CN110602124A - 一种用于物联网中的连续认证的方法 - Google Patents

一种用于物联网中的连续认证的方法 Download PDF

Info

Publication number
CN110602124A
CN110602124A CN201910897113.9A CN201910897113A CN110602124A CN 110602124 A CN110602124 A CN 110602124A CN 201910897113 A CN201910897113 A CN 201910897113A CN 110602124 A CN110602124 A CN 110602124A
Authority
CN
China
Prior art keywords
gateway
authentication
session
internet
things
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910897113.9A
Other languages
English (en)
Other versions
CN110602124B (zh
Inventor
杨楚鹍
黄欣欣
陈梁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Changhong Electric Co Ltd
Original Assignee
Sichuan Changhong Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Changhong Electric Co Ltd filed Critical Sichuan Changhong Electric Co Ltd
Priority to CN201910897113.9A priority Critical patent/CN110602124B/zh
Publication of CN110602124A publication Critical patent/CN110602124A/zh
Application granted granted Critical
Publication of CN110602124B publication Critical patent/CN110602124B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种用于物联网中的连续认证的方法,物联网终端设备根据将要连续发送信息包数量来定义一个时间,并将其加入请求数据包中发送给网关,网关根据收到的请求数据生成一个临时的身份验证信息,网关在预先确定的时间范围内使用该临时的身份验证信息进行验证,终端设备在会话有效期内发给网关的每一条消息中都会添加临时身份验证信息,而无需执行复杂的的公钥/私钥认证操作,这就实现了连续性认证的概念,这对于物联网环境中改善由于复杂的消息传输认证带来的资源消耗有着重大意义。同时由于时效性的约束,临时的身份验证信息只在会话有效期内有效,减少了目前大多数系统中使用长期保存身份验证有效所带来的安全隐患。

Description

一种用于物联网中的连续认证的方法
技术领域
本发明涉及物联网技术领域,尤其涉及一种用于物联网中的连续认证的方法。
背景技术
近年来,物联网在学术界和工业界迅速发展并受到关注。通过物联网连接传感器、微型智能设备和智能家电,物联网为人和设备提供了一种新的“沟通”形式,使虚拟信息世界与现实世界无缝对接。物联网应用可能涉及环境监测,电子卫生,电动汽车和智能家居,尽可能多的物联网设备应于用户的日常生活,隐私和安全方面的问题就显得非常重要。物联网设备的特征在于有限的存储器和存储容量以及低计算能力,这些有限的资源限制了物联网设备能够实现的功能。因此,物联网产品的安全问题极具挑战性。
发明内容
目前,由于大多数物联网设备是资源有限的,因此需要轻量级物联网安全机制。在这种背景下,本发明提出一种在物联网中轻量级连续认证的方法。轻量级意味着安全解决方案的特点是操作次数少,各方之间通信时间较短,双方计算和通信开销较低。当在短时间间隔内发送/接收大量消息时,这些特性尤其重要。本发明利用轻量级认证用于特定时间帧中的一系列消息传输,无需执行复杂的的公钥/私钥认证操作,改善了物联网环境中由于复杂的消息传输认证带来的资源消耗问题。
在物联网中建立连续性的安全通道是有必要的,所谓连续性是指在预定义的时间段(即会话)内建立安全传输信道以发送特定数量的消息。在连续传输的数据中加入身份验证信息,以保证在会话开始后被验证身份的发送者所发送的消息处于当前的会话中。这种认证在本文中称为“连续认证”。
本发明通过以下技术方案来实现上述目的:
一种用于物联网中的连续认证的方法,包括以下步骤:
1、在最初的认证阶段,本发明中用于身份验证的令牌(token)是在系统中是公开的,例如事先约定表示物联网设备类型的串号等。因此物联网终端设备向网关请求创建会话时不需要发送身份验证凭据,例如公钥证书和签名消息。物联网终端设备在发给网关的会话请求数据包中添加共享的token、终端设备ID、网关ID、会话有效时间等信息。
2、网关根据接收到物联网终端设备发来的会话请求数据包后首先会对设备的共享token进行验证。如果验证通过,网关会根据接收到的共享token、终端设备ID、网关ID、会话有效期和当前时间戳,通过加密算法生成一个临时身份验证信息,该身份验证信息将会话有效期内有效。网关在发给终端设备的响应中添加临时身份验证信息,并将响应消息中认证结果状态码设置为验证成功。同时网关将根据收到的会话有效时间创建一个安全传输信道。如果验证失败,则在响应消息中认证结果状态码设置为认证失败。
3、网关在预定义的时间段(即会话)内建立安全传输通道,以在物联网终端和网关之间传输若干消息。在会话时间有效期内,终端设备在发给网关的每一条消息中都会添加临时身份验证信息,而无需执行复杂的的公钥/私钥认证操作,以便终端设备可以在预定义的时间范围内以最小的验证开销发送若干消息。
4、网关根据生成临时身份验证信息、终端设备ID以及会话有效时间建立一个关系映射表,网关在接收到消息后验证消息的临时身份验证信息和时效性,这保证了在会话开始时已认证的终端设备在整个会话期间发送的信息处于有效状态。
5、在会话有效期内,终端设备在发送消息后会收到网关接响应消息,该响应消息内容中包括认证结果的状态码,如果响应消息中认证结果状态码为认证成功,则传输下一条信息直到最后一条信息传输完成;如果响应消息中认证结果状态码为认证失败,则重新向验证这发送新的会话请求。
6、在会话有效期结束后,网关将关闭相应的安全传输通道,并将之前建立的临时身份验证信息关系表中相应内容删除,即使该临时身份验证信息无效。
本发明较现有技术相比,具有以下优点及有益效果:
本发明的一种用于物联网中的连续认证的方法,本方法引入“时间”的概念,物联网终端设备根据将要连续发送信息包数量来定义一个时间,并将其加入请求数据包中发送给网关,网关根据收到的请求数据生成一个临时的身份验证信息,网关在预先确定的时间范围内使用该临时的身份验证信息进行验证,终端设备在会话有效期内发给网关的每一条消息中都会添加临时身份验证信息,而无需执行复杂的的公钥/私钥认证操作,这就实现了连续性认证的概念,这对于物联网环境中改善由于复杂的消息传输认证带来的资源消耗有着重大意义。同时由于时效性的约束,临时的身份验证信息只在会话有效期内有效,减少了目前大多数系统中使用长期保存身份验证有效所带来的安全隐患。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要实用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本实施例的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将对本发明的技术方案进行详细的描述。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施方式,都属于本发明所保护的范围。
在任一实施例中,如图1所示,本发明的一种用于物联网中的连续认证的方法,包括以下步骤:
1、在最初的认证阶段,本发明中用于身份验证的令牌(token)是在系统中是公开的,例如事先约定表示物联网设备类型的串号等。因此物联网终端设备向网关请求创建会话时不需要发送身份验证凭据,例如公钥证书和签名消息。物联网终端设备在发给网关的会话请求数据包中添加共享的token、终端设备ID、网关ID、会话有效时间等信息。如图一所示终端设备发送终端创建会话请求消息格式如下表所示:
请求报文头 消息长度 终端设备ID 网关ID 共享token 会话有效时间 CRC校验
2、网关根据接收到物联网终端设备发来的会话请求数据包后,首先会对设备的共享token进行验证。如果验证通过,网关将接收到的共享token、终端设备ID、会话有效期和当前时间戳拼接为一个字符串,通过AES加密算法(本发明不对加密算法做限制)生成一个临时身份验证信息,该身份验证信息以十六进制字符串的形式在会话有效期内有效。网关在发给终端设备的响应中添加临时身份验证信息,并将响应消息中认证结果状态码设置为验证成功。同时网关将根据收到的会话有效时间创建一个安全传输信道;如果验证失败,则在响应消息中认证结果状态码设置为认证失败。如图一所示网关发送给终端设备的消息格式如下表所示:
3、网关在预定义的时间段(即会话)内建立安全传输通道,以在物联网终端和网关之间传输若干消息。在会话时间有效期内,终端设备在发给网关的每一条消息中都会添加临时身份验证信息,而无需执行复杂的的公钥/私钥认证操作,以便终端设备可以在预定义的时间范围内以最小的验证开销发送若干消息。如图一所示终端设备在会话有效期内发送消息格式如下表所示:
4、网关根据生成临时身份验证信息、终端设备ID以及会话有效时间建立一个关系映射表,网关在接收到消息后验证消息的临时身份验证信息和时效性,这保证了在会话开始时已认证的终端设备在整个会话期间发送的信息处于有效状态。终端设备在会话有效期内发送。
5、在会话有效期内,终端设备在发送消息后会收到网关接响应消息,该响应消息内容中包括认证结果的状态码,如果响应消息中认证结果状态码为认证成功,则传输下一条信息直到最后一条信息传输完成;如果响应消息中认证结果状态码为认证失败,则重新向验证这发送新的会话请求。如图一所示网关发送的消息响应报文如下表所示:
信息响应报文头 消息长度 终端设备ID 网关ID 认证结果状态码 CRC校验
6、在会话有效期结束后,网关将关闭相应的安全传输通道,并将之前建立的临时身份验证信息关系表中相应内容删除,即使该临时身份验证信息无效。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合,为了避免不必要的重复,本发明对各种可能的组合方式不再另行说明。此外,本发明的各种不同的实施方式之间也可以进行任意组合,只要其不违背本发明的思想,其同样应当视为本发明所公开的内容。

Claims (4)

1.一种用于物联网中的连续认证的方法,其特征在于,包括以下步骤:
步骤1,物联网终端设备发给物联网网关会话请求,并在会话请求数据包中添加共享的token、终端设备ID、网关ID、会话有效时间;
步骤2,网关根据接收到物联网终端设备发来的会话请求数据包后,首先会对设备的共享token进行验证;如果验证通过,网关会根据接收到的共享token、终端设备ID、网关ID、会话有效期和当前时间戳,通过加密算法生成一个临时身份验证信息,该身份验证信息将会话有效期内有效;
步骤3,网关在预定义的时间段内建立安全传输通道,以在物联网终端和网关之间传输若干消息;
步骤4、网关根据生成临时身份验证信息、终端设备ID以及会话有效时间建立一个关系映射表,网关在接收到消息后验证消息的临时身份验证信息和时效性,这保证了在会话开始时已认证的终端设备在整个会话期间发送的信息处于有效状态;
步骤5、在会话有效期内,终端设备在发送消息后会收到网关接响应消息,该响应消息内容中包括认证结果的状态码,如果响应消息中认证结果状态码为认证成功,则传输下一条信息直到最后一条信息传输完成;
步骤6、在会话有效期结束后,网关将关闭相应的安全传输通道,并将之前建立的临时身份验证信息关系表中相应内容删除,即使该临时身份验证信息无效。
2.如权利要求1所述的一种用于物联网中的连续认证的方法,其特征在于,所述步骤2中,网关在发给终端设备的响应中添加临时身份验证信息,并将响应消息中认证结果状态码设置为验证成功;同时网关将根据收到的会话有效时间创建一个安全传输信道;如果验证失败,则在响应消息中认证结果状态码设置为认证失败。
3.如权利要求1所述的一种用于物联网中的连续认证的方法,其特征在于,所述步骤5中,如果响应消息中认证结果状态码为认证失败,则重新向验证这发送新的会话请求。
4.如权利要求1所述的一种用于物联网中的连续认证的方法,其特征在于,所述步骤3中,在会话时间有效期内,终端设备在发给网关的每一条消息中都会添加临时身份验证信息,而无需执行复杂的的公钥/私钥认证操作,以便终端设备可以在预定义的时间范围内以最小的验证开销发送若干消息。
CN201910897113.9A 2019-09-20 2019-09-20 一种用于物联网中的连续认证的方法 Active CN110602124B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910897113.9A CN110602124B (zh) 2019-09-20 2019-09-20 一种用于物联网中的连续认证的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910897113.9A CN110602124B (zh) 2019-09-20 2019-09-20 一种用于物联网中的连续认证的方法

Publications (2)

Publication Number Publication Date
CN110602124A true CN110602124A (zh) 2019-12-20
CN110602124B CN110602124B (zh) 2021-10-01

Family

ID=68862164

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910897113.9A Active CN110602124B (zh) 2019-09-20 2019-09-20 一种用于物联网中的连续认证的方法

Country Status (1)

Country Link
CN (1) CN110602124B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050060548A1 (en) * 2000-03-09 2005-03-17 Microsoft Corporation Session-state manager
CN105915537A (zh) * 2016-05-27 2016-08-31 努比亚技术有限公司 一种token生成、校验方法及验证服务器
CN108377231A (zh) * 2018-01-26 2018-08-07 珠海金山网络游戏科技有限公司 一种网络游戏安全管理系统装置及其方法
CN109087093A (zh) * 2018-07-02 2018-12-25 无锡天脉聚源传媒科技有限公司 一种现金种子接口交易方法及系统
CN109309683A (zh) * 2018-10-30 2019-02-05 泰华智慧产业集团股份有限公司 基于token的客户端身份验证的方法及系统
CN109996219A (zh) * 2018-01-02 2019-07-09 中国移动通信有限公司研究院 一种物联网鉴权方法、网络设备及终端

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050060548A1 (en) * 2000-03-09 2005-03-17 Microsoft Corporation Session-state manager
CN105915537A (zh) * 2016-05-27 2016-08-31 努比亚技术有限公司 一种token生成、校验方法及验证服务器
CN109996219A (zh) * 2018-01-02 2019-07-09 中国移动通信有限公司研究院 一种物联网鉴权方法、网络设备及终端
CN108377231A (zh) * 2018-01-26 2018-08-07 珠海金山网络游戏科技有限公司 一种网络游戏安全管理系统装置及其方法
CN109087093A (zh) * 2018-07-02 2018-12-25 无锡天脉聚源传媒科技有限公司 一种现金种子接口交易方法及系统
CN109309683A (zh) * 2018-10-30 2019-02-05 泰华智慧产业集团股份有限公司 基于token的客户端身份验证的方法及系统

Also Published As

Publication number Publication date
CN110602124B (zh) 2021-10-01

Similar Documents

Publication Publication Date Title
Odelu et al. SEAP: Secure and efficient authentication protocol for NFC applications using pseudonyms
CN102687482B (zh) 数据云的分布式认证
CN109936547A (zh) 身份认证方法、系统及计算设备
WO2017000272A1 (zh) 一种无线系统接入控制方法及装置
EP2391083A1 (en) Method for realizing authentication center and authentication system
Saha et al. Consortium blockchain‐enabled access control mechanism in edge computing based generic Internet of Things environment
CN104618369A (zh) 一种基于OAuth的物联网设备唯一授权方法、装置及系统
CN107517194B (zh) 一种内容分发网络的回源认证方法和装置
Zhang et al. Efficient and Privacy‐Aware Power Injection over AMI and Smart Grid Slice in Future 5G Networks
CN101388777B (zh) 一种通信系统中跨系统访问的第三方认证方法和系统
Goutham Reddy et al. Lightweight authentication with key‐agreement protocol for mobile network environment using smart cards
CN112468518A (zh) 访问数据处理方法、装置、存储介质及计算机设备
CN108833255A (zh) 基于区块链的通信方法、系统及区块链节点设备
Huang et al. A token-based user authentication mechanism for data exchange in RESTful API
CN110213247A (zh) 一种提高推送信息安全性的方法及系统
CN103368831B (zh) 一种基于熟客识别的匿名即时通讯系统
CN111541776A (zh) 一种基于物联网设备的安全通信装置及系统
Luo et al. A security communication model based on certificateless online/offline signcryption for Internet of Things
CN110474922A (zh) 一种通信方法、pc系统及接入控制路由器
CN104618362B (zh) 一种资源服务器和客户端交互会话消息的方法及装置
Ren et al. A novel access and handover authentication scheme in UAV-aided satellite-terrestrial integration networks enabling 5G
CN103986716B (zh) Ssl连接的建立方法以及基于ssl连接的通信方法及装置
CN105306577A (zh) 基于app的手持设备间的资料共享系统及方法
Bamasag et al. Efficient multicast authentication in internet of things
Kumar et al. A secure and efficient authentication protocol for wireless applications in multi-server environment

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant