CN117061164A - 物联网系统接入安全处理方法 - Google Patents
物联网系统接入安全处理方法 Download PDFInfo
- Publication number
- CN117061164A CN117061164A CN202311001737.0A CN202311001737A CN117061164A CN 117061164 A CN117061164 A CN 117061164A CN 202311001737 A CN202311001737 A CN 202311001737A CN 117061164 A CN117061164 A CN 117061164A
- Authority
- CN
- China
- Prior art keywords
- internet
- things
- terminal
- network element
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 18
- 230000004044 response Effects 0.000 claims abstract description 109
- 238000012795 verification Methods 0.000 claims abstract description 85
- 238000000034 method Methods 0.000 claims abstract description 67
- 238000012545 processing Methods 0.000 claims description 35
- 238000004590 computer program Methods 0.000 claims description 11
- 238000004422 calculation algorithm Methods 0.000 claims description 8
- 230000003993 interaction Effects 0.000 claims description 8
- 230000006854 communication Effects 0.000 description 51
- 238000004891 communication Methods 0.000 description 45
- 230000005540 biological transmission Effects 0.000 description 14
- 230000008569 process Effects 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 239000002699 waste material Substances 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- QVFWZNCVPCJQOP-UHFFFAOYSA-N chloralodol Chemical compound CC(O)(C)CC(C)OC(O)C(Cl)(Cl)Cl QVFWZNCVPCJQOP-UHFFFAOYSA-N 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000013467 fragmentation Methods 0.000 description 1
- 238000006062 fragmentation reaction Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Abstract
本发明提供一种物联网系统接入安全处理方法,该方法包括:物联网终端通过接入网网元向核心网网元发送接入请求信息;物联网终端接收来自核心网网元发送的接入请求响应信息之后,物联网终端通过接入网网元向核心网网元发送认证请求信息;接入请求响应信息用于指示物联网终端对物联网网元进行安全性验证;认证请求信息用于请求核心网网元确认是否允许物联网终端接入物联网网络;物联网终端接收来自核心网网元发送的认证响应信息;认证响应信息用于指示物联网终端是否可以接入物联网网络。本发明的方法同时实现物联网终端接入可信物联网络和物联网络接入可信物联网终端的安全要求,最终提供可信的应用服务,提升了物联网系统接入的安全性。
Description
技术领域
本发明涉及物联网通信安全技术领域,尤其涉及一种物联网系统接入安全处理方法。
背景技术
信息时代的发展已经进入到万物互联的时代,而这背后同物联网(IoT)技术的推动是密不可分的。物联网技术应用涉及到各行各业,因此从一开始就决定了其碎片化的特征,实践中大量的物联网技术都是以私有网络的形态存在,不太注重安全方面的设计,因此网络的安全比较薄弱,特别针对处理能力偏弱的物联网终端网络,大都没有安全方面的系统设计与考虑。
现有技术方案通过3GPP等相关标准规定了公网通信(含无线接入网、核心网)的安全架构及技术要求,但这些要求都是超重量级的,基于高处理能力、高传输带宽、功耗不敏感等硬件基础,不适用物联网这些轻量级的应用场景。因此,如何实现针对轻量级物联网安全性接入是本领域技术人员亟需解决的技术问题。
发明内容
针对现有技术中的问题,本发明实施例提供一种物联网系统接入安全处理方法。
具体地,本发明实施例提供了以下技术方案:
第一方面,本发明实施例提供了一种物联网系统接入安全处理方法方法,应用于物联网终端,包括:
物联网终端通过接入网网元向核心网网元发送接入请求信息;接入请求信息用于请求接入物联网网络;
物联网终端接收来自核心网网元发送的接入请求响应信息之后,物联网终端通过接入网网元向核心网网元发送认证请求信息;接入请求响应信息用于指示物联网终端对物联网网元进行安全性验证;认证请求信息用于请求核心网网元确认是否允许物联网终端接入物联网网络;
物联网终端接收来自核心网网元发送的认证响应信息;认证响应信息用于指示物联网终端是否可以接入物联网网络。
进一步地,物联网终端接收来自核心网网元发送的认证响应信息之后,还包括:
物联网终端通过加密秘钥和完整性秘钥对待传输的数据包进行加密和完整性校验,得到目标数据;将目标数据发送给核心网网元;加密密钥和完整性密钥为物联网终端基于预设的密钥生成方式确定的。
进一步地,预设的密钥生成方式,为基于如下步骤实现的:
将核心网网元为终端分配的身份加密密钥、物联网终端生成的随机接入码、核心网网元生成的随机数和单字节常数串接后,生成第一目标字符串;
基于对称加密算法AES-CMAC和第一目标字符串,生成加密密钥和完整性密钥。
进一步地,接入请求信息中携带终端标识和加密后的随机接入码;加密后的随机接入码为物联网终端基于核心网网元分配的身份加密密钥对物联网终端生成的随机接入码进行加密后得到的。
进一步地,接入请求响应信息中包括核心网网元生成的随机数和第一验证信息;第一验证信息为核心网网元基于预设的密钥生成方式生成加密密钥,并基于加密密钥对第二目标字符串加密后得到的;第二目标字符串为随机接入码、随机数和终端标识依次串接得到的;
物联网终端接收来自核心网网元发送的接入请求响应信息之后,还包括:
在物联网终端计算出的第一验证信息与物联网终端接收的接入请求响应信息中的第一验证信息相同的情况下,确定核心网网元的安全性验证通过。
进一步地,认证请求信息中包括第二验证信息和基于完整性密钥加密后的目标数据;第二验证信息为物联网终端基于加密密钥对第三目标字符串加密得到的;第三目标字符串为终端标识、随机数、随机接入码依次串接得到的;
物联网终端通过接入网网元向核心网网元发送认证请求信息之后,还包括:
在认证请求信息中的第二验证信息与核心网网元计算出的第二验证信息相同,且目标数据的完整性经核心网网元验证通过的情况下,物联网终端接收来自核心网网元发送的认证通过信息。
进一步地,认证响应信息包括以下至少一项:
秘钥生命周期和核心网网元向终端分配的地址信息参数;地址信息参数的长度小于终端标识;所示地址信息参数用于识别物联网终端。
进一步地,物联网终端通过接入网网元向核心网网元发送认证请求信息,包括:
物联网终端通过目标接入网网元向核心网网元发送认证请求信息;
物联网终端接收来自核心网网元发送的认证响应信息,包括:
物联网终端通过目标接入网网元接收来自核心网网元发送的认证响应信息;
目标接入网网元为核心网网元基于多个接入网网元分别上报的RSSI信息确定的;目标接入网网元用于透传物联网终端与核心网网元之间的交互信息。
第二方面,本发明实施例提供了一种物联网系统接入安全处理方法方法,应用于物联网系统中的核心网网元,包括:
核心网网元接收物联网终端通过接入网网元发送的接入请求信息;接入请求信息用于请求接入物联网网络;
核心网网元向物联网终端发送接入请求响应信息之后,核心网网元接收物联网终端通过接入网网元发送的认证请求信息;接入请求响应信息用于指示物联网终端对物联网网元进行安全性验证;认证请求信息用于请求核心网网元确认是否允许物联网终端接入物联网网络;
核心网网元向物联网终端发送认证响应信息;认证响应信息用于指示物联网终端是否可以接入物联网网络。
第三方面,本发明实施例还提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所述物联网系统接入安全处理方法或如第二方面所述物联网系统接入安全处理方法。
第四方面,本发明实施例还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面所述物联网系统接入安全处理方法或如第二方面所述物联网系统接入安全处理方法。
第五方面,本发明实施例还提供了一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如第一方面所述物联网系统接入安全处理方法或如第二方面所述物联网系统接入安全处理方法。
本发明实施例提供的物联网系统接入安全处理方法,一方面基于接入请求响应信息实现物联网终端对物联网网元的安全性验证,使得物联网终端接入可信的物联网基站与物联核心网;另一方面基于认证请求信息实现核心网网元对物联网终端安全性的验证,确认是否允许物联网终端接入物联网网络,从而保证物联网基站与核心网接入可信的物联网终端,也就同时实现物联网终端接入可信物联网络和物联网络接入可信物联网终端的安全要求,最终提供可信的应用服务,提升了物联网系统接入的安全性。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的物联网系统接入安全处理方法的流程示意图;
图2是本发明实施例提供的物联网系统的示意图;
图3是本发明实施例提供的物联网终端接入物联网络的流程示意图;
图4是本发明实施例提供的物联网系统接入安全处理装置的结构示意图;
图5是本发明实施例提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例的方法可以应用于物联网系统接入安全处理场景中,同时实现物联网终端接入可信物联网络和物联网络接入可信物联网终端的安全要求,最终提供可信的应用服务,提升了物联网系统接入的安全性。
相关技术中,现有3GPP等相关标准规定了公网通信(含无线接入网、核心网)的安全架构及技术要求,但这些要求都是超重量级的,基于高处理能力、高传输带宽、功耗不敏感等硬件基础,不适用物联网轻量级的应用场景。
本发明实施例的物联网系统接入安全处理方法,一方面基于接入请求响应信息实现物联网终端对物联网网元的安全性验证,使得物联网终端接入可信的物联网基站与物联核心网;另一方面基于认证请求信息实现核心网网元对物联网终端安全性的验证,确认是否允许物联网终端接入物联网网络,从而保证物联网基站与核心网接入可信的物联网终端,也就同时实现物联网终端接入可信物联网络和物联网络接入可信物联网终端的安全要求,最终提供可信的应用服务,提升了物联网系统接入的安全性;而且物联网终端通过加密秘钥KE和完整性秘钥KI对待传输的数据包进行加密和完整性保护,可以有效防止信息被非法窃听、篡改和回放攻击,提升物联网系统接入和通信的安全,最终提供可信的应用服务。
下面结合图1-图5以具体的实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
图1是本发明实施例提供的物联网系统接入安全处理方法方法一实施例的流程示意图。如图1所示,本实施例提供的方法,包括:
步骤101、物联网终端通过接入网网元向核心网网元发送接入请求信息;接入请求信息用于请求接入物联网网络;
具体地,现有3GPP等相关标准规定了公网通信(含无线接入网、核心网)的安全架构及技术要求,但这些要求都是超重量级的,基于高处理能力、高传输带宽、功耗不敏感等硬件基础,不适用物联网轻量级的应用场景。
为了解决上述问题,本申请实施例中物联网终端通过接入网网元向核心网网元发送接入请求信息;接入请求信息用于请求接入物联网网络;可选地,本申请中物联网系统如图2所示,包括物联网终端、物联网基站以及物联核心网;其中,物联网终端一般接传感器负责感知数据并上报给物联网基站,物联网终端与物联网基站一般通过无线通信方式进行连接,如Lora、Zigbee、蓝牙或其它私有的无线承载技术,物联网基站同设备管理服务器一般通过有线或无线公网(4G或5G)进行传输。
步骤102、物联网终端接收来自核心网网元发送的接入请求响应信息之后,物联网终端通过接入网网元向核心网网元发送认证请求信息;接入请求响应信息用于指示物联网终端对物联网网元进行安全性验证;认证请求信息用于请求核心网网元确认是否允许物联网终端接入物联网网络;
具体地,在物联网终端通过接入网网元向核心网网元发送接入请求信息后,核心网网元会向物联网终端发送接入请求响应信息;其中,接入请求响应信息用于指示物联网终端对物联网网元进行安全性验证,从而在物联网终端基于接入请求响应信息对物联网网元进行安全性验证后,物联网终端就可以接入可信的物联网基站与物联核心网,从而提供可信的应用服务,提升物联网系统的接入安全;可选地,在物联网终端基于接入请求响应信息对物联网网元的安全性验证未通过的情况下,则表明物联网基站和物联核心网存在安全隐患,如物联网基站和物联核心网为伪基站,则终端则不再执行接入流程,从而避免信息泄露的风险,提升物联网系统的接入安全;可选地,物联网网元包括物联网基站和物联核心网。进一步地,物联网终端基于接入请求响应信息对物联网网元进行安全性验证后,物联网终端向核心网网元发送认证请求信息;其中,认证请求信息用于请求核心网网元确认是否允许物联网终端接入物联网网络;可选地,在核心网网元确认物联网终端可以接入物联网网络的情况下,则表明物联网终端为可信的物联网终端,也就是物联网基站与核心网接入的为可信的物联网终端。
本申请中一方面基于接入请求响应信息实现物联网终端对物联网网元的安全性验证,使得物联网终端接入可信的物联网基站与物联核心网;另一方面基于认证请求信息实现核心网网元对物联网终端安全性的验证,确认是否允许物联网终端接入物联网网络,从而保证物联网基站与核心网接入可信的物联网终端,最终提供可信的应用服务,提升了物联网系统接入的安全性。
步骤103、物联网终端接收来自核心网网元发送的认证响应信息;认证响应信息用于指示物联网终端是否可以接入物联网网络。
具体地,物联网终端接收来自核心网网元发送的认证响应信息之后,根据认证响应信息就可以确定是否可以接入物联网网络,从而实现物联网终端接入可信的物联网基站与物联核心网、物联网基站与核心网接入可信的物联网终端。
也就是从系统的视角看,由于整个系统是分布式部署,所有网元的可信任是基础,进而本申请中基于接入请求响应信息实现物联网终端对物联网网元的安全性验证,使得物联网终端接入可信的物联网基站与物联核心网;另一方面基于认证请求信息实现核心网网元对物联网终端安全性的验证,确认是否允许物联网终端接入物联网网络,从而保证物联网基站与核心网接入可信的物联网终端,即物联网终端接入可信的物联网基站与物联核心网,同样物联网基站与核心网接入可信的物联网终端,也就同时实现物联网终端接入可信物联网络和物联网络接入可信物联网终端的安全要求,最终提供可信的应用服务。
上述实施例的方法,一方面基于接入请求响应信息实现物联网终端对物联网网元的安全性验证,使得物联网终端接入可信的物联网基站与物联核心网;另一方面基于认证请求信息实现核心网网元对物联网终端安全性的验证,确认是否允许物联网终端接入物联网网络,从而保证物联网基站与核心网接入可信的物联网终端,也就同时实现物联网终端接入可信物联网络和物联网络接入可信物联网终端的安全要求,最终提供可信的应用服务,提升了物联网系统接入的安全性。
在一实施例,物联网终端接收来自核心网网元发送的认证响应信息之后,还包括:
物联网终端通过加密秘钥和完整性秘钥对待传输的数据包进行加密和完整性校验,得到目标数据;将目标数据发送给核心网网元;加密密钥和完整性密钥为物联网终端基于预设的密钥生成方式确定的。
具体地,从网络视角看,整个物联网网络分为物联接入网和物联核心网两部分。物联接入网由于采用无线通信方式进行通信,因而空口的内容监听是无法避免的,因此本申请中物联网终端通过加密秘钥KE和完整性秘钥KI对待传输的数据包进行加密和完整性保护,从而防止信息被非法窃听、篡改和回放攻击,提升物联网系统接入和通信的安全,最终提供可信的应用服务。
在一实施例中,预设的密钥生成方式,为基于如下步骤实现的:
将核心网网元为终端分配的身份加密密钥、物联网终端生成的随机接入码、核心网网元生成的随机数和单字节常数串接后,生成第一目标字符串;
基于对称加密算法AES-CMAC和第一目标字符串,生成加密密钥和完整性密钥。
具体地,本申请中物联网终端通过加密秘钥KE和完整性秘钥KI对待传输的数据包进行加密和完整性保护,可以有效防止信息被非法窃听、篡改和回放攻击,提升物联网系统接入和通信的安全,最终提供可信的应用服务。其中,本申请中通过将核心网网元为终端分配的身份加密密钥IK、物联网终端生成的随机接入码RA、核心网网元生成的随机数RB和单字节常数K串接后,生成第一目标字符串;进而将第一目标字符串作为AES-CMAC算法的输入,从而生成加密密钥KE和完整性密钥,实现物联数据传输的加密完整性等保护功能,防止数据被窃听、篡改、回放攻击等安全问题。基于本申请中的密钥生成方式可以在物联网终端低处理能力、低传输带宽、功耗敏感、成本敏感的基础特征上进行密钥的生成,有效满足物联网轻量级的应用场景,从而有效地解决了现有的安全架构及技术要求只能在重量级的应用场景应用,而无法在轻量级的应用场景进行应用的问题。
例如,加密密钥KE和完整性密钥KI,实现规则如下:
采用AES-CMAC算法,采用核心网网元为终端分配的身份加密密钥IK,用IK||RA||RB||K作为AES-CMAC的数据源,||表示数据串接,K为单字节常数,如用0x00来产生KE,用0xFF来产生KI。
上述实施例的方法,通过将核心网网元为终端分配的身份加密密钥IK、物联网终端生成的随机接入码RA、核心网网元生成的随机数RB和单字节常数K串接后,生成第一目标字符串;进而将第一目标字符串作为AES-CMAC算法的输入,从而生成加密密钥KE和完整性密钥。本申请中的密钥生成方式可以在物联网终端低处理能力、低传输带宽、功耗敏感、成本敏感的基础特征上进行密钥的生成,有效满足物联网轻量级的应用场景,进而也就可以有效地实现针对轻量级物联网安全性接入和通信;有效地解决了现有的安全架构及技术要求只能在重量级的应用场景应用,而无法在轻量级的应用场景进行应用的问题。
在一实施例中,接入请求信息中携带终端标识和加密后的随机接入码;加密后的随机接入码为物联网终端基于核心网网元分配的身份加密密钥对物联网终端生成的随机接入码进行加密后得到的。
具体地,在物联网终端接入无线网网络的过程中,物联网终端首先通过接入网网元向核心网网元发送接入请求信息;其中,接入请求信息用于请求接入物联网网络;可选地,接入请求信息中携带终端标识UE ID和加密后的随机接入码RA;可选地,终端标识UE ID用于唯一标识物联网终端;可选地,可以将物联网终端的MAC地址作为物联网终端的终端标识。可选地,不同终端对应的随机接入码也不相同;可选地,本申请中通过对终端的随机接入码RA进行加密,从而有效防止接入信息被篡改和泄露的风险,提升物联网终端接入的安全性。可选地,本申请中加密后的随机接入码RA为物联网终端基于核心网网元分配的身份加密密钥IK对物联网终端生成的随机接入码RA进行加密后得到的;可选地,物联网终端在线下注册过程中,核心网网元会为每一个物联网终端分配不同的身份加密密钥IK,从而避免全网统一秘钥,解决单一终端秘钥泄露影响其它终端安全的安全隐患;可选地,核心网网元在接收到物联网终端发送的接入请求信息中携带的终端标识UE ID后,核心网网元就可以基于终端标识UE ID关联到其为该终端分配的身份加密密钥IK,进而也就可以基于该加密秘钥确定如何解密物联网终端加密的随机接入码RA,从而准确的解密出随机码RA,进而继续后续的接入和通信步骤。
例如,每个物联网终端在可接入网络前,首先需线下在核心网网元(设备管理服务器)中进行注册,注册内容包括但不限于厂商信息、设备型号、设备序列号、终端标识UE ID等,其中终端标识UE ID要求全网唯一,一般可用MAC地址来代替,当然也可由设备管理服务器进行分配,同时提供身份加密秘钥(IK,Identification Key)。工程人员将IK等参数配置到对应的终端中,从安全角度看,终端可以用安全芯片进行存储,需防止被非法读取或篡改。
物联网终端需接入物联网络才能获得通信服务,类似公网通信UE附着业务功能。一般物联网终端在首次上电或无法获得通信服务时均需进行网络接入操作,如物联网终端发送接入请求信息到接入网网元(物联网基站),接入请求信息中用终端标识UE ID,如MAC地址或离线注册时分配的地址等,接入请求信息中还需携带加密后的随机数据RA和设备具体信息等。物联网基站接收到接入请求信息后直接转发到设备管理服务器,考虑存在多台物联网基站接收到信息的可能性,携带RSSI信息到设备管理服务器,以便设备管理服务器选择对应的物联网基站发送回应信息。设备管理服务器接收到接入请求信息后,通过终端标识UE ID取出对应的秘钥并进行解压数据包,得出设备终端产生的随机数RA和设备信息等参数。
上述实施例的方法,一方面,核心网网元为每一个物联网终端分配不同的身份加密密钥IK,从而避免全网统一秘钥,解决单一终端秘钥泄露影响其它终端安全的安全隐患问题;另一方面,本申请中通过对物联网终端发送的接入请求信息中携带的随机接入码RA进行加密,可以有效防止物联网终端的接入信息被篡改和泄露的风险,提升物联网终端接入的安全性。
在一实施例中,接入请求响应信息中包括核心网网元生成的随机数和第一验证信息;第一验证信息为核心网网元基于预设的密钥生成方式生成加密密钥,并基于加密密钥对第二目标字符串加密后得到的;第二目标字符串为随机接入码、随机数和终端标识依次串接得到的;
物联网终端接收来自核心网网元发送的接入请求响应信息之后,还包括:
在物联网终端计算出的第一验证信息与物联网终端接收的接入请求响应信息中的第一验证信息相同的情况下,确定核心网网元的安全性验证通过。
具体地,本申请实施例中基于接入请求响应信息实现物联网终端对物联网网元的安全性验证,使得物联网终端接入可信的物联网基站与物联核心网;其中,核心网网元在接收物联网终端发送的接入请求信息,得到物联网终端发送的随机接入码RA,核心网网元也会产生随机数RB;进而核心网网元基于解密后的随机接入码RA、随机数RB,利用预设的密钥生成方式就可以生成加密密钥KE;其中,生成加密密钥的方式本申请中前述实施例中已进行介绍,此处不再进行赘述。进一步地,核心网网元在生成加密密钥KE之后,就可以利用加密密钥KE加密RA||RB||UE ID,即核心网网元基于解密后的随机接入码RA、核心网网元生成的随机数RB以及核心网网元接收到的UE ID,得到第一验证信息AUTHB,并将核心网网元生成的随机数RB和第一验证信息AUTHB通过随机接入请求响应信息发送至物联网终端,指示物联网终端对物联网网元进行安全性验证。
可选地,物联网终端在接收到核心网网元发送的接入请求响应信息中携带的随机数RB和第一验证信息AUTHB后,就可以基于接收到的随机数RB和物联网终端生成的RA计算得到加密密钥;进而利用加密密钥KE加密RA||RB||UE ID,即物联网终端生成的RA、接收到的核心网网元发送的RB、物联网终端发送的UE ID,计算得到第一验证信息AUTHB;并在物联网终端接收到的第一验证信息AUTHB和物联网终端计算得到的第一验证信息AUTHB相同的情况下,则核心网网元和接入网网元校验通过,从而也就可以实现物联网终端接入可信物联网络。
可选地,在物联网络中存在伪基站的情况下,由于伪基站无法正确解密终端接入请求信息中的加密后的RA,在伪基站向物联网终端发送的接入请求响应信息中的第一验证信息AUTHB与物联网终端计算得到的第一验证信息AUTHB不一致的情况下,则物联网终端可以判定物联网网元的安全性验证未通过,进而中止后续的接入和通信流程,从而避免信息泄露的安全隐患。
上述实施例的方法,物联网终端通过将自身计算出的第一验证信息AUTHB与核心网网元发送的接入请求响应信息中的第一验证信息AUTHB进行比对,从而实现对物联网网元的安全性验证,使得物联网终端接入可信物联网络。其中,接入请求响应信息中的第一验证信息AUTHB为核心网网元基于解密后的随机接入码RA、核心网网元生成的随机数RB以及核心网网元接收到的UE ID生成的;物联网终端自身计算出的第一验证信息AUTHB为物联网终端基于生成的随机接入码RA、物联网终端接收到的核心网网元发送的RB、物联网终端发送的UE ID计算得到的。
在一实施例中,认证请求信息中包括第二验证信息和基于完整性密钥加密后的目标数据;第二验证信息为物联网终端基于加密密钥对第三目标字符串加密得到的;第三目标字符串为终端标识、随机数、随机接入码依次串接得到的;
物联网终端通过接入网网元向核心网网元发送认证请求信息之后,还包括:
在认证请求信息中的第二验证信息与核心网网元计算出的第二验证信息相同,且目标数据的完整性经核心网网元验证通过的情况下,物联网终端接收来自核心网网元发送的认证通过信息。
具体地,在物联网终端基于接入请求响应信息对物联网网元进行安全性验证后,物联网终端向核心网网元发送认证请求信息;其中,认证请求信息用于请求核心网网元确认是否允许物联网终端接入物联网网络;可选地,在核心网网元确认物联网终端可以接入物联网网络的情况下,则表明物联网终端为可信的物联网终端,也就是物联网基站与核心网接入的为可信的物联网终端。可选地,认证请求信息中包括第二验证信息AUTHA和基于完整性密钥KI加密后的目标数据;其中,基于完整性密钥KI加密后的目标数据包括完整性密钥KI为UE ID、SN等生成的完整性保护字段。
第二验证信息AUTHA为物联网终端基于接收到的随机数RB和物联网终端生成的RA计算得到加密密钥KE;进而利用加密密钥KE加密UE ID||RB||RA,即物联网终端发送的UEID、物联网终端接收到的核心网网元发送的RB、物联网终端生成的RA,计算得到第二验证信息AUTHA,并将第二验证信息AUTHA通过认证请求信息发送至核心网网元,请求核心网网元确认是否允许物联网终端接入物联网网络。
可选地,核心网网元在接收物联网终端发送的接入请求信息,得到物联网终端发送的随机接入码RA,核心网网元也会产生随机数RB发送至物联网终端;进一步地,核心网网元在接收到物联网终端发送的认证请求信息之后,核心网网元就可以基于解密后的随机接入码RA、随机数RB,利用预设的密钥生成方式就可以生成加密密钥KE;其中,生成加密密钥的方式本申请中前述实施例中已进行介绍,此处不再进行赘述。进一步地,核心网网元在生成加密密钥KE之后,就可以利用加密密钥KE加密UE ID||RB||RA,即核心网网元基于接收到的UE ID、核心网网元生成的随机数RB以及解密后的随机接入码RA,计算得到第二验证信息AUTHA;并在核心网网元接收到的认证请求信息中的第二验证信息AUTHA和核心网网元计算得到的第二验证信息AUTHA相同的情况下,则允许物联网终端接入物联网网络,从而保证物联网基站与核心网接入可信的物联网终端,也就同时实现物联网终端接入可信物联网络和物联网络接入可信物联网终端的安全要求,最终提供可信的应用服务,提升了物联网系统接入的安全性。需要说明的是,本申请中对可信网络和可信终端的验证的方式,可以应用于轻量级物联网络中,满足物联网终端低处理能力、低传输带宽、功耗敏感、成本敏感的基础特征,有效地解决了现有的安全架构及技术要求只能在重量级的应用场景应用,而无法在轻量级的应用场景进行应用的问题。
上述实施例的方法,核心网网元通过将自身计算出的第二验证信息AUTHA与物联网终端发送的认证请求信息中的第二验证信息AUTHA进行比对,从而保证物联网基站与核心网接入可信的物联网终端,实现对物联网终端的可信验证,也就同时实现物联网终端接入可信物联网络和物联网络接入可信物联网终端的安全要求,最终提供可信的应用服务,提升了物联网系统接入的安全性。其中,认证请求信息中的第二验证信息AUTHA为物联网终端基于物联网终端发送的UE ID、物联网终端接收到的核心网网元发送的RB、物联网终端生成的RA计算得到的;核心网网元计算出的第二验证信息AUTHA为核心网网元基于核心网网元接收到的UE ID、核心网网元生成的随机数RB以及解密后的随机接入码RA生成的。
在一实施例中,物联网终端发送认证请求信息之后,还包括:
物联网终端接收认证通过信息;认证通过信息包括以下至少一项:
秘钥生命周期和核心网网元向终端分配的地址信息参数;地址信息参数的长度小于终端标识;地址信息参数用于识别物联网终端。
具体地,核心网网元在接收到物联网终端发送的认证请求信息,对物联网终端的可信验证之后,核心网网元向物联网终端发送认证通过信息,其中,认证通过信息包括秘钥生命周期和核心网网元向终端分配的地址信息参数;其中,地址信息参数用于识别物联网终端,地址信息参数的长度小于终端标识,从而可以降低核心网网元及物联网终端的存储负荷。可选地,秘钥生命周期用于指示密钥KE和KI的生命周期,从而在密钥生命周期到期后,物联网终端需要重新接入物联网络,从而使得通信过程的秘钥是动态生成的,非静态秘钥且有生命周期,有效的提升物联通信的通信安全。
例如,接入阶段将物联网终端的MAC作为终端标识,MAC的长度一般为6个byte,则可以将地址信息参数的长度设为2个byte,并在不同区域进行复用,从而在物联通信过程中通过地址信息参数代替MAC进行终端的识别,可以有效地降低核心网网元及物联网终端的存储负荷。
上述实施例的方法,通过在认证通过信息中携带地址信息参数,从而在物联通信过程中通过地址信息参数代替MAC进行终端的识别,可以有效地降低核心网网元及物联网终端的存储负荷;通过在认证通过信息中携带秘钥生命周期,从而在密钥生命周期到期后,物联网终端需要重新接入物联网络,从而使得通信过程的秘钥是动态生成的,非静态秘钥且有生命周期,有效的提升物联通信的通信安全。
在一实施例中,物联网终端通过接入网网元向核心网网元发送认证请求信息,包括:
物联网终端通过目标接入网网元向核心网网元发送认证请求信息;
物联网终端接收来自核心网网元发送的认证响应信息,包括:
物联网终端通过目标接入网网元接收来自核心网网元发送的认证响应信息;
目标接入网网元为核心网网元基于多个接入网网元分别上报的RSSI信息确定的;目标接入网网元用于透传物联网终端与核心网网元之间的交互信息。
具体地,本申请实施例中,物联网终端通过目标接入网网元接收来自核心网网元发送的信息,也就是核心网网元通过目标接入网网元向物联网终端发送各种类型的信息;其中,目标接入网网元为核心网网元基于多个接入网网元分别上报的RSSI信息确定的。例如,终端发送的接入请求信息被多个接入网网元透传至核心网网元的过程中,各个接入网网元还会同步上报自己的信号强度;核心网网元在接收到各个接入网网元发送的信号强度后,就可以从中选择出信号强度最强的接入网网元作为目标接入网网元,并选择目标接入网网元向物联网终端发送接入请求响应信息;从而避免接入网资源的浪费,也可以使得物联网终端与核心网网元之间通过最优的接入网网元进行信息的交互,提高物联通信的效率和准确性。
可选地,公网中接入网网元需要进行数据的存储和处理,而本申请中目标接入网网元只是用于透传物联网终端与核心网网元之间的交互信息,也就是在物联网终端中不进行数据的保存,通过核心网网元作为物联网络安全的中枢管理机构,对物联网络的通信安全负责,相较于现有技术,降低了接入网网元数据泄露的风险,有效的提升了物联通信的安全。
上述实施例的方法,物联网终端和核心网网元之间通过目标接入网网元进行信息的交互;其中,目标接入网网元为核心网网元基于多个接入网网元分别上报的RSSI信息确定的,从而不仅可以避免接入网资源的浪费,也可以使得物联网终端与核心网网元之间通过最优的接入网网元进行信息的交互,提高物联通信的效率和准确性;进一步地,目标接入网网元只是用于透传物联网终端与核心网网元之间的交互信息,也就是在物联网终端中不进行数据的保存,通过核心网网元作为物联网络安全的中枢管理机构,对物联网络的通信安全负责,相较于现有技术,降低了接入网网元数据泄露的风险,有效的提升了物联通信的安全。
在一实施例中,物联网系统接入安全处理方法应用于核心网网元,具体流程如下:
核心网网元接收物联网终端通过接入网网元发送的接入请求信息;接入请求信息用于请求接入物联网网络;
核心网网元向物联网终端发送接入请求响应信息之后,核心网网元接收物联网终端通过接入网网元发送的认证请求信息;接入请求响应信息用于指示物联网终端对物联网网元进行安全性验证;认证请求信息用于请求核心网网元确认是否允许物联网终端接入物联网网络;
核心网网元向物联网终端发送认证响应信息;认证响应信息用于指示物联网终端是否可以接入物联网网络。
具体地,现有3GPP等相关标准规定了公网通信(含无线接入网、核心网)的安全架构及技术要求,但这些要求都是超重量级的,基于高处理能力、高传输带宽、功耗不敏感等硬件基础,不适用物联网轻量级的应用场景。
为了解决上述问题,本申请实施例中,核心网网元接收物联网终端通过接入网网元发送的接入请求信息之后,向物联网终端发送接入请求响应信息;其中,接入请求响应信息用于指示物联网终端对物联网网元进行安全性验证;从而在物联网终端基于接入请求响应信息对物联网网元进行安全性验证后,物联网终端就可以接入可信的物联网基站与物联核心网,从而提供可信的应用服务,提升物联网系统的接入安全。
进一步地,物联网终端基于接入请求响应信息对物联网网元进行安全性验证后,物联网终端向核心网网元发送认证请求信息;其中,认证请求信息用于请求核心网网元确认是否允许物联网终端接入物联网网络;可选地,在核心网网元确认物联网终端可以接入物联网网络的情况下,则表明物联网终端为可信的物联网终端,也就是物联网基站与核心网接入的为可信的物联网终端。
进一步地,物联网终端接收来自核心网网元发送的认证通过信息之后,也就是物联网终端接入可信的物联网基站与物联核心网、物联网基站与核心网接入可信的物联网终端之后,本申请实施例中物联网终端和核心网网元进行通信的过程中,物联网终端通过加密秘钥KE和完整性秘钥KI对待传输的数据包进行加密和完整性保护,从而防止信息被非法窃听、篡改和回放攻击,提升物联网系统接入和通信的安全。
上述实施例的方法,一方面基于接入请求响应信息实现物联网终端对物联网网元的安全性验证,使得物联网终端接入可信的物联网基站与物联核心网;另一方面基于认证请求信息实现核心网网元对物联网终端安全性的验证,确认是否允许物联网终端接入物联网网络,从而保证物联网基站与核心网接入可信的物联网终端,也就同时实现物联网终端接入可信物联网络和物联网络接入可信物联网终端的安全要求,最终提供可信的应用服务,提升了物联网系统接入的安全性;而且物联网终端通过加密秘钥KE和完整性秘钥KI对待传输的数据包进行加密和完整性保护,可以有效防止信息被非法窃听、篡改和回放攻击,提升物联网系统接入和通信的安全,最终提供可信的应用服务。
示例性的,本申请中的物联网系统接入安全处理方法具体流程如下:
物联网系统接入安全处理方法总体分为离线注册、接入网络、加密通信、秘钥更新、注销等五大流程,具体如下:
(1)离线注册
每个物联网终端在接入网络前,首先需线下在设备管理服务器中进行注册,注册内容包括但不限于厂商信息、设备型号、设备序列号、设备ID等,其中设备ID要求全网统一,一般可用MAC地址来代替,当然也可由设备管理服务器进行分配,同时提供身份加密秘钥(IK,Identification Key),并将IK等参数配置到对应的终端中,从安全角度看,最好终端用安全芯片进行存储,需防止被非法读取或篡改。
(2)接入网络
物联网终端需接入物联网络才能获得通信服务,类似公网通信UE附着业务功能。一般物联网终端在首次上电或无法获得通信服务时均需进行网络接入操作,具体流程如图3所示:
详细描述如下:
①物联网终端发送接入请求信息到物联网基站,接入请求信息中用设备唯一地址ADDR,如MAC地址或离线注册时分配的地址等,接入请求中还需携带加密后的随机数据RA和设备具体信息等。物联网基站接收到接入请求信息后直接转发到设备管理服务器,考虑存在多台物联网基站接收到信息的可能性,携带RSSI信息到设备管理服务器,以便设备管理服务器选择对应的物联网基站发送回应信息。
②设备管理服务器接收到接入请求信息后,通过设备地址,取出对应的秘钥并进行解压数据包,得出设备终端产生的随机数RA和设备信息等参数,设备管理服务器也产生一随机数RB,联合RA,可产生通信用的加密秘钥KE和完整性秘钥KI,实现规则如下:
采用AES-CMAC算法,采用秘钥IK,用IK||RA||RB||K作为AES-CMAC的数据源,||表示数据串接,K为单字节常数,如用0x00来产生KE,用0xFF来产生KI。
③设备管理服务器发送接入响应包(接入请求响应信息),携带RB和用KE加密RA||RB||ADDR的验证信息AUTHB,并根据RSSI选择特定的物联网基站,物联网基站透明转发至对应的物联网终端。
④物联网终端接收到接入响应包后,通过RB和RA,采用同②方法得到KE和KI,用KE加密RA||RB||ADDR,结果同AUTHB进行比较,若相同则物联核心网校验通过,否则不通过。
⑤若④校验通过,则物联网终端发起认证请求,用KE加密ADDR||RB||RA得到加密后验证信息AUTHA,整个数据包用KE加密和KI做完整性保护,物联网基站接收到包后发透明转发至设备管理服务器。
⑥设备管理服务器接收到物联网终端的认证请求包(认证请求信息),解密整个数据包,并做完整性校验,若通过则判断AUTHA是否是期望的值,若为期望的值则验证通过,允许该物联网终端接入网络。
⑦设备管理服务器向物联网终端回复通过验证的信息,并携带秘钥生命周期、当前系统时间戳、分配的地址信息ADDC等参数,ADDC为物联网络中唯一地址,整个数据包需进行加密和完整性保护,对应的物联网基站将透传该数据包到物联网终端,同时发送允许接入信令到物联网基站,携带有物联网终端ADDR、生命周期、分配的地址信息参数,用于物联网基站记录并关联提供通信服务的物联网终端。
至此,整个接入认证证过程完成,从上面描述的过程来看,接入请求采用设备全地址,整个数据包没有完整性保护;认证请求也采用全地址,整个数据包是具有加密和完整性保护的。
⑧为避免非法物联网终端频繁接入与认证尝试,系统采用逐渐递增的处理间隔时间,如第一次尝试30秒间隔,第二次尝试60秒间隔,第三次尝试则120秒间隔,第四次则240秒等,直到达到最长处理间隔时间为60分钟,静默60分钟后又重新开始下一轮循环。物联网基站和设备管理服务器对于间隔时间内的包都予以丢弃处理。同时,设备管理服务器和物联网基站实时监测各终端流量情况,对于流量异常的物联网终端也将数据予以丢弃处理。
(3)加密通信
完成接入与认证后,物联网终端与设备管理服务器间将采用加密通信,数据包中携带SN,SN与PDU将用KI做完整性校验得到MIC(Message Integrity Check),然后将SN、ACK和PDU进行加密成密文进行传输,基础协议框架表1所示:
表1
OP | ADDC | SN | ACK | PDU | MIC |
物联网终端每发送一个数据包SN就需加1,若溢出则自动回绕从1开始,设备管理服务器检查每包的SN,如小于等于上次接收的包则一律丢弃处理,这样可以防止回放攻击。
实践中,大部分物联网终端的上报数据包均不需要回复,如需要回复建议通过ACK的标志位进行体现,反之也适用于设备管理服务器同物联网终端的通信。
在通信过程中,物联网基站是不掌握任何物联网终端与物联设备服务器间的密码信息,因此物联网基站无法获取任何解码后的数据,可防止物联伪基站非法获取终端上报的信息,这样设计的好处是因为物联网基站在网络边缘侧,存在物理上不安全的风险,同目前公网的伪基站风险类似。
关于路由,物联网终端是不要关注的,在接入中设备管理服务器根据接收到RSSI,已选择对应的物联网基站,参见第⑦点描述。在此通信阶段,设备采用的是分配的较短的地址ADDC,主要优势有:第一,降低数据通信的开销;第二,防止设备被定向跟踪,每次接入认证完后所被分配的设备的地址都会发生变化。
(4)秘钥更新
在接入及认证阶段,设备管理服务器都会指定秘钥的生命周期。因此,物联网终端需关注秘钥的有效期,若到期需重新进行接入与认证操作;对于物联网基站,若某物联网终端的秘钥生命周期已到,则停止转发除接入和认证相关的任何信息。同样对于设备管理服务器而言,则丢弃对应的数据。
(5)注销
在设备管理服务器侧,通过删除对应的终端或修改对应的标志为禁止接入即可实现。在此不再赘述。
物联网基站与设备管理服务器之间通信采用WebSocket协议,承载的数据包括物联网终端同设备管理服务器之间的所有数据转发,以及物联网基站同设备管理服务器之间的控制指令与数据,安全传输协议采用SSL/TLS,其协议栈如表2所示:
表2
上述实施例的方法,基于物联网终端低处理能力、低传输带宽、功耗敏感、成本敏感的基础特征,构建了一种全新、精简、高效实用的安全架构与控制方法,实现物联网终端接入可信物联网络和物联网络接入可信物联网终端的基本安全要求,同时实现物联数据传输的加密完整性等保护功能,防止数据被窃听、篡改、回放攻击等安全问题。本申请实施例中的方法通过避免全网统一秘钥,有效地解决了单一终端秘钥泄露影响其它终端的安全的问题;而且通信过程的秘钥是动态生成的,非静态秘钥且有生命周期,有效提升物联通信的信息安全;并基于加密密钥和完整性密钥有效的提升网络的通信安全;终端可信及网元可信验证算法简单,有效地降低网络传输负担;通过核心网网元对作为物联网络安全的中枢管理机构,对全网安全负责。
下面对本发明提供的物联网系统接入安全处理装置进行描述,下文描述的物联网系统接入安全处理装置与上文描述的物联网系统接入安全处理方法可相互对应参照。
图4是本发明提供的物联网系统接入安全处理装置的结构示意图。本实施例提供的物联网系统接入安全处理装置,包括:
发送模块710,用于通过接入网网元向核心网网元发送接入请求信息;接入请求信息用于请求接入物联网网络;
接收模块720,用于接收来自核心网网元发送的接入请求响应信息之后,物联网终端通过接入网网元向核心网网元发送认证请求信息;接入请求响应信息用于指示物联网终端对物联网网元进行安全性验证;认证请求信息用于请求核心网网元确认是否允许物联网终端接入物联网网络;
传输模块730,用于物联网终端接收来自核心网网元发送的认证响应信息;认证响应信息用于指示物联网终端是否可以接入物联网网络。
本发明实施例的装置,其用于执行前述任一方法实施例中的方法,其实现原理和技术效果类似,此次不再赘述。
图5示例了一种电子设备的实体结构示意图,该电子设备可以包括:处理器(processor)810、通信接口(Communications Interface)820、存储器(memory)830和通信总线840,其中,处理器810,通信接口820,存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的逻辑指令,以执行物联网系统接入安全处理方法,该方法包括:通过接入网网元向核心网网元发送接入请求信息;接入请求信息用于请求接入物联网网络;接收来自核心网网元发送的接入请求响应信息之后,物联网终端通过接入网网元向核心网网元发送认证请求信息;接入请求响应信息用于指示物联网终端对物联网网元进行安全性验证;认证请求信息用于请求核心网网元确认是否允许物联网终端接入物联网网络;接收来自核心网网元发送的认证响应信息;认证响应信息用于指示物联网终端是否可以接入物联网网络;或,接收物联网终端通过接入网网元发送的接入请求信息;接入请求信息用于请求接入物联网网络;向物联网终端发送接入请求响应信息之后,核心网网元接收物联网终端通过接入网网元发送的认证请求信息;接入请求响应信息用于指示物联网终端对物联网网元进行安全性验证;认证请求信息用于请求核心网网元确认是否允许物联网终端接入物联网网络;向物联网终端发送认证响应信息;认证响应信息用于指示物联网终端是否可以接入物联网网络。
此外,上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法所提供的物联网系统接入安全处理方法,该方法包括:通过接入网网元向核心网网元发送接入请求信息;接入请求信息用于请求接入物联网网络;接收来自核心网网元发送的接入请求响应信息之后,物联网终端通过接入网网元向核心网网元发送认证请求信息;接入请求响应信息用于指示物联网终端对物联网网元进行安全性验证;认证请求信息用于请求核心网网元确认是否允许物联网终端接入物联网网络;接收来自核心网网元发送的认证响应信息;认证响应信息用于指示物联网终端是否可以接入物联网网络;或,接收物联网终端通过接入网网元发送的接入请求信息;接入请求信息用于请求接入物联网网络;向物联网终端发送接入请求响应信息之后,核心网网元接收物联网终端通过接入网网元发送的认证请求信息;接入请求响应信息用于指示物联网终端对物联网网元进行安全性验证;认证请求信息用于请求核心网网元确认是否允许物联网终端接入物联网网络;向物联网终端发送认证响应信息;认证响应信息用于指示物联网终端是否可以接入物联网网络。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各提供的物联网系统接入安全处理方法,该方法包括:通过接入网网元向核心网网元发送接入请求信息;接入请求信息用于请求接入物联网网络;接收来自核心网网元发送的接入请求响应信息之后,物联网终端通过接入网网元向核心网网元发送认证请求信息;接入请求响应信息用于指示物联网终端对物联网网元进行安全性验证;认证请求信息用于请求核心网网元确认是否允许物联网终端接入物联网网络;接收来自核心网网元发送的认证响应信息;认证响应信息用于指示物联网终端是否可以接入物联网网络;或,接收物联网终端通过接入网网元发送的接入请求信息;接入请求信息用于请求接入物联网网络;向物联网终端发送接入请求响应信息之后,核心网网元接收物联网终端通过接入网网元发送的认证请求信息;接入请求响应信息用于指示物联网终端对物联网网元进行安全性验证;认证请求信息用于请求核心网网元确认是否允许物联网终端接入物联网网络;向物联网终端发送认证响应信息;认证响应信息用于指示物联网终端是否可以接入物联网网络。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种物联网系统接入安全处理方法,其特征在于,应用于物联网系统中的物联网终端,包括:
物联网终端通过接入网网元向核心网网元发送接入请求信息;所述接入请求信息用于请求接入物联网网络;
所述物联网终端接收来自核心网网元发送的接入请求响应信息之后,所述物联网终端通过接入网网元向核心网网元发送认证请求信息;所述接入请求响应信息用于指示所述物联网终端对物联网网元进行安全性验证;所述认证请求信息用于请求所述核心网网元确认是否允许所述物联网终端接入物联网网络;
所述物联网终端接收来自核心网网元发送的认证响应信息;所述认证响应信息用于指示所述物联网终端是否可以接入所述物联网网络。
2.根据权利要求1所述的物联网系统接入安全处理方法,其特征在于,所述物联网终端接收来自核心网网元发送的认证响应信息之后,还包括:
所述物联网终端通过加密秘钥和完整性秘钥对待传输的数据包进行加密和完整性校验,得到目标数据;将所述目标数据发送给核心网网元;所述加密密钥和完整性密钥为所述物联网终端基于预设的密钥生成方式确定的。
3.根据权利要求2所述的物联网系统接入安全处理方法,其特征在于,所述预设的密钥生成方式,为基于如下步骤实现的:
将核心网网元为所述终端分配的身份加密密钥、所述物联网终端生成的随机接入码、所述核心网网元生成的随机数和单字节常数串接后,生成第一目标字符串;
基于对称加密算法AES-CMAC和所述第一目标字符串,生成加密密钥和完整性密钥。
4.根据权利要求3所述的物联网系统接入安全处理方法,其特征在于,所述接入请求信息中携带终端标识和加密后的随机接入码;所述加密后的随机接入码为所述物联网终端基于核心网网元分配的身份加密密钥对物联网终端生成的随机接入码进行加密后得到的。
5.根据权利要求4所述的物联网系统接入安全处理方法,其特征在于,所述接入请求响应信息中包括核心网网元生成的随机数和第一验证信息;所述第一验证信息为所述核心网网元基于预设的密钥生成方式生成加密密钥,并基于加密密钥对第二目标字符串加密后得到的;所述第二目标字符串为随机接入码、随机数和终端标识依次串接得到的;
所述物联网终端接收来自核心网网元发送的接入请求响应信息之后,还包括:
在所述物联网终端计算出的第一验证信息与所述物联网终端接收的接入请求响应信息中的第一验证信息相同的情况下,确定所述核心网网元的安全性验证通过。
6.根据权利要求5所述的物联网系统接入安全处理方法,其特征在于,所述认证请求信息中包括第二验证信息和基于完整性密钥加密后的目标数据;所述第二验证信息为所述物联网终端基于加密密钥对第三目标字符串加密得到的;所述第三目标字符串为终端标识、随机数、随机接入码依次串接得到的;
所述所述物联网终端通过接入网网元向核心网网元发送认证请求信息之后,还包括:
在所述认证请求信息中的第二验证信息与所述核心网网元计算出的第二验证信息相同,且所述目标数据的完整性经所述核心网网元验证通过的情况下,所述物联网终端接收来自核心网网元发送的认证通过信息。
7.根据权利要求6所述的物联网系统接入安全处理方法,其特征在于,所述认证响应信息包括以下至少一项:
秘钥生命周期和核心网网元向所述终端分配的地址信息参数;所述地址信息参数的长度小于终端标识;所示地址信息参数用于识别物联网终端。
8.根据权利要求7所述的物联网系统接入安全处理方法,其特征在于,所述物联网终端通过接入网网元向核心网网元发送认证请求信息,包括:
所述物联网终端通过目标接入网网元向核心网网元发送认证请求信息;
所述物联网终端接收来自核心网网元发送的认证响应信息,包括:
所述物联网终端通过目标接入网网元接收来自核心网网元发送的认证响应信息;
所述目标接入网网元为所述核心网网元基于多个接入网网元分别上报的RSSI信息确定的;所述目标接入网网元用于透传所述物联网终端与所述核心网网元之间的交互信息。
9.一种物联网系统接入安全处理方法,其特征在于,应用于物联网系统中的核心网网元,包括:
核心网网元接收物联网终端通过接入网网元发送的接入请求信息;所述接入请求信息用于请求接入物联网网络;
所述核心网网元向所述物联网终端发送接入请求响应信息之后,所述核心网网元接收所述物联网终端通过接入网网元发送的认证请求信息;所述接入请求响应信息用于指示所述物联网终端对物联网网元进行安全性验证;所述认证请求信息用于请求所述核心网网元确认是否允许所述物联网终端接入物联网网络;
所述核心网网元向所述物联网终端发送认证响应信息;所述认证响应信息用于指示所述物联网终端是否可以接入所述物联网网络。
10.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至8任一项所述的物联网系统接入安全处理方法或如权利要求9所述的物联网系统接入安全处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311001737.0A CN117061164A (zh) | 2023-08-09 | 2023-08-09 | 物联网系统接入安全处理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311001737.0A CN117061164A (zh) | 2023-08-09 | 2023-08-09 | 物联网系统接入安全处理方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117061164A true CN117061164A (zh) | 2023-11-14 |
Family
ID=88658285
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311001737.0A Pending CN117061164A (zh) | 2023-08-09 | 2023-08-09 | 物联网系统接入安全处理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117061164A (zh) |
-
2023
- 2023-08-09 CN CN202311001737.0A patent/CN117061164A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20200412527A1 (en) | Encryption method, decryption method, and related apparatus | |
US20190123909A1 (en) | End-to-End Service Layer Authentication | |
CN103596173B (zh) | 无线网络认证方法、客户端及服务端无线网络认证装置 | |
EP4236411A2 (en) | Content security at service layer | |
EP3633949B1 (en) | Method and system for performing ssl handshake | |
US8583809B2 (en) | Destroying a secure session maintained by a server on behalf of a connection owner | |
CN105530253B (zh) | 基于CA证书的Restful架构下的无线传感器网络接入认证方法 | |
US10009760B2 (en) | Providing network credentials | |
US11218873B2 (en) | Communication system and method | |
US11233771B2 (en) | Communication interface for a low power wide area network, wireless device and server using such communication interface | |
US7877503B2 (en) | Method and system for an intercept chain of custody protocol | |
KR20110119785A (ko) | 비-암호화 망 동작 해결책 | |
CN110708164B (zh) | 一种物联网设备的控制方法、装置、存储介质及电子装置 | |
CN111148094B (zh) | 5g用户终端的注册方法、用户终端设备及介质 | |
CN113411190A (zh) | 密钥部署、数据通信、密钥交换、安全加固方法及系统 | |
CN111756528A (zh) | 一种量子会话密钥分发方法、装置及通信架构 | |
KR20180000220A (ko) | 보안 메시지 서비스 제공 방법 및 이를 위한 장치 | |
CN114142995B (zh) | 面向区块链中继通信网络的密钥安全分发方法及装置 | |
WO2021093811A1 (zh) | 一种网络接入方法及相关设备 | |
KR20190040443A (ko) | 스마트미터의 보안 세션 생성 장치 및 방법 | |
CN117061164A (zh) | 物联网系统接入安全处理方法 | |
US20200267546A1 (en) | Mobile Network Core Component for Managing Security Keys | |
CN115567195A (zh) | 安全通信方法、客户端、服务器、终端和网络侧设备 | |
Qin et al. | Research on secured communication of intelligent connected vehicle based on digital certificate | |
CN105681364B (zh) | 一种基于增强绑定的IPv6移动终端抗攻击方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |