CN111327561B - 认证方法、系统、认证服务器和计算机可读存储介质 - Google Patents
认证方法、系统、认证服务器和计算机可读存储介质 Download PDFInfo
- Publication number
- CN111327561B CN111327561B CN201811523609.1A CN201811523609A CN111327561B CN 111327561 B CN111327561 B CN 111327561B CN 201811523609 A CN201811523609 A CN 201811523609A CN 111327561 B CN111327561 B CN 111327561B
- Authority
- CN
- China
- Prior art keywords
- terminal
- interface identifier
- identifier
- authentication server
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 47
- 239000000284 extract Substances 0.000 claims abstract description 5
- 230000004044 response Effects 0.000 claims description 47
- 230000006870 function Effects 0.000 claims description 19
- 238000004590 computer program Methods 0.000 claims description 9
- 238000000605 extraction Methods 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 20
- 230000008569 process Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 3
- 230000002265 prevention Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000000206 photolithography Methods 0.000 description 1
- 238000010408 sweeping Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3278—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response using physically unclonable functions [PUF]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/659—Internet protocol version 6 [IPv6] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及一种认证方法、系统、认证服务器和计算机可读存储介质,涉及通信技术领域。本公开的方法,包括:认证服务器接收终端发送的IPv6数据包,IPv6数据包包括终端的IPv6地址,终端的IPv6地址中包括利用终端的物理不可克隆函数PUF生成的接口标识符;认证服务器提取终端的IPv6地址中的接口标识符;认证服务器根据接口标识符确定终端的合法性。本公开的方案能够提高IPv6地址使用的安全性,提高网络的安全性。
Description
技术领域
本公开涉及通信技术领域,特别涉及一种认证方法、系统、认证服务器和计算机可读存储介质。
背景技术
随着IPv6(Internet Protocol Version 6,互联网协议第6版)在我国的规模部署,对于IPv6互联网的安全性要求越来越高。
网络侧通常在验证终端的用户名、密码等身份信息后,为终端分配IPv6地址。但是,终端的用户名、密码可能存在被其他非法终端盗用、假冒等情况,对IPv6互联网的安全造成损害。此外,对于部分类型的终端,如微小型的物联网终端,通过用户名、密码的传统认证方式已经不具有可操作性,无法通过上述方式对终端进行认证。
发明内容
本公开所要解决的一个技术问题是:提出一种新的认证方法,实现对终端的认证,提高网络安全性。
根据本公开的一些实施例,提供的一种认证方法,包括:认证服务器接收终端发送的IPv6数据包,IPv6数据包包括终端的IPv6地址,终端的IPv6地址中包括利用终端的物理不可克隆函数PUF生成的接口标识符;认证服务器提取终端的IPv6地址中的接口标识符;认证服务器根据接口标识符确定终端的合法性。
在一些实施例中,认证服务器根据接口标识符确定终端的合法性包括:认证服务器根据终端的标识查找本地存储的终端对应的接口标识符;认证服务器将本地存储的终端对应的接口标识符与提取的终端的IPv6地址中的接口标识符进行比对,如果一致,则终端合法,否则终端不合法。
在一些实施例中,终端的标识携带在IPv6数据包中,终端的标识为加密后的终端的标识;认证服务器根据终端的标识查找本地存储的终端对应的接口标识符包括:认证服务器解析IPv6数据包获取加密后的终端的标识;认证服务器对加密后的终端的标识进行解密,获取终端的标识。
在一些实施例中,认证服务器根据接口标识符确定终端的合法性包括:认证服务器根据终端的标识查找本地存储的终端对应的挑战序列;认证服务向终端发送挑战序列,并接收终端返回的响应序列,响应序列为终端将挑战序列输入终端内的PUF电路生成的;认证服务器将响应序列与接口标识符进行比对,如果一致,则终端合法,否则终端不合法。
在一些实施例中,该方法还包括:终端接收网络侧分配的IPv6地址前缀;终端利用PUF生成预设位数的接口标识符;终端将IPv6地址前缀与接口标识符进行拼接生成终端的IPv6地址。
在一些实施例中,终端利用PUF生成预设位数的接口标识符包括:终端将挑战序列输入PUF电路生成的预设位数的响应序列,作为接口标识符;挑战序列为认证服务器发送至终端。
在一些实施例中,该方法还包括:认证服务器接收终端返回的接口标识符,将终端的标识与对应的接口标识符进行关联存储。
根据本公开的另一些实施例,提供的一种认证方法,包括:认证服务器接收终端的认证请求,认证请求包括终端的标识;认证服务器根据终端的标识查找预存的终端的跳转序,并向终端发送挑战序列;认证服务器接收终端发送的响应序列,响应序列是终端将挑战序列输入物理不可克隆函数PUF电路生成的;认证服务器通过比对响应序列与预存的终端的响应序列,确定终端的合法性。
根据本公开的一些实施例,提供的一种认证服务器,包括:数据接收模块,用于接收终端发送的IPv6数据包,IPv6数据包包括终端的IPv6地址,终端的IPv6地址中包括利用终端的物理不可克隆函数PUF生成的接口标识符;信息提取模块,用于提取终端的IPv6地址中的接口标识符;认证模块,用于根据接口标识符确定终端的合法性。
在一些实施例中,认证模块用于根据终端的标识查找本地存储的终端对应的接口标识符,将本地存储的终端对应的接口标识符与提取的终端的IPv6地址中的接口标识符进行比对,如果一致,则终端合法,否则终端不合法。
在一些实施例中,认证模块还用于解析IPv6数据包获取加密后的终端的标识,对加密后的终端的标识进行解密,获取终端的标识。
在一些实施例中,认证模块用于根据终端的标识查找本地存储的终端对应的挑战序列,向终端发送挑战序列,并接收终端返回的响应序列,响应序列为终端将挑战序列输入终端内的PUF电路生成的,将响应序列与接口标识符进行比对,如果一致,则终端合法,否则终端不合法。
在一些实施例中,该认证服务器还包括:存储模块,用于接收终端返回的接口标识符,将终端的标识与对应的接口标识符进行关联存储。
根据本公开的另一些实施例,提供的一种认证系统,包括:前述任意实施例的认证服务器;以及终端,用于向认证服务器发送IPv6数据包,IPv6数据包包括终端的IPv6地址,终端的IPv6地址中包括利用终端的物理不可克隆函数PUF生成的接口标识符。
在一些实施例中,终端还用于接收网络侧分配的IPv6地址前缀,利用PUF生成预设位数的接口标识符,将IPv6地址前缀与接口标识符进行拼接生成终端的IPv6地址。
在一些实施例中,终端还用于将挑战序列输入PUF电路生成的预设位数的响应序列,作为接口标识符;挑战序列为认证服务器发送至终端。
根据本公开的又一些实施例,提供的一种认证系统,包括:存储器;以及耦接至存储器的处理器,处理器被配置为基于存储在存储器中的指令,执行如前述任意实施例的认证方法。
根据本公开的再一些实施例,提供的一种计算机可读存储介质,其上存储有计算机程序,其中,该程序被处理器执行时实现前述任意实施例的认证方法。
本公开中终端在IPv6地址中加入PUF生成的接口标识符,基于PUF(PhysicallyUnclonable Function,物理不可克隆函数)的不可复制特性,并且由终端的芯片产生,PUF生成的接口标识符具有不可篡改、防伪造和唯一标识终端的作用。认证服务器可以根据PUF生成的接口标识符确定IPv6地址对应的终端的合法性,以及终端与IPv6地址对应关系的合法性。本公开的方案能够提高IPv6地址使用的安全性,提高网络的安全性。
通过以下参照附图对本公开的示例性实施例的详细描述,本公开的其它特征及其优点将会变得清楚。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出本公开的一些实施例的认证方法的流程示意图。
图2示出本公开的另一些实施例的认证方法的流程示意图。
图3示出本公开的又一些实施例的认证方法的流程示意图。
图4示出本公开的一些实施例的认证服务器的结构示意图。
图5示出本公开的一些实施例的认证系统的结构示意图。
图6示出本公开的另一些实施例的认证系统的结构示意图。
图7示出本公开的又一些实施例的认证系统的结构示意图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。基于本公开中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
针对IPv6地址被非法终端盗用、假冒等问题,提出本方案。下面结合图1描述本公开认证方法的一些实施例。
图1为本公开认证方法一些实施例的流程图。如图1所示,该实施例的方法包括:步骤S102~S106。
在步骤S102中,终端向认证服务器发送IPv6数据包,相应的,认证服务器接收终端发送的IPv6数据包。IPv6数据包包括终端的IPv6地址,终端的IPv6地址中包括利用终端的物理不可克隆函数PUF生成的接口标识符。
终端可以在生成IPv6地址后,向认证服务器发送IPv6数据包,IPv6数据包例如为含有认证请求的数据包,网络侧设备接收到认证请求数据包后转发至认证服务器。IPv6数据包中源地址即为终端的IPv6地址。终端的IPv6地址可以包括两部分,一部分为网络侧分配的IPv6地址前缀,一部分为终端的PUF生成的接口标识符。
基础芯片层利用PUF电路产生能够用于唯一标识终端身份信息的PUF序列值,可以映射生成该芯片的IPv6地址的预设位数的接口标识符(Interface ID,IID)。PUF即“物理不可克隆函数”,对于不同的芯片而言,由于芯片生产过程中的光刻、掺杂等环节的产生的差异,会使得PUF算法产生不同的结果。芯片内部集成一个PUF模块,该PUF可以是一组微型电路,当收到一个随机的二进制输入口令Challenge(挑战)序列后,会生成一个唯一的、随机的二进制响应Response(响应),即对于同一个输入对于不同的芯片的PUF,会给出极为不同的输出。这样即使是生产厂家也无法制造出两个能产生类似输出的硬件,因而PUF序列值可以做该终端的唯一标识。
在步骤S104中,认证服务器提取终端的IPv6地址中的接口标识符。
认证服务器在收到终端发送的IPv6数据包后,提取源地址即为终端的IPv6地址,根据预设的IPv6地址生成规则,认证服务器可以获知IPv6中预设位置的字段表示终端的接口标识符,从而从IPv6地址中提取终端的接口标识符。
在步骤S106中,认证服务器根据接口标识符确定终端的合法性。
在一些实施例中,认证服务器可以预先保存终端对应的接口标识符。进而根据保存的终端对应的接口标识符和IPv6地址中的接口标识符进行比对,确定终端的合法性。认证服务器根据终端的标识查找本地存储的终端对应的接口标识符。认证服务器将本地存储的终端对应的接口标识符与提取的终端的IPv6地址中的接口标识符进行比对,如果一致,则终端合法,否则终端不合法。如果认证服务器根据终端的标识未查找到相关存储信息,则终端认证不通过。
进一步,认证服务器还可以保存终端的线路信息,例如二层线路ID,设备端口号等。认证服务器根据终端的标识查找本地存储的终端对应的接口标识符和线路信息,认证服务器将本地存储的终端对应的接口标识符与提取的终端的IPv6地址中的接口标识符进行比对,将本地存储的终端对应的线路信息与提取的终端的IPv6地址中的线路信息进行比对,如果一致,则终端合法,否则终端不合法。通过多项信息的比对校验,可以进一步提高认证的准确性。
在一些实施例中,认证服务器也可以预先保存终端对应的IPv6地址,即分配的地址前缀和接口标识符组成的IPv6地址。进而根据保存的终端对应的IPv6地址和终端发送的数据包中的终端的IPv6地址进行比对,确定终端的合法性。认证服务器根据终端的标识查找本地存储的终端对应的IPv6地址。认证服务器将本地存储的终端对应的IPv6地址与提取的终端的IPv6地址进行比对,如果一致,则终端合法,否则终端不合法。
在一些实施例中,为了进一步提高信息的安全性。认证服务器可以不直接保存终端的接口标识符或IPv6地址,而是保存终端对应的挑战(challenge)序列。当需要认证终端是否合法时,认证服务器将挑战序列发送至终端,确定终端返回的响应序列是否与IPv6地址中的接口标识符是否一致。
例如,认证服务器根据终端的标识查找本地存储的终端对应的挑战序列。认证服务向终端发送挑战序列,并接收终端返回的响应序列,响应序列为终端将挑战序列输入PUF生成的;认证服务器将响应序列与接口标识符进行比对,如果一致,则终端合法,否则终端不合法。
在一些实施例中,终端的标识可以携带在终端发送的IPv6数据包中,具体可以位于IPv6数据包的PDU(净荷数据单元)中,认证服务器从IPv6数据包解析出终端的标识,进而根据终端的标识查找本地存储的终端对应的接口标识符。
进一步,还可以对终端发送的IPv6数据包中的终端的标识进行加密,进一步提高传输的安全性,以及认证的准确性。认证服务器解析IPv6数据包获取加密后的终端的标识;对加密后的终端的标识进行解密,获取终端的标识。例如,可以采用认证服务器的公钥进行加密,认证服务器收到加密后的终端的标识后,利用私钥进行解密,则可获取终端的标识。
上述实施例中终端在IPv6地址中加入PUF生成的接口标识符,基于PUF的不可复制特性,并且由终端的芯片产生,让IPv6地址中携带了不可更改的设备特征信息,PUF生成的接口标识符具有不可篡改、防伪造和唯一标识终端的作用。认证服务器可以根据PUF生成的接口标识符确定IPv6地址对应的终端的合法性,以及终端与IPv6地址对应关系的合法性,可从设备硬件层面识别终端设备真伪,防止假冒终端入网。上述实施例的方案能够提高IPv6地址使用的安全性,提高网络的安全性。此外,在部分场景下,用户不方便输入用户名或密码的情况下,可以采用上述实施例的方法进行标识终端和安全认证,简化终端设备认证流程。
上述实施例中,将终端的认证信息携带在IPv6地址中,可以减少认证的流程。本公开还提出利用PUF生成认证信息对终端进行认证的方法,下面结合图2进行描述。
图2为本公开认证方法另一些实施例的流程图。如图2所示,该实施例的方法包括:步骤S202~S208。
在步骤S202中,认证服务器接收终端的认证请求,认证请求包括终端的标识。处于安全性考虑可以对终端的标识进行加密。
在步骤S204中,认证服务器根据终端的标识查找预存的终端的跳转序,并向终端发送挑战序列。
在步骤S206中,认证服务器接收终端发送的响应序列,响应序列是终端将挑战序列输入物理不可克隆函数PUF电路生成的。
在步骤S208中,认证服务器通过比对响应序列与预存的终端的响应序列,确定终端的合法性。
如果终端发送的响应序列与预存的响应序列一致,则终端合法,否则不合法。
在一些实施例中,终端在通过PUF认证通过后,可以使用别的方式生成接口标识符,如网络侧下发接口标识符,或者终端自己随机生成接口标识。终端接收网络侧分配的IPv6地址前缀;终端将IPv6地址前缀与接口标识符进行拼接生成终端的IPv6地址。
下面结合图3描述本公开中终端的IPv6地址的生成方法的一些实施例。
图3为本公开认证方法另一些实施例的流程图。如图3所示,该实施例的方法包括:步骤S302~S312。
在步骤S302中,终端向网络侧的地址分配设备发送地址分配请求。
在步骤S304中,终端接收网络侧地址分配设备分配的IPv6地址前缀。
在步骤S306中,终端利用PUF生成预设位数的接口标识符。
例如,终端将挑战序列输入PUF生成的预设位数的响应序列,作为接口标识符。挑战序列可以为认证服务器分配至终端或终端预先存储的。例如,IPv6地址为128位。IPv6地址前缀为64位,则终端利用PUF生成64位的接口标识符。终端的芯片PUF中输入至少64位Challenge,则可以生成64位Response,形成的64位序列可作为该芯片的IPv6地址接口的标识符。由于PUF电路的可输入口令的序列数随着组件(Component)的数量指数增加,因此64个比特位至少需要5个组件。
在步骤S308中,终端将IPv6地址前缀与接口标识符进行拼接生成终端的IPv6地址。
可选的,在步骤S310中,终端将接口标识符返回至认证服务器,相应的,认证服务器接收终端返回的接口标识符。
可选的,在步骤S312中,认证服务器将终端的标识与对应的接口标识符进行关联存储。
在一些实施例中,终端生成IPv6地址后,可以将IPv6地址返回至认证服务器,认证服务器接收终端返回的IPv6地址,将终端的标识与IPv6地址进行关联存储,用于后续的认证流程。
在一些实施例中,认证服务器预先为终端分配终端标识,可以在终端向网络注册成功后,将挑战序列发送至终端,终端将挑战序列输入PUF生成的预设位数的响应序列作为接口标识符返回至认证服务器,认证服务器将终端的标识与对应的接口标识符进行关联存储,用于后续的认证流程。
进一步,线路信息等终端相关的认证信息,可以与接口标识符或IPv6地址同时进行关联存储。
上述实施例的方法提出了一种新的IPv6地址生成方法,终端利用PUF生成接口标识符,与网络侧分配的IPv6前缀组成终端的IPv6地址。这样生成的IPv6地址与终端具有唯一对应的关系,能够标识终端的身份,提高IPv6地址使用的安全性,提高IPv6互联网的安全性。
本公开的方案可以应用于物联网领域,基于设备的芯片物理特性PUF生成IPv6地址标识,构架安全可信的新型物联网。比如在智能家居中,场景内的设备,比如冰箱,空调,电视机,电脑,扫地机器人,家居小精灵等,均具有独立的芯片。基于芯片的物理特性的不可复制性,并利用本方案的技术生成的IPv6地址,实现网络中设备的安全性,唯一性保证。在一些实施例中,物联网中的管理设备,根据接收的终端发送的IPv6数据包,确定各个终端的连接状态或终端的连接数量。由于各个终端的IPv6地址中包含唯一标识终端的接口标识符,如果在预设时间内没有收到终端的IPv6数据包,则可以确定终端连接出现问题。物联网中的管理设备还可以根据不同的接口标识符,统计连接的终端的数量。本公开的方法应用于物联网领域,可以实现提高终端的管理效率,一旦出现设备损坏,更换,混入等情况,网络中IPv6地址会出现缺失,更换,新添等状况,能够时刻检测连入网络设备状态和数量。
本公开的方案可以应用于军事等安全级别要求较高的网络环境中,由于芯片物理特性不可复制,基于本方案生成的IPv6地址可有效防止敌方的设备混入IPv6网络,为保障网络的安全提供了一种新的手段。如果有新设备接入或是替代原有的设备加入网络,根据芯片的独特物理特性生成的唯一IPv6地址即可侦测出有疑似敌方设备加入或是原有设备被破坏。
本公开还提供一种认证服务器,下面结合图4进行描述。
图4为本公开认证服务器的一些实施例的结构图。如图4所示,该实施例的认证服务器40包括:数据接收模块402,信息提取模块404,认证模块406。
数据接收模块402,用于接收终端发送的IPv6数据包,IPv6数据包包括终端的IPv6地址,终端的IPv6地址中包括利用终端的物理不可克隆函数PUF生成的接口标识符。
信息提取模块404,用于提取终端的IPv6地址中的接口标识符。
认证模块406,用于根据接口标识符确定终端的合法性。
在一些实施例中,认证模块406用于根据终端的标识查找本地存储的终端对应的接口标识符,将本地存储的终端对应的接口标识符与提取的终端的IPv6地址中的接口标识符进行比对,如果一致,则终端合法,否则终端不合法。
在一些实施例中,认证模块406还用于解析IPv6数据包获取加密后的终端的标识,对加密后的终端的标识进行解密,获取终端的标识。
在一些实施例中,认证模块406用于根据终端的标识查找本地存储的终端对应的挑战序列,向终端发送挑战序列,并接收终端返回的响应序列,响应序列为终端将挑战序列输入终端内的PUF电路生成的,将响应序列与接口标识符进行比对,如果一致,则终端合法,否则终端不合法。
在一些实施例中,认证服务器40还可以包括:存储模块405,用于接收终端返回的接口标识符,将终端的标识与对应的接口标识符进行关联存储。
本公开还提供一种认证系统,下面结合图5进行描述。
图5为本公开认证系统的一些实施例的结构图。如图5所示,该实施例的认证系统5包括:前述任意实施例的认证服务器40,以及终端52。
终端52用于向认证服务器40发送IPv6数据包,IPv6数据包包括终端的IPv6地址,终端的IPv6地址中包括利用终端的物理不可克隆函数PUF生成的接口标识符。
在一些实施例中,终端52还用于接收网络侧分配的IPv6地址前缀,利用PUF生成预设位数的接口标识符,将IPv6地址前缀与接口标识符进行拼接生成终端的IPv6地址。
在一些实施例中,终端52还用于将挑战序列输入PUF电路生成的预设位数的响应序列,作为接口标识符。挑战序列为认证服务器40发送至终端52。
本公开的实施例中的认证系统,例如认证服务或终端,可各由各种计算设备或计算机系统来实现,下面结合图6以及图7进行描述。
图6为本公开认证系统的一些实施例的结构图。如图6所示,该实施例的认证系统60包括:存储器610以及耦接至该存储器610的处理器620,处理器620被配置为基于存储在存储器610中的指令,执行本公开中任意一些实施例中的认证方法。
其中,存储器610例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(Boot Loader)、数据库以及其他程序等。
图7为本公开认证系统的另一些实施例的结构图。如图7所示,该实施例的认证系统70包括:存储器710以及处理器720,分别与存储器610以及处理器620类似。还可以包括输入输出接口730、网络接口740、存储接口750等。这些接口730,740,750以及存储器710和处理器720之间例如可以通过总线760连接。其中,输入输出接口730为显示器、鼠标、键盘、触摸屏等输入输出设备提供连接接口。网络接口740为各种联网设备提供连接接口,例如可以连接到数据库服务器或者云端存储服务器等。存储接口750为SD卡、U盘等外置存储设备提供连接接口。
本领域内的技术人员应当明白,本公开的实施例可提供为方法、系统、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开是参照根据本公开实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解为可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本公开的较佳实施例,并不用以限制本公开,凡在本公开的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (15)
1.一种认证方法,包括:
认证服务器接收终端发送的IPv6数据包,所述IPv6数据包包括所述终端的IPv6地址,所述终端的IPv6地址中包括利用所述终端的物理不可克隆函数PUF生成的接口标识符;
所述认证服务器提取所述终端的IPv6地址中的接口标识符;
所述认证服务器根据所述接口标识符确定所述终端的合法性;
其中,所述认证服务器根据所述接口标识符确定所述终端的合法性包括:
所述认证服务器在已存储所述终端对应的接口标识符和线路信息的情况下,将本地存储的所述终端对应的接口标识符与提取的所述终端的IPv6地址中的接口标识符进行比对,将本地存储的所述终端对应的线路信息与提取的所述终端的IPv6地址中的线路信息进行比对,如果一致,则终端合法,否则终端不合法。
2.根据权利要求1所述的认证方法,其中,
所述终端的标识携带在所述IPv6数据包中,所述终端的标识为加密后的终端的标识;
所述认证服务器根据所述终端的标识查找本地存储的所述终端对应的接口标识符包括:
所述认证服务器解析所述IPv6数据包获取加密后的终端的标识;
所述认证服务器对所述加密后的终端的标识进行解密,获取所述终端的标识。
3.根据权利要求1所述的认证方法,其中,
所述认证服务器根据所述接口标识符确定所述终端的合法性包括:
所述认证服务器在未存储所述终端对应接口标识符的情况下,根据所述终端的标识查找本地存储的所述终端对应的挑战序列;
所述认证服务向所述终端发送挑战序列,并接收所述终端返回的响应序列,所述响应序列为所述终端将所述挑战序列输入终端内的PUF电路生成的;
所述认证服务器将所述响应序列与所述接口标识符进行比对,如果一致,则所述终端合法,否则所述终端不合法。
4.根据权利要求1-3任一项所述的认证方法,还包括:
所述终端接收网络侧分配的IPv6地址前缀;
所述终端利用PUF生成预设位数的接口标识符;
所述终端将所述IPv6地址前缀与所述接口标识符进行拼接生成所述终端的IPv6地址。
5.根据权利要求4所述的认证方法,其中,
所述终端利用PUF生成预设位数的接口标识符包括:
所述终端将挑战序列输入PUF电路生成的预设位数的响应序列,作为接口标识符;
所述挑战序列为所述认证服务器发送至所述终端。
6.根据权利要求5所述的认证方法,还包括:
所述认证服务器接收所述终端返回的接口标识符,将所述终端的标识与对应的接口标识符进行关联存储。
7.一种认证服务器,包括:
数据接收模块,用于接收终端发送的IPv6数据包,所述IPv6数据包包括所述终端的IPv6地址,所述终端的IPv6地址中包括利用所述终端的物理不可克隆函数PUF生成的接口标识符;
信息提取模块,用于提取所述终端的IPv6地址中的接口标识符;
认证模块,用于根据所述接口标识符确定所述终端的合法性;
其中,在存储模块已存储所述终端对应的接口标识符和线路信息的情况下,所述认证模块用于将本地存储的所述终端对应的接口标识符与提取的所述终端的IPv6地址中的接口标识符进行比对,将本地存储的所述终端对应的线路信息与提取的所述终端的IPv6地址中的线路信息进行比对,如果一致,则终端合法,否则终端不合法。
8.根据权利要求7所述的认证服务器,其中,
所述认证模块还用于解析所述IPv6数据包获取加密后的终端的标识,对所述加密后的终端的标识进行解密,获取所述终端的标识。
9.根据权利要求7所述的认证服务器,其中,
在存储模块未存储所述终端对应接口标识符的情况下,所述认证模块用于根据所述终端的标识查找本地存储的所述终端对应的挑战序列,向所述终端发送挑战序列,并接收所述终端返回的响应序列,所述响应序列为所述终端将所述挑战序列输入终端内的PUF电路生成的,将所述响应序列与所述接口标识符进行比对,如果一致,则所述终端合法,否则所述终端不合法。
10.根据权利要求7所述的认证服务器,其中,
所述存储模块,用于接收所述终端返回的接口标识符,将所述终端的标识与对应的接口标识符进行关联存储。
11.一种认证系统,包括:权利要求7-10任一项的认证服务器;以及
终端,用于向所述认证服务器发送IPv6数据包,所述IPv6数据包包括所述终端的IPv6地址,所述终端的IPv6地址中包括利用所述终端的物理不可克隆函数PUF生成的接口标识符。
12.根据权利要求11所述的认证系统,其中,
所述终端还用于接收网络侧分配的IPv6地址前缀,利用PUF生成预设位数的接口标识符,将所述IPv6地址前缀与所述接口标识符进行拼接生成所述终端的IPv6地址。
13.根据权利要求12所述的认证系统,其中,
所述终端还用于将挑战序列输入PUF电路生成的预设位数的响应序列,作为接口标识符;
所述挑战序列为所述认证服务器发送至所述终端。
14.一种认证系统,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行如权利要求1-6任一项所述的认证方法。
15.一种计算机可读存储介质,其上存储有计算机程序,其中,该程序被处理器执行时实现权利要求1-6任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811523609.1A CN111327561B (zh) | 2018-12-13 | 2018-12-13 | 认证方法、系统、认证服务器和计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811523609.1A CN111327561B (zh) | 2018-12-13 | 2018-12-13 | 认证方法、系统、认证服务器和计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111327561A CN111327561A (zh) | 2020-06-23 |
| CN111327561B true CN111327561B (zh) | 2022-06-03 |
Family
ID=71170203
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811523609.1A Active CN111327561B (zh) | 2018-12-13 | 2018-12-13 | 认证方法、系统、认证服务器和计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111327561B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114301670B (zh) * | 2021-12-28 | 2023-12-05 | 天翼物联科技有限公司 | 基于ipv6地址的终端认证方法、装置、设备及介质 |
| CN114338044A (zh) * | 2022-01-13 | 2022-04-12 | 王鹏 | 验证网络用户身份的方法以及存储设备和处理设备 |
| CN117118765B (zh) * | 2023-10-25 | 2023-12-22 | 易讯科技股份有限公司 | 一种ipv6身份安全认证方法及系统 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7535856B2 (en) * | 2005-02-19 | 2009-05-19 | Cisco Technology, Inc. | Techniques for zero touch provisioning of edge nodes for a virtual private network |
| CN102739677B (zh) * | 2007-06-29 | 2015-09-09 | 华为技术有限公司 | 一种加密生成地址的配置方法、系统和装置 |
| US7962584B2 (en) * | 2008-02-13 | 2011-06-14 | Futurewei Technologies, Inc. | Usage of host generating interface identifiers in DHCPv6 |
| CN101902482B (zh) * | 2010-08-23 | 2013-04-10 | 中国电信股份有限公司 | 基于IPv6自动配置实现终端安全准入控制的方法和系统 |
| US8572366B1 (en) * | 2012-05-18 | 2013-10-29 | Google Inc. | Authenticating clients |
| CN106960148B (zh) * | 2016-01-12 | 2021-05-14 | 阿里巴巴集团控股有限公司 | 一种设备标识的分配方法和装置 |
| CN108173662B (zh) * | 2018-02-12 | 2019-12-24 | 海信集团有限公司 | 一种设备的认证方法和装置 |
| CN108768660B (zh) * | 2018-05-28 | 2021-03-30 | 北京航空航天大学 | 基于物理不可克隆函数的物联网设备身份认证方法 |
| CN108881308B (zh) * | 2018-08-09 | 2021-10-12 | 下一代互联网重大应用技术(北京)工程研究中心有限公司 | 一种用户终端及其认证方法、系统、介质 |
-
2018
- 2018-12-13 CN CN201811523609.1A patent/CN111327561B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN111327561A (zh) | 2020-06-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112688784B (zh) | 一种数字签名、验证方法、装置及系统 | |
| CN106656907B (zh) | 用于认证的方法、装置、终端设备及系统 | |
| CN106790156B (zh) | 一种智能设备绑定方法及装置 | |
| CN106657152B (zh) | 一种鉴权方法及服务器、访问控制装置 | |
| CN106161350B (zh) | 一种管理应用标识的方法及装置 | |
| JP2018501567A (ja) | 装置検証方法及び機器 | |
| CN112953707A (zh) | 密钥加密方法、解密方法及数据加密方法、解密方法 | |
| CN111666564B (zh) | 应用程序安全启动方法、装置、计算机设备和存储介质 | |
| CN111131300B (zh) | 通信方法、终端及服务器 | |
| US11424919B2 (en) | Protecting usage of key store content | |
| CN111327561B (zh) | 认证方法、系统、认证服务器和计算机可读存储介质 | |
| EP3206329B1 (en) | Security check method, device, terminal and server | |
| CN109831311B (zh) | 一种服务器验证方法、系统、用户终端及可读存储介质 | |
| CN112615834B (zh) | 一种安全认证方法及系统 | |
| CN110740038B (zh) | 区块链及其通信方法、网关、通信系统和存储介质 | |
| CN106209730B (zh) | 一种管理应用标识的方法及装置 | |
| CN111510442A (zh) | 一种用户验证方法、装置、电子设备及存储介质 | |
| CN111241492A (zh) | 一种产品多租户安全授信方法、系统及电子设备 | |
| KR20160065261A (ko) | 앱 위변조 방지시스템 및 그 방법 | |
| CN110602051B (zh) | 基于共识协议的信息处理方法及相关装置 | |
| EP2985712A1 (en) | Application encryption processing method, apparatus, and terminal | |
| KR101912403B1 (ko) | 장비들 간의 보안 인증 방법 | |
| CN110890979A (zh) | 堡垒机自动部署方法、装置、设备及介质 | |
| CN114745115A (zh) | 一种信息传输方法、装置、计算机设备及存储介质 | |
| CN110858803B (zh) | 认证方法、系统、服务器和计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20200623 Assignee: Beijing Tianchuang Xinlian Technology Co.,Ltd. Assignor: CHINA TELECOM Corp.,Ltd. Contract record no.: X2024110000007 Denomination of invention: Authentication methods, systems, authentication servers, and computer-readable storage media Granted publication date: 20220603 License type: Common License Record date: 20240223 |
|
| EE01 | Entry into force of recordation of patent licensing contract |