面向IIoT的具有条件隐私保护的认证密钥协商方法技术

技术编号：41329948 阅读：8 留言：0更新日期：2024-05-13 15:08

本发明专利技术公开了一种面向IIoT的具有条件隐私保护的认证密钥协商方法，涉及工业物联网信息安全通信技术领域，包括系统初始化阶段、注册阶段、登录阶段、认证与密钥协商阶段、追溯阶段。其中，每个工业物联网设备都预先配置一个物理不可克隆函数PUF，在登录阶段使用了双因素认证，由于工业物联网设备计算资源受限，因此在认证和密钥协商阶段只采用ECC算法、哈希运算和异或运算对数据进行加密，每次认证都会生成随机伪身份且可被第三方权威机构追溯，保证了设备身份的条件匿名性，认证计算方面避免涉及第三方权威机构，而是通过控制节点完成，此方法满足必备的安全需求，安全性较高且具有更少的计算和通信开销。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术涉及工业物联网(iiot)信息安全通信，具体而言，涉及一种面向iiot的具有条件隐私保护的认证密钥协商方法。

技术介绍

1、工业物联网(iiot)是物联网(iot)与工业生态系统的结合，随着互联网的日益普及和广泛应用，工业物联网在近几年发展十分迅猛，如现在常见的智能交通、自动化制造、智能农业的关键功能都需要依赖于工业物联网的传感器设备传输数据。在工业物联网(iiot)中设备通过网络互联可以实现实时数据交换，工业物联网(iiot)中的用户(如管理人员)可以登录并控制各种智能传感器设备采集实时数据，可以更有效地利用更多资源。然而，在某些情况下，iiot设备具有计算资源受限，吞吐量低，易受攻击等特点，且通过公共信道传输采集数据的过程中存在许多安全隐私问题，数据总是通过公共信道传输给相应的用户或设备，未经授权的专业人员可以通过一些不正当的手段进入系统设备，冒充合法用户破坏或窃取私人数据，随着工业物联网的大规模应用，这使得网络信息安全的风险大大增加，因此，数据传输必须以安全且经过身份验证的方式进行。

2、现有的工业物联网密钥协商方案大多都是借助第三方机构来进行身份验证，这大大增加了第三方机构的计算量，使其易受单点攻击，且控制节点和工业物联网设备容易受到冒充攻击、部分秘钥泄露攻击、捕获攻击；在数据传输过程中，无法抵御修改攻击、中间人攻击等，临时密钥泄漏也很常见。

技术实现思路

1、本专利技术在于提供一种面向iiot的具有条件隐私保护的认证密钥协商方法，其能够解决上述问题。

2、为了解决上述的问题，本专利技术采取的技术方案如下：

3、本专利技术提供了一种面向iiot的具有条件隐私保护的认证密钥协商方法，包括：

4、系统初始化阶段：第三方机构ta生成自身密钥对，公布系统公共参数；

5、注册阶段：控制节点cnk和用户ui所管理的工业物联网设备均在第三方机构ta进行注册，第三方机构ta对注册请求进行审批，其中cnk为第k个控制节点，ui为第i个用户，为第i个工业物联网设备；

6、登录阶段：用户ui在所管理的工业物联网设备进行登录，工业物联网设备通过伪口令与内存中的数据进行验证计算，如果验证通过，则登录成功，否则登录失败；

7、认证与密钥协商阶段：登录成功后的工业物联网设备向附近已登录在线的工业物联网设备发送带有其伪身份和验证辅助参数的通信请求，工业物联网设备收到后，首先判断消息的实时性和完整性，若超过有效期或消息不完整则丢弃该消息，验证通过后工业物联网设备sduj也生成伪身份和验证辅助参数，将其与的通信请求信息一起发送给控制节点cnk，控制节点cnk判断工业物联网设备发送信息的正确性与合法性，若验证通过，则分别发送密钥辅助参数和其他认证辅助信息给工业物联网设备与工业物联网设备工业物联网设备与工业物联网设备分别验证消息正确性和合法性，若验证成功则生成共享会话密钥，其中为第j个工业物联网设备；

8、追溯阶段：当某工业物联网设备在通信过程中发生了恶意欺骗行为，则进入责任追溯环节，控制节点cnk将工业物联网设备伪身份及追溯辅助信息通过安全信道发送给第三方机构ta，第三方机构ta恢复出工业物联网设备真实身份并追究其责任，其中为第r个工业物联网设备，表示工业物联网设备的真实身份。

9、在本专利技术的一较佳实施方式中，系统初始化阶段公布的系统公共参数为{e,p,g,q,pta,h,h}，其中，e为椭圆曲线，p为从e中选择的点，g为以p为生成元生成的一个阶为q的椭圆曲线加法群，q为椭圆曲线加法群g的阶，pta为第三方机构ta的公钥，pta＝sta·p，为第三方机构ta的私钥，为q-1阶的乘法循环群，选择哈希函数h:{0,1}*→{0,1}l，其中h和h为抗碰撞单向加密哈希函数，{0,1}*为长度为*的值，h的哈希输出为在范围内的值，h的哈希输出为{0,1}l，{0,1}l为长度为l的值。

10、在本专利技术的一较佳实施方式中，用户ui所管理的工业物联网设备在第三方机构ta进行注册的过程包括：

11、1)用户ui输入自身唯一的真实身份和密码口令到所管理的工业物联网设备工业物联网设备sdui选择随机数使用物理不可克隆函数puf计算唯一不可克隆的伪密码口令随后工业物联网设备发起注册请求，即将真实身份与伪密码口令通过安全信道发送给第三方机构ta，其中||为连接符，为在范围内选择随机数αi，puf(·)为物理不可克隆函数；

12、2)第三方机构ta收到注册请求后，首先检验真实身份的合法性和唯一性，若真实身份不合法，则拒绝该注册请求，若检验通过，选择随机数和随机数计算辅助参数生成的伪身份中间参数生成的私钥生成的伪身份公钥将密钥进行异或操作加密生成中间参数在此处私钥只能由拥有不可克隆的伪密码口令与真实身份的合法工业物联网设备解密得到，随后第三方机构ta将消息通过安全信道发送给并秘密保存到身份列表idlist，身份列表idlist用于追溯阶段，其中表示异或操作；

13、3)工业物联网设备收到第三方机构ta返回消息后，进行密钥验证。

14、在本专利技术的一较佳实施方式中，工业物联网设备收到第三方机构ta返回消息后进行密钥验证的过程包括：验证伪身份参数若验证通过，则计算私钥判断若式子左右两边不相等，则验证不通过，丢弃该消息，否则工业物联网设备同意接受消息，私钥正确无误，注册成功；

15、随后，工业物联网设备计算随机数加密参数伪身份中间加密参数加密身份验证参数并将保存到内存中。

16、在本专利技术的一较佳实施方式中，控制节点cnk在第三方机构ta进行注册的过程包括：

17、1)控制节点cnk设置唯一的身份选择随机数计算控制节点cnk的第一公钥随后控制节点cnk发起注册请求，即将消息通过安全信道发送给第三方机构ta；

18、2)第三方机构ta收到注册请求后，首先检验身份的合法性和唯一性，检验通过后选择随机数计算控制节点cnk的第二公钥生成控制节点cnk私钥将消息通过安全信道发送给控制节点cnk；

19、3)控制节点cnk收到第三方机构ta返回消息后，进行密钥验证：判断等式若式子左右两边不相等，则验证不通过，丢弃该消息，否则控制节点cnk同意接受消息，注册成功，随后控制节点cnk秘密存储私钥公布第一公钥和第二公钥

20、在本专利技术的一较佳实施方式中，登录阶段具体包括：

21、1)用户ui在所管理的工业物联网设备中输入真实身份和密码口令

22、2)工业物联网设备首先计算随机数伪密码口令私钥伪身份中间参数身份验证参数验证伪身份参数

23、

24、之后判断验证通过则登录成功，否则登录失败。

25、在本专利技术的一较佳实施方式中，认证与密钥协商阶段具体包括：

26、1)已登录的工业物联网设备sdui向附近其它已登录的工业物联网设备发出通信请求消息，具体为：

27、工业物联网设备sdui获本文档来自技高网...

【技术保护点】

1.一种面向IIoT的具有条件隐私保护的认证密钥协商方法，其特征在于，包括：

2.根据权利要求1所述面向IIoT的具有条件隐私保护的认证密钥协商方法，其特征在于，系统初始化阶段公布的系统公共参数为{E,P,G,q,PTA,h,H}，其中，E为椭圆曲线，P为从E中选择的基点，G为以P为生成元生成的一个阶为q的椭圆曲线加法群，PTA为第三方机构TA的公钥，PTA＝sTA·P，为第三方机构TA的私钥，为q-1阶的乘法循环群，选择哈希函数H:{0,1}*→{0,1}l，其中h和H为抗碰撞单向加密哈希函数，{0,1}*为长度为*的值，h的哈希输出为在范围内的值，H的哈希输出为{0,1}l，{0,1}l为长度为l的值。

3.根据权利要求2所述面向IIoT的具有条件隐私保护的认证密钥协商方法，其特征在于，用户Ui所管理的工业物联网设备在第三方机构TA进行注册的过程包括：

4.根据权利要求3所述面向IIoT的具有条件隐私保护的认证密钥协商方法，其特征在于，工业物联网设备收到第三方机构TA返回消息后进行密钥验证的过程包括：验证伪身份参数若验证通过，则计算私钥判断

5.根据权利要求4所述面向IIoT的具有条件隐私保护的认证密钥协商方法，其特征在于，控制节点CNk在第三方机构TA进行注册的过程包括：

6.根据权利要求5所述面向IIoT的具有条件隐私保护的认证密钥协商方法，其特征在于，登录阶段具体包括：

7.根据权利要求6所述面向IIoT的具有条件隐私保护的认证密钥协商方法，其特征在于，认证与密钥协商阶段具体包括：

8.根据权利要求7所述面向IIoT的具有条件隐私保护的认证密钥协商方法，其特征在于，控制节点CNk对工业物联网设备的信息进行认证的过程包括：

9.根据权利要求8所述面向IIoT的具有条件隐私保护的认证密钥协商方法，其特征在于，

10.根据权利要求9所述面向IIoT的具有条件隐私保护的认证密钥协商方法，其特征在于，当某工业物联网设备在通信过程中发生了恶意欺骗行为，控制节点CNk得到通信过程中恶意设备的伪身份及追溯辅助信息控制节点CNk通过安全信道向第三方机构TA发送追溯消息第三方机构TA收到请求追溯信息计算伪身份中间参数查找身份列表IDList中对应的至此就可追溯到恶意设备的真实身份并追究其责任。

...

【技术特征摘要】

1.一种面向iiot的具有条件隐私保护的认证密钥协商方法，其特征在于，包括：

2.根据权利要求1所述面向iiot的具有条件隐私保护的认证密钥协商方法，其特征在于，系统初始化阶段公布的系统公共参数为{e,p,g,q,pta,h,h}，其中，e为椭圆曲线，p为从e中选择的基点，g为以p为生成元生成的一个阶为q的椭圆曲线加法群，pta为第三方机构ta的公钥，pta＝sta·p，为第三方机构ta的私钥，为q-1阶的乘法循环群，选择哈希函数h:{0,1}*→{0,1}l，其中h和h为抗碰撞单向加密哈希函数，{0,1}*为长度为*的值，h的哈希输出为在范围内的值，h的哈希输出为{0,1}l，{0,1}l为长度为l的值。

3.根据权利要求2所述面向iiot的具有条件隐私保护的认证密钥协商方法，其特征在于，用户ui所管理的工业物联网设备在第三方机构ta进行注册的过程包括：

4.根据权利要求3所述面向iiot的具有条件隐私保护的认证密钥协商方法，其特征在于，工业物联网设备收到第三方机构ta返回消息后进行密钥验证的过程包括：验证伪身份参数若验证通过，则计算私钥判断若式子左右两边不相等，则验证不通过，丢弃该消息，否则工业物联网设备同意...

【专利技术属性】
技术研发人员：周让，张诗茹，何永康，李冬芬，多滨，刘明哲，
申请(专利权)人：成都理工大学，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人