CN116170228A - 终端标识设备的认证方法、装置、存储介质及设备 - Google Patents

终端标识设备的认证方法、装置、存储介质及设备 Download PDF

Info

Publication number
CN116170228A
CN116170228A CN202310194221.6A CN202310194221A CN116170228A CN 116170228 A CN116170228 A CN 116170228A CN 202310194221 A CN202310194221 A CN 202310194221A CN 116170228 A CN116170228 A CN 116170228A
Authority
CN
China
Prior art keywords
information
authentication
identity authentication
equipment
identity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310194221.6A
Other languages
English (en)
Inventor
汤雅婷
彭开来
谢人超
霍如
张晨
汪硕
黄韬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Network Communication and Security Zijinshan Laboratory
Original Assignee
Network Communication and Security Zijinshan Laboratory
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Network Communication and Security Zijinshan Laboratory filed Critical Network Communication and Security Zijinshan Laboratory
Priority to CN202310194221.6A priority Critical patent/CN116170228A/zh
Publication of CN116170228A publication Critical patent/CN116170228A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种终端标识设备的认证方法、装置、存储介质及设备。其中,该方法包括:发送认证请求,并接收身份认证中心返回的调度因子和第一公钥;对身份认证信息进行拼接计算,确定目标设备信息,并对目标设备信息进行哈希散列计算,确定信息摘要;基于调度因子和信息摘要确定初始认证信息,并采用第一公钥加密初始认证信息,得到目标认证信息,其中,目标认证信息用于发送至身份认证中心完成身份认证;接收身份认证中心返回的认证结果,完成身份认证。本发明解决了现有的认证方法设备编码不统一,且认证请求数量较大时,认证服务器存在过载风险的技术问题。

Description

终端标识设备的认证方法、装置、存储介质及设备
技术领域
本发明涉及计算机技术领域,具体而言,涉及一种终端标识设备的认证方法、装置、存储介质及设备。
背景技术
工业互联网能够让物与人、物与物展开对话,实现人、机、物互联。工业互联网标识解析体系通过标识载体,具体如条形码、二维码、无线射频识别标签等方式赋予每一个实体或虚拟对象唯一的身份编码ID,同时承载相关数据信息,实现实体和虚拟对象的定位、连接和对话的新型基础设施。
但是,不同的企业以及设备之间可能存在编码体系不一致,编码规则不统一,不利于进行设备身份的认证。并且,当服务器遇到大量并发认证请求的时候,服务器资源可能存在过载风险,导致系统可靠性降低,引起会话超时,影响终端设备的认证过程。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种终端标识设备的认证方法、装置、存储介质及设备,以至少解决现有的认证方法设备编码不统一,且认证请求数量较大时,认证服务器存在过载风险的技术问题。
根据本发明实施例的一个方面,提供了一种终端标识设备的认证方法,包括:发送认证请求,并接收身份认证中心返回的调度因子和第一公钥,其中,上述认证请求包括基本身份信息,上述基本身份信息用于表征终端标识设备的名称和类型,上述身份认证中心用于对上述认证请求的发送方进行身份认证处理,上述调度因子用于表征上述认证请求的数量,上述第一公钥为上述身份认证中心生成的公钥;对身份认证信息进行拼接计算,确定目标设备信息,并对上述目标设备信息进行哈希散列计算,确定信息摘要,其中,上述身份认证信息为待上述身份认证中心进行认证的信息,上述信息摘要用于表征上述哈希散列计算的工作量是否满足上述调度因子的要求;基于上述调度因子和上述信息摘要确定初始认证信息,并采用上述第一公钥加密上述初始认证信息,得到目标认证信息,其中,上述目标认证信息用于发送至上述身份认证中心完成身份认证;接收上述身份认证中心返回的认证结果,完成身份认证。
可选的,在上述发送认证请求之前,上述方法还包括:发送注册请求,并接收标识解析平台返回的设备标识编码,其中,上述注册请求用于提示上述标识解析平台为上述注册请求的发送方生成上述设备标识编码;确定上述设备标识编码、产品序列号、硬件信息和设备随机数为上述身份认证信息。
可选的,上述对上述身份认证信息进行拼接计算,确定目标设备信息,并对上述目标设备信息进行哈希散列计算,确定信息摘要,包括:对上述设备标识编码、上述产品序列号、上述硬件信息和上述随机数进行拼接计算,确定上述目标设备信息;采用哈希散列算法计算上述目标设备信息,确定信息摘要。
可选的,上述基于上述调度因子和上述信息摘要确定初始认证信息,并采用上述第一公钥加密上述初始认证信息,得到目标认证信息,包括:将上述信息摘要和上述调度因子进行比对处理,得到比对结果;若上述信息摘要小于上述调度因子,则确定上述信息摘要为上述初始认证信息;采用上述第一公钥加密上述初始认证信息,确定上述目标认证信息。
可选的,上述将上述信息摘要和上述调度因子进行比对处理,得到比对结果,还包括:若上述信息摘要大于上述调度因子,更新上述目标设备信息中的上述设备随机数,并重新生成上述信息摘要直至上述信息摘要小于上述调度因子;将更新后的上述信息摘要确定为上述初始认证信息;采用上述第一公钥加密上述初始认证信息,确定上述目标认证信息。
根据本发明实施例的另一方面,还提供了一种终端标识设备的认证方法,包括:接收认证请求,并基于上述认证请求生成第一公私密钥对,其中,上述第一公私密钥对为身份认证中心对应的公私密钥对,包括第一公钥和第一私钥;基于当前时刻上述认证请求的请求数,确定调度因子;将上述第一公钥和上述调度因子发送给终端标识设备,其中,上述终端标识设备为上述认证请求的发送方;采用上述第一私钥解密上述终端标识设备返回的目标认证信息,进行身份认证处理,得到身份认证结果,并将上述身份认证结果返回至上述终端标识设备。
可选的,上述基于当前时刻上述认证请求的请求数,确定调度因子,包括:若上述请求数小于第一负载阈值,则确定上述调度因子为第一调度因子,其中,上述第一调度因子用于控制上述身份认证中心进行正常调度;若上述请求数大于第一负载阈值且小于第二负载阈值,则确定上述调度因子为第二调度因子,其中,上述第二调度因子用于控制上述身份认证中心实施第一调度限制;若上述请求数大于第二负载阈值且小于第三负载阈值,则确定上述调度因子为第三调度因子,其中,上述第三调度因子用于控制上述身份认证中心实施第二调度限制;若上述请求数大于第三负载阈值,则确定上述调度因子为第四调度因子,其中,上述第四调度因子用于控制上述身份认证中心实施第三调度限制。
根据本发明实施例的另一方面,还提供了一种终端标识设备的认证装置,包括:第一发送模块,用于发送认证请求,并接收身份认证中心返回的调度因子和第一公钥,其中,上述认证请求包括基本身份信息,上述基本身份信息用于表征终端标识设备的名称和类型,上述身份认证中心用于对上述认证请求的发送方进行身份认证处理,上述调度因子用于表征上述认证请求的数量,上述第一公钥为上述身份认证中心生成的公钥;计算模块,用于对身份认证信息进行拼接计算,确定目标设备信息,并对上述目标设备信息进行哈希散列计算,确定信息摘要,其中,上述身份认证信息为待上述身份认证中心进行认证的信息,上述信息摘要用于表征上述哈希散列计算的工作量是否满足上述调度因子的要求;处理模块,用于基于上述调度因子和上述信息摘要确定初始认证信息,并采用上述第一公钥加密上述初始认证信息,得到目标认证信息,其中,上述目标认证信息用于发送至上述身份认证中心完成身份认证;接收模块,用于接收上述身份认证中心返回的认证结果,完成身份认证。
根据本发明实施例的另一方面,还提供了一种终端标识设备的认证装置,包括:生成模块,用于接收认证请求,并基于上述认证请求生成第一公私密钥对,其中,上述第一公私密钥对为身份认证中心对应的公私密钥对,包括第一公钥和第一私钥;确定模块,用于基于当前时刻上述认证请求的请求数,确定调度因子;第二发送模块,用于将上述第一公钥和上述调度因子发送给终端标识设备,其中,上述终端标识设备为上述认证请求的发送方;认证模块,用于采用上述第一私钥解密上述终端标识设备返回的目标认证信息,进行身份认证处理,得到身份认证结果,并将上述身份认证结果返回至上述终端标识设备。
根据本发明实施例的另一方面,还提供了一种非易失性存储介质,上述非易失性存储介质存储有多条指令,上述指令适于由处理器加载并执行任意一项上述的终端标识设备的认证方法。
根据本发明实施例的另一方面,还提供了一种电子设备,包括存储器和处理器,上述存储器中存储有计算机程序,上述处理器被设置为运行上述计算机程序以执行任意一项上述的终端标识设备的认证方法。
在本发明实施例中,通过发送认证请求,并接收身份认证中心返回的调度因子和第一公钥,其中,上述认证请求包括基本身份信息,上述基本身份信息用于表征终端标识设备的名称和类型,上述身份认证中心用于对上述认证请求的发送方进行身份认证处理,上述调度因子用于表征上述认证请求的数量,上述第一公钥为上述身份认证中心生成的公钥;对身份认证信息进行拼接计算,确定目标设备信息,并对上述目标设备信息进行哈希散列计算,确定信息摘要,其中,上述身份认证信息为待上述身份认证中心进行认证的信息,上述信息摘要用于表征上述哈希散列计算的工作量是否满足上述调度因子的要求;基于上述调度因子和上述信息摘要确定初始认证信息,并采用上述第一公钥加密上述初始认证信息,得到目标认证信息,其中,上述目标认证信息用于发送至上述身份认证中心完成身份认证;接收上述身份认证中心返回的认证结果,完成身份认证,达到了通过计算设备信息统一设备编码,以及根据调度因子控制认证请求数量的目的,从而实现了提升认证中心资源处理有效性和系统可靠性技术效果,进而解决了现有的认证方法设备编码不统一,且认证请求数量较大时,认证服务器存在过载风险的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的终端标识设备的认证方法;
图2是根据本发明实施例的一种可选的终端标识设备认证流程示意图;
图3是根据本发明实施例的一种可选的设备标识身份信息加密流程示意图;
图4是根据本发明实施例的一种可选的终端标识设备的认证方法;
图5是根据本发明实施例的一种可选的认证中心智能调度流程示意图;
图6是根据本发明实施例的一种可选的认证中心身份认证流程示意图;
图7是根据本发明实施例的一种终端标识设备的认证装置的结构示意图;
图8是根据本发明实施例的一种终端标识设备的认证装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
术语解释:
标识载体设备:标识载体是承载、容纳标识的一种形态,规定了标识数据在“载体”上以何种形式存储和读取的功能。标识载体具体又可以分为两种类型,如主动标识载体:通讯模组、芯片、传感器等,或被动标识载体:一维码、二维码、磁卡、RFID等。
身份认证中心服务器:以实现标识载体设备可信认证的服务器平台。通过该平台可实现对标识载体设备可信身份标识的管理(注册认证、注销、绑定)、可信设备会话密钥的管理等。
加密Hash函数:哈希函数(或称为散列函数)是最重要的密码原语的数学函数,被广泛用于许多密码协议和信息安全应用程序中,比如数字签名和消息认证代码。加密Hash函数是一种单项函数,可转换任意长度的而输入数据并生成固定长度的输出,输出通常就称作Hash值。输入数据有任何细微的变化都将极大地影响输出的Hash值。
非对称加密算法:非对称加密算法的密钥是一对匹配的加密密钥和解密密钥,必须成对出现,这两个密钥之间存在数学关系,相互制约。使用加密密钥加密后的密文,只有相应配对的解密密钥才能解密。其代表的加密算法分别是RSA、DSA、ECIES。
工作量证明机制:工作量证明(Proof-of-work)是指系统为达到某一目标而设置的度量方法。监测工作的整个过程通常是极为低效的,而通过对工作的结果进行认证来证明完成了相应的工作量,则是一种非常高效的方式。
相关技术中,物联网(Internet of Things,IoT),将物、人、系统、信息资源与智能服务连接起来的基础设施,通过传感设备按约定的协议把任何物品与互联网连接起来,进行信息交换和通讯,以实现智能化识别、定位、跟踪、控制、监控和管理。目前物联网的发展还面临着市场碎片化、产业标准不统一、安全考虑不完善等多种挑战。尤其是安全方面,相比于互联网,物联网应用将更加深入到人们的物理世界生活中,因此,传感器设备的安全问题,特别是接入设备的可靠性,信息传输的私密性已经成为物联网发展过程中不容忽视的重要环节。
相关的终端标识设备的认证方法中,为每个设备分配相应的设备密钥(设备私钥)K′s,设备的标识ID和设备密钥K′s应能够保存在设备的安全存储区域,不能被篡改及泄露。此外,在设备生产阶段,对于合格的物联网设备,将其身份信息如产品标识ID、安全信息,如:产品序列号,设备公钥Ks同步到身份认证中心服务器,用于后续环节中对于物联网设备的注册认证和管理。
在使用设备之前,需要在身份认证中心进行注册认证,并验证真实性和完整性。设备向身份认证中心发起注册认证请求,身份认证中心下发会话公钥,要求设备采用非对称加密的方式接受进一步设备认证请求。设备再将其产品标识ID以及对应的验证信息发送给身份认证中心,身份认证中心通过验证待入网的设备标识是否合规,设备安全信息以及设备认证相关密钥的公钥部分,并通过校验设备标识合法性、产品真实性以及验证设备认证密钥签名有效性等。校验通过后,可对该设备进行安全配置,操作权限管理等,然后并入现有网络中进行使用。
但是,不同的企业以及设备之间可能存在编码体系不一致,编码规则不统一,在一个开放的互联网络中,难以保证不同企业不同领域的设备之间的通信互联与数据共享。并且,工业物联网设备的一些特点,如分散性,流通性以及处在开放环境,导致设备终端容易遭受物理破坏、篡改、仿冒和信息窃取的风险。认证过程中,当终端侧设备将产品标识ID以及对应的验证信息发送给身份认证中心时,会首先采用Hash散列算法对信息内容进行摘要,再进一步通过认证中心的公钥做非对称加密。在接收侧,身份认证中心会对原始的信息做Hash散列得到信息摘要,再对接收到的密文采用RSA算法,解密得到Hash散列。对比Hash散列的结果是否一致;若一致,则认为接收到的信息是真实完整的。因此,为了保证消息传递的真实完整性,在身份认证中心其实需要花费较大的开销进行RSA计算,确认终端设备的完整性。因此,当遇到大量并发初始接入请求的时候,服务器资源可能存在过载风险,导致系统可靠性降低,引起会话超时,影响终端设备的认证过程。
根据本发明实施例,提供了一种终端标识设备的认证方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的终端标识设备的认证方法,如图1所示,该方法包括如下步骤:
步骤S102,发送认证请求,并接收身份认证中心返回的调度因子和第一公钥,其中,上述认证请求包括基本身份信息,上述基本身份信息用于表征终端标识设备的名称和类型,上述身份认证中心用于对上述认证请求的发送方进行身份认证处理,上述调度因子用于表征上述认证请求的数量,上述第一公钥为上述身份认证中心生成的公钥;
步骤S104,对身份认证信息进行拼接计算,确定目标设备信息,并对上述目标设备信息进行哈希散列计算,确定信息摘要,其中,上述身份认证信息为待上述身份认证中心进行认证的信息,上述信息摘要用于表征上述哈希散列计算的工作量是否满足上述调度因子的要求;
步骤S106,基于上述调度因子和上述信息摘要确定初始认证信息,并采用上述第一公钥加密上述初始认证信息,得到目标认证信息,其中,上述目标认证信息用于发送至上述身份认证中心完成身份认证;
步骤S108,接收上述身份认证中心返回的认证结果,完成身份认证。
在本发明实施例中,上述步骤S102至S108中提供的终端标识设备的认证的执行主体为终端标识设备,设备在入网初始激活时,需要向身份认证中心发起入网认证请求。请求发送后,接收身份认证中心返回的调度因子和第一公钥,对上述调度因子进行计算处理,以及对设备信息进行拼接处理,确定认证信息,并将上述认证信息发送给上述身份认证中心进行认证,最后接收身份认证中心返回的认证结果,完成认证。
需要说明的是,上述调度因子用于表征上述认证请求的数量,上述第一公钥为上述身份认证中心生成的公钥;上述认证信息用于发送至上述身份认证中心完成身份认证,上述认证信息是采用上述第一公钥加密上述信息摘要得到的。
作为一种可选的实施例,如图2所示的终端标识设备认证流程示意图,终端标识设备在入网初始激活时,需要向身份认证中心发起入网请求,终端标识设备企业在工业互联网标识解析平台上对物联网设备注册设备标识,得到分配的唯一标识编码ID。设备本身存储设备标识信息(标识编码ID),以及身份认证信息和设备认证密钥对(Kid,K′id)。企业在设备出厂之前,就可以将设备标识信息以及身份认证信息同步更新到身份认证中心。
可选的,仍如图2所示,认证中心在收到了标识设备发起的初始接入请求,会根据当前网络并发的初始接入请求数量来进行预判。若当前的并发请求数量较多,超过负载阈值N,则会对调度因子T进行调整。若当前的并发请求数量减少并低于负载阈值N时,则动态的调整调度因子T,对终端标识设备的接入不做限制。调度因子T会和认证中心会话公钥Kc(第一公钥)一同下发给终端标识设备。
可选的,终端标识设备在接收到认证中心的反馈之后,会根据认证中心的要求进行对应的操作。终端标识设备根据调度因子T,进行对应的工作量证明,通过尝试随机数计算出满足信息摘要M0<T的Hash散列,并返回给认证中心来证明其身份的合法性,通过时间开销的方式让认证中心的负载得以减轻从而实现均衡调度。终端标识设备根据认证中心会话公钥Kc,进行设备信息的RSA加密(需要进行注册的设备信息包括但不限于设备标识ID,产品序列号,硬件信息等)。最后,设备标识终端会将明文(拼接后的身份认证信息U0)和密文(加密后的信息摘要E0),以及第二公钥(设备认证公钥Kid)一起返回给认证中心。
可选的,认证中心在接收到明文和密文后,首先进行调度因子T的验证,确认接收端信息的合法性。在使用认证中心私有的私钥(第一私钥)对信息进行进一步解密,确认接收明文的真实完整性。对明文的内容也就是终端标识设备本身的信息进行处理,确认设备信息的合法性。最后,针对合法的设备生成对应的会话密钥对,并和设备标识ID进行绑定,存储相关信息,并给终端标识设备反馈结果。在处理过程中,一旦发现终端身份异常、信息缺失或者伪造等情况,则给终端反馈失败结果及对应原因。终端需要重新发起初始请求。
可选的,身份认证中心返回的消息会通过设备认证公钥Kid加密发送,因此只有该终端标识设备可以通过第二私钥K′id进行解密并获取认证中心验证的结果以及后续会话的密钥对。
可选的,终端标识设备在接收到身份认证中心的反馈和分配的会话密钥对之后,映射到设备标识ID编码,进行保存。
通过本发明实施例,在不同设备不同企业的终端编码可能不统一的情况下,本发明基于工业互联网标识应用平台,为每一台设备分配全球唯一的标识编码ID,用于存储设备关键信息,通过标识载体实现设备之间、设备与服务器的网络通信交互。由身份认证中心产生并保存终端设备的密钥对,在后续还可以支持密钥对更新。即使之前的密钥泄露,在重置初始的过程中,还可以重新获取会话密钥对,因此可以进一步提高安全性。通过结合Hash散列计算信息摘要和满足调度因子T的工作量证明,根据当前网络并发的初始接入请求数量、服务器资源能力以及当前负载能力,能够对接入服务器资源的设备进行调度管控,避免服务器资源的拥塞和过载。智能调度算法采用分级LevelA/B/C梯度(第一调度限制、第二调度限制、第三调度限制)的方式,可以支持通过调节调度因子T全0bit位的长度,实现对于终端设备工作量的灵活调节(全0bit位越长,所需要的运算量越大),在实际的应用过程中,可以根据服务器的能力以及注册接入场景进行灵活设置和调整。并且,在认证过程中,终端标识设备侧需要做一定难度的工作得出一个结果,认证中心侧可以通过结果来检查出客户端是否完成相应的工作,能够进一步验证终端侧发送设备的合法性,用于抵抗攻击身份认证请求服务器的拒绝服务攻击及资源的滥用。
在一种可选的实施例中,在上述向身份认证中心发送认证请求之前,上述方法还包括:发送注册请求,并接收标识解析平台返回的设备标识编码,其中,上述注册请求用于提示上述标识解析平台为上述注册请求的发送方生成上述设备标识编码;将上述设备标识编码、产品序列号、硬件信息和随机数作为上述身份认证信息存储在本地。
在本发明实施例中,终端设备企业在工业互联网标识解析平台上对物联网设备注册设备标识,并分配唯一的设备标识编码ID(Uid)。本地保存设备本身存储设备标识信息,以及身份认证信息和初始身份认证密钥对(Kid,K′id)。企业会在设备出厂之前,就将设备标识信息以及身份认证信息同步更新到认证中心,终端标识设备在初始入网时,需要向身份认证中心发起入网请求U1,具体可以包含:U1=(UidID||idbasic);其中,UidID是终端设备全球唯一的标识编码ID,idbasic是该设备的基本信息如设备名称,设备类型等。此外,入网请求U1中还可以包括:产品序列号、硬件信息等设备相关信息。
在一种可选的实施例中,上述对上述身份认证信息进行拼接计算,确定目标设备信息,并对上述目标设备信息进行哈希散列计算,确定信息摘要,包括:对上述设备标识编码、上述产品序列号、上述硬件信息和上述随机数进行拼接计算,确定上述目标设备信息;采用哈希散列算法计算上述目标设备信息,确定上述信息摘要。
在本发明实施例中,如图3所示的设备标识身份信息加密流程示意图,设备接收到认证中心发送的公钥Kc和调度因子T之后,进行身份认证信息的拼接处理和加密。需要发送的身份认证信息包括但不限于设备标识ID编码Uid,产品序列号Useries,硬件信息Uhw,以及32bit随机数RAND。将需要发送的明文信息进行拼接为认证信息,即目标设备信息U0,具体公式如下:
U0=(Uid||Useries||Uhw||RAND)
可选的,将信息内容先采用Hash MD256算法进行散列计算,得要信息摘要M0,具体公式如下:
M0=HASH256(U0)
在本发明实施例中,可选的,将计算出的信息摘要M0和接收到认证中心下发的调度因子T进行比较,确认当前终端设备是否需要进行工作量证明的证明身份的合法性。
在一种可选的实施例中,上述基于上述调度因子和上述信息摘要确定初始认证信息,并采用上述第一公钥加密上述初始认证信息,得到目标认证信息,包括:将上述信息摘要和上述调度因子进行比对处理,得到比对结果;若上述信息摘要小于上述调度因子,则确定上述信息摘要为上述初始认证信息;采用上述第一公钥加密上述初始认证信息,确定上述目标认证信息。
需要说明的是,若上述信息摘要大于上述调度因子,更新上述目标设备信息中的上述设备随机数并重新生成上述信息摘要直至上述信息摘要小于上述调度因子,例如:重新生成上述设备随机数;将更新后的上述信息摘要确定为上述初始认证信息;采用上述第一公钥加密上述初始认证信息,确定上述目标认证信息。
可选的,若当前下发的T=T0,为256bit全1,则说明没有调度限制,当前计算的M0必定满足M0<=T的条件,则采用认证中心的公钥进行加密,得到密文E0。其中,T0为上述第一调度因子。
可选的,若当前下发的T=TA,为T0高8bit置全0,进行LevelA级的调度限制。需要将当前计算的M0和T进行比较。若满足M0<=T,则采用认证中心的公钥进行加密,得到密文E0;若不满足,需要RAND加一,重新生成认证信息U0,并计算新的Hash散列。其中,TA为上述第二调度因子。
需要说明的是,SHA256散列函数是均匀分布的,因此,对应的哈希值在每bit上出现0和1的概率应该是相同的。对于T=TA,高8bit置全0的情况下,解空间必然存在,但每一次生成Hash散列M0能够满足条件的概率为1/2^8,即设备标识终端平均需要运算2^8次才能找到正确答案,运算时间为:PerSHA256Time*2^8。
可选的,若当前下发的T=TB,为T0高16bit置全0,进行LevelB级的调度限制。需要将当前计算的M0和T进行比较。若满足M0<=T,则采用认证中心的公钥进行加密,得到密文E0;若不满足,需要RAND加一,重新生成认证信息U0,并计算新的Hash散列。其中,TB为上述第三调度因子。
可选的,对于T=TB,高16bit置全0的情况,解空间必然存在,但每一次生成Hash散列M0能够满足条件的概率为1/2^16,即设备标识终端平均需要运算2^16次才能找到正确答案,运算时间为:PerSHA256Time*2^16。
可选的,若当前下发的T=TC,为T0高32bit置全0,进行LevelC级的调度限制。需要将当前计算的M0和T进行比较。若满足M0<=T,采用认证中心的公钥进行加密,得到密文E0;若不满足,需要RAND加一,重新生成认证信息U0,并计算新的Hash散列。其中,TC为上述第四调度因子。
需要说明的是,SHA256散列函数基本均匀分布的,因此对应的哈希值在每一bit上出现0和1的概率应该是相同的。对于T=TC,高32bit置全0的情况,解空间必然存在,但每一次生成Hash散列M0能够满足条件的概率为1/2^32,即设备标识终端平均需要运算2^32次才能找到正确答案,运算时间为:PerSHA256Time*2^32。
因此,可以看出对于不同的调度因子T的取值情况,终端侧需要的工作量证明的时间开销是逐级递增的,且满足一定的概率分布,由此实现对认证中心当前负载的情况的智能分流。同时,终端侧需要做一定难度的工作得出一个结果,认证中心侧却很容易通过结果来检查出客户端是不是做了相应的工作,能够进一步验证终端侧发送设备的合法性。可选的,采用认证中心的公钥进行加密,得到密文E0,具体公式如下:
E0=Kc(M0)
其中,Kc为认证中心的加密公钥,M0为设备标识终端的Hash散列的身份认证信息摘要。
可选的,将密文E0与明文U0,以及设备认证公钥Kid一并发送给认证中心。
图4是根据本发明实施例的终端标识设备的认证方法,如图4所示,该方法包括如下步骤:
步骤S402,接收认证请求,并基于上述认证请求生成第一公私密钥对,其中,上述第一公私密钥对为身份认证中心对应的公私密钥对,包括第一公钥和第一私钥;
步骤S404,基于当前时刻上述认证请求的请求数,确定调度因子;
步骤S406,将上述第一公钥和上述调度因子发送给终端标识设备,其中,上述终端标识设备为上述认证请求的发送方;
步骤S408,采用上述第一私钥解密上述终端标识设备返回的目标认证信息,进行身份认证处理,得到身份认证结果,并将上述身份认证结果返回至上述终端标识设备。
在本发明实施例中,上述步骤S402至S408中提供的终端标识设备的认证方法的执行主体为身份认证中心服务器,身份认证中心接收终端标识设备的认证请求,并基于请求数Nir生成调度因子,将调度因子和第一公钥发送给终端标识设备,并在接收到明文和密文后,首先进行调度因子T的验证,确认接收端信息的合法性。在使用认证中心私有的私钥对信息进行进一步解密,确认接收明文的真实完整性。对明文的内容,即终端标识设备本身的信息进行处理,确认设备信息的合法性。最后,针对合法的设备生成对应的会话密钥对,并和设备标识ID进行绑定,存储相关信息,并给终端标识设备反馈结果。在处理过程中,一旦发现终端身份异常、信息缺失或者伪造等情况,则给终端反馈失败结果及对应原因。终端需要重新发起初始请求。
需要说明的是,返回的消息会通过设备认证公钥Kid加密发送,因此只有该设备可以获取认证中心验证的结果以及后续会话的密钥对。
在一种可选的实施例中,上述基于当前时刻上述认证请求的请求数,确定调度因子,包括:若上述请求数小于第一负载阈值,则确定上述调度因子为第一调度因子,其中,上述第一调度因子用于控制上述身份认证中心进行正常调度;若上述请求数大于第一负载阈值且小于第二负载阈值,则确定上述调度因子为第二调度因子,其中,上述第二调度因子用于控制上述身份认证中心实施第一调度限制;若上述请求数大于第二负载阈值且小于第三负载阈值,则确定上述调度因子为第三调度因子,其中,上述第三调度因子用于控制上述身份认证中心实施第二调度限制;若上述请求数大于第三负载阈值,则确定上述调度因子为第四调度因子,其中,上述第四调度因子用于控制上述身份认证中心实施第三调度限制。
在本发明实施例中,如图5所示的认证中心智能调度流程示意图,认证中心开始收到了标识设备发起的初始接入请求,和设备标识编码ID,进行存储和审核。再会根据当前网络并发的初始接入请求数量、服务器资源能力以及当前负载能力,设定对应的接入请求负载门限级别LevelA/B/C,并更新对应的调度因子T。
可选的,若当前并发请求数量较少,请求数Nir<负载门限NlevelA时,正常进行调度,对调度因子不做任何限制,第一调度因子T0为256bit全1。
可选的,若当前并发请求数量增多,请求数Nir>负载门限NlevelA,且Nir<负载门限NlevelB时,对调度因子做LevelA层限制,第二调度因子TA=T0高8bit置全0。
可选的,若当前并发请求数量增多,请求数Nir>负载门限NlevelB,且Nir<负载门限NlevelC时,对调度因子做LevelB层限制,第三调度因子TB=T0高16bit置全0。
可选的,若当前并发请求数量增多,请求数Nir>负载门限NlevelC时,对调度因子做LevelC层限制,第四调度因子TC=T0高32bit置全0。
可选的,认证中心返回给终端标识设备认证中心的会话公钥Kc以及调度因子T。
作为一种可选的实施例,如图6所示的认证中心身份认证流程示意图,认证中心首先对收到的明文进行验证,通过Hash MD256散列计算得到第一验证摘要M′0,具体公式如下:
M′0=HASH256(U0)
其中,U0为认证中心接收到的明文,包括但不限于设备标识ID编码Uid,产品序列号Useries,硬件信息Uhw,以及32bit随机数RAND。
可选的,验证终端设备是否基于调度因子T完成来工作量证明。若M′0<=T,则对接收到的密文E0通过认证中心私有的私钥K′c进行解密;否则,终端设备没有认证其身份的合法性,且存在恶意攻击服务器计算资源的可能性,返回结果:失败,未满足调度要求。
可选的,对接收到的密文E0通过认证中心私有的私钥K′c进行解密,得到256bit的Hash散列第二验证摘要M1,具体公式如下:
M1=K′c(E0)
可选的,若明文通过Hash散列和密文解密出的Hash散列相等,即满足公式:
M′0=M1
则说明认证中心接受到的明文是真实且完整的。
可选的,在确认认证中心接收到的明文的真实性和完整系之后,对明文内容拼接的信息进行进一步拆解,获取设备标识ID编码Uid,产品序列号Useries,硬件信息Uhw等信息。与认证中心数据库中该设备出厂同步的信息进行验证,确认终端设备的真实有效性。若验证通过,则对接收到的密文E0通过认证中心私有的私钥K′c进行解密;若验证不通过,认为该产品为仿冒产品,返回结果:失败,身份认证失败。
可选的,为该终端设备生成一个会话密钥对(Ks,K′s),并映射到该设备唯一的标识ID编码,更新数据库。返回验证结果,成功或失败。若成功,则返回加密信息Es,如公式:
Es=Kid(Ks,K′s)
其中,Kid标识用终端标识设备认证公钥进行加密,(Ks,K′s)为认证中心为终端设备生成的会话密钥对。
作为一种可选的实施例,若终端接收到认证失败消息,则重新发起身份认证请求。若设备接收到认证成功消息之后,用本地的设备认证私钥K′id解密密文Es,获取终端标识设备的会话密钥对,映射到设备标识ID编码,进行保存。
通过上述步骤,可以实现结合Hash散列计算信息摘要和满足调度因子T的工作量证明,根据当前网络并发的初始接入请求数量、服务器资源能力以及当前负载能力,能够对接入服务器资源的设备进行调度管控,避免服务器资源的拥塞和过载。
根据本发明实施例,还提供了一种用于实施上述终端标识设备的认证方法的装置实施例,图7是根据本发明实施例的一种终端标识设备的认证装置的结构示意图,如图7所示,上述装置包括:第一发送模块70、计算模块72、处理模块74和接收模块76,其中:
第一发送模块70,用于发送认证请求,并接收身份认证中心返回的调度因子和第一公钥,其中,上述认证请求包括基本身份信息,上述基本身份信息用于表征终端标识设备的名称和类型,上述身份认证中心用于对上述认证请求的发送方进行身份认证处理,上述调度因子用于表征上述认证请求的数量,上述第一公钥为上述身份认证中心生成的公钥;
计算模块72,用于对身份认证信息进行拼接计算,确定目标设备信息,并对上述目标设备信息进行哈希散列计算,确定信息摘要,其中,上述身份认证信息为待上述身份认证中心进行认证的信息,上述信息摘要用于表征上述哈希散列计算的工作量是否满足上述调度因子的要求;
处理模块74,用于基于上述调度因子和上述信息摘要确定初始认证信息,并采用上述第一公钥加密上述初始认证信息,得到目标认证信息,其中,上述目标认证信息用于发送至上述身份认证中心完成身份认证;
接收模块76,用于接收上述身份认证中心返回的认证结果,完成身份认证。
此处需要说明的是,上述第一发送模块70、计算模块72、处理模块74和接收模块76对应于实施例1中的步骤S102至步骤S108,四个模块与对应的步骤所实现的实例和应用场景相同,但不限于上述实施例所公开的内容。
根据本发明实施例,还提供了一种用于实施上述终端标识设备的认证方法的装置实施例,图8是根据本发明实施例的一种终端标识设备的认证装置的结构示意图,如图8所示,上述装置包括:生成模块80、确定模块82、第二发送模块84和认证模块86,其中:
生成模块80,用于接收认证请求,并基于上述认证请求生成第一公私密钥对,其中,上述第一公私密钥对为身份认证中心对应的公私密钥对,包括第一公钥和第一私钥;
确定模块82,用于基于当前时刻上述认证请求的请求数,确定调度因子;
第二发送模块84,用于将上述第一公钥和上述调度因子发送给终端标识设备,其中,上述终端标识设备为上述认证请求的发送方;
认证模块86,用于采用上述第一私钥解密上述终端标识设备返回的目标认证信息,进行身份认证处理,得到身份认证结果,并将上述身份认证结果返回至上述终端标识设备。
此处需要说明的是,上述生成模块80、确定模块82、第二发送模块84和认证模块86对应于实施例中的步骤S402至步骤S408,四个模块与对应的步骤所实现的实例和应用场景相同,但不限于上述实施例所公开的内容。
需要说明的是,本实施例的优选实施方式可以参见实施例中的相关描述,此处不再赘述。
根据本发明的实施例,还提供了一种计算机可读存储介质的实施例。可选的,在本实施例中,上述计算机可读存储介质可以用于保存上述实施例所提供的终端标识设备的认证方法所执行的程序代码。
可选的,在本实施例中,上述计算机可读存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中。
可选的,在本实施例中,计算机可读存储介质被设置为存储用于执行以下步骤的程序代码:发送认证请求,并接收身份认证中心返回的调度因子和第一公钥,其中,上述认证请求包括基本身份信息,上述基本身份信息用于表征终端标识设备的名称和类型,上述身份认证中心用于对上述认证请求的发送方进行身份认证处理,上述调度因子用于表征上述认证请求的数量,上述第一公钥为上述身份认证中心生成的公钥;对身份认证信息进行拼接计算,确定目标设备信息,并对上述目标设备信息进行哈希散列计算,确定信息摘要,其中,上述身份认证信息为待上述身份认证中心进行认证的信息,上述信息摘要用于表征上述哈希散列计算的工作量是否满足上述调度因子的要求;基于上述调度因子和上述信息摘要确定初始认证信息,并采用上述第一公钥加密上述初始认证信息,得到目标认证信息,其中,上述目标认证信息用于发送至上述身份认证中心完成身份认证;接收上述身份认证中心返回的认证结果,完成身份认证。
可选的,上述计算机可读存储介质被设置为存储用于执行以下步骤的程序代码:响应于终端标识设备的注册指令,向标识解析平台发送注册请求;接收上述标识解析平台返回的设备标识编码;上述确定上述设备标识编码、产品序列号、硬件信息和设备随机数为上述身份认证信息。
可选的,上述计算机可读存储介质被设置为存储用于执行以下步骤的程序代码:采用预设计算公式对上述设备信息进行拼接处理,确定上述信息摘要,其中,上述信息摘要包括:上述设备标识编码、上述产品序列号、上述硬件信息和上述随机数;将上述信息摘要和上述调度因子进行比对处理,得到比对结果;若上述信息摘要小于上述调度因子,则求解上述调度因子,确定求解结果;采用上述第一公钥加密上述求解结果和上述信息摘要,确定上述认证信息。
可选的,上述计算机可读存储介质被设置为存储用于执行以下步骤的程序代码:若上述信息摘要大于上述调度因子,更新上述目标设备信息中的上述设备随机数并重新生成上述信息摘要直至上述信息摘要小于上述调度因子;将更新后的上述信息摘要确定为上述初始认证信息;采用上述第一公钥加密上述初始认证信息,确定上述目标认证信息。
可选的,上述计算机可读存储介质被设置为存储用于执行以下步骤的程序代码:响应于终端标识设备发送的认证请求,生成第一公私密钥对,其中,上述第一公私密钥对为身份认证中心对应的公私密钥对,包括第一公钥和第一私钥;基于当前时刻上述认证请求的请求数,确定调度因子;将上述第一公钥和上述调度因子发送给上述终端标识设备;采用上述第一私钥解密上述终端标识设备返回的认证信息进行认证处理,得到认证结果,并将上述身份认证结果返回至上述终端标识设备。
可选的,上述计算机可读存储介质被设置为存储用于执行以下步骤的程序代码:若上述请求数小于第一负载阈值,则确定上述调度因子为第一调度因子,其中,上述第一调度因子用于控制上述身份认证中心进行正常调度;若上述请求数大于第一负载阈值且小于第二负载阈值,则确定上述调度因子为第二调度因子,其中,上述第二调度因子用于控制上述身份认证中心实施第一调度限制;若上述请求数大于第二负载阈值且小于第三负载阈值,则确定上述调度因子为第三调度因子,其中,上述第三调度因子用于控制上述身份认证中心实施第二调度限制;若上述请求数大于第三负载阈值,则确定上述调度因子为第四调度因子,其中,上述第四调度因子用于控制上述身份认证中心实施第三调度限制。
根据本发明的实施例,还提供了一种处理器的实施例。可选的,在本实施例中,上述计算机可读存储介质可以用于保存上述实施例1所提供的终端标识设备的认证方法所执行的程序代码。
本申请实施例提供了一种电子设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现以下步骤:发送认证请求,并接收身份认证中心返回的调度因子和第一公钥,其中,上述认证请求包括基本身份信息,上述基本身份信息用于表征终端标识设备的名称和类型,上述身份认证中心用于对上述认证请求的发送方进行身份认证处理,上述调度因子用于表征上述认证请求的数量,上述第一公钥为上述身份认证中心生成的公钥;对身份认证信息进行拼接计算,确定目标设备信息,并对上述目标设备信息进行哈希散列计算,确定信息摘要,其中,上述身份认证信息为待上述身份认证中心进行认证的信息,上述信息摘要用于表征上述哈希散列计算的工作量是否满足上述调度因子的要求;基于上述调度因子和上述信息摘要确定初始认证信息,并采用上述第一公钥加密上述初始认证信息,得到目标认证信息,其中,上述目标认证信息用于发送至上述身份认证中心完成身份认证;接收上述身份认证中心返回的认证结果,完成身份认证。
本申请实施例提供了一种电子设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现以下步骤:接收认证请求,并基于上述认证请求生成第一公私密钥对,其中,上述第一公私密钥对为身份认证中心对应的公私密钥对,包括第一公钥和第一私钥;基于当前时刻上述认证请求的请求数,确定调度因子;将上述第一公钥和上述调度因子发送给终端标识设备,其中,上述终端标识设备为上述认证请求的发送方;采用上述第一私钥解密上述终端标识设备返回的目标认证信息,进行身份认证处理,得到身份认证结果,并将上述身份认证结果返回至上述终端标识设备。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:发送认证请求,并接收身份认证中心返回的调度因子和第一公钥,其中,上述认证请求包括基本身份信息,上述基本身份信息用于表征终端标识设备的名称和类型,上述身份认证中心用于对上述认证请求的发送方进行身份认证处理,上述调度因子用于表征上述认证请求的数量,上述第一公钥为上述身份认证中心生成的公钥;对身份认证信息进行拼接计算,确定目标设备信息,并对上述目标设备信息进行哈希散列计算,确定信息摘要,其中,上述身份认证信息为待上述身份认证中心进行认证的信息,上述信息摘要用于表征上述哈希散列计算的工作量是否满足上述调度因子的要求;基于上述调度因子和上述信息摘要确定初始认证信息,并采用上述第一公钥加密上述初始认证信息,得到目标认证信息,其中,上述目标认证信息用于发送至上述身份认证中心完成身份认证;接收上述身份认证中心返回的认证结果,完成身份认证。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:接收认证请求,并基于上述认证请求生成第一公私密钥对,其中,上述第一公私密钥对为身份认证中心对应的公私密钥对,包括第一公钥和第一私钥;基于当前时刻上述认证请求的请求数,确定调度因子;将上述第一公钥和上述调度因子发送给终端标识设备,其中,上述终端标识设备为上述认证请求的发送方;采用上述第一私钥解密上述终端标识设备返回的目标认证信息,进行身份认证处理,得到身份认证结果,并将上述身份认证结果返回至上述终端标识设备。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (11)

1.一种终端标识设备的认证方法,其特征在于,包括:
发送认证请求,并接收身份认证中心返回的调度因子和第一公钥,其中,所述认证请求包括基本身份信息,所述基本身份信息用于表征终端标识设备的名称和类型,所述身份认证中心用于对所述认证请求的发送方进行身份认证处理,所述调度因子用于表征所述认证请求的数量,所述第一公钥为所述身份认证中心生成的公钥;
对身份认证信息进行拼接计算,确定目标设备信息,并对所述目标设备信息进行哈希散列计算,确定信息摘要,其中,所述身份认证信息为待所述身份认证中心进行认证的信息,所述信息摘要用于表征所述哈希散列计算的工作量是否满足所述调度因子的要求;
基于所述调度因子和所述信息摘要确定初始认证信息,并采用所述第一公钥加密所述初始认证信息,得到目标认证信息,其中,所述目标认证信息用于发送至所述身份认证中心完成身份认证;
接收所述身份认证中心返回的认证结果,完成身份认证。
2.根据权利要求1所述的方法,其特征在于,在所述发送认证请求之前,所述方法还包括:
发送注册请求,并接收标识解析平台返回的设备标识编码,其中,所述注册请求用于提示所述标识解析平台为所述注册请求的发送方生成所述设备标识编码;
确定所述设备标识编码、产品序列号、硬件信息和设备随机数为所述身份认证信息。
3.根据权利要求2所述的方法,其特征在于,所述对所述身份认证信息进行拼接计算,确定目标设备信息,并对所述目标设备信息进行哈希散列计算,确定信息摘要,包括:
对所述设备标识编码、所述产品序列号、所述硬件信息和所述随机数进行拼接计算,确定所述目标设备信息;
采用哈希散列算法计算所述目标设备信息,确定信息摘要。
4.根据权利要求2所述的方法,其特征在于,所述基于所述调度因子和所述信息摘要确定初始认证信息,并采用所述第一公钥加密所述初始认证信息,得到目标认证信息,包括:
将所述信息摘要和所述调度因子进行比对处理,得到比对结果;
若所述信息摘要小于所述调度因子,则确定所述信息摘要为所述初始认证信息;
采用所述第一公钥加密所述初始认证信息,确定所述目标认证信息。
5.根据权利要求4所述的方法,其特征在于,所述将所述信息摘要和所述调度因子进行比对处理,得到比对结果,还包括:
若所述信息摘要大于所述调度因子,更新所述目标设备信息中的所述设备随机数,并重新生成所述信息摘要直至所述信息摘要小于所述调度因子;
将更新后的所述信息摘要确定为所述初始认证信息;
采用所述第一公钥加密所述初始认证信息,确定所述目标认证信息。
6.一种终端标识设备的认证方法,其特征在于,包括:
接收认证请求,并基于所述认证请求生成第一公私密钥对,其中,所述第一公私密钥对为身份认证中心对应的公私密钥对,包括第一公钥和第一私钥;
基于当前时刻所述认证请求的请求数,确定调度因子;
将所述第一公钥和所述调度因子发送给终端标识设备,其中,所述终端标识设备为所述认证请求的发送方;
采用所述第一私钥解密所述终端标识设备返回的目标认证信息,进行身份认证处理,得到身份认证结果,并将所述身份认证结果返回至所述终端标识设备。
7.根据权利要求6所述的方法,其特征在于,所述基于当前时刻所述认证请求的请求数,确定调度因子,包括:
若所述请求数小于第一负载阈值,则确定所述调度因子为第一调度因子,其中,所述第一调度因子用于控制所述身份认证中心进行正常调度;
若所述请求数大于第一负载阈值且小于第二负载阈值,则确定所述调度因子为第二调度因子,其中,所述第二调度因子用于控制所述身份认证中心实施第一调度限制;
若所述请求数大于第二负载阈值且小于第三负载阈值,则确定所述调度因子为第三调度因子,其中,所述第三调度因子用于控制所述身份认证中心实施第二调度限制;
若所述请求数大于第三负载阈值,则确定所述调度因子为第四调度因子,其中,所述第四调度因子用于控制所述身份认证中心实施第三调度限制。
8.一种终端标识设备的认证装置,其特征在于,包括:
第一发送模块,用于发送认证请求,并接收身份认证中心返回的调度因子和第一公钥,其中,所述认证请求包括基本身份信息,所述基本身份信息用于表征终端标识设备的名称和类型,所述身份认证中心用于对所述认证请求的发送方进行身份认证处理,所述调度因子用于表征所述认证请求的数量,所述第一公钥为所述身份认证中心生成的公钥;
计算模块,用于对身份认证信息进行拼接计算,确定目标设备信息,并对所述目标设备信息进行哈希散列计算,确定信息摘要,其中,所述身份认证信息为待所述身份认证中心进行认证的信息,所述信息摘要用于表征所述哈希散列计算的工作量是否满足所述调度因子的要求;
处理模块,用于基于所述调度因子和所述信息摘要确定初始认证信息,并采用所述第一公钥加密所述初始认证信息,得到目标认证信息,其中,所述目标认证信息用于发送至所述身份认证中心完成身份认证;
接收模块,用于接收所述身份认证中心返回的认证结果,完成身份认证。
9.一种终端标识设备的认证装置,其特征在于,包括:
生成模块,用于接收认证请求,并基于所述认证请求生成第一公私密钥对,其中,所述第一公私密钥对为身份认证中心对应的公私密钥对,包括第一公钥和第一私钥;
确定模块,用于基于当前时刻所述认证请求的请求数,确定调度因子;
第二发送模块,用于将所述第一公钥和所述调度因子发送给终端标识设备,其中,所述终端标识设备为所述认证请求的发送方;
认证模块,用于采用所述第一私钥解密所述终端标识设备返回的目标认证信息,进行身份认证处理,得到身份认证结果,并将所述身份认证结果返回至所述终端标识设备。
10.一种非易失性存储介质,其特征在于,所述非易失性存储介质存储有多条指令,所述指令适于由处理器加载并执行权利要求1至7中任意一项所述的终端标识设备的认证方法。
11.一种电子设备,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至7中任意一项所述的终端标识设备的认证方法。
CN202310194221.6A 2023-02-28 2023-02-28 终端标识设备的认证方法、装置、存储介质及设备 Pending CN116170228A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310194221.6A CN116170228A (zh) 2023-02-28 2023-02-28 终端标识设备的认证方法、装置、存储介质及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310194221.6A CN116170228A (zh) 2023-02-28 2023-02-28 终端标识设备的认证方法、装置、存储介质及设备

Publications (1)

Publication Number Publication Date
CN116170228A true CN116170228A (zh) 2023-05-26

Family

ID=86411227

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310194221.6A Pending CN116170228A (zh) 2023-02-28 2023-02-28 终端标识设备的认证方法、装置、存储介质及设备

Country Status (1)

Country Link
CN (1) CN116170228A (zh)

Similar Documents

Publication Publication Date Title
CN109714167B (zh) 适用于移动应用签名的身份认证与密钥协商方法及设备
CN106878318B (zh) 一种区块链实时轮询云端系统
US7620824B2 (en) Data communicating apparatus, data communicating method, and program
US20060195402A1 (en) Secure data transmission using undiscoverable or black data
CN100512201C (zh) 用于处理分组业务的接入-请求消息的方法
CN110381055B (zh) 医疗供应链中的rfid系统隐私保护认证协议方法
CA2463034A1 (en) Method and system for providing client privacy when requesting content from a public server
CN101241528A (zh) 终端接入可信pda的方法和接入系统
CN111614621B (zh) 物联网通信方法和系统
CN112351037B (zh) 用于安全通信的信息处理方法及装置
CN111130798B (zh) 一种请求鉴权方法及相关设备
US9398024B2 (en) System and method for reliably authenticating an appliance
CN114143117B (zh) 数据处理方法及设备
CN116458117A (zh) 安全数字签名
Kumar et al. Ultra-lightweight blockchain-enabled RFID authentication protocol for supply chain in the domain of 5G mobile edge computing
CN114172923B (zh) 数据传输方法、通信系统及通信装置
CN113438650B (zh) 基于区块链的网络设备认证方法及系统
Akram et al. A secure and trusted channel protocol for the user centric smart card ownership model
CN115396149A (zh) 一种基于隐私保护的高效认证密钥交换方法
CN114065170A (zh) 平台身份证书的获取方法、装置和服务器
CN116170228A (zh) 终端标识设备的认证方法、装置、存储介质及设备
Bäumer et al. Terrapin Attack: Breaking SSH Channel Integrity By Sequence Number Manipulation
CN115361147A (zh) 设备注册方法及装置、计算机设备、存储介质
US20220067727A1 (en) Method for operating a distributed database system, distributed database system, and industrial automation system
CN111651740A (zh) 一种面向分布式智能嵌入式系统的可信平台共享系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination