CN115378737A - 跨域设备通信信任方法、装置、设备和介质 - Google Patents
跨域设备通信信任方法、装置、设备和介质 Download PDFInfo
- Publication number
- CN115378737A CN115378737A CN202211298494.7A CN202211298494A CN115378737A CN 115378737 A CN115378737 A CN 115378737A CN 202211298494 A CN202211298494 A CN 202211298494A CN 115378737 A CN115378737 A CN 115378737A
- Authority
- CN
- China
- Prior art keywords
- domain
- certificate
- verified
- target
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3265—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及数据处理领域,公开了一种跨域设备通信信任方法、装置、设备和介质。该方法包括:当检测到处于不同CA域的待验证设备发送的通信数据时,获取该待验证设备使用的待验证证书的签发者标识,根据签发者标识确定该待验证设备对应的目标域证书下载地址,进而根据目标域证书下载地址获取待验证设备对应的目标CA域证书集合,通过该目标CA域证书集合对待验证设备的证书链进行验证,如果验证通过,则确定待验证设备使用的待验证证书可信,实现了对跨域设备的通信信任,该方法在需要信任跨域设备时实时下载对方的CA域证书集合即可,减少了证书占用资源,提高了信任效率。
Description
技术领域
本发明涉及数据处理领域,尤其涉及一种跨域设备通信信任方法、装置、设备和介质。
背景技术
工业互联网是新工业技术的重要支撑,数字化转型是工业互联网的重要基础,从顶层设计,到地方上扶植推进,再到产业企业的落地创新,工业互联网应用路径和模式都已经初步形成。同时,随着互联网特别是移动互联网的高速发展,跨领域的全面一体化合作以及大数据信息交叉的融合,即信息化与工业化深度融合,工业控制系统自身存在的安全漏洞加上物联网化带来的广泛安全威胁,使安全问题被视为一个重大挑战。因此,建设基于公钥基础设施CA(certificate authority,证书认证机构)的数字证书管理体系为工业互联网保驾护航得到了业内广泛关注与实践。
目前的证书互信体系,不同CA域之间通过根证书互签中间CA证书的方式,实现不同CA域的证书的互相信任,这导致了每个CA域的中间CA都需要保存多张CA证书。当需要跨域互信的CA域很多时,每个CA域的中间CA需要保存大量CA证书,占用大量资源,且跨域互信时依次验签中间CA的多张CA证书会严重影响跨域互信的速度。
有鉴于此,特提出本发明。
发明内容
为了解决上述技术问题,本发明提供了一种跨域设备通信信任方法、装置、设备和介质,减少实现跨域设备使用证书的验证所需占用资源,并且,提高跨域设备信任效率。
本发明实施例提供了一种跨域设备通信信任方法,该方法包括:
在检测到待验证设备发送的通信数据时,获取与所述待验证设备对应的待验证证书的签发者标识,其中,所述待验证设备为处于不同CA域的证书使用者;
基于所述签发者标识确定所述待验证设备对应的目标域证书下载地址,根据所述目标域证书下载地址,获取所述待验证设备对应的目标CA域证书集合;
基于所述目标CA域证书集合对所述待验证设备的证书链进行验证,若验证通过,则确定所述待验证证书可信。
本发明实施例提供了一种跨域设备通信信任装置,该装置包括:
标识获取模块,用于在检测到待验证设备发送的通信数据时,获取与所述待验证设备对应的待验证证书的签发者标识,其中,所述待验证设备为处于不同CA域的证书使用者;
证书集合获取模块,用于基于所述签发者标识确定所述待验证设备对应的目标域证书下载地址,根据所述目标域证书下载地址,获取所述待验证设备对应的目标CA域证书集合;
证书链验证模块,用于基于所述目标CA域证书集合对所述待验证设备的证书链进行验证,若验证通过,则确定所述待验证证书可信。
本发明实施例提供了一种电子设备,所述电子设备包括:
处理器和存储器;
所述处理器通过调用所述存储器存储的程序或指令,用于执行任一实施例所述的跨域设备通信信任方法的步骤。
本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储程序或指令,所述程序或指令使计算机执行任一实施例所述的跨域设备通信信任方法的步骤。
本发明实施例具有以下技术效果:
当检测到处于不同CA域的待验证设备发送的通信数据时,获取该待验证设备使用的待验证证书的签发者标识,根据签发者标识确定该待验证设备对应的目标域证书下载地址,进而根据目标域证书下载地址获取待验证设备对应的目标CA域证书集合,以在需要信任不同CA域的设备时,实时下载对应的CA域证书集合,进而通过该目标CA域证书集合对待验证设备的证书链进行验证,如果验证通过,则确定该待验证设备使用的待验证证书可信,实现了对跨域设备的通信信任,该方法在需要信任跨域设备时实时下载对方的CA域证书集合,以对其进行验证,无需预先保存所有不同CA域的证书,减少了证书占用资源,并且,无需对预先保存的大量证书依次进行验签,极大地提高了信任效率,进一步的,提高了设备之间的通信效率。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种跨域设备通信信任方法的流程图;
图2是本发明实施例提供的另一种跨域设备通信信任方法的流程图;
图3是本发明实施例提供的一种跨域设备通信信任流程图;
图4是本发明实施例提供的一种跨域设备通信信任装置的结构示意图;
图5为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将对本发明的技术方案进行清楚、完整的描述。显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施例,都属于本发明所保护的范围。
在对本发明实施例提供的跨域设备通信信任方法进行详细介绍之前,先对本发明实施例提供的跨域设备通信信任方法的应用场景,以及该方法所解决的技术问题进行说明。
CA域可以理解为由同一个根CA签发的下属CA证书以及下属CA签发的各类业务证书所构成的一条从根CA向下的CA链所组成的证书集合。在同一个CA域中,各证书对应的使用设备使用本域的CA证书即可进行证书链验签,如一个企业对应一个CA域,企业中的各设备在通信时只需要使用本企业内的CA证书即可验证对方证书是否可信,由于是相同CA域,证书使用设备均具备签发证书的CA系统的证书,因此验证过程与跨CA域设备验证相比较为简单。
在传统的证书体系中,不同CA域之间通过根证书互签ICA(Intermediatecertificate authority,中间证书颁发机构)证书的方式,实现不同CA域的证书的互相信任。即:若要实现CA域1与CA域2的互相信任,则用CA域1的根证书为CA域2的ICA额外签发一张CA证书,同时,用CA域2的根CA证书为CA域1的ICA额外签发一张CA证书。如此以来,每个CA域的ICA都有本域的根CA签发的CA证书和需要实现互信的其他域的根CA签发的ICA证书。不同域之间的证书实现互信时通过查找本域的ICA是否有对方域的根CA签发的CA证书来确认对方域是否可信。
然而,由于不同CA域的根CA需要互相给其他CA域的ICA签发CA证书的方式来实现不同CA域的跨域互信,导致每个CA域的ICA都需要保存多张CA证书。因此,对于某一个设备来说,在需要信任跨域设备时,需要依次验签ICA拥有的所有CA证书,来确认对方证书所在CA域是否可信。在需要跨域信任的CA域很多时,这种方式会使得每个CA域的ICA需要保存大量CA证书,占用大量资源,并且,跨域信任时依次验签ICA的多张CA证书会严重影响信任速度。
因此,为了解决该问题,本发明实施例提供了一种跨域设备通信信任方法,在某一设备接收到来自不同CA域的证书使用设备发送的通信数据时,该接收设备可以根据发送设备所使用的证书的签发者标识,实时下载该发送设备的CA域证书集合,即只需下载通信对方所在CA域的证书集合,进而通过该CA域证书集合对该发送设备的证书链进行验证,无需预先保存所有其他域的根CA签发的ICA证书,在节省存储资源的同时,提高了验证效率,并且,仅需下载目标CA域证书集合即可,避免了下载大量数据时的速率延迟。
本发明实施例提供的跨域设备通信信任方法,主要适用于对跨域通信的设备进行信任的情况,即对属于不同CA域的证书的使用设备通信时进行信任的情况。本发明实施例提供的跨域设备通信信任方法可以由跨域设备通信信任装置执行,该跨域设备通信信任装置可以集成在诸如计算机、车机、路测信号发送装置或智能手机等电子设备执行。
图1是本发明实施例提供的一种跨域设备通信信任方法的流程图。参见图1,该跨域设备通信信任方法具体包括:
S110、在检测到待验证设备发送的通信数据时,获取与待验证设备对应的待验证证书的签发者标识,其中,待验证设备为处于不同CA域的证书使用者。
具体的,若当前设备接收到使用不同CA域内的证书的待验证设备发送的通信数据时,可以获取与该待验证设备对应的待验证证书的签发者标识,以实现对该待验证设备的证书验证。其中,通信数据可以是响应数据、待响应数据或消息。
示例性的,当属于某车企CA域的车辆经过一个路段时,可以接收到路侧信号发送装置(属于公路系统CA域)发送的前方路段收费、请提供缴费账号的信息,此时,车辆需要确认此信息是否为可信信息。
其中,与待验证设备对应的待验证证书可以是待验证设备所使用的证书。待验证证书的签发者标识可以用于确定待验证证书的签发者。具体的,待验证证书的签发者标识可以是待验证证书的签发者对应的证书标识,如,哈希标识(如hashId8)。
示例性的,若待验证证书是由ECA(Enrollment Certificate Authority,注册证书颁发机构)签发的EC(Enrollment Certificate,注册证书),则待验证证书的签发者标识可以是ECA证书的哈希标识。
具体的,可以获取待验证证书的issuer字段,进而根据issuer字段中填写的信息确定待验证证书的签发者标识。
S120、基于签发者标识确定待验证设备对应的目标域证书下载地址,根据目标域证书下载地址,获取待验证设备对应的目标CA域证书集合。
其中,目标域证书下载地址可以是用于下载待验证设备对应的目标CA域证书集合的地址。其中,目标CA域证书集合可以包括待验证设备使用的待验证证书所在的CA域中的所有CA证书。具体的,从待验证设备所在的CA域中根CA系统到ICA系统、ECA系统等签发业务证书的系统和注册系统等各个系统使用的证书均为CA证书。CA证书不包括业务证书,即不包括各设备使用的证书。
具体的,目标CA域证书集合是一条数据链,该数据链可以包括本次签发时间、下一次签发时间、待验证设备所在的CA域内的所有CA证书、对所有CA证书进行的签名以及相关说明字段。
具体的,本实施例可以通过待验证设备使用的待验证证书的签发者标识,确定待验证证书的签发者,进而根据签发者确定待验证证书所在的CA域,进一步的,获取该CA域对应的目标域证书下载地址。
在一种具体的实施方式中,基于证书标识确定待验证设备对应的目标域证书下载地址,包括:获取权威域信息集合,其中,权威域信息集合包括各权威CA域分别对应的域证书标识集合以及域证书下载地址;基于签发者标识以及权威域信息集合,确定待验证设备对应的目标域证书下载地址。
在该实施方式中,权威域信息集合可以是由权威机构签发的。权威域信息集合可以包括每一个权威CA域所对应的域证书标识集合以及域证书下载地址。其中,权威CA域为根证书被放入权威域信息集合的CA域;即,权威域信息集合可以包括每一个权威CA域所对应的根证书、域证书标识集合以及域证书下载地址。示例性的,参见表1,展示了一种权威域信息集合。
表1 权威域信息集合
其中,权威CA域对应的域证书标识集合可以是由权威CA域包含的所有CA证书的证书标识所组成的集合。证书标识可以是对证书使用密码杂凑算法计算证书哈希值,并取哈希值的后8位作为证书的hashId8标识。权威CA域对应的域证书下载地址可以是用于下载权威CA域对应的CA域证书集合的地址。
可选的,基于签发者标识以及权威域信息集合,确定待验证设备对应的目标域证书下载地址,包括:基于签发者标识以及各权威CA域分别对应的域证书标识集合,确定待验证设备对应的目标权威CA域;从权威域信息集合中获取目标权威CA域对应的目标域证书下载地址。
具体的,可以将签发者标识与权威域信息集合中的域证书标识集合的各证书标识进行匹配,确定签发者标识对应的实际签发证书,进而根据实际签发证书确定待验证设备所在的权威CA域,即目标权威CA域。进一步的,直接从权威域信息集合中获取目标权威CA域对应的目标域证书下载地址。
需要说明的是,在上述实施方式中,获取权威域信息集合,以通过权威域信息集合进一步获取待验证设备对应的目标域证书下载地址的好处在于:当前设备只需要下载一次权威域信息集合即可,只有在权威域信息集合更新时才需要重新获取,后续在当前设备需要确认各个跨域设备所使用的证书是否可信时,直接通过该权威域信息集合即可获取到各个跨域设备的目标域证书下载地址,只需下载目标CA域证书集合即可,减少了下载量,进而避免了下载大量数据造成的延迟,提高了信任效率。
在本实施例中,为了进一步提高对待验证设备的验证准确性,还可以在验证待验证设备之前,在获取到权威机构签发的权威域信息集合时,对该权威域信息集合进行验证,验证通过后再对其进行存储。
在一种可选的实施方式中,获取权威域信息集合,包括:获取权威域信息集合以及与权威域信息集合对应的权威签名证书;基于权威签名证书对权威域信息集合的签名进行验证,若验证通过,则将权威域信息集合存储至预设存储区域。
具体的,权威机构可以使用权威签名证书对权威域信息集合进行签名,进而将签名后的权威域信息集合发布至可公开下载的网络中。因此,本实施例可以一并下载权威域信息集合以及与权威域信息集合对应的权威签名证书,使用权威签名证书验证权威域信息集合中的签名,如果验签通过,那么可以将权威域信息集合保存在预设存储区域。
其中,预设存储区域可以是当前设备的本地存储区域。当然,也可以将权威域信息集合和权威签名证书一并保存在本地。
当权威机构发布的权威域信息集合更新或权威签名证书更新时,可以重新下载更新后的权威域信息集合或更新后的权威签名证书,并重新进行验签,验签通过后替换掉预设存储区域中原有的权威域信息集合或权威签名证书。
通过上述方式,实现了对权威域信息集合的验证,避免了权威域信息集合异常时影响对待验证设备的验证结果,进而确保了对跨域设备的验证准确性。
S130、基于目标CA域证书集合对待验证设备的证书链进行验证,若验证通过,则确定待验证证书可信。
具体的,在得到目标CA域证书集合后,可以通过目标CA域证书集合,验证待验证设备所在的CA域的证书链中的所有证书的签名,以验证该待验证设备使用的待验证证书的可信性。
如果待验证设备使用的待验证证书的证书链验证通过,则当前设备可以确定待验证证书可信,以此实现对待验证设备的信任。
在确定待验证证书可信后,可以进一步验证证书有效期、数据的签名、数据的有效期、数据的类型与证书的应用权限是否相符等,以确认该通信数据是否可信,若可信则当前设备可以响应该可信数据。沿用上例,车辆可以在确定出路侧信号发送装置使用的证书可信,且其发送的前方路段收费、请提供缴费账号的信息为可信信息后,将缴费账号的信息发送给路侧信号发送装置。
需要说明的是,如果当前设备在确定待验证设备使用的待验证书证可信,且确定待验证设备发送的通信数据为可信数据后,向待验证设备反馈响应数据,那么,待验证设备可以基于上述S110-S130的步骤,将当前设备作为新的待验证设备,并下载对应的目标CA域证书集合,以确定发送响应数据的设备所使用的证书是否可信,以此实现对新的待验证设备的信任。
举例来说,若CA域1中的设备1接收到CA域2中的设备2发送的请求数据,则设备1需要下载设备2对应的CA域证书集合,验证设备2使用的证书是否可信。若设备1验证设备2使用的证书可信且设备2发送的请求数据可信后,设备1向设备2发送响应数据,则设备2也需要下载设备1对应的CA域证书集合,验证设备1使用的证书是否可信。当然,如果设备1没有向设备2发送响应数据,那么设备2无需下载设备1对应的CA域证书集合。
在当前设备确定出待验证设备使用的待验证证书可信后,若再次接收到待验证设备发送的通信数据,如果目标CA域证书集合仍然有效,则可以无需再下载目标CA域证书集合,当前设备还可以根据目标CA域证书集合继续验证待验证设备的证书链。
即,可选的,在确定待验证证书可信之后,本实施例提供的方法还包括:若检测到待验证设备再次发送通信数据,则确定目标CA域证书集合对应的下一次签发时间;根据当前时间以及下一次签发时间,确定目标CA域证书集合是否有效,若否,则根据目标域证书下载地址,重新获取待验证设备对应的目标CA域证书集合。
其中,目标CA域证书集合中存在本次签发时间字段以及下一次签发时间字段;通过目标CA域证书集合中的下一次签发时间字段,可以确定出目标CA域证书集合的下一次签发时间。
具体的,如果当前时间没有达到下一次签发时间,则可以确定目标CA域证书集合有效,无需重新下载;如果当前时间超过下一次签发时间,即当前时间晚于下一次签发时间,则可以确定目标CA域证书集合已被重新签发,当前保存的目标CA域证书集合无效,需要重新根据目标域证书下载地址下载待验证设备对应的目标CA域证书集合。
通过上述方式,可以避免对目标CA域证书集合的重复下载,进而提高了对待验证设备的信任效率,进一步的,提高了设备之间的通信效率。
本实施例具有以下技术效果:当检测到处于不同CA域的待验证设备发送通信数据时,获取该待验证设备使用的待验证证书的签发者标识,根据签发者标识确定该待验证设备对应的目标域证书下载地址,进而根据目标域证书下载地址获取待验证设备对应的目标CA域证书集合,以在需要信任不同CA域的设备时,实时下载对应的CA域证书集合,进而通过该目标CA域证书集合对待验证设备的证书链进行验证,实现了对跨域设备的通信信任,该方法在需要信任跨域设备时实时下载对方的CA域证书集合,以对其进行验证,无需预先保存所有不同CA域的证书,减少了证书占用资源,并且,无需对预先保存的大量证书依次进行验签,极大地提高了信任效率,进一步的,提高了设备之间的通信效率。
图2是本发明实施例提供的另一种跨域设备通信信任方法的流程图。在上述各实施方式的基础上,对权威域信息集合的获取过程进行了示例性说明。参见图2,该跨域设备通信信任方法具体包括:
S210、在检测到待验证设备发送的通信数据时,获取与待验证设备对应的待验证证书的签发者标识,其中,待验证设备为处于不同CA域的证书使用者。
S220、获取权威签发机构下发的第一地址,基于第一地址获取权威域信息集合;其中,权威签发机构用于根据各CA域的CA证书集合对应的标识集合以及下载地址确定权威域信息集合。
在本实施例中,权威域信息集合由权威签发机构生成。具体的,权威签发机构可以根据每一个CA域的根CA证书、CA证书集合对应的标识集合以及下载地址,生成权威域信息集合,并在权威域信息集合生成后,发布该权威域信息集合。
其中,CA证书集合包括CA域内所有CA证书,即包括从根CA系统到ICA系统,到ECA等签发业务证书的系统和注册系统等各个系统使用的证书。CA证书集合对应的标识集合包括集合内所有CA证书的证书标识,CA证书集合对应的下载地址用于下载集合内所有CA证书。
在本实施例中,当前设备可以直接获取权威签发机构下发的第一地址,通过访问第一地址获取权威域信息集合。
在一种可选的实施方式中,获取权威签发机构下发的第一地址,可以是:通过当前权威域管理机构,获取权威签发机构下发的第一地址;其中,当前权威域管理机构用于确定当前CA域的CA证书集合,并将当前CA域的根CA证书、CA证书集合对应的标识集合以及下载地址发送至所述权威签发机构。
其中,当前权威域管理机构为当前设备所在的权威CA域对应的管理机构,每一个权威CA域可以对应一个权威域管理机构。当前权威域管理机构可以是权威CA域中类似权威签发机构的组织,如平台、系统或服务器等。
具体的,当前权威域管理机构可以收集本域内的所有CA证书,组成CA证书集合。该CA证书集合除本域内的所有CA证书之外,还可以包括本域根证书对集合的签名、集合签发时间、下一次签发时间等相关信息。
进一步的,当前权威域管理机构可以根据CA证书集合里的所有CA证书的证书标识(如hashId8标识)构成标识集合,将根CA证书、标识集合和CA证书集合的下载地址上报至权威签发机构,进而使得权威签发机构根据各个CA域的根CA证书、CA证书集合的标识集合和下载地址生成权威域信息集合。
进一步的,权威签发机构可以将签名后的权威域信息集合发布至可公开下载的网络中;或者,将权威域信息集合以及权威签名证书的下载地址提供给各个权威域管理机构。每一个权威域管理机构可以以其定义的安全方式向CA域内的所有证书使用者(即设备),提供权威域信息集合以及权威签名证书的下载地址。
即,当前设备可以获取到当前设备所在的权威CA域的当前权威域管理机构下发的第一地址。通过第一地址下载权威域信息集合。当然,当前设备也可以获取到当前权威域管理机构下发的第二地址,通过第二地址下载权威签名证书。
通过上述方式,CA域内的各个证书的使用设备可以通过权威域管理机构获取到权威域信息集合的下载地址,避免了各个设备自行获取下载地址得到错误的权威域信息集合,进一步的保证了权威域信息集合的准确性。
S230、基于签发者标识以及权威域信息集合,确定待验证设备对应的目标域证书下载地址。
S240、根据目标域证书下载地址,获取待验证设备对应的目标CA域证书集合,基于目标CA域证书集合对待验证设备的证书链进行验证,若验证通过,则确定待验证证书可信。
示例性的,参见图3,图3展示了一种跨域设备通信信任流程图。以权威CA域1和权威CA域2为例。其中,权威CA域1和权威CA域2分别对应有权威域管理机构。权威CA域1和权威CA域2的权威域管理机构,上报本域的根证书、本域的CA证书集合的域证书标识集合以及域证书下载地址至权威签发机构,进而权威签发机构签发权威域信息集合并公网发布。
进一步的,权威签发机构将权威签名证书以及权威域信息集合的下载地址下发至各个权威域管理机构。进而各权威域管理机构下发权威签名证书以及权威域信息集合的下载地址至域内的各个证书使用者。各个证书使用者下载权威签名证书以及权威域信息集合。
当不同CA域中的证书使用者需要跨CA域通信时,数据接收方可以直接根据权威域信息集合,获取数据发送方的CA域证书集合,进而根据CA域证书集合对数据发送方所在的证书链进行验签,以判断数据发送方是否可信,以此实现对数据发送方的信任。
本实施例具有以下技术效果:各个CA域的ICA不需要保存大量CA证书,可以大大节约存储资源。同时证书使用者只有在第一次下载权威域信息集合、权威签名证书时,或者权威域信息集合更新时才需要对权威域信息集合进行验证,后续在使用时可以不用每次都重复验证权威域信息集合。当证书使用者进行跨域通信信任时也仅需下载对方证书使用者所属CA域的CA域证书集合,避免了下载大量数据时的速率延迟。
图4是本发明实施例提供的一种跨域设备通信信任装置的结构示意图。参见图4,该跨域设备通信信任装置包括标识获取模块410、证书集合获取模块420以及证书链验证模块430。
标识获取模块410,用于在检测到待验证设备发送的通信数据时,获取与所述待验证设备对应的待验证证书的签发者标识,其中,所述待验证设备为处于不同CA域的证书使用者;
证书集合获取模块420,用于基于所述签发者标识确定所述待验证设备对应的目标域证书下载地址,根据所述目标域证书下载地址,获取所述待验证设备对应的目标CA域证书集合;
证书链验证模块430,用于基于所述目标CA域证书集合对所述待验证设备的证书链进行验证,若验证通过,则确定所述待验证证书可信。
本发明实施例提供的跨域设备通信信任装置,当检测到处于不同CA域的待验证设备发送通信数据时,获取该待验证设备使用的待验证证书的签发者标识,根据签发者标识确定该待验证设备对应的目标域证书下载地址,进而根据目标域证书下载地址获取待验证设备对应的目标CA域证书集合,以在需要信任不同CA域的设备时,实时下载对应的CA域证书集合,进而通过该目标CA域证书集合对待验证设备的证书链进行验证,实现了对跨域设备的通信信任,该方法在需要信任跨域设备时实时下载对方的CA域证书集合,以对其进行验证,无需预先保存所有不同CA域的证书,减少了证书占用资源,并且,无需对预先保存的大量证书依次进行验签,极大地提高了信任效率,进一步的,提高了设备之间的通信效率。
在上述实施方式的基础上,可选的,证书集合获取模块420包括信息集合获取单元以及下载地址获取单元,其中;
信息集合获取单元,用于获取权威域信息集合,其中,所述权威域信息集合包括各权威CA域分别对应的域证书标识集合以及域证书下载地址,所述权威域信息集合还可以包括各权威CA域分别对应的根CA证书;
下载地址获取单元,用于基于所述签发者标识以及权威域信息集合,确定所述待验证设备对应的目标域证书下载地址。
在上述实施方式的基础上,可选的,下载地址获取单元,还用于基于所述签发者标识以及各权威CA域分别对应的域证书标识集合,确定所述待验证设备对应的目标权威CA域;从所述权威域信息集合中获取所述目标权威CA域对应的目标域证书下载地址。
在上述实施方式的基础上,可选的,所述信息集合获取单元,还用于获取权威签发机构下发的第一地址;基于所述第一地址获取所述权威域信息集合;其中,所述权威签发机构用于根据各CA域的CA证书集合对应的标识集合以及下载地址确定权威域信息集合。
在上述实施方式的基础上,可选的,所述信息集合获取单元,还用于通过当前权威域管理机构,获取所述权威签发机构下发的第一地址;其中,所述当前权威域管理机构用于确定当前CA域的CA证书集合,并将当前CA域的CA证书集合对应的标识集合以及下载地址发送至所述权威签发机构。
在上述实施方式的基础上,可选的,所述信息集合获取单元,还用于获取权威域信息集合以及与所述权威域信息集合对应的权威签名证书;基于所述权威签名证书对所述权威域信息集合的签名进行验证,若验证通过,则将所述权威域信息集合存储至预设存储区域。
在上述实施方式的基础上,可选的,所述证书链验证模块430,还用于若检测到所述待验证设备再次发送通信数据,则确定所述目标CA域证书集合对应的下一次签发时间;根据当前时间以及所述下一次签发时间,确定所述目标CA域证书集合是否有效,若否,则根据所述目标域证书下载地址,重新获取所述待验证设备对应的目标CA域证书集合。
图5为本发明实施例提供的一种电子设备的结构示意图。如图5所示,电子设备500包括一个或多个处理器501和存储器502。
处理器501可以是中央处理单元(CPU)或者具有数据处理能力和/或指令执行能力的其他形式的处理单元,并且可以控制电子设备500中的其他组件以执行期望的功能。
存储器502可以包括一个或多个计算机程序产品,所述计算机程序产品可以包括各种形式的计算机可读存储介质,例如易失性存储器和/或非易失性存储器。所述易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。所述非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。在所述计算机可读存储介质上可以存储一个或多个计算机程序指令,处理器501可以运行所述程序指令,以实现上文所说明的本发明任意实施例的跨域设备通信信任方法以及/或者其他期望的功能。在所述计算机可读存储介质中还可以存储诸如初始外参、阈值等各种内容。
在一个示例中,电子设备500还可以包括:输入装置503和输出装置504,这些组件通过总线系统和/或其他形式的连接机构(未示出)互连。该输入装置503可以包括例如键盘、鼠标等等。该输出装置504可以向外部输出各种信息,包括预警提示信息、制动力度等。该输出装置504可以包括例如显示器、扬声器、打印机、以及通信网络及其所连接的远程输出设备等等。
当然,为了简化,图5中仅示出了该电子设备500中与本发明有关的组件中的一些,省略了诸如总线、输入/输出接口等等的组件。除此之外,根据具体应用情况,电子设备500还可以包括任何其他适当的组件。
除了上述方法和设备以外,本发明的实施例还可以是计算机程序产品,其包括计算机程序指令,所述计算机程序指令在被处理器运行时使得所述处理器执行本发明任意实施例所提供的跨域设备通信信任方法的步骤。
所述计算机程序产品可以以一种或多种程序设计语言的任意组合来编写用于执行本发明实施例操作的程序代码,所述程序设计语言包括面向对象的程序设计语言,诸如Java、C++等,还包括常规的过程式程序设计语言,诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。
此外,本发明的实施例还可以是计算机可读存储介质,其上存储有计算机程序指令,所述计算机程序指令在被处理器运行时使得所述处理器执行本发明任意实施例所提供的跨域设备通信信任方法的步骤。
所述计算机可读存储介质可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
需要说明的是,本发明所用术语仅为了描述特定实施例,而非限制本申请范围。如本发明说明书和权利要求书中所示,除非上下文明确提示例外情形,“一”、“一个”、“一种”和/或“该”等词并非特指单数,也可包括复数。术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法或者设备中还存在另外的相同要素。
还需说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。除非另有明确的规定和限定,术语“安装”、“相连”、“连接”等应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案。
Claims (10)
1.一种跨域设备通信信任方法,其特征在于,包括:
在检测到待验证设备发送的通信数据时,获取与所述待验证设备对应的待验证证书的签发者标识,其中,所述待验证设备为处于不同CA域的证书使用者;
基于所述签发者标识确定所述待验证设备对应的目标域证书下载地址,根据所述目标域证书下载地址,获取所述待验证设备对应的目标CA域证书集合;
基于所述目标CA域证书集合对所述待验证设备的证书链进行验证,若验证通过,则确定所述待验证证书可信。
2.根据权利要求1所述的方法,其特征在于,基于所述签发者标识确定所述待验证设备对应的目标域证书下载地址,包括:
获取权威域信息集合,其中,所述权威域信息集合包括各权威CA域分别对应的域证书标识集合以及域证书下载地址;
基于所述签发者标识以及权威域信息集合,确定所述待验证设备对应的目标域证书下载地址。
3.根据权利要求2所述的方法,其特征在于,所述基于所述签发者标识以及权威域信息集合,确定所述待验证设备对应的目标域证书下载地址,包括:
基于所述签发者标识以及各权威CA域分别对应的域证书标识集合,确定所述待验证设备对应的目标权威CA域;
从所述权威域信息集合中获取所述目标权威CA域对应的目标域证书下载地址。
4.根据权利要求2所述的方法,其特征在于,所述获取权威域信息集合,包括:
获取权威签发机构下发的第一地址;
基于所述第一地址获取所述权威域信息集合;
其中,所述权威签发机构用于根据各CA域的CA证书集合对应的标识集合以及下载地址确定权威域信息集合。
5.根据权利要求4所述的方法,其特征在于,所述获取权威签发机构下发的第一地址,包括:
通过当前权威域管理机构,获取所述权威签发机构下发的第一地址;
其中,所述当前权威域管理机构用于确定当前CA域的CA证书集合,并将当前CA域的CA证书集合对应的标识集合以及下载地址发送至所述权威签发机构。
6.根据权利要求2所述的方法,其特征在于,所述获取权威域信息集合,包括:
获取权威域信息集合以及与所述权威域信息集合对应的权威签名证书;
基于所述权威签名证书对所述权威域信息集合的签名进行验证,若验证通过,则将所述权威域信息集合存储至预设存储区域。
7.根据权利要求1所述的方法,其特征在于,在所述确定所述待验证证书可信之后,所述方法还包括:
若检测到所述待验证设备再次发送通信数据,则确定所述目标CA域证书集合对应的下一次签发时间;
根据当前时间以及所述下一次签发时间,确定所述目标CA域证书集合是否有效,若否,则根据所述目标域证书下载地址,重新获取所述待验证设备对应的目标CA域证书集合。
8.一种跨域设备通信信任装置,其特征在于,包括:
标识获取模块,用于在检测到待验证设备发送的通信数据时,获取与所述待验证设备对应的待验证证书的签发者标识,其中,所述待验证设备为处于不同CA域的证书使用者;
证书集合获取模块,用于基于所述签发者标识确定所述待验证设备对应的目标域证书下载地址,根据所述目标域证书下载地址,获取所述待验证设备对应的目标CA域证书集合;
证书链验证模块,用于基于所述目标CA域证书集合对所述待验证设备的证书链进行验证,若验证通过,则确定所述待验证证书可信。
9.一种电子设备,其特征在于,所述电子设备包括:
处理器和存储器;
所述处理器通过调用所述存储器存储的程序或指令,用于执行如权利要求1至7任一项所述的跨域设备通信信任方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储程序或指令,所述程序或指令使计算机执行如权利要求1至7任一项所述的跨域设备通信信任方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211298494.7A CN115378737B (zh) | 2022-10-24 | 2022-10-24 | 跨域设备通信信任方法、装置、设备和介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211298494.7A CN115378737B (zh) | 2022-10-24 | 2022-10-24 | 跨域设备通信信任方法、装置、设备和介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115378737A true CN115378737A (zh) | 2022-11-22 |
CN115378737B CN115378737B (zh) | 2023-01-10 |
Family
ID=84073633
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211298494.7A Active CN115378737B (zh) | 2022-10-24 | 2022-10-24 | 跨域设备通信信任方法、装置、设备和介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115378737B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115550880A (zh) * | 2022-12-06 | 2022-12-30 | 中汽智联技术有限公司 | V2x设备的证书的异常处理方法、设备和存储介质 |
CN116010934A (zh) * | 2023-01-06 | 2023-04-25 | 小米汽车科技有限公司 | 域控制器进程通讯方法、装置、车辆及存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1175038A2 (en) * | 2000-06-09 | 2002-01-23 | TRW Inc. | Technique for obtaining a sign-on certificate from a foreign PKI system using an existing strong authentication PKI system |
CN101616165A (zh) * | 2009-07-28 | 2009-12-30 | 江苏先安科技有限公司 | 一种新型x509数字证书白名单发布查询验证的方法 |
CN113271565A (zh) * | 2021-05-14 | 2021-08-17 | 阿波罗智联(北京)科技有限公司 | 车辆的通信方法、装置、存储介质及程序产品 |
CN113271543A (zh) * | 2021-05-14 | 2021-08-17 | 阿波罗智联(北京)科技有限公司 | 车辆的通信方法、装置和电子设备 |
CN113395160A (zh) * | 2020-03-11 | 2021-09-14 | 大唐移动通信设备有限公司 | 证书管理方法、装置、颁发实体、管理实体及车联网设备 |
CN113536284A (zh) * | 2021-07-21 | 2021-10-22 | 数字广东网络建设有限公司 | 一种数字证书的验证方法、装置、设备和存储介质 |
CN114912097A (zh) * | 2022-05-25 | 2022-08-16 | 中国建设银行股份有限公司 | 一种证书校验方法、装置、电子设备及存储介质 |
-
2022
- 2022-10-24 CN CN202211298494.7A patent/CN115378737B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1175038A2 (en) * | 2000-06-09 | 2002-01-23 | TRW Inc. | Technique for obtaining a sign-on certificate from a foreign PKI system using an existing strong authentication PKI system |
CN101616165A (zh) * | 2009-07-28 | 2009-12-30 | 江苏先安科技有限公司 | 一种新型x509数字证书白名单发布查询验证的方法 |
CN113395160A (zh) * | 2020-03-11 | 2021-09-14 | 大唐移动通信设备有限公司 | 证书管理方法、装置、颁发实体、管理实体及车联网设备 |
CN113271565A (zh) * | 2021-05-14 | 2021-08-17 | 阿波罗智联(北京)科技有限公司 | 车辆的通信方法、装置、存储介质及程序产品 |
CN113271543A (zh) * | 2021-05-14 | 2021-08-17 | 阿波罗智联(北京)科技有限公司 | 车辆的通信方法、装置和电子设备 |
CN113536284A (zh) * | 2021-07-21 | 2021-10-22 | 数字广东网络建设有限公司 | 一种数字证书的验证方法、装置、设备和存储介质 |
CN114912097A (zh) * | 2022-05-25 | 2022-08-16 | 中国建设银行股份有限公司 | 一种证书校验方法、装置、电子设备及存储介质 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115550880A (zh) * | 2022-12-06 | 2022-12-30 | 中汽智联技术有限公司 | V2x设备的证书的异常处理方法、设备和存储介质 |
CN115550880B (zh) * | 2022-12-06 | 2023-03-10 | 中汽智联技术有限公司 | V2x设备的证书的异常处理方法、设备和存储介质 |
CN116010934A (zh) * | 2023-01-06 | 2023-04-25 | 小米汽车科技有限公司 | 域控制器进程通讯方法、装置、车辆及存储介质 |
CN116010934B (zh) * | 2023-01-06 | 2023-12-12 | 小米汽车科技有限公司 | 域控制器进程通讯方法、装置、车辆及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN115378737B (zh) | 2023-01-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111541656B (zh) | 基于融合媒体云平台的身份认证方法及系统 | |
US10642969B2 (en) | Automating internet of things security provisioning | |
CN115378737B (zh) | 跨域设备通信信任方法、装置、设备和介质 | |
US9736146B2 (en) | Embedded extrinsic source for digital certificate validation | |
JP5747981B2 (ja) | 仮想機械を用いた電子ネットワークにおける複数のクライアントの遠隔保守のためのシステム及び方法 | |
US20220394026A1 (en) | Network identity protection method and device, and electronic equipment and storage medium | |
KR101723937B1 (ko) | 애플리케이션 보안 검증을 위한 클라우드 지원형 방법 및 서비스 | |
JP6574168B2 (ja) | 端末識別方法、ならびにマシン識別コードを登録する方法、システム及び装置 | |
CN111639327A (zh) | 一种开放平台的认证方法及装置 | |
CN112311779B (zh) | 应用于区块链系统的数据访问控制方法及装置 | |
CN115802350B (zh) | 证书撤销状态验证系统、方法和存储介质 | |
CN111241523B (zh) | 认证处理方法、装置、设备和存储介质 | |
CN110489957B (zh) | 访问请求的管理方法和计算机存储介质 | |
CN109842616B (zh) | 账号绑定方法、装置及服务器 | |
CN107994993B (zh) | 应用程序检测方法及装置 | |
KR101803535B1 (ko) | 일회용 토큰을 이용한 싱글 사인온 서비스 인증방법 | |
CN113612616A (zh) | 一种基于区块链的车辆通信方法和装置 | |
CN111371811A (zh) | 一种资源调用方法、资源调用装置、客户端及业务服务器 | |
CN107995214B (zh) | 一种网站登录方法及相关设备 | |
CN107172172B (zh) | 一种IaaS系统中的通信方法及其系统 | |
CN107770143B (zh) | 一种验证客户端合法性的方法和装置 | |
CN111917554B (zh) | 一种数字证书验证的方法和装置 | |
CN115278671A (zh) | 网元鉴权方法、装置、存储介质和电子设备 | |
EP3070906A1 (en) | Multifaceted assertion directory system | |
CN109658104B (zh) | 一种链上资产一致性确认的系统和方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |