CN115277030A

CN115277030A - 一种面向窄带物联网的轻量化安全认证的密钥交换方法

Info

Publication number: CN115277030A
Application number: CN202211198612.7A
Authority: CN
Inventors: 肖勇才; 杨浩; 刘旷也; 徐健; 章玲玲
Original assignee: State Grid Corp of China SGCC; Electric Power Research Institute of State Grid Jiangxi Electric Power Co Ltd
Current assignee: State Grid Corp of China SGCC; Electric Power Research Institute of State Grid Jiangxi Electric Power Co Ltd
Priority date: 2022-09-29
Filing date: 2022-09-29
Publication date: 2022-11-01
Anticipated expiration: 2042-09-29
Also published as: CN115277030B

Abstract

本申请涉及一种面向窄带物联网的轻量化安全认证的密钥交换方法，它用于控制需要双重身份认证的终端，双重身份认证分别在两个认证关卡处进行认证，两位管理员分别拥有开启两个认证关卡的权限，并且均配置有优盾，管理员ID和优盾ID一一对应，优盾与服务器之间共享根密钥K，并基于对称密码体制使用“挑战‑应答”机制进行管理员与服务器之间双向认证，使得两个认证关卡不同时开启，管理员在对应权限的认证关卡处进行身份认证，获取开门密码。本发明对管理员身份进行两级验证，防止不法分子盗用管理员身份信息打开认证关卡进行违法行为，同时采用密钥交换方式进行认证关卡和服务器之间的双向认证，降低验证过程中被入侵或破解的几率。

Description

一种面向窄带物联网的轻量化安全认证的密钥交换方法

技术领域

本申请涉及物联网身份安全认证技术领域，具体涉及一种面向窄带物联网的轻量化安全认证的密钥交换方法。

背景技术

物联网各类信息采集装置，实时采集任何需要监控、连接、互动的物体、信息和过程，通过各类可能的网络接入，实现物与物、物与人的泛在连接，实现对物品和过程的智能化感知、识别和管理。物联网广泛用于人们的日常生活中，在进行物联网的应用时，最主要的一点是如何将物联网终端安全的与服务器进行通讯连接，保障数据安全，终端能够正常工作。因此，在终端接入服务器之前，均需要进行身份认证。

在电力传输过程中，管理员需要向电站或用电终端发送指令，例如指挥电站或终端进行断电或送电操作，同时也需要和电站或用电终端进行数据交流，获取用电信息。在发送指令和进行数据交换的过程中，也需要进行身份认证，确保操作者身份的真实性，避免异常断电和送电操作影响客户的用电稳定与用电安全，以及用电数据泄露暴露个人隐私。但现有的身份验证通常只是一级验证，且密钥也只是进行单向加密验证，即管理员只需输入一项身份信息，向服务器进行验证，对于指纹、账号密码等易于被盗用的身份信息，对终端安全的保障程度较低。

发明内容

本发明的目的在于提供一种面向窄带物联网的轻量化安全认证的密钥交换方法，对管理员身份进行两级验证，防止不法分子盗用管理员身份信息打开认证关卡与终端进行通讯，盗取数据或进行违法操作；同时采用密钥交换方式进行认证关卡和服务器之间的双向认证，降低验证过程中被入侵或破解的几率，大幅度提升身份认证的安全性。

本发明采取的技术方案是：一种面向窄带物联网的轻量化安全认证的密钥交换方法，用于控制需要双重身份认证的终端，双重身份认证分别在认证关卡A和认证关卡B处进行认证，管理员A和管理员B分别拥有开启认证关卡A和认证关卡B的权限，管理员A和管理员B均配置有优盾，管理员ID和优盾ID一一对应，优盾与服务器之间共享根密钥K，并基于对称密码体制使用“挑战-应答”机制进行管理员与服务器之间双向认证，使得认证关卡A和认证关卡B不同时开启，具体步骤如下：

S1：管理员A在认证关卡A处输入管理员ID并生成带有时间后缀的动态身份ID进行身份认证，身份认证通过后发送优盾ID进行优盾-身份匹配认证，匹配认证通过后进行管理员-服务器双向认证，获取开门密码，打开认证关卡A，管理员A和管理员B进入服务器与终端的通讯通道；

S2：管理员A和管理员B通过认证关卡A后，管理员A关闭认证关卡A，在认证关卡A开启至认证关卡A关闭的时间内，服务器不与认证关卡B和优盾B进行通讯；认证关卡A关闭后，服务器与认证关卡B和优盾B建立通讯；

S3：管理员B在认证关卡B处输入管理员ID并生成带有时间后缀的动态身份ID进行身份认证，身份认证通过后发送优盾ID进行优盾-身份匹配认证，匹配认证通过后进行管理员-服务器双向认证，获取开门密码，打开认证关卡B，服务器与终端进行通讯；

S4：服务器与终端进行通讯完毕后，管理员B关闭认证关卡B，在认证关卡B开启至认证关卡B关闭的时间内，服务器不与认证关卡A和优盾A进行通讯；认证关卡B关闭后，服务器与认证关卡A和优盾A建立通讯；

S5：管理员A再次在认证关卡A处输入管理员ID并生成带有时间后缀的动态身份ID进行身份认证，身份认证通过后发送优盾ID进行优盾-身份匹配认证，匹配认证通过后进行管理员-服务器双向认证，获取开门密码，打开认证关卡A，管理员A和管理员B退出服务器与终端的通讯通道。

进一步地，步骤S1、S3和S5的认证过程相同，具体包括如下步骤：

S101：管理员向认证关卡输入管理员ID进行一级认证，认证关卡对管理员输入的管理员ID添加时间后缀，生成动态身份ID；将动态身份ID发送给服务器；

S102：服务器检查动态身份ID是否合法，如合法则进入下一步进行二级认证；不合法则向认证关卡发送认证失败的消息；

S103：管理员通过优盾向服务器发送优盾ID，同时优盾生成随机数R1，优盾将优盾ID和随机数R1发送给服务器进行认证，若优盾ID与动态身份ID中给的管理员ID匹配，则进入下一步，否则发送认证失败的消息；

S104：服务器根据接收到的随机数R1计算认证密钥K1，并生成随机数R2，然后根据随机数R1和随机数R2计算令牌T1，并将随机数R2、认证密钥K1和令牌T1发送给优盾；

S105：优盾根据认证密钥K1解密令牌T1，得到令牌T1中的随机数R11和随机数R21，并将解密得到的随机数R11与优盾生成的随机数R1进行比较，若一致则进入下一步；若不一致则认证失败，结束认证流程；

S106：优盾根据接收到的随机数R2计算认证密钥K2，并生成随机数R1’，然后根据随机数R1’和随机数R2计算令牌T2，并将随机数R1’、认证密钥K2和令牌T2发送给服务器；

S107：服务器根据认证密钥K2解密令牌T2，得到令牌T2中的随机数R11’和随机数R21’，并将解密得到的随机数R21’与服务器生成的随机数R2进行比较，若一致则进入下一步；若不一致则认证失败，结束认证流程；

S108：优盾根据随机数R1’和随机数R2生成开门密码，管理员将开门密码输入认证关卡，开启认证关卡。

进一步地，所述动态身份ID合法的依据为：依据终端允许访问的时刻表，动态身份ID中的管理员ID为当天有权限访问终端的管理员的ID，并且动态身份ID中的时间后缀符合这名管理员允许访问终端的时间段，表示动态身份ID合法。

进一步地，所述管理员ID为身份账号和密码、工牌、指纹、瞳孔以及人脸图像中一种或几种的组合；所述优盾ID为优盾的编号。

进一步地，优盾A与服务器之间共享根密钥Ka，优盾B与服务器之间共享根密钥Kb。

本发明的有益效果在于：

（1）通过动态身份ID和优盾ID两级认证的方式对管理员身份进行验证，在管理员身份信息被盗用时，由于缺少优盾ID，无法完成优盾-身份匹配认证，因此无法进行密钥认证获取开门密码，提升身份认证的安全性；同时动态身份ID需要验证时间后缀，终端允许访问的时刻表，只有管理员在当天允许访问终端的时间段里发起身份认证，才能通过，否则没有权限开启认证关卡，从而防止管理员利用职务便利在终端进行恶意操作，盗取数据；

（2）在密钥加密认证过程中，采用管理员-服务器双向认证方式，能够提升认证过程的抗攻击力，降低验证过程中被入侵或破解的几率；认证密钥通过随机数产生，并且每次认证过程都会生成新的认证密钥，因此增加了认证密钥的破解难度，提升了认证过程的安全性；

（3）开启认证关卡的过程中服务器会根据认证关卡的开启情况对另一认证关卡的身份认证进行限制，即在某一认证关卡处于开启状态时，服务器会停止接收另一认证关卡的身份认证信息，确保两个认证关卡不会同时开启，降低不法分子盗取数据的可能。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本发明实施例的认证过程示意图。

具体实施方式

为了能够更清楚地理解本发明的上述目的、特征和优点，下面结合附图和具体实施方式对本发明进行进一步的详细描述。在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是，本发明还可以采用其他不同于在此描述的其他方式来实施，因此，本发明并不限于下面公开的具体实施例的限制。

如图1所示，一种面向窄带物联网的轻量化安全认证的密钥交换方法，用于控制需要双重身份认证的终端，双重身份认证分别在认证关卡A和认证关卡B处进行认证，管理员A和管理员B分别拥有开启认证关卡A和认证关卡B的权限，两位管理员无法开启需要对方权限的认证关卡，每次建立服务器与终端的通讯时，需要管理员A和管理员B共同参与。管理员A和管理员B均配置有优盾，管理员ID和优盾ID一一对应，管理员可在认证关卡处进行输入身份ID、输入开门密码以及开门和关门的操作，优盾用于与服务器进行双向认证，获取开门密码，服务器则用于接收认证关卡和优盾发送的数据，并进行数据处理。优盾与服务器之间共享根密钥K，并基于对称密码体制使用“挑战-应答”机制进行管理员与服务器之间双向认证，使得认证关卡A和认证关卡B不同时开启，具体步骤如下：

在本发明实施例中，所述管理员ID为身份账号和密码、工牌、指纹、瞳孔以及人脸图像中一种或几种的组合；所述优盾ID为优盾的编号。管理员ID选用较难被盗取的信息，如瞳孔、人脸图像等，或是使用身份账号和密码、工牌、指纹等相对容易被盗取的信息的组合，来降低管理员ID被盗取的风险。服务器获取到动态身份ID后，判断动态身份ID是否合法的依据为：依据终端允许访问的时刻表，动态身份ID中的管理员ID为当天有权限访问终端的管理员的ID，并且动态身份ID中的时间后缀符合这名管理员允许访问终端的时间段，表示动态身份ID合法，否则不合法。即只有管理员在当天允许访问终端的时间段里发起身份认证，才能通过，否则没有权限开启认证关卡，从而防止管理员利用职务便利在终端进行恶意操作，盗取数据。通过动态身份ID和优盾ID构成两级认证的方式对管理员身份进行验证，管理员ID和优盾ID一一对应。相对来说，管理员ID比优盾ID更容易被盗用，在管理员身份信息被盗用时，由于缺少优盾ID，无法完成优盾-身份匹配认证，因此无法进行密钥认证获取开门密码，从而提升身份认证的安全性。

在开启认证关卡的过程中，服务器会根据认证关卡的开启情况对另一认证关卡的身份认证进行限制，即在某一认证关卡处于开启状态时，服务器会停止接收另一认证关卡的身份认证信息，拥有对应权限的管理员也无法开启另一扇认证关卡，确保两个认证关卡不会同时开启，降低不法分子盗取数据的可能。如不法分子想强行闯入服务器与终端的通讯通道，由于两道认证关卡需要依次破解，因此破解难度较高；即使不法分子成功破解两道认证关卡盗取数据，由于两道认证关卡不能同时开启，因此相关人员可在认证关卡处进行拦截，从而将不法分子困于通讯通道内，避免数据被泄露。

在进行双向密钥加密认证的过程中，优盾与服务器之间共享根密钥K，且根密钥K具有唯一性，优盾与服务器均使用根密钥K和对称加密算法AES生成令牌，通过解密令牌对比随机数，可确认双方身份是否属于被信任的合法身份。为提高认证过程的安全性，优盾A与服务器之间、优盾B与服务器之间可以设置为共享不同的根密钥，即优盾A与服务器之间共享根密钥Ka，优盾B与服务器之间共享根密钥Kb，防止根密钥K被破解后认证关卡A和认证关卡B同时失去作用。本发明实施例以管理员A的认证过程为例，对管理员的认证过程进行描述，管理员A和管理员B的认证过程相同，便不详细进行赘述，管理员A的具体认证步骤为：

S101：管理员A向认证关卡A输入管理员A的管理员ID进行一级认证，认证关卡A对管理员A输入的管理员ID添加时间后缀，生成管理员A的动态身份ID；将管理员A的动态身份ID发送给服务器；

S102：服务器检查管理员A的动态身份ID是否合法，如合法则进入下一步进行二级认证；不合法则向认证关卡A发送认证失败的消息；

S103：管理员A通过优盾A向服务器发送优盾A的优盾ID，同时优盾A生成随机数R1，优盾A将优盾A的优盾ID和随机数R1发送给服务器进行认证，若优盾A的优盾ID与管理员A的动态身份ID中的管理员ID匹配，则进入下一步，否则发送认证失败的消息；

S104：服务器根据接收到的随机数R1，采用密钥派生算法KDF计算认证密钥K1，并生成随机数R2，然后根据随机数R1和随机数R2，采用对称加密算法AES计算令牌T1，并将随机数R2、认证密钥K1和令牌T1发送给优盾A；其中，K1=KDF（优盾A的优盾ID，R1，K），T1=AES（R1，R2）；

S105：优盾A根据认证密钥K1解密令牌T1，得到令牌T1中的随机数R11和随机数R21，并将解密得到的随机数R11与优盾A生成的随机数R1进行比较，若一致则进入下一步；若不一致则认证失败，结束认证流程；

S106：优盾A根据接收到的随机数R2，采用密钥派生算法KDF计算认证密钥K2，并生成随机数R1’，然后根据随机数R1’和随机数R2，采用对称加密算法AES计算令牌T2，并将随机数R1’、认证密钥K2和令牌T2发送给服务器；其中，K2=KDF（优盾A的优盾ID，R2，K），T1=AES（R1’，R2）；

S108：优盾A根据随机数R1’和随机数R2，采用密钥派生算法KDF生成开门密码A，管理员A将开门密码A输入认证关卡A，开启输入认证关卡A；其中，开门密码A=KDF（R1’，R2，K）。

本发明实施例所述的需要双重身份认证的终端，包括但不限于电站、用电设备等等，以终端为用电设备为例，管理员对于用电设备最常规的操作就是远程控制用电设备断电或送电，例如供电局对居民或工厂等用户进行用电监管，获取用电数据，并在拖欠电费时对用电设备进行断电，缴清电费后则恢复用电设备供电；以终端为电站为例，在需要进行线路维修或限电等特殊情况下，需要切断电站的供电线路，待故障排除后再对供电线路进行复电。以上断电和复电操作均需要谨慎操作，否则会影响用户稳定用电，严重时还会造成重大的经济损失。管理员要读取对应用户的用电数据或是发送操作指令时，必须两位管理员共同参与身份认证过程，通过两道认证关卡进行相互监督，避免内部人员滥用职权。管理员A和管理员B根据值班表，当天的值班班次里发起身份认证，从而获取访问数据或是发送指令的权限，此时认证关卡A和认证关卡B均为通过程序建立的虚拟关卡。如果有外部人员盗用了管理员身份，由于外部人员不能获知值班表的具体安排，因此难以在准确的时间进行身份验证，从而避免管理员的身份信息被盗用后，不法分子滥用管理员信息，随时开启认证关卡，对用户频繁发送停电指令，影响用户正常用电，或是盗取用电数据中的隐私数据，尤其是用户的个人信息。另一方面也可通过动态ID排查身份信息是否被盗用，及时排除风险。

由于优盾是实体，相比于网络信息来说，外部人员更难盗取，因此可有效防止不法分子盗用身份开启认证关卡，即便外部人员与电网内部工作人员合作，知晓值班表，通过第一次身份认证，也会因为缺少优盾而无法通过第二次身份认证。在双重身份认证的监督机制和动态ID的身份限制下，电网内部工作人员相互勾连的可能性也大大降低，从而提高身份认证的安全性。

两道认证关卡不能同时进行认证，也是为了增加终端的访问安全性。由于在访问终端时，需要进出通讯通道，而两道认证关卡需逐一进行认证，因此当不法分子想要在认证关卡A开启后强行访问终端时，由于认证关卡A彻底关闭前认证关卡B是不能开启的，因此无法在认证关卡A开启的时候强行进入通讯通道访问终端。同样，由于认证关卡B开启时认证关卡A已关闭，此时不法分子也没有机会进入通讯通道，也就无法访问终端盗取数据或向终端发送指令。即使不法分子与其中一个管理员合作，骗过另一个管理员成功进入通讯通道，并访问了终端，由于通讯通道还是被至少一个认证关卡关断，不法分子无法毫无阻碍地退出通讯通道，维护人员还能够在认证关卡处进行拦截，避免不法分子将用户数据传输出去，防止数据泄露。

本发明实施例在密钥加密认证过程中，采用管理员-服务器双向认证方式，能够提升认证过程的抗攻击力，降低验证过程中被入侵或破解的几率；认证密钥通过随机数产生，并且每次认证过程都会生成新的认证密钥，因此增加了认证密钥的破解难度，提升了认证过程的安全性。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种面向窄带物联网的轻量化安全认证的密钥交换方法，其特征在于，用于控制需要双重身份认证的终端，双重身份认证分别在认证关卡A和认证关卡B处进行认证，管理员A和管理员B分别拥有开启认证关卡A和认证关卡B的权限，管理员A和管理员B均配置有优盾，管理员ID和优盾ID一一对应，优盾与服务器之间共享根密钥K，并基于对称密码体制使用“挑战-应答”机制进行管理员与服务器之间双向认证，使得认证关卡A和认证关卡B不同时开启，具体步骤如下：

2.根据权利要求1所述的一种面向窄带物联网的轻量化安全认证的密钥交换方法，其特征在于，步骤S1、S3和S5的认证过程相同，具体包括如下步骤：

3.根据权利要求2所述的一种面向窄带物联网的轻量化安全认证的密钥交换方法，其特征在于，所述动态身份ID合法的依据为：依据终端允许访问的时刻表，动态身份ID中的管理员ID为当天有权限访问终端的管理员的ID，并且动态身份ID中的时间后缀符合这名管理员允许访问终端的时间段，表示动态身份ID合法。

4.根据权利要求1所述的一种面向窄带物联网的轻量化安全认证的密钥交换方法，其特征在于，所述管理员ID为身份账号和密码、工牌、指纹、瞳孔以及人脸图像中一种或几种的组合；所述优盾ID为优盾的编号。

5.根据权利要求1所述的一种面向窄带物联网的轻量化安全认证的密钥交换方法，其特征在于，优盾A与服务器之间共享根密钥Ka，优盾B与服务器之间共享根密钥Kb。