一种基于PKI技术的物联网认证方法及系统

摘要

本发明提供了一种基于PKI技术的物联网认证方法及系统，该方法包括：传感器节点按照预设的上报周期向上位机发送使用上位机公钥加密的心跳数据；所述心跳数据包括节点公钥和用节点私钥加密的节点证书；上位机接收到所述心跳数据后，使用上位机私钥进行解密，得到节点公钥和用节点私钥加密的节点证书；使用所述节点公钥解密所述用节点私钥加密的节点证书，得到节点证书；生成本次认证过程的随机数，将所述随机数与所述节点证书一起发送给认证机构CA；所述CA接收到节点证书和随机数后，对所述节点证书进行认证，将认证结果和所述随机数一起发送至所述上位机；所述上位机根据接收到的认证结果和随机数获知发起认证的传感器节点的认证结果。

说明书

技术领域

本发明涉及物联网，尤其涉及一种物联网认证方法及系统。

背景技术

公钥基础设施(Public Key Infrastructure，简称PKI)是指用公钥概念和 技术来实施和提供安全服务的具有普适性的安全基础设施。

完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及 恢复系统、证书作废系统、应用接口(API)等基本构成部分，构建PKI也 将围绕着这五大系统来着手构建。

PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。PKI 的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签 名等。一个典型、完整、有效的PKI应用系统至少应具有以下部分：公钥密 码证书管理、黑名单的发布和管理、密钥的备份和恢复、自动更新密钥、自 动管理历史密钥，以及支持交叉认证。

认证机构(CA)：即数字证书的申请及签发机关，CA必须具备权威性 的特征；

数字证书库：用于存储已签发的数字证书及公钥，用户可由此获得所需 的其他用户的证书及公钥；

密钥备份及恢复系统：如果用户丢失了用于解密数据的密钥，则数据将 无法被解密，这将造成合法数据丢失。为避免这种情况，PKI提供备份与恢 复密钥的机制。但须注意，密钥的备份与恢复必须由可信的机构来完成。并 且，密钥备份与恢复只能针对解密密钥，签名私钥为确保其唯一性而不能够 作备份。

证书作废系统：证书作废处理系统是PKI的一个必备的组件。与日常生 活中的各种身份证件一样，证书有效期以内也可能需要作废，原因可能是密 钥介质丢失或用户身份变更等。为实现这一点，PKI必须提供作废证书的一 系列机制。

应用接口(API)：PKI的价值在于使用户能够方便地使用加密、数字签 名等安全服务，因此一个完整的PKI必须提供良好的应用接口系统，使得各 种各样的应用能够以安全、一致、可信的方式与PKI交互，确保安全网络环 境的完整性和易用性。

通常来说，CA是证书的签发机构，它是PKI的核心。众所周知，构建 密码服务系统的核心内容是如何实现密钥管理。公钥体制涉及到一对密钥(即 私钥和公钥)，私钥只由用户独立掌握，无须在网上传输，而公钥则是公开 的，需要在网上传送，故公钥体制的密钥管理主要是针对公钥的管理问题， 目前较好的解决方案是数字证书机制。

证书：证书是PKI中最重要的、最基本的数据要素。PKI提供的各种服 务(机密性、完整性、非否认等等)，都要通过证书来实现。

数字证书一般包括：内容；版本、序列号；签发者(Issuer)；证书主体 (Subject)，即订户；有效期；订户公钥；算法标识和密钥；签发者(即CA) 的签名；签名算法标识；签名结果等等，具体可参见X.509证书格式。

物联网(Internet of Things)，从狭义的理解来说，就是传感网，把各种 传感器联结起来，形成一个网络。底层感知主要分为四类：身份感知，状态 感知，图像感知，位置感知。而无线传感器网络是一个自组织的网络，非常 适合底层感知数据的搜集。

物联网其实是互联网向底层延伸。物联网的构成分为几个层级：底层是 数据采集层，也就是感知层，共有四类感知。往上是传输层，传输感知的数 据，传输方式分为有线、无线等方式。第三，传输以后要对数据进行计算、 数据挖掘，这部分可以使用云计算技术。然后，使用有效数据支撑应用。包 括城管管理、安全管控、应急处置等各类应用。

为避免重复投资，政府的各个部门都在考虑进行物联网的统一建设。但 是如何利用现有的资源，来实现物联网节点的统一安全认证，提供一个方便、 快捷、高性能、高效率的认证方式是当今政府部门考虑的难题。

发明内容

本发明要解决的技术问题是，提供一种基于PKI技术的物联网认证方法 及系统，能够对物联网节点进行统一认证，便捷、高效。

为了解决上述技术问题，本发明提出一种基于PKI技术的物联网认证方 法，包括：

传感器节点按照预设的上报周期向上位机发送使用上位机公钥加密的心 跳数据；所述心跳数据包括节点公钥和用节点私钥加密的节点证书；

上位机接收到所述心跳数据后，使用上位机私钥进行解密，得到节点公 钥和用节点私钥加密的节点证书；使用所述节点公钥解密所述用节点私钥加 密的节点证书，得到节点证书；生成本次认证过程的随机数，将所述随机数 与所述节点证书一起发送给认证机构CA；

所述CA接收到节点证书和随机数后，对所述节点证书进行认证，将认 证结果和所述随机数一起发送至所述上位机；

所述上位机根据接收到的认证结果和随机数获知发起认证的传感器节点 的认证结果。

进一步地，上述方法还可具有以下特点：

所述心跳数据中还包括心跳有效时间；

所述上位机在解密心跳数据后，先判断得到的心跳数据中的心跳有效时 间是否仍然有效，如果有效，才解密所述用节点私钥加密的节点证书。

进一步地，上述方法还可具有以下特点：

所述上位机在获知发起认证的传感器节点认证通过后，启动定时器，定 时时间为一预设的临时有效期，在所述定时器到时之前，不对所述认证通过 的传感器节点的心跳数据进行处理，在所述定时器到时时，继续对所述认证 通过的传感器节点的心跳数据进行处理；

所述预设的临时有效期大于所述预设的上报周期。

进一步地，上述方法还可具有以下特点：

所述上位机使用上位机私钥进行解密时，如果解密失败，则进行告警处 理；和/或

所述上位机在获知发起认证的传感器节点的认证结果为认证失败时，则 进行告警处理。

进一步地，上述方法还可具有以下特点：

所述节点证书包括：版本号、序列号、签名、颁发者、有效期、主体和 主体公钥信息。

为了解决上述技术问题，本发明还提出一种基于PKI技术的物联网认证 系统，包括：

传感器节点，按照预设的上报周期发送使用上位机公钥加密的心跳数据； 所述心跳数据包括节点公钥和用节点私钥加密的节点证书；

上位机，接收所述心跳数据，使用上位机私钥对其进行解密，得到节点 公钥和用节点私钥加密的节点证书；使用所述节点公钥解密所述用节点私钥 加密的节点证书，得到节点证书；生成本次认证过程的随机数，将所述随机 数与所述节点证书一起发送出去；以及接收认证结果和随机数，据以获知发 起认证的传感器节点的认证结果；

认证机构CA，接收所述节点证书和所述随机数，对所述节点证书进行 认证，将认证结果和所述随机数一起发送出去。

进一步地，上述系统还可具有以下特点：

所述心跳数据中还包括心跳有效时间；

所述上位机，在解密心跳数据后，先判断得到的心跳数据中的心跳有效 时间是否仍然有效，如果有效，才解密所述用节点私钥加密的节点证书。

进一步地，上述系统还可具有以下特点：

所述上位机，还在获知发起认证的传感器节点认证通过后，启动定时器， 定时时间为一预设的临时有效期，在所述定时器到时之前，不对所述认证通 过的传感器节点的心跳数据进行处理，在所述定时器到时时，继续对所述认 证通过的传感器节点的心跳数据进行处理；

所述预设的临时有效期大于所述预设的上报周期。

进一步地，上述系统还可具有以下特点：

所述上位机，在使用上位机私钥进行解密时，如果解密失败，还进行告 警处理；和/或

所述上位机，在获知发起认证的传感器节点的认证结果为认证失败时， 还进行告警处理。

进一步地，上述系统还可具有以下特点：

所述节点证书包括：版本号、序列号、签名、颁发者、有效期、主体和 主体公钥信息。

本发明提供的一种基于PKI技术的物联网认证方法及系统，能够对物联 网节点进行统一认证，便捷、高效。

附图说明

图1是本发明实施例一种基于PKI技术的物联网认证系统方框图；

图2是本发明实施例一种基于PKI技术的物联网认证方法流程图。

具体实施方式

下面将结合附图来详细说明本发明实施方案。

参见图1，该图示出了本发明实施例一种基于PKI技术的物联网认证系 统，包括一个或者多个传感器节点、上位机和认证机构CA，其中：

所述传感器节点，按照预设的上报周期发送使用上位机公钥加密的心跳 数据；所述心跳数据包括节点公钥和用节点私钥加密的节点证书。

所述上位机，接收所述心跳数据，使用上位机私钥对其进行解密，得到 节点公钥和用节点私钥加密的节点证书；使用所述节点公钥解密所述用节点 私钥加密的节点证书，得到节点证书；生成本次认证过程的随机数，将所述 随机数与所述节点证书一起发送至所述CA；以及接收所述CA返回的认证 结果和随机数，据以获知发起认证的传感器节点的认证结果。

所述CA，接收所述上位机发送来的节点证书和随机数，对所述节点证 书进行认证，将认证结果和所述随机数一起发送至所述上位机。

其中，每个传感器节点具有自己的证书，所述证书可以由CA签发。具 体可以按照区域类型签发，或者按照行业类型签发，本发明在此不做限制。

所述上位机在获知传感器节点的认证结果后，即可根据认证结果进行数 据处理，例如，可以只接收认证通过的传感器节点的数据，从而确保数据的 可靠性。本发明实施例巧妙地通过传感器节点向上位机发送认证请求，即心 跳数据，并在上位机与传感器节点之间增加密钥保护机制，上位机在确定心 跳数据的正确性后，再将其上报CA，进行认证，并返回认证结果给上位机， 从而针对物联网的特点，巧妙地应用PKI技术建立物联网认证体系，确保物 联网数据的可靠性。

较佳地，为了有效节约上位机的资源，所述心跳数据中还可以包括心跳 有效时间。所述上位机在解密心跳数据后，还会得到所述心跳数据的心跳有 效时间，在对所述用节点私钥加密的节点证书进行解密前，先判断所述心跳 有效时间是否仍然有效，如果有效，才解密所述用节点私钥加密的节点证书。 如果无效，则认为所述心跳数据已经过期，不再准确，可以丢弃，无需再执 行对节点证书的解密步骤。

较佳地，为了节约上位机的资源，所述上位机还可以在获知发起认证的 传感器节点认证通过后，启动定时器，定时时间为一预设的临时有效期，在 所述定时器到时之前，不对所述认证通过的传感器节点的心跳数据进行处理， 在所述定时器到时时，继续对所述认证通过的传感器节点的心跳数据进行处 理。所述预设的临时有效期大于所述预设的上报周期。

较佳地，本发明基于PKI技术的物联网认证系统还可以增加报警机制。 具体来说，可以是，所述上位机在使用上位机私钥进行解密时，如果解密失 败，进行告警处理。还可以是，所述上位机在获知发起认证的传感器节点的 认证结果为认证失败时，进行告警处理。

考虑到传感器节点的传输能力较低，传输速度较低，较佳地，本发明实 施例对X.509证书中的信息进行裁剪，保留其中的关键信息，从而减少传输 数据量，使之更适用于物联网特点。本发明实施例在此提供一种节点证书， 其可以包含版本号、序列号、签名、颁发者、有效期、主体和主体公钥信息。 其中：

所述版本号，用于标识证书的版本(版本1、版本2或者版本3)。

所述序列号，是由证书颁发者分配的本证书的唯一标识。

所述签名，是签名算法标识符，由对象标识符加上相关的参数组成，用 于说明本证书所用的数字签名算法。例如，SHA-1和RSA的对象标识符就 用来说明该数字签名是利用RSA对SHA-1杂凑加密。

所述颁发者，是证书颁发者的可识别名(DN)。

所述有效期，是证书有效期的时间段。其字段可以由“Not Before”和“Not After”两项组成，它们分别由UTC时间或一般的时间表示(在RFC2459中 有详细的时间表示规则)。

所述主体，是证书拥有者的可识别名，这个字段为非空，除非在证书扩 展中有别名。

所述主体公钥信息，是主体的公钥(以及算法标识符)。

较佳地，本发明实施例一种基于PKI技术的物联网认证系统可以灵活地 对证书进行管理，以进一步确保认证的安全性。例如，可以提供证书更新功 能，在具体实现时，可以是上位机在每次认证过程之后，即接收到认证结果 后，提示用户及时更新证书。也可以按照不同的要求撤销证书。还可以使用 例如OCSP在线查询的方式实现证书撤销列表的发布。等等。

本发明实施例还提供了一种利用上述系统实现物联网认证的方法，如图 2所示，包括步骤：

步骤S201：传感器节点按照预设的上报周期向上位机发送使用上位机公 钥加密的心跳数据；所述心跳数据包括节点公钥和用节点私钥加密的节点证 书；

步骤S202：上位机接收到所述心跳数据后，使用上位机私钥进行解密， 得到节点公钥和用节点私钥加密的节点证书；使用所述节点公钥解密所述用 节点私钥加密的节点证书，得到节点证书；生成本次认证过程的随机数，将 所述随机数与所述节点证书一起发送给认证机构CA；

步骤S203：所述CA接收到节点证书和随机数后，对所述节点证书进行 认证，将认证结果和所述随机数一起发送至所述上位机；

步骤S204：所述上位机根据接收到的认证结果和随机数获知发起认证的 传感器节点的认证结果。

其中，每个传感器节点具有自己的证书，所述证书可以由CA签发。具 体可以按照区域类型签发，或者按照行业类型签发，本发明在此不做限制。

所述上位机在获知传感器节点的认证结果后，即可根据认证结果进行数 据处理，例如，可以只接收认证通过的传感器节点的数据，从而确保数据的 可靠性。本发明实施例巧妙地通过传感器节点向上位机发送认证请求，即心 跳数据，并在上位机与传感器节点之间增加密钥保护机制，上位机在确定心 跳数据的正确性后，再将其上报CA，进行认证，并返回认证结果给上位机， 从而针对物联网的特点，巧妙地应用PKI技术建立物联网认证体系，从而确 保物联网数据的可靠性。。

在执行步骤S201时，所述传感器节点上报的心跳数据中还可以包括心 跳有效时间。相应地，在执行步骤S202时，所述上位机在解密心跳数据后 还会得到心跳有效时间。所述上位机在对所述用节点私钥加密的节点证书进 行解密前，先判断所述心跳有效时间是否仍然有效，如果有效，才解密所述 用节点私钥加密的节点证书。如果无效，则认为所述心跳数据已经过期，不 再准确，可以丢弃，无需再执行对节点证书的解密步骤，从而有效节约上位 机的资源。

在执行步骤S204时，所述上位机在获知发起认证的传感器节点认证通 过后，还可以启动定时器，定时时间为一预设的临时有效期，在所述定时器 到时之前，不对所述认证通过的传感器节点的心跳数据进行处理，在所述定 时器到时时，继续对所述认证通过的传感器节点的心跳数据进行处理，从而 有效节约上位机的资源。其中，所述预设的临时有效期大于所述预设的上报 周期。

较佳地，还可以增加报警机制。例如，在执行步骤S202时，所述上位 机使用上位机私钥进行解密时，如果解密失败，则可进行告警处理。再例如， 在执行步骤S204时，所述上位机在获知发起认证的传感器节点的认证结果 为认证失败时，则可进行告警处理。

考虑到传感器节点的传输能力较低，传输速度较低，较佳地，本发明实 施例对X.509证书中的信息进行裁剪，保留其中的关键信息，从而减少传输 数据量，使之更适用于物联网特点。本发明实施例在此提供一种节点证书， 其可以包含版本号、序列号、签名、颁发者、有效期、主体和主体公钥信息。 其中：

所述版本号，用于标识证书的版本(版本1、版本2或者版本3)。

所述序列号，是由证书颁发者分配的本证书的唯一标识。

所述签名，是签名算法标识符，由对象标识符加上相关的参数组成，用 于说明本证书所用的数字签名算法。例如，SHA-1和RSA的对象标识符就 用来说明该数字签名是利用RSA对SHA-1杂凑加密。

所述颁发者，是证书颁发者的可识别名(DN)。

所述有效期，是证书有效期的时间段。其字段可以由“Not Before”和“Not After”两项组成，它们分别由UTC时间或一般的时间表示(在RFC2459中 有详细的时间表示规则)。

所述主体，是证书拥有者的可识别名，这个字段为非空，除非在证书扩 展中有别名。

所述主体公钥信息，是主体的公钥(以及算法标识符)。

较佳地，本发明实施例还可以灵活地对证书进行管理，以进一步确保认 证的安全性。例如，可以提供证书更新功能，在具体实现时，可以是上位机 在每次认证过程之后，即接收到认证结果后，提示用户及时更新证书。也可 以按照不同的要求撤销证书。还可以使用例如OCSP在线查询的方式实现证 书撤销列表的发布。等等。

当然，本发明还可有其他多种实施例，在不背离本发明精神及其实质的 情况下，本领域技术人员当可根据本发明作出各种相应的改变和变形，但这 些相应的改变和变形都应属于本发明所附的权利要求的保护范围。