专利名称:认证方法、装置、认证中心及系统的制作方法
技术领域:
本发明涉及通信领域中网络安全技术,具体地,涉及认证方法、装置、认证中心及系统。
背景技术:
现有通信网络认证机制,多为一对一的双向认证方式,包括基于单钥的认证和密钥协商(Authentication and Key Agreement,简称AKA)认证机制,和基于公钥的证书认证机制。如图1所示,单钥认证机制包括用户节点与对应的归属服务器(HLR/HSS)节点间保存共享的密钥K ;用户接入网络时与对应的归属服务器节点进行交互认证;认证通过后, 网络侧只能确定本用户节点的身份。基于公钥的证书认证机制包括用户与对应的归属服务器节点都可从可信的第三方数字证书认证中心(Certificate Authority,简称CA)处取得各自对应的身份证书和对应的私钥,并可取得CA证书用于验证证书;用户接入网络时,与对应的归属服务器通过发送各自的证书进行验证双方身份;认证通过后,拥有此合法证书的用户可以接入网络。在实现本发明过程中,发明人发现现有技术中至少存在如下问题在终端节点数量庞大时,大量用户认证会消耗信令交互的网络资源及服务器的计算资源。现有的认证方式都是一对一,当网络中具有相同行为特性的终端节点数量规模很大时,这些节点有时需要同时接入网络,此时,将占用大量网络资源,增加网络负担,并且大量用户认证会增加服务器的计算资源。现有的认证方式并不适用物联网,且有可能降低物联网业务的可用性。
发明内容
本发明的第一目的是提出一种认证方法,以实现一次认证多个节点。本发明的第二目的是提出一种认证装置,以实现一次认证多个节点。本发明的第三目的是提出一种网络侧的认证中心,以实现一次认证多个节点。本发明的第四目的是提出一种认证系统,以实现一次认证多个节点。为实现上述第一目的,根据本发明的一个方面,提供了一种认证方法,包括接收至少一个接入请求,从接收的接入请求中获取子密钥信息;根据获取的子密钥信息生成组密钥;根据组密钥与网络侧交互进行组认证。其中,接收至少一个接入请求之后还可以包括根据预存的组标识信息生成携带组信息的组认证请求;将携带组信息的组认证请求发送至网络侧。其中,根据组密钥与网络侧交互进行组认证可以包括接收网络侧对组认证请求的反馈消息;根据反馈消息及组密钥生成发送至网络侧的组认证响应。优选地,当组认证通过时,发送接入请求的节点信息至网络侧。网络侧根据预存的组及组内节点的标识信息对节点信息进行合法性验证;节点的标识信息可以包括节点的ID、或者节点的ID及对应的子密钥信息。优选地,生成组密钥可以包括从获取的所有子密钥信息及本地存储的子密钥信息中选择不大于组内节点总数目η的t个密钥信息生成组密钥。优选地,进一步可以包括对生成组密钥时选择的密钥信息对应的节点进行标记; 在发送至网络侧的节点信息中携带标记信息。为实现上述第二目的,根据本发明的另一个方面,提供了一种认证装置,包括接口模块,用于接收至少一个接入请求;密钥生成模块,用于从接收的接入请求中获取子密钥信息,并根据获取的子密钥信息生成组密钥;组认证模块,用于根据组密钥与网络侧交互进行组认证。还可以包括存储模块,用于存储组标识信息;组认证模块,还进一步用于根据接入请求及组标识信息生成携带组信息的组认证请求,发送至网络侧。优选地,存储模块还可以存储组内节点的标识信息,该装置进一步可以包括判别模块,用于根据组内节点的标识信息判断接入请求的节点为组外节点时,拒绝或删除接入请求。其中,组认证模块可以包括请求子模块,用于生成组认证请求,并接收网络侧对组认证请求的反馈消息;响应子模块,用于根据反馈消息及组密钥生成发送至网络侧的认证响应。密钥生成模块可以包括密钥恢复子模块,用于从获取的子密钥信息及本地存储的子密钥信息中选择不大于组内终端节点总数目η的t个密钥信息生成组密钥。还可以包括标记子模块,用于对生成组密钥时选择的密钥信息对应的节点进行标记,并在发送至网络侧的节点信息中携带标记信息;节点信息可以包括节点的ID、或者节点的ID及对应的子密钥信息、或者节点的ID及标记信息、或者节点的ID及对应的子密钥信息和标记信息。为实现上述第三目的,根据本发明的另一个方面,提供了一种网络侧的认证中心, 包括存储模块,用于存储组信息及对应的组密钥信息;组认证模块,用于根据组密钥信息对终端侧进行组认证。组认证模块可以包括接口子模块,用于接收终端侧的组认证请求,发送反馈消息,接收终端侧的组认证响应;认证子模块,用于根据组认证请求查找对应的组密钥信息, 生成反馈消息;根据组密钥验证组认证响应。存储模块还可以存储组对应的组内节点标识信息,认证子模块可以包括查询子模块,用于根据组认证请求中携带的组信息从存储模块查找对应的组密钥信息;生成子模块,用于根据组密钥信息生成组认证请求的反馈消息;验证子模块,用于根据组密钥验证终端侧的组认证响应;根据组内节点的标识信息验证节点信息的合法性,节点的标识信息可以包括节点的ID、或者节点的ID及对应的子密钥信息;节点信息可以包括节点的ID、或者节点的ID及对应的子密钥信息、或者节点的ID及标记信息、或者节点的ID及对应的子密钥信息和标记信息。为实现上述第四目的,根据本发明的另一个方面,提供了一种认证系统,包括终端节点,用于发送携带子密钥信息的接入请求;代表节点,用于接收至少一个终端节点的接入请求,获取子密钥信息;并根据子密钥信息生成组密钥;根据组密钥与网络侧进行组认证;认证中心,用于存储组信息及对应的组密钥信息,并根据组密钥信息对代表节点进行组认证。本发明各实施例的物联网通讯认证方法、装置、认证中心和系统,由于可以通过组认证方式由一个节点(代表节点)与网络侧交互,可以实现一次认证多个终端侧节点,大大解决现有一对一认证方式大量节点同时认证的网络资源消耗问题和服务器网络负荷的技术缺陷。本发明还可以在组认证通过时将本节点(代表节点)接受的接入请求的节点信息发送至网络侧,因此可以实现组交互认证,可以适用物联网中终端节点的认证并可以大大提高物联网业务的可用性。本发明还提供了将一组节点作为整体接入整体之外网络时的认证机制,保证了群组节点之间的逻辑关联性,解决现有技术中一对一认证所引起网络内部节点与外部网络的逻辑关系被割裂的缺陷。本发明还可以通过若干少于组内总节点的密钥恢复组密钥,可以避免因一个组成员故障造成其他组内节点无法接入的技术缺陷。本发明还可以在认证完成后,网络侧再次验证未参加密钥恢复节点的合法性,进一步验证接入节点的真实性。本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中图1为根据现有技术中的网络认证方式示意图;图2为根据本发明认证方法实施例一流程图;图3为根据本发明认证方法实施例二及系统实施例一示意图;图4为根据本发明认证方法实施例三及系统实施例二示意图;图5为根据本发明认证方法实施例四及系统实施例三示意图;图6为根据本发明认证装置实施例一示意图;图7为根据本发明认证中心实施例示意图。
具体实施例方式以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。方法实施例图2为根据本发明认证方法实施例一流程图,如图2所示,本实施例包括步骤S102 网络侧预先将物联网中具有同一行为特性/行为能力的终端节点组成一个群组,具体地,如具有拍摄、抓取特性的监控设备组成同一个组;并保存不同组内的信息,如组、组内节点、及该组进行认证的组密钥等信息,可以在每个组内设置至少一个代表
7节点步骤S104 组内的代表节点接收至少一个终端节点的携带子密钥的接入请求,根据子密钥生成组密钥;步骤S106 根据组密钥与网络侧进行组认证,具体的,网络侧根据存储的组信息, 获得组密钥,并进行后续与终端侧的认证(如,认证向量、认证响应)。在网络验证不通过的情况下,网络侧通知代表节点,因此,当代表节点与网络侧的认证通过后,将进行组认证的各节点信息发送至网络侧,从而网络侧根据节点信息确认哪些节点可以接入网络。本实施例具有如下优点可以通过一次与网络侧认证交互认证多个节点,从而避免了现有通信网络认证机制在未来大规模网络中认证时出现的网络资源消耗问题,可以适用物联网中终端节点的认证并可以大大提高物联网业务的可用性。现有的传感器等网络认证只是传感器网络内部的认证,本实施例提出的组认证方法是将一组节点作为一个整体接入此整体之外的网络时的认证方案,保证了群组节点之间的逻辑关联性,解决现有技术中一对一认证所引起网络内部节点与外部网络的逻辑关系被割裂的缺陷。图3为根据本发明认证方法实施例二及系统实施例一示意图。如图3所示的系统, 包括网络侧认证中心,如一个归属位置寄存器HomeA,存储有组A标识、组A内的节点标识(UE1-UE7的ID信息)、组密钥K,还可以存储组A的代表节点ID信息等与组相关的信息,具体实现时可以在认证中心以ID列表方式存在,具体可参见下表一表一网络侧认证中心存储的组信息
组组密钥组内节点标识代表节备注组A标识K(ID1, Kl), (ID2, Κ2), ...... (ID7, Κ7) 或 ID1,ID2,......ID7ID6, ID7代表节点备选,组密钥和节点标识必选组B标识K(ID8, K8),(ID9, K9),...... (ID12, K12) 或 ID8,ID9,......ID12ID10, IDll ·. ·. ·. ·.组A,由UE1,UE2,……,UE7组成,其中UE6、UE7为该组群的代表节点。UEl,…, UE5为终端节点,可以包括存储模块,用于存储子密钥信息及归属的至少一个代表节点信息,如UE6、UE7 ;请求模块,用于从代表节点信息中选取其中一代表节点发送接入请求。下面通过图3的示意图对本发明的认证方法举例说明1)组群A与归属节点HomeA共享组密钥K,HomeA利用门限机制算法,如 Asmuth-Bloom门限方案,将K分成7份K1,K2,……Κ7,通过预分配的方式分发给组群A中
8的所有节点UE1,UE2,……,UE7并分别保存。2)组群A中的所有节点UEl,UE2,……,UE7都可以通过私有协议相互通信,但选择终端能力较强的节点,如传感器网关或机器通讯(Machineto Machine,简称M2M)终端作为代表节点进行群组认证,如本实施例只有UE6或UE7拥有网络接入认证的功能,作为代表节点(也称认证节点)。组群中的代表节点可以为多个,根据组群情况及私有协议选取其中一个代表整个组群进行网络接入认证。3)认证时,所有节点将发送接入请求至代表节点。如UEl……UE7将其密钥份额及相应的ID,如(IDLKl),(ID2,K2),……(ID7,K7)传至代表节点,代表节点利用门限机制合成组密钥K,代表节点只要获取大于等于t(t < 7,t可以根据网络具体情况设置)份密钥即可恢复组密钥。从而避免因组群中的某个节点不可用造成的整个组群不可用的问题。4)组群A根据组内物理环境、节点利用率等条件,按照一定的原则,如轮换原则, 负载平衡原则等通过私有协议通信,选取节点UE6或UE7作为认证节点代表全组进行网络接入认证,其中代表节点可以在组认证请求中携带组A的标识,或者自身的ID从而方便网络侧查询相应的组密钥信息及生成认证向量便于后续认证。本领域技术人员应了解,采用本实施例,可以将物联网中具有同一行为特性/行为能力的终端节点组成一个群组,群组中选择终端能力较强的节点作为认证节点代表进行群组认证。核心网络侧的认证中心中存有该组的组群信息、共享组密钥K,以及组内用户的身份信息等。共享组密钥K被分成若干份由组群中的节点分别保存,只有大于等于t小于 η (η为组内总节点数目)份这些子密钥才能恢复共享组密钥K,从而既能保证能够从组群节点中恢复共享密钥信息使得代表节点可以代表全组成员节点与核心网络侧的认证中心交互认证,又能避免因一个组成员因损坏、没电等原因不能或不愿接入网络造成组内其他成员也无法接入网络。图4为根据本发明认证方法实施例三及系统实施例二示意图,本实施例可参考图 3理解认证过程步骤401 =UEijUE2,……,UE7根据私有协议,如最小生成树协议构成结构化逻辑层次,如构成树形结构。其中UE7为树根,UE1, UE2,……,UE7为同一组群;步骤402:υΕ1;……,将自己的 ID 及子密钥(ID1,K1),(ID2,K2),……(ID6,K6) 利用树形结构传送给UE7;冊8将自己的ID及子密钥(ID8,K8)传送给UE7,UE7根据存储的组内节点标识信息, 判断UE8非本组内节点,因此,直接返回拒绝响应,如“非法用户接入”;步骤403 =UE7根据接受的6份及本地的子密钥,共7份中选取任意t份,根据门限机制中的恢复密钥算法,计算得出组密钥KA,a)当组群A与网络侧认证中心HomeA进行鉴权时,由UE7向HomeA发起认证请求。b)UE7记录收到的子密钥的节点ID,并标记生成组密钥Ka时所使用的子密钥及其 ID,并将此信息在AKA认证完成后发送至核心网侧进行在线用户注册。步骤404 :HomeA收到来自代表节点的组认证请求后,根据组标识或代表节点 ID信息,找到对应的组密钥KA,计算会话密钥(Cryptographic key,简称CK)/完整密钥 (Integrated Key,简称IK)和认证向量,Ηοπκ5Α将认证向量发送给UE7 ;步骤405 =UE7根据认证向量及组密钥Ka算出对应的认证响应,并发送给HomeA进行双向认证,UE7还需要根据认证向量计算对应的CK/IK。为了保证安全,UE7在完成计算后应立刻丢弃Ka ;如果代表节点UE7在预定时间内没有接收到网络侧的认证不通过消息,则表示组认证通过,UE7利用会话密钥CK加密所有进行组认证的节点ID以及子密钥信息,并将此加密后的节点信息发送给Hoiik5a进行注册;优选地,节点ID及子密钥可以包含步骤40 )中的标记,便于后续网络侧进一步验证。步骤406 :HomeA进行在线用户注册,注册完成后通知UE7。本实施例中HomeA存储有组A、组A内的节点标识信息(UE1-UE7的ID、或者UE1-UE7的ID及对应的子密钥信息)、 组密钥KA,具体可如表一所示。HomeA根据标记确认有标记的节点合法性,并进一步验证没有标记的节点合法性, 具体地,对没有标记的节点信息,例如只有节点ID、或者有节点ID还有其对应的子密钥信息,可以通过与认证中心存储的节点标识进行对比,判断节点ID或子密钥信息是否一致从而验证节点的合法性。具体地,根据节点信息及网络侧存储的节点的标识信息的内容进行验证包括如下几种实现方式1.如果节点信息只携带有节点ID信息,则可以直接将节点ID与Hohk5a存储的组内节点标识中的节点ID进行比较,判断节点信息中的节点ID是否保存在组内节点标识中, 以此进行合法验证。2.如果节点信息中还携带有子密钥信息且均没有标记信息,则可以将节点信息的节点ID及子密钥与Hoiik5a存储的组内节点标识,如(ID1,K1),(ID2,K2),……(ID7,K7)等进行比较,以此进行合法验证。3.如果节点信息中除了节点ID还携带有标记信息,可以只验证没有标记的节点信息,如只验证节点ID、或者节点ID及对应子密钥等等,具体根据节点信息的内容进行上面第1或第2种方式相应的合法性验证。步骤407 =UE7将会话密钥CK发送给UE1,……UE6。UE1,……,UE7就可以利用CK 将用户数据加密并传输。本实施例管理密钥的认证中心HomeA将组A的组密钥Ka分成η份,并在组内用户身份信息中存储组内节点的ID及相应的密钥份额,即节点标识信息包括ID信息及子密钥信息。当组内的终端节点进行接入网络认证时,将各自的子密钥传至组认证代表节点,由代表节点按照门限机制算法从η份密钥信息中选取t份恢复出组密钥,发送至核心网络侧进行认证。由图4可知,由于组外节点没有对应的子密钥,所以无法获得组密钥K,进而无法通过该组认证接入网络;同时,由于门限机制算法的特殊性以及此处参数选择的限定,导致多于n-t份密钥的缺失,都无法通过认证,所以网络侧在接到合法的组认证请求时就可以认定组认证时至少包含了 t个合法节点,单钥认证结束后代表节点将接受的所有节点的ID 及密钥信息传送给认证中心,认证中心记录此信息,并以此来确认参与认证的所有节点的身份信息和组内未参与密钥恢复节点的合法性。本实施例可降低大量节点同时认证的资源消耗,并保持节点间的逻辑关联性。图5为根据本发明认证方法实施例四信令流程图及系统实施例三示意图,本实施例与图4实施例类似,具体过程包括
步骤501 =UE1, UE2,……,UE7根据协议(如最小生成树协议)构成结构化逻辑层次,如构成树形结构。其中UE7为树根,UE1, UE2,……,UE7为同一组群;步骤502 =UE1,……,UE5 将自己的 ID 及子密钥(ID1, K1),(ID2,K2),……(ID5, K5)利用树形结构传送给UE7 ;另外,组外的一节点UE8将自己的ID及子密钥(ID8,K8)传送
给 UE7 ;步骤503 =UE7从接收的6份子密钥,加上自身存储的子密钥K7选取其中4份,根据门限机制中的恢复密钥算法,计算得出组密钥KA,a)当组群A与网络侧认证中心HomeA进行鉴权时,由UE7向HomeA发起组认证请求。b)UE7记录收到的子密钥的成员ID,并标记恢复组密钥Ka时所使用的节点ID,并将此信息在AKA认证完成后发送至核心网侧进行在线用户注册。步骤504 :HomeA收到来自认证代表节点的认证请求后,根据组群信息,找到对应的组密钥Ka,由于UE7生成的组密钥是通过UE1,……,UE5,UE7,UE8选取4份生成,则UE7生成的组密钥有两种情况①生成组密钥时没有选取UE8,而是选取UE1,……UE5,UE7,中任意4份生成组密钥,因此,组密钥仍是正确的,HomeA计算会话密钥CK/完整密钥IK和认证向量,HomeA将认证向量发送给UE7,执行步骤505 ;②生成组密钥时选取UE8的子密钥,因此,组密钥与网络侧存储的不一致,此时 HomeA将认证向量发送给UE7,执行步骤505,但步骤505发送的认证响应必定错误,因此会在步骤506网络侧认证失败而结束;步骤505 =UE7根据认证向量及组密钥算出对应的组认证响应,并发送给Hoi^a进行双向认证,UE7还需要根据认证向量计算对应的CK/IK。为了保证安全,UE7在完成计算后应立刻丢弃Ka ;UE7利用会话密钥CK加密所收到的密钥信息的节点ID,并将此加密后的节点ID信息发送给HomeA进行注册。步骤506 :HomeA对组认证响应进行验证,当验证失败时,会发送验证失败消息,认证结束。如果组认证通过则对代表节点发送的节点信息进行在线用户注册,具体地,根据节点信息及网络侧存储的节点的标识信息的内容进行验证包括如下几种实现方式1.如果节点信息只携带有节点ID信息,则可以直接将节点ID与Hohk5a存储的组内节点标识中的节点ID进行比较,判断节点信息中的节点ID是否保存在组内节点标识中, 以此进行合法验证。2.如果节点信息中还携带有子密钥信息且均没有标记信息,则可以将节点信息的节点ID及子密钥与Hoiik5a存储的组内节点标识,如(ID1,K1),(ID2,K2),……(ID7,K7)等进行比较,以此进行合法验证。3.如果节点信息中除了节点ID还携带有标记信息,可以只验证没有标记的节点信息,如只验证节点ID、或者节点ID及对应子密钥等等,具体根据节点信息的内容进行上面第1或第2种方式相应的合法性验证。如本实施例即使步骤504生成的组密钥正确组认证通过,也在此合法验证步骤中验证UE8为非法用户,从而注册完成其他用户,并通知UE7。
步骤507 =UE7将会话密钥CK发送给UE1,……,UE5。UE1,……UE5, UE7便可利用 CK将用户数据加密并传输。通过上述实施例可看出,保证了组认证的合法性,对于不是本组内节点的接入可采用图4由代表节点直接拒绝接入,还可以如图5在认证中心进行后续验证接入节点的合法性,并在认证完成后再次判断未参加组密钥恢复节点的合法性,从而保证组认证的可靠性和准确性,避免其他非组内节点的“假”接入。图6为根据本发明认证装置实施例一示意图,该装置可以位于物联网中一组群的代表节点内,如图2-图5所示的代表节点UE7,如图6所示,本装置包括接口模块,用于接收至少一个终端节点的接入请求;密钥生成模块,用于从接收的接入请求中获取子密钥信息,并根据获取的子密钥信息生成组密钥;组认证模块,用于根据根据组密钥与网络侧交互进行组认证。该装置还可以包括存储模块,用于保存组标识信息;组认证模块,还用于根据接入请求及组标识信息生成携带组信息的组认证请求,发送至网络侧。组认证模块,还可以在组认证通过时,发送接入请求的节点信息至网络侧。组认证模块可以包括请求子单元,用于发送包含组信息或自身ID信息的组认证请求,此时存储模块可以存储如下表二所示,并接收网络侧对组认证请求的反馈消息(如认证向量);响应子单元,用于根据反馈消息及组密钥生成发送至网络侧的认证响应,如用于通过接口模块接收到网络侧对组认证请求的认证向量时,根据组密钥计算对应的组认证响应,并发送至网络侧。为保证安全性,响应子单元还可以在计算完成组认证响应后删除组密钥。其中,密钥生成模块可以包括密钥恢复子模块,用于从接受的接入请求携带的子密钥信息及自身存储的子密钥信息中选择不大于组内终端节点总数目η的t个密钥信息生成组密钥。密钥生成模块还可以包括标记子模块,用于对生成组密钥时选择的密钥信息对应的节点进行标记,并在发送至网络侧的节点信息中携带标记信息;节点信息包括节点 ID信息、节点ID信息和对应的标记信息。该装置存储模块还可以保存组内节点的标识信息;并进一步包括判别模块,用于根据组内节点的标识信息判断接入请求的节点为组外节点时,拒绝或删除接入请求,具体的可参见下表二方式存储表二终端侧代表节点存储的组信息
1权利要求
1.一种认证方法,其特征在于,包括接收至少一个接入请求,从所述接入请求中获取子密钥信息; 根据获取的子密钥信息生成组密钥; 根据所述组密钥与网络侧交互进行组认证。
2.根据权利要求1所述的认证方法,其特征在于,进一步包括 当所述组认证通过时,发送所述接入请求的节点信息至网络侧。
3.根据权利要求1所述的认证方法,其特征在于,所述生成组密钥包括从获取的所有子密钥信息和本地存储的子密钥信息中选择不大于组内节点总数目η 的t个密钥信息生成组密钥。
4.根据权利要求3所述的认证方法,其特征在于,进一步包括 对生成组密钥时选择的子密钥信息对应的节点进行标记;当所述组认证通过时,发送所述接入请求的节点信息至网络侧,所述节点信息中携带所述标记信息。
5.根据权利要求4所述的认证方法,其特征在于,发送所述接入请求的节点信息至网络侧之后还包括所述网络侧根据预存的组及组内节点的标识信息对所述节点信息进行合法性验证; 所述节点的标识信息包括节点的ID、或者节点的ID及对应的子密钥信息; 所述节点信息包括节点的ID及所述标记信息、或者节点的ID及对应的子密钥信息和所述标记信息。
6.根据权利要求1所述的认证方法,其特征在于,接收至少一个接入请求之后还包括 根据预存的组标识信息生成携带组信息的组认证请求;将所述携带组信息的组认证请求发送至网络侧;根据所述组密钥与网络侧交互进行组认证包括接收网络侧对所述组认证请求的反馈消息;根据所述反馈消息及所述组密钥生成发送至网络侧的组认证响应。
7.根据权利要求1所述的认证方法,其特征在于,接收至少一个终端节点的接入请求之后进一步包括根据预存的组内节点的标识信息判断所述接入请求为组外节点发送时,拒绝或删除所述接入请求。
8.根据权利要求1-7任一项所述的认证方法,其特征在于,接收至少一个接入请求之前还包括发起所述接入请求的终端节点根据组内网络环境条件,从预存的组内代表节点信息中选取其中一代表节点发送所述接入请求。
9.一种认证装置,其特征在于,包括 接口模块,用于接收至少一个接入请求;密钥生成模块,用于从接收的接入请求中获取子密钥信息,并根据获取的子密钥信息生成组密钥;组认证模块,用于根据所述组密钥与网络侧交互进行组认证。
10.根据权利要求9所述的认证装置,其特征在于,所述组认证模块进一步在组认证通过时,发送所述接入请求的节点信息至网络侧。
11.根据权利要求9所述的认证装置,其特征在于,所述密钥生成模块包括密钥恢复子模块,用于从获取的所有子密钥信息及本地存储的子密钥信息中选择不大于组内终端节点总数目η的t个密钥信息生成组密钥。
12.根据权利要求11所述的认证装置,其特征在于,还包括标记子模块,用于对生成组密钥时选择的密钥信息对应的节点进行标记,并在所述组认证通过时发送至网络侧的节点信息中携带所述标记信息;所述节点信息包括节点的ID及所述标记信息、或者节点的ID及对应的子密钥信息和所述标记信息。
13.根据权利要求9所述的认证装置,其特征在于,还包括 存储模块,用于存储组标识信息;所述组认证模块,还用于根据所述接入请求及所述组标识信息生成携带组信息的组认证请求,发送至网络侧,所述组认证模块包括请求子单元,用于生成所述组认证请求,并接收网络侧对所述组认证请求的反馈消息;响应子单元,用于根据所述反馈消息及所述组密钥生成发送至网络侧的组认证响应。
14.根据权利要求9-13任一项所述的认证装置,其特征在于,所述存储模块还存储组内节点的标识信息,所述装置进一步包括判别模块,用于根据所述组内节点的标识信息判断接入请求的节点为组外节点时,拒绝或删除所述接入请求。
15.一种认证中心,其特征在于,包括存储模块,用于存储组信息及对应的组密钥信息; 组认证模块,用于根据所述组密钥信息对终端侧进行组认证。
16.根据权利要求15所述的认证中心,其特征在于,包括归属位置寄存器HLR、归属用户数据库HSS。
17.根据权利要求15或16所述的认证中心,其特征在于,所述组认证模块包括 接口子模块,用于接收终端侧携带组信息的组认证请求,发送对应的反馈消息,接收终端侧的组认证响应;认证子模块,用于根据所述组认证请求查找对应的组密钥信息,生成所述反馈消息;根据所述组密钥验证所述组认证响应。
18.根据权利要求17所述的认证中心,其特征在于,所述存储模块还存储组信息对应的组内节点的标识信息;所述认证子模块包括查询子单元,用于根据所述组认证请求中携带的组信息从所述存储模块查找对应的组 S朗fn息;计算子单元,用于根据所述组密钥信息计算所述组认证请求的反馈消息; 验证子模块,用于根据所述组密钥验证终端侧的所述组认证响应;根据组内节点的标识信息验证所述节点信息的合法性;所述节点的标识信息包括节点的ID、或者节点的ID及对应的子密钥信息;所述节点信息包括节点的ID、或者节点的ID及对应的子密钥信息、或者节点的ID及所述标记信息、或者节点的ID及对应的子密钥信息和所述标记信息。
19.一种认证系统,其特征在于,包括终端节点,用于发送携带子密钥信息的接入请求;代表节点,用于接收至少一个终端节点的接入请求,获取子密钥信息;并根据子密钥信息生成组密钥;根据所述组密钥与网络侧进行组认证;认证中心,用于存储组信息及对应的组密钥信息,并根据组密钥信息对代表节点进行组认证。
20.根据权利要求19所述的认证系统,其特征在于,所述终端节点包括 存储模块,用于存储子密钥信息及归属的至少一个代表节点信息; 请求模块,用于从代表节点信息中选取其中一代表节点发送所述接入请求。
全文摘要
本发明公开了一种认证方法、装置、认证中心及系统,其中,该方法包括接收至少一个接入请求,从接入请求中获取子密钥信息;根据获取的子密钥信息生成组密钥;根据组密钥与网络侧交互进行组认证。本发明可解决现有技术中一对一认证造成的网络负担,实现一次认证多个节点,减少网络资源和服务器网络负荷,可以适用物联网中终端节点的认证并可以大大提高物联网业务的可用性。
文档编号H04L29/06GK102238146SQ20101016180
公开日2011年11月9日 申请日期2010年4月27日 优先权日2010年4月27日
发明者朱红儒, 焦文娟, 齐旻鹏 申请人:中国移动通信集团公司