CN117201161A - 一种轻量化设备认证方法 - Google Patents
一种轻量化设备认证方法 Download PDFInfo
- Publication number
- CN117201161A CN117201161A CN202311245029.1A CN202311245029A CN117201161A CN 117201161 A CN117201161 A CN 117201161A CN 202311245029 A CN202311245029 A CN 202311245029A CN 117201161 A CN117201161 A CN 117201161A
- Authority
- CN
- China
- Prior art keywords
- authentication
- equipment
- terminal equipment
- terminal
- authentication server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 36
- 238000012795 verification Methods 0.000 claims description 11
- 230000008569 process Effects 0.000 claims description 10
- 238000004364 calculation method Methods 0.000 claims description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002085 persistent effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明涉及一种轻量化设备认证方法,属于网络安全技术领域。本发明的认证方法基于认证系统,该系统包括终端设备和认证服务器。其中终端设备为认证服务的实体对象,代理软件部署在终端设备上,认证服务器对外提供终端管理、认证服务等功能。本发明的工作流程包括终端设备初始化及身份认证。本发明使用认证码代替CA证书,即节省了存储空间又节省了网络资源的消耗,实现对入网设备的高效、安全认证,从而确保只有合法的用户和设备才能访问,保证内网安全。
Description
技术领域
本发明属于网络安全技术领域,具体涉及一种轻量化设备认证方法。
背景技术
随着信息技术的迅猛发展,网络安全问题层出不穷,网络安全保护已经成为刻不容缓的问题。面对接入设备、组网结构等十分复杂的网络环境,从源头开始做好安全防护是一个十分有效的途径,即通过有效接入身份验证机制,对接入到网络中的终端设备进行身份核实,确保接入的设备都是安全的,则网络整体安全将得到有效保证。
当前各级机构主要采取的网络安全措施主要包括,防火墙、虚拟专用网、加密技术以及入侵检测系统等,可以有效地防止来自外部网络的攻击,但很难实现内网防护安全。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是如何提供一种轻量化设备认证方法,以解决现有技术很难实现内网防护安全的问题。
(二)技术方案
为了解决上述技术问题,本发明提出一种轻量化设备认证方法,该方法基于轻量化设备认证系统,该系统包括终端设备和认证服务器,其中,终端设备为认证服务的实体对象,代理软件部署在终端设备上,认证服务器对外提供终端管理、认证服务;该方法包括终端设备初始化过程及身份认证过程;
终端设备初始化流程包括:
S11、通过代理软件读取宿主终端设备的物理信息,通过杂凑计算,生成设备标识devId,并发送至认证服务器进行注册;
S12、认证服务器接收到终端设备注册信息后,根据设备标识devId为终端设备生成设备密钥,并返回至终端设备;
S13、代理软件将设备密钥存储在宿主终端设备中;
身份认证流程包括:
S21、第一终端设备首先向认证服务器获取挑战值,然后使用设备密钥对挑战值及其设备标识进行签名,组装认证数据包发送至认证服务器进行身份认证;
S22、认证服务器对认证数据包进行验证,并将验证后的结果及认证码authCode返回至第一终端设备;
S23、第一终端设备判断认证结果;
S24、认证成功后,第一终端设备携带认证码authCode访问其它第二终端设备;
S25、第二终端设备接收到第一终端设备的访问请求后,发送authCode到认证服务器对第一终端设备的身份进行验证;
S26、认证服务器验证authCode的合法性及有效性;
S27、认证服务器将验证结果返回第二终端设备,;
S28、第二终端设备根据认证结果,返回第一终端设备连接结果。
(三)有益效果
本发明提出一种轻量化设备认证方法,本发明为了解决内部网络安全问题,提出一种实体认证方法,引入一种轻量化认证手段,相对于传统的证书认证,本发明使用认证码代替CA证书,即节省了存储空间又节省了网络资源的消耗,实现对入网设备的高效、安全认证,从而确保只有合法的用户和设备才能访问,保证内网安全。
附图说明
图1为本发明的设备初始化流程;
图2为本发明的身份认证流程;
图3为本发明的设备标识生成流程;
图4为本发明的身份认证流程;
图5为本发明的身份验证过程。
具体实施方式
为使本发明的目的、内容和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
本发明的轻量化设备认证系统包括终端设备(可以是主机、摄像头等智能化设备)和认证服务器。其中终端设备为认证服务的实体对象,代理软件部署在终端设备上,认证服务器对外提供终端管理、认证服务等功能。
本发明的主要工作流程包括终端设备初始化及身份认证。其中终端设备初始化流程如图1所示。
执行步骤如下:
S11、通过代理软件读取宿主终端设备的物理信息(MAC地址、硬件架构)等信息,通过杂凑计算,生成设备唯一标识devId,并发送至认证服务器进行注册。
S12、认证服务器接收到终端设备注册信息后,根据设备唯一标识devId为终端设备生成设备密钥,并返回至终端设备。
S13、代理软件将设备密钥存储在宿主终端设备中。
终端设备身份认证流程如图2所示。
执行步骤如下:
S21、第一终端设备首先向认证服务器获取挑战值,然后使用设备密钥对挑战值及其设备标识进行签名,组装认证数据包发送至认证服务器进行身份认证;
S22、认证服务器对认证数据包进行验证,包括:认证身份标识合法性、签名合法性以及挑战值有效性,并将验证后的结果及认证码authCode返回至第一终端设备;
认证码内容包括设备唯一标识、挑战值和第一终端设备序列号,同时认证服务器对认证码内容进行签名,附加在认证码中,并对整体数据进行加密;
authCode原文信息如下:
{“devId”:“xxxxxxx”,“challenge”:“xxxxxxx”,“sn”:1,“signature”:“xxxxxxx”}。
S23、第一终端设备判断认证结果;
S24、认证成功后,第一终端设备携带认证码authCode访问其它第二终端设备。
S25、第二终端设备接收到第一终端设备的访问请求后,发送authCode到认证服务器对第一终端设备的身份进行验证;
S26、认证服务器验证authCode的合法性及有效性;
S27、认证服务器将验证结果返回第二终端设备,;
S28、第二终端设备根据认证结果,返回第一终端设备连接结果。
实施例1:
下面结合流程对实施方式详细说明,应该强调的是,下述说明仅仅是示例性的,而不是为了限制本发明的范围及其应用。
步骤1:设备初始化。
此步骤分为3步,分别是生成设备标识、设备注册、持久化设备密钥:
S11、生成设备标识
代理软件完成安装部署后,读取宿主设备的硬件信息包括MAC地址、CPU序列号、主板信息以及硬盘序列号,通过杂凑算法计算生成设备唯一标识。
devId=hash(MAC||CPUNo||biosNo||diskNo)
其中,CPUNo为CPU序列号;biosNo为主板序列号;diskNo为硬盘序列号;
S12、设备注册
代理软件完成设备标识生成后,通过网络发送标识至认证服务器,认证服务器接收到注册信息后,执行以下操作:
1)校验终端注册信息。根据终端信息,校验终端信息是否完整、判断终端是否重复注册。校验完成后将注册信息存储到数据库中。
2)生成设备密钥,使用认证服务器基础密钥与终端设备标识进行计算,生成终端设备的设备密钥。并将设备密钥加密存储到数据库中。
3)返回注册结果,完成步骤1)、2)后返回终端注册结果及终端设备密钥devKey至代理软件。
S13、持久化设备密钥
代理软件接收到设备密钥后,使用设备标识对设备密钥进行掩盖加密后,存储在设备内部。
encDevKey=(devId||devKey)
步骤2:身份认证
此步骤分为两步分别为身份认证、身份验证。
(1)身份认证
此过程主要是对终端设备身份进行确认,防止非法设备访问内网资源。终端设备在入网前需要进行身份认证,生成身份凭证。具体的认证过程是终端设备向认证服务器获取挑战值,使用设备密钥对挑战值及设备标识进行签名,认证服务器通过验证挑战值及终端设备签名信息完成对终端设备的身份认证。设备身份认证详细流程如图4所示。
执行步骤如下:
S301、终端设备发送认证请求;
S302、代理软件接收到终端设备认证请求后,向认证服务器发送终端设备标识,获取挑战值;
S303、认证服务器验证终端标识通过后,生成挑战值并返回认证代理软件;
S304、代理软件使用设备密钥对其设备标识和收到的挑战值进行数据签名,生成认证数据包;
S305、代理软件发送认证数据包至认证服务器;
认证服务器对认证数据包进行验证,验证通过后返回认证结果。
(2)身份验证。
此过程是对接入设备的身份验证,实现可信设备的接入。其详细流程如图5所示。
执行步骤:
S401、第一终端设备携带认证码authCode访问第二终端设备;
S402、第二终端设备调用认证服务器对authCode进行验证;
S403、认证服务器验证authCode是否合法、有效,返回验证结果。
本发明为了解决内部网络安全问题,提出一种实体认证方法,引入一种轻量化认证手段,相对于传统的证书认证,本发明使用认证码代替CA证书,即节省了存储空间又节省了网络资源的消耗,实现对入网设备的高效、安全认证,从而确保只有合法的用户和设备才能访问,保证内网安全。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (10)
1.一种轻量化设备认证方法,其特征在于,该方法基于轻量化设备认证系统,该系统包括终端设备和认证服务器,其中,终端设备为认证服务的实体对象,代理软件部署在终端设备上,认证服务器对外提供终端管理、认证服务;该方法包括终端设备初始化过程及身份认证过程;
终端设备初始化流程包括:
S11、通过代理软件读取宿主终端设备的物理信息,通过杂凑计算,生成设备标识devId,并发送至认证服务器进行注册;
S12、认证服务器接收到终端设备注册信息后,根据设备标识devId为终端设备生成设备密钥,并返回至终端设备;
S13、代理软件将设备密钥存储在宿主终端设备中;
身份认证流程包括:
S21、第一终端设备首先向认证服务器获取挑战值,然后使用设备密钥对挑战值及其设备标识进行签名,组装认证数据包发送至认证服务器进行身份认证;
S22、认证服务器对认证数据包进行验证,并将验证后的结果及认证码authCode返回至第一终端设备;
S23、第一终端设备判断认证结果;
S24、认证成功后,第一终端设备携带认证码authCode访问其它第二终端设备;
S25、第二终端设备接收到第一终端设备的访问请求后,发送authCode到认证服务器对第一终端设备的身份进行验证;
S26、认证服务器验证authCode的合法性及有效性;
S27、认证服务器将验证结果返回第二终端设备,;
S28、第二终端设备根据认证结果,返回第一终端设备连接结果。
2.如权利要求1所述的轻量化设备认证方法,其特征在于,所述终端设备为主机或摄像头。
3.如权利要求1所述的轻量化设备认证方法,其特征在于,所述S11中的物理信息包括:MAC地址和硬件架构。
4.如权利要求3所述的轻量化设备认证方法,其特征在于,所述S11中生成设备标识包括:
代理软件完成安装部署后,读取宿主设备的硬件信息包括MAC地址、CPU序列号、主板信息以及硬盘序列号,通过杂凑算法计算生成设备唯一标识:
devId=hash(MAC||CPUNo||biosNo||diskNo)
其中,CPUNo为CPU序列号;biosNo为主板序列号;diskNo为硬盘序列号。
5.如权利要求4所述的轻量化设备认证方法,其特征在于,所述步骤S12中,认证服务器接收到终端设备注册信息后,执行以下操作:
1)校验终端注册信息:根据终端信息,校验终端信息是否完整、判断终端是否重复注册,校验完成后将注册信息存储到数据库中;
2)生成设备密钥,使用认证服务器基础密钥与终端设备标识进行计算,生成终端设备的设备密钥devKey,并将设备密钥加密存储到数据库中;
3)返回注册结果,完成步骤1)、2)后返回终端注册结果及终端设备密钥devKey至代理软件。
6.如权利要求5所述的轻量化设备认证方法,其特征在于,所述步骤S13具体包括:代理软件接收到设备密钥后,使用设备标识对设备密钥进行掩盖加密后,存储在设备内部:
encDevKey=(devId||devKey)。
7.如权利要求1-6任一项所述的轻量化设备认证方法,其特征在于,所述步骤S21具体包括:
S301、终端设备发送认证请求;
S302、代理软件接收到终端设备认证请求后,向认证服务器发送终端设备标识,获取挑战值;
S303、认证服务器验证终端标识通过后,生成挑战值并返回认证代理软件;
S304、代理软件使用设备密钥对其设备标识和收到的挑战值进行数据签名,生成认证数据包;
S305、代理软件发送认证数据包至认证服务器。
8.如权利要求7所述的轻量化设备认证方法,其特征在于,所述S22中,对认证数据包进行验证包括:认证身份标识合法性、签名合法性以及挑战值有效性。
9.如权利要求7所述的轻量化设备认证方法,其特征在于,所述S22中,认证码内容包括设备唯一标识、挑战值和第一终端设备序列号,同时认证服务器对认证码内容进行签名,附加在认证码中,并对整体数据进行加密。
10.如权利要求7所述的轻量化设备认证方法,其特征在于,所述身份认证流程还包括:
S401、第一终端设备携带认证码authCode访问第二终端设备;
S402、第二终端设备调用认证服务器对authCode进行验证;
S403、认证服务器验证authCode是否合法、有效,返回验证结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311245029.1A CN117201161A (zh) | 2023-09-26 | 2023-09-26 | 一种轻量化设备认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311245029.1A CN117201161A (zh) | 2023-09-26 | 2023-09-26 | 一种轻量化设备认证方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117201161A true CN117201161A (zh) | 2023-12-08 |
Family
ID=89001504
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311245029.1A Pending CN117201161A (zh) | 2023-09-26 | 2023-09-26 | 一种轻量化设备认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117201161A (zh) |
-
2023
- 2023-09-26 CN CN202311245029.1A patent/CN117201161A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109361668B (zh) | 一种数据可信传输方法 | |
CN110537346B (zh) | 安全去中心化域名系统 | |
CN102271042B (zh) | 数字证书认证方法、系统、USB Key设备和服务器 | |
CN102201915B (zh) | 一种基于单点登录的终端认证方法和装置 | |
US8131997B2 (en) | Method of mutually authenticating between software mobility device and local host and a method of forming input/output (I/O) channel | |
CN111478769A (zh) | 一种分布式可信身份认证方法、系统、存储介质、终端 | |
JP2022545627A (ja) | 分散化されたデータ認証 | |
CN113301022B (zh) | 基于区块链和雾计算的物联网设备身份安全认证方法 | |
KR102179497B1 (ko) | 멀티 클라우드 기반의 데이터 저장 및 관리 시스템 및 그 구동방법 | |
CN109981680B (zh) | 一种访问控制实现方法、装置、计算机设备及存储介质 | |
CN105099705A (zh) | 一种基于usb协议的安全通信方法及其系统 | |
CN114143343A (zh) | 雾计算环境中远程访问控制系统、控制方法、终端及介质 | |
CN115277168A (zh) | 一种访问服务器的方法以及装置、系统 | |
CN114301617A (zh) | 多云应用网关的身份认证方法、装置、计算机设备及介质 | |
JP6533542B2 (ja) | 秘密鍵複製システム、端末および秘密鍵複製方法 | |
CN110572392A (zh) | 一种基于Hyperledger网络的身份认证方法 | |
CN112968779B (zh) | 一种安全认证与授权控制方法、控制系统、程序存储介质 | |
CN118300814A (zh) | 一种跨平台登录方法及系统 | |
CN109474431B (zh) | 客户端认证方法及计算机可读存储介质 | |
WO2023236720A1 (zh) | 设备认证和校验的方法、装置、设备和存储介质 | |
CN115459929B (zh) | 安全验证方法、装置、电子设备、系统、介质和产品 | |
TWI546698B (zh) | 基於伺服器的登入系統、登入驗證伺服器及其驗證方法 | |
Tiwari et al. | Design and Implementation of Enhanced Security Algorithm for Hybrid Cloud using Kerberos | |
CN117201161A (zh) | 一种轻量化设备认证方法 | |
Yang et al. | A High Security Signature Algorithm Based on Kerberos for REST-style Cloud Storage Service |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |