CN111835520B - 设备认证的方法、服务接入控制的方法、设备及存储介质 - Google Patents

设备认证的方法、服务接入控制的方法、设备及存储介质 Download PDF

Info

Publication number
CN111835520B
CN111835520B CN201910318449.5A CN201910318449A CN111835520B CN 111835520 B CN111835520 B CN 111835520B CN 201910318449 A CN201910318449 A CN 201910318449A CN 111835520 B CN111835520 B CN 111835520B
Authority
CN
China
Prior art keywords
authentication
service
transaction
service request
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910318449.5A
Other languages
English (en)
Other versions
CN111835520A (zh
Inventor
范小菁
王炜
于海华
廖可
刘丽艳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to CN201910318449.5A priority Critical patent/CN111835520B/zh
Priority to JP2020068263A priority patent/JP7052818B2/ja
Priority to EP20169909.7A priority patent/EP3726804B1/en
Priority to US16/850,088 priority patent/US11601426B2/en
Publication of CN111835520A publication Critical patent/CN111835520A/zh
Application granted granted Critical
Publication of CN111835520B publication Critical patent/CN111835520B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0637Modes of operation, e.g. cipher block chaining [CBC], electronic codebook [ECB] or Galois/counter mode [GCM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明提供了一种设备认证的方法、服务接入控制的方法、设备及存储介质,其中,所述设备认证的方法中,认证请求设备在分布式账本中发布认证请求交易,认证应答设备在分布式账本中读取所述认证请求交易并进行认证,从而在认证握手过程中,不需要第三方认证中心管理或协调设备参与,降低了认证***的部署开销,提高了认证和接入服务控制的效率。

Description

设备认证的方法、服务接入控制的方法、设备及存储介质
技术领域
本发明涉及设备认证技术领域,具体涉及一种设备认证的方法、服务接入控制的方法、设备及存储介质。
背景技术
对设备进行认证,对于保证信息访问和交易的安全非常重要。例如,工业监控***中的安全服务,环境监测***中的安全服务,通常都需要识别一个合法的用户或设备,从而允许合法的用户或设备接入,以获取大量的监控终端数据或测量终端数据(例如摄像头、空气/水质量测量传感器)。又例如,在家用或办公智能***中,需要识别合法用户/设备,从而可以控制终端或接入终端数据。现有技术的认证方法,通常需要依赖可信的第三方服务器或专门的安全信道。
其中,可信的第三方服务器可以是公钥基础设施(PKI,Public KeyInfrastructure)***的证书授权中心(CA,Certificate Authority),或局域网中维护所有设备认证信息的本地认证服务器。第三方管理服务器的处理能力限制了认证效率。随着智能移动终端的日益普及和物联网(IOT,Internet of Things)技术的快速发展,在包含大量移动终端或IOT设备的***中,如果验证每个设备都要通过与第三方服务器交互,则第三方服务器会成为性能瓶颈,因此在现有很多应用中,只进行单向认证,即对服务提供设备进行认证,而不对服务请求设备进行认证。此外,PKI中的CA需要实名认证终端,实名认证在IOT***通常没有必要,这带来了额外开销。
安全信道通常需要特定的硬件支持,例如设备需要安装移动蜂窝网络的用户识别模块(SIM,Subscriber Identification Module),或需要提前部署的加密***,因此提高了认证***的部署成本,因此也不适合大规模应用。
因此,亟需一种实现成本较低的认证方法,来实现对设备的认证。
发明内容
本发明的至少一个实施例提供了一种设备认证的方法、服务接入控制的方法、设备及存储介质,用以通过较低成本实现设备认证以及服务接入控制。
根据本发明的一个方面,至少一个实施例提供了一种设备认证的方法,包括:
第一设备生成认证请求信息;
所述第一设备生成认证请求交易,将所述认证请求交易发送至第一设备频道,所述认证请求交易包括所述第一设备的公钥和所述认证请求信息的第一哈希值,所述第一设备频道建立在分布式账本上;
所述第一设备生成包括有所述认证请求信息和所述第一设备频道的设备频道信息的认证请求消息,并利用所述第一设备的私钥对所述认证请求消息进行数字签名后发送至第二设备;
所述第一设备接收所述第二设备返回的认证应答消息,所述认证应答消息用于指示第一设备认证是否成功。
此外,根据本发明的至少一个实施例,所述认证请求交易还包括生成所述认证请求交易时的第一时间戳;所述认证请求信息包括随机数和所述第一设备的设备识别信息,所述设备识别信息包括设备标识、MAC地址、IP地址、设备品牌和设备类型中的至少一项。
此外,根据本发明的至少一个实施例,在所述分布式账本为区块链时,所述设备频道信息包括第一设备的区块链账户地址和所述第一设备频道上最后一个交易的哈希值;
在所述分布式账本为埃欧塔IOTA时,所述设备频道信息包括掩码认证消息MAM频道的标识ID和所述MAM频道上的首个交易的地址。
此外,根据本发明的至少一个实施例,所述方法还包括:
所述第一设备更新所述第一设备的公钥和私钥;
所述第一设备生成密钥撤销交易,所述密钥撤销交易包括更新后的公钥;
所述第一设备将所述密钥撤销交易发送到所述第一设备频道,更新所述第一设备的公钥。
根据本发明的另一方面,至少一个实施例提供了一种设备认证的方法,包括:
第二设备接收第一设备发送的认证请求消息,所述认证请求消息包括有认证请求信息和第一设备频道的设备频道信息,所述第一设备频道建立在分布式账本上;
所述第二设备根据所述第一设备频道的设备频道信息,在第一设备频道上读取认证请求交易,所述认证请求交易包括有所述第一设备的公钥和所述认证请求信息的第一哈希值;
所述第二设备利用所述第一设备的公钥,验证所述认证请求消息的数字签名,在数字签名验证成功后,至少根据所述第一哈希值对所述第一设备进行认证测试,并获得认证结果;
根据所述认证结果,记录所述第一设备的认证状态,并向所述第一设备发送用于指示认证是否成功的认证应答消息。
此外,根据本发明的至少一个实施例,所述至少根据所述第一哈希值对所述第一设备进行认证测试,包括以下认证项目,并仅在所有认证项目均成功时,获得所述第一设备认证成功的认证结果:
计算得到所述认证请求消息中包括的所述认证请求信息的第三哈希值,根据所述第三哈希值是否与所述第一哈希值一致,获得哈希值认证是否成功的认证结果。
此外,根据本发明的至少一个实施例,所述认证请求交易还包括生成所述认证请求交易时的第一时间戳,所述认证请求信息包括随机数和所述第一设备的设备识别信息;所述认证项目还包括以下至少一项:
计算所述认证请求消息的接收时间戳与所述第一时间戳的第一间隔,根据所述第一间隔是否小于预设第一阈值,获得超时认证是否成功的测试结果;
根据所述认证请求信息中的设备识别信息是否与所述认证请求消息的发送设备相匹配,获得设备合法性认证是否成功的测试结果;
查询所述第一设备频道上的历史交易记录,根据所述历史交易记录的数量是否大于预设数量,获得设备可靠性认证是否成功的测试结果。
根据本发明的另一方面,至少一个实施例提供了一种服务接入控制的方法,包括:
第一设备向第二设备请求服务列表,并从所述第二设备提供的所述服务列表中选择目标服务;
所述第一设备生成服务请求信息,所述服务请求信息包括所述目标服务和服务接入令牌;
所述第一设备生成服务请求交易,将所述服务请求交易发送到第一设备频道,所述服务请求交易包括所述服务请求信息的第二哈希值,所述第一设备频道建立在分布式账本上;
所述第一设备生成包括所述服务请求信息的服务请求消息,并利用所述第一设备的私钥对所述服务请求消息进行数字签名后发送至第二设备;
所述第一设备接收所述第二设备返回的服务应答消息,所述服务应答消息用于指示服务请求是否通过。
此外,根据本发明的至少一个实施例,所述服务请求交易还包括生成所述服务请求交易时的第二时间戳。
根据本发明的另一方面,至少一个实施例提供了一种服务接入控制的方法,包括:
第二设备接收第一设备发送的服务列表请求消息,并向所述第一设备提供服务列表;
所述第二设备接收所述第一设备发送的服务请求消息,所述服务请求消息包括服务请求信息;所述服务请求信息包括目标服务和服务接入令牌;
所述第二设备在所述第一设备的认证状态为认证成功时,利用所述第一设备的公钥,验证所述服务请求消息的数字签名,在数字签名验证成功后,根据预先获得的第一设备频道的设备频道信息,在所述第一设备频道上读取服务请求交易,所述服务请求交易至少包括所述服务请求信息的第二哈希值,所述第一设备频道建立在分布式账本上;
所述第二设备至少根据服务请求信息和所述第二哈希值进行服务请求测试,获得服务请求是否通过的服务请求测试结果;
根据所述服务请求测试结果,向所述第一设备发送用于指示服务请求是否通过的服务应答消息。
此外,根据本发明的至少一个实施例,所述至少根据服务请求信息和所述第二哈希值进行服务请求测试,包括以下测试项目,并仅在所有测试项目均通过时,获得所述服务请求通过的服务测试结果:
计算得到所述服务请求消息中包括的所述服务请求信息的第四哈希值,根据所述第四哈希值与所述第二哈希值是否一致,获得哈希值测试是否通过的测试结果;
根据所述服务接入令牌是否为有效令牌,获得令牌测试是否通过的测试结果。
此外,根据本发明的至少一个实施例,所述服务请求交易还包括生成所述服务请求交易时的第二时间戳;所述测试项目还包括:
计算所述服务请求消息的接收时间戳与所述第二时间戳的第二间隔,根据所述第二间隔是否小于预设第二阈值时,获得超时测试是否通过的测试结果。
此外,根据本发明的至少一个实施例,在所述服务请求测试结果为服务请求通过时,所述方法还包括:
将所述第一设备加入至所述第二设备的服务接入成员列表;
生成服务接入成员列表更新交易,所述服务接入成员列表更新交易包括所述第一设备以及所述目标服务;
将经加密密钥加密后的所述服务接入成员列表更新交易发送至所述第二设备的服务频道,以及,将所述加密密钥分享给所述第二设备的合作设备,其中,所述服务频道建立在分布式账本上,用于向所述第二设备的合作设备提供服务接入成员列表,以使所述合作设备向所述服务接入成员列表中的成员提供服务。
根据本发明的另一方面,至少一个实施例提供了一种第一设备,包括:
第一信息生成单元,用于第一设备生成认证请求信息;
第一交易生成单元,用于生成认证请求交易,将所述认证请求交易发送至第一设备频道,所述认证请求交易包括所述第一设备的公钥和所述认证请求信息的第一哈希值,所述第一设备频道建立在分布式账本上;
第一消息发送单元,用于生成包括有所述认证请求信息和所述第一设备频道的设备频道信息的认证请求消息,并利用所述第一设备的私钥对所述认证请求消息进行数字签名后发送至第二设备;
第一消息接收单元,用于接收所述第二设备返回的认证应答消息,所述认证应答消息用于指示第一设备认证是否成功。
此外,根据本发明的至少一个实施例,所述第一设备还包括:
密钥更新单元,用于更新所述第一设备的公钥和私钥;
第三交易生成单元,还用于生成密钥撤销交易,所述密钥撤销交易包括更新后的公钥;将所述密钥撤销交易发送到所述第一设备频道,更新所述第一设备的公钥。
根据本发明的另一方面,至少一个实施例提供了一种第二设备,包括:
第一消息接收单元,用于接收第一设备发送的认证请求消息,所述认证请求消息包括有认证请求信息和第一设备频道的设备频道信息,所述第一设备频道建立在分布式账本上;
第一交易获取单元,用于根据所述第一设备频道的设备频道信息,在第一设备频道上读取认证请求交易,所述认证请求交易包括有所述第一设备的公钥和所述认证请求信息的第一哈希值;
认证处理单元,用于利用所述第一设备的公钥,验证所述认证请求消息的数字签名,在数字签名验证成功后,至少根据所述第一哈希值对所述第一设备进行认证测试,并获得认证结果;
第一消息发送单元,用于根据所述认证结果,记录所述第一设备的认证状态,并向所述第一设备发送用于指示认证是否成功的认证应答消息。
根据本发明的另一方面,至少一个实施例提供了一种第一设备,包括:
服务选择单元,用于向所述第二设备请求服务列表,并从所述第二设备提供的所述服务列表中选择目标服务;
第二信息生成单元,用于生成服务请求信息,所述服务请求信息包括所述目标服务和服务接入令牌;
第二交易生成单元,用于生成服务请求交易,将所述服务请求交易发送到所述第一设备频道,所述服务请求交易包括所述服务请求信息的第二哈希值;
第二消息发送单元,用于生成包括所述服务请求信息的服务请求消息,并利用所述第一设备的私钥对所述服务请求消息进行数字签名后发送至第二设备;
第二消息接收单元,用于接收所述第二设备返回的服务应答消息,所述服务应答消息用于指示服务请求是否通过。
根据本发明的另一方面,至少一个实施例提供了一种第二设备,包括:
第二消息接收单元,用于接收所述第一设备发送的服务列表请求消息,并向所述第一设备提供服务列表;以及接收所述第一设备发送的服务请求消息,所述服务请求消息包括服务请求信息;所述服务请求信息包括目标服务和服务接入令牌;
第二交易获取单元,用于在所述第一设备的认证状态为认证成功时,利用所述第一设备的公钥,验证所述服务请求消息的数字签名,在数字签名验证成功后,根据预先获得的第一设备频道的设备频道信息,在所述第一设备频道上读取服务请求交易,所述服务请求交易至少包括所述服务请求信息的第二哈希值,所述第一设备频道建立在分布式账本上;
服务请求测试单元,用于至少根据服务请求信息和所述第二哈希值进行服务请求测试,获得服务请求是否通过的服务请求测试结果;
第二消息发送单元,用于根据所述服务请求测试结果,向所述第一设备发送用于指示服务请求是否通过的服务应答消息。
此外,根据本发明的至少一个实施例,所述第二设备还包括:
成员列表更新单元,用于在所述服务请求测试结果为服务请求通过时,将所述第一设备加入至所述第二设备的服务接入成员列表;
成员列表交易生成单元,用于生成服务接入成员列表更新交易,所述服务接入成员列表更新交易包括所述第一设备以及所述目标服务;将经加密密钥加密后的所述服务接入成员列表更新交易发送至所述第二设备的服务频道,以及,将所述加密密钥分享给所述第二设备的合作设备,其中,所述服务频道建立在分布式账本上,用于向所述第二设备的合作设备提供服务接入成员列表,以使所述合作设备向所述服务接入成员列表中的成员提供服务。
根据本发明的另一方面,至少一个实施例提供了一种设备,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如上所述的方法的步骤。
根据本发明的另一方面,至少一个实施例提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的方法的步骤。
与现有技术相比,本发明实施例提供的设备认证的方法、服务接入控制的方法、设备及存储介质,可以降低认证***的部署成本,且不存在认证中心作为瓶颈限制***效率的问题。另外,本发明实施例不需要第三方认证中心对认证请求设备进行实名验证,这也降低了认证***的部署开销,另外,本发明实施例还支持匿名认证,提高了认证的私密性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例的描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例的设备认证的方法的一种流程示意图;
图2为本发明实施例的设备认证的方法的另一种流程示意图;
图3为本发明实施例的设备认证的方法的一个示例图;
图4为本发明实施例的设备认证的方法的交互过程的示例图;
图5为本发明实施例的服务接入控制的方法的一种流程示意图;
图6为本发明实施例的服务接入控制的方法的另一种流程示意图;
图7为本发明实施例提供的服务接入控制的交互过程的示例图;
图8为本发明实施例提供的第一设备的一种结构示意图;
图9为本发明实施例提供的第二设备的一种结构示意图;
图10为本发明实施例提供的第一设备的另一结构示意图;
图11为本发明实施例提供的第二设备的另一结构示意图;
图12为本发明实施例提供的第一设备或第二设备的一种硬件结构示意图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。在下面的描述中,提供诸如具体的配置和组件的特定细节仅仅是为了帮助全面理解本发明的实施例。因此,本领域技术人员应该清楚,可以对这里描述的实施例进行各种改变和修改而不脱离本发明的范围和精神。另外,为了清楚和简洁,省略了对已知功能和构造的描述。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本发明的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。
在本发明的各种实施例中,应理解,下述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
如背景技术中所述,在包括有大量设备的IOT***采用现有认证方案存在效率瓶颈或较高的部署成本问题,本发明提出了一种匿名的基于分布式账本的认证方法,不依赖第三方服务器,不需要额外的安全信道的硬件开销,可以降低认证成本,特别适用于包括有大量设备的***,如IOT***。
图1提供了本发明实施例提供的设备认证的方法在应用于第一设备时的流程示意图。这里,所述第一设备为认证请求设备,所述第一设备向第二设备发起认证请求,由所述第二设备对第一设备进行认证。需要说明的是,本发明实施例的认证请求的方案,也可以应用于第一设备对第二设备的认证,其流程类似。也就是说,参照图1所示的认证流程,本发明实施例可以实现第一设备和第二设备之间的双向认证。
请参照图1,本发明实施例提供的设备认证的方法,包括:
步骤11,第一设备生成认证请求信息。
这里,认证请求信息通常包括有挑战信息,所述挑战信息具体可以是一随机生成的随机数。根据本发明的至少一个实施例,所述认证请求信息还可以包括生成所述认证请求信息时的时间戳以及所述第一设备的设备识别信息,具体的,所述设备识别信息可以是设备的设备标识(ID)、MAC地址、IP地址、设备品牌和设备类型中的至少一项。
步骤12,所述第一设备生成认证请求交易,将所述认证请求交易发送至第一设备频道,所述认证请求交易包括所述第一设备的公钥和所述认证请求信息的第一哈希值,所述第一设备频道建立在分布式账本上。
这里,所述第一设备生成的认证请求交易包括有:所述第一设备的非对称密钥中的公钥和所述认证请求信息的第一哈希值。所述第一设备将认证请求交易发送给所述第一设备的第一设备频道。
根据本发明的至少一个实施例,第一设备在分布式账本上建立有第一设备频道,所述第一设备频道用于记录第一设备的相关交易的信息,所述相关交易包括认证请求交易,还可以包括下文中的密钥撤销交易和服务请求交易等。
例如,在所述分布式账本为区块链时,第一设备频道上所有交易由建立频道的第一设备的区块链账户产生,第一设备按照区块链的交易产生方式生成交易,并在交易中包含频道指针,第一设备频道的第一个交易的频道指针为空,其它交易的频道指针为该第一设备频道上前一个交易的哈希值。
又例如,在所述分布式账本为埃欧塔(IOTA)时,该第一设备频道可以是IOTA协议的掩码认证消息频道(Masked authenticated message channel),第一设备按照掩码认证消息频道指定的方式生成交易。
另外,需要说明的是,第一设备可以是分布式账本中的节点,也可以不是分布式账本中的节点,即第一设备可能具有向分布式账本写入交易的记账模块,也可能没有所述记账模块。在按照上述设备频道各自的方式生成交易后,如果第一设备包含有所述记账模块,则通过所述记账模块对交易执行写入账本所需的操作,从而将所述认证请求交易发送至第一设备频道;如果设备不包含所述记账模块,则第一设备可以将相关交易发送给公共记账节点,由公共记账节点将交易发送到设备频道。具体的,如果分布式账本为区块链,则公共记账节点可以为区块链矿工节点;如果分布式账本为IOTA,则公共记账节点可以为IOTA公共节点。
步骤13,所述第一设备生成包括有所述认证请求信息和所述第一设备频道的设备频道信息的认证请求消息,并利用所述第一设备的私钥对所述认证请求消息进行数字签名后发送至第二设备。
这里,第一设备在将所述认证请求交易发送至第一设备频道后,获取第一设备频道的设备频道信息。例如,在所述分布式账本为区块链时,所述设备频道信息包括第一设备的区块链账户地址和所述第一设备频道上最后一个交易的哈希值。又例如,在所述分布式账本为IOTA时,所述设备频道信息包括掩码认证消息频道的标识(ID)和所述掩码认证消息频道上的首个交易的地址。然后,第一设备向第二设备发送经私钥签名后的认证请求消息,其中,该认证请求消息包括有所述认证请求信息和所述第一设备频道的设备频道信息,用以供第二设备根据所述第一设备频道的设备频道信息获取认证请求交易,并根据获取的认证请求交易以及所述认证请求信息对第一设备进行认证。
另外,根据本发明的至少一个实施例,在上述步骤11中,第一设备可以生成包括有所述认证请求信息的认证请求消息,然后,在步骤13中,在该认证请求消息中增加所述第一设备频道的设备频道信息,然后再并利用所述第一设备的私钥对所述认证请求消息进行数字签名后发送至第二设备。
步骤14,所述第一设备接收所述第二设备返回的认证应答消息,所述认证应答消息用于指示第一设备认证是否成功。
这里,第二设备根据所述认证请求消息完成对第一设备的认证后,向第一设备返回用于指示认证是否成功的认证应答消息。
通过以上步骤,第一设备实现了与第二设备的认证握手过程,实现了一种不依赖于第三方服务器或安全信道的认证过程,其实现成本低,能够适用于包括有大量终端设备的***(如IOT***)。
另外,为提供密钥安全性,根据本发明的至少一个实施例,第一设备可以周期性或非周期的更新所述第一设备的非对称密钥(包括公钥和私钥),并在更新后生成密钥撤销交易,所述密钥撤销交易包括更新后的公钥;然后,所述第一设备将所述密钥撤销交易发送到所述第一设备频道,从而更新所述第一设备的公钥。
接下来提供上述认证过程中第二设备侧的流程,请参照图2,包括:
步骤21,第二设备接收第一设备发送的认证请求消息,所述认证请求消息包括有认证请求信息和第一设备频道的设备频道信息,所述第一设备频道建立在分布式账本上。
这里,所述认证请求消息中的认证请求信息,可以包括作为挑战信息的随机数,还可以包括生成所述认证请求信息时的时间戳和所述第一设备的设备识别信息,所述设备识别信息具体包括设备标识、MAC地址、IP地址、设备品牌和设备类型中的至少一项。
步骤22,所述第二设备根据所述第一设备频道的设备频道信息,在第一设备频道上读取认证请求交易,所述认证请求交易包括有所述第一设备的公钥和所述认证请求信息的第一哈希值。
这里,第二设备接收到认证请求消息后,可以在该认证请求消息指定的第一设备的设备频道上查找并读取认证请求交易,所述认证请求交易包括所述第一设备的公钥和所述认证请求信息的第一哈希值。
步骤23,所述第二设备利用所述第一设备的公钥,验证所述认证请求消息的数字签名,在数字签名验证成功后,至少根据所述第一哈希值对所述第一设备进行认证测试,并获得认证结果。
这里,上述步骤23中,首先利用公钥进行数字签名认证,在签名认证成功后,进一步对所述第一设备进行认证测试,具体可以包括以下认证项目,并仅在所有认证项目均成功时,获得所述第一设备认证成功的认证结果:
(1)计算得到所述认证请求消息中包括的所述认证请求信息的第三哈希值,根据所述第三哈希值是否与所述第一哈希值一致,获得哈希值认证是否成功的认证结果。
步骤24,根据所述认证结果,记录所述第一设备的认证状态,并向所述第一设备发送用于指示认证是否成功的认证应答消息。
这里,第二设备可以在第一设备认证成功后,在本地记录第一设备状态为已认证,并向第一设备返回上述认证应答消息,以指示认证结果。
根据本发明的至少一个实施例,在所述第一设备认证成功后,第二设备可以建立第一设备的公钥和第一设备频道的设备频道信息(如分布式账本账户)之间的第一绑定关系,以用于后续为两个设备提供安全服务。
根据本发明的至少一个实施例,在所述第一设备认证成功后,第二设备可以建立第一设备的公钥、第一设备频道的设备频道信息(如分布式账本账户)和设备识别信息之间的第二绑定关系,以用于后续为两个设备提供安全服务。
通过以上步骤,本发明实施例实现了第二设备对第一设备的认证过程,简化了认证过程中的握手流程,并且可以降低认证实现的成本。由于认证过程中不需要第三方认证中心管理或协调设备参与,因此降低了认证***的部署开销,并且不存在认证中心作为瓶颈限制***效率的问题,提高了认证效率。另外,本发明实施例还可以根据分布式账本上设备频道的历史交易记录,实现了认证请求设备的可靠性的判断,通常设备频道的历史交易记录越多,设备可靠性越高。另外,本发明实施例不需要第三方认证中心对认证请求设备进行实名验证,这也降低了认证***的部署开销,另外,本发明实施例的上述方法还可以支持匿名认证,提高了认证的私密性。
根据本发明的至少一个实施例,所述认证请求交易可以包括第一设备生成所述认证请求交易时的第一时间戳,所述认证请求信息可以包括随机数和所述第一设备的设备识别信息。此时,上述步骤23中的所述认证项目还包括以下至少一项:
(2)计算所述认证请求消息的接收时间戳与所述第一时间戳的第一间隔,根据所述第一间隔是否小于预设第一阈值,获得超时认证是否成功的测试结果;
(3)根据所述认证请求信息中的设备识别信息是否与所述认证请求消息的发送设备相匹配,获得设备合法性认证是否成功的测试结果;
(4)查询所述第一设备频道上的历史交易记录,根据所述历史交易记录的数量是否大于预设数量,获得设备可靠性认证是否成功的测试结果。
在所有需要认证的认证项目均认证成功后,获得第一设备认证成功的认证结果;在任一认证项目认证失败时,即可结束认证,不再执行其他认证项目,并获得第一设备认证失败的认证结果。
另外,需要说明的是,以上认证项目的认证过程中,可以按照预设设定的顺序进行,本发明实施例对此不做具体限定。
通过以上步骤,介绍了本发明实施例的设备认证的流程。以上流程实现了第二设备对第一设备的认证。类似的,参考上述流程,同样可以实现第一设备对第二设备的认证,此时仅需要将上述流程中的第一设备和第二设备的角色互换即可,为节约篇幅,本文不再赘述。
下面请参照图3和图4,对上文中的设备认证的方法中的交互过程进行说明。图3~4中的认证请求设备可以是上文中的第一设备和第二设备中的一个设备,认证应答设备则可以是上文中的第一设备和第二设备中的另一个设备。
具体的,图3示出了根据本发明至少一个实施例的设备认证方法的一个示例,认证请求设备在分布式账本上建立设备频道,并向设备频道写入认证请求交易,具体包括公钥、设备识别信息和随机挑战信息,所述设备识别信息可以包括设备标识、MAC地址、IP地址、设备品牌和设备类型中的至少一项,所述随机挑战信息可以包括随机数,还可以包括时间戳等。认证应答设备读取认证请求设备的设备频道,验证随机挑战信息和设备识别信息,与认证请求设备交换消息完成认证握手流程。完成认证握手流程后,建立认证请求设备的公钥、认证请求设备的分布式账本账户和认证请求设备的设备识别信息三者之间绑定关系,从而为两个设备提供后续的安全服务。
图4为本发明实施例的基于分布式账本的设备认证的方法的交互过程的一个示例。图4中,认证请求设备在分布式账本建立认证请求设备频道,向认证请求设备频道发送认证请求交易,另外还向认证应答设备发送请求认证消息。认证应答设备收到请求认证消息,读取认证请求设备频道,并进行认证测试。然后向认证请求设备发送认证应答消息包含认证结果。
为了帮助更好的理解本发明实施例的上述认证流程,下面将通过一个具体示例进行详细说明。
在该示例中,每个设备可以在分布式账本建立该设备的设备频道,设备频道上的交易公开,可以被其它设备读取。
具体的,分布式账本可以是区块链,设备在区块链上建立一个区块链账户地址,设备频道上的所有交易从设备的区块链账户地址发送,并且每个交易包含设备频道上前一个交易的哈希值。设备频道的第一个交易包含的前一个交易的哈希值为空。设备频道信息包括该设备的区块链账户地址和当前设备频道上最后一个交易的哈希值。
分布式账本也可以是IOTA,设备频道是掩码认证消息(MAM)频道。设备随机产生一个根密钥,根据IOTA协议规则用根密钥生成一个交易地址序列,每个交易包含当前交易的地址和MAM频道上的下一个交易的地址。设备频道信息包括MAM频道上第一个交易的地址。
每个设备可以按照现有技术生成一个非对称密钥对(包括一个公钥和一个私钥),私钥安全地保存在本地。设备在认证握手流程中,将公钥包含在认证请求交易中发送到分布式账本上的设备频道。另外,设备还可以定期更新非对称密钥对,并发送交易到设备频道撤销更新前的公钥。
每次认证握手流程中,请求设备产生认证请求消息,包括认证请求信息。其中认证请求信息包括一个随机数作为挑战信息,时间戳,设备ID、MAC地址、IP地址、设备品牌、设备类型等其它可以识别设备的信息。请求设备生成一个认证请求交易,包括时间戳、公钥和上述认证请求信息的哈希值,发送认证请求交易到分布式账本上的设备频道。完成认证请求交易的发送后,将设备频道信息写入认证请求消息,并利用私钥对认证请求消息做数字签名,发送请求认证消息给认证应答设备。
认证应答设备收到认证请求消息,根据消息包含的设备信道信息查找分布式账本,读取认证请求交易,获取并存储认证请求交易包含的认证请求设备的公钥,利用该公钥检查认证请求消息的数字签名。如果数字签名有效,则进一步对认证请求消息做认证,包括但不限于以下认证项目:
A)计算本地时间和认证请求交易包含的时间戳之间的时间间隔,如果时间间隔大于指定超时阈值,则该认证项目的认证结果是超时,第一设备的认证失败;否则继续认证下一认证项目;
B)计算认证请求消息包含的认证请求信息的哈希值,并与认证请求交易中包含的认证请求信息的哈希值进行比较,如果不一致,则该认证项目的认证结果是哈希值错误,第一设备的认证失败;否则继续认证下一认证项目;
C)将认证请求信息包含的设备信息与认证请求消息的发送源设备信息进行对比,包括设备ID、MAC地址、IP地址、品牌、设备类型等,如果信息不一致,则该认证项目的认证结果是非法设备,第一设备的认证失败;否则继续认证下一认证项目;
D)查询请求设备的设备信道上的历史交易,如果历史交易数量少于指定阈值,则该认证项目的认证结果是不可靠设备,第一设备的认证失败;
如果以上认证都成功,则认证结果为第一设备的认证成功。认证应答设备记录认证请求设备的状态为已认证。后续,认证应答设备可以发送认证应答消息给认证请求设备,包含第一设备的认证结果。认证请求设备收到认证应答消息,如果包含的认证结果为第一设备认证成功,则确定本次认证成功。
从以上示例可以看出,本发明实施例不依赖可信第三方服务器或安全信道,可以实现设备认证和服务接入控制流程。在本发明实施例的认证方法中,设备通过分布式账本完成认证和挑战握手,认证请求设备发送认证请求消息给对端设备,并且发送认证请求交易到分布式账本上的设备频道,包括认证信息和挑战信息。对端设备在分布式账本上查询读取认证交易,将交易信息与收到的认证信息和挑战信息对比,从而完成验证。本发明实施例中,在分布式账本上建立认证请求设备的设备频道,并记录认证历史交易,认证历史交易可以作为信用值,评估设备的可靠性,从而可以不依赖可信第三方或额外硬件提供的安全信道,实现对设备的认证。
接下来介绍本发明实施例的服务接入控制的方法。
请参照图5~6,分别提供了本发明实施例的服务接入控制的方法应用于第一设备和第二设备侧的流程。需要说明的是,图5~6的流程,可以是在第二设备完成对第一设备的单向认证后执行的,也可以是第一设备和第二设备完成双方的相互认证后执行的。另外,图5~6的流程之前,还可以未经过图1~2的认证流程,而是采用现有技术的其他认证方式或者是第一设备和第二设备之间未进行设备认证,本发明实施例对此不做具体限定。
请参照图5,本发明实施例的服务接入控制的方法在应用于第一设备侧时,包括:
步骤51,第一设备向第二设备请求服务列表,并从所述第二设备提供的所述服务列表中选择目标服务。
这里,所述第一设备在接收到第二设备返回的服务列表后,可以从该服务列表中选择所需要的目标服务。
步骤52,所述第一设备生成服务请求信息,所述服务请求信息包括所述目标服务和服务接入令牌。
这里,所述服务接入令牌可以是分布式账本记录并确认的从第一设备到第二设备的支付交易,或分布式账本以外的其它数字支付收据,本发明实施例对此不做具体限定。
步骤53,所述第一设备生成服务请求交易,将所述服务请求交易发送到第一设备频道,所述服务请求交易包括所述服务请求信息的第二哈希值,所述第一设备频道建立在分布式账本上。
这里,所述服务请求交易还可以包括生成所述服务请求交易时的第二时间戳,以用于第二设备对服务请求进行测试。
步骤54,所述第一设备生成包括所述服务请求信息的服务请求消息,并利用所述第一设备的私钥对所述服务请求消息进行数字签名后发送至第二设备。
步骤55,所述第一设备接收所述第二设备返回的服务应答消息,所述服务应答消息用于指示服务请求是否通过。
这里,所述第一设备接收服务应答消息,如果该服务应答消息指示服务请求通过,则第一设备可以开始接入第二设备提供的所述目标服务。
请参照图6,本发明实施例的服务接入控制的方法在应用于第二设备侧时,包括:
步骤61,第二设备接收第一设备发送的服务列表请求消息,并向所述第一设备提供服务列表。
步骤62,所述第二设备接收所述第一设备发送的服务请求消息,所述服务请求消息包括服务请求信息;所述服务请求信息包括目标服务和服务接入令牌。
步骤63,所述第二设备在所述第一设备的认证状态为认证成功时,利用所述第一设备的公钥,验证所述服务请求消息的数字签名,在数字签名验证成功后,根据预先获得的第一设备频道的设备频道信息,在所述第一设备频道上读取服务请求交易,所述服务请求交易至少包括所述服务请求信息的第二哈希值,所述第一设备频道建立在分布式账本上。
这里,第一设备频道的设备频道信息,可以是在图2所示的流程中获取并存储在第二设备本地的,也可以是通过其他方式提供给第二设备的,如预先配置在第二设备侧的,本发明实施例对此不做具体限定。
这里,上述步骤63中,所述服务请求测试可以包括以下测试项目,并仅在所有测试项目均通过时,获得所述服务请求通过的服务测试结果:
(1)计算得到所述服务请求消息中包括的所述服务请求信息的第四哈希值,根据所述第四哈希值与所述第二哈希值是否一致,获得哈希值测试是否通过的测试结果;
(2)根据所述服务接入令牌是否为有效令牌,获得令牌测试是否通过的测试结果。
步骤64,所述第二设备至少根据服务请求信息和所述第二哈希值进行服务请求测试,获得服务请求是否通过的服务请求测试结果。
步骤65,根据所述服务请求测试结果,向所述第一设备发送用于指示服务请求是否通过的服务应答消息。
通过以上步骤,本发明实施例可以实现服务接入控制的过程,在上述过程中不需要第三方认证中心对认证请求设备进行实名验证,可以降低认证***的部署开销,提高接入服务控制的效率,另外,本发明实施例还可以支持匿名认证,提高了服务接入控制的私密性。
根据本发明的至少一个实施例,所述服务请求交易还可以包括生成所述服务请求交易时的第二时间戳;所述测试项目还包括:
(3)计算所述服务请求消息的接收时间戳与所述第二时间戳的第二间隔,根据所述第二间隔是否小于预设第二阈值时,获得超时测试是否通过的测试结果。
在所有需要测试的测试项目均测试通过后,获得所述服务请求通过的服务测试结果;在任一测试项目认证失败时,即可结束测试,不再执行其他测试项目,并获得所述服务请求未通过的服务测试结果。
另外,需要说明的是,以上测试项目的测试过程中,可以按照预设设定的顺序进行,本发明实施例对此不做具体限定。
根据本发明的至少一个实施例,在所述服务请求测试结果为服务请求通过时,所述第二设备还可以将所述第一设备加入至所述第二设备的服务接入成员列表;然后,生成服务接入成员列表更新交易,所述服务接入成员列表更新交易包括所述第一设备以及所述目标服务;利用加密密钥(对称密钥)对所述服务接入成员列表更新交易进行加密,然后,将经加密密钥加密后的所述服务接入成员列表更新交易发送至所述第二设备的服务频道;另外,第二设备还可以将所述加密密钥分享给所述第二设备的合作设备。这里,所述服务频道建立在分布式账本上,用于向所述第二设备的合作设备提供服务接入成员列表,以使所述合作设备向所述服务接入成员列表中的成员提供服务。
根据本发明的至少一个实施例,所述服务频道上的交易可以采用对称密钥进行加密。如果服务频道的建立设备(如第一设备)与其它设备(下文称之为合作设备)合作提供服务,该建立设备可以发送对称密钥给合作设备,以分享服务接入成员列表。合作设备可以利用该对称密钥,读取该建立设备上的服务接入成员列表,并与服务接入成员列表包含的成员设备完成相互认证后,可以为该成员设备提供服务。
图7示出了本发明实施例提供的基于分布式账本的服务接入控制的一种交互过程的示例,应用在服务请求设备与服务提供设备之间。图7中的服务请求设备可以是上文中的第一设备和第二设备中的一个设备,服务提供设备则可以是上文中的第一设备和第二设备中的另一个设备。
如图7所示,服务请求设备向服务提供设备发送服务列表请求消息获得服务列表,选择所需的目标服务,发送服务请求交易到服务请求设备频道,以及,发送服务请求消息给服务提供设备;服务提供设备收到服务请求消息,在服务请求设备的服务请求设备频道读取服务请求交易,执行服务请求测试,如果测试通过,则将服务请求设备加入服务接入成员列表,从而更新服务接入成员列表,生成服务接入成员列表更新交易,并利用加密密钥加密后发送到服务频道,以及,将加密密钥分享给共同为所述服务请求设备提供服务的合作设备。另外,服务提供设备还发送包括有服务测试结果的服务应答消息给服务请求设备。
根据本发明的至少一个实施例,在图7所示的流程中,每个设备可以在分布式账本建立该设备的设备频道,设备频道上的交易公开,可以被其它设备读取。
为了帮助更好的理解本发明实施例的上述服务接入控制流程,下面将通过一个具体示例进行详细说明。
在该示例中,服务提供设备在分布式账本另外建立一个服务频道,在区块链或IOTA协议中,服务频道建立方式与前文的设备频道的建立方式相同。服务提供设备可以采用服务频道密钥对发送到服务频道上的交易进行对称加密。发送到服务频道的交易包含服务接入成员列表更新交易,服务接入成员列表包含可以在指定时间范围内合法接入服务的用户设备。服务提供设备可以将服务频道的加密密钥与其它服务提供设备共享,其它服务提供设备可以利用服务频道密钥读取服务接入成员列表,并与建立服务频道的设备合作,为服务接入成员列表中的用户设备提供服务。
在服务请求设备与服务提供设备完成相互认证后,服务请求设备可以获取服务提供设备提供的服务列表,并选择所需服务,生成包含服务请求信息的服务请求消息。服务请求信息具体包含所需服务和服务接入令牌。服务请求设备生成服务请求交易,包含时间戳和服务请求信息的哈希值,发送服务请求交易到服务请求设备的设备频道。接着服务请求设备利用私钥对服务请求消息进行数字签名,然后发送给服务提供设备。
这里,服务接入令牌可以是在分布式账本上的从服务请求设备到服务提供设备的一笔支付交易,例如区块链的比特币支付交易,或IOTA的MIOTA支付交易。服务接入令牌也可以是其它数字支付渠道的收据或支付凭证。
服务提供设备收到服务请求消息后,首先检查该服务请求消息的源设备的状态是否为已认证:如果未认证,则丢弃该服务请求消息;如果已认证,则利用存储的该源设备公钥,验证该服务请求消息的数字签名,如果签名有效则继续进行服务请求测试。服务提供设备查询服务请求设备的设备频道,读取服务请求交易,并执行以下测试项目:
A)计算本地时间和服务请求交易包含时间戳之间的时间间隔,如果时间间隔大于指定的某个超时阈值,则该测试项目的测试结果是超时,服务请求未通过;否则继续测试下一测试项目;
B)计算服务请求消息包含的服务请求信息的哈希值,如果与服务请求交易包含的服务请求信息哈希值不一致,则该测试项目的测试结果是哈希值错误,服务请求未通过;否则继续测试下一测试项目;
C)验证服务请求令牌有效性,如果无效则服务测试结果是无效令牌;否则,服务请求通过,此时,将服务请求设备加入服务接入成员列表,生成服务接入成员列表更新交易,该交易包括有所述服务请求设备的设备信息;利用加密密钥对所述服务接入成员列表更新交易加密并发送服务接入成员列表更新交易到服务频道,以更新服务接入成员列表,另外,还可以将加密密钥分享给共同为所述服务请求设备提供服务的其他合作设备。
完成服务测试后,服务提供设备发送服务应答消息给服务请求设备,该服务应答消息包含有服务请求的测试结果。
基于以上方法,本发明实施例还提供了实施上述方法的设备。
请参照图8,本发明实施例提供了一种第一设备80,包括:
第一信息生成单元81,用于第一设备生成认证请求信息;
第一交易生成单元82,用于生成认证请求交易,将所述认证请求交易发送至第一设备频道,所述认证请求交易包括所述第一设备的公钥和所述认证请求信息的第一哈希值,所述第一设备频道建立在分布式账本上;
第一消息发送单元83,用于生成包括有所述认证请求信息和所述第一设备频道的设备频道信息的认证请求消息,并利用所述第一设备的私钥对所述认证请求消息进行数字签名后发送至第二设备;
第一消息接收单元84,用于接收所述第二设备返回的认证应答消息,所述认证应答消息用于指示第一设备认证是否成功。
此外,根据本发明的至少一个实施例,所述认证请求交易还包括生成所述认证请求交易时的第一时间戳;所述认证请求信息包括随机数和所述第一设备的设备识别信息,所述设备识别信息包括设备标识、MAC地址、IP地址、设备品牌和设备类型中的至少一项。
此外,根据本发明的至少一个实施例,在所述分布式账本为区块链时,所述设备频道信息包括第一设备的区块链账户地址和所述第一设备频道上最后一个交易的哈希值;在所述分布式账本为IOTA时,所述设备频道信息包括掩码认证消息MAM频道的标识ID和所述MAM频道上的首个交易的地址。
此外,根据本发明的至少一个实施例,所述第一设备还包括以下单元(图8中未示出):
密钥更新单元,用于更新所述第一设备的公钥和私钥;
第三交易生成单元,还用于生成密钥撤销交易,所述密钥撤销交易包括更新后的公钥;将所述密钥撤销交易发送到所述第一设备频道,更新所述第一设备的公钥。
请参照图9,本发明实施例提供了一种第二设备90,包括:
第一消息接收单元91,用于接收第一设备发送的认证请求消息,所述认证请求消息包括有认证请求信息和第一设备频道的设备频道信息,所述第一设备频道建立在分布式账本上;
第一交易获取单元92,用于根据所述第一设备频道的设备频道信息,在第一设备频道上读取认证请求交易,所述认证请求交易包括有所述第一设备的公钥和所述认证请求信息的第一哈希值;
认证处理单元93,用于利用所述第一设备的公钥,验证所述认证请求消息的数字签名,在数字签名验证成功后,至少根据所述第一哈希值对所述第一设备进行认证测试,并获得认证结果;
第一消息发送单元94,用于根据所述认证结果,记录所述第一设备的认证状态,并向所述第一设备发送用于指示认证是否成功的认证应答消息。
此外,根据本发明的至少一个实施例,所述认证处理单元93,还用于在对所述第一设备进行认证测试时,执行以下认证项目,并仅在所有认证项目均成功时,获得所述第一设备认证成功的认证结果:
计算得到所述认证请求消息中包括的所述认证请求信息的第三哈希值,根据所述第三哈希值是否与所述第一哈希值一致,获得哈希值认证是否成功的认证结果。
此外,根据本发明的至少一个实施例,所述认证请求交易还包括生成所述认证请求交易时的第一时间戳,所述认证请求信息包括随机数和所述第一设备的设备识别信息;所述认证项目还包括以下至少一项:
计算所述认证请求消息的接收时间戳与所述第一时间戳的第一间隔,根据所述第一间隔是否小于预设第一阈值,获得超时认证是否成功的测试结果;
根据所述认证请求信息中的设备识别信息是否与所述认证请求消息的发送设备相匹配,获得设备合法性认证是否成功的测试结果;
查询所述第一设备频道上的历史交易记录,根据所述历史交易记录的数量是否大于预设数量,获得设备可靠性认证是否成功的测试结果。
请参照图10,本发明实施例提供了另一种第一设备100,包括:
服务选择单元101,用于向所述第二设备请求服务列表,并从所述第二设备提供的所述服务列表中选择目标服务;
第二信息生成单元102,用于生成服务请求信息,所述服务请求信息包括所述目标服务和服务接入令牌;
第二交易生成单元103,用于生成服务请求交易,将所述服务请求交易发送到所述第一设备频道,所述服务请求交易包括所述服务请求信息的第二哈希值;
第二消息发送单元104,用于生成包括所述服务请求信息的服务请求消息,并利用所述第一设备的私钥对所述服务请求消息进行数字签名后发送至第二设备;
第二消息接收单元105,用于接收所述第二设备返回的服务应答消息,所述服务应答消息用于指示服务请求是否通过。
此外,根据本发明的至少一个实施例,所述服务请求交易还包括生成所述服务请求交易时的第二时间戳。
请参照图11,本发明实施例提供了另一种第二设备110,包括:
第二消息接收单元111,用于接收所述第一设备发送的服务列表请求消息,并向所述第一设备提供服务列表;以及接收所述第一设备发送的服务请求消息,所述服务请求消息包括服务请求信息;所述服务请求信息包括目标服务和服务接入令牌;
第二交易获取单元112,用于在所述第一设备的认证状态为认证成功时,利用所述第一设备的公钥,验证所述服务请求消息的数字签名,在数字签名验证成功后,根据预先获得的第一设备频道的设备频道信息,在所述第一设备频道上读取服务请求交易,所述服务请求交易至少包括所述服务请求信息的第二哈希值,所述第一设备频道建立在分布式账本上;
服务请求测试单元113,用于至少根据服务请求信息和所述第二哈希值进行服务请求测试,获得服务请求是否通过的服务请求测试结果;
第二消息发送单元114,用于根据所述服务请求测试结果,向所述第一设备发送用于指示服务请求是否通过的服务应答消息。
此外,根据本发明的至少一个实施例,所述服务请求测试单元113,还用于在至少根据服务请求信息和所述第二哈希值进行服务请求测试时,执行以下测试项目,并仅在所有测试项目均通过时,获得所述服务请求通过的服务测试结果:
计算得到所述服务请求消息中包括的所述服务请求信息的第四哈希值,根据所述第四哈希值与所述第二哈希值是否一致,获得哈希值测试是否通过的测试结果;
根据所述服务接入令牌是否为有效令牌,获得令牌测试是否通过的测试结果。
此外,根据本发明的至少一个实施例,所述服务请求交易还包括生成所述服务请求交易时的第二时间戳;所述测试项目还包括:
计算所述服务请求消息的接收时间戳与所述第二时间戳的第二间隔,根据所述第二间隔是否小于预设第二阈值时,获得超时测试是否通过的测试结果。
此外,根据本发明的至少一个实施例,所述第二设备还包括以下单元(图11中未示出):
成员列表更新单元,用于在所述服务请求测试结果为服务请求通过时,将所述第一设备加入至所述第二设备的服务接入成员列表;
成员列表交易生成单元,用于生成服务接入成员列表更新交易,所述服务接入成员列表更新交易包括所述第一设备以及所述目标服务;将经加密密钥加密后的所述服务接入成员列表更新交易发送至所述第二设备的服务频道,以及,将所述加密密钥分享给所述第二设备的合作设备,其中,所述服务频道建立在分布式账本上,用于向所述第二设备的合作设备提供服务接入成员列表,以使所述合作设备向所述服务接入成员列表中的成员提供服务。
请参考图12,本发明实施例的第一设备或第二设备的一种硬件结构框图,如图12所示,该第一设备或第二设备1200包括:处理器1202和存储器1204,在所述存储器1204中存储有计算机程序指令。
进一步地,如图12所示,该第一设备或第二设备1200还可以包括网络接口1201、输入设备1203、硬盘1205、和显示设备1206。
上述各个接口和设备之间可以通过总线架构互连。总线架构可以是包括任意数量的互联的总线和桥。具体由处理器1202代表的一个或者多个中央处理器(CPU),以及由存储器1204代表的一个或者多个存储器的各种电路连接在一起。总线架构还可以将诸如***设备、稳压器和功率管理电路等之类的各种其它电路连接在一起。可以理解,总线架构用于实现这些组件之间的连接通信。总线架构除包括数据总线之外,还包括电源总线、控制总线和状态信号总线,这些都是本领域所公知的,因此本文不再对其进行详细描述。
所述网络接口1201,可以连接至网络(如因特网、局域网等),从网络中收集资料,并可以将收集到的资料保存在硬盘1205中。
所述输入设备1203,可以接收操作人员输入的各种指令,并发送给处理器1202以供执行。所述输入设备1203可以包括键盘或者点击设备(例如,鼠标,轨迹球(trackball)、触感板或者触摸屏等)。
所述显示设备1206,可以将处理器1202执行指令获得的结果进行显示。
所述存储器1204,用于存储操作***运行所必须的程序和数据,以及处理器1202计算过程中的中间结果等数据。
可以理解,本发明实施例中的存储器1204可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM)、可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)或闪存。易失性存储器可以是随机存取存储器(RAM),其用作外部高速缓存。本文描述的装置和方法的存储器1204旨在包括但不限于这些和任意其它适合类型的存储器。
在一些实施方式中,存储器1204存储了如下的元素,可执行模块或者数据结构,或者他们的子集,或者他们的扩展集:操作***12041和应用程序12042。
其中,操作***12041,包含各种***程序,例如框架层、核心库层、驱动层等,用于实现各种基础业务以及处理基于硬件的任务。应用程序12042,包含各种应用程序,例如浏览器(Browser)等,用于实现各种应用业务。实现本发明实施例方法的程序可以包含在应用程序12042中。
本发明上述实施例揭示的方法可以应用于处理器1202中,或者由处理器1202实现。处理器1202可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器1202中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1202可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1204,处理器1202读取存储器1204中的信息,结合其硬件完成上述方法的步骤。
可以理解的是,本文描述的这些实施例可以用硬件、软件、固件、中间件、微码或其组合来实现。对于硬件实现,处理单元可以实现在一个或多个专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑设备(PLD)、现场可编程门阵列(FPGA)、通用处理器、控制器、微控制器、微处理器、用于执行本申请所述功能的其它电子单元或其组合中。
对于软件实现,可通过执行本文所述功能的模块(例如过程、函数等)来实现本文所述的技术。软件代码可存储在存储器中并通过处理器执行。存储器可以在处理器中或在处理器外部实现。
根据本发明的至少一个实施例,该设备1200可以是图1所示流程中的第一设备。此时,在所述计算机程序指令被所述处理器运行时,使得所述处理器1202执行以下步骤:
生成认证请求信息;
生成认证请求交易,将所述认证请求交易发送至第一设备频道,所述认证请求交易包括所述第一设备的公钥和所述认证请求信息的第一哈希值,所述第一设备频道建立在分布式账本上;
生成包括有所述认证请求信息和所述第一设备频道的设备频道信息的认证请求消息,并利用所述第一设备的私钥对所述认证请求消息进行数字签名后发送至第二设备;
接收所述第二设备返回的认证应答消息,所述认证应答消息用于指示第一设备认证是否成功。
此外,根据本发明的至少一个实施例,所述认证请求交易还包括生成所述认证请求交易时的第一时间戳;所述认证请求信息包括随机数和所述第一设备的设备识别信息,所述设备识别信息包括设备标识、MAC地址、IP地址、设备品牌和设备类型中的至少一项。
此外,根据本发明的至少一个实施例,在所述分布式账本为区块链时,所述设备频道信息包括第一设备的区块链账户地址和所述第一设备频道上最后一个交易的哈希值;在所述分布式账本为埃欧塔(IOTA)时,所述设备频道信息包括掩码认证消息MAM频道的标识ID和所述MAM频道上的首个交易的地址。
此外,根据本发明的至少一个实施例,所述计算机程序被处理器1202执行时还可实现如下步骤:
更新所述第一设备的公钥和私钥;
生成密钥撤销交易,所述密钥撤销交易包括更新后的公钥;
将所述密钥撤销交易发送到所述第一设备频道,更新所述第一设备的公钥。
根据本发明的至少一个实施例,该设备1200还可以是图2所示流程中的第二设备。此时,在所述计算机程序指令被所述处理器运行时,使得所述处理器1202执行以下步骤:
接收第一设备发送的认证请求消息,所述认证请求消息包括有认证请求信息和第一设备频道的设备频道信息,所述第一设备频道建立在分布式账本上;
根据所述第一设备频道的设备频道信息,在第一设备频道上读取认证请求交易,所述认证请求交易包括有所述第一设备的公钥和所述认证请求信息的第一哈希值;
利用所述第一设备的公钥,验证所述认证请求消息的数字签名,在数字签名验证成功后,至少根据所述第一哈希值对所述第一设备进行认证测试,并获得认证结果;
根据所述认证结果,记录所述第一设备的认证状态,并向所述第一设备发送用于指示认证是否成功的认证应答消息。
此外,根据本发明的至少一个实施例,所述计算机程序被处理器1202执行时还可实现如下步骤:在对所述第一设备进行认证测试时,执行以下认证项目,并仅在所有认证项目均成功时,获得所述第一设备认证成功的认证结果:
计算得到所述认证请求消息中包括的所述认证请求信息的第三哈希值,根据所述第三哈希值是否与所述第一哈希值一致,获得哈希值认证是否成功的认证结果。
此外,根据本发明的至少一个实施例,所述认证请求交易还包括生成所述认证请求交易时的第一时间戳,所述认证请求信息包括随机数和所述第一设备的设备识别信息;所述认证项目还包括以下至少一项:
计算所述认证请求消息的接收时间戳与所述第一时间戳的第一间隔,根据所述第一间隔是否小于预设第一阈值,获得超时认证是否成功的测试结果;
根据所述认证请求信息中的设备识别信息是否与所述认证请求消息的发送设备相匹配,获得设备合法性认证是否成功的测试结果;
查询所述第一设备频道上的历史交易记录,根据所述历史交易记录的数量是否大于预设数量,获得设备可靠性认证是否成功的测试结果。
根据本发明的至少一个实施例,该设备1200可以是图5所示流程中的第一设备。此时,在所述计算机程序指令被所述处理器运行时,使得所述处理器1202执行以下步骤:
向第二设备请求服务列表,并从所述第二设备提供的所述服务列表中选择目标服务;
生成服务请求信息,所述服务请求信息包括所述目标服务和服务接入令牌;
生成服务请求交易,将所述服务请求交易发送到第一设备频道,所述服务请求交易包括所述服务请求信息的第二哈希值,所述第一设备频道建立在分布式账本上;
生成包括所述服务请求信息的服务请求消息,并利用所述第一设备的私钥对所述服务请求消息进行数字签名后发送至第二设备;
接收所述第二设备返回的服务应答消息,所述服务应答消息用于指示服务请求是否通过。
此外,根据本发明的至少一个实施例,所述服务请求交易还包括生成所述服务请求交易时的第二时间戳。
根据本发明的至少一个实施例,该设备1200可以是图6所示流程中的第二设备。此时,在所述计算机程序指令被所述处理器运行时,使得所述处理器1202执行以下步骤:
接收第一设备发送的服务列表请求消息,并向所述第一设备提供服务列表;
接收所述第一设备发送的服务请求消息,所述服务请求消息包括服务请求信息;所述服务请求信息包括目标服务和服务接入令牌;
在所述第一设备的认证状态为认证成功时,利用所述第一设备的公钥,验证所述服务请求消息的数字签名,在数字签名验证成功后,根据预先获得的第一设备频道的设备频道信息,在所述第一设备频道上读取服务请求交易,所述服务请求交易至少包括所述服务请求信息的第二哈希值,所述第一设备频道建立在分布式账本上;
至少根据服务请求信息和所述第二哈希值进行服务请求测试,获得服务请求是否通过的服务请求测试结果;
根据所述服务请求测试结果,向所述第一设备发送用于指示服务请求是否通过的服务应答消息。
此外,根据本发明的至少一个实施例,所述计算机程序被处理器1202执行时还可实现如下步骤:在进行服务请求测试,执行以下测试项目,并仅在所有测试项目均通过时,获得所述服务请求通过的服务测试结果:
计算得到所述服务请求消息中包括的所述服务请求信息的第四哈希值,根据所述第四哈希值与所述第二哈希值是否一致,获得哈希值测试是否通过的测试结果;
根据所述服务接入令牌是否为有效令牌,获得令牌测试是否通过的测试结果。
此外,根据本发明的至少一个实施例,所述服务请求交易还包括生成所述服务请求交易时的第二时间戳;所述测试项目还包括:
计算所述服务请求消息的接收时间戳与所述第二时间戳的第二间隔,根据所述第二间隔是否小于预设第二阈值时,获得超时测试是否通过的测试结果。
此外,根据本发明的至少一个实施例,所述计算机程序被处理器1202执行时还可实现如下步骤:
在所述服务请求测试结果为服务请求通过时,将所述第一设备加入至所述第二设备的服务接入成员列表;
生成服务接入成员列表更新交易,所述服务接入成员列表更新交易包括所述第一设备以及所述目标服务;
将经加密密钥加密后的所述服务接入成员列表更新交易发送至所述第二设备的服务频道,以及,将所述加密密钥分享给所述第二设备的合作设备,其中,所述服务频道建立在分布式账本上,用于向所述第二设备的合作设备提供服务接入成员列表,以使所述合作设备向所述服务接入成员列表中的成员提供服务。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁盘或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (20)

1.一种设备认证的方法,其特征在于,包括:
第一设备生成认证请求信息;
所述第一设备生成认证请求交易,将所述认证请求交易发送至第一设备频道,所述认证请求交易包括所述第一设备的公钥和所述认证请求信息的第一哈希值,所述第一设备频道由所述第一设备建立在分布式账本上,用于记录所述第一设备的相关交易的信息;
所述第一设备生成包括有所述认证请求信息和所述第一设备频道的设备频道信息的认证请求消息,并利用所述第一设备的私钥对所述认证请求消息进行数字签名后发送至第二设备;
所述第一设备接收所述第二设备返回的认证应答消息,所述认证应答消息用于指示第一设备认证是否成功。
2.如权利要求1所述的方法,其特征在于,所述认证请求交易还包括生成所述认证请求交易时的第一时间戳;所述认证请求信息包括随机数和所述第一设备的设备识别信息,所述设备识别信息包括设备标识、MAC地址、IP地址、设备品牌和设备类型中的至少一项。
3.如权利要求1所述的方法,其特征在于,
在所述分布式账本为区块链时,所述设备频道信息包括第一设备的区块链账户地址和所述第一设备频道上最后一个交易的哈希值;
在所述分布式账本为埃欧塔IOTA时,所述设备频道信息包括掩码认证消息MAM频道的标识ID和所述MAM频道上的首个交易的地址。
4.如权利要求1至3任一项所述的方法,其特征在于,还包括:
所述第一设备更新所述第一设备的公钥和私钥;
所述第一设备生成密钥撤销交易,所述密钥撤销交易包括更新后的公钥;
所述第一设备将所述密钥撤销交易发送到所述第一设备频道,更新所述第一设备的公钥。
5.一种设备认证的方法,其特征在于,包括:
第二设备接收第一设备发送的认证请求消息,所述认证请求消息包括有认证请求信息和第一设备频道的设备频道信息,所述第一设备频道由所述第一设备建立在分布式账本上,用于记录所述第一设备的相关交易的信息;
所述第二设备根据所述第一设备频道的设备频道信息,在第一设备频道上读取认证请求交易,所述认证请求交易包括有所述第一设备的公钥和所述认证请求信息的第一哈希值;
所述第二设备利用所述第一设备的公钥,验证所述认证请求消息的数字签名,在数字签名验证成功后,至少根据所述第一哈希值对所述第一设备进行认证测试,并获得认证结果;
根据所述认证结果,记录所述第一设备的认证状态,并向所述第一设备发送用于指示认证是否成功的认证应答消息。
6.如权利要求5所述的方法,其特征在于,所述至少根据所述第一哈希值对所述第一设备进行认证测试,包括以下认证项目,并仅在所有认证项目均成功时,获得所述第一设备认证成功的认证结果:
计算得到所述认证请求消息中包括的所述认证请求信息的第三哈希值,根据所述第三哈希值是否与所述第一哈希值一致,获得哈希值认证是否成功的认证结果。
7.如权利要求6所述的方法,其特征在于,所述认证请求交易还包括生成所述认证请求交易时的第一时间戳,所述认证请求信息包括随机数和所述第一设备的设备识别信息;所述认证项目还包括以下至少一项:
计算所述认证请求消息的接收时间戳与所述第一时间戳的第一间隔,根据所述第一间隔是否小于预设第一阈值,获得超时认证是否成功的测试结果;
根据所述认证请求信息中的设备识别信息是否与所述认证请求消息的发送设备相匹配,获得设备合法性认证是否成功的测试结果;
查询所述第一设备频道上的历史交易记录,根据所述历史交易记录的数量是否大于预设数量,获得设备可靠性认证是否成功的测试结果。
8.一种服务接入控制的方法,其特征在于,包括:
第一设备向第二设备请求服务列表,并从所述第二设备提供的所述服务列表中选择目标服务;
所述第一设备生成服务请求信息,所述服务请求信息包括所述目标服务和服务接入令牌;
所述第一设备生成服务请求交易,将所述服务请求交易发送到第一设备频道,所述服务请求交易包括所述服务请求信息的第二哈希值,所述第一设备频道由所述第一设备建立在分布式账本上,用于记录所述第一设备的相关交易的信息;
所述第一设备生成包括所述服务请求信息的服务请求消息,并利用所述第一设备的私钥对所述服务请求消息进行数字签名后发送至第二设备;
所述第一设备接收所述第二设备返回的服务应答消息,所述服务应答消息用于指示服务请求是否通过。
9.如权利要求8所述的方法,其特征在于,所述服务请求交易还包括生成所述服务请求交易时的第二时间戳。
10.一种服务接入控制的方法,其特征在于,包括:
第二设备接收第一设备发送的服务列表请求消息,并向所述第一设备提供服务列表;
所述第二设备接收所述第一设备发送的服务请求消息,所述服务请求消息包括服务请求信息;所述服务请求信息包括目标服务和服务接入令牌;
所述第二设备在所述第一设备的认证状态为认证成功时,利用所述第一设备的公钥,验证所述服务请求消息的数字签名,在数字签名验证成功后,根据预先获得的第一设备频道的设备频道信息,在所述第一设备频道上读取服务请求交易,所述服务请求交易至少包括所述服务请求信息的第二哈希值,所述第一设备频道由所述第一设备建立在分布式账本上,用于记录所述第一设备的相关交易的信息;
所述第二设备至少根据服务请求信息和所述第二哈希值进行服务请求测试,获得服务请求是否通过的服务请求测试结果;
根据所述服务请求测试结果,向所述第一设备发送用于指示服务请求是否通过的服务应答消息。
11.如权利要求10所述的方法,其特征在于,所述至少根据服务请求信息和所述第二哈希值进行服务请求测试,包括以下测试项目,并仅在所有测试项目均通过时,获得所述服务请求通过的服务测试结果:
计算得到所述服务请求消息中包括的所述服务请求信息的第四哈希值,根据所述第四哈希值与所述第二哈希值是否一致,获得哈希值测试是否通过的测试结果;
根据所述服务接入令牌是否为有效令牌,获得令牌测试是否通过的测试结果。
12.如权利要求11所述的方法,其特征在于,所述服务请求交易还包括生成所述服务请求交易时的第二时间戳;所述测试项目还包括:
计算所述服务请求消息的接收时间戳与所述第二时间戳的第二间隔,根据所述第二间隔是否小于预设第二阈值时,获得超时测试是否通过的测试结果。
13.如权利要求10至12任一项所述的方法,其特征在于,在所述服务请求测试结果为服务请求通过时,所述方法还包括:
将所述第一设备加入至所述第二设备的服务接入成员列表;
生成服务接入成员列表更新交易,所述服务接入成员列表更新交易包括所述第一设备以及所述目标服务;
将经加密密钥加密后的所述服务接入成员列表更新交易发送至所述第二设备的服务频道,以及,将所述加密密钥分享给所述第二设备的合作设备,其中,所述服务频道由所述第二设备建立在分布式账本上,用于向所述第二设备的合作设备提供服务接入成员列表,以使所述合作设备向所述服务接入成员列表中的成员提供服务。
14.一种第一设备,其特征在于,包括:
第一信息生成单元,用于第一设备生成认证请求信息;
第一交易生成单元,用于生成认证请求交易,将所述认证请求交易发送至第一设备频道,所述认证请求交易包括所述第一设备的公钥和所述认证请求信息的第一哈希值,所述第一设备频道由所述第一设备建立在分布式账本上,用于记录所述第一设备的相关交易的信息;
第一消息发送单元,用于生成包括有所述认证请求信息和所述第一设备频道的设备频道信息的认证请求消息,并利用所述第一设备的私钥对所述认证请求消息进行数字签名后发送至第二设备;
第一消息接收单元,用于接收所述第二设备返回的认证应答消息,所述认证应答消息用于指示第一设备认证是否成功。
15.如权利要求14所述的第一设备,其特征在于,还包括:
密钥更新单元,用于更新所述第一设备的公钥和私钥;
第三交易生成单元,还用于生成密钥撤销交易,所述密钥撤销交易包括更新后的公钥;将所述密钥撤销交易发送到所述第一设备频道,更新所述第一设备的公钥。
16.一种第二设备,其特征在于,包括:
第一消息接收单元,用于接收第一设备发送的认证请求消息,所述认证请求消息包括有认证请求信息和第一设备频道的设备频道信息,所述第一设备频道由所述第一设备建立在分布式账本上,用于记录所述第一设备的相关交易的信息;
第一交易获取单元,用于根据所述第一设备频道的设备频道信息,在第一设备频道上读取认证请求交易,所述认证请求交易包括有所述第一设备的公钥和所述认证请求信息的第一哈希值;
认证处理单元,用于利用所述第一设备的公钥,验证所述认证请求消息的数字签名,在数字签名验证成功后,至少根据所述第一哈希值对所述第一设备进行认证测试,并获得认证结果;
第一消息发送单元,用于根据所述认证结果,记录所述第一设备的认证状态,并向所述第一设备发送用于指示认证是否成功的认证应答消息。
17.一种第一设备,其特征在于,包括:
服务选择单元,用于向第二设备请求服务列表,并从所述第二设备提供的所述服务列表中选择目标服务;
第二信息生成单元,用于生成服务请求信息,所述服务请求信息包括所述目标服务和服务接入令牌;
第二交易生成单元,用于生成服务请求交易,将所述服务请求交易发送到第一设备频道,所述服务请求交易包括所述服务请求信息的第二哈希值,所述第一设备频道由所述第一设备建立在分布式账本上,用于记录所述第一设备的相关交易的信息;
第二消息发送单元,用于生成包括所述服务请求信息的服务请求消息,并利用所述第一设备的私钥对所述服务请求消息进行数字签名后发送至第二设备;
第二消息接收单元,用于接收所述第二设备返回的服务应答消息,所述服务应答消息用于指示服务请求是否通过。
18.一种第二设备,其特征在于,包括:
第二消息接收单元,用于接收第一设备发送的服务列表请求消息,并向所述第一设备提供服务列表;以及接收所述第一设备发送的服务请求消息,所述服务请求消息包括服务请求信息;所述服务请求信息包括目标服务和服务接入令牌;
第二交易获取单元,用于在所述第一设备的认证状态为认证成功时,利用所述第一设备的公钥,验证所述服务请求消息的数字签名,在数字签名验证成功后,根据预先获得的第一设备频道的设备频道信息,在所述第一设备频道上读取服务请求交易,所述服务请求交易至少包括所述服务请求信息的第二哈希值,所述第一设备频道由所述第一设备建立在分布式账本上,用于记录所述第一设备的相关交易的信息;
服务请求测试单元,用于至少根据服务请求信息和所述第二哈希值进行服务请求测试,获得服务请求是否通过的服务请求测试结果;
第二消息发送单元,用于根据所述服务请求测试结果,向所述第一设备发送用于指示服务请求是否通过的服务应答消息。
19.如权利要求18所述的第二设备,其特征在于,还包括:
成员列表更新单元,用于在所述服务请求测试结果为服务请求通过时,将所述第一设备加入至所述第二设备的服务接入成员列表;
成员列表交易生成单元,用于生成服务接入成员列表更新交易,所述服务接入成员列表更新交易包括所述第一设备以及所述目标服务;将经加密密钥加密后的所述服务接入成员列表更新交易发送至所述第二设备的服务频道,以及,将所述加密密钥分享给所述第二设备的合作设备,其中,所述服务频道由所述第二设备建立在分布式账本上,用于向所述第二设备的合作设备提供服务接入成员列表,以使所述合作设备向所述服务接入成员列表中的成员提供服务。
20.一种计算机可读存储介质,其特征在于:所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的设备认证的方法的步骤,或者实现如权利要求8至13任一项所述的服务接入控制的方法的步骤。
CN201910318449.5A 2019-04-19 2019-04-19 设备认证的方法、服务接入控制的方法、设备及存储介质 Active CN111835520B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN201910318449.5A CN111835520B (zh) 2019-04-19 2019-04-19 设备认证的方法、服务接入控制的方法、设备及存储介质
JP2020068263A JP7052818B2 (ja) 2019-04-19 2020-04-06 装置認証方法、サービスアクセスの制御方法、装置及び記録媒体
EP20169909.7A EP3726804B1 (en) 2019-04-19 2020-04-16 Device authentication method, service access control method, device, and non-transitory computer-readable recording medium
US16/850,088 US11601426B2 (en) 2019-04-19 2020-04-16 Device authentication method, service access control method, device, and non-transitory computer-readable recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910318449.5A CN111835520B (zh) 2019-04-19 2019-04-19 设备认证的方法、服务接入控制的方法、设备及存储介质

Publications (2)

Publication Number Publication Date
CN111835520A CN111835520A (zh) 2020-10-27
CN111835520B true CN111835520B (zh) 2023-04-07

Family

ID=70292908

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910318449.5A Active CN111835520B (zh) 2019-04-19 2019-04-19 设备认证的方法、服务接入控制的方法、设备及存储介质

Country Status (4)

Country Link
US (1) US11601426B2 (zh)
EP (1) EP3726804B1 (zh)
JP (1) JP7052818B2 (zh)
CN (1) CN111835520B (zh)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11489675B1 (en) * 2019-07-12 2022-11-01 Allscripts Software, Llc Computing system for electronic message tamper-roofing
US11582036B1 (en) * 2019-10-18 2023-02-14 Splunk Inc. Scaled authentication of endpoint devices
CN113824674B (zh) * 2020-06-19 2023-06-30 株式会社理光 联盟链式数据结构网络管理方法、管理节点及介质
US11864223B2 (en) * 2020-07-07 2024-01-02 Jpmorgan Chase Bank, N.A. Method and apparatus for implementing a security value generation module
CN112333253A (zh) * 2020-10-27 2021-02-05 国网重庆市电力公司电力科学研究院 一种在智能物联网终端的电力物联网络安全监控***
CN112311556B (zh) * 2020-11-05 2024-05-24 北京领主科技有限公司 设备认证的方法、设备控制的方法、节点、设备、区块链
CN112367329B (zh) * 2020-11-17 2023-05-02 北京知道创宇信息技术股份有限公司 通信连接认证方法、装置、计算机设备及存储介质
CN112132581B (zh) * 2020-11-23 2021-02-19 中国人民解放军国防科技大学 基于iota的pki身份认证***及方法
US11665002B2 (en) * 2020-12-11 2023-05-30 International Business Machines Corporation Authenticated elevated access request
TWI773025B (zh) * 2020-12-16 2022-08-01 智弘軟體科技股份有限公司 設備帳號使用安全、監控與管理終端化之流程及方法
US20220209956A1 (en) * 2020-12-31 2022-06-30 Baypay Pte Ltd. Method for performing a transaction on the block chain and computer program product
CN112822011B (zh) * 2021-02-24 2022-08-05 南京航灵信息科技有限公司 一种基于芯片的特征及区块链的物联网认证方法
CN113157444B (zh) * 2021-03-29 2023-12-01 中国联合网络通信集团有限公司 一种算力服务认证方法、设备以及可读存储介质
CN115225428B (zh) * 2021-06-29 2023-10-13 达闼机器人股份有限公司 机器人认证***及方法
CN115242418A (zh) * 2021-06-29 2022-10-25 达闼机器人股份有限公司 机器人认证***及方法
CN116931882A (zh) * 2022-04-06 2023-10-24 北京小米移动软件有限公司 软件框架、运行方法、调用服务方法、装置、设备及介质
CN116938601B (zh) * 2023-09-15 2023-11-24 湖南视觉伟业智能科技有限公司 一种用于实名制鉴权设备的分工鉴权方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017104899A1 (ko) * 2015-12-16 2017-06-22 (주)코인플러그 블록체인을 기반으로 하는 공인인증서 인증시스템 및 이를 이용한 인증방법
CN108737418A (zh) * 2018-05-22 2018-11-02 飞天诚信科技股份有限公司 一种基于区块链的身份认证方法及***
EP3413507A1 (en) * 2017-06-09 2018-12-12 Nokia Technologies Oy Electronic documents certification

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6741870B1 (en) * 2000-10-04 2004-05-25 Telefonaktiebolaget Lm Ericsson (Publ) Method and system for selecting communication media
US6931530B2 (en) * 2002-07-22 2005-08-16 Vormetric, Inc. Secure network file access controller implementing access control and auditing
JP4611809B2 (ja) 2005-06-03 2011-01-12 日本電信電話株式会社 サービス利用資格審査装置およびその方法
CN102196012B (zh) 2010-03-17 2013-08-07 华为技术有限公司 服务开放方法及***、服务开放服务器
JP2018516030A (ja) 2015-05-05 2018-06-14 ショカード、インコーポレイテッド ブロックチェーンを使用するid管理サービス
KR101661930B1 (ko) * 2015-08-03 2016-10-05 주식회사 코인플러그 블록체인을 기반으로 하는 공인인증서 발급시스템
CN106487743B (zh) 2015-08-25 2020-02-21 阿里巴巴集团控股有限公司 用于支持多用户集群身份验证的方法和设备
WO2017127564A1 (en) * 2016-01-19 2017-07-27 Priv8Pay, Inc. Network node authentication
US10333705B2 (en) * 2016-04-30 2019-06-25 Civic Technologies, Inc. Methods and apparatus for providing attestation of information using a centralized or distributed ledger
JP6542722B2 (ja) 2016-07-13 2019-07-10 日本電信電話株式会社 機器リスト作成システムおよび機器リスト作成方法
JP6729334B2 (ja) 2016-12-06 2020-07-22 富士通株式会社 トランザクション管理方法、トランザクション管理プログラム及びトランザクション管理装置
US10102526B1 (en) 2017-03-31 2018-10-16 Vijay K. Madisetti Method and system for blockchain-based combined identity, ownership, integrity and custody management
JP6340107B1 (ja) 2017-04-10 2018-06-06 アイビーシー株式会社 電子証明システム
JP6882080B2 (ja) 2017-05-31 2021-06-02 キヤノン株式会社 画像処理装置、方法、プログラム及びシステム
JP6340120B1 (ja) 2017-06-16 2018-06-06 アイビーシー株式会社 デバイスプロビジョニングシステム
JP6480528B2 (ja) 2017-08-10 2019-03-13 アイビーシー株式会社 電子証明システム
JP6939313B2 (ja) * 2017-09-21 2021-09-22 富士フイルムビジネスイノベーション株式会社 分散認証システム
US11303442B2 (en) * 2018-10-09 2022-04-12 International Business Machines Corporation Blockchain notification board storing blockchain resources

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017104899A1 (ko) * 2015-12-16 2017-06-22 (주)코인플러그 블록체인을 기반으로 하는 공인인증서 인증시스템 및 이를 이용한 인증방법
EP3413507A1 (en) * 2017-06-09 2018-12-12 Nokia Technologies Oy Electronic documents certification
CN108737418A (zh) * 2018-05-22 2018-11-02 飞天诚信科技股份有限公司 一种基于区块链的身份认证方法及***

Also Published As

Publication number Publication date
US11601426B2 (en) 2023-03-07
EP3726804B1 (en) 2021-12-29
CN111835520A (zh) 2020-10-27
JP7052818B2 (ja) 2022-04-12
US20200336481A1 (en) 2020-10-22
JP2020178344A (ja) 2020-10-29
EP3726804A2 (en) 2020-10-21
EP3726804A3 (en) 2020-12-23

Similar Documents

Publication Publication Date Title
CN111835520B (zh) 设备认证的方法、服务接入控制的方法、设备及存储介质
CN110770695B (zh) 物联网(iot)设备管理
CN110537346B (zh) 安全去中心化域名***
EP3425842B1 (en) Communication system and communication method for certificate generation
EP3454504B1 (en) Service provider certificate management
US20200076606A1 (en) Blockchain key storage on sim devices
US9445269B2 (en) Terminal identity verification and service authentication method, system and terminal
KR20160127167A (ko) 다중 팩터 인증 기관
CN112512048B (zh) 移动网络接入***、方法、存储介质及电子设备
WO2019056971A1 (zh) 一种鉴权方法及设备
WO2009155807A1 (zh) 预认证的方法、认证***和装置
US20220174490A1 (en) System, method, storage medium and equipment for mobile network access
WO2013067792A1 (zh) 智能卡的访问方法、装置及***
CN113872986B (zh) 配电终端认证方法、装置和计算机设备
KR20200101053A (ko) 전자 장치 및 전자 장치에서의 인증 방법
CN114978698A (zh) 网络接入方法、目标终端、凭证管理网元及验证网元
US9882891B2 (en) Identity verification
KR102025521B1 (ko) 가입자 인증 모듈을 관리하는 개체를 변경하는 방법 및 이를 이용하는 장치
CA3235743A1 (en) Authenticating a device
GB2621504A (en) Authenticating a device
Bansal et al. SECURITY PROTOCOL BY USING MUTUAL

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant