專利名稱:一種網(wǎng)關(guān)、節(jié)點(diǎn)和服務(wù)器進(jìn)行鑒權(quán)的方法、裝置及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及一種網(wǎng)關(guān)、節(jié)點(diǎn)和服務(wù)器進(jìn)行鑒權(quán)的方法、裝 置及系統(tǒng)
背景技術(shù):
M2M是機(jī)器對(duì)機(jī)器(machine-to-machine)通信的簡(jiǎn)稱,狹義上講就是機(jī)器與機(jī)器 之間通過(guò)短距離通信技術(shù)如Zigbee,簡(jiǎn)單來(lái)說(shuō)就是把世界上所有的機(jī)器都納入到一張通信 網(wǎng)中,使所有的機(jī)器都實(shí)現(xiàn)智能化,讓機(jī)器不再冰冷。廣義的M2M還包含人對(duì)機(jī)器、機(jī)器對(duì) 人通信。M2M的應(yīng)用在垂直行業(yè)市場(chǎng)中快速增長(zhǎng),這些垂直行業(yè)包括智能家居、安防監(jiān) 控、電子醫(yī)療、零售業(yè)、物流監(jiān)控等等。由于缺乏統(tǒng)一的M2M標(biāo)準(zhǔn),垂直行業(yè)的M2M應(yīng)用通常 是一個(gè)廠商提供端到端的解決方案,終端和應(yīng)用強(qiáng)耦合,造成部署成本偏高;另外,大量部 署的垂直應(yīng)用形成了一個(gè)個(gè)的信息孤島,很難做到信息之間的共享,容易造成重復(fù)建設(shè)。這 些都對(duì)垂直的M2M應(yīng)用進(jìn)一步廣泛應(yīng)用有限制作用,因此,構(gòu)建一個(gè)M2M的水平平臺(tái),對(duì)應(yīng) 用屏蔽到機(jī)器的通信方式,利用標(biāo)準(zhǔn)的接口連接機(jī)器和應(yīng)用,通過(guò)這樣的平臺(tái),可以形成信 息共享,減少M(fèi)2M的部署成本,進(jìn)一步推動(dòng)M2M的廣泛應(yīng)用。節(jié)點(diǎn)加入無(wú)線傳感網(wǎng)絡(luò)時(shí),節(jié)點(diǎn)和網(wǎng)關(guān)之間需要互相確認(rèn)對(duì)方的身份,目前比較 常用的一種方法是節(jié)點(diǎn)和網(wǎng)關(guān)之間借助第三方的服務(wù)來(lái)相互進(jìn)行身份驗(yàn)證,在M2M中應(yīng)用 時(shí),網(wǎng)關(guān)可以是個(gè)人設(shè)備充當(dāng),個(gè)人設(shè)備存在被黑客控制的風(fēng)險(xiǎn),然而在現(xiàn)有技術(shù)中,被黑 客控制的網(wǎng)關(guān)可以偽造節(jié)點(diǎn)的登錄情況,從而干擾正常節(jié)點(diǎn)的運(yùn)行,例如配置參數(shù)下發(fā)失 敗,不能及時(shí)獲取設(shè)備讀數(shù),控制指令不能及時(shí)下發(fā)等等,可能造成嚴(yán)重的后果。還有,現(xiàn)有 技術(shù)中,節(jié)點(diǎn)沒(méi)有驗(yàn)證網(wǎng)關(guān)的身份,節(jié)點(diǎn)不能根據(jù)網(wǎng)關(guān)身份應(yīng)用相應(yīng)的安全策略,如應(yīng)用數(shù) 據(jù)是否單獨(dú)加密,是否啟用完整性驗(yàn)證等。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種網(wǎng)關(guān)、節(jié)點(diǎn)和服務(wù)器進(jìn)行鑒權(quán)的方法、裝置及系統(tǒng),解決現(xiàn) 有技術(shù)存在的安全性問(wèn)題。一種網(wǎng)關(guān)、節(jié)點(diǎn)和服務(wù)器進(jìn)行鑒權(quán)的方法,包括,節(jié)點(diǎn)接收網(wǎng)關(guān)發(fā)送的請(qǐng)求報(bào)文, 報(bào)文中包含網(wǎng)關(guān)和服務(wù)器的共享值T3以及網(wǎng)關(guān)標(biāo)識(shí);節(jié)點(diǎn)將待加密數(shù)據(jù),包括T3、網(wǎng)關(guān)標(biāo) 識(shí)和節(jié)點(diǎn)生成的隨機(jī)數(shù)Tl用節(jié)點(diǎn)和服務(wù)器共享的密鑰Kl加密,并將加密后的數(shù)據(jù)以及節(jié) 點(diǎn)標(biāo)識(shí)通過(guò)網(wǎng)關(guān)發(fā)送給服務(wù)器;節(jié)點(diǎn)根據(jù)密鑰對(duì)網(wǎng)關(guān)轉(zhuǎn)發(fā)的服務(wù)器加密后的數(shù)據(jù)進(jìn)行解 密,根據(jù)解密得到的Tl相關(guān)數(shù)確定服務(wù)器為合法服務(wù)器,并根據(jù)解密得到的新的密鑰與網(wǎng) 關(guān)建立安全通道?!N網(wǎng)關(guān)、節(jié)點(diǎn)和服務(wù)器進(jìn)行鑒權(quán)的方法,包括,服務(wù)器接收網(wǎng)關(guān)轉(zhuǎn)發(fā)的節(jié)點(diǎn)加密 后的數(shù)據(jù)和節(jié)點(diǎn)標(biāo)識(shí);服務(wù)器根據(jù)節(jié)點(diǎn)標(biāo)識(shí)確定節(jié)點(diǎn)和服務(wù)器共享的密鑰,并利用密鑰對(duì) 節(jié)點(diǎn)加密后的數(shù)據(jù)進(jìn)行解密;服務(wù)器根據(jù)解密得到的網(wǎng)關(guān)和服務(wù)器的共享值T3和網(wǎng)關(guān)標(biāo)識(shí),確定節(jié)點(diǎn)為合法節(jié)點(diǎn),生成新的密鑰;服務(wù)器用節(jié)點(diǎn)和服務(wù)器共享的密鑰對(duì)新的密鑰和 T1關(guān)聯(lián)數(shù)進(jìn)行加密,并將加密后的數(shù)據(jù)通過(guò)網(wǎng)關(guān)發(fā)送給節(jié)點(diǎn)。一種節(jié)點(diǎn),包括,接收單元,用于接收網(wǎng)關(guān)發(fā)送的請(qǐng)求報(bào)文,報(bào)文中包含網(wǎng)關(guān)和服 務(wù)器的共享值T3以及網(wǎng)關(guān)標(biāo)識(shí);加密發(fā)送單元,用于將待加密數(shù)據(jù),包括T3、網(wǎng)關(guān)標(biāo)識(shí)和節(jié) 點(diǎn)生成的隨機(jī)數(shù)Tl用節(jié)點(diǎn)和服務(wù)器共享的密鑰Kl加密,并將加密后的數(shù)據(jù)以及節(jié)點(diǎn)標(biāo)識(shí) 通過(guò)網(wǎng)關(guān)發(fā)送給服務(wù)器;解密單元,用于根據(jù)密鑰對(duì)網(wǎng)關(guān)轉(zhuǎn)發(fā)的服務(wù)器加密后的數(shù)據(jù)進(jìn)行 解密,根據(jù)解密得到的Tl+相關(guān)數(shù)確定服務(wù)器為合法服務(wù)器,并根據(jù)解密得到的新的密鑰 與網(wǎng)關(guān)建立安全通道。一種服務(wù)器,包括,接收單元,用于接收網(wǎng)關(guān)轉(zhuǎn)發(fā)的節(jié)點(diǎn)加密后的數(shù)據(jù)和節(jié)點(diǎn)標(biāo) 識(shí);解密單元,用于根據(jù)節(jié)點(diǎn)標(biāo)識(shí)確定節(jié)點(diǎn)和服務(wù)器共享的密鑰,并利用密鑰對(duì)節(jié)點(diǎn)加密后 的數(shù)據(jù)進(jìn)行解密;確定生成單元,用于根據(jù)解密得到的網(wǎng)關(guān)和服務(wù)器的共享值T3和網(wǎng)關(guān)標(biāo) 識(shí),確定節(jié)點(diǎn)為合法節(jié)點(diǎn),生成新的密鑰;加密發(fā)送單元,用于用節(jié)點(diǎn)和服務(wù)器共享的密鑰 對(duì)新的密鑰和Tl相關(guān)數(shù)進(jìn)行加密,并將加密后的數(shù)據(jù)通過(guò)網(wǎng)關(guān)發(fā)送給節(jié)點(diǎn)。一種網(wǎng)關(guān)、節(jié)點(diǎn)和服務(wù)器進(jìn)行鑒權(quán)的系統(tǒng),包括,節(jié)點(diǎn),用于接收網(wǎng)關(guān)發(fā)送的請(qǐng)求 報(bào)文,報(bào)文中包含網(wǎng)關(guān)和服務(wù)器的共享值T3以及網(wǎng)關(guān)標(biāo)識(shí);將待加密數(shù)據(jù),包括T3、網(wǎng)關(guān)標(biāo) 識(shí)和節(jié)點(diǎn)生成的隨機(jī)數(shù)Tl用節(jié)點(diǎn)和服務(wù)器共享的密鑰Kl加密,并將加密后的數(shù)據(jù)以及節(jié) 點(diǎn)標(biāo)識(shí)通過(guò)網(wǎng)關(guān)發(fā)送給服務(wù)器;根據(jù)密鑰對(duì)網(wǎng)關(guān)轉(zhuǎn)發(fā)的服務(wù)器加密后的數(shù)據(jù)進(jìn)行解密,根 據(jù)解密得到的Tl相關(guān)數(shù)確定服務(wù)器為合法服務(wù)器,并根據(jù)解密得到的新的密鑰與網(wǎng)關(guān)建 立安全通道;服務(wù)器,用于接收網(wǎng)關(guān)轉(zhuǎn)發(fā)的節(jié)點(diǎn)加密后的數(shù)據(jù)和節(jié)點(diǎn)標(biāo)識(shí);根據(jù)節(jié)點(diǎn)標(biāo)識(shí) 確定節(jié)點(diǎn)和服務(wù)器共享的密鑰,并利用密鑰對(duì)節(jié)點(diǎn)加密后的數(shù)據(jù)進(jìn)行解密;根據(jù)解密得到 的網(wǎng)關(guān)和服務(wù)器的共享值T3和網(wǎng)關(guān)標(biāo)識(shí),確定節(jié)點(diǎn)為合法節(jié)點(diǎn),生成新的密鑰;用節(jié)點(diǎn)和 服務(wù)器共享的密鑰對(duì)新的密鑰和T1+1進(jìn)行加密,并將加密后的數(shù)據(jù)通過(guò)網(wǎng)關(guān)發(fā)送給節(jié)點(diǎn), 網(wǎng)關(guān),用于向節(jié)點(diǎn)發(fā)送消息,信息中包含網(wǎng)關(guān)和服務(wù)器的共享值T3以及網(wǎng)關(guān)標(biāo)識(shí),接收并 轉(zhuǎn)發(fā)節(jié)點(diǎn)發(fā)送的加密后的數(shù)據(jù);接收并轉(zhuǎn)發(fā)服務(wù)器加密后的數(shù)據(jù)。本發(fā)明公開了一種網(wǎng)關(guān)、節(jié)點(diǎn)和服務(wù)器進(jìn)行鑒權(quán)的方法、裝置和系統(tǒng),采用節(jié)點(diǎn)接 收網(wǎng)關(guān)發(fā)送的請(qǐng)求報(bào)文,所述報(bào)文中包含網(wǎng)關(guān)和服務(wù)器的共享值T3以及網(wǎng)關(guān)標(biāo)識(shí);所述節(jié) 點(diǎn)將待加密數(shù)據(jù)包括T3、網(wǎng)關(guān)標(biāo)識(shí)和節(jié)點(diǎn)生成的隨機(jī)數(shù)Tl用節(jié)點(diǎn)和服務(wù)器共享的密鑰Kl 加密,并將加密后的數(shù)據(jù)以及節(jié)點(diǎn)標(biāo)識(shí)通過(guò)網(wǎng)關(guān)發(fā)送給服務(wù)器;所述節(jié)點(diǎn)根據(jù)所述密鑰對(duì) 網(wǎng)關(guān)轉(zhuǎn)發(fā)的服務(wù)器加密后的數(shù)據(jù)進(jìn)行解密,根據(jù)解密得到的Tl相關(guān)數(shù)確定所述服務(wù)器為 合法服務(wù)器,并根據(jù)解密得到的新的密鑰與網(wǎng)關(guān)建立安全通道,使得在不增加網(wǎng)關(guān)和服務(wù) 器之間信息交互次數(shù)的情況下,在網(wǎng)關(guān)和節(jié)點(diǎn)相互身份驗(yàn)證的過(guò)程中同時(shí)完成服務(wù)器對(duì)節(jié) 點(diǎn)身份的驗(yàn)證,從而降低了網(wǎng)關(guān)被黑客控制后的安全破壞能力,提高了安全性。
圖1為本發(fā)明實(shí)施例提供的一種網(wǎng)關(guān)、節(jié)點(diǎn)和服務(wù)器進(jìn)行鑒權(quán)的方法的流程圖;圖2為本發(fā)明實(shí)施例提供的一種網(wǎng)關(guān)、節(jié)點(diǎn)和服務(wù)器進(jìn)行鑒權(quán)的方法的流程圖;圖3為本發(fā)明實(shí)施例提供的一種節(jié)點(diǎn)的基本框圖;圖4為本發(fā)明實(shí)施例提供的一種服務(wù)器的基本框圖;圖5為本發(fā)明實(shí)施例提供的一種網(wǎng)關(guān)、節(jié)點(diǎn)和服務(wù)器進(jìn)行鑒權(quán)的系統(tǒng)的基本框圖;圖6為實(shí)施例提供的一種網(wǎng)關(guān)、節(jié)點(diǎn)和服務(wù)器進(jìn)行鑒權(quán)的方法的具體實(shí)現(xiàn)流程 圖;圖7為實(shí)施例提供的一種網(wǎng)關(guān)、節(jié)點(diǎn)和服務(wù)器進(jìn)行鑒權(quán)的方法的另一具體實(shí)現(xiàn)流 程圖;圖8為實(shí)施例提供的一種網(wǎng)關(guān)、節(jié)點(diǎn)和服務(wù)器進(jìn)行鑒權(quán)的方法的另一具體實(shí)現(xiàn)流 程具體實(shí)施例方式實(shí)施例一參閱圖1,本發(fā)明實(shí)施例一提供的一種網(wǎng)關(guān)、節(jié)點(diǎn)和服務(wù)器進(jìn)行鑒權(quán)的方法,該方 法包括Al、節(jié)點(diǎn)接收網(wǎng)關(guān)發(fā)送的請(qǐng)求報(bào)文,所述報(bào)文中包含網(wǎng)關(guān)和服務(wù)器的共享值T3以 及網(wǎng)關(guān)標(biāo)識(shí);網(wǎng)關(guān)和服務(wù)器之間建立安全會(huì)話,并共享數(shù)值T3,T3在建立安全會(huì)話過(guò)程中由服 務(wù)器隨機(jī)生成,以后網(wǎng)關(guān)和平臺(tái)之間每交互一次,T3就加1,網(wǎng)關(guān)向節(jié)點(diǎn)發(fā)送報(bào)文,請(qǐng)求節(jié) 點(diǎn)信息,報(bào)文中攜帶網(wǎng)關(guān)和平臺(tái)共享的值T3以及網(wǎng)關(guān)的標(biāo)識(shí)ID2。A2、所述節(jié)點(diǎn)將待加密數(shù)據(jù),包括T3、網(wǎng)關(guān)標(biāo)識(shí)和節(jié)點(diǎn)生成的隨機(jī)數(shù)Tl用節(jié)點(diǎn)和 服務(wù)器共享的密鑰Kl加密,并將加密后的數(shù)據(jù)以及節(jié)點(diǎn)標(biāo)識(shí)通過(guò)網(wǎng)關(guān)發(fā)送給服務(wù)器;節(jié)點(diǎn)通過(guò)其和服務(wù)器共享的密鑰Kl加密如下信息T3,ID2和節(jié)點(diǎn)生成的隨機(jī)數(shù) Tl ;節(jié)點(diǎn)將加密后的信息和節(jié)點(diǎn)的標(biāo)識(shí)IDl —起發(fā)送給網(wǎng)關(guān);如果節(jié)點(diǎn)根據(jù)ID2應(yīng)用了安 全策略,判斷出應(yīng)用數(shù)據(jù)需要端到端機(jī)密性和/或完整性保護(hù),在所述的加密信息中也可 以增加需要端到端機(jī)密性和/或完整性保護(hù)的指示。網(wǎng)關(guān)向服務(wù)器發(fā)送節(jié)點(diǎn)加入網(wǎng)絡(luò)請(qǐng) 求,請(qǐng)求中攜帶節(jié)點(diǎn)發(fā)送給網(wǎng)關(guān)的加密信息和節(jié)點(diǎn)標(biāo)識(shí)IDl。A3、所述節(jié)點(diǎn)根據(jù)所述密鑰Kl對(duì)網(wǎng)關(guān)轉(zhuǎn)發(fā)的服務(wù)器加密后的數(shù)據(jù)進(jìn)行解密,根據(jù) 解密得到的Tl相關(guān)數(shù)確定所述服務(wù)器為合法服務(wù)器,并根據(jù)解密得到的新的密鑰與網(wǎng)關(guān) 建立安全通道。節(jié)點(diǎn)利用Kl解密所收到的加密信息,得到Tl相關(guān)數(shù),這里的Tl相關(guān)數(shù)是以Tl為 基礎(chǔ)的相關(guān)數(shù)據(jù),如Τ1+1,根據(jù)節(jié)點(diǎn)和服務(wù)器的協(xié)商規(guī)則,節(jié)點(diǎn)在獲得Τ1+1后,就可以判斷 服務(wù)器為合法服務(wù)器,同時(shí)獲取到服務(wù)器生成的密碼Κ2,這時(shí)節(jié)點(diǎn)和網(wǎng)關(guān)可以利用Κ2建立 安全通道進(jìn)行信息交互。實(shí)施例一采用節(jié)點(diǎn)接收網(wǎng)關(guān)發(fā)送的信息,所述信息中包含網(wǎng)關(guān)和服務(wù)器的共享值 Τ3以及網(wǎng)關(guān)標(biāo)識(shí),服務(wù)器可獲取只有最終節(jié)點(diǎn)才能生成的信息來(lái)驗(yàn)證節(jié)點(diǎn);所述節(jié)點(diǎn)將待 加密數(shù)據(jù)Τ3、網(wǎng)關(guān)標(biāo)識(shí)和節(jié)點(diǎn)生成的隨機(jī)數(shù)Tl用節(jié)點(diǎn)和服務(wù)器共享的密鑰加密,并將加密 后的數(shù)據(jù)以及節(jié)點(diǎn)標(biāo)識(shí)通過(guò)網(wǎng)關(guān)發(fā)送給服務(wù)器;所述節(jié)點(diǎn)根據(jù)所述密鑰對(duì)網(wǎng)關(guān)轉(zhuǎn)發(fā)的服務(wù) 器加密后的數(shù)據(jù)進(jìn)行解密,根據(jù)解密得到的Tl相關(guān)數(shù)確定所述服務(wù)器為合法服務(wù)器,并根 據(jù)解密得到的新的密鑰與網(wǎng)關(guān)建立安全通道,使得在不增加網(wǎng)關(guān)和服務(wù)器之間信息交互次 數(shù)的情況下,在網(wǎng)關(guān)和節(jié)點(diǎn)相互身份驗(yàn)證的過(guò)程中同時(shí)完成服務(wù)器對(duì)節(jié)點(diǎn)身份的驗(yàn)證,從 而降低了網(wǎng)關(guān)被黑客控制后的安全破壞能力,提高了安全性。
實(shí)施例二 參閱圖2,本發(fā)明實(shí)施例一提供實(shí)施例提供的一種網(wǎng)關(guān)、節(jié)點(diǎn)和服務(wù)器進(jìn)行鑒權(quán)的 方法,該方法包括Bi、服務(wù)器接收網(wǎng)關(guān)轉(zhuǎn)發(fā)的節(jié)點(diǎn)加密后的數(shù)據(jù)和節(jié)點(diǎn)標(biāo)識(shí);服務(wù)器接收網(wǎng)關(guān)發(fā)送的節(jié)點(diǎn)加入網(wǎng)絡(luò)請(qǐng)求,從請(qǐng)求中獲取節(jié)點(diǎn)標(biāo)識(shí)IDl和節(jié)點(diǎn)所 加密的數(shù)據(jù)。B2、所述服務(wù)器根據(jù)節(jié)點(diǎn)標(biāo)識(shí)確定節(jié)點(diǎn)和服務(wù)器共享的密鑰,并利用所述密鑰對(duì) 所述節(jié)點(diǎn)加密后的數(shù)據(jù)進(jìn)行解密;服務(wù)器根據(jù)IDl查找節(jié)點(diǎn)和服務(wù)器共享的密鑰K1,利用Kl解密節(jié)點(diǎn)所加密數(shù)據(jù)。B3、所述服務(wù)器根據(jù)解密得到的網(wǎng)關(guān)和服務(wù)器的共享值T3和網(wǎng)關(guān)標(biāo)識(shí),確定所述 節(jié)點(diǎn)為合法節(jié)點(diǎn),由于T3來(lái)源于服務(wù)器,而加密的密鑰只有合法節(jié)點(diǎn)有,所以非法的實(shí)體 不能產(chǎn)生所述正確的加密數(shù)據(jù),進(jìn)一步解密得到的T3和網(wǎng)關(guān)標(biāo)識(shí)可以確定節(jié)點(diǎn)的合法性, 并生成新的密鑰K2;服務(wù)器判斷解密后數(shù)據(jù)中能否獲取正確的網(wǎng)關(guān)標(biāo)識(shí)ID2以及服務(wù)器和網(wǎng)關(guān)共享 的值T3,如果能,則從解密數(shù)據(jù)中獲取節(jié)點(diǎn)生成的隨機(jī)數(shù)Tl,并生成密鑰K2,。因?yàn)門3來(lái)源 于服務(wù)器,而加密的密鑰只有合法節(jié)點(diǎn)有,所以非法的實(shí)體不能產(chǎn)生所述正確的加密數(shù)據(jù)。 如果解密后的數(shù)據(jù)中指示需要端到端機(jī)密性和/或完整性保護(hù),則加密內(nèi)容包含平臺(tái)生成 的隨機(jī)數(shù)T2,以便于節(jié)點(diǎn)根據(jù)T2生成用于機(jī)密性和/或完整性保護(hù)所需要的密鑰,或者平 臺(tái)進(jìn)行安全策略檢查,判斷出需要端到端機(jī)密性和/或完整性保護(hù),則加密內(nèi)容包含T2以 及端到端機(jī)密性和/或完整性保護(hù)指示,以便于節(jié)點(diǎn)根據(jù)T2生成用于機(jī)密性和/或完整性 保護(hù)所需要的密鑰。B4、所述服務(wù)器用所述節(jié)點(diǎn)和服務(wù)器共享的密鑰Kl對(duì)所述新的密鑰K2和Tl相關(guān) 數(shù)進(jìn)行加密,并將加密后的數(shù)據(jù)通過(guò)網(wǎng)關(guān)發(fā)送給所述節(jié)點(diǎn);服務(wù)器返回應(yīng)答,表示節(jié)點(diǎn)可以加入網(wǎng)絡(luò),應(yīng)答中包含服務(wù)器加密后的數(shù)據(jù)和K2。實(shí)施例二服務(wù)器接收網(wǎng)關(guān)轉(zhuǎn)發(fā)的節(jié)點(diǎn)加密后的數(shù)據(jù)和節(jié)點(diǎn)標(biāo)識(shí);所述服務(wù)器根據(jù) 節(jié)點(diǎn)標(biāo)識(shí)確定節(jié)點(diǎn)和服務(wù)器共享的密鑰,并利用所述密鑰對(duì)所述節(jié)點(diǎn)加密后的數(shù)據(jù)進(jìn)行解 密;所述服務(wù)器根據(jù)解密得到的網(wǎng)關(guān)和服務(wù)器的共享值T3和網(wǎng)關(guān)標(biāo)識(shí),確定所述節(jié)點(diǎn)為合 法節(jié)點(diǎn),生成新的密鑰K2;所述服務(wù)器用所述節(jié)點(diǎn)和服務(wù)器共享的密鑰對(duì)所述新的密鑰和Tl相關(guān)數(shù)進(jìn)行 加密,并將加密后的數(shù)據(jù)通過(guò)網(wǎng)關(guān)發(fā)送給所述節(jié)點(diǎn),使得在不增加網(wǎng)關(guān)和服務(wù)器之間信息 交互次數(shù)的情況下,在網(wǎng)關(guān)和節(jié)點(diǎn)相互身份驗(yàn)證的過(guò)程中同時(shí)完成服務(wù)器對(duì)節(jié)點(diǎn)身份的驗(yàn) 證,從而降低了網(wǎng)關(guān)被黑客控制后的安全破壞能力,提高了安全性。實(shí)施例三參閱圖3,本發(fā)明實(shí)施例一提供一種節(jié)點(diǎn),該節(jié)點(diǎn)包括接收單元301,用于接收網(wǎng)關(guān)發(fā)送的信息,所述信息中包含網(wǎng)關(guān)和服務(wù)器的共享值 T3以及網(wǎng)關(guān)標(biāo)識(shí);T3在建立安全會(huì)話過(guò)程中由服務(wù)器隨機(jī)生成,以后網(wǎng)關(guān)和平臺(tái)之間每交 互一次,T3就加1,網(wǎng)關(guān)向節(jié)點(diǎn)發(fā)送報(bào)文,請(qǐng)求節(jié)點(diǎn)信息,報(bào)文中攜帶網(wǎng)關(guān)和平臺(tái)共享的值 T3以及網(wǎng)關(guān)的標(biāo)識(shí)ID2。加密發(fā)送單元302,用于將待加密數(shù)據(jù)T3、網(wǎng)關(guān)標(biāo)識(shí)和節(jié)點(diǎn)生成的隨機(jī)數(shù)Tl用節(jié)點(diǎn)和服務(wù)器共享的密鑰加密,并將加密后的數(shù)據(jù)以及節(jié)點(diǎn)標(biāo)識(shí)通過(guò)網(wǎng)關(guān)發(fā)送給服務(wù)器;節(jié) 點(diǎn)通過(guò)其和服務(wù)器共享的密鑰Kl加密如下信息T3,ID2和節(jié)點(diǎn)生成的隨機(jī)數(shù)Tl ;節(jié)點(diǎn)將 加密后的信息和節(jié)點(diǎn)的標(biāo)識(shí)IDl —起發(fā)送給網(wǎng)關(guān)。解密單元303,用于根據(jù)所述密鑰對(duì)網(wǎng)關(guān)轉(zhuǎn)發(fā)的服務(wù)器加密后的數(shù)據(jù)進(jìn)行解密,根 據(jù)解密得到的Tl相關(guān)數(shù),如Τ1+1,確定所述服務(wù)器為合法服務(wù)器,并根據(jù)解密得到的新的 密鑰與網(wǎng)關(guān)建立安全通道,節(jié)點(diǎn)利用Kl解密所收到的加密信息,通過(guò)Tl相關(guān)數(shù)驗(yàn)證信息的 合法性,同時(shí)獲取到服務(wù)器生成的密鑰Κ2,這時(shí)節(jié)點(diǎn)和網(wǎng)關(guān)可以利用Κ2建立安全通道進(jìn)行
信息交互。所述節(jié)點(diǎn)進(jìn)一步包括,判斷單元304,用于根據(jù)網(wǎng)關(guān)標(biāo)識(shí),判斷是否需要啟用端到 端的機(jī)密性和/或完整性保護(hù);如果節(jié)點(diǎn)根據(jù)ID2應(yīng)用了安全策略,判斷應(yīng)用數(shù)據(jù)是否需 要端到端機(jī)密性和/或完整性保護(hù),在所述的加密信息中也可以增加需要端到端機(jī)密性和 /或完整性保護(hù)的指示,網(wǎng)關(guān)向服務(wù)器發(fā)送節(jié)點(diǎn)加入網(wǎng)絡(luò)請(qǐng)求,請(qǐng)求中攜帶節(jié)點(diǎn)發(fā)送給網(wǎng)關(guān) 的加密信息和節(jié)點(diǎn)標(biāo)識(shí)IDl所述節(jié)點(diǎn)進(jìn)一步包括,生成單元305,用于根據(jù)解密得到的服務(wù)器生成的Τ2,這里 的Τ2即為實(shí)施例2Β3步驟中的Τ2,生成用于機(jī)密性和/或完整性保護(hù)所需要的密鑰。實(shí)施例三采用接收單元301接收網(wǎng)關(guān)發(fā)送的信息,所述信息中包含網(wǎng)關(guān)和服務(wù)器 的共享值Τ3以及網(wǎng)關(guān)標(biāo)識(shí);加密發(fā)送單元302將待加密數(shù)據(jù)Τ3、網(wǎng)關(guān)標(biāo)識(shí)和節(jié)點(diǎn)生成的隨 機(jī)數(shù)Tl用節(jié)點(diǎn)和服務(wù)器共享的密鑰加密,并將加密后的數(shù)據(jù)以及節(jié)點(diǎn)標(biāo)識(shí)通過(guò)網(wǎng)關(guān)發(fā)送 給服務(wù)器;解密單元303根據(jù)所述密鑰對(duì)網(wǎng)關(guān)轉(zhuǎn)發(fā)的服務(wù)器加密后的數(shù)據(jù)進(jìn)行解密,根據(jù) 解密得到的Tl相關(guān)數(shù)確定所述服務(wù)器為合法服務(wù)器,并根據(jù)解密得到的新的密鑰與網(wǎng)關(guān) 建立安全通道,使得在不增加網(wǎng)關(guān)和服務(wù)器之間信息交互次數(shù)的情況下,在網(wǎng)關(guān)和節(jié)點(diǎn)相 互身份驗(yàn)證的過(guò)程中同時(shí)完成服務(wù)器對(duì)節(jié)點(diǎn)身份的驗(yàn)證,從而降低了網(wǎng)關(guān)被黑客控制后的 安全破壞能力,提高了安全性。實(shí)施例四參閱圖4,本發(fā)明實(shí)施例一提供一種服務(wù)器,該服務(wù)器包括接收單元401,用于接收網(wǎng)關(guān)轉(zhuǎn)發(fā)的節(jié)點(diǎn)加密后的數(shù)據(jù)和節(jié)點(diǎn)標(biāo)識(shí);服務(wù)器接收 網(wǎng)關(guān)發(fā)送的節(jié)點(diǎn)加入網(wǎng)絡(luò)請(qǐng)求,從請(qǐng)求中獲取節(jié)點(diǎn)標(biāo)識(shí)IDl和節(jié)點(diǎn)所加密的數(shù)據(jù)。解密單元402,用于根據(jù)節(jié)點(diǎn)標(biāo)識(shí)確定節(jié)點(diǎn)和服務(wù)器共享的密鑰,并利用所述密鑰 對(duì)所述節(jié)點(diǎn)加密后的數(shù)據(jù)進(jìn)行解密;服務(wù)器根據(jù)IDl查找節(jié)點(diǎn)和服務(wù)器共享的密鑰Κ1,利 用Kl解密節(jié)點(diǎn)所加密數(shù)據(jù)。確定生成單元403,用于根據(jù)解密得到的網(wǎng)關(guān)和服務(wù)器的共享值Τ3和網(wǎng)關(guān)標(biāo)識(shí), 確定所述節(jié)點(diǎn)為合法節(jié)點(diǎn),并解密得到Tl,生成新的密鑰;服務(wù)器判斷解密后數(shù)據(jù)中能否 獲取正確的網(wǎng)關(guān)標(biāo)識(shí)ID2以及服務(wù)器和網(wǎng)關(guān)共享的值Τ3,如果能,則從解密數(shù)據(jù)中獲取節(jié) 點(diǎn)生成的隨機(jī)數(shù)Tl,生成密鑰Κ2,利用Kl加密Κ2和Τ1+1,如果解密后的數(shù)據(jù)中指示需要端 到端機(jī)密性和/或完整性保護(hù),則加密內(nèi)容包含平臺(tái)生成的隨機(jī)數(shù)Τ2,或者平臺(tái)進(jìn)行安全 策略檢查,判斷出需要端到端機(jī)密性和/或完整性保護(hù),則加密內(nèi)容包含Τ2以及端到端機(jī) 密性和/或完整性保護(hù)指示。加密發(fā)送單元404,用于用所述節(jié)點(diǎn)和服務(wù)器共享的密鑰對(duì)所述新的密鑰和Tl相 關(guān)數(shù)進(jìn)行加密,并將加密后的數(shù)據(jù)通過(guò)網(wǎng)關(guān)發(fā)送給所述節(jié)點(diǎn),服務(wù)器返回應(yīng)答,表示節(jié)點(diǎn)可以加入網(wǎng)絡(luò),應(yīng)答中包含服務(wù)器加密后的數(shù)據(jù)和K2。所述加密發(fā)送單元404進(jìn)一步用于,確定解密后的數(shù)據(jù)中包含需要端到端機(jī)密性 和/或完整性保護(hù)的指示,則加密內(nèi)容包含服務(wù)器生成的隨機(jī)數(shù)T2 ;或,進(jìn)行安全策略檢 查,判斷出需要端到端機(jī)密性和/或完整性保護(hù),則加密內(nèi)容包含服務(wù)器生成的隨機(jī)數(shù)T2。實(shí)施例四采用接收單元401接收網(wǎng)關(guān)轉(zhuǎn)發(fā)的節(jié)點(diǎn)加密后的數(shù)據(jù)和節(jié)點(diǎn)標(biāo)識(shí);解密 單元402根據(jù)節(jié)點(diǎn)標(biāo)識(shí)確定節(jié)點(diǎn)和服務(wù)器共享的密鑰,并利用所述密鑰對(duì)所述節(jié)點(diǎn)加密后 的數(shù)據(jù)進(jìn)行解密;確定生成單元403根據(jù)解密得到的網(wǎng)關(guān)和服務(wù)器的共享值T3和網(wǎng)關(guān)標(biāo) 識(shí),確定所述節(jié)點(diǎn)為合法節(jié)點(diǎn),并解密得到Tl,生成新的密鑰;加密發(fā)送單元404用所述節(jié) 點(diǎn)和服務(wù)器共享的密鑰對(duì)所述新的密鑰和Tl相關(guān)數(shù)進(jìn)行加密,并將加密后的數(shù)據(jù)通過(guò)網(wǎng) 關(guān)發(fā)送給所述節(jié)點(diǎn),使得在不增加網(wǎng)關(guān)和服務(wù)器之間信息交互次數(shù)的情況下,在網(wǎng)關(guān)和節(jié) 點(diǎn)相互身份驗(yàn)證的過(guò)程中同時(shí)完成服務(wù)器對(duì)節(jié)點(diǎn)身份的驗(yàn)證,從而降低了網(wǎng)關(guān)被黑客控制 后的安全破壞能力,提高了安全性。實(shí)施例五參閱圖5,本發(fā)明實(shí)施例一提供網(wǎng)關(guān)、節(jié)點(diǎn)和服務(wù)器進(jìn)行鑒權(quán)的系統(tǒng),該系統(tǒng)包 括節(jié)點(diǎn)501,用于接收網(wǎng)關(guān)發(fā)送的信息,所述信息中包含網(wǎng)關(guān)和服務(wù)器的共享值T3 以及網(wǎng)關(guān)標(biāo)識(shí);將待加密數(shù)據(jù)T3、網(wǎng)關(guān)標(biāo)識(shí)和節(jié)點(diǎn)生成的隨機(jī)數(shù)Tl用節(jié)點(diǎn)和服務(wù)器共享的 密鑰加密,并將加密后的數(shù)據(jù)以及節(jié)點(diǎn)標(biāo)識(shí)通過(guò)網(wǎng)關(guān)發(fā)送給服務(wù)器;根據(jù)所述密鑰對(duì)網(wǎng)關(guān) 轉(zhuǎn)發(fā)的服務(wù)器加密后的數(shù)據(jù)進(jìn)行解密,根據(jù)解密得到的Tl相關(guān)數(shù),如T1+1,確定所述服務(wù) 器為合法服務(wù)器,并根據(jù)解密得到的新的密鑰與網(wǎng)關(guān)建立安全通道,具體處理過(guò)程參考實(shí) 施例一,這里不在贅述。服務(wù)器502,用于接收網(wǎng)關(guān)轉(zhuǎn)發(fā)的節(jié)點(diǎn)加密后的數(shù)據(jù)和節(jié)點(diǎn)標(biāo)識(shí);根據(jù)節(jié)點(diǎn)標(biāo)識(shí) 確定節(jié)點(diǎn)和服務(wù)器共享的密鑰,并利用所述密鑰對(duì)所述節(jié)點(diǎn)加密后的數(shù)據(jù)進(jìn)行解密;根據(jù) 解密得到的網(wǎng)關(guān)和服務(wù)器的共享值T3和網(wǎng)關(guān)標(biāo)識(shí),確定所述節(jié)點(diǎn)為合法節(jié)點(diǎn),并解密得到 Tl,生成新的密鑰;用所述節(jié)點(diǎn)和服務(wù)器共享的密鑰對(duì)所述新的密鑰和Tl相關(guān)數(shù)進(jìn)行加 密,并將加密后的數(shù)據(jù)通過(guò)網(wǎng)關(guān)發(fā)送給所述節(jié)點(diǎn),具體處理過(guò)程參考實(shí)施例二,這里不在贅 述。所述系統(tǒng)進(jìn)一步包括,網(wǎng)關(guān)503,用于用于向所述節(jié)點(diǎn)發(fā)送消息,所述信息中包含 網(wǎng)關(guān)和服務(wù)器的共享值T3以及網(wǎng)關(guān)標(biāo)識(shí),接收并轉(zhuǎn)發(fā)節(jié)點(diǎn)發(fā)送的加密后的數(shù)據(jù);接收并轉(zhuǎn) 發(fā)服務(wù)器加密后的數(shù)據(jù)。實(shí)施例五采用節(jié)點(diǎn)將待加密數(shù)據(jù)T3、網(wǎng)關(guān)標(biāo)識(shí)和節(jié)點(diǎn)生成的隨機(jī)數(shù)Tl用節(jié)點(diǎn)和 服務(wù)器共享的密鑰加密,并將加密后的數(shù)據(jù)以及節(jié)點(diǎn)標(biāo)識(shí)通過(guò)網(wǎng)關(guān)發(fā)送給服務(wù)器;服務(wù)器 根據(jù)節(jié)點(diǎn)標(biāo)識(shí)確定節(jié)點(diǎn)和服務(wù)器共享的密鑰,并利用所述密鑰對(duì)所述節(jié)點(diǎn)加密后的數(shù)據(jù)進(jìn) 行解密;所述服務(wù)器根據(jù)解密得到的網(wǎng)關(guān)和服務(wù)器的共享值T3和網(wǎng)關(guān)標(biāo)識(shí),確定所述節(jié)點(diǎn) 為合法節(jié)點(diǎn),并解密得到Tl,生成新的密鑰,節(jié)點(diǎn)根據(jù)所述密鑰對(duì)網(wǎng)關(guān)轉(zhuǎn)發(fā)的服務(wù)器加密后 的數(shù)據(jù)進(jìn)行解密,根據(jù)解密得到的Tl相關(guān)數(shù)確定所述服務(wù)器為合法服務(wù)器,并根據(jù)解密得 到的新的密鑰與網(wǎng)關(guān)建立安全通道,使得在不增加網(wǎng)關(guān)和服務(wù)器之間信息交互次數(shù)的情況 下,在網(wǎng)關(guān)和節(jié)點(diǎn)相互身份驗(yàn)證的過(guò)程中同時(shí)完成服務(wù)器對(duì)節(jié)點(diǎn)身份的驗(yàn)證,從而降低了 網(wǎng)關(guān)被黑客控制后的安全破壞能力,提高了安全性。
實(shí)施例六參閱圖6,本發(fā)明實(shí)施例一提供實(shí)施例提供的一種網(wǎng)關(guān)、節(jié)點(diǎn)和服務(wù)器進(jìn)行鑒權(quán)的 方法具體實(shí)現(xiàn)過(guò)程,網(wǎng)絡(luò)具體包括M2M網(wǎng)關(guān),M2M平臺(tái),節(jié)點(diǎn),具體過(guò)程為601、節(jié)點(diǎn)向M2M網(wǎng)關(guān)發(fā)送加入網(wǎng)絡(luò)請(qǐng)求;這里可以以廣播的方式向M2M網(wǎng)關(guān)發(fā)送加入網(wǎng)絡(luò)請(qǐng)求;602、M2M網(wǎng)關(guān)向節(jié)點(diǎn)發(fā)送響應(yīng),表明加入網(wǎng)絡(luò)需要驗(yàn)證過(guò)程,同時(shí)將網(wǎng)關(guān)和平臺(tái)之 間共享的值11111以及網(wǎng)關(guān)的標(biāo)識(shí)gatewayl發(fā)送給節(jié)點(diǎn),11111在建立安全會(huì)話過(guò)程中由 M2M平臺(tái)隨機(jī)生成,以后網(wǎng)關(guān)和平臺(tái)之間每交互一次,11111就加1。603、節(jié)點(diǎn)向M2M網(wǎng)關(guān)發(fā)送驗(yàn)證請(qǐng)求;其中包含了用節(jié)點(diǎn)和平臺(tái)共享的密鑰Kl所加密的gatewayl,11111和節(jié)點(diǎn)生成的 隨機(jī)數(shù)12345 ;同時(shí)還有明文發(fā)送的節(jié)點(diǎn)標(biāo)識(shí)nodel ;可選的,如果節(jié)點(diǎn)根據(jù)gatewayl應(yīng)用了安全策略,判斷出應(yīng)用數(shù)據(jù)需要端到端機(jī) 密性和/或完整性保護(hù),在所述的加密數(shù)據(jù)中也可以增加需要端到端機(jī)密性和/或完整性 保護(hù)的指示“need”;604、M2M網(wǎng)關(guān)向M2M平臺(tái)發(fā)送節(jié)點(diǎn)加入網(wǎng)絡(luò)請(qǐng)求;其中包含了步驟603中節(jié)點(diǎn)加密的數(shù)據(jù)以及節(jié)點(diǎn)標(biāo)識(shí)nodel ;605、M2M平臺(tái)對(duì)節(jié)點(diǎn)加密后的數(shù)據(jù)進(jìn)行解密;M2M平臺(tái)根據(jù)nodel查找到K1,用Kl解密節(jié)點(diǎn)加密的數(shù)據(jù),根據(jù)得到網(wǎng)關(guān)標(biāo)識(shí) gatewayl,網(wǎng)關(guān)和平臺(tái)之間共享的值11111,判斷節(jié)點(diǎn)為合法節(jié)點(diǎn),不存在安全問(wèn)題,驗(yàn)證通 過(guò),進(jìn)一步從解密數(shù)據(jù)中獲取節(jié)點(diǎn)生成的隨機(jī)數(shù)12345加1后得到12346,然后生成密鑰 K2,用 Kl 加密 K2 和 12346 ;可選的,如果解密后的數(shù)據(jù)中指示需要端到端機(jī)密性和/或完整性保護(hù),則加密 內(nèi)容包含平臺(tái)生成的隨機(jī)數(shù)22222 ;606、M2M平臺(tái)向M2M網(wǎng)關(guān)返回加入網(wǎng)絡(luò)請(qǐng)求響應(yīng);該加入網(wǎng)絡(luò)請(qǐng)求響應(yīng)表示節(jié)點(diǎn)可以加入網(wǎng)絡(luò),其中包含了用Kl加密的K2和 12346,還有單獨(dú)的K2,M2M平臺(tái)將和網(wǎng)關(guān)之間共享的值11111加1得到11112 ;607、M2M網(wǎng)關(guān)將M2M平臺(tái)加密的數(shù)據(jù)發(fā)給節(jié)點(diǎn);M2M網(wǎng)關(guān)收到應(yīng)答,得到K2,同時(shí)將和M2M平臺(tái)之間共享的值11111加1,得到 11112 ;將M2M平臺(tái)加密的數(shù)據(jù)包含在驗(yàn)證請(qǐng)求響應(yīng)中發(fā)送給節(jié)點(diǎn);608、節(jié)點(diǎn)對(duì)M2M平臺(tái)加密后的數(shù)據(jù)進(jìn)行解密;節(jié)點(diǎn)收到驗(yàn)證應(yīng)答,用Kl解密數(shù)據(jù),得到K2和值12346,根據(jù)12346判斷網(wǎng)關(guān)身份 正確,沒(méi)有安全問(wèn)題,然后利用K2和網(wǎng)關(guān)協(xié)商安全通道進(jìn)行后續(xù)的信息交互。可選的,根據(jù)22222進(jìn)一步按和M2M平臺(tái)一樣的規(guī)則生成用于機(jī)密性和/或完整 性保護(hù)所需要的密鑰K3。本發(fā)明在不增加網(wǎng)關(guān)和服務(wù)器之間信息交互次數(shù)的情況下,在網(wǎng)關(guān)和節(jié)點(diǎn)相互身 份驗(yàn)證的過(guò)程中同時(shí)完成服務(wù)器對(duì)節(jié)點(diǎn)身份的驗(yàn)證,從而降低了網(wǎng)關(guān)被黑客控制后的安全 破壞能力,提高了安全性。實(shí)施例7 參閱圖7,本發(fā)明實(shí)施例一提供實(shí)施例提供的一種網(wǎng)關(guān)、節(jié)點(diǎn)和服務(wù)器進(jìn)行鑒權(quán)的
10方法具體實(shí)現(xiàn)過(guò)程,具體包括M2M網(wǎng)關(guān),M2M平臺(tái),節(jié)點(diǎn),假設(shè)網(wǎng)關(guān)被黑客攻擊,黑客偽造一 個(gè)網(wǎng)關(guān)標(biāo)識(shí),具體過(guò)程為701、節(jié)點(diǎn)向M2M網(wǎng)關(guān)發(fā)送加入網(wǎng)絡(luò)請(qǐng)求;這里可以以廣播的方式向M2M網(wǎng)關(guān)發(fā)送加入網(wǎng)絡(luò)請(qǐng)求;702、M2M網(wǎng)關(guān)向節(jié)點(diǎn)發(fā)送響應(yīng);表明加入網(wǎng)絡(luò)需要驗(yàn)證過(guò)程,同時(shí)將網(wǎng)關(guān)和平臺(tái)之間共享的值11111以及偽造網(wǎng) 關(guān)的標(biāo)識(shí)gateway〗發(fā)送給節(jié)點(diǎn),網(wǎng)關(guān)的真實(shí)標(biāo)識(shí)是gatewayl,11111在建立安全會(huì)話過(guò)程 中由服務(wù)器隨機(jī)生成,以后網(wǎng)關(guān)和平臺(tái)之間每交互一次,11111就加1。703、節(jié)點(diǎn)向M2M網(wǎng)關(guān)發(fā)送驗(yàn)證請(qǐng)求;其中包含了用節(jié)點(diǎn)和平臺(tái)共享的密鑰Kl所加密的gateway2,11111和節(jié)點(diǎn)生成的 隨機(jī)數(shù)12345 ;同時(shí)還有明文發(fā)送的節(jié)點(diǎn)標(biāo)識(shí)nodel ;704、M2M網(wǎng)關(guān)向M2M平臺(tái)發(fā)送節(jié)點(diǎn)加入網(wǎng)絡(luò)請(qǐng)求;其中包含了步驟703中節(jié)點(diǎn)加密的數(shù)據(jù)以及節(jié)點(diǎn)標(biāo)識(shí)nodel ;705、M2M平臺(tái)對(duì)節(jié)點(diǎn)加密后的數(shù)據(jù)進(jìn)行解密;M2M平臺(tái)根據(jù)nodel查找到Kl,用Kl解密節(jié)點(diǎn)加密的數(shù)據(jù),得到網(wǎng)關(guān)標(biāo)識(shí) gateway2,網(wǎng)關(guān)和平臺(tái)之間共享的值11111,判斷出解密得到的網(wǎng)關(guān)標(biāo)識(shí)和真實(shí)的網(wǎng)關(guān)標(biāo)識(shí) 不一致,驗(yàn)證失?。?06、M2M平臺(tái)向M2M網(wǎng)關(guān)返回拒絕節(jié)點(diǎn)加入網(wǎng)絡(luò)應(yīng)答;707、M2M網(wǎng)關(guān)收到應(yīng)答,偽造驗(yàn)證通過(guò)應(yīng)答發(fā)給節(jié)點(diǎn);708、節(jié)點(diǎn)對(duì)M2M平臺(tái)加密后的數(shù)據(jù)進(jìn)行解密;節(jié)點(diǎn)收到驗(yàn)證應(yīng)答,用Kl解密數(shù)據(jù),由于驗(yàn)證應(yīng)答中的加密數(shù)據(jù)是M2M網(wǎng)關(guān)偽造, 因此節(jié)點(diǎn)解密數(shù)據(jù)后得不到步驟3節(jié)點(diǎn)所生成的隨機(jī)數(shù)12345加1后的值12346,節(jié)點(diǎn)判斷 驗(yàn)證應(yīng)答無(wú)效,加入網(wǎng)絡(luò)失敗。本發(fā)明有效防止了網(wǎng)關(guān)偽造自己身份,從而節(jié)點(diǎn)可以根據(jù)網(wǎng)關(guān)身份應(yīng)用配置在節(jié) 點(diǎn)上的安全策略,避免因此產(chǎn)生的安全問(wèn)題。實(shí)施例八參閱圖8,本發(fā)明實(shí)施例一提供實(shí)施例提供的一種網(wǎng)關(guān)、節(jié)點(diǎn)和服務(wù)器進(jìn)行鑒權(quán)的 方法具體實(shí)現(xiàn)過(guò)程,具體包括M2M網(wǎng)關(guān),M2M平臺(tái),節(jié)點(diǎn),假設(shè)節(jié)點(diǎn)為偽造節(jié)點(diǎn),具體過(guò)程為801、節(jié)點(diǎn)向M2M網(wǎng)關(guān)發(fā)送加入網(wǎng)絡(luò)請(qǐng)求;這里可以以廣播的方式向M2M網(wǎng)關(guān)發(fā)送加入網(wǎng)絡(luò)請(qǐng)求;802、M2M網(wǎng)關(guān)向節(jié)點(diǎn)發(fā)送響應(yīng);表明加入網(wǎng)絡(luò)需要驗(yàn)證過(guò)程,同時(shí)將網(wǎng)關(guān)和平臺(tái)之間共享的值11111以及網(wǎng)關(guān)的 標(biāo)識(shí)gatewayl發(fā)送給節(jié)點(diǎn),11111在建立安全會(huì)話過(guò)程中由服務(wù)器隨機(jī)生成,以后網(wǎng)關(guān)和 平臺(tái)之間每交互一次,11111就加1。803、節(jié)點(diǎn)向M2M網(wǎng)關(guān)發(fā)送驗(yàn)證請(qǐng)求;其中包含了用節(jié)點(diǎn)和平臺(tái)共享的密鑰Kl所加密的gatewayl,11111和節(jié)點(diǎn)生成的 隨機(jī)數(shù)12345 ;同時(shí)還有偽造節(jié)點(diǎn)標(biāo)識(shí)node2,真實(shí)節(jié)點(diǎn)標(biāo)識(shí)為nodel ;804、M2M網(wǎng)關(guān)向M2M平臺(tái)發(fā)送節(jié)點(diǎn)加入網(wǎng)絡(luò)請(qǐng)求;其中包含了步驟803中節(jié)點(diǎn)加密的數(shù)據(jù)以及節(jié)點(diǎn)標(biāo)識(shí)node2,如果是網(wǎng)關(guān)假冒節(jié)點(diǎn)加入網(wǎng)絡(luò)情況,前面3個(gè)步驟不存在,網(wǎng)關(guān)需要偽造節(jié)點(diǎn)加密的數(shù)據(jù);805、M2M平臺(tái)對(duì)節(jié)點(diǎn)加密后的數(shù)據(jù)進(jìn)行解密;M2M平臺(tái)根據(jù)node2查找到M2M平臺(tái)和節(jié)點(diǎn)node2共享密鑰K3,用K3解密節(jié)點(diǎn)加密的數(shù)據(jù),不能正確得出網(wǎng)關(guān)標(biāo)識(shí)gatewayl和網(wǎng)關(guān)和平臺(tái)共享 的值11111,驗(yàn)證失??;806、M2M平臺(tái)向M2M網(wǎng)關(guān)返回拒絕節(jié)點(diǎn)加入網(wǎng)絡(luò)應(yīng)答,如果網(wǎng)關(guān)假冒節(jié)點(diǎn)加入網(wǎng) 絡(luò),流程在這里就結(jié)束;807、M2M網(wǎng)關(guān)收到應(yīng)答,返回驗(yàn)證失敗應(yīng)答給節(jié)點(diǎn);808、節(jié)點(diǎn)收到驗(yàn)證失敗應(yīng)答,加入網(wǎng)絡(luò)失敗。本發(fā)明有效防止了假冒節(jié)點(diǎn)或網(wǎng)關(guān)假冒節(jié)點(diǎn)加入網(wǎng)絡(luò),避免因此產(chǎn)生的安全問(wèn)題。通過(guò)以上的實(shí)施方式的描述,本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方 法中的全部或部分步驟是可以通過(guò)程序來(lái)指令相關(guān)的硬件來(lái)完成,所述的程序可以存儲(chǔ)于 一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中,該程序在執(zhí)行時(shí),包括如上述方法實(shí)施例的步驟,所述的存儲(chǔ) 介質(zhì),如ROM/RAM、磁碟、光盤等。以上所述,僅為本發(fā)明的具體實(shí)施方式
,但本發(fā)明的保護(hù)范圍并不局限于此,任何 熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到變化或替換,都應(yīng)涵 蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此,本發(fā)明的保護(hù)范圍應(yīng)以權(quán)利要求的保護(hù)范圍為準(zhǔn)。
權(quán)利要求
1.一種網(wǎng)關(guān)、節(jié)點(diǎn)和服務(wù)器進(jìn)行鑒權(quán)的方法,其特征在于,節(jié)點(diǎn)接收網(wǎng)關(guān)發(fā)送的請(qǐng)求報(bào)文,所述報(bào)文中包含網(wǎng)關(guān)和服務(wù)器的共享值T3以及網(wǎng)關(guān) 標(biāo)識(shí);所述節(jié)點(diǎn)將待加密數(shù)據(jù),包括T3、網(wǎng)關(guān)標(biāo)識(shí)和節(jié)點(diǎn)生成的隨機(jī)數(shù)Tl用節(jié)點(diǎn)和服務(wù)器共 享的密鑰Kl加密,并將加密后的數(shù)據(jù)以及節(jié)點(diǎn)標(biāo)識(shí)通過(guò)網(wǎng)關(guān)發(fā)送給服務(wù)器;所述節(jié)點(diǎn)根據(jù)所述密鑰對(duì)網(wǎng)關(guān)轉(zhuǎn)發(fā)的服務(wù)器加密后的數(shù)據(jù)進(jìn)行解密,根據(jù)解密得到的 Tl相關(guān)數(shù)確定所述服務(wù)器為合法服務(wù)器,并根據(jù)解密得到的新的密鑰與網(wǎng)關(guān)建立安全通 道。
2.如權(quán)利要求1所述的方法,其特征在于,所述方法進(jìn)一步包括,根據(jù)網(wǎng)關(guān)標(biāo)識(shí),確定網(wǎng)關(guān)應(yīng)用安全策略,則將需要啟用端到端機(jī)密性和/或完整性保 護(hù)的指示加入所述待加密數(shù)據(jù)。
3.如權(quán)利要求1所述的方法,其特征在于,所述方法進(jìn)一步包括,根據(jù)解密得到的服務(wù)器生成的T2,生成用于機(jī)密性和/或完整性保護(hù)所需要的密鑰。
4.一種網(wǎng)關(guān)、節(jié)點(diǎn)和服務(wù)器進(jìn)行鑒權(quán)的方法,其特征在于,服務(wù)器接收網(wǎng)關(guān)轉(zhuǎn)發(fā)的節(jié)點(diǎn)加密后的數(shù)據(jù)和節(jié)點(diǎn)標(biāo)識(shí);所述服務(wù)器根據(jù)節(jié)點(diǎn)標(biāo)識(shí)確定節(jié)點(diǎn)和服務(wù)器共享的密鑰,并利用所述密鑰對(duì)所述節(jié)點(diǎn) 加密后的數(shù)據(jù)進(jìn)行解密;所述服務(wù)器根據(jù)解密得到的網(wǎng)關(guān)和服務(wù)器的共享值T3和網(wǎng)關(guān)標(biāo)識(shí),確定所述節(jié)點(diǎn)為 合法節(jié)點(diǎn),生成新的密鑰;所述服務(wù)器用所述節(jié)點(diǎn)和服務(wù)器共享的密鑰對(duì)所述新的密鑰和Tl關(guān)聯(lián)數(shù)進(jìn)行加密, 并將加密后的數(shù)據(jù)通過(guò)網(wǎng)關(guān)發(fā)送給所述節(jié)點(diǎn)。
5.如權(quán)利要求1所述的方法,其特征在于,所述方法進(jìn)一步包括,如解密后的數(shù)據(jù)中包含需要端到端機(jī)密性和/或完整性保護(hù)的指示,則加密內(nèi)容包含 服務(wù)器生成的隨機(jī)數(shù)T2,以便于節(jié)點(diǎn)根據(jù)T2生成用于機(jī)密性和/或完整性保護(hù)所需要的密 鑰;或,服務(wù)器進(jìn)行安全策略檢查,判斷出需要端到端機(jī)密性和/或完整性保護(hù),則加密內(nèi)容 包含服務(wù)器生成的隨機(jī)數(shù)T2,以便于節(jié)點(diǎn)根據(jù)T2生成用于機(jī)密性和/或完整性保護(hù)所需要 的密鑰。
6.一種節(jié)點(diǎn),其特征在于,所述節(jié)點(diǎn)包括,接收單元,用于接收網(wǎng)關(guān)發(fā)送的請(qǐng)求報(bào)文,所述報(bào)文中包含網(wǎng)關(guān)和服務(wù)器的共享值T3 以及網(wǎng)關(guān)標(biāo)識(shí);加密發(fā)送單元,用于將待加密數(shù)據(jù),包括T3、網(wǎng)關(guān)標(biāo)識(shí)和節(jié)點(diǎn)生成的隨機(jī)數(shù)Tl用節(jié)點(diǎn) 和服務(wù)器共享的密鑰Kl加密,并將加密后的數(shù)據(jù)以及節(jié)點(diǎn)標(biāo)識(shí)通過(guò)網(wǎng)關(guān)發(fā)送給服務(wù)器;解密單元,用于根據(jù)所述密鑰對(duì)網(wǎng)關(guān)轉(zhuǎn)發(fā)的服務(wù)器加密后的數(shù)據(jù)進(jìn)行解密,根據(jù)解密 得到的Tl+相關(guān)數(shù)確定所述服務(wù)器為合法服務(wù)器,并根據(jù)解密得到的新的密鑰與網(wǎng)關(guān)建立 安全通道。
7.如權(quán)利要求1所述的節(jié)點(diǎn),其特征在于,所述節(jié)點(diǎn)進(jìn)一步包括,確定單元,根據(jù)網(wǎng)關(guān)標(biāo)識(shí),確定網(wǎng)關(guān)應(yīng)用安全策略,則將需要啟用端到端機(jī)密性和/或 完整性保護(hù)的指示加入所述待加密數(shù)據(jù)。
8.如權(quán)利要求1所述的節(jié)點(diǎn),其特征在于,所述節(jié)點(diǎn)進(jìn)一步包括,生成單元,用于根據(jù)解密得到的服務(wù)器生成的T2,生成用于機(jī)密性和/或完整性保護(hù) 所需要的密鑰。
9.一種服務(wù)器,其特征在于,所述服務(wù)器包括,接收單元,用于接收網(wǎng)關(guān)轉(zhuǎn)發(fā)的節(jié)點(diǎn)加密后的數(shù)據(jù)和節(jié)點(diǎn)標(biāo)識(shí);解密單元,用于根據(jù)節(jié)點(diǎn)標(biāo)識(shí)確定節(jié)點(diǎn)和服務(wù)器共享的密鑰,并利用所述密鑰對(duì)所述 節(jié)點(diǎn)加密后的數(shù)據(jù)進(jìn)行解密;確定生成單元,用于根據(jù)解密得到的網(wǎng)關(guān)和服務(wù)器的共享值T3和網(wǎng)關(guān)標(biāo)識(shí),確定所述 節(jié)點(diǎn)為合法節(jié)點(diǎn),生成新的密鑰;加密發(fā)送單元,用于用所述節(jié)點(diǎn)和服務(wù)器共享的密鑰對(duì)所述新的密鑰和Tl相關(guān)數(shù)進(jìn) 行加密,并將加密后的數(shù)據(jù)通過(guò)網(wǎng)關(guān)發(fā)送給所述節(jié)點(diǎn)。
10.如權(quán)利要求9所述的服務(wù)器,其特征在于,所述加密發(fā)送單元進(jìn)一步用于,確定解密后的數(shù)據(jù)中包含需要端到端機(jī)密性和/或完整性保護(hù)的指示,則加密內(nèi)容包 含服務(wù)器生成的隨機(jī)數(shù)T2,以便于節(jié)點(diǎn)根據(jù)T2生成用于機(jī)密性和/或完整性保護(hù)所需要的 密鑰;或,進(jìn)行安全策略檢查,判斷出需要端到端機(jī)密性和/或完整性保護(hù),則加密內(nèi)容包含服 務(wù)器生成的隨機(jī)數(shù)T2,以便于節(jié)點(diǎn)根據(jù)T2生成用于機(jī)密性和/或完整性保護(hù)所需要的密 鑰。
11.一種網(wǎng)關(guān)、節(jié)點(diǎn)和服務(wù)器進(jìn)行鑒權(quán)的系統(tǒng),其特征在于,所述系統(tǒng)包括,節(jié)點(diǎn),用于接收網(wǎng)關(guān)發(fā)送的請(qǐng)求報(bào)文,所述報(bào)文中包含網(wǎng)關(guān)和服務(wù)器的共享值T3以及 網(wǎng)關(guān)標(biāo)識(shí);將待加密數(shù)據(jù),包括T3、網(wǎng)關(guān)標(biāo)識(shí)和節(jié)點(diǎn)生成的隨機(jī)數(shù)Tl用節(jié)點(diǎn)和服務(wù)器共享 的密鑰Kl加密,并將加密后的數(shù)據(jù)以及節(jié)點(diǎn)標(biāo)識(shí)通過(guò)網(wǎng)關(guān)發(fā)送給服務(wù)器;根據(jù)所述密鑰對(duì) 網(wǎng)關(guān)轉(zhuǎn)發(fā)的服務(wù)器加密后的數(shù)據(jù)進(jìn)行解密,根據(jù)解密得到的Tl相關(guān)數(shù)確定所述服務(wù)器為 合法服務(wù)器,并根據(jù)解密得到的新的密鑰與網(wǎng)關(guān)建立安全通道;服務(wù)器,用于接收網(wǎng)關(guān)轉(zhuǎn)發(fā)的節(jié)點(diǎn)加密后的數(shù)據(jù)和節(jié)點(diǎn)標(biāo)識(shí);根據(jù)節(jié)點(diǎn)標(biāo)識(shí)確定節(jié)點(diǎn) 和服務(wù)器共享的密鑰,并利用所述密鑰對(duì)所述節(jié)點(diǎn)加密后的數(shù)據(jù)進(jìn)行解密;根據(jù)解密得到 的網(wǎng)關(guān)和服務(wù)器的共享值T3和網(wǎng)關(guān)標(biāo)識(shí),確定所述節(jié)點(diǎn)為合法節(jié)點(diǎn),生成新的密鑰;用所 述節(jié)點(diǎn)和服務(wù)器共享的密鑰對(duì)所述新的密鑰和T1+1進(jìn)行加密,并將加密后的數(shù)據(jù)通過(guò)網(wǎng) 關(guān)發(fā)送給所述節(jié)點(diǎn)。網(wǎng)關(guān),用于向所述節(jié)點(diǎn)發(fā)送消息,所述信息中包含網(wǎng)關(guān)和服務(wù)器的共享值T3以及網(wǎng)關(guān) 標(biāo)識(shí),接收并轉(zhuǎn)發(fā)節(jié)點(diǎn)發(fā)送的加密后的數(shù)據(jù);接收并轉(zhuǎn)發(fā)服務(wù)器加密后的數(shù)據(jù)。
全文摘要
本發(fā)明公開了一種網(wǎng)關(guān)、節(jié)點(diǎn)和服務(wù)器進(jìn)行鑒權(quán)的方法、裝置和系統(tǒng),采用節(jié)點(diǎn)接收網(wǎng)關(guān)發(fā)送的請(qǐng)求報(bào)文,所述報(bào)文中包含網(wǎng)關(guān)和服務(wù)器的共享值T3以及網(wǎng)關(guān)標(biāo)識(shí);所述節(jié)點(diǎn)將待加密數(shù)據(jù)包括T3、網(wǎng)關(guān)標(biāo)識(shí)和節(jié)點(diǎn)生成的隨機(jī)數(shù)T1用節(jié)點(diǎn)和服務(wù)器共享的密鑰K1加密,并將加密后的數(shù)據(jù)以及節(jié)點(diǎn)標(biāo)識(shí)通過(guò)網(wǎng)關(guān)發(fā)送給服務(wù)器;所述節(jié)點(diǎn)根據(jù)所述密鑰對(duì)網(wǎng)關(guān)轉(zhuǎn)發(fā)的服務(wù)器加密后的數(shù)據(jù)進(jìn)行解密,根據(jù)解密得到的T1相關(guān)數(shù)確定所述服務(wù)器為合法服務(wù)器,并根據(jù)解密得到的新的密鑰與網(wǎng)關(guān)建立安全通道,使得在不增加網(wǎng)關(guān)和服務(wù)器之間信息交互次數(shù)的情況下,在網(wǎng)關(guān)和節(jié)點(diǎn)相互身份驗(yàn)證的過(guò)程中同時(shí)完成服務(wù)器對(duì)節(jié)點(diǎn)身份的驗(yàn)證,從而降低了網(wǎng)關(guān)被黑客控制后的安全破壞能力,提高了安全性。
文檔編號(hào)H04L9/32GK102142961SQ201010219330
公開日2011年8月3日 申請(qǐng)日期2010年6月30日 優(yōu)先權(quán)日2010年6月30日
發(fā)明者丁傳鎖, 卞永剛, 張永靖, 牟倫建, 王玨, 黃成 申請(qǐng)人:華為技術(shù)有限公司