CN118432826A - 群组设备的注册与身份认证方法、系统、设备及存储介质 - Google Patents
群组设备的注册与身份认证方法、系统、设备及存储介质 Download PDFInfo
- Publication number
- CN118432826A CN118432826A CN202410896301.0A CN202410896301A CN118432826A CN 118432826 A CN118432826 A CN 118432826A CN 202410896301 A CN202410896301 A CN 202410896301A CN 118432826 A CN118432826 A CN 118432826A
- Authority
- CN
- China
- Prior art keywords
- equipment
- public key
- internet
- things
- registration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 67
- 238000003860 storage Methods 0.000 title claims abstract description 25
- 230000004044 response Effects 0.000 claims abstract description 54
- 238000005516 engineering process Methods 0.000 claims abstract description 45
- 238000004806 packaging method and process Methods 0.000 claims abstract description 12
- 238000004891 communication Methods 0.000 claims description 73
- 230000005540 biological transmission Effects 0.000 claims description 55
- 238000007726 management method Methods 0.000 claims description 29
- 238000004422 calculation algorithm Methods 0.000 claims description 22
- 238000012795 verification Methods 0.000 claims description 21
- 238000004590 computer program Methods 0.000 claims description 13
- 238000004364 calculation method Methods 0.000 claims description 12
- 230000007246 mechanism Effects 0.000 claims description 6
- 230000008569 process Effects 0.000 description 16
- 238000004519 manufacturing process Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 238000013461 design Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000005336 cracking Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供了一种群组设备的注册与身份认证方法、系统、设备及存储介质,应用于包括管理员终端和多个物联网设备的物联网设备群组,包括响应于物联网设备的上电启动,根据物理不可克隆技术获取设备密钥对,并根据设备密钥对中的设备公钥向管理员终端请求注册,以使管理员终端根据设备公钥执行设备注册操作并将对应的设备签名信息和管理员公钥证书封装成注册响应消息发送至物联网设备;接收注册响应消息,由物联网设备根据管理员公钥证书对设备签名信息进行验签,并在验签通过后,存储管理员公钥证书和设备签名信息,完成设备注册。本发明能有效降低密钥存储和管理风险,提高设备安全性的同时,还便于对物联网设备进行灵活的区域管理和群组化管理。
Description
技术领域
本发明涉及信息安全技术领域,特别是涉及一种基于物理不可克隆技术的群组设备的注册与身份认证方法、系统、计算机设备及存储介质。
背景技术
随着物联网应用的兴起与发展,大量物联网设备将接入公共网络或企业专网。在此背景下,海量物联网设备难以避免地会面临多种风险,如用户个人信息、隐私和敏感数据泄露的风险,设备被黑客远程控制的风险,以及节点设备容易受到恶意攻击者的劫持与破坏等。这些风险可能导致用户信息被窃取或非法替换,进而干扰网络和业务的正常运行。为此,如何加强设备的身份验证、访问控制以及数据加密传输已成为领域内热衷研究的问题。
现有物联网设备间通信通常采用对称秘钥算法以确保数据安全和身份认证。然而,对称秘钥加密通信机制的正常运作需经过分发、存储等环节,不仅增加了生产管理流程的复杂性,而且这些密钥通常储存在flash芯片中,极易因遭受针对性物理攻击或暴力破解等威胁导致出现密钥泄露或被篡改等安全风险;此外,由于设备在上线时就已确定使用方式或逻辑区域,不支持灵活性配置的特点,难以基于不同的安全需求和管理需求,实现对物联网设备进行有效区域管理和群组化管理。
发明内容
本发明的目的是提供一种群组设备的注册与身份认证方法,通过基于物理不可克隆技术、PKI(Public Key Infrastructure)技术和第三方认证技术配合实现无需密钥存储的物联网群组设备的注册和身份认证模式,不仅能简化密钥生产流程,有效降低密钥存储和管理风险,提高物联网设备的安全性,而且还能在无需存储设备信息的情况下完成设备注册认证,便于对物联网设备进行灵活的区域管理和群组化管理。
为了实现上述目的,有必要针对上述技术问题,提供一种群组设备的注册与身份认证方法、系统、计算机设备及存储介质。
第一方面,本发明实施例提供了一种群组设备的注册与身份认证方法,应用于物联网设备群组,所述物联网设备群组包括管理员终端和多个物联网设备;所述方法包括以下步骤:
响应于所述物联网设备的上电启动,根据物理不可克隆技术获取设备密钥对,并根据所述设备密钥对中的设备公钥向所述管理员终端请求注册,以使所述管理员终端根据所述设备公钥执行设备注册操作,并将对应的设备签名信息和管理员公钥证书封装成注册响应消息发送至所述物联网设备;
接收所述注册响应消息,由所述物联网设备根据所述管理员公钥证书对所述设备签名信息进行验签,并在验签通过后,存储所述管理员公钥证书和所述设备签名信息,完成设备注册。
进一步地,所述管理员终端根据所述设备公钥执行设备注册操作的步骤包括:
所述管理员终端通过预设证书管理机构获取对应的群组可信根,并根据所述群组可信根,获取对应的管理员公钥证书和管理员私钥;
根据所述管理员私钥,对所述设备公钥进行签名计算,得到对应的设备签名信息。
进一步地,所述根据所述管理员公钥证书对所述设备签名信息进行验签的步骤包括:
根据所述管理员公钥证书,获取对应的管理员公钥,并根据所述管理员公钥对所述设备签名信息进行解密,得到对应的明文摘要值;
根据预设摘要算法对所述设备密钥对中的设备公钥进行摘要计算,得到对应的基准摘要值;
将所述明文摘要值与基准摘要值进行比对,若一致,则验签通过,反之,则验签失败。
进一步地,所述方法还包括:
响应于数据传输请求,由所述物联网设备根据物理不可克隆技术重新获取所述设备密钥对,并根据所述设备密钥对中的设备私钥对目标传输数据进行签名,得到对应的数据签名值,以及将所述目标传输数据、所述数据签名值、所述设备签名信息和所述设备密钥对中的设备公钥打包成对应的通信数据信息发送至群组内的目标物联网设备,以使所述目标物联网设备根据存储的管理员公钥证书对所述通信数据信息进行验证,并在验证通过后,根据所述目标传输数据进行通信响应。
进一步地,根据物理不可克隆技术获取设备密钥对的步骤包括:
所述物联网设备通过所述物理不可克隆技术生成对应的设备身份信息,并将所述设备身份信息作为设备私钥;
根据所述设备私钥,通过PKI公钥算法进行公钥推算,生成对应的设备公钥。
进一步地,所述目标物联网设备根据存储的管理员公钥证书对所述通信数据信息进行验证的步骤包括:
所述目标物联网设备解析所述通信数据信息,得到对应的源设备签名信息、源设备公钥、待验证传输数据和对应的待验证传输数据签名值;
根据存储的管理员公钥证书,获取对应的管理员公钥,并根据所述管理员公钥,对所述源设备签名信息进行验证;
当所述源设备签名信息验证通过后,根据所述源设备公钥和所述待验证传输数据签名值对所述待验证传输数据进行验签。
第二方面,本发明实施例提供了一种群组设备的注册与身份认证系统,应用于物联网设备群组,所述物联网设备群组包括管理员终端和多个物联网设备;所述系统包括:
所述物联网设备,用于响应于上电启动,根据物理不可克隆技术获取设备密钥对,根据所述设备密钥对中的设备公钥向所述管理员终端请求注册,并接收所述管理员终端发送的注册响应消息,以及根据所述注册响应消息中的管理员公钥证书对所述设备签名信息进行验签通过后,存储所述管理员公钥证书和所述设备签名信息,完成设备注册;
所述管理员终端,用于根据所述物联网设备发送的所述设备公钥执行设备注册操作,并将对应的设备签名信息和管理员公钥证书封装成注册响应消息发送至所述物联网设备。
进一步地,所述物联网设备还用于:
响应于数据传输请求,根据物理不可克隆技术重新获取所述设备密钥对,并根据所述设备密钥对中的设备私钥对目标传输数据进行签名,得到对应的数据签名值,以及将所述目标传输数据、所述数据签名值、所述设备签名信息和所述设备密钥对中的设备公钥打包成对应的通信数据信息发送至群组内的目标物联网设备,以使所述目标物联网设备根据存储的管理员公钥证书对所述通信数据信息进行验证,并在验证通过后,根据所述目标传输数据进行通信响应。
第三方面,本发明实施例还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述方法的步骤。
第四方面,本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述方法的步骤。
上述本申请提供了一种群组设备的注册与身份认证方法、系统、计算机设备和存储介质,应用于包括管理员终端和多个物联网设备的物联网设备群组,通过所述方法实现了响应于物联网设备的上电启动,根据物理不可克隆技术获取设备密钥对,并根据设备密钥对中的设备公钥向管理员终端请求注册,以使管理员终端根据设备公钥执行设备注册操作并将对应的设备签名信息和管理员公钥证书封装成注册响应消息发送至物联网设备;接收注册响应消息,由物联网设备根据管理员公钥证书对设备签名信息进行验签,并在验签通过后,存储管理员公钥证书和设备签名信息完成设备注册的技术方案。与现有技术相比,该群组设备的注册与身份认证方法,通过基于物理不可克隆技术、PKI(Public KeyInfrastructure)技术和第三方认证技术配合实现无需密钥存储的物联网群组设备的注册和身份认证模式,不仅能简化密钥生产流程,有效降低密钥存储和管理风险,提高物联网设备的安全性,而且还能在无需存储设备信息的情况下完成设备注册认证,便于对物联网设备进行灵活的区域管理和群组化管理,可更好地满足不同的网络安全需求和管理需求。
附图说明
图1是本发明实施例中群组设备的注册与身份认证方法的流程示意图;
图2是本发明实施例中组设备的注册流程示意图;
图3是本发明实施例中群组设备的注册与身份认证方法的另一流程示意图;
图4是本发明实施例中群组设备间数据通信流程示意图;
图5是本发明实施例中目标物联网设备对接收的通信数据信息进行验证的流程示意图;
图6是本发明实施例中群组设备的注册与身份认证系统的结构示意图;
图7是本发明实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案和有益效果更加清楚明白,下面结合附图及实施例,对本发明作进一步详细说明,显然,以下所描述的实施例是本发明实施例的一部分,仅用于说明本发明,但不用来限制本发明的范围。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供的群组设备的注册与身份认证方法可理解为基于现有物联网设备通信采用对称密钥算法进行数据安全认证和身份认证的机制存在密钥生产管理流程复杂、密钥存储安全风险较大以及难以满足灵活的区域管理和群组化管理需求的应用现状,而提出的一种基于物理不可克隆技术、PKI技术和第三方认证技术配合实现的无需密钥存储的物联网群组设备的注册和身份认证模式。下述实施例将对本发明的群组设备的注册与身份认证方法进行详细说明。
在一个实施例中,如图1所示,提供了一种群组设备的注册与身份认证方法,应用于物联网设备群组,所述物联网设备群组包括管理员终端和多个物联网设备;其中,各个物联网设备群组的划分以及群组内所包括的管理员终端和所有物联网设备均可根据实际应用需求设置,只需满足将管理员终端(群管理员)作为物联网设备群组的信任根,掌控整个群组内设备注册和信任链发布的条件,此处不作具体限定;具体的,所述方法包括以下步骤:
S11、响应于所述物联网设备的上电启动,根据物理不可克隆技术获取设备密钥对,并根据所述设备密钥对中的设备公钥向所述管理员终端请求注册,以使所述管理员终端根据所述设备公钥执行设备注册操作,并将对应的设备签名信息和管理员公钥证书封装成注册响应消息发送至所述物联网设备。
本实施例中的物理不可克隆技术(Physical Unclonable Functions,PUF)可理解为是借助于各个物联网设备上安全芯片的PUF特性为设备生成唯一的辨识信息的硬件安全技术。对应的设备密钥对获取过程理解是为是基于各个物联网设备上部署的PUF安全芯片生成的挑战响应得到对应的设备私钥和设备公钥的过程;同时,为了保证物联网设备具有更高的数据加密传输安全性、支持数字签名且便于群组维护管理,本实施例优选地采用PKI技术生成设备私钥和设备公钥,具体的,根据物理不可克隆技术获取设备密钥对的步骤包括:
所述物联网设备通过所述物理不可克隆技术生成对应的设备身份信息,并将所述设备身份信息作为设备私钥;其中,设备身份信息可理解为是基于芯片PUF产生的一组唯一的不可篡改的挑战响应值,具体生成挑战响应值的方法可参考相关现有技术实现,此处不作详述;
根据所述设备私钥,通过PKI公钥算法进行公钥推算,生成对应的设备公钥;其中,PKI公钥算法原则上可选用采用RSA算法、ECC算法和SM2算法等任一非对称加密算法,但为了在保证设备通信安全性前提下,尽可能提高加解密速率,降低数据存储和传输成本,本实施例优选地采抗攻击性更强、加密速度更快且占用计算资源更少的基于椭圆曲线数学理论的ECC算法,以更好地适应物联网设备等资源受限场景。在实际应用中,假设ECC算法中的生成点为G,且基于物理不可克隆技术得到的设备私钥为k,则通过阿贝尔群乘法操作可得对应的设备公钥为K=k*G。
物联网设备通过上述方法步骤获取对应的设备密钥对后,就可以将对应的设备公钥发送给管理员终端申请注册,并由对应的管理员终端根据上级CA认证机构颁发的群组可信根执行相应的注册操作;具体的,所述管理员终端根据所述设备公钥执行设备注册操作的步骤包括:
所述管理员终端通过预设证书管理机构获取对应的群组可信根,并根据所述群组可信根,获取对应的管理员公钥证书和管理员私钥;其中,预设证书管理机构可理解为PKI系统中物联网络群组内所有物联设备都信任的实体,也可理解为是可信第三方(TrustedThird Party,简称TTP,可根据实际应用需求选取设置,此处不作具体限定。对应的,群组可信根可理解为是预设证书管理机构为管理员终端颁发的可信根,其存储了管理员公钥证书和管理员私钥。
根据所述管理员私钥,对所述设备公钥进行签名计算,得到对应的设备签名信息;其中,设备签名信息可理解为是表示申请注册的物联网设备身份信息,用于后续群组内物联网设备间通信认证使用的数字签名,具体管理员终端根据管理员私钥对物联网设备的设备公钥进行签名计算的方法可采用现有技术实现,此处不作详述。
S12、接收所述注册响应消息,由所述物联网设备根据所述管理员公钥证书对所述设备签名信息进行验签,并在验签通过后,存储所述管理员公钥证书和所述设备签名信息,完成设备注册。
本实施例中物联网群组内的管理员终端相对于组内任一物联网设备都是预设的可信管理者,原则上,接收到管理员终端响应各个物联网设备注册请求的注册响应消息后,解析获取对应的设备签名信息和管理员公钥证书后,就可以直接将相关信息保存完成设备注册流程,但考虑到网络通信中可能存在的不可控风险,为了防止通信数据被篡改或信息发送方被冒充等带来的安全隐患,本实施例优选地,在物联网设备收到对应的注册响应消息后,对消息进行验签以保证通信数据的可靠性;具体的,所述根据所述管理员公钥证书对所述设备签名信息进行验签的步骤包括:
根据所述管理员公钥证书,获取对应的管理员公钥,并根据所述管理员公钥对所述设备签名信息进行解密,得到对应的明文摘要值;其中,管理员公钥的获取过程可理解为是由物联网设备解析所接收的X.509格式的管理员公钥证书,并提取得到其存储的公钥信息,具体的解析和提取过程可参考相关现有技术实现。
根据预设摘要算法对所述设备密钥对中的设备公钥进行摘要计算,得到对应的基准摘要值;其中,预设摘要算法可根据实际应用需求选择,原则上只需满足与管理员终端生成设备签名信息所使用的摘要算法保持一致即可,比如采用SHA256摘要算法,此处不作具体限定。
将所述明文摘要值与基准摘要值进行比对,若一致,则验签通过,反之,则验签失败;具体的,当明文摘要值与基准摘要值一致时,说明接收到的注册响应消息的发送方就是管理员终端;当明文摘要值与基准摘要值二者比对不一致时,则意味着物联网设备接收到的注册响应消息存在他人伪造或消息被篡改等安全风险,即消息发送方的身份认证不通过,需要直接丢弃并通过预设方式发出告警信息。
请求注册的物联网设备通过上述方法步骤完成对注册响应消息的数据完整性认证和身份认证后,就可以将注册响应消息中的设备签名信息和管理员公钥证书存储在本地,且后续群组内设备间通信的身份认证提供可靠支持。需要说明的是,上述实施例仅以物联网群组内的一个物联网设备向管理员终端申请注册的流程为例进行说明,在实际应用中一个群组内的所有物联网设备均采用上述相同的方式流程完成入网注册,并获取对应的设备签名信息和管理员公钥证书存储在本地,用于后续的通信传输使用,如图2所示,假设某个物联网群组有N个设备,且设备A和设备B先后向管理员终端申请注册,对应的注册流程如下:
a)设备A先通过物理不可克隆技术得到对应的设备私钥SK.A=PUF(),再通过预设公钥推导算法,基于设备私钥计算得到对应的设备公钥PK.A=derive(SK.A);
b、设备A根据得到的设备公钥PK.A向管理员终端发起注册设备申请;
c)管理员终端拥有上级CA认证机构颁发的群组可信根,该群组可信根存储有管理员公钥证书CA.CERT和管理员私钥SK.CA;管理员终端利用管理员私钥SK.CA对设备公钥PK.A进行签名,得到设备A的签名结果;
d)管理员终端将设备A的签名结果和管理员公钥证书CA.CERT一起封装成设备A的注册响应消息发送给设备A;以及在设备A接收注册响应消息进行验签完成后,就完成了设备A的注册操作;
e)设备B先通过物理不可克隆技术得到对应的设备私钥SK.B=PUF(),再通过预设公钥推导算法,基于设备私钥计算得到对应的设备公钥PK.B=derive(SK.B);
f)设备B根据得到的设备公钥PK.B向管理员终端发起注册设备申请;
g)管理员终端利用管理员私钥SK.CA对设备公钥PK.B进行签名,得到设备B的签名结果;
h)管理员终端将设备B的签名结果和管理员公钥证书CA.CERT一起封装成设备B的注册响应消息发送给设备B;以及在设备B接收注册响应消息进行验签完成后,就完成了设备B的注册操作;后续设备A和设备B就可以根据实际需求进行数据通信。
本实施例提供的在物联网设备群组内的物联网设备上电启动后,根据物理不可克隆技术获取设备密钥对,并根据设备密钥对中的设备公钥向管理员终端请求注册以使管理员终端根据设备公钥执行设备注册操作并将对应的设备签名信息和管理员公钥证书封装成注册响应消息发送至物联网设备,以及在接收到注册响应消息后,根据管理员公钥证书对设备签名信息进行验签,并在验签通过后,存储管理员公钥证书和设备签名信息完成设备注册的技术方案,通过基于物理不可克隆技术、PKI技术和第三方认证技术配合实现无需密钥存储的物联网群组设备的注册和身份认证模式,不仅能简化密钥生产流程,有效降低密钥存储和管理风险,提高物联网设备的安全性,而且能在无需存储设备信息的情况下完成设备注册认证,便于对物联网设备进行灵活的区域管理和群组化管理。
为了在实现由管理员终端掌控整个群组设备注册和信任链发布,实现对组内设备进行灵活安全管控的同时,还能满足于同一群组内不同设备间高效、安全且可靠的数据通信需求,为物联网业务处理提供可靠数据通信保障,本实施例优选地,还在将芯片PUF技术、CA技术和PKI技术结合设计无需存储设备密钥的群组设备灵活注册管理机制的基础上,进一步设计了支持数字签名的多次签名验签方案实现群组设备在不无需保存组内其它设备信息的情况下就可以完成设备间通信的可靠身份识别;具体的,如图3所示,所述方法还包括:
S13、响应于数据传输请求,由所述物联网设备根据物理不可克隆技术重新获取所述设备密钥对,并根据所述设备密钥对中的设备私钥对目标传输数据进行签名,得到对应的数据签名值,以及将所述目标传输数据、所述数据签名值、所述设备签名信息和所述设备密钥对中的设备公钥打包成对应的通信数据信息发送至群组内的目标物联网设备,以使所述目标物联网设备根据存储的管理员公钥证书对所述通信数据信息进行验证,并在验证通过后,根据所述目标传输数据进行通信响应。
本实施例中物联网设备每次需要传输通信数据时,就可以根据物理不可克隆技术重新获取设备密钥对用于对通信数据加密传输;需要说明的是,由于一个物联网设备借助芯片PUF能力临时产生的设备身份信息是唯一的不可篡改的信息,每次得到的设备私钥都是固定的,对应采用预设公钥推算算法计算得的设备公钥也是唯一;具体重新获取设备密钥对的过程可参考前述物联网设备向管理员终端申请注册流程中的相关实现,此处不再赘述。
在实际应用中,物联网群组内的某个物联网设备向群组内的其它目标物联网设备传输通信数据的流程如图4所示,假设物联设备A向同一群组内的物联网设备B传输数据,则:
i)设备A先基于前述方式生成通信密钥,即设备A根据S1描述过程通过PUF生成私钥SK.A,并计算出公钥PK.A;由于PUF生成的挑战响应对是唯一的,每个物联网设备自身的公私钥都不需要进行本地存储,使用时再生成,可在节约设备存储开销的同时,还能有效提高设备的密钥安全性;需要说明的是,此时设备A还存储有管理员公钥证书CA.CERT以及管理员对设备A公钥的签名(设备签名信息);
j)为数据签名过程,设备A使用S9生成的设备私钥对目标传输数据M进行签名运算,生成sign值;
k)为数据传输过程,设备A将数据M、sign值、设备签名信息及设备公钥打包成通信数据信息一并传输至设备B;
l)为设备B对通信数据信息进行验证身份的过程。
目标物联网设备接收到物联网设备发送的通信数据信息后,为了避免网络因素带来的安全风险,优选地对接收到的每条通信数据信息进行严格的数据完整性和发送者身份验证后再使用处理。具体的,如图5所示,所述目标物联网设备根据存储的管理员公钥证书对所述通信数据信息进行验证的步骤包括:
所述目标物联网设备解析所述通信数据信息,得到对应的源设备签名信息、源设备公钥、待验证传输数据和对应的待验证传输数据签名值;其中,源设备签名信息、源设备公钥、待验证传输数据和对应的待验证传输数据签名值分别与通信数据信息中的设备签名信息、设备公钥、目标传输数据和数据签名值一一对应,可理解为是为了便于对目标物联网设备端的验证流程进行描述而另外设置的别名。
根据存储的管理员公钥证书,获取对应的管理员公钥,并根据所述管理员公钥,对所述源设备签名信息进行验证;其中,存储的管理员公钥证书可理解为是目标物联网设备注册时由管理员终端给其发送的公钥证书,与组内通信数据信息的发送者所拥有的管理员公钥证书相同;为了保证与其通信的物联网设备属于同一群组,本实施例优选地采用管理员公钥对接收到的源设备签名信息进行签名信息验证,具体过程如下所示:
设备B解析X.509格式管理员公钥证书,并取出群管理员公钥;
设备B再使用群管理员公钥验签管理员对设备A的签名信息(设备B可从通信数据中获取PK.A,使用管理员公钥解密设备A的签名信息后比对摘要值,若比对一致,则验签成功,反之,则验签失败),如果验签成功则证明设备A、设备B持证有共同的群管理员公钥,即两台设备是在一群组中注册的,消息发送方的身份是合法的。
当所述源设备签名信息验证通过后,根据所述源设备公钥和所述待验证传输数据签名值对所述待验证传输数据进行验签;具体的验签过程可理解为是根据源设备公钥对待验证传输数据签名值进行解密,得到对应的数据明文摘要值;根据预设摘要算法对待验证传输数据进行摘要计算,得到对应的数据参考摘要值;将数据明文摘要值与数据参考摘要值进行比对,若一致,则验签通过,反之,则验签失败。通过上述对通信数据信息的验证过程可有效认证消息的完整性及发送方身份的可靠性,进而有效保证本次传输消息的正确性,为后续的相关业务处理提供有效保障。需要说明的是,本实施例仅以一个物联网群组中的两个设备间通信数据传输验证为例进行说明,实际应用中同一群组内的所有物联网设备均可使用上述方法进行高效可靠的身份认证,以保证相互通信的可靠性。
本申请实施例通过提供在物联网设备群组内的物联网设备上电启动后,根据物理不可克隆技术获取的设备密钥对中的设备公钥向管理员终端请求注册以使管理员终端根据设备公钥执行设备注册操作且将对应的设备签名信息和管理员公钥证书封装成注册响应消息发送至物联网设备,并在接收到注册响应消息,根据管理员公钥证书对设备签名信息完成验签后,存储管理员公钥证书和设备签名信息完成设备注册,以及在需要传输数据时,根据物理不可克隆技术重新获取设备密钥对,根据设备私钥对目标传输数据进行签名得到数据签名值,并将目标传输数据、数据签名值、设备签名信息和设备公钥打包成对应的通信数据信息发送至群组内的目标物联网设备,以使目标物联网设备根据存储的管理员公钥证书对通信数据信息进行验证,并在验证通过后,根据目标传输数据进行通信响应的技术方案,不仅能简化密钥生产流程,有效降低密钥存储和管理泄露风险,提高物联网设备的安全性,而且能在无需存储设备信息的情况下完成设备注册认证和组内设备通信身份认证,节约各个设备的存储开销和降低设备私密信息外传的安全风险的同时,便于对物联网设备进行灵活的区域管理和群组化管理,有效提高多用户场景下群组设备的维护管理效率,进而为更好地满足不同物联网设备的网络安全需求和管理需求提供可靠的技术支撑,具有较高的应用价值。
需要说明的是,虽然上述流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。
在一个实施例中,如图6所示,提供了一种群组设备的注册与身份认证系统,应用于物联网设备群组,所述物联网设备群组包括管理员终端1和多个物联网设备2;所述系统包括:
所述物联网设备2,用于响应于上电启动,根据物理不可克隆技术获取设备密钥对,根据所述设备密钥对中的设备公钥向所述管理员终端请求注册,并接受所述管理员终端反馈的设备签名信息和管理员公钥证书,以及根据所述管理员公钥证书对所述设备签名信息进行验签通过后,存储所述管理员公钥证书和所述设备签名信息,完成设备注册;
所述管理员终端1,用于根据所述物联网设备发送的所述设备公钥执行设备注册操作,并返回对应的设备签名信息和管理员公钥证书。
在一个实施例中,所述物联网设备1还用于:
响应于数据传输请求,根据物理不可克隆技术重新获取所述设备密钥对,并根据所述设备密钥对中的设备私钥对目标传输数据进行签名,得到对应的数据签名值,以及将所述目标传输数据、所述数据签名值、所述设备签名信息和所述设备密钥对中的设备公钥打包成对应的通信数据信息发送至群组内的目标物联网设备,以使所述目标物联网设备根据存储的管理员公钥证书对所述通信数据信息进行验证,并在验证通过后,根据所述目标传输数据进行通信响应。
关于群组设备的注册与身份认证系统的具体限定可以参见上文中对于群组设备的注册与身份认证方法的限定,对应的技术效果也可等同得到,在此不再赘述。上述群组设备的注册与身份认证系统中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
图7示出一个实施例中计算机设备的内部结构图,该计算机设备具体可以是终端或服务器。如图7所示,该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、显示器、摄像头和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现群组设备的注册与身份认证方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域普通技术人员可以理解,图7中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述方法的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述方法的步骤。
综上,本发明实施例提供的一种群组设备的注册与身份认证方法、系统、计算机设备及存储介质,其群组设备的注册与身份认证方法实现了在物联网设备群组内的物联网设备上电启动后,根据物理不可克隆技术获取的设备密钥对中的设备公钥向管理员终端请求注册以使管理员终端根据设备公钥执行设备注册操作且将对应的设备签名信息和管理员公钥证书封装成注册响应消息发送至物联网设备,并在接收到注册响应消息,根据管理员公钥证书对设备签名信息完成验签后,存储管理员公钥证书和设备签名信息完成设备注册,以及在需要传输数据时,根据物理不可克隆技术重新获取设备密钥对,根据设备私钥对目标传输数据进行签名得到数据签名值,并将目标传输数据、数据签名值、设备签名信息和设备公钥打包成对应的通信数据信息发送至群组内的目标物联网设备,以使目标物联网设备根据存储的管理员公钥证书对通信数据信息进行验证,并在验证通过后,根据目标传输数据进行通信响应的技术方案,该方法不仅能简化密钥生产流程,有效降低密钥存储和管理泄露风险,提高物联网设备的安全性,而且能在无需存储设备信息的情况下完成设备注册认证和组内设备通信身份认证,节约各个设备的存储开销和降低设备私密信息外传的安全风险的同时,便于对物联网设备进行灵活的区域管理和群组化管理,有效提高多用户场景下群组设备的维护管理效率,进而为更好地满足不同物联网设备的网络安全需求和管理需求提供可靠的技术支撑,具有较高的应用价值。
本说明书中的各个实施例均采用递进的方式描述,各个实施例直接相同或相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。需要说明的是,上述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种优选实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和替换,这些改进和替换也应视为本申请的保护范围。因此,本申请专利的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种群组设备的注册与身份认证方法,其特征在于,应用于物联网设备群组,所述物联网设备群组包括管理员终端和多个物联网设备;所述方法包括以下步骤:
响应于所述物联网设备的上电启动,根据物理不可克隆技术获取设备密钥对,并根据所述设备密钥对中的设备公钥向所述管理员终端请求注册,以使所述管理员终端根据所述设备公钥执行设备注册操作,并将对应的设备签名信息和管理员公钥证书封装成注册响应消息发送至所述物联网设备;
接收所述注册响应消息,由所述物联网设备根据所述管理员公钥证书对所述设备签名信息进行验签,并在验签通过后,存储所述管理员公钥证书和所述设备签名信息,完成设备注册。
2.如权利要求1所述的群组设备的注册与身份认证方法,其特征在于,所述管理员终端根据所述设备公钥执行设备注册操作的步骤包括:
所述管理员终端通过预设证书管理机构获取对应的群组可信根,并根据所述群组可信根,获取对应的管理员公钥证书和管理员私钥;
根据所述管理员私钥,对所述设备公钥进行签名计算,得到对应的设备签名信息。
3.如权利要求1所述的群组设备的注册与身份认证方法,其特征在于,所述根据所述管理员公钥证书对所述设备签名信息进行验签的步骤包括:
根据所述管理员公钥证书,获取对应的管理员公钥,并根据所述管理员公钥对所述设备签名信息进行解密,得到对应的明文摘要值;
根据预设摘要算法对所述设备密钥对中的设备公钥进行摘要计算,得到对应的基准摘要值;
将所述明文摘要值与基准摘要值进行比对,若一致,则验签通过,反之,则验签失败。
4.如权利要求1所述的群组设备的注册与身份认证方法,其特征在于,所述方法还包括:
响应于数据传输请求,由所述物联网设备根据物理不可克隆技术重新获取所述设备密钥对,并根据所述设备密钥对中的设备私钥对目标传输数据进行签名,得到对应的数据签名值,以及将所述目标传输数据、所述数据签名值、所述设备签名信息和所述设备密钥对中的设备公钥打包成对应的通信数据信息发送至群组内的目标物联网设备,以使所述目标物联网设备根据存储的管理员公钥证书对所述通信数据信息进行验证,并在验证通过后,根据所述目标传输数据进行通信响应。
5.如权利要求1或4所述的群组设备的注册与身份认证方法,其特征在于,根据物理不可克隆技术获取设备密钥对的步骤包括:
所述物联网设备通过所述物理不可克隆技术生成对应的设备身份信息,并将所述设备身份信息作为设备私钥;
根据所述设备私钥,通过PKI公钥算法进行公钥推算,生成对应的设备公钥。
6.如权利要求4所述的群组设备的注册与身份认证方法,其特征在于,所述目标物联网设备根据存储的管理员公钥证书对所述通信数据信息进行验证的步骤包括:
所述目标物联网设备解析所述通信数据信息,得到对应的源设备签名信息、源设备公钥、待验证传输数据和对应的待验证传输数据签名值;
根据存储的管理员公钥证书,获取对应的管理员公钥,并根据所述管理员公钥,对所述源设备签名信息进行验证;
当所述源设备签名信息验证通过后,根据所述源设备公钥和所述待验证传输数据签名值对所述待验证传输数据进行验签。
7.一种群组设备的注册与身份认证系统,其特征在于,应用于物联网设备群组,所述物联网设备群组包括管理员终端和多个物联网设备;所述系统包括:
所述物联网设备,用于响应于上电启动,根据物理不可克隆技术获取设备密钥对,根据所述设备密钥对中的设备公钥向所述管理员终端请求注册,并接收所述管理员终端发送的注册响应消息,以及根据所述管理员公钥证书对所述设备签名信息进行验签通过后,存储所述管理员公钥证书和所述设备签名信息,完成设备注册;
所述管理员终端,用于根据所述物联网设备发送的所述设备公钥执行设备注册操作,并将对应的设备签名信息和管理员公钥证书封装成注册响应消息发送至所述物联网设备。
8.如权利要求7所述的一种群组设备的注册与身份认证系统,其特征在于,所述物联网设备还用于:
响应于数据传输请求,根据物理不可克隆技术重新获取所述设备密钥对,并根据所述设备密钥对中的设备私钥对目标传输数据进行签名,得到对应的数据签名值,以及将所述目标传输数据、所述数据签名值、所述设备签名信息和所述设备密钥对中的设备公钥打包成对应的通信数据信息发送至群组内的目标物联网设备,以使所述目标物联网设备根据存储的管理员公钥证书对所述通信数据信息进行验证,并在验证通过后,根据所述目标传输数据进行通信响应。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410896301.0A CN118432826B (zh) | 2024-07-05 | 2024-07-05 | 群组设备的注册与身份认证方法、系统、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410896301.0A CN118432826B (zh) | 2024-07-05 | 2024-07-05 | 群组设备的注册与身份认证方法、系统、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN118432826A true CN118432826A (zh) | 2024-08-02 |
| CN118432826B CN118432826B (zh) | 2024-08-30 |
Family
ID=92311056
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410896301.0A Active CN118432826B (zh) | 2024-07-05 | 2024-07-05 | 群组设备的注册与身份认证方法、系统、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN118432826B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108449322A (zh) * | 2018-02-13 | 2018-08-24 | 环球鑫彩(北京)彩票投资管理有限公司 | 身份注册、认证方法、系统及相关设备 |
| CN109040067A (zh) * | 2018-08-02 | 2018-12-18 | 广东工业大学 | 一种基于物理不可克隆技术puf的用户认证设备及认证方法 |
| CN110198538A (zh) * | 2018-02-26 | 2019-09-03 | 北京华为数字技术有限公司 | 一种获得设备标识的方法及装置 |
| CN112019503A (zh) * | 2018-03-01 | 2020-12-01 | 北京华为数字技术有限公司 | 一种获得设备标识的方法、通信实体、通信系统及存储介质 |
| US20230125636A1 (en) * | 2021-10-22 | 2023-04-27 | Micron Technology, Inc. | Use of a physically unclonable function to generate a memory identifier |
-
2024
- 2024-07-05 CN CN202410896301.0A patent/CN118432826B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108449322A (zh) * | 2018-02-13 | 2018-08-24 | 环球鑫彩(北京)彩票投资管理有限公司 | 身份注册、认证方法、系统及相关设备 |
| CN110198538A (zh) * | 2018-02-26 | 2019-09-03 | 北京华为数字技术有限公司 | 一种获得设备标识的方法及装置 |
| CN112019503A (zh) * | 2018-03-01 | 2020-12-01 | 北京华为数字技术有限公司 | 一种获得设备标识的方法、通信实体、通信系统及存储介质 |
| CN109040067A (zh) * | 2018-08-02 | 2018-12-18 | 广东工业大学 | 一种基于物理不可克隆技术puf的用户认证设备及认证方法 |
| US20230125636A1 (en) * | 2021-10-22 | 2023-04-27 | Micron Technology, Inc. | Use of a physically unclonable function to generate a memory identifier |
Also Published As
| Publication number | Publication date |
|---|---|
| CN118432826B (zh) | 2024-08-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108092776B (zh) | 一种基于身份认证服务器和身份认证令牌的系统 | |
| CN109361668B (zh) | 一种数据可信传输方法 | |
| CN108650082B (zh) | 待验证信息的加密和验证方法、相关装置及存储介质 | |
| CN109309565B (zh) | 一种安全认证的方法及装置 | |
| US9838205B2 (en) | Network authentication method for secure electronic transactions | |
| CN103888251B (zh) | 一种云环境中虚拟机可信保障的方法 | |
| CN112737779B (zh) | 一种密码机服务方法、装置、密码机及存储介质 | |
| CN105873031B (zh) | 基于可信平台的分布式无人机密钥协商方法 | |
| WO2017020452A1 (zh) | 认证方法和认证系统 | |
| US8745394B1 (en) | Methods and systems for secure electronic communication | |
| US10601590B1 (en) | Secure secrets in hardware security module for use by protected function in trusted execution environment | |
| JP2016158270A (ja) | データセンタへのプラットフォームの内包検証 | |
| Dewanta et al. | A mutual authentication scheme for secure fog computing service handover in vehicular network environment | |
| CN109361508A (zh) | 数据传输方法、电子设备及计算机可读存储介质 | |
| CN112651037A (zh) | 区块链系统的链外数据访问方法和系统 | |
| CN112351037B (zh) | 用于安全通信的信息处理方法及装置 | |
| WO2012072001A1 (zh) | 一种安全发卡方法、发卡设备和系统 | |
| CN111241492A (zh) | 一种产品多租户安全授信方法、系统及电子设备 | |
| CN105162808A (zh) | 一种基于国密算法的安全登录方法 | |
| CN113726733B (zh) | 一种基于可信执行环境的加密智能合约隐私保护方法 | |
| CN114584306B (zh) | 一种数据处理方法和相关装置 | |
| CN112733129B (zh) | 一种服务器带外管理的可信接入方法 | |
| CN117081736A (zh) | 密钥分发方法、密钥分发装置、通信方法及通信装置 | |
| CN114338091B (zh) | 数据传输方法、装置、电子设备及存储介质 | |
| US8954728B1 (en) | Generation of exfiltration-resilient cryptographic keys |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |