CN113794716A - 一种终端设备入网认证方法、装置、设备及可读存储介质 - Google Patents
一种终端设备入网认证方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN113794716A CN113794716A CN202111073880.1A CN202111073880A CN113794716A CN 113794716 A CN113794716 A CN 113794716A CN 202111073880 A CN202111073880 A CN 202111073880A CN 113794716 A CN113794716 A CN 113794716A
- Authority
- CN
- China
- Prior art keywords
- network access
- accessed
- terminal equipment
- target
- access authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种终端设备入网认证方法,应用于应用节点,包括:接收待入网终端设备发送的包含目标分布式身份标识的目标身份凭证;验证目标身份凭证是否合法;若是,则向待入网终端设备发送入网登记指令,以使待入网终端设备生成入网认证数据;接收待入网终端设备返回的入网认证数据和入网认证数据对应的签名结果;根据入网认证数据和签名结果对待入网终端设备进行入网登记操作。应用本发明所提供的终端设备入网认证方法,避免了对第三方中心化系统的依赖,保证了终端设备入网认证过程的安全性,避免了认证过程中敏感数据的泄露。本发明还公开了一种终端设备入网认证装置、设备及存储介质,具有相应技术效果。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种终端设备入网认证方法、装置、设备及计算机可读存储介质。
背景技术
随着互联网技术应用,不同行业提供不同的应用,终端设备根据业务需要登录不同的应用节点,为保证应用系统的安全性,需要对申请入网的终端设备进行合法性认证。
现有技术中主要是通过第三方的中心化系统实现终端设备的入网认证,如通过X509证书体系完成终端设备入网认证,但是现有的终端设备入网认证方式过度依赖中心化系统,需完成各级证书的验证,所涉及的系统实现臃肿,且在认证过程中敏感数据容易泄露。
综上所述,如何有效地解决现有的终端设备入网认证方式过度依赖中心化系统,系统实现臃肿,敏感数据容易泄露等问题,是目前本领域技术人员急需解决的问题。
发明内容
本发明的目的是提供一种终端设备入网认证方法,该方法避免了对第三方中心化系统的依赖,保证了终端设备入网认证过程的安全性,避免了认证过程中敏感数据的泄露;本发明的另一目的是提供一种终端设备入网认证装置、设备及计算机可读存储介质。
为解决上述技术问题,本发明提供如下技术方案:
一种终端设备入网认证方法,应用于应用节点,包括:
接收待入网终端设备发送的包含目标分布式身份标识的目标身份凭证;
验证所述目标身份凭证是否合法;
若是,则向所述待入网终端设备发送入网登记指令,以使所述待入网终端设备生成入网认证数据;
接收所述待入网终端设备返回的所述入网认证数据和所述入网认证数据对应的签名结果;其中,所述签名结果为所述待入网终端设备对所述入网认证数据进行摘要计算,并利用目标私钥对计算出的第一摘要结果进行签名操作得到;
根据所述入网认证数据和所述签名结果对所述待入网终端设备进行入网登记操作。
在本发明的一种具体实施方式中,还包括所述目标身份凭证的生成过程,所述目标身份凭证的生成过程包括:
当接收到所述待入网终端设备发送的终端设备初始化服务请求时,向所述待入网终端设备发送设备信息上传指令;
接收所述待入网终端设备返回的设备信息,并根据所述设备信息中的设备编码生成所述待入网终端设备对应的目标分布式身份标识;
获取根据当前可提供应用业务预生成的目标身份数据模板;
按照所述目标身份数据模板从所述设备信息中调取所述待入网终端设备对应的目标应用身份数据;
根据所述目标分布式身份标识和所述目标应用身份数据生成所述目标身份凭证;
将所述目标身份凭证返回给所述待入网终端设备,以使所述待入网终端设备将所述目标身份凭证写入内置的安全芯片。
在本发明的一种具体实施方式中,还包括所述目标身份数据模板的生成过程,所述目标身份数据模板的生成过程包括:
从行业链中调取预设的通用身份数据模板;
获取所述当前可提供应用业务的应用基本信息;
结合所述应用基本信息和所述通用身份数据模板生成所述目标身份数据模板。
在本发明的一种具体实施方式中,根据所述入网认证数据和所述签名结果对所述待入网终端设备进行入网登记操作,包括:
调取所述目标私钥对应的目标公钥;
利用所述目标公钥对所述签名结果进行解密,得到所述第一摘要结果;
对所述入网认证数据进行摘要计算,得到第二摘要结果;
判断所述第二摘要结果与所述第一摘要结果是否一致;
若是,则对所述待入网终端设备进行入网登记操作。
在本发明的一种具体实施方式中,对所述待入网终端设备进行入网登记操作,包括:
将所述签名结果和所述入网认证数据进行上链操作,以利用预设区块链网络对所述待入网终端设备进行入网登记操作。
在本发明的一种具体实施方式中,接收待入网终端设备发送的包含目标分布式身份标识的目标身份凭证,包括:
接收所述待入网终端设备发送的包含所述目标分布式身份标识且与当前可提供应用业务相对应的目标身份凭证。
在本发明的一种具体实施方式中,验证所述目标身份凭证是否合法,包括:
获取当前可提供应用业务对应的预设待验证信息;
从所述目标身份凭证中查找所述预设待验证信息相匹配的目标身份信息;
判断所述目标身份信息是否合法。
一种终端设备入网认证装置,应用于应用节点,包括:
身份凭证接收模块,用于接收待入网终端设备发送的包含目标分布式身份标识的目标身份凭证;
凭证验证模块,用于验证所述目标身份凭证是否合法;
数据生成模块,用于当确定所述目标身份凭证合法时,向所述待入网终端设备发送入网登记指令,以使所述待入网终端设备根据所述目标身份凭证的验证过程生成入网认证数据;
数据及签名结果接收模块,用于接收所述待入网终端设备返回的所述入网认证数据和所述入网认证数据对应的签名结果;其中,所述签名结果为所述待入网终端设备对所述入网认证数据进行摘要计算,并利用目标私钥对计算出的第一摘要结果进行签名操作得到;
入网登记模块,用于根据所述入网认证数据和所述签名结果对所述待入网终端设备进行入网登记操作。
一种终端设备入网认证设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如前所述终端设备入网认证方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如前所述终端设备入网认证方法的步骤。
本发明所提供的终端设备入网认证方法,应用于应用节点,包括:接收待入网终端设备发送的包含目标分布式身份标识的目标身份凭证;验证目标身份凭证是否合法;若是,则向待入网终端设备发送入网登记指令,以使待入网终端设备生成入网认证数据;接收待入网终端设备返回的入网认证数据和入网认证数据对应的签名结果;其中,签名结果为待入网终端设备对入网认证数据进行摘要计算,并利用目标私钥对计算出的第一摘要结果进行签名操作得到;根据入网认证数据和签名结果对待入网终端设备进行入网登记操作。
由上述技术方案可知,通过对终端设备上传的包含目标分布式身份标识的目标身份凭证进行认证,在认证通过后接收终端设备返回的入网认证数据和入网认证数据对应的签名结果,通过对入网认证数据进行签名验签,当验签通过时对待入网终端设备进行入网登记操作。通过对包含目标分布式身份标识的目标身份凭证进行认证,实现了终端设备与应用节点之间的直接认证,避免了对第三方中心化系统的依赖。通过对终端设备返回的入网认证数据进行签名验签,保证了终端设备入网认证过程的安全性,避免了认证过程中敏感数据的泄露。
相应的,本发明还提供了与上述终端设备入网认证方法相对应的终端设备入网认证装置、设备和计算机可读存储介质,具有上述技术效果,在此不再赘述。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中终端设备入网认证方法的一种实施流程图;
图2为本发明实施例中终端设备入网认证方法的另一种实施流程图;
图3为本发明实施例中一种终端设备入网认证系统的结构框图;
图4为本发明实施例中一种终端设备入网认证装置的结构框图;
图5为本发明实施例中一种终端设备入网认证设备的结构框图;
图6为本实施例提供的一种终端设备入网认证设备的具体结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图1,图1为本发明实施例中终端设备入网认证方法的一种实施流程图,该方法可以包括以下步骤:
S101:接收待入网终端设备发送的包含目标分布式身份标识的目标身份凭证。
当待入网终端设备需要接入应用节点时,向应用节点发送包含目标分布式身份标识(Decentralized Identifiers,DID)的目标身份凭证。应用节点接收待入网终端设备发送的包含目标分布式身份标识的目标身份凭证。
分布式身份标识是一种去中心化的可验证的数字标识符,具有分布式、自主可控、跨链复用等特点。
S102:验证目标身份凭证是否合法,若是,则执行步骤S103,若否,则不做处理。
在接收到待入网终端设备发送的包含目标分布式身份标识的目标身份凭证之后,验证目标身份凭证是否合法,若是,则说明待入网终端设备的目标身份凭证中包含应用节点需要验证的设备身份数据,执行步骤S103,若否,则说明待入网终端设备的目标身份凭证中不包含应用节点需要验证的设备身份数据,待入网终端设备入网认证不通过,不做处理。通过根据包含目标分布式身份标识的目标身份凭证对待入网终端设备进行身份验证,实现了对待入网终端设备与应用节点之间的直接认证,避免了对第三方中心化系统的依赖,简化了待入网终端设备的入网认证流程。
S103:向待入网终端设备发送入网登记指令,以使待入网终端设备生成入网认证数据。
在确定待入网终端设备的目标身份凭证合法之后,向待入网终端设备发送入网登记指令,待入网终端设备生成入网认证数据。入网登记指令中可以携带有应用节点从待入网终端设备的目标身份凭证中筛选到的用于进行身份验证的设备身份数据,待入网终端设备根据该设备身份数据和目标身份凭证验证结果生成入网认证数据。
S104:接收待入网终端设备返回的入网认证数据和入网认证数据对应的签名结果。
其中,签名结果为待入网终端设备对入网认证数据进行摘要计算,并利用目标私钥对计算出的第一摘要结果进行签名操作得到。
在待入网终端设备生成入网认证数据之后,待入网终端设备对入网认证数据进行摘要计算,得到第一摘要结果。待入网终端设备预先设置有非对称密钥对,在得到第一摘要结果之后,利用非对称密钥对中的目标私钥对计算出的第一摘要结果进行签名操作,得到签名结果。在得到签名结果之后,待入网终端设备将入网认证数据和签名结果均返回给应用节点。应用节点接收待入网终端设备返回的入网认证数据和入网认证数据对应的签名结果。
S105:根据入网认证数据和签名结果对待入网终端设备进行入网登记操作。
应用节点在接收到待入网终端设备返回的入网认证数据和入网认证数据对应的签名结果之后,根据入网认证数据和签名结果对待入网终端设备进行入网登记操作。
应用节点中存储有待入网终端设备预先上传的目标私钥对应的目标公钥,应用节点在接收到待入网终端设备返回的入网认证数据和入网认证数据对应的签名结果之后,利用目标公钥对签名结果进行解密,得到解密后的摘要结果,并对入网认证数据进行摘要计算,得到新生成的摘要结果,通过将解密后的摘要结果与新生成的摘要结果进行对比,若两摘要结果相同,则对待入网终端设备进行入网登记操作,在入网认证完成即可执行交易。通过对包含目标分布式身份标识的目标身份凭证进行认证,实现了终端设备与应用节点之间的直接认证,避免了对第三方中心化系统的依赖。通过对终端设备返回的入网认证数据进行签名验签,保证了终端设备入网认证过程的安全性,避免了认证过程中敏感数据的泄露。
由上述技术方案可知,通过对终端设备上传的包含目标分布式身份标识的目标身份凭证进行认证,在认证通过后接收终端设备返回的入网认证数据和入网认证数据对应的签名结果,通过对入网认证数据进行签名验签,当验签通过时对待入网终端设备进行入网登记操作。通过对包含目标分布式身份标识的目标身份凭证进行认证,实现了终端设备与应用节点之间的直接认证,避免了对第三方中心化系统的依赖。通过对终端设备返回的入网认证数据进行签名验签,保证了终端设备入网认证过程的安全性,避免了认证过程中敏感数据的泄露。
需要说明的是,基于上述实施例,本发明实施例还提供了相应的改进方案。在后续实施例中涉及与上述实施例中相同步骤或相应步骤之间可相互参考,相应的有益效果也可相互参照,在下文的改进实施例中不再一一赘述。
参见图2,图2为本发明实施例中终端设备入网认证方法的另一种实施流程图,该方法可以包括以下步骤:
S201:当接收到待入网终端设备发送的终端设备初始化服务请求时,向待入网终端设备发送设备信息上传指令。
当待入网终端设备存在对接某特定应用节点的业务需求时,向相应的应用节点发送终端设备初始化服务请求。应用节点在接收到终端设备初始化服务请求之后,向待入网终端设备发送设备信息上传指令。
S202:接收待入网终端设备返回的设备信息,并根据设备信息中的设备编码生成待入网终端设备对应的目标分布式身份标识。
待入网终端设备在接收到设备信息上传指令之后,向应用节点返回设备信息,设备信息可以包含设备编号、设备名称等。应用节点接收待入网终端设备返回的设备信息,并根据设备信息中的设备编码生成待入网终端设备对应的目标分布式身份标识。
参见图3,图3为本发明实施例中一种终端设备入网认证系统的结构框图。整个系统中主要包含监管节点、行业节点、应用节点、终端设备、终端生产厂商。其中,监管节点,主要负责对行业节点的接入、认证及管理,一般采用联盟链技术,同时负责DID的规则制定、提供行业节点DID生成、验证服务。终端设备的DID标识编码规则设置为:行业编码:应用编码:设备编码。其中,行业编码由相应的行业节点生成,应用编码由相应的应用节点生成,设备编码由终端设备生成,且设备编码一般通过公钥计算得到,从而保证了设备编码的唯一性。
行业节点,主要负责对应用节点的接入、认证及管理,参与应用节点的DID生成及管理。
应用节点,每个节点可以与多个终端设备连接,并参与应用节点的DID生成及管理。同时与终端厂商连接,提供终端设备初始化服务。
终端设备、终端厂商,终端厂商生产终端设备,同时连接对应的应用节点,完成终端设备的初始化。终端设备内置有安全芯片,负责密钥生成、计算,及敏感数据存储。
S203:获取根据当前可提供应用业务预生成的目标身份数据模板。
应用节点预先根据当前可提供应用业务预生成目标身份数据模板,在根据设备信息中的设备编码生成待入网终端设备对应的目标分布式身份标识之后,获取根据当前可提供应用业务预生成的目标身份数据模板。
在本发明的一种具体实施方式中,步骤S203可以包括以下步骤:
步骤一:从行业链中调取预设的通用身份数据模板;
步骤二:获取当前可提供应用业务的应用基本信息;
步骤三:结合应用基本信息和通用身份数据模板生成目标身份数据模板。
为方便描述,可以将上述三个步骤结合起来进行说明。
预先在行业链中设置当前行业通用的通用身份数据模板,从行业链中调取预设的通用身份数据模板,通用身份数据模板一般包括行业信息、应用信息、设备信息等,如在证件办理机构中通用身份数据模板中可以包含姓名、出生年月、性别等信息,但是通用身份数据模板不包含应用业务相关的信息。获取当前可提供应用业务的应用基本信息,结合应用基本信息和通用身份数据模板生成目标身份数据模板,如当应用节点为身份证办理节点时,目标身份数据模板中除包含姓名、出生年月、性别等信息之外,还包含身份证号,家庭住址等信息;当应用节点为护照办理节点时,目标身份数据模板中除包含姓名、出生年月、性别等信息之外,还包含护照号。
S204:按照目标身份数据模板从设备信息中调取待入网终端设备对应的目标应用身份数据。
在获取到目标身份数据模板之后,按照目标身份数据模板从设备信息中调取待入网终端设备对应的目标应用身份数据。承接上述举例,当目标身份数据模板为身份证办理模板时,调取待入网终端设备对应的身份证号和家庭住址信息,当目标身份数据模板为护照办理节点时,调取待入网终端设备对应的护照号。
S205:根据目标分布式身份标识和目标应用身份数据生成目标身份凭证。
在按照目标身份数据模板从设备信息中调取到待入网终端设备对应的目标应用身份数据之后,根据目标分布式身份标识和目标应用身份数据生成目标身份凭证。
S206:将目标身份凭证返回给待入网终端设备,以使待入网终端设备将目标身份凭证写入内置的安全芯片。
应用节点在生成目标身份凭证之后,将目标身份凭证返回给待入网终端设备。待入网终端设备内置有安全芯片,待入网终端设备在接收到目标身份凭证之后,将目标身份凭证写入内置的安全芯片,从而完成待入网终端设备对应的目标身份凭证的生成操作。进一步地,在将目标身份凭证写入内置的安全芯片之后,同步替换安全芯片的安全域密钥,从而提升目标身份凭证在待入网终端设备存储的安全性。
S207:接收待入网终端设备发送的包含目标分布式身份标识且与当前可提供应用业务相对应的目标身份凭证。
一个终端设备可以支持接入多个应用节点,即在终端设备初始化时,同步写入多个应用节点的可匿名身份凭证。当待入网终端设备需要接入某应用节点时,向该应用节点发送包含目标分布式身份标识且与该应用节点当前可提供应用业务相对应的目标身份凭证,应用节点接收目标身份凭证。通过在终端设备中设置多个应用节点的可匿名身份凭证,实现终端设备功能的可扩展性。
S208:获取当前可提供应用业务对应的预设待验证信息。
应用节点可以根据实际应用场景从目标身份凭证中筛选相应的指标信息作为当前可提供应用业务的待验证信息。应用节点在接收到待入网终端设备发送的包含目标分布式身份标识且与当前可提供应用业务相对应的目标身份凭证之后,获取当前可提供应用业务对应的预设待验证信息。
S209:从目标身份凭证中查找预设待验证信息相匹配的目标身份信息。
在获取到当前可提供应用业务对应的预设待验证信息之后,从目标身份凭证中查找预设待验证信息相匹配的目标身份信息。
S210:判断目标身份信息是否合法,若是,则执行步骤S211,若否,则不做处理。
在从目标身份凭证中查找预设待验证信息相匹配的目标身份信息之后,判断目标身份信息是否合法,若是,则说明待入网终端设备的目标身份凭证中包含应用节点需要验证的设备身份数据,执行步骤S211,若否,则说明待入网终端设备的目标身份凭证中不包含应用节点需要验证的设备身份数据,待入网终端设备入网认证不通过,不做处理。通过从目标身份凭证包含的全部身份信息中提取与预设待验证信息相匹配的目标身份信息对待入网终端设备进行身份凭证验证,较大地提高了对待入网终端设备进行身份凭证验证的验证效率。
S211:向待入网终端设备发送入网登记指令,以使待入网终端设备生成入网认证数据。
S212:接收待入网终端设备返回的入网认证数据和入网认证数据对应的签名结果。
其中,签名结果为待入网终端设备对入网认证数据进行摘要计算,并利用目标私钥对计算出的第一摘要结果进行签名操作得到。
S213:调取目标私钥对应的目标公钥。
在接收到待入网终端设备返回的入网认证数据和入网认证数据对应的签名结果之后,调取目标私钥对应的目标公钥。
S214:利用目标公钥对签名结果进行解密,得到第一摘要结果。
在调取到目标私钥对应的目标公钥之后,利用目标公钥对签名结果进行解密,得到第一摘要结果。
S215:对入网认证数据进行摘要计算,得到第二摘要结果。
在接收到待入网终端设备返回的入网认证数据之后,对入网认证数据进行摘要计算,得到第二摘要结果。
S216:判断第二摘要结果与第一摘要结果是否一致,若是,则执行步骤S217,若否,则不做处理。
在解密得到第一摘要结果,并计算得到第二摘要结果之后,判断第二摘要结果与第一摘要结果是否一致,若是,则说明入网认证数据在传输过程未发生篡改,执行步骤S217,若否,则说明入网认证数据在传输过程发生了篡改,不做处理。
S217:将签名结果和入网认证数据进行上链操作,以利用预设区块链网络对待入网终端设备进行入网登记操作。
在确定第二摘要结果与第一摘要结果一致之后,说明入网认证数据在传输过程未发生篡改,将签名结果和入网认证数据进行上链操作,利用预设区块链网络对待入网终端设备进行入网登记操作,用于后续的交易验证。通过利用预设区块链网络对待入网终端设备进行入网登记操作,较大地提升了认证安全性。
相应于上面的方法实施例,本发明还提供了一种终端设备入网认证装置,下文描述的终端设备入网认证装置与上文描述的终端设备入网认证方法可相互对应参照。
参见图4,图4为本发明实施例中一种终端设备入网认证装置的结构框图,应用于应用节点,该装置可以包括:
身份凭证接收模块41,用于接收待入网终端设备发送的包含目标分布式身份标识的目标身份凭证;
凭证验证模块42,用于验证目标身份凭证是否合法;
数据生成模块43,用于当确定目标身份凭证合法时,向待入网终端设备发送入网登记指令,以使待入网终端设备根据目标身份凭证的验证过程生成入网认证数据;
数据及签名结果接收模块44,用于接收待入网终端设备返回的入网认证数据和入网认证数据对应的签名结果;其中,签名结果为待入网终端设备对入网认证数据进行摘要计算,并利用目标私钥对计算出的第一摘要结果进行签名操作得到;
入网登记模块45,用于根据入网认证数据和签名结果对待入网终端设备进行入网登记操作。
由上述技术方案可知,通过对终端设备上传的包含目标分布式身份标识的目标身份凭证进行认证,在认证通过后接收终端设备返回的入网认证数据和入网认证数据对应的签名结果,通过对入网认证数据进行签名验签,当验签通过时对待入网终端设备进行入网登记操作。通过对包含目标分布式身份标识的目标身份凭证进行认证,实现了终端设备与应用节点之间的直接认证,避免了对第三方中心化系统的依赖。通过对终端设备返回的入网认证数据进行签名验签,保证了终端设备入网认证过程的安全性,避免了认证过程中敏感数据的泄露。
在本发明的一种具体实施方式中,该装置包括身份凭证生成模块,身份凭证生成模块包括:
指令发送子模块,用于当接收到待入网终端设备发送的终端设备初始化服务请求时,向待入网终端设备发送设备信息上传指令;
身份标识生成子模块,用于接收待入网终端设备返回的设备信息,并根据设备信息中的设备编码生成待入网终端设备对应的目标分布式身份标识;
模板获取子模块,用于获取根据当前可提供应用业务预生成的目标身份数据模板;
身份数据调取子模块,用于按照目标身份数据模板从设备信息中调取待入网终端设备对应的目标应用身份数据;
身份凭证生成子模块,用于根据目标分布式身份标识和目标应用身份数据生成目标身份凭证;
身份凭证写入子模块,用于将目标身份凭证返回给待入网终端设备,以使待入网终端设备将目标身份凭证写入内置的安全芯片。
在本发明的一种具体实施方式中,该装置包括模板生成模块,模板生成模块包括:
通用模板调取子模块,用于从行业链中调取预设的通用身份数据模板;
应用基本信息获取子模块,用于获取当前可提供应用业务的应用基本信息;
模板生成子模块,用于结合应用基本信息和通用身份数据模板生成目标身份数据模板。
在本发明的一种具体实施方式中,入网登记模块45包括:
公钥调取子模块,用于调取目标私钥对应的目标公钥;
签名结果解密子模块,用于利用目标公钥对签名结果进行解密,得到第一摘要结果;
摘要计算子模块,用于对入网认证数据进行摘要计算,得到第二摘要结果;
第一判断子模块,用于判断第二摘要结果与第一摘要结果是否一致;
入网登记子模块,用于当确定第二摘要结果与第一摘要结果一致时,对待入网终端设备进行入网登记操作。
在本发明的一种具体实施方式中,入网登记子模块45具体为将签名结果和入网认证数据进行上链操作,以利用预设区块链网络对待入网终端设备进行入网登记操作的模块。
在本发明的一种具体实施方式中,身份凭证接收模块41具体为接收待入网终端设备发送的包含目标分布式身份标识且与当前可提供应用业务相对应的目标身份凭证的模块。
在本发明的一种具体实施方式中,凭证验证模块42包括:
待验证信息获取子模块,用于获取当前可提供应用业务对应的预设待验证信息;
身份信息查找子模块,用于从目标身份凭证中查找预设待验证信息相匹配的目标身份信息;
第二判断子模块,用于判断目标身份信息是否合法。
相应于上面的方法实施例,参见图5,图5为本发明所提供的终端设备入网认证设备的示意图,该设备可以包括:
存储器332,用于存储计算机程序;
处理器322,用于执行计算机程序时实现上述方法实施例的终端设备入网认证方法的步骤。
具体的,请参考图6,图6为本实施例提供的一种终端设备入网认证设备的具体结构示意图,该终端设备入网认证设备可因配置或性能不同而产生比较大的差异,可以包括处理器(central processing units,CPU)322(例如,一个或一个以上处理器)和存储器332,存储器332存储有一个或一个以上的计算机应用程序342或数据344。其中,存储器332可以是短暂存储或持久存储。存储在存储器332的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地,处理器322可以设置为与存储器332通信,在终端设备入网认证设备301上执行存储器332中的一系列指令操作。
终端设备入网认证设备301还可以包括一个或一个以上电源326,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口358,和/或,一个或一个以上操作系统341。
上文所描述的终端设备入网认证方法中的步骤可以由终端设备入网认证设备的结构实现。
相应于上面的方法实施例,本发明还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时可实现如下步骤:
接收待入网终端设备发送的包含目标分布式身份标识的目标身份凭证;验证目标身份凭证是否合法;若是,则向待入网终端设备发送入网登记指令,以使待入网终端设备生成入网认证数据;接收待入网终端设备返回的入网认证数据和入网认证数据对应的签名结果;其中,签名结果为待入网终端设备对入网认证数据进行摘要计算,并利用目标私钥对计算出的第一摘要结果进行签名操作得到;根据入网认证数据和签名结果对待入网终端设备进行入网登记操作。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
对于本发明提供的计算机可读存储介质的介绍请参照上述方法实施例,本发明在此不做赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置、设备及计算机可读存储介质而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的技术方案及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (10)
1.一种终端设备入网认证方法,其特征在于,应用于应用节点,包括:
接收待入网终端设备发送的包含目标分布式身份标识的目标身份凭证;
验证所述目标身份凭证是否合法;
若是,则向所述待入网终端设备发送入网登记指令,以使所述待入网终端设备生成入网认证数据;
接收所述待入网终端设备返回的所述入网认证数据和所述入网认证数据对应的签名结果;其中,所述签名结果为所述待入网终端设备对所述入网认证数据进行摘要计算,并利用目标私钥对计算出的第一摘要结果进行签名操作得到;
根据所述入网认证数据和所述签名结果对所述待入网终端设备进行入网登记操作。
2.根据权利要求1所述的终端设备入网认证方法,其特征在于,还包括所述目标身份凭证的生成过程,所述目标身份凭证的生成过程包括:
当接收到所述待入网终端设备发送的终端设备初始化服务请求时,向所述待入网终端设备发送设备信息上传指令;
接收所述待入网终端设备返回的设备信息,并根据所述设备信息中的设备编码生成所述待入网终端设备对应的目标分布式身份标识;
获取根据当前可提供应用业务预生成的目标身份数据模板;
按照所述目标身份数据模板从所述设备信息中调取所述待入网终端设备对应的目标应用身份数据;
根据所述目标分布式身份标识和所述目标应用身份数据生成所述目标身份凭证;
将所述目标身份凭证返回给所述待入网终端设备,以使所述待入网终端设备将所述目标身份凭证写入内置的安全芯片。
3.根据权利要求2所述的终端设备入网认证方法,其特征在于,还包括所述目标身份数据模板的生成过程,所述目标身份数据模板的生成过程包括:
从行业链中调取预设的通用身份数据模板;
获取所述当前可提供应用业务的应用基本信息;
结合所述应用基本信息和所述通用身份数据模板生成所述目标身份数据模板。
4.根据权利要求1至3任一项所述的终端设备入网认证方法,其特征在于,根据所述入网认证数据和所述签名结果对所述待入网终端设备进行入网登记操作,包括:
调取所述目标私钥对应的目标公钥;
利用所述目标公钥对所述签名结果进行解密,得到所述第一摘要结果;
对所述入网认证数据进行摘要计算,得到第二摘要结果;
判断所述第二摘要结果与所述第一摘要结果是否一致;
若是,则对所述待入网终端设备进行入网登记操作。
5.根据权利要求4所述的终端设备入网认证方法,其特征在于,对所述待入网终端设备进行入网登记操作,包括:
将所述签名结果和所述入网认证数据进行上链操作,以利用预设区块链网络对所述待入网终端设备进行入网登记操作。
6.根据权利要求1所述的终端设备入网认证方法,其特征在于,接收待入网终端设备发送的包含目标分布式身份标识的目标身份凭证,包括:
接收所述待入网终端设备发送的包含所述目标分布式身份标识且与当前可提供应用业务相对应的目标身份凭证。
7.根据权利要求1所述的终端设备入网认证方法,其特征在于,验证所述目标身份凭证是否合法,包括:
获取当前可提供应用业务对应的预设待验证信息;
从所述目标身份凭证中查找所述预设待验证信息相匹配的目标身份信息;
判断所述目标身份信息是否合法。
8.一种终端设备入网认证装置,其特征在于,应用于应用节点,包括:
身份凭证接收模块,用于接收待入网终端设备发送的包含目标分布式身份标识的目标身份凭证;
凭证验证模块,用于验证所述目标身份凭证是否合法;
数据生成模块,用于当确定所述目标身份凭证合法时,向所述待入网终端设备发送入网登记指令,以使所述待入网终端设备根据所述目标身份凭证的验证过程生成入网认证数据;
数据及签名结果接收模块,用于接收所述待入网终端设备返回的所述入网认证数据和所述入网认证数据对应的签名结果;其中,所述签名结果为所述待入网终端设备对所述入网认证数据进行摘要计算,并利用目标私钥对计算出的第一摘要结果进行签名操作得到;
入网登记模块,用于根据所述入网认证数据和所述签名结果对所述待入网终端设备进行入网登记操作。
9.一种终端设备入网认证设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述终端设备入网认证方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述终端设备入网认证方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111073880.1A CN113794716B (zh) | 2021-09-14 | 2021-09-14 | 一种终端设备入网认证方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111073880.1A CN113794716B (zh) | 2021-09-14 | 2021-09-14 | 一种终端设备入网认证方法、装置、设备及可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113794716A true CN113794716A (zh) | 2021-12-14 |
CN113794716B CN113794716B (zh) | 2023-06-06 |
Family
ID=78880137
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111073880.1A Active CN113794716B (zh) | 2021-09-14 | 2021-09-14 | 一种终端设备入网认证方法、装置、设备及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113794716B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109495516A (zh) * | 2019-01-07 | 2019-03-19 | 国网江苏省电力有限公司无锡供电分公司 | 基于区块链的电力物联网终端接入方法 |
CN112311530A (zh) * | 2020-10-29 | 2021-02-02 | 中国科学院信息工程研究所 | 一种基于区块链的联盟信任分布式身份凭证管理认证方法 |
WO2021031689A1 (zh) * | 2019-08-19 | 2021-02-25 | 北京国双科技有限公司 | 一种单点登录方法、装置及系统 |
CN112733121A (zh) * | 2021-01-13 | 2021-04-30 | 京东数科海益信息科技有限公司 | 数据获取方法、装置、设备及存储介质 |
CN112926092A (zh) * | 2021-03-30 | 2021-06-08 | 支付宝(杭州)信息技术有限公司 | 保护隐私的身份信息存储、身份认证方法及装置 |
CN113297560A (zh) * | 2021-05-06 | 2021-08-24 | 北京奇虎科技有限公司 | 基于区块链的身份认证方法、装置、设备及可读存储介质 |
-
2021
- 2021-09-14 CN CN202111073880.1A patent/CN113794716B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109495516A (zh) * | 2019-01-07 | 2019-03-19 | 国网江苏省电力有限公司无锡供电分公司 | 基于区块链的电力物联网终端接入方法 |
WO2021031689A1 (zh) * | 2019-08-19 | 2021-02-25 | 北京国双科技有限公司 | 一种单点登录方法、装置及系统 |
CN112311530A (zh) * | 2020-10-29 | 2021-02-02 | 中国科学院信息工程研究所 | 一种基于区块链的联盟信任分布式身份凭证管理认证方法 |
CN112733121A (zh) * | 2021-01-13 | 2021-04-30 | 京东数科海益信息科技有限公司 | 数据获取方法、装置、设备及存储介质 |
CN112926092A (zh) * | 2021-03-30 | 2021-06-08 | 支付宝(杭州)信息技术有限公司 | 保护隐私的身份信息存储、身份认证方法及装置 |
CN113297560A (zh) * | 2021-05-06 | 2021-08-24 | 北京奇虎科技有限公司 | 基于区块链的身份认证方法、装置、设备及可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN113794716B (zh) | 2023-06-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111401902B (zh) | 基于区块链的业务处理方法、业务处理方法、装置及设备 | |
CN107948152B (zh) | 信息存储方法、获取方法、装置及设备 | |
CN112215608A (zh) | 数据处理方法和装置 | |
CN111126950A (zh) | 一种基于区块链的业务处理方法、装置及设备 | |
CN101808092B (zh) | 多证书共享方法、系统和智能卡 | |
CN112165382B (zh) | 软件授权方法、装置、授权服务端及终端设备 | |
CN110149323B (zh) | 一种具有千万级tps合约处理能力的处理装置 | |
CN111881483B (zh) | 基于区块链的资源账户绑定方法、装置、设备和介质 | |
CN113055176B (zh) | 终端认证方法和系统、终端设备、p2p验证平台和介质 | |
CN112989380A (zh) | 资源交换处理方法、装置、设备及存储介质 | |
CN111880919A (zh) | 数据调度方法、系统和计算机设备 | |
CN112953978A (zh) | 一种多重签名认证方法、装置、设备及介质 | |
CN110798322B (zh) | 一种操作请求方法、装置、存储介质及处理器 | |
CN113129008B (zh) | 数据处理方法、装置、计算机可读介质及电子设备 | |
CN110910110A (zh) | 一种数据处理方法、装置及计算机存储介质 | |
CN113849797A (zh) | 数据安全漏洞的修复方法、装置、设备及存储介质 | |
CN108292997B (zh) | 认证控制系统及方法、服务器装置、客户装置、认证方法及记录介质 | |
CN115409511B (zh) | 一种基于区块链的个人信息保护系统 | |
CN116527330A (zh) | 系统的登录方法及装置、存储介质和电子设备 | |
CN113794716B (zh) | 一种终端设备入网认证方法、装置、设备及可读存储介质 | |
CN113395281B (zh) | 可验证声明的验证方法、装置和电子设备 | |
CN112865981B (zh) | 一种令牌获取、验证方法及装置 | |
CN115114630A (zh) | 一种数据共享方法、装置及电子设备 | |
CN110941745A (zh) | 电子合同管理方法、装置、存储介质及电子设备 | |
CN117034370B (zh) | 基于区块链网络的数据处理方法及相关设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |