[发明专利]基于设备身份标识的轻量级认证方法及网关

说明书

本发明实施例公开了一种基于设备身份标识的轻量级认证方法及网关。其中，基于设备身份标识的轻量级认证方法，包括：注册方法和认证方法；注册方法，包括：响应于注册申请请求，获取发送注册申请请求终端的身份信息；基于所述身份信息生成终端ID公钥；基于所述终端ID公钥得到终端的加密私钥和加签公钥；获取与终端协商得到的会话密钥；基于所述会话密钥对所述加密私钥和加签公钥进行加密，得到第一加密信息；将所述第一加密信息发送至终端。在加密私钥和加签公钥的传输通信中，使用与终端协商得到的会话密钥对通信进行加密，从而保证加密私钥和加签公钥传输安全，达到提高轻量级注册认证中安全性的目的。

技术领域

本发明属于物联网技术领域，更具体地，涉及一种基于设备身份标识的轻量级认证方法及网关。

背景技术

现有的认证协议框架包括PKI、CPK和IBE等多种结构。PKI证书技术已成为应用于各个领域的安全通信功能实现的一个成熟技术。为验证用户身份，PKI框架要求通信用户在与对方通信前申请对方证书以及验证证书的有效性，较大增加了通信，时间和运算开销，对于功能简单，硬件设施简陋的物联网设备，难以支撑PKI认证技术的正常运行，尽管存在一些对PKI框架的轻量级设计，但都无法弥补证书与信任链的本质缺陷。郭萍提出一种轻量级证书方法(郭萍,张宏,周未,曹雪.基于轻量级CA无线传感器网络双向认证方案[J].小型微型计算机系统,2013)，只设置一个信任机构对用户自己生成的公私密钥对进行签名信任，降低了证书使用开销。但是其安全性降低，无法察觉中间人攻击；简单的合法验证和密钥托管的缺失导致协议可能出现攻击者注册成功的漏洞。因此，智能电网场景需要轻量级的认证协议来实现物联网设备的安全接入。CPK通过组合密码矩阵缩短了公钥生成时间，也不需要第三方证明的层次化CA机构链。虽然原则上规模很小的矩阵通过组合生产出数量极为庞大的公私钥对，但是如果恶意攻击者收集足够多的密文信息，可能会通过线性组合逆操作导致密钥容易被破解(周加法,马涛,李益发.PKI、CPK、IBC性能浅析[J].信息工程大学学报,2005)。相比于PKI证书技术和CPK体系，IBC框架提出用户信息与用户公钥的一一映射关系，不需要数字证书进行绑定；其数学基础是椭圆曲线双线性对，相比于其他加密方式，安全性高，不容易被破解，更加适应智能电厂应用场景。Yan等人提出了使用基于身份的分层加密技术(Yan L,Rong C,Zhao G.Strengthen Cloud Computing Security with FederalIdentity Management Using Hierarchical Identity-Based Cryptography[J].LectureNotes in Computer Science,2009)加强多个体管理的云计算安全，协调不同云之间的标识管理系统；然而标识之间有重复出现的字段，因为标识与设备公钥具有一定的函数关系，所以标识的重复字段可能导致提高密钥破解的可能性，同时，标识形成并没有发挥IBC框架的轻量级优势。Dong提出一种轻量级公钥认证框架(Dong X，Wang L，Cao Z.New PublicKey Crypto-System With Light Certification Authority[EB/OL].http://ePrint.iacr.org/2006/154)用来解决物联网的终端计算能力有限的问题。但是这种轻量级公钥认证框架只是适用于规模比较小的网络中，不适用设备灵活接入安全系统的场景。Sungchul提出一种用户身份标识与用户密钥一对一的关系(Sungchul L.,Ju-Yeon J.andYoohwan K.,“Method for secure RESTful web service.In IEEE/ACIS,14thInternational Conference on Computer and Information Science(ICIS 2015))。但是没有考虑这些网络信息是否可以被复制。综合而说，现有的IBC轻量级设计及电网场景应用仍然有缺陷，非对称加密算法复杂；相对于规范的用户信息，如邮箱地址等，现有的物联网设备信息(IP地址)容易仿冒；相比于智能用户准入验证机制的交互性，物联网设备接入系统时无法实现合法身份验证。

在实现本发明过程中，发明人发现现有技术中至少存在如下问题：