CN114117373B - 一种基于密钥的设备认证系统和方法 - Google Patents

一种基于密钥的设备认证系统和方法 Download PDF

Info

Publication number
CN114117373B
CN114117373B CN202111415386.9A CN202111415386A CN114117373B CN 114117373 B CN114117373 B CN 114117373B CN 202111415386 A CN202111415386 A CN 202111415386A CN 114117373 B CN114117373 B CN 114117373B
Authority
CN
China
Prior art keywords
network
network controller
equipment
authentication
verification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111415386.9A
Other languages
English (en)
Other versions
CN114117373A (zh
Inventor
郭威
罗震宇
毛正雄
陈何雄
杭菲璐
何映军
谢林江
张振红
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information Center of Yunnan Power Grid Co Ltd
Original Assignee
Information Center of Yunnan Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information Center of Yunnan Power Grid Co Ltd filed Critical Information Center of Yunnan Power Grid Co Ltd
Priority to CN202111415386.9A priority Critical patent/CN114117373B/zh
Publication of CN114117373A publication Critical patent/CN114117373A/zh
Application granted granted Critical
Publication of CN114117373B publication Critical patent/CN114117373B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种基于密钥的设备认证系统和方法,系统包括密钥生成平台和网络控制器;网络控制器包括认证模块和存储模块;本发明的系统和方法不使用常用搭建CA中心和为网络设备分发智能卡的形式,而是基于专用网络已有网络控制器作为认证设备,对认证设备和网络设备分配添加认证数据,并通过标准的TLS协议进行认证校验,降低了经济成本;另外认证数据的写入需要在设备入网前进行,增加了人员对设备的二次确认,增强了设备的可信性。

Description

一种基于密钥的设备认证系统和方法
技术领域
本发明属于网络认证领域,尤其是涉及一种在专用私有协议网络中的基于密钥的设备认证系统和方法。
背景技术
在专用网络中,基于私有的网络协议。上网设备的认证方法和在公有网络中不同,需要适配于私有的网络协议。
然而,目前的认证方法搭建CA中心和为网络设备分发智能卡,经济成本较高,认证数据的写入可信度不高。
基于上述现有技术存在的问题,有必要对现有技术进行改进,从降低成本和增加可信度的角度出发,提出新的系统和方法。
发明内容
为了解决上述问题,本发明提出一种基于密钥的设备认证系统和方法,降低了经济成本,增强了设备的可信性。
本发明的技术方案具体如下:
一种基于密钥的设备认证系统,包括密钥生成平台和网络控制器;网络控制器包括认证模块和存储模块;
密钥生成平台,随机生成网络控制器的校验信息,校验信息导出,写入网络控制器的存储模块;
网络控制器,接入网络前,在专用密钥生成工具/平台中找到该网络使用的校验信息,为待入网设备生成对应的校验信息,将校验信息导出,写入待入网设备的存储模块中;待入网设备接入网络,向网络控制器申请IP分配,网络控制器收到报文后,向待入网设备分配IP,设备获得IP地址,并获知网络控制器IP,入网成功;
认证模块读取存储模块中记录的校验信息,向网络控制器发起TLS连接,传输证书进行校验;网络控制器收到连接请求后,认证模块读取存储模块中记录的校验信息,与作为客户端的入网设备进行校验,证书校验通过,则网络控制器记录入网设备认证成功;证书校验失败,则网络控制器记录入网设备认证失败,回收分配的IP,拒绝其入网。
进一步地,非法设备不能合法的获取对应的校验信息,后续入网时无法被认证通过。
进一步地,通过DHCP协议向网络控制器申请IP分配,专用网络的IP由控制器进行分配管理。
进一步地,校验信息包括根证书、公钥、服务端证书。
进一步地,认证模块,对传输的用于认证的密钥进行校验,以确认设备在此专用网络的合法性;存储模块,存储用于认证的密钥。
进一步地,专用密钥生成平台随机生成匹配的公钥和私钥,并能将密钥导出供设备使用。
进一步地,网络控制器验证入网设备传输的私钥加密信息,是否能用自身存储的公钥解密成功,解密成功,则此入网设备的私钥与当前网络匹配,匹配则校验通过,否则校验失败。
本发明还涉及的一种基于密钥的设备认证方法,包括如下内容:
随机生成网络控制器的校验信息,校验信息导出,写入网络控制器的存储模块;
接入网络前,找到该网络使用的校验信息,为待入网设备生成对应的校验信息,将校验信息导出,写入待入网设备的存储模块中;待入网设备接入网络,向网络控制器申请IP分配;
收到报文后,向待入网设备分配IP,设备获得IP地址,并获知网络控制器IP,入网成功;
读取存储模块中记录的校验信息,向网络控制器发起TLS连接,传输证书进行校验;
收到连接请求后,认证模块读取存储模块中记录的校验信息,与作为客户端的入网设备进行校验,证书校验通过,则记录入网设备认证成功;证书校验失败,则记录入网设备认证失败,回收分配的IP,拒绝其入网。
进一步地,网络控制器验证入网设备传输的私钥加密信息,是否能用自身存储的公钥解密成功,解密成功,则此入网设备的私钥与当前网络匹配,匹配则证书校验通过,否则证书校验失败。
与现有技术相比,本发明的有益效果具体如下:
本发明的系统和方法不使用常用搭建CA中心和为网络设备分发智能卡的形式,而是基于专用网络已有网络控制器作为认证设备,对认证设备和网络设备分配添加认证数据,并通过标准的TLS协议进行认证校验,降低了经济成本;另外认证数据的写入需要在设备入网前进行,增加了人员对设备的二次确认,增强了设备的可信性。
附图说明
图1是本发明的系统框图;
图2是本发明的认证过程的流程图。
具体实施方式
下面将结合本申请实施例中的附图,对实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
除非另外定义,本申请实施例中使用的技术术语或者科学术语应当为所属领域内具有一般技能的人士所理解的通常意义。本实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。“上”、“下”、“左”、“右”、“横”以及“竖”等仅用于相对于附图中的部件的方位而言的,这些方向性术语是相对的概念,它们用于相对于的描述和澄清,其可以根据附图中的部件所放置的方位的变化而相应地发生变化。
如图1所示,本实施例的基于密钥的设备认证系统,包括密钥生成平台和网络控制器;网络控制器包括认证模块和存储模块。认证模块对传输的用于认证的密钥进行校验,以确认设备在此专用网络的合法性。存储模块存储用于认证的密钥。
密钥生成平台,随机生成网络控制器的校验信息,校验信息导出,写入网络控制器的存储模块。
网络控制器,接入网络前,在专用密钥生成工具/平台中找到该网络使用的校验信息,为待入网设备生成对应的校验信息,将校验信息导出,写入待入网设备的存储模块中;待入网设备接入网络,向网络控制器申请IP分配,网络控制器收到报文后,向待入网设备分配IP,设备获得IP地址,并获知网络控制器IP,入网成功。
认证模块读取存储模块中记录的校验信息,向网络控制器发起TLS连接,传输证书进行校验;网络控制器收到连接请求后,认证模块读取存储模块中记录的校验信息,与作为客户端的入网设备进行校验。
证书校验通过,则网络控制器记录入网设备认证成功;证书校验失败,则网络控制器记录入网设备认证失败,回收分配的IP,拒绝其入网。其中,网络控制器验证入网设备传输的私钥加密信息,是否能用自身存储的公钥解密成功,解密成功,则此入网设备的私钥与当前网络匹配,匹配则证书校验通过,否则证书校验失败。
本实施例中,专用网络中主要设备包含:网络控制器、网络设备(例如可以是交换机、网关、终端设备等),设备使用专用装置,具有认证模块和存储模块。专用网络的控制器具有DHCP功能,专用网络的IP由控制器进行分配管理。
专用密钥生成工具/平台:可随机生成匹配的公钥和私钥,并能将密钥导出供设备使用。
本实施例的基于密钥的设备认证方法,包括如下步骤:
步骤1、使用专用密钥生成工具/平台,随机生成控制器的根证书、公钥、服务端证书等,将根证书、公钥、服务端证书等导出,写入专用网络控制器的存储模块。
步骤2、待入网设备,接入网络前,在专用密钥生成工具/平台中找到该网络使用的根证书等数据,为该设备生成对应的客户端证书、私钥,将根证书、客户端证书、私钥导出,写入待入网设备的存储模块中(非法设备不能合法的获取对应的客户端证书、私钥,后续入网时将无法认证通过),如果设备为交换机或网关类设备,需要接入多个专用网络,则写入多个专用网络的对应数据,如图1所示。
步骤3、待入网设备,接入网络,通过DHCP协议向网络控制器申请IP分配,网络控制器的DHCP功能收到报文后,向待入网设备分配IP,设备获得IP地址,并获知网络控制器IP,入网成功。
步骤4、入网设备的认证模块,读取存储模块中记录的根证书、客户端证书、私钥等信息,向网络控制器发起TLS连接,传输证书进行校验;网络控制器收到连接请求后,认证模块也读取存储模块中记录的根证书、公钥、服务端证书,与作为客户端的入网设备进行校验。
步骤5、证书校验通过,则网络控制器记录入网设备认证成功;证书校验失败,则网络控制器记录入网设备认证失败,可回收分配的IP,拒绝其入网,整体流程如图2所示。
需要说明的是,应理解以上装置的各个模块的划分仅仅是一种逻辑功能的划分,实际实现时可以全部或部分集成到一个物理实体上,也可以物理上分开。且这些模块可以全部以软件通过处理元件调用的形式实现;也可以全部以硬件的形式实现;还可以部分模块通过处理元件调用软件的形式实现,部分模块通过硬件的形式实现。
这里所述的处理元件可以是一种集成电路,具有信号的处理能力。在实现过程中,上述方法的各步骤或以上各个模块可以通过处理器元件中的硬件的集成逻辑电路或者软件形式的指令完成。
例如,以上这些模块可以是被配置成实施以上方法的一个或多个集成电路,例如:一个或多个特定集成电路(Application Specific Integrated Circuit,ASIC),或,一个或多个微处理器(Digital Signal Processor,DSP),或,一个或者多个现场可编程门阵列(Field Programmable Gate Array,FPGA)等。再如,当以上某个模块通过处理元件调度程序代码的形式实现时,该处理元件可以是通用处理器,例如中央处理器(CentralProcessing Unit,CPU)或其它可以调用程序代码的处理器。再如,这些模块可以集成在一起,以片上系统(System-on-a-Chip,SOC)的形式实现。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在可读存储介质中,或者从一个可读存储介质向另一个可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如软盘、硬盘、磁带)、光介质(例如DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
本申请中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系;在公式中,字符“/”,表示前后关联对象是一种“相除”的关系。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中,a,b,c可以是单个,也可以是多个。
可以理解的是,在本申请的实施例中涉及的各种数字编号仅为描述方便进行的区分,并不用来限制本申请的实施例的范围。
可以理解的是,在本申请的实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请的实施例的实施过程构成任何限定。

Claims (6)

1.一种基于密钥的设备认证系统,其特征在于:包括密钥生成平台和网络控制器;网络控制器包括认证模块和存储模块;
密钥生成平台,随机生成网络控制器的校验信息,校验信息导出,写入网络控制器的存储模块;
网络控制器,接入网络前,在密钥生成平台中找到该网络使用的校验信息,为待入网设备生成对应的校验信息,将校验信息导出,写入待入网设备的存储模块中;待入网设备接入网络,向网络控制器申请IP分配,网络控制器收到报文后,向待入网设备分配IP,设备获得IP地址,并获知网络控制器IP,入网成功;
认证模块读取入网设备的存储模块中记录的校验信息,向网络控制器发起TLS连接,传输证书进行校验;网络控制器收到连接请求后,认证模块读取网络控制器的存储模块中记录的校验信息,对作为客户端的入网设备进行校验,证书校验通过,则网络控制器记录入网设备认证成功;证书校验失败,则网络控制器记录入网设备认证失败,回收分配的IP,拒绝其入网;
专用密钥生成平台随机生成匹配的公钥和私钥,并能将密钥导出供入网设备使用;
网络控制器验证入网设备传输的私钥加密信息,是否能用自身存储的公钥解密成功,解密成功,则此入网设备的私钥与当前网络匹配,匹配则校验通过,否则校验失败。
2.根据权利要求1所述的设备认证系统,其特征在于:非法设备不能合法的获取对应的校验信息,后续入网时无法被认证通过。
3.根据权利要求1所述的设备认证系统,其特征在于:通过DHCP协议向网络控制器申请IP分配,专用网络的IP由控制器进行分配管理。
4.根据权利要求1所述的设备认证系统,其特征在于:校验信息包括根证书、公钥、服务端证书。
5.根据权利要求1所述的设备认证系统,其特征在于:认证模块,对传输的用于认证的密钥进行校验,以确认入网设备在专用网络的合法性。
6.一种基于密钥的设备认证方法,其特征在于:适用于权利要求1-5任一项所述的认证系统,包括如下内容:
随机生成网络控制器的校验信息,校验信息导出,写入网络控制器的存储模块;
接入网络前,找到该网络使用的校验信息,为待入网设备生成对应的校验信息,将校验信息导出,写入待入网设备的存储模块中;待入网设备接入网络,向网络控制器申请IP分配;
收到报文后,向待入网设备分配IP,设备获得IP地址,并获知网络控制器IP,入网成功;
读取入网设备的存储模块中记录的校验信息,向网络控制器发起TLS连接,传输证书进行校验;
收到连接请求后,认证模块读取网络控制器的存储模块中记录的校验信息,对作为客户端的入网设备进行校验,证书校验通过,则记录入网设备认证成功;证书校验失败,则记录入网设备认证失败,回收分配的IP,拒绝其入网。
CN202111415386.9A 2021-11-25 2021-11-25 一种基于密钥的设备认证系统和方法 Active CN114117373B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111415386.9A CN114117373B (zh) 2021-11-25 2021-11-25 一种基于密钥的设备认证系统和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111415386.9A CN114117373B (zh) 2021-11-25 2021-11-25 一种基于密钥的设备认证系统和方法

Publications (2)

Publication Number Publication Date
CN114117373A CN114117373A (zh) 2022-03-01
CN114117373B true CN114117373B (zh) 2022-10-28

Family

ID=80373283

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111415386.9A Active CN114117373B (zh) 2021-11-25 2021-11-25 一种基于密钥的设备认证系统和方法

Country Status (1)

Country Link
CN (1) CN114117373B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1873991A1 (en) * 2006-06-29 2008-01-02 Research In Motion Limited System and method for securely communicating with a server
CN106506295A (zh) * 2016-11-15 2017-03-15 杭州华三通信技术有限公司 一种虚拟机接入网络的方法及装置
CN108270615A (zh) * 2017-12-25 2018-07-10 深圳市泰信通信息技术有限公司 基于sdn网络控制器的网络设备开局方法、装置及设备

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008153456A1 (en) * 2007-06-11 2008-12-18 Telefonaktiebolaget Lm Ericsson (Publ) Method and arrangement for certificate handling
JP5265016B2 (ja) * 2008-10-29 2013-08-14 ドルビー ラボラトリーズ ライセンシング コーポレイション インターネットワーキングドメインとキーシステム
US8892869B2 (en) * 2008-12-23 2014-11-18 Avaya Inc. Network device authentication
US8832811B2 (en) * 2010-08-27 2014-09-09 Red Hat, Inc. Network access control for trusted platforms
JP6168415B2 (ja) * 2014-05-27 2017-07-26 パナソニックIpマネジメント株式会社 端末認証システム、サーバ装置、及び端末認証方法
US9712489B2 (en) * 2014-07-29 2017-07-18 Aruba Networks, Inc. Client device address assignment following authentication
US11444788B2 (en) * 2020-04-13 2022-09-13 Verizon Patent And Licensing Inc. Authentication and access control for device management and provisioning

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1873991A1 (en) * 2006-06-29 2008-01-02 Research In Motion Limited System and method for securely communicating with a server
CN106506295A (zh) * 2016-11-15 2017-03-15 杭州华三通信技术有限公司 一种虚拟机接入网络的方法及装置
CN108270615A (zh) * 2017-12-25 2018-07-10 深圳市泰信通信息技术有限公司 基于sdn网络控制器的网络设备开局方法、装置及设备

Also Published As

Publication number Publication date
CN114117373A (zh) 2022-03-01

Similar Documents

Publication Publication Date Title
JP6547079B1 (ja) 登録・認可方法、装置及びシステム
US20210006410A1 (en) Method for providing virtual asset service based on decentralized identifier and virtual asset service providing server using them
US10868801B2 (en) Method and system for establishing connection
EP2963958B1 (en) Network device, terminal device and information security improving method
US9219722B2 (en) Unclonable ID based chip-to-chip communication
CN107222476B (zh) 一种认证服务方法
CN108616504B (zh) 一种基于物联网的传感器节点身份认证系统及方法
CN108880821B (zh) 一种数字证书的认证方法及设备
CN110268406B (zh) 密码安全性
CN106657152A (zh) 一种鉴权方法及服务器、访问控制装置
US10389693B2 (en) Keys for encrypted disk partitions
WO2019134234A1 (zh) 防刷登录的方法、装置、终端设备及存储介质
CN111880919A (zh) 数据调度方法、系统和计算机设备
CN109981680A (zh) 一种访问控制实现方法、装置、计算机设备及存储介质
CN114629713B (zh) 身份验证方法、装置及系统
CN112235301A (zh) 访问权限的验证方法、装置和电子设备
CN111988262B (zh) 认证方法、装置及服务器、存储介质
TW201430608A (zh) 單點登入系統及方法
CN110719174B (zh) 基于Ukey的证书签发方法
WO2024011863A9 (zh) 通信方法、装置、sim卡、电子设备和终端设备
CN114117373B (zh) 一种基于密钥的设备认证系统和方法
CN114584313B (zh) 一种设备物理身份认证方法、系统、装置及第一平台
CN114338091B (zh) 数据传输方法、装置、电子设备及存储介质
CN115329297A (zh) 基于区块链的应用互信方法、装置、设备及存储介质
CN111817860B (zh) 一种通信认证方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant