CN113810436B - 一种恢复dtls会话的方法、装置和计算机可读存储介质 - Google Patents

一种恢复dtls会话的方法、装置和计算机可读存储介质 Download PDF

Info

Publication number
CN113810436B
CN113810436B CN202010531454.7A CN202010531454A CN113810436B CN 113810436 B CN113810436 B CN 113810436B CN 202010531454 A CN202010531454 A CN 202010531454A CN 113810436 B CN113810436 B CN 113810436B
Authority
CN
China
Prior art keywords
internet
things
terminal
session
dtls
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010531454.7A
Other languages
English (en)
Other versions
CN113810436A (zh
Inventor
骆正虎
白杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Communications Ltd Research Institute
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Communications Ltd Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Communications Ltd Research Institute filed Critical China Mobile Communications Group Co Ltd
Priority to CN202010531454.7A priority Critical patent/CN113810436B/zh
Publication of CN113810436A publication Critical patent/CN113810436A/zh
Application granted granted Critical
Publication of CN113810436B publication Critical patent/CN113810436B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/143Termination or inactivation of sessions, e.g. event-controlled end of session
    • H04L67/145Termination or inactivation of sessions, e.g. event-controlled end of session avoiding end of session, e.g. keep-alive, heartbeats, resumption message or wake-up for inactive or interrupted session
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/146Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos

Abstract

本发明实施例提供了一种恢复数据包传输层安全性(DTLS)会话的方法、装置和计算机可读存储介质,所述方法包括:物联网终端发送所述物联网终端的唯一标识信息,用于物联网平台对所述物联网终端进行认证;其中,所述物联网终端的唯一标识信息至少包括:物联网终端的唯一标识的明文和对应的密文;接收所述物联网平台在确定认证成功后发送的恢复DTLS会话的通知。

Description

一种恢复DTLS会话的方法、装置和计算机可读存储介质
技术领域
本发明涉及移动通信技术领域,尤其涉及一种恢复数据包传输层安全性(Datagram Transport Layer Security,DTLS)会话的方法、装置和计算机可读存储介质。
背景技术
随着物联网技术的持续发展,物联网应用领域和终端数量迎来爆发式增长。在网络层面,物联网终端通过网络地址转换(Network Address Translation,NAT)设备与云端的物联网平台进行数据交互,并采用数据包传输层安全性协议(DTLS)建立安全可靠的数据通道。
实际应用中,为了降低功耗,很多物联网终端向平台发送数据后就会进入深睡眠状态,长时间内没有任何的网络数据交互,导致NAT表中的IP地址过期,因此在网络通讯再次发起时需要建立分配新的IP或端口资源,该IP地址或端口资源容易与NAT记录的终端唤醒之前的IP或端口资源不一致,导致平台拒绝终端数据,强制关闭该连接。因而为了继续通信,终端需要从头发起完整的DTLS协议握手过程,以重新建立与平台端之间的DTLS连接。
发明内容
有鉴于此,本发明实施例期望提供一种恢复DTLS会话的方法、装置和计算机可读存储介质。
为达到上述目的,本发明实施例的技术方案是这样实现的:
本发明实施例提供了一种恢复数据包传输层安全性DTLS会话的方法,该方法应用于物联网终端,包括:
发送所述物联网终端的唯一标识信息,用于物联网平台对所述物联网终端进行认证;
其中,所述物联网终端的唯一标识信息至少包括:物联网终端的唯一标识的明文和对应的密文;
接收所述物联网平台在确定认证成功后发送的恢复DTLS会话的通知。
其中,所述发送所述物联网终端的唯一标识信息,包括:
发送会话恢复请求消息;所述会话恢复请求消息携带所述物联网终端的唯一标识信息。
其中,所述接收所述物联网平台在确定认证成功后发送的恢复DTLS会话的通知,包括:
接收所述物联网平台在确定认证成功后发送的会话恢复确认消息;所述会话恢复确认消息用于通知物联网终端恢复DTLS会话。
一实施例中,所述物联网终端的唯一标识为:
所述物联网终端与所述物联网平台在DTLS握手过程中双方互相认定的唯一标识字段。
另一实施例中,所述物联网终端的唯一标识为:
所述物联网终端与所述物联网平台在预共享秘钥PSK方式中通信双方在本地存储的对方的身份标志。
可选的,所述发送所述物联网终端的唯一标识信息之前,该方法还包括:
基于所述物联网终端与所述物联网平台在DTLS握手过程后的会话秘钥对所述物联网终端的唯一标识的明文进行加密,得到所述对应的密文。
本发明实施例还提供了一种恢复数据包传输层安全性DTLS会话的方法,该方法应用于物联网平台,包括:
接收物联网终端的唯一标识信息;所述物联网终端的唯一标识信息至少包括:物联网终端的唯一标识的明文和对应的密文;
基于所述物联网终端的唯一标识信息对所述物联网终端进行认证;
确定认证成功后通知所述物联网终端恢复DTLS会话。
其中,所述基于所述物联网终端的唯一标识信息对所述物联网终端进行认证,包括:
基于所述物联网终端的唯一标识的明文确定对应的会话秘钥;
基于所述会话秘钥对所述物联网终端的唯一标识的密文进行解密;
确定解密后的信息与所述物联网终端的唯一标识的明文一致,且会话仍然处于有效期内,则认证成功;否则,认证失败。
其中,所述确定认证成功后通知所述物联网终端恢复DTLS会话,包括:
确定认证成功后,向所述物联网终端发送会话恢复确认消息通知所述物联网终端恢复DTLS会话。
可选的,该方法还包括:
确定认证失败后,向所述物联网终端发送会话恢复确认消息通知所述物联网终端拒绝恢复DTLS会话。
本发明实施例还提供了一种恢复数据包传输层安全性DTLS会话的装置,该装置应用于物联网终端,包括:
第一发送模块,用于发送所述物联网终端的唯一标识信息,用于物联网平台对所述物联网终端进行认证;
其中,所述物联网终端的唯一标识信息至少包括:物联网终端的唯一标识的明文和对应的密文;
第一接收模块,用于接收所述物联网平台在确定认证成功后发送的恢复DTLS会话的通知。
本发明实施例还提供了一种恢复数据包传输层安全性DTLS会话的装置,该装置应用于物联网平台,包括:
第二接收模块,用于接收物联网终端的唯一标识信息;所述物联网终端的唯一标识信息至少包括:物联网终端的唯一标识的明文和对应的密文;
认证模块,用于基于所述物联网终端的唯一标识信息对所述物联网终端进行认证;
第二发送模块,用于确定认证成功后通知所述物联网终端恢复DTLS会话。
本发明实施例还提供了一种恢复数据包传输层安全性DTLS会话的装置,该装置包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,
其中,所述处理器用于运行所述计算机程序时,执行上述方法的步骤。
本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述方法的步骤。
本发明实施例提供的恢复DTLS会话的方法、装置和计算机可读存储介质,物联网终端发送所述物联网终端的唯一标识信息,用于物联网平台对所述物联网终端进行认证;其中,所述物联网终端的唯一标识信息至少包括:物联网终端的唯一标识的明文和对应的密文;接收所述物联网平台在确定认证成功后发送的恢复DTLS会话的通知。本发明实施例中的物联网终端的唯一标识信息和五元组/四元组解耦,无论五元组/四元组是否相同,均可通过使用所述唯一标识信息保持DTLS会话,因物联网终端不需再进行DTLS协议握手过程,可提升数据传输效率,节省物联网终端的功耗,并提高会话保持的适用性。而且,不再进行DTLS协议握手过程可降低对网络带宽的占用。
此外,本发明实施例对原有DTLS协议内容不做任何改动,以此保证物联网设备与平台侧在不同版本协议的情况下不会受到任何影响,拥有良好的兼容性。
附图说明
图1为本发明实施例所述恢复DTLS会话的方法流程示意图一;
图2为本发明实施例所述恢复DTLS会话的方法流程示意图二;
图3为本发明实施例所述恢复DTLS会话的装置结构示意图一;
图4为本发明实施例所述恢复DTLS会话的装置结构示意图二;
图5为本发明实施例所述恢复DTLS会话的消息的示意图。
具体实施方式
下面结合附图和实施例对本发明进行描述。
实际应用中,由于NAT表中的IP地址过期,网络通讯再次发起时建立分配新的IP或端口资源容易与NAT记录的终端唤醒之前的IP或端口资源不一致,导致平台拒绝终端数据。因而为了继续通信,终端需要从头发起完整的DTLS协议握手过程,以重新建立与平台端之间的DTLS连接。但是,由于DTLS整个会话握手过程较为复杂,特别是引入非对称加密算法时,需要占用较多的算力及时间,所以重复这一过程会使得物联网终端功耗及流量无端上升,并对网络造成不必要的带宽占用。
为此,本发明实施例提出了一种解决方案,对于低功耗要求高的物联网终端设备从深度睡眠中唤醒后不再需要重新建立DTLS握手及密钥交换过程,直接恢复数据通信,并能够在保证会话安全性的同时,减少不必要的数据交互,降低物联网设备功耗。
本发明实施例提供了一种恢复DTLS会话的方法,如图1所示,该方法应用于物联网终端,包括:
步骤101:发送所述物联网终端的唯一标识信息,用于物联网平台对所述物联网终端进行认证;
其中,所述物联网终端的唯一标识信息至少包括:物联网终端的唯一标识的明文和对应的密文;
步骤102:接收所述物联网平台在确定认证成功后发送的恢复DTLS会话的通知。
本发明实施例中的物联网终端的唯一标识信息和五元组/四元组解耦,无论五元组/四元组是否相同,均可通过使用所述唯一标识信息保持DTLS会话,因物联网终端不需再进行DTLS协议握手过程,可提升数据传输效率,节省物联网终端的功耗,并提高会话保持的适用性。而且,不再进行DTLS协议握手过程可降低对网络带宽的占用。
本发明一个实施例中,所述发送所述物联网终端的唯一标识信息,包括:
发送会话恢复请求消息;所述会话恢复请求消息携带所述物联网终端的唯一标识信息。
本发明一个实施例中,所述接收所述物联网平台在确定认证成功后发送的恢复DTLS会话的通知,包括:
接收所述物联网平台在确定认证成功后发送的会话恢复确认消息;所述会话恢复确认消息用于通知物联网终端恢复DTLS会话。
这里,如果物联网平台对所述物联网终端的认证失败,同样可以发送会话恢复确认消息,用于通知物联网终端拒绝恢复DTLS会话。
本发明一个实施例中,所述物联网终端的唯一标识为:
所述物联网终端与所述物联网平台在DTLS握手过程中双方互相认定的唯一标识字段。
本发明另一个实施例中,所述物联网终端的唯一标识为:
所述物联网终端与所述物联网平台在预共享秘钥PSK方式中通信双方在本地存储的对方的身份标志。
本发明一个实施例中,所述发送所述物联网终端的唯一标识信息之前,该方法还包括:
基于所述物联网终端与所述物联网平台在DTLS握手过程后的会话秘钥对所述物联网终端的唯一标识的明文进行加密,得到所述对应的密文。
本发明实施例还提供了一种恢复数据包传输层安全性DTLS会话的方法,如图2所示,该方法应用于物联网平台,包括:
步骤201:接收物联网终端的唯一标识信息;所述物联网终端的唯一标识信息至少包括:物联网终端的唯一标识的明文和对应的密文;
步骤202:基于所述物联网终端的唯一标识信息对所述物联网终端进行认证;
步骤203:确定认证成功后通知所述物联网终端恢复DTLS会话。
本发明一个实施例中,所述基于所述物联网终端的唯一标识信息对所述物联网终端进行认证,包括:
基于所述物联网终端的唯一的明文确定对应的会话秘钥;
基于所述会话秘钥对所述物联网终端的唯一标识的密文进行解密;
确定解密后的信息与所述物联网终端的唯一标识的明文一致,且会话仍然处于有效期内,则认证成功;否则,认证失败。
本发明一个实施例中,所述确定认证成功后通知所述物联网终端恢复DTLS会话,包括:
确定认证成功后,向所述物联网终端发送会话恢复确认消息通知所述物联网终端恢复DTLS会话。
本发明一个实施例中,该方法还包括:
确定认证失败后,向所述物联网终端发送会话恢复确认消息通知所述物联网终端拒绝恢复DTLS会话。
为了实现上述方法实施例,本发明实施例还提供了一种恢复数据包传输层安全性DTLS会话的装置,如图3所示,该装置应用于物联网终端,包括:
第一发送模块301,用于发送所述物联网终端的唯一标识信息,用于物联网平台对所述物联网终端进行认证;
其中,所述物联网终端的唯一标识信息至少包括:物联网终端的唯一标识的明文和对应的密文;
第一接收模块302,用于接收所述物联网平台在确定认证成功后发送的恢复DTLS会话的通知。
本发明一个实施例中,所述第一发送模块301发送所述物联网终端的唯一标识信息,包括:
发送会话恢复请求消息;所述会话恢复请求消息携带所述物联网终端的唯一标识信息。
本发明一个实施例中,所述第一接收模块302接收所述物联网平台在确定认证成功后发送的恢复DTLS会话的通知,包括:
接收所述物联网平台在确定认证成功后发送的会话恢复确认消息;所述会话恢复确认消息用于通知物联网终端恢复DTLS会话。
这里,如果物联网平台对所述物联网终端的认证失败,同样可以发送会话恢复确认消息,用于通知物联网终端拒绝恢复DTLS会话。
本发明一个实施例中,所述物联网终端的唯一标识为:
所述物联网终端与所述物联网平台在DTLS握手过程中双方互相认定的唯一标识字段。
本发明另一个实施例中,所述物联网终端的唯一标识为:
所述物联网终端与所述物联网平台在预共享秘钥PSK方式中通信双方在本地存储的对方的身份标志。
本发明一个实施例中,所述第一发送模块301发送所述物联网终端的唯一标识信息之前,还用于
基于所述物联网终端与所述物联网平台在DTLS握手过程后的会话秘钥对所述物联网终端的唯一标识的明文进行加密,得到所述对应的密文。
本发明实施例还提供了一种恢复数据包传输层安全性DTLS会话的装置,如图4所示,该装置应用于物联网平台,包括:
第二接收模块401,用于接收物联网终端的唯一标识信息;所述物联网终端的唯一标识信息至少包括:物联网终端的唯一标识的明文和对应的密文;
认证模块402,用于基于所述物联网终端的唯一标识信息对所述物联网终端进行认证;
第二发送模块403,用于确定认证成功后通知所述物联网终端恢复DTLS会话。
本发明一个实施例中,所述认证模块402基于所述物联网终端的唯一标识信息对所述物联网终端进行认证,包括:
基于所述物联网终端的唯一的明文确定对应的会话秘钥;
基于所述会话秘钥对所述物联网终端的唯一标识的密文进行解密;
确定解密后的信息与所述物联网终端的唯一标识的明文一致,且会话仍然处于有效期内,则认证成功;否则,认证失败。
本发明一个实施例中,所述第二发送模块403确定认证成功后通知所述物联网终端恢复DTLS会话,包括:
确定认证成功后,向所述物联网终端发送会话恢复确认消息通知所述物联网终端恢复DTLS会话。
本发明一个实施例中,所述第二发送模块403,还用于确定认证失败后,向所述物联网终端发送会话恢复确认消息通知所述物联网终端拒绝恢复DTLS会话。
本发明实施例还提供了一种恢复数据包传输层安全性DTLS会话的装置,该装置包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,
其中,所述处理器用于运行所述计算机程序时,执行:
发送所述物联网终端的唯一标识信息,用于物联网平台对所述物联网终端进行认证;
其中,所述物联网终端的唯一标识信息至少包括:物联网终端的唯一标识的明文和对应的密文;
接收所述物联网平台在确定认证成功后发送的恢复DTLS会话的通知。
所述发送所述物联网终端的唯一标识信息时,所述处理器还用于运行所述计算机程序时,执行:
发送会话恢复请求消息;所述会话恢复请求消息携带所述物联网终端的唯一标识信息。
所述接收所述物联网平台在确定认证成功后发送的恢复DTLS会话的通知时,所述处理器还用于运行所述计算机程序时,执行:
接收所述物联网平台在确定认证成功后发送的会话恢复确认消息;所述会话恢复确认消息用于通知物联网终端恢复DTLS会话。
其中,所述物联网终端的唯一标识为:
所述物联网终端与所述物联网平台在DTLS握手过程中双方互相认定的唯一标识字段。
其中,所述物联网终端的唯一标识为:
所述物联网终端与所述物联网平台在预共享秘钥PSK方式中通信双方在本地存储的对方的身份标志。
所述发送所述物联网终端的唯一标识信息之前,所述处理器还用于运行所述计算机程序时,执行:
基于所述物联网终端与所述物联网平台在DTLS握手过程后的会话秘钥对所述物联网终端的唯一标识的明文进行加密,得到所述对应的密文。
本发明实施例还提供了一种恢复数据包传输层安全性DTLS会话的装置,该装置包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,
其中,所述处理器用于运行所述计算机程序时,执行:
接收物联网终端的唯一标识信息;所述物联网终端的唯一标识信息至少包括:物联网终端的唯一标识的明文和对应的密文;
基于所述物联网终端的唯一标识信息对所述物联网终端进行认证;
确定认证成功后通知所述物联网终端恢复DTLS会话。
所述基于所述物联网终端的唯一标识信息对所述物联网终端进行认证时,所述处理器还用于运行所述计算机程序时,执行:
基于所述物联网终端的唯一标识的明文确定对应的会话秘钥;
基于所述会话秘钥对所述物联网终端的唯一标识的密文进行解密;
确定解密后的信息与所述物联网终端的唯一标识的明文一致,且会话仍然处于有效期内,则认证成功;否则,认证失败。
所述确定认证成功后通知所述物联网终端恢复DTLS会话时,所述处理器还用于运行所述计算机程序时,执行:
确定认证成功后,向所述物联网终端发送会话恢复确认消息通知所述物联网终端恢复DTLS会话。
所述处理器还用于运行所述计算机程序时,执行:
确定认证失败后,向所述物联网终端发送会话恢复确认消息通知所述物联网终端拒绝恢复DTLS会话。
需要说明的是:上述实施例提供的装置在进行DTLS会话恢复时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将设备的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的装置与相应方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
在示例性实施例中,本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器;也可以是包括上述存储器之一或任意组合的各种设备,如移动电话、计算机、平板设备、个人数字助理等。
本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时,执行:
发送所述物联网终端的唯一标识信息,用于物联网平台对所述物联网终端进行认证;
其中,所述物联网终端的唯一标识信息至少包括:物联网终端的唯一标识的明文和对应的密文;
接收所述物联网平台在确定认证成功后发送的恢复DTLS会话的通知。
所述发送所述物联网终端的唯一标识信息时,所述计算机程序被处理器运行时,还执行:
发送会话恢复请求消息;所述会话恢复请求消息携带所述物联网终端的唯一标识信息。
所述接收所述物联网平台在确定认证成功后发送的恢复DTLS会话的通知时,所述计算机程序被处理器运行时,还执行:
接收所述物联网平台在确定认证成功后发送的会话恢复确认消息;所述会话恢复确认消息用于通知物联网终端恢复DTLS会话。
其中,所述物联网终端的唯一标识为:
所述物联网终端与所述物联网平台在DTLS握手过程中双方互相认定的唯一标识字段。
其中,所述物联网终端的唯一标识为:
所述物联网终端与所述物联网平台在预共享秘钥PSK方式中通信双方在本地存储的对方的身份标志。
所述发送所述物联网终端的唯一标识信息之前,所述计算机程序被处理器运行时,还执行:
基于所述物联网终端与所述物联网平台在DTLS握手过程后的会话秘钥对所述物联网终端的唯一标识的明文进行加密,得到所述对应的密文。
本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时,执行:
接收物联网终端的唯一标识信息;所述物联网终端的唯一标识信息至少包括:物联网终端的唯一标识的明文和对应的密文;
基于所述物联网终端的唯一标识信息对所述物联网终端进行认证;
确定认证成功后通知所述物联网终端恢复DTLS会话。
所述基于所述物联网终端的唯一标识信息对所述物联网终端进行认证时,所述计算机程序被处理器运行时,还执行:
基于所述物联网终端的唯一标识的明文确定对应的会话秘钥;
基于所述会话秘钥对所述物联网终端的唯一标识的密文进行解密;
确定解密后的信息与所述物联网终端的唯一标识的明文一致,且会话仍然处于有效期内,则认证成功;否则,认证失败。
所述确定认证成功后通知所述物联网终端恢复DTLS会话时,所述计算机程序被处理器运行时,还执行:
确定认证成功后,向所述物联网终端发送会话恢复确认消息通知所述物联网终端恢复DTLS会话。
所述计算机程序被处理器运行时,还执行:
确定认证失败后,向所述物联网终端发送会话恢复确认消息通知所述物联网终端拒绝恢复DTLS会话。
下面结合场景实施例对本发明进行描述。
当DTLS通道建立后,客户端与服务端之间即可实现安全加密(采用会话秘钥进行加密)的DTLS数据通信。双方使用五元组(源/目的IP地址、源/目的端口号、协议类型)或四元组(源/目的IP地址、源/目的端口号)唯一标识一条DTLS连接。因此Client、Server后续发送报文只需在报文头携带上述五元组或四元组,对方收到报文后就可以根据五元组或四元组快速找到DTLS安全上下文。因此,只要保持IP地址、端口号不变,双方即可在已有DTLS连接通道上直接进行数据通信。
然而,为了降低功耗,很多物联网终端向平台发送数据之后就进入深睡眠状态,处于深睡眠状态的物联网终端平台在相当长时间内没有任何的网络数据交互,导致NAT表中IP地址过期,因此在网络通讯再次发起时需要建立分配新的IP或端口资源,这也就意味着物联网终端在从深睡眠状态下唤醒后重新获取的IP地址及端口号可能发生变化,而服务端的NAT表项仍然记录着终端唤醒之前的地址、端口,新旧地址/端口的不一致会导致平台端拒绝终端的数据并强制关闭这一连接。为了继续进行通信,终端必须再次从头发起完整DTLS协议握手过程以重新建立起与平台端之间的DTLS连接。由于DTLS协议整个会话握手较为复杂,特别是引入非对称加密算法时,需要占用较多的算力及时间,所以重复这一过程会使得物联网终端功耗及流量无端上升,并对网络造成不必要的带宽占用。
因此,本发明实施例提供了一种全新的机制,使得物联网平台端可以存储可标识终端的特征(唯一标识),终端在唤醒后向平台端发送该特征以表明自己的身份,从而使平台端可以识别出终端并进而快速恢复原有DTLS会话,而无需再次握手。
此外,本实施例还需要考虑兼容性的问题,就是要兼容标准的DTLS协议,而不能颠覆性地改变原有的报文格式,这样才能便于物联网平台端既能接入支持本方案的新终端,也能接入那些无法改造升级、只能支持标准DTLS协议的存量物联网终端设备,从而扩大物联网平台的适用范围和应用场景,进一步提高灵活性。这样,既能解决采用DTLS协议的物联网终端设备唤醒后需要重新握手导致功耗过高的问题,并且为后续的标准化工作奠定了基础。
因此,本实施例在DTLS协议的基础上,对原标准DTLS协议过程补充新的交互消息,即会话恢复请求及会话恢复确认两条消息,通过这两条消息的交互,使得物联网平台端可以识别出唤醒后的终端设备,完成会话恢复保持工作。除此之外,本实施例并不改变标准DTLS协议的报文格式,从而可以完全兼容原有协议。
实施例一
如图5所示,本实施例可在DTLS协议握手过程后由唤醒后的物联网设备发起DTLS会话恢复流程。以下对会话恢复请求及会话恢复确认这两条新增消息进行详细说明:
1)会话恢复请求:
会话恢复请求消息由客户端(物联网终端)发向服务平台端(物联网平台),会话恢复请求消息的将携带两项信息,包括:DeviceID、Ticket。
所述DeviceID用于标识在物联网平台登记的客户端唯一标识信息,所述DeviceID可以是终端与平台之间约定的唯一标识。
作为具体的实施例,所述ID可以是PSK(预共享秘钥,PreSharedKey)方式中通信双方在本地存储的对方的psk_id标识(即身份标志);
另一实施例中,所述DeviceID也可以是DTLS握手过程中互认的一个关键唯一标识字段。
所述Ticket是利用DTLS握手过程后的会话密钥对DeviceID采用双方约定的加密方法进行加密后的密文信息。
该消息的格式定义如下:
2)会话恢复确认:
会话恢复确认消息是由服务平台端收到客户端发送会话恢复请求做出认证,确认该请求是由尚在会话有效期内的终端发送后,平台端向设备端发送的确认会话恢复消息,允许恢复会话;若认证失败或原有会话已超过有效期,则发送拒绝消息。
该消息的格式定义如下:
本实施例中,所述会话恢复请求认证方法包括:
步骤1:服务平台接收到客户端发来会话恢复请求所带DeviceID及Ticket信息:
步骤2:基于会话恢复请求消息中DeviceID的互认约定,服务平台侧利用所述约定DeviceID找出相关联的有效的会话密钥信息,利用所述有效的会话密钥对所述Ticket密文信息进行解密;如解密后的信息与所述DeviceID信息一致,并且会话仍然处于有效期内,则可以认定认证成功;否则,认定认证失败。
实施例二
本实施例中,物联网终端可在唤醒后再次尝试重新获取IP地址及端口号,并在确定物联网平台拒绝物联网终端发送的数据后,则表明NAT表中的表项已过期。此时,物联网终端再发起实施例一中所述的DTLS会话恢复流程,此处不在详述。
可见,相对传统的会话保持方法在NAT表项老化的情况下,物联网终端向物联网平台发送的数据包所携带的五元组/四元组可能发生变化,导致物联网平台无法根据数据包携带的五元组/四元组找到准确的DTLS上下文,因此物联网终端需要和IoT平台之间重新协商以建立DTLS会话,本发明实施例中物联网终端的唯一标识信息和五元组/四元组解耦,无论五元组/四元组是否相同,均可通过使用所述唯一标识信息保持DTLS会话,可提升数据传输效率,节省功耗,并提高会话保持的适用性。而且,物联网终端不需再进行DTLS协议握手过程,节省了物联网终端的功耗,且同时降低对网络带宽的占用。
并且,本发明实施例对原有DTLS协议内容不做任何改动,以此保证物联网设备与平台侧在不同版本协议的情况下不会受到任何影响,拥有良好的兼容性。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。

Claims (10)

1.一种恢复数据包传输层安全性DTLS会话的方法,其特征在于,该方法应用于物联网终端,包括:
基于所述物联网终端与物联网平台在DTLS握手过程后的会话秘钥对所述物联网终端的唯一标识的明文进行加密,得到对应的密文;所述物联网终端的唯一标识为:所述物联网终端与所述物联网平台在DTLS握手过程中双方互相认定的唯一标识字段或所述物联网终端与所述物联网平台在预共享秘钥PSK方式中通信双方在本地存储的对方的身份标志;
发送所述物联网终端的唯一标识信息,用于物联网平台对所述物联网终端进行认证;
其中,所述物联网终端的唯一标识信息至少包括:所述物联网终端的唯一标识的明文和对应的密文;
接收所述物联网平台在确定认证成功后发送的恢复DTLS会话的通知。
2.根据权利要求1所述的方法,其特征在于,所述发送所述物联网终端的唯一标识信息,包括:
发送会话恢复请求消息;所述会话恢复请求消息携带所述物联网终端的唯一标识信息。
3.根据权利要求1所述的方法,其特征在于,所述接收所述物联网平台在确定认证成功后发送的恢复DTLS会话的通知,包括:
接收所述物联网平台在确定认证成功后发送的会话恢复确认消息;所述会话恢复确认消息用于通知物联网终端恢复DTLS会话。
4.一种恢复数据包传输层安全性DTLS会话的方法,其特征在于,该方法应用于物联网平台,包括:
接收物联网终端的唯一标识信息;所述物联网终端的唯一标识信息至少包括:物联网终端的唯一标识的明文和对应的密文;所述物联网终端的唯一标识为:所述物联网终端与所述物联网平台在DTLS握手过程中双方互相认定的唯一标识字段或所述物联网终端与所述物联网平台在预共享秘钥PSK方式中通信双方在本地存储的对方的身份标志;
基于所述物联网终端的唯一标识信息对所述物联网终端进行认证;
确定认证成功后通知所述物联网终端恢复DTLS会话;其中,所述基于所述物联网终端的唯一标识信息对所述物联网终端进行认证,包括:
基于所述物联网终端的唯一标识的明文确定对应的会话秘钥;
基于所述会话秘钥对所述物联网终端的唯一标识的密文进行解密;
确定解密后的信息与所述物联网终端的唯一标识的明文一致,且会话仍然处于有效期内,则认证成功;否则,认证失败。
5.根据权利要求4所述的方法,其特征在于,所述确定认证成功后通知所述物联网终端恢复DTLS会话,包括:
确定认证成功后,向所述物联网终端发送会话恢复确认消息通知所述物联网终端恢复DTLS会话。
6.根据权利要求4所述的方法,其特征在于,该方法还包括:
确定认证失败后,向所述物联网终端发送会话恢复确认消息通知所述物联网终端拒绝恢复DTLS会话。
7.一种恢复数据包传输层安全性DTLS会话的装置,其特征在于,该装置应用于物联网终端,包括:
第一发送模块,用于基于所述物联网终端与物联网平台在DTLS握手过程后的会话秘钥对所述物联网终端的唯一标识的明文进行加密,得到对应的密文;还用于发送所述物联网终端的唯一标识信息,用于物联网平台对所述物联网终端进行认证;所述物联网终端的唯一标识为:所述物联网终端与所述物联网平台在DTLS握手过程中双方互相认定的唯一标识字段或所述物联网终端与所述物联网平台在预共享秘钥PSK方式中通信双方在本地存储的对方的身份标志;
其中,所述物联网终端的唯一标识信息至少包括:物联网终端的唯一标识的明文和对应的密文;
第一接收模块,用于接收所述物联网平台在确定认证成功后发送的恢复DTLS会话的通知。
8.一种恢复数据包传输层安全性DTLS会话的装置,其特征在于,该装置应用于物联网平台,包括:
第二接收模块,用于接收物联网终端的唯一标识信息;所述物联网终端的唯一标识信息至少包括:物联网终端的唯一标识的明文和对应的密文;所述物联网终端的唯一标识为:所述物联网终端与所述物联网平台在DTLS握手过程中双方互相认定的唯一标识字段或所述物联网终端与所述物联网平台在预共享秘钥PSK方式中通信双方在本地存储的对方的身份标志;
认证模块,用于基于所述物联网终端的唯一标识信息对所述物联网终端进行认证;具体用于基于所述物联网终端的唯一标识的明文确定对应的会话秘钥;基于所述会话秘钥对所述物联网终端的唯一标识的密文进行解密;确定解密后的信息与所述物联网终端的唯一标识的明文一致,且会话仍然处于有效期内,则认证成功;否则,认证失败;
第二发送模块,用于确定认证成功后通知所述物联网终端恢复DTLS会话。
9.一种恢复数据包传输层安全性DTLS会话的装置,其特征在于,该装置包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,
其中,所述处理器用于运行所述计算机程序时,执行权利要求1-3中任一项所述方法的步骤、或执行权利要求4-6中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1-3中任一项所述方法的步骤、或实现权利要求4-6中任一项所述方法的步骤。
CN202010531454.7A 2020-06-11 2020-06-11 一种恢复dtls会话的方法、装置和计算机可读存储介质 Active CN113810436B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010531454.7A CN113810436B (zh) 2020-06-11 2020-06-11 一种恢复dtls会话的方法、装置和计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010531454.7A CN113810436B (zh) 2020-06-11 2020-06-11 一种恢复dtls会话的方法、装置和计算机可读存储介质

Publications (2)

Publication Number Publication Date
CN113810436A CN113810436A (zh) 2021-12-17
CN113810436B true CN113810436B (zh) 2023-07-21

Family

ID=78943781

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010531454.7A Active CN113810436B (zh) 2020-06-11 2020-06-11 一种恢复dtls会话的方法、装置和计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN113810436B (zh)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103747535B (zh) * 2013-12-10 2017-05-24 福建星网锐捷网络有限公司 一种capwap控制通道的恢复方法、装置及系统
US10708781B2 (en) * 2016-01-27 2020-07-07 Telefonaktiebolaget Lm Ericsson (Publ) Method for setting up a secure connection between LWM2M devices
CN109246172A (zh) * 2017-07-11 2019-01-18 华为技术有限公司 一种恢复会话的方法、装置及计算机存储介质

Also Published As

Publication number Publication date
CN113810436A (zh) 2021-12-17

Similar Documents

Publication Publication Date Title
CN112073379B (zh) 一种基于边缘计算的轻量级物联网安全密钥协商方法
EP1811744B1 (en) Method, system and centre for authenticating in End-to-End communications based on a mobile network
US9467432B2 (en) Method and device for generating local interface key
KR101438243B1 (ko) Sim 기반 인증방법
US8037522B2 (en) Security level establishment under generic bootstrapping architecture
EP3382990B1 (en) User profile, policy and pmip key distribution in a wireless communication network
US8843738B2 (en) TLS abbreviated session identifier protocol
US10708781B2 (en) Method for setting up a secure connection between LWM2M devices
JP2016076940A (ja) 装置に接続された保全素子上のコンテンツの管理方法
US20090100259A1 (en) Management network security framework and its information processing method
US11778460B2 (en) Device and method for authenticating transport layer security communications
CN111638704A (zh) 远程唤醒车辆的方法、系统以及装置
CN101052032B (zh) 一种业务实体认证方法及装置
CN104735037B (zh) 一种网络认证方法、装置及系统
CN112769568A (zh) 雾计算环境中的安全认证通信系统、方法、物联网设备
WO2013189398A2 (zh) 应用数据推送方法、装置及系统
CN113810436B (zh) 一种恢复dtls会话的方法、装置和计算机可读存储介质
KR20060131169A (ko) 통신 시스템에서 인증 수행 시스템 및 방법
CN213938340U (zh) 5g应用接入认证网络架构
CN115150162A (zh) 一种根证书更新方法、装置
CN108650171B (zh) 一种基于点对点通信技术的安全即时通信方法
CN112039838B (zh) 一种适用于移动通信不同应用场景的二次认证方法和系统
CN113115306B (zh) 一种增强LoraWan网络架构安全性的加密方法、系统及存储介质
CN112566106B (zh) 一种基于5g多网多链设备认证方法
EP4109828A1 (en) Method for communicating with a remote dns server

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant