一種輕量級的節(jié)點、網關雙向身份認證方法
【專利摘要】本發(fā)明公開一種輕量級的節(jié)點���、網關雙向身份認證方法,其具體包括如下步驟:A���、節(jié)點注冊�����。B����、節(jié)點認證。C��、網關廣播源認證����。本發(fā)明采用節(jié)點和網關之間的雙向身份認證有效的防止“假冒攻擊”,輕量級的認證算法減少了節(jié)點的能耗��,Merkle哈希樹廣播源認證在計算���、存儲����、通信方面開銷較小�����,能夠抵制節(jié)點捕獲��、請求信息重放和Dos攻擊����。
【專利說明】一種輕量級的節(jié)點�、網關雙向身份認證方法
【技術領域】
[0001]本發(fā)明涉及智能家居安防【技術領域】���,尤其涉及一種輕量級的節(jié)點����、網關雙向身份認證方法����。
【背景技術】
[0002]目前,物聯網技術越來越多的受到了人們的關注�。物聯網的本質是通過能夠獲取物體信息的傳感器節(jié)點(簡稱節(jié)點)來進行信息采集,通過泛在網進行信息傳輸及交換����,通過/[目息處理系統(tǒng)進行?目息加工及決策。
[0003]智能家居以住宅為平臺��,利用綜合布線�����、網絡通信�����、安全防范��、自動控制等技術構建高效的住宅設施與安全防范系統(tǒng)�,提升家居安全性、便利性�����、舒適性����,并實現環(huán)保節(jié)能的居住環(huán)境。智能家居作為物聯網發(fā)展過程中的典型應用在物聯網行業(yè)中擁有巨大的消費潛力��,前景光明����。
[0004]家居安防系統(tǒng)作為智能家居系統(tǒng)的子系統(tǒng)為居住環(huán)境提供了重要的安全保障,而傳感技術被廣泛應用于智能家居的各個子系統(tǒng)中完成信息的采集以及實時控制�����,傳感系統(tǒng)本身存在的安全風險也隨即被帶入到智能家居系統(tǒng)中�。傳感系統(tǒng)的前端感知設備即傳感器節(jié)點能量受限以及采用無線通信的方式使得前端感知節(jié)點很容易成為被攻擊的對象,包括對感知節(jié)點的假冒身份�、干擾����、屏蔽���、信號截獲等攻擊�。
【發(fā)明內容】
[0005]本發(fā)明的目的在于通過一種輕量級的節(jié)點�����、網關雙向身份認證方法���,來解決以上【背景技術】部分提到的問題���。
[0006]一種輕量級的節(jié)點、網關雙`向身份認證方法���,其包括如下步驟:
[0007]Α�����、節(jié)點注冊�;Β、節(jié)點認證�;C�、網關廣播源認證。
[0008]特別地,所述步驟A具體包括:
[0009]Al��、節(jié)點向網關發(fā)送注冊請求包�;
[0010]A2、網關對收到的注冊請求包進行解析�,驗證注冊請求包的MAC,若驗證不通過��,則丟棄該注冊請求包����,若驗證通過,則發(fā)送注冊響應包給節(jié)點��。
[0011]特別地��,所述步驟B具體包括:
[0012]B1��、網關向通過注冊的節(jié)點發(fā)送隨機數����,并存儲該隨機數與對應節(jié)點號;
[0013]B2、節(jié)點收到與自己對應的所述隨機數后��,生成認證請求包����,發(fā)送給網關;
[0014]B3����、網關接收認證請求包,根據節(jié)點號取出與其對應的隨機數����,將其與認證請求包中數據異或,并使用對應的MAC算法驗證MAC����,若驗證通過,則網關發(fā)送認證響應包給節(jié)點��,否則認證失敗���,節(jié)點超時會發(fā)起重新認證���。
[0015]特別地���,所述步驟C具體包括:
[0016]Cl、節(jié)點與網關預制工作:網關生成一系列Si和深度為3的完全二叉Merkle樹���;為每個節(jié)點i編號,滿足:當i為父親節(jié)點時��,其左孩子節(jié)點為2i���,右孩子節(jié)點為2i+l�,樹的根節(jié)點編號為I ;節(jié)點間hash值關系滿足:當i為葉子節(jié)點時����,Ki=hash(Si);當1不為葉子節(jié)點時,其必存在左��、右孩子K21�、K2i+l,滿足M=hash (K21.④(K2i + 1));每個傳感器節(jié)點預置Kl和hash散列算法����;網關保存Si和Merkle樹;
[0017]C2�、網關發(fā)送廣播源認證包���;
[0018]C3、節(jié)點收到廣播源認證包后進行如下計算:
[0019]
Hash(Hash(Hash(Hash(Merkle[0] Φ Merkle[l]) Φ Merkle[2]) Φ Merkle
[3]),驗證其結果與節(jié)點自身存儲的κι是否相等����,若相等,則認證成功�。
[0020]特別地,所述步驟Al具體包括:節(jié)點向網關發(fā)送注冊請求包����,其過程如下:
[0021]一、節(jié)點UART驅動程序按照與網關協商好的數據格式�����,將認證算法標志位(IB)�、NodeID (2Β)、保留位(IB)���、保留位(4Β)共8Β與隨機數進行異或后輸入到LKT4200中�,其中�,注冊階段的上行包隨機數N恒等于O ;
[0022]二、LKT4200接收所述8Β數據�,進行如下計算生成MAC (4Β):
[0023]MAC [K,(認法紐志位(iB)+N(AID(2B) +保衍位(IB) +保街位(4Β))ΦΝ (4Β��,注冊階段N=O)]
[0024]三��、節(jié)點UART驅動程序將13Β數據打包封裝為注冊請求包���,發(fā)送至網關。
[0025]特別地��,所述步驟Α2具體包括:網關對收到的注冊請求包進行解析�,根據注冊請求包的數據包說明�����,判斷該數據包為注冊請求包���,根據注冊請求包的算法標志位����,判斷生成MAC所用的輕量級算法��,從而驗證注冊請求包的MAC�����,若驗證不通過,則丟棄該注冊請求包�����,若驗證通過����,則發(fā)送注冊響應包給節(jié)點。
[0026]特別地����,所述步驟B3具體包括:網關接收認證請求包,根據節(jié)點號取出與其對應的隨機數����,將其與認證請求包中前8字節(jié)數據異或,并根據算法標志位使用對應的MAC算法驗證MAC��,若驗證通過����,則網關發(fā)送認證響應包給節(jié)點,否則認證失敗��,節(jié)點超時會發(fā)起重新認證���。
[0027]本發(fā)明提供的輕量級的節(jié)點����、網關雙向身份認證方法采用節(jié)點和網關之間的雙向身份認證有效的防止“假冒攻擊”,輕量級的認證算法減少了節(jié)點的能耗���,Merkle哈希樹廣播源認證在計算����、存儲����、通信方面開銷較小����,能夠抵制節(jié)點捕獲、請求信息重放和Dos攻擊�。
【專利附圖】
【附圖說明】
[0028]圖1為本發(fā)明實施例提供的節(jié)點、網關雙向身份認證方法流程圖���;
[0029]圖2為本發(fā)明實施例提供的節(jié)點�、網關雙向身份認證方法數據流向圖��;
[0030]圖3為本發(fā)明實施例提供的廣播源認證的Merkle哈希樹示意圖。
【具體實施方式】
[0031]下面結合附圖和實施例對本發(fā)明作進一步說明����。可以理解的是���,此處所描述的具體實施例僅僅用于解釋本發(fā)明��,而非對本發(fā)明的限定�。另外還需要說明的是�����,為了便于描述���,附圖中僅示出了與本發(fā)明相關的部分而非全部內容����。
[0032]請參照圖1和圖2所示����,本實施例中節(jié)點、網關雙向身份認證方法具體包括如下步驟:
[0033]步驟S101、節(jié)點注冊�。節(jié)點注冊的具體過程如下:
[0034]步驟S1011、節(jié)點向網關發(fā)送注冊請求包���,其格式如下:
【權利要求】
1.一種輕量級的節(jié)點��、網關雙向身份認證方法���,其特征在于,具體包括如下步驟: A��、節(jié)點注冊���;B����、節(jié)點認證��;C�����、網關廣播源認證�。
2.根據權利要求1所述的輕量級的節(jié)點���、網關雙向身份認證方法�,其特征在于,所述步驟A具體包括: Al�、節(jié)點向網關發(fā)送注冊請求包; A2���、網關對收到的注冊請求包進行解析�����,驗證注冊請求包的MAC�����,若驗證不通過���,則丟棄該注冊請求包,若驗證通過��,則發(fā)送注冊響應包給節(jié)點����。
3.根據權利要求2所述的輕量級的節(jié)點、網關雙向身份認證方法,其特征在于�,所述步驟B具體包括: B1、網關向通過注冊的節(jié)點發(fā)送隨機數��,并存儲該隨機數與對應節(jié)點號��; B2����、節(jié)點收到與自己對應的所述隨機數后,生成認證請求包���,發(fā)送給網關�����; B3��、網關接收認證請求包���,根據節(jié)點號取出與其對應的隨機數,將其與認證請求包中數據異或���,并使用對應的MAC算法驗證MAC,若驗證通過,則網關發(fā)送認證響應包給節(jié)點���,否則認證失敗��,節(jié)點超時會發(fā)起重新認證����。
4.根據權利要求3所述的輕量級的節(jié)點���、網關雙向身份認證方法��,其特征在于����,所述步驟C具體包括: Cl����、節(jié)點與網關預制工作:網關生成一系列Si和深度為3的完全二叉Merkle樹;為每個節(jié)點i編號����,滿足:當i為父親節(jié)點時,其左孩子節(jié)點為2i�,右孩子節(jié)點為2i+l�����,樹的根節(jié)點編號為1 ;節(jié)點間hash值關系滿足:當i為葉子節(jié)點時����,Ki=hash(Si);當i不為葉子節(jié)點時�,其必存在左、右孩子K21����、K2i+l,滿足
5.根據權利要求4所述的輕量級的節(jié)點��、網關雙向身份認證方法��,其特征在于����,所述步驟Al具體包括:節(jié)點向網關發(fā)送注冊請求包,其過程如下: 一��、節(jié)點UART驅動程序按照與網關協商好的數據格式�,將認證算法標志位(IB)、NodeID (2Β)���、保留位(IB)��、保留位(4Β)共8Β與隨機數進行異或后輸入到LKT4200中��,其中�,注冊階段的上行包隨機數N恒等于O ; 二�����、LKT4200接收所述8Β數據����,進行如下計算生成MAC(4Β):
6.根據權利要求5所述的輕量級的節(jié)點、網關雙向身份認證方法���,其特征在于�,所述步驟Α2具體包括:網關對收到的注冊請求包進行解析�,根據注冊請求包的數據包說明,判斷該數據包為注冊請求包����,根據注冊請求包的算法標志位,判斷生成MAC所用的輕量級算法���,從而驗證注冊請求包的MAC����,若驗證不通過,則丟棄該注冊請求包�����,若驗證通過��,則發(fā)送注冊響應包給節(jié)點�����。
7.根據權利要求2至6之一所述的輕量級的節(jié)點��、網關雙向身份認證方法,其特征在于,所述步驟B3具體包括:網關接收認證請求包���,根據節(jié)點號取出與其對應的隨機數,將其與認證請求包中前8字節(jié)數據異或,并根據算法標志位使用對應的MAC算法驗證MAC�,若驗證通過��,則網關發(fā)送認證響應包`給節(jié)點��,否則認證失敗,節(jié)點超時會發(fā)起重新認證���。
【文檔編號】H04L29/06GK103701797SQ201310718763
【公開日】2014年4月2日 申請日期:2013年12月23日 優(yōu)先權日:2013年12月23日
【發(fā)明者】劉慶昊, 呂世超, 蘆翔, 潘磊, 周新運, 孫利民 申請人:江蘇物聯網研究發(fā)展中心