[go: up one dir, main page]

CN110572800B - 面向机器到机器环境下设备身份认证方法及装置 - Google Patents

面向机器到机器环境下设备身份认证方法及装置 Download PDF

Info

Publication number
CN110572800B
CN110572800B CN201910748663.4A CN201910748663A CN110572800B CN 110572800 B CN110572800 B CN 110572800B CN 201910748663 A CN201910748663 A CN 201910748663A CN 110572800 B CN110572800 B CN 110572800B
Authority
CN
China
Prior art keywords
authentication
sensor device
smart
router
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201910748663.4A
Other languages
English (en)
Other versions
CN110572800A (zh
Inventor
程庆丰
孟良霖
刘文芬
丁文博
李钰汀
胡学先
张军琪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
PLA Information Engineering University
Original Assignee
PLA Information Engineering University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by PLA Information Engineering University filed Critical PLA Information Engineering University
Priority to CN201910748663.4A priority Critical patent/CN110572800B/zh
Publication of CN110572800A publication Critical patent/CN110572800A/zh
Application granted granted Critical
Publication of CN110572800B publication Critical patent/CN110572800B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • H04W12/48Security arrangements using identity modules using secure binding, e.g. securely binding identity modules to devices, services or applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明属于信息安全技术领域,特别涉及一种面向机器到机器环境下设备身份认证方法及装置,该方法包含:物联网中智能传感器设备确定自身身份信息,认证服务器与路由器之间协商预共享密钥,同时智能卡进行读写操作并开辟存储空间;智能传感器设备通过智能卡并利用自身身份信息完成向认证服务器的注册请求;接入机器到机器通信环境中的智能传感器设备通过智能卡进行设备读取,并通过预共享密钥与物联网中路由器之间进行相互认证和密钥协商,以实现与物联网中其他传感器设备之间的数据交互。本发明可抵抗针对智能卡的测试攻击、预共享密钥泄露攻击、会话密钥泄露攻击及中间人攻击等,有效提升物联网数据交互过程中的安全性,具有较好的应用前景。

Description

面向机器到机器环境下设备身份认证方法及装置
技术领域
本发明属于信息安全技术领域,特别涉及一种面向机器到机器环境下设备身份认证方法及装置。
背景技术
机器对机器(M2M)通信是实现工业物联网(Industrial Internet of Things,IIoT)的关键技术。在M2M技术中,所有设备和机器可以通过无线网络相互通信。M2M技术通常可以在资源受限的设备之间提供数据交换,而无需人为干预。M2M重要作用的一点就是在配备智能传感器的设备和中央管理应用程序之间实现实时数据通信,以便为其用户收集从远程设备传输的重要数据。由于M2M技术通过3GPP技术(如GSM/GPRS,UMTS/HSPA(+)和LTE网络)位于嵌入式蜂窝内,因此它已变得比以前更具移动性和智能性。然而,类似于无线传感器网络(WSN),3GPP蜂窝网络容易受到一些众所周知的信息安全威胁。因此,与WSN类似,需要保证传输数据的机密性,完整性以及抵御来自外部实体攻击的鲁棒性。通过设计安全有效的通信方案,可以满足这些安全要求。在工业物联网(IIoT)中采用的M2M技术中,系统模型由三个主要实体组成:智能传感器,路由器和认证服务器(AS)。其中路由器和认证服务器之间设定预共享密钥,智能传感器与认证服务器之间进行智能传感器的注册过程,智能传感器与路由器之间进行相互认证过程。
为了确保M2M设备之间的安全通信,近些年的研究中已经提出了认证方案和密钥协商方案(AKA)。这些方案不仅应该能够安全地完成相互认证和会话密钥建立,而且应该能够满足较高的效率。但是,大多数现有的轻量级认证机制和密钥协商机制,虽然也可以适用于物联网领域,提供非对称加密的安全机制,但是计算成本较高,导致很多安全问题的产生。传统的身份认证和密钥协商协议并不适用于物联网环境,传统的加密方式和协议在感知层的环境中受到特定的约束,因为物联网的智能终端设备一般存储和计算能力较弱,并不能承担大量的数据处理和数据计算,所以对进行身份认证时的认证协议和经过认证后的密钥协商协议提出进一步的要求。
发明内容
为此,本发明提供一种面向机器到机器环境下设备身份认证方法及装置,可抵抗针对智能卡的测试攻击、预共享密钥泄露攻击、会话密钥泄露攻击及中间人攻击等安全性问题,有效提升物联网数据交互过程中的安全性。
按照本发明所提供的设计方案,一种面向机器到机器环境下设备身份认证方法,包含:
初始化阶段,物联网中智能传感器设备确定自身身份信息,认证服务器与路由器之间协商预共享密钥,同时智能卡进行读写操作并开辟存储空间;
注册阶段,智能传感器设备通过智能卡并利用自身身份信息完成向认证服务器的注册请求;
认证协商阶段,接入机器到机器通信环境中的智能传感器设备通过智能卡进行设备读取,并通过预共享密钥与物联网中路由器之间进行相互认证和密钥协商,以实现与物联网中其他传感器设备之间的数据交互。
上述的,注册阶段中,智能传感器设备利用智能卡获取并存储临时身份信息和临时会话密钥信息,该临时会话密钥信息包含智能传感器设备口令数据;并通过安全信道向认证服务器发起注册请求,构建智能传感器设备和认证服务器之间的临时会话密钥,使智能传感器设备与路由器之间完成相互认证。
上述的,注册阶段,具体包含如下内容:
智能传感器设备发送自身身份信息给认证服务器;
认证服务器收到智能传感器设备自身身份信息后,为智能传感器设备生成临时身份集和会话密钥集,并写入智能卡中,同时将包含临时身份集、会话密钥集和双方预共享密钥的消息数据发送给智能传感器设备;
智能传感器设备收到消息数据后,选取自身口令,并依据该口令更新临时身份集和会话密钥集,将更新后的数据存入智能卡中。
上述的,认证协商阶段中,智能传感器设备通过智能卡进行数据读取,并生成发送消息发送至路由器;路由器接收到消息后进行消息验证,并反馈给认证服务器验证结果,认证服务器生成智能传感器设备和路由器之间的会话密钥和认证消息,智能传感器设备和路由器依据会话密钥和认证消息进行双方身份认证。
上述的,依据会话密钥和认证消息,智能传感器设备在收到路由器反馈消息后进行验证并更新会话密钥集,并生成新消息发送给路由器,路由器收到该新消息后对消息进行验证以完成智能传感器设备身份认证。
更进一步地,本发明还提供一种面向机器到机器环境下设备身份认证装置,包含:初始化模块、注册模块和认证协商模块,其中,
初始化模块,用于在初始化阶段中,物联网智能传感器设备确定自身身份信息,认证服务器与路由器之间协商预共享密钥,同时智能卡进行读写操作并开辟存储空间;
注册阶段,用于注册阶段中,智能传感器设备通过智能卡并利用自身身份信息完成向认证服务器的注册请求;
认证协商模块,用于认证协商阶段中,接入机器到机器通信环境中的智能传感器设备通过智能卡进行设备读取,并通过预共享密钥与物联网中路由器之间进行相互认证和密钥协商,以实现与物联网中其他传感器设备之间的数据交互。
本发明的有益效果:
