CN109474613A - 一种基于身份认证的高速公路信息发布专网安全加固系统 - Google Patents
一种基于身份认证的高速公路信息发布专网安全加固系统 Download PDFInfo
- Publication number
- CN109474613A CN109474613A CN201811510163.9A CN201811510163A CN109474613A CN 109474613 A CN109474613 A CN 109474613A CN 201811510163 A CN201811510163 A CN 201811510163A CN 109474613 A CN109474613 A CN 109474613A
- Authority
- CN
- China
- Prior art keywords
- companion
- certificate
- information
- security
- access gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
一种基于身份认证的高速公路信息发布专网安全加固系统,包括通讯终端、终端安全伴侣、安全接入网关、通讯服务器、CA认证服务器,其中,终端安全伴侣与情报板主控板之间采用专用接头固化连接,通过网络接口连接通讯服务器和CA认证服务器,安全接入网关旁路接入通讯服务器与终端安全伴侣之间,从通讯服务器发布的信息直接经安全接入网关做数字签名,然后发到终端安全伴侣做验签,即所有的安全功能通过终端安全伴侣与安全接入网关实现,实现发布信息的签名验签、消息转发、证书初始化等安全功能,保证发布信息的不可否认与完整性,防止非授权篡改。
Description
技术领域
本发明涉及高速公路信息发布系统,尤其是一种基于身份认证的高速公路信息发布专网安全加固系统。
背景技术
高速公路信息发布系统是高速公路交通管理者向道路使用者提供信息的重要平台,其信息发布准确、及时与否,不仅关系到整个交通信息发布系统的可信度,更直接影响高速公路行车安全,因此必须对发布信息“采集—处理—发布—撤销”全部过程进行管理;高速公路信息发布系统平台包括服务端、客户端、数据库、总线服务及通讯服务5部分,就目前发布系统而言,存在以下安全隐患:非法用户登录信息发布系统、发布终端进行业务操作(包括网络侵入、病毒攻击导致的提权攻击);通过偏僻位置线路接入,侦听分析数据流进行的发布信息篡改;外场情报板设备的非授权访问(通过维护终端接入情报板主控);发布系统的集中管控与日志审计、跟踪,实现监测预警与信息通报。
发明内容
为了解决现有技术的不足,本发明提供了,一种基于身份认证的高速公路信息发布专网安全加固系统,该一种基于身份认证的高速公路信息发布专网安全加固系统加强信息发布系统身份管理与访问控制,加强线路传输数据认证加密, 加强终端设备物理安全防护,从而达到实现关键信息基础设施的运行安全、监测预警目标,确保情报板业务安全、稳定、持续运行的目的。
本发明解决其问题的技术方案是,包括通讯终端、终端安全伴侣、安全接入网关、通讯服务器、CA认证服务器,其中,终端安全伴侣与情报板主控板之间采用专用接头固化连接,通过网络接口连接通讯服务器和CA认证服务器,安全接入网关旁路接入通讯服务器与终端安全伴侣之间,从通讯服务器发布的信息直接经安全接入网关做数字签名,然后发到终端安全伴侣做验签,即所有的安全功能通过终端安全伴侣与安全接入网关实现,实现发布信息的签名验签、消息转发、证书初始化等安全功能,保证发布信息的不可否认与完整性,防止非授权篡改;
该一种基于身份认证的高速公路信息发布专网安全加固系统的实现过程包括初始阶段和运行管理阶段,具体为:
初始阶段:
a、对于接入专网的终端安全伴侣和安全接入网关,首先向专网中的CA服务器提供证书主题、证书序列号等信息,由CA服务器生成设备唯一的证书文件,包括根CA信息和设备公钥,私钥等内容;
b、运维人员使用由统一的CA证书管理系统所独立签发的人员证书,该人员证书信息及密钥存储与硬件USBKey设备中,初始阶段运维人员需使用USBkey进行终端安全伴侣和安全接入网关的参数配置;对初次登录维护软件设置安全伴侣的运维人员,采用自动添加进入用户列表方式,设置当前USBkey硬件内存储人员信息为初始运维人员;对于初次登录安全接入网关管理界面的运维人员需采用CA证书管理系统签发的软证书登录,登录后导入USBkey证书,下次登录方可采用usbkey登录管理界面进行维护设置及故障排查。
运行管理阶段:安全接入网关对接入的终端安全伴侣进行访问控制和认证,首先添加可信伴侣地址白名单,只有白名单里面的伴侣才可以访问网关;安全接入网关对每个接入的终端安全伴侣进行身份认证,身份认证支持证书和共享密钥两种方式,终端安全伴侣和安全接入网关身份认证通过后进行安全的加密通道协商,最终协商出一个加密安全联盟来对数据包进行加密、封装、签名;
进一步:安全接入网关对接入的通讯服务器进行访问控制,只有可信地址白名单里的通信服务器发布的信息才被允许通过安全接入网关,重新打包封装形成新的消息,主要增加消息序列号、数字签名等内容,然后将新消息发送给终端安全伴侣;对于非白名单的服务器访问时,安全接入网关向通讯服务器发出告警;
进一步:安全接入网关对和终端安全伴侣进是基于CA证书认证的,安全终端伴侣可以通过安全接入网关远程更新证书,而安全服务平台通过WEB登录管理界面更新证书;
进一步:当终端安全伴侣向中心安全网关入网注册成功后,协商一个安全联盟,安全联盟负责对传输的数据包进行加密、签名、封装,加密封装采用ESP协议,加密算法等采用安全联盟中协商出的最终算法。安全接入网关首先将通讯服务器需要发布的操作请求重新打包封装形成新的消息,主要增加消息序列号、数字签名等内容,然后将新消息发送给终端安全伴侣,终端安全伴侣对签名信息进行验证,验证通过后将原有数据包发送给情报板;若情报板产生显示操作响应,终端安全伴侣则会进行重新打包封装,将带有数字签名信息的响应发送给安全接入网关,安全接入网关验证后将原始响应发送给通讯服务器;
进一步:该一种基于身份认证的高速公路信息发布专网安全加固系统涉及的证书种类包括设备证书与人员证书,可实现与现网中证书的集成,涉及相关流程如下:
设备证书申请环节:提供证书主题、证书序列号等信息给现网CA系统,CA系统可根据提供信息生成相应证书文件,证书文件为.pfx文件形式(包含有私钥),除私钥信息以外还包括根CA信息和设备公钥等内容。
设备证书导入环节:设备证书可以以文件方式导入到中心安全网关和终端安全伴侣上面,中心安全网关通过管理界面浏览器直接导入,每个中心安全网关仅有一个证书,终端安全伴侣的证书导入需要通过专用运维软件进行导入;
设备证书认证环节:通过证书协商过程,首先会验证双方身份是否为CA证书管理系统中正式签发的设备,证书协商过程会检查双方的根CA是否一致,从而判断设备均来自唯一受信根CA;其次进行双方设备认证,认证过程如下所示:
(1)伴侣首先发起协商报文,发送伴侣使用的加密算法、签名算法等;
(2)网关回应一个报文告诉使用哪种算法;
(3)伴侣发送密钥交换载荷,生成密钥相关参数、交换RSA密钥数据等;
(4)网关发送密钥交换载荷,生成密钥相关参数、交换RSA密钥数据等;
(5)通过(3)、(4)步骤双方各生成一组加密密钥,然后伴侣通过私钥签名自己发送的数据,并通过加密密钥加密整个数据包和证书信息(包括根CA及公钥信息)发送给网关;
(6)网关对伴侣发送的数据进行解密,并用解密后拿到的公钥及证书信息验证伴侣的签名信息,验证通过后说明伴侣为可信设备;
信息发送验证环节:
(1)将原文用数据加密密钥做加密;
(2)将密文用认证密钥做HMAC,HMAC运算速度快,签名运行速度慢;
(3)将(1)(2)信息传输至终端安全伴侣;
(4)安全伴侣对收到的密文使用认证密钥做HMAC,与接收文件中的HMAC值做对比,如果两个值一致,就验证通过;
(5)完整性校验验证通过后,再使用数据加密密钥对密文做解密处理,如果验证不通过,则不进行解密处理;
(6)验证通过的信息会将原文显示到情报板上。
本发明的有益效果是:该一种基于身份认证的高速公路信息发布专网安全加固系统加强信息发布系统身份管理与访问控制,加强线路传输数据认证加密, 加强终端设备物理安全防护,从而达到实现关键信息基础设施的运行安全、监测预警目标,确保情报板业务安全、稳定、持续运行的有益效果;该模式对发布系统、通讯服务器、情报板主控硬件改动较小,达到了可实现对安全终端伴侣设备集中管理功能,可通过业务口与管理口分别进行业务通讯和管理信息上报(业务口仅做信息发布与状态上报、管理口实现实时监测)的有益效果。
附图说明:
图1为本发明的系统构架图。
下面结合附图对本发明进一步说明。
具体实施方式:
本发明的具体实施方式是,参照图1,包括通讯终端、终端安全伴侣、安全接入网关、通讯服务器、CA认证服务器,其中,终端安全伴侣与情报板主控板之间采用专用接头固化连接,通过网络接口连接通讯服务器和CA认证服务器,安全接入网关旁路接入通讯服务器与终端安全伴侣之间,从通讯服务器发布的信息直接经安全接入网关做数字签名,然后发到终端安全伴侣做验签,即所有的安全功能通过终端安全伴侣与安全接入网关实现,实现发布信息的签名验签、消息转发、证书初始化等安全功能,保证发布信息的不可否认与完整性,防止非授权篡改;
参照图1,该一种基于身份认证的高速公路信息发布专网安全加固系统的实现过程包括初始阶段和运行管理阶段,具体为:
初始阶段:
a、对于接入专网的终端安全伴侣和安全接入网关,首先向专网中的CA服务器提供证书主题、证书序列号等信息,由CA服务器生成设备唯一的证书文件,包括根CA信息和设备公钥,私钥等内容;
b、运维人员使用由统一的CA证书管理系统所独立签发的人员证书,该人员证书信息及密钥存储与硬件USBKey设备中,初始阶段运维人员需使用USBkey进行终端安全伴侣和安全接入网关的参数配置;对初次登录维护软件设置安全伴侣的运维人员,采用自动添加进入用户列表方式,设置当前USBkey硬件内存储人员信息为初始运维人员;对于初次登录安全接入网关管理界面的运维人员需采用CA证书管理系统签发的软证书登录,登录后导入USBkey证书,下次登录方可采用usbkey登录管理界面进行维护设置及故障排查。
运行管理阶段:安全接入网关对接入的终端安全伴侣进行访问控制和认证,首先添加可信伴侣地址白名单,只有白名单里面的伴侣才可以访问网关;安全接入网关对每个接入的终端安全伴侣进行身份认证,身份认证支持证书和共享密钥两种方式,终端安全伴侣和安全接入网关身份认证通过后进行安全的加密通道协商,最终协商出一个加密安全联盟来对数据包进行加密、封装、签名;
进一步:安全接入网关对接入的通讯服务器进行访问控制,只有可信地址白名单里的通信服务器发布的信息才被允许通过安全接入网关,重新打包封装形成新的消息,主要增加消息序列号、数字签名等内容,然后将新消息发送给终端安全伴侣;对于非白名单的服务器访问时,安全接入网关向通讯服务器发出告警;
参照图1,进一步:安全接入网关对和终端安全伴侣进是基于CA证书认证的,安全终端伴侣可以通过安全接入网关远程更新证书,而安全服务平台通过WEB登录管理界面更新证书;
参照图1,进一步:当终端安全伴侣向中心安全网关入网注册成功后,协商一个安全联盟,安全联盟负责对传输的数据包进行加密、签名、封装,加密封装采用ESP协议,加密算法等采用安全联盟中协商出的最终算法。安全接入网关首先将通讯服务器需要发布的操作请求重新打包封装形成新的消息,主要增加消息序列号、数字签名等内容,然后将新消息发送给终端安全伴侣,终端安全伴侣对签名信息进行验证,验证通过后将原有数据包发送给情报板;若情报板产生显示操作响应,终端安全伴侣则会进行重新打包封装,将带有数字签名信息的响应发送给安全接入网关,安全接入网关验证后将原始响应发送给通讯服务器;
参照图1,进一步:该一种基于身份认证的高速公路信息发布专网安全加固系统涉及的证书种类包括设备证书与人员证书,可实现与现网中证书的集成,涉及相关流程如下:
设备证书申请环节:提供证书主题、证书序列号等信息给现网CA系统,CA系统可根据提供信息生成相应证书文件,证书文件为.pfx文件形式(包含有私钥),除私钥信息以外还包括根CA信息和设备公钥等内容。
设备证书导入环节:设备证书可以以文件方式导入到中心安全网关和终端安全伴侣上面,中心安全网关通过管理界面浏览器直接导入,每个中心安全网关仅有一个证书,终端安全伴侣的证书导入需要通过专用运维软件进行导入;
设备证书认证环节:通过证书协商过程,首先会验证双方身份是否为CA证书管理系统中正式签发的设备,证书协商过程会检查双方的根CA是否一致,从而判断设备均来自唯一受信根CA;其次进行双方设备认证,认证过程如下所示:
(1)伴侣首先发起协商报文,发送伴侣使用的加密算法、签名算法等;
(2)网关回应一个报文告诉使用哪种算法;
(3)伴侣发送密钥交换载荷,生成密钥相关参数、交换RSA密钥数据等;
(4)网关发送密钥交换载荷,生成密钥相关参数、交换RSA密钥数据等;
(5)通过(3)、(4)步骤双方各生成一组加密密钥,然后伴侣通过私钥签名自己发送的数据,并通过加密密钥加密整个数据包和证书信息(包括根CA及公钥信息)发送给网关;
(6)网关对伴侣发送的数据进行解密,并用解密后拿到的公钥及证书信息验证伴侣的签名信息,验证通过后说明伴侣为可信设备;
证书协商过程一共需要三次报文交互过程,一共交换6个报文,前四个报文用来协商一个临时的加密密钥,第5,6个报文进行证书身份认证;设备证书认证环节保证中心与终端都会得到对方的公钥信息,设备证书认证环节当隧道重新建立或者到达设置时间间隔时会触发更新;
信息发送验证环节:
(1)将原文用数据加密密钥做加密;
(2)将密文用认证密钥做HMAC,HMAC运算速度快,签名运行速度慢;
(3)将(1)(2)信息传输至终端安全伴侣;
(4)安全伴侣对收到的密文使用认证密钥做HMAC,与接收文件中的HMAC值做对比,如果两个值一致,就验证通过;
(5)完整性校验验证通过后,再使用数据加密密钥对密文做解密处理,如果验证不通过,则不进行解密处理;
(6)验证通过的信息会将原文显示到情报板上;
当通过设备证书认证环节后,即可进行信息发布,信息发布前,中心安全网关与终端安全伴侣双方协商出数据加密密钥与数据认证密钥,其中数据加密密钥用来加密传输报文信息,数据认证密钥做完整性校验;信息发送验证环节可以根据设置时间进行更新数据加密密钥及数据认证密钥;
运维人员应当使用由统一的CA证书管理系统所独立签发的人员证书,该人员证书信息及密钥存储与硬件USBKey设备中,由USBKey保护私钥不出硬件,该人员在维护情报板安全伴侣设备时,需要使用USBKey设备并验证USBKey口令后登录维护软件以进行维护设置及故障排查。
初次登录:身份认证针对初次登录维护软件设置安全伴侣的运维人员,采用自动添加进入用户列表方式,设置当前USBkey硬件内存储人员信息为初始运维人员;
位于当前用户列表中的运维人员可以添加其他运维人员,添加其他运维人员时,维护软件系统会提示插入USBkey,更换待添加运维人员所属USBKey硬件并验证口令后,系统对新插入USBKey内根CA信息与系统内根CA进行验证(比对CA证书及证书主题等信息),验证一致后加入运维人员列表中。位于人员列表中的运维人员,有权使用维护软件进行所有功能的维护设置及故障排查。
上述实施例仅为本发明较佳的实施例,是提供给本领域技术人员来实现和使用本发明的,本领域技术人员可在不脱离本发明的发明思想的情况下,对上述实施例做出种种修改或变 化,因而本发明的发明范围并不被上述实施例所限,任何基于本发明思想的修改或变化均在本发明保护范围内。
Claims (6)
1.一种基于身份认证的高速公路信息发布专网安全加固系统,包括通讯终端、终端安全伴侣、安全接入网关、通讯服务器、CA认证服务器,其中,终端安全伴侣与情报板主控板之间采用专用接头固化连接,通过网络接口连接通讯服务器和CA认证服务器,安全接入网关旁路接入通讯服务器与终端安全伴侣之间,从通讯服务器发布的信息直接经安全接入网关做数字签名,然后发到终端安全伴侣做验签,即所有的安全功能通过终端安全伴侣与安全接入网关实现,实现发布信息的签名验签、消息转发、证书初始化等安全功能,保证发布信息的不可否认与完整性,防止非授权篡改。
2.根据权利要求1所述的一种基于身份认证的高速公路信息发布专网安全加固系统,其特征是:该一种基于身份认证的高速公路信息发布专网安全加固系统的实现过程包括初始阶段和运行管理阶段,具体为:
初始阶段:
a、对于接入专网的终端安全伴侣和安全接入网关,首先向专网中的CA服务器提供证书主题、证书序列号等信息,由CA服务器生成设备唯一的证书文件,包括根CA信息和设备公钥,私钥等内容;
b、运维人员使用由统一的CA证书管理系统所独立签发的人员证书,该人员证书信息及密钥存储与硬件USBKey设备中,初始阶段运维人员需使用USBkey进行终端安全伴侣和安全接入网关的参数配置;对初次登录维护软件设置安全伴侣的运维人员,采用自动添加进入用户列表方式,设置当前USBkey硬件内存储人员信息为初始运维人员;对于初次登录安全接入网关管理界面的运维人员需采用CA证书管理系统签发的软证书登录,登录后导入USBkey证书,下次登录方可采用usbkey登录管理界面进行维护设置及故障排查;
运行管理阶段:安全接入网关对接入的终端安全伴侣进行访问控制和认证,首先添加可信伴侣地址白名单,只有白名单里面的伴侣才可以访问网关;安全接入网关对每个接入的终端安全伴侣进行身份认证,身份认证支持证书和共享密钥两种方式,终端安全伴侣和安全接入网关身份认证通过后进行安全的加密通道协商,最终协商出一个加密安全联盟来对数据包进行加密、封装、签名。
3.根据权利要求1或2所述的一种基于身份认证的高速公路信息发布专网安全加固系统,其特征是:安全接入网关对接入的通讯服务器进行访问控制,只有可信地址白名单里的通信服务器发布的信息才被允许通过安全接入网关,重新打包封装形成新的消息,主要增加消息序列号、数字签名等内容,然后将新消息发送给终端安全伴侣;对于非白名单的服务器访问时,安全接入网关向通讯服务器发出告警。
4.根据权利要求1或2所述的一种基于身份认证的高速公路信息发布专网安全加固系统,其特征是:安全接入网关对和终端安全伴侣进是基于CA证书认证的,安全终端伴侣可以通过安全接入网关远程更新证书,而安全服务平台通过WEB登录管理界面更新证书。
5.根据权利要求1或2所述的一种基于身份认证的高速公路信息发布专网安全加固系统,其特征是:当终端安全伴侣向中心安全网关入网注册成功后,协商一个安全联盟,安全联盟负责对传输的数据包进行加密、签名、封装,加密封装采用ESP协议,加密算法等采用安全联盟中协商出的最终算法;安全接入网关首先将通讯服务器需要发布的操作请求重新打包封装形成新的消息,主要增加消息序列号、数字签名等内容,然后将新消息发送给终端安全伴侣,终端安全伴侣对签名信息进行验证,验证通过后将原有数据包发送给情报板;若情报板产生显示操作响应,终端安全伴侣则会进行重新打包封装,将带有数字签名信息的响应发送给安全接入网关,安全接入网关验证后将原始响应发送给通讯服务器。
6.根据权利要求1或2所述的一种基于身份认证的高速公路信息发布专网安全加固系统,其特征是:该一种基于身份认证的高速公路信息发布专网安全加固系统涉及的证书种类包括设备证书与人员证书,可实现与现网中证书的集成,涉及相关流程如下:
设备证书申请环节:提供证书主题、证书序列号等信息给现网CA系统,CA系统可根据提供信息生成相应证书文件,证书文件为.pfx文件形式(包含有私钥),除私钥信息以外还包括根CA信息和设备公钥等内容;
设备证书导入环节:设备证书可以以文件方式导入到中心安全网关和终端安全伴侣上面,中心安全网关通过管理界面浏览器直接导入,每个中心安全网关仅有一个证书,终端安全伴侣的证书导入需要通过专用运维软件进行导入;
设备证书认证环节:通过证书协商过程,首先会验证双方身份是否为CA证书管理系统中正式签发的设备,证书协商过程会检查双方的根CA是否一致,从而判断设备均来自唯一受信根CA;其次进行双方设备认证,认证过程如下所示:
(1)伴侣首先发起协商报文,发送伴侣使用的加密算法、签名算法等;
(2)网关回应一个报文告诉使用哪种算法;
(3)伴侣发送密钥交换载荷,生成密钥相关参数、交换RSA密钥数据等;
(4)网关发送密钥交换载荷,生成密钥相关参数、交换RSA密钥数据等;
(5)通过(3)、(4)步骤双方各生成一组加密密钥,然后伴侣通过私钥签名自己发送的数据,并通过加密密钥加密整个数据包和证书信息(包括根CA及公钥信息)发送给网关;
(6)网关对伴侣发送的数据进行解密,并用解密后拿到的公钥及证书信息验证伴侣的签名信息,验证通过后说明伴侣为可信设备;
信息发送验证环节:
(1)将原文用数据加密密钥做加密;
(2)将密文用认证密钥做HMAC,HMAC运算速度快,签名运行速度慢;
(3)将(1)(2)信息传输至终端安全伴侣;
(4)安全伴侣对收到的密文使用认证密钥做HMAC,与接收文件中的HMAC值做对比,如果两个值一致,就验证通过;
(5)完整性校验验证通过后,再使用数据加密密钥对密文做解密处理,如果验证不通过,则不进行解密处理;
(6)验证通过的信息会将原文显示到情报板上。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811510163.9A CN109474613B (zh) | 2018-12-11 | 2018-12-11 | 一种基于身份认证的高速公路信息发布专网安全加固系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811510163.9A CN109474613B (zh) | 2018-12-11 | 2018-12-11 | 一种基于身份认证的高速公路信息发布专网安全加固系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109474613A true CN109474613A (zh) | 2019-03-15 |
CN109474613B CN109474613B (zh) | 2022-08-19 |
Family
ID=65676001
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811510163.9A Active CN109474613B (zh) | 2018-12-11 | 2018-12-11 | 一种基于身份认证的高速公路信息发布专网安全加固系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109474613B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110061991A (zh) * | 2019-04-22 | 2019-07-26 | 陈喆 | 一种实现高速公路收费专网安全接入互联网的网关设置方法 |
CN110445782A (zh) * | 2019-08-06 | 2019-11-12 | 郑州信大捷安信息技术股份有限公司 | 一种多媒体安全播控系统及方法 |
CN110572827A (zh) * | 2019-09-29 | 2019-12-13 | 河北云坚万盾安全技术有限公司 | 一种安全接入网关及身份鉴别方法 |
CN111669382A (zh) * | 2020-05-28 | 2020-09-15 | 北京瑞华赢科技发展有限公司 | 适用于情报板物联网路侧单元的加密方法及系统 |
CN111711596A (zh) * | 2020-04-14 | 2020-09-25 | 北京数盾信息科技有限公司 | 一种针对交通信息发布系统的安全防护系统 |
CN116318876A (zh) * | 2023-02-16 | 2023-06-23 | 江苏特视智能科技有限公司 | 一种情报板信息发布专用安全网关系统及其运行方法 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1941695A (zh) * | 2005-09-29 | 2007-04-04 | 华为技术有限公司 | 初始接入网络过程的密钥生成和分发的方法及系统 |
US20130016636A1 (en) * | 2008-05-16 | 2013-01-17 | Berger Thomas R | Securing, monitoring and tracking shipping containers |
US20140339296A1 (en) * | 2013-05-20 | 2014-11-20 | John B. McAdams | Barcode, barcode device, system, and method |
CN106375280A (zh) * | 2016-08-25 | 2017-02-01 | 山东高速信息工程有限公司 | 一种面向高速公路情报板控制系统的智能网关平台 |
CN107343179A (zh) * | 2017-08-14 | 2017-11-10 | 华北电力大学 | 一种视频信息加密与视频终端安全认证系统、认证方法及其应用 |
CN107733635A (zh) * | 2017-11-29 | 2018-02-23 | 四川长虹电器股份有限公司 | 基于网关的数据安全传输方法 |
CN107959686A (zh) * | 2017-12-13 | 2018-04-24 | 恒宝股份有限公司 | 一种物联网安全认证系统及认证方法 |
CN108390851A (zh) * | 2018-01-05 | 2018-08-10 | 郑州信大捷安信息技术股份有限公司 | 一种用于工业设备的安全远程控制系统及方法 |
CN108965028A (zh) * | 2018-08-11 | 2018-12-07 | 广元量知汇科技有限公司 | 用于智慧城市的数据共享方法 |
-
2018
- 2018-12-11 CN CN201811510163.9A patent/CN109474613B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1941695A (zh) * | 2005-09-29 | 2007-04-04 | 华为技术有限公司 | 初始接入网络过程的密钥生成和分发的方法及系统 |
US20130016636A1 (en) * | 2008-05-16 | 2013-01-17 | Berger Thomas R | Securing, monitoring and tracking shipping containers |
US20140339296A1 (en) * | 2013-05-20 | 2014-11-20 | John B. McAdams | Barcode, barcode device, system, and method |
CN106375280A (zh) * | 2016-08-25 | 2017-02-01 | 山东高速信息工程有限公司 | 一种面向高速公路情报板控制系统的智能网关平台 |
CN107343179A (zh) * | 2017-08-14 | 2017-11-10 | 华北电力大学 | 一种视频信息加密与视频终端安全认证系统、认证方法及其应用 |
CN107733635A (zh) * | 2017-11-29 | 2018-02-23 | 四川长虹电器股份有限公司 | 基于网关的数据安全传输方法 |
CN107959686A (zh) * | 2017-12-13 | 2018-04-24 | 恒宝股份有限公司 | 一种物联网安全认证系统及认证方法 |
CN108390851A (zh) * | 2018-01-05 | 2018-08-10 | 郑州信大捷安信息技术股份有限公司 | 一种用于工业设备的安全远程控制系统及方法 |
CN108965028A (zh) * | 2018-08-11 | 2018-12-07 | 广元量知汇科技有限公司 | 用于智慧城市的数据共享方法 |
Non-Patent Citations (2)
Title |
---|
TAISUKE YAMAMOTO、YOUJI FUKUTA: ""A distribution scheme of certificate revocation list by inter-vehicle communication using a random network coding"", 《2012 INTERNATIONAL SYMPOSIUM ON INFORMATION THEORY AND ITS APPLICATIONS》 * |
王博、徐清峻、徐明礼: ""高速公路不停车移动支付系统浅析"", 《中国交通信息化》 * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110061991A (zh) * | 2019-04-22 | 2019-07-26 | 陈喆 | 一种实现高速公路收费专网安全接入互联网的网关设置方法 |
CN110445782A (zh) * | 2019-08-06 | 2019-11-12 | 郑州信大捷安信息技术股份有限公司 | 一种多媒体安全播控系统及方法 |
CN110572827A (zh) * | 2019-09-29 | 2019-12-13 | 河北云坚万盾安全技术有限公司 | 一种安全接入网关及身份鉴别方法 |
CN110572827B (zh) * | 2019-09-29 | 2023-03-31 | 河北云坚万盾安全技术有限公司 | 一种安全接入网关及身份鉴别方法 |
CN111711596A (zh) * | 2020-04-14 | 2020-09-25 | 北京数盾信息科技有限公司 | 一种针对交通信息发布系统的安全防护系统 |
CN111669382A (zh) * | 2020-05-28 | 2020-09-15 | 北京瑞华赢科技发展有限公司 | 适用于情报板物联网路侧单元的加密方法及系统 |
CN116318876A (zh) * | 2023-02-16 | 2023-06-23 | 江苏特视智能科技有限公司 | 一种情报板信息发布专用安全网关系统及其运行方法 |
CN116318876B (zh) * | 2023-02-16 | 2023-09-12 | 江苏特视智能科技有限公司 | 一种情报板信息发布专用安全网关系统 |
Also Published As
Publication number | Publication date |
---|---|
CN109474613B (zh) | 2022-08-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109474613A (zh) | 一种基于身份认证的高速公路信息发布专网安全加固系统 | |
CN108270571B (zh) | 基于区块链的物联网身份认证系统及其方法 | |
Saxena et al. | Authentication and authorization scheme for various user roles and devices in smart grid | |
CN113783836B (zh) | 基于区块链和ibe算法的物联网数据访问控制方法及系统 | |
CN114154135B (zh) | 基于国密算法的车联网通信安全认证方法、系统及设备 | |
CN101247391B (zh) | Opc安全代理系统及其代理方法 | |
CN103780618B (zh) | 一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法 | |
CN103597520B (zh) | 基于身份的票务方法和系统 | |
CN107425983A (zh) | 一种基于web服务的统一身份认证方法及系统平台 | |
CN109728909A (zh) | 基于USBKey的身份认证方法和系统 | |
CN107277000B (zh) | 一种电子凭证安全管理方法及系统 | |
CN110069918A (zh) | 一种基于区块链技术的高效双因子跨域认证方法 | |
CN108965215A (zh) | 一种多融合联动响应的动态安全方法与系统 | |
CN103916363B (zh) | 加密机的通讯安全管理方法和系统 | |
CN106096947B (zh) | 基于nfc的半离线匿名支付方法 | |
CN106888084A (zh) | 一种量子堡垒机系统及其认证方法 | |
CN108604985A (zh) | 数据传送方法、控制数据使用的方法以及密码设备 | |
CN102893575B (zh) | 借助于ipsec和ike第1版认证的一次性密码 | |
CN106790064A (zh) | 可信根服务器‑云计算服务器模型中双方进行通信的方法 | |
CN108322488A (zh) | 在多个车联网中实现可信数据共享和分发的系统 | |
CN110061991A (zh) | 一种实现高速公路收费专网安全接入互联网的网关设置方法 | |
CN106712939A (zh) | 密钥离线传输方法和装置 | |
CN111787027A (zh) | 一种交通信息发布的安全防护系统及方法 | |
Marian et al. | Experimenting with digital signatures over a DNP3 protocol in a multitenant cloud-based SCADA architecture | |
CN106789845A (zh) | 一种网络数据安全传输的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP02 | Change in the address of a patent holder | ||
CP02 | Change in the address of a patent holder |
Address after: 100000 901, Floor 9, Building 7, Yard 8, Auto Museum East Road, Fengtai District, Beijing Patentee after: BEIJING SHUDUN INFORMATION TECHNOLOGY CO.,LTD. Address before: 6th Floor, Building 4, District 3, Hanwei International, South Fourth Ring West Road, Fengtai District, Beijing 100070 Patentee before: BEIJING SHUDUN INFORMATION TECHNOLOGY CO.,LTD. |