CN114710348B - 用户使用家庭智能设备的授权认证与密钥协商方法 - Google Patents
用户使用家庭智能设备的授权认证与密钥协商方法 Download PDFInfo
- Publication number
- CN114710348B CN114710348B CN202210335248.8A CN202210335248A CN114710348B CN 114710348 B CN114710348 B CN 114710348B CN 202210335248 A CN202210335248 A CN 202210335248A CN 114710348 B CN114710348 B CN 114710348B
- Authority
- CN
- China
- Prior art keywords
- hash value
- home
- random number
- user
- generate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
- H04L12/283—Processing of data at an internetworking point of a home automation network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3278—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response using physically unclonable functions [PUF]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Automation & Control Theory (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Telephonic Communication Services (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种用户使用家庭智能设备的授权认证与密钥协商方法,所述方法包括:S1、所述智能家居中家庭主人设备绑定家庭网关;S2、所述智能家居中家庭智能设备向所述家庭网关进行注册;S3、所述家庭主人对家庭用户进行授权,并将授权信息向所述家庭网关备案;S4、所述家庭网关对家庭用户所能使用的家庭智能设备进行认证与密钥协商。本发明实施例能够解决一个智能家庭中不同类型的用户应该被授予不同家庭智能设备访问权限的问题,并且,本发明实施例在家庭智能设备中嵌入了一个物理不可克隆函数,提高了家庭网络临时会话密钥的安全性。
Description
技术领域
本发明涉及信息安全技术领域,特别是涉及一种用户使用家庭智能设备的授权认证与密钥协商方法、计算设备、可存储介质。
背景技术
当今智能家居发展迅猛,吸引了全社会各方面的关注。人们通过控制部署在家中的智能设备,例如监控摄像头、扫地机器人以及温度控制器等,给自己的生活带来了极大的舒适性,有效降低了生活的运营成本。
在一个智慧家庭中,通常会部署大量的家庭智能设备。这些家庭智能设备可能会被家庭中不同的类型用户共同使用。例如,成人和小孩都可能使用家中智能烤箱等相对危险系数较高的电气设备,这就可能因为操作不当给该智能家庭带来财产安全甚至生命健康的威胁。同时,这些家庭智能设备中有的可能包含用户的个人隐私,该用户的个人隐私可能会被其他使用该家庭智能设备的用户获取。例如维修人员或家政保姆可能会访问家庭网络中某些智能设备上敏感的信息,这将给用户的个人隐私安全造成了威胁。因此,如何对不同身份的用户进行身份认证及授权管理还有待深入研究。
为了解决上述问题,目前提出的方案有基于角色、基于属性和基于能力等授权管理方法。但这些方案为了保证安全性,使用了复杂的安全算法,而对于计算、存储能力都受限的家庭智能设备,并不适合使用这些复杂的安全协议。因此,如何在保证认证效率与认证安全的前提下,对不同类型的用户授予不同的访问权限亟待研究。同时,考虑到智能家庭网络会话密钥的安全性,如何解决家庭智能设备被物理捕获攻击也亟待社会各界的深入研究。
发明内容
有鉴于此,本发明实施例提供一种智能家居中用户使用智能家庭设备授权访问认证与密钥协商方法,有效地解决智能家庭中不同类型的用户被授予不同的家庭智能设备访问权限的问题,以及家庭智能设备被物理捕获攻击的问题。
为实现上述发明目的,本发明实施例提供一种用户使用家庭智能设备的授权认证与密钥协商方法,所述方法包括:
S1、所述智能家居中家庭主人设备绑定家庭网关;
S2、所述智能家居中家庭智能设备向所述家庭网关进行注册;
S3、所述家庭主人对家庭用户进行授权,并将授权信息向所述家庭网关备案;
S4、所述家庭网关对家庭用户所能使用的家庭智能设备进行认证与密钥协商。
第二方面,本发明实施例还提供了一种计算设备,所述计算设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如前所述的用户使用家庭智能设备的授权认证与密钥协商方法。
第三方面,本发明实施例还提供了一种计算机可读存储介质,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如前所述的用户使用家庭智能设备的授权认证与密钥协商方法
本发明实施例的智能家庭包括家庭主人、家庭用户、家庭网关、家庭智能设备:所述家庭主人是指给不同类型的家庭用户授予不同家庭智能设备访问权限的实体,并且一个家庭中只有一个家庭主人;所述家庭用户是指需要与家庭智能设备通信的实体;所述家庭网关是指帮助家庭用户与家庭智能设备建立起临时会话密钥的实体,并且家庭网关绑定一名家庭主人,一个家庭中只有一个家庭网关;所述家庭智能设备是指需要与家庭用户通信的实体。本发明实施例能够解决一个智能家庭中不同类型的用户应该被授予不同家庭智能设备访问权限的问题,并且,本发明实施例在家庭智能设备中嵌入了一个物理不可克隆函数,提高了家庭网络临时会话密钥的安全性。
附图说明
下面将结合附图说明对本发明的具体实施方式进行举例说明。
图1为本发明实施例家庭主人绑定家庭网关流程图;
图2为本发明实施例家庭智能设备注册流程图;
图3为本发明实施例用户授权程图;
图4为本发明实施例用户认证与密钥协商流程图;
图5为本发明实施例用于用户认证与密钥协商的计算设备结构图。
具体实施方式
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对照附图说明本发明的具体实施方式。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图,并获得其他的实施方式。为使图面简洁,各图中的只示意性地表示出了与本发明相关的部分,它们并不代表其作为产品的实际结构。
为了解决本发明实施例的技术问题,本发明实施例提供了以下技术方案:
一种用户使用家庭智能设备的授权认证与密钥协商方法,包括以下步骤:
S1、所述智能家居中家庭主人设备绑定家庭网关;
S2、所述智能家居中家庭智能设备向所述家庭网关进行注册;
S3、所述家庭主人对家庭用户进行授权,并将授权信息向所述家庭网关备案;
S4、所述家庭网关对家庭用户所能使用的家庭智能设备进行认证与密钥协商。
优选的,所述S1包括步骤:
S1.1:移动设备MDo接收家庭主人随机选择的身份IDo和密码PWo,生成第一随机数ro,并将所述密码PWo与所述第一随机数ro合并后生成第一哈希值RPWo=h(PWo||ro),之后,MDo通过安全信道向家庭网关发送所述身份IDo与所述第一哈希值RPWo;
这里的移动设备MDo可以是家庭主人的手机,也可以是其他设备。
S1.2:家庭网关收到所述身份IDo与所述第一哈希值RPWo,随机选择第一挑战ck,将所述第一挑战ck输入嵌入在家庭网关中的物理不可克隆函数PUFk(·)中生成第一响应Rk=PUFk(ck),并将所述身份IDo与所述第一响应Rk合并后生成第二哈希值UIDo=h(IDo||Rk),所述第二哈希值UIDo为家庭主人的身份假名;
S1.3:家庭网关将所述家庭网关中的私钥s与所述第一响应Rk合并后生成第三哈希值Ko=h(s||Rk);
所述第三哈希值Ko为家庭主人与家庭网关间认证的密钥;将所述第三哈希值Ko与所述第一哈希值RPWo异或后生成
通过安全信道向MDo发送所述第二哈希值UIDo与所述Ao;
家庭网关将所述第二哈希值UIDo与所述第一挑战ck存入网关数据库中;
S1.4:MDo收到所述第二哈希值UIDo与所述Ao后,将所述身份IDo与所述密码PWo合并后生成第四哈希值h(IDo||PWo),将所述第四哈希值h(IDo||PWo)与所述第一随机数ro异或后生成
并将所述身份IDo、所述密码PWo与所述第一随机数ro合并后生成第五哈希值Co=h(IDo||PWo||ro);
之后,MDo将所述第二哈希值UIDo、所述Ao、所述Bo、所述第五哈希值Co与所述哈希函数h(·)存入MDo内存中;
最后,本发明实施例中,一个家庭只能有一个家庭网关,一个家庭网关只能注册一个家庭主人。
优选的,所述S2包括步骤:
S2.1:家庭智能设备随机选择第二挑战cq,并将所述第二挑战cq输入嵌入在家庭智能设备中的物理不可克隆函数PUFq(·)中生成第二响应Rq=PUFq(cq),之后,家庭智能设备通过安全信道向家庭网关发送所述第二挑战cq与所述第二响应Rq;
S2.2:家庭网关收到所述第二挑战cq与所述第二响应Rq后为家庭智能设备随机生成一个假名PIDq,并提取存储在网关数据库中的所述第一挑战ck;
S2.3:家庭网关将所述第一挑战ck输入嵌入在家庭网关中的物理不可克隆函数PUFk(·)中生成所述第一响应Rk=PUFk(ck),将所述第一挑战Rk哈希后生成第六哈希值h(ck),并将所述第六哈希值h(ck)与所述假名PIDq合并,将合并后的值h(ck)||PIDq与所述第二响应Rq异或后生成
S2.4:家庭网关通过安全信道向家庭智能设备发送所述假名PIDq,并将所述假名PIDq、所述fq与所述第二挑战cq存入网关数据库中,同时公开所述假名PIDq;
S2.5:家庭智能设备收到所述假名PIDq后将所述假名PIDq存入家庭智能设备内存中。
进一步的,所述S3包括步骤:
S3.1:家庭用户与家庭主人通过面对面的方式协商一个秘密值k,家庭用户的移动设备MDi接收家庭用户随机选择的用户身份IDi、密码PWi和所述秘密k,生成第二随机数ri,使用所述用户身份IDi与所述第二随机数ri合并后生成第七哈希值UIDi=h(IDi||ri),所述第七哈希值UIDi为家庭用户的身份假名,使用所述用户密码PWi与所述第二随机数ri合并后生成第八哈希值RPWi=h(PWi||ri);
这里的家庭用户的移动设备MDi为家庭用户的手机,也可以是家庭用户所用的其他设备;
S3.2:MDi将所述第八哈希值RPWi与所述秘密k异或,得到
将所述第七哈希值UIDi与所述第八哈希值RPWi合并后得到第九哈希值M2=h(UIDi||RPWi),并通过公开信道向家庭主人的移动设备MDo发送所述第七哈希值UIDi、所述M1与所述第九哈希值M2;
S3.3:家庭主人与家庭用户通过面对面的方式协商所述秘密值k后,MDo接收家庭主人输入的身份
密码/>
与所述秘密k,使用所述主人身份/>
与所述主人密码/>
合并生成第十哈希值/>
将所述第十哈希值/>
与存储MDo中的所述Bo异或后得到第三随机数/>
将所述主人身份/>
所述主人密码
与所述第三随机数/>
合并后生成第十一哈希值/>
验证所述第十一哈希值是否与存储在MDo中的所述第五哈希值Co相等,如果不相等,用户授权阶段结束;否则继续执行S3.4;
S3.4:MDo收到所述第七哈希值UIDi、所述M1与所述第九哈希值M2后,将所述M1与所述秘密k异或得到
将所述第七哈希值UIDi与所述/>
合并生成第十二哈希值/>
验证所述第十二哈希值/>
是否与用户发送的第九哈希值M2相等,如果不相等,用户授权阶段结束;否则继续执行S3.5;
S3.5:MDo接收家庭主人输入的家庭用户能够访问的家庭智能设备假名{PIDg,...,PIDn},将所述家庭主人密码PWo与所述第一随机数ro合并生成第十三哈希值RPWo=h(PWo||ro),将存储在MDo中的所述Ao与所述第十三RPWo异或得到
将Ko与所述第七哈希值UIDi合并生成第十四哈希值/>
所述第十四哈希值/>
作为家庭用户与家庭网关间的认证密钥,将所述秘密值k哈希后得到第十五哈希值h(k);
S3.6:MDo将所述第十四哈希值
所述第十五哈希值h(k)与所述第八哈希值RPWi异或后得到/>
将所述M3合并所述秘密k后生成第十六哈希值M4=h(M3||k),MDo通过公开信道向MDi发送所述M3与所述第十六哈希值M4;
S3.7:MDi收到所述所述M3与所述第十六哈希值M4后,将所述M3与所述秘密k合并生成所述第十七哈希值h(M3||k),验证所述第十七哈希值h(M3||k)与MDo发送的所述第十六哈希值M4是否相等,如果不相等,用户授权阶段结束;否则继续执行S3.8;
S3.8:MDi将所述秘密k哈希后生成所述第十八哈希值h(k),将所述M3与所述第十八哈希值h(k)异或生成
并接收家庭用户输入的生物特征BIOi,在模糊提取器生成函数GEN(·)中输入所述生物特征BIOi得到生物特征密钥σi与生物特征模板参数τi,将所述用户身份IDi、密码PWi与生物特征密钥σi合并生成第十九哈希值h(IDi||PWi||σi),将所述第十九哈希值h(IDi||PWi||σi)与所述第二随机数ri异或生成
将所述用户身份IDi、密码PWi、生物特征密钥σi与所述第二随机数ri合并生成第二十哈希值Ci=h(IDi||PWi||σi||ri),并将所述第七哈希值UIDi、/>
Bi、第二十哈希值Ci、哈希函数h(·)与所述生物特征模板参数τi存入MDi内存中;
S3.9:MDo向MDi发送所述M3与所述第十六哈希值M4后,将所述第七哈希值UIDi、所述Ko与所述家庭智能设备假名{PIDg,...,PIDn}合并生成第二十一哈希值M5=h(UIDi||Ko||PIDg||...||PIDn),并通过公开信道向家庭网关发送所述第七哈希值UIDi、所述第二十一哈希值M5与所述家庭智能设备假名{PIDg,...,PIDn};
S3.10:家庭网关收到所述第七哈希值UIDi、所述第二十一哈希值M5与所述家庭智能设备假名{PIDg,...,PIDn}后,在网关数据库中提取所述第一挑战ck,将所述第一挑战ck输入嵌入在家庭网关中的物理不可克隆函数PUFk(·)中得到第三响应
将所述网关私钥s与所述第三响应/>
合并生成第二十二哈希值/>
并将所述第七哈希值UIDi、所述第二十二哈希值/>
与所述家庭智能设备假名{PIDg,...,PIDn}合并生成所述第二十三哈希值/>
验证所述第二十三哈希值
与MDo发送的所述第二十一哈希值M5是否相等,如果不相等,用户授权阶段结束;否则家庭网关将所述第七哈希值UIDi、所述家庭智能设备假名{PIDg,...,PIDn}存入网关数据库中。
优选的,所述S4包括步骤:
S4.1:家庭用户的移动设备MDi接收用户输入的身份
密码/>
与生物特征
并在模糊提取器再现函数REP(·)中输入生物特征/>
与存储在MDi中的所述生物特征模板参数τi后得到生物特征密钥/>
将所述身份/>
所述密码/>
与所述生物特征密钥/>
合并生成所述第二十四哈希值/>
使用存储在MDi中的Bi与所述第二十四哈希值异或生成第四随机数/>
使用所述身份/>
密码/>
生物特征密钥/>
与所述第四随机数/>
合并生成所述第二十五哈希值/>
验证存储在MDi中的第二十哈希值Ci与所述第二十五哈希值是否相等。如果不相等,用户认证与密钥协商阶段结束;否则,继续执行S4.2;
S4.2:MDi接收用户输入的家庭智能设备假名PIDg,生成第五随机数N1和第一时间戳T1,将所述密码PWi与所述第二随机数ri合并生成第二十六哈希值RPWi=h(PWi||ri),将所述第二十六哈希值RPWi与存储在MDi内存中的所述
异或生成/>
所述
为用户与家庭网关间认证的密钥;
S4.3:MDi使用所述第五随机数N1与所述
异或生成/>
使用存储MDi中的所述第七哈希值UIDi、所述家庭智能设备假名PIDq、所述第五随机数N1与所述第一时间戳T1合并生成第二十七哈希值M7=h(UIDi||PIDq||N1||T1),并通过公开信道向家庭网关发送所述第七哈希值UIDi、所述家庭智能设备假名PIDq、所述M6、所述第二十七哈希值M7与所述第一时间戳T1;
S4.4:家庭网关收到所述第七哈希值UIDi、所述家庭智能设备假名PIDq、所述M6、所述第二十七哈希值M7与所述第一时间戳T1后生成第二时间戳
检查所述第一时间戳T1与所述第二时间戳/>
间的时间差是否在最大时间延迟范围内/>
如果所述时间差不在最大时间延迟范围内,用户认证与密钥协商阶段结束;否则,继续执行S4.5;
S4.5:家庭网关提取存储在网关数据库中的所述第一挑战ck,将所述第一挑战ck输入嵌入在家庭网关中的物理不可克隆函数PUFk(·)后生成第四响应
将存储在网关中的私钥s与所述第四响应/>
合并生成第二十八哈希值/>
所述第二十八哈希值/>
为家庭主人与家庭网关间的认证密钥;
S4.6:家庭网关使用所述第二十八哈希值
与所述第七哈希值UIDi合并生成第二十九哈希值/>
所述第二十九哈希值/>
为家庭用户与家庭网关间认证的密钥,使用所述M6与所述第二十九哈希值/>
异或生成第六随机数/>
使用所述第七哈希值UIDi、所述家庭智能设备假名PIDq、所述第六随机数/>
与所述第一时间戳T1合并生成第三十哈希值/>
验证所述第三十哈希值M7与MDi发送的所述第二十七哈希值M7是否相等,如果不相等,用户认证与密钥协商阶段结束;否则,继续执行S4.7;
S4.7:家庭网关检查所述家庭智能设备假名PIDq是否存在于网关数据中的访问列表中。如果不存在,用户认证与密钥协商阶段结束,并向MDi返回没有该设备的的访问权限;否则,继续执行S4.8;
S4.8:家庭网关生成第七随机数N2与第三时间戳T2,使用所述第四响应Rk生成第三十一哈希值h(Rk);
将所述第三十一哈希值h(Rk)与所述家庭智能设备假名PIDq合并,并使用存储在网关数据库中的所述fq与合并后的值h(Rk)||PIDq异或生成第五响应
S4.9:家庭网关将所述第五随机数N1与第七随机数N2拼接,并使用拼接后的值N1||N2与所述第五响应Rq异或生成
使用所述第五随机数N1、所述第七随机数N2与存储在网关数据库中的所述第二挑战cq以及第三时间戳T2合并生成第三十二哈希值M10=h(N1||N2||cq||T2),并通过公开信道向家庭智能设备发送所述M9、所述第三十二哈希值M10、所述第二挑战cq与所述第三时间戳T2;
S4.10:家庭智能设备收到所述M9、所述第三十二哈希值M10、所述第二挑战cq与所述第三时间戳T2后生成第四时间戳
检查所述第三时间戳T2与所述第四时间戳/>
间的时间差是否在最大时间延迟范围内/>
如果所述时间差不在最大时间延迟范围内,用户认证与密钥协商阶段结束;否则,继续执行S4.11;
S4.11:家庭智能设备将所述第二挑战cq输入嵌入在家庭智能设备中的物理
间戳T2合并生成所述第三十三哈希值/>
S4.12:家庭智能设备生成第十随机数N3与第五时间戳T3;
使用所述第八随机数N1、第九随机数N2与第十随机数N3合并生成第三十四哈希值SSKi=h(N1||N2||N3);
所述第三十四哈希值SSKi为家庭用户与家庭智能设备间临时的安全会话密钥;
S4.13:家庭智能设备使用存在内存中的所述家庭智能设备假名PIDq与所述第六响应Rq合并生成第三十五哈希值h(PIDq||Rq),使用所述第十随机数N3与所述第三十五哈希值h(PIDq||Rq)异或生成
使用所述家庭智能设备假名PIDq、所述第三十四哈希值SSKi与所述第五时间戳T3合并生成第三十七哈希值M12=h(PIDq||SSKi||T3),并向家庭网关发送所述M11、所述第三十七哈希值M12与所述第五时间戳T3;
S4.14:家庭网关收到所述M10、所述第三十七哈希值M12与所述第五时间戳后T3生成第六时间戳
检查所述第五时间戳T3与所述第六时间戳/>
间的时间差是否在最大时间延迟范围内/>
如果所述时间差不在最大时间延迟范围内,用户认证与密钥协商阶段结束;否则,继续执行S4.15;
S4.15:家庭网关使用所述家庭智能设备假名PIDq与所述第五响应Rq合并生成所述第三十八哈希值h(PIDq||Rq),使用所述M11与所述第三十八哈希值h(PIDq||Rq)异或生成第十一随机数
使用所述第六随机数N1、所述第七随机数N2与所述第十一随机数/>
合并生成所述第三十九哈希值/>
使用所述家庭智能设备假名PIDq、所述第三十九哈希值/>
与所述第五时间戳T3合并生成所述第四十哈希值/>
验证所述第四十哈希值/>
与家庭智能设备发送的所述第三十七哈希值M12是否相等。如果不相等,用户认证与密钥协商阶段结束;否则,继续执行S4.16;
S4.16:家庭网关生成第七时间戳T4,使用所述第六随机数N1与所述第二十八哈希值
合并生成第四十一哈希值/>
使用所述第七哈希值UIDi与所述第二十九哈希值/>
合并生成第四十二哈希值/>
将所述第四十一哈希值/>
与所述第四十二哈希值/>
拼接生成/>
使用所述第七随机数N2与所述第十一随机数N3拼接生成N2||N3,使用所述/>
与所述N2||N3异或生成/>
使用所述第七哈希值UIDi、所述第三十九哈希值SSKi与所述第七时间戳T4合并生成第四十三哈希值M14=h(UIDi||SSKi||T4),并通过公开信道向MDi发送所述M13、所述第四十三哈希值M14与所述第七时间戳T4;
S4.17:MDi收到所述M12、所述第四十三哈希值M14与所述第七时间戳T4后生成第八时间戳
检查所述第七时间戳T4与所述第八时间戳/>
间的时间差是否在最大时间延迟范围内/>
如果所述时间差不在最大时间延迟范围内,用户认证与密钥协商阶段结束;否则,继续执行S4.18;
S4.18:MDi使用所述第五随机数N1与步骤S4.2中生成的所述
合并生成第四十四哈希值/>
使用所述第七哈希值UIDi与所述
合并生成第四十五哈希值/>
将所述第四十四哈希值
与所述第四十五哈希值/>
拼接生成/>
使用所述M13与所述
异或后生成所述第七随机数与所述第十一随机数的拼接值/>
拆分所述/>
后生成第十二随机数/>
与第十三随机数/>
S4.19:MDi使用所述第五随机数N1、所述第十二随机数
与所述第十三随机数/>
合并后生成第四十六哈希值/>
所述第四十六哈希值/>
为家庭用户与家庭智能设备间临时的安全会话密钥,使用所述第七哈希值UIDi、所述第四十六哈希值/>
与所述第七时间戳T4合并生成所述第四十七哈希值/>
验证所述第四十七哈希值/>
与家庭智能设备发送的所述第四十三哈希值M14是否相等。如果不相等,用户认证与密钥协商阶段结束;否则,家庭用户与家庭智能设备都将所述第四十七哈希值SSKi作为临时的安全会话密钥,至此用户认证与密钥协商阶段结束。
请参考图5,其示出了本申请一个实施例提供的计算设备1500的结构示意图。该计算设备1500可用于实施上述实施例中提供的用户使用家庭智能设备的授权认证与密钥协商方法。
具体来讲:
所述计算设备1500包括中央处理单元(CPU)1501、包括随机存取存储器(RAM)1502和只读存储器(ROM)1503的系统存储器1504,以及连接系统存储器1504和中央处理单元1501的系统总线1505。所述计算设备1500还包括帮助计算机内的各个器件之间传输信息的基本输入/输出系统(I/O系统)1506,和用于存储操作系统1513、应用程序1514和其他程序模块1515的大容量存储设备1507。
所述基本输入/输出系统1506包括有用于显示信息的显示器1508和用于用户输入信息的诸如鼠标、键盘之类的输入设备1509。其中,所述显示器1508和输入设备1509都通过连接到系统总线1505的输入输出控制器1510连接到中央处理单元1501。所述基本输入/输出系统1506还可以包括输入输出控制器1510以用于接收和处理来自键盘、鼠标、或电子触控笔等多个其他设备的输入。类似地,输入输出控制器1510还提供输出到显示屏、打印机或其他类型的输出设备。
所述大容量存储设备1507通过连接到系统总线1505的大容量存储控制器(未示出)连接到中央处理单元1501。所述大容量存储设备1507及其相关联的计算机可读介质为计算设备1500提供非易失性存储。也就是说,所述大容量存储设备1507可以包括诸如硬盘或者CD-ROM驱动器之类的计算机可读介质(未示出)。
不失一般性,所述计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括RAM、ROM、EPROM、EEPROM、闪存或其他固态存储其技术,CD-ROM、DVD或其他光学存储、磁带盒、磁带、磁盘存储或其他磁性存储设备。
当然,本领域技术人员可知所述计算机存储介质不局限于上述几种。上述的系统存储器1504和大容量存储设备1507可以统称为存储器。
根据本申请的各种实施例,所述计算设备1500还可以通过诸如因特网等网络连接到网络上的远程计算机运行。也即计算设备1500可以通过连接在所述系统总线1505上的网络接口单元1511连接到网络1512,或者说,也可以使用网络接口单元1511来连接到其他类型的网络或远程计算机系统(未示出)。
所述存储器还包括一个或者一个以上的程序,所述一个或者一个以上程序存储于存储器中,且经配置以由一个或者一个以上处理器执行。上述一个或者一个以上程序包含用于实现上述用户使用家庭智能设备的授权认证与密钥协商方法。
在示例性实施例中,还提供了一种计算设备,所述计算设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集。所述至少一条指令、至少一段程序、代码集或指令集经配置以由所述处理器执行,以实现上述用户使用家庭智能设备的授权认证与密钥协商方法。
在示例性实施例中,还提供了一种计算机可读存储介质,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或所述指令集在被终端的处理器执行时实现上述实施例的用户使用家庭智能设备的授权认证与密钥协商方法。可选地,上述计算机可读存储介质可以是ROM(Read-OnlyMemory,只读存储器)、RAM(Random Access Memory,随机存取存储器)、CD-ROM(CompactDisc Read-OnlyMemory,只读光盘)、磁带、软盘和光数据存储设备等。
在示例性实施例中,还提供了一种计算机程序产品,当该计算机程序产品被执行时,其用于实现上述用户使用家庭智能设备的授权认证与密钥协商方法。
两个以上“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
另外,本文中描述的步骤编号,仅示例性示出了步骤间的一种可能的执行先后顺序,在一些其它实施例中,上述步骤也可以不按照编号顺序来执行,如两个不同编号的步骤同时执行,或者两个不同编号的步骤按照与图示相反的顺序执行,本申请实施例对此不作限定。
以上所述仅为本申请的示例性实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
以上所述仅是本发明的部分实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (5)
1.一种用户使用家庭智能设备的授权认证与密钥协商方法,其特征在于,所述方法包括:S1、智能家居中家庭主人设备绑定家庭网关,其中,S1包括步骤:
S1.1、家庭主人设备
接收家庭主人随机选择的身份/>
和密码/>
,生成第一随机数/>
,并将所述密码/>
与所述第一随机数/>
合并后生成第一哈希值
,之后,/>
通过安全信道向家庭网关发送所述身份/>
与所述第一哈希值/>
;
S1.2、家庭网关收到所述身份
与所述第一哈希值/>
,随机选择第一挑战/>
,将所述第一挑战/>
输入嵌入在家庭网关中的物理不可克隆函数/>
中生成第一响应
,并将所述身份/>
与所述第一响应/>
合并后生成第二哈希值
,所述第二哈希值/>
为家庭主人的身份假名;
S1.3、家庭网关将所述家庭网关中的私钥
与所述第一响应/>
合并生成第三哈希值
,所述第三哈希值/>
为家庭主人与家庭网关间认证的密钥;
将所述
与所述第一哈希值/>
异或后生成/>
,并通过安全信道向/>
发送所述第二哈希值/>
与所述/>
;
家庭网关将所述第二哈希值
与所述第一挑战/>
存入网关数据库中;
S1.4、
收到所述第二哈希值/>
与所述/>
后,将所述身份/>
与所述密码/>
合并后生成第四哈希值/>
,将所述第四哈希值/>
与所述第一随机数/>
异或后生成/>
,并将所述身份/>
、所述密码/>
与所述第一随机数/>
合并后生成第五哈希值/>
,之后,/>
将所述第二哈希值
、所述/>
、所述/>
、所述第五哈希值/>
与哈希函数/>
存入/>
内存中;
S2、智能家居中家庭智能设备向所述家庭网关进行注册,其中,S2包括步骤:
S2.1、家庭智能设备随机选择第二挑战
,并将所述第二挑战/>
输入嵌入在家庭智能设备中的物理不可克隆函数/>
中生成第二响应/>
,之后,家庭智能设备通过安全信道向家庭网关发送所述第二挑战/>
与所述第二响应/>
;
S2.2、家庭网关收到所述第二挑战
与所述第二响应/>
后为家庭智能设备随机生成一个假名/>
,并提取存储在网关数据库中的所述第一挑战/>
;
S2.3、家庭网关将所述第一挑战
输入嵌入在家庭网关中的物理不可克隆函数
中生成所述第一响应/>
,将所述第一挑战/>
哈希后生成第六哈希值
,并将所述第六哈希值/>
与所述假名/>
合并,将合并后的值/>
与所述第二响应/>
异或后生成/>
;
S2.4、家庭网关通过安全信道向家庭智能设备发送所述假名
,并将所述假名
、所述/>
与所述第二挑战/>
存入网关数据库中,同时公开所述假名/>
;
S2.5、家庭智能设备收到所述假名
后将所述假名/>
存入家庭智能设备内存中;
S3、家庭主人对家庭用户进行授权,并将授权信息向所述家庭网关备案;
S4、所述家庭网关对家庭用户所能使用的家庭智能设备进行认证与密钥协商。
2.根据权利要求1所述的用户使用家庭智能设备的授权认证与密钥协商方法,其特征在于,所述S3包括步骤:
S3.1、家庭用户与家庭主人通过面对面的方式协商一个秘密值
,家庭用户的移动设备
接收家庭用户随机选择的用户身份/>
、密码/>
和所述秘密/>
,生成第二随机数/>
,使用所述用户身份/>
与所述第二随机数/>
合并后生成第七哈希值/>
,所述第七哈希值/>
为家庭用户的身份假名,将所述密码/>
与所述第二随机数/>
合并后生成第八哈希值/>
;
S3.2、
将所述第八哈希值/>
与所述秘密/>
异或后得到/>
,将所述第七哈希值/>
与所述第八哈希值/>
合并后得到第九哈希值/>
,并通过公开信道向家庭主人的移动设备/>
发送所述第七哈希值/>
、所述/>
与所述第九哈希值/>
;
S3.3、家庭主人与家庭用户通过面对面的方式协商所述秘密值
后,/>
接收家庭主人输入的身份/>
、密码/>
与所述秘密/>
,使用所述身份/>
与所述密码/>
合并生成第十哈希值/>
,将所述第十哈希值/>
与存储/>
中的所述/>
异或后得到第三随机数/>
,将主人身份/>
、主人密码/>
与所述第三随机数/>
合并后生成第十一哈希值/>
,验证所述第十一哈希值是否与存储在/>
中的所述第五哈希值/>
相等,如果不相等,用户授权阶段结束;否则继续执行S3.4;
S3.4、
收到所述第七哈希值/>
、所述/>
与所述第九哈希值/>
后,将所述/>
与所述秘密/>
异或得到/>
,将所述第七哈希值/>
与所述/>
合并生成第十二哈希值/>
,验证所述第十二哈希值/>
是否与用户发送的第九哈希值/>
相等,如果不相等,用户授权阶段结束;否则继续执行S3.5;
S3.5、
接收家庭主人输入的家庭用户能够访问的家庭智能设备假名
,将家庭主人密码/>
与所述第三随机数/>
合并生成第十三哈希值
;
将存储在
中的所述/>
与第十三哈希值/>
异或得到/>
,将/>
与所述第七哈希值/>
合并生成第十四哈希值/>
,所述第十四哈希值/>
作为家庭用户与家庭网关间的认证密钥,将所述秘密值/>
哈希后得到第十五哈希值
;
S3.6、
将所述第十四哈希值/>
、所述第十五哈希值/>
与所述第八哈希值
异或后得到/>
,将所述/>
合并所述秘密/>
后生成第十六哈希值/>
,/>
通过公开信道向/>
发送所述/>
与所述第十六哈希值
;
S3.7、
收到所述/>
与所述第十六哈希值/>
后,将所述/>
与所述秘密/>
合并生成第十七哈希值/>
,验证所述第十七哈希值/>
与/>
发送的所述第十六哈希值/>
是否相等,如果不相等,用户授权阶段结束;否则继续执行S3.8;
S3.8、
将所述秘密/>
哈希后生成第十八哈希值/>
,将所述/>
与所述第十八哈希值/>
异或生成/>
,并接收家庭用户输入的生物特征/>
,在模糊提取器生成函数/>
中输入所述生物特征/>
得到生物特征密钥/>
与生物特征模板参数
,将所述用户身份/>
、密码/>
与生物特征密钥/>
合并生成第十九哈希值
,将所述第十九哈希值/>
与所述第二随机数/>
异或生成
,将所述用户身份/>
、密码/>
、生物特征密钥/>
与所述第二随机数/>
合并生成第二十哈希值/>
,并将所述第七哈希值
、/>
、/>
、第二十哈希值/>
、哈希函数/>
与所述生物特征模板参数/>
存入/>
内存中;
S3.9、
向/>
发送所述/>
与所述第十六哈希值/>
后,将所述第七哈希值/>
、所述/>
与所述家庭智能设备假名/>
合并生成第二十一哈希值
,并通过公开信道向家庭网关发送所述第七哈希值/>
、所述第二十一哈希值/>
与所述家庭智能设备假名/>
;
S3.10、家庭网关收到所述第七哈希值
、所述第二十一哈希值/>
与所述家庭智能设备假名/>
后,在网关数据库中提取所述第一挑战/>
,将所述第一挑战/>
输入嵌入在家庭网关中的物理不可克隆函数/>
中得到第三响应/>
,将所述网关私钥/>
与所述第三响应/>
合并生成第二十二哈希值/>
,并将所述第七哈希值/>
、所述第二十二哈希值/>
与所述家庭智能设备假名/>
合并生成第二十三哈希值/>
,验证所述第二十三哈希值
与/>
发送的所述第二十一哈希值/>
是否相等,如果不相等,用户授权阶段结束;否则家庭网关将所述第七哈希值/>
、所述家庭智能设备假名/>
存入网关数据库中。
3.根据权利要求2所述的用户使用家庭智能设备的授权认证与密钥协商方法,其特征在于,所述S4包括步骤:
S4.1、家庭用户的移动设备
接收用户输入的身份/>
、密码/>
与生物特征/>
,并在模糊提取器再现函数/>
中输入生物特征/>
与存储在/>
中的所述生物特征模板参数/>
后得到生物特征密钥/>
,将所述身份/>
、所述密码/>
与所述生物特征密钥/>
合并生成第二十四哈希值/>
,使用存储在/>
中的/>
与所述第二十四哈希值异或生成第四随机数/>
,使用所述身份/>
、密码/>
、生物特征密钥/>
与所述第四随机数/>
合并生成第二十五哈希值
,验证存储在/>
中的第二十哈希值/>
与所述第二十五哈希值是否相等,如果不相等,用户认证与密钥协商阶段结束;否则,继续执行S4.2;
S4.2、
接收用户输入的家庭智能设备假名/>
,生成第五随机数/>
和第一时间戳
,将所述密码/>
与所述第二随机数/>
合并生成第二十六哈希值
,将所述第二十六哈希值/>
与存储在/>
内存中的所述/>
异或生成/>
,所述/>
为用户与家庭网关间认证的密钥;
S4.3、
使用所述第五随机数/>
与所述/>
异或生成/>
,使用存储
中的所述第七哈希值/>
、所述家庭智能设备假名/>
、所述第五随机数/>
与所述第一时间戳/>
合并生成第二十七哈希值/>
,并通过公开信道向家庭网关发送所述第七哈希值/>
、所述家庭智能设备假名/>
、所述/>
、所述第二十七哈希值/>
与所述第一时间戳/>
;
S4.4、家庭网关收到所述第七哈希值
、所述家庭智能设备假名/>
、所述/>
、所述第二十七哈希值/>
与所述第一时间戳/>
后生成第二时间戳/>
,检查所述第一时间戳/>
与所述第二时间戳/>
间的时间差是否在最大时间延迟范围内/>
,如果所述时间差不在最大时间延迟范围内,用户认证与密钥协商阶段结束;否则,继续执行S4.5;
S4.5、家庭网关提取存储在网关数据库中的所述第一挑战
,将所述第一挑战/>
输入嵌入在家庭网关中的物理不可克隆函数/>
后生成第四响应/>
,将存储在网关中的私钥/>
与所述第四响应/>
合并生成第二十八哈希值/>
,所述第二十八哈希值/>
为家庭主人与家庭网关间的认证密钥;
S4.6、家庭网关使用所述第二十八哈希值
与所述第七哈希值/>
合并生成第二十九哈希值/>
,所述第二十九哈希值/>
为家庭用户与家庭网关间认证的密钥,使用所述/>
与所述第二十九哈希值/>
异或生成第六随机数/>
,使用所述第七哈希值/>
、所述家庭智能设备假名/>
、所述第六随机数/>
与所述第一时间戳/>
合并生成第三十哈希值/>
,验证所述第三十哈希值/>
与
发送的所述第二十七哈希值/>
是否相等,如果不相等,用户认证与密钥协商阶段结束;否则,继续执行S4.7;
S4.7、家庭网关检查所述家庭智能设备假名
是否存在于网关数据中的访问列表中,如果不存在,用户认证与密钥协商阶段结束,并向/>
返回没有该设备的的访问权限;否则,继续执行S4.8;
S4.8、家庭网关生成第七随机数
与第三时间戳/>
,使用所述第四响应/>
生成第三十一哈希值/>
,将所述第三十一哈希值/>
与所述家庭智能设备假名/>
合并,并使用存储在网关数据库中的所述/>
与合并后的值/>
异或生成第五响应
;
S4.9、家庭网关将所述第五随机数
与第七随机数/>
拼接,并使用拼接后的值
与所述第五响应/>
异或生成/>
,使用所述第五随机数/>
、所述第七随机数/>
与存储在网关数据库中的所述第二挑战/>
以及第三时间戳/>
合并生成第三十二哈希值/>
,并通过公开信道向家庭智能设备发送所述/>
、所述第三十二哈希值/>
、所述第二挑战/>
与所述第三时间戳/>
;
S4.10、家庭智能设备收到所述
、所述第三十二哈希值/>
、所述第二挑战/>
与所述第三时间戳/>
后生成第四时间戳/>
,检查所述第三时间戳/>
与所述第四时间戳/>
间的时间差是否在最大时间延迟范围内/>
,如果所述时间差不在最大时间延迟范围内,用户认证与密钥协商阶段结束;否则,继续执行S4.11;
S4.11、家庭智能设备将所述第二挑战
输入嵌入在家庭智能设备中的物理不可克隆函数/>
中生成第六响应/>
,使用所述/>
与所述第六响应/>
异或生成所述第六随机数与第七随机数的拼接值/>
,拆分所述拼接值生成第八随机数/>
与第九随机数/>
,使用所述第八随机数/>
、所述第九随机数/>
、所述第二挑战/>
与所述第三时间戳/>
合并生成第三十三哈希值/>
;
S4.12、家庭智能设备生成第十随机数
与第五时间戳/>
;
使用所述第八随机数
、第九随机数/>
与第十随机数/>
合并生成第三十四哈希值
;
所述第三十四哈希值
为家庭用户与家庭智能设备间临时的安全会话密钥;
S4.13、家庭智能设备使用存在内存中的所述家庭智能设备假名
与所述第六响应
合并生成第三十五哈希值/>
;
使用所述第十随机数
与所述第三十五哈希值/>
异或生成
;
使用所述家庭智能设备假名
、所述第三十四哈希值/>
与所述第五时间戳/>
合并生成第三十七哈希值/>
,并向家庭网关发送所述/>
、所述第三十七哈希值/>
与所述第五时间戳/>
;
S4.14、家庭网关收到所述
、所述第三十七哈希值/>
与所述第五时间戳后/>
生成第六时间戳/>
,检查所述第五时间戳/>
与所述第六时间戳/>
间的时间差是否在最大时间延迟范围内/>
,如果所述时间差不在最大时间延迟范围内,用户认证与密钥协商阶段结束;否则,继续执行S4.15;
S4.15:家庭网关使用所述家庭智能设备假名
与所述第五响应/>
合并生成第三十八哈希值/>
,使用所述/>
与所述第三十八哈希值/>
异或生成第十一随机数/>
,使用所述第六随机数/>
、所述第七随机数/>
与所述第十一随机数/>
合并生成第三十九哈希值/>
,使用所述家庭智能设备假名/>
、所述第三十九哈希值/>
与所述第五时间戳/>
合并生成第四十哈希值/>
,验证所述第四十哈希值/>
与家庭智能设备发送的所述第三十七哈希值/>
是否相等,如果不相等,用户认证与密钥协商阶段结束;否则,继续执行S4.16;
S4.16、家庭网关生成第七时间戳
,使用所述第六随机数/>
与/>
合并生成第四十一哈希值/>
,使用所述第七哈希值/>
与所述第二十九哈希值/>
合并生成第四十二哈希值/>
,将所述第四十一哈希值/>
与所述第四十二哈希值/>
拼接生成/>
,使用所述第七随机数/>
与所述第十一随机数/>
拼接生成/>
,使用所述/>
与所述/>
异或生成/>
,使用所述第七哈希值/>
、所述第三十九哈希值/>
与所述第七时间戳/>
合并生成第四十三哈希值/>
,并通过公开信道向/>
发送所述/>
、所述第四十三哈希值/>
与所述第七时间戳/>
;
S4.17、
收到所述/>
、所述第四十三哈希值/>
与所述第七时间戳/>
后生成第八时间戳/>
,检查所述第七时间戳/>
与所述第八时间戳/>
间的时间差是否在最大时间延迟范围内/>
,如果所述时间差不在最大时间延迟范围内,用户认证与密钥协商阶段结束;否则,继续执行S4.18;
S4.18、
使用所述第五随机数/>
与步骤S4.2中生成的所述/>
合并生成第四十四哈希值/>
,使用所述第七哈希值/>
与步骤S4.2中生成的所述/>
合并生成第四十五哈希值/>
;
将所述第四十四哈希值
与所述第四十五哈希值/>
拼接生成
,使用所述/>
与所述/>
异或后生成所述第七随机数与所述第十一随机数的拼接值/>
,拆分所述/>
后生成第十二随机数/>
与第十三随机数/>
;
S4.19、
使用所述第五随机数/>
、所述第十二随机数/>
与所述第十三随机数/>
合并后生成第四十六哈希值/>
,所述第四十六哈希值/>
为家庭用户与家庭智能设备间临时的安全会话密钥,使用所述第七哈希值/>
、所述第四十六哈希值/>
与所述第七时间戳/>
合并生成第四十七哈希值/>
,验证所述第四十七哈希值/>
与家庭智能设备发送的所述第四十三哈希值/>
是否相等,如果不相等,用户认证与密钥协商阶段结束;否则,家庭用户与家庭智能设备都将所述第四十七哈希值/>
作为临时的安全会话密钥,至此用户认证与密钥协商阶段结束。
4.一种计算设备,其特征在于,所述计算设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如权利要求1至3任一项所述的用户使用家庭智能设备的授权认证与密钥协商方法。
5.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如权利要求1至3任一项所述的用户使用家庭智能设备的授权认证与密钥协商方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210335248.8A CN114710348B (zh) | 2022-03-31 | 2022-03-31 | 用户使用家庭智能设备的授权认证与密钥协商方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210335248.8A CN114710348B (zh) | 2022-03-31 | 2022-03-31 | 用户使用家庭智能设备的授权认证与密钥协商方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114710348A CN114710348A (zh) | 2022-07-05 |
| CN114710348B true CN114710348B (zh) | 2023-07-04 |
Family
ID=82171009
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210335248.8A Active CN114710348B (zh) | 2022-03-31 | 2022-03-31 | 用户使用家庭智能设备的授权认证与密钥协商方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114710348B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116366263B (zh) * | 2023-05-11 | 2023-07-28 | 安徽大学 | 一种基于puf和可撤销生物特征的认证方法及其应用 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106302475A (zh) * | 2016-08-18 | 2017-01-04 | 中国联合网络通信集团有限公司 | 家庭互联网业务授权方法及服务器 |
| CN110995710A (zh) * | 2019-12-05 | 2020-04-10 | 江苏恒宝智能系统技术有限公司 | 一种基于eUICC的智能家居认证方法 |
Family Cites Families (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160277261A9 (en) * | 2006-12-29 | 2016-09-22 | Prodea Systems, Inc. | Multi-services application gateway and system employing the same |
| CN101282254B (zh) * | 2007-04-02 | 2011-06-01 | 华为技术有限公司 | 家庭网络设备管理方法、系统及装置 |
| EP2348446B1 (en) * | 2009-12-18 | 2015-04-15 | CompuGroup Medical AG | A computer implemented method for authenticating a user |
| US8719587B2 (en) * | 2009-12-18 | 2014-05-06 | CompuGroup Medical AG | Computer implemented method for generating a pseudonym, computer readable storage medium and computer system |
| CN104615004A (zh) * | 2014-12-31 | 2015-05-13 | 北京海尔广科数字技术有限公司 | 一种智能家电的操作权限控制方法及装置 |
| CN105554845B (zh) * | 2015-07-31 | 2019-11-12 | 宇龙计算机通信科技(深圳)有限公司 | 一种接入的方法、路由器及终端 |
| CN106547208A (zh) * | 2015-09-16 | 2017-03-29 | 北京北信源软件股份有限公司 | 一种新型智能家居控制系统及控制方法 |
| CN106603234A (zh) * | 2015-10-14 | 2017-04-26 | 阿里巴巴集团控股有限公司 | 一种设备身份认证的方法、装置和系统 |
| US10841784B2 (en) * | 2015-12-24 | 2020-11-17 | Nokia Technologies Oy | Authentication and key agreement in communication network |
| CN105610706B (zh) * | 2016-03-09 | 2018-08-17 | 北京科技大学 | 一种面向物联网控制系统的智能网关平台 |
| CN205453754U (zh) * | 2016-03-09 | 2016-08-10 | 北京科技大学 | 一种面向物联网控制系统的智能网关平台 |
| WO2017160557A1 (en) * | 2016-03-18 | 2017-09-21 | Pcms Holdings, Inc. | System and method for network-level smart home security |
| CN106131199A (zh) * | 2016-07-15 | 2016-11-16 | 深圳市丰巨泰科电子有限公司 | 一种基于Android系统的智能家居控制系统及控制方法 |
| CN106656695A (zh) * | 2016-11-30 | 2017-05-10 | 海尔优家智能科技(北京)有限公司 | 控制智能家电的方法、智能网关和云平台 |
| CN108111303B (zh) * | 2017-12-27 | 2021-06-25 | 北京环尔康科技开发有限公司 | 一种智能家庭网关的安全连接方法 |
| EP3585061A1 (en) * | 2018-06-18 | 2019-12-25 | InterDigital CE Patent Holdings | Parental control monitoring system and method |
| CN109088735B (zh) * | 2018-09-21 | 2022-07-26 | 杭州师范大学 | 一种基于智能家居的安全认证方法 |
| CN109327313A (zh) * | 2018-11-07 | 2019-02-12 | 西安电子科技大学 | 一种具有隐私保护特性的双向身份认证方法、服务器 |
| CN109905374B (zh) * | 2019-01-29 | 2021-06-15 | 杭州电子科技大学 | 一种面向智能家庭的具有隐私保护特性的身份认证方法 |
| WO2020251929A1 (en) * | 2019-06-10 | 2020-12-17 | Alan Gous | Remote authorization of gateway device |
| CN110336720B (zh) * | 2019-06-29 | 2021-08-20 | 华为技术有限公司 | 设备控制方法和设备 |
| CN111092717B (zh) * | 2019-12-16 | 2023-02-21 | 南京信息工程大学 | 智能家居环境下基于组认证安全可靠的通信方法 |
| CN111092797A (zh) * | 2019-12-23 | 2020-05-01 | 四川虹美智能科技有限公司 | 设备控制权限分配方法、装置及系统 |
| CN111818039B (zh) * | 2020-07-03 | 2021-07-20 | 西安电子科技大学 | 物联网中基于puf的三因素匿名用户认证协议方法 |
| CN112688941B (zh) * | 2020-12-23 | 2022-05-31 | 湖北工业大学 | 一种电子医疗认证与密钥协商方法及终端设备及存储介质 |
| CN112887978B (zh) * | 2021-02-24 | 2022-03-25 | 曲阜师范大学 | Wsn中的匿名身份认证与密钥协商协议 |
| CN113115307B (zh) * | 2021-04-12 | 2021-10-26 | 北京邮电大学 | 一种面向智能家居场景下的双因素身份认证方法 |
| CN113872761B (zh) * | 2021-11-17 | 2023-07-07 | 湖北工业大学 | 智能家居设备批量认证方法、计算设备、可存储介质 |
| CN114063651B (zh) * | 2021-11-18 | 2023-07-04 | 湖北工业大学 | 用户与多架无人机进行相互认证的方法、可存储介质 |
-
2022
- 2022-03-31 CN CN202210335248.8A patent/CN114710348B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106302475A (zh) * | 2016-08-18 | 2017-01-04 | 中国联合网络通信集团有限公司 | 家庭互联网业务授权方法及服务器 |
| CN110995710A (zh) * | 2019-12-05 | 2020-04-10 | 江苏恒宝智能系统技术有限公司 | 一种基于eUICC的智能家居认证方法 |
Non-Patent Citations (2)
| Title |
|---|
| 基于口令的远程身份认证及密钥协商协议;张利华;章丽萍;张有光;吕善伟;;计算机应用(04);第924-927页 * |
| 基于智慧家庭网关的Wi-Fi无线安全性研究;黄东明;;数字通信世界(06);第134-135页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114710348A (zh) | 2022-07-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11108546B2 (en) | Biometric verification of a blockchain database transaction contributor | |
| CN108064440B (zh) | 基于区块链的fido认证方法、装置及系统 | |
| CN108768660B (zh) | 基于物理不可克隆函数的物联网设备身份认证方法 | |
| Condry et al. | Using smart edge IoT devices for safer, rapid response with industry IoT control operations | |
| US8627424B1 (en) | Device bound OTP generation | |
| CN108600213B (zh) | 复合型身份认证方法及应用该方法的复合型身份认证系统 | |
| JP2010114869A (ja) | 階層式キーに基づくアクセスコントロールシステムと方法 | |
| CN107579828A (zh) | 机对机通信中基于puf的装置间的安全认证装置及方法 | |
| CN105164689A (zh) | 用户认证 | |
| CN107359998A (zh) | 一种便携式智能口令管理体制的建立与操作方法 | |
| CN105075219A (zh) | 包括安全性管理服务器和家庭网络的网络系统、以及用于在网络系统中包括设备的方法 | |
| JP2007280393A (ja) | コンピューターログインをコントロールする装置およびその方法 | |
| CN114710348B (zh) | 用户使用家庭智能设备的授权认证与密钥协商方法 | |
| CN114063651B (zh) | 用户与多架无人机进行相互认证的方法、可存储介质 | |
| CN101867588A (zh) | 一种基于802.1x的接入控制系统 | |
| CN112383401B (zh) | 一种提供身份鉴别服务的用户名生成方法及系统 | |
| CN108650219B (zh) | 一种用户身份识别方法、相关装置、设备和系统 | |
| Alshomrani et al. | PUFDCA: A Zero‐Trust‐Based IoT Device Continuous Authentication Protocol | |
| CN113591103A (zh) | 一种电力物联网智能终端间的身份认证方法和系统 | |
| CN116112242B (zh) | 面向电力调控系统的统一安全认证方法及系统 | |
| EP3063920B1 (en) | Method for setting up, via an intermediate entity, a secure session between a first and a second entity, and corresponding entities and computer program products | |
| CN115550002A (zh) | 一种基于tee的智能家居远程控制方法及相关装置 | |
| TWI835043B (zh) | 應用生物辨識於工業物聯網的安全認證方法及系統 | |
| JP2003233586A (ja) | 制御サーバ、サービス機能へのアクセス制御をコンピュータに実行させるためのプログラム、サービス機能の取得をコンピュータに実行させるためのプログラム、およびプログラムを記録したコンピュータ読取り可能な記録媒体 | |
| US20220417020A1 (en) | Information processing device, information processing method, and non-transitory computer readable storage medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |