CN114221751B - 一种物联网通信认证方法、系统及计算机设备 - Google Patents
一种物联网通信认证方法、系统及计算机设备 Download PDFInfo
- Publication number
- CN114221751B CN114221751B CN202210094281.6A CN202210094281A CN114221751B CN 114221751 B CN114221751 B CN 114221751B CN 202210094281 A CN202210094281 A CN 202210094281A CN 114221751 B CN114221751 B CN 114221751B
- Authority
- CN
- China
- Prior art keywords
- authentication
- internet
- service
- things terminal
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims abstract description 124
- 238000000034 method Methods 0.000 title claims abstract description 69
- 238000013523 data management Methods 0.000 claims abstract description 62
- 230000004044 response Effects 0.000 claims abstract description 55
- 230000006870 function Effects 0.000 claims description 48
- 238000004846 x-ray emission Methods 0.000 claims description 28
- 230000015654 memory Effects 0.000 claims description 17
- 238000009795 derivation Methods 0.000 claims description 12
- 238000004364 calculation method Methods 0.000 claims description 3
- 230000008569 process Effects 0.000 abstract description 17
- 230000009286 beneficial effect Effects 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 6
- 230000003993 interaction Effects 0.000 description 5
- 238000002441 X-ray diffraction Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种物联网通信认证方法、系统及计算机设备,其中,方法用于物联终端,包括:通过鉴权服务模块向数据管理模块发送服务认证请求包;接收鉴权服务模块返回的鉴权认证响应包,鉴权认证响应包中加载有第二服务认证向量,且第二服务认证向量通过数据管理模块返回的第一服务认证向量计算得到,第一服务认证向量基于物联终端的身份标识生成;根据第二服认证向量,生成第三服务认证向量,并向鉴权服务模块发送第三服务认证向量;接收鉴权服务模块发送的成功认证消息,并向接入网关发送接入认证请求包。本发明最终可以保证安全通信,无需借助CA认证中心发放PKI安全证书,有利于降低通信成本,提高了认证过程的便利性。
Description
技术领域
本发明涉及物联网通信技术领域,具体涉及一种物联网通信认证方法、系统及计算机设备。
背景技术
随着物联网通信技术的快速发展,在带给工作或生活便利的同时,网络应用的多样化所引发的网络信息安全问题也变得不容忽视,跨越访问作为网络应用中的重要组成部分,其所涉及的跨越过程中的身份认证与授权管理问题成为了一个十分具有必要性和挑战性的课题。
相关技术主要是在接入网关与物联终端之间采用基于PKI安全证书的SSL认证方式进行接入认证,在物联终端和接入网络之间建立的加密隧道实现交互通信,但是该方式需要通过CA认证中心发放PKI安全证书并对接入网关以及物联终端的身份信息进行识别,导致通信成本较高,并且影响认证过程的安全性,并且还需要物联终端与接入网关具有支持相应PKI安全证书的功能,导致认证过程相当不便。
发明内容
因此,本发明要解决的技术问题在于克服现有技术在接入网关与物联终端之间采用基于PKI安全证书的SSL认证方式进行接入认证,通信成本较高,并且影响认证过程的安全性,并且还需要物联终端与接入网关具有支持相应PKI安全证书的功能,导致认证过程相当不便,从而提供一种物联网通信认证方法、系统及计算机设备。
根据第一方面,本发明实施例提供一种物联网通信认证方法,用于物联终端,包括如下步骤:
通过鉴权服务模块向数据管理模块发送服务认证请求包,所述服务认证请求包中加载有所述物联终端的身份标识;
接收所述鉴权服务模块返回的鉴权认证响应包,所述鉴权认证响应包中加载有第二服务认证向量,且所述第二服务认证向量通过所述数据管理模块返回的第一服务认证向量计算得到,所述第一服务认证向量基于所述物联终端的身份标识生成;
根据所述第二服认证向量,生成第三服务认证向量,并向所述鉴权服务模块发送第三服务认证向量;
接收所述鉴权服务模块发送的成功认证消息,并向接入网关发送接入认证请求包。
在一种实施方式中,所述第一服务认证向量通过所述数据管理模块与所述物联终端的共享密钥生成。
在一种实施方式中,所述第一服务认证向量表示为(RAND1,AUTN,KAUSF),所述RAND1为通过所述数据管理模块生成的第一随机参数,所述AUTN为通过所述数据管理模块生成的鉴权令牌参数,所述KAUSF通过所述数据管理模块推演出所述物联终端与所述鉴权服务模块之间的第一通信认证密钥。
在一种实施方式中,所述KAUSF=CK||IK,CK为第一加密密钥,IK为第一完整性保护密钥,CK通过所述数据管理模块根据所述第一随机参数、所述共享密钥和加密密钥导出函数推演得到,IK通过所述数据管理模块根据所述第一随机参数、所述共享密钥和完整性密钥导出函数推演得到。
在一种实施方式中,所述第二服务认证向量表示为(RAND1,AUTN,XRES1),所述RAND1为通过所述数据管理模块生成的第一随机参数,所述AUTN为通过所述数据管理模块生成的鉴权令牌参数,所述XRES1通过所述鉴权服务模块根据所述第一随机参数、所述第一加密密钥、所述第一通信认证密钥和所述鉴权令牌参数和物联终端认证函数推演得到的第一预期鉴权响应参数。
在一种实施方式中,根据所述第二服认证向量,生成第三服务认证向量,并向所述鉴权服务模块发送第三服务认证向量,包括:
根据所述第二服务认证向量,推演出所述物联终端与所述鉴权服务模块之间的第二通信认证密钥;
根据所述第一随机参数、所述鉴权令牌参数、所述第二通信认证密钥和物联终端推演函数,推演第一实际鉴权响应参数;
若所述第一实际鉴权响应参数与所述第一预期鉴权响应参数一致,生成第三服务认证向量;
向所述鉴权服务模块发送第三服务认证向量。
在一种实施方式中,所述KAUSF′=CK′||IK′,CK′为第二加密密钥,IK′为第二完整性密钥,CK′通过物联终端根据所述第一随机参数、所述共享密钥和加密密钥导出函数推演得到。
在一种实施方式中,所述第三服务认证向量表示为(RAND2,AUTN,XRES2),所述RAND2为第二随机参数,所述AUTN为所述鉴权令牌参数,所述XRES2通过所述物联终端、所述第二随机参数、所述鉴权令牌参数、所述第二通信认证密钥和物联终端认证函数推演得到的第二预期鉴权响应参数。
在一种实施方式中,所述第一通信认证密钥和所述第二通信认证密钥的密钥内容一致。
根据第二方面,本发明实施例还提供一种物联网通信认证方法,用于鉴权服务模块,包括如下步骤:
接收物联终端发送的服务认证请求包,所述服务认证请求包中加载有所述物联终端的身份标识;
转发所述服务认证请求包至数据管理模块;
接收所述数据管理模块基于所述物联终端的身份标识生成的第一服务认证向量;
根据所述第一服务认证向量生成第二服务认证向量,并向所述物联终端发送所述第二服务认证向量;
接收所述物联终端基于所述第二服务认证向量发送的第三服务认证向量;
根据所述第二服务认证向量和所述第三服务认证向量,向所述物联终端发送成功认证消息。
在一种实施方式中,根据所述第二服务认证向量和所述第三服务认证向量,向所述物联终端发送成功认证消息,包括:
接收所述第三服务认证向量,并推演第二实际鉴权响应参数;
将所述第二实际鉴权响应参数与所述第二服务认证向量中第二预期鉴权响应参数进行比对;
若所述第二实际鉴权响应参数与所述第二预期鉴权响应参数一致,向所述物联终端发送成功认证消息。
在一种实施方式中,所述第二实际鉴权响应参数根据第二随机参数、第一通信认证密钥、鉴权令牌参数和物联终端认证函数推演得到。
根据第三方面,本发明实施例还提供一种物联网通信认证方法,用于接入网关,包括如下步骤:
接收物联终端发送的接入认证请求包,所述接入认证请求包加载有所述物联终端的身份标识;
根据所述所述物联终端的身份标识,向鉴权服务模块发送认证状态查询请求包,所述认证状态查询请求包加载有所述物联终端的身份标识;
接收所述鉴权服务模块根据所述物联终端的身份标识查询所述物联终端的当前认证状态;
将所述当前认证状态发送至所述物联终端。
在一种实施方式中,所述当前认证状态包括:成功认证状态或失败认证状态。
在一种实施方式中,所述成功认证状态包括通过所述鉴权服务模块查询到所述物联终端的身份标识和第三加密密钥。
在一种实施方式中,所述第三加密密钥通过所述物联终端根据所述物联终端的身份标识、接入网关的身份标识、第二通信认证密钥和散列函数推演得到。
在一种实施方式中,第三加密密钥和所述物联终端推演得到的第四加密密钥的密钥内容一致。
在一种实施方式中,所述第四加密密钥通过鉴权服务模块根据所述物联终端的身份标识、接入网关的身份标识、第一通信认证密钥和散列函数推演得到。
根据第四方面,本发明实施例还提供一种物联网通信认证系统,包括:
物联终端,用于执行第一方面或第一方面任一实施方式中所述的物联网通信认证方法;
鉴权服务模块,与所述物联终端通信连接,用于执行第二方面或第二方面任一实施方式中所述的物联网通信认证方法;
数据管理模块,与所述物联终端和所述鉴权服务模块通信连接,且与所述鉴权服务模块集成设置在5G核心网的服务器中;
接入网关,与所述物联终端、所述鉴权服务模块和所述数据管理模块通信连接,用于执行第四方面或第三方面任一实施方式中所述的物联网通信认证方法。
根据第五方面,本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行第一方面或第二方面或第三方面任一实施方式中所述的物联网通信认证方法。
根据第六方面,本发明实施例还提供一种计算机设备,包括:存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行第一方面或第二方面或第三方面任一实施方式所述的物联网通信认证方法。
本发明技术方案,具有如下优点:
本发明公开一种物联网通信认证方法、系统及计算机设备,其中,方法用于物联终端,包括:通过鉴权服务模块向数据管理模块发送服务认证请求包,服务认证请求包中加载有物联终端的身份标识;接收鉴权服务模块返回的鉴权认证响应包,鉴权认证响应包中加载有第二服务认证向量,且第二服务认证向量通过数据管理模块返回的第一服务认证向量计算得到,第一服务认证向量基于物联终端的身份标识生成;根据第二服认证向量,生成第三服务认证向量,并向鉴权服务模块发送第三服务认证向量;接收鉴权服务模块发送的成功认证消息,并向接入网关发送接入认证请求包。本发明最终可以保证安全通信,无需借助CA认证中心发放PKI安全证书,有利于降低通信成本,提高了认证过程的便利性。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中物联网通信认证方法的一个具体示例的流程图;
图2为本发明实施例中物联网通信认证方法的另一个具体示例的流程图;
图3为本发明实施例中物联网通信认证方法的另一个具体示例的流程图;
图4为本发明实施例中物联网通信认证方法的另一个具体示例的流程图;
图5为本发明实施例中物联网通信认证方法的一认证交互示意图;
图6为本发明实施例中物联网通信认证方法的另一个具体示例的流程图;
图7为本发明实施例中物联网通信认证方法的另一认证交互示意图;
图8为本发明实施例中物联网通信认证系统的结构示意图;
图9为本发明实施例中计算机设备的硬件示意图。
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,还可以是两个元件内部的连通,可以是无线连接,也可以是有线连接。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
此外,下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
实施例1
本发明实施例提供一种物联网通信认证方法,用于物联终端,该物联终端为用户终端,可以用UE表示,如图1所示,包括如下步骤:
步骤S11:通过鉴权服务模块向数据管理模块发送服务认证请求包,服务认证请求包中加载有物联终端的身份标识。
此处的鉴权服务模块属于5G核心网服务器中的模块,用于鉴权服务认证,该鉴权服务模块可以用AUSF表示。此处的数据管理模块也属于5G核心网服务器中的模块,用于统一管理数据,该数据管理模块可以用UDM表示。
如图5所示,物联终端向鉴权服务模块发送服务认证请求包,该鉴权服务模块转发该服务认证请求包至数据管理模块,该服务认证请求包中加载有物联终端的身份标识,UE_ID。
步骤S12:接收鉴权服务模块返回的鉴权认证响应包,鉴权认证响应包中加载有第二服务认证向量,且第二服务认证向量通过数据管理模块返回的第一服务认证向量计算得到,第一服务认证向量基于物联终端的身份标识生成。
第一服务认证向量可以用AV1表示,第二服务认证向量可以用AV2表示。AV2是AUSF基于AV1进一步计算得到,AV1是UDM基于UE_ID进一步生成得到。在图5中,清楚表达了第一服务认证向量和第二服务认证向量的传输过程。
在一种实施方式中,第一服务认证向量通过数据管理模块与物联终端的共享密钥生成。该共享密钥可以用K1表示。
在一种实施方式中,第一服务认证向量表示为(RAND1,AUTN,KAUSF),RAND1为通过数据管理模块生成的第一随机参数,AUTN为通过数据管理模块生成的鉴权令牌参数,KAUSF通过数据管理模块推演出物联终端与鉴权服务模块之间的第一通信认证密钥。即AV1可以表示为(RAND1,AUTN,KAUSF)。
在另一种具体地实施方式中,KAUSF=CK||IK,CK为第一加密密钥,IK为第一完整性保护密钥,CK通过数据管理模块根据第一随机参数、共享密钥和加密密钥导出函数推演得到,IK通过数据管理模块根据第一随机参数、共享密钥和完整性密钥导出函数推演得到。该加密密钥导出函数可以用f3表示,该完整性密钥导出函数可以用f4表示。f3和f4遵循3GPP33102,3GPP35206标准得到。在本实施例中,第一加密密钥CK由UDM根据RAND1、共享密钥K1和推演函数f3推演得到;第一完整性保护密钥IK由UDM根据RAND1、共享密钥K1和推演函数f4推演得到。
在一种实施方式中,第二服务认证向量表示为(RAND1,AUTN,XRES1),RAND1为通过数据管理模块生成的第一随机参数,AUTN为通过数据管理模块生成的鉴权令牌参数,XRES1通过鉴权服务模块根据第一随机参数、第一加密密钥、第一通信认证密钥和鉴权令牌参数和物联终端认证函数推演得到的第一预期鉴权响应参数。即AV2表示为(RAND1,AUTN,XRES1),物联终端认证函数可以用f2表示,f2遵循TS33.102,TS35.206标准。在本实施例中,XRES1由AUSF根据RAND1、KAUSF,AUTN和推演函数f2推演得到。
步骤S13:根据第二服认证向量,生成第三服务认证向量,并向鉴权服务模块发送第三服务认证向量。
此处,第三服务认证向量可以用AV3表示,AV3基于AV2生成,UE并将该AV3发送给AUSF。
在一种实施方式中,如图2所示,上述步骤S13,物联网通信认证方法,根据第二服认证向量,生成第三服务认证向量,并向鉴权服务模块发送第三服务认证向量,包括:
步骤S21:根据第二服务认证向量,推演出物联终端与鉴权服务模块之间的第二通信认证密钥。
例如:第二服务认证向量AV2为(RAND1,AUTN,XRES1),第二通信认证密钥可以用K′AUSF表示。
在一种实施方式中,KAUSF′=CK′||IK′,CK′为第二加密密钥,IK′为第二完整性密钥,CK′通过物联终端根据第一随机参数、共享密钥和加密密钥导出函数推演得到。其中,加密密钥导出函数为f3,即CK′根据RAND1、K1和推演函数f3推演得到。
步骤S22:根据第一随机参数、鉴权令牌参数、第二通信认证密钥和物联终端推演函数,推演第一实际鉴权响应参数。
此处,第一实际鉴权响应参数可以用HRES1表示,物联终端推演函数为f2。即HRES1根据RAND1、AUTN、K′AUSF和推演函数f2推演得到。
步骤S23:若第一实际鉴权响应参数与第一预期鉴权响应参数一致,生成第三服务认证向量。
第一实际鉴权响应参数为HRES1,第一预期鉴权响应参数为XRES1。例如:HRES1与XRES1的参数内容一致,生成第三服务认证向量AV3。
在一种实施方式中,第三服务认证向量表示为(RAND2,AUTN,XRES2),RAND2为第二随机参数,AUTN为鉴权令牌参数,XRES2通过物联终端、第二随机参数、鉴权令牌参数、第二通信认证密钥和物联终端认证函数推演得到的第二预期鉴权响应参数。即AV3为(RAND2,AUTN,XRES2)。XRES2是由物联终端根据RAND2,K′AUSF,AUTN和推演函数f2推演得到的第二预期鉴权响应参数。
步骤S24:向鉴权服务模块发送第三服务认证向量。
在图5中,若HRES1与XRES1的参数内容一致,生成AV3,UE将该AV3发送给鉴权服务模块AUSF。
步骤S14:接收鉴权服务模块发送的成功认证消息,并向接入网关发送接入认证请求包。
在图5中,鉴权服务模块接收第三服务认证向量,成功认证后,将success消息发送给物联终端,此时,物联终端向接入网关发送接入认证请求包。
在一种实施方式中,第一通信认证密钥和第二通信认证密钥的密钥内容一致。即KAUSF与K′AUSF的密钥内容一致。本发明实施例主要实现物联终端与5G核心网的鉴权服务模块之间的通信认证,在认证过程中,通过识别AV1、AV2以及AV3,进一步保证安全通信,无需借助CA认证中心发放PKI安全证书,有利于降低通信成本,提高了认证过程的便利性,并且在成功认证的过程中,保证了物联终端的存储的K′AUSF与数据管理模块存储的KAUSF的密钥内容一致。
实施例2
本发明实施例还提供一种物联网通信认证方法,用于鉴权服务模块,该鉴权服务模块属于5G核心网服务器中的模块,可以用AUSF表示,如图3所示,包括如下步骤:
步骤31:接收物联终端发送的服务认证请求包,服务认证请求包中加载有物联终端的身份标识。
在图5中,鉴权服务模块接收物联终端发送的服务认证请求包,在服务认证请求包中加载有UE_ID。
步骤32:转发服务认证请求包至数据管理模块。
在5中,鉴权服务模块将所接收的服务认证请求包转发至数据管理模块进行认证识别。
步骤33:接收数据管理模块基于物联终端的身份标识生成的第一服务认证向量。
第一服务认证向量可以用AV1表示,AV1是UDM基于UE_ID生成。
步骤34:根据第一服务认证向量生成第二服务认证向量,并向物联终端发送第二服务认证向量。
第二服务认证向量可以用AV2表示,该AV2是AUSF生成得到。在上述有所提及,AV2是AUSF基于AV1进一步计算得到,AV1是UDM基于UE_ID进一步生成得到。
步骤35:接收物联终端基于第二服务认证向量发送的第三服务认证向量。
第三服务认证向量可以用AV3表示,该AV3是物联终端基于AV2生成。在图5中,AUSF接收物联终端生成的AV3。
步骤36:根据第二服务认证向量和第三服务认证向量,向物联终端发送成功认证消息。
在一种实施方式中,如图4所示,上述步骤S36,根据第二服务认证向量和第三服务认证向量,向物联终端发送成功认证消息,包括:
步骤S41:接收第三服务认证向量,并推演第二实际鉴权响应参数。
此处,第二实际鉴权响应参数可以用HRES2表示。AV3为(RAND2,AUTN,XRES2)。
在一种实施方式中,第二实际鉴权响应参数根据第二随机参数、第一通信认证密钥、鉴权令牌参数和物联终端认证函数推演得到。即HRES2是由AUSF根据RAND2,KAUSF,AUTN和推演函数f2推演得到。
步骤S42:将第二实际鉴权响应参数与第二服务认证向量中第二预期鉴权响应参数进行比对。
第二实际鉴权响应参数可以用HRES2表示,第二预期鉴权响应参数可以用XRES2表示。
将HRES2与XRES2进行比对。
步骤S43:若第二实际鉴权响应参数与第二预期鉴权响应参数一致,向物联终端发送成功认证消息。
若HRES2与XRES2的参数内容一致,在图5中,可以看出,AUSF向物联终端发送Success消息。该success消息意味着物联终端的存储的K′AUSF与数据管理模块存储的KAUSF的密钥内容一致。
同理,本发明实施例主要实现物联终端与5G核心网的鉴权服务模块之间的通信认证,在认证过程中,通过识别AV1、AV2以及AV3,进一步保证安全通信,无需借助CA认证中心发放PKI安全证书,有利于降低通信成本,提高了认证过程的便利性。
如图5所示,为本发明实施例中的接入网关、物联终端与鉴权服务模块以及数据管理模块之间的交互示意图。
实施例3
本发明实施例还提供一种物联网通信认证方法,用于接入网关,如图6所示,包括如下步骤:
步骤S61:接收物联终端发送的接入认证请求包,接入认证请求包加载有物联终端的身份标识。
接入认证请求包中也加载有UE_ID。在图7中,可以清楚获知物联终端与接入网关之间的通信交互过程。
步骤S62:根据物联终端的身份标识,向鉴权服务模块发送认证状态查询请求包,认证状态查询请求包加载有物联终端的身份标识。
步骤S63:接收鉴权服务模块根据物联终端的身份标识查询物联终端的当前认证状态。
步骤S64:将当前认证状态发送至物联终端。
如图7所示,为本发明实施例中的接入网关、物联终端以及与鉴权服务模块之间的通过交互示意图。
在一种实施方式中,本发明实施例中的物联网通信认证方法,当前认证状态包括:成功认证状态或失败认证状态。
在一种实施方式中,成功认证状态包括通过鉴权服务模块查询到物联终端的身份标识和第三加密密钥。
此处,第三加密密钥可以用K′GU表示,该K′GU是由鉴权服务模块AUSF推演而来。
在一种实施方式中,第三加密密钥通过物联终端根据物联终端的身份标识、接入网关的身份标识、第二通信认证密钥和散列函数推演得到。即K′GU=f5(UE_ID||G_ID||K′AUSF)。
此处的散列函数可以用f5表示,接入网关的身份标识可以用G_ID表示,物联终端的身份标识可以用UE_ID表示,第二通信认证密钥也可以用K′AUSF表示。即K′GU通过物联终端根据UE_ID、G_ID、K′AUSF、散列函数f5推演得到。即KGU=f5(UE_ID||G_ID||KAUSF)。
在一种实施方式中,第四加密密钥通过鉴权服务模块根据物联终端的身份标识、接入网关的身份标识、第一通信认证密钥和散列函数推演得到。此处,第四加密密钥可以用KGU表示,接入网关的身份标识可以用G_ID表示,物联终端的身份标识可以用UE_ID表示,第一通信认证密钥也可以用KAUSF表示,散列函数可以f5表示,该散列函数可以是SM3或SHA256。
在一种实施方式中,第三加密密钥和物联终端推演得到的第四加密密钥的密钥内容一致。即K′GU与KGU的加密内容一致。
本发明实施例中的物联网通信认证方法,主要实现物联终端与接入网关之间的接入认证,在认证过程中,通过接入认证请求包,通过鉴权服务模块根据物联终端的身份标识查询物联终端的当前认证状态,并将该成功认证状态或失败认证状态的当前认证状态发送给物联终端,在成功认证状态中保证K′GU与KGU的加密内容一致,最终保证安全通信,无需借助CA认证中心发放PKI安全证书,有利于降低通信成本,提高了认证过程的便利性。
实施例4
本发明实施例还提供一种物联网通信认证系统,如图8所示,包括:
物联终端800,用于执行实施例1中的物联网通信认证方法;
鉴权服务模块81,与物联终端800通信连接,用于执行实施例2中的物联网通信认证方法;
数据管理模块82,与物联终端800和鉴权服务模块81通信连接,且与鉴权服务模块81集成设置在5G核心网的服务器801中;
接入网关802,与物联终端800、鉴权服务模块81和数据管理模块82通信连接,用于执行实施例3中的物联网通信认证方法。
本发明实施例中的物联网通信认证系统,可以实现物联终端、接入网关、5G核心网的服务器中的鉴权服务模块、数据管理模块之间的通信认证,并且,在通信认证的过程中,可以保证安全通信,无需借助CA认证中心发放PKI安全证书,有利于降低通信成本,提高了认证过程的便利性。
实施例5
本发明实施例还提供了一种计算机设备,如图9所示,该计算机设备可以包括处理器91、存储器92,其中处理器91、存储器92可以通过总线或者其他方式连接,图9中以通过总线连接为例。
处理器91可以为中央处理器(Central Processing Unit,CPU)。处理器91还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器92作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块。处理器91通过运行存储在存储器92中的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现上述实施例中的物联网通信认证方法。
存储器92可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储处理器91所创建的数据等。此外,存储器92可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器92可选包括相对于处理器91远程设置的存储器,这些远程存储器可以通过网络连接至处理器91。上述网络的实例包括但不限于电网、互联网、企业内部网、局域网、移动通信网及其组合。
所述一个或者多个模块存储在所述存储器92中,当被所述处理器91执行时,执行附图所示实施例中的物联网通信认证方法。
上述计算机设备具体细节可以对应参阅附图所示的实施例中对应的相关描述和效果进行理解,此处不再赘述。
本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random AccessMemory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;所述存储介质还可以包括上述种类的存储器的组合。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。
Claims (13)
1.一种物联网通信认证方法,用于物联终端,其特征在于,包括如下步骤:
通过鉴权服务模块向数据管理模块发送服务认证请求包,所述服务认证请求包中加载有所述物联终端的身份标识;
接收所述鉴权服务模块返回的鉴权认证响应包,所述鉴权认证响应包中加载有第二服务认证向量,且所述第二服务认证向量通过所述数据管理模块返回的第一服务认证向量计算得到,所述第一服务认证向量基于所述物联终端的身份标识生成;
根据所述第二服认证向量,生成第三服务认证向量,并向所述鉴权服务模块发送第三服务认证向量;
接收所述鉴权服务模块发送的成功认证消息,并向接入网关发送接入认证请求包;
所述第一服务认证向量通过所述数据管理模块与所述物联终端的共享密钥生成;
所述第一服务认证向量表示为(RAND1,AUTN,KAUSF),所述RAND1为通过所述数据管理模块生成的第一随机参数,所述AUTN为通过所述数据管理模块生成的鉴权令牌参数,所述KAUSF通过所述数据管理模块推演出所述物联终端与所述鉴权服务模块之间的第一通信认证密钥;
所述第二服务认证向量表示为(RAND1,AUTN,XRES1),所述RAND1为通过所述数据管理模块生成的第一随机参数,所述AUTN为通过所述数据管理模块生成的鉴权令牌参数,所述XRES1通过所述鉴权服务模块根据所述第一随机参数、第一加密密钥、所述第一通信认证密钥和所述鉴权令牌参数和物联终端认证函数推演得到的第一预期鉴权响应参数;
根据所述第二服认证向量,生成第三服务认证向量,并向所述鉴权服务模块发送第三服务认证向量,包括:
根据所述第二服务认证向量,推演出所述物联终端与所述鉴权服务模块之间的第二通信认证密钥;
根据所述第一随机参数、所述鉴权令牌参数、所述第二通信认证密钥和物联终端推演函数,推演第一实际鉴权响应参数;
若所述第一实际鉴权响应参数与所述第一预期鉴权响应参数一致,生成第三服务认证向量;
向所述鉴权服务模块发送第三服务认证向量;
所述第三服务认证向量表示为(RAND2,AUTN,XRES2),所述RAND2为第二随机参数,所述AUTN为所述鉴权令牌参数,所述XRES2通过所述物联终端、所述第二随机参数、所述鉴权令牌参数、所述第二通信认证密钥和物联终端认证函数推演得到的第二预期鉴权响应参数。
2.根据权利要求1所述的物联网通信认证方法,其特征在于,所述KAUSF=CK‖IK,CK为第一加密密钥,IK为第一完整性保护密钥,CK通过所述数据管理模块根据所述第一随机参数、所述共享密钥和加密密钥导出函数推演得到,IK通过所述数据管理模块根据所述第一随机参数、所述共享密钥和完整性密钥导出函数推演得到。
3.根据权利要求1所述的物联网通信认证方法,其特征在于,KAUSF′=CK′‖IK′,CK′为第二加密密钥,KAUSF′为所述第二通信认证密钥,IK′为第二完整性密钥,CK′通过物联终端根据所述第一随机参数、所述共享密钥和加密密钥导出函数推演得到。
4.根据权利要求1所述的物联网通信认证方法,其特征在于,所述第一通信认证密钥和所述第二通信认证密钥的密钥内容一致。
5.一种物联网通信认证方法,用于鉴权服务模块,其特征在于,包括如下步骤:
接收物联终端发送的服务认证请求包,所述服务认证请求包中加载有所述物联终端的身份标识;
转发所述服务认证请求包至数据管理模块;
接收所述数据管理模块基于所述物联终端的身份标识生成的第一服务认证向量;
根据所述第一服务认证向量生成第二服务认证向量,并向所述物联终端发送所述第二服务认证向量;
接收所述物联终端基于所述第二服务认证向量发送的第三服务认证向量;
根据所述第二服务认证向量和所述第三服务认证向量,向所述物联终端发送成功认证消息;所述第一服务认证向量通过所述数据管理模块与所述物联终端的共享密钥生成;
所述第一服务认证向量表示为(RAND1,AUTN,KAUSF),所述RAND1为通过所述数据管理模块生成的第一随机参数,所述AUTN为通过所述数据管理模块生成的鉴权令牌参数,所述KAUSF通过所述数据管理模块推演出所述物联终端与所述鉴权服务模块之间的第一通信认证密钥;
所述第二服务认证向量表示为(RAND1,AUTN,XRES1),所述RAND1为通过所述数据管理模块生成的第一随机参数,所述AUTN为通过所述数据管理模块生成的鉴权令牌参数,所述XRES1通过所述鉴权服务模块根据所述第一随机参数、第一加密密钥、所述第一通信认证密钥和所述鉴权令牌参数和物联终端认证函数推演得到的第一预期鉴权响应参数;
根据所述第二服认证向量,生成第三服务认证向量,并向所述鉴权服务模块发送第三服务认证向量,包括:
根据所述第二服务认证向量,推演出所述物联终端与所述鉴权服务模块之间的第二通信认证密钥;
根据所述第一随机参数、所述鉴权令牌参数、所述第二通信认证密钥和物联终端推演函数,推演第一实际鉴权响应参数;
若所述第一实际鉴权响应参数与所述第一预期鉴权响应参数一致,生成第三服务认证向量;
向所述鉴权服务模块发送第三服务认证向量;
所述第三服务认证向量表示为(RAND2,AUTN,XRES2),所述RAND2为第二随机参数,所述AUTN为所述鉴权令牌参数,所述XRES2通过所述物联终端、所述第二随机参数、所述鉴权令牌参数、所述第二通信认证密钥和物联终端认证函数推演得到的第二预期鉴权响应参数。
6.根据权利要求5所述的物联网通信认证方法,其特征在于,根据所述第二服务认证向量和所述第三服务认证向量,向所述物联终端发送成功认证消息,包括:
接收所述第三服务认证向量,并推演第二实际鉴权响应参数;
将所述第二实际鉴权响应参数与所述第二服务认证向量中第二预期鉴权响应参数进行比对;
若所述第二实际鉴权响应参数与所述第二预期鉴权响应参数一致,向所述物联终端发送成功认证消息。
7.根据权利要求6所述的物联网通信认证方法,其特征在于,所述第二实际鉴权响应参数根据第二随机参数、第一通信认证密钥、鉴权令牌参数和物联终端认证函数推演得到。
8.一种物联网通信认证方法,其特征在于,用于接入网关,包括如下步骤:
接收物联终端发送的接入认证请求包,所述接入认证请求包加载有所述物联终端的身份标识;
根据所述物联终端的身份标识,向鉴权服务模块发送认证状态查询请求包,所述认证状态查询请求包加载有所述物联终端的身份标识;
接收所述鉴权服务模块根据所述物联终端的身份标识查询所述物联终端的当前认证状态;
将所述当前认证状态发送至所述物联终端;
所述当前认证状态包括:成功认证状态或失败认证状态;
所述成功认证状态包括通过所述鉴权服务模块查询到所述物联终端的身份标识和第三加密密钥;
所述第三加密密钥通过所述物联终端根据所述物联终端的身份标识、接入网关的身份标识、第二通信认证密钥和散列函数推演得到。
9.根据权利要求8所述的物联网通信认证方法,其特征在于,第三加密密钥和所述物联终端推演得到的第四加密密钥的密钥内容一致。
10.根据权利要求9所述的物联网通信认证方法,其特征在于,所述第四加密密钥通过鉴权服务模块根据所述物联终端的身份标识、接入网关的身份标识、第一通信认证密钥和散列函数推演得到。
11.一种物联网通信认证系统,其特征在于,包括:
物联终端,用于执行权利要求1至4任一项所述的物联网通信认证方法;
鉴权服务模块,与所述物联终端通信连接,用于执行权利5至7任一项所述的物联网通信认证方法;
数据管理模块,与所述物联终端和所述鉴权服务模块通信连接,且与所述鉴权服务模块集成设置在5G核心网的服务器中;
接入网关,与所述物联终端、所述鉴权服务模块和所述数据管理模块通信连接,用于执行8至10任一项所述的物联网通信认证方法。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行权利要求1至10中任一项所述的物联网通信认证方法。
13.一种计算机设备,其特征在于,包括:存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行权利要求1至10中任一项所述的物联网通信认证方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210094281.6A CN114221751B (zh) | 2022-01-26 | 2022-01-26 | 一种物联网通信认证方法、系统及计算机设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210094281.6A CN114221751B (zh) | 2022-01-26 | 2022-01-26 | 一种物联网通信认证方法、系统及计算机设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114221751A CN114221751A (zh) | 2022-03-22 |
CN114221751B true CN114221751B (zh) | 2024-03-29 |
Family
ID=80708769
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210094281.6A Active CN114221751B (zh) | 2022-01-26 | 2022-01-26 | 一种物联网通信认证方法、系统及计算机设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114221751B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117061164A (zh) * | 2023-08-09 | 2023-11-14 | 杰创智能科技股份有限公司 | 物联网系统接入安全处理方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020093864A1 (zh) * | 2018-11-05 | 2020-05-14 | 华为技术有限公司 | 一种密钥协商的方法、相关装置及系统 |
WO2020199700A1 (zh) * | 2019-03-29 | 2020-10-08 | 华为技术有限公司 | 一种鉴权方法及通信装置 |
CN111953705A (zh) * | 2020-08-20 | 2020-11-17 | 全球能源互联网研究院有限公司 | 物联网身份认证方法、装置及电力物联网身份认证系统 |
CN112672345A (zh) * | 2019-09-30 | 2021-04-16 | 华为技术有限公司 | 通信认证方法和相关设备 |
-
2022
- 2022-01-26 CN CN202210094281.6A patent/CN114221751B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020093864A1 (zh) * | 2018-11-05 | 2020-05-14 | 华为技术有限公司 | 一种密钥协商的方法、相关装置及系统 |
WO2020199700A1 (zh) * | 2019-03-29 | 2020-10-08 | 华为技术有限公司 | 一种鉴权方法及通信装置 |
CN111757311A (zh) * | 2019-03-29 | 2020-10-09 | 华为技术有限公司 | 一种鉴权方法及通信装置 |
CN112672345A (zh) * | 2019-09-30 | 2021-04-16 | 华为技术有限公司 | 通信认证方法和相关设备 |
CN111953705A (zh) * | 2020-08-20 | 2020-11-17 | 全球能源互联网研究院有限公司 | 物联网身份认证方法、装置及电力物联网身份认证系统 |
Also Published As
Publication number | Publication date |
---|---|
CN114221751A (zh) | 2022-03-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111953705B (zh) | 物联网身份认证方法、装置及电力物联网身份认证系统 | |
WO2017028593A1 (zh) | 网络接入设备接入无线网络接入点的方法、网络接入设备、应用程序服务器和非易失性计算机可读存储介质 | |
US20150188704A1 (en) | Data communication method and data communication apparatus | |
US20090240941A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
CN104661219B (zh) | 一种无线设备的通讯方法、无线设备和服务器 | |
TW201706900A (zh) | 終端的認證處理、認證方法及裝置、系統 | |
CN103763356A (zh) | 一种安全套接层连接的建立方法、装置及系统 | |
CN105471974A (zh) | 实现远程控制的智能设备、终端设备及方法 | |
CN103166931A (zh) | 一种安全传输数据方法,装置和系统 | |
WO2022100356A1 (zh) | 身份认证系统、方法、装置、设备及计算机可读存储介质 | |
CN111181723B (zh) | 物联网设备间离线安全认证的方法和装置 | |
CN105141645A (zh) | 终端设备的登录方法、终端设备和云端服务器 | |
US20180069836A1 (en) | Tiered attestation for resource-limited devices | |
WO2018120217A1 (zh) | 验证密钥请求方的方法和设备 | |
US10671717B2 (en) | Communication device, communication method and computer program | |
CN114221751B (zh) | 一种物联网通信认证方法、系统及计算机设备 | |
CN111163470A (zh) | 核心网网元通信方法、装置、计算机存储介质和电子设备 | |
CN111092878B (zh) | 中间人劫持的测试方法、装置、设备及可读存储介质 | |
CN114070579A (zh) | 一种基于量子密钥的工控业务鉴权认证方法和系统 | |
CN112182551A (zh) | Plc设备身份认证系统和plc设备身份认证方法 | |
CN114500064B (zh) | 一种通信安全验证方法、装置、存储介质及电子设备 | |
CN112019552B (zh) | 一种物联网安全通信方法 | |
WO2022041151A1 (zh) | 设备验证方法、设备和云端 | |
CN114945171B (zh) | 一种终端二次认证方法、设备及系统 | |
CN113965425A (zh) | 物联网设备的接入方法、装置、设备及计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |