一種基于移動通信網絡的物聯網安全認證方法

專利名稱：一種基于移動通信網絡的物聯網安全認證方法
一種基于移動通信網絡的物聯網安全認證方法技術領域
本發明屬于物聯網安全領域，涉及了基于移動通信網絡的物聯網安全認證技術的研究，適用于基于移動通信網絡的物聯網的組認證機制和設備認證機制以及基于認證的物聯網密鑰管理。
背景技術：
物聯網大致被公認為有3個層次，從下到上依次是感知層、傳送層和應用層，感知層負責感知物體信息，然后將感知到的信息通過感知網絡、通信網絡傳輸到應用中心，應用中心負責信息的處理，在整個信息傳遞過程中，沒有人的參與交互。可見，物聯網的主要特點是終端設各處于無人值守的環境中，并且將傳感網絡與移動無線通信網絡或其他接入網絡連接起來傳輸數據。
物聯網存在著一個巨大的問題，其他人也能通過物聯網感知到這些信息，比如產品的競爭對手有可能利用某些非法手段在沒有花費部署物聯網所需的高昂代價的情況下即可獲取合法用戶的機密信息，或阻礙合法用戶獲取準確的信息，從而造成合法用戶的經濟損失等。這就需要加強物聯網的安全強度，形成一套強大的安全體系，保證物聯網用戶的合法利益，促進物聯網的健康的發展。
現有移動通信網絡中的部分安全機制可以繼續為物聯網提供安全保護，但由于物聯網融合了傳感器網絡和移動通信網絡的特點，其安全架構存在與現有移動通信網絡安全架構不同的特點，所以物聯網的安全機制仍然需要在現有移動通信網絡安全機制的基礎上有所創新和改進。其中，認證機制作為保證網絡安全的第一步，能夠防止偽造的節點接入網絡對網絡造成破壞，保證運營商能夠正確的計費。
現有的移動互聯網網絡認證機制為AKA認證機制(基于AKA認證的3GPP-AKA協議；如IP多媒體子系統aMS)作為3G網絡的核心控制平臺，IMS的接入認證機制的實現作為整個MS安全方案實施的第一步，是保證MS系統安全的關鍵。基于認證和密鑰協商 (AKA)的MS接入認證機制是由因特網工程任務組(IETF)制定，并被3GPP采用，廣泛應用于3G無線網絡的鑒權機制。基于“提問/回答”模式實現對用戶的認證和會話密鑰的分發，由攜帶AKA參數的SIP消息在用戶設備(UE)和MS網絡認證實體之間進行交互，按照 AKA機制進行傳輸和協商，從而實現用戶和網絡之間的雙向認證，并協商出后續通信所需的安全性密鑰對。)采用挑戰/應答機制實現用戶和網絡雙方間的身份認證，確保了通信雙方的認證信息的安全可靠，同時協商出用戶通信所需的密鑰。
物聯網的應用理念使得機器間可以不通過人的交互直接進行信息、交互，大大方便了人們的生活。然而這種不需要人參與交互的通信方式為人類生活帶來便利的同時也引入了新的安全問題。在物聯網中，終端設備的數量將呈現幾何數量級增長，龐大的終端數量對無線通信網絡的承載能力提出了考驗；終端設備無人值守，終端設備本身的安全以及信息源的安全無法保障；具有感知功能的終端設備組成的傳感器網絡能夠方面的獲取信息， 但同時惡意攻擊者也會因此獲取信息、甚至，惡意攻擊者可以通過測量設備的使用情況及所在位置等信息獲取用戶的隱私信息，從而對用戶造成可能的傷害。發明內容
本發明的目的在于根據物聯網的特征對現有網絡中的安全機制進行改進。提出了適用于基于移動通信網絡的物聯網的組認證機制和設備認證機制以及基于認證的物聯網密鑰管理，其中組認證機制解決較大數量物聯網終端短時間內同時接入網絡帶來的信令擁塞問題，設備認證機制可以防止非法的設備接入網絡從而對網絡造成危害，基于物聯網認證技術的密鑰管理機制將傳感器網絡與通信網絡結合起來使得運營商通信網絡可以安全控制傳感器網絡的密鑰及信息傳遞，從而保障了物聯網的安全可靠。本發明的目的還在于，基于需要加強物聯網的安全強度，提出構成安全體系的方法，保證物聯網的安全可靠， 促進物聯網的健康發展。提出適用于基于移動通信網絡的物聯網的組認證機制和設備認證機制以及基于認證的物聯網密鑰管理，其中組認證機制解決較大數量物聯網終端短時間內同時接入網絡帶來的信令擁塞問題，設備認證機制可以防止非法的設備接入網絡從而對網絡造成危害，基于物聯網認證技術的密鑰管理機制將傳感器網絡與通信網絡結合起來使得運營商通信網絡可以安全控制傳感器網絡的密鑰及信息傳遞，從而保障了物聯網的安全可O
本發明的技術方案如下一種基于移動通信網絡的物聯網安全認證方法，對于包含傳感器網絡的物聯網，同一傳感器網絡中的設備基本具有相同的行為特征，因此傳感器網絡可以看作是一個組，采用組認證機制為傳感器網絡設備提供接入移動通信網絡的接入認證功能，使得運營商能夠更好的計費、控制、管理傳感器網絡的設備，其實現步驟為
步驟I、采用分段鑒權的思想，即傳感器網絡中設有能夠交互通信的傳感器網絡網關(MTC GW)，通信網絡側與MTC GW之間的相互認證代表通信網絡側與MTC GW下所代表的組之間的認證；
步驟2、MTC Gff與組中的每個傳感器節點設備(MTC Device)之間進行相互認證， 從而完成MTC Device和通信網絡側之間的相互認證；
步驟3、認證結束后MTC GW再將認證生成的用戶密鑰轉發給MTC Device。
設備認證機制確保只有合法的物聯網終端設備(各傳感器節點設備)接入網絡，維護用戶的合法利益，避免因非法設備接入帶來的利益爭端問題及網絡安全問題，步驟2的具體步驟為
步驟2-l、MTC Device在與通信網絡側完成相互的身份認證后，通信網絡側將MTC Device的設備身份信息轉發給傳感器網絡網關MTC Gff的設備信息寄存器(EIR)。
步驟2-2、由設備信息寄存器EIR驗證各傳感器節點設備(物聯網終端設備)身份的合法性，并查找對應的密鑰信息Ki ；
步驟2-3、EIR將此密鑰信息Ki發送給通信網絡側認證節點MSC/SGSN/MME，通信網絡側認證節點結合身份認證結果及設備認證結果產生MTC Device的會話密鑰Ks ；
步驟2-4、與MTC Device間協商算法，利用協商出的算法將Ks加密后發送給MTC Device, MTC Device利用同樣的密鑰推衍算法計算得到會話密鑰；從而將TC Device身份認證和設備認證結果結合在一起產生會話密鑰。
步驟3的具體步驟為Ki加密傳送密鑰Ks。
對于具有傳感器網絡的物聯網應用來說，密鑰管理則涉及到通信網絡和傳感器網絡中密鑰結合的問題，此時，通信網絡與傳感器網絡間可通過認證產生共享的密鑰，傳感器網關與傳感器網絡節點間通過傳感器網絡的認證獲得共享的密鑰，然后傳感器網關將與通信網絡共享的密鑰轉發給傳感器網絡中的傳感器節點，使得傳感器節點與通信網絡間共享密鑰或基于此共享密鑰產生新的密鑰。
將傳感器網絡可以看作是一個組，組認證機制可以為傳感器網絡設備提供接入移動通信網絡的接入認證功能，使得運營商能夠更好的計費、控制、管理傳感器網絡的設備； 網絡側驗證接入網絡的設備的合法性，設備認證機制可以確保只有合法的物聯網終端設備接入網絡，維護用戶的合法利益，避免因非法設備接入帶來的利益爭端問題及網絡安全問題。
本發明的有益效果如下
I.組認證機制可以為傳感器網絡設備提供接入移動通信網絡的接入認證功能，使得運營商能夠更好的計費、控制、管理傳感器網絡的設備，同時可以解決解決較大數量物聯網終端短時間內同時接入網絡帶來的信令擁塞問題；
2.設備認證機制可以確保只有合法的物聯網終端設備接入網絡，維護用戶的合法利益，避免因非法設備接入帶來的利益爭端問題及網絡安全問題，防止非法的設備接入網絡從而對網絡造成危害；
3.基于認證的密鑰管理機制則在認證的基礎上描述了物聯網中的密鑰管理思想， 將傳感器網絡與通信網絡結合起來使得運營商通信網絡可以安全控制傳感器網絡的密鑰及信息傳遞。
基于需要加強物聯網的安全強度，本發明提出一套強大的安全體系，保證物聯網的安全可靠，促進物聯網的健康發展。本技術提出了適用于基于移動通信網絡的物聯網的組認證機制和設備認證機制以及基于認證的物聯網密鑰管理，其中組認證機制解決較大數量物聯網終端短時間內同時接入網絡帶來的信令擁塞問題，設備認證機制可以防止非法的設備接入網絡從而對網絡造成危害，基于物聯網認證技術的密鑰管理機制將傳感器網絡與通信網絡結合起來使得運營商通信網絡可以安全控制傳感器網絡的密鑰及信息傳遞，從而保障了物聯網的安全可靠。


圖I為組認證方案場景圖。
圖2為密鑰管理機制圖(流程)。
具體實施方式
本發明的實現主要包括以下步驟
I)組認證機制過程采用分段鑒權的思想，即傳感器網絡中存在有通信能力的傳感器網關(MTC GW)，網絡側與MTC GW之間的相互認證就代表了網絡側與MTC GW下所代表的組之間的認證。MTC GW與組中的每個傳感器節點設備(MTC Device)之間進行相互認證， 從而完成MTC Device和網絡側之間的相互認證。認證結束后MTC GW再將認證生成的用戶密鑰轉發給MTC Device。MTC Device、MTC GW、網絡側通信設備三者間共享會話密鑰Ks， MTC Device只能夠與MTC GW之間進行信息傳輸，而不能與運營商基站間進行信息傳輸，即 MTC Device不具有接入功能，只能通過MTC GW接入網絡。
2)設備認證機制過程MTC Device在與網絡側完成相互的身份認證后，網絡側將 MTC Device的設備身份信息轉發給EIR (設備信息寄存器)。由EIR驗證設備身份的合法性，并查找對應的密鑰信息Ki。EIR將此密鑰信息發送給網絡側認證節點MSC/SGSN/MME，網絡側認證節點結合身份認證結果及設備認證結果產生MTC Device的會話密鑰Ks。與MTC Device間協商算法,利用協商出的算法將Ks加密后發送給MTC Device, MTC Device利用同樣的密鑰推衍算法計算得到會話密鑰；從而將身份認證和設備認證結果結合在一起產生會話密鑰。
3)密鑰管理過程密鑰管理則涉及到通信網絡和傳感器網絡中密鑰結合的問題， 此時，通信網絡與傳感器網絡間可通過認證產生共享的密鑰，傳感器網關與傳感器網絡節點間通過傳感器網絡的認證獲得共享的密鑰，然后傳感器網關將與通信網絡共享的密鑰轉發給傳感器網絡中的傳感器節點，使得傳感器節點與通信網絡間共享密鑰或基于此共享密鑰產生新的密鑰。
步驟4 MTC Device在與網絡側完成相互的身份認證后，網絡側將MTC Device的設備身份信息轉發給EIR(設備信息寄存器)。由EIR驗證設備身份的合法性，并查找對應的密鑰信息。
更具體的
步驟I :采用分段鑒權的思想，即傳感器網絡中存在有通信能力的傳感器網關 (MTC Gff)，網絡側與MTC Gff之間的相互認證就代表了網絡側與MTC Gff下所代表的組之間的認證。
步驟2 :MTC GW與組中的每個傳感器節點設備(MTC Device)之間進行相互認證， 從而完成MTC Device和網絡側之間的相互認證。認證結束后MTC GW再將認證生成的用戶密鑰轉發給MTC Device。
步驟3 MTC Device、MTC GW、網絡側通信設備三者間共享會話密鑰，MTC Device只能夠與MTC GW之間進行信息傳輸，而不能與運營商基站間進行信息傳輸，即MTC Device不具有接入功能，只能通過MTC GW接入網絡。
步驟4 MTC Device在與網絡側完成相互的身份認證后，網絡側將MTC Device的設備身份信息轉發給EIR(設備信息寄存器)。由EIR驗證設備身份的合法性，并查找對應的密鑰信息Ki。
步驟5 =EIR將此密鑰信息發送給網絡側認證節點MSC/SGSN/MME，網絡側認證節點結合身份認證結果及設備認證結果產生MTC Device的會話密鑰Ks。
步驟6 :與MTC Device間協商算法，利用協商出的算法將Ks加密后發送給MTC Device, MTC Device利用同樣的密鑰推衍算法計算得到會話密鑰；從而將身份認證和設備認證結果結合在一起產生會話密鑰。
步驟7:MTC Device與MTC GW/組認證代表節點間通過傳感器網絡私有協議進行相互認證，認證后協商生成MTC Device與MTC GW/組認證代表節點間的共享密鑰Ki ； MTC Gff/組認證代表節點與網絡側執行相互認證，認證后協商生成MTC Gff/組認證代表節點與網絡側共享的密鑰Kg ;然后MTC Gff/組認證代表節點將Kg利用Ki加密后轉發給MTC Device, MTC Device可將Kg作為與網絡側共享的會話密鑰，也可利用Kg及其他信息產生與網絡側共享的會話密鑰Ks ;最后MTC Device與網絡側可通過此密鑰管理機制獲得共享的會話密鑰。
權利要求
1.一種基于移動通信網絡的物聯網安全認證方法，對于包含傳感器網絡的物聯網，同一傳感器網絡中的設備基本具有相同的行為特征，傳感器網絡看作是一個組，其特征是采用組認證機制為傳感器網絡設備提供接入移動通信網絡的接入認證功能，其實現步驟為 步驟I、采用分段鑒權的方法，即傳感器網絡中設有能夠交互通信的傳感器網關MTCGff,移動通信網絡側與MTC Gff之間的相互認證就代表了通信網絡側與MTC Gff下所代表的組之間的認證； 步驟2、MTC GW與組中的每個傳感器節點設備MTC Device之間進行相互認證，從而完成MTC Device和網絡側之間的相互認證； 步驟3、認證結束后MTC GW再將認證生成的用戶密鑰轉發給MTC Device ； 步驟2的具體步驟為 步驟2-1、MTC Device在與通信網絡側完成相互的身份認證后，通信網絡側將MIODevice的設備身份信息轉發給傳感器網絡網關MTC Gff的設備信息寄存器EIR ； 步驟2-2、由設備信息寄存器EIR驗證各傳感器節點設備即物聯網終端設備身份的合法性，并查找對應的密鑰信息Ki ； 步驟2-3、設備信息寄存器EIR將此密鑰信息K i發送給通信網絡側認證節點MSC/SGSN/MME,通信網絡側認證節點結合身份認證結果及設備認證結果產生MTC Device的會話密鑰Ks ； 步驟2-4、與MTC Device間協商算法，利用協商出的算法將Ks加密后發送給MTCDevice, MTC Device利用同樣的密鑰推衍算法計算得到會話密鑰；從而將身份認證和設備認證結果結合在一起產生會話密鑰Ks ； 步驟3的具體步驟為Ki加密傳送密鑰Ks。
2.根據權利要求I所述的物聯網安全認證方法，其特征是具有傳感器網絡的物聯網應用中密鑰管理方法中，通信網絡與傳感器網絡間通過認證產生共享的密鑰，然后傳感器網關將與通信網絡共享的密鑰轉發給傳感器網絡中的傳感器節點，使得傳感器節點與通信網絡間共享密鑰或基于此共享密鑰產生新的密鑰。
全文摘要
一種基于移動通信網絡的物聯網安全認證方法，對于包含傳感器網絡的物聯網，同一傳感器網絡中的設備基本具有相同的行為特征，采用組認證機制為傳感器網絡設備提供接入移動通信網絡的接入認證功能，使得運營商能夠更好的計費、控制、管理傳感器網絡的設備采用分段鑒權的思想，即傳感器網絡中設有能夠交互通信的傳感器網絡網關(MTC GW)，通信網絡側與MTC GW之間的相互認證代表通信網絡側與MTC GW下所代表的組之間的認證；MTC GW與組中的每個傳感器節點設備MTC Device之間進行相互認證，從而完成MTC Device和網絡側之間的相互認證；認證結束后MTC GW再將認證生成的用戶密鑰轉發給MTC Device。
文檔編號H04W12/06GK102932790SQ20121042863
公開日2013年2月13日 申請日期2012年10月31日 優先權日2012年10月31日
發明者傅濤 申請人:江蘇博智軟件科技有限公司