CN110881026B - 一种用于对信息采集终端用户进行身份认证的方法及系统 - Google Patents

一种用于对信息采集终端用户进行身份认证的方法及系统 Download PDF

Info

Publication number
CN110881026B
CN110881026B CN201910977929.2A CN201910977929A CN110881026B CN 110881026 B CN110881026 B CN 110881026B CN 201910977929 A CN201910977929 A CN 201910977929A CN 110881026 B CN110881026 B CN 110881026B
Authority
CN
China
Prior art keywords
request packet
information acquisition
acquisition terminal
terminal user
authentication server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910977929.2A
Other languages
English (en)
Other versions
CN110881026A (zh
Inventor
付义伦
梁晓兵
翟峰
刘书勇
李保丰
岑炜
曹永峰
许斌
徐萌
张庚
冯占成
任博
冯云
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Electric Power Research Institute Co Ltd CEPRI
Original Assignee
China Electric Power Research Institute Co Ltd CEPRI
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Electric Power Research Institute Co Ltd CEPRI filed Critical China Electric Power Research Institute Co Ltd CEPRI
Priority to CN201910977929.2A priority Critical patent/CN110881026B/zh
Publication of CN110881026A publication Critical patent/CN110881026A/zh
Application granted granted Critical
Publication of CN110881026B publication Critical patent/CN110881026B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0478Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明公开了一种用于对信息采集终端用户进行身份认证的方法及系统,其中方法包括:通过客户端获取经过加密后的请求包;通过客户端基于协议封装报文将加密后的请求包转发至认证服务端;通过认证服务端利用密钥通过加密机加密并组装经过加密后的请求包,将组装请求包转发至安全隔离网关;通过安全隔离网关将组装请求包进行一次解密,并转发至用采系统;通过用采系统对经过一次解密的组装请求包进行二次解密,对信息采集终端用户的身份信息进行验证,获取身份验证结果;通过用采系统对信息采集终端用户的身份验证结果进行加密,并将身份验证结果发送至认证服务端;认证服务端对身份验证结果进行解密,将经过解密后的身份验证结果转发至客户端。

Description

一种用于对信息采集终端用户进行身份认证的方法及系统
技术领域
本发明涉及信息安全技术领域,更具体地,涉及一种用于对信息采集终端用户进行身份认证的方法及系统。
背景技术
用电信息采集系统是对电力用户的用电信息进行采集、处理和实时监控的系统,该系统中涉及的电量、电费、费率等信息涉及到国计民生,信息的非法使用和泄漏将会给国家安全、社会经济和电网运行带来较大威胁,而信息的基础来源由采集终端上报提供,因此保证电力采集终端的接入安全成为重中之重
因此,需要一种技术,以实现用于对信息采集终端用户进行身份认证的技术。
发明内容
本发明技术方案提供一种用于对信息采集终端用户进行身份认证的方法及系统,以解决如何对信息采集终端用户进行身份认证的问题。
为了解决上述问题,本发明提供了一种用于对信息采集终端用户进行身份认证的方法,所述方法包括:
通过客户端提交信息采集终端用户的请求包,并将所述请求进行加密,获取经过加密后的请求包;
通过客户端基于协议封装报文将所述经过加密后的请求包转发至认证服务端;
通过认证服务端利用密钥通过加密机加密并组装所述经过加密后的请求包,将所述经过加密后的请求包组装为组装请求包后,将所述组装请求包转发至安全隔离网关;
通过所述安全隔离网关将接收到的所述组装请求包进行一次解密,并将经过一次解密的组装请求包转发至用采系统;
通过所述用采系统对接收到的经过一次解密的组装请求包进行二次解密,对所述经过二次解密的组装请求包中的所述信息采集终端用户的身份信息进行验证,获取所述信息采集终端用户的身份验证结果;通过所述用采系统对所述信息采集终端用户的身份验证结果进行加密,并将加密后的所述信息采集终端用户的身份验证结果发送至所述认证服务端;
所述认证服务端用于接收所述信息采集终端用户的身份验证结果,对所述信息采集终端用户的身份验证结果进行解密,将经过解密后的所述信息采集终端用户的身份验证结果转发至客户端。
优选地,通过所述客户端对所述信息采集终端用户的身份进行验证,当所述信息采集终端用户的身份通过验证时,允许信息采集终端用户入网;
当所述信息采集终端用户的身份未通过验证时,拒绝信息采集终端用户入网。
优选地,所述通过认证服务端利用密钥通过加密机加密并组装所述经过加密后的请求包,将所述经过加密后的请求包组装为组装请求包后,将所述组装请求包转发至安全隔离网关,还包括:
所述组装请求包为安全防护协议报文,所述安全协议报文为信息数据按照安全防护方案组成的报文,并通过所述加密机,采用国密算法生成内容域加密的安全协议报文。
优选地,还包括:
所述认证服务端与所述安全隔离网关进行密钥协商,通过所述安全隔离网关返回的协商参数判断所述密钥协调的结果是否成功;
当所述密钥协商的结果为成功时,所述认证服务端与所述安全隔离网关建立长连接通讯并通过发送保持心跳确认所述认证服务端的链接状态。
基于本发明的另一方面,提供一种用于对信息采集终端用户进行身份认证的系统,所述系统包括:
获取单元,用于通过客户端提交信息采集终端用户的请求包,并将所述请求进行加密,获取经过加密后的请求包;
第一发送单元,用于通过客户端基于协议封装报文将所述经过加密后的请求包转发至认证服务端;
第二发送单元,用于通过认证服务端利用密钥通过加密机加密并组装所述经过加密后的请求包,将所述经过加密后的请求包组装为组装请求包后,将所述组装请求包转发至安全隔离网关;
第三发送单元,用于通过所述安全隔离网关将接收到的所述组装请求包进行一次解密,并将经过一次解密的组装请求包转发至用采系统;
第四发送单元,用于通过所述用采系统对接收到的经过一次解密的组装请求包进行二次解密,对所述经过二次解密的组装请求包中的所述信息采集终端用户的身份信息进行验证,获取所述信息采集终端用户的身份验证结果;通过所述用采系统对所述信息采集终端用户的身份验证结果进行加密,并将加密后的所述信息采集终端用户的身份验证结果发送至所述认证服务端;
第五发送单元,用于所述认证服务端用于接收所述信息采集终端用户的身份验证结果,对所述信息采集终端用户的身份验证结果进行解密,将经过解密后的所述信息采集终端用户的身份验证结果转发至客户端。
优选地,还包括验证单元,用于通过所述客户端对所述信息采集终端用户的身份进行验证,当所述信息采集终端用户的身份通过验证时,允许信息采集终端用户入网;
当所述信息采集终端用户的身份未通过验证时,拒绝信息采集终端用户入网。
优选地,所述第二发送单元,用于通过认证服务端利用密钥通过加密机加密并组装所述经过加密后的请求包,将所述经过加密后的请求包组装为组装请求包后,将所述组装请求包转发至安全隔离网关,还包括:
所述组装请求包为安全防护协议报文,所述安全协议报文为信息数据按照安全防护方案组成的报文,并通过所述加密机,采用国密算法生成内容域加密的安全协议报文。
优选地,还包括协商单元,用于:
所述认证服务端与所述安全隔离网关进行密钥协商,通过所述安全隔离网关返回的协商参数判断所述密钥协调的结果是否成功;
当所述密钥协商的结果为成功时,所述认证服务端与所述安全隔离网关建立长连接通讯并通过发送保持心跳确认所述认证服务端的链接状态。
本发明技术方案提供一种用于对信息采集终端用户进行身份认证的方法及系统,其中方法包括:通过客户端提交信息采集终端用户的请求包,并将所述请求进行加密,获取经过加密后的请求包;通过客户端基于协议封装报文将所述经过加密后的请求包转发至认证服务端;通过认证服务端利用密钥通过加密机加密并组装所述经过加密后的请求包,将所述经过加密后的请求包组装为组装请求包后,将所述组装请求包转发至安全隔离网关;通过所述安全隔离网关将接收到的所述组装请求包进行一次解密,并将经过一次解密的组装请求包转发至用采系统;通过所述用采系统对接收到的经过一次解密的组装请求包进行二次解密,对所述经过二次解密的组装请求包中的所述信息采集终端用户的身份信息进行验证,获取所述信息采集终端用户的身份验证结果;通过所述用采系统对所述信息采集终端用户的身份验证结果进行加密,并将加密后的所述信息采集终端用户的身份验证结果发送至所述认证服务端;所述认证服务端用于接收所述信息采集终端用户的身份验证结果,对所述信息采集终端用户的身份验证结果进行解密,将经过解密后的所述信息采集终端用户的身份验证结果转发至客户端。本发明技术方案提供的一种信息采集终端身份认证方法不仅保证传输电力采集终端的身份合法性和机密性,并且针对类似机制的信息采集终端开辟了统一化的认证方法。本发明技术方案的目的是发明一种基于安全防护体系的AAA认证方法,强化营销信息采集系统的网络与信息安全管理、提升防护能力。本发明技术方案保证传输电力采集终端的身份合法性和机密性,针对类似机制的信息采集终端开辟了统一化的认证方法。
附图说明
通过参考下面的附图,可以更为完整地理解本发明的示例性实施方式:
图1为根据本发明优选实施方式的用于对信息采集终端用户进行身份认证方法流程图;
图2为根据本发明优选实施方式的利用权威机构身份认证机制实现流程图;
图3为根据本发明优选实施方式的RADIUS协议标准图;以及
图4为根据本发明优选实施方式的用于对信息采集终端用户进行身份认证系统结构图。
具体实施方式
现在参考附图介绍本发明的示例性实施方式,然而,本发明可以用许多不同的形式来实施,并且不局限于此处描述的实施例,提供这些实施例是为了详尽地且完全地公开本发明,并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中,相同的单元/元件使用相同的附图标记。
除非另有说明,此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外,可以理解的是,以通常使用的词典限定的术语,应当被理解为与其相关领域的语境具有一致的含义,而不应该被理解为理想化的或过于正式的意义。
图1为根据本发明优选实施方式的用于对信息采集终端用户进行身份认证方法流程图。本申请实施方式提供一种基于安全防护体系的AAA认证方法,强化营销信息采集系统的网络与信息安全管理、提升防护能力。
如图1所示,一种用于对信息采集终端用户进行身份认证的方法,方法包括:
优选地,在步骤101:通过客户端提交信息采集终端用户的请求包,并将请求进行加密,获取经过加密后的请求包。
优选地,在步骤102:通过客户端基于协议封装报文将经过加密后的请求包转发至认证服务端。
优选地,在步骤103:通过认证服务端利用密钥通过加密机加密并组装经过加密后的请求包,将经过加密后的请求包组装为组装请求包后,将组装请求包转发至安全隔离网关。优选地,通过认证服务端利用密钥通过加密机加密并组装经过加密后的请求包,将经过加密后的请求包组装为组装请求包后,将组装请求包转发至安全隔离网关,还包括:
组装请求包为安全防护协议报文,安全协议报文为信息数据按照安全防护方案组成的报文,并通过加密机,采用国密算法生成内容域加密的安全协议报文。
优选地,还包括:认证服务端与安全隔离网关进行密钥协商,通过安全隔离网关返回的协商参数判断密钥协调的结果是否成功;当密钥协商的结果为成功时,认证服务端与安全隔离网关建立长连接通讯并通过发送保持心跳确认认证服务端的链接状态。
优选地,在步骤104:通过安全隔离网关将接收到的组装请求包进行一次解密,并将经过一次解密的组装请求包转发至用采系统。
优选地,在步骤105:通过用采系统对接收到的经过一次解密的组装请求包进行二次解密,对经过二次解密的组装请求包中的信息采集终端用户的身份信息进行验证,获取信息采集终端用户的身份验证结果;通过用采系统对信息采集终端用户的身份验证结果进行加密,并将加密后的信息采集终端用户的身份验证结果发送至认证服务端。
优选地,在步骤106:认证服务端用于接收信息采集终端用户的身份验证结果,对信息采集终端用户的身份验证结果进行解密,将经过解密后的信息采集终端用户的身份验证结果转发至客户端。
优选地,通过客户端对信息采集终端用户的身份进行验证,当信息采集终端用户的身份通过验证时,允许信息采集终端用户入网;当信息采集终端用户的身份未通过验证时,拒绝信息采集终端用户入网。
以下对本申请的实施方式进行举例说明
为了强化营销信息采集系统的网络与信息安全管理、提升防护能力,本发明提供了一种基于安全防护体系的AAA认证方法,具体方案如下:
提供一种基于安全防护体系的AAA认证方法,所述方法包括如下步骤:
步骤1:认证服务端通过加密机获取所需加密参数组成安全协议报文,与安全隔离网关进行密钥协商;
步骤2:安全隔离网关判断返回协商参数至认证服务端;
步骤3:密钥协商成功后,认证服务端与安全隔离网关建立长连接并通过保持心跳发送确认认证服务端链接状态;
步骤4:采集终端申请上线时,发送用户名、密码等主要数据至指定运营商;
步骤5:运营商利用chap加密方式加密终端用户请求包基于RADIUS协议封装报文转发至认证服务端;
步骤6:认证服务端将密钥协商获取到密钥通过加密机加密并组装报文为安全防护协议后,转发至安全隔离网关;
步骤7:安全隔离网关转发收到的报文至用采系统;
步骤8:用采系统解密并返回终端身份结果;
步骤9:安全隔离网关转发收到的报文至认证服务端;
步骤10:认证服务端解密并判断终端身份结果并返回至指定运营商服务器认证结果;
步骤11:若认证结果为成功,将允许终端入网,否则拒绝终端入网。
本申请的基于安全防护体系的AAA认证方法,其中安全协议报文是基于用户名、密码、加密密钥、随机数等信息数据按照安全防护方案组成的报文,并通过指定加密机,采用国密算法生成内容域加密的安全协议报文。密钥协商是基于安全协议报文下,用于AAA认证服务与安全加密隔离网关建立安全长连接前的协商过程,通过将双方密钥的交互,达成协议统一密钥,以在后续通信中双方相互能够正确解析转发的安全协议报文。
根本申请的长连接通信是指通过SOCKET方式在网关及AAA认证服务端三次握手后建立TCP连接,并建立在安全防护协议上生成通信试探报文;本申请的心跳是指建立在安全防护协议上得一种高频次访问的通信试探报文,通过心跳传达AAA认证服务端存活状态。
本申请的用户名、密码为采集终端内设置的APN及password。
本申请的用户请求包为建立再RADIUS协议上带有信息采集系统特征的加密协议,如图2所示;
所述RADIUS协议是Internet工程任务组制定的RFC2865,RFC2866中定义的RADIUS协议标准,如图3所示。
其中各字段的解释发下:
(1)Code域
长度为1个字节,用于说明RADIUS报文的类型,如下表所示。
Figure BDA0002234254120000081
Figure BDA0002234254120000091
(2)Identifier域
长度为1个字节,用于匹配请求包和响应包,以及检测在一段时间内重发的请求包。类型一致的请求包和响应包的Identifier值相同。
(3)Length域
长度为2个字节,表示RADIUS数据包(包括Code、Identifier、Length、Authenticator和Attribute)的长度,范围从20~4096。超过Length域的字节将作为填充字符被忽略。如果接收到的包的实际长度小于Length域的值时,则包会被丢弃。
(4)Authenticator域
长度为16个字节,用于验证RADIUS服务器的应答,另外还用于用户密码的加密。Authenticator包括两种类型:Request Authenticator和Response Authenticator。
(5)Attribute域
不定长度,用于携带专门的认证、授权和计费信息,提供请求和响应报文的配置细节。Attribute可包括多个属性,每一个属性都采用(Type、Length、Value)三元组的结构来表示。
类型(Type),1个字节,取值为1~255,用于表示属性的类型,表2列出了RADIUS认证、授权、计费常用的属性。
长度(Length),表示该属性(包括类型、长度和属性)的长度,单位为字节。
属性值(Value),表示该属性的信息,其格式和内容由类型和长度决定,最大长度为253字节。
本申请实施方式的业务信息基于安全防护协议规则组成报文(主要包括:链路用户数据域(APDU)),在链路数据域(APDU)中加入认证标识、用户名、加密密码、通信卡号(SIM卡)、加密密钥、认证字等字段,并采用LEN+DATA的模式将不定长数据组成安全防护报文;所述特定的链路用户数据域(APDU),指的是针对采集认证业务提供相关关键性数据用于信息采集系统进行白名单审核,字段定义如下表所示;
Figure BDA0002234254120000101
Figure BDA0002234254120000111
本申请实施方式的安全隔离网关通过必要的数据审核,主要包括(长度域(L)、帧头校验(HCS)、发送时间标签(TP)、帧校验(FCS))等字段校验,通过则转发数据。
本申请的绑定信息是基于安全防护协议规则组成报文(包括:长度域(L)、控制域(C)、协议版本(SV)、帧序号(SEQ)、设备地址类型(DAT)、设备地址长度(DAL)、设备地址(DA)、源地址长度(SAL)、源地址(SA)、目标地址长度(TAL)、目标地址(TA)、通信信道类型(CT)、信道信息(CI)、帧头校验(HCS)、链路用户数据域(APDU)、发送时间标签(TP)、帧校验(FCS)),针对特定的采集认证业务拥有特定的链路用户数据域(APDU)。
特定的链路用户数据域(APDU),指的是针对采集认证业务提供相关关键性数据用于信息采集系统进行白名单审核,字段定义如下表所示:
Figure BDA0002234254120000112
Figure BDA0002234254120000121
本申请的安全隔离网关通过必要的数据审核,主要包括(长度域(L)、帧头校验(HCS)、发送时间标签(TP)、帧校验(FCS))等字段校验,通过则转发数。本申请的用户请求包为建立再RADIUS协议上带有信息采集系统特征的加密协议,如图2所示;
本申请适用于现有安全防护架构体系改造;本申请基于现有安全防护架构体系提升了终端接入的身份认证安全,阻隔非法模拟终端接入信息采集系统;本申请中的数据加密都是通过制定加密机采用国家密码管理局推荐的SM1、SM2和SM3数据加密算法可以有效增加传输数据的安全性;本申请的身份认证和密钥协商流程较为严谨、安全,可从整体上有效防止假冒主站或采集终端及传输数据被非法监听或截获等情况的发生。
本申请提供了一种基于安全防护体系的AAA认证方法,具体包括:
提供一种基于安全防护体系的AAA认证方法,其中方法包括如下步骤:
步骤1:认证服务端通过加密机获取所需加密参数组成安全协议报文,与安全隔离网关进行密钥协商;
步骤2:安全隔离网关判断返回协商参数至认证服务端;
步骤3:密钥协商成功后,认证服务端与安全隔离网关建立长连接并通过保持心跳发送确认认证服务端链接状态;
步骤4:采集终端申请上线时,发送用户名、密码等主要数据至指定运营商;
步骤5:运营商利用chap加密方式加密终端用户请求包基于RADIUS协议封装报文转发至认证服务端;
步骤6:认证服务端将密钥协商获取到密钥通过加密机加密并组装报文为安全防护协议后,转发至安全隔离网关;
步骤7:安全隔离网关转发收到的报文至用采系统;
步骤8:用采系统解密并返回终端身份结果;
步骤9:安全隔离网关转发收到的报文至认证服务端;
步骤10:认证服务端解密并判断终端身份结果并返回至指定运营商服务器认证结果;
步骤11:若认证结果为成功,将允许终端入网,否则拒绝终端入网。
本申请的安全协议报文是基于用户名、密码、加密密钥、随机数等信息数据按照安全防护方案组成的报文,并通过指定加密机,采用国密算法生成内容域加密的安全协议报文。
本申请的密钥协商是基于安全协议报文下,用于AAA认证服务与安全加密隔离网关建立安全长连接前的协商过程,通过将双方密钥的交互,达成协议统一密钥,以在后续通信中双方相互能够正确解析转发的安全协议报文。
图4为根据本发明优选实施方式的用于对信息采集终端用户进行身份认证系统结构图。如图4所示,一种用于对信息采集终端用户进行身份认证的系统,系统包括:
获取单元401,用于通过客户端提交信息采集终端用户的请求包,并将请求进行加密,获取经过加密后的请求包。。
第一发送单元402,用于通过客户端基于协议封装报文将经过加密后的请求包转发至认证服务端。
第二发送单元403,用于通过认证服务端利用密钥通过加密机加密并组装经过加密后的请求包,将经过加密后的请求包组装为组装请求包后,将组装请求包转发至安全隔离网关。优选地,第二发送单元,用于通过认证服务端利用密钥通过加密机加密并组装经过加密后的请求包,将经过加密后的请求包组装为组装请求包后,将组装请求包转发至安全隔离网关,还包括:组装请求包为安全防护协议报文,安全协议报文为信息数据按照安全防护方案组成的报文,并通过加密机,采用国密算法生成内容域加密的安全协议报文。
优选地,系统还包括协商单元,用于:认证服务端与安全隔离网关进行密钥协商,通过安全隔离网关返回的协商参数判断密钥协调的结果是否成功;当密钥协商的结果为成功时,认证服务端与安全隔离网关建立长连接通讯并通过发送保持心跳确认认证服务端的链接状态。
第三发送单元404,用于通过安全隔离网关将接收到的组装请求包进行一次解密,并将经过一次解密的组装请求包转发至用采系统;
第四发送单元405,用于通过用采系统对接收到的经过一次解密的组装请求包进行二次解密,对经过二次解密的组装请求包中的信息采集终端用户的身份信息进行验证,获取信息采集终端用户的身份验证结果;通过用采系统对信息采集终端用户的身份验证结果进行加密,并将加密后的信息采集终端用户的身份验证结果发送至认证服务端;
第五发送单元406,用于认证服务端用于接收信息采集终端用户的身份验证结果,对信息采集终端用户的身份验证结果进行解密,将经过解密后的信息采集终端用户的身份验证结果转发至客户端。
优选地,系统还包括验证单元,用于通过客户端对信息采集终端用户的身份进行验证,当信息采集终端用户的身份通过验证时,允许信息采集终端用户入网;当信息采集终端用户的身份未通过验证时,拒绝信息采集终端用户入网。
本发明优选实施方式的用于对信息采集终端用户进行身份认证系统400与本发明优选实施方式的用于对信息采集终端用户进行身份认证方法100相对应,在此不再进行赘述。
已经通过参考少量实施方式描述了本发明。然而,本领域技术人员所公知的,正如附带的专利权利要求所限定的,除了本发明以上公开的其他的实施例等同地落在本发明的范围内。
通常地,在权利要求中使用的所有术语都根据他们在技术领域的通常含义被解释,除非在其中被另外明确地定义。所有的参考“一个/所述/该[装置、组件等]”都被开放地解释为所述装置、组件等中的至少一个实例,除非另外明确地说明。这里公开的任何方法的步骤都没必要以公开的准确的顺序运行,除非明确地说明。

Claims (8)

1.一种用于对信息采集终端用户进行身份认证的方法,所述方法包括:
通过客户端提交信息采集终端用户的请求包,并将所述请求进行加密,获取经过加密后的请求包;
通过客户端基于协议封装报文将所述经过加密后的请求包转发至认证服务端;
通过认证服务端利用密钥通过加密机加密并组装所述经过加密后的请求包,将所述经过加密后的请求包组装为组装请求包后,将所述组装请求包转发至安全隔离网关;
通过所述安全隔离网关将接收到的所述组装请求包进行一次解密,并将经过一次解密的组装请求包转发至用采系统;
通过所述用采系统对接收到的经过一次解密的组装请求包进行二次解密,对所述经过二次解密的组装请求包中的所述信息采集终端用户的身份信息进行验证,获取所述信息采集终端用户的身份验证结果;通过所述用采系统对所述信息采集终端用户的身份验证结果进行加密,并将加密后的所述信息采集终端用户的身份验证结果发送至所述认证服务端;
所述认证服务端用于接收所述信息采集终端用户的身份验证结果,对所述信息采集终端用户的身份验证结果进行解密,将经过解密后的所述信息采集终端用户的身份验证结果转发至客户端。
2.根据权利要求1所述的方法,通过所述客户端对所述信息采集终端用户的身份进行验证,当所述信息采集终端用户的身份通过验证时,允许信息采集终端用户入网;
当所述信息采集终端用户的身份未通过验证时,拒绝信息采集终端用户入网。
3.根据权利要求1所述的方法,所述通过认证服务端利用密钥通过加密机加密并组装所述经过加密后的请求包,将所述经过加密后的请求包组装为组装请求包后,将所述组装请求包转发至安全隔离网关,还包括:
所述组装请求包为安全防护协议报文,安全协议报文为信息数据按照安全防护方案组成的报文,并通过所述加密机,采用国密算法生成内容域加密的安全协议报文。
4.根据权利要求1所述的方法,还包括:
所述认证服务端与所述安全隔离网关进行密钥协商,通过所述安全隔离网关返回的协商参数判断密钥协调的结果是否成功;
当所述密钥协商的结果为成功时,所述认证服务端与所述安全隔离网关建立长连接通讯并通过发送保持心跳确认所述认证服务端的链接状态。
5.一种用于对信息采集终端用户进行身份认证的系统,所述系统包括:
获取单元,用于通过客户端提交信息采集终端用户的请求包,并将所述请求进行加密,获取经过加密后的请求包;
第一发送单元,用于通过客户端基于协议封装报文将所述经过加密后的请求包转发至认证服务端;
第二发送单元,用于通过认证服务端利用密钥通过加密机加密并组装所述经过加密后的请求包,将所述经过加密后的请求包组装为组装请求包后,将所述组装请求包转发至安全隔离网关;
第三发送单元,用于通过所述安全隔离网关将接收到的所述组装请求包进行一次解密,并将经过一次解密的组装请求包转发至用采系统;
第四发送单元,用于通过所述用采系统对接收到的经过一次解密的组装请求包进行二次解密,对所述经过二次解密的组装请求包中的所述信息采集终端用户的身份信息进行验证,获取所述信息采集终端用户的身份验证结果;通过所述用采系统对所述信息采集终端用户的身份验证结果进行加密,并将加密后的所述信息采集终端用户的身份验证结果发送至所述认证服务端;
第五发送单元,用于所述认证服务端用于接收所述信息采集终端用户的身份验证结果,对所述信息采集终端用户的身份验证结果进行解密,将经过解密后的所述信息采集终端用户的身份验证结果转发至客户端。
6.根据权利要求5所述的系统,还包括验证单元,用于通过所述客户端对所述信息采集终端用户的身份进行验证,当所述信息采集终端用户的身份通过验证时,允许信息采集终端用户入网;
当所述信息采集终端用户的身份未通过验证时,拒绝信息采集终端用户入网。
7.根据权利要求5所述的系统,所述第二发送单元,用于通过认证服务端利用密钥通过加密机加密并组装所述经过加密后的请求包,将所述经过加密后的请求包组装为组装请求包后,将所述组装请求包转发至安全隔离网关,还包括:
所述组装请求包为安全防护协议报文,安全协议报文为信息数据按照安全防护方案组成的报文,并通过所述加密机,采用国密算法生成内容域加密的安全协议报文。
8.根据权利要求5所述的系统,还包括协商单元,用于:
所述认证服务端与所述安全隔离网关进行密钥协商,通过所述安全隔离网关返回的协商参数判断密钥协调的结果是否成功;
当所述密钥协商的结果为成功时,所述认证服务端与所述安全隔离网关建立长连接通讯并通过发送保持心跳确认所述认证服务端的链接状态。
CN201910977929.2A 2019-10-15 2019-10-15 一种用于对信息采集终端用户进行身份认证的方法及系统 Active CN110881026B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910977929.2A CN110881026B (zh) 2019-10-15 2019-10-15 一种用于对信息采集终端用户进行身份认证的方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910977929.2A CN110881026B (zh) 2019-10-15 2019-10-15 一种用于对信息采集终端用户进行身份认证的方法及系统

Publications (2)

Publication Number Publication Date
CN110881026A CN110881026A (zh) 2020-03-13
CN110881026B true CN110881026B (zh) 2022-10-04

Family

ID=69728001

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910977929.2A Active CN110881026B (zh) 2019-10-15 2019-10-15 一种用于对信息采集终端用户进行身份认证的方法及系统

Country Status (1)

Country Link
CN (1) CN110881026B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114374550A (zh) * 2021-12-29 2022-04-19 南方电网海南数字电网研究院有限公司 一种具备高安全性的电力计量平台

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102638459A (zh) * 2012-03-23 2012-08-15 腾讯科技(深圳)有限公司 认证信息传输系统、认证信息传输服务平台及传输方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10313134B2 (en) * 2016-10-27 2019-06-04 Denso Corporation System and method for authenticating and authorizing devices

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102638459A (zh) * 2012-03-23 2012-08-15 腾讯科技(深圳)有限公司 认证信息传输系统、认证信息传输服务平台及传输方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
基于国密算法的北斗短报文安全防护系统的研究与实现;杨储华等;《计算机与现代化》;20190430(第4期);全文 *
网络管理系统中身份认证方案的研究;丁振国等;《陕西科技大学学报》;20090630;第27卷(第3期);全文 *

Also Published As

Publication number Publication date
CN110881026A (zh) 2020-03-13

Similar Documents

Publication Publication Date Title
CN100512201C (zh) 用于处理分组业务的接入-请求消息的方法
KR101753859B1 (ko) 서버 및 이에 의한 스마트홈 환경의 관리 방법, 스마트홈 환경의 가입 방법 및 스마트 기기와의 통신 세션 연결 방법
CN111756529B (zh) 一种量子会话密钥分发方法及系统
CN113285803B (zh) 一种基于量子安全密钥的邮件传输系统和传输方法
CN105656941A (zh) 身份认证装置和方法
Nyamtiga et al. Enhanced security model for mobile banking systems in Tanzania
CN113346995B (zh) 基于量子安全密钥的邮件传输过程中防篡改的方法和系统
CN108809936B (zh) 一种基于混合加密算法的智能移动终端身份验证方法及其实现系统
CN109474419A (zh) 一种活体人像照片加密、解密方法及加解密系统
CN111756528B (zh) 一种量子会话密钥分发方法、装置及通信架构
CN114520976A (zh) 用户身份识别卡的认证方法及装置、非易失性存储介质
CN112134849B (zh) 一种智能变电站的动态可信加密通信方法及系统
Rongyu et al. A PK-SIM card based end-to-end security framework for SMS
CN1316405C (zh) 一种获得数字签名和实现数据安全的方法
CN113452687A (zh) 基于量子安全密钥的发送邮件的加密方法和系统
CN100450305C (zh) 一种基于通用鉴权框架的安全业务通信方法
CN102404329A (zh) 用户终端与虚拟社区平台间交互的认证加密方法
CN110138558B (zh) 会话密钥的传输方法、设备及计算机可读存储介质
KR102219086B1 (ko) 드론(Unnamed Aerial vehicle)시스템을 위한 HMAC기반의 송신원 인증 및 비밀키 공유 방법 및 시스템
CN110881026B (zh) 一种用于对信息采集终端用户进行身份认证的方法及系统
CN113904767A (zh) 一种基于ssl建立通信的系统
Luring et al. Analysis of security features in DLMS/COSEM: Vulnerabilities and countermeasures
CN116743372A (zh) 基于ssl协议的量子安全协议实现方法及系统
CN113438074B (zh) 基于量子安全密钥的接收邮件的解密方法
CN115209411A (zh) Wapi证书签发申请方法与系统

Legal Events

Date Code Title Description
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant