CN102833754A - 一种基于数字证书的移动设备可信接入方法 - Google Patents
一种基于数字证书的移动设备可信接入方法 Download PDFInfo
- Publication number
- CN102833754A CN102833754A CN2012102947859A CN201210294785A CN102833754A CN 102833754 A CN102833754 A CN 102833754A CN 2012102947859 A CN2012102947859 A CN 2012102947859A CN 201210294785 A CN201210294785 A CN 201210294785A CN 102833754 A CN102833754 A CN 102833754A
- Authority
- CN
- China
- Prior art keywords
- certificate
- main website
- equipment
- crl
- cancelled
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种基于数字证书的移动设备可信接入方法,接入方法包括数字证书发放和设备接入主站两个步骤;所述数字证书发放是在设备接入主站之前完成的。该方法能够支持设备对主站的身份认证,解决了传统协议中无法检验假冒主站的问题,能够很好的满足此类网络中对于身份认证的需求。
Description
技术领域
本发明涉及设备接入领域,具体涉及一种基于数字证书的移动设备可信接入方法。
背景技术
近年来信息产业飞速发展,信息的安全性受到了越来越大的关注,身份认证是一种重要的信息安全技术手段,随着身份认证技术发展越来越成熟,它被广泛应用于很多的网络中。但是一些覆盖范围广,结构复杂,实时性较高的信息网络,例如,用电信息采集系统对传统的认证方式提出了新的要求,网络结构的特殊性决定了常用的身份认证协议并不能满足它对信息安全的要求。
常用的身份认证协议,例如安全传输协议(SSL),存在着一些比较协议上的漏洞,容易受到攻击。例如,容易受到密码算法组及版本号等回滚攻击;不支持国产加密算法;不能提供不可否认性。另一方面,对于主站-终端的链式网络结构,终端无法直接与CA系统进行通信,所以使用常用的认证协议无法实现终端对主站的认证。在工程实际应用时存在如下问题:
(1)终端不能直接查询在线证书状态协议(Online Certification Status Protocol,OCSP)服务器:
在签发数字证书阶段,主站与终端的数字证书均为同一级别CA机构签发。受实际应用中网络拓扑的限制,终端位于主站下方,与主站属于上下级关系。数字证书查询有效性包括身份查询、hash值比对、是否在有效期、CRL列表。对于前三项有效性的校验在终端内部可以操作完成,对于CRL列表一般需要访问OCSP服务器来确认所用证书是否已经被撤销。终端无法直接连接CA系统。从而主站在检查终端数字证书的有效性时可以通过连接OCSP服务器查询CRL列表得知该数字证书是否被撤销,而终端在检查主站数字证书时却无法连接OCSP服务器,也就无法认证主站证书的有效性。
(2)假冒主站无法识别:
由于SSL协议的漏洞可以利用终端中芯片或者主站的测试芯片假冒主站。
废弃的或是撤坏掉的终端芯片中包含有终端的数字证书、证书私钥、预置的对称密钥等机密信息,鉴于终端证书与主站证书由同一CA签发,为同一级证书。因此,攻击者可利用废弃芯片来假冒主站。
发明内容
针对现有技术的不足,本发明提供一种基于数字证书的移动设备可信接入方法,该方法能够支持设备对主站的身份认证,解决了传统协议中无法检验假冒主站的问题,能够很好的满足此类网络中对于身份认证的需求。
本发明的目的是采用下述技术方案实现的:
一种基于数字证书的移动设备可信接入方法,其改进之处在于,所述接入方法包括数字证书发放和设备接入主站两个步骤;所述数字证书发放是在设备接入主站之前完成的。
进一步,所述数字证书发放是指证书发放中心将数字证书发送给设备,主站和CRL;所述数字证书是由证书发放中心发放的,所述数字证书中有类型标识位,所述类型标识位用来判断持有该证书的是设备、主站或CRL。
进一步,所述证书发放中心是指CA证书系统内数字证书生成和发放的服务器,为整个系统提供证书发放和更新服务;所述证书发放中心分为两级,第一级是根CA证书系统,第二级是运行CA证书系统。
进一步,所述数字证书是指证明证书持有者身份的电子文件;所述数字证书包括普通证书和证书链两种;所述证书链包括证书发放者的证书,用来验证证书源的有效性。
进一步,所述CRL是指证书撤销列表;所述CRL中存储被撤销证书的序列号,通过网络访问CRL查询证书的序列号是否已被撤销。
进一步,所述设备接入主站是指设备通过自身持有的数字证书接入主站,设备接入主站时进行主站对设备的身份认证和设备对主站的身份认证。
进一步,所述主站对设备的身份认证是指主站检验设备证书的有效性,主站通过证书链和证书有效期验证设备持有的证书是合法的;主站通过查询CRL检验设备的证书是否被撤销。
进一步,所述设备对主站的身份认证是指设备检验主站证书的有效性,设备首先通过证书链和证书有效期验证主站的证书的合法性,其次设备通过主站连接CRL查询主站的证书是否被撤销。
进一步,所述设备接入主站包括下述步骤:
A、设备向主站发送证书;
B、检验设备向主站发送的证书是否合法:如果合法,则进行步骤C;否则返回步骤A;
C、减压横竖是否被撤销:如果被撤销,则进行步骤D;否则返回步骤A;
D、主站向设备发送证书;
E、检验主站向设备发送的证书是否合法:如果合法,则进行步骤F;否则返回步骤D;
F、设备发送主站证书序列号并查询随机码;
G、主站将证书序列号和随机码换发给CRL并签名;
H、所述CRL查询证书是否被撤销回复信息并签名给主站;
I、主站转发CRL回复信息给设备;
J、所述设备验证主站证书是否被撤销:如果被撤销,则进行步骤K;否则返回步骤I;
K、设备接入主站。
与现有技术比,本发明达到的有益效果是:
(1)增加了设备对主站的身份认证,保证了主站身份的正确性。解决了传统协议中无法检验假冒主站的问题;
(2)使用证书链解决了证书存储分发的问题,设备与主站之间的认证更加方便,安全;
(3)在主站侧建立证书撤销列表CRL,缩短了主站查询证书撤销的时间开销;
(4)该方法能够支持设备对主站的身份认证,解决了传统协议中无法检验假冒主站的问题,能够很好的满足此类网络中对于身份认证的需求。
附图说明
图1是本发明提供的设备接入总体流程示意图;
图2是本发明提供的数字证书发放示意图;
图3是本发明提供的身份认证示意图;
图4是本发明提供的设备接入主站流程示意图。
具体实施方式
下面结合附图对本发明的具体实施方式作进一步的详细说明。
本发明提供的设备接入总体流程如图1所示,本发明一种基于数字证书的移动设备可信接入方法,包括数字证书发放和设备接入主站两个步骤,数字证书发放是在设备接入主站之前完成。
本发明提供的证书发放如图2所示,数字证书发放是指证书发放中心将数字证书发送给设备,主站和证书撤销列表CRL。证书发放中心是指系统内所有数字证书的生成和发放的服务器,证书发放中心分为两级,第一级是根CA证书系统,第二级是运行CA证书系统,证书发放中心是可信任的,为整个系统提供证书发放,更新服务;数字证书,是指能够证明证书持有者身份的电子文件。数字证书包括普通证书和证书链两种,证书链中包括证书发放者的一系列证书,可以用来验证证书源的有效性,数字证书中有类型标识位,用来标识持有该证书的是设备、主站还是证书撤销列表CRL;其中的CRL是指证书撤销列表,存储了被撤销的证书的序列号,通过网络可以访问证书撤销列表CRL可以查询证书的序列号是否已被撤销。
如图3所示,设备接入主站,是指设备通过自身持有的数字证书接入主站,设备接入主站时进行主站对设备的身份认证和设备对主站的身份认证。主站对设备的身份认证,是指主站检验设备证书的有效性,主站首先通过证书链和证书有效期验证设备持有的证书是合法的,其次主站通过查询证书撤销列表CRL确认设备的证书是否被撤销;设备对主站的身份认证,是指设备检验主站证书的有效性,设备首先通过证书链和证书有效期验证主站的证书的合法性,其次设备通过主站连接证书撤销列表CRL查询主站的证书是否被撤销。
设备接入主站具体流程如图4所示,首先设备向主站发送证书,主站接收证书并通过自身持有的证书链判断证书的颁发者是否合法,查看证书是否过期,其次访问证书撤销列表CRL查询证书是否被撤销,若证书合法且没有被撤销则主站向设备发送证书,完成主站对设备的认证,否则结束进程;主站向设备发送证书,设备通过证书链判断主站证书的颁发者是否合法,查看证书是否过期,若证书合法且没有过期,则提取主站证书的序列号添加随机码发送查询信息给主站,主站接收信息并转发给证书撤销列表CRL,证书撤销列表CRL查询证书序列号是否被撤销并将查询结果和签名一起发送给主站,由主站转发给设备,设备接收信息,如果主站的证书没有被撤销,则设备完成对主站的认证。
具体的,设备接入主站包括下述步骤:
A、设备向主站发送证书;
B、检验设备向主站发送的证书是否合法:如果合法,则进行步骤C;否则返回步骤A;
C、减压横竖是否被撤销:如果被撤销,则进行步骤D;否则返回步骤A;
D、主站向设备发送证书;
E、检验主站向设备发送的证书是否合法:如果合法,则进行步骤F;否则返回步骤D;
F、设备发送主站证书序列号并查询随机码;
G、主站将证书序列号和随机码换发给CRL并签名;
H、CRL查询证书是否被撤销回复信息并签名给主站;
I、主站转发CRL回复信息给设备;
J、设备验证主站证书是否被撤销:如果被撤销,则进行步骤K;否则返回步骤I;
K、设备接入主站。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求范围当中。
Claims (9)
1.一种基于数字证书的移动设备可信接入方法,其特征在于,所述接入方法包括数字证书发放和设备接入主站两个步骤;所述数字证书发放是在设备接入主站之前完成的。
2.如权利要求1所述的移动设备可信接入方法,其特征在于,所述数字证书发放是指证书发放中心将数字证书发送给设备,主站和CRL;所述数字证书是由证书发放中心发放的,所述数字证书中有类型标识位,所述类型标识位用来判断持有该证书的是设备、主站或CRL。
3.如权利要求2所述的移动设备可信接入方法,其特征在于,所述证书发放中心是指CA证书系统内数字证书生成和发放的服务器,为整个系统提供证书发放和更新服务;所述证书发放中心分为两级,第一级是根CA证书系统,第二级是运行CA证书系统。
4.如权利要求2所述的移动设备可信接入方法,其特征在于,所述数字证书是指证明证书持有者身份的电子文件;所述数字证书包括普通证书和证书链两种;所述证书链包括证书发放者的证书,用来验证证书源的有效性。
5.如权利要求2所述的移动设备可信接入方法,其特征在于,所述CRL是指证书撤销列表;所述CRL中存储被撤销证书的序列号,通过网络访问CRL查询证书的序列号是否已被撤销。
6.如权利要求1所述的移动设备可信接入方法,其特征在于,所述设备接入主站是指设备通过自身持有的数字证书接入主站,设备接入主站时进行主站对设备的身份认证和设备对主站的身份认证。
7.如权利6所述的移动设备可信接入方法,其特征在于,所述主站对设备的身份认证是指主站检验设备证书的有效性,主站通过证书链和证书有效期验证设备持有的证书是合法的;主站通过查询CRL检验设备的证书是否被撤销。
8.如权利6所述的移动设备可信接入方法,其特征在于,所述设备对主站的身份认证是指设备检验主站证书的有效性,设备首先通过证书链和证书有效期验证主站的证书的合法性,其次设备通过主站连接CRL查询主站的证书是否被撤销。
9.如权利6所述的移动设备可信接入方法,其特征在于,所述设备接入主站包括下述步骤:
A、设备向主站发送证书;
B、检验设备向主站发送的证书是否合法:如果合法,则进行步骤C;否则返回步骤A;
C、减压横竖是否被撤销:如果被撤销,则进行步骤D;否则返回步骤A;
D、主站向设备发送证书;
E、检验主站向设备发送的证书是否合法:如果合法,则进行步骤F;否则返回步骤D;
F、设备发送主站证书序列号并查询随机码;
G、主站将证书序列号和随机码换发给CRL并签名;
H、所述CRL查询证书是否被撤销回复信息并签名给主站;
I、主站转发CRL回复信息给设备;
J、所述设备验证主站证书是否被撤销:如果被撤销,则进行步骤K;否则返回步骤I;
K、设备接入主站。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210294785.9A CN102833754B (zh) | 2012-08-17 | 2012-08-17 | 一种基于数字证书的移动设备可信接入方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210294785.9A CN102833754B (zh) | 2012-08-17 | 2012-08-17 | 一种基于数字证书的移动设备可信接入方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102833754A true CN102833754A (zh) | 2012-12-19 |
| CN102833754B CN102833754B (zh) | 2016-08-03 |
Family
ID=47336660
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210294785.9A Active CN102833754B (zh) | 2012-08-17 | 2012-08-17 | 一种基于数字证书的移动设备可信接入方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102833754B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102904731A (zh) * | 2012-09-11 | 2013-01-30 | 中国电力科学研究院 | 一种基于数字证书的移动设备可信接入方法 |
| CN103560889A (zh) * | 2013-11-05 | 2014-02-05 | 江苏先安科技有限公司 | 一种x509数字证书与证书应用之间的精确化身份认证方法 |
| CN106533691A (zh) * | 2016-10-18 | 2017-03-22 | 北京信安世纪科技有限公司 | 一种数字证书有效性的验证方法及装置 |
| CN108881252A (zh) * | 2018-06-28 | 2018-11-23 | 腾讯科技(深圳)有限公司 | 身份认证数据处理方法、装置、计算机设备和存储介质 |
| CN113660249A (zh) * | 2021-08-11 | 2021-11-16 | 国网河北省电力有限公司营销服务中心 | 用于电力物联网环境下的可信接入系统及方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101640886A (zh) * | 2008-07-29 | 2010-02-03 | 上海华为技术有限公司 | 鉴权方法、重认证方法和通信装置 |
| CN101674304A (zh) * | 2009-10-15 | 2010-03-17 | 浙江师范大学 | 一种网络身份认证系统及方法 |
| CN102143178A (zh) * | 2011-03-30 | 2011-08-03 | 天津大学 | 一种网络教学管理系统 |
| CN102202307A (zh) * | 2011-06-17 | 2011-09-28 | 刘明晶 | 基于数字证书的移动终端身份认证系统及方法 |
| CN102404347A (zh) * | 2011-12-28 | 2012-04-04 | 南京邮电大学 | 一种基于公钥基础设施的移动互联网接入认证方法 |
-
2012
- 2012-08-17 CN CN201210294785.9A patent/CN102833754B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101640886A (zh) * | 2008-07-29 | 2010-02-03 | 上海华为技术有限公司 | 鉴权方法、重认证方法和通信装置 |
| CN101674304A (zh) * | 2009-10-15 | 2010-03-17 | 浙江师范大学 | 一种网络身份认证系统及方法 |
| CN102143178A (zh) * | 2011-03-30 | 2011-08-03 | 天津大学 | 一种网络教学管理系统 |
| CN102202307A (zh) * | 2011-06-17 | 2011-09-28 | 刘明晶 | 基于数字证书的移动终端身份认证系统及方法 |
| CN102404347A (zh) * | 2011-12-28 | 2012-04-04 | 南京邮电大学 | 一种基于公钥基础设施的移动互联网接入认证方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102904731A (zh) * | 2012-09-11 | 2013-01-30 | 中国电力科学研究院 | 一种基于数字证书的移动设备可信接入方法 |
| CN103560889A (zh) * | 2013-11-05 | 2014-02-05 | 江苏先安科技有限公司 | 一种x509数字证书与证书应用之间的精确化身份认证方法 |
| CN103560889B (zh) * | 2013-11-05 | 2017-01-18 | 江苏先安科技有限公司 | 一种x509数字证书与证书应用之间的精确化身份认证方法 |
| CN106533691A (zh) * | 2016-10-18 | 2017-03-22 | 北京信安世纪科技有限公司 | 一种数字证书有效性的验证方法及装置 |
| CN108881252A (zh) * | 2018-06-28 | 2018-11-23 | 腾讯科技(深圳)有限公司 | 身份认证数据处理方法、装置、计算机设备和存储介质 |
| CN113660249A (zh) * | 2021-08-11 | 2021-11-16 | 国网河北省电力有限公司营销服务中心 | 用于电力物联网环境下的可信接入系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102833754B (zh) | 2016-08-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109167763B (zh) | 一种基于区块链的电力行业电子数据保全方法及系统 | |
| CN107770182B (zh) | 家庭网关的数据存储方法及家庭网关 | |
| CN103237038B (zh) | 一种基于数字证书的双向入网认证方法 | |
| US10680832B2 (en) | Computer apparatus for transmitting a certificate to a device in an installation | |
| CN111783068B (zh) | 设备认证方法、系统、电子设备及存储介质 | |
| CN106411528A (zh) | 一种基于隐式证书的轻量级认证密钥协商方法 | |
| CN110267270B (zh) | 一种变电站内传感器终端接入边缘网关身份认证方法 | |
| BRPI0902847A2 (pt) | método para efetuar uma troca de chave assimétrica, e, aparelho de comunicação veicular | |
| CN102833754A (zh) | 一种基于数字证书的移动设备可信接入方法 | |
| CN100561919C (zh) | 一种宽带接入用户认证方法 | |
| CN111740989A (zh) | 一种面向区块链的物联网芯片轻量级数据加密方法 | |
| CN102111265A (zh) | 一种电力系统采集终端的安全芯片加密方法 | |
| CN103095696A (zh) | 一种适用于用电信息采集系统的身份认证和密钥协商方法 | |
| CN111277549A (zh) | 一种采用区块链的安全服务方法与系统 | |
| US20140245409A1 (en) | Extension of the Attributes of a Credential Request | |
| CN101631114B (zh) | 一种基于公钥证书的身份鉴别方法及其系统 | |
| CN102281143B (zh) | 智能卡远程解锁系统 | |
| CN105450623A (zh) | 一种电动汽车的接入认证方法 | |
| CN108632042A (zh) | 一种基于对称密钥池的类aka身份认证系统和方法 | |
| CN115001717B (zh) | 一种基于标识公钥的终端设备认证方法及系统 | |
| CN107967597A (zh) | 电子证明处理、存储方法及装置、以及电子证明处理系统 | |
| CN108683506A (zh) | 一种数字证书申请方法、系统、雾节点和证书授权中心 | |
| CN108599932A (zh) | 一种用于电力系统的身份认证方法 | |
| CN113591103B (zh) | 一种电力物联网智能终端间的身份认证方法和系统 | |
| CN105472604A (zh) | 一种数字证书的状态处理方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information |
Inventor after: Liu Ying Inventor after: Liang Xiaobing Inventor after: Zhao Bing Inventor after: Lv Yingjie Inventor after: Xu Yinghui Inventor after: Di Feng Inventor after: Zhang Xin Inventor after: Li Baofeng Inventor after: Fu Yilun Inventor after: Sun Zhiqiang Inventor before: Liu Ying Inventor before: Liang Xiaobing Inventor before: Zhao Bing Inventor before: Lv Yingjie Inventor before: Xu Yinghui Inventor before: Di Feng Inventor before: Zhang Xin Inventor before: Li Baofeng Inventor before: Fu Yilun Inventor before: Sun Zhiqiang |
|
| CB03 | Change of inventor or designer information | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: INVENTOR; FROM: YU YEDONG LIU YICHUN DONG RUIYONG WEI QISHENG SHEN MINGYAN LI HONGQIANG LIU LIFANG HUANG LICHUN WEI LIN XI HAIBO TO: YU YEDONG LIU YICHUN DONG RUIYONG WEI QISHENG SHEN MINGYAN LI HONGQIANG ZHAO CHENGGAO HUANG LICHUN WEI LIN XI HAIBO |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |