专利名称:一种基于pki技术的物联网认证系统的制作方法
技术领域:
本实用新型涉及物联网,尤其涉及一种物联网认证系统。
背景技术:
公钥基础设施(Public Key Infrastructure,简称PKI)是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、 证书作废系统、应用接口(API)等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。一个典型、完整、有效的PKI应用系统至少应具有以下部分公钥密码证书管理、黑名单的发布和管理、密钥的备份和恢复、自动更新密钥、自动管理历史密钥,以及支持交叉认证。认证机构(CA)即数字证书的申请及签发机关,CA必须具备权威性的特征;数字证书库用于存储已签发的数字证书及公钥,用户可由此获得所需的其他用户的证书及公钥;密钥备份及恢复系统如果用户丢失了用于解密数据的密钥,则数据将无法被解密,这将造成合法数据丢失。为避免这种情况,PKI提供备份与恢复密钥的机制。但须注意, 密钥的备份与恢复必须由可信的机构来完成。并且,密钥备份与恢复只能针对解密密钥,签名私钥为确保其唯一性而不能够作备份。证书作废系统证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废,原因可能是密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供作废证书的一系列机制。应用接口(API) =PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务,因此一个完整的PKI必须提供良好的应用接口系统,使得各种各样的应用能够以安全、 一致、可信的方式与PKI交互,确保安全网络环境的完整性和易用性。通常来说,CA是证书的签发机构,它是PKI的核心。众所周知,构建密码服务系统的核心内容是如何实现密钥管理。公钥体制涉及到一对密钥(即私钥和公钥),私钥只由用户独立掌握,无须在网上传输,而公钥则是公开的,需要在网上传送,故公钥体制的密钥管理主要是针对公钥的管理问题,目前较好的解决方案是数字证书机制。证书证书是PKI中最重要的、最基本的数据要素。PKI提供的各种服务(机密性、 完整性、非否认等等),都要通过证书来实现。数字证书一般包括内容;版本、序列号;签发者(Issuer);证书主体(Subject), 即订户;有效期;订户公钥;算法标识和密钥;签发者(即CA)的签名;签名算法标识;签名结果等等,具体可参见X. 509证书格式。物联网(Internet of Things),从狭义的理解来说,就是传感网,把各种传感器联结起来,形成一个网络。底层感知主要分为四类身份感知,状态感知,图像感知,位置感知。 而无线传感器网络是一个自组织的网络,非常适合底层感知数据的搜集。物联网其实是互联网向底层延伸。物联网的构成分为几个层级底层是数据采集层,也就是感知层,共有四类感知。往上是传输层,传输感知的数据,传输方式分为有线、无线等方式。第三,传输以后要对数据进行计算、数据挖掘,这部分可以使用云计算技术。然后,使用有效数据支撑应用。包括城管管理、安全管控、应急处置等各类应用。为避免重复投资,政府的各个部门都在考虑进行物联网的统一建设。但是如何利用现有的资源,来实现物联网节点的统一安全认证,提供一个方便、快捷、高性能、高效率的认证方式是当今政府部门考虑的难题。
实用新型内容本实用新型要解决的技术问题是,提供一种基于PKI技术的物联网认证系统,能够对物联网节点进行统一认证,便捷、高效。为了解决上述技术问题,本实用新型提出一种基于PKI技术的物联网认证系统, 包括用于按照预设的上报周期发送使用上位机公钥加密的心跳数据的传感器节点;所述心跳数据包括节点公钥和用节点私钥加密的节点证书;用于接收所述心跳数据,使用上位机私钥对其进行解密,得到节点公钥和用节点私钥加密的节点证书;使用所述节点公钥解密所述用节点私钥加密的节点证书,得到节点证书;生成本次认证过程的随机数,将所述随机数与所述节点证书一起发送出去;以及接收认证结果和随机数,据以获知发起认证的传感器节点的认证结果,接收认证通过的传感器节点上报的数据的上位机;用于接收所述节点证书和所述随机数,对所述节点证书进行认证,将认证结果和所述随机数一起发送出去的认证机构CA。进一步地,上述系统还可具有以下特点所述心跳数据中还包括心跳有效时间;所述上位机是在解密心跳数据后,先判断得到的心跳数据中的心跳有效时间是否仍然有效,如果有效,才解密所述用节点私钥加密的节点证书的上位机。进一步地,上述系统还可具有以下特点所述上位机,还是在获知发起认证的传感器节点认证通过后,启动定时器,定时时间为一预设的临时有效期,在所述定时器到时之前,不对所述认证通过的传感器节点的心跳数据进行处理,在所述定时器到时时,才继续对所述认证通过的传感器节点的心跳数据进行处理的上位机;所述预设的临时有效期大于所述预设的上报周期。进一步地,上述系统还可具有以下特点所述上位机,还是在使用上位机私钥进行解密时,如果解密失败,进行告警处理; 和/或在获知发起认证的传感器节点的认证结果为认证失败时,进行告警处理的上位机。进一步地,上述系统还可具有以下特点所述节点证书为包括版本号、序列号、签名、颁发者、有效期、主体和主体公钥信息的节点证书。进一步地,上述系统还可具有以下特点所述上位机还是在获知传感器节点认证通过后,生成提示用户更新传感器节点的证书的提示信息的上位机。本实用新型提供的一种基于PKI技术的物联网认证系统,能够对物联网节点进行统一认证,便捷、高效。
图1是本实用新型实施例一种基于PKI技术的物联网认证系统方框图;图2是本实用新型实施例一种基于PKI技术的物联网认证方法流程图。
具体实施方式
下面将结合附图来详细说明本实用新型实施方案。参见图1,该图示出了本实用新型实施例一种基于PKI技术的物联网认证系统,包括一个或者多个传感器节点、上位机和认证机构CA,其中所述传感器节点,是按照预设的上报周期发送使用上位机公钥加密的心跳数据的传感器节点。所述心跳数据包括节点公钥和用节点私钥加密的节点证书。所述上位机,是接收所述心跳数据,使用上位机私钥对其进行解密,得到节点公钥和用节点私钥加密的节点证书;使用所述节点公钥解密所述用节点私钥加密的节点证书, 得到节点证书;生成本次认证过程的随机数,将所述随机数与所述节点证书一起发送至所述CA ;以及接收所述CA返回的认证结果和随机数,据以获知发起认证的传感器节点的认证结果,接收认证通过的传感器节点上报的数据的上位机。所述CA,是接收所述上位机发送来的节点证书和随机数,对所述节点证书进行认证,将认证结果和所述随机数一起发送至所述上位机的CA。其中,每个传感器节点具有自己的证书,所述证书可以由CA签发。具体可以按照区域类型签发,或者按照行业类型签发,本实用新型在此不做限制。本实用新型实施例巧妙地通过传感器节点向上位机发送认证请求,即心跳数据, 并在上位机与传感器节点之间增加密钥保护机制,上位机在确定心跳数据的正确性后,再将其上报Ck,进行认证,并返回认证结果给上位机,从而针对物联网的特点,巧妙地应用 PKI技术建立物联网认证体系,有效地对传感器节点进行认证,确保物联网数据的可靠性。较佳地,为了有效节约上位机的资源,所述心跳数据中还可以包括心跳有效时间。 所述上位机,还可以是在解密心跳数据后,还会得到所述心跳数据的心跳有效时间,在对所述用节点私钥加密的节点证书进行解密前,先判断所述心跳有效时间是否仍然有效,如果有效,才解密所述用节点私钥加密的节点证书的上位机。如果无效,所述上位机则认为所述心跳数据已经过期,不再准确,可以丢弃,无需再执行对节点证书的解密步骤。较佳地,为了节约上位机的资源,所述上位机还可以是在获知发起认证的传感器节点认证通过后,启动定时器,定时时间为一预设的临时有效期,在所述定时器到时之前, 不对所述认证通过的传感器节点的心跳数据进行处理,在所述定时器到时时,继续对所述认证通过的传感器节点的心跳数据进行处理的上位机。所述预设的临时有效期大于所述预设的上报周期。较佳地,本实用新型基于PKI技术的物联网认证系统还可以增加报警机制。具体来说,所述上位机,还可以是在使用上位机私钥进行解密时,如果解密失败,进行告警处理的上位机;和/或所述上位机还可以是,在获知发起认证的传感器节点的认证结果为认证失败时,进行告警处理的上位机。考虑到传感器节点的传输能力较低,传输速度较低,较佳地,本实用新型实施例对 X. 509证书中的信息进行裁剪,保留其中的关键信息,从而减少传输数据量,使之更适用于物联网特点。本实用新型实施例在此提供一种节点证书,其可以包含版本号、序列号、签名、 颁发者、有效期、主体和主体公钥信息。其中所述版本号,用于标识证书的版本(版本1、版本2或者版本3)。所述序列号,是由证书颁发者分配的本证书的唯一标识。所述签名,是签名算法标识符,由对象标识符加上相关的参数组成,用于说明本证书所用的数字签名算法。例如,SHA-I和RSA的对象标识符就用来说明该数字签名是利用 RSA对SHA-I杂凑加密。所述颁发者,是证书颁发者的可识别名(DN)。所述有效期,是证书有效期的时间段。其字段可以由“Not Before”和“NotAfter” 两项组成,它们分别由UTC时间或一般的时间表示(在RFC2459中有详细的时间表示规则)。所述主体,是证书拥有者的可识别名,这个字段为非空,除非在证书扩展中有别名。所述主体公钥信息,是主体的公钥(以及算法标识符)。较佳地,本实用新型实施例一种基于PKI技术的物联网认证系统可以灵活地对证书进行管理,以进一步确保认证的安全性。例如,可以提供证书更新功能,在具体实现时,可以是上位机在每次认证过程之后,即接收到认证结果后,提示用户及时更新证书。也可以按照不同的要求撤销证书。还可以使用例如OCSP在线查询的方式实现证书撤销列表的发布。寸寸。本实用新型实施例还提供了一种利用上述系统实现物联网认证的方法,如图2所示,包括步骤步骤S201 传感器节点按照预设的上报周期向上位机发送使用上位机公钥加密的心跳数据;所述心跳数据包括节点公钥和用节点私钥加密的节点证书;步骤S202 上位机接收到所述心跳数据后,使用上位机私钥进行解密,得到节点公钥和用节点私钥加密的节点证书;使用所述节点公钥解密所述用节点私钥加密的节点证书,得到节点证书;生成本次认证过程的随机数,将所述随机数与所述节点证书一起发送给认证机构CA ;步骤S203 所述CA接收到节点证书和随机数后,对所述节点证书进行认证,将认证结果和所述随机数一起发送至所述上位机;步骤S204 所述上位机根据接收到的认证结果和随机数获知发起认证的传感器节点的认证结果。其中,每个传感器节点具有自己的证书,所述证书可以由CA签发。具体可以按照区域类型签发,或者按照行业类型签发,本实用新型在此不做限制。所述上位机在获知传感器节点的认证结果后,即可根据认证结果进行数据处理, 例如,可以只接收认证通过的传感器节点的数据,从而确保数据的可靠性。本实用新型实施例巧妙地通过传感器节点向上位机发送认证请求,即心跳数据,并在上位机与传感器节点之间增加密钥保护机制,上位机在确定心跳数据的正确性后,再将其上报CA,进行认证,并返回认证结果给上位机,从而针对物联网的特点,巧妙地应用PKI技术建立物联网认证体系,从而确保物联网数据的可靠性。。在执行步骤S201时,所述传感器节点上报的心跳数据中还可以包括心跳有效时间。相应地,在执行步骤S202时,所述上位机在解密心跳数据后还会得到心跳有效时间。所述上位机在对所述用节点私钥加密的节点证书进行解密前,先判断所述心跳有效时间是否仍然有效,如果有效,才解密所述用节点私钥加密的节点证书。如果无效,则认为所述心跳数据已经过期,不再准确,可以丢弃,无需再执行对节点证书的解密步骤,从而有效节约上位机的资源。在执行步骤S204时,所述上位机在获知发起认证的传感器节点认证通过后,还可以启动定时器,定时时间为一预设的临时有效期,在所述定时器到时之前,不对所述认证通过的传感器节点的心跳数据进行处理,在所述定时器到时时,继续对所述认证通过的传感器节点的心跳数据进行处理,从而有效节约上位机的资源。其中,所述预设的临时有效期大于所述预设的上报周期。较佳地,还可以增加报警机制。例如,在执行步骤S202时,所述上位机使用上位机私钥进行解密时,如果解密失败,则可进行告警处理。再例如,在执行步骤S204时,所述上位机在获知发起认证的传感器节点的认证结果为认证失败时,则可进行告警处理。考虑到传感器节点的传输能力较低,传输速度较低,较佳地,本实用新型实施例对 X. 509证书中的信息进行裁剪,保留其中的关键信息,从而减少传输数据量,使之更适用于物联网特点。本实用新型实施例在此提供一种节点证书,其可以包含版本号、序列号、签名、 颁发者、有效期、主体和主体公钥信息。其中所述版本号,用于标识证书的版本(版本1、版本2或者版本3)。所述序列号,是由证书颁发者分配的本证书的唯一标识。所述签名,是签名算法标识符,由对象标识符加上相关的参数组成,用于说明本证书所用的数字签名算法。例如,SHA-I和RSA的对象标识符就用来说明该数字签名是利用 RSA对SHA-I杂凑加密。所述颁发者,是证书颁发者的可识别名(DN)。所述有效期,是证书有效期的时间段。其字段可以由“Not Before”和“NotAfter” 两项组成,它们分别由UTC时间或一般的时间表示(在RFC2459中有详细的时间表示规则)。所述主体,是证书拥有者的可识别名,这个字段为非空,除非在证书扩展中有别名。所述主体公钥信息,是主体的公钥(以及算法标识符)。较佳地,本实用新型实施例还可以灵活地对证书进行管理,以进一步确保认证的安全性。例如,可以提供证书更新功能,在具体实现时,可以是上位机在每次认证过程之后,即接收到认证结果后,提示用户及时更新证书。也可以按照不同的要求撤销证书。还可以使用例如OCSP在线查询的方式实现证书撤销列表的发布。等等。 当然,本实用新型还可有其他多种实施例,在不背离本实用新型精神及其实质的情况下,本领域技术人员当可根据本实用新型作出各种相应的改变和变形,但这些相应的改变和变形都应属于本实用新型所附的权利要求的保护范围。
权利要求1.一种基于PKI技术的物联网认证系统,其特征在于,包括传感器节点、上位机和认证机构,其中用于按照预设的上报周期发送使用上位机公钥加密的心跳数据的传感器节点;所述心跳数据包括节点公钥和用节点私钥加密的节点证书;用于使用上位机私钥对传感器节点的心跳数据进行解密,得到节点公钥和用节点私钥加密的节点证书;使用所述节点公钥解密所述用节点私钥加密的节点证书,得到节点证书; 生成本次认证过程的随机数的上位机,与所述认证机构相连,将所述随机数与所述节点证书一起发送给所述认证机构,并从所述认证机构接收认证结果和随机数,据以获知发起认证的传感器节点的认证结果,以及,与所述传感器节点相连,从所述传感器节点接收认证通过的传感器节点上报的数据;用于接收所述节点证书和所述随机数,对所述节点证书进行认证,将认证结果和所述随机数一起发送出去的认证机构CA。
2.如权利要求1所述的系统,其特征在于所述心跳数据中还包括心跳有效时间;所述上位机是在解密心跳数据后,先判断得到的心跳数据中的心跳有效时间是否仍然有效,如果有效,才解密所述用节点私钥加密的节点证书的上位机。
3.如权利要求1或2所述的系统,其特征在于所述上位机,还是在获知发起认证的传感器节点认证通过后,启动定时器,定时时间为一预设的临时有效期,在所述定时器到时之前,不对所述认证通过的传感器节点的心跳数据进行处理,在所述定时器到时时,才继续对所述认证通过的传感器节点的心跳数据进行处理的上位机;所述预设的临时有效期大于所述预设的上报周期。
4.如权利要求1所述的系统,其特征在于所述上位机,还是在使用上位机私钥进行解密时,如果解密失败,进行告警处理;和/ 或在获知发起认证的传感器节点的认证结果为认证失败时,进行告警处理的上位机。
5.如权利要求1所述的系统,其特征在于所述上位机还是在获知传感器节点认证通过后,生成提示用户更新传感器节点的证书的提示信息的上位机。
专利摘要本实用新型提供了一种基于PKI技术的物联网认证系统,包括按照预设的上报周期发送使用上位机公钥加密的心跳数据的传感器节点;所述心跳数据包括节点公钥和用节点私钥加密的节点证书;接收所述心跳数据,使用上位机私钥对其进行解密,得到节点公钥和用节点私钥加密的节点证书;使用所述节点公钥解密所述用节点私钥加密的节点证书,得到节点证书;生成本次认证过程的随机数,将所述随机数与所述节点证书一起发送出去;以及接收认证结果和随机数,据以获知发起认证的传感器节点的认证结果,接收认证通过的传感器节点上报的数据的上位机;接收所述节点证书和所述随机数,对节点证书进行认证,将认证结果和所述随机数一起发送出去的认证机构。
文档编号H04L9/30GK202103686SQ20102067809
公开日2012年1月4日 申请日期2010年12月23日 优先权日2010年12月23日
发明者朱学锋, 樊勇, 魏剑平, 黄孝斌 申请人:北京时代凌宇科技有限公司