本发明专利技术涉及物联网设备离线认证领域,具体涉及一种基于分布式数字身份的物联网设备离线认证方法,实现了离线认证中的动态权限的管理,提高了离线认证的效率。本发明专利技术基于分布式数字身份的物联网设备离线认证方法,包括:创建设备所有者、物联网设备和设备访问者的DID信息,并将DID信息上传至分布式数字身份基础设施;根据所述DID信息构建设备所有者、物联网设备和设备访问者的信任链;信任链构建完成后,完成物联网设备在离线环境下的身份认证。本发明专利技术适用于物联网设备的离线认证。本发明专利技术适用于物联网设备的离线认证。本发明专利技术适用于物联网设备的离线认证。
【技术实现步骤摘要】
基于分布式数字身份的物联网设备离线认证方法
[0001]本专利技术涉及物联网设备离线认证领域,具体涉及一种基于分布式数字身份的物联网设备离线认证方法。
技术介绍
[0002]随着物联网设备的不断普及,相关应用不断丰富,物联设备也逐渐由谁部署谁使用向一方部署多方使用的方向发展。由于物联网数据采集环境无法排除不友好环境,该环境受到网络覆盖不到、环境干扰、电力受限、费用等因素的影响,往往无法保证所有设备支持在线识别,同时由于缺乏双向认证的机制保证,导致上述环境下设备的部署往往在设备可用性和安全方面大打折扣。
[0003]区块链技术是一种分布式存储方案,涉及数学、密码学、计算机等多学科领域知识,具有去中心化、不可篡改、全程留痕、可以追溯、集体维护、公开透明等特点。区块链技术可以满足物联网数据采集对数据安全、可追溯等方面的需求,但数据的上链和查询都离不开网络,从而难以在不友好环境中部署。不友好环境指设备部署所在的环境不完全满足正常部署的条件,比如环境受到网络覆盖不到、环境干扰、电力受限、费用等因素的影响难以保证设备约物联网进行正常通信。
[0004]公开密钥密码体制通过加密密钥和解密密钥分离的方式解决了对称密码中的密钥协商问题。公钥和私钥成对使用,授信方公开自己的公钥,其他用户就可以公开的公钥验证授信方是否持有私钥而确认授信方身份。公开密钥密码体制可解决物联网数据采集中的密钥分发和数据加密,但需要一个信任中心解决采集端和接收端的身份授信问题。
[0005]针对不友好环境下的离线认证问题,传统的思路将认证权限下放到设备,即通过设备对用户进行身份认证,比如专利号:CN201811564925公开的单次密码离线认证方法及装置以及专利号:CN201811564699公开的动态密码离线认证方法及装置通过将密码、指纹等身份特征信息存在设备中,从而实现设备的认证;专利号:CN201110230863公开的一种基于USB key的BIOS认证方法通过将认证信息封装到USBKey中实现用户认证。上述认证方式以设备为认证中心,是一种完全基于离线场景的设计思路,该方法不适用于支持云端、边缘端接入等场景下的统一身份认证问题,同时也无法满足用户动态认证和授权的需要。
[0006]基于证书的认证方式是目前应用最广泛的认证方式,比如专利号:CN201811383710公开的电子标签离线认证系统及方法将认证数据存储在客户端,专利号:CN201110414819公开的基于云计算可离线的软件许可集中安全认证系统及其方法通过云端产生认证授权文件分发给离线认证服务器,专利号:CN201610704078公开的面向离线认证设备的在线认证系统和方法通过利用移动终端实现设备离线认证操作,上述方案利用证书机制有效解决了离线环境下的统一身份认证问题,但上述方案没有对设备与用户的双向认证提供解决思路,存在中间人攻击等安全风险。
[0007]专利号:CN201580025927公开的离线认证采用公私钥体制解决了双向问题,专利号:CN202111158449公开的物联网设备离线会话方法、装置及存储介质利用椭圆曲线算法
解决双向认证问题,专利号:CN201710626863公开的一种“可穿戴”设备或手机的离线认证或支付方法和专利号:CN201410373687公开的一种基于PUF的认证方法及设备进一步将设备特征引入到认证环节,大大提升了认证的有效性。此外,专利号:CN201810390666公开的一种基于动态口令进行离线认证的登录方法及系统、专利号:CN202110103480公开的一种可秘密共享的隐藏身份SM2签名私钥产生装置及其方法、专利号:CN202010153579公开的一种嵌入式设备固件离线校验方法及系统、专利号:CN201811298431公开的一种无需重注册并支持离线认证的动态口令认证方法等也纷纷讨论了基于证书的离线认证方案。上述专利为解决不友好环境的下设备离线认证问题提供了解决思路,但是上述方法一方面依赖统一的CA提供证书管理平台,CA组织的安全性、持续性都会设备的认证管理产生影响。
[0008]从现有的技术方案看,针对不友好环境下的设备离线解决方案,从技术层面已经实现了对统一身份认证的支持,也基于证书机制确保了安全性。但现有的方案依然存在几个主要问题。第一,现有的解决方案依然是中心式身份解决方案,用户的认证依赖CA(Certificate Authority,电子认证服务机构)等中心平台,存在中心式认证固有的可用性及安全问题;第二,设备不具备身份信息,现有的认知实质是对用户身份的认证,因此多数方案都不涉及双向认证问题;第三,现有的方案在进行认证身份的添加、权限的动态调整方面需要通过CA重新发放,增加了证书更新的频率,尤其在需要对用户及权限频繁调整的场景下现有方案的易用性大打折扣。
技术实现思路
[0009]本专利技术的目的是提供一种基于分布式数字身份的物联网设备离线认证方法,通过信任链构建实现了离线认证中的动态权限的管理,提高了离线认证的效率。
[0010]本专利技术采取如下技术方案实现上述目的,基于分布式数字身份的物联网设备离线认证方法,包括:
[0011]步骤1、创建设备所有者、物联网设备和设备访问者的DID(Decentralized identifiers,分布式数字身份)信息,并将DID信息上传至分布式数字身份基础设施;
[0012]步骤2、根据所述DID信息构建设备所有者、物联网设备和设备访问者的信任链;
[0013]步骤3、信任链构建完成后,完成物联网设备在离线环境下的身份认证。
[0014]进一步的是,步骤1中,所述创建设备所有者、物联网设备和设备访问者的DID信息具体包括:
[0015]步骤101、创建者自行生成公私钥对,公钥保存在DID信息中,私钥创建者持有;
[0016]步骤102、生成创建者的DID信息,所述DID信息中包括物联网设备关键信息的哈希值,当创建者为设备所有者或设备访问者时,DID信息还包括至少一种生物特征;当创建者为物联网设备时,DID信息还包括至少一种设备特征信息。所述生物特征包括指纹特征,所述设备特征包括设备序列号。
[0017]通过上述方法,创建者自行生成公私钥对,不再需要通过CA进行密钥创建,可以确保私钥只被创建者持有,解决了当前离线认证方案中高度依赖中心CA进行证书发放的问题;并且DID信息包括有创建者的特征,提高了DID信息的准确识别能力。
[0018]进一步的是,步骤2中,所述根据所述DID信息构建设备所有者、物联网设备和设备访问者的信任链具体包括:
[0019]步骤201、在物联网设备部署至离线环境前,设备所有者下发操作权限认证及应用相关凭据至物联网设备,物联网设备通过分布式数字身份基础设施获取设备所有者DID信息,并校验设备所有者下发的凭据的真实性,校验成功后存储凭据信息、设备所有者DID信息;通过此方法构建了设备所有者与物联网设备之间的信任链;
[0020]步骤202、设备所有者获取设备访问者D本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.基于分布式数字身份的物联网设备离线认证方法,其特征在于,包括:步骤1、创建设备所有者、物联网设备和设备访问者的DID信息,并将DID信息上传至分布式数字身份基础设施;步骤2、根据所述DID信息构建设备所有者、物联网设备和设备访问者的信任链;步骤3、信任链构建完成后,完成物联网设备在离线环境下的身份认证。2.根据权利要求1所述的基于分布式数字身份的物联网设备离线认证方法,其特征在于,步骤1中,所述创建设备所有者、物联网设备和设备访问者的DID信息具体包括:步骤101、创建者自行生成公私钥对,公钥保存在DID信息中,私钥创建者持有;步骤102、生成创建者的DID信息,所述DID信息中包括物联网设备关键信息的哈希值,当创建者为设备所有者或设备访问者时,DID信息还包括至少一种生物特征;当创建者为物联网设备时,DID信息还包括至少一种设备特征信息。3.根据权利要求2所述的基于分布式数字身份的物联网设备离线认证方法,其特征在于,所述生物特征包括指纹特征,所述设备特征包括设备序列号。4.根据权利要求1所述的基于分布式数字身份的物联网设备离线认证方法,其特征在于,步骤2中,所述根据所述DID信息构建设备所有者、物联网设备和设备访问者的信任链具体包括:步骤201、在物联网设备部署至离线环境前,设备所有者下发操作权限认证及应用相关凭据至物联网设备,物联网设备通过分布式数字身份基础设施获取设备所有者DID信息,并校验设备所有者下发的凭据的真实性,校验成功后存储凭据信息、设备所有者DID信息;步骤202、设备所有者获取设备访问者DID信息,并向设备访问者下发授权凭据,授权凭据中包括设备访问者DID信息、授...
【专利技术属性】
技术研发人员:唐博,李春林,严松,陈若禹,黄德俊,
申请(专利权)人:四川启睿克科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。