CN114448729B - 工业互联网中客户端的身份认证方法和装置 - Google Patents
工业互联网中客户端的身份认证方法和装置 Download PDFInfo
- Publication number
- CN114448729B CN114448729B CN202210357140.9A CN202210357140A CN114448729B CN 114448729 B CN114448729 B CN 114448729B CN 202210357140 A CN202210357140 A CN 202210357140A CN 114448729 B CN114448729 B CN 114448729B
- Authority
- CN
- China
- Prior art keywords
- signature
- client
- analysis request
- collaborative
- identifier analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/30—Computing systems specially adapted for manufacturing
Abstract
本公开实施例公开了一种工业互联网中客户端的身份认证方法、装置、电子设备和存储介质,其中,方法包括:当验证信息携带的客户端的第一签名通过验证,协同签名端对第一标识解析请求进行签名处理,得到第二标识解析请求;客户端对第二标识解析请求进行签名处理,得到第三标识解析请求,身份认证端通过第一数字证书和第二数字证书分别对客户端的第二签名和协同签名端的签名进行验证,当协同签名端的签名和客户端的第二签名均验证通过,确定客户端的身份验证通过。由此实现对客户端身份的验证,提高了标识解析体系的安全性,降低了由于客户端被攻击、身份凭证丢失等使得客户端被仿冒,从而导致标识解析信息被泄漏的风险。
Description
技术领域
本公开涉及工业互联网技术,尤其是一种工业互联网中客户端的身份认证方法、装置、电子设备和存储介质。
背景技术
工业互联网(Industrial Internet)是新一代信息通信技术与工业经济深度融合的新型基础设施、应用模式和工业生态,其通过对人、机、物、系统等的全面连接,构建起覆盖全产业链、全价值链的全新制造和服务体系。其中,标识解析体系是工业互联网的基础系统。在标识解析体系中,标识用于唯一表示一各商品或机械,标识解析体系可以使用标识对机器和商品进行定位和信息查询。
标识解析体系包括国家顶级节点、各行业二级节点、公共递归解析节点、企业节点和客户端。国家顶级节点与其他标识体系的根节点、各行业二级节点及各行业二级节点以下其他标识解析服务节点连通,用于向全国范围提供顶级标识编码注册、标识解析、标识备案、标识认证等。各行业二级节点为行业或者区域内部的标识解析公共服务节点。企业节点为企业内部的标识解析服务节点,与企业的客户端连通,用于向企业提供标识编码注册和标识解析服务,企业节点与行业二级节点连通。公共递归解析节点为接收外部客户端的标识查询请求,在标识解析体系内部通过逐级递归的方式,找到企业节点,并获取标识的详细信息。客户端用于向发企业节点发送标识解析、注册等请求。
当前的标识解析体系中,在对标识解析时仅涉及对各节点的身份的进行验证,未涉及到对客户端身份的验证,这就使得存在假冒客户端获取标识解析信息风险,导致标识解析的信息存在泄漏的安全隐患。
发明内容
本公开实施例提供一种工业互联网中客户端的身份认证方法、装置、电子设备和存储介质,以解决现有技术中由于现有工业互联网标识解析体系在对标识进行解析时,未对客户端身份进行验证,导致标识解析信息存在泄漏等的安全隐患的问题。
本公开实施例的一个方面,提供一种工业互联网中客户端的身份认证方法,包括:协同签名端接收客户端发送的第一标识解析请求信息,其中,所述第一标识解析请求信息包括第一标识解析请求和验证信息,所述验证信息携带有所述客户端的第一签名;响应于所述验证信息携带的所述客户端的第一签名通过验证,所述协同签名端对所述第一标识解析请求进行签名处理,得到第二标识解析请求;将所述第二标识解析请求发送给所述客户端;所述客户端对所述第二标识解析请求进行签名处理,得到第三标识解析请求,其中,所述第三标识解析请求携带有客户端的第二签名和协同签名端的签名;将所述第三标识解析请求发送给身份认证端;所述身份认证端通过第一数字证书对所述第三标识解析请求所携带的客户端的第二签名进行验证,以及通过第二数字证书对所述第三标识解析请求所携带的协同签名端的签名进行验证;响应于所述第三标识解析请求所携带的协同签名端的签名和客户端的第二签名均验证通过,确定所述客户端的身份验证通过。
可选地,在本公开上述任一实施例的方法中,还包括:证书端接收所述客户端发送的第一证书申请信息,其中,所述第一证书申请信息包括第一身份信息和第一公私密钥对中的第一公钥,所述第一公钥用于对所述客户端通过所述第一公私密钥对中的第一私钥生成的客户端的第二签名进行验证;响应于所述第一身份信息通过所述证书端的审核,所述证书端生成第一数字证书;分别向所述身份认证端和所述客户端发送所述第一数字证书。
可选地,在本公开上述任一实施例的方法中,还包括:所述证书端接收所述协同签名端发送的第二证书申请信息,其中,所述第二证书申请信息包括所述第二身份信息和第二公私密钥对中的第二公钥,所述第二公钥用于对所述第二公私密钥对中的第二私钥生成的协同签名端的签名进行验证;响应于所述第二身份信息通过所述证书端的审核,所述证书端生成第二数字证书;分别向所述身份认证端和所述协同签名端发送所述第二数字证书。
可选地,在本公开上述任一实施例的方法中,所述第一数字证书包括所述第一公钥;所述身份认证端通过第一数字证书对所述第三标识解析请求所携带的客户端的第二签名进行验证,包括:所述身份认证端通过所述第一公钥对所述第三标识解析请求所携带的客户端的第二签名进行验证。
可选地,在本公开上述任一实施例的方法中,所述第二数字证书包括所述第二公钥;所述身份认证端通过第二数字证书对所述第三标识解析请求所携带的协同签名端的签名进行验证,包括:所述身份认证端通过所述第二公钥对所述第三标识解析请求所携带的协同签名端的签名进行验证。
可选地,在本公开上述任一实施例的方法中,还包括:所述协同签名端接收所述客户端发送的所述认证信息,所述认证信息包括所述第一身份信息和第三公私密钥对中的第三公钥,其中,所述第三公钥用于验证所述客户端通过所述第三公私密钥对中的第三私钥生成的客户端的第一签名;响应于所述第一身份信息通过所述协同签名端验证,所述协同签名端存储所述第三公钥,并向所述客户端反馈认证通过消息。
可选地,在本公开上述任一实施例的方法中,还包括:所述客户端通过所述第三私钥对所述验证信息进行签名处理,以使所述验证信息携带有客户端的第一签名;所述协同签名端通过所述第三公钥对所述验证信息所携带的所述客户端的第一签名进行验证。
根据本公开实施例的另一个方面,提供了一种工业互联网中客户端的身份认证装置,包括:第一接收模块,用于协同签名端接收客户端发送的第一标识解析请求信息,其中,所述第一标识解析请求信息包括第一标识解析请求和验证信息,所述验证信息携带有所述客户端的第一签名;第一响应模块,用于响应于所述验证信息携带的所述客户端的第一签名通过验证,所述协同签名端对所述第一标识解析请求进行签名处理,得到第二标识解析请求;第一发送模块,用于将所述第二标识解析请求发送给所述客户端;签名模块,用于所述客户端对所述第二标识解析请求进行签名处理,得到第三标识解析请求,其中,所述第三标识解析请求携带有客户端的第二签名和协同签名端的签名;第二发送模块,用于将所述第三标识解析请求发送给身份认证端;第一验证模块,用于所述身份认证端通过第一数字证书对所述第三标识解析请求所携带的客户端的第二签名进行验证,以及通过第二数字证书对所述第三标识解析请求所携带的协同签名端的签名进行验证;第二响应模块,用于响应于所述第三标识解析请求所携带的协同签名端的签名和客户端的第二签名均验证通过,确定所述客户端的身份验证通过。
根据本公开实施例的再一个方面,提供了一种电子设备,包括:存储器,用于存储计算机程序产品;处理器,用于执行所述存储器中存储的计算机程序产品,且所述计算机程序产品被执行时,实现上述工业互联网中客户端的身份认证方法。
根据本公开实施例的又一个方面,提供了一种计算机可读存储介质,其上存储有计算机程序指令,其特征在于,该计算机程序指令被处理器执行时,实现上述工业互联网中客户端的身份认证方法。
本公开实施例中工业互联网中客户端的身份认证方法、装置、电子设备和存储介质,协同签名端接收客户端发送的第一标识解析请求信息,当第一标识解析请求信息中的验证信息携带的客户端的第一签名通过验证,协同签名端对第一标识解析请求信息中的第一标识解析请求进行签名处理,得到第二标识解析请求;客户端对第二标识解析请求进行签名处理,得到第三标识解析请求,身份认证端通过第一数字证书对第三标识解析请求所携带的客户端的第二签名进行验证,以及通过第二数字证书对所述第三标识解析请求所携带的协同签名端的签名进行验证;当第三标识解析请求所携带的协同签名端的签名和客户端的第二签名均验证通过,确定客户端的身份验证通过。由此,本公开实施例中协同签名端首先对验证信息所携带的客户端的第一签名进行验证,降低了标识解析请求在发送协同签名端途中被拦截篡改的风险,在验证信息所携带的客户端的第一签名验证通过后,客户端和协同签名端共同对标识解析请求进行签名处理,然后通过身份认证端对客户端的第二签名和协同签名端的签名进行验证,实现对客户端身份的验证,提高了标识解析体系的安全性,降低了由于客户端被攻击、身份凭证丢失等使得客户端被仿冒,从而导致标识解析信息被泄漏的风险。同时由于采用协同签名端和客户端对标识解析请求双重签名的方式,提高了恶意标识解析的客户端大量爬取标识信息的难度,进一步提升了标识解析体系的安全性。
下面通过附图和实施例,对本公开的技术方案做进一步的详细描述。
附图说明
构成说明书的一部分的附图描述了本公开的实施例,并且连同描述一起用于解释本公开的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本公开,其中:
图1为本公开实施例工业互联网中客户端的身份认证方法一个实施例流程图。
图2为本公开实施例客户端向证书端注册的一个实施例流程图。
图3为本公开实施例协同签名端向证书端注册的一个实施例流程图。
图4为本公开实施例客户端向协同签名端注册的一个实施例流程图。
图5为本公开实施例客户端、身份认证端、协同签名端和证书端之间的信息传输的一个实施例流程图。
图6为本公开工业互联网中客户端的身份认证装置一个实施例的结构示意图。
图7为本公开电子设备一个应用实施例的结构示意图。
具体实施方式
现在将参照附图来详细描述本公开的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
本领域技术人员可以理解,本公开实施例中的“第一”、“第二”等术语仅用于区别不同步骤、设备或模块等,既不代表任何特定技术含义,也不表示它们之间的必然逻辑顺序。
还应理解,在本公开实施例中,“多个”可以指两个或两个以上,“至少一个”可以指一个、两个或两个以上。
还应理解,对于本公开实施例中提及的任一部件、数据或结构,在没有明确限定或者在前后文给出相反启示的情况下,一般可以理解为一个或多个。
另外,本公开中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本公开中字符“/”,一般表示前后关联对象是一种“或”的关系。
还应理解,本公开对各个实施例的描述着重强调各个实施例之间的不同之处,其相同或相似之处可以相互参考,为了简洁,不再一一赘述。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
本公开实施例可以应用于终端设备、计算机系统、服务器等电子设备,其可与众多其它通用或专用计算系统环境或配置一起操作。适于与终端设备、计算机系统、服务器等电子设备一起使用的众所周知的终端设备、计算系统、环境和/或配置的例子包括但不限于:个人计算机系统、服务器计算机系统、瘦客户机、厚客户机、手持或膝上设备、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机系统﹑大型计算机系统和包括上述任何系统的分布式云计算技术环境,等等。
终端设备、计算机系统、服务器等电子设备可以在由计算机系统执行的计算机系统可执行指令(诸如程序模块)的一般语境下描述。通常,程序模块可以包括例程、程序、目标程序、组件、逻辑、数据结构等等,它们执行特定的任务或者实现特定的抽象数据类型。计算机系统/服务器可以在分布式云计算环境中实施,分布式云计算环境中,任务是由通过通信网络链接的远程处理设备执行的。在分布式云计算环境中,程序模块可以位于包括存储设备的本地或远程计算系统存储介质上。
图1示出本公开实施例中工业互联网中客户端的身份认证方法的流程示意图。本实施例可应用在电子设备上,如图1所示,本实施例的工业互联网中客户端的身份认证方法包括如下步骤:
步骤S101,协同签名端接收客户端发送的第一标识解析请求信息。
其中,该第一标识解析请求信息包括第一标识解析请求和验证信息,该验证信息携带有客户端的第一签名。在需要进行标识解析时,客户端可以根据待解析的标识生成第一标识解析请求,同时生成验证信息,并对验证信息进行签名处理以使验证信息携带有客户端的第一签名,将携带有客户端的第一签名的验证信息与第一标识解析请求进行关联,形成第一标识解析请求信息。客户端将第一标识解析请求信息发送给协同签名端。待解析的标识可以为工业互联网标识,每一待解析的标识用于唯一标识一个产品,通过对待解析的标识进行解析,得到标识解析信息,标识解析信息可以包括该待解析的标识所标识的产品的信息,例如,标识解析信息可以包括:产品的生成日期、产品的生成厂家、产品的分类以及产品的配料等。第一标识解析请求中可以包括待解析的标识。
步骤S102,响应于该验证信息携带的客户端的第一签名通过验证,协同签名端对第一标识解析请求进行签名处理,得到第二标识解析请求。
其中,协同签名端接收到第一标识解析请求信息后,对第一标识解析请求信息中的验证信息所携带客户端的第一签名进行验证,当该验证信息所携带的客户端的第一签名通过验证时,协同签名端对第一标识解析请求进行签名处理,以对第一标识解析进行加密,经协同签名端签名处理后的第一标识解析请求即为第二标识解析请求,该第二标识解析请求携带有协同签名端的签名。当该验证信息所携带的客户端的第一签名未通过验证时,协同签名端发送验证失败消息给客户端。
步骤S103,将该第二标识解析请求发送给客户端。
其中,协同签名端将该第二标识解析请求发送给客户端。
步骤S104,客户端对第二标识解析请求进行签名处理,得到第三标识解析请求。
其中,客户端接收到第二标识解析请求后,对该第二标识解析请求进行签名处理,以对第二标识解析请求进行加密,经客户端签名处理后的第二标识解析请求即为第三标识解析请求。该第三标识解析请求携带有客户端的第二签名和协同签名端的签名。
步骤S105,将该第三标识解析请求发送给身份认证端。
其中,客户端将该第三标识解析请求发送给身份认证端。
步骤S106,身份认证端通过第一数字证书对该第三标识解析请求所携带的客户端的第二签名进行验证,以及通过第二数字证书对第三标识解析请求所携带的协同签名端的签名进行验证。
其中,身份认证端接收到客户端发送的第三标识解析请求后,身份认证端通过其存储的第一数字证书对该第三标识解析请求所携带的客户端的第二签名进行验证;身份认证端通过其存储的第二数字证书对该第三标识解析请求所携带的客户端的签名进行验证。
步骤S107,响应于第三标识解析请求所携带的协同签名端的签名和客户端的第二签名均验证通过,确定客户端的身份验证通过。
其中,在身份认证端,当第三标识解析请求所携带的客户端的第二签名通过第一数字证书验证,且第三标识解析请求所携带的协同签名端的签名通过第二数字证书验证,此时确定客户端的身份验证通过。在客户端的身份验证通过后,身份认证端可以发送身份验证通过消息给客户端,通知客户端身份验证通过。并且可以开始对第三标识解析请求中所请求的待解析标识进行解析处理。当第三标识解析请求所携带的客户端的第二签名和/或协同签名端的签名未通过验证,则确定客户端的身份未通过验证,身份认证端可以发送身份验证失败消息给客户端,通知客户端身份验证失败,无法对第三标识解析请求中所请求的待解析的标识进行解析处理。
本公开实施例中协同签名端首先对验证信息所携带的客户端的第一签名进行验证,降低了标识解析请求在发送协同签名端途中被拦截篡改的风险,在验证信息所携带的客户端的第一签名验证通过后,客户端和协同签名端共同对标识解析请求进行签名处理,然后通过身份认证端对客户端的第二签名和协同签名端的签名进行验证,实现对客户端身份的验证,提高了标识解析体系的安全性,降低了由于客户端被攻击、身份凭证丢失等使得客户端被仿冒,进而导致标识解析信息被泄漏的风险。同时由于采用协同签名端和客户端对标识解析请求双重签名的方式,提高了恶意标识解析的客户端大量爬取标识信息的难度,进一步提升了标识解析体系的安全性。
在一个候选实施例中,如图2所示,本实施例工业互联网中客户端的身份认证方法还包括:
步骤S201,证书端接收客户端发送的第一证书申请信息。
其中,该第一证书申请信息包括:第一身份信息和第一公私密钥对中的第一公钥。第一公私密钥对包括第一私钥和第一公钥。客户端可以通过SM2算法或RSA算法等生成第一公私密钥对。第一私钥用于进行签名,以生成客户端的第二签名。第一公钥用于对客户端通过第一公私密钥对中的第一私钥生成的客户端的第二签名进行验证。第一身份信息可以为客户端的身份信息,其可以包括:企业信息、企业法人信息、经办人信息、数字证书申请类型等,其中企业信息、企业法人信息可为使用客户端的企业的相关信息。证书端可以实现对身份信息的审核,数字证书的签发、管理、撤销、查询等,以及对公钥管理。
步骤S202,响应于第一身份信息通过证书端的审核,证书端生成第一数字证书。
步骤S203,分别向身份认证端和客户端发送第一数字证书。
其中,在证书端,对第一身份信息的审核可以通过人工审核也可以为通过计算机审核。在第一身份信息通过证书端的审核后,证书端根据第一身份信息和第一公钥生成第一数字证书。第一数字证书可以包括:第一公钥,第一数字证书的版本信息、序列号,以及证书端的名称;第一数字证书用于验证客户端的第二签名,即对通过客户端的第二签名进行加密的第三标识解析请求进行解密。
同时在第一身份信息通过证书端的审核后,证书端分别向身份认证端和客户端发送第一数字证书。在第一身份信息未通过证书端的审核时,证书端向客户端发送审核失败消息。
本公开实施例中客户端通过在证书端进行注册,得到第一数字证书,并将第一数字证书同步到身份认证端,实现了身份认证端可以通过第一数字证书对客户端的第二签名进行验证。
在一个候选实施例中,如图3所示,本实施例工业互联网中客户端的身份认证方法还包括:
步骤S301,证书端接收协同签名端发送的第二证书申请信息。
其中,该第二证书申请信息包括:第二身份信息和第二公私密钥对中的第二公钥。第二公私密钥对包括第二私钥和第二公钥。协同签名端可以通过SM2算法或RSA算法等生成第二公私密钥对。第二私钥用于进行签名,以生成协同签名端的签名。第二公钥用于对第二公私密钥对中的第二私钥生成的协同签名端的签名进行验证。第二身份信息可以为协同签名端的身份信息,其可以包括:企业信息、企业法人信息、经办人信息、数字证书申请类型等,其中企业信息、企业法人信息可为使用协同签名端的企业的相关信息。
步骤S302,响应于第二身份信息通过证书端的审核,证书端生成第二数字证书。
步骤S303,分别向身份认证端和协同签名端发送第二数字证书。
其中,在证书端,对第二身份信息的审核可以通过人工审核也可以为通过计算机审核。在第二身份信息通过证书端的审核后,证书端根据第二身份信息和第二公钥生成第二数字证书。第二数字证书可以包括:第二公钥,第二数字证书的版本信息、序列号,以及证书端的名称;第二数字证书用于验证协同签名端的签名,以对通过协同签名端的签名进行加密的第三标识解析请求进行解密。
同时,在第二身份信息通过证书端的审核后,证书端分别向身份认证端和协同签名端发送第二数字证书。在第二身份信息未通过证书端的审核时,证书端向协同签名端发送审核失败消息。
本公开实施例中协同签名端通过在证书端进行注册,得到第二数字证书,并将第二数字证书同步到身份认证端,实现了身份认证端可以通过第二数字证书对协同签名端的签名进行验证。
在一个候选实施例中,第一数字证书包括第一公钥,第二数字证书包括第二公钥,则步骤S106可以包括:身份认证端通过第一公钥对第三标识解析请求所携带的客户端的第二签名进行验证。身份认证端通过第二公钥对第三标识解析请求所携带的协同签名端的签名进行验证。
其中,协同签名端通过第二公私密钥对中的第二私钥对第一标识解析请求进行签名处理,以使生成的第二标识解析请求携带有协同签名端的签名;客户端通过第一公私密钥对中的第一私钥对第二标识解析请求进行签名处理,以使生成的第三标识解析请求携带有客户端的第二签名,此时该第三标识解析请求携带有客户端的第二签名和协同签名端的签名。
身份认证端可以先通过第一数字证书中的第一公钥对第三标识解析请求所携带的客户端的第二签名进行验证;响应于第三标识解析请求的客户端的第二签名通过验证,身份认证端通过第二数字证书中的第二公钥对第三标识解析请求所携带的协同签名端的签名进行验证。其中,身份认证端对第三标识解析请求所携带的客户端的第二签名和协同签名端的签名的验证顺序可以互换。
在一个候选实施例中,如图4所示,本实施例工业互联网中客户端的身份认证方法还包括:
步骤S401,协同签名端接收客户端发送的认证信息。
其中,该认证信息包括:第一身份信息和第三公私密钥对中的第三公钥。第三公私密钥对包括第三私钥和第三公钥。客户端可以通过SM2算法或RSA算法等生成第三公私密钥对。第三私钥用于进行签名,以生成客户端的第一签名。第三公钥用于验证客户端通过第三公私密钥对中的第三私钥生成的客户端的第一签名。
步骤S402,响应于第一身份信息通过协同签名端验证,协同签名端存储第三公钥,并向客户端反馈认证通过消息。
其中,在协同签名端,对第一身份信息的审核可以通过人工审核也可以为通过计算机审核。在第一身份信息通过协同签名端的审核后,协同签名端将第三公钥存储,并且将第三公钥与第一身份信息关联,同时协同签名端向客户端发送认证通过消息。在第一身份信息未通过协同签名端的审核时,协同签名端向客户端发送认证失败消息。
本公开实施例中客户端通过在协同签名端进行注册,实现了协同签名端可以通过第三公钥对客户端的第一签名的验证。
在一个候选实施例中,本实施例工业互联网中客户端的身份认证方法还包括:
客户端通过第三私钥对验证信息进行签名处理,以使验证信息携带有客户端的第一签名。其中,客户端通过第三公私密钥对中的第三私钥对验证信息进行签名,以使验证信息携带有客户端的第一签名。
协同签名端通过第三公钥对验证信息携带的客户端的第一签名进行验证。其中,协同签名端可以通过其存储的第三公钥对第一标识解析请求中的验证信息所携带的客户端的第一签名进行验证。
图5示出了本公开实施例中客户端、身份认证端、协同签名端和证书端之间的信息传输流程,其中客户端、身份认证端、协同签名端和证书端之间信息获取和具体操作已在前述内容中进行了详细描述,在此不再赘述。
客户端通过有线或无线网络与协同签名端、证书端、身份认证端通讯连接。协同签名端通过有线或无线网络与证书端和身份认证端通讯连接。身份认证端通过有线或无线网络与证书端通讯连接。
客户端向证书端发送第一证书申请信息,证书端向客户端下发第一数字证书或发送审核失败消息。客户端向协同签名端发送认证信息,协同签名端向客户端发送认证通过消息或认证失败消息。客户端向协同签名端发送第一标识解析请求信息,协同签名端向客户端发送第二标识解析请求或验证失败消息。客户端向身份认证端发送第三标识解析请求,身份认证端向客户端发送身份验证通过消息或身份验证失败消息。协同签名端向证书端发送第二证书申请信息,证书端向协同签名端发送下发第二数字证书或发送审核失败消息。证书端向身份认证端发送第一数字证书和第二数字证书。
本公开实施例可以用于工业互联网、物联网或标识解析系统中对客户端的身份验证。当对待解析的标识进行解析前,首先对客户端的身份进行验证,当客户端的身份验证通过后,然后对待解析的标识进行解析,以避免通过待解析的标识所得到标识解析信息泄漏。
图6示出本公开实施例中工业互联网中客户端的身份认证装置的框图。如图6所示,该实施例工业互联网中客户端的身份认证装置包括:
第一接收模块601,用于协同签名端接收客户端发送的第一标识解析请求信息,其中,该第一标识解析请求信息包括第一标识解析请求和验证信息,该验证信息携带有客户端的第一签名;
第一响应模块602,用于响应于验证信息携带的客户端的第一签名通过验证,协同签名端对第一标识解析请求进行签名处理,得到第二标识解析请求;
第一发送模块603,用于将第二标识解析请求发送给客户端;
签名模块604,用于客户端对第二标识解析请求进行签名处理,得到第三标识解析请求,其中,该第三标识解析请求携带有客户端的第二签名和协同签名端的签名;
第二发送模块605,用于将第三标识解析请求发送给身份认证端;
第一验证模块606,用于身份认证端通过第一数字证书对第三标识解析请求所携带的客户端的第二签名进行验证,以及通过第二数字证书对第三标识解析请求所携带的协同签名端的签名进行验证;
第二响应模块607,用于响应于第三标识解析请求所携带的协同签名端的签名和客户端的第二签名均验证通过,确定客户端的身份验证通过。
在一个可选示例中,本公开的装置还包括:
第二接收模块608(图中未示出),用于证书端接收客户端发送的第一证书申请信息,其中,该第一证书申请信息包括第一身份信息和第一公私密钥对中的第一公钥,第一公钥用于对所述客户端通过所述第一公私密钥对中的第一私钥生成的客户端的第二签名进行验证;
第三响应模块609(图中未示出),用于响应于第一身份信息通过证书端的审核,证书端生成第一数字证书;
第三发送模块610(图中未示出),用于分别向身份认证端和客户端发送第一数字证书。
在一个可选示例中,本公开的装置还包括:
第三接收模块611(图中未示出),用于证书端接收协同签名端发送的第二证书申请信息,其中,该第二证书申请信息包括第二身份信息和第二公私密钥对中的第二公钥,第二公钥用于对第二公私密钥对中的第二私钥生成的协同签名端的签名进行验证;
第四响应模块612(图中未示出),用于响应于第二身份信息通过所述证书端的审核,证书端生成第二数字证书;
第四发送模块613(图中未示出),用于分别向身份认证端和协同签名端发送第二数字证书。
在一个可选示例中,第一数字证书包括第一公钥;第一验证模块还用于身份认证端通过第一公钥对第三标识解析请求所携带的客户端的第二签名进行验证。
在一个可选示例中,第二数字证书包括第二公钥;第一验证模块还用于身份认证端通过第二公钥对第三标识解析请求所携带的协同签名端的签名进行验证。
在一个可选示例中,本公开的装置还包括:
第四接收模块614(图中未示出),用于协同签名端接收客户端发送的认证信息,该认证信息包括第一身份信息和第三公私密钥对中的第三公钥,其中,第三公钥用于验证客户端通过第三公私密钥对中的第三私钥生成的客户端的第一签名;
第五响应模块615(图中未示出),用于响应于第一身份信息通过协同签名端验证,协同签名端存储第三公钥,并向客户端反馈认证通过消息。
在一个可选示例中,本公开的装置还包括:第二验证模块616(图中未示出),用于客户端通过所述第三私钥对所述验证信息进行签名处理,以使所述验证信息携带有客户端的第一签名。
第三验证模块617(图中未示出),用于协同签名端通过第三公钥对验证信息所携带的客户端的第一签名进行验证。
另外,本公开实施例还提供了一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述存储器中存储的计算机程序,且所述计算机程序被执行时,实现本公开上述任一实施例所述的工业互联网中客户端的身份认证方法。
图7为本公开电子设备一个应用实施例的结构示意图。下面,参考图7来描述根据本公开实施例的电子设备。该电子设备可以是第一设备和第二设备中的任一个或两者、或与它们独立的单机设备,该单机设备可以与第一设备和第二设备进行通信,以从它们接收所采集到的输入信号。
如图7所示,电子设备包括一个或多个处理器和存储器。
处理器可以是中央处理单元(CPU)或者具有数据处理能力和/或指令执行能力的其他形式的处理单元,并且可以控制电子设备中的其他组件以执行期望的功能。
存储器可以包括一个或多个计算机程序产品,所述计算机程序产品可以包括各种形式的计算机可读存储介质,例如易失性存储器和/或非易失性存储器。所述易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。所述非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。在所述计算机可读存储介质上可以存储一个或多个计算机程序指令,处理器可以运行所述程序指令,以实现上文所述的本公开的各个实施例的工业互联网中客户端的身份认证方法以及/或者其他期望的功能。
在一个示例中,电子设备还可以包括:输入装置和输出装置,这些组件通过总线系统和/或其他形式的连接机构(未示出)互连。
此外,该输入设备还可以包括例如键盘、鼠标等等。
该输出装置可以向外部输出各种信息,包括确定出的距离信息、方向信息等。该输出设备可以包括例如显示器、扬声器、打印机、以及通信网络及其所连接的远程输出设备等等。
当然,为了简化,图7中仅示出了该电子设备中与本公开有关的组件中的一些,省略了诸如总线、输入/输出接口等等的组件。除此之外,根据具体应用情况,电子设备还可以包括任何其他适当的组件。
除了上述方法和设备以外,本公开的实施例还可以是计算机程序产品,其包括计算机程序指令,所述计算机程序指令在被处理器运行时使得所述处理器执行本说明书上述部分中描述的根据本公开各种实施例的工业互联网中客户端的身份认证方法中的步骤。
所述计算机程序产品可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例操作的程序代码,所述程序设计语言包括面向对象的程序设计语言,诸如Java、C++等,还包括常规的过程式程序设计语言,诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。
此外,本公开的实施例还可以是计算机可读存储介质,其上存储有计算机程序指令,所述计算机程序指令在被处理器运行时使得所述处理器执行本说明书上述部分中描述的根据本公开各种实施例的工业互联网中客户端的身份认证方法中的步骤。
所述计算机可读存储介质可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上结合具体实施例描述了本公开的基本原理,但是,需要指出的是,在本公开中提及的优点、优势、效果等仅是示例而非限制,不能认为这些优点、优势、效果等是本公开的各个实施例必须具备的。另外,上述公开的具体细节仅是为了示例的作用和便于理解的作用,而非限制,上述细节并不限制本公开为必须采用上述具体的细节来实现。
本说明书中各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似的部分相互参见即可。对于系统实施例而言,由于其与方法实施例基本对应,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本公开中涉及的器件、装置、设备、系统的方框图仅作为例示性的例子并且不意图要求或暗示必须按照方框图示出的方式进行连接、布置、配置。如本领域技术人员将认识到的,可以按任意方式连接、布置、配置这些器件、装置、设备、系统。诸如“包括”、“包含”、“具有”等等的词语是开放性词汇,指“包括但不限于”,且可与其互换使用。这里所使用的词汇“或”和“和”指词汇“和/或”,且可与其互换使用,除非上下文明确指示不是如此。这里所使用的词汇“诸如”指词组“诸如但不限于”,且可与其互换使用。
可能以许多方式来实现本公开的方法和装置。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本公开的方法和装置。用于所述方法的步骤的上述顺序仅是为了进行说明,本公开的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本公开实施为记录在记录介质中的程序,这些程序包括用于实现根据本公开的方法的机器可读指令。因而,本公开还覆盖存储用于执行根据本公开的方法的程序的记录介质。
还需要指出的是,在本公开的装置、设备和方法中,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本公开的等效方案。
提供所公开的方面的以上描述以使本领域的任何技术人员能够做出或者使用本公开。对这些方面的各种修改对于本领域技术人员而言是非常显而易见的,并且在此定义的一般原理可以应用于其他方面而不脱离本公开的范围。因此,本公开不意图被限制到在此示出的方面,而是按照与在此公开的原理和新颖的特征一致的最宽范围。
为了例示和描述的目的已经给出了以上描述。此外,此描述不意图将本公开的实施例限制到在此公开的形式。尽管以上已经讨论了多个示例方面和实施例,但是本领域技术人员将认识到其某些变型、修改、改变、添加和子组合。
Claims (10)
1.一种工业互联网中客户端的身份认证方法,其特征在于,包括:
协同签名端接收客户端发送的第一标识解析请求信息,其中,所述第一标识解析请求信息包括第一标识解析请求和验证信息,所述验证信息携带有所述客户端的第一签名;
响应于所述验证信息携带的所述客户端的第一签名通过验证,所述协同签名端对所述第一标识解析请求进行签名处理,得到第二标识解析请求;
将所述第二标识解析请求发送给所述客户端;
所述客户端对所述第二标识解析请求进行签名处理,得到第三标识解析请求,其中,所述第三标识解析请求携带有客户端的第二签名和协同签名端的签名;
将所述第三标识解析请求发送给身份认证端;
所述身份认证端通过第一数字证书对所述第三标识解析请求所携带的客户端的第二签名进行验证,以及通过第二数字证书对所述第三标识解析请求所携带的协同签名端的签名进行验证;
响应于所述第三标识解析请求所携带的协同签名端的签名和客户端的第二签名均验证通过,确定所述客户端的身份验证通过。
2.根据权利要求1所述的方法,其特征在于,还包括:
证书端接收所述客户端发送的第一证书申请信息,其中,所述第一证书申请信息包括第一身份信息和第一公私密钥对中的第一公钥,所述第一公钥用于对所述客户端通过所述第一公私密钥对中的第一私钥生成的客户端的第二签名进行验证;
响应于所述第一身份信息通过所述证书端的审核,所述证书端生成第一数字证书;
分别向所述身份认证端和所述客户端发送所述第一数字证书。
3.根据权利要求2所述的方法,其特征在于,还包括:
所述证书端接收所述协同签名端发送的第二证书申请信息,其中,所述第二证书申请信息包括第二身份信息和第二公私密钥对中的第二公钥,所述第二公钥用于对所述第二公私密钥对中的第二私钥生成的协同签名端的签名进行验证;
响应于所述第二身份信息通过所述证书端的审核,所述证书端生成第二数字证书;
分别向所述身份认证端和所述协同签名端发送所述第二数字证书。
4.根据权利要求3所述的方法,其特征在于,所述第一数字证书包括所述第一公钥;
所述身份认证端通过第一数字证书对所述第三标识解析请求所携带的客户端的第二签名进行验证,包括:
所述身份认证端通过所述第一公钥对所述第三标识解析请求所携带的客户端的第二签名进行验证。
5.根据权利要求4所述的方法,其特征在于,所述第二数字证书包括所述第二公钥;
所述身份认证端通过第二数字证书对所述第三标识解析请求所携带的协同签名端的签名进行验证,包括:
所述身份认证端通过所述第二公钥对所述第三标识解析请求所携带的协同签名端的签名进行验证。
6.根据权利要求1-3中任一项所述的方法,其特征在于,还包括:
所述协同签名端接收所述客户端发送的认证信息,所述认证信息包括第一身份信息和第三公私密钥对中的第三公钥,其中,所述第三公钥用于验证所述客户端通过所述第三公私密钥对中的第三私钥生成的客户端的第一签名;
响应于所述第一身份信息通过所述协同签名端验证,所述协同签名端存储所述第三公钥,并向所述客户端反馈认证通过消息。
7.根据权利要求6所述的方法,其特征在于,还包括:
所述客户端通过所述第三私钥对所述验证信息进行签名处理,以使所述验证信息携带有客户端的第一签名;
所述协同签名端通过所述第三公钥对所述验证信息所携带的所述客户端的第一签名进行验证。
8.一种工业互联网中客户端的身份认证装置,其特征在于,包括:
第一接收模块,用于协同签名端接收客户端发送的第一标识解析请求信息,其中,所述第一标识解析请求信息包括第一标识解析请求和验证信息,所述验证信息携带有所述客户端的第一签名;
第一响应模块,用于响应于所述验证信息携带的所述客户端的第一签名通过验证,所述协同签名端对所述第一标识解析请求进行签名处理,得到第二标识解析请求;
第一发送模块,用于将所述第二标识解析请求发送给所述客户端;
签名模块,用于所述客户端对所述第二标识解析请求进行签名处理,得到第三标识解析请求,其中,所述第三标识解析请求携带有客户端的第二签名和协同签名端的签名;
第二发送模块,用于将所述第三标识解析请求发送给身份认证端;
第一验证模块,用于所述身份认证端通过第一数字证书对所述第三标识解析请求所携带的客户端的第二签名进行验证,以及通过第二数字证书对所述第三标识解析请求所携带的协同签名端的签名进行验证;
第二响应模块,用于响应于所述第三标识解析请求所携带的协同签名端的签名和客户端的第二签名均验证通过,确定所述客户端的身份验证通过。
9.一种电子设备,其特征在于,包括:存储器,用于存储计算机程序产品;处理器,用于执行所述存储器中存储的计算机程序产品,且所述计算机程序产品被执行时,实现上述权利要求1-7任一所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序指令,其特征在于,该计算机程序指令被处理器执行时,实现上述权利要求1-7任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210357140.9A CN114448729B (zh) | 2022-04-07 | 2022-04-07 | 工业互联网中客户端的身份认证方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210357140.9A CN114448729B (zh) | 2022-04-07 | 2022-04-07 | 工业互联网中客户端的身份认证方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114448729A CN114448729A (zh) | 2022-05-06 |
| CN114448729B true CN114448729B (zh) | 2022-06-07 |
Family
ID=81359031
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210357140.9A Active CN114448729B (zh) | 2022-04-07 | 2022-04-07 | 工业互联网中客户端的身份认证方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114448729B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1835438A (zh) * | 2006-03-22 | 2006-09-20 | 阿里巴巴公司 | 一种在系统间实现单次登录的方法及系统 |
| CN106529948A (zh) * | 2016-11-07 | 2017-03-22 | 飞天诚信科技股份有限公司 | 一种支付认证方法及系统 |
| WO2017045552A1 (zh) * | 2015-09-15 | 2017-03-23 | 阿里巴巴集团控股有限公司 | 一种在ssl或tls通信中加载数字证书的方法和装置 |
| CN111262834A (zh) * | 2020-01-09 | 2020-06-09 | 中国信息通信研究院 | 物理实体的认证、可信解析方法、装置及系统 |
| CN113810412A (zh) * | 2021-09-17 | 2021-12-17 | 国家工业信息安全发展研究中心 | 一种无证书的标识解析身份信任管控方法、系统及设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2517952B (en) * | 2013-09-05 | 2017-05-31 | Barclays Bank Plc | Biometric verification using predicted signatures |
| CN105162785B (zh) * | 2015-09-07 | 2019-01-04 | 飞天诚信科技股份有限公司 | 一种基于认证设备进行注册的方法和设备 |
-
2022
- 2022-04-07 CN CN202210357140.9A patent/CN114448729B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1835438A (zh) * | 2006-03-22 | 2006-09-20 | 阿里巴巴公司 | 一种在系统间实现单次登录的方法及系统 |
| WO2017045552A1 (zh) * | 2015-09-15 | 2017-03-23 | 阿里巴巴集团控股有限公司 | 一种在ssl或tls通信中加载数字证书的方法和装置 |
| CN106529948A (zh) * | 2016-11-07 | 2017-03-22 | 飞天诚信科技股份有限公司 | 一种支付认证方法及系统 |
| CN111262834A (zh) * | 2020-01-09 | 2020-06-09 | 中国信息通信研究院 | 物理实体的认证、可信解析方法、装置及系统 |
| CN113810412A (zh) * | 2021-09-17 | 2021-12-17 | 国家工业信息安全发展研究中心 | 一种无证书的标识解析身份信任管控方法、系统及设备 |
Non-Patent Citations (3)
| Title |
|---|
| Fast Verification of Signatures With Shared ECQV Implicit Certificates;Hee-Yong Kwon;《IEEE Transactions on Vehicular Technology》;20190301;全文 * |
| 基于PKI的安全套接层通信模型的设计与实现;董云耀等;《杭州电子科技大学学报》;20061225(第06期);全文 * |
| 移动智能终端的个人信息安全技术分析;彭春晖等;《电信网技术》;20150115(第01期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114448729A (zh) | 2022-05-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10891383B2 (en) | Validating computer resource usage | |
| US8898764B2 (en) | Authenticating user through web extension using token based authentication scheme | |
| CN110414190B (zh) | 应用安装包的签名方法、相关装置、存储介质及电子设备 | |
| CN112202705A (zh) | 一种数字验签生成和校验方法、系统 | |
| WO2022179115A1 (zh) | 用户认证方法、装置、服务器及存储介质 | |
| CN115361233B (zh) | 基于区块链的电子文件签署方法、装置、设备和介质 | |
| CN111753014B (zh) | 基于区块链的身份认证方法及装置 | |
| CN115460019B (zh) | 基于数字身份的目标应用提供方法和装置、设备和介质 | |
| CN108923925B (zh) | 应用于区块链的数据存储方法和装置 | |
| CN109981680B (zh) | 一种访问控制实现方法、装置、计算机设备及存储介质 | |
| CN115208698B (zh) | 基于区块链的物联网身份认证方法和装置 | |
| WO2017050147A1 (zh) | 一种信息注册、认证方法及装置 | |
| CN112199721A (zh) | 认证信息处理方法、装置、设备及存储介质 | |
| CN116132071B (zh) | 基于区块链的标识解析节点身份认证方法和装置 | |
| CN115982247B (zh) | 基于区块链的账户信息查询方法和装置、设备和介质 | |
| JP2006107247A (ja) | タイムスタンプサービスシステム及びタイムスタンプ情報検証サーバ装置並びにコンピュータ・ソフトウエア | |
| CN115550060B (zh) | 基于区块链的可信证书验证方法、装置、设备和介质 | |
| CN115514578B (zh) | 基于区块链的数据授权方法和装置、电子设备和存储介质 | |
| CN114448729B (zh) | 工业互联网中客户端的身份认证方法和装置 | |
| CN112560003A (zh) | 用户权限管理方法和装置 | |
| CN114172663B (zh) | 基于区块链的业务确权方法及装置、存储介质和电子设备 | |
| CN114584313B (zh) | 一种设备物理身份认证方法、系统、装置及第一平台 | |
| CN114826719A (zh) | 基于区块链的可信终端认证方法、系统、设备和存储介质 | |
| US11405196B2 (en) | Authenticate transactions of secured file in blockchain | |
| CN115664861B (zh) | 基于区块链的身份信息验证方法和装置、设备和介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |