CN117544376A - 一种基于物联网的移动终端设备可信认证方法及系统 - Google Patents

一种基于物联网的移动终端设备可信认证方法及系统 Download PDF

Info

Publication number
CN117544376A
CN117544376A CN202311563404.7A CN202311563404A CN117544376A CN 117544376 A CN117544376 A CN 117544376A CN 202311563404 A CN202311563404 A CN 202311563404A CN 117544376 A CN117544376 A CN 117544376A
Authority
CN
China
Prior art keywords
mobile terminal
authentication
data
internet
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311563404.7A
Other languages
English (en)
Inventor
刘文艺
林瑞明
杨带娣
陈英操
张诗幸
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou Dongzhao Information Technology Co ltd
Original Assignee
Guangzhou Dongzhao Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou Dongzhao Information Technology Co ltd filed Critical Guangzhou Dongzhao Information Technology Co ltd
Priority to CN202311563404.7A priority Critical patent/CN117544376A/zh
Publication of CN117544376A publication Critical patent/CN117544376A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L12/2816Controlling appliance services of a home automation network by calling their functionalities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/302Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种基于物联网的移动终端设备可信认证方法及系统,所述方法在加密算法的基础上,针对复杂网络环境中的物联网移动终端用户提供一种安全可靠的可信认证方法,该方法在移动终端设备和服务器之间,建立可信的加密认证信道,实现可信移动终端的信息安全传输,防止攻击者收集大量设备交互信息;所述系统通过系统初始化模块、数据加密模块、数据解密模块、可信认证模块和防抗攻击模块,有效防止恶意攻击者直接攻击到服务器端的数据,增加系统的安全性和稳定性,达到可信认证的目的,最终保障整个物联网系统的安全。

Description

一种基于物联网的移动终端设备可信认证方法及系统
技术领域
本发明涉及可信认证领域,尤其是一种基于物联网的移动终端设备可信认证方法及系统。
背景技术
移动通信技术的普及,使得越来越多的用户依赖移动终端应用进行信息交互,尤其是物联网领域。用户可以使用移动终端设备实时查看智能家居的信息和状态,并发送指令对家居进行实时操作。但是,移动终端属于第三方设备,物联网服务商存在无法准确识别设备是否可信、用户端软件是否遭受非法入侵、设备信息是否篡改等问题。因此,如何有效的对物联网提供一种可信认证,成为目前解决物联网安全的关键问题之一。
虽然目前提供设备认证的方法有很多,但是传统的设备采取设备信息加密的认证方法,其认证形式较为单一,攻击者很容易通过收集大量设备交互信息或数据进行识别,从而伪装真实用户对家居进行控制,进而给物联网用户造成了重大损失。
另一方面,由于云计算和大数据的发展,用户在其它平台中预留的真实信息,在其它平台安全度不高的情况下,攻击者很容易获取到这些用户真实信息,并利用该信息伪装成物联网系统用户,进而入侵物联网系统对智能家居发动攻击,从而造成不可预料的风险。
发明内容
本发明为了解决上述存在的物联网系统中存在移动设备认证难度较大的技术问题,提供一种基于物联网的移动终端设备可信认证方法及系统,将移动终端和服务器层利用区块链节点隔开,防止非法窃听和攻击,同时,利用设备中的ID生成虚拟传递网络标签,并在服务器中进行认证,有效的阻止设备伪装或信息篡改。
本发明的技术方案是这样实现的:
一种基于物联网的移动终端设备可信认证方法,包括以下步骤。
S1:系统参数初始化工作。
包括物联网系统需要对家居设备或移动终端的ID、共享密钥K、传输允许的最大延时tmax、与真实ID对应的网络传输标记Tag等信息,以及服务器端和移动终端时间戳进行初始化同步,确保时间戳的一致性。
S2:物联网系统中的云服务器根据当前的系统负载,构建区块链节点层,并将区块链节点层提供对外互联网访问功能,以此隐藏系统底层中的服务层和云服务器节点。
S3:云服务器与手机或家居设备等移动终端利用区块链节点建立通信信道,移动终端根据设备ID1和当前的时间戳Ti生成网络传输的Tag=Se(ID1,Ti)值,并将Tag值和时间戳Ti利用服务器公布的RSA公钥加密得到ETag和ETi,传递给区块链节点,由区块链节点转移给云服务器进行下一步操作。
S4:云服务器依据移动终端设备发送的通信数据,获取的加密的ETag值和时间戳ETi等信息,利用存储在服务器端口的RSA私钥进行解密,得到原始明文数据Tag值和时间戳Ti
同时,服务器将当前的时间戳Ti+1与移动终端发送的时间戳Ti进行对比,得到时间戳的差值ΔT1=|Ti+1-Ti|。
如果ΔT1≥tmax,那么直接抛弃数据,并返回数据超时信息给移动终端,提示用户认证失败,信息延时无法传递,让移动终端重新发送数据,回到S3。
如果ΔT1<tmax,那么数据的延时在可控范围内传递,可信认证继续执行,进行下一步认证操作。
S5:由于延时在可控范围内,表明数据在正常通信信道中传输。
此时,云服务器根据解密的Tag和移动终端传递的Ti解密得到移动终端的ID2=De(Tag,Ti)。
在服务器中查询该ID2,如果该ID2不存在,则表示数据被篡改或伪造,认证终止,并返回消息。
如果该ID2存在,则通过该设备ID2,查询到系统中对应的设备的RSA公钥。
S6:服务器端利用时间戳随机函数Radom(Ti),生成128位系统端的随机数Rx,同时将服务器当前的时间戳Ti+2和刚刚生成的随机数Rx,利用S5查询的RSA公钥加密得到ETi+2和ERx,并将该参数传递给移动终端。
S7:移动终端收到加密数据ETi+2和ERx后,利用本地的RSA私钥解密,得到明文数据时间戳Ti+2和随机数Rx;利用移动终端设备当前的时间戳Ti+3和发送的时间戳Ti+2进行比对,得到时间戳差值ΔT2=|Ti+3-Ti+2|。
如果ΔT2≥tmax,那么直接抛弃数据,并返回数据超时信息给服务器,提示本次认证失败,信息延时无法传递,让服务器端重新发送数据,回到S5。
如果ΔT2<tmax,那么数据的延时在可控范围内传递,可信认证继续执行,进行下一步认证操作。
S8:移动终端的延时认证通过后,则会利用同样的时间戳随机函数Radom(Ti),生成移动终端的128位随机数Ry,并利用初始化中的共享密钥,将Rx和Ry生成两个认证消息M1和M2
利用服务器的RSA公钥,对其认证消息M1和M2进行加密得到密文E1和E2;移动终端将密文E1、E2、ETag和ETi+4发送给区块链节点。
S9:区块链节点将移动终端发送的加密信息传递给服务器端,由服务器端进行解密,得到明文数据,包括认证消息M1、M2、网络标签Tag和时间戳Ti+4等。
服务器端利用当前的时间戳和移动终端Ti+5发送的时间戳Ti+4进行比对,得到时间戳差值ΔT3=|Ti+5-Ti+4|。
如果ΔT3≥tmax,那么直接抛弃数据,并返回数据超时信息给移动终端,提示本次认证失败,信息延时无法传递,让移动终端重新发送数据,回到S8。
如果ΔT3<tmax,那么数据的延时在可控范围内传递,可信认证继续执行,进行下一步认证操作。
S10:云服务器根据解密的Tag和移动终端传递的Ti+4解密得到移动终端的ID3=De(Tag,Ti+4)。
如果在服务器系统查询中该ID3不存在,则表示数据被篡改或伪造,认证终止,并返回消息;如果该ID3存在,则通过该设备ID3,查询到系统中对应的设备的RSA公钥,并进行下一步操作。
S11:利用共享密钥K和RSA公钥,对认证消息M1进行解密可以得到Rx1和Ry1,对认证消息M2进行解密可以得到Rx2和Ry2
当且仅当|Rx1=Rx2|和|Ry1=Ry2|二者同时满足时,可信认证才算通过,移动终端可以正常通信。
S12:如果移动终端设备在经历多次认证过程后,出现了超过限定次数阈值的认证失败的情况,则系统判断该设备可能存在异常行为,对其进行风险评估和安全检测。若该设备经评估和检测后确诊为存在安全问题,则将其列入黑名单,禁止其访问物联网系统。
如果云服务器在认证过程中,系统检测到某个IP地址的请求访问频率超过系统的限制阈值,则系统自动禁用该IP地址的访问权限。
一种基于物联网的移动终端设备可信认证系统,包括系统初始化模块、数据加密模块、数据解密模块、可信认证模块和防抗攻击模块。
所述系统初始化模块,用于当移动终端的软件安装以及家居设备的系统初始化完成后,将激活信息发送给服务器,比对服务器的时间戳,加载RSA密钥信息,完成整个物联网系统的初始化工作。
所述数据加密模块,用于当服务器、移动终端和家居设备在系统初始化阶段时,分享各自的公钥,并在本地加密区域留存私钥;在数据传输过程中,对数据进行加密传输,保证通信系统的安全。
所述数据解密模块,用于将服务器、移动终端和家居设备利用留存在本地的私钥,对加密数据进行解密,并反馈解密信息。
所述可信认证模块,用于服务器和移动终端或家居设备之间,利用基于物联网的移动终端设备可信认证方法,完成移动终端或家居设备的可信认证,对认证通过后的设备,进行数据互联互通。
所述防抗攻击模块,用于当移动终端设备认证失败频率超过限制阈值,或IP地址请求访问频率超过限制阈值时,对其进行风险评估,并相应采取列入黑名单或禁止访问的措施。
与现有技术相比,本发明的有益效果是:
本发明提出一种基于物联网的移动终端设备可信认证方法及系统,该方法在加密算法的基础上,针对复杂网络环境中的物联网移动终端用户提供一种安全可靠的可信认证方法,该方法在移动终端设备和服务器之间,建立可信的加密认证信道,实现可信移动终端的信息安全传输,防止攻击者收集大量设备交互信息;该系统通过数据加密模块、数据解密模块、可信认证模块和防抗攻击模块,有效防止恶意攻击者直接攻击到服务器端的数据,增加系统的安全性和稳定性,达到可信认证的目的,最终保障整个物联网系统的安全。
附图说明
图1为本发明一种基于物联网的移动终端设备可信认证方法的流程示意图;
图2为本发明一种基于物联网的移动终端设备可信认证系统的框架图。
1-系统初始化模块;2-数据加密模块;3-数据解密模块;4-可信认证模块;5-防抗攻击模块。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置的例子。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1:
如图1所示,一种基于物联网的移动终端设备可信认证方法,包括以下内容。
S1:系统参数初始化工作。
包括物联网系统需要对家居设备或移动终端的ID、共享密钥K、传输允许的最大延时tmax、与真实ID对应的网络传输标记Tag等信息,以及服务器端和移动终端时间戳进行初始化同步,确保时间戳的一致性。
S2:物联网系统中的云服务器根据当前的系统负载,构建区块链节点层,并将区块链节点层提供对外互联网访问功能,以此隐藏系统底层中的服务层和云服务器节点,以增加系统的安全性和稳定性,防止恶意攻击者直接攻击到服务器端的数据。
S3:云服务器与手机或家居设备等移动终端利用区块链节点建立通信信道,移动终端根据设备ID1和当前的时间戳Ti生成网络传输的Tag=Se(ID1,Ti)值,并将Tag值和时间戳Ti利用服务器公布的RSA公钥加密得到ETag=ESRSA(Tag)和ETi=ESRSA(Ti),传递给区块链节点,由区块链节点转移给云服务器进行下一步操作,以确保通信过程中的安全性和机密性。
ETag=ESRSA(Tag),表示基于RSA加密算法得到加密后的网络传输标记Tag值;
ETi=ESRSA(Ti),表示基于RSA加密算法得到加密后的时间戳Ti值。
S4:云服务器依据移动终端设备发送的通信数据,获取的加密的ETag值和时间戳ETi等信息,利用存储在服务器端口的RSA私钥进行解密,得到原始明文数据Tag=DSRSA(ETag)和时间戳Ti=DSRSA(Ti)。
明文数据设备标签Tag=DSRSA(ETag),表示基于RSA解密算法得到解密后的网络传输标记Tag的明文值;
时间戳Ti=DSRSA(Ti),表示基于RSA解密算法得到解密后的时间戳Ti的明文值。
同时,服务器将当前的时间戳Ti+1与移动终端发送的时间戳Ti进行对比,得到时间戳的差值ΔT1=|Ti+1-Ti|。
如果ΔT1≥tmax,那么直接抛弃数据,并返回数据超时信息给移动终端,提示用户认证失败,信息延时无法传递,让移动终端重新发送数据,回到S3。
如果ΔT1<tmax,那么数据的延时在可控范围内传递,可信认证继续执行,进行下一步认证操作。
S5:由于延时在可控范围内,表明数据在正常通信信道中传输。
此时,云服务器根据解密的Tag和移动终端传递的Ti解密得到移动终端的ID2=De(Tag,Ti)。ID2=De(Tag,Ti),表示基于De函数对Tag和Ti进行解密得到ID2
在服务器中查询该ID2,如果该ID2不存在,则表示数据被篡改或伪造,认证终止,并返回消息。
如果该ID2存在,则通过该设备ID2,查询到系统中对应的设备的RSA公钥。
S6:服务器端利用时间戳随机函数Radom(Ti),生成128位系统端的随机数Rx,同时将服务器当前的时间戳Ti+2和刚刚生成的随机数Rx,利用S5查询的RSA公钥加密得到ETi+2=ECRSA(Ti+2)和ERx=ECRSA(Rx),并将该参数传递给移动终端。
ETi+2=ECRSA(Ti+2),表示基于RSA加密算法得到加密后的时间戳Ti+2
ERx=ECRSA(Rx),表示基于RSA加密算法得到加密后的随机数Rx
S7:移动终端收到加密数据ETi+2和ERx后,利用本地的RSA私钥解密,得到明文数据时间戳Ti+2=DCRSA(ETi+2)和随机数Rx=DCRSA(ERx);利用移动终端设备当前的时间戳Ti+3和发送的时间戳Ti+2进行比对,得到时间戳差值ΔT2=|Ti+3-Ti+2|。
Ti+2=DCRSA(ETi+2),表示基于RSA解密算法得到解密后的时间戳Ti+2
Rx=DCRSA(ERx),表示基于RSA解密算法得到解密后的随机数Rx
如果ΔT2≥tmax,那么直接抛弃数据,并返回数据超时信息给服务器,提示本次认证失败,信息延时无法传递,让服务器端重新发送数据,回到S5。
如果ΔT2<tmax,那么数据的延时在可控范围内传递,可信认证继续执行,进行下一步认证操作。
S8:移动终端的延时认证通过后,则会利用同样的时间戳随机函数Radom(Ti),生成移动终端的128为随机数Ry,并利用初始化中的共享密钥,将Rx和Ry生成两个认证消息M1=AUE(K⊕Ry,Rx)和M2=AUE(ID⊕Ry,Rx)。
M1=AUE(K⊕Ry,Rx),表示共享密钥K和移动端的随机数Ry使用异或运算符⊕进行混合后,得到新的密钥,移动设备使用该密钥结合系统端的随机数Rx生成认证消息M1
M2=AUE(ID⊕Ry,Rx),表示ID和移动端的随机数Ry使用异或运算符⊕进行混合后,得到新的密钥,移动设备使用该密钥结合系统端的随机数Rx生成认证消息M2
利用服务器的RSA公钥,对其认证消息M1和M2进行加密得到密文E1=ESRSA(M1)和E2=ESRSA(M2);移动终端将密文E1、E2、ETag和ETi+4发送给区块链节点,以增加系统对认证消息的加密保护,提高系统安全性。
S9:区块链节点将移动终端发送的加密信息传递给服务器端,由服务器端进行解密,得到明文数据,包括认证消息M1=DSRSA(E1)、M2=DSRSA(E2)、网络标签Tag=DSRSA(ETag)和时间戳Ti+4=DSRSA(ETi+4)等。
服务器端利用当前的时间戳和移动终端Ti+5发送的时间戳Ti+4进行比对,得到时间戳差值ΔT3=|Ti+5-Ti+4|。
如果ΔT3≥tmax,那么直接抛弃数据,并返回数据超时信息给移动终端,提示本次认证失败,信息延时无法传递,让移动终端重新发送数据,回到S8。
如果ΔT3<tmax,那么数据的延时在可控范围内传递,可信认证继续执行,进行下一步认证操作。
S10:云服务器根据解密的Tag和移动终端传递的Ti+4解密得到移动终端的ID3=De(Tag,Ti+4)。ID3=De(Tag,Ti),表示基于De函数对Tag和Ti进行解密得到ID3
如果在服务器系统查询中该ID3不存在,则表示数据被篡改或伪造,认证终止,并返回消息;如果该ID3存在,则通过该设备ID3,查询到系统中对应的设备的RSA公钥,并进行下一步操作。
S11:利用共享密钥K和RSA公钥,对认证消息M1进行解密可以得到Rx1和Ry1,对认证消息M2进行解密可以得到Rx2和Ry2
当且仅当|Rx1=Rx2|和|Ry1=Ry2|二者同时满足时,可信认证才算通过,移动终端可以正常通信。
S12:如果移动终端设备在经历多次认证过程后,出现了超过限定次数阈值的认证失败的情况,则系统判断该设备可能存在异常行为,对其进行风险评估和安全检测。若该设备经评估和检测后确诊为存在安全问题,则将其列入黑名单,禁止其访问物联网系统。
如果云服务器在认证过程中,系统检测到某个IP地址的请求访问频率超过系统的限制阈值,则系统自动禁用该IP地址的访问权限。
本实施例在加密算法的基础上,针对复杂网络环境中的物联网移动终端用户提供一种安全可靠的可信认证方法,该方法在移动终端设备和服务器之间,建立可信的加密认证信道,实现可信移动终端的信息安全传输,防止攻击者收集大量设备交互信息,保障物联网系统的安全。
实施例2:
如图2所述,本实施例提供一种基于物联网的移动终端设备可信认证系统,包括系统初始化模块1、数据加密模块2、数据解密模块3、可信认证模块4和防抗攻击模块5。
所述系统初始化模块1,用于当移动终端的软件安装以及家居设备的系统初始化完成后,将激活信息发送给服务器,比对服务器的时间戳,加载RSA密钥信息,完成整个物联网系统的初始化工作。
所述数据加密模块2,用于当服务器、移动终端和家居设备在系统初始化阶段时,分享各自的公钥,并在本地加密区域留存私钥;在数据传输过程中,对数据进行加密传输,保证通信系统的安全。
所述数据解密模块3,用于将服务器、移动终端和家居设备利用留存在本地的私钥,对加密数据进行解密,并反馈解密信息。
所述可信认证模块4,用于服务器和移动终端或家居设备之间,利用基于物联网的移动终端设备可信认证方法,完成移动终端或家居设备的可信认证,对认证通过后的设备,进行数据互联互通。
所述防抗攻击模块5,用于当移动终端设备认证失败频率超过限制阈值,或IP地址请求访问频率超过限制阈值时,对其进行风险评估,并相应采取列入黑名单或禁止访问的措施。
本实施例通过数据加密模块2、数据解密模块3、可信认证模块4和防抗攻击模块5,有效防止恶意攻击者直接攻击到服务器端的数据,增加系统的安全性和稳定性,达到可信认证的目的,最终保障整个物联网系统的安全。
前述的实例仅是说明性的,用于解释本发明所述方法的一些特征。所附的权利要求旨在要求可以设想的尽可能广的范围,且本文所呈现的实施例仅是根据所有可能的实施例的组合的选择的实施方式的说明。因此,申请人的用意是所附的权利要求不被说明本发明的特征的示例的选择限制。在权利要求中所用的一些数值范围也包括了在其之内的子范围,这些范围中的变化也应在可能的情况下解释为被所附的权利要求覆盖。

Claims (8)

1.一种基于物联网的移动终端设备可信认证方法,其特征在于:包括以下步骤:
S1:系统参数初始化工作:包括物联网系统需要对家居设备或移动终端的ID、共享密钥K、传输允许的最大延时tmax、与真实ID对应的网络传输标记Tag信息,以及服务器端和移动终端时间戳进行初始化同步,确保时间戳的一致性;
S2:物联网系统中的云服务器根据当前的系统负载,构建区块链节点层,区块链节点层提供对外互联网访问功能,以此隐藏系统底层中的服务层和云服务器节点;
S3:云服务器与移动终端利用区块链节点建立通信信道,移动终端根据设备ID1和当前的时间戳Ti生成网络传输的Tag值,并将Tag值和时间戳Ti利用服务器端公布的RSA公钥加密得到ETag和ETi,传递给区块链节点,由区块链节点转移给云服务器进行下一步操作;
S4:云服务器依据移动终端设备发送的通信数据,获取ETag值和时间戳ETi信息,利用存储在服务器端的RSA私钥进行解密,得到原始明文数据Tag值和时间戳Ti;同时,服务器端将当前的时间戳Ti+1与移动终端发送的时间戳Ti进行对比,得到时间戳的差值ΔT1=|Ti+1-Ti|;
如果ΔT1≥tmax,则抛弃数据,并返回数据超时信息给移动终端,提示用户认证失败,信息延时无法传递,让移动终端重新发送数据,回到S3;
如果ΔT1<tmax,则数据的延时在可控范围内传递,可信认证继续执行,进行下一步认证操作;
S5:由于延时在可控范围内,表明数据在正常通信信道中传输;此时,云服务器根据解密的Tag和移动终端传递的Ti解密得到移动终端的ID2;在服务器端中查询该ID2,如果该ID2不存在,则表示数据被篡改或伪造,认证终止,并返回消息;如果该ID2存在,则通过该ID2,查询到系统中对应的设备的RSA公钥;
S6:服务器端利用时间戳随机函数Radom(Ti),生成128位系统端的随机数Rx,同时将服务器端当前的时间戳Ti+2和随机数Rx,利用S5查询的RSA公钥加密得到ETi+2和ERx,并将该参数传递给移动终端;
S7:移动终端收到ETi+2和ERx后,利用本地的RSA私钥解密,得到明文数据时间戳Ti+2和随机数Rx;利用移动终端设备当前的时间戳Ti+3和发送的时间戳Ti+2进行比对,得到时间戳差值ΔT2=|Ti+3-Ti+2|;
如果ΔT2≥tmax,则抛弃数据,并返回数据超时信息给服务器端,提示本次认证失败,信息延时无法传递,让服务器端重新发送数据,回到S5;
如果ΔT2<tmax,则数据的延时在可控范围内传递,可信认证继续执行,进行下一步认证操作;
S8:移动终端的延时认证通过后,则会利用同样的时间戳随机函数Radom(Ti),生成移动终端的128位随机数Ry,并利用初始化中的共享密钥,将Rx和Ry生成两个认证消息M1和M2,并利用服务器端的RSA公钥,对认证消息M1和M2进行加密得到密文E1和E2;移动终端将E1、E2、ETag和ETi+4发送给区块链节点;
S9:区块链节点将移动终端发送的加密信息传递给服务器端,由服务器端进行解密,得到明文数据,包括认证消息M1、M2、网络标签Tag和时间戳Ti+4;服务器端利用当前的时间戳Ti+5和移动终端发送的时间戳Ti+4进行比对,得到时间戳差值ΔT3=|Ti+5-Ti+4|;
如果ΔT3≥tmax,则抛弃数据,并返回数据超时信息给移动终端,提示本次认证失败,信息延时无法传递,让移动终端重新发送数据,回到S8;
如果ΔT3<tmax,则数据的延时在可控范围内传递,可信认证继续执行,进行下一步认证操作;
S10:云服务器根据解密的Tag和移动终端传递的Ti+4解密得到移动终端的ID3;如果系统查询中该ID3不存在,则表示数据被篡改或伪造,认证终止,并返回消息;如果该ID3存在,则通过该ID3,查询到系统中对应的设备的RSA公钥,并进行下一步操作;
S11:利用共享密钥K和RSA公钥,对认证消息M1进行解密可以得到Rx1和Ry1,对认证消息M2进行解密得到Rx2和Ry2
当且仅当Rx1=Rx2和Ry1=Ry2二者同时满足时,可信认证才算通过,移动终端可以正常通信;
S12:如果移动终端设备在经历多次认证过程后,出现了超过限定次数阈值的认证失败的情况,则系统判断该设备可能存在异常行为,对其进行风险评估和安全检测,若该设备经评估和检测后确诊为存在安全问题,则将其列入黑名单,禁止其访问物联网系统;
如果云服务器在认证过程中,系统检测到某个IP地址的请求访问频率超过系统的限制阈值,则系统自动禁用该IP地址的访问权限。
2.根据权利要求1所述的一种基于物联网的移动终端设备可信认证方法,其特征在于:所述S3中,ETag=ESRSA(Tag),表示基于RSA加密算法得到加密后的网络传输标记Tag值;ETi=ESRSA(Ti),表示基于RSA加密算法得到加密后的时间戳Ti值。
3.根据权利要求1所述的一种基于物联网的移动终端设备可信认证方法,其特征在于:所述S4中,明文数据设备标签Tag=DSRSA(ETag),表示基于RSA解密算法得到解密后的网络传输标记Tag的明文值;时间戳Ti=DSRSA(Ti),表示基于RSA解密算法得到解密后的时间戳Ti的明文值。
4.根据权利要求1所述的一种基于物联网的移动终端设备可信认证方法,其特征在于:所述S6中,ETi+2=ECRSA(Ti+2),表示基于RSA加密算法得到加密后的时间戳Ti+2;ERx=ECRSA(Rx),表示基于RSA加密算法得到加密后的随机数Rx
5.根据权利要求1所述的一种基于物联网的移动终端设备可信认证方法,其特征在于:所述S7中,Ti+2=DCRSA(ETi+2),表示基于RSA解密算法得到解密后的时间戳Ti+2;Rx=DCRSA(ERx),表示基于RSA解密算法得到解密后的随机数Rx
6.根据权利要求1所述的一种基于物联网的移动终端设备可信认证方法,其特征在于:所述S8中,M1=AUE(K⊕Ry,Rx),表示共享密钥K和移动端的随机数Ry使用异或运算符⊕进行混合后,得到新的密钥,移动设备使用该密钥结合系统端的随机数Rx生成认证消息M1;M2=AUE(ID⊕Ry,Rx),表示ID和移动端的随机数Ry使用异或运算符⊕进行混合后,得到新的密钥,移动设备使用该密钥结合系统端的随机数Rx生成认证消息M2
7.根据权利要求1所述的一种基于物联网的移动终端设备可信认证方法,其特征在于:所述S5中,ID2=De(Tag,Ti),表示基于De函数对Tag和Ti进行解密得到ID2;所述S10中,ID3=De(Tag,Ti),表示基于De函数对Tag和Ti进行解密得到ID3
8.一种基于物联网的移动终端设备可信认证系统,其特征在于:系统初始化模块(1)、数据加密模块(2)、数据解密模块(3)、可信认证模块(4)和防抗攻击模块(5);
所述系统初始化模块(1),用于当移动终端的软件安装以及家居设备的系统初始化完成后,将激活信息发送给服务器端,比对服务器端的时间戳,加载RSA密钥信息,完成整个物联网系统的初始化工作;
所述数据加密模块(2),用于当服务器端、移动终端和家居设备在系统初始化阶段时,分享各自的公钥,并在本地加密区域留存私钥;在数据传输过程中,对数据进行加密传输,保证通信系统的安全;
所述数据解密模块(3),用于将服务器端、移动终端和家居设备的利用留存在本地私钥,对加密数据进行解密,并反馈解密信息;
所述可信认证模块(4),用于服务器端和移动终端或家居设备之间,完成移动终端或家居设备的可信认证,对认证通过后的设备,进行数据互联互通;
所述防抗攻击模块(5),用于当移动终端设备认证失败频率超过限制阈值,或IP地址请求访问频率超过限制阈值时,对其进行风险评估,并相应采取列入黑名单或禁止访问的措施。
CN202311563404.7A 2023-11-21 2023-11-21 一种基于物联网的移动终端设备可信认证方法及系统 Pending CN117544376A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311563404.7A CN117544376A (zh) 2023-11-21 2023-11-21 一种基于物联网的移动终端设备可信认证方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311563404.7A CN117544376A (zh) 2023-11-21 2023-11-21 一种基于物联网的移动终端设备可信认证方法及系统

Publications (1)

Publication Number Publication Date
CN117544376A true CN117544376A (zh) 2024-02-09

Family

ID=89789595

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311563404.7A Pending CN117544376A (zh) 2023-11-21 2023-11-21 一种基于物联网的移动终端设备可信认证方法及系统

Country Status (1)

Country Link
CN (1) CN117544376A (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112491550A (zh) * 2020-12-22 2021-03-12 湖南科技学院 一种基于车联网的移动终端设备可信认证方法及系统
CN113553574A (zh) * 2021-07-28 2021-10-26 浙江大学 一种基于区块链技术的物联网可信数据管理方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112491550A (zh) * 2020-12-22 2021-03-12 湖南科技学院 一种基于车联网的移动终端设备可信认证方法及系统
CN113553574A (zh) * 2021-07-28 2021-10-26 浙江大学 一种基于区块链技术的物联网可信数据管理方法

Similar Documents

Publication Publication Date Title
US9008312B2 (en) System and method of creating and sending broadcast and multicast data
US20160365982A1 (en) System and method for secure end-to-end messaging system
JP4002035B2 (ja) 機密を要する情報を最初は機密化されてない通信を用いて伝送するための方法
CN106878016A (zh) 数据发送、接收方法及装置
CN112491550B (zh) 一种基于车联网的移动终端设备可信认证方法及系统
CN107483429B (zh) 一种数据加密方法和装置
CN102065016A (zh) 报文发送和接收方法及装置、报文处理方法及系统
CN103118363A (zh) 一种互传秘密信息的方法、系统、终端设备及平台设备
CN112637136A (zh) 加密通信方法及系统
WO2000062480A2 (en) Apparatus and method for transmitting messages across different multicast domains
CN104753953A (zh) 访问控制系统
EP1493243B1 (en) Secure file transfer
CA3166510A1 (en) Sharing encrypted items with participants verification
CN106549858B (zh) 一种基于标识密码的即时通信加密方法
CN113132087A (zh) 物联网、身份认证及保密通信方法、芯片、设备及介质
Castiglione et al. An efficient and transparent one-time authentication protocol with non-interactive key scheduling and update
CN107534555B (zh) 一种用于证书验证的方法及装置
Lo et al. Cryptanalysis of two three-party encrypted key exchange protocols
CN113765900B (zh) 协议交互信息输出传输方法、适配器装置及存储介质
CN117544376A (zh) 一种基于物联网的移动终端设备可信认证方法及系统
Elmubark et al. Fast and secure generating and exchanging a symmetric keys with different key size in TVWS
CN101123504A (zh) 一种通信终端及响应源的鉴定方法
Yi et al. Security of Park-Lim key agreement schemes for VSAT satellite communications
CN116232738A (zh) 一种基于动态秘密的透明网络安全方法
CN113660195A (zh) 一种基于104规约的aes-rsa抗中间人攻击方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination