CN115150109A - 认证方法、装置及相关设备 - Google Patents
认证方法、装置及相关设备 Download PDFInfo
- Publication number
- CN115150109A CN115150109A CN202110335711.4A CN202110335711A CN115150109A CN 115150109 A CN115150109 A CN 115150109A CN 202110335711 A CN202110335711 A CN 202110335711A CN 115150109 A CN115150109 A CN 115150109A
- Authority
- CN
- China
- Prior art keywords
- authenticated
- certificate
- hash value
- equipment
- public key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 64
- 238000013507 mapping Methods 0.000 claims abstract description 40
- 238000004891 communication Methods 0.000 description 16
- 238000010586 diagram Methods 0.000 description 7
- 230000009286 beneficial effect Effects 0.000 description 5
- 238000004590 computer program Methods 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请提供了一种认证方法、装置及相关设备,所述方法包括:接收待认证设备发送的设备序列号以及第一加密证书;在区块链中对设备序列号进行查询,确定待认证设备对应的目标公钥以及第二哈希值;基于第一加密证书、目标公钥和第二哈希值,确定待认证设备的认证结果。本发明实施例中,使用区块链存储的映射关系表对待认证设备发送的设备序列号以及第一加密证书进行查询,确定该待认证设备对应的目标公钥以及第二哈希值,进一步的,基于第一加密证书、目标公钥和第二哈希值,确定待认证设备的认证结果。这样,基于区块链具备数据不可篡改的特性,使用区块链中存储的相关数据,验证数字身份证书是否合法,以此提高网络连接设备身份认证的准确性。
Description
技术领域
本发明实施例涉及通信技术领域,尤其涉及一种认证方法、装置及相关设备。
背景技术
软件定义广域网(Software-Defined Wide Area Network,SDWAN)是将软件定义网络(Software Defined Network,SDN)技术应用到广域网场景中所形成的一种服务。基于软件定义广域网所具备的快速部署、低成本和高灵活性的特点,越来越多的企业应用软件定义广域网进行内部通信。
目前,对于参与到软件定义广域网中的客户终端设备的身份认证方式通常为:将客户终端设备的身份证书上传至管理系统,由管理系统依据该身份证书,对该客户终端进行认证。然而,在管理系统被外部篡改的情况下,可能导致合法的客户终端设备认证失败,以此产生错误的认证结果,这样,导致客户终端设备身份认证的准确性较低。
发明内容
本发明实施例提供一种认证方法、装置及相关设备,以解决在软件定义广域网中,客户终端设备身份认证的准确性较低的技术问题。
为解决上述问题,本发明是这样实现的:
第一方面,本发明实施例提供了一种认证方法,由终端执行,所述方法包括:
接收待认证设备发送的设备序列号以及第一加密证书,所述第一加密证书携带第一哈希值,所述第一哈希值是基于对所述待认证设备对应的数字身份证书使用私钥加密生成;
在区块链中对所述设备序列号进行查询,确定所述待认证设备对应的目标公钥以及第二哈希值;
基于所述第一加密证书、所述目标公钥和所述第二哈希值,确定所述待认证设备的认证结果;
其中,所述区块链中存储有映射关系表,所述映射关系表用于指示N个已认证设备的设备序列号与N个目标信息之间的映射关系,所述已认证设备的设备序列号与所述目标信息一一对应,所述目标信息包括公钥,以及加密证书对应的哈希值,N为正整数。
第二方面,本发明实施例还提供一种认证方法,由待认证设备执行,所述方法包括:
获取数字身份证书;
使用所述数字身份证书携带的私钥,对所述数字身份证书进行加密,生成第一加密证书;
将所述数字身份证书携带的设备序列号,以及所述第一加密证书发送至终端。
第三方面,本发明实施例还提供一种终端,包括:
第一收发器,用于接收待认证设备发送的设备序列号以及第一加密证书,所述第一加密证书携带第一哈希值,所述第一哈希值是基于对所述待认证设备对应的数字身份证书使用私钥加密生成;
第一处理器,用于在区块链中对所述设备序列号进行查询,确定所述待认证设备对应的目标公钥以及第二哈希值;
确定模块,用于基于所述第一加密证书、所述目标公钥和所述第二哈希值,确定所述待认证设备的认证结果;
其中,所述区块链中存储有映射关系表,所述映射关系表用于指示N个已认证设备的设备序列号与N个目标信息之间的映射关系,所述已认证设备的设备序列号与所述目标信息一一对应,所述目标信息包括公钥,以及加密证书对应的哈希值。
第四方面,本发明实施例还提供一种待认证设备,包括:
获取模块,用于获取数字身份证书;
第二加密模块,用于使用所述数字身份证书携带的私钥,对所述数字身份证书进行加密,生成第一加密证书;
第四收发器,用于将所述数字身份证书携带的设备序列号,以及所述第一加密证书发送至终端。
第五方面,本发明实施例还提供一种电子设备,包括:收发机、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;所述处理器,用于读取存储器中的程序实现如前述第一方面所述方法中的步骤;或者,所述处理器,用于读取存储器中的程序实现如前述第二方面所述方法中的步骤。
第六方面,本发明实施例还提供一种可读存储介质,用于存储程序,所述程序被处理器执行时实现如前述第一方面所述方法中的步骤;或者,所述程序被处理器执行时实现如前述第二方面所述方法中的步骤。
本发明实施例中,在区块链中存储有映射关系表,该映射关系表用于指示所有已认证设备的设备序列号与N个目标信息之间的映射关系,所述已认证设备的设备序列号与所述目标信息一一对应,所述目标信息包括公钥,以及加密证书对应的哈希值。使用该映射关系表对待认证设备发送的设备序列号以及第一加密证书进行查询,确定该待认证设备对应的目标公钥以及第二哈希值,进一步的,基于第一加密证书、目标公钥和第二哈希值,确定待认证设备的认证结果。这样,基于区块链具备数据不可篡改的特性,使用区块链中存储的相关数据,验证待认证设备对应的加密证书是否合法,进而确定待认证设备的认证结果,以此提高网络连接设备身份认证的准确性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的认证方法的流程示意图;
图2是本发明实施例提供的认证方法的另一流程示意图;
图3是本发明实施例提供的认证方法所应用的网络拓扑结构示意图;
图4是本发明实施提供的终端的结构示意图;
图5是本发明实施提供的待认证设备的结构示意图;
图6是本发明实施提供的电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。此外,本申请中使用“和/或”表示所连接对象的至少其中之一,例如A和/或B和/或C,表示包含单独A,单独B,单独C,以及A和B都存在,B和C都存在,A和C都存在,以及A、B和C都存在的7种情况。
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
本发明实施例提供的认证方法可以应用于对参与软件定义广域网中的客户终端设备进行验证的场景中,应理解,本发明实施例提供的认证方法不局限于应用在软件定义广域网中,上述认证方法也可以应用在软件定义网络或其他形式的网络结构中,还应理解,下文中提及的待认证设备和已认证设备,均属于客户终端设备。
请参见图1,图1是本发明实施例提供的认证方法的流程示意图。图1所示的认证方法由终端执行。
需要说明的是,在本发明实施例所应用的网络拓扑结构中,上述终端分别与客户终端设备和区块链通信连接。上述终端可以是软件定义广域网中的业务编排管理系统,业务编排管理系统通过控制器与客户终端设备通信连接。其中,将未通过认证的客户终端设备称为待认证设备。
如图1所示,本发明实施例提供的认证方法包括以下步骤:
步骤101,接收待认证设备发送的设备序列号以及第一加密证书。
本步骤中,在待认证设备与终端建立通信连接的情况下,接收待认证设备发送的设备序列号以及第一加密证书。
其中,上述设备序列号可以为一组数字,或者一组字母,或者一组字母与数字的结合;上述设备序列号可以理解为待认证设备的唯一标识,换言之,设备序列号与待认证设备一一对应。
其中,上述第一加密证书是对待认证设备对应的数字身份证书使用私钥加密后得到的加密证书;第一加密证书携带有第一哈希值,该第一哈希值是基于对待认证设备对应的数字身份证书使用私钥加密生成。
步骤102,在区块链中对所述设备序列号进行查询,确定所述待认证设备对应的目标公钥以及第二哈希值。
应理解,区块链中存储有映射关系表,映射关系表用于指示N个已认证设备的设备序列号与N个目标信息之间的映射关系,该已认证设备的设备序列号与该目标信息一一对应,其中,目标信息包括公钥,以及加密证书对应的哈希值,N为正整数。
本步骤中,终端可以向区块链发送查询指令,该查询指令携带有设备序列号,通过区块链存储的映射关系表,确定与该设备序列号对应的公钥,并将该公钥称为目标公钥;确定与该设备序列号存在映射关系的加密证书对应的哈希值,该哈希值可以称为第二哈希值。
步骤103,基于所述第一加密证书、所述目标公钥和所述第二哈希值,确定所述待认证设备的认证结果。
本步骤中,终端在查询得到目标公钥以及第二哈希值后,基于第一加密证书、目标公钥和第二哈希值对待认证设备进行认证,生成相应的认证结果,具体的技术方案请参阅后续实施例。
在认证结果为认证成功的情况下,表示该待认证设备符合接入软件定义广域网的安全要求,将该待认证设备作为软件定义广域网中的一个站点;在认证结果为认证失败的情况下,表示该待认证设备对应的数字身份证书被篡改,不符合接入软件定义广域网的安全要求。
本发明实施例中,在区块链中存储有映射关系表,该映射关系表用于指示所有已认证设备的设备序列号、每一设备序列号对应的公钥、以及加密证书对应的哈希值之间的映射关系。使用该映射关系表对待认证设备发送的设备序列号以及第一加密证书进行查询,确定该待认证设备对应的目标公钥以及第二哈希值,进一步的,基于第一加密证书、目标公钥和第二哈希值,确定待认证设备的认证结果。这样,基于区块链具备数据不可篡改的特性,使用区块链中存储的相关数据,验证数字身份证书是否合法,以此提高网络连接设备身份认证的准确性。
本发明实施例中,终端在接收到待认证设备发送的设备序列号和第一加密证书后,可以通过与区块链连接的通信接口,对该设备序列号进行查询,得到与该设备序列号对应的目标公钥和第二哈希值。
以下,具体说明如何根据第一加密证书、目标公钥和第二哈希值对待认证设备进行认证:
可选地,所述基于所述第一加密证书、所述目标公钥和所述第二哈希值,确定所述待认证设备的认证结果包括:
使用所述目标公钥对所述第一加密证书进行解密;在使用所述目标公钥对所述第一加密证书解密成功的情况下,读取所述第一加密证书中的所述第一哈希值;在所述第一哈希值与所述第二哈希值相同的情况下,确定所述待认证设备认证成功。
本实施例中,对于任一待认证设备而言,该待认证设备对应的数字身份证书包括公钥和私钥,使用该私钥对该数字身份证书进行加密,得到第一加密证书。
在区块链中预先存储有N个已认证设备的数字身份证书携带的公钥,若依据待认证设备的设备序列号,在区块链中查询到了对应的目标公钥,并使用该目标公钥对第一加密证书解密成功的情况下,表示该待认证设备属于N个已认证设备,这种情况下,进一步判断待认证设备对应的数字身份证书的数据是否被篡改。
应理解,在使用私钥对数字身份证书加密生成加密证书后,该加密证书携带有哈希值,哈希值表征为一组字符串,若加密证书的数据内容被修改,则哈希值也会相应变化。
本实施例中,读取解密成功的第一加密证书的第一哈希值,将该第一哈希值与在区块链中查询到的第二哈希值进行比较,若第一哈希值与第二哈希值相同,表示第一加密证书的数据未被篡改,这种情况下,可以确定待认证设备认证成功,该待认证设备接入软件定义广域网。
本实施例中,在查询得到第一加密证书对应的目标公钥和第二哈希值后,先使用目标公钥对第一加密证书进行解密,依据解密结果判断第一加密证书是否由目标公钥对应的私钥加密形成;然后,验证第一加密证书携带的第一哈希值与该第二哈希值是否一致,判断第一加密证书的数据内容是否被篡改。通过对第一加密证书进行双重认证,达到提高认证结果的准确性的目的。
应理解,若在对第一加密证书进行验证的过程中,存在以下情况,表示该待认证设备认证失败。
可选地,所述使用所述目标公钥对所述第一加密证书进行解密之后,包括:
在使用所述目标公钥对所述第一加密证书解密不成功的情况下,确定所述待认证设备认证失败。
本实施例中,若使用目标公钥无法对第一加密证书解密,表示该第一加密证书不是由目标公钥对应的私钥加密生成的,这种情况下,第一加密证书不是对已认证设备的数字身份证书加密生成,换言之,待认证设备不属于预先通过认证的客户终端设备,则确定待认证设备认证失败。
可选地,所述读取所述第一加密证书中的所述第一哈希值之后,包括:
在所述第一哈希值与所述第二哈希值不相同的情况下,确定所述待认证设备认证失败。
本实施例中,若使用目标公钥对第一加密证书解密成功,进一步的,验证第一哈希值与第二哈希值是否相同,若第一哈希值与第二哈希值不相同,表示第一加密证书的数据被外部篡改,或者第一加密证书的数据存在部分/全部丢失,这种情况下,确定待认证设备认证失败。
需要说明的是,在对待认证设备进行认证之前,终端会预先将已认证设备的设备序列号、该设备序列号对应的公钥以及已认证设备对应的第二加密证书的第三哈希值存储至区块链,区块链存储的映射关系表中反映有上述三者之间的映射关系。
以下,具体说明如何在区块链中构建已认证设备的设备序列号、该设备序列号对应的公钥、以及该已认证设备对应的第二加密证书的第三哈希值之间的映射关系。
可选地,所述映射关系表通过以下步骤得到:
接收N个已认证设备的数字身份证书;对于任一已认证设备,使用所述已认证设备对应的私钥对所述已认证设备对应的数字身份证书进行加密,得到第二加密证书;将所述已认证设备的设备序列号、所述已认证设备的公钥以及所述第二加密证书中的第三哈希值之间的关联关系存储至所述区块链中的所述映射关系表。
应理解,上述已认证设备可以理解为允许接入软件定义广域网的客户终端设备。已认证设备在与外部存储器,例如U盘,建立通信连接的前提下,读取该存储器存储的数字身份证书;或者,读取预配置信息,获取数字身份证书;或者,通过读取预设的网络地址的方式,获取该已认证设备对应的数字身份证书。其中,该数字身份证书可以由专门的证书生成系统使用证书管理工具生成,可选地,该数字身份证书为X.509格式。
已认证设备与终端建立通信连接后,将数字身份证书发送至终端,其中,每一数字身份证书包括设备序列号、私钥和公钥。终端使用数字身份证书携带的私钥对该数字身份证书加密,得到第二加密证书,其中,第二加密证书携带有第三哈希值。
终端在得到第二加密证书后,将该数字身份证书携带的设备序列号、该数字身份证书携带的公钥以及第二加密证书携带的第三哈希值,通过区块链的通信接口存储至区块链中。同时,将上述设备序列号、上述公钥以及上述第三哈希值之间的关联关系存储至区块链的映射关系表中。
本实施例中,将已认证设备的设备序列号、已认证设备对应的公钥、以及已认证设备对应的第二加密证书携带的第三哈希值之间的关联关系存储至区块链的映射关系表中。利用区块链所具备的数据不可篡改的特性,在对待认证设备进行验证的过程中,使用区块链中存储的相关数据,验证待认证设备对应的第一加密证书是否合法,以此提高网络连接设备身份认证的准确性。
需要说明的是,上述映射关系表还可以存储有已认证设备的设备序列号和已认证设备的证书信息之间的关联关系,其中,上述证书信息至少包括证书生成时间和颁发者身份。
一种可能存在的应用场景为,当软件定义广域网发生网络异常现象时,网络监管方需要对接入网络的客户终端设备进行身份溯源,确定客户终端设备的设备身份是否异常,以排除出现异常的客户终端设备。
在上述应用场景中,可以设置区块链与监管系统通信连接,其中,监管系统可以理解为是监管方应用的系统。监管系统可以根据待查询设备的设备序列号,在区块链中查询得到该待查询设备对应的证书信息,然后,监管系统对证书信息中的证书生成时间和颁发者身份进行核实,确定该待查询设备的设备身份是否异常,以此实现对客户终端设备的身份溯源。
请参阅图2,图2是本发明实施例提供的认证方法的另一流程示意图。本发明实施例提供的认证方法可以由待认证设备执行。
需要说明的是,在本发明实施例所应用的网络拓扑结构中,上述待认证设备通过控制器与终端建立通信连接,上述待认证设备可以理解为是待认证的客户终端设备。
如图2所示,认证方法可以包括以下步骤:
步骤201,获取数字身份证书。
本步骤中,待认证设备在与外部存储器,例如U盘,建立通信连接的前提下,读取该存储器存储的数字身份证书;或者,读取预配置信息,获取数字身份证书;或者,通过读取预设的网络地址的方式,获取数字身份证书;或者,通过其他方式获取数字身份证书,在此不做具体限定。
步骤202,使用所述数字身份证书携带的私钥,对所述数字身份证书进行加密,生成第一加密证书。
应理解,数字身份证书中携带有私钥,本步骤中,待认证设备使用该私钥加密数字身份证书,得到第一加密证书。
步骤203,将所述数字身份证书携带的设备序列号,以及所述第一加密证书发送至终端。
应理解,数字身份证书中还携带有设备序列号,本步骤中,待认证设备将该设备序列号以及第一加密证书发送至终端,进而实现对待认证设备的认证。
需要说明的是,本实施例作为与上述方法实施例对应的待认证设备的实施方式,因此,可以参见上述方法实施例中的相关说明,且可以达到相同的有益效果。为了避免重复说明,在此不再赘述。
本发明实施例中介绍的多种可选的实施方式,在彼此不冲突的情况下可以相互结合实现,也可以单独实现,对此本发明实施例不作限定。
请参阅图3,图3是本发明实施例提供的认证方法所应用的网络拓扑结构示意图。
为便于理解,结合图3示出的网络拓扑结构对本发明实施例提供的认证方法进行说明。
如图3所示,业务编排管理系统分别与区块链和控制器通信连接,如图3所示,业务编排管理系统可以通过Restful接口与区块链通信连接,应理解,业务编排管理系统也可以通过其他类型的通信接口与区块链通信,在此不做具体限制。
图3示出的监管系统通过通信接口与区块链连接,如图3所示,上述通信接口为Restful接口,应理解,监管系统也可以通过其他类型的通信接口与区块链通信,在此不做具体限制。
可选地,可以将业务编排管理系统与控制器通信的接口统称为北向接口,北向接口包括无线网络接口或者有线网络接口,在此不对北向接口的类型做出具体限制。
控制器通过通信接口与连接在网络服务提供点上的客户终端设备通信连接,应理解,一个网络服务提供点可以为至少一个客户终端设备提供网络服务,例如,图3示出的网络服务提供点为2个客户终端设备提供网络服务。可选地,将可以将客户终端设备与控制器通信的接口统称为南向接口。
本实施例提供的认证方法为:
业务编排管理系统在对客户终端设备进行认证之前,接收已认证设备的数字身份证书,并使用该数字身份证书携带的私钥对该数字身份证书加密,得到第二加密证书;将数字身份证书携带的设备序列号、数字身份证书携带的公钥以及第二加密证书的第三哈希值关联存储至区块链的映射关系表中。
对客户终端设备进行认证的过程为,待认证的客户终端设备通过读取预配置信息,或者其他方式,获取数字身份证书,并使用数字身份证书携带的私钥对该数字身份证书加密,得到第一加密证书,并将该第一加密证书的第一哈希值和设备序列号通过控制器发送至业务编排管理系统。
业务编排管理系统依据接收到的设备序列号,在区块链中查询得到该设备序列号对应的目标公钥和对应的第二哈希值;基于目标公钥和第二哈希值,对该待认证设备进行认证,生成相应的认证结果。
区块链中还存储有已认证设备的设备序列号与已认证设备对应的证书信息之间的映射关系,监管系统可以依据待查询的客户终端设备的设备序列号,在区块链中查询得到该设备序列号对应的证书信息,以此对待查询设备的身份进行追溯。
参见图4,图4是本发明实施例提供的终端的结构示意图。如图4所示,终端300包括:
第一收发器301,用于接收待认证设备发送的设备序列号以及第一加密证书;
第一处理器302,用于在区块链中对所述设备序列号进行查询,确定所述待认证设备对应的目标公钥以及第二哈希值;
确定模块303,用于基于所述第一加密证书、所述目标公钥和所述第二哈希值,确定所述待认证设备的认证结果。
可选地,所述确定模块303还用于:
使用所述目标公钥对所述第一加密证书进行解密;
在使用所述目标公钥对所述第一加密证书解密成功的情况下,读取所述第一加密证书中的所述第一哈希值;
在所述第一哈希值与所述第二哈希值相同的情况下,确定所述待认证设备认证成功。
可选地,所述确定模块303还用于:
在使用所述目标公钥对所述第一加密证书解密不成功的情况下,确定所述待认证设备认证失败。
可选地,所述确定模块303还用于:
在所述第一哈希值与所述第二哈希值不相同的情况下,确定所述待认证设备认证失败。
可选地,所述终端还包括:
第二收发器,用于接收N个已认证设备的数字身份证书;
第一加密模块,用于对于任一已认证设备,使用所述已认证设备对应的私钥对所述已认证设备对应的数字身份证书进行加密,得到第二加密证书;
第三收发器,用于将所述已认证设备的设备序列号、所述已认证设备的公钥以及所述第二加密证书中的第三哈希值之间的关联关系存储至所述区块链中的映射关系表。
终端300能够实现本发明实施例中图1方法实施例的各个过程,以及达到相同的有益效果,为避免重复,这里不再赘述。
参见图5,图5是本发明实施例提供的待认证设备的结构示意图。如图5所示,待认证设备400包括:
获取模块401,用于获取数字身份证书;
第二加密模块402,用于使用所述数字身份证书携带的私钥,对所述数字身份证书进行加密,生成第一加密证书;
第四收发器403,用于将所述数字身份证书携带的设备序列号,以及所述第一加密证书发送至终端。
待认证设备400能够实现本发明实施例中图2方法实施例的各个过程,以及达到相同的有益效果,为避免重复,这里不再赘述。
本发明实施例还提供一种电子设备。请参见图6,电子设备可以包括处理器501、存储器502及存储在存储器502上并可在处理器501上运行的程序5021。
在电子设备为终端的情况下,程序5021被处理器501执行时可实现图1对应的方法实施例中的任意步骤及达到相同的有益效果,此处不再赘述。
在电子设备为待认证设备的情况下,程序5021被处理器501执行时可实现图2对应的方法实施例中的任意步骤及达到相同的有益效果,此处不再赘述。
本领域普通技术人员可以理解实现上述实施例方法的全部或者部分步骤是可以通过程序指令相关的硬件来完成,所述的程序可以存储于一可读取介质中。
本发明实施例还提供一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时可实现上述图1对应的方法实施例中的任意步骤,且能达到相同的技术效果,为避免重复,这里不再赘述。
本发明实施例还提供一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时可实现上述图2对应的方法实施例中的任意步骤,且能达到相同的技术效果,为避免重复,这里不再赘述。
所述的存储介质,如只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等。
以上所述是本发明实施例的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (14)
1.一种认证方法,其特征在于,由终端执行,所述方法包括:
接收待认证设备发送的设备序列号以及第一加密证书,所述第一加密证书携带第一哈希值,所述第一哈希值是基于对所述待认证设备对应的数字身份证书使用私钥加密生成;
在区块链中对所述设备序列号进行查询,确定所述待认证设备对应的目标公钥以及第二哈希值;
基于所述第一加密证书、所述目标公钥和所述第二哈希值,确定所述待认证设备的认证结果;
其中,所述区块链中存储有映射关系表,所述映射关系表用于指示N个已认证设备的设备序列号与N个目标信息之间的映射关系,所述已认证设备的设备序列号与所述目标信息一一对应,所述目标信息包括公钥,以及加密证书对应的哈希值,N为正整数。
2.根据权利要求1所述的方法,其特征在于,所述基于所述第一加密证书、所述目标公钥和所述第二哈希值,确定所述待认证设备的认证结果包括:
使用所述目标公钥对所述第一加密证书进行解密;
在使用所述目标公钥对所述第一加密证书解密成功的情况下,读取所述第一加密证书中的所述第一哈希值;
在所述第一哈希值与所述第二哈希值相同的情况下,确定所述待认证设备认证成功。
3.根据权利要求2所述的方法,其特征在于,所述使用所述目标公钥对所述第一加密证书进行解密之后,包括:
在使用所述目标公钥对所述第一加密证书解密不成功的情况下,确定所述待认证设备认证失败。
4.根据权利要求2所述的方法,其特征在于,所述读取所述第一加密证书中的所述第一哈希值之后,包括:
在所述第一哈希值与所述第二哈希值不相同的情况下,确定所述待认证设备认证失败。
5.根据权利要求1所述的方法,其特征在于,所述映射关系表通过以下步骤得到:
接收N个已认证设备的数字身份证书,每一所述数字身份证书包括设备序列号、私钥和公钥;
对于任一已认证设备,使用所述已认证设备对应的私钥对所述已认证设备对应的数字身份证书进行加密,得到第二加密证书;所述第二加密证书包括第三哈希值,所述第三哈希值是基于对所述已认证设备对应的数字身份证书使用私钥加密生成;
将所述已认证设备的设备序列号、所述已认证设备的公钥以及所述第二加密证书中的第三哈希值之间的关联关系存储至所述区块链中的所述映射关系表。
6.一种认证方法,其特征在于,由待认证设备执行,所述方法包括:
获取数字身份证书;
使用所述数字身份证书携带的私钥,对所述数字身份证书进行加密,生成第一加密证书;
将所述数字身份证书携带的设备序列号,以及所述第一加密证书发送至终端。
7.一种终端,其特征在于,包括:
第一收发器,用于接收待认证设备发送的设备序列号以及第一加密证书,所述第一加密证书携带第一哈希值,所述第一哈希值是基于对所述待认证设备对应的数字身份证书使用私钥加密生成;
第一处理器,用于在区块链中对所述设备序列号进行查询,确定所述待认证设备对应的目标公钥以及第二哈希值;
确定模块,用于基于所述第一加密证书、所述目标公钥和所述第二哈希值,确定所述待认证设备的认证结果;
其中,所述区块链中存储有映射关系表,所述映射关系表用于指示N个已认证设备的设备序列号与N个目标信息之间的映射关系,所述已认证设备的设备序列号与所述目标信息一一对应,所述目标信息包括公钥,以及加密证书对应的哈希值,N为正整数。
8.根据权利要求7所述的终端,其特征在于,所述确定模块还用于:
使用所述目标公钥对所述第一加密证书进行解密;
在使用所述目标公钥对所述第一加密证书解密成功的情况下,读取所述第一加密证书中的所述第一哈希值;
在所述第一哈希值与所述第二哈希值相同的情况下,确定所述待认证设备认证成功。
9.根据权利要求8所述的终端,其特征在于,所述确定模块还用于:
在使用所述目标公钥对所述第一加密证书解密不成功的情况下,确定所述待认证设备认证失败。
10.根据权利要求8所述的终端,其特征在于,所述确定模块还用于:
在所述第一哈希值与所述第二哈希值不相同的情况下,确定所述待认证设备认证失败。
11.根据权利要求7所述的终端,其特征在于,所述终端还包括:
第二收发器,用于接收N个已认证设备的数字身份证书,每一所述数字身份证书包括设备序列号、私钥和公钥;
第一加密模块,用于对于任一已认证设备,使用所述已认证设备对应的私钥对所述已认证设备对应的数字身份证书进行加密,得到第二加密证书;所述第二加密证书包括第三哈希值,所述第三哈希值是基于对所述已认证设备对应的数字身份证书使用私钥加密生成;
第三收发器,用于将所述已认证设备的设备序列号、所述已认证设备的公钥以及所述第二加密证书中的第三哈希值之间的关联关系存储至所述区块链中的所述映射关系表。
12.一种待认证设备,其特征在于,包括:
获取模块,用于获取数字身份证书;
第二加密模块,用于使用所述数字身份证书携带的私钥,对所述数字身份证书进行加密,生成第一加密证书;
第四收发器,用于将所述数字身份证书携带的设备序列号,以及所述第一加密证书发送至终端。
13.一种电子设备,包括:收发机、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;其特征在于,所述处理器,用于读取存储器中的程序实现如权利要求1至5中任一项所述的认证方法中的步骤;或,如权利要求6所述的认证方法中的步骤。
14.一种可读存储介质,用于存储程序,其特征在于,所述程序被处理器执行时实现如权利要求1至5中任一项所述的认证方法中的步骤;或,如权利要求6所述的认证方法中的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110335711.4A CN115150109A (zh) | 2021-03-29 | 2021-03-29 | 认证方法、装置及相关设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110335711.4A CN115150109A (zh) | 2021-03-29 | 2021-03-29 | 认证方法、装置及相关设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115150109A true CN115150109A (zh) | 2022-10-04 |
Family
ID=83403700
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110335711.4A Pending CN115150109A (zh) | 2021-03-29 | 2021-03-29 | 认证方法、装置及相关设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115150109A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116684870A (zh) * | 2023-08-03 | 2023-09-01 | 中国电力科学研究院有限公司 | 电力5g终端的接入认证方法、装置及系统 |
CN117409761A (zh) * | 2023-12-14 | 2024-01-16 | 深圳市声菲特科技技术有限公司 | 基于频率调制的人声合成方法、装置、设备及存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180309581A1 (en) * | 2017-04-19 | 2018-10-25 | International Business Machines Corporation | Decentralized biometric signing of digital contracts |
CN109302415A (zh) * | 2018-11-09 | 2019-02-01 | 四川虹微技术有限公司 | 一种认证方法、区块链节点及存储介质 |
CN109492377A (zh) * | 2018-11-09 | 2019-03-19 | 四川虹微技术有限公司 | 设备验证方法、装置及电子设备 |
CN109787987A (zh) * | 2019-01-29 | 2019-05-21 | 国网江苏省电力有限公司无锡供电分公司 | 基于区块链的电力物联网终端身份认证方法 |
CN110519062A (zh) * | 2019-09-19 | 2019-11-29 | 腾讯科技(深圳)有限公司 | 基于区块链的身份认证方法、认证系统及存储介质 |
CN111740989A (zh) * | 2020-06-19 | 2020-10-02 | 大连理工大学 | 一种面向区块链的物联网芯片轻量级数据加密方法 |
-
2021
- 2021-03-29 CN CN202110335711.4A patent/CN115150109A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180309581A1 (en) * | 2017-04-19 | 2018-10-25 | International Business Machines Corporation | Decentralized biometric signing of digital contracts |
CN109302415A (zh) * | 2018-11-09 | 2019-02-01 | 四川虹微技术有限公司 | 一种认证方法、区块链节点及存储介质 |
CN109492377A (zh) * | 2018-11-09 | 2019-03-19 | 四川虹微技术有限公司 | 设备验证方法、装置及电子设备 |
CN109787987A (zh) * | 2019-01-29 | 2019-05-21 | 国网江苏省电力有限公司无锡供电分公司 | 基于区块链的电力物联网终端身份认证方法 |
CN110519062A (zh) * | 2019-09-19 | 2019-11-29 | 腾讯科技(深圳)有限公司 | 基于区块链的身份认证方法、认证系统及存储介质 |
CN111740989A (zh) * | 2020-06-19 | 2020-10-02 | 大连理工大学 | 一种面向区块链的物联网芯片轻量级数据加密方法 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116684870A (zh) * | 2023-08-03 | 2023-09-01 | 中国电力科学研究院有限公司 | 电力5g终端的接入认证方法、装置及系统 |
CN116684870B (zh) * | 2023-08-03 | 2023-10-20 | 中国电力科学研究院有限公司 | 电力5g终端的接入认证方法、装置及系统 |
CN117409761A (zh) * | 2023-12-14 | 2024-01-16 | 深圳市声菲特科技技术有限公司 | 基于频率调制的人声合成方法、装置、设备及存储介质 |
CN117409761B (zh) * | 2023-12-14 | 2024-03-15 | 深圳市声菲特科技技术有限公司 | 基于频率调制的人声合成方法、装置、设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108768988B (zh) | 区块链访问控制方法、设备及计算机可读存储介质 | |
US9100827B2 (en) | Method for cryptographically verifiable identification of a physical unit in a public, wireless telecommunications network | |
CN106790156B (zh) | 一种智能设备绑定方法及装置 | |
US10931464B2 (en) | Communication system, hardware security module, terminal device, communication method, and program | |
CN110855671A (zh) | 一种可信计算方法和系统 | |
US9445269B2 (en) | Terminal identity verification and service authentication method, system and terminal | |
CN109981287B (zh) | 一种代码签名方法及其存储介质 | |
CN103237305B (zh) | 面向移动终端上的智能卡密码保护方法 | |
WO2015003503A1 (zh) | 一种提高信息安全性的方法、终端设备及网络设备 | |
CN115150109A (zh) | 认证方法、装置及相关设备 | |
CN107749854B (zh) | 基于客户端的单点登录方法及系统 | |
CN114553590A (zh) | 数据传输方法及相关设备 | |
CN115664655A (zh) | 一种tee可信认证方法、装置、设备及介质 | |
CN113824553A (zh) | 密钥管理方法、装置及系统 | |
CN107566393A (zh) | 一种基于受信任证书的动态权限验证系统及方法 | |
JP2024501326A (ja) | アクセス制御方法、装置、ネットワーク側機器、端末及びブロックチェーンノード | |
JP7021376B2 (ja) | 通信装置、通信方法、およびコンピュータプログラム | |
US10671717B2 (en) | Communication device, communication method and computer program | |
CN112261103A (zh) | 一种节点接入方法及相关设备 | |
CN113872986B (zh) | 配电终端认证方法、装置和计算机设备 | |
CN116599719A (zh) | 一种用户登录认证方法、装置、设备、存储介质 | |
CN107241341B (zh) | 访问控制方法及装置 | |
US20230068650A1 (en) | Method for testing if a data element belongs to a list of reference data elements | |
CN112637122B (zh) | 用于通信单元主站访问控制的测试方法、响应方法及其系统 | |
CN115694842B (zh) | 工业互联网设备互信及数据交换方法、装置及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |