CN105812139A - 一种安全认证方法及系统 - Google Patents
一种安全认证方法及系统 Download PDFInfo
- Publication number
- CN105812139A CN105812139A CN201410849958.8A CN201410849958A CN105812139A CN 105812139 A CN105812139 A CN 105812139A CN 201410849958 A CN201410849958 A CN 201410849958A CN 105812139 A CN105812139 A CN 105812139A
- Authority
- CN
- China
- Prior art keywords
- data command
- application server
- certification device
- harvester
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例公开了一种安全认证方法,应用于供热行业控制系统安全领域。一种安全认证方法包括应用服务器发送数据指令到认证装置加密;所述认证装置加密所述数据指令后发送到所述应用服务器;所述应用服务器发送所述数据指令到采集装置;所述采集装置解密所述数据指令,执行所述数据指令并返回加密后的所述数据指令执行结果到所述应用服务器;所述应用服务器发送所述加密后的所述数据指令执行结果到所述认证装置解密;所述认证装置接收并解密所述加密后的所述数据指令执行结果,发送解密后的所述数据指令执行结果到所述应用服务器;所述应用服务器接收所述解密后的所述数据指令执行结果。本发明提供的方法有效的解决了通信前密钥交换的问题。
Description
技术领域
本发明涉及供热行业控制系统安全领域,尤其涉及一种安全认证方法及系统。
背景技术
国家提出保障工业控制系统安全,加强核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要领域工业控制系统,以及物联网应用、数字城市建设中的安全防护和管理,重点对可能危及生命和公共财产安全的工业控制系统加强监督。
当前供热行业控制系统大部分采用公有协议明文传输,且大型工控设备被国外厂商占领市场,工业控制系统现场数据一旦被截取,将对工控系统造成很大的威胁,主要表现在通过模拟指令,模拟设备发出影响系统正常运行的指令,通过截取数据运行数据获取国家重要的战略计划。而现有的供热行业控制系统中数据传输时没有加密,数据的安全性低,而且不能实现实体间的双向身份鉴别不能有效阻止不符合安全要求的终端访问系统。
发明内容
本发明的目的在于解决现有技术中数据传输没有加密,且不能实现实体间双向身份鉴别以及不能有效阻止不符合安全要求的终端访问系统的问题。为解决上述问题,本发明实施例提供了一种安全认证方法及系统。
有鉴于此,本发明提供一种安全认证方法,可包括:
应用服务器发送数据指令到认证装置加密;
所述认证装置接收并加密所述应用服务器发送的所述数据指令,并将加密后的所述数据指令发送到所述应用服务器;
所述应用服务器接收所述认证装置加密后的所述数据指令并发送加密后的所述数据指令到采集装置;
所述采集装置接收并解密所述应用服务器发送的所述加密后的所述数据指令,执行所述数据指令并返回加密后的所述数据指令执行结果到所述应用服务器;
所述应用服务器接收所述采集装置返回的所述加密后的数据指令执行结果,并发送所述加密后的所述数据指令执行结果到所述认证装置解密;
所述认证装置接收并解密所述应用服务器发送的所述加密后的所述数据指令执行结果,发送解密后的所述数据指令执行结果到所述应用服务器;
所述应用服务器接收所述认证装置解密后的所述数据指令执行结果。
本发明还提供一种安全认证方法,其中,所述方法包括:
采集装置发送加密后的数据指令到应用服务器;
所述应用服务器接收所述数据指令并发送到认证装置;
所述认证装置接收并解密所述数据指令,并将解密后的所述数据指令发送到所述应用服务器;
所述应用服务器接收所述数据指令,执行所述数据指令并返回所述数据指令执行结果到所述认证装置加密;
所述认证装置接收所述数据指令执行结果并加密后发送所述数据指令执行结果到所述应用服务器;
所述应用服务器接收加密后的所述数据指令执行结果并发送到所述采集装置;
所述采集装置接收所述加密后的所述数据指令执行结果并解密得到解密后的所述数据指令执行结果。
本发明还提供一种应用于安全认证方法的安全认证系统,其中,所述系统包括:
应用服务器,采集装置和认证装置,
所述应用服务器用于发送数据指令到所述认证装置加密,接收所述认证装置加密后的所述数据指令并发送所述加密后的所述数据指令到所述采集装置,还用于接收所述采集装置返回的加密后的所述数据指令执行结果,并发送所述加密后的所述数据指令执行结果到所述认证装置解密,接收所述认证装置解密后的所述数据指令执行结果,
所述采集装置用于接收并解密所述应用服务器发送的所述数据指令,执行所述数据指令并返回加密后的所述数据指令执行结果到所述应用服务器;
所述认证装置用于接收并加密所述应用服务器发送的所述数据指令,并将加密后的所述数据指令发送到所述应用服务器,还用于接收并解密所述应用服务器发送的所述数据指令执行结果,发送解密后的所述数据指令执行结果到所述应用服务器,
所述应用服务器与所述认证装置通信连接,所述采集装置与所述应用服务器通信连接。
本发明还提供一种应用于安全认证方法的安全认证系统,其中,所述系统包括:
应用服务器,采集装置和认证装置,
所述应用服务器用于接收所述采集装置发送的加密后的数据指令并发送到所述认证装置,接收所述认证装置解密后的所述数据指令并执行所述数据指令返回所述数据指令执行结果到所述认证装置解密,还用于接收所述认证装置发送的加密后的所述数据指令执行结果并发送道所述采集装置,
所述采集装置用于发送加密后的数据指令到所述应用服务器,还用于接收所述应用服务器加密后的所述数据指令执行结果并解密得到解密后的所述数据指令执行结果,
所述认证装置用于接收所述应用服务器发送的加密后的所述数据指令并解密所述数据指令后发送到所述应用服务器,还用于接收所述应用服务器返回的所述数据指令执行结果并加密后发送到所述应用服务器,
所述应用服务器与所述认证装置通信连接,所述采集装置与所述应用服务器通信连接。
本发明提供的一种安全认证方法及系统,通过采用在线更新设备数字证书,采用数字信封、非对称算法等技术实现整个认证机制,实现实体间的双向身份鉴别,有效阻止不符合要求的终端访问系统,解决了现有技术中供热行业的数据传输没有加密的问题,提高了供热行业中数据传输的安全性。
附图说明
图1为本发明实施例1提供的一种安全认证方法的流程图;
图2为本发明实施例2提供的一种安全认证方法的结构框图;
图3为本发明实施例3提供的一种安全认证方法的流程图。
具体实施方式
本发明实施例提供了一种安全认证方法,能够解决现有技术中不能实现实体间的双向身份鉴别不能有效阻止不符合安全要求的终端访问系统的问题。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
请参阅图1,为本发明提供的一种安全认证方法实施例1的流程图,本实施例具体可以包括:
S101、应用服务器发送数据指令到认证装置加密;
S102、所述认证装置接收并加密所述应用服务器发送的所述数据指令,并将加密后的所述数据指令发送到所述应用服务器;
S103、所述应用服务器接收所述认证装置加密后的所述数据指令并发送加密后的所述数据指令到采集装置;
S104、所述采集装置接收并解密所述应用服务器发送的所述加密后的所述数据指令,执行所述数据指令并返回加密后的所述数据指令执行结果到所述应用服务器;
S105、所述应用服务器接收所述采集装置返回的所述加密后的数据指令执行结果,并发送所述加密后的所述数据指令执行结果到所述认证装置解密;
S106、所述认证装置接收并解密所述应用服务器发送的所述加密后的所述数据指令执行结果,发送解密后的所述数据指令执行结果到所述应用服务器;
S107、所述应用服务器接收所述认证装置解密后的所述数据指令执行结果。
为了更清楚的理解一种安全认证方法的实现过程,下面详细描述具体步骤的实现方式。
S101、应用服务器发送数据指令到认证装置加密;
具体的,所述应用服务器发送所述数据指令到所述认证装置,让所述认证装置对所述数据指令进行加密;
S102、所述认证装置接收并加密所述应用服务器发送的所述数据指令,并将加密后的所述数据指令发送到所述应用服务器;
具体的,所述认证装置接收到所述应用服务器发送过来的所述数据指令后对所述数据指令进行加密并将加密后的所述数据指令再发送到所述应用服务器;
S103、所述应用服务器接收所述认证装置加密后的所述数据指令并发送加密后的所述数据指令到采集装置;
具体的,所述应用服务器接收由所述认证装置加密后的所述数据指令,并将接收到的加密后的所述数据指令发送到所述采集装置;
S104、所述采集装置接收并解密所述应用服务器发送的所述加密后的所述数据指令,执行所述数据指令并返回加密后的所述数据指令执行结果到所述应用服务器;
具体的,所述采集装置接收由所述应用服务器发送过来的所述加密后的数据指令,并对所述加密后的数据指令进行解密得到解密后的所述数据指令,所述采集装置执行所述数据指令内容并将执行后的所述数据指令执行结果进行加密并返回到所述应用服务器;
S105、所述应用服务器接收所述采集装置返回的所述加密后的数据指令执行结果,并发送所述加密后的所述数据指令执行结果到所述认证装置解密;
具体的,所述应用服务器接收所述采集装置返回的加密后的所述数据指令执行结果,并将该加密后的所述数据指令执行结果发送到所述认证装置;
S106、所述认证装置接收并解密所述应用服务器发送的所述加密后的所述数据指令执行结果,发送解密后的所述数据指令执行结果到所述应用服务器;
具体的,所述认证装置接收所述应用服务器发送的所述加密后的所述数据指令执行结果并对该加密后的所述数据指令执行结果进行解密,最后将解密后的所述数据指令执行结果再发送到所述应用服务器;
S107、所述应用服务器接收所述认证装置解密后的所述数据指令执行结果。
具体的,所述应用服务器接收到所述解密后的所述数据指令执行结果后即清楚了所述采集装置对所述应用服务器最初发送的所述数据指令的执行结果。
本发明实施例中,针对现有技术中不能实现实体间的双向身份鉴别不能有效阻止不符合安全要求的终端访问系统的问题提出了一种安全认证方法,通过采用在线更新设备数字证书,采用数字信封、非对称算法等技术实现整个认证机制,实现实体间的双向身份鉴别,有效阻止不符合要求的终端访问系统,解决了现有技术中供热行业的数据传输没有加密的问题,提高了供热行业中数据传输的安全性。
为了便于对本发明提供的一种方法的有益效果有一个更直观的理解,本发明还提供了实施例2,结合图1和图2,一种安全认证方法,所述方法的具体步骤如下:
S101、应用服务器发送数据指令到认证装置加密;
具体的,所述应用服务器发送所述数据指令到所述认证装置,让所述认证装置对所述数据指令进行加密,可以参照附图2所示,所述应用服务器A发送所述数据指令到所述认证装置SP进行加密,图2中的1对应着此过程。
这里我们可以理解的是,所述应用服务器向所述认证装置发送所述数据指令的同时会有一些所述应用服务器与所述认证装置通信时的一些通信信息一起发送,且所述认证装置可以是内置在所述应用服务器中的,也可以是第三方的认证装置,因此相应的通信信息也是不同的。
优选的,本发明所述方法应用于热监控系统时,所述应用服务器下发调控指令,则所述数据指令具体可为所述应用服务器向所述采集装置下发的调控指令。
S102、所述认证装置接收并加密所述应用服务器发送的所述数据指令,并将加密后的所述数据指令发送到所述应用服务器;
具体的,所述认证装置接收到所述应用服务器发送过来的所述数据指令后对所述数据指令进行加密并将加密后的所述数据指令再发送到所述应用服务器,参照图2所示,所述认证装置SP在对所述应用服务器A发送过来的所述数据指令加密后再将所述加密后的所述数据指令发送到所述应用服务器A,图2中的2对应着此过程。
优选的,在用热监控系统中,所述认证装置先对所述应用服务器下发的所述调控指令进行加密,然后再将加密后的所述调控指令返回到所述应用服务器中。
需要说明的是,所述认证装置对所述数据指令加密时所需的密钥为对称密钥,因此所述认证装置的对称密钥获取包括:
所述采集装置发送附加数字签名的采集装置随机数到所述应用服务器并通过所述应用服务器将所述附加数字签名的采集装置随机数发送到所述认证装置;
所述认证装置接收到所述附加数字签名的采集装置随机数后,通过数字签名验证获取到所述采集装置随机数,并与所述认证装置随机数做密钥分散生成所述认证装置的对称密钥。
具体的,所述采集装置发送的所述采集装置随机数是经过数字签名的,在所述应用服务器接收到经过数字签名后的所述采集装置随机数后将该随机数发送到所述认证装置;而所述认证装置接收到经过数字签名后的所述采集装置随机数后,通过对该数字签名后的所述采集装置随机数进行数字签名验证通过后获取到该所述采集装置随机数,并且将获取到的所述采集装置随机数与所述认证装置随机数做密钥分散生成一个随机的所述认证装置的对称密钥。
S103、所述应用服务器接收所述认证装置加密后的所述数据指令并发送加密后的所述数据指令到采集装置;
具体的,所述应用服务器接收由所述认证装置加密后的所述数据指令,并将接收到的加密后的所述数据指令发送到所述采集装置,参照附图2所示,所述应用服务器A接收到所述认证装置SP加密后的所述数据指令后将该数据指令发送到所述采集装置B,图2中的3对应此过程。
优选的,在用热监控系统中,所述应用服务器接收到加密后的所述调控指令后发送到所述采集装置进行执行。
S104、所述采集装置接收并解密所述应用服务器发送的所述加密后的所述数据指令,执行所述数据指令并返回加密后的所述数据指令执行结果到所述应用服务器;
具体的,所述采集装置接收由所述应用服务器发送过来的所述加密后的数据指令,并对所述加密后的数据指令进行解密得到解密后的所述数据指令,所述采集装置执行所述数据指令内容并将执行后的所述数据指令执行结果进行加密并返回到所述应用服务器,由附图2所示,所述采集装置B接收到所述应用服务器A发送过来的所述加密后的数据指令后,对该加密后的所述数据指令进行解密,得到解密后的所述数据指令,所述采集装置B得到所述数据指令后根据所述数据指令的内容执行所述数据指令,并将执行后的所述数据指令结果进行加密返回到所述应用服务器A。
优选的,在用热监控领域,所述采集装置在接收到所述调控指令后先对其解密,然后再执行指令内容,如对某一设备的温度进行调节等内容,执行完后将会向所述应用服务器返回执行的结果,但还需要对执行的结果加密后再返回到所述应用服务器。
需要说明的是,所述采集装置对加密的所述数据指令解密以及对所述数据指令结果进行加密时所需的密钥为对称密钥,所述采集装置的对称密钥的获取包括:
所述认证装置发送附加数字签名的认证装置随机数到所述应用服务器并通过所述应用服务器将所述附加数字签名的认证装置随机数发送到所述采集装置;
所述采集装置接收到所述附加数字签名的认证装置随机数后,通过数字签名验证获取得到所述认证装置随机数,并与所述采集装置随机数做密钥分散生成所述采集装置的对称密钥。
需要说明的是,所述认证装置发送的所述认证装置随机数是经过数字签名的,所述认证装置将该随机数发送到所述应用服务器后所述应用服务器发送该经过该数字签名的所述认证装置随机数到所述采集装置,所述采集装置接收到经数字签名后的所述随机数后,只有在通过了数字签名验证后获取到所述认证装置随机数,并与所述采集装置随机数做密钥分散最终生成一个随机的所述采集装置的对称密钥。
此处还需要说明的是,所述认证装置的对称密钥和所述采集装置的对称密钥为相同的对称密钥。所述对称密钥的获取除了在最初第一次进行数据传输过程中需要外,在每次数据传输过程中出现断电情况时都需要重新获取对称密钥,因此,所述认证装置的对称密钥和所述采集装置的对称密钥的获取是在所述数据传输过程中没断电一次都需要重新获取一次对称密钥。
S105、所述应用服务器接收所述采集装置返回的所述加密后的数据指令执行结果,并发送所述加密后的所述数据指令执行结果到所述认证装置解密;
具体的,所述应用服务器接收所述采集装置返回的加密后的所述数据指令执行结果,并将该加密后的所述数据指令执行结果发送到所述认证装置,参照附图2所示,所述应用服务器A在接收到所述采集装置B返回的所述加密后的数据指令执行结果后,发送该加密的数据指令执行结果到所述认证装置SP进行解密,图2中的4和5对应此过程。
优选的,在用热监控系统中所述应用服务器接收到所述采集装置返回的执行结果后需要先发送到所述认证装置进行解密才能得知具体结果。
S106、所述认证装置接收并解密所述应用服务器发送的所述加密后的所述数据指令执行结果,发送解密后的所述数据指令执行结果到所述应用服务器;
具体的,所述认证装置接收所述应用服务器发送的所述加密后的所述数据指令执行结果并对该加密后的所述数据指令执行结果进行解密,最后将解密后的所述数据指令执行结果再发送到所述应用服务器,如图2所示,所述认证装置SP接收到所述应用服务器A发送过来的所述加密后的所述数据指令执行结果并对该所述数据指令执行结果进行解密,并将解密后的所述数据指令执行结果再发送到所述应用服务器A,图2中的6对应此过程。
优选的,在用热监控系统中,所述认证装置对所述应用服务器发送过来的加密的执行结果进行解密,将解密后的执行结果发送给所述应用服务器。
此处需要说明的是,所述认证装置对所述数据指令结果的解密所需的密钥同为所述对称密钥,所述对称密钥的获取过程与上述步骤中的获取过程相同,可参照上述步骤,此处不再赘述。
S107、所述应用服务器接收所述认证装置所述解密后的所述数据指令执行结果。
具体的,所述应用服务器接收到所述解密后的所述数据指令执行结果后即清楚了所述采集装置对所述应用服务器最初发送的所述数据指令的执行结果,参照附图2所示,所述应用服务器A接收到由所述认证装置SP解密后的所述数据指令执行结果,便知道了最初所述应用服务器发送给所述采集装置的所述数据指令后,所述采集装置对所述数据指令的执行情况。
优选的,在用热监控系统中,所述应用服务器接收到解密后的执行结果后便得知了所述采集装置对所述应用服务器最初发送的所述调控指令的执行情况。
可以理解的是,所述应用服务器在对所述采集装置发送所述数据指令前,所述应用服务器已经通过所述认证装置对所述采集装置的身份进行了验证,即所述认证装置对所述采集装置认证成功,此过程也可称为所述采集装置的注册过程,即所述采集装置将注册信息发送到所述应用服务器,这里的注册信息可以包括所述采集装置的设备信息和根证书的信息,所述应用服务器将该注册信息发送到所述认证装置,所述认证装置对该注册信息进行验证,验证过程是用所述采集装置的公钥对该信息进行签名验证,目的是为了验证所述采集装置的根证书的合法性和有效性,如果所述采集装置是第一次向所述认证装置注册,即所述证书信息为根证书,则在所述采集装置通过所述认证装置的验证后,所述认证装置会给所述采集装置下发新的证书,且所述新的证书是所述认证装置下发后通过所述应用服务器转发到所述采集装置,所述采集装置对该新证书进行数字签名验证后,若该数字签名验证通过,则所述采集装置注册成功。如果所述采集装置发送的注册信息中的证书不是根证书,即所述采集装置不是第一次向所述认证装置注册,则在所述认证装置对所述采集装置的证书信息进行签名验证通过后,所述采集装置便注册成功。
所述采集装置和所述认证装置通信时相互发送的信息是数字签名验证的,数字签名验证的公钥和私钥在系统初始化时已经生成了。
所述采集装置注册成功,则说明所述采集装置通过了所述认证装置对其的验证,这样所述采集装置和所述应用服务器之间才可以进行后续的通信。此处的所述认证装置可以是内置与所述应用服务器中也可以是独立的第三方。
本发明还提供了一种安全认证方法的实施例3,参照附图3所示,所述方法可包括:
S301、采集装置发送加密后的数据指令到应用服务器;
具体的,所述采集装置加密要发送的所述数据指令然后发送到所述应用服务器中。
S302、所述应用服务器接收所述数据指令并发送到认证装置;
具体的,所述应用服务器接收由所述采集装置发送过来的所述数据指令并将该数据指令发送到所述认证装置。
S303、所述认证装置接收并解密所述数据指令,并将解密后的所述数据指令发送到所述应用服务器;
具体的,所述认证装置接收到所述数据指令后对所述数据指令进行解密,并将解密后的所述数据指令发送到所述应用服务器。
S304、所述应用服务器接收所述数据指令,执行所述数据指令并返回所述数据指令执行结果到所述认证装置加密;
具体的,所述应用服务器接收到由所述认证装置解密后的所述数据指令后,执行所述数据指令的内容,优选的,在用热监控领域,所述数据指令内容可以是显示监控信息,如温度等,在所述应用服务器会在显示屏上显示出监控的温度等信息,所述应用服务器执行完该数据指令后会发送一个执行后的数据指令执行结果即要告知所述采集装置所述数据指令已经执行完毕,则此时,所述应用服务器会发送所述数据指令执行结果到所述认证装置进行加密。
S305、所述认证装置接收所述数据指令执行结果并加密后发送所述数据指令执行结果到所述应用服务器;
具体的,所述认证装置对所述应用服务器发送的所述数据指令执行结果进行加密并将加密后的所述数据指令执行结果再次发送到所述应用服务器。
S306、所述应用服务器接收加密后的所述数据指令执行结果并发送到所述采集装置;
具体的,所述应用服务器接收到所述认证装置发送的所述加密后的所述数据指令执行结果后将该数据指令执行结果发送到所述采集装置。
S307、所述采集装置接收所述加密后的所述数据指令执行结果并解密得到解密后的所述数据指令执行结果。
具体的,所述采集装置接收所述应用服务器发送过来的加密后的所述数据指令执行结果,并进行解密,得到解密后的所述数据执行执行结果,即得知了所述应用服务器想要告知的内容。
这里需要说明的是,所述采集装置对所述数据指令和所述数据指令执行结果的加解密以及所述认证装置对所述数据指令和所述数据指令执行结果的加解密所需要的密钥同为对称密钥,且该对称密钥的获取过程与实施例2中的对称密钥的获取过程相同,可以参考实施例2的描述,此处不再赘述。
本发明针对实施例1和2所述的安全认证方法提供了一种适用于所述安全认证方法的安全认证系统的实施例4,所述系统可包括:
应用服务器,采集装置和认证装置,
所述应用服务器用于发送数据指令到所述认证装置加密,接收所述认证装置加密后的所述数据指令并发送所述加密后的所述数据指令到所述采集装置,还用于接收所述采集装置返回的加密后的所述数据指令执行结果,并发送所述加密后的所述数据指令执行结果到所述认证装置解密,接收所述认证装置解密后的所述数据指令执行结果,
所述采集装置用于接收并解密所述应用服务器发送的所述数据指令,执行所述数据指令并返回加密后的所述数据指令执行结果到所述应用服务器;
所述认证装置用于接收并加密所述应用服务器发送的所述数据指令,并将加密后的所述数据指令发送到所述应用服务器,还用于接收并解密所述应用服务器发送的所述数据指令执行结果,发送解密后的所述数据指令执行结果到所述应用服务器,
所述应用服务器与所述认证装置通信连接,所述采集装置与所述应用服务器通信连接。
具体的,所述应用服务器用于在发送数据指令到所述认证装置加密后,所述认证装置用于接收并加密所述应用服务器发送的所述数据指令,并将加密后的所述数据指令发送到所述应用服务器,所述应用服务器用于接收所述认证装置加密后的所述数据指令并发送所述加密后的所述数据指令到所述采集装置,所述采集装置用于接收并解密所述应用服务器发送的所述数据指令,执行所述数据指令并返回加密后的所述数据指令执行结果到所述应用服务器,所述应用服务器还用于接收所述采集装置返回的加密后的所述数据指令执行结果,并发送所述加密后的所述数据指令执行结果到所述认证装置解密,还用于接收并解密所述应用服务器发送的所述数据指令执行结果,发送解密后的所述数据指令执行结果到所述应用服务器,所述应用服务器接收所述认证装置解密后的所述数据指令执行结果。
所述系统的工作过程在实施例1和2中已有详细的描述,可以参照其中的描述,此处不再赘述。
本发明针对实施例3所述的安全认证方法还提供了一种应用于所述安全认证方法的安全认证系统的实施例5,所述系统可包括:
应用服务器,采集装置和认证装置,
所述应用服务器用于接收所述采集装置发送的加密后的数据指令并发送到所述认证装置,接收所述认证装置解密后的所述数据指令并执行所述数据指令返回所述数据指令执行结果到所述认证装置解密,还用于接收所述认证装置发送的加密后的所述数据指令执行结果并发送到所述采集装置,
所述采集装置用于发送加密后的数据指令到所述应用服务器,还用于接收所述应用服务器加密后的所述数据指令执行结果并解密得到解密后的所述数据指令执行结果,
所述认证装置用于接收所述应用服务器发送的加密后的所述数据指令并解密所述数据指令后发送到所述应用服务器,还用于接收所述应用服务器返回的所述数据指令执行结果并加密后发送到所述应用服务器,
所述应用服务器与所述认证装置通信连接,所述采集装置与所述应用服务器通信连接。
具体的,所述采集装置用于发送加密后的数据指令到所述应用服务器,所述应用服务器用于接收所述采集装置发送的加密后的数据指令并发送到所述认证装置,所述认证装置用于接收所述应用服务器发送的加密后的所述数据指令并解密所述数据指令后发送到所述应用服务器,所述应用服务器用于接收所述认证装置解密后的所述数据指令并执行所述数据指令返回所述数据指令执行结果到所述认证装置解密,所述认证装置还用于接收所述应用服务器返回的所述数据指令执行结果并加密后发送到所述应用服务器,所述应用服务器还用于接收所述认证装置发送的加密后的所述数据指令执行结果并发送到所述采集装置,所述采集装置还用于接收所述应用服务器加密后的所述数据指令执行结果并解密得到解密后的所述数据指令执行结果。
所述系统的工作过程在实施例3中已有详细的描述,可以参照其中的描述,此处不再赘述。
本发明实施例中,针对现有技术中不能实现实体间双向身份鉴别以及不能有效阻止不符合安全要求的终端访问系统的问题,本发明提供了一种安全认证方法及系统,通过采用在线更新设备数字证书,采用数字信封、非对称算法等技术实现整个认证机制,实现实体间的双向身份鉴别,有效阻止不符合要求的终端访问系统,解决了现有技术中供热行业的数据传输没有加密的问题,提高了供热行业中数据传输的安全性。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (9)
1.一种安全认证方法,其特征在于,所述方法包括:
应用服务器发送数据指令到认证装置加密;
所述认证装置接收并加密所述应用服务器发送的所述数据指令,并将加密后的所述数据指令发送到所述应用服务器;
所述应用服务器接收所述认证装置加密后的所述数据指令并发送加密后的所述数据指令到采集装置;
所述采集装置接收并解密所述应用服务器发送的所述加密后的所述数据指令,执行所述数据指令并返回加密后的所述数据指令执行结果到所述应用服务器;
所述应用服务器接收所述采集装置返回的所述加密后的数据指令执行结果,并发送所述加密后的所述数据指令执行结果到所述认证装置解密;
所述认证装置接收并解密所述应用服务器发送的所述加密后的所述数据指令执行结果,发送解密后的所述数据指令执行结果到所述应用服务器;
所述应用服务器接收所述认证装置解密后的所述数据指令执行结果。
2.根据权利要求1所述的方法,其特征在于,所述认证装置加密及解密所述数据指令或所述数据指令执行结果所需的密钥与所述采集装置加密及解密所述数据指令或所述数据指令执行结果所需的密钥为对称密钥。
3.根据权利要求2所述的方法,其特征在于,所述认证装置的对称密钥的获取包括:
所述采集装置发送附加数字签名的采集装置随机数到所述应用服务器并通过所述应用服务器将所述附加数字签名的采集装置随机数发送到所述认证装置;
所述认证装置接收到所述附加数字签名的采集装置随机数后,通过数字签名验证获取到所述采集装置随机数,并与所述认证装置随机数做密钥分散生成所述认证装置的对称密钥。
4.根据权利要求2所述的方法,其特征在于,所述采集装置的对称密钥的获取包括:
所述认证装置发送附加数字签名的认证装置随机数到所述应用服务器并通过所述应用服务器将所述附加数字签名的认证装置随机数发送到所述采集装置;
所述采集装置接收到所述附加数字签名的认证装置随机数后,通过数字签名验证获取得到所述认证装置随机数,并与所述采集装置随机数做密钥分散生成所述采集装置的对称密钥。
5.根据权利要求2所述的方法,其特征在于,在所述数据传输过程中每断电一次都需要重新获取一次对称密钥。
6.根据权利要求1所述的方法,其特征在于,所述应用服务器发送所述数据指令或所述数据指令执行结果到所述认证装置时还包括发送所述应用服务器与所述认证装置通信的加权信息到所述认证装置,所述应用服务器与发送所述数据指令或数据指令执行结果到所述采集装置时还包括发送所述应用服务器与所述采集装置通信的加权信息到所述采集装置。
7.一种安全认证方法,其特征在于,所述方法包括:
采集装置发送加密后的数据指令到应用服务器;
所述应用服务器接收所述数据指令并发送到认证装置;
所述认证装置接收并解密所述数据指令,并将解密后的所述数据指令发送到所述应用服务器;
所述应用服务器接收所述数据指令,执行所述数据指令并返回所述数据指令执行结果到所述认证装置加密;
所述认证装置接收所述数据指令执行结果并加密后发送所述数据指令执行结果到所述应用服务器;
所述应用服务器接收加密后的所述数据指令执行结果并发送到所述采集装置;
所述采集装置接收所述加密后的所述数据指令执行结果并解密得到解密后的所述数据指令执行结果。
8.一种应用于权利要求1-7所述方法的安全认证系统,其特征在于,所述系统包括:
应用服务器,采集装置和认证装置,
所述应用服务器用于发送数据指令到所述认证装置加密,接收所述认证装置加密后的所述数据指令并发送所述加密后的所述数据指令到所述采集装置,还用于接收所述采集装置返回的加密后的所述数据指令执行结果,并发送所述加密后的所述数据指令执行结果到所述认证装置解密,接收所述认证装置解密后的所述数据指令执行结果,
所述采集装置用于接收并解密所述应用服务器发送的所述数据指令,执行所述数据指令并返回加密后的所述数据指令执行结果到所述应用服务器;
所述认证装置用于接收并加密所述应用服务器发送的所述数据指令,并将加密后的所述数据指令发送到所述应用服务器,还用于接收并解密所述应用服务器发送的所述数据指令执行结果,发送解密后的所述数据指令执行结果到所述应用服务器,
所述应用服务器与所述认证装置通信连接,所述采集装置与所述应用服务器通信连接。
9.一种应用于权利要求8所述方法的安全认证系统,其特征在于,所述系统包括:
应用服务器,采集装置和认证装置,
所述应用服务器用于接收所述采集装置发送的加密后的数据指令并发送到所述认证装置,接收所述认证装置解密后的所述数据指令并执行所述数据指令返回所述数据指令执行结果到所述认证装置解密,还用于接收所述认证装置发送的加密后的所述数据指令执行结果并发送道所述采集装置,
所述采集装置用于发送加密后的数据指令到所述应用服务器,还用于接收所述应用服务器加密后的所述数据指令执行结果并解密得到解密后的所述数据指令执行结果,
所述认证装置用于接收所述应用服务器发送的加密后的所述数据指令并解密所述数据指令后发送到所述应用服务器,还用于接收所述应用服务器返回的所述数据指令执行结果并加密后发送到所述应用服务器,
所述应用服务器与所述认证装置通信连接,所述采集装置与所述应用服务器通信连接。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410849958.8A CN105812139B (zh) | 2014-12-31 | 2014-12-31 | 一种安全认证方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410849958.8A CN105812139B (zh) | 2014-12-31 | 2014-12-31 | 一种安全认证方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105812139A true CN105812139A (zh) | 2016-07-27 |
CN105812139B CN105812139B (zh) | 2019-10-25 |
Family
ID=56420619
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410849958.8A Active CN105812139B (zh) | 2014-12-31 | 2014-12-31 | 一种安全认证方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105812139B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107689867A (zh) * | 2017-09-08 | 2018-02-13 | 南相浩 | 一种在开放环境下的密钥保护方法和系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1026898A1 (en) * | 1999-02-04 | 2000-08-09 | CANAL+ Société Anonyme | Method and apparatus for encrypted transmission |
CN101141747A (zh) * | 2007-10-26 | 2008-03-12 | 北京握奇数据系统有限公司 | 一种基于位置服务的电信智能卡、数据业务系统及方法 |
CN102118385A (zh) * | 2010-12-14 | 2011-07-06 | 北京握奇数据系统有限公司 | 安全域的管理方法和装置 |
CN103281297A (zh) * | 2013-04-22 | 2013-09-04 | 北京奇虎科技有限公司 | 企业信息安全管理系统与方法 |
CN103475478A (zh) * | 2013-09-03 | 2013-12-25 | 广东电网公司电力科学研究院 | 终端安全防护方法和设备 |
-
2014
- 2014-12-31 CN CN201410849958.8A patent/CN105812139B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1026898A1 (en) * | 1999-02-04 | 2000-08-09 | CANAL+ Société Anonyme | Method and apparatus for encrypted transmission |
CN101141747A (zh) * | 2007-10-26 | 2008-03-12 | 北京握奇数据系统有限公司 | 一种基于位置服务的电信智能卡、数据业务系统及方法 |
CN102118385A (zh) * | 2010-12-14 | 2011-07-06 | 北京握奇数据系统有限公司 | 安全域的管理方法和装置 |
CN103281297A (zh) * | 2013-04-22 | 2013-09-04 | 北京奇虎科技有限公司 | 企业信息安全管理系统与方法 |
CN103475478A (zh) * | 2013-09-03 | 2013-12-25 | 广东电网公司电力科学研究院 | 终端安全防护方法和设备 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107689867A (zh) * | 2017-09-08 | 2018-02-13 | 南相浩 | 一种在开放环境下的密钥保护方法和系统 |
CN107689867B (zh) * | 2017-09-08 | 2019-12-10 | 晋商博创(北京)科技有限公司 | 一种在开放环境下的密钥保护方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN105812139B (zh) | 2019-10-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109257327B (zh) | 一种配电自动化系统的通信报文安全交互方法及装置 | |
CN108390851B (zh) | 一种用于工业设备的安全远程控制系统及方法 | |
CN112887338B (zh) | 一种基于ibc标识密码的身份认证方法和系统 | |
CN107046531B (zh) | 监测终端的数据接入电力信息网络的数据处理方法及系统 | |
CN104158653B (zh) | 一种基于商密算法的安全通信方法 | |
CN106603485A (zh) | 密钥协商方法及装置 | |
CN108768930A (zh) | 一种数据的加密传输方法 | |
US11323433B2 (en) | Digital credential management method and device | |
CN105790938A (zh) | 基于可信执行环境的安全单元密钥生成系统及方法 | |
CN102111265A (zh) | 一种电力系统采集终端的安全芯片加密方法 | |
CN111552270B (zh) | 用于车载诊断的安全认证和数据传输方法及装置 | |
CN101738516A (zh) | 一种电子式电能表数据安全传输的方法及电能表装置 | |
CN103036880A (zh) | 网络信息传输方法、设备及系统 | |
CN106534123B (zh) | 一种基于eoc网络的数据安全传输方法及系统 | |
CN104424446A (zh) | 一种安全认证和传输的方法和系统 | |
CN104902469A (zh) | 一种面向输电线路无线通信网络的安全通信方法 | |
CN111147257A (zh) | 身份认证和信息保密的方法、监控中心和远程终端单元 | |
CN107707562A (zh) | 一种非对称动态令牌加、解密算法的方法、装置 | |
CN114500064B (zh) | 一种通信安全验证方法、装置、存储介质及电子设备 | |
CN109922022A (zh) | 物联网通信方法、平台、终端和系统 | |
CN108199851B (zh) | 一种数据安全传输方法、装置及系统 | |
CN105191332A (zh) | 用于在未压缩的视频数据中嵌入水印的方法和设备 | |
CN103281324A (zh) | 一种Android客户端的安全通信方法 | |
CN105915345A (zh) | 一种家庭网关设备生产测试中授权生产和改制的实现方法 | |
CN105812139A (zh) | 一种安全认证方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |