CN113055176B - 终端认证方法和系统、终端设备、p2p验证平台和介质 - Google Patents
终端认证方法和系统、终端设备、p2p验证平台和介质 Download PDFInfo
- Publication number
- CN113055176B CN113055176B CN201911361345.9A CN201911361345A CN113055176B CN 113055176 B CN113055176 B CN 113055176B CN 201911361345 A CN201911361345 A CN 201911361345A CN 113055176 B CN113055176 B CN 113055176B
- Authority
- CN
- China
- Prior art keywords
- verification
- terminal
- information
- node
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012795 verification Methods 0.000 title claims abstract description 276
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000010200 validation analysis Methods 0.000 claims description 5
- 238000012423 maintenance Methods 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 12
- 230000008569 process Effects 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 238000007726 management method Methods 0.000 description 6
- 238000011160 research Methods 0.000 description 3
- 230000009956 central mechanism Effects 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013502 data validation Methods 0.000 description 1
- 238000013524 data verification Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000002360 explosive Substances 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3278—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response using physically unclonable functions [PUF]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及一种终端认证方法和系统、终端设备、P2P验证平台和介质。该终端认证方法包括:终端设备通过网络设备向对等P2P验证平台发送验证请求,其中,所述验证请求包括终端验证信息,终端验证信息中包括终端设备物理信息和终端用户识别码;P2P验证平台包括多个验证服务器,验证服务器对终端验证信息进行校验,以确认终端设备身份的真实性。本公开基于芯片物理特性生成终端的IPv6地址,从芯片层面防止假冒设备入网,增强了网络的安全能力。本公开采用去中心化的基础设施提高设备接入认证的效率,解决了中心化管理与维护的困难。
Description
技术领域
本公开涉及物联网领域,特别涉及一种终端认证方法和系统、终端设备、P2P验证平台和介质。
背景技术
IPv6(Internet Protocol Version 6,互联网协议第6版)地址标识在多体系下需要具有一致性,从而能够通过标识体系实现对物联网节点的定位和检索。同时,地址标识的安全性需求越来越高,仅仅依靠应用层的用户名/密码或在终端中嵌入SIM(SubscriberIdentification Module,用户身份识别模块)/UIM(User Identity Module,用户身份识别模块)卡已难以保证网络的身份安全。在安全性要求高的环境中需要对于设备本身的真伪进行鉴别,防止非法设备入网并通过恶意行为对IPv6互联网及物联网的安全造成损害。
发明内容
发明人通过研究发现:移动互联网和物联网产业的发展使得设备数量爆发式增长,随之而来的问题是中心化管理与维护的困难。若某一中心机构出现故障,如负载最大的物联网平台的暂时崩溃,会造成整个IOT(The Internet of Things,物联网)网络中信息交互中断,无法为IOT设备提供服务。
鉴于以上技术问题中的至少一项,本公开提供了一种终端认证方法和系统、终端设备、P2P验证平台和介质,基于芯片物理特性生成终端的IPv6地址,采用去中心化的基础设施提高设备接入认证的效率,解决中心化管理与维护的困难。
根据本公开的一个方面,提供一种终端认证方法,包括:
终端设备通过网络设备向对等P2P验证平台发送验证请求,其中,所述验证请求包括终端验证信息,终端验证信息中包括终端设备物理信息和终端用户识别码;
P2P验证平台包括多个验证服务器,验证服务器对终端验证信息进行校验,以确认终端设备身份的真实性。
在本公开的一些实施例中,所述终端认证方法还包括:
终端设备生成终端验证信息。
在本公开的一些实施例中,所述终端验证信息为IPv6地址信息。
在本公开的一些实施例中,所述终端设备生成终端验证信息包括:
终端设备根据芯片物理信息生成物理不可复制功能信息;
终端设备根据物理不可复制功能信息和终端国际移动用户识别码拼接成终端信息;
终端设备生成密钥对;
终端设备采用密钥对,对终端信息进行加密生成IPv6接口标识符,其中,所述IPv6地址信息包括IPv6接口标识符。
在本公开的一些实施例中,所述终端设备生成终端验证信息还包括:
网络设备向终端设备发送IPv6前缀信息;
终端设备将IPv6前缀信息和IPv6接口标识符拼接形成完整的IPv6地址信息。
在本公开的一些实施例中,所述终端设备通过网络设备向对等P2P验证平台发送验证请求包括:
终端设备通过网络设备将验证请求广播至各验证服务器。
在本公开的一些实施例中,所述验证服务器对终端验证信息进行校验包括
各个验证服务器作为参与节点形成P2P共识网络,在所有的验证服务器中选取提交节点、背书节点和验证节点;
各验证服务器共同维护分布式的账本信息,将验证的结果写入区块链。
在本公开的一些实施例中,所述各个验证服务器共同维护分布式的账本信息,将验证的结果写入区块链包括:
各个验证节点在收到验证请求后,进行终端验证信息验证;
各个验证节点将验证结果以及验证的关键信息组成新的区块,由记账节点达成共识生成新的区块,加入区块链,完成终端认证。
在本公开的一些实施例中,所述进行终端验证信息验证包括:
各个验证节点解析验证请求中的终端的IPv6地址信息,从IPv6地址信息中解析出物理不可复制功能信息和终端国际移动用户识别码,进行比对和确认。
根据本公开的另一方面,提供一种终端设备,包括:
验证请求发送模块,用于通过网络设备向对等P2P验证平台发送验证请求,其中,所述验证请求包括终端验证信息,终端验证信息中包括终端设备物理信息和终端用户识别码,以便P2P验证平台对终端验证信息进行校验,以确认终端设备身份的真实性,其中,P2P验证平台包括多个验证服务器。
在本公开的一些实施例中,所述终端设备还包括:
验证信息生成模块,用于生成终端验证信息。
在本公开的一些实施例中,所述终端验证信息为IPv6地址信息。
在本公开的一些实施例中,验证信息生成模块,用于根据芯片物理信息生成物理不可复制功能信息;根据物理不可复制功能信息和终端国际移动用户识别码拼接成终端信息;生成密钥对;采用密钥对,对终端信息进行加密生成IPv6接口标识符,其中,所述IPv6地址信息包括IPv6接口标识符。
在本公开的一些实施例中,所述终端设备还包括:
前缀信息接收模块,用于接收网络设备发送的IPv6前缀信息;
验证信息生成模块,用于将IPv6前缀信息和IPv6接口标识符拼接形成完整的IPv6地址信息。
在本公开的一些实施例中,验证请求发送模块,用于通过网络设备将验证请求广播至各验证服务器。
根据本公开的另一方面,提供一种对等P2P验证平台,包括多个验证服务器,其中:
多个验证服务器,用于接收终端设备通过网络设备发送的验证请求,其中,所述验证请求包括终端验证信息,终端验证信息中包括终端设备物理信息和终端用户识别码;对终端验证信息进行校验,以确认终端设备身份的真实性。
在本公开的一些实施例中,各个验证服务器作为参与节点形成P2P共识网络,在所有的验证服务器中选取提交节点、背书节点和验证节点;
各验证服务器共同维护分布式的账本信息,将验证的结果写入区块链。
在本公开的一些实施例中,各个验证节点,用于在收到验证请求后,进行终端验证信息验证;将验证结果以及验证的关键信息组成新的区块;
记账节点,用于达成共识生成新的区块,加入区块链,完成终端认证。
在本公开的一些实施例中,各个验证节点,用于解析验证请求中的终端的IPv6地址信息,从IPv6地址信息中解析出物理不可复制功能信息和终端国际移动用户识别码,进行比对和确认。
根据本公开的另一方面,提供一种终端认证系统,包括网络设备、如上述任一实施例所述的终端设备、和如上述任一实施例所述的P2P验证平台。
根据本公开的另一方面,提供一种计算机可读存储介质,其中,所述计算机可读存储介质存储有计算机指令,所述指令被处理器执行时实现如上述任一实施例所述的终端认证方法。
本公开基于芯片物理特性生成终端的IPv6地址,从芯片层面防止假冒设备入网,增强了网络的安全能力。本公开采用去中心化的基础设施提高设备接入认证的效率,解决了中心化管理与维护的困难。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本公开终端认证方法一些实施例的示意图。
图2为本公开一些实施例区块内容的示意图。
图3为本公开终端认证系统一些实施例的示意图。
图4为本公开终端认证系统另一些实施例的示意图。
图5为本公开终端设备一些实施例的示意图。
图6为本公开终端认证方法另一些实施例的示意图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。基于本公开中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
发明人通过研究发现:IPv6互联网及物联网的安全性不仅需要依靠网络层的用户及SIM卡身份进行验证,还需要物理设备的真伪验证来保证。中心化的验证平台将所有终端的身份验证信息集中至一处,会招致巨大的黑客攻击风险,相当考验验证平台技术能力和紧急应对能力。
在一种相关技术中,6loWPAN(IPv6的低速无线个域网标准)中节点的网络地址前缀是由根节点确定的,6lowpan节点接收到根节点通过ICMPv6信息发送中的前缀后,结合自己的64位MAC(Media Access Control,媒体存取控制)地址,生成本节点的IPv6地址,这是自动配置的过程。MAC地址是一种统一分配的逻辑硬件地址,是可以更改的,因此生成的IPv6地址不能保证设备的真实性。
在另一种相关技术中,将基于OID(Object Identifier,对象标识符)技术的传感节点身份标识信息与签名后的临时身份标识地址进行组合,经压缩运算生成IPv6地址的接口ID,通过改进的无状态自动配置方式为传感节点分配可用于全网通信的IPv6全局地址。对传感节点身份验证的过程中采用点对点的验证方式,复杂低效,增加了网络中通信双方处理验证的工作量。
在另一种相关技术中,利用终端芯片的PUF信息生成IPv6地址,终端将能唯一确定所述终端身份的PUF信息配置在IPv6地址的后64位中,与分配的IPv6前缀生成IPv6地址。网络侧可结合后台设备数据库对于终端的IPv6地址进行认证。但是该相关技术中网络侧采用后台数据库的形式进行身份验证存在较高的管理风险,且在多方互联的场景下,中心化的认证服务无法满足用户的需求。
鉴于以上技术问题中的至少一项,发明人通过研究发现:分布式系统汇集了若干独立成员,独立成员不必服从中枢机构的控制,独立完成各自的任务与功能。显然,分布式系统的灵活性和可适应性远远优越于中心化的系统。近年来快速发展的区块链技术就是分布式系统的代表。
区块链是指在去中心化的网络结构中各个独立节点通过分布式数据存储,点对点传输,共识机制以及加密技术等计算机技术组成的一个新型网络系统,其本质上是一个分布式数据库,分布式网络中的每个节点都储存着同一条区块链。区块是指一串使用密码学方法相关联产生的数据块,其中记录着一项交易(网络成员共同完成的一项工作)的信息(包括交易价值量、交易双方信息及发生时间等)以及相关的防伪信息,每一区块的生成都必须通过各成员之间的共识过程,得到所有成员的合法承认才可被记录到链上。链是指各个区块按顺序首尾相连所形成的链式数据结构,每一区块都有唯一的ID,而某一区块又会记录着上一区块ID的hash(哈希)值,这使得链上的各个区块不断衔接形成不能更改的链式结构。
本公开提供了一种终端认证方法和系统、终端设备、P2P验证平台和介质,本公开P2P验证平台就是基于去中心化的网络结构。下面通过具体实施例对本公开进行说明。
图1为本公开终端认证方法一些实施例的示意图。优选的,本实施例可由本公开终端认证系统执行。该方法包括以下步骤:
步骤1,终端设备通过网络设备向P2P(Peer to Peer,对等)验证系统发送验证请求,其中,所述验证请求包括终端验证信息,终端验证信息中可以包括终端设备物理信息和终端用户识别码。
在本公开的一些实施例中,所述终端设备可以为物联网终端。
在本公开的一些实施例中,所述网络设备可以为接入设备。
在本公开的一些实施例中,在步骤1之前,所述方法还可以包括:终端设备生成终端验证信息。
在本公开的一些实施例中,所述终端验证信息为IPv6地址信息。
在本公开的一些实施例中,所述终端设备生成终端验证信息的步骤可以包括:终端设备根据芯片物理信息生成PUF(Physical Unclonable Functions,物理不可复制功能)信息;终端设备根据物理不可复制功能信息和终端国际移动用户识别码拼接成终端信息;终端设备生成密钥对;终端设备采用密钥对,对终端信息进行加密生成IPv6接口标识符,其中,所述IPv6地址信息包括IPv6接口标识符。
在本公开的一些实施例中,在步骤1可以包括终端设备通过网络设备将验证请求广播至各验证服务器。
步骤2,P2P验证平台包括多个验证服务器,验证服务器对终端验证信息进行校验,以确认终端设备身份的真实性。
在本公开的一些实施例中,P2P验证平台可以为P2P去中心化验证平台。
在本公开的一些实施例中,步骤2中,所述验证服务器对终端验证信息进行校验的步骤可以包括:
步骤21,各个验证服务器作为参与节点形成P2P共识网络,在所有的验证服务器中选取提交节点、背书节点和验证节点。
步骤22,各验证服务器共同维护分布式的账本信息,将验证的结果写入区块链。
在本公开的一些实施例中,步骤22可以包括:
步骤221,各个验证节点在收到验证请求后,进行终端验证信息验证。
在本公开的一些实施例中,步骤221中,所述进行终端验证信息验证的步骤可以包括:各个验证节点解析验证请求中的终端的IPv6地址信息,从IPv6地址信息中解析出物理不可复制功能信息和终端国际移动用户识别码,进行比对和确认。
步骤222,各个验证节点将验证结果以及验证的关键信息组成新的区块,由记账节点达成共识生成新的区块,加入区块链,完成终端认证。
图2为本公开一些实施例区块内容的示意图。如图2所示,区块可以版本号、时间戳、终端IPv6地址、终端IMSI(International Mobile Subscriber Identity,国际移动用户识别码)值、IMEI(International Mobile Equipment Identity,国际移动设备识别码,即设备序列号)、公钥、认证结果等必要信息。本公开上述实施例通过区块记录验证关键信息以及验证结果可以保证验证结果不可篡改,验证结果可靠性较高。
基于本公开上述实施例提供的终端认证方法,具体包括一种通信网络中终端IPv6地址的生成解析及认证方法,本公开上述实施例利用终端芯片的PUF信息生成IPv6地址,网络侧认证中心引入了基于区块链的去中心化基础设施。验证中心根据数据报文中的源地址信息对终端的身份进行验证,所有的验证服务器形成P2P去中心化验证平台。终端设备通过接入网关将验证信息广播至各验证服务器,各验证服务器共同维护分布式的账本信息,将验证的结果写入区块链。本公开上述实施例相较于相关技术方式,通过IPv6地址标识了终端身份的唯一性,用去中心的方式实现了各个终端之间的互信问题,保障了验证结果的完整性和不可篡改性。
图3为本公开终端认证系统一些实施例的示意图。如图3所示,本公开终端认证系统可以包括网络设备31、终端设备32和P2P验证平台33,其中:
终端设备32,用于通过网络设备向对等P2P验证平台发送验证请求,其中,所述验证请求包括终端验证信息,终端验证信息中包括终端设备物理信息和终端用户识别码。
在本公开的一些实施例中,所述终端设备可以为物联网终端。
在本公开的一些实施例中,P2P验证平台可以为P2P去中心化验证平台(或P2P去中心化验证系统)。
P2P验证平台包括多个验证服务器。
P2P验证平台,用于对终端验证信息进行校验,以确认终端设备身份的真实性。
图4为本公开终端认证系统另一些实施例的示意图。如图4所示,本公开终端认证系统可以包括网络设备31、终端设备32和P2P验证平台33,其中:
终端设备32,用于负责IPv6地址中接口标识符的生成并发送验证信息和验证请求报文。
网络设备31,用于负责为终端分配IPv6前缀信息,并将终端验证信息和验证请求报文转发至P2P验证中心。
在本公开的一些实施例中,所述网络设备可以为接入设备。
P2P验证平台33,用于完成终端身份的验证并记录验证的结果。
基于本公开上述实施例提供的终端认证系统,是一种基于IPv6地址的去中心化终端标识认证系统。本公开上述实施例基于芯片物理特性生成终端的IPv6地址,从芯片层面防止假冒设备入网,增强了网络的安全能力。本公开上述实施例采用去中心化的基础设施提高设备接入认证的效率,解决中心化管理与维护的困难。本公开上述实施例可以适用于移动网、物联网和军事网等各种安全性要求更好的场景。
下面通过具体实施例对本公开上述实施例终端认证系统中终端设备和P2P验证平台的具体结构和功能进行说明。
图5为本公开终端设备一些实施例的示意图。如图5所示,本公开终端设备(例如图3或图4实施例的终端设备32)可以包括验证请求发送模块321,其中:
验证请求发送模块321,用于通过网络设备向对等P2P验证平台发送验证请求,其中,所述验证请求包括终端验证信息,终端验证信息中包括终端设备物理信息和终端用户识别码,以便P2P验证平台对终端验证信息进行校验,以确认终端设备身份的真实性,其中,P2P验证平台包括多个验证服务器。
在本公开的一些实施例中,验证请求发送模块321可以用于通过网络设备将验证请求广播至各验证服务器。
在本公开的一些实施例中,所述终端验证信息可以为IPv6地址信息。
在本公开的一些实施例中,如图2所示,本公开终端设备还可以包括验证信息生成模块322,其中:
验证信息生成模块322,用于生成终端验证信息。
在本公开的一些实施例中,验证信息生成模块322可以用于根据芯片物理信息生成物理不可复制功能信息;根据物理不可复制功能信息和终端国际移动用户识别码拼接成终端信息;生成密钥对;采用密钥对,对终端信息进行加密生成IPv6接口标识符,其中,所述IPv6地址信息包括IPv6接口标识符。
在本公开的一些实施例中,如图2所示,所述终端设备还可以包括前缀信息接收模块323,其中:
前缀信息接收模块323,用于接收网络设备发送的IPv6前缀信息;
验证信息生成模块322可以用于将IPv6前缀信息和IPv6接口标识符拼接形成完整的IPv6地址信息。
基于本公开上述实施例提供的终端设备,从芯片层面根据物理信息生成40bit序列的物理不可复制功能信息,提取终端IMSI中的24bit,将两部分信息拼接成为64bit序列的终端信息。终端设备生成密钥对,使用该密钥对以上的64bit序列进行加密,生成IPv6地址中的接口标识符。网络中用于分配IPv6地址的网络设备向用户终端发送包含了IPv6前缀的消息,用户终端将收到的IPv6前缀信息与自身生成的IPv6接口标识符拼接形成完整的Ipv6地址。终端设备在第一次接入网络时采用非对称加密的方式将终端的验证信息报文通过网络设备发送至P2P去中心化的验证系统,这样验证系统就获得了校验终端身份所需的必要信息。
本公开终端设备的认证方式和认证流程中。每个终端设备有一个唯一IPv6地址,这个地址中包含终端的物理信息以及IMSI信息。终端发出的验证信息和验证请求通过网络设备发送至去中心化的验证系统。系统中的各参与节点校验IPv6前缀、终端物理信息、设备序列号等信息来确认终端身份的真实性。
图3还给出了本公开P2P验证平台一些实施例的示意图。如图3所示,本公开P2P验证平台可以包括多个验证服务器331,其中:
多个验证服务器331,用于接收终端设备通过网络设备发送的验证请求,其中,所述验证请求包括终端验证信息,终端验证信息中包括终端设备物理信息和终端用户识别码;对终端验证信息进行校验,以确认终端设备身份的真实性。
在本公开的一些实施例中,如图3所示,各个验证服务器331作为参与节点形成P2P共识网络,在所有的验证服务器中选取提交节点、背书节点和验证节点。
在本公开的一些实施例中,各验证服务器331共同维护分布式的账本信息,将验证的结果写入区块链。
在本公开的一些实施例中,各个验证节点可以用于在收到验证请求后,进行终端验证信息验证;将验证结果以及验证的关键信息组成新的区块。
在本公开的一些实施例中,记账节点,用于达成共识生成新的区块,加入区块链,完成终端认证。
在本公开的一些实施例中,各个验证节点可以用于解析验证请求中的终端的IPv6地址信息,从IPv6地址信息中解析出物理不可复制功能信息和终端国际移动用户识别码,进行比对和确认。
基于本公开上述实施例提供的P2P验证平台,通过区块记录验证关键信息以及验证结果可保证验证结果不可篡改,验证结果可靠性较高。本公开实施例具体的校验流程在去中心化平台上完成,不需要终端间复杂的交互验证流程。
本公开上述实施例采用了P2P去中心化的验证系统架构,用于提供验证服务的验证服务器组成了去中心化的验证系统,各节点共同维护区块链中的内容,区块链的内容为终端验证的关键信息以及验证结果。这样保证了验证结果的真实性和不可篡改。
图6为本公开终端认证方法另一些实施例的示意图。优选的,本实施例可由本公开终端认证系统执行。本公开终端认证系统可以包括网络设备、终端设备和P2P验证平台,其中,如图6所示,网络设备可以为接入网关,终端设备可以为网终端,P2P验证平台可以为P2P区块链验证中心。
图6实施例的终端认证方法包括以下步骤:
步骤601,终端设备根据芯片物理信息生成40bit序列的终端唯一PUF信息。
步骤602,终端设备提取终端SIM卡ID(例如IMSI)中的24bit,将两部分信息(物理不可复制功能信息和终端国际移动用户识别码拼接成终端信息)拼接成为64bit序列的终端信息。
步骤603,终端生成密钥对。
步骤604,终端设备使用该密钥对以上的64bit序列的终端信息进行加密,生成IPv6地址中的接口标识符。
步骤605,网络中用于分配IPv6地址的网络设备向用户终端发送包含了IPv6前缀的消息,终端设备将收到的IPv6前缀信息与自身生成的IPv6接口标识符拼接形成完整的Ipv6地址。
步骤606,终端设备在第一次接入网络时采用非对称加密的方式将终端的验证信息报文通过网络设备发送至P2P去中心化的验证系统,这样验证系统就获得了校验终端身份所需的必要信息。
步骤607,在这个P2P去中心化的验证系统中,各个验证服务器作为参与节点形成P2P共识网络。去中心化的验证系统由多个验证服务器组成,主要用于处理终端侧发送的验证请求。
步骤608,在所有的验证服务器中选取提交节点、背书节点和验证节点。
步骤609,当终端设备发送了验证请求报文之后,网络设备将验证请求报文发送到去中心化的验证系统。该数据验证请求将在去中心化的验证系统中广播。
步骤610,各个验证节点在收到验证请求后进行数据验证。
在本公开的一些实施例中,在步骤610可以包括:各个验证节点首先需要解析验证请求报文中的终端的IPv6源地址,从IPv6地址中解析出IMSI和物理特性的相关信息进行比对和确认。
步骤611,将验证结果以及验证的关键信息组成新的区块,由记账节点达成共识生成新的区块,加入区块链,完成终端认证。
本公开上述实施例提出了一种基于P2P去中心化的验证平台进行终端IPv6标识的认证的方法与流程。终端设备通过向接入网关发送验证请求数据包即可获得验证结果,具体的校验流程在去中心化平台上完成,不需要终端间复杂的交互验证流程。
本公开上述实施例的验证流程中从IPv6解析出终端PUF序列、IMSI、IMEI等信息,并联合校验以上信息保证了设备的真实性。
本公开上述实施例中利用区块记载各个设备的验证详细信息,保证了验证结果的不可篡改性。
本公开上述实施例在物联网场景下需保证终端的真实可信性,终端设备之间也有通信互联的需求,解决多方通信间的互信问题。
例如:在本公开一些具体实施例中,智能汽车中都会安装芯片,在汽车接入网络后需要对汽车的身份进行验证,汽车可能有组网互联通信的需求。此方案中各个终端(汽车)发送数据包至网关,网关将数据报文转发至对应的验证服务器,系统中各个验证服务器共同维护一个验证账本,账本中记录各个终端(汽车)的验证结果。如果终端之间需要通信互信时可以通过查找已有区块记录,如果有相应的验证成功记录,则终端之间可以互信。
本公开上述实施例应用场景也可以扩展至对安全性要求较高的军事场景,例如无人机、枪支的管理等。
根据本公开的另一方面,提供一种计算机可读存储介质,其中,所述计算机可读存储介质存储有计算机指令,所述指令被处理器执行时实现如上述任一实施例(例如图1或图6实施例)所述的终端认证方法。
基于本公开上述实施例提供的计算机可读存储介质,利用终端芯片的PUF信息生成IPv6地址,网络侧认证中心引入了基于区块链的去中心化基础设施。本公开上述实施例通过IPv6地址标识了终端身份的唯一性,用去中心的方式实现了各个终端之间的互信问题,保障了验证结果的完整性和不可篡改性。
在上面所描述的终端设备和P2P验证平台可以实现为用于执行本申请所描述功能的通用处理器、可编程逻辑控制器(PLC)、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意适当组合。
至此,已经详细描述了本公开。为了避免遮蔽本公开的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指示相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
本公开的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本公开限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本公开的原理和实际应用,并且使本领域的普通技术人员能够理解本公开从而设计适于特定用途的带有各种修改的各种实施例。
Claims (11)
1.一种终端认证方法,其特征在于,包括:
终端设备生成终端验证信息,其中,所述终端验证信息为IPv6地址信息;
终端设备通过网络设备向对等P2P验证平台发送验证请求,其中,所述验证请求包括终端验证信息,终端验证信息中包括终端设备物理信息和终端用户识别码;
P2P验证平台包括多个验证服务器,验证服务器对终端验证信息进行校验,以确认终端设备身份的真实性;
其中,所述终端设备生成终端验证信息包括:
终端设备根据芯片物理信息生成物理不可复制功能信息;
终端设备根据物理不可复制功能信息和终端国际移动用户识别码拼接成终端信息;
终端设备生成密钥对;
终端设备采用密钥对,对终端信息进行加密生成IPv6接口标识符,其中,所述IPv6地址信息包括IPv6接口标识符;
其中,所述验证服务器对终端验证信息进行校验包括:
各个验证服务器作为参与节点形成P2P共识网络,在所有的验证服务器中选取提交节点、背书节点和验证节点;
各个验证节点在收到验证请求后,进行终端验证信息验证;
各个验证节点将验证结果以及验证的关键信息组成新的区块,由记账节点达成共识生成新的区块,加入区块链,完成终端认证。
2.根据权利要求1所述的终端认证方法,其特征在于,所述终端设备生成终端验证信息还包括:
网络设备向终端设备发送IPv6前缀信息;
终端设备将IPv6前缀信息和IPv6接口标识符拼接形成完整的IPv6地址信息。
3.根据权利要求1-2中任一项所述的终端认证方法,其特征在于,所述终端设备通过网络设备向对等P2P验证平台发送验证请求包括:
终端设备通过网络设备将验证请求广播至各验证服务器。
4.根据权利要求1-2中任一项所述的终端认证方法,其特征在于,所述进行终端验证信息验证包括:
各个验证节点解析验证请求中的终端的IPv6地址信息,从IPv6地址信息中解析出物理不可复制功能信息和终端国际移动用户识别码,进行比对和确认。
5.一种终端设备,其特征在于,包括:
验证信息生成模块,用于生成终端验证信息,其中,所述终端验证信息为IPv6地址信息;
验证请求发送模块,用于通过网络设备向对等P2P验证平台发送验证请求,其中,所述验证请求包括终端验证信息,终端验证信息中包括终端设备物理信息和终端用户识别码,以便P2P验证平台对终端验证信息进行校验,以确认终端设备身份的真实性,其中,P2P验证平台包括多个验证服务器,各个验证服务器作为参与节点形成P2P共识网络,在所有的验证服务器中选取提交节点、背书节点和验证节点,各个验证节点在收到验证请求后,进行终端验证信息验证,各个验证节点将验证结果以及验证的关键信息组成新的区块,由记账节点达成共识生成新的区块,加入区块链,完成终端认证;
其中,验证信息生成模块,用于根据芯片物理信息生成物理不可复制功能信息;根据物理不可复制功能信息和终端国际移动用户识别码拼接成终端信息;生成密钥对;采用密钥对,对终端信息进行加密生成IPv6接口标识符,其中,所述IPv6地址信息包括IPv6接口标识符。
6.根据权利要求5所述的终端设备,其特征在于,还包括:
前缀信息接收模块,用于接收网络设备发送的IPv6前缀信息;
验证信息生成模块,用于将IPv6前缀信息和IPv6接口标识符拼接形成完整的IPv6地址信息。
7.根据权利要求5-6中任一项所述的终端设备,其特征在于,
验证请求发送模块,用于通过网络设备将验证请求广播至各验证服务器。
8.一种对等P2P验证平台,其特征在于,包括多个验证服务器,其中:
多个验证服务器,用于接收终端设备通过网络设备发送的验证请求,其中,所述验证请求包括终端验证信息,终端验证信息中包括终端设备物理信息和终端用户识别码,所述终端验证信息为IPv6地址信息,所述终端验证信息是终端设备生成的,终端设备根据芯片物理信息生成物理不可复制功能信息,终端设备根据物理不可复制功能信息和终端国际移动用户识别码拼接成终端信息,终端设备生成密钥对,终端设备采用密钥对,对终端信息进行加密生成IPv6接口标识符,其中,所述IPv6地址信息包括IPv6接口标识符;对终端验证信息进行校验,以确认终端设备身份的真实性;
其中,各个验证服务器作为参与节点形成P2P共识网络,在所有的验证服务器中选取提交节点、背书节点和验证节点;
各验证服务器共同维护分布式的账本信息,将验证的结果写入区块链;
其中,各个验证节点,用于在收到验证请求后,进行终端验证信息验证;将验证结果以及验证的关键信息组成新的区块;
记账节点,用于达成共识生成新的区块,加入区块链,完成终端认证。
9.根据权利要求8所述的P2P验证平台,其特征在于,
各个验证节点,用于解析验证请求中的终端的IPv6地址信息,从IPv6地址信息中解析出物理不可复制功能信息和终端国际移动用户识别码,进行比对和确认。
10.一种终端认证系统,其特征在于,包括网络设备、如权利要求5-7中任一项所述的终端设备、和如权利要求8-9中任一项所述的P2P验证平台。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述指令被处理器执行时实现如权利要求1-4中任一项所述的终端认证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911361345.9A CN113055176B (zh) | 2019-12-26 | 2019-12-26 | 终端认证方法和系统、终端设备、p2p验证平台和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911361345.9A CN113055176B (zh) | 2019-12-26 | 2019-12-26 | 终端认证方法和系统、终端设备、p2p验证平台和介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113055176A CN113055176A (zh) | 2021-06-29 |
| CN113055176B true CN113055176B (zh) | 2023-03-24 |
Family
ID=76505180
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911361345.9A Active CN113055176B (zh) | 2019-12-26 | 2019-12-26 | 终端认证方法和系统、终端设备、p2p验证平台和介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113055176B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114301670B (zh) * | 2021-12-28 | 2023-12-05 | 天翼物联科技有限公司 | 基于ipv6地址的终端认证方法、装置、设备及介质 |
| CN114338527B (zh) * | 2021-12-30 | 2023-09-08 | 中国电信股份有限公司 | IPv6主动标识符处理方法及系统 |
| CN114338044A (zh) * | 2022-01-13 | 2022-04-12 | 王鹏 | 验证网络用户身份的方法以及存储设备和处理设备 |
| CN114915487B (zh) * | 2022-06-09 | 2023-10-03 | 中国电信股份有限公司 | 终端认证方法、系统、装置、设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109067543A (zh) * | 2018-07-24 | 2018-12-21 | 腾讯科技(深圳)有限公司 | 数字证书管理方法、装置、计算机设备和存储介质 |
| CN109768988A (zh) * | 2019-02-26 | 2019-05-17 | 安捷光通科技成都有限公司 | 去中心化物联网安全认证系统、设备注册和身份认证方法 |
| CN110177124A (zh) * | 2019-06-20 | 2019-08-27 | 深圳市网心科技有限公司 | 基于区块链的身份认证方法及相关设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11032293B2 (en) * | 2018-02-10 | 2021-06-08 | SmartAxiom, Inc. | System and method for managing and securing a distributed ledger for a decentralized peer-to-peer network |
-
2019
- 2019-12-26 CN CN201911361345.9A patent/CN113055176B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109067543A (zh) * | 2018-07-24 | 2018-12-21 | 腾讯科技(深圳)有限公司 | 数字证书管理方法、装置、计算机设备和存储介质 |
| CN109768988A (zh) * | 2019-02-26 | 2019-05-17 | 安捷光通科技成都有限公司 | 去中心化物联网安全认证系统、设备注册和身份认证方法 |
| CN110177124A (zh) * | 2019-06-20 | 2019-08-27 | 深圳市网心科技有限公司 | 基于区块链的身份认证方法及相关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113055176A (zh) | 2021-06-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110535872B (zh) | 在区块链网络中处理数据请求的方法和装置 | |
| CN113055176B (zh) | 终端认证方法和系统、终端设备、p2p验证平台和介质 | |
| CN110602096B (zh) | 区块链网络中的数据处理方法、装置、存储介质和设备 | |
| CN111970129B (zh) | 一种基于区块链的数据处理方法、设备以及可读存储介质 | |
| CN112055025B (zh) | 一种基于区块链的隐私数据保护方法 | |
| CN113194469B (zh) | 基于区块链的5g无人机跨域身份认证方法、系统及终端 | |
| CN112311735B (zh) | 可信认证方法,网络设备、系统及存储介质 | |
| CN109819443A (zh) | 基于区块链的注册认证方法、装置及系统 | |
| CN110601851B (zh) | 在区块链网络中更换身份证书的方法、装置、介质和设备 | |
| CN105554760B (zh) | 无线接入点认证方法、装置及系统 | |
| CN113328997A (zh) | 联盟链跨链系统及方法 | |
| CN113541970B (zh) | 分布式标识符的使用方法和分布式标识符使用系统 | |
| CN110177124A (zh) | 基于区块链的身份认证方法及相关设备 | |
| CN113141340A (zh) | 基于区块链的多节点认证方法及装置 | |
| CN111935187A (zh) | 一种数据访问方法及装置 | |
| KR20110103461A (ko) | 피어투피어 네트워크의 네트워크 노드들의 인증을 위한 방법 및 시스템 | |
| CN112235290B (zh) | 基于区块链的物联网设备管理方法及第一物联网设备 | |
| CN113965425B (zh) | 物联网设备的接入方法、装置、设备及计算机可读存储介质 | |
| CN113328854A (zh) | 基于区块链的业务处理方法及系统 | |
| CN109327475B (zh) | 一种多层身份认证方法、装置、设备及存储介质 | |
| CN111709053A (zh) | 基于松散耦合交易网络的作业方法及作业装置 | |
| CN110851804A (zh) | 一种基于电子合同的联盟链身份认证方式 | |
| CN112688968B (zh) | 一种基于无线网络设备的网络安全配置方法及系统 | |
| CN116743377B (zh) | 基于区块链密钥的数据处理方法、装置、设备及存储介质 | |
| CN113938279B (zh) | 密钥交换方法、设备和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20210629 Assignee: Beijing Tianchuang Xinlian Technology Co.,Ltd. Assignor: CHINA TELECOM Corp.,Ltd. Contract record no.: X2024110000007 Denomination of invention: Terminal authentication methods and systems, terminal devices, P2P verification platforms and media Granted publication date: 20230324 License type: Common License Record date: 20240223 |