CN106612205A - 一种节点认证方法、系统及代理节点 - Google Patents
一种节点认证方法、系统及代理节点 Download PDFInfo
- Publication number
- CN106612205A CN106612205A CN201510708883.6A CN201510708883A CN106612205A CN 106612205 A CN106612205 A CN 106612205A CN 201510708883 A CN201510708883 A CN 201510708883A CN 106612205 A CN106612205 A CN 106612205A
- Authority
- CN
- China
- Prior art keywords
- group
- certification
- agent node
- interior nodes
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种节点认证方法、系统及代理节点,其中方法包括:接收到第一节点组的代理节点发来的认证请求;基于所述认证请求中代理节点的标识信息,确定所述代理节点所在第一节点组的第一安全参数,并且确定至少一个组内节点对应的至少一个第二安全参数;基于所述第一安全参数对所述代理节点完成第一认证,并控制与所述代理节点备建立连接;通过所述连接发送至少一个第二安全参数至所述代理节点,使得所述代理节点根据所述至少一个第二安全参数对所述第一节点组中至少一个组内节点进行第二认证,得到第二认证结果;基于所述第二认证结果对所述第一节点组进行处理。
Description
技术领域
本发明涉及网络管理领域的节点管理技术,尤其涉及一种节点认证方法、系统及代理节点。
背景技术
目前,在IETF Core组以及3GPP MTCe讨论过的组认证方案,方案提出将多个物联网设备构成一个组,每个物联网设备即为一个组成员,每个组成员之间支持私有协议通信。在组中进行处理时,可以将其中的组成员A1作为组代理节点,A1首先与每个组成员进行组内认证并计算组内会话密钥;而后,A1作为组内每个成员的代表与网络侧进行组外认证,网络侧认证组代理节点A1成功后,即认为组内所有成员认证完成。但是,上述方案,无法保证针对节点组的组内节点验证网络身份,无法提升系统的安全性能。
发明内容
有鉴于此,本发明的目的在于提供一种节点认证方法、系统及代理节点,能至少解决现有技术中存在的上述问题。
为达到上述目的,本发明的技术方案是这样实现的:
本发明实施例提供了一种节点认证方法,所述方法包括:
接收到第一节点组的代理节点发来的认证请求;其中,所述认证请求中至少包括有所述代理节点的标识信息;所述第一节点组中包括有所述代理节点以及至少一个组内节点;
基于所述认证请求中代理节点的标识信息,确定所述代理节点所在第一节点组的第一安全参数,并且确定至少一个组内节点对应的至少一个第二安全参数;
基于所述第一安全参数对所述代理节点完成第一认证,并控制与所述代理节点备建立连接;
通过所述连接发送至少一个第二安全参数至所述代理节点,使得所述代理节点根据所述至少一个第二安全参数对所述第一节点组中至少一个组内节点进行第二认证,得到第二认证结果;
基于所述第二认证结果对所述第一节点组进行处理。
本发明实施例提供了一种节点认证方法,应用于代理节点,所述代理节点设置于第一节点组中,所述第一节点组中除去所述代理节点还包括有至少一个组内节点;所述方法包括:
向网络侧发送认证请求,其中,所述认证请求中至少包括有所述代理节点的标识信息;
基于第一安全参数与所述网络侧完成第一认证之后,与所述网络侧建立连接;
通过所述连接接收到网络侧发来的至少一个第二安全参数;
根据所述至少一个第二安全参数对所述第一节点组中至少一个组内节点进行第二认证,得到第二认证结果,发送所述第二认证结果至所述网络侧,使得所述网络侧基于所述第二认证的认证结果进行处理。
本发明实施例提供了一种节点认证系统,所述系统包括:
第一处理单元,用于接收到第一节点组的代理节点发来的认证请求;其中,所述认证请求中至少包括有所述代理节点的标识信息;所述第一节点组中包括有所述代理节点以及至少一个组内节点;基于所述认证请求中代理节点的标识信息,确定所述代理节点所在第一节点组的第一安全参数,并且确定至少一个组内节点对应的至少一个第二安全参数;基于所述第一安全参数对所述代理节点完成第一认证,并控制第二处理单元与所述代理节点备建立连接;
第二处理单元,用于与代理节点建立连接,并通过所述连接发送至少一个第二安全参数至所述代理节点,基于所述第二认证结果对所述第一节点组进行处理。
本发明实施例提供了一种代理节点,所述代理节点包括:
通信单元,用于向网络侧发送认证请求,其中,所述认证请求中至少包括有所述代理节点的标识信息;基于第一安全参数与所述网络侧完成第一认证之后,与所述网络侧建立连接;通过所述连接接收到网络侧发来的至少一个第二安全参数;
管理单元,用于根据所述至少一个第二安全参数对所述第一节点组中至少一个组内节点进行第二认证,得到第二认证结果,发送所述第二认证结果至所述网络侧。
本发明实施例提供了节点认证方法、系统及代理节点,能够在收到组代理节点的认证请求后,产生针对组代理节点的安全参数用于进行第一认证,还能够产生与之相关的组内节点的第二安全参数用于进行第二认证,当第一认证通过时,将第二安全参数发送给代理节点,使得代理节点基于第二安全参数对组内节点完成第二认证,并能够第二认证的结果对代理节点所在的第一节点组进行处理;如此,保证能够控制针对节点组的组内节点验证网络身份,避免了存在伪基站攻击的可能性,提升了系统的安全性能。
附图说明
图1为本发明实施例节点认证方法流程示意图一;
图2为本发明实施例节点认证方法流程示意图二;
图3为本发明实施例节点认证方法流程示意图三;
图4为本发明实施例节点认证系统组成结果示意图;
图5为本发明实施例代理节点组成结构示意图。
具体实施方式
下面结合附图及具体实施例对本发明再作进一步详细的说明。
实施例一、
本发明实施例提供了一种节点认证方法,应用于网络侧,如图1所示,包括:
步骤101:接收到第一节点组的代理节点发来的认证请求;其中,所述认证请求中至少包括有所述代理节点的标识信息;所述第一节点组中包括有所述代理节点以及至少一个组内节点;
步骤102:基于所述认证请求中代理节点的标识信息,确定所述代理节点所在第一节点组的第一安全参数,并且确定至少一个组内节点对应的至少一个第二安全参数;
步骤103:基于所述第一安全参数对所述代理节点完成第一认证,并控制与所述代理节点备建立连接;
步骤104:通过所述连接,发送至少一个第二安全参数至所述代理节点,使得所述代理节点根据所述至少一个第二安全参数对所述第一节点组中至少一个组内节点进行第二认证,得到第二认证结果;
步骤105:基于所述第二认证结果对所述第一节点组进行处理。
这里,所述网络侧可以至少具备两种设备或者单元,一种为至少能够进行认证以及安全参数生成的设备或者单元,比如可以由归属签约用户服务器(Home Subscriber Server,HSS)提供该功能;另一种为至少能够与节点建立连接的设备或者单元,比如,可以由移动管理单元(MME,Mobility ManagementEntity),或者,服务GPRS支持节点(SGSN,Serving GPRS Support Node)提供这种功能。
另外,本实施例中所述第一节点组可以来自物联网,也就是说,物联网中可以存在有由多个节点组成的节点组,在这个节点组中包括有一个代理节点用于与网络侧建立连接并且与网络侧进行数据交互,节点组中除去代理节点的其他节点作为组内节点。比如,第一节点组中的各个节点的拓扑连接方式可以为星形、环形、树形或者混合型等连接方式。
所述基于所述认证请求中代理节点的标识信息,确定所述代理节点所在第一节点组的第一安全参数中,所述代理节点的标识信息可以为所述代理节点的国际移动用户识别码(IMSI,International Mobile Subscriber IdentificationNumber),所述第一安全参数可以包括:进行第一认证所需的参数,以及第一待验证值;其中,所述第一认证所需的参数可以包括有多个数值,比如,可以有RAND、AUTN等值;所述第一待验证值可以表示为XRES。
上述步骤中,所述确定所述代理节点所在组中至少一个组内节点对应的至少一个第二安全参数,可以包括:
基于所述认证请求中的代理节点的标识信息,确定所述代理节点所在的第一节点组;
基于所述第一节点组对应的预设组信息,获取到所述第一节点组中除去所述代理节点之外的至少一个组内节点对应的标识信息、以及所述至少一个组内节点对应的第二安全参数。
所述至少一个组内节点对应的第二安全参数可以为:每一个不同的组内节点均对应与自身标识信息相关的第二安全参数,也就是说每一个第二安全参数相互可以不同。
进一步地,所述第一节点组中的预设组信息中可以包括有:
组内节点的标识信息,以及每一个组内节点对应的预设的第二安全参数;
或者,仅包括有每组内节点的标识信息;相应的,获取到第二安全参数的方式可以为网络侧根据所述标识信息进行计算得到。其中,所述计算方式可以为根据实际情况进行设置。
可以理解的是,所述第二安全参数与所述第一安全参数的组成结构可以相同,即也包括有第二认证所需的参数,以及第二待验证值。
优选地,所述第二认证结果包括:认证通过的组内节点对应的标识信息,和/或,认证未通过的组内节点对应的标识信息;相应的,所述基于所述第二认证结果对所述第一节点组中的代理节点以及至少一个组内节点进行处理,包括:基于所述第二认证结果,控制保留第一节点组中认证通过的组内节点的信息,删除第一节点组中认证未通过的组内节点的信息。
其中,所述保留第一节点组中认证通过的组内节点的信息可以为保留所述认证通过的组内节点在网络侧记录的标识信息,还可以进一步包括有所述认证通过的组内节点的第二安全参数;相应的,删除第一节点组中认证未通过的组内节点的信息可以为删除该组内节点在网络侧保存的全部信息,至少包括有其标识信息以及其对应的第二安全参数。
通过采用上述方案,能够在假设组内节点与组代理节点完成相互认证并相互建立安全隧道的前提下,组代理节点先与网络侧进行双向认证,网络侧在认证流程中,不仅产生组代理节点的认证信息,还同时产生组内节点的认证信息并暂存在网络认证实体网元上;组代理节点与网络侧完成认证并建立起安全隧道后,网络认证实体网元将组内节点认证所需必要信息通过安全隧道传送给组代理节点。组代理节点代表网络侧转发认证信息并对组内节点进行网络侧的认证,然后将认证结果传递给网络侧。在组内节点认证过程中,组内节点即可产生强度较高的通信会话密钥。
可见,采用上述方案,就能够在收到组代理节点的认证请求后,产生针对组代理节点的安全参数用于进行第一认证,还能够产生与之相关的组内节点的第二安全参数用于进行第二认证,当第一认证通过时,将第二安全参数发送给代理节点,使得代理节点基于第二安全参数对组内节点完成第二认证,并能够第二认证的结果对代理节点所在的第一节点组进行处理;如此,保证能够控制针对节点组的组内节点验证网络身份,避免了存在伪基站攻击的可能性,提升了系统的安全性能。
实施例二、
本发明实施例提供了一种节点认证方法,应用于代理节点,所述代理节点设置于第一节点组中,所述第一节点组中除去所述代理节点还包括有至少一个组内节点;如图2所示,所述方法包括:
步骤201:向网络侧发送认证请求,其中,所述认证请求中至少包括有所述代理节点的标识信息;
步骤202:基于第一安全参数与所述网络侧完成第一认证之后,与所述网络侧建立连接;
步骤203:通过所述连接接收到网络侧发来的至少一个第二安全参数;
步骤204:根据所述至少一个第二安全参数对所述第一节点组中至少一个组内节点进行第二认证,得到第二认证结果,发送所述第二认证结果至所述网络侧,使得所述网络侧基于所述第二认证的认证结果进行处理。
这里,所述网络侧可以至少具备两种设备或者单元,一种为至少能够进行认证以及安全参数生成的设备或者单元,比如可以由HSS提供该功能;另一种为至少能够与节点建立连接的设备或者单元,比如,可以由MME或者SGSN提供这种功能。
另外,本实施例中所述第一节点组可以来自物联网,也就是说,物联网中可以存在有由多个节点组成的节点组,在这个节点组中包括有一个代理节点用于与网络侧建立连接并且与网络侧进行数据交互,节点组中除去代理节点的其他节点作为组内节点。比如,第一节点组中的各个节点的拓扑连接方式可以为星形、环形、树形或者混合型等连接方式。
所述代理节点的标识信息可以为所述代理节点的IMSI,所述第一安全参数可以包括:进行第一认证所需的参数,以及第一待验证值。
上述步骤中,所述根据所述至少一个第二安全参数对所述第一节点组中至少一个组内节点进行第二认证,得到第二认证结果,包括:
将所述第二安全参数中的第二认证所需的参数逐个发送给对应的组内节点,并且保留所述第二安全参数中的对应的组内节点的标识信息以及第二待验证值;以使得所述组内节点根据所述第二认证所需的参数进行验证并同时产生独立会话的密钥和第二验证值;
接收到组内节点反馈的第二验证值;
基于所述第二验证值以及保留的所述第二待验证值对组内节点进行第二认证,得到第二认证结果;其中,所述第二认证结果中包括认证通过的组内节点的标识信息,和/或,认证未通过的组内节点的标识信息。
本实施例结合实际操作场景进行详细描述,假设网络侧为核心网侧,具体参与处理的包括有HLR/HSS或者MME/SGSN;代理节点通过接入网与核心网建立连接,如图3所示,具体包括:
步骤300.(前提)假设组内节点与组代理节点已经完成认证并相互建立安全通道。
步骤301.组代理节点与网络侧进行认证,向网络侧发起认证请求;
步骤302.网络侧按照1对1认证流程执行,但在HSS计算参数时,根据组代理节点ID确认将要认证的为一个组,则在产生组代理节点认证向量的同时,基于组代理节点ID获取到所有相关组内节点的ID和根密钥,并按照一对一认证的方式产生相应的第一安全参数;其中,节点的ID可以为IMSI;
步骤303.HSS将参数传递给MME/SGSN。MME/SGSN向组代理节点发起一对一的认证流程。
步骤304.组代理节点与MME/SGSN完成第一认证以及算法协商成功建立连接。
步骤305.MME/SGSN在连接建立后,向组代理节点推送组内节点进行第二认证所需的参数以及第二待验证值(XRES);
步骤306.组代理节点将认证所需参数转发给各组内节点,保留第二待验证值。
步骤307.组内节点按照一对一的认证流程对参数进行验证,从而完成组内节点对网络侧的认证,并同时产生用于进行独立会话的密钥以及第二验证值;比如,其中所述第二验证值可以表示为RES;
步骤308.组内节点向组代理节点反馈第二验证值。
步骤309.组代理节点利用第二待验证值一一检验组内节点信息,从而代表网络侧MME/SGSN认证组内节点,具体的,可以为判断RES与XRES是否相等;组代理节点得到第二认证结果,可以为将认证通过的组内节点ID列表,并告知MME/SGSN。
步骤310.MME/SGSN收到组代理发送第二认证结果,基于第二认证结果进行处理,比如,第二认证结果中包括有组内节点ID列表,MME或SGSN完成MME/SGSN与组内节点的认证,并保留通过认证的节点信息和密钥等安全参数,丢弃未通过认证的节点的信息。
可见,采用上述方案,就能够在收到组代理节点的认证请求后,产生针对组代理节点的安全参数用于进行第一认证,还能够产生与之相关的组内节点的第二安全参数用于进行第二认证,当第一认证通过时,将第二安全参数发送给代理节点,使得代理节点基于第二安全参数对组内节点完成第二认证,并能够第二认证的结果对代理节点所在的第一节点组进行处理;如此,保证能够控制针对节点组的组内节点验证网络身份,避免了存在伪基站攻击的可能性,提升了系统的安全性能。
实施例三、
本发明实施例提供了一种节点认证系统,如图4所示,所述系统包括:
第一处理单元41,用于接收到第一节点组的代理节点发来的认证请求;其中,所述认证请求中至少包括有所述代理节点的标识信息;所述第一节点组中包括有所述代理节点以及至少一个组内节点;基于所述认证请求中代理节点的标识信息,确定所述代理节点所在第一节点组的第一安全参数,并且确定至少一个组内节点对应的至少一个第二安全参数;基于所述第一安全参数对所述代理节点完成第一认证,并控制第二处理单元与所述代理节点备建立连接;
第二处理单元42,用于与代理节点建立连接,并通过所述连接发送至少一个第二安全参数至所述代理节点,基于所述第二认证结果对所述第一节点组进行处理。
这里,所述认证系统位于网络侧,比如可以为核心网。可以至少具备两种设备或者单元,第一处理单元41可以为归属签约用户服务器(Home SubscriberServer,HSS);另一种为至少能够与节点建立连接的设备或者单元,比如,第二处理单元42可以为移动管理单元(MME,Mobility Management Entity),或者,服务GPRS支持节点(SGSN,Serving GPRS Support Node)。
另外,本实施例中所述第一节点组可以来自物联网,也就是说,物联网中可以存在有由多个节点组成的节点组,在这个节点组中包括有一个代理节点用于与网络侧建立连接并且与网络侧进行数据交互,节点组中除去代理节点的其他节点作为组内节点。比如,第一节点组中的各个节点的拓扑连接方式可以为星形、环形、树形或者混合型等连接方式。
所述基于所述认证请求中代理节点的标识信息,确定所述代理节点所在第一节点组的第一安全参数中,所述代理节点的标识信息可以为所述代理节点的国际移动用户识别码(IMSI,International Mobile Subscriber IdentificationNumber),所述第一安全参数可以包括:进行第一认证所需的参数,以及第一待验证值;其中,所述第一认证所需的参数可以包括有多个数值,比如,可以有RAND、AUTN等值;所述第一待验证值可以表示为XRES。
上述步骤中,所述第一处理单元41,具体用于基于所述认证请求中的代理节点的标识信息,确定所述代理节点所在的第一节点组;基于所述第一节点组对应的预设组信息,获取到所述第一节点组中除去所述代理节点之外的至少一个组内节点对应的标识信息、以及所述至少一个组内节点对应的第二安全参数。
所述至少一个组内节点对应的第二安全参数可以为:每一个不同的组内节点均对应与自身标识信息相关的第二安全参数,也就是说每一个第二安全参数相互可以不同。
进一步地,所述第一节点组中的预设组信息中可以包括有:
组内节点的标识信息,以及每一个组内节点对应的预设的第二安全参数;
或者,仅包括有每组内节点的标识信息;相应的,获取到第二安全参数的方式可以为网络侧根据所述标识信息进行计算得到。其中,所述计算方式可以为根据实际情况进行设置。
可以理解的是,所述第二安全参数与所述第一安全参数的组成结构可以相同,即也包括有第二认证所需的参数,以及第二待验证值。
优选地,所述第二认证结果包括:认证通过的组内节点对应的标识信息,和/或,认证未通过的组内节点对应的标识信息;相应的,所述第一处理单元41,具体用于基于所述第二认证结果,控制保留第一节点组中认证通过的组内节点的信息,删除第一节点组中认证未通过的组内节点的信息。
其中,所述保留第一节点组中认证通过的组内节点的信息可以为保留所述认证通过的组内节点在网络侧记录的标识信息,还可以进一步包括有所述认证通过的组内节点的第二安全参数;相应的,删除第一节点组中认证未通过的组内节点的信息可以为删除该组内节点在网络侧保存的全部信息,至少包括有其标识信息以及其对应的第二安全参数。
通过采用上述方案,能够在假设组内节点与组代理节点完成相互认证并相互建立安全隧道的前提下,组代理节点先与网络侧进行双向认证,网络侧在认证流程中,不仅产生组代理节点的认证信息,还同时产生组内节点的认证信息并暂存在网络认证实体网元上;组代理节点与网络侧完成认证并建立起安全隧道后,网络认证实体网元将组内节点认证所需必要信息通过安全隧道传送给组代理节点。组代理节点代表网络侧转发认证信息并对组内节点进行网络侧的认证,然后将认证结果传递给网络侧。在组内节点认证过程中,组内节点即可产生强度较高的通信会话密钥。
可见,采用上述方案,就能够在收到组代理节点的认证请求后,产生针对组代理节点的安全参数用于进行第一认证,还能够产生与之相关的组内节点的第二安全参数用于进行第二认证,当第一认证通过时,将第二安全参数发送给代理节点,使得代理节点基于第二安全参数对组内节点完成第二认证,并能够第二认证的结果对代理节点所在的第一节点组进行处理;如此,保证能够控制针对节点组的组内节点验证网络身份,避免了存在伪基站攻击的可能性,提升了系统的安全性能。
实施例四、
本发明实施例提供了一种代理节点,如图5所示,包括:
通信单元51,用于向网络侧发送认证请求,其中,所述认证请求中至少包括有所述代理节点的标识信息;基于第一安全参数与所述网络侧完成第一认证之后,与所述网络侧建立连接;通过所述连接接收到网络侧发来的至少一个第二安全参数;
管理单元52,用于根据所述至少一个第二安全参数对所述第一节点组中至少一个组内节点进行第二认证,得到第二认证结果,发送所述第二认证结果至所述网络侧。
本实施例中所述第一节点组可以来自物联网,也就是说,物联网中可以存在有由多个节点组成的节点组,在这个节点组中包括有一个代理节点用于与网络侧建立连接并且与网络侧进行数据交互,节点组中除去代理节点的其他节点作为组内节点。比如,第一节点组中的各个节点的拓扑连接方式可以为星形、环形、树形或者混合型等连接方式。
所述代理节点的标识信息可以为所述代理节点的IMSI,所述第一安全参数可以包括:进行第一认证所需的参数,以及第一待验证值。
上述步骤中,所述管理单元52,用于将所述第二安全参数中的第二认证所需的参数逐个发送给对应的组内节点,并且保留所述第二安全参数中的对应的组内节点的标识信息以及第二待验证值;以使得所述组内节点根据所述第二认证所需的参数进行验证并同时产生独立会话的密钥和第二验证值;接收到组内节点反馈的第二验证值;基于所述第二验证值以及保留的所述第二待验证值对组内节点进行第二认证,得到第二认证结果;其中,所述第二认证结果中包括认证通过的组内节点的标识信息,和/或,认证未通过的组内节点的标识信息。
可见,采用上述方案,就能够在收到组代理节点的认证请求后,产生针对组代理节点的安全参数用于进行第一认证,还能够产生与之相关的组内节点的第二安全参数用于进行第二认证,当第一认证通过时,将第二安全参数发送给代理节点,使得代理节点基于第二安全参数对组内节点完成第二认证,并能够第二认证的结果对代理节点所在的第一节点组进行处理;如此,保证能够控制针对节点组的组内节点验证网络身份,避免了存在伪基站攻击的可能性,提升了系统的安全性能。
本发明实施例所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、基站、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。这样,本发明实施例不限制于任何特定的硬件和软件结合。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (10)
1.一种节点认证方法,其特征在于,所述方法包括:
接收到第一节点组的代理节点发来的认证请求;其中,所述认证请求中至少包括有所述代理节点的标识信息;所述第一节点组中包括有所述代理节点以及至少一个组内节点;
基于所述认证请求中代理节点的标识信息,确定所述代理节点所在第一节点组的第一安全参数,并且确定至少一个组内节点对应的至少一个第二安全参数;
基于所述第一安全参数对所述代理节点完成第一认证,并控制与所述代理节点备建立连接;
通过所述连接发送至少一个第二安全参数至所述代理节点,使得所述代理节点根据所述至少一个第二安全参数对所述第一节点组中至少一个组内节点进行第二认证,得到第二认证结果;
基于所述第二认证结果对所述第一节点组进行处理。
2.根据权利要求1所述的方法,其特征在于,所述确定至少一个组内节点对应的至少一个第二安全参数,包括:
基于所述认证请求中的代理节点的标识信息,确定所述代理节点所在的第一节点组;
基于所述第一节点组对应的预设组信息,获取到所述第一节点组中除去所述代理节点之外的至少一个组内节点对应的标识信息以及所述至少一个组内节点对应的至少一个第二安全参数。
3.根据权利要求1所述的方法,其特征在于,所述第二认证结果包括:认证通过的组内节点对应的标识信息,和/或,认证未通过的组内节点对应的标识信息;
相应的,所述基于所述第二认证结果对所述第一节点组中的代理节点以及至少一个组内节点进行处理,包括:
基于所述第二认证结果,控制保留第一节点组中认证通过的组内节点的信息,删除第一节点组中认证未通过的组内节点的信息。
4.一种节点认证方法,应用于代理节点,所述代理节点设置于第一节点组中,所述第一节点组中除去所述代理节点还包括有至少一个组内节点;其特征在于,所述方法包括:
向网络侧发送认证请求,其中,所述认证请求中至少包括有所述代理节点的标识信息;
基于第一安全参数与所述网络侧完成第一认证之后,与所述网络侧建立连接;
通过所述连接接收到网络侧发来的至少一个第二安全参数;
根据所述至少一个第二安全参数对所述第一节点组中至少一个组内节点进行第二认证,得到第二认证结果,发送所述第二认证结果至所述网络侧,使得所述网络侧基于所述第二认证的认证结果进行处理。
5.根据权利要求4所述的方法,其特征在于,所述根据所述至少一个第二安全参数对所述第一节点组中至少一个组内节点进行第二认证,得到第二认证结果,包括:
将所述第二安全参数中的第二认证所需的参数逐个发送给对应的组内节点,并且保留所述第二安全参数中的对应的组内节点的标识信息以及第二待验证值;
接收到组内节点反馈的第二验证值;
基于所述第二验证值以及保留的所述第二待验证值对组内节点进行第二认证,得到第二认证结果。
6.一种节点认证系统,其特征在于,所述系统包括:
第一处理单元,用于接收到第一节点组的代理节点发来的认证请求;其中,所述认证请求中至少包括有所述代理节点的标识信息;所述第一节点组中包括有所述代理节点以及至少一个组内节点;基于所述认证请求中代理节点的标识信息,确定所述代理节点所在第一节点组的第一安全参数,并且确定至少一个组内节点对应的至少一个第二安全参数;基于所述第一安全参数对所述代理节点完成第一认证,并控制第二处理单元与所述代理节点备建立连接;
第二处理单元,用于与代理节点建立连接,并通过所述连接发送至少一个第二安全参数至所述代理节点,基于所述第二认证结果对所述第一节点组进行处理。
7.根据权利要求6所述的系统,其特征在于,所述第一处理单元,具体用于基于所述认证请求中的代理节点的标识信息,确定所述代理节点所在的第一节点组;基于所述第一节点组对应的预设组信息,获取到所述第一节点组中除去所述代理节点之外的至少一个组内节点对应的标识信息以及所述至少一个组内节点对应的至少一个第二安全参数。
8.根据权利要求6所述的系统,其特征在于,所述第二认证结果包括:认证通过的组内节点对应的标识信息,和/或,认证未通过的组内节点对应的标识信息;
相应的,所述第二处理单元,具体用于基于所述第二认证结果,控制保留第一节点组中认证通过的组内节点的信息,删除第一节点组中认证未通过的组内节点的信息。
9.一种代理节点,其特征在于,所述代理节点包括:
通信单元,用于向网络侧发送认证请求,其中,所述认证请求中至少包括有所述代理节点的标识信息;基于第一安全参数与所述网络侧完成第一认证之后,与所述网络侧建立连接;通过所述连接接收到网络侧发来的至少一个第二安全参数;
管理单元,用于根据所述至少一个第二安全参数对所述第一节点组中至少一个组内节点进行第二认证,得到第二认证结果,发送所述第二认证结果至所述网络侧。
10.根据权利要求9所述的代理节点,其特征在于,所述管理单元,用于将所述第二安全参数中的第二认证所需的参数逐个发送给对应的组内节点,并且保留所述第二安全参数中的对应的组内节点的标识信息以及第二待验证值;接收到组内节点反馈的第二验证值;基于所述第二验证值以及保留的所述第二待验证值对组内节点进行第二认证,得到第二认证结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510708883.6A CN106612205B (zh) | 2015-10-27 | 2015-10-27 | 一种节点认证方法、系统及代理节点 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510708883.6A CN106612205B (zh) | 2015-10-27 | 2015-10-27 | 一种节点认证方法、系统及代理节点 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106612205A true CN106612205A (zh) | 2017-05-03 |
| CN106612205B CN106612205B (zh) | 2019-12-06 |
Family
ID=58614299
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510708883.6A Active CN106612205B (zh) | 2015-10-27 | 2015-10-27 | 一种节点认证方法、系统及代理节点 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106612205B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102238146A (zh) * | 2010-04-27 | 2011-11-09 | 中国移动通信集团公司 | 认证方法、装置、认证中心及系统 |
| CN102469458A (zh) * | 2010-11-19 | 2012-05-23 | 中兴通讯股份有限公司 | 一种m2m通信中的组认证方法和系统 |
| CN102932790A (zh) * | 2012-10-31 | 2013-02-13 | 江苏博智软件科技有限公司 | 一种基于移动通信网络的物联网安全认证方法 |
| CN103596167A (zh) * | 2013-10-25 | 2014-02-19 | 西安电子科技大学 | 基于代理的机器类型通信认证和密钥协商方法 |
| US20140233736A1 (en) * | 2011-11-01 | 2014-08-21 | Huawei Technologies Co., Ltd. | Method and related device for generating group key |
-
2015
- 2015-10-27 CN CN201510708883.6A patent/CN106612205B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102238146A (zh) * | 2010-04-27 | 2011-11-09 | 中国移动通信集团公司 | 认证方法、装置、认证中心及系统 |
| CN102469458A (zh) * | 2010-11-19 | 2012-05-23 | 中兴通讯股份有限公司 | 一种m2m通信中的组认证方法和系统 |
| US20140233736A1 (en) * | 2011-11-01 | 2014-08-21 | Huawei Technologies Co., Ltd. | Method and related device for generating group key |
| CN102932790A (zh) * | 2012-10-31 | 2013-02-13 | 江苏博智软件科技有限公司 | 一种基于移动通信网络的物联网安全认证方法 |
| CN103596167A (zh) * | 2013-10-25 | 2014-02-19 | 西安电子科技大学 | 基于代理的机器类型通信认证和密钥协商方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106612205B (zh) | 2019-12-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101772020B (zh) | 鉴权处理方法和系统、3gpp认证授权计费服务器及用户设备 | |
| EP2566204B1 (en) | Authentication method and device, authentication centre and system | |
| US8571223B2 (en) | Method for combining authentication and secret keys management mechanism in a sensor network | |
| CN108809637B (zh) | 基于混合密码的lte-r车-地通信非接入层认证密钥协商方法 | |
| US20180034635A1 (en) | GPRS System Key Enhancement Method, SGSN Device, UE, HLR/HSS, and GPRS System | |
| CN103988480B (zh) | 用于认证的系统和方法 | |
| CN106161032A (zh) | 一种身份认证的方法及装置 | |
| CN103201998A (zh) | 用于保护移动装置中的本地资源的数据处理 | |
| WO2012159272A1 (en) | Performing a group authentication and key agreement procedure | |
| CN106850680A (zh) | 一种用于轨道交通设备的智能身份认证方法及装置 | |
| CN106488453A (zh) | 一种portal认证的方法及系统 | |
| CN106714152A (zh) | 密钥分发和接收方法、第一密钥管理中心和第一网元 | |
| CN106921663A (zh) | 基于智能终端软件/智能终端的身份持续认证系统及方法 | |
| CN107205208A (zh) | 鉴权的方法、终端和服务器 | |
| CN103297224A (zh) | 密钥信息分发方法及相关设备 | |
| CN108347353A (zh) | 网络配置方法、装置及系统 | |
| CN108076016A (zh) | 车载设备之间的认证方法及装置 | |
| CN103906051B (zh) | 一种接入lte网络的方法、系统和装置 | |
| CN102595401B (zh) | 一种检测uicc和设备是否配对的方法和系统 | |
| CN105792095A (zh) | 用于mtc分组通信的密钥协商方法、系统及网络实体 | |
| CN104486322B (zh) | 终端接入认证授权方法及终端接入认证授权系统 | |
| CN108259486A (zh) | 基于证书的端到端密钥交换方法 | |
| CN103781026B (zh) | 通用认证机制的认证方法 | |
| CN106856604A (zh) | Nas附着系统和方法 | |
| CN107786978B (zh) | 基于量子加密的nfc认证系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |