CN111600718A - 一种数字证书离线认证系统和方法 - Google Patents
一种数字证书离线认证系统和方法 Download PDFInfo
- Publication number
- CN111600718A CN111600718A CN202010402589.3A CN202010402589A CN111600718A CN 111600718 A CN111600718 A CN 111600718A CN 202010402589 A CN202010402589 A CN 202010402589A CN 111600718 A CN111600718 A CN 111600718A
- Authority
- CN
- China
- Prior art keywords
- digital certificate
- login information
- console
- key
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Abstract
本发明公开了一种数字证书离线认证系统和方法,应用于离线网络环境中依次连接的用户终端、控制台和服务器端,所述系统包括:所述用户终端,用于通过所述控制台发送数字证书请求到所述服务器端;所述服务器端,用于验证所述数字证书请求,生成与所述数字证书请求对应的密钥;根据所述密钥和所述数字证书请求,签发数字证书到所述控制台;所述控制台,用于写入所述数字证书到所述用户终端。从而避免了外网签发数字证书所带来的安全风险,同时简化了传统的通过U盘拷贝数字证书所带来的繁琐操作,降低成本。
Description
技术领域
本发明涉及数据安全技术领域,尤其涉及一种数字证书离线认证系统和方法。
背景技术
随着国家电网公司对具有信息化、自动化、互动化特征的统一智能电网的建设,网络的接入变得日渐复杂,信息集成度更高,用户交互程度更好,业务系统中存储了大量人、财、物等关键信息。为了保证业务数据的信息安全,需要强化身份认证系统等安全基础设施建设,在安全接入、安全传输、安全应用等方面深化研究和应用。
其中,在工业终端与工控主站的之间的通信方式主要是基于IP网络技术的密钥通信,其中私钥由终端自行保管,公钥通过证书方式分配给所有通信对等实体。为保证上述通信数据在传统IP网络中的机密性、完整性和抗抵赖性,需要在工业终端与工控主站之间部署防护设备(或防护模块),即主站防护设备和终端防护设备,上述设备之间的通信安全性则依赖于密钥的保密性。
而在一些安全级别要求高的应用场景(如电网生产系统)中,为了确保密钥安全性,采用离线方式签发证书,比如用传统U盘离线拷贝证书,再插入工业终端设备中进行证书签发,此种方法操作繁琐,工作量较大;或是采用在线证书签发的方式,通过网络连接CA机构(Certificate Authority,证书授证中心)进行在线证书签发,但由于此种方式需要外网连接到CA机构,可能会被不法分子冒充证书请求方从CA机构获取证书,进而冒充企业进行不法活动,存在较大的网络安全风险。
发明内容
本发明提供了一种数字证书离线认证系统和方法,解决了现有技术中数字证书离线认证操作较为繁琐,在线认证操作具有较高网络风险,安全性与使用便利性较低的技术问题。
本发明提供的一种数字证书离线认证系统,应用于离线网络环境中依次连接的用户终端、控制台和服务器端,所述系统包括:
所述用户终端,用于通过所述控制台发送数字证书请求到所述服务器端;
所述服务器端,用于验证所述数字证书请求,生成与所述数字证书请求对应的密钥;根据所述密钥和所述数字证书请求,签发数字证书到所述控制台;
所述控制台,用于写入所述数字证书到所述用户终端。
可选地,所述服务器端包括:
安全模块,用于接收所述数字证书请求,确定所述控制台的用户登录信息;
认证模块,用于验证所述用户登录信息与预设登录信息是否相同;其中,所述预设登录信息包括第一预设登录信息;
密钥管理模块,用于当所述用户登录信息与所述第一预设登录信息相同时,从预设密钥库中生成与所述数字证书请求对应的密钥;
证书签发模块,用于根据所述密钥和所述用户登录信息,签发数字证书到所述控制台。
可选地,所述安全模块还用于,通过数字信封加密所述数字证书。
可选地,所述控制台还用于,加密所述数字证书请求。
可选地,所述认证模块还用于,
修改所述预设登录信息;删除所述预设登录信息。
可选地,所述预设登录信息还包括第二预设登录信息和第三预设登录信息,所述密钥管理模块还用于,
当所述用户登录信息与所述第二预设登录信息相同时,执行密钥备份操作;
当所述用户登录信息与所述第三预设登录信息相同时,执行密钥恢复操作。
可选地,所述用户终端还用于,接收所述控制台写入的数字证书;使用所述数字证书加密预设数据,生成加密数据;发送所述加密数据到所述服务器端。
可选地,所述用户终端包括:
数字证书管理模块,用于调度所述数字证书对预设数据进行加密,生成中间数据;
协议配置与解析模块,用于使用封装安全载荷ESP对所述中间数据进行封装,生成所述加密数据;
加密通信模块,用于发送所述加密数据到所述服务器端。
可选地,所述数字证书管理模块包括:
公钥确定子模块,用于根据所述数字证书确定所述服务器端所发送的公钥;
加密子模块,用于使用所述公钥对所述预设数据进行加密,生成中间数据。
此外,本发明实施例还提供了一种数字证书离线认证方法,应用于离线网络环境中依次连接的用户终端、控制台和服务器端,所述方法包括:
所述用户终端通过所述控制台发送数字证书请求到所述服务器端;
所述服务器端验证所述数字证书请求,生成与所述数字证书请求对应的密钥;
所述服务器端根据所述密钥和所述数字证书请求,签发数字证书到所述控制台;
所述控制台写入所述数字证书到所述用户终端。
从以上技术方案可以看出,本发明具有以下优点:
通过将认证模块、证书签发模块以及密钥管理模块整合在服务器端中,在接收到用户终端通过控制台发送的数字证书请求后,直接在服务器端即可以实现用户认证、密钥管理分发与证书签发等步骤,简化了数字证书认证的操作;同时在证书签发过程中,控制台可以通过串口、局域网络或USB写入的方式将数字证书直接写入到用户终端,而无需使用U盘拷贝,进一步降低了工作人员的工作量,同时用户终端、控制台与服务器端之间通过局域网连接,避免了由于在线认证数字证书所导致的网络风险,提高了数字证书的认证安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例的一种数字证书离线认证系统的系统框图;
图2为本发明另一实施例的一种数字证书离线认证方法流程图;
图3为本发明实施例中的ESP封装格式示意图;
图4为本发明实施例中的ESP头格式示意图;
图5为本发明实施例中的一种数字证书离线认证系统的硬件框图。
具体实施方式
本发明实施例提供了一种数字证书离线认证系统和方法,用于解决现有技术中数字证书离线认证操作较为繁琐,在线认证操作具有较高网络风险,安全性与使用便利性较低的技术问题。
为使得本发明的发明目的、特征、优点能够更加的明显和易懂,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本发明一部分实施例,而非全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
请参阅图1,图1为本发明实施例提供的一种数字证书离线认证系统,应用于离线网络环境中依次连接的用户终端101、控制台102和服务器端103,所述系统可以包括:
所述用户终端101,用于通过所述控制台102发送数字证书请求到所述服务器端103;
所述服务器端103,用于验证所述数字证书请求,生成与所述数字证书请求对应的密钥;根据所述密钥和所述数字证书请求,签发数字证书到所述控制台102;
所述控制台102,用于写入所述数字证书到所述用户终端101。
在本发明实施例中提供了一种数字证书离线认证系统,可应用在离线网络环境中,通过在控制台102接收用户终端101发送的数字证书请求,确定需要数字证书的用户终端101;转发所述数字证书请求到服务器端103;服务器端103接收到所述数字证书请求后执行验证步骤,在满足条件的情况下生成与所述数字证书请求对应的密钥;通过数字证书请求确定来源的用户终端101,使用所述密钥签发数字证书发送到所述控制台102;通过控制台102将数字证书写入到用户终端101,例如可以通过串口、USB或局域网等形式将数字证书写入到用户终端101。从而实现在离线环境中对用户终端101所需的数字证书进行认证和签发,减少了数字证书认证的操作繁琐度,同时避免了由于在线认证数字证书所导致的网络风险,提高了数字证书的认证安全性。
可选地,所述服务器端103包括:
安全模块1031,用于接收所述数字证书请求,确定所述控制台102的用户登录信息;
认证模块1032,用于验证所述用户登录信息与预设登录信息是否相同;其中,所述预设登录信息包括第一预设登录信息;
密钥管理模块1033,用于当所述用户登录信息与所述第一预设登录信息相同时,从预设密钥库中生成与所述数字证书请求对应的密钥;
证书签发模块1034,用于根据所述密钥和所述用户登录信息,签发数字证书到所述控制台102。
在本发明的可选实施例中,安全模块1031通过接收数字证书请求,判断数字证书请求的转发来源,以确定此时控制台102的用户登录信息;通过认证模块1032验证用户登录信息与预设登录信息是否相同;若相同,则根据预设登录信息所代表的操作控制密钥管理模块1033执行下一步操作。其中,所述预设登录信息可以包括第一预设登录信息,如可以将第一预设登录信息设置为“密钥管理员”。此时可以通过密钥管理模块1033从预设密钥库中生成与所述数字证书请求对应的密钥;然后通过证书签发模块1034根据密钥和用户登录信息,确定数字证书所发送的用户终端101,使用密钥签发数字证书,并发送到控制台102,经由控制台102写入到数字证书所发送的用户终端101。至此,通过将安全模块1031、认证模块1032、密钥管理模块1033和证书签发模块1034整合到服务器端103,以创建集用户认证功能和证书签发功能于一体的服务器端103,从而实现数字证书的自动离线签发,解决了传统证书签发操作繁琐且工作量大的问题。
可选地,可以在用户终端101对所述数字证书请求进行加密,例如ESP封装等加密手段,在服务器端103的安全模块1031对所述数字证书请求进行解密,进一步确保系统的整体安全性。
在本发明的另一可选实施例中,所述预设登录信息还可以包括第二预设登录信息和第三预设登录信息,所述密钥管理模块1033还用于,
当所述用户登录信息与所述第二预设登录信息相同时,执行密钥备份操作;
当所述用户登录信息与所述第三预设登录信息相同时,执行密钥恢复操作。
在具体实现中,通常不仅需要从预设密钥库中找寻密钥对数字证书进行签发,为保证用户在误删密钥后能够在服务器端103进行找回或是在系统初始化后密钥库被意外清空,还需要对密钥进行备份或恢复等操作。因此,可以在控制台102设置第二预设登录信息和第三预设登录信息,例如第二预设登录信息可以设置为“备份管理员”,第三预设登录信息可以设置为“系统管理员”,在用户登录信息与第二预设登录信息相同时,执行密钥备份操作,对需要备份的密钥进行备份,以防止用户误删;在用户登录信息与第三预设登录信息相同时,执行密钥恢复操作,对被误删或清空的密钥进行恢复处理。
进一步地,所述安全模块1031还用于,通过数字信封加密所述数字证书。
在本发明实施例中,为保证数字证书的传输安全性,可以通过数字信封等方式进行传输保护。
数字信封指的是信息发送方采用对称密钥来加密信息内容,然后将此对称密钥用接收方的公开密钥来加密(这部分称数字信封)之后,将它和加密后的信息一起发送给接收方,接收方先用相应的私有密钥打开数字信封,得到对称密钥,然后使用对称密钥解开加密信息。这种技术的安全性相当高。数字信封主要包括数字信封打包和数字信封拆解,数字信封打包是使用对方的公钥将加密密钥进行加密的过程,只有对方的私钥才能将加密后的数据(通信密钥)还原;数字信封拆解是使用私钥将加密过的数据解密的过程。
进一步地,所述控制台102还用于,加密所述数字证书请求。
在本发明实施例中,在控制台102和服务器之间存在数据交流,为保证数据交流的安全性,可以对数字证书请求进行加密传输,例如通过密文传输的方式进行通信,所述密文传输的方式可以为对称加密方式或非对称加密方式,本发明实施例对此不作限制。
在具体实现中,所述认证模块1032还用于,修改所述预设登录信息;删除所述预设登录信息。
例如,可以设置第四预设登录信息如“权限管理员”,当用户登录信息为“权限管理员”时,可以允许在控制台102上发送修改或删除所述预设登录信息的指令到服务器,所述服务器执行修改或删除预设登录信息的操作。
可选地,可以设置第五预设登录信息如“审计管理员”,当用户登录信息为“审计管理员”时,若是此时在服务器或控制台102上插入设备,可以在控制台102显示所插入的设备的状态,若是当前插入设备为锁定状态,可以通过控制台102输入自定义的解锁口令对插入设备进行解锁,同理,若是想对当前插入设备进行格式化,可通过控制台102输入自定义的格式化口令对插入设备进行格式化等操作,其中,插入设备可以为U盘或手机等移动终端,本发明实施例对此不作限制。
在本发明的可选实施例中,所述用户终端101还用于,接收所述控制台102写入的数字证书;使用所述数字证书加密预设数据,生成加密数据;发送所述加密数据到所述服务器端103。
在本发明实施例中,所述用户终端101可以包括数字证书管理模块1011、协议配置与解析模块1012以及加密通信模块1013。
其中,数字证书管理模块1011,用于调度所述数字证书对预设数据进行加密,生成中间数据;
协议配置与解析模块1012,用于使用封装安全载荷ESP对所述中间数据进行封装,生成所述加密数据;
加密通信模块1013,用于发送所述加密数据到所述服务器端103。
在具体实现中,当用户终端101接收到服务器端103下发的数字证书后,可以通过数字证书管理模块1011进行数字证书的管理,一般在用户终端101上还会设置有终端安全防护设备,通过将数字证书管理模块1011等整合到终端安全防护设备上以减轻终端的负担。而在本发明实施例中,通过数字证书管理模块1011调度数字证书对预设数据进行加密,生成中间数据;其中预设数据可以为需要与除用户终端101外的其他设备进行数据交流的数据包,本发明实施例对此不作限制。然后通过协议配置与解析模块1012使用封装安全载荷ESP对中间数据进行封装,以生成实际发送的加密数据,最后通过加密通信模块1013发送加密数据到服务器端103,以完成数据交流。此外还可以通过上述数据加密过程与其他终端进行数据交流,本发明实施例对此不作限制。
封装安全载荷(Encapsulate Security Payload,ESP)属于互联网安全协议(Internet Protocol Security,IPSec)的一种协议,ESP提供机密性、数据起源验证、无连接的完整性、抗重播服务和有限业务流机密性,常用的模式有传输模式和隧道模式。
如图3所示的ESP封装格式示意图,在本发明实施例中,通过隧道模式的“透明”传输的方式进行封装和通信,通过用隧道模式下ESP构建ESP保护包,ESP保护包包括原内部IP头内在的整个原IP报文;封装前数据包括原IP头、协议头(TCP/UDP)、载荷数据、填充;封装时在封装前数据前端写入新IP头和ESP头,在封装前数据后端写入填充长度、下一个头、ESP认证数据;通过这种封装方式,可以提高数据的安全度、兼容性、稳定性,并且配置简单,适用于复杂多变、环境苛刻的配电终端工作环境。
如图4所示的ESP头格式示意图,在传输过程中使用序号字段设计来产生ESP头序号字段,此字段可以用来阻挡抗重放攻击,每个IPSec头内部包含一个唯一且单调递增的序列号。
序列号是单调递增的计数器,共4个字节,发送方对使用该序列号的每个数据报文进行计数,在建立新的序列号时,发送方和接收方的序列号都被初始化为0,在序列号生命周期内,序列号单调递增,在计数器溢出之前,通信双方应协商出一个新的序列号,接收方需通过序列号来实现序列号的抗重放攻击服务。
进一步地,所述数字证书管理模块1011包括:
公钥确定子模块,用于根据所述数字证书确定所述服务器端103所发送的公钥;
加密子模块,用于使用所述公钥对所述预设数据进行加密,生成中间数据。
在具体实现中,数字证书管理模块1011在调用数字证书对预设数据进行加密的步骤可以为:公钥确定子模块根据数字证书确定当前所用的公钥是由服务器端103所发送的,通过加密子模块使用上述公钥对预设数据进行加密,生成中间数据,以便后续加密通信模块1013进一步生成加密数据。
如图2所示的一种数字证书离线认证方法流程图,在本发明实施例中还提供了一种数字证书离线认证方法,应用于离线网络环境中依次连接的用户终端、控制台和服务器端,所述方法包括:
步骤201,所述用户终端通过所述控制台发送数字证书请求到所述服务器端;
步骤202,所述服务器端验证所述数字证书请求,生成与所述数字证书请求对应的密钥;
步骤203,所述服务器端根据所述密钥和所述数字证书请求,签发数字证书到所述控制台;
步骤204,所述控制台写入所述数字证书到所述用户终端。
在本发明实施例中,用户终端通过向控制台发送数字证书请求,控制台接收到来自用户终端的数字证书请求后,转发所述数字证书请求到服务器端,服务器端通过对数字证书请求进行验证,以确定当前数字证书请求是否合法,若是则生成与数字证书请求对应的密钥;后续服务器端根据密钥签发数字证书并根据数字证书请求确定请求源,发送数字证书到控制台;控制台在接收到数字证书后,执行写入操作,将数字证书写入到用户终端。由于本实施例中的方法无需外接网络,保证了用户终端申请数字证书的网络安全性;同时也无需将数字证书通过U盘拷贝证书插入到用户终端,简化了用户终端数字证书认证的步骤,减少了工作人员的工作量,降低了数字证书认证的签发成本。
如图5所示,示出了一种数字证书离线认证系统的硬件框图。
在本发明实施例中,通过在终端侧设置有终端安全防护设备,其中终端安全防护设备可以包括加密通信模块、电子数字证书管理模块和协议配置与解析模块;服务器侧可以包括安全加密模块、认证模块、密钥管理模块和证书签发模块。具体的数据流程可以如下:用户通过终端编辑数字证书请求,经终端安全防护设备的加密通信模块和协议配置与解析模块进行数据加密后,通过串口、局域网络或USB链接的方式发送数字证书请求到控制台,控制台通过交易报文或者局域网络的方式转发数字证书请求到服务器,服务器通过安全加密模块解密数字证书的加密信息后得到请求方和用户登录信息,通过认证模块对用户登录信息进行认证,若认证通过则从密钥管理模块的预设密钥库中获取到密钥,经证书签发模块使用该密钥进行数字证书的签发;而后将数字证书经安全加密模块进行数据加密后经局域网络发送到控制台,控制台通过串口、局域网络或USB等方式将数字证书写入到终端,而终端安全防护模块中的电子数字证书管理模块可以通过调用终端的数字证书,对预设数据包进行签名并执行下一步的数据交流。进而避免了外网签发数字证书所带来的安全风险,同时简化了传统的通过U盘拷贝数字证书所带来的繁琐操作,降低成本。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述实施例中的对应过程,在此不再赘述。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器端,或者网络设备等)执行本发明各个实施例所述系统的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种数字证书离线认证系统,其特征在于,应用于离线网络环境中依次连接的用户终端、控制台和服务器端,所述系统包括:
所述用户终端,用于通过所述控制台发送数字证书请求到所述服务器端;
所述服务器端,用于验证所述数字证书请求,生成与所述数字证书请求对应的密钥;根据所述密钥和所述数字证书请求,签发数字证书到所述控制台;
所述控制台,用于写入所述数字证书到所述用户终端。
2.根据权利要求1所述的系统,其特征在于,所述服务器端包括:
安全模块,用于接收所述数字证书请求,确定所述控制台的用户登录信息;
认证模块,用于验证所述用户登录信息与预设登录信息是否相同;其中,所述预设登录信息包括第一预设登录信息;
密钥管理模块,用于当所述用户登录信息与所述第一预设登录信息相同时,从预设密钥库中生成与所述数字证书请求对应的密钥;
证书签发模块,用于根据所述密钥和所述用户登录信息,签发数字证书到所述控制台。
3.根据权利要求2所述的系统,其特征在于,所述安全模块还用于,通过数字信封加密所述数字证书。
4.根据权利要求1所述的系统,其特征在于,所述控制台还用于,加密所述数字证书请求。
5.根据权利要求2所述的系统,其特征在于,所述认证模块还用于,
修改所述预设登录信息;删除所述预设登录信息。
6.根据权利要求2所述的系统,其特征在于,所述预设登录信息还包括第二预设登录信息和第三预设登录信息,所述密钥管理模块还用于,
当所述用户登录信息与所述第二预设登录信息相同时,执行密钥备份操作;
当所述用户登录信息与所述第三预设登录信息相同时,执行密钥恢复操作。
7.根据权利要求1所述的系统,其特征在于,所述用户终端还用于,接收所述控制台写入的数字证书;使用所述数字证书加密预设数据,生成加密数据;发送所述加密数据到所述服务器端。
8.根据权利要求7所述的系统,其特征在于,所述用户终端包括:
数字证书管理模块,用于调度所述数字证书对预设数据进行加密,生成中间数据;
协议配置与解析模块,用于使用封装安全载荷ESP对所述中间数据进行封装,生成所述加密数据;
加密通信模块,用于发送所述加密数据到所述服务器端。
9.根据权利要求8所述的系统,其特征在于,所述数字证书管理模块包括:
公钥确定子模块,用于根据所述数字证书确定所述服务器端所发送的公钥;
加密子模块,用于使用所述公钥对所述预设数据进行加密,生成中间数据。
10.一种数字证书离线认证方法,其特征在于,应用于离线网络环境中依次连接的用户终端、控制台和服务器端,所述方法包括:
所述用户终端通过所述控制台发送数字证书请求到所述服务器端;
所述服务器端验证所述数字证书请求,生成与所述数字证书请求对应的密钥;
所述服务器端根据所述密钥和所述数字证书请求,签发数字证书到所述控制台;
所述控制台写入所述数字证书到所述用户终端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010402589.3A CN111600718B (zh) | 2020-05-13 | 2020-05-13 | 一种数字证书离线认证系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010402589.3A CN111600718B (zh) | 2020-05-13 | 2020-05-13 | 一种数字证书离线认证系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111600718A true CN111600718A (zh) | 2020-08-28 |
| CN111600718B CN111600718B (zh) | 2022-01-25 |
Family
ID=72188672
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010402589.3A Active CN111600718B (zh) | 2020-05-13 | 2020-05-13 | 一种数字证书离线认证系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111600718B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101017525A (zh) * | 2007-03-05 | 2007-08-15 | 北京邮电大学 | 基于证书和透明加密的usb存储设备数据防泄密系统和方法 |
| CN101183932A (zh) * | 2007-12-03 | 2008-05-21 | 宇龙计算机通信科技(深圳)有限公司 | 一种无线应用服务的安全认证系统及其注册和登录方法 |
| CN102045716A (zh) * | 2010-12-06 | 2011-05-04 | 西安西电捷通无线网络通信股份有限公司 | 一种无线局域网中端站的安全配置方法和系统 |
| CN102075544A (zh) * | 2011-02-18 | 2011-05-25 | 博视联(苏州)信息科技有限公司 | 局域网共享文件加密系统及其加解密方法 |
| CN102546522A (zh) * | 2010-12-08 | 2012-07-04 | 上海熠傲信息科技有限公司 | 一种内网安全系统及其实现方法 |
-
2020
- 2020-05-13 CN CN202010402589.3A patent/CN111600718B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101017525A (zh) * | 2007-03-05 | 2007-08-15 | 北京邮电大学 | 基于证书和透明加密的usb存储设备数据防泄密系统和方法 |
| CN101183932A (zh) * | 2007-12-03 | 2008-05-21 | 宇龙计算机通信科技(深圳)有限公司 | 一种无线应用服务的安全认证系统及其注册和登录方法 |
| CN102045716A (zh) * | 2010-12-06 | 2011-05-04 | 西安西电捷通无线网络通信股份有限公司 | 一种无线局域网中端站的安全配置方法和系统 |
| CN102546522A (zh) * | 2010-12-08 | 2012-07-04 | 上海熠傲信息科技有限公司 | 一种内网安全系统及其实现方法 |
| CN102075544A (zh) * | 2011-02-18 | 2011-05-25 | 博视联(苏州)信息科技有限公司 | 局域网共享文件加密系统及其加解密方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111600718B (zh) | 2022-01-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110417750B (zh) | 基于区块链技术的文件读取和存储的方法、终端设备和存储介质 | |
| CN1717893B (zh) | 设备密钥 | |
| CN105553654B (zh) | 密钥信息处理方法和装置、密钥信息管理系统 | |
| CN110601830B (zh) | 基于区块链的密钥管理方法、装置、设备及存储介质 | |
| CN101841525A (zh) | 安全接入方法、系统及客户端 | |
| CN111181723B (zh) | 物联网设备间离线安全认证的方法和装置 | |
| CN110932850B (zh) | 通信加密方法及系统 | |
| CN103618705A (zh) | 开放云平台下一种个人密码管理工具及方法 | |
| CN101409619A (zh) | 闪存卡及虚拟专用网密钥交换的实现方法 | |
| CN112400299B (zh) | 一种数据交互方法及相关设备 | |
| CN105915338A (zh) | 生成密钥的方法和系统 | |
| CN105610837A (zh) | 用于scada系统主站与从站间身份认证的方法及系统 | |
| CN100550030C (zh) | 在便携式终端主机上添加可信平台的方法 | |
| CN205945769U (zh) | 一种量子密钥芯片 | |
| CN112202713A (zh) | 一种Kubernetes环境下用户数据安全保护方法 | |
| CN211352206U (zh) | 基于量子密钥分发的IPSec VPN密码机 | |
| CN112865965B (zh) | 一种基于量子密钥的列车业务数据处理方法及系统 | |
| CN111435389A (zh) | 一种配电终端运维工具安全防护系统 | |
| CN111563980B (zh) | 一种蓝牙锁钥匙生成与认证方法 | |
| CN111489462B (zh) | 一种个人用蓝牙钥匙系统 | |
| CN109474431A (zh) | 客户端认证方法及计算机可读存储介质 | |
| CN111553686A (zh) | 数据处理方法、装置、计算机设备及存储介质 | |
| CN111600718B (zh) | 一种数字证书离线认证系统和方法 | |
| CN115906117A (zh) | 一种基于区块链交易可信应用实现方法 | |
| CN114244509A (zh) | 使用移动终端进行sm2一次一密双向认证开锁的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |