CN111585771B

CN111585771B - 一种基于u2f物理令牌的物联网设备的集中式认证系统

Info

Publication number: CN111585771B
Application number: CN202010428749.1A
Authority: CN
Inventors: 林峰; 王超; 罗浩; 张帆; 韩劲松; 许文曜; 任奎
Original assignee: Zhejiang University ZJU
Current assignee: Zhejiang University ZJU
Priority date: 2020-05-20
Filing date: 2020-05-20
Publication date: 2021-07-06
Anticipated expiration: 2040-05-20
Also published as: CN111585771A; US20220014374A1; WO2021232671A1

Abstract

本发明公开了一种基于物理令牌的物联网设备的集中式认证系统，该系统将物联网设备在端上的认证，转移到物联网关上进行集中式认证，用户可通过U2F令牌在物联网关上进行应答，完成物联网设备的认证。该系统通过将认证的核心从众多分散的单个物联网终端转移到可信物联网关节点上，在增强物联网环境安全性的同时，克服物联网设备众多、终端资源有限、认证开销大、操作繁琐等诸多缺陷，增强物联网环境认证的安全性并提高设备认证和管理的效率。

Description

一种基于U2F物理令牌的物联网设备的集中式认证系统

技术领域

本发明涉及计算机网络技术领域，尤其涉及一种基于U2F令牌的物联网设备的集中式认证系统。

背景技术

物联网(Internet of Things,IoT)近年来受到越来越多的广泛关注。从工厂的大型生产设备到众多的家用电器，物联网已经渐渐渗透到人们的生活之中。在物联网如火如荼地发展的同时，随之而来的是各种各样的安全问题。在物联网中，用户的隐私、授权、验证、访问控制、系统配置、信息存储和管理等方面存在着诸多的问题和挑战。同时，随着物联网终端设备的指数级增加，诸多物联网设备的管理和维护成为了一大难题。

目前通用双因子(U2F)多应用于具有图形交互界面的认证场景，而物联网终端的各种嵌入式设备往往缺乏用户交互界面，大大限制了U2F的应用；且目前的双因子认证多为端到端的认证，对于设备众多的物联网场景，认证效率成为一大亟待解决的难题。目前尚未有利用U2F令牌对物联网设备进行集中式认证的解决方案。

发明内容

本发明的目的在于针对现有技术的不足，提供一种基于物理令牌的物联网设备的集中式认证系统。该系统通过将认证的核心从众多分散的单个物联网终端转移到可信物联网关节点上，在增强物联网环境安全性的同时，克服物联网设备众多、终端资源有限、认证开销大、操作繁琐等诸多缺陷，增强物联网环境认证的安全性并提高设备认证和管理的效率。

本发明的目的是通过以下技术方案来实现的：一种基于物理令牌的物联网设备的集中式认证系统，该系统包括物联网关、U2F令牌、U2F服务器、物联网服务器及物联网设备，其中：

所述物联网关完成U2F令牌和云端交互数据的转发操作，支持物联网设备与物联网服务器间的通信。

所述U2F令牌带有响应按键，接入物联网关并与U2F服务器进行交互。

所述U2F服务器与物联网关通信并响应U2F令牌的注册和认证请求，并为物联网服务器提供令牌注册和设备认证结果。

所述物联网服务器通过物联网关与物联网设备进行交互，用户通过物联网服务器对物联网设备进行管理和维护。

物联网设备通过物联网关与物联网服务器交互，接收来自物联网服务器的指令并完成相应任务。

进一步地，所述物联网关内部集成U2F Host软件模块，负责U2F令牌和U2F服务器之间数据流的转发，且支持USB接口。

所述U2F令牌通过USB接口接入物联网关，同时具有物理按键和指示灯以便用户进行应答；U2F令牌根据U2F服务器的指令和用户的应答情况生成密钥对或者利用内部存储的私钥对所接收数据进行签名等操作。

进一步地，所述物联网服务器具有用户交互界面，方便用于用户进行管理和操作。

进一步地，该系统的令牌注册过程为：用户在物联网服务器上发起注册操作，物联网服务器通知物联网关向U2F服务器发起注册请求；U2F服务器接收注册请求并向物联网关发送一组随机数和U2F服务器信息，物联网关将其转发至U2F令牌；用户通过与U2F令牌进行交互生成密钥对和用于标识密钥对的Key Handle，其中公钥和Key Handle由物联网关转发至U2F服务器进行保存，私钥保存在U2F令牌内部且不可被外部设备读取；U2F服务器接收并保存U2F令牌的公钥和Key Handle后，向物联网服务器发送注册结果。

进一步地，该系统的设备认证过程为：当用户试图通过物联网服务器对一个或多个物联网设备进行某一或某一系列操作时，物联网服务器首先通知物联网关向U2F服务器发出认证请求；U2F服务器接收到认证请求后向物联网关发送一组随机数和U2F服务器信息，物联网关将其转发至U2F令牌；用户通过与U2F令牌进行交互利用U2F令牌内部保存的私钥对所接收数据进行签名操作，然后由物联网关转发至U2F服务器进行签名验证；U2F服务器利用保存的公钥对签名进行验证，并向物联网服务器返回验证结果；若验证通过，则物联网服务器响应用户对物联网设备所发起的操作，否则拒绝。

本发明的有益效果是，本发明基于U2F令牌、物联网关、物联网设备、U2F服务器和物联网服务器的交互，将物联网设备在端上的认证转移到物联网关上实现了物联网设备的集中式认证；用户通过物联网关即可完成对所管理的所有物联网设备的认证，且整个过程用户只需要通过U2F令牌上的按键进行应答即可，操作简单快速，在增强物联网环境下设备认证安全性的同时提高了物联网设备的管理效率；所提出的集中式认证系统无需对已有设备进行硬件改动，可最大程度节省硬件成本，具有很好的工业应用前景。

附图说明

图1是基于U2F令牌的物联网设备的集中式认证系统结构框图。

图2是基于U2F令牌的物联网设备的集中式认证系统的令牌注册流程图。

图3是基于U2F令牌的物联网设备的集中式认证系统的设备认证流程图。

具体实施方式

下面根据附图详细说明本发明。

如图1所示，本发明主要包括以下部分：

物联网关，U2F令牌，U2F服务器，物联网服务器，物联网设备。

所述物联网关完成U2F令牌和云端交互数据的转发操作，支持物联网设备与物联网服务器间的通信；

所述U2F令牌带有响应按键，接入物联网关并与U2F服务器进行交互；

所述U2F服务器与物联网关通信并响应U2F令牌的注册和认证请求，并为物联网服务器提供令牌注册和设备认证结果；

所述物联网服务器通过物联网关与物联网设备进行交互，用户通过物联网服务器对物联网设备进行管理和维护；

本发明通过物联网关即可完成对所管理的所有物联网设备的认证，且整个过程用户只需要通过U2F令牌上的按键进行应答即可，操作简单快速，在增强物联网环境下设备认证安全性的同时提高了物联网设备的管理效率。另外，该集中式认证系统无需对已有设备进行硬件改动，可最大程度节省硬件成本。

作为优选方案，所述物联网关内部集成U2F Host软件模块，负责U2F令牌和U2F服务器之间数据流的转发，且具有USB接口，所述U2F令牌通过USB接口接入物联网关，同时具有物理按键和指示灯以便用户进行应答；U2F令牌根据U2F服务器的指令和用户的应答情况生成密钥对或者利用内部存储的私钥对所接收数据进行签名等操作。

其中，指示灯采用不同颜色在不同时期进行闪烁指示用户操作，如闪烁红灯，表示需要输入，闪烁绿灯表示输入完成等。

另外，所述物联网服务器具有用户交互界面，便于用户操作及接收反馈。

在能够正常使用U2F令牌对设备进行认证之前，用户首先需要通过在物联网服务器上发起令牌注册操作，如图2所示，本发明基于U2F令牌的物联网设备的集中式认证系统的令牌注册过程，具体如下：

用户首先需要通过在物联网服务器上发起注册操作，随后物联网服务器通知物联网关向U2F服务器发起注册请求；U2F服务器接收注册请求并向物联网关发送一组随机数和U2F服务器信息，物联网关将其转发至U2F令牌；用户通过与U2F令牌进行交互(例如按下U2F令牌上的按键)生成密钥对和用于标识密钥对的Key Handle，其中公钥和Key Handle由物联网关转发至U2F服务器进行保存，私钥保存在U2F令牌内部且不可被外部设备读取；U2F服务器接收并保存U2F令牌的公钥和Key Handle后，向物联网服务器发送注册结果(成功或失败)，进一步地，可以通过用户交互界面告知用户是否已开启U2F认证支持。

如图3所示，本发明基于物理令牌的物联网设备的集中式认证系统的设备认证过程，具体如下：

当用户试图通过物联网服务器对物联网设备进行某一操作时，双因子认证过程启动。物联网服务器首先通知物联网关向U2F服务器发出认证请求；U2F服务器接收到请求后向物联网关发送一组随机数和U2F服务器信息，物联网关将其转发至U2F令牌；用户通过与U2F令牌进行交互(例如按下U2F令牌上的按键)利用私钥对所接收数据进行签名，由物联网关转发至U2F服务器进行签名验证；U2F服务器利用保存的公钥对签名进行验证，并向物联网服务器返回验证结果；若验证通过，则物联网服务器响应用户对物联网设备所发起的操作，否则拒绝。

最后，需要注意的是，以上列举的仅是本发明的具体实施例。本发明不限于以上实施例，还可以有很多变形。本领域的普通技术人员能从本发明公开的内容中直接导出或联想到的所有变形，均应认为是本发明的保护范围。

Claims

1.一种基于U2F物理令牌的物联网设备的集中式认证系统，其特征在于，该系统包括物联网关、U2F令牌、U2F服务器、物联网服务器及物联网设备，其中：

物联网设备通过物联网关与物联网服务器交互，接收来自物联网服务器的指令并完成相应任务；

该系统的令牌注册过程为：用户在物联网服务器上发起注册操作，物联网服务器通知物联网关向U2F服务器发起注册请求；U2F服务器接收注册请求并向物联网关发送一组随机数和U2F服务器信息，物联网关将其转发至U2F令牌；用户通过与U2F令牌进行交互生成密钥对和用于标识密钥对的Key Handle，其中公钥和Key Handle由物联网关转发至U2F服务器进行保存，私钥保存在U2F令牌内部且不可被外部设备读取；U2F服务器接收并保存U2F令牌的公钥和Key Handle后，向物联网服务器发送注册结果。

2.根据权利要求1所述的认证系统，其特征在于，所述物联网关内部集成U2F Host软件模块，负责U2F令牌和U2F服务器之间数据流的转发，且支持USB接口；

所述U2F令牌通过USB接口接入物联网关，同时具有物理按键和指示灯以便用户进行应答；U2F令牌根据U2F服务器的指令和用户的应答情况生成密钥对或者利用内部存储的私钥对所接收数据进行签名操作。

3.根据权利要求1所述的认证系统，其特征在于，所述物联网服务器具有用户交互界面。

4.根据权利要求1-3任一项所述的认证系统，其特征在于，该系统的设备认证过程为：当用户试图通过物联网服务器对一个或多个物联网设备进行某一或某一系列操作时，物联网服务器首先通知物联网关向U2F服务器发出认证请求；U2F服务器接收到认证请求后向物联网关发送一组随机数和U2F服务器信息，物联网关将其转发至U2F令牌；用户通过与U2F令牌进行交互利用U2F令牌内部保存的私钥对所接收数据进行签名操作，然后由物联网关转发至U2F服务器进行签名验证；U2F服务器利用保存的公钥对签名进行验证，并向物联网服务器返回验证结果；若验证通过，则物联网服务器响应用户对物联网设备所发起的操作，否则拒绝。