基于设备身份标识的轻量级认证方法及网关技术

本发明专利技术实施例公开了一种基于设备身份标识的轻量级认证方法及网关。其中，基于设备身份标识的轻量级认证方法，包括：注册方法和认证方法；注册方法，包括：响应于注册申请请求，获取发送注册申请请求终端的身份信息；基于所述身份信息生成终端ID公钥；基于所述终端ID公钥得到终端的加密私钥和加签公钥；获取与终端协商得到的会话密钥；基于所述会话密钥对所述加密私钥和加签公钥进行加密，得到第一加密信息；将所述第一加密信息发送至终端。在加密私钥和加签公钥的传输通信中，使用与终端协商得到的会话密钥对通信进行加密，从而保证加密私钥和加签公钥传输安全，达到提高轻量级注册认证中安全性的目的。

【技术实现步骤摘要】
基于设备身份标识的轻量级认证方法及网关
本专利技术属于物联网
，更具体地，涉及一种基于设备身份标识的轻量级认证方法及网关。
技术介绍
现有的认证协议框架包括PKI、CPK和IBE等多种结构。PKI证书技术已成为应用于各个领域的安全通信功能实现的一个成熟技术。为验证用户身份，PKI框架要求通信用户在与对方通信前申请对方证书以及验证证书的有效性，较大增加了通信，时间和运算开销，对于功能简单，硬件设施简陋的物联网设备，难以支撑PKI认证技术的正常运行，尽管存在一些对PKI框架的轻量级设计，但都无法弥补证书与信任链的本质缺陷。郭萍提出一种轻量级证书方法(郭萍,张宏,周未,曹雪.基于轻量级CA无线传感器网络双向认证方案[J].小型微型计算机系统,2013)，只设置一个信任机构对用户自己生成的公私密钥对进行签名信任，降低了证书使用开销。但是其安全性降低，无法察觉中间人攻击；简单的合法验证和密钥托管的缺失导致协议可能出现攻击者注册成功的漏洞。因此，智能电网场景需要轻量级的认证协议来实现物联网设备的安全接入。CPK通过组合密码矩阵缩短了公钥生成时间，也不本文档来自技高网...

【技术保护点】
1.一种基于设备身份标识的轻量级认证方法，其特征在于，包括：注册方法和认证方法，/n所述注册方法包括：/n响应于注册申请请求，获取发送注册申请请求终端的身份信息；/n基于所述身份信息生成终端ID公钥；/n基于所述终端ID公钥得到终端的加密私钥和加签公钥；/n获取与终端协商得到的会话密钥；/n基于所述会话密钥对所述加密私钥和加签公钥进行加密，得到第一加密信息；/n将所述第一加密信息发送至终端。/n

【技术特征摘要】
1.一种基于设备身份标识的轻量级认证方法，其特征在于，包括：注册方法和认证方法，
所述注册方法包括：
响应于注册申请请求，获取发送注册申请请求终端的身份信息；
基于所述身份信息生成终端ID公钥；
基于所述终端ID公钥得到终端的加密私钥和加签公钥；
获取与终端协商得到的会话密钥；
基于所述会话密钥对所述加密私钥和加签公钥进行加密，得到第一加密信息；
将所述第一加密信息发送至终端。


2.根据权利要求1所述的基于设备身份标识的轻量级认证方法，其特征在于，所述获取发送注册申请请求终端的身份信息，包括：
对发送注册申请请求的终端进行指纹采集；
基于指纹采集的信息得到所述身份信息。


3.根据权利要求1所述的基于设备身份标识的轻量级认证方法，其特征在于，所述获取发送注册申请请求终端的身份信息的步骤之后，还包括：
基于所述身份信息判断所述终端是否符合设定的注册条件。


4.根据权利要求1所述的基于设备身份标识的轻量级认证方法，其特征在于，所述会话密钥为：
网关与终端采用协商密钥算法生成。


5.根据权利要求4所述的基于设备身份标识的轻量级认证方法，其特征在于，所述网关与终端采用协商密钥算法生成的会话密钥，包括：
网关基于密钥协商算法得到第一随机数，向终端发送包含第一随机数的网关信息；
网关接收来自终端的反馈信息，所述反馈信息包括使用会话密钥加密的第二加密信息和第二随机数，所述会话密钥为基于第一随机数和第二随机数生成，所述第二随机数为终端基于终端ID生成，生成所述第二随机数的密钥协商算法与生成第一随机数的密钥协商算法相同；
网关基于所述第二随机数对所述第二加密信息信息解密得到会话密钥；
所述网关信息，包括：
IDA，IDB，ar1，网关时间戳和S1，IDA为网关ID，IDB为终端ID，ar1为第一随机数，M1为IDA、IDB和ar1的MAC值，S1为网关对M1的签名；
所述反馈信息，包括：
E1和ar2，E1为使用会话密钥加密的包括IDA、IDB、网关时间戳+1和第二随机数MAC值的信息，ar2为第二随机数。
所述网关基于所述第二随机数对所述第二加密信息信息解密得到会话密钥，包括：
通过ar2获得会话密钥并解密信息E1；
验证网关时间戳和第二随机数MAC值是否正确；
如正确，则用会话密钥加密包括IDA、IDB、Keypair、网关时间戳+2，和S2的E2信息，Keypair为加密私钥和加签公钥，S2为对M2的签名，M2为IDA、IDB、Keypair和网关时间戳+2的MAC值；
使用签名算法为E2信息的MAC值添加数字签名。
所述将所述第一加密信息发送至终端，包括：
接收来自终端的结束信号E3，对所述结束信号E3进行解密，基于解密得到的信息判断与终端会话是否结束；
所述终端生成结束信号E3包括，终端使用会话密钥解密E2信息，对解密E2信息中的时间戳有效性进行验证，得到Keypair后生成结束信号E3。


6.根据权利要求1所述的基于设备身份标识的轻量级认证方法，其特征在于，所述认证方法，包括：
响应于认证请求，获取发送认证请求的...

【专利技术属性】
技术研发人员：禹宁，安毅，谷良，竹瑞博，罗威，黄达成，赵嘉，任晓刚，
申请(专利权)人：国网山西省电力公司信息通信分公司，山西联拓科技有限公司，
类型：发明
国别省市：山西;14