。
目前,P2P(Peer-to-Peer,对等计算技术)是一种解决家庭网络的组网问题的有效手段。一种基于P2P的家庭网关互联网络的具体实施例的结构示意图如图1所示,包括三层结构,自上向下划分为:管理层、连接层和底层。
图1所示的家庭网络系统的组成单元包括注册服务器101、骨干服务器102、管理服务器103、门底层节点104和底层节点105。其中,底层家庭网关依据各种条件,形成不同的团体。
现有技术中一种在家庭网络中进行认证的方法为:使用家庭网络设备的唯一标志信息,并使用散列函数(单向函数)计算验证值来对家庭网络设备进行验证。具体处理过程包括如下步骤:
(1)、家庭网络设备向家庭服务器发起验证请求,在该验证请求中携带该设备的唯一标志信息;
(2)、家庭服务器根据上述设备的唯一标志信息生成验证密钥和一个验证值,将所述验证密钥返回给所述家庭网络设备;
(3)、所述家庭网络设备提取所述验证密钥,根据该验证密钥计算验证值,并将计算出来的验证值传送给所述家庭服务器;
(4)、所述家庭服务器比较自己生成的验证值和所述家庭网络设备传送的验证值是否相等,如果是相等,则确定所述家庭网络设备通过了验证。
在实现本发明的过程中,发明人发现上述对家庭网络设备进行认证的方法主要针对家庭网络中家庭服务器与家庭网络设备间的认证,没有实现对家庭网关的认证,密钥管理的过程也比较复杂。
现有技术中另一种在家庭网络中进行认证的方法为:家庭网络服务认证方案。该方案通过互联网将家庭网关连接到一个转发系统,当用户终端连接到家庭网络,并请求网络服务时,用户终端所请求的服务信息和家庭网关的用户信息被上述转发系统发送到服务供应系统,服务供应系统将用户终端请求的服务信息和相应的证书发送给转发系统。转发系统将该证书发送给家庭网关进行存储,将用户终端请求的服务信息提供给上述用户终端。
在实现本发明的过程中,发明人发现上述在家庭网络中进行认证的方法将证书保存在家庭网关,从而对家庭网关的存储能力有一定的要求。并且该方案主要针对设备与服务之间的认证,没有实现对家庭网关的认证。
发明内容
本发明实施例提供了一种家庭网络的认证装置、系统和方法。从而实现了家庭网络中利用随机矩阵对家庭网关进行认证。
本发明实施例的目的是通过以下技术方案实现的:
一种管理服务器,包括:
随机矩阵接收模块,用于接收家庭网络中的注册服务器发布的随机矩阵;
认证密钥生成模块,用于接收到家庭网关的触发认证的请求后,从所述随机矩阵中选取随机值,根据所述选取的随机值和注册服务器下发的所述家庭网关的口令值生成认证密钥,将所述认证密钥发送给所述家庭网关;
认证结果确定模块,用于将家庭网关根据所述认证密钥返回的随机值和所述从随机矩阵中选取的随机值进行比较,如果一致,则确定对所述家庭网关的认证通过,否则,确定对所述家庭网关的认证不通过。
一种家庭网络的认证系统,包括:
家庭网关,用于发送触发认证的请求;
管理服务器,用于在接收到所述家庭网关发送的触发认证的请求后,从注册服务器发布的随机矩阵中选取随机值,根据所述随机值和注册服务器下发的所述家庭网关的口令值生成认证密钥,并将所述认证密钥发送给所述家庭网关;
所述家庭网关利用其口令值从管理服务器返回的认证密钥中获取随机值,将获取的随机值发送给所述管理服务器;所述管理服务器判断所述家庭网关返回的随机值和所述从注册服务器中选取的随机值是否一致,如果是,确定对所述家庭网关的认证通过;否则,确定对所述家庭网关的认证不通过;
所述的管理服务器包括:随机矩阵接收模块,用于接收家庭网络中的注册服务器发布的随机矩阵;
认证密钥生成模块,用于接收到家庭网关的请求后,从所述随机矩阵中选取和保存随机值,根据所述随机值和注册服务器下发的所述家庭网关的口令值生成认证密钥,并将所述认证密钥发送给所述家庭网关;
认证结果确定模块,用于将家庭网关返回的随机值和所述保存的随机值进行比较,如果比较结果为相等,则确定对所述家庭网关的认证通过;如果比较结果为不相等,则确定对所述家庭网关的认证不通过。
一种家庭网络的认证系统,包括:
第一家庭网关,用于发送触发认证的请求;
第二家庭网关,用于接收到所述第一家庭网关发送的触发认证的请求后,向所述第一家庭网关返回其所在的团体标识;
所述第一家庭网关接收到所述团体标识后,根据所述团体标识选取相应的管理服务器,并向选取的管理服务器发送触发认证的请求;
当所述第一家庭网关和第二家庭网关在同一个团体时,所述认证系统的管理服务器还包括所述第一家庭网关和第二家庭网关所在团体的管理服务器;
所述第一家庭网关和第二家庭网关所在团体的管理服务器,用于接收到所述第一家庭网关发送的触发认证的请求后,从注册服务器发布的随机矩阵中选取随机值,根据所述随机值生成第一认证密钥,将所述随机值通过所述第一家庭网关发送给所述第二家庭网关;
所述第二家庭网关将接收到的所述随机值返回给所述第一家庭网关和第二家庭网关所在团体的管理服务器,所述第一家庭网关和第二家庭网关所在团体的管理服务器根据所述第二家庭网关返回的随机值生成第二认证密钥,判断所述第一认证密钥和所述第二认证密钥是否一致,如果是,则向所述第二家庭网关发送所述认证成功标志;否则,向所述第二家庭网关发送认证失败标志。
当所述第一家庭网关和第二家庭网关不在同一个团体时,所述认证系统还包括所述第一家庭网关所在团体的被认证方管理服务器和所述第二家庭网关所在团体的认证方管理服务器;
所述的被认证方管理服务器,用于接收到所述第一家庭网关发送的触发认证的请求后,从注册服务器发布的随机矩阵中选取随机值,根据所述随机值生成第一认证密钥,将所述随机值通过所述第一家庭网关发送给所述第二家庭网关;所述第二家庭网关将接收到的所述随机值发送给所述认证方管理服务器;
所述认证方管理服务器,用于根据所述第二家庭网关返回的随机值生成第二认证密钥,并将所述第二认证密钥发送给所述被认证方管理服务器;
所述的被认证方管理服务器,还用于判断所述第一认证密钥和所述第二认证密钥是否一致,如果是,则向所述第二家庭网关发送认证成功标志;否则,向所述第二家庭网关发送认证失败标志。
一种家庭网络的认证方法,包括:
管理服务器接收到家庭网关的触发认证的请求后,从获取的注册服务器发布的随机矩阵中选取随机值,根据所述随机值和注册服务器下发的所述家庭网关的口令值生成认证密钥,并将所述认证密钥发送给所述家庭网关;
所述家庭网关利用其口令值从管理服务器发送的所述认证密钥中获取随机值,将获取的随机值发送给所述管理服务器;
所述管理服务器判断所述家庭网关返回的随机值和所述从随机矩阵中选取的随机值是否一致,如果是,确定对所述家庭网关的认证通过;否则,确定对所述家庭网关的认证不通过。
一种家庭网络的认证方法,包括:
第一家庭网关向第二家庭网关发送触发认证的请求,所述第二家庭网关接收到所述触发认证的请求后,向所述第一家庭网关返回其所在的团体标识;
所述第一家庭网关根据所述团体标识确认所述第一家庭网关和第二家庭网关在同一个团体时,所述的第一家庭网关向所述第一家庭网关和第二家庭网关所在团体的管理服务器发送触发认证的请求;
所述第一家庭网关和第二家庭网关所在团体的管理服务器接收到所述触发认证的请求后,从获取的注册服务器发布的随机矩阵中选取随机值,根据所述随机值生成第一认证密钥,将所述随机值通过所述第一家庭网关发送给所述第二家庭网关;
所述第二家庭网关将接收到的所述随机值返回给所述第一家庭网关和第二家庭网关所在团体的管理服务器,所述第一家庭网关和第二家庭网关所在团体的管理服务器根据所述第二家庭网关返回的随机值生成第二认证密钥,判断所述第一认证密钥和所述第二认证密钥是否一致,如果是,则向所述第二家庭网关发送所述认证成功标志;否则,向所述第二家庭网关发送认证失败标志;
当所述第一家庭网关根据所述团体标识确定所述第一家庭网关和第二家庭网关不在同一个团体时,所述第一家庭网关所选取的管理服务器包括所述第一家庭网关所在团体的被认证方管理服务器和所述第二家庭网关所在团体的认证方管理服务器;所述第一家庭网关向所述被认证方管理服务器发送触发认证的请求;
所述的被认证方管理服务器,接收到所述第一家庭网关发送的触发认证的请求后,从注册服务器发布的随机矩阵中选取随机值,根据所述随机值生成第一认证密钥,将所述随机值通过所述第一家庭网关发送给所述第二家庭网关;所述第二家庭网关将接收到的所述随机值发送给所述认证方管理服务器;
所述认证方管理服务器,根据所述第二家庭网关返回的随机值生成第二认证密钥,并将所述第二认证密钥发送给所述被认证方管理服务器;
所述的被认证方管理服务器,判断所述第一认证密钥和所述第二认证密钥是否一致,如果是,则向所述第二家庭网关发送认证成功标志;否则,向所述第二家庭网关发送认证失败标志。
由上述本发明实施例提供的技术方案可以看出,本发明实施例通过在管理服务器中设置随机矩阵,从而实现在家庭网络中管理服务器利用随机矩阵对家庭网关进行认证、团体内的家庭网关之间的认证和团体间的家庭网关之间的认证。本发明实施例具有安全性好、服务器负担轻的特点。
附图说明
图1为一种家庭网络系统的组网示意图;
图2为本发明实施例所述家庭网络的实施例的结构示意图;
图3为本发明实施例所述管理服务器的实施例的结构示意图;
图4为本发明实施例所述注册服务器进行随机矩阵初始化的原理示意图;
图5为本发明实施例所述注册服务器对家庭网关进行口令初始化和计费操作的原理示意图;
图6为本发明实施例所述的管理服务器对家庭网关进行身份认证的原理示意图;
图7为本发明实施例所述的被认证方判断希望建立连接的认证方是在团体内还是在团体外的处理流程图;
图8和图9为本发明实施例所述的团体内的家庭网关之间的认证的原理示意图;
图10和图11为本发明实施例所述的团体外的家庭网关之间的认证的原理示意图。
具体实施方式
本发明实施例提供了一种家庭网络的认证装置、系统和方法。
本发明实施例所述家庭网络的认证装置包括注册服务器,该注册服务器的实施例的结构示意图如图2所示,包括如下模块:
随机矩阵生成模块,用于确定随机矩阵的大小和随机矩阵中每个成员的取值范围,利用随机数生成方法生成随机矩阵;
随机矩阵发布模块,用于将随机矩阵生成模块所生成的随机矩阵发布给家庭网络中的管理服务器。
随机矩阵更新模块,用于对随机矩阵生成模块所生成的随机矩阵进行定期更新,并通过随机矩阵发布模块将更新后的随机矩阵发布给家庭网络中的管理服务器。
上述注册服务器还完成对家庭网络中的家庭网关进行注册,管理和分发家庭网关的认证信息的功能。
本发明实施例所述家庭网络的认证装置还包括管理服务器,该管理服务器的结构示意图如图3所示,包括如下模块:
随机矩阵接收模块,用于接收家庭网络中的注册服务器发布的随机矩阵;
认证密钥生成模块,用于接收到家庭网关的请求后,从所述随机矩阵中选取和保存随机值,根据所述随机值和注册服务器下发的所述家庭网关的口令值生成认证密钥,并将所述认证密钥发送给所述家庭网关;
认证结果确定模块,用于将家庭网关返回的随机值和所述保存的随机值进行比较,如果比较结果为相等,则确定对所述家庭网关的认证通过;如果比较结果为不相等,则确定对所述家庭网关的认证不通过。
本发明实施例所述家庭网关的认证系统包括:认证方、被认证方、管理服务器和注册服务器。
认证方可以为接受连接请求的家庭网关,用于在与被认证方建立连接请求前,对被认证方进行认证。
被认证方就是发起连接请求的家庭网关,被认证方只有被认证方认证通过后,才能与认证方建立相应的通信连接。
注册服务器是整个认证系统的中心服务器。注册服务器的主要功能在于,管理底层所有家庭网关(包括认证方和被认证方)的认证信息,该认证信息包括:节点标识和口令等,并将该认证信息分发到家庭网关对应的管理服务器;管理随机矩阵,包括对随机矩阵进行初始化和更新操作,并将该随机矩阵分发到系统中所有的管理服务器。
管理服务器用于管辖其所管理范围内的认证方和被认证方所在团队,存储其所管理的认证方和被认证方(比如家庭网关)所拥有的认证信息。利用口令认证机制完成对自己所管辖范围的认证方和被认证方的身份认证;存储注册服务器所分发的随机矩阵,并利用该随机矩阵提供家庭网关之间的相互认证的功能。
所有管理服务器和注册服务器都是运营商部署和控制的。它们之间的链路是静态网络,可以采用传统技术(如VPN)来提供安全、可信的信道。
本发明实施例所述一种家庭网络的认证系统,包括:
家庭网关,用于向管理服务器发送请求,利用其口令值从管理服务器返回的认证密钥中获取随机值,将获取的随机值发送给所述管理服务器;
管理服务器,用于接收到家庭网关的请求后,从随机矩阵中选取并保存随机值,根据所述随机值和所述家庭网关的口令值生成认证密钥,并将所述认证密钥发送给所述家庭网关;
判断所述家庭网关返回的随机值和所述保存的随机值是否一致,如果是,确定对所述家庭网关的认证通过;否则,确定对所述家庭网关的认证不通过。
本发明实施例所述另一种家庭网络的认证系统,包括:
第一家庭网关,用于向第二家庭网关发送连接请求,根据第二家庭网关返回的团体标识,向相应的管理服务器发送密钥请求;将管理服务器返回的多个随机值、应答值发送给第二家庭网关;
管理服务器,用于对所述第一家庭网关进行认证通过后,从随机矩阵中选取随机值,根据所述随机值生成应答值和认证密钥,将所述随机值、应答值和认证密钥发送给所述第一家庭网关;将所述应答值和认证密钥进行关联保存;
根据第二家庭网关返回的随机值生成认证密钥,判断该认证密钥和所述保存的认证密钥是否一致,如果是,则向第二家庭网关发送所述认证密钥对应的应答值和认证成功标志;否则,向第二家庭网关发送认证失败标志;
第二家庭网关,用于接收到第一家庭网关的连接请求后,向第一家庭网关返回其所在的团体标识;在接收到第一家庭网关发送的随机值、应答值后,将所述应答值进行保存,向管理服务器发送携带所述随机值的密钥请求;
在接收到管理服务器返回的认证失败标志后,确定对所述第一家庭网关的认证失败;在接收到管理服务器返回的应答值和认证成功标志后,比较接收到的应答值和所述保存的应答值是否一致,如果是,则确定对所述第一家庭网关的认证通过;否则,确定对所述第一家庭网关的认证失败。
当所述第一家庭网关和第二家庭网关在同一个团体时,所述管理服务器包括所述第一家庭网关和第二家庭网关所在团体的管理服务器;
当所述第一家庭网关和第二家庭网关不在同一个团体时,所述管理服务器包括所述第一家庭网关所在团体的管理服务器和所述第二家庭网关所在团体的管理服务器。
本发明实施例所述的家庭网络的认证方法包括:管理服务器对底层家庭网关进行认证、底层家庭网关之间的相互认证两个部分。
在完成上述两个认证过程之前,注册服务器需要进行随机矩阵初始化、口令初始化和计费操作。
注册服务器进行随机矩阵初始化的原理示意图如图4所示。随机矩阵初始化的目的是为身份认证和底层节点认证临时密钥的生成提供依据。该随机矩阵为一个X*Y的随机大整数矩阵。其中,矩阵的每个成员是一个取值范围为a~b的随机大整数,其中X,Y,a和b是由系统规定的大整数,具体取值取决于系统安全性需要。X,Y,a和b取值越大,安全性越高,但是系统存储开销和计算开销也越大。
在实际应用中,上述随机矩阵的大小或取值范围可以固定其一,即使用固定的矩阵大小和随机的取值范围,或使用固定的取值范围和随机的矩阵大小。上述随机矩阵还可以为多维随机矩阵的。
随机矩阵初始化的处理过程包括如下处理步骤:
步骤S401:注册服务器临时决定当前随机矩阵的大小X*Y以及矩阵中每个成员的取值范围a~b,利用随机数生成方法,生成随机大整数矩阵。上述随机数生成器可以采用目前可用的任何随机数生成算法(例如线性同余法等)。
步骤S402:注册服务器将生成的随机矩阵发送给所有的管理服务器。
步骤S403:注册服务器在网络流量较少的时期重复步骤S201、S202。
上述随机矩阵的大小和整数取值范围都由注册服务器临时决定,并定期修改。该随机矩阵由注册服务器定期发送给所有的管理服务器进行保存。因此,上述随机矩阵具有实现简单,不可猜测性和时效性的特点。
每个加入网络的家庭网关必须向注册服务器注册,并获得节点标识和口令等认证信息。注册服务器对家庭网关进行口令初始化和计费操作的原理示意图如图5所示。
口令初始化的目的是保证底层家庭网关的合法性,保证家庭网关身份认证的可信性。只有在服务IP范围内且合法(可以是已付费或已注册)的家庭网关才能通过注册服务器获得一个口令。
注册服务器进行口令初始化和计费操作的具体处理过程包括如下步骤:
步骤S501:新加入的家庭网关向注册服务器申请注册。
步骤S502:注册服务器随机生成大整数作为上述家庭网关的口令,并查询该家庭网关的付费情况,将上述大整数(即口令),以及注册服务器为上述家庭网关分配的ID号、有效期等信息发送给上述家庭网关和该家庭网关对应的管理服务器。
家庭网关获得上述口令后,需要将上述口令存储在本地,以供在以后的认证过程中使用。上述口令如果比较长,可以利用用户易记忆的短口令进行加密保存。
步骤S503:当底层家庭网关有密钥解密需求时,向管理服务器发送身份认证请求。
步骤S504:管理服务器查询该家庭网关的ID对应的口令是否存在,如果不存在,则进入S505;如果存在,则进行身份认证。
步骤S505:管理服务器通知超期底层节点进行续费工作。
上述口令的颁发可作为管理服务器对家庭网关进行计费的手段。当管理服务器中保存的家庭网关的ID与口令记录在超过有效时间后,管理服务器会删除该家庭网关的口令而保留其ID。当超时的该家庭网关申请身份认证时,管理服务器会通知其进行续费工作。
计费系统使底层节点即使没有付费也能作为查询消息的通道和资源的提供者,不会因为底层节点暂时未付费而影响对等网络的性能。
超时的合法底层节点不能进行身份认证,也就不能进行底层节点间认证,不能从其他底层节点获取资源,但该底层节点仍然转发消息,从而作为资源的提供者继续为家庭网关网络提供服务。
家庭网关的注册方式可以采用传统注册方式(例如,网页注册或者通过运营商指定的注册点注册,等等)。所有家庭网关都可以按照某种方式注册并加入家庭网络系统,运营商则可以向新注册用户收取一定费用或要求其出示相关证明信息。
本发明实施例所述的管理服务器对家庭网关进行身份认证的原理示意图如图6所示。
管理服务器对家庭网关的身份认证发生在家庭网关请求认证服务之前。当家庭网关向管理服务器发起密钥解密请求的时候,管理服务器会对请求底层节点进行身份认证。该身份认证的具体处理过程包括如下步骤:
步骤S601:底层家庭网关向管理服务器发起密钥请求,向管理服务器出示自己的节点标识和口令等认证信息。
步骤S602:管理服务器从自身的随机矩阵中取出随机坐标(X′,Y′)中对应值Z′,并查询记录中该底层家庭网关的口令值PWD,将此口令值PWD的哈希值H(PWD)与Z′做异或获得此次身份认证的密钥Ki,即:
Ki=Z′XOR H(PWD),其中上述XOR表示异或操作。
管理服务器将上述密钥Ki发送给上述家庭网关,并将坐标(X′,Y′)与上述家庭网关的ID的对应关系作为身份认证记录Ri保存在管理服务器的缓存中。
步骤S603:上述底层家庭网关使用自身的口令值PWD对接收到的Ki进行解码,计算出对应的Z″做哈希处理,将H(Z″)发送给管理服务器。
步骤S604:管理服务器收到上述H(Z″)后,将本地身份认证记录中坐标(X′,Y′)上的值Z′取出进行哈希处理,将H(Z′)与H(Z″)进行比较。如果相等,则上述家庭网关通过验证;否则,上述家庭网关的认证失败。
然后,管理服务器将上述家庭网关对应的身份认证记录Ri删除。
与现有协议(如EAP认证协议)相似,这里的Z′相当于一个随机数。但是,在本发明实施例中,攻击者即便可以合谋知道Z′,只要随机矩阵足够大,攻击者仍然无法重构随机矩阵。
当一个家庭网关对另一家庭网关发起连接请求时,被请求家庭网关需要对请求家庭网关的身份进行认证。只有通过认证后,连接请求才会被允许。即在家庭网关之间进行接入认证服务。
只有通过了管理服务器的身份认证之后,被认证方(即家庭网关)才能获得管理服务器提供的认证密钥服务,从而才能够被认证方(即家庭网关)认证。同样,只有当认证方通过了管理管理服务器的认证之后,才能获得管理服务器提供的密钥解密服务,从而完成对被认证方的认证。因此,管理服务器对家庭网关的认证是家庭网关之间认证的前提和基础,在每次家庭网关之间的认证过程中,都包含管理服务器对被认证方的认证和管理服务器对认证方的认证两个身份过程。
当家庭网关收到连接请求时即成为认证方,认证方对发起连接请求的家庭网关即被认证方进行认证。在发起认证请求之前,被认证方需要首先判断自己希望建立连接的家庭网关(即认证方)是在团体内还是在团体外,再向管理服务器发起不同的密钥请求。根据密钥请求的不同,将底层节点认证分为团体内认证和团体间认证两类。
本发明实施例所述的被认证方判断希望建立连接的认证方是在团体内还是在团体外的处理流程如图7所示,包括如下步骤:
步骤S701:被认证方向认证方发送连接请求。
步骤S702:认证方收到上述连接请求后,向被认证方返回携带其所在团队的标识(GID)的认证请求。
被认证方判断接收到的认证请求中的团队的标识(GID)是否等于本底层节点的GID信息。如果是,则进入步骤S703;否则,进入步骤S704。
步骤S703:被认证方和认证方是在同一个团体内,被认证方进行团体内密钥请求。
步骤S704:被认证方和认证方不是在同一个团体内,被认证方进行团体间密钥请求。
本发明实施例所述的家庭网关之间进行认证的过程包括:团体内的家庭网关之间的认证和团体外的家庭网关之间的认证。
本发明实施例所述的团体内的家庭网关之间的认证的原理示意图如图8和图9所示,具体处理过程包括如下步骤:
步骤S801(S901):被认证方收到认证方发送的认证请求后,判断出和对方(即认证方)在同一团体,于是,向自己的管理服务器发送团体内密钥请求消息,该密钥请求消息中包括认证方和被认证方的身份标识等信息。
步骤S802(S902):管理服务器接收到上述密钥请求消息后,从自身的随机矩阵中,随机选取n(n>=2)个坐标(X1,Y1),(X2,Y2)....(Xn,Yn),提取该n个坐标中的n个数值Z1,Z2...Zn,并将该n个数值做大整数合并运算,生成一次性底层节点认证密钥Kai。上述n个坐标还可以由认证方选择。
管理服务器还随机生成一大整数作为本次认证的ACK值,将此ACK值用被认证方的口令PWD进行异或后(ACK XOR PWD),连同n个坐标一起发送给被认证方。同时,将Kai、ACK值和被认证方节点标识VID等信息一起作为一条认证记录Rais记录在本地认证记录缓存中。
上述处理过程由于采用了与口令的异或操作,因此避免了ACK由于明文传送所带来的安全问题。
步骤S803(S903):被认证方接收到上述管理服务器发送的ACK XORPWD和n个坐标后,利用自己的口令与ACK XOR PWD再异或,获得ACK。
然后,被认证方将n个坐标发送给认证方,同时将ACK值和认证方节点标识VID等信息作为一条认证记录Rai保存在本地。被认证方缓存这些信息的目的是,可以和多个家庭网关(即认证方)建立连接。
步骤S804(S904):认证方接收到被认证方发送的n个坐标后,向自己的管理服务器发起携带该n个坐标的密钥解密请求,进行一次实时的身份认证。该管理服务器与被认证方的管理服务器相同。
步骤S805(S905):管理服务器对认证方进行身份认证通过后,管理服务器通过接收到的坐标信息,计算出密钥Kai,查询本地记录Rais,并对比Rais中存在的Kai与计算出的Kai是否相同,如果相同,则向对应VID底层节点(认证方)发送相应的ACK值和认证成功标志;否则,向对应VID底层节点发送一个ACK值和认证失败标志。无论认证成功还是失败,管理服务器都将删除记录Rais。为了避免重放攻击,管理服务器向认证方所发送的信息将用认证方的口令进行异或。
步骤S806(S906):认证方底层节点查询其缓存的记录Rai,对比该Rai中存在的ACK与收到的ACK是否相同。如果相同,则同意ACK值对应PID底层节点(即被认证方)的连接请求,并删除记录Rai,完成团体内底层节点认证;否则认证失败,不和ACK值对应PID底层节点(即被认证方)建立连接。
本发明实施例所述的团体外的家庭网关之间的认证的原理示意图如图10和图11所示,具体处理过程包括如下步骤:
步骤S1001(S1101):被认证方收到认证方返回的认证请求后,判断对方(认证方)和自己在不同团体,于是,向自己的管理服务器发送团体间认证请求。
步骤S1002(S1102):被认证方的管理服务器接收到上述密钥请求消息后,从自身的随机矩阵中,随机选取n(n>=2)个坐标(X1,Y1),(X2,Y2)....(Xn,Yn),提取该n个坐标中的n个数值Z1,Z2...Zn,并将该n个数值做大整数合并运算,生成一次性底层节点认证密钥Kai。
管理服务器还随机生成一大整数作为本次认证的ACK值,将此ACK值用被认证方的口令PWD进行异或后(ACK XOR PWD),连同n个坐标一起发送给被认证方。同时,将Kai、ACK值和被认证方节点标识VID等信息一起作为一条认证记录Rais记录在本地认证记录缓存中。
上述处理过程由于采用了与口令的异或操作,因此避免了ACK由于明文传送所带来的安全问题。
步骤S1003(S1103):被认证方接收到上述管理服务器发送的ACK XORPWD和n个坐标后,利用自己的口令与ACK XOR PWD再异或,获得ACK。
然后,被认证方将n个坐标发送给认证方,同时将ACK值和认证方节点标识VID等信息作为一条认证记录Rai保存在本地。
步骤S1004(S1104):认证方在收到上述n个坐标后,向自己的管理服务器发送携带上述n个坐标信息的密钥解密请求,该管理服务器对认证方进行一次实时的身份认证。
步骤S1005(S1105):在认证方的身份认证通过后,认证方的管理服务器通过坐标信息,计算出密钥Kai,并根据认证方底层节点的GID信息,将此密钥发送给被认证方的管理服务器。
步骤S1006(S1106):被认证方的管理服务器查询其缓存的记录Rais,向对应的认证方的管理服务器发送相应的ACK值和认证是否成功标志,并删除记录Rais。
步骤S1007(S1108):认证方的管理服务器将被认证方管理服务器发送的ACK值和认证是否成功标志转发给认证方节点。为了避免重放攻击,上述ACK值和认证是否成功标志将用认证方口令异或。
步骤S1008(S1108):认证方底层节点利用口令异或被认证方管理服务器所发送的ACK值和认证是否成功标志。根据该ACK值和认证是否成功标志,判断认证成功后,则同意对应PID底层节点的连接请求,并删除记录Rai,完成团体间认证过程,否则;不和对应PID底层节点(即被认证方)建立连接。
在上述认证过程中,认证方和被认证方进行密钥验证或密钥请求时都进行与管理服务器进行认证,在实际应用中,出于简化或提高认证速度的目的,可以在只在认证方或被认证方中的任一端进行与管理服务器的认证。
综上所述,本发明实施例采用随机矩阵进行密钥生成,且矩阵定期更换。由于随机矩阵本身具有不可猜测性和时效性特征,并且身份认证和底层节点认证都采用一次性密钥以及一次性确认信息。因此,本发明实施例所述装置、系统和方法具有保密性好、抗重放攻击和安全性好的特点。
本发明实施例所述装置、系统和方法的密钥计算方法也比较简单,服务器的计算任务很轻。
具体部署时,可以依据安全性需求对随机矩阵大小等进行调整,从而减小服务器的存储开销和计算开销。另外,系统运行中家庭网关不需要参与随机矩阵的更新过程,从而减轻家庭网关维护密钥和随机矩阵的开销。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (13)
1.一种管理服务器,其特征在于,包括:
随机矩阵接收模块,用于接收家庭网络中的注册服务器发布的随机矩阵;
认证密钥生成模块,用于接收到家庭网关的触发认证的请求后,从所述随机矩阵中选取随机值,根据所述选取的随机值和注册服务器下发的所述家庭网关的口令值生成认证密钥,将所述认证密钥发送给所述家庭网关;
认证结果确定模块,用于将家庭网关根据所述认证密钥返回的随机值和所述从随机矩阵中选取的随机值进行比较,如果一致,则确定对所述家庭网关的认证通过,否则,确定对所述家庭网关的认证不通过。
2.一种家庭网络的认证系统,其特征在于,包括:
家庭网关,用于发送触发认证的请求;
管理服务器,用于在接收到所述家庭网关发送的触发认证的请求后,从注册服务器发布的随机矩阵中选取随机值,根据所述随机值和注册服务器下发的所述家庭网关的口令值生成认证密钥,并将所述认证密钥发送给所述家庭网关;
所述家庭网关利用其口令值从管理服务器返回的认证密钥中获取随机值,将获取的随机值发送给所述管理服务器;所述管理服务器判断所述家庭网关返回的随机值和所述从注册服务器中选取的随机值是否一致,如果是,确定对所述家庭网关的认证通过;否则,确定对所述家庭网关的认证不通过;
所述的管理服务器包括:随机矩阵接收模块,用于接收家庭网络中的注册服务器发布的随机矩阵;
认证密钥生成模块,用于接收到家庭网关的请求后,从所述随机矩阵中选取和保存随机值,根据所述随机值和注册服务器下发的所述家庭网关的口令值生成认证密钥,并将所述认证密钥发送给所述家庭网关;
认证结果确定模块,用于将家庭网关返回的随机值和所述保存的随机值进行比较,如果比较结果为相等,则确定对所述家庭网关的认证通过;如果比较结果为不相等,则确定对所述家庭网关的认证不通过。
3.一种家庭网络的认证系统,其特征在于,包括:
第一家庭网关,用于发送触发认证的请求;
第二家庭网关,用于接收到所述第一家庭网关发送的触发认证的请求后,向所述第一家庭网关返回其所在的团体标识;
所述第一家庭网关接收到所述团体标识后,根据所述团体标识选取相应的管理服务器,并向选取的管理服务器发送触发认证的请求;
当所述第一家庭网关和第二家庭网关在同一个团体时,所述认证系统的管理服务器还包括所述第一家庭网关和第二家庭网关所在团体的管理服务器;
所述第一家庭网关和第二家庭网关所在团体的管理服务器,用于接收到所述第一家庭网关发送的触发认证的请求后,从注册服务器发布的随机矩阵中选取随机值,根据所述随机值生成第一认证密钥,将所述随机值通过所述第一家庭网关发送给所述第二家庭网关;
所述第二家庭网关将接收到的所述随机值返回给所述第一家庭网关和第二家庭网关所在团体的管理服务器,所述第一家庭网关和第二家庭网关所在团体的管理服务器根据所述第二家庭网关返回的随机值生成第二认证密钥,判断所述第一认证密钥和所述第二认证密钥是否一致,如果是,则向所述第二家庭网关发送所述认证成功标志;否则,向所述第二家庭网关发送认证失败标志。
当所述第一家庭网关和第二家庭网关不在同一个团体时,所述认证系统还包括所述第一家庭网关所在团体的被认证方管理服务器和所述第二家庭网关所在团体的认证方管理服务器;
所述的被认证方管理服务器,用于接收到所述第一家庭网关发送的触发认证的请求后,从注册服务器发布的随机矩阵中选取随机值,根据所述随机值生成第一认证密钥,将所述随机值通过所述第一家庭网关发送给所述第二家庭网关;所述第二家庭网关将接收到的所述随机值发送给所述认证方管理服务器;
所述认证方管理服务器,用于根据所述第二家庭网关返回的随机值生成第二认证密钥,并将所述第二认证密钥发送给所述被认证方管理服务器;
所述的被认证方管理服务器,还用于判断所述第一认证密钥和所述第二认证密钥是否一致,如果是,则向所述第二家庭网关发送认证成功标志;否则,向所述第二家庭网关发送认证失败标志。
4.根据权利要求3所述的家庭网络的认证系统,其特征在于,
当所述第一家庭网关和第二家庭网关在同一个团体时,所述第一家庭网关和第二家庭网关所在团体的管理服务器还根据所述从随机矩阵中选取的随机值生成应答值,将所述应答值通过所述第一家庭网关发送给所述第二家庭网关,并且将所述应答值和第一认证密钥进行关联保存;
所述第一家庭网关和第二家庭网关所在团体的管理服务器在判断所述第一认证密钥和所述第二认证密钥一致后,还向所述第二家庭网关发送与所述第一认证密钥关联的所述应答值;
所述第二家庭网关在接收到所述第一家庭网关和第二家庭网关所在团体的管理服务器返回的应答值和认证成功标志后,比较所述第一家庭网关和第二家庭网关所在团体的管理服务器返回的应答值和所述通过所述第一家庭网关发送过来的应答值是否一致,如果是,则确定对所述第一家庭网关的认证通过;否则,确定对所述第一家庭网关的认证失败。
5.一种家庭网络的认证方法,其特征在于,包括:
管理服务器接收到家庭网关的触发认证的请求后,从获取的注册服务器发布的随机矩阵中选取随机值,根据所述随机值和注册服务器下发的所述家庭网关的口令值生成认证密钥,并将所述认证密钥发送给所述家庭网关;
所述家庭网关利用其口令值从管理服务器发送的所述认证密钥中获取随机值,将获取的随机值发送给所述管理服务器;
所述管理服务器判断所述家庭网关返回的随机值和所述从随机矩阵中选取的随机值是否一致,如果是,确定对所述家庭网关的认证通过;否则,确定对所述家庭网关的认证不通过。
6.根据权利要求5所述的家庭网络的认证方法,其特征在于,所述注册服务器确定所述随机矩阵的大小和随机矩阵中每个成员的取值范围,利用随机数生成方法生成随机矩阵,并将生成的随机矩阵发送给管理服务器。
7.根据权利要求6所述的家庭网络的认证方法,其特征在于,所述随机矩阵的大小、所述随机矩阵中每个成员的取值范围中的至少一项不固定。
8.根据权利要求5所述的家庭网络的认证方法,其特征在于,所述随机矩阵为二维或多维结构。
9.一种家庭网络的认证方法,其特征在于,包括:
第一家庭网关向第二家庭网关发送触发认证的请求,所述第二家庭网关接收到所述触发认证的请求后,向所述第一家庭网关返回其所在的团体标识;
所述第一家庭网关根据所述团体标识确认所述第一家庭网关和第二家庭网关在同一个团体时,所述的第一家庭网关向所述第一家庭网关和第二家庭网关所在团体的管理服务器发送触发认证的请求;
所述第一家庭网关和第二家庭网关所在团体的管理服务器接收到所述触发认证的请求后,从获取的注册服务器发布的随机矩阵中选取随机值,根据所述随机值生成第一认证密钥,将所述随机值通过所述第一家庭网关发送给所述第二家庭网关;
所述第二家庭网关将接收到的所述随机值返回给所述第一家庭网关和第二家庭网关所在团体的管理服务器,所述第一家庭网关和第二家庭网关所在团体的管理服务器根据所述第二家庭网关返回的随机值生成第二认证密钥,判断所述第一认证密钥和所述第二认证密钥是否一致,如果是,则向所述第二家庭网关发送所述认证成功标志;否则,向所述第二家庭网关发送认证失败标志;
当所述第一家庭网关根据所述团体标识确定所述第一家庭网关和第二家庭网关不在同一个团体时,所述第一家庭网关所选取的管理服务器包括所述第一家庭网关所在团体的被认证方管理服务器和所述第二家庭网关所在团体的认证方管理服务器;所述第一家庭网关向所述被认证方管理服务器发送触发认证的请求;
所述的被认证方管理服务器,接收到所述第一家庭网关发送的触发认证的请求后,从注册服务器发布的随机矩阵中选取随机值,根据所述随机值生成第一认证密钥,将所述随机值通过所述第一家庭网关发送给所述第二家庭网关;所述第二家庭网关将接收到的所述随机值发送给所述认证方管理服务器;
所述认证方管理服务器,根据所述第二家庭网关返回的随机值生成第二认证密钥,并将所述第二认证密钥发送给所述被认证方管理服务器;
所述的被认证方管理服务器,判断所述第一认证密钥和所述第二认证密钥是否一致,如果是,则向所述第二家庭网关发送认证成功标志;否则,向所述第二家庭网关发送认证失败标志。
10.根据权利要求9所述的家庭网络的认证方法,其特征在于,所述方法还包括:
当所述第一家庭网关和第二家庭网关在同一个团体时,所述第一家庭网关和第二家庭网关所在团体的管理服务器还根据所述随机值生成应答值,将所述应答值通过所述第一家庭网关发送给所述第二家庭网关,并且将所述应答值和第一认证密钥进行关联保存;
所述第一家庭网关和第二家庭网关所在团体的管理服务器在判断所述第一认证密钥和所述第二认证密钥一致后,还向所述第二家庭网关发送与所述第一认证密钥关联的所述应答值;
所述第二家庭网关在接收到所述第一家庭网关和第二家庭网关所在团体的管理服务器返回的应答值和认证成功标志后,比较所述第一家庭网关和第二家庭网关所在团体的管理服务器返回的应答值和所述通过所述第一家庭网关发送过来的应答值是否一致,如果是,则确定对所述第一家庭网关的认证通过;否则,确定对所述第一家庭网关的认证失败。
11.根据权利要求9所述的家庭网络的认证方法,其特征在于,所述注册服务器确定随机矩阵的大小和随机矩阵中每个成员的取值范围,利用随机数生成方法生成随机矩阵,并将生成的随机矩阵发送给管理服务器。
12.根据权利要求11所述的家庭网络的认证方法,其特征在于,所述随机矩阵的大小、所述随机矩阵中每个成员的取值范围中的至少一项不固定。
13.根据权利要求9所述的家庭网络的认证方法,其特征在于,所述随机矩阵为二维或多维结构。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007101185467A CN101345621B (zh) | 2007-07-09 | 2007-07-09 | 家庭网络的认证装置、系统和方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007101185467A CN101345621B (zh) | 2007-07-09 | 2007-07-09 | 家庭网络的认证装置、系统和方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101345621A CN101345621A (zh) | 2009-01-14 |
CN101345621B true CN101345621B (zh) | 2012-03-07 |
Family
ID=40247518
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2007101185467A Expired - Fee Related CN101345621B (zh) | 2007-07-09 | 2007-07-09 | 家庭网络的认证装置、系统和方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101345621B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105681253B (zh) * | 2014-11-18 | 2019-03-22 | 青岛海尔科技有限公司 | 集中式网络中的数据加密传输方法、设备、网关 |
CN109560954B (zh) * | 2017-09-27 | 2022-06-10 | 阿里巴巴集团控股有限公司 | 设备配置方法及装置 |
CN108111303B (zh) * | 2017-12-27 | 2021-06-25 | 北京环尔康科技开发有限公司 | 一种智能家庭网关的安全连接方法 |
CN115118625B (zh) * | 2018-05-11 | 2023-06-27 | 创新先进技术有限公司 | 一种数据校验方法和装置 |
DE102021109253B4 (de) * | 2021-04-13 | 2022-11-17 | Sma Solar Technology Ag | Verfahren zum login eines autorisierten nutzers auf ein gerät, insbesondere auf ein gerät für eine energieerzeugungsanlage, und energieerzeugungsanlage mit gerät |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1773906A (zh) * | 2004-11-10 | 2006-05-17 | 谢道裕 | 一种用于身份真伪鉴别的幻方签名方法 |
-
2007
- 2007-07-09 CN CN2007101185467A patent/CN101345621B/zh not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1773906A (zh) * | 2004-11-10 | 2006-05-17 | 谢道裕 | 一种用于身份真伪鉴别的幻方签名方法 |
Also Published As
Publication number | Publication date |
---|---|
CN101345621A (zh) | 2009-01-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100499532C (zh) | 公开密钥证书提供装置和方法、连接装置、通信装置和方法 | |
CN100481763C (zh) | 匿名公钥生成装置及方法以及公钥证明书发行方法 | |
CN102594823B (zh) | 一种远程安全访问智能家居的可信系统 | |
CN102160357B (zh) | 通信网络中的密钥管理 | |
CN101741860B (zh) | 一种计算机远程安全控制方法 | |
CN108270571A (zh) | 基于区块链的物联网身份认证系统及其方法 | |
CN101902476B (zh) | 移动p2p用户身份认证方法 | |
EP2302536A1 (en) | System and method for automatically verifying storage of redundant contents into communication equipments, by data comparison | |
CN103997484B (zh) | 一种量子密码网络sip信令安全通信系统及方法 | |
CN110138560A (zh) | 一种基于标识密码和联盟链的双代理跨域认证方法 | |
CN102082665B (zh) | 一种eap认证中的标识认证方法、系统和设备 | |
CN110932854B (zh) | 一种面向物联网的区块链密钥分发系统及其方法 | |
CN102077546A (zh) | UPnP设备之间的远程访问 | |
CN101345621B (zh) | 家庭网络的认证装置、系统和方法 | |
CN107124433A (zh) | 物联网系统、物联网设备访问方法、访问授权方法及设备 | |
Tesei et al. | IOTA-VPKI: A DLT-based and resource efficient vehicular public key infrastructure | |
US20120226909A1 (en) | Method of Configuring a Node, Related Node and Configuration Server | |
CN113114630A (zh) | 一种电动汽车动态无线充电隐私保护的认证方法及系统 | |
CN102231725A (zh) | 一种动态主机配置协议报文的认证方法、设备及系统 | |
KR100892616B1 (ko) | 무선 센서 네트워크에서의 새로운 장치 참여 방법 | |
Gowda et al. | An efficient authentication scheme for fog computing environment using symmetric cryptographic methods | |
CN105635321A (zh) | 一种动态组网设备注册的方法 | |
CN102457482B (zh) | 一种认证方法、装置和系统 | |
KR101509079B1 (ko) | 스마트카드 및 동적 id 기반 전기 자동차 사용자 인증 기법 | |
Chai et al. | Efficient password-based authentication and key exchange scheme preserving user privacy |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120307 Termination date: 20170709 |