CN110635904B - 一种软件定义物联网节点远程证明方法及系统 - Google Patents
一种软件定义物联网节点远程证明方法及系统 Download PDFInfo
- Publication number
- CN110635904B CN110635904B CN201910868719.XA CN201910868719A CN110635904B CN 110635904 B CN110635904 B CN 110635904B CN 201910868719 A CN201910868719 A CN 201910868719A CN 110635904 B CN110635904 B CN 110635904B
- Authority
- CN
- China
- Prior art keywords
- software
- things
- node
- defined internet
- internet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种软件定义物联网节点远程证明方法及系统。方法包括:(1)软件定义物联网控制器生成随机数,加密发送给节点m;(2)节点m获取自身当前安装的软件包信息,与随机数以及共享主密钥加密作为证明信息;(3)控制器解析出节点m加入软件定义物联网时的软件包信息;(4)控制器将节点m加入软件定义物联网时的软件包信息,与随机数以及共享主密钥采用与步骤(2)节点m相同的方式组合并加密,获得标准信息;(5)将证明信息与标准信息相比较。系统包括密钥管理服务器、以及软件定义物联网控制器。本发明提供的软件定义物联网节点远程证明方法能有效验证软件定义物联网节点的完整性状态。
Description
技术领域
本发明属于物联网安全技术领域,更具体地,涉及一种软件定义物联网节点远程证明方法及系统。
背景技术
软件定义物联网建立在软件定义网络基础上,继承了集中控制以及转发与控制相分离的网络体系架构,能灵活地实现可编程的物联网管理模式。借鉴软件定义网络中的南向接口,软件定义物联网能方便地在不同物联网网络协议之间进行网络通信。通过软件定义物联网控制器,软件定义物联网能高效地管理各个软件定义物联网节点,从而降低整个物联网运维成本。因此,软件定义物联网已成为当前物联网部署的主要形式。
然而,在一个软件定义物联网中,通常包含大量计算能力、存储能力偏弱的节点,由于安全技术的安全保护性强弱一般跟计算量成正比,导致这些节点难以支撑安全保护性强的安全技术。另外,由于对大量节点进行系统升级和更新的任务艰巨,所以大部分软件定义物联网节点一旦部署完毕后极少更新,导致大部分软件定义物联网节点具有较多的安全漏洞但未能及时修复。
远程证明技术是一种验证设备软硬件完整性状态的有效机制,使用该技术可以让网络通信的一方检测到另一方设备软硬件的变化,这样就可以避免向不安全或安全受损的通信方发送私有信息或重要的命令。
目前,已有一些远程证明系统与方法。杜变霞等人发表的论文“面向物联网的高效集群证明机制”(计算机系统应用,2018,27(10):22–32)提出了一种基于物联网节点分组的集群证明方案,该方案主要应用于同构物联网节点,不适用于目前普遍采用异构架构的物联网。同时,未考虑软件定义物联网的网络拓扑结构。专利申请文件CN 104506532A公开了一种适用于紧急救援平台的远程证明方法,但不适用于软件定义物联网。专利申请文件CN103560887A公开了一种适用于智能终端的远程证明方法和系统,专利申请文件CN103220300A公开了一种支持动态远程证明的移动终端系统,专利申请文件CN 103179129A公开了一种基于云计算IaaS环境的远程证明方法,专利申请文件CN 101951388A公开了一种可信计算环境中的远程证明方法,但这些远程证明系统和方法应用的网络环境与软件定义物联网网络拓扑环境不同,都不能适用于软件定义物联网。
综上,现有的远程证明系统与方法未考虑软件定义物联网的网络拓扑结构,也未考虑新加入软件定义物联网节点或移动原有软件定义物联网节点时导致网络拓扑结构变化的情况,因此,不能直接应用于软件定义物联网。
发明内容
针对现有技术的以上缺陷或改进需求,本发明提供了一种软件定义物联网的证明方法及系统,其目的在于节点通过调用控制器的计算能力,向控制器提供节点自身的软件配置信息,以验证软件定义物联网的完整性状态,确保软件定义物联网节点身份的合法性及其所运行软件的正确性,从而使软件定义物联网节点提供可信数据,达到防止恶意程序注入而泄露重要数据的目的,由此解决大部分软件定义物联网节点计算能力偏弱难以支撑安全保护性强的安全技术、安全漏洞多但未能及时修复的技术问题。
为实现上述目的,按照本发明的一个方面,提供了一种软件定义物联网节点远程证明方法,其包括以下步骤:
(1)对于需要远程证明的软件定义物联网节点m,软件定义物联网控制器生成一个标识唯一的随机数,并基于所述软件定义物联网控制器和所述软件定义物联网节点m之间用于信息保密传输的共享主密钥加密发送给所述节点m;
(2)所述节点m通过软件定义物联网控制器获取自身当前安装的软件包信息Sof′m=GetSof(m),与所述随机数以及所述共享主密钥采用与所述控制器约定的方式组合并加密,作为证明信息发送给软件定义物联网控制器;
(3)所述控制器取出所述节点m加入所述软件定义物联网时的软件包信息证书Dig(Sofm),并解析出所述节点m加入所述软件定义物联网时的软件包信息Sofm;
(4)所述控制器将节点m加入所述软件定义物联网时的软件包信息Sofm,与所述随机数以及所述共享主密钥采用与步骤(2)所述节点m相同的方式组合并加密,获得标准信息;
(5)将所述证明信息与标准信息相比较,若一致则,所述软件定义物联网节点m通过远程证明,要求其他软件定义物联网节点将所述软件定义物联网节点m加入到各自的邻居节点集合;否则所述软件定义物联网节点m未通过远程证明,软件定义物联网控制器向整个软件定义物联网广播“软件定义物联网节点m属于不可信节点”的消息,要求其他软件定义物联网节点从各自的邻居节点集合中删除所述软件定义物联网节点m,之后,结束对软件定义物联网节点m身份的远程证明。
优选地,所述软件定义物联网节点远程证明方法,其所述软件定义物联网节点m保存软件包信息证书Dig(Sofm),所述软件定义物联网控制器和所述软件定义物联网节点m之间由密钥管理服务器生成用于信息保密传输的共享主密钥
优选地,所述软件定义物联网节点远程证明方法,其所述软件包信息证书Dig(Sofm),由所述软件定义物联网的密钥管理服务器调用所述软件定义物联网控制器的安全中间件内的杂凑函数和数字签名函数将所述节点m中安装的软件包信息Sofm计算杂凑值并进行数字签名后获得,所述节点m中安装的软件包信息Sofm由所述软件定义物联网的密钥管理服务器调用软件定义物联网控制器的安全中间件内的软件包安装信息获取函数获取所述节点m中安装的软件包信息Sofm=GetSof(m)。
优选地,所述软件定义物联网节点远程证明方法,其所述软件定义物联网控制器和所述软件定义物联网节点m之间用于信息保密传输的共享主密钥由软件定义物联网的密钥管理服务器基于Diffie-Hellman密钥交换算法生成,再分别发送给所述软件定义物联网控制器和所述软件定义物联网节点m。
优选地,所述软件定义物联网节点远程证明方法,其所述软件定义物联网节点m保存数字签名对(Prim,Pubm)、数字身份证书Dig(Pubm)、软件定义物联网的密钥管理服务器的公钥PubKM、标识信息βm、以及其邻居节点集合Neim。
优选地,所述软件定义物联网节点远程证明方法,其所述数字签名对(Prim,Pubm),由所述软件定义物联网的密钥管理服务器为所述节点分配,其中Prim表示所述软件定义物联网节点m的私钥,Pubm表示所述软件定义物联网节点m的公钥。
优选地,所述软件定义物联网节点远程证明方法,其所述数字身份证书Dig(Pubm),由所述软件定义物联网的密钥管理服务器基于所述节点m的公钥Pubm,调用所述软件定义物联网控制器的安全中间件内的杂凑函数和数字签名函数生成。
优选地,所述软件定义物联网节点远程证明方法,其所述标识信息βm,由所述软件定义物联网的密钥管理服务器组合所述软件定义物联网节点m的身份信息Idem和初始化时间Tim0得到αm=Idem||Tim0,再使用所述软件定义物联网的密钥管理服务器的私钥PriKM对αm进行数字签名获得。
优选地,所述软件定义物联网节点远程证明方法,其所述节点m的邻居节点集合Neim按照以下方法加入到所述软件定义物联网:
S2、所述软件定义物联网控制器收到γm后,基于所述共享主密钥解密γm得到节点m的标识信息并使用软件定义物联网的密钥管理服务器的公钥PubKM校验βm,若校验通过,则由软件定义物联网的密钥管理服务器的公钥PubKM校验βm获得校验信息αm=SM2Ver(βm,PubKM),转到步骤S3;若校验不通过,软件定义物联网控制器向整个软件定义物联网广播,使得软件定义物联网中所有节点从邻居节点集合中删除所述节点m,结束关于所有该节点的证明进程;
S3、所述软件定义物联网节点m向所述软件定义物联网控制器发送所述软件定义物联网节点m的软件包信息证书Dig(Sofm)并由控制器存储;根据软件定义物联网的拓扑结构获取所述节点m的邻居节点集合Neim,并将其身份信息添加到邻居节点集合中所有节点的邻居节点集合中。
按照本发明的另一个方面,提供了一种软件定义物联网的节点远程证明系统,其包括密钥管理服务器、以及软件定义物联网控制器;
所述密钥管理服务器,为所有相互通信的设备分配共享密钥、数字签名对,并生成数字证书;
所述控制器,用于与软件定义物联网节点通信,并通过控制各节点的邻居节点集合读写控制软件定义物联网拓扑结构;
所述控制器包括,证明模块、安全中间件、以及广播模块;
所述证明模块,用于根据校验信息及标准信息校验待证明节点的软件包从而证明所述节点;所述安全中间件用于提供生成校验信息以及标准信息的安全函数;所述广播模块用于根据证明的结果控制所述软件定义物联网内各节点的邻居节点集合读写:将通过证明的物联网节点加入到相应节点的邻居节点集合中;将未通过证明的物联网节点从所有节点的邻居节点集合中删除。
总体而言,通过本发明所构思的以上技术方案与现有技术相比,能够取得下列有益效果:
(1)本发明提供的软件定义物联网节点远程证明方法能有效验证软件定义物联网节点的完整性状态,能确保软件定义物联网节点身份的合法性及其所运行软件的正确性,使软件定义物联网节点提供可信数据,防止恶意程序注入而泄露重要数据。
(2)本发明提供的软件定义物联网节点远程证明系统将计算量大的安全计算交给具有充足计算能力的软件定义物联网控制器完成,大大减轻软件定义物联网节点用于保证系统安全的计算量。
(3)本发明提供的软件定义物联网节点远程证明方法完全适用于因为新加入软件定义物联网节点或者移动原有软件定义物联网节点导致网络拓扑结构变化的情况,可扩展性强。
(4)本发明实施例提供的软件定义物联网节点远程证明方法使用国家密码管理局发布的安全算法,安全可控。
附图说明
图1是本发明提供的软件定义物联网节点远程证明系统的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
本发明提供的软件定义物联网节点远程证明方法,包括以下步骤:
(1)对于需要远程证明的软件定义物联网节点m,软件定义物联网控制器生成一个标识唯一的随机数,并基于所述软件定义物联网控制器和所述软件定义物联网节点m之间用于信息保密传输的共享主密钥加密发送给所述节点m;
所述软件定义物联网节点m保存数字签名对(Prim,Pubm)、数字身份证书Dig(Pubm)、软件定义物联网的密钥管理服务器的公钥PubKM、软件包信息证书Dig(Sofm)、标识信息βm、所述软件定义物联网控制器和所述软件定义物联网节点m之间用于信息保密传输的共享主密钥以及其邻居节点集合Neim。
所述数字签名对(Prim,Pubm),由所述软件定义物联网的密钥管理服务器为所述节点分配,其中Prim表示所述软件定义物联网节点m的私钥,Pubm表示所述软件定义物联网节点m的公钥。
所述数字身份证书Dig(Pubm),由所述软件定义物联网的密钥管理服务器基于所述节点m的公钥Pubm,调用所述软件定义物联网控制器的安全中间件内的杂凑函数和数字签名函数生成。
所述软件包信息证书Dig(Sofm),由所述软件定义物联网的密钥管理服务器调用所述软件定义物联网控制器的安全中间件内的杂凑函数和数字签名函数将所述节点m中安装的软件包信息Sofm计算杂凑值并进行数字签名后获得,所述节点m中安装的软件包信息Sofm由软件定义物联网的密钥管理服务器调用软件定义物联网控制器的安全中间件内的软件包安装信息获取函数获取所述节点m中安装的软件包信息Sofm=GetSof(m)。
所述标识信息βm,由所述软件定义物联网的密钥管理服务器组合所述软件定义物联网节点m的身份信息Idem和初始化时间Tim0得到αm=Idem||Tim0,再使用所述软件定义物联网的密钥管理服务器的私钥PriKM对αm进行数字签名获得。
所述软件定义物联网控制器和所述软件定义物联网节点m之间用于信息保密传输的共享主密钥由软件定义物联网的密钥管理服务器基于Diffie-Hellman密钥交换算法生成,再分别发送给所述软件定义物联网控制器和所述软件定义物联网节点m。
所述节点m的邻居节点集合Neim按照以下方法加入到所述软件定义物联网:
S2、所述软件定义物联网控制器收到γm后,基于所述共享主密钥解密γm得到节点m的标识信息并使用软件定义物联网的密钥管理服务器的公钥PubKM校验βm,若校验通过,则由软件定义物联网的密钥管理服务器的公钥PubKM校验βm获得校验信息αm=SM2Ver(βm,PubKM),转到步骤S3;若校验不通过,软件定义物联网控制器向整个软件定义物联网广播,使得软件定义物联网中所有节点从邻居节点集合中删除所述节点m,结束关于所有该节点的证明进程;
S3、所述软件定义物联网节点m向所述软件定义物联网控制器发送所述软件定义物联网节点m的软件包信息证书Dig(Sofm)并由控制器存储;根据软件定义物联网的拓扑结构获取所述节点m的邻居节点集合Neim,并将其身份信息添加到邻居节点集合中所有节点的邻居节点集合中。
(2)所述节点m通过软件定义物联网控制器获取自身当前安装的软件包信息Sof′m=GetSof(m),与所述随机数以及所述共享主密钥采用与所述控制器约定的方式组合并加密,作为证明信息发送给软件定义物联网控制器;
(3)所述控制器取出所述节点m加入所述软件定义物联网时的软件包信息证书Dig(Sofm),并解析出所述节点m加入所述软件定义物联网时的软件包信息Sofm;
(4)所述控制器将节点m加入所述软件定义物联网时的软件包信息Sofm,与所述随机数以及所述共享主密钥采用与步骤(2)所述节点m相同的方式组合并加密,获得标准信息;
(5)将所述证明信息与标准信息相比较,若一致则,所述软件定义物联网节点m通过远程证明,要求其他软件定义物联网节点将所述软件定义物联网节点m加入到各自的邻居节点集合;否则所述软件定义物联网节点m未通过远程证明,软件定义物联网控制器向整个软件定义物联网广播“软件定义物联网节点m属于不可信节点”的消息,要求其他软件定义物联网节点从各自的邻居节点集合中删除所述软件定义物联网节点m,之后,结束对软件定义物联网节点m身份的远程证明。
本发明提供的软件定义物联网的节点远程证明系统,包括密钥管理服务器、以及软件定义物联网控制器;
所述密钥管理服务器,为所有相互通信的设备分配共享密钥、数字签名对,并生成数字证书;
所述控制器,用于与软件定义物联网节点通信,并通过控制各节点的邻居节点集合读写控制软件定义物联网拓扑结构;
所述控制器包括,证明模块、安全中间件、以及广播模块;
所述证明模块,用于根据校验信息及标准信息校验待证明节点的软件包从而证明所述节点;所述安全中间件用于提供生成校验信息以及标准信息的安全函数;所述广播模块用于根据证明的结果控制所述软件定义物联网内各节点的邻居节点集合读写:将通过证明的物联网节点加入到相应节点的邻居节点集合中;将未通过证明的物联网节点从所有节点的邻居节点集合中删除。
以下为实施例:
软件定义物联网节点初始化:
步骤A1、对于任意一个软件定义物联网节点m,软件定义物联网的密钥管理服务器给所述软件定义物联网节点m分配数字签名对(Prim,Pubm),其中,Prim表示所述软件定义物联网节点m的私钥,Pubm表示所述软件定义物联网节点m的公钥。所述软件定义物联网节点m保存(Prim,Pubm);
步骤A2、软件定义物联网的密钥管理服务器基于所述软件定义物联网节点m的公钥Pubm,调用软件定义物联网控制器的安全中间件内的国密SM3密码杂凑算法的杂凑函数SM3Has()和国密SM2椭圆曲线公钥密码算法的数字签名函数SM2Sig(),给所述软件定义物联网节点m计算杂凑值并进行数字签名后生成数字身份证书Dig(Pubm),发送给所述软件定义物联网节点m后由所述软件定义物联网节点m保存Dig(Pubm);
步骤A3、软件定义物联网的密钥管理服务器将自身的公钥PubKM发送给所述软件定义物联网节点m,所述软件定义物联网节点m保存PubKM;
步骤A4、软件定义物联网的密钥管理服务器调用软件定义物联网控制器的安全中间件内的软件包安装信息获取函数GetSof(),获得所述软件定义物联网节点m中安装的软件包信息Sofm=GetSof(m),再调用软件定义物联网控制器的安全中间件内的国密SM3密码杂凑算法的杂凑函数SM3Has()和国密SM2椭圆曲线公钥密码算法的数字签名函数SM2Sig(),给所述软件定义物联网节点m计算杂凑值并进行数字签名后生成软件包信息证书Dig(Sofm),发送给所述软件定义物联网节点m后由所述软件定义物联网节点m保存Dig(Sofm);
步骤A5、软件定义物联网的密钥管理服务器组合所述软件定义物联网节点m的身份信息IDem和初始化时间Tim0得到αm=Idem||Tim0,使用自身的私钥PriKM,调用国密SM2椭圆曲线公钥密码算法的数字签名函数SM2Sig(),对αm进行数字签名得到节点m的标识信息βm=SM2Sig(αm,PriKM),发送给所述软件定义物联网节点m后由所述软件定义物联网节点m保存βm;
步骤A6、软件定义物联网的密钥管理服务器基于Diffie-Hellman密钥交换算法生成所述软件定义物联网控制器和所述软件定义物联网节点m之间用于信息保密传输的共享主密钥再分别发送给所述软件定义物联网控制器和所述软件定义物联网节点m后,由所述软件定义物联网控制器和所述软件定义物联网节点m分别保存。
将节点m加入软件定义物联网:
步骤B1、对于拟加入软件定义物联网的任意一个软件定义物联网节点m,所述软件定义物联网节点m调用软件定义物联网控制器的安全中间件内的国密SM4分组密码算法的加密函数ESM4(),基于所述共享主密钥加密所述软件定义物联网节点m的βm得到再向所述软件定义物联网控制器发送γm;
步骤B2、所述软件定义物联网控制器收到γm后,调用自身安全中间件内的国密SM4分组密码算法的解密函数DSM4(),基于所述共享主密钥解密γm得到再调用自身安全中间件内的国密SM2椭圆曲线公钥密码算法的数字签名校验函数SM2Ver(),使用软件定义物联网的密钥管理服务器的公钥PubKM校验βm,若校验通过,则得到αm=SM2Ver(βm,PubKM),转到步骤B3。否则,若校验不通过,软件定义物联网控制器向整个软件定义物联网广播“软件定义物联网节点m属于不可信节点”的消息,要求其他软件定义物联网节点从各自的邻居节点集合中删除所述软件定义物联网节点m,之后,结束对软件定义物联网节点m身份的远程证明;
步骤B3、所述软件定义物联网节点m向所述软件定义物联网控制器发送所述软件定义物联网节点m的软件包信息证书Dig(Sofm),并由所述软件定义物联网控制器保存;
步骤B4、所述软件定义物联网节点m通过节点邻居发现协议发现它的邻居节点,并将所述邻居节点的身份信息加入所述软件定义物联网节点m的邻居节点集合Neim;
一种软件定义物联网节点远程证明方法,包括以下步骤:
(1)对于需要远程证明的软件定义物联网节点m,软件定义物联网控制器生成一个标识唯一的随机数,并基于所述软件定义物联网控制器和所述软件定义物联网节点m之间用于信息保密传输的共享主密钥加密发送给所述节点m;具体地:
对于软件定义物联网节点m,软件定义物联网控制器生成一个标识唯一且不能预测的64位随机数Noncm,调用控制器自身安全中间件内的国密SM4分组密码算法的加密函数ESM4(),基于所述共享主密钥加密Noncm得到再向所述软件定义物联网节点m发送δm;
(2)所述节点m通过软件定义物联网控制器获取自身当前安装的软件包信息Sof′m=GetSof(m),与所述随机数以及所述共享主密钥采用与所述控制器约定的方式组合并加密,作为证明信息发送给软件定义物联网控制器;具体地:
所述软件定义物联网节点m调用软件定义物联网控制器的安全中间件内的软件包安装信息获取函数GetSof(),获得所述软件定义物联网节点m中当前安装的软件包信息Sof′m=GetSof(m),组合Noncm和得到 调用软件定义物联网控制器的安全中间件内的国密SM3密码杂凑算法的杂凑函数SM3Has(),得到证明信息μ′m=SM3Has(θ′m),再向所述软件定义物联网控制器发送μ′m;
(3)所述控制器取出所述节点m加入所述软件定义物联网时的软件包信息证书Dig(Sofm),并解析出所述节点m加入所述软件定义物联网时的软件包信息Sofm;具体地:
所述软件定义物联网控制器取出所述软件定义物联网节点m的软件包信息证书Dig(Sofm),从中得到所述软件定义物联网节点m的软件包信息Sofm。
(4)所述控制器将节点m加入所述软件定义物联网时的软件包信息Sofm,与所述随机数以及所述共享主密钥采用与步骤(2)所述节点m相同的方式组合并加密,获得标准信息;具体地:
(5)将所述证明信息与标准信息相比较,若一致则,即:μm=μ′m,所述软件定义物联网节点m通过远程证明,要求其他软件定义物联网节点将所述软件定义物联网节点m加入到各自的邻居节点集合;否则所述软件定义物联网节点m未通过远程证明,软件定义物联网控制器向整个软件定义物联网广播“软件定义物联网节点m属于不可信节点”的消息,要求其他软件定义物联网节点从各自的邻居节点集合中删除所述软件定义物联网节点m,之后,结束对软件定义物联网节点m身份的远程证明。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种软件定义物联网节点远程证明方法,其特征在于,包括以下步骤:
(1)对于需要远程证明的软件定义物联网节点m,软件定义物联网控制器生成一个标识唯一的随机数,并基于所述软件定义物联网控制器和所述软件定义物联网节点m之间用于信息保密传输的共享主密钥加密发送给所述节点m;
(2)所述节点m通过软件定义物联网控制器获取自身当前安装的软件包信息Sof′m=GetSof(m),与所述随机数以及所述共享主密钥采用与所述控制器约定的方式组合并加密,作为证明信息发送给软件定义物联网控制器;
(3)所述控制器取出所述节点m加入所述软件定义物联网时的软件包信息证书Dig(Sofm),并解析出所述节点m加入所述软件定义物联网时的软件包信息Sofm;
(4)所述控制器将节点m加入所述软件定义物联网时的软件包信息Sofm,与所述随机数以及所述共享主密钥采用与步骤(2)所述节点m相同的方式组合并加密,获得标准信息;
(5)将所述证明信息与标准信息相比较,若一致,则所述软件定义物联网节点m通过远程证明,要求其他软件定义物联网节点将所述软件定义物联网节点m加入到各自的邻居节点集合;否则所述软件定义物联网节点m未通过远程证明,软件定义物联网控制器向整个软件定义物联网广播“软件定义物联网节点m属于不可信节点”的消息,要求其他软件定义物联网节点从各自的邻居节点集合中删除所述软件定义物联网节点m,之后,结束对软件定义物联网节点m身份的远程证明。
3.如权利要求2所述的软件定义物联网节点远程证明方法,其特征在于,所述软件包信息证书Dig(Sofm),由所述软件定义物联网的密钥管理服务器调用所述软件定义物联网控制器的安全中间件内的杂凑函数和数字签名函数将所述节点m中安装的软件包信息Sofm计算杂凑值并进行数字签名后获得,所述节点m中安装的软件包信息Sofm由软件定义物联网的密钥管理服务器调用软件定义物联网控制器的安全中间件内的软件包安装信息获取函数获取所述节点m中安装的软件包信息Sofm=GetSof(m)。
5.如权利要求2所述的软件定义物联网节点远程证明方法,其特征在于,所述软件定义物联网节点m保存密钥对(Prim,Pubm)、数字身份证书Dig(Pubm)、软件定义物联网的密钥管理服务器的公钥PubKM、标识信息βm、以及其邻居节点集合Neim。
6.如权利要求5所述的软件定义物联网节点远程证明方法,其特征在于,所述密钥对(Prim,Pubm),由所述软件定义物联网的密钥管理服务器为所述节点分配,其中Prim表示所述软件定义物联网节点m的私钥,Pubm表示所述软件定义物联网节点m的公钥。
7.如权利要求5所述的软件定义物联网节点远程证明方法,其特征在于,所述数字身份证书Dig(Pubm),由所述软件定义物联网的密钥管理服务器基于所述节点m的公钥Pubm,调用所述软件定义物联网控制器的安全中间件内的杂凑函数和数字签名函数生成。
8.如权利要求5所述的软件定义物联网节点远程证明方法,其特征在于,所述标识信息βm,由所述软件定义物联网的密钥管理服务器组合所述软件定义物联网节点m的身份信息Idem和初始化时间Tim0得到αm=Idem||Tim0,再使用所述软件定义物联网的密钥管理服务器的私钥PriKM对αm进行数字签名获得。
9.如权利要求5所述的软件定义物联网节点远程证明方法,其特征在于,所述节点m的邻居节点集合Neim按照以下方法将所述节点m加入到所述软件定义物联网:
S2、所述软件定义物联网控制器收到γm后,基于所述共享主密钥解密γm得到节点m的标识信息并使用软件定义物联网的密钥管理服务器的公钥PubKM校验βm,若校验通过,则由软件定义物联网的密钥管理服务器的公钥PubKM校验βm获得校验信息αm=SM2Ver(βm,PubKM),转到步骤S3;若校验不通过,软件定义物联网控制器向整个软件定义物联网广播,使得软件定义物联网中所有节点从邻居节点集合中删除所述节点m,结束关于所有该节点的证明进程;
S3、所述软件定义物联网节点m向所述软件定义物联网控制器发送所述软件定义物联网节点m的软件包信息证书Dig(Sofm)并由控制器存储;根据软件定义物联网的拓扑结构获取所述节点m的邻居节点集合Neim,并将其身份信息添加到邻居节点集合中所有节点的邻居节点集合中。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910868719.XA CN110635904B (zh) | 2019-09-16 | 2019-09-16 | 一种软件定义物联网节点远程证明方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910868719.XA CN110635904B (zh) | 2019-09-16 | 2019-09-16 | 一种软件定义物联网节点远程证明方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110635904A CN110635904A (zh) | 2019-12-31 |
CN110635904B true CN110635904B (zh) | 2020-07-31 |
Family
ID=68972488
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910868719.XA Active CN110635904B (zh) | 2019-09-16 | 2019-09-16 | 一种软件定义物联网节点远程证明方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110635904B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111669396B (zh) * | 2020-06-15 | 2022-11-29 | 绍兴文理学院 | 一种软件定义物联网自学习安全防御方法及系统 |
CN112383393B (zh) * | 2020-11-14 | 2023-01-31 | 重庆邮电大学 | 软件定义传感网络可信通信系统及方法 |
CN113423108B (zh) * | 2021-05-11 | 2022-07-12 | 西安电子科技大学 | 一种远程证明方法、系统、计算机设备及数据处理终端 |
CN114338136A (zh) * | 2021-12-27 | 2022-04-12 | 深圳前海同益网络技术有限公司 | 一种基于通用物联网设备实现专网通信的系统及方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103166919A (zh) * | 2011-12-13 | 2013-06-19 | 中国移动通信集团黑龙江有限公司 | 一种物联网信息传输的方法和系统 |
CN107766724A (zh) * | 2017-10-17 | 2018-03-06 | 华北电力大学 | 一种可信计算机平台软件栈功能架构的构建方法 |
CN107919956A (zh) * | 2018-01-04 | 2018-04-17 | 重庆邮电大学 | 一种面向物联网云环境下端到端安全保障方法 |
CN110730159A (zh) * | 2019-09-03 | 2020-01-24 | 东南大学 | 一种基于TrustZone的安全和可信混合系统启动方法 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101951388B (zh) * | 2010-10-14 | 2013-03-20 | 中国电子科技集团公司第三十研究所 | 一种可信计算环境中的远程证明方法 |
CN103023922B (zh) * | 2012-12-05 | 2014-07-02 | 清华大学 | 基于控制流模型行为的动态远程证明方法 |
CN103179129B (zh) * | 2013-03-29 | 2016-04-13 | 华南理工大学 | 一种基于云计算IaaS环境的远程证明方法 |
CN103560887B (zh) * | 2013-11-04 | 2016-09-28 | 深圳数字电视国家工程实验室股份有限公司 | 智能终端远程证明方法和系统 |
CN103701797B (zh) * | 2013-12-23 | 2017-01-25 | 江苏物联网研究发展中心 | 一种轻量级的节点、网关双向身份认证方法 |
CN104506532B (zh) * | 2014-12-24 | 2018-06-26 | 北京智捷伟讯科技有限公司 | 一种适用于紧急救援平台的远程证明方法 |
CN106330910B (zh) * | 2016-08-25 | 2019-07-19 | 重庆邮电大学 | 车联网中基于节点身份和信誉的强隐私保护双重认证方法 |
CN109714344B (zh) * | 2018-12-28 | 2021-08-03 | 国汽(北京)智能网联汽车研究院有限公司 | 基于“端-管-云”的智能网联汽车信息安全平台 |
-
2019
- 2019-09-16 CN CN201910868719.XA patent/CN110635904B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103166919A (zh) * | 2011-12-13 | 2013-06-19 | 中国移动通信集团黑龙江有限公司 | 一种物联网信息传输的方法和系统 |
CN107766724A (zh) * | 2017-10-17 | 2018-03-06 | 华北电力大学 | 一种可信计算机平台软件栈功能架构的构建方法 |
CN107919956A (zh) * | 2018-01-04 | 2018-04-17 | 重庆邮电大学 | 一种面向物联网云环境下端到端安全保障方法 |
CN110730159A (zh) * | 2019-09-03 | 2020-01-24 | 东南大学 | 一种基于TrustZone的安全和可信混合系统启动方法 |
Also Published As
Publication number | Publication date |
---|---|
CN110635904A (zh) | 2019-12-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110635904B (zh) | 一种软件定义物联网节点远程证明方法及系统 | |
US11888993B2 (en) | Digital certificate application method | |
TWI725655B (zh) | 用於在可信執行環境中執行子邏輯代碼的程式執行和資料證明的方法、設備和系統 | |
CN108235806B (zh) | 安全访问区块链的方法、装置、系统、存储介质及电子设备 | |
CN110784491B (zh) | 一种物联网安全管理系统 | |
CN112422532B (zh) | 业务通信方法、系统、装置及电子设备 | |
EP3687107B1 (en) | Information assurance (ia) using an integrity and identity resilient blockchain | |
CN111090875A (zh) | 部署合约的方法及装置 | |
CN105873031B (zh) | 基于可信平台的分布式无人机密钥协商方法 | |
CN108600171B (zh) | 一种支持细粒度访问的云数据确定性删除方法 | |
US20190238342A1 (en) | Apparatus and Methods for Distributed Certificate Enrollment | |
KR102177794B1 (ko) | 사물인터넷 블록체인 환경에서의 디바이스 분산 인증 방법 및 이를 이용한 디바이스 분산 인증 시스템 | |
CN109921902B (zh) | 一种密钥管理方法、安全芯片、业务服务器及信息系统 | |
US11184336B2 (en) | Public key pinning for private networks | |
US9325697B2 (en) | Provisioning and managing certificates for accessing secure services in network | |
CN110880972A (zh) | 一种基于安全多方计算的区块链密钥管理系统 | |
CN113360925A (zh) | 电力信息物理系统中可信数据的存储和访问方法及系统 | |
CN112152778B (zh) | 一种节点管理方法、装置、及电子设备 | |
CN110740038B (zh) | 区块链及其通信方法、网关、通信系统和存储介质 | |
CN110690959A (zh) | 一种基于云平台的无人机安全可认证信息通信处理方法 | |
CN115473648A (zh) | 一种证书签发系统及相关设备 | |
US20210336781A1 (en) | Network device, method for security and computer readable storage medium | |
CN111131160A (zh) | 一种用户、服务及数据认证系统 | |
Cifuentes et al. | Poor Man's Hardware Security Module (pmHSM) A Threshold Cryptographic Backend for DNSSEC | |
WO2017020720A1 (zh) | 一种数据访问的方法及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |