本发明专利技术公开了一种面向窄带物联网的轻量化安全认证及密钥交换方法,通信主体包括终端和服务器,在通信建立之前,终端与服务器之间共享根密钥,并基于对称密码体制采用“挑战—应答”交互机制实现双向认证。本发明专利技术主要解决基于NB‑IoT等窄带物联网连接技术的物联网应用系统中终端与服务器之间的双向身份认证及密钥交换问题,实现轻量化安全认证算法、协议和密钥协商机制,满足低功耗、低带宽消耗、低交互频度、高安全性的设计要求。
【技术实现步骤摘要】
一种面向窄带物联网的轻量化安全认证及密钥交换方法
本专利技术涉及一种面向窄带物联网的轻量化安全认证及密钥交换方法。
技术介绍
2016年9月,窄带蜂窝物联网NB-IoT成为3GPPR13正式标准冻结并发布,标志着物联网大规模商用进入到实质阶段。截止2018年4月,全球共有50个NB-IoT商用网络。此外,围绕电信运营企业的电信产业链的相关企业通过建立各种合作、联盟,在芯片、模组、终端、网络、应用各个环节共同发力推动NB-IoT产业化应用。目前,国内很多省市的垂直行业应用已经逐步展开,如智能水表、智能燃气表、共享单车、智能停车场等等,行业应用推广的同时NB-IoT网络的优化覆盖,提高使用质量也同期在进行。尽管我国NB-IoT产业链已逐步具备,并在全球都走在了前列,但是NB-IoT产业还处于行业早期,仍面临许多问题,其中之一就是NB-IoT的安全机制尚不完善。现有的NB-IoT几乎没有安全机制,未来真正实现万物互联之后,谁来承担数据安全的风险?此外,NB-IoT本身是一个低成本的、服务于传统行业的系统,建设投入不可能很高,因此如何设计一个轻量级的安全方案是当下面临的一个挑战。万物互联首先要解决的问题是如何将海量的物联网终端安全地接入系统,在接入系统之前需要对物联网终端的身份进行验证。目前,针对物联网安全认证的研究较多,比如:(1)专利技术专利(申请号201711325619.X)针对智能家居应用提出了基于PKI的物联网安全认证系统和方法,该方法引入证书签发中心对外部访问实体和智能家居设备发放证书,外部访问实体与智能家居设备通过交换和验证证书实现双向身份认证,这种方法由于没有考虑低功耗、窄带应用环境,因此并不适用于窄带物联网;(2)专利技术专利(申请号201510873413.5)提出了一种标签读写应用的身份认证方法,该方法首先在标签中预制认证标识,计算随机数与认证标识组成的哈希值,通过在应用服务器中比较标签/阅读器哈希值与后台数据库中查询的哈希值确定标签和阅读器身份,该方法由于仅解决了标签、阅读器组成的前端系统的单向认证问题,且没有提出密钥交换方法,因此不能完全满足窄带物联网终端安全接入的需要;(3)专利技术专利(申请号201210177752.6)提出了一种涉及军事物联网节点间的认证和密钥建立方法,该方法在通信主体与认证服务器之间建立共享密钥,利用标识码、随机数和共享密钥完成多方实体之间的双向认证,之后由认证服务器分发通信加密密钥,该方法提出了由认证服务器等4类通信主体组成的认证系统,需要在4类通信主体中维护3×n个共享密钥,交互八次完成认证及密钥交换,因此其密钥空间较大,协议本身交互次数较多,不能很好地满足窄带物联网需要。以上只是物联网安全认证研究中的典型例子,这些系统和方法在设计之初并没有考虑窄带物联网的实际应用环境,因此迫切需要一种新的、轻量化的安全认证方法来满足窄带物联网的应用要求。
技术实现思路
为了克服现有技术的上述缺点,本专利技术提供了一种面向窄带物联网的轻量化安全认证及密钥交换方法,主要解决基于NB-IoT等窄带物联网连接技术的物联网应用系统中终端与服务器之间的双向身份认证及密钥交换问题,实现轻量化安全认证算法、协议和密钥协商机制,满足低功耗、低带宽消耗、低交互频度、高安全性的设计要求。本专利技术解决其技术问题所采用的技术方案是:一种面向窄带物联网的轻量化安全认证及密钥交换方法,通信主体包括终端和服务器,在通信建立之前,终端与服务器之间共享根密钥,并基于对称密码体制采用“挑战—应答”交互机制实现双向认证。与现有技术相比,本专利技术的积极效果是:本专利技术采用的基于共享密钥的对称密码认证技术,在算法层面保证了计算的轻量化,通过引入通信双方产生的随机数计算认证令牌,能有效抵抗重放攻击,增加了通过逆运算获取认证密钥的难度;在协议交互层面,通信双方仅需要交互四次即能完成双向身份认证和通信密钥交换,降低了协议交互复杂度,提升了认证成功率;在密钥交换层面,密钥协商过程是伴随认证过程同步完成的,双方通信密钥利用认证过程交互的随机数计算生成,通信密钥无需在信道上传递,用于生成通信密钥的随机数在传递过程中均进行了加密保护,有效防止密钥在信道传输过程中泄露的风险,提高了通信密钥的安全性;通信双方每次认证均会协商产生通信密钥,保证每次通信过程使用的密钥都不相同,即“一次一密”;通信密钥由通信双方产生的一对随机数共同生成,能够有效防止密钥由通信其中一方操控,增加了通信过程的安全性。由于采取了以上技术手段和安全机制,本专利技术提出的安全认证和密钥交换方法具有对计算资源和网络带宽资源要求低、协议交互效率高、抗攻击能力强等突出特点,能够很好地适应NB-IoT等窄带物联网终端安全接入的应用要求,具有较大的实用价值。附图说明本专利技术将通过例子并参照附图的方式说明,其中:图1为双向认证机制示意图;图2为认证及密钥交换流程示意图。具体实施方式本专利技术提出的方法主要实现NB-IoT等窄带物联网环境下通信主体之间的双向身份认证和密钥交换,方法中涉及到的通信主体包括终端(TE)和服务器(Sever)。其中:终端主要实现末端信息采集与处理等功能;服务器主要负责终端接入以及终端数据汇聚处理等功能。在通信建立之前,终端与服务器之间需要共享根密钥,基于对称密码体制采用“挑战—应答(CR)”交互机制实现双向认证,在认证过程中不需要第三方参与。系统双向认证机制如图1所示。在认证过程中,终端和服务器使用共享密钥K和对称密码算法对协议交互过程中生成的设备标识、随机数等进行加密生成认证令牌,由于共享密钥只有通信双方拥有,且任意一对通信双方的共享密钥具有唯一性,因此通过交换认证令牌、解密认证令牌和对比随机数,可以确定通信双方身份。在完成身份认证之后,通信双方利用协议交互过程中的随机数生成用于通信过程的加密密钥,完成通信密钥协商。完整的认证流程步骤如下:(1)终端生成随机数Ra,将随机数Ra和终端设备号ID发送给服务器,启动认证流程;(2)服务器收到认证请求消息后,检查终端设备号ID是否合法,若合法则进入下一步认证流程,若不合法则向终端发送认证失败消息;(3)服务器利用密钥派生算法计算认证密钥Kx=KDF(ID,Ra,K),同时生成新的随机数Rb,使用对称密码算法计算认证令牌AUTNS=Ekx(Ra||Rb),将认证令牌AUTNS发送给终端;(4)终端收到服务器发来的认证令牌AUTNs后,使用认证密钥Kx对认证令牌进行逆运算解密获得Ra,比较终端本地Ra是否一致,若一致则服务器身份认证成功,进入下一步认证流程,若不一致则认证失败,认证流程结束;(5)终端利用密钥派生算法计算认证密钥Kx’=KDF(ID,Rb,K),同时生成随机数Ra’,使用对称密码算法计算认证令牌AUTNTE=Ekx’(Ra’||Rb),将认证令牌AUTNTE发送给服务器;(6)服务器收到终端发来的认证令牌AUTNTE后,使用认证密钥Kx’执行逆运算解密获得Rb,比较服务器本地Rb是否一致,若一致则终端身份认证成功,服务器利用密钥派生算法计算通信密钥Kc=KDF(K,Ra’,Rb),向终端发送认证成功消息;若比较不一致,则向终端发送认证失败消息;(7)终端收到服务器发来的认证成功消息后,利用密钥派生算法计算通信密钥本文档来自技高网...
【技术保护点】
1.一种面向窄带物联网的轻量化安全认证及密钥交换方法,其特征在于:通信主体包括终端和服务器,在通信建立之前,终端与服务器之间共享根密钥,并基于对称密码体制采用“挑战—应答”交互机制实现双向认证。
【技术特征摘要】
1.一种面向窄带物联网的轻量化安全认证及密钥交换方法,其特征在于:通信主体包括终端和服务器,在通信建立之前,终端与服务器之间共享根密钥,并基于对称密码体制采用“挑战—应答”交互机制实现双向认证。2.根据权利要求1所述的一种面向窄带物联网的轻量化安全认证及密钥交换方法,其特征在于:所述终端主要实现末端信息采集与处理功能;所述服务器主要负责终端接入以及终端数据汇聚处理功能。3.根据权利要求1所述的一种面向窄带物联网的轻量化安全认证及密钥交换方法,其特征在于:在认证过程中,终端和服务器使用共享根密钥和对称密码算法对协议交互过程中生成的设备标识、随机数进行加密生成认证令牌;在完成身份认证之后,通信双方利用协议交互过程中的随机数生成用于通信过程的加密密钥,完成通信密钥协商。4.根据权利要求1所述的一种面向窄带物联网的轻量化安全认证及密钥交换方法,其特征在于:终端和服务器之间的认证流程为:(1)终端将设备号ID和生成的随机数Ra发送给服务器,发起认证请求;(2)服务器收到认证请求消息后,检查终端设备号ID是否合法:若不合法则向终端发送认证失败消息;若合法则进入第(3)步;(...
【专利技术属性】
技术研发人员:杨震,韦涛,范国林,曾浩洋,
申请(专利权)人:中国电子科技集团公司第三十研究所,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。