一种智慧井盖设备的认证方法及系统与流程

1.本发明涉及信息安全技术领域，特别是涉及一种智慧井盖设备的认证方法及系统。


背景技术：

2.近年来随着通信业务规模的不断扩大，地下光缆管线设施规模不断增多，路面相应井盖的数量也成倍增多。由于传统井盖没有实时监控手段，一旦井盖发生失窃、破损、移位等问题时，造成严重安全隐患。因此围绕通信井盖作为对象，借助物联网、云平台、大数据技术，通过集成不同功能的物联网设备打造智慧井盖监控，致力于实现井盖的实时监控和管理。在智慧井盖中，它允许授权用户远程访问和控制传感设备。用户可以通过智慧井盖的传感装置采集到实时数据。然而，这些数据通常通过一个不安全的通道传输，这就造成攻击者对智慧井盖进行恶意攻击，导致安全性和隐私性差。


技术实现要素：

3.本发明的目的是提供一种智慧井盖设备的认证方法及系统，以提高智慧井盖设备控制过程的安全性能。
4.为实现上述目的，本发明提供了如下方案：一种智慧井盖设备的认证方法，包括：用户设备根据身份信息向云服务中心发送认证消息；云服务中心根据认证消息对用户设备进行验证；当云服务中心对用户设备验证通过时，云服务中心根据随机数生成加密消息，根据加密消息生成广播消息，并将广播消息广播至智慧井盖设备；广播消息包括加密消息和时间戳；每个智慧井盖设备根据广播消息对云服务中心进行验证，验证通过后，对自身的id信息进行加密生成第一消息发送至云服务中心；云服务中心采用私密共享算法对第一消息对应的智慧井盖设备进行验证，验证通过后，生成用户消息和井盖消息，并将用户消息广播至所有智慧井盖设备，将井盖消息发送至用户设备；当智慧井盖设备收到用户消息后，对云服务中心进行验证，验证通过时，智慧井盖设备计算会话密钥，并对会话密钥进行加密发送至用户设备；用户设备对加密后的会话密钥进行验证，验证通过后，用户设备和智慧井盖设备通过相同的会话密钥进行通信。
5.可选的，用户设备根据身份信息向云服务中心发送认证消息，之前还包括：所述用户设备向所述云服务中心进行注册以及所述智慧井盖设备向所述云服务中心进行离线注册；用户设备向云服务中心进行注册，具体包括：
用户设备利用得到用户u的生物特征秘钥，利用得到用户u的公钥，利用得到加密值，生成第一注册消息发送至云服务中心；表示用户u的生物指纹信息，表示生成生物特征的辅助信息，p为云服务中心中椭圆曲线群的一个生成元，为随机数，表示用户u的身份，为用户u的密码；云服务中心收到第一注册消息后，利用计算第一注册消息对应的公钥，利用计算用户u的哈希值，利用和计算中间参数和，生成用户u的临时身份，并存储用户u对应的数据，生成智能卡，并将用户u对应的数据存储到智能卡，并发送至用户设备；用户设备收到数据后，利用公式、、、和计算中间参数、、、和，并将参数信息进行存储；其中，为云服务中心随机选择的秘密值，表示云服务中心的身份信息；智慧井盖设备向云服务中心进行离线注册，具体过程为：云服务中心为每个智慧井盖设备分配唯一的身份信息；利用计算中间参数s，将中间参数s进行存储，生成参数消息，并发送至对应的智慧井盖设备；其中，，，n为智慧井盖设备的个数，为所述云服务中心为第i个智慧井盖设备分配的互素数正整数，，为所述云服务中心为第i个智慧井盖设备分配的正整数；为计算秘密共享算法的参数，为道德值，为计算s的参数，为所述云服务中心为智慧井盖设备分配的互素数正整数的和。
6.可选的，用户设备根据身份信息向云服务中心发送认证消息，具体包括：所述用户设备对应的智能卡根据存储的数据利用、、、和重构参数、、、和；
所述智能卡通过判断和是否相等验证用户u的身份；当和相等时，所述用户u的身份验证通过，所述用户设备生成一个随机数和当前时间戳；智能卡利用、和计算所述云服务中心的身份信息，生成所述用户设备的认证消息，并将所述认证消息发送给所述云服务中心；其中，为计算得到的云服务中心的身份信息，为计算得到的用户的哈希值，为中的一个参数。
7.可选的，云服务中心根据认证消息对用户设备进行验证，具体包括：云服务中心验证时间戳是否在合法范围内；若合法，通过检索数据库获得所述用户设备的；利用和计算参数和；判断和是否相等；若相等，则所述用户设备验证通过。
8.可选的，云服务中心根据随机数生成加密消息，根据加密消息生成广播消息，具体包括：所述云服务中心随机生成一个随机数和当前时间戳；利用计算参数；利用随机数生成加密消息和；生成广播消息。
9.可选的，每个智慧井盖设备根据广播消息对云服务中心进行验证，验证通过后，对自身的id信息进行加密生成第一消息发送至云服务中心，具体包括：智慧井盖设备验证时间戳是否在合法范围内；若在合法范围内，利用计算参数；使用对解密得到消息{}；计算，并比较和值是否相等；若相等，则所述云服务中心验证通过；所述云服务中心验证通过后，所述智慧井盖设备通过加密得到消息
，根据当前时间戳生成第一消息，并将所述第一消息发送至所述云服务中心。
10.可选的，云服务中心采用私密共享算法对第一消息对应的智慧井盖设备进行验证，验证通过后，生成用户消息和井盖消息，并将用户消息广播至所有智慧井盖设备，将井盖消息发送至用户设备，具体包括：云服务中心检验时间戳是否在合法范围内；若在合法范围内，通过解密消息得到{}；通过秘密共享算法计算参数和，公式为：，；其中，ci表示通过秘密共享算法计算得到的第i个智慧井盖设备对应的参数，dj表示分配给第j个智慧井盖设备的正整数，dr表示分配给第r个智慧井盖设备的正整数，cj表示通过秘密共享算法计算得到的第j个智慧井盖设备对应的参数，p表示一个k位素数；验证和存储的是否相等；若相等，则所述智慧井盖设备验证通过；当所述智慧井盖设备验证通过时，所述云服务中心生成当前时间戳，利用、、、和计算参数、、和；为云服务中心存储的秘密共享算法的值，为云服务中心计算的哈希值；生成用户消息和井盖消息，将所述用户消息广播至所有智慧井盖设备，将所述井盖消息发送至所述用户设备。
11.可选的，当智慧井盖设备收到用户消息后，对云服务中心进行验证，验证通过时，智慧井盖设备计算会话密钥，并对会话密钥进行加密发送至用户设备，具体包括：智慧井盖设备利用和计算参数和；验证和是否相等；若相等，则所述云服务中心验证通过；所述云服务中心验证通过时，计算会话密钥；利用对会话密钥进行加密，并发送消息{mk}给所述用户设备。
12.可选的，用户设备对加密后的会话密钥进行验证，具体包括：用户设备核查时间戳是否在合法范围内；若在合法范围内，使用解密
得到{}；计算，并验证和是否相等；若相等，计算会话密钥和；验证和mk是否相等，若相等，则确定所述用户设备和所述智慧井盖设备生成了相同的会话密钥，并采用相同的会话密钥进行通信。
13.本发明还提供一种智慧井盖设备的认证系统，包括：认证消息发送模块，用于用户设备根据身份信息向云服务中心发送认证消息；云服务中心验证模块，用于云服务中心根据认证消息对用户设备进行验证；广播模块，用于当云服务中心对用户设备验证通过时，云服务中心根据随机数生成加密消息，根据加密消息生成广播消息，并将广播消息广播至智慧井盖设备；广播消息包括加密消息和时间戳；智慧井盖设备验证及加密模块，用于每个智慧井盖设备根据广播消息对云服务中心进行验证，验证通过后，对自身的id信息进行加密生成第一消息发送至云服务中心；私密共享验证模块，用于云服务中心采用私密共享算法对第一消息对应的智慧井盖设备进行验证，验证通过后，生成用户消息和井盖消息，并将用户消息广播至所有智慧井盖设备，将井盖消息发送至用户设备；会话密钥生成模块，用于当智慧井盖设备收到用户消息后，对云服务中心进行验证，验证通过时，智慧井盖设备计算会话密钥，并对会话密钥进行加密发送至用户设备；会话密钥验证模块，用于用户设备对加密后的会话密钥进行验证，验证通过后，用户设备和智慧井盖设备通过相同的会话密钥进行通信。
14.根据本发明提供的具体实施例，本发明公开了以下技术效果：本发明从以下几个方面提高智慧井盖设备控制过程的安全性能：1.通信实体进行相互验证，避免了假冒攻击，保证了通信的安全性。2.通信实体通过时间戳来保证消息的新鲜性。从而避免了重放攻击。3.用户生成的会话密钥都是由ue和一组智慧井盖设备通过发送的加密的秘密值生成，因此会话密钥的前后向安全性得到了保证。通信实体中的消息需要进行验证，因此如果篡改任何信息都会导致验证失败，因此，可以抵抗中间人攻击。
附图说明
15.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
16.图1为本发明智慧井盖设备的认证方法的流程示意图；图2为本发明智慧井盖设备的认证系统的结构示意图。
具体实施方式
17.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完
整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
18.本发明提供一种智慧井盖设备的认证方法及系统，用于支持授权用户远程访问一组智慧井盖设备。本发明采用密码、生物特征识别和智能卡技术，在智慧井盖环境中识别用户，并且利用秘密共享技术和中国剩余定理在合法的一组智慧井盖设备之间构造一个安全的会话密钥，通过会话密钥可以安全的访问智慧井盖数据。
19.为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。
20.图1为本发明智慧井盖设备的认证方法的流程示意图。如图1所示，本发明智慧井盖设备的认证方法包括以下过程：步骤100：用户设备根据身份信息向云服务中心发送认证消息。
21.在认证之前，用户设备和智慧井盖设备均在云服务中心中进行了注册，注册过程为：云服务中心(cloud service center ，csc) 选择一个k位素数p和一条椭圆曲线。g是生成的椭圆曲线群，p为g的一个生成元。csc选择动态加密/解密对和单向的安全哈希函数。
22.用户设备ue向云服务中心进行注册，具体包括：用户设备利用得到用户u的生物特征秘钥，随机选择一个随机数, 利用计算对应的公钥，利用得到加密值，生成第一注册消息发送至云服务中心；表示用户u的生物指纹信息，表示生成生物特征的辅助信息，p为云服务中心中椭圆曲线群的一个生成元，为随机数，表示用户u的身份，为用户u的密码；云服务中心收到第一注册消息后，随机选择一个秘密值，利用计算对应的公钥，利用计算用户u的哈希值，利用和计算中间参数和，同时生成用户u的临时身份，并存储用户u对应的数据，生成智能卡（smart card，sc），并将用户u对应的数据存储到智能卡，并发送至用户设备。
23.用户设备收到数据后，利用公式、、、
和计算中间参数、、、和，（用于验证用户ue的身份）并将参数信息进行存储；其中，为云服务中心随机选择的秘密值，表示云服务中心的身份信息；智慧井盖设备（manhole cover sensor equipment，mcse）向云服务中心进行离线注册，具体过程为：云服务中心为每个智慧井盖设备分配唯一的身份信息（i=1,2,
…
,n）；选择一个秘密值 , 并且选择一个多项式，其中。csc为每个分配不同的正整数，并且计算。
24.利用计算中间参数s，将中间参数s进行存储，生成参数消息，并发送至对应的智慧井盖设备；其中，，，n为智慧井盖设备的个数，为云服务中心为第i个智慧井盖设备分配的互素数正整数，，为云服务中心为第i个智慧井盖设备分配的正整数；为计算秘密共享算法的参数，为道德值，为计算s的参数，为所述云服务中心为智慧井盖设备分配的互素数正整数的和。
25.发送认证消息的过程为：用户设备ue首先输入用户身份,用户密码以及用户生物指纹信息，智能卡通过存储到内存中的信息重新构造计算、、、和。通过核查和是否相等验证用户ue的身份。如果相等，那么验证了用户ue的身份。ue生成一个随机数和当前时间戳。sc计算云服务中心的身份、和，然后将消息发送给csc；其中，为计算得到的云服务中心的身份信息，为计算得到的用户的哈希值，为中的一个参数。
26.步骤200：云服务中心根据认证消息对用户设备进行验证。当csc收到发送的消息后，csc首先验证时间戳是否在合法范围内，如果合法，那么认证继续。否则，拒绝认证。csc通过检索数据库获得用户ue的。csc计算和
。然后csc核查和是否相等，如果相等，那么认证通过，否则认证结束。
27.步骤300：当云服务中心对用户设备验证通过时，云服务中心根据随机数生成加密消息，根据加密消息生成广播消息，并将广播消息广播至智慧井盖设备。广播消息包括加密消息和时间戳。csc随机生成一个随机数和当前时间戳,计算。csc通过使用生成加密消息和。最后csc广播消息给mcse。
28.步骤400：每个智慧井盖设备根据广播消息对云服务中心进行验证，验证通过后，对自身的id信息进行加密生成第一消息发送至云服务中心。当每个设备收到消息后，首先核查时间戳是否在合法范围内，如果在合法范围内，那么计算。通过使用解密值得到消息，然后计算,通过比较和值是否相等，验证了csc。通过加密得到消息，并且生成当前时间戳，然后将消息发送给csc。
29.步骤500：云服务中心采用私密共享算法对第一消息对应的智慧井盖设备进行验证，验证通过后，生成用户消息和井盖消息，并将用户消息广播至所有智慧井盖设备，将井盖消息发送至用户设备。当csc收到n个设备发送的消息后，csc首先核查时间戳是否在合法范围内，如果在合法范围内，那么csc通过解密消息得到，然后csc通过秘密共享算法计算，，验证和存储的是否相等，如果相等，那么验证了n个设备的身份。csc生成当前时间戳,计算、、、和。最后，csc向n个设备广播消息，向ue发送消息}。为云服务中心存储的秘密共享算法的值，为云服务中心计算的哈希值。
30.步骤600：当智慧井盖设备收到用户消息后，对云服务中心进行验证，验证通过时，智慧井盖设备计算会话密钥，并对会话密钥进行加密发送至用户设备。当设备收到发送的消息后，计算和，验证和是否相等，如果相等，那么验证了csc,此时计算会话密钥
。最后计算，并发送{ mk }给ue,从而验证会话密钥相等。
31.步骤700：用户设备对加密后的会话密钥进行验证，验证通过后，用户设备和智慧井盖设备通过相同的会话密钥进行通信。当ue收到发送的消息后，ue首先核查时间戳是否在合法范围内，如果在合法范围内，那么ue通过使用解密得到。然后ue计算, 验证和是否相等，如果相等，那么验证了csc，那么ue计算会话密钥和，验证和mk是否相等，如果相等，那么验证了ue和设备生成了相同的会话密钥。
32.对应上述认证方法，本发明还提供一种智慧井盖设备的认证系统，图2为本发明智慧井盖设备的认证系统的结构示意图。如图2所示，本发明认证系统包括：认证消息发送模块201，用于用户设备根据身份信息向云服务中心发送认证消息。
33.云服务中心验证模块202，用于云服务中心根据认证消息对用户设备进行验证。
34.广播模块203，用于当云服务中心对用户设备验证通过时，云服务中心根据随机数生成加密消息，根据加密消息生成广播消息，并将广播消息广播至智慧井盖设备；广播消息包括加密消息和时间戳。
35.智慧井盖设备验证及加密模块204，用于每个智慧井盖设备根据广播消息对云服务中心进行验证，验证通过后，对自身的id信息进行加密生成第一消息发送至云服务中心。
36.私密共享验证模块205，用于云服务中心采用私密共享算法对第一消息对应的智慧井盖设备进行验证，验证通过后，生成用户消息和井盖消息，并将用户消息广播至所有智慧井盖设备，将井盖消息发送至用户设备。
37.会话密钥生成模块206，用于当智慧井盖设备收到用户消息后，对云服务中心进行验证，验证通过时，智慧井盖设备计算会话密钥，并对会话密钥进行加密发送至用户设备。
38.会话密钥验证模块207，用于用户设备对加密后的会话密钥进行验证，验证通过后，用户设备和智慧井盖设备通过相同的会话密钥进行通信。
39.本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
40.本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上，本说明书内容不应理解为对本发明的限制。