CN108989270B - 认证方法、设备以及系统 - Google Patents

认证方法、设备以及系统 Download PDF

Info

Publication number
CN108989270B
CN108989270B CN201710411234.9A CN201710411234A CN108989270B CN 108989270 B CN108989270 B CN 108989270B CN 201710411234 A CN201710411234 A CN 201710411234A CN 108989270 B CN108989270 B CN 108989270B
Authority
CN
China
Prior art keywords
node
destination
source
master node
slave node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710411234.9A
Other languages
English (en)
Other versions
CN108989270A (zh
Inventor
王东晖
笪斌
李金明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201710411234.9A priority Critical patent/CN108989270B/zh
Priority to PCT/CN2018/089627 priority patent/WO2018219351A1/zh
Publication of CN108989270A publication Critical patent/CN108989270A/zh
Application granted granted Critical
Publication of CN108989270B publication Critical patent/CN108989270B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/74Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例提供了一种认证方法、设备以及系统。所述方法包括:当访问节点需要对目的可信域中的目的从节点进行访问时,源主节点向身份管理系统发送身份查询请求;源主节点接收身份管理系统返回的身份查询结果,身份查询结果用于指示目的从节点的属性为从节点,目的从节点对应的主节点为目的主节点;源主节点向身份与位置映射管理设备发送位置查询请求;源主节点接收身份与位置映射管理设备返回的位置查询结果,位置查询结果包括目的主节点的全局定位地址;源主节点基于目的主节点的全局定位地址向目的主节点发送第一目的签名消息;源主节点接收目的主节点发送的第一验证结果,第一验证结果用于指示目的从节点通过了对访问节点的身份认证。

Description

认证方法、设备以及系统
技术领域
本发明涉及通信领域,尤其涉及一种认证方法、设备以及系统。
背景技术
现今,物联网设备(Internet of Things,IOT)已经被广泛应用于环境探测、健康护理、智能家庭、物流跟踪等方面,极大的方便了人们的生活。物联网设备可以直接与互联网络进行通信,利用互联网络提供的数据传输服务为用户呈现丰富的应用体验。
但是,物联网设备的电量储备能力一般较弱,经常通过互联网络进行数据通信会大量消耗物联网设备的电量,影响物联网设备的使用寿命。尤其是对于体积比较小的物联网设备,电池通常会做得很小,无法支持物联网设备长时间进行数据通讯。
发明内容
本申请实施例提供了认证方法、设备以及系统,减少源从节点以及目的从节点参与身份认证流程,从而减少了源从节点和/或目的从节点的资源消耗。
第一方面,提供了一种认证方法,应用于通信系统,所述通信系统包括源可信域以及目的可信域,所述源可信域包括源主节点以及源从节点,所述目的可信域包括目的主节点以及目的从节点,所述源从节点为所述源主节点的从属节点,所述目的从节点为所述目的主节点的从属节点,所述包括如下步骤:
当访问节点需要对所述目的可信域中的目的从节点进行访问时,所述源主节点向身份管理系统发送身份查询请求,其中,所述访问节点是所述源主节点或者所述源从节点,所述身份查询请求用于指示所述身份管理系统对所述目的从节点的身份进行查询;
所述源主节点接收所述身份管理系统返回的身份查询结果,其中,所述身份查询结果用于指示所述目的从节点的属性为从节点,并且,所述目的从节点对应的主节点为所述目的主节点;
所述源主节点向身份与位置映射管理设备发送位置查询请求,其中,所述位置查询请求用于指示所述身份与位置映射管理设备对所述目的主节点的位置进行查询;
所述源主节点接收所述身份与位置映射管理设备返回的位置查询结果,其中,所述位置查询结果包括所述目的主节点的全局定位地址;
所述源主节点基于所述目的主节点的全局定位地址向所述目的主节点发送第一目的签名消息;
所述源主节点接收所述目的主节点发送的第一验证结果,其中,所述第一验证结果是对所述目的主节点对所述第一目的签名消息进行验证得到的结果,所述第一验证结果用于指示所述目的从节点通过了对所述访问节点的身份认证。
第二方面,提供了一种认证方法,应用于通信系统,所述通信系统包括源可信域以及目的可信域,所述源可信域包括源主节点以及源从节点,所述目的可信域包括目的主节点以及目的从节点,所述源从节点为所述源主节点的从属节点,所述目的从节点为所述目的主节点的从属节点,所述包括如下步骤:
当访问节点需要对所述目的可信域中的目的从节点进行访问时,所述目的主节点接收所述源主节点发送的第一目的签名消息;
所述目的主节点向所述源主节点发送第一验证结果,所述第一验证结果是对所述第一目的签名消息进行验证得到的结果,所述第一验证结果用于指示所述目的从节点通过了对所述源从节点的身份认证。
第一方面以及第二方面分别从源主节点侧以及目的主节点侧描述了本发明实施例提供的一种认证方法的方法,通过实施该方法,减少源从节点和/或目的从节点参与身份认证流程,从而减少了源从节点和/或目的从节点的资源消耗。
结合第一方面或者第二方面,在一些可能的实施例中,当所述访问节点为所述源从节点时,所述源从节点向所述源主节点发送原始数据包。相应地,所述源主节点接收所述源从节点发送的原始数据包。其中,所述原始数据包包括所述源从节点标识、所述源从节点的本地定位地址、目的从节点标识以及所述目的主节点的全局定位地址。所述源主节点将所述原始数据包中的所述源从节点的本地定位地址替换为所述源主节点的全局定位地址,从而得到中间数据包。所述源主节点将所述中间数据包发送给所述目的主节点。相应地,所述目的主节点接收所述源主节点发送的所述中间数据包。所述目的主节点将所述中间数据包中的所述目的主节点的全局定位地址替换为所述目的从节点的本地定位地址,从而获得目的数据包。所述目的主节点将所述目的数据包发送给所述目的从节点。相应地,所述目的从节点接收所述目的主节点发送的所述目的数据包。
结合第一方面或者第二方面,在一些可能的实施例中,当所述访问节点为所述源从节点时,所述源主节点获得第一目的签名消息的方式至少包括以下两种:
在第一种方式中,所述源从节点使用源从节点私钥对第一消息进行签名,以得到第一原始签名消息。所述源从节点将所述第一原始签名消息发送给所述源主节点。相应地,所述源主节点接收所述源从节点发送的所述第一原始签名消息。所述源主节点使用所述源主节点私钥对所述第一原始签名消息进行签名得到所述第一目的签名消息。可以理解,在通讯环境比较复杂的场景下,可以采用双重认证方式,从而提高通讯的安全性。
在第二种方式中,所述源从节点向所述源主节点发送第一消息。相应地,所述源主节点接收所述源从节点发送的第一消息。所述源主节点使用所述源主节点私钥对所述第一消息进行签名得到所述第一目的签名消息。可以理解,在通讯环境比较简答的场景下,可以采用单次认证方式,从而减少认证的复杂度,减少资源的消耗。
结合第一方面或者第二方面,在一些可能的实施例中,当所述访问节点为所述源主节点时,所述源主节点将原始数据包发送给所述目的主节点。相应地,所述目的主节点接收所述源主节点发送的所述原始数据包。其中,所述原始数据包包括所述源主节点标识、所述源主节点的全局定位地址、目的从节点标识以及所述目的主节点的全局定位地址。所述目的主节点将所述原始数据包中的所述目的主节点的全局定位地址替换为所述目的从节点的本地定位地址,从而获得目的数据包。所述目的主节点将所述目的数据包发送给所述目的从节点,相应地,所述目的从节点接收所述目的主节点发送的所述目的数据包。
结合第一方面或者第二方面,在一些可能的实施例中,当所述访问节点为所述源主节点时,所述源主节点使用源主节点私钥对第一消息进行签名,以得到所述第一目的签名消息。
结合第一方面或者第二方面,在一些可能的实施例中,所述源主节点为所述源可信域中续航能力强的节点;所述源从节点为所述源可信域中续航能力弱的节点;所述目的主节点为所述目的可信域中续航能力强的节点;所述目的从节点为所述目的可信域中续航能力弱的节点。可以理解,源主节点以及目的主节点主要参与了身份认证的流程,需要耗费比较多的资源,源从节点以及目的从节点较少参与身份认证的流程,不需要耗费很多资源,所以,可以选取续航能力强的节点作为源主节点以及目的主节点,选取续航能力弱的节点作为源主节点以及目的主节点。
结合第一方面或者第二方面,在一些可能的实施例中,所述目的主节点向所述源主节点发送第二目的签名消息。相应地,所述源主节点接收所述目的主节点发送的第二目的签名消息。所述源主节点对所述第二目的签名消息进行验证,从而获得第二验证结果。所述源主节点向所述目的主节点发送所述第二验证结果。相应地,所述目的主节点接收所述源主节点发送的所述第二验证结果。其中,所述第二验证结果用于指示所述访问节点通过了对所述目的从节点的身份认证。可以理解,在本实施例中,访问节点以及目的从节点之间相互之间进行了身份认证,能够确保访问节点以及目的从节点的身份都是可信的,提高了通信的安全性。
结合第一方面或者第二方面,在一些可能的实施例中,所述第一目的签名消息以及所述第二目的签名消息均为基于身份的签名消息。
结合第一方面或者第二方面,在一些可能的实施例中,所述目的主节点向所述源主节点发送第二目的签名消息之前包括:
所述目的从节点向所述目的主节点发送第二消息。相应地,所述目的主节点接收所述目的从节点发送的第二消息。所述目的主节点使用目的主节点私钥对第二消息进行签名,以得到所述第二目的签名消息。
第三方面,提供了一种终端设备,应用于通信系统,所述通信系统包括源可信域以及目的可信域,所述源可信域包括源主节点以及源从节点,所述目的可信域包括目的主节点以及目的从节点,所述源从节点为所述源主节点的从属节点,所述目的从节点为所述目的主节点的从属节点,所述终端设备为所述源主节点,所述终端设备包括发送单元以及接收单元,
当访问节点需要对所述目的可信域中的目的从节点进行访问时,所述发送单元用于向身份管理系统发送身份查询请求,其中,所述访问节点是所述源主节点或者所述源从节点,所述身份查询请求用于指示所述身份管理系统对所述目的从节点的身份进行查询;
所述接收单元用于接收所述身份管理系统返回的身份查询结果,其中,所述身份查询结果用于指示所述目的从节点的属性为从节点,并且,所述目的从节点对应的主节点为所述目的主节点;
所述发送单元用于向身份与位置映射管理设备发送位置查询请求,其中,所述位置查询请求用于指示所述身份与位置映射管理设备对所述目的主节点的位置进行查询;
所述接收单元用于接收所述身份与位置映射管理设备返回的位置查询结果,其中,所述位置查询结果包括所述目的主节点的全局定位地址;
所述发送单元用于基于所述目的主节点的全局定位地址向所述目的主节点发送第一目的签名消息;
所述接收单元用于接收所述目的主节点发送的第一验证结果,其中,所述第一验证结果是对所述目的主节点对所述第一目的签名消息进行验证得到的结果,所述第一验证结果用于指示所述目的从节点通过了对所述访问节点的身份认证。
在一些可能的实施例中,当所述访问节点为所述源从节点时,所述终端设备还包括处理单元,
所述接收单元用于接收所述源从节点发送的原始数据包,其中,所述原始数据包包括所述源从节点标识、所述源从节点的本地定位地址、目的从节点标识以及所述目的主节点的全局定位地址;
所述处理单元用于将所述原始数据包中的所述源从节点的本地定位地址替换为所述源主节点的全局定位地址,从而得到中间数据包;
所述发送单元用于将所述中间数据包发送给所述目的主节点,以使得所述目的主节点将所述中间数据包中的所述目的主节点的全局定位地址替换为所述目的从节点的本地定位地址,从而获得目的数据包,并将所述目的数据包发送给所述目的从节点。
在一些可能的实施例中,所述接收单元用于接收所述源从节点发送的第一原始签名消息,其中,所述第一原始签名消息是所述源从节点使用源从节点私钥对第一消息进行签名得到的;
所述处理单元用于使用所述源主节点私钥对所述第一原始签名消息进行签名得到所述第一目的签名消息。
在一些可能的实施例中,当所述访问节点为所述源从节点时,所述接收单元用于接收所述源从节点发送的第一消息;
所述处理单元用于使用所述源主节点私钥对所述第一消息进行签名得到所述第一目的签名消息。
在一些可能的实施例中,当所述访问节点为所述源主节点时,所述发送单元用于将原始数据包发送给所述目的主节点,其中,所述原始数据包包括所述源主节点标识、所述源主节点的全局定位地址、目的从节点标识以及所述目的主节点的全局定位地址,以使得所述目的主节点将所述原始数据包中的所述目的主节点的全局定位地址替换为所述目的从节点的本地定位地址,从而获得目的数据包,并将所述目的数据包发送给所述目的从节点。
在一些可能的实施例中,当所述访问节点为所述源主节点时,所述终端设备还包括处理单元,所述处理单元用于使用源主节点私钥对第一消息进行签名,以得到所述第一目的签名消息。
在一些可能的实施例中,所述源主节点为所述源可信域中续航能力强的节点;所述源从节点为所述源可信域中续航能力弱的节点;所述目的主节点为所述目的可信域中续航能力强的节点;所述目的从节点为所述目的可信域中续航能力弱的节点。
在一些可能的实施例中,所述接收单元用于接收所述目的主节点发送的第二目的签名消息;
所述发送单元用于向所述目的主节点发送第二验证结果,其中,所述第二验证结果是所述源主节点对所述第二目的签名消息进行验证得到的结果,所述第二验证结果用于指示所述访问节点通过了对所述目的从节点的身份认证。
在一些可能的实施例中,所述第一目的签名消息以及所述第二目的签名消息均为基于身份的签名消息。
第四方面,提供了一种终端设备,应用于通信系统,所述通信系统包括源可信域以及目的可信域,所述源可信域包括源主节点以及源从节点,所述目的可信域包括目的主节点以及目的从节点,所述源从节点为所述源主节点的从属节点,所述目的从节点为所述目的主节点的从属节点,所述终端设备为所述目的主节点,所述终端设备包括接收单元以及发送单元,
当访问节点需要对所述目的可信域中的目的从节点进行访问时,所述接收单元用于接收所述源主节点发送的第一目的签名消息;
所述发送单元用于向所述源主节点发送第一验证结果,所述第一验证结果是对所述第一目的签名消息进行验证得到的结果,所述第一验证结果用于指示所述目的从节点通过了对所述源从节点的身份认证。
在一些可能的实施例中,当所述访问节点为所述源从节点时,所述终端设备还包括处理单元,
所述接收单元用于接收所述源主节点发送的中间数据包,其中,所述中间数据包是所述源主节点将原始数据包中的源从节点的本地定位地址替换为源主节点的全局定位地址从而得到的;所述原始数据包包括所述源从节点标识、所述源从节点的本地定位地址、目的从节点标识以及所述目的主节点的全局定位地址;
所述处理单元用于将所述中间数据包中的所述目的主节点的全局定位地址替换为所述目的从节点的本地定位地址,从而获得目的数据包;
所述发送单元用于将所述目的数据包发送给所述目的从节点。
在一些可能的实施例中,当所述访问节点为所述源主节点时,所述终端设备还包括处理单元,
所述接收单元用于接收所述源主节点发送的原始数据包,其中,所述原始数据包包括所述源主节点标识、所述源主节点的全局定位地址、目的从节点标识以及所述目的主节点的全局定位地址;
所述处理单元用于将所述原始数据包中的所述目的主节点的全局定位地址替换为所述目的从节点的本地定位地址,从而获得目的数据包;
所述发送单元用于将所述目的数据包发送给所述目的从节点。
在一些可能的实施例中,所述源主节点为所述源可信域中续航能力强的节点;所述源从节点为所述源可信域中续航能力弱的节点;所述目的主节点为所述目的可信域中续航能力强的节点;所述目的从节点为所述目的可信域中续航能力弱的节点。
在一些可能的实施例中,所述发送单元用于向所述源主节点发送第二目的签名消息;
所述接收单元用于接收所述源主节点发送的第二验证结果,其中,所述第二验证结果是所述源主节点对所述第二目的签名消息进行验证得到的结果,所述第二验证结果用于指示所述访问节点通过了对所述目的从节点的身份认证。
在一些可能的实施例中,所述第一目的签名消息以及所述第二目的签名消息均为基于身份的签名消息。
在一些可能的实施例中,所述终端设备还包括处理单元,所述接收单元用于接收所述目的从节点发送的第二消息;
所述处理单元用于使用目的主节点私钥对第二消息进行签名,以得到所述第二目的签名消息。
第五方面,提供了一种终端设备,包括存储器以及与所述存储器耦合的处理器、发射器和接收器,其中:所述发射器用于与向外部发送数据,所述接收器用于接收外部发送的数据,所述存储器用于存储第一方面任意一项所述的方法的实现代码,所述处理器用于执行所述存储器中存储的程序代码,即执行第一方面任意一项所述的方法。
第六方面,提供了一种终端设备,其特征在于,包括存储器以及与所述存储器耦合的处理器、发射器和接收器,其中:所述发射器用于与向外部发送数据,所述接收器用于接收外部发送的数据,所述存储器用于存储第二方面任意一项所述的方法的实现代码,所述处理器用于执行所述存储器中存储的程序代码,即执行第二方面任意一项所述的方法。
第七方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面任意一项所述的方法。
第八方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如第二方面任意一项所述方法。
第九方面,一种通讯系统,所述通信系统包括源可信域以及目的可信域,所述源可信域包括源主节点以及源从节点,所述目的可信域包括目的主节点以及目的从节点,所述源从节点为所述源主节点的从属节点,所述目的从节点为所述目的主节点的从属节点,其中,所述源主节点用于执行第一方面任意一项所述的方法,所述目的主节点用于执行第二方面任意一项所述的方法。
附图说明
为了更清楚地说明本发明实施例或背景技术中的技术方案,下面将对本发明实施例或背景技术中所需要使用的附图进行说明。
图1是本申请实施例涉及的通信系统的示意图;
图2是现有技术中网关对源主节点与目的主节点的身份认证的流程交互图;
图3是现有技术中源主节点与目的主节点之间的身份认证的流程交互图;
图4是IPv6协议架构与ION协议架构的对比示意图;
图5是本申请实施例提供了一种基于ION协议架构的认证方法的交互图;
图6是本申请实施中目的从节点对源从节点进行验证的第一种方式的流程交互图;
图7是本申请实施中目的从节点对源从节点进行验证的第二种方式的流程交互图;
图8是本申请实施中源从节点与所述目的从节点之间相互进行数据通信的数据包示意图;
图9是本申请实施中源从节点对目的从节点进行验证的第二种方式的流程交互图;
图10是本申请实施例提供了另一种基于ION协议架构的认证方法的交互图;
图11是本申请实施中目的从节点对源主节点进行验证的具体实施方式的流程交互图;
图12是本申请实施中源主节点对目的从节点进行验证的具体实施方式的流程交互图;
图13本申请实施中源主节点与所述目的从节点之间相互进行数据通信的数据包示意图
图14是本申请实施例提供的一种装置的结构示意图;
图15是本申请实施例提供的源主节点和目的主节点以及二者构成的通信系统的结构示意图。
具体实施方式
下面结合附图以及具体的实施方式对本申请实施例进行详细的介绍。
为了便于对本申请实施例理解,下面先对可信域进行介绍。可信域的特点为:在同一个可信域中,节点之间是互相信任的,即,在同一个可信域中,节点之间无需互相认证就可以互相访问。可信域可以是根据节点的社交关系建立的,其中,所述社交关系可以是物所属关系,例如,个人笔记本、冰箱、电视、电表以及水表等是属于同一用户的节点,可以构成一个可信域。所述社交关系可以是同地域物物关系,例如,温度传感、湿度传感器、烟雾传感器以及消防设备等是属于同一仓库地域,可以构成一个可信域。所述社交关系可以是同工物物关系,例如,流速传感器、水位传感器以及灌溉设备等同为一个灌溉系统工作,可以构成一个可信域。由于可信域中的节点可以根据社交关系确定相互之间的身份,所以,可信域的建立可以将散落的,零碎的节点统一成有机整体,从而提高了管理的效率,以及,降低了管理的成本。可以理解,所述社交关系不限于上述物所属关系、同地域物物关系以及同工物物关系,在实际应用中所述社交关系还可以是其他关系,此处不作具体限定。
在本申请实施例中,可信域中的节点为逻辑实体,具体可以是终端设备(Terminal)、用户设备(User Equipment)以及物联网(Internet of Things,IoT)设备等等中的任意一种或者多种的组合。其中,终端设备可以是台式计算机(computer),笔记本电脑(notebook),平板电脑(PAD)等等。用户设备可以是智能手机(smart phone),智能手表(smart watch),智能眼镜等等。物联网设备可以是传感器,电表以及水表等等。应理解,上述举例仅是为说明,不应构成具体限定。
参见图1,图1是本申请实施例涉及的通信系统的示意图。如图1所示,通信系统中至少存在源可信域以及目的可信域。
所述源可信域包括源主节点以及源从节点,其中,源从节点为源主节点管辖下的节点。源主节点为源可信域中续航能力强的节点,源从节点为源可信域中续航能力弱的节点。即,源主节点为可以外接电源的节点,或者,剩余电量比较多的可充电的节点;源从节点为不可以充电的节点,或者,剩余电量比较少的可充电的节点。例如,源主节点可以是台式计算机,笔记本电脑,平板电脑等等可以外接电源的终端设备,或者,源主节点可以是剩余电量超过80%的智能手机、智能手表或者智能眼镜等等可充电的用户设备。源从节点可以是设置在高楼的阴暗角落的智能水表以及智能电表等等不可充电的物联网设备,或者,源从节点可以是剩余电量少于20%的智能手机、智能手表或者智能眼镜等等可充电的用户设备。可以理解,源主节点以及源从节点的身份是可以变化的,例如,源主节点的电量下跌至20%时,源主节点可以变成源从节点,源从节点的电量被充满至100%时,源从节点可以变成源主节点。
所述目的可信域包括目的主节点以及目的从节点,其中,目的从节点为目的主节点管辖下的节点。目的主节点为目的可信域中续航能力强的节点,目的从节点为目的可信域中续航能力弱的节点。即,目的主节点为可以外接电源的节点,或者,剩余电量比较多的可充电的节点;目的从节点为不可以充电的节点,或者,剩余电量比较少的可充电的节点。例如,目的主节点可以是台式计算机,笔记本电脑,平板电脑等等可以外接电源的终端设备,或者,目的主节点可以是剩余电量超过80%的智能手机、智能手表或者智能眼镜等等可充电的用户设备。目的从节点可以是设置在高楼的阴暗角落的智能水表以及智能电表等等不可充电的物联网设备,或者,目的从节点可以是剩余电量少于20%的智能手机、智能手表或者智能眼镜等等可充电的用户设备。可以理解,目的主节点以及目的从节点的身份是可以变化的,例如,目的主节点的电量下跌至20%时,目的主节点可以变成目的从节点,目的从节点的电量被充满至100%时,目的从节点可以变成目的主节点。
在源可信域中,源主节点之间可以通过IP(internet protocol)网络连接起来,源从节点连接至其对应的源主节点上;在目的可信域中,目的主节点之间可以通过IP网络连接起来,目的从节点连接至其对应的目的主节点上;在源可信域与目的可信域之间,至少一个源主节点与至少一个目的主节点通过IP网络进行连接。
现有技术提出了一种基于IPv6协议架构的源主节点与目的主节点之间的认证方法。所述方法包括两个环节,其中,第一个环节为:网关对源主节点与目的主节点的身份认证。第二个环节为:源主节点与目的主节点之间的身份认证。
在第一个环节中,如图2所示,源主节点向第一网关发出第一认证请求,其中,第一网关是源主节点所属的网关。第一网关在接收到第一认证请求之后,将第一随机数以及第一认证密钥次序发送给源主节点,其中,第一随机数是第一网关生成的随机数,第一认证密钥次序是第一网关随机选择的。相应地,源主节点接收第一网关发送的第一随机数以及第一认证密钥次序。
源主节点根据第一认证密钥次序查找到存储在自身的对应的认证密钥,并使用hash函数计算得到第一应答值hash(RM1,AK1),其中,hash函数为网关与源主节点预先约定的函数,RM1为第一随机数,AK1为存储在源主节点的与第一认证密钥对应的认证密钥。源主节点将第一应答值发送给第一网关。相应地,第一网关接收源主节点发送的第一应答值。
第一网关根据第一认证密钥次序查找到存储在自身的对应的认证密钥,并使用hash1函数计算得到第二应答值hash1(RM1,AK2)。其中,hash1函数为第一网关与源主节点预先约定的函数,RM1为第一随机数,AK2为存储在第一网关的与第一认证密钥对应的认证密钥。第一网关将第一应答值与第二应答值进行比较,如果第一应答值与第二应答值相同,则第一网关对源主节点的身份认证通过。第一网关对目的主节点的身份认证过程与第一网关对源主节点的身份认证过程相类似,此处不在展开描述。
在第二个环节中,如图3所示,源主节点向目的主节点发送访问请求。目的主节点在接收到源主节点的访问请求之后,向第二网关发送第二认证请求,其中,第二网关为目的主节点所属的网关。第二网关在接收到第二认证请求之后,将第二随机数以及第二认证密钥次序发送给源主节点,其中,第二随机数是第二网关生成的随机数,第二认证密钥次序是第二网关随机选择的。此外,第二网关根据第二认证密钥次序查找到存储在自身的对应的认证密钥,并使用hash2函数计算得到第三应答值hash2(RM2,AK3),并发送给目的主节点。相应地,目的主节点接收第二网关发送的第三应答值。其中,hash2函数为第二网关与源主节点预先约定的函数,RM2为第二随机数,AK3为存储在第二网关的与第二认证密钥对应的认证密钥。
源主节点接收到第二网关发送的第二随机数以及第二认证密钥次序之后,源主节点根据第二认证密钥次序查找到存储在自身的对应的认证密钥,并使用hash2函数计算得到第四应答值hash2(RM2,AK2),其中,hash2函数为第二网关与源主节点预先约定的函数,RM2为第二随机数,AK4为存储在源主节点的与第二认证密钥对应的认证密钥。源主节点将第四应答值发送给目的主节点。相应地,目的主节点接收源主节点发送的第四应答值。
目的主节点将第三应答值与第四应答值进行比较,如果第三应答值与第四应答值相同,则目的主节点对源主节点的身份认证通过,目的主节点允许源主节点进行访问。
但是,这种认证方法只适合源主节点与目的主节点之间进行认证,不适合涉及源从节点以及目的从节点之间的身份认证。如果源主节点与目的从节点之间的身份认证以及源从节点与目的从节点之间的身份认证也采用这种认证方法,会大量消耗源从节点与目的从节点的电量,影响源从节点与目的从节点的续航能力。
为了解决上述问题,本申请实施例提供了一种基于ION(Identity orientednetwork)协议架构的认证方法、设备以及系统,能够适合涉及源主节点与目的从节点之间的身份认证,源从节点以及目的从节点之间的身份认证,减少源从节点与目的从节点的电量消耗,提高源从节点与目的从节点的续航能力。在本申请实施例中,ION协议架构是一种新型的协议架构,如图4所示,与传统的IPv6协议架构的不同之处在于:ION协议架构在IPv6协议架构的IP层(3层)和传输层(4层)之间增加了标识层(3.5层)。这样,采用ION协议架构的节点都可以采用标识层的标识作为唯一不变的身份标识。而且,标识层位于IP层之上,所以,ION协议架构下的节点可以通过IP层对标识层的标识进行寻址。本申请文件中,ION协议架构下的节点的标识都是指标识层的标识。
为了能够实现本申请实施例提供的认证方法,本申请的通讯系统还包括身份管理系统(IDentity Management System,IDMS)、身份与位置映射管理系统(Identity andLocater Mapping System,ILMS)以及密钥生成中心(IBS-based Key Management System,IKMS)。
身份管理系统用于为源主节点分配源主节点标识,为源从节点分配源从节点标识,为目的主节点分配目的主节点标识,以及,为目的从节点分配目的从节点标识。身份管理系统将源主节点标识发送给源主节点,将源从节点标识发送给源从节点,将目的主节点标识发送给目的主节点,以及,将目的从节点标识发送给目的从节点。身份管理系统还用于记载源主节点的属性、源从节点的属性、目的主节点的属性、目的从节点的属性;此外,身份管理系统还用于记载源主节点与源从节点的对应关系,以及,目的主节点与目的从节点的对应关系。以图1所示的源可信域以及目的可信域为例,身份管理系统中可以设置如表1所示的属性表格以及表2所示的对应关系表格。其中,属性表格用于记载源主节点的属性、源从节点的属性、目的主节点的属性,以及,目的从节点的属性。对应关系表格用于记载源主节点以及源从节点的对应关系,以及,目的主节点以及目的从节点的对应关系。可以理解,表1以及表2只是作为一种具体的示例,而非具体限定。
表1属性表格
Figure GDA0002780059100000101
表2对应关系表格
Figure GDA0002780059100000102
身份与位置映射管理系统用于记载源主节点的全局定位地址,以及,目的主节点的全局定位地址。其中,源主节点与其管辖下的源从节点使用同一个源主节点全局定位地址,目的主节点与其管辖下的目的从节点使用同一个目的主节点全局定位地址。身份与位置映射管理系统向源主节点以及其管辖下的源从节点发送同一个源主节点全局定位地址,向目的主节点以及其管辖下的目的从节点发送同一个目的主节点全局定位地址。以图1所示的源可信域以及目的可信域为例,源主节点A以及其管辖下的源从节点a~c使用源主节点A全局定位地址,源主节点B使用源主节点B全局定位地址,源主节点C以及其管辖下的源从节点d、e使用源主节点C全局定位地址;目的主节点X以及其管辖下的目的从节点x~z使用目的主节点X全局定位地址,目的主节点Y使用目的主节点Y全局定位地址,目的主节点Z以及其管辖下的目的从节点v、w使用目的主节点Z全局定位地址。在一具体实施例中,身份与位置映射管理系统中可以设置如表2所示的对应关系表格以及表3所示的全局定位地址表格。其中,全局定位地址表格用于记载源主节点与全局定位地址的对应关系,以及,目的主节点与全局定位地址的对应关系。当需要查询源主节点或者目的主节点的全局定位地址时,可以通过表3直接查询源主节点或者目的主节点的全局定位地址;当需要查询源从节点或者目的从节点的全局定位地址时,可以先通过表2查询源从节点对应的源主节点,或者,目的从节点的对应的目的主节点,然后,再通过表3查询源主节点或者目的主节点对应的全局定位地址。可以理解,表3只是作为一种具体的示例,而非具体限定。
表3全局定位地址表格
Figure GDA0002780059100000111
密钥生成中心用于基于源主节点公钥为源主节点生成源主节点私钥。具体地,所述源主节点公钥可以是所述源主节点标识,所述密钥生成中心基于所述源主节点标识生成与所述源从节点公钥对应的私钥。源主节点私钥与源主节点公钥是配对使用的,即,当通讯双方中的其中一方使用源主节点私钥进行签名以获得签名消息时,另一方只能使用源主节点公钥对签名消息进行验证。类似地,密钥生成中心还用于基于源从节点公钥为源从节点生成源从节点私钥,基于目的主节点公钥为目的主节点生成目的主节点私钥,以及,基于目的从节点公钥为目的从节点生成目的从节点私钥,此处不再展开描述。密钥生成中心将源主节点私钥发送给源主节点,将源从节点私钥发送给源从节点,将目的主节点私钥发送给目的主节点,以及,将目的从节点私钥发送给目的从节点。以图1所示的源可信域以及目的可信域为例,节点与密钥之间的关系可以如图4所示的节点与密钥对应表格所示。可以理解,表4是作为一种具体的示例,而非具体限定。
表4节点与密钥对应表格
Figure GDA0002780059100000121
可以理解,身份管理系统、身份与位置映射管理系统以及密钥生成中心均是逻辑实体,例如,服务器等等。在实际应用中,身份管理系统、身份与位置映射管理系统以及密钥生成中心在不同系统中的实际产品名称可能不尽相同,例如,有些系统中的密钥生成中心被称为私钥生成器(Private-Key Generator,PKG),当然产品名称的改变并不影响密钥生成中心的实质。并且,身份管理系统、身份与位置映射管理系统以及密钥生成中心的部署方式可以是非常灵活的,例如,身份管理系统、身份与位置映射管理系统以及密钥生成中心可以分别单独部署,可以集中部署,也可以和其他的设备部署在一起,本申请不作具体限定。
源主节点用于存储身份管理系统发送的源主节点标识、身份与位置映射管理系统发送的源主节点全局定位地址,以及密钥生成中心发送的源主节点私钥。源主节点还用于存储其管辖下的源从节点的本地定位地址的映射关系。以源主节点A为例,源主节点A中可以设置如表5所示的本地定位地址映射表,其中,表5所示的本地定位地址映射表用于记载源主节点A管辖下源从节点的源从节点标识与本地定位地址的对应关系。可以理解,表5是作为一种具体的示例,而非具体限定。目的主节点与源主节点向类似,此处不再展开描述。
表5本地定位地址映射表
源从节点标识 本地定位地址
源从节点a标识 源从节点a本地定位地址
源从节点b标识 源从节点b本地定位地址
源从节点c标识 源从节点c本地定位地址
源从节点用于存储身份管理系统发送的源从节点标识、身份与位置映射管理系统发送的对应的源主节点的源主节点全局定位地址,以及密钥生成中心发送的源主节点私钥。此外,源从节点还用于存储自身的本地定位地址。可以理解,目的从节点与源主节点相类似,此处不再展开描述。
参阅图5,图5是本申请实施例提供了一种基于ION协议架构的认证方法的交互图。本申请实施例可以应用在所述源从节点需要访问所述目的从节点的应用场景。如图5所示,所述基于ION协议架构的认证方法包括如下步骤:
S102:所述源从节点向所述源主节点发送查询请求。相应地,所述源主节点接收所述源从节点发送的查询请求。其中,所述查询请求用于指示所述源主节点对所述目的从节点的身份以及位置进行查询。
在本申请实施例中,所述查询请求可以包括目的从节点的身份标识,所述源主节点根据所述目的从节点的身份标识对所述目的从节点的身份以及位置进行查询。所述目的从节点的身份标识可以是固定不变的标识,例如,网络协议(Internet Protocol,IP)地址、手机号码、国际移动设备标识(International Mobile Equipment Identity,IMEI)、国际移动用户识别码(International Mobile Subscriber Identity,IMSI)、IP多媒体私有标识(IP Multimedia Private Identity,IMPI)、IP多媒体公共标识(IP Multimedia PublicIdentity,IMPU)等等,也可以是临时分配的标识,例如,临时移动用户标识符(TemporaryMobileSubscriberIdentity,TMSI)、全球唯一临时UE标识(Globally Unique Temporary UEIdentity,GUTI)等等。
S104:所述源主节点向身份管理系统发送身份查询请求。相应地,所述身份管理系统接收所述源主节点发送的身份查询请求。其中,所述身份查询请求至少包括目的从节点的身份标识。
S106:所述身份管理系统向所述源主节点发送身份查询结果。相应地,所述源主节点接收所述身份管理系统返回的身份查询结果。
在本申请实施例中,身份管理系统在接收到身份查询请求之后,根据所述身份查询请求中携带的目的从节点的身份标识查询属性表格(例如,表1),从而查询得到所述目的从节点的节点属性为从节点。然后,身份管理系统根据所述目的从节点的身份标识查询对应关系表(例如,表2),从而查询得到所述目的从节点对应的主节点为所述目的主节点。最后,身份管理系统向所述源主节点发送身份查询结果,其中,所述身份查询结果包括节点属性标识以及目的主节点的标识,所述节点属性标识用于指示所述目的从节点的属性为从节点,所述目的主节点的标识用于指示所述目的从节点对应的主节点为所述目的主节点。
S108:所述源主节点向身份与位置映射管理设备发送位置查询请求。相应地,所述身份与位置映射管理设备接收所述源主节点发送的位置查询请求。其中,所述位置查询请求至少包括所述目的主节点的标识。
S110:所述身份与位置映射管理设备向所述源主节点返回位置查询结果。相应地,所述源主节点接收所述身份与位置映射管理设备返回的位置查询结果。
在本申请实施例中,身份与位置映射管理设备在接收到位置查询请求之后,根据所述位置查询请求中携带的目的从节点的身份标识查询对应关系表格(例如,表2)查询得到目的从节点对应的主节点为目的主节点,并得到目的主节点标识。然后,身份与位置映射管理设备根据所述目的主节点标识查询全局定位地址表格(例如,表3)查询得到目的主节点的全局定位地址。最后,所述身份与位置映射管理设备向所述源主节点返回位置查询结果,其中,所述位置查询结果至少包括所述目的主节点的全局定位地址。
S112:所述源主节点将所述身份查询结果以及所述位置查询结果返回给所述源从节点。相应地,所述源从节点接收所述源主节点发送的所述身份查询结果以及所述位置查询结果。
S114:所述源主节点基于所述目的主节点的全局定位地址向所述目的主节点发送第一目的签名消息。相应地,所述目的主节点接收所述源主节点发送的第一目的签名消息。
S116:所述目的主节点向所述源主节点发送第一验证结果。相应地,所述源主节点接收所述目的主节点发送的第一验证结果。其中,所述第一验证结果是对所述第一目的签名消息进行验证得到的结果,所述第一验证结果用于指示所述目的从节点通过了对所述源从节点的身份认证。
在本申请实施例中,步骤S114~步骤S116为目的从节点对源从节点进行验证的过程,所述目的从节点对源从节点进行验证的具体实施方式可以包括以下两种:
在第一种方式中,如图6所示,目的从节点对源从节点进行验证的过程可以包括以下几个步骤:所述源从节点向所述源主节点发送第一消息。相应地,所述源主节点接收所述源从节点发送的第一消息。所述源主节点使用所述源主节点私钥对所述第一消息进行签名得到所述第一目的签名消息。所述源主节点向所述目的主节点发送所述第一目的签名消息。相应地,所述目的主节点接收所述源主节点发送的所述第一目的签名消息。所述目的主节点使用源主节点公钥对所述第一目的签名消息进行验证,以获得第一验证结果。所述目的主节点向所述源主节点返回第一验证结果。相应地,所述源主节点接收所述目的主节点返回的第一验证结果。所述源主节点向所述源从节点返回第一验证结果。相应地,所述源从节点接收所述源主节点返回的第一验证结果。可以理解,在通讯环境比较简答的场景下,可以采用单次认证方式,从而减少认证的复杂度,减少资源的消耗。
在第二种方式中,如图7所示,目的从节点对源从节点进行验证的过程可以包括以下几个步骤:所述源从节点使用源从节点私钥对第一消息进行签名以获得第一原始签名消息。所述源从节点将所述第一原始签名消息发送给所述源主节点。相应地,所述源主节点接收所述源从节点发送的第一原始签名消息。所述源主节点使用所述源主节点私钥对所述第一原始签名消息再次进行签名以获得所述第一目的签名消息。所述源主节点向所述目的主节点发送所述第一目的签名消息。相应地,所述目的主节点接收所述源主节点发送的所述第一目的签名消息。所述目的主节点使用所述源主节点公钥对所述第一目的签名消息进行验证,以获得第一原始签名消息。所述目的主节点将所述第一原始签名消息发送给所述目的从节点。相应地,所述目的从节点接收所述目的主节点发送的所述第一原始签名消息。所述目的从节点使用源从节点公钥对所述第一原始签名消息进行验证,以获得第一验证结果。所述目的从节点向所述目的主节点返回第一验证结果。相应地,所述目的主节点接收所述目的从节点返回的第一验证结果。所述目的主节点向所述源主节点返回第一验证结果。相应地,所述源主节点接收所述目的主节点返回的第一验证结果。所述源主节点向所述源从节点返回第一验证结果。相应地,所述源从节点接收所述源主节点返回的第一验证结果。可以理解,在通讯环境比较复杂的场景下,可以采用双重认证方式,从而提高通讯的安全性。
S118:所述目的主节点向所述源主节点发送第二目的签名消息。相应地,所述源主节点接收所述目的主节点发送的第二目的签名消息。
S120:所述源主节点向所述目的主节点发送第二验证结果。相应地,所述目的主节点接收所述源主节点发送的第二验证结果。其中,所述第二验证结果是对所述第二目的签名消息进行验证得到的结果,所述第二验证结果用于指示所述源从节点通过了对所述目的从节点的身份认证。
在本申请实施例中,步骤S118~步骤S120为源从节点对目的从节点进行验证的过程。所述源从节点对目的从节点进行验证的具体实施方式可以为:如图8所示,所述目的从节点向所述目的主节点发送第二消息。相应地,所述目的主节点接收所述目的从节点发送的第二消息。所述目的主节点使用目的主节点私钥对第二消息进行签名,以得到所述第二目的签名消息。所述目的主节点将所述第二目的签名消息发送给所述源主节点。相应地,所述源主节点接收所述目的主节点发送的所述第二目的签名消息。所述源主节点使用目的主节点公钥对所述第二目的签名消息进行验证,从而获得第二验证结果。所述源主节点将所述第二验证结果发送给所述目的主节点以及所述源从节点。相应地,所述目的主节点接收所述源主节点发送的所述第二验证结果。所述目的主节点将所述第二验证结果发送给所述目的从节点。相应地,所述目的从节点接收所述目的主节点发送的所述第二验证结果。
S122:所述源从节点与所述目的从节点之间相互进行数据通信。
在本申请实施例中,如图9所示,源从节点与所述目的从节点之间相互进行数据通信具体包括以下几个步骤:所述源从节点向所述源主节点发送原始数据包。相应地,所述源主节点接收所述源从节点发送的原始数据包。其中,所述原始数据包包括所述源从节点标识(IDSSN)、所述源从节点的本地定位地址(Local LocatorSSN)、目的从节点标识(IDDSN)以及所述目的主节点的全局定位地址(Global LocatorDMN)。所述源主节点将所述原始数据包中的所述源从节点的本地定位地址(Local LocatorSSN)替换为所述源主节点的全局定位地址(Global LocatorSMN),从而得到中间数据包。所述源主节点将所述中间数据包发送给所述目的主节点。相应地,所述目的主节点接收所述源主节点发送的中间数据包。所述目的主节点将所述中间数据包中的所述目的主节点的全局定位地址(Global LocatorDMN)替换为所述目的从节点的本地定位地址(Global LocatorDSN),从而获得目的数据包。所述目的主节点将所述目的数据包发送给所述目的从节点。相应地,所述目的从节点接收所述目的主节点发送的所述目的数据包。
由于本申请采用了ION协议架构,ION协议架构下的节点都具有标识层的标识,能够通过IP层对标识层的标识进行寻址,所以,在进行身份验证时,无需通过网关进行协助,就能够实现源主节点与目的主节点之间的身份认证,从而大大地减少了身份认证的流程。而且,由于源从节点与源主节点均位于源可信域,目的从节点与目的主节点均位于目的可信域,源从节点信任源主节点,目的从节点也信任目的主节点,所以,在目的主节点对源主节点的身份验证通过的情况下,就可以认为目的从节点也通过了对源从节点的身份认证,因而,减少源从节点以及目的从节点参与身份认证流程,从而减少了源从节点以及目的从节点的电量消耗。
参阅图10,图10是本申请实施例提供了另一种基于ION协议架构的认证方法的交互图。本申请实施例可以应用在所述源主节点需要访问所述目的从节点的应用场景。如图10所示,所述基于ION协议架构的认证方法包括如下步骤:
S202:所述源主节点向身份管理系统发送身份查询请求。相应地,所述身份管理系统接收所述源主节点发送的身份查询请求。其中,所述身份查询请求至少包括目的从节点的身份标识。
S204:所述身份管理系统向所述源主节点发送身份查询结果。相应地,所述源主节点接收所述身份管理系统返回的身份查询结果。
S206:所述源主节点向身份与位置映射管理设备发送位置查询请求。相应地,所述身份与位置映射管理设备接收所述源主节点发送的位置查询请求。其中,所述位置查询请求至少包括所述目的主节点的标识。
S208:所述身份与位置映射管理设备向所述源主节点返回位置查询结果。相应地,所述源主节点接收所述身份与位置映射管理设备返回的位置查询结果。
S210:所述源主节点基于所述目的主节点的全局定位地址向所述目的主节点发送第一目的签名消息。相应地,所述目的主节点接收所述源主节点发送的第一目的签名消息。
S212:所述目的主节点向所述源主节点发送第一验证结果。相应地,所述源主节点接收所述目的主节点发送的第一验证结果。其中,所述第一验证结果是对所述第一目的签名消息进行验证得到的结果,所述第一验证结果用于指示所述目的从节点通过了对所述源主节点的身份认证。
在本申请实施例中,步骤S210~步骤S212为目的从节点对源主节点进行验证的过程,所述目的从节点对源主节点进行验证的具体实施方式可以为:
如图11所示,所述源主节点使用源主节点私钥对第一消息进行签名,以得到所述第一目的签名消息。所述源主节点向所述目的主节点发送所述第一目的签名消息。相应地,所述目的主节点接收所述源主节点发送的所述第一目的签名消息。所述目的主节点使用源主节点公钥对所述第一目的签名消息进行验证,以获得第一验证结果。所述目的主节点向所述源主节点以及所述目的从节点返回第一验证结果。相应地,所述源主节点以及所述目的从节点接收所述目的主节点返回的第一验证结果。
S214:所述目的主节点向所述源主节点发送第二目的签名消息。相应地,所述源主节点接收所述目的主节点发送的第二目的签名消息。
S216:所述源主节点向所述目的主节点发送第二验证结果。相应地,所述目的主节点接收所述源主节点发送的第二验证结果。其中,所述第二验证结果是对所述第二目的签名消息进行验证得到的结果,所述第二验证结果用于指示所述源主节点通过了对所述目的从节点的身份认证。
在本申请实施例中,步骤S214~步骤S216为源主节点对目的从节点进行验证的过程。所述源主节点对目的从节点进行验证的具体实施方式可以为:如图12所示,所述目的从节点向所述目的主节点发送第二消息。相应地,所述目的主节点接收所述目的从节点发送的第二消息。所述目的主节点使用目的主节点私钥对第二消息进行签名,以得到所述第二目的签名消息。所述目的主节点将所述第二目的签名消息发送给所述源主节点。相应地,所述源主节点接收所述目的主节点发送的所述第二目的签名消息。所述源主节点使用目的主节点公钥对所述第二目的签名消息进行验证,从而获得第二验证结果。所述源主节点将所述第二验证结果发送给所述目的主节点。相应地,所述目的主节点接收所述源主节点发送的所述第二验证结果。所述目的主节点将所述第二验证结果发送给所述目的从节点。相应地,所述目的从节点接收所述目的主节点发送的所述第二验证结果。
S218:所述源主节点与所述目的从节点之间相互进行数据通信。
在本申请实施例中,如图13所示,所述源主节点将原始数据包发送给所述目的主节点。相应地,所述目的主节点接收所述源主节点发送的所述原始数据包。其中,所述原始数据包包括所述源主节点标识(IDSMN)、所述源主节点的全局定位地址(GlobalLocatorSMN)、目的从节点标识(IDDSN)以及所述目的主节点的全局定位地址(GlobalLocatorDMN)。所述目的主节点将所述原始数据包中的所述目的主节点的全局定位地址(Global LocatorDMN)替换为所述目的从节点的本地定位地址(Global LocatorDSN),从而获得目的数据包。所述目的主节点将所述目的数据包发送给所述目的从节点,相应地,所述目的从节点接收所述目的主节点发送的所述目的数据包。
由于本申请采用了ION协议架构,ION协议架构下的节点都具有标识层的标识,能够通过IP层对标识层的标识进行寻址,所以,在进行身份验证时,无需通过网关进行协助,就能够实现源主节点与目的主节点之间的身份认证,从而大大地减少了身份认证的流程。而且,目的从节点与目的主节点均位于目的可信域,目的从节点信任目的主节点,所以,在目的主节点对源主节点的身份验证通过的情况下,就可以认为目的从节点也通过了对源主节点的身份认证,因而,减少目的从节点参与身份认证流程,从而减少了目的从节点的资源消耗。
基于同一发明构思,本发明实施例还提供一种装置(如图14所示),该装置用于实现前述图5以及图10实施例所描述的方法。如图14所示,装置100包括:发射器103、接收器104、存储器102和与存储器102耦合的处理器101(处理器101的数量可以是一个或多个,图14中以一个处理器为例)。发射器103、接收器104、存储器102和处理器101可通过总线或者其它方式连接(图14中以通过总线连接为例)。其中,发射器103用于向外部发送数据,接收器104用于从外部接收数据。存储器102用于存储程序代码,处理器101用于调用并运行存储于存储器102中的程序代码。
当装置100为源主节点时,存储器102中存储的程序代码具体用于实现图5实施例中的所述源主节点的功能。具体的,处理器101用于调用存储器102中存储的程序代码,并执行以下步骤:
当访问节点需要对所述目的可信域中的目的从节点进行访问时,所述源主节点通过发射器103向身份管理系统发送身份查询请求,其中,所述访问节点是所述源主节点或者所述源从节点,所述身份查询请求用于指示所述身份管理系统对所述目的从节点的身份进行查询;
所述源主节点通过接收器104接收所述身份管理系统返回的身份查询结果,其中,所述身份查询结果用于指示所述目的从节点的属性为从节点,并且,所述目的从节点对应的主节点为所述目的主节点;
所述源主节点通过发射器103向身份与位置映射管理设备发送位置查询请求,其中,所述位置查询请求用于指示所述身份与位置映射管理设备对所述目的主节点的位置进行查询;
所述源主节点通过接收器104接收所述身份与位置映射管理设备返回的位置查询结果,其中,所述位置查询结果包括所述目的主节点的全局定位地址;
所述源主节点通过发射器103基于所述目的主节点的全局定位地址向所述目的主节点发送第一目的签名消息;
所述源主节点通过接收器104接收所述目的主节点发送的第一验证结果,其中,所述第一验证结果是对所述目的主节点对所述第一目的签名消息进行验证得到的结果,所述第一验证结果用于指示所述目的从节点通过了对所述访问节点的身份认证。
在一些可能的实施例中,当所述访问节点为所述源从节点时,所述源从节点与所述目的从节点之间相互进行数据通信包括:
所述源主节点通过接收器104接收所述源从节点发送的原始数据包,其中,所述原始数据包包括所述源从节点标识、所述源从节点的本地定位地址、目的从节点标识以及所述目的主节点的全局定位地址;
所述源主节点通过处理器101将所述原始数据包中的所述源从节点的本地定位地址替换为所述源主节点的全局定位地址,从而得到中间数据包;
所述源主节点通过发射器103将所述中间数据包发送给所述目的主节点,以使得所述目的主节点将所述中间数据包中的所述目的主节点的全局定位地址替换为所述目的从节点的本地定位地址,从而获得目的数据包,并将所述目的数据包发送给所述目的从节点。
在一些可能的实施例中,当所述访问节点为所述源从节点时,所述目的从节点对源从节点进行验证的具体实施方式可以包括以下两种:
在第一种方式中,所述源主节点通过接收器104接收所述源从节点发送的第一原始签名消息,其中,所述第一原始签名消息是所述源从节点使用源从节点私钥对第一消息进行签名得到的;所述源主节点通过处理器101使用所述源主节点私钥对所述第一原始签名消息进行签名得到所述第一目的签名消息。
在第二种方式中,所述源主节点通过接收器104接收所述源从节点发送的第一消息;所述源主节点通过处理器101使用所述源主节点私钥对所述第一消息进行签名得到所述第一目的签名消息。
在一些可能的实施例中,当所述访问节点为所述源主节点时,所述源主节点与所述目的从节点之间相互进行数据通信包括:
所述源主节点通过发射器103将原始数据包发送给所述目的主节点,其中,所述原始数据包包括所述源主节点标识、所述源主节点的全局定位地址、目的从节点标识以及所述目的主节点的全局定位地址,以使得所述目的主节点将所述原始数据包中的所述目的主节点的全局定位地址替换为所述目的从节点的本地定位地址,从而获得目的数据包,并将所述目的数据包发送给所述目的从节点。
在一些可能的实施例中,当所述访问节点为所述源主节点时,所述目的从节点对源主节点进行验证的具体实施方式可以包括:所述源主节点通过处理器101使用源主节点私钥对第一消息进行签名,以得到所述第一目的签名消息。
在一些可能的实施例中,所述源主节点为所述源可信域中续航能力强的节点;所述源从节点为所述源可信域中续航能力弱的节点;所述目的主节点为所述目的可信域中续航能力强的节点;所述目的从节点为所述目的可信域中续航能力弱的节点。
在一些可能的实施例中,所述访问节点对目的从节点进行验证的具体实施方式可以包括:
所述源主节点通过接收器104接收所述目的主节点发送的第二目的签名消息;
所述源主节点通过发射器103向所述目的主节点发送第二验证结果,其中,所述第二验证结果是所述源主节点对所述第二目的签名消息进行验证得到的结果,所述第二验证结果用于指示所述访问节点通过了对所述目的从节点的身份认证。
在一些可能的实施例中,所述第一目的签名消息以及所述第二目的签名消息均为基于身份的签名消息。
需要说明的,当装置100为源主节点时,处理器101的执行步骤以及处理器101涉及的其他技术特征还可参照图5以及图10所示方法实施例中所述源主节点的相关内容,这里不再赘述。
当装置100为目的主节点时,存储器102中存储的程序代码具体用于实现图5以及图10实施例中的所述目的主节点的功能。具体的,处理器101用于调用存储器102中存储的程序代码,并执行以下步骤:
当访问节点需要对所述目的可信域中的目的从节点进行访问时,所述目的主节点通过接收器104接收所述源主节点发送的第一目的签名消息;
所述目的主节点通过发射器103向所述源主节点发送第一验证结果,所述第一验证结果是对所述第一目的签名消息进行验证得到的结果,所述第一验证结果用于指示所述目的从节点通过了对所述源从节点的身份认证。
在一些可能的实施例中,当所述访问节点为所述源从节点时,所述源从节点与所述目的从节点之间相互进行数据通信包括:
所述目的主节点通过接收器104接收所述源主节点发送的中间数据包,其中,所述中间数据包是所述源主节点将原始数据包中的源从节点的本地定位地址替换为源主节点的全局定位地址从而得到的;所述原始数据包包括所述源从节点标识、所述源从节点的本地定位地址、目的从节点标识以及所述目的主节点的全局定位地址;
所述目的主节点通过处理器101将所述中间数据包中的所述目的主节点的全局定位地址替换为所述目的从节点的本地定位地址,从而获得目的数据包;
所述目的主节点通过发射器103将所述目的数据包发送给所述目的从节点。
在一些可能的实施例中,当所述访问节点为所述源主节点时,当所述访问节点为所述源主节点时,所述源主节点与所述目的从节点之间相互进行数据通信包括:
所述目的主节点通过接收器104接收所述源主节点发送的原始数据包,其中,所述原始数据包包括所述源主节点标识、所述源主节点的全局定位地址、目的从节点标识以及所述目的主节点的全局定位地址;
所述目的主节点通过处理器101将所述原始数据包中的所述目的主节点的全局定位地址替换为所述目的从节点的本地定位地址,从而获得目的数据包;
所述目的主节点通过发射器103将所述目的数据包发送给所述目的从节点。
在一些可能的实施例中,所述源主节点为所述源可信域中续航能力强的节点;所述源从节点为所述源可信域中续航能力弱的节点;所述目的主节点为所述目的可信域中续航能力强的节点;所述目的从节点为所述目的可信域中续航能力弱的节点。
在一些可能的实施例中,所述访问节点对目的从节点进行验证的具体实施方式可以包括:
所述目的主节点通过发射器103向所述源主节点发送第二目的签名消息;
所述目的主节点通过接收器104接收所述源主节点发送的第二验证结果,其中,所述第二验证结果是所述源主节点对所述第二目的签名消息进行验证得到的结果,所述第二验证结果用于指示所述访问节点通过了对所述目的从节点的身份认证。
在一些可能的实施例中,所述第一目的签名消息以及所述第二目的签名消息均为基于身份的签名消息。
在一些可能的实施例中,所述目的主节点通过接收器104接收所述目的从节点发送的第二消息;
所述目的主节点通过处理器101使用目的主节点私钥对第二消息进行签名,以得到所述第二目的签名消息。
需要说明的,当装置100为目的主节点时,处理器101的执行步骤以及处理器101涉及的其他技术特征还可参照图5以及图10所示方法实施例中所述目的主节点的相关内容,这里不再赘述。
图15示出了本发明实施例提供的源主节点和目的主节点的一种实施例,以及二者构成的通信系统的结构示意图。如图15所示,源主节点200和目的主节点300之间可存在通信连接,可实现二者之间的数据通信。下面展开描述。
如图15所示,源主节点200可包括:接收单元210、发送单元230、处理单元250以及存储单元270。其中,接收单元210可以是接收器,发送单元230可以是发射器。在一些实施例中,接收单元210以及发送单元230还可以是同一个收发器。处理单元250可以是处理器、处理芯片以及集成处理电路等等。存储单元270可以是硬盘、内存或者NLAND Flash等等。
当所述源从节点需要访问所述目的从节点时,接收单元210用于接收所述源主节点发送的查询请求,其中,所述查询请求至少包括目的从节点的身份标识;
当访问节点需要对所述目的可信域中的目的从节点进行访问时,所述源主节点通过发送单元230向身份管理系统发送身份查询请求,其中,所述访问节点是所述源主节点或者所述源从节点,所述身份查询请求用于指示所述身份管理系统对所述目的从节点的身份进行查询。
所述源主节点通过接收单元210接收所述身份管理系统返回的身份查询结果,其中,所述身份查询结果用于指示所述目的从节点的属性为从节点,并且,所述目的从节点对应的主节点为所述目的主节点。
所述源主节点通过发送单元230向身份与位置映射管理设备发送位置查询请求,其中,所述位置查询请求用于指示所述身份与位置映射管理设备对所述目的主节点的位置进行查询。
所述源主节点通过接收单元210接收所述身份与位置映射管理设备返回的位置查询结果,其中,所述位置查询结果包括所述目的主节点的全局定位地址。
所述源主节点通过发送单元230基于所述目的主节点的全局定位地址向所述目的主节点发送第一目的签名消息;
所述源主节点通过接收单元210接收所述目的主节点发送的第一验证结果,其中,所述第一验证结果是对所述目的主节点对所述第一目的签名消息进行验证得到的结果,所述第一验证结果用于指示所述目的从节点通过了对所述访问节点的身份认证。
存储单元270用于存储身份查询结果以及第一验证结果等等。
在一些可能的实施例中,当所述访问节点为所述源从节点时,所述接收单元210用于接收所述源从节点发送的原始数据包,其中,所述原始数据包包括所述源从节点标识、所述源从节点的本地定位地址、目的从节点标识以及所述目的主节点的全局定位地址;
所述处理单元250用于将所述原始数据包中的所述源从节点的本地定位地址替换为所述源主节点的全局定位地址,从而得到中间数据包;
所述发送单元230用于将所述中间数据包发送给所述目的主节点,以使得所述目的主节点将所述中间数据包中的所述目的主节点的全局定位地址替换为所述目的从节点的本地定位地址,从而获得目的数据包,并将所述目的数据包发送给所述目的从节点。
在一些可能的实施例中,所述接收单元210用于接收所述源从节点发送的第一原始签名消息,其中,所述第一原始签名消息是所述源从节点使用源从节点私钥对第一消息进行签名得到的;
所述处理单元250用于使用所述源主节点私钥对所述第一原始签名消息进行签名得到所述第一目的签名消息。
在一些可能的实施例中,当所述访问节点为所述源从节点时,
所述接收单元210用于接收所述源从节点发送的第一消息;
所述处理单元250用于使用所述源主节点私钥对所述第一消息进行签名得到所述第一目的签名消息。
在一些可能的实施例中,当所述访问节点为所述源主节点时,所述发送单元230用于将原始数据包发送给所述目的主节点,其中,所述原始数据包包括所述源主节点标识、所述源主节点的全局定位地址、目的从节点标识以及所述目的主节点的全局定位地址,以使得所述目的主节点将所述原始数据包中的所述目的主节点的全局定位地址替换为所述目的从节点的本地定位地址,从而获得目的数据包,并将所述目的数据包发送给所述目的从节点。
在一些可能的实施例中,当所述访问节点为所述源主节点时,所述终端设备还包括处理单元250,所述处理单元250用于使用源主节点私钥对第一消息进行签名,以得到所述第一目的签名消息。
在一些可能的实施例中,所述源主节点为所述源可信域中续航能力强的节点;所述源从节点为所述源可信域中续航能力弱的节点;所述目的主节点为所述目的可信域中续航能力强的节点;所述目的从节点为所述目的可信域中续航能力弱的节点。
在一些可能的实施例中,所述接收单元210用于接收所述目的主节点发送的第二目的签名消息;
所述发送单元230用于向所述目的主节点发送第二验证结果,其中,所述第二验证结果是所述源主节点对所述第二目的签名消息进行验证得到的结果,所述第二验证结果用于指示所述访问节点通过了对所述目的从节点的身份认证。
在一些可能的实施例中,所述第一目的签名消息以及所述第二目的签名消息均为基于身份的签名消息。
需要说明,图15实施例中未提及的内容以及各个功能单元的具体实现,请参考图5以及图10实施例,这里不再赘述。
如图15所示,目的主节点300可包括:接收单元310、发送单元330、处理单元350以及存储单元370。其中,接收单元310可以是接收器,发送单元330可以是发射器。在一些实施例中,接收单元310以及发送单元330还可以是同一个收发器。处理单元350可以是处理器、处理芯片以及集成处理电路等等。存储单元370可以是硬盘、内存或者NLAND Flash等等。
当访问节点需要对所述目的可信域中的目的从节点进行访问时,所述目的主节点通过接收单元310接收所述源主节点发送的第一目的签名消息。
所述目的主节点通过发送单元330向所述源主节点发送第一验证结果,所述第一验证结果是对所述第一目的签名消息进行验证得到的结果,所述第一验证结果用于指示所述目的从节点通过了对所述源从节点的身份认证。
存储单元370用于存储第一签名消息以及第一验证结果等等。
在一些可能的实施例中,当所述访问节点为所述源从节点时,所述接收单元310用于接收所述源主节点发送的中间数据包,其中,所述中间数据包是所述源主节点将原始数据包中的源从节点的本地定位地址替换为源主节点的全局定位地址从而得到的;所述原始数据包包括所述源从节点标识、所述源从节点的本地定位地址、目的从节点标识以及所述目的主节点的全局定位地址;
所述处理单元350用于将所述中间数据包中的所述目的主节点的全局定位地址替换为所述目的从节点的本地定位地址,从而获得目的数据包;
所述发送单元330用于将所述目的数据包发送给所述目的从节点。
在一些可能的实施例中,当所述访问节点为所述源主节点时,所述接收单元310用于接收所述源主节点发送的原始数据包,其中,所述原始数据包包括所述源主节点标识、所述源主节点的全局定位地址、目的从节点标识以及所述目的主节点的全局定位地址;
所述处理单元350用于将所述原始数据包中的所述目的主节点的全局定位地址替换为所述目的从节点的本地定位地址,从而获得目的数据包;
所述发送单元330用于将所述目的数据包发送给所述目的从节点。
在一些可能的实施例中,所述源主节点为所述源可信域中续航能力强的节点;所述源从节点为所述源可信域中续航能力弱的节点;所述目的主节点为所述目的可信域中续航能力强的节点;所述目的从节点为所述目的可信域中续航能力弱的节点。
在一些可能的实施例中,所述发送单元330用于向所述源主节点发送第二目的签名消息;所述接收单元310用于接收所述源主节点发送的第二验证结果,其中,所述第二验证结果是所述源主节点对所述第二目的签名消息进行验证得到的结果,所述第二验证结果用于指示所述访问节点通过了对所述目的从节点的身份认证。
在一些可能的实施例中,所述第一目的签名消息以及所述第二目的签名消息均为基于身份的签名消息。
在一些可能的实施例中,所述接收单元310用于接收所述目的从节点发送的第二消息;
所述处理单元350用于使用目的主节点私钥对第二消息进行签名,以得到所述第二目的签名消息。
需要说明,图15实施例中未提及的内容以及各个功能单元的具体实现,请参考图5实施例,这里不再赘述。
本申请还提供了一种通信系统,所述通信系统包括源主节点以及目的主节点,其中,所述源主节点可以是图14所示的源主节点,所述目的主节点可以是图14所示的目的主节点。所述源主节点可以是图15所示的源主节点,所述目的主节点可以是图15所示的目的主节点。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (35)

1.一种认证方法,其特征在于,应用于通信系统,所述通信系统包括源可信域以及目的可信域,所述源可信域包括源主节点以及源从节点,所述目的可信域包括目的主节点以及目的从节点,所述源从节点为所述源主节点的从属节点,所述目的从节点为所述目的主节点的从属节点,所述方法包括如下步骤:
当访问节点需要对所述目的可信域中的目的从节点进行访问时,所述源主节点向身份管理系统发送身份查询请求,其中,所述访问节点是所述源主节点或者所述源从节点,所述身份查询请求用于指示所述身份管理系统对所述目的从节点的身份进行查询;
所述源主节点接收所述身份管理系统返回的身份查询结果,其中,所述身份查询结果用于指示所述目的从节点的属性为从节点,并且,所述目的从节点对应的主节点为所述目的主节点;
所述源主节点向身份与位置映射管理设备发送位置查询请求,其中,所述位置查询请求用于指示所述身份与位置映射管理设备对所述目的主节点的位置进行查询;
所述源主节点接收所述身份与位置映射管理设备返回的位置查询结果,其中,所述位置查询结果包括所述目的主节点的全局定位地址;
所述源主节点基于所述目的主节点的全局定位地址向所述目的主节点发送第一目的签名消息;
所述源主节点接收所述目的主节点发送的第一验证结果,其中,所述第一验证结果是所述目的主节点对所述第一目的签名消息进行验证得到的结果,所述第一验证结果用于指示所述目的从节点通过了对所述访问节点的身份认证。
2.根据权利要求1所述的方法,其特征在于,当所述访问节点为所述源从节点时,
所述源主节点接收所述源从节点发送的原始数据包,其中,所述原始数据包包括所述源从节点标识、所述源从节点的本地定位地址、目的从节点标识以及所述目的主节点的全局定位地址;
所述源主节点将所述原始数据包中的所述源从节点的本地定位地址替换为所述源主节点的全局定位地址,从而得到中间数据包;
所述源主节点将所述中间数据包发送给所述目的主节点,以使得所述目的主节点将所述中间数据包中的所述目的主节点的全局定位地址替换为所述目的从节点的本地定位地址,从而获得目的数据包,并将所述目的数据包发送给所述目的从节点。
3.根据权利要求2所述的方法,其特征在于,当所述访问节点为所述源从节点时,所述源主节点向所述目的主节点发送第一目的签名消息之前包括:
所述源主节点接收所述源从节点发送的第一原始签名消息,其中,所述第一原始签名消息是所述源从节点使用源从节点私钥对第一消息进行签名得到的;
所述源主节点使用所述源主节点私钥对所述第一原始签名消息进行签名得到所述第一目的签名消息。
4.根据权利要求2所述的方法,其特征在于,当所述访问节点为所述源从节点时,所述源主节点向所述目的主节点发送第一目的签名消息之前包括:
所述源主节点接收所述源从节点发送的第一消息;
所述源主节点使用所述源主节点私钥对所述第一消息进行签名得到所述第一目的签名消息。
5.根据权利要求1所述的方法,其特征在于,当所述访问节点为所述源主节点时,
所述源主节点将原始数据包发送给所述目的主节点,其中,所述原始数据包包括所述源主节点标识、所述源主节点的全局定位地址、目的从节点标识以及所述目的主节点的全局定位地址,以使得所述目的主节点将所述原始数据包中的所述目的主节点的全局定位地址替换为所述目的从节点的本地定位地址,从而获得目的数据包,并将所述目的数据包发送给所述目的从节点。
6.根据权利要求5所述的方法,其特征在于,当所述访问节点为所述源主节点时,所述源主节点向所述目的主节点发送第一目的签名消息之前包括:
所述源主节点使用源主节点私钥对第一消息进行签名,以得到所述第一目的签名消息。
7.根据权利要求1至6任一权利要求所述的方法,其特征在于,所述源主节点为所述源可信域中续航能力强的节点;所述源从节点为所述源可信域中续航能力弱的节点;所述目的主节点为所述目的可信域中续航能力强的节点;所述目的从节点为所述目的可信域中续航能力弱的节点。
8.根据权利要求1至6任一权利要求所述的方法,其特征在于,所述方法还包括:
所述源主节点接收所述目的主节点发送的第二目的签名消息;
所述源主节点向所述目的主节点发送第二验证结果,其中,所述第二验证结果是所述源主节点对所述第二目的签名消息进行验证得到的结果,所述第二验证结果用于指示所述访问节点通过了对所述目的从节点的身份认证。
9.根据权利要求8所述的方法,其特征在于,所述第一目的签名消息以及所述第二目的签名消息均为基于身份的签名消息。
10.一种认证方法,其特征在于,应用于通信系统,所述通信系统包括源可信域以及目的可信域,所述源可信域包括源主节点以及源从节点,所述目的可信域包括目的主节点以及目的从节点,所述源从节点为所述源主节点的从属节点,所述目的从节点为所述目的主节点的从属节点,所述方法包括如下步骤:
当访问节点需要对所述目的可信域中的目的从节点进行访问时,所述目的主节点接收所述源主节点发送的第一目的签名消息;
所述目的主节点向所述源主节点发送第一验证结果,所述第一验证结果是对所述第一目的签名消息进行验证得到的结果,所述第一验证结果用于指示所述目的从节点通过了对所述源从节点的身份认证;
所述方法还包括:
所述目的主节点向所述源主节点发送第二目的签名消息;
所述目的主节点接收所述源主节点发送的第二验证结果,其中,所述第二验证结果是所述源主节点对所述第二目的签名消息进行验证得到的结果,所述第二验证结果用于指示所述访问节点通过了对所述目的从节点的身份认证。
11.根据权利要求10所述的方法,其特征在于,当所述访问节点为所述源从节点时,
所述目的主节点接收所述源主节点发送的中间数据包,其中,所述中间数据包是所述源主节点将原始数据包中的源从节点的本地定位地址替换为源主节点的全局定位地址从而得到的;所述原始数据包包括所述源从节点标识、所述源从节点的本地定位地址、目的从节点标识以及所述目的主节点的全局定位地址;
所述目的主节点将所述中间数据包中的所述目的主节点的全局定位地址替换为所述目的从节点的本地定位地址,从而获得目的数据包;
所述目的主节点将所述目的数据包发送给所述目的从节点。
12.根据权利要求10所述的方法,其特征在于,当所述访问节点为所述源主节点时,
所述目的主节点接收所述源主节点发送的原始数据包,其中,所述原始数据包包括所述源主节点标识、所述源主节点的全局定位地址、目的从节点标识以及所述目的主节点的全局定位地址;
所述目的主节点将所述原始数据包中的所述目的主节点的全局定位地址替换为所述目的从节点的本地定位地址,从而获得目的数据包;
所述目的主节点将所述目的数据包发送给所述目的从节点。
13.根据权利要求10至12任一权利要求所述的方法,其特征在于,
所述源主节点为所述源可信域中续航能力强的节点;所述源从节点为所述源可信域中续航能力弱的节点;所述目的主节点为所述目的可信域中续航能力强的节点;所述目的从节点为所述目的可信域中续航能力弱的节点。
14.根据权利要求10所述的方法,其特征在于,所述第一目的签名消息以及所述第二目的签名消息均为基于身份的签名消息。
15.根据权利要求10或者14所述的方法,其特征在于,所述目的主节点向所述源主节点发送第二目的签名消息之前包括:
所述目的主节点接收所述目的从节点发送的第二消息;
所述目的主节点使用目的主节点私钥对第二消息进行签名,以得到所述第二目的签名消息。
16.一种终端设备,其特征在于,应用于通信系统,所述通信系统包括源可信域以及目的可信域,所述源可信域包括源主节点以及源从节点,所述目的可信域包括目的主节点以及目的从节点,所述源从节点为所述源主节点的从属节点,所述目的从节点为所述目的主节点的从属节点,所述终端设备为所述源主节点,所述终端设备包括发送单元以及接收单元,
当访问节点需要对所述目的可信域中的目的从节点进行访问时,所述发送单元用于向身份管理系统发送身份查询请求,其中,所述访问节点是所述源主节点或者所述源从节点,所述身份查询请求用于指示所述身份管理系统对所述目的从节点的身份进行查询;
所述接收单元用于接收所述身份管理系统返回的身份查询结果,其中,所述身份查询结果用于指示所述目的从节点的属性为从节点,并且,所述目的从节点对应的主节点为所述目的主节点;
所述发送单元用于向身份与位置映射管理设备发送位置查询请求,其中,所述位置查询请求用于指示所述身份与位置映射管理设备对所述目的主节点的位置进行查询;
所述接收单元用于接收所述身份与位置映射管理设备返回的位置查询结果,其中,所述位置查询结果包括所述目的主节点的全局定位地址;
所述发送单元用于基于所述目的主节点的全局定位地址向所述目的主节点发送第一目的签名消息;
所述接收单元用于接收所述目的主节点发送的第一验证结果,其中,所述第一验证结果是所述目的主节点对所述第一目的签名消息进行验证得到的结果,所述第一验证结果用于指示所述目的从节点通过了对所述访问节点的身份认证。
17.根据权利要求16所述的终端设备,其特征在于,当所述访问节点为所述源从节点时,所述终端设备还包括处理单元,
所述接收单元用于接收所述源从节点发送的原始数据包,其中,所述原始数据包包括所述源从节点标识、所述源从节点的本地定位地址、目的从节点标识以及所述目的主节点的全局定位地址;
所述处理单元用于将所述原始数据包中的所述源从节点的本地定位地址替换为所述源主节点的全局定位地址,从而得到中间数据包;
所述发送单元用于将所述中间数据包发送给所述目的主节点,以使得所述目的主节点将所述中间数据包中的所述目的主节点的全局定位地址替换为所述目的从节点的本地定位地址,从而获得目的数据包,并将所述目的数据包发送给所述目的从节点。
18.根据权利要求17所述的终端设备,其特征在于,
所述接收单元用于接收所述源从节点发送的第一原始签名消息,其中,所述第一原始签名消息是所述源从节点使用源从节点私钥对第一消息进行签名得到的;
所述处理单元用于使用所述源主节点私钥对所述第一原始签名消息进行签名得到所述第一目的签名消息。
19.根据权利要求17所述的终端设备,其特征在于,当所述访问节点为所述源从节点时,
所述接收单元用于接收所述源从节点发送的第一消息;
所述处理单元用于使用所述源主节点私钥对所述第一消息进行签名得到所述第一目的签名消息。
20.根据权利要求16所述的终端设备,其特征在于,当所述访问节点为所述源主节点时,
所述发送单元用于将原始数据包发送给所述目的主节点,其中,所述原始数据包包括所述源主节点标识、所述源主节点的全局定位地址、目的从节点标识以及所述目的主节点的全局定位地址,以使得所述目的主节点将所述原始数据包中的所述目的主节点的全局定位地址替换为所述目的从节点的本地定位地址,从而获得目的数据包,并将所述目的数据包发送给所述目的从节点。
21.根据权利要求20所述的终端设备,其特征在于,当所述访问节点为所述源主节点时,所述终端设备还包括处理单元,所述处理单元用于使用源主节点私钥对第一消息进行签名,以得到所述第一目的签名消息。
22.根据权利要求16至21任一权利要求所述的终端设备,其特征在于,所述源主节点为所述源可信域中续航能力强的节点;所述源从节点为所述源可信域中续航能力弱的节点;所述目的主节点为所述目的可信域中续航能力强的节点;所述目的从节点为所述目的可信域中续航能力弱的节点。
23.根据权利要求16至21任一权利要求所述的终端设备,其特征在于,
所述接收单元用于接收所述目的主节点发送的第二目的签名消息;
所述发送单元用于向所述目的主节点发送第二验证结果,其中,所述第二验证结果是所述源主节点对所述第二目的签名消息进行验证得到的结果,所述第二验证结果用于指示所述访问节点通过了对所述目的从节点的身份认证。
24.根据权利要求23所述的终端设备,其特征在于,所述第一目的签名消息以及所述第二目的签名消息均为基于身份的签名消息。
25.一种终端设备,其特征在于,应用于通信系统,所述通信系统包括源可信域以及目的可信域,所述源可信域包括源主节点以及源从节点,所述目的可信域包括目的主节点以及目的从节点,所述源从节点为所述源主节点的从属节点,所述目的从节点为所述目的主节点的从属节点,所述终端设备为所述目的主节点,所述终端设备包括接收单元以及发送单元,
当访问节点需要对所述目的可信域中的目的从节点进行访问时,所述接收单元用于接收所述源主节点发送的第一目的签名消息;
所述发送单元用于向所述源主节点发送第一验证结果,所述第一验证结果是对所述第一目的签名消息进行验证得到的结果,所述第一验证结果用于指示所述目的从节点通过了对所述源从节点的身份认证;
所述发送单元用于向所述源主节点发送第二目的签名消息;
所述接收单元用于接收所述源主节点发送的第二验证结果,其中,所述第二验证结果是所述源主节点对所述第二目的签名消息进行验证得到的结果,所述第二验证结果用于指示所述访问节点通过了对所述目的从节点的身份认证。
26.根据权利要求25所述的终端设备,其特征在于,当所述访问节点为所述源从节点时,所述终端设备还包括处理单元,
所述接收单元用于接收所述源主节点发送的中间数据包,其中,所述中间数据包是所述源主节点将原始数据包中的源从节点的本地定位地址替换为源主节点的全局定位地址从而得到的;所述原始数据包包括所述源从节点标识、所述源从节点的本地定位地址、目的从节点标识以及所述目的主节点的全局定位地址;
所述处理单元用于将所述中间数据包中的所述目的主节点的全局定位地址替换为所述目的从节点的本地定位地址,从而获得目的数据包;
所述发送单元用于将所述目的数据包发送给所述目的从节点。
27.根据权利要求25所述的终端设备,其特征在于,当所述访问节点为所述源主节点时,所述终端设备还包括处理单元,
所述接收单元用于接收所述源主节点发送的原始数据包,其中,所述原始数据包包括所述源主节点标识、所述源主节点的全局定位地址、目的从节点标识以及所述目的主节点的全局定位地址;
所述处理单元用于将所述原始数据包中的所述目的主节点的全局定位地址替换为所述目的从节点的本地定位地址,从而获得目的数据包;
所述发送单元用于将所述目的数据包发送给所述目的从节点。
28.根据权利要求25至27任一权利要求所述的终端设备,其特征在于,
所述源主节点为所述源可信域中续航能力强的节点;所述源从节点为所述源可信域中续航能力弱的节点;所述目的主节点为所述目的可信域中续航能力强的节点;所述目的从节点为所述目的可信域中续航能力弱的节点。
29.根据权利要求25所述的终端设备,其特征在于,所述第一目的签名消息以及所述第二目的签名消息均为基于身份的签名消息。
30.根据权利要求25或者29所述的终端设备,其特征在于,所述终端设备还包括处理单元,
所述接收单元用于接收所述目的从节点发送的第二消息;
所述处理单元用于使用目的主节点私钥对第二消息进行签名,以得到所述第二目的签名消息。
31.一种终端设备,其特征在于,包括存储器以及与所述存储器耦合的处理器、发射器和接收器,其中:所述发射器用于与向外部发送数据,所述接收器用于接收外部发送的数据,所述存储器用于存储权利要求1-9任一权利要求所述方法的实现代码,所述处理器用于执行所述存储器中存储的程序代码,即执行权利要求1-9任一权利要求所述方法。
32.一种终端设备,其特征在于,包括存储器以及与所述存储器耦合的处理器、发射器和接收器,其中:所述发射器用于与向外部发送数据,所述接收器用于接收外部发送的数据,所述存储器用于存储权利要求10-15任一权利要求所述方法的实现代码,所述处理器用于执行所述存储器中存储的程序代码,即执行权利要求10-15任一权利要求所述方法。
33.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至9任一项所述方法。
34.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求10至15任一项所述方法。
35.一种通讯系统,其特征在于,所述通信系统包括源可信域以及目的可信域,所述源可信域包括源主节点以及源从节点,所述目的可信域包括目的主节点以及目的从节点,所述源从节点为所述源主节点的从属节点,所述目的从节点为所述目的主节点的从属节点,其中,所述源主节点用于执行权利要求1-9任一权利要求所述方法,所述目的主节点用于执行权利要求10-15任一权利要求所述方法。
CN201710411234.9A 2017-06-02 2017-06-02 认证方法、设备以及系统 Active CN108989270B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201710411234.9A CN108989270B (zh) 2017-06-02 2017-06-02 认证方法、设备以及系统
PCT/CN2018/089627 WO2018219351A1 (zh) 2017-06-02 2018-06-01 认证方法、设备以及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710411234.9A CN108989270B (zh) 2017-06-02 2017-06-02 认证方法、设备以及系统

Publications (2)

Publication Number Publication Date
CN108989270A CN108989270A (zh) 2018-12-11
CN108989270B true CN108989270B (zh) 2021-03-05

Family

ID=64455670

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710411234.9A Active CN108989270B (zh) 2017-06-02 2017-06-02 认证方法、设备以及系统

Country Status (2)

Country Link
CN (1) CN108989270B (zh)
WO (1) WO2018219351A1 (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109634965B (zh) * 2018-12-17 2021-10-29 郑州云海信息技术有限公司 背板配置信息访问方法、装置、设备及介质
CN110768838A (zh) * 2019-10-29 2020-02-07 北京浪潮数据技术有限公司 一种snmp消息处理方法及相关装置
CN113472716B (zh) * 2020-03-30 2023-09-19 中移互联网有限公司 系统访问方法、网关设备、服务器、电子设备及存储介质
CN112202812A (zh) * 2020-10-27 2021-01-08 中国联合网络通信集团有限公司 基于区块链的水利物联网终端接入认证方法及系统

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9131008B2 (en) * 2008-09-30 2015-09-08 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Discovery profile based unified credential processing for disparate security domains
CN101374159B (zh) * 2008-10-08 2012-05-23 中国科学院计算技术研究所 一种p2p网络可信控制方法及系统
CN101399671B (zh) * 2008-11-18 2011-02-02 中国科学院软件研究所 一种跨域认证方法及其系统
CN102340487B (zh) * 2010-07-21 2014-04-02 航天信息股份有限公司 多信任域之间的完整性报告传递方法和系统
CN102104872A (zh) * 2011-02-23 2011-06-22 中兴通讯股份有限公司 安全访问wapi网络的方法、装置及系统
CN103795530B (zh) * 2012-10-31 2017-11-03 华为技术有限公司 一种跨域控制器认证的方法、装置及主机
CN103856477B (zh) * 2012-12-06 2018-01-02 阿里巴巴集团控股有限公司 一种可信计算系统及相应的认证方法和设备
CN103491072B (zh) * 2013-09-06 2017-03-15 中国航天系统科学与工程研究院 一种基于双单向隔离网闸的边界访问控制方法
US10050978B2 (en) * 2015-10-16 2018-08-14 Dell Products Lp Systems and methods for securing command and data interfaces to sensors and devices through the use of a protected security zone

Also Published As

Publication number Publication date
WO2018219351A1 (zh) 2018-12-06
CN108989270A (zh) 2018-12-11

Similar Documents

Publication Publication Date Title
Nizzi et al. IoT security via address shuffling: The easy way
CN108989270B (zh) 认证方法、设备以及系统
CN106664561B (zh) 用于确保预关联服务发现安全的系统和方法
US8566474B2 (en) Methods, systems, and computer readable media for providing dynamic origination-based routing key registration in a diameter network
Jia et al. A2 chain: a blockchain‐based decentralized authentication scheme for 5G‐enabled IoT
CN108023883B (zh) 一种设备授权管理方法及装置
Li et al. A mobile phone based WSN infrastructure for IoT over future internet architecture
EP3447996A1 (en) Resource subscription method, resource subscription device, and resource subscription system
Esposito et al. Integrity for an event notification within the industrial Internet of Things by using group signatures
CN106685907A (zh) 一种会话密钥的生成方法及装置
CN102316416A (zh) 终端接入方法和无线通信网络
Gunasekaran et al. TEAP: trust‐enhanced anonymous on‐demand routing protocol for mobile ad hoc networks
CN106302110A (zh) 一种基于隐私保护的社交网络位置共享方法
WO2020016480A1 (en) Electronic device update management
Durand et al. Decentralized LPWAN infrastructure using blockchain and digital signatures
EP2912799A1 (en) Methods and apparatus for data security in mobile ad hoc networks
CN109478153B (zh) 机器到机器服务层通信中的消息重定向
Chen et al. A Bilinear Pairing‐Based Dynamic Key Management and Authentication for Wireless Sensor Networks
Lai et al. Security issues on machine to machine communications
CN103795581A (zh) 地址处理方法和设备
Alshawish et al. An efficient mutual authentication scheme for IoT systems
CN104796852A (zh) 用于终端直连通信的设备发现方法、装置和终端
Wang et al. A secure IPv6 address configuration scheme for a MANET
CN112333172B (zh) 签名验签方法及系统
US9949119B2 (en) Method and system for assessing a message in a decentralized communication network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant