物联网节点标识认证方法、装置、电子设备及存储介质转让专利
申请号 : CN202110257012.2
文献号 : CN112637249B
文献日 : 2021-12-14
发明人 : 周迪 , 徐爱华 , 贺正方 , 汪鹏君 , 焦庆春 , 王建新 , 张健 , 贺建飚 , 李玺
申请人 : 浙江宇视科技有限公司
摘要 :
权利要求 :
1.一种物联网节点标识认证方法,其特征在于,由管理设备执行,所述方法包括:确定管理设备与物联网节点之间认证所需的当前激励信息;
向物联网节点发送认证所需的包括至少一个激励值的当前激励信息,以使物联网节点基于自身物理特性在当前激励信息的激励作用下产生当前回馈值;
获取物联网节点发送的基于所述当前回馈值生成的当前回馈信息;所述当前回馈信息是物联网节点通过与管理设备约定按照预设时间间隔从至少两个哈希函数中动态更换当前使用的哈希函数对当前回馈值进行哈希处理得到;所述至少两个哈希函数是物联网节点接收自管理设备对动态选择当前时刻所需的哈希函数进行加密得到的哈希函数密文;
依据物联网节点标识、所述当前激励信息以及所述当前回馈信息,对所述物联网节点进行认证;
其中,不同物理特性的物联网节点在相同激励作用下产生不同的回馈;
所述方法还包括:
在物联网节点主动向管理设备发起会话的情况下,获取物联网节点发送的本地保存的节点标识字段取值,将所述节点标识字段取值作为新增表项进行保存,并保留物联网节点标识以呈现给用户;所述节点标识字段取值的初始值为物联网节点标识,所述节点标识字段取值的更新值为所述物联网节点基于自身物理特性在实时更新接收的激励值的激励作用下产生的回馈值;
从预先部署的所述物联网节点的物理特性数据信息中,查询实时更新接收的激励值对应的预部署回馈值;
基于查询的实时更新接收的激励值对应的预部署回馈值与节点标识字段取值,对所述物联网节点标识进行合法性认证。
2.根据权利要求1所述的方法,其特征在于,所述管理设备上预先部署物联网节点的物理特性数据信息,且所述物理特性数据信息中一个激励值关联有物联网节点在该激励值的作用下产生的回馈值。
3.根据权利要求2所述的方法,其特征在于,所述当前回馈信息包括所述物联网节点对当前回馈值进行哈希处理得到的哈希值。
4.根据权利要求3所述的方法,其特征在于,在获取物联网节点发送的当前回馈信息之前,还包括:
确定管理设备与物联网节点之间认证所需的当前哈希函数密文;
向物联网节点发送认证所需的当前哈希函数密文,以使物联网节点采用解密后的当前哈希函数原文对当前回馈值进行哈希处理。
5.根据权利要求4所述的方法,其特征在于,确定管理设备与物联网节点之间认证所需的当前哈希函数密文,包括:
按照预先部署的所述物联网节点的物理特性数据信息,查询所述当前激励信息中各个激励值对应的预部署回馈值;
依据查询的各个激励值对应的预部署回馈值对认证所需的当前哈希函数原文进行加密,以使物联网节点在当前激励信息的激励作用下实时产生的当前回馈值对当前哈希函数密文进行解密。
6.根据权利要求2所述的方法,其特征在于,依据物联网节点标识、所述当前激励信息以及所述当前回馈信息,对所述物联网节点进行认证,包括:从预先部署的所述物联网节点的物理特性数据信息中,查询所述当前激励信息中激励值对应的预部署回馈值;
基于查询的预部署回馈值与所述当前回馈信息中的当前回馈值,对所述物联网节点标识进行合法性认证。
7.根据权利要求3所述的方法,其特征在于,依据物联网节点标识、所述当前激励信息以及所述当前回馈信息,对所述物联网节点进行认证,包括:确定从预先部署的所述物联网节点的物理特性数据信息查询的所述当前激励信息中激励值对应的预部署回馈值;
基于查询的所述当前激励信息中激励值对应的预部署回馈值,采用与所述物联网节点约定的哈希函数进行哈希处理,得到哈希值;
基于管理设备对预部署回馈值的哈希值与所述物联网节点对当前回馈值的哈希值,对所述物联网节点标识进行合法性认证。
8.一种物联网节点标识认证装置,其特征在于,配置于管理设备,所述装置包括:激励信息确定模块,用于确定管理设备与物联网节点之间认证所需的当前激励信息;
回馈信息确定模块,用于确定物联网节点经过当前激励信息的激励作用得到的当前回馈信息;回馈信息确定模块包括:向物联网节点发送认证所需的包括至少一个激励值的当前激励信息,以使物联网节点基于自身物理特性在当前激励信息的激励作用下产生当前回馈值;获取物联网节点发送的基于所述当前回馈值生成的当前回馈信息;所述当前回馈信息是物联网节点通过与管理设备约定按照预设时间间隔从至少两个哈希函数中动态更换当前使用的哈希函数对当前回馈值进行哈希处理得到;所述至少两个哈希函数是物联网节点接收自管理设备对动态选择当前时刻所需的哈希函数进行加密得到的哈希函数密文;
节点认证模块,用于依据物联网节点标识、所述当前激励信息以及所述当前回馈信息,对所述物联网节点进行认证;
其中,不同物理特性的物联网节点在相同激励作用下产生不同的回馈;
所述回馈信息确定模块还用于在物联网节点主动向管理设备发起会话的情况下,获取物联网节点发送的本地保存的节点标识字段取值,将所述节点标识字段取值作为新增表项进行保存,并保留物联网节点标识以呈现给用户;所述节点标识字段取值的初始值为物联网节点标识,所述节点标识字段取值的更新值为所述物联网节点基于自身物理特性在实时更新接收的激励值的激励作用下产生的回馈值;
所述回馈信息确定模块还用于从预先部署的所述物联网节点的物理特性数据信息中,查询实时更新接收的激励值对应的预部署回馈值;
所述节点认证模块还用于基于查询的实时更新接收的激励值对应的预部署回馈值与节点标识字段取值,对所述物联网节点标识进行合法性认证。
9.一种电子设备,其特征在于,包括:一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现权利要求1‑7中任一所述的物联网节点标识认证方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1‑7中任一所述的物联网节点标识认证方法。
说明书 :
物联网节点标识认证方法、装置、电子设备及存储介质
技术领域
背景技术
必保持正确、防伪
一个物联网节点,进行身份欺骗,进而获得物联网系统的信任,进行入侵攻击。因此,如何对
物联网节点进行安全认证变得尤为重要。
发明内容
证方法。
网节点经过当前激励信息的激励作用得到的当前回馈信息,利用不同物理特性的物联网节
点在相同激励作用下产生不同回馈的特性,可依据物联网节点标识、当前激励信息以及当
前回馈信息,来对物联网节点进行认证。
完美复制仿冒,总会存在些许的结构差异,因此可结合物联网节点在激励信息激励作用下
的回馈信息来判断物联网节点是否被仿冒,实现物联网节点标识合法性的认证判断。
够更明显易懂,以下特举本发明的具体实施方式。
附图说明
本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
具体实施方式
于描述,附图中仅示出与本发明相关的部分而非全部结构。
其中的许多操作可以被并行地、并发地或者同时实施。此外,各项操作的顺序可以被重新安
排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所
述处理可以对应于方法、函数、规程、子例程、子程序等等。
物联网节点标识认证装置执行,该装置可采用软件和/或硬件的方式实现,并集成在任何具
有网络通信功能的电子设备上。例如,上述电子设备可为部署在物联网系统中的管理设备。
由于不可能复制相同的器件结构,因此,不同器件对于同一个激励值,其回馈值不相同。即,
对于物联网节点而言,不同物理特性的物联网节点在相同激励值的激励作用下产生不同的
回馈值。其中,当前激励信息用于指示管理设备与物联网节点之间认证所需的至少一个激
励值,通过激励值使物联网节点在当前激励信息的激励作用下产生对应的当前回馈信息。
出回馈信息,物联网节点中间的映射函数因为物理特性的复杂性而不可知,即无法得知激
励信息到回馈信息的具体映射函数,保证物联网节点上从激励信息到回馈信息的过程不易
被复制仿冒。
同的器件结构,器件制造时总会存在微小的物理结构差异,能够保证物联网节点之间很难
复制仿冒相同的激励与回馈的映射关系。
础上,结合认证所需的当前激励信息以及实时激励所得到的当前回馈信息,来对管理设备
与物联网节点之间的交互进行认证。
破解仿冒的难度,而且回馈的产生与物联网节点自身的物理特性有关,不需要特意对认证
消息加密就能很好地进行安全认证。
方法。黑客即使种植了木马,也无法从代码中获得任何关于映射方法的信息。一旦物联网节
点被恶意更换,这种映射关系马上会因为物理特性的变更而发生变更,对于接收的激励值,
其生成的回馈值必定出现错误。
回馈值,且设置物理特性数据信息在管理设备上不可更改和不对外展示,以只读模式管理
设备进行保存。
用下响应输出每个激励值对应的回馈值。其中,回馈值基于设备制造时的物理微小差异而
定,从接收激励值到输出回馈值,其中间的函数因为物理特性的复杂性而不可知。
标识对各个物联网节点的物理特性数据信息在管理设备进行预先部署,记录针对每个物联
网节点基于自身物理特性的输入/输出物理数据集,也就是激励值与对应的回馈值,例如
10000对。而,物联网节点自身不保留任何激励值与回馈值,及两者的对应关系。
即可,同时也可减弱物联网节点被破解带来的密钥泄露问题。
原理,同时在物联网节点中的激励回馈映射关系具有不可预知性,使得物联网节点的物理
特征无法被完美复制仿冒,总会存在些许的结构差异,因此结合物联网节点在激励信息激
励作用下的回馈信息来判断物联网节点是否被仿冒,实现物联网节点标识合法性的认证判
断。尤为重要的是,管理设备与物联网节点均未保存任何代码级别激励到回馈的映射方法,
并且激励到回馈的映射方法未可知,也就保证了映射方法的不可预知性,避免回馈值获取
被破解。
个或者多个实施例中各个可选方案结合。如图2所示,本申请实施例中提供的物联网节点标
识认证方法,可以包括以下步骤:
一可选地,在管理设备确定物联网节点已注册情况下,如果管理设备发起与物联网节点之
间的交互会话,则确定满足管理设备与物联网节点的认证条件。
的当前激励信息。
可选地,采用动态变化的激励值选取方式,从至少两个候选激励值中动态选取当前时刻与
物联网节点进行认证所使用的激励值。其中,激励值选取方式可包括对多个激励值进行顺
序选取的方式以及基于设定哈希函数进行哈希值选取的方式。
来进行伪造。尤为重要的事,通过动态更换激励值可动态更换认证所需的回馈值,实现管理
设备与物联网节点之间未交互的情况下,实现认证内容定期更换,避免使用固定的认证内
容被破解后仿冒。
值选取方式从至少两个候选激励值中动态选取当前时刻与物联网节点进行认证所使用的
激励值,以的得到认证所需的当前激励信息。
避免由于使用相同激励值选取方式导致一旦激励值选取方式被破解,使得被人仿冒当前激
励信息对应的当前回馈信息进行认证,而不断更新当前激励信息那么认证所需的回馈信息
也会不断更新,提高认证难度。
理结构特性在包括至少一个激励值的当前激励信息的激励作用下生成对应当前回馈值。物
联网节点可将在当前激励信息的激励作用下的对应的当前回馈值进行处理得到当前回馈
信息,并发送到管理设备。其中,当前回馈信息可以在物联网节点向管理设备发送报文时,
携带与报文进行发送。
应的预部署回馈值。这样,管理设备可以得到物联网节点的节点ID标识、当前激励信息中的
激励值、当前回馈信息中的当前回馈值。针对物联网节点的节点ID标识、当前激励信息中的
激励值、当前回馈信息中的当前回馈值,可以与从物联网节点的物理特性数据信息中查询
的对应内容进行一致性判断。若判断符合一致性条件,则确定物联网节点标识通过合法性
认证;否则,确定物联网节点标识未通过合法性认证。
个实时更新的记录“节点ID、激励值、回馈值”的表项;否则,不认可该物联网节点的注册。
值”的表项,并对表项中的取值进行更新;否则,立刻切断与物联网节点的会话交互,并报警
提示。
原理,同时在物联网节点中的激励回馈映射关系具有不可预知性,使得物联网节点的物理
特征无法被完美复制仿冒,总会存在些许的结构差异,因此结合物联网节点在激励信息激
励作用下的回馈信息,通过校验ID、激励值、回馈值三者的一致性,检验物联网节点ID标识
的合法性,以此判断物联网节点是否被仿冒,实现物联网节点标识的合法认证。
个或者多个实施例中各个可选方案结合。如图4所示,本申请实施例中提供的物联网节点标
识认证方法,可以包括以下步骤:
处理,将哈希处理后得到的哈希值作为经过当前激励信息的激励作用得到的当前回馈信
息。
时间会选取一个哈希函数,使物联网节点在不同时刻启用对应的哈希函数对基于得到的当
前回馈值进行哈希处理。
中被侦听泄露的风险。
希函数作为管理设备与物联网节点之间认证所需的当前哈希函数。同时为了避免被侦听到
哈希函数,而破解传送的回馈值,可以对管理设备与物联网节点之间认证所需的当前哈希
函数进行加密。物联网节点收到当前哈希函数密文后进行解密,并使用当前哈希函数原文
对当前回馈值进行哈希处理,来得到对应的当前回馈信息。
采用上述方式,通过动态更新选择哈希函数,可加大外部获悉当前回馈值的难度,能够避免
由于使用相同哈希函数导致一旦一种哈希函数被破解,而导致其哈希的回馈值被破解;并
且,由于提前将选择的多个哈希函数发送到物联网节点,并提前约定如何选取哈希函数,这
样在交互运行过程中不用交互哈希函数,尽可能避免哈希函数下发过程中被黑客侦听的风
险。
前哈希函数密文进行解密。
励值所对应的回馈值的和(也可以是乘积),采用与物联网节点先前约定的加密算法,以回
馈值的和或乘积作为密码,对当前哈希函数进行加密,并将当前哈希函数密文和N个激励值
发送给物联网节点。
文,得到当前哈希函数原文。同时,将N个当前回馈值输入当前哈希函数中获得哈希值,将哈
希值发送给管理设备。
节点,可避免哈希函数在物联网节点中被黑客侦听破解。
物联网约定的哈希函数对预部署回馈值进行哈希计算。若计算得到哈希结果与从物联网节
点收到的哈希值一致,则可确定物联网节点标识通过合法性认证,记录该物联网节点的IP
地址,然后实时更新记录“节点ID、N个激励值、哈希函数、哈希值”的表项;否则,确定物联网
节点标识未通过合法性认证。此举可以避免回馈值在网上明文传送,降低泄露风险。
原理,同时在物联网节点中的激励回馈映射关系具有不可预知性,使得物联网节点的物理
特征无法被完美复制仿冒,总会存在些许的结构差异,因此结合物联网节点在激励信息激
励作用下的回馈信息,同时回馈信息所要传递的信息进行哈希,避免回馈值明文传送,降低
泄露风险,通过校验ID、激励值、哈希值的一致性,检验物联网节点ID标识的合法性,以此判
断物联网节点是否被仿冒,实现物联网节点标识的合法认证。尤为重要的是,管理设备与物
联网节点均未保存任何代码级别激励到回馈的映射方法,并且激励到回馈的映射方法未可
知,也就保证了映射方法的不可预知性,避免回馈值获取被破解。
联网节点的物理特性数据信息,并重新对该物联网节点开始新的注册过程。
时更新接收的激励值的激励作用下产生的回馈值。
取值,并将该回馈值发送给管理设备,从而删除了自己原先的节点标识字段取值,这意味着
自身保存的节点标识字段取值经常更新,当黑客中途入侵物联网节点时,无法获知该物联
网节点的真实节点ID标识。虽然物联网节点自身保存的节点标识字段取值经常变化,但是
管理设备呈现给用户的节点标识字段取值依旧是原先分配的节点ID标识。
设备与该物联网节点之间的交互以IP地址进行定位和交互,但呈现给用户的物联网节点的
ID标识依旧是原先的初值ID标识。物联网节点在主动发送消息给管理设备时,需要携带新
的节点标识字段取值;管理服务器对新的节点标识字段取值与IP地址进行一致性校验,即
要求两者一致;同时在后续发送给该物联网节点的消息中,随机挑选新的激励值。
点在收到管理设备发送的新的激励值时,将原先的节点标识字段取值与新的节点标识字段
取值进行哈希处理,获得哈希值后,将哈希值反馈给管理设备,而不回复对应的回馈值;服
务器收到后,从表格中提取该物联网节点对应的“节点标识字段取值”和刚刚发送给物联网
节点的激励值所对应的回馈值进行哈希处理,获得哈希值后,与收到的物联网节点所反馈
的哈希值进行比对。如果比对一致通过,则将该回馈值填写到该物联网节点对应的“节点标
识字段取值”中。
采用软件和/或硬件的方式实现,并集成在任何具有网络通信功能的电子设备上。例如,上
述电子设备可为部署在物联网系统中的管理设备。
下产生的回馈值。
函数密文进行解密。
时更新接收的激励值的激励作用下产生的回馈值;
和有益效果,详细过程参见前述实施例中物联网节点标识认证方法的相关操作。
处理器710可以是一个或多个,图7中以一个处理器710为例;存储装置720用于存储一个或
多个程序;所述一个或多个程序被所述一个或多个处理器710执行,使得所述一个或多个处
理器710实现如本发明实施例中任一项所述的物联网节点标识认证方法。
供的物联网节点标识认证方法对应的程序指令/模块。处理器710通过运行存储在存储装置
720中的软件程序、指令以及模块,从而执行电子设备的各种功能应用以及数据处理,即实
现上述方法实施例中物联网节点标识认证方法。
等。此外,存储装置720可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至
少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储装置
720可进一步包括相对于处理器710远程设置的存储器,这些远程存储器可以通过网络连接
至设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
节点标识认证方法中的相关操作。
设备执行,该方法包括:
存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或
器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具
有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(Random Access
Memory,RAM)、只读存储器(Read Only Memory,ROM)、可擦式可编程只读存储器(Erasable
Programmable Read Only Memory,EPROM)、闪存、光纤、便携式CD‑ROM、光存储器件、磁存储
器件、或者上述的任意合适的组合。计算机可读存储介质可以是任何包含或存储程序的有
形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
于:电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可
读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于
由指令执行系统、装置或者器件使用或者与其结合使用的程序。
还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以
完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部
分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在
涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或
广域网(WAN)——连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务
提供商来通过因特网连接)。
点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不
一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何
的一个或多个实施例或示例中以合适的方式结合。
重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行
了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还
可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。