CN112073115A - 基于Lora的低轨卫星物联网注册安全验证方法、物联网终端、网络服务器和用户服务器 - Google Patents
基于Lora的低轨卫星物联网注册安全验证方法、物联网终端、网络服务器和用户服务器 Download PDFInfo
- Publication number
- CN112073115A CN112073115A CN202010913776.8A CN202010913776A CN112073115A CN 112073115 A CN112073115 A CN 112073115A CN 202010913776 A CN202010913776 A CN 202010913776A CN 112073115 A CN112073115 A CN 112073115A
- Authority
- CN
- China
- Prior art keywords
- registration
- integrity protection
- key
- response message
- request message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012795 verification Methods 0.000 title claims abstract description 50
- 238000000034 method Methods 0.000 title claims abstract description 39
- QVFWZNCVPCJQOP-UHFFFAOYSA-N chloralodol Chemical compound CC(O)(C)CC(C)OC(O)C(Cl)(Cl)Cl QVFWZNCVPCJQOP-UHFFFAOYSA-N 0.000 title claims abstract description 14
- 230000004044 response Effects 0.000 claims abstract description 116
- 230000008569 process Effects 0.000 claims description 18
- VIEYMVWPECAOCY-UHFFFAOYSA-N 7-amino-4-(chloromethyl)chromen-2-one Chemical compound ClCC1=CC(=O)OC2=CC(N)=CC=C21 VIEYMVWPECAOCY-UHFFFAOYSA-N 0.000 claims description 10
- 238000010276 construction Methods 0.000 claims description 4
- 230000007246 mechanism Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000009795 derivation Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B7/00—Radio transmission systems, i.e. using radiation field
- H04B7/14—Relay systems
- H04B7/15—Active relay systems
- H04B7/185—Space-based or airborne stations; Stations for satellite systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/009—Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
Abstract
本发明公开了一种基于Lora的低轨卫星物联网注册安全验证方法、物联网终端、网络服务器和用户服务器。方法包括:S1,终端生成注册密钥,构造注册请求消息并进行完整性保护后发送至网络服务器;S2,网络服务器解析出注册请求消息参数并发送至用户服务器;S3,用户服务器对注册请求消息参数进行完整性校验;S4,用户服务器将完整性保护后的注册响应参数、注册密钥、应用数据加密密钥和应用数据完整性保护密钥发送至网络服务器;S5,网络服务器构造注册响应消息并发送至终端;S6,终端解密出注册响应消息并进行完整性校验。用户服务器无需配备解析和构造MAC信息方法和加密算法,减少用户服务器功能,整体架构分工更简化,更安全。
Description
技术领域
本发明涉及空间互联网信息安全领域,特别是涉及一种基于Lora的低轨卫星物联网注册安全验证方法、物联网终端、网络服务器和用户服务器。
背景技术
近年来,卫星通信发展十分迅速,对卫星物联网信息安全性问题的重视程度也越来越高。物联网设备体积小、功率低、资源受限,因此,要求物联网安全机制的设计成本低、结构简单易用。现有的物联网安全机制中,注册消息的加密和完整性保护均使用根密钥来完成,终端对注册请求消息进行完整性保护,用户服务器解析该消息并进行完整性保护校验;用户服务器还负责构造注册响应消息,进行加密和完整性保护,终端对该消息进行解密和完整性保护校验。该机制能较好的实现安全功能,但在整个注册过程中,网络服务器只负责信息的转发,而在随后应用数据的传输过程中,网络服务器需要负责应用数据消息的解析、加解密和完整性保护。因此,若在网络服务器上实现注册请求消息的解析、注册响应消息的构造和注册响应消息的加密,可以在不增加网络服务器的功能的同时,减少用户服务器的功能。但该方法中,网络服务器并不知道加密密钥,需要在网络中传输根密钥,而根密钥的安全要求特别高,不能在网络上进行传输,因此需要设计一种基于Lora的低轨卫星物联网安全机制实现方法来解决这个问题。
发明内容
本发明旨在至少解决现有技术中存在的技术问题,特别创新地提出了一种基于Lora的低轨卫星物联网注册安全验证方法、物联网终端、网络服务器和用户服务器。
为了实现本发明的上述目的,根据本发明的第一个方面,本发明提供了一种基于Lora的低轨卫星物联网注册安全验证方法,包括:S1,终端生成终端随机数,利用所述终端随机数和根密钥生成注册密钥;终端构造出包含所述终端随机数的注册请求消息,使用注册密钥对所述注册请求消息进行完整性保护,并将经过完整性保护的注册请求消息发送至网络服务器;S2,网络服务器从接收的注册请求消息中解析出注册请求消息参数,将所述注册请求消息参数发送至用户服务器;S3,用户服务器接收到注册请求消息参数后进行完整性校验,完整性校验通过后,用户服务器生成网络随机数,利用终端随机数、网络随机数和根密钥生成应用数据加密密钥和应用数据完整性保护密钥,若完整性校验不通过,丢弃所述注册请求消息参数;S4,用户服务器生成包含网络随机数的注册响应消息参数,使用注册密钥对注册响应消息参数进行完整性保护,将经过完整性保护的注册响应消息参数、注册密钥、应用数据加密密钥和应用数据完整性保护密钥发送至网络服务器;S5,网络服务器基于所述注册响应消息参数构造包含网络随机数的注册响应消息,通过注册密钥对注册响应消息进行加密,将加密后的注册响应消息发送至终端;S6,终端解密出注册响应消息并进行完整性校验,若完整性校验通过,认为注册安全验证通过,生成应用数据加密密钥和应用数据完整性保护密钥,否则认为注册安全验证不通过。
上述技术方案:网络服务器解析注册请求消息,然后把解析后的注册请求消息参数发送到用户服务器,由用户服务器进行完整性校验,注册响应消息的参数由用户服务器产生,并进行完整性保护,传送至网络服务器后,由网络服务器构造注册响应消息,在加密后传输至终端,在这个过程中,网络服务器负责解析注册请求消息、构造并加密注册响应消息,用户服务器负责处理和完整性验证注册请求消息参数、产生注册响应参数并对注册响应参数完整性保护,终端负责构造和完整性保护注册请求消息,解密和完整性验证注册响应消息,因此,用户服务器无需配备解析和构造媒体接入控制层信息(Medium AccessControl Sub Layer,简称MAC)的方法,无需实现加密算法,用户服务器只需要设置完整性保护算法程序,可以减少用户服务器的功能,整体架构分工更加简化;此外,该过程中没有向网络服务器传输根密钥,避免了根密钥在用户服务器和网络服务器之间传输,并且通过根密钥和终端随机数生成的注册密钥进行加密和完整性保护,提高了系统安全性。
为了实现本发明的上述目的,根据本发明的第二个方面,本发明提供了一种物联网终端,包括:注册密钥生成模块,生成终端随机数,利用所述终端随机数和根密钥生成注册密钥;注册请求消息构造模块,构造出包含所述终端随机数的注册请求消息;注册请求消息完整性保护模块,利用注册密钥生成所述注册请求消息的完整性保护因子;发送模块,将经过完整性保护的注册请求消息发送至网络服务器;接收模块,接收网络服务器发送的加密后的注册响应消息;解密模块,从网络服务器发送的加密后的注册响应消息中解密出注册响应消息;完整性校验模块,对经过完整性保护的注册响应消息进行完整性校验,若完整性校验通过,认为注册安全验证通过,生成应用数据加密密钥和应用数据完整性保护密钥,否则认为注册安全验证不通过。
上述技术方案:该终端能够通过根密钥和终端随机数生成的注册密钥对注册请求信息进行完整性保护,解密通过注册密钥加密后的注册响应消息以及完整性验证注册响应消息,提高了系统安全性。
为了实现本发明的上述目的,根据本发明的第三个方面,本发明提供了一种网络服务器,包括:接收模块,接收终端发送的注册请求消息和用户服务器发送的注册响应消息参数、注册密钥、应用数据加密密钥和应用数据完整性保护密钥;解析模块,从终端发送的注册请求消息中解析出注册请求消息参数;构造模块,基于接收的用户服务器发送的注册响应消息参数构造包含网络随机数的注册响应消息;加密模块,基于用户服务器发送的注册密钥对注册响应消息进行加密;发送模块,将加密后的注册响应消息发送至终端。
上述技术方案:该网络服务器能够解析注册请求消息、构造并加密注册响应消息,使得用户服务器无需配备解析和构造媒体接入控制层信息的方法程序以及加密算法程序,用户服务器只需要设置完成性保护算法程序,可以减少用户服务器的功能,整体架构分工更加简化;避免了根密钥在用户服务器和网络服务器之间传输,并且通过根密钥和终端随机数生成的注册密钥进行加密,提高了系统安全性。
为了实现本发明的上述目的,根据本发明的第四个方面,本发明提供了一种用户服务器,包括:接收模块,接收由网络服务器发送的注册请求消息参数;完整性验证模块,对接收的注册请求消息参数进行完整性校验,完整性校验通过后,生成网络随机数,利用终端随机数、网络随机数和根密钥生成应用数据加密密钥和应用数据完整性保护密钥,若完整性校验不通过,丢弃所述注册请求消息参数;注册响应参数生成模块,生成注册响应消息参数;注册响应消息完整性保护模块,利用注册密钥生成所述注册响应消息参数的完整性保护因子;发送模块,将注册响应消息参数、注册密钥、注册响应消息参数的完整性保护因子、应用数据加密密钥和应用数据完整性保护密钥发送至网络服务器。
上述技术方案:该用户服务器负责处理和完整性验证注册请求消息参数、产生注册响应参数,因此,用户服务器无需配备解析和构造MAC信息的方法,无需实现加密算法,用户服务器只需要设置完整性保护算法程序,可以减少用户服务器的功能,整体架构分工更加简化;此外,该过程中没有向网络服务器传输根密钥,避免了根密钥在用户服务器和网络服务器之间传输,提高了系统安全性。
附图说明
图1是本发明一具体实施方式中基于Lora的低轨卫星物联网注册安全验证方法的过程示意图;
图2是本发明一具体实施方式中注册密钥、应用数据加密密钥和应用数据完整性保护密钥的派生图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。
在本发明的描述中,需要理解的是,术语“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
在本发明的描述中,除非另有规定和限定,需要说明的是,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是机械连接或电连接,也可以是两个元件内部的连通,可以是直接相连,也可以通过中间媒介间接相连,对于本领域的普通技术人员而言,可以根据具体情况理解上述术语的具体含义。
本发明公开了一种基于Lora的低轨卫星物联网注册安全验证方法,在一种优选实施方式中,该方法的过程示意图如图1所示,包括:
S1,终端生成终端随机数DevNonce,利用终端随机数DevNonce和根密钥AppKey生成注册密钥Key;终端持有根密钥AppKey;终端构造出包含终端随机数DevNonce的注册请求消息,使用注册密钥对该注册请求消息进行完整性保护,并将经过完整性保护的注册请求消息发送至网络服务器,经过完整性保护的注册请求消息中包含第一完整性保护因子,第一完整性保护因子为由终端利用注册密钥生成的注册请求消息的完整性保护因子;注册请求消息除了包括终端随机数DevNonce,可还包括终端永久标识、应用标识等。
S2,网络服务器从接收的注册请求消息中解析出注册请求消息参数,将注册请求消息参数发送至用户服务器;网络服务器解析注册请求消息可认为为识别注册请求消息并提取注册请求消息参数,注册请求消息参数中应包含终端随机数DevNonce、也可包含终端永久标识、应用标识等。
S3,用户服务器接收到注册请求消息参数后进行完整性校验,完整性校验通过后,用户服务器生成网络随机数NetNonce,利用终端随机数DevNonce、网络随机数NetNonce和根密钥AppKey生成应用数据加密密钥AppSKey和应用数据完整性保护密钥NwkSKey,若完整性校验不通过,丢弃注册请求消息参数;由于用户服务器持有根密钥AppKey,因此在获取了注册请求消息参数中的终端随机数DevNonce后,可以生成注册密钥Key。注册密钥Key、应用数据加密密钥AppSKey和应用数据完整性保护密钥NwkSKey的生成方法如图2所示,在一种应用场景中,加密算法为128AES算法,利用终端随机数DevNonce和根密钥AppKey生成注册密钥的过程为:
Key=aes128_encrypt(AppKey,DevNonce|pad16)。
利用终端随机数DevNonce、网络随机数NetNonce和根密钥AppKey生成应用数据加密密钥AppSKey的过程为:
AppSKey=aes128_encrypt(AppKey,0X02|DevNonce|NetNonce|pad16)。
利用终端随机数DevNonce、网络随机数NetNonce和根密钥AppKey生成应用数据完整性保护密钥NwkSKey的过程为:
NwkSKey=aes128_encrypt(AppKey,0X01|DevNonce|NetNonce|pad16)。
S4,用户服务器生成包含网络随机数的注册响应消息参数,使用注册密钥对注册响应消息参数进行完整性保护,将经过完整性保护的注册响应消息参数、网络随机数NetNonce、注册密钥Key、应用数据加密密钥AppSKey和应用数据完整性保护密钥NwkSKey发送至网络服务器。经过完整性保护的注册响应消息参数包括第三完整性保护因子,第三完整性保护因子为由用户服务器利用注册密钥生成的注册响应消息参数的完整性保护因子,通过网络服务器传输至终端。
S5,网络服务器基于注册响应消息参数构造包含网络随机数NetNonce的注册响应消息,通过注册密钥Key对注册响应消息进行加密,将加密后的注册响应消息发送至终端;网络服务器会保留应用数据加密密钥AppSKey和应用数据完整性保护密钥NwkSKey,以便在可信时间周期内传输应用数据时使用。因此,注册响应消息中也包括第三完整性保护因子。
S6,终端解密出注册响应消息并进行完整性校验,若完整性校验通过,认为注册安全验证通过,生成应用数据加密密钥AppSKey和应用数据完整性保护密钥NwkSKey,否则认为注册安全验证不通过。终端从解密出的注册响应消息中获得网络随机数NetNonce,如图2所示,可利用终端随机数DevNonce、网络随机数NetNonce和根密钥AppKey在网络随机数NetNonce不同取值下获得应用数据加密密钥AppSKey和应用数据完整性保护密钥NwkSKey。
在本实施方式中,对于注册请求消息,终端构造该消息,并使用由根密钥AppKey和终端随机数DevNonce派生的注册密钥Key进行完整性保护;网络服务器收到注册请求消息后,解析注册请求消息提取出注册请求消息参数发送给用户服务器;用户服务器收到注册请求消息参数后,使用注册密钥Key进行完整性保护校验,并生成应用数据加密密钥AppSKey和应用数据完整性保护密钥NwkSKey。对于注册响应消息,用户服务器生成注册响应消息的参数,使用注册密钥Key进行完整性保护生成完整性因子,然后将注册响应消息参数和注册密钥Key等传送至网络服务器;网络服务器构造响应消息,使用注册密钥Key进行加密;终端收到加密后的注册响应消息后,进行解密和完整性保护校验,生成AppSKey和NwkSKey。注册请求消息和注册响应消息都是媒体接入控制层消息,用户服务器无需解析和构造媒体接入控制层消息,也无需配备加密算法,减少了用户服务器的功能,简化了安全架构,简化整体架构设计,提高安全性。
在本实施方式中,当终端发起一次注册安全验证通过时,可获得预设的可信时间周期,在该可信时间周期内,终端通过获得的应用数据加密密钥AppSKey和应用数据完整性保护密钥NwkSKey完成与用户服务器的应用数据通信交互,当可信时间周期结束后,终端若还需要与用户服务器进行数据交互,需要重新发起一次注册安全验证并通过。
在一种优选实施方式中,在S3中,用户服务器对注册请求消息参数进行完整性校验的过程包括:用户服务器利用根密钥AppKey和注册请求消息参数中的终端随机数DevNonce生成注册密钥Key,通过注册密钥Key生成接收的注册请求消息参数中除第一完整性保护因子外的其他信息的完整性保护因子,记为第二完整性保护因子,若第二完整性保护因子与第一完整性保护因子相同,认为注册请求消息参数完整性校验通过,若第二完整性保护因子与第一完整性保护因子不相同,认为注册请求消息参数完整性校验不通过;第一完整性保护因子为由终端利用注册密钥Key生成的注册请求消息的完整性保护因子,并通过网络服务器传输至用户服务器。
在一种优选实施方式中,在S6中,终端对解密出的注册响应消息进行完整性校验的过程包括:终端通过注册密钥Key生成解密出的注册响应消息中除第三完整性保护因子除外的其它信息的完整性保护因子,记为第四完整性保护因子,若第四完整性保护因子与第三完整性保护因子相同,认为解密出的注册响应消息完整性校验通过,若第四完整性保护因子与第三完整性保护因子不相同,认为解密出的注册响应消息完整性校验不通过;第三完整性保护因子为由用户服务器利用注册密钥Key生成的注册响应消息参数的完整性保护因子,并通过网络服务器传输至终端。
在一种优选实施方式中,利用注册密钥Key生成完整性保护字段msg的完整性保护因子的过程包括:设完整性保护字段msg为注册请求消息参数或注册请求消息或注册响应消息参数或注册响应消息;将完整性保护字段msg划分为k”个长度为16字节的完整性保护字节块,完整性保护字节块不够16字节的填充0,pad16表示填充的字节数,len(msg)表示完整性保护字段msg的字节长度,ceil()表示向上取整函数;利用注册密钥Key基于加密算法生成每个完整性保护字节块的cmac值,cmac表示基于分组加密的消息认证码,设第i个完整性保护字节块为Bi,当加密算法为128AES算法时,则第i个完整性保护字节块为Bi的cmac值为cmaci=aes128_cmac(Key,Bi),将所有完整性保护字节块的cmac值顺序构成CMAC序列,即cmac=cmac1|cmac2|…|cmack”,取CMAC序列中后N个cmac值作为完整性保护字段msg的完整性保护因子,N为正整数,N优选但不限于为4,即获得完整性保护因子MIC=cmac[0..3]。
在一种优选实施方式中,在S5中网络服务器通过注册密钥Key对注册响应消息进行加密的过程包括:将注册响应消息作为加密字段pld,将加密字段pld划分为k个长度为16字节的明文字节块,明文字节块不够16字节的填充0,pad16表示填充的字节数,len(pld)表示加密字段pld的字节长度,ceil()表示向上取整函数;基于加密算法利用注册密钥Key对每个明文字节块进行加密得到密文块,串联所有密文块得到加密字段的密文,设第i个明文字节块为Ai,当加密算法为128AES算法时,则第i个明文字节块为Ai加密后为Si=aes128_encrypt(Key,Ai),则输出的密文为:M=S1|S2|…|Sk。aes128_encrypt()表示128AES算法的加密函数。
在一种优选实施方式中,对密文进行解密的过程包括:将密文划分为k'个长度为16字节的密文字节块,S表示密文,基于解密算法利用注册密钥Key对每个密文字节块进行解密得到明文块,串联所有明文块得到加密字段,加密字段即为明文。设第i个密文字节块为Si,当加密算法为128AES算法时,则第i个密文字节块Si的明文块Ai为:Ai=aes128_decrypt(Key,Si),输出明文pld,Ai序列为(pld|pad16)=A1|A2|…|Ak',去掉(pld|pad16)中填充的pad16和完整性保护因子,得到原文。aes128_decrypt()表示128AES算法的解密函数。
在一种优选实施方式中,加密算法为128AES算法。则注册密钥的派生公式可表示为:Key=aes128_encrypt(AppKey,DevNonce|pad16),aes128_encrypt()表示128AES算法的加密函数。
本发明还公开了一种物联网终端,在一种优选实施方式中,该终端包括:
注册密钥Key生成模块,生成终端随机数DevNonce,利用终端随机数DevNonce和根密钥AppKey生成注册密钥Key;
注册请求消息构造模块,构造出包含终端随机数DevNonce的注册请求消息;
注册请求消息完整性保护模块,利用注册密钥Key生成注册请求消息的完整性保护因子;
发送模块,将注册请求消息和注册请求消息的完整性保护因子发送至网络服务器;
接收模块,接收网络服务器发送的加密后的注册响应消息;
解密模块,从网络服务器发送的加密后的注册响应消息中解密出注册响应消息;
完整性校验模块,对经过完整性保护的注册响应消息进行完整性校验,若完整性校验通过,认为注册安全验证通过,生成应用数据加密密钥AppSKey和应用数据完整性保护密钥NwkSKey,否则认为注册安全验证不通过。
本发明还公开了一种网络服务器,在一种优选实施方式中,该网络服务器包括:
接收模块,接收终端发送的注册请求消息和用户服务器发送的注册响应消息参数、注册密钥Key、应用数据加密密钥AppSKey和应用数据完整性保护密钥NwkSKey;
解析模块,从终端发送的注册请求消息中解析出注册请求消息参数;
构造模块,基于接收的用户服务器发送的注册响应消息参数构造包含网络随机数NetNonce的注册响应消息;
加密模块,基于用户服务器发送的注册密钥Key对注册响应消息进行加密;
发送模块,将加密后的注册响应消息发送至终端。
本发明还公开了一种用户服务器,在一种优选实施方式中,该用户服务器包括:
接收模块,接收由网络服务器发送的注册请求消息参数;完整性验证模块,对接收的注册请求消息参数进行完整性校验,完整性校验通过后,生成网络随机数NetNonce,利用终端随机数DevNonce、网络随机数NetNonce和根密钥AppKey生成应用数据加密密钥AppSKey和应用数据完整性保护密钥NwkSKey,若完整性校验不通过,丢弃注册请求消息参数;
注册响应参数生成模块,生成注册响应消息参数;
注册响应消息完整性保护模块,利用注册密钥Key生成注册响应消息参数的完整性保护因子;
发送模块,将注册响应消息参数、注册密钥Key、注册响应消息参数的完整性保护因子、应用数据加密密钥AppSKey和应用数据完整性保护密钥NwkSKey发送至网络服务器。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管已经示出和描述了本发明的实施例,本领域的普通技术人员可以理解:在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由权利要求及其等同物限定。
Claims (9)
1.一种基于Lora的低轨卫星物联网注册安全验证方法,其特征在于,包括:
S1,终端生成终端随机数,利用所述终端随机数和根密钥生成注册密钥;
终端构造出包含所述终端随机数的注册请求消息,使用注册密钥对所述注册请求消息进行完整性保护,并将经过完整性保护的注册请求消息发送至网络服务器;
S2,网络服务器从接收的注册请求消息中解析出注册请求消息参数,将所述注册请求消息参数发送至用户服务器;
S3,用户服务器接收到注册请求消息参数后进行完整性校验,完整性校验通过后,用户服务器生成网络随机数,利用终端随机数、网络随机数和根密钥生成应用数据加密密钥和应用数据完整性保护密钥,若完整性校验不通过,丢弃所述注册请求消息参数;
S4,用户服务器生成包含网络随机数的注册响应消息参数,使用注册密钥对注册响应消息参数进行完整性保护,将经过完整性保护的注册响应消息参数、注册密钥、应用数据加密密钥和应用数据完整性保护密钥发送至网络服务器;
S5,网络服务器基于所述注册响应消息参数构造包含网络随机数的注册响应消息,通过注册密钥对注册响应消息进行加密,将加密后的注册响应消息发送至终端;
S6,终端解密出注册响应消息并进行完整性校验,若完整性校验通过,认为注册安全验证通过,生成应用数据加密密钥和应用数据完整性保护密钥,否则认为注册安全验证不通过。
2.如权利要求1所述的基于Lora的低轨卫星物联网安全验证方法,其特征在于,在所述S3中,用户服务器对注册请求消息参数进行完整性校验的过程包括:
用户服务器利用根密钥和注册请求消息参数中的终端随机数生成注册密钥,通过注册密钥生成接收的注册请求消息参数的完整性保护因子,记为第二完整性保护因子,若第二完整性保护因子与第一完整性保护因子相同,认为注册请求消息参数完整性校验通过,若第二完整性保护因子与第一完整性保护因子不相同,认为注册请求消息参数完整性校验不通过;所述第一完整性保护因子为由终端利用注册密钥生成的所述注册请求消息的完整性保护因子,通过网络服务器传输至用户服务器;
和/或在所述S6中,终端对解密出的注册响应消息进行完整性校验的过程包括:
终端通过注册密钥生成解密出的注册响应消息的完整性保护因子,记为第四完整性保护因子,若第四完整性保护因子与第三完整性保护因子相同,认为解密出的注册响应消息完整性校验通过,若第四完整性保护因子与第三完整性保护因子不相同,认为解密出的注册响应消息完整性校验不通过;所述第三完整性保护因子为由用户服务器利用注册密钥生成的注册响应消息参数的完整性保护因子,通过网络服务器传输至终端。
6.如权利要求3-5之一所述的基于Lora的低轨卫星物联网安全验证方法,其特征在于,完整性保护字节块或明文字节块或密文字节块不够16字节时填充0。
7.一种物联网终端,其特征在于,包括:
注册密钥生成模块,生成终端随机数,利用所述终端随机数和根密钥生成注册密钥;
注册请求消息构造模块,构造出包含所述终端随机数的注册请求消息;
注册请求消息完整性保护模块,利用注册密钥生成所述注册请求消息的完整性保护因子;
发送模块,将注册请求消息和注册请求消息的完整性保护因子发送至网络服务器;
接收模块,接收网络服务器发送的加密后的注册响应消息;
解密模块,从网络服务器发送的加密后的注册响应消息中解密出注册响应消息;
完整性校验模块,对经过完整性保护的注册响应消息进行完整性校验,若完整性校验通过,认为注册安全验证通过,生成应用数据加密密钥和应用数据完整性保护密钥,否则认为注册安全验证不通过。
8.一种网络服务器,其特征在于,包括:
接收模块,接收终端发送的注册请求消息和用户服务器发送的注册响应消息参数、注册密钥、应用数据加密密钥和应用数据完整性保护密钥;
解析模块,从终端发送的注册请求消息中解析出注册请求消息参数;
构造模块,基于接收的用户服务器发送的注册响应消息参数构造包含网络随机数的注册响应消息;
加密模块,基于用户服务器发送的注册密钥对注册响应消息进行加密;
发送模块,将加密后的注册响应消息发送至终端。
9.一种用户服务器,其特征在于,包括:
接收模块,接收由网络服务器发送的注册请求消息参数;
完整性验证模块,对接收的注册请求消息参数进行完整性校验,完整性校验通过后,生成网络随机数,利用终端随机数、网络随机数和根密钥生成应用数据加密密钥和应用数据完整性保护密钥,若完整性校验不通过,丢弃所述注册请求消息参数;
注册响应参数生成模块,生成注册响应消息参数;
注册响应消息完整性保护模块,利用注册密钥生成所述注册响应消息参数的完整性保护因子;
发送模块,将注册响应消息参数、注册密钥、注册响应消息参数的完整性保护因子、应用数据加密密钥和应用数据完整性保护密钥发送至网络服务器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010913776.8A CN112073115B (zh) | 2020-09-02 | 2020-09-02 | 基于Lora的低轨卫星物联网注册安全验证方法、物联网终端、网络服务器和用户服务器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010913776.8A CN112073115B (zh) | 2020-09-02 | 2020-09-02 | 基于Lora的低轨卫星物联网注册安全验证方法、物联网终端、网络服务器和用户服务器 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112073115A true CN112073115A (zh) | 2020-12-11 |
CN112073115B CN112073115B (zh) | 2022-04-19 |
Family
ID=73665850
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010913776.8A Active CN112073115B (zh) | 2020-09-02 | 2020-09-02 | 基于Lora的低轨卫星物联网注册安全验证方法、物联网终端、网络服务器和用户服务器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112073115B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112953923A (zh) * | 2021-02-03 | 2021-06-11 | 广州技象科技有限公司 | 一种基于密钥更新的安全入网方法及装置 |
CN112954679A (zh) * | 2021-01-28 | 2021-06-11 | 西安电子科技大学 | 基于DH算法的LoRa终端安全接入方法 |
CN113596838A (zh) * | 2021-07-29 | 2021-11-02 | 北京小米移动软件有限公司 | 设备配网绑定方法、装置、设备及存储介质 |
CN113965904A (zh) * | 2021-10-28 | 2022-01-21 | 武汉慧联无限科技有限公司 | 设备注册方法、装置和存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103297224A (zh) * | 2012-02-23 | 2013-09-11 | 中国移动通信集团公司 | 密钥信息分发方法及相关设备 |
US20140351592A1 (en) * | 2013-05-22 | 2014-11-27 | Convida Wireless LLC | Machine-To-Machine Network Assisted Bootstrapping |
CN108632231A (zh) * | 2017-03-24 | 2018-10-09 | 中移(杭州)信息技术有限公司 | 一种物联网设备、物联网认证平台、认证方法及系统 |
CN110049562A (zh) * | 2019-03-13 | 2019-07-23 | 中兴克拉科技(苏州)有限公司 | 一种支持TDMA接入的LoRaWAN物联网 |
CN111147230A (zh) * | 2019-12-31 | 2020-05-12 | 东方红卫星移动通信有限公司 | 一种基于低轨卫星物联网轻量级星间的信息加密传输方法 |
-
2020
- 2020-09-02 CN CN202010913776.8A patent/CN112073115B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103297224A (zh) * | 2012-02-23 | 2013-09-11 | 中国移动通信集团公司 | 密钥信息分发方法及相关设备 |
US20140351592A1 (en) * | 2013-05-22 | 2014-11-27 | Convida Wireless LLC | Machine-To-Machine Network Assisted Bootstrapping |
CN108632231A (zh) * | 2017-03-24 | 2018-10-09 | 中移(杭州)信息技术有限公司 | 一种物联网设备、物联网认证平台、认证方法及系统 |
CN110049562A (zh) * | 2019-03-13 | 2019-07-23 | 中兴克拉科技(苏州)有限公司 | 一种支持TDMA接入的LoRaWAN物联网 |
CN111147230A (zh) * | 2019-12-31 | 2020-05-12 | 东方红卫星移动通信有限公司 | 一种基于低轨卫星物联网轻量级星间的信息加密传输方法 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112954679A (zh) * | 2021-01-28 | 2021-06-11 | 西安电子科技大学 | 基于DH算法的LoRa终端安全接入方法 |
CN112954679B (zh) * | 2021-01-28 | 2022-07-01 | 西安电子科技大学 | 基于DH算法的LoRa终端安全接入方法 |
CN112953923A (zh) * | 2021-02-03 | 2021-06-11 | 广州技象科技有限公司 | 一种基于密钥更新的安全入网方法及装置 |
CN113596838A (zh) * | 2021-07-29 | 2021-11-02 | 北京小米移动软件有限公司 | 设备配网绑定方法、装置、设备及存储介质 |
CN113965904A (zh) * | 2021-10-28 | 2022-01-21 | 武汉慧联无限科技有限公司 | 设备注册方法、装置和存储介质 |
CN113965904B (zh) * | 2021-10-28 | 2023-08-04 | 武汉慧联无限科技有限公司 | 设备注册方法、装置和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN112073115B (zh) | 2022-04-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112073115B (zh) | 基于Lora的低轨卫星物联网注册安全验证方法、物联网终端、网络服务器和用户服务器 | |
US8356177B2 (en) | Key transport in authentication or cryptography | |
US9172529B2 (en) | Hybrid encryption schemes | |
KR102609221B1 (ko) | 카운터 기반의 암호 시스템들에서 개선된 인증형 암호화를 위한 방법들 및 시스템들 | |
CN101442522B (zh) | 一种基于组合公钥的通信实体标识认证方法 | |
US8195932B2 (en) | Authentication and encryption for secure data transmission | |
CN109995509B (zh) | 基于消息恢复签名的认证密钥交换方法 | |
WO2007059558A1 (en) | Wireless protocol for privacy and authentication | |
CN108599926B (zh) | 一种基于对称密钥池的HTTP-Digest改进型AKA身份认证系统和方法 | |
CN1323523C (zh) | 一种在无线局域网中生成动态密钥的方法 | |
CN106713349B (zh) | 一种能抵抗选择密文攻击的群组间代理重加密方法 | |
US20120284524A1 (en) | Low overhead nonce construction for message security | |
CN114172745A (zh) | 一种物联网安全协议系统 | |
CN113572766A (zh) | 电力数据传输方法和系统 | |
CN109005151A (zh) | 一种信息加密、解密处理方法和处理终端 | |
KR102219086B1 (ko) | 드론(Unnamed Aerial vehicle)시스템을 위한 HMAC기반의 송신원 인증 및 비밀키 공유 방법 및 시스템 | |
CN107104888B (zh) | 一种安全的即时通信方法 | |
KR100789354B1 (ko) | 네트워크 카메라, 홈 게이트웨이 및 홈 오토메이션장치에서의 데이터 보안 유지 방법 및 장치 | |
EP2571192A1 (en) | Hybrid encryption schemes | |
CN114826611B (zh) | 一种基于国密SM9的IND-sID-CCA2安全标识广播加密方法 | |
Xiao et al. | Security mechanisms, attacks and security enhancements for the IEEE 802.11 WLANs | |
CN210839642U (zh) | 一种物联网终端数据安全接收、发送的装置 | |
Klima et al. | Side channel attacks on CBC encrypted messages in the PKCS# 7 format | |
Luo | A simple encryption scheme based on wimax | |
Arora et al. | Handling Secret Key Compromise by Deriving Multiple Asymmetric Keys based on Diffie-Hellman Algorithm |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address | ||
CP03 | Change of name, title or address |
Address after: 401123 39-1, Building 1, No. 64, Middle Huangshan Avenue, Yubei District, Chongqing Patentee after: China Star Network Application Co.,Ltd. Address before: 618 Liangjiang Avenue, Longxing Town, Yubei District, Chongqing Patentee before: Dongfanghong Satellite Mobile Communication Co.,Ltd. |