CN111010388B - 一种基于kms的设备接入认证系统及方法 - Google Patents
一种基于kms的设备接入认证系统及方法 Download PDFInfo
- Publication number
- CN111010388B CN111010388B CN201911266484.3A CN201911266484A CN111010388B CN 111010388 B CN111010388 B CN 111010388B CN 201911266484 A CN201911266484 A CN 201911266484A CN 111010388 B CN111010388 B CN 111010388B
- Authority
- CN
- China
- Prior art keywords
- key
- equipment
- server
- authentication
- kms
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Abstract
本发明公开了一种基于KMS的设备接入认证系统,包括设备认证中心服务器、KMS密钥保险箱、设备服务器以及设备端,所述设备认证中心服务器、KMS密钥保险箱及设备服务器之间通过内网通信连接,所述设备端分别通过公网与设备认证中心服务器和设备服务器通信连接。本发明可以实现设备密钥分离管理,灵活授权,用后销毁,不经过外网传输的密钥管理、使用机制,能够为设备接入和管理提供更好的安全、便捷的操作。
Description
技术领域
本发明涉及物联网安全领域,尤其涉及一种基于KMS的设备接入认证系统及方法。
背景技术
现有的基于物联网的设备安全接入,基本上都是基于公私钥的方式,将公钥固定烧入设备中,存在公钥容易泄露、平台变更公私钥需要重新烧入设备,一旦设备数量较多时需要花费大量的时间和成本。
发明内容
发明目的:本发明基于针对上述不足,基于安全、便于维护的角度,提供了设备和主密钥分离管理、按需授权、密钥灵活销毁的设备接入认证方法,提供了方便的加密接口,大大减少了密钥管理、数据加密、密钥变更的工作。
技术方案:
一种基于KMS的设备接入认证系统,包括设备认证中心服务器、KMS密钥保险箱、设备服务器以及设备端,所述设备认证中心服务器、KMS密钥保险箱及设备服务器之间通过内网通信连接,所述设备端分别通过公网与设备认证中心服务器和设备服务器通信连接;
设备认证中心服务器创建AK密钥并分发至设备端;设备端携带AK密钥请求与设备认证中心服务器接入,设备认证中心服务器对设备端的AK密钥进行身份认证,若认证通过,则将设备端的接入请求发送至KMS密钥保险箱;若认证未通过,则返回错误至设备端;
KMS密钥保险箱设有密钥申请接口,设备认证中心服务器在通过设备端的身份认证之后,通过密钥申请接口申请创建密钥;KMS密钥保险箱根据认证中心服务器的申请创建真随机数主密钥,并配套生成明文密钥和密文密钥,同时将明文密钥分发给设备认证中心服务器,将密文密钥传输至设备服务器;
设备认证中心服务器得到明文密钥并对设备端的接入请求通过明文密钥进行加密,再将明文密钥加密后的接入请求返回至设备端;设备端通过设备认证中心返回的连接信息对其要上报的数据进行加密,并向设备服务器发起连接并请求上报,设备服务器获取请求后携带密文密钥,向KMS密钥保险箱发起验证解密请求;
KMS密钥保险箱对设备服务器的验证解密请求进行解密,在解密完成后销毁主密钥、明文密钥和密文密钥;同时返回解密后的连接请求至设备服务器,设备服务器完成认证,并与设备端建立连接。
一种设备接入认证方法,包括步骤:
(1)设备认证中心服务器创建AK密钥并分发至设备端;
(2)设备端携带AK密钥请求与设备认证中心服务器接入,设备认证中心服务器对设备端的AK密钥进行身份认证,若认证通过,则将设备端的接入请求发送至KMS密钥保险箱;若认证未通过,则返回错误至设备端;
(3)设备认证中心服务器通过KMS密钥保险箱的密钥申请接口申请创建密钥;KMS密钥保险箱根据认证中心服务器的申请创建真随机数主密钥,并配套生成明文密钥和密文密钥,同时将明文密钥分发给设备认证中心服务器,将密文密钥传输至设备服务器;
(4)设备认证中心服务器得到明文密钥并对设备端的接入请求通过明文密钥进行加密,再将明文密钥加密后的接入请求返回至设备端;
(5)设备端通过设备认证中心返回的连接信息对其要上报的数据进行加密,并向设备服务器发起连接并请求上报,设备服务器获取请求后携带密文密钥,向KMS密钥保险箱发起验证解密请求;
(6)KMS密钥保险箱对设备服务器的验证解密请求进行解密,在解密完成后销毁主密钥、明文密钥和密文密钥;同时返回解密后的连接请求至设备服务器,设备服务器完成认证,并与设备端建立连接。
有益效果:本发明可以实现设备密钥分离管理,灵活授权,用后销毁,不经过外网传输的密钥管理、使用机制,能够为设备接入和管理提供更好的安全、便捷的操作。
附图说明
图1为本发明的架构图。
图2为本发明基于KMS的设备接入认证方法的流程图。
具体实施方式
下面结合附图和具体实施例,进一步阐明本发明。
图1为本发明的架构图。如图1所示,本发明基于KMS的设备接入认证系统包括设备认证中心服务器、KMS密钥保险箱、设备服务器以及设备端,所述设备认证中心服务器、KMS密钥保险箱及设备服务器之间通过内网通信连接,所述设备端分别通过公网与设备认证中心服务器和设备服务器通信连接。
设备认证中心服务器创建AK密钥并分发至设备端;设备端携带AK密钥请求与设备认证中心服务器接入,设备认证中心服务器对设备端的AK密钥进行身份认证,若认证通过,则将设备端的接入请求发送至KMS密钥保险箱;若认证未通过,则返回错误至设备端。
KMS密钥保险箱设有密钥申请接口,设备认证中心服务器在通过设备端的身份认证之后,通过密钥申请接口申请创建密钥;KMS密钥保险箱根据认证中心服务器的申请创建真随机数主密钥,并配套生成明文密钥和密文密钥,同时将明文密钥分发给设备认证中心服务器,将密文密钥传输至设备服务器;其中,主密钥用于验证明文和密文签名的有效性;明文密钥用于对明文进行签名加密;密文密钥用于对密文进行解密;
设备认证中心服务器得到明文密钥并对设备端的接入请求通过明文密钥进行加密,再将明文密钥加密后的接入请求返回至设备端;设备端通过设备认证中心返回的连接信息对其要上报的数据进行加密,并向设备服务器发起连接并请求上报,设备服务器获取请求后携带密文密钥,向KMS密钥保险箱发起验证解密请求;
KMS密钥保险箱在解密完成后销毁主密钥、明文密钥和密文密钥,确保密钥一次使用;同时KMS密钥保险箱返回解密后的连接请求至设备服务器,设备服务器完成认证,并与设备端建立连接。
本发明还提供了一种基于KMS的设备接入认证方法,包括步骤:
(1)设备认证中心服务器创建AK密钥并分发至设备端;
(2)设备端携带AK密钥请求与设备认证中心服务器接入,设备认证中心服务器对设备端的AK密钥进行身份认证,若认证通过,则将设备端的接入请求发送至KMS密钥保险箱;若认证未通过,则返回错误至设备端;
(3)设备认证中心服务器通过KMS密钥保险箱的密钥申请接口申请创建密钥;KMS密钥保险箱根据认证中心服务器的申请创建真随机数主密钥,并配套生成明文密钥和密文密钥,同时将明文密钥分发给设备认证中心服务器,将密文密钥传输至设备服务器;
(4)设备认证中心服务器得到明文密钥并对设备端的接入请求通过明文密钥进行加密,再将明文密钥加密后的接入请求返回至设备端;
(5)设备端通过设备认证中心返回的连接信息对其要上报的数据进行加密,并向设备服务器发起连接并请求上报,设备服务器获取请求后携带密文密钥,向KMS密钥保险箱发起验证解密请求;
(6)KMS密钥保险箱对设备服务器的验证解密请求进行解密,在解密完成后销毁主密钥、明文密钥和密文密钥;同时返回解密后的连接请求至设备服务器,设备服务器完成认证,并与设备端建立连接。
本发明优化了公私钥证书方式的设备安全接入时:证书不易变更、不能回收、容易泄露、算法容易破解等多种弊端,提升了密钥、加解密算法管理的能力,降低了设备证书密钥管理及变更成本。
本发明基于KMS的密钥管理能力达到设备接入安全认证的最终目的,通过一系列的密钥申请、创建、密钥交换、认证信息加密、销毁过程,确保安全便捷的完成设备接入认证。
以上详细描述了本发明的优选实施方式,但是本发明并不限于上述实施方式中的具体细节,在本发明的技术构思范围内,可以对本发明的技术方案进行多种等同变换(如数量、形状、位置等),这些等同变换均属于本发明的保护。
Claims (2)
1.一种基于KMS的设备接入认证系统,其特征在于:包括设备认证中心服务器、KMS密钥保险箱、设备服务器以及设备端,所述设备认证中心服务器、KMS密钥保险箱及设备服务器之间通过内网通信连接,所述设备端分别通过公网与设备认证中心服务器和设备服务器通信连接;
设备认证中心服务器创建AK密钥并分发至设备端;设备端携带AK密钥请求与设备认证中心服务器接入,设备认证中心服务器对设备端的AK密钥进行身份认证,若认证通过,则将设备端的接入请求发送至KMS密钥保险箱;若认证未通过,则返回错误至设备端;
KMS密钥保险箱设有密钥申请接口,设备认证中心服务器在通过设备端的身份认证之后,通过密钥申请接口申请创建密钥;KMS密钥保险箱根据认证中心服务器的申请创建真随机数主密钥,并配套生成明文密钥和密文密钥,同时将明文密钥分发给设备认证中心服务器,将密文密钥传输至设备服务器;
设备认证中心服务器得到明文密钥并对设备端的接入请求通过明文密钥进行加密,再将明文密钥加密后的接入请求返回至设备端;设备端通过设备认证中心返回的经明文密钥加密后的接入请求向设备服务器发起连接请求,设备服务器获取请求后携带密文密钥,向KMS密钥保险箱发起验证解密请求;
KMS密钥保险箱对设备服务器的验证解密请求进行解密,在解密完成后销毁主密钥、明文密钥和密文密钥;同时返回解密后的连接请求至设备服务器,设备服务器完成认证,并与设备端建立连接。
2.一种采用权利要求1所述的设备接入认证系统的设备接入认证方法,其特征在于:包括步骤:
(1)设备认证中心服务器创建AK密钥并分发至设备端;
(2)设备端携带AK密钥请求与设备认证中心服务器接入,设备认证中心服务器对设备端的AK密钥进行身份认证,若认证通过,则将设备端的接入请求发送至KMS密钥保险箱;若认证未通过,则返回错误至设备端;
(3)设备认证中心服务器通过KMS密钥保险箱的密钥申请接口申请创建密钥;KMS密钥保险箱根据认证中心服务器的申请创建真随机数主密钥,并配套生成明文密钥和密文密钥,同时将明文密钥分发给设备认证中心服务器,将密文密钥传输至设备服务器;
(4)设备认证中心服务器得到明文密钥并对设备端的接入请求通过明文密钥进行加密,再将明文密钥加密后的接入请求返回至设备端;
(5)设备端通过设备认证中心返回的经明文密钥加密后的接入请求向设备服务器发起连接请求,设备服务器获取请求后携带密文密钥,向KMS密钥保险箱发起验证解密请求;
(6)KMS密钥保险箱对设备服务器的验证解密请求进行解密,在解密完成后销毁主密钥、明文密钥和密文密钥;同时返回解密后的连接请求至设备服务器,设备服务器完成认证,并与设备端建立连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911266484.3A CN111010388B (zh) | 2019-12-11 | 2019-12-11 | 一种基于kms的设备接入认证系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911266484.3A CN111010388B (zh) | 2019-12-11 | 2019-12-11 | 一种基于kms的设备接入认证系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111010388A CN111010388A (zh) | 2020-04-14 |
| CN111010388B true CN111010388B (zh) | 2022-08-12 |
Family
ID=70115704
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911266484.3A Active CN111010388B (zh) | 2019-12-11 | 2019-12-11 | 一种基于kms的设备接入认证系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111010388B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112887306B (zh) * | 2021-01-26 | 2023-01-20 | 浪潮云信息技术股份公司 | 一种自定义安全认证方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102595409A (zh) * | 2012-03-21 | 2012-07-18 | 华为技术有限公司 | 一种基于无线接入的加密信息获取方法、设备及系统 |
| CN104301316A (zh) * | 2014-10-13 | 2015-01-21 | 中国电子科技集团公司第二十八研究所 | 一种单点登录系统及其实现方法 |
| CN105554747A (zh) * | 2016-01-29 | 2016-05-04 | 腾讯科技(深圳)有限公司 | 无线网络连接方法、装置及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080273706A1 (en) * | 2007-05-04 | 2008-11-06 | Neoscale Systems | System and Method for Controlled Access Key Management |
-
2019
- 2019-12-11 CN CN201911266484.3A patent/CN111010388B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102595409A (zh) * | 2012-03-21 | 2012-07-18 | 华为技术有限公司 | 一种基于无线接入的加密信息获取方法、设备及系统 |
| CN104301316A (zh) * | 2014-10-13 | 2015-01-21 | 中国电子科技集团公司第二十八研究所 | 一种单点登录系统及其实现方法 |
| CN105554747A (zh) * | 2016-01-29 | 2016-05-04 | 腾讯科技(深圳)有限公司 | 无线网络连接方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111010388A (zh) | 2020-04-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109076078B (zh) | 用以建立和更新用于安全的车载网络通信的密钥的方法 | |
| CN106713237B (zh) | 一种车载终端与中心平台通信的加密方法 | |
| CN106713279B (zh) | 一种视频终端身份认证系统 | |
| CN108650028B (zh) | 基于量子通信网络与真随机数的多次身份认证系统和方法 | |
| CN102217277A (zh) | 基于令牌进行认证的方法和系统 | |
| CN108809633B (zh) | 一种身份认证的方法、装置及系统 | |
| US10133861B2 (en) | Method for controlling access to a production system of a computer system not connected to an information system of said computer system | |
| CN106506149B (zh) | 一种tbox终端和tsp平台之间密钥生成方法以及系统 | |
| CN105162797A (zh) | 一种基于视频监控系统的双向认证方法 | |
| CN103701787A (zh) | 一种基于公开密钥算法实现的用户名口令认证方法 | |
| CN114095167A (zh) | 一种通信终端的量子密钥充注方法 | |
| CN103560892A (zh) | 密钥生成方法和密钥生成装置 | |
| CN110944327A (zh) | 用于轨道交通区域控制器的信息安全保密方法及其装置 | |
| CN111539496A (zh) | 车辆信息二维码生成方法、二维码车牌、认证方法及系统 | |
| CN111277417A (zh) | 一种基于国网安全技术架构的电子签章实现方法 | |
| CN111080856A (zh) | 蓝牙门禁开锁方法 | |
| CN111010388B (zh) | 一种基于kms的设备接入认证系统及方法 | |
| CN112714121A (zh) | 一种用于处理工业互联网数字证书的方法及系统 | |
| CN100561913C (zh) | 一种访问密码设备的方法 | |
| CN101471775B (zh) | Wimax系统中MS与BS的认证方法 | |
| CN116566705A (zh) | 基于密钥派生函数的认证方法、系统、客户端及服务端 | |
| CN114401087B (zh) | 一种基于国密算法的无源锁身份认证与密钥协商的系统 | |
| CN106685646B (zh) | 一种数字证书密钥管理方法及管理服务器 | |
| CN109922042B (zh) | 遗失设备的子密钥管理方法和系统 | |
| CN113364803A (zh) | 基于区块链的配电物联网的安全认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |