CN111092734B - 一种基于自组网络通信的产品激活认证方法 - Google Patents
一种基于自组网络通信的产品激活认证方法 Download PDFInfo
- Publication number
- CN111092734B CN111092734B CN201911315510.7A CN201911315510A CN111092734B CN 111092734 B CN111092734 B CN 111092734B CN 201911315510 A CN201911315510 A CN 201911315510A CN 111092734 B CN111092734 B CN 111092734B
- Authority
- CN
- China
- Prior art keywords
- product
- network access
- information
- data
- security module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3252—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using DSA or related signature schemes, e.g. elliptic based signatures, ElGamal or Schnorr schemes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种基于自组网络通信的产品激活认证方法,包括:依据入网用户产品的入网申请类型,在已有的产品分类体系中选择入网用户产品需要的申请类型:申请类型包括新入网未完成激活入网用户产品、已完成激活未完成认证入网用户产品和已完成激活认证入网用户产品;若入网用户产品有产品入网需求,生成申请入网产品需求列表;判断入网用户产品所需入网的产品类别,产品类别包括激活和认证;根据申请入网产品需求列表中的每一件需求入网产品的产品类别,针对需求入网产品对安全模块进行激活,或通过安全模块对需求入网产品进行认证。该方法能够控制通信设备的入网范围,继而阻断通信信息的非法获取的途径,提高自组网络通信保密性和可靠性。
Description
技术领域
本发明涉及自组网络领域,尤其涉及一种基于自组网络通信的产品激活认证方法。
背景技术
警犬是我国警用现行重要装备之一,为了应对多种安全威胁,完成多样化、多警犬组队联合执行任务的客观要求,发挥在警犬在反恐维稳、消防救援、治安巡逻和缉毒排 爆等不同场合下的作用,需要设计一种用于警犬的自组网络通信方法。
现有的用于警犬的自组网络通信方法中,一般使用的是产品入网没有限制,只是在 设备间通信使用内容加密或目的IP地址过滤等手段进行安全防护,存在通信内容被截取 解密和非法设备伪装正常设备通信等安全风险。
发明内容
针对上述入网认证研究中所存在的问题和不足,本发明的目的在于提供一种基于自 组网络通信的产品激活认证方法。
一种基于自组网络通信的产品激活认证方法,包括:
步骤1,依据入网用户产品的入网申请类型,在已有的产品分类体系中选择入网用户产品需要的申请类型:所述申请类型包括新入网未完成激活入网用户产品、已完成激 活未完成认证入网用户产品和已完成激活认证入网用户产品;
步骤2,若所述入网用户产品有产品入网需求,生成申请入网产品需求列表;
步骤3,判断所述入网用户产品所需入网的产品类别,所述产品类别包括激活和认证;
步骤4,根据所述申请入网产品需求列表中的每一件需求入网产品的产品类别,针对所述需求入网产品对安全模块进行激活,或通过所述安全模块对需求入网产品进行认证。
进一步地,在一种实现方式中,所述步骤4包括针对所述需求入网产品对安全模块进行激活,所述安全模块设置于自组网络内,所述安全模块用于认证需求入网产品:
步骤4-1,填写需求入网产品的相关信息,所述相关信息包括:厂商代码、设备类型、 硬件版本号和设备序列号,连同需求入网产品的私钥加密后的数据和公钥数据打包生成 申请激活信息,再使用安全模块认证机构提供的公钥加密提交所述申请激活信息至安全 模块认证方;
步骤4-2,所述安全模块认证方收到提交的申请激活信息后,使用私钥验证申请需求 的合法性:将通过私钥加密所述申请激活信息与需求入网产品提交的使用公钥加密的数 据进行比对;若比对一致则所述申请需求合法;若比对不一致则所述申请需求不合法;
步骤4-3,若所述申请需求合法,验证所述申请激活信息的合法性:验证所述申请激 活信息提供的每个关键信息字段的顺序和格式,是否与约定的提交格式一致;若验证一致,则所述申请激活信息合法;若验证不一致,则所述申请激活信息不合法;
步骤4-4,若所述申请激活信息合法,验证提供的信息是否完整:判断提交的所述申 请激活信息中的内容是否包含厂商代码、设备类型、硬件版本号和设备序列号;
步骤4-5,若所述提供的信息完整,验证信息是否真实有效:比对指定厂商代码、指定类型和硬件版本号是否为审核过的合法信息;若所述指定厂商代码、指定类型和硬件 版本号为审核过的合法信息,则所述验证信息真实有效;若所述指定厂商代码、指定类 型和硬件版本号非审核过的合法信息,则所述验证信息非真实有效;
步骤4-6,若所述验证信息真实有效,则验证所述申请激活信息中提供的公钥有效性: 验证公钥是否与认证机构发布公钥一致;若一致,则所述公钥有效;若不一致,则所述公钥无效;
步骤4-7,若所述申请激活信息中提供的公钥有效,所述安全模块激活成功,生成所 述安全模块的数字证书,发送至需求入网产品,执行步骤4-8的操作,开始通过所述安全模块对需求入网产品进行认证。
进一步地,在一种实现方式中,所述步骤4包括通过安全模块对所述需求入网产品进行认证:
步骤4-8,所述需求入网产品发送请求至安全模块;
步骤4-9,所述安全模块接收请求,生成64Bit随机数,即安全模块产生的随机数RS数据,并发送给需求入网产品;
步骤4-10,所述需求入网产品生成64Bit随机数,即需求入网产品产生的随机数RM数据;
步骤4-11,所述需求入网产品将认证信息文件发送至安全模块,所述认证信息文件 包括:RS数据、RM数据、读写设备标识、约定信息、使用私钥对每个数据签名后的结 果和数字证书;
步骤4-12,安全模块校验所述认证信息文件中的数字证书和数字证书中的公钥是否 合法:验证所述认证信息文件中的数字证书和公钥是否与安全模块认证机构提供的数字 证书和公钥一致;若一致则合法;若不一致则不合法;
步骤4-13,若所述数字证书和数字证书中的公钥合法,使用公钥对RS数据、RM数据、读写设备标识和约定信息进行数据签名,将使用所述公钥数据签名后的信息与接收 到的签名信息进行校验:验证使用所述公钥对RS数据、RM数据、读写设备标识和约定 信息进行数据签名后的信息是否与使用私钥对每个数据签名后的结果一致;若一致则校 验正确;若不一致则校验不正确;
步骤4-14,若使用所述公钥数据签名后的信息正确,所述安全模块将接收的RS数据与所述步骤4-9生成并发送的RS数据进行比对:验证所述步骤4-9生成并发送的RS 数据是否与安全模块当前接收的RS数据一致;
步骤4-15,若所述当前接收的RS数据与步骤4-9生成并发送的RS数据比对结果一致,则认证成功,允许所述需求入网产品入网通信。
进一步地,在一种实现方式中,所述需求入网产品必须通过安全模块进行自组网内 通信;所述进行自组网内通信必须满足需求入网产品所对应的安全模块在激活状态下,且所述入网需求产品在通信前必须通过安全模块认证。
进一步地,在一种实现方式中,所述步骤4-9和步骤4-10中所述生成的64Bit随机数,用于避免安全模块和需求入网产品产生的数据重复,防止需求入网产品的数字证书 被盗用;所述64Bit随机数结合椭圆曲线的加密算法,用于对所述自组网络提供前向安全 性。
进一步地,在一种实现方式中,所述步骤4-11中,对所述RS数据、RM数据、读 写设备标识和约定信息数据签名采用基于椭圆曲线的非对称加密算法。
进一步地,在一种实现方式中,所述步骤4-13中采用CRC32循环冗余校验方法。本发明提供一种基于自组网络通信的产品激活认证方法,包括:依据入网用户产品的入 网申请类型,在已有的产品分类体系中选择入网用户产品需要的申请类型:所述申请类 型包括新入网未完成激活入网用户产品、已完成激活未完成认证入网用户产品和已完成 激活认证入网用户产品;若所述入网用户产品有产品入网需求,生成申请入网产品需求 列表;判断所述入网用户产品所需入网的产品类别,所述产品类别包括激活和认证;根 据所述申请入网产品需求列表中的每一件需求入网产品的产品类别,针对所述需求入网 产品对安全模块进行激活,或通过所述安全模块对需求入网产品进行认证。该方法能够 控制通信设备的入网范围,继而阻断通信信息的非法获取的途径,提高自组网络通信保 密性和可靠性。
和现有技术中的自组网络通信方式相比,本发明的这种认证服务组织方法在激活和 认证过程中加入了安全模块这一环节。每个入网产品均包含安全模块,安全模块能够校验数字证书和数字证书中的公钥是否合法,在保密性方面发挥着重要作用,保障信息在 自组网络传输的安全性。因此,本方案从源头通信设备入网进行认证安全限制,未通过 认证的设备无法使用自组网设备接入通信网络进行通信,增加了一层通信链路防护,减 少了通信内容被截取等安全风险。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单 地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例部分提供的一种基于自组网络通信的产品激活认证方法的工作 流程示意图;
图2是本发明实施例部分提供的一种基于自组网络通信的产品激活认证方法中针对 需求入网产品填写提交信息的激活界面示意图;
图3是本发明实施例部分提供的一种基于自组网络通信的产品激活认证方法中服务 组织方法实现应用示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式 对本发明作进一步详细的说明。
本发明实施例公开一种基于自组网络通信的产品激活认证方法,本方法应用于在无限 自组网络环境下,为保证通信安全,增加安全模块,提供入网通信认证激活等方法,保证警 犬携带的通信设备入网通信,训导员和指挥中心系统设备能够获取共享现场信息的安全 性。以往一般使用的是产品入网没有限制,只是在设备间通信使用内容加密或目的IP地 址过滤等手段进行安全防护,存在通信内容被截取解密和非法设备伪装正常设备通信等 安全风险,本方案从源头通信设备入网进行认证安全限制,未通过认证的设备无法使用自组网设备接入通信网络进行通信;增加了一层通信链路防护,减少了通信内容被截取 等安全风险。
具体的,本发明可以为警犬设计一种基于自组网络通信的产品激活认证方法,实现警 犬携带的通信设备入网通信,训导员和指挥中心系统设备能够获取共享现场信息,具有 机动性强、安全性好和准确度高的特点,和4G等通信方式相比,对于现场环境要求更低。本发明提供的一种基于自组网络通信的产品激活认证方法具有广泛的应用背景,适用于保密性要求高的自组网络场合。
如图1所示,一种基于自组网络通信的产品激活认证方法,包括:
步骤1,依据入网用户产品的入网申请类型,在已有的产品分类体系中选择入网用户产品需要的入网申请类型:所述入网申请类型包括新入网未完成激活入网用户产品、 已完成激活未完成认证入网用户产品和已完成激活认证入网用户产品;
步骤2,若所述入网用户产品有产品入网需求,生成申请入网产品需求列表;本实施例中,当入网用户产品的申请类型为新入网未完成激活入网用户产品或已完成激活未完成认证入网用户产品时,即所述入网用户产品有产品入网需求。
步骤3,判断所述入网用户产品所需入网的产品类别,所述产品类别包括激活和认证;本步骤中,能够根据入网用户产品不同的入网申请类型选择激活或认证,若所述入 网用户产品的入网申请类型为新入网未完成激活入网用户产品,则本步骤中所需入网的 产品类别为激活,待激活成功后再进行认证;若所述入网用户产品的入网申请类型为已 完成激活未完成认证入网用户产品,则本步骤中所需入网的产品类别为认证,直接执行 步骤4-8进行认证。
步骤4,根据所述申请入网产品需求列表中的每一件需求入网产品的产品类别,针对所述需求入网产品对安全模块进行激活,或通过所述安全模块对需求入网产品进行认证。
本实施例所述的一种基于自组网络通信的产品激活认证方法中,所述步骤4包括针 对所述需求入网产品对安全模块进行激活,所述安全模块设置于自组网络内,所述安全模块用于认证需求入网产品:
步骤4-1,填写需求入网产品的相关信息,所述相关信息包括:厂商代码、设备类型、 硬件版本号和设备序列号,连同需求入网产品的私钥加密后的数据和公钥数据打包生成 申请激活信息,再使用安全模块认证机构提供的公钥加密提交所述申请激活信息至安全 模块认证方;具体的,如图2所示,是本发明实施例部分提供的一种基于自组网络通信的产品激活认证方法中针对需求入网产品填写提交信息的激活界面示意图。
步骤4-2,所述安全模块认证方收到提交的申请激活信息后,使用私钥验证申请需求 的合法性:将通过私钥加密所述申请激活信息与需求入网产品提交的使用公钥加密的数 据进行比对;若比对一致则所述申请需求合法;若比对不一致则所述申请需求不合法;
步骤4-3,若所述申请需求合法,验证所述申请激活信息的合法性:验证所述申请激 活信息提供的每个关键信息字段的顺序和格式,是否与约定的提交格式一致;若验证一致,则所述申请激活信息合法;若验证不一致,则所述申请激活信息不合法;本实施例 中,若所述步骤4-2中验证的申请需求不合法,则激活失败,禁止接入网。
步骤4-4,若所述申请激活信息合法,验证提供的信息是否完整:判断提交的所述申 请激活信息中的内容是否包含厂商代码、设备类型、硬件版本号和设备序列号;本实施例中,若所述步骤4-3中验证的申请激活信息步合法,则激活失败,禁止接入网。
步骤4-5,若所述提供的信息完整,验证信息是否真实有效:比对指定厂商代码、指定类型和硬件版本号是否为审核过的合法信息;若所述指定厂商代码、指定类型和硬件 版本号为审核过的合法信息,则所述验证信息真实有效;若所述指定厂商代码、指定类 型和硬件版本号非审核过的合法信息,则所述验证信息非真实有效;本实施例中,若所 述步骤4-4中判断的所述提供的信息不完整,则激活失败,禁止接入网。
步骤4-6,若所述验证信息真实有效,则验证所述申请激活信息中提供的公钥有效性: 验证公钥是否与认证机构发布公钥一致;若一致,则所述公钥有效;若不一致,则所述公钥无效;本实施例中,若所述步骤4-5中验证信息非真实有效,则激活失败,禁止接 入网。
步骤4-7,若所述申请激活信息中提供的公钥有效,所述安全模块激活成功,生成所 述安全模块的数字证书,发送至需求入网产品,执行步骤4-8的操作,开始通过所述安全模块对需求入网产品进行认证。
本实施例所述的一种基于自组网络通信的产品激活认证方法中,所述步骤4包括通 过安全模块对所述需求入网产品进行认证:
步骤4-8,所述需求入网产品发送请求至安全模块;
步骤4-9,所述安全模块接收请求,生成64Bit随机数,即安全模块产生的随机数RS数据,并发送给需求入网产品;
步骤4-10,所述需求入网产品生成64Bit随机数,即需求入网产品产生的随机数RM数据;
步骤4-11,所述需求入网产品将认证信息文件发送至安全模块,所述认证信息文件 包括:RS数据、RM数据、读写设备标识、约定信息、使用私钥对每个数据签名后的结 果和数字证书;
步骤4-12,安全模块校验所述信息认证文件中的数字证书和数字证书中的公钥是否 合法:验证所述信息认证文件中的数字证书和公钥是否与安全模块认证机构提供的数字 证书和公钥一致;若一致则合法;若不一致则不合法;
步骤4-13,若所述数字证书和数字证书中的公钥合法,使用公钥对RS数据、RM数据、读写设备标识和约定信息进行数据签名,将使用所述公钥数据签名后的信息与接收 到的签名信息进行校验:验证使用所述公钥对RS数据、RM数据、读写设备标识和约定 信息进行数据签名后的信息是否与使用私钥对每个数据签名后的结果一致;若一致则校 验正确;若不一致则校验不正确;本实施例中,若所述步骤4-12中校验的数字证书和数 字证书中的公钥不合法,则认证失败,禁止接入网。
步骤4-14,若使用所述公钥数据签名后的信息正确,所述安全模块将接收的RS数据与所述步骤4-9生成并发送的RS数据进行比对:验证所述步骤4-9生成并发送的RS 数据是否与安全模块当前接收的RS数据一致;本实施例中,若所述步骤4-13中校验的 公钥数据签名后的信息不正确,则认证失败,禁止接入网。
步骤4-15,若所述当前接收的RS数据与步骤4-9生成并发送的RS数据比对结果一致,则认证成功,允许所述需求入网产品入网通信。本实施例中,若所述步骤4-14中当 前接收的RS数据与步骤4-9生成并发送的RS数据比对结果不一致,则认证失败,禁止 接入网。
本实施例所述的一种基于自组网络通信的产品激活认证方法中,所述需求入网产品 必须通过安全模块进行自组网内通信;所述进行自组网内通信必须满足需求入网产品所 对应的安全模块在激活状态下,且所述入网需求产品在通信前必须通过安全模块认证。
本实施例所述的一种基于自组网络通信的产品激活认证方法中,所述步骤4-9和步 骤4-10中所述生成的64Bit随机数,用于避免安全模块和需求入网产品产生的数据重复, 防止需求入网产品的数字证书被盗用;所述64Bit随机数结合椭圆曲线的加密算法,用于 对所述自组网络提供前向安全性。
本实施例所述的一种基于自组网络通信的产品激活认证方法中,所述步骤4-11中, 对所述RS数据、RM数据、读写设备标识和约定信息数据签名采用基于椭圆曲线的非对称加密算法。本实施例中,即便攻击者获取了读写设备标识、约定信息和密钥等,由于 未知RS数据和RM数据这两个随机数,攻击者依然不能通过安全模块认证。因此提高 了入网通信的安全性。
本实施例所述的一种基于自组网络通信的产品激活认证方法中,所述步骤4-13中采 用CRC32循环冗余校验方法。
本发明提供一种基于自组网络通信的产品激活认证方法,包括:依据入网用户产品 的入网申请类型,在已有的产品分类体系中选择入网用户产品需要的申请类型:所述申请类型包括新入网未完成激活入网用户产品、已完成激活未完成认证入网用户产品和已完成激活认证入网用户产品;若所述入网用户产品有产品入网需求,生成申请入网产品 需求列表;判断所述入网用户产品所需入网的产品类别,所述产品类别包括激活和认证; 根据所述申请入网产品需求列表中的每一件需求入网产品的产品类别,针对所述需求入 网产品对安全模块进行激活,或通过所述安全模块对需求入网产品进行认证。该方法能 够控制通信设备的入网范围,继而阻断通信信息的非法获取的途径,提高自组网络通信 保密性和可靠性。
如图3所示,是本发明实施例部分提供的一种基于自组网络通信的产品激活认证方法 中服务组织方法实现应用示意图。
警犬携带的通信设备包括全景视频终端、控制终端、信息处理模块、音频控制模块和电池组成的通信系统,训导员系统设备包括高清摄像头、控制模块、耳麦、腕式显控 和电池组成的通信系统,和指挥中心系统设备即便携式电脑设备,三套设备分别通过无 线自组网安全认证通信模块激活认证后,接入无线自组网络,获取共享现场信息和远程 控制等通信。
本发明与现有技术相比,其显著优点为:首先,本发明依据梳理出来的自组网络通信激活认证产品通信体系,利用需求入网产品和安全模块认证激活服务之间的内在关系,可以简化自组网络条件下,需求入网产品通信生成的复杂度,提高入网通信的安全性; 其次,本发明所依赖的需求入网产品和安全模块认证激活服务之间的关联关系都是经过 实践论证过的,实现的可行性可以得到保证。
本发明提供的认证服务组织方法在激活和认证过程中加入了安全模块这一环节。每 个入网产品均包含安全模块,安全模块能够校验数字证书和数字证书中的公钥是否合法, 在保密性方面发挥着重要作用,保障信息在自组网络传输的安全性。因此,本方案从源头通信设备入网进行认证安全限制,未通过认证的设备无法使用自组网设备接入通信网络进行通信,增加了一层通信链路防护,减少了通信内容被截取等安全风险。
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,该程序执行时可包括本发明提供的一种基于自组网络通信的产品激活认证方法的各实施例中的部分或全部步骤。所述的存储介质可为磁碟、光盘、只读存储记忆体(英文:read-only memory,简称:ROM)或随机存储记忆体(英文:random access memory, 简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通 用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者说 对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存 储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设 备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例 的某些部分所述的方法。
本说明书中各个实施例之间相同相似的部分互相参见即可。以上所述的本发明实施 方式并不构成对本发明保护范围的限定。
Claims (6)
1.一种基于自组网络通信的产品激活认证方法,其特征在于,包括:
步骤1,依据入网用户产品的入网申请类型,在已有的产品分类体系中选择入网用户产品需要的申请类型:所述申请类型包括新入网未完成激活入网用户产品、已完成激活未完成认证入网用户产品和已完成激活认证入网用户产品;
步骤2,若所述入网用户产品有产品入网需求,生成申请入网产品需求列表;
步骤3,判断所述入网用户产品所需入网的产品类别,所述产品类别包括激活和认证;
步骤4,根据所述申请入网产品需求列表中的每一件需求入网产品的产品类别,针对所述需求入网产品对安全模块进行激活,或通过所述安全模块对需求入网产品进行认证,所述安全模块设置于自组网络内,所述安全模块用于认证需求入网产品;
所述步骤4包括针对所述需求入网产品对安全模块进行激活:
步骤4-1,填写需求入网产品的相关信息,所述相关信息包括:厂商代码、设备类型、硬件版本号和设备序列号,连同需求入网产品的私钥加密后的数据和公钥数据打包生成申请激活信息,再使用安全模块认证机构提供的公钥加密提交所述申请激活信息至安全模块认证方;
步骤4-2,所述安全模块认证方收到提交的申请激活信息后,使用私钥验证申请需求的合法性:将通过私钥加密所述申请激活信息与需求入网产品提交的使用公钥加密的数据进行比对;若比对一致则所述申请需求合法;若比对不一致则所述申请需求不合法;
步骤4-3,若所述申请需求合法,验证所述申请激活信息的合法性:验证所述申请激活信息提供的每个关键信息字段的顺序和格式,是否与约定的提交格式一致;若验证一致,则所述申请激活信息合法;若验证不一致,则所述申请激活信息不合法;
步骤4-4,若所述申请激活信息合法,验证提供的信息是否完整:判断提交的所述申请激活信息中的内容是否包含厂商代码、设备类型、硬件版本号和设备序列号;
步骤4-5,若所述提供的信息完整,验证信息是否真实有效:比对指定厂商代码、指定类型和硬件版本号是否为审核过的合法信息;若所述指定厂商代码、指定类型和硬件版本号为审核过的合法信息,则所述验证信息真实有效;若所述指定厂商代码、指定类型和硬件版本号为非审核过的合法信息,则所述验证信息非真实有效;
步骤4-6,若所述验证信息真实有效,则验证所述申请激活信息中提供的公钥有效性:验证公钥是否与认证机构发布公钥一致;若一致,则所述公钥有效;若不一致,则所述公钥无效;
步骤4-7,若所述申请激活信息中提供的公钥有效,所述安全模块激活成功,生成所述安全模块的数字证书,发送至需求入网产品,开始通过所述安全模块对需求入网产品进行认证。
2.根据权利要求1所述的一种基于自组网络通信的产品激活认证方法,其特征在于,所述步骤4包括通过安全模块对所述需求入网产品进行认证:
步骤4-8,所述需求入网产品发送请求至安全模块;
步骤4-9,所述安全模块接收请求,生成64Bit随机数,即安全模块产生的随机数RS数据,并发送给需求入网产品;
步骤4-10,所述需求入网产品生成64Bit随机数,即需求入网产品产生的随机数RM数据;
步骤4-11,所述需求入网产品将认证信息文件发送至安全模块,所述认证信息文件包括:RS数据、RM数据、读写设备标识、约定信息、使用私钥对每个数据签名后的结果和数字证书;
步骤4-12,安全模块校验所述认证信息文件中的数字证书和数字证书中的公钥是否合法:验证所述认证信息文件中的数字证书和公钥是否与安全模块认证机构提供的数字证书和公钥一致;若一致则合法;若不一致则不合法;
步骤4-13,若所述数字证书和数字证书中的公钥合法,使用公钥对RS数据、RM数据、读写设备标识和约定信息进行数据签名,将使用所述公钥数据签名后的信息与接收到的签名信息进行校验:验证使用所述公钥对RS数据、RM数据、读写设备标识和约定信息进行数据签名后的信息是否与使用私钥对每个数据签名后的结果一致;若一致则校验正确;若不一致则校验不正确;
步骤4-14,若使用所述公钥数据签名后的信息正确,所述安全模块将接收的RS数据与所述步骤4-9生成并发送的RS数据进行比对:验证所述步骤4-9生成并发送的RS数据是否与安全模块当前接收的RS数据一致;
步骤4-15,若所述当前接收的RS数据与步骤4-9生成并发送的RS数据比对结果一致,则认证成功,允许所述需求入网产品入网通信。
3.根据权利要求2所述的一种基于自组网络通信的产品激活认证方法,其特征在于,所述需求入网产品必须通过安全模块进行自组网内通信;所述进行自组网内通信必须满足需求入网产品所对应的安全模块在激活状态下,且所述需求入网产品在通信前必须通过安全模块认证。
4.根据权利要求3所述的一种基于自组网络通信的产品激活认证方法,其特征在于,所述步骤4-9和步骤4-10中所述生成的64Bit随机数,用于避免安全模块和需求入网产品产生的数据重复,防止需求入网产品的数字证书被盗用;所述64Bit随机数结合椭圆曲线的加密算法,用于对所述自组网络提供前向安全性。
5.根据权利要求4所述的一种基于自组网络通信的产品激活认证方法,其特征在于,所述步骤4-11中,对所述RS数据、RM数据、读写设备标识和约定信息数据签名采用基于椭圆曲线的非对称加密算法。
6.根据权利要求5所述的一种基于自组网络通信的产品激活认证方法,其特征在于,所述步骤4-13中采用CRC32循环冗余校验方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911315510.7A CN111092734B (zh) | 2019-12-19 | 2019-12-19 | 一种基于自组网络通信的产品激活认证方法 |
| PCT/CN2020/089826 WO2021120503A1 (zh) | 2019-12-19 | 2020-05-12 | 一种基于自组网络通信的产品激活认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911315510.7A CN111092734B (zh) | 2019-12-19 | 2019-12-19 | 一种基于自组网络通信的产品激活认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111092734A CN111092734A (zh) | 2020-05-01 |
| CN111092734B true CN111092734B (zh) | 2021-12-28 |
Family
ID=70395212
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911315510.7A Active CN111092734B (zh) | 2019-12-19 | 2019-12-19 | 一种基于自组网络通信的产品激活认证方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN111092734B (zh) |
| WO (1) | WO2021120503A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111092734B (zh) * | 2019-12-19 | 2021-12-28 | 南京莱斯电子设备有限公司 | 一种基于自组网络通信的产品激活认证方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101841525A (zh) * | 2010-03-02 | 2010-09-22 | 中国联合网络通信集团有限公司 | 安全接入方法、系统及客户端 |
| CN101877702A (zh) * | 2010-05-20 | 2010-11-03 | 中兴通讯股份有限公司 | 一种交互式网络电视客户端激活认证的方法和系统 |
| CN103023876A (zh) * | 2012-11-22 | 2013-04-03 | 中国科学院声学研究所 | 一种网络终端及其安全认证、注册激活方法,服务器 |
| CN106778084A (zh) * | 2016-11-18 | 2017-05-31 | 畅捷通信息技术股份有限公司 | 软件激活方法及装置和软件激活系统 |
| CN107408278A (zh) * | 2015-03-24 | 2017-11-28 | 大日本印刷株式会社 | 系统设定管理系统 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE10259270A1 (de) * | 2002-12-17 | 2004-07-15 | Wincor Nixdorf International Gmbh | Personalisierung von Sicherheitsmoduln |
| US9935962B2 (en) * | 2016-01-19 | 2018-04-03 | Qualcomm Incorporated | Method and system for onboarding wireless-enabled products in a network |
| FR3053203A1 (fr) * | 2016-06-24 | 2017-12-29 | Orange | Technique de telechargement d'un profil d'acces a un reseau |
| CN109587142B (zh) * | 2018-12-10 | 2022-08-16 | 北京华虹集成电路设计有限责任公司 | 一种面向业务流的数据安全接入模块和设备 |
| CN111092734B (zh) * | 2019-12-19 | 2021-12-28 | 南京莱斯电子设备有限公司 | 一种基于自组网络通信的产品激活认证方法 |
-
2019
- 2019-12-19 CN CN201911315510.7A patent/CN111092734B/zh active Active
-
2020
- 2020-05-12 WO PCT/CN2020/089826 patent/WO2021120503A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101841525A (zh) * | 2010-03-02 | 2010-09-22 | 中国联合网络通信集团有限公司 | 安全接入方法、系统及客户端 |
| CN101877702A (zh) * | 2010-05-20 | 2010-11-03 | 中兴通讯股份有限公司 | 一种交互式网络电视客户端激活认证的方法和系统 |
| CN103023876A (zh) * | 2012-11-22 | 2013-04-03 | 中国科学院声学研究所 | 一种网络终端及其安全认证、注册激活方法,服务器 |
| CN107408278A (zh) * | 2015-03-24 | 2017-11-28 | 大日本印刷株式会社 | 系统设定管理系统 |
| CN106778084A (zh) * | 2016-11-18 | 2017-05-31 | 畅捷通信息技术股份有限公司 | 软件激活方法及装置和软件激活系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111092734A (zh) | 2020-05-01 |
| WO2021120503A1 (zh) | 2021-06-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11558381B2 (en) | Out-of-band authentication based on secure channel to trusted execution environment on client device | |
| CN111429254B (zh) | 一种业务数据处理方法、设备以及可读存储介质 | |
| CN109150548B (zh) | 一种数字证书签名、验签方法及系统、数字证书系统 | |
| CN112311735B (zh) | 可信认证方法,网络设备、系统及存储介质 | |
| CN104767731B (zh) | 一种Restful移动交易系统身份认证防护方法 | |
| CN110990827A (zh) | 一种身份信息验证方法、服务器及存储介质 | |
| CN111324881B (zh) | 一种融合Kerberos认证服务器与区块链的数据安全分享系统及方法 | |
| CN109618341A (zh) | 一种数字签名认证方法、系统、装置以及存储介质 | |
| CN102215221A (zh) | 从移动设备对计算机的安全远程唤醒、引导及登录的方法和系统 | |
| CN107483419A (zh) | 服务器认证接入终端的方法、装置、系统、服务器及计算机可读存储介质 | |
| WO2021190197A1 (zh) | 生物支付设备的认证方法、装置、计算机设备和存储介质 | |
| WO2016014120A1 (en) | Device authentication agent | |
| EP3206329B1 (en) | Security check method, device, terminal and server | |
| CN109388937B (zh) | 一种多因子身份认证的单点登录方法及登录系统 | |
| JP6533542B2 (ja) | 秘密鍵複製システム、端末および秘密鍵複製方法 | |
| CN114071418B (zh) | 一种基于机密计算的车联网认证协议方法 | |
| CN111092734B (zh) | 一种基于自组网络通信的产品激活认证方法 | |
| JP2009199147A (ja) | 通信制御方法および通信制御プログラム | |
| CN111464543B (zh) | 一种基于云平台的教学信息安全防护系统 | |
| CN111489211A (zh) | 一种开票处理方法、装置以及介质 | |
| TW202101267A (zh) | 帳戶資料處理方法及帳戶資料處理系統 | |
| TWI745026B (zh) | 認證系統及其方法 | |
| CN117220887A (zh) | 一种数字签名验证方法、装置、设备及存储介质 | |
| CN116137627A (zh) | 一种基于区块链网络的数据处理方法、装置及相关设备 | |
| CN116244758A (zh) | 基于区块链的电子合约固化方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |