一种IoT边缘设备认证方法及系统与流程

一种iot边缘设备认证方法及系统
技术领域
1.本发明涉及设备认证技术领域，特别涉及一种iot边缘设备认证方法及系统。

背景技术：

2.在物联网(iot)中大规模部署边缘设备面临的一个主要挑战是：如何在资源有限的设备中实现设备通信、认证的安全性。现有的大部分用于保证设备安全性的密码算法和方案仅适用于桌面设备或服务器设备，而对于iot边缘设备来说，不论是计算资源还是电量消耗都过大。并且随着时间的推移，物联网设备数量将大大增加，因此，如何开发适用于iot边缘设备的安全解决方案是本领域技术人员需要解决的问题。

技术实现要素：

3.本发明实施例提供了一种iot边缘设备认证方法及系统，旨在实现设备认证的同时减轻iot边缘设备的计算负担和电量消耗。
4.本发明实施例提供了一种iot边缘设备认证方法，包括：
5.当iot边缘设备为第一证明方设备时，作为相应的第一验证方设备的远程设备选取第一随机数值，并将所述第一随机数值和远程设备id一同发送至本地身份认证代理设备上；
6.所述本地身份认证代理设备将所述第一随机数值和远程设备id转发至所述iot边缘设备，使所述iot边缘设备根据所述第一随机数值计算第一mac值；
7.所述本地身份认证代理设备接收所述iot边缘设备发送的第一mac值，并在第一mac值验证成功后对所述第一随机数值进行第一数字签名，并将所述第一数字签名发送至远程设备，由所述远程设备验证所述第一数字签名是否正确，以判断所述iot边缘设备是否通过认证；
8.当所述iot边缘设备为第二验证方设备时，所述iot边缘设备选取第二随机数值，并将所述第二随机数值和iot边缘设备id一同发送至本地身份认证代理设备上；
9.所述本地身份认证代理设备将所述第二随机数值和iot边缘设备id转发至作为相应的第二证明方设备的远程设备，并由所述远程设备对所述第二随机数值进行第二数字签名；
10.所述本地身份认证代理设备接收所述远程设备发送的第二数字签名，并验证所述第二数字签名是否正确，以判断远程设备是否通过认证，并将判断结果发送至所述iot边缘设备。
11.本发明实施例还提供了一种iot边缘设备认证系统，包括iot边缘设备、本地身份认证代理设备和远程设备，其中：
12.当iot边缘设备为第一证明方设备时，作为相应的第一验证方设备的远程设备选取用于第一随机数值，并将所述第一随机数值和远程设备id一同发送至本地身份认证代理设备上；
13.所述本地身份认证代理设备用于将所述第一随机数值和远程设备id转发至所述iot边缘设备，使所述iot边缘设备根据所述第一随机数值计算第一mac值；
14.所述本地身份认证代理设备用于接收所述iot边缘设备发送的第一mac值，并在第一mac值验证成功后对所述第一随机数值进行第一数字签名，并将所述第一数字签名发送至远程设备，由所述远程设备验证所述第一数字签名是否正确，以判断所述iot边缘设备是否通过认证；
15.当所述iot边缘设备为第二验证方设备时，所述iot边缘设备用于选取第二随机数值，并将所述第二随机数值和iot边缘设备id一同发送至本地身份认证代理设备上；
16.所述本地身份认证代理设备用于将所述第二随机数值和iot边缘设备id转发至作为相应的第二证明方设备的远程设备，并由所述远程设备对所述第二随机数值进行第二数字签名；
17.所述本地身份认证代理设备用于接收所述远程设备发送的第二数字签名，并验证所述第二数字签名是否正确，以判断远程设备是否通过认证，并将判断结果发送至所述iot边缘设备。
18.本发明实施例提供了一种iot边缘设备认证方法及系统，该方法将iot边缘设备的签名和验证签名的计算负担转移至本地身份认证代理设备上，而iot边缘设备和本地身份认证代理设备之间通过mac(消息认证码)进行身份认证，确保排除中间人攻击，从而实现设备认证的同时减轻iot边缘设备的计算负担和电量消耗。
附图说明
19.为了更清楚地说明本发明实施例技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
20.图1为本发明实施例提供的一种iot边缘设备认证方法的流程示意图；
21.图2为本发明实施例提供的一种iot边缘设备认证方法的子流程示意图；
22.图3为本发明实施例提供的一种iot边缘设备认证方法的另一子流程示意图；
23.图4为本发明实施例提供的一种iot边缘设备认证系统的拓扑示意图。
具体实施方式
24.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
25.应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
26.还应当理解，在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。
27.还应当进一步理解，在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。
28.下面请参见图1，图1为本发明实施例提供的一种iot边缘设备认证方法的流程示意图，具体包括：步骤s101～s106。
29.s101、当iot边缘设备为第一证明方设备时，作为相应的第一验证方设备的远程设备选取第一随机数值，并将所述第一随机数值和远程设备id一同发送至本地身份认证代理设备上；
30.s102、所述本地身份认证代理设备将所述第一随机数值和远程设备id转发至所述iot边缘设备，使所述iot边缘设备根据所述第一随机数值计算第一mac值；
31.s103、所述本地身份认证代理设备接收所述iot边缘设备发送的第一mac值，并在第一mac值验证成功后对所述第一随机数值进行第一数字签名，并将所述第一数字签名发送至远程设备，由所述远程设备验证所述第一数字签名是否正确，以判断所述iot边缘设备是否通过认证；
32.s104、当所述iot边缘设备为第二验证方设备时，所述iot边缘设备选取第二随机数值，并将所述第二随机数值和iot边缘设备id一同发送至本地身份认证代理设备上；
33.s105、所述本地身份认证代理设备将所述第二随机数值和iot边缘设备id转发至作为相应的第二证明方设备的远程设备，并由所述远程设备对所述第二随机数值进行第二数字签名；
34.s106、所述本地身份认证代理设备接收所述远程设备发送的第二数字签名，并验证所述第二数字签名是否正确，以判断远程设备是否通过认证，并将判断结果发送至所述iot边缘设备。
35.本实施例中，所述iot边缘设备既可以作为证明方，也可以作为验证方，及iot边缘设备一方面可以向远程设备证明自身身份，也可以接收远程设备发送的自身身份证明。因此，可以理解的是，本实施例虽然包括步骤s101～s106，但其实步骤s101～s103与步骤s104～s106在逻辑上并不是连续的关系，也就是说步骤s104～s106在其他实施例也可以位于步骤s101～s103之前，又或者二者并列。
36.当iot边缘设备作为证明方(即所述第一证明方)时，如图2中所示的步骤s201～s206，远程设备作为验证方(即所述第一验证方)选取第一随机数值并与远程设备id一同发送至本地身份认证代理设备上；本地身份认证代理设备将所述第一随机数值和远程设备id转发至所述iot边缘设备；所述iot边缘设备根据所述第一随机数值计算第一mac值，并发送至本地身份认证代理设备上；本地身份认证代理设备对第一mac值进行验证，并在验证成功后对第一随机数值进行第一数字签名，并将所述第一数字签名发送至远程设备；所述远程设备验证所述第一数字签名是否正确，若正确则认为iot边缘设备身份认证通过，否则认为iot边缘设备身份认证不通过。
37.当iot边缘设备作为验证方(即所述第二验证方)时，如图3中所示的步骤s301～s305，远程设备作为证明方(即所述第二证明方)，此时，首先由iot边缘设备选取第二随机数值，并将所述第二随机数值和iot边缘设备id一同发送至本地身份认证代理设备上；本地身份认证代理设备将第二随机数值和iot边缘设备id转发至远程设备；所述远程设备对所述第二随机数值进行第二数字签名并发送至本地身份认证代理设备上；所述本地身份认证
代理验证所述第二数字签名是否正确，若正确则通知iot边缘设备(远程设备的)身份验证通过，否则通知iot边缘设备身份验证未通过。
38.本实施例将iot边缘设备的签名和验证签名的计算负担转移至本地身份认证代理设备上，而iot边缘设备和本地身份认证代理设备之间通过mac(消息认证码)进行身份认证，确保排除中间人攻击，从而实现设备认证的同时减轻iot边缘设备的计算负担和电量消耗。
39.本发明实施例提出了一种轻量级的设备认证方法，当前互联网中通用的设备认证方法通常基于数字签名技术实现的，但是计算数字签名和验证数字签名需要占用大量cpu资源并消耗大量电力，而本发明实施例提出的方法仅需iot边缘设备能够计算消息认证码(messageauthentication code，简称mac)即可，大大减轻了iot边缘设备的计算负担和电量消耗。
40.在一实施例中，所述iot边缘设备认证方法还包括：
41.所述iot边缘设备与所述本地身份认证代理设备协商选定相同的哈希算法和密钥。
42.本实施例通过选定相同的哈希算法(记为h)以及相同的密钥k，以便后续阶段采用算法h和密钥k进行身份认证。
43.在一实施例中，所述步骤s102包括：
44.利用所述哈希算法对所述第一随机数值和所述密钥进行哈希计算，并将计算结果作为第一mac值。
45.本实施例中，当iot边缘设备计算第一mac值时，采用哈希算法h，以第一随机数值r和密钥k为输入，并由所述哈希算法计算得到所述第一mac值，具体为mac＝h(k,r)。在后续步骤中，同样会涉及到关于mac值的计算，其计算过程与此处相同。
46.在一实施例中，所述步骤s103包括：
47.所述本地身份认证代理设备利用哈希算法对所述第一随机数值和所述密钥进行哈希计算，并将计算结果作为第一验证mac值；
48.比较所述第一mac值与第一验证mac值是否相同；
49.若所述第一mac值与第一验证mac值相同，则判定验证成功；
50.若所述第一mac值与第一验证mac值，则判定验证失败，并终结本次设备认证。
51.本实施例中，所述本地身份认证代理设备在验证第一mac值时，首先需要自身先计算得到关于第一随机数值和密钥的第一验证mac值，然后将第一验证mac值与第一mac值相比较，从而判断是否验证成功。
52.在一实施例中，所述步骤s103还包括：
53.所述本地身份认证代理设备读取本地签名私钥；
54.将所述本地签名私钥和所述第一随机数值输入至数字签名算法中，并由所述数字签名算法输出所述第一数字签名。
55.本实施例中，所述本地身份认证代理设备在对第一随机数值进行第一数字签名时，将预先读取的本地签名私钥和第一随机数值一并输入至数字签名算法中，以此得到对应的第一数字签名。需要说明的是，本实施例是在iot边缘设备作为第一证明方远程设备作为第一验证方时，由本地身份认证代理设备进行数字签名，而在iot边缘设备作为第二验证
方远程设备作为第二证明方时，远程设备上进行数字签名的步骤同本实施例类似，即所述远程设备读取相应的远程设备签名私钥，然后将该远程设备签名私钥和第二随机数值输入至数字签名算法中，并由所述数字签名算法输出第二数字签名。还需说明的是，本实施例所述的数字签名算法是数字签名标准的一个子集，表示了只用作数字签名的一个特定的公钥算法。密钥运行在由sha-1产生的消息哈希：为了验证一个签名，要重新计算消息的哈希，使用公钥解密签名然后比较结果。
56.在一实施例中，所述步骤s103包括：
57.所述远程设备读取所述本地身份认证代理设备的数字证书，并验证所述数字证书是否正确；
58.当验证所述数字证书时，在所述数字证书上读取所述本地身份认证代理设备的公钥和所述第一数字签名；
59.将所述第一随机数值、第一数字签名和所述公钥输入至验证签名算法中，并由所述验证签名算法输出对应的验证结果。
60.本实施例中，远程设备在验证第一数字签名时，首先获取本地身份认证代理设备的数字证书，并在验证该数字证书无误后从中获取公钥和第一数字签名，随后通过验证签名算法对第一数字签名进行验证。需要说明的是，本实施例是在iot边缘设备作为第一证明方远程设备作为第一验证方时，由远程设备验证数字签名，而在iot边缘设备作为第二验证方远程设备作为第二证明方时，本地身份认证代理设备验证数字签名的步骤同本实施例类似，即首先获取远程设备的数字证书，并在验证该数字证书无误后从中获取远程设备的公钥和第二数字签名，随后通过验证签名算法对第二数字签名进行验证。还需说明的是，哈希函数是一种“压缩函数”，利用哈希函数可以把任意长度的输入经由散列函数算法变换成固定长度的输出，该输出的哈希值就是消息摘要，也称数字摘要。在正式的数字签名中，发送方首先对发送文件采用哈希算法，得到一个固定长度的消息摘要(message digest)；再用自己的私钥(secret key，sk)对消息摘要进行签名，形成发送方的数字签名。数字签名将作为队件和原文一起发送给接收方；接收方首先用发送方的公钥对数字签名进行解密得到发送方的数字摘要，然后用相同的哈希函数对原文进行哈希计算，得到一个新的消息摘要，最后将消息摘要与收到的消息摘要做比较，此即为本实施例所述的验证签名算法。
61.在一实施例中，所述步骤s104包括：
62.所述iot边缘设备利用所述哈希算法对所述第二随机数值和密钥进行哈希计算，并将计算结果作为第二mac值与所述第二随机数值、iot边缘设备id一同发送至所述本地身份认证代理设备上，使所述本地身份认证代理设备在验证第二mac值成功后执行后续步骤。
63.本实施例中，如图3的步骤s301所示，当iot边缘设备向本地身份认证代理设备发送第二随机数值和iot边缘设备id时，将计算得到的第二mac值一同发送，而对于第二mac值的计算则可以参考第一mac值的计算过程，即mac＝h(k,r)，当然，为了与计算第一mac值进行区分，此处可以表示为mac’＝h(k,r’)，其中r’即表示所述第二随机数值。另外，关于本地身份认证代理设备如何验证第二mac值，同样可以参考上述内容中对于第一mac值的验证过程，此处不再赘述。
64.图4为本发明实施例提供的一种iot边缘设备认证系统的拓扑示意图，该系统包括iot边缘设备401、本地身份认证代理设备402和远程设备403，其中：
65.当iot边缘设备401为第一证明方设备时，作为相应的第一验证方设备的远程设备403选取用于第一随机数值，并将所述第一随机数值和远程设备id一同发送至本地身份认证代理设备402上；
66.所述本地身份认证代理设备402用于将所述第一随机数值和远程设备id转发至所述iot边缘设备401，使所述iot边缘设备401根据所述第一随机数值计算第一mac值；
67.所述本地身份认证代理设备402用于接收所述iot边缘设备401发送的第一mac值，并在第一mac值验证成功后对所述第一随机数值进行第一数字签名，并将所述第一数字签名发送至远程设备403，由所述远程设备403验证所述第一数字签名是否正确，以判断所述iot边缘设备401是否通过认证；
68.当所述iot边缘设备41为第二验证方设备时，所述iot边缘设备401用于选取第二随机数值，并将所述第二随机数值和iot边缘设备id一同发送至本地身份认证代理设备402上；
69.所述本地身份认证代理设备402用于将所述第二随机数值和iot边缘设备id转发至作为相应的第二证明方设备的远程设备403，并由所述远程设备403对所述第二随机数值进行第二数字签名；
70.所述本地身份认证代理设备402用于接收所述远程设备403发送的第二数字签名，并验证所述第二数字签名是否正确，以判断远程设备403是否通过认证，并将判断结果发送至所述iot边缘设备401。
71.在一实施例中，所述iot边缘设备401还用于与所述本地身份认证代理设备402协商选定相同的哈希算法和密钥。
72.在一实施例中，所述本地身份认证代理设备402还用于利用所述哈希算法对所述第一随机数值和所述密钥进行哈希计算，并将计算结果作为第一mac值。
73.由于系统部分的实施例与方法部分的实施例相互对应，因此系统部分的实施例请参见方法部分的实施例的描述，这里暂不赘述。
74.说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。应当指出，对于本技术领域的普通技术人员来说，在不脱离本技术原理的前提下，还可以对本技术进行若干改进和修饰，这些改进和修饰也落入本技术权利要求的保护范围内。
75.还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的状况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

技术特征：

1.一种iot边缘设备认证方法，其特征在于，包括：当iot边缘设备为第一证明方设备时，作为相应的第一验证方设备的远程设备选取第一随机数值，并将所述第一随机数值和远程设备id一同发送至本地身份认证代理设备上；所述本地身份认证代理设备将所述第一随机数值和远程设备id转发至所述iot边缘设备，使所述iot边缘设备根据所述第一随机数值计算第一mac值；所述本地身份认证代理设备接收所述iot边缘设备发送的第一mac值，并在第一mac值验证成功后对所述第一随机数值进行第一数字签名，并将所述第一数字签名发送至远程设备，由所述远程设备验证所述第一数字签名是否正确，以判断所述iot边缘设备是否通过认证；当所述iot边缘设备为第二验证方设备时，所述iot边缘设备选取第二随机数值，并将所述第二随机数值和iot边缘设备id一同发送至本地身份认证代理设备上；所述本地身份认证代理设备将所述第二随机数值和iot边缘设备id转发至作为相应的第二证明方设备的远程设备，并由所述远程设备对所述第二随机数值进行第二数字签名；所述本地身份认证代理设备接收所述远程设备发送的第二数字签名，并验证所述第二数字签名是否正确，以判断远程设备是否通过认证，并将判断结果发送至所述iot边缘设备。2.根据权利要求1所述的iot边缘设备认证方法，其特征在于，还包括：所述iot边缘设备与所述本地身份认证代理设备协商选定相同的哈希算法和密钥。3.根据权利要求2所述的iot边缘设备认证方法，其特征在于，所述本地身份认证代理设备将所述第一随机数值和远程设备id转发至所述iot边缘设备，使所述iot边缘设备根据所述第一随机数值计算第一mac值，包括：利用所述哈希算法对所述第一随机数值和所述密钥进行哈希计算，并将计算结果作为第一mac值。4.根据权利要求3所述的iot边缘设备认证方法，其特征在于，所述本地身份认证代理设备接收所述iot边缘设备发送的第一mac值，并在第一mac值验证成功后对所述第一随机数值进行第一数字签名，包括：所述本地身份认证代理设备利用哈希算法对所述第一随机数值和所述密钥进行哈希计算，并将计算结果作为第一验证mac值；比较所述第一mac值与第一验证mac值是否相同；若所述第一mac值与第一验证mac值相同，则判定验证成功；若所述第一mac值与第一验证mac值，则判定验证失败，并终结本次设备认证。5.根据权利要求1所述的iot边缘设备认证方法，其特征在于，所述本地身份认证代理设备接收所述iot边缘设备发送的第一mac值，并在第一mac值验证成功后对所述第一随机数值进行第一数字签名，还包括：所述本地身份认证代理设备读取本地签名私钥；将所述本地签名私钥和所述第一随机数值输入至数字签名算法中，并由所述数字签名算法输出所述第一数字签名。6.根据权利要求1所述的iot边缘设备认证方法，其特征在于，所述将所述第一数字签名发送至远程设备，由所述远程设备验证所述第一数字签名是否正确，以判断所述iot边缘
设备是否通过认证，包括：所述远程设备读取所述本地身份认证代理设备的数字证书，并验证所述数字证书是否正确；当验证所述数字证书时，在所述数字证书上读取所述本地身份认证代理设备的公钥和所述第一数字签名；将所述第一随机数值、第一数字签名和所述公钥输入至验证签名算法中，并由所述验证签名算法输出对应的验证结果。7.根据权利要求2所述的iot边缘设备认证方法，其特征在于，所述当所述iot边缘设备为第二验证方设备时，所述iot边缘设备选取第二随机数值，并将所述第二随机数值和iot边缘设备id一同发送至本地身份认证代理设备上，包括：所述iot边缘设备利用所述哈希算法对所述第二随机数值和密钥进行哈希计算，并将计算结果作为第二mac值与所述第二随机数值、iot边缘设备id一同发送至所述本地身份认证代理设备上，使所述本地身份认证代理设备在验证第二mac值成功后执行后续步骤。8.一种iot边缘设备认证系统，其特征在于，包括iot边缘设备、本地身份认证代理设备和远程设备，其中：当iot边缘设备为第一证明方设备时，作为相应的第一验证方设备的远程设备选取用于第一随机数值，并将所述第一随机数值和远程设备id一同发送至本地身份认证代理设备上；所述本地身份认证代理设备用于将所述第一随机数值和远程设备id转发至所述iot边缘设备，使所述iot边缘设备根据所述第一随机数值计算第一mac值；所述本地身份认证代理设备用于接收所述iot边缘设备发送的第一mac值，并在第一mac值验证成功后对所述第一随机数值进行第一数字签名，并将所述第一数字签名发送至远程设备，由所述远程设备验证所述第一数字签名是否正确，以判断所述iot边缘设备是否通过认证；当所述iot边缘设备为第二验证方设备时，所述iot边缘设备用于选取第二随机数值，并将所述第二随机数值和iot边缘设备id一同发送至本地身份认证代理设备上；所述本地身份认证代理设备用于将所述第二随机数值和iot边缘设备id转发至作为相应的第二证明方设备的远程设备，并由所述远程设备对所述第二随机数值进行第二数字签名；所述本地身份认证代理设备用于接收所述远程设备发送的第二数字签名，并验证所述第二数字签名是否正确，以判断远程设备是否通过认证，并将判断结果发送至所述iot边缘设备。9.根据权利要求8所述的iot边缘设备认证系统，其特征在于，所述iot边缘设备还用于与所述本地身份认证代理设备协商选定相同的哈希算法和密钥。10.根据权利要求9所述的iot边缘设备认证方法，其特征在于，所述本地身份认证代理设备还用于利用所述哈希算法对所述第一随机数值和所述密钥进行哈希计算，并将计算结果作为第一mac值。

技术总结

本发明公开了一种IoT边缘设备认证方法及系统，该方法包括：当IoT边缘设备为第一证明方设备时，远程设备选取第一随机数值，并将所述第一随机数值和远程设备id一同发送至本地身份认证代理设备上；所述本地身份认证代理设备将所述第一随机数值和远程设备id转发至所述IoT边缘设备，使所述IoT边缘设备根据所述第一随机数值计算第一MAC值；所述本地身份认证代理设备接收所述IoT边缘设备发送的第一MAC值，并在第一MAC值验证成功后对所述第一随机数值进行第一数字签名，并将所述第一数字签名发送至远程设备，由所述远程设备验证所述第一数字签名是否正确，以判断所述IoT边缘设备是否通过认证。本发明在实现设备认证的同时减轻IoT边缘设备的计算负担和电量消耗。边缘设备的计算负担和电量消耗。边缘设备的计算负担和电量消耗。