CN112217794A - 计算机实施的物联网数据报传输轻型认证***和方法 - Google Patents
计算机实施的物联网数据报传输轻型认证***和方法 Download PDFInfo
- Publication number
- CN112217794A CN112217794A CN202010929142.1A CN202010929142A CN112217794A CN 112217794 A CN112217794 A CN 112217794A CN 202010929142 A CN202010929142 A CN 202010929142A CN 112217794 A CN112217794 A CN 112217794A
- Authority
- CN
- China
- Prior art keywords
- random number
- key
- session
- generator
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 29
- 230000005540 biological transmission Effects 0.000 title claims abstract description 20
- 230000004044 response Effects 0.000 claims abstract description 60
- 230000007246 mechanism Effects 0.000 claims abstract description 7
- 238000012545 processing Methods 0.000 claims description 38
- 238000012546 transfer Methods 0.000 claims description 5
- 230000002457 bidirectional effect Effects 0.000 claims description 4
- 239000003999 initiator Substances 0.000 claims description 4
- 238000004891 communication Methods 0.000 description 13
- 230000008569 process Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 235000014510 cooky Nutrition 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000003321 amplification Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000003199 nucleic acid amplification method Methods 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
- H04L2209/805—Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0637—Modes of operation, e.g. cipher block chaining [CBC], electronic codebook [ECB] or Galois/counter mode [GCM]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明的计算机实施的物联网数据报传输轻型认证***和方法提供了一种稳健的、基于两个端点间共享预共享密码的询问‑应答类型的交换的认证方案。本发明使用对称的基于密钥的安全机制,其中密钥管理与认证相融合。本发明提供了双向认证,其中在配置阶段,***的端点配有预共享密码,并在服务端设有用于客户识别的客户端数据库。所述***包括用于生成新鲜值的随机数生成器以及用于生成密钥和会话密钥的密钥生成器。所述随新鲜值和密钥仅在会话期间有效,因此在整个会话过程中有助于提供安全认证。所述***可进一步与如DTLS的传输层安全协议以及如用于受限设备的CoAP的应用层协议相整合。
Description
分案申请
本申请为申请号2015100172318、申请日2015年1月13日、题为“计算机实施的物联网数据报传输轻型认证***和方法”的分案申请。
技术领域
本发明涉及物联网认证和安全。
背景技术
以下为说明书中使用到的术语的定义:
说明书中使用的表述“IoT”在下文中表示物联网,其中可唯一识别的对象在类似网络的结构中表示。
说明书中使用的表述“M2M”在下文中表示机器对机器通信技术,其在包括异构节点的网络中允许无线和有线***的互相通信。
说明书中使用的表述“新鲜值(nonce)”在下文中表示仅使用一次的随机数(random number)。
说明书中使用的表述“数据报传输”在下文中表示一种无连接传输协议,其示例性及普遍性实施例可为用户数据报协议(UDP)。
说明书中使用的表述“配置阶段”在下文中表示在通信之前准备并配备服务端和客户端的过程。它包括嵌入预共享密码之类的步骤。
说明书中使用的表述“会话启动器”在下文中表示通过发送大写的‘HELLO’消息到服务器开始会话的设备。
以上这些定义是对本领域中那些表述的补充。
IoT/M2M包括物理实体,其特性和状态可以通过网络基础设施进行交换。M2M可以看作是IoT的子集。其中数据在M2M驱动的IoT上传输的模型在数据流量模型以及参与节点的数量上与传统的网络不同。M2M与传统的人对人(H2H)网络交互相比需要处理更多的节点。
IoT/M2M***通常由受限设备构成,如允许通过无线和/或有线网络进行通信的传感器。通常,该无线通信网络还受带宽的限制。在此受限域内配置一个稳健并且对***需求较低的但具有认证的通信装置是一个挑战。传统的基于稳健证书的受限设备方案使用公钥密码***,由于其在处理、能量及带宽上的需求而被证明成本太高。此外,考虑到IP层的安全,如IPSec,其在资源使用和维护方面也不是最理想的。此外,如TLS的传输层安全方案即使稳健,对于资源需求而言也是不适用的,因为它被证明对于受限设备而言成本太高。
受限应用协议(CoAP)是典型的网络应用层协议,它可以使受限设备之间以RESTful的方式通过网络交互通信。来自互联网工程任务组(IETF)的CoAP的主要设计目的是在用户数据报协议(UDP)上运行,以创建轻型解决方案,并将数据报传输层安全(DTLS)作为IoT/M2M的安全层解决方案。然而,具有基于完整证书的公钥基础设施(PKI)的DTLS对于受限设备而言不是最优的。因此,预共享密钥(PSK)的DTLS被确定为受限设备的轻型替换物。该方案虽然轻型,但却牺牲了稳健性。它还缺少端点认证。
在CoAP中,DTLS使用cookie交换技术来缓解其中攻击者会发送第一次握手消息从而发起放大攻击的拒绝服务(DoS)攻击。特别地,在PSK模式中,客户端计算来自于预共享密钥的预备主密码以及主密码,然后发送ClientKeyExchange消息到服务器,该服务器包含用于为服务器锁定所需预共享密钥的psk识别码。然而,明文的cookie交换是不稳健的。此外,cookie机制添加了建立连接对***的需求,这对于受限环境而言消耗资源比较大。
因此,很明显地,适用于IoT/M2M受限空间的稳健认证以及轻型安全的***尚属空白。
此外,还需要一种***和方法来满足一般网络/通信***的认证需求。
发明内容
发明目的:
本发明的目的在于提供一种在典型的受限IoT/M2M环境互相认证端点的稳健并轻型的***。
本发明的另一个目的在于提供一种使用较少数量的握手消息的使用轻型预共享密码模式的安全方案的***。
本发明的另一个目的在于提供一种通常用来满足一般网络/通信***的认证需求的***。
本发明的另一个目的在于提供一种允许用户使用对称加密嵌入有效负荷的认证以及密钥管理的***。
本发明的另一个目的在于提供一种可集成有如DTLS的传输层安全方案以加强现有的DTLS方案并同时通过减少交换数量使其变得更轻型的***。
本发明的另一个目的在于提供一种可与如受限设备的CoAP的应用层融合并带有新的报头选项的***。
本发明的其他目的和优势通过下述描述并结合附图变得更加明显,但以下描绘和附图并不做为对本发明保护范围的限制。
本发明涉及一种计算机实施的服务器和客户端之间数据报传输双向认证***。
典型地,根据发明,计算机实施的服务器和客户端之间数据报传输双向认证***包括***处理器和第一随机数生成器,其中第一随机数生成器与***处理器合作生成第一随机数。***还包括第二随机数生成器,其同样与***处理器合作生成第二随机数。***还包括密钥生成器,其与***处理器合作,并被配置为在配置阶段在双向认证之前,基于***处理器生成指令和传输指令生成并传输密钥至服务器和客户端。***中的第一存储库被配置为存储所有客户端的客户端ID。***还包括被配置为基于***处理器的传输指令,从客户端传输包括客户端唯一ID的第一消息到服务器的会话启动器。接收器与***处理器合作,在***处理器的接收指令控制下接收第一消息,并且配备有匹配引擎,以将接收到的客户端ID与来自于第一存储库的存储的客户端ID进行匹配,从而识别客户。会话密钥生成器被配置为生成唯一时限的并且有限地有效的会话密钥,并且基于***处理器的传输指令传输生成的会话密钥。***还包括与***处理器合作的询问码生成器,其被配置为接收会话密钥并且,基于***处理器的生成指令生成,并基于***处理器的传输指令传输询问码,该询问码包括由第一随机数生成器生成的第一随机数以及会话密钥。出现在***中的第一加密器与询问码生成器合作,接收来自于询问码生成器的生成的询问码,并且响应来自于***处理器的指令,使用由密钥生成器生成的密钥加密接收的生成的询问码,并且被进一步配置为基于***处理器的传输指令将加密的询问码传输到识别的客户端。第一解密器与***处理器合作,其被配置为接收加密的询问码,并被进一步配置为响应***处理器指令,使用由密钥生成器生成的密钥解密加密的询问码,从而获得解密的第一随机数和会话密钥。该***还包括第二存储库,该存储库被配置为接收并存储来自于第一解密器的会话密钥。出现在***中的第二加密器与***处理器合并,并被配置为接收解密的第一随机数以及会话密钥,并被进一步配置为基于***处理器的传输指令传输第二消息,该第二消息包括使用会话密钥加密的解密的第一随机数和由第二随机数字生成器生成的第二随机数。该***还包括与***处理器合作的第二解密器,其被配置为接收第二消息并响应***处理器的指令,利用由会话密钥生成器生成的会话密钥解密第一随机数和第二随机数。本***中的第一比较器和认证器被配置为响应***处理器的指令,比较来自于第二消息的解密的第一随机数与由第一随机数生成器生成的第一随机数,进而认证客户端。***还包括第三加密器,其被配置为响应***处理器的指令,使用由会话密钥生成器生成的会话密钥加密在第二消息中接收的第二随机数,并基于***处理器的传输指令传输加密的第二随机数。第三解密器被配置为基于***处理器的接收指令接收,并被进一步配置为响应***处理器的指令,使用从第二存储库接收的会话密钥解密加密的第二随机数。第二比较器和认证器被配置为响应***处理器的指令,比较解密的第二随机数与由第二随机数生成器产生的第二随机数,从而认证服务器,进而实现双向认证。
本发明还提供一种计算机实施的服务器和客户端之间数据报传输双向认证的方法,该方法包括***处理指令,并且包括:
ο在第一随机数生成器的帮助下生成第一随机数(nonce_1);
ο在第二随机数生成器(nonce_2)的帮助下生成第二随机数;
ο响应***处理指令,在密钥生成器的帮助下生成密钥;
ο响应***处理指令,在配置阶段在双向认证之前,将生成的密钥传输至服务器以及客户端;
ο将所有客户端的客户端ID存储在第一存储库;
ο响应***处理指令,传输包括客户端唯一ID的第一消息;
ο响应***处理指令,接收第一消息,并且对接收到的客户ID与第一存储库存储的客户端ID进行匹配;
ο基于接收到的客户端ID识别客户;
ο在会话密钥生成器的帮助下,生成唯一时限的及有限地有效的会话密钥;
ο接收会话密钥并在***处理指令的控制下生成询问码,该询问码包括由第一随机数生成器生成的第一随机数以及会话密钥。
ο接收来自于询问码生成器的生成的询问码并响应***处理指令,在第一加密器的帮忙下使用由密钥生成器生成的密钥加密接收到的生成的询问码,并且响应***处理指令,传输加密的询问码;
ο接收加密的询问码并且响应***处理指令,在第一解密器的帮助下使用由密钥生成器生成的密钥解密加密的询问码从而获得第一随机数和会话密钥;
ο从第一解密器中接收会话密钥并存储在第二存储库中;
ο响应***处理指令接收解密的第一随机数以及会话密钥,并传送由会话密钥加密的第二消息,该第二消息包含解密的第一随机数以及由第二随机数生成器生成的第二随机数;
ο响应***处理指令,接收第二消息并利用由会话密钥生成器生成的会话密钥解密第一随机数和第二随机数;
ο响应***处理指令,比较解密自第二消息的第一随机数与由第一随机数生成器产生的第一随机数;
ο如果解密的第一随机数与生成的第一随机数匹配,则在***处理指令控制下认证客户;
ο响应***处理指令,使用由会话密钥生成器生成的会话密钥加密在第二消息中接收的第二随机数,并传输加密第二随机数;
ο响应***处理指令,接收并使用从第二存储库接收的会话密钥解密加密的第二随机数;
ο响应***处理指令,比较解密的第二随机数与由第二随机数生成器生成的第二随机数;并且
ο如果解密的第二随机数与生成的第二随机数匹配,则响应***处理指令,认证服务器,实现双向认证。
附图说明
现在将参考附图对本发明的***进行描述,其中:
图1描述了提供了服务器与客户端之间双向认证的***的示意图;
图2描述了实现双向认证和安全通信的***流程;
图3描述了服务器与客户端之间在握手期间涉及的步骤;
图4示例性地描述了在CoAP消息格式中引入进而嵌入到已存在的应用层协议中的报头选项;
图5示例性地描述了传感器设备(客户端)与服务器之间的握手认证;
图6描述了本发明的***作为额外认证层与类似于DTLS的安全层的整合;
图7描述了利用预共享密钥模式(PSK)的安全会话启动的传统DTLS握手的时序图;
图8描述了根据本发明的具有预共享密码的修改后的DTLS握手。
具体实施方式
现在将参考附图所示的实施例对本发明涉及的***进行描述。这些实施例并不作为对本发明保护范围的限制。以下描述仅涉及到本文所公开***的示例性和优选实施例,以及其建议的应用。
本文中的***以及***的多个特征及有益细节都是参考下文中描述的非限制性实施例进行解释的。文中省略了关于已知的参数及处理技术的描述,从而避免对本文中的实施例造成不必要的模糊化。文中使用的示例仅仅是为了帮助理解此处实施例实施的方式,并且进一步帮助本领域技术人员实现文中的实施例。因此,这些示例不应该理解为对文中实施例的保护范围的限制。
根据本发明,该***提供了一种轻型稳健的基于两个端点之间共享预共享密码的质询-应答类型的交换的认证方案。本发明提出的安全解决方案基于安全机制的对称密钥,其中密码管理与认证融合在一起。它提供了数据报传输在服务器和客户端之间的双向认证,并且适用于IoT/M2M。
本发明涉及的***提供双向认证,并且对***的需求较低。为了实现双向认证,在配置阶段,为***的端点提供预共享密码,并在服务端提供客户端数据库,用于客户识别。***还包括用于产生新鲜值的伪随机数(PRN)模块以及定时器(***时间),以及服务器密钥生成模块。该新鲜值及密钥有助于提供安全认证。在认证过程中,服务器侧和客户端侧均产生询问消息。AES加密和解密用于客户端侧和服务器侧。
本发明涉及的***还能被改写以适应传输层安全协议,如使用PSK模式的DTLS。此改写步骤涉及在DTLS之上利用基于加密新鲜值的质询应答创建认证会话,以及为应用创建安全通道。
现参考附图,图1示出了***100的原理图,该***100基于***处理器102的指令提供服务器50和客户端20之间的双向认证。本发明涉及的***100提出一种基于两个端点之间共享预共享密码的质询-应答类型的交换的认证方案。其中的预共享密码由密钥生成器10基于来自***处理器102的生成指令产生。本发明的安全解决方案为基于对称密钥的安全机制,其中密码管理与认证融合在一起。在配置阶段,各端点配置有预共享密码。客户端20的会话启动器22利用对客户端唯一的标识符(ID)向服务器50发送HELLO消息,启动会话。服务器50中的接收器54根据***处理器102的接收指令接收所述消息,并且首先查询存储所有客户端ID的预配置存储库52中的ID。然而,为了防止恶意服务器的假冒,服务器50在询问码生成器60的帮助下,生成询问码。该询问码包括由会话密钥生成器58生成的唯一会话密钥‘k’以及由第一随机数生成器56生成的随机数“nonce1”。会话密钥生成器58包括会话密钥定时器(图中未示出),该定时器产生会话密钥定时器值,从而确定生成的会话密钥的有效性。该会话密钥“k”从而基于会话密钥定时器值被取消。会话密钥定时器值的失效表示密钥的取消,并且指出需要创建具有新的会话密钥的新的会话。第一随机数生成器56包括生成第一定时器值的第一定时器(图中未示出)。由第一随机数生成器56生成的“nonce1”为附带有第一定时器值的伪随机数(PRN)。然后第一加密器62通过使用预共享密码加密该询问码,其中预共享密码由密钥生成器10生成并共享。该询问码被发送到客户端。合法客户端20可以通过第一解密器24在由密钥生成器10共享的密钥的帮助下解密询问码,并进一步获得由服务器50提供的“nonce1”以及会话密钥“k”。然后,解密的会话密钥“k”被存储在第二存储库26中。此外,对应于询问码,客户端20形成应答消息,该应答消息包括从服务器50处接收的“nonce1”以及由客户端20的第二随机数生成器30生成的“nonce2”。第二随机数生成器30包括生成第二定时器值的第二定时器(图中未示出)。第二定时器值附加在另一伪随机数(PRN)上,形成“nonce2”。应答消息由第二加密器28使用会话密钥“k”加密,其中该会话密钥“k”此前利用第一解密器24得以解密。一旦接收到应答消息,服务器50的第二解密器64解密来自于客户端20的应答,并且通过使用第一比较器和认证器66将“nonce1”与来自于第一随机数字生成器56的其自身的拷贝“nonce1”进行匹配。一旦两者匹配,服务器50则利用第一比较器和认证器66认证客户端20,并且进一步基于来自***处理器102的指令发送含有接收到的在第三加密器68的帮助下使用会话密钥“k”对该“nonce2”加密的消息到含客户端20。客户端在第三解密器32的帮助下,使用存储在第二存储库26中的会话密钥“k”解密“nonce2”。然后在第二比较器和认证器34的帮助下对解密的“nonce2”与由第二随机数生成器30生成的‘nonce2’进行匹配。如果解密的“nonce2”与客户端20的“nonce2”匹配,服务器50则得到第二比较器和认证器66的认证,从而实现双向认证。
其中使用的新鲜值和密钥随着会话不同而改变。由于产生的随机数包括附加于来自定时器(计数器)的定时器值的伪随机数(PRNs),因此产生的随机数是不可复制的。这样可以抵抗重放攻击。
再参考附图,图2描述了实现双向认证及安全通信的***流程。在配置阶段,服务器和客户端为配置有预共享密码(y)的两个端点。在完成配置阶段后,客户端向服务器发送认证请求,200。因此该会话由客户端发起,发送“HELLO”消息及其唯一的客户端ID到服务器。在接收到消息之后,服务器查询存储在预配置数据库中的客户端ID。然而,为了防止恶意客户端的假冒,服务器生成包括唯一密钥(k)及随机数(nonce1)的询问码,202。其中可采用预共享密码(y)加密询问码,然后发送给客户端。合法的客户端可以使用预共享密码(y)解密询问码,204,然后得出服务器提供的随机数和密钥。对应地,客户端生成应答消息,该消息用接收到的唯一密钥(k)加密,并包括从服务器处接收的随机数(nonce1)以及在客户端生成的随机数(nonce2),206。服务器解密来自于客户端的应答,并将该nonce1与其自身拷贝进行匹配,208。如果两个随机数不匹配,则客户端得不到认证,212。如果两个随机数匹配,则客户端得到认证,并且完成密钥共享,210。客户端完成认证之后,服务器应答具有与(k)级联并由(y)加密的nonce2的客户端询问,214。在客户端,从服务器接收的nonce2与客户端的nonce2的拷贝匹配,查验服务器的应答是否符合客户端的询问,216。如果客户端自身的拷贝与nonce2匹配,则其认证服务器,218。如果两个随机数不匹配,则服务器得不到认证,220。一旦客户端和服务器双向认证,则它们之间的安全通道就得以构成,222。在认证过程中使用的新鲜值以及密钥在不同的会话中会改变。可使用计时器刷新会话。本发明涉及的***包括附加在计时器(计数器)上的伪随机数生成器(PRNG),在每次会话期间提供唯一的密钥以及唯一的128位的新鲜值。因此,由于(PRN)的随机性以及(定时器)单调增加的特性,因此新鲜值为非重复性的。以伪随机的方式生成,并且其对(的包含确保避免了重发攻击:
{Pr(Rj|t=T=Rj|t=T′)=1}<∈′,∈′→0.
该攻击的冲突概率约为2-56。
再参考附图,图3所示为服务器和客户端之间握手期间的步骤。它描述了轻型双向认证及密钥管理算法,其中表示客户端,而表示服务器。在认证过程开始之前,在供给阶段,和之间线下共享密码γi={0,1}128。然后认证过程以启动会话开始,其中客户端发送‘HELLO’,给服务器300。在这里,为唯一的客户端设备ID。一旦会话启动,服务器通过向客户端发送询问码应答,302,其中,ki,nonce1={0,1}128和消息的大小为256位。客户端解密该询问码,并通过发送另一包括nonce1和额外nonce2的询问码应答服务器。304,为客户端应答及询问。在服务器端,服务器核验nonce1并通过发送通过κi加密为‘AES{γi,(nonce2|κi)}’的nonce2应答客户端,306。一旦客户端和服务器验证所述新鲜值,并且完成认证,客户端发送数据ρi到服务器,作为‘AES{κi,,(ρi)}’,308。
再参考附图,图4和图5表示在本发明的***嵌入到已存在的应用层协议之后的修改的CoAP消息格式,400,分别作为提出的一般方案的示例应用以及传感器设备(客户端)和服务器之间的示例性握手认证。
典型的CoAP交互模式类似于HTTP客户端/服务器模式并且为RESTful。但与HTTP不同的是,CoAP通过基于数据报的传输,如UDP,异步地进行交换。通常,CoAP包括四种类型的消息:可确认、不可确认、确认及复位。这些消息根据方式或者响应码携带请求或应答。
本发明公开的认证方案可被整合为嵌入CoAP的RESTful有效负载。从图5中可以观察到,具有可确认(CON)数据传输模式的POST方法可用于实现传感器设备(客户端)和服务器之间的双向认证。在CoAP报头引入新的字段“AUTH”,从而实现安全(认证)模式,400。该字段采用表示关键选择类的未使用选项。另一名为“AUTH_MSG_TYPE“的选项连同“AUTH”也被引入,指示用于创建认证会话的不同消息。
CoAP报头的该选择字段携带CoAP消息的选择性请求/应答特征。本发明定义的字段如下:
οAUTH:表示认证/禁用认证模式的启动。该字段的值可以为是或否。
οAUTH_MSG_TYPE:此字段可以是“0”或“1”,其中0=auth_init以及1=“response_against_challenge”。
当设置“AUTH=是”,可使用报头中的常量“Token”值维持认证会话,在认证阶段用于相关的消息交换。
参考图4和图5,执行下列步骤以将CoAP嵌入认证:
ο开始,传感器网关发送CON模式的POST消息到服务器认证URI,其中AUTH选项字段为真,AUTH_MSG_TYPE值为“auth_init”,即“0”,还发送有效负载600中的“设备标识符”。
ο服务器从有效负载中获得设备标识符,并且在接收到选项“AUTH”及AUTH_MSG_TYPE的“auth_init”值之后,确定与该设备标识符相关的预共享密码。然后,它产生随机数(nonce_1)和密钥(K)。服务器利用共享密钥生成加密的有效负载。
ο服务器用应答码答复客户端,表示已经创建新的资源。答复中的URI指出了针对认证的整个握手的临时会话ID。如果为无效的设备标识符,则服务器发送应答码“未认证”。该加密的有效负载附带地或者单独地发送到客户端,602。
ο客户端解密来自服务器的应答并获得nonce_1及“K”。它产生随机数(nonce_2),然后使用密钥“K”生成加密的有效负载。它使用具有选项字段“AUTH”的POST消息发送有效负载,并且AUTH_MSG_TYPE的值为‘response_against_challenge’,并且与上一个POST消息具有相同的标记值,604。
ο维持一个密钥刷新定时器以刷新会话。(在CoAP的情况下,这个值一定要大于MAX_RETRANSMIT_COUNT*MAX_RETRANSMISSION_TIMEOUT)
ο服务器使用“K”解密在头部具有上述选项值的上述POST的有效负载,并查看接收到的随机数。如果随机数与之前的值(步骤2中产生的值)相同,则服务器发送具有应答码“已改变”的应答,表示认证资源改变,否则发送“未认证”,606。
图5中使用的符号如下所述:
κn|τ:传感器网关δn与服务器在τth会话中的密钥交换
<δn>:δn的唯一的传感器设备/网关ID
AES(.)κ:使用密钥κ在明文中的AES操作
noncegw=传感器网关/客户端初始化的随机数
ωn:传感器网关δn的传感器数据
在认证阶段结束并且安全通道创建完成之后,客户端可选择性地以完全开环的模式通信,同时更新服务器中的一些资源,从而使得客户端表现出对服务器应答的不关心。
在本发明的***的一个实施例中,CoAP用于NON(非可靠)模式,并且引入选项字段(例如无应答),表示服务器不需要应答资源运行的状态。因此,网络的负载会降低。该‘无应答’字段值为“0”或“1”,0表示服务器需要应答该状态,1表示服务器不需要应答该状态。
再参考附图,图6表示将本发明的***作为附加认证层与DTLS,如安全层500融合。
再参考附图,图7表示使用预共享密钥模式(PSK)的安全会话启动的DTLS握手的时序图,而图8表示将本发明的方法整合到DTLS框架中,结果在创建安全连接之前,带来具有预共享密码及衍生密钥的修改的DTLS握手。每一个握手消息被预共享密码或者衍生的密钥K加密。图7中带有“*”的元素表示依赖情境的消息。图8描述了消息交换与图3表示的服务器和客户端握手期间涉及的步骤之间的映射。参考图7和图8,可以得出本发明的***可以将握手的次数从6次减少到4次。
以下为本发明带来的有益技术效果:
根据如上所描述根据本发明的,计算机实施的在数据报传输中用于轻型认证的***和方法具有多个有益技术效果,包括但不仅限于其实现了:
·一种***需求减少的***,原因在于其基于嵌有有效负载的对称密钥的认证以及由会话密钥刷新定时器管理的集成密钥;
·一种用于保护资源受限传感器设备的理想***;
·一种可集成有传输层安全机制的***,如集成DTLS,从而加强已有的DTLS方案,同时通过减少交换的数量,使其变得更轻型;
·一种可以将应用协议作为嵌入有效负载的认证方案的***;
·一种可以与如CoAP的受限设备应用层整合的***;
·一种通过引入新的具有应用层协议的报头选项允许CoAP开环通信的***,从而在实现认证后优化资源使用率;以及
·一种可普遍满足一般网络/通信***的认证需求的***。
上文对特定实施例地描述全面的披露了本发明实施例的一般特性,通过运用现有知识,可以很容易地在不背离本发明一般思想的情况下,对该实施例进行修改并且/或者适用该特定实施例的多个应用,因此,这些适用及修改应该并且意在落入本发明实例的等同保护范围之内。应该理解,本文采用的用词和术语都是为了描述目的,不做限制用途。因此,虽然本文以优选实施例的形式描述了实施例,但是本领域技术人员可以理解,本文中的实施例可在文中描述的实施例的思想和范围内做出修改。
Claims (18)
1.一种计算机实施的服务器与客户端之间数据报传输双向认证***,所述***包括***处理器,并包括:
第一随机数生成器,与***处理器合作并被配置为生成第一随机数;
第二随机数生成器,与***处理器合作并被配置为生成第二随机数;
密钥生成器,与***处理器合作并被配置为在配置阶段在双向认证之前,基于***处理器的生成指令和传输指令,生成并传输密钥至服务器和客户端;
会话启动器,被配置为基于***处理器的传输指令,将含有客户端唯一ID的第一消息从客户端传输到服务器;
接收器,与***处理器合作,基于***处理器的接收指令接收第一消息,并且配备有匹配引擎,将接收到的客户端ID与预存储的客户端ID进行匹配,从而识别客户;
会话密钥生成器,被配置为生成唯一时限的会话密钥,并且基于***处理器的传输指令传输生成的会话密钥,其中所述会话密钥生成器包括会话密钥定时器,所述会话密钥定时器响应来自***处理器的命令,并被配置为在会话密钥定时器值到期时取消生成的会话密钥并指示创建新会话的需求;
询问码生成器,与***处理器合作并被配置为接收会话密钥以及,基于***处理器的生成指令控生成并还基于***处理器的传输指令传输询问码,其中所述询问码含有由第一随机数生成器生成的第一随机数以及由会话密钥生成器生成的会话密钥;
第一加密器,与询问码生成器合作以接收生成的询问码以及响应来自于***处理器的指令,使用由密钥生成器生成的密钥对接收的生成的询问码进行加密,并被进一步配置为基于***处理器的传输指令将加密的询问码传输到识别的客户端;
第一解密器,与***处理器合作并被配置为接收加密的询问码,并被进一步配置为响应来自***处理器的指令,使用由密钥生成器生成的密钥对加密的询问码进行解密,从而获得解密的第一随机数和会话密钥;
存储库,被配置为接收并存储来自于第一解密器的会话密钥;
第二加密器,与***处理器合作并被配置为接收解密的第一随机数和会话密钥以及,被进一步配置为基于***处理器的传输指令传输第二消息,其中所述第二消息含有使用会话密钥加密的解密的第一随机数和由第二随机数字生成器生成的第二随机数;
第二解密器,与***处理器合作并被配置为接收第二消息并被进一步配置为响应来自***处理器的指令,使用由会话密钥生成器生成的会话密钥对第一随机数和第二随机数进行解密;
第一比较器和认证器,被配置为响应来自***处理器的指令,比较解密自第二消息的第一随机数和由第一随机数生成器产生的第一随机数,进而认证客户端;
第三加密器,被配置在认证客户端之后,为响应来自***处理器的指令,使用由会话密钥生成器生成的会话密钥对在第二消息内接收的第二随机数进行加密,并且基于***处理器的传输指令传输加密的第二随机数;
第三解密器,被配置为基于***处理器的接收指令进行接收,并被进一步配置为响应来自***处理器的指令,使用从第二存储库接收的会话密钥对加密的第二随机数进行解密;
第二比较器和认证器,被配置为响应来自***处理器的指令,比较解密的第二随机数和由第二随机数生成器产生的第二随机数,从而认证服务器并实现互相认证;以及
其中,由所述第一随机数生成器生成的第一随机数含有附加在第一定时器值上的第一伪随机数。
2.根据权利要求1所述的***,其中第一随机数生成器包括第一定时器,响应来自***处理器的指令并被配置为产生第一定时器值。
3.根据权利要求1所述的***,其中第二随机数生成器包括第二定时器,响应来自***处理器的指令并被配置为产生第二定时器值。
4.根据权利要求1所述的***,其中由第二随机数生成器生成的第二随机数含有附加在第二定时器值上的第二伪随机数。
5.根据权利要求1所述的***,其中由密钥生成器生成的密钥为在会话开始时生成并仅在进行的会话期间有效的唯一密钥。
6.根据权利要求1所述的***,其中由第一随机数生成器和第二随机数生成器生成的随机数是不可复制的并随会话不同而变化。
7.根据权利要求1所述的***,其中客户端与服务器通信,从而使得服务器不对客户端请求的执行状态做出响应。
8.根据权利要求1所述的***,其中***整合有包括数据报传输层安全(DTLS)的传输层安全机制。
9.根据权利要求8所述的***,其中***整合有应用层协议,包括用于受限设备的受限应用协议(CoAP),其中会话建立嵌入在所述受限应用协议(CoAP)中以减少在数据报传输层安全(DTLS)中的会话建立开销。
10.根据权利要求1所述的***,包括用于刷新会话的密钥刷新定时器;其中,当密钥刷新定时器值大于MAX_RETRANSMIT_COUNT和MAX_RETRANSMISSION_TIMEOUT的乘积时,所述密钥刷新定时器逐个刷新会话。
11.一种计算机实施的服务器与客户端之间数据报传输双向认证方法,所述方法包括使用***处理指令,并包括下述步骤:
o借助于第一随机数生成器生成第一随机数;
o借助于第二随机数生成器生成第二随机数;
o借助于密钥生成器响应***处理指令生成密钥;
o在配置阶段在双向认证之前响应***处理指令将生成的密钥传输到服务器和客户端;
o响应***处理指令传输含有客户端唯一ID的第一消息;
o响应***处理指令接收第一消息,并将接收的客户ID预存储的客户端ID进行匹配;
o基于接收的客户端ID识别客户;
o借助于会话密钥生成器生成唯一时限的会话密钥,包括基于会话密钥定时器值的到期取消会话密钥并指示在到期时创建新会话的需求;
o接收会话密钥并基于***处理指令生成询问码,其中所述询问码含有由第一随机数生成器生成的第一随机数以及由会话密钥生成器生成的会话密钥;
o接收由询问码生成器生成的询问码并响应***处理指令借助于第一加密器使用由密钥生成器生成的密钥对接收到的生成的询问码进行加密,并响应***处理指令传输加密的询问码;
o接收加密的询问码并响应***处理指令借助于第一解密器使用由密钥生成器生成的密钥对加密的询问码进行解密以获得第一随机数和会话密钥;
o从第一解密器中接收会话密钥并将其存储在存储库中;
o响应***处理指令接收解密的第一随机数以及会话密钥,并传送使用会话密钥加密的第二消息,其中所述第二消息含有含解密的第一随机数以及由第二随机数生成器生成的第二随机数;
o响应***处理指令接收第二消息并利用由会话密钥生成器生成的会话密钥解密第一随机数和第二随机数;
o响应***处理指令,比较解密自第二消息的第一随机数与由第一随机数生成器生成的第一随机数;
o如果解密的第一随机数与生成的第一随机数相匹配,则基于***处理指令认证客户端;
o在认证客户端之后,响应***处理指令使用由会话密钥生成器生成的会话密钥加密在第二消息中接收的第二随机数,并传输加密的第二随机数;
o响应***处理指令接收并使用从存储库接收的会话密钥解密加密的第二随机数;
o响应***处理指令,比较解密的第二随机数与由第二随机数生成器生成的第二随机数;以及
o如果解密的第二随机数与生成的第二随机数匹配,则响应***处理指令认证服务器,以实现双向认证;以及
其中,由所述第一随机数生成器生成的第一随机数含有附加在第一定时器值上的第一伪随机数。
12.根据权利要求11所述的方法,其中生成第二随机数的步骤包括响应***处理指令生成第二定时器值并将其附加在第二伪随机数上以生成第二随机数的步骤。
13.根据权利要求11所述的方法,其中生成密钥的步骤涉及在会话开始时生成并仅在进行的会话期间有效的唯一密钥。
14.根据权利要求11所述的方法,其中生成随机数的步骤包括响应***处理指令生成不可复制的并随会话不同而改变的数。
15.根据权利要求11所述的方法,其中客户端与服务器通信从而使得服务器不对客户端请求的执行状态进行响应。
16.根据权利要求11所述的方法,其中所述方法整合有包括数据报传输层安全(DTLS)的传输层安全机制。
17.根据权利要求16所述的方法,其中所述方法整合有应用层协议,包括用于受限设备的受限应用协议(CoAP),其中会话建立嵌入在所述受限应用协议(CoAP)中以减少在数据报传输层安全(DTLS)中的会话建立开销。
18.根据权利要求11所述的方法,包括由密钥刷新定时器刷新会话的步骤;其中,当密钥刷新定时器值大于MAX_RETRANSMIT_COUNT和MAX_RETRANSMISSION_TIMEOUT的乘积时,所述步骤逐个刷新会话。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
IN377MU2014 | 2014-02-03 | ||
IN377/MUM/2014 | 2014-02-03 | ||
CN201510017231.8A CN104821930A (zh) | 2014-02-03 | 2015-01-13 | 计算机实施的物联网数据报传输轻型认证***和方法 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510017231.8A Division CN104821930A (zh) | 2014-02-03 | 2015-01-13 | 计算机实施的物联网数据报传输轻型认证***和方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112217794A true CN112217794A (zh) | 2021-01-12 |
Family
ID=51903835
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010929142.1A Pending CN112217794A (zh) | 2014-02-03 | 2015-01-13 | 计算机实施的物联网数据报传输轻型认证***和方法 |
CN201510017231.8A Pending CN104821930A (zh) | 2014-02-03 | 2015-01-13 | 计算机实施的物联网数据报传输轻型认证***和方法 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510017231.8A Pending CN104821930A (zh) | 2014-02-03 | 2015-01-13 | 计算机实施的物联网数据报传输轻型认证***和方法 |
Country Status (7)
Country | Link |
---|---|
US (1) | US9780954B2 (zh) |
EP (1) | EP2903204A1 (zh) |
JP (1) | JP6301244B2 (zh) |
KR (1) | KR102068367B1 (zh) |
CN (2) | CN112217794A (zh) |
AU (1) | AU2014265030B2 (zh) |
ZA (1) | ZA201408487B (zh) |
Families Citing this family (46)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9258303B1 (en) * | 2014-08-08 | 2016-02-09 | Cellcrypt Group Limited | Method of providing real-time secure communication between end points in a network |
JP6850530B2 (ja) * | 2014-10-20 | 2021-03-31 | タタ コンサルタンシー サービシズ リミテッドTATA Consultancy Services Limited | セキュアセッションの確立と暗号化データ交換のためのコンピュータ利用システム及びコンピュータ利用方法 |
KR101611944B1 (ko) * | 2015-03-13 | 2016-04-12 | 한국전자통신연구원 | 데이터 암호화 기능 선택적 적용 방법 |
JP6023853B1 (ja) * | 2015-05-29 | 2016-11-09 | 日本電信電話株式会社 | 認証装置、認証システム、認証方法、およびプログラム |
US10469464B2 (en) * | 2015-06-09 | 2019-11-05 | Intel Corporation | Self-configuring key management system for an internet of things network |
KR101707602B1 (ko) * | 2015-09-25 | 2017-02-17 | 상명대학교 천안산학협력단 | 해시 트리 기반 보안 메시지 인증 방법 및 이를 위한 장치 |
TWI576779B (zh) * | 2015-10-13 | 2017-04-01 | Nat Sun Yat-Sen Univ | Method and Method of Payment Authentication System for Internet of Things |
WO2017096596A1 (zh) * | 2015-12-10 | 2017-06-15 | 深圳市大疆创新科技有限公司 | 无人机认证方法,安全通信方法及对应*** |
KR101709086B1 (ko) | 2015-12-24 | 2017-02-23 | 서강대학교산학협력단 | 사물 인터넷 환경에서의 컨텍스트 기반 보안방법 및 그에 따른 시스템 |
EP3395091B1 (en) * | 2015-12-24 | 2021-05-26 | Nokia Technologies Oy | Authentication and key agreement in communication network |
US11206260B2 (en) * | 2016-01-19 | 2021-12-21 | British Telecommunications Public Limited Company | Authentication of data transmission devices |
CN105763321B (zh) * | 2016-04-06 | 2018-09-28 | 深圳市奔迈科技有限公司 | 一种物联网通讯加密方法和装置 |
KR101838511B1 (ko) * | 2016-05-17 | 2018-03-14 | 현대자동차주식회사 | 암호화를 적용한 제어기 보안 방법 및 그 장치 |
US10271209B2 (en) * | 2016-06-12 | 2019-04-23 | Apple Inc. | Session protocol for backward security between paired devices |
CN106330941A (zh) * | 2016-08-31 | 2017-01-11 | 成都秦川科技发展有限公司 | 物联网私密通道的信息私密分送及对象控制方法、装置 |
CN106330943A (zh) * | 2016-08-31 | 2017-01-11 | 成都秦川科技发展有限公司 | 物联网私密通道和公共网络模糊信息分送控制方法及装置 |
WO2018048411A1 (en) * | 2016-09-08 | 2018-03-15 | Hewlett-Packard Development Company, L.P. | Establishing shared key data for wireless pairing |
CN108156126B (zh) * | 2016-12-02 | 2020-12-08 | 阿里巴巴集团控股有限公司 | 物联网设备的烧录校验方法及装置、身份认证方法及装置 |
JP2018092099A (ja) * | 2016-12-07 | 2018-06-14 | キヤノン株式会社 | 画像形成装置、画像形成方法 |
US11582233B2 (en) | 2017-11-22 | 2023-02-14 | Aeris Communications, Inc. | Secure authentication of devices for Internet of Things |
WO2019104124A1 (en) | 2017-11-22 | 2019-05-31 | Aeris Communications, Inc. | Secure authentication of devices for internet of things |
CN108040042B (zh) * | 2017-12-05 | 2020-07-03 | 重庆邮电大学 | 一种针对多播情况下CoAP协议的安全方法 |
US10715511B2 (en) * | 2018-05-03 | 2020-07-14 | Honeywell International Inc. | Systems and methods for a secure subscription based vehicle data service |
CN110719248B (zh) * | 2018-07-12 | 2021-08-17 | 中移(杭州)信息技术有限公司 | 用户数据报协议报文的转发方法及装置 |
CN110839240B (zh) * | 2018-08-17 | 2022-07-05 | 阿里巴巴集团控股有限公司 | 一种建立连接的方法及装置 |
MX2021002895A (es) * | 2018-09-14 | 2021-08-24 | Spectrum Brands Inc | Autenticacion de internet de dispositivos de las cosas, incluidas las cerraduras electronicas. |
CN110912852B (zh) * | 2018-09-14 | 2022-04-08 | 阿里巴巴集团控股有限公司 | 获取密钥的方法、装置和***,存储介质和计算机终端 |
CN109257170A (zh) * | 2018-11-02 | 2019-01-22 | 美的集团股份有限公司 | 密钥协商方法、设备、终端、存储介质以及*** |
CN109245885A (zh) * | 2018-11-02 | 2019-01-18 | 美的集团股份有限公司 | 密钥协商方法、设备、存储介质以及*** |
US11057211B2 (en) * | 2018-12-10 | 2021-07-06 | Cisco Technology, Inc. | Secured protection of advertisement parameters in a zero trust low power and lossy network |
US11362837B2 (en) | 2018-12-10 | 2022-06-14 | Cisco Technology, Inc. | Generating trustable RPL messages having root-signed rank values |
CN111342956B (zh) * | 2018-12-19 | 2021-06-15 | 美的集团股份有限公司 | 一种家电设备通信的方法、存储介质、家电设备和装置 |
CN110138772B (zh) * | 2019-05-13 | 2022-02-25 | 上海英恒电子有限公司 | 一种通信方法、装置、***、设备和存储介质 |
CN110234115A (zh) * | 2019-05-23 | 2019-09-13 | 深圳和而泰家居在线网络科技有限公司 | 多设备通信***和数据通信方法 |
CN113169965B (zh) * | 2019-06-28 | 2023-06-13 | Oppo广东移动通信有限公司 | 一种资源配置方法、设备及存储介质 |
KR20220051306A (ko) * | 2019-08-23 | 2022-04-26 | 삼성전자주식회사 | 전자 디바이스 및 전자 디바이스가 타겟 디바이스에게 제어 명령을 전달하는 방법 |
CN112448809B (zh) * | 2019-08-30 | 2022-07-22 | 华为技术有限公司 | 密钥配置***及相关方法和产品 |
CN111835752B (zh) * | 2020-07-09 | 2022-04-12 | 国网山西省电力公司信息通信分公司 | 基于设备身份标识的轻量级认证方法及网关 |
ES2788976B2 (es) * | 2020-07-24 | 2022-03-16 | Vega Crespo Jose Agustin Francisco Javier | Sistema para el cifrado y autenticacion de comunicaciones con autenticacion mutua de los comunicantes |
CN111917619B (zh) * | 2020-07-29 | 2022-07-29 | 华人运通(江苏)技术有限公司 | 通信方法、装置、电子设备和可读存储介质 |
CN112118223B (zh) * | 2020-08-11 | 2023-06-20 | 北京智芯微电子科技有限公司 | 主站与终端的认证方法、主站、终端及存储介质 |
CN112291773B (zh) * | 2020-12-31 | 2021-04-06 | 飞天诚信科技股份有限公司 | 一种认证器及其通信方法 |
CN112954680B (zh) * | 2021-03-02 | 2022-12-09 | 西安电子科技大学 | 抗追溯攻击的无线传感器网络轻量级接入认证方法及*** |
CN114040390B (zh) * | 2021-11-17 | 2023-05-09 | 国网福建省电力有限公司 | 一种基于量子安全的5g虚商密钥库分发方法 |
TWI802447B (zh) * | 2022-06-21 | 2023-05-11 | 桓達科技股份有限公司 | 感測器無線傳訊的封包加解密方法 |
WO2024160678A1 (en) * | 2023-01-30 | 2024-08-08 | Giesecke+Devrient Mobile Security Germany Gmbh | Secure session capability by encryption of random numbers in handshake messages under a preshared key |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6148405A (en) * | 1997-11-10 | 2000-11-14 | Phone.Com, Inc. | Method and system for secure lightweight transactions in wireless data networks |
CN102118387A (zh) * | 2010-01-04 | 2011-07-06 | Tata咨询服务有限公司 | 无线通信装置与服务器之间的数据安全事务的***和方法 |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6377691B1 (en) * | 1996-12-09 | 2002-04-23 | Microsoft Corporation | Challenge-response authentication and key exchange for a connectionless security protocol |
WO1998038156A1 (en) * | 1997-02-27 | 1998-09-03 | Takeda Chemical Industries, Ltd. | Amine compounds, their production and use as amyloid-beta production inhibitors |
WO2001013201A2 (en) | 1999-08-12 | 2001-02-22 | Sarnoff Corporation | Peer-to-peer network user authentication protocol |
US7424615B1 (en) | 2001-07-30 | 2008-09-09 | Apple Inc. | Mutually authenticated secure key exchange (MASKE) |
US20030093680A1 (en) * | 2001-11-13 | 2003-05-15 | International Business Machines Corporation | Methods, apparatus and computer programs performing a mutual challenge-response authentication protocol using operating system capabilities |
US20030221126A1 (en) * | 2002-05-24 | 2003-11-27 | International Business Machines Corporation | Mutual authentication with secure transport and client authentication |
JP2004241802A (ja) * | 2003-02-03 | 2004-08-26 | Matsushita Electric Ind Co Ltd | コンテンツ配信システム及びコンテンツ蓄積装置 |
EP1761861A4 (en) | 2004-06-28 | 2009-12-16 | Nds Ltd | PROXIMITY DETERMINATION SYSTEM |
US8660268B2 (en) * | 2008-04-29 | 2014-02-25 | Red Hat, Inc. | Keyed pseudo-random number generator |
US8281134B2 (en) * | 2009-01-29 | 2012-10-02 | Symbol Technologies, Inc. | Methods and apparatus for layer 2 and layer 3 security between wireless termination points |
DE102009024604B4 (de) * | 2009-06-10 | 2011-05-05 | Infineon Technologies Ag | Erzeugung eines Session-Schlüssels zur Authentisierung und sicheren Datenübertragung |
EP2276278A1 (en) * | 2009-07-13 | 2011-01-19 | Research In Motion Limited | Methods and apparatus for maintaining secure connections in a wireless communication network |
CN101789934B (zh) * | 2009-11-17 | 2012-09-05 | 飞天诚信科技股份有限公司 | 网上安全交易方法和*** |
US8842833B2 (en) * | 2010-07-09 | 2014-09-23 | Tata Consultancy Services Limited | System and method for secure transaction of data between wireless communication device and server |
CN102571702B (zh) * | 2010-12-22 | 2014-11-05 | 中兴通讯股份有限公司 | 物联网中的密钥生成方法、***和设备 |
JP6009563B2 (ja) * | 2011-07-25 | 2016-10-19 | コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. | 安全なエンドツーエンド接続を確立するための方法、デバイス、及びシステム、並びに、データパケットを安全に通信するための方法、デバイス、及びシステム |
-
2014
- 2014-11-14 EP EP14193246.7A patent/EP2903204A1/en not_active Withdrawn
- 2014-11-18 AU AU2014265030A patent/AU2014265030B2/en active Active
- 2014-11-19 ZA ZA2014/08487A patent/ZA201408487B/en unknown
- 2014-12-05 KR KR1020140174273A patent/KR102068367B1/ko active IP Right Grant
- 2014-12-16 JP JP2014253636A patent/JP6301244B2/ja active Active
- 2014-12-17 US US14/573,755 patent/US9780954B2/en active Active
-
2015
- 2015-01-13 CN CN202010929142.1A patent/CN112217794A/zh active Pending
- 2015-01-13 CN CN201510017231.8A patent/CN104821930A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6148405A (en) * | 1997-11-10 | 2000-11-14 | Phone.Com, Inc. | Method and system for secure lightweight transactions in wireless data networks |
CN102118387A (zh) * | 2010-01-04 | 2011-07-06 | Tata咨询服务有限公司 | 无线通信装置与服务器之间的数据安全事务的***和方法 |
Non-Patent Citations (1)
Title |
---|
ARIJIT UKIL等: "Lightweight Security Scheme for Vehicle Tracking System Using CoAP", 《ASPI"13:PROCEEDINGS OF THE INTERNATIONAL WORKSHOP ON ADAPTIVE SECURITY》 * |
Also Published As
Publication number | Publication date |
---|---|
CN104821930A (zh) | 2015-08-05 |
JP2015146567A (ja) | 2015-08-13 |
EP2903204A1 (en) | 2015-08-05 |
ZA201408487B (en) | 2016-06-29 |
JP6301244B2 (ja) | 2018-03-28 |
AU2014265030B2 (en) | 2016-04-21 |
KR102068367B1 (ko) | 2020-01-20 |
KR20150091969A (ko) | 2015-08-12 |
US9780954B2 (en) | 2017-10-03 |
US20150222439A1 (en) | 2015-08-06 |
AU2014265030A1 (en) | 2015-08-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9780954B2 (en) | Computer implemented system and method for lightweight authentication on datagram transport for internet of things | |
JP6844908B2 (ja) | セキュアセッションの確立と暗号化データ交換のためのコンピュータ利用システム及びコンピュータ利用方法 | |
JP6168415B2 (ja) | 端末認証システム、サーバ装置、及び端末認証方法 | |
CN108886468B (zh) | 用于分发基于身份的密钥资料和证书的***和方法 | |
CN108599925B (zh) | 一种基于量子通信网络的改进型aka身份认证***和方法 | |
US9608967B2 (en) | Method and system for establishing a session key | |
US20020073322A1 (en) | Countermeasure against denial-of-service attack on authentication protocols using public key encryption | |
US20140298037A1 (en) | Method, apparatus, and system for securely transmitting data | |
US10158636B2 (en) | Method for setting up a secure end-to-end communication between a user terminal and a connected object | |
US10158608B2 (en) | Key establishment for constrained resource devices | |
JP6548172B2 (ja) | 端末認証システム、サーバ装置、及び端末認証方法 | |
CN103763356A (zh) | 一种安全套接层连接的建立方法、装置及*** | |
US9544298B2 (en) | Method for certificate-based authentication | |
KR101495070B1 (ko) | Ptp프로토콜을 위한 키들을 분배하기 위한 방법들 및 장치들 | |
CN112637136A (zh) | 加密通信方法及*** | |
CN108599926B (zh) | 一种基于对称密钥池的HTTP-Digest改进型AKA身份认证***和方法 | |
CN101958907A (zh) | 一种传输密钥的方法、***和装置 | |
KR101704540B1 (ko) | M2m 환경의 다중 디바이스 데이터 공유를 위한 그룹키 관리 방법 | |
CN116388995A (zh) | 一种基于puf的轻量级智能电网认证方法 | |
CN109474667B (zh) | 一种基于tcp和udp的无人机通信方法 | |
CN109067705B (zh) | 基于群组通信的改进型Kerberos身份认证***和方法 | |
CN113014376A (zh) | 一种用户与服务器之间安全认证的方法 | |
Boudguiga et al. | Server assisted key establishment for WSN: A MIKEY-Ticket approach | |
Ghilen et al. | Integration of a quantum authenticated key distribution scheme in the EAP-TLS protocol | |
Lei et al. | An improved kerberos scheme based on dynamic password |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210112 |
|
RJ01 | Rejection of invention patent application after publication |