CN113169953B - 用于验证设备或用户的方法和装置 - Google Patents
用于验证设备或用户的方法和装置 Download PDFInfo
- Publication number
- CN113169953B CN113169953B CN201880099651.7A CN201880099651A CN113169953B CN 113169953 B CN113169953 B CN 113169953B CN 201880099651 A CN201880099651 A CN 201880099651A CN 113169953 B CN113169953 B CN 113169953B
- Authority
- CN
- China
- Prior art keywords
- certificate
- public key
- secure shell
- authenticating
- shell session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Abstract
公开了用于认证设备的方法和装置。一种方法可以包括:从服务器接收公共‑私有密钥对的私有密钥和相关证书,其中所述证书包括公共‑私有密钥对的公共密钥;以及通过第一安全外壳会话向所述第二设备认证所述第一设备;响应于所述第一安全外壳会话的成功认证,向所述第二设备发送所述证书;以及使用所述公共密钥通过第二安全外壳会话向所述第二设备认证所述第一设备。
Description
技术领域
本公开的实施例一般涉及信息安全技术,并且更具体地,涉及通过网络对设备或用户的认证。
背景技术
通常,对计算资源和数据的访问可能受限于授权的设备或用户。例如,在用于宽带接入的OAM(运营管理)系统中,可以将诸如ONT(光网络终端)或CPE(客户驻地设备)之类的终端远程部署在最终用户的家中,以提供数据、语音和/或视频服务。通常,对于电信客户,光网络单元管理和控制接口(OMCI)用于支持千兆级的无源光网络(GPON)管理,TR69/WEB用于RG(住宅网关)管理。图1示出了这样的OAM系统100。如图1所示,第一维护设备112可以通过OMCI到ONT 120的信道102向客户提供OAM服务。第二维护设备114可以经由TR-069到ONT120/CPE 122的信道104向客户提供OAM服务。第三维护设备116可以经由WEB到ONT 120/CPE122的信道106向客户提供OAM服务。
客户的OAM要求,包括一些简单的故障排除要求,例如日志、ping ip等。这些OAM要求可以经由OMCI、TR69和/或WEB的信道进行处理。相关的OAM操作是根据客户要求定制的,并且通常受限于最低权限。
尽管有些情况不是在正式的OMCI/TR69/WEB OAM中设计的(并且无法在正式的OMCI/TR69/WEB OAM中处理)。例如,由维护设备提供服务的某些远程设备会进入故障状态、并且需要进行远程故障排除/维护。在部署的设备中暴露了一些安全漏洞或发现了一些制造问题,为此,维护设备需要修复维护设备所服务的所有远程设备中的漏洞/问题。这些情况不是客户要求的,而是由设备供应商或网络运营商来执行远程故障排除/修复/维护的操作。这些操作具有更多权限,因此需要更严格的认证。
对于上述情况,建立一个独立的安全信道以提供远程故障排除/操作/维护服务将是有利的。
发明内容
提供本发明内容以简化形式介绍概念的选择,这些概念将在下面的详细描述中进一步描述。本发明内容既不旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用于限制所要求保护的主题的范围。
根据本公开的第一方面,提供了一种在第一设备处实现的用于向第二设备认证所述第一设备的方法。所述方法可以包括从服务器接收公共-私有密钥对的私有密钥和相关证书,其中所述证书包括所述公共-私有密钥对的公共密钥;通过第一安全外壳会话向所述第二设备认证所述第一设备;响应于所述第一安全外壳会话的成功认证,在所述第一安全外壳会话中建立的加密信道上作为业务数据向所述第二设备发送所述证书;以及使用所述公共密钥通过第二安全外壳会话,向所述第二设备认证所述第一设备。
在实施例中,提供了在所述第一设备处执行的用于向所述第二设备认证所述第一设备的方法。所述方法包括从服务器接收公共-私有密钥对的私有密钥和相关证书。所述证书包括所述公共-私有密钥对的公共密钥。所述方法还包括通过第一安全外壳会话向所述第二设备认证所述第一设备;以及响应于第一安全外壳会话的成功认证,向所述第二设备发送所述证书。所述方法还包括使用所述公共密钥通过第二安全外壳会话向所述第二设备认证所述第一设备。
在实施例中,在所述第一安全外壳会话中,认证所述第一设备可以包括向所述第二设备发送第一设备的密码或固定公共密钥,从而使得所述第一设备基于所述密码或所述固定公共密钥而被认证。
在实施例中,在所述第二安全外壳会话中,认证所述第一设备可以包括向所述第二设备发送所述公共密钥。
在实施例中,所述证书可以由原始证书颁发机构的证书的私有密钥签名。
在实施例中,所述证书可以进一步包括以下项目中的至少一项:定义公共密钥的有效期限的有效期;以及指示公共密钥的使用范围的指示。
在实施例中,所述证书可以是X.509版本3证书。
根据本公开的第二方面,提供了一种在第二设备处执行的用于认证第一设备的方法。所述方法包括通过第一安全外壳会话对所述第一设备进行认证;以及响应于所述第一安全外壳会话的成功认证结果从所述第一设备接收证书,其中所述证书包括与所述第一设备相关联的公共-私有密钥对的公共密钥;以及使用所述公共密钥通过第二安全外壳会话对所述第一设备进行认证。
在实施例中,在所述第一安全外壳会话中,对所述第一设备进行认证可以包括:从所述第一设备接收密码或固定公共密钥,以基于所述密码或所述固定公共密钥对所述第一设备进行认证。
在实施例中,在第二安全外壳会话中,认证第一设备可以包括:将所述公共密钥接收到所述第二设备;以及根据所述证书中的公共密钥来验证所接收到的公共密钥。
在实施例中,所述证书可以由原始证书颁发机构的证书的私有密钥签名。所述证书还可以包括以下项目中的至少一项:定义公共密钥的有效期的有效期;以及指示所述公共密钥的使用范围的指示。
在实施例中,所述方法可以进一步包括通过进行以下检查中的至少一项来验证所述证书:检查证书的签名,根据证书撤销列表检查证书,根据预先配置的条件检查使用范围,并检查有效期是否已过期。所述方法还可以包括在所述证书被成功验证的情况下从所述证书中提取公共密钥。
在一个实施例中,证书可以是X.509版本3证书。
根据本公开的第三方面,提供了一种装置。所述装置可包括至少一个处理器,至少一个存储器包括计算机程序代码,所述存储器和计算机程序代码被配置为与所述至少一个处理器一起工作,使所述装置从服务器接收公共-私有密钥对的私有密钥和相关证书,其中所述证书包括所述公共-私有密钥对的公共密钥;通过第一安全外壳会话向所述第二设备认证所述第一设备;响应于第一安全外壳会话的成功认证,向所述第二设备发送所述证书;并使用所述公共密钥通过第二安全外壳会话向所述第二设备认证所述第一设备。
根据本公开的第四方面,提供了一种装置。所述装置可以包括至少一个处理器,至少一个包括计算机程序代码的存储器,所述存储器和计算机程序代码被配置为与所述至少一个处理器一起工作,以使所述装置通过第一安全外壳会话来对所述第一设备进行认证;响应于第一安全外壳会话的成功认证结果,从所述第一设备接收证书,其中,所述证书包括与所述第一设备相关联的公私有密钥对的公共密钥;并使用公共密钥通过第二安全外壳会话对所述第一设备进行认证。
根据本公开的第五方面,提供了一种计算机可读存储介质,在其上存储指令,当由至少一个处理器执行指令时,所述指令使所述至少一个处理器执行根据第一方面的方法。
根据本公开的第六方面,提供一种计算机可读存储介质,在其上存储指令,当由至少一个处理器执行指令时,所述指令使所述至少一个处理器执行根据所述第二方面的方法。
根据本公开的第七方面,提供了包括指令的计算机程序产品,当所述指令由至少一个处理器执行时,使所述至少一个处理器执行根据所述第一方面的方法。
根据本公开的第八方面,提供了包括指令的计算机程序产品,当所述指令由至少一个处理器执行时,所述指令使所述至少一个处理器执行根据所述第二方面的方法。
本公开的这些和其他目的、特征和优点将从以下结合附图阅读的对其示例性实施例的详细描述中变得显而易见。
附图说明
图1示意性地描述了可以在其中实现本公开的实施例的OAM系统;
图2示出通过使用固定密码进行认证的示例性过程;
图3示出通过使用每设备的密码进行认证的示例性过程;
图4示出通过使用公共密钥进行认证的示例性过程;
图5示出通过使用X.509第3版证书进行认证的示例性过程;
图6示出根据本公开的实施例的认证的示例性过程;
图7是描述通过使用密码的基于SSH的认证步骤的图;
图8是描述使用公共密钥的基于SSH的认证的过程的图;
图9是描述根据本公开的实施例的方法的流程图;
图10是描述根据本公开的实施例的方法的流程图;以及
图11示描述根据本公开实施例的装置的简化框图。
具体实施方式
参考附图详细描述本公开的实施例。应当理解,讨论这些实施例仅仅是为了本领域技术人员能够更好地理解并因此实现本公开的目的,而不是对本公开的范围进行任何限制。在整个说明书中对特征、优点或类似语言的引用并不暗示可以用本公开实现的所有特征和优点应该是或存在于本公开的任何单个实施例中。相反,涉及特征和优点的语言应理解为是指结合实施例描述的特定特征、优点或特性包括在本公开的至少一个实施例中。此外,在一个或多个实施例中,可以以任何合适的方式来组合本公开的所描述的特征、优点和特性。相关领域的技术人员将认识到,本公开可以在没有特定实施例的一个或多个特定特征或优点的情况下实践。在其他情况下,在某些实施例中可以认识到可能不存于本公开的所有实施例中的附加特征和优点。
如本文所使用的,术语“第一”、“第二”等指的是不同的元件。除非上下文另外明确指出,否则单数形式“一”和“一个”也意图包括复数形式。本文所用的术语“包含”、“包含”、“具有”、“有”、“包含”和/或“包括”指定存在所述特征、元件和/或组件等,但是不排除一个或多个其他特征、元件、组件和/或其他组合的存在或增加。术语“基于”应理解为“至少部分基于”。术语“一个实施例”和“实施例”应被理解为“至少一个实施例”。术语“另一实施例”应被理解为“至少一个其他实施例”。其他定义明确的和隐含的可以包括在下面。
如上所述,应在维护设备和远程ONT/CPE之间建立经过认证的安全信道,以提供远程故障排除/操作/维护。现有几种方案可用于远程连接。但是,每个现有方案都有一些限制。例如,telnet是远程登录的标准协议。这是纯文本协议,没有安全性。另一种方案是利用专有的OLT(光线路终端)直通信道。这个专有信道仅保护一个OLT与一个ONT之间的安全性,如果需要连接第三方OLT,则该信道不起作用。
另一种方案是利用加密协议,例如安全外壳(SSH)协议。但是,在某些用例中,此协议在客户端认证方面也有一些限制。例如,在某些基于SSH的认证中,使用固定密码来认证客户端设备。客户端设备可以使用固定密码登录网络中的所有服务器设备。从长远来看,这种固定的密码很容易泄露。此外,固定密码没有有效期,因此固定密码是不可撤消的。
图2示出了通过使用固定密码的认证的示例性过程。在这种使用情况下,维护终端201充当客户端设备,并且ONT 202充当服务器设备。当维护终端201需要远程登录ONT 202时,例如为了提供远程故障排除/修复/维护服务,应首先向ONT 202认证维护终端201。为了进行认证,维护终端201可以通过SSH会话向ONT 202发送密码(例如,字符串“SUGAR2A041”),如210所示。然后,如220所示,ONT 202可以验证接收到的密码。例如,ONT202可以将接收到的密码与关联的信息项进行匹配,以检查它们是否彼此映射。如果确定密码有效,则维护终端被认证到该ONT,如230所示。换句话说,认证的结果是成功。否则,认证的结果是失败。
尽管未在图2中示出,但是维护终端201可以使用相同的密码(例如,字符串“SUGAR2A041”)来登录网络中的其他ONT。在某些示例中,可以使用相同的密码登录供应商的所有ONT,并且相同的密码是固定的密码,该密码不会随着时间的推移而更改或撤销。这是因为如果不同的ONT可能具有不同的密码,或者密码可能有各种更改,则对于大量的ONT来说,很难管理这些密码,并且会在以后的故障排除/操作/维护中造成混乱。
由于在向多个设备认证维护201中使用相同的固定密码,因此它很容易泄露,例如长期来看泄露到互联网。由于固定密码没有有效期且不可撤消,如果固定密码被泄露,所有ONT都将受到威胁。
为了减轻由固定密码引起的“所有设备一个凭证”的风险,建议在基于SSH的认证中使用每设备的密码。在这种使用情况下,对于每个服务器设备,客户端设备可以使用特定于服务器设备的密码来登录服务器设备。
图3示出了通过使用每设备的密码进行认证的示例性过程。在这种使用情况下,可能会使第三方参与来集中管理每个设备的密码。如图3所示,安全管理服务器303可以为每个服务器设备生成每设备的密码(在320),并且向客户端设备发布每设备的密码(在330)。例如,当维护终端301需要远程登录特定的ONT 302时,它可以向安全管理服务器303发送包括ONT 302的序列号(SN)的请求。响应于该请求,安全管理服务器303可以例如基于SN和ONT302的私有密钥(表示为Kp)来生成ONT 302的每设备的密码。例如,每设备的密码可以通过哈希算法生成,哈希算法可以表示为PDPassword=HASH(Kp,SN)。所生成的每设备的密码可以在带外安全信道(例如,电子邮件、可移动存储卡等)中发送给维护终端301。
如310所示,可以从安全管理服务器303向ONT 302提供私用密钥(Kp)和序列号(SN)。例如,当制造ONT 302时,可以将Kp和SN刻录到ONT中。同时,ONT 302的每个设备密码的生成算法被嵌入在ONT301中。然后,ONT 302可以通过生成算法基于Kp和SN来生成其每设备的密码。为了减轻公开的风险,该算法不应嵌入到维护终端中,因为维护终端可能属于客户,并且具有潜在的安全风险。
然后,利用接收到的ONT 302的每设备的密码,维护终端301可以通过SSH会话将其认证到ONT 302。如340所示,维护终端301可以将每设备的密码发送给ONT 302。然后,如350所示,ONT 302可以验证接收到的每设备的密码。就这一点而言,ONT 302可以比较接收到的密码和其自身生成的密码,以检查它们是否彼此映射。如果确定密码有效,则维护终端被认证到该ONT,如360所示。换句话说,验证的结果就是成功。否则,认证的结果是失败。
在这样的情况中,泄露针对特定ONT的每设备的密码不会威胁到其他ONT,因为它们的密码是不同的。但是,针对每个ONT的每设备的密码仍然是固定的,并且具有相同的泄露风险。在这方面,从长远来看,每设备的密码也很容易被公开。此外,该密码和Kp没有有效期,因此该密码和Kp是不可撤销的。由于无法撤消已公开的Kp,因此Kp和密码生成算法不得嵌入维护终端中。此外,在某些情况下,维护终端可能需要处理大量ONT设备的远程OAM操作,例如通过批处理。这样,维护终端为每个ONT进行SN到每设备的密码的映射将是很大的负担。
在某些基于SSH的认证中,公共密钥用于对客户端设备进行认证。客户端设备可以持有公共-私有密钥对,并使用密钥对中的公共密钥登录服务器设备。服务器设备可以持有密钥对的公共密钥。公共-私有密钥对可以是PKI(公共密钥基础结构)RSA(Rivest-Shamir-Adleman)密钥,或其他非对称密钥,例如DSS(数字签名标准)密钥等。多个服务器设备可以使用相同的公共-私有密钥对。在这种使用情况下,没有针对公共-私有密钥对的有效期,因此公共-私有密钥对是不可撤消的。
图4示出了利用公共密钥进行认证的示例性过程。在这种使用情况下,可以使第三方(例如安全管理服务器403)参与来集中管理公共-私有密钥对。密钥对可以与非对称密码算法一起使用,以保护客户端设备和服务器设备之间的数据传输。如图4所示,安全管理服务器403可以生成公共密钥(表示为K2)和私有密钥(表示为K2')对。如410所示,可以从安全管理服务器403将公共密钥K2提供给ONT 402。例如,当制造ONT 402时,可以将K2刻录到ONT402中。安全管理服务器403可以例如在带外安全信道中将公共-私有密钥对发送给维护终端401,如420所示。
当维护终端401需要远程登录ONT 402时,例如为了提供远程故障排除/修复/维护服务,维护终端401可以通过SSH会话将带有签名的公共密钥K2发送给ONT 402,如430所示。公共密钥K2可以用私有密钥K2'签名。然后,如440所示,ONT 402可以验证接收到的公共密钥和签名。例如,ONT 402可以将接收到的公共密钥与其自己的公共密钥进行匹配。可替代地,可以检查公共密钥的指纹以进行验证。如果确定密码是有效的,则维护终端被认证到ONT,如450所示。换句话说,认证的结果是成功。否则,认证的结果是失败。
虽然未在图4中示出,但是维护终端401可以使用相同的公共密钥来登录网络中的其他ONT。在一些示例中,厂商的多个ONT可以使用相同的公共-私有密钥对。通常,公共-私有密钥对是固定的,不会随时间的推移而改变或撤销。因此,从长远来看,很容易将公共-私有密钥对公开给互联网。由于密钥对没有有效期且不可撤消,因此所有ONT都会受到密钥对的威胁。
还有另一种基于SSH的认证,其中X.509版本3证书用于认证客户端设备。在基于SSH的认证中使用X.509版本3证书的详细信息在RFC 6187中进行了描述,在此通过引用将其全部内容并入本文。
图5示出了通过使用X.509版本3证书的示例性认证过程。在这种使用情况下,可以使第三方(例如安全管理服务器503)参与来集中管理证书。如图5所示,安全管理服务器503可以持有根证书的私有密钥。根证书可以从安全管理服务器503提供给ONT 502,如510所示。例如,当制造ONT 502时,可以将根证书作为受信任的根证书刻录到ONT 502中。
安全管理服务器503可以生成和/或保持公共-私有密钥对(K4,K4')。公共-私有密钥对可以是PKI RSA密钥,也可以是其他非对称密钥,例如DSS密钥等。安全管理服务器503可以例如在带外安全信道中将私有密钥(K4')发送给维护终端501,如520所示。安全管理服务器503还可以向维护终端501发送由根证书的对应私有密钥签名的子证书。子证书包括公共密钥K4。子证书可以与私有密钥一起传输,也可以分别传输。
当维护终端501需要远程登录ONT 502时,它可以通过SSH会话将子证书发送给ONT502,如530所示。然后,如540所示,ONT 502可以通过使用其根证书来验证所接收的子证书。如果确定子证书有效,则维护终端被认证到该ONT,如550所示。换句话说,认证的结果是成功。否则,认证的结果是失败。
由于可以将子证书用于定义有效期,因此所述用例的证书是可控制的且可撤消的。此用例的一个问题是,在大多数流行的现有SSH应用中不支持X.509版本3。一项SSH应用统计数据(位于http://ssh-comparison.quendi.de/comparison/hostkey.html)显示,当前只有两个SSH应用(asynsSSH和smartFTP)支持X.509版本3。
本公开提出了一种改进的公共密钥方案,其基于SSH来认证远程客户端(例如,维护终端),具有可控制的有效期、可撤销的公共密钥、与大多数现有的SSH应用兼容等优点。所提出的方案基于利用公共密钥的基于SSH的认证和利用密码的基于SSH的认证,并且与所有现有的SSH应用兼容。它通过两步认证来改进常规认证。
第一步,通过第一SSH会话使用密码或公共密钥对客户端设备进行认证。密码可以是固定密码。可以如图2-4所示执行基于密码或公共密钥的第一SSH会话。但是,在第一SSH会话中成功进行认证之后,仅允许客户端设备将证书复制到服务器设备(例如ONT)。所述证书可以是具有公共密钥的自发行证书,其可以用于第二认证步骤的第二SSH会话。所述证书可以通过服务器设备中的自定义应用进行验证。从这个意义上讲,第一SSH会话的认证可以看作是部分认证。
然后,在第二步中,利用新公共密钥通过第二SSH会话对客户端设备进行认证,该新公共密钥是在第一SSH会话中成功认证之后被包含在证书中的。基于公共密钥的第二SSH会话可以如图4所示的那样执行。虽然所述公共密钥由经过验证的证书认可,但它具有证书的所有属性,例如可控的有效期限、可撤销证书等。此外,可以在证书中加入额外的条件来限制公共密钥的使用范围。例如,可以将Operator_ID的标识符嵌入证书中,以指示公共密钥和相关的公共-私有密钥对仅对定义的运营商(或客户)有效。
图6示出了根据本公开的实施例的认证的示例性过程。在这样的实施例中,可以使第三方(例如安全管理服务器603)参与来集中管理公共-私有密钥对和证书。安全管理服务器可以充当ONT根CA(证书颁发机构)。如图6所示,安全管理服务器603持有根证书的私有密钥。根证书可以由安全管理服务器603用其私有密钥自签名。可以将根证书从安全管理服务器603提供给ONT 602,如610所示。例如,当制造ONT 602时,可以将根证书作为受信任的根证书刻录到ONT 602中。
安全管理服务器603可以生成公共-私有钥对(K6,K6')。公共-私有钥对可以是PKIRSA密钥,也可以是其他非对称密钥,例如DSS密钥等。安全管理服务器603可以例如在带外安全信道中向维护终端601发送私有密钥K6',如620所示。安全管理服务器603还可以向维护终端601发送由根证书的私有密钥签名的子证书。公共-私有密钥对的公共密钥K6被包装在由根证书签名的子证书中。子证书可以与私有密钥K6'一起传输,也可以分别传输。在示例中,子证书可以进一步包括指示公共-私有密钥对的寿命的有效期。子证书可以进一步包括标识符,以限制公共密钥K6的使用范围。例如,标识符可以是运营商ID,以指示公共密钥K6可以用于登录以该运营商ID标识登录运营商的ONT。
在一些实施例中,子证书可以由上级子证书的私有密钥签名,所述私有密钥可以由根证书授权。上级子证书可以由安全管理服务器603或其他网络实体持有,它们可以被统称为上级子证书的“原始CA(证书颁发机构)”。CA可以向其下级CA或直接向最终用户颁发证书。例如,可以以与步骤610类似的方式向ONT 602提供上级子证书。
当维护终端601需要远程登录ONT 602时,它可以通过第一SSH会话进行部分认证。第一SSH会话可以使用固定的密码或固定的公共密钥来向ONT 602认证维护终端601。如630所示,维护终端601可以向ONT 602发送密码,并且ONT 602可以验证接收到的密码。在630处的第一SSH会话可以以与在210、220处的SSH会话类似的方式来执行。
图7示出了通过使用口令进行认证的SSH会话的示例性过程。如710所示,在维护终端601和ONT 602之间建立了TCP(传输控制协议)连接。接着,维护终端601和ONT 602可能尝试在它们之间建立SSH加密信道。在这方面,它们可以协商将要使用的SSH协议版本,如721和722所示,并在723和724交换消息以启动密钥交换。然后,它们可以在725交换密钥,并在726和727交换新密钥的消息。接下来在730,在维护终端601和ONT 602之间建立SSH加密信道。接下来在740,维护终端601可以通过建立的SSH加密信道向ONT 602发送对于密码认证的请求。所述请求可以包括密码和关联的用户名。密码和用户名可以由维护终端601的用户输入。然后,如750所示,ONT 602可以解释接收到的密码并对其进行验证。例如,ONT 601可以将密码和用户名与密码数据库中的现有项目进行比较。如果密码已被验证,则表明认证已成功完成。例如,ONT 601可以以带有认证结果的指示回复该请求消息,例如成功或失败(如果密码未通过验证)。
或者,第一SSH会话可以使用公共密钥认证。就这一点而言,维护终端601可以将公共密钥发送到ONT 602,然后ONT 602可以验证接收到的公共密钥。应该注意的是,在第一SSH会话中用于认证的此公共密钥不是子证书中的公共密钥,而是与普通公共密钥认证中使用的固定公共密钥相同。例如,安全管理服务器603可以以与图4的过程类似的方式,将固定的公共-私有密钥对(K2,K2')发送给维护终端601,并将固定的公共密钥K2提供给ONT601。
可以以与在430、440处的SSH会话类似的方式来执行在630处的第一SSH会话。图8示出了通过使用公共密钥进行认证的SSH会话的示例性过程。与密码认证方法的过程类似,在810,在维护终端601和ONT 602之间建立TCP(传输控制协议)连接,然后维护终端601和ONT 602可以尝试建立在它们之间的SSH加密信道,如820和830所示。
接下来在840,维护终端601可以通过建立的SSH加密信道将对公共密钥认证的请求发送给ONT 602。该请求可以包括用户名、公共密钥K2和签名。该签名可以由维护终端601的私有密钥K2'在用户名、公共密钥K2和第一SSH会话的会话id上签名。当ONT 602接收到该请求时,它可以验证用户名、公共密钥K2和签名。就这一点而言,ONT 602可以使用接收到的公共密钥K2来验证签名。然后,成功的验证意味着维护终端601(发送出K2)确实拥有私有密钥K2'(对签名进行签名)。
在RFC 4252中描述了使用密码或公共密钥的基于SSH的认证的细节,该文献通过引用将其全部内容并入本文。
参考图6,在该第一SSH会话中,维护终端601(即客户端设备)的认证是不可信,因为使用了固定密码(例如“SUGAR2A041”)或固定公共密钥。如上所述,从长远来看,容易公开固定密码(例如“SUGAR2A041”)和固定公共密钥。这样,响应于对第一安全外壳会话的成功认证,维护终端被允许与ONT进行有限的互通操作。就这一点而言,如640所示,允许在维护终端601和ONT 602之间传输包括子证书的副本的有限数据。
在一个实施例中,“将客户端设备的子证书复制到服务器设备”可以是响应于第一SSH会话的成功认证而被允许完成的唯一操作。也可以允许其他操作,而这些操作不应影响安全性,例如没有STRIDE(欺骗、篡改、否认、信息泄露、拒绝服务、权限提升)的风险。
可以为每个运营商颁发由证书“OPID”标识的子证书。就这一点而言,特定运营商的子证书可以用于登录特定运营商的全部或部分ONT。子证书可以包含(K6、OPID、有效期)的信息组。ONT 602可以通过在ONT中运行的定制应用来验证接收到的子证书。例如,ONT602可以通过进行以下检查中的至少一项来验证接收到的子证书,
1.检查子证书的签名;
2.检查子证书是否不在证书撤销列表(CRL)中,例如ONT 602中的本地CRL;
3.检查子证书中的OPID是否与ONT 602中预先配置的OPID匹配;
4.检查子证书的有效期是否已到期。
可以使用根证书或其上级证书来验证子证书的签名。如果子证书的签名是由ONT根CA或其原始CA签名的,则可以验证子证书。如果子证书不在证书撤销列表(CRL)(例如在ONT 602中的本地CRL)中,可以验证子证书。如果子证书中的OPID与预先配置的OPID匹配,则可以验证子证书。关于有效期,ONT 602可以对照其自己的系统时钟来对其进行验证,该系统时钟可能已经用NTP(网络时间协议)进行了校准。如果有效期未到期,则可以验证子证书。如果所有检查都通过,则ONT 602可以确定所接收的子证书可以是可信赖的,并且子证书中的公共密钥K6可以是可以信赖的。
应当注意,在本公开的实施例中,子证书是作为在认证之后的在第一SSH会话中建立的SSH加密信道上传输的业务数据,而不是如X.509版本3认证那样针对SSH认证传输的协议数据,从维护终端传输到ONT的。
接下来,通过使用新的公共密钥K6执行第二SSH会话,以向ONT 602认证维护终端601。可以以与在430、440处的SSH会话或图8所示的过程类似的方式来执行。特别地,维护终端601可以向ONT 602发送对公共密钥认证的请求,如660所示。该请求包括新的公共密钥K6。当ONT 602接收到这个请求时,它可以验证新的公共密钥K6。就这一点而言,如670所示,ONT 602可以将新的公共密钥K6与子证书中的公共密钥进行比较。如果公共密钥彼此匹配,则第二SSH会话成功,并且这意味着维护终端601拥有映射到K6的私有密钥K6'。然后,维护终端601被认证到ONT 602并且被ONT 602信任。
本公开的实施例可以提供以下优点。首先,PKI(公共密钥基础设施)公共-私有密钥对(K6,K6')可以在中央安全管理服务器中进行管理,这通常是安全的。公共密钥K6(子证书中的)由根证书签名,并且由设备用来认证客户端设备(例如,维护终端)。通过调整自我颁发的子证书中的参数,中央安全管理服务器可以控制PKI公共-私有密钥对的有效期、有效性和使用范围。就这一点而言,例如,根证书是第一级证书,而子证书可以是第二级、第三级或其他较低级的证书。可以设置较低级别的证书来管理客户端设备的PKI密钥。较低级别的证书由其原始证书颁发机构的较高级别的证书认可。
在本公开的实施例中,可以管理客户端设备的PKI密钥的有效期。例如,可以为临时故障排除/操作/维护任务发布短期密钥,以减轻泄露的风险。客户的PKI密钥在有效期定义的到期日期之后自然会失效,因此将被服务器(或设备)拒绝。即使过期的密钥被公开,也无需进行管理。
此外,在本公开的实施例中,将永远不会通过SSH会话来发送用于客户端的PKI密钥的私有密钥。即使某些黑客/内奸在有效期内泄露了该私有密钥,也可以通过安全的OAM信道(例如OMCI、TR69等)在服务器CRL中撤销相关证书。因此,所公开的密钥将被服务器设备(例如,图6中的ONT)拒绝。
如上所述,在一些实施例中,可以在自发行证书中定义额外条件来限制新公共密钥的使用范围。例如,可以将OPID(运营商ID)的指示嵌入证书中,以定义使用该证书的有效运营商(或客户)。已配置为其他OPID(或属于不同客户)的服务器设备(例如,图6中的ONT)将拒绝与某些OPID绑定的公共密钥。
在本公开的实施例中,在第一SSH会话和第二SSH会话中使用的SSH用户认证协议基于密码和公共密钥。这与几乎所有现有的SSH应用程序兼容。基于兼容的认证,本公开的实施例为SSH提供了灵活的X.509版本3客户端认证,而不需要支持RFC 6187。(如上所述,大多数流行的SSH应用程序均不支持RFC 6187。)
应当理解,本公开的提出的方案可以用于在客户端/服务器的关系中计算设备的任何远程认证中。本公开的实施例可以用于在维护终端和其他远程设备(特别是那些没有专用的安全信道来进行远程故障排除/操作/维护的远程设备)之间提供安全连接。例如,它可用于在维护终端和CPE之间提供安全连接,以处理远程故障排除/操作/维护。在另一个示例中,WiFi终端可以充当服务器设备,维护终端可以充当需要远程登录WiFi终端以处理远程故障排除/操作/维护的客户端设备。在这种情况下,WiFi终端可以在RGW(住宅网关)后面工作,并且没有公共IP地址。然后,需要在第一SSH会话之前建立从WiFi终端到维护终端的SSH反向隧道。此后,将证书复制到WiFi终端(如640所示)并使用新的公共密钥对客户端设备进行认证(如660和670所示)的过程与ONT的过程相同。
现在参考图9,图9示出了根据本公开的一些实施例的用于向所述第二设备认证所述第一设备的方法的流程图。可以在诸如图6、7和8所示的维护终端601之类的客户端设备上执行方法900。如框910所示,方法900包括从服务器(例如,安全管理服务器603)接收公共-私有密钥对的私有密钥和相关证书。所述证书包括所述公共-私有密钥对中的公共密钥。
在框920处,所述方法的过程继续以通过第一安全外壳会话向所述第二设备(例如,ONT 602)认证所述第一设备。在所述第一安全外壳会话中,可以将所述第一设备的密码或固定的公共密钥发送给所述第二设备,以便基于密码或固定的公共密钥对所述第一设备进行认证。
在框930,响应于所述第一安全外壳会话的成功认证,该过程继续以将所述证书发送给所述第二设备。所述证书可以由原始证书颁发机构的证书签名。所述证书还可以包括以下至少一项:定义所述公共密钥的有效期的有效期限;以及指示公共密钥的使用范围的指示。所述证书可以是X.509版本3证书。证书的发送可能是响应于所述第一安全外壳会话的成功认证结果而被允许执行的唯一操作。
在框940处,所述过程继续以使用所述公共密钥通过第二安全外壳会话向所述第二设备认证所述第一设备。在所述第二安全外壳会话中,可以将所述公共密钥发送给所述第二设备。
现在参考图10,图10示出了根据本公开的一些实施例的用于向第二设备认证第一设备的方法的流程图。方法1000可以在诸如图2-8所示的ONT 602之类的服务器设备上执行。如框1010所示,方法1000包括通过第一安全外壳(SSH)会话对第一设备(例如,维护终端601)进行认证。在第一SSH会话中,第二设备可以从第一设备接收密码或固定公共密钥,以基于该密码或固定公共密钥来认证第一设备。
如1020所示,所述方法还包括:响应于所述第一SSH会话的成功认证结果,从所述第一设备接收证书。所述证书包括与所述第一设备相关联的公共-私有密钥对中的公共密钥。所述证书由原始证书颁发机构的证书的私有密钥签名。
如1030所示,所述方法还可以包括通过进行以下检查中的至少一项来验证所述证书:检查所述证书的签名,根据证书撤销列表检查所述证书,根据预先配置的条件检查使用范围,以及检查有效期是否已过期。所述方法还可以包括在所述证书被成功验证的情况下从所述证书中提取公共密钥。
如1040所示,所述方法还包括通过使用所述公共密钥通过第二SSH会话对所述第一设备进行认证。在所述第二SSH会话中,所述第二设备可以将公共密钥接收到所述第二设备;并且针对所述证书中的所述公共密钥来验证接收到的所述公共密钥。
图11示出了根据本公开实施例的装置的简化框图。装置1100可以被实现为客户端设备(例如,维护终端)或服务器设备(例如,ONT)或其模块,如图2-8所示。如图11所示,装置1100包括处理器1104、存储器1105和与处理器1104可操作地通信的收发器1101。收发器1101包括至少一个发射器1102和至少一个接收器1103。尽管在图11中仅示出了一个处理器,但是处理器1104可以包括多个处理器或一个或多个多核处理器。另外,处理器1104还可包括高速缓存以促进处理操作。对于已经相对于图2至8描述的一些相同或相似的部分,为简洁起见,这里省略了对这些部分的描述。
可以将计算机可执行指令加载到存储器1105中,并且当由处理器1104执行时,使装置1100实现上述方法。
另外,本公开的一方面可以利用在计算设备上运行的软件。这样的实现可以使用例如处理器、存储器以及例如由显示器和键盘形成的输入/输出接口。本文所使用的术语“处理器”旨在包括任何处理设备,例如包括CPU(中央处理单元)和/或其他形式的处理电路的处理设备。此外,术语“处理器”可以指不止一个单独的处理器。术语“存储器”旨在包括与处理器或CPU相关联的存储器,例如随机存取存储器(RAM)、只读存储器(ROM)、固定存储器设备(例如硬盘驱动器)、可移动存储设备(例如磁盘)、闪存等。处理器、存储器以及诸如显示器和键盘之类的输入/输出接口可以例如通过由总线互连,作为数据处理单元的一部分。还可以提供适当的互连(例如通过总线)到网络接口(例如网卡)——其可以被设置为与计算机网络相接口,和到媒体接口(例如软盘或CD-ROM驱动器)——其可以被设置为与媒体相接口。
因此,如本文所述,包括用于执行本公开的方法的指令或代码的计算机软件,可以存储在关联的存储设备(例如ROM、固定或可移动存储器)中,并且在准备使用时,可以部分或全部加载(例如,加载到RAM中)并由CPU实现。这样的软件可以包括但不限于固件、常驻软件、微代码等。
如上所述,本公开的各方面可以采取体现在其上体现有计算机可读程序代码的计算机可读介质中的计算机程序产品的形式。此外,可以利用计算机可读介质的任何组合。所述计算机可读介质可以是计算机可读信号介质或计算机可读存储介质。计算机可读存储介质可以是,例如但不限于电子的、磁性的、光学的、电磁的、红外或半导体系统、装置或设备,或前述的任何合适的组合。计算机可读存储介质的更具体示例(非详尽列表)将包括以下:具有一根或多根电线的电连接、便携式计算机磁盘、硬盘、RAM、ROM、可擦可编程只读存储器(EPROM或闪存)、光纤、便携式光盘只读存储器(CD-ROM)、光学存储设备、磁性存储设备或前述的任何适当组合。在本文的上下文中,计算机可读存储介质可以是任何有形介质,其可以包含或存储供指令执行系统、装置或设备使用或与其结合使用的程序。
可以以至少一种编程语言的任意组合来编写用于执行本公开的各方面的计算机程序代码,所述编程语言包括诸如Java、Smalltalk、C++等之类的面向对象的编程语言以及诸如“C”编程语言或类似的编程语言的常规过程编程语言。程序代码可以完全在用户计算机上,部分在用户计算机上,作为独立软件包,部分在用户计算机上,部分在远程计算机上或完全在远程计算机或服务器上执行。
附图中的流程图和框图示出了根据本公开的各种实施例的系统、方法和计算机程序产品的可能实现的架构、功能和操作。就这一点而言,流程图或框图中的每个方框可以表示模块、组件、段或代码部分,其包括用于实现指定的逻辑功能的至少一个可执行指令。还应注意,在一些替代实施方式中,方框中指出的功能可以不按图中提到的顺序发生。例如,取决于所涉及的功能,实际上可以基本上同时执行连续示出的两个框,或者这些框有时可以以相反的顺序执行。还应注意到,框图和/或流程图说明的每个方框以及框图和/或流程图说明中的框的组合可以由执行指定功能或动作的基于专用硬件的系统来或专用硬件和计算机指令的组合来实现。
在任何情况下,应理解,本公开中示出的组件可以以各种形式的硬件、软件或其组合来实现,例如,专用集成电路(ASIC)、功能电路、具有相关存储器的适当地编程的通用数字计算机等。给定本文提供的本公开的教导,相关领域的普通技术人员将能够考虑本公开的组件的其他实施方式。
本文中使用的术语仅出于描述特定实施例的目的,并且不旨在限制本公开。如本文所使用的,单数形式“一”、“一个”和“该”也旨在包括复数形式,除非上下文另外明确指出。应当理解的是,尽管在本文中可以使用术语第一、第二等来描述各种元件,但是这些元件不应受到这些术语的限制。这些术语仅用于将一个元素与另一个元素区分开。例如,在不脱离示例实施例的范围的情况下,第一元件可以被称为第二元件,并且类似地,第二元件可以被称为第一元件。将进一步理解,术语“包括”、“包含”当在本说明书中使用时,“和”或“包含”指定所陈述的特征、整数、步骤、操作、元件和/或组件的存在,但不排除另一特征、整数、步骤、操作的存在或增加。
已经出于说明的目的给出了各种实施例的描述,但是这些描述并不旨在是穷举性的或限于所公开的实施例。在不脱离所描述的实施例的范围和精神的情况下,许多修改和变化对于本领域普通技术人员将是显而易见的。
Claims (28)
1.一种在第一设备处执行的用于向第二设备认证所述第一设备的方法,包括:
从服务器接收公共-私有密钥对的私有密钥和相关证书,其中所述证书包括所述公共-私有密钥对的公共密钥;
通过第一安全外壳会话向所述第二设备认证所述第一设备;
响应于所述第一安全外壳会话的成功认证,在所述第一安全外壳会话中建立的加密信道上作为业务数据向所述第二设备发送所述证书;以及
使用所述公共密钥通过第二安全外壳会话,向所述第二设备认证所述第一设备。
2.根据权利要求1所述的方法,其中,通过所述第一安全外壳会话向所述第二设备认证所述第一设备包括:
向所述第二设备发送所述第一设备的密码或固定公共密钥,从而使得所述第一设备基于所述密码或所述固定公共密钥而被认证。
3.根据权利要求1所述的方法,其中,通过所述第二安全外壳会话向所述第二设备认证所述第一设备包括:
向所述第二设备发送所述公共密钥。
4.根据权利要求1-3中的任一项所述的方法,其中,所述证书由原始证书颁发机构的证书的私有密钥签名。
5.根据权利要求4的方法,其中所述证书还包括以下项目中的至少一项:
定义所述公共密钥有效期的有效期;以及
指示所述公共密钥的使用范围的指示。
6.根据权利要求1所述的方法,其中,所述证书是X.509版本3证书。
7.一种在第二设备处执行的用于对第一设备进行认证的方法,所述方法包括:
通过第一安全外壳会话对所述第一设备进行认证;
响应于所述第一安全外壳会话的成功认证结果,在所述第一安全外壳会话中建立的加密信道上作为业务数据从所述第一设备接收证书,其中所述证书包括与所述第一设备相关联的公共-私有密钥对的公共密钥;
使用所述公共密钥通过第二安全外壳会话对所述第一设备进行认证。
8.根据权利要求7所述的方法,其中,通过所述第一安全外壳会话对所述第一设备进行认证包括:
从所述第一设备接收密码或固定公共密钥,以基于所述密码或所述固定公共密钥对所述第一设备进行认证。
9.根据权利要求7所述的方法,其中,通过所述第二安全外壳会话向所述第二设备认证所述第一设备包括:
将所述公共密钥接收到所述第二设备;以及
根据所述证书中的公共密钥验证所接收到的公共密钥。
10.根据权利要求7-9中的任一项所述的方法,其中,所述证书由原始证书颁发机构的证书的私有密钥签名。
11.根据权利要求10所述的方法,其中,所述证书还包括以下至少一项:
定义所述公共密钥有效期的有效期;以及
指示所述公共密钥的使用范围的指示。
12.根据权利要求11所述方法,还包括:
通过执行以下至少一项检查来验证所述证书,
检查所述证书的签名,
根据证书撤销列表检查所述证书,
根据预先配置的条件检查使用范围,以及
检查有效期是否到期;以及
如果成功验证了所述证书,则从所述证书中提取所述公共密钥。
13.根据权利要求7所述的方法,其中,所述证书是X.509版本3证书。
14.一种在第一设备处的用于向第二设备认证所述第一设备的装置,包括:
至少一个处理器;
包括计算机程序代码的至少一个存储器,所述存储器和所述计算机程序代码被配置为与所述至少一个处理器一起工作,致使所述装置:
从服务器接收公共-私有密钥对的私有密钥和相关证书,其中所述证书包括所述公共-私有密钥对的公共密钥;
通过第一安全外壳会话向所述第二设备认证所述第一设备;
响应于所述第一安全外壳会话的成功认证,在所述第一安全外壳会话中建立的加密信道上作为业务数据向所述第二设备发送所述证书;以及
使用所述公共密钥通过第二安全外壳会话,向所述第二设备认证所述第一设备。
15.根据权利要求14所述装置,其中,所述存储器和所述计算机程序代码被配置为与所述至少一个处理器一起工作,以进一步致使所述装置执行以下操作:
在所述第一安全外壳会话中向所述第二设备发送所述第一设备的密码或固定公共密钥,从而使得所述第一设备基于所述密码或所述固定公共密钥而被认证。
16.根据权利要求14所述的装置,其中,所述存储器和所述计算机程序代码被配置为与所述至少一个处理器一起工作,以进一步致使所述装置执行以下操作:
在所述第二安全外壳会话中向所述第二设备发送所述公共密钥。
17.根据权利要求14-16中的任一项所述的装置,其中,所述证书由原始证书颁发机构的证书的私有密钥签名。
18.根据权利要求17所述的装置,其中,所述证书还包括以下项中的至少一项:
定义所述公共密钥有效期的有效期;以及
指示所述公共密钥的使用范围的指示。
19.根据权利要求14所述的装置,其中,所述证书是X.509版本3证书。
20.一种在第二设备处的用于对第一设备进行认证的装置,包括:
至少一个处理器;
至少一个存储器,包括计算机程序代码,所述存储器和所述计算机程序代码被配置为与所述至少一个处理器一起工作,致使所述装置:
通过第一安全外壳会话对所述第一设备进行认证;
响应于所述第一安全外壳会话的成功认证结果,在所述第一安全外壳会话中建立的加密信道上作为业务数据从所述第一设备接收证书,其中所述证书包括与所述第一设备相关联的公共-私有密钥对的公共密钥;以及
使用所述公共密钥通过第二安全外壳会话对所述第一设备进行认证。
21.根据权利要求20所述的装置,其中,所述存储器和所述计算机程序代码被配置为与所述至少一个处理器一起工作,以进一步致使所述装置执行以下操作:
在所述第一安全外壳会话中从所述第一设备接收密码或固定公共密钥,以基于所述密码或所述固定公共密钥来认证所述第一设备。
22.根据权利要求21所述的装置,其中,所述存储器和所述计算机程序代码被配置为与所述至少一个处理器一起工作,进一步致使所述装置执行以下操作:
在所述第二安全外壳会话中将所述公共密钥接收到所述第二设备;并且
根据所述证书中的公共密钥验证所接收到的公共密钥。
23.根据权利要求20-22中的任一项所述的装置,其中,所述证书由原始证书颁发机构的证书的私有密钥签名。
24.根据权利要求23所述的装置,其中,所述证书还包括以下项中的至少一项:
定义所述公共密钥有效期的有效期;以及
指示所述公共密钥的使用范围的指示。
25.根据权利要求24所述的装置,其中,所述存储器和所述计算机程序代码被配置为与所述至少一个处理器一起工作,以进一步致使所述装置执行以下操作:
通过执行以下至少一项检查来验证所述证书,
检查所述证书的所述签名,
根据证书撤销列表检查所述证书,
根据预先配置的条件检查使用范围,以及
检查所述有效期是否到期;以及
如果成功验证了所述证书,则从所述证书中提取所述公共密钥。
26.根据权利要求20所述的装置,其中,所述证书是X.509版本3证书。
27.一种计算机可读存储介质,在其上存储指令,当由至少一个处理器执行所述指令时,所述指令使所述至少一个处理器执行根据权利要求1至6中任一项所述的方法。
28.一种计算机可读存储介质,在其上存储指令,当由至少一个处理器执行所述指令时,所述指令使所述至少一个处理器执行根据权利要求7至13中的任一项所述的方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2018/117274 WO2020103149A1 (en) | 2018-11-23 | 2018-11-23 | Method and apparatus for authenticating a device or user |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113169953A CN113169953A (zh) | 2021-07-23 |
| CN113169953B true CN113169953B (zh) | 2023-05-30 |
Family
ID=70773788
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880099651.7A Active CN113169953B (zh) | 2018-11-23 | 2018-11-23 | 用于验证设备或用户的方法和装置 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20210409385A1 (zh) |
| CN (1) | CN113169953B (zh) |
| WO (1) | WO2020103149A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230101920A1 (en) * | 2021-09-30 | 2023-03-30 | Fortinet, Inc. | Proxy ssh public key authentication in cloud environment |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102710605A (zh) * | 2012-05-08 | 2012-10-03 | 重庆大学 | 一种云制造环境下的信息安全管控方法 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6564261B1 (en) * | 1999-05-10 | 2003-05-13 | Telefonaktiebolaget Lm Ericsson (Publ) | Distributed system to intelligently establish sessions between anonymous users over various networks |
| US8838965B2 (en) * | 2007-08-23 | 2014-09-16 | Barracuda Networks, Inc. | Secure remote support automation process |
| US8769129B2 (en) * | 2007-11-14 | 2014-07-01 | Juniper Networks, Inc. | Server initiated secure network connection |
| US9106617B2 (en) * | 2009-03-10 | 2015-08-11 | At&T Intellectual Property I, L.P. | Methods, systems and computer program products for authenticating computer processing devices and transferring both encrypted and unencrypted data therebetween |
| US9363080B2 (en) * | 2011-07-08 | 2016-06-07 | Venafi, Inc. | System for managing cryptographic keys and trust relationships in a secure shell (SSH) environment |
| US8868913B1 (en) * | 2011-09-29 | 2014-10-21 | Juniper Networks, Inc. | Automatically authenticating a host key via a dynamically generated certificate using an embedded cryptographic processor |
| CN103701919A (zh) * | 2013-12-31 | 2014-04-02 | 曙光云计算技术有限公司 | 远程登录方法与系统 |
| CN105162764A (zh) * | 2015-07-30 | 2015-12-16 | 北京石盾科技有限公司 | 一种ssh安全登录的双重认证方法、系统和装置 |
| FR3044499B1 (fr) * | 2015-11-26 | 2017-12-15 | Commissariat Energie Atomique | Methode d'etablissement d'une communication securisee de bout en bout entre le terminal d'un utilisateur et un objet connecte |
| CN105959286A (zh) * | 2016-05-13 | 2016-09-21 | 浪潮集团有限公司 | 基于证书密钥缓存的快速身份认证方法 |
| WO2017201406A1 (en) * | 2016-05-19 | 2017-11-23 | Arris Enterprises Llc | Implicit rsa certificates |
| US10764263B2 (en) * | 2016-11-28 | 2020-09-01 | Ssh Communications Security Oyj | Authentication of users in a computer network |
| US11184179B2 (en) * | 2018-02-05 | 2021-11-23 | Arris Enterprises Llc | Security using self-signed certificate that includes an out-of-band shared secret |
-
2018
- 2018-11-23 US US17/292,243 patent/US20210409385A1/en active Pending
- 2018-11-23 CN CN201880099651.7A patent/CN113169953B/zh active Active
- 2018-11-23 WO PCT/CN2018/117274 patent/WO2020103149A1/en active Application Filing
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102710605A (zh) * | 2012-05-08 | 2012-10-03 | 重庆大学 | 一种云制造环境下的信息安全管控方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2020103149A1 (en) | 2020-05-28 |
| US20210409385A1 (en) | 2021-12-30 |
| CN113169953A (zh) | 2021-07-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100843081B1 (ko) | 보안 제공 시스템 및 방법 | |
| US8812838B2 (en) | Configuring a valid duration period for a digital certificate | |
| US10567370B2 (en) | Certificate authority | |
| CN107528692B (zh) | 用于向认证机构注册智能电子装置的方法和系统 | |
| US20090240936A1 (en) | System and method for storing client-side certificate credentials | |
| US8274401B2 (en) | Secure data transfer in a communication system including portable meters | |
| US11411746B2 (en) | Systems, methods, and storage media for permissioned delegation in a computing environment | |
| US11184179B2 (en) | Security using self-signed certificate that includes an out-of-band shared secret | |
| US20110213959A1 (en) | Methods, apparatuses, system and related computer program product for privacy-enhanced identity management | |
| KR20130084315A (ko) | 신뢰성 있는 제 3자를 기반으로 한 양방향 엔티티 인증 방법 | |
| US11777743B2 (en) | Method for securely providing a personalized electronic identity on a terminal | |
| CN103237038A (zh) | 一种基于数字证书的双向入网认证方法 | |
| CN113647080B (zh) | 以密码保护的方式提供数字证书 | |
| CN113169953B (zh) | 用于验证设备或用户的方法和装置 | |
| CN110771087A (zh) | 私钥更新 | |
| JP2024513521A (ja) | 組み込みデバイスの安全な信頼の起点登録及び識別管理 | |
| US9882891B2 (en) | Identity verification | |
| GB2605951A (en) | Interim root-of-trust enrolment and device-bound public key registration | |
| Indalkar et al. | Efficient and Secure Single Sign on Mechanism for Distributed Network | |
| KR20230105554A (ko) | 클라우드 기반의 인공지능 시스템에 대한 사용자의 등록 및 로그인 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |