專利名稱:認證方法、裝置、認證中心及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域中網(wǎng)絡(luò)安全技術(shù),具體地,涉及認證方法、裝置、認證中心及系統(tǒng)。
背景技術(shù):
現(xiàn)有通信網(wǎng)絡(luò)認證機制,多為一對一的雙向認證方式,包括基于單鑰的認證和密鑰協(xié)商(Authentication and Key Agreement,簡稱AKA)認證機制,和基于公鑰的證書認證機制。如圖1所示,單鑰認證機制包括用戶節(jié)點與對應(yīng)的歸屬服務(wù)器(HLR/HSS)節(jié)點間保存共享的密鑰K ;用戶接入網(wǎng)絡(luò)時與對應(yīng)的歸屬服務(wù)器節(jié)點進行交互認證;認證通過后, 網(wǎng)絡(luò)側(cè)只能確定本用戶節(jié)點的身份?;诠€的證書認證機制包括用戶與對應(yīng)的歸屬服務(wù)器節(jié)點都可從可信的第三方數(shù)字證書認證中心(Certificate Authority,簡稱CA)處取得各自對應(yīng)的身份證書和對應(yīng)的私鑰,并可取得CA證書用于驗證證書;用戶接入網(wǎng)絡(luò)時,與對應(yīng)的歸屬服務(wù)器通過發(fā)送各自的證書進行驗證雙方身份;認證通過后,擁有此合法證書的用戶可以接入網(wǎng)絡(luò)。在實現(xiàn)本發(fā)明過程中,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下問題在終端節(jié)點數(shù)量龐大時,大量用戶認證會消耗信令交互的網(wǎng)絡(luò)資源及服務(wù)器的計算資源。現(xiàn)有的認證方式都是一對一,當(dāng)網(wǎng)絡(luò)中具有相同行為特性的終端節(jié)點數(shù)量規(guī)模很大時,這些節(jié)點有時需要同時接入網(wǎng)絡(luò),此時,將占用大量網(wǎng)絡(luò)資源,增加網(wǎng)絡(luò)負擔(dān),并且大量用戶認證會增加服務(wù)器的計算資源?,F(xiàn)有的認證方式并不適用物聯(lián)網(wǎng),且有可能降低物聯(lián)網(wǎng)業(yè)務(wù)的可用性。
發(fā)明內(nèi)容
本發(fā)明的第一目的是提出一種認證方法,以實現(xiàn)一次認證多個節(jié)點。本發(fā)明的第二目的是提出一種認證裝置,以實現(xiàn)一次認證多個節(jié)點。本發(fā)明的第三目的是提出一種網(wǎng)絡(luò)側(cè)的認證中心,以實現(xiàn)一次認證多個節(jié)點。本發(fā)明的第四目的是提出一種認證系統(tǒng),以實現(xiàn)一次認證多個節(jié)點。為實現(xiàn)上述第一目的,根據(jù)本發(fā)明的一個方面,提供了一種認證方法,包括接收至少一個接入請求,從接收的接入請求中獲取子密鑰信息;根據(jù)獲取的子密鑰信息生成組密鑰;根據(jù)組密鑰與網(wǎng)絡(luò)側(cè)交互進行組認證。其中,接收至少一個接入請求之后還可以包括根據(jù)預(yù)存的組標(biāo)識信息生成攜帶組信息的組認證請求;將攜帶組信息的組認證請求發(fā)送至網(wǎng)絡(luò)側(cè)。其中,根據(jù)組密鑰與網(wǎng)絡(luò)側(cè)交互進行組認證可以包括接收網(wǎng)絡(luò)側(cè)對組認證請求的反饋消息;根據(jù)反饋消息及組密鑰生成發(fā)送至網(wǎng)絡(luò)側(cè)的組認證響應(yīng)。優(yōu)選地,當(dāng)組認證通過時,發(fā)送接入請求的節(jié)點信息至網(wǎng)絡(luò)側(cè)。網(wǎng)絡(luò)側(cè)根據(jù)預(yù)存的組及組內(nèi)節(jié)點的標(biāo)識信息對節(jié)點信息進行合法性驗證;節(jié)點的標(biāo)識信息可以包括節(jié)點的ID、或者節(jié)點的ID及對應(yīng)的子密鑰信息。優(yōu)選地,生成組密鑰可以包括從獲取的所有子密鑰信息及本地存儲的子密鑰信息中選擇不大于組內(nèi)節(jié)點總數(shù)目η的t個密鑰信息生成組密鑰。優(yōu)選地,進一步可以包括對生成組密鑰時選擇的密鑰信息對應(yīng)的節(jié)點進行標(biāo)記; 在發(fā)送至網(wǎng)絡(luò)側(cè)的節(jié)點信息中攜帶標(biāo)記信息。為實現(xiàn)上述第二目的,根據(jù)本發(fā)明的另一個方面,提供了一種認證裝置,包括接口模塊,用于接收至少一個接入請求;密鑰生成模塊,用于從接收的接入請求中獲取子密鑰信息,并根據(jù)獲取的子密鑰信息生成組密鑰;組認證模塊,用于根據(jù)組密鑰與網(wǎng)絡(luò)側(cè)交互進行組認證。還可以包括存儲模塊,用于存儲組標(biāo)識信息;組認證模塊,還進一步用于根據(jù)接入請求及組標(biāo)識信息生成攜帶組信息的組認證請求,發(fā)送至網(wǎng)絡(luò)側(cè)。優(yōu)選地,存儲模塊還可以存儲組內(nèi)節(jié)點的標(biāo)識信息,該裝置進一步可以包括判別模塊,用于根據(jù)組內(nèi)節(jié)點的標(biāo)識信息判斷接入請求的節(jié)點為組外節(jié)點時,拒絕或刪除接入請求。其中,組認證模塊可以包括請求子模塊,用于生成組認證請求,并接收網(wǎng)絡(luò)側(cè)對組認證請求的反饋消息;響應(yīng)子模塊,用于根據(jù)反饋消息及組密鑰生成發(fā)送至網(wǎng)絡(luò)側(cè)的認證響應(yīng)。密鑰生成模塊可以包括密鑰恢復(fù)子模塊,用于從獲取的子密鑰信息及本地存儲的子密鑰信息中選擇不大于組內(nèi)終端節(jié)點總數(shù)目η的t個密鑰信息生成組密鑰。還可以包括標(biāo)記子模塊,用于對生成組密鑰時選擇的密鑰信息對應(yīng)的節(jié)點進行標(biāo)記,并在發(fā)送至網(wǎng)絡(luò)側(cè)的節(jié)點信息中攜帶標(biāo)記信息;節(jié)點信息可以包括節(jié)點的ID、或者節(jié)點的ID及對應(yīng)的子密鑰信息、或者節(jié)點的ID及標(biāo)記信息、或者節(jié)點的ID及對應(yīng)的子密鑰信息和標(biāo)記信息。為實現(xiàn)上述第三目的,根據(jù)本發(fā)明的另一個方面,提供了一種網(wǎng)絡(luò)側(cè)的認證中心, 包括存儲模塊,用于存儲組信息及對應(yīng)的組密鑰信息;組認證模塊,用于根據(jù)組密鑰信息對終端側(cè)進行組認證。組認證模塊可以包括接口子模塊,用于接收終端側(cè)的組認證請求,發(fā)送反饋消息,接收終端側(cè)的組認證響應(yīng);認證子模塊,用于根據(jù)組認證請求查找對應(yīng)的組密鑰信息, 生成反饋消息;根據(jù)組密鑰驗證組認證響應(yīng)。存儲模塊還可以存儲組對應(yīng)的組內(nèi)節(jié)點標(biāo)識信息,認證子模塊可以包括查詢子模塊,用于根據(jù)組認證請求中攜帶的組信息從存儲模塊查找對應(yīng)的組密鑰信息;生成子模塊,用于根據(jù)組密鑰信息生成組認證請求的反饋消息;驗證子模塊,用于根據(jù)組密鑰驗證終端側(cè)的組認證響應(yīng);根據(jù)組內(nèi)節(jié)點的標(biāo)識信息驗證節(jié)點信息的合法性,節(jié)點的標(biāo)識信息可以包括節(jié)點的ID、或者節(jié)點的ID及對應(yīng)的子密鑰信息;節(jié)點信息可以包括節(jié)點的ID、或者節(jié)點的ID及對應(yīng)的子密鑰信息、或者節(jié)點的ID及標(biāo)記信息、或者節(jié)點的ID及對應(yīng)的子密鑰信息和標(biāo)記信息。為實現(xiàn)上述第四目的,根據(jù)本發(fā)明的另一個方面,提供了一種認證系統(tǒng),包括終端節(jié)點,用于發(fā)送攜帶子密鑰信息的接入請求;代表節(jié)點,用于接收至少一個終端節(jié)點的接入請求,獲取子密鑰信息;并根據(jù)子密鑰信息生成組密鑰;根據(jù)組密鑰與網(wǎng)絡(luò)側(cè)進行組認證;認證中心,用于存儲組信息及對應(yīng)的組密鑰信息,并根據(jù)組密鑰信息對代表節(jié)點進行組認證。本發(fā)明各實施例的物聯(lián)網(wǎng)通訊認證方法、裝置、認證中心和系統(tǒng),由于可以通過組認證方式由一個節(jié)點(代表節(jié)點)與網(wǎng)絡(luò)側(cè)交互,可以實現(xiàn)一次認證多個終端側(cè)節(jié)點,大大解決現(xiàn)有一對一認證方式大量節(jié)點同時認證的網(wǎng)絡(luò)資源消耗問題和服務(wù)器網(wǎng)絡(luò)負荷的技術(shù)缺陷。本發(fā)明還可以在組認證通過時將本節(jié)點(代表節(jié)點)接受的接入請求的節(jié)點信息發(fā)送至網(wǎng)絡(luò)側(cè),因此可以實現(xiàn)組交互認證,可以適用物聯(lián)網(wǎng)中終端節(jié)點的認證并可以大大提高物聯(lián)網(wǎng)業(yè)務(wù)的可用性。本發(fā)明還提供了將一組節(jié)點作為整體接入整體之外網(wǎng)絡(luò)時的認證機制,保證了群組節(jié)點之間的邏輯關(guān)聯(lián)性,解決現(xiàn)有技術(shù)中一對一認證所引起網(wǎng)絡(luò)內(nèi)部節(jié)點與外部網(wǎng)絡(luò)的邏輯關(guān)系被割裂的缺陷。本發(fā)明還可以通過若干少于組內(nèi)總節(jié)點的密鑰恢復(fù)組密鑰,可以避免因一個組成員故障造成其他組內(nèi)節(jié)點無法接入的技術(shù)缺陷。本發(fā)明還可以在認證完成后,網(wǎng)絡(luò)側(cè)再次驗證未參加密鑰恢復(fù)節(jié)點的合法性,進一步驗證接入節(jié)點的真實性。本發(fā)明的其它特征和優(yōu)點將在隨后的說明書中闡述,并且,部分地從說明書中變得顯而易見,或者通過實施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點可通過在所寫的說明書、權(quán)利要求書、以及附圖中所特別指出的結(jié)構(gòu)來實現(xiàn)和獲得。下面通過附圖和實施例,對本發(fā)明的技術(shù)方案做進一步的詳細描述。
附圖用來提供對本發(fā)明的進一步理解,并且構(gòu)成說明書的一部分,與本發(fā)明的實施例一起用于解釋本發(fā)明,并不構(gòu)成對本發(fā)明的限制。在附圖中圖1為根據(jù)現(xiàn)有技術(shù)中的網(wǎng)絡(luò)認證方式示意圖;圖2為根據(jù)本發(fā)明認證方法實施例一流程圖;圖3為根據(jù)本發(fā)明認證方法實施例二及系統(tǒng)實施例一示意圖;圖4為根據(jù)本發(fā)明認證方法實施例三及系統(tǒng)實施例二示意圖;圖5為根據(jù)本發(fā)明認證方法實施例四及系統(tǒng)實施例三示意圖;圖6為根據(jù)本發(fā)明認證裝置實施例一示意圖;圖7為根據(jù)本發(fā)明認證中心實施例示意圖。
具體實施例方式以下結(jié)合附圖對本發(fā)明的優(yōu)選實施例進行說明,應(yīng)當(dāng)理解,此處所描述的優(yōu)選實施例僅用于說明和解釋本發(fā)明,并不用于限定本發(fā)明。方法實施例圖2為根據(jù)本發(fā)明認證方法實施例一流程圖,如圖2所示,本實施例包括步驟S102 網(wǎng)絡(luò)側(cè)預(yù)先將物聯(lián)網(wǎng)中具有同一行為特性/行為能力的終端節(jié)點組成一個群組,具體地,如具有拍攝、抓取特性的監(jiān)控設(shè)備組成同一個組;并保存不同組內(nèi)的信息,如組、組內(nèi)節(jié)點、及該組進行認證的組密鑰等信息,可以在每個組內(nèi)設(shè)置至少一個代表
7節(jié)點步驟S104 組內(nèi)的代表節(jié)點接收至少一個終端節(jié)點的攜帶子密鑰的接入請求,根據(jù)子密鑰生成組密鑰;步驟S106 根據(jù)組密鑰與網(wǎng)絡(luò)側(cè)進行組認證,具體的,網(wǎng)絡(luò)側(cè)根據(jù)存儲的組信息, 獲得組密鑰,并進行后續(xù)與終端側(cè)的認證(如,認證向量、認證響應(yīng))。在網(wǎng)絡(luò)驗證不通過的情況下,網(wǎng)絡(luò)側(cè)通知代表節(jié)點,因此,當(dāng)代表節(jié)點與網(wǎng)絡(luò)側(cè)的認證通過后,將進行組認證的各節(jié)點信息發(fā)送至網(wǎng)絡(luò)側(cè),從而網(wǎng)絡(luò)側(cè)根據(jù)節(jié)點信息確認哪些節(jié)點可以接入網(wǎng)絡(luò)。本實施例具有如下優(yōu)點可以通過一次與網(wǎng)絡(luò)側(cè)認證交互認證多個節(jié)點,從而避免了現(xiàn)有通信網(wǎng)絡(luò)認證機制在未來大規(guī)模網(wǎng)絡(luò)中認證時出現(xiàn)的網(wǎng)絡(luò)資源消耗問題,可以適用物聯(lián)網(wǎng)中終端節(jié)點的認證并可以大大提高物聯(lián)網(wǎng)業(yè)務(wù)的可用性?,F(xiàn)有的傳感器等網(wǎng)絡(luò)認證只是傳感器網(wǎng)絡(luò)內(nèi)部的認證,本實施例提出的組認證方法是將一組節(jié)點作為一個整體接入此整體之外的網(wǎng)絡(luò)時的認證方案,保證了群組節(jié)點之間的邏輯關(guān)聯(lián)性,解決現(xiàn)有技術(shù)中一對一認證所引起網(wǎng)絡(luò)內(nèi)部節(jié)點與外部網(wǎng)絡(luò)的邏輯關(guān)系被割裂的缺陷。圖3為根據(jù)本發(fā)明認證方法實施例二及系統(tǒng)實施例一示意圖。如圖3所示的系統(tǒng), 包括網(wǎng)絡(luò)側(cè)認證中心,如一個歸屬位置寄存器HomeA,存儲有組A標(biāo)識、組A內(nèi)的節(jié)點標(biāo)識(UE1-UE7的ID信息)、組密鑰K,還可以存儲組A的代表節(jié)點ID信息等與組相關(guān)的信息,具體實現(xiàn)時可以在認證中心以ID列表方式存在,具體可參見下表一表一網(wǎng)絡(luò)側(cè)認證中心存儲的組信息
組組密鑰組內(nèi)節(jié)點標(biāo)識代表節(jié)備注組A標(biāo)識K(ID1, Kl), (ID2, Κ2), ...... (ID7, Κ7) 或 ID1,ID2,......ID7ID6, ID7代表節(jié)點備選,組密鑰和節(jié)點標(biāo)識必選組B標(biāo)識K(ID8, K8),(ID9, K9),...... (ID12, K12) 或 ID8,ID9,......ID12ID10, IDll ·. ·. ·. ·.組A,由UE1,UE2,……,UE7組成,其中UE6、UE7為該組群的代表節(jié)點。UEl,…, UE5為終端節(jié)點,可以包括存儲模塊,用于存儲子密鑰信息及歸屬的至少一個代表節(jié)點信息,如UE6、UE7 ;請求模塊,用于從代表節(jié)點信息中選取其中一代表節(jié)點發(fā)送接入請求。下面通過圖3的示意圖對本發(fā)明的認證方法舉例說明1)組群A與歸屬節(jié)點HomeA共享組密鑰K,HomeA利用門限機制算法,如 Asmuth-Bloom門限方案,將K分成7份K1,K2,……Κ7,通過預(yù)分配的方式分發(fā)給組群A中
8的所有節(jié)點UE1,UE2,……,UE7并分別保存。2)組群A中的所有節(jié)點UEl,UE2,……,UE7都可以通過私有協(xié)議相互通信,但選擇終端能力較強的節(jié)點,如傳感器網(wǎng)關(guān)或機器通訊(Machineto Machine,簡稱M2M)終端作為代表節(jié)點進行群組認證,如本實施例只有UE6或UE7擁有網(wǎng)絡(luò)接入認證的功能,作為代表節(jié)點(也稱認證節(jié)點)。組群中的代表節(jié)點可以為多個,根據(jù)組群情況及私有協(xié)議選取其中一個代表整個組群進行網(wǎng)絡(luò)接入認證。3)認證時,所有節(jié)點將發(fā)送接入請求至代表節(jié)點。如UEl……UE7將其密鑰份額及相應(yīng)的ID,如(IDLKl),(ID2,K2),……(ID7,K7)傳至代表節(jié)點,代表節(jié)點利用門限機制合成組密鑰K,代表節(jié)點只要獲取大于等于t(t < 7,t可以根據(jù)網(wǎng)絡(luò)具體情況設(shè)置)份密鑰即可恢復(fù)組密鑰。從而避免因組群中的某個節(jié)點不可用造成的整個組群不可用的問題。4)組群A根據(jù)組內(nèi)物理環(huán)境、節(jié)點利用率等條件,按照一定的原則,如輪換原則, 負載平衡原則等通過私有協(xié)議通信,選取節(jié)點UE6或UE7作為認證節(jié)點代表全組進行網(wǎng)絡(luò)接入認證,其中代表節(jié)點可以在組認證請求中攜帶組A的標(biāo)識,或者自身的ID從而方便網(wǎng)絡(luò)側(cè)查詢相應(yīng)的組密鑰信息及生成認證向量便于后續(xù)認證。本領(lǐng)域技術(shù)人員應(yīng)了解,采用本實施例,可以將物聯(lián)網(wǎng)中具有同一行為特性/行為能力的終端節(jié)點組成一個群組,群組中選擇終端能力較強的節(jié)點作為認證節(jié)點代表進行群組認證。核心網(wǎng)絡(luò)側(cè)的認證中心中存有該組的組群信息、共享組密鑰K,以及組內(nèi)用戶的身份信息等。共享組密鑰K被分成若干份由組群中的節(jié)點分別保存,只有大于等于t小于 η (η為組內(nèi)總節(jié)點數(shù)目)份這些子密鑰才能恢復(fù)共享組密鑰K,從而既能保證能夠從組群節(jié)點中恢復(fù)共享密鑰信息使得代表節(jié)點可以代表全組成員節(jié)點與核心網(wǎng)絡(luò)側(cè)的認證中心交互認證,又能避免因一個組成員因損壞、沒電等原因不能或不愿接入網(wǎng)絡(luò)造成組內(nèi)其他成員也無法接入網(wǎng)絡(luò)。圖4為根據(jù)本發(fā)明認證方法實施例三及系統(tǒng)實施例二示意圖,本實施例可參考圖 3理解認證過程步驟401 =UEijUE2,……,UE7根據(jù)私有協(xié)議,如最小生成樹協(xié)議構(gòu)成結(jié)構(gòu)化邏輯層次,如構(gòu)成樹形結(jié)構(gòu)。其中UE7為樹根,UE1, UE2,……,UE7為同一組群;步驟402:υΕ1;……,將自己的 ID 及子密鑰(ID1,K1),(ID2,K2),……(ID6,K6) 利用樹形結(jié)構(gòu)傳送給UE7;冊8將自己的ID及子密鑰(ID8,K8)傳送給UE7,UE7根據(jù)存儲的組內(nèi)節(jié)點標(biāo)識信息, 判斷UE8非本組內(nèi)節(jié)點,因此,直接返回拒絕響應(yīng),如“非法用戶接入”;步驟403 =UE7根據(jù)接受的6份及本地的子密鑰,共7份中選取任意t份,根據(jù)門限機制中的恢復(fù)密鑰算法,計算得出組密鑰KA,a)當(dāng)組群A與網(wǎng)絡(luò)側(cè)認證中心HomeA進行鑒權(quán)時,由UE7向HomeA發(fā)起認證請求。b)UE7記錄收到的子密鑰的節(jié)點ID,并標(biāo)記生成組密鑰Ka時所使用的子密鑰及其 ID,并將此信息在AKA認證完成后發(fā)送至核心網(wǎng)側(cè)進行在線用戶注冊。步驟404 :HomeA收到來自代表節(jié)點的組認證請求后,根據(jù)組標(biāo)識或代表節(jié)點 ID信息,找到對應(yīng)的組密鑰KA,計算會話密鑰(Cryptographic key,簡稱CK)/完整密鑰 (Integrated Key,簡稱IK)和認證向量,Ηοπκ5Α將認證向量發(fā)送給UE7 ;步驟405 =UE7根據(jù)認證向量及組密鑰Ka算出對應(yīng)的認證響應(yīng),并發(fā)送給HomeA進行雙向認證,UE7還需要根據(jù)認證向量計算對應(yīng)的CK/IK。為了保證安全,UE7在完成計算后應(yīng)立刻丟棄Ka ;如果代表節(jié)點UE7在預(yù)定時間內(nèi)沒有接收到網(wǎng)絡(luò)側(cè)的認證不通過消息,則表示組認證通過,UE7利用會話密鑰CK加密所有進行組認證的節(jié)點ID以及子密鑰信息,并將此加密后的節(jié)點信息發(fā)送給Hoiik5a進行注冊;優(yōu)選地,節(jié)點ID及子密鑰可以包含步驟40 )中的標(biāo)記,便于后續(xù)網(wǎng)絡(luò)側(cè)進一步驗證。步驟406 :HomeA進行在線用戶注冊,注冊完成后通知UE7。本實施例中HomeA存儲有組A、組A內(nèi)的節(jié)點標(biāo)識信息(UE1-UE7的ID、或者UE1-UE7的ID及對應(yīng)的子密鑰信息)、 組密鑰KA,具體可如表一所示。HomeA根據(jù)標(biāo)記確認有標(biāo)記的節(jié)點合法性,并進一步驗證沒有標(biāo)記的節(jié)點合法性, 具體地,對沒有標(biāo)記的節(jié)點信息,例如只有節(jié)點ID、或者有節(jié)點ID還有其對應(yīng)的子密鑰信息,可以通過與認證中心存儲的節(jié)點標(biāo)識進行對比,判斷節(jié)點ID或子密鑰信息是否一致從而驗證節(jié)點的合法性。具體地,根據(jù)節(jié)點信息及網(wǎng)絡(luò)側(cè)存儲的節(jié)點的標(biāo)識信息的內(nèi)容進行驗證包括如下幾種實現(xiàn)方式1.如果節(jié)點信息只攜帶有節(jié)點ID信息,則可以直接將節(jié)點ID與Hohk5a存儲的組內(nèi)節(jié)點標(biāo)識中的節(jié)點ID進行比較,判斷節(jié)點信息中的節(jié)點ID是否保存在組內(nèi)節(jié)點標(biāo)識中, 以此進行合法驗證。2.如果節(jié)點信息中還攜帶有子密鑰信息且均沒有標(biāo)記信息,則可以將節(jié)點信息的節(jié)點ID及子密鑰與Hoiik5a存儲的組內(nèi)節(jié)點標(biāo)識,如(ID1,K1),(ID2,K2),……(ID7,K7)等進行比較,以此進行合法驗證。3.如果節(jié)點信息中除了節(jié)點ID還攜帶有標(biāo)記信息,可以只驗證沒有標(biāo)記的節(jié)點信息,如只驗證節(jié)點ID、或者節(jié)點ID及對應(yīng)子密鑰等等,具體根據(jù)節(jié)點信息的內(nèi)容進行上面第1或第2種方式相應(yīng)的合法性驗證。步驟407 =UE7將會話密鑰CK發(fā)送給UE1,……UE6。UE1,……,UE7就可以利用CK 將用戶數(shù)據(jù)加密并傳輸。本實施例管理密鑰的認證中心HomeA將組A的組密鑰Ka分成η份,并在組內(nèi)用戶身份信息中存儲組內(nèi)節(jié)點的ID及相應(yīng)的密鑰份額,即節(jié)點標(biāo)識信息包括ID信息及子密鑰信息。當(dāng)組內(nèi)的終端節(jié)點進行接入網(wǎng)絡(luò)認證時,將各自的子密鑰傳至組認證代表節(jié)點,由代表節(jié)點按照門限機制算法從η份密鑰信息中選取t份恢復(fù)出組密鑰,發(fā)送至核心網(wǎng)絡(luò)側(cè)進行認證。由圖4可知,由于組外節(jié)點沒有對應(yīng)的子密鑰,所以無法獲得組密鑰K,進而無法通過該組認證接入網(wǎng)絡(luò);同時,由于門限機制算法的特殊性以及此處參數(shù)選擇的限定,導(dǎo)致多于n-t份密鑰的缺失,都無法通過認證,所以網(wǎng)絡(luò)側(cè)在接到合法的組認證請求時就可以認定組認證時至少包含了 t個合法節(jié)點,單鑰認證結(jié)束后代表節(jié)點將接受的所有節(jié)點的ID 及密鑰信息傳送給認證中心,認證中心記錄此信息,并以此來確認參與認證的所有節(jié)點的身份信息和組內(nèi)未參與密鑰恢復(fù)節(jié)點的合法性。本實施例可降低大量節(jié)點同時認證的資源消耗,并保持節(jié)點間的邏輯關(guān)聯(lián)性。圖5為根據(jù)本發(fā)明認證方法實施例四信令流程圖及系統(tǒng)實施例三示意圖,本實施例與圖4實施例類似,具體過程包括
步驟501 =UE1, UE2,……,UE7根據(jù)協(xié)議(如最小生成樹協(xié)議)構(gòu)成結(jié)構(gòu)化邏輯層次,如構(gòu)成樹形結(jié)構(gòu)。其中UE7為樹根,UE1, UE2,……,UE7為同一組群;步驟502 =UE1,……,UE5 將自己的 ID 及子密鑰(ID1, K1),(ID2,K2),……(ID5, K5)利用樹形結(jié)構(gòu)傳送給UE7 ;另外,組外的一節(jié)點UE8將自己的ID及子密鑰(ID8,K8)傳送
給 UE7 ;步驟503 =UE7從接收的6份子密鑰,加上自身存儲的子密鑰K7選取其中4份,根據(jù)門限機制中的恢復(fù)密鑰算法,計算得出組密鑰KA,a)當(dāng)組群A與網(wǎng)絡(luò)側(cè)認證中心HomeA進行鑒權(quán)時,由UE7向HomeA發(fā)起組認證請求。b)UE7記錄收到的子密鑰的成員ID,并標(biāo)記恢復(fù)組密鑰Ka時所使用的節(jié)點ID,并將此信息在AKA認證完成后發(fā)送至核心網(wǎng)側(cè)進行在線用戶注冊。步驟504 :HomeA收到來自認證代表節(jié)點的認證請求后,根據(jù)組群信息,找到對應(yīng)的組密鑰Ka,由于UE7生成的組密鑰是通過UE1,……,UE5,UE7,UE8選取4份生成,則UE7生成的組密鑰有兩種情況①生成組密鑰時沒有選取UE8,而是選取UE1,……UE5,UE7,中任意4份生成組密鑰,因此,組密鑰仍是正確的,HomeA計算會話密鑰CK/完整密鑰IK和認證向量,HomeA將認證向量發(fā)送給UE7,執(zhí)行步驟505 ;②生成組密鑰時選取UE8的子密鑰,因此,組密鑰與網(wǎng)絡(luò)側(cè)存儲的不一致,此時 HomeA將認證向量發(fā)送給UE7,執(zhí)行步驟505,但步驟505發(fā)送的認證響應(yīng)必定錯誤,因此會在步驟506網(wǎng)絡(luò)側(cè)認證失敗而結(jié)束;步驟505 =UE7根據(jù)認證向量及組密鑰算出對應(yīng)的組認證響應(yīng),并發(fā)送給Hoi^a進行雙向認證,UE7還需要根據(jù)認證向量計算對應(yīng)的CK/IK。為了保證安全,UE7在完成計算后應(yīng)立刻丟棄Ka ;UE7利用會話密鑰CK加密所收到的密鑰信息的節(jié)點ID,并將此加密后的節(jié)點ID信息發(fā)送給HomeA進行注冊。步驟506 :HomeA對組認證響應(yīng)進行驗證,當(dāng)驗證失敗時,會發(fā)送驗證失敗消息,認證結(jié)束。如果組認證通過則對代表節(jié)點發(fā)送的節(jié)點信息進行在線用戶注冊,具體地,根據(jù)節(jié)點信息及網(wǎng)絡(luò)側(cè)存儲的節(jié)點的標(biāo)識信息的內(nèi)容進行驗證包括如下幾種實現(xiàn)方式1.如果節(jié)點信息只攜帶有節(jié)點ID信息,則可以直接將節(jié)點ID與Hohk5a存儲的組內(nèi)節(jié)點標(biāo)識中的節(jié)點ID進行比較,判斷節(jié)點信息中的節(jié)點ID是否保存在組內(nèi)節(jié)點標(biāo)識中, 以此進行合法驗證。2.如果節(jié)點信息中還攜帶有子密鑰信息且均沒有標(biāo)記信息,則可以將節(jié)點信息的節(jié)點ID及子密鑰與Hoiik5a存儲的組內(nèi)節(jié)點標(biāo)識,如(ID1,K1),(ID2,K2),……(ID7,K7)等進行比較,以此進行合法驗證。3.如果節(jié)點信息中除了節(jié)點ID還攜帶有標(biāo)記信息,可以只驗證沒有標(biāo)記的節(jié)點信息,如只驗證節(jié)點ID、或者節(jié)點ID及對應(yīng)子密鑰等等,具體根據(jù)節(jié)點信息的內(nèi)容進行上面第1或第2種方式相應(yīng)的合法性驗證。如本實施例即使步驟504生成的組密鑰正確組認證通過,也在此合法驗證步驟中驗證UE8為非法用戶,從而注冊完成其他用戶,并通知UE7。
步驟507 =UE7將會話密鑰CK發(fā)送給UE1,……,UE5。UE1,……UE5, UE7便可利用 CK將用戶數(shù)據(jù)加密并傳輸。通過上述實施例可看出,保證了組認證的合法性,對于不是本組內(nèi)節(jié)點的接入可采用圖4由代表節(jié)點直接拒絕接入,還可以如圖5在認證中心進行后續(xù)驗證接入節(jié)點的合法性,并在認證完成后再次判斷未參加組密鑰恢復(fù)節(jié)點的合法性,從而保證組認證的可靠性和準(zhǔn)確性,避免其他非組內(nèi)節(jié)點的“假”接入。圖6為根據(jù)本發(fā)明認證裝置實施例一示意圖,該裝置可以位于物聯(lián)網(wǎng)中一組群的代表節(jié)點內(nèi),如圖2-圖5所示的代表節(jié)點UE7,如圖6所示,本裝置包括接口模塊,用于接收至少一個終端節(jié)點的接入請求;密鑰生成模塊,用于從接收的接入請求中獲取子密鑰信息,并根據(jù)獲取的子密鑰信息生成組密鑰;組認證模塊,用于根據(jù)根據(jù)組密鑰與網(wǎng)絡(luò)側(cè)交互進行組認證。該裝置還可以包括存儲模塊,用于保存組標(biāo)識信息;組認證模塊,還用于根據(jù)接入請求及組標(biāo)識信息生成攜帶組信息的組認證請求,發(fā)送至網(wǎng)絡(luò)側(cè)。組認證模塊,還可以在組認證通過時,發(fā)送接入請求的節(jié)點信息至網(wǎng)絡(luò)側(cè)。組認證模塊可以包括請求子單元,用于發(fā)送包含組信息或自身ID信息的組認證請求,此時存儲模塊可以存儲如下表二所示,并接收網(wǎng)絡(luò)側(cè)對組認證請求的反饋消息(如認證向量);響應(yīng)子單元,用于根據(jù)反饋消息及組密鑰生成發(fā)送至網(wǎng)絡(luò)側(cè)的認證響應(yīng),如用于通過接口模塊接收到網(wǎng)絡(luò)側(cè)對組認證請求的認證向量時,根據(jù)組密鑰計算對應(yīng)的組認證響應(yīng),并發(fā)送至網(wǎng)絡(luò)側(cè)。為保證安全性,響應(yīng)子單元還可以在計算完成組認證響應(yīng)后刪除組密鑰。其中,密鑰生成模塊可以包括密鑰恢復(fù)子模塊,用于從接受的接入請求攜帶的子密鑰信息及自身存儲的子密鑰信息中選擇不大于組內(nèi)終端節(jié)點總數(shù)目η的t個密鑰信息生成組密鑰。密鑰生成模塊還可以包括標(biāo)記子模塊,用于對生成組密鑰時選擇的密鑰信息對應(yīng)的節(jié)點進行標(biāo)記,并在發(fā)送至網(wǎng)絡(luò)側(cè)的節(jié)點信息中攜帶標(biāo)記信息;節(jié)點信息包括節(jié)點 ID信息、節(jié)點ID信息和對應(yīng)的標(biāo)記信息。該裝置存儲模塊還可以保存組內(nèi)節(jié)點的標(biāo)識信息;并進一步包括判別模塊,用于根據(jù)組內(nèi)節(jié)點的標(biāo)識信息判斷接入請求的節(jié)點為組外節(jié)點時,拒絕或刪除接入請求,具體的可參見下表二方式存儲表二終端側(cè)代表節(jié)點存儲的組信息
1權(quán)利要求
1.一種認證方法,其特征在于,包括接收至少一個接入請求,從所述接入請求中獲取子密鑰信息; 根據(jù)獲取的子密鑰信息生成組密鑰; 根據(jù)所述組密鑰與網(wǎng)絡(luò)側(cè)交互進行組認證。
2.根據(jù)權(quán)利要求1所述的認證方法,其特征在于,進一步包括 當(dāng)所述組認證通過時,發(fā)送所述接入請求的節(jié)點信息至網(wǎng)絡(luò)側(cè)。
3.根據(jù)權(quán)利要求1所述的認證方法,其特征在于,所述生成組密鑰包括從獲取的所有子密鑰信息和本地存儲的子密鑰信息中選擇不大于組內(nèi)節(jié)點總數(shù)目η 的t個密鑰信息生成組密鑰。
4.根據(jù)權(quán)利要求3所述的認證方法,其特征在于,進一步包括 對生成組密鑰時選擇的子密鑰信息對應(yīng)的節(jié)點進行標(biāo)記;當(dāng)所述組認證通過時,發(fā)送所述接入請求的節(jié)點信息至網(wǎng)絡(luò)側(cè),所述節(jié)點信息中攜帶所述標(biāo)記信息。
5.根據(jù)權(quán)利要求4所述的認證方法,其特征在于,發(fā)送所述接入請求的節(jié)點信息至網(wǎng)絡(luò)側(cè)之后還包括所述網(wǎng)絡(luò)側(cè)根據(jù)預(yù)存的組及組內(nèi)節(jié)點的標(biāo)識信息對所述節(jié)點信息進行合法性驗證; 所述節(jié)點的標(biāo)識信息包括節(jié)點的ID、或者節(jié)點的ID及對應(yīng)的子密鑰信息; 所述節(jié)點信息包括節(jié)點的ID及所述標(biāo)記信息、或者節(jié)點的ID及對應(yīng)的子密鑰信息和所述標(biāo)記信息。
6.根據(jù)權(quán)利要求1所述的認證方法,其特征在于,接收至少一個接入請求之后還包括 根據(jù)預(yù)存的組標(biāo)識信息生成攜帶組信息的組認證請求;將所述攜帶組信息的組認證請求發(fā)送至網(wǎng)絡(luò)側(cè);根據(jù)所述組密鑰與網(wǎng)絡(luò)側(cè)交互進行組認證包括接收網(wǎng)絡(luò)側(cè)對所述組認證請求的反饋消息;根據(jù)所述反饋消息及所述組密鑰生成發(fā)送至網(wǎng)絡(luò)側(cè)的組認證響應(yīng)。
7.根據(jù)權(quán)利要求1所述的認證方法,其特征在于,接收至少一個終端節(jié)點的接入請求之后進一步包括根據(jù)預(yù)存的組內(nèi)節(jié)點的標(biāo)識信息判斷所述接入請求為組外節(jié)點發(fā)送時,拒絕或刪除所述接入請求。
8.根據(jù)權(quán)利要求1-7任一項所述的認證方法,其特征在于,接收至少一個接入請求之前還包括發(fā)起所述接入請求的終端節(jié)點根據(jù)組內(nèi)網(wǎng)絡(luò)環(huán)境條件,從預(yù)存的組內(nèi)代表節(jié)點信息中選取其中一代表節(jié)點發(fā)送所述接入請求。
9.一種認證裝置,其特征在于,包括 接口模塊,用于接收至少一個接入請求;密鑰生成模塊,用于從接收的接入請求中獲取子密鑰信息,并根據(jù)獲取的子密鑰信息生成組密鑰;組認證模塊,用于根據(jù)所述組密鑰與網(wǎng)絡(luò)側(cè)交互進行組認證。
10.根據(jù)權(quán)利要求9所述的認證裝置,其特征在于,所述組認證模塊進一步在組認證通過時,發(fā)送所述接入請求的節(jié)點信息至網(wǎng)絡(luò)側(cè)。
11.根據(jù)權(quán)利要求9所述的認證裝置,其特征在于,所述密鑰生成模塊包括密鑰恢復(fù)子模塊,用于從獲取的所有子密鑰信息及本地存儲的子密鑰信息中選擇不大于組內(nèi)終端節(jié)點總數(shù)目η的t個密鑰信息生成組密鑰。
12.根據(jù)權(quán)利要求11所述的認證裝置,其特征在于,還包括標(biāo)記子模塊,用于對生成組密鑰時選擇的密鑰信息對應(yīng)的節(jié)點進行標(biāo)記,并在所述組認證通過時發(fā)送至網(wǎng)絡(luò)側(cè)的節(jié)點信息中攜帶所述標(biāo)記信息;所述節(jié)點信息包括節(jié)點的ID及所述標(biāo)記信息、或者節(jié)點的ID及對應(yīng)的子密鑰信息和所述標(biāo)記信息。
13.根據(jù)權(quán)利要求9所述的認證裝置,其特征在于,還包括 存儲模塊,用于存儲組標(biāo)識信息;所述組認證模塊,還用于根據(jù)所述接入請求及所述組標(biāo)識信息生成攜帶組信息的組認證請求,發(fā)送至網(wǎng)絡(luò)側(cè),所述組認證模塊包括請求子單元,用于生成所述組認證請求,并接收網(wǎng)絡(luò)側(cè)對所述組認證請求的反饋消息;響應(yīng)子單元,用于根據(jù)所述反饋消息及所述組密鑰生成發(fā)送至網(wǎng)絡(luò)側(cè)的組認證響應(yīng)。
14.根據(jù)權(quán)利要求9-13任一項所述的認證裝置,其特征在于,所述存儲模塊還存儲組內(nèi)節(jié)點的標(biāo)識信息,所述裝置進一步包括判別模塊,用于根據(jù)所述組內(nèi)節(jié)點的標(biāo)識信息判斷接入請求的節(jié)點為組外節(jié)點時,拒絕或刪除所述接入請求。
15.一種認證中心,其特征在于,包括存儲模塊,用于存儲組信息及對應(yīng)的組密鑰信息; 組認證模塊,用于根據(jù)所述組密鑰信息對終端側(cè)進行組認證。
16.根據(jù)權(quán)利要求15所述的認證中心,其特征在于,包括歸屬位置寄存器HLR、歸屬用戶數(shù)據(jù)庫HSS。
17.根據(jù)權(quán)利要求15或16所述的認證中心,其特征在于,所述組認證模塊包括 接口子模塊,用于接收終端側(cè)攜帶組信息的組認證請求,發(fā)送對應(yīng)的反饋消息,接收終端側(cè)的組認證響應(yīng);認證子模塊,用于根據(jù)所述組認證請求查找對應(yīng)的組密鑰信息,生成所述反饋消息;根據(jù)所述組密鑰驗證所述組認證響應(yīng)。
18.根據(jù)權(quán)利要求17所述的認證中心,其特征在于,所述存儲模塊還存儲組信息對應(yīng)的組內(nèi)節(jié)點的標(biāo)識信息;所述認證子模塊包括查詢子單元,用于根據(jù)所述組認證請求中攜帶的組信息從所述存儲模塊查找對應(yīng)的組 S朗fn息;計算子單元,用于根據(jù)所述組密鑰信息計算所述組認證請求的反饋消息; 驗證子模塊,用于根據(jù)所述組密鑰驗證終端側(cè)的所述組認證響應(yīng);根據(jù)組內(nèi)節(jié)點的標(biāo)識信息驗證所述節(jié)點信息的合法性;所述節(jié)點的標(biāo)識信息包括節(jié)點的ID、或者節(jié)點的ID及對應(yīng)的子密鑰信息;所述節(jié)點信息包括節(jié)點的ID、或者節(jié)點的ID及對應(yīng)的子密鑰信息、或者節(jié)點的ID及所述標(biāo)記信息、或者節(jié)點的ID及對應(yīng)的子密鑰信息和所述標(biāo)記信息。
19.一種認證系統(tǒng),其特征在于,包括終端節(jié)點,用于發(fā)送攜帶子密鑰信息的接入請求;代表節(jié)點,用于接收至少一個終端節(jié)點的接入請求,獲取子密鑰信息;并根據(jù)子密鑰信息生成組密鑰;根據(jù)所述組密鑰與網(wǎng)絡(luò)側(cè)進行組認證;認證中心,用于存儲組信息及對應(yīng)的組密鑰信息,并根據(jù)組密鑰信息對代表節(jié)點進行組認證。
20.根據(jù)權(quán)利要求19所述的認證系統(tǒng),其特征在于,所述終端節(jié)點包括 存儲模塊,用于存儲子密鑰信息及歸屬的至少一個代表節(jié)點信息; 請求模塊,用于從代表節(jié)點信息中選取其中一代表節(jié)點發(fā)送所述接入請求。
全文摘要
本發(fā)明公開了一種認證方法、裝置、認證中心及系統(tǒng),其中,該方法包括接收至少一個接入請求,從接入請求中獲取子密鑰信息;根據(jù)獲取的子密鑰信息生成組密鑰;根據(jù)組密鑰與網(wǎng)絡(luò)側(cè)交互進行組認證。本發(fā)明可解決現(xiàn)有技術(shù)中一對一認證造成的網(wǎng)絡(luò)負擔(dān),實現(xiàn)一次認證多個節(jié)點,減少網(wǎng)絡(luò)資源和服務(wù)器網(wǎng)絡(luò)負荷,可以適用物聯(lián)網(wǎng)中終端節(jié)點的認證并可以大大提高物聯(lián)網(wǎng)業(yè)務(wù)的可用性。
文檔編號H04L29/06GK102238146SQ20101016180
公開日2011年11月9日 申請日期2010年4月27日 優(yōu)先權(quán)日2010年4月27日
發(fā)明者朱紅儒, 焦文娟, 齊旻鵬 申請人:中國移動通信集團公司