用于M2M通信中的聚合认证协议的方法技术
【技术实现步骤摘要】
【国外来华专利技术】用于M2M通信中的聚合认证协议的方法
本专利技术涉及一种机对机(Machine-to-Machine,M2M)通信系统,尤其涉及用于多个M2M设备与一个服务器之间的相互认证的方法。
技术介绍
机对机(Machine-to-Machine,M2M)通信在机器之间发生,带有计算和通信能力。已有很多应用具有M2M通信能力,例如用于个人健康监测、智能跟踪和供应链跟踪、智能电网、自动售货机远程控制等的设备。启用M2M的设备或终端的数量呈指数增长,预计到2014年会从2008年的5千万增加到超过2亿,到2020年会多达500亿。图1示出了典型的M2M系统架构,包括M2M设备、M2M网关和M2M认证服务器。在M2M系统中,M2M设备代表末端节点,例如传感器,M2M网关代表数据聚合节点,M2M认证服务器代表对M2M设备进行认证的M2M服务器。M2M网关提供网桥来将M2M设备可通信地耦合到M2M服务器,反之亦然。具体来说,M2M设备与M2M网关直接通信,M2M网关与M2M服务器直接通信。由于M2M通信的广泛使用,通信安全非常重要。一个安全问题是如何通过M2M认证服务器来认证M2M设...
【技术保护点】
一种用于通过服务器认证多个机对机(Machine‑to‑Machine,Μ2Μ)设备的方法,其特征在于,所述方法包括:使用基于对称密钥的技术,基于从网关接收的聚合认证消息对所述多个M2M设备进行服务器认证,所述聚合认证消息基于从所述多个M2M设备分别接收的多个认证消息在所述网关处生成;以及生成多个认证响应,所述多个认证响应通过所述网关分别发往所述多个M2M设备,其中所述多个认证响应中的至少一些指定用于所述服务器的设备认证,所述设备认证将使用基于对称密钥的技术在所述多个M2M设备中的成功进行服务器认证的M2M设备处执行。
【技术特征摘要】
【国外来华专利技术】2015.04.20 SG 10201503071U1.一种用于通过服务器认证多个机对机(Machine-to-Machine,Μ2Μ)设备的方法,其特征在于,所述方法包括:使用基于对称密钥的技术,基于从网关接收的聚合认证消息对所述多个M2M设备进行服务器认证,所述聚合认证消息基于从所述多个M2M设备分别接收的多个认证消息在所述网关处生成;以及生成多个认证响应,所述多个认证响应通过所述网关分别发往所述多个M2M设备,其中所述多个认证响应中的至少一些指定用于所述服务器的设备认证,所述设备认证将使用基于对称密钥的技术在所述多个M2M设备中的成功进行服务器认证的M2M设备处执行。2.根据权利要求1所述的方法,其特征在于,所述聚合认证消息包括:从包含在所述多个认证消息中的第一多个设备生成消息认证码(MessageAuthenticationCode,MAC)计算出的聚合设备生成MAC,对所述多个M2M设备进行服务器认证包括:验证包含在所述聚合认证消息中的多个设备生成新参数的有效性,以及验证所述聚合设备生成MAC相对于第一聚合服务器生成MAC的有效性,所述第一聚合服务器生成MAC是从所述多个M2M设备的第一多个服务器生成MAC计算出的,以及生成多个认证响应包括:计算所述多个M2M设备的第二多个服务器生成MAC,其中所述第二多个服务器生成MAC包含在所述多个认证响应中,用于验证相对于所述多个M2M设备中成功进行服务器认证的M2M设备的多个第二设备生成MAC的有效性。3.根据权利要求2所述的方法,其特征在于,如果所述多个设备生成新参数中的任何一个无效,或者如果所述聚合设备生成MAC相对于所述第一聚合服务器生成MAC无效,则所述方法还包括:将所述多个M2M设备添加到失败集中。4.根据权利要求2所述的方法,其特征在于,如果所述多个设备生成新参数中的任何一个无效,则所述方法还包括:将所述多个M2M设备中的任何具有无效的设备生成新参数的M2M设备添加到失败集中;从所述网关获得所述多个认证消息的子集,所述子集对应于所述多个M2M设备中的未包含在所述失败集中的剩余部分;以及在非聚合的基础上验证包含在所述多个认证消息的所述子集中的所述第一多个设备生成MAC的有效性;如果包含在所述多个认证消息的所述子集中的所述第一多个设备生成MAC中的任何一个有效,则将所述多个M2M设备中的具有有效的设备生成MAC的对应第一子集添加到成功集中;以及如果包含在所述多个认证消息的所述子集中的所述第一多个设备生成MAC中的任何一个无效,则将所述多个M2M设备中的具有无效的设备生成MAC的对应第二子集添加到所述失败集中。5.根据权利要求2所述的方法,其特征在于,如果所述多个设备生成新参数中的任何一个无效,则所述方法还包括:将所述多个M2M设备中的任何具有无效的设备生成新参数的M2M设备添加到失败集中;从所述网关接收布隆过滤器,所述布隆过滤器在所述网关处基于所述多个认证消息中的一个或多个而创建,所述多个认证消息中的一个或多个与所述多个M2M设备中的未包含在所述失败集中的剩余部分对应;计算所述多个M2M设备的第三多个服务器生成MAC;在所述布隆过滤器中查询所述第三多个服务器生成MAC;如果所述第三多个设备生成MAC的第一子集存在于所述布隆过滤器中,则将与所述第三多个设备生成MAC的所述第一子集对应的所述多个M2M设备的第一子集添加到临时成功集(temporarysuccessset,TSS)中;如果所述第三多个设备生成MAC的第二子集不在所述布隆过滤器中,则将与所述第三多个设备生成MAC的所述第二子集对应的所述多个M2M设备的第二子集添加到临时失败集(temporaryfailureset,TFS)中;验证临时聚合设备生成MAC相对于包含在所述临时成功集(temporarysuccessset,TSS)中的所述多个M2M设备的所述第一子集的第四多个服务器生成MAC的有效性,其中所述临时聚合设备生成MAC是从所述网关接收的;如果所述临时聚合设备生成MAC有效,则将所述多个M2M设备的所述第一子集添加到所述成功集中;以及如果所述临时聚合设备生成MAC无效,则将所述多个M2M设备的所述第一子集添加到所述失败集中,并将所述多个M2M设备的所述第二子集添加到所述失败集中。6.根据权利要求2所述的方法,其特征在于,来自所述第一多个设备生成MAC的所述聚合设备生成MAC通过以下方式计算:对所述第一多个设备生成MAC执行压缩函数。7.根据权利要求2所述的方法,其特征在于,所述多个新参数包括时间戳。8.根据权利要求1至7中的任一项所述的方法,其特征在于,还包括:在从所述网关接收所述聚合认证消息之前,对所述服务器与所述网关进行相互认证,并在它们之间建立第一安全通道。9.根据权利要求1至7中的任一项所述的方法,其特征在于,还包括:在从所述网关接收所述聚合认证消息之前,对所述服务器与所述网关进行相互认证,并在所述服务器与所述网关之间建立第一安全通道,其中所述网关已与所述多个M2M设备进行相互认证并且它们之间已建立多个第二安全通道。10.一种用于对多个机对机(Machine-to-Machine,M2M)设备进行认证的服务器,其特征在于,所述系统包括:处理器;以及存储设备,其存储供所述处理器执行的计算机可读指令,其中所述处理器用于:使用基于对称密钥的技术,基于从网关接收的聚合认证消息对所述多个M2M设备进行认证,所述聚合认证消息基于从所述多个M2M设备分别接收的多个认证消息在所述网关处生成;生成多个认证响应,所述多个认证响应通过所述网关分别发往所述多个M2M设备,其中所述多个认证响应中的至少一些指定用于所述服务器的设备认证,所述设备认证将使用基于对称密钥的技术在所述多个M2M设备中的成功进行服务器认证的M2M设备处执行。11.根据权利要求10所述的服务器,其特征在于,所述聚合设备生成消息认证码(MessageAuthenticationCode,MAC)是从包含在所述多个认证消息中的第一多个设备生成MAC计算出的,以及所述处理器还用于:验证包含在所述聚合认证消息中的多个设备生成新参数的有效性;验证所述聚合设备生成MAC相对于第一聚合服务器生成MAC的有效性,所述第一聚合服务器生成MAC是从所述多个M2M设备的第一多个服务器生成MAC计算出的;计算所述多个M2M设备的第二多个服务器生成MAC,其中所述第二多个服务器生成MAC包含在所述多个认证响应中,用于验证相对于所述多个M2M设备中成功进行服务器认证的M2M设备的多个第二设备生成MAC的有效性。12.根据权利要求11所述的服务器,其特征在于,如果所述多个设备生成新参数中的任何一个无效,或者如果所述聚合设备生成MAC相对于所述第一聚合服务器生成MAC无效,则所述处理器还用于:将所述多个M2M设备添加到失败集中。13.根据权利要求11所述的服务器,其特征在于,如果所述多个设备生成新参数中的任何一个无效,则所述处理器还用于:将所述多个M2M设备中的任何具有无效的设备生成新参数的M2M设备添加到失败集中;从所述网关获得所述多个认证消息的子集,所述子集对应于所述多个M2M设备中的未包含在所述失败集中的剩余部分;以及在非聚合的基础上验证包含在所述多个认证消息的所述子集中的所述第一多个设备生成MAC的有效性,如果包含在所述多个认证消息的所述子集中的所述第一多个设备生成MAC中的任何一个有效,则所述服务器还用于:将所述多个M2M设备中的具有有效的设备生成MAC的对应第一子集添加到成功集中,以及如果包含在所述多个认证消息的所述子集中的所述第一多个设备生成MAC中的任何一个无效,则所述服务器还用于:将所述多个M2M设备中的具有无效的设备生成MAC的对应第二子集添加到所述失败集中。14.根据权利要求11所述的服务器,其特征在于,如果所述多个设备生成新参数中的任何一个无效,则所述处理器还用于:将所述多个M2M设备中的任何具有无效的设备生成新参数的M2M设备添加到失败集中;从所述网关接收布隆过滤器,所述布隆过滤器在所述网关处基于所述多个认证消息中的至少一些而创建,所述多个认证消息中的至少一些与所述多个M2M设备中的未包含在所述失败集中的剩余部分对应;计算所述多个M2M设备的第三多个服务器生成MAC;在所述布隆过滤器中查询所述第三多个服务器生成MAC;如果所述第三多个设备生成MAC的第一子集存在于所述布隆过滤器中,则将与所述第三多个设备生成MAC的所述第一子集对应的所述多个M2M设备的第一子集添加到临时成功集(temporarysuccessset,TSS)中;如果所述第三多个设备生成MAC的第二子集不在所述布隆过滤器中,则将与所述第三多个设备生成MAC的所述第二子集对应的所述多个M2M设备的第二子集添加到临时失败集(temporaryfailureset,TFS)中;验证临时聚合设备生成MAC相对于包含在所述临时成功集(temporarysuccessset,TSS)中的所述多个M2M设备的所述第一子集的第四多个服务器生成MAC的有效性,其中所述临时聚合设备生成MAC是从所述网关接收的;如果所述临时聚合设备生成MAC有效,则将所述多个M2M设备的所述第一子集添加到所述成功集中;如果所述临时聚合设备生成MAC无效,则将所述多个M2M设备的所述第一子集添加到所述失败集中,并将所述多个M2M设备的所述第二子集添加到所述失败集中。15.根据权利要求11所述的服务器,其特征在于,所述聚合设备生成MAC通过以下方式计算:对所述第一多个设备生成MAC执行压缩函数。16.根据权利要求11所述的服务器,其特征在于,所述多个新参数包括时间戳。17.根据权利要求10至16中的任一项所述的服务器,其特征在于,所述处理器还用于:在从所述网关接收所述聚合认证消息之前,与所述网关进行相互认证,并在它们之间建立第一安全通道。18.根据权利要求10至16中的任一项所述的服务器,其特征在于,所述处理器还用于:在从所述网关接收所述聚合认证消息之前,与所述网关进行相互认证,并在所述服务器与所述网关之间建立第一安全通道,其中所述网关已与所述多个M2M设备进行相互认证并且它们之间已建立多个第二安全通道。19.一种用于对服务器进行认证的方法,其特征在于,所述方法包括:在机对机(MachinetoMachine,M2M)设备处,使用基于对称密钥的技术生成用于服务器认证的认证消息;向网关发送所述认证消息以与来自多个其它M2M设备的多个其它认证消息聚合,从而生成用于服务器认证的聚合认证消息;从所述网关接收服务器生成的认证响应,所述认证响应是对所述聚合认证消息进行服务器认证而得到的多个认证响应之一;以及使用基于对称密钥的技术,基于所述服务器生成的认证响应对所述服务器进行设备认证。20.根据权利要求19所述的方法,其特征在于,基于所述服务器生成的认证响应对所述服务器进行设备认证包括:验证包含在所述服务器生成的认证响应中的服务器生成的新参数的有效性;验证服务器生成的消息认证码(MessageAuthenticationCode,MAC)相对于设备生成的MAC的有效性;以及如果所述服务器生成的新参数有效,并且所述服务器生成的MAC相对于所述设备生成的MAC有效,则通过所述网关在所述M2M设备与所述服务器之间建立安全通道。21.根据权利要求19或20中的任一项所述的方法,其特征在于,还包括:在向网关发送所述认证消息之前,对所述M2M设备与所述网关进行相互认证,并在它们之间建立安全通道。22.一种机对机(Machine-to-Machine,M2M)设备,其特征在于,包括:处理器;以及存储设备,其存储供所述处理器执行的计算机可读指令,其中所述处理器用于:使用基于对称密钥的技术生成用于服务器认证的认证消息;向网关发送所述认证消息以与来自多个其它M2M设备的多个其它认证消息聚合,从而生成用于服务器认证的聚合认证消息;从所述网关接收服务器生成的认证响应...
【专利技术属性】
技术研发人员:时杰,王贵林,吴双,
申请(专利权)人:华为国际有限公司,
类型:发明
国别省市:新加坡,SG
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。