CN104821930A - 计算机实施的物联网数据报传输轻型认证系统和方法 - Google Patents

计算机实施的物联网数据报传输轻型认证系统和方法 Download PDF

Info

Publication number
CN104821930A
CN104821930A CN201510017231.8A CN201510017231A CN104821930A CN 104821930 A CN104821930 A CN 104821930A CN 201510017231 A CN201510017231 A CN 201510017231A CN 104821930 A CN104821930 A CN 104821930A
Authority
CN
China
Prior art keywords
random number
key
client
session key
instruction
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201510017231.8A
Other languages
English (en)
Inventor
A·巴塔查里亚
S·班迪奥帕迪亚
A·乌基尔
A·帕尔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
TCS
Tata Consultancy Services Ltd
Original Assignee
TCS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by TCS filed Critical TCS
Priority to CN202010929142.1A priority Critical patent/CN112217794A/zh
Publication of CN104821930A publication Critical patent/CN104821930A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0637Modes of operation, e.g. cipher block chaining [CBC], electronic codebook [ECB] or Galois/counter mode [GCM]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

本发明的计算机实施的物联网数据报传输轻型认证系统和方法提供了一种稳健的、基于两个端点间共享预共享密码的询问-应答类型的交换的认证方案。本发明使用对称的基于密钥的安全机制,其中密钥管理与认证相融合。本发明提供了双向认证,其中在配置阶段,系统的端点配有预共享密码,并在服务端设有用于客户识别的客户端数据库。所述系统包括用于生成新鲜值的随机数生成器以及用于生成密钥和会话密钥的密钥生成器。所述随新鲜值和密钥仅在会话期间有效,因此在整个会话过程中有助于提供安全认证。所述系统可进一步与如DTLS的传输层安全协议以及如用于受限设备的CoAP的应用层协议相整合。

Description

计算机实施的物联网数据报传输轻型认证系统和方法
技术领域
本发明涉及物联网认证和安全。
背景技术
以下为说明书中使用到的术语的定义:
说明书中使用的表述“IoT”在下文中表示物联网,其中可唯一识别的对象在类似网络的结构中表示。
说明书中使用的表述“M2M”在下文中表示机器对机器通信技术,其在包括异构节点的网络中允许无线和有线系统的互相通信。
说明书中使用的表述“新鲜值(nonce)”在下文中表示仅使用一次的随机数(randomnumber)。
说明书中使用的表述“数据报传输”在下文中表示一种无连接传输协议,其示例性及普遍性实施例可为用户数据报协议(UDP)。
说明书中使用的表述“配置阶段”在下文中表示在通信之前准备并配备服务端和客户端的过程。它包括嵌入预共享密码之类的步骤。
说明书中使用的表述“会话启动器”在下文中表示通过发送大写的‘HELLO’消息到服务器开始会话的设备。
以上这些定义是对本领域中那些表述的补充。
IoT/M2M包括物理实体,其特性和状态可以通过网络基础设施进行交换。M2M可以看作是IoT的子集。其中数据在M2M驱动的IoT上传输的模型在数据流量模型以及参与节点的数量上与传统的网络不同。M2M与传统的人对人(H2H)网络交互相比需要处理更多的节点。
IoT/M2M系统通常由受限设备构成,如允许通过无线和/或有线网络进行通信的传感器。通常,该无线通信网络还受带宽的限制。在此受限域内配置一个稳健并且对系统需求较低的但具有认证的通信装置是一个挑战。传统的基于稳健证书的受限设备方案使用公钥密码系统,由于其在处理、能量及带宽上的需求而被证明成本太高。此外,考虑到IP层的安全,如IPSec,其在资源使用和维护方面也不是最理想的。此外,如TLS的传输层安全方案即使稳健,对于资源需求而言也是不适用的,因为它被证明对于受限设备而言成本太高。
受限应用协议(CoAP)是典型的网络应用层协议,它可以使受限设备之间以RESTful的方式通过网络交互通信。来自互联网工程任务组(IETF)的CoAP的主要设计目的是在用户数据报协议(UDP)上运行,以创建轻型解决方案,并将数据报传输层安全(DTLS)作为IoT/M2M的安全层解决方案。然而,具有基于完整证书的公钥基础设施(PKI)的DTLS对于受限设备而言不是最优的。因此,预共享密钥(PSK)的DTLS被确定为受限设备的轻型替换物。该方案虽然轻型,但却牺牲了稳健性。它还缺少端点认证。
在CoAP中,DTLS使用cookie交换技术来缓解其中攻击者会发送第一次握手消息从而发起放大攻击的拒绝服务(DoS)攻击。特别地,在PSK模式中,客户端计算来自于预共享密钥的预备主密码以及主密码,然后发送ClientKeyExchange消息到服务器,该服务器包含用于为服务器锁定所需预共享密钥的psk识别码。然而,明文的cookie交换是不稳健的。此外,cookie机制添加了建立连接对系统的需求,这对于受限环境而言消耗资源比较大。
因此,很明显地,适用于IoT/M2M受限空间的稳健认证以及轻型安全的系统尚属空白。此外,还需要一种系统和方法来满足一般网络/通信系统的认证需求。
发明内容
发明目的:
本发明的目的在于提供一种在典型的受限IoT/M2M环境互相认证端点的稳健并轻型的系统。
本发明的另一个目的在于提供一种使用较少数量的握手消息的使用轻型预共享密码模式的安全方案的系统。
本发明的另一个目的在于提供一种通常用来满足一般网络/通信系统的认证需求的系统。
本发明的另一个目的在于提供一种允许用户使用对称加密嵌入有效负荷的认证以及密钥管理的系统。
本发明的另一个目的在于提供一种可集成有如DTLS的传输层安全方案以加强现有的DTLS方案并同时通过减少交换数量使其变得更轻型的系统。
本发明的另一个目的在于提供一种可与如受限设备的CoAP的应用层融合并带有新的报头选项的系统。
本发明的其他目的和优势通过下述描述并结合附图变得更加明显,但以下描绘和附图并不做为对本发明保护范围的限制。
本发明涉及一种计算机实施的服务器和客户端之间数据报传输双向认证系统。
典型地,根据发明,计算机实施的服务器和客户端之间数据报传输双向认证系统包括系统处理器和第一随机数生成器,其中第一随机数生成器与系统处理器合作生成第一随机数。系统还包括第二随机数生成器,其同样与系统处理器合作生成第二随机数。系统还包括密钥生成器,其与系统处理器合作,并被配置为在配置阶段在双向认证之前,基于系统处理器生成指令和传输指令生成并传输密钥至服务器和客户端。系统中的第一存储库被配置为存储所有客户端的客户端ID。系统还包括被配置为基于系统处理器的传输指令,从客户端传输包括客户端唯一ID的第一消息到服务器的会话启动器。接收器与系统处理器合作,在系统处理器的接收指令控制下接收第一消息,并且配备有匹配引擎,以将接收到的客户端ID与来自于第一存储库的存储的客户端ID进行匹配,从而识别客户。会话密钥生成器被配置为生成唯一时限的并且有限地有效的会话密钥,并且基于系统处理器的传输指令传输生成的会话密钥。系统还包括与系统处理器合作的询问码生成器,其被配置为接收会话密钥并且,基于系统处理器的生成指令生成,并基于系统处理器的传输指令传输询问码,该询问码包括由第一随机数生成器生成的第一随机数以及会话密钥。出现在系统中的第一加密器与询问码生成器合作,接收来自于询问码生成器的生成的询问码,并且响应来自于系统处理器的指令,使用由密钥生成器生成的密钥加密接收的生成的询问码,并且被进一步配置为基于系统处理器的传输指令将加密的询问码传输到识别的客户端。第一解密器与系统处理器合作,其被配置为接收加密的询问码,并被进一步配置为响应系统处理器指令,使用由密钥生成器生成的密钥解密加密的询问码,从而获得解密的第一随机数和会话密钥。该系统还包括第二存储库,该存储库被配置为接收并存储来自于第一解密器的会话密钥。出现在系统中的第二加密器与系统处理器合并,并被配置为接收解密的第一随机数以及会话密钥,并被进一步配置为基于系统处理器的传输指令传输第二消息,该第二消息包括使用会话密钥加密的解密的第一随机数和由第二随机数字生成器生成的第二随机数。该系统还包括与系统处理器合作的第二解密器,其被配置为接收第二消息并响应系统处理器的指令,利用由会话密钥生成器生成的会话密钥解密第一随机数和第二随机数。本系统中的第一比较器和认证器被配置为响应系统处理器的指令,比较来自于第二消息的解密的第一随机数与由第一随机数生成器生成的第一随机数,进而认证客户端。系统还包括第三加密器,其被配置为响应系统处理器的指令,使用由会话密钥生成器生成的会话密钥加密在第二消息中接收的第二随机数,并基于系统处理器的传输指令传输加密的第二随机数。第三解密器被配置为基于系统处理器的接收指令接收,并被进一步配置为响应系统处理器的指令,使用从第二存储库接收的会话密钥解密加密的第二随机数。第二比较器和认证器被配置为响应系统处理器的指令,比较解密的第二随机数与由第二随机数生成器产生的第二随机数,从而认证服务器,进而实现双向认证。
本发明还提供一种计算机实施的服务器和客户端之间数据报传输双向认证的方法,该方法包括系统处理指令,并且包括:
o在第一随机数生成器的帮助下生成第一随机数(nonce_1);
o在第二随机数生成器(nonce_2)的帮助下生成第二随机数;
o响应系统处理指令,在密钥生成器的帮助下生成密钥;
o响应系统处理指令,在配置阶段在双向认证之前,将生成的密钥传输至服务器以及客户端;
o将所有客户端的客户端ID存储在第一存储库;
o响应系统处理指令,传输包括客户端唯一ID的第一消息;
o响应系统处理指令,接收第一消息,并且对接收到的客户ID与第一存储库存储的客户端ID进行匹配;
o基于接收到的客户端ID识别客户;
o在会话密钥生成器的帮助下,生成唯一时限的及有限地有效的会话密钥;
o接收会话密钥并在系统处理指令的控制下生成询问码,该询问码包括由第一随机数生成器生成的第一随机数以及会话密钥。
o接收来自于询问码生成器的生成的询问码并响应系统处理指令,在第一加密器的帮忙下使用由密钥生成器生成的密钥加密接收到的生成的询问码,并且响应系统处理指令,传输加密的询问码;
o接收加密的询问码并且响应系统处理指令,在第一解密器的帮助下使用由密钥生成器生成的密钥解密加密的询问码从而获得第一随机数和会话密钥;
o从第一解密器中接收会话密钥并存储在第二存储库中;
o响应系统处理指令接收解密的第一随机数以及会话密钥,并传送由会话密钥加密的第二消息,该第二消息包含解密的第一随机数以及由第二随机数生成器生成的第二随机数;
o响应系统处理指令,接收第二消息并利用由会话密钥生成器生成的会话密钥解密第一随机数和第二随机数;
o响应系统处理指令,比较解密自第二消息的第一随机数与由第一随机数生成器产生的第一随机数;
o如果解密的第一随机数与生成的第一随机数匹配,则在系统处理指令控制下认证客户;
o响应系统处理指令,使用由会话密钥生成器生成的会话密钥加密在第二消息中接收的第二随机数,并传输加密第二随机数;
o响应系统处理指令,接收并使用从第二存储库接收的会话密钥解密加密的第二随机数;
o响应系统处理指令,比较解密的第二随机数与由第二随机数生成器生成的第二随机数;并且
o如果解密的第二随机数与生成的第二随机数匹配,则响应系统处理指令,认证服务器,实现双向认证。
附图说明
现在将参考附图对本发明的系统进行描述,其中:
图1描述了提供了服务器与客户端之间双向认证的系统的示意图;
图2描述了实现双向认证和安全通信的系统流程;
图3描述了服务器与客户端之间在握手期间涉及的步骤;
图4示例性地描述了在CoAP消息格式中引入进而嵌入到已存在的应用层协议中的报头选项;
图5示例性地描述了传感器设备(客户端)与服务器之间的握手认证;
图6描述了本发明的系统作为额外认证层与类似于DTLS的安全层的整合;
图7描述了利用预共享密钥模式(PSK)的安全会话启动的传统DTLS握手的时序图;
图8描述了根据本发明的具有预共享密码的修改后的DTLS握手。
具体实施方式
现在将参考附图所示的实施例对本发明涉及的系统进行描述。这些实施例并不作为对本发明保护范围的限制。以下描述仅涉及到本文所公开系统的示例性和优选实施例,以及其建议的应用。
本文中的系统以及系统的多个特征及有益细节都是参考下文中描述的非限制性实施例进行解释的。文中省略了关于已知的参数及处理技术的描述,从而避免对本文中的实施例造成不必要的模糊化。文中使用的示例仅仅是为了帮助理解此处实施例实施的方式,并且进一步帮助本领域技术人员实现文中的实施例。因此,这些示例不应该理解为对文中实施例的保护范围的限制。
根据本发明,该系统提供了一种轻型稳健的基于两个端点之间共享预共享密码的质询-应答类型的交换的认证方案。本发明提出的安全解决方案基于安全机制的对称密钥,其中密码管理与认证融合在一起。它提供了数据报传输在服务器和客户端之间的双向认证,并且适用于IoT/M2M。
本发明涉及的系统提供双向认证,并且对系统的需求较低。为了实现双向认证,在配置阶段,为系统的端点提供预共享密码,并在服务端提供客户端数据库,用于客户识别。系统还包括用于产生新鲜值的伪随机数(PRN)模块以及定时器(系统时间),以及服务器密钥生成模块。该新鲜值及密钥有助于提供安全认证。在认证过程中,服务器侧和客户端侧均产生询问消息。AES加密和解密用于客户端侧和服务器侧。
本发明涉及的系统还能被改写以适应传输层安全协议,如使用PSK模式的DTLS。此改写步骤涉及在DTLS之上利用基于加密新鲜值的质询应答创建认证会话,以及为应用创建安全通道。
现参考附图,图1示出了系统100的原理图,该系统100基于系统处理器102的指令提供服务器50和客户端20之间的双向认证。本发明涉及的系统100提出一种基于两个端点之间共享预共享密码的质询-应答类型的交换的认证方案。其中的预共享密码由密钥生成器10基于来自系统处理器102的生成指令产生。本发明的安全解决方案为基于对称密钥的安全机制,其中密码管理与认证融合在一起。在配置阶段,各端点配置有预共享密码。客户端20的会话启动器22利用对客户端唯一的标识符(ID)向服务器50发送HELLO消息,启动会话。服务器50中的接收器54根据系统处理器102的接收指令接收所述消息,并且首先查询存储所有客户端ID的预配置存储库52中的ID。然而,为了防止恶意服务器的假冒,服务器50在询问码生成器60的帮助下,生成询问码。该询问码包括由会话密钥生成器58生成的唯一会话密钥‘k’以及由第一随机数生成器56生成的随机数“nonce1”。会话密钥生成器58包括会话密钥定时器(图中未示出),该定时器产生会话密钥定时器值,从而确定生成的会话密钥的有效性。该会话密钥“k”从而基于会话密钥定时器值被取消。会话密钥定时器值的失效表示密钥的取消,并且指出需要创建具有新的会话密钥的新的会话。第一随机数生成器56包括生成第一定时器值的第一定时器(图中未示出)。由第一随机数生成器56生成的“nonce1”为附带有第一定时器值的伪随机数(PRN)。然后第一加密器62通过使用预共享密码加密该询问码,其中预共享密码由密钥生成器10生成并共享。该询问码被发送到客户端。合法客户端20可以通过第一解密器24在由密钥生成器10共享的密钥的帮助下解密询问码,并进一步获得由服务器50提供的“nonce1”以及会话密钥“k”。然后,解密的会话密钥“k”被存储在第二存储库26中。此外,对应于询问码,客户端20形成应答消息,该应答消息包括从服务器50处接收的“nonce1”以及由客户端20的第二随机数生成器30生成的“nonce2”。第二随机数生成器30包括生成第二定时器值的第二定时器(图中未示出)。第二定时器值附加在另一伪随机数(PRN)上,形成“nonce2”。应答消息由第二加密器28使用会话密钥“k”加密,其中该会话密钥“k”此前利用第一解密器24得以解密。一旦接收到应答消息,服务器50的第二解密器64解密来自于客户端20的应答,并且通过使用第一比较器和认证器66将“nonce1”与来自于第一随机数字生成器56的其自身的拷贝“nonce1”进行匹配。一旦两者匹配,服务器50则利用第一比较器和认证器66认证客户端20,并且进一步基于来自系统处理器102的指令发送含有接收到的在第三加密器68的帮助下使用会话密钥“k”对该“nonce2”加密的消息到含客户端20。客户端在第三解密器32的帮助下,使用存储在第二存储库26中的会话密钥“k”解密“nonce2”。然后在第二比较器和认证器34的帮助下对解密的“nonce2”与由第二随机数生成器30生成的‘nonce2’进行匹配。如果解密的“nonce2”与客户端20的“nonce2”匹配,服务器50则得到第二比较器和认证器66的认证,从而实现双向认证。
其中使用的新鲜值和密钥随着会话不同而改变。由于产生的随机数包括附加于来自定时器(计数器)的定时器值的伪随机数(PRNs),因此产生的随机数是不可复制的。这样可以抵抗重放攻击。
再参考附图,图2描述了实现双向认证及安全通信的系统流程。在配置阶段,服务器和客户端为配置有预共享密码(y)的两个端点。在完成配置阶段后,客户端向服务器发送认证请求,200。因此该会话由客户端发起,发送“HELLO”消息及其唯一的客户端ID到服务器。在接收到消息之后,服务器查询存储在预配置数据库中的客户端ID。然而,为了防止恶意客户端的假冒,服务器生成包括唯一密钥(k)及随机数(nonce1)的询问码,202。其中可采用预共享密码(y)加密询问码,然后发送给客户端。合法的客户端可以使用预共享密码(y)解密询问码,204,然后得出服务器提供的随机数和密钥。对应地,客户端生成应答消息,该消息用接收到的唯一密钥(k)加密,并包括从服务器处接收的随机数(nonce1)以及在客户端生成的随机数(nonce2),206。服务器解密来自于客户端的应答,并将该nonce1与其自身拷贝进行匹配,208。如果两个随机数不匹配,则客户端得不到认证,212。如果两个随机数匹配,则客户端得到认证,并且完成密钥共享,210。客户端完成认证之后,服务器应答具有与(k)级联并由(y)加密的nonce2的客户端询问,214。在客户端,从服务器接收的nonce2与客户端的nonce2的拷贝匹配,查验服务器的应答是否符合客户端的询问,216。如果客户端自身的拷贝与nonce2匹配,则其认证服务器,218。如果两个随机数不匹配,则服务器得不到认证,220。一旦客户端和服务器双向认证,则它们之间的安全通道就得以构成,222。在认证过程中使用的新鲜值以及密钥在不同的会话中会改变。可使用计时器刷新会话。本发明涉及的系统包括附加在计时器(计数器)上的伪随机数生成器(PRNG),在每次会话期间提供唯一的密钥以及唯一的128位的新鲜值。因此,由于(PRN)的随机性以及(定时器)单调增加的特性,因此新鲜值为非重复性的。以伪随机的方式生成,并且其对的包含确保避免了重发攻击:
{Pr(Rj|t=T=Rj|t=T′)=1}<∈′,∈′→0.
该攻击的冲突概率约为2-56
新鲜值中可预测的非重复性由16位的管理,而不可预测部分由管理。
再参考附图,图3所示为服务器和客户端之间握手期间的步骤。它描述了轻型双向认证及密钥管理算法,其中表示客户端,而g表示服务器。在认证过程开始之前,在供给阶段,和g之间线下共享密码γi={0,1}128。然后认证过程以启动会话开始,其中客户端发送‘HELLO’,给服务器g,300。在这里,为唯一的客户端设备ID。一旦会话启动,服务器g通过向客户端发送询问码应答,302,其中,ki,nonce1={0,1}-128和消息的大小为256位。客户端解密该询问码,并通过发送另一包括nonce1和额外nonce2的询问码应答服务器。304,为客户端应答及询问。在服务器端,服务器核验nonce1并通过发送通过ki加密为AES{γi,(nonce2|ki)}的nonce2应答客户端,306。一旦客户端和服务器验证所述新鲜值,并且完成认证,客户端发送数据ρi到服务器,作为AES{κi,(ρi)},308。
再参考附图,图4和图5表示在本发明的系统嵌入到已存在的应用层协议之后的修改的CoAP消息格式,400,分别作为提出的一般方案的示例应用以及传感器设备(客户端)和服务器之间的示例性握手认证。
典型的CoAP交互模式类似于HTTP客户端/服务器模式并且为RESTful。但与HTTP不同的是,CoAP通过基于数据报的传输,如UDP,异步地进行交换。通常,CoAP包括四种类型的消息:可确认、不可确认、确认及复位。这些消息根据方式或者响应码携带请求或应答。
本发明公开的认证方案可被整合为嵌入CoAP的RESTful有效负载。从图5中可以观察到,具有可确认(CON)数据传输模式的POST方法可用于实现传感器设备(客户端)和服务器之间的双向认证。在CoAP报头引入新的字段“AUTH”,从而实现安全(认证)模式,400。该字段采用表示关键选择类的未使用选项。另一名为“AUTH_MSG_TYPE“的选项连同“AUTH”也被引入,指示用于创建认证会话的不同消息。
CoAP报头的该选择字段携带CoAP消息的选择性请求/应答特征。本发明定义的字段如下:
oAUTH:表示认证/禁用认证模式的启动。该字段的值可以为是或否。
oAUTH_MSG_TYPE:此字段可以是“0”或“1”,其中0=auth_init以及1=“response_against_challenge”。
当设置“AUTH=是”,可使用报头中的常量“Token”值维持认证会话,在认证阶段用于相关的消息交换。
参考图4和图5,执行下列步骤以将CoAP嵌入认证:
o开始,传感器网关发送CON模式的POST消息到服务器认证URI,其中AUTH选项字段为真,AUTH_MSG_TYPE值为“auth_init”,即“0”,还发送有效负载600中的“设备标识符”。
o服务器从有效负载中获得设备标识符,并且在接收到选项“AUTH”及AUTH_MSG_TYPE的“auth_init”值之后,确定与该设备标识符相关的预共享密码。然后,它产生随机数(nonce_1)和密钥(K)。服务器利用共享密钥生成加密的有效负载。
o服务器用应答码答复客户端,表示已经创建新的资源。答复中的URI指出了针对认证的整个握手的临时会话ID。如果为无效的设备标识符,则服务器发送应答码“未认证”。该加密的有效负载附带地或者单独地发送到客户端,602。
o客户端解密来自服务器的应答并获得nonce_1及“K”。它产生随机数(nonce_2),然后使用密钥“K”生成加密的有效负载。它使用具有选项字段“AUTH”的POST消息发送有效负载,并且AUTH_MSG_TYPE的值为‘response_against_challenge’,并且与上一个POST消息具有相同的标记值,604。
o维持一个密钥刷新定时器以刷新会话。(在CoAP的情况下,这个值一定要大于MAX_RETRANSMIT_COUNT*MAX_RETRANSMISSION_TIMEOUT)
o服务器使用“K”解密在头部具有上述选项值的上述POST的有效负载,并查看接收到的随机数。如果随机数与之前的值(步骤2中产生的值)相同,则服务器发送具有应答码“已改变”的应答,表示认证资源改变,否则发送“未认证”,606。
图5中使用的符号如下所述:
ψn:传感器网关δn及服务器S之间的共享密码
κn|τ:传感器网关δn与服务器在τth会话中的密钥交换
n>:δn的唯一的传感器设备/网关ID。
AES(.)κ:使用密钥κ在明文中的AES操作
nonces=服务器初始化的随机数
noncegw=传感器网关/客户端初始化的随机数
ωn:传感器网关δn的传感器数据
在认证阶段结束并且安全通道创建完成之后,客户端可选择性地以完全开环的模式通信,同时更新服务器中的一些资源,从而使得客户端表现出对服务器应答的不关心。
在本发明的系统的一个实施例中,CoAP用于NON(非可靠)模式,并且引入选项字段(例如无应答),表示服务器不需要应答资源运行的状态。因此,网络的负载会降低。该‘无应答’字段值为“0”或“1”,0表示服务器需要应答该状态,1表示服务器不需要应答该状态。
再参考附图,图6表示将本发明的系统作为附加认证层与DTLS,如安全层500融合。
再参考附图,图7表示使用预共享密钥模式(PSK)的安全会话启动的DTLS握手的时序图,而图8表示将本发明的方法整合到DTLS框架中,结果在创建安全连接之前,带来具有预共享密码及衍生密钥的修改的DTLS握手。每一个握手消息被预共享密码或者衍生的密钥K加密。图7中带有“*”的元素表示依赖情境的消息。图8描述了消息交换与图3表示的服务器和客户端握手期间涉及的步骤之间的映射。参考图7和图8,可以得出本发明的系统可以将握手的次数从6次减少到4次。
以下为本发明带来的有益技术效果:
根据如上所描述根据本发明的,计算机实施的在数据报传输中用于轻型认证的系统和方法具有多个有益技术效果,包括但不仅限于其实现了:
●一种系统需求减少的系统,原因在于其基于嵌有有效负载的对称密钥的认证以及由会话密钥刷新定时器管理的集成密钥;
●一种用于保护资源受限传感器设备的理想系统;
●一种可集成有传输层安全机制的系统,如集成DTLS,从而加强已有的DTLS方案,同时通过减少交换的数量,使其变得更轻型;
●一种可以将应用协议作为嵌入有效负载的认证方案的系统;
●一种可以与如CoAP的受限设备应用层整合的系统;
●一种通过引入新的具有应用层协议的报头选项允许CoAP开环通信的系统,从而在实现认证后优化资源使用率;以及
●一种可普遍满足一般网络/通信系统的认证需求的系统。
上文对特定实施例地描述全面的披露了本发明实施例的一般特性,通过运用现有知识,可以很容易地在不背离本发明一般思想的情况下,对该实施例进行修改并且/或者适用该特定实施例的多个应用,因此,这些适用及修改应该并且意在落入本发明实例的等同保护范围之内。应该理解,本文采用的用词和术语都是为了描述目的,不做限制用途。因此,虽然本文以优选实施例的形式描述了实施例,但是本领域技术人员可以理解,本文中的实施例可在文中描述的实施例的思想和范围内做出修改。

Claims (20)

1.一种计算机实施的服务器与客户端之间数据报传输双向认证系统,所述系统包括系统处理器,并包括:
i.第一随机数生成器,与系统处理器合作并被配置为生成第一随机数;
ii.第二随机数生成器,与系统处理器合作并被配置为生成第二随机数;
iii.密钥生成器,与系统处理器合作并被配置为在配置阶段在双向认证之前,基于系统处理器的生成指令和传输指令,生成并传输密钥至服务器和客户端;
iv.第一存储库,被配置为存储所有客户端的客户端ID;
v.会话启动器,被配置为基于系统处理器的传输指令,将含有客户端唯一ID的第一消息从客户端传输到服务器;
vi.接收器,与系统处理器合作,基于系统处理器的接收指令接收第一消息,并且配备有匹配引擎,将接收到的客户端ID与来自于第一存储库的存储的客户端ID进行匹配,从而识别客户;
vii.会话密钥生成器,被配置为生成唯一时限的会话密钥,并且基于系统处理器的传输指令传输生成的会话密钥;
viii.询问码生成器,与系统处理器合作并被配置为接收会话密钥以及,基于系统处理器的生成指令控生成并还基于系统处理器的传输指令传输询问码,其中所述询问码含有由第一随机数生成器生成的第一随机数以及会话密钥;
ix.第一加密器,与询问码生成器合作以接收生成的询问码以及响应来自于系统处理器的指令,使用由密钥生成器生成的密钥对接收的生成的询问码进行加密,并被进一步配置为基于系统处理器的传输指令将加密的询问码传输到识别的客户端;
x.第一解密器,与系统处理器合作并被配置为接收加密的询问码,并被进一步配置为响应来自系统处理器的指令,使用由密钥生成器生成的密钥对加密的询问码进行解密,从而获得解密的第一随机数和会话密钥;
xi.第二存储库,被配置为接收并存储来自于第一解密器的会话密钥;
xii.第二加密器,与系统处理器合作并被配置为接收解密的第一随机数和会话密钥以及,被进一步配置为基于系统处理器的传输指令传输第二消息,其中所述第二消息含有使用会话密钥加密的解密的第一随机数和由第二随机数字生成器生成的第二随机数;
xiii.第二解密器,与系统处理器合作并被配置为接收第二消息并被进一步配置为响应来自系统处理器的指令,使用由会话密钥生成器生成的会话密钥对第一随机数和第二随机数进行解密;
xiv.第一比较器和认证器,被配置为响应来自系统处理器的指令,比较解密自第二消息的第一随机数和由第一随机数生成器产生的第一随机数,进而认证客户端;
xv.第三加密器,被配置为响应来自系统处理器的指令,使用由会话密钥生成器生成的会话密钥对在第二消息内接收的第二随机数进行加密,并且基于系统处理器的传输指令传输加密的第二随机数;
xvi.第三解密器,被配置为基于系统处理器的接收指令进行接收,并被进一步配置为响应来自系统处理器的指令,使用从第二存储库接收的会话密钥对加密的第二随机数进行解密;以及
xvii.第二比较器和认证器,被配置为响应来自系统处理器的指令,比较解密的第二随机数和由第二随机数生成器产生的第二随机数,从而认证服务器并实现互相认证。
2.根据权利要求1所述的系统,其中第一随机数生成器包括第一定时器,响应来自系统处理器的指令并被配置为产生第一定时器值。
3.根据权利要求1所述的系统,其中由第一随机数生成器生成的第一随机数含有附加在第一定时器值上的第一伪随机数。
4.根据权利要求1所述的系统,其中第二随机数生成器包括第二定时器,响应来自系统处理器的指令并被配置为产生第二定时器值。
5.根据权利要求1所述的系统,其中由第二随机数生成器生成的第二随机数含有附加在第二定时器值上的第二伪随机数。
6.根据权利要求1所述的系统,其中由密钥生成器生成的密钥为在会话开始时生成并仅在进行的会话期间有效的唯一密钥。
7.根据权利要求1所述的系统,其中会话密钥生成器包括会话密钥定时器,响应来自系统处理器的指令并被配置为在会话密钥定时器值到期时取消生成的会话密钥并指示创建新会话的需求。
8.根据权利要求1所述的系统,其中由第一随机数生成器和第二随机数生成器生成的随机数是不可复制的并随会话不同而变化。
9.根据权利要求1所述的系统,其中客户端与服务器通信,从而使得服务器不对客户端请求的执行状态做出响应。
10.根据权利要求1所述的系统,其中系统整合有包括DTLS的传输层安全机制。
11.根据权利要求1所述的系统,其中系统整合有应用层协议,包括用于受限设备的CoAP。
12.一种计算机实施的服务器与客户端之间数据报传输双向认证方法,所述方法包括使用系统处理指令,并包括下述步骤:
o借助于第一随机数生成器生成第一随机数;
o借助于第二随机数生成器生成第二随机数;
o借助于密钥生成器响应系统处理指令生成密钥;
o在配置阶段在双向认证之前响应系统处理指令将生成的密钥传输到服务器和客户端;
o将所有客户端的客户端ID存储在第一存储库中;
o响应系统处理指令传输含有客户端唯一ID的第一消息;
o响应系统处理指令接收第一消息,并将接收的客户ID与第一存储库中存储的客户端ID进行匹配;
o基于接收的客户端ID识别客户;
o借助于会话密钥生成器生成唯一时限的会话密钥;
o接收会话密钥并基于系统处理指令生成询问码,其中所述询问码含有由第一随机数生成器生成的第一随机数以及会话密钥;
o接收由询问码生成器生成的询问码并响应系统处理指令借助于第一加密器使用由密钥生成器生成的密钥对接收到的生成的询问码进行加密,并响应系统处理指令传输加密的询问码;
o接收加密的询问码并响应系统处理指令借助于第一解密器使用由密钥生成器生成的密钥对加密的询问码进行解密以获得第一随机数和会话密钥;
o从第一解密器中接收会话密钥并将其存储在第二存储库中;
o响应系统处理指令接收解密的第一随机数以及会话密钥,并传送使用会话密钥加密的第二消息,其中所述第二消息含有含解密的第一随机数以及由第二随机数生成器生成的第二随机数;
o响应系统处理指令接收第二消息并利用由会话密钥生成器生成的会话密钥解密第一随机数和第二随机数;
o响应系统处理指令,比较解密自第二消息的第一随机数与由第一随机数生成器生成的第一随机数;
o如果解密的第一随机数与生成的第一随机数相匹配,则基于系统处理指令认证客户端;
o响应系统处理指令使用由会话密钥生成器生成的会话密钥加密在第二消息中接收的第二随机数,并传输加密的第二随机数;
o响应系统处理指令接收并使用从第二存储库接收的会话密钥解密加密的第二随机数;
o响应系统处理指令,比较解密的第二随机数与由第二随机数生成器生成的第二随机数;以及
o如果解密的第二随机数与生成的第二随机数匹配,则响应系统处理指令认证服务器,以实现双向认证。
13.根据权利要求12所述的方法,其中生成第一随机数的步骤包括响应系统处理指令生成第一定时器值并将其附加在第一伪随机数上以生成第一随机数的步骤。
14.根据权利要求12所述的方法,其中生成第二随机数的步骤包括响应系统处理指令生成第二定时器值并将其附加在第二伪随机数上以生成第二随机数的步骤。
15.根据权利要求12所述的方法,其中生成密钥的步骤涉及在会话开始时生成并仅在进行的会话期间有效的唯一密钥。
16.根据权利要求12所述的方法,其中生成会话密钥的步骤包括基于会话密钥定时器值的到期取消会话密钥并指示在到期时创建新会话的需求的步骤。
17.根据权利要求12所述的方法,其中生成随机数的步骤包括响应系统处理指令生成不可复制的并随会话不同而改变的数。
18.根据权利要求12所述的方法,其中客户端与服务器通信从而使得服务器不对客户端请求的执行状态进行响应。
19.根据权利要求12所述的方法,其中所述方法整合有包括DTLS的传输层安全机制。
20.根据权利要求12所述的方法,其中所述方法整合有应用层协议,包括用于受限设备的CoAP。
CN201510017231.8A 2014-02-03 2015-01-13 计算机实施的物联网数据报传输轻型认证系统和方法 Pending CN104821930A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010929142.1A CN112217794A (zh) 2014-02-03 2015-01-13 计算机实施的物联网数据报传输轻型认证系统和方法

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
IN377MU2014 2014-02-03
IN377/MUM/2014 2014-02-03

Related Child Applications (1)

Application Number Title Priority Date Filing Date
CN202010929142.1A Division CN112217794A (zh) 2014-02-03 2015-01-13 计算机实施的物联网数据报传输轻型认证系统和方法

Publications (1)

Publication Number Publication Date
CN104821930A true CN104821930A (zh) 2015-08-05

Family

ID=51903835

Family Applications (2)

Application Number Title Priority Date Filing Date
CN202010929142.1A Pending CN112217794A (zh) 2014-02-03 2015-01-13 计算机实施的物联网数据报传输轻型认证系统和方法
CN201510017231.8A Pending CN104821930A (zh) 2014-02-03 2015-01-13 计算机实施的物联网数据报传输轻型认证系统和方法

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CN202010929142.1A Pending CN112217794A (zh) 2014-02-03 2015-01-13 计算机实施的物联网数据报传输轻型认证系统和方法

Country Status (7)

Country Link
US (1) US9780954B2 (zh)
EP (1) EP2903204A1 (zh)
JP (1) JP6301244B2 (zh)
KR (1) KR102068367B1 (zh)
CN (2) CN112217794A (zh)
AU (1) AU2014265030B2 (zh)
ZA (1) ZA201408487B (zh)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017107143A1 (en) * 2015-12-24 2017-06-29 Nokia Technologies Oy Authentication and key agreement in communication network
CN108040042A (zh) * 2017-12-05 2018-05-15 重庆邮电大学 一种针对多播情况下CoAP协议的安全方法
CN109257170A (zh) * 2018-11-02 2019-01-22 美的集团股份有限公司 密钥协商方法、设备、终端、存储介质以及系统
CN110138772A (zh) * 2019-05-13 2019-08-16 上海英恒电子有限公司 一种通信方法、装置、系统、设备和存储介质
CN110234115A (zh) * 2019-05-23 2019-09-13 深圳和而泰家居在线网络科技有限公司 多设备通信系统和数据通信方法
CN110446203A (zh) * 2018-05-03 2019-11-12 霍尼韦尔国际公司 用于基于安全订阅的交通工具数据服务的系统和方法
CN110839240A (zh) * 2018-08-17 2020-02-25 阿里巴巴集团控股有限公司 一种建立连接的方法及装置
CN110912852A (zh) * 2018-09-14 2020-03-24 阿里巴巴集团控股有限公司 获取密钥的方法、装置和系统
CN111342956A (zh) * 2018-12-19 2020-06-26 美的集团股份有限公司 一种家电设备通信的方法、存储介质、家电设备和装置
CN111917619A (zh) * 2020-07-29 2020-11-10 华人运通(江苏)技术有限公司 通信方法、装置、电子设备和可读存储介质
WO2020258336A1 (zh) * 2019-06-28 2020-12-30 Oppo广东移动通信有限公司 一种资源配置方法、设备及存储介质
CN114040390A (zh) * 2021-11-17 2022-02-11 国网福建省电力有限公司 一种基于量子安全的5g虚商密钥库分发方法
WO2022142718A1 (zh) * 2020-12-31 2022-07-07 飞天诚信科技股份有限公司 一种认证器及其通信方法
TWI802447B (zh) * 2022-06-21 2023-05-11 桓達科技股份有限公司 感測器無線傳訊的封包加解密方法

Families Citing this family (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9258303B1 (en) * 2014-08-08 2016-02-09 Cellcrypt Group Limited Method of providing real-time secure communication between end points in a network
JP6850530B2 (ja) * 2014-10-20 2021-03-31 タタ コンサルタンシー サービシズ リミテッドTATA Consultancy Services Limited セキュアセッションの確立と暗号化データ交換のためのコンピュータ利用システム及びコンピュータ利用方法
KR101611944B1 (ko) * 2015-03-13 2016-04-12 한국전자통신연구원 데이터 암호화 기능 선택적 적용 방법
JP6023853B1 (ja) * 2015-05-29 2016-11-09 日本電信電話株式会社 認証装置、認証システム、認証方法、およびプログラム
US10469464B2 (en) * 2015-06-09 2019-11-05 Intel Corporation Self-configuring key management system for an internet of things network
KR101707602B1 (ko) * 2015-09-25 2017-02-17 상명대학교 천안산학협력단 해시 트리 기반 보안 메시지 인증 방법 및 이를 위한 장치
TWI576779B (zh) * 2015-10-13 2017-04-01 Nat Sun Yat-Sen Univ Method and Method of Payment Authentication System for Internet of Things
WO2017096596A1 (zh) * 2015-12-10 2017-06-15 深圳市大疆创新科技有限公司 无人机认证方法,安全通信方法及对应系统
KR101709086B1 (ko) 2015-12-24 2017-02-23 서강대학교산학협력단 사물 인터넷 환경에서의 컨텍스트 기반 보안방법 및 그에 따른 시스템
US11206260B2 (en) * 2016-01-19 2021-12-21 British Telecommunications Public Limited Company Authentication of data transmission devices
CN105763321B (zh) * 2016-04-06 2018-09-28 深圳市奔迈科技有限公司 一种物联网通讯加密方法和装置
KR101838511B1 (ko) * 2016-05-17 2018-03-14 현대자동차주식회사 암호화를 적용한 제어기 보안 방법 및 그 장치
US10271209B2 (en) * 2016-06-12 2019-04-23 Apple Inc. Session protocol for backward security between paired devices
CN106330941A (zh) * 2016-08-31 2017-01-11 成都秦川科技发展有限公司 物联网私密通道的信息私密分送及对象控制方法、装置
CN106330943A (zh) * 2016-08-31 2017-01-11 成都秦川科技发展有限公司 物联网私密通道和公共网络模糊信息分送控制方法及装置
WO2018048411A1 (en) * 2016-09-08 2018-03-15 Hewlett-Packard Development Company, L.P. Establishing shared key data for wireless pairing
CN108156126B (zh) * 2016-12-02 2020-12-08 阿里巴巴集团控股有限公司 物联网设备的烧录校验方法及装置、身份认证方法及装置
JP2018092099A (ja) * 2016-12-07 2018-06-14 キヤノン株式会社 画像形成装置、画像形成方法
WO2019104124A1 (en) 2017-11-22 2019-05-31 Aeris Communications, Inc. Secure authentication of devices for internet of things
US11582233B2 (en) 2017-11-22 2023-02-14 Aeris Communications, Inc. Secure authentication of devices for Internet of Things
CN110719248B (zh) * 2018-07-12 2021-08-17 中移(杭州)信息技术有限公司 用户数据报协议报文的转发方法及装置
MX2021002895A (es) * 2018-09-14 2021-08-24 Spectrum Brands Inc Autenticacion de internet de dispositivos de las cosas, incluidas las cerraduras electronicas.
CN109245885A (zh) * 2018-11-02 2019-01-18 美的集团股份有限公司 密钥协商方法、设备、存储介质以及系统
US11057211B2 (en) 2018-12-10 2021-07-06 Cisco Technology, Inc. Secured protection of advertisement parameters in a zero trust low power and lossy network
US11362837B2 (en) 2018-12-10 2022-06-14 Cisco Technology, Inc. Generating trustable RPL messages having root-signed rank values
WO2021040205A1 (ko) * 2019-08-23 2021-03-04 삼성전자 주식회사 전자 디바이스 및 전자 디바이스가 타겟 디바이스에게 제어 명령을 전달하는 방법
CN112448809B (zh) * 2019-08-30 2022-07-22 华为技术有限公司 密钥配置系统及相关方法和产品
CN111835752B (zh) * 2020-07-09 2022-04-12 国网山西省电力公司信息通信分公司 基于设备身份标识的轻量级认证方法及网关
CN112118223B (zh) * 2020-08-11 2023-06-20 北京智芯微电子科技有限公司 主站与终端的认证方法、主站、终端及存储介质
CN112954680B (zh) * 2021-03-02 2022-12-09 西安电子科技大学 抗追溯攻击的无线传感器网络轻量级接入认证方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101789934A (zh) * 2009-11-17 2010-07-28 北京飞天诚信科技有限公司 网上安全交易方法和系统
CN102315937A (zh) * 2010-07-09 2012-01-11 塔塔咨询服务有限公司 无线通信装置和服务器之间数据的安全交易系统和方法
CN102571702A (zh) * 2010-12-22 2012-07-11 中兴通讯股份有限公司 物联网中的密钥生成方法、系统和设备

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6377691B1 (en) * 1996-12-09 2002-04-23 Microsoft Corporation Challenge-response authentication and key exchange for a connectionless security protocol
ES2300119T3 (es) * 1997-02-27 2008-06-01 Takeda Pharmaceutical Company Limited Compuestos de amina, su produccion y su uso como inhibidores de la produccion de beta-amiloide.
US6148405A (en) * 1997-11-10 2000-11-14 Phone.Com, Inc. Method and system for secure lightweight transactions in wireless data networks
WO2001013201A2 (en) 1999-08-12 2001-02-22 Sarnoff Corporation Peer-to-peer network user authentication protocol
US7424615B1 (en) * 2001-07-30 2008-09-09 Apple Inc. Mutually authenticated secure key exchange (MASKE)
US20030093680A1 (en) * 2001-11-13 2003-05-15 International Business Machines Corporation Methods, apparatus and computer programs performing a mutual challenge-response authentication protocol using operating system capabilities
US20030221126A1 (en) * 2002-05-24 2003-11-27 International Business Machines Corporation Mutual authentication with secure transport and client authentication
JP2004241802A (ja) * 2003-02-03 2004-08-26 Matsushita Electric Ind Co Ltd コンテンツ配信システム及びコンテンツ蓄積装置
CN100552661C (zh) * 2004-06-28 2009-10-21 Nds有限公司 用于确定接近度的系统
US8660268B2 (en) * 2008-04-29 2014-02-25 Red Hat, Inc. Keyed pseudo-random number generator
US8281134B2 (en) * 2009-01-29 2012-10-02 Symbol Technologies, Inc. Methods and apparatus for layer 2 and layer 3 security between wireless termination points
DE102009061045B4 (de) * 2009-06-10 2012-05-03 Infineon Technologies Ag Erzeugung eines Session-Schlüssels zur Authentisierung und sicheren Datenübertragung
EP2276278A1 (en) * 2009-07-13 2011-01-19 Research In Motion Limited Methods and apparatus for maintaining secure connections in a wireless communication network
US8467532B2 (en) * 2010-01-04 2013-06-18 Tata Consultancy Services Limited System and method for secure transaction of data between a wireless communication device and a server
CN103765842B (zh) * 2011-07-25 2016-12-21 皇家飞利浦有限公司 用于建立端到端的安全连接和用于安全地传送数据分组的方法、设备以及系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101789934A (zh) * 2009-11-17 2010-07-28 北京飞天诚信科技有限公司 网上安全交易方法和系统
CN102315937A (zh) * 2010-07-09 2012-01-11 塔塔咨询服务有限公司 无线通信装置和服务器之间数据的安全交易系统和方法
CN102571702A (zh) * 2010-12-22 2012-07-11 中兴通讯股份有限公司 物联网中的密钥生成方法、系统和设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ARIJIT UKIL等: "Lightweight Security Scheme for Vehicle Tracking System Using CoAP", 《ASPI’13:PROCEDDDINGS OF THE INTERNATIONAL WORKSHOP ON ADAPTIVE SECURITY》 *

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017107143A1 (en) * 2015-12-24 2017-06-29 Nokia Technologies Oy Authentication and key agreement in communication network
CN108040042A (zh) * 2017-12-05 2018-05-15 重庆邮电大学 一种针对多播情况下CoAP协议的安全方法
CN108040042B (zh) * 2017-12-05 2020-07-03 重庆邮电大学 一种针对多播情况下CoAP协议的安全方法
CN110446203A (zh) * 2018-05-03 2019-11-12 霍尼韦尔国际公司 用于基于安全订阅的交通工具数据服务的系统和方法
CN110839240B (zh) * 2018-08-17 2022-07-05 阿里巴巴集团控股有限公司 一种建立连接的方法及装置
CN110839240A (zh) * 2018-08-17 2020-02-25 阿里巴巴集团控股有限公司 一种建立连接的方法及装置
CN110912852B (zh) * 2018-09-14 2022-04-08 阿里巴巴集团控股有限公司 获取密钥的方法、装置和系统,存储介质和计算机终端
CN110912852A (zh) * 2018-09-14 2020-03-24 阿里巴巴集团控股有限公司 获取密钥的方法、装置和系统
CN109257170A (zh) * 2018-11-02 2019-01-22 美的集团股份有限公司 密钥协商方法、设备、终端、存储介质以及系统
CN111342956A (zh) * 2018-12-19 2020-06-26 美的集团股份有限公司 一种家电设备通信的方法、存储介质、家电设备和装置
CN110138772B (zh) * 2019-05-13 2022-02-25 上海英恒电子有限公司 一种通信方法、装置、系统、设备和存储介质
CN110138772A (zh) * 2019-05-13 2019-08-16 上海英恒电子有限公司 一种通信方法、装置、系统、设备和存储介质
CN110234115A (zh) * 2019-05-23 2019-09-13 深圳和而泰家居在线网络科技有限公司 多设备通信系统和数据通信方法
WO2020258336A1 (zh) * 2019-06-28 2020-12-30 Oppo广东移动通信有限公司 一种资源配置方法、设备及存储介质
CN111917619A (zh) * 2020-07-29 2020-11-10 华人运通(江苏)技术有限公司 通信方法、装置、电子设备和可读存储介质
CN111917619B (zh) * 2020-07-29 2022-07-29 华人运通(江苏)技术有限公司 通信方法、装置、电子设备和可读存储介质
WO2022142718A1 (zh) * 2020-12-31 2022-07-07 飞天诚信科技股份有限公司 一种认证器及其通信方法
CN114040390A (zh) * 2021-11-17 2022-02-11 国网福建省电力有限公司 一种基于量子安全的5g虚商密钥库分发方法
CN114040390B (zh) * 2021-11-17 2023-05-09 国网福建省电力有限公司 一种基于量子安全的5g虚商密钥库分发方法
TWI802447B (zh) * 2022-06-21 2023-05-11 桓達科技股份有限公司 感測器無線傳訊的封包加解密方法

Also Published As

Publication number Publication date
US20150222439A1 (en) 2015-08-06
KR20150091969A (ko) 2015-08-12
US9780954B2 (en) 2017-10-03
JP2015146567A (ja) 2015-08-13
ZA201408487B (en) 2016-06-29
AU2014265030B2 (en) 2016-04-21
EP2903204A1 (en) 2015-08-05
KR102068367B1 (ko) 2020-01-20
AU2014265030A1 (en) 2015-08-20
CN112217794A (zh) 2021-01-12
JP6301244B2 (ja) 2018-03-28

Similar Documents

Publication Publication Date Title
CN104821930A (zh) 计算机实施的物联网数据报传输轻型认证系统和方法
JP6844908B2 (ja) セキュアセッションの確立と暗号化データ交換のためのコンピュータ利用システム及びコンピュータ利用方法
CN108886468B (zh) 用于分发基于身份的密钥资料和证书的系统和方法
JP6168415B2 (ja) 端末認証システム、サーバ装置、及び端末認証方法
CN108599925B (zh) 一种基于量子通信网络的改进型aka身份认证系统和方法
US9608967B2 (en) Method and system for establishing a session key
CN102577314B (zh) 用于安全地传输数据的方法和设备
JP2018098773A5 (zh)
US20140298037A1 (en) Method, apparatus, and system for securely transmitting data
US10158608B2 (en) Key establishment for constrained resource devices
US10158636B2 (en) Method for setting up a secure end-to-end communication between a user terminal and a connected object
CN101958907A (zh) 一种传输密钥的方法、系统和装置
JP2017163612A (ja) 端末認証システム、サーバ装置、及び端末認証方法
KR101704540B1 (ko) M2m 환경의 다중 디바이스 데이터 공유를 위한 그룹키 관리 방법
JP7064653B2 (ja) 通信システム
CN103986716A (zh) Ssl连接的建立方法以及基于ssl连接的通信方法及装置
JP2009065226A (ja) 認証付鍵交換システム、認証付鍵交換方法およびプログラム
Gupta et al. Security mechanisms of Internet of things (IoT) for reliable communication: a comparative review
JPWO2020205217A5 (zh)
JP6241658B2 (ja) 通信装置、端末プログラム、認証プログラム、認証方法、および認証システム
CN111953582A (zh) 一种基于硬件装置的加密即时通信方法和系统
Bhatia et al. Session key reusability using 3-PAKE in symmetric key cryptography
WO2015133951A1 (en) Method, communication device, and computer program for improving communication privacy

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20150805

RJ01 Rejection of invention patent application after publication