CN115208702B - 一种物联网设备认证与密钥协商方法 - Google Patents

一种物联网设备认证与密钥协商方法 Download PDF

Info

Publication number
CN115208702B
CN115208702B CN202211125240.5A CN202211125240A CN115208702B CN 115208702 B CN115208702 B CN 115208702B CN 202211125240 A CN202211125240 A CN 202211125240A CN 115208702 B CN115208702 B CN 115208702B
Authority
CN
China
Prior art keywords
authentication
visitor
central server
key
random number
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211125240.5A
Other languages
English (en)
Other versions
CN115208702A (zh
Inventor
肖勇才
杨浩
徐建
刘旷也
章玲玲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
Electric Power Research Institute of State Grid Jiangxi Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
Electric Power Research Institute of State Grid Jiangxi Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, Electric Power Research Institute of State Grid Jiangxi Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN202211125240.5A priority Critical patent/CN115208702B/zh
Publication of CN115208702A publication Critical patent/CN115208702A/zh
Application granted granted Critical
Publication of CN115208702B publication Critical patent/CN115208702B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00571Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by interacting with a central unit
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00896Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys specially adapted for particular uses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Lock And Its Accessories (AREA)

Abstract

本发明涉及通信技术领域,具体涉及一种物联网设备认证与密钥协商方法。该方法用于访客终端与中心服务器之间的身份认证和密钥交换;在预设的中心服务器中含有预先填写的加密的访客注册信息以及访问时间段,所述注册信息包含访客终端的设备信息以及访客的身份信息,访客终端与中心服务器之间有共用的根密钥;通过引入通信双方产生的随机数计算认证令牌,用于生成认证令牌的随机数在传递过程中均进行了加密保护,并且,访客的注册信息采用动态加密,保证每次通信过程使用的密钥都不相同,有效防止密钥在信道传输过程中泄露的风险;并采用身份信息和访客终端双层认证,能够有效防止身份信息或访客终端其中一方遗失或泄露后造成的安全风险。

Description

一种物联网设备认证与密钥协商方法
技术领域
本发明涉及通信技术领域,具体涉及一种物联网设备认证与密钥协商方法。
背景技术
随着物联网和智能设备的普及,物联网通信技术以及智能设备交互应用越来越普遍,例如手机、电脑以及智能家电的远程交互、控制等。身份认证机制是确保通信有效性的重要工具,相应地,身份认证机制的安全性以及物联网通信安全是必需要考虑的问题。例如,现有的智能门禁***的身份认证机制中,有些会使用授权的方式提供临时密码或临时门禁卡给临时清洁人员或检修的工作人员使用。但简单的临时数字密码和临时门禁卡的安全性仍有待提高,部分居民住宅需要打开单元门和入户门,独栋住宅则可能需要打开院门和入户门,若设有不同的密码则不便于密码的传递,使用较为麻烦,设置相同密码则安全性不够,密码也容易泄露或被破解,且临时密码也会在一定范围时间内有效,不能完全避免密码被传播导致的风险。
发明内容
针对现有技术的的不足,本发明提供一种物联网设备认证与密钥协商方法,以提高身份认证的安全性。
为实现上述目的,本发明采用的技术方案如下。
一种物联网设备认证与密钥协商方法,用于访客终端与中心服务器之间的身份认证和密钥交换;在预设的中心服务器中含有预先填写的加密的访客注册信息以及访问时间段,所述注册信息包含存储在访客终端本地的访客终端的设备信息IDa以及访客的身份信息IDb,访客终端与中心服务器之间有共用的根密钥K;所述方法的认证流程步骤包括:
步骤(1),中心服务器通过智能门锁设备M1接收到访客的身份信息认证请求信号后,检验访客的身份信息IDb是否与中心服务器预存储的身份信息相符,若相符则启动认证流程,若不相符则认证终止;
步骤(2),中心服务器判断当前时间点是否在预设的访问时间段内,若在访问时间段内,则进行下一步认证,若不在访问时间段内,则认证终止;
步骤(3),中心服务器生成随机数Rs,并利用密钥派生算法计算认证密钥K1=KDF(IDa,Rs,K),然后使用对称密码算法计算认证令牌AUTNs=EK1(Rs||IDa),并将随机数Rs、认证密钥K1和认证令牌AUTNs发给访客终端;
步骤(4),访客终端收到中心服务器发来的信息后,使用认证密钥K1对认证令牌AUTNs进行逆运算解密获得随机数Rs'和解密后的访客终端的设备信息IDa',然后比较随机数Rs'与随机数Rs是否一致,同时比较解密后的访客终端的设备信息IDa'与存储在访客终端本地的访客终端的设备信息IDa是否一致,若均一致则中心服务器身份认证成功,进入下一步认证,若不一致则认证失败,认证终止;
步骤(5),访客终端生成随机数Ra,并利用密钥派生算法计算认证密钥K2=KDF(IDa,Ra,K),然后使用对称密码算法计算认证令牌AUTNa=EK2(Ra||Rs'),将随机数Ra、认证密钥K2和认证令牌AUTNa发送给中心服务器;
步骤(6),中心服务器收到访客终端发来的认证令牌AUTNa后,使用认证密钥K2执行逆运算解密认证令牌AUTNa获得随机数Ra'和随机数Rs'',比较随机数Ra'与随机数Ra是否一致,同时比较随机数Rs''与Rs是否一致,若均一致则访客终端身份认证成功,若比较不一致,则认证失败;
步骤(7),若步骤(6)认证成功,则中心服务器向智能门锁设备M1发送认证成功的信号,即智能门锁设备M1开启;若步骤(6)认证失败,则认证终止,即智能门锁设备M1不开启;
步骤(8),需要开启智能门锁设备M2时,重复步骤(1)~步骤(6),若步骤(6)认证失败,则认证终止;若步骤(6)认证成功,则中心服务器生成临时随机字段Rc作为临时密码,并利用密钥派生算法计算通信密钥Kc=KDF(K,Ra',Rc),再将通信密钥Kc发送给访客终端;
步骤(9),访客终端利用根密钥K对通信密钥Kc进行解密,获得解密后的临时密码Rc';访客通过智能门锁设备M2将解密后的临时密码Rc'传递给中心服务器,中心服务器比较解密后的临时密码Rc'与临时随机字段Rc是否一致;若一致,则认证成功,中心服务器向智能门锁设备M2发送认证成功的信号(即智能门锁设备M2开启);若比较不一致,则认证失败,认证终止(即智能门锁设备M2不开启)。
其中,KDF(X1,X2,X3)为密钥派生算法,X1/X2/X3为算法输入参数;E()为对称密码算法,EK1/EK2为使用K1/ K2密钥的对称密码算法,||为字符连接符号。
进一步地,步骤(3)中,计算认证密钥K1前,可先根据存储在访客终端本地的访客终端的设备信息IDa、随机数Rs以及当前时间节点生成动态ID信息IDat,再利用密钥派生算法计算认证密钥K1=KDF(IDat,Rs,K),然后使用对称密码算法计算认证令牌AUTNs=EK1(Rs||IDat);则步骤(4)中,使用认证密钥K1对认证令牌AUTNs进行逆运算解密获得随机数Rs'和二进制字符串IDat',此时先通过逆运算将二进制字符串IDat'转化为字符串IDa'(即解密后的访客终端的设备信息IDa'),再来比较随机数Rs'与随机数Rs是否一致,同时比较解密后的访客终端的设备信息IDa'与存储在访客终端本地的访客终端的设备信息IDa是否一致。
进一步地,生成动态ID信息IDat的方式为将时间节点+存储在访客终端本地的访客终端的设备信息IDa+随机数Ra组合后通过短除法转化为二进制字符串。
其中,访客的身份信息IDb包括指纹信息、瞳孔信息和临时门禁卡信息中的一种或多种;访客终端是指手机、智能手环或智能手表等。
本发明的有益效果:
(1)本发明通过引入通信双方产生的随机数计算认证密钥和认证令牌,用于生成认证密钥和认证令牌的随机数在传递过程中均进行了加密保护,有效防止密钥在信道传输过程中泄露的风险,提高了通信密钥的安全性。
(2)通信双方每次认证均会协商产生密钥,且访客终端的设备信息采用动态加密,保证每次通信过程使用的密钥都不相同;并采用身份信息和访客终端双层认证,生成临时密码,能够有效防止身份信息或访客终端其中一方遗失或泄密后造成的安全风险。
(3)该方法能够用于具备单元门和入户门,或具备院门和入户门的住宅门禁***,便于临时清洁人员、维修工作人员或临时访客的进出门禁,安全性强,给住户提供便利。
附图说明
图1为本发明实施例中身份认证与密钥协商方法的认证流程图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明并不限于下面公开的具体实施例的限制。
如图1所示的一种物联网设备认证与密钥协商方法,用于访客终端与中心服务器之间的身份认证和密钥交换;本实施例中,该方法应用于包含院门和入户门以及两个智能门锁(设备M1和设备M2)的门禁***;在预设的中心服务器中含有预先填写的加密的访客注册信息以及访问时间段,所述注册信息包含存储在访客终端本地的访客终端的设备信息IDa以及访客的身份信息IDb,访客终端与中心服务器之间有共用的根密钥K;所述方法的认证流程步骤包括:
步骤(1),中心服务器通过智能门锁设备M1接收到访客的身份信息IDb的信号后即为收到访客的认证请求,先检验访客的身份信息IDb是否与中心服务器预存储的身份信息相符,若相符则启动认证流程,若不相符则认证终止;在本实施例中,访客的身份信息IDb为指纹信息;
步骤(2),中心服务器判断当前时间点是否在预设的访问时间段内,若在访问时间段内,则进行下一步认证,若不在访问时间段内,则认证终止;
步骤(3),中心服务器生成随机数Rs,并先根据存储在访客终端本地的访客终端的设备信息IDa、随机数Rs以及当前时间节点生成动态ID信息IDat,再利用密钥派生算法计算认证密钥K1=KDF(IDat,Rs,K),然后使用对称密码算法计算认证令牌AUTNs=EK1(Rs||IDat),并将随机数Rs、认证密钥K1和认证令牌AUTNs发给访客终端;其中,生成动态ID信息IDat的方式为将时间节点+存储在访客终端本地的访客终端的设备信息IDa+随机数Ra组合后通过短除法转化为二进制字符串;
步骤(4),访客终端收到中心服务器发来的信息后,使用认证密钥K1对认证令牌AUTNs进行逆运算解密获得随机数Rs'和二进制字符串IDat',再通过逆运算将二进制字符串IDat'转化为十进制字符串即解密后的访客终端的设备信息IDa',然后比较随机数Rs'与随机数Rs是否一致,同时比较解密后的访客终端的设备信息IDa'与存储在访客终端本地的访客终端的设备信息IDa是否一致,若均一致则中心服务器身份认证成功,进入下一步认证,若其中一个不一致则认证失败,认证终止;
步骤(5),访客终端生成随机数Ra,并利用密钥派生算法计算认证密钥K2=KDF(IDa,Ra,K),然后使用对称密码算法计算认证令牌AUTNa=EK2(Ra||Rs'),将随机数Ra、认证密钥K2和认证令牌AUTNa发送给中心服务器;
步骤(6),中心服务器收到访客终端发来的认证令牌AUTNa后,使用认证密钥K2执行逆运算解密认证令牌AUTNa获得随机数Ra'和随机数Rs'',比较随机数Ra'与随机数Ra是否一致,同时比较随机数Rs''与随机数Rs是否一致,若均一致则访客终端身份认证成功,若其中一个比较不一致,则认证失败;
步骤(7),若步骤(6)认证成功,则中心服务器向智能门锁设备M1发送认证成功的信号(即智能门锁设备M1开启);若步骤(6)认证失败,则认证终止(即智能门锁设备M1不开启);
步骤(8),需要开启智能门锁设备M2时,重复步骤(1)~步骤(6),若步骤(6)认证失败,则认证终止;若步骤(6)认证成功,则中心服务器生成临时随机字段Rc作为临时密码,并利用密钥派生算法计算通信密钥Kc=KDF(K,Ra',Rc),再将通信密钥Kc发送给访客终端;
步骤(9),访客终端利用根密钥K对通信密钥Kc进行解密,获得解密后的临时密码Rc';访客通过智能门锁设备M2将解密后的临时密码Rc'传递给中心服务器,中心服务器比较解密后的临时密码Rc'与临时随机字段Rc是否一致;若一致,则认证成功,中心服务器向智能门锁设备M2发送认证成功的信号(即智能门锁设备M2开启);若比较不一致,则认证失败,认证终止(即智能门锁设备M2不开启)。
在另一实施例中,考虑到访客误操作导致输入密码错误,若步骤(9)中心服务器比较解密后的临时密码Rc'与临时随机字段Rc结果为不一致,则在一定预设时间内(例如预设为30s)访客能够再次输入密码重复步骤(9)的步骤进行身份验证,中心服务器再次比较访客输入的临时密码与临时随机字段Rc是否一致;若一致,则访客再次输入身份信息即指纹信息,中心服务器检验访客的身份信息IDb是否正确,若正确,则认证成功,中心服务器向智能门锁设备M2发送认证成功的信号(即智能门锁设备M2开启);若比较不一致访客的身份信息IDb错误,则认证失败,认证终止(即智能门锁设备M2不开启)。该设置避免了访客最后验证时误操作后需要重复所有认证步骤,节省了身份认证的时间,同时又能够保证身份认证的安全性。

Claims (2)

1.一种物联网设备认证与密钥协商方法,用于访客终端与中心服务器之间的身份认证和密钥交换;在预设的中心服务器中含有预先填写的加密的访客注册信息以及访问时间段,所述注册信息包含访客终端的设备信息IDa以及访客的身份信息IDb,访客终端与中心服务器之间有共用的根密钥K;其特征在于,所述方法的认证流程步骤包括:
步骤(1),中心服务器通过智能门锁设备M1接收到访客的身份信息IDb的信号后即为收到访客的认证请求,先检验访客的身份信息IDb是否与中心服务器预存储的身份信息相符,若相符则启动认证流程,若不相符则认证终止;
步骤(2),中心服务器判断当前时间点是否在预设的访问时间段内,若在访问时间段内,则进行下一步认证,若不在访问时间段内,则认证终止;
步骤(3),中心服务器生成随机数Rs,并先根据访客终端的设备信息IDa、随机数Rs以及当前时间节点生成动态ID信息IDat,再利用密钥派生算法计算认证密钥K1=KDF(IDat,Rs,K),然后使用对称密码算法计算认证令牌AUTNs=EK1(Rs||IDat),并将随机数Rs、认证密钥K1和认证令牌AUTNs发给访客终端;其中,生成动态ID信息IDat的方式为将时间节点+访客终端的设备信息IDa+随机数Rs组合后通过短除法转化为二进制字符串;
步骤(4),访客终端收到中心服务器发来的信息后,使用认证密钥K1对认证令牌AUTNs进行逆运算解密获得随机数Rs'和二进制字符串IDat',再通过逆运算将二进制字符串IDat'转化为十进制字符串即解密后的访客终端的设备信息IDa',然后比较随机数Rs'与随机数Rs是否一致,同时比较解密后的访客终端的设备信息IDa'与存储在访客终端本地的访客终端的设备信息IDa是否一致,若均一致则中心服务器身份认证成功,进入下一步认证,若其中一个不一致则认证失败,认证终止;
步骤(5),访客终端生成随机数Ra,并利用密钥派生算法计算认证密钥K2=KDF(IDa,Ra,K),然后使用对称密码算法计算认证令牌AUTNa=EK2(Ra||Rs'),将随机数Ra、认证密钥K2和认证令牌AUTNa发送给中心服务器;
步骤(6),中心服务器收到访客终端发来的认证令牌AUTNa后,使用认证密钥K2执行逆运算解密认证令牌AUTNa获得随机数Ra'和随机数Rs'',比较随机数Ra'与随机数Ra是否一致,同时比较随机数Rs''与随机数Rs是否一致,若均一致则访客终端身份认证成功,若其中一个比较不一致,则认证失败;
步骤(7),若步骤(6)认证成功,则中心服务器向智能门锁设备M1发送认证成功的信号,即智能门锁设备M1开启;若步骤(6)认证失败,则认证终止,即智能门锁设备M1不开启;
步骤(8),需要开启智能门锁设备M2时,重复步骤(1)~步骤(6),若步骤(6)认证失败,则认证终止;若步骤(6)认证成功,则中心服务器生成临时随机字段Rc作为临时密码,并利用密钥派生算法计算通信密钥Kc=KDF(K,Ra',Rc),再将通信密钥Kc发送给访客终端;
步骤(9),访客终端利用根密钥K对通信密钥Kc进行解密,获得解密后的临时密码Rc';访客通过智能门锁设备M2将解密后的临时密码Rc'传递给中心服务器,中心服务器比较解密后的临时密码Rc'与临时随机字段Rc是否一致;若一致,则认证成功,中心服务器向智能门锁设备M2发送认证成功的信号,即智能门锁设备M2开启;
若比较不一致,则在一定预设时间内访客能够再次输入密码重复步骤(9)的步骤进行身份验证,中心服务器再次比较访客输入的临时密码与临时随机字段Rc是否一致;若一致,则访客再次输入身份信息即指纹信息,中心服务器检验访客的身份信息IDb是否正确,若正确,则认证成功,中心服务器向智能门锁设备M2发送认证成功的信号,即智能门锁设备M2开启;若比较不一致访客的身份信息IDb错误,则认证失败,认证终止,即智能门锁设备M2不开启。
2.根据权利要求1所述的物联网设备认证与密钥协商方法,其特征在于,访客的身份信息IDb包括指纹信息、瞳孔信息和临时门禁卡信息中的一种或多种。
CN202211125240.5A 2022-09-16 2022-09-16 一种物联网设备认证与密钥协商方法 Active CN115208702B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211125240.5A CN115208702B (zh) 2022-09-16 2022-09-16 一种物联网设备认证与密钥协商方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211125240.5A CN115208702B (zh) 2022-09-16 2022-09-16 一种物联网设备认证与密钥协商方法

Publications (2)

Publication Number Publication Date
CN115208702A CN115208702A (zh) 2022-10-18
CN115208702B true CN115208702B (zh) 2022-12-30

Family

ID=83572879

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211125240.5A Active CN115208702B (zh) 2022-09-16 2022-09-16 一种物联网设备认证与密钥协商方法

Country Status (1)

Country Link
CN (1) CN115208702B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107274516A (zh) * 2017-04-19 2017-10-20 捷开通讯(深圳)有限公司 访问认证的方法及服务器、智能终端和存储装置
CN108989318A (zh) * 2018-07-26 2018-12-11 中国电子科技集团公司第三十研究所 一种面向窄带物联网的轻量化安全认证及密钥交换方法
CN110858969A (zh) * 2018-08-23 2020-03-03 刘高峰 客户端注册方法、装置及***

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101621801B (zh) * 2009-08-11 2012-11-28 华为终端有限公司 无线局域网的认证方法、***及服务器、终端
CN107919956B (zh) * 2018-01-04 2020-09-22 重庆邮电大学 一种面向物联网云环境下端到端安全保障方法
CN111835752B (zh) * 2020-07-09 2022-04-12 国网山西省电力公司信息通信分公司 基于设备身份标识的轻量级认证方法及网关

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107274516A (zh) * 2017-04-19 2017-10-20 捷开通讯(深圳)有限公司 访问认证的方法及服务器、智能终端和存储装置
CN108989318A (zh) * 2018-07-26 2018-12-11 中国电子科技集团公司第三十研究所 一种面向窄带物联网的轻量化安全认证及密钥交换方法
CN110858969A (zh) * 2018-08-23 2020-03-03 刘高峰 客户端注册方法、装置及***

Also Published As

Publication number Publication date
CN115208702A (zh) 2022-10-18

Similar Documents

Publication Publication Date Title
CN106789047B (zh) 一种区块链身份***
CN101222488B (zh) 控制客户端访问网络设备的方法和网络认证服务器
CN109410406B (zh) 一种授权方法、装置和***
US5418854A (en) Method and apparatus for protecting the confidentiality of passwords in a distributed data processing system
CN111080845B (zh) 临时解锁方法、***、门锁、管理员终端和可读存储介质
CN107274532A (zh) 加密参数动态更新的临时密码门禁***
CN109728909A (zh) 基于USBKey的身份认证方法和***
CN109448197A (zh) 一种基于多重加密模式的云智能锁***及密钥管理方法
US10133861B2 (en) Method for controlling access to a production system of a computer system not connected to an information system of said computer system
CN108418691A (zh) 基于sgx的动态网络身份认证方法
CN108509787B (zh) 一种程序认证方法
CN109618334B (zh) 控制方法及相关设备
CN105099690A (zh) 一种移动云计算环境下基于otp和用户行为的认证授权方法
CN109905374A (zh) 一种面向智能家庭的具有隐私保护特性的身份认证方法
CN106411926A (zh) 一种数据加密通信方法及***
CN111540093A (zh) 一种门禁控制***及其控制方法
CN114726555B (zh) 认证及密钥协商方法、设备及存储介质
CN113037702B (zh) 基于大数据分析农业工作人员登录***安全工作方法
CN107104792B (zh) 一种便携式移动口令管理***及其管理方法
CN113593088A (zh) 一种智能开锁方法、智能锁、移动终端及服务器
CN111882706A (zh) 一种房屋智能管理方法
CN115208702B (zh) 一种物联网设备认证与密钥协商方法
CN112087438A (zh) 一种基于otp算法的防重放攻击的鉴别方法
KR101996317B1 (ko) 인증변수를 이용한 블록체인 기반의 사용자 인증 시스템 및 그 방법
JP2001344214A (ja) 端末の認証方法と暗号通信システム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant