CN112583587A - 一种数字身份构建方法、系统、管理设备及存储介质 - Google Patents
一种数字身份构建方法、系统、管理设备及存储介质 Download PDFInfo
- Publication number
- CN112583587A CN112583587A CN202011443478.3A CN202011443478A CN112583587A CN 112583587 A CN112583587 A CN 112583587A CN 202011443478 A CN202011443478 A CN 202011443478A CN 112583587 A CN112583587 A CN 112583587A
- Authority
- CN
- China
- Prior art keywords
- data
- server
- public key
- abstract
- digital identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3249—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明提供一种数字身份构建方法和构建系统及其创建系统,方法适用于设备终端,其中,包括以下步骤:获取第一设备数据并计算得到第一设备数据对应的第一数据摘要,以及对第一数据摘要进行处理,生成公钥和私钥;获取运行数据,并计算得到运行数据对应的第二数据摘要,以及根据私钥对第二数据摘要进行数字签名,以生成签名数据;将公钥、运行数据和签名数据发送给服务器对设备终端的身份进行验证。本发明的有益效果:保证所生成和使用的运行数据是由对应的设备终端生成的,并保证运行数据的难以伪造和篡改。
Description
技术领域
本发明涉及安全认证技术领域,尤其涉及一种数字身份构建方法、系统、管理设备及存储介质。
背景技术
在传统方式中,当智能硬件将产生的数据传递至中心服务器中进行存储。当智能硬件的数据需要作为解决纠纷的依据时,往往会出现矛盾双方质疑中心服务器中所存储的数据有误、与之前的数据不一致、存在篡改等情况。然而中心服务器的管理者无法证明中心服务器中的数据就是智能硬件所产生的数据,并且中心服务器的管理者无法证明智能硬件所产生的数据没有经过篡改,进而导致难以解决纠纷。
因此,目前需要一种对智能硬件产生的数据进行身份认证的技术。
发明内容
针对现有技术中存在的上述问题,现提供一种数字身份构建方法、系统、管理设备及存储介质。
具体技术方案如下:
优选的,数字身份构建方法,方法适用于设备终端,其中,包括以下步骤:
获取第一设备数据并计算得到第一设备数据对应的第一数据摘要,以及对第一数据摘要进行处理,生成公钥和私钥;
获取运行数据,并计算得到运行数据对应的第二数据摘要,以及根据私钥对第二数据摘要进行数字签名,以生成签名数据;
将公钥、运行数据和签名数据发送给服务器对设备终端的身份进行验证。
优选的,数字身份构建方法,其中,将公钥、运行数据和签名数据发送给服务器对设备终端的身份进行验证,具体包括以下步骤:
将公钥、运行数据和签名数据发送给服务器,以供服务器对运行数据进行计算,以得到对应的第三数据摘要;以供服务器根据公钥对签名数据进行解密,以得到第四数据摘要;以供服务器验证第三数据摘要是否与第四数据摘要的内容一致;
当第三数据摘要与第四数据摘要的内容一致时,确定设备终端通过身份验证;
当第三数据摘要与第四数据摘要的内容不一致时,确定设备终端未通过身份验证。
优选的,数字身份构建方法,其中,还包括:
获取第二设备数据,并将第二设备数据发送至服务器,使得服务器判断是否要将公钥和第二设备数据进行绑定;
当要将公钥和第二设备数据进行绑定时,服务器将公钥和与公钥对应的第二设备数据进行存储,并且存储后的公钥和与公钥对应的第二设备数据呈映射关系。
优选的,数字身份构建方法,其中,还包括:
当设备终端获取的当前的第二设备数据发生变化时,将当前的第二设备数据和对应的公钥至服务器,使得服务器根据当前的第二设备数据对存储到服务器中的与公钥呈映射关系的第二设备数据进行更新。
优选的,数字身份构建方法,其中,第一设备数据包括:
时间数据;或
时间数据和外部环境数据;和/或
第二设备数据至少包括:
设备终端的位置;
设备终端的硬件类型;
设备终端的硬件部署时间。
优选的,数字身份构建方法,其中,获取第一设备数据并计算得到第一设备数据对应的第一数据摘要,以及对第一数据摘要进行处理,生成公钥和私钥,包括:
判断能否采集外部环境数据;
若能,采集外部环境数据,并得到采集外部环境数据对应的时间数据,并计算得到时间数据和外部环境数据对应的第一数据摘要;
若否,得到时间数据,并计算得到时间数据对应的第一数据摘要;
采用预设算法对第一数据摘要进行处理,以生成公钥和私钥。
优选的,数字身份构建方法,其中,还包括:
将公钥和私钥发送至第一存储介质中保存;和/或
服务器将接收到的公钥、运行数据、签名数据存储到对应的第二存储介质中。
还包括一种数字身份创建系统,其中,包括设备终端和服务器,设备终端和服务器连接;
设备终端用于获取第一设备数据,并计算得到第一设备数据对应的第一数据摘要,以及对第一数据摘要进行处理,以生成公钥和私钥,设备终端将公钥发送给服务器;
设备终端还用于获取运行数据,并计算得到运行数据对应的第二数据摘要,以及根据私钥对第二数据摘要进行数字签名,以生成签名数据,将运行数据和签名数据发送给服务器;
服务器用于对运行数据进行计算,以得到对应的第三数据摘要;
服务器还用于根据公钥对签名数据进行解密,以得到第四数据摘要;
服务器还用于验证第三数据摘要是否与第四数据摘要的内容一致。
还包括一种数字身份的管理设备,其中,包括存储器和处理器,存储器上保存有可在处理器上运行的数字身份创建程序,数字身份创建程序被处理器执行时实现如上述任一项的数字身份创建方法。
还包括一种计算机可读存储介质,其中,计算机可读存储介质上保存有可在处理器上运行的数字身份创建程序,数字身份创建程序被处理器执行时实现如上述任一项的数字身份创建方法。
上述技术方案具有如下优点或有益效果:
设备终端根据自身的第一设备数据获取得到公钥和私钥,即设备终端根据自身的第一设备数据生成自身的数字身份,随后服务器通过来验证设备终端的合法性,从而实现在不对公众公开并且运行数据可正常生成和使用的情况下保证所生成和使用的运行数据是由与之对应的设备终端生成的,从而保证运行数据的难以伪造和篡改。
附图说明
参考所附附图,以更加充分的描述本发明的实施例。然而,所附附图仅用于说明和阐述,并不构成对本发明范围的限制。
图1为本发明一种数字身份构建方法的实施例的流程图一;
图2为本发明一种数字身份构建方法的实施例的流程图二;
图3为本发明一种数字身份构建系统的实施例的原理框图;
图4为本发明一种数字身份的管理设备的实施例的原理框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
下面结合附图和具体实施例对本发明作进一步说明,但不作为本发明的限定。
本发明包括一种数字身份构建方法,如图1所示,包括以下步骤:
步骤S1,设备终端获取第一设备数据并计算得到第一设备数据对应的第一数据摘要,以及对第一数据摘要进行处理,生成公钥和私钥;
步骤S2,设备终端获取运行数据,并计算得到运行数据对应的第二数据摘要,以及根据私钥对第二数据摘要进行数字签名,以生成签名数据;
步骤S3,设备终端将公钥、运行数据和签名数据发送给服务器对设备终端的身份进行验证。
需要说明的是:在其他实施例中并不一定按照本说明书示出和描述的顺序来执行相应方法的步骤。在一些其他实施例中,其方法所包括的步骤可以比本说明书所描述的更多或更少。此外,本说明书中所描述的单个步骤,在其他实施例中可能被分解为多个步骤进行描述;而本说明书中所描述的多个步骤,在其他实施例中也可能被合并为单个步骤进行描述。
例如,步骤S1和步骤S2中获取第一设备数据和运行数据的过程可以同时进行也可以顺序进行。
在上述实施例中,设备终端根据自身的第一设备数据获取得到公钥和私钥,即设备终端根据自身的第一设备数据生成自身的数字身份,随后服务器通过来验证设备终端的合法性,从而实现在不对公众公开并且运行数据可正常生成和使用的情况下保证所生成和使用的运行数据是由与之对应的设备终端生成的,从而保证运行数据的难以伪造和篡改。
在上述实施例中,设备终端可以为智能音箱、智能空调、智能烟雾报警器、智能门锁、智能插座和智能签到机等智能设备。
进一步地,在上述实施例中,如图2所示,服务器对设备终端的身份进行验证具体包括以下步骤:
步骤A1,服务器对运行数据进行计算,以得到对应的第三数据摘要;
步骤A2,服务器根据公钥对签名数据进行解密,以得到第四数据摘要;
步骤A3,服务器验证第三数据摘要是否与第四数据摘要的内容一致;
当第三数据摘要与第四数据摘要的内容一致时,确定设备终端通过身份验证;
当第三数据摘要与第四数据摘要的内容不一致时,确定设备终端未通过身份验证。
可以理解的是,若第三数据摘要与第四数据摘要的内容一致,则说明设备终端的身份合法。
在上述实施例中,设备终端可以采用智能硬件技术,而智能硬件技术即向传统设备和结构中植入芯片、电源、天线等模块,实现传统设备能够独立进行部分或完全的计算和存储,实现与外界的其他系统或人员进行交互;
在上述实施例中,设备终端采用非对称加密技术生成公钥和私钥,即当用公钥对数据进行加密,只有用对应的私钥才能解密。当用私钥对数据进行加密,则同理只能用对应的公钥才能解密。
进一步地,在上述实施例中,还包括:
步骤S4,设备终端获取第二设备数据,并将第二设备数据发送至服务器,使得服务器判断是否要将公钥和第二设备数据进行绑定;
当要将公钥和第二设备数据进行绑定时,服务器将公钥和与公钥对应的第二设备数据进行存储,并且存储后的公钥和与公钥对应的第二设备数据呈映射关系。
在上述实施例中,可以由设备终端将获取得到的第二设备数据发送给服务器,从而使得服务器接收第二设备数据;
也可以由用户将自设定的第二设备数据发送给服务器,从而使得服务器接收第二设备数据;
也可以由设备终端将获取得到的第二设备数据中的一部分发送给服务器,以及用户将自设定的第二设备数据的另一部分发送给服务器,从而使得服务器接收到设备终端和用户共同发送的第二设备数据。
在上述实施例中,通过用户自设定是否需要将公钥和第二设备数据进行绑定。
进一步地,在上述实施例中,第二设备数据包括:
设备终端的位置;
设备终端的硬件类型;
设备终端的硬件部署时间。
在上述实施例中,服务器将公钥和与公钥对应的第二设备数据中的位置、硬件类型和部署时间进行存储,并且存储后的公钥和与公钥对应的第二设备数据中的位置、硬件类型和部署时间呈映射关系;
例如,当设备终端的位置为:A市B区C大学D楼北512机房;
设备终端的硬件类型为:签到机;
设备终端的硬件部署时间为:2020年7月24日星期五;
此时存储的公钥和与公钥对应的第二设备数据中的位置、硬件类型和部署时间如下表1所示:
表1
进一步地,在上述实施例中,还包括:
步骤S5,当设备终端获取的当前的第二设备数据发生变化时,设备终端将当前的第二设备数据和对应的公钥至服务器,使得服务器根据当前的第二设备数据对存储到服务器中的与公钥呈映射关系的第二设备数据进行更新。
在上述实施例中,当设备终端获取的当前的第二设备数据发生变化时,设备终端将修改请求发送给服务器,使得服务器确定需要修改对应的存储到服务器中的第二设备数据,随后,服务器根据设备终端获取得到与设备终端对应的公钥,并根据当前的第二设备数据对存储到服务器中的与公钥呈映射关系的第二设备数据进行更新。
其中,可以包括多种更新方式;
例如,直接使用当前的第二设备数据覆盖存储的第二设备数据存储在服务器中;即使用新数据覆盖旧数据;
例如,先将原来存储的第二设备数据设置为无效,随后将当前的第二设备数据作为新增数据,存储在服务器中,并且存储后的新增数据和对应的公钥呈映射关系。
作为优选的实施方式,将设备终端从“A市B区C大学D楼北512机房”搬至“A市B区C大学D楼北503实验室”时,设备终端获取的当前的第二设备数据中的位置发生变化,此时设备终端获取的当前的第二设备数据包括:
当前设备终端的位置为:A市B区C大学D楼北503实验室;
设备终端的硬件类型为:签到机;
设备终端的硬件部署时间为:2020年8月24日星期一(为当前时间);
并且存储到服务器中的第二设备数据包括:
设备终端的位置为:A市B区C大学D楼北512机房;
设备终端的硬件类型为:签到机;
设备终端的硬件部署时间为:2020年7月24日星期五;
此时,设备终端可以将修改请求发送给服务器;使得服务器确定需要修改对应的存储到服务器中的第二设备数据,随后,服务器根据设备终端获取得到与设备终端对应的公钥,并根据当前的第二设备数据对存储到服务器中的与公钥呈映射关系的第二设备数据进行更新,因此更新后的存储的存储后的公钥和与公钥对应的第二设备数据中的位置、硬件类型和部署时间如下表2所示:
表2
进一步地,在上述实施例中,第一设备数据包括:
时间数据;或
时间数据和设备终端的外部环境数据;
进一步地,在上述实施例中,步骤S1具体包括以下步骤:
步骤S11,启动设备终端;
步骤S12,设备终端判断能否采集外部环境数据;
若能,设备终端采集外部环境数据,并得到采集外部环境数据对应的时间数据,并计算得到时间数据和外部环境数据对应的第一数据摘要;
若否,得到时间数据,并计算得到时间数据对应的第一数据摘要;
步骤S13,采用预设算法对第一数据摘要进行处理,以生成公钥和私钥。
在上述实施例中,在步骤S11之前可以组装或安装想要纳入数字身份体系的设备终端;
随后,启动设备终端;
接着,判断设备终端能否采集外部环境数据;
当设备终端能采集外部环境数据时,设备终端可以采集外部环境数据,并得到采集外部环境数据对应的时间数据,并计算得到时间数据和外部环境数据对应的第一数据摘要;
当设备终端不能采集外部环境数据时,设备终端直接得到时间数据,并计算得到时间数据对应的第一数据摘要;
然后,采用预设算法对第一数据摘要进行处理,以生成公钥和私钥;
最后,设备终端将生成的公钥发送给服务器。
例如,采集外部环境数据对应的时间数据可以为:采集到外部环境数据时的时间数据;
例如,采集外部环境数据对应的时间数据可以为:将要采集外部环境数据时的时间数据,即采集到外部环境数据前的时间数据;
例如,采集外部环境数据对应的时间数据可以为:采集外部环境数据后的时间数据。
例如,当设备终端不能采集外部环境数据时,设备终端直接得到的时间数据为设备终端开机的时间。
作为优选的实施方式,当设备终端可以接收外部环境数据时,设备终端采集到的外部环境包括:当前输入电压为219.87V,当前输入电流频率为49.9HZ;因此,设备终端采集到的外部环境数据为21987499;
此时,采集到外部环境数据时的当前时间为2020年06月15日10点34分28秒,因此采集外部环境数据对应的时间数据为:20200615103428;
接着,将设备终端采集到的外部环境数据和采集外部环境数据对应的时间数据进行组合,获取得到第一设备数据;
其中,此时设备终端获取得到的第一设备数据为:2020061510342821987499;
随后,使用通用的MD5(32位)摘要算法计算上述第一设备数据(即2020061510342821987499)的摘要后得到的第一数据摘要为:fe55142670dd6015db04291ba5b48557;
然后,将上述第一数据摘要(即fe55142670dd6015db04291ba5b48557)作为RSA算法(512位)的私钥密码,以生成公钥和私钥;
其中,公钥可以为:
MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBALs/lgVkXNMEk9KB+B/Xx3chlvL8ArRTQDMoarIQJgEyff+TKwa9UhtYi0UNjwHVRTa+SbLbFP6GtakooHFHU1cCAwEAAQ==;
私钥可以为:
MIIBgTAbBgkqhkiG9w0BBQMwDgQIOd9Z5W8fQK8CAggABIIBYJrGbgIrYgsPhKzOGSFLzke4i4cytmZfeo2prXn0WeXUM7Dp9d93KluVt3pIuKfGqUoXyIqgIfLs9wa96eOMCYlSWue7Beq/PJSjjZi5LgU9tqBsP1ajo6HtUjD+V9ZkWbwvFnZbcSnhR51rhYHaZh8R71vLAWe/XVtCq63h94gQCBXXbPuSi8ySumXUcAJaH/CiSa2Zo6JcjtsdQTQBnmrT2gSlhrKd7HmeDCvhJUaajmZzzhb3vDFM1m1lFxBy8Hn/sa18oVKnxdGtlLhihhQtS+7PgbQVI6FJ5Rv3fYI2RhaG+2KQ5WVUfNAxVVbtOibI8wT2vr1eMvtaADvPeOEKS25BrSlA3DgupT+BZ3we2IJx9bAVS2+7/VHZSYmizq7cRV1VDFYVnoIvc6WJTk1GBwi2JU4lHk3Q0hCjUr64GEEmugMfe625sDMCw5JR0wBnx3ZrljzGBaKeVUpD9AI=;
通过上述步骤生成了设备终端的数字身份;
最后,可以将公钥和私钥发送至第一存储介质中保存;并且将公钥发送给服务器。
其中,第一存储介质可以为本地存储器。
在上述优选的实施方式中,可以执行步骤S2;
其中,在设备终端获取第一设备数据的同时或获取第一设备数据之前或获取第一设备数据之后,设备终端获取运行中产生的运行数据;
运行数据可以包括:
运行时间和运行信息;
例如,当运行时间为:2020年07月24日17:08:21,运行信息为:学号2013080057已签到时,运行数据为:2020年07月24日17:08:21学号2013080057已签到;
并将上述运行数据作为输入使用MD5(32位)算法计算对应的第二数据摘要,此时的第二数据摘要为:87b11604e4ed5348e1feaa8c8c4c7391;
接着,设备终端将第二数据摘要(87b11604e4ed5348e1feaa8c8c4c7391),私钥密码(即第一数据摘要:fe55142670dd6015db04291ba5b48557)和私钥作为签名算法(加密部分)的输入进行加密计算并得出签名数据,此时的签名数据为:
ZcGn7QCir/2LCgE/toSILeydN6rTY4zLpMM6KA5RWWm6JjcBhytLibHGrD9c8sxw0J0TEwqXXiots5g5AI8/oQ==;
设备终端将运行数据和签名数据发送给服务器,使得服务器将运行数据和签名数据存储到对应的第二存储介质中。
在上述优选的实施方式中,可以执行步骤S3;
服务器将运行数据(运行数据可以为:2020年07月24日17:08:21学号2013080057已签到)作为摘要算法的输入进行计算,以得到对应的第三数据摘要,此时的第三数据摘要为:87b11604e4ed5348e1feaa8c8c4c7391;
接着,服务器将公钥和签名数据作为签名算法(解密部分)的输入进行解密计算并获得相应的第四数据摘要;
其中,此时的公钥为:
MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBALs/lgVkXNMEk9KB+B/Xx3chlvL8ArRTQDMoarIQJgEyff+TKwa9UhtYi0UNjwHVRTa+SbLbFP6GtakooHFHU1cCAwEAAQ==;
签名数据为:
ZcGn7QCir/2LCgE/toSILeydN6rTY4zLpMM6KA5RWWm6JjcBhytLibHGrD9c8sxw0J0TEwqXXiots5g5AI8/oQ==;
计算得到的第四数据摘要为:87b11604e4ed5348e1feaa8c8c4c7391;
然后,服务器验证第三数据摘要是否与第四数据摘要的内容一致;
由于,此时的第三数据摘要与第四数据摘要的内容一致,因此此时的运行数据是由公钥对应的设备终端所生成的;
若第三数据摘要与第四数据摘要的内容不一致时,此时的运行数据不是由公钥对应的设备终端所生成的。
在上述实施例中,设备终端可以通过其他设备终端和/或无线模块与服务器连接;
其中,无线模块可以为WI-FI,蓝牙等;
例如,在设备终端自身显示公钥对应的二维码后可以由其他设备终端扫码后通过蓝牙或Wi-Fi传至其他设备终端后上传至服务器中。
进一步地,在上述实施例中,还包括:
服务器将接收到的公钥、运行数据、签名数据存储到对应的第二存储介质中。
还包括一种数字身份创建系统,如图3所示,包括设备终端1和服务器2,设备终端1和服务器2连接;
设备终端1用于获取第一设备数据,并计算得到第一设备数据对应的第一数据摘要,以及对第一数据摘要进行处理,以生成公钥和私钥,设备终端1将公钥发送给服务器2;
设备终端1还用于获取运行数据,并计算得到运行数据对应的第二数据摘要,以及根据私钥对第二数据摘要进行数字签名,以生成签名数据,将运行数据和签名数据发送给服务器2;
服务器2用于对运行数据进行计算,以得到对应的第三数据摘要;
服务器2还用于根据公钥对签名数据进行解密,以得到第四数据摘要;
服务器2还用于验证第三数据摘要是否与第四数据摘要的内容一致。
在上述实施例中,设备终端1根据自身的第一设备数据获取得到公钥和私钥,即设备终端1根据自身的第一设备数据生成自身的数字身份,随后服务器2通过来验证设备终端1的合法性,从而实现在不对公众公开并且运行数据可正常生成和使用的情况下保证所生成和使用的运行数据是由与之对应的设备终端1生成的,从而保证运行数据的难以伪造和篡改。
在上述实施例中,设备终端1可以为智能音箱、智能空调、智能烟雾报警器、智能门锁、智能插座和智能签到机等设备。
可以理解的是,若第三数据摘要是否与第四数据摘要的内容一致,则说明设备终端1的身份合法。
在上述实施例中,设备终端1可以采用智能硬件技术,而智能硬件技术即向传统设备和结构中植入芯片、电源、天线等模块,实现传统设备能够独立进行部分或完全的计算和存储,实现与外界的其他系统或人员进行交互;
在上述实施例中,设备终端1采用非对称加密技术生成公钥和私钥,即当用公钥对数据进行加密,只有用对应的私钥才能解密。当用私钥对数据进行加密,则同理只能用对应的公钥才能解密。
本发明数字身份构建系统的具体实施方式与上述数字身份构建方法各实施例基本相同,在此不再赘述。
还包括一种数字身份的管理设备,如图4所示,包括存储器3和处理器4,存储器3上保存有可在处理器4上运行的数字身份创建程序5,数字身份创建程序5被处理器执行时实现上述任一项的数字身份创建方法。
本发明数字身份的管理设备的具体实施方式与上述数字身份构建方法各实施例基本相同,在此不再赘述。
还包括一种计算机可读存储介质,计算机可读存储介质上保存有可在处理器上运行的数字身份创建程序,数字身份创建程序被处理器执行时实现上述任一项的数字身份创建方法。
本发明计算机可读存储介质的具体实施方式与上述数字身份构建方法各实施例基本相同,在此不再赘述。
以上仅为本发明较佳的实施例,并非因此限制本发明的实施方式及保护范围,对于本领域技术人员而言,应当能够意识到凡运用本发明说明书及图示内容所作出的等同替换和显而易见的变化所得到的方案,均应当包含在本发明的保护范围内。
Claims (10)
1.一种数字身份构建方法,所述方法适用于设备终端,其特征在于,包括以下步骤:
获取第一设备数据并计算得到所述第一设备数据对应的第一数据摘要,以及对所述第一数据摘要进行处理,生成公钥和私钥;
获取运行数据,并计算得到所述运行数据对应的第二数据摘要,以及根据所述私钥对所述第二数据摘要进行数字签名,以生成签名数据;
将所述公钥、所述运行数据和所述签名数据发送给服务器对设备终端的身份进行验证。
2.如权利要求1所述的数字身份构建方法,其特征在于,所述将所述公钥、所述运行数据和所述签名数据发送给服务器对设备终端的身份进行验证包括:
将所述公钥、所述运行数据和所述签名数据发送给服务器,以供服务器对所述运行数据进行计算,以得到对应的第三数据摘要;以供服务器根据所述公钥对所述签名数据进行解密,以得到第四数据摘要;以供服务器验证所述第三数据摘要是否与所述第四数据摘要的内容一致;
当所述第三数据摘要与所述第四数据摘要的内容一致时,确定设备终端通过身份验证;
当所述第三数据摘要与所述第四数据摘要的内容不一致时,确定设备终端未通过身份验证。
3.如权利要求1所述的数字身份构建方法,其特征在于,还包括:
获取第二设备数据,并将所述第二设备数据发送至所述服务器,使得所述服务器判断是否要将所述公钥和所述第二设备数据进行绑定;
当要将所述公钥和所述第二设备数据进行绑定时,服务器将所述公钥和与所述公钥对应的所述第二设备数据进行存储,并且存储后的所述公钥和与所述公钥对应的所述第二设备数据呈映射关系。
4.如权利要求3所述的数字身份构建方法,其特征在于,还包括:
当设备终端获取的当前的所述第二设备数据发生变化时,将当前的所述第二设备数据和对应的所述公钥至服务器,使得服务器根据当前的所述第二设备数据对存储到服务器中的与所述公钥呈映射关系的所述第二设备数据进行更新。
5.如权利要求3所述的数字身份构建方法,其特征在于,第一设备数据包括:
时间数据;或
时间数据和外部环境数据;
所述第二设备数据至少包括:
设备终端的位置;
设备终端的硬件类型;
设备终端的硬件部署时间。
6.如权利要求5所述的数字身份构建方法,其特征在于,所述获取第一设备数据并计算得到所述第一设备数据对应的第一数据摘要,以及对所述第一数据摘要进行处理,生成公钥和私钥,包括:
判断能否采集所述外部环境数据;
若能,采集所述外部环境数据,并得到采集所述外部环境数据对应的所述时间数据,并计算得到所述时间数据和所述外部环境数据对应的所述第一数据摘要;
若否,得到所述时间数据,并计算得到所述时间数据对应的所述第一数据摘要;
采用预设算法对所述第一数据摘要进行处理,以生成所述公钥和所述私钥。
7.如权利要求1-6任意一项所述的数字身份构建方法,其特征在于,还包括:
将所述公钥和所述私钥发送至第一存储介质中保存;和/或
服务器将接收到的所述公钥、所述运行数据、所述签名数据存储到对应的第二存储介质中。
8.一种数字身份创建系统,其特征在于,包括设备终端和服务器,设备终端和服务器连接;
设备终端用于获取第一设备数据,并计算得到所述第一设备数据对应的第一数据摘要,以及对所述第一数据摘要进行处理,以生成公钥和私钥,设备终端将所述公钥发送给服务器;
设备终端还用于获取运行数据,并计算得到所述运行数据对应的第二数据摘要,以及根据所述私钥对所述第二数据摘要进行数字签名,以生成签名数据,将所述运行数据和所述签名数据发送给服务器;
服务器用于对所述运行数据进行计算,以得到对应的第三数据摘要;
服务器还用于根据所述公钥对所述签名数据进行解密,以得到第四数据摘要;
服务器还用于验证所述第三数据摘要是否与所述第四数据摘要的内容一致。
9.一种数字身份的管理设备,其特征在于,包括存储器和处理器,所述存储器上保存有可在所述处理器上运行的数字身份创建程序,所述数字身份创建程序被所述处理器执行时实现如权利要求1至7中任一项所述的数字身份创建方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上保存有可在处理器上运行的数字身份创建程序,所述数字身份创建程序被所述处理器执行时实现如权利要求1至7中任一项所述的数字身份创建方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011443478.3A CN112583587B (zh) | 2020-12-11 | 2020-12-11 | 一种数字身份构建方法、系统、管理设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011443478.3A CN112583587B (zh) | 2020-12-11 | 2020-12-11 | 一种数字身份构建方法、系统、管理设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112583587A true CN112583587A (zh) | 2021-03-30 |
CN112583587B CN112583587B (zh) | 2022-11-01 |
Family
ID=75130813
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011443478.3A Active CN112583587B (zh) | 2020-12-11 | 2020-12-11 | 一种数字身份构建方法、系统、管理设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112583587B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101311950A (zh) * | 2007-05-25 | 2008-11-26 | 北京书生国际信息技术有限公司 | 一种电子印章的实现方法和装置 |
US20140304512A1 (en) * | 2013-03-14 | 2014-10-09 | Sergei Pronin | Method and system for authenticating and preserving data within a secure data repository |
CN106022035A (zh) * | 2016-05-03 | 2016-10-12 | 识益生物科技(北京)有限公司 | 一种电子签章方法及系统 |
US20170140141A1 (en) * | 2015-11-16 | 2017-05-18 | Personnus | System for identity verification |
CN109660350A (zh) * | 2018-10-31 | 2019-04-19 | 阿里巴巴集团控股有限公司 | 基于区块链的数据存证方法及装置、电子设备 |
-
2020
- 2020-12-11 CN CN202011443478.3A patent/CN112583587B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101311950A (zh) * | 2007-05-25 | 2008-11-26 | 北京书生国际信息技术有限公司 | 一种电子印章的实现方法和装置 |
US20140304512A1 (en) * | 2013-03-14 | 2014-10-09 | Sergei Pronin | Method and system for authenticating and preserving data within a secure data repository |
US20170140141A1 (en) * | 2015-11-16 | 2017-05-18 | Personnus | System for identity verification |
CN106022035A (zh) * | 2016-05-03 | 2016-10-12 | 识益生物科技(北京)有限公司 | 一种电子签章方法及系统 |
CN109660350A (zh) * | 2018-10-31 | 2019-04-19 | 阿里巴巴集团控股有限公司 | 基于区块链的数据存证方法及装置、电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN112583587B (zh) | 2022-11-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109862041B (zh) | 一种数字身份认证方法、设备、装置、系统及存储介质 | |
JP3905961B2 (ja) | 臨時署名認証の方法及びそのシステム | |
JP6154413B2 (ja) | ルート証明書の無効化 | |
US7051204B2 (en) | Methods and system for providing a public key fingerprint list in a PK system | |
JP5576985B2 (ja) | 署名に用いる暗号アルゴリズムの決定方法、検証サーバおよびプログラム | |
CN108924147B (zh) | 通信终端数字证书签发的方法、服务器以及通信终端 | |
US11082214B2 (en) | Key generation apparatus and key update method | |
US20080086633A1 (en) | Method to handle ssl certificate expiration and renewal | |
JP2003244139A (ja) | 電子文書に対するタイムスタンプ押印システム、及び、そのプログラム媒体 | |
US20210249145A1 (en) | Information communication device, authentication program for information communication device, and authentication method | |
WO2010044056A2 (en) | Method and apparatus for pseudonym generation and authentication | |
CN109815747B (zh) | 基于区块链的离线审计方法、电子装置及可读存储介质 | |
SE0002962D0 (sv) | Securing Arbitrary communication services | |
EP2608477A1 (en) | Trusted certificate authority to create certificates based on capabilities of processes | |
KR20120053929A (ko) | 전자서명키 이중 암호화를 이용한 전자서명 대행 시스템과 웹 저장소에 저장을 특징으로 하는 그 방법 | |
CN102045335B (zh) | 终端设备、签名生成服务器、简单标识管理系统以及方法 | |
EP1938505A1 (en) | Method, apparatus and system for generating a digital signature linked to a biometric identifier | |
JP5223860B2 (ja) | 時刻情報配信システム、時刻配信局、端末、時刻情報配信方法及びプログラム | |
JP2003115840A (ja) | 証明書失効リスト交換方法、システム及びサーバ装置 | |
JP2009212689A (ja) | 共通鍵自動配布システム、クライアント、第三者認証機関側サーバ、及び共通鍵自動共有方法 | |
CN112583587B (zh) | 一种数字身份构建方法、系统、管理设备及存储介质 | |
JP4091438B2 (ja) | 小型デバイスにおける暗号署名 | |
CN117203934A (zh) | 具有基于信任根的安全性的加密且认证的固件供应 | |
CN114329534A (zh) | 权限确定方法、装置、计算机设备和计算机可读存储介质 | |
JP2007019712A (ja) | 携帯端末装置および属性情報交換システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |