CN113946845A - 物联网设备离线会话方法、装置及存储介质 - Google Patents

物联网设备离线会话方法、装置及存储介质 Download PDF

Info

Publication number
CN113946845A
CN113946845A CN202111158449.7A CN202111158449A CN113946845A CN 113946845 A CN113946845 A CN 113946845A CN 202111158449 A CN202111158449 A CN 202111158449A CN 113946845 A CN113946845 A CN 113946845A
Authority
CN
China
Prior art keywords
internet
point
authentication
things
things equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111158449.7A
Other languages
English (en)
Inventor
聂旭文
王婷
李克勤
麻志毅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Advanced Institute of Information Technology AIIT of Peking University
Hangzhou Weiming Information Technology Co Ltd
Original Assignee
Advanced Institute of Information Technology AIIT of Peking University
Hangzhou Weiming Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Advanced Institute of Information Technology AIIT of Peking University, Hangzhou Weiming Information Technology Co Ltd filed Critical Advanced Institute of Information Technology AIIT of Peking University
Priority to CN202111158449.7A priority Critical patent/CN113946845A/zh
Publication of CN113946845A publication Critical patent/CN113946845A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • G06F17/16Matrix or vector computation, e.g. matrix-matrix or matrix-vector multiplication, matrix factorization
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/58Random or pseudo-random number generators
    • G06F7/588Random number generators, i.e. based on natural stochastic processes

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Mathematical Optimization (AREA)
  • Software Systems (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computational Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Mathematical Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Bioethics (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Algebra (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种物联网设备离线会话方法,应用于物联网***,涉及边缘端网关,包括:当接收到物联网设备针对边缘端网关发送的设备标识时,根据随机数创建函数生成第一随机数;基于第一随机数进行椭圆曲线中的点乘运算,生成第一随机点;将第一随机点发送至物联网设备,并基于第一随机点与物联网设备进行离线认证。因此,由于本申请通过标识的椭圆曲线密码改进算法来实现设备认证和通信加密功能,可以使设备的计算只需一个椭圆曲线点乘运算,空间要求只需极少的存储空间就能完成存储功能,在实现轻量级算法的同时,可以保障物联网设备身份安全可信,以及保护数据传输的安全。

Description

物联网设备离线会话方法、装置及存储介质
技术领域
本发明涉及通信技术领域,特别涉及一种物联网设备离线会话方法、装置及存储介质。
背景技术
随着物联网技术和应用的飞速发展,海量物联网设备接入互联网。如图1,海量低成本、低功耗、小存储的物联网设备接入边缘端设备;边缘端设备作为网关收集接入的物联网设备的数据;接入端转发边缘端收集发送的物联网设备数据给平台端。在此架构中,如果缺乏设备认证和加密机制,恶意攻击者会伪造设备,截获设备数据,导致产生脏数据/假数据,影响数据的准确性,以及导致信息泄漏,因此如何有效阻挡恶意攻击者是研究人员当前急需解决的事情。
在现有技术方案中,物联网保密通信主要由设备认证方案与加密通信方案组成。传统物联网设备认证主要有两种方式:一种是采用基于公钥密码体系的方式,该方式可同时解决设备认证和加密通信,但设备间通信需要证书管理中心来颁发证书,不适用于离线环境。另一种是采用口令密码方式,设备口令统一预置,该方式的认证机制薄弱,且需要单独的加密通信方案来保证通信安全,若采用对称加密,则需在设备中统一预置密钥,一旦密钥泄露,则所有设备均受影响;若采用公钥密码体系,则面临与方式一同样的问题。已有基于国密算法的方案可解决上述问题,但是所需存储空间和计算量较大,不适用于资源受限的物联网设备。
发明内容
本申请实施例提供了一种物联网设备离线会话方法、装置及存储介质。为了对披露的实施例的一些方面有一个基本的理解,下面给出了简单的概括。该概括部分不是泛泛评述,也不是要确定关键/重要组成元素或描绘这些实施例的保护范围。其唯一目的是用简单的形式呈现一些概念,以此作为后面的详细说明的序言。
第一方面,本申请实施例提供了一种物联网设备离线会话方法,应用于边缘端网关,方法包括:
当接收到物联网设备针对边缘端网关发送的设备标识时,根据随机数创建函数生成第一随机数;
基于第一随机数进行椭圆曲线中的点乘运算,生成第一随机点;
将第一随机点发送至物联网设备,并基于第一随机点与物联网设备进行离线认证。
可选的,基于第一随机点与物联网设备进行离线认证,包括:
当接收到物联网设备针对边缘端网关发送的第一认证点时,基于设备标识计算物联网设备公钥;
根据第一随机数与物联网设备公钥计算第二认证点;
根据第一认证点与第二认证点判定物联网设备是否认证通过。
可选的,基于设备标识计算物联网设备公钥,包括:
获取平台端密钥生成中心针对边缘端网关发送的第一主公钥与第二主公钥;
获取预设字符串;
拼接设备标识与预设字符串,生成拼接字段;
根据安全哈希函数计算拼接字段的哈希值;
将哈希值与第一主公钥作点乘,并将作点乘后的值与第二主公钥做和后生成物联网设备公钥;
其中,物联网设备公钥的计算公式为:PK=[HASH(ID||0x01)]PubKey1+PubKey2;其中,HASH为安全哈希函数,ID为物联网设备,0x01为预设字符串,PubKey1为第一主公钥,PubKey2为第二主公钥。
可选的,根据第一认证点与第二认证点判定物联网设备是否认证通过,包括:
当第一认证点与第二认证点相同时,确定物联网设备认证通过;
或者,
当第一认证点与第二认证点不相同时,确定物联网设备认证不通过。
可选的,方法还包括:
当物联网设备认证通过时,根据随机数创建函数生成第二随机数;
基于第二随机数进行椭圆曲线中的点乘运算,生成第二随机点;
将第二随机点发送至物联网设备;
根据第二随机数与物联网设备公钥计算第一秘密公共点;
抽取第一秘密公共点中的横坐标为协商密钥;
根据协商密钥、对称加密算法与物联网设备进行加密通信。
第二方面,本申请实施例提供了一种物联网设备离线会话方法,应用于物联网设备,方法包括:
接收边缘端网关针对物联网设备发送的第一随机点;
获取平台端密钥生成中心针对物联网设备发送的设备私钥;
根据设备私钥与第一随机点计算第一认证点;
将第一认证点发送至边缘端网关。
可选的,方法还包括:
接收边缘端网关针对物联网设备发送的第二随机点;
根据设备私钥与第二随机点计算第二秘密公共点;
抽取第二秘密公共点中的横坐标为协商密钥;
根据协商密钥、对称加密算法与边缘端网关进行加密通信。
第三方面,本申请实施例提供了一种物联网设备离线会话方法,应用于平台端密钥生成中心,方法包括:
在物联网***初始化时,根据随机数创建函数生成第一主私钥与第二主私钥;
根据第一主私钥与第二主私钥进行椭圆曲线中的点乘运算,生成第一主公钥与第二主公钥;
当有新的物联网设备加入时,针对所述物联网设备生成设备标识;
根据设备标识、第一主私钥与第二主私钥计算设备私钥;
将第一主公钥、第二主公钥以及设备私钥通过预设安全信道发送至物联网设备;
将第一主公钥、第二主公钥发送至边缘端网关。
第四方面,本申请实施例提供了一种物联网设备离线会话装置,应用于边缘端网关,装置包括:
随机数创建模块,用于当接收到物联网设备针对边缘端网关发送的设备标识时,根据随机数创建函数生成第一随机数;
随机点生成模块,用于基于第一随机数进行椭圆曲线中的点乘运算,生成第一随机点;
离线认证模块,用于将第一随机点发送至物联网设备,并基于第一随机点与物联网设备进行离线认证。
第四方面,本申请实施例提供一种计算机存储介质,计算机存储介质存储有多条指令,指令适于由处理器加载并执行上述的方法步骤。
本申请实施例提供的技术方案可以包括以下有益效果:
在本申请实施例中,边缘端网关首先当接收到物联网设备针对边缘端网关发送的设备标识时,根据随机数创建函数生成第一随机数,然后基于第一随机数进行椭圆曲线中的点乘运算,生成第一随机点,最后将第一随机点发送至物联网设备,并基于第一随机点与物联网设备进行离线认证。因此,由于本申请通过标识的椭圆曲线密码改进算法来实现设备认证和通信加密功能,可以使设备的计算只需一个椭圆曲线点乘运算,空间要求只需极少的存储空间就能完成存储功能,在实现轻量级算法的同时,可以保障物联网设备身份安全可信,以及保护数据传输的安全。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本发明。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
图1是本申请实施例提供的一种物联网设备会话的***架构图;
图2是本申请实施例提供的一种应用于边缘端网关的物联网设备离线会话方法的流程示意图;
图3是本申请提供的一种设备认证流程示意图;
图4是本申请提供的一种密钥协商流程示意图;
图5是本申请实施例提供的一种应用于物联网设备的物联网设备离线会话方法的流程示意图;
图6是本申请提供的一种平台端密钥生成中心的物联网设备离线会话方法的流程示意图;
图7是本申请提供的一种应用于边缘端网关的物联网设备离线会话装置的装置示意图;
图8是本申请实施例提供的一种网关设备的结构示意图。
具体实施方式
以下描述和附图充分地示出本发明的具体实施方案,以使本领域的技术人员能够实践它们。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
在本发明的描述中,需要理解的是,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。此外,在本发明的描述中,除非另有说明,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
本申请提供了一种物联网设备离线会话方法、装置及存储介质,以解决上述相关技术问题中存在的问题。本申请提供的技术方案中,由于本申请通过标识的椭圆曲线密码改进算法来实现设备认证和通信加密功能,可以使设备的计算只需一个椭圆曲线点乘运算,空间要求只需极少的存储空间就能完成存储功能,在实现轻量级算法的同时,可以保障物联网设备身份安全可信,以及保护数据传输的安全,下面采用示例性的实施例进行详细说明。
下面将结合附图1-6,对本申请实施例提供的物联网设备离线会话方法进行详细介绍。该方法可依赖于计算机程序实现,可运行于基于冯诺依曼体系的物联网设备离线会话装置上。该计算机程序可集成在应用中,也可作为独立的工具类应用运行。
请参见图1,为本申请实施例提供了一种物联网设备离线会话方法的流程示意图,应用于边缘端网关。如图1所示,本申请实施例的方法可以包括以下步骤:
S101,当接收到物联网设备针对边缘端网关发送的设备标识时,根据随机数创建函数生成第一随机数;
在本申请实施例中,形如P′=[n]P的计算式表示椭圆曲线中的点乘运算;Hash()表示安全哈希函数,且输出转化为大整数;||表示字符串拼接运算。
通常,边缘端网关在接收设备标识之前,当物联网***初始化时,平台端密钥生成中心根据随机数创建函数生成随机数k1,k2作为主私钥,k1为第一主私钥,k2为第二主私钥,平台端密钥生成中心根据第一主私钥k1与第二主私钥k2进行椭圆曲线中的点乘运算,生成第一主公钥与第二主公钥,第一主公钥的计算公式为:PubKey1=[k1]P,第二主公钥的计算公式为:PubKey2=[k2]P,此时完成初始化。
当有新的物联网设备加入时,平台端密钥生成中心针对所述物联网设备生成设备标识ID,平台端密钥生成中心根据设备标识ID、第一主私钥与第二主私钥计算设备私钥sk,设备私钥sk计算公式为:
sk=Hash(ID||0x01)·k1+k2 mod N。
平台端密钥生成中心将第一主公钥、第二主公钥以及设备私钥通过预设安全信道发送至物联网设备,并将第一主公钥、第二主公钥发送至边缘端网关。
进一步地,物联网设备通过预置认证网关IP发现网关,物联网设备发送自己的设备标识ID给边缘端网关。
在一种可能的实现方式中,边缘端网关接收物联网设备针对边缘端网关发送的设备标识,并根据随机数创建函数生成第一随机数r。
S102,基于第一随机数进行椭圆曲线中的点乘运算,生成第一随机点;
在一种可能的实现方式中,在生成第一随机数r后,边缘端网关基于第一随机数进行椭圆曲线中的点乘运算,生成第一随机点,第一随机点的计算公式为:RP=[r]P。
S103,将第一随机点发送至物联网设备,并基于第一随机点与物联网设备进行离线认证。
在一种可能的实现方式中,边缘端网关将第一随机点RP发送给物联网设备,并基于第一随机点与物联网设备进行离线认证。
进一步地,物联网设备接收第一随机点RP后,然后获取平台端密钥生成中心针对物联网设备发送的设备私钥sk,其次根据设备私钥sk与第一随机点RP计算第一认证点AP,最后将第一认证点AP发送至边缘端网关。第一认证点AP的计算公式为:AP=[sk]RP。
具体的,在基于第一随机点与物联网设备进行离线认证时,边缘端网关首先接收物联网设备针对边缘端网关发送的第一认证点AP时,并基于设备标识ID计算物联网设备公钥,然后根据第一随机数r与物联网设备公钥计算第二认证点AP′,最后根据第一认证点AP与第二认证点AP′判定物联网设备是否认证通过。
具体的,在边缘端网关基于设备标识ID计算物联网设备公钥时,边缘端网关首先获取平台端密钥生成中心针对边缘端网关发送的第一主公钥PubKey1与第二主公钥PubKey2,然后获取预设字符串0x01,再拼接设备标识与预设字符串,生成拼接字段,其次根据安全哈希函数计算拼接字段的哈希值,最后将哈希值与第一主公钥作点乘,并将作点乘后的值与第二主公钥做和后生成物联网设备公钥。
其中,物联网设备公钥PK的计算公式为:PK=[Hash(ID||0x01)]PubKey1+PubKey2。其中,HASH为安全哈希函数,ID为物联网设备,0x01为预设字符串,PubKey1为第一主公钥,PubKey2为第二主公钥。
其中,第二认证点计算公式为:AEP′=[r]PK。
具体的,边缘端网关根据第一认证点AP与第二认证点AP′判定物联网设备是否认证通过时,当第一认证点AP与第二认证点AP′相同时,边缘端网关确定物联网设备认证通过;或者,当第一认证点AP与第二认证点AP′不相同时,边缘端网关确定物联网设备认证不通过。
例如图3所示,图3是本申请提供的一种设备认证流程示意图,设备通过预置认证网关IP发现网关,设备发送自己的设备标识ID给网关,网关接收设备标识ID,网关生成随机数r,并计算随机点RP=[r]P,网关发送随机点RP给设备,设备基于设备私钥计算认证点:AP=[sk]RP,并发送给网关,网关接收认证点AP,网关基于接收到的设备标识ID计算设备公钥
PK=[Hash(ID||0x01)]PubKey1+PubKey2,网关基于随机数r与设备公钥PK计算认证对比点AP′=[r]PK,网关比较认证点AP与认证对比点AP′,两者相同则认证通过,否则不通过。
例如图4所示,图4是本申请提供的一种密钥协商流程示意图,网关生成随机数m,并计算随机点MP=[m]P,网关发送随机点MP给设备,设备接收随机点MP,并计算秘密公共点SP=[sk]MP,取SP的横坐标x为协商密钥key,网关基于随机数m和设备公钥PK,计算秘密公共点SP′=[m]PK,取SP′的横坐标x′为协商密钥key,双方基于协商密钥key与对称加密算法进行加密通信。
进一步地,当物联网设备认证通过时,边缘端网关首先根据随机数创建函数生成第二随机数m,边缘端网关然后基于第二随机数进行椭圆曲线中的点乘运算,生成第二随机点MP,边缘端网关再将第二随机点MP发送至物联网设备,边缘端网关其次根据第二随机数m与物联网设备公钥PK计算第一秘密公共点SP′,边缘端网关再抽取第一秘密公共点SP′中的横坐标x′为协商密钥key,边缘端网关最后根据协商密钥key、对称加密算法与物联网设备进行加密通信。
其中,第二随机点MP的计算公式为:MP=[m]P。
其中,第二秘密公共点的计算公式为:SP′=[m]PK。
进一步地,物联网设备首先接收边缘端网关针对物联网设备发送的第二随机点MP,物联网设备然后根据设备私钥与第二随机点MP计算第二秘密公共点SP,物联网设备再抽取第二秘密公共点中的横坐标x为协商密钥key,物联网设备最后根据协商密钥key、对称加密算法与边缘端网关进行加密通信。
可选地,设备资源极度受限的情况下,可以用协商密钥与明文进行异或运算来加密。
在本申请实施例中,边缘端网关首先当接收到物联网设备针对边缘端网关发送的设备标识时,根据随机数创建函数生成第一随机数,然后基于第一随机数进行椭圆曲线中的点乘运算,生成第一随机点,最后将第一随机点发送至物联网设备,并基于第一随机点与物联网设备进行离线认证。因此,由于本申请通过标识的椭圆曲线密码改进算法来实现设备认证和通信加密功能,可以使设备的计算只需一个椭圆曲线点乘运算,空间要求只需极少的存储空间就能完成存储功能,在实现轻量级算法的同时,可以保障物联网设备身份安全可信,以及保护数据传输的安全。
请参见图5,为本申请实施例提供了一种物联网设备离线会话方法的流程示意图,应用于物联网设备。如图5所示,本申请实施例的方法可以包括以下步骤:
S201,接收边缘端网关针对物联网设备发送的第一随机点;
S202,获取平台端密钥生成中心针对物联网设备发送的设备私钥;
S203,根据设备私钥与第一随机点计算第一认证点;
S204,将第一认证点发送至边缘端网关。
S205,接收边缘端网关针对物联网设备发送的第二随机点;
S206,根据设备私钥与第二随机点计算第二秘密公共点;
S207,抽取第二秘密公共点中的横坐标为协商密钥;
S208,根据协商密钥、对称加密算法与边缘端网关进行加密通信。
在设备认证时,当一个边缘端网关(后文简称网关)需要对设备进行认证时,首先由设备将自己的标识ID发送给网关,网关生成随机数r,计算随机点RP=[r]P,并将点RP发送给设备;设备收到点RP后,计算认证点AP=[sk]SP,并将点AP发送给网关;网关基于设备的标识ID,计算出其ECC公钥密码体系下的公钥PK:
PK=[Hash(ID||0x01)]PubKey1+PubKey2,再基于设备公钥PK计算认证点AP′=[r]PK,对比接收到的认证点AP,两个点相同则认证通过,否则不通过。
在密钥协商时,网关对设备地认证通过后,再生成一个随机数m,计算随机点MP=[m]P,并将随机点MP发送给设备,网关再基于设备公钥PK计算出秘密公共点SP=[m]PK,将秘密公共点SP的横坐标x序列化得到协商密钥key;设备收到随机点MP后,利用自己的设备私钥sk生成秘密公共点SP′=[sk]MP,也将公共点SP′的横坐标x′序列化得到协商密钥key。
在本申请实施例中,边缘端网关首先当接收到物联网设备针对边缘端网关发送的设备标识时,根据随机数创建函数生成第一随机数,然后基于第一随机数进行椭圆曲线中的点乘运算,生成第一随机点,最后将第一随机点发送至物联网设备,并基于第一随机点与物联网设备进行离线认证。因此,由于本申请通过标识的椭圆曲线密码改进算法来实现设备认证和通信加密功能,可以使设备的计算只需一个椭圆曲线点乘运算,空间要求只需极少的存储空间就能完成存储功能,在实现轻量级算法的同时,可以保障物联网设备身份安全可信,以及保护数据传输的安全。
请参见图6,为本申请实施例提供了一种物联网设备离线会话方法的流程示意图,应用于平台端密钥生成中心。如图6所示,本申请实施例的方法可以包括以下步骤:
S301,当物联网***初始化时,根据随机数创建函数生成第一主私钥与第二主私钥;
S302,根据第一主私钥与第二主私钥进行椭圆曲线中的点乘运算,生成第一主公钥与第二主公钥;
S303,当有新的物联网设备加入时,针对所述物联网设备生成设备标识;
S304,根据设备标识、第一主私钥与第二主私钥计算设备私钥;
S305,将第一主公钥、第二主公钥以及设备私钥通过预设安全信道发送至物联网设备;
S306,将第一主公钥、第二主公钥发送至边缘端网关。
在一种可能的实现方式中,平台端密钥生成中心首先选取一条安全的椭圆曲线,并生成相关的公共参数,包括椭圆曲线的参数a,b,q,以及基点P,阶N。随后生成随机数k1,k2作为主私钥,并计算点PubKey1=[k1]P,点PubKey2=[k2]P,将两个点作为主公钥。
对于一个设备,首先为其生成设备标识ID;根据设备标识ID,生成设备的私钥sk:sk=Hash(D||0x01)·k1+k2 mod N;在ECC公钥密码体系中,其公钥为PK=[sk]P,将设备的标识ID、私钥预置于设备内。
在本申请实施例中,边缘端网关首先当接收到物联网设备针对边缘端网关发送的设备标识时,根据随机数创建函数生成第一随机数,然后基于第一随机数进行椭圆曲线中的点乘运算,生成第一随机点,最后将第一随机点发送至物联网设备,并基于第一随机点与物联网设备进行离线认证。因此,由于本申请通过标识的椭圆曲线密码改进算法来实现设备认证和通信加密功能,可以使设备的计算只需一个椭圆曲线点乘运算,空间要求只需极少的存储空间就能完成存储功能,在实现轻量级算法的同时,可以保障物联网设备身份安全可信,以及保护数据传输的安全。
下述为本发明装置实施例,可以用于执行本发明方法实施例。对于本发明装置实施例中未披露的细节,请参照本发明方法实施例。
请参见图7,其示出了本发明一个示例性实施例提供的物联网设备离线会话装置的结构示意图,应用于边缘端网关。该物联网设备离线会话装置可以通过软件、硬件或者两者的结合实现成为网关设备的全部或一部分。该装置1包括随机数创建模块10、随机点生成模块20、离线认证模块30。
随机数创建模块10,用于当接收到物联网设备针对边缘端网关发送的设备标识时,根据随机数创建函数生成第一随机数;
随机点生成模块20,用于基于第一随机数进行椭圆曲线中的点乘运算,生成第一随机点;
离线认证模块30,用于将第一随机点发送至物联网设备,并基于第一随机点与物联网设备进行离线认证。
需要说明的是,上述实施例提供的物联网设备离线会话装置在执行物联网设备离线会话方法时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的物联网设备离线会话装置与物联网设备离线会话方法实施例属于同一构思,其体现实现过程详见方法实施例,这里不再赘述。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请实施例中,边缘端网关首先当接收到物联网设备针对边缘端网关发送的设备标识时,根据随机数创建函数生成第一随机数,然后基于第一随机数进行椭圆曲线中的点乘运算,生成第一随机点,最后将第一随机点发送至物联网设备,并基于第一随机点与物联网设备进行离线认证。因此,由于本申请通过标识的椭圆曲线密码改进算法来实现设备认证和通信加密功能,可以使设备的计算只需一个椭圆曲线点乘运算,空间要求只需极少的存储空间就能完成存储功能,在实现轻量级算法的同时,可以保障物联网设备身份安全可信,以及保护数据传输的安全。
本发明还提供一种计算机可读介质,其上存储有程序指令,该程序指令被处理器执行时实现上述各个方法实施例提供的物联网设备离线会话方法。本发明还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述各个方法实施例的物联网设备离线会话方法。
请参见图8,为一个实施例中网关设备的内部结构示意图。如图8所示,该网关设备包括通过***总线连接的处理器、非易失性存储介质、存储器和网络接口。其中,该网关设备的非易失性存储介质存储有操作***、数据库和计算机可读指令,数据库中可存储有控件信息序列,该计算机可读指令被处理器执行时,可使得处理器实现一种数据传输方法。该网关设备的处理器用于提供计算和控制能力,支撑整个网关设备的运行。该网关设备的存储器中可存储有计算机可读指令,该计算机可读指令被处理器执行时,可使得处理器执行一种数据传输方法。该网关设备的网络接口用于与终端连接通信。本领域技术人员可以理解,图8中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的网关设备的限定,具体的网关设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提出了一种网关设备,网关设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现以下步骤:
当接收到物联网设备针对边缘端网关发送的设备标识时,根据随机数创建函数生成第一随机数;
基于第一随机数进行椭圆曲线中的点乘运算,生成第一随机点;
将第一随机点发送至物联网设备,并基于第一随机点与物联网设备进行离线认证。
在一个实施例中,处理器执行基于第一随机点与物联网设备进行离线认证时,具体执行以下步骤:
当接收到物联网设备针对边缘端网关发送的第一认证点时,基于设备标识计算物联网设备公钥;
根据第一随机数与物联网设备公钥计算第二认证点;
根据第一认证点与第二认证点判定物联网设备是否认证通过。
在一个实施例中,处理器执行基于设备标识计算物联网设备公钥时,具体执行以下步骤:
获取平台端密钥生成中心针对边缘端网关发送的第一主公钥与第二主公钥;
获取预设字符串;
拼接设备标识与预设字符串,生成拼接字段;
根据安全哈希函数计算拼接字段的哈希值;
将哈希值与第一主公钥作点乘,并将作点乘后的值与第二主公钥做和后生成物联网设备公钥;
其中,物联网设备公钥的计算公式为:PK=[HASH(ID||0x01)]PubKey1+PubKey2;其中,HASH为安全哈希函数,ID为物联网设备,0x01为预设字符串,PubKey1为第一主公钥,PubKey2为第二主公钥。
在一个实施例中,处理器执行根据第一认证点与第二认证点判定物联网设备是否认证通过时,具体执行以下步骤:
当第一认证点与第二认证点相同时,确定物联网设备认证通过;
或者,
当第一认证点与第二认证点不相同时,确定物联网设备认证不通过。
在一个实施例中,处理器还执行以下步骤:
当物联网设备认证通过时,根据随机数创建函数生成第二随机数;
基于第二随机数进行椭圆曲线中的点乘运算,生成第二随机点;
将第二随机点发送至物联网设备;
根据第二随机数与物联网设备公钥计算第一秘密公共点;
抽取第一秘密公共点中的横坐标为协商密钥;
根据协商密钥、对称加密算法与物联网设备进行加密通信。
在本申请实施例中,边缘端网关首先当接收到物联网设备针对边缘端网关发送的设备标识时,根据随机数创建函数生成第一随机数,然后基于第一随机数进行椭圆曲线中的点乘运算,生成第一随机点,最后将第一随机点发送至物联网设备,并基于第一随机点与物联网设备进行离线认证。因此,由于本申请通过标识的椭圆曲线密码改进算法来实现设备认证和通信加密功能,可以使设备的计算只需一个椭圆曲线点乘运算,空间要求只需极少的存储空间就能完成存储功能,在实现轻量级算法的同时,可以保障物联网设备身份安全可信,以及保护数据传输的安全。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,物联网设备离线会话的程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,的存储介质可为磁碟、光盘、只读存储记忆体或随机存储记忆体等。
以上所揭露的仅为本申请较佳实施例而已,当然不能以此来限定本申请之权利范围,因此依本申请权利要求所作的等同变化,仍属本申请所涵盖的范围。

Claims (10)

1.一种物联网设备离线会话方法,应用于边缘端网关,其特征在于,所述方法包括:
当接收到物联网设备针对所述边缘端网关发送的设备标识时,根据随机数创建函数生成第一随机数;
基于所述第一随机数进行椭圆曲线中的点乘运算,生成第一随机点;
将所述第一随机点发送至所述物联网设备,并基于所述第一随机点与所述物联网设备进行离线认证。
2.根据权利要求1所述的方法,其特征在于,所述基于所述第一随机点与所述物联网设备进行离线认证,包括:
当接收到所述物联网设备针对所述边缘端网关发送的第一认证点时,基于所述设备标识计算物联网设备公钥;
根据所述第一随机数与所述物联网设备公钥计算第二认证点;
根据所述第一认证点与所述第二认证点判定所述物联网设备是否认证通过。
3.根据权利要求2所述的方法,其特征在于,所述基于所述设备标识计算物联网设备公钥,包括:
获取平台端密钥生成中心针对所述边缘端网关发送的第一主公钥与第二主公钥;
获取预设字符串;
拼接所述设备标识与所述预设字符串,生成拼接字段;
根据安全哈希函数计算所述拼接字段的哈希值;
将所述哈希值与所述第一主公钥作点乘,并将作点乘后的值与所述第二主公钥做和后生成物联网设备公钥;
其中,物联网设备公钥的计算公式为:PK=[HASH(ID||0x01)]PubKey1+PubKey2;其中,HASH为安全哈希函数,ID为物联网设备,0x01为预设字符串,PubKey1为第一主公钥,PubKey2为第二主公钥。
4.根据权利要求2所述的方法,其特征在于,所述根据所述第一认证点与所述第二认证点判定所述物联网设备是否认证通过,包括:
当所述第一认证点与所述第二认证点相同时,确定所述物联网设备认证通过;
或者,
当所述第一认证点与所述第二认证点不相同时,确定所述物联网设备认证不通过。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
当所述物联网设备认证通过时,根据随机数创建函数生成第二随机数;
基于所述第二随机数进行椭圆曲线中的点乘运算,生成第二随机点;
将所述第二随机点发送至所述物联网设备;
根据所述第二随机数与所述物联网设备公钥计算第一秘密公共点;
抽取所述第一秘密公共点中的横坐标为协商密钥;
根据所述协商密钥、对称加密算法与所述物联网设备进行加密通信。
6.一种物联网设备离线会话方法,应用于物联网设备,其特征在于,所述方法包括:
接收边缘端网关针对所述物联网设备发送的第一随机点;
获取平台端密钥生成中心针对所述物联网设备发送的设备私钥;
根据所述设备私钥与所述第一随机点计算第一认证点;
将所述第一认证点发送至所述边缘端网关。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
接收边缘端网关针对所述物联网设备发送的第二随机点;
根据所述设备私钥与所述第二随机点计算第二秘密公共点;
抽取所述第二秘密公共点中的横坐标为协商密钥;
根据所述协商密钥、对称加密算法与所述边缘端网关进行加密通信。
8.一种物联网设备离线会话方法,应用于平台端密钥生成中心,其特征在于,所述方法包括:
当物联网***初始化时,根据随机数创建函数生成第一主私钥与第二主私钥;
根据第一主私钥与第二主私钥进行椭圆曲线中的点乘运算,生成第一主公钥与第二主公钥;
当有新的物联网设备加入时,针对所述物联网设备生成设备标识;
根据所述设备标识、第一主私钥与第二主私钥计算设备私钥;
将所述第一主公钥、所述第二主公钥以及所述设备私钥通过预设安全信道发送至物联网设备;
将所述第一主公钥、所述第二主公钥发送至边缘端网关。
9.一种物联网设备离线会话装置,应用于边缘端网关,其特征在于,所述装置包括:
随机数创建模块,用于当接收到物联网设备针对所述边缘端网关发送的设备标识时,根据随机数创建函数生成第一随机数;
随机点生成模块,用于基于所述第一随机数进行椭圆曲线中的点乘运算,生成第一随机点;
离线认证模块,用于将所述第一随机点发送至所述物联网设备,并基于所述第一随机点与所述物联网设备进行离线认证。
10.一种计算机存储介质,其特征在于,所述计算机存储介质存储有多条指令,所述指令适于由处理器加载并执行如权利要求1-8任意一项的方法步骤。
CN202111158449.7A 2021-09-28 2021-09-28 物联网设备离线会话方法、装置及存储介质 Pending CN113946845A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111158449.7A CN113946845A (zh) 2021-09-28 2021-09-28 物联网设备离线会话方法、装置及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111158449.7A CN113946845A (zh) 2021-09-28 2021-09-28 物联网设备离线会话方法、装置及存储介质

Publications (1)

Publication Number Publication Date
CN113946845A true CN113946845A (zh) 2022-01-18

Family

ID=79329027

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111158449.7A Pending CN113946845A (zh) 2021-09-28 2021-09-28 物联网设备离线会话方法、装置及存储介质

Country Status (1)

Country Link
CN (1) CN113946845A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116668203A (zh) * 2023-08-02 2023-08-29 浙江大华技术股份有限公司 设备认证方法、物联网设备、认证平台以及可读存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116668203A (zh) * 2023-08-02 2023-08-29 浙江大华技术股份有限公司 设备认证方法、物联网设备、认证平台以及可读存储介质
CN116668203B (zh) * 2023-08-02 2023-10-20 浙江大华技术股份有限公司 设备认证方法、物联网设备、认证平台以及可读存储介质

Similar Documents

Publication Publication Date Title
Srinivas et al. Designing anonymous signature-based authenticated key exchange scheme for Internet of Things-enabled smart grid systems
US10601801B2 (en) Identity authentication method and apparatus
Aviram et al. {DROWN}: Breaking {TLS} Using {SSLv2}
He et al. A strong user authentication scheme with smart cards for wireless communications
CN106341232B (zh) 一种基于口令的匿名实体鉴别方法
EP2106090A1 (en) A method, system and network device for mutual authentication
US10601590B1 (en) Secure secrets in hardware security module for use by protected function in trusted execution environment
CN105721153B (zh) 基于认证信息的密钥交换***及方法
Wang et al. A secure and efficient multiserver authentication and key agreement protocol for internet of vehicles
CN114362993B (zh) 一种区块链辅助的车联网安全认证方法
CN113572765B (zh) 一种面向资源受限终端的轻量级身份认证密钥协商方法
CN112351037A (zh) 用于安全通信的信息处理方法及装置
CN108390866B (zh) 基于双代理双向匿名认证的可信远程证明方法及***
CN110336664A (zh) 基于sm2密码算法的信息服务实体跨域认证方法
Meng et al. Fast secure and anonymous key agreement against bad randomness for cloud computing
Zhao et al. Fuzzy identity-based dynamic auditing of big data on cloud storage
Khan et al. Resource efficient authentication and session key establishment procedure for low-resource IoT devices
CN112733129B (zh) 一种服务器带外管理的可信接入方法
KR101131929B1 (ko) 공개키 기반 인증장치 및 방법
CN112422516B (zh) 基于电力边缘计算的可信连接方法、装置和计算机设备
CN114095162A (zh) 一种无证书用电信息采集***连接验证方法及装置
CN113946845A (zh) 物联网设备离线会话方法、装置及存储介质
CN113364595A (zh) 电网隐私数据签名聚合方法、装置和计算机设备
CN116170144B (zh) 智能电网匿名认证方法、电子设备及存储介质
US11240661B2 (en) Secure simultaneous authentication of equals anti-clogging mechanism

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination