CN114928491A - 基于标识密码算法的物联网安全认证方法、装置及*** - Google Patents

基于标识密码算法的物联网安全认证方法、装置及*** Download PDF

Info

Publication number
CN114928491A
CN114928491A CN202210549804.1A CN202210549804A CN114928491A CN 114928491 A CN114928491 A CN 114928491A CN 202210549804 A CN202210549804 A CN 202210549804A CN 114928491 A CN114928491 A CN 114928491A
Authority
CN
China
Prior art keywords
internet
things
terminal
access gateway
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210549804.1A
Other languages
English (en)
Inventor
王元强
缪巍巍
何迎利
曾锃
马涛
黄进
张瑞
赵华
韦小刚
张翔
聂云杰
蔡国龙
葛红舞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
State Grid Jiangsu Electric Power Co Ltd
Nari Information and Communication Technology Co
State Grid Electric Power Research Institute
Information and Telecommunication Branch of State Grid Jiangsu Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
State Grid Jiangsu Electric Power Co Ltd
Nari Information and Communication Technology Co
State Grid Electric Power Research Institute
Information and Telecommunication Branch of State Grid Jiangsu Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, State Grid Jiangsu Electric Power Co Ltd, Nari Information and Communication Technology Co, State Grid Electric Power Research Institute, Information and Telecommunication Branch of State Grid Jiangsu Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN202210549804.1A priority Critical patent/CN114928491A/zh
Publication of CN114928491A publication Critical patent/CN114928491A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种基于标识密码算法的物联网安全认证方法、装置及***,所述方法包括物联网终端利用接入网关的公钥加密建立SSL连接的请求信息,并发送至接入网关;物联网终端接收接入网关的加密应答信息,并利用其自身的私钥解密获得应答信息,协商出两者之间的会话密钥,建立VPN隧道;所述加密应答信息是接入网关收到加密后的请求信息后,使用其自身的私钥解密获得请求信息,然后利用物联网终端的公钥加密应答信息所产生的;所述物联网终端和接入网关的公钥和私钥均是由密钥生成中心基于标识密码算法产生的。本发明通过采用标识密码算法省掉公钥交换过程,大大简化了SSL/TLS VPN隧道协商流程,有利于缩短连接建立时间,提高接入网关的并发能力。

Description

基于标识密码算法的物联网安全认证方法、装置及***
技术领域
本发明属于物联网信息安全技术领域,具体涉及一种基于标识密码算法的物联网安全认证方法、装置及***。
背景技术
物联网是互联网的延伸,是物物相连的互联网。近几年来,在工业领域尤其是电网领域物联网已成蓬勃发展趋势,同时物联网的信息安全问题也日益突出。物联网往往是一个多网异构的通信网络,通信带宽资源紧张,网络延时大;终端数量庞大,计算能力弱,且常常处在无人看管区域。与传统网络相比,物联网特有的安全问题包括:(1)未被授权用户擅自读取终端设备内的敏感信息;(2)非法用户窃取网络中的信息;(3)伪造设备或者克隆设备,冒名接入网络;(4)破坏或盗取终端设备;(5)屏蔽终端设备信号,使其无法工作;(6)制造网络拥塞报文,导致终端设备无法正常通信。综上可见,物联网是一个易受攻击、不易防护的网络。
由于物联网上传输的数据大多为有关企业经营的生产、物流、销售和金融数据,以及经济社会运行的一些重要数据,保护这些有经济价值和社会价值的数据安全非常重要,也比较困难。因此,亟需建立一套安全、高效、广泛适应的接入认证体系,以提高物联网的安全性和可防护性。
发明内容
针对上述问题,本发明提出一种基于标识密码算法的物联网安全认证方法、装置及***,通过采用标识密码算法省掉公钥交换过程,大大简化了SSL/TLS VPN隧道协商流程,有利于缩短连接建立时间,提高接入网关的并发能力。
为了实现上述技术目的,达到上述技术效果,本发明通过以下技术方案实现:
第一方面,本发明提供了一种基于标识密码算法的物联网安全认证方法,包括:
物联网终端利用接入网关的公钥加密建立SSL连接的请求信息,并将加密后的请求信息发送至接入网关;
物联网终端接收接入网关的加密应答信息,并利用物联网终端自身的私钥解密获得应答信息,协商出物联网终端与接入网关之间的会话密钥,建立VPN隧道;所述加密应答信息是接入网关收到加密后的请求信息后,使用接入网关自身的私钥解密获得请求信息,然后利用物联网终端的公钥加密应答信息所产生的;
所述物联网终端和接入网关的公钥和私钥均是由密钥生成中心基于标识密码算法产生的。
可选地,所述物联网安全认证方法还包括:
所述物联网终端使用密钥生成中心的公钥加密一随机数形成密文,将密文发送至密钥生成中心,使得密钥生成中心利用自身的私钥解密得到此随机数,其中,所述随机数为物联网终端与接入网关的会话密钥。
可选地,所述物联网终端的私钥的获取方法包括:
物联网终端发送请求验证信息至密钥生成中心,使得密钥生成中心向本地注册机构验证物联网终端的身份信息和授权信息;
物联网终端接收密钥生成中心发送的加密后的物联网终端的私钥,并解密出物联网终端的私钥;所述加密后的物联网终端的私钥是密钥生成中心在验证通过后,根据物联网终端的标识ID,基于标识密码算法计算出物联网终端的私钥,并对其进行加密后分发给物联网终端的。
可选地,所述物联网终端的标识ID由过物理不可克隆函数生成。
可选地,所述物联网终端和接入网关的私钥的申请和分发阶段采用对称加密算法保护。
第二方面,本发明提供了一种基于标识密码算法的物联网安全认证方法,包括:
接入网关接收物联网终端发送的加密请求信息,所述加密请求信息是物联网终端利用接入网关的公钥加密建立SSL连接的请求信息得到的;
接入网关发送加密应答信息至物联网终端,使得物联网终端利用物联网终端自身的私钥解密获得应答信息,协商出接入网关与物联网终端之间的会话密钥,建立VPN隧道;
所述加密应答信息是接入网关收到加密后的请求信息后,使用接入网关自身的私钥解密获得请求信息,然后利用物联网终端的公钥加密应答信息所产生的;
所述物联网终端和接入网关的公钥和私钥均是由密钥生成中心基于标识密码算法产生的。
可选地,所述物联网安全认证方法还包括:
所述接入网关使用密钥生成中心的公钥加密一随机数形成密文,并将密文发送至密钥生成中心,使得密钥生成中心利用自身的私钥解密得到此随机数,其中,所述随机数为物联网终端与接入网关的会话密钥。
可选地,所述接入网关的私钥的获取方法包括:
接入网关接收密钥生成中心发送的加密后的接入网关的私钥,并解密出接入网关的私钥;所述加密后的接入网关的私钥是密钥生成中心根据接入网关的标识ID,基于标识密码算法计算出接入网关的私钥,并对其进行加密后分发给接入网关。
可选地,所述物联网终端和接入网关的私钥的申请和分发阶段采用对称加密算法保护。
第三方面,本发明提供了一种基于标识密码算法的物联网安全认证装置,应用于物联网终端,所述物联网安全认证装置包括:
发送模块,用于物联网终端利用接入网关的公钥加密建立SSL连接的请求信息,并将加密后的请求信息发送至接入网关;
认证模块,用于物联网终端接收接入网关的加密应答信息,并利用物联网终端自身的私钥解密获得应答信息,协商出物联网终端与接入网关之间的会话密钥,建立VPN隧道;所述加密应答信息是接入网关收到加密后的请求信息后,使用接入网关自身的私钥解密获得请求信息,然后利用物联网终端的公钥加密应答信息所产生的;
所述物联网终端和接入网关的公钥和私钥均是由密钥生成中心基于标识密码算法产生的。
第四方面,本发明提供了一种基于标识密码算法的物联网安全认证装置,应用于接入网关,所述物联网安全认证装置包括:
接收模块,用于接入网关接收物联网终端发送的加密请求信息,所述加密请求信息是物联网终端利用接入网关的公钥加密建立SSL连接的请求信息得到的;
认证模块,用于接入网关发送加密应答信息至物联网终端,使得物联网终端利用物联网终端自身的私钥解密获得应答信息,协商出接入网关与物联网终端之间的会话密钥,建立VPN隧道;
所述加密应答信息是接入网关收到加密后的请求信息后,使用接入网关自身的私钥解密获得请求信息,然后利用物联网终端的公钥加密应答信息所产生的;
所述物联网终端和接入网关的公钥和私钥均是由密钥生成中心基于标识密码算法产生的。
第五方面,本发明提供了一种基于标识密码算法的物联网安全认证***,包括存储介质和处理器;
所述存储介质用于存储指令;
所述处理器用于根据所述指令进行操作以执行根据第一方面中任一项所述方法的步骤。
第六方面,本发明提供了一种基于标识密码算法的物联网安全认证***,包括存储介质和处理器;
所述存储介质用于存储指令;
所述处理器用于根据所述指令进行操作以执行根据第二方面中任一项所述方法的步骤。
第七方面,本发明提供了一种基于标识密码算法的物联网安全认证***,包括物联网终端、密钥生成中心和接入网关:
所述物联网终端利用接入网关的公钥加密建立SSL连接的请求信息,并将加密后的请求信息发送至接入网关;
所述接入网关收到加密后的请求信息后,使用接入网关自身的私钥解密获得请求信息,然后利用物联网终端的公钥加密应答信息所产生加密应答信息;
所述物联网终端接收接入网关发送的加密应答信息,并利用物联网终端自身的私钥解密获得应答信息,协商出物联网终端与接入网关之间的会话密钥,建立VPN隧道;所述物联网终端和接入网关的公钥和私钥均是由密钥生成中心基于标识密码算法产生的。
可选地,所述基于标识密码算法的物联网安全认证***,还包括本地注册机构,物联网终端发送请求验证信息至密钥生成中心,所述密钥生成中心向本地注册机构验证物联网终端的身份信息和授权信息;
所述物联网终端接收密钥生成中心发送的加密后的物联网终端的私钥,并解密出物联网终端的私钥;所述加密后的物联网终端的私钥是密钥生成中心在验证通过后,根据物联网终端的标识ID,基于标识密码算法计算出物联网终端的私钥,并对其进行加密后分发给物联网终端。
与现有技术相比,本发明的有益效果:
本发明通过采用标识密码算法省掉公钥交换过程,大大简化了SSL/TLS VPN协商流程,有利于缩短连接建立时间,提高并发接入网关的并发能力。同时,在很多场合下物联网终端承担着为传感器、下级终端的汇聚任务,通过采用标识密码能够降低物联网终端的计算和通信压力,降低物联网建设运营成本,有利于提高物联网的接入效率,提高安全性。
进一步地,本发明通过采用PUF生成各个设备的标识ID,能够有效避免有意或者无意的“重号”风险。
附图说明
为了使本发明的内容更容易被清楚地理解,下面根据具体实施例并结合附图,对本发明作进一步详细的说明,其中:
图1为本发明一种实施例的物联网安全认证装置的结构图;
图2为本发明一种实施例的物联网安全认证方法的流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明的保护范围。
下面结合附图对本发明的应用原理作详细的描述。
实施例1
本发明实施例中提供了一种基于标识密码算法的物联网安全认证方法,适用于物联网终端,包括以下步骤:
物联网终端利用接入网关的公钥加密建立SSL连接的请求信息,并将加密后的请求信息发送至接入网关;在具体实施过程中,所述接入网关的公钥被预置在物联网终端中;所述接入网关也可以称为安全接入网关;
物联网终端接收接入网关的加密应答信息,并利用物联网终端自身的私钥解密获得应答信息,协商出物联网终端与接入网关之间的会话密钥,建立VPN隧道;所述加密应答信息是接入网关收到加密后的请求信息后,使用接入网关自身的私钥解密获得请求信息,然后利用物联网终端的公钥加密应答信息所产生的;在具体实施过程中,所述物联网终端的公钥被预置在接入网关中;
所述物联网终端和接入网关的公钥和私钥均是由密钥生成中心利用标识密码算法基于物联网终端的标识ID和接入网关的标识ID产生的;所述物联网终端的标识ID和接入网关的标识ID可以由物理不可克隆函数生成。由于本发明实施例中采用PUF生成并验证设备的标识ID,因而避免有意或者无意的“重号”风险。
在本发明实施例的一种具体实施方式中,所述物联网安全认证方法还包括:
所述物联网终端使用密钥生成中心公钥加密一随机数形成密文,将密文发送至密钥生成中心,使得密钥生成中心自身的私钥解密得到此随机数,其中,所述随机数为物联网终端与接入网关的会话密钥;在具体实施过程中,所述随机数可以选择128位的随机数,该随机数用作物联网终端与密钥生成中心的后续会话的密钥。在具体实施过程中,所述密钥生成中心的标识ID被预置在物联网终端内。
在本发明实施例的一种具体实施方式中,所述物联网终端的私钥的获取方法包括:
物联网终端发送请求验证信息至密钥生成中心,使得密钥生成中心向本地注册机构验证物联网终端的身份信息和授权信息;
物联网终端接收密钥生成中心发送的加密后的物联网终端的私钥,并解密出物联网终端的私钥;所述加密后的物联网终端的私钥是密钥生成中心在验证通过后,根据物联网终端的标识ID,基于标识密码算法计算出物联网终端的私钥,并对其进行加密后发送给物联网终端的。
在具体实施过程中,所述物联网终端和接入网关的私钥的申请和分发阶段采用对称加密算法保护,所述加密算法可以是SM4、SM1、AES或3DES算法。
下面结合一具体实施方法对本发明实施例中的基于标识密码算法的物联网安全认证方法的具体应用过程进行详细说明。该实施方式中所述物联网终端和接入网关的私钥的申请和分发阶段采用对称加密算法SM4保护,所采用的标识密码算法为SM9。
步骤1:物联网终端使用PUF生成自己的设备标识,包括标识ID和验证码。
步骤2:通过离线方式或者人工监督方式,将物联网终端的身份信息(如属主身份、线路点位、自然编码、部署日期等)、标识ID、验证码、授权信息、算法种类以及工作制式信息注册到本地注册机构,将密钥生成中心的标识ID和接入网关的标识ID预置到物联网终端内。
步骤3:物联网终端使用预置的密钥生成中心SM9公钥,用此公钥加密一个128位随机数k形成密文,并将密文发送至密钥生成中心,由密钥生成中心利用其SM9私钥进行解密,并将随机数k作为双方后续会话的SM4密钥。
步骤4:物联网终端将自身的身份信息、标识ID和验证码组包,使用SM4算法加密,发送给密钥生成中心请求验证;密钥生成中心向本地注册机构验证物联网终端的身份信息和授权信息,所述授权信息相当于一个验证码,必须进行验证。图1中的虚线是在部署物联网终端的时候人工执行的注册动作,仅执行一次。投运后,物联网终端不会再向本地注册机构发送信息。在重启或者重连时,物联网终端都是向密钥中心发送信息。
步骤5:验证通过后,密钥生成中心根据物联网终端的标识ID和SM9算法为物联网终端生成SM9私钥,并通过SM4算法加密后分发给终端,其中,SM9私钥=Gen(标识ID,密钥***参数)。
接入网关同样使用以上步骤1-步骤5向密钥生成中心申请SM9私钥,但是由于安全接入网关处于安全区域,可以明文方式与本地注册机构通信。但是在接入网关处于非安全区域时,也需要以密文方式与本地注册机构通信。
步骤6:物联网终端利用接入网关的SM9公钥加密建立SSL连接的请求信息。接入网关收到后使用SM9私钥解密获得请求信息,然后用物联网终端的SM9公钥加密应答信息发送给物联网终端。再通过几次交互,最终协商出两者之间的会话密钥,建立VPN隧道,完成SSL连接协商。协商内容包括:双方的通讯带宽、哈希算法、密钥重协商频率等参数,以后续通讯所需参数全部交换完毕为止,不同的实例可以做不同的配置。
步骤7:物联网终端通过所述VPN隧道将MQTT消息发送到物联管理平台(MQTT服务器),数据中心从物联管理平台接收MQTT消息。
至此,物联网终端完成了基于标识密码算法体系通过接入网关向物联管理平台注册、认证,实现安全接入,并通过接入网关以MQTT协议传输数据报文的过程,具体参见图2。
实施例2
本发明提供了一种基于标识密码算法的物联网安全认证方法,适用于接入网关,其具体包括以下步骤:
接入网关接收物联网终端发送的加密请求信息,所述加密请求信息是物联网终端利用接入网关的公钥加密建立SSL连接的请求信息得到的;所述接入网关的公钥被预置在物联网终端内;
接入网关发送加密应答信息至物联网终端,使得物联网终端利用物联网终端自身的私钥解密获得应答信息,协商出接入网关与物联网终端之间的会话密钥,建立VPN隧道;
所述加密应答信息是接入网关收到加密后请求信息后,使用接入网自身的私钥解密获得请求信息,然后利用物联网终端的公钥加密应答信息所产生的;
所述物联网终端和接入网关的公钥和私钥均是由密钥生成中心基于标识密码算法产生的。
在本发明实施例的一种具体实施方式中,所述接入网关使用密钥生成中心的公钥加密随机数形成密文,并将密文发送至密钥生成中心,使得密钥生成中心自身的私钥解密得到此随机数,其中,所述随机数为物联网终端与接入网关的会话密钥。在具体实施过程中,所述密钥生成中心的公钥被预置在接入网关内。
在本发明实施例的一种具体实施方式中,所述接入网关的私钥的获取方法包括:
接入网关接收密钥生成中心发送的加密后的接入网关的私钥,并解密出接入网关的私钥;所述加密后的接入网关的私钥是密钥生成中心根据接入网关的标识ID,基于标识密码算法计算出接入网关的私钥,并对其进行加密后分发给接入网关的。
在本发明实施例的一种具体实施方式中,所述物联网终端和接入网关的私钥的申请和分发阶段采用对称加密算法保护。所述加密算法可以是SM4、SM1、AES或3DES算法。
下面结合一具体实施方式对本发明实施例中的基于标识密码算法的物联网安全认证方法的具体应用过程进行详细说明,该实施方式中所述物联网终端和接入网关的私钥的申请和分发阶段采用对称加密算法SM4保护,所采用的的标识密码算法为SM9。
步骤1:物联网终端使用PUF生成自己的设备标识,包括标识ID和验证码。
步骤2:通过离线方式或者人工监督的方式,将物联网终端的身份信息(如属主身份、线路点位、自然编码、部署日期等)、标识ID、验证码、授权信息、算法种类以及工作制式信息注册到本地注册机构,将密钥生成中心的标识ID和安全接入网关的标识ID预置到物联网终端内。
步骤3:物联网终端使用密钥生成中心的SM9公钥,用此SM9公钥加密一个128位随机数k形成密文,将密文发送密钥生成中心,由密钥生成中心利用其SM9私钥进行解密获得随机数k,并将随机数k作为双方后续会话的SM4密钥。
步骤4:物联网终端将自身的身份信息、标识ID和验证码使用SM4算法加密,发送给密钥生成中心请求验证;密钥生成中心向本地注册机构验证物联网终端的身份信息和授权信息,所述授权信息相当于一个验证码,必须进行验证。图1中的虚线是在部署终端的时候人工执行的注册动作,仅执行一次。投运后,物理网终端不会再向本地注册机构发送信息。在重启或者重连时,物联网终端都是向密钥中心发送信息。
步骤5:验证通过后,密钥生成中心根据物联网终端的标识ID和SM9算法为物联网终端生成SM9私钥,并通过SM4算法加密后分发给终端,其中,SM9私钥=Gen(标识ID,密钥***参数)。
接入网关同样使用以上步骤1-步骤5向密钥生成中心申请SM9私钥,但是由于安全接入网关处于安全区域,可以以明文方式与本地注册机构通信。但是在安全接入网关处于非安全区域时,也需要以密文方式与本地注册机构通信。
步骤6:物联网终端利用接入网关SM9公钥加密建立SSL连接的请求信息。接入网关收到后使用SM9私钥解密获得请求信息,然后用终端的SM9公钥加密应答信息发送给终端。再通过几次交互,交换通信参数,最终协商出两者之间的会话密钥,建立VPN隧道,完成SSL连接协商。协商内容包括:双方的通讯带宽、哈希算法、密钥重协商频率等参数,以后续通讯所需参数全部交换完毕为止,不同的实例可以做不同的配置。
步骤7:物联网终端通过所述VPN隧道(即SSL/TSL)将MQTT消息发送到物联管理平台(MQTT服务器),数据中心从物联管理平台接收MQTT消息。
至此,物联网终端完成了基于标识密码算法体系通过接入网关向物联管理平台注册、认证,实现安全接入,并通过接入网关以MQTT协议传输数据报文的过程,具体参见图2。
实施例3
本发明提供了一种基于标识密码算法的物联网安全认证装置,应用于物联网终端,所述物联网安全认证装置包括:
发送模块,用于利用接入网关的公钥加密建立SSL连接的请求信息,并将加密后的请求信息发送至接入网关;在具体实施过程中,所述接入网关的公钥被预置在物联网终端中;
认证模块,用于接收接入网关的加密应答信息,并利用物联网终端自身的私钥解密获得应答信息,协商出物联网终端与接入网关之间的会话密钥,建立VPN隧道;所述加密应答信息是接入网关收到加密后的请求信息后,使用接入网关自身的私钥解密获得请求信息,然后利用物联网终端的公钥加密应答信息所产生的;在具体实施过程中,所述物联网终端的公钥被预置在接入网关中;
所述物联网终端和接入网关的公钥和私钥均是由密钥生成中心利用标识密码算法基于物联网终端的标识ID和接入网关的标识ID产生的;所述物联网终端的标识ID和接入网关的标识ID可以由物理不可克隆函数生成。由于本发明实施例中采用PUF生成并验证设备的标识ID,因而避免有意或者无意的“重号”风险。
在本发明实施例的一种具体实施方式中,所述物联网安全认证方法还包括:
所述物联网终端使用密钥生成中心公钥加密一随机数形成密文,将密文发送至密钥生成中心,使得密钥生成中心自身的私钥解密得到此随机数,用作二者的后续会话的密钥;在具体实施过程中,所述随机数可以选择128位的随机数,该随机数用作物联网终端与密钥生成中心的后续会话的密钥。在具体实施过程中,所述密钥生成中心的标识ID被预置在物联网终端内。
在本发明实施例的一种具体实施方式中,所述物联网终端的私钥的获取方法包括:
物联网终端发送请求验证信息至密钥生成中心,使得密钥生成中心向本地注册机构验证物联网终端的身份信息和授权信息;
物联网终端接收密钥生成中心发送的加密后的物联网终端的私钥,并解密出物联网终端的私钥;所述加密后的物联网终端的私钥是密钥生成中心在验证通过后,根据物联网终端的标识ID,基于标识密码算法计算出物联网终端的私钥,并对其进行加密后发送给物联网终端的。
在具体实施过程中,所述物联网终端和接入网关的私钥的申请和分发阶段采用对称加密算法保护,所述加密算法可以是SM4、SM1、AES或3DES算法。
下面结合一具体实施方法对本发明实施例中的基于标识密码算法的物联网安全认证方法的具体应用过程进行详细说明。该实施方式中所述物联网终端和接入网关的私钥的申请和分发阶段采用对称加密算法SM4保护,所采用的标识密码算法为SM9。
步骤1:物联网终端使用PUF生成自己的设备标识,包括标识ID和验证码。
步骤2:通过离线方式或者人工监督方式,将物联网终端的身份信息(如属主身份、线路点位、自然编码、部署日期等)、标识ID、验证码、授权信息、算法种类以及工作制式信息注册到本地注册机构,将密钥生成中心的标识ID和接入网关的标识ID预置到物联网终端内。
步骤3:物联网终端使用预置的密钥生成中心SM9公钥,用此公钥加密一个128位随机数k形成密文,并将密文发送至密钥生成中心,由密钥生成中心利用其SM9私钥进行解密,并将随机数k作为双方后续会话的SM4密钥。
步骤4:物联网终端将自身的身份信息、标识ID和验证码组包,使用SM4算法加密,发送给密钥生成中心请求验证;密钥生成中心向本地注册机构验证物联网终端的身份信息和授权信息,所述授权信息相当于一个验证码,必须进行验证。图1中的虚线是在部署终端的时候人工执行的注册动作,仅执行一次。投运后,物联网终端不会再向本地注册机构发送信息。在重启或者重连时,物联网终端都是向密钥中心发送信息。
步骤5:验证通过后,密钥生成中心根据物联网终端的标识ID和SM9算法为物联网终端生成SM9私钥,并通过SM4算法加密后分发给终端,其中,SM9私钥=Gen(标识ID,密钥***参数)。
接入网关同样使用以上步骤1-步骤5向密钥生成中心申请SM9私钥,但是由于安全接入网关处于安全区域,可以明文方式与本地注册机构通信。但是在接入网关处于非安全区域时,也需要以密文方式与本地注册机构通信。
步骤6:物联网终端利用接入网关的SM9公钥加密建立SSL连接的请求信息。接入网关收到后使用SM9私钥解密获得请求信息,然后用物联网终端的SM9公钥加密应答信息发送给物联网终端。再通过几次交互,交换通信参数,最终协商出两者之间的会话密钥,建立VPN隧道,完成SSL连接协商。协商内容包括:双方的通讯带宽、哈希算法、密钥重协商频率等参数,以后续通讯所需参数全部交换完毕为止,不同的实例可以做不同的配置。
步骤7:物联网终端通过所述VPN隧道将MQTT消息发送到物联管理平台(MQTT服务器),数据中心从物联管理平台接收MQTT消息。
至此,物联网终端完成了基于标识密码算法体系通过接入网关向物联管理平台注册、认证,实现安全接入,并通过接入网关以MQTT协议传输数据报文的过程,具体参见图2。
实施例4
本发明实施例中提供了一种基于标识密码算法的物联网安全认证装置,应用于接入网关,所述物联网安全认证装置包括:
接收模块,用于接收物联网终端发送的加密请求信息,所述加密请求信息是物联网终端利用接入网关的公钥加密建立SSL连接的请求信息得到的;所述接入网关的公钥被预置在物联网终端内;
认证模块,用于发送加密应答信息至物联网终端,使得物联网终端利用物联网终端自身的私钥解密获得应答信息,协商出接入网关与物联网终端之间的会话密钥,建立VPN隧道;
所述加密应答信息是接入网关收到加密后请求信息后,使用接入网关自身的私钥解密获得请求信息,然后利用物联网终端的公钥加密应答信息所产生的;
所述物联网终端和接入网关的公钥和私钥均是由密钥生成中心基于标识密码算法产生的。
在本发明实施例的一种具体实施方式中,所述接入网关使用密钥生成中心的公钥加密随机数形成密文,并将密文发送至密钥生成中心,使得密钥生成中心自身的私钥解密得到此随机数,用作二者的后续会话的密钥。在具体实施过程中,所述密钥生成中心的公钥被预置在接入网关内。
在本发明实施例的一种具体实施方式中,所述接入网关的私钥的获取方法包括:
接入网关接收密钥生成中心发送的加密后的接入网关的私钥,并解密出接入网关的私钥;所述加密后的接入网关的私钥是密钥生成中心根据接入网关的标识ID,基于标识密码算法计算出接入网关的私钥,并对其进行加密后分发给接入网关的。
在本发明实施例的一种具体实施方式中,所述物联网终端和接入网关的私钥的申请和分发阶段采用对称加密算法保护。所述加密算法可以是SM4、SM1、AES或3DES算法。
下面结合一具体实施方式对本发明实施例中的基于标识密码算法的物联网安全认证方法的具体应用过程进行详细说明,该实施方式中所述物联网终端和接入网关的私钥的申请和分发阶段采用对称加密算法SM4保护,所采用的的标识密码算法为SM9。
步骤1:物联网终端使用PUF生成自己的设备标识,包括标识ID和验证码。
步骤2:通过离线方式或者人工监督的方式,将物联网终端的身份信息(如属主身份、线路点位、自然编码、部署日期等)、标识ID、验证码、授权信息、算法种类以及工作制式信息注册到本地注册机构,将密钥生成中心的标识ID和安全接入网关的标识ID预置到物联网终端内。
步骤3:物联网终端使用密钥生成中心的SM9公钥,用此SM9公钥加密一个128位随机数k形成密文,将密文发送密钥生成中心,由密钥生成中心利用其SM9私钥进行解密获得随机数k,并将随机数k作为双方后续会话的SM4密钥。
步骤4:物联网终端将自身的身份信息、标识ID和验证码使用SM4算法加密,发送给密钥生成中心请求验证;密钥生成中心向本地注册机构验证物联网终端的身份信息和授权信息,所述授权信息相当于一个验证码,必须进行验证。图1中的虚线是在部署终端的时候人工执行的注册动作,仅执行一次。投运后,物理网终端不会再向本地注册机构发送信息。在重启或者重连时,物联网终端都是向密钥中心发送信息。
步骤5:验证通过后,密钥生成中心根据物联网终端的标识ID和SM9算法为物联网终端生成SM9私钥,并通过SM4算法加密后分发给终端,其中,SM9私钥=Gen(标识ID,密钥***参数)。
接入网关同样使用以上步骤1-步骤5向密钥生成中心申请SM9私钥,但是由于安全接入网关处于安全区域,可以以明文方式与本地注册机构通信。但是在安全接入网关处于非安全区域时,也需要以密文方式与本地注册机构通信。
步骤6:物联网终端利用接入网关SM9公钥加密建立SSL连接的请求信息。接入网关收到后使用SM9私钥解密获得请求信息,然后用终端的SM9公钥加密应答信息发送给终端。再通过几次交互,交换通信参数,最终协商出两者之间的会话密钥,建立VPN隧道,完成SSL连接协商。协商内容包括:双方的通讯带宽、哈希算法、密钥重协商频率等参数,以后续通讯所需参数全部交换完毕为止,不同的实例可以做不同的配置。
步骤7:物联网终端通过所述VPN隧道将MQTT消息发送到物联管理平台(MQTT服务器),数据中心从物联管理平台接收MQTT消息。
至此,物联网终端完成了基于标识密码算法体系通过接入网关向物联管理平台注册、认证,实现安全接入,并通过接入网关以MQTT协议传输数据报文的过程,具体参见图2。
实施例5
基于与实施例1相同的构思,本发明实施例中提供了一种基于标识密码算法的物联网安全认证***,包括存储介质和处理器;
所述存储介质用于存储指令;
所述处理器用于根据所述指令进行操作以执行根据实施例1中任一项所述方法的步骤。
实施例6
基于与实施例2相同的构思,本发明实施例中提供了一种基于标识密码算法的物联网安全认证***,包括存储介质和处理器;
所述存储介质用于存储指令;
所述处理器用于根据所述指令进行操作以执行根据实施例2中任一项所述方法的步骤。
实施例7
本发明实施例中提供了一种基于标识密码算法的物联网安全认证***,如图1-2所示,包括物联网终端、密钥生成中心和接入网关;
所述物联网终端利用接入网关的公钥加密建立SSL连接的请求信息,并将加密后的请求信息发送至接入网关;在本发明实施例的具体实施方式中,所述接入网关的公钥被预置在物联网终端内;
所述接入网关收到加密后的请求信息后,使用接入网关自身的私钥解密获得请求信息,然后利用物联网终端的公钥加密应答信息所产生加密应答信息;
所述物联网终端接收接入网关发送的加密应答信息,并利用物联网终端自身的私钥解密获得应答信息,协商出物联网终端与接入网关之间的会话密钥,建立VPN隧道;所述物联网终端和接入网关的公钥和私钥均是由密钥生成中心基于标识密码算法产生的。
所述物联网终端的标识ID和接入网关的标识ID均可以由过物理不可克隆函数生成,具有唯一性,标识ID为公知参数,一般标识终端的名称、IP地址或线路编号,以明文形式附加在接收网关接收到的报文中;同时,所述物理不可克隆函数还会生成验证码;
所述物联网终端和接入网关的公钥和私钥均是由密钥生成中心基于标识密码算法产生的。
在本发明实施例的一种具体实施方式中,所述基于标识密码算法的物联网安全认证***,还包括本地注册机构,参见图中的LRA,物联网终端发送请求验证信息至密钥生成中心,所述密钥生成中心向本地注册机构验证物联网终端的身份信息和授权信息;
所述物联网终端接收密钥生成中心发送的加密后的物联网终端的私钥,并解密出物联网终端的私钥;所述加密后的物联网终端的私钥是密钥生成中心在验证通过后,根据物联网终端的标识ID,基于标识密码算法计算出物联网终端的私钥,并对其进行加密后分发给物联网终端。
进一步地,所述本地注册机构中离线方式存储有物联网终端的身份信息、ID号、验证码、授权信息、算法种类以及工作制式信息。
在本发明实施例的一种具体实施方式中,所述物联网终端内置密钥生成中心的标识ID;
所述物联网终端使用密钥生成中心的公钥加密一个随机数形成密文,将密文发送至密钥生成中心,使得密钥生成中心自身的私钥解密得到此随机数,双方用此随机数作为后续联络的会话密钥;在具体实施过程中,所述随机数可以选择128位的随机数,该随机数用作物联网终端与密钥生成中心的后续会话的密钥。
所述物联网终端的私钥的获取方法包括:
物联网终端发送请求验证信息至密钥生成中心,使得密钥生成中心向本地注册机构验证物联网终端的身份信息和授权信息;
物联网终端接收密钥生成中心发送的加密后的物联网终端的私钥,并解密出物联网终端的私钥;所述加密后的物联网终端的私钥是密钥生成中心在验证通过后,根据物联网终端的标识ID,基于标识密码算法计算出物联网终端的私钥,并对其进行加密后发送给物联网终端的。
在具体实施过程中,所述物联网终端和接入网关的私钥的申请和分发阶段采用对称加密算法保护,所述加密算法可以是SM4、SM1、AES或3DES算法。
在本发明实施例的一种具体实施方式中,所述接入网关内预置密钥生成中心的公钥,接入网关使用密钥生成中心的公钥加密随机数形成密文,并将密文发送至密钥生成中心,使得密钥生成中心自身的私钥解密得到此随机数,用作二者的后续会话的密钥。
在本发明实施例的一种具体实施方式中,所述接入网关的私钥的获取方法包括:
接入网关接收密钥生成中心发送的加密后的接入网关的私钥,并解密出接入网关的私钥;所述加密后的接入网关的私钥是密钥生成中心根据接入网关的标识ID,基于标识密码算法计算出接入网关的私钥,并对其进行加密后发送给接入网关。
下面结合一具体实施方式对本发明实施例中的基于标识密码算法的物联网安全认证方法的具体应用过程进行详细说明,该实施方式中所述物联网终端和接入网关的私钥的申请和分发阶段采用对称加密算法SM4保护,所采用的的标识密码算法为SM9。
步骤1:物联网终端使用PUF生成自己的设备标识,包括标识ID和验证码。
步骤2:通过离线方式或者人工监督的方式,将物联网终端的身份信息(如属主身份、线路点位、自然编码、部署日期等)、标识ID、验证码、授权信息、算法种类以及工作制式信息注册到本地注册机构,将密钥生成中心的标识ID和安全接入网关的标识ID预置到物联网终端内。
步骤3:物联网终端使用密钥生成中心的SM9公钥,用此SM9公钥加密一个128位随机数k形成密文,将密文发送密钥生成中心,由密钥生成中心利用其SM9私钥进行解密获得随机数k,并将随机数k作为双方后续会话的SM4密钥。
步骤4:物联网终端将自身的身份信息、标识ID和验证码使用SM4算法加密,发送给密钥生成中心请求验证;密钥生成中心向本地注册机构验证物联网终端的身份信息和授权信息,所述授权信息相当于一个验证码,必须进行验证。图1中的虚线是在部署终端的时候人工执行的注册动作,仅执行一次。投运后,物理网终端不会再向本地注册机构发送信息。在重启或者重连时,物联网终端都是向密钥中心发送信息。
步骤5:验证通过后,密钥生成中心根据物联网终端的标识ID和SM9算法为物联网终端生成SM9私钥,并通过SM4算法加密后分发给终端,其中,SM9私钥=Gen(标识ID,密钥***参数)。
接入网关同样使用以上步骤1-步骤5向密钥生成中心申请SM9私钥,但是由于安全接入网关处于安全区域,可以以明文方式与本地注册机构通信。但是在安全接入网关处于非安全区域时,也需要以密文方式与本地注册机构通信。
步骤6:物联网终端利用接入网关SM9公钥加密建立SSL连接的请求信息。接入网关收到后使用SM9私钥解密获得请求信息,然后用终端的SM9公钥加密应答信息发送给终端。再通过几次交互,交换通信参数,最终协商出两者之间的会话密钥,建立VPN隧道,完成SSL连接协商。协商内容包括:双方的通讯带宽、哈希算法、密钥重协商频率等参数,以后续通讯所需参数全部交换完毕为止,不同的实例可以做不同的配置。
步骤7:物联网终端通过所述VPN隧道将MQTT消息发送到物联管理平台(MQTT服务器),数据中心从物联管理平台接收MQTT消息。
至此,物联网终端完成了基于标识密码算法体系通过接入网关向物联管理平台注册、认证,实现安全接入,并通过接入网关以MQTT协议传输数据报文的过程,具体参见图2。
本领域内的技术人员应明白,本申请的实施例可提供为方法、***、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (15)

1.一种基于标识密码算法的物联网安全认证方法,其特征在于,包括:
物联网终端利用接入网关的公钥加密建立SSL连接的请求信息,并将加密后的请求信息发送至接入网关;
物联网终端接收接入网关的加密应答信息,并利用物联网终端自身的私钥解密获得应答信息,协商出物联网终端与接入网关之间的会话密钥,建立VPN隧道;所述加密应答信息是接入网关收到加密后的请求信息后,使用接入网关自身的私钥解密获得请求信息,然后利用物联网终端的公钥加密应答信息所产生的;
所述物联网终端和接入网关的公钥和私钥均是由密钥生成中心基于标识密码算法产生的。
2.根据权利要求1所述的一种基于标识密码算法的物联网安全认证方法,其特征在于:所述物联网安全认证方法还包括:
所述物联网终端使用密钥生成中心的公钥加密一随机数形成密文,将密文发送至密钥生成中心,使得密钥生成中心利用自身的私钥解密得到此随机数,其中,所述随机数为物联网终端与接入网关的会话密钥。
3.根据权利要求1所述的一种基于标识密码算法的物联网安全认证方法,其特征在于:所述物联网终端的私钥的获取方法包括:
物联网终端发送请求验证信息至密钥生成中心,使得密钥生成中心向本地注册机构验证物联网终端的身份信息和授权信息;
物联网终端接收密钥生成中心发送的加密后的物联网终端的私钥,并解密出物联网终端的私钥;所述加密后的物联网终端的私钥是密钥生成中心在验证通过后,根据物联网终端的标识ID,基于标识密码算法计算出物联网终端的私钥,并对其进行加密后分发给物联网终端的。
4.根据权利要求3所述的一种基于标识密码算法的物联网安全认证方法,其特征在于:所述物联网终端的标识ID由过物理不可克隆函数生成。
5.根据权利要求1或3所述的一种基于标识密码算法的物联网安全认证方法,其特征在于:所述物联网终端和接入网关的私钥的申请和分发阶段采用对称加密算法保护。
6.一种基于标识密码算法的物联网安全认证方法,其特征在于,包括:
接入网关接收物联网终端发送的加密请求信息,所述加密请求信息是物联网终端利用接入网关的公钥加密建立SSL连接的请求信息得到的;
接入网关发送加密应答信息至物联网终端,使得物联网终端利用物联网终端自身的私钥解密获得应答信息,协商出接入网关与物联网终端与之间的会话密钥,建立VPN隧道;
所述加密应答信息是接入网关收到加密后的请求信息后,使用接入网关自身的私钥解密获得请求信息,然后利用物联网终端的公钥加密应答信息所产生的;
所述物联网终端和接入网关的公钥和私钥均是由密钥生成中心基于标识密码算法产生的。
7.根据权利要求6所述的一种基于标识密码算法的物联网安全认证方法,其特征在于:所述物联网安全认证方法还包括:
所述接入网关使用密钥生成中心的公钥加密一随机数形成密文,并将密文发送至密钥生成中心,使得密钥生成中心利用自身的私钥解密得到此随机数,其中,所述随机数为物联网终端与接入网关的会话密钥。
8.根据权利要求6所述的一种基于标识密码算法的物联网安全认证方法,其特征在于:所述接入网关的私钥的获取方法包括:
接入网关接收密钥生成中心发送的加密后的接入网关的私钥,并解密出接入网关的私钥;所述加密后的接入网关的私钥是密钥生成中心根据接入网关的标识ID,基于标识密码算法计算出接入网关的私钥,并对其进行加密后分发给接入网关。
9.根据权利要求6所述的一种基于标识密码算法的物联网安全认证方法,其特征在于:所述物联网终端和接入网关的私钥的申请和分发阶段采用对称加密算法保护。
10.一种基于标识密码算法的物联网安全认证装置,其特征在于,应用于物联网终端,所述物联网安全认证装置包括:
发送模块,用于物联网终端利用接入网关的公钥加密建立SSL连接的请求信息,并将加密后的请求信息发送至接入网关;
认证模块,用于物联网终端接收接入网关的加密应答信息,并利用物联网终端自身的私钥解密获得应答信息,协商出物联网终端与接入网关之间的会话密钥,建立VPN隧道;所述加密应答信息是接入网关收到加密后的请求信息后,使用接入网关自身的私钥解密获得请求信息,然后利用物联网终端的公钥加密应答信息所产生的;
所述物联网终端和接入网关的公钥和私钥均是由密钥生成中心基于标识密码算法产生的。
11.一种基于标识密码算法的物联网安全认证装置,其特征在于,应用于接入网关,所述物联网安全认证装置包括:
接收模块,用于接入网关接收物联网终端发送的加密请求信息,所述加密请求信息是物联网终端利用接入网关的公钥加密建立SSL连接的请求信息得到的;
认证模块,用于接入网关发送加密应答信息至物联网终端,使得物联网终端利用物联网终端自身的私钥解密获得应答信息,协商出接入网关与物联网终端之间的会话密钥,建立VPN隧道;
所述加密应答信息是接入网关收到加密后的请求信息后,使用接入网关自身的私钥解密获得请求信息,然后利用物联网终端的公钥加密应答信息所产生的;
所述物联网终端和接入网关的公钥和私钥均是由密钥生成中心基于标识密码算法产生的。
12.一种基于标识密码算法的物联网安全认证***,其特征在于:包括存储介质和处理器;
所述存储介质用于存储指令;
所述处理器用于根据所述指令进行操作以执行根据权利要求1~5中任一项所述方法的步骤。
13.一种基于标识密码算法的物联网安全认证***,其特征在于:包括存储介质和处理器;
所述存储介质用于存储指令;
所述处理器用于根据所述指令进行操作以执行根据权利要求6~9中任一项所述方法的步骤。
14.一种基于标识密码算法的物联网安全认证***,其特征在于,包括物联网终端、密钥生成中心和接入网关:
所述物联网终端利用接入网关的公钥加密建立SSL连接的请求信息,并将加密后的请求信息发送至接入网关;
所述接入网关收到加密后的请求信息后,使用接入网关自身的私钥解密获得请求信息,然后利用物联网终端的公钥加密应答信息所产生加密应答信息;
所述物联网终端接收接入网关发送的加密应答信息,并利用物联网终端自身的私钥解密获得应答信息,协商出物联网终端与接入网关之间的会话密钥,建立VPN隧道;所述物联网终端和接入网关的公钥和私钥均是由密钥生成中心基于标识密码算法产生的。
15.根据权利要求14所述的一种基于标识密码算法的物联网安全认证***,其特征在于,所述基于标识密码算法的物联网安全认证***,还包括本地注册机构,物联网终端发送请求验证信息至密钥生成中心,所述密钥生成中心向本地注册机构验证物联网终端的身份信息和授权信息;
所述物联网终端接收密钥生成中心发送的加密后的物联网终端的私钥,并解密出物联网终端的私钥;所述加密后的物联网终端的私钥是密钥生成中心在验证通过后,根据物联网终端的标识ID,基于标识密码算法计算出物联网终端的私钥,并对其进行加密后分发给物联网终端。
CN202210549804.1A 2022-05-20 2022-05-20 基于标识密码算法的物联网安全认证方法、装置及*** Pending CN114928491A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210549804.1A CN114928491A (zh) 2022-05-20 2022-05-20 基于标识密码算法的物联网安全认证方法、装置及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210549804.1A CN114928491A (zh) 2022-05-20 2022-05-20 基于标识密码算法的物联网安全认证方法、装置及***

Publications (1)

Publication Number Publication Date
CN114928491A true CN114928491A (zh) 2022-08-19

Family

ID=82809069

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210549804.1A Pending CN114928491A (zh) 2022-05-20 2022-05-20 基于标识密码算法的物联网安全认证方法、装置及***

Country Status (1)

Country Link
CN (1) CN114928491A (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102413144A (zh) * 2011-12-05 2012-04-11 中国电力科学研究院 一种用于c/s架构业务的安全接入***及相关接入方法
CN108599950A (zh) * 2018-04-09 2018-09-28 北京无字天书科技有限公司 一种适用于sm9标识密码的用户密钥申请下载安全协议的实现方法
CN111835752A (zh) * 2020-07-09 2020-10-27 国网山西省电力公司信息通信分公司 基于设备身份标识的轻量级认证方法及网关
CN112512024A (zh) * 2021-02-05 2021-03-16 信联科技(南京)有限公司 一种面向5g网络的物联网终端安全汇聚接入方法及***
CN113553574A (zh) * 2021-07-28 2021-10-26 浙江大学 一种基于区块链技术的物联网可信数据管理方法
CN113704736A (zh) * 2021-07-22 2021-11-26 中国电力科学研究院有限公司 基于ibc体系的电力物联网设备轻量级接入认证方法及***
CN114422256A (zh) * 2022-01-24 2022-04-29 南京南瑞信息通信科技有限公司 一种基于ssal/ssl协议的高性能安全接入方法及装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102413144A (zh) * 2011-12-05 2012-04-11 中国电力科学研究院 一种用于c/s架构业务的安全接入***及相关接入方法
CN108599950A (zh) * 2018-04-09 2018-09-28 北京无字天书科技有限公司 一种适用于sm9标识密码的用户密钥申请下载安全协议的实现方法
CN111835752A (zh) * 2020-07-09 2020-10-27 国网山西省电力公司信息通信分公司 基于设备身份标识的轻量级认证方法及网关
CN112512024A (zh) * 2021-02-05 2021-03-16 信联科技(南京)有限公司 一种面向5g网络的物联网终端安全汇聚接入方法及***
CN113704736A (zh) * 2021-07-22 2021-11-26 中国电力科学研究院有限公司 基于ibc体系的电力物联网设备轻量级接入认证方法及***
CN113553574A (zh) * 2021-07-28 2021-10-26 浙江大学 一种基于区块链技术的物联网可信数据管理方法
CN114422256A (zh) * 2022-01-24 2022-04-29 南京南瑞信息通信科技有限公司 一种基于ssal/ssl协议的高性能安全接入方法及装置

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
(德)甘特.莱茵哈特: "《工业4.0手册》", 31 January 2021, 北京机械工业出版社, pages: 86 - 87 *
(美)斯瓦鲁普.布尼亚等: "《网络安全技术丛书 硬件安全 从SoC设计到***级防御》", 31 July 2021, 北京机械工业出版社, pages: 262 *
于新颖: ""基于定向扩散路由的匿名通信协议研究及应用"", 《中国优秀硕士学位论文全文数据库(信息科技辑)》, no. 02, 15 February 2022 (2022-02-15), pages 29 - 37 *
曹锋: "《区块链知识 技术普及版》", 31 March 2022, 北京理工大学出版社, pages: 100 - 103 *

Similar Documents

Publication Publication Date Title
CN110380852B (zh) 双向认证方法及通信***
CN109309565B (zh) 一种安全认证的方法及装置
CN109728909B (zh) 基于USBKey的身份认证方法和***
CN104158653B (zh) 一种基于商密算法的安全通信方法
JP2020202594A (ja) セキュアセッションの確立と暗号化データ交換のためのコンピュータ利用システム及びコンピュータ利用方法
CN112235235B (zh) 一种基于国密算法的sdp认证协议实现方法
CN104506534A (zh) 安全通信密钥协商交互方案
KR20190073472A (ko) 데이터 송신 방법, 장치 및 시스템
CN108683501B (zh) 基于量子通信网络的以时间戳为随机数的多次身份认证***和方法
CN101409619B (zh) 闪存卡及虚拟专用网密钥交换的实现方法
CN103763631A (zh) 认证方法、服务器和电视机
JP6548172B2 (ja) 端末認証システム、サーバ装置、及び端末認証方法
CN108809633B (zh) 一种身份认证的方法、装置及***
CN112351037B (zh) 用于安全通信的信息处理方法及装置
CN114765534B (zh) 基于国密标识密码算法的私钥分发***和方法
CN110138548B (zh) 基于非对称密钥池对和dh协议的量子通信服务站密钥协商方法和***
CN112637136A (zh) 加密通信方法及***
CN108809936B (zh) 一种基于混合加密算法的智能移动终端身份验证方法及其实现***
CN111416712B (zh) 基于多个移动设备的量子保密通信身份认证***及方法
CN114513339A (zh) 一种安全认证方法、***及装置
CN104125239A (zh) 一种基于数据链路加密传输的网络认证方法和***
CN117081736A (zh) 密钥分发方法、密钥分发装置、通信方法及通信装置
CN111245609A (zh) 基于秘密共享和随机数的量子保密通信密钥分发和协商***及其方法
CN114928491A (zh) 基于标识密码算法的物联网安全认证方法、装置及***
CN111865956A (zh) 一种防服务劫持***、方法、装置及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination