多因素可验证的低功耗蓝牙设备IPv6地址自动配置方法和系统与流程

本发明涉及网络安全，特别涉及一种多因素可验证的低功耗蓝牙设备ipv6地址自动配置方法和系统，能够实现6loble场景下基于白盒密码的低功耗蓝牙设备ipv6地址自动配置。

背景技术：

1、伴随虚拟电厂等能源新场景下物联设备规模、数据采集与综合处理需求激增，通过蓝牙联网的情形也日益增多。bluetooth 4.1之后提出互联网协议支持(internetprotocol support profile，ipsp)规范，使得低功耗蓝牙(bluetooth low energy，ble)设备能够传输ipv6数据包。ble设备ipv6地址自动配置是实现传输ipv6数据包的重要前提，考虑到低功耗蓝牙设备拓扑多变性，适合采用无状态地址分配(stateless addressautoconfiguration，slaac)策略。现有无状态地址配置方法一方面需要重复地址检测，以确保地址唯一性，这会导致额外的能量消耗；另一方面，slaac方式中基于iid(iid,interface id)实现的地址配置机制存在隐私泄露等安全隐患，ietf也不建议在ipv6地址生成算法中嵌入终端设备的mac地址。为此，2020年rfc 8928提出crypto-id方式实现源地址验证，该提案通过ecc(椭圆加密算法)方式实现身份的可验证，但对于密钥管理和密钥自身安全并未细化，而这一点是影响该机制有效性的关键问题之一。2021年发布的rfc 8981提出随机、临时地址配置方法，以及限制iid生命周期以降低攻击者基于地址的网络活动关联的思路，但该方法无法对抗复杂流量分析。因此，寻找合适的可验证无状态地址配置方式对于增强6loble(ipv6 over bluetooth low energy)网络通信实体的身份安全具有重要意义。

技术实现思路

1、为此，本发明提供一种多因素可验证的低功耗蓝牙设备ipv6地址自动配置方法和系统，能够适用于现有大规模物联设备中6loble场景下的低功耗蓝牙设备的ipv6地址自动配置及密码可验证，增强蓝牙设备通信安全。

2、按照本发明所提供的设计方案，一方面，提供一种多因素可验证的低功耗蓝牙设备ipv6地址自动配置方法，包含如下内容：

3、目标网络中所有蓝牙终端设备和蓝牙物联网关在密码资源管理平台上进行相关信息注册，以获取由密码资源管理平台分发的z密码资源和随机数；

4、蓝牙终端设备节点基于自身设备指纹、当前时间要素、随机数及z密码资源并利用z算法加密函数生成蓝牙终端设备节点自身的主机加密地址，并基于主机加密地址将通信请求信息包发送至密码资源管理平台；

5、密码资源管理平台基于收到的通信请求信息包对主机加密地址合法性进行验证，以使蓝牙终端设备节点在主机加密地址合法的情形下生成当前会话使用的无状态地址。

6、进一步地，目标网络中所有蓝牙终端设备和蓝牙物联网关在密码资源管理平台上进行相关信息注册，包括：

7、首先，目标网络中蓝牙终端设备利用z密码算法与密码资源管理平台建立安全通道，并基于安全通道向密码资源管理平台发送通信请求；

8、然后，密码资源管理平台依据预设密码策略为目标网络中蓝牙终端设备、蓝牙物联网关生成z密码资源和随机数，并将z密码资源和随机数对应分发给蓝牙终端设备和蓝牙物联网关。

9、进一步地，基于自身设备指纹、当前时间要素、随机数及z密码资源并利用z算法加密函数生成蓝牙终端设备节点自身的主机加密地址，包括：

10、首先，依据蓝牙终端设备节点相对于蓝牙物联网关的相对物理地址生成蓝牙终端设备节点的位置信息地址；

11、接着，利用z算法加密位置信息地址并生成部分加密地址；

12、然后，基于子网前缀、部分加密地址及位置信息地址来生成蓝牙终端设备节点自身的主机加密地址。

13、进一步地，依据蓝牙终端设备节点相对于蓝牙物联网关的相对物理地址生成蓝牙终端设备节点的位置信息地址，包括：

14、首先，依据蓝牙终端设备节点与蓝牙物联网关的绝对距离及两者连线上相对于预设方向的的水平和竖直夹角来构建蓝牙终端设备与蓝牙物联网关相对物理位置信息；

15、然后，基于z密码资源及相对物理位置信息并利用z算法来生成位置信息地址。

16、进一步地，密码资源管理平台基于收到的通信请求信息包对主机加密地址合法性进行验证，包含：

17、首先，密码资源管理平台从收到的通信请求信息包中提取蓝牙终端设备节点相关信息，所述蓝牙终端设备节点相关信息至少包括：设备指纹、当前时间要素及主机加密地址；

18、然后，基于蓝牙终端设备节点相关信息对主机加密地址的合法性进行验证，若验证结果合法，则根据设备注册信息生成当前设备的z算法资源以及对应的密码验证资源，并分别分发给蓝牙终端设备节点和蓝牙物联网关，以使蓝牙设备终端节点依据z算法资源生成当前会话用无状态地址并使蓝牙物联网关依据密码验证资源验证蓝牙设备终端节点数据源地址的合法性。

19、进一步地，蓝牙物联网关依据密码验证资源验证蓝牙设备终端节点数据源地址的合法性，包含：

20、首先，蓝牙设备终端节点基于主机加密地址向预设组播地址发送邻居请求报文，以进行重复地址检测；

21、然后，蓝牙物联网关基于密码验证资源验证邻居请求报文中主机加密地址的合法性，若验证非法，则以邻居通告报文作为响应反馈至蓝牙设备终端节点，以告知存在地址冲突并触发蓝牙终端设备节点返回主机加密地址生成步骤，以使其基于自身设备指纹、当前时间要素、随机数及z密码资源并利用z算法加密函数重新生成蓝牙终端设备节点自身的主机加密地址，若验证合法，则将该主机加密地址作为该蓝牙设备终端节点当前会话使用的无状态地址。

22、进一步地，蓝牙物联网关基于密码验证资源验证邻居请求报文中主机加密地址的合法性，还包含：

23、设置节点验证非法次数阈值，若当前蓝牙设备终端节点邻居请求报文中主机加密地址的合法性验证失败次数超过该阈值，则将当前蓝牙设备终端节点添加至黑名单。

24、又一方面，结合以上的多因素可验证的低功耗蓝牙设备ipv6地址自动配置方法，本发明还提供一种多因素可验证的低功耗蓝牙设备ipv6地址自动配置系统，包含：设备注册模块、地址生成模块和地址验证模块，其中，

25、设备注册模块，用于目标网络中所有蓝牙终端设备和蓝牙物联网关在密码资源管理平台上进行相关信息注册，以获取由密码资源管理平台分发的z密码资源和随机数；

26、地址生成模块，用于蓝牙终端设备节点基于自身设备指纹、当前时间要素、随机数及z密码资源并利用z算法加密函数生成蓝牙终端设备节点自身的主机加密地址，并基于主机加密地址将通信请求信息包发送至密码资源管理平台；

27、地址验证模块，用于密码资源管理平台基于收到的通信请求信息包对主机加密地址合法性进行验证，以使蓝牙终端设备节点在主机加密地址合法的情形下生成当前会话使用的无状态地址。

28、本发明的有益效果：

29、本发明通过引入多因素认证和轻量密码应用并结合ipv6无状态地址生成机制，将z密码算法、蓝牙设备指纹融入ipv6地址生成过程，将密钥与加解密算法相混淆，在解决地址唯一性、可认证性的同时，实现终端设备中密钥的安全保证，可解决计算和存储资源受限的ble终端地址认证与ipv6互联互通问题，能够适用于现有大规模物联设备中6loble场景下的低功耗蓝牙设备的ipv6地址自动配置及密码可验证，同样可用于解决非蓝牙通信场景下无状态地址的生成与地址验证问题，具有较好的应用前景。