本发明基于智能卡与口令双因素认证模式,将路由器与认证服务器之间的预共享密钥通过智能卡与口令进行加密保护,在实现智能传感器与路由器之间相互认证的过程中协商生成两者之间的会话密钥,即使在临时会话密钥泄露情况下,仍能保证数据交互过程中的安全性;针对智能卡的测试攻击、预共享密钥泄露攻击、会话密钥泄露攻击及中间人攻击等安全漏洞的攻击方式,能够有效保证抗攻击性,提升信息安全,具有较好的应用前景。
附图说明:
图1为实施例中身份认证方法流程图;
图2为实施例中注册流程图;
图3为实施例中身份认证装置示意图;
图4为实施例中智能传感器设备注册阶段流程示意;
图5为实施例中智能传感器设备与路由器认证与密钥协商流程示意。
具体实施方式:
为使本发明的目的、技术方案和优点更加清楚、明白,下面结合附图和技术方案对本发明作进一步详细的说明。
针对传统的身份认证和密钥协商协议并不适用于物联网环境,传统的加密方式和协议在感知层的环境中受到特定的约束等的情形,本发明实施例,参见图1所示,提供一种面向机器到机器环境下设备身份认证方法,包含如下内容:
S101)初始化阶段,物联网中智能传感器设备确定自身身份信息,认证服务器与路由器之间协商预共享密钥,同时智能卡进行读写操作并开辟存储空间;
S102)注册阶段,智能传感器设备通过智能卡并利用自身身份信息完成向认证服务器的注册请求;
S103)认证协商阶段,接入机器到机器通信环境中的智能传感器设备通过智能卡进行设备读取,并通过预共享密钥与物联网中路由器之间进行相互认证和密钥协商,以实现与物联网中其他传感器设备之间的数据交互。
基于智能卡与口令双因素认证模式,将路由器与认证服务器之间的预共享密钥通过智能卡与口令进行加密保护,在实现智能传感器与路由器之间相互认证的过程中协商生成两者之间的会话密钥,即使在临时会话密钥泄露情况下,仍能保证数据交互过程中的安全性。
进一步地,本发明实施例中,智能传感器SE通过安全信道向认证服务器AS发起注册请求,智能传感器设备利用智能卡获取并存储临时身份信息和临时会话密钥信息,该临时会话密钥信息包含智能传感器设备口令数据;并通过安全信道向认证服务器发起注册请求,构建智能传感器设备和认证服务器之间的临时会话密钥,使智能传感器设备与路由器之间完成相互认证。
进一步地,本发明实施例中,注册阶段,参见图2所示,具体包含如下内容:
S201)智能传感器设备发送自身身份信息给认证服务器;
S202)认证服务器收到智能传感器设备自身身份信息后,为智能传感器设备生成临时身份集和会话密钥集,并写入智能卡中,同时将包含临时身份集、会话密钥集和双方预共享密钥的消息数据发送给智能传感器设备;
S203)智能传感器设备收到消息数据后,选取自身口令,并依据该口令更新临时身份集和会话密钥集,将更新后的数据存入智能卡中。
智能传感器SE将自己的身份信息IDi发送给认证服务器AS。认证服务器AS收到智能传感器SE的消息之后,然后计算f1i=h(IDi||x),f2i=h(f1i),认证服务器AS为智能传感器SE生成临时身份集PID={pid1,pid2,…},其中pid=h(IDi||rj||f1i)。然后,认证服务器为智能传感器生成会话密钥集
Figure BDA0002166435410000055
其中
Figure BDA0002166435410000056
计算
Figure BDA0002166435410000051
并将PID,KSA,h(·)写入智能卡SMC中。计算结束后,认证服务器AS将消息{f2i,PID,KSA,TSR,h(·)}发送给智能传感器SE。智能传感器收到消息之后,选择自己的口令PSWi,并计算
Figure BDA0002166435410000052
将更新后的
Figure BDA0002166435410000053
存放入智能卡中。
进一步地,本发明实施例中,智能传感器SE与路由器R进行认证与密钥协商过程,在过程中双方将进行相互认证和密钥协商,智能传感器设备通过智能卡进行数据读取,并生成发送消息发送至路由器;路由器接收到消息后进行消息验证,并反馈给认证服务器验证结果,认证服务器生成智能传感器设备和路由器之间的会话密钥和认证消息,智能传感器设备和路由器依据会话密钥和认证消息进行双方身份认证。
进一步地,本发明实施例中,依据会话密钥和认证消息,智能传感器设备在收到路由器反馈消息后进行验证并更新会话密钥集,并生成新消息发送给路由器,路由器收到该新消息后对消息进行验证以完成智能传感器设备身份认证。
智能传感器SE将智能卡插入读取设备中,提交自己IDi和PSWi,智能卡通过读取设备计算
Figure BDA0002166435410000054
并将计算结果传递给智能传感器SE,智能传感器SE得到PID和KSA,任意选取随机数r1,并计算
Figure BDA0002166435410000061
M2=h(r1||M1||pidi)。在计算完成后,发送消息{M1,M2,PID,TSR}给路由器R。路由器R接收到消息{M1,M2,PID,TSR}后,计算
Figure BDA0002166435410000062
f2i=h(f1i),
Figure BDA0002166435410000063
计算h(r1||M1||pidi),并验证h(r1||M1||pidi)是否等于M2,如果不相等的话,路由器立即终止认证进程,并向服务器发送该智能传感器SEi的pidi,服务器AS从PID集中删除pidi。反之,如果相等的话,路由器R选取随机数r2,并计算
Figure BDA0002166435410000064
这时将AIDi发送给认证服务器AS,认证服务器更新
Figure BDA0002166435410000065
然后计算
Figure BDA0002166435410000066
M′2=h(M′1||AIDi||r2),生成智能传感器SEi和路由器R之间的会话密钥SKij=h(r1||r2)。生成消息{M′1,M′2,AIDj}。智能传感器SE在收到路由器发送的消息{M′1,M″2,AIDj}后,计算
Figure BDA0002166435410000067
并验证h(M′1||AIDi||r2)与M′2是否相等,如果相等,计算
Figure BDA0002166435410000068
更新
Figure BDA0002166435410000069
然后将消息
Figure BDA00021664354100000610
发送给路由器R。路由器R收到消息M″1后,验证
Figure BDA00021664354100000611
是否等于h(r2),如果不等,那么智能传感器SEi认证失败;如果相等,认证成功。
口令更新阶段,智能传感器SE可以不需要路由器的帮助下,自由更改自己的口令。它需要将自己的身份信息IDi,原始口令PSWi和新的口令PSWi *提交给智能卡SMC,智能卡收到智能传感器提交的信息之后,将智能卡中原来的信息
Figure BDA00021664354100000612
Figure BDA00021664354100000613
删除,并计算
Figure BDA00021664354100000614
Figure BDA00021664354100000615
将生成的新的PID**
Figure BDA00021664354100000616
存放入智能卡中。
更进一步地,基于上述的方法,本发明实施例还提供一种面向机器到机器环境下设备身份认证装置,参见图3所示,包含:初始化模块101、注册模块102和认证协商模块103,其中,
初始化模块101,用于在初始化阶段中,物联网智能传感器设备确定自身身份信息,认证服务器与路由器之间协商预共享密钥,同时智能卡进行读写操作并开辟存储空间;
注册阶段102,用于注册阶段中,智能传感器设备通过智能卡并利用自身身份信息完成向认证服务器的注册请求;
认证协商模块103,用于认证协商阶段中,接入机器到机器通信环境中的智能传感器设备通过智能卡进行设备读取,并通过预共享密钥与物联网中路由器之间进行相互认证和密钥协商,以实现与物联网中其他传感器设备之间的数据交互。
本发明提供一种高效、安全的面向机器到机器环境的轻量级认证与密钥协商机制,基于智能卡和口令双因素认证模型,实现对预共享密钥和会话密钥的安全保护,从而保证该轻量级认证协议的安全性和可靠性。其中,面向机器到机器环境下的轻量级认证与密钥协商主要分为四个进程:初始化进程、注册进程、认证与密钥协商进程和口令更新进程。下面以智能传感器SEi和路由器Rj之间的认证为例,分别叙述各个进程的具体实施步骤:
1)初始化进程
首先智能传感器SEi在连接的物联网中确定自己的身份信息IDi,其次智能传感器SEi与路由器Rj之间协商好两者之间的预共享密钥PSKj,并将智能卡SMC进行读写操作,开辟存储空间。
2)注册进程
参见图4所示,智能传感器SEi向认证服务器AS发送注册请求,注册的目的是为了使智能传感器SEi和路由器Rj之间能够相互认证。首先智能传感器SEi发送自己的身份信息IDi给认证服务器AS,认证服务器AS在收到智能传感器SEi的身份信息之后,计算f1i=h(IDi||x),f2i=h(f1i),认证服务器AS为智能传感器SEi生成临时身份集PID={pid1,pid2,…},其中pid=h(IDi||rj||f1i)。然后,认证服务器为智能传感器生成会话密钥集
Figure BDA0002166435410000071
其中
Figure BDA0002166435410000072
计算
Figure BDA0002166435410000073
并将PID,KSA,h(·)写入智能卡SMC中。计算结束后,认证服务器AS将消息Message1={f2i,PID,KSA,TSR,h(·)}发送给智能传感器SEi。智能传感器收到消息之后,选择自己的口令PSWi,并计算
Figure BDA0002166435410000081
将更新后的
Figure BDA0002166435410000082
存放入智能卡中。
3)认证与密钥协商进程
参见图5所示,智能传感器SEi在注册之后,将连入机器到机器通信的环境中,在该通信环境中,智能传感器SEi通过与路由器Rj相连与物联网中其他智能传感器进行通信。因此在认证过程中,需要智能传感器SEi与路由器Rj进行相互认证,并形成安全的会话密钥。首先,智能传感器SEi将智能卡插入读取设备中,提交自己IDi和PSWi,智能卡通过读取设备计算
Figure BDA0002166435410000083
并将计算结果传递给智能传感器SEi,智能传感器SEi得到PID和KSA,任意选取随机数r1,并计算
Figure BDA0002166435410000084
M2=h(r1||M1||pidi)。在计算完成后,发送消息Message2={M1,M2,PID,TSR}给路由器Rj
路由器Rj接收到消息Message2={M1,M2,PID,TSR}后,计算
Figure BDA0002166435410000085
f2i=h(f1i),
Figure BDA0002166435410000086
计算h(r1||M1||pidi),并验证h(r1||M1||pidi)是否等于M2,如果不相等的话,路由器立即终止认证进程,并向服务器发送该智能传感器SEi的pidi,服务器AS从PID集中删除pidi。反之,如果相等的话,路由器Rj选取随机数r2,并计算
Figure BDA0002166435410000087
这时将AIDi发送给认证服务器AS,认证服务器更新
Figure BDA0002166435410000088
然后计算
Figure BDA0002166435410000089
M′2=h(M′1||AIDi||r2),生成智能传感器SEi和路由器Rj之间的会话密钥SKij=h(r1||r2)。生成消息Message3={M′1,M′2,AIDj}。
智能传感器SEi在收到路由器发送的消息Message3={M′1,M′2,AIDj}后,计算
Figure BDA00021664354100000810
并验证h(M′1||AIDi||r2)与M′2是否相等,如果相等,计算SKij=h(r1||r2),
Figure BDA0002166435410000091
更新
Figure BDA0002166435410000092
然后将消息
Figure BDA0002166435410000093
发送给路由器Rj
路由器Rj收到消息M″1后,验证
Figure BDA0002166435410000094
是否等于h(r2),如果不等,那么智能传感器SEi认证失败;如果相等,认证成功。
4)口令更新进程
在智能传感器SEi和路由器Rj进行一次相互认证和密钥协商之后,智能传感器SEi可以不需要路由器的帮助下,自由更改自己的口令。它需要将自己的身份信息IDi,原始口令PSWi和新的口令PSWi *提交给智能卡SMC,智能卡收到智能传感器SEi提交的信息之后,将智能卡中原来的信息
Figure BDA0002166435410000095
删除,并计算
Figure BDA0002166435410000096
将生成的新的PID**
Figure BDA0002166435410000097
存放入智能卡中。
在工业物联网应用环境下,本发明实施例中的面向机器到机器通信环境实现的轻量级身份认证和密钥协商协议,不但可以抵抗预共享密钥泄露攻击、密钥泄露伪装攻击、匿名性泄露攻击、已知密钥攻击、中间人攻击,而且可以抵抗智能卡硬件攻击,可以确保会话密钥的安全性与通信双方的匿名性,具有较好的应用前景。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。
基于上述的方法,本发明实施例还提供一种服务器,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现上述的方法。
基于上述的方法,本发明实施例还提供一种计算机可读介质,其上存储有计算机程序,其中,该程序被处理器执行时实现上述的方法。
本发明实施例所提供的装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在这里示出和描述的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制,因此,示例性实施例的其他示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。

Claims (4)

1.一种面向机器到机器环境下设备身份认证方法,其特征在于,包含:
初始化阶段,物联网中智能传感器设备确定自身身份信息,认证服务器与路由器之间协商预共享密钥,同时智能卡进行读写操作并开辟存储空间;
注册阶段,智能传感器设备通过智能卡并利用自身身份信息完成向认证服务器的注册请求;
认证协商阶段,接入机器到机器通信环境中的智能传感器设备通过智能卡进行设备读取,并通过预共享密钥与物联网中路由器之间进行相互认证和密钥协商,以实现与物联网中其他传感器设备之间的数据交互;
注册阶段,具体包含如下内容:
智能传感器设备发送自身身份信息给认证服务器;
认证服务器收到智能传感器设备自身身份信息后,为智能传感器设备生成临时身份集和会话密钥集,并写入智能卡中,同时将包含临时身份集、会话密钥集和双方预共享密钥的消息数据发送给智能传感器设备;
智能传感器设备收到消息数据后,选取自身口令,并依据该口令更新临时身份集和会话密钥集,将更新后的数据存入智能卡中;
认证协商阶段中,智能传感器设备通过智能卡进行数据读取,并生成发送消息发送至路由器;路由器接收到消息后进行消息验证,并反馈给认证服务器验证结果,认证服务器生成智能传感器设备和路由器之间的会话密钥和认证消息,智能传感器设备和路由器依据会话密钥和认证消息进行双方身份认证。
2.根据权利要求1所述的面向机器到机器环境下设备身份认证方法,其特征在于,注册阶段中,智能传感器设备利用智能卡获取并存储临时身份信息和临时会话密钥信息,该临时会话密钥信息包含智能传感器设备口令数据;并通过安全信道向认证服务器发起注册请求,构建智能传感器设备和认证服务器之间的临时会话密钥,使智能传感器设备与路由器之间完成相互认证。
3.根据权利要求1所述的面向机器到机器环境下设备身份认证方法,其特征在于,依据会话密钥和认证消息,智能传感器设备在收到路由器反馈消息后进行验证并更新会话密钥集,并生成新消息发送给路由器,路由器收到该新消息后对消息进行验证以完成智能传感器设备身份认证。
4.一种面向机器到机器环境下设备身份认证装置,其特征在于,包含:初始化模块、注册模块和认证协商模块,其中,
初始化模块,用于在初始化阶段中,物联网智能传感器设备确定自身身份信息,认证服务器与路由器之间协商预共享密钥,同时智能卡进行读写操作并开辟存储空间;
注册阶段,用于注册阶段中,智能传感器设备通过智能卡并利用自身身份信息完成向认证服务器的注册请求;
认证协商模块,用于认证协商阶段中,接入机器到机器通信环境中的智能传感器设备通过智能卡进行设备读取,并通过预共享密钥与物联网中路由器之间进行相互认证和密钥协商,以实现与物联网中其他传感器设备之间的数据交互;
注册阶段,具体包含如下内容:
智能传感器设备发送自身身份信息给认证服务器;
认证服务器收到智能传感器设备自身身份信息后,为智能传感器设备生成临时身份集和会话密钥集,并写入智能卡中,同时将包含临时身份集、会话密钥集和双方预共享密钥的消息数据发送给智能传感器设备;
智能传感器设备收到消息数据后,选取自身口令,并依据该口令更新临时身份集和会话密钥集,将更新后的数据存入智能卡中;
认证协商阶段中,智能传感器设备通过智能卡进行数据读取,并生成发送消息发送至路由器;路由器接收到消息后进行消息验证,并反馈给认证服务器验证结果,认证服务器生成智能传感器设备和路由器之间的会话密钥和认证消息,智能传感器设备和路由器依据会话密钥和认证消息进行双方身份认证。
CN201910748663.4A 2019-08-14 2019-08-14 面向机器到机器环境下设备身份认证方法及装置 Expired - Fee Related CN110572800B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910748663.4A CN110572800B (zh) 2019-08-14 2019-08-14 面向机器到机器环境下设备身份认证方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910748663.4A CN110572800B (zh) 2019-08-14 2019-08-14 面向机器到机器环境下设备身份认证方法及装置

Publications (2)

Publication Number Publication Date
CN110572800A CN110572800A (zh) 2019-12-13
CN110572800B true CN110572800B (zh) 2022-04-05

Family

ID=68775246

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910748663.4A Expired - Fee Related CN110572800B (zh) 2019-08-14 2019-08-14 面向机器到机器环境下设备身份认证方法及装置

Country Status (1)

Country Link
CN (1) CN110572800B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112202511B (zh) * 2020-09-29 2023-09-22 中国人民解放军战略支援部队信息工程大学 基于信道特征的物理层密钥生成方法及系统
WO2022133949A1 (zh) * 2020-12-24 2022-06-30 华为技术有限公司 一种安全接入方法及装置
CN112887978B (zh) * 2021-02-24 2022-03-25 曲阜师范大学 Wsn中的匿名身份认证与密钥协商协议
CN113872763B (zh) * 2021-09-07 2024-10-01 杭州师范大学 一种基于无线体域网络的隐私保护认证方法
CN114501440B (zh) * 2022-01-04 2024-02-09 中国人民武装警察部队工程大学 一种区块链在无线传感器网络边缘应用的认证密钥协议

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101702645A (zh) * 2009-11-30 2010-05-05 中国人民解放军信息工程大学 一种三方口令认证密钥交换方法
CN103347018A (zh) * 2013-07-02 2013-10-09 山东科技大学 一种基于智能卡的多服务环境下远程身份认证方法
CN103346887A (zh) * 2013-07-02 2013-10-09 山东科技大学 一种基于智能卡多服务器环境下的低复杂度身份认证方法
CN104584609A (zh) * 2012-09-03 2015-04-29 阿尔卡特朗讯公司 具有密钥本地生成的智能卡初始个性化
CN105072110A (zh) * 2015-08-06 2015-11-18 山东科技大学 一种基于智能卡的双因素远程身份认证方法
CN105491076A (zh) * 2016-01-28 2016-04-13 西安电子科技大学 一种面向空天信息网的异构网络端到端认证密钥交换方法
CN105871553A (zh) * 2016-06-28 2016-08-17 电子科技大学 一种无需用户身份的三因素的远程用户认证方法
CN109327313A (zh) * 2018-11-07 2019-02-12 西安电子科技大学 一种具有隐私保护特性的双向身份认证方法、服务器
CN113572765A (zh) * 2021-07-23 2021-10-29 桂林电子科技大学 一种面向资源受限终端的轻量级身份认证密钥协商方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10104545B2 (en) * 2016-11-02 2018-10-16 National Chin-Yi University Of Technology Computer-implemented anonymity authentication method for wireless sensor networks

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101702645A (zh) * 2009-11-30 2010-05-05 中国人民解放军信息工程大学 一种三方口令认证密钥交换方法
CN104584609A (zh) * 2012-09-03 2015-04-29 阿尔卡特朗讯公司 具有密钥本地生成的智能卡初始个性化
CN103347018A (zh) * 2013-07-02 2013-10-09 山东科技大学 一种基于智能卡的多服务环境下远程身份认证方法
CN103346887A (zh) * 2013-07-02 2013-10-09 山东科技大学 一种基于智能卡多服务器环境下的低复杂度身份认证方法
CN105072110A (zh) * 2015-08-06 2015-11-18 山东科技大学 一种基于智能卡的双因素远程身份认证方法
CN105491076A (zh) * 2016-01-28 2016-04-13 西安电子科技大学 一种面向空天信息网的异构网络端到端认证密钥交换方法
CN105871553A (zh) * 2016-06-28 2016-08-17 电子科技大学 一种无需用户身份的三因素的远程用户认证方法
CN109327313A (zh) * 2018-11-07 2019-02-12 西安电子科技大学 一种具有隐私保护特性的双向身份认证方法、服务器
CN113572765A (zh) * 2021-07-23 2021-10-29 桂林电子科技大学 一种面向资源受限终端的轻量级身份认证密钥协商方法

Non-Patent Citations (9)

* Cited by examiner, † Cited by third party
Title
"Impersonation Attack on Two Identity-Based Authenticated Key Exchange Protocols";Shiwu Zhang;《IEEE》;20100221;全文 *
"SECURITY WEAKNESS OF TWO IDENTITY-BASED";CHENG QINGFENG;《IEEE》;20100221;全文 *
"基于动态ID 的多服务器认证密钥协商方案";刘文芬;《信息工程大学学报》;20141231;全文 *
"基于无线传感器网络的身份认证方案的研究";温凤桐;《CNKI》;20190630;全文 *
"对三个无双线性对的密钥协商";程庆丰;《CNKI》;20190131;全文 *
"对两个特定安全模型下密钥交换协议的分析";李钰汀;《CNKI》;20190630;全文 *
"适用于无线传感器网络的动态ID 认证方案";刘文芬;《密码学报》;20140814;全文 *
"通用可组合的网关口令认证密钥交换协议";胡学先;《CNKI》;20170531;全文 *
"面向物联网的轻量级安全协议及关键技术研究";骆汉光;《CNKI》;20190630;全文 *

Also Published As

Publication number Publication date
CN110572800A (zh) 2019-12-13

Similar Documents

Publication Publication Date Title
CN110572800B (zh) 面向机器到机器环境下设备身份认证方法及装置
Jiang et al. User centric three‐factor authentication protocol for cloud‐assisted wearable devices
Li et al. A secure chaotic maps and smart cards based password authentication and key agreement scheme with user anonymity for telecare medicine information systems
JP5650230B2 (ja) 低レイテンシーのピア・セッション確立
Moon et al. An improvement of robust biometrics-based authentication and key agreement scheme for multi-server environments using smart cards
US20200195446A1 (en) System and method for ensuring forward & backward secrecy using physically unclonable functions
Shen et al. Toward data privacy preservation with ciphertext update and key rotation for IoT
Huang ECC-based three-factor authentication and key agreement scheme for wireless sensor networks
Yao et al. A privacy-preserving RLWE-based remote biometric authentication scheme for single and multi-server environments
Wu et al. A provably secure authentication and key agreement protocol in cloud‐based smart healthcare environments
Odelu et al. A secure anonymity preserving authentication scheme for roaming service in global mobility networks
Farash et al. Cryptanalysis and improvement of a three‐party password‐based authenticated key exchange protocol with user anonymity using extended chaotic maps
Yang et al. Cryptanalysis and improvement of a biometrics-based authentication and key agreement scheme for multi-server environments
Shukla et al. A design of provably secure multi-factor ECC-based authentication protocol in multi-server cloud architecture
Chen et al. Improved Secure and Lightweight Authentication Scheme for Next‐Generation IoT Infrastructure
Shashidhara et al. A secure and privacy-preserving mutual authentication system for global roaming in mobile networks
Anand et al. EN-LAKP: Lightweight authentication and key agreement protocol for emerging networks
Yuan et al. A robust ecc-based authentication and key agreement protocol for 6g-based smart home environments
Patruni et al. PPAM-mIoMT: a privacy-preserving authentication with device verification for securing healthcare systems in 5G networks
Nyangaresi et al. Anonymous authentication scheme based on physically unclonable function and biometrics for smart cities
CN114499854B (zh) 基于无线传感器网络的身份认证方法、系统及电子设备
Chander et al. An improved 2-factor authentication scheme for WSN based on ECC
Nyangaresi et al. Smart city energy efficient data privacy preservation protocol based on biometrics and fuzzy commitment scheme
Das et al. Lightweight and privacy-preserving device-to-device authentication to enable secure transitive communication in IoT-based smart healthcare systems
Wu et al. A Blockchain‐Based Hierarchical Authentication Scheme for Multiserver Architecture

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20220405

CF01 Termination of patent right due to non-payment of annual fee