CN115276998A - 物联网身份认证方法、装置和物联网设备 - Google Patents

物联网身份认证方法、装置和物联网设备 Download PDF

Info

Publication number
CN115276998A
CN115276998A CN202210648141.9A CN202210648141A CN115276998A CN 115276998 A CN115276998 A CN 115276998A CN 202210648141 A CN202210648141 A CN 202210648141A CN 115276998 A CN115276998 A CN 115276998A
Authority
CN
China
Prior art keywords
internet
interaction
things
ciphertext
random challenge
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210648141.9A
Other languages
English (en)
Inventor
王兴军
杨朔
郑昕然
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen International Graduate School of Tsinghua University
Original Assignee
Shenzhen International Graduate School of Tsinghua University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen International Graduate School of Tsinghua University filed Critical Shenzhen International Graduate School of Tsinghua University
Priority to CN202210648141.9A priority Critical patent/CN115276998A/zh
Publication of CN115276998A publication Critical patent/CN115276998A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明提供一种物联网身份认证方法、装置和物联网设备,其中方法包括向第二物联网设备发送第一认证请求消息;第一认证请求消息包括第一随机挑战;接收第二物联网设备发送的第一认证响应消息;第一认证响应消息包括第二随机挑战和第一随机挑战对应的第一交互信息;在确定第一交互信息合法时,获取第二随机挑战对应的第二交互信息;向第二物联网设备发送第二认证请求消息;第二认证请求消息包括第二交互信息;基于第一交互信息和/或第二交互信息确定会话密钥。本发明实现了第一物联网设备和第二物联网设备之间的双向身份认证,无需服务器的参与,减少了物联网设备的计算负担和通信负担,提高了身份认证效率和安全性。

Description

物联网身份认证方法、装置和物联网设备
技术领域
本发明涉及物联网技术领域,尤其涉及一种物联网身份认证方法、装置和物联网设备。
背景技术
物联网从互联网发展而来,物联网的接入设备由计算机、手机等需要与人交互的设备扩展到了所有能够被独立寻址的普通物理实体设备。为了实现万物互联,物联网设备之间需要进行频繁的交互,如数据访问、服务请求等。物联网设备间的资源访问或者操作等通信过程要确保安全,因此需要保证各物联网设备的真实可靠性,这依赖于设备认证机制。认证是物联网安全的关键问题,接入物联网的物联网设备的身份认证对于网络安全来说至关重要。
现有技术中,通常由可信的第三方负责身份证书的分发和管理,即物联网设备需要经过服务器的授权才能与其他物联网设备进行交互,以完成两个物联网设备之间的身份认证。
但上述现有技术中,随着物联网中物联网设备呈指数级的增长,将所有物联网设备的身份证书等信息存储在服务器中,会导致服务器的存储负担和通信负担增加,降低了身份认证效率。另外,大量的请求可能会引起服务器的拥塞,进而导致单点失效等安全问题。
发明内容
本发明提供一种物联网身份认证方法、装置和物联网设备,用以解决现有技术中降低身份认证效率和安全性的缺陷。
本发明提供一种物联网身份认证方法,应用于第一物联网设备,所述方法包括:
向第二物联网设备发送第一认证请求消息;所述第一认证请求消息包括与所述第二物联网设备相关的第一随机挑战;
接收所述第二物联网设备发送的第一认证响应消息;所述第一认证响应消息包括与所述第一物联网设备相关的第二随机挑战和所述第一随机挑战对应的第一交互信息;
在确定所述第一交互信息合法时,获取所述第二随机挑战对应的第二交互信息;
向所述第二物联网设备发送第二认证请求消息;所述第二认证请求消息包括所述第二交互信息;
基于所述第一交互信息和/或所述第二交互信息确定与所述第二物联网设备进行通信的会话密钥。
根据本发明提供的一种物联网身份认证方法,所述第一认证请求消息包括第一密文,或者,所述第一密文和第一验证信息;所述第一验证信息包括第一当前时间和/或所述第一物联网设备的身份标识;
在所述第一认证请求消息不包括所述第一当前时间时,所述第一密文包括所述第一随机挑战;
在所述第一认证请求消息包括所述第一当前时间时,所述第一密文包括所述第一随机挑战和所述第一当前时间。
根据本发明提供的一种物联网身份认证方法,所述第一认证响应消息包括密文信息,或者所述密文信息和第二当前时间;所述密文信息包括第二密文和第三密文;
所述第三密文包括所述第二随机挑战,或者,所述第二随机挑战和所述第一交互信息;
在所述第一认证响应消息不包括所述第二当前时间时,所述第二密文包括所述第一交互信息;
在所述第一认证响应消息包括所述第二当前时间时,所述第二密文包括所述第一交互信息和所述第二当前时间。
根据本发明提供的一种物联网身份认证方法,所述第一认证响应消息包括所述密文信息和所述第二当前时间;
所述在确定所述第一交互信息合法时,获取所述第二随机挑战对应的第二交互信息之前,所述方法还包括:
获取第三当前时间;
在确定所述第三当前时间与所述第二当前时间的差值小于预设时间时,解密所述第二密文,得到所述第一交互信息;
确定所述第一交互信息与交互数据库中所述第一随机挑战对应的交互信息是否匹配;
在确定所述第一交互信息与所述交互数据库中所述第一随机挑战对应的交互信息匹配时,确定所述第一交互信息合法;
其中,所述交互数据库中存储有至少一条交互记录;每条所述交互记录链接在一个时间序列中;所述交互记录包括交互时间、所述第一物联网设备的标识、所述第二物联网设备的标识、请求数据名称和数据请求类型的对应关系;所述第一随机挑战和所述第二随机挑战均为所述交互数据库中的坐标位置信息,所述第一交互信息和所述第二交互信息均为坐标位置信息对应的数据信息。
根据本发明提供的一种物联网身份认证方法,所述在确定所述第一交互信息合法时,获取所述第二随机挑战对应的第二交互信息,包括:
在确定所述第一交互信息合法时,解密所述第三密文,得到所述第二随机挑战;
在所述交互数据库中获取所述第二随机挑战对应的所述第二交互信息。
根据本发明提供的一种物联网身份认证方法,所述解密所述第三密文,得到所述第二随机挑战,包括:
在所述第三密文包括所述第二随机挑战和所述第一交互信息时,解密第三密文,得到第二解密数据;
将所述第二解密数据中除所述第一交互信息之外的数据确定为所述第二随机挑战。
根据本发明提供的一种物联网身份认证方法,所述第二认证请求消息包括第四密文,所述第四密文包括所述第二交互信息。
根据本发明提供的一种物联网身份认证方法,在所述向第二物联网设备发送第一认证请求消息之前,所述方法还包括:
向所述第二物联网设备发送注册请求;所述注册请求中包括所述第一物联网设备的身份标识;
接收所述第二物联网设备发送的认证请求;所述认证请求中包括所述第二物联网设备的身份标识和随机交互次数;
将所述第二物联网设备的身份标识存储在注册列表中,并基于所述随机交互次数与所述第二物联网设备进行交互,并将每次交互得到的交互记录存储在交互数据库中。
本发明还提供一种物联网身份认证方法,应用于第二物联网设备,所述方法包括:
接收第一物联网设备发送的第一认证请求消息;所述第一认证请求消息包括与所述第二物联网设备相关的第一随机挑战;
获取所述第一随机挑战对应的第一交互信息;
向所述第一物联网设备发送第一认证响应消息;所述第一认证响应消息包括与所述第一物联网设备相关的第二随机挑战和所述第一交互信息;
接收所述第一物联网设备发送的第二认证请求消息;所述第二认证请求消息包括所述第二随机挑战对应的第二交互信息;
在确定所述第二交互信息合法时,基于所述第一交互信息和/或所述第二交互信息确定与所述第一物联网设备进行通信的会话密钥。
根据本发明提供的一种物联网身份认证方法,所述第一认证请求消息包括第一密文,或者,所述第一密文和第一验证信息;所述第一验证信息包括第一当前时间和/或所述第一物联网设备的身份标识;
在所述第一认证请求消息不包括所述第一当前时间时,所述第一密文包括所述第一随机挑战;
在所述第一认证请求消息包括所述第一当前时间时,所述第一密文包括所述第一随机挑战和所述第一当前时间。
根据本发明提供的一种物联网身份认证方法,所述第一认证请求消息包括所述第一密文、所述第一当前时间和所述第一物联网设备的身份标识;
所述获取所述第一随机挑战对应的第一交互信息,包括:
在确定注册列表中包含所述第一物联网设备的身份标识时,解密所述第一密文,得到所述第一随机挑战;所述注册列表中包括至少一个设备的身份标识;
在交互数据库中获取所述第一随机挑战对应的所述第一交互信息;
其中,所述交互数据库中存储有至少一条交互记录;每条所述交互记录链接在一个时间序列中;所述交互记录包括交互时间、所述第一物联网设备的标识、所述第二物联网设备的标识、请求数据名称和数据请求类型的对应关系;所述第一随机挑战和所述第二随机挑战均为所述交互数据库中的坐标位置信息,所述第一交互信息和所述第二交互信息均为坐标位置信息对应的数据信息。
根据本发明提供的一种物联网身份认证方法,所述交互数据库中设置有有效时间窗口;所述有效时间窗口中包括至少一条交互记录;所述第二随机挑战为所述有效时间窗口内的坐标位置信息。
根据本发明提供的一种物联网身份认证方法,在所述在确定注册列表中包含所述第一物联网设备的身份标识时,解密所述第一密文,得到所述第一随机挑战之前,所述方法还包括:
获取第二当前时间;
在确定所述第二当前时间与所述第一当前时间的差值小于预设时间时,确定所述注册列表中是否包含所述第一物联网设备的身份标识。
根据本发明提供的一种物联网身份认证方法,所述解密所述第一密文,得到所述第一随机挑战,包括:
在所述第一密文包括所述第一随机挑战和所述第一当前时间时,解密所述第一密文,得到第一解密数据;
将所述第一解密数据中除所述第一当前时间之外的数据确定为所述第一随机挑战。
根据本发明提供的一种物联网身份认证方法,所述第一认证响应消息包括密文信息,或者所述密文信息和第二当前时间;所述密文信息包括第二密文和第三密文;
所述第三密文包括所述第二随机挑战,或者,所述第二随机挑战和所述第一交互信息;
在所述第一认证响应消息不包括所述第二当前时间时,所述第二密文包括所述第一交互信息;
在所述第一认证响应消息包括所述第二当前时间时,所述第二密文包括所述第一交互信息和所述第二当前时间。
根据本发明提供的一种物联网身份认证方法,所述第二认证请求消息包括第四密文,所述第四密文包括所述第二交互信息;
所述在确定所述第二交互信息合法时,基于所述第一交互信息和/或所述第二交互信息确定与所述第一物联网设备进行通信的会话密钥之前,所述方法还包括:
解密所述第四密文,得到所述第二交互信息;
确定所述第二交互信息与交互数据库中所述第二随机挑战对应的交互信息是否匹配;
在确定所述第二交互信息与所述交互数据库中所述第二随机挑战对应的交互信息匹配时,确定所述第二交互信息合法。
根据本发明提供的一种物联网身份认证方法,在所述接收第一物联网设备发送的第一认证请求消息之前,所述方法还包括:
接收所述第一物联网设备发送的注册请求;所述注册请求中包括所述第一物联网设备的身份标识;
在确定注册列表中不包括所述第一物联网设备的身份标识时,将所述第一物联网设备的身份标识存储在所述注册列表中,并生成所述第二物联网设备的身份标识和随机交互次数;
向所述第一物联网设备发送认证请求;所述认证请求中包括所述第二物联网设备的身份标识和所述随机交互次数;
基于所述随机交互次数与所述第一物联网设备进行交互,并将每次交互得到的交互记录存储在交互数据库中。
本发明还提供一种物联网身份认证装置,应用于第一物联网设备,所述装置包括:
第一发送单元,用于向第二物联网设备发送第一认证请求消息;所述第一认证请求消息包括与所述第二物联网设备相关的第一随机挑战;
第一接收单元,用于接收所述第二物联网设备发送的第一认证响应消息;所述第一认证响应消息包括与所述第一物联网设备相关的第二随机挑战和所述第一随机挑战对应的第一交互信息;
第一获取单元,用于在确定所述第一交互信息合法时,获取所述第二随机挑战对应的第二交互信息;
第二发送单元,用于向所述第二物联网设备发送第二认证请求消息;所述第二认证请求消息包括所述第二交互信息;
第一确定单元,用于基于所述第一交互信息和/或所述第二交互信息确定与所述第二物联网设备进行通信的会话密钥。
本发明还提供一种物联网身份认证装置,应用于第二物联网设备,所述装置包括:
第二接收单元,用于接收第一物联网设备发送的第一认证请求消息;所述第一认证请求消息包括与所述第二物联网设备相关的第一随机挑战;
第二获取单元,用于获取所述第一随机挑战对应的第一交互信息;
第三发送单元,用于向所述第一物联网设备发送第一认证响应消息;所述第一认证响应消息包括与所述第一物联网设备相关的第二随机挑战和所述第一交互信息;
第三接收单元,用于接收所述第一物联网设备发送的第二认证请求消息;所述第二认证请求消息包括所述第二随机挑战对应的第二交互信息;
第二确定单元,用于在确定所述第二交互信息合法时,基于所述第一交互信息和/或所述第二交互信息确定与所述第一物联网设备进行通信的会话密钥。
本发明还提供一种物联网设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述物联网身份认证方法。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述物联网身份认证方法。
本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述物联网身份认证方法。
本发明提供的物联网身份认证方法、装置和物联网设备,第一物联网设备在向第二物联网设备发送包括第一随机挑战的第一认证请求消息之后,接收第二物联网设备反馈的包括第一随机挑战对应的第一交互信息的第一认证响应消息,对第一交互信息进行验证,在确定第一交互信息合法时,说明第二物联网设备合法,此时获取第二随机挑战对应的第二交互信息,并基于第一交互信息和/或第二交互信息生成会话密钥;并向第二物联网设备发送包括第二随机挑战对应的第二交互信息,便于第二物联网设备基于对第二交互信息的验证来确定第一物联网设备的合法性,从而实现了第一物联网设备和第二物联网设备之间的双向身份认证,无需服务器的参与,在身份认证过程中只需存储与自身交互的物联网设备的信息,减少了物联网设备的计算负担和通信负担,提高了身份认证效率和安全性。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的物联网身份认证方法的流程示意图之一;
图2是本发明提供的物联网系统的结构示意图;
图3是本发明提供的物联网身份认证方法的流程示意图之二;
图4是本发明提供的物联网身份认证方法的流程示意图之三;
图5是本发明提供的物联网身份认证方法的流程示意图之四;
图6是本发明提供的物联网身份认证方法的流程示意图之五;
图7是本发明提供的物联网身份认证方法的流程示意图之六;
图8是本发明提供的物联网身份认证方法的流程示意图之七;
图9是本发明提供的物联网身份认证方法的流程示意图之八;
图10是本发明提供的物联网身份认证方法的流程示意图之九;
图11是本发明提供的设备节点的结构示意图;
图12是本发明提供的物联网身份认证装置的结构示意图之一;
图13是本发明提供的物联网身份认证装置的结构示意图之二;
图14是本发明提供的物联网设备的实体结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合图1-图11描述本发明的物联网身份认证方法。
图1是本发明提供的物联网身份认证方法的流程示意图之一,应用于第一物联网设备,如图1所示,该物联网身份认证方法包括以下步骤:
步骤101、向第二物联网设备发送第一认证请求消息;所述第一认证请求消息包括与所述第二物联网设备相关的第一随机挑战。
其中,第一随机挑战为预先存储的第一物联网设备与第二物联网设备之间的交互记录中任意一个交互信息对应的位置信息。
图2是本发明提供的物联网系统的结构示意图,包括多个物联网设备,各物联网设备之间可以进行相互通信,其中,物联网终端可以为终端设备,也可以为能力设备,且终端设备和能力设备上都可以配置用户界面,通过用户界面实现人机交互;终端设备包括智能监控、传感器、智能电表等轻量级设备,能力设备包括边缘服务器、网关等具备计算、存储和通信资源的设备。本发明基于完全分布式要求,不依赖于中心化的认证机构(例如,服务器),并且将网络中的所有具备独立身份验证能力的设备,包括终端设备和能力设备,都可以统称为设备节点,本发明中的第一物联网设备和第二物联网设备均可以看作设备节点。在图2中,虚线框中的每个设备均可以是目标设备,请求设备即为第一物联网设备,目标设备即为第二物联网设备。
第一物联网设备与第二物联网设备进行数据通信之前,需要基于双向身份认证协议(Interaction-based Authentication,IBA)来认证第一物联网设备和第二物联网设备的身份合法性,该双向身份认证协议包括初始化阶段、注册请求阶段、身份认证阶段和身份更新阶段;其中,在初始化阶段,第一物联网设备和第二物联网设备均需要配置与身份认证相关的参数和配置文件,例如,参数可以为预设时间,基于预设时间来判断消息的时效性;配置文件可以为物联网设备之间的加解密算法等文件;在身份认证阶段,认证双方会执行双向的物联网身份认证方法,以完成两个物联网设备之间的会话密钥的协商;注册请求阶段和身份更新阶段在下面内容中详细介绍。
示例地,在身份认证阶段,第一物联网设备生成与第二物联网设备相关的第一随机挑战,然后将与第二物联网设备相关的第一随机挑战携带在第一认证请求消息中发送至第二物联网设备。
步骤102、接收所述第二物联网设备发送的第一认证响应消息;所述第一认证响应消息包括与所述第一物联网设备相关的第二随机挑战和所述第一随机挑战对应的第一交互信息。
其中,第一交互信息为对应交互记录中的一个交互信息,交互记录是相互的,且仅与发生交互的物联网设备相关。也就是说,参与交互的两个物联网设备总是有同一交互行为的记录,交互记录是参与交互的两个物联网设备的共识信息,对于其他物联网设备以及恶意攻击者而言是未知信息。因此,正是出于交互记录的共识性和单边不可伪造性,可以针对物联网设备之间的交互信息建立身份认证,实现基于交互记录的物联网的双向身份认证。
示例地,第二物联网设备在接收到第一认证请求消息时,对第一认证请求消息进行解析,得到与第二设备相关的第一随机挑战,获取第一随机挑战对应的第一交互信息,并生成与第一物联网设备相关的第二随机挑战,然后将第二随机挑战和第一随机挑战对应的第一交互信息携带在第一认证响应消息发送至第一物联网设备中,使得第一物联网设备接收到第二物联网设备发送的第一认证响应消息。
步骤103、在确定所述第一交互信息合法时,获取所述第二随机挑战对应的第二交互信息。
其中,第二随机挑战为预先存储的第一物联网设备与第二物联网设备之间的交互记录中任意一个交互信息对应的位置信息。
示例地,第一物联网设备在接收到第一认证响应消息时,对第一认证响应消息进行解析,得到第二随机挑战和第一随机挑战对应的第一交互信息,对第一交互信息的合法性进行验证,即在交互数据库中获取第一随机挑战对应的交互信息,将交互数据库中获取的第一随机挑战对应的交互信息与第一交互信息进行比对,在确定交互数据库中获取的第一随机挑战对应的交互信息与第一交互信息相同时,确定第一交互信息合法,说明第二物联网设备是合法的设备,此时获取第二随机挑战对应的第二交互信息,并继续执行下述步骤104和步骤105;在确定交互数据库中获取的第一随机挑战对应的交互信息与第一交互信息不相同时,确定第一交互信息不合法,说明第二物联网设备是不合法的设备,此时终止认证会话。
需要说明的是,第一随机挑战可以为一个,也可以为多个,在第一随机挑战为多个时,则对应的第一交互信息也为多个,需要验证多个第一交互信息的合法性,只有在每个第一交互信息均合法时,才获取第二随机挑战对应的第二交互信息,并继续执行下述步骤104和步骤105,以提高第二物联网设备身份认证的准确性。
步骤104、向所述第二物联网设备发送第二认证请求消息;所述第二认证请求消息包括所述第二交互信息。
示例地,第一物联网设备在获取到第二随机挑战对应的第二交互信息时,将第二随机挑战对应的第二交互信息携带在第二认证请求中发送至第二物联网设备,使得第二物联网设备在接收到第二认证请求时,对第二认证请求进行解析,得到第二交互信息,将交互数据库中获取的第二随机挑战对应的交互信息与第二交互信息进行比对,在确定交互数据库中获取的第二随机挑战对应的交互信息与第二交互信息相同时,确定第二交互信息合法,说明第一物联网设备是合法的设备,此时可以基于第一交互信息和/或第二交互信息确定与第一物联网设备进行通信的会话密钥;在确定交互数据库中获取的第二随机挑战对应的交互信息与第二交互信息不相同时,确定第二交互信息不合法,说明第一物联网设备是不合法的设备,此时终止认证会话。
步骤105、基于所述第一交互信息和/或所述第二交互信息确定与所述第二物联网设备进行通信的会话密钥。
示例地,第一物联网设备在确定第一交互信息合法,且获取到第二交互信息时,可以基于第一交互信息和/或第二交互信息确定与第二物联网设备进行通信的会话密钥;具体可以将第一交互信息确定为会话密钥,也可以将第二交互信息确定为会话密钥,还可以将第一交互信息和第二交互信息按照预设方式进行组合得到会话密钥。
需要说明的是,本发明对上述步骤104和步骤105的执行顺序不做限定,可以先执行步骤104,再执行步骤105;也可以先执行步骤105,再执行步骤104。
本发明提供的物联网身份认证方法,第一物联网设备在向第二物联网设备发送包括第一随机挑战的第一认证请求消息之后,接收第二物联网设备反馈的包括第一随机挑战对应的第一交互信息的第一认证响应消息,对第一交互信息进行验证,在确定第一交互信息合法时,说明第二物联网设备合法,此时获取第二随机挑战对应的第二交互信息,并基于第一交互信息和/或第二交互信息生成会话密钥;并向第二物联网设备发送包括第二随机挑战对应的第二交互信息,便于第二物联网设备基于对第二交互信息的验证来确定第一物联网设备的合法性,从而实现了第一物联网设备和第二物联网设备之间的双向身份认证,无需服务器的参与,在身份认证过程中只需存储与自身交互的物联网设备的信息,减少了物联网设备的计算负担和通信负担,提高了身份认证效率和安全性。
可选地,所述第一认证请求消息包括第一密文,或者,所述第一密文和第一验证信息;所述第一验证信息包括第一当前时间和/或所述第一物联网设备的身份标识;
在所述第一认证请求消息不包括所述第一当前时间时,所述第一密文包括所述第一随机挑战;
在所述第一认证请求消息包括所述第一当前时间时,所述第一密文包括所述第一随机挑战和所述第一当前时间。
其中,第一物联网设备的身份标识可以为匿名身份标识,也可以为实名身份标识。
示例地,第一认证请求消息包括的内容可以是以下几种:
第一种,第一认证请求消息中包括第一密文。
示例地,第一物联网设备在生成第一随机挑战时,采用加密算法对第一随机挑战进行加密,得到第一密文,将第一密文携带在第一认证请求消息中,通过加密提高第一随机挑战的安全性,以防第一随机挑战被恶意修改。
第二种,第一认证请求消息中包括第一密文和第一当前时间。
示例地,第一物联网设备可以获取第一当前时间,采用加密算法将第一随机挑战和第一当前时间进行加密,得到第一密文,并将第一密文和第一当前时间携带在第一认证请求消息中,通过明文的第一当前时间可以验证第一认证请求消息的时效性,通过在第一密文中增加第一当前时间来进一步提高第一随机挑战的安全性。
第三种,第一认证请求消息中包括第一密文和第一物联网设备的身份标识。
示例地,第一物联网设备可以随机生成第一物联网设备的身份标识,并采用加密算法对第一随机挑战进行加密,得到第一密文,将第一密文和第一物联网设备的身份标识携带在第一认证请求消息中,通过第一物联网设备的身份标识来验证第一物联网设备的合法性,在第一物联网设备合法时,第一物联网设备生成的第一随机挑战的合法性也能够提高。
第四种,第一认证请求消息中包括第一密文、第一当前时间和第一物联网设备的身份标识。
示例地,在第四种形式下,可以采用加密算法对第一当前时间和第一随机挑战进行加密,得到第一密文;通过明文的第一当前时间验证第一认证请求消息的时效性,通过在第一密文中增加第一当前时间来进一步提高第一随机挑战的安全性,同时通过第一物联网设备的身份标识来验证第一物联网设备的合法性,更进一步提高了第一随机挑战的安全性,以防第一随机挑战被恶意修改。
本发明提供的物联网身份认证方法,通过在第一认证请求消息中携带不同的信息来提高第一随机挑战的安全性,进一步提高物联网身份认证的安全性。
可选地,所述第一认证响应消息包括密文信息,或者所述密文信息和第二当前时间;所述密文信息包括第二密文和第三密文;
所述第三密文包括所述第二随机挑战,或者,所述第二随机挑战和所述第一交互信息;
在所述第一认证响应消息不包括所述第二当前时间时,所述第二密文包括所述第一交互信息;
在所述第一认证响应消息包括所述第二当前时间时,所述第二密文包括所述第一交互信息和所述第二当前时间。
示例地,第一认证响应消息包括的内容可以是以下几种:
第一种,第一认证响应消息中包括第二密文和第三密文。
示例地,第二物联网设备采用加密算法对第一交互信息进行加密,得到第二密文;采用加密算法对生成的第二随机挑战进行加密,得到第三密文,或者采用加密算法对第二随机挑战和第一交互信息进行加密,得到第三密文,再将第二密文和第三密文携带在第一认证响应消息中。通过加密提高第一交互信息和第二随机挑战的安全性,通过在第三密文中增加第一交互信息进一步提高第二随机挑战的安全性。
第二种,第一认证响应消息中包括第二当前时间、第一密文和第二密文。
示例地,第二物联网设备可以获取第二当前时间,采用加密算法将第一交互信息和第二当前时间进行加密,得到第二密文,并将第二密文、第三密文和第二当前时间携带在第一认证响应消息中,通过明文的第二当前时间可以验证第一认证响应消息的时效性,通过在第二密文中增加第二当前时间来进一步提高第一交互信息的安全性。
本发明提供的物联网身份认证方法,通过在第一认证响应消息中携带不同的信息来提高第一交互信息和第二随机挑战的安全性,进一步提高物联网身份认证的安全性。
可选地,图3是本发明提供的物联网身份认证方法的流程示意图之二,如图3所示,在所述第一认证响应消息包括所述密文信息和所述第二当前时间的情况下,在执行上述步骤103之前,该物联网身份认证方法还包括以下步骤:
步骤106、获取第三当前时间。
示例地,第一物联网设备通过时钟模块获取当前时间,并将获取的当前时间确定为第三当前时间。
步骤107、在确定所述第三当前时间与所述第二当前时间的差值小于预设时间时,解密所述第二密文,得到所述第一交互信息。
示例地,在获取到第三当前时间时,将第三当前时间与第二当前时间的差值与初始化阶段设定的预设时间进行比较,在确定第三当前时间与第二当前时间的差值小于预设时间时,说明第一认证响应消息符合时效性要求,此时解密第二密文,得到第一交互信息;在确定第三当前时间与第二当前时间的差值大于或等于预设时间时,说明第一认证响应消息不符合时效性要求,此时终止认证会话。
步骤108、确定所述第一交互信息与交互数据库中所述第一随机挑战对应的交互信息是否匹配。
示例地,在得到第一随机挑战对应的第一交互信息时,在预先存储的交互数据库中查找第一随机挑战对应的交互信息,并将第一交互信息与查找到的第一随机挑战对应的交互信息进行匹配。
步骤109、在确定所述第一交互信息与所述交互数据库中所述第一随机挑战对应的交互信息匹配时,确定所述第一交互信息合法。
其中,所述交互数据库中存储有至少一条交互记录;每条所述交互记录链接在一个时间序列中;所述交互记录包括交互时间、所述第一物联网设备的标识、所述第二物联网设备的标识、请求数据名称和数据请求类型的对应关系;所述第一随机挑战和所述第二随机挑战均为所述交互数据库中的坐标位置信息,所述第一交互信息和所述第二交互信息均为坐标位置信息对应的数据信息。
示例地,在能够完成特定功能的物联网设备集群中,不同物联网设备承担不同的职责,拥有不同资源的控制权。物联网设备之间的数据访问、服务请求等交互行为会生成对应的数据项,将交互行为对应的数据项组织成交互记录结构化的存储在物联网设备中。在不同应用场景的物联网,物联网设备间的交互行为是不同的。本发明将物联网设备间的多条交互记录采用一种形式化的方法进行描述,如表1所示,一条交互记录包括交互时间、请求设备的标识、目标设备的标识、请求数据名称和数据请求类型,其中,交互时间可以只是请求设备向目标设备发送请求消息的时间,也可以是请求设备向目标设备发送请求消息的时间、以及目标设备向请求设备发送响应消息的时间。
表1
Figure BDA0003684802130000181
表1中的交互时间以请求设备向目标设备发送请求消息的时间为例,且请求设备的标识采用N1来表示,目标设备的标识采用N2来表示,记录了N1对应的请求设备与N2对应的目标设备之间的多条交互记录;将所有的交互时间按照时间顺序排列构成时间序列,交互时间采用t0、t1、t2…tn来表示,请求数据名称采用f1、f2、f3和f4等来表示,数据请求类型采用o1、o2和o3等来表示,例如,o1表示修改数据,o2表示插入数据,o3表示读取数据。
示例地,在确定第一交互信息与查找到的第一随机挑战对应的交互信息匹配(第一交互信息与查找到的第一随机挑战对应的交互信息相同)时,确定第一交互信息合法;在确定第一交互信息与查找到的第一随机挑战对应的交互信息不匹配(第一交互信息与查找到的第一随机挑战对应的交互信息不相同)时,确定第一交互信息不合法。
需要说明的是,交互数据库中的每条交互记录还可以基于以下存储规则进行存储:将每条交互记录对应的交互时间与预设时间范围进行比较,将位于预设时间范围内的交互时间对应的交互记录进行完整存储,将不位于预设时间范围内的交互时间对应的交互记录的哈希值进行存储,以减少对物联网设备存储资源的占用,降低存储代价。其中,预设时间范围例如可以为1天内或者一个月内,具体可基于实际需求来设定。
本发明提供的物联网身份认证方法,基于第三当前时间和第二当前时间的差值与预设时间的比较,来确定第一认证响应消息是否符合时效性要求,只有在第一认证响应消息符合时效性要求时,才对第二密文进行解密。
可选地,图4是本发明提供的物联网身份认证方法的流程示意图之三,如图4所示,在所述第一认证响应消息包括所述密文信息和所述第二当前时间的情况下,上述步骤103具体可通过以下步骤实现:
步骤1031、在确定所述第一交互信息合法时,解密所述第三密文,得到所述第二随机挑战。
可选地,在确定第一交互信息合法时,说明第二物联网设备为合法的设备,此时可以解密第三密文,基于第一认证响应消息包括的内容不同,解密第三密文的方式也不同,具体如下:
在第三密文包括第二随机挑战时,基于解密算法解密第三密文,解密得到的数据即为第二随机挑战。
在第三密文包括第二随机挑战和第一交互信息时,解密第三密文,得到第二解密数据;将第二解密数据中除第一交互信息之外的数据确定为第二随机挑战。
步骤1032、在所述交互数据库中获取所述第二随机挑战对应的所述第二交互信息。
示例地,在解密得到第二随机挑战时,在交互数据库中获取第二随机挑战对应的第二交互信息;例如,如表1所示,若第二随机挑战为第一行第一列的位置信息,则第二交互信息为t0;若第二随机挑战为第二行第三列的位置信息,则第二交互信息为N2
需要说明的是,第二随机挑战可以为一个,也可以为多个,在第二随机挑战为多个时,则对应的第二交互信息也为多个,本发明对此不作限定。
本发明提供的物联网身份认证方法,在确定第一交互信息合法,也就是确定第二物联网设备合法时,解密第三密文得到第二随机挑战,并从交互数据库中获取第二随机挑战对应的第二交互信息,以提高第二随机挑战的安全性。
可选地,所述第二认证请求消息包括第四密文,所述第四密文包括所述第二交互信息。
示例地,第一物联网设备在获取到第二交互信息时,采用加密算法对第二交互信息进行加密,得到第四密文,将第四密文携带在第二认证请求消息中,通过加密提高第二交互信息传输的安全性。
需要说明的是,第二认证请求消息还可以包括第三当前时间,采用加密算法将第二交互信息和第三当前时间进行加密,得到第四密文,并将第四密文和第三当前时间携带在第二认证请求消息中,通过明文的第三当前时间可以验证第二认证请求消息的时效性,通过在第四密文中增加第三当前时间来进一步提高第二交互信息的安全性。
可选地,图5是本发明提供的物联网身份认证方法的流程示意图之四,如图5所示,在执行上述步骤101之前,该物联网身份认证方法还包括以下步骤:
步骤110、向所述第二物联网设备发送注册请求;所述注册请求中包括所述第一物联网设备的身份标识。
其中,在注册阶段,第一物联网设备和第二物联网设备会创建各自临时的身份标识,并通过安全信道交换各自的身份标识,便于在认证阶段证明对应物联网设备的身份是否合法。
示例地,第一物联网设备生成临时的身份标识,并将第一物联网设备的身份标识携带在注册请求中发送给第二物联网设备。
步骤111、接收所述第二物联网设备发送的认证请求;所述认证请求中包括所述第二物联网设备的身份标识和随机交互次数。
其中,第二物联网设备的身份标识可以为匿名身份标识,也可以为实名身份标识。
示例地,第二物联网设备在接收到注册请求时,对注册请求进行解析,得到第一物联网设备的身份标识,并在注册列表中查找是否有第一物联网设备的身份标识,若在注册列表中没有查找到第一物联网设备的身份标识,则生成第二物联网设备的身份标识和随机交互次数L,并将第二物联网设备的身份标识和随机交互次数L携带在认证请求中发送至第一物联网设备,使得第一物联网设备接收到该认证请求。
步骤112、将所述第二物联网设备的身份标识存储在注册列表中,并基于所述随机交互次数与所述第二物联网设备进行交互,并将每次交互得到的交互记录存储在交互数据库中。
示例地,在接收到第二物联网设备的身份标识时,将第二物联网设备的身份标识存储在注册列表中,实现对注册列表的更新;并基于接收到的随机交互次数与第二物联网设备进行交互,具体交互方式可以为模拟交互,例如,一次交互可以为:第一物联网设备在T1时刻向第二物联网设备发送第一数字,第二物联网设备在T2时刻向第一物联网设备返回第二数字;对应的交互记录可以为T1时刻、T2时刻、第一数字和第二数字的对应关系,总共执行L次交互,得到L行交互记录,以初始化交互数据库。
需要说明的是,第一物联网设备与第二物联网设备进行交互时,还可以发送请求数据名称、数据请求类型、所处环境参数、对应物联网设备的电量等,本发明对此不作限定。
本发明提供的物联网身份认证方法,在对物联网身份认证之前,完成第一物联网设备与第二物联网设备之间的注册过程,便于在身份认证阶段基于注册内容实现双向的身份认证。
图6是本发明提供的物联网身份认证方法的流程示意图之五,应用于第二物联网设备,如图6所示,该物联网身份认证方法包括以下步骤:
步骤601、接收第一物联网设备发送的第一认证请求消息;所述第一认证请求消息包括与所述第二物联网设备相关的第一随机挑战。
步骤602、获取所述第一随机挑战对应的第一交互信息。
步骤603、向所述第一物联网设备发送第一认证响应消息;所述第一认证响应消息包括与所述第一物联网设备相关的第二随机挑战和所述第一交互信息。
步骤604、接收所述第一物联网设备发送的第二认证请求消息;所述第二认证请求消息包括所述第二随机挑战对应的第二交互信息。
步骤605、在确定所述第二交互信息合法时,基于所述第一交互信息和/或所述第二交互信息确定与所述第一物联网设备进行通信的会话密钥。
本发明提供的物联网身份认证方法,第二物联网设备在接收到第一物联网设备发送的包括第一随机挑战的第一认证请求消息时,向第一物联网设备发送包括第一随机挑战对应的第一交互信息的第一认证响应消息,使得第一物联网设备基于对第一交互信息的验证来确定第二物联网设备的合法性;第二物联网设备在接收到第一物联网设备发送的包括第二随机挑战对应的第二交互信息时,对第二交互信息进行验证,在确定第二交互信息合法时,说明第一物联网设备合法,此时基于第一交互信息和/或第二交互信息生成会话密钥,从而实现了第一物联网设备和第二物联网设备之间的双向身份认证,无需服务器的参与,在身份认证过程中只需存储与自身交互的物联网设备的信息,减少了物联网设备的计算负担和通信负担,提高了身份认证效率和安全性。
可选地,所述第一认证请求消息包括第一密文,或者,所述第一密文和第一验证信息;所述第一验证信息包括第一当前时间和/或所述第一物联网设备的身份标识;
在所述第一认证请求消息不包括所述第一当前时间时,所述第一密文包括所述第一随机挑战;
在所述第一认证请求消息包括所述第一当前时间时,所述第一密文包括所述第一随机挑战和所述第一当前时间。
可选地,图7是本发明提供的物联网身份认证方法的流程示意图之六,如图7所示,在所述第一认证请求消息包括所述第一密文、所述第一当前时间和所述第一物联网设备的身份标识的情况下,上述步骤602具体可通过以下步骤实现:
步骤6021、在确定注册列表中包含所述第一物联网设备的身份标识时,解密所述第一密文,得到所述第一随机挑战。
其中,所述注册列表中包括至少一个设备的身份标识。
具体地,在所述第一密文包括所述第一随机挑战和所述第一当前时间时,解密所述第一密文,得到第一解密数据;将所述第一解密数据中除所述第一当前时间之外的数据确定为所述第一随机挑战。
在第一密文只包括第一随机挑战时,基于解密算法解密第一密文,解密得到的数据即为第一随机挑战。
步骤6022、在交互数据库中获取所述第一随机挑战对应的所述第一交互信息。
其中,所述交互数据库中存储有至少一条交互记录;每条所述交互记录链接在一个时间序列中;所述交互记录包括交互时间、所述第一物联网设备的标识、所述第二物联网设备的标识、请求数据名称和数据请求类型的对应关系;所述第一随机挑战和所述第二随机挑战均为所述交互数据库中的坐标位置信息,所述第一交互信息和所述第二交互信息均为坐标位置信息对应的数据信息。
示例地,在解密得到第一随机挑战时,在交互数据库中获取第一随机挑战对应的第一交互信息;例如,如表1所示,若第一随机挑战为第二行第一列的位置信息,则第一交互信息为t1;若第一随机挑战为第三行第一列的位置信息,则第二交互信息为t2
可选地,所述交互数据库中设置有有效时间窗口;所述有效时间窗口中包括至少一条交互记录;所述第二随机挑战为所述有效时间窗口内的坐标位置信息。
其中,有效时间窗口包括的交互记录越多,安全性越高。
示例地,如表1所示,在交互数据库中设置有有效时间窗口,包含在该有效时间窗口内的交互记录为有效的交互记录,第二物联网设备在生成第二随机挑战时,可以在有效时间窗口内确定一个随机位置,将该随机位置确定为第二随机挑战,以保证第二随机挑战的有效性。
需要说明的是,有效时间窗口的宽度与随机挑战的数量呈正相关关系,有效时间窗口的宽度越大,随机挑战的数量也就越多。
可选地,图8是本发明提供的物联网身份认证方法的流程示意图之七,如图8所示,在上述步骤6021之前,还包括以下步骤:
步骤6023、获取第二当前时间。
示例地,第二物联网设备通过时钟模块获取当前时间,并将获取的当前时间确定为第二当前时间。
步骤6024、在确定所述第二当前时间与所述第一当前时间的差值小于预设时间时,确定所述注册列表中是否包含所述第一物联网设备的身份标识。
示例地,在获取到第二当前时间时,将第二当前时间与第一当前时间的差值与初始化阶段设定的预设时间进行比较,在确定第二当前时间与第一当前时间的差值小于预设时间时,说明第一认证请求消息符合时效性要求,此时确定注册列表中是否包含第一物联网设备的身份标识;在确定第二当前时间与第一当前时间的差值大于或等于预设时间时,说明第一认证请求消息不符合时效性要求,此时终止认证会话。
可选地,所述第一认证响应消息包括密文信息,或者所述密文信息和第二当前时间;所述密文信息包括第二密文和第三密文;
所述第三密文包括所述第二随机挑战,或者,所述第二随机挑战和所述第一交互信息;
在所述第一认证响应消息不包括所述第二当前时间时,所述第二密文包括所述第一交互信息;
在所述第一认证响应消息包括所述第二当前时间时,所述第二密文包括所述第一交互信息和所述第二当前时间。
可选地,图9是本发明提供的物联网身份认证方法的流程示意图之八,如图9所示,所述第二认证请求消息包括第四密文,所述第四密文包括所述第二交互信息;在上述步骤605之前,该物联网身份认证方法还包括以下步骤:
步骤606、解密所述第四密文,得到所述第二交互信息。
示例地,第二物联网设备在接收到第二认证请求消息时,采用解密算法对第四密文进行解密,得到第二交互信息。
需要说明的是,第二认证请求消息还可以包括第三当前时间,第四密文中可以包括第二交互信息和第三当前时间,在这种情况下,第二物联网设备可以基于解密算法解密第四密文,并将解密第四密文得到的解密数据中除第三当前时间之外的数据确定为第二交互信息。即通过第三当前时间实现了对第二交互信息的进一步加密,从而进一步提高第二交互信息的安全性。
步骤607、确定所述第二交互信息与交互数据库中所述第二随机挑战对应的交互信息是否匹配。
示例地,在得到第二随机挑战对应的第二交互信息时,在预先存储的交互数据库中查找第二随机挑战对应的交互信息,并将第二交互信息与查找到的第二随机挑战对应的交互信息进行匹配。
步骤608、在确定所述第二交互信息与所述交互数据库中所述第二随机挑战对应的交互信息匹配时,确定所述第二交互信息合法。
示例地,在确定第二交互信息与查找到的第二随机挑战对应的交互信息匹配(第二交互信息与查找到的第二随机挑战对应的交互信息相同)时,确定第二交互信息合法;在确定第二交互信息与查找到的第二随机挑战对应的交互信息不匹配(第二交互信息与查找到的第二随机挑战对应的交互信息不相同)时,确定第二交互信息不合法。
可选地,图10是本发明提供的物联网身份认证方法的流程示意图之九,如图10所示,在上述步骤601之前,该物联网身份认证方法还包括以下步骤:
步骤609、接收所述第一物联网设备发送的注册请求;所述注册请求中包括所述第一物联网设备的身份标识。
步骤610、在确定注册列表中不包括所述第一物联网设备的身份标识时,将所述第一物联网设备的身份标识存储在所述注册列表中,并生成所述第二物联网设备的身份标识和随机交互次数。
步骤611、向所述第一物联网设备发送认证请求;所述认证请求中包括所述第二物联网设备的身份标识和所述随机交互次数。
步骤612、基于所述随机交互次数与所述第一物联网设备进行交互,并将每次交互得到的交互记录存储在交互数据库中。
示例地,第二物联网设备基于随机交互次数与第一物联网设备进行交互,具体交互方式可以为模拟交互,例如,一次交互可以为:第一物联网设备在T1时刻向第二物联网设备发送第一数字,第二物联网设备在T2时刻向第一物联网设备返回第二数字;对应的交互记录可以为T1时刻、T2时刻、第一数字和第二数字的对应关系,总共执行L次交互,得到L行交互记录,以初始化交互数据库。
需要说明的是,第一物联网设备与第二物联网设备进行交互时,还可以发送请求数据名称、数据请求类型、所处环境参数、对应物联网设备的电量等,本发明对此不作限定。
下面是物联网身份认证方法的交互过程,应用于第一物联网设备和第二物联网设备,该物联网身份认证方法包括以下内容:
1)第一物联网设备向第二物联网设备发送第一认证请求消息;所述第一认证请求消息包括第一密文、第一当前时间和第一物联网设备的身份标识,第一密文包括第一当前时间和与第二物联网设备相关的第一随机挑战。
2)第二物联网设备获取第二当前时间,在确定第二当前时间与第一当前时间的差值小于预设时间时,确定注册列表中是否包含第一物联网设备的身份标识。
3)第二物联网设备在确定注册列表中包含第一物联网设备的身份标识时,解密第一密文,得到第一随机挑战。
其中,注册列表中包括至少一个设备的身份标识。
4)第二物联网设备在交互数据库中获取第一随机挑战对应的第一交互信息,并生成与第一物联网设备相关的第二随机挑战。
其中,所述交互数据库中存储有至少一条交互记录;每条所述交互记录链接在一个时间序列中;所述交互记录包括交互时间、所述第一物联网设备的标识、所述第二物联网设备的标识、请求数据名称和数据请求类型的对应关系;所述第一随机挑战和所述第二随机挑战均为所述交互数据库中的坐标位置信息,所述第一交互信息和所述第二交互信息均为坐标位置信息对应的数据信息。
5)第二物联网设备向第一物联网设备发送第一认证响应消息;第一认证响应消息包括第二密文、第三密文和第二当前时间,所述第二密文包括第二当前时间和第一随机挑战对应的第一交互信息;第三密文包括第二随机挑战和第一交互信息。
6)第一物联网设备获取第三当前时间,在确定第三当前时间与第二当前时间的差值小于预设时间时,解密第二密文,得到第一交互信息。
7)第一物联网设备在确定第一交互信息合法时,解密第三密文,得到第二随机挑战,在交互数据库中获取第二随机挑战对应的第二交互信息。
8)第一物联网设备向第二物联网设备发送第二认证请求消息;第二认证请求消息包括第四密文和第三当前时间,第四密文包括第二交互信息和第三当前时间。
9)第一物联网设备基于第一交互信息和/或第二交互信息确定与第二物联网设备进行通信的会话密钥。
10)第二物联网设备在确定第二交互信息合法时,基于第一交互信息和/或第二交互信息确定与第一物联网设备进行通信的会话密钥。
需要说明的是,在身份认证阶段结束后,还涉及身份更新阶段,第一物联网设备在生成会话密钥后,需要更新身份标识,以便在下一次身份认证时使用,第二物联网设备会以同样的方式更新注册列表中第一物联网设备的身份标识。
图11是本发明提供的设备节点的结构示意图,如图11所示,每个设备节点有以下模块构成:数据存储模块、交互管理模块、请求处理模块和双向认证模块;其中,数据存储模块用于存储物联网设备之间的交互数据、注册列表和其他必要的配置文件(例如,加解密算法文件);交互管理模块用于对交互数据库进行维护,收集并处理与其他物联网设备的交互记录,将其以安全的方式结构化的存储在交互数据库中。在身份认证阶段,交互管理模块将根据交互数据库中的交互记录提取能够证明身份的密钥信息;请求处理模块用于生成物联网设备的身份标识,并向其他物联网设备发起注册请求。在接收到来自其他物联网设备的认证请求后,请求处理模块将响应该物联网设备的认证请求,并更新注册列表;双向认证模块负责生成身份挑战(例如,上述的随机挑战),响应其他物联网设备发送的认证请求,并验证未知物联网设备的身份。
下面对本发明提供的物联网身份认证装置进行描述,下文描述的物联网身份认证装置与上文描述的物联网身份认证方法可相互对应参照。
图12是本发明提供的物联网身份认证装置的结构示意图之一,如图12所示,该物联网身份认证装置包括第一发送单元1201、第一接收单元1202、第一获取单元1203、第二发送单元1204和第一确定单元1205;其中:
第一发送单元1201,用于向第二物联网设备发送第一认证请求消息;所述第一认证请求消息包括与所述第二物联网设备相关的第一随机挑战;
第一接收单元1202,用于接收所述第二物联网设备发送的第一认证响应消息;所述第一认证响应消息包括与所述第一物联网设备相关的第二随机挑战和所述第一随机挑战对应的第一交互信息;
第一获取单元1203,用于在确定所述第一交互信息合法时,获取所述第二随机挑战对应的第二交互信息;
第二发送单元1204,用于向所述第二物联网设备发送第二认证请求消息;所述第二认证请求消息包括所述第二交互信息;
第一确定单元1205,用于基于所述第一交互信息和/或所述第二交互信息确定与所述第二物联网设备进行通信的会话密钥。
本发明提供的物联网身份认证装置,第一物联网设备在向第二物联网设备发送包括第一随机挑战的第一认证请求消息之后,接收第二物联网设备反馈的包括第一随机挑战对应的第一交互信息的第一认证响应消息,对第一交互信息进行验证,在确定第一交互信息合法时,说明第二物联网设备合法,此时获取第二随机挑战对应的第二交互信息,并基于第一交互信息和/或第二交互信息生成会话密钥;并向第二物联网设备发送包括第二随机挑战对应的第二交互信息,便于第二物联网设备基于对第二交互信息的验证来确定第一物联网设备的合法性,从而实现了第一物联网设备和第二物联网设备之间的双向身份认证,无需服务器的参与,在身份认证过程中只需存储与自身交互的物联网设备的信息,减少了物联网设备的计算负担和通信负担,提高了身份认证效率和安全性。
基于上述任一实施例,所述第一认证请求消息包括第一密文,或者,所述第一密文和第一验证信息;所述第一验证信息包括第一当前时间和/或所述第一物联网设备的身份标识;
在所述第一认证请求消息不包括所述第一当前时间时,所述第一密文包括所述第一随机挑战;
在所述第一认证请求消息包括所述第一当前时间时,所述第一密文包括所述第一随机挑战和所述第一当前时间。
基于上述任一实施例,所述第一认证响应消息包括密文信息,或者所述密文信息和第二当前时间;所述密文信息包括第二密文和第三密文;
所述第三密文包括所述第二随机挑战,或者,所述第二随机挑战和所述第一交互信息;
在所述第一认证响应消息不包括所述第二当前时间时,所述第二密文包括所述第一交互信息;
在所述第一认证响应消息包括所述第二当前时间时,所述第二密文包括所述第一交互信息和所述第二当前时间。
基于上述任一实施例,所述第一认证响应消息包括所述密文信息和所述第二当前时间;所述装置还包括:
第三获取单元,用于获取第三当前时间;
第一解密单元,用于在确定所述第三当前时间与所述第二当前时间的差值小于预设时间时,解密所述第二密文,得到所述第一交互信息;
第三确定单元,用于确定所述第一交互信息与交互数据库中所述第一随机挑战对应的交互信息是否匹配;
第四确定单元,用于在确定所述第一交互信息与所述交互数据库中所述第一随机挑战对应的交互信息匹配时,确定所述第一交互信息合法;
其中,所述交互数据库中存储有至少一条交互记录;每条所述交互记录链接在一个时间序列中;所述交互记录包括交互时间、所述第一物联网设备的标识、所述第二物联网设备的标识、请求数据名称和数据请求类型的对应关系;所述第一随机挑战和所述第二随机挑战均为所述交互数据库中的坐标位置信息,所述第一交互信息和所述第二交互信息均为坐标位置信息对应的数据信息。
基于上述任一实施例,所述第一获取单元1203具体用于:
在确定所述第一交互信息合法时,解密所述第三密文,得到所述第二随机挑战;
在所述交互数据库中获取所述第二随机挑战对应的所述第二交互信息。
基于上述任一实施例,所述第一获取单元1203具体用于:
在所述第三密文包括所述第二随机挑战和所述第一交互信息时,解密第三密文,得到第二解密数据;
将所述第二解密数据中除所述第一交互信息之外的数据确定为所述第二随机挑战。
基于上述任一实施例,所述第二认证请求消息包括第四密文,所述第四密文包括所述第二交互信息。
基于上述任一实施例,所述装置还包括:
第四发送单元,用于向所述第二物联网设备发送注册请求;所述注册请求中包括所述第一物联网设备的身份标识;
第四接收单元,用于接收所述第二物联网设备发送的认证请求;所述认证请求中包括所述第二物联网设备的身份标识和随机交互次数;
第一存储单元,用于将所述第二物联网设备的身份标识存储在注册列表中,并基于所述随机交互次数与所述第二物联网设备进行交互,并将每次交互得到的交互记录存储在交互数据库中。
图13是本发明提供的物联网身份认证装置的结构示意图之二,如图13所示,该物联网身份认证装置包括第二接收单元1301、第二获取单元1302、第三发送单元1303、第三接收单元1304和第二确定单元1305;其中:
第二接收单元1301,用于接收第一物联网设备发送的第一认证请求消息;所述第一认证请求消息包括与所述第二物联网设备相关的第一随机挑战;
第二获取单元1302,用于获取所述第一随机挑战对应的第一交互信息;
第三发送单元1303,用于向所述第一物联网设备发送第一认证响应消息;所述第一认证响应消息包括与所述第一物联网设备相关的第二随机挑战和所述第一交互信息;
第三接收单元1304,用于接收所述第一物联网设备发送的第二认证请求消息;所述第二认证请求消息包括所述第二随机挑战对应的第二交互信息;
第二确定单元1305,用于在确定所述第二交互信息合法时,基于所述第一交互信息和/或所述第二交互信息确定与所述第一物联网设备进行通信的会话密钥。
基于上述任一实施例,所述第一认证请求消息包括第一密文,或者,所述第一密文和第一验证信息;所述第一验证信息包括第一当前时间和/或所述第一物联网设备的身份标识;
在所述第一认证请求消息不包括所述第一当前时间时,所述第一密文包括所述第一随机挑战;
在所述第一认证请求消息包括所述第一当前时间时,所述第一密文包括所述第一随机挑战和所述第一当前时间。
基于上述任一实施例,所述第一认证请求消息包括所述第一密文、所述第一当前时间和所述第一物联网设备的身份标识;所述第二获取单元1302具体用于:
在确定注册列表中包含所述第一物联网设备的身份标识时,解密所述第一密文,得到所述第一随机挑战;所述注册列表中包括至少一个设备的身份标识;
在交互数据库中获取所述第一随机挑战对应的所述第一交互信息;
其中,所述交互数据库中存储有至少一条交互记录;每条所述交互记录链接在一个时间序列中;所述交互记录包括交互时间、所述第一物联网设备的标识、所述第二物联网设备的标识、请求数据名称和数据请求类型的对应关系;所述第一随机挑战和所述第二随机挑战均为所述交互数据库中的坐标位置信息,所述第一交互信息和所述第二交互信息均为坐标位置信息对应的数据信息。
基于上述任一实施例,所述交互数据库中设置有有效时间窗口;所述有效时间窗口中包括至少一条交互记录;所述第二随机挑战为所述有效时间窗口内的坐标位置信息。
基于上述任一实施例,所述装置还包括:
第四获取单元,用于获取第二当前时间;
第五确定单元,用于在确定所述第二当前时间与所述第一当前时间的差值小于预设时间时,确定所述注册列表中是否包含所述第一物联网设备的身份标识。
基于上述任一实施例,所述第二获取单元1302具体用于:
在所述第一密文包括所述第一随机挑战和所述第一当前时间时,解密所述第一密文,得到第一解密数据;
将所述第一解密数据中除所述第一当前时间之外的数据确定为所述第一随机挑战。
基于上述任一实施例,所述第一认证响应消息包括密文信息,或者所述密文信息和第二当前时间;所述密文信息包括第二密文和第三密文;
所述第三密文包括所述第二随机挑战,或者,所述第二随机挑战和所述第一交互信息;
在所述第一认证响应消息不包括所述第二当前时间时,所述第二密文包括所述第一交互信息;
在所述第一认证响应消息包括所述第二当前时间时,所述第二密文包括所述第一交互信息和所述第二当前时间。
基于上述任一实施例,所述第二认证请求消息包括第四密文,所述第四密文包括所述第二交互信息;所述装置还包括:
第二解密单元,用于解密所述第四密文,得到所述第二交互信息;
第六确定单元,用于确定所述第二交互信息与交互数据库中所述第二随机挑战对应的交互信息是否匹配;
第七确定单元,用于在确定所述第二交互信息与所述交互数据库中所述第二随机挑战对应的交互信息匹配时,确定所述第二交互信息合法。
基于上述任一实施例,所述装置还包括:
第五接收单元,用于接收所述第一物联网设备发送的注册请求;所述注册请求中包括所述第一物联网设备的身份标识;
第二存储单元,用于在确定注册列表中不包括所述第一物联网设备的身份标识时,将所述第一物联网设备的身份标识存储在所述注册列表中,并生成所述第二物联网设备的身份标识和随机交互次数;
第五发送单元,用于向所述第一物联网设备发送认证请求;所述认证请求中包括所述第二物联网设备的身份标识和所述随机交互次数;
第三存储单元,用于基于所述随机交互次数与所述第一物联网设备进行交互,并将每次交互得到的交互记录存储在交互数据库中。
图14是本发明提供的物联网设备的实体结构示意图,如图14所示,该物联网设备可以包括:处理器(processor)1410、通信接口(Communications Interface)1420、存储器(memory)1430和通信总线1440,其中,处理器1410,通信接口1420,存储器1430通过通信总线1440完成相互间的通信。处理器1410可以调用存储器1430中的逻辑指令,以执行物联网身份认证方法,该方法包括:向第二物联网设备发送第一认证请求消息;所述第一认证请求消息包括与所述第二物联网设备相关的第一随机挑战;
接收所述第二物联网设备发送的第一认证响应消息;所述第一认证响应消息包括与所述第一物联网设备相关的第二随机挑战和所述第一随机挑战对应的第一交互信息;
在确定所述第一交互信息合法时,获取所述第二随机挑战对应的第二交互信息;
向所述第二物联网设备发送第二认证请求消息;所述第二认证请求消息包括所述第二交互信息;
基于所述第一交互信息和/或所述第二交互信息确定与所述第二物联网设备进行通信的会话密钥。
此外,上述的存储器1430中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各方法所提供的物联网身份认证方法,该方法包括:向第二物联网设备发送第一认证请求消息;所述第一认证请求消息包括与所述第二物联网设备相关的第一随机挑战;
接收所述第二物联网设备发送的第一认证响应消息;所述第一认证响应消息包括与所述第一物联网设备相关的第二随机挑战和所述第一随机挑战对应的第一交互信息;
在确定所述第一交互信息合法时,获取所述第二随机挑战对应的第二交互信息;
向所述第二物联网设备发送第二认证请求消息;所述第二认证请求消息包括所述第二交互信息;
基于所述第一交互信息和/或所述第二交互信息确定与所述第二物联网设备进行通信的会话密钥。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的物联网身份认证方法,该方法包括:向第二物联网设备发送第一认证请求消息;所述第一认证请求消息包括与所述第二物联网设备相关的第一随机挑战;
接收所述第二物联网设备发送的第一认证响应消息;所述第一认证响应消息包括与所述第一物联网设备相关的第二随机挑战和所述第一随机挑战对应的第一交互信息;
在确定所述第一交互信息合法时,获取所述第二随机挑战对应的第二交互信息;
向所述第二物联网设备发送第二认证请求消息;所述第二认证请求消息包括所述第二交互信息;
基于所述第一交互信息和/或所述第二交互信息确定与所述第二物联网设备进行通信的会话密钥。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (22)

1.一种物联网身份认证方法,其特征在于,应用于第一物联网设备,所述方法包括:
向第二物联网设备发送第一认证请求消息;所述第一认证请求消息包括与所述第二物联网设备相关的第一随机挑战;
接收所述第二物联网设备发送的第一认证响应消息;所述第一认证响应消息包括与所述第一物联网设备相关的第二随机挑战和所述第一随机挑战对应的第一交互信息;
在确定所述第一交互信息合法时,获取所述第二随机挑战对应的第二交互信息;
向所述第二物联网设备发送第二认证请求消息;所述第二认证请求消息包括所述第二交互信息;
基于所述第一交互信息和/或所述第二交互信息确定与所述第二物联网设备进行通信的会话密钥。
2.根据权利要求1所述的物联网身份认证方法,其特征在于,所述第一认证请求消息包括第一密文,或者,所述第一密文和第一验证信息;所述第一验证信息包括第一当前时间和/或所述第一物联网设备的身份标识;
在所述第一认证请求消息不包括所述第一当前时间时,所述第一密文包括所述第一随机挑战;
在所述第一认证请求消息包括所述第一当前时间时,所述第一密文包括所述第一随机挑战和所述第一当前时间。
3.根据权利要求1所述的物联网身份认证方法,其特征在于,所述第一认证响应消息包括密文信息,或者所述密文信息和第二当前时间;所述密文信息包括第二密文和第三密文;
所述第三密文包括所述第二随机挑战,或者,所述第二随机挑战和所述第一交互信息;
在所述第一认证响应消息不包括所述第二当前时间时,所述第二密文包括所述第一交互信息;
在所述第一认证响应消息包括所述第二当前时间时,所述第二密文包括所述第一交互信息和所述第二当前时间。
4.根据权利要求3所述的物联网身份认证方法,其特征在于,所述第一认证响应消息包括所述密文信息和所述第二当前时间;
所述在确定所述第一交互信息合法时,获取所述第二随机挑战对应的第二交互信息之前,所述方法还包括:
获取第三当前时间;
在确定所述第三当前时间与所述第二当前时间的差值小于预设时间时,解密所述第二密文,得到所述第一交互信息;
确定所述第一交互信息与交互数据库中所述第一随机挑战对应的交互信息是否匹配;
在确定所述第一交互信息与所述交互数据库中所述第一随机挑战对应的交互信息匹配时,确定所述第一交互信息合法;
其中,所述交互数据库中存储有至少一条交互记录;每条所述交互记录链接在一个时间序列中;所述交互记录包括交互时间、所述第一物联网设备的标识、所述第二物联网设备的标识、请求数据名称和数据请求类型的对应关系;所述第一随机挑战和所述第二随机挑战均为所述交互数据库中的坐标位置信息,所述第一交互信息和所述第二交互信息均为坐标位置信息对应的数据信息。
5.根据权利要求4所述的物联网身份认证方法,其特征在于,所述在确定所述第一交互信息合法时,获取所述第二随机挑战对应的第二交互信息,包括:
在确定所述第一交互信息合法时,解密所述第三密文,得到所述第二随机挑战;
在所述交互数据库中获取所述第二随机挑战对应的所述第二交互信息。
6.根据权利要求5所述的物联网身份认证方法,其特征在于,所述解密所述第三密文,得到所述第二随机挑战,包括:
在所述第三密文包括所述第二随机挑战和所述第一交互信息时,解密第三密文,得到第二解密数据;
将所述第二解密数据中除所述第一交互信息之外的数据确定为所述第二随机挑战。
7.根据权利要求1-6任一项所述的物联网身份认证方法,其特征在于,所述第二认证请求消息包括第四密文,所述第四密文包括所述第二交互信息。
8.根据权利要求1-6任一项所述的物联网身份认证方法,其特征在于,在所述向第二物联网设备发送第一认证请求消息之前,所述方法还包括:
向所述第二物联网设备发送注册请求;所述注册请求中包括所述第一物联网设备的身份标识;
接收所述第二物联网设备发送的认证请求;所述认证请求中包括所述第二物联网设备的身份标识和随机交互次数;
将所述第二物联网设备的身份标识存储在注册列表中,并基于所述随机交互次数与所述第二物联网设备进行交互,并将每次交互得到的交互记录存储在交互数据库中。
9.一种物联网身份认证方法,其特征在于,应用于第二物联网设备,所述方法包括:
接收第一物联网设备发送的第一认证请求消息;所述第一认证请求消息包括与所述第二物联网设备相关的第一随机挑战;
获取所述第一随机挑战对应的第一交互信息;
向所述第一物联网设备发送第一认证响应消息;所述第一认证响应消息包括与所述第一物联网设备相关的第二随机挑战和所述第一交互信息;
接收所述第一物联网设备发送的第二认证请求消息;所述第二认证请求消息包括所述第二随机挑战对应的第二交互信息;
在确定所述第二交互信息合法时,基于所述第一交互信息和/或所述第二交互信息确定与所述第一物联网设备进行通信的会话密钥。
10.根据权利要求9所述的物联网身份认证方法,其特征在于,所述第一认证请求消息包括第一密文,或者,所述第一密文和第一验证信息;所述第一验证信息包括第一当前时间和/或所述第一物联网设备的身份标识;
在所述第一认证请求消息不包括所述第一当前时间时,所述第一密文包括所述第一随机挑战;
在所述第一认证请求消息包括所述第一当前时间时,所述第一密文包括所述第一随机挑战和所述第一当前时间。
11.根据权利要求10所述的物联网身份认证方法,其特征在于,所述第一认证请求消息包括所述第一密文、所述第一当前时间和所述第一物联网设备的身份标识;
所述获取所述第一随机挑战对应的第一交互信息,包括:
在确定注册列表中包含所述第一物联网设备的身份标识时,解密所述第一密文,得到所述第一随机挑战;所述注册列表中包括至少一个设备的身份标识;
在交互数据库中获取所述第一随机挑战对应的所述第一交互信息;
其中,所述交互数据库中存储有至少一条交互记录;每条所述交互记录链接在一个时间序列中;所述交互记录包括交互时间、所述第一物联网设备的标识、所述第二物联网设备的标识、请求数据名称和数据请求类型的对应关系;所述第一随机挑战和所述第二随机挑战均为所述交互数据库中的坐标位置信息,所述第一交互信息和所述第二交互信息均为坐标位置信息对应的数据信息。
12.根据权利要求11所述的物联网身份认证方法,其特征在于,所述交互数据库中设置有有效时间窗口;所述有效时间窗口中包括至少一条交互记录;所述第二随机挑战为所述有效时间窗口内的坐标位置信息。
13.根据权利要求11所述的物联网身份认证方法,其特征在于,在所述在确定注册列表中包含所述第一物联网设备的身份标识时,解密所述第一密文,得到所述第一随机挑战之前,所述方法还包括:
获取第二当前时间;
在确定所述第二当前时间与所述第一当前时间的差值小于预设时间时,确定所述注册列表中是否包含所述第一物联网设备的身份标识。
14.根据权利要求11所述的物联网身份认证方法,其特征在于,所述解密所述第一密文,得到所述第一随机挑战,包括:
在所述第一密文包括所述第一随机挑战和所述第一当前时间时,解密所述第一密文,得到第一解密数据;
将所述第一解密数据中除所述第一当前时间之外的数据确定为所述第一随机挑战。
15.根据权利要求9-14任一项所述的物联网身份认证方法,其特征在于,所述第一认证响应消息包括密文信息,或者所述密文信息和第二当前时间;所述密文信息包括第二密文和第三密文;
所述第三密文包括所述第二随机挑战,或者,所述第二随机挑战和所述第一交互信息;
在所述第一认证响应消息不包括所述第二当前时间时,所述第二密文包括所述第一交互信息;
在所述第一认证响应消息包括所述第二当前时间时,所述第二密文包括所述第一交互信息和所述第二当前时间。
16.根据权利要求9-14任一项所述的物联网身份认证方法,其特征在于,所述第二认证请求消息包括第四密文,所述第四密文包括所述第二交互信息;
所述在确定所述第二交互信息合法时,基于所述第一交互信息和/或所述第二交互信息确定与所述第一物联网设备进行通信的会话密钥之前,所述方法还包括:
解密所述第四密文,得到所述第二交互信息;
确定所述第二交互信息与交互数据库中所述第二随机挑战对应的交互信息是否匹配;
在确定所述第二交互信息与所述交互数据库中所述第二随机挑战对应的交互信息匹配时,确定所述第二交互信息合法。
17.根据权利要求9-14任一项所述的物联网身份认证方法,其特征在于,在所述接收第一物联网设备发送的第一认证请求消息之前,所述方法还包括:
接收所述第一物联网设备发送的注册请求;所述注册请求中包括所述第一物联网设备的身份标识;
在确定注册列表中不包括所述第一物联网设备的身份标识时,将所述第一物联网设备的身份标识存储在所述注册列表中,并生成所述第二物联网设备的身份标识和随机交互次数;
向所述第一物联网设备发送认证请求;所述认证请求中包括所述第二物联网设备的身份标识和所述随机交互次数;
基于所述随机交互次数与所述第一物联网设备进行交互,并将每次交互得到的交互记录存储在交互数据库中。
18.一种物联网身份认证装置,其特征在于,应用于第一物联网设备,所述装置包括:
第一发送单元,用于向第二物联网设备发送第一认证请求消息;所述第一认证请求消息包括与所述第二物联网设备相关的第一随机挑战;
第一接收单元,用于接收所述第二物联网设备发送的第一认证响应消息;所述第一认证响应消息包括与所述第一物联网设备相关的第二随机挑战和所述第一随机挑战对应的第一交互信息;
第一获取单元,用于在确定所述第一交互信息合法时,获取所述第二随机挑战对应的第二交互信息;
第二发送单元,用于向所述第二物联网设备发送第二认证请求消息;所述第二认证请求消息包括所述第二交互信息;
第一确定单元,用于基于所述第一交互信息和/或所述第二交互信息确定与所述第二物联网设备进行通信的会话密钥。
19.一种物联网身份认证装置,其特征在于,应用于第二物联网设备,所述装置包括:
第二接收单元,用于接收第一物联网设备发送的第一认证请求消息;所述第一认证请求消息包括与所述第二物联网设备相关的第一随机挑战;
第二获取单元,用于获取所述第一随机挑战对应的第一交互信息;
第三发送单元,用于向所述第一物联网设备发送第一认证响应消息;所述第一认证响应消息包括与所述第一物联网设备相关的第二随机挑战和所述第一交互信息;
第三接收单元,用于接收所述第一物联网设备发送的第二认证请求消息;所述第二认证请求消息包括所述第二随机挑战对应的第二交互信息;
第二确定单元,用于在确定所述第二交互信息合法时,基于所述第一交互信息和/或所述第二交互信息确定与所述第一物联网设备进行通信的会话密钥。
20.一种物联网设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至8任一项所述物联网身份认证方法,或者,实现如权利要求9至17任一项所述物联网身份认证方法。
21.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至8任一项所述物联网身份认证方法,或者,实现如权利要求9至17任一项所述物联网身份认证方法。
22.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至8任一项所述物联网身份认证方法,或者,实现如权利要求9至17任一项所述物联网身份认证方法。
CN202210648141.9A 2022-06-08 2022-06-08 物联网身份认证方法、装置和物联网设备 Pending CN115276998A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210648141.9A CN115276998A (zh) 2022-06-08 2022-06-08 物联网身份认证方法、装置和物联网设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210648141.9A CN115276998A (zh) 2022-06-08 2022-06-08 物联网身份认证方法、装置和物联网设备

Publications (1)

Publication Number Publication Date
CN115276998A true CN115276998A (zh) 2022-11-01

Family

ID=83759477

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210648141.9A Pending CN115276998A (zh) 2022-06-08 2022-06-08 物联网身份认证方法、装置和物联网设备

Country Status (1)

Country Link
CN (1) CN115276998A (zh)

Similar Documents

Publication Publication Date Title
US11411949B2 (en) Trusted communication session and content delivery
EP4120114A1 (en) Data processing method and apparatus, smart device and storage medium
US10805085B1 (en) PKI-based user authentication for web services using blockchain
US10027670B2 (en) Distributed authentication
Chai et al. CyberChain: Cybertwin empowered blockchain for lightweight and privacy-preserving authentication in Internet of Vehicles
CN111742531B (zh) 简档信息共享
CN112152778B (zh) 一种节点管理方法、装置、及电子设备
CN111460400A (zh) 一种数据处理方法、装置及计算机可读存储介质
CN116527279A (zh) 工控网络中安全数据聚合的可验证联邦学习装置及方法
CN110910110A (zh) 一种数据处理方法、装置及计算机存储介质
Raniyal et al. Passphrase protected device‐to‐device mutual authentication schemes for smart homes
CN113569210A (zh) 分布式身份认证方法、设备访问方法及装置
CN114268437A (zh) 数据处理方法、区块链节点、系统和计算机可读存储介质
KR102118556B1 (ko) 프라이빗 블록체인 기반 개인정보 관리 서비스 제공 방법
Aiash A formal analysis of authentication protocols for mobile devices in next generation networks
US20210067961A1 (en) Secure simultaneous authentication of equals anti-clogging mechanism
CN116170144A (zh) 智能电网匿名认证方法、电子设备及存储介质
Frimpong et al. Footsteps in the fog: Certificateless fog-based access control
CN115276998A (zh) 物联网身份认证方法、装置和物联网设备
CN115361147A (zh) 设备注册方法及装置、计算机设备、存储介质
Li et al. Blockchain-assisted secure message authentication with reputation management for VANETs
CN117997520A (zh) 一种基于区块链的数据处理方法、设备以及可读存储介质
CN116112150A (zh) 一种服务访问方法及装置
CN117294457A (zh) 一种数据共享系统、方法、装置及电子设备
CN113569209A (zh) 基于区块链的用户注册方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination