本发明专利技术公开了一种NDN数字签名编码结构、物联网设备签名验证方法及系统,NDN安全体系中,数字签名包括用于存放数字签名字节流的签名值域和用于存放与所述数字签名有关的各种信息的签名信息域。本发明专利技术设计多路签名及验证机制,在所述签名信息域内设置有验证链域;所述验证链域内存放有多条验证链;每一条验证链对应一个信任体系,并用于记录对应的信任体系下从根密钥到产生数字签名的密钥涉及的所有密钥。在安全通信过程中需要验证签名时,根据验证链域记录的验证链信息选取最短的验证链推进签名验证,能有效提升安全通信的效率,以高效保护物联网特别是智能家居的安全和隐私。高效保护物联网特别是智能家居的安全和隐私。高效保护物联网特别是智能家居的安全和隐私。
【技术实现步骤摘要】
NDN数字签名编码结构、物联网设备签名验证方法及系统
[0001]本专利技术涉及NDN(命名数据网络)物联网设备组网、信任管理和安全通信领域,特别是一种命名数据网络、物联网设备通信的方法及系统
技术介绍
[0002]5G通信和新型网络架构技术的快速发展为物联网带来了更多的应用场景和广阔的发展前景。当前,人们的日常生活中已充斥着各种智能设备,如:手机、可穿戴设备、智能路由器等,能感知的内容也不断增多,周边环境也不断被数字化、智能化。然而,不断涌现的应用场景和需求对物联网提出了新的挑战,特别是关于网络安全和信息隐私的需求越来越高。
[0003]传统TCP/IP网络中,主流安全模型是基于信道的安全(如TLS和DTLS),其核心是通过建立安全的通信信道来保证资源服务器与客户端之间能安全的通信。然而,经过两轮或者更多轮安全握手来建立可信信道产生的额外开销对于物联网中的小型设备间大量小数据传输性价比太低。在NDN网络中,关注焦点由数据存放位置、数据通道转移到数据内容。用户只需关心数据内容以及数据安全,而不需要知道内容在哪里以及如何获取。如此实现安全通信更为直接。此外,传统基于PKI的信任管理模式依赖于第三方,在家联网这种以本地通信为主的场景会增加不必要的外部依赖,且增加了暴露家庭隐私的渠道。而NDN支持以本地信源来驱动本地化通信过程中的本地化信任管理。因此,NDN非常适合来解决物联网特别是家联网中日益增长的安全通信和隐私保护需求。
[0004]NDN网络通信中涉及两种主要的网络报文:兴趣包和数据包。一般情况下,兴趣包携带所请求的数据的名字和相关信息;数据包作为对兴趣包的响应携带着数据内容以及数据生产者的数字签名。数据消费者通过验证数据生产者的数字签名来确认收到的数据是真实的、完整的,而无需担心数据来源以及数据通路是否安全。
[0005]NDN数据包的报文格式中主要包含四部分内容:(1)数据名,用来标识数据、匹配兴趣包和指导数据包转发;(2)数据内容,携带数据原始内容或者加密内容的字节流;(3)签名元数据信息,如签名所用的密钥名字、算法参数等;(4)数字签名,将前三部分作为整体进行签名。NDN默认采用非对称密码技术进行签名。在验证数据包签名的时候,需要根据签名元数据信息获取签名用的密钥名字已确认本地是否有验证该签名所需的数字证书。若本地没有需向网络中请求该数字证书。在NDN中,数字证书也按照数据包格式进行维护,其中数据名即为数字证书名,数据内容为该数字证书认证的公钥,数字签名几位该证书签发机构或者设备生成的数字签名。获取到数字证书后需像处理数据包一样先验证数字签名。因此,在NDN安全通信过程中涉及多轮“获取数据
‑
认证签名”的通信和计算,形成一条签名验证链。具体实现过程如下:收包方收到数据包P后,根据P的签名元数据信息向网络中请求签名密钥K的数字证书C用以验证X中携带的数字签名;C本身也是一个数据包,收包方需要进一步验证C的签名信息,因此需要向网络中请求为C签名的密钥对应的数字证书;如此反复形成一条签名验证链,直到需要用到的某个数字证书在收包方本地有存储(可信)即可结束验
证。在智能家居场景下,除数据获取外还涉及远程执行操作,比如开/关灯等。在最新的NDN架构中,采用pub
‑
sub模式来支持这类通信。被操作设备(如智能灯)向网络中发送长期保存的兴趣包以注册服务;操作发起设备(如智能手机)向网络中发送数据包来申请服务执行相关操作。被操作设备收到相应的数据包后进行签名验证以确保信任对方再允许执行操作。
[0006]NDN要求在通信过程中进行数据包签名验证,且数字证书也组织成数据包在网络中传输,因此不依赖于类似PKI的第三方新人管理和证书发放机构。NDN支持在本地设置根密钥和根数字证书作为信任源,通过层级化签名来生成设备密钥和设备数字证书,并根据签名链通过数据包的签名元数据信息反向构造验证链实现签名验证。由同一设备签发数字证书的两个设备可借助签发者的公钥互相验证签名建立基本信任。
[0007]由于NDN目前采用单一签名方式,只能构建单维验证链,即一个设备的证书只能由唯一设备签发。因此,只能进行树形信任管理。
[0008]目前,基于NDN物联网安全通信的本地信任管理模型研究尚少,主要基于单一签名模式进行树形信任管理,即从一个单一信源出发,通过逐层签发数字证书构造一棵信任树,具有相同父节点的两个节点互相信任可直接验证签名。在NDN安全通信过程中涉及跨父节点的签名验证,则需要从树上某个节点开始向着树根逐层进行签名验证。
[0009]在物联网特别是智能家居场景中,需要保障通信安全和通信隐私,同时尽量降低设备计算、通信开销和能耗。传统的基于信道的安全通信机制、基于PKI的信任管理机制以及基于树形信任管理的NDN本地化信任管理机制都难以满足。
[0010](1)传统的基于信道的安全通信机制,需要额外的计算和通信开销来建立安全信道;在频繁移动场景下因链路切换需重新建立安全信道,进一步增加了设备开销。
[0011](2)传统的基于PKI的信任管理机制依赖于第三方发放数据证书和辅助进行签名验证。而物联网特别是智能家居场景下大多是本地设备间的通信,采用传统PKI机制增加了没有必要的外部依赖,也增大了隐私泄露的风险。
[0012](3)NDN网络下基于传统单签名模式的树型信任管理机制容易造成根节点的拥塞进而影响整体性能。而且,若树的层次较少,则信任管理的粒度太粗。比如退化为“点-星”式,则所有设备有一个共同的父节点,互相信任且可直接验证签名,虽然效率高但本质上等同于无内部信任管理。另一方面,若树的层次较多,两叶子节点间的安全通信可能需要在树上绕一大圈进行签名验证,会大量增加不必要的通信开销。此外,智能家居中智能设备之间同时存在不只一个信任体系,比如同房间、同厂商、同类型等都可能提升信任度。这样多维度的复杂信任体系难以直接通过树型信任管理机制实现。
技术实现思路
[0013]本专利技术所要解决的技术问题是,针对现有技术不足,提供一种NDN数字签名编码结构、物联网设备签名验证的方法及系统,有效提升通信安全性。
[0014]为解决上述技术问题,本专利技术所采用的技术方案是:一种命名数据网络数字签名编码,包括用于存放数字证书内数字签名的字节流的签名值域和用于存放与所述数字签名有关的各种信息的签名值域;所述签名信息内设置有验证链域;所述验证链域内存放有多条验证链;每一条验证链对应一个信任体系,并用于记录对应的信任体系下从根密钥到产生数字签名的密钥涉及的所有密钥。
[0015]本专利技术采用NDN网络,能有效保护物联网特别是智能家居的安全性和隐私性。采用NDN进行网络通信,签名信息内设置验证链域,能有效提升通信安全性。
[0016]每个所述密钥只记录散列值。减少通信开销。
[0017]所述数字证书的数字签名包括签发该数字证书的密钥,且该密钥为所述数字签名的前缀。
[0018]本专利技术还提供了一种利用上述所述命名数据网络实现物联网设备安全通信本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种命名数据网络的数字签名编码结构,包括用于存放数字证书内数字签名的字节流的签名值域和用于存放与所述数字签名有关的各种信息的签名值域;其特征在于,所述签名信息域内设置有验证链域;所述验证链域内存放有多条验证链;每一条验证链对应一个信任体系,并用于记录对应的信任体系下从根密钥到产生数字签名的密钥涉及的所有密钥。2.根据权利要求1所述的命名数据网络的数字签名编码结构,其特征在于,每个所述密钥只记录散列值。3.根据权利要求1或2所述的命名数据网络的数字签名编码结构,其特征在于,所述数字证书的数字签名包括签发该数字证书的密钥,且该密钥为所述数字签名的前缀。4.一种利用权利要求1~3之一所述命名数据网络的数字签名编码结构实现物联网设备签名验证的方法,其特征在于,包括:1)待入网设备在获得登录口令后向命名数据网络中广播一个兴趣包,以发起入网请求;2)命名数据网络收到入网请求后,为待入网设备指定数据名,并根据需要在一个或多个信任体系中为待入网设备选择一个最佳的信任锚点;3)为待入网设备生成密钥对,并将生成的密钥对用设备的登录口令加密后发回给该待入网设备,并在发回的数据包中携带所述最佳的信任锚点的名字;4)待入网设备向所述最佳的信任锚点发送证书申请请求;所述最佳的信任锚点收到证书申请请求后为该待入网设备签发命名数据网络数字证书返回给该待入网设备,承载所述数字证书的数据包携带有待入网设备的公钥。5.根据权利要求4所述的方法,其特征在于,步骤2)中,所述最佳的...
【专利技术属性】
技术研发人员:张大方,刘阳,李彦彪,何大成,张芝宏,
申请(专利权)人:湖南大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。