CN103701797B - 一种轻量级的节点、网关双向身份认证方法 - Google Patents
一种轻量级的节点、网关双向身份认证方法 Download PDFInfo
- Publication number
- CN103701797B CN103701797B CN201310718763.5A CN201310718763A CN103701797B CN 103701797 B CN103701797 B CN 103701797B CN 201310718763 A CN201310718763 A CN 201310718763A CN 103701797 B CN103701797 B CN 103701797B
- Authority
- CN
- China
- Prior art keywords
- node
- gateway
- request bag
- registration request
- bag
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种轻量级的节点、网关双向身份认证方法,其具体包括如下步骤:A、节点注册。B、节点认证。C、网关广播源认证。本发明采用节点和网关之间的双向身份认证有效的防止“假冒攻击”,轻量级的认证算法减少了节点的能耗,Merkle哈希树广播源认证在计算、存储、通信方面开销较小,能够抵制节点捕获、请求信息重放和Dos攻击。
Description
技术领域
本发明涉及智能家居安防技术领域,尤其涉及一种轻量级的节点、网关双向身份认证方法。
背景技术
目前,物联网技术越来越多的受到了人们的关注。物联网的本质是通过能够获取物体信息的传感器节点(简称节点)来进行信息采集,通过泛在网进行信息传输及交换,通过信息处理***进行信息加工及决策。
智能家居以住宅为平台,利用综合布线、网络通信、安全防范、自动控制等技术构建高效的住宅设施与安全防范***,提升家居安全性、便利性、舒适性,并实现环保节能的居住环境。智能家居作为物联网发展过程中的典型应用在物联网行业中拥有巨大的消费潜力,前景光明。
家居安防***作为智能家居***的子***为居住环境提供了重要的安全保障,而传感技术被广泛应用于智能家居的各个子***中完成信息的采集以及实时控制,传感***本身存在的安全风险也随即被带入到智能家居***中。传感***的前端感知设备即传感器节点能量受限以及采用无线通信的方式使得前端感知节点很容易成为被攻击的对象,包括对感知节点的假冒身份、干扰、屏蔽、信号截获等攻击。
发明内容
本发明的目的在于通过一种轻量级的节点、网关双向身份认证方法,来解决以上背景技术部分提到的问题。
一种轻量级的节点、网关双向身份认证方法,其包括如下步骤:
A、节点注册;B、节点认证;C、网关广播源认证。
特别地,所述步骤A具体包括:
A1、节点向网关发送注册请求包;
A2、网关对收到的注册请求包进行解析,验证注册请求包的MAC,若验证不通过,则丢弃该注册请求包,若验证通过,则发送注册响应包给节点。
特别地,所述步骤B具体包括:
B1、网关向通过注册的节点发送随机数,并存储该随机数与对应节点号;
B2、节点收到与自己对应的所述随机数后,生成认证请求包,发送给网关;
B3、网关接收认证请求包,根据节点号取出与其对应的随机数,将其与认证请求包中数据异或,并使用对应的MAC算法验证MAC,若验证通过,则网关发送认证响应包给节点,否则认证失败,节点超时会发起重新认证。
特别地,所述步骤C具体包括:
C1、节点与网关预制工作:网关生成一系列Si和深度为3的完全二叉Merkle树;为每个节点i编号,满足:当i为父亲节点时,其左孩子节点为2i,右孩子节点为2i+1,树的根节点编号为1;节点间hash值关系满足:当i为叶子节点时,Ki=hash(Si);当i不为叶子节点时,其必存在左、右孩子K2i、K2i+1,满足Ki=hash(K2i⊕(K2i+1));每个传感器节点预置K1和hash散列算法;网关保存Si和Merkle树;
C2、网关发送广播源认证包;
C3、节点收到广播源认证包后进行如下计算:
Hash(Hash(Hash(Hash(Merkle[0])⊕Merkle[1])⊕Merkle[2])⊕Merkle[3]),验证其结果与节点自身存储的K1是否相等,若相等,则认证成功。
特别地,所述步骤A1具体包括:节点向网关发送注册请求包,其过程如下:
一、节点UART驱动程序按照与网关协商好的数据格式,将认证算法标志位(1B)、NodeID(2B)、保留位(1B)、保留位(4B)共8B与随机数进行异或后输入到LKT4200中,其中,注册阶段的上行包随机数N恒等于0;
二、LKT4200接收所述8B数据,进行如下计算生成MAC(4B):
MAC[K,(认证算法标志位(1B)+NodeID(2B)+保留位(1B)+保留位(4B))⊕N(4B,注册阶段N=0)]
三、节点UART驱动程序将13B数据打包封装为注册请求包,发送至网关。
特别地,所述步骤A2具体包括:网关对收到的注册请求包进行解析,根据注册请求包的数据包说明,判断该数据包为注册请求包,根据注册请求包的算法标志位,判断生成MAC所用的轻量级算法,从而验证注册请求包的MAC,若验证不通过,则丢弃该注册请求包,若验证通过,则发送注册响应包给节点。
特别地,所述步骤B3具体包括:网关接收认证请求包,根据节点号取出与其对应的随机数,将其与认证请求包中前8字节数据异或,并根据算法标志位使用对应的MAC算法验证MAC,若验证通过,则网关发送认证响应包给节点,否则认证失败,节点超时会发起重新认证。
本发明提供的轻量级的节点、网关双向身份认证方法采用节点和网关之间的双向身份认证有效的防止“假冒攻击”,轻量级的认证算法减少了节点的能耗,Merkle哈希树广播源认证在计算、存储、通信方面开销较小,能够抵制节点捕获、请求信息重放和Dos攻击。
附图说明
图1为本发明实施例提供的节点、网关双向身份认证方法流程图;
图2为本发明实施例提供的节点、网关双向身份认证方法数据流向图;
图3为本发明实施例提供的广播源认证的Merkle哈希树示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部内容。
请参照图1和图2所示,本实施例中节点、网关双向身份认证方法具体包括如下步骤:
步骤S101、节点注册。节点注册的具体过程如下:
步骤S1011、节点向网关发送注册请求包,其格式如下:
一、节点UART驱动程序按照与网关协商好的数据格式,将认证算法标志位(1B)、NodeID(2B)、保留位(1B)、保留位(4B)共8B与随机数进行异或后输入到LKT4200中,其中,注册阶段的上行包随机数N恒等于0。
二、LKT4200接收所述8B数据,进行如下计算生成MAC(4B)。
MAC[K,(认证算法标志位(1B)+NodeID(2B)+保留位(1B)+保留位(4B))⊕N(4B,注册阶段N=0)]
三、节点UART驱动程序将13B数据打包封装为注册请求包,发送至网关。
其中,UART为通用异步收发传输器。LKT4200是迄今为止,嵌入式加密芯片中最高端的加密芯片,它采用了32位智能卡芯片为硬件平台,提供最安全的加密方案,即算法下载方案。
步骤S1012、网关对收到的注册请求包进行解析,验证注册请求包的MAC,若验证不通过,则丢弃该注册请求包,若验证通过,则发送注册响应包给节点。
网关对收到的注册请求包进行解析,根据注册请求包的SubType(数据包说明),判断该数据包为注册请求包,根据注册请求包的AlgFlag(算法标志位),判断生成MAC所用的轻量级算法(本实施例中采用ZUC、Present),从而验证注册请求包的MAC,若验证不通过,则丢弃该注册请求包,若验证通过,则发送注册响应包给节点,其格式如下:
MAC[K,(认证算法标志位(1B)+NodeID(2B)+SUCCESS(1B,占用原来的保留位1B)+保留位(4B))]
节点收到该数据包后根据MAC进行消息完整性认证。
步骤S102、节点认证。节点认证的具体过程如下:
步骤S1021、网关向通过注册的节点发送随机数,并永久存储该随机数与对应节点号。
MAC[K,认证算法标志位(1B)+NodeID(2B)+保留位(1B)+随机数Ni(4B,占用原来的4B保留位)]
步骤S1022、节点收到与自己对应的所述随机数后,调用LKT4200生成认证请求包,发送给网关。
认证请求包数据格式:
MAC[K,(认证算法标志位(1B)+NodeID(2B)+保留位(1B)+保留位(4B))⊕Ni(4B,认证第一步中的Ni)]
步骤S1023、网关接收认证请求包,根据节点号取出与其对应的随机数,将其与认证请求包中前8字节数据异或,并根据AlgFlag(算法标志位)使用对应的MAC算法验证MAC,若验证通过,则网关发送认证响应包给节点,否则认证失败,节点超时会发起重新认证。
MAC[K,(认证算法标志位(1B)+NodeID(2B)+SUCCESS(1B,占用原来的保留位1B)+保留位(4B))⊕Ni]为了防止重放攻击,提供新鲜性保护,上式中的随机数是本次认证过程中网关下发给与节点ID号相对应的随机数(4B)。
步骤S103、网关广播源认证。
消息认证对于无线传感器网络的许多应用来说是非常重要的,在无线环境中,攻击者很容易注入数据包,如果没有消息认证,接收者无法确定这些消息的真假,无法安全执行相关操作。在广播源认证中,uTESLA认证技术采用单向hash链,延迟反向广播hash值Ki+1,使得节点计算验证Ki=H(Ki+1),Ki为上一时刻收到的hash值。uTESLA认证的hash参数的发布机制会引来Dos攻击。
基于Merkle哈希树的访问控制方式和用户访问能力撤销方式的计算、存储和通信开销较小,能够抵制节点捕获、请求信息重放攻击,具有良好的扩展性,支持多用户、网关的源认证,采用merkle树进行uTESLA的参数分配,可以降低或消除Dos攻击的影响。当网关需要广播控制命令时,采用第i个uTESLA实例的广播通道。广播消息中包含参数证书ParaCerti。接收者可以利用预分配的Merkle树根,立即对广播消息进行源认证。例如,节点收到含有ParaCert3={S3,K4,K12,K52}的广播消息,进行如下计算比较,认证广播源:H(H(K12⊕H(H(S3)⊕K4)⊕K52=K12如相等,认证通过。
基于上述分析,本发明基于Merkle树并结合现有网络架构路由等机制,设计实现了具有可行性的网关广播源认证方法,其具体过程如下:
步骤S1031、节点与网关预制工作:网关生成一系列Si(1,2,...,8)和深度为3的完全二叉Merkle树,该树有15个节点;如图3所示,为每个节点i编号,满足:当i为父亲节点时,其左孩子节点为2i,右孩子节点为2i+1,树的根节点编号为1;节点间hash值关系满足:当i为叶子节点时,Ki=hash(Si);当i不为叶子节点时,其必存在左、右孩子K2i、K2i+1,满足Ki=hash(K2i⊕(K2i+1));每个传感器节点预置K1和hash散列算法;网关保存Si(1,2,...,8)和Merkle树。
步骤S1032、网关发送广播源认证包。
网关选择第i-th uTESLA通道Si,调用过程ParaCertCompute得到证书参数,放入如下数据包的Merkle域:
上述数据包格式中,广播命令的有效载荷CMD长度为3B,控制节点完成广播源认证工作后所采取的动作命令,数据包序列SeqNum(1B)用来防止重返攻击,证书参数Merkle为4B保证源认证,MD5做MAC保证完整性认证。
步骤S1033、节点收到广播源认证包后进行如下计算:
Hash(Hash(Hash(Hash(Merkle[0])⊕Merkle[1])⊕Merkle[2])⊕Merkle[3]),验证其结果与节点自身存储的K1是否相等,若相等,则认证成功。
本发明的技术方案采用节点和网关之间的双向身份认证有效抵御对智能家居前端感知设备的“假冒攻击”,轻量级的认证算法减少了节点的能耗,Merkle哈希树广播源认证在计算、存储、通信方面开销较小,能够抵制节点捕获、请求信息重放和Dos攻击。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (4)
1.一种轻量级的节点、网关双向身份认证方法,其特征在于,具体包括如下步骤:
A、节点注册;B、节点认证;C、网关广播源认证;
所述步骤A具体包括:
A1、节点向网关发送注册请求包;
A2、网关对收到的注册请求包进行解析,验证注册请求包的MAC,若验证不通过,则丢弃该注册请求包,若验证通过,则发送注册响应包给节点;
所述步骤B具体包括:
B1、网关向通过注册的节点发送随机数,并存储该随机数与对应节点号;
B2、节点收到与自己对应的所述随机数后,生成认证请求包,发送给网关;
B3、网关接收认证请求包,根据节点号取出与其对应的随机数,将其与认证请求包中数据异或,并使用对应的MAC算法验证MAC,若验证通过,则网关发送认证响应包给节点,否则认证失败,节点超时会发起重新认证;
所述步骤C具体包括:
C1、节点与网关预制工作:网关生成一系列Si和深度为3的完全二叉Merkle树;为每个节点i编号,满足:当i为父亲节点时,其左孩子节点为2i,右孩子节点为2i+1,树的根节点编号为1;节点间hash值关系满足:当i为叶子节点时,Ki=hash(Si);当i不为叶子节点时,其必存在左、右孩子K2i、K2i+1,满足Ki=hash(K2i⊕(K2i+1));每个传感器节点预置K1和hash散列算法;网关保存Si和Merkle树;
C2、网关发送广播源认证包;
C3、节点收到广播源认证包后进行如下计算:
Hash(Hash(Hash(Hash(Merkle[0])⊕Merkle[1])⊕Merkle[2])⊕Merkle [3]),验证其结果与节点自身存储的K1是否相等,若相等,则认证成功。
2.根据权利要求1所述的轻量级的节点、网关双向身份认证方法,其特征在于,所述步骤A1具体包括:节点向网关发送注册请求包,其过程如下:
一、节点UART驱动程序按照与网关协商好的数据格式,将认证算法标志位(1B)、NodeID(2B)、保留位(1B)、保留位(4B)共8B与随机数进行异或后输入到LKT4200中,其中,注册阶段的上行包随机数N恒等于0;
二、LKT4200接收所述8B数据,进行如下计算生成MAC(4B):
MAC[K,(认证算法标志位(1B)+NodeID(2B)+保留位(1B)+保留位(4B))⊕N(4B,注册阶段N=0)]三、节点UART驱动程序将13B数据打包封装为注册请求包,发送至网关。
3.根据权利要求2所述的轻量级的节点、网关双向身份认证方法,其特征在于,所述步骤A2具体包括:网关对收到的注册请求包进行解析,根据注册请求包的数据包说明,判断该数据包为注册请求包,根据注册请求包的算法标志位,判断生成MAC所用的轻量级算法,从而验证注册请求包的MAC,若验证不通过,则丢弃该注册请求包,若验证通过,则发送注册响应包给节点。
4.根据权利要求1至3之一所述的轻量级的节点、网关双向身份认证方法,其特征在于,所述步骤B3具体包括:网关接收认证请求包,根据节点号取出与其对应的随机数,将其与认证请求包中前8字节数据异或,并根据算法标志位使用对应的MAC算法验证MAC,若验证通过,则网关发送认证响应包给节点,否则认证失败,节点超时会发起重新认证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310718763.5A CN103701797B (zh) | 2013-12-23 | 2013-12-23 | 一种轻量级的节点、网关双向身份认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310718763.5A CN103701797B (zh) | 2013-12-23 | 2013-12-23 | 一种轻量级的节点、网关双向身份认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103701797A CN103701797A (zh) | 2014-04-02 |
| CN103701797B true CN103701797B (zh) | 2017-01-25 |
Family
ID=50363194
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310718763.5A Active CN103701797B (zh) | 2013-12-23 | 2013-12-23 | 一种轻量级的节点、网关双向身份认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103701797B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105763321B (zh) * | 2016-04-06 | 2018-09-28 | 深圳市奔迈科技有限公司 | 一种物联网通讯加密方法和装置 |
| CN108564312A (zh) * | 2018-05-22 | 2018-09-21 | 中国联合网络通信集团有限公司 | 安防方法、装置及*** |
| CN109087412A (zh) * | 2018-06-06 | 2018-12-25 | 咕咚网络(北京)有限公司 | 一种无线联网门锁***中门锁终端与网关的连接方法 |
| CN110635904B (zh) * | 2019-09-16 | 2020-07-31 | 绍兴文理学院 | 一种软件定义物联网节点远程证明方法及*** |
| TWI778828B (zh) * | 2021-10-15 | 2022-09-21 | 國立成功大學 | 基於區塊鏈的物聯網雙向認證方法 |
| CN114205129B (zh) * | 2021-12-02 | 2024-06-25 | 北京八分量信息科技有限公司 | 异构网络中的轻量级认证方法、装置及相关产品 |
| CN114698066B (zh) * | 2022-03-17 | 2024-07-23 | 杭州控客信息技术有限公司 | 智能家居设备自动入网方法及*** |
| CN116155633B (zh) * | 2023-04-23 | 2023-06-27 | 农数源(成都)科技有限公司 | 一种传感器外置数据安全保护与双向鉴别方法、***、装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1767429A (zh) * | 2004-10-29 | 2006-05-03 | 大唐移动通信设备有限公司 | 移动通信用户认证与密钥协商方法 |
| WO2010111878A1 (zh) * | 2009-04-03 | 2010-10-07 | 西安西电捷通无线网络通信有限公司 | 一种节点资源受限的无线网络的广播认证方法 |
| CN102202390A (zh) * | 2010-03-25 | 2011-09-28 | 中兴通讯股份有限公司 | 一种对无线传感器节点实现管理的方法及*** |
| CN102316110A (zh) * | 2011-09-14 | 2012-01-11 | 福建三元达软件有限公司 | 一种数据终端接入服务器的鉴权方法 |
| CN103313246B (zh) * | 2013-06-05 | 2016-02-03 | 中国科学院计算技术研究所 | 一种无线传感网双因子认证方法和装置及其网络 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9137012B2 (en) * | 2006-02-03 | 2015-09-15 | Emc Corporation | Wireless authentication methods and apparatus |
| US20080077795A1 (en) * | 2006-09-25 | 2008-03-27 | Macmillan David M | Method and apparatus for two-way authentication without nonces |
-
2013
- 2013-12-23 CN CN201310718763.5A patent/CN103701797B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1767429A (zh) * | 2004-10-29 | 2006-05-03 | 大唐移动通信设备有限公司 | 移动通信用户认证与密钥协商方法 |
| WO2010111878A1 (zh) * | 2009-04-03 | 2010-10-07 | 西安西电捷通无线网络通信有限公司 | 一种节点资源受限的无线网络的广播认证方法 |
| CN102202390A (zh) * | 2010-03-25 | 2011-09-28 | 中兴通讯股份有限公司 | 一种对无线传感器节点实现管理的方法及*** |
| CN102316110A (zh) * | 2011-09-14 | 2012-01-11 | 福建三元达软件有限公司 | 一种数据终端接入服务器的鉴权方法 |
| CN103313246B (zh) * | 2013-06-05 | 2016-02-03 | 中国科学院计算技术研究所 | 一种无线传感网双因子认证方法和装置及其网络 |
Non-Patent Citations (1)
| Title |
|---|
| 轻量级RFID双向认证协议设计与分析;张兵,马新新,秦志光;《电子科技大学学报》;20130530(第3期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103701797A (zh) | 2014-04-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103701797B (zh) | 一种轻量级的节点、网关双向身份认证方法 | |
| CN107249009B (zh) | 一种基于区块链的数据校验方法及*** | |
| CN101753312B (zh) | 一种电网设备的安全认证方法、装置及一种负控终端 | |
| CN107148019B (zh) | 一种用于连接无线接入点的方法与设备 | |
| Wazid et al. | RAD‐EI: A routing attack detection scheme for edge‐based Internet of Things environment | |
| CN105530253B (zh) | 基于CA证书的Restful架构下的无线传感器网络接入认证方法 | |
| CN103873461B (zh) | 基于iec62351的goose报文的安全交互方法 | |
| Liu et al. | Research on Dynamical Security Risk Assessment for the Internet of Things inspired by immunology | |
| CN106953855B (zh) | 一种对iec61850数字变电站goose报文的入侵检测的方法 | |
| CN103313246B (zh) | 一种无线传感网双因子认证方法和装置及其网络 | |
| CN103765847A (zh) | 用于媒体访问控制头部压缩的装置和方法 | |
| CN103281224B (zh) | 一种智能照明控制***中can总线安全通信方法 | |
| CN106454815A (zh) | 一种基于leach协议的无线传感器网络路由方法 | |
| CN104837150B (zh) | IPv6无线传感网安全测试*** | |
| CN109389498A (zh) | 区块链用户身份管理方法、***、设备及存储介质 | |
| US9332432B2 (en) | Methods and system for device authentication | |
| CN104350703B (zh) | 消息的安全传输 | |
| Mehra et al. | Codeword Authenticated Key Exchange (CAKE) light weight secure routing protocol for WSN | |
| CN102045714A (zh) | 提供3gpp网络与无线局域网互通安全的方法和装置 | |
| Khalid et al. | An improved biometric based user authentication and key agreement scheme for intelligent sensor based wireless communication | |
| CN110474922B (zh) | 一种通信方法、pc***及接入控制路由器 | |
| Chudzikiewicz et al. | Secure protocol for wireless communication within internet of military things | |
| CN101399814B (zh) | 验证数据链路层地址与其发送方关系的方法、***及装置 | |
| CN102143155A (zh) | 基于ipid位增量调制的隐秘通信方法 | |
| CN108155996A (zh) | 基于家庭信道的智能家居安全通讯方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230720 Address after: 214135 Building C, Weina Sensor Network International Innovation Park, No. 200, Linghu Avenue, the Taihu Lake International Science Park, Wuxi New District, Jiangsu Province Patentee after: JIANGSU CAS INTERNET-OF-THINGS TECHNOLOGY VENTURE CAPITAL CO.,LTD. Address before: 6/F, Block C, China Sensor Network International Innovation Park, No. 200 Linghu Avenue, New District, Wuxi City, Jiangsu Province, 214135 Patentee before: JIANGSU R & D CENTER FOR INTERNET OF THINGS |