具体实施方式

现在将详细参考附图描述本发明的实施例。现在将详细参考本发明的优选实施例，其示例在附图中示出。在任何可能的情况下，在所有附图中将使用相同的标记来表示相同或相似的部分。此外，尽管本发明中所使用的术语是从公知公用的术语中选择的，但是本发明说明书中所提及的一些术语可能是申请人按他或她的判断来选择的，其详细含义在本文的描述的相关部分中说明。此外，要求不仅仅通过所使用的实际术语，而是还要通过每个术语所蕴含的意义来理解本发明。

本发明提供了一种部署成本低并且简单灵活的认证方案，该方案适于应用在工业系统的通信。

网络节点是指一台电脑或其他设备与一个有独立地址和具有传送或接收数据功能的网络相连。网络节点可以是工作站、客户、网络用户或个人计算机，还可以是服务器、打印机和其他网络连接的设备。

在基于受限网络协议的安全传输注册EST(Enrollment over Secure Transport)方案下，受限网络协议可以是例如CoAP(Constrained Application Protocol)等，主要应用于物联网环境下的受限网络。受限网络是由多个受限设备形成的基于受限协议的网络，受限设备的功能比较简单，只具备少量的存储空间和有限的计算能力，通常无法支持复杂的传输协议，其数据传输速率也较低，无法实现复杂的安全处理，容易受到安全威胁。

参考图1和图2来更详细地讨论本发明的基本原理和优选实施例。如图2所示，本发明实施例中网络可包括：一个第一网络节点1、至少一个第二网络节点2、至少一个第三网络节点3以及一个第四网络节点4。第二网络节点2在首次访问第一网络节点1时无需提供数字证书，第一网络节点1能够以第二网络节点2的位置信息20为依据对第二网络节点2发出的注册请求10进行处理。具体的，在一个优选的实施例中，第一网络节点1可以是例如EST服务器，第二网络节点2可以是例如EST客户端，第三网络节点3可以是例如蓝牙低功耗接收器，第四网络节点4可以是例如定位服务器。采用蓝牙低功耗接收器能够保证低功耗的信息传输，部署成本低且易于实施。此外，在另一个实施例中，第三网络节点3为Wi-Fi接收器。

如图1所示，第一网络节点1可以接收来自第二网络节点2的注册请求10，并且第一网络节点1可以从第四网络节点2处获取第二网络节点2的位置信息20，第一网络节点1可以根据第二网络节点2的位置信息20对第二网络节点2进行认证。第一网络节点1与第二网络节点2之间建立底层DTLS(Datagram Transport Layer Security)连接时无需提供证书，第一网络节点1只需通过对第二网络节点2的位置信息的判断来执行认证操作。

为了保证信息的安全传输，可以对传输信息进行加密。优选地，第二网络节点2发送的注册请求10中还包括第二网络节点2的公钥，在第一网络节点1接收来自第二网络节点2的注册请求10之后从所述注册请求10中解析提取第二网络节点2的公钥，并且所第一网络节点1将该第二网络节点2的公钥信息12发送至第四网络节点4，第四网络节点4可以确定与该公钥信息12相对应的第二网络节点2以及该第二网络节点的2的位置信息20，并且第四网络节点4可以将该第二网络节点的2的位置信息20发送给第一网络节点。接下来，第一网络节点1可以判断该第二网络节点2的位置信息20是否位于预设的可信区域之内；若该第二网络节点2的位置信息20位于预设的可信区域内，则第一网络节点1响应该第二网络节点2的注册请求10，若该第二网络节点2的位置信息20不在预设的可信区域内，则第一网络节点1禁止该该第二网络节点2的注册请求10。具体的，第一网络节点1在根据第二网络节点2的位置信息20进行认证后向第二网络节点2发出注册响应30。

在一个具体的实施例中，第二网络节点2的公钥信息12可以是第二网络节点2的公钥或依据第二网络节点2的公钥计算得到的与第二网络节点2唯一对应的运算值，例如，可以通过哈希算法对第二网络节点2的公钥计算得到公钥哈希值。公钥哈希值是长度固定的字符串，字符串把信息或数据压缩，使得数据量变小，将数据的格式固定下来，更适于低功耗传输，在认证和加密通信过程中，大大节省了部署成本，并使安全通信和加密认证过程极其简单灵活，适合工控领域的数据通信特点。

进一步地，第四网络节点4可以通过来自第三网络节点3的无线信息200来确定第二网络节点2的位置信息20。首先，第二网络节点2将包含信号强度信息140的信号发射至多个第三网络节点3，发射信号强度信息140可以是例如信号传输功率；第三网络节点3在接收到来自第二网络节点2的发射信号的同时可以获取接收该信号的强度信息160，接着，第三网络节点3各将无线信息200发送至第四网络节点4，无线信息200中包含上述的接收信号的强度信息160、来自第二网络节点2的发送信号强度信息140和该第三网络节点3的空间位置信息；第四网络节点4根据来自三个不同的第三网络节点3各自发送的无线信息200即可确定第二网络节点2的位置信息20；该位置信息20可以表示为例如预设坐标系中的坐标地址。也就是说，在该实施例中，第三网络节点3能够接收由第二网络节点2在一广播范围内广播的发射信号，第三网络节点3在收到发射信号后可以将其中的发射信号强度信息140、接收信号强度信息160和该第三网络节点3自身的空间位置信息一并转发至第四网络节点4，第四网络节点4根据发射信号强度信息140、接收信号强度信息160和第三网络节点3自身的空间位置信息计算第二网络节点2的位置信息20。或者，在另一个实施例中，在第四网络节点4中存储有每一个第三网络节点3自身的空间位置信息，第三网络节点3发送至第四网络节点4的无线信息200中包括上述的发射信号强度信息140和接收信号强度信息160，第四网络节点4即可计算第二网络节点2的位置信息20。

可选地，如图1所示，第二网络节点2广播的发射信号以及第三网络节点3发出的无线信息200中均包含第二网络节点2的公钥信息12。如果公钥数据120的数据量较大，为了便于传输，可以将公钥数据120分为多个子序列，每一个子序列均以同样的发射信号强度信息140传播且每一个子序列具有各自的序列号和子序列总数信息，以使第三网络节点3收到子序列后重建公钥数据120。第四网络节点4可以将第二网络节点2注册请求10中的公钥信息12同所有接收到的来自第三网络节点3的无线信息200中的公钥信息12进行一一比对，如果该从注册请求10中提取的公钥信息12与来自某一第二网络节点2的公钥相匹配，第四网络节点4将相匹配的第二网络节点2的位置信息20发送至第一网络节点1。

优选地，第三网络节点3可以是例如蓝牙低功耗接收器，发射信号采用ADV广播数据包的数据格式传输，降低蓝牙传输负载。此外，在另一个优选的实施例中，第四网络节点4可以与第一网络节点1一体化集成设置，从而进一步节省空间、降低成本。第三网络节点3可以部署在工业系统的工作区域(即，一广播范围内)，并且，为了准确获取第二网络节点2的位置信息20，要确保至少三个部署在不同位置的第三网络节点3能够接收到该第二网络节点2发出的发射信号；如果第四网络节点4接收到超过三个第三网络节点3发送的无线信息200，则将多出的无线信息200作为冗余信息不予处理。

在一个具体的实施例中，一个EST客户端首先将包含公钥(或者公钥哈希值)和信号发射强度值(即，发射信号强度信息)的发射信号以数据包的形式广播，该EST客户端附近设置有多个蓝牙低功耗接收器，蓝牙低功耗接收器在收到广播的发射信号的同时获取该信号的发射强度值(即，发射信号强度信息)和接收强度值(即，接收信号强度信息)，蓝牙低功耗接收器接着将来自于该EST客户端的公钥哈希值、发射信号强度值和接收信号强度值一同发送至定位服务器，定位服务器中存储有全部蓝牙低功耗接收器的空间位置信息、工业系统可信区域范围的信息，以允许定位服务器根据信号传输功率值和信号强度值来计算发出信号的EST客户端的位置。在EST服务器与EST客户端之间的底层安全连接建立完成后，EST客户端再向EST服务器发起注册请求，该底层安全连接可以是例如基于数据包传输层安全性协议DTLS(Datagram Transport Layer Security)连接。该认证方法能够支持EST协议中“持有证明链接(Proof-of-Possession linking)”，从而保证注册过程更加安全。EST服务器接收到来自EST客户端发出的注册请求后，通过解析该注册请求以从中提取公钥，EST服务器随即向定位服务器发送公钥或公钥哈希值，如果其与来自蓝牙低功耗接收器发出的公钥哈希值相匹配，则定位服务器允许EST服务器获与公钥相匹配的EST客户端的坐标地址(即，位置信息)。若EST客户端的坐标地址位于可信区域内，则认证通过，EST服务器可以根据公钥生成证书，利用EST服务器的私钥对证书进行数据签名，并将已签名的证书发送至EST客户端，EST客户端在获取EST服务器签名后的证书后即可实现注册；与之相对应，若EST客户端的坐标地址不在可信区域内，EST服务器对EST客户端的注册请求认证未通过，则禁止该EST客户端的注册请求。可选地，EST服务器可以返回相应的错误状态信息。在该实施例中，EST客户端发送注册请求是通过应用层的协议(例如，CoAP)实现，并且，EST服务器从注册请求的提取公钥信息并查询位置信息进行认证的过程也是通过应用层的协议(例如，CoAP)实现。EST客户端向EST服务器发送注册请求中包含公钥，该EST客户端向其周围的接收器广播的发射信号中包含的公钥(或者公钥哈希值)与其发出的注册请求中的公钥相同。

此外，在另一个实施例中，还可以通过传输层进行认证。在该实施例中，EST客户端从DTLS安全连接中获取EST客户端发送的原始公钥并查询位置信息进行认证。相应地，EST客户端广播的发射信号中包括：原始公钥和发射信号强度信息，其中，原始公钥是用于建立底层安全连接(传输层)时对EST客户端认证使用，原始公钥可以用于替代对EST客户端的客户端证书认证。其中，底层安全连接可以是例如基于数据包传输层安全性协议DTLS(Datagram Transport Layer Security)连接。EST客户端与EST服务器之间建立DTLS安全连接时无需提供证书，EST服务器只需通过对EST客户端的位置信息的判断来执行认证操作。优选地，如果EST客户端广播的发射信号中的原始公钥的数据量过大，为了使其更适合低功耗传输，可以将原始公钥分为多个子序列。EST客户端将每一个子序列均以同样的发射信号强度信息传播，并且每一个子序列均具有各自的序列号和原始公钥子序列总数信息，这样接收器在收到子序列后可以重建该原始公钥。

本发明实施例还提供一种认证装置，该装置可为第一网络节点1，或该装置位于第二网络节点1之中，该装置包括：一个接收模块，用于接收来自第二网络节点2的注册请求10和第二网络节点2的位置信息20；一个认证模块，用于根据第二网络节点2的位置信息20对第二网络节点2进行认证。

可选地，接收模块在接收来自第二网络节点2的注册请求10之后，还从注册请求10中获取第二网络节点2的公钥；接收模块在获取第二网络节点2的位置信息20的时具体用于：第一网络节点1将第二网络节点2的公钥信息12发送至第四网络节点4，并接收第四网络节点4在确定与公钥信息12对应的第二网络节点2之后所发送的该第二网络节点2的位置信息20，其中，第二网络节点2的公钥信息12为第二网络节点2的公钥或依据第二网络节点2的公钥计算得到的与第二网络节点2唯一对应的运算值。

可选地，认证模块对第二网络节点2进行认证时，具体用于：判断位置信息20是否位于预设的可信区域内；若位置信息20位于预设的可信区域内，则第一网络节点1响应注册请求10，若位置信息20不在预设的可信区域内，则第一网络节点1禁止注册请求10。

可选地，第一网络节点1为EST服务器，第二网络节点2为EST客户端，第四网络节点4为定位服务器。

该装置的其他可选实现方式可参考前述的认证方法中的描述。

进一步的，本发明实施例还提供一种安全处理装置，包括：至少一个存储器，用于存储机器可读指令；至少一个处理器，用于执行机器可读指令，执行本发明实施例提供的任一种认证方法。该装置可为第一网络节点1，或该装置位于第二网络节点1之中。该装置的其他可选实现方式可参考前述的认证方法中的描述。

本发明实施例还提供一种认证装置，该装置可为第四网络节点4，或该装置位于第四网络节点4之中，该装置包括：一个定位模块，用于确定第二网络节点2的位置信息20；一个发送模块，用于将第二网络节点2的位置信息20发送至第一网络节点1，所述位置信息20用于第一网络节点1对第二网络节点2进行认证。

可选地，在定位模块确定第二网络节点2的位置信息20之前，定位模块接收来自第一网络节点1的公钥信息12，并确定与公钥信息12对应的第二网络节点2，其中，第二网络节点2的公钥信息12为第二网络节点2的公钥或依据第二网络节点2的公钥计算得到的与第二网络节点2唯一对应的运算值。

可选地，定位模块在确定第二网络节点2的位置信息20时，具体用于：接收至少一个第三网络节点3发送的无线信息200，其中每一个第三网络节点3所发送的无线信息200包括第二网络节点2的发射信号强度信息140、该第三网络节点3接收到的第二网络节点2所发射信号的接收信号强度信息160以及该第三网络节点3的空间位置信息；根据至少一个第三网络节点3发送的无线信息200，确定第二网络节点2的位置信息20。

可选地，定位模块根据来自至少部署在三个不同位置的每一个第三网络节点3各自的无线信息200确定第二网络节点2的位置信息20。

可选地，第一网络节点1为EST服务器，第二网络节点2为EST客户端，第三网络节点3为蓝牙低功耗接收器，第四网络节点4为定位服务器。

可选地，第四网络节点4与第一网络节点1一体化集成设置。

该装置的其他可选实现方式可参考前述的认证方法中的描述。

进一步的，本发明实施例还提供一种安全处理装置，包括：至少一个存储器，用于存储机器可读指令；至少一个处理器，用于执行机器可读指令，执行本发明实施例提供的任一种认证方法。该装置可为第四网络节点4，或该装置位于第四网络节点4之中。该装置的其他可选实现方式可参考前述的认证方法中的描述。

本发明实施例还提供一种认证装置，该装置可为第二网络节点2，或该装置位于第二网络节点2之中，该装置包括：一个发送模块，用于向第一网络节点1发送注册请求10；一个接收模块，用于接收第一网络节点1在根据第二网络节点2的位置信息20进行认证后的注册响应30。

可选地，发送模块还用于：将第二网络节点2的公钥信息12发送至第四网络节点4，其中，第二网络节点2的公钥信息为第二网络节点2的公钥或依据第二网络节点2的公钥计算得到的与第二网络节点2唯一对应的运算值，第四网络节点4用于向第一网络节点1提供第二网络节点2的位置信息20；发送模块在向第一网络节点1发送注册请求10时，具体用于：在发送的注册请求10中包括第二网络节点2的公钥；接收模块在接收第一网络节点1在根据第二网络节点2的位置信息20进行认证后的注册响应30时，具体用于：接收第一网络节点1在向第四网络节点4提供第二网络节点2的公钥信息后得到的第二网络节点2的位置信息20，并根据第二网络节点2的位置信息20进行认证后的注册响应30。

该装置的其他可选实现方式可参考前述的认证方法中的描述。

进一步的，本发明实施例还提供一种安全处理装置，包括：至少一个存储器，用于存储机器可读指令；至少一个处理器，用于执行机器可读指令，执行本发明实施例提供的任一种认证方法。该装置可为第二网络节点2，或该装置位于第二网络节点2之中。该装置的其他可选实现方式可参考前述的认证方法中的描述。

此外，本发明还提供了一种机器可读介质，存储用于使一机器执行如本文所述任何一种认证方法的程序代码的审核方法的指令。具体地，可以提供配有存储介质的系统或者装置，在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码，且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。

在这种情况下，从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能，因此程序代码和存储程序代码的存储介质构成了本发明的一部分。

用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM，该存储介质也可由云端的虚拟机实现。可选择地，可以由通信网络从服务器上下载程序代码。

此外，应该清楚的是，不仅可以通过执行机器所读出的程序代码，而且可以通过基于程序代码的指令使机器上操作的操作系统等来完成部分或者全部的实际操作，从而实现上述实施例中任意一项实施例的功能。

此外，可以理解的是，将由存储介质读出的程序代码写到插入机器内的扩展板中所设置的存储器中或者写到与机器相连接的扩展单元中设置的存储器中，随后基于程序代码的指令使安装在扩展板或者扩展单元上的CPU等来执行部分和全部实际操作，从而实现上述实施例中任一实施例的功能。

需要说明的是，上述各流程和各系统结构图中不是所有的步骤和模块都是必须的，可以根据实际的需要忽略某些步骤或模块。各步骤的执行顺序不是固定的，可以根据需要进行调整。上述各实施例中描述的系统结构可以是物理结构，也可以是逻辑结构，即，有些模块可能由同一物理实体实现，或者，有些模块可能分由多个物理实体实现，或者，可以由多个独立设备中的某些部件共同实现。

以上各实施例中，硬件单元可以通过机械方式或电气方式实现。例如，一个硬件单元可以包括永久性专用的电路或逻辑(如专门的处理器，FPGA或ASIC)来完成相应操作。硬件单元还可以包括可编程逻辑或电路(如通用处理器或其它可编程处理器)，可以由软件进行临时的设置以完成相应操作。具体的实现方式(机械方式、或专用的永久性电路、或者临时设置的电路)可以基于成本和时间上的考虑来确定。

本领域技术人员可显见，可对本发明的上述示例性实施例进行各种修改和变型而不偏离本发明的精神和范围。因此，旨在使本发明覆盖落在所附权利要求书及其等效技术方案范围内的对本发明的修改和变型。