CN119814334A - 一种基于物联网设备身份信息的身份验证方法 - Google Patents
一种基于物联网设备身份信息的身份验证方法 Download PDFInfo
- Publication number
- CN119814334A CN119814334A CN202510029004.0A CN202510029004A CN119814334A CN 119814334 A CN119814334 A CN 119814334A CN 202510029004 A CN202510029004 A CN 202510029004A CN 119814334 A CN119814334 A CN 119814334A
- Authority
- CN
- China
- Prior art keywords
- hash value
- identity information
- internet
- identity
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提出一种基于物联网设备身份信息的身份验证方法,包括:物联网设备的硬件终端对其身份信息进行哈希加密,生成第一哈希值。其中,身份信息每隔预设时间或当特定事件触发时自动更新。硬件终端使用自身的私钥对第一哈希值进行数字签名。硬件终端将身份信息和签名发送给认证服务器。认证服务器利用公钥进行签名验证,并对签名进行解密获取第二哈希值。认证服务器对身份信息进行哈希运算获取第三哈希值,比较第三哈希值和第二哈希值,进行哈希值验证。如果签名验证和所述哈希值验证都通过,则确认硬件终端的身份可信,否则,认为硬件终端的身份不可信。本发明基于身份信息并结合非对称加密和哈希加密,构建一种抗伪造和抗篡改的认证框架。
Description
技术领域
本发明涉及物联网设备身份认证领域,具体涉及一种基于物联网设备身份信息的身份验证方法。
背景技术
在现有技术中,身份认证技术方案主要包括基于密码和令牌的身份验证、基于证书和公钥基础设施的身份验证、基于硬件和物理特性的身份验证和基于行为和环境因素的身份验证。
物联网设备通常采用基于密码的身份验证,即通过输入预设的密码或PIN码来证明其身份。这种方法易于实施,但安全性较低,容易受到攻击,如通过暴力破解或字典攻击。为了提高安全性,可以采用多因素认证,结合密码与其他认证因素,如一次性密码(OTP)或物理令牌(如智能卡或USB密钥)。OTP通常通过短信或专用应用程序生成,而物理令牌则需要设备物理接入。这种方法在物联网环境中提供了额外的安全层,虽然增加了安全性,但同时也增加了用户操作的复杂性,尤其是在需要物理令牌或额外设备时,可能会因设备的限制而难以实施,导致用户体验感下降。
基于证书的身份验证使用数字证书和公钥基础设施(PKI)来验证设备的身份。每个设备都有一个唯一的证书,用于加密通信和验证身份。这种方法在安全性方面非常强大,因为它依赖于非对称加密技术,但需要复杂的证书管理和更新过程。在物联网环境中,由于设备数量众多且分布广泛,证书的分发、管理和撤销成为一项挑战。此外,证书的生命周期管理增加了额外的运营负担,需要持续的监控和维护,以确保证书的有效性和安全性。这也增加了系统的复杂性。
利用物联网设备的硬件和物理特性进行身份验证,如物理不可克隆功能(PUF)或真随机数生成器(TRNG),这是一种高度安全的身份验证方法。PUF是一种基于半导体制造过程中的微小差异来生成唯一的设备标识符的技术,而TRNG则利用物理现象(如热噪声或放射性衰变)来生成随机数。这些方法提供了较高的安全性,因为它们依赖于硬件的固有特性,而不是软件实现。然而,这种方法可能需要特定的硬件支持,并且可能增加设备的成本。此外,这些方法可能不适用于所有类型的设备,特别是那些成本敏感或空间受限的设备,这限制了其在物联网中的广泛应用。
物联网设备的行为和环境因素也可以用于身份验证。例如,设备的行为模式(如通信模式、访问频率和时间)或环境因素(如地理位置、温度和湿度)可以被用来识别和验证设备。这种方法可以在不干扰设备的情况下提供持续的安全监控,但是这种方法可能受到环境噪声的影响,这可能导致误判,降低身份验证的准确性。此外,这种方法还需要复杂的算法来分析和识别行为模式和环境变化,定期更新和调整以适应新的环境条件。这增加了计算资源的需求,并可能导致系统响应时间延长。
许多现有方法没有有效的机制来防止身份信息的伪造或数据的篡改,这使得系统容易受到各种攻击,如中间人攻击或重放攻击。传统方法通常依赖于中心化的认证服务器或证书颁发机构,这可能导致单点故障,并且如果这些中心节点受到攻击,整个系统的安全性和信任度将受到威胁。缺乏分布式账本技术的应用,使得数据的不可篡改性和透明度得不到保证,这在需要高度信任的环境中尤其成问题。
综上所述,尽管现有的身份验证技术在某些场景下是可行的,但它们在安全性、成本效益、用户体验和管理复杂性方面存在显著的局限性,特别是在面对物联网设备数量的快速增长和多样化的挑战时。
发明内容
为了解决上述问题,本发明提出一种基于物联网设备身份信息的身份验证方法,该身份验证方法基于身份信息并利用非对称加密的数字签名机制和哈希加密的强校验功能,构建起一种抗伪造和抗篡改的认证框架。另外设计身份信息的自动更新机制,将更新记录存储在区块链上,进一步增强系统的安全性和可靠性。
本发明提出了一种基于物联网设备身份信息的身份验证方法,包括:
物联网设备的硬件终端对自身的身份信息进行哈希加密,生成第一哈希值,所述身份信息每隔预设时间或当特定事件触发时自动更新,所述第一哈希值随所述身份信息同步更新;
所述硬件终端使用自身的私钥对所述第一哈希值进行数字签名,生成签名;
所述硬件终端将所述身份信息和生成的签名一起发送给认证服务器;
所述认证服务器利用硬件终端的公钥对所述签名进行签名验证,并利用所述公钥对所述签名进行解密获取第二哈希值;
所述认证服务器对身份信息进行哈希运算获取第三哈希值,将所述第三哈希值和所述第二哈希值进行比较,如果第三哈希值与第二哈希值一致,则哈希值验证通过,否则,哈希值验证失败;
如果所述签名验证和所述哈希值验证都通过,则所述认证服务器确认所述硬件终端的身份可信,允许执行后续操作,否则,所述认证服务器认为所述硬件终端的身份不可信,拒绝执行后续操作。
在一些实施例中,所述身份信息的获取方法为:将每个物联网设备的鉴权码和多个设备相关信息进行组合计算加密,获取每个物联网设备唯一的身份信息;
其中,每个物联网设备被配置有唯一的鉴权码,所述多个设备相关信息包括系统授权数据、设备状态数据、接口调用数据和时空数据。
在一些实施例中,所述身份信息每次更新后的更新记录被存储于区块链上。
本发明还提出了一种基于物联网设备身份信息的身份验证方法,所述身份验证方法由物联网设备的硬件终端执行,所述身份验证方法包括:
对自身的身份信息进行哈希加密,生成第一哈希值,所述身份信息每隔预设时间或当特定事件触发时自动更新,所述第一哈希值随所述身份信息同步更新;
使用自身的私钥对所述第一哈希值进行数字签名,生成签名;
将所述身份信息和生成的签名一起发送给认证服务器,所述签名用于触发所述认证服务器利用所述硬件终端的公钥对所述签名进行签名验证,并利用所述公钥对所述签名进行解密获取第二哈希值,所述身份信息用于触发所述认证服务器对所述身份信息进行哈希运算以获取第三哈希值,并将所述第三哈希值和所述第二哈希值进行比较,如果第三哈希值与第二哈希值一致,则哈希值验证通过,否则,哈希值验证失败;
如果所述签名验证和所述哈希值验证都通过,则所述硬件终端的身份被所述认证服务器确认为可信,且被允许执行后续操作,否则,所述硬件终端的身份被所述认证服务器认为不可信,且被拒绝执行后续操作。
在一些实施例中,所述身份信息的获取方法为:将每个物联网设备的鉴权码和多个设备相关信息进行组合计算加密,获取每个物联网设备唯一的身份信息;
其中,每个物联网设备被配置有唯一的鉴权码,所述多个设备相关信息包括系统授权数据、设备状态数据、接口调用数据和时空数据。
在一些实施例中,所述身份信息每次更新后的更新记录被存储于区块链上。
本发明还提出了一种基于物联网设备身份信息的身份验证方法,所述身份验证方法由认证服务器执行,所述身份验证方法包括:
接收物联网设备的硬件终端发送的身份信息和签名,所述签名通过所述硬件终端自身的私钥对第一哈希值进行数字签名获取,所述第一哈希值通过硬件终端对自身的身份信息进行哈希加密获取,所述身份信息每隔预设时间或当特定事件触发时自动更新,所述第一哈希值随所述身份信息同步更新;
利用硬件终端的公钥对所述签名进行签名验证,并利用所述公钥对所述签名进行解密获取第二哈希值;
对身份信息进行哈希运算获取第三哈希值,将所述第三哈希值和所述第二哈希值进行比较,如果第三哈希值与第二哈希值一致,则哈希值验证通过,否则,哈希值验证失败;
如果所述签名验证和所述哈希值验证都通过,则确认该所述硬件终端的身份可信,允许执行后续操作,否则,认为所述硬件终端的身份不可信,拒绝执行后续操作。
在一些实施例中,所述身份信息的获取方法为:将每个物联网设备的鉴权码和多个设备相关信息进行组合计算加密,获取每个物联网设备唯一的身份信息;
其中,每个物联网设备被配置有唯一的鉴权码,所述多个设备相关信息包括系统授权数据、设备状态数据、接口调用数据和时空数据。
在一些实施例中,所述身份信息每次更新后的更新记录被存储于区块链上。
本发明还提出一种计算机存储介质,所述计算机存储介质中存储有程序指令,所述程序指令被执行时,用于实现如上文所述的任意一种基于物联网设备身份信息的身份验证方法。
本发明具有以下有益效果:
本发明通过结合非对称加密和哈希加密技术,提供了一种新颖的解决方案,不仅提高了身份认证的安全性和可信性,而且简化了管理过程,降低了对特定硬件的依赖,提高了系统的适应性和准确性,同时通过区块链技术增强了系统的可靠性。这些改进使得本发明在物联网设备的安全认证方面提供了更坚实的保障。
附图说明
图1为本发明一实施例的基于物联网设备身份信息的身份验证方法的流程示意图。
图2为本发明一实施例的基于物联网设备身份信息的身份验证方法的执行过程示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解的是,此处所描述的具体实施例仅用以解释发明,并不用于限定发明。
如图1和图2所示,本发明提出一种基于物联网设备身份信息的身份验证方法,包括以下步骤:
S1:物联网设备的硬件终端对自身的身份信息(ID)进行哈希加密,生成第一哈希值H1=Hash(ID)。这个哈希值会作为验证设备身份的重要依据,确保数据在传输过程中未被篡改。
为了应对长期使用中的安全威胁,身份信息每隔预设时间或当特定事件触发时自动更新,第一哈希值随身份信息同步更新。
所述特定事件可能为一次数据上传动作结束、可能为管理员通过物联网平台手动向设备下达更新指令、可能为设备重启、又可能为设备系统更新、设备安全策略更新等多种情况。
进一步,身份信息每次更新后的更新记录被存储于区块链上。
S2:硬件终端使用自身的私钥SK对第一哈希值H1进行数字签名,生成签名S=Sign(H1,SK),确保设备身份的真实性。
本发明通过非对称加密技术生成的数字签名,确保只有设备拥有的私钥能够生成有效的签名。攻击者即使能够获取设备的公钥,也无法伪造有效的身份认证请求,从而有效防止身份伪造攻击。此外,本发明利用哈希加密的特性,在身份认证过程中生成的哈希值能够确保数据的完整性。任何对认证消息的篡改都将导致哈希值不匹配,从而被认证系统拒绝,防止数据被恶意修改或操控。
S3:硬件终端将身份信息ID和生成的签名S一起发送给认证服务器。
S4:认证服务器利用硬件终端的公钥PK对签名S进行签名验证,并利用公钥PK对签名进行解密获取第二哈希值H2=Verify(S,PK)。
如果签名验证通过,则说明该签名确实由拥有私钥的设备生成,设备身份有效。
S5:认证服务器对身份信息ID进行哈希运算获取第三哈希值H3=Hash(ID)。将第三哈希值H3和第二哈希值H2进行比较,如果第三哈希值H3与第二哈希值H2一致,则哈希值验证通过,证明数据未被篡改。否则,哈希值验证失败。
S6:如果步骤S4中的签名验证和步骤S5中的哈希值验证都通过,则认证服务器确认该硬件终端的身份可信,并生成信任结果为True,允许执行后续操作,否则,认证服务器认为硬件终端的身份不可信,并生成信任结果为False,拒绝执行后续操作。
本发明通过哈希算法与数字签名算法的复合应用,实现对身份信息进行多重加密的效果,并且基于身份信息实现最终的身份验证过程这一机制。
在一些实施例中,步骤S1中身份信息的获取方法为:将每个物联网设备的鉴权码和多个设备相关信息进行组合计算加密,获取每个物联网设备唯一的身份信息。组合计算加密方式具有多样性,在实际应用时选用何种组合计算加密方式存在多种可能情况,会根据实际需要进行决定。
本发明中,多个设备相关信息包括但不限于每个物联网设备的系统授权数据、设备状态数据、接口调用数据和时空数据。
应理解的是,在执行身份验证之前还包括初始化阶段,鉴权码的分配和多个设备相关信息的初始参数设置均在初始化阶段完成。具体而言,在初始化阶段会为每个出厂的物联网设备分配一个唯一的鉴权码,并分别对多个设备相关信息设置初始参数,例如对系统授权数据、设备状态数据、接口调用数据、时空数据等分别设置初始参数{X1,X2,X3…}。
本发明的一个实施例中,组合计算加密的方式为:将每个物联网设备的鉴权码、系统授权数据、设备状态数据、接口调用数据和时空数据进行字符串拼接,再使用英文码对应方式对拼接得到的字符串进行加密。
本发明对组合计算加密方式不做限定,所述组合加密方式存在多种可能。
举例一:数据分块再加密
将物联网设备的鉴权码、系统授权数据、设备状态数据、接口调用数据和时空数据分成固定长度的若干组数据小块,使用不同的加密算法(如AES、DES、RSA等)或密钥(如ECC、SM2、SM4、Blowfish、Twofish等)对每组数据块单独进行加密,然后再将加密后的数据块组合在一起(如顺序拼接、添加分隔符组合、基于数据块索引组合、数据块嵌套组合等多种方式)形成一条加密后的字符串。
举例二:分组密码加密
先将物联网设备的鉴权码、系统授权数据、设备状态数据、接口调用数据和时空数据分成多个固定长度的组,比如使用分组密码算法(如3-DES)的分组长度来划分。对于每个分组,采用不同的分组密码工作模式(如CBC模式-密文分组链接模式、CFB模式-密文反馈模式等)进行加密。在分组密码加密中,每个分组的加密都依赖于前一个分组的密文,这样可以增加数据之间的关联性和加密的复杂性。最后将经过不同分组密码工作模式加密后的分组按照预定顺序组合起来(如顺序拼接、添加分隔符组合等),得到一条加密后的字符串。
举例三:异或加密结合位移加密
把物联网设备的鉴权码、系统授权数据、设备状态数据、接口调用数据和时空数据按字节为单位依次读取,对于每一个字节数据,先通过与一个预设的密钥字节进行异或操作(该密钥字节可根据一定规则生成或随机设定等),然后对异或后的字节再进行位移操作(比如向左或向右循环位移若干位,位移位数同样可按既定规则设定)。将经过这样处理后的所有字节数据按照原来的顺序组合在一起,整体形成一条加密后的字符串。
举例四:数据编码转换加密
将物联网设备的鉴权码、系统授权数据、设备状态数据、接口调用数据和时空数据进行特定的编码转换,比如先从原始的字符编码(如ASCII编码等)转换为Base64编码,得到转换后的字符串,接着对这些转换后的字符串进行字符替换操作(可以按照预先设定好的替换规则表,例如将某些特定字符替换为其他字符),再将经过替换后的各部分字符串拼接起来,形成最终加密后的一条字符串。
举例五:哈希链加密
首先,将物联网设备的鉴权码、系统授权数据、设备状态数据、接口调用数据和时空数据按顺序拼接成一个初始字符串。然后,选取一个合适的哈希函数(比如常见的SHA-256、MD5等),对这个初始字符串进行第一次哈希运算,得到一个中间哈希值。接着,把这个中间哈希值再与之前的初始字符串进行拼接,再次使用相同的哈希函数对拼接后的新字符串进行哈希运算,如此反复进行多次(具体次数可根据安全需求等因素预先设定),形成最终加密后的一条字符串。
现有的身份信息技术主要还是依赖单一的数据源,或根据设备自身的出厂码进行身份信息的唯一身份信息,并使用简单的匹配或验证方法来确认设备身份。其并未将数据源扩展至与物理世界进行关联的设备状态数据、时空数据等,复杂性低,安全等级低,易被监听且篡改。与现有技术的主要区别点在于,本发明所描述的身份信息是一种基于多数据源进行复合计算而得到的唯一性标识,且数据源来自但不限于系统授权数据、设备状态数据、调用数据、时空数据等,使得身份信息更难被伪造或复制。具体地,由于身份信息通过多种数据组合计算得出,故认证过程中的请求均包含独特的身份信息。这种设计有效抵御了重放攻击,确保即使攻击者截获了合法请求,也无法重复使用该请求进行认证。
在一个具体的实施例中,组合计算加密包括如下步骤:
S11:假设鉴权码编辑规则为“出厂时间+出厂批次(字符串拼接)”(实际仍存在其他多种可能性),现存在一物联网设备出厂时间为2024年12月12日12时12分12秒,出厂批次为第13批第13箱第13个,根据鉴权码编辑规则,该设备鉴权码应为“202412121212131313”。
S12:根据该设备的实际使用场景,对该设备在系统授权、设备状态、接口调用、时间空间方面的基本信息(实际仍存在其他多种可能性,此处只举例四种)进行初始参数设置。具体包括如下步骤:
S121:系统授权:假设系统授权编辑规则为“企业编号+部门编号+点位编号+系统授权时间(字符串拼接)”(实际仍存在其他多种可能性),现该设备为某工厂生产部门05号点位专用,在物联网系统中该工厂编号为15,其生产部门为1501,系统授权时间为2024年12月13日。根据编辑规则,该设备系统授权数据应为“1515010520241213”。
S122:设备状态:假设设备状态编辑规则为该设备“工作环境温度”(实际仍存在其他多种可能性),现该设备为某冷库专用,工作环境温度长期为5摄氏度。根据编辑规则,该设备的设备状态数据应为“5”。
S123:接口调用:假设接口调用编辑规则为该设备进行数据采集工作时对传感器进行接口调用的频率(实际仍存在其他多种可能性),现该设备进行采集工作的调用频率为每300秒进行一次,根据编辑规则,该设备接口调用数据应为“300”。
S124:时间空间:假设时间空间编辑规则为该设备“工作地点经度+工作地点纬度+每日工作时间(字符串拼接)”(实际仍存在其他多种可能性),现该设备工作地点为经度118.3487384°,纬度29.2707676°,工作时间为每日24小时,根据编辑规则,该设备时间空间数据应为“118.348738429.270767624”。
S13:基于以上步骤S11和步骤S12中的所得到的数据,通过自定义的组合计算加密方式得到唯一的设备身份信息。
S131:现规定自定义组合计算方式为字符串拼接(不同数据之间使用“-”进行分隔),即组合计算规则为“鉴权码+系统授权数据+设备状态数据+接口调用数据+时间空间数据”的字符串拼接。本实施例中,组合步骤S11和步骤S12中的所得到的数据,得到如下原始字符串:“202412121212131313-1515010520241213-5-300-118.348738429.270767624”。
S132:规定加密方式为英文码对应加密方式。本实施例中,英文码对应加密方式采用:0对应A、1对应B、2对应C…,到9对应J为止。因此,对步骤S131中原始字符串加密后得到加密字符串:“CACEBCBCBCBCBDBDBD-BFBFABAFCACEBCBD-F-DAA-BBI.DEIHDIECJ.CHAHGHGCE”,该加密字符串为最终唯一的设备身份信息。
以上完成对任意一种组合计算加密方式进行的举例。在这个的例子中,组合计算加密方式为:先进行字符串拼接(不同数据之间使用“-”进行分隔),再使用英文码对应方式进行加密(0对应A、1对应B、2对应C…,到9对应J为止)。应理解的是,本实施例仅作为举例说明,组合计算与加密方式实际仍存在其他多种可能性。
同时,在初始化阶段,物联网设备自身生成一对非对称加密的公私钥对PK(公钥)与SK(私钥)。非对称加密算法存在多种,如RSA、DSA、ECDSA等。此处生成公私钥对的非对称加密算法根据实际开发情况进行选择。
然后将私钥SK存储在设备内部的安全存储区域,公钥PK以及设备的基本信息(如设备编号、型号等)上传到认证中心(CA)或认证服务器,由认证服务器进行存储,确保后续认证过程中能够顺利验证设备的身份。
在步骤S1中,身份信息的自动更新存在于更新阶段,更新阶段在第一次认证之后的预设时间或某一特定事件被触发。本发明的动态更新机制使得即使某一时间段的身份信息被攻击者获取,其有效性也将随着时间的推移而降低。与现有技术的主要区别点在于,基于多数据源生成的身份信息,具备更为安全的防监听伪造能力。与现有技术“依赖单一数据源生成的唯一身份信息”的自动更新方法相比,具备更强的安全能力和隐私保护能力。
具体而言,更新阶段主要包括以下步骤:
物联网设备的硬件终端和认证服务器之间事先约定好ID的更新算法以及更新频率。例如,系统可以设定每隔一定时间或在特定事件触发时自动更新设备的ID,自动更新后的ID=Change()。双方约定更新规则在实际应用中具有多种可能性,以下各种举例仅代表其中一种可行性:
1)身份信息更新:在上述一个实施例中,身份信息的组合计算加密规则为“鉴权码+系统授权数据+设备状态数据+接口调用数据+时间空间数据”。
硬件终端与认证服务器约定,身份信息的更新规则为系统授权数据中的系统授权时间按照一个月为周期进行更新,其他数据不变。原系统授权时间为2024年12月13日,则一个月到期更新后的系统授权时间为2025年01月13日。由于系统授权时间更新,故身份信息需重新生成。应理解的是,更新频率的选取规则,同样存在多种可能性,此处仅作示例性参考。
基于第一次的初始身份信息与双方共识的更新规则,从第二次开始每次重新生成的身份信息均具有唯一预测性。此时认证服务器就会预先得知下次身份信息的更新情况,当下一次硬件终端再发送认证请求到认证服务器且通过数字签名认证时,服务器会将所得到的身份信息与预先得知“符合更新规则且更新后的身份信息”进行比较,若一致则通过认证,不一致则进行危险提醒或拒绝通过认证(两种结果每次仅存在一种,默认为危险提醒)。
此外,每次ID更新后,将更新记录存储在区块链上,确保所有的身份认证过程具有不可篡改的存证。区块链的去中心化特性使得攻击者无法轻易伪造或篡改更新记录,进一步增强身份认证过程的安全性。此外,利用区块链技术对身份信息更新记录的存储,还保证了更新过程的透明性。
2)哈希算法更新:硬件终端与认证服务器约定,当身份信息更新后,硬件端与服务器所共同应用的哈希加密算法进行同步更新。从本例中应用的哈希加密算法更换为其他任何一种哈希加密算法,确保每次通信都基于最新的ID,避免长期使用而存在的安全性隐患。更新后所使用的哈希加密算法按照实际开发自行进行选择。
3)公私钥更新:硬件终端与认证服务器约定,当身份信息更新后,硬件端与服务器所应用的非对称加密公私钥进行同步更新,从本例中应用的公私钥更换为其他任何一非对称加密算法,更新后所使用的密钥对按照实际开发自行进行选择。数字签名因身份信息、公私钥更换,会同步进行更新(即重新计算生成签名S)。
致此,整个更新阶段结束。
上文所述的步骤S1、S2和S3可以单独实现由物联网设备硬件终端执行的身份验证方法,上文所述的步骤S4、S5和S6可以单独实现由认证服务器执行的身份验证方法。
本文中使用的所有符号及相应含义如下表1所示。
表1本文中使用的符号及相应含义
本发明还提出一种计算机存储介质,该计算机存储介质中存储有程序指令,程序指令被执行时,用于实现如上文所述的任意一种基于物联网设备身份信息的身份验证方法。
本发明具有如下有益效果:
1.安全性提升:传统的基于密码和令牌的身份验证方法容易受到暴力破解或字典攻击,而本发明通过非对称加密和哈希加密相结合,显著提高了安全性。这种方法不仅难以被破解,而且哈希加密确保了数据的完整性,使得任何篡改都容易被检测。
2.简化管理:基于证书和公钥基础设施的身份验证虽然安全,但证书的管理和更新过程复杂。本发明通过自动更新身份信息并将其记录在区块链上,简化了证书管理过程,减少了证书分发、管理和撤销的复杂性。
3.降低硬件依赖:基于硬件和物理特性的身份验证需要特定硬件支持,增加了成本。本发明不依赖于特定的硬件特性,因此可以应用于各种设备,无需额外的硬件成本。
4.提高适应性和准确性:基于行为和环境因素的身份验证容易受到环境噪声的影响,需要复杂的算法和定期更新。本发明通过结合多种数据(如系统授权数据、设备状态数据等)自动更新身份信息,提高了适应性和准确性,减少了对复杂算法的依赖。
5.抗伪造和抗篡改:本发明利用非对称加密的数字签名机制和哈希加密的强校验功能,构建了一种抗伪造和抗篡改的认证框架,这在传统的基于密码和令牌的方法中是难以实现的。
6.增强可靠性:通过将更新记录存储在区块链上,本发明进一步增强了系统的安全性和可靠性,这是传统方法中难以实现的,因为它们通常不涉及分布式账本技术来确保数据的不可篡改性。
总的来说,本发明通过结合非对称加密和哈希加密技术,提供了一种新颖的解决方案,不仅提高了身份认证的安全性和可信性,而且简化了管理过程,降低了对特定硬件的依赖,提高了系统的适应性和准确性,同时通过区块链技术增强了系统的可靠性。这些改进使得本发明在物联网设备的安全认证方面提供了更坚实的保障。
结合本文中公开的实施例描述的方法或算法的步骤可直接在硬件中、在由处理器执行的软件模块中、或在这两者的组合中体现。软件模块可驻留在RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM、或本领域中所知的任何其他形式的存储介质中。存储介质耦合到处理器以使得该处理器能从/向该存储介质读取和写入信息。在替换方案中,存储介质可以被整合到处理器。处理器和存储介质可驻留在ASIC中。ASIC可驻留在用户终端中。在替换方案中,处理器和存储介质可作为分立组件驻留在用户终端中。
以上所述实施例仅是对本发明的进一步说明,并非对本发明做其他形式的限制,本发明还可有其它多种实施例。在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员可根据本发明作出各种相应的修改和变化,但这些相应的修改和变化都应落入本发明的保护范围。
Claims (10)
1.一种基于物联网设备身份信息的身份验证方法,其特征在于,包括:
物联网设备的硬件终端对自身的身份信息进行哈希加密,生成第一哈希值,所述身份信息每隔预设时间或当特定事件触发时自动更新,所述第一哈希值随所述身份信息同步更新;
所述硬件终端使用自身的私钥对所述第一哈希值进行数字签名,生成签名;
所述硬件终端将所述身份信息和生成的签名一起发送给认证服务器;
所述认证服务器利用硬件终端的公钥对所述签名进行签名验证,并利用所述公钥对所述签名进行解密获取第二哈希值;
所述认证服务器对身份信息进行哈希运算获取第三哈希值,将所述第三哈希值和所述第二哈希值进行比较,如果第三哈希值与第二哈希值一致,则哈希值验证通过,否则,哈希值验证失败;
如果所述签名验证和所述哈希值验证都通过,则所述认证服务器确认所述硬件终端的身份可信,允许执行后续操作,否则,所述认证服务器认为所述硬件终端的身份不可信,拒绝执行后续操作。
2.根据权利要求1所述的基于物联网设备身份信息的身份验证方法,其特征在于,所述身份信息的获取方法为:将每个物联网设备的鉴权码和多个设备相关信息进行组合计算加密,获取每个物联网设备唯一的身份信息;
其中,每个物联网设备被配置有唯一的鉴权码,所述多个设备相关信息包括系统授权数据、设备状态数据、接口调用数据和时空数据。
3.根据权利要求1所述的基于物联网设备身份信息的身份验证方法,其特征在于,所述身份信息每次更新后的更新记录被存储于区块链上。
4.一种基于物联网设备身份信息的身份验证方法,其特征在于,所述身份验证方法由物联网设备的硬件终端执行,所述身份验证方法包括:
对自身的身份信息进行哈希加密,生成第一哈希值,所述身份信息每隔预设时间或当特定事件触发时自动更新,所述第一哈希值随所述身份信息同步更新;
使用自身的私钥对所述第一哈希值进行数字签名,生成签名;
将所述身份信息和生成的签名一起发送给认证服务器,所述签名用于触发所述认证服务器利用所述硬件终端的公钥对所述签名进行签名验证,并利用所述公钥对所述签名进行解密获取第二哈希值,所述身份信息用于触发所述认证服务器对所述身份信息进行哈希运算以获取第三哈希值,并将所述第三哈希值和所述第二哈希值进行比较,如果第三哈希值与第二哈希值一致,则哈希值验证通过,否则,哈希值验证失败;
如果所述签名验证和所述哈希值验证都通过,则所述硬件终端的身份被所述认证服务器确认为可信,且被允许执行后续操作,否则,所述硬件终端的身份被所述认证服务器认为不可信,且被拒绝执行后续操作。
5.根据权利要求4所述的基于物联网设备身份信息的身份验证方法,其特征在于,所述身份信息的获取方法为:将每个物联网设备的鉴权码和多个设备相关信息进行组合计算加密,获取每个物联网设备唯一的身份信息;
其中,每个物联网设备被配置有唯一的鉴权码,所述多个设备相关信息包括系统授权数据、设备状态数据、接口调用数据和时空数据。
6.根据权利要求4所述的基于物联网设备身份信息的身份验证方法,其特征在于,所述身份信息每次更新后的更新记录被存储于区块链上。
7.一种基于物联网设备身份信息的身份验证方法,其特征在于,所述身份验证方法由认证服务器执行,所述身份验证方法包括:
接收物联网设备的硬件终端发送的身份信息和签名,所述签名通过所述硬件终端自身的私钥对第一哈希值进行数字签名获取,所述第一哈希值通过硬件终端对自身的身份信息进行哈希加密获取,所述身份信息每隔预设时间或当特定事件触发时自动更新,所述第一哈希值随所述身份信息同步更新;
利用硬件终端的公钥对所述签名进行签名验证,并利用所述公钥对所述签名进行解密获取第二哈希值;
对身份信息进行哈希运算获取第三哈希值,将所述第三哈希值和所述第二哈希值进行比较,如果第三哈希值与第二哈希值一致,则哈希值验证通过,否则,哈希值验证失败;
如果所述签名验证和所述哈希值验证都通过,则确认该所述硬件终端的身份可信,允许执行后续操作,否则,认为所述硬件终端的身份不可信,拒绝执行后续操作。
8.根据权利要求7所述的基于物联网设备身份信息的身份验证方法,其特征在于,所述身份信息的获取方法为:将每个物联网设备的鉴权码和多个设备相关信息进行组合计算加密,获取每个物联网设备唯一的身份信息;
其中,每个物联网设备被配置有唯一的鉴权码,所述多个设备相关信息包括系统授权数据、设备状态数据、接口调用数据和时空数据。
9.根据权利要求7所述的基于物联网设备身份信息的身份验证方法,其特征在于,所述身份信息每次更新后的更新记录被存储于区块链上。
10.一种计算机存储介质,其特征在于,所述计算机存储介质中存储有程序指令,所述程序指令被执行时,用于实现如权利要求1~9任一项所述的基于物联网设备身份信息的身份验证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202510029004.0A CN119814334A (zh) | 2025-01-08 | 2025-01-08 | 一种基于物联网设备身份信息的身份验证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202510029004.0A CN119814334A (zh) | 2025-01-08 | 2025-01-08 | 一种基于物联网设备身份信息的身份验证方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN119814334A true CN119814334A (zh) | 2025-04-11 |
Family
ID=95266320
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202510029004.0A Pending CN119814334A (zh) | 2025-01-08 | 2025-01-08 | 一种基于物联网设备身份信息的身份验证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN119814334A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN120434624A (zh) * | 2025-06-05 | 2025-08-05 | 北京华鲲振宇智能科技有限责任公司 | 一种边缘服务器与终端设备之间的安全通信方法 |
| CN120474781A (zh) * | 2025-05-15 | 2025-08-12 | 北京中水卓越认证有限公司 | 基于云平台的信息终端认证方法 |
| CN121050333A (zh) * | 2025-10-31 | 2025-12-02 | 重庆长安汽车股份有限公司 | 控制器防替换系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111683090A (zh) * | 2020-06-08 | 2020-09-18 | 盛唐威讯数媒科技(北京)有限公司 | 一种基于分布式存储的区块链数字签名方法及装置 |
| CN114584383A (zh) * | 2022-03-10 | 2022-06-03 | 东南大学 | 一种基于区块链的物联网设备匿名身份认证方法 |
-
2025
- 2025-01-08 CN CN202510029004.0A patent/CN119814334A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111683090A (zh) * | 2020-06-08 | 2020-09-18 | 盛唐威讯数媒科技(北京)有限公司 | 一种基于分布式存储的区块链数字签名方法及装置 |
| CN114584383A (zh) * | 2022-03-10 | 2022-06-03 | 东南大学 | 一种基于区块链的物联网设备匿名身份认证方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN120474781A (zh) * | 2025-05-15 | 2025-08-12 | 北京中水卓越认证有限公司 | 基于云平台的信息终端认证方法 |
| CN120434624A (zh) * | 2025-06-05 | 2025-08-05 | 北京华鲲振宇智能科技有限责任公司 | 一种边缘服务器与终端设备之间的安全通信方法 |
| CN120434624B (zh) * | 2025-06-05 | 2025-11-25 | 北京华鲲振宇智能科技有限责任公司 | 一种边缘服务器与终端设备之间的安全通信方法 |
| CN121050333A (zh) * | 2025-10-31 | 2025-12-02 | 重庆长安汽车股份有限公司 | 控制器防替换系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN119363318B (zh) | 基于区块链的分布式设备身份认证及访问控制方法及系统 | |
| EP3486817B1 (en) | Blockchain-based identity authentication methods, computer program products and nodes | |
| CN106972931B (zh) | 一种pki中证书透明化的方法 | |
| US20210367753A1 (en) | Trusted measurement and control network authentication method based on double cryptographic values and chaotic encryption | |
| JP7454564B2 (ja) | 鍵管理のための方法、ユーザ・デバイス、管理デバイス、記憶媒体及びコンピュータ・プログラム製品 | |
| KR102580509B1 (ko) | 복수의 스토리지 노드를 통해 대규모 블록체인의 안전한 저장을 가능하게 하는 컴퓨터 구현 시스템 및 방법 | |
| US10187373B1 (en) | Hierarchical, deterministic, one-time login tokens | |
| CN119814334A (zh) | 一种基于物联网设备身份信息的身份验证方法 | |
| CN117857060B (zh) | 一种二维码离线核验方法、系统及存储介质 | |
| US11604888B2 (en) | Digital storage and data transport system | |
| CN112600831B (zh) | 一种网络客户端身份认证系统和方法 | |
| CN118233218B (zh) | 基于分布式可信执行环境应用的远程认证系统及方法 | |
| US20210399903A1 (en) | Authorization delegation | |
| CN118233193A (zh) | 物联网设备的身份认证方法、密钥存储方法及装置 | |
| CN114049121B (zh) | 基于区块链的账户重置方法和设备 | |
| CN113647080A (zh) | 以密码保护的方式提供数字证书 | |
| CN115834149A (zh) | 一种基于国密算法的数控系统安全防护方法及装置 | |
| CN119603079B (zh) | 一种基于设备认证的多系统密码安全管理方法 | |
| CN111212026A (zh) | 基于区块链的数据处理方法、装置及计算机设备 | |
| CN115865320A (zh) | 一种基于区块链的安全服务管理方法及系统 | |
| US20240243925A1 (en) | Self-signed certificate | |
| CN119449272A (zh) | 基于核电物联网的用户认证方法、电子设备、存储介质 | |
| CN114553566B (zh) | 数据加密方法、装置、设备及存储介质 | |
| WO2023198036A1 (zh) | 一种密钥生成方法、装置及设备 | |
| US12468833B2 (en) | Digital storage and data transport system using file fragments assigned to data storage packets |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |