专利名称:一种传感器节点的接入认证方法、装置及系统的制作方法
技术领域:
本发明涉及无线通信领域中的无线传感器网络技术和移动通信网络技术,尤其涉及一种传感器节点接入移动通信网络的接入认证方法、装置及系统。
背景技术:
物联网要真正得到大规模的应用,安全问题至关重要。因此,如何保证无线传感器网络的通信安全和信息安全至关重要。无线传感器网络除了具有AdHoc网络的移动性、断接性、能源受限等共同特性之外,还具有一些明显的特征网络规模更为庞大,节点数量更多、密度更大,属于大型动态自组网络;网络拓扑结构变化快,网络节点容易失效;网络中的传感器节点由电池供电,计算能力、存储能力和通信能力非常有限。这些特点使得无线传感器网络在安全性能上面临更大的挑战,而大多数现有的安全协议和保护机制都无法直接应用于无线传感器网络中。在物联网应用领域中,当传感器节点接入到现有移动通信网络中,移动通信网络对现有的传感器节点进行接入认证与鉴权是实现管理和计费的基础和关键。目前现有技术中的解决方案为在传感器节点上设置SIM卡,SIM卡中存储有认证密钥,当传感器节点接入移动通信网络时,由移动通信网络与传感器节点通过消息交互,根据各自存储的认证密钥, 对传感器节点进行接入认证。但是上述方案需要在每个传感器节点上设置SIM卡,并且传感器节点与移动通信网络之间的消息交互采用的是移动通信网络协议,所以,当无线传感器网络中的传感器节点数量很大时,将占用移动通信网络中的大量处理资源,进而影响移动通信网络对非传感器节点的移动终端的服务质量。
发明内容
本发明实施例提供一种传感器节点的接入认证方法、装置及系统,用以解决现有技术中存在的由于传感器节点的接入认证降低了移动通信网络对移动终端的服务质量的问题。本发明实施例提供一种传感器节点的接入认证方法,包括传感器节点向汇聚节点发送接入请求,并通过所述汇聚节点将所述接入请求发送给移动通信网络的网络侧;并接收所述汇聚节点转发的所述网络侧发送的接入认证消息;以及基于所述接入认证消息和存储的认证密钥,生成接入认证响应,并通过所述汇聚节点将所述接入认证响应发送给所述网络侧,用于所述网络侧对所述传感器节点进行接入认证。本发明实施例还提供一种传感器节点,包括发送单元,用于向汇聚节点发送接入请求,并通过所述汇聚节点将所述接入请求发送给移动通信网络的网络侧;并通过所述汇聚节点将生成的接入认证响应发送给所述网络侧,用于所述网络侧对本传感器节点进行接入认证;接收单元,用于接收所述汇聚节点转发的所述网络侧发送的接入认证消息;认证单元,用于基于所述接入认证消息和存储的认证密钥,生成接入认证响应。本发明实施例还提供一种汇聚节点,包括第一交互单元,用于接收所述传感器节点发送的接入请求;并将接收的移动通信网络的网络侧发送的接入认证消息转发给所述传感器节点;以及接收所述传感器节点发送的接入认证响应;第二交互单元,用于将所述接入请求转发给所述网络侧;并接收所述网络侧发送的接入认证消息;以及将所述接入认证响应转发给所述网络侧。本发明实施例还提供一种传感器节点的接入认证系统,包括传感器节点、汇聚节点和移动通信网络的网络侧的认证装置,其中所述传感器节点,用于向所述汇聚节点发送接入请求;并接收所述汇聚节点发送的接入认证消息;以及基于所述接入认证消息和存储的认证密钥,生成接入认证响应,并发送给所述汇聚节点;所述汇聚节点,用于接收所述接入请求,转发给所述认证装置;并接收所述认证装置发送的所述接入认证消息,转发给所述传感器节点;以及接收所述接入认证响应,并转发给所述认证装置;所述认证装置,用于接收所述接入请求;并向所述汇聚节点发送接入认证消息; 以及接收所述接入认证响应,用于对所述传感器节点进行接入认证。本发明实施例提供的方法中,传感器节点在接入移动通信网络的接入认证过程中,传感器节点与移动通信网络的网络侧进行消息交互时,所交互的消息均是通过汇聚节点进行转发,而不再需要传感器节点与移动通信网络的网络侧直接交互,且传感器节点与汇聚节点之间的通信可以采用无线传感器网络的通信协议,所以不再需要传感器节点具备移动通信网络的通信能力,也就避免了在传感器节点上设置S頂卡,从而传感器节点不会占用移动通信网络的处理资源,进而减少了传感器节点接入移动通信网络的接入认证对其它移动终端的服务质量的影响。
图1为本发明实施例图2为本发明实施例图3为本发明实施例图4为本发明实施例图5为本发明实施例图6为本发明实施例图7为本发明实施例图8为本发明实施例
提供的传感器节点的接入认证方法的流程图; 1中传感器节点接入移动通信网络的拓扑结构示意图 1提供的传感器节点的接入认证方法的流程图; 1中网络侧进行认证计算的示意图; 1中传感器节点进行认证计算的示意图; 2提供的传感器节点的结构示意图; 3提供的汇聚节点的结构示意图; 4提供的传感器节点的接入认证系统的结构示意图。
具体实施例方式
为了给出减少了传感器节点接入移动通信网络对其它移动终端的服务质量的影响的实现方案,本发明实施例提供了一种传感器节点的接入认证方法、装置及系统,以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。并且在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。本发明实施例提供一种传感器节点的接入认证方法,如图1所示,包括步骤S101、传感器节点向汇聚节点发送接入请求,并通过汇聚节点将接入请求发送给移动通信网络的网络侧。步骤S102、接收汇聚节点转发的网络侧发送的接入认证消息。步骤S103、基于该接入认证消息和存储的认证密钥,生成接入认证响应,并通过汇聚节点将接入认证响应发送给网络侧,用于网络侧对该传感器节点进行接入认证。下面结合附图,用具体实施例对本发明提供的方法及装置和相应系统进行详细描述。实施例1 图2为本发明实施例1中无线传感器网络的传感器节点接入移动通信网络的拓扑结构示意图,图3为提供的传感器节点的接入认证方法的流程图,包括步骤S301、传感器节点向汇聚节点SINK节点发送接入请求,接入请求中携带该传感器节点的ID信息。步骤S302、汇聚节点接收到接入请求后,将该接入请求转发给移动通信网络的网络侧,以便网络侧进行后续的接入认证处理。具体可以是将该接入请求发送给拜访位置寄存器VLR,如果VLR根据该接入请求中携带的ID信息确定该传感器节点为本域用户,则可以直接进行后续的接入认证处理,如果不是本域用户,则将该接入请求转发给归属位置寄存器HLR,由HLR进行后续的接入认证处理。后续的接入认证处理可以是将接入请求转发给网络侧专用的认证装置,由认证装置执行相应的认证流程。步骤S303、网络侧接收到该接入请求后,根据设定的接入认证算法,进行接入认证的相关处理,本发明实施例1中以采用认证与密钥协商AKA算法为例进行描述,具体如下从接入请求中获取携带的传感器节点的ID信息,并根据该ID信息查找出对应的认证密钥Kc,Kc也为传感器节点与网络侧的共享密钥,并产生新的序列号SQN和随机数 RAND,以及根据Kc、SQN和RAND采用各种设定算法生成认证需要的各认证数据,如图4所示,包括消息认证码MAC :MAC = FlK (SQN, RAND, AMF, Kc);期望的认证应答XRES =XRES = F2K(RAND, Kc);会话密钥CK :CK = F3K (RAND, Kc);完整性密钥IK :IK = F4K(RAND, Kc);匿名密钥AK :AK = F5K (RAND, Kc);网络认证令牌 AUTN =AUTN = (SQN ? AK, AMF, MAC),其中,SQN ? AK,表示使用 AK 对SQN进行运算得到的结果,如“ ? ”表示按位异或的运算,即使用AK来对SQN进行加密,以隐藏SQN,以避免SQN可能会暴露用户的位置信息。如果不需要隐藏SQN,可以在AUTN直接携带SQN。
其中,FlK和FI为消息认证函数,用于通过计算生成认证数据,包括MAC和XRES ; F3K、F4K和^K为密钥生成函数,用于通过计算生成密钥数据,包括CK、IK和AK。网络侧的具体流程可以如下如果是本域用户,由VLR发起认证时,则是由VLR向网络侧的认证装置发送与该传感器节点对应的接入认证请求,由认证装置执行上述计算,得到各认证数据,并将各认证数据发送给VLR ;如果非本域用户,由HLR发起认证时,则是由HLR向网络侧的认证装置发送与该传感器节点对应的接入认证请求,并由认证装置执行上述计算,得到各认证数据,并将各认证数据发送给HLR。步骤S304、在网络侧进行上述步骤S303中的计算,得到相关认证数据和密钥后, 向汇聚节点发送与该传感器节点对应的接入认证消息,其中携带第一认证数据,包括RAND 禾口 AUTN0网络侧的具体流程可以如下如果是本域用户,由VLR发起认证时,由VLR根据各认证数据生成接入认证消息, 并发送给汇聚节点;如果非本域用户,由HLR发起认证时,由HLR根据各认证数据生成接入认证消息, 并发送给VLR,再由VLR将接入认证消息发送给汇聚节点。步骤S305、汇聚节点在接收到接入认证消息后,将该接入认证消息转发给对应的该传感器节点。步骤S306、传感器节点接收到该接入认证消息后,根据设定的接入认证算法,进行接入认证的相关处理,例如,与上述步骤S303中采用的AKA算法相对应的,具体执行如下操作流程传感器节点从接入认证消息中获取RAND和AUTN,并进一步从AUTN中确定出SQN AK、AMF和MAC,并获取存储的认证密钥Kc,并进行如图5所示的各种计算得到认证需要的各认证数据,包括匿名密钥AK =AK = F5K(RAND, Kc),然后使用AK恢复出序列号SQN ;期望的消息认证码XMAC = FlK(SQN, RAND, AMF, Kc),并在计算出XMAC后,将其与 AUTN中携带的MAC进行比较,用于传感器节点对网络侧的身份进行认证,如果相等,表示网络身份认证通过,不相等则不通过。如图5所示,在对网络身份认证通过后,还计算出认证应答RES :RES = F2K (RAND, Kc);会话密钥CK :CK = F3K (RAND, Kc);完整性密钥IK :IK = F4K(RAND, Kc)。在得到CK和IK之后,将CK作为会话密钥,加密传感器节点发送给移动通信网络的数据,防止数据被窃取;IK作为完整性密钥对传感器节点发送给移动通信网络的数据进行摘要算法,以防止数据被篡改。与现有技术中在传感器节点设置SIM卡,并在SIM卡中存储Kc不同,本发明实施例1中,传感器节点采用内置方式在本地存储认证密钥Kc,具体可以采用如下方式之一在传感器节点的可信芯片中存储Kc 在传感器硬件设备中内置可信芯片,对Kc进行全面保护,在传感器节点启动时,首先进行设备完整性检测,保护Kc ;在传感器节点的射频识别RFID芯片中存储Kc ;在传感器节点的内存特定区域中存储Kc:在传感器节点的内存中单独设置独立区域,对Kc进行口令加密存储,口令由用户向运营商申请,由用户单独保存;在传感器节点的软终端中存储Kc:在传感器节点的嵌入式操作系统中,设计和开发具有较高安全密度的特点软件,负责存放和使用Kc。由于SIM卡造价较高,传感器节点数量众多,如果每一个传感器都采用SIM卡,在移动网络中,造成运营和管理成本增加。并且,SIM卡对终端系统要求较高,传感器节点能量有限、计算能力有限,不能有效支持SIM卡的使用。而在传感器节点中采用上述各种内置方式存储Kc,相比较SIM卡内置密钥方式, 具有成本低廉的优势,且对Kc的获取和使用效率更高,完全可以满足传感器节点的安全需求。步骤S307、传感器节点向汇聚节点发送接入认证响应,其中携带生成的第二认证数据,包括RES。步骤S308、汇聚节点在接收到接入认证响应后,将该接入认证响应转发给网络侧, 具体可以是转发给VLR。步骤S309、网络侧在接收到与该传感器节点对应的该接入认证响应后,从中获取携带的RES,并与上述步骤S303中计算出的XRES进行比较,以对该传感器节点进行接入认证,如果比较结果为相等,表示认证通过,不相等,标识认证失败。在认证通过后,保存CK和 IK。网络侧的具体流程可以如下如果是本域用户,由VLR发起认证时,VLR在接收到该接入认证响应后,根据该接入认证响应对该传感器节点进行接入认证。如果非本域用户,由HLR发起认证时,VLR将接收的接入认证响应转发给HLR,由 HLR根据该接入认证响应对该传感器节点进行接入认证。采用上述实施例1所示的传感器节点的接入认证方法,不再需要传感器节点与移动通信网络的网络侧直接交互,且传感器节点与汇聚节点之间的通信可以采用无线传感器网络的通信协议,所以不再需要传感器节点具备移动通信网络的通信能力,也就避免了在传感器节点上设置SIM卡,从而传感器节点不会占用移动通信网络的处理资源,进而减少了传感器节点接入移动通信网络对其它移动终端的服务质量的影响。并且,在传感器节点中采用内置方式存储Kc,相比较SIM卡内置密钥方式,降低了使用成本,且对Kc的获取和使用效率更高。并且,采用的认证算法为AKA算法,相比现有技术中采用RSA算法进行身份认证, 减少了算法的复杂度,更便于计算能力有限的传感器节点有效支持认证算法。实施例2 基于同一发明构思,根据本发明上述实施例提供的传感器节点的接入认证方法, 相应地,本发明实施例2还提供了一种传感器节点,其结构示意图如图6所示,包括发送单元601,用于向汇聚节点发送接入请求,并通过汇聚节点将接入请求发送给移动通信网络的网络侧;并通过汇聚节点将生成的接入认证响应发送给网络侧,用于网络侧对本传感器节点进行接入认证;接收单元602,用于接收汇聚节点转发的网络侧发送的接入认证消息;认证单元603,用于基于接入认证消息和存储的认证密钥,生成接入认证响应。较佳的,认证单元603,还用于在基于接入认证消息和存储的认证密钥,生成携带接入认证响应之前,获取接入认证消息中携带的第一认证数据;并根据第一认证数据和认证密钥,对网络侧进行认证通过。较佳的,认证单元603,具体用于根据第一认证数据和认证密钥,采用设定算法生成第二认证数据;并生成携带第二认证数据的接入认证响应。较佳的,上述传感器节点,还包括 存储单元604,用于采用内置方式在本地存储认证密钥。较佳的,存储单元604为可信芯片、射频识别芯片、内存特定区域或软终端。实施例3 基于同一发明构思,根据本发明上述实施例提供的传感器节点的接入认证方法, 相应地,本发明实施例3还提供了一种汇聚节点,其结构示意图如图7所示,包括第一交互单元701,用于接收传感器节点发送的接入请求;并将接收的移动通信网络侧发送的接入认证消息转发给传感器节点;以及接收传感器节点发送的接入认证响应;第二交互单元702,用于将接入请求转发给网络侧;并接收网络侧发送的接入认证消息;以及将接入认证响应转发给网络侧。实施例4 基于同一发明构思,根据本发明上述实施例提供的传感器节点的接入认证方法, 相应地,本发明实施例4还提供了一种传感器节点的接入认证系统,其结构示意图如图8所示,包括传感器节点801、汇聚节点802和移动通信网络的网络侧的认证装置803,其中传感器节点801,用于向汇聚节点802发送接入请求;并接收汇聚节点802发送的接入认证消息;以及基于接入认证消息和存储的认证密钥,生成接入认证响应,并发送给汇聚节点802 ;汇聚节点802,用于接收接入请求,转发给认证装置803 ;并接收认证装置703发送的接入认证消息,转发给传感器节点801 ;以及接收接入认证响应,并转发给认证装置803 ;认证装置803,用于接收接入请求;并向汇聚节点802发送接入认证消息;以及接收接入认证响应,用于对传感器节点801进行接入认证。综上所述,本发明实施例提供的方案,包括传感器节点向汇聚节点发送接入请求,并通过汇聚节点将接入请求发送给移动通信网络的网络侧;并接收汇聚节点转发的网络侧发送的接入认证消息;以及基于该接入认证消息和存储的认证密钥,生成接入认证响应,并通过汇聚节点将接入认证响应发送给网络侧,用于网络侧对该传感器节点进行接入认证。采用本发明实施例提供的方案,能够减少传感器节点接入移动通信网络的接入认证对其它移动终端的服务质量的影响。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1.一种传感器节点的接入认证方法,其特征在于,包括传感器节点向汇聚节点发送接入请求,并通过所述汇聚节点将所述接入请求发送给移动通信网络的网络侧;并接收所述汇聚节点转发的所述网络侧发送的接入认证消息;以及基于所述接入认证消息和存储的认证密钥,生成接入认证响应,并通过所述汇聚节点将所述接入认证响应发送给所述网络侧,用于所述网络侧对所述传感器节点进行接入认证。
2.如权利要求1所述的方法,其特征在于,在基于所述接入认证消息和存储的认证密钥,生成携带接入认证响应之前,还包括获取所述接入认证消息中携带的第一认证数据;并根据所述第一认证数据和所述认证密钥,对所述网络侧进行认证通过。
3.如权利要求2所述的方法,其特征在于,基于所述接入认证消息生成携带接入认证响应,具体包括根据所述第一认证数据和所述认证密钥,采用设定算法生成第二认证数据;并生成携带所述第二认证数据的接入认证响应。
4.如权利要求1所述的方法,其特征在于,由网络侧的拜访位置寄存器VLR接收所述汇聚节点发送的所述接入请求;当根据所述接入请求中携带的所述传感器节点的ID信息确定所述传感器节点为所述 VLR的本域用户时,所述VLR向网络侧的认证装置发送与所述传感器节点对应的接入认证请求,并接收所述认证装置返回的认证数据,并根据所述认证数据生成所述接入认证消息, 并发送给所述汇聚节点;以及所述VLR接收所述汇聚节点发送的所述接入认证响应,并根据所述接入认证响应对所述传感器节点进行接入认证;当根据所述接入请求中携带的所述传感器节点的ID信息确定所述传感器节点非所述 VLR的本域用户时,所述VLR将所述接入请求转发给对应的归属位置寄存器HLR ;所述HLR 向网络侧的认证装置发送与所述传感器节点对应的接入认证请求,并接收所述认证装置返回的认证数据,并根据所述认证数据生成所述接入认证消息,并转发给所述VLR ;所述VLR 将所述接入认证消息发送给所述汇聚节点;以及所述VLR接收所述汇聚节点发送的所述接入认证响应,并将所述接入认证响应转发给所述HLR ;所述HLR根据所述接入认证响应对所述传感器节点进行接入认证。
5.如权利要求1-4任一所述的方法,其特征在于,所述传感器节点采用内置方式在本地存储所述认证密钥。
6.如权利要求5所述的方法,其特征在于,所述内置方式为如下方式之一 在所述传感器节点的可信芯片中存储所述认证密钥;在所述传感器节点的射频识别芯片中存储所述认证密钥; 在所述传感器节点的内存特定区域中存储所述认证密钥; 在所述传感器节点的软终端中存储所述认证密钥。
7.—种传感器节点,其特征在于,包括发送单元,用于向汇聚节点发送接入请求,并通过所述汇聚节点将所述接入请求发送给移动通信网络的网络侧;并通过所述汇聚节点将生成的接入认证响应发送给所述网络侧,用于所述网络侧对本传感器节点进行接入认证;接收单元,用于接收所述汇聚节点转发的所述网络侧发送的接入认证消息;认证单元,用于基于所述接入认证消息和存储的认证密钥,生成接入认证响应。
8.如权利要求7所述的传感器节点,其特征在于,所述认证单元,还用于在基于所述接入认证消息和存储的认证密钥,生成携带接入认证响应之前,获取所述接入认证消息中携带的第一认证数据;并根据所述第一认证数据和所述认证密钥,对所述网络侧进行认证通过。
9.如权利要求8所述的传感器节点,其特征在于,所述认证单元,具体用于根据所述第一认证数据和所述认证密钥,采用设定算法生成第二认证数据;并生成携带所述第二认证数据的接入认证响应。
10.如权利要求7-9任一所述的传感器节点,其特征在于,还包括存储单元,用于采用内置方式在本地存储所述认证密钥。
11.如权利要求10所述的传感器节点,其特征在于,所述存储单元为可信芯片、射频识别芯片、内存特定区域或软终端。v
12.—种汇聚节点,其特征在于,包括第一交互单元,用于接收所述传感器节点发送的接入请求;并将接收的移动通信网络的网络侧发送的接入认证消息转发给所述传感器节点;以及接收所述传感器节点发送的接入认证响应;第二交互单元,用于将所述接入请求转发给所述网络侧;并接收所述网络侧发送的接入认证消息;以及将所述接入认证响应转发给所述网络侧。
13.—种传感器节点的接入认证系统,其特征在于,包括传感器节点、汇聚节点和移动通信网络的网络侧的认证装置,其中所述传感器节点,用于向所述汇聚节点发送接入请求;并接收所述汇聚节点发送的接入认证消息;以及基于所述接入认证消息和存储的认证密钥,生成接入认证响应,并发送给所述汇聚节点;所述汇聚节点,用于接收所述接入请求,转发给所述认证装置;并接收所述认证装置发送的所述接入认证消息,转发给所述传感器节点;以及接收所述接入认证响应,并转发给所述认证装置;所述认证装置,用于接收所述接入请求;并向所述汇聚节点发送接入认证消息;以及接收所述接入认证响应,用于对所述传感器节点进行接入认证。
全文摘要
本发明公开了一种传感器节点的接入认证方法、装置及系统,包括传感器节点向汇聚节点发送接入请求,并通过汇聚节点将接入请求发送给移动通信网络的网络侧;并接收汇聚节点转发的网络侧发送的接入认证消息;以及基于该接入认证消息和存储的认证密钥,生成接入认证响应,并通过汇聚节点将接入认证响应发送给网络侧,用于网络侧对该传感器节点进行接入认证。采用本发明实施例提供的方案,能够减少传感器节点接入移动通信网络的接入认证对其它移动终端的服务质量的影响。
文档编号H04W84/18GK102487505SQ201010574508
公开日2012年6月6日 申请日期2010年12月6日 优先权日2010年12月6日
发明者李捷, 温雪垠, 韩志杰 申请人:中国移动通信集团河南有限公司