CN108989318B - 一种面向窄带物联网的轻量化安全认证及密钥交换方法 - Google Patents
一种面向窄带物联网的轻量化安全认证及密钥交换方法 Download PDFInfo
- Publication number
- CN108989318B CN108989318B CN201810836515.3A CN201810836515A CN108989318B CN 108989318 B CN108989318 B CN 108989318B CN 201810836515 A CN201810836515 A CN 201810836515A CN 108989318 B CN108989318 B CN 108989318B
- Authority
- CN
- China
- Prior art keywords
- authentication
- terminal
- key
- server
- things
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种面向窄带物联网的轻量化安全认证及密钥交换方法,通信主体包括终端和服务器,在通信建立之前,终端与服务器之间共享根密钥,并基于对称密码体制采用“挑战—应答”交互机制实现双向认证。本发明主要解决基于NB‑IoT等窄带物联网连接技术的物联网应用***中终端与服务器之间的双向身份认证及密钥交换问题,实现轻量化安全认证算法、协议和密钥协商机制,满足低功耗、低带宽消耗、低交互频度、高安全性的设计要求。
Description
技术领域
本发明涉及一种面向窄带物联网的轻量化安全认证及密钥交换方法。
背景技术
2016年9月,窄带蜂窝物联网NB-IoT成为3GPP R13正式标准冻结并发布,标志着物联网大规模商用进入到实质阶段。截止2018年4月,全球共有50个NB-IoT商用网络。此外,围绕电信运营企业的电信产业链的相关企业通过建立各种合作、联盟,在芯片、模组、终端、网络、应用各个环节共同发力推动NB-IoT产业化应用。目前,国内很多省市的垂直行业应用已经逐步展开,如智能水表、智能燃气表、共享单车、智能停车场等等,行业应用推广的同时NB-IoT网络的优化覆盖,提高使用质量也同期在进行。
尽管我国NB-IoT产业链已逐步具备,并在全球都走在了前列,但是NB-IoT产业还处于行业早期,仍面临许多问题,其中之一就是NB-IoT的安全机制尚不完善。现有的NB-IoT几乎没有安全机制,未来真正实现万物互联之后,谁来承担数据安全的风险?此外,NB-IoT本身是一个低成本的、服务于传统行业的***,建设投入不可能很高,因此如何设计一个轻量级的安全方案是当下面临的一个挑战。
万物互联首先要解决的问题是如何将海量的物联网终端安全地接入***,在接入***之前需要对物联网终端的身份进行验证。目前,针对物联网安全认证的研究较多,比如:
(1)发明专利(申请号201711325619.X)针对智能家居应用提出了基于PKI的物联网安全认证***和方法,该方法引入证书签发中心对外部访问实体和智能家居设备发放证书,外部访问实体与智能家居设备通过交换和验证证书实现双向身份认证,这种方法由于没有考虑低功耗、窄带应用环境,因此并不适用于窄带物联网;
(2)发明专利(申请号201510873413.5)提出了一种标签读写应用的身份认证方法,该方法首先在标签中预制认证标识,计算随机数与认证标识组成的哈希值,通过在应用服务器中比较标签/阅读器哈希值与后台数据库中查询的哈希值确定标签和阅读器身份,该方法由于仅解决了标签、阅读器组成的前端***的单向认证问题,且没有提出密钥交换方法,因此不能完全满足窄带物联网终端安全接入的需要;
(3)发明专利(申请号201210177752.6)提出了一种涉及军事物联网节点间的认证和密钥建立方法,该方法在通信主体与认证服务器之间建立共享密钥,利用标识码、随机数和共享密钥完成多方实体之间的双向认证,之后由认证服务器分发通信加密密钥,该方法提出了由认证服务器等4类通信主体组成的认证***,需要在4类通信主体中维护3×n个共享密钥,交互八次完成认证及密钥交换,因此其密钥空间较大,协议本身交互次数较多,不能很好地满足窄带物联网需要。
以上只是物联网安全认证研究中的典型例子,这些***和方法在设计之初并没有考虑窄带物联网的实际应用环境,因此迫切需要一种新的、轻量化的安全认证方法来满足窄带物联网的应用要求。
发明内容
为了克服现有技术的上述缺点,本发明提供了一种面向窄带物联网的轻量化安全认证及密钥交换方法,主要解决基于NB-IoT等窄带物联网连接技术的物联网应用***中终端与服务器之间的双向身份认证及密钥交换问题,实现轻量化安全认证算法、协议和密钥协商机制,满足低功耗、低带宽消耗、低交互频度、高安全性的设计要求。
本发明解决其技术问题所采用的技术方案是:一种面向窄带物联网的轻量化安全认证及密钥交换方法,通信主体包括终端和服务器,在通信建立之前,终端与服务器之间共享根密钥,并基于对称密码体制采用“挑战—应答”交互机制实现双向认证。
与现有技术相比,本发明的积极效果是:
本发明采用的基于共享密钥的对称密码认证技术,在算法层面保证了计算的轻量化,通过引入通信双方产生的随机数计算认证令牌,能有效抵抗重放攻击,增加了通过逆运算获取认证密钥的难度;在协议交互层面,通信双方仅需要交互四次即能完成双向身份认证和通信密钥交换,降低了协议交互复杂度,提升了认证成功率;在密钥交换层面,密钥协商过程是伴随认证过程同步完成的,双方通信密钥利用认证过程交互的随机数计算生成,通信密钥无需在信道上传递,用于生成通信密钥的随机数在传递过程中均进行了加密保护,有效防止密钥在信道传输过程中泄露的风险,提高了通信密钥的安全性;通信双方每次认证均会协商产生通信密钥,保证每次通信过程使用的密钥都不相同,即“一次一密”;通信密钥由通信双方产生的一对随机数共同生成,能够有效防止密钥由通信其中一方操控,增加了通信过程的安全性。由于采取了以上技术手段和安全机制,本发明提出的安全认证和密钥交换方法具有对计算资源和网络带宽资源要求低、协议交互效率高、抗攻击能力强等突出特点,能够很好地适应NB-IoT等窄带物联网终端安全接入的应用要求,具有较大的实用价值。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1为双向认证机制示意图;
图2为认证及密钥交换流程示意图。
具体实施方式
本发明提出的方法主要实现NB-IoT等窄带物联网环境下通信主体之间的双向身份认证和密钥交换,方法中涉及到的通信主体包括终端(TE)和服务器(Sever)。其中:终端主要实现末端信息采集与处理等功能;服务器主要负责终端接入以及终端数据汇聚处理等功能。在通信建立之前,终端与服务器之间需要共享根密钥,基于对称密码体制采用“挑战—应答(CR)”交互机制实现双向认证,在认证过程中不需要第三方参与。***双向认证机制如图1所示。
在认证过程中,终端和服务器使用共享密钥K和对称密码算法对协议交互过程中生成的设备标识、随机数等进行加密生成认证令牌,由于共享密钥只有通信双方拥有,且任意一对通信双方的共享密钥具有唯一性,因此通过交换认证令牌、解密认证令牌和对比随机数,可以确定通信双方身份。在完成身份认证之后,通信双方利用协议交互过程中的随机数生成用于通信过程的加密密钥,完成通信密钥协商。完整的认证流程步骤如下:
(1)终端生成随机数Ra,将随机数Ra和终端设备号ID发送给服务器,启动认证流程;
(2)服务器收到认证请求消息后,检查终端设备号ID是否合法,若合法则进入下一步认证流程,若不合法则向终端发送认证失败消息;
(3)服务器利用密钥派生算法计算认证密钥Kx=KDF(ID,Ra,K),同时生成新的随机数Rb,使用对称密码算法计算认证令牌AUTNS=Ekx(Ra||Rb),将认证令牌AUTNS发送给终端;
(4)终端收到服务器发来的认证令牌AUTNs后,使用认证密钥Kx对认证令牌进行逆运算解密获得Ra,比较终端本地Ra是否一致,若一致则服务器身份认证成功,进入下一步认证流程,若不一致则认证失败,认证流程结束;
(5)终端利用密钥派生算法计算认证密钥Kx’=KDF(ID,Rb,K),同时生成随机数Ra’,使用对称密码算法计算认证令牌AUTNTE=Ekx’(Ra’||Rb),将认证令牌AUTNTE发送给服务器;
(6)服务器收到终端发来的认证令牌AUTNTE后,使用认证密钥Kx’执行逆运算解密获得Rb,比较服务器本地Rb是否一致,若一致则终端身份认证成功,服务器利用密钥派生算法计算通信密钥Kc=KDF(K,Ra’,Rb),向终端发送认证成功消息;若比较不一致,则向终端发送认证失败消息;
(7)终端收到服务器发来的认证成功消息后,利用密钥派生算法计算通信密钥Kc=KDF(K,Ra’,Rb),认证流程结束;若收到认证失败消息后,则认证流程结束。
上述流程中的符号定义如下:
1)Ra/Rb/Ra’:终端和服务器临时生成的随机数
2)K:根密钥
3)ID:终端设备标示符,可以是任何表征终端身份的符号
4)Kx/Kx’:认证密钥
5)KDF(P1,P2,P3):密钥派生算法,P1/P2/P3为算法输入参数
6)E:加密算法,本专利中特指对称密码算法
7)Ekx/Ekx’:使用Kx/Kx’密钥的对称密码算法
8)AUTNS:服务器生成的认证令牌
9)AUTNTE:终端生成的认证令牌
10)Kc:通信密钥
11)||:字符连接符号
认证流程如图2所示。
Claims (4)
1.一种面向窄带物联网的轻量化安全认证及密钥交换方法,其特征在于:通信主体包括终端和服务器,在通信建立之前,终端与服务器之间共享根密钥,并基于对称密码体制采用“挑战—应答”交互机制实现双向认证;在认证过程中,终端和服务器使用共享根密钥和对称密码算法对协议交互过程中生成的设备标识、随机数进行加密生成认证令牌;在完成身份认证之后,通信双方利用协议交互过程中的随机数生成用于通信过程的加密密钥,完成通信密钥协商;其中:终端和服务器之间的认证流程为:
(1)终端将设备号ID和生成的随机数Ra发送给服务器,发起认证请求;
(2)服务器收到认证请求消息后,检查终端设备号ID是否合法:若不合法则向终端发送认证失败消息;若合法则进入第(3)步;
(3)服务器通过接收的随机数Ra计算认证密钥Kx,同时生成新的随机数Rb,然后计算认证令牌AUTNS,并将认证令牌AUTNS发送给终端;
(4)终端收到认证令牌AUTNs后,使用认证密钥Kx执行逆运算解密获得Ra和随机数Rb,并判断与终端本地的Ra是否一致:若不一致则认证失败,认证流程结束;若一致则进入第(5)步;
(5)终端通过接收的随机数Rb计算认证密钥Kx’,同时生成随机数Ra’,然后计算认证令牌AUTNTE,并将认证令牌AUTNTE发送给服务器;
(6)服务器收到认证令牌AUTNTE后,使用认证密钥Kx’执行逆运算解密获得Rb,并判断与服务器本地的Rb是否一致:若不一致,则向终端发送认证失败消息;若一致则服务器计算通信密钥Kc,然后向终端发送认证成功消息;
(7)终端计算通信密钥Kc,认证流程结束。
2.根据权利要求1所述的一种面向窄带物联网的轻量化安全认证及密钥交换方法,其特征在于:所述终端主要实现末端信息采集与处理功能;所述服务器主要负责终端接入以及终端数据汇聚处理功能。
3.根据权利要求1所述的一种面向窄带物联网的轻量化安全认证及密钥交换方法,其特征在于:服务器和终端均利用密钥派生算法计算认证密钥和通信密钥。
4.根据权利要求1所述的一种面向窄带物联网的轻量化安全认证及密钥交换方法,其特征在于:服务器和终端均使用对称密码算法计算认证令牌。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810836515.3A CN108989318B (zh) | 2018-07-26 | 2018-07-26 | 一种面向窄带物联网的轻量化安全认证及密钥交换方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810836515.3A CN108989318B (zh) | 2018-07-26 | 2018-07-26 | 一种面向窄带物联网的轻量化安全认证及密钥交换方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108989318A CN108989318A (zh) | 2018-12-11 |
CN108989318B true CN108989318B (zh) | 2020-12-29 |
Family
ID=64551564
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810836515.3A Active CN108989318B (zh) | 2018-07-26 | 2018-07-26 | 一种面向窄带物联网的轻量化安全认证及密钥交换方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108989318B (zh) |
Families Citing this family (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111563980B (zh) * | 2019-01-26 | 2022-04-29 | 合肥智辉空间科技有限责任公司 | 一种蓝牙锁钥匙生成与认证方法 |
CN112311533B (zh) * | 2019-07-29 | 2023-05-02 | 中国电信股份有限公司 | 终端身份认证方法、***以及存储介质 |
CN113950802B (zh) * | 2019-08-22 | 2023-09-01 | 华为云计算技术有限公司 | 用于执行站点到站点通信的网关设备和方法 |
CN111064577A (zh) * | 2019-12-03 | 2020-04-24 | 支付宝(杭州)信息技术有限公司 | 一种安全认证方法、装置及电子设备 |
CN110912698B (zh) * | 2019-12-27 | 2022-07-15 | 嘉应学院 | 一种山地果园监控信息加密传输方法与装置 |
CN110995432B (zh) * | 2020-03-05 | 2020-06-02 | 杭州字节物联安全技术有限公司 | 基于边缘网关的物联网感知节点认证方法 |
CN111526130B (zh) * | 2020-04-03 | 2021-12-21 | 杭州电子科技大学 | 一种轻量级的无证书工业物联网访问控制方法和*** |
CN111541677B (zh) * | 2020-04-17 | 2021-08-13 | 中国科学院上海微***与信息技术研究所 | 一种基于窄带物联网的安全混合加密方法 |
CN112512024B (zh) * | 2021-02-05 | 2021-05-11 | 信联科技(南京)有限公司 | 一种面向5g网络的物联网终端安全汇聚接入方法及*** |
CN113079022B (zh) * | 2021-03-31 | 2022-02-18 | 郑州信大捷安信息技术股份有限公司 | 一种基于sm2密钥协商机制的安全传输方法和*** |
WO2023004788A1 (zh) * | 2021-07-30 | 2023-02-02 | Oppo广东移动通信有限公司 | 一种安全认证方法及装置、终端 |
CN113992416A (zh) * | 2021-10-28 | 2022-01-28 | 上海辰锐信息科技公司 | 一种物联感知终端认证方法及物联感知终端 |
CN115208569B (zh) * | 2022-09-15 | 2022-12-20 | 广州万协通信息技术有限公司 | 密钥动态分配的加密解密方法及装置 |
CN115208702B (zh) * | 2022-09-16 | 2022-12-30 | 国网江西省电力有限公司电力科学研究院 | 一种物联网设备认证与密钥协商方法 |
CN115277030B (zh) * | 2022-09-29 | 2022-12-30 | 国网江西省电力有限公司电力科学研究院 | 一种面向窄带物联网的轻量化安全认证的密钥交换方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101030854A (zh) * | 2006-03-02 | 2007-09-05 | 华为技术有限公司 | 多媒体子***中网络实体的互认证方法及装置 |
CN101383707A (zh) * | 2007-09-03 | 2009-03-11 | 郑建德 | 一种轻量级认证***及其关键算法 |
CN101867928A (zh) * | 2010-05-21 | 2010-10-20 | 西安电子科技大学 | 移动用户通过家庭基站接入核心网的认证方法 |
CN102075522A (zh) * | 2010-12-22 | 2011-05-25 | 北京航空航天大学 | 一种结合数字证书和动态密码的安全认证与交易方法 |
CN106453269A (zh) * | 2016-09-21 | 2017-02-22 | 东软集团股份有限公司 | 车联网安全通信方法、车载终端、服务器及*** |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7434050B2 (en) * | 2003-12-11 | 2008-10-07 | International Business Machines Corporation | Efficient method for providing secure remote access |
-
2018
- 2018-07-26 CN CN201810836515.3A patent/CN108989318B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101030854A (zh) * | 2006-03-02 | 2007-09-05 | 华为技术有限公司 | 多媒体子***中网络实体的互认证方法及装置 |
CN101383707A (zh) * | 2007-09-03 | 2009-03-11 | 郑建德 | 一种轻量级认证***及其关键算法 |
CN101867928A (zh) * | 2010-05-21 | 2010-10-20 | 西安电子科技大学 | 移动用户通过家庭基站接入核心网的认证方法 |
CN102075522A (zh) * | 2010-12-22 | 2011-05-25 | 北京航空航天大学 | 一种结合数字证书和动态密码的安全认证与交易方法 |
CN106453269A (zh) * | 2016-09-21 | 2017-02-22 | 东软集团股份有限公司 | 车联网安全通信方法、车载终端、服务器及*** |
Non-Patent Citations (2)
Title |
---|
GSM短消息安全***研究与实现;何震;《中国优秀硕士学位论文全文数据库 信息科技辑》;20091115(第11期);第I136-575页 * |
物联网轻量级认证和加密技术研究;汪洋;《中国优秀硕士学位论文全文库 信息科技辑》;20180215;第I138-2145页 * |
Also Published As
Publication number | Publication date |
---|---|
CN108989318A (zh) | 2018-12-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108989318B (zh) | 一种面向窄带物联网的轻量化安全认证及密钥交换方法 | |
CN111083131B (zh) | 一种用于电力物联网感知终端轻量级身份认证的方法 | |
CN113079016B (zh) | 一种面向天基网络的身份基认证方法 | |
CN110581763B (zh) | 一种量子密钥服务区块链网络*** | |
Wei et al. | A privacy-preserving fog computing framework for vehicular crowdsensing networks | |
CN108111301A (zh) | 基于后量子密钥交换实现ssh协议的方法及其*** | |
CN113612605B (zh) | 使用对称密码技术增强mqtt协议身份认证方法、***和设备 | |
CN110572265B (zh) | 一种基于量子通信的终端安全接入网关方法、装置及*** | |
CN112887338A (zh) | 一种基于ibc标识密码的身份认证方法和*** | |
CN108540436B (zh) | 基于量子网络实现信息加解密传输的通信***和通信方法 | |
CN109257346B (zh) | 基于区块链的隐蔽传输*** | |
CN110601838A (zh) | 一种基于量子密钥的身份认证方法、装置及*** | |
CN102256249A (zh) | 适用于无线网络的身份认证方法及其设备 | |
CN104901935A (zh) | 一种基于cpk的双向认证及数据交互安全保护方法 | |
CN108964897B (zh) | 基于群组通信的身份认证***和方法 | |
CN115085943B (zh) | 用于电力物联网南北向安全加密的边缘计算方法及平台 | |
CN109756877A (zh) | 一种海量NB-IoT设备的抗量子快速认证与数据传输方法 | |
WO2023071751A1 (zh) | 一种认证方法和通信装置 | |
CN115514474A (zh) | 一种基于云-边-端协同的工业设备可信接入方法 | |
CN106534050A (zh) | 一种实现虚拟专用网络密钥协商的方法和装置 | |
CN108880799B (zh) | 基于群组密钥池的多次身份认证***和方法 | |
CN113055394A (zh) | 一种适用于v2g网络的多服务双因子认证方法及*** | |
CN111416712B (zh) | 基于多个移动设备的量子保密通信身份认证***及方法 | |
CN101527708B (zh) | 恢复连接的方法和装置 | |
CN114286334B (zh) | 一种移动通信场景的多用户认证方法、***及信息处理终端 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |