一种大规模物联网场景下基于身份的跨域认证方法

技术领域

本发明涉及网络与信息安全领域，尤其涉及一种大规模物联网场景下基于身份的跨域认证方法。

背景技术

1)基于身份加密的算法

基于身份加密的算法中的公钥是由用户的身份标识生成的，这样可以很好的保证公钥不被篡改及可被验证。基于身份的加密方案中的私钥通常由私钥生成机构产生，用户向私钥生成机构发送请求后，私钥生成机构将根据该用户的身份计算私钥，并通过安全信道发给用户。在基于身份加密的算法中，密钥在更换或者撤销时用户的公钥均无需更换。

基于身份加密的算法主要包括4个步骤：系统初始化，密钥生成，加密和解密。

(1)系统初始化(产生系统的相关参数)：

G

私钥生成机构选择一个随机数

(2)密钥生成

如果向私钥生成机构认证的用户身份为ID∈{0，1}

(3)加密

假设发送方需要发送的加密信息为m，m∈M，发送方计算Q

(4)解密

接收方收到密文c＝(U，V)，并对其进行解密。检查U∈G

2)跨域参数认证算法

为了对跨域的身份进行认证，发送方A的信息M在进行加密发送给接收方B的同时，发送方A还会额外发送给接收方B一个信息sQ

3)分层跨域认证

节点域指的是由一个密钥管理中心和若干子节点构成的管理单元，域内共享同一密钥参数。分层跨域的结构形式主要是将物联网中的节点分成多个分级的节点域。如图2所示。

分层跨域验证的方式主要是根据子节点对祖先节点身份的信任这一属性。跨域间的节点将自己的身份信息告知自己的祖先节点，然后通过两个跨域节点的共同祖先节点进行身份认证。如图3所示：

若要跨域通信，发送方需要先和自己的祖先节点进行通信，顶级祖先节点通过顶级域与接收方的顶级祖先节点进行通信，然后接收方的顶级祖先节点将消息传递给接收方。

上述现有的认证方法的需要进行多次的通信，身份认证的效率较低，不适用于大型的节点较多的物联网系统。

发明内容

本发明的目的是提出一种效率较高的物联网跨域节点身份认证的方法，可以在无需额外通信的条件下实现对跨域节点的身份信息验证。

本发明的技术方案为：一种大规模物联网场景下基于身份的跨域认证方法，顶级域的公开密钥为sP，其中，包括不同的域节点U

步骤(1)节点U

判断节点U

步骤(1.1)若节点U

a)节点U

b)节点U

步骤(1.2)若节点U

a)节点U

b)节点U

c)节点U

d)节点U

e)逐层验证，直至验证到包的最内层，即使用已经验证后的公开密钥和标识信息对节点U

步骤(2)、若验证成功，则跨域间身份认证过程结束，存储获取的ID

进一步的，所述步骤(1)之前，还包括节点身份验证信息生成步骤，节点U

进一步的，所述顶级节点的身份验证信息生成步骤，具体方式如下：

(1)顶级节点U

(2)顶级节点用自己的身份信息ID

进一步的，所述非顶级节点在加入父节点的节点域时，由父节点生成该节点的身份验证信息，具体如下：

(1)节点U

(2)若节点U

(3)节点U

有益效果

本发明的验证方法相对于现有技术，具有如下优点：

1)适用性广：能广泛适用于大型的节点较多的物联网系统中的通信及身份信息验证。

2)高效性：跨域间节点进行身份验证时无需额外的通信条件，也不需要与祖先节点进行通信，只需在本地对对方的验证信息进行计算验证即可，减少通信的开销，提高了认证的效率。

3)安全性：该身份验证方法为基于身份的加密算法，可以抵抗被动攻击，冒充攻击和重放攻击等多种攻击。

4)权力下放：允许除顶级节点外同一链路上的父节点可以分发身份验证信息，提高了节点在生成域获取自身验证信息的效率，减少了顶级节点的工作负荷。

5)便捷性：每个节点加入系统后只需将获取的身份验证信息保存在本地，随后在进行身份验证时将该信息公开发送给对方节点进行验证即可，无需额外的加密操作。

附图说明

图1跨域参数认证算法；

图2节点域示意图；

图3分层跨域验证方式；

图4物联网基于身份的分层加密示意图；

图5非顶级节点加入域示意图；

图6跨域间顶级节点身份认证；

图7跨域间非顶级节点身份认证。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例仅为本发明的一部分实施例，而不是全部的实施例，基于本发明中的实施例，本领域的普通技术人员在不付出创造性劳动的前提下所获得的所有其他实施例，都属于本发明的保护范围。

由于物联网中顶级域的公开密钥为已知的，且所有节点均为顶级域引出的下层链路中的节点，因此所有节点均信任顶级域和顶级域的公开密钥。顶级域可以使用其公开密钥生成供跨域节点间身份认证的相关信息，也可以将权利进行下放，使得下层的节点也可以生成该身份认证信息。物联网中基于身份的分层加密结构如图4所示。

假设顶级域的公开密钥为sP，现将详细描述不同的域节点U

1)节点身份验证信息生成过程

节点U

首先我们阐述顶级节点的身份验证信息生成过程，具体方式如下：

(1)顶级节点U

(2)顶级节点用自己的身份信息ID

非顶级节点在加入父节点的节点域时，由父节点生成该节点的身份验证信息，如图5所示，具体阐述如下：

(1)节点U

(2)若节点U

(3)节点U

节点U

2)跨域节点身份认证的过程

若节点U

下面将详细说明节点U

(1)假设节点U

c)节点U

d)节点U

(2)假设节点U

f)节点U

g)节点U

h)节点U

i)节点U

j)按照上述的方法进行逐层的验证，直至验证到包的最后一层，即使用已经验证后的公开密钥和标识信息对节点U

k)若验证成功，则跨域间身份认证过程结束，存储获取的ID

应用举例

本发明中的节点对应的是大规模物联网场景中的网络节点。在面临大规模物联网系统中网络节点较多的情况下，不同节点域间的网络节点往往需要进行跨域间的通信。然而，跨域间的网络节点并不能信任对方节点的身份，因此需要对对方网络节点的身份信息进行验证。

根据本发明的一个实施例，若大规模物联网系统下第一层的第七个网络节点U

1、身份验证信息的生成

节点U

节点U

2、身份认证

现节点U

节点U

a)先对SM

b)对SM

c)对SM

d)使用验证后的公开密钥s

最后可以得到验证后的公开密钥s

尽管上面对本发明说明性的具体实施方式进行了描述，以便于本技术领域的技术人员理解本发明，且应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。