[发明专利]基于访问路径的IPv6物联网节点身份认证方法

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于访问路径的IPv6物联网节点身份认证方法。

背景技术

以身份欺骗为基础的网络攻击行为正严重威胁互联网的安全，攻击者通过伪造身份，可实现隐匿自身真实身份、窃取受害者隐私信息和获取非法访问权限等目的。无论从现实和长远角度看，物联网都需要维护节点的真实身份。当前，有关物联网身份认证技术还处在起步阶段，一方面是由于当前物联网的网络体系结构尚未形成标准，面向具体应用场景的身份认证方法不具备通用性。另一方面，与普通用户终端（台式机、笔记本等等）相比，物联网末梢网络节点通常以无线模式通信，而且节点的存储、计算能力较低，功能差，内存小，能量供应受限，需要定时休眠，从而导致其构成的网络通常是低功耗、松散的网络。

由于末梢网络节点大规模部署及其与通信对端的端到端通信需求，以及末梢网络和主干网的异构性，需要物联网关实现异构网络间的通信。如图1所示，物联网总体通信模式具体包括三类：①节点与网关之间的通信；②不同末梢网络节点之间，以及节点和终端之间的端到端通信（该模式需要网关参与）；和③同末梢网络内部节点之间的通信（该模式一般无需网关参与）。由于当前末梢网络内部缺乏身份认证机制，在这三种模式下，攻击节点都可以通过身份伪造（例如配置与在用节点相同的IP地址）实现对通信对端（包括其它节点、网关和终端）的欺骗。由于网络路由协议需要有自适应性，因此传统身份认证技术带来的计算、存储和传输开销给末梢网络及节点带来不能承受之重，无法直接移植和沿用。

发明内容

本发明旨在至少解决上述技术问题之一。相比节点，物联网网关计算、存储能力强，与主干网的通信带宽大、服务保障程度高，这使得利用物联网网关实现通信对端对节点进行身份认证成为可能。

为此，本发明的目的在于提出一种基于访问路径的IPv6物联网节点身份认证方法，所述节点身份认证包括网关对节点的身份认证和通信对端对节点的身份认证，其中，利用随机数、认证密钥次序经过hash函数处理得到的应答值作为比对依据进行身份认证，其中认证密钥次序是基于访问路径形成的。

根据本发明实施例的基于访问路径的IPv6物联网节点身份认证方法，认证效率高，计算、存储和传输开销低，经济且易于部署。

本发明实施例的基于访问路径的IPv6物联网节点身份认证方法还可以具有如下附加技术特征：

在本发明的一个实施例中，所述网关对节点的身份认证包括以下步骤：S11.节点向网关发送访问申请；S12.所述网关生成一个第一随机数RM1，连同随机选取的认证密钥次序PN，作为初始认证信息发送给所述节点；S13.所述节点根据所述网关提出的所述初始认证信息，调取所述节点自身存储的相应次序认证密钥AK，利用双方约定的hash函数，计算相应的hash(RM1,AK)并作为第一应答值发送给所述网关；以及S14.所述网关调取自身存储的次序为PN的认证密钥信息，并采用双方约定的hash函数计算第二应答值，通过比对所述第一应答值和所述第二应答值，确定所述节点是否通过认证，作为授权结果发送给所述节点。

在本发明的一个实施例中，所述通信对端对节点的身份认证包括以下步骤：S21.所述节点向通信对端发送访问申请；S22.所述通信对端向所述节点所处末梢网络网关发送认证申请；S23.所述末梢网络网关产生一个第二随机数RM2,连同随机选取的认证密钥次序PN，作为初始认证信息发送给所述节点，同时，所述网关调取自身存储的次序为PN的认证密钥信息，并采用双方约定的hash函数计算第三应答值，发送给所述通讯对端；S24.所述节点根据所述网关提出的挑战，调取所述节点自身存储的相应次序认证密钥AK，利用双方约定的hash函数，计算相应的hash(RM2,AK)并作为第四应答值发送给所述网关；以及S25.所述通讯对端通过比较所述第三应答值和所述第四应答值完成对所述节点的认证授权。

在本发明的一个实施例中，所述节点和所述网关采集和存储节点数据分组头部四元组<源IP,目的IP,源端口,目的端口>，并利用连续k个四元组构成节点认证密钥，其中k为正整数。

在本发明的一个实施例中，k=3。

在本发明的一个实施例中，采集源IP和目的IP时仅采集规定位数以下的数据。

在本发明的一个实施例中，所述节点和所述网关存储认证密钥的条数具有上限。

本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明