CN110879879A - 物联网身份认证方法、装置、电子设备、系统及存储介质 - Google Patents

物联网身份认证方法、装置、电子设备、系统及存储介质 Download PDF

Info

Publication number
CN110879879A
CN110879879A CN201811031836.2A CN201811031836A CN110879879A CN 110879879 A CN110879879 A CN 110879879A CN 201811031836 A CN201811031836 A CN 201811031836A CN 110879879 A CN110879879 A CN 110879879A
Authority
CN
China
Prior art keywords
digital certificate
internet
sensor node
security gateway
things
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811031836.2A
Other languages
English (en)
Other versions
CN110879879B (zh
Inventor
宁红宙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Aisino Corp
Original Assignee
Aisino Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Aisino Corp filed Critical Aisino Corp
Priority to CN201811031836.2A priority Critical patent/CN110879879B/zh
Publication of CN110879879A publication Critical patent/CN110879879A/zh
Application granted granted Critical
Publication of CN110879879B publication Critical patent/CN110879879B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Medical Informatics (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及物联网技术领域,公开了一种物联网身份认证方法、装置、电子设备、系统及存储介质,所述方法包括:物联网安全网关利用与第一数字证书中的第一公钥匹配的第一私钥向传感器节点签发传感器节点的第二数字证书,并存储向传感器节点签发的第二数字证书;第一数字证书为证书授权中心CA机构向物联网安全网关签发的数字证书;第二数据证书用于在获取到传感器节点发送的采集数据后对传感器节点进行身份认证。本发明实施例提供的技术方案,提高了为物联网中的传感器节点签发数字证书的便捷性,并且在对传感器节点进行身份认证时可追溯到一个可信的CA机构。

Description

物联网身份认证方法、装置、电子设备、系统及存储介质
技术领域
本发明涉及物联网技术领域,尤其涉及一种物联网身份认证方法、装置、电子设备、系统及存储介质。
背景技术
随着物联网技术的发展和各种物联网应用的推广与普及,物联网已走入人们生活的方方面面,如:智能家居、智能车间、智慧城市等。与此同时,物联网安全问题也日趋突出。在智能带来便利的同时,智能也成为被黑客利用的弱点。
一个典型的物联网主要由传感器节点和物联网安全网关组成。传感器节点主要用于采集环境数据和控制影响环境的设备。物联网安全网关主要用于收集传感器节点采集的数据,并向传感器节点发出控制命令等。同时物联网安全网关还可以接入互联网,实现远程监控。为了保障监控效果的有效性和可靠性,通常需要对传感器节点、物联网安全网关进行身份认证,以保障采集数据来源的可信性。在传统互联网应用中,身份认证和数据可信通常采用数字证书和数字签名技术来保障。但在物联网中,传感器节点通常隶属于某个局部网络,受控于局部网络中的物联网安全网关,CA(certificate authority,证书授权中心)机构不方便直接面对传感器节点进行审核并签发数字证书,导致现有的身份认证技术难以应用到物联网中,进而阻碍了物联网安全技术的发展。
发明内容
本发明实施例提供一种物联网身份认证方法、装置、电子设备、系统及存储介质,以解决物联网中的传感器节点难以直接从CA机构获取签发数字证书,导致现有的身份认证技术无法应用到物联网中的缺陷。
第一方面,本发明一实施例提供了一种物联网身份认证方法,包括:
物联网安全网关利用与第一数字证书中的第一公钥匹配的第一私钥向传感器节点签发传感器节点的第二数字证书,并存储向传感器节点签发的第二数字证书;
第一数字证书为证书授权中心CA机构向物联网安全网关签发的数字证书;
第二数据证书用于在获取到传感器节点发送的采集数据后对传感器节点进行身份认证。
第二方面,本发明一实施例提供了一种物联网身份认证方法,包括:
传感器节点向物联网安全网关发送数字证书请求,以使物联网安全网关在获取到数字证书请求后,利用与第一数字证书中的第一公钥匹配的第一私钥向传感器节点签发传感器节点的第二数字证书,第一数字证书为证书授权中心CA机构向物联网安全网关签发的数字证书;
传感器节点在获取到物联网安全网关发送的数据读取请求后,将签名后的采集数据发送给物联网安全网关,以使物联网安全网关利用第二数字证书对采集数据进行验证。
第三方面,本发明一实施例提供了一种物联网身份认证方法,包括:
在接收到数据获取指令后,从物联网安全网关中获取由CA机构为物联网安全网关签发的包含物联网安全网关使用的第一公钥的第一数字证书、由物联网安全网关利用与第一公钥匹配的第一私钥为传感器节点签发的第二数字证书、传感器节点上传的采集数据和采集数据的数字签名;
验证第一数字证书;
在确认第一数字证书可信后,验证第二数字证书;
在确认第二数字证书可信后,根据第二数字证书和采集数据的数字签名对传感器节点进行身份认证;
在确认传感器节点通过身份认证后,将采集数据作为可信数据。
第四方面,本发明一实施例提供了一种物联网身份认证系统,包括:传感器节点、物联网安全网关和CA机构侧的服务器;
传感器节点与物联网安全网关通过网络进行通信连接,物联网安全网关与CA机构侧的服务器通过网络进行通信连接;
CA机构侧的服务器用于为物联网安全网关签发第一数字证书,第一数字证书包含物联网安全网关使用的第一公钥;
传感器节点用于向物联网安全网关发送数字证书请求以使物联网安全网关为传感器节点签发第二数字证明;
物联网安全网关用于利用与第一数字证书中的第一公钥匹配的第一私钥向传感器节点签发传感器节点的第二数字证书,并存储向传感器节点签发的第二数字证书,第二数据证书用于在获取到传感器节点发送的采集数据后对传感器节点进行身份认证。
第五方面,本发明一实施例提供了一种物联网身份认证装置,包括:
数字证书签发模块,用于利用与第一数字证书中的第一公钥匹配的第一私钥向传感器节点签发传感器节点的第二数字证书,并存储向传感器节点签发的第二数字证书;
第一数字证书为证书授权中心CA机构向物联网安全网关签发的数字证书;
第二数据证书用于在获取到传感器节点发送的采集数据后对传感器节点进行身份认证。第六方面,本发明一实施例提供了一种物联网身份认证装置,包括:
数字证书请求模块,用于向物联网安全网关发送数字证书请求,以使物联网安全网关在获取到数字证书请求后,利用与第一数字证书中的第一公钥匹配的第一私钥向传感器节点签发传感器节点的第二数字证书,第一数字证书为证书授权中心CA机构向物联网安全网关签发的数字证书;
采集数据发送模块,用于在获取到物联网安全网关发送的数据读取请求后,将签名后的采集数据发送给物联网安全网关,以使物联网安全网关利用第二数字证书对采集数据进行验证。
第七方面,本发明一实施例提供了一种物联网身份认证装置,包括:
认证数据获取模块,用于在接收到数据获取指令后,从物联网安全网关中获取由CA机构为物联网安全网关签发的包含物联网安全网关使用的第一公钥的第一数字证书、由物联网安全网关利用与第一公钥匹配的第一私钥为传感器节点签发的第二数字证书、传感器节点上传的采集数据和采集数据的数字签名;
数字证书验证模块,用于验证第一数字证书,在确认第一数字证书可信后,验证第二数字证书;
传感器身份认证模块,用于在确认第二数字证书可信后,根据第二数字证书和采集数据的数字签名对传感器节点进行身份认证,在确认传感器节点通过身份认证后,将采集数据作为可信数据。
第八方面,本发明一实施例提供了一种电子设备,包括收发机、存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,收发机用于在处理器的控制下接收和发送数据,处理器执行程序时实现上述任一种方法的步骤。
第九方面,本发明一实施例提供了一种计算机可读存储介质,其上存储有计算机程序指令,该程序指令被处理器执行时实现上述任一种方法的步骤。
本发明实施例提供的技术方案,由物联网安全网关在取得CA机构签发的第一数字证书的基础上,使用其与第一数字证书中的第一公钥匹配的第一私钥为其所管辖的传感器节点签发第二数字证书,使得在使用第二数字证书对传感器节点进行身份认证时可追溯到一个可信的CA机构,避免了CA机构直接审核传感器节点身份的不易性,以及传感器节点需要通过网络连接CA的困难性,以提高为物联网中的传感器节点签发数字证书的便捷性,同时,保证物联网外的任意第三方能够通过第一数字证书和第二数字证书验证对物联网内部传感器节点进行身份认证。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,显而易见地,下面所介绍的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例的物联网身份认证方法的应用场景示意图;
图2为本发明一实施例的物联网身份认证方法的示意图;
图3为本发明一实施例的物联网安全网关为传感器节点签发第二数字证书的方法示意图;
图4为本发明一实施例的物联网安全网关为传感器节点签发第二数字证书的方法示意图;
图5为本发明另一实施例的物联网身份认证方法的示意图;
图6为本发明另一实施例的物联网身份认证方法的示意图;
图7为本发明另一实施例的物联网身份认证方法的示意图;
图8为本发明一实施例的一种物联网身份认证装置的结构示意图;
图9为本发明另一实施例的一种物联网身份认证装置的结构示意图;
图10为本发明另一实施例的一种物联网身份认证装置的结构示意图;
图11为本发明一实施例的电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
为了方便理解,下面对本发明实施例中涉及的名词进行解释:
CA机构:为第三方可独立签发数字证书的机构。
数字证书:是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件,也就是说,数字证书通常包含一个公开密钥(即公钥)、名称以及证书授权中心的数字签名。数字证书还有一个重要的特征就是只在特定的时间段内有效。
CA机构根数字证书:代表CA机构身份的数字证书,CA机构根数字证书内含公钥,网上的公众用户通过验证CA机构的签字从而信任CA机构,任何人都可以得到CA机构根数字证书中的公钥,用以验证CA机构所签发的数字证书。
此外,附图中的任何元素数量均用于示例而非限制,以及任何命名都仅用于区分,而不具有任何限制含义。
在具体实践过程中,现有的互联网身份认证技术通常采用数字证书和数字签名来进行身份认证以及验证数据的可信度,而数字证书通常需要由CA机构进行签发。目前,物联网中,由物联网安全网关对其所管辖的传感器节点进行控制,即任何传感器节点的行为都受控于物联网安全网关,例如,传感器节点需通过物联网安全网关才能实现与互联网的数据交互。因此,物联网中的传感器节点难以直接从CA机构获取签发数字证书,导致现有的身份认证技术无法应用到物联网中,从而无法保证物联网采集的数据的安全性和可靠性,增加了物联网与互联网之间进行数据交互的难度,阻碍了物联网的发展。此外,由于传感器节点具有存储量小和计算力低的特性,因此,物联网中,尤其是传感器节点侧不易完全采用互联网中的身份认证计算方法。
为此,本发明的发明人考虑到,先由能够与互联网通信的物联网安全网关向CA机构申请获得代表其身份的数字证书,然后,由传感器节点向其所属的物联网关安全网关申请获得传感器节点的数字证书,再由物联网安全网关用其获得的数字证书中的公钥对应的私钥为传感器节点签发数字证书。后续利用物联网安全网关为传感器节点签发的数字证书来验证传感器节点的身份,以确认该传感器节点是经过物联网安全网关认证过的可信节点,通过物联网安全网关获得的数字证书验证该物联网安全网关的身份,以确认为传感器节点签发数字证书的物联网安全网关为可信网关,这样,在对传感器节点进行身份认证时,最终可追溯到一个可信的第三方CA机构,以保证传感器节点身份的可信度以及其采集数据的可靠性。此外,通过上述方式,使得物联网外的任意第三方也能验证物联网内部传感器节点的身份,使得物联网与互联网之间的数据交互过程更加顺畅。
在介绍了本发明的基本原理之后,下面具体介绍本发明的各种非限制性实施方式。
首先参考图1,其为本发明实施例提供的物联网身份认证方法的应用场景示意图。该应用场景中包括传感器节点11、物联网安全网关12和CA机构侧的服务器13,传感器节点11与物联网安全网关12通过网络进行通信连接,物联网安全网关12与CA机构侧的服务器13通过网络进行通信连接,用于通信的网络可以为局域网、广域网或移动互联网等通信网络中的任意一种。物联网安全网关12通过网络向CA机构侧的服务器13发送获取数字证书的请求,在通过审核后,服务器13向物联网安全网关12签发数字证书。物联网安全网络12通过网络控制其管辖范围内的传感器节点11,获取传感器节点11采集的数据,并可将采集的数据转发到互联网中。
下面结合图1所示的应用场景,对本发明实施例提供的技术方案进行说明。
参考图2,本发明实施例提供一种物联网身份认证方法,包括以下步骤:
S201、物联网安全网关利用与第一数字证书中的第一公钥匹配的第一私钥向传感器节点签发传感器节点的第二数字证书,该第一数字证书为证书授权中心CA机构向物联网安全网关签发的数字证书;
S202、存储向传感器节点签发的第二数字证书,该第二数据证书用于在获取到传感器节点发送的采集数据后对传感器节点进行身份认证。
在具体实施时,先由能够与互联网通信的物联网安全网关向CA机构申请获得代表其身份的第一数字证书,该第一数字证书中包含物联网安全网关使用的第一公钥,然后,由传感器节点向其所属的物联网关安全网关申请获得传感器节点的第二数字证书,物联网安全网关利用其持有与第一公钥匹配的第一私钥为传感器节点签发代表传感器节点身份的第二数字证书。后续利用物联网安全网关为传感器节点签发的第二数字证书来验证传感器节点的身份,以确认该传感器节点是经过物联网安全网关认证过的可信节点,通过物联网安全网关获得的数字证书验证该物联网安全网关的身份,以确认为传感器节点签发数字证书的物联网安全网关为可信网关。
本发明实施例中,物联网安全网关在取得CA机构签发的第一数字证书的基础上,使用其第一私钥为其所管辖的传感器节点签发第二数字证书,使得在使用数字证书对传感器节点进行身份认证时可追溯到一个可信的CA机构,避免了CA机构直接审核传感器节点身份的不易性,以及传感器节点需要通过网络连接CA的困难性,以提高为物联网中的传感器节点签发数字证书的便捷性,同时,保证物联网外的任意第三方能够通过现有的数字证书和数字签名技术对物联网内部传感器节点进行身份认证,使得物联网与互联网之间的数据交互过程更加顺畅。此外,由物联网安全网关直接为传感器节点签发数字证书,使得物联网安全网关能更加方便地管理传感器节点的数字证书。
需要说明的是,本发明实施例中,生成第一数字证书和第二数字证书过程中所用的相关算法符合国家密码管理局规定的SM2曲线参数,具体可参见《SM2椭圆曲线公钥密码算法》(GM/T 0003-2012)。
具体实施时,物联网安全网关向CA机构申请数字证书的过程,按照CA机构规定的常规流程进行即可。例如,设物联网安全网关的第一私钥为dG,则其使用的第一公钥为PG=[dG]G,CA机构签发的第一数字证书为CG,其中,第一数字证书CG中包含了物联网安全网关的第一公钥PG和CA机构的数字签名。其中,G=(xG,yG)为椭圆曲线的一个基点,[k]P表示椭圆曲线上的点乘运算,其中k为整数,P为椭圆曲线上的点,各个参数更为详细的定义可参考《SM2椭圆曲线公钥密码算法》(GM/T 0003-2012)。为此,物联网安全网关从证书授权中心CA机构获取CA机构签发的第一数字证书的具体过程包括以下步骤:
步骤21、物联网安全网关随机选取dG∈[1,n-2]作为物联网安全网关私钥并保存,且计算物联网安全网关公钥PG=[dG]G。其中,n为基点G的阶,具体含义可参见《SM2椭圆曲线公钥密码算法》(GM/T 0003-2012)。
步骤22、物联网安全网关将其公钥PG和物联网安全网关身份信息打包成PKCS#10格式的数字证书请求,并用物联网安全网关私钥dG对该数字证书请求进行签名后传给CA机构。
步骤23、CA机构从收到的PKCS#10格式数字证书请求中提取物联网安全网关公钥PG,对数字证书请求中的数字签名进行验证,并对物联网安全网关身份信息进行审核;验证和审核都通过后,签发包含物联网安全网关公钥PG的物联网安全网关数字证书CG,并将物联网安全网关数字证书CG发给物联网安全网关。
步骤24、物联网安全网关存储收到的数字证书CG
参考图3,步骤S202中,物联网安全网关向传感器节点签发第二数字证书具体包括以下步骤:
S301、接收传感器节点发送的数字证书请求,数字证书请求中包括该传感器节点使用的第二公钥;
S302、利用与第一数字证书中的第一公钥匹配的第一私钥为该传感器节点生成第二数字证书,该传感器节点的第二数字证书中包含有该传感器节点的传感器公钥,该传感器公钥为该传感器节点的第二公钥,或者为根据该感器节点的第二公钥和物联网安全网关的第一私钥生成的外部公钥。
在为传感器节点签发数字证书前,物联网安全网关还需要对请求数字证书的传感器节点进行验证和审核,以提高数字证书的可信度。
为此,在给传感器节点签发数字证书前,本实施例的方法包括以下步骤:利用第二公钥对数字证书请求中的签名信息进行验证;在确认通过验证后,则将数字证书请求中包括的第二公钥确定为该传感器节点的第二公钥。
其中,若未通过验证,物联网安全网关拒绝为该传感器节点签发数字证书。
进一步地,在生成第二数字证书之前,物联网安全网关还需要对传感器节点进行审核,以保证传感器节点身份的准确性,为此,传感器节点发送的数字证书请求信息中还包括传感器身份信息。为此,在S302之前,本实施例的方法还包括以下步骤:根据预先登记的传感器节点身份信息,审核所述数字证书请求中的传感器节点身份信息为已经登记的合法传感器节点身份信息。
其中,在将传感器节点接入物联网安全网关前,由物联网的管理人员对传感器节点的身份信息进行登记,登记的传感器节点身份信息存储在物联网安全网关中,传感器节点的身份信息包括传感器节点的类型、名称、唯一的身份标识等信息。
在确认通过验证并且通过审核后,物联网安全网关为传感器节点签发数字证书,否则,拒绝为该传感器节点签发数字证书。
下面针对两种不同的传感器公钥,分别阐述物联网安全网关为传感器节点签发第二数字证书以及利用第二数字证书对传感器节点进行身份认证的方法。
第一种方法:传感器节点的第二数字证书中的传感器公钥为传感器节点的第二公钥。
在具体实施时,首次接入物联网中的传感器节点随机生成第二私钥,并根据该第二私钥生成匹配的第二公钥,传感器节点向物联网安全网发送数字证书请求,该数字证书请求中包含将该传感器节点的第二公钥、利用传感器节点的第一私钥生成的签名信息以及传感器节点的身份信息。接着,物联网安全网关用数字证书请求中的第二公钥对数字证书请求中的签名信息进行验证,若通过验证,则表明该传感器节点持有与该第二公钥匹配的第二私钥,然后,审核该传感器节点的身份信息是否为已经在物联网安全网关中登记过的传感器节点身份信息。接下来,物联网安全网关利用其第一私钥为通过审核的传感器节点签发第二数字证书,该第二数字证书中包括传感器节点的第二公钥和用第一私钥签名得到的数字签名,最后,物联网安全网关存储向传感器节点签发的第二数字证书。
物联网安全网关通过以上方法,为其管辖范围内的各个传感器节点签发第二数字证书,并存储各个传感器节点对应的第二数字证书。
当物联网安全网关获取到传感器节点发送的采集数据后,查询到该传感器节点对应的第二数字证书,并利用查询到的第二数字证书对传感器节点进行身份认证。例如,传感器节点会利用第二私钥对其发送的采集数据进行签名处理以生成采集数据的数字签名,并将携带有该数字签名的采集数据发送给物联网安全网关,物联网安全网关利用第二数字证书中的第二公钥对采集数据的数字签名进行验证,如若验证成功,则表明该传感器节点是上述第二数字证书对应的可信的传感器节点,该传感器节点发送的采集数据可信,若验证失败,则该传感器节点不可信。
此外,当物联网外部的任意第三方需要获取传感器节点采集的数据时,物联网安全网关将第一数字证书、第二数字证书以及传感器节点的采集数据发送给第三方。首先,第三方核验第一数字证书和第二数字证书是否还在有效期限内,确定还在有效期限内后,通过CA机构根数字证书中的公钥对该物联网安全网关的第一数字证书进行身份认证,若通过身份认证,则可确定为传感器节点签发第二数字证书的物联网安全网关是由CA机构认证的可信网关;然后,第三方提取第一数字证书中的第一公钥,利用该第一公钥对第二数字证书中的数字签名进行验证,若通过验证,则可确定该第二数字证书是由第一数字证书对应的物联网安全网关签发的,即该第二数字证书是由可信网关签发的;最后,利用第二数字证书中的第二公钥对传感器节点进行身份认证,即利用第二公钥验证传感器节点利用其私钥生成的数字签名,若通过身份认证,则该传感器节点是由物联网安全网关认证的可信节点。通过上述身份认证方式,保证物联网外的第三方在对传感器节点进行身份认证时,可追溯到一个可信的CA机构。上述第三方为物联网外任一有权请求获取传感器节点采集数据的终端,例如,物联网的远程监控端。
第二种方法:传感器节点的第二数字证书中的传感器公钥为根据该传感器节点的第二公钥和物联网安全网关自己的第一私钥生成的外部公钥。
上述外部公钥由传感器节点和网关共同生成,因此,身份认证过程也需由双方共同完成。为此,第二种方法能够保证整个身份认证过程在物联网安全网关的控制下完成。
下面结合图4,针对物联网安全网关生成传感器节点的第二数字证书的具体过程作出进一步阐述,具体包括:
S401、传感器节点随机选取dS∈[1,n-2]作为传感器节点的第二私钥并保存,并计算传感器节点的第二公钥PS=[dS]G。
其中,n为基点G的阶。
S402、传感器节点生成数字证书请求,该数字证书请求中包括第二公钥PS和传感器节点的身份信息,并用第二私钥dS对数字证书请求进行签名。
S403、传感器节点将签名后的数字证书请求发送给物联网安全网关。
其中,数字证书请求可以采用PKCS#10格式。
S404、物联网安全网关从收到的数字证书请求中提取第二公钥PS,利用第二公钥对数字证书请求中的签名信息进行验证,并对传感器节点的身份信息进行审核。
S405、在确认验证和审核都通过后,物联网安全网关根据第二公钥PS和物联网安全网关的第一私钥dG,基于椭圆曲线计算传感器节点的外部公钥PS’,并用第一私钥dG为传感器节点签发包含外部公钥PS’的第二数字证书CS
其中,物联网安全网关的第一私钥为dG,其第一公钥为PG=[dG]G。
具体地,通过以下公式计算传感器节点的外部公钥PS’
PS‘=[dG]PS-G
=[dG·dS]G-G
=[dG·dS-1]G
令d=dG·dS-1,则有
Figure BDA0001789936630000101
PS‘=[d]G。
S406、物联网安全网关存储传感器节点的第二数字证书CS和传感器节点的第二公钥PS
由于物联网中的传感器节点受控于物联网安全网关,一般必须通过物联网安网关与外界交互,因此,生成的第二数字证书只需保存在物联网安全网关中,无需发送给传感器节点,以降低传感器节点的存储开销。当然,本实施例不排除将第二数字证书发送给对应的传感器节点的情况。
在生成传感器节点的第二数字证书后,即可在获取传感器节点采集的数据时,利用第二数字证书对传感器节点进行身份认证。
参考图5,其示出了物联网安全网关与传感器节点共同计算身份认证信息的方法示意图,具体包括以下步骤:
S501、物联网安全网关生成第一随机数,根据第一随机数确定第一中间变量,生成包含第一中间变量的数据读取请求。
S502、物联网安全网关将包含第一中间变量的数据读取请求发送给传感器节点。
S503、传感器节点生成第二随机数,根据第一中间变量、第二随机数、传感器节点的第二私钥和采集数据生成第一身份认证信息和第二中间变量。
其中,第一身份认证信息可认为是传感器基点对采集数据进行签名处理后得到的签名信息。
S504、传感器节点将第一身份认证信息、第二中间变量和采集数据发送给物联网安全网关。
S505、物联网安全网关根据第一身份认证信息、第二中间变量、第一随机数和第一私钥生成第二身份认证信息,第一身份认证信息和第二身份认证信息构成采集数据的数字签名。
后续可通过第二数字证书中的外部公钥和采集数据的数字签名对传感器节点进行身份认证。本实施例将身份认证方分为两类,一是物联网安全网关,二是物联网外的第三方,如远程监控端。
当身份认证方为物联网安全网关时,在执行完步骤S504后,物联网安全网关根据第二数字证书中的外部公钥和采集数据的数字签名对传感器节点进行身份认证,并在确认通过身份认证后,将采集数据作为可信数据。
图6是本发明另一个实施例的物联网身份认证方法示意图,其示出了物联网安全网关和传感器节点配合进行身份认证的具体过程。图6对应的实施例基于椭圆曲线函数进行数字签名。例如,椭圆曲线参数可采用国家密码管理局规定的SM2曲线参数,具体可参见《SM2椭圆曲线公钥密码算法》(GM/T 0003-2012)。设椭圆曲线为E(Fq),基点为G=(xG,yG),阶为n,用[k]P表示椭圆曲线上的点乘运算,其中k为整数,P为椭圆曲线上的点。
参考图6,物联网身份认证方法具体包括以下步骤:
S601、物联网安全网关选取第一随机数kG∈[1,n-1],并计算第一中间变量QG=[kG]G。
S602、物联网安全网关向传感器节点发出数据读取请求,并附带发送QG到传感器节点。
S603、传感器节点收到QG和数据读取请求后,计算第三中间变量:
e=H(ID||D)。
其中,H为SM3哈希算法,ID为代表传感器节点的唯一身份标识,D为要传送给物联网安全网关的采集数据,||表示字符串或比特串的拼接。
S604、传感器节点选取第二随机数kS∈[1,n-1],并计算第一身份认证信息r以及第二中间变量s1和s2。
其中,第一身份认证信息以及第二中间变量的计算过程如下:
(x1,y1)=[kS]QG-[kS·dS]QG+[kS]G
r=(e+x1)modn
Figure BDA0001789936630000111
Figure BDA0001789936630000112
S605、传感器节点将第一身份认证信息r、第二中间变量s1和s2,以及采集数据D发送给物联网安全网关。
S606、物联网安全网关在收到r、s1、s2和D后,根据r、s1、s2生成第二身份认证信息s。第二身份认证信息s的计算过程如下:
Figure BDA0001789936630000113
S607、物联网安全网关将(r,s)作为采集数据D的数字签名,用传感器节点的第二数字证书CS中的外部公钥PS‘,对数字签名(r,s)做验证,若验证通过,则传感器节点身份和采集数据D可信,否则传感器节点身份和采集数据D都不可信。
步骤S607中的数字签名验证方法可采用《SM2椭圆曲线公钥密码算法》(GM/T0003-2012)中的数字签名验证方法,验证过程即为通过传感器节点和物联网安全网关共同生成的外部公钥PS‘和签名值(r,s)计算(x′1,y′1)的过程,即
(x′1,y′1)=[s]G+[r+s]P
若r=(e+x′1)modn,则验证通过。
由此可见,采集数据D的签名(r,s)由传感器节点物联网安全网关两方共同协作产生,任何一方都无法产生完整的签名结果,使得传感器节点的身份认证受控于物联网安全网关,任何传感器节点身份认证信息的计算都需要通过物联网安全网关配合计算来完成,也即需要取得物联网安全网关的许可才能产生物联网外部可认证的身份信息。同时,由于物联网安全网关在为传感器节点签发数字证书时,对其所用的公钥进行了一定的处理,即根据传感器节点的第二公钥生成外部公钥,使得传感器节点在计算其身份认证信息时只需做少量的计算即可,其余计算由物联网安全网关来完成,减轻了传感器节点的计算量和存储并管理数字证书的负荷。此外,通过图5或图6的方法得到的签名计算结果能使用现有的签名验证方法来验证,以保证与现有的签名体系相吻合。
当身份认证方为物联网外的第三方时,第三方在接收到数据获取指令后,向物联网安全网关请求获取数据,该数据获取指令可以是由第三方自动触发生成的,也可以是由外部触发生成的,如用户通过点击数据获取按钮触发生成数据获取指令。然后,物联网安全网关将采集数据、采集数据的数字签名、第一数字证书和第二数字证书发送给请求获取采集数据的第三方,以使第三方根据采集数据的数字签名、第一数字证书和第二数字证书对传感器节点和采集数据进行验证。接着,第三方在接收到物联网安全网关返回的数据后,验证所述第一数字证书;在确认所述第一数字证书可信后,验证所述第二数字证书;在确认所述第二数字证书可信后,根据所述第二数字证书和所述采集数据的数字签名对所述传感器节点进行身份认证;在确认所述传感器节点通过身份认证后,将所述采集数据作为可信数据。
图7为本发明另一个实施例的物联网身份认证方法示意图,其示出了物联网外部的远程监控端对传感器节点进行身份认证的具体过程。图7对应的物联网身份认证方法具体包括以下步骤:
S701、远程监控端在接收到数据获取指令后,从物联网安全网关中获取由CA机构为物联网安全网关签发的数字证书CG、由物联网安全网关为传感器节点签发的数字证书CS、传感器节点上传的采集数据D和采集数据D的数字签名(r,s)。
S702、远程监控端验证数字证书CG
在具体实施时,验证数字证书CG具体包括:验证数字证书CG是否在有效期限内,若不在有效期内则表明采集数据D和传感器节点身份不可信,结束流程,否则继续验证数字证书CG是否由可信CA机构签发,若是则继续执行S703,否则采集数据D和传感器节点身份不可信,结束流程。
S703、远程监控端在确认数字证书CG可信后,验证数字证书CS
在具体实施时,验证数字证书CS具体包括:验证数字证书CS是否在有效期限内,若不在有效期内则表明采集数据D和传感器节点身份不可信,结束流程,否则继续验证传感器节点数字证书CS是否由物联网安全网关基于数字证书CG签发,若是则继续执行S604,否则数据和身份不可信,结束流程。
可选地,验证数字证书CS是否由物联网安全网关基于数字证书CG签发的具体方法包括:提取数字证书CG中的物联网安全网关使用的公钥PG,利用PG对数字证书CS中的数字签名进行验证,以验证数字证书CS是由物联网安全网关利用其私钥dG签发的。
S704、远程监控端在确认数字证书CS可信后,根据数字证书CS中的外部公钥PS’和采集数据D的数字签名(r,s)对传感器节点进行身份认证。
步骤S704中,数字签名(r,s)的验证方法与步骤S607中的数字签名验证方法相同,不再赘述。
S705、远程监控端在确认传感器节点通过身份认证后,将采集数据D作为可信数据。
本发明实施例中,物联网安全网关在取得CA机构签发的第一数字证书的基础上,使用其第一私钥为其所管辖的传感器节点签发第二数字证书,使得在使用数字证书对传感器节点进行身份认证时可追溯到一个可信的CA机构,保证物联网外的任意第三方能够通过现有的数字证书和数字签名技术对物联网内部传感器节点进行身份认证,使得物联网与互联网之间的数据交互过程更加顺畅。
基于与上述物联网身份认证方法相同的发明构思,本发明实施例还提供了一种物联网身份认证系统,如图1所示,该物联网身份认证系统具体包括:传感器节点11、物联网安全网关12和CA机构侧的服务器13。
传感器节点11与物联网安全网关12通过网络进行通信连接,物联网安全网关12与CA机构侧的服务器13通过网络进行通信连接。其中,网络可以为局域网、广域网或移动互联网等通信网络中的任意一种。
CA机构侧的服务器13用于为物联网安全网12关签发第一数字证书,第一数字证书包含物联网安全网关12使用的第一公钥。
传感器节点11用于向物联网安全网关12发送数字证书请求以使物联网安全网12关为传感器节点11签发第二数字证明。
物联网安全网关12用于利用与第一数字证书中的第一公钥匹配的第一私钥向传感器节点签发传感器节点11的第二数字证书,并存储向传感器节点11签发的第二数字证书,第二数据证书用于在获取到传感器节点11发送的采集数据后对传感器节点进行身份认证。
可选地,物联网安全网关12具体用于接收传感器节点发送的数字证书请求,数字证书请求中包括传感器节点使用的第二公钥,利用与第一数字证书中的第一公钥匹配的第一私钥为传感器节点生成第二数字证书,传感器节点的第二数字证书中包含有传感器节点的传感器公钥,传感器公钥为传感器节点的第二公钥,或者为根据传感器节点的第二公钥和物联网安全网关的第一私钥生成的外部公钥。
可选地,物联网安全网关12具体用于在生成第二数字证书之前,利用第二公钥对数字证书请求中的签名信息进行验证,在确认通过验证后,则将数字证书请求中包括的第二公钥确定为传感器节点的第二公钥。其中,数字证书请求中还包括传感器节点使用与第二公钥配对的第二私钥生成的签名信息。
可选地,物联网安全网关12具体用于在生成第二数字证书之前,获取数字证书请求中包括的传感器节点身份信息,根据预先登记的传感器节点身份信息,审核数字证书请求中的传感器节点身份信息为已经登记的合法传感器节点身份信息。其中,数字证书请求中还包括传感器节点身份信息。
可选地,当传感器公钥为外部公钥时,物联网安全网关12具体用于:生成第一随机数,根据第一随机数确定第一中间变量;将包含第一中间变量的数据读取请求发送给传感器节点;接收传感器节点响应于数据读取请求而反馈的数据上报请求,数据上报请求包括:第一身份认证信息、第二中间变量和采集数据,第一身份认证信息和第二中间变量根据第一中间变量、第二随机数、第二私钥和采集数据生成;根据第一身份认证信息、第二中间变量、第一随机数和第一私钥生成第二身份认证信息,第一身份认证信息和第二身份认证信息构成采集数据的数字签名;根据第二数字证书中的外部公钥和采集数据的数字签名对传感器节点进行身份认证,并在确认通过身份认证后,将采集数据作为可信数据。
相应地,传感器节点具体用于接收物联网安全网关发送的数据读取请求,数据读取请求中包括由物联网安全网关生成的第一中间变量;生成第二随机数;根据第一中间变量、第二随机数、传感器节点的第二私钥和采集数据生成第一身份认证信息和第二中间变量;将第一身份认证信息、第二中间变量和采集数据发送给物联网安全网关,以使物联网安全网关根据第一身份认证信息、第二中间变量对传感器节点和采集数据进行验证。
可选地,物联网安全网关12还用于:将采集数据、采集数据的数字签名、第一数字证书和第二数字证书发送给请求获取采集数据的第三方,以使第三方根据采集数据的数字签名、第一数字证书和第二数字证书对传感器节点和采集数据进行验证。
如图8所示,基于与上述物联网身份认证方法相同的发明构思,本发明实施例还提供了一种物联网身份认证装置80,具体包括:数字证书签发模块81和存储模块82。
数字证书签发模块81用于利用与第一数字证书中的第一公钥匹配的第一私钥向传感器节点签发传感器节点的第二数字证书。其中,第一数字证书为证书授权中心CA机构向物联网安全网关签发的数字证书,第二数据证书用于在获取到传感器节点发送的采集数据后对传感器节点进行身份认证。
存储模块82用于存储向传感器节点签发的第二数字证书。
可选地,数字证书签发模块81具体用于接收传感器节点发送的数字证书请求,数字证书请求中包括传感器节点使用的第二公钥;利用与第一数字证书中的第一公钥匹配的第一私钥为传感器节点生成第二数字证书,传感器节点的第二数字证书中包含有传感器节点的传感器公钥,传感器公钥为传感器节点的第二公钥,或者为根据传感器节点的第二公钥和物联网安全网关的第一私钥生成的外部公钥。
可选地,本实施例的物联网身份认证装置80还包括验证模块,用于在生成第二数字证书之前,利用第二公钥对数字证书请求中的签名信息进行验证,在确认通过验证后,则将数字证书请求中包括的第二公钥确定为该传感器节点的第二公钥。其中,数字证书请求中还包括传感器节点使用与第二公钥配对的第二私钥生成的签名信息。
可选地,实施例的物联网身份认证装置80还包括审核模块,用于生成第二数字证书之前,获取数字证书请求中包括的传感器节点身份信息,根据预先登记的传感器节点身份信息,审核数字证书请求中的传感器节点身份信息为已经登记的合法传感器节点身份信息。其中,数字证书请求中还包括传感器节点身份信息。
可选地,本实施例的物联网身份认证装置80还包括身份认证模块,该身份认证模块用于利用第二数字证书对传感器节点进行身份认证。
可选地,当传感器公钥为外部公钥时,身份认证模块具体用于生成第一随机数,根据第一随机数确定第一中间变量;将包含第一中间变量的数据读取请求发送给传感器节点;接收传感器节点响应于数据读取请求而反馈的数据上报请求,数据上报请求包括:第一身份认证信息、第二中间变量和采集数据,第一身份认证信息和第二中间变量根据第一中间变量、第二随机数、第二私钥和采集数据生成;根据第一身份认证信息、第二中间变量、第一随机数和第一私钥生成第二身份认证信息,第一身份认证信息和第二身份认证信息构成采集数据的数字签名;根据第二数字证书中的外部公钥和采集数据的数字签名对传感器节点进行身份认证,并在确认通过身份认证后,将采集数据作为可信数据。
可选地,本实施例的物联网身份认证装置80还包括第三方认证模块,用于将采集数据、采集数据的数字签名、第一数字证书和第二数字证书发送给请求获取采集数据的第三方,以使第三方根据采集数据的数字签名、第一数字证书和第二数字证书对传感器节点和采集数据进行验证。
如图9所示,基于与上述物联网身份认证方法相同的发明构思,本发明实施例还提供了另一种物联网身份认证装置90,具体包括:数字证书请求模块91和采集数据发送模块92。
数字证书请求模块91用于向物联网安全网关发送数字证书请求,以使物联网安全网关在获取到数字证书请求后,利用与第一数字证书中的第一公钥匹配的第一私钥向传感器节点签发传感器节点的第二数字证书,第一数字证书为证书授权中心CA机构向物联网安全网关签发的数字证书。
采集数据发送模块92用于在获取到物联网安全网关发送的数据读取请求后,将签名后的采集数据发送给物联网安全网关,以使物联网安全网关利用第二数字证书对采集数据进行验证。
可选地,采集数据发送模块92具体包括读取请求接收模块、第二随机数生成模块、第一数据处理模块和第一发送模块。
读取请求接收模块用于接收物联网安全网关发送的数据读取请求,数据读取请求中包括由物联网安全网关生成的第一中间变量;
第二随机数生成模块用于生成第二随机数;
第一数据处理模块用于根据第一中间变量、第二随机数、传感器节点的第二私钥和采集数据生成第一身份认证信息和第二中间变量;
第一发送模块用于将第一身份认证信息、第二中间变量和采集数据发送给物联网安全网关,以使物联网安全网关根据第一身份认证信息、第二中间变量对传感器节点和采集数据进行验证。
如图10所示,基于与上述物联网身份认证方法相同的发明构思,本发明实施例还提供了另一种物联网身份认证装置100,具体包括:认证数据获取模块1001、数字证书验证模块1002和传感器身份认证模块1003。
认证数据获取模块1001用于在接收到数据获取指令后,从物联网安全网关中获取由CA机构为物联网安全网关签发的包含物联网安全网关使用的第一公钥的第一数字证书、由物联网安全网关利用与第一公钥匹配的第一私钥为传感器节点签发的第二数字证书、传感器节点上传的采集数据和采集数据的数字签名;
数字证书验证模块1002用于验证第一数字证书,在确认第一数字证书可信后,验证第二数字证书;
传感器身份认证模块1003用于在确认第二数字证书可信后,根据第二数字证书和采集数据的数字签名对传感器节点进行身份认证,在确认传感器节点通过身份认证后,将采集数据作为可信数据。
基于与上述物联网身份认证方法相同的发明构思,本发明实施例还提供了一种电子设备,该电子设备具体可以为桌面计算机、便携式计算机、智能手机、平板电脑、个人数字助理(Personal Digital Assistant,PDA)等。如图11所示,该电子设备110可以包括处理器111、存储器112和收发机113。收发机113用于在处理器111的控制下接收和发送数据。
存储器112可以包括只读存储器(ROM)和随机存取存储器(RAM),并向处理器提供存储器中存储的程序指令和数据。在本发明实施例中,存储器可以用于存储物联网身份认证方法的程序。
处理器111可以是CPU(中央处埋器)、ASIC(Application Specific IntegratedCircuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或CPLD(Complex Programmable Logic Device,复杂可编程逻辑器件)处理器通过调用存储器存储的程序指令,按照获得的程序指令实现上述任一实施例中的物联网身份认证方法。
本发明实施例提供了一种计算机可读存储介质,用于储存为上述电子设备所用的计算机程序指令,其包含用于执行上述估计定时位置方法的程序。
上述计算机存储介质可以是计算机能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NAND FLASH)、固态硬盘(SSD))等。
以上所述,以上实施例仅用以对本发明的技术方案进行了详细介绍,但以上实施例的说明只是用于帮助理解本发明实施例的方法,不应理解为对本发明实施例的限制。本技术领域的技术人员可轻易想到的变化或替换,都应涵盖在本发明实施例的保护范围之内。

Claims (15)

1.一种物联网身份认证方法,其特征在于,包括:
物联网安全网关利用与第一数字证书中的第一公钥匹配的第一私钥向传感器节点签发传感器节点的第二数字证书,并存储向所述传感器节点签发的第二数字证书;
所述第一数字证书为证书授权中心CA机构向所述物联网安全网关签发的数字证书;
所述第二数据证书用于在获取到所述传感器节点发送的采集数据后对所述传感器节点进行身份认证。
2.根据权利要求1所述的方法,其特征在于,所述物联网安全网关利用与第一数字证书中的第一公钥匹配的第一私钥向传感器节点签发传感器节点的第二数字证书具体包括:
接收所述传感器节点发送的数字证书请求,所述数字证书请求中包括所述传感器节点使用的第二公钥;
利用与所述第一数字证书中的第一公钥匹配的第一私钥为所述传感器节点生成第二数字证书,所述传感器节点的第二数字证书中包含有所述传感器节点的传感器公钥,所述传感器公钥为所述传感器节点的第二公钥,或者为根据所述传感器节点的第二公钥和所述物联网安全网关的第一私钥生成的外部公钥。
3.根据权利要求2所述的方法,其特征在于,所述数字证书请求中还包括所述传感器节点使用与所述第二公钥配对的第二私钥生成的签名信息,所述生成第二数字证书之前,所述方法还包括:
利用所述第二公钥对所述数字证书请求中的签名信息进行验证;
在确认通过验证后,则将所述数字证书请求中包括的第二公钥确定为所述传感器节点的第二公钥。
4.根据权利要求2所述的方法,其特征在于,所述数字证书请求中还包括所述传感器节点的传感器节点身份信息,所述生成第二数字证书之前,所述方法还包括:
获取所述数字证书请求中包括的传感器节点身份信息;
根据预先登记的传感器节点身份信息,审核所述数字证书请求中的传感器节点身份信息为已经登记的合法传感器节点身份信息。
5.根据权利要求2至4任一所述的方法,其特征在于,当所述传感器公钥为外部公钥时,所述方法还包括:
生成第一随机数,根据所述第一随机数确定第一中间变量;
将包含所述第一中间变量的数据读取请求发送给所述传感器节点;
接收所述传感器节点响应于所述数据读取请求而反馈的数据上报请求,所述数据上报请求包括:第一身份认证信息、第二中间变量和采集数据,所述第一身份认证信息和所述第二中间变量根据所述第一中间变量、第二随机数、所述第二私钥和所述采集数据生成;
根据所述第一身份认证信息、所述第二中间变量、所述第一随机数和所述第一私钥生成第二身份认证信息,所述第一身份认证信息和所述第二身份认证信息构成所述采集数据的数字签名;
根据所述第二数字证书中的外部公钥和所述采集数据的数字签名对所述传感器节点进行身份认证,并在确认通过身份认证后,将所述采集数据作为可信数据。
6.根据权利要求5所述的方法,其特征在于,还包括:
将所述采集数据、所述采集数据的数字签名、所述第一数字证书和所述第二数字证书发送给请求获取所述采集数据的第三方,以使所述第三方根据所述采集数据的数字签名、所述第一数字证书和所述第二数字证书对所述传感器节点和所述采集数据进行验证。
7.一种物联网身份认证方法,其特征在于,包括:
传感器节点向物联网安全网关发送数字证书请求,以使所述物联网安全网关在获取到所述数字证书请求后,利用与第一数字证书中的第一公钥匹配的第一私钥向所述传感器节点签发传感器节点的第二数字证书,所述第一数字证书为证书授权中心CA机构向所述物联网安全网关签发的数字证书;
所述传感器节点在获取到所述物联网安全网关发送的数据读取请求后,将签名后的采集数据发送给所述物联网安全网关,以使所述物联网安全网关利用所述第二数字证书对所述采集数据进行验证。
8.根据权利要求7所述的方法,其特征在于,所述在获取到所述物联网安全网关发送的数据读取请求后,将签名后的采集数据发送给所述物联网安全网关,具体包括:
接收所述物联网安全网关发送的数据读取请求,所述数据读取请求中包括由物联网安全网关生成的第一中间变量;
生成第二随机数;
根据所述第一中间变量、所述第二随机数、所述传感器节点的第二私钥和采集数据生成第一身份认证信息和第二中间变量;
将所述第一身份认证信息、所述第二中间变量和所述采集数据发送给所述物联网安全网关,以使所述物联网安全网关根据所述第一身份认证信息、所述第二中间变量对所述传感器节点和所述采集数据进行验证。
9.一种物联网身份认证方法,其特征在于,包括:
在接收到数据获取指令后,从物联网安全网关中获取由CA机构为所述物联网安全网关签发的包含所述物联网安全网关使用的第一公钥的第一数字证书、由所述物联网安全网关利用与所述第一公钥匹配的第一私钥为传感器节点签发的第二数字证书、所述传感器节点上传的采集数据和所述采集数据的数字签名;
验证所述第一数字证书;
在确认所述第一数字证书可信后,验证所述第二数字证书;
在确认所述第二数字证书可信后,根据所述第二数字证书和所述采集数据的数字签名对所述传感器节点进行身份认证;
在确认所述传感器节点通过身份认证后,将所述采集数据作为可信数据。
10.一种物联网身份认证系统,其特征在于,包括:传感器节点、物联网安全网关和CA机构侧的服务器;
所述传感器节点与所述物联网安全网关通过网络进行通信连接,所述物联网安全网关与所述CA机构侧的服务器通过网络进行通信连接;
所述CA机构侧的服务器用于为所述物联网安全网关签发第一数字证书,所述第一数字证书包含所述物联网安全网关使用的第一公钥;
所述传感器节点用于向物联网安全网关发送数字证书请求以使所述物联网安全网关为所述传感器节点签发第二数字证明;
所述物联网安全网关用于利用与所述第一数字证书中的第一公钥匹配的第一私钥向所述传感器节点签发所述传感器节点的第二数字证书,并存储向所述传感器节点签发的第二数字证书,所述第二数据证书用于在获取到所述传感器节点发送的采集数据后对所述传感器节点进行身份认证。
11.一种物联网身份认证装置,其特征在于,包括:
数字证书签发模块,用于利用与第一数字证书中的第一公钥匹配的第一私钥向传感器节点签发传感器节点的第二数字证书,并存储向所述传感器节点签发的第二数字证书;
所述第一数字证书为证书授权中心CA机构向所述物联网安全网关签发的数字证书;
所述第二数据证书用于在获取到所述传感器节点发送的采集数据后对所述传感器节点进行身份认证。
12.一种物联网身份认证装置,其特征在于,包括:
数字证书请求模块,用于向物联网安全网关发送数字证书请求,以使所述物联网安全网关在获取到所述数字证书请求后,利用与第一数字证书中的第一公钥匹配的第一私钥向所述传感器节点签发传感器节点的第二数字证书,所述第一数字证书为证书授权中心CA机构向所述物联网安全网关签发的数字证书;
采集数据发送模块,用于在获取到所述物联网安全网关发送的数据读取请求后,将签名后的采集数据发送给所述物联网安全网关,以使所述物联网安全网关利用所述第二数字证书对所述采集数据进行验证。
13.一种物联网身份认证装置,其特征在于,包括:
认证数据获取模块,用于在接收到数据获取指令后,从物联网安全网关中获取由CA机构为所述物联网安全网关签发的包含所述物联网安全网关使用的第一公钥的第一数字证书、由所述物联网安全网关利用与所述第一公钥匹配的第一私钥为传感器节点签发的第二数字证书、所述传感器节点上传的采集数据和所述采集数据的数字签名;
数字证书验证模块,用于验证所述第一数字证书,在确认所述第一数字证书可信后,验证所述第二数字证书;
传感器身份认证模块,用于在确认所述第二数字证书可信后,根据所述第二数字证书和所述采集数据的数字签名对所述传感器节点进行身份认证,在确认所述传感器节点通过身份认证后,将所述采集数据作为可信数据。
14.一种电子设备,包括收发机、存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述收发机用于在所述处理器的控制下接收和发送数据,所述处理器执行所述程序时实现权利要求1至9任一项所述方法的步骤。
15.一种计算机可读存储介质,其上存储有计算机程序指令,其特征在于,该程序指令被处理器执行时实现权利要求1至9任一项所述方法的步骤。
CN201811031836.2A 2018-09-05 2018-09-05 物联网身份认证方法、装置、电子设备、系统及存储介质 Active CN110879879B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811031836.2A CN110879879B (zh) 2018-09-05 2018-09-05 物联网身份认证方法、装置、电子设备、系统及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811031836.2A CN110879879B (zh) 2018-09-05 2018-09-05 物联网身份认证方法、装置、电子设备、系统及存储介质

Publications (2)

Publication Number Publication Date
CN110879879A true CN110879879A (zh) 2020-03-13
CN110879879B CN110879879B (zh) 2023-08-22

Family

ID=69727601

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811031836.2A Active CN110879879B (zh) 2018-09-05 2018-09-05 物联网身份认证方法、装置、电子设备、系统及存储介质

Country Status (1)

Country Link
CN (1) CN110879879B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112866236A (zh) * 2021-01-15 2021-05-28 云南电网有限责任公司电力科学研究院 一种基于简化数字证书的物联网身份认证系统
CN112887199A (zh) * 2021-01-28 2021-06-01 深圳云里物里科技股份有限公司 网关和云平台及其配置方法、装置、计算机可读存储介质
CN112968908A (zh) * 2021-03-26 2021-06-15 中国电子科技集团公司第三十研究所 具有数据汇聚和单向传输的物联网安全网关及实现方法
CN112995992A (zh) * 2021-03-09 2021-06-18 大连理工大学 一种大规模无线传感器网络协同身份验证方法
CN115250186A (zh) * 2021-04-12 2022-10-28 顺丰科技有限公司 网络连接认证方法、装置、计算机设备和存储介质
WO2024000428A1 (zh) * 2022-06-30 2024-01-04 Oppo广东移动通信有限公司 安全实现方法及装置、系统、通信设备、芯片、存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040103283A1 (en) * 2000-08-18 2004-05-27 Zoltan Hornak Method and system for authentification of a mobile user via a gateway
CN101771541A (zh) * 2008-12-26 2010-07-07 中兴通讯股份有限公司 一种用于家庭网关的密钥证书生成方法和系统
CN102088462A (zh) * 2011-01-09 2011-06-08 浙江大学 一种保护用户隐私的传感器网络分布式访问控制方法
CN103731819A (zh) * 2013-12-11 2014-04-16 中国电子科技集团公司第三十研究所 一种无线传感器网络节点的认证方法
CN103888257A (zh) * 2013-11-03 2014-06-25 北京工业大学 一种基于tpcm的网络摄像机身份认证方法
US20170085557A1 (en) * 2014-03-31 2017-03-23 China Iwncomm Co., Ltd. Entity authentication method and device
CN107171805A (zh) * 2017-05-17 2017-09-15 济南浪潮高新科技投资发展有限公司 一种物联网终端数字证书签发系统和方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040103283A1 (en) * 2000-08-18 2004-05-27 Zoltan Hornak Method and system for authentification of a mobile user via a gateway
CN101771541A (zh) * 2008-12-26 2010-07-07 中兴通讯股份有限公司 一种用于家庭网关的密钥证书生成方法和系统
CN102088462A (zh) * 2011-01-09 2011-06-08 浙江大学 一种保护用户隐私的传感器网络分布式访问控制方法
CN103888257A (zh) * 2013-11-03 2014-06-25 北京工业大学 一种基于tpcm的网络摄像机身份认证方法
CN103731819A (zh) * 2013-12-11 2014-04-16 中国电子科技集团公司第三十研究所 一种无线传感器网络节点的认证方法
US20170085557A1 (en) * 2014-03-31 2017-03-23 China Iwncomm Co., Ltd. Entity authentication method and device
CN107171805A (zh) * 2017-05-17 2017-09-15 济南浪潮高新科技投资发展有限公司 一种物联网终端数字证书签发系统和方法

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112866236A (zh) * 2021-01-15 2021-05-28 云南电网有限责任公司电力科学研究院 一种基于简化数字证书的物联网身份认证系统
CN112866236B (zh) * 2021-01-15 2023-03-31 云南电网有限责任公司电力科学研究院 一种基于简化数字证书的物联网身份认证系统
CN112887199A (zh) * 2021-01-28 2021-06-01 深圳云里物里科技股份有限公司 网关和云平台及其配置方法、装置、计算机可读存储介质
CN112995992A (zh) * 2021-03-09 2021-06-18 大连理工大学 一种大规模无线传感器网络协同身份验证方法
CN112995992B (zh) * 2021-03-09 2022-01-04 大连理工大学 一种大规模无线传感器网络协同身份验证方法
CN112968908A (zh) * 2021-03-26 2021-06-15 中国电子科技集团公司第三十研究所 具有数据汇聚和单向传输的物联网安全网关及实现方法
CN112968908B (zh) * 2021-03-26 2022-02-08 中国电子科技集团公司第三十研究所 具有数据汇聚和单向传输的物联网安全网关及实现方法
CN115250186A (zh) * 2021-04-12 2022-10-28 顺丰科技有限公司 网络连接认证方法、装置、计算机设备和存储介质
CN115250186B (zh) * 2021-04-12 2024-04-16 顺丰科技有限公司 网络连接认证方法、装置、计算机设备和存储介质
WO2024000428A1 (zh) * 2022-06-30 2024-01-04 Oppo广东移动通信有限公司 安全实现方法及装置、系统、通信设备、芯片、存储介质

Also Published As

Publication number Publication date
CN110879879B (zh) 2023-08-22

Similar Documents

Publication Publication Date Title
AU2021206913B2 (en) Systems and methods for distributed data sharing with asynchronous third-party attestation
US10728044B1 (en) User authentication with self-signed certificate and identity verification and migration
CN110879879B (zh) 物联网身份认证方法、装置、电子设备、系统及存储介质
US20190140848A1 (en) Decentralized Access Control for Cloud Services
WO2020258837A1 (zh) 解锁方法、实现解锁的设备及计算机可读介质
CN110177124B (zh) 基于区块链的身份认证方法及相关设备
CN105099673A (zh) 一种授权方法、请求授权的方法及装置
US9081969B2 (en) Apparatus and method for remotely deleting critical information
US20070255951A1 (en) Token Based Multi-protocol Authentication System and Methods
US11367065B1 (en) Distributed ledger system for electronic transactions
US10805083B1 (en) Systems and methods for authenticated communication sessions
US11436597B1 (en) Biometrics-based e-signatures for pre-authorization and acceptance transfer
WO2023071751A1 (zh) 一种认证方法和通信装置
CN111654481B (zh) 一种身份认证方法、装置和存储介质
CN107347073B (zh) 一种资源信息处理方法
KR20120091618A (ko) 연쇄 해시에 의한 전자서명 시스템 및 방법
CN109302425B (zh) 身份认证方法及终端设备
CN109257381A (zh) 一种密钥管理方法、系统及电子设备
CN116170144B (zh) 智能电网匿名认证方法、电子设备及存储介质
CN114503509B (zh) 密钥-值映射承诺系统和方法
CN117176353A (zh) 处理数据的方法及装置
Gowthami et al. Multi-factor based user authentication scheme for lightweight IoT devices
US20230396416A1 (en) Generating and managing group identities
CN113569209A (zh) 基于区块链的用户注册方法及装置
CN116091063A (zh) 交易处理方法、电子设备及可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant