CN110868415B - 远程身份验证方法及装置 - Google Patents
远程身份验证方法及装置 Download PDFInfo
- Publication number
- CN110868415B CN110868415B CN201911119907.9A CN201911119907A CN110868415B CN 110868415 B CN110868415 B CN 110868415B CN 201911119907 A CN201911119907 A CN 201911119907A CN 110868415 B CN110868415 B CN 110868415B
- Authority
- CN
- China
- Prior art keywords
- requester
- responder
- message
- verification
- subscriber
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种远程身份验证方法及装置,应用于身份验证平台,所述方法包括:当请求方与响应方的可信凭据与AIK证书均在有效期内,且响应方接收到请求方发送的请求报文时,身份验证平台接收请求方的请求验证报文,对请求报文进行验证,并向响应方发送请求方验证结果报文;当请求方的身份通过验证时,身份验证平台接收请求方发送的响应方的响应验证报文,对响应验证报文进行验证,并向请求方发送响应方验证结果报文,触发请求方对响应方验证结果报文进行验证,验证成功时,响应方的身份认证成功。通过本发明提供的方法,通过使用AIK证书对请求方与响应方的身份进行认证,提高通讯的匿名性,从而提高了通讯的隐蔽性,进一步保证通讯的安全。
Description
技术领域
本发明涉及工业信息安全技术领域,具体涉及一种远程身份验证方法及装置。
背景技术
随着工业技术的快速发展,众多的领域需要对设备进行数据采集并且对设备进行监视控制。SCADA(Supervisory ControI And Data Acquisition)系统,即数据采集与监控系统。SCADA系统是以计算机为基础的DCS(Distributed Control System)分布式控制系统与电力自动化监控系统,是可以进行数据采集、监视和控制的系统。SCADA系统主要应用于电力、冶金、石油、化工等领域的数据采集与监视控制以及过程控制等诸多领域。在进行数据采集与监控时,SCADA系统一般包括调控中心、站控系统以及通信系统,站控系统中通常配置了RTU(Remote Terminal Unit)远程监控终端,RTU通常应用于对设备的监视、控制与数据采集。
在目前的技术中,RTU与SCADA或是RTU与RTU之间通讯采用的通讯方式没有设置安全机制,双方仅仅通过明文传输的方式实现通讯,并且通讯时无法验证通讯双方的身份是否可信,使得双方在远程通讯的过程中易遭到攻击、被修改通讯内容以及被植入病毒等,双方之间的远程通讯安全性极低。
发明内容
有鉴于此,本发明提供一种远程身份验证方法,能够认证请求方与响应方的身份。通过本发明提供的方法,对所述请求方与响应方的身份进行认证,认证的过程中通过周期性的更换密钥、可信凭据等,避免通讯端遭到木马、病毒的劫持,从而提高双方通讯的安全性。
本发明提供一种远程身份验证装置,用于支持所述远程身份验证方法在实际应用中的实施。
为实现上述目的,本发明提供如下技术方案:
一种远程身份验证方法,应用于身份验证平台,所述方法包括:
在请求方的可信凭据、请求方的身份证言密钥AIK证书、响应方的可信凭据和响应方的AIK证书均在有效周期内的情况下,当所述响应方接收到所述请求方发送的请求报文时,接收由所述响应方发送的请求方验证报文,所述请求方验证报文由所述响应方应用所述响应方的AIK证书,对所述请求方向所述响应方发送的请求报文进行签名生成;
对所述请求方验证报文进行验证,生成请求方身份验证结果,并应用预设的验证平台数字证书对所述请求方身份验证结果进行签名,得到请求方身份验证结果报文,并向所述响应方发送所述请求方身份验证结果报文;
触发所述响应方对所述请求方身份验证结果报文进行签名验证,获取所述请求方身份验证结果报文中的所述请求方身份验证结果,并依据所述请求方验证结果判断所述请求方的身份是否验证通过;
当判断所述请求方的身份验证通过时,接收所述请求方发送的响应方验证报文,所述响应方验证报文由所述请求方应用所述请求方的AIK证书,对所述响应方向所述请求方发送的响应报文进行签名生成;
对所述响应方验证报文进行验证,生成响应方身份验证结果,并应用所述验证平台数字证书对所述响应方身份验证结果进行签名,得到响应方身份验证结果报文,并向所述请求方发送所述响应方身份验证结果报文,完成对所述请求方和响应方的身份验证。
上述方法,可选的,还包括:
当所述请求方接收到所述响应方身份验证结果报文时,触发所述请求方对所述响应方身份验证结果报文进行签名验证,获取所述响应方身份验证结果报文中的所述响应方身份验证结果,并依据所述响应方身份验证结果,判断所述响应方身份是否验证通过。
上述方法,可选的,所述对所述请求方验证报文进行验证,生成请求方验证结果,包括:
使用所述响应方的AIK证书对所述请求方验证报文进行签名验证,当签名验证通过时,获取所述请求方验证报文中的请求报文;
使用所述请求方的AIK证书对所述请求报文进行签名验证,当签名验证通过时,获取所述请求报文中的请求方可信凭据以及随机数,将所述随机数进行保存;
判断所述请求报文中的请求方的可信凭据与所述身份验证平台中的请求方的可信凭据是否一致;
当所述请求报文中的请求方的可信凭据与所述身份验证平台中的请求方的可信凭据一致时,对所述请求方的身份验证结果为身份验证通过。
上述方法,可选的,所述对所述响应方验证报文进行验证,生成响应方身份验证结果,包括:
使用所述请求方的AIK证书对所述响应方验证报文进行签名验证,当签名验证通过时,获取所述响应方验证报文中的响应报文;
使用所述响应方的AIK证书对所述响应报文进行签名验证,当签名验证通过时,获取所述响应报文中的响应方的可信凭据;
判断所述请求报文中的响应方的可信凭据与所述身份验证平台中的响应方的可信凭据是否一致;
当所述响应报文中的响应方的可信凭据与所述身份验证平台中的响应方的可信凭据一致时,对所述响应方的身份验证结果为身份验证通过。
上述方法,可选的,请求方或响应方获取有效AIK证书与可信凭据的过程,包括:
接收订阅方发送的订阅报文,所述订阅方为所述请求方或是响应方,所述订阅报文为所述订阅方使用所述身份验证平台的数字公钥对订阅信息进行加密得到;
使用预设的数字私钥对所述订阅报文进行解密,获取所述订阅报文中的订阅信息;
将所述订阅信息中订阅方的完整性度量信息进行记录,依据对所述订阅方的完整性度量信息的所有记录,生成所述订阅方的可信度量历史日志;
依据订阅方的可信度量历史日志,判断所述订阅信息中的订阅方完整性度量信息的正确性;
当所述订阅方完整性度量信息正确时,生成发布报文,向所述订阅方发送所述发布报文;
触发所述订阅方使用预设的AIK私钥对所述发布报文进行解密,并验证所述发布报文中的订阅方AIK证书和订阅方随机数,若验证成功,则所述订阅方获得对应的可信凭据与AIK证书。
上述方法,可选的,所述判断所述订阅信息中的订阅方完整性度量信息的正确性,包括:
将所述订阅信息中的订阅方完整性度量信息与所述订阅方的可信度量历史日志进行比对;
当所述订阅方完整性度量信息与所述订阅方的可信度量历史日志比对一致时,所述订阅信息中的订阅方完整性度量信息正确。
上述方法,可选的,所述生成发布报文,并向所述订阅方发送所述发布报文,包括:
生成发布信息,所述发布信息包括订阅方随机数、订阅方可信凭据以及订阅方AIK证书;
使用所述订阅方AIK公钥对所述发布信息进行加密,生成发布报文,并将所述发布报文发送至所述订阅方。
一种远程身份验证装置,应用于身份验证平台,所述装置包括:
第一接收单元,用于在请求方的可信凭据、请求方的AIK证书、响应方的可信凭据和响应方的AIK证书均在有效周期内的情况下,当所述响应方接收到所述请求方发送的请求报文时,接收由所述响应方发送的请求方验证报文,所述请求方验证报文由所述响应方应用所述响应方的AIK证书,对所述请求方向所述响应方发送的请求报文进行签名生成;
第一验证单元,用于对所述请求方验证报文进行验证,生成请求方身份验证结果,并应用预设的验证平台数字证书对所述请求方身份验证结果进行签名,得到请求方身份验证结果报文,并向所述响应方发送所述请求方身份验证结果报文;
触发单元,用于触发所述响应方对所述请求方身份验证结果报文进行签名验证,获取所述请求方身份验证结果报文中的所述请求方身份验证结果,并依据所述请求方验证结果判断所述请求方的身份是否验证通过;
发送单元,用于当判断所述请求方的身份验证通过时,接收所述请求方发送的响应方验证报文,所述响应方验证报文由所述请求方应用所述请求方的AIK证书,对所述响应方向所述请求方发送的响应报文进行签名生成;
第二验证单元,用于对所述响应方验证报文进行验证,生成响应方身份验证结果,并应用所述验证平台数字证书对所述响应方身份验证结果进行签名,得到响应方身份验证结果报文,并向所述请求方发送所述响应方身份验证结果报文,完成对所述请求方和响应方的身份验证。
上述的装置,可选的,还包括:
第三验证单元,用于当所述请求方接收到所述响应方身份验证结果报文时,触发所述请求方对所述响应方身份验证结果报文进行签名验证,获取所述响应方身份验证结果报文中的所述响应方身份验证结果,并依据所述响应方身份验证结果,判断所述响应方身份是否验证通过。
上述的装置,可选的,所述第一验证单元,包括:
第一获取子单元,用于使用所述响应方的AIK证书对所述请求方验证报文进行签名验证,当签名验证通过时,获取所述请求方验证报文中的请求报文;
第一签名验证子单元,用于使用所述请求方的AIK证书对所述请求报文进行签名验证,当签名验证通过时,获取所述请求报文中的请求方可信凭据以及随机数,将所述随机数进行保存;
第一判断子单元,用于判断所述请求报文中的请求方的可信凭据与所述身份验证平台中的请求方的可信凭据是否一致;当所述请求报文中的请求方的可信凭据与所述身份验证平台中的请求方的可信凭据一致时,对所述请求方的身份验证结果为身份验证通过。
上述的装置,可选的,所述第二验证单元,包括:
第二获取子单元,用于使用所述请求方的AIK证书对所述响应方验证报文进行签名验证,当签名验证通过时,获取所述响应方验证报文中的响应报文;
第二签名验证子单元,用于使用所述响应方的AIK证书对所述响应报文进行签名验证,当签名验证通过时,获取所述响应报文中的响应方的可信凭据;
第二判断子单元,用于判断所述请求报文中的响应方的可信凭据与所述身份验证平台中的响应方的可信凭据是否一致;当所述响应报文中的响应方的可信凭据与所述身份验证平台中的响应方的可信凭据一致时,对所述响应方的身份验证结果为身份验证通过。
上述的装置,可选的,还包括:
第二接收单元,用于接收订阅方发送的订阅报文,所述订阅报文为所述订阅方使用所述身份验证平台的数字公钥对订阅信息进行加密得到,所述订阅方为所述请求方或响应方;
获取单元,用于使用预设的数字私钥对所述订阅报文进行解密,获取所述订阅报文中的订阅信息;
生成单元,用于将所述订阅信息中订阅方的完整性度量信息进行记录,依据对所述订阅方的完整性度量信息的所有记录,生成所述订阅方的可信度量历史日志;
判断单元,用于依据订阅方的可信度量历史日志,判断所述订阅信息中的订阅方完整性度量信息的正确性;
发送单元,用于当所述订阅方完整性度量信息正确时,并生成发布报文,向所述订阅方发送所述发布报文;
解密单元,用于触发所述订阅方使用预设的AIK私钥对所述发布报文进行解密,并验证所述发布报文中的订阅方AIK证书和订阅方随机数,若验证成功,则所述订阅方获得对应的可信凭据与AIK证书。
上述的装置,可选的,还包括:
第二接收单元,用于接收订阅方发送的订阅报文,所述订阅方为所述请求方或响应方,所述订阅报文为所述订阅方使用所述身份验证平台的数字公钥对订阅信息进行加密得到;
获取单元,用于使用预设的数字私钥对所述订阅报文进行解密,获取所述订阅报文中的订阅信息;
生成单元,用于将所述订阅信息中订阅方的完整性度量信息进行记录,依据对所述订阅方的完整性度量信息的所有记录,生成所述订阅方的可信度量历史日志;
判断单元,用于依据订阅方的可信度量历史日志,判断所述订阅信息中的订阅方完整性度量信息的正确性;
发送单元,用于当所述订阅方完整性度量信息正确时,并生成发布报文,向所述订阅方发送所述发布报文;
解密单元,用于触发所述订阅方使用预设的AIK私钥对所述发布报文进行解密,并验证所述发布报文中的订阅方AIK证书和订阅方随机数,若验证成功,则所述订阅方获得对应的可信凭据与AIK证书。
上述的装置,可选的,所述判断单元,包括:
比对子单元,用于将所述订阅信息中的订阅方完整性度量信息与所述订阅方的可信度量历史日志进行比对;当所述订阅方完整性度量信息与所述订阅方的可信度量历史日志比对一致时,所述订阅信息中的订阅方完整性度量信息正确。
上述的装置,可选的,所述发送单元,包括:
生成子单元,用于生成发布信息,所述发布信息包括订阅方随机数、订阅方可信凭据以及订阅方AIK证书;
加密子单元,用于使用所述订阅方AIK公钥对所述发布信息进行加密,生成发布报文,并将所述发布报文发送至所述订阅方。
一种电子设备,包括存储器,以及一个或一个以上的指令,其中一个或者一个以上指令存储于存储器中,且经配置以由一个或者一个以上处理器执行如上所述的远程身份验证方法。
基于上述本发明提供的方法,有以下优点:
本发明提供了一种远程身份验证方法,包括:当所述请求方与所述响应方的可信凭据与AIK证书均在有效期内时,当响应方接收到请求方发送的请求报文时,身份验证平台接收所述请求方的请求验证报文,对所述请求验证报文进行验证,并向所述响应方发送请求方验证结果;当所述请求方的身份通过验证时,所述请求方接收响应方发送的响应请求,并向所述身份验证平台发送响应方的响应验证报文,所述身份验证平台对所述响应验证报文进行验证,并向所述请求方发送响应方验证结果,所述请求方对所述响应方验证结果进行验证,若验证成功,则所述响应方的身份认证成功。通过本发明实施例提供的方法,通过使用AIK证书对请求方与响应方的身份进行验证,提高了通讯的匿名性,从而提高了通讯的隐蔽性,进一步提高了通讯的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明提供的一种远程身份验证方法的方法流程图;
图2为本发明提供的一种远程身份验证方法的又一方法流程图;
图3为本发明提供的一种远程身份验证方法的又一方法流程图;
图4为本发明提供的一种远程身份验证方法的又一方法流程图;
图5为本发明提供的一种远程身份验证装置的结构示意图;
图6为本发明提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本申请中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本发明可以应用于众多通用或专用的计算装置环境或配置中。例如:个人计算机、服务器计算机、手机设备或便携式设备、平板型设备、多处理器装置、包括以上任何装置或设备的分布式计算环境等。
本发明实施例提供一种远程身份验证方法,该方法可应用于SCADA系统中,还可应用于SCADA系统与RTU控制器进行通讯,或是应用于RTU控制器与RTU控制器进行通讯时,对通讯双方的身份验证,提高通讯双方进行通讯时的安全性。本发明实施例提供的方法的执行主体可以为处理器,本发明实施例提供的方法,可应用于身份验证平台,所述身份验证平台可对进行通讯的通讯设备的身份进行验证,身份验证平台可由计算机组成,所述身份验证平台可以用于对进行通讯的请求方和响应方的身份进行验证,所述方法的方法流程图如图1所示,具体包括:
S101:在请求方的可信凭据、请求方的AIK证书、响应方的可信凭据和响应方的AIK证书均在有效周期内的情况下,当所述响应方接收到所述请求方发送的请求报文时,接收由所述响应方发送的请求方验证报文,所述请求方验证报文由所述响应方应用所述响应方的AIK证书,对所述请求方向所述响应方发送的请求报文进行签名生成。
本发明实施例提供的方法中,所述请求方可以为SCADA系统或是RTU控制器,所述响应方可以为RTU控制器;所述请求方与响应方均有身份证言密钥(Attestation IdentityKey,AIK)AIK证书以及可信凭据,所述AIK证书和可信凭据的具有有效周期,当所述请求方的AIK证书、请求方的可信凭据、响应方的AIK证书和响应方的可信凭据均在有效周期内时,请求方与响应方进行通讯时身份验证平台才能对请求方和响应方的身份进行校验。
当所述请求方的AIK证书和可信凭据,以及所述响应方的AIK证书和可信凭据,均在有效周期内,并且所述请求方与响应方进行通讯时,请求方生成请求信息,所述请求方使用请求方的AIK证书对所述请求信息进行签名,生成请求方的请求报文。需要说明的是,所述请求信息中包括请求方的可信凭据、请求方的设备信息、请求方生成的随机数、请求方的AIK证书。
本发明实施例提供的方法中,请求方将请求报文发送至响应方,响应方应用响应方的AIK证书对请求报文进行签名,生成请求方验证报文,并将所述请求方验证报文发送至身份验证平台;将对所述请求信息中的随机进行保存。
需要说明的是,所述请求方使用请求方的AIK证书对所述请求信息进行签名时,相当于所述请求方使用请求方的AIK证书中的私钥信息对请求信息进行签名;所述响应方使用响应方的AIK证书中的私钥信息对所述请求报文进行签名;所述请求信息中的请求方的AIK证书中包含所述请求方的AIK证书的公钥信息。
S102:对所述请求方验证报文进行验证,生成请求方身份验证结果,并应用预设的验证平台数字证书对所述请求方身份验证结果进行签名,得到请求方身份验证结果报文,并向所述响应方发送所述请求方身份验证结果报文。
本发明实施例提供的方法中,身份验证平台对响应方发送的请求方身份验证报文进行进行验证,得到对请求方身份验证的结果信息,以及在所述请求方验证报文中的随机数,所述随机数为S101中请求信息中的随机数;所述请求方身份验证的结果信息和所述随机数组成请求方身份验证结果。应用身份验证平台中预先存储的验证平台数字证书对所述请求方身份验证结果进行签名,得到请求方身份验证报文结果。需要说明的是,所述请求方身份验证报文结果中包含所述请求方身份验证结果和应用验证平台数字证书对所述请求方身份验证结果的签名;所述请求方身份验证结果中包含请求方身份验证的结果信息和所述请求方验证报文中的随机数。
S103:触发所述响应方对所述请求方身份验证结果报文进行签名验证,获取所述请求方身份验证结果报文中的所述请求方身份验证结果,并依据所述请求方验证结果判断所述请求方身份是否验证通过。
本发明实施例提供的方法中,响应方使用预先获取的验证平台数字证书对所述请求方身份验证结果报文进行签名验证,当签名验证通过时,获取所述请求方身份验证结果报文中的请求方身份验证结果,所述请求方身份验证结果中包含所述请求方身份验证的结果信息和随机数,当所述随机数和请求信息中的随机数一致时,表征所述请求方身份验证结果报文的来源可信赖。依据所述请求方身份验证的结果信息,判断所述请求方的身份是否验证通过;当所述请求方身份验证的结果信息表征所述请求方身份不可信时,判定所述请求方的身份验证不通过;当所述请求方身份验证的结果信息表征所述请求方身份可信时,判定所述请求方的身份验证通过。
S104:当判断所述请求方的身份验证通过时,接收所述请求方发送的响应方验证报文,所述响应方验证报文由所述请求方应用所述请求方的AIK证书,对所述响应方向所述请求方发送的响应报文进行签名生成。
本发明实施例提供的方法中,当所述请求方的身份验证通过时,响应方向所述请求方发送响应报文,所述请求方应用请求方的AIK证书,对所述响应报文进行签名,生成响应方验证报文,并将所述响应方验证报文发送至身份验证平台。需要说明的是,所述响应报文为所述响应方应用响应方的AIK证书对响应信息进行签名生成;所述响应信息中包括:响应方的可信凭据、响应方的设备信息、请求方生成的随机数、响应方的AIK证书;所述请求方生成的随机数为S101中的随机数。
S105:对所述响应方验证报文进行验证,生成响应方身份验证结果,并应用所述验证平台数字证书对所述响应方身份验证结果进行签名,得到响应方身份验证结果报文,并向所述请求方发送所述响应方身份验证结果报文,完成对所述请求方和响应方的身份验证。
本发明实施例提供的方法中,身份验证平台对所述响应方验证报文进行验证,得到响应方身份验证的结果信息以及随机数;所述响应方身份验证的结果信息和所述随机数组成响应方身份验证结果。应用验证平台数字证书对所述响应方身份验证结果进行签名,得到响应方身份验证结果报文,并将所述响应方身份验证结果报文发送至所述请求方,完成对所述请求方和响应方的身份验证。
本发明实施例提供的方法中,当所述响应方接收到所述请求方发送的请求报文时,身份验证平台接收由响应方发送的请求方验证报文,对所述请求方验证报文进行验证,生成请求方身份验证结果;应用预设的验证平台数字证书对所述请求方身份验证结果进行签名,将得到的请求方身份验证结果报文发送至响应方;响应方依据请求方身份验证结果报文判断所述请求方的身份是否验证通过,当所述请求方的身份验证通过时,向请求方发送响应报文;触发所述请求方向身份验证平台发送响应方验证报文,身份验证平台对所述响应方验证报文进行验证,生成响应方验证结果,并将所述响应方验证结果发送至请求方,身份验证平台完成对请求方和响应方的身份验证。应用本发明,实现请求方与响应方之间的身份认证,降低了双方在进行通讯时被攻击或是通讯信息被修改的可能性,提高了请求方与响应方之间的通讯安全性。
本发明实施例提供的方法中,身份验证平台对响应方的身份进行验证时,需要对请求方验证报文进行验证,具体验证过程如图2所示,具体说明如下所述:
S201:对所述响应方验证报文进行验证,生成响应方身份验证结果,并应用所述验证平台数字证书对所述响应方身份验证结果进行签名,得到响应方身份验证结果报文,并向所述请求方发送所述响应方身份验证结果报文,完成对所述请求方和响应方的身份验证。
本发明实施例提供的方法中,响应方的AIK证书为预先保存在身份验证平台中的,可根据所述响应方的设备信息在身份验证平台的数据库中查找对应的AIK证书;当身份验证平台应用所述响应方的AIK证书对所述请求方验证报文的签名验证通过时,表征所述请求方验证报文的来源可信,并获取所述请求方验证报文中的请求报文。
S202:使用所述请求方的AIK证书对所述请求报文进行签名验证,当签名验证通过时,获取所述请求报文中的请求方可信凭据以及随机数,将所述随机数进行保存。
本发明实施例提供的方法中,获取到所述请求方验证报文中的请求报文之后,确定所述请求方的AIK证书,所述请求方的AIK证书可以根据请求方的设备信息在身份验证平台的数据库中进行查找;当身份验证平台应用所述请求方的AIK证书对所述请求报文进行签名验证通过时,获取所述请求报文中的请求方可信凭证以及随机数。
S203:判断所述请求报文中的请求方的可信凭据与所述身份验证平台中的请求方的可信凭据是否一致。
本发明实施例提供的方法中,依据所述请求方的设备信息,在身份验证平台的数据库中查找与所述请求方对应的可信凭据,并将查找到的可信凭据与从请求报文中得到的可信凭据进行比对,得到比对结果,依据比对结果,判断请求方的身份是否验证通过。
S204:当所述请求报文中的请求方的可信凭据与所述身份验证平台中的请求方的可信凭据一致时,对所述请求方的身份验证结果为身份验证通过。
本发明实施例提供的方法中,当所述请求报文中的请求方的可信凭据与身份验证平台中的请求方的可信凭据的比对结果一致时,身份验证平台对请求方身份的验证结果为验证通过;当所述请求报文中的请求方的可信凭据与身份验证平台中的请求方的可信凭据的比对结果不一致时,身份验证平台对请求方身份的验证结果为验证不通过。
本发明实施例提供的方法中,身份验证平台应用验证平台数字证书将请求方身份的验证结果进行签名,得到请求方身份验证结果报文,并将所述请求验证结果报文发送至所述响应方,触发所述响应方对所述请求方验证结果报文进行签名验证,以获得所述身份验证平台对所述请求方身份的验证结果,当所述响应方得到的所述请求方身份的验证结果为验证通过时,所述响应方向所述请求方发送响应报文,以触发所述请求方对所述响应报文进行签名验证,生成响应方验证报文,并将所述响应方验证报文发送至身份验证平台,触发所述身份验证平台依据所述响应方验证报文对所述响应方的身份进行验证,具体的验证过程如下所述;需要说明的是,当所述响应方得到的请求方身份的验证结果为验证不通过时,则不向请求方发送响应报文,停止对响应方和请求方的身份验证。
所述身份验证平台以及所述响应方验证报文对所述响应方的身份进行验证的具体过程如下所述:
使用所述请求方的AIK证书对所述响应方验证报文进行签名验证,当签名验证通过时,获取所述响应方验证报文中的响应报文;
使用所述响应方的AIK证书对所述响应报文进行签名验证,当签名验证通过时,获取所述响应报文中的响应方的可信凭据;
判断所述请求报文中的响应方的可信凭据与所述身份验证平台中的响应方的可信凭据是否一致;
当所述响应报文中的响应方的可信凭据与所述身份验证平台中的响应方的可信凭据一致时,对所述响应方的身份验证结果为身份验证通过。
需要说明的是,当所述响应报文中的响应方的可信凭据与所述身份验证平台中的响应方的可信凭据不一致时,身份验证平台对所述响应方的身份验证结果为身份验证不通过。
本发明实施例提供的方法中,通过应用本发明的提供的方法,通过对所述请求方与所述响应方对应的可信凭据进行验证,确定所述请求方与所述响应方的身份是否可信,在验证的过程中,通过一系列的签名验证,验证了所述请求方与所述响应方的身份以及确保在进行认证的过程中发送的信息不被修改,降低了双方在进行通讯时被攻击或是信息被修改的可能性,进而提高了双方在通讯时的安全性。
本发明实施例提供的方法中,所述请求方与所述响应方进行通讯时,所述身份验证平台对所述请求方与所述响应方的身份进行验证,其验证的过程包括一系列的签名验证,以及可信凭据的验证过程,其验证的具体过程如图3所示,具体包括:
S301:请求方向响应方发送请求报文。
本发明实施例提供的方法中,当所述请求方与所述响应方对应的可信凭据与对应的AIK证书在有效周期内,当所述请求方与所述响应方进行通讯时,需要对所述请求方与所述响应方的身份进行认证;所述请求方生成请求信息,所述请求信息包括预先分配的请求方的AIK证书、预先分配的请求方的可信凭据、请求方的设备信息以及请求方按照预先设置的方法生成的请求方随机数;需要说明的是,所述请求方的设备信息可以为所述请求方的唯一标识号或者为身份标识号;需要说明的是,所述预先设置的方法可以为哈希算法或者为可生成随机数的其他方法;需要说明的是,所述请求方的AIK证书、所述请求方的可信凭据进行周期性更换,当所述请求方的AIK证书、所述请求方的可信凭据超过有效周期时,由身份验证平台进行分配,所述身份验证平台将所述请求方的AIK证书以及所述请求方的可信凭据,均与所述请求方的设备信息进行关联存储以及分配。
需要说明的是,所述请求方使用预先分配的请求方的AIK证书对所述请求信息进行签名,生成请求报文;所述请求报文包括签名及请求信息,所述签名为所述请求方使用预先分配的请求方的AIK证书对所述请求信息进行签名得到。
S302:响应方向身份验证平台发送请求方验证报文。
本发明实施例提供的方法中,当所述响应方接收到所述请求方发送的请求报文时,所述响应方使用响应方的AIK证书对所述请求报文进行签名,生成请求方验证报文,所述请求方验证报文包括所述请求报文,以及所述响应方使用AIK证书对所述请求报文进行签名得到签名信息,所述响应AIK证书通过身份验证平台进行配置,所述响应方的AIK证书存在有效周期,即超过有效周期时,所述响应方的AIK证书失效,所述请求方需向所述身份验证平台重新申请获得有效的响应方的AIK证书。
S303:身份验证平台验证接收到的请求方验证报文。
本发明实施例提供的方法中,所述身份验证平台通过所述响应方的设备信息,查找到与所述响应方对应的AIK证书,使用响应方的AIK证书验证所述请求方验证报文中的签名;当通过签名的验证时,所述身份验证平台通过所述请求方的设备信息,选择与所述请求方对应的AIK证书,并使用请求方的AIK证书对所述请求报文中的签名进行验证,当所述签名验证通过时,获得所述请求报文中的请求信息,并判断所述请求信息中的请求方的可信凭据是否正确;需要说明的是,所述身份验证平台通过所述请求方的设备信息,获得数据库中与所述请求方对应的可信凭据,通过将数据库中获得的请求方的可信凭据与所述请求信息中的请求方的可信凭据进行比对,判断所述请求信息中的请求方的可信凭据是否正确,生成对所述请求方的可信凭据的判断结果;当两者一致时,所述请求信息中的请求方的可信凭据正确,请求方的身份验证通过;当两者不一致时,所述请求信息中的请求可信凭据不正确,所述请求方的身份验证不通过;需要说明的是,对所述请求可信凭据进行判断的结果为请求方验证结果。
需要说明的是,所述身份验证平台使用自身的数字证书对请求方验证结果进行签名,生成请求方身份验证结果报文;所述请求方身份验证结果报文包括请求方身份验证结果以及进行签名生成的签名信息;所述请求方身份验证结果包括请求方身份是否验证通过的信息以及请求方的随机数。
S304:身份验证平台将请求方身份验证结果报文发送给所述响应方。
本发明实施例提供的方法中,所述身份验证平台将所述步骤S203中的请求方身份验证结果报文发送给所述响应方,以触发所述响应方对所述请求方验证结果报文进行验证。
S305:响应方验证接收到的所述请求方身份验证结果报文。
本发明实施例提供的方法中,当所述响应方接收到所述请求方身份验证结果报文时,使用预先获取的数字证书对所述请求方身份验证结果报文中签名进行验签,当验签通过时,获得所述请求方身份验证结果报文中的请求方身份验证结果,并使用预先获得的请求方的随机数对所述请求方身份验证结果中的随机数进行比对,当两者比对一致时,接收到的请求方身份验证结果报文是正确的、可信赖的;获得所述请求方身份验证结果中的请求方身份是否验证通过的信息,当请求方身份验证结果中的请求方身份是否验证通过的信息表征所述请求方身份验证通过时,所述请求方的身份验证通过,则执行步骤S306;当所述请求方身份验证结果中的请求方身份是否验证通过的信息表征所述请求方身份验证不通过时,所述请求方的身份验证不通过,停止身份认证流程。
S306:响应方向所述请求方发送响应报文。
本发明实施例提供的方法中,当所述请求方的身份验证通过时,生成响应信息,所述响应信息包括响应方的可信凭据、响应方的设备信息、请求方的随机数、响应方的AIK证书;响应方使用响应方的AIK证书对所述响应信息进行签名,生成响应报文,所述响应报文包括响应信息以及所述响应方使用AIK证书对所述响应信息进行签名的信息;
需要说明的是,所述发起方随机数为步骤S306中验证结果信息中的发起方随机数。
S307:请求方向身份验证平台发送响应方验证报文。
本发明实施例提供的方法中,当所述请求方接收到所述响应方发送的响应报文时,所述请求方使用请求方的AIK证书对所述响应报文进行签名,生成响应方验证报文,所述响应方验证报文包括所述响应报文以及所述请求方使用请求方的AIK证书对所述响应报文进行签名时生成的签名信息。
S308:所述身份验证平台对所述响应方验证报文进行验证。
本发明实施例提供的方法中,所述身份验证平台通过请求方的设备信息,获取与所述请求方的AIK证书,使用所述请求方的AIK证书对所述响应方验证报文中的签名进行验签,当验签通过时,获得响应报文;所述身份验证平台获取与所述响应方设备信息对应的响应方的AIK证书,使用获取的响应方的AIK证书验证所述响应报文中签名以及响应信息中的响应方的AIK证书,当验证通过时,所述身份验证平台通过所述响应方设备信息获取与所述响应方的可信凭据,将所述响应方的可信凭据与所述响应信息中的响应方的可信凭据进行比对,生成比对结果;当比对结果一致时,所述响应信息中的响应方的可信凭据正确,所述响应方身份验证通过;当比对结果不一致时,所述响应信息中的响应方的可信凭据不正确,所述响应方身份验证不通过;需要说明的是,所述响应信息中的响应方的可信凭据的比对结果即为响应方身份验证结果。
S309:身份验证平台向所述请求方发送响应方身份验证结果报文。
本发明实施例提供的方法中,所述身份验证平台使用数字证书对步骤S308中的响应方身份验证结果进行签名,生成响应方身份验证结果报文,所述响应方身份验证结果报文包括签名信息以及响应方的身份是否验证通过的信息;需要说明的是,所述响应方身份验证结果报文中的签名信息为所述数字证书对所述响应方验证结果信息进行签名后得到的签名信息;所述响应方身份验证结果包括表征所述响应方身份是否验证通过的信息以及所述请求方的随机数。
S310:请求方验证所述响应方身份验证结果报文。
本发明实施例提供的方法中,当请求方接收到所述身份验证平台发送的响应方身份验证结果报文时,使用预先获取的数字证书验证所述响应方验证结果报文中的签名;当签名验证通过时,获得所述响应方身份验证结果报文中的响应方验证结果,当所述响应方验证结果中的信息表征响应方身份验证通过时,所述响应方的身份认证通过;当所述响应方验证结果中的信息表征响应方身份验证不通过时,所述响应方的身份认证不通过;需要说明的是,所述请求方使用请求方预先生成并存储的请求方的随机数与所述响应方验证结果信息中的请求方的随机数进行比对,以确保所述请求方接收到的响应方身份验证结果报文是正确的、可信赖的。
需要说明的是,本发明实施例提供的方法中,在图3所示的流程中,在步骤S305中当所述请求方的身份认证失败后,请求方的随机数失效;或是在步骤S310请求方验证所述响应方的身份为不通过时,请求方的随机数失效;通过周期性的更新AIK证书、可信凭据等,有效的防止重放、伪装攻击,保证了所述请求方与所述响应方通讯的安全性。
本发明实施例提供的方法中,通过对请求方与响应方的身份认证,提高了双方间通讯的安全性,避免了双方在通信时受到攻击,在双方身份的认证过程中,通过对传输的信息进行签名,从而降低了传输的信息被修改的可能性。在双方进行身份认证时,应用到了对应的AIK证书以及对应的可信凭据,所述AIK证书与所述可信凭据具有有效周期,所述周期可根据实际情况进行设置,所述有效周期可以以“周”、“月”、“天”、“分钟”等为周期单位进行设置,AIK证书与可信凭据的有效周期相同。当超过有效周期时,所述请求方或响应方向所述身份验证平台重新请求获取对应的AIK证书以及可信凭据;需要说明的是,本发明实施例提供的方法中,所述AIK证书与所述可信凭据也可以在双方身份认证成功或者是失败之后失效,即所述AIK证书与所述可信凭据是一次性的;当下一次双方的身份进行认证时,需要重新获取对应的AIK证书以及对应的可信凭据。
需要说明的是,所述请求方与所述响应方请求获取AIK证书与可信凭据的具体过程如图4所示;当所述请求方的AIK证书、请求方的可信凭据、响应方的AIK证书以及响应方的可信凭据失效时,所述请求方与所述响应方向所述身份验证平台请求获取所述AIK证书以及可信凭据,此时所述请求方或所述响应方为订阅方,对图4的具体说明,如下所述:
S401:订阅方向身份验证平台发送获取凭据报文。
本发明实施例提供的方法中,所述订阅方生成获取凭据报文,需要说明的是,所述订阅方生成凭据随机数,订阅方AIK公私钥对;所述订阅方使用预先获得的身份验证平台的数字证书公钥对凭据信息进行加密,生成的加密密文为所述获取凭据报文,所述凭据信息包括订阅方随机数,订阅方设备信息,订阅方完整性度量信息,订阅方AIK公钥;
需要说明的是,所述订阅方设备信息可以为所述订阅方的唯一ID号,或是唯一标识号等;需要说明的是,所述订阅方随机数与上文图2中的请求方随机数不同,图2中请求方随机数由请求方生成,主要用于请求方与响应方在身份认证的过程中防止身份假冒,重放攻击;订阅方随机数由订阅方生成,订阅方可以为请求方或是响应方,所述订阅方随机数用于确保订阅方与身份验证平台双方之间的身份认证。
S402:所述身份验证平台验证所述获取凭据报文。
本发明实施例提供的方法中,所述身份验证平台使用数字证书私钥对所述获取凭据报文进行解密,获取所述凭据信息,并对所述凭据信息中的订阅方完整性度量信息进行验证,所述身份验证平台依据所述订阅方设备信息获取与所述订阅方对应的预先生成的可信度量历史日志,将所述订阅方完整性度量信息与所述可信度量历史日志进行比对;当比对一致时,所述订阅方的身份可信,则所述身份验证平台生成发布凭据报文,并执行步骤S303;当比对不一致时,则可信凭据获取失败,停止后续获取可信凭据的流程。
S403:所述身份验证平台向所述订阅方发送发布凭据报文。
本发明实施例提供的方法中,当所述订阅方的身份可信时,接收所述身份验证平台发送的发布凭据报文,所述发布凭据报文为所述身份验证平台使用所述凭据信息中的订阅方AIK公钥对发布信息进行加密生成的密文;所述发布信息包括订阅方随机数,订阅方可信凭据,订阅方AIK证书;需要说明的是,身份验证平台将所述可信凭据及订阅方AIK证书进行保存,保存时与所述订阅方设备信息进行关联保存。
S404:所述订阅方验证所述发布凭据报文。
本发明实施例提供的方法中,所述订阅方使用订阅方私钥对所述发布凭据报文进行解密,获得并验证发布信息中的订阅方随机数以及订阅方AIK证书,当验证正确时,则可信凭据获取成功;需要说明的是,所述订阅方使用步骤S401中生成的订阅方随机数与发送信息中的订阅方随机数进行比对,所述订阅方使用步骤S401中生成的订阅方AIK公私钥对与所述发送信息中的AIK证书进行比对;当所述发送信息中的订阅方随机数与所述发送信息中的AIK证书的比对结果均一致时,成功获取对应的可信凭据与AIK证书。
需要说明的是,所述订阅方随机数在获取所述可信凭据与AIK证书成功,或者获取所述可信凭据与AIK证书失败后均失效,这样可有效的防止重放、伪装攻击。
本发明实施例提供的方法中,所述订阅方,即所述请求方或所述响应方,向所述身份验证平台请求获取可信凭据与AIK证书时,通过本发明实施例提供的方法,有效的对所述订阅方平台的完整性进行了验证;通过对所述订阅方的平台完整性进行验证,当所述订阅方可信时,向所述订阅方发送可信凭据以及AIK证书,以用于所述响应方与所述请求方进行身份认证。
本发明实施例提供的方法中,所述请求方和响应方中均具有相同结构的身份认证模块,以便于对接收到的数据进行签名以及验证等,关于身份认证模块的说明如下所述:
所述身份认证模块中包括可信密码子模块、可信凭据请求通讯子模块、可信凭据请求处理子模块、远程证明通讯子模块和远程证明处理子模块;
所述可信密码子模块,用于存储可信度量值、EK数字证书、存储数字证书、AIK数字证书以及对数据的非对称加密、对称加密、签名、验签、哈希计算等;
所述可信凭据请求通讯子模块,用于请求获取可信凭据时所需的通讯交互;
所述可信凭据请求处理子模块,用于生成可信凭据请求所需的信息、验证可信凭据响应信息的正确性;
所述远程证明通讯子模块,用于远程证明所需的通讯交互,以及用于身份认证模块对外的通讯交互;
所述的远程证明处理子模块用于处理远程证明通讯交互的信息。
本发明实施例提供的方法中,所述身份验证平台中设置有可信验证服务器,以便于对请求方和响应方的身份进行验证,所述可信验证服务器包括:可信验证模块、AIK证书请求模块、AIK证书数据库模块、可信凭据数据库模块和通讯模块;
其中,所述可信验证模块用于验证平台的完整性;
所述AIK证书请求处理模块用于将验证AIK证书请求处理信息的正确性;
所述AIK证书数据库模块用于将管理其所创建的AIK证书;
所述可信凭据数据库模块用于将管理与验证可信凭据的有效性;
所述通讯模块为可信验证服务器对外的通讯交互。
需要说明的是,通过使用本发明实施提供的方法,在所述请求方与所述响应方进行通讯时,对双方的身份进行认证,在身份进行认证时通过使用AIK证书提高了认证时的匿名性,本发明实施例提供的方法不仅对双方的身份进行了认证,同时实现了请求方平台与响应方平台的完整性认证,通过使用发明实施例提供的方法,有效提高了双方在通讯时的安全性。
与图1所述的方法相对应的,本发明实施例还提供了一种远程身份验证装置,用于对图1中方法的具体实现,本发明实施例提供的远程身份验证装置可以应用在SCADA系统中,或是其他的工业控制系统中,其结构示意图如图5所示,具体包括:
第一接收单元501,用于在请求方的可信凭据、请求方的AIK证书、响应方的可信凭据和响应方的AIK证书均在有效周期内的情况下,当所述响应方接收到所述请求方发送的请求报文时,接收由所述响应方发送的请求方验证报文,所述请求方验证报文由所述响应方应用所述响应方的AIK证书,对所述请求方向所述响应方发送的请求报文进行签名生成;
第一验证单元502,用于对所述请求方验证报文进行验证,生成请求方身份验证结果,并应用预设的验证平台数字证书对所述请求方身份验证结果进行签名,得到请求方身份验证结果报文,并向所述响应方发送所述请求方身份验证结果报文;
触发单元503,用于触发所述响应方对所述请求方身份验证结果报文进行签名验证,获取所述请求方身份验证结果报文中的所述请求方身份验证结果,并依据所述请求方验证结果判断所述请求方的身份是否验证通过;
发送单元504,用于当判断所述请求方的身份验证通过时,接收所述请求方发送的响应方验证报文,所述响应方验证报文由所述请求方应用所述请求方的AIK证书,对所述响应方向所述请求方发送的响应报文进行签名生成;
第二验证单元505,用于对所述响应方验证报文进行验证,生成响应方身份验证结果,并应用所述验证平台数字证书对所述响应方身份验证结果进行签名,得到响应方身份验证结果报文,并向所述请求方发送所述响应方身份验证结果报文,完成对所述请求方和响应方的身份验证。
本发明提供的装置中,当所述请求方和所述响应方的AIK证书以及可信凭据均在有效期内时,所述请求方与所述响应方进行通讯时需要对双方的身份进行认证,在对双方身份认证的过程中通过使用AIK证书对发送的信息进行签名,并对进行签名过后的信息进行验证,从而确保了双方之间发送的信息没有被修改,并且使用AIK证书进行签名,实现了双方之间的通信是匿名的,并且在认证双方身份的过程中,通过对请求方或响应方对应的可信凭据进行比对认证,从而确保了请求方或响应方身份的合法性,进一步增强了双方通讯的安全性。
在本发明实施例提供的装置中,基于前述方案,还包括:
第三验证单元,用于当所述请求方接收到所述响应方身份验证结果报文时,触发所述请求方对所述响应方身份验证结果报文进行签名验证,获取所述响应方身份验证结果报文中的所述响应方身份验证结果,并依据所述响应方身份验证结果,判断所述响应方身份是否验证通过。
在本发明实施例提供的装置中,基于前述方案,所述第一验证单元402可以配置为:
第一获取子单元,用于使用所述响应方的AIK证书对所述请求方验证报文进行签名验证,当签名验证通过时,获取所述请求方验证报文中的请求报文;
第一签名验证子单元,用于使用所述请求方的AIK证书对所述请求报文进行签名验证,当签名验证通过时,获取所述请求报文中的请求方可信凭据以及随机数,将所述随机数进行保存;
第一判断子单元,用于判断所述请求报文中的请求方的可信凭据与所述身份验证平台中的请求方的可信凭据是否一致;当所述请求报文中的请求方的可信凭据与所述身份验证平台中的请求方的可信凭据一致时,对所述请求方的身份验证结果为身份验证通过。
在本发明实施例提供的装置中,基于前述方案,所述第二验证单元405可以配置为:
第二获取子单元,用于使用所述请求方的AIK证书对所述响应方验证报文进行签名验证,当签名验证通过时,获取所述响应方验证报文中的响应报文;
第二签名验证子单元,用于使用所述响应方的AIK证书对所述响应报文进行签名验证,当签名验证通过时,获取所述响应报文中的响应方的可信凭据;
第二判断子单元,用于判断所述请求报文中的响应方的可信凭据与所述身份验证平台中的响应方的可信凭据是否一致;当所述响应报文中的响应方的可信凭据与所述身份验证平台中的响应方的可信凭据一致时,对所述响应方的身份验证结果为身份验证通过。
本发明实施例提供的装置中,基于前述方案,还可以配置为:
第二接收单元,用于接收订阅方发送的订阅报文,所述订阅方为所述请求方或是响应方,所述订阅报文为所述订阅方使用所述身份验证平台的数字公钥对订阅信息进行加密得到;
获取单元,用于使用预设的数字私钥对所述订阅报文进行解密,获取所述订阅报文中的订阅信息;
生成单元,用于将所述订阅信息中订阅方的完整性度量信息进行记录,依据对所述订阅方的完整性度量信息的所有记录,生成所述订阅方的可信度量历史日志;
判断单元,用于依据订阅方的可信度量历史日志,判断所述订阅信息中的订阅方完整性度量信息的正确性;
发送单元,用于当所述订阅方完整性度量信息正确时,并生成发布报文,向所述订阅方发送所述发布报文;
解密单元,用于触发所述订阅方使用预设的AIK私钥对所述发布报文进行解密,并验证所述发布报文中的订阅方AIK证书和订阅方随机数,若验证成功,则所述订阅方获得对应的可信凭据与AIK证书。
本发明实施例提供的装置中,基于前述方案,所述判断单元可以配置为:
比对子单元,用于将所述订阅信息中的订阅方完整性度量信息与所述订阅方的可信度量历史日志进行比对;当所述订阅方完整性度量信息与所述订阅方的可信度量历史日志比对一致时,所述订阅信息中的订阅方完整性度量信息正确。
本发明实施例提供的装置中,基于前述方案,所述发送单元可以配置为:
生成子单元,用于生成发布信息,所述发布信息包括订阅方随机数、订阅方可信凭据以及订阅方AIK证书;
加密子单元,用于使用所述订阅方AIK公钥对所述发布信息进行加密,生成发布报文,并将所述发布报文发送至所述订阅方。
本发明实施例还提供了一种存储介质,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在的设备执行上述远程身份验证方法。
本发明实施例还提供一种电子设备,其结构示意图如图6所示,具体包括存储器602,以及一个或一个以上的指令601,其中一个或者一个以上指令存储于存储器602中,且经配置由一个或者一个以上处理器603进行以下操作:
在请求方的可信凭据、请求方的AIK证书、响应方的可信凭据和响应方的AIK证书均在有效周期内的情况下,当所述响应方接收到所述请求方发送的请求报文时,接收由所述响应方发送的请求方验证报文,所述请求方验证报文由所述响应方应用所述响应方的AIK证书,对所述请求方向所述响应方发送的请求报文进行签名生成;
对所述请求方验证报文进行验证,生成请求方身份验证结果,并应用预设的验证平台数字证书对所述请求方身份验证结果进行签名,得到请求方身份验证结果报文,并向所述响应方发送所述请求方身份验证结果报文;
触发所述响应方对所述请求方身份验证结果报文进行签名验证,获取所述请求方身份验证结果报文中的所述请求方身份验证结果,并依据所述请求方验证结果判断所述请求方的身份是否验证通过;
当判断所述请求方的身份验证通过时,接收所述请求方发送的响应方验证报文,所述响应方验证报文由所述请求方应用所述请求方的AIK证书,对所述响应方向所述请求方发送的响应报文进行签名生成;
对所述响应方验证报文进行验证,生成响应方身份验证结果,并应用所述验证平台数字证书对所述响应方身份验证结果进行签名,得到响应方身份验证结果报文,并向所述请求方发送所述响应方身份验证结果报文,完成对所述请求方和响应方的身份验证。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的系统及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (9)
1.一种远程身份验证方法,其特征在于,应用于身份验证平台,所述方法包括:
在请求方的可信凭据、请求方的身份证言密钥AIK证书、响应方的可信凭据和响应方的AIK证书均在有效周期内的情况下,当所述响应方接收到所述请求方发送的请求报文时,接收由所述响应方发送的请求方验证报文,所述请求方验证报文由所述响应方应用所述响应方的AIK证书,对所述请求方向所述响应方发送的请求报文进行签名生成;
对所述请求方验证报文进行验证,生成请求方身份验证结果,并应用预设的验证平台数字证书对所述请求方身份验证结果进行签名,得到请求方身份验证结果报文,并向所述响应方发送所述请求方身份验证结果报文;
触发所述响应方对所述请求方身份验证结果报文进行签名验证,获取所述请求方身份验证结果报文中的所述请求方身份验证结果,并依据所述请求方身份验证结果判断所述请求方的身份是否验证通过;
当判断所述请求方的身份验证通过时,接收所述请求方发送的响应方验证报文,所述响应方验证报文由所述请求方应用所述请求方的AIK证书,对所述响应方向所述请求方发送的响应报文进行签名生成;
对所述响应方验证报文进行验证,生成响应方身份验证结果,并应用所述验证平台数字证书对所述响应方身份验证结果进行签名,得到响应方身份验证结果报文,并向所述请求方发送所述响应方身份验证结果报文,完成对所述请求方和响应方的身份验证;
其中,请求方或响应方获取有效AIK证书与可信凭据的过程,包括:
接收订阅方发送的订阅报文,所述订阅方为所述请求方或是响应方,所述订阅报文为所述订阅方使用所述身份验证平台的数字公钥对订阅信息进行加密得到;
使用预设的数字私钥对所述订阅报文进行解密,获取所述订阅报文中的订阅信息;
将所述订阅信息中订阅方的完整性度量信息进行记录,依据对所述订阅方的完整性度量信息的所有记录,生成所述订阅方的可信度量历史日志;
依据订阅方的可信度量历史日志,判断所述订阅信息中的订阅方完整性度量信息的正确性;
当所述订阅方完整性度量信息正确时,生成发布报文,向所述订阅方发送所述发布报文;
触发所述订阅方使用预设的AIK私钥对所述发布报文进行解密,并验证所述发布报文中的订阅方AIK证书和订阅方随机数,若验证成功,则所述订阅方获得对应的可信凭据与AIK证书。
2.根据权利要求1所述的方法,其特征在于,还包括:
当所述请求方接收到所述响应方身份验证结果报文时,触发所述请求方对所述响应方身份验证结果报文进行签名验证,获取所述响应方身份验证结果报文中的所述响应方身份验证结果,并依据所述响应方身份验证结果,判断所述响应方身份是否验证通过。
3.根据权利要求1所述的方法,其特征在于,所述对所述请求方验证报文进行验证,生成请求方身份验证结果,包括:
使用所述响应方的AIK证书对所述请求方验证报文进行签名验证,当签名验证通过时,获取所述请求方验证报文中的请求报文;
使用所述请求方的AIK证书对所述请求报文进行签名验证,当签名验证通过时,获取所述请求报文中的请求方可信凭据以及随机数,将所述随机数进行保存;
判断所述请求报文中的请求方的可信凭据与所述身份验证平台中的请求方的可信凭据是否一致;
当所述请求报文中的请求方的可信凭据与所述身份验证平台中的请求方的可信凭据一致时,对所述请求方的身份验证结果为身份验证通过。
4.根据权利要求1所述的方法,其特征在于,所述对所述响应方验证报文进行验证,生成响应方身份验证结果,包括:
使用所述请求方的AIK证书对所述响应方验证报文进行签名验证,当签名验证通过时,获取所述响应方验证报文中的响应报文;
使用所述响应方的AIK证书对所述响应报文进行签名验证,当签名验证通过时,获取所述响应报文中的响应方的可信凭据;
判断所述请求报文中的响应方的可信凭据与所述身份验证平台中的响应方的可信凭据是否一致;
当所述响应报文中的响应方的可信凭据与所述身份验证平台中的响应方的可信凭据一致时,对所述响应方的身份验证结果为身份验证通过。
5.根据权利要求1所述的方法,所述判断所述订阅信息中的订阅方完整性度量信息的正确性,包括:
将所述订阅信息中的订阅方完整性度量信息与所述订阅方的可信度量历史日志进行比对;
当所述订阅方完整性度量信息与所述订阅方的可信度量历史日志比对一致时,所述订阅信息中的订阅方完整性度量信息正确。
6.根据权利要求1或5所述的方法,其特征在于,所述生成发布报文,并向所述订阅方发送所述发布报文,包括:
生成发布信息,所述发布信息包括订阅方随机数、订阅方可信凭据以及订阅方AIK证书;
使用所述订阅方AIK公钥对所述发布信息进行加密,生成发布报文,并将所述发布报文发送至所述订阅方。
7.一种远程身份验证装置,其特征在于,应用于身份验证平台,所述装置包括:
第一接收单元,用于在请求方的可信凭据、请求方的AIK证书、响应方的可信凭据和响应方的AIK证书均在有效周期内的情况下,当所述响应方接收到所述请求方发送的请求报文时,接收由所述响应方发送的请求方验证报文,所述请求方验证报文由所述响应方应用所述响应方的AIK证书,对所述请求方向所述响应方发送的请求报文进行签名生成;
第一验证单元,用于对所述请求方验证报文进行验证,生成请求方身份验证结果,并应用预设的验证平台数字证书对所述请求方身份验证结果进行签名,得到请求方身份验证结果报文,并向所述响应方发送所述请求方身份验证结果报文;
触发单元,用于触发所述响应方对所述请求方身份验证结果报文进行签名验证,获取所述请求方身份验证结果报文中的所述请求方身份验证结果,并依据所述请求方身份验证结果判断所述请求方的身份是否验证通过;
发送单元,用于当判断所述请求方的身份验证通过时,接收所述请求方发送的响应方验证报文,所述响应方验证报文由所述请求方应用所述请求方的AIK证书,对所述响应方向所述请求方发送的响应报文进行签名生成;
第二验证单元,用于对所述响应方验证报文进行验证,生成响应方身份验证结果,并应用所述验证平台数字证书对所述响应方身份验证结果进行签名,得到响应方身份验证结果报文,并向所述请求方发送所述响应方身份验证结果报文,完成对所述请求方和响应方的身份验证;
第二接收单元,用于接收订阅方发送的订阅报文,所述订阅方为所述请求方或是响应方,所述订阅报文为所述订阅方使用所述身份验证平台的数字公钥对订阅信息进行加密得到;
获取单元,用于使用预设的数字私钥对所述订阅报文进行解密,获取所述订阅报文中的订阅信息;
生成单元,用于将所述订阅信息中订阅方的完整性度量信息进行记录,依据对所述订阅方的完整性度量信息的所有记录,生成所述订阅方的可信度量历史日志;
判断单元,用于依据订阅方的可信度量历史日志,判断所述订阅信息中的订阅方完整性度量信息的正确性;
发送单元,用于当所述订阅方完整性度量信息正确时,并生成发布报文,向所述订阅方发送所述发布报文;
解密单元,用于触发所述订阅方使用预设的AIK私钥对所述发布报文进行解密,并验证所述发布报文中的订阅方AIK证书和订阅方随机数,若验证成功,则所述订阅方获得对应的可信凭据与AIK证书。
8.根据权利要求7所述的装置,其特征在于,还包括:
第三验证单元,用于当所述请求方接收到所述响应方身份验证结果报文时,触发所述请求方对所述响应方身份验证结果报文进行签名验证,获取所述响应方身份验证结果报文中的所述响应方身份验证结果,并依据所述响应方身份验证结果,判断所述响应方身份是否验证通过。
9.根据权利要求7所述的装置,其特征在于,所述第一验证单元,包括:
第一获取子单元,用于使用所述响应方的AIK证书对所述请求方验证报文进行签名验证,当签名验证通过时,获取所述请求方验证报文中的请求报文;
第一签名验证子单元,用于使用所述请求方的AIK证书对所述请求报文进行签名验证,当签名验证通过时,获取所述请求报文中的请求方可信凭据以及随机数,将所述随机数进行保存;
第一判断子单元,用于判断所述请求报文中的请求方的可信凭据与所述身份验证平台中的请求方的可信凭据是否一致;当所述请求报文中的请求方的可信凭据与所述身份验证平台中的请求方的可信凭据一致时,对所述请求方的身份验证结果为身份验证通过。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911119907.9A CN110868415B (zh) | 2019-11-15 | 2019-11-15 | 远程身份验证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911119907.9A CN110868415B (zh) | 2019-11-15 | 2019-11-15 | 远程身份验证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110868415A CN110868415A (zh) | 2020-03-06 |
| CN110868415B true CN110868415B (zh) | 2022-02-22 |
Family
ID=69654542
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911119907.9A Active CN110868415B (zh) | 2019-11-15 | 2019-11-15 | 远程身份验证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110868415B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113364583B (zh) * | 2021-05-31 | 2024-05-21 | 山东中科好靓基础软件技术有限公司 | 一种基于去中心化网络的远程验证方法 |
| CN114500321B (zh) * | 2022-04-12 | 2022-08-02 | 成方金融科技有限公司 | 报文核验方法、装置及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101951388A (zh) * | 2010-10-14 | 2011-01-19 | 中国电子科技集团公司第三十研究所 | 一种可信计算环境中的远程证明方法 |
| CN102752307A (zh) * | 2012-07-09 | 2012-10-24 | 广州杰赛科技股份有限公司 | 基于标识的视频监控数据的传输方法及系统 |
| CN106790173A (zh) * | 2016-12-29 | 2017-05-31 | 浙江中控技术股份有限公司 | 一种scada系统及其rtu控制器双向身份认证的方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2568453A (en) * | 2017-09-14 | 2019-05-22 | Blockpass Idn Ltd | Systems and methods for user identity |
-
2019
- 2019-11-15 CN CN201911119907.9A patent/CN110868415B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101951388A (zh) * | 2010-10-14 | 2011-01-19 | 中国电子科技集团公司第三十研究所 | 一种可信计算环境中的远程证明方法 |
| CN102752307A (zh) * | 2012-07-09 | 2012-10-24 | 广州杰赛科技股份有限公司 | 基于标识的视频监控数据的传输方法及系统 |
| CN106790173A (zh) * | 2016-12-29 | 2017-05-31 | 浙江中控技术股份有限公司 | 一种scada系统及其rtu控制器双向身份认证的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110868415A (zh) | 2020-03-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106612180B (zh) | 实现会话标识同步的方法及装置 | |
| EP2999189B1 (en) | Network authentication method for secure electronic transactions | |
| US10348706B2 (en) | Assuring external accessibility for devices on a network | |
| CN111698225B (zh) | 一种适用于电力调度控制系统的应用服务认证加密方法 | |
| US20160065370A1 (en) | Methods for secure cryptogram generation | |
| US20120295587A1 (en) | Trusted mobile device based security | |
| KR20180054530A (ko) | 중계 서버를 이용하는 본인인증 시스템 및 이에 의한 본인인증 방법 | |
| US20190327235A1 (en) | External accessibility for network devices | |
| CN103856468A (zh) | 身份验证系统及方法 | |
| US11526596B2 (en) | Remote processing of credential requests | |
| CN116458117A (zh) | 安全数字签名 | |
| CN110868415B (zh) | 远程身份验证方法及装置 | |
| CN114444134A (zh) | 一种数据使用授权方法、系统及装置 | |
| CN110838919B (zh) | 通信方法、存储方法、运算方法及装置 | |
| US7073062B2 (en) | Method and apparatus to mutually authentication software modules | |
| CN112261103A (zh) | 一种节点接入方法及相关设备 | |
| Priya et al. | Secure Key Management Based Mobile Authentication in Cloud. | |
| CN114329610A (zh) | 区块链隐私身份保护方法、装置、存储介质及系统 | |
| AU2017412654B2 (en) | Assuring external accessibility for devices on a network | |
| CN107483466B (zh) | 一种Web应用中用户登录验证方法及装置 | |
| KR101821645B1 (ko) | 자체확장인증을 이용한 키관리 방법 | |
| WO2015184507A1 (en) | Identity verification | |
| KR101737925B1 (ko) | 도전-응답 기반의 사용자 인증 방법 및 시스템 | |
| TWI782678B (zh) | 應用於數位簽署元件的認證系統及方法 | |
| TWI746504B (zh) | 實現會話標識同步的方法及裝置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |