CN116962079A - 物联网认证方法、设备、物联网认证系统和存储介质 - Google Patents
物联网认证方法、设备、物联网认证系统和存储介质 Download PDFInfo
- Publication number
- CN116962079A CN116962079A CN202311204612.8A CN202311204612A CN116962079A CN 116962079 A CN116962079 A CN 116962079A CN 202311204612 A CN202311204612 A CN 202311204612A CN 116962079 A CN116962079 A CN 116962079A
- Authority
- CN
- China
- Prior art keywords
- internet
- key
- local
- things
- fingerprint
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 57
- 238000004364 calculation method Methods 0.000 claims description 17
- 238000012545 processing Methods 0.000 claims description 14
- 230000004044 response Effects 0.000 claims description 6
- 238000004422 calculation algorithm Methods 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 10
- 230000010365 information processing Effects 0.000 description 4
- 238000001212 derivatisation Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012856 packing Methods 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 238000005406 washing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y40/00—IoT characterised by the purpose of the information processing
- G16Y40/50—Safety; Security of things, users, data or systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种物联网认证方法、设备、物联网认证系统和存储介质,该方法包括:确定需建立信任的设备群,设备群包括需要建立信任的多个物联网设备;以及生成对应设备群的密钥因子;将密钥因子分别配置给设备群中的各物联网设备,以使设备群中的物联网设备之间能够建立信任;其中,配置有相同所述密钥因子的物联网设备之间能够成功认证而建立信任。通过上述方式,本申请能够实现同一局域网内的部分设备的认证。
Description
技术领域
本申请涉及通信技术领域,特别是涉及一种物联网认证方法、设备、物联网认证系统和存储介质。
背景技术
目前,物联网设备之间进行相互认证的方式,主要是证书认证;其中,证书认证具体为:由密钥中心给每台设备签发证书和私钥,每台设备预先导入根证书、设备证书和私钥,设备间相互认证时通过信任根证书来对对方设备证书进行认证,从而完成对对方的身份认证。证书认证方式中,预先导入的设备证书和私钥都需要密钥中心进行分别签发,即,每台设备都需要走签发,流程繁琐;另外,如果设备均预埋了密钥、证书等,那么所有设备将全部相互认证,无法划分认证区域。
发明内容
本申请主要解决的技术问题是提供一种物联网认证方法、设备、物联网认证系统和存储介质,能够实现同一局域网内的部分设备的认证。
为解决上述技术问题,本申请采用的一个技术方案是:提供一种物联网认证方法,该方法包括:确定需建立信任的设备群,设备群包括需要建立信任的多个物联网设备;以及生成对应设备群的密钥因子;将密钥因子分别配置给设备群中的各物联网设备,以使设备群中的物联网设备之间能够建立信任;其中,配置有相同密钥因子的物联网设备之间能够成功认证而建立信任。
为解决上述技术问题,本申请采用的另一个技术方案是:提供一种物联网认证方法,该方法包括:当前物联网设备获得密钥生成设备配置的本端密钥因子;其中,密钥生成设备为同一设备群中的每个物联网设备配置的密钥因子相同,设备群由需要建立信任的多个物联网设备组成;利用本端密钥因子,进行与其他物联网设备之间的是否建立信任的认证,其他物联网设备与当前物联网设备位于同一局域网内。
为解决上述技术问题,本申请采用的另一个技术方案是:提供一种密钥生成设备,该密钥生成设备包括处理器和存储器,存储器存储有程序指令,处理器用于执行程序指令以实现上述的方法。
为解决上述技术问题,本申请采用的另一个技术方案是:提供一种物联网设备,该物联网设备包括处理器和存储器,存储器存储有程序指令,处理器用于执行程序指令以实现上述的方法。
为解决上述技术问题,本申请采用的另一个技术方案是:提供一种物联网认证系统,该物联网认证系统包括位于同一局域网的多个物联网设备以及密钥生成设备;其中,密钥生成设备为上述的设备;物联网设备为上述的设备。
为解决上述技术问题,本申请采用的另一个技术方案是:提供一种计算机可读存储介质,该计算机可读存储介质用于存储程序指令,程序指令能够被执行以实现上述的方法。
上述技术方案,需要建立信任的多个物联网设备,可以看作是同一局域网内的部分/全部物联网设备;故,向需要建立信任的多个物联网设备发送同一密钥因子,可以理解为,向同一局域网内的部分/全部物联网设备发送同一密钥因子,使得接收到同一密钥因子的部分/全部物联网设备之间后续能够通过建立信任的认证,即,能够实现了部分设备的认证。另外,由于需要建立信任的设备群中的多个物联网设备,是通过与各自配置的密钥因子相同而建立信任的,所以,向需要建立信任的设备群中的各物联网设备是分别配置了相同的密钥因子的,密钥因子的配置更加简化、轻量化。
附图说明
图1是本申请提供的物联网认证方法一实施例的流程示意图;
图2是本申请提供的物联网设备部署和交互示意图;
图3是图1所示步骤S13一实施例的流程示意图;
图4是本申请提供的物联网认证方法一实施例的流程示意图;
图5是图4所示步骤S42一实施例的流程示意图;
图6是图4所示步骤S42另一实施例的流程示意图;
图7是本申请提供的密钥生成设备一实施例的结构示意图;
图8是本申请提供的物联网设备一实施例的结构示意图;
图9是本申请提供的物联网认证系统一实施例的结构示意图;
图10是本申请提供的计算机可读存储介质一实施例的结构示意图。
具体实施方式
下面结合说明书附图,对本申请实施例的方案进行详细说明。
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、接口、技术之类的具体细节,以便透彻理解本申请。
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。此外,本文中的“多”表示两个或者多于两个。另外,本文中术语“至少一种”表示多种中的任意一种或多种中的至少两种的任意组合,例如,包括A、B、C中的至少一种,可以表示包括从A、B和C构成的集合中选择的任意一个或多个元素。
请参阅图1,图1是本申请提供的物联网认证方法一实施例的流程示意图。需注意的是,若有实质上相同的结果,本申请的实施例并不以图1所示的流程顺序为限。如图1所示,本实施例包括:
步骤S11:确定需建立信任的设备群。
本实施方式中,密钥生成设备确定需建立信任的设备群,设备群包括需要建立信任的多个物联网设备。其中,不对物联网设备的类型进行限定,可根据实际使用需要具体设置。例如,物联网设备为前端设备,如,摄像头、冰箱、洗衣机、手机等,前端设备之间建立信任,便于后续前端设备之间进行数据交互、数据同步等;又例如,物联网设备为后端设备,如,服务器、云端设备等,前端设备与后端设备建立信任,便于后续后端设备对前端设备进行配置下发、配置获取、业务操作等。
需要说明的是,需要建立信任的多个物联网设备,可以是同一局域网内的所有物联网设备,即,需要同一局域网内的所有物联网设备之间建立信任。
当然,需要建立信任的多个物联网设备,也可以是同一局域网内的部分物联网设备,即,需要同一局域网内的部分物联网设备之间建立信任;可以理解为,在同一局域网内选出需要进行建立信任的认证,实现了认证区域的划分,实现部分物联网设备间之间建立信任,即,实现了部分物联网设备之间进行建立信任的认证,细化了物联网设备的认证范围。
举例来说,如图2所示,图2是本申请提供的物联网设备部署和交互示意图,由于需要物联网设备A(摄像头)与物联网设备B(摄像头)之间建立信任,所以确定需要建立信任的设备群包括物联网设备A和物联网设备B。
在一实施方式中,基于预设选择策略或者用户输入的选择信息,从位于同一局域网内的若干物联网设备中选出需建立信任的多个,形成设备群;即,能够从同一局域网内,自行确定需要建立信任的多个物联网设备,或者说,能够从同一局域网内,自行选择物联网设备组成认证区域,实现认证区域的灵活设置。具体地,以基于用户的选择信息从位于同一局域网内的若干物联网设备中选择出需建立信任的多个设备为例,在密钥生成设备上显示位于同一局域网内的若干物联网设备,包括物联网设备A、物联网设备B、物联网设备C、物联网设备D、物联网设备E、物联网设备F和物联网设备G;若用户在密钥生成设备上选择物联网设备A、物联网设备B、物联网设备D和物联网设备G,则将物联网设备A、物联网设备B、物联网设备D和物联网设备G作为需要其彼此之间建立信任的多个物联网设备,形成设备群。
需要说明的是,同一局域网内的若干物联网设备,可以是利用密钥生成设备进行搜索而获得的;当然,同一局域网内的若干物联网设备,也可以是利用除密钥生成设备以外的其他设备进行搜索得到,并发送给密钥生成设备的。
步骤S12:生成对应设备群的密钥因子。
本实施方式中,生成对应设备群的密钥因子。
在一实施方式中,可由密钥生成设备直接生成对应设备群的密钥因子。当然,在其他实施方式中,也可以是密钥生成设备向云端设备发送生成密钥因子的请求信息,云端设备接收到生成密钥因子的请求信息后由其生成设备群的密钥因子。
在一实施方式中,生成一随机因子,作为设备群的密钥因子。举例来说,以密钥生成设备生成设备群的密钥因子为例:密钥生成设备生成一个随机因子,作为设备群的密钥因子。又例如,以云端设备生成设备群的密钥因子为例:密钥生成设备向云端设备发送生成密钥因子的请求信息;云端设备接收到生成密钥因子的请求信息后,生成对应设备群的密钥因子。
在其他实施方式中,存储有若干固定的密钥因子,从存储的若干固定的密钥因子中,选择一个,作为对应设备群的密钥因子。举例来说,以密钥生成设备生成设备群的密钥因子为例:密钥生成设备中存储有若干固定的密钥因子,从存储的若干固定的密钥因子中,选择一个,作为对应设备群的密钥因子。又例如,以云端设备生成设备群的密钥因子为例:密钥生成设备向云端设备发送生成密钥因子的请求信息;云端设备中存储有若干固定的密钥因子,云端设备接收到生成密钥因子的请求信息后,从存储的若干固定的密钥因子中,选择一个,作为对应设备群的密钥因子。
在一实施方式中,密钥因子的长度固定;例如,密钥因子的长度为32字节等。当然,在其他实施方式中,密钥因子的长度也可以是变化的,在此不做限定。
需要说明的是,本申请提供的物联网认证方法,并不限定确定需建立信任的设备群和生成对应设备群的密钥因子这两个步骤的顺序。即,可先确定需建立信任的设备群,然后生成对应设备群的密钥因子;或者,可先生成对应设备群的密钥因子,然后确定需要建立信任的设备群。
步骤S13:将密钥因子分别配置给设备群中的各物联网设备,以使设备群中的物联网设备之间能够建立信任。
本实施方式中,将密钥因子分别配置给设备群中的各物联网设备,以使设备群中的物联网设备之间能够建立信任;其中,配置有相同密钥因子的物联网设备之间能够成功认证而建立信任。配置有相同密钥因子的物联网设备之间能够通过建立信任的认证;而密钥生成设备将同一密钥因子分别配置给需要建立信任的多个物联网设备,由于需要建立信任的多个物联网设备被配置为相同的密钥因子,所以,后续需要建立信任的多个物联网设备之间能够通过建立信任的认证。
由于配置有相同密钥因子的物联网设备之间能够通过建立信任的认证,所以将同一密钥因子仅分别配置给需要建立信任的多个物联网设备,使得需要建立信任的多个物联网设备之间能够通过建立信任的认证;即,物联网设备被配置的密钥因子是否相同,决定了物联网设备之间建立信任的认证是否通过/成功。需要建立信任的多个物联网设备,可以看作是同一局域网内的部分/全部物联网设备;故,向需要建立信任的多个物联网设备发送同一密钥因子,可以理解为,向同一局域网内的部分/全部物联网设备发送同一密钥因子,使得接收到同一密钥因子的部分/全部物联网设备之间后续能够通过建立信任的认证,即,实现了部分设备的认证。另外,由于需要建立信任的设备群中的多个物联网设备,是通过与各自配置的密钥因子相同而建立信任的,所以,向需要建立信任的设备群中的各物联网设备是分别配置了相同的密钥因子的,密钥因子的配置更加简化、轻量化。
在一实施方式中,设备群有多个,每个设备群对应的密钥因子不同。在每个设备群对应的密钥因子不同时,一设备群中的物联网设备无法与其他设备群中的物联网设备之间通过建立信任的认证。所以,在同一局域网内存在多个密钥因子不同的设备群时,表明在同一局域网内,划分了多个认证区域,多个认证区域之间相互不影响。
在一实施方式中,由密钥生成设备直接生成对应设备群的密钥因子;所以,此时,由密钥生成设备将密钥因子分别配置给设备群中的各个物联网设备。当然,在其他实施方式中,密钥生成设备向云端设备发送生成密钥因子的请求信息,云端设备接收到生成密钥因子的请求信息后由其生成设备群的密钥因子;此时,云端设备将生成的对应设备群的密钥因子反馈至密钥生成设备,密钥生成设备接收到密钥因子后,将密钥因子分别配置给设备群中的各物联网设备。在其他实施方式中,密钥生成设备向云端设备发送生成密钥因子的请求信息和设备群中的多个物联网设备的指示信息,云端设备接收到生成密钥因子的请求信息后由其生成设备群的密钥因子,并将密钥影子分别配置给设备群中的各物联网设备(物联网设备接入云端设备)。
在一实施方式中,在将密钥因子分别配置给设备群中的各物联网设备之后,响应于设备群中的物联网设备发生变化,生成新的密钥因子,并将新的密钥因子重新配置给当前设备群中的各物联网设备,以使当前设备群中的物联网设备能够通过认证与各自配置的新的密钥因子相同而建立信任。也就是说,在设备群中的物联网设备发生变化时,即,在认证区域中的物联网设备发生变化时,表明需要相互建立信任的多个物联网设备发生改变,所以需要生成新的密钥因子并分别配置给当前设备群中的各物联网设备,以使得改变后的设备群中的多个物联网设备之间能够通过建立信任的认证。
由于在将生成的对应设备群的密钥因子分别配置给设备群中的各物联网设备的过程中,存在密钥因子被窃取的风险,安全性较低;所以,直接将生成的密钥因子分别配置给设备群中的各物联网设备,风险较大,安全性较低。故,在一实施方式中,如图3所示,图3是图1所示步骤S13一实施例的流程示意图,本申请提供的物联网认证方法还包括生成加密密钥,将密钥因子分别配置给设备群中的各物联网设备,具体包括如下子步骤:
步骤S31:基于加密密钥,获得对密钥因子加密得到的密文。
本实施方式中,基于加密密钥,获得对密钥因子加密得到的密文。也就是说,在将密钥因子分别配置给设备群中的各物联网设备之前,会生成用于加密密钥因子的加密密钥,以对密钥因子进行加密,保证了后续密钥因子分别配置给设备群中的各物联网设备的安全性。
在一实施方式中,会生成第一数量个字节的随机密钥,作为加密密钥;其中,不对第一数量的大小进行限定,如,第一数量为32等。
在一实施方式中,直接利用加密密钥对密钥因子进行加密,得到密文。为了进一步提高后续将密钥因子配置给物联网设备过程中的安全性,在其他实施方式中,会先生成加密密钥的对称密钥,然后采用对称密钥对密钥因子进行加密而得到密文。
在一具体实施方式中,利用算法库ESDK将加密密钥进行KDF衍生,衍生得到加密密钥的对称密钥。当然,在其他具体实施方式中,也可以采用其他方式生成加密密钥的对称密钥,在此不做具体限定。
在一具体实施方式中,采用加密密钥或者加密密钥的对称密钥,对密钥因子进行AES加密,得到密文。当然,在其他具体实施方式中,也可采用加密密钥或者加密密钥的对称密钥,对密钥因子进行其他方式的加密,得到密文。
步骤S32:将密文和加密密钥发送给设备群中的各物联网设备,使得设备群中的各物联网设备利用加密密钥对密文解密得到密钥因子。
本实施方式中,将密文和加密密钥发送给设备群中的各物联网设备,使得设备群中的各物联网设备利用加密密钥对密文解密得到密钥因子。
在一实施方式中,将密文和加密密钥作为两个单独的数据发送给设备群中的各个物联网设备。当然,在其他实施方式中,也可以将密文和加密密钥组装成配置文件,并将配置文件发送给设备群中的各个物联网设备;也就是说,将密文和加密密钥打包封装成在一个文件,以对密文和加密密钥进行整体、统一地发送,避免在传输过程中出现部分数据丢失的情况。
上述实施方式中,需要建立信任的多个物联网设备,可以看作是同一局域网内的部分/全部物联网设备;故,向需要建立信任的多个物联网设备发送同一密钥因子,可以理解为,向同一局域网内的部分/全部物联网设备发送同一密钥因子,使得接收到同一密钥因子的部分/全部物联网设备之间后续能够通过建立信任的认证,即,能够实现了部分设备的认证。另外,由于需要建立信任的设备群中的多个物联网设备,是通过与各自配置的密钥因子相同而建立信任的,所以,向需要建立信任的设备群中的各物联网设备是分别配置了相同的密钥因子的,密钥因子的配置更加简化、轻量化。
请参阅图4,图4是本申请提供的物联网认证方法一实施例的流程示意图。需注意的是,若有实质上相同的结果,本申请的实施例并不以图1所示的流程顺序为限。如图4所示,本实施例包括:
步骤S41:当前物联网设备获得密钥生成设备配置的本端密钥因子。
本实施方式中,当前物联网设备获得密钥生成设备配置的本端密钥因子;其中,密钥生成设备为同一设备群中的每个物联网设备配置的密钥因子相同,设备群由需要建立信任的多个物联网设备组成。由于物联网设备能够通过认证与各自配置的密钥因子相同而建立信任,即,物联网设备被配置给的密钥因子是否相同,决定了物联网设备之间是否可以通过认证而建立信任;故,当前物联网设备后续能够利用本端密钥因子,进行与其他物联网设备之间的是否建立信任的认证。
在一实施方式中,当前物联网设备接收到的是将密文和加密密钥打包组装成的配置文件,所以,需要当前物联网设备对配置文件进行解析、解密等操作才能获得本端密钥因子。举例来说,以利用算法库ESDK将加密密钥进行KDF衍生得到加密密钥的对称密钥、采用加密密钥的对称密钥对密钥因子进行AES加密得到密文为例:在接收到由加密密钥和密文组装成的配置文件后,对配置文件进行解析,得到加密密钥和密文;利用加密密钥进行KDF衍生,衍生得到加密密钥的对称密钥;利用加密密钥的对称密钥对密文进行AES解密,得到密钥因子,即,本端密钥因子。
步骤S42:利用本端密钥因子,进行与其他物联网设备之间的是否建立信任的认证。
本实施方式中,利用本端密钥因子,进行与其他物联网设备之间的是否建立信任的认证;其中,其他物联网设备与当前物联网设备位于同一局域网内。需要说明的是,利用本端密钥因子,进行与其他物联网设备之间的是否建立信任的认证,可以是向其他物联网设备发送认证请求,以请求与其他物联网设备之间进行是否建立信任的认证,从而其他物联网设备确定与当前物联网设备是否为信任设备;也可以是接收其他物联网设备发送的认证请求,以确定其他物联网设备是否为自身的可信任设备。
在一实施方式中,如图5所示,图5是图4所示步骤S42一实施例的流程示意图,利用本端密钥因子,进行与其他物联网设备之间的是否建立信任的认证,为当前物联网设备向其他物联网设备请求进行是否建立信任的认证,具体包括如下子步骤:
步骤S51:利用本端密钥因子生成本端认证指纹。
本实施方式中,利用本端密钥因子生成本端认证指纹。
在一实施方式中,可直接将本端密钥因子,作为本端认证指纹。在其他实施方式中,可对本端密钥因子进行密钥衍生计算,得到本端密钥因子的对称密钥,并将本端密钥因子的对称密钥作为本端认证指纹。
为了避免在后续向其他物联网设备发送本端认证请求时,本端密钥因子直接裸露在外,所以,在其他实施方式中,会先生成本端指纹因子,然后利用本端密钥因子对本端指纹因子进行预设处理,得到本地认证指纹,以使得后续发送包括本端认证指纹的本端认证请求。
在一具体实施方式中,生成第二数量个字节的随机数,作为本端指纹因子。其中,不对第二数量的大小进行限定,如,第二数量为32等。
在一具体实施方式中,利用本端密钥因子对本端指纹因子进行预设处理,得到本端认证指纹,具体为:将本端密钥因子作为本端指纹密钥,或者,使用本端密钥因子进行密钥衍生计算,得到本端指纹密钥;基于消息摘要算法,利用本端指纹密钥对本端指纹因子进行指纹计算,得到本端认证指纹。具体地,以使用本端密钥因子进行衍生计算得到本端指纹密钥为例:使用本端密钥因子F进行密钥衍生计算,得到本端指纹密钥F’;利用本端指纹密钥F’对本端指纹因子R进行指纹计算,得到本端认证指纹H,H=MAC-SHA256(F’,R)。
步骤S52:获取包含本端认证指纹的本端认证请求。
本实施方式中,获取包含本端认证指纹的本端认证请求。
在一实施方式中,本端认证指纹为利用本端密钥因子对生成的本端指纹因子进行预处理得到的,则此时,获取包含本端认证指纹和本端指纹因子的本端认证请求。
步骤S53:将本端认证请求发送给第一其他物联网设备,以使第一其他物联网设备基于本端认证指纹获得本端密钥因子,并通过比较本端密钥因子和第一对端密钥因子是否相同来认证当前物联网设备是否为信任设备。
本实施方式中,将本端认证请求发送给第一其他物联网设备,以使第一其他物联网设备基于本端认证指纹获得本端密钥因子,并通过比较本端密钥因子和第一对端密钥因子是否相同来认证当前物联网设备是否为信任设备;其中,第一对端密钥因子为密钥生成设备配置给第一其他物联网设备的。具体地,当前物联网设备将本端认证请求发送给第一其他物联网设备;第一其他物联网设备接收本端认证请求,并基于本端认证请求获取当前物联网设备的本端密钥因子;然后,第一其他物联网设备比较当前物联网设备的本端密钥因子与自身的第一对端密钥因子是否相同,并在相同时,认证当前物联网设备为信任设备,反之,则认证当前物联网设备为不信任设备。
举例来说,以使用本端密钥因子F1进行衍生计算得到本端指纹密钥F1’、利用本端指纹密钥F1’对本端指纹因子R进行指纹计算得到本端认证指纹H1,H1=MAC-SHA256(F1’,R)、将包含本端认证指纹H1和本端指纹因子R的本端认证请求发送给第一其他物联网设备为例:第一其他物联网设备接收当前物联网设备发送的本端认证请求并对其进行解析,获得本端认证指纹H1和本端指纹因子R;然后,第一其他物联网设备利用其自身的第一对端密钥因子F2进行衍生计算得到对称密钥F2’,并利用对称密钥F2’对本端指纹因子R进行指纹计算得到H2;然后,第一其他物联网设备比较本端认证指纹H1与H2是否相同,如相同,则认证当前物联网设备为自身的信任设备,反之,则认证当前物联网设备为自身的不信任设备。
在一实施方式中,当前物联网设备将本端认证请求在局域网内广播,以向局域网内的第一其他物联网设备发送本端认证请求。当然,在其他实施方式中,也可以通过其他方式向局域网内的第一其他物联网设备发送本端认证请求,在此不做限定。
在一实施方式中,如图6所示,图6是图4所示步骤S42另一实施例的流程示意图,利用本端密钥因子,进行与其他物联网设备之间的是否建立信任的认证,为接收其他物联网设备发送的认证请求,以确定其他物联网设备是否为自身的可信任设备,具体包括如下子步骤:
步骤S61:接收第二其他物联网设备发送的对端认证请求。
本实施方式中,接收第二其他物联网设备发送的对端认证请求。在一实施方式中,第二其他物联网设备可以是在局域网内广播对端认证请求,从而当前物联网设备能够接收到第二其他物联网设备发送的对端认证请求。当然,在其他实施方式中,第二其他物联网设备也可以通过其他方式向当前物联网设备发送对端认证请求,从而当前物联网设备能够接收到第二其他物联网设备发送的对端认证请求。
步骤S62:利用对端认证请求中的对端认证指纹,认证本端密钥因子与第二对端密钥因子是否相同。
本实施方式中,利用对端认证请求中的对端认证指纹,认证本端密钥因子与第二对端密钥因子是否相同;其中,对端认证指纹是利用第二对端密钥因子得到的,第二对端密钥因子为密钥生成设备配置给第二其他物联网设备的。
在一实施方式中,是直接将第二对端密钥因子作为对端认证指纹的;此时,利用对端认证请求中的对端认证指纹,认证本端密钥因子与第二对端密钥因子是否相同,具体为:从对端认证请求中解析得到第二对端密钥因子;然后,比较第二对端密钥因子与本端密钥因子是否相同。
在其他实施方式中,对端认证请求包括对端指纹因子,对端认证指纹是利用第二对端密钥因子对对端指纹因子进行预设处理得到的,此时,利用对端认证请求中的对端认证指纹,认证本端密钥因子与第二对端密钥因子是否相同,具体为:从对端认证请求中解析得到对端指纹因子和对端认证指纹;利用本端密钥因子对对端指纹因子进行预设处理,得到参考认证指纹;比较对端认证指纹与参考认证指纹是否相同,其中,若对端认证指纹与参考认证指纹相同,则确定本端密钥因子与第二对端密钥因子相同。
在一具体实施方式中,利用本端密钥因子对对端指纹因子进行预设处理,得到参考认证指纹,具体为:将本端密钥因子作为本端指纹密钥,或者,使用本端密钥因子进行密钥衍生计算,得到本端指纹密钥;利用本端指纹密钥对对端指纹因子进行指纹计算,得到参考认证指纹。具体地,当前物联网设备利用其自身的本端密钥因子F1进行衍生计算得到本端密钥因子F1的本端指纹密钥F1’,并利用本端指纹密钥F1’对对端指纹因子R进行指纹计算得到参考认证指纹H1;然后,比较当前物联网设备的参考认证指纹H1与对端认证指纹H2是否相同。
步骤S63:响应于认证结果为本端密钥因子与第二对端密钥因子相同,确定第二其他物联网设备为信任设备。
本实施方式中,响应于认证结果为本端密钥因子与第二对端密钥因子相同,确定第二其他物联网设备为自身的信任设备。也就是说,在认证结果为本端密钥因子与第二对端密钥因子相同时,则认证第二对端密钥因子对应的第二其他物联网设备为信任设备,反之,则认证第二对端密钥因子对应的第二其他物联网设备为非信任设备。
在一实施方式中,对端认证请求是第二其他物联网设备响应于当前物联网设备的本端认证请求而认证当前物联网设备为信任设备而发送的,第二其他物联网设备利用本端认证请求中的本端认证指纹确定本端密钥因子和第二对端密钥因子相同,而认证当前物联网设备为信任设备。或者,在利用对端认证请求中的对端认证指纹,认证本端密钥因子与第二对端密钥因子是否相同之后,响应于认证结果为本端密钥因子与第二对端密钥因子相同,向第二其他物联网设备发送包含本端认证指纹的本端认证请求,以请求第二其他物联网设备利用本端认证指纹确定本端密钥因子和第二对端密钥因子是否相同来认证当前物联网设备是否为信任设备。
请参阅图7,图7是本申请提供的密钥生成设备一实施例的结构示意图。密钥生成设备70包括相互耦接的存储器71和处理器72,处理器72用于执行存储器71中存储的程序指令,以实现上述任一物联网认证方法实施例的步骤。在一个具体的实施场景中,密钥生成设备70可以包括但不限于:微型计算机、服务器,此外,密钥生成设备70还可以包括笔记本电脑、平板电脑等移动设备,在此不做限定。
具体而言,处理器72用于控制其自身以及存储器71以实现上述任一物联网认证方法实施例的步骤。处理器72还可以称为CPU(Central Processing Unit,中央处理单元)。处理器72可能是一种集成电路芯片,具有信号的处理能力。处理器72还可以是通用处理器、数字信号处理器(Digital Signal Processor, DSP)、专用集成电路(Application SpecificIntegrated Circuit, ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。另外,处理器72可以由集成电路芯片共同实现。
请参阅图8,图8是本申请提供的物联网设备一实施例的结构示意图。物联网设备80包括相互耦接的存储器81和处理器82,处理器82用于执行存储器81中存储的程序指令,以实现上述任一物联网认证方法实施例的步骤。在一个具体的实施场景中,物联网设备80可以包括但不限于:微型计算机、服务器,此外,物联网设备80还可以包括笔记本电脑、平板电脑等移动设备,在此不做限定。
具体而言,处理器82用于控制其自身以及存储器81以实现上述任一物联网认证方法实施例的步骤。处理器82还可以称为CPU(Central Processing Unit,中央处理单元)。处理器82可能是一种集成电路芯片,具有信号的处理能力。处理器82还可以是通用处理器、数字信号处理器(Digital Signal Processor, DSP)、专用集成电路(Application SpecificIntegrated Circuit, ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。另外,处理器82可以由集成电路芯片共同实现。
请参阅图9,图9是本申请提供的物联网认证系统一实施例的结构示意图。物联网认证系统90包括位于同一局域网的多个物联网设备80以及密钥生成设备70,其中,密钥生成设备70为上述的实施例中的密钥生成设备70,物联网设备80为上述实施例中的物联网设备80。
请参阅图10,图10是本申请提供的计算机可读存储介质一实施例的结构示意图。本申请实施例的计算机可读存储介质100存储有程序指令101,该程序指令101被执行时实现本申请物联网认证方法任一实施例以及任意不冲突的组合所提供的方法。其中,该程序指令101可以形成程序文件以软件产品的形式存储在上述计算机可读存储介质100中,以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施方式方法的全部或部分步骤。而前述的计算机可读存储介质100包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质,或者是计算机、服务器、手机、平板等终端设备。
若本申请技术方案涉及个人信息 ,应用本申请技术方案的产品在处理个人信息前,已明确告知个人信息处理规则,并取得个人自主同意。若本申请技术方案涉及敏感个人信息,应用本申请技术方案的产品在处理敏感个人信息前,已取得个人单独同意,并且同时满足“明示同意”的要求。例如,在摄像头等个人信息采集装置处,设置明确显著的标识告知已进入个人信息采集范围,将会对个人信息进行采集,若个人自愿进入采集范围即视为同意对其个人信息进行采集;或者在个人信息处理的装置上,利用明显的标识/信息告知个人信息处理规则的情况下,通过弹窗信息或请个人自行上传其个人信息等方式获得个人授权;其中,个人信息处理规则可包括个人信息处理者、个人信息处理目的、处理方式以及处理的个人信息种类等信息。
以上所述仅为本申请的实施方式,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。
Claims (17)
1.一种物联网认证方法,其特征在于,所述方法包括:
确定需建立信任的设备群,所述设备群包括需要建立信任的多个物联网设备;以及
生成对应所述设备群的密钥因子;
将所述密钥因子分别配置给所述设备群中的各物联网设备,以使所述设备群中的物联网设备之间能够建立信任;其中,配置有相同所述密钥因子的物联网设备之间能够成功认证而建立信任。
2.根据权利要求1所述的方法,其特征在于,所述密钥因子的长度固定;
和/或,所述生成对应所述设备群的密钥因子,包括:
生成一随机因子,作为所述设备群的密钥因子。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
生成加密密钥;
所述将所述密钥因子分别配置给所述设备群中的各物联网设备,包括:
基于所述加密密钥,获得对所述密钥因子加密得到的密文;
将所述密文和所述加密密钥发送给所述设备群中的各物联网设备,使得所述设备群中的各物联网设备利用所述加密密钥对所述密文解密得到所述密钥因子。
4.根据权利要求3所述的方法,其特征在于,所述生成加密密钥,包括:
生成第一数量个字节的随机密钥;
和/或,所述基于所述加密密钥,获得对所述密钥因子加密得到的密文,包括:
生成所述加密密钥的对称密钥;
采用所述对称密钥对所述密钥因子进行加密,得到所述密文;
和/或,所述将所述密文和所述加密密钥发送给所述设备群中的各物联网设备,包括:
将所述密文和所述加密密钥组装形成配置文件,并分别将所述配置文件发送给所述设备群中的各物联网设备。
5.根据权利要求1所述的方法,其特征在于,所述设备群有多个,每个所述设备群对应的密钥因子不同;
和/或,所述确定需建立信任的设备群,包括:
基于预设选择策略或者用户输入的选择信息,从位于同一局域网内的若干物联网设备中选出需建立信任的多个,形成所述设备群;
和/或,所述在所述将所述密钥因子分别配置给所述设备群中的各物联网设备之后,所述方法还包括:
响应于所述设备群中的物联网设备发生变化,生成新的密钥因子,并将所述新的密钥因子重新配置给当前所述设备群中的各物联网设备,以使当前所述设备群中的物联网设备能够通过认证与各自配置的新所述密钥因子相同而建立信任。
6.一种物联网认证方法,其特征在于,所述方法包括:
当前物联网设备获得密钥生成设备配置的本端密钥因子;其中,所述密钥生成设备为同一设备群中的每个物联网设备配置的密钥因子相同,所述设备群由需要建立信任的多个物联网设备组成;
利用所述本端密钥因子,进行与其他物联网设备之间的是否建立信任的认证,所述其他物联网设备与所述当前物联网设备位于同一局域网内。
7.根据权利要求6所述的方法,其特征在于,所述利用所述本端密钥因子,进行与其他物联网设备之间的是否建立信任的认证,包括:
利用所述本端密钥因子生成本端认证指纹;
获取包含所述本端认证指纹的本端认证请求;
将所述本端认证请求发送给第一其他物联网设备,以使所述第一其他物联网设备基于所述本端认证指纹获得所述本端密钥因子,并通过比较所述本端密钥因子和第一对端密钥因子是否相同来认证所述当前物联网设备是否为信任设备,所述第一对端密钥因子为所述密钥生成设备配置给所述第一其他物联网设备的。
8.根据权利要求7所述的方法,其特征在于,所述利用所述本端密钥因子生成本端认证指纹,包括:
生成本端指纹因子;
利用所述本端密钥因子对所述本端指纹因子进行预设处理,得到所述本端认证指纹;
所述获取包含所述本端认证指纹的本端认证请求,包括:
获取包含所述本端认证指纹和所述本端指纹因子的本端认证请求。
9.根据权利要求8所述的方法,其特征在于,所述生成本端指纹因子,包括:
生成第二数量个字节的随机数,作为所述本端指纹因子;
和/或,所述利用所述本端密钥因子对所述本端指纹因子进行预设处理,得到所述本端认证指纹,包括:
将所述本端密钥因子作为本端指纹密钥,或者,使用所述本端密钥因子进行密钥衍生计算,得到本端指纹密钥;
基于消息摘要算法,利用本端指纹密钥对所述本端指纹因子进行指纹计算,得到所述本端认证指纹。
10.根据权利要求6所述的方法,其特征在于,所述利用所述本端密钥因子,进行与其他物联网设备之间的是否建立信任的认证,包括:
接收第二其他物联网设备发送的对端认证请求;
利用所述对端认证请求中的对端认证指纹,认证所述本端密钥因子与第二对端密钥因子是否相同,所述对端认证指纹是利用所述第二对端密钥因子得到的,所述第二对端密钥因子为所述密钥生成设备配置给所述第二其他物联网设备的;
响应于认证结果为所述本端密钥因子与第二对端密钥因子相同,确定所述第二其他物联网设备为信任设备。
11.根据权利要求10所述的方法,其特征在于,所述对端认证请求中还包括对端指纹因子,所述对端认证指纹是利用所述第二对端密钥因子对所述对端指纹因子进行预设处理得到的;
所述利用所述对端认证请求中的对端认证指纹,认证所述本端密钥因子与第二对端密钥因子是否相同,包括:
从所述对端认证请求中解析得到所述对端指纹因子和对端认证指纹;
利用所述本端密钥因子对所述对端指纹因子进行所述预设处理,得到参考认证指纹;
比较所述对端认证指纹与所述参考认证指纹是否相同,其中,若所述对端认证指纹与所述参考认证指纹相同,则确定所述本端密钥因子与第二对端密钥因子相同。
12.根据权利要求11所述的方法,其特征在于,所述利用所述本端密钥因子对所述对端指纹因子进行所述预设处理,得到参考认证指纹,包括:
将所述本端密钥因子作为本端指纹密钥,或者,使用所述本端密钥因子进行密钥衍生计算,得到本端指纹密钥;
利用所述本端指纹密钥对所述对端指纹因子进行指纹计算,得到所述参考认证指纹。
13.根据权利要求10所述的方法,其特征在于,所述对端认证请求是所述第二其他物联网设备响应于所述当前物联网设备的本端认证请求而认证所述当前物联网设备为信任设备而发送的,所述第二其他物联网设备利用所述本端认证请求中的本端认证指纹确认所述本端密钥因子和所述第二对端密钥因子相同,而认证所述当前物联网设备为信任设备;
或者,在所述利用所述对端认证请求中的对端认证指纹,认证所述本端密钥因子与第二对端密钥因子是否相同之后,所述方法还包括:
响应于认证结果为所述本端密钥因子与第二对端密钥因子相同,向所述第二其他物联网设备发送包含本端认证指纹的本端认证请求,以请求所述第二其他物联网设备利用所述本端认证指纹确认所述本端密钥因子和第二对端密钥因子是否相同来认证所述当前物联网设备是否为信任设备。
14.一种密钥生成设备,其特征在于,所述密钥生成设备包括处理器和存储器,所述存储器存储有程序指令,所述处理器用于执行所述程序指令以实现如权利要求1-5任一项所述的方法。
15.一种物联网设备,其特征在于,所述物联网设备包括处理器和存储器,所述存储器存储有程序指令,所述处理器用于执行所述程序指令以实现如权利要求6-13任一项所述的方法。
16.一种物联网认证系统,其特征在于,包括位于同一局域网的多个物联网设备以及密钥生成设备;
其中,所述密钥生成设备为权利要求14所述的设备;所述物联网设备为权利要求15所述的设备。
17.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质用于存储程序指令,所述程序指令能够被执行以实现如权利要求1-13任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311204612.8A CN116962079B (zh) | 2023-09-19 | 2023-09-19 | 物联网认证方法、设备、物联网认证系统和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311204612.8A CN116962079B (zh) | 2023-09-19 | 2023-09-19 | 物联网认证方法、设备、物联网认证系统和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116962079A true CN116962079A (zh) | 2023-10-27 |
| CN116962079B CN116962079B (zh) | 2023-12-15 |
Family
ID=88460495
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311204612.8A Active CN116962079B (zh) | 2023-09-19 | 2023-09-19 | 物联网认证方法、设备、物联网认证系统和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116962079B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101977198A (zh) * | 2010-10-29 | 2011-02-16 | 西安电子科技大学 | 域间认证及密钥协商方法 |
| CN104539587A (zh) * | 2014-12-09 | 2015-04-22 | 中国电子科技集团公司第十五研究所 | 一种用于物联网的物体接入和群组交互方法 |
| CN109379387A (zh) * | 2018-12-14 | 2019-02-22 | 成都三零嘉微电子有限公司 | 一种物联网设备间的安全认证和数据通信系统 |
| KR20190045575A (ko) * | 2017-10-24 | 2019-05-03 | 한국전자통신연구원 | 무선 통신 시스템에서 디바이스 간의 자율적인 상호 인증 방법 및 장치 |
| CN113676448A (zh) * | 2021-07-13 | 2021-11-19 | 上海瓶钵信息科技有限公司 | 一种基于对称秘钥的离线设备双向认证方法和系统 |
| CN116208345A (zh) * | 2023-05-04 | 2023-06-02 | 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) | 基于秘密共享的群组认证方法及相关设备 |
-
2023
- 2023-09-19 CN CN202311204612.8A patent/CN116962079B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101977198A (zh) * | 2010-10-29 | 2011-02-16 | 西安电子科技大学 | 域间认证及密钥协商方法 |
| CN104539587A (zh) * | 2014-12-09 | 2015-04-22 | 中国电子科技集团公司第十五研究所 | 一种用于物联网的物体接入和群组交互方法 |
| KR20190045575A (ko) * | 2017-10-24 | 2019-05-03 | 한국전자통신연구원 | 무선 통신 시스템에서 디바이스 간의 자율적인 상호 인증 방법 및 장치 |
| CN109379387A (zh) * | 2018-12-14 | 2019-02-22 | 成都三零嘉微电子有限公司 | 一种物联网设备间的安全认证和数据通信系统 |
| CN113676448A (zh) * | 2021-07-13 | 2021-11-19 | 上海瓶钵信息科技有限公司 | 一种基于对称秘钥的离线设备双向认证方法和系统 |
| CN116208345A (zh) * | 2023-05-04 | 2023-06-02 | 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) | 基于秘密共享的群组认证方法及相关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116962079B (zh) | 2023-12-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7119040B2 (ja) | データ伝送方法、装置およびシステム | |
| CN107404461B (zh) | 数据安全传输方法、客户端及服务端方法、装置及系统 | |
| KR101265873B1 (ko) | 분산된 단일 서명 서비스 방법 | |
| CN107800539B (zh) | 认证方法、认证装置和认证系统 | |
| CN110299996B (zh) | 认证方法、设备及系统 | |
| EP1900169B1 (en) | Method and arrangement for authentication and privacy | |
| US20160269176A1 (en) | Key Configuration Method, System, and Apparatus | |
| US20180013735A1 (en) | Method for dynamic encryption and signing, terminal and server | |
| AU2019202163B1 (en) | Provisioning a secure connection using a pre-shared key | |
| EP2890073A1 (en) | System and method for securing machine-to-machine communications | |
| US11144621B2 (en) | Authentication system | |
| CN113438071A (zh) | 安全通信的方法及设备 | |
| US8397281B2 (en) | Service assisted secret provisioning | |
| US10867056B2 (en) | Method and system for data protection | |
| CN112566119A (zh) | 终端认证方法、装置、计算机设备及存储介质 | |
| CN117081736A (zh) | 密钥分发方法、密钥分发装置、通信方法及通信装置 | |
| CN117118763B (zh) | 用于数据传输的方法及装置、系统 | |
| US11101975B2 (en) | Ciphertext matching system and ciphertext matching method | |
| US11240661B2 (en) | Secure simultaneous authentication of equals anti-clogging mechanism | |
| CN115868142A (zh) | 设备验证方法、设备和云端 | |
| CN116962079B (zh) | 物联网认证方法、设备、物联网认证系统和存储介质 | |
| CN113422753B (zh) | 数据处理方法、装置、电子设备及计算机存储介质 | |
| CN114039723A (zh) | 一种共享密钥的生成方法、装置、电子设备及存储介质 | |
| US20230198968A1 (en) | System and method for field provisioning of credentials using qr codes | |
| CN112637249B (zh) | 物联网节点标识认证方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |