CN111835752B - 基于设备身份标识的轻量级认证方法及网关 - Google Patents
基于设备身份标识的轻量级认证方法及网关 Download PDFInfo
- Publication number
- CN111835752B CN111835752B CN202010656611.7A CN202010656611A CN111835752B CN 111835752 B CN111835752 B CN 111835752B CN 202010656611 A CN202010656611 A CN 202010656611A CN 111835752 B CN111835752 B CN 111835752B
- Authority
- CN
- China
- Prior art keywords
- terminal
- information
- key
- gateway
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种基于设备身份标识的轻量级认证方法及网关。其中,基于设备身份标识的轻量级认证方法,包括:注册方法和认证方法;注册方法,包括:响应于注册申请请求,获取发送注册申请请求终端的身份信息;基于所述身份信息生成终端ID公钥;基于所述终端ID公钥得到终端的加密私钥和加签公钥;获取与终端协商得到的会话密钥;基于所述会话密钥对所述加密私钥和加签公钥进行加密,得到第一加密信息;将所述第一加密信息发送至终端。在加密私钥和加签公钥的传输通信中,使用与终端协商得到的会话密钥对通信进行加密,从而保证加密私钥和加签公钥传输安全,达到提高轻量级注册认证中安全性的目的。
Description
技术领域
本发明属于物联网技术领域,更具体地,涉及一种基于设备身份标识的轻量级认证方法及网关。
背景技术
现有的认证协议框架包括PKI、CPK和IBE等多种结构。PKI证书技术已成为应用于各个领域的安全通信功能实现的一个成熟技术。为验证用户身份,PKI框架要求通信用户在与对方通信前申请对方证书以及验证证书的有效性,较大增加了通信,时间和运算开销,对于功能简单,硬件设施简陋的物联网设备,难以支撑PKI认证技术的正常运行,尽管存在一些对PKI框架的轻量级设计,但都无法弥补证书与信任链的本质缺陷。郭萍提出一种轻量级证书方法(郭萍,张宏,周未,曹雪.基于轻量级CA无线传感器网络双向认证方案[J].小型微型计算机系统,2013),只设置一个信任机构对用户自己生成的公私密钥对进行签名信任,降低了证书使用开销。但是其安全性降低,无法察觉中间人攻击;简单的合法验证和密钥托管的缺失导致协议可能出现攻击者注册成功的漏洞。因此,智能电网场景需要轻量级的认证协议来实现物联网设备的安全接入。CPK通过组合密码矩阵缩短了公钥生成时间,也不需要第三方证明的层次化CA机构链。虽然原则上规模很小的矩阵通过组合生产出数量极为庞大的公私钥对,但是如果恶意攻击者收集足够多的密文信息,可能会通过线性组合逆操作导致密钥容易被破解(周加法,马涛,李益发.PKI、CPK、IBC性能浅析[J].信息工程大学学报,2005)。相比于PKI证书技术和CPK体系,IBC框架提出用户信息与用户公钥的一一映射关系,不需要数字证书进行绑定;其数学基础是椭圆曲线双线性对,相比于其他加密方式,安全性高,不容易被破解,更加适应智能电厂应用场景。Yan等人提出了使用基于身份的分层加密技术(Yan L,Rong C,Zhao G.Strengthen Cloud Computing Security with FederalIdentity Management Using Hierarchical Identity-Based Cryptography[J].LectureNotes in Computer Science,2009)加强多个体管理的云计算安全,协调不同云之间的标识管理系统;然而标识之间有重复出现的字段,因为标识与设备公钥具有一定的函数关系,所以标识的重复字段可能导致提高密钥破解的可能性,同时,标识形成并没有发挥IBC框架的轻量级优势。Dong提出一种轻量级公钥认证框架(Dong X,Wang L,Cao Z.New PublicKey Crypto-System With Light Certification Authority[EB/OL].http://ePrint.iacr.org/2006/154)用来解决物联网的终端计算能力有限的问题。但是这种轻量级公钥认证框架只是适用于规模比较小的网络中,不适用设备灵活接入安全系统的场景。Sungchul提出一种用户身份标识与用户密钥一对一的关系(Sungchul L.,Ju-Yeon J.andYoohwan K.,“Method for secure RESTful web service".In IEEE/ACIS,14thInternational Conference on Computer and Information Science(ICIS 2015))。但是没有考虑这些网络信息是否可以被复制。综合而说,现有的IBC轻量级设计及电网场景应用仍然有缺陷,非对称加密算法复杂;相对于规范的用户信息,如邮箱地址等,现有的物联网设备信息(IP地址)容易仿冒;相比于智能用户准入验证机制的交互性,物联网设备接入系统时无法实现合法身份验证。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题:
现有的轻量级注册认证中存在安全性不足的问题。
发明内容
有鉴于此,本发明实施例提供了一种基于设备身份标识的轻量级认证方法及网关,至少解决现有技术中安全性不足的问题。
第一方面,本发明实施例提供了一种基于设备身份标识的轻量级认证方法,包括:注册方法和认证方法;
所述注册方法包括:
响应于注册申请请求,获取发送注册申请请求终端的身份信息;
基于所述身份信息生成终端ID公钥;
基于所述终端ID公钥得到终端的加密私钥和加签公钥;
获取与终端协商得到的会话密钥;
基于所述会话密钥对所述加密私钥和加签公钥进行加密,得到第一加密信息;
将所述第一加密信息发送至终端。
可选的,所述获取发送注册申请请求终端的身份信息,包括:
对发送注册申请请求的终端进行指纹采集;
基于指纹采集的信息得到所述身份信息。
可选的,所述获取发送注册申请请求终端的身份信息的步骤之后,还包括:
基于所述身份信息判断所述终端是否符合设定的注册条件。
可选的,所述会话密钥为:
网关与终端采用协商密钥算法生成。
可选的,所述网关与终端采用协商密钥算法生成的会话密钥,包括:
网关基于密钥协商算法得到第一随机数,向终端发送包含第一随机数的网关信息;
网关接收来自终端的反馈信息,所述反馈信息包括使用会话密钥加密的第二加密信息和第二随机数,所述会话密钥为基于第一随机数和第二随机数生成,所述第二随机数为终端基于终端ID生成,生成所述第二随机数的密钥协商算法与生成第一随机数的密钥协商算法相同;
网关基于所述第二随机数对所述第二加密信息信息解密得到会话密钥。
可选的,所述网关信息,包括:
IDA,IDB,ar1,网关时间戳和S1,IDA为网关ID,IDB为终端ID,ar1为第一随机数,M1为IDA、IDB和ar1的MAC值,S1为网关对M1的签名。
可选的,所述反馈信息,包括:
E1和ar2,E1为使用会话密钥加密的包括IDA、IDB、网关时间戳+1和第二随机数MAC值的信息,ar2为第二随机数。
可选的,所述网关基于所述第二随机数对所述第二加密信息信息解密得到会话密钥,包括:
通过ar2获得会话密钥并解密信息E1;
验证网关时间戳和第二随机数MAC值是否正确;
如正确,则用会话密钥加密包括IDA、IDB、Keypair、网关时间戳+2,和S2的E2信息,Keypair为加密私钥和加签公钥,S2为对M2的签名,M2为IDA、IDB、Keypair和网关时间戳+2的MAC值;
使用签名算法为E2信息的MAC值添加数字签名。
可选的,所述将所述第一加密信息发送至终端,包括:
接收来自终端的结束信号E3,对所述结束信号E3进行解密,基于解密得到的信息判断与终端会话是否结束;
所述终端生成结束信号E3包括,终端使用会话密钥解密E2信息,对解密E2信息中的时间戳有效性进行验证,得到Keypair后生成结束信号E3。
可选的,所述认证方法,包括:
响应于认证请求,获取发送认证请求的终端身份信息;
基于所述身份信息生成终端ID;
基于所述终端ID确认所述终端是否成功注册;
接收成功注册终端的认证请求报文,并产生第一通信密钥;
基于认证请求报文和所述第一通信密钥生成认证请求回复报文;
接收基于所述认证请求回复报文得到的认证报文,所述认证报文为基于所述认证回复报文得到的,所述认证报文使用第二通信密钥加密;
基于所述认证报文对终端身份进行认证。
可选的,所述基于所述终端ID确认所述终端是否成功注册,包括:
访问预配置的数据库,确认终端身份是否合法且所述终端是否成功注册。
可选的,所述接收成功注册终端的认证请求报文,并产生第一通信密钥,包括:
发送网关时间戳T给成功注册的终端;
所述认证请求报文为:
所述终端基于所述网关时间戳T、随机数ra和参数Ra生成;
所述随机数ra和参数Ra为所述终端基于所述网关时间戳T生成;
所述认证请求报文为:
Authentication Request/SYN=E(ID,T,ra,H(Ra)),Ra,Sig(MAC),Authentication Request为认证请求命令,SYN为同步序列编号,E为认证请求信息,ID为终端ID,H(Ra)为参数Ra的哈希值,Sig(MAC)为对E(ID,T,ra,H(Ra))的MAC值的签名;
所述接收成功注册终端的认证请求报文,并产生第一通信密钥,包括:
使用终端公钥解签验证,并用第一解密私钥解密认证请求报文,验证得到的时间戳的有效性和认证请求报文的完整性;
验证后产生随机数rb和协商密钥参数Rb,并通过随机数rb和协商密钥参数Rb得到第一通信密钥;
所述认证请求回复报文为:
Authentication Respond:ACK/SYN=E(ID,T,ra,rb,H(Rb)),Rb,Sig1(MAC);
ACK为确认字符,ID为终端ID,H(Rb)为参数Rb的哈希值,Sig1(MAC)为E(ID,T,ra,rb,H(Rb))的MAC值的签名;
所述认证报文为:
使用所述第二通信密钥对认证报文信息进行加密得到;
所述终端收到所述认证请求回复报文后,使用网关公钥解签验证,并用第二解密私钥解密所述认证请求回复报文,验证时间戳的有效性和所述认证请求回复报文的完整性以及随机数ra是否变化,如随机数ra无变化则生成认证报文信息,并通过参数Ra和收到的参数Rb得到第二通信密钥。
可选的,所述认证报文为:
Authentication Respond:ACK=E(ID,T,rb,H(Rb)),Sig2(MA C);
ID为终端ID,Sig2(MAC)为E(ID,T,rb,H(Rb))的MAC值的签名。
第二方面,本发明实施例还提供了一种网关,该网关包括:
存储器,存储有可执行指令;
处理器,所述处理器运行所述存储器中的所述可执行指令,以实现第一方面任一项所述的基于设备身份标识的轻量级认证方法。
本发明基于终端的身份信息生成终端ID公钥,从而得到终端的加密私钥和加签公钥,在加密私钥和加签公钥的传输通信中,使用与终端协商得到的会话密钥对通信进行加密,从而保证加密私钥和加签公钥传输安全,达到提高轻量级注册认证中安全性的目的。
在认证过程中,基于终端的身份信息生成终端ID,并基于终端ID验证终端是否成功注册,并接收成功注册的终端的认证请求报文,产生第一通信密钥,使用第一通信密钥对基于认证请求报文产生的认证请求回复信息进行加密,然后接收终端基于认证请求回复报文产生的认证报文,认证报文使用第二通信密钥加密,从而完成认证,在认证过程中首先对终端注册进行验证,在与验证成功的终端通信中使用第一通信密钥和第二通信密钥对相应报文进行加密,保证了报文传输中的安全性,达到提高轻量级注册认证中安全性的目的。
本发明的其它特征和优点将在随后具体实施方式部分予以详细说明。
附图说明
通过结合附图对本发明示例性实施方式进行更详细的描述,本发明的上述以及其它目的、特征和优势将变得更加明显,其中,在本发明示例性实施方式中,相同的参考标号通常代表相同部件。
图1示出了本发明的一个实施例的基于设备身份标识的轻量级认证方法中注册方法的流程图;
图2和图3示出了本发明的一个实施例的基于设备身份标识的轻量级认证方法中注册方法的原理框图;
图4示出了本发明的一个实施例的基于设备身份标识的轻量级认证方法中认证方法的流程图;
图5和图6示出了本发明的一个实施例的基于设备身份标识的轻量级认证方法中认证方法的原理框图。
具体实施方式
下面将更详细地描述本发明的优选实施方式。虽然以下描述了本发明的优选实施方式,然而应该理解,可以以各种形式实现本发明而不应被这里阐述的实施方式所限制。
SYN(Synchronize Sequence Numbers):同步序列编号。是TCP/IP建立连接时使用的握手信号。
ACK(Acknowledge character)是确认字符,在数据通信中,接收站发给发送站的一种传输类控制字符,表示发来的数据已确认接收无误。
实施例一:
如图1所示,一种基于设备身份标识的轻量级认证方法,包括:注册方法和认证方法;
注册方法,包括:
步骤S101:响应于注册申请请求,获取发送注册申请请求终端的身份信息;
步骤S102:基于所述身份信息生成终端ID公钥;
步骤S103:基于所述终端ID公钥得到终端的加密私钥和加签公钥;
步骤S104:获取与终端协商得到的会话密钥;
步骤S105:基于所述会话密钥对所述加密私钥和加签公钥进行加密,得到第一加密信息;
步骤S106:将所述第一加密信息发送至终端,从而完成终端在网关的注册。
在一个具体的应用场景中,运载于网关与终端设备的交互过程中,当终端设备没有实现合法注册或者注册被注销后,需要向网关申请注册。终端连接网关,向网关发送注册申请。
网关接收到有终端申请注册的请求,对该终端进行指纹采集,获得设备的身份信息。通过人工审核确定该设备是否可以注册,也可以网关根据设定的注册条件自动审核确定该设备是否可以注册,当确认后,网关发挥密钥生成中心(PKG)角色通过设备的身份信息,生成终端ID公钥,并且使用密钥生成算法,为该终端生成加密私钥和加签私钥。
为了将不能泄露的加密私钥和加签公钥发送给终端,网关和终端会采用协商密钥算法生成这次会话共用的加密解密密钥(会话密钥)。并基于加密解密密钥将加密私钥和加签私钥发送至终端。
可选的,所述获取发送注册申请请求终端的身份信息,包括:
对发送注册申请请求的终端进行指纹采集;
基于指纹采集的信息得到所述身份信息。
可选的,所述获取发送注册申请请求终端的身份信息的步骤之后,还包括:
基于所述身份信息判断所述终端是否符合设定的注册条件。
网关检测到有终端申请注册的请求,对该终端进行指纹采集,获得设备的身份信息(设备品牌,类型,Mac地址和IP地址)。身份信息获取,包括标语数据采集、标语信息处理和匹配识别;标语数据采集为:向所述终端发送探测报文,接收所述终端反馈的不同种类的协议标语信息;所述标语信息处理为:排除所述标语信息中的非关键因素后,对所述标语信息进行分词,得到分词列表;所述匹配识别为:利用所述分词列表在预配置设备信息库中搜索设备信息,生成设备信息列表。设备身份信息采集包括三个部分,标语数据采集、标语信息处理和匹配识别。标语数据采集依靠探测主机向终端发送探测报文(特定协议和端口)完成,由终端反馈的不同种类的协议标语信息组成。标语信息处理利用自然语言处理(NLP)方式,除去非关键因素后,对标语信息进行分词,得到分词列表。匹配识别过程通过自动化方法利用获得的分词列表在设备信息库中搜索设备的品牌、型号信息。生成设备信息列表后,通过人工审核确定该设备是否可以注册,当确认后,网关通过设备的身份信息。网关采用sm3的hash算法生成终端ID公钥,并且采用sm9的密钥生成算法,为该终端生成加密私钥和加签公钥。
可选的,所述会话密钥为:
网关与终端采用协商密钥算法生成。
网关和终端会采用Diffie-Hellman协议协商会话共用的会话密钥。
可选的,所述网关与终端采用协商密钥算法生成的会话密钥,包括:
网关基于密钥协商算法得到第一随机数,向终端发送包含第一随机数的网关信息;
网关接收来自终端的反馈信息,所述反馈信息包括使用会话密钥加密的第二加密信息和第二随机数,所述会话密钥为基于第一随机数和第二随机数生成,所述第二随机数为终端基于终端ID生成,生成所述第二随机数的密钥协商算法与生成第一随机数的密钥协商算法相同;
网关基于所述第二随机数对所述第二加密信息信息解密得到会话密钥。
可选的,所述网关信息,包括:
IDA,IDB,ar1,网关时间戳和S1,IDA为网关ID,IDB为终端ID,ar1为第一随机数,M1为IDA、IDB和ar1的MAC值,S1为网关对M1的签名。
可选的,所述反馈信息,包括:
E1和ar2,E1为使用会话密钥加密的包括IDA、IDB、网关时间戳+1和第二随机数MAC值的信息,ar2为第二随机数。
可选的,所述网关基于所述第二随机数对所述第二加密信息信息解密得到会话密钥,包括:
通过ar2获得会话密钥并解密信息E1;
验证网关时间戳和第二随机数MAC值是否正确;
如正确,则用会话密钥加密包括IDA、IDB、Keypair、网关时间戳+2,和S2的E2信息,Keypair为加密私钥和加签公钥,S2为对M2的签名,M2为IDA、IDB、Keypair和网关时间戳+2的MAC值;
使用签名算法为E2信息的MAC值添加数字签名。
可选的,所述将所述第一加密信息发送至终端,包括:
接收来自终端的结束信号E3,对所述结束信号E3进行解密,基于解密得到的信息判断与终端会话是否结束;
所述终端生成结束信号E3包括,终端使用会话密钥解密E2信息,对解密E2信息中的时间戳有效性进行验证,得到Keypair后生成结束信号E3。
在一个具体的应用场景中,如图2和图3所示,为了将不能泄露的加密私钥和加签公钥发送给终端,网关和终端会采用协商密钥算法生成这次会话共用的加密解密密钥。网关借用密钥协商算法得到ar1,向B发送(IDA,IDB,ar1,网关时间戳,S1)。M1为(IDA,IDB,ar1)的MAC值,S1为网关对M1的签名。
终端收到网关信息后,得知终端ID(IDB)并借助密钥协商协议生成ar2。通过ar1,ar2获得会话密钥Key。并用Key加密信息(IDA,IDB,网关时间戳+1,Mac(ar2)),得到(E1,ar2)。
网关收到信息后,通过ar2获得会话密钥Key并解密信息E1。验证时间戳和Mac(ar2)的正确性后,用Key加密信息(IDA,IDB,Keypair,网关时间戳+2,S2)得到E2并发送给用户B。S2为网关对M2的签名。M2为(IDA,IDB,Keypair,网关时间戳+2)的MAC值。同时,使用签名算法为该信息的MAC值添加数字签名。
终端收到信息,使用Key解密E2,验证时间戳的有效性以及解签验证。获得Keypair并保存好,通过加密算法发送结束信号E3。
7.网关收到信息E3,使用SM9算法解密信息,判断结束。
本实施例具体以下效果:
1、减少了非对称加密机制的使用,降低了加密运算的复杂度,减少了设备计算开销;认证通信次数缩减到3次,降低了通信流量开销。
2、通过算法实现和测试,可以检测到假冒攻击、重放攻击和反射攻击,并从理论上分析平行会话和中间人攻击的不可行性。
3、需要验证终端设备的接入请求,以保证设备接入安全系统的合法性。
实施例二:
如图4所示,一种基于设备身份标识的轻量级认证方法,中认证方法,包括:
步骤S401:响应于认证请求,获取发送认证请求的终端身份信息;
步骤S402:基于所述身份信息生成终端ID;
步骤S403:基于所述终端ID确认所述终端是否成功注册;
步骤S404:接收成功注册终端的认证请求报文,并产生第一通信密钥;
步骤S405:基于认证请求报文和所述第一通信密钥生成认证请求回复报文;
步骤S406:接收基于所述认证请求回复报文得到的认证报文,所述认证报文为基于所述认证回复报文得到的,所述认证报文使用第二通信密钥加密;
步骤S407:基于所述认证报文对终端身份进行认证。
在一个具体的应用场景中,运载于网关与终端设备的交互过程中,终端连接网关,终端向网关发起认证请求的信息。
网关接收到有终端认证请求的信息,对该终端进行指纹采集,获得设备的身份信息。通过访问数据库,确认终端身份合法并且已经注册成功。数据库为终端向网关注册后产生的,所有注册成功的终端的信息都保存在数据库内。当确认后,通过sm3的hash函数获得该终端的ID。
对该终端进行指纹采集为,获得设备的身份信息(设备品牌,类型,Mac地址和IP地址)。身份信息获取,包括标语数据采集、标语信息处理和匹配识别;标语数据采集为:向所述终端发送探测报文,接收所述终端反馈的不同种类的协议标语信息;所述标语信息处理为:排除所述标语信息中的非关键因素后,对所述标语信息进行分词,得到分词列表;所述匹配识别为:利用所述分词列表在预配置设备信息库中搜索设备信息,生成设备信息列表。设备身份信息采集包括三个部分,标语数据采集、标语信息处理和匹配识别。标语数据采集依靠探测主机向终端发送探测报文(特定协议和端口)完成,由终端反馈的不同种类的协议标语信息组成。标语信息处理利用自然语言处理(NLP)方式,除去非关键因素后,对标语信息进行分词,得到分词列表。匹配识别过程通过自动化方法利用获得的分词列表在设备信息库中搜索设备的品牌、型号信息,生成设备信息列表。
可选的,所述基于所述终端ID确认所述终端是否成功注册,包括:
访问预配置的数据库,确认终端身份是否合法且所述终端是否成功注册。
预配置的数据库为终端向网关注册后产生的,所有注册成功的终端的信息都保存在数据库内。
可选的,所述接收成功注册终端的认证请求报文,并产生第一通信密钥,包括:
发送网关时间戳T给成功注册的终端。
可选的,所述认证请求报文为:
所述终端基于所述网关时间戳T、随机数ra和参数Ra生成;
所述随机数ra和参数Ra为所述终端基于所述网关时间戳T生成。
可选的,所述认证请求报文为:
Authentication Request/SYN=E(ID,T,ra,H(Ra)),Ra,Sig(MAC),Authentication Request为认证请求命令,SYN为同步序列编号,E为认证请求信息,ID为终端ID,H(Ra)为参数Ra的哈希值,Sig(MAC)为对E(ID,T,ra,H(Ra))的MAC值的签名。
可选的,所述接收成功注册终端的认证请求报文,并产生第一通信密钥,包括:
使用终端公钥解签验证,并用第一解密私钥解密认证请求报文,验证得到的时间戳的有效性和认证请求报文的完整性;终端公钥和第一解密私钥为终端在注册过程中产生的。
验证后产生随机数rb和协商密钥参数Rb,并通过随机数rb和协商密钥参数Rb得到第一通信密钥。
可选的,所述认证请求回复报文为:
Authentication Respond:ACK/SYN=E(ID,T,ra,rb,H(Rb)),Rb,Sig1(MAC);
ACK为确认字符,ID为终端ID,H(Rb)为参数Rb的哈希值,Sig1(MAC)为E(ID,T,ra,rb,H(Rb))的MAC值的签名。
可选的,所述认证报文为:
使用所述第二通信密钥对认证报文信息进行加密得到;
所述终端收到所述认证请求回复报文后,使用网关公钥解签验证,并用第二解密私钥解密所述认证请求回复报文,验证时间戳的有效性和所述认证请求回复报文的完整性以及随机数ra是否变化,如随机数ra无变化则生成认证报文信息,并通过参数Ra和收到的参数Rb得到第二通信密钥。网关公钥和第二解密私钥为终端在终端在注册过程中产生的。
可选的,所述认证报文为:
Authentication Respond:ACK=E(ID,T,rb,H(Rb)),Sig2(MA C);
ID为终端ID,Sig2(MAC)为E(ID,T,rb,H(Rb))的MAC值的签名。
在一个具体的应用场景中,如图5和图6所示,网关确认终端身份合法并且已经注册成功后。向终端发送会话协议开始的顺序T(网关时间戳),然后等待终端发送认证报文。该数据库运载在网关设备中,也可以使用数据库服务器。
终端收到网关确认的时间戳后,发起认证,生成终端的随机数ra和协商密钥中的参数Ra,发送认证请求报文Authentication Request/SYN=E(ID,T,ra,H(Ra)),Ra,Sig(MAC)。其中密文使用网关公钥加密,签名使用终端签名私钥。该密文通过SM9的加密算法实现。SM9的加密算法需要加密者使用接收者的加密公钥信息加密该明文。
网关收到消息后,使用终端公钥解签验证,并用网关的解密私钥解密密文,验证时间戳的有效性和请求的完整性。验证后产生网关的随机数rb和协商密钥参数Rb,并通过收到的Ra和参数Rb计算接下来通信的会话密钥。并发送认证回复报文AuthenticationRespond:ACK/SYN=E(ID,T,ra,rb,H(Rb)),Rb,Sig(MAC)。该密文由生成的会话密钥通过对称加密算法生成。解密操作是通过SM9的解密算法实现。接收者想要获得明文,需要使用自己的解密私钥解密密文。因此这对加密解密算法是非对称加密算法。在该步骤中,会话密钥的生成采用了SM9算法中的协商会话密钥算法。在此算法中,协商者需要生成自己的随机数与对方协商,这些随机数并不是通过明文传输,而是载在一个椭圆曲线群运算中发送给对方,借助于椭圆曲线群运算的单向性。
终端收到网关的报文后,使用网关公钥解签验证,并用终端的解密私钥解密密文,验证时间戳的有效性和请求的完整性以及随机数ra是否有变化。网关身份被认证。并通过收到的Rb和自己产生的Ra计算接下来通信的会话密钥。并发送认证回复报文Authentication Respond:ACK=E(ID,T,rb,H(Rb)),Sig(MA C)。该密文由生成的会话密钥通过对称加密算法生成。
网关收到报文后,使用终端公钥解签验证,并用网关的解密私钥解密密文,验证时间戳的有效性和请求的完整性以及随机数rb是否有变化。终端身份被认证。
本实施例具体以下效果:
1、减少了非对称加密机制的使用,降低了加密运算的复杂度,减少了设备计算开销;认证通信次数缩减到3次,降低了通信流量开销。
2、通过算法实现和测试,可以检测到假冒攻击、重放攻击和反射攻击,并从理论上分析平行会话和中间人攻击的不可行性。
3、需要验证终端设备的接入请求,以保证设备接入安全系统的合法性。
实施例三:
本发明实施例提供一种网关包括存储器和处理器,
存储器,存储有可执行指令;
处理器,处理器运行存储器中的可执行指令,以实现基于设备身份标识的轻量级认证方法。
该存储器用于存储非暂时性计算机可读指令。具体地,存储器可以包括一个或多个计算机程序产品,该计算机程序产品可以包括各种形式的计算机可读存储介质,例如易失性存储器和/或非易失性存储器。该易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。该非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。
该处理器可以是中央处理单元(CPU)或者具有数据处理能力和/或指令执行能力的其它形式的处理单元,并且可以控制网关中的其它组件以执行期望的功能。在本发明的一个实施例中,该处理器用于运行该存储器中存储的该计算机可读指令。
本领域技术人员应能理解,为了解决如何获得良好用户体验效果的技术问题,本实施例中也可以包括诸如通信总线、接口等公知的结构,这些公知的结构也应包含在本发明的保护范围之内。
有关本实施例的详细说明可以参考前述各实施例中的相应说明,在此不再赘述。
本发明实施例提供一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,该计算机程序被处理器执行时实现基于设备身份标识的轻量级认证方法。
根据本发明实施例的计算机可读存储介质,其上存储有非暂时性计算机可读指令。当该非暂时性计算机可读指令由处理器运行时,执行前述的本发明各实施例方法的全部或部分步骤。
上述计算机可读存储介质包括但不限于:光存储介质(例如:CD-ROM和DVD)、磁光存储介质(例如:MO)、磁存储介质(例如:磁带或移动硬盘)、具有内置的可重写非易失性存储器的媒体(例如:存储卡)和具有内置ROM的媒体(例如:ROM盒)。
以上已经描述了本发明的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。
Claims (8)
1.一种基于设备身份标识的轻量级认证方法,其特征在于,包括:注册方法和认证方法,
所述注册方法包括:
响应于注册申请请求,获取发送注册申请请求终端的身份信息;
基于所述身份信息生成终端ID公钥;
基于所述终端ID公钥得到终端的加密私钥和加签公钥;
获取与终端协商得到的会话密钥,其中所述会话密钥为:网关与终端采用协商密钥算法生成;
基于所述会话密钥对所述加密私钥和加签公钥进行加密,得到第一加密信息;
将所述第一加密信息发送至终端;
其中:
网关基于密钥协商算法得到第一随机数,向终端发送包含第一随机数的网关信息;
网关接收来自终端的反馈信息,所述反馈信息包括使用会话密钥加密的第二加密信息和第二随机数,所述会话密钥为基于第一随机数和第二随机数生成,所述第二随机数为终端基于终端ID生成,生成所述第二随机数的密钥协商算法与生成第一随机数的密钥协商算法相同;
网关基于所述第二随机数对所述第二加密信息信息解密得到会话密钥;
所述网关信息,包括:
IDA,IDB,ar1,网关时间戳和S1,IDA为网关ID,IDB为终端ID,ar1为第一随机数,M1为IDA、IDB和ar1的MAC值,S1为网关对M1的签名;
所述反馈信息,包括:
E1和ar2,E1为使用会话密钥加密的包括IDA、IDB、网关时间戳+1和第二随机数MAC值的信息,ar2为第二随机数;
所述网关基于所述第二随机数对所述第二加密信息信息解密得到会话密钥,包括:
通过ar2获得会话密钥并解密信息E1;
验证网关时间戳和第二随机数MAC值是否正确;
如正确,则用会话密钥加密包括IDA、IDB、Keypair、网关时间戳+2,和S2的E2信息,Keypair为加密私钥和加签公钥,S2为对M2的签名,M2为IDA、IDB、Keypair和网关时间戳+2的MAC值;
使用签名算法为E2信息的MAC值添加数字签名;
所述将所述第一加密信息发送至终端,包括:
接收来自终端的结束信号E3,对所述结束信号E3进行解密,基于解密得到的信息判断与终端会话是否结束;
所述终端生成结束信号E3包括,终端使用会话密钥解密E2信息,对解密E2信息中的时间戳有效性进行验证,得到Keypair后生成结束信号E3。
2.根据权利要求1所述的基于设备身份标识的轻量级认证方法,其特征在于,所述获取发送注册申请请求终端的身份信息,包括:
对发送注册申请请求的终端进行指纹采集;
基于指纹采集的信息得到所述身份信息。
3.根据权利要求1所述的基于设备身份标识的轻量级认证方法,其特征在于,所述获取发送注册申请请求终端的身份信息的步骤之后,还包括:
基于所述身份信息判断所述终端是否符合设定的注册条件。
4.根据权利要求1所述的基于设备身份标识的轻量级认证方法,其特征在于,所述认证方法,包括:
响应于认证请求,获取发送认证请求的终端身份信息;
基于所述身份信息生成终端ID;
基于所述终端ID确认所述终端是否成功注册;
接收成功注册终端的认证请求报文,并产生第一通信密钥;
基于认证请求报文和所述第一通信密钥生成认证请求回复报文;
接收基于所述认证请求回复报文得到的认证报文,所述认证报文为基于所述认证回复报文得到的,所述认证报文使用第二通信密钥加密;
基于所述认证报文对终端身份进行认证。
5.根据权利要求4所述的基于设备身份标识的轻量级认证方法,其特征在于,所述基于所述终端ID确认所述终端是否成功注册,包括:
访问预配置的数据库,确认终端身份是否合法且所述终端是否成功注册。
6.根据权利要求4所述的基于设备身份标识的轻量级认证方法,其特征在于,所述接收成功注册终端的认证请求报文,并产生第一通信密钥,包括:
发送网关时间戳T给成功注册的终端;
所述认证请求报文为:
所述终端基于所述网关时间戳T、随机数ra和参数Ra生成;
所述随机数ra和参数Ra为所述终端基于所述网关时间戳T生成;
所述认证请求报文为:
Authentication Request/SYN=E(ID,T,ra,H(Ra)),Ra,Sig(MAC),AuthenticationRequest为认证请求命令,SYN为同步序列编号,E为认证请求信息,ID为终端ID,H(Ra)为参数Ra的哈希值,Sig(MAC)为对E(ID,T,ra,H(Ra))的MAC值的签名;
所述接收成功注册终端的认证请求报文,并产生第一通信密钥,包括:
使用终端公钥解签验证,并用第一解密私钥解密认证请求报文,验证得到的时间戳的有效性和认证请求报文的完整性;
验证后产生随机数rb和协商密钥参数Rb,并通过随机数rb和协商密钥参数Rb得到第一通信密钥;
所述认证请求回复报文为:
Authentication Respond:ACK/SYN=E(ID,T,ra,rb,H(Rb)),Rb,Sig1(MAC);
ACK为确认字符,ID为终端ID,H(Rb)为参数Rb的哈希值,Sig1(MAC)为E(ID,T,ra,rb,H(Rb))的MAC值的签名;
所述认证报文为:
使用所述第二通信密钥对认证报文信息进行加密得到;
所述终端收到所述认证请求回复报文后,使用网关公钥解签验证,并用第二解密私钥解密所述认证请求回复报文,验证时间戳的有效性和所述认证请求回复报文的完整性以及随机数ra是否变化,如随机数ra无变化则生成认证报文信息,并通过参数Ra和收到的参数Rb得到第二通信密钥。
7.根据权利要求6所述的基于设备身份标识的轻量级认证方法,其特征在于,所述认证报文为:
Authentication Respond:ACK=E(ID,T,rb,H(Rb)),Sig2(MAC);
ID为终端ID,Sig2(MAC)为E(ID,T,rb,H(Rb))的MAC值的签名。
8.一种网关,其特征在于,所述网关包括:
存储器,存储有可执行指令;
处理器,所述处理器运行所述存储器中的所述可执行指令,以实现权利要求1-7中任一项所述的基于设备身份标识的轻量级认证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010656611.7A CN111835752B (zh) | 2020-07-09 | 2020-07-09 | 基于设备身份标识的轻量级认证方法及网关 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010656611.7A CN111835752B (zh) | 2020-07-09 | 2020-07-09 | 基于设备身份标识的轻量级认证方法及网关 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111835752A CN111835752A (zh) | 2020-10-27 |
| CN111835752B true CN111835752B (zh) | 2022-04-12 |
Family
ID=72900710
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010656611.7A Active CN111835752B (zh) | 2020-07-09 | 2020-07-09 | 基于设备身份标识的轻量级认证方法及网关 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111835752B (zh) |
Families Citing this family (45)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112437158B (zh) * | 2020-11-24 | 2022-10-14 | 国网四川省电力公司信息通信公司 | 一种基于电力物联网的网络安全身份验证方法 |
| EP4247027A4 (en) * | 2020-11-28 | 2024-01-03 | Huawei Technologies Co., Ltd. | COMMUNICATION METHOD AND DEVICE |
| CN112564918B (zh) * | 2020-12-03 | 2022-08-12 | 深圳大学 | 智能电网中的轻量级主动式跨层认证方法 |
| CN112740733B (zh) * | 2020-12-24 | 2022-08-26 | 华为技术有限公司 | 一种安全接入方法及装置 |
| CN112654042A (zh) * | 2020-12-24 | 2021-04-13 | 中国电子科技集团公司第三十研究所 | 基于轻量级ca的双向身份认证方法、计算机程序及存储介质 |
| CN112822162B (zh) * | 2020-12-29 | 2023-05-23 | 重庆川仪自动化股份有限公司 | 一种基于区块链的设备验证连接方法及系统 |
| CN112765628B (zh) * | 2021-01-22 | 2023-12-22 | 维沃移动通信有限公司 | 一种信息交互方法和电子设备 |
| CN114867027A (zh) * | 2021-02-04 | 2022-08-05 | 中国科学院信息工程研究所 | 一种应用于移动设备的通信方法及系统 |
| CN112929169B (zh) * | 2021-02-07 | 2022-10-28 | 成都薯片科技有限公司 | 秘钥协商方法及系统 |
| CN113055882B (zh) * | 2021-03-15 | 2023-04-28 | 深圳市赛为智能股份有限公司 | 无人机网络高效认证方法、装置、计算机设备及存储介质 |
| CN112948784B (zh) * | 2021-03-23 | 2024-05-14 | 中国信息通信研究院 | 物联网终端身份认证方法、计算机存储介质及电子设备 |
| CN113242121B (zh) * | 2021-04-15 | 2023-07-25 | 哈尔滨工业大学 | 一种基于组合加密的安全通信方法 |
| CN113099457A (zh) * | 2021-04-22 | 2021-07-09 | 联合汽车电子有限公司 | 车辆与移动终端的绑定方法及系统 |
| CN113204757A (zh) * | 2021-04-30 | 2021-08-03 | 北京明朝万达科技股份有限公司 | 一种信息交互方法、装置和系统 |
| CN113299018A (zh) * | 2021-06-22 | 2021-08-24 | 上海和数软件有限公司 | 一种atm的软件远程升级方法 |
| CN113591103B (zh) * | 2021-06-29 | 2024-02-23 | 中国电力科学研究院有限公司 | 一种电力物联网智能终端间的身份认证方法和系统 |
| CN113489585B (zh) * | 2021-07-02 | 2023-12-05 | 北京明朝万达科技股份有限公司 | 终端设备的身份认证方法、系统、存储介质、电子设备 |
| CN113726503B (zh) * | 2021-07-12 | 2023-11-14 | 国网山东省电力公司信息通信公司 | 一种保护web交互信息的方法及系统 |
| CN113553574A (zh) * | 2021-07-28 | 2021-10-26 | 浙江大学 | 一种基于区块链技术的物联网可信数据管理方法 |
| CN113905012A (zh) * | 2021-09-08 | 2022-01-07 | 北京世纪互联宽带数据中心有限公司 | 一种通信方法、装置、设备及介质 |
| CN113904766B (zh) * | 2021-09-08 | 2024-04-30 | 北京世纪互联宽带数据中心有限公司 | 一种加密通信方法、装置、设备及介质 |
| CN113992346B (zh) * | 2021-09-16 | 2024-01-26 | 深圳市证通电子股份有限公司 | 一种基于国密加固的安全云桌面的实现方法 |
| CN113839786B (zh) * | 2021-10-29 | 2023-06-09 | 郑州信大捷安信息技术股份有限公司 | 一种基于sm9密钥算法的密钥分发方法和系统 |
| CN114024757B (zh) * | 2021-11-09 | 2024-02-02 | 国网山东省电力公司电力科学研究院 | 基于标识密码算法的电力物联网边缘终端接入方法及系统 |
| CN113890736B (zh) * | 2021-11-22 | 2023-02-28 | 国网四川省电力公司成都供电公司 | 一种基于国密sm9算法的移动终端身份认证方法及系统 |
| CN114205129B (zh) * | 2021-12-02 | 2024-06-25 | 北京八分量信息科技有限公司 | 异构网络中的轻量级认证方法、装置及相关产品 |
| CN114205131B (zh) * | 2021-12-06 | 2024-03-22 | 广西电网有限责任公司梧州供电局 | 一种面向变电站测控及pmu设备的安全认证方法 |
| CN114302392A (zh) * | 2021-12-23 | 2022-04-08 | 中国电信股份有限公司 | 基于密钥协商组的通信方法、装置、计算机存储介质 |
| CN114338431A (zh) * | 2021-12-29 | 2022-04-12 | 锐捷网络股份有限公司 | 一种身份注册的方法、装置及系统 |
| CN114553430B (zh) * | 2022-01-21 | 2024-02-06 | 华北电力大学 | 一种基于sdp的电力业务终端的安全接入系统 |
| CN114499848B (zh) * | 2022-01-26 | 2023-05-30 | 无锡融卡科技有限公司 | 会话密钥生成装置及方法 |
| CN114154135B (zh) * | 2022-02-07 | 2022-05-24 | 南京理工大学 | 基于国密算法的车联网通信安全认证方法、系统及设备 |
| CN114531680B (zh) * | 2022-03-07 | 2023-06-27 | 国网福建省电力有限公司信息通信分公司 | 基于量子密钥的轻量化ibc双向身份认证系统及方法 |
| CN114584304B (zh) * | 2022-04-25 | 2022-08-16 | 杭州海康威视数字技术股份有限公司 | 基于人工扰动的边缘设备智能认证方法、系统和设备 |
| CN114928491A (zh) * | 2022-05-20 | 2022-08-19 | 国网江苏省电力有限公司信息通信分公司 | 基于标识密码算法的物联网安全认证方法、装置及系统 |
| CN115102745B (zh) * | 2022-06-16 | 2023-10-27 | 慧之安信息技术股份有限公司 | 一种基于轻量级的物联网终端身份安全认证方法 |
| CN115065466B (zh) * | 2022-06-23 | 2024-01-19 | 中国电信股份有限公司 | 密钥协商方法、装置、电子设备和计算机可读存储介质 |
| CN115150099B (zh) * | 2022-07-06 | 2023-02-17 | 渔翁信息技术股份有限公司 | 数据抗抵赖传输方法、数据发送端及数据接收端 |
| CN115242468B (zh) * | 2022-07-07 | 2023-05-26 | 广州河东科技有限公司 | 一种基于rs485总线的安全通信系统及其方法 |
| CN114938503B (zh) * | 2022-07-25 | 2022-12-20 | 广州万协通信息技术有限公司 | 安全芯片的远程告警方法及安全芯片装置 |
| CN115065559B (zh) * | 2022-08-15 | 2022-12-27 | 浙江毫微米科技有限公司 | 一种身份认证系统、方法、装置、电子设备及存储介质 |
| WO2024044965A1 (zh) * | 2022-08-30 | 2024-03-07 | 京东方科技集团股份有限公司 | 安全管理系统及安全管理方法 |
| CN115208702B (zh) * | 2022-09-16 | 2022-12-30 | 国网江西省电力有限公司电力科学研究院 | 一种物联网设备认证与密钥协商方法 |
| CN116633690B (zh) * | 2023-07-24 | 2023-09-26 | 北京易核科技有限责任公司 | 一种通信系统、方法、设备及存储介质 |
| CN117278330B (zh) * | 2023-11-21 | 2024-03-12 | 国网江西省电力有限公司电力科学研究院 | 一种电力物联网设备网络的轻量级组网与安全通信方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2886849A1 (en) * | 2015-04-07 | 2016-10-07 | Brisson, Andre J. | A secure mobile electronic payment system where only the bank has the key, distributed key handshakes, one way and two way authentication distributed key processes and setting up a dynamic distributed key server |
| CN110035033A (zh) * | 2018-01-11 | 2019-07-19 | 华为技术有限公司 | 密钥分发方法、装置及系统 |
| CN110234111A (zh) * | 2019-06-10 | 2019-09-13 | 北京航空航天大学 | 一种适用于多网关无线传感器网络的双因素认证密钥协商协议 |
| CN111314056A (zh) * | 2020-03-31 | 2020-06-19 | 四川九强通信科技有限公司 | 基于身份加密体制的天地一体化网络匿名接入认证方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2903204A1 (en) * | 2014-02-03 | 2015-08-05 | Tata Consultancy Services Limited | A computer implemented system and method for lightweight authentication on datagram transport for internet of things |
| EP3618475A1 (en) * | 2018-08-27 | 2020-03-04 | Koninklijke Philips N.V. | Method and device to establish a wireless secure link while maintaining privacy against tracking |
-
2020
- 2020-07-09 CN CN202010656611.7A patent/CN111835752B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2886849A1 (en) * | 2015-04-07 | 2016-10-07 | Brisson, Andre J. | A secure mobile electronic payment system where only the bank has the key, distributed key handshakes, one way and two way authentication distributed key processes and setting up a dynamic distributed key server |
| CN110035033A (zh) * | 2018-01-11 | 2019-07-19 | 华为技术有限公司 | 密钥分发方法、装置及系统 |
| CN110234111A (zh) * | 2019-06-10 | 2019-09-13 | 北京航空航天大学 | 一种适用于多网关无线传感器网络的双因素认证密钥协商协议 |
| CN111314056A (zh) * | 2020-03-31 | 2020-06-19 | 四川九强通信科技有限公司 | 基于身份加密体制的天地一体化网络匿名接入认证方法 |
Non-Patent Citations (1)
| Title |
|---|
| 基于轻量化安全协议的物联网安全网关技术实现;金小艳;《通信技术》;20200229;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111835752A (zh) | 2020-10-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111835752B (zh) | 基于设备身份标识的轻量级认证方法及网关 | |
| CN107919956B (zh) | 一种面向物联网云环境下端到端安全保障方法 | |
| CN111083131B (zh) | 一种用于电力物联网感知终端轻量级身份认证的方法 | |
| CN106506470B (zh) | 网络数据安全传输方法 | |
| CN108650227B (zh) | 基于数据报安全传输协议的握手方法及系统 | |
| CN112887338B (zh) | 一种基于ibc标识密码的身份认证方法和系统 | |
| US10015159B2 (en) | Terminal authentication system, server device, and terminal authentication method | |
| CN111416807B (zh) | 数据获取方法、装置及存储介质 | |
| CN101090316B (zh) | 离线状态下存储卡与终端设备之间的身份认证方法 | |
| US20140337619A1 (en) | Derived Certificate based on Changing Identity | |
| CN110048849B (zh) | 一种多层保护的会话密钥协商方法 | |
| JP6548172B2 (ja) | 端末認証システム、サーバ装置、及び端末認証方法 | |
| CN103763356A (zh) | 一种安全套接层连接的建立方法、装置及系统 | |
| CN111756529B (zh) | 一种量子会话密钥分发方法及系统 | |
| CN111552270B (zh) | 用于车载诊断的安全认证和数据传输方法及装置 | |
| CN111435913A (zh) | 一种物联网终端的身份认证方法、装置和存储介质 | |
| CN113630248B (zh) | 一种会话密钥协商方法 | |
| US20170155647A1 (en) | Method for setting up a secure end-to-end communication between a user terminal and a connected object | |
| CN112312393A (zh) | 5g应用接入认证方法及5g应用接入认证网络架构 | |
| KR102128244B1 (ko) | Ssl/tls 기반의 네트워크 보안 장치 및 방법 | |
| CN108259486B (zh) | 基于证书的端到端密钥交换方法 | |
| CN114398602A (zh) | 一种基于边缘计算的物联网终端身份认证方法 | |
| CN116388995A (zh) | 一种基于puf的轻量级智能电网认证方法 | |
| CN110690969A (zh) | 一种多方协同完成双向ssl/tls认证的方法和系统 | |
| CN109995723B (zh) | 一种域名解析系统dns信息交互的方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |