CN108737432B - IoT场景下基于混淆的分布式认证方法、装置及系统 - Google Patents
IoT场景下基于混淆的分布式认证方法、装置及系统 Download PDFInfo
- Publication number
- CN108737432B CN108737432B CN201810524821.3A CN201810524821A CN108737432B CN 108737432 B CN108737432 B CN 108737432B CN 201810524821 A CN201810524821 A CN 201810524821A CN 108737432 B CN108737432 B CN 108737432B
- Authority
- CN
- China
- Prior art keywords
- confusion
- function
- verification
- base station
- verification code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种IoT场景下基于混淆的分布式认证方法及系统,联网终端设备用于通过网络与分布式认证节点或基站连接,联网终端设备内存储有MAC函数和对称秘钥K,并可计算MAC,并将设备标识、业务标识、MAC以及用于MAC计算的参数的至少一项发送至分布式认证节点或基站;分布式认证节点或基站用于通过网络接收联网终端设备发送的信息,根据设备标识确定验证混淆函数f1,输入MAC以及计算MAC用到的参数,若函数f1输出1,则代表验证通过;若输出0,则代表验证不通过;密码混淆管理网元根据对称密钥K,计算基于对称密钥K的MAC验证混淆函数f1,实现为验证MAC计算是否正确,同时发送设备标识和函数f1至分布式认证节点或基站。
Description
技术领域
本发明公开一种分布式认证方法,特别是一种IoT场景下基于混淆的分布式认证方法、装置及系统。
背景技术
未来是一个物联网(即IoT)的时代,将会有海量的设备部署在现有网络中。另外,物联网也是5G的一个重要场景,因此将会有海量的IoT设备接入5G的网络。物联网支撑的业务包括车联网、传感器网络等业务形式,其最大的特征为,更多低成本设备的部署。从安全的角度考虑,海量设备的接入也会带来更大的安全挑战。
传统移动通信(如LTE),每个智能终端就是一个设备,其内的USIM(UniversalSubscriber Identity Module,全球用户身份模块)存储着一个安全密钥K,而核心网的HSS(Home Subscriber Server,归属用户服务器)存储相同的安全密钥K,并且都可以通过UE(User Equipment,用户设备)的标识IMSI(International Mobile SubscriberIdentification Number,国际移动用户识别码)进行检索。
请参看附图1,图1为LTE网络中UE的认证方式。由图1中可以看到,UE与HSS共享对称密钥K。首先UE发送IMSI至RAN(Radio Access Network,无线接入网络基站),并由RAN发送IMSI至MME(Mobility Management Entity,,移动管理单元,LTE接入网络的关键控制节点),之后MME发送认证向量请求至HSS,所述认证向量请求包括IMSI,HSS根据IMSI确定对称密钥K,并计算认证向量,然后发送认证向量至MME,之后MME利用认证向量执行与UE的双向认证,从而验证UE是否合法。可以看出,传统LTE的认证方式要求每次认证都需要HSS的参与,另外,执行认证的主题为核心控制网元MME。
请参看附图2,图2为直接采用传统LTE方式的IoT网络认证框架图,从图2中可以看到,若每个IoT device都直接采用移动通信的认证方式,将会对HSS造成海量的信令,以及安全操作的冲击,对运营商核心网造成负担,主要原因为,每次认证都会向HSS发送认证向量请求。
常规的基于与LTE方式类似的对称认证技术,虽然对称认证与传统移动通信的安全流程类似,方案也比较简单,但是容易造成核心网的信令风暴。不利于海量IoT网络的部署。
现有技术中,还存在有基于证书类似的非对称认证技术,即每个IoT device都分发了公私钥对(PK,SK),同时被颁发了PK的证书(cert);此时通过在RAN侧部署验证证书Cert的公钥,即可完成对于IoT设备的验证,基本流程为,IoT device利用SK对消息m计算签名(即Sign);并发送cert、PK、m和Sign至RAN;RAN首先验证Cert的正确性,若验证Cert通过,则相信PK为所述IoT device的公钥,再使用PK验证Sign,若Sign也验证通过,则相信消息m为合法的IoT device发送。
上述基于非对称认证的方式支持分布式的认证方式,即任意分布式的节点(如RAN)通过简单的配置都可以执行对于IoT Device的认证,但是,为了确保PK与IoT device身份的绑定,需要Cert的参与,此时运营商必须要部署所有PKI基础设备才可,因此,此方式将会提供整体安全管理的复杂度。
发明内容
针对上述提到的现有技术中的联网设备部署在现有网络中认证方法复杂度高或核心网通信压力大的缺点,本发明提供一种IoT场景下基于混淆的分布式认证方法及系统,其采用混淆函数进行MAC认证,可实现单向验证的效果,简化认证方法复杂度。
本发明解决其技术问题采用的技术方案是:一种IoT场景下基于混淆的分布式认证系统,认证系统包括终端设备、分布式认证节点或基站以及密码混淆管理网元,
所述的密码混淆管理网元存储有对称秘钥,并根据对称秘钥,计算基于对称秘钥的消息验证码验证混淆函数f1,实现功能为验证消息验证码计算是否正确,同时发送设备标识和验证混淆函数f1至分布式认证节点或基站;
所述的终端设备用于通过网络与所述分布式认证节点或所述基站连接,终端设备内存储有消息验证码函数和对称秘钥,并可根据消息验证码函数、所述对称密钥、终端设备标识、业务标识、以及新鲜参数计算消息验证码,并将设备标识、业务标识、消息验证码以及用于消息验证码计算的新鲜参数发送至所述分布式认证节点或所述基站;
所述分布式认证节点或基站用于通过网络接收终端设备发送的信息,根据设备标识确定验证混淆函数f1,输入消息验证码以及计算消息验证码用到的参数,若验证混淆函数f1的输出为1,则代表验证通过;若验证混淆函数f1的输出为0,则代表验证不通过。
一种IoT场景下基于混淆的分布式认证系统中的密码混淆管理网元,密码混淆管理网元包括混淆控制单元、混淆存储单元和混淆网络传输单元,混淆存储单元用于存储对称秘钥,并能将对称秘钥传输给混淆控制单元,所述的混淆控制单元用于根据对称密钥计算消息验证码验证混淆函数f1,实现功能为验证消息验证码计算是否正确,所述的混淆网络传输单元与混淆控制单元连接,混淆网络传输单元用于将设备标识和验证混淆函数f1发送至分布式认证节点或基站。
一种与上述的密码混淆管理网元配合使用的终端设备,终端设备包括终端网络传输单元、终端存储单元和终端控制单元,所述的终端存储单元用于存储消息验证码函数和对称秘钥,终端存储单元与终端控制单元连接,所述的终端控制单元用于根据消息验证码函数、所述对称密钥、终端设备标识、业务标识、以及新鲜参数计算消息验证码,所述的终端网络传输单元与终端控制单元连接,终端网络传输单元用于将设备标识、业务标识、消息验证码以及用于消息验证码计算的新鲜参数发送至分布式认证节点或所述基站。
一种与上述的密码混淆管理网元配合使用的分布式认证节点,分布式认证节点包括节点网络传输单元和节点混淆验证单元,节点网络传输单元与节点混淆验证单元连接,所述的节点网络传输单元用于接收终端设备发送的信息,所述的节点混淆验证单元用于根据设备标识确定验证混淆函数f1,输入消息验证码以及计算消息验证码用到的参数,通过验证混淆函数f1对消息验证码进行验证。
一种IoT场景下基于混淆的分布式认证装置,认证装置包括密码混淆管理网元、终端设备和分布式认证节点或基站,所述的密码混淆管理网元包括混淆控制单元、混淆存储单元和混淆网络传输单元,混淆存储单元用于存储对称秘钥,并能将对称秘钥传输给混淆控制单元,所述的混淆控制单元用于根据对称密钥计算消息验证码验证混淆函数f1,实现功能为验证消息验证码计算是否正确,所述的混淆网络传输单元与混淆控制单元连接,混淆网络传输单元用于将设备标识和验证混淆函数f1发送至分布式认证节点或基站;所述的终端设备包括终端网络传输单元、终端存储单元和终端控制单元,所述的终端存储单元用于存储消息验证码函数和对称秘钥,终端存储单元与终端控制单元连接,所述的终端控制单元用于根据消息验证码函数、所述对称密钥、终端设备标识、业务标识、以及新鲜参数计算消息验证码,所述的终端网络传输单元与终端控制单元连接,终端网络传输单元用于将设备标识、业务标识、消息验证码以及用于消息验证码计算的新鲜参数发送至分布式认证节点或所述基站;分布式认证节点或基站包括节点网络传输单元和节点混淆验证单元,节点网络传输单元与节点混淆验证单元连接,所述的节点网络传输单元用于接收终端设备发送的信息,所述的节点混淆验证单元用于根据设备标识确定验证混淆函数f1,输入消息验证码以及计算消息验证码用到的参数,通过验证混淆函数f1对消息验证码进行验证。
一种利用如上述的IoT场景下基于混淆的分布式认证系统的IoT场景下基于混淆的分布式认证方法,该认证方法包括下述步骤:
步骤1:终端设备根据消息验证码函数、所述对称密钥、终端设备标识、业务标识、以及新鲜参数计算消息验证码,终端设备发送设备标识、消息验证码以及用于消息验证码计算的新鲜参数至分布式认证节点或基站;
步骤2:分布式认证节点或基站基于设备标识确定验证混淆函数f1,输入消息验证码以及终端设备标识、业务标识以及新鲜参数,若验证混淆函数f1的输出为1,则代表验证通过,若验证混淆函数f1的输出为0,则代表验证不通过。
本发明解决其技术问题采用的技术方案进一步还包括:
所述新鲜参数为time、nonce、SQN和counter的至少一项。
所述的终端设备为IoT设备或UE。
采用基站时,消息验证码验证混淆函数f1输入还包括基站标识,验证混淆函数f1输出为0或者1。
所述的终端设备计算消息验证码还需要用到基站标识,所述终端设备获得基站标识的方式为基站广播自己的标识信息,当终端设备接入基站时获得;或者基站标识预置在终端设备内。
本发明的有益效果是:本发明与传统方法不同,基于混淆的分布式对称认证方法,分布式认证节点仅需部署混淆后的MAC验证程序;而设备则跟普通对称密钥机制相同,仅需要存储一个对称密钥即可。方案满足分布式节点在没有对称密钥K的情况下也可以验证设备的接入认证。
下面将结合附图和具体实施方式对本发明做进一步说明。
附图说明
图1为现有技术中LTE网络中UE的认证方式示意图。
图2为直接采用传统LTE方式的IoT网络认证框架图。
图3为本发明实施例一认证方法的基本流程图。
图4为本发明实施例二认证方法的基本流程图。
图5为本发明实施例三认证方法的基本流程图。
图6为本发明实施例四认证方法的基本流程图。
具体实施方式
本实施例为本发明优选实施方式,其他凡其原理和基本结构与本实施例相同或近似的,均在本发明保护范围之内。
本发明中所涉及到的混淆技术,混淆(Obfuscation)就是将一段可执行程序转换成另一段不可理解的程序的过程,转换过后的程序能保持原程序的功能性,但不泄露其秘密信息。也就是说,混淆之后的程序能被当作一个黑盒使用,不会泄露黑盒中的任何信息。具体的说,即任何能从混淆之后的程序中获得的信息,都可以通过对原程序的预言访问得到,因此混淆程序和一个真正的黑盒不可区分。目前,基于多线性映射以及全同态加密技术,已经实现了对任意多项式规模电路的不可区分混淆(IndistinguishableObfuscation)。
本发明中所采用的消息验证码(即MAC),是一种安全验证机制,基于安全密钥进行计算,例如MAC1=MAC_K_(m),代表利用密钥K计算消息m的消息验证码MAC1。若需要验证MAC1的正确性,则通过K和m再次进行消息验证码的计算,得到MAC2,若MAC1与MAC2相同,则代表之前的MAC1是正确合法的。
本发明为一种IoT场景下基于混淆的分布式认证系统,该认证系统包括联网终端设备、分布式认证节点或基站以及密码混淆管理网元,联网终端设备用于通过网络与分布式认证节点或基站连接,联网终端设备内存储有MAC函数(MAC函数是一个基于对称密钥K的消息验证码函数计算,这种MAC函数已有非常多成熟的方案,本发明中选取常用的MAC函数即可)以及对称秘钥K,并可根据存储的函数计算MAC=MAC_K_(设备标识和(time、nonce、SQN和counter的至少一项)),并将设备标识、业务标识、MAC函数以及用于MAC计算的time、nonce、SQN和counter的至少一项发送至分布式认证节点或基站;分布式认证节点或基站用于通过网络接收联网终端设备发送的信息,分布式认证节点或基站内存储有与MAC函数对应的验证混淆函数f1(本实施例中的验证混淆函数f1的含义是指原本有一个函数f_k_((MAC,设备标识等计算MAC需要的参数),基站标识),此函数是基于对称密钥K的消息验证码的验证函数,作用是为了验证消息验证码是否正确。现在把这个函数f_k用混淆技术(常规的混淆技术)处理一下,就是验证混淆函数f1=IO(f_k),IO就代表混淆处理的过程,现在也已有成熟的技术来实现混淆处理的过程,本发明中可选用常规的混淆技术进行处理。混淆处理之后生成的函数f1就称为验证混淆函数,验证混淆函数f1的功能和验证函数f_k是一模一样的,也就是说验证混淆函数f1也是实现消息验证码的验证功能。但是基于混淆处理的特性,f1将f_k中的秘密信息,也就是对称密钥K隐藏起来了,现在任何一个设备,只要内置了验证混淆函数f1,就可以验证消息验证码,但是无法得知对称密钥K),分布式认证节点或基站根据接收到的设备发来的信息中的设备标识确定相应的验证混淆函数f1,输入MAC以及计算MAC用到的参数,若验证混淆函数f1输出为1,则代表验证通过;若验证混淆函数f1输出为0,则代表验证不通过;密码混淆管理网元根据对称密钥K,计算基于对称密钥K的MAC验证混淆函数f1,实现功能为验证MAC计算是否正确,同时发送设备标识和验证混淆函数f1至分布式认证节点或基站。本实施例中,联网终端设备为IoT设备或UE。
上述IoT场景下基于混淆的分布式认证系统中的密码混淆管理网元包括混淆控制单元、混淆存储单元和混淆网络传输单元,混淆存储单元用于存储对称秘钥,并能将对称秘钥传输给混淆控制单元,所述的混淆控制单元用于根据对称密钥计算消息验证码验证混淆函数f1,实现功能为验证消息验证码计算是否正确,所述的混淆网络传输单元与混淆控制单元连接,混淆网络传输单元用于将设备标识和验证混淆函数f1发送至分布式认证节点或基站。
上述IoT场景下基于混淆的分布式认证系统中的终端设备包括终端网络传输单元、终端存储单元和终端控制单元,所述的终端存储单元用于存储消息验证码函数和对称秘钥,终端存储单元与终端控制单元连接,所述的终端控制单元用于根据消息验证码函数、所述对称密钥、终端设备标识、业务标识、以及新鲜参数计算消息验证码,所述的终端网络传输单元与终端控制单元连接,终端网络传输单元用于将设备标识、业务标识、消息验证码以及用于消息验证码计算的新鲜参数发送至分布式认证节点或所述基站。
上述IoT场景下基于混淆的分布式认证系统中的分布式认证节点包括节点网络传输单元和节点混淆验证单元,节点网络传输单元与节点混淆验证单元连接,所述的节点网络传输单元用于接收终端设备发送的信息,所述的节点混淆验证单元用于根据设备标识确定验证混淆函数f1,输入消息验证码以及计算消息验证码用到的参数,通过验证混淆函数f1对消息验证码进行验证。
本发明同时保护一种IoT场景下基于混淆的分布式认证装置,认证装置包括密码混淆管理网元、终端设备和分布式认证节点或基站,所述的密码混淆管理网元包括混淆控制单元、混淆存储单元和混淆网络传输单元,混淆存储单元用于存储对称秘钥,并能将对称秘钥传输给混淆控制单元,所述的混淆控制单元用于根据对称密钥计算消息验证码验证混淆函数f1,实现功能为验证消息验证码计算是否正确,所述的混淆网络传输单元与混淆控制单元连接,混淆网络传输单元用于将设备标识和验证混淆函数f1发送至分布式认证节点或基站;所述的终端设备包括终端网络传输单元、终端存储单元和终端控制单元,所述的终端存储单元用于存储消息验证码函数和对称秘钥,终端存储单元与终端控制单元连接,所述的终端控制单元用于根据消息验证码函数、所述对称密钥、终端设备标识、业务标识、以及新鲜参数计算消息验证码,所述的终端网络传输单元与终端控制单元连接,终端网络传输单元用于将设备标识、业务标识、消息验证码以及用于消息验证码计算的新鲜参数发送至分布式认证节点或所述基站;分布式认证节点或基站包括节点网络传输单元和节点混淆验证单元,节点网络传输单元与节点混淆验证单元连接,所述的节点网络传输单元用于接收终端设备发送的信息,所述的节点混淆验证单元用于根据设备标识确定验证混淆函数f1,输入消息验证码以及计算消息验证码用到的参数,通过验证混淆函数f1对消息验证码进行验证。
本发明为一种IoT场景下基于混淆的分布式认证方法,其包括下述步骤:
步骤1:联网终端设备计算MAC=MAC_K_(设备标识、业务标识、m和(time、nonce、SQN和counter的至少一项)),本实施例中,业务标识可以选择包含,也可以选择不包含在内。消息m代表联网终端设备希望发送的消息,若仅认证的话,联网终端设备也可以不发消息m。联网终端设备发送设备标识、业务标识、MAC以及用于MAC计算的time(时间值)、nonce(随机数)、SQN(序列号)和counter(计数值)的至少一项至分布式认证节点或基站。若MAC计算未使用业务标识,则设备也可以不发送业务标识。另外,若SQN或counter为设备与分布式节点或基站同时保存的计数器,也可以不发。
步骤2:分布式认证节点或基站基于设备标识确定验证混淆函数f1,并在验证混淆函数f1中输入MAC以及计算MAC用到的参数,若验证混淆函数f1的输出为1,则代表验证通过。若验证混淆函数f1的输出为0,则代表验证不通过。本实施例中,若采用基站时,MAC的验证混淆函数f1绑定基站的标识,使得此验证混淆函数仅用于此基站,则f1=IO(f_k_((MAC,设备标识等计算MAC需要的参数),基站标识)),本实施例中,IO为IndistinguishableObfuscation的简称,即不可区分混淆。输入MAC和MAC计算所需要的参数,输出为0或者1。此时联网终端设备计算MAC也需要用到基站标识,联网终端设备获得基站标识的方式可以为基站广播自己的标识信息,当联网终端设备接入基站时获得。也可能预置在联网终端设备内,此时被预置了基站标识的联网终端设备仅适用此基站标识对应的基站覆盖范围内。
步骤3:本实施例中,还可包括步骤3,即分布式认证节点发送认证结果至设备。
下面将以IoT设备作为联网终端设备为例结合几个具体实例对本发明进行具体说明,具体实施时,该方法也可以用于其他联网设备终端。
实施例一:
请参看附图3,本实施例的认证方法包括下述步骤:
步骤1:IoT设备计算MAC=MAC_K_(包括设备标识、业务标识、消息m、(time、nonce、SQN或counter的至少一项)),本实施例中,业务标识为可选项,消息m代表IoT device希望发送的消息,若仅认证的话,IoT device也可以不发消息m。
设备发送设备标识、业务标识、MAC以及用于MAC计算的(time、nonce、SQN和counter的至少一项)至分布式认证节点,若MAC计算未使用业务标识,则设备也可以不发送业务标识,另外,若SQN或counter为设备与分布式节点同时保存的计数器,也可以不发。
步骤2:分布式认证节点基于设备标识,确定验证混淆函数f1,并输入MAC以及计算MAC用到的参数,若验证混淆函数f1输出为1,则代表验证通过;若验证混淆函数f1输出为0,则代表验证不通过。
步骤3:分布式认证节点发送认证结果至设备。
本实施例的使用前提是,IoT device内保存设备标识和对称密钥K,也可能存储有业务标识。
步骤0:密码混淆管理网元,根据对称密钥K,计算基于对称密钥K的MAC验证混淆函数f1,实现功能为验证MAC计算是否正确,同时发送设备标识和验证混淆函数f1至分布式认证节点。
本实施例中的步骤3为可选步骤。
实施例二:
请参看附图4,本实施例的基本步骤与实施例一相同,不同之处在于本实施例的认证方法的基站中并没有预置针对对称密钥K的验证混淆函数,需通过发送请求至密码混淆管理网元,才可获得相应的验证混淆函数。
本实施例的认证方法包括下述步骤:
步骤1:IoT设备计算MAC=MAC_K_(包括设备标识、业务标识、消息m、(time、nonce、SQN或counter的至少一项)),本实施例中,业务标识可选,消息m代表IoT device希望发送的消息,若仅认证的话,IoT device也可以不发消息m。
设备发送设备标识、业务标识、MAC以及用于MAC计算的(time、nonce、SQN和counter的至少一项)至分布式认证节点,若MAC计算未使用业务标识,则设备也可以不发送业务标识,另外,若SQN或counter为设备与分布式节点同时保存的计数器,也可以不发。
步骤2:分布式认证节点在接收到IoT设备发送的请求后,发送设备标识至密码混淆管理网元。
步骤3:密码混淆管理网元首先根据设备标识确定对称密钥K,之后基于对称密钥K计算MAC验证混淆函数f1,并分发此验证混淆函数f1至分布式认证节点。
步骤4:分布式认证节点基于设备标识,确定验证混淆函数f1,并输入MAC以及计算MAC用到的参数,若验证混淆函数f1的输出为1,则代表验证通过;若验证混淆函数f1输出为0,则代表验证不通过。
步骤5:分布式认证节点发送认证结果至设备。
实施例三:
请参看附图5,本实施例为双向认证的模式,本实施例的基本步骤与实施例一相同,不同之处在于本实施例的认证方法密码混淆管理网元在第0步分配了基于对称秘钥K的MAC计算混淆函数,使得分布式认证节点也具有了MAC计算能力。
本实施例的认证方法包括下述步骤:
步骤0:计算基于对称秘钥K的MAC验证混淆函数与实施例一相同,密码混淆管理网元额外计算基于对称秘钥K的MAC计算混淆函数(该函数也采用常规的计算混淆函数)g=IO(g_K_(MAC计算所需要的参数))。所述计算混淆函数g的输入为MAC计算所需要的参数,输出为MAC2;
步骤1:IoT设备计算MAC=MAC_K_(包括设备标识、业务标识、消息m、(time、nonce、SQN或counter的至少一项)),本实施例中,业务标识可选,消息m代表IoT device希望发送的消息,若仅认证的话,IoT device也可以不发消息m。
设备发送设备标识、业务标识、MAC以及用于MAC计算的(time、nonce、SQN和counter的至少一项)至分布式认证节点,若MAC计算未使用业务标识,则设备也可以不发送业务标识,另外,若SQN或counter为设备与分布式节点同时保存的计数器,也可以不发。
步骤2:分布式认证节点基于设备标识,确定验证混淆函数f1,并输入MAC以及计算MAC用到的参数,若验证混淆函数f1的输出为1,则代表验证通过;若验证混淆函数f1输出为0,则代表验证不通过;基于函数g计算得到MAC2,MAC2计算所用到的参数包括:分布式认证节点标识、设备标识、业务标识以及新鲜参数(如随机选择的随机数,或者nonce,或者SQN),其中业务标识为可选,分布式认证节点标识为可选。
步骤3:分布式认证节点发送MAC2,以及计MAC用到的非共享参数(即分布式认证节点的特有参数,如:新鲜参数)等至IoT device;
步骤4:IoT Device基于对称函数K、新鲜参数以及设备标识,还可能包括业务标识或者分布式认证节点标识计算MAC2’,若MAC2’与MAC2相同,则验证分布式认证节点通过。
本实施例中,分布式认证节点还可采用如实施例二的方式通过请求获得f1和g。
实施例四:
请参看附图6,本实施例为基于5G场景的应用模式,分布式认证节点可以5G基站,本实施例的基本步骤与实施例一相同,不同之处在于本实施例的MAC验证混淆函数绑定基站的标识,使得此验证混淆函数f1仅用于此基站,即验证混淆函数f1=IO(f_k_((MAC,设备标识等计算MAC需要的参数)和基站标识))。输入MAC和MAC计算所需要的参数,输出为0或者1。
此时UE计算MAC也需要用到基站标识。UE获得基站标识的方式可以为基站广播自己的标识信息,当UE接入基站时获得。也可能预置在UE内,此时被预置了基站标识的UE仅适用此基站标识对应的基站覆盖范围内。
针对上述所有实施例还可能包括,计算MAC还可以用到网络标识;这里网络标识包括但不限于运营商标识、骨干网网络标识(如电信网络标识)等。例如UE内计算MAC以及验证混淆函数f1和g黑盒子中的计算。
本发明与传统方法不同,基于混淆的分布式对称认证方法,分布式认证节点仅需部署混淆后的MAC验证程序;而设备则跟普通对称密钥机制相同,仅需要存储一个对称密钥即可。本发明方案满足分布式节点在没有对称密钥K的情况下也可以验证设备的接入认证。
Claims (9)
1.一种IoT场景下基于混淆的分布式认证系统,其特征是:所述的认证系统包括终端设备、分布式认证节点或基站以及密码混淆管理网元,
所述的密码混淆管理网元存储有对称秘钥,并根据对称秘钥,计算基于对称秘钥的消息验证码验证混淆函数f1,实现功能为验证消息验证码计算是否正确,同时发送设备标识和验证混淆函数f1至分布式认证节点或基站;
所述的终端设备用于通过网络与所述分布式认证节点或所述基站连接,终端设备内存储有消息验证码函数和对称秘钥,并可根据消息验证码函数、所述对称密钥、终端设备标识、业务标识、以及新鲜参数计算消息验证码,并将设备标识、业务标识、消息验证码以及用于消息验证码计算的新鲜参数发送至所述分布式认证节点或所述基站;
所述分布式认证节点或基站用于通过网络接收终端设备发送的信息,根据设备标识确定验证混淆函数f1,输入消息验证码以及计算消息验证码用到的参数,若验证混淆函数f1的输出为1,则代表验证通过;若验证混淆函数f1的输出为0,则代表验证不通过。
2.根据权利要求1所述的IoT场景下基于混淆的分布式认证系统,其特征是:所述新鲜参数为时间值、随机数、序列号和计数值的至少一项。
3.根据权利要求1所述的IoT场景下基于混淆的分布式认证系统,其特征是:所述的终端设备为IoT设备或UE。
4.一种IoT场景下基于混淆的分布式认证系统中的密码混淆管理网元,其特征是:所述的密码混淆管理网元包括混淆控制单元、混淆存储单元和混淆网络传输单元,混淆存储单元用于存储对称秘钥,并能将对称秘钥传输给混淆控制单元,所述的混淆控制单元用于根据对称密钥计算消息验证码验证混淆函数f1,实现功能为验证消息验证码计算是否正确,所述的混淆网络传输单元与混淆控制单元连接,混淆网络传输单元用于将设备标识和验证混淆函数f1发送至分布式认证节点或基站。
5.一种与权利要求4所述的密码混淆管理网元配合使用的终端设备,其特征是:所述的终端设备包括终端网络传输单元、终端存储单元和终端控制单元,所述的终端存储单元用于存储消息验证码函数和对称秘钥,终端存储单元与终端控制单元连接,所述的终端控制单元用于根据消息验证码函数、所述对称密钥、终端设备标识、业务标识、以及新鲜参数计算消息验证码,所述的终端网络传输单元与终端控制单元连接,终端网络传输单元用于将设备标识、业务标识、消息验证码以及用于消息验证码计算的新鲜参数发送至分布式认证节点或所述基站。
6.一种与权利要求4所述的密码混淆管理网元配合使用的分布式认证节点,其特征是:所述的分布式认证节点包括节点网络传输单元和节点混淆验证单元,节点网络传输单元与节点混淆验证单元连接,所述的节点网络传输单元用于接收终端设备发送的信息,所述的节点混淆验证单元用于根据设备标识确定验证混淆函数f1,输入消息验证码以及计算消息验证码用到的参数,通过验证混淆函数f1对消息验证码进行验证。
7.一种利用如权利要求1或2或3所述的IoT场景下基于混淆的分布式认证系统的IoT场景下基于混淆的分布式认证方法,其特征是:所述的认证方法包括下述步骤:
步骤1:终端设备根据消息验证码函数、所述对称密钥、终端设备标识、业务标识、以及新鲜参数计算消息验证码,终端设备发送设备标识、消息验证码以及用于消息验证码计算的新鲜参数至分布式认证节点或基站;
步骤2:分布式认证节点或基站基于设备标识确定验证混淆函数f1,输入消息验证码以及终端设备标识、业务标识以及新鲜参数,若验证混淆函数f1的输出为1,则代表验证通过,若验证混淆函数f1的输出为0,则代表验证不通过。
8.根据权利要求7所述的IoT场景下基于混淆的分布式认证方法,其特征是:采用基站时,消息验证码验证混淆函数f1输入还包括基站标识,验证混淆函数f1输出为0或者1。
9.根据权利要求7所述的IoT场景下基于混淆的分布式认证方法,其特征是:所述的终端设备计算消息验证码还需要用到基站标识,所述终端设备获得基站标识的方式为基站广播自己的标识信息,当终端设备接入基站时获得;或者基站标识预置在终端设备内。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810524821.3A CN108737432B (zh) | 2018-05-28 | 2018-05-28 | IoT场景下基于混淆的分布式认证方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810524821.3A CN108737432B (zh) | 2018-05-28 | 2018-05-28 | IoT场景下基于混淆的分布式认证方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108737432A CN108737432A (zh) | 2018-11-02 |
| CN108737432B true CN108737432B (zh) | 2020-09-15 |
Family
ID=63935559
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810524821.3A Expired - Fee Related CN108737432B (zh) | 2018-05-28 | 2018-05-28 | IoT场景下基于混淆的分布式认证方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108737432B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111447593B (zh) * | 2020-03-27 | 2022-09-16 | 四川爱联科技股份有限公司 | 基于5g网络的物联网模块软件定制系统 |
| CN111783068B (zh) * | 2020-06-03 | 2024-05-07 | 中移(杭州)信息技术有限公司 | 设备认证方法、系统、电子设备及存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102368768A (zh) * | 2011-10-12 | 2012-03-07 | 北京星网锐捷网络技术有限公司 | 认证方法、设备、系统及认证服务器 |
| CN103281187A (zh) * | 2013-05-17 | 2013-09-04 | 北京网秦天下科技有限公司 | 安全认证方法、设备和系统 |
| CN103888409A (zh) * | 2012-12-19 | 2014-06-25 | 中国电信股份有限公司 | 分布式统一认证方法及系统 |
| CN104639543A (zh) * | 2015-01-29 | 2015-05-20 | 南京三宝科技股份有限公司 | 基于射频识别标签id的传感器采集数据合法性检验方法 |
| CN104754569A (zh) * | 2015-03-30 | 2015-07-01 | 佛山科学技术学院 | 无线传感器网络群组密钥管理方法 |
| CN107231363A (zh) * | 2017-06-12 | 2017-10-03 | 华南理工大学 | 一种分布式认证方法与认证模型 |
| CN107819776A (zh) * | 2017-11-17 | 2018-03-20 | 锐捷网络股份有限公司 | 一种报文处理方法及设备 |
| CN108737431A (zh) * | 2018-05-28 | 2018-11-02 | 深圳职业技术学院 | IoT场景下基于混淆的分等级分布式认证方法、装置及系统 |
-
2018
- 2018-05-28 CN CN201810524821.3A patent/CN108737432B/zh not_active Expired - Fee Related
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102368768A (zh) * | 2011-10-12 | 2012-03-07 | 北京星网锐捷网络技术有限公司 | 认证方法、设备、系统及认证服务器 |
| CN103888409A (zh) * | 2012-12-19 | 2014-06-25 | 中国电信股份有限公司 | 分布式统一认证方法及系统 |
| CN103281187A (zh) * | 2013-05-17 | 2013-09-04 | 北京网秦天下科技有限公司 | 安全认证方法、设备和系统 |
| CN104639543A (zh) * | 2015-01-29 | 2015-05-20 | 南京三宝科技股份有限公司 | 基于射频识别标签id的传感器采集数据合法性检验方法 |
| CN104754569A (zh) * | 2015-03-30 | 2015-07-01 | 佛山科学技术学院 | 无线传感器网络群组密钥管理方法 |
| CN107231363A (zh) * | 2017-06-12 | 2017-10-03 | 华南理工大学 | 一种分布式认证方法与认证模型 |
| CN107819776A (zh) * | 2017-11-17 | 2018-03-20 | 锐捷网络股份有限公司 | 一种报文处理方法及设备 |
| CN108737431A (zh) * | 2018-05-28 | 2018-11-02 | 深圳职业技术学院 | IoT场景下基于混淆的分等级分布式认证方法、装置及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 传感器网络中基于随机混淆的组密钥管理机制;曾玮妮;《软件学报》;20130430;第24卷(第4期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108737432A (zh) | 2018-11-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11228442B2 (en) | Authentication method, authentication apparatus, and authentication system | |
| CN111669276B (zh) | 一种网络验证方法、装置及系统 | |
| US11122428B2 (en) | Transmission data protection system, method, and apparatus | |
| KR101675088B1 (ko) | Mtc에서의 네트워크와의 상호 인증 방법 및 시스템 | |
| WO2017185999A1 (zh) | 密钥分发、认证方法,装置及系统 | |
| CN101931955B (zh) | 认证方法、装置及系统 | |
| CN108737431B (zh) | IoT场景下基于混淆的分等级分布式认证方法、装置及系统 | |
| CN108809637B (zh) | 基于混合密码的lte-r车-地通信非接入层认证密钥协商方法 | |
| CN102036238B (zh) | 一种基于公钥实现用户与网络认证和密钥分发的方法 | |
| CN105554747A (zh) | 无线网络连接方法、装置及系统 | |
| KR20120091635A (ko) | 통신 시스템에서 인증 방법 및 장치 | |
| CN112119651B (zh) | 接入技术不可知的服务网络认证方法和装置 | |
| CN111447616B (zh) | 一种面向lte-r移动中继的组认证及密钥协商方法 | |
| CN109756877A (zh) | 一种海量NB-IoT设备的抗量子快速认证与数据传输方法 | |
| CN111212425A (zh) | 一种接入方法和服务器、终端 | |
| CN110012467B (zh) | 窄带物联网的分组认证方法 | |
| CN108737432B (zh) | IoT场景下基于混淆的分布式认证方法、装置及系统 | |
| CN109561431B (zh) | 基于多口令身份鉴别的wlan接入访问控制系统及方法 | |
| CN113302895B (zh) | 用于认证无线通信设备群组的方法和装置 | |
| CN112788571A (zh) | Lte网中机器类型通信设备的组认证方法及系统 | |
| CN112887979A (zh) | 一种网络接入方法及相关设备 | |
| Lin et al. | A fast iterative localized re-authentication protocol for heterogeneous mobile networks | |
| CN111800791B (zh) | 认证方法及核心网设备、终端 | |
| CN111885600B (zh) | 双卡终端的接入方法、终端及服务器 | |
| JP4677784B2 (ja) | 集合型宅内ネットワークにおける認証方法及びシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20200915 Termination date: 20210528 |