CN111654481B - 一种身份认证方法、装置和存储介质 - Google Patents

一种身份认证方法、装置和存储介质 Download PDF

Info

Publication number
CN111654481B
CN111654481B CN202010447265.1A CN202010447265A CN111654481B CN 111654481 B CN111654481 B CN 111654481B CN 202010447265 A CN202010447265 A CN 202010447265A CN 111654481 B CN111654481 B CN 111654481B
Authority
CN
China
Prior art keywords
random number
user terminal
sensor node
key
public key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010447265.1A
Other languages
English (en)
Other versions
CN111654481A (zh
Inventor
冯玉翔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
South China University of Technology SCUT
Original Assignee
South China University of Technology SCUT
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by South China University of Technology SCUT filed Critical South China University of Technology SCUT
Priority to CN202010447265.1A priority Critical patent/CN111654481B/zh
Publication of CN111654481A publication Critical patent/CN111654481A/zh
Application granted granted Critical
Publication of CN111654481B publication Critical patent/CN111654481B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Algebra (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种身份认证方法、装置和存储介质,其中方法包括以下步骤:发送访问请求至网关,以使所述网关获取并反馈回传感器节点的第一公钥;接收到所述第一公钥后,获取第一随机数,根据所述第一公钥对第一随机数进行加密并传输至所述传感器节点;接收所述传感器节点发送的加密信息和第二随机数,根据加密信息获取第三随机数和会话密钥,确定检测到所述第一随机数等于所述第三随机数,判定身份认证成功并保存所述会话密钥;根据所述会话密钥对所述第二随机数进行加密后传输至所述传感器节点。本发明通过建立双向认证,提高通信的安全性;另外,降低了对传感器节点的要求及硬件成本,可广泛应用于物联网技术领域。

Description

一种身份认证方法、装置和存储介质
技术领域
本发明涉及物联网技术领域,尤其涉及一种身份认证方法、装置和存储介质。
背景技术
对于物联网这类会涉及到海量设备和数据的网络应用来说,如何保证安全可靠的信息交换和通讯,也就是如何对物联网的通信主体进行身份认证,如何对数据进行保密安全的传输,是当前的核心技术问题。
现有的适用于物联网的安全协议设计常常围绕着保证轻量级通信和计算开销为目的。在一些协议中使用了ECC算法,与使用传统的RSA算法体制相比,能够降低运算开销。也无需像部分协议一样,使用时间同步机制来避免重放攻击等攻击行为,避免了时间同步带来的计算和通信开销。从而在诸如嵌入式设备等计算能力和存储资源受限的设备上,实现低消耗、高安全性的密钥协商和建立。
现有的认证协议应用于物联网环境中主要存在以下问题:1、在协议设计中使用时间同步机制来抵抗重放攻击等,即利用时间同步来判断协议各个步骤的时效。但在物联网环境下普遍性能较弱的设备之间保持时间同步是难以实现且会消耗大量资源的。2、直接使用物联网设备进行认证,就要求将所有可能访问物联网设备的用户信息均保存到物联网设备中,对于小规模物联网应用中用户数量较少的情况比较合适。但对于通用型的大规模的物联网应用,其中涉及大量的、动态的用户,该方案就难以在大量部署在不同地点的物联网设备上维护、更新用户信息,同时大量保存的用户信息也会消耗设备的存储资源。
发明内容
为了解决上述技术问题之一,本发明的目的是提供一种基于可信第三方的身份认证协议的身份认证方法、装置和存储介质。
本发明所采用的技术方案是:
一种身份认证方法,包括以下步骤:
用户终端将访问请求传输至网关;
所述网关根据访问请求获取所述用户终端需要访问的传感器节点的第一公钥,将所述第一公钥传输至所述用户终端;
所述用户终端获取第一随机数,根据所述第一公钥对所述第一随机数进行加密并传输至所述传感器节点;
所述传感器节点对接收到的信息进行解密,获得所述第一随机数,以及对所述第一随机数进行加密后传输至所述网关;
所述网关对接收到的信息进行解密,获得所述第一随机数,以及获取会话密钥,根据所述第一随机数和所述会话密钥生成并传输加密信息至所述传感器节点;
所述传感器节点接收到所述加密信息后,根据所述加密信息获取会话密钥,以及获取第二随机数,将所述加密信息和所述第二随机数传输至所述用户终端;
所述用户终端根据所述加密信息获取第三随机数和所述会话密钥,确定检测到所述第一随机数等于所述第三随机数,判定身份认证成功并保存所述会话密钥,以及根据所述会话密钥对所述第二随机数进行加密后传输至所述传感器节点;
所述传感器节点对接收到的信息进行解密,获得第四随机数,确定检测到所述第二随机数等于第四随机数,判定身份认证成功并保存所述会话密钥。
进一步,所述访问请求包括所述用户终端的标识符和所述传感器节点的标识符,所述网关根据访问请求获取所述用户终端需要访问的传感器节点的第一公钥,将所述第一公钥传输至所述用户终端,包括:
所述网关根据所述用户终端的标识符确认所述用户终端是否具有访问所述传感器节点的权限,若具有,根据传感器节点的标识符获取所述第一公钥;
基于预存的网关私钥,采用椭圆曲线密码签名体制对第一公钥进行签名,将签名后的所述第一公钥传输至所述用户终端。
进一步,所述椭圆曲线密码签名体制,具体为:
在预设数值范围内随机获取整数k;
根据所述整数k计算坐标点V,将所述坐标点V的X轴坐标转换为整数;
根据X轴坐标转换后的所述坐标点V计算第一参数r,所述第一参数r不为零;
根据所述传感器节点的标识符所述第一公钥获取第二参数s,所述第二参数s不为零;
对所述第一参数r和所述第二参数s进行拼接,获得签名的结果;
其中,所述坐标点V代表所述用户终端利用所述整数k确定的仅所述用户终端可知的椭圆曲线上的一个点,所述第一参数r代表利用所述坐标点V的x轴坐标确定的仅所述用户终端可知的整数,所述第二参数s代表利用所述第一参数r和所述用户终端的私钥共同对要发送内容hash值的运算结果,即对发送内容的签名。
进一步,所述用户终端获取第一随机数,根据所述第一公钥对所述第一随机数进行加密并传输至所述传感器节点,包括:
所述用户终端利用预存的网关公钥对所述签名进行验证,并在验证正确后,获取第一随机数;
基于所述第一公钥,采用椭圆曲线算法加密所述第一随机数后,传输至所述传感器节点。
进一步,采用椭圆曲线算法加密所述第一随机数后,传输至所述传感器节点,包括:
在预设数值范围内随机获取整数k;
根据所述整数k计算第三参数R1和第四参数Z,所述第四参数Z不为零;
根据所述第三参数R1和所述第四参数Z获取对称加密的密钥,根据所述对称加密的密钥对第一随机数进行加密后,传输至所述传感器节点;
其中,所述第三参数R_1代表利用椭圆曲线乘法隐藏所述用户终端选择的所述整数k的结果,所述第四参数Z代表一个利用第一公钥和所述整数k所得的秘密结果,该结果能被消息接收方利用所述第一公钥对应的私钥恢复出来。
进一步,所述身份认证方法还包括设置步骤,具体为:
设置椭圆曲线参数,所述椭圆曲线参数包括有限域、所述有限域上的椭圆曲线和椭圆曲线上的基点;
根据所述椭圆曲线参数确定所述用户终端的密钥对、所述网关的密钥对和所述传感器节点的密钥对,所述密钥对包括公钥和私钥;
其中,所述用户终端上保存有自身的密钥对,所述网关上保存有自身的密钥对和全部所述传感器节点的公钥,所述传感器节点上保存自身的密钥对和网关公钥。
本发明所采用的另一技术方案是:
一种身份认证方法,包括以下步骤:
发送访问请求至网关,以使所述网关获取并反馈回传感器节点的第一公钥;
接收到所述第一公钥后,获取第一随机数,根据所述第一公钥对第一随机数进行加密并传输至所述传感器节点;
接收所述传感器节点发送的加密信息和第二随机数,根据加密信息获取第三随机数和会话密钥,确定检测到所述第一随机数等于所述第三随机数,判定身份认证成功并保存所述会话密钥;
根据所述会话密钥对所述第二随机数进行加密后传输至所述传感器节点。
本发明所采用的另一技术方案是:
一种身份认证方法,包括以下步骤:
接收用户终端发送的访问信息,根据所述访问信息获取第一随机数,以及对所述第一随机数进行加密后传输至网关;
接收所述网关发送的加密信息,根据加密信息获取会话密钥,以及获取第二随机数,将所述加密信息和所述第二随机数传输至所述用户终端;
接收所述用户终端发送的认证信息,根据所述认证信息获取第四随机数,确定检测到所述第二随机数等于第四随机数,判定身份认证成功并保存所述会话密钥。
本发明所采用的另一技术方案是:
一种身份认证装置,包括:
至少一个处理器;
至少一个存储器,用于存储至少一个程序;
当所述至少一个程序被所述至少一个处理器执行,使得所述至少一个处理器实现上所述方法。
本发明所采用的另一技术方案是:
一种存储介质,其中存储有处理器可执行的指令,所述处理器可执行的指令在由处理器执行时用于执行如上所述方法。
本发明的有益效果是:本发明通过建立双向认证,提高通信的安全性;另外,无需在资源严重受限的传感器节点之间维持时间同步,也无需在这些传感器节点上保存用户终端的信息,降低了对传感器节点的要求及硬件成本。
附图说明
图1是实施例中一种身份认证方法的步骤流程示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。
在本发明的描述中,需要理解的是,涉及到方位描述,例如上、下、前、后、左、右等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
在本发明的描述中,若干的含义是一个或者多个,多个的含义是两个以上,大于、小于、超过等理解为不包括本数,以上、以下、以内等理解为包括本数。如果有描述到第一、第二只是用于区分技术特征为目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量或者隐含指明所指示的技术特征的先后关系。
本发明的描述中,除非另有明确的限定,设置、安装、连接等词语应做广义理解,所属技术领域技术人员可以结合技术方案的具体内容合理确定上述词语在本发明中的具体含义。
本实施例提供的认证协议中引入包含用户(即用户终端,通过智能终端登录访问传感器节点)、传感器等物联网设备(即传感器节点)以及物联网网关三种角色的网络模型。其中用户为访问物联网应用中数据的实体(包括但不限于手机、电脑、平板等);传感器等设备为资源受限的普通物联网设备(比如智能水表、智能电表等、温度传感器等),物联网网关则负责管理一个域中的所有的物联网设备,通常为性能、电力均较强的设备。在实际应用中,考虑到物联网设备的传输能力,***组网中常用此类网关设备。
认证协议为两阶段,在物联网应用的部署阶段,可以进入本协议的设置阶段。在部署完毕之后,具体使用中,如果用户需要访问物联网设备中的数据,则启动认证阶段。下面分别介绍两个阶段的具体方案。
一、设置阶段
在设置阶段,需要由运营人员设置合理的椭圆曲线参数,并分发给传感器、网关和用户。参数包含有限域、有限域上的椭圆曲线、椭圆曲线上的基点等。
此后各用户及网关和设备均确定各自的密钥对。即,利用上述椭圆曲线参数生成各自的公钥和私钥;即随机选择私钥d∈R[1,n-1],根据私钥计算公钥Q=d×P,从而生成密钥对{Q,d}。其中,P为基点,n为P在此椭圆曲线的阶。
生成上述密钥对之后,每个传感器节点需要保存自身的密钥对和网关的公钥。网关需要保存自身的密钥对和全部传感器节点的公钥。用户则需要在生成自身的密钥对之后,通过实体的安全手段在网关进行注册。注册后,网关拥有用户的公钥,用户拥有网关的公钥。
二、认证阶段
用户连接到要访问的传感器后,发起认证阶段的协议。在本阶段,由网关作为可信第三方参与用户和传感器之间的双向认证和密钥协商过程。在本阶段成功结束后,在网关的帮助下用户和传感器可以各自认证对方的身份并利用协议中产生的会话密钥进行之后保密通信。
详细的协议流程如图1所示:
步骤1:协议的第一步为用户向网关发送:自身的标识符和需要访问设备的标识符,即向网关请求进行一次设备访问。
用户→网关∶IDi||SIDj
步骤2:网关检索自身的访问权限控制之后,确认此用户标识符对应的用户确实具备访问此设备的权限。网关则将设备SIDj对应的公钥Qj发送给用户,并通过利用网关的私钥对设备公钥进行签名来保证该公钥的有效性。签名过程可以采用椭圆曲线密码签名体制:
网关随机选择一个整数k,使得:k∈R[1,n-1],n为椭圆曲线初始参数P的阶。
计算V=kP之后,将V点的X轴坐标转换为整数:
Figure BDA0002506285430000061
其中,V为用户利用其随机选择的整数k唯一确定的仅用户可知的椭圆曲线上的一个点,P为基点。
计算
Figure BDA0002506285430000062
如果计算结果r=0,则必须返回最初的操作,选择另一个k后重新进行上述操作直到r不为0。其中,r为V点的x轴坐标对n的求模结果。
对SIDj||Qj进行哈希处理,得到e=H(SIDj||Qj)。
计算s=(e+r×dGWN)×k-1mod n。并确保S不等于0,否则就返回初始操作重新选择k。
将上述计算结果r和s拼接即为网关的签名结果,并发送给用户。
网关→用户∶IDj||Qj||signatureGWN(SIDj||Qj)
步骤3:用户收到上述信息后,首先利用网关的公钥验证上述签名的有效性。验证过程即为步骤2的逆操作。如果确认签名无误,则用户用获得的设备公钥以椭圆曲线算法加密Ni||IDi,其中,Ni为第一随机数,IDi为用户的标识符,具体加密步骤如下:
用户随机选择一个k使得:k∈R[1,n-1].
计算R1=k×P和Z=h×k×Qj,并确保结果Z不等于∞,否则就要重新选择k。其中,R1代表利用椭圆曲线乘法隐藏用户选择的随机数k的结果,Z代表一个利用第一公钥和用户选择的随机数k所得的秘密结果。该结果能被消息接收方利用所述第一公钥对应的私钥恢复出来。h代表一个在设置阶段预设的所有参与方共享的一个初始整数,Qj为设备公钥(即第一公钥)。
利用(xZ,R1)生成一个对称加密的密钥symkey,xZ为上述运算结果Z的X轴坐标。之后可以利用一个对称加密算法,如AES等,加密Ni||IDi。即C1=ENCsymkey(Ni||IDi)。
把{R1||C1}组合为加密信息并发送给传感器。
用户→传感器∶
Figure BDA0002506285430000063
步骤4:设备收到上述信息后,利用自身的私钥和步骤3的逆操作进行解密。解密出Ni之后,用步骤3的加密过程和网关的公钥加密Ni并发给网关。
传感器→网关∶
Figure BDA0002506285430000071
步骤5:网关收到后进行解密,解密无误之后进行以下操作:
查找用户对应的公钥Qi,利用步骤2的签名方式,生成签名signatureGWN(IDi||Qi),随机选择一个整数Ks作为用户和设备之间接下来的会话密钥。
生成签名signatureGWN(IDi||SIDj||Ni||Ks);
利用传感器的公钥生成加密信息
Figure BDA0002506285430000072
将上述结果发送至传感器。
网关→传感器∶IDi||Qi||signatureGWN(IDi||Qi)
Figure BDA0002506285430000073
步骤6:设备接受步骤5的信息后,首先验证上述内容是否有效。有效则选择一个随机数Nj,并将上述信息的最后一个部分与Nj一起用用户的公钥加密后发送给用户。
设备→用户∶
Figure BDA0002506285430000074
步骤7:用户接受上述消息后解密出N′i,并验证是否与之前自身选择的Ni相等。如果相等则认可消息中的Ks为会话密钥,并用其对称加密Nj后发送给设备。
用户→设备∶
Figure BDA0002506285430000075
用户收到后判断N′j是否与Nj相等。如果相等,则认可消息中的Ks为会话密钥。
上述协议结束后就实现了用户与设备之间的双向认证并获得了后续通信中的会话密钥Ks
通过上述的身份认证方法,能够以很高的安全性为物联网中的设备访问过程建立双向认证和安全通信。同时,本实施例无需在资源严重受限的设备之间维持时间同步,也无需在这些设备上保存用户信息,从而避免了这些设备的开销,也无需在***部署后经常对这些设备进行配置修改。
本实施例还提供了一种身份认证方法,包括以下步骤:
发送访问请求至网关,以使网关获取并反馈回传感器节点的第一公钥;
接收到第一公钥后,获取第一随机数,根据第一公钥对第一随机数进行加密并传输至传感器节点;
接收传感器节点发送的加密信息和第二随机数,根据加密信息获取第三随机数和会话密钥,确定检测到第一随机数等于第三随机数,判定身份认证成功并保存会话密钥;
根据会话密钥对第二随机数进行加密后传输至传感器节点。
本实施例的方法主要由用户终端进行执行,用户终端在需要访问传感器节点时,先发送访问请求至网关,由于该网关中存有所有访问传感器节点的公钥,通过查找获得对应的传感器节点的公钥(即第一公钥)后,发给用户终端。当用户终端接收到第一公钥后,根据第一公钥向对应的传感器节点发送信息,以让传感器节点向用户终端发送会话密钥。当用户终端接收到传感器节点发送的信息,验证了第一随机数等于第三随机数,则说明通过了身份认证,用户终端存储该会话密钥,并将该会话密钥用于后续与传感器节点的通讯中。其中,加密信息中包含有用户终端的公钥。
本实施例还提供了一种身份认证方法,包括以下步骤:
接收用户终端发送的访问信息,根据访问信息获取第一随机数,以及对第一随机数进行
加密后传输至网关;
接收网关发送的加密信息,根据加密信息获取会话密钥,以及获取第二随机数,将加密
信息和第二随机数传输至用户终端;
接收用户终端发送的认证信息,根据认证信息获取第四随机数,确定检测到第二随机数等于第四随机数,判定身份认证成功并保存会话密钥。
本实施例的方法主要由传感器节点进行执行,传感器节点在接收到用户终端发送的访问信息后,访问信息中包含有第一公钥和第一随机数,解密获得第一随机数,将第一随机数发送至网关,以从网关中获得会话密钥,将会话密钥和自身生成的第二随机数发给用户终端。当用户终端发回认证信息时,检验第二随机数是否等于第四随机数,若等于,则说明通过了身份认证,传感器节点存储该会话密钥,并将该会话密钥用于后续与用户终端的通讯中。其中,加密信息中包含有用户终端的公钥。在本实施例中,传感器节点无需记录用户终端的相关信息,降低了传感器节点的要求,当传感器节点需要大量布局时,极大地降低了传感器节点的成本。
本实施例还提供了一种身份认证装置,包括:
至少一个处理器;
至少一个存储器,用于存储至少一个程序;
当至少一个程序被至少一个处理器执行,使得至少一个处理器实现上述方法。
本实施例的一种身份认证装置,可执行本发明方法实施例所提供的一种身份认证方法,可执行方法实施例的任意组合实施步骤,具备该方法相应的功能和有益效果。
本实施例还提供了一种存储介质,其中存储有处理器可执行的指令,该处理器可执行的指令在由处理器执行时用于执行如上述方法。
本实施例的一种存储介质,可执行本发明方法实施例所提供的一种身份认证方法,可执行方法实施例的任意组合实施步骤,具备该方法相应的功能和有益效果。
可以理解的是,上文中所公开方法中的全部或某些步骤、***可以被实施为软件、固件、硬件及其适当的组合。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
上面结合附图对本发明实施例作了详细说明,但是本发明不限于上述实施例,在所述技术领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下作出各种变化。

Claims (8)

1.一种身份认证方法,其特征在于,包括以下步骤:
用户终端将访问请求传输至网关;
所述网关根据访问请求获取所述用户终端需要访问的传感器节点的第一公钥,将所述第一公钥传输至所述用户终端;
所述用户终端获取第一随机数,根据所述第一公钥对所述第一随机数进行加密并传输至所述传感器节点;
所述传感器节点对接收到的信息进行解密,获得所述第一随机数,以及对所述第一随机数进行加密后传输至所述网关;
所述网关对接收到的信息进行解密,获得所述第一随机数,以及获取会话密钥,根据所述第一随机数和所述会话密钥生成并传输加密信息至所述传感器节点;
所述传感器节点接收到所述加密信息后,根据所述加密信息获取会话密钥,以及获取第二随机数,将所述加密信息和所述第二随机数传输至所述用户终端;
所述用户终端根据所述加密信息获取第三随机数和所述会话密钥,确定检测到所述第一随机数等于所述第三随机数,判定身份认证成功并保存所述会话密钥,以及根据所述会话密钥对所述第二随机数进行加密后传输至所述传感器节点;
所述传感器节点对接收到的信息进行解密,获得第四随机数,确定检测到所述第二随机数等于第四随机数,判定身份认证成功并保存所述会话密钥。
2.根据权利要求1所述的一种身份认证方法,其特征在于,所述访问请求包括所述用户终端的标识符和所述传感器节点的标识符,所述网关根据访问请求获取所述用户终端需要访问的传感器节点的第一公钥,将所述第一公钥传输至所述用户终端,包括:
所述网关根据所述用户终端的标识符确认所述用户终端是否具有访问所述传感器节点的权限,若具有,根据传感器节点的标识符获取所述第一公钥;基于预存的网关私钥,采用椭圆曲线密码签名体制对第一公钥进行签名,将签名后的所述第一公钥传输至所述用户终端。
3.根据权利要求2所述的一种身份认证方法,其特征在于,所述椭圆曲线密码签名体制,具体为:
在预设数值范围内随机获取整数k;
根据所述整数k计算坐标点V,将所述坐标点V的X轴坐标转换为整数;根据X轴坐标转换后的所述坐标点V计算第一参数r,所述第一参数r不为零;
根据所述传感器节点的标识符所述第一公钥获取第二参数s,所述第二参数s不为零;
对所述第一参数r和所述第二参数s进行拼接,获得签名的结果;
其中,所述坐标点V代表所述用户终端利用所述整数k确定的仅所述用户终端可知的椭圆曲线上的一个点,所述第一参数r代表利用所述坐标点V的x轴坐标确定的仅所述用户终端可知的整数,所述第二参数s代表利用所述第一参数r和所述用户终端的私钥共同对要发送内容hash值的运算结果,即对发送内容的签名。
4.根据权利要求2所述的一种身份认证方法,其特征在于,所述用户终端获取第一随机数,根据所述第一公钥对所述第一随机数进行加密并传输至所述传感器节点,包括:
所述用户终端利用预存的网关公钥对所述签名进行验证,并在验证正确后,获取第一随机数;
基于所述第一公钥,采用椭圆曲线算法加密所述第一随机数后,传输至所述传感器节点。
5.根据权利要求4所述的一种身份认证方法,其特征在于,所述基于所述第一公钥,采用椭圆曲线算法加密所述第一随机数后,传输至所述传感器节点,包括:
在预设数值范围内随机获取整数k;
根据所述整数k计算第三参数R1和第四参数Z,所述第四参数Z不为零;
根据所述第三参数R1和所述第四参数Z获取对称加密的密钥,根据所述对称加密的密钥对第一随机数进行加密后,传输至所述传感器节点;
其中,所述第三参数R1代表利用椭圆曲线乘法隐藏所述用户终端选择的所述整数k的结果,所述第四参数Z代表一个利用第一公钥和所述整数k所得的秘密结果,该结果能被消息接收方利用所述第一公钥对应的私钥恢复出来。
6.根据权利要求1所述的一种身份认证方法,其特征在于,所述身份认证方法还包括设置步骤,具体为:
设置椭圆曲线参数,所述椭圆曲线参数包括有限域、所述有限域上的椭圆曲线和椭圆曲线上的基点;
根据所述椭圆曲线参数确定所述用户终端的密钥对、所述网关的密钥对和所述传感器节点的密钥对,所述密钥对包括公钥和私钥;
其中,所述用户终端上保存有自身的密钥对,所述网关上保存有自身的密钥对和全部所述传感器节点的公钥,所述传感器节点上保存自身的密钥对和网关公钥。
7.一种身份认证装置,其特征在于,包括:
至少一个处理器;
至少一个存储器,用于存储至少一个程序;
当所述至少一个程序被所述至少一个处理器执行,使得所述至少一个处理器实现权利要求1-6任一项所述的一种身份认证方法。
8.一种存储介质,其中存储有处理器可执行的指令,其特征在于,所述处理器可执行的指令在由处理器执行时用于执行如权利要求1-6任一项所述方法。
CN202010447265.1A 2020-05-25 2020-05-25 一种身份认证方法、装置和存储介质 Active CN111654481B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010447265.1A CN111654481B (zh) 2020-05-25 2020-05-25 一种身份认证方法、装置和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010447265.1A CN111654481B (zh) 2020-05-25 2020-05-25 一种身份认证方法、装置和存储介质

Publications (2)

Publication Number Publication Date
CN111654481A CN111654481A (zh) 2020-09-11
CN111654481B true CN111654481B (zh) 2021-06-08

Family

ID=72346831

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010447265.1A Active CN111654481B (zh) 2020-05-25 2020-05-25 一种身份认证方法、装置和存储介质

Country Status (1)

Country Link
CN (1) CN111654481B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112600676B (zh) * 2020-12-09 2023-04-07 北京航天紫光科技有限公司 一种用于工业互联网的边缘网关准入方法及装置
CN112887308B (zh) * 2021-01-26 2022-08-23 许少建 一种无感网络身份认证方法及***
CN113596004B (zh) * 2021-07-22 2023-06-20 支付宝(杭州)信息技术有限公司 多方安全计算中的身份认证方法和装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1770681A (zh) * 2005-10-14 2006-05-10 西安电子科技大学 无线环境下的会话密钥安全分发方法
CN103699920A (zh) * 2014-01-14 2014-04-02 西安电子科技大学昆山创新研究院 基于椭圆曲线的射频识别双向认证方法
CN106657124A (zh) * 2017-01-03 2017-05-10 宜春学院 用于物联网的基于假名的匿名认证与密钥协商优化认证方法以及优化认证分析方法
CN109873815A (zh) * 2019-01-28 2019-06-11 西安电子科技大学 基于边缘计算的异构物联网认证方法、物联网安全平台

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102325131B (zh) * 2011-07-20 2013-11-06 北京邮电大学 无线传感器网络节点双向身份认证方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1770681A (zh) * 2005-10-14 2006-05-10 西安电子科技大学 无线环境下的会话密钥安全分发方法
CN103699920A (zh) * 2014-01-14 2014-04-02 西安电子科技大学昆山创新研究院 基于椭圆曲线的射频识别双向认证方法
CN106657124A (zh) * 2017-01-03 2017-05-10 宜春学院 用于物联网的基于假名的匿名认证与密钥协商优化认证方法以及优化认证分析方法
CN109873815A (zh) * 2019-01-28 2019-06-11 西安电子科技大学 基于边缘计算的异构物联网认证方法、物联网安全平台

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
A Secured Authentication Protocol for Wireless Sensor Networks Using Elliptic Curves Cryptography;Hsiu-Lien Yeh等;《Sensors》;20110502;全文 *
面向物联网的身份认证和访问控制的研究;朱艳;《中国优秀硕士学位论文全文数据库 信息科技辑》;20150515;全文 *

Also Published As

Publication number Publication date
CN111654481A (zh) 2020-09-11

Similar Documents

Publication Publication Date Title
US8285989B2 (en) Establishing a secured communication session
US20130232554A1 (en) System and Method for Connecting Client Devices to a Network
CN111654481B (zh) 一种身份认证方法、装置和存储介质
CN111050322B (zh) 基于gba的客户端注册和密钥共享方法、装置及***
US10680835B2 (en) Secure authentication of remote equipment
KR101297648B1 (ko) 서버와 디바이스간 인증방법
US20210167963A1 (en) Decentralised Authentication
CN110635901A (zh) 用于物联网设备的本地蓝牙动态认证方法和***
WO2022135391A1 (zh) 身份鉴别方法、装置、存储介质、程序、及程序产品
CN116015807A (zh) 一种基于边缘计算的轻量级终端安全接入认证方法
US20240064011A1 (en) Identity authentication method and apparatus, device, chip, storage medium, and program
US20200366474A1 (en) Private key generation method and device
US11240661B2 (en) Secure simultaneous authentication of equals anti-clogging mechanism
CN116170144A (zh) 智能电网匿名认证方法、电子设备及存储介质
EP4270866A1 (en) Identity authentication method and apparatus, device, chip, storage medium, and program
US20240064006A1 (en) Identity authentication method and apparatus, storage medium, program, and program product
CN116204914A (zh) 一种可信隐私计算方法、装置、设备及存储介质
KR101256114B1 (ko) 다수의 mac검증서버에 의한 메시지인증코드 검증 방법 및 시스템
WO2022135387A1 (zh) 一种身份鉴别方法和装置
CN117729056B (zh) 一种设备身份认证方法和***
WO2022135386A1 (zh) 一种身份鉴别方法和装置
WO2022135385A1 (zh) 一种身份鉴别方法和装置
WO2022135404A1 (zh) 身份鉴别方法、装置、存储介质、程序、及程序产品
WO2023011702A1 (en) Establishment of forward secrecy during digest authentication
CN114760027A (zh) 一种身份鉴别方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant