一种物联网资源的数字签名认证方法
【专利摘要】本发明涉及一种物联网资源的数字签名认证方法,该方法包括:资源访问者根据第一访问列表判断其要访问的资源是否存在,如果存在,则向资源提供商发起再次访问请求,并将资源访问者的URI、上一次的会话密钥以及认证凭证和上一次最后发送信息的时间戳所构成的认证信息包进行哈希运算,并将哈希运算结果连同资源访问者信息进行数字签名后发送给资源提供商;资源提供商在接收到来自资源访问者的再次访问请求后,将接收的哈希运算结果与资源访问者上一次的认证包信息进行哈希运算后的结果进行比对,如果比对一致,则通过认证,并产生对称会话密钥发送给所述资源访问者;资源访问者根据对称密钥访问资源。本发明优化了资源访问流程,提高了资源访问效率及减轻了资源共享平台验证授权请求的压力。
【专利说明】一种物联网资源的数字签名认证方法
【技术领域】
[0001]本发明涉及物联网资源认证技术,特别涉及一种物联网资源的数字签名认证方法。
【背景技术】
[0002]物联网资源共享平台是以数据采集中间件为基础,汇聚来自各行业的传感器资源,整合信息与服务,并借助互联网进行传播,建立全新的Mashup服务,创造新的价值。资源共享离不开安全机制,建立一套高效的安全机制,是促进物联网发展的重要保障。
[0003]在面向资源的架构(Resource-Oriented Architecture, R0A)下的物联网资源,拥有众多的资源以及众多的服务,当前较成熟的安全机制采用认证和授权两者结合的安全协议来规避风险。OpenID (Open Identity)和 OAuth(Open Authentication)为两种主流的web2.0安全协议。OpenID协议的优势是一处注册,处处通行。在具体应用中,该优势也有其自身限制:即任何注册OpenID账号的用户,不必经过资源提供商授权,便可访问其资源。OAuth协议弥补了 OpenID的不足,但也存在自身的问题:频繁的令牌请求带来的低效率;资源访问权限不可控等等。一种比较流行的趋势是整合OpenID和OAuth协议各自优势,建立一套混合的安全体系模型。该模型对身份验证密钥和资源授权密钥进行了分离,初步实现了资源访问权限的分级管理。但是该体系中针对需要授权的资源,其申请流程较为复杂,资源越权访问风险仍然存在。
【发明内容】
[0004]本发明的目的是缓解海量的资源访问认证请求对资源共享平台造成的压力。
[0005]为实现上述目的,本发明提供了一种物联网资源的数字签名认证方法,应用于由资源共享平台、资源提供商和资源访问者构成的系统中,该方法包括以下步骤:
[0006]资源访问者根据第一访问列表判断其要访问的资源是否存在,如果存在,则向所述资源提供商发起再次访问请求,并将所述资源访问者的UR1、上一次的会话密钥以及认证凭证和上一次最后发送信息的时间戳所构成的认证信息包进行哈希运算,并将哈希运算结果连同资源访问者信息经过数字签名后发送给所述资源提供商;
[0007]所述资源提供商在接收到来自所述资源访问者的再次访问请求后,将接收的所述哈希运算结果与所述资源访问者上一次的认证包信息进行哈希运算后的结果进行比对,如果比对一致,则通过认证,并产生对称会话密钥发送给所述资源访问者;
[0008]所述资源访问者根据所述对称密钥访问资源。
[0009]本发明在OpenID和OAuth混合模型的基础上加入了数字签名与访问列表机制,优化了资源访问流程,提高了资源访问效率及资源共享平台性能;同时明确令牌访问权限,提高系统安全性。
【专利附图】
【附图说明】[0010]图1为本发明实施例提供的资源共享平台的安全体系结构图。
【具体实施方式】
[0011]下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
[0012]图1为本发明实施例提供的资源共享平台的安全体系结构图。如图1所示,该安全体系结构有三大部份构成,即资源访问者(服务)、资源提供商(资源)和资源共享平台。
[0013]在资源共享平台部分,OpenID模块和OAuth模块被整合在该资源共享平台中,在验证过程中也是采用融合的方式进行,密钥管理模块作为一个相对独立的模块负责进行所有OpenID所对应的密钥的分发与收集工作。该资源共享平台中的数据库只存储注册信息以及密钥,不存储服务与资源之间的访问关系。
[0014]服务(即资源访问者)部分包括OAuth客户端、第一密钥交换模块和OpenID认证模块。资源部分包括OAuth客户端、第二密钥交换模块和OpenID认证模块。所有资源与服务不做区分,均由一个OpenID所代表,资源唯一不同于服务的一点是资源只作为资源提供商,供其它服务读取资源。所有的资源与服务均有一个访问列表(服务对应第一访问列表,资源对应第二访问列表)来管理所访问的资源以及被何种服务所访问。
[0015]第一访问列表存储自身作为资源提供商的访问信息外,还存储自身作为资源访问者所访问的资源信息,如表1所示,其包括资源的OpenID、类型、UR1、申请到的令牌信息、密钥、安全级别以及发送信息的时间戳。在资源访问者要访问曾经访问过的资源前,对该资源信息的摘要进行数字签名并发送给资源提供商,以便不通过资源共享平台而直接建立与资源的信任关系。通过这种方法可以减轻资源共享平台面临大量验证授权请求的压力。
[0016]表1.客户端的访问列表(第一访问列表) [0017]
【权利要求】
1.一种物联网资源的数字签名认证方法,应用于由资源共享平台、资源提供商和资源访问者构成的系统中,其特征在于: 所述资源访问者根据第一访问列表判断其要访问的资源是否存在,如果存在,则向所述资源提供商发起再次访问请求,并将所述资源访问者的UR1、上一次的会话密钥以及认证凭证和上一次最后发送信息的时间戳所构成的认证信息包进行哈希运算,并将哈希运算结果连同资源访问者信息进行数字签名后发送给所述资源提供商; 所述资源提供商在接收到来自所述资源访问者的再次访问请求后,将接收的所述哈希运算结果与所述资源访问者上一次的认证包信息进行哈希运算后的结果进行比对,如果比对一致,则通过认证,并产生对称会话密钥发送给所述资源访问者; 所述资源访问者根据所述对称密钥访问资源。
2.根据权利要求1所述的数字签名认证方法,其特征在于:当所述第一访问列表中不存在所述资源访问者要访问的资源时,则通过所述资源共享平台对所述资源访问者进行认证,其认证步骤包括: 所述资源共享平台根据所述资源访问者的身份信息查找所述资源访问者的注册信息,若查找成功,则向所述资源访问者发送认证用URL信息; 所述资源共享平台根据被访问资源的访问权限向所述资源访问者发送相应的OAuth令牌; 所述资源访问者根据所述OAuth令牌申请对所述资源提供商的访问; 所述资源提供商针对所述OAuth令牌进行验证,如果验证成功,则交换RSA公钥; 所述资源提供商产生对称会话密钥,并交换给所述资源访问者; 所述的资源访问者根据所述对称会话密钥开始访问资源。
3.根据权利要求2所述的方法,其特征在于:所述资源提供商产生对称会话密钥,并通过DifTie-Hellman密钥交换协议交换给所述资源访问者。
4.根据权利要求1所述的方法,其特征在于:所述第一访问列表存储包括资源的OpenID、类型、UR1、申请到的令牌信息、密钥、安全级别以及发送信息的时间戳中的一种或多种信息。
5.根据权利要求2所述的方法,其特征在于:在所述资源共享平台对所述资源访问者进行认证步骤前还包括注册申请步骤,所述注册申请步骤包括: 所述资源访问者通过所述资源共享平台申请注册OpenID,并在申请前生成一对RSA非对称密钥,并将公钥发送给所述资源共享平台; 所述资源访问者提供自身的信息以及自身预留的随机信息数字签名后一并发送给所述资源共享平台; 所述资源访问者获取并存储所述资源共享平台提供的OpenID。
【文档编号】H04L29/06GK103475666SQ201310436122
【公开日】2013年12月25日 申请日期:2013年9月23日 优先权日:2013年9月23日
【发明者】赵汗青, 张宇, 赵志军, 杨航, 杨子尧, 潘大庆, 蔡洋琰, 卢浩, 谭红艳 申请人:中国科学院声学研究所