CN111726782B - 一种安全认证方法及系统 - Google Patents
一种安全认证方法及系统 Download PDFInfo
- Publication number
- CN111726782B CN111726782B CN202010443825.6A CN202010443825A CN111726782B CN 111726782 B CN111726782 B CN 111726782B CN 202010443825 A CN202010443825 A CN 202010443825A CN 111726782 B CN111726782 B CN 111726782B
- Authority
- CN
- China
- Prior art keywords
- certificate
- terminal
- acquisition request
- weak
- strong
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 238000004891 communication Methods 0.000 claims abstract description 67
- 238000012795 verification Methods 0.000 claims abstract description 18
- FGUUSXIOTUKUDN-IBGZPJMESA-N C1(=CC=CC=C1)N1C2=C(NC([C@H](C1)NC=1OC(=NN=1)C1=CC=CC=C1)=O)C=CC=C2 Chemical compound C1(=CC=CC=C1)N1C2=C(NC([C@H](C1)NC=1OC(=NN=1)C1=CC=CC=C1)=O)C=CC=C2 FGUUSXIOTUKUDN-IBGZPJMESA-N 0.000 claims abstract description 8
- YTAHJIFKAKIKAV-XNMGPUDCSA-N [(1R)-3-morpholin-4-yl-1-phenylpropyl] N-[(3S)-2-oxo-5-phenyl-1,3-dihydro-1,4-benzodiazepin-3-yl]carbamate Chemical compound O=C1[C@H](N=C(C2=C(N1)C=CC=C2)C1=CC=CC=C1)NC(O[C@H](CCN1CCOCC1)C1=CC=CC=C1)=O YTAHJIFKAKIKAV-XNMGPUDCSA-N 0.000 claims abstract description 6
- 230000006855 networking Effects 0.000 claims description 15
- 230000003993 interaction Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003032 molecular docking Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/44—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Abstract
本发明提供一种安全认证方法及系统,所述安全认证方法包括:步骤b,弱终端生成证书请求文件;步骤d,所述弱终端基于所述证书请求文件生成证书获取请求信息包,并向强终端发送所述证书获取请求信息包;步骤f,所述强终端向通信业务系统发送证书获取请求信息包;步骤h,后台证书系统从所述通信业务系统获取所述证书获取请求信息包,并基于所述证书获取请求信息包签发证书;以及步骤j,所述弱终端获取所述证书,并在校验通过后,存储所述证书。本发明通过强终端、通信业务系统代理转发的模式进行弱终端证书部署,复用通信业务系统与强终端之间已有的通信业务安全信道,无需为弱终端单独建设证书部署信道。
Description
技术领域
本发明涉及车联网技术领域,尤其涉及一种安全认证方法及系统。
背景技术
穿戴设备,例如手表、手环等,是车联网业务的基础辅助设施之一,负责在用户不方便携带手机的场景下,执行某些车联网业务,例如使用穿戴设备部署的数字钥匙进行汽车车门开关、发动机启动等关键功能。因此,汽车厂商必须向穿戴设备写入PKI(Public KeyInfrastructure;公钥基础设施)证书,即穿戴设备证书(Wearable-Device-Cert),以及该证书对应的私钥(Wearable-Device-Key),以支撑车联网业务的网络安全、信息安全要求,例如基于非对称算法对车联网业务指令进行安全认证、与汽车进行近场安全通信等等。
现有的车联网穿戴设备证书部署方案,通常需要五类组件的参与,即穿戴设备(Wearable-Device)、后台证书系统(IT-Cert-Sys)、生产系统(IT-Factory-Sys)、车联网业务系统(Vehicle-Connectivity-Sys)、售后系统(Aftersales-Sys)。
请参阅图1,现有的车联网穿戴设备证书部署方案包括如下步骤:
步骤1:生产系统或售后系统向后台证书系统请求为某个穿戴设备生成证书和私钥;
步骤2:后台证书系统或售后系统生成穿戴设备证书和私钥,发送到生产系统或售后系统。后台证书系统存储穿戴设备证书,不存储私钥;
步骤3:生产系统或售后系统将穿戴设备证书、私钥刷入穿戴设备;
步骤4:穿戴设备安全存储穿戴设备证书、私钥;
步骤5:生产系统或售后系统将穿戴设备证书发送到车联网业务系统;
步骤6:车联网业务系统安全存储穿戴设备证书;
步骤7:车联网业务系统向生产系统或售后系统反馈穿戴设备证书已成功同步的信息;
步骤8:生产系统或售后系统删除之前缓存的穿戴设备证书、私钥,本次证书部署流程结束。
现有的方案需要后台生产系统、售后系统与车联网业务系统进行协作交互,需要在工厂、售后新建证书部署流程、增加写入穿戴设备的专用设备,并且确保与后台证书系统的信息同步。
发明内容
有鉴于此,本发明提供了一种安全认证方法及系统,以降低弱终端证书部署的复杂度和成本。
本发明首先提供的一种安全认证方法,包括:步骤b,弱终端生成证书请求文件;步骤d,所述弱终端基于所述证书请求文件生成证书获取请求信息包,并向强终端发送所述证书获取请求信息包;步骤f,所述强终端向通信业务系统发送证书获取请求信息包;步骤h,后台证书系统从所述通信业务系统获取所述证书获取请求信息包,并基于所述证书获取请求信息包签发证书;以及步骤j,所述弱终端获取所述证书,并在校验通过后,存储所述证书。
根据本发明的一个实施例,所述步骤b之前,即所述弱终端生成证书请求文件的步骤之前,还包括:步骤a2:所述强终端与所述弱终端建立近场连接;以及步骤a4:所述强终端触发所述弱终端证书部署请求后,向所述弱终端提供证书关联信息。
根据本发明的一个实施例,所述步骤a2包括:所述强终端与所述弱终端采取万能钥匙配对模式,由所述弱终端显示随机数字,并在所述强终端上输入所述随机数字,使所述弱终端与所述强终端建立抗中间人攻击的蓝牙安全信道。
根据本发明的一个实施例,所述步骤b,即所述弱终端生成证书请求文件的步骤,包括:步骤b2,所述弱终端随机生成公钥和私钥,并存储所述私钥;步骤b4,所述弱终端生成证书基本信息;以及步骤b6,所述弱终端基于所述私钥、所述公钥、所述证书基本信息,以及所述证书关联信息,生成所述证书请求文件。
根据本发明的一个实施例,所述步骤d,即所述弱终端基于所述证书请求文件生成证书获取请求信息包,并向强终端发送所述证书获取请求信息包的步骤,包括:步骤d2:所述弱终端将所述证书请求文件和所述证书基本信息,组合成所述证书获取请求信息包;以及步骤d4:所述弱终端向所述强终端发送所述证书获取请求信息包。
根据本发明的一个实施例,所述步骤f,即所述强终端向通信业务系统发送证书获取请求信息包的步骤,包括:步骤f2:所述强终端向所述通信业务系统发送所述证书获取请求信息包;步骤f4:所述通信业务系统检查从所述强终端获得的所述证书获取请求信息包,以确认所述证书获取请求信息包中的信息来自可信的强终端和可信的弱终端;以及步骤f6:所述通信业务系统向所述后台证书系统发送所述证书获取请求信息包。
根据本发明的一个实施例,所述步骤f2,即所述强终端向所述通信业务系统发送所述证书获取请求信息包的步骤,包括:步骤f22,所述强终端将所述证书获取请求信息包更新,使证书关联信息与证书获取请求信息包中的信息组合,形成更新后的证书获取请求信息包;以及步骤f24,所述强终端将更新后的证书获取请求信息包发送至所述通信业务系统。
根据本发明的一个实施例,所述步骤j,即所述弱终端获取所述证书,并在校验通过后,存储所述证书的步骤,包括:步骤j2:所述弱终端获取并存储证书信任链;以及步骤j4:所述弱终端获取所述证书;步骤j6:所述弱终端根据所述证书信任链对所述证书进行校验,并在校验通过后,存储所述证书。
根据本发明的一个实施例,所述步骤j4,即所述弱终端根据所述证书信任链对所述证书进行校验,并在校验通过后,存储所述证书的步骤,包括:步骤j41,后台证书系统向通信业务系统发送所述证书;步骤j43,通信业务系统存储所述证书;步骤j45,通信业务系统向强终端发送所述证书;以及步骤j47,强终端向弱终端发送所述证书。
本发明还提供一种安全认证系统,包括:弱终端、强终端、后台证书系统、通信业务系统;所述弱终端用于生成证书请求文件,且基于所述证书请求文件生成证书获取请求信息包后,向强终端发送所述证书获取请求信息包;所述强终端向通信业务系统发送证书获取请求信息包;后台证书系统从所述通信业务系统获取所述证书获取请求信息包,并基于所述证书获取请求信息包签发证书;
其中,所述弱终端还用于获取所述证书,并在校验通过后,存储所述证书。
本发明通过强终端、通信业务系统代理转发的模式进行弱终端证书部署,复用通信业务系统与强终端之间已有的通信业务安全信道,无需为弱终端单独建设证书部署信道。通信业务系统与强终端的消息签名认证,与通信业务保持一致,能在确保证书部署信息安全校验效果的同时,降低车联网业务系统和证书部署系统的交互复杂度。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其他目的、特征和优点能够更明显易懂,以下特举较佳实施例,并配合附图,详细说明如下。
附图说明
图1为现有的车联网穿戴设备证书部署的时序图。
图2为本发明一实施例提供的安全认证方法的流程示意图。
图3为本发明另一实施例提供的安全认证方法的流程示意图。
图4为图2所示的安全认证方法的步骤b的详细流程示意图。
图5为图2所示的安全认证方法的步骤d的详细流程示意图。
图6为图2所示的安全认证方法的步骤f的详细流程示意图。
图7为图6所示的安全认证方法的步骤f2的详细流程示意图。
图8为图2所示的安全认证方法的步骤j的详细流程示意图。
图9为图8所示的安全认证方法的步骤j4的详细流程示意图。
图10显示穿戴设备通过车联网和手机获取证书的整个过程的时序图。
图11为本发明一实施例提供的一种安全认证系统的方框示意图。
具体实施方式
为更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效,以下结合附图及较佳实施例,对本发明详细说明如下。
请参阅图2,在一实施例中,本发明的安全认证方法,包括:
步骤b,弱终端生成证书请求文件;
步骤d,所述弱终端基于所述证书请求文件生成证书获取请求信息包,并向强终端发送所述证书获取请求信息包;
步骤f,所述强终端向通信业务系统发送证书获取请求信息包;
步骤h,后台证书系统从所述通信业务系统获取所述证书获取请求信息包,并基于所述证书获取请求信息包签发证书;
步骤j,所述弱终端获取所述证书,并在校验通过后,存储所述证书。
具体而言,弱终端包括穿戴设备、电子家居等不具有联网能力的电子终端,强终端包括手机、车端的远程电子控制单元(Telemetics Electrical Control Unit)、智能家居等具有联网能力的电子终端,通信业务系统包括车联网业务系统、物联网业务系统等互联网业务系统。
以穿戴设备、手机和车联网构成的系统为例,上述实施例提供的方法,通过手机、车联网业务系统代理转发的模式进行穿戴设备证书部署,复用了车联网业务系统与手机之间已有的车联网业务安全信道,支持穿戴设备证书在线部署,不仅能避免在工厂系统部署穿戴设备证书的流程建设,减轻工位任务管控的复杂度、节省证书部署专用设备的成本,而且也能避免在售后系统部署穿戴设备证书的流程建设,无需用户到售后4S店进行证书更新,在降低了售后的人工成本、节省了证书部署专用设备的成本的同时,也很好地改善了用户体验。
需要注意的是,上述技术方案,不限于使用手机进行进场通信,也可以使用车端的远程电子控制单元等其他终端与穿戴设备进行进场通信。对信道,只要与车联网业务系统存在安全通信的已有信道都可以复用,例如可以复用车联网业务系统与车端的远程电子控制单元(Telemetics Electrical Control Unit)的安全信道。
详细而言,可参阅图3,在一实施例中,所述步骤b之前还包括:
步骤a2:所述强终端与所述弱终端建立近场连接;
步骤a4:所述强终端触发所述弱终端证书部署请求,并在所述证书部署请求被确认后,向所述弱终端提供证书关联信息。
具体而言,对步骤b2,所述近场连接包括蓝牙连接、NFC(Near FieldCommunication;近场通信)连接等近距离通信连接,进行近距离安全通信交互消息。优选地,采用抗中间人攻击的蓝牙标准Passkey Entry(万能钥匙配对安全通信方案,此时,所述步骤a2可以包括:所述强终端与所述弱终端采取Passkey Entry配对模式,由所述弱终端显示随机数字,并在所述强终端上输入所述随机数字,使所述弱终端与所述强终端建立抗中间人攻击的蓝牙安全信道。
具体而言,对步骤b4,所述证书关联信息例如可以是穿戴设备绑定的汽车识别编码(VehicleIdentificationNumber,VIN)等,穿戴设备可以是上述弱终端,上述强终端可以是手机。该场景下,手机触发穿戴设备证书部署请求,向穿戴设备提供关联的业务信息,即上述证书关联信息。
详细而言,可参阅图4,在一实施例中,所述步骤b,即所述弱终端生成证书请求文件的步骤,进一步包括:
步骤b2,所述弱终端随机生成公钥和私钥,并存储所述私钥;
步骤b4,所述弱终端生成证书基本信息;
步骤b6,所述弱终端基于所述私钥、所述公钥、所述证书基本信息,以及所述证书关联信息,生成所述证书请求文件。
具体而言,以穿戴设备为例,在一实施例中,穿戴设备生成证书请求文件的步骤,包括:穿戴设备随机生成自身的公私钥对,包括公钥(Wearable-Device-PubKey)和私钥(Wearable-Device-Key),并安全存储所述私钥;接着,穿戴设备整理自身的基本信息,生成证书基本信息,所述证书基本信息包括穿戴设备编号等等;再接着,穿戴设备基于所述私钥、所述公钥、所述证书基本信息,以及所述证书关联信息,生成所述证书请求文件;最后,穿戴设备请求遵守国际PKCS10标准格式。
穿戴设备生成国际PKCS10标准格式的证书请求文件(CSR:Certificate SigningRequest)证书请求,在穿戴设备本地安全存储私钥私钥,避免了私钥在网络上传输,提升了安全性。
本实施例避免了传统工厂部署模式中,需要穿戴设备供应商进行的相关数据流交互,例如对穿戴设备进行初始化、支持密钥等,减少了对供应商的IT系统对接要求,方便适配更广泛的穿戴设备类型。另外,穿戴设备的私钥只在穿戴设备本地安全存储,不在任何其他网络进行在线传输,避免了后台系统信息安全泄漏的风险,提升了穿戴设备的密钥安全程度。
现有技术中,后台证书系统、生产系统和售后系统被设置为在短时间内掌握穿戴设备的私钥,并在写入完成后删除该值。但是,上述三个系统如果出现信息安全风险事件,可能造成批量穿戴设备的敏感信息,例如私钥,的泄漏。
详细而言,可参阅图5,在一实施例中,所述步骤d,即所述弱终端基于所述证书请求文件生成证书获取请求信息包,并向强终端发送所述证书获取请求信息包的步骤,包括:
步骤d2:所述弱终端将所述证书请求文件和所述证书基本信息,组合成所述证书获取请求信息包;
步骤d4:所述弱终端向所述强终端发送所述证书获取请求信息包。
详细而言,可参阅图6,在一实施例中,所述步骤f,即所述强终端向通信业务系统发送证书获取请求信息包的步骤,包括:
步骤f2:所述强终端向所述通信业务系统发送所述证书获取请求信息包;
步骤f4:所述通信业务系统检查从所述强终端获得的所述证书获取请求信息包,以确认所述证书获取请求信息包来自可信的强终端和可信的弱终端;
步骤f6:所述通信业务系统向所述后台证书系统发送所述证书获取请求信息包。
进一步地,可参阅图7,上述步骤f2,即所述强终端向所述通信业务系统发送所述证书获取请求信息包的步骤,包括:
步骤f22,所述强终端将所述证书获取请求信息包更新,使证书关联信息与证书获取请求信息包中的信息组合,形成更新后的证书获取请求信息包;
步骤f24,所述强终端将更新后的证书获取请求信息包发送至所述通信业务系统。
承上所述,更详细而言,在一实施例中,所述步骤f2中,所述强终端向所述通信业务系统发送的信息,还包括证书基本信息和证书关联信息中的至少一者;所述步骤f4中,所述通信业务系统从所述强终端获得的信息,还包括证书基本信息和证书关联信息中的至少一者;所述步骤f6中,所述通信业务系统向所述后台证书系统发送的信息,还包括证书基本信息和证书关联信息中的至少一者。该情景下,后台证书系统检查接收到的证书基本信息和证书关联信息等相关内容,确保这些内容与后台系统记录的信息一致,并基于证书获取请求信息包签发证书。
详细而言,可参阅图8,在一实施例中,所述步骤j,即所述弱终端获取所述证书,并在校验通过后,存储所述证书的步骤,包括:
步骤j2:所述弱终端获取并存储证书信任链(Certificate Authority Chain);
步骤j4:所述弱终端获取所述证书;
步骤j6:所述弱终端根据所述证书信任链对所述证书进行校验,并在校验通过后,存储所述证书。
所述证书信任链由所述弱终端预置,以用于获取证书。具体而言,证书信任链由穿戴设备预先获取并存储于自身内,以备后期获取证书使用。当手机向穿戴设备发送穿戴设备证书时,穿戴设备即根据预置的证书信任链对来自手机的证书进行校验,校验通过,则存储该证书,本次部署流程结束。
详细而言,可参阅图9,在一实施例中,所述步骤j4,即所述弱终端根据所述证书信任链对所述证书进行校验,并在校验通过后,存储所述证书的步骤,包括:
步骤j41,后台证书系统向通信业务系统发送所述证书;
步骤j43,所述通信业务系统存储所述证书;
步骤j45,所述通信业务系统向所述强终端发送所述证书;
步骤j47,所述强终端向所述弱终端发送所述证书。
具体而言,以穿戴设备通过车联网和手机获取证书为例,后台证书系统首先向车联网系统发送证书,接着车辆网业务系统存储证书,再接着车辆网业务系统向手机发送所述证书,最后手机将所述证书发送到穿戴设备。
图10显示穿戴设备通过车联网和手机获取证书的整个过程的时序图,如图所示:
步骤Sa2,穿戴设备与手机进行蓝牙安全通信,通过Passkey Entry配对模式,使穿戴设备显示随机数字,并使用户在手机上输入该数字;
步骤Sa4,手机触发穿戴设备证书部署请求,提供穿戴设备证书关联信息;
步骤Sb,穿戴设备产生穿戴设备的公私钥对,整理自身的基本信息,生成穿戴设备证书请求文件;
步骤Sd,穿戴设备基于所述穿戴设备证书请求文件生成穿戴设备证书获取请求信息包,并将该穿戴设备证书获取请求信息包发送到手机,此时,穿戴设备证书获取请求信息包具有的内容包括:穿戴设备证书请求文件、穿戴设备证书基本信息;
步骤Sf2,手机将所述证书获取请求信息包更新,使穿戴设备证书关联信息与证书获取请求信息包中的信息组合,形成更新后的穿戴设备证书获取请求信息包,此时,该穿戴设备证书获取请求信息包具有的内容包括:穿戴设备证书基本信息、穿戴设备证书关联信息和穿戴设备证书请求文件;
步骤Sf4,车联网业务系统检查从手机获得的穿戴设备证书获取请求信息包,以确认穿戴设备证书获取请求信息包中的信息来自可信的手机和可信的穿戴设备;
步骤Sf6,车联网业务系统向所述后台证书系统发送所述证书获取请求信息包;
步骤Sh,后台证书系统从车联网业务系统获取所述证书获取请求信息包,并基于所述证书获取请求信息包签发穿戴设备证书;
步骤j41,后台证书系统向车联网业务系统发送穿戴设备证书;
步骤j43,车联网业务系统存储穿戴设备证书;
步骤j45,车联网业务系统向手机发送穿戴设备证书;
步骤j47,手机向穿戴设备发送穿戴设备证书。
步骤S j6,穿戴设备根据所述证书信任链对所述证书进行校验,并在校验通过后,存储穿戴设备证书。
更详细而言,请参阅图11,本申请还提供一种安全认证系统100,包括:弱终端20、强终端40、后台证书系统60、通信业务系统80;
弱终端20用于生成证书请求文件,且基于所述证书请求文件生成证书获取请求信息包后,向强终端40发送所述证书获取请求信息包;
所述强终端40向通信业务系统80发送证书获取请求信息包;
后台证书系统60从所述通信业务系统80获取所述证书获取请求信息包,并基于所述证书获取请求信息包签发证书;
其中,所述弱终端20还用于获取所述证书,并在校验通过后,存储所述证书。
综上所述,本发明提供的安全认证方法和系统,可以用于弱终端证书的在线部署,该方法或系统通过强终端和通讯业务系统的协助,能避免弱终端与工厂系统、售后系统的复杂交互和维护流程,提升证书部署的安全性,并且适配更广泛的弱终端类型。
以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制,虽然本发明已以较佳实施例揭露如上,然而并非用以限定本发明,任何熟悉本专业的技术人员,在不脱离本发明技术方案范围内,当可利用上述揭示的技术内容作出些许更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属于本发明技术方案的范围内。
Claims (8)
1.一种安全认证方法,其特征在于,包括:
步骤a2:强终端与弱终端建立近场连接,所述强终端包括具有联网能力的电子终端,所述弱终端包括不具有联网能力的终端;以及
步骤a4:所述强终端触发所述弱终端证书部署请求后,向所述弱终端提供证书关联信息;
步骤b,弱终端生成证书请求文件;
所述步骤b,即所述弱终端生成证书请求文件的步骤,包括:
步骤b2,所述弱终端随机生成公钥和私钥,并存储所述私钥;
步骤b4,所述弱终端生成证书基本信息;以及
步骤b6,所述弱终端基于所述私钥、所述公钥、所述证书基本信息,以及所述证书关联信息,生成所述证书请求文件;
步骤d,所述弱终端基于所述证书请求文件生成证书获取请求信息包,并向强终端发送所述证书获取请求信息包;
步骤f,所述强终端向通信业务系统发送证书获取请求信息包;
步骤h,后台证书系统从所述通信业务系统获取所述证书获取请求信息包,并基于所述证书获取请求信息包签发证书;以及
步骤j,所述弱终端获取所述证书,并在校验通过后,存储所述证书。
2.根据权利要求1所述的安全认证方法,其特征在于,所述步骤a2包括:
所述强终端与所述弱终端采取万能钥匙配对模式,由所述弱终端显示随机数字,并在所述强终端上输入所述随机数字,使所述弱终端与所述强终端建立抗中间人攻击的蓝牙安全信道。
3.根据权利要求1所述的安全认证方法,其特征在于,所述步骤d,即所述弱终端基于所述证书请求文件生成证书获取请求信息包,并向强终端发送所述证书获取请求信息包的步骤,包括:
步骤d2:所述弱终端将所述证书请求文件和所述证书基本信息,组合成所述证书获取请求信息包;以及
步骤d4:所述弱终端向所述强终端发送所述证书获取请求信息包。
4.根据权利要求1所述的安全认证方法,其特征在于,所述步骤f,即所述强终端向通信业务系统发送证书获取请求信息包的步骤,包括:
步骤f2:所述强终端向所述通信业务系统发送所述证书获取请求信息包;
步骤f4:所述通信业务系统检查从所述强终端获得的所述证书获取请求信息包,以确认所述证书获取请求信息包中的信息来自可信的强终端和可信的弱终端;以及
步骤f6:所述通信业务系统向所述后台证书系统发送所述证书获取请求信息包。
5.根据权利要求4所述的安全认证方法,其特征在于,所述步骤f2,即所述强终端向所述通信业务系统发送所述证书获取请求信息包的步骤,包括:
步骤f22,所述强终端将所述证书获取请求信息包更新,使证书关联信息与证书获取请求信息包中的信息组合,形成更新后的证书获取请求信息包;以及
步骤f24,所述强终端将更新后的证书获取请求信息包发送至所述通信业务系统。
6.根据权利要求1所述的安全认证方法,其特征在于,所述步骤j,即所述弱终端获取所述证书,并在校验通过后,存储所述证书的步骤,包括:
步骤j2:所述弱终端获取并存储证书信任链;
步骤j4:所述弱终端获取所述证书;以及
步骤j6:所述弱终端根据所述证书信任链对所述证书进行校验,并在校验通过后,存储所述证书。
7.根据权利要求6所述的安全认证方法,其特征在于,所述步骤j4,即所述弱终端根据所述证书信任链对所述证书进行校验,并在校验通过后,存储所述证书的步骤,包括:
步骤j41,后台证书系统向通信业务系统发送所述证书;
步骤j43,通信业务系统存储所述证书;
步骤j45,通信业务系统向强终端发送所述证书;以及
步骤j47,强终端向弱终端发送所述证书。
8.一种安全认证系统,其特征在于,应用于权利要求1至7中任意一项所述的安全认证方法,包括:弱终端、强终端、后台证书系统、通信业务系统;
所述弱终端用于生成证书请求文件,且基于所述证书请求文件生成证书获取请求信息包后,向强终端发送所述证书获取请求信息包;
所述强终端向通信业务系统发送证书获取请求信息包;
所述后台证书系统从所述通信业务系统获取所述证书获取请求信息包,并基于所述证书获取请求信息包签发证书;
其中,所述弱终端还用于获取所述证书,并在校验通过后,存储所述证书。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010443825.6A CN111726782B (zh) | 2020-05-22 | 2020-05-22 | 一种安全认证方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010443825.6A CN111726782B (zh) | 2020-05-22 | 2020-05-22 | 一种安全认证方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111726782A CN111726782A (zh) | 2020-09-29 |
CN111726782B true CN111726782B (zh) | 2023-12-29 |
Family
ID=72564949
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010443825.6A Active CN111726782B (zh) | 2020-05-22 | 2020-05-22 | 一种安全认证方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111726782B (zh) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104219058A (zh) * | 2014-09-28 | 2014-12-17 | 小米科技有限责任公司 | 身份认证、身份授权方法及装置 |
CN104850990A (zh) * | 2015-05-27 | 2015-08-19 | 拉卡拉支付有限公司 | 一种支付方法及系统、key终端和key支撑系统 |
CN107277020A (zh) * | 2017-06-23 | 2017-10-20 | 国民认证科技(北京)有限公司 | 基于公私钥体制的远程验证移动设备合法性的系统和方法 |
CN107809411A (zh) * | 2016-09-09 | 2018-03-16 | 华为技术有限公司 | 移动网络的认证方法、终端设备、服务器和网络认证实体 |
CN107948970A (zh) * | 2017-11-15 | 2018-04-20 | 中国联合网络通信集团有限公司 | 附属终端的实名制入网方法、系统及移动终端 |
CN108429740A (zh) * | 2018-02-12 | 2018-08-21 | 华为技术有限公司 | 一种获得设备标识的方法及装置 |
CN110535628A (zh) * | 2019-08-29 | 2019-12-03 | 阿里巴巴集团控股有限公司 | 通过证书签发进行多方安全计算的方法及装置 |
CN111066284A (zh) * | 2017-10-09 | 2020-04-24 | 华为技术有限公司 | 一种业务证书管理方法、终端及服务器 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101521883B (zh) * | 2009-03-23 | 2011-01-19 | 中兴通讯股份有限公司 | 一种数字证书的更新和使用方法及系统 |
CN104700261B (zh) * | 2013-12-10 | 2018-11-27 | 中国银联股份有限公司 | Pos终端的安全入网初始化方法及其系统 |
US10437977B2 (en) * | 2015-10-13 | 2019-10-08 | Etas Embedded Systems Canada Inc. | System and method for digital key sharing for access control |
CN108667780B (zh) * | 2017-03-31 | 2021-05-14 | 华为技术有限公司 | 一种身份认证的方法、系统及服务器和终端 |
-
2020
- 2020-05-22 CN CN202010443825.6A patent/CN111726782B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104219058A (zh) * | 2014-09-28 | 2014-12-17 | 小米科技有限责任公司 | 身份认证、身份授权方法及装置 |
CN104850990A (zh) * | 2015-05-27 | 2015-08-19 | 拉卡拉支付有限公司 | 一种支付方法及系统、key终端和key支撑系统 |
CN107809411A (zh) * | 2016-09-09 | 2018-03-16 | 华为技术有限公司 | 移动网络的认证方法、终端设备、服务器和网络认证实体 |
CN107277020A (zh) * | 2017-06-23 | 2017-10-20 | 国民认证科技(北京)有限公司 | 基于公私钥体制的远程验证移动设备合法性的系统和方法 |
CN111066284A (zh) * | 2017-10-09 | 2020-04-24 | 华为技术有限公司 | 一种业务证书管理方法、终端及服务器 |
CN107948970A (zh) * | 2017-11-15 | 2018-04-20 | 中国联合网络通信集团有限公司 | 附属终端的实名制入网方法、系统及移动终端 |
CN108429740A (zh) * | 2018-02-12 | 2018-08-21 | 华为技术有限公司 | 一种获得设备标识的方法及装置 |
CN110535628A (zh) * | 2019-08-29 | 2019-12-03 | 阿里巴巴集团控股有限公司 | 通过证书签发进行多方安全计算的方法及装置 |
Non-Patent Citations (1)
Title |
---|
基于一次一密的数字证书部署系统;郭勇;;世界科技研究与发展(第05期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN111726782A (zh) | 2020-09-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10595352B2 (en) | Establishing a secure short-range wireless communications connection at a vehicle | |
CN108989277B (zh) | 令牌管理方法及用于执行该方法的服务器 | |
US8943323B2 (en) | System and method for provisioning device certificates | |
US8107629B2 (en) | Method of providing security for relay station | |
US8582775B2 (en) | Method of securing and authenticating data using micro-certificates | |
US7707403B2 (en) | Authentication method, communication apparatus, and relay apparatus | |
EP2254304B1 (en) | System and method for provisioning device certificates | |
US10231273B2 (en) | Vehicle wireless device connection management with switchover of primary connected device | |
CN102916869B (zh) | 即时通信方法和系统 | |
US7561551B2 (en) | Method and system for propagating mutual authentication data in wireless communication networks | |
EP2413558A1 (en) | Method and system for updating and using digital certificates | |
US8456275B2 (en) | Electric wiring system of a motor vehicle with replaceable cryptographic key and/or certificate | |
CN1842993B (zh) | 提供证书 | |
CN108990057B (zh) | 设备间通信系统及方法 | |
MXPA01011969A (es) | Metodo y aparato para iniciar comunicaciones seguras entre y exclusivamente para dispositivos inalambricos en pares. | |
CN113098863B (zh) | 一种基于tls+mqtt协议的物联网双认证方法和系统 | |
CN109448195A (zh) | 车辆虚拟钥匙的认证方法及装置 | |
CN113923622A (zh) | 一种基于手机蓝牙钥匙升级车载控制器的方法 | |
US20220311625A1 (en) | Certificate Application Method And Device | |
CN112202770A (zh) | 设备联网方法及装置、设备、存储介质 | |
CN111064738A (zh) | 一种tls安全通信的方法及系统 | |
CN110505619A (zh) | 一种eSIM远程配置中的数据传输方法 | |
CN111726782B (zh) | 一种安全认证方法及系统 | |
CN104053150B (zh) | 交通工具通信系统和方法 | |
CN112867004B (zh) | 一种远程配置系统及用户数据更换方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |