CN116527347A - 一种设备身份认证方法及装置、电子设备、存储介质 - Google Patents

一种设备身份认证方法及装置、电子设备、存储介质 Download PDF

Info

Publication number
CN116527347A
CN116527347A CN202310427577.XA CN202310427577A CN116527347A CN 116527347 A CN116527347 A CN 116527347A CN 202310427577 A CN202310427577 A CN 202310427577A CN 116527347 A CN116527347 A CN 116527347A
Authority
CN
China
Prior art keywords
equipment
authenticated
certificate
user certificate
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310427577.XA
Other languages
English (en)
Inventor
徐强
张瑞冬
董俊文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou DPTech Technologies Co Ltd
Original Assignee
Hangzhou DPTech Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou DPTech Technologies Co Ltd filed Critical Hangzhou DPTech Technologies Co Ltd
Priority to CN202310427577.XA priority Critical patent/CN116527347A/zh
Publication of CN116527347A publication Critical patent/CN116527347A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请公开了一种设备身份认证方法及装置、电子设备、存储介质。该方法应用于运行在待认证设备的客户端,包括:获取保存于所述待认证设备的用户证书,所述用户证书由已认证设备向服务端预先申请得到,所述用户证书中包含已认证设备信息;验证所述用户证书中的已认证设备信息与所述待认证设备的设备信息是否一致,若一致,则通过所述用户证书向服务端发起接入请求。因此,当所述待认证设备不是当前用户证书记载的已认证设备时,接入请求不会被发送给服务端,服务端无需处理来自身份冒用设备和未经授权设备的接入请求,有效地提高了认证的安全性和效率性,进而保护了系统和网络的安全。

Description

一种设备身份认证方法及装置、电子设备、存储介质
技术领域
本申请一个或多个实施例涉及身份认证领域,尤其涉及一种设备身份认证方法及装置、电子设备、存储介质。
背景技术
随着信息技术的迅速发展,数字认证方法在身份认证领域得到了广泛应用并不断发展。数字认证方法是一种基于数字证书的身份验证方式,通过使用数字证书对用户进行身份验证,从而确认其在系统或网络中的身份。数字认证方法具有许多优势。
首先,数字认证方法能够提供更高的安全性。数字证书是一种基于非对称加密算法的安全技术,通过使用公钥和私钥对数字证书进行加密和解密,从而保护用户的身份信息和通信数据不被窃取或篡改。相比传统的用户名和密码认证方式,数字认证方法能够提供更高的安全性,减少身份冒用和账号盗用的风险。
其次,数字认证方法具有较高的可信度。数字证书通常由权威的证书颁发机构(CA)进行签发,CA会对用户的身份进行严格验证,确保数字证书的合法性和真实性。这意味着通过数字认证方法进行身份认证时,用户的身份信息更加可靠和可信,有助于防止虚假登录和欺诈行为。
此外,数字认证方法具有较高的灵活性和便捷性。数字证书可以在多个系统和网络中使用,用户只需携带一个数字证书,即可在多个平台上进行身份认证,无需记忆多个不同的用户名和密码。数字认证方法还可以与其他身份认证方式结合使用,例如生物特征识别、硬件令牌等,从而实现多层次的身份验证,提供更加强固的安全保护。
这些优势使得数字认证方法成为当今信息安全领域中广泛采用的身份认证方式,推动了数字认证技术的不断进步和改进。然而,目前的身份认证方式通常只和用户的名称进行绑定,缺乏对设备的严格验证措施,这可能引发一些问题。例如,如果只依赖用户名称进行认证,可能会导致身份冒用和虚假登录的风险。此外,如果用户的数字证书泄露,未经授权的人可能会使用这些证书进行登录,从而接入系统或网络,造成安全漏洞。
因此,本申请提出一种新的设备身份认证方法及装置以提高设备身份认证的安全性,防止未经授权设备的接入,有效地保护系统和网络的安全效率。
发明内容
本申请提供一种用于设备身份认证方法及装置、电子设备、存储介质,以解决相关技术中的不足。
根据本申请一个或多个实施例的第一方面,提供一种设备身份认证方法,应用于运行在待认证设备的客户端,包括:
获取保存于所述待认证设备的用户证书,所述用户证书由已认证设备向服务端预先申请得到,所述用户证书中包含已认证设备信息;
验证所述用户证书中的已认证设备信息与所述待认证设备的设备信息是否一致,若一致,则通过所述用户证书向服务端发起接入请求。
可选地,所述获取保存于所述待认证设备的用户证书,包括:
检索所述待认证设备中是否保存有所述用户证书;
在所述待认证设备没有保存所述用户证书的情况下,获取所述待认证设备的设备信息,向服务端发送证书申请,其中,所述证书申请包含所述待认证设备的设备信息;
接收所述服务端审核通过后颁发的用户证书,将所述待认证设备确认为已认证设备,所述待认证设备的设备信息为已认证设备信息。
可选地,所述获取保存于所述待认证设备的用户证书,包括:
检索所述待认证设备中是否保存有所述用户证书;
在所述待认证设备保存有所述用户证书的情况下,选择是否重新申请用户证书;
在选择重新申请用户证书的情况下,获取所述待认证设备的设备信息,向服务端发送证书申请,其中,所述证书申请包含所述待认证设备的设备信息;
接收所述服务端审核通过后颁发的用户证书以替换原用户证书,将所述待认证设备确认为已认证设备,所述待认证设备的设备信息为已认证设备信息。
可选地,所述验证所述用户证书中的已认证设备信息与所述待认证设备的设备信息是否一致,还包括:
所述用户证书经过合法性验证。
可选地,所述设备信息为所述设备的物理MAC地址。
根据本申请一个或多个实施例的第二方面,提供一种设备身份认证方法,应用于服务端,包括:
接收运行在待认证设备的客户端发送的证书申请,所述证书申请中包含所述待认证设备的设备信息;
审核所述证书申请,在所述证书申请通过审核的情况下,向所述客户端发送用户证书,其中,所述待认证设备被确认为已认证设备,所述待认证设备的设备信息被却认为已认证设备信息,所述用户证书中包含已认证设备信息。
可选地,所述方法还包括:
接收所述客户端通过所述用户证书发起的接入请求;
验证所述用户证书是否合法;
验证所述用户证书是否完整;
验证所述用户证书是否有效;
若均为是,则确定所述用户证书验证通过,同意所述客户端接入。
根据本申请一个或多个实施例的第三方面,提供一种设备身份认证装置,该装置包括:
获取单元,用于获取保存于所述待认证设备的用户证书,所述用户证书由已认证设备向服务端预先申请得到,所述用户证书中包含已认证设备信息;
验证单元,用于验证所述用户证书中的已认证设备信息与所述待认证设备的设备信息是否一致,若一致,则通过所述用户证书向服务端发起接入请求。
根据本申请一个或多个实施例的第四方面,提供一种电子设备,包括处理器;用于存储处理器可执行指令的存储器;其中,所述处理器通过运行所述可执行指令以实现一种可选的所述设备身份认证的方法。
根据本申请一个或多个实施例的第五方面,提供一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现一种可选的所述设备身份认证的方法。
应用本申请提供的实施例,通过预先申请包含有已认证设备信息的用户证书,运行在待认证设备的客户端验证用户证书中的已认证设备信息与所述待认证设备的设备信息是否一致,当二者一致的时候,说明,所述待认证设备正是所述用户证书中记载的已认证设备,继而可以向服务端发起接入请求。因此,当所述待认证设备不是当前用户证书记载的已认证设备时,发送给服务端的接入请求被截断,服务端无需处理来自身份冒用设备和未经授权设备的接入请求,有效地提高了认证的安全性,进而保护了系统和网络的安全。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请实施例中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1是本申请一示例性实施例示出的一种设备身份认证方法的系统架构图;
图2是本申请一具体实施例示出的一种应用于运行在待认证设备的客户端的设备身份认证方法的流程示意图;
图3本申请一具体实施例示出的一种应用于服务端的设备身份认证方法的流程示意图;
图4是本申请一具体实施例示出的一种设备身份认证方法的交互流程图;
图5是本申请一示例性实施例示出的一种设备身份认证装置的结构示意图;
图6是本申请实施例设备身份认证装置所在计算机设备的一种硬件结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
下面将结合附图详细描述本申请的实施例。
图1示出了根据本申请的实施例可以将本文描述的各种方法和装置在其中实施的示例性系统100的示意图。参考图1,该系统100包括一个或多个客户端设备101、102、103和/或104,服务器120以及将一个或多个客户端设备耦接到服务器120的一个或多个通信网络110。客户端设备101、102、103和/或104可以被配置为执行一个或多个应用程序对服务器120进行访问。所述客户端设备101、102、103和/或104可以作为待认证设备101、102、103和/或104,也可以作为已认证设备101、102、103和/或104。即运行在待认证设备和/或运行在已认证设备的客户端均可以被称为客户端设备。当设备101为待认证设备时,运行在设备101的客户端被称为客户端设备101,或是待认证设备101,通过采用安全套接字层(SSL)标准安全技术,用于在服务器120和客户端设备101、102、103和/或104之间建立加密链接,通常是Web服务器(网站)和浏览器,或电子邮件服务器和电子邮件客户端(例如Outlook)之间。
在本申请的实施例中,服务器120可以运行使得能够执行设备身份认证的方法的一个或多个服务或软件应用。
在某些实施例中,服务器120还可以提供其他服务或软件应用,这些服务或软件应用可以包括非虚拟环境和虚拟环境。在某些实施例中,这些服务可以作为基于web的服务或云服务提供,例如在软件即服务(SaaS)模型下提供给客户端设备101、102、103和/或104的用户。
在图1所示的配置中,服务器120可以包括实现由服务器120执行的功能的一个或多个组件。这些组件可以包括可由一个或多个处理器执行的软件组件、硬件组件或其组合。操作客户端设备101、102、103和/或104的用户可以依次利用一个或多个客户端应用程序来与服务器120进行交互以利用这些组件提供的服务。应当理解,各种不同的系统配置是可能的,其可以与系统100不同。因此,图1是用于实施本文所描述的各种方法的系统的一个示例,并且不旨在进行限制。
用户可以使用客户端设备101、102、103和/或104来发起接入请求。客户端设备可以提供使客户端设备的用户能够与客户端设备进行交互的接口。客户端设备还可以经由该接口向用户输出信息。尽管图1仅描绘了四种客户端设备,但是本领域技术人员将能够理解,本申请可以支持任何数量的客户端设备。
客户端设备101、102、103和/或104可以包括各种类型的计算机设备,例如便携式手持设备、通用计算机(诸如个人计算机和膝上型计算机)、工作站计算机、可穿戴设备、智能屏设备、自助服务终端设备、服务机器人、游戏系统、瘦客户端、各种消息收发设备、传感器或其他感测设备等。这些计算机设备可以运行各种类型和版本的软件应用程序和操作系统,例如MICROSOFT Windows、APPLE iOS、类UNIX操作系统、Linux或类Linux操作系统(例如GOOGLE Chrome OS);或包括各种移动操作系统,例如MICROSOFT Windows Mobile OS、iOS、Windows Phone、Android。便携式手持设备可以包括蜂窝电话、智能电话、平板电脑、个人数字助理(PDA)等。可穿戴设备可以包括头戴式显示器(诸如智能眼镜)和其他设备。游戏系统可以包括各种手持式游戏设备、支持互联网的游戏设备等。客户端设备能够执行各种不同的应用程序,例如各种与Internet相关的应用程序、通信应用程序(例如电子邮件应用程序)、短消息服务(SMS)应用程序,并且可以使用各种通信协议。
网络110可以是本领域技术人员熟知的任何类型的网络,其可以使用多种可用协议中的任何一种(包括但不限于TCP/IP、SNA、IPX等)来支持数据通信。仅作为示例,一个或多个网络110可以是局域网(LAN)、基于以太网的网络、令牌环、广域网(WAN)、因特网、虚拟网络、虚拟专用网络(VPN)、内部网、外部网、区块链网络、公共交换电话网(PSTN)、红外网络、无线网络(例如蓝牙、WIFI)和/或这些和/或其他网络的任意组合。
服务器120可以包括一个或多个通用计算机、专用服务器计算机(例如PC(个人计算机)服务器、UNIX服务器、中端服务器)、刀片式服务器、大型计算机、服务器群集或任何其他适当的布置和/或组合。服务器120可以包括运行虚拟操作系统的一个或多个虚拟机,或者涉及虚拟化的其他计算架构(例如可以被虚拟化以维护服务器的虚拟存储设备的逻辑存储设备的一个或多个灵活池)。在各种实施例中,服务器120可以运行提供下文所描述的功能的一个或多个服务或软件应用。
服务器120中的计算单元可以运行包括上述任何操作系统以及任何商业上可用的服务器操作系统的一个或多个操作系统。服务器120还可以运行各种附加服务器应用程序和/或中间层应用程序中的任何一个,包括HTTP服务器、FTP服务器、CGI服务器、JAVA服务器、数据库服务器等。
在一些实施方式中,服务器120可以包括一个或多个应用程序,以分析和合并从客户端设备101、102、103和/或104的用户接收的数据馈送和/或事件更新。服务器120还可以包括一个或多个应用程序,以经由客户端设备101、102、103和/或104的一个或多个显示设备来显示数据馈送和/或实时事件。
在一些实施方式中,服务器120可以为分布式系统的服务器,或者是结合了区块链的服务器。服务器120也可以是云服务器,或者是带人工智能技术的智能云计算服务器或智能云主机。云服务器是云计算服务体系中的一项主机产品,以解决传统物理主机与虚拟专用服务器(VPS,Virtual Private Server)服务中存在的管理难度大、业务扩展性弱的缺陷。
系统100还可以包括一个或多个数据库130。在某些实施例中,这些数据库可以用于存储数据和其他信息。例如,数据库130中的一个或多个可用于存储诸如模型、模板、预设标签数据等的信息。数据库130可以驻留在各种位置。例如,由服务器120使用的数据库可以在服务器120本地,或者可以远离服务器120且可以经由基于网络或专用的连接与服务器120通信。数据库130可以是不同的类型。在某些实施例中,由服务器120使用的数据库例如可以是关系数据库。这些数据库中的一个或多个可以响应于命令而存储、更新和检索到数据库以及来自数据库的数据。
在某些实施例中,数据库130中的一个或多个还可以由应用程序使用来存储应用程序数据。由应用程序使用的数据库可以是不同类型的数据库,例如键值存储库,对象存储库或由文件系统支持的常规存储库。
图1的系统100可以以各种方式配置和操作,以使得能够应用根据本申请所描述的各种方法和装置。当用户需要访问服务器时,可以通过客户首先将证书申请请求发送给服务器,由服务器审核证书申请,然后在审核通过后将用户证书发送给客户端,客户端便能够根据用户证书将接入请求发送给服务器,由服务器验证用户证书,在验证通过后将访问结果发送给客户端,或直接根据接入请求进行进一步的业务处理。
身份认证和数字认证在信息安全领域中具有重要作用。其主要目的是确认用户的身份,确保其合法性,并防止未经授权的访问或活动。有效的身份认证可以保护用户的隐私信息,防止身份盗窃、欺诈和其他安全威胁,同时确保数字交流和交易的安全性和可靠性。
传统的身份认证方法,通常要依赖于用户名和密码,但由于密码的泄露、猜测和社会工程学攻击等问题,传统的用户名和密码认证方式存在安全风险。因此,随着技术的不断创新,双因素认证、公钥基础设施(PKI)、生物特征识别等新型身份认证方式逐渐应用于用户身份认证领域。但这些方法都聚焦于用户的身份认证,却疏于关注设备身份认证,导致接入内网的设备可能并非经过授权的设备,在保证系统安全性上仍有漏洞。因此,本申请提出一种新的设备身份认证方法及装置以提高设备身份认证的安全性,防止未经授权设备的接入,有效地保护系统和网络的安全效率。
设备信息在本申请中特指设备的物理标识,具体来说,是指每个物理设备均具有的独一无二的标识符,用于唯一地识别设备的身份和属性。设备物理标识通常由硬件制造商在生产过程中分配,并嵌入到设备的固件、芯片或其他硬件组件中,以确保其唯一性和不可篡改性。根据其性质和用途,设备信息可以分为多种类型。以下是一些常见的设备物理标识的分类和具体介绍:
1.MAC地址(Media Access Control Address):MAC地址是一种在网络设备中广泛使用的设备物理标识,用于唯一标识网络接口卡(NIC)或其他网络设备。MAC地址通常由48位的十六进制数字组成,其中前24位表示硬件制造商的标识符,后24位表示硬件设备的唯一序列号。
2.IMEI号码(International Mobile Equipment Identity):IMEI号码是一种在移动设备(如手机、平板等)中使用的设备物理标识,用于唯一标识移动设备的身份信息。IMEI号码通常由15位的数字组成,包含了设备的制造商、型号、国家/地区等信息。
3.UUID(Universally Unique Identifier):UUID是一种由软件系统生成的设备物理标识,用于唯一标识软件或设备。UUID通常由36位的字符串组成,包含了随机生成的字符和数字,具有极低的重复概率。
4.序列号:序列号是一种由制造商为设备分配的唯一标识符,通常用于唯一标识硬件设备,如电脑、服务器、打印机等。序列号可以是数字、字母或其组合,通常由制造商在设备生产过程中进行编码和分配。
在本申请中,将以MAC地址作为设备信息对本申请提供的设备身份认证方法进行具体描述,但这不构成对设备信息的具体限制,本领域的技术人员可以很轻松地将下述实施例应用于除了MAC地址之外其他设备信息的身份认证中。本申请的设备身份认证方法建立在数字证书认证的基础上,数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证,人们可以在网上用它来识别对方的身份。因此数字证书又称为数字标识。数字证书对网络用户在计算机网络交流中的信息和数据等以加密或解密的形式保证了信息和数据的完整性和安全性。图2是本申请一具体实施例示出的一种应用于运行在待认证设备的客户端的设备身份认证方法的流程示意图,如图2所示,所述设备身份认证方法具体包括以下步骤:
S210:获取保存于所述待认证设备的用户证书,所述用户证书由已认证设备向服务端预先申请得到,所述用户证书中包含已认证设备信息。
S220:验证所述用户证书中的已认证设备信息与所述待认证设备的设备信息是否一致,若一致,则通过所述用户证书向服务端发起接入请求。
根据安全套接字层协议(Security Socket Layer-SSL)通过用户证书在服务器与客户端间建立信任,对于客户端设备,其需要判断本地设备是否是已认证设备,本申请默认将本地设备视为待认证设备,获取本地设备保存的用户证书,根据用户证书所含的已认证设备信息进行判定。因此,用户证书中必须包含已认证设备的设备信息,而向服务端预先申请得到用户证书的设备即为已认证设备。
在步骤S210中,所述获取保存于所述待认证设备的用户证书,包括:检索所述待认证设备中是否保存有所述用户证书;在所述待认证设备没有保存所述用户证书的情况下,获取所述待认证设备的设备信息,向服务端发送证书申请,其中,所述证书申请包含所述待认证设备的设备信息;接收所述服务端审核通过后颁发的用户证书,将所述待认证设备确认为已认证设备,所述待认证设备的设备信息为已认证设备信息。所述待认证设备没有保存所述用户证书可能是因为设备未曾申请过用户证书,也有可能是因为用户证书已经过期和失效,和/或被服务器端的管理员吊销并将吊销结果返回给客户端设备,客户端设备因此删除或更新了用户证书。当本地设备没有用户证书存在的情况下,待认证设备可以通过服务端发送证书申请请求获取新的用户证书。
同时,在所述待认证设备保存有所述用户证书的情况下,客户端也可以选择是否重新申请用户证书;在选择重新申请用户证书的情况下,获取所述待认证设备的设备信息,向服务端发送证书申请,其中,所述证书申请包含所述待认证设备的设备信息;接收所述服务端审核通过后颁发的用户证书以替换原用户证书,将所述待认证设备确认为已认证设备,所述待认证设备的设备信息为已认证设备信息。
在一具体实施例中,用户证书一般具体包含七个部分:
(1)Common Name(证书所有人姓名,简称CN,其实就是用户名称;
(2)Version(版本);
(3)Issuer(发证机关);
(4)Validity(有效日期);
(5)Subject(证书信息);
(6)Subject's Public Key Info(证书所有人公钥);
(7)Extension(扩展信息);
(8)Certificate Signature Algorithm(公钥加密算法)
另外,用户证书还包含CertificateSignatureAlgorithm,即描述证书的加密算法,加密算法不受具体实施例的距离限制,可以是常见的对称加密算法如DES、3DES、AES等,也可以是常见的非对称算法如RSA、DSA等,还可以是散列算法如SHA-1、MD5等。将用户证书视为F时,在经过加密算法加密后,生成加密用户证书F'。
在一具体实施例中,客户端构造证书申请信息,证书申请信息中包含有用户名等信息,并将设备信息如MAC地址添加至证书申请的Extension扩展信息中,即证书申请包含所述待认证设备的设备信息。连接服务器时,客户端先进行用户账户密码认证,在得到服务器认证通过后,客户端再将证书申请信息通过TLS/SSL协议发送给SSLVPN服务器。
在步骤S220中,客户端设备所述验证所述用户证书中的已认证设备信息与所述待认证设备的设备信息是否一致,还包括:所述用户证书经过合法性验证。合法性验证可以在设备身份认证前,也可以在设备身份认证后,其所达到的效果均为只有二者同时验证通过的情况下,才能够向服务端发起接入请求。
在一具体实施例中,所述合法性验证是通过CA认证中心进行验证的,CA认证中心是负责签发,管理,认证数字证书的机构,是基于国际互联网平台建立的一个公正,权威,可信赖的第三方组织机构。验证数字证书的合法性通常涉及以下步骤:
1.检查证书的颁发者(CA):首先,验证数字证书的合法性需要确认证书的颁发者(即CA认证中心)是否是被广泛承认和信任的CA机构。可以通过检查证书中的颁发者字段,并与信任的CA列表进行比对,以确保证书的颁发者是合法的CA认证中心。
2.检查证书的主题信息:验证数字证书的合法性还需要检查证书中的主题信息,包括证书持有人的名称、组织、域名等。可以通过检查证书中的主题字段,并与预期的主题信息进行比对,以确保证书的主题信息与预期一致。
3.验证数字签名:数字证书通常包含了由CA认证中心用其私钥签名的数字签名,用于验证证书的完整性和真实性。可以通过使用CA认证中心的公钥对数字签名进行解密,并与证书中的信息进行比对,以确保数字签名有效且与证书一致。
4.验证证书链:数字证书通常以证书链的形式发布,包括证书持有人的证书和一系列颁发者的证书,形成链式结构。验证数字证书的合法性还需要验证证书链的完整性和真实性,以确保证书链中的所有证书都是合法的。
图3是本申请一具体实施例示出的一种应用于服务端的设备身份认证方法的流程示意图,如图3所示,所述设备身份认证方法具体包括以下步骤:
S310:接收运行在待认证设备的客户端发送的证书申请,所述证书申请中包含所述待认证设备的设备信息。
S320:审核所述证书申请,在所述证书申请通过审核的情况下,向所述客户端发送用户证书,其中,所述待认证设备被确认为已认证设备,所述待认证设备的设备信息被却认为已认证设备信息,所述用户证书中包含已认证设备信息。
在步骤S310中,不论客户端是否保存有用户证书,均可向服务端发起证书申请,所述证书申请内容包含用户账号密码信息,也包含待认证设备的设备信息如MAC地址等。在一具体实施例中,在接收到拓展信息中包含待认证设备信息的证书申请后,服务端将其保存于本地,并由管理员根据用户账号密码信息等进行审批,如果该用户账号准许接入,便对用户证书的有效期进行配置,并根据客户端发出的申请信息,使用SSLVPN服务器的CA私钥为其颁发用户证书,其中包含证书的使用者,有效期,以及签名信息,还包含已认证设备的设备信息,即MAC地址。在一具体实施例中,所述方法还包括:接收所述客户端通过所述用户证书发起的接入请求;验证所述用户证书是否合法;验证所述用户证书是否完整;验证所述用户证书是否有效;若均为是,则确定所述用户证书验证通过,同意所述客户端接入。当客户端向服务端发起接入请求后,服务端所做出的应对处理,因为客户端已经对本地设备进行了验证,即确认本地设备为已认证设备,因此,服务端无需额外审核接入请求中的设备信息,而只需按照正常流程验证客户端发起的接入请求。当然,实际验证过程可能会因具体的证书类型、CA认证中心的政策和要求等而有所不同,在一些具体实施例中,当用户证书合法时便能认为用户证书有效且完整,因此,只需要验证所述用户证书是否合法,当用户证书合法时,便可认为用户证书验证通过,同意所述客户端的接入请求
图4是本申请一具体实施例示出的一种设备身份认证方法的交互流程图,如图4所示,客户端与服务端之间相互交互,以实现对客户端所在设备的身份认证,具体步骤如下:
步骤S401:客户端获取本地设备信息;所述本地设备是指运行有客户端的设备,所述本地设备有可能为待认证设备,也有可能是已认证设备。
步骤S402:客户端判断本地设备中是否保存有用户证书。在没有保存用户证书的情况下,执行步骤S403;在保存有用户证书的情况下,可以执行步骤S406,也可以重新申请用户证书,即执行步骤S403。
步骤S403:客户端向服务器发送证书申请,所述证书申请内容包含用户账号密码和设备信息。
步骤S404:服务器接收证书申请后,将其保存到本地,由管理员审核是否准许接入。如果准许接入,配置用户证书的有效期。审批通过后,根据客户端发出的申请信息,执行步骤S405。如果管理员审核不通过,则将所述证书申请丢弃。
步骤S405:服务器向客户端颁发用户证书,其中包含证书的使用者,有效期,签名信息以及已认证的设备信息。
步骤S406:客户端使用用户证书进行登录认证,首先判断证书是否合法,再判断用户整数中的设备信息是否与本地设备的设备信息一致,一致则执行步骤S407,不一致则登录失败。
步骤S407:客户端向服务器发送接入申请,所述接入申请中包含用户证书,在接入申请中也可包含业务处理请求。
步骤S408:服务器收到客户端的接入请求,判断用户证书是否合法,有效期是否在使用期限内,该证书是否被吊销,如果证书没有问题,则执行步骤S409,如果证书验证不通过,则将所述接入申请丢弃。。
步骤S409:服务器对客户端的接入请求进行处理,向客户端返回业务处理结果。
与前述方法的实施例相对应,本申请实施例还提供了一种设备身份认证装置,用于支持上述任意一个实施例或其组合所提供的设备身份认证方法。
图5是一示例性实施例示出的一种设备身份认证装置的结构示意图,装置包括:获取单元51、验证单元52。
获取单元51,用于获取保存于所述待认证设备的用户证书,所述用户证书由已认证设备向服务端预先申请得到,所述用户证书中包含已认证设备信息;
验证单元52,用于验证所述用户证书中的已认证设备信息与所述待认证设备的设备信息是否一致,若一致,则通过所述用户证书向服务端发起接入请求。
在一示例性实施例中,获取单元51还用于检索所述待认证设备中是否保存有所述用户证书;在所述待认证设备没有保存所述用户证书的情况下,获取所述待认证设备的设备信息,向服务端发送证书申请,其中,所述证书申请包含所述待认证设备的设备信息;接收所述服务端审核通过后颁发的用户证书,将所述待认证设备确认为已认证设备,所述待认证设备的设备信息为已认证设备信息。
在另一示例性实施例中,获取单元51还用于在所述待认证设备保存有所述用户证书的情况下,选择是否重新申请用户证书;在选择重新申请用户证书的情况下,获取所述待认证设备的设备信息,向服务端发送证书申请,其中,所述证书申请包含所述待认证设备的设备信息;接收所述服务端审核通过后颁发的用户证书以替换原用户证书,将所述待认证设备确认为已认证设备,所述待认证设备的设备信息为已认证设备信息。所述设备信息为所述设备的物理MAC地址。
在一示例性实施例中,验证单元52还用于验证所述用户证书是否具有合法性。
另外,本申请实施例的设备身份认证装置还包括:审核单元(图5中未示出)。审核单元,用于接收运行在待认证设备的客户端发送的证书申请,所述证书申请中包含所述待认证设备的设备信息;审核所述证书申请,在所述证书申请通过审核的情况下,向所述客户端发送用户证书,其中,所述待认证设备被确认为已认证设备,所述待认证设备的设备信息被却认为已认证设备信息,所述用户证书中包含已认证设备信息。
在一示例性实施例中,审核单元还用于接收所述客户端通过所述用户证书发起的接入请求;验证所述用户证书是否合法;验证所述用户证书是否完整;验证所述用户证书是否有效;若均为是,则确定所述用户证书验证通过,同意所述客户端接入。
本申请设备身份认证装置的实施例可以应用在计算机设备上,例如服务器或终端设备。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在设备身份认证的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。通常根据该计算机设备的实际功能,还可以包括其他硬件,对此不再赘述。从硬件层面而言,如图6所示,为本申请实施例设备身份认证装置所在计算机设备的一种硬件结构图,除了图6所示的处理器602、内部总线604、网络接口606、内存608、以及非易失性存储器610之外,通常根据该计算机设备的实际功能,还可以包括其他硬件,对此不再赘述。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
上述对本申请特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本领域技术人员在考虑说明书及实践这里申请的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未申请的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (10)

1.一种设备身份认证方法,应用于运行在待认证设备的客户端,其特征在于,包括:
获取保存于所述待认证设备的用户证书,所述用户证书由已认证设备向服务端预先申请得到,所述用户证书中包含已认证设备信息;
验证所述用户证书中的已认证设备信息与所述待认证设备的设备信息是否一致,若一致,则通过所述用户证书向服务端发起接入请求。
2.根据权利要求1所述的方法,其特征在于,所述获取保存于所述待认证设备的用户证书,包括:
检索所述待认证设备中是否保存有所述用户证书;
在所述待认证设备没有保存所述用户证书的情况下,获取所述待认证设备的设备信息,向服务端发送证书申请,其中,所述证书申请包含所述待认证设备的设备信息;
接收所述服务端审核通过后颁发的用户证书,将所述待认证设备确认为已认证设备,所述待认证设备的设备信息为已认证设备信息。
3.根据权利要求1所述的方法,其特征在于,所述获取保存于所述待认证设备的用户证书,包括:
检索所述待认证设备中是否保存有所述用户证书;
在所述待认证设备保存有所述用户证书的情况下,选择是否重新申请用户证书;
在选择重新申请用户证书的情况下,获取所述待认证设备的设备信息,向服务端发送证书申请,其中,所述证书申请包含所述待认证设备的设备信息;
接收所述服务端审核通过后颁发的用户证书以替换原用户证书,将所述待认证设备确认为已认证设备,所述待认证设备的设备信息为已认证设备信息。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述用户证书经过合法性验证。
5.根据权利要求1所述的方法,其特征在于,所述设备信息为所述设备的物理MAC地址。
6.一种设备身份认证方法,应用于服务端,其特征在于,包括:
接收运行在待认证设备的客户端发送的证书申请,所述证书申请中包含所述待认证设备的设备信息;
审核所述证书申请,在所述证书申请通过审核的情况下,向所述客户端发送用户证书,其中,所述待认证设备被确认为已认证设备,所述待认证设备的设备信息被却认为已认证设备信息,所述用户证书中包含已认证设备信息。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
接收所述客户端通过所述用户证书发起的接入请求;
验证所述用户证书是否合法;
验证所述用户证书是否完整;
验证所述用户证书是否有效;
若均为是,则确定所述用户证书验证通过,同意所述客户端接入。
8.一种设备身份认证装置,其特征在于,包括:
获取单元,用于获取保存于所述待认证设备的用户证书,所述用户证书由已认证设备向服务端预先申请得到,所述用户证书中包含已认证设备信息;
验证单元,用于验证所述用户证书中的已认证设备信息与所述待认证设备的设备信息是否一致,若一致,则通过所述用户证书向服务端发起接入请求。
9.一种电子设备,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器通过运行所述可执行指令以实现如权利要求1-7中任一项方法。
10.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,该指令被处理器执行时实现如权利要求1-7中任一项方法的步骤。
CN202310427577.XA 2023-04-18 2023-04-18 一种设备身份认证方法及装置、电子设备、存储介质 Pending CN116527347A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310427577.XA CN116527347A (zh) 2023-04-18 2023-04-18 一种设备身份认证方法及装置、电子设备、存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310427577.XA CN116527347A (zh) 2023-04-18 2023-04-18 一种设备身份认证方法及装置、电子设备、存储介质

Publications (1)

Publication Number Publication Date
CN116527347A true CN116527347A (zh) 2023-08-01

Family

ID=87398710

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310427577.XA Pending CN116527347A (zh) 2023-04-18 2023-04-18 一种设备身份认证方法及装置、电子设备、存储介质

Country Status (1)

Country Link
CN (1) CN116527347A (zh)

Similar Documents

Publication Publication Date Title
US11223614B2 (en) Single sign on with multiple authentication factors
US10826882B2 (en) Network-based key distribution system, method, and apparatus
CN113114624B (zh) 基于生物特征的身份认证方法和装置
US8214890B2 (en) Login authentication using a trusted device
US10432600B2 (en) Network-based key distribution system, method, and apparatus
US20090319793A1 (en) Portable device for use in establishing trust
WO2019079928A1 (zh) 一种访问令牌管理方法、终端和服务器
JP4993122B2 (ja) プラットフォーム完全性検証システムおよび方法
US20060075230A1 (en) Apparatus and method for authenticating access to a network resource using multiple shared devices
US20090240936A1 (en) System and method for storing client-side certificate credentials
JP7309261B2 (ja) 生体決済機器の認証方法、生体決済機器の認証装置、コンピュータ機器、及びコンピュータプログラム
EP2692162A1 (en) Connecting mobile devices, internet-connected vehicles, and cloud services
US20200382305A1 (en) Systems and methods for enhanced mobile device authentication
JP7554197B2 (ja) ワンクリックログイン手順
US20220029808A1 (en) System, Product and Method for Providing Secured Access to Data
TWM595792U (zh) 跨平台授權存取資源的授權存取系統
US20230006844A1 (en) Dynamic value appended to cookie data for fraud detection and step-up authentication
EP3756332B1 (en) Automated account recovery using trusted devices
CN115618399A (zh) 基于区块链的身份认证方法、装置、电子设备和可读介质
US20220100862A1 (en) Boot-specific key access in a virtual device platform
US10333707B1 (en) Systems and methods for user authentication
CN114301617A (zh) 多云应用网关的身份认证方法、装置、计算机设备及介质
WO2022042745A1 (zh) 一种密钥管理方法及装置
KR101996317B1 (ko) 인증변수를 이용한 블록체인 기반의 사용자 인증 시스템 및 그 방법
KR102288445B1 (ko) 단체용 인증모듈의 온보딩 방법, 장치 및 프로그램

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination