CN102647394A - 路由设备身份认证方法及装置 - Google Patents
路由设备身份认证方法及装置 Download PDFInfo
- Publication number
- CN102647394A CN102647394A CN2011100390687A CN201110039068A CN102647394A CN 102647394 A CN102647394 A CN 102647394A CN 2011100390687 A CN2011100390687 A CN 2011100390687A CN 201110039068 A CN201110039068 A CN 201110039068A CN 102647394 A CN102647394 A CN 102647394A
- Authority
- CN
- China
- Prior art keywords
- identity
- routing device
- letter
- certificate
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了路由设备身份认证方法及装置,该方法应用于同一因特网服务提供商ISP所管辖域内的路由设备认证,包括:第一路由设备收到第二路由设备的身份证书时,所述第一路由设备检查所述身份证书是否是由受信任的根证书签发的、基于预共享非对称密钥的自定义身份证书;若是,所述第一路由设备查询到所述身份证书有效时,所述第一路由设备确定对所述第二路由设备进行下一步身份认证;若否,或者所述第一路由设备查询到所述身份证书无效时,所述第一路由设备确定所述第二路由设备验证失败。采用本发明能够解决相关技术中已有的身份验证方式安全性不足以及路由设备访问相关的服务器存在寻址与路由困难的问题。
Description
技术领域
本发明涉及通信领域,具体而言,涉及路由设备身份认证方法及装置。
背景技术
路由设备是互联协议IP网路中的核心设备。路由协议是网络的核心底层协议。为了保护路由消息的安全传输与发布,主要的路由协议都制定了相应的安全机制,主要是认证机制,包含了路由消息完整性认证和路由设备身份认证。路由协议中的路由消息完整性认证是通过消息验证码(Message Authentication Code,简称MAC)来实现的。路由协议中的路由设备身份认证的方式是默认的,也即采用预共享对称密钥(Pre-Shared Key,简称PSK)的方式。该PSK的方式由管理员配置,将PSK配置在路由设备上,一般需要在每两个接口之间配置相同的密钥。该PSK一旦配置,就极少更新,除非发现该PSK遭受破坏,而固定不变的PSK是比较容易被攻击者破解的,也即遭受破坏。该PSK方式的优点是简单、方便,缺点是安全性较差,一旦PSK遭受破坏,伪造设备身份变得很容易,路由消息的传输与发布就没有安全保障可言。
上述的PSK方式是带内的身份认证方式(in-band identity authentication),也即路由设备身份的验证是在路由协议中随同路由消息完整性的验证同时完成的。该方式是目前路由设备最常用的身份认证方式。另外一类是带外的身份认证方式(out-of-band identityauthentication),也即在路由协议之外完成路由设备的身份验证,通常是先完成路由设备的身份验证,然后发布路由消息。带外的路由设备身份认证方式又分为两种,即预共享非对称密钥(Asymmetric Key,也称为裸RSA密钥,Raw RSA Key)和数字证书(digital certificate)。该类带外的方式目前的路由设备不常用。
预共享非对称密钥一般是对等体(peer)产生密钥对,然后共享公钥,由管理员将各公钥或/和公钥的哈希hash值输入到设备上,验证的时候一般采用数字签名的方式,也即用私钥签名、用公钥解密。该方法的优点是安全性较好,但是配置与更新较为困难,因为每台路由设备都需要配置全自治域(Autonomous System,简称AS)内所有路由设备的公钥或/和公钥的hash值,而一旦有新的路由设备加入网络,需要在全AS所有的路由设备上更新公钥或/和公钥的hash值,也即添加该新加入的路由设备相应的公钥或/和公钥的hash值。另外,该种认证方式无法在域间(或曰跨域,在不同的互联网服务提供商ISP之间)直接进行路由设备的身份验证,而只能对域内的路由设备进行身份验证。
数字证书是基于非对称密钥的使用,用于设备认证的数字证书是PKI X.509证书(PublicKey Infrastructure,公钥基础设施),该证书通常包含设备的信息。该方法的优点是安全性好,能够实现域间的相互认证,缺点是费用和开销大,操作麻烦,需要设置及访问CA(CertificationAuthority,认证机构)和CRL(Certificate Revocation List,证书撤销列表)服务器等。相对于较底层的路由协议来说(与应用层协议相比较),该种认证方式不完全适合,因为存在这样的情况,当路由还没有建立起来之前,路由设备访问相关的服务器存在一定的寻址与路由困难。
针对相关技术中已有的身份验证方式安全性不足以及路由设备访问相关的服务器存在寻址与路由困难的问题,目前尚未提出有效的解决方案。
发明内容
本发明旨在提供一种路由设备身份认证方法及装置,以解决相关技术中已有的身份验证方式安全性不足以及路由设备访问相关的服务器存在寻址与路由困难的问题。
根据本发明的一个方面,提供了一种路由设备身份认证方法,应用于同一因特网服务提供商ISP所管辖域内的路由设备认证,包括:第一路由设备收到第二路由设备的身份证书时,所述第一路由设备检查所述身份证书是否是由受信任的根证书签发的、基于预共享非对称密钥的自定义身份证书;若是,所述第一路由设备查询到所述身份证书有效时,所述第一路由设备确定对所述第二路由设备进行下一步身份认证;若否,或者所述第一路由设备查询到所述身份证书无效时,所述第一路由设备确定所述第二路由设备验证失败。
较优的,所述身份证书按如下步骤签发:公认的认证机构CA或其下级CA为所述ISP签发一张用户身份证书,所述用户身份证书为PKI X.509数字证书;所述ISP使用所述PKI X.509数字证书作为根证书对其所管辖的自治域AS内的每个路由设备签发基于预共享非对称密钥的自定义身份证书。
较优的,所述ISP在其所管辖的每个路由设备本地开辟受保护的受信任区,利用所述受信任区存放所述PKI X.509数字证书、该路由设备的身份证书以及该路由设备的身份证书的公钥所对应的私钥。
较优的,所述第一路由设备检查所述身份证书是否是由受信任的根证书签发的、基于预共享非对称密钥的自定义身份证书,若是,所述第一路由设备查询到所述身份证书有效时,所述第一路由设备确定对所述第二路由设备进行下一步身份认证,若否,或者所述第一路由设备查询到所述身份证书无效时,所述第一路由设备确定所述第二路由设备验证失败,包括:所述第一路由设备检查所述身份证书的颁发者是否是属于存储于本地的受信任的根证书;若是,所述第一路由设备检查所述身份证书是否有效,若所述身份证书无效,则所述第一路由设备停止验证,拒绝信任所述身份证书;若所述身份证书有效,所述第一路由设备确定对所述第二路由设备进行下一步身份认证;其中,所述第一路由设备确定对所述第二路由设备进行下一步身份认证包括:对第一hash值和第二hash值进行匹配,若匹配,所述第一路由设备确定所述第二路由设备通过身份认证,若不匹配,所述第一路由设备确定所述第二路由设备验证失败;其中,所述第一hash值根据所述身份证书上的除签名外的其他信息进行哈希hash运算获得;所述第二hash值根据所述身份证书上的签名算法,利用所述根证书上的ISP的公钥值解密所述身份证书上的签名获得;若否,所述第一路由设备停止验证,拒绝信任所述身份证书。
较优的,所述自定义身份证书包括下列至少之一:颁发者,序列号,自治域号,签名算法标识符,有效期限,设备主体名,设备信息,设备使用的公钥信息,签名。
较优的,所述自定义身份证书有效包括:所述自定义身份证书在有效期限内且不属于被撤销的身份证书。
较优的,所述第一路由设备检查所述身份证书是否是由受信任的根证书签发的、基于预共享非对称密钥的自定义身份证书之后,还包括:当所述身份证书的公钥对应的私钥遭受破坏时,所述身份证书被撤销,由充当列表管理角色的路由设备管理并更新身份证书列表。
较优的,所述由充当列表管理角色的路由设备管理并更新的身份证书列表,包括下列至少之一:在每个路由设备本地存储一张受保护的设备撤销证书列表;在每个路由设备本地存储一张受保护的设备有效证书列表。
较优的,所述由充当列表管理角色的路由设备管理并更新身份证书列表,包括:所述充当列表管理角色的路由设备发送消息通知其他路由设备,并与所述其他路由设备协商建立安全联盟,在所述安全联盟的保护下,所述充当列表管理角色的路由设备向所述其他路由设备发送更新后的列表证书。
较优的,所述身份证书列表中存储设备证书的证书指纹,所述证书指纹是身份证书的全单向hash函数值。
较优的,所述hash函数包括:SHA-1、SHA-224、SHA-256、SHA-384、SHA-512。
根据本发明的另一方面,提供了另外一种路由设备身份认证方法,应用于不同的因特网服务提供商ISP所管辖域间的边界路由设备认证,包括:第一路由设备收到第二路由设备的身份证书时,所述第一路由设备采用PKI X.509数字证书的验证流程对所述第二路由设备的身份证书进行验证;其中,所述身份证书按如下步骤签发:公认的认证机构CA或其下级CA为每个ISP签发一张用户身份证书,所述用户身份证书为PKI X.509数字证书;所述每个ISP使用各自的PKI X.509数字证书作为根证书对其所管辖的自治域AS内的每个路由设备签发基于预共享非对称密钥的自定义身份证书。
较优的,所述每个ISP在其所管辖的每个边界路由设备本地开辟受保护的受信任区,利用所述受信任区存放所述PKI X.509数字证书和该路由设备的身份证书。
较优的,所述每个ISP的边界路由设备的所述受信任区还保存该边界路由设备所属ISP的PKI X.509数字证书所对应的私钥。
根据本发明的另一方面,提供了一种路由设备身份认证装置,包括:检查模块,用于在第一路由设备收到第二路由设备的身份证书时,检查所述身份证书是否是由受信任的根证书签发的、基于预共享非对称密钥的自定义身份证书;第一确定模块,用于在所述检查模块的检查结果为是且查询到所述身份证书有效时,确定对所述第二路由设备进行下一步身份认证;第二确定模块,用于在所述检查模块的检查结果为否或者查询到所述身份证书无效时,确定所述第二路由设备验证失败。
根据本发明的另一方面,提供了一种路由设备身份认证装置,包括:验证模块,用于在第一路由设备收到第二路由设备的身份证书时,所述第一路由设备采用PKI X.509数字证书的验证流程对所述第二路由设备的身份证书进行验证;签发模块,用于按如下步骤签发所述身份证书:公认的认证机构CA或其下级CA为每个ISP签发一张用户身份证书,所述用户身份证书为PKI X.509数字证书;所述每个ISP使用各自的PKI X.509数字证书作为根证书对其所管辖的自治域AS内的每个路由设备签发基于预共享非对称密钥的自定义身份证书。
本发明实施例提供一种结合受信任的PKI X.509数字证书和预共享非对称密钥的自签名、自定义的路由设备身份证书的路由设备身份认证方式,为密钥管理协议特别是路由协议密钥管理以及需要对路由设备进行身份认证的场合提供一种高效的路由设备身份认证方式。本发明实施例提供的路由设备身份认证方法的优点是费用开支低、计算开销小,而且设置、配置和更新比较方便,解决了目前基于PKI X.509数字证书的路由设备身份认证方式的费用开支高、计算开销大、设置、配置与更新困难等问题,也解决了预共享非对称密钥的路由设备身份认证方式难以实现域间路由设备直接相互认证的问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的路由设备身份认证方法的第一种处理流程图;
图2是根据本发明实施例的路由设备身份证书信任模型的示意图;
图3是根据本发明实施例的路由设备身份认证方法的第二种处理流程图;
图4(a)是根据本发明实施例的实施例一中的IKEv2证书载荷格式;
图4(b)是根据本发明实施例的实施例一中的IKEv2证书请求载荷格式;
图4(c)是根据本发明实施例的实施例一中的IKEv2证书载荷格式和IKEv2证书请求载荷格式共有的认证编码类型及其对应值;
图5(a)是根据本发明实施例的实施例二中的IKEv2标识载荷格式;
图5(b)是根据本发明实施例的实施例二中的IKEv2标识载荷的标识类型及其对应值;
图6(a)是根据本发明实施例的实施例三中的IKEv2认证载荷格式;
图6(b)是根据本发明实施例的实施例三中的IKEv2认证载荷的认证方法类型及其对应值;
图7是根据本发明实施例的实施例四中的基于IKEv2的路由协议密钥管理协议KMP对等体双方进行相互路由设备身份认证的流程图;
图8(a)是根据本发明实施例的实施例五中的基本交换的流程图;
图8(b)是根据本发明实施例的实施例五中的身份保护交换的流程图;
图9(a)是根据本发明实施例的实施例五中的仅认证交换的流程图;
图9(b)是根据本发明实施例的实施例五中的进取交换的流程图;
图10是根据本发明实施例的实施例六中的在应用层或路由协议的组密钥管理中用到IKEv2的初始交换和认证交换的流程图;
图11是根据本发明实施例的实施例七中以的IKEv2和基于IKEv2的路由协议密钥管理协议为例,采用上述设计的交换类型CERT_UPDATE_PUSH和载荷CERTUPD的证书列表更新的流程图;
图12是根据本发明实施例的第一种路由设备身份认证装置的结构示意图;
图13是根据本发明实施例的第二种路由设备身份认证装置的结构示意图。
具体实施方式
下面将参考附图并结合实施例,来详细说明本发明。
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
相关技术中存在已有的身份验证方式安全性不足以及路由设备访问相关的服务器存在寻址与路由困难的问题,为解决上述技术问题,本发明实施例提供了路由设备身份认证方法,以提高身份验证方式的安全性。目前已有的身份验证方式通常在两种网络中环境中进行,其一是同一ISP所管辖域内的路由设备认证,其二是不同的ISP管理域内的路由设备(通常称为边界路由设备或者边缘路由设备)间的认证。
基于第一种网络环境,即应用于同一ISP所管辖域内的路由设备认证,本发明实施例提供了一种路由设备认证方法,其处理流程如图1所示,包括:
步骤S102、第一路由设备收到第二路由设备的身份证书时,第一路由设备检查身份证书是否是由受信任的根证书签发的、基于预共享非对称密钥的自定义身份证书;
步骤S104、若是,第一路由设备查询到所述身份证书有效时,第一路由设备确定对第二路由设备进行下一步身份认证;
步骤S106、若否,或者第一路由设备查询到所述身份证书无效时,第一路由设备确定第二路由设备验证失败。
本发明实施例提供一种结合受信任的PKI X.509数字证书和预共享非对称密钥的自签名、自定义的路由设备身份证书的路由设备身份认证方式,为密钥管理协议特别是路由协议密钥管理以及需要对路由设备进行身份认证的场合提供一种高效的路由设备身份认证方式。本发明实施例提供的路由设备身份认证方法的优点是费用开支低、计算开销小,而且设置、配置和更新比较方便,解决了目前基于PKI X.509数字证书的路由设备身份认证方式的费用开支高、计算开销大、设置、配置与更新困难等问题,也解决了预共享非对称密钥的路由设备身份认证方式难以实现域间路由设备直接相互认证的问题。
身份证书按如下步骤签发:公认的认证机构CA或其下级CA为每个因特网服务提供商ISP签发一张用户身份证书,该用户身份证书为PKI X.509数字证书;每个ISP使用各自的PKI X.509数字证书作为根证书对其所管辖的全自治域AS内的每个路由设备签发基于预共享非对称密钥的自定义身份证书。
基于同一发明构思,本发明实施例还提供了另外一种路由设备身份认证方法,应用于不同的ISP所管辖域间的边界路由设备认证,即第二种网络环境,其处理步骤如下:
第一路由设备收到第二路由设备的身份证书时,第一路由设备采用PKI X.509数字证书的验证流程对第二路由设备的身份证书进行验证;其中,身份证书按如下步骤签发:公认的认证机构CA或其下级CA为每个ISP签发一张用户身份证书,用户身份证书为PKI X.509数字证书;每个ISP使用各自的PKI X.509数字证书作为根证书对其所管辖的自治域AS内的每个路由设备签发基于预共享非对称密钥的自定义身份证书。
传统的基于PKI X.509数字证书的路由设备身份认证方式,是公认的CA或其下级子CA给每个路由设备签发一张PKI X.509证书作为设备身份证书,路由设备之间的身份认证是通过信任锚(trust anchor,即CA根证书或/及其下级子CA证书)和各自的PKI X.509设备身份证书构成的证书链(certificate chain)的验证完成的。本发明实施例不同,是公认的CA或其下级子CA给每个因特网服务提供商ISP签发一张PKI X.509证书作为身份证书(用户证书),而每个ISP使用各自的PKI X.509证书对其所管辖的AS内的每个路由设备签发基于预共享非对称密钥的自定义身份证书。该信任模型如图2所示。为了实现域内与域间证书的验证,每个路由设备的本地内存开辟受保护的受信任区,用于存放PKIX.509数字证书、该路由设备的身份证书以及该路由设备的身份证书的公钥所对应的私钥。对于边界或边缘路由设备,受保护的受信任区存放ISP的PKI X.509数字证书、该证书的公钥所对应的私钥、验证该PKI X.509数字证书的系列根证书(如果有系列的话)。AS域内的路由设备受保护的受信任区存放的是作为根证书的ISP的PKI X.509数字证书、自身的路由设备身份证书及其公钥所对应的私钥。该路由设备的公私钥对或者由ISP管理员生成,或者由该路由设备自己生成。在该信任模型以及受保护区的设置下,不同的ISP之间的路由设备(边界或边缘路由设备)的身份认证采用常规的PKI X.509证书,该路由设备受保护区内保存的ISP的PKI X.509证书对应的私钥起了关键作用。而同一个ISP内的同一或不同AS域的路由设备,使用自签名与自定义的证书进行身份认证,该身份认证方法的处理流程如图1所示,其中下一步身份认证的处理流程如图3所示:
步骤S302、若是,对第一hash值和第二hash值进行匹配,若匹配,执行步骤S304,若不匹配,执行步骤S306;
其中,第一hash值根据身份证书上的除签名外的其他信息进行哈希hash运算获得;第二hash值根据身份证书上的签名算法,利用根证书上的ISP的公钥值解密身份证书上的签名获得;
步骤S304、第一路由设备确定第二路由设备通过身份认证;
步骤S306、第一路由设备确定第二路由设备验证失败。
自定义身份证书是网络设备证书,此处的自定义身份证书是路由设备身份证书,至少包含路由设备的必要信息,具体包含的内容如下(但不限于):
颁发者(issuer):ISP的名字,来自ISP所持有的PKI X.509证书中的subject,在互联网(Internet)中是唯一的;
序列号(sequence number):由ISP的管理员(administrator)负责给管理域内的路由设备分配唯一的号码,可以用16个比特(2octet)表示的正整数;
自治域号:Autonomous System Number,简称ASN。在一个ISP内,这个ASN是唯一的;
签名算法标识符:作为颁发者的ISP签名本证书所使用的算法;可以选取的算法至少包括sha1RSA(RSAwith SHA-1)和sha1DSA(DSAwith SHA-1);
有效期限:两个字段表示,从xxxx年xx月xx日到xxxx年xx月xx日;
设备主体名:设备主体名是域内唯一的,由ISP的管理员指定,可以是可读性强的表明设备在该管理域中的标识名称,也可以是ISP管理员分配的IP地址;
设备信息:设备信息包括路由设备名称(router equipment name)、产品型号(producttype)、用途与功能、MAC地址、IP地址等;
设备使用的公钥信息:包括非对称公钥算法、使用方式、使用范围、公钥等。设备使用的公钥与设备主体名一一对应,是一种绑定关系;
签名:ISP用自己的PKI X.509证书上的公钥对应的私钥对每个自定义的路由设备身份证书进行的签名,具体的签名对象是该设备证书上的从颁发者直到签名前(不包含本签名)的内容。
第一路由设备检查身份证书是否是由受信任的所属ISP的PKI X.509数字证书作为根证书签发的、基于预共享非对称密钥的自定义身份证书之后,还包括:当身份证书的公钥对应的私钥遭受破坏时,第二路由设备撤销身份证书,并在撤销后,第二路由设备可以查询身份证书列表,确认身份证书是否被撤销。通常身份证书可以包括下列至少之一:在每个路由设备本地存储的一张受保护的设备撤销证书列表;在每个路由设备本地存储的一张受保护的设备有效证书列表。
综上可知,本发明实施例提供了一种路由设备身份证书信任模型、证书的内容与格式、以及验证方式。
为了实现域内与域间证书的验证,每个路由设备的本地内存开辟受保护的受信任区,用于存放私钥和根证书。对于边界或边缘路由设备,受保护的受信任区存放的是ISP的PKI X.509数字证书、该证书的公钥所对应的私钥、验证该PKI X.509数字证书的系列根证书(如果有系列的话)。AS域内的路由设备受保护的受信任区存放的是作为根证书的ISP的PKI X.509数字证书、自身的路由设备身份证书及其公钥所对应的私钥。该路由设备的公私钥对或者由ISP管理员生成,或者由该路由设备自己生成。
域内证书的验证过程如下:
1)当路由设备A收到域内路由设备B(通常是邻居关系)的身份证书时,首先检查证书的颁发者是否属于存储在本地的得到很好保护的受信任的根证书(ISP的PKI X.509),如果是,则进行步骤2),否则,停止验证,拒绝信任该证书,也即验证不通过。
2)路由设备A根据路由设备B的身份证书上的签名算法,对路由设备B的身份证书上的信息(除签名外)进行hash运算,得到hash值。
3)路由设备A根据路由设备B的身份证书上的签名算法,用存储在本地的得到很好保护的受信任的根证书(ISP的PKI X.509)上的ISP的公钥值解密路由设备B证书上的签名,得到hash值。
4)路由设备A比较步骤2)计算出来的hash值与步骤3)解密出来的hash值,如果匹配,则通过验证,否则验证失败,即验证不通过。
对于不同的ISP域间的证书验证(边界/边缘路由设备之间),存在两种情况,第一种情况是其中一方或双方都没有配置和采用本发明中的路由设备身份证书,第二种情况是双方都配置并采用了本发明中的路由设备身份证书。对于第一种情况,仅需要ISP的PKI X.509证书之间的相互验证,这就是现有技术中的PKI X.509的验证流程。对于第二种情况,双方除了验证ISP的PKI X.509证书外,还需要验证路由设备身份证书。另外,对于第一种情况中的仅有一方配置和采用本发明实施例中的路由设备身份证书的情况,ISP双方可以有一些协定或约定,接纳本发明实施例的路由设备身份证书,以助于实现相互验证。
当路由设备身份证书的公钥所对应的私钥遭受破坏时,路由设备的身份证书需要被撤销,而验证路由设备身份证书是否已被撤销的时候,需要查询相关的列表。涉及路由设备的身份证书是否被撤销的列表设置有至少两种设置方式。第一种方式是每个路由设备本地存储一张受保护的设备撤销证书列表,第二种方式是每个路由设备本地存储一张受保护的设备有效证书列表。为了节约存储空间同时也为了提高检索和匹配的速度,可以存储设备证书的指纹(证书指纹,Certificate fingerprint)。证书指纹是证书的安全单向hash函数值,计算证书指纹可选用的hash函数包括SHA-1,SHA-224,SHA-256,SHA-384,SHA-512。相关的证书列表应该存放在路由设备本地的受保护的受信任区内。一旦出现新的被撤销的证书,每个路由设备本地存储的证书撤销证书列表或有效证书列表或它们的证书指纹都需要更新。为了提高证书列表更新的效率,管理员可以指定其中一台路由设备充当更新证书列表的管理角色,当证书列表更新后,发消息通知其他路由设备,让其他路由设备以安全的方式下载更新后的证书列表,例如,可以利用建立安全联盟的方式更新列表证书:充当列表管理角色的路由设备发送消息通知其他路由设备,并与其他路由设备协商建立安全联盟,在安全联盟的保护下,充当列表管理角色的路由设备向其他路由设备发送更新后的证书列表。
现以具体实施例进行说明,实现相互验证的方式包括在原有的密钥管理协议特别是路由协议密钥管理协议中增加或扩展相应的证书项,包括证书类型定义、证书数据定义等,或者在新设计密钥管理协议特别是路由协议密钥管理协议中设置相关的证书项并相应的验证流程。本发明实施例提供了分别基于IKEv2(Internet Key Exchange Version 2,因特网密钥交换协议第二版,RFC4036)、ISAKMP(Internet Security Association and Key ManagementProtocol,因特网安全联盟和密钥管理协议,RFC2408)、GDOI(The Group Domain ofInterpretation,组解释域)协议的路由协议密钥管理协议的证书验证方法和步骤,并证书(有效或撤销)列表载荷并更新的步骤与流程,路由设备身份认证方法同样适用于上述IKEv2、ISAKMP和GDOI等密钥管理协议。
实施例一
为了更好地保护路由协议,提高路由消息传输与发布的安全性,业界提出了路由协议自动密钥管理的思路(IETF KARP工作组,即Internet Engineering Task Force Keying andAuthentication for Routing Protocols,目前工作正在进行中),旨在为路由协议提供路由设备身份认证、密钥材料的安全协商、生成和分发等功能,但目前尚未有完整的方案提出。本实施例对IKEv2相关载荷字段进行扩展,使基于IKEv2的路由协议密钥管理方案支持本发明提出的路由设备身份证书认证方式。
如图4所示,其中图4(a)是IKEv2证书载荷格式,图4(b)是IKEv2证书请求载荷格式,图4(c)是两格式共有的认证编码类型及其对应值,其中14到200是IANA保留值。
对IKEv2的证书载荷和证书请求载荷中的认证编码类型进行扩展,包括但不限于以下内容:
在证书编码类型中增加本发明实施例提出的路由设备身份证书,可以标记为PKI ISPSigned Certificate,其取值范围是14到200(属于IANA保留值);
在证书编码类型中增加本发明实施例提出的路由设备身份证书的hash值,可以标记为Hash of PKI ISP Signed Certificate,其取值范围是14到200(属于IANA保留值)。
对采用上述新增的证书编码类型的图4(a)的证书载荷,相应地其证书数据字段装载的是本发明提出的路由设备身份证书。对采用上述新增的证书编码类型的图4(b)的证书请求载荷,相应地其认证机构字段装载的是签发本发明实施例提出的路由设备身份证书的ISP的公钥的hash值、给ISP签发身份证书的受信任的CA的公钥的hash值。
实施例二
如图5所示,其中图5(a)是IKEv2标识载荷格式,图5(b)是该标识载荷的标识类型及其对应值,其中12到200是IANA保留值。为了使基于IKEv2的路由协议密钥管理方案支持本发明提出的路由设备身份证书认证方式,对IKEv2的标识载荷中的标识类型进行扩展,增加本发明提出的路由设备身份证书中的设备主体名作为其中一种标识类型,可以标记为ID_ISP_ROUTER,其取值范围是12到200(属于IANA保留值)。对采用该新增的标识类型的图5(a)的标识载荷,相应地其标识数据字段装载的是本发明实施例提出的路由设备身份证书的设备主体名。
当路由设备身份证书中标示的设备主体名称属于原有的标识类型时,比如IPv4或IPv6地址,则宜继续采用原有的标识类型。
实施例三
如图6所示,其中图6(a)是IKEv2认证载荷格式,图6(b)是该认证载荷的认证方法类型及其对应值,其中4到200是IANA保留值。为了使基于IKEv2的路由协议密钥管理方案支持本发明提出的路由设备身份证书认证方式,对IKEv2的认证载荷中的认证方法类型进行扩展,增加本发明提出的路由设备身份证书中的签名算法(即签名算法标识符所表示的算法)作为其中一种认证方法,其标记可直接取相应的签名算法标识符,其取值范围是4到200(属于IANA保留值)。对采用该新增的认证方法的图6(a)的认证载荷,相应地其认证数据字段装载的是使用本发明实施例提出的路由设备身份证书中标示的签名算法以及路由设备的私钥进行签名后得到的数据。
当路由设备身份证书中标示的签名算法属于原有的认证方法时,比如RSA数字签名或DSS数字签名方法,则宜继续采用原有的认证方法。
实施例四
如图7所示,基于IKEv2的路由协议密钥管理协议(key management protocol,KMP)对等体双方进行相互路由设备身份认证的流程步骤,消息类型、消息载荷和作用的具体内容如下表所示:
消息载荷中的内容都是来自IKEv2的定义,其中粗黑色斜字体表示的载荷是经过上述实施例一、二和三扩展定义后的载荷,用于支持本发明实施例提出的路由设备身份证书认证方法。其中HDR是IKE头部,SAi是发起者的SA载荷;KEi是发起者的密钥交换(即D-H交换)载荷;Ni是发起者生成的随机数载荷;相应地,SAr、KEr、Nr依次表示响应者回应的SA载荷、响应者的密钥交换(即D-H交换)载荷和响应者生成的随机数载荷;CERTREQ表示证书请求载荷;CERT表示证书载荷;IDi和IDr分别表示发起者和响应者的标识载荷;TSi和TSr分别表示发起者和响应者的流选择子(traffic selector)载荷;AUTH表示认证载荷,其中的认证数据由IKEv2规定的计算方法得到;[]方括号表示括号内的载荷是可选的;SK{}表示花括号中的载荷都是使用该方向(图7中箭头所示)的IKE_SA进行加密和完整性保护的。
如图7所示,KMP A是发起者,KMP B是响应者,KMP是在路由设备上运行的。在步骤2的IKE_SA_INIT响应消息中KMP响应者向KMP发起者发送CERTREQ载荷,请求KMP发起者发送证书载荷。在步骤3的IKE_AUTH请求消息中,KMP发起者将其路由设备相应的证书载荷、标识载荷以及认证载荷等,在IKE_SA的保护下发送给KMP响应者。在步骤4的IKE_AUTH响应消息中,KMP响应者将其路由设备相应的证书载荷、标识载荷以及认证载荷发送给KMP发起者。KMP发起者与KMP响应者各自验证对方的路由设备身份证书、认证载荷中的认证数据以及标识。
实施例五
对ISAKMP进行扩展,可以使ISAKMP用于路由协议密钥管理。类似于上述实施例一、二、三和四,本发明提出的路由设备身份认证方法可以用在基于ISAKMP的路由协议密钥管理协议中,具体说来是用在ISAKMP的四种交换中,即Base Exchange(基本交换)、IdentityProtection Exchange(身份保护交换)、Authentication Only Exchange(仅认证交换)和Aggressive Exchange(进取交换)。
如图8(a)、图8(b)和图9(a)、图9(b)所示,在应用层或路由协议的组密钥管理中用到上述ISAKMP四种交换的类型、步骤与消息载荷以及作用的具体内容如下表所示:
消息载荷中的内容都是来自ISAKMP的定义,其中粗黑色斜字体表示的载荷是经过如同上述实施例一、二和三扩展定义后的载荷,用于支持本发明实施例提出的路由设备身份证书认证方法。由于扩展定义的方法相同,因此不再赘述也不再以图表示。消息载荷的含义基本上与实施例四中涉及的IKEv2相关载荷相同,不同的是,HDR是ISAKMP头部,HDR带星号(*)表示HDR随后的载荷是加密的,NONCE对应IKEv2中的N,IDii和IDir对应IKEv2中的Di和IDr。
实施例六
IETF个人草案“Group Key Management using IKEv2”(draft-yeung-g-ikev2-01,发表于2010年3月8日)对IKEv2进行了扩展,使IKEv2可以用于组密钥管理。IETF个人草案“Multicast Router Key Management Protocol(MRKMP)”(draft-hartman-karp-mrkmp-00,发表于2010年10月18日)将GDOI引入基于局域链路(link-local based)的路由协议组密钥管理中,并且提出在GDOI的第一阶段(Phase 1)的初始交换和认证交换中应用简化的IKEv2的初始交换和认证交换,其思想与IETF个人草案“Group Key Management usingIKEv2”是一样的,只是应用场合不同,基于IKEv2的GKM(Group Key Management,组密钥管理)用于应用层的组密钥管理,而MRKMP用于较底层的路由协议的组密钥管理,但是两者都用到IKEv2的初始交换和认证交换,而本发明实施例提出的路由设备身份认证方法可以在初始交换和认证交换中使用。
如图10所示,在应用层或路由协议的组密钥管理中用到IKEv2的初始交换和认证交换的流程步骤、消息类型、消息载荷和作用的具体内容如下表所示:
消息载荷中的内容是来自IKEv2和IETF个人草案“Group Key Management usingIKEv2”(draft-yeung-g-ikev2-01)的定义,其中粗黑色斜字体表示的载荷是经过上述实施例一、二和三扩展定义后的载荷,用于支持本发明提出的路由设备身份认证方式。其中IDg是组标识载荷,用于Member(组员,是路由设备)发给GCKS(Group Controller Key Server,组控制密钥服务器,一般也是路由设备)告知GCKS想要加入/注册的组(member join或member registration);SEQ是密钥更新消息的序列号载荷,用于为密钥更新消息提供反重放攻击(replay attack);GSA是组安全联盟载荷,用于GCKS发给Member告知组策略(grouppolicy);KD是密钥下载载荷,用于GCKS将控制和数据密钥发给Member。
实施例七
针对列表更新的问题,本实施例设计承载列表的新的载荷、发送更新列表的新的交换类型,并相应的步骤与流程。
承载更新列表的载荷包括但不限于以下内容:
载荷类型,表明在所应用的协议内所属的载荷类型。例如,在IKEv2和基于IKEv2的路由协议密钥管理中,所设计的载荷类型的取值范围是1到32(属于保留值)、49到127(属于IANA保留值);在ISAKMP和基于ISAKMP的路由协议密钥管理中,所设计的载荷类型的取值范围是14到127(属于保留值);在GDOI和基于GDOI的路由协议密钥管理中,所设计的载荷类型的取值范围是1到32(属于保留值)、49到127(属于IANA保留值);
列表类型,可分为有效证书列表、撤销证书列表等;
有否带证书指纹;
证书列表和/或证书指纹列表数据。
可将上述承载更新列表的载荷标记为CERTUPD。
用于发送更新列表的新的交换类型是指在所应用的协议内所属的交换类型,如果该协议有交换类型的话。可将新的交换类型标记为CERT_UPDATE_PUSH。例如,在IKEv2和基于IKEv2的路由协议密钥管理中,所设计的交换类型的取值范围是0到33(属于保留值)、38到239(属于IANA保留值)。ISAKMP和基于ISAKMP的路由协议密钥管理,以及GDOI和基于GDOI的路由协议密钥管理的情况也类似。新设计的交换类型一般为单向,即从更新列表管理路由设备(例如充当服务器的路由设备)向其他路由设备单向发送,单向的交换可称为消息。当所应用的协议有合适的交换类型的时候,也可以使用已有的交换类型,而不用设计新的交换类型。
如图11所示,以IKEv2和基于IKEv2的路由协议密钥管理协议为例,采用上述设计的交换类型CERT_UPDATE_PUSH和载荷CERTUPD的证书列表更新的流程步骤、消息类型、消息载荷和作用的具体内容如下表所示:
上述步骤1到4同实施例四中的步骤1到4。步骤5中的CERTUPD载荷是在CERT_UPDATE_PUSH交换/消息中发送的,而且是在步骤4协商建立的SA即SAr2的保护下发送的。
综上所述,本发明实施例可以解决现有技术存在的问题,使得路由设备的身份认证特别是在路由协议密钥管理协议下的认证较大地降低了费用开支、减少了计算开销、简化了设置与配置,不但满足域内的路由设备身份认证,还能实现域间的路由设备身份认证,满足路由安全中设备身份合法性特别是路由协议密钥管理中路由设备身份合法性的验证需求。
基于同一发明构思,本发明实施例还提供了一种路由设备身份认证装置,其结构如图12所示,包括:
检查模块1201,用于在第一路由设备收到第二路由设备的身份证书时,检查身份证书是否是由受信任的根证书签发的、基于预共享非对称密钥的自定义身份证书;
第一确定模块1202,用于在检查模块1201的检查结果为是时,确定第二路由设备通过身份认证;
第二确定模块1203,用于在检查模块1201的检查结果为否时,确定第二路由设备验证失败。
基于同一发明构思,本发明实施例还提供了另外一种路由设备身份认证装置,其结构如图13所示,包括:
验证模块1301,用于在第一路由设备收到第二路由设备的身份证书时,所述第一路由设备采用PKI X.509数字证书的验证流程对所述第二路由设备的身份证书进行验证;
签发模块1302,用于按如下步骤签发所述身份证书:公认的认证机构CA或其下级CA为每个ISP签发一张用户身份证书,所述用户身份证书为PKI X.509数字证书;所述每个ISP使用各自的PKI X.509数字证书作为根证书对其所管辖的自治域AS内的每个路由设备签发基于预共享非对称密钥的自定义身份证书。
从以上的描述中,可以看出,本发明实现了如下技术效果:
本发明实施例提供一种结合受信任的PKI X.509数字证书和预共享非对称密钥的自签名、自定义的路由设备身份证书的路由设备身份认证方式,为密钥管理协议特别是路由协议密钥管理以及需要对路由设备进行身份认证的场合提供一种高效的路由设备身份认证方式。本发明实施例提供的路由设备身份认证方法的优点是费用开支低、计算开销小,而且设置、配置和更新比较方便,解决了目前基于PKI X.509数字证书的路由设备身份认证方式的费用开支高、计算开销大、设置、配置与更新困难等问题,也解决了预共享非对称密钥的路由设备身份认证方式难以实现域间路由设备直接相互认证的问题。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (16)
1.一种路由设备身份认证方法,其特征在于,应用于同一因特网服务提供商ISP所管辖域内的路由设备认证,包括:
第一路由设备收到第二路由设备的身份证书时,所述第一路由设备检查所述身份证书是否是由受信任的根证书签发的、基于预共享非对称密钥的自定义身份证书;
若是,所述第一路由设备查询到所述身份证书有效时,所述第一路由设备确定对所述第二路由设备进行下一步身份认证;
若否,或者所述第一路由设备查询到所述身份证书无效时,所述第一路由设备确定所述第二路由设备验证失败。
2.根据权利要求1所述的方法,其特征在于,所述身份证书按如下步骤签发:
公认的认证机构CA或其下级CA为所述ISP签发一张用户身份证书,所述用户身份证书为PKI X.509数字证书;
所述ISP使用所述PKI X.509数字证书作为根证书对其所管辖的自治域AS内的每个路由设备签发基于预共享非对称密钥的自定义身份证书。
3.根据权利要求2所述的方法,其特征在于,所述ISP在其所管辖的每个路由设备本地开辟受保护的受信任区,利用所述受信任区存放所述PKIX.509数字证书、该路由设备的身份证书以及该路由设备的身份证书的公钥所对应的私钥。
4.根据权利要求1所述的方法,其特征在于,所述第一路由设备检查所述身份证书是否是由受信任的根证书签发的、基于预共享非对称密钥的自定义身份证书,若是,所述第一路由设备查询到所述身份证书有效时,所述第一路由设备确定对所述第二路由设备进行下一步身份认证,若否,或者所述第一路由设备查询到所述身份证书无效时,所述第一路由设备确定所述第二路由设备验证失败,包括:
所述第一路由设备检查所述身份证书的颁发者是否是属于存储于本地的受信任的根证书;
若是,所述第一路由设备检查所述身份证书是否有效,若所述身份证书无效,则所述第一路由设备停止验证,拒绝信任所述身份证书;若所述身份证书有效,所述第一路由设备确定对所述第二路由设备进行下一步身份认证;其中,所述第一路由设备确定对所述第二路由设备进行下一步身份认证包括:对第一hash值和第二hash值进行匹配,若匹配,所述第一路由设备确定所述第二路由设备通过身份认证,若不匹配,所述第一路由设备确定所述第二路由设备验证失败;其中,所述第一hash值根据所述身份证书上的除签名外的其他信息进行哈希hash运算获得;所述第二hash值根据所述身份证书上的签名算法,利用所述根证书上的ISP的公钥值解密所述身份证书上的签名获得;
若否,所述第一路由设备停止验证,拒绝信任所述身份证书。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述自定义身份证书包括下列至少之一:
颁发者,序列号,自治域号,签名算法标识符,有效期限,设备主体名,设备信息,设备使用的公钥信息,签名。
6.根据权利要求1至4任一项所述的方法,其特征在于,所述自定义身份证书有效包括:所述自定义身份证书在有效期限内且不属于被撤销的身份证书。
7.根据权利要求1所述的方法,其特征在于,所述第一路由设备检查所述身份证书是否是由受信任的根证书签发的、基于预共享非对称密钥的自定义身份证书之后,还包括:
当所述身份证书的公钥对应的私钥遭受破坏时,所述身份证书被撤销,由充当列表管理角色的路由设备管理并更新身份证书列表。
8.根据权利要求7所述的方法,其特征在于,所述由充当列表管理角色的路由设备管理并更新的身份证书列表,包括下列至少之一:
在每个路由设备本地存储一张受保护的设备撤销证书列表;
在每个路由设备本地存储一张受保护的设备有效证书列表。
9.根据权利要求8所述的方法,其特征在于,所述由充当列表管理角色的路由设备管理并更新身份证书列表,包括:
所述充当列表管理角色的路由设备发送消息通知其他路由设备,并与所述其他路由设备协商建立安全联盟,在所述安全联盟的保护下,所述充当列表管理角色的路由设备向所述其他路由设备发送更新后的证书列表。
10.根据权利要求9所述的方法,其特征在于,所述身份证书列表中存储设备证书的证书指纹,所述证书指纹是身份证书的全单向hash函数值。
11.根据权利要求10所述的方法,其特征在于,所述hash函数包括:SHA-1、SHA-224、SHA-256、SHA-384、SHA-512。
12.一种路由设备身份认证方法,其特征在于,应用于不同的因特网服务提供商ISP所管辖域间的边界路由设备认证,包括:
第一路由设备收到第二路由设备的身份证书时,所述第一路由设备采用PKI X.509数字证书的验证流程对所述第二路由设备的身份证书进行验证;
其中,所述身份证书按如下步骤签发:公认的认证机构CA或其下级CA为每个ISP签发一张用户身份证书,所述用户身份证书为PKI X.509数字证书;所述每个ISP使用各自的PKI X.509数字证书作为根证书对其所管辖的自治域AS内的每个路由设备签发基于预共享非对称密钥的自定义身份证书。
13.如权利要求12所述的方法,其特征在于,所述每个ISP在其所管辖的每个边界路由设备本地开辟受保护的受信任区,利用所述受信任区存放所述PKI X.509数字证书和该路由设备的身份证书。
14.如权利要求12或13所述的方法,其特征在于,所述每个ISP的边界路由设备的所述受信任区还保存该边界路由设备所属ISP的PKI X.509数字证书所对应的私钥。
15.一种路由设备身份认证装置,其特征在于,包括:
检查模块,用于在第一路由设备收到第二路由设备的身份证书时,检查所述身份证书是否是由受信任的根证书签发的、基于预共享非对称密钥的自定义身份证书;
第一确定模块,用于在所述检查模块的检查结果为是且查询到所述身份证书有效时,确定对所述第二路由设备进行下一步身份认证;
第二确定模块,用于在所述检查模块的检查结果为否或者查询到所述身份证书无效时,确定所述第二路由设备验证失败。
16.一种路由设备身份认证装置,其特征在于,包括:
验证模块,用于在第一路由设备收到第二路由设备的身份证书时,所述第一路由设备采用PKI X.509数字证书的验证流程对所述第二路由设备的身份证书进行验证;
签发模块,用于按如下步骤签发所述身份证书:公认的认证机构CA或其下级CA为每个ISP签发一张用户身份证书,所述用户身份证书为PKI X.509数字证书;所述每个ISP使用各自的PKI X.509数字证书作为根证书对其所管辖的自治域AS内的每个路由设备签发基于预共享非对称密钥的自定义身份证书。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110039068.7A CN102647394B (zh) | 2011-02-16 | 2011-02-16 | 路由设备身份认证方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110039068.7A CN102647394B (zh) | 2011-02-16 | 2011-02-16 | 路由设备身份认证方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102647394A true CN102647394A (zh) | 2012-08-22 |
CN102647394B CN102647394B (zh) | 2017-09-15 |
Family
ID=46659973
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110039068.7A Active CN102647394B (zh) | 2011-02-16 | 2011-02-16 | 路由设备身份认证方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102647394B (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014067040A1 (en) * | 2012-10-29 | 2014-05-08 | Intel Corporation | Method and apparatus for safe network access point detection |
CN104486082A (zh) * | 2014-12-15 | 2015-04-01 | 中电长城网际系统应用有限公司 | 认证方法和路由器 |
CN104639566A (zh) * | 2015-03-10 | 2015-05-20 | 四川省宁潮科技有限公司 | 基于带外身份认证的交易授权方法 |
CN104680373A (zh) * | 2015-03-10 | 2015-06-03 | 四川省宁潮科技有限公司 | 基于带外认证的移动金融安全方法 |
CN105610795A (zh) * | 2015-12-18 | 2016-05-25 | 北京海泰方圆科技股份有限公司 | 一种增加自定义可信任的根证书的方法 |
CN106027476A (zh) * | 2016-01-21 | 2016-10-12 | 李明 | 一种身份证云认证系统及读卡系统 |
CN106656455A (zh) * | 2015-07-13 | 2017-05-10 | 腾讯科技(深圳)有限公司 | 一种网站访问方法及装置 |
CN109005032A (zh) * | 2018-08-13 | 2018-12-14 | 中国联合网络通信集团有限公司 | 一种路由方法和装置 |
CN110463160A (zh) * | 2017-04-03 | 2019-11-15 | 微软技术许可有限责任公司 | 用于云计算的弹性公共密钥基础架构 |
CN110855442A (zh) * | 2019-10-10 | 2020-02-28 | 北京握奇智能科技有限公司 | 一种基于pki技术的设备间证书验证方法 |
CN111756733A (zh) * | 2020-06-23 | 2020-10-09 | 恒生电子股份有限公司 | 一种身份认证方法和相关装置 |
CN111934870A (zh) * | 2020-09-22 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 区块链网络中的根证书更新方法、装置、设备以及介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101145908A (zh) * | 2006-09-14 | 2008-03-19 | 华为技术有限公司 | 保障业务网络安全的系统、装置及方法 |
CN101674304A (zh) * | 2009-10-15 | 2010-03-17 | 浙江师范大学 | 一种网络身份认证系统及方法 |
-
2011
- 2011-02-16 CN CN201110039068.7A patent/CN102647394B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101145908A (zh) * | 2006-09-14 | 2008-03-19 | 华为技术有限公司 | 保障业务网络安全的系统、装置及方法 |
CN101674304A (zh) * | 2009-10-15 | 2010-03-17 | 浙江师范大学 | 一种网络身份认证系统及方法 |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014067040A1 (en) * | 2012-10-29 | 2014-05-08 | Intel Corporation | Method and apparatus for safe network access point detection |
CN104486082B (zh) * | 2014-12-15 | 2018-07-31 | 中电长城网际系统应用有限公司 | 认证方法和路由器 |
CN104486082A (zh) * | 2014-12-15 | 2015-04-01 | 中电长城网际系统应用有限公司 | 认证方法和路由器 |
CN104639566A (zh) * | 2015-03-10 | 2015-05-20 | 四川省宁潮科技有限公司 | 基于带外身份认证的交易授权方法 |
CN104680373A (zh) * | 2015-03-10 | 2015-06-03 | 四川省宁潮科技有限公司 | 基于带外认证的移动金融安全方法 |
CN106656455B (zh) * | 2015-07-13 | 2020-11-03 | 腾讯科技(深圳)有限公司 | 一种网站访问方法及装置 |
CN106656455A (zh) * | 2015-07-13 | 2017-05-10 | 腾讯科技(深圳)有限公司 | 一种网站访问方法及装置 |
CN105610795A (zh) * | 2015-12-18 | 2016-05-25 | 北京海泰方圆科技股份有限公司 | 一种增加自定义可信任的根证书的方法 |
CN105610795B (zh) * | 2015-12-18 | 2017-09-12 | 北京海泰方圆科技股份有限公司 | 一种增加自定义可信任的根证书的方法 |
CN106027476B (zh) * | 2016-01-21 | 2019-06-28 | 李明 | 一种身份证云认证系统及读卡系统 |
CN106027476A (zh) * | 2016-01-21 | 2016-10-12 | 李明 | 一种身份证云认证系统及读卡系统 |
CN110463160A (zh) * | 2017-04-03 | 2019-11-15 | 微软技术许可有限责任公司 | 用于云计算的弹性公共密钥基础架构 |
CN109005032A (zh) * | 2018-08-13 | 2018-12-14 | 中国联合网络通信集团有限公司 | 一种路由方法和装置 |
CN109005032B (zh) * | 2018-08-13 | 2021-02-23 | 中国联合网络通信集团有限公司 | 一种路由方法和装置 |
CN110855442A (zh) * | 2019-10-10 | 2020-02-28 | 北京握奇智能科技有限公司 | 一种基于pki技术的设备间证书验证方法 |
CN111756733A (zh) * | 2020-06-23 | 2020-10-09 | 恒生电子股份有限公司 | 一种身份认证方法和相关装置 |
CN111934870A (zh) * | 2020-09-22 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 区块链网络中的根证书更新方法、装置、设备以及介质 |
CN111934870B (zh) * | 2020-09-22 | 2020-12-29 | 腾讯科技(深圳)有限公司 | 区块链网络中的根证书更新方法、装置、设备以及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN102647394B (zh) | 2017-09-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102647394A (zh) | 路由设备身份认证方法及装置 | |
US11757635B2 (en) | Client authentication and access token ownership validation | |
CA2986223C (en) | Method and apparatus for initial certificate enrollment in a wireless communication system | |
JP5414898B2 (ja) | 有線lanのセキュリティアクセス制御方法及びそのシステム | |
CN101222331B (zh) | 一种认证服务器及网状网中双向认证的方法及系统 | |
CN111262692B (zh) | 基于区块链的密钥分发系统和方法 | |
US8312263B2 (en) | System and method for installing trust anchors in an endpoint | |
US20090240941A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
CN107396350B (zh) | 基于sdn-5g网络架构的sdn组件间安全保护方法 | |
WO2010016880A2 (en) | Systems and methods for security in a wireless utility network | |
CN110048850A (zh) | 一种基于改进ssl/tls协议的车联网数据安全传输技术 | |
EP2119181B1 (en) | Signalling delegation in a moving network | |
WO2020020008A1 (zh) | 一种鉴权方法及鉴权系统 | |
CN105450623A (zh) | 一种电动汽车的接入认证方法 | |
Park et al. | A new approach to constructing decentralized identifier for secure and flexible key rotation | |
ES2776679T3 (es) | Procedimientos de aumento de la seguridad en transmisiones de datos y de control de autenticación de nodos de una red ad hoc | |
CN115002717A (zh) | 一种基于区块链技术的车联网跨域认证隐私保护模型 | |
CN115102695A (zh) | 基于区块链的车联网证书认证方法 | |
Chauhan et al. | The design of a secure key management system in vehicular ad hoc networks | |
CN101449540B (zh) | 基于委托的移动性管理 | |
CN103856463A (zh) | 基于密钥交换协议的轻量目录访问协议实现方法和装置 | |
KR100972743B1 (ko) | 마니모의 이동 애드 혹 네트워크에 속한 이동 라우터 간에인증 토큰을 이용한 상호 인증 방법 | |
Jacobs | WiMAX subscriber and mobile station authentication challenges | |
Goldberg | A Secure Update Mechanism for Internet of Things Devices | |
Van Vinh et al. | Group-based public-key management for self-securing large mobile ad-hoc networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |