CN109728901B - 数字签名认证方法、装置和系统 - Google Patents
数字签名认证方法、装置和系统 Download PDFInfo
- Publication number
- CN109728901B CN109728901B CN201711040735.7A CN201711040735A CN109728901B CN 109728901 B CN109728901 B CN 109728901B CN 201711040735 A CN201711040735 A CN 201711040735A CN 109728901 B CN109728901 B CN 109728901B
- Authority
- CN
- China
- Prior art keywords
- terminal
- key
- identity
- network element
- management center
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开一种数字签名认证方法、装置和系统。该方法包括:密钥管理中心获取终端设备的终端身份信息;密钥管理中心根据终端设备的终端身份信息生成终端设备密钥,并将终端设备密钥分发给终端设备;身份认证节点根据终端设备密钥对终端设备进行认证。本发明通过利用终端身份信息直接作为公钥,在保证终端认证安全性的前提下,可以弥补现在有终端证书认证成本高、终端性能要求高等方面的不足。
Description
技术领域
本发明涉及物联网领域,特别涉及一种数字签名认证方法、装置和系统。
背景技术
目前业界使用的数字签名认证方法采用的是基于公钥基础设施PKI的方法,用户需向一个或多个证书机构(CA)为其公钥申请证书,CA为该用户的公钥颁发证书,担保用户对公钥的拥有关系。验证公钥证书实际就是验证CA对该证书的签名。
因此存在终端进行认证时需要给CA付费,导致认证成本高,以及对终端内存和运算性能要求高,不适合低处理级别的物联网终端。
发明内容
鉴于以上技术问题,本发明提供了一种数字签名认证方法、装置和系统,通过利用终端身份信息直接作为公钥,可以弥补现在有终端证书认证成本高、终端性能要求高等方面的不足。
根据本发明的一个方面,提供一种数字签名认证方法,包括:
密钥管理中心获取终端设备的终端身份信息;
密钥管理中心根据终端设备的终端身份信息生成终端设备密钥,并将终端设备密钥分发给终端设备;
身份认证节点根据终端设备密钥对终端设备进行认证。
在本发明的一个实施例中,密钥管理中心包括密钥生成中心和行业用户身份管理中心;
所述密钥管理中心根据终端设备的终端身份信息生成终端设备密钥,并将终端设备密钥分发给终端设备包括:
密钥生成中心将终端设备的终端身份信息作为公钥;
密钥生成中心根据公钥生成终端设备密钥;
密钥生成中心将终端公私钥对发送给行业用户身份管理中心,其中所述终端公私钥对包括终端身份信息和终端设备密钥;
行业用户身份管理中心根据终端身份信息,将终端公私钥对分发给相应的终端设备。
在本发明的一个实施例中,所述身份认证节点根据终端设备密钥对终端设备进行认证包括:
终端设备将终端公私钥对发送给身份认证节点;
身份认证节点从终端公私钥对中提取终端身份信息和终端设备密钥;
身份认证节点从行业用户身份管理中心查询所述终端身份信息相对应的终端验证密钥;
身份认证节点通过判断终端设备密钥是否与终端验证密钥一致,来实现对终端设备的认证。
在本发明的一个实施例中,所述行业用户身份管理中心根据终端身份信息,将终端公私钥对分发给相应的终端设备包括:
行业用户身份管理中心生成终端密码信息,其中,终端密码信息包括终端公私钥对与终端设备对应的行业服务器标识;
行业用户身份管理中心根据行业服务器标识,将终端公私钥对分发给对应的行业身份管理服务器;
行业身份管理服务器根据终端身份信息,将终端公私钥对分发给相应的终端设备。
在本发明的一个实施例中,所述身份认证节点根据终端设备密钥对终端设备进行认证包括:
终端设备将终端密码信息发送给身份认证节点;
身份认证节点从终端密码信息中提取行业服务器标识、终端身份信息和终端设备密钥;
身份认证节点根据行业服务器标识确定待查询的行业身份管理服务器,从行业身份管理服务器查询所述终端身份信息相对应的终端验证密钥;
身份认证节点通过判断终端设备密钥是否与终端验证密钥一致,来实现对终端设备的认证。
在本发明的一个实施例中,所述方法还包括:
密钥管理中心根据终端设备的终端身份信息生成网元密钥,并将网元密钥分发给身份认证节点;
终端设备根据网元密钥对身份认证节点进行认证。
在本发明的一个实施例中,密钥管理中心包括密钥生成中心和网元身份管理中心;
所述密钥管理中心根据终端设备的终端身份信息生成网元密钥,并将网元密钥分发给身份认证节点包括:
密钥生成中心将终端设备的终端身份信息作为公钥;
密钥生成中心根据公钥生成网元密钥;
密钥生成中心将网元公私钥对发送给网元身份管理中心,其中所述网元公私钥对包括终端身份信息和网元密钥;
网元身份管理中心将网元密钥分发给身份认证节点。
在本发明的一个实施例中,所述终端设备根据网元密钥对身份认证节点进行认证包括:
身份认证节点将网元公私钥对发送给终端设备;
终端设备从网元公私钥对中提取终端身份信息和网元密钥;
身份认证节点从网元身份管理中心查询所述终端身份信息相对应的网元验证密钥;
身份认证节点通过判断网元密钥是否与网元验证密钥一致,来实现对身份认证节点的认证。
根据本发明的另一方面,提供一种密钥管理中心,用于获取终端设备的终端身份信息;根据终端设备的终端身份信息生成终端设备密钥,并将终端设备密钥分发给终端设备,以便身份认证节点根据终端设备密钥对终端设备进行认证。
在本发明的一个实施例中,所述密钥管理中心包括密钥生成中心和行业用户身份管理中心,其中:
密钥生成中心,用于将终端设备的终端身份信息作为公钥;根据公钥生成终端设备密钥;将终端公私钥对发送给行业用户身份管理中心,其中所述终端公私钥对包括终端身份信息和终端设备密钥;
行业用户身份管理中心,用于根据终端身份信息,将终端公私钥对分发给相应的终端设备。
在本发明的一个实施例中,密钥管理中心还用于根据终端设备的终端身份信息生成网元密钥,并将网元密钥分发给身份认证节点;以便终端设备根据网元密钥对身份认证节点进行认证。
在本发明的一个实施例中,所述密钥管理中心包括密钥生成中心和网元身份管理中心,其中:
密钥生成中心,用于将终端设备的终端身份信息作为公钥;根据公钥生成网元密钥;将网元公私钥对发送给网元身份管理中心,其中所述网元公私钥对包括终端身份信息和网元密钥;
网元身份管理中心,用于将网元密钥分发给身份认证节点。
根据本发明的另一方面,提供一种终端设备,用于将终端设备的终端身份信息发送给密钥管理中心,以便密钥管理中心根据终端设备的终端身份信息生成终端设备密钥;接收并存储密钥管理中心分发的终端设备密钥;将终端设备密钥发送给身份认证节点,以便身份认证节点根据终端设备密钥对终端设备进行认证。
在本发明的一个实施例中,终端设备还用于接收身份认证节点发送的网元密钥,其中,所述网元密钥是密钥管理中心根据终端设备的终端身份信息生成的;从密钥管理中心的网元身份管理中心查询所述终端身份信息相对应的网元验证密钥;通过判断网元密钥是否与网元验证密钥一致,来实现对身份认证节点的认证。
根据本发明的另一方面,提供一种身份认证节点,用于接收并存储密钥管理中心分发的网元密钥,其中,所述网元密钥是密钥管理中心根据终端设备的终端身份信息生成的;将网元密钥发送给终端设备,以便终端设备根据网元密钥对身份认证节点进行认证。
在本发明的一个实施例中,身份认证节点还用于接收终端设备发送的终端公私钥对,其中,所述终端公私钥包括终端身份信息和终端设备密钥;从终端公私钥对中提取终端身份信息和终端设备密钥;从密钥管理中心的行业用户身份管理中心查询所述终端身份信息相对应的终端验证密钥;通过判断终端设备密钥是否与终端验证密钥一致,来实现对终端设备的认证。
在本发明的一个实施例中,身份认证节点还用于接收终端设备发送的终端密码信息,其中,所述终端密码信息包括终端公私钥对与终端设备对应的行业服务器标识;从终端密码信息中提取行业服务器标识、终端身份信息和终端设备密钥;根据行业服务器标识确定待查询的行业身份管理服务器,从行业身份管理服务器查询所述终端身份信息相对应的终端验证密钥;通过判断终端设备密钥是否与终端验证密钥一致,来实现对终端设备的认证。
根据本发明的另一方面,提供一种行业身份管理服务器,用于接收并存储密钥管理中心的行业用户身份管理中心下发的终端密码信息,其中,所述终端密码信息包括终端公私钥对与终端设备对应的行业服务器标识;根据终端身份信息,将终端公私钥对分发给相应的终端设备,以便身份认证节点根据终端设备密钥对终端设备进行认证。
在本发明的一个实施例中,行业身份管理服务器还用于响应于身份认证节点的终端验证密钥查询请求,查询所述终端身份信息相对应的终端验证密钥;并将所述终端验证密钥发送给身份认证节点,以便身份认证节点通过判断终端设备密钥是否与终端验证密钥一致,来实现对终端设备的认证。
根据本发明的另一方面,提供一种数字签名认证系统,包括如上述任一实施例所述的密钥管理中心、如上述任一实施例所述的终端设备、以及如上述任一实施例所述的身份认证节点。
在本发明的一个实施例中,所述数字签名认证系统还包括如上述任一实施例所述的行业身份管理服务器。
本发明通过利用终端身份信息直接作为公钥,在保证终端认证安全性的前提下,可以弥补现在有终端证书认证成本高、终端性能要求高等方面的不足。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明数字签名认证系统一个实施例的示意图。
图2为本发明一个实施例中终端设备从密钥管理中心获取私钥的示意图。
图3为本发明数字签名认证方法一个实施例的示意图。
图4为本发明数字签名认证方法另一实施例的示意图。
图5为本发明数字签名认证系统另一实施例的示意图。
图6为本发明数字签名认证系统又一实施例的示意图。
图7为本发明数字签名认证方法又一实施例的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
申请人发现:现有的数字证书认证技术使用成本高,需要建立公认的证书机构(CA),终端实现证书认证需要给证书机构付费,使用成本高。另外对终端性能要求高,由于CA证书认证方式对终端存储、运算等性能要求高,部分物联网终端无法支持。
因此申请人提供了一种基于终端身份信息的数字签名分布式认证方法和系统。下面具体进行描述。
图1为本发明数字签名认证系统一个实施例的示意图。如图1所示,所述数字签名认证系统可以包括密钥管理中心1、终端设备2和身份认证节点3,其中:
网络侧的密钥管理中心1,用于获取终端设备2的终端身份信息;根据终端设备2的终端身份信息生成终端设备密钥,并将终端设备密钥分发给终端设备2,以便身份认证节点3根据终端设备密钥对终端设备2进行认证。
终端设备2,用于将终端设备2的终端身份信息发送给密钥管理中心1,以便密钥管理中心1根据终端设备2的终端身份信息生成终端设备密钥;接收并存储密钥管理中心1分发的终端设备密钥;将终端设备密钥发送给身份认证节点3,以便身份认证节点3根据终端设备密钥对终端设备2进行认证。
网络侧的身份认证节点3,用于根据终端设备密钥对终端设备2进行认证。
在本发明的一个实施例中,所述终端身份信息可以为身份标识ID、IMEI(International Mobile Equipment Identity,国际移动设备身份码)等终端身份信息。
在本发明的一个实施例中,密钥管理中心1可以包括KGC(Key GenerationCenter,私钥生成中心)11,用于将终端设备2的终端身份信息作为公钥;密钥生成中心根据公钥生成终端设备密钥(私钥),之后将终端公私钥对发送给终端设备2,其中所述终端公私钥对包括终端身份信息(公钥)和终端设备密钥(私钥)。
图2为本发明一个实施例中终端设备从密钥管理中心获取私钥的示意图。如图2所示,终端设备2(例如终端A)将其ID(例如1234)发送给私钥生成中心11,之后私钥生成中心11根据终端A的ID生成终端A的私钥,并将终端公私钥对(终端A的ID、终端A的私钥)发送给终端A。
终端设备2,用于接收并存储所述终端公私钥对。
在本发明的一个实施例中,身份认证节点3对终端设备2的认证过程中,终端设备2具体可以用于将终端公私钥对(终端身份信息,终端设备密钥)发送给身份认证节点3。
身份认证节点3具体可以用于从终端公私钥对中提取终端身份信息和终端设备密钥;从密钥管理中心1查询所述终端身份信息相对应的终端验证密钥;通过判断终端设备密钥是否与终端验证密钥一致,来实现对终端设备2的认证。
基于本发明上述实施例提供的数字签名认证系统,具体为一种基于终端身份信息的数字签名认证系统,包括密钥管理中心、终端设备和身份认证节点,本发明上述实施例通过利用终端身份信息(ID、IMEI等)直接作为公钥,不需要数字证书来绑定公钥和用户名,不用建立公认的证书机构(CA)为该终端的公钥颁发证书担保用户对公钥的拥有关系和信任关系。本发明上述实施例只需要可信任的私钥生成中心给每个终端生成对应于其终端信息(例如用户名)的私钥。因此本发明上述实施例在保证终端认证安全性的前提下,可以弥补现在有终端证书认证成本高、终端性能要求高等方面的不足。
在本发明的一个实施例中,私钥生成中心11还可以用于将终端设备2的终端身份信息作为公钥;根据公钥生成网元密钥;将网元公私钥对(终端身份信息,网元密钥)分发给身份认证节点3。
身份认证节点3,还可以用于接收和存储网元公私钥对(终端身份信息,网元密钥)。
终端设备2,还可以用于根据网元公私钥对(终端身份信息,网元密钥)对身份认证节点3进行认证。
在本发明的一个实施例中,终端设备2具体可以用于接收身份认证节点3发送的网元公私钥对(终端身份信息,网元密钥),并从所述网元公私钥对中提取出网元密钥;从密钥管理中心1查询所述终端身份信息相对应的网元验证密钥;通过判断网元密钥是否与网元验证密钥一致,来实现对身份认证节点3的认证。
本发明上述实施例可以实现身份认证节点合终端设备之间的双向认证,从而进一步保障了认证安全性。
传统数字签名必须使用证书。而本发明上述实施例基于终端身份信息的数字签名将终端身份信息(ID、IMEI等)作为公钥,无需证书,由私钥生成中心掌握终端私钥。由此本发明上述实施例在保证终端认证安全性的前提下,大大降低了终端认证成本,并降低了对终端的性能要求。
图3为本发明数字签名认证方法一个实施例的示意图。优选的,本实施例可由本发明数字签名认证系统执行。如图3所示,该方法包括以下步骤:
步骤31,密钥管理中心1获取终端设备2的终端身份信息。
步骤32,密钥管理中心1根据终端设备2的终端身份信息生成终端设备密钥,并将终端设备密钥分发给终端设备2。
在本发明的一个实施例中,步骤32可以包括:
步骤321,密钥生成中心将终端设备2的终端身份信息作为公钥。
步骤322,密钥生成中心根据公钥生成终端设备密钥。
步骤323,密钥管理中心根据终端身份信息,将终端公私钥对分发给相应的终端设备2,其中所述终端公私钥对包括终端身份信息和终端设备密钥。
步骤33,身份认证节点3根据终端设备密钥对终端设备2进行认证。
在本发明的一个实施例中,步骤33可以包括:
步骤331,终端设备2将终端公私钥对发送给身份认证节点3。
步骤332,身份认证节点3从终端公私钥对中提取终端身份信息和终端设备密钥。
步骤333,身份认证节点3从密钥管理中心1查询所述终端身份信息相对应的终端验证密钥。
步骤334,身份认证节点3通过判断终端设备密钥是否与终端验证密钥一致,来实现对终端设备2的认证。
基于本发明上述实施例提供的数字签名认证方法,具体为一种基于终端身份信息的数字签名认证方法,通过利用终端身份信息(ID、IMEI等)直接作为公钥,不需要数字证书来绑定公钥和用户名,不用建立公认的证书机构(CA)为该终端的公钥颁发证书担保用户对公钥的拥有关系和信任关系。本发明上述实施例只需要可信任的私钥生成中心给每个终端生成对应于其终端信息(例如用户名)的私钥。因此本发明上述实施例在保证终端认证安全性的前提下,可以弥补现在有终端证书认证成本高、终端性能要求高等方面的不足。
图4为本发明数字签名认证方法另一实施例的示意图。优选的,本实施例可由本发明数字签名认证系统执行。本发明数字签名认证方法除了在包括图3实施例的步骤之外,还可以包括:
步骤41,密钥管理中心1根据终端设备2的终端身份信息生成网元密钥,并将网元密钥分发给身份认证节点3。
在本发明的一个实施例中,步骤41可以包括:
步骤411,密钥生成中心将终端设备2的终端身份信息作为公钥。
步骤412,密钥生成中心根据公钥生成网元密钥。
步骤413,密钥生成中心将网元公私钥对分发给身份认证节点3,其中所述网元公私钥对包括终端身份信息和网元密钥。
步骤42,终端设备2根据网元密钥对身份认证节点3进行认证。
在本发明的一个实施例中,步骤42可以包括:
步骤421,身份认证节点3将网元公私钥对发送给终端设备2。
步骤422,终端设备2从网元公私钥对中提取终端身份信息和网元密钥。
步骤423,身份认证节点3从密钥管理中心1查询所述终端身份信息相对应的网元验证密钥。
步骤424,身份认证节点3通过判断网元密钥是否与网元验证密钥一致,来实现对身份认证节点3的认证。
本发明上述实施例可以实现身份认证节点合终端设备之间的双向认证,从而进一步保障了认证安全性。
图5为本发明数字签名认证系统另一实施例的示意图。与图1所示实施例相比,在图5所示实施例中,密钥管理中心1包括密钥生成中心11、行业用户身份管理中心12和网元身份管理中心13,其中;
密钥生成中心11,用于根据终端设备2的终端身份信息生成网络网元密钥和终端设备密钥。密钥生成中心11不参与认证流程;不存储网元和终端设备密钥。
行业用户身份管理中心12,用于存储和管理行业用户身份及对应密钥分发。
网元身份管理中心13,用于存储网元密钥、为网元分发密钥。
身份认证节点3,为网络侧认证节点,用于保存网元私钥,与终端设备间进行双向认证。
终端设备2,用于保存设备自身密钥,与网络侧身份认证节点进行入网认证。
本发明上述实施例中密钥管理中心包括密钥生成中心、行业用户身份管理中心和网元身份管理中心,本发明上述实施例与图1-图4中实施例的差别在于,新增行业用户身份管理中心用于存储和管理行业用户身份及对应密钥分发,新增网元身份管理中心用于存储网元密钥以及为网元分发密钥。由此密钥生成中心不参与认证流程;不存储网元和终端设备密钥。
上述任一实施例(例如图3和图4实施例)的数字签名认证方法也可以由本发明图5实施例的数字签名认证系统执行。图5实施例的数字签名认证系统执行上述任一实施例(例如图3和图4实施例)的数字签名认证方法时,其区别仅在于:
图3实施例中的步骤32具体可以包括:密钥生成中心11将终端设备2的终端身份信息作为公钥;密钥生成中心11根据公钥生成网元密钥;密钥生成中心11将终端公私钥对发送给行业用户身份管理中心12其中所述终端公私钥对包括终端身份信息和终端设备密钥;;行业用户身份管理中心12对终端公私钥对进行存储和管理;行业用户身份管理中心12根据终端身份信息,将终端公私钥对分发给相应的终端设备2。
图3实施例中的步骤33具体可以包括:终端设备2将终端公私钥对发送给身份认证节点3;身份认证节点3从终端公私钥对中提取终端身份信息和终端设备密钥;身份认证节点3从行业用户身份管理中心12查询所述终端身份信息相对应的终端验证密钥;身份认证节点3通过判断终端设备密钥是否与终端验证密钥一致,来实现对终端设备2的认证。
图4实施例中的步骤41具体可以包括:密钥生成中心11将终端设备2的终端身份信息作为公钥;密钥生成中心11根据公钥生成网元密钥;密钥生成中心11将网元公私钥对发送给网元身份管理中心13,其中所述网元公私钥对包括终端身份信息和网元密钥;网元身份管理中心13对网元公私钥对进行存储和管理;网元身份管理中心13将网元密钥分发给身份认证节点3。
图4实施例中的步骤42具体可以包括:身份认证节点3将网元公私钥对发送给终端设备2;终端设备2从网元公私钥对中提取终端身份信息和网元密钥;身份认证节点3从网元身份管理中心13查询所述终端身份信息相对应的网元验证密钥;身份认证节点3通过判断网元密钥是否与网元验证密钥一致,来实现对身份认证节点3的认证。
不同于传统数字签名必须使用证书,本发明上述实施例基于终端身份信息的数字签名将终端身份信息(ID、IMEI等)作为公钥,无需证书,但需要可信任的私钥生成中心给每个终端生成对应于其用户名的私钥,由私钥生成中心掌握终端私钥。由此本发明上述实施例在保证终端认证安全性的前提下,大大降低了终端认证成本,并降低了对终端的性能要求。
图6为本发明数字签名认证系统又一实施例的示意图。与图5所示实施例相比,在图6所示实施例中,所述数字签名认证系统还可以包括至少一个行业身份管理服务器4,其中:
行业身份管理服务器4,用于接收并存储密钥管理中心1的行业用户身份管理中心12下发的终端密码信息,其中,所述终端密码信息包括终端公私钥对与终端设备2对应的行业服务器标识;根据终端身份信息,将终端公私钥对分发给相应的终端设备2,以便身份认证节点3根据终端设备密钥对终端设备2进行认证。
多个行业身份管理服务器4分别属于各个垂直行业,用于管理行业自己的终端设备身份及密钥,包括向终端设备分发密钥等。
本发明上述实施例的终端信息的数字签名认证系统,针对现有的CA证书认证技术方案需要建立公认的证书机构(CA),导致存在终端实现证书认证需要给证书机构付费,使用成本高以及对终端性能要求高等问题,提出了通过利用终端身份信息(ID、IMEI等)直接作为公钥,不需要数字证书来绑定公钥和用户名,不用建立公认的证书机构(CA)为该终端的公钥颁发证书担保用户对公钥的拥有关系,但需要可信任的私钥生成中心给每个终端生成对应于其用户名的私钥,由私钥生成中心掌握终端私钥。本发明上述实施例还采用分布式的认证方式,满足不同的业务需求和安全要求。本发明上述实施例在保证终端认证安全性的前提下,解决了对终端证书认证成本高、终端性能要求高的问题。
如本发明图1、图5和图6所示,图1、图5和图6任一实施例中,密钥的分发过程可以离线进行。而终端设备2和身份认证节点3的双向交互认证过程则需要在线进行。
图7为本发明数字签名认证方法又一实施例的示意图。优选的,本实施例可由本发明数字签名认证系统执行。如图7所示,该方法包括以下步骤:
步骤71,密钥生成中心根据终端身份信息生成网络网元密钥和终端设备密钥;但是密钥中心不参与认证流程,不存储网元和终端设备密钥。
步骤72,行业身份管理中心存储和管理终端设备密钥,将生成的私钥分发给对应的行业身份管理服务器。
在本发明的一个实施例中,步骤72可以包括:
步骤721,行业用户身份管理中心12生成终端密码信息,其中,终端密码信息包括终端公私钥对与终端设备2对应的行业服务器标识,所述终端公私钥对包括终端身份信息和终端设备密钥。
步骤722,行业用户身份管理中心12根据行业服务器标识,将终端公私钥对分发给对应的行业身份管理服务器4。
步骤73,网元身份管理中心存储和管理网元密钥,主要负责给不同身份认证节点分发密钥。
在本发明的一个实施例中,步骤73可以包括:
步骤731,网元身份管理中心13接收并存储密钥生成中心11生成的网元公私钥对,其中所述网元公私钥对包括终端身份信息和网元密钥。
步骤732,网元身份管理中心13将网元密钥分发给身份认证节点3。
步骤74,各个身份认证节点,保存相应的网元私钥,并且与与终端设备间进行双向认证。
在本发明的一个实施例中,步骤74中,身份认证节点3根据终端设备密钥对终端设备2进行认证的步骤可以包括:
步骤741,终端设备2将终端密码信息发送给身份认证节点3。
步骤742,身份认证节点3从终端密码信息中提取行业服务器标识、终端身份信息和终端设备密钥。
步骤743,身份认证节点3根据行业服务器标识确定待查询的行业身份管理服务器4,从行业身份管理服务器4查询所述终端身份信息相对应的终端验证密钥。
步骤744,身份认证节点3通过判断终端设备密钥是否与终端验证密钥一致,来实现对终端设备2的认证。
步骤75,行业身份管理服务器,主要管理行业自己的设备身份及密钥,包括向设备分发密钥等.
在本发明的一个实施例中,步骤75可以包括:行业身份管理服务器4根据终端身份信息,将终端公私钥对分发给相应的终端设备2。
步骤76,终端设备保存设备自身密钥,与网络侧身份认证节点进行入网认证。
在本发明的一个实施例中,步骤76中,所述终端设备2根据网元密钥对身份认证节点3进行认证的步骤可以包括:
步骤761,身份认证节点3将网元公私钥对发送给终端设备2。
步骤762,终端设备2从网元公私钥对中提取终端身份信息和网元密钥。
步骤763,身份认证节点3从网元身份管理中心13查询所述终端身份信息相对应的网元验证密钥。
步骤764,身份认证节点3通过判断网元密钥是否与网元验证密钥一致,来实现对身份认证节点3的认证。
本发明上述实施例的终端信息的数字签名认证方法,针对现有的CA证书认证技术方案需要建立公认的证书机构(CA),导致存在终端实现证书认证需要给证书机构付费,使用成本高以及对终端性能要求高等问题,提出了通过利用终端身份信息(ID、IMEI等)直接作为公钥,不需要数字证书来绑定公钥和用户名,不用建立公认的证书机构(CA)为该终端的公钥颁发证书担保用户对公钥的拥有关系,但需要可信任的私钥生成中心给每个终端生成对应于其用户名的私钥,由私钥生成中心掌握终端私钥。
本发明上述实施例还采用分布式的认证方式,可以满足不同的业务需求和安全要求。本发明上述实施例在保证终端认证安全性的前提下,解决了对终端证书认证成本高、终端性能要求高的问题。
本发明上述实施例将终端公私钥对按不同垂直行业,分别存储到不同的行业身份管理服务器,采用分布式的认证方式,满足不同的业务需求和安全要求。在不同行业身份管理服务器分别存储和查询本行业的终端公私钥对,提高了查询获得终端验证密钥的效率,从而提高了认证效率。
本发明上述实施例的基于终端身份信息的数字签名认证系统,可以用于物联网终端接入认证、手机短信认证等应用中。
在上面所描述的密钥管理中心、终端设备、身份认证节点和行业身份管理服务器均可以实现为用于执行本申请所描述功能的通用处理器、可编程逻辑控制器(PLC)、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意适当组合。
至此,已经详细描述了本发明。为了避免遮蔽本发明的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
Claims (16)
1.一种数字签名认证方法,其特征在于,包括:
密钥管理中心获取终端设备的终端身份信息;
密钥管理中心根据终端设备的终端身份信息生成终端设备密钥,并将终端设备密钥分发给终端设备;
身份认证节点根据终端设备密钥对终端设备进行认证;
其中,密钥管理中心包括密钥生成中心和行业用户身份管理中心;
所述密钥管理中心根据终端设备的终端身份信息生成终端设备密钥,并将终端设备密钥分发给终端设备包括:
密钥生成中心将终端设备的终端身份信息作为公钥;
密钥生成中心根据公钥生成终端设备密钥;
密钥生成中心将终端公私钥对发送给行业用户身份管理中心,其中所述终端公私钥对包括终端身份信息和终端设备密钥;
行业用户身份管理中心根据终端身份信息,将终端公私钥对分发给相应的终端设备;
其中,所述行业用户身份管理中心根据终端身份信息,将终端公私钥对分发给相应的终端设备包括:
行业用户身份管理中心生成终端密码信息,其中,终端密码信息包括终端公私钥对与终端设备对应的行业服务器标识;
行业用户身份管理中心根据行业服务器标识,将终端公私钥对分发给对应的行业身份管理服务器;
行业身份管理服务器根据终端身份信息,将终端公私钥对分发给相应的终端设备。
2.根据权利要求1所述的方法,其特征在于,所述身份认证节点根据终端设备密钥对终端设备进行认证包括:
终端设备将终端公私钥对发送给身份认证节点;
身份认证节点从终端公私钥对中提取终端身份信息和终端设备密钥;
身份认证节点从行业用户身份管理中心查询所述终端身份信息相对应的终端验证密钥;
身份认证节点通过判断终端设备密钥是否与终端验证密钥一致,来实现对终端设备的认证。
3.根据权利要求1所述的方法,其特征在于,所述身份认证节点根据终端设备密钥对终端设备进行认证包括:
终端设备将终端密码信息发送给身份认证节点;
身份认证节点从终端密码信息中提取行业服务器标识、终端身份信息和终端设备密钥;
身份认证节点根据行业服务器标识确定待查询的行业身份管理服务器,从行业身份管理服务器查询所述终端身份信息相对应的终端验证密钥;
身份认证节点通过判断终端设备密钥是否与终端验证密钥一致,来实现对终端设备的认证。
4.根据权利要求1-3中任一项所述的方法,其特征在于,还包括:
密钥管理中心根据终端设备的终端身份信息生成网元密钥,并将网元密钥分发给身份认证节点;
终端设备根据网元密钥对身份认证节点进行认证。
5.根据权利要求4所述的方法,其特征在于,密钥管理中心包括密钥生成中心和网元身份管理中心;
所述密钥管理中心根据终端设备的终端身份信息生成网元密钥,并将网元密钥分发给身份认证节点包括:
密钥生成中心将终端设备的终端身份信息作为公钥;
密钥生成中心根据公钥生成网元密钥;
密钥生成中心将网元公私钥对发送给网元身份管理中心,其中所述网元公私钥对包括终端身份信息和网元密钥;
网元身份管理中心将网元密钥分发给身份认证节点。
6.根据权利要求5所述的方法,其特征在于,所述终端设备根据网元密钥对身份认证节点进行认证包括:
身份认证节点将网元公私钥对发送给终端设备;
终端设备从网元公私钥对中提取终端身份信息和网元密钥;
终端设备从网元身份管理中心查询所述终端身份信息相对应的网元验证密钥;
终端设备通过判断网元密钥是否与网元验证密钥一致,来实现对身份认证节点的认证。
7.一种密钥管理中心,其特征在于,
密钥管理中心,用于获取终端设备的终端身份信息;根据终端设备的终端身份信息生成终端设备密钥,并将终端设备密钥分发给终端设备,以便身份认证节点根据终端设备密钥对终端设备进行认证;
其中,密钥管理中心还用于根据终端设备的终端身份信息生成网元密钥,并将网元密钥分发给身份认证节点;以便终端设备根据网元密钥对身份认证节点进行认证;
其中,所述密钥管理中心包括密钥生成中心和行业用户身份管理中心,其中:
密钥生成中心,用于将终端设备的终端身份信息作为公钥;根据公钥生成终端设备密钥;将终端公私钥对发送给行业用户身份管理中心,其中所述终端公私钥对包括终端身份信息和终端设备密钥;
行业用户身份管理中心,用于根据终端身份信息,将终端公私钥对分发给相应的终端设备。
8.根据权利要求7所述的密钥管理中心,其特征在于,包括密钥生成中心和网元身份管理中心,其中:
密钥生成中心,用于将终端设备的终端身份信息作为公钥;根据公钥生成网元密钥;将网元公私钥对发送给网元身份管理中心,其中所述网元公私钥对包括终端身份信息和网元密钥;
网元身份管理中心,用于将网元密钥分发给身份认证节点。
9.一种终端设备,其特征在于,
终端设备包括:
用于将终端设备的终端身份信息发送给密钥管理中心,以便密钥管理中心根据终端设备的终端身份信息生成终端设备密钥的模块;
用于接收并存储密钥管理中心分发的终端设备密钥的模块;
用于将终端设备密钥发送给身份认证节点,以便身份认证节点根据终端设备密钥对终端设备进行认证的模块;
其中,终端设备还包括:
用于接收身份认证节点发送的网元密钥的模块,其中,所述网元密钥是密钥管理中心根据终端设备的终端身份信息生成的;
用于从密钥管理中心的网元身份管理中心查询所述终端身份信息相对应的网元验证密钥的模块;
用于通过判断网元密钥是否与网元验证密钥一致,来实现对身份认证节点的认证的模块。
10.一种身份认证节点,其特征在于,
身份认证节点包括:
用于接收并存储密钥管理中心分发的网元密钥的模块,其中,所述网元密钥是密钥管理中心接收终端设备发送的终端设备的终端身份信息,并根据终端设备的终端身份信息生成的;
用于将网元密钥发送给终端设备,以便终端设备从密钥管理中心的网元身份管理中心查询所述终端身份信息相对应的网元验证密钥,并通过判断网元密钥是否与网元验证密钥一致,来实现对身份认证节点的认证的模块。
11.根据权利要求10所述的身份认证节点,其特征在于,
身份认证节点还用于接收终端设备发送的终端公私钥对,其中,所述终端公私钥对包括终端身份信息和终端设备密钥;从终端公私钥对中提取终端身份信息和终端设备密钥;从密钥管理中心的行业用户身份管理中心查询所述终端身份信息相对应的终端验证密钥;通过判断终端设备密钥是否与终端验证密钥一致,来实现对终端设备的认证。
12.根据权利要求11所述的身份认证节点,其特征在于,
身份认证节点还用于接收终端设备发送的终端密码信息,其中,所述终端密码信息包括终端公私钥对与终端设备对应的行业服务器标识;从终端密码信息中提取行业服务器标识、终端身份信息和终端设备密钥;根据行业服务器标识确定待查询的行业身份管理服务器,从行业身份管理服务器查询所述终端身份信息相对应的终端验证密钥;通过判断终端设备密钥是否与终端验证密钥一致,来实现对终端设备的认证。
13.一种行业身份管理服务器,其特征在于,
行业身份管理服务器包括:
用于接收并存储密钥管理中心的行业用户身份管理中心生成并下发的终端密码信息的模块,其中,所述终端密码信息包括终端公私钥对与终端设备对应的行业服务器标识,所述终端公私钥对包括终端身份信息和终端设备密钥,终端设备的终端身份信息是密钥管理中心获取的,密钥管理中心的密钥生成中心将终端设备的终端身份信息作为公钥,密钥生成中心根据公钥生成终端设备密钥,密钥生成中心将终端公私钥对发送给行业用户身份管理中心,行业用户身份管理中心根据行业服务器标识,将终端公私钥对分发给对应的行业身份管理服务器;
用于根据终端身份信息,将终端公私钥对分发给相应的终端设备,以便身份认证节点根据终端设备密钥对终端设备进行认证的模块。
14.根据权利要求13所述的行业身份管理服务器,其特征在于,
行业身份管理服务器还用于响应于身份认证节点的终端验证密钥查询请求,查询所述终端身份信息相对应的终端验证密钥;并将所述终端验证密钥发送给身份认证节点,以便身份认证节点通过判断终端设备密钥是否与终端验证密钥一致,来实现对终端设备的认证。
15.一种数字签名认证系统,其特征在于,包括如权利要求7或8所述的密钥管理中心、如权利要求9所述的终端设备、以及如权利要求10-12中任一项所述的身份认证节点。
16.根据权利要求15所述的数字签名认证系统,其特征在于,还包括如权利要求13或14所述的行业身份管理服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711040735.7A CN109728901B (zh) | 2017-10-31 | 2017-10-31 | 数字签名认证方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711040735.7A CN109728901B (zh) | 2017-10-31 | 2017-10-31 | 数字签名认证方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109728901A CN109728901A (zh) | 2019-05-07 |
| CN109728901B true CN109728901B (zh) | 2022-04-08 |
Family
ID=66293032
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711040735.7A Active CN109728901B (zh) | 2017-10-31 | 2017-10-31 | 数字签名认证方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109728901B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112400299B (zh) * | 2019-06-17 | 2022-06-14 | 华为技术有限公司 | 一种数据交互方法及相关设备 |
| CN112822021B (zh) * | 2020-12-30 | 2022-10-21 | 中国农业银行股份有限公司 | 一种密钥管理方法和相关装置 |
| CN112560073A (zh) * | 2021-02-19 | 2021-03-26 | 支付宝(杭州)信息技术有限公司 | 验证数据来源可靠性的方法、装置及系统 |
| CN114513781A (zh) * | 2022-02-11 | 2022-05-17 | 青岛民航空管实业发展有限公司 | 一种空管智慧台站的身份认证方法及数据加解密方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101179380A (zh) * | 2007-11-19 | 2008-05-14 | 上海交通大学 | 一种双向认证方法、系统及网络终端 |
| CN102318258A (zh) * | 2009-02-17 | 2012-01-11 | 阿尔卡特朗讯公司 | 基于身份的认证密钥协商协议 |
| CN105491093A (zh) * | 2014-09-19 | 2016-04-13 | 中国移动通信集团公司 | 终端认证、网络访问的方法、服务器、无线接入点及终端 |
| CN106899413A (zh) * | 2017-04-07 | 2017-06-27 | 深圳奥联信息安全技术有限公司 | 数字签名验证方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7370202B2 (en) * | 2004-11-02 | 2008-05-06 | Voltage Security, Inc. | Security device for cryptographic communications |
-
2017
- 2017-10-31 CN CN201711040735.7A patent/CN109728901B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101179380A (zh) * | 2007-11-19 | 2008-05-14 | 上海交通大学 | 一种双向认证方法、系统及网络终端 |
| CN102318258A (zh) * | 2009-02-17 | 2012-01-11 | 阿尔卡特朗讯公司 | 基于身份的认证密钥协商协议 |
| CN105491093A (zh) * | 2014-09-19 | 2016-04-13 | 中国移动通信集团公司 | 终端认证、网络访问的方法、服务器、无线接入点及终端 |
| CN106899413A (zh) * | 2017-04-07 | 2017-06-27 | 深圳奥联信息安全技术有限公司 | 数字签名验证方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109728901A (zh) | 2019-05-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106357649B (zh) | 用户身份认证系统和方法 | |
| CN109728901B (zh) | 数字签名认证方法、装置和系统 | |
| CN110581854B (zh) | 基于区块链的智能终端安全通信方法 | |
| CN101189827B (zh) | 综合认证和管理服务提供者、终端和用户身份模块的方法以及使用该方法的系统和终端 | |
| CN105577665A (zh) | 一种云环境下的身份和访问控制管理系统及方法 | |
| CN111030814B (zh) | 秘钥协商方法及装置 | |
| US20080091941A1 (en) | Group Signature System, Member Status Judging Device, Group Signature Method And Member Status Judging Program | |
| CN108696360A (zh) | 一种基于cpk密钥的ca证书发放方法及系统 | |
| CN103297403A (zh) | 一种实现动态密码认证的方法和系统 | |
| CN103517273A (zh) | 认证方法、管理平台和物联网设备 | |
| CN101951603A (zh) | 一种无线局域网接入控制方法及系统 | |
| CN102098317A (zh) | 一种应用于云系统的数据传输方法及系统 | |
| CN112543166B (zh) | 实名登录的方法及装置 | |
| US20160142392A1 (en) | Identity management system | |
| CN104202170A (zh) | 一种基于标识的身份认证系统和方法 | |
| CN102255916A (zh) | 接入认证方法、设备、服务器及系统 | |
| US20160191482A1 (en) | System and method for providing authenticated communications from a remote device to a local device | |
| CN104506527A (zh) | 多维信息指针平台及其数据访问方法 | |
| JP2024503854A (ja) | データ取得方法、装置、機器及び記憶媒体 | |
| CN103634265A (zh) | 安全认证的方法、设备及系统 | |
| WO2013159818A1 (en) | Network application function authorisation in a generic bootstrapping architecture | |
| WO2008002081A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
| US20210110390A1 (en) | Methods, systems, and devices for managing digital assets | |
| CN105553979A (zh) | 一种智能电网中隐私信息的加密发布方法 | |
| CN110891067B (zh) | 一种可撤销的多服务器隐私保护认证方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |