CN111491298A - 基于emqtt服务器访问的认证方法及系统、服务器、客户端 - Google Patents
基于emqtt服务器访问的认证方法及系统、服务器、客户端 Download PDFInfo
- Publication number
- CN111491298A CN111491298A CN201910080868.XA CN201910080868A CN111491298A CN 111491298 A CN111491298 A CN 111491298A CN 201910080868 A CN201910080868 A CN 201910080868A CN 111491298 A CN111491298 A CN 111491298A
- Authority
- CN
- China
- Prior art keywords
- server
- certificate
- emqtt
- client
- management system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/44—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种基于EMQTT服务器访问的认证方法及系统、服务器、客户端,认证方法包括:当EMQTT服务器接收到车机客户端发送访问请求时,向车机客户端发送双向认证请求;在车机客户端判断所述服务端证书是由PKI证书管理系统颁发,同时,在车机客户端的本地证书列表中查询到存在与服务器端证书一致的本地证书时,车机客户端向EMQTT服务器发送双向认证响应,此时,当EMQTT服务器判定客户端证书是由PKI证书管理系统颁发时,双方采用SSL/TLS协议进行加密通信。通过本发明的基于EMQTT服务器访问的认证方法,由预设的PKI证书管理系统向EMQTT服务器和车机客户端颁发对应的服务端证书、客户端证书,采用TLS双向认证方法提升了车联网中车机客户端与EMQTT服务器之间的安全通信等级。
Description
技术领域
本发明属于车联网技术领域,涉及一种服务器认证方法,特别是涉及一种基于EMQTT服务器访问的认证方法及系统、服务器、客户端。
背景技术
在车联网环境下,车机的客户端与EMQTT服务器之间通信通常采用的是TLS单向认证甚至不作加密传输,若在传输时遭受到恶意攻击,会使得通讯信息被读取通信数据、或篡改通信数据,安全等级低。
发明内容
鉴于以上所述现有技术的缺点,本发明的目的在于提供一种基于EMQTT服务器访问的认证方法及系统、服务器、客户端,用于解决现有技术中EMQTT服务器与车机客户端之间的通讯安全等级低的问题。
为实现上述目的及其他相关目的,本发明提供一种基于EMQTT服务器访问的认证方法,应用于EMQTT服务器,包括:步骤S100,当接收车机客户端的访问请求时,EMQTT服务器向所述车机客户端发送双向认证请求,所述双向认证请求包括服务端证书;步骤S110,接收所述车机客户端的双向认证响应,所述双向认证响应包括所述客户端证书和身份认证成功的认证结果;步骤S120,判断所述客户端证书是否由预设的PKI证书管理系统颁发,若是,则采用SSL/TLS协议进行加密通信,若否,则无法访问,断开连接。
于本发明的一实施例中,在执行步骤S100之前,所述EMQTT服务器的所述服务端证书通过预设的所述PKI证书管理系统颁发。
于本发明的一实施例中,在执行步骤S100之前,在所述EMQTT服务器前端加入负载均衡设备,所述EMQTT服务器通过所述负载均衡设备接收车机客户端的访问请求或反馈信息。
本发明提供了一种基于EMQTT服务器访问的认证方法,应用于车机客户端,包括:步骤S200,当需要访问EMQTT服务器时,向所述EMQTT服务器发送访问请求;步骤S210,当接收到所述EMQTT服务器的双向认证请求,所述双向接收请求包括服务端证书时,判断所述服务端证书是否由预设的PKI证书管理系统颁发,若是,则执行步骤S220,若否,向所述EMQTT服务器发送身份认证失败的反馈信息,此时,无法访问,断开连接;步骤S220,在所述车机客户端的本地证书列表中查询是否存在与所述服务器端证书一致的本地证书,若存在,则向所述EMQTT服务器发送双向认证响应,所述双向认证响应包括客户端证书和身份认证成功的认证结果。
于本发明的一实施例中,在执行步骤S200之前,所述客户端证书通过使用预设的所述PKI证书管理系统的API接口在线自动申请获得。
本发明还提供了一种基于EMQTT服务器访问的认证方法,应用于PKI证书管理系统,包括:步骤S310,接收EMQTT服务器和/或车机客户端发送的证书申请,所述证书申请包括所需申请证书的服务端申请内容或客户端申请内容;步骤S320,根据所述证书申请中所述服务端域名颁发服务端证书;步骤S330,根据证书申请中所述客户端名称,使用所述PKI证书管理系统的API接口在线自动申请客户端证书并颁发至所述车机客户端。
本发明还提供了一种EMQTT服务器,包括:第一接收模块、第一判断模块、第一发送模块和第一执行模块;所述第一接收模块连接车机客户端,用于接收车机客户端的访问请求和双向认证响应,所述双向认证响应包括所述客户端证书和身份认证成功的认证结果;所述第一判断模块连接所述第一接收模块,用于判断所述客户端证书是否由预设的PKI证书管理系统颁发;所述第一发送模块分别连接所述车机客户端和所述第一接收模块,用于当接收车机客户端的访问请求时,向所述车机客户端发送双向认证请求,所述双向认证请求包括服务端证书;所述第一执行模块连接所述第一判断模块,用于当判定所述客户端证书是由预设的PKI证书管理系统颁发时,EMQTT服务器与车机客户端采用SSL/TLS协议进行加密通信。
本发明还提供了一种车机客户端,包括:第二接收模块、第二判断模块、存储模块和第二发送模块;所述第二接收模块连接EMQTT服务器,用于接收所述EMQTT服务器的双向认证请求,所述双向接收请求包括服务端证书;所述第二判断模块连接所述第二接收模块,用于判断所述服务端证书是否由预设的PKI证书管理系统颁发;所述存储模块连接所述第二判断模块,用于存放本地证书列表,所述本地证书列表内存有多个本地证书,供所述第二判断模块调用;所述第二发送模块分别连接所述第二接收模块、第二判断模块和EMQTT服务器,用于当需要访问EMQTT服务器时,向所述EMQTT服务器发送访问请求;当所述服务端证书是由预设的PKI证书管理系统颁发时,向所述EMQTT服务器发送双向认证响应。
本发明还提供了一种身份认证系统,包括EMQTT服务器、车机客户端和PKI证书管理系统。
于本发明的一实施例中,所述PKI证书管理系统包括处理器及存储器,所述处理器用于执行所述存储器存储的计算机程序,以使所述PKI证书管理系统执行上述应用于PKI证书管理系统的基于EMQTT服务器访问的认证方法。
如上所述,本发明所述的基于EMQTT服务器访问的认证方法及系统、服务器、客户端,具有以下有益效果:
通过本发明的基于EMQTT服务器访问的认证方法,由预设的PKI证书管理系统向EMQTT服务器和车机客户端颁发对应的服务端证书、客户端证书,采用TLS双向认证方法提升了车联网中车机客户端与EMQTT服务器之间的安全通信等级,同时,在网络环境不稳定的情况下,采用指定的加密算法,进一步提高EMQTT服务器和车机客户端通信的安全性。
附图说明
图1显示为本发明的用于服务器的基于EMQTT服务器访问的认证方法的流程图。
图2显示为本发明的用于车机客户端的基于EMQTT服务器访问的认证方法的流程图。
图3显示为本发明的用于PKI系统的基于EMQTT服务器访问的认证方法的流程图。
图4显示为本发明的EMQTT服务器于一实施例的结构框图。
图5显示为本发明的车机客户端于一实施例的结构框图。
图6显示为本发明的身份认证系统于一实施例的结构框图。
元件标号说明
1 EMQTT服务器
11 第一接收模块
12 第一判断模块
13 第一执行模块
14 第一发送模块
2 车机客户端
21 第二接收模块
22 第二判断模块
23 存储模块
24 第二发送模块
3 PKI证书管理系统
S100~S120 步骤
S200~S220 步骤
S300~S320 步骤
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。
需要说明的是,以下实施例中所提供的图示仅以示意方式说明本发明的基本构想,遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
本发明的提供的基于EMQTT服务器访问的认证方法,适用于车联网环境中。目前,车机访问服务器进行网络通信,但由于车辆在运行过程中容易造成网络环境不稳定,此时通常会采用SSL/TLS协议进行通信。
请参阅图1,本发明提供一种基于EMQTT服务器访问的认证方法,应用于EMQTT服务器1,包括:
步骤S100,当接收车机客户端2的访问请求时,EMQTT服务器1向所述车机客户端2发送双向认证请求,所述双向认证请求包括服务端证书。此时,EMQTT服务器1需要开启TLS双向认证功能,TLS双向认证功能的开启,可以使得EMQTT服务器1对客户端证书进行认证,同时车机客户端2对EMQTT服务器1进行认证,当双方认证成功的情况下,才能实现EMQTT服务器1与车机客户端2通信,提升了EMQTT服务器1与车机中客户端2的通信安全等级。
在执行步骤S100之前,所述EMQTT服务器1的所述服务端证书通过预设的所述PKI证书管理系统3颁发。另外,在EMQTT服务器1和车机客户端2中均存有所述PKI证书管理系统3的CA证书。
步骤S110,接收所述车机客户端2的双向认证响应,所述双向认证响应包括所述客户端证书和身份认证成功的认证结果。
步骤S120,判断所述客户端证书是否由预设的PKI证书管理系统3颁发,若是,则采用SSL/TLS协议进行加密通信,若否,则无法访问,断开连接。
进一步的,所述双向认证响应还包括车机客户端2本地存放的CA证书,在判断客户端证书是否由预设的PKI证书管理系统3颁发,具体包括:将车机客户端2本地存放的CA证书与EMQTT服务器1内存放的CA证书相对应,如果一致,则认定客户端证书是由PKI证书管理系统3颁发。
进一步的,在加密通信过程中,由于网络环境的不稳定,为保证通信的正常进行,其中通信中EMQTT服务器1与车机客户端2之间的加密算法选用如下:
EMQTT服务器1的加密算法套件:
[ECDHE-ECDSA-AES128-GCM-SHA256|ECDHE-ECDSA-CHACHA20-POLY1305|ECDHE-RSA-AES128-GCM-SHA256|ECDHE-RSA-CHACHA20-POLY1305]:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK
车机客户端2的加密算法套件:
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256:TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256:TLS_CHACHA20_POLY1305_SHA256
加密算法的选用并非是简单的选用过程,而是需要技术人员通过安装在车辆的车机,在车辆行驶至不同区域内不断测试车机的车机客户端2与EMQTT服务器1的通信情况,花费大量的人力、物力的情况下,才能确定可适用的加密算法。
进一步的,在执行步骤S100之前,在所述EMQTT服务器1前端加入负载均衡设备,同时将所述EMQTT服务器1的域名解析到前端所述负载均衡设备地址,所述EMQTT服务器1通过所述负载均衡设备接收车机客户端2的访问请求或反馈信息。其中,负载均衡设备可以与多个车机客户端2、多个服务器连接,当多个车机客户端2同时需要访问不同的EMQTT服务器1时,负载均衡设备可以根据每个车机客户端2发送的访问请求中所需访问EMQTT服务器1的域名将其分摊至对应的EMQTT服务器1上进行处理,同时将EMQTT服务器1的处理结果再反馈给对应车机客户端2,从而提高网络灵活性、增加吞吐量、加强网络数据处理能力。
请参阅图2,本发明提供一种基于EMQTT服务器访问的认证方法,应用于车机客户端2,包括:
步骤S200,当需要访问EMQTT服务器1时,向所述EMQTT服务器1发送访问请求;
步骤S210,当接收到所述EMQTT服务器1的双向认证请求,所述双向接收请求包括服务端证书时,判断所述服务端证书是否由预设的PKI证书管理系统3颁发,若是,则执行步骤S220,若否,向所述EMQTT服务器1发送身份认证失败的反馈信息,此时,无法访问,断开连接。
进一步的,所述双向认证请求还包括服务端本地存放的CA证书,在判断服务端证书是否由预设的PKI证书管理系统3颁发,具体包括:将服务端本地存放的CA证书与车机客户端2本地存放的CA证书相对应,如果一致,则认定服务端证书是由PKI证书管理系统3颁发。
步骤S220,在所述车机客户端2的本地证书列表中查询是否存在与所述服务器端证书一致的本地证书,若存在,则向所述EMQTT服务器1发送双向认证响应,所述双向认证响应包括客户端证书和身份认证成功的认证结果。其中,所述本地证书列表通常存放于车机内,所述本地证书列表内预设有多个本地证书,本地证书是由在身份认证之前被预设于车机内,本地证书通常为可以允许车机客户端2访问的服务器的服务端证书。
进一步的,在执行步骤S200之前,所述客户端证书通过使用预设的所述PKI证书管理系统3的API接口在线自动申请获得。
需要说明的是,在本发明中,各个服务端证书、客户端证书都需由预设的PKI证书管理系统3颁发,因此在颁发证书之前,需要在车联网中建立该PKI证书管理系统3。
当PKI证书管理系统3建立后,通过该PKI证书管理系统3进行服务端证书或客户端证书的颁发,因此,请参阅图3,本发明提供了一种基于EMQTT服务器访问的认证方法,应用于PKI证书管理系统3,所述建立PKI证书管理系统3搭载于一服务器中,包括:
步骤S310,接收EMQTT服务器1和/或车机客户端2发送的证书申请,所述证书申请包括所需申请证书的服务端申请内容或客户端申请内容;其中,所述服务端申请内容或客户端申请内容包括服务端域名或客户端名称、证书用途。
在执行所述步骤S310之前,当服务器中未安装有PKI证书管理系统时,需预先建立PKI证书管理系统,具体建立过程包括:
步骤S301,安装MySQL数据库;以便落地存储PKI证书管理系统3的系统数据;
步骤S302,安装JAVA运行环境;在安装JAVA运行环境时,通过从Oracle官网下载JAVA运行环境所需安装包,配置所需参数即可;具体的配置过程属于常规技术,在这里不作详细描述。
步骤S303,安装ANT运行环境;在安装ANT运行环境时,通过从Apache官网下载ANT所需安装包,配置所需参数即可;具体的配置过程属于常规技术,在这里不作详细描述。
步骤S304,安装Jboss容器,修改Jboss运行端口、启动参数以及JVM参数调优;
步骤S305,下载EJBCA安装包,配置所述MySQL数据库连接地址,生成CA证书,重启EJBCA,完成PKI证书管理系统3的建立。此时可以使用PKI证书管理系统的web页面手动申请证书。
步骤S320,根据所述证书申请中所述服务端域名颁发服务端证书;
步骤S330,根据证书申请中所述客户端名称,使用所述PKI证书管理系统3的API接口在线自动申请客户端证书并颁发至所述车机客户端2。
需要说明的是,本身PKI证书管理系统3不含有API接口,需要在PKI证书管理系统3中进行封装后提供API接口,具体的封装过程包括:使用python、java语言实现API接口,在本发明中,主要实现以下API接口:
身份认证接口:该身份认证接口结合MySQL数据库,在MySQL数据库中建立具有申请证书权限的用户并存放于MySQL数据库的用户列表中,所述用户与EMQTT服务器1或车机客户端2相关联,每次EMQTT服务器1或车机客户端2访问则需出示自身的服务端域名/客户端名称、密码以及初始APIID,该密码及APIID是由PKI证书管理系统3预先生成并经过加密存储于对应EMQTT服务器1或车机客户端2,以及后续其他即时性身份认证。当EMQTT服务器1或车机客户端2相PKI证书管理系统3发出证书申请时,该PKI证书管理系统3通过判断在MySQL数据库的用户列表中是否存在与EMQTT服务器1或车机客户端2相关联的用户,若存在,则判定身份验证通过,允许根据EMQTT服务器1或车机客户端2的证书申请进行证书创建。
创建证书申请接口:该创建证书申请接口用于为车机客户端2或EMQTT服务器1签发客户端证书或服务端证书。以车机客户端2为例,车机客户端2构造好需要提交的证书申请,所述证书申请包括客户端申请内容,该客户端申请内容包含客户端名称、证书用途等能证明客户端身份的申请内容,然后将该申请内容提交给该创建证书申请接口。当安装有PKI证书管理系统3的服务器收到这份申请,将会调用后端签发流程,判断是否可用签发,如何签发等逻辑,同时返回给车机客户端2一个申请ID,以便查询。
证书审批状态查询接口:车机客户端2/EMQTT服务器1使用申请ID,查询客户端证书或服务端证书签发流程在什么位置,然后返回此状态;
证书下载接口:当客户端证书或服务端证书审批通过并签发,那么会将客户端证书或服务端证书统一放入此接口以供下载。
证书在线状态查询接口:此接口提供一个车机客户端2与EMQTT服务器1交互时要用到的查询对方证书是否可用的服务;
证书吊销接口:
管理端的客户端发送一个申请吊销某张证书的请求,该请求包含目标证书的客户端ID、证书序列号,然后后端逻辑将会处理这个请求,返回吊销状态。
在本实施例中,当PKI证书管理系统3接收到EMQTT服务器1和/或车机客户端2提交到的证书申请,先对EMQTT服务器1和/或车机客户端2的身份进行认证,当身份认证通过后,根据对应的证书申请的申请内容进行证书签发,签发后颁发给对应EMQTT服务器1或车机客户端2。
通过本发明的基于EMQTT服务器访问的认证方法,由预设的PKI证书管理系统3向EMQTT服务器1和车机客户端2颁发对应的服务端证书、客户端证书,采用TLS双向认证方法提升了车联网中车机客户端2与EMQTT服务器1之间的安全通信等级,同时,在网络环境不稳定的情况下,采用指定的加密算法,进一步提高EMQTT服务器1和车机客户端2通信的安全性。
本发明所述的基于EMQTT服务器访问的认证方法的保护范围不限于本实施例列举的步骤执行顺序,凡是根据本发明的原理所做的现有技术的步骤增减、步骤替换所实现的方案都包括在本发明的保护范围内。
请参阅图4,本发明还提供了一种EMQTT服务器,包括:第一接收模块11、第一判断模块12、第一发送模块14和第一执行模块13;
所述第一接收模块11连接车机客户端2,用于接收车机客户端2的访问请求和双向认证响应,所述双向认证响应包括所述客户端证书和身份认证成功的认证结果;
所述第一判断模块12连接所述第一接收模块11,用于判断所述客户端证书是否由预设的PKI证书管理系统3颁发;
所述第一发送模块14分别连接所述车机客户端2和所述第一接收模块11,用于当接收车机客户端2的访问请求时,向所述车机客户端2发送双向认证请求,所述双向认证请求包括服务端证书;
所述第一执行模块13连接所述第一判断模块12,用于当判定所述客户端证书是由预设的PKI证书管理系统3颁发时,EMQTT服务器1与车机客户端2采用SSL/TLS协议进行加密通信。
请参阅图5,本发明还提供了一种车机客户端,包括:第二接收模块21、第二判断模块22、存储模块23和第二发送模块24;
所述第二接收模块21连接EMQTT服务器1,用于接收所述EMQTT服务器1的双向认证请求,所述双向接收请求包括服务端证书;
所述第二判断模块22连接所述第二接收模块21,用于判断所述服务端证书是否由预设的PKI证书管理系统3颁发;
所述存储模块23连接所述第二判断模块22,用于存放本地证书列表,所述本地证书列表内存有多个本地证书,供所述第二判断模块22调用;
所述第二发送模块24分别连接所述第二接收模块21、第二判断模块22和EMQTT服务器1,用于当需要访问EMQTT服务器1时,向所述EMQTT服务器1发送访问请求;当所述服务端证书是由预设的PKI证书管理系统3颁发时,向所述EMQTT服务器1发送双向认证响应。
需要说明的是,应理解以上装置的各个模块的划分仅仅是一种逻辑功能的划分,实际实现时可以全部或部分集成到一个物理实体上,也可以物理上分开。且这些模块可以全部以软件通过处理元件调用的形式实现,也可以全部以硬件的形式实现,还可以部分模块通过处理元件调用软件的形式实现,部分模块通过硬件的形式实现。
请参阅图6,本发明还提供了一种身份认证系统,包括:上述所述的EMQTT服务器1、车机客户端2和PKI证书管理系统3,PKI证书管理系统3分别向EMQTT服务器1、车机客户端2颁发对应的服务端证书、客户端证书,EMQTT服务器1和车机客户端2之间在双向认证成功后进行加密通信;
所述PKI证书管理系统3包括处理器及存储器,所述处理器用于执行所述存储器存储的计算机程序,以使所述PKI证书管理系统3执行所述的应用于访问PKI证书管理系统3的EMQTT服务器1的身份认证方法。存储器可能包含随机存取存储器(RandomAccess Memory,简称RAM),也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DigitalSignal Processing,简称DSP)、专用集成电路(Application Specific IntegratedCircuit,简称ASIC)、现场可编程门阵列(Field Programmable GateArray,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
所述的身份认证系统可以实现本发明所述的基于EMQTT服务器访问的认证方法,但本发明所述的基于EMQTT服务器访问的认证方法的实现装置包括但不限于本实施例列举的身份认证系统的结构,凡是根据本发明的原理所做的现有技术的结构变形和替换,都包括在本发明的保护范围内。
综上所述,本发明有效克服了现有技术中的种种缺点而具高度产业利用价值。
上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。
Claims (10)
1.一种基于EMQTT服务器访问的认证方法,应用于EMQTT服务器,其特征在于,包括:
步骤S100,当接收车机客户端的访问请求时,EMQTT服务器向所述车机客户端发送双向认证请求,所述双向认证请求包括服务端证书;
步骤S110,接收所述车机客户端的双向认证响应,所述双向认证响应包括所述客户端证书和身份认证成功的认证结果;
步骤S120,判断所述客户端证书是否由预设的PKI证书管理系统颁发,若是,则采用SSL/TLS协议进行加密通信,若否,则无法访问,断开连接。
2.根据权利要求1所述的基于EMQTT服务器访问的认证方法,其特征在于,在执行步骤S100之前,所述EMQTT服务器的所述服务端证书通过预设的所述PKI证书管理系统颁发。
3.根据权利要求1所述的基于EMQTT服务器访问的认证方法,其特征在于,在执行步骤S100之前,在所述EMQTT服务器前端加入负载均衡设备,所述EMQTT服务器通过所述负载均衡设备接收车机客户端的访问请求或反馈信息。
4.一种基于EMQTT服务器访问的认证方法,应用于车机客户端,其特征在于,包括:
步骤S200,当需要访问EMQTT服务器时,向所述EMQTT服务器发送访问请求;
步骤S210,当接收到所述EMQTT服务器的双向认证请求,所述双向接收请求包括服务端证书时,判断所述服务端证书是否由预设的PKI证书管理系统颁发,若是,则执行步骤S220,若否,向所述EMQTT服务器发送身份认证失败的反馈信息,此时,无法访问,断开连接;
步骤S220,在所述车机客户端的本地证书列表中查询是否存在与所述服务器端证书一致的本地证书,若存在,则向所述EMQTT服务器发送双向认证响应,所述双向认证响应包括客户端证书和身份认证成功的认证结果。
5.根据权利要求5所述的基于EMQTT服务器访问的认证方法,其特征在于,在执行步骤S200之前,所述客户端证书通过使用预设的所述PKI证书管理系统的API接口在线自动申请获得。
6.一种基于EMQTT服务器访问的认证方法,应用于PKI证书管理系统,其特征在于,包括:
步骤S310,接收EMQTT服务器和/或车机客户端发送的证书申请,所述证书申请包括所需申请证书的服务端申请内容或客户端申请内容;
步骤S320,根据所述证书申请中所述服务端域名颁发服务端证书;
步骤S330,根据证书申请中所述客户端名称,使用所述PKI证书管理系统的API接口在线自动申请客户端证书并颁发至所述车机客户端。
7.一种EMQTT服务器,其特征在于,包括:第一接收模块、第一判断模块、第一发送模块和第一执行模块;
所述第一接收模块连接车机客户端,用于接收车机客户端的访问请求和双向认证响应,所述双向认证响应包括所述客户端证书和身份认证成功的认证结果;
所述第一判断模块连接所述第一接收模块,用于判断所述客户端证书是否由预设的PKI证书管理系统颁发;
所述第一发送模块分别连接所述车机客户端和所述第一接收模块,用于当接收车机客户端的访问请求时,向所述车机客户端发送双向认证请求,所述双向认证请求包括服务端证书;
所述第一执行模块连接所述第一判断模块,用于当判定所述客户端证书是由预设的PKI证书管理系统颁发时,EMQTT服务器与车机客户端采用SSL/TLS协议进行加密通信。
8.一种车机客户端,其特征在于,包括:第二接收模块、第二判断模块、存储模块和第二发送模块;
所述第二接收模块连接EMQTT服务器,用于接收所述EMQTT服务器的双向认证请求,所述双向接收请求包括服务端证书;
所述第二判断模块连接所述第二接收模块,用于判断所述服务端证书是否由预设的PKI证书管理系统颁发;
所述存储模块连接所述第二判断模块,用于存放本地证书列表,所述本地证书列表内存有多个本地证书,供所述第二判断模块调用;
所述第二发送模块分别连接所述第二接收模块、第二判断模块和EMQTT服务器,用于当需要访问EMQTT服务器时,向所述EMQTT服务器发送访问请求;当所述服务端证书是由预设的PKI证书管理系统颁发时,向所述EMQTT服务器发送双向认证响应。
9.一种身份认证系统,其特征在于,包括:如权利要求8所述的EMQTT服务器、如权利要求8所述的车机客户端和PKI证书管理系统。
10.根据权利要求9所述的身份认证系统,所述PKI证书管理系统包括处理器及存储器,所述处理器用于执行所述存储器存储的计算机程序,以使所述PKI证书管理系统执行如权利要求7中所述的基于EMQTT服务器访问的认证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910080868.XA CN111491298A (zh) | 2019-01-28 | 2019-01-28 | 基于emqtt服务器访问的认证方法及系统、服务器、客户端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910080868.XA CN111491298A (zh) | 2019-01-28 | 2019-01-28 | 基于emqtt服务器访问的认证方法及系统、服务器、客户端 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111491298A true CN111491298A (zh) | 2020-08-04 |
Family
ID=71794148
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910080868.XA Pending CN111491298A (zh) | 2019-01-28 | 2019-01-28 | 基于emqtt服务器访问的认证方法及系统、服务器、客户端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111491298A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112311766A (zh) * | 2020-09-29 | 2021-02-02 | 新华三大数据技术有限公司 | 一种用户证书的获取方法及装置、终端设备 |
| CN118199965A (zh) * | 2023-12-20 | 2024-06-14 | 杭州亿格云科技有限公司 | 针对eap-tls协议支持服务端多证书的系统和方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040030887A1 (en) * | 2002-08-07 | 2004-02-12 | Harrisville-Wolff Carol L. | System and method for providing secure communications between clients and service providers |
| CN106161435A (zh) * | 2016-06-28 | 2016-11-23 | 天脉聚源(北京)传媒科技有限公司 | 一种基于Nginx的双向认证方法及装置 |
| CN106790194A (zh) * | 2016-12-30 | 2017-05-31 | 中国银联股份有限公司 | 一种基于ssl协议的访问控制方法及装置 |
-
2019
- 2019-01-28 CN CN201910080868.XA patent/CN111491298A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040030887A1 (en) * | 2002-08-07 | 2004-02-12 | Harrisville-Wolff Carol L. | System and method for providing secure communications between clients and service providers |
| CN106161435A (zh) * | 2016-06-28 | 2016-11-23 | 天脉聚源(北京)传媒科技有限公司 | 一种基于Nginx的双向认证方法及装置 |
| CN106790194A (zh) * | 2016-12-30 | 2017-05-31 | 中国银联股份有限公司 | 一种基于ssl协议的访问控制方法及装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112311766A (zh) * | 2020-09-29 | 2021-02-02 | 新华三大数据技术有限公司 | 一种用户证书的获取方法及装置、终端设备 |
| CN112311766B (zh) * | 2020-09-29 | 2022-04-01 | 新华三大数据技术有限公司 | 一种用户证书的获取方法及装置、终端设备 |
| CN118199965A (zh) * | 2023-12-20 | 2024-06-14 | 杭州亿格云科技有限公司 | 针对eap-tls协议支持服务端多证书的系统和方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108683747B (zh) | 资源获取、分发、下载方法、装置、设备及存储介质 | |
| JP5747981B2 (ja) | 仮想機械を用いた電子ネットワークにおける複数のクライアントの遠隔保守のためのシステム及び方法 | |
| CN102857484B (zh) | 一种实现单点登录的方法、系统及装置 | |
| US20140101439A1 (en) | Systems and methods for authentication between networked devices | |
| CN113094062A (zh) | 升级方法及装置 | |
| CN112688773A (zh) | 一种令牌的生成和校验方法及装置 | |
| US20240064134A1 (en) | In-vehicle network ota security communication method and apparatus, vehicle-mounted system, and storage medium | |
| CN111800378B (zh) | 一种登录认证方法、装置、系统和存储介质 | |
| CN108933838B (zh) | 应用数据处理方法及装置 | |
| CN110390184B (zh) | 用于在云中执行应用的方法、装置和计算机程序产品 | |
| CN111224952B (zh) | 用于定向流量的网络资源获取方法、装置及存储介质 | |
| CN113439425A (zh) | 报文传输方法及装置 | |
| CN112651001A (zh) | 访问请求的鉴权方法、装置、设备及可读存储介质 | |
| CN107566329A (zh) | 一种访问控制方法及装置 | |
| CN111988262B (zh) | 认证方法、装置及服务器、存储介质 | |
| CN111491298A (zh) | 基于emqtt服务器访问的认证方法及系统、服务器、客户端 | |
| CN111241523B (zh) | 认证处理方法、装置、设备和存储介质 | |
| CN109213572A (zh) | 一种基于虚拟机的可信度确定方法及服务器 | |
| CN112272093B (zh) | 一种令牌管理的方法、电子设备及可读存储介质 | |
| CN117834125A (zh) | 加密传输方法、装置及系统、电子设备、存储介质 | |
| CN102685115A (zh) | 一种资源的访问方法、资源管理设备和系统 | |
| CN111491296A (zh) | 基于Marathon LB的访问认证方法及系统、服务器、车机客户端 | |
| US8140842B2 (en) | Client identification and authorization in an asynchronous request dispatching environment | |
| CN107332821B (zh) | 一种实现客户端与服务器之间通信的方法、装置和服务器 | |
| CN101287218A (zh) | 对终端的机要数据进行修改的方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20200804 |
|
| WD01 | Invention patent application deemed withdrawn after publication |