CN103475666B - 一种物联网资源的数字签名认证方法 - Google Patents
一种物联网资源的数字签名认证方法 Download PDFInfo
- Publication number
- CN103475666B CN103475666B CN201310436122.0A CN201310436122A CN103475666B CN 103475666 B CN103475666 B CN 103475666B CN 201310436122 A CN201310436122 A CN 201310436122A CN 103475666 B CN103475666 B CN 103475666B
- Authority
- CN
- China
- Prior art keywords
- resource
- visitor
- described resource
- information
- provider
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及一种物联网资源的数字签名认证方法,该方法包括:资源访问者根据第一访问列表判断其要访问的资源是否存在,如果存在,则向资源提供商发起再次访问请求,并将资源访问者的URI、上一次的会话密钥以及认证凭证和上一次最后发送信息的时间戳所构成的认证信息包进行哈希运算,并将哈希运算结果连同资源访问者信息进行数字签名后发送给资源提供商;资源提供商在接收到来自资源访问者的再次访问请求后,将接收的哈希运算结果与资源访问者上一次的认证包信息进行哈希运算后的结果进行比对,如果比对一致,则通过认证,并产生对称会话密钥发送给所述资源访问者;资源访问者根据对称密钥访问资源。本发明优化了资源访问流程,提高了资源访问效率及减轻了资源共享平台验证授权请求的压力。
Description
技术领域
本发明涉及物联网资源认证技术,特别涉及一种物联网资源的数字签名认证方法。
背景技术
物联网资源共享平台是以数据采集中间件为基础,汇聚来自各行业的传感器资源,整合信息与服务,并借助互联网进行传播,建立全新的Mashup服务,创造新的价值。资源共享离不开安全机制,建立一套高效的安全机制,是促进物联网发展的重要保障。
在面向资源的架构(Resource-Oriented Architecture,ROA)下的物联网资源,拥有众多的资源以及众多的服务,当前较成熟的安全机制采用认证和授权两者结合的安全协议来规避风险。OpenID(Open Identity)和OAuth(Open Authentication)为两种主流的web2.0安全协议。OpenID协议的优势是一处注册,处处通行。在具体应用中,该优势也有其自身限制:即任何注册OpenID账号的用户,不必经过资源提供商授权,便可访问其资源。OAuth协议弥补了OpenID的不足,但也存在自身的问题:频繁的令牌请求带来的低效率;资源访问权限不可控等等。一种比较流行的趋势是整合OpenID和OAuth协议各自优势,建立一套混合的安全体系模型。该模型对身份验证密钥和资源授权密钥进行了分离,初步实现了资源访问权限的分级管理。但是该体系中针对需要授权的资源,其申请流程较为复杂,资源越权访问风险仍然存在。
发明内容
本发明的目的是缓解海量的资源访问认证请求对资源共享平台造成的压力。
为实现上述目的,本发明提供了一种物联网资源的数字签名认证方法,应用于由资源共享平台、资源提供商和资源访问者构成的系统中,该方法包括以下步骤:
资源访问者根据第一访问列表判断其要访问的资源是否存在,如果存在,则向所述资源提供商发起再次访问请求,并将所述资源访问者的URI、上一次的会话密钥以及认证凭证和上一次最后发送信息的时间戳所构成的认证信息包进行哈希运算,并将哈希运算结果连同资源访问者信息经过数字签名后发送给所述资源提供商;
所述资源提供商在接收到来自所述资源访问者的再次访问请求后,将接收的所述哈希运算结果与所述资源访问者上一次的认证包信息进行哈希运算后的结果进行比对,如果比对一致,则通过认证,并产生对称会话密钥发送给所述资源访问者;
所述资源访问者根据所述对称密钥访问资源。
本发明在OpenID和OAuth混合模型的基础上加入了数字签名与访问列表机制,优化了资源访问流程,提高了资源访问效率及资源共享平台性能;同时明确令牌访问权限,提高系统安全性。
附图说明
图1为本发明实施例提供的资源共享平台的安全体系结构图。
具体实施方式
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
图1为本发明实施例提供的资源共享平台的安全体系结构图。如图1所示,该安全体系结构有三大部份构成,即资源访问者(服务)、资源提供商(资源)和资源共享平台。
在资源共享平台部分,OpenID模块和OAuth模块被整合在该资源共享平台中,在验证过程中也是采用融合的方式进行,密钥管理模块作为一个相对独立的模块负责进行所有OpenID所对应的密钥的分发与收集工作。该资源共享平台中的数据库只存储注册信息以及密钥,不存储服务与资源之间的访问关系。
服务(即资源访问者)部分包括OAuth客户端、第一密钥交换模块和OpenID认证模块。资源部分包括OAuth客户端、第二密钥交换模块和OpenID认证模块。所有资源与服务不做区分,均由一个OpenID所代表,资源唯一不同于服务的一点是资源只作为资源提供商,供其它服务读取资源。所有的资源与服务均有一个访问列表(服务对应第一访问列表,资源对应第二访问列表)来管理所访问的资源以及被何种服务所访问。
第一访问列表存储自身作为资源提供商的访问信息外,还存储自身作为资源访问者所访问的资源信息,如表1所示,其包括资源的OpenID、类型、URI、申请到的令牌信息、密钥、安全级别以及发送信息的时间戳。在资源访问者要访问曾经访问过的资源前,对该资源信息的摘要进行数字签名并发送给资源提供商,以便不通过资源共享平台而直接建立与资源的信任关系。通过这种方法可以减轻资源共享平台面临大量验证授权请求的压力。
表1.客户端的访问列表(第一访问列表)
| 用户信息 | 类型 | URI | 证书类型 | 密钥 | RSA非对称密钥 | 安全级别 | 时间戳 |
| OpenID | 服务 | http://... | C_client | S_Key | R_Key | Level_1 | XX:XX:XX |
第二访问列表(如表2)存储曾经授权允许访问的服务OpenID、URI以及令牌、密钥、安全级别和会话信息等,通过对资源访问者的OpenID、URI、令牌等设置的安全级别来实现资源的访问权限区别。
表2.资源提供商的访问列表(第二访问列表)
| 用户信息 | 类型 | URI | 证书类型 | 密钥 | RSA非对称密钥 | 安全级别 | 时间戳 |
| OpenID | 资源 | http://... | C_client | S_Key | R_Key | Level_1 | XX:XX:XX |
以下针对图1所示三大部分(资源访问者、资源提供商和资源共享平台)之间的逻辑流程进行描述:
1.OpenID注册以及OpenID的登陆;
2.资源的访问请求。
具体实施步骤如下:
1.OpenID的注册及登陆
1.1申请OpenID
(1)申请OpenID者(资源或服务)通过OpenID认证模块申请OpenID,在申请OpenID前生成一对RSA非对称密钥,并将公钥发送给资源共享平台中的OpenID模块。
(2)提供自身的信息(包括URI,资源类型,安全级别,上报数据类型,上报周期等)以及自身预留的随机信息数字签名后一并发送给OpenID模块。
(3)获得并存储OpenID模块提供的OpenID。
1.2登陆OpenID
(1)申请OpenID者向OpenID模块发送自身的OpenID,得到OpenID模块返回的数字签名后的预留信息。
(2)解密并验证返回的预留信息与之前自己发送的是否一致,若一致,则继续登陆发送密码,若不一致,则被欺骗,重新向OpenID模块发送登陆请求。
2.资源的访问请求
(1)客户端(资源访问者)根据第一访问列表判断其要访问的资源是否存在,如果存在,则跳转到(13),否则跳转到(2)。
(2)客户端向资源提供商发出“首次访问申请”。
(3)资源提供商与资源共享平台进行沟通,要求资源共享平台提供对客户端的验证工作。
(4)资源共享平台根据资源提供商所提供的客户端信息,通过数据库查找客户端的注册信息,若没有找到信息,则验证失败,返回失败信息;若找到信息,则根据客户端信息开始引导验证,发送认证所用的URL给客户端。
(5)客户端请求资源所有者(用户)登陆,重定位用户。
(6)用户登陆平台并授权该资源的访问权限。
(7)资源共享平台根据用户的授权信息通过OAuth模块发送相应的OAuth令牌给客户端。
(8)客户端在收到OAuth令牌后,凭借OAuth令牌申请对资源提供商的访问。
(9)资源提供商验证OAuth令牌,若OAuth令牌无效则访问失败,返回(3);若OAuth令牌有效,则交换RSA公钥。
(10)资源提供商在第二访问列表中添加客户端的信息,客户端在第一访问列表中添加资源的信息。
(11)资源提供商产生对称会话密钥,由第二密钥交换模块通过Diffie-Hellman方式交换给客户端的第一密钥交换模块。
(12)客户端使用该对称密钥开始访问资源。
(13)客户端发起“再次访问申请”,客户端将自身的URI,上次的会话密钥以及认证凭证(OAuth令牌,OpenID电子身份证明)和上次最后发送信息的时间戳,所构成的一个认证信息包进行哈希运算后,将哈希运算结果连同自己的客户端信息(Client ID,URI)进行数字签名并发给资源提供商。
(14)资源提供商收到“再次访问请求”后,将客户端上一次的认证包信息(上次的会话密钥,认证凭证,上次最后发送信息的时间戳)哈希运算后的结果与发送来的认证信息包的哈希运算结果比对是否一致,若不一致,则转到(3);若一致,则验证通过,转到(11)。
本发明实施例免去了每次认证都需要资源共享平台介入认证过程,仅在资源存取双方无法完成认证的情况下介入。而双方互相之间的认证过程也极为简单。在ROA架构下,面对物联网这一拥有众多资源与众多服务需要认证授权的环境,这种认证方法可以极大的减少认证授权服务器的压力,同时让服务与资源提供商以极短的交互流程完成认证,也大大提高了资源的存取效率。授权令牌与安全级别的对应,也有效解决了安全级别的管理问题。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (3)
1.一种物联网资源的数字签名认证方法,应用于由资源共享平台、资源提供商和资源访问者构成的系统中,其特征在于:
所述资源访问者根据第一访问列表判断其要访问的资源是否存在,如果存在,则向所述资源提供商发起再次访问请求,并将所述资源访问者的URI、上一次的会话密钥以及认证凭证和上一次最后发送信息的时间戳所构成的认证信息包进行哈希运算,并将哈希运算结果连同资源访问者信息进行数字签名后发送给所述资源提供商;
当所述第一访问列表中不存在所述资源访问者要访问的资源时,则通过所述资源共享平台对所述资源访问者进行认证,其认证步骤包括:
所述资源共享平台根据所述资源访问者的身份信息查找所述资源访问者的注册信息,若查找成功,则向所述资源访问者发送认证用URL信息;
所述资源共享平台根据被访问资源的访问权限向所述资源访问者发送相应的OAuth令牌;
所述资源访问者根据所述OAuth令牌申请对所述资源提供商的访问;
所述资源提供商针对所述OAuth令牌进行验证,如果验证成功,则交换RSA公钥;
所述资源提供商产生对称会话密钥,并交换给所述资源访问者;
所述的资源访问者根据所述对称会话密钥开始访问资源;
所述第一访问列表存储包括资源的OpenID、类型、URI、申请到的令牌信息、密钥、安全级别以及发送信息的时间戳中的一种或多种信息;
所述的认证凭证包括OAuth令牌和OpenID电子身份证明;
所述资源提供商在接收到来自所述资源访问者的再次访问请求后,将接收的所述哈希运算结果与所述资源访问者上一次的认证包信息进行哈希运算后的结果进行比对,如果比对一致,则通过认证,并产生对称会话密钥发送给所述资源访问者;
所述资源访问者根据所述对称密钥访问资源。
2.根据权利要求1所述的方法,其特征在于:所述资源提供商产生对称会话密钥,并通过Diffie-Hellman密钥交换协议交换给所述资源访问者。
3.根据权利要求1所述的方法,其特征在于:在所述资源共享平台对所述资源访问者进行认证步骤前还包括注册申请步骤,所述注册申请步骤包括:
所述资源访问者通过所述资源共享平台申请注册OpenID,并在申请前生成一对RSA非对称密钥,并将公钥发送给所述资源共享平台;
所述资源访问者提供自身的信息以及自身预留的随机信息数字签名后一并发送给所述资源共享平台;
所述资源访问者获取并存储所述资源共享平台提供的OpenID。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310436122.0A CN103475666B (zh) | 2013-09-23 | 2013-09-23 | 一种物联网资源的数字签名认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310436122.0A CN103475666B (zh) | 2013-09-23 | 2013-09-23 | 一种物联网资源的数字签名认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103475666A CN103475666A (zh) | 2013-12-25 |
| CN103475666B true CN103475666B (zh) | 2017-01-04 |
Family
ID=49800362
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310436122.0A Expired - Fee Related CN103475666B (zh) | 2013-09-23 | 2013-09-23 | 一种物联网资源的数字签名认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103475666B (zh) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10270748B2 (en) | 2013-03-22 | 2019-04-23 | Nok Nok Labs, Inc. | Advanced authentication techniques and applications |
| US9887983B2 (en) | 2013-10-29 | 2018-02-06 | Nok Nok Labs, Inc. | Apparatus and method for implementing composite authenticators |
| US9367676B2 (en) | 2013-03-22 | 2016-06-14 | Nok Nok Labs, Inc. | System and method for confirming location using supplemental sensor and/or location data |
| US9450760B2 (en) * | 2014-07-31 | 2016-09-20 | Nok Nok Labs, Inc. | System and method for authenticating a client to a device |
| EP3203698B1 (en) | 2014-10-24 | 2019-09-25 | Huawei Technologies Co., Ltd. | Resource access method and apparatus |
| CN105162772B (zh) * | 2015-08-04 | 2019-03-15 | 三星电子(中国)研发中心 | 一种物联网设备认证与密钥协商方法和装置 |
| US10769635B2 (en) | 2016-08-05 | 2020-09-08 | Nok Nok Labs, Inc. | Authentication techniques including speech and/or lip movement analysis |
| CN106357643B (zh) * | 2016-09-20 | 2019-08-27 | 福建新和兴信息技术有限公司 | 可识别调用云平台数据的应用的方法及系统 |
| CN109586914B (zh) * | 2017-09-28 | 2020-08-04 | 大唐移动通信设备有限公司 | 一种物联网系统的数据校验方法和装置 |
| US11868995B2 (en) | 2017-11-27 | 2024-01-09 | Nok Nok Labs, Inc. | Extending a secure key storage for transaction confirmation and cryptocurrency |
| US11831409B2 (en) | 2018-01-12 | 2023-11-28 | Nok Nok Labs, Inc. | System and method for binding verifiable claims |
| CN108400989B (zh) * | 2018-03-01 | 2021-07-30 | 恒宝股份有限公司 | 一种共享资源身份认证的安全认证设备、方法及系统 |
| CN110839004A (zh) * | 2018-08-16 | 2020-02-25 | 北京京东尚科信息技术有限公司 | 访问认证的方法和装置 |
| CN109474608B (zh) * | 2018-12-06 | 2021-01-15 | 苏州浪潮智能科技有限公司 | 一种多平台通讯方法及系统 |
| US12041039B2 (en) | 2019-02-28 | 2024-07-16 | Nok Nok Labs, Inc. | System and method for endorsing a new authenticator |
| US11792024B2 (en) | 2019-03-29 | 2023-10-17 | Nok Nok Labs, Inc. | System and method for efficient challenge-response authentication |
| CN114418574A (zh) * | 2020-01-17 | 2022-04-29 | 厦门潭宏信息科技有限公司 | 一种共识和资源传输方法、设备及存储介质 |
| CN112671720B (zh) * | 2020-12-10 | 2022-05-13 | 苏州浪潮智能科技有限公司 | 一种云平台资源访问控制的令牌构造方法、装置及设备 |
| CN115664743A (zh) * | 2022-10-17 | 2023-01-31 | 浙江网商银行股份有限公司 | 行为检测方法以及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101789973A (zh) * | 2010-02-05 | 2010-07-28 | 中兴通讯股份有限公司 | 一种构建糅合应用的方法及系统 |
| CN102546179A (zh) * | 2011-12-31 | 2012-07-04 | 珠海市君天电子科技有限公司 | 一种服务器端和客户端之间的身份验证方法 |
| CN103109510A (zh) * | 2012-10-16 | 2013-05-15 | 华为技术有限公司 | 一种资源安全访问方法及装置 |
| CN103166783A (zh) * | 2011-12-14 | 2013-06-19 | 华为技术有限公司 | 资源的控制方法及装置 |
| CN103188244A (zh) * | 2011-12-31 | 2013-07-03 | 卓望数码技术(深圳)有限公司 | 基于开放授权协议实现授权管理的系统及方法 |
-
2013
- 2013-09-23 CN CN201310436122.0A patent/CN103475666B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101789973A (zh) * | 2010-02-05 | 2010-07-28 | 中兴通讯股份有限公司 | 一种构建糅合应用的方法及系统 |
| CN103166783A (zh) * | 2011-12-14 | 2013-06-19 | 华为技术有限公司 | 资源的控制方法及装置 |
| CN102546179A (zh) * | 2011-12-31 | 2012-07-04 | 珠海市君天电子科技有限公司 | 一种服务器端和客户端之间的身份验证方法 |
| CN103188244A (zh) * | 2011-12-31 | 2013-07-03 | 卓望数码技术(深圳)有限公司 | 基于开放授权协议实现授权管理的系统及方法 |
| CN103109510A (zh) * | 2012-10-16 | 2013-05-15 | 华为技术有限公司 | 一种资源安全访问方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103475666A (zh) | 2013-12-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103475666B (zh) | 一种物联网资源的数字签名认证方法 | |
| US10764286B2 (en) | System and method for proxying federated authentication protocols | |
| CN102201915B (zh) | 一种基于单点登录的终端认证方法和装置 | |
| CN103259663A (zh) | 一种云计算环境下的用户统一认证方法 | |
| US8196193B2 (en) | Method for retrofitting password enabled computer software with a redirection user authentication method | |
| CN102624720B (zh) | 一种身份认证的方法、装置和系统 | |
| CN104767731B (zh) | 一种Restful移动交易系统身份认证防护方法 | |
| WO2022121461A1 (zh) | 一种云平台资源访问控制的令牌构造方法、装置及设备 | |
| WO2018219056A1 (zh) | 鉴权方法、装置、系统和存储介质 | |
| US8769289B1 (en) | Authentication of a user accessing a protected resource using multi-channel protocol | |
| CN110535851A (zh) | 一种基于oauth2协议的用户认证系统 | |
| US20150149530A1 (en) | Redirecting Access Requests to an Authorized Server System for a Cloud Service | |
| CN1835438A (zh) | 一种在系统间实现单次登录的方法及系统 | |
| CN103152179A (zh) | 一种适用于多应用系统的统一身份认证方法 | |
| CN102655494A (zh) | 一种基于saml的单点登录模式设计的认证平台 | |
| CN108111473A (zh) | 混合云统一管理方法、装置和系统 | |
| CN109587100A (zh) | 一种云计算平台用户认证处理方法及系统 | |
| US20170104748A1 (en) | System and method for managing network access with a certificate having soft expiration | |
| CN104113412A (zh) | 基于PaaS平台的身份认证方法以及身份认证设备 | |
| CN107819570A (zh) | 一种基于可变Cookie的跨域单点登录方法 | |
| CN103546290B (zh) | 具有用户组的第三方认证系统或方法 | |
| CN104580081A (zh) | 一种集成式单点登录系统 | |
| CN102420808B (zh) | 一种在电信网上营业厅实现单点登录的方法 | |
| CN102694776A (zh) | 一种基于可信计算的认证系统及方法 | |
| CN105119916B (zh) | 一种基于http的认证方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170104 Termination date: 20190923 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |