户端和服务器双向认证,则它们之间的安全通道就得W构 成,222。在认证过程中使用的新鲜值W及密钥在不同的会话中会改变。可使用计时器刷新 会话。本发明设及的系统包括附加在计时器(计数器)上的伪随机数生成器(PRNG),在每 次会话期间提供唯一的密钥^及唯一的128位的新鲜值。因此,由于32| (PRN)的随机性^ 及(定时器)单调增加的特性,因此新鲜值为非重复性的。伪随机的方式生成,并 且其对的包含确保避免了重发攻击:
[0064] (Pr化|t=T=Rj|t=T')=U<G',G' - 0.
[0065] 该攻击的冲突概率约为2^6。
[0066] 新鲜值中可预测的非重复性由16位的呵管理,而不可预测部分由管理。
[0067] 再参考附图,图3所示为服务器和客户端之间握手期间的步骤。它描述了轻型双 向认证及密钥管理算法,其中表示客户端,而g表示服务器。在认证过程开始之前,在供 给阶段,2>1巧g之间线下共享密码丫i= {0,1} 128。然后认证过程W启动会话开始,其中客 户端发送'肥化〇',#D|给服务器g,300。在该里,为唯一的客户端设备ID。一旦会 话启动,服务器g通过向客户端发送询问码^{化(於?Ki 应答,302,其中, ki,noncei= (0,1}-128和消息的大小为256位。客户端解密该询问码,并通过发送另一包 括noncei和额外nonce2的询问码应答服务器。(riotie臣i?扔|巧〇巧《?2)},304, 为客户端应答及询问。在服务器端,服务器核验noncei并通过发送通过ki加密为AES{:丫 1,(nonces|ki)}的nonces应答客户端,306。一旦客户端和服务器验证所述新鲜值,并且完成 认证,客户端发送数据Pi到服务器,作为AES{k1,(Pi)},308。
[0068] 再参考附图,图4和图5表示在本发明的系统嵌入到已存在的应用层协议之后的 修改的CoAP消息格式,400,分别作为提出的一般方案的示例应用W及传感器设备(客户 端)和服务器之间的示例性握手认证。
[0069] 典型的CoAP交互模式类似于HTTP客户端/服务器模式并且为REST化1。但与 HTTP不同的是,CoAP通过基于数据报的传输,如UDP,异步地进行交换。通常,CoAP包括四 种类型的消息;可确认、不可确认、确认及复位。该些消息根据方式或者响应码携带请求或 应答。
[0070] 本发明公开的认证方案可被整合为嵌入CoAP的REST化1有效负载。从图5中可 W观察到,具有可确认(CON)数据传输模式的POST方法可用于实现传感器设备(客户端) 和服务器之间的双向认证。在CoAP报头引入新的字段"AUTH",从而实现安全(认证)模 式,400。该字段采用表示关键选择类的未使用选项。另一名为"AUTH_MSG_TYPE"的选项连 同"AUTH"也被引入,指示用于创建认证会话的不同消息。
[0071] CoAP报头的该选择字段携带CoAP消息的选择性请求/应答特征。本发明定义的 字段如下:
[007引 oAUTH;表示认证/禁用认证模式的启动。该字段的值可W为是或否。
[007引 oAUTH_MSG_TYPE;此字段可W是"0"或"1",其中 0 =auth_initW及 1 = "response_against_challenge"。
[0074] 当设置"AUTH=是",可使用报头中的常量"Token"值维持认证会话,在认证阶段 用于相关的消息交换。
[0075] 参考图4和图5,执行下列步骤W将CoAP嵌入认证:
[0076] 0开始,传感器网关发送CON模式的POST消息到服务器认证URI,其中AUTH选项 字段为真,AUTH_MSG_TYPE值为"auth_init",即"0",还发送有效负载600中的"设备标识 符"。
[0077] 0服务器从有效负载中获得设备标识符,并且在接收到选项"AUTH"及AUTH_MSG_ TYPE的"auth_init"值之后,确定与该设备标识符相关的预共享密码。然后,它产生随机数 (nonce_l)和密钥化)。服务器利用共享密钥生成加密的有效负载。
[007引 0服务器用应答码答复客户端,表示已经创建新的资源。答复中的URI指出了针 对认证的整个握手的临时会话ID。如果为无效的设备标识符,则服务器发送应答码"未认 证"。该加密的有效负载附带地或者单独地发送到客户端,602。
[0079]0客户端解密来自服务器的应答并获得nonce_l及"K"。它产生随机数(nonce_2), 然后使用密钥"K"生成加密的有效负载。它使用具有选项字段"AUTH"的POST消息发送有 效负载,并且AUTH_MSG_TYPE的值为 <response_against_challenge',并且与上一个POST 消息具有相同的标记值,604。
[0080] 0维持一个密钥刷新定时器W刷新会话。(在CoAP的情况下,该个值一定要大于 MAX_RETRANSMIT_COUNT*MAX_RETRANSMISSION_TIMEOU。
[00川 o服务器使用"K"解密在头部具有上述选项值的上述POST的有效负载,并查看接 收到的随机数。如果随机数与之前的值(步骤2中产生的值)相同,则服务器发送具有应 答码"已改变"的应答,表示认证资源改变,否则发送"未认证",606。
[0082] 图5中使用的符号如下所述;
[0083] 1])。;传感器网关5。及服务器S之间的共享密码
[0084] K"| T;传感器网关5。与服务器在T th会话中的密钥交换 [00化]<S。〉;Sn的唯一的传感器设备/网关ID。
[0086] AES(.)K;使用密钥K在明文中的AES操作
[0087] nonce货nonce, =服务器初始化的随机数
[008引 nonceg^ =传感器网关/客户端初始化的随机数
[0089] ?。;传感器网关5。的传感器数据
[0090] 在认证阶段结束并且安全通道创建完成之后,客户端可选择性地W完全开环的模 式通信,同时更新服务器中的一些资源,从而使得客户端表现出对服务器应答的不关屯、。 [oow] 在本发明的系统的一个实施例中,CoAP用于NON(非可靠)模式,并且引入选项字 段(例如无应答),表示服务器不需要应答资源运行的状态。因此,网络的负载会降低。该 '无应答'字段值为"0"或"1",0表示服务器需要应答该状态,1表示服务器不需要应答该 状态。
[0092] 再参考附图,图6表示将本发明的系统作为附加认证层与DTLS,如安全层500融 厶 口 〇
[0093] 再参考附图,图7表示使用预共享密钥模式(PSK)的安全会话启动的DTLS握手的 时序图,而图8表示将本发明的方法整合到DTLS框架中,结果在创建安全连接之前,带来具 有预共享密码及衍生密钥的修改的DTLS握手。每一个握手消息被预共享密码或者衍生的 密钥K加密。图7中带有的元素表示依赖情境的消息。图8描述了消息交换与图3表 示的服务器和客户端握手期间设及的步骤之间的映射。参考图7和图8,可W得出本发明的 系统可W将握手的次数从6次减少到4次。
[0094] W下为本发明带来的有益技术效果:
[0095] 根据如上所描述根据本发明的,计算机实施的在数据报传输中用于轻型认证的系 统和方法具有多个有益技术效果,包括但不仅限于其实现了 :
[0096] ?一种系统需求减少的系统,原因在于其基于嵌有有效负载的对称密钥的认证W 及由会话密钥刷新定时器管理的集成密钥;
[0097] ?一种用于保护资源受限传感器设备的理想系统;
[009引 ?一种可集成有传输层安全机制的系统,如集成DTLS,从而加强已有的DTLS方 案,同时通过减少交换的数量,使其变得更轻型;
[0099] ?一种可W将应用协议作为嵌入有效负载的认证方案的系统;
[0100] ?一种可W与如CoAP的受限设备应用层整合的系统;
[010U ?-种通过引入新的具有应用层协议的报头选项允许CoAP开环通信的系统,从 而在实现认证后优化资源使用率;W及
[0102] ?一种可普遍满足一般网络/通信系统的认证需求的系统。
[0103] 上文对特定实施例地描述全面的披露了本发明实施例的一般特性,通过运用现有 知识,可W很容易地在不背离本发明一般思想的情况下,对该实施例进行修改并且/或者 适用该特定实施例的多个应用,因此,该些适用及修改应该并且意在落入本发明实例的等 同保护范围之内。应该理解,本文采用的用词和术语都是为了描述目的,不做限制用途。因 此,虽然本文W优选实施例的形式描述了实施例,但是本领域技术人员可W理解,本文中的 实施例可在文中描述的实施例的思想和范围内做出修改。
【主权项】
1. 一种计算机实施的服务器与客户端之间数据报传输双向认证系统,所述系统包括系 统处理器,并包括: i.