基于CA證書的Restful架構(gòu)下的無(wú)線傳感器網(wǎng)絡(luò)接入認(rèn)證方法
【技術(shù)領(lǐng)域】
[0001 ]本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)領(lǐng)域���,尤其涉及一種基于CA證書的Restf ul架構(gòu)下的無(wú)線傳感器網(wǎng)絡(luò)接入認(rèn)證方法。
【背景技術(shù)】
[0002]無(wú)線傳感器網(wǎng)絡(luò)(Wireless Sensor Networks�,WSN)是由一組微型傳感器節(jié)點(diǎn)以自組織方式構(gòu)成的無(wú)線網(wǎng)絡(luò),其目的是協(xié)作地感知�、采集和處理網(wǎng)路覆蓋地理區(qū)域中感知對(duì)象的信息�,并發(fā)布給觀察者�。無(wú)線傳感器網(wǎng)絡(luò)中的每個(gè)傳感器具有一個(gè)或多個(gè)節(jié)點(diǎn),傳感器節(jié)點(diǎn)通常是一個(gè)微型的嵌入式系統(tǒng)����。每個(gè)節(jié)點(diǎn)來(lái)監(jiān)測(cè)自己的感知范圍對(duì)象,監(jiān)測(cè)特定的行為�����,使用節(jié)點(diǎn)來(lái)采集數(shù)據(jù)����,將采集到的數(shù)據(jù)傳送到最近的匯聚節(jié)點(diǎn),隨后進(jìn)入?yún)R聚階段�,從接近節(jié)點(diǎn)所采集到的數(shù)據(jù)進(jìn)行分析和處理,然后將結(jié)果根據(jù)需要發(fā)送給基站����,基站將最終結(jié)果傳送給觀察員���。
[0003]由于傳感器網(wǎng)絡(luò)配置環(huán)境一般比較惡劣����,加之無(wú)線網(wǎng)絡(luò)本身固有的脆弱性,因而極易受到各種各樣的攻擊��。為保證信息的安全傳遞�����,需要有一種機(jī)制來(lái)驗(yàn)證通信各方身份的合法性���。在傳統(tǒng)的有線網(wǎng)絡(luò)中����,公鑰基礎(chǔ)設(shè)施有效地解決了這個(gè)問(wèn)題����,它通過(guò)對(duì)數(shù)字證書的使用和管理,來(lái)提供全面的公鑰加密和數(shù)字簽名服務(wù)��。通過(guò)公鑰基礎(chǔ)設(shè)施���,可以將公鑰與合法擁有者的身份綁定起來(lái)��,從而建立并維護(hù)一個(gè)可信的網(wǎng)絡(luò)環(huán)境�。然而����,非對(duì)稱加密體制需要很高的計(jì)算���、通信和存儲(chǔ)開(kāi)銷,這決定了在資源受限的傳感器上使用數(shù)字簽名和公鑰證書機(jī)制是不可行的�����。為保證信息的安全傳遞����,需要有一種機(jī)制來(lái)驗(yàn)證通信各方身份的合法性,必須建立一套綜合考慮安全性�����、效率和性能并進(jìn)行合理的傳感器網(wǎng)絡(luò)身份認(rèn)證方案���。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的目的是提供一種基于CA證書的Restful架構(gòu)下的無(wú)線傳感器網(wǎng)絡(luò)接入認(rèn)證方法�����,有效防止惡意攻擊者對(duì)數(shù)據(jù)的破壞,保護(hù)無(wú)線傳感器網(wǎng)絡(luò)中數(shù)據(jù)的安全�。
[0005]本發(fā)明采用的技術(shù)方案為:一種基于CA證書的Restful架構(gòu)下的無(wú)線傳感器網(wǎng)絡(luò)接入認(rèn)證方法��,將傳感器節(jié)點(diǎn)和匯聚節(jié)點(diǎn)自組織成為網(wǎng)絡(luò)����,將匯聚節(jié)點(diǎn)連接到基于Restful架構(gòu)的Web服務(wù)器�����,客戶端與Web服務(wù)器之間的認(rèn)證��,匯聚節(jié)點(diǎn)與Web服務(wù)器之間的認(rèn)證�、傳感器節(jié)點(diǎn)與匯聚節(jié)點(diǎn)之間的認(rèn)證以及客戶端與匯聚節(jié)點(diǎn)之間的認(rèn)證均基于CA證書完成,用戶通過(guò)客戶端訪問(wèn)Web服務(wù)器獲取無(wú)線傳感器節(jié)點(diǎn)的數(shù)據(jù)��。
[0006]還包括第三方應(yīng)用程序與Web服務(wù)器之間的基于令牌的認(rèn)證�。
[0007]認(rèn)證過(guò)程中,被認(rèn)證方持有第一CA證書�、第一公鑰和第一私鑰,認(rèn)證方持有第二CA證書����、第二公鑰和第二私鑰,認(rèn)證過(guò)程包括如下步驟:
A被認(rèn)證方向認(rèn)證方發(fā)送接入請(qǐng)求���,并接收認(rèn)證方返回的第一隨機(jī)數(shù)和第二CA證書���;
B被認(rèn)證方用自身保存的CA公鑰對(duì)接收到的第二CA證書進(jìn)行驗(yàn)證�����,若驗(yàn)證通過(guò)�,進(jìn)入步驟C��,否則進(jìn)入步驟D; C被認(rèn)證方獲取第二CA證書中的攜帶的第二公鑰����,采用自身保存的第一私鑰對(duì)第一隨機(jī)數(shù)進(jìn)行加密,并采用獲取的第二公鑰對(duì)第一私鑰加密后的第一隨機(jī)數(shù)再進(jìn)行加密�����;
D被認(rèn)證方確定認(rèn)證方為非法身份���,拒絕向認(rèn)證方發(fā)送數(shù)據(jù)信息����;
E被認(rèn)證方將第一公鑰攜帶在自身保存的第一CA證書中�����,采用獲取第二公鑰對(duì)第一CA證書進(jìn)行加密�,并將加密后的第一 CA證書,以及再加密后的第一隨機(jī)數(shù)發(fā)送給認(rèn)證方���;
F認(rèn)證方采用自身保存的第二私鑰�,對(duì)接收到的加密后的第一CA證書解密����,獲取第一CA證書,并根據(jù)自身保存的CA公鑰對(duì)獲取的第一 CA證書進(jìn)行驗(yàn)證�,若驗(yàn)證通過(guò),則進(jìn)入步驟G��,否則進(jìn)入步驟H;
G認(rèn)證方獲取第一CA證書中攜帶的第一公鑰��,采用自身保存的第二私鑰�����,對(duì)再加密后的第一隨機(jī)數(shù)進(jìn)行解密���,并采用第一公鑰對(duì)解密后的第一隨機(jī)數(shù)再解密����;
H認(rèn)證方確定解密結(jié)果與自身發(fā)送的第一隨機(jī)數(shù)相同時(shí),向被認(rèn)證方返回確認(rèn)通知和加密后的第二隨機(jī)數(shù)����;
I被認(rèn)證方獲取第二隨機(jī)數(shù),并將第二隨機(jī)數(shù)作為會(huì)話密鑰����。
[0008]在認(rèn)證過(guò)程中,被認(rèn)證方采用錯(cuò)誤檢查糾正算法生成并保存第一公鑰和第一私鑰����,認(rèn)證方采用錯(cuò)誤檢查糾正算法生成并保存第二公鑰和第二私鑰。
[0009]匯聚節(jié)點(diǎn)與Web服務(wù)器之間的認(rèn)證過(guò)程還包括對(duì)匯聚節(jié)點(diǎn)的ID的認(rèn)證��,具體為: 被認(rèn)證方采用獲取的第一公鑰對(duì)自身的ID進(jìn)行加密����,并發(fā)送給認(rèn)證方;
認(rèn)證方采用自身保存的第一私鑰對(duì)加密后的ID進(jìn)行解密�����,獲取被認(rèn)證方的ID�,并驗(yàn)證被認(rèn)證方的ID是否合法。
[0010]第三方應(yīng)用程序與Web服務(wù)器之間的認(rèn)證采用基于restful架構(gòu)的令牌認(rèn)證,認(rèn)證過(guò)程分為兩種情況:
情況一:用戶在與Web服務(wù)器完成身份認(rèn)證后進(jìn)行身份注冊(cè)�����,注冊(cè)時(shí)對(duì)傳感器數(shù)據(jù)的操作權(quán)進(jìn)行授權(quán)�����,表明所擁有的傳感器的數(shù)據(jù)是僅個(gè)人可見(jiàn)�、全部可見(jiàn)或者某些人可見(jiàn)��,此時(shí)第三方應(yīng)用程序與Web服務(wù)器之間的認(rèn)證�����,包括以下步驟:
Al�����、第三方應(yīng)用程序向Web服務(wù)器發(fā)出訪問(wèn)數(shù)據(jù)請(qǐng)求�,進(jìn)入步驟BI;
Bl、Web服務(wù)器決定是否生成臨時(shí)令牌返回給第三方應(yīng)用程序�����,若不允許,則拒絕訪問(wèn)�;若允許,則進(jìn)入步驟Cl;
Cl�����、Web服務(wù)器發(fā)送臨時(shí)令牌給第三方應(yīng)用程序�,進(jìn)入步驟Dl;
D1、第三方應(yīng)用程序接收臨時(shí)令牌�,并向Web服務(wù)器再次發(fā)送攜帶臨時(shí)令牌的數(shù)據(jù)訪問(wèn)請(qǐng)求,進(jìn)入步驟EI ��;
El���、Web服務(wù)器收到數(shù)據(jù)訪問(wèn)請(qǐng)求后對(duì)臨時(shí)令牌進(jìn)行解析�,判斷臨時(shí)令牌是否失效��,若未失效����,則返回給第三方應(yīng)用程序想要訪問(wèn)的數(shù)據(jù);若失效,則重新生成臨時(shí)令牌返回給第三方應(yīng)用程序�����,第三方應(yīng)用程序使用新的臨時(shí)令牌發(fā)送數(shù)據(jù)訪問(wèn)請(qǐng)求;
情況二:用戶在與Web服務(wù)器完成身份認(rèn)證后進(jìn)行身份注冊(cè)��,注冊(cè)時(shí)對(duì)所擁有的傳感器數(shù)據(jù)的操作權(quán)沒(méi)有進(jìn)行授權(quán)或第三方應(yīng)用程序不是授權(quán)的可見(jiàn)方��,此時(shí)第三方應(yīng)用程序與Web服務(wù)器之間的認(rèn)證步驟有:
A2��、第三方應(yīng)用程序向Web服務(wù)器發(fā)出訪問(wèn)數(shù)據(jù)請(qǐng)求��,進(jìn)入步驟B2;
B2���、Web服務(wù)器向用戶詢問(wèn)是否允許訪問(wèn)數(shù)據(jù),若不允許��,則拒絕訪問(wèn)�;若允許,則進(jìn)入步驟C2;C2���、用戶給予Web服務(wù)器授權(quán)�����,Web服務(wù)器發(fā)送臨時(shí)令牌給第三方應(yīng)用程序�,�,進(jìn)入步驟
D2����;
D2�����、第三方應(yīng)用程序接收臨時(shí)令牌�,并向Web服務(wù)器再次發(fā)送攜帶臨時(shí)令牌的數(shù)據(jù)訪問(wèn)請(qǐng)求,進(jìn)入步驟E2;
E2�、Web服務(wù)器收到數(shù)據(jù)訪問(wèn)請(qǐng)求后對(duì)臨時(shí)令牌進(jìn)行解析,判斷臨時(shí)令牌是否失效�����,若未失效�,則返回給第三方應(yīng)用程序想要訪問(wèn)的數(shù)據(jù);若失效,則進(jìn)入步驟B2;
基于CA證書的Re stf u I架構(gòu)下的無(wú)線傳感器網(wǎng)絡(luò)接入認(rèn)證方法��,其特征在于:
步驟Cl和步驟C2中���,Web服務(wù)器內(nèi)部以當(dāng)前時(shí)間的元素生成一個(gè)臨時(shí)令牌返回給第三方應(yīng)用程序�;
步驟El和步驟E2中�,對(duì)臨時(shí)令牌進(jìn)行解析,還原成臨時(shí)令牌的生成時(shí)間��,從而判斷臨時(shí)令牌是否失效。
[0011]本發(fā)明將傳感器節(jié)點(diǎn)和匯聚節(jié)點(diǎn)自組織成為網(wǎng)絡(luò)���,將匯聚節(jié)點(diǎn)連接到基于Restful架構(gòu)的Web服務(wù)器���,客戶端與Web服務(wù)器之間的認(rèn)證,匯聚節(jié)點(diǎn)與Web服務(wù)器之間的認(rèn)證�、傳感器節(jié)點(diǎn)與匯聚節(jié)點(diǎn)之間的認(rèn)證以及客戶端與匯聚節(jié)點(diǎn)之間的認(rèn)證均基于CA證書完成,用戶通過(guò)客戶端訪問(wèn)Web服務(wù)器獲取無(wú)線傳感器節(jié)點(diǎn)的數(shù)據(jù)���。本發(fā)明能有效防止惡意攻擊者對(duì)數(shù)據(jù)的破壞���,保護(hù)無(wú)線傳感器網(wǎng)絡(luò)中數(shù)據(jù)的安全�。
【附圖說(shuō)明】
[0012]圖1為本發(fā)明基于Restful架構(gòu)的無(wú)線傳感器網(wǎng)絡(luò)拓?fù)鋱D;
圖2為本發(fā)明的身份認(rèn)證拓?fù)鋱D���;
圖3為本發(fā)明中基于CA證書的認(rèn)證方與被認(rèn)證方的認(rèn)證流程圖��;
圖4為本發(fā)明中匯聚節(jié)點(diǎn)與Web服務(wù)器之間的認(rèn)證流程圖�;
圖5為本發(fā)明中的第三方應(yīng)用程序與Web服務(wù)器之間的身份認(rèn)證流程圖��。
【具體實(shí)施方式】
[0013]本發(fā)明所述的基于CA證書的Res tf u I架構(gòu)下的無(wú)線傳感器網(wǎng)絡(luò)接入認(rèn)證方法��,將傳感器節(jié)點(diǎn)sensor和匯聚節(jié)點(diǎn)sink node自組織成為網(wǎng)絡(luò),將匯聚節(jié)點(diǎn)sink node連接到基于Restful架構(gòu)的Web服務(wù)器�,客戶端user與Web服務(wù)器之間的認(rèn)證、匯聚節(jié)點(diǎn)sink node與Web服務(wù)器之間的認(rèn)證���、傳感器節(jié)點(diǎn)sensor與匯聚節(jié)點(diǎn)sink node之間的認(rèn)證以及客戶端user與匯聚節(jié)點(diǎn)sink node之間的認(rèn)證均基于CA證書完成��,客戶端user�、Web服務(wù)器��、匯聚節(jié)點(diǎn)sink node和傳感器節(jié)點(diǎn)sensor均具有CA證書中心頒發(fā)的CA證書;第三方應(yīng)用程序與Web服務(wù)器之間的認(rèn)證��,采用基于restful架構(gòu)的令牌認(rèn)證���;用戶通過(guò)客戶端user訪問(wèn)Web服務(wù)器獲取無(wú)線傳感器節(jié)點(diǎn)的數(shù)據(jù)
REST全稱是Representat1nal State Transfer��,即表述性狀態(tài)轉(zhuǎn)移���,指的是一組架構(gòu)約束條件和原則,如果一個(gè)架構(gòu)符合REST的約束條件和原則���,就稱其為Restful架構(gòu)��。目前HTTP是唯一與REST相關(guān)的實(shí)例��。
[00M] Restful架構(gòu)遵循無(wú)狀態(tài)通信原則����。無(wú)狀態(tài)通信原則指的是客戶端user和Web服務(wù)器交互的過(guò)程中各次請(qǐng)求之間是無(wú)狀態(tài)的。REST要求狀態(tài)要么被放入