CN112615840B - 嵌入式设备准入认证方法及系统 - Google Patents
嵌入式设备准入认证方法及系统 Download PDFInfo
- Publication number
- CN112615840B CN112615840B CN202011457726.XA CN202011457726A CN112615840B CN 112615840 B CN112615840 B CN 112615840B CN 202011457726 A CN202011457726 A CN 202011457726A CN 112615840 B CN112615840 B CN 112615840B
- Authority
- CN
- China
- Prior art keywords
- private key
- challenge message
- authenticated
- mac address
- embedded
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 47
- 238000004590 computer program Methods 0.000 claims description 9
- 238000012795 verification Methods 0.000 claims description 9
- 238000012544 monitoring process Methods 0.000 claims description 4
- 230000008676 import Effects 0.000 abstract 1
- 238000004891 communication Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000002452 interceptive effect Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供一种嵌入式设备准入认证方法及系统,该方法包括:待认证嵌入式设备接收交换机发送的加密的挑战报文,使用待认证嵌入式设备的MAC地址对应的私钥对加密的挑战报文进行解密;其中,私钥由PC端根据MAC地址返回;将解密后的挑战报文发送给交换机,以供交换机根据解密后的挑战报文对待认证嵌入式设备进行准入认证。本发明一方面可以提高对待认证嵌入式设备的安全准入认证;另一方面,根据MAC地址可以自动获取PC端返回的私钥,并存储在密码芯片中,可以永久存储该私钥,每个设备终身仅需导入一次对应的私钥,不仅可以节约认证客户端软件的存储空间,还可以减少因生成私钥所需的运算,提高准入认证的效率。
Description
技术领域
本发明涉及通信安全技术领域,尤其涉及一种嵌入式设备准入认证方法及系统。
背景技术
嵌入式设备在与交换机通讯时大部分都无准入认证功能或采取简单的MAC(MediaAccess Control,基于媒体访问控制)地址进行简单地准入认证。由于MAC地址被修改或仿冒的情况下,很难分辨接入设备的真伪,导致嵌入式设备在具有保密性质的场合下,安全性低。
目前,PC(Personal Computer,个人电脑)端与交换机通讯时,采用基于AAP协议的准入认证方法。该准入认证方法通过在PC端安装一个准入认证客户端,用于负责PC端的私钥存储、网络通讯、解密处理等。通过准入认证客户端与存储有PC端的公钥的交换机进行准入认证报文的交互,可以实现对PC端的准入认证。
但是,在PC端安装准入认证客户端需要较大的存储空间、运行内存空间和较大的运算能力。而嵌入式设备的存储空间小、运行内存空间小。若将这种准入认证方法应用于嵌入式设备,不仅准入认证效率低,且很容易超出嵌入式设备的存储空间或运行内存空间,无法实现对嵌入式设备的准入认证。
发明内容
本发明提供一种嵌入式设备准入认证方法及系统,用以解决现有技术中准入认证效率低,且很容易超出嵌入式设备的存储空间或运行内存空间,无法实现对嵌入式设备的准入认证的缺陷,实现提高对嵌入式设备进行准入认证的效率。
本发明提供一种嵌入式设备准入认证方法,包括:
待认证嵌入式设备接收交换机发送的加密的挑战报文,使用所述待认证嵌入式设备的MAC地址对应的私钥对所述加密的挑战报文进行解密;其中,所述私钥由PC端根据所述MAC地址返回;
将解密后的所述挑战报文发送给所述交换机,以供所述交换机根据解密后的所述挑战报文对所述待认证嵌入式设备进行准入认证。
根据本发明提供的一种嵌入式设备准入认证方法,所述使用所述待认证嵌入式设备的MAC地址对应的私钥对所述加密的挑战报文进行解密,包括:
若所述私钥在所述待认证嵌入式设备的解密芯片中不存在,则向所述PC端发送所述MAC地址;
接收所述PC端根据所述MAC地址返回的所述私钥,并将所述私钥写入所述解密芯片中;
使用所述解密芯片中的私钥对所述加密的挑战报文进行解密。
根据本发明提供的一种嵌入式设备准入认证方法,所述私钥通过从所述PC端上的私钥文件中查找获取;其中,所述私钥文件中预先存储有所述MAC地址与所述私钥之间的关联关系。
根据本发明提供的一种嵌入式设备准入认证方法,所述待认证嵌入式设备接收交换机发送的加密的挑战报文,使用所述待认证嵌入式设备的MAC地址对应的私钥对所述加密的挑战报文进行解密,包括:
对所述交换机进行监听,获取所述交换机发送的加密的挑战报文;
将所述加密的挑战报文通过所述解密芯片的SPI驱动发送至所述解密芯片;
根据所述解密芯片中的私钥对所述解密芯片中加密的挑战报文进行解密。
根据本发明提供的一种嵌入式设备准入认证方法,所述使用所述待认证嵌入式设备的MAC地址对应的私钥对所述加密的挑战报文进行解密,包括:
验证所述加密的挑战报文发送的目标MAC地址是否为所述待认证嵌入式设备的MAC地址;
若是,则对所述加密的挑战报文进行载荷校验;
若所述加密的挑战报文通过载荷校验,则使用所述私钥对所述加密的挑战报文进行解密。
本发明还提供一种嵌入式设备准入认证系统,包括:
解密模块,用于待认证嵌入式设备接收交换机发送的加密的挑战报文,使用所述待认证嵌入式设备的MAC地址对应的私钥对所述加密的挑战报文进行解密;
其中,所述私钥由PC端根据所述MAC地址返回;
发送模块,用于将解密后的所述挑战报文发送给所述交换机,以供所述交换机根据解密后的所述挑战报文对所述待认证嵌入式设备进行准入认证。
根据本发明提供的一种嵌入式设备准入认证系统,所述解密模块具体为:
若所述私钥在所述待认证嵌入式设备的解密芯片中不存在,则向所述PC端发送所述MAC地址;
接收所述PC端根据所述MAC地址返回的所述私钥,并将所述私钥写入所述解密芯片中;
使用所述解密芯片中的私钥对所述加密的挑战报文进行解密。
根据本发明提供的一种嵌入式设备准入认证系统,所述私钥通过从所述PC端上的私钥文件中查找获取;其中,所述私钥文件中预先存储有所述MAC地址与所述私钥之间的关联关系。
本发明还提供一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述任一种所述嵌入式设备准入认证方法的步骤。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述嵌入式设备准入认证方法的步骤。
本发明提供的嵌入式设备准入认证方法及系统,通过根据待认证嵌入式设备的MAC地址,可以快速获取到MAC地址对应的私钥,根据私钥对交换机发送的加密的挑战报文进行解密,并将解密后的挑战报文反馈给交换机,一方面可以提高对待认证嵌入式设备的安全准入认证;另一方面,根据MAC地址可以自动获取PC端返回的私钥,不仅可以节约存储空间,还可以减少因生成私钥所需的运算,提高准入认证的效率。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的嵌入式设备准入认证方法的流程示意图;
图2是本发明提供的嵌入式设备准入认证方法中待认证嵌入式设备软件和硬件分布的结构示意图;
图3是本发明提供的嵌入式设备准入认证方法中嵌入式设备、交换机和PC端的结构示意图;
图4是本发明提供的嵌入式设备准入认证方法中时序的结构示意图;
图5是本发明提供的嵌入式设备准入认证方法完整的流程示意图;
图6是本发明提供的嵌入式设备准入认证系统的结构示意图;
图7是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合图1描述本发明的嵌入式设备准入认证方法,包括:步骤101,待认证嵌入式设备接收交换机发送的加密的挑战报文,使用所述待认证嵌入式设备的MAC地址对应的私钥对所述加密的挑战报文进行解密;其中,所述私钥由PC端根据所述MAC地址返回;
其中,待认证嵌入式设备可以是打印机或摄像头等,本实施例不限于待认证嵌入式设备的类型。其中,待认证嵌入式设备内嵌认证客户端。如图2和图3所示,认证客户端包括认证客户端硬件和认证客户端软件。且认证客户端的硬件和软件独立嵌入待认证嵌入式设备中。其中,认证客户端硬件包括国密芯片。认证客户端软件包括网络通信模块、加解密模块、MAC匹配模块、私钥写入模块和命令行界面。认证客户端软件通过网口与交换机进行连接,并在需要导入私钥时通过串口与PC端连接。
交换机在将挑战报文发送出去之前,可以根据挑战报文发送的目的MAC地址对应的公钥对挑战报文进行加密,保证挑战报文的安全传输。即,向待认证嵌入式设备发送挑战报文前,可以使用待认证嵌入式设备的MAC地址对应的公钥对挑战报文进行加密。其中,任一MAC地址对应的公钥和私钥可以基于加密算法成对生成,可以是SM2算法等,本实施例对加密算法不作限定。其中,SM2算法是一种椭圆曲线公钥密码算法。
在正常情况下,待认证嵌入式设备中需要写入一次私钥。因此,任一待认证嵌入式设备内部可能已经写入私钥,也可能未写入私钥。可以在待认证嵌入式设备接收到交换机发送的加密的挑战报文之前或之后,根据MAC地址在待认证嵌入式设备中查找对应的私钥。若查找到私钥,则使用私钥对加密的挑战报文进行解密;若未查找到私钥,则将PC端根据MAC地址返回的私钥写入待认证嵌入式设备中。
通过将各MAC地址对应的私钥存储在PC端,不仅可以节约待认证嵌入式设备的存储空间,还可以减少因生成私钥所需的运算。此外,待认证嵌入式设备通常不具有便于用户操作的交互设备,如,屏幕、键盘和鼠标等。而本实施例中将待认证嵌入式设备与PC端通过串口连接。通过在PC端进行操作,可以实现对待认证嵌入式设备的控制。此外,PC端设置有日志导出功能,用于将待认证嵌入式设备内的日志导出为文本文件,便于对待认证嵌入式设备进行维护。
步骤102,将解密后的所述挑战报文发送给所述交换机,以供所述交换机根据解密后的所述挑战报文对所述待认证嵌入式设备进行准入认证。
具体地,待认证嵌入式设备与网络进行通信时,需要先与交换机进行准入认证。其中,交换机中内嵌准入认证模块。当交换机接收到待认证嵌入式设备发送的解密的挑战报文时,可以采用准入认证模块对解密的挑战报文进行认证。若准入认证模块认证成功,则表明待认证嵌入式设备通过认证。待认证嵌入式设备通过认证,则交换机开启待认证嵌入式设备与网络的连接通路,待认证嵌入式设备可正常与网络进行通信。通过这种准入认证的方式,可以实现交换机与待认证嵌入式设备的一对一准入认证,提高嵌入式设备与网络通信的安全性。
本实施例根据待认证嵌入式设备的MAC地址,可以快速获取到MAC地址对应的私钥,根据私钥对交换机发送的加密的挑战报文进行解密,并将解密后的挑战报文反馈给交换机,一方面可以提高对待认证嵌入式设备的安全准入认证;另一方面,根据MAC地址可以自动获取PC端返回的私钥,不仅可以节约存储空间,还可以减少因生成私钥所需的运算,提高准入认证的效率。
在上述实施例的基础上,本实施例中所述使用所述待认证嵌入式设备的MAC地址对应的私钥对所述加密的挑战报文进行解密,包括若所述私钥在所述待认证嵌入式设备的解密芯片中不存在,则向所述PC端发送所述MAC地址;接收所述PC端根据所述MAC地址返回的所述私钥,并将所述私钥写入所述解密芯片中;使用所述解密芯片中的私钥对所述加密的挑战报文进行解密。
其中,解密芯片为嵌入有加解密算法的国密芯片。解密芯片不仅可以实现解密功能,还可以对私钥进行存储。认证客户端软件可以通过SPI(Serial Peripheralinterface,串行外围设备接口)驱动与解密芯片进行通信。因此,认证客户端软件可以将私钥写入解密芯片中,也可以将加密的挑战报文发送到解密芯片中进行解密。解密芯片中可能存储有MAC地址对应的私钥,也可能为空。
对加密的挑战报文进行解密之前,待认证嵌入式设备的私钥写入模块根据MAC地址,判断解密芯片中是否存在MAC地址对应的私钥。若不存在,则私钥写入模块通过串口驱动向PC端的私钥写入模块发送MAC地址和索要私钥的请求。PC端的私钥写入模块根据MAC地址获取到私钥,并通过串口将私钥返回待认证嵌入式设备的私钥写入模块。待认证嵌入式设备的私钥写入模块可以通过SPI驱动将私钥写入解密芯片中。
通过这种方式,可以实现对待认证嵌入式设备进行一对一的私钥写入和存储。对待认证嵌入式设备进行出厂设置或私钥更新时,也可以通过这种方式将私钥写入解密芯片中。其中,私钥更新时,需要将嵌入式设备内的配置文件中私钥的状态标记归零,然后将PC端返回的私钥写入解密芯片中。
在上述实施例的基础上,本实施例中所述私钥通过从所述PC端上的私钥文件中查找获取;其中,所述私钥文件中预先存储有所述MAC地址与所述私钥之间的关联关系。
如图4所示,当PC端的私钥写入模块接收到任一待认证嵌入式设备发送的MAC地址和索要私钥的请求时,PC端的MAC匹配模块遍历私钥文件中的私钥,判断该MAC地址对应的私钥是否存在。若不存在,则在PC端提示该MAC地址对应的私钥不存在;若存在,则获取该MAC地址对应的私钥,并将私钥返回待认证嵌入式设备。
其中,PC端的私钥文件构建的步骤包括:根据MAC匹配模块获取每个嵌入式设备的MAC地址;然后基于加密算法生成MAC地址对应的私钥,将每个嵌入式设备的MAC地址对应的私钥以一定的规则存储在文件中,构建私钥文件。私钥文件可以对不同批次的待认证嵌入式设备的MAC地址对应的私钥进行管理。
在上述实施例的基础上,本实施例中所述待认证嵌入式设备接收交换机发送的加密的挑战报文,使用所述待认证嵌入式设备的MAC地址对应的私钥对所述加密的挑战报文进行解密,包括:对所述交换机进行监听,获取所述交换机发送的加密的挑战报文;将所述加密的挑战报文通过所述解密芯片的SPI驱动发送至所述解密芯片;根据所述解密芯片中的私钥对所述解密芯片中加密的挑战报文进行解密。
具体地,待认证嵌入式设备的网络通信模块可以通过持续监听的方式,并根据网络通信的三元组实时获取交换机发送的加密的挑战报文。其中,网络通信的三元组包括源MAC地址、目的MAC地址和协议类型。如图3所示,当网络通信模块通过网口接收到交换机发送的加密的挑战报文时,可以将加密的挑战报文传输到加解密模块。加解密模块通过SPI驱动将加密的挑战报文传输到解密芯片中,可以根据解密芯片内部存储的私钥对加密的挑战报文进行解密,以保证挑战报文传输的安全性。
在上述实施例的基础上,本实施例中所述使用所述待认证嵌入式设备的MAC地址对应的私钥对所述加密的挑战报文进行解密,包括:验证所述加密的挑战报文发送的目标MAC地址是否为所述待认证嵌入式设备的MAC地址;若是,则对所述加密的挑战报文进行载荷校验;若所述加密的挑战报文通过载荷校验,则使用所述私钥对所述加密的挑战报文进行解密。
具体地,为了确保待认证嵌入式设备获取到有效的加密的挑战报文,可以对加密的挑战报文进行校验。如图5所示,先对加密的挑战报文发送的目标MAC地址进行验证,判断目标MAC地址和待认证嵌入式设备的MAC地址是否一致。若MAC地址不一致,则丢弃该加密的挑战报文;若MAC地址一致,则对加密的挑战报文进行载荷校验。若载荷校验未通过,则将校验结果显示在PC端,并丢弃该加密的挑战报文;若载荷检验通过,则使用加密芯片中的私钥对加密的挑战报文进行解密。
下面对本发明提供的嵌入式设备准入认证系统进行描述,下文描述的嵌入式设备准入认证系统与上文描述的嵌入式设备准入认证方法可相互对应参照。
如图6所示,本实施例提供的一种嵌入式设备准入认证系统,包括解密模块601和发送模块602,其中:
解密模块601用于待认证嵌入式设备接收交换机发送的加密的挑战报文,使用所述待认证嵌入式设备的MAC地址对应的私钥对所述加密的挑战报文进行解密;其中,所述私钥由PC端根据所述MAC地址返回;
其中,待认证嵌入式设备可以是打印机或摄像头等,本实施例不限于待认证嵌入式设备的类型。其中,待认证嵌入式设备内嵌认证客户端。如图2所示,认证客户端包括认证客户端硬件和认证客户端软件。其中认证客户端硬件包括解密芯片。认证客户端软件通过网口与交换机进行连接,并在需要导入私钥时通过串口与PC端连接。
交换机在将挑战报文发送出去之前,可以根据挑战报文发送的目的MAC地址对应的公钥对挑战报文进行加密,保证挑战报文的安全传输。即,向待认证嵌入式设备发送挑战报文前,可以使用待认证嵌入式设备的MAC地址对应的公钥对挑战报文进行加密。其中,任一MAC地址对应的公钥和私钥可以基于加密算法成对生成,可以是SM2算法等,本实施例对加密算法不作限定。
在正常情况下,待认证嵌入式设备中需要写入一次私钥。因此,任一待认证嵌入式设备内部可能已经写入私钥,也可能未写入私钥。可以在待认证嵌入式设备接收到交换机发送的加密的挑战报文之前或之后,根据MAC地址在待认证嵌入式设备中查找对应的私钥。若查找到私钥,则使用私钥对加密的挑战报文进行解密;若未查找到私钥,则将PC端根据MAC地址返回的私钥写入待认证嵌入式设备中。
通过将各MAC地址对应的私钥存储在PC端,不仅可以节约待认证嵌入式设备的存储空间,还可以减少因生成私钥所需的运算。此外,待认证嵌入式设备通常不具有便于用户操作的交互设备。而本实施例中将待认证嵌入式设备与PC端通过串口连接。通过在PC端进行操作,可以实现对待认证嵌入式设备的控制。此外,PC端设置有日志导出功能,用于将待认证嵌入式设备内的日志导出为文本文件,便于对待认证嵌入式设备进行维护。
发送模块602用于将解密后的所述挑战报文发送给所述交换机,以供所述交换机根据解密后的所述挑战报文对所述待认证嵌入式设备进行准入认证。
具体地,待认证嵌入式设备与网络进行通信时,需要先与交换机进行准入认证。其中,交换机中内嵌准入认证模块。当交换机接收到待认证嵌入式设备发送的解密的挑战报文时,可以采用准入认证模块对解密的挑战报文进行认证。若准入认证模块认证成功,则表明待认证嵌入式设备通过认证。待认证嵌入式设备通过认证,则交换机开启待认证嵌入式设备与网络的连接通路,待认证嵌入式设备可正常与网络进行通信。通过这种准入认证的方式,可以实现交换机与待认证嵌入式设备的一对一准入认证,提高嵌入式设备与网络通信的安全性。
本实施例根据待认证嵌入式设备的MAC地址,可以快速获取到MAC地址对应的私钥,根据私钥对交换机发送的加密的挑战报文进行解密,并将解密后的挑战报文反馈给交换机,一方面可以提高对待认证嵌入式设备的安全准入认证;另一方面,根据MAC地址可以自动获取PC端返回的私钥,不仅可以节约存储空间,还可以减少因生成私钥所需的运算,提高准入认证的效率。
在上述实施例的基础上,本实施例中解密模块具体用于:若所述私钥在所述待认证嵌入式设备的解密芯片中不存在,则向所述PC端发送所述MAC地址;接收所述PC端根据所述MAC地址返回的所述私钥,并将所述私钥写入所述解密芯片中;使用所述解密芯片中的私钥对所述加密的挑战报文进行解密。
在上述实施例的基础上,本实施例中所述私钥通过从所述PC端上的私钥文件中查找获取;其中,所述私钥文件中预先存储有所述MAC地址与所述私钥之间的关联关系。
在上述实施例的基础上,本实施例中解密模块,还用于对所述交换机进行监听,获取所述交换机发送的加密的挑战报文;将所述加密的挑战报文通过所述解密芯片的SPI驱动发送至所述解密芯片;根据所述解密芯片中的私钥对所述解密芯片中加密的挑战报文进行解密。
在上述实施例的基础上,本实施例中还包括验证模块具体用于:验证所述加密的挑战报文发送的目标MAC地址是否为所述待认证嵌入式设备的MAC地址;若是,则对所述加密的挑战报文进行载荷校验;若所述加密的挑战报文通过载荷校验,则使用所述私钥对所述加密的挑战报文进行解密。
图7示例了一种电子设备的实体结构示意图,如图7所示,该电子设备可以包括:处理器(processor)701、通信接口(Communications Interface)702、存储器(memory)703和通信总线704,其中,处理器701,通信接口702,存储器703通过通信总线704完成相互间的通信。处理器701可以调用存储器703中的逻辑指令,以执行嵌入式设备准入认证方法,该方法包括:待认证嵌入式设备接收交换机发送的加密的挑战报文,使用所述待认证嵌入式设备的MAC地址对应的私钥对所述加密的挑战报文进行解密;其中,所述私钥由PC端根据所述MAC地址返回;将解密后的所述挑战报文发送给所述交换机,以供所述交换机根据解密后的所述挑战报文对所述待认证嵌入式设备进行准入认证。
此外,上述的存储器703中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法所提供的嵌入式设备准入认证方法,该方法包括:待认证嵌入式设备接收交换机发送的加密的挑战报文,使用所述待认证嵌入式设备的MAC地址对应的私钥对所述加密的挑战报文进行解密;其中,所述私钥由PC端根据所述MAC地址返回;将解密后的所述挑战报文发送给所述交换机,以供所述交换机根据解密后的所述挑战报文对所述待认证嵌入式设备进行准入认证。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各提供的嵌入式设备准入认证方法,该方法包括:待认证嵌入式设备接收交换机发送的加密的挑战报文,使用所述待认证嵌入式设备的MAC地址对应的私钥对所述加密的挑战报文进行解密;其中,所述私钥由PC端根据所述MAC地址返回;将解密后的所述挑战报文发送给所述交换机,以供所述交换机根据解密后的所述挑战报文对所述待认证嵌入式设备进行准入认证。
以上所描述的系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种嵌入式设备准入认证方法,其特征在于,包括:
待认证嵌入式设备接收交换机发送的加密的挑战报文,使用所述待认证嵌入式设备的MAC地址对应的私钥对所述加密的挑战报文进行解密;其中,所述私钥由PC端根据所述MAC地址返回;
将解密后的所述挑战报文发送给所述交换机,以供所述交换机根据解密后的所述挑战报文对所述待认证嵌入式设备进行准入认证;
所述挑战报文是由所述交换机根据所述待认证嵌入式设备的MAC地址对应的公钥进行加密得到的;任一MAC地址对应的公钥和私钥是基于加密算法成对生成的。
2.根据权利要求1所述的嵌入式设备准入认证方法,其特征在于,所述使用所述待认证嵌入式设备的MAC地址对应的私钥对所述加密的挑战报文进行解密,包括:
若所述私钥在所述待认证嵌入式设备的解密芯片中不存在,则向所述PC端发送所述MAC地址;
接收所述PC端根据所述MAC地址返回的所述私钥,并将所述私钥写入所述解密芯片中;
使用所述解密芯片中的私钥对所述加密的挑战报文进行解密。
3.根据权利要求2所述的嵌入式设备准入认证方法,其特征在于,所述私钥通过从所述PC端上的私钥文件中查找获取;其中,所述私钥文件中预先存储有所述MAC地址与所述私钥之间的关联关系。
4.根据权利要求2所述的嵌入式设备准入认证方法,其特征在于,所述待认证嵌入式设备接收交换机发送的加密的挑战报文,使用所述待认证嵌入式设备的MAC地址对应的私钥对所述加密的挑战报文进行解密,包括:
对所述交换机进行监听,获取所述交换机发送的加密的挑战报文;
将所述加密的挑战报文通过所述解密芯片的SPI驱动发送至所述解密芯片;
根据所述解密芯片中的私钥对所述解密芯片中加密的挑战报文进行解密。
5.根据权利要求1-4任一所述的嵌入式设备准入认证方法,其特征在于,所述使用所述待认证嵌入式设备的MAC地址对应的私钥对所述加密的挑战报文进行解密,包括:
验证所述加密的挑战报文发送的目标MAC地址是否为所述待认证嵌入式设备的MAC地址;
若是,则对所述加密的挑战报文进行载荷校验;
若所述加密的挑战报文通过载荷校验,则使用所述私钥对所述加密的挑战报文进行解密。
6.一种嵌入式设备准入认证系统,其特征在于,包括:
解密模块,用于待认证嵌入式设备接收交换机发送的加密的挑战报文,使用所述待认证嵌入式设备的MAC地址对应的私钥对所述加密的挑战报文进行解密;其中,所述私钥由PC端根据所述MAC地址返回;
发送模块,用于将解密后的所述挑战报文发送给所述交换机,以供所述交换机根据解密后的所述挑战报文对所述待认证嵌入式设备进行准入认证;
所述挑战报文是由所述交换机根据所述待认证嵌入式设备的MAC地址对应的公钥进行加密得到的;任一MAC地址对应的公钥和私钥是基于加密算法成对生成的。
7.根据权利要求6所述的嵌入式设备准入认证系统,其特征在于,所述解密模块具体为:
若所述私钥在所述待认证嵌入式设备的解密芯片中不存在,则向所述PC端发送所述MAC地址;
接收所述PC端根据所述MAC地址返回的所述私钥,并将所述私钥写入所述解密芯片中;
使用所述解密芯片中的私钥对所述加密的挑战报文进行解密。
8.根据权利要求7所述的嵌入式设备准入认证系统,其特征在于,所述私钥通过从所述PC端上的私钥文件中查找获取;其中,所述私钥文件中预先存储有所述MAC地址与所述私钥之间的关联关系。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至5任一项所述嵌入式设备准入认证方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述嵌入式设备准入认证方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011457726.XA CN112615840B (zh) | 2020-12-11 | 2020-12-11 | 嵌入式设备准入认证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011457726.XA CN112615840B (zh) | 2020-12-11 | 2020-12-11 | 嵌入式设备准入认证方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112615840A CN112615840A (zh) | 2021-04-06 |
| CN112615840B true CN112615840B (zh) | 2023-05-26 |
Family
ID=75233313
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011457726.XA Active CN112615840B (zh) | 2020-12-11 | 2020-12-11 | 嵌入式设备准入认证方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112615840B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101309293A (zh) * | 2008-06-27 | 2008-11-19 | 中国网络通信集团公司 | 基于超文本传输协议的认证方法与认证系统 |
| CN101458638A (zh) * | 2007-12-13 | 2009-06-17 | 安凯(广州)软件技术有限公司 | 一种用于嵌入式系统的大规模数据验证方法 |
| WO2009147817A1 (ja) * | 2008-06-02 | 2009-12-10 | 株式会社バッファロー | 認証システム、情報処理装置、記憶装置、認証方法及びそのプログラム |
| CN103281193A (zh) * | 2013-06-03 | 2013-09-04 | 中国科学院微电子研究所 | 身份认证方法、系统及基于其的数据传输方法、装置 |
| CN103679037A (zh) * | 2013-12-05 | 2014-03-26 | 长城信息产业股份有限公司 | 非对称加密认证方法和基于非对称加密认证的嵌入式设备 |
| CN104916302A (zh) * | 2015-06-05 | 2015-09-16 | 浪潮集团有限公司 | 一种带有加密认证功能的usb移动存储 |
-
2020
- 2020-12-11 CN CN202011457726.XA patent/CN112615840B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101458638A (zh) * | 2007-12-13 | 2009-06-17 | 安凯(广州)软件技术有限公司 | 一种用于嵌入式系统的大规模数据验证方法 |
| WO2009147817A1 (ja) * | 2008-06-02 | 2009-12-10 | 株式会社バッファロー | 認証システム、情報処理装置、記憶装置、認証方法及びそのプログラム |
| CN101309293A (zh) * | 2008-06-27 | 2008-11-19 | 中国网络通信集团公司 | 基于超文本传输协议的认证方法与认证系统 |
| CN103281193A (zh) * | 2013-06-03 | 2013-09-04 | 中国科学院微电子研究所 | 身份认证方法、系统及基于其的数据传输方法、装置 |
| CN103679037A (zh) * | 2013-12-05 | 2014-03-26 | 长城信息产业股份有限公司 | 非对称加密认证方法和基于非对称加密认证的嵌入式设备 |
| CN104916302A (zh) * | 2015-06-05 | 2015-09-16 | 浪潮集团有限公司 | 一种带有加密认证功能的usb移动存储 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112615840A (zh) | 2021-04-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110493261B (zh) | 基于区块链的验证码获取方法、客户端、服务器及存储介质 | |
| US8306228B2 (en) | Universal secure messaging for cryptographic modules | |
| US20160085974A1 (en) | Secure transaction method from a non-secure terminal | |
| US20130232554A1 (en) | System and Method for Connecting Client Devices to a Network | |
| US20100250951A1 (en) | Common key setting method, relay apparatus, and program | |
| US20070014398A1 (en) | Generating a secret key from an asymmetric private key | |
| CN113806772A (zh) | 基于区块链的信息加密传输方法及装置 | |
| CN110505055B (zh) | 基于非对称密钥池对和密钥卡的外网接入身份认证方法和系统 | |
| CN110166489B (zh) | 一种物联网中数据传输方法、系统、设备及计算机介质 | |
| CN110380859B (zh) | 基于非对称密钥池对和dh协议的量子通信服务站身份认证方法和系统 | |
| CN115396121A (zh) | 安全芯片ota数据包的安全认证方法及安全芯片装置 | |
| CN105281902A (zh) | 一种基于移动终端的Web系统安全登录方法 | |
| CN112487380A (zh) | 一种数据交互方法、装置、设备及介质 | |
| CN102546240B (zh) | 网络通信方法、网络通信系统以及网络通信装置 | |
| CN110493177B (zh) | 基于非对称密钥池对和序列号的量子通信服务站aka密钥协商方法和系统 | |
| CN108347335A (zh) | 基于sm3算法和随机挑战码的登录验证方法及系统 | |
| CN110098925B (zh) | 基于非对称密钥池对和随机数的量子通信服务站密钥协商方法和系统 | |
| CN110611679A (zh) | 一种数据传输方法、装置、设备及系统 | |
| CN112865965B (zh) | 一种基于量子密钥的列车业务数据处理方法及系统 | |
| US8452968B2 (en) | Systems, methods, apparatus, and computer readable media for intercepting and modifying HMAC signed messages | |
| EP3624394B1 (en) | Establishing a protected communication channel through a ttp | |
| CN112615840B (zh) | 嵌入式设备准入认证方法及系统 | |
| CN110535632B (zh) | 基于非对称密钥池对和dh协议的量子通信服务站aka密钥协商方法和系统 | |
| CN117118613B (zh) | 整车仪表数据安全保护方法、设备及可读存储介质 | |
| CN114218555B (zh) | 增强密码管理app密码安全强度方法和装置、存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240328 Address after: Room 1501, 12th Floor, Building 3, No. 34 Zhongguancun South Street, Haidian District, Beijing, 100080 Patentee after: Federation of Industry and Commerce Lingchuang (Beijing) Technology Co.,Ltd. Country or region after: China Address before: Room 1602, block C, Zhongguancun Science and technology development building, 34 Zhongguancun South Street, Haidian District, Beijing 100081 Patentee before: BEIJING VRV SOFTWARE Corp.,Ltd. Country or region before: China |