【技術實現步驟摘要】
本專利技術涉及信息安全,更具體的說是涉及一種面向無線傳感器網絡的基于puf的輕量級多網關的身份認證與密鑰協商方法。
技術介紹
1、目前,面向無線傳感器網絡中的密鑰交換方法大多以單網關為主,少數使用多網關或者多網關相互協作,此外多網關會有大量的計算量,消耗大量的計算資源,無法達到輕量級。其中單網關作為可信機構負責普通用戶和傳感器設備的注冊,信息傳遞和密鑰協商等。而多網關則仍然借助一個可靠中心節點網關負責注冊等其他功能。在目前無線傳感器網絡中使用的網絡結構無論是單網關或多網關,在中心網關節點發生故障時都沒有其他備用網關可以保障系統的正常運行,并無法通過多個網關實現負載均衡。所以設計一種既能夠實現故障備用,也能實現負載均衡且輕量級的網絡結構,以實現可行安全的協議是本領域技術人員亟需解決的問題。
技術實現思路
1、有鑒于此,本專利技術提供了一種基于puf的輕量級多網關的身份認證與密鑰協商方法,不僅能夠實現網關故障備用,負載均衡、具備輕量級特性,且密鑰協商過程安全性高。
2、為了實現上述目的,本專利技術采用如下技術方案:
3、一種基于puf的輕量級多網關的身份認證與密鑰協商方法,包括以下步驟:
4、s1、初始化階段:建立各網關各自的puf函數,主網關生成主密鑰y并共享給其他網關,建立各網關之間的安全信道和通信策略,建立各網關的數據共享策略;
5、s2、用戶注冊階段:用戶端注冊時,計算各自的hid參數和本地驗證參數ver,將hid參數發送至主網關
6、主網關根據隨機數cd計算重要參數rd,將{cd,rd,hid}進行本地保存,并共享至其他網關進行保存,再將挑戰應答機制對{cd,rd}發送給對應的用戶端保存;
7、s3、傳感器設備注冊階段:傳感器設備注冊時,根據自身身份標識sid計算各自的sd=puf2(sid),將{sid,sd}發送至主網關保存,并共享給其他網關保存;主網關根據自己的主密鑰y計算kj=h(sid||sd||y),并將kj發送至對應的傳感器設備保存;
8、s4、密鑰協商階段:當用戶端與傳感器設備進行數據交互時,利用注冊階段計算出的挑戰應答機制對、kj和臨時生成的隨機數協商出會話密鑰,并利用會話密鑰加密所需傳輸的數據;在每輪會話結束后,將之前的挑戰應答機制對進行更新、保存和共享。
9、進一步的,還包括:
10、s5、用戶口令更新階段:
11、當用戶端需要對本地驗證參數ver進行更新時,先進行本地身份驗證,驗證通過后利用新的口令、身份標識和生物特征計算新的本地驗證參數并保存。
12、進一步的,還包括:
13、s6、用戶注銷階段:
14、當某一用戶端需要注銷時,先在用戶端進行本地身份驗證,再將注銷請求發送至主網關,主網關對注銷消息驗證通過后,將需要注銷的用戶端的hid參數和注銷請求共享至其他網關,各網關刪除數據庫中關于該用戶端對應的記錄;當該注銷用戶端需要重新訪問傳感器設備時,重新進入注冊階段。
15、進一步的,s1中,各網關的通信策略為:網關之間兩兩互通,各個網關當前cpu利用率設定為75%,當某一網關的cpu利用率超過75%時,將所接收到的信息轉發至下一空閑網關進行相關運算。
16、進一步的,s2用戶注冊階段包括:
17、s21、用戶端輸入自己的身份標識id,口令pw和生物特征bio,計算bi=biohashing(bio),ei=puf1(bio),gpw=h(id||ei||pw)和hid=h(id||ei),通過安全信道將hid參數發送至主網關,接著計算本地身份驗證參數ver=h(gpw||ei||pw),并將其保存在本地;
18、s22、主網關收到hid參數后,產生一個隨機數cd,計算重要參數將{cd,rd,hid}保存在自己的數據庫中,再將{cd,rd,hid}通過安全信道廣播至其他網關,其他網關將{cd,rd,hid}保存至自己的數據庫中;
19、s23、主網關將挑戰應答機制對{cd,rd}廣播至其他網關實現數據共享后,通過安全信道將挑戰應答機制對{cd,rd}發送給用戶端,用戶端收到信息后,進行本地保存。
20、進一步的,s4密鑰協商階段包括:
21、s41、當用戶端與傳感器設備需要進行數據交互時,用戶端進行本地身份驗證,驗證通過后,用戶端提取出注冊時保存在本地的挑戰響應對{cd,rd},并產生一個時間戳t1,計算hid=h(id||ei),n2=h(gpw||n1||rd),n4=h(n1||n2||n3||hid),計算完成后,將消息m1={cd,n1,n3,n4,t1}通過公共信道發送給主網關;
22、s42、主網關收到消息m1后,產生當前時間戳t1’,依次驗證cpu的使用率、消息時效性和消息是否被篡改,驗證均通過后,計算在網關數據庫中檢索sid',若不存在,則說明傳感器設備尚未注冊,若存在,則提取出參數sd,產生當前時間戳t2,并計算k'j=h(sid||sd||y),和n6=h(k'j||n5||rd||sd),將消息m2={n5,n6,t2}通過公共信道發送給相應的傳感器設備;
23、s43、當傳感器設備收到消息m2后,產生當前時間戳t2’,驗證消息的時效性和數據是否被篡改,驗證均通過后,產生一個隨機數r,生成會話密鑰sk=h(r'd||h(sd||r)),n7=h(rd||sk),n9=h(r||n7||n8||sd),將消息m3={n7,n8,n9}通過公共信道發送給此前給該傳感器設備發送消息的網關;
24、s44、當網關收到消息m3后,驗證數據是否被篡改,驗證通過后,產生一個隨機挑戰計算將消息m4={n7,n10,n11,n12}通過公共信道發送到用戶端;
25、s45、當用戶端收到消息m4后,驗證數據是否被篡改,驗證通過后,生成會話密鑰sk=h(h(r'||sd)||rd);計算n'7=h(rd||sk),驗證n'7與n7是否相等,若不相等則會話終止,否則將{cd,rd}更新為
26、之后,產生一個隨機數r,計算和將消息m5={n13,n14}通過公共信道發送至此前給該用戶端發送消息的網關;
27、s46、當網關收到消息后,驗證數據是否被篡改,驗證通過后,根據hid將{cd,rd}更新為并通過安全信道將廣播給其他網關,其他網關根據hid將數據庫中的{cd,rd}更新為
28、進一步的,s41中,用戶端進行本地身份驗證的方式為:
29、用戶端根據自己的身份標識id、口令pw和生物特征bio計算bi=biohashing(bio),ei=puf1(bio),gpw=h(id||ei||pw)和ver'=h(gpw||ei||pw),將新計算的ver’與先前存儲的ver進行對比,若ver'≠ver則會話終止,本地身份驗證失敗;否本文檔來自技高網...
【技術保護點】
1.一種基于PUF的輕量級多網關的身份認證與密鑰協商方法,其特征在于,包括以下步驟:
2.根據權利要求1所述的基于PUF的輕量級多網關的身份認證與密鑰協商方法,其特征在于,還包括:
3.根據權利要求1所述的基于PUF的輕量級多網關的身份認證與密鑰協商方法,其特征在于,還包括:
4.根據權利要求1所述的基于PUF的輕量級多網關的身份認證與密鑰協商方法,其特征在于,S1中,各網關的通信策略為:網關之間兩兩互通,各個網關當前CPU利用率設定為75%,當某一網關的CPU利用率超過75%時,將所接收到的信息轉發至下一空閑網關進行相關運算。
5.根據權利要求1所述的基于PUF的輕量級多網關的身份認證與密鑰協商方法,其特征在于,S2用戶注冊階段包括:
6.根據權利要求1所述的基于PUF的輕量級多網關的身份認證與密鑰協商方法,其特征在于,S4密鑰協商階段包括:
7.根據權利要求6所述的基于PUF的輕量級多網關的身份認證與密鑰協商方法,其特征在于,S41中,用戶端進行本地身份驗證的方式為:
8.根據權利要求6所述的
9.根據權利要求1所述的基于PUF的輕量級多網關的身份認證與密鑰協商方法,其特征在于,S6用戶注銷階段包括:
...【技術特征摘要】
1.一種基于puf的輕量級多網關的身份認證與密鑰協商方法,其特征在于,包括以下步驟:
2.根據權利要求1所述的基于puf的輕量級多網關的身份認證與密鑰協商方法,其特征在于,還包括:
3.根據權利要求1所述的基于puf的輕量級多網關的身份認證與密鑰協商方法,其特征在于,還包括:
4.根據權利要求1所述的基于puf的輕量級多網關的身份認證與密鑰協商方法,其特征在于,s1中,各網關的通信策略為:網關之間兩兩互通,各個網關當前cpu利用率設定為75%,當某一網關的cpu利用率超過75%時,將所接收到的信息轉發至下一空閑網關進行相關運算。
5.根據權利要求1所述的基于puf的輕量級多網關的身份認證與密鑰協商方法,其特征在于,s2用戶注冊階段包括:
6.根據權利要求1所述的基于puf的輕量級多網關的身份認證與密鑰協商方法,其特征在于,s4密鑰協商階段包括:
7.根據權利要求6所述的基于puf的輕量級...
【專利技術屬性】
技術研發人員:王雄,王文博,劉昂,許盛偉,張躍飛,李偉麟,張澤昊,喻書涵,岳梓巖,耿茜,喬雅馨,
申請(專利權)人:北京電子科技學院,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。