一種物聯(lián)網(wǎng)資源的數(shù)字簽名認證方法
【專利摘要】本發(fā)明涉及一種物聯(lián)網(wǎng)資源的數(shù)字簽名認證方法,該方法包括:資源訪問者根據(jù)第一訪問列表判斷其要訪問的資源是否存在�,如果存在,則向資源提供商發(fā)起再次訪問請求���,并將資源訪問者的URI����、上一次的會話密鑰以及認證憑證和上一次最后發(fā)送信息的時間戳所構(gòu)成的認證信息包進行哈希運算����,并將哈希運算結(jié)果連同資源訪問者信息進行數(shù)字簽名后發(fā)送給資源提供商;資源提供商在接收到來自資源訪問者的再次訪問請求后��,將接收的哈希運算結(jié)果與資源訪問者上一次的認證包信息進行哈希運算后的結(jié)果進行比對����,如果比對一致���,則通過認證,并產(chǎn)生對稱會話密鑰發(fā)送給所述資源訪問者�����;資源訪問者根據(jù)對稱密鑰訪問資源����。本發(fā)明優(yōu)化了資源訪問流程,提高了資源訪問效率及減輕了資源共享平臺驗證授權(quán)請求的壓力��。
【專利說明】一種物聯(lián)網(wǎng)資源的數(shù)字簽名認證方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及物聯(lián)網(wǎng)資源認證技術(shù)�����,特別涉及一種物聯(lián)網(wǎng)資源的數(shù)字簽名認證方法����。
【背景技術(shù)】
[0002]物聯(lián)網(wǎng)資源共享平臺是以數(shù)據(jù)采集中間件為基礎(chǔ)���,匯聚來自各行業(yè)的傳感器資源����,整合信息與服務(wù),并借助互聯(lián)網(wǎng)進行傳播���,建立全新的Mashup服務(wù)����,創(chuàng)造新的價值����。資源共享離不開安全機制,建立一套高效的安全機制�,是促進物聯(lián)網(wǎng)發(fā)展的重要保障。
[0003]在面向資源的架構(gòu)(Resource-Oriented Architecture, R0A)下的物聯(lián)網(wǎng)資源,擁有眾多的資源以及眾多的服務(wù)����,當前較成熟的安全機制采用認證和授權(quán)兩者結(jié)合的安全協(xié)議來規(guī)避風(fēng)險。OpenID (Open Identity)和 OAuth(Open Authentication)為兩種主流的web2.0安全協(xié)議�。OpenID協(xié)議的優(yōu)勢是一處注冊,處處通行���。在具體應(yīng)用中����,該優(yōu)勢也有其自身限制:即任何注冊O(shè)penID賬號的用戶��,不必經(jīng)過資源提供商授權(quán),便可訪問其資源���。OAuth協(xié)議彌補了 OpenID的不足,但也存在自身的問題:頻繁的令牌請求帶來的低效率���;資源訪問權(quán)限不可控等等。一種比較流行的趨勢是整合OpenID和OAuth協(xié)議各自優(yōu)勢,建立一套混合的安全體系模型����。該模型對身份驗證密鑰和資源授權(quán)密鑰進行了分離,初步實現(xiàn)了資源訪問權(quán)限的分級管理�。但是該體系中針對需要授權(quán)的資源,其申請流程較為復(fù)雜����,資源越權(quán)訪問風(fēng)險仍然存在。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的目的是緩解海量的資源訪問認證請求對資源共享平臺造成的壓力����。
[0005]為實現(xiàn)上述目的,本發(fā)明提供了一種物聯(lián)網(wǎng)資源的數(shù)字簽名認證方法���,應(yīng)用于由資源共享平臺、資源提供商和資源訪問者構(gòu)成的系統(tǒng)中�,該方法包括以下步驟:
[0006]資源訪問者根據(jù)第一訪問列表判斷其要訪問的資源是否存在��,如果存在����,則向所述資源提供商發(fā)起再次訪問請求�,并將所述資源訪問者的UR1、上一次的會話密鑰以及認證憑證和上一次最后發(fā)送信息的時間戳所構(gòu)成的認證信息包進行哈希運算����,并將哈希運算結(jié)果連同資源訪問者信息經(jīng)過數(shù)字簽名后發(fā)送給所述資源提供商;
[0007]所述資源提供商在接收到來自所述資源訪問者的再次訪問請求后�����,將接收的所述哈希運算結(jié)果與所述資源訪問者上一次的認證包信息進行哈希運算后的結(jié)果進行比對����,如果比對一致,則通過認證�����,并產(chǎn)生對稱會話密鑰發(fā)送給所述資源訪問者����;
[0008]所述資源訪問者根據(jù)所述對稱密鑰訪問資源�����。
[0009]本發(fā)明在OpenID和OAuth混合模型的基礎(chǔ)上加入了數(shù)字簽名與訪問列表機制�����,優(yōu)化了資源訪問流程���,提高了資源訪問效率及資源共享平臺性能;同時明確令牌訪問權(quán)限�����,提高系統(tǒng)安全性���。
【專利附圖】
【附圖說明】[0010]圖1為本發(fā)明實施例提供的資源共享平臺的安全體系結(jié)構(gòu)圖�。
【具體實施方式】
[0011]下面通過附圖和實施例���,對本發(fā)明的技術(shù)方案做進一步的詳細描述�。
[0012]圖1為本發(fā)明實施例提供的資源共享平臺的安全體系結(jié)構(gòu)圖���。如圖1所示����,該安全體系結(jié)構(gòu)有三大部份構(gòu)成�����,即資源訪問者(服務(wù))����、資源提供商(資源)和資源共享平臺。
[0013]在資源共享平臺部分����,OpenID模塊和OAuth模塊被整合在該資源共享平臺中,在驗證過程中也是采用融合的方式進行�,密鑰管理模塊作為一個相對獨立的模塊負責(zé)進行所有OpenID所對應(yīng)的密鑰的分發(fā)與收集工作。該資源共享平臺中的數(shù)據(jù)庫只存儲注冊信息以及密鑰����,不存儲服務(wù)與資源之間的訪問關(guān)系。
[0014]服務(wù)(即資源訪問者)部分包括OAuth客戶端�����、第一密鑰交換模塊和OpenID認證模塊。資源部分包括OAuth客戶端�����、第二密鑰交換模塊和OpenID認證模塊����。所有資源與服務(wù)不做區(qū)分,均由一個OpenID所代表�����,資源唯一不同于服務(wù)的一點是資源只作為資源提供商��,供其它服務(wù)讀取資源��。所有的資源與服務(wù)均有一個訪問列表(服務(wù)對應(yīng)第一訪問列表��,資源對應(yīng)第二訪問列表)來管理所訪問的資源以及被何種服務(wù)所訪問��。
[0015]第一訪問列表存儲自身作為資源提供商的訪問信息外��,還存儲自身作為資源訪問者所訪問的資源信息��,如表1所示���,其包括資源的OpenID���、類型���、UR1�����、申請到的令牌信息�、密鑰、安全級別以及發(fā)送信息的時間戳�。在資源訪問者要訪問曾經(jīng)訪問過的資源前,對該資源信息的摘要進行數(shù)字簽名并發(fā)送給資源提供商��,以便不通過資源共享平臺而直接建立與資源的信任關(guān)系���。通過這種方法可以減輕資源共享平臺面臨大量驗證授權(quán)請求的壓力���。
[0016]表1.客戶端的訪問列表(第一訪問列表) [0017]
【權(quán)利要求】
1.一種物聯(lián)網(wǎng)資源的數(shù)字簽名認證方法,應(yīng)用于由資源共享平臺��、資源提供商和資源訪問者構(gòu)成的系統(tǒng)中�����,其特征在于: 所述資源訪問者根據(jù)第一訪問列表判斷其要訪問的資源是否存在,如果存在�����,則向所述資源提供商發(fā)起再次訪問請求�,并將所述資源訪問者的UR1、上一次的會話密鑰以及認證憑證和上一次最后發(fā)送信息的時間戳所構(gòu)成的認證信息包進行哈希運算�����,并將哈希運算結(jié)果連同資源訪問者信息進行數(shù)字簽名后發(fā)送給所述資源提供商���; 所述資源提供商在接收到來自所述資源訪問者的再次訪問請求后��,將接收的所述哈希運算結(jié)果與所述資源訪問者上一次的認證包信息進行哈希運算后的結(jié)果進行比對��,如果比對一致�����,則通過認證���,并產(chǎn)生對稱會話密鑰發(fā)送給所述資源訪問者��; 所述資源訪問者根據(jù)所述對稱密鑰訪問資源���。
2.根據(jù)權(quán)利要求1所述的數(shù)字簽名認證方法,其特征在于:當所述第一訪問列表中不存在所述資源訪問者要訪問的資源時��,則通過所述資源共享平臺對所述資源訪問者進行認證��,其認證步驟包括: 所述資源共享平臺根據(jù)所述資源訪問者的身份信息查找所述資源訪問者的注冊信息��,若查找成功�,則向所述資源訪問者發(fā)送認證用URL信息����; 所述資源共享平臺根據(jù)被訪問資源的訪問權(quán)限向所述資源訪問者發(fā)送相應(yīng)的OAuth令牌; 所述資源訪問者根據(jù)所述OAuth令牌申請對所述資源提供商的訪問�; 所述資源提供商針對所述OAuth令牌進行驗證,如果驗證成功���,則交換RSA公鑰����; 所述資源提供商產(chǎn)生對稱會話密鑰�,并交換給所述資源訪問者�����; 所述的資源訪問者根據(jù)所述對稱會話密鑰開始訪問資源����。
3.根據(jù)權(quán)利要求2所述的方法�����,其特征在于:所述資源提供商產(chǎn)生對稱會話密鑰����,并通過DifTie-Hellman密鑰交換協(xié)議交換給所述資源訪問者。
4.根據(jù)權(quán)利要求1所述的方法����,其特征在于:所述第一訪問列表存儲包括資源的OpenID、類型����、UR1、申請到的令牌信息���、密鑰���、安全級別以及發(fā)送信息的時間戳中的一種或多種信息��。
5.根據(jù)權(quán)利要求2所述的方法���,其特征在于:在所述資源共享平臺對所述資源訪問者進行認證步驟前還包括注冊申請步驟,所述注冊申請步驟包括: 所述資源訪問者通過所述資源共享平臺申請注冊O(shè)penID����,并在申請前生成一對RSA非對稱密鑰,并將公鑰發(fā)送給所述資源共享平臺�; 所述資源訪問者提供自身的信息以及自身預(yù)留的隨機信息數(shù)字簽名后一并發(fā)送給所述資源共享平臺; 所述資源訪問者獲取并存儲所述資源共享平臺提供的OpenID�。
【文檔編號】H04L29/06GK103475666SQ201310436122
【公開日】2013年12月25日 申請日期:2013年9月23日 優(yōu)先權(quán)日:2013年9月23日
【發(fā)明者】趙汗青, 張宇, 趙志軍, 楊航, 楊子堯, 潘大慶, 蔡洋琰, 盧浩, 譚紅艷 申請人:中國科學(xué)院聲學(xué)研究所