CN116760534A - 基于标识的数据处理方法、终端设备、电子设备及介质 - Google Patents
基于标识的数据处理方法、终端设备、电子设备及介质 Download PDFInfo
- Publication number
- CN116760534A CN116760534A CN202310640178.1A CN202310640178A CN116760534A CN 116760534 A CN116760534 A CN 116760534A CN 202310640178 A CN202310640178 A CN 202310640178A CN 116760534 A CN116760534 A CN 116760534A
- Authority
- CN
- China
- Prior art keywords
- key
- terminal equipment
- public
- signature
- terminal device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 12
- 238000000034 method Methods 0.000 claims abstract description 56
- 238000012545 processing Methods 0.000 claims description 19
- 238000004590 computer program Methods 0.000 claims description 14
- 230000006870 function Effects 0.000 description 16
- 238000012795 verification Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 10
- 238000004891 communication Methods 0.000 description 9
- 230000008569 process Effects 0.000 description 9
- 230000006855 networking Effects 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000008521 reorganization Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明实施例提供了基于标识的数据处理方法、终端设备、电子设备及介质,所述方法包括:终端设备向所属自治域的密钥生成中心发送密钥生成请求;其中,所述密钥生成请求包括所述终端设备的标识;所述终端设备接收所属自治域的密钥生成中心发送的密钥对中私钥,并进行存储;其中,所述终端设备的密钥对为由所属自治域的密钥生成中心根据所述终端设备的标识生成的,所属自治域的密钥生成中心还用于将所述终端设备的密钥对中公钥发送至公共参数服务,以通过所述公共参数服务向所属自治域及其他自治域中的其他设备共享。通过本发明实施例,实现了对各个自治域下设备的公钥进行共享,且,实现了在不同自治域中使用统一的密钥体系。
Description
技术领域
本发明涉及密码技术领域,特别是涉及基于标识的数据处理方法、终端设备、电子设备及介质。
背景技术
在部分网络环境中,可以设置多个自治域,每个自治域下可以具有多个设备,位于不同自治域下的设备之间可以进行跨域通信。
对于每个自治域,可以设置自身的密钥管理机构,当位于某个自治域下的设备要获取位于另一个自治域下设备的公钥时,需要与位于另一个自治域下的密钥管理机构进行密钥协商,而这种跨域的密钥协商较为复杂且需要消耗较多资源,进而使得依赖于密钥的身份认证、安全管理等功能的流程复杂化,且不同自治域下的密钥管理机构使用的密钥体系可能不同,导致密钥协商实现较为困难,进而影响依赖于密钥的身份认证、安全管理等功能的实现。
发明内容
鉴于上述问题,提出了以便提供克服上述问题或者至少部分地解决上述问题的基于标识的数据处理方法、终端设备、电子设备及介质,包括:
一种基于标识的数据处理方法,所述方法包括:
终端设备向所属自治域的密钥生成中心发送密钥生成请求;其中,所述密钥生成请求包括所述终端设备的标识;
所述终端设备接收所属自治域的密钥生成中心发送的密钥对中私钥,并进行存储;其中,所述终端设备的密钥对为由所属自治域的密钥生成中心根据所述终端设备的标识生成的,所属自治域的密钥生成中心还用于将所述终端设备的密钥对中公钥发送至公共参数服务,以通过所述公共参数服务向所属自治域及其他自治域中的其他设备共享。
可选地,所述方法还包括:
所述终端设备接收所属自治域的密钥生成中心发送的新的密钥对中私钥,并根据所述新的密钥对中私钥更新所述终端设备本地存储的私钥;其中,所述新的密钥对为由所属自治域的密钥生成中心根据所述终端设备的标识和附加信息生成的;其中,所属自治域的密钥生成中心还用于向所述公共参数服务发送所述新的密钥对中公钥和所述附加信息,以使所述公共参数服务根据所述新的密钥对中公钥更新所述公共参数服务本地存储公钥,并根据所述附加信息更新所述公共参数服务本地存储的所述终端设备的标识。
可选地,所述方法还包括:
所述终端设备在所述终端设备的标识携带的信息发生变化时,请求更新所述终端设备的标识,并在所述终端设备的标识更新后,执行所述向所属自治域的密钥生成中心发送密钥生成请求,并接收所属自治域的密钥生成中心发送的密钥对中私钥。
可选地,所述终端设备的密钥对包括签名私钥和签名公钥,所述方法还包括:
所述终端设备采用所述终端设备的签名私钥对第一数据进行签名,并将所述第一数据和所述第一数据的签名信息发送至所述其他设备;其中,所述其他设备用于根据所述终端设备的标识,向所述公共参数服务获取所述终端设备的签名公钥,并采用所述终端设备的签名公钥,对所述第一数据的签名信息进行验证。
可选地,所述终端设备的密钥对包括加密私钥和加密公钥,所述方法还包括:
所述终端设备接收加密后的第二数据,并采用所述终端设备的加密私钥,对所述加密后的第二数据进行解密;其中,所述加密后的第二数据为所述其他设备根据所述终端设备的标识,向所述公共参数服务获取所述终端设备的加密公钥,并采用所述终端设备的加密公钥对第二数据进行加密得到。
可选地,所述终端设备的密钥对包括签名私钥和签名公钥,所述方法还包括:
所述终端设备根据网管服务器的标识,从所述公共参数服务获取所述网管服务器的签名公钥,并基于所述网管服务器的签名公钥和所述终端设备的签名私钥,向所述网管服务器请求对所述终端设备进行入网认证;其中,所述网管服务器的密钥对为由所属自治域的密钥生成中心根据所述网管服务器的标识生成的,所述网管服务器的签名公钥存储于所述公共参数服务并通过所述公共参数服务向所属自治域及其他自治域中的其他设备共享。
可选地,所述基于所述网管服务器的签名公钥和所述终端设备的签名私钥,向所述网管服务器请求对所述终端设备进行入网认证,包括:
所述终端设备向所述网管服务器发送第一随机数;
所述终端设备接收所述网管服务器发送的所述第一随机数的签名信息和第二随机数;其中,所述第一随机数的签名信息为所述网管服务器采用所述网管服务器的签名私钥对所述第一随机数进行签名得到。
所述终端设备采用所述网管服务器的签名公钥,对所述第一随机数的签名信息进行验证,并采用所述终端设备的签名私钥,对所述第二随机数进行签名,将所述第二随机数的签名信息发送至所述网管服务器,以使所述网管服务器请求对所述终端设备进行入网认证;其中,所述网管服务器用于根据所述终端设备的标识,从所述公共参数服务获取所述终端设备的签名公钥,并采用所述终端设备的签名公钥,对所述第二随机数的签名信息进行验证。
一种终端设备,所述终端设备用于:
向所属自治域的密钥生成中心发送密钥生成请求;其中,所述密钥生成请求包括所述终端设备的标识;
接收所属自治域的密钥生成中心发送的密钥对中私钥,并进行存储;其中,所述终端设备的密钥对为由所属自治域的密钥生成中心根据所述终端设备的标识生成的,所属自治域的密钥生成中心还用于将所述终端设备的密钥对中公钥发送至公共参数服务,以通过所述公共参数服务向所属自治域及其他自治域中的其他设备共享。
一种电子设备,包括处理器、存储器及存储在所述存储器上并能够在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如上所述的基于标识的数据处理方法。
一种计算机可读存储介质,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如上所述的基于标识的数据处理方法。
本发明实施例具有以下优点:
在本发明实施例中,通过终端设备向所属自治域的密钥生成中心发送密钥生成请求,密钥生成请求包括终端设备的标识,所属自治域的密钥生成中心根据终端设备的标识生成终端设备的密钥对,所属自治域的密钥生成中心可以将密钥对中私钥发送至终端设备,终端设备可以接收密钥对中私钥并进行存储,所属自治域的密钥生成中心还可以将终端设备的密钥对中公钥发送至公共参数服务,公共参数服务进而可以向所属自治域及其他自治域中的其他设备共享密钥对中公钥,实现了对各个自治域下设备的公钥进行共享,且,实现了在不同自治域中使用统一的密钥体系。
具体的,通过公共参数服务对各个自治域下设备的公钥进行共享,使得密钥协商得以简化,不需要跨域即可实现,减少了资源消耗,进而使得依赖于密钥的身份认证、安全管理等功能的流程简化。
而且,通过在不同自治域中统一采用基于标识生成密钥的体系,避免了不同自治域所使用的密钥体系不同而导致的密钥协商困难,进而避免了对依赖于密钥的身份认证、安全管理等功能实现的影响。
附图说明
为了更清楚地说明本发明的技术方案,下面将对本发明的描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1a是本发明一实施例提供的一种行政区结构的示意图;
图1b是本发明一实施例提供的一种视联网结构的示意图;
图2是本发明一实施例提供的一种基于标识的数据处理方法的步骤流程图;
图3a是本发明一实施例提供的一种密钥协商的示意图;
图3b是本发明一实施例提供的一种身份认证和保密通信的示意图;
图4是本发明一实施例提供的另一种基于标识的数据处理方法的步骤流程图;
图5是本发明一实施例提供的另一种基于标识的数据处理方法的步骤流程图;
图6是本发明一实施例提供的另一种基于标识的数据处理方法的步骤流程图;
图7是本发明一实施例提供的另一种基于标识的数据处理方法的步骤流程图;
图8是本发明一实施例提供的另一种基于标识的数据处理方法的步骤流程图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在部分网络环境中,可以设置多个自治域,如在视联网中采用树状层级结构设置多个自治域。具体的,视联网可以按照行政区域的树状层级结构设置多个自治域。如图1a,在行政区域的树状层级结构中,最高级是国家,然后是省、市、县,每个省下设置有若干市,每个市下设置有若干县。如图1b,在视联网的树状层级结构中,国家级自治域连接多个省级自治域,每个省级自治域连接多个市级自治域,每个市级自治域连接多个县级自治域。
在每个自治域下,可以具有多个设备,该设备可以包括终端设备、服务器,终端设备可以与服务器通信连接,如在视联网中,终端设备可以为视联网终端,位于不同自治域下的设备之间可以进行跨域通信。
在本发明实施例中,每个自治域设置有相应的密钥生成中心(KGC,KeyGenerating Center),密钥生成中心可以为负责选择系统参数、生成主密钥并生成用户私钥的可信机构,自治域中的设备可以向该自治域相应的密钥生成中心请求生成该设备的密钥,包括签名密钥对、加密密钥对。
需要说明的是,每个自治域可以设置有自身的密钥生成中心,该密钥生成中心位于该自治域下,在某个自治域没有设置密钥生成中心的情况下,该自治域的上层自治域的密钥生成中心为该自治域相应的密钥生成中心。
为了实现在不同自治域之间的公钥共享,可以设置一公共参数服务(PPS,PublicParameter Service),公共参数服务可以用于发布公开参数、私钥生成策略、用户标识信息和状态等数据的应用服务,该公共参数服务不单独隶属于某个自治域,而是所有自治域共享的。
在某个自治域中的设备要生成密钥时,设备可以向所属自治域的密钥生成中心请求生成密钥,密钥生成中心可以生成针对该终端的密钥对,进而可以将密钥对中的私钥发送至终端,并可以将密钥对中的公钥发送至公共参数服务,公共参数服务可以将该公钥向所有的自治域中设备进行共享。在跨域通信的场景下,当位于某个自治域下的设备要获取位于另一个自治域下设备的公钥时,可以直接向公共参数服务请求另一个自治域下设备的公钥。
通过公共参数服务对各个自治域下设备的公钥进行共享,使得密钥协商得以简化,不需要跨域即可实现,减少了资源消耗,进而使得依赖于密钥的身份认证、安全管理等功能的流程简化。
为了避免每个自治域使用的密钥体系不同,对于每个自治域相应的密钥生成中心,可以统一采用基于标识生成密钥的体系,即在某个自治域下的设备向该自治域的密钥生成中心请求生成密钥时,该自治域的密钥生成中心可以获取设备的标识,然后基于设备的标识生成密钥,密钥生成中心可以采用双线性对的椭圆曲线公钥密码算法,如SM9算法。
在本发明一实施例中,自治域下终端设备的标识可以根据终端设备属性信息来生成的,终端设备的标识还可以用于传递属性信息,其他设备可以采用终端设备的标识传递的属性信息对终端设备进行管理,如控制终端设备进行相应操作、对终端设备进行相应配置。
作为一示例,属性信息可以包括以下任一项或多项:
层级信息、安全等级信息、配置信息、所属的行业信息、所属用户的用户类型信息、所提供服务的服务类型信息。
例如,某县自治域下农业局具有终端设备,通过在终端设备的标识中加入行政区域的层级信息,如省/市/县,则标识就能在全网内予以区分。
通过在不同自治域中统一采用基于标识生成密钥的体系,避免了不同自治域所使用的密钥体系不同而导致的密钥协商困难,进而避免了对依赖于密钥的身份认证、安全管理等功能实现的影响。
参照图2,示出了本发明一实施例提供的一种基于标识的数据处理方法的步骤流程图,具体可以包括如下步骤:
步骤201,终端设备向所属自治域的密钥生成中心发送密钥生成请求;其中,所述密钥生成请求包括所述终端设备的标识。
当位于某个自治域下的终端设备要申请密钥时,终端设备可以根据终端设备的标识生成密钥生成请求,该密钥生成请求可以携带终端设备的标识,并可以将密钥生成请求发送至所属自治域的密钥生成中心。
需要说明的是,终端设备所属自治域的密钥生成中心可以为在所属自治域下的密钥生成中心,当在所属自治域下未设置有有密钥生成中心的情况下,可以使用上级自治域的密钥生成中心。
步骤202,所述终端设备接收所属自治域的密钥生成中心发送的密钥对中私钥,并进行存储;其中,所述终端设备的密钥对为由所属自治域的密钥生成中心根据所述终端设备的标识生成的,所属自治域的密钥生成中心还用于将所述终端设备的密钥对中公钥发送至公共参数服务,以通过所述公共参数服务向所属自治域及其他自治域中的其他设备共享。
作为一个示例,密钥对可以为加密密钥对、签名密钥对。
当终端设备所属自治域的密钥生成中心接收到终端设备发送的密钥生成请求后,可以对密钥生成请求进行解析,进而可以从密钥生成请求中提取出终端设备的标识,然后可以根据终端设备的标识生成终端设备的密钥对,通过在不同自治域中统一采用基于标识生成密钥的体系,避免了不同自治域所使用的密钥体系不同而导致的密钥协商困难,进而避免了对依赖于密钥的身份认证、安全管理等功能实现的影响。
在生成终端标识的密钥对后,密钥生成中心可以将密钥对中的私钥发送至终端设备,终端设备可以存储私钥以在后续使用,密钥生成中心还可以将密钥对中的公钥发送至公共参数服务,公共参数服务进而可以向所有自治域中的其他设备共享,其他设备包括终端设备、服务器。
当其他设备要获取终端设备的公钥时,特别是位于其他自治域的其他设备要获取终端设备的公钥时,其他设备可以直接向公共参数服务请求终端设备的公钥,请求中可以携带终端设备的标识,公共参数服务进而可以根据终端设备的标识查找到终端设备的公钥,进而可以将终端设备的公钥反馈至其他设备,其他设备无需向终端设备所属自治域中密钥生成中心请求,使得密钥协商得以简化,不需要跨域即可实现,减少了资源消耗,进而使得依赖于密钥的身份认证、安全管理等功能的流程简化。
以下结合附图3a进行示例性说明:
在视联网环境中,按照行政区域的层级结构设置有河北省自治域,在河北省自治域下设置有石家庄市自治域和保定市自治域,在石家庄市自治域下连接有终端SN_1,在保定市自治域下连接有终端SN_2。
石家庄市自治域下连接的终端SN_1可以向石家庄市自治域下的密钥生成中心申请密钥,保定市自治域下连接的终端SN_2可以向保定市自治域下的密钥生成中心申请密钥,当所属自治域下未设置密钥生成中心,则可以向河北省自治域下的密钥生成中心申请密钥。
密钥生成中心可以根据终端的标识生成密钥对,例如,终端的标识为按照层级关系或树状结构为终端分配的,如XX省YY市SN_A终端,密钥生成中心可以获取终端的标识进而生成密钥对,然后将密钥对中的私钥返回给终端,将密钥对中公钥存放至公共参数服务。
当石家庄市自治域下连接的终端SN_1获取保定市自治域下连接的终端SN_2的公钥时,石家庄市自治域下连接的终端SN_1可以向公共参数服务请求保定市自治域下连接的终端SN_2的公钥,公共参数服务可以获取保定市自治域下连接的终端SN_2的标识,该标识可以携带在请求中,然后根据保定市自治域下连接的终端SN_2的标识查找相应的公钥,进而将查找到的公钥反馈至石家庄市自治域下连接的终端SN_1。
当保定市自治域下连接的终端SN_2获取石家庄市自治域下连接的终端SN_1的公钥时,保定市自治域下连接的终端SN_2可以向公共参数服务请求石家庄市自治域下连接的终端SN_1的公钥,公共参数服务可以获取石家庄市自治域下连接的终端SN_1的标识,该标识可以携带在请求中,然后根据保定市自治域下连接的终端SN_2的标识查找相应的公钥,进而将查找到的公钥反馈至保定市自治域下连接的终端SN_2。
在本发明一实施例中,所述方法还包括:
所述终端设备接收所属自治域的密钥生成中心发送的新的密钥对中私钥,并根据所述新的密钥对中私钥更新所述终端设备本地存储的私钥;其中,所述新的密钥对为由所属自治域的密钥生成中心根据所述终端设备的标识和附加信息生成的;其中,所属自治域的密钥生成中心还用于向所述公共参数服务发送所述新的密钥对中公钥和所述附加信息,以使所述公共参数服务根据所述新的密钥对中公钥更新所述公共参数服务本地存储公钥,并根据所述附加信息更新所述公共参数服务本地存储的所述终端设备的标识。
在部分场景下,在先生成的密钥对会需要进行更新,如在密钥被泄露时需要对密钥更新,又如密钥具有相应的有效期,在公共参数服务中存储密钥的有效期以及密钥的当前状态(如有效、吊销、冻结、解冻),当密钥过期或临近过期或无法使用时,则可以对在先的密钥进行更新。
由于密钥生成中心统一采用基于标识生成密钥的体系,即密钥和标识是一一对应的,若要更新密钥则需要更新用于生成密钥的标识,而若直接终端设备的标识将会对设备的管理造成较大的影响。基于此,在本发明实施例中,可以在保持设备对外的标识不变的情况下,即设备本身存储的、使用的标识都保持不变,密钥生成中心可以在设备的标识的基础上添加一附加信息,然后结合标识和附加信息,生成新的密钥对。
例如,附加信息可以为版本号,密钥生成中心可以在设备的标识的基础上结合版本号,生成新的密钥对,在每一次需要单独更新密钥而不更新标识的情况下,可以更新版本号,使用标识和新的版本号生成新的密钥对。
在生成设备的新的密钥对后,密钥生成中心可以将新的密钥对中的私钥发送至终端设备,终端设备进而可以采用新的密钥对中的私钥更新终端设备本地存储的在先私钥,密钥生成中心还可以将新的密钥对中的公钥发送至公共参数服务,公共参数服务可以采用新的密钥对中的公钥更新公共参数服务本地存储的在先公钥。
在本质上,由于密钥是基于标识生成,密钥和标识是一一对应的,当密钥发生了更新时,生成密钥的标识也由标识本身变更为标识和附加信息,则密钥生成中心可以将用于生成密钥对的附加信息发送至公共参数服务,公共参数服务可以采用该附加信息更新公共参数服务本地存储的标识,也即是说,密钥生成中心用于生成新的密钥对的标识变更为标识和附加信息,公共参数服务中存储的标识也相应地变更为标识和附加信息,仅终端设备本地存储且对外使用的标识保持不变,即仅为标识本身不携带附加信息。
当终端设备与其他设备进行通信时,终端设备还可以继续使用原来的标识与其他设备进行通信,当某个设备向公共参数服务请求获取终端设备的公钥时,公共参数服务可以向其反馈终端设备的标识和附件信息对应的公钥。
在本发明一实施例中,所述方法还包括:
所述终端设备在所述终端设备的标识携带的信息发生变化时,请求更新所述终端设备的标识,并在所述终端设备的标识更新后,执行所述向所属自治域的密钥生成中心发送密钥生成请求,并接收所属自治域的密钥生成中心发送的密钥对中私钥。
在本发明实施例中,终端设备的标识携带有某些信息,终端设备的标识可以为根据这些信息生成的,如终端设备的标识是根据终端设备的属性信息生成的,而当终端设备的属性信息发生变化,则需要更新终端设备的标识,如属性信息包括所属行政区的层级信息(由所属行政区和所有上级行政区的名称组成),在行政区合并、重组等情况下,行政区的层级信息会发生变化,则需要更新终端设备的标识。
具体的,终端设备可以请求更新终端设备的标识,该请求可以为终端设备主动请求的,也可以为被动触发的,服务器可以更新变化的信息生成新的标识,然后可以将新的标识发送至终端设备,终端设备进而可以更新标识。
在终端设备更新标识后,由于密钥是基于标识生成的,则终端设备需要重新向密钥生成中心请求生成新的密钥,密钥生成中心可以更加新的标识重新生成新的密钥对,并将新的密钥对中的私钥发送至终端设备,将新的密钥对中的公钥发送至公共参数服务,以进行公钥共享。
在一示例中,在终端设备的标识更新的情况下,终端设备可以作为一个全新的设备,需要重新执行终端设备的入网认证过程。
在本发明一实施例中,所述终端设备的密钥对包括签名私钥和签名公钥,所述方法还包括:
所述终端设备采用所述终端设备的签名私钥对第一数据进行签名,并将所述第一数据和所述第一数据的签名信息发送至所述其他设备;其中,所述其他设备用于根据所述终端设备的标识,向所述公共参数服务获取所述终端设备的签名公钥,并采用所述终端设备的签名公钥,对所述第一数据的签名信息进行验证。
在身份认证的场景下,终端设备采用终端设备的签名私钥对第一数据进行签名,得到第一数据的签名信息,然后可以将第一数据和第一数据的签名信息一并发送至其他设备,其他设备可以为终端设备,也可以为服务器,其他设备可以终端设备所属自治域下的设备,也可以为其他自治域下的设备,当其他设备为其他自治域下的设备时,即为跨域通信。
在实际应用中,终端设备发送的数据包中也携带有终端设备的标识,在获得第一数据和第一数据的签名信息后,其他设备可以获取终端设备的标识,然后可以根据终端设备的标识,向公共参数服务请求终端设备的签名公钥,公共参数服务可以查找终端设备的标识对应的签名公钥,并将签名公钥反馈至其他设备,其他设备进而可以采用终端设备的签名公钥,对第一数据的签名信息进行验证。在验证成功时,对终端设备进行身份校验通过,即确认第一数据为终端设备发送的,在验证失败时,对终端设备进行身份校验未通过,即确认第一数据不为终端设备发生的,数据被篡改。
在本发明一实施例中,所述终端设备的密钥对包括加密私钥和加密公钥,所述方法还包括:
所述终端设备接收加密后的第二数据,并采用所述终端设备的加密私钥,对所述加密后的第二数据进行解密;其中,所述加密后的第二数据为所述其他设备根据所述终端设备的标识,向所述公共参数服务获取所述终端设备的加密公钥,并采用所述终端设备的加密公钥对第二数据进行加密得到。
在保密通信的场景下,当其他设备要向终端设备发送第二数据时,其他设备可以先获取终端设备的标识,然后可以根据终端设备的标识,向公共参数服务请求终端设备的加密公钥,公共参数服务可以查找终端设备的标识对应的加密公钥,并将加密公钥反馈至其他设备。
在获得终端设备的加密公钥后,其他设备可以采用终端设备的加密公钥对第二数据进行加密,然后可以将加密后的第二数据发送至终端设备,终端设备在接收到加密后的第二数据后,可以采用本地存储的终端设备的加密私钥,对加密的第二数据进行解密,得到解密的第二数据。
其中,其他设备可以为终端设备,也可以为服务器,其他设备可以终端设备所属自治域下的设备,也可以为其他自治域下的设备,当其他设备为其他自治域下的设备时,即为跨域通信。
以下结合附图3b进行示例性说明:
在视联网环境中,按照行政区域的层级结构设置有河北省自治域,在河北省自治域下设置有石家庄市自治域和保定市自治域,在石家庄市自治域下连接有终端SN_1,在保定市自治域下连接有终端SN_2。
终端SN_1、终端SN_2在分别向密钥生成中心申请密钥后,在进行身份认证和保密通信时,可以向公共参数服务器查询对方的公钥,然后可以基于对方的公钥进行身份认证或保密通信。
在本发明一实施例中,所述终端设备的密钥对包括签名私钥和签名公钥,所述方法还包括:
所述终端设备根据网管服务器的标识,从所述公共参数服务获取所述网管服务器的签名公钥,并基于所述网管服务器的签名公钥和所述终端设备的签名私钥,向所述网管服务器请求对所述终端设备进行入网认证;其中,所述网管服务器的密钥对为由所属自治域的密钥生成中心根据所述网管服务器的标识生成的,所述网管服务器的签名公钥存储于所述公共参数服务并通过所述公共参数服务向所属自治域及其他自治域中的其他设备共享。
在入网认证的场景下,终端设备可以获取网管服务器的标识,然后根据网管服务器的标识,向公共参数服务请求网管服务器的签名公钥,公共参数服务可以查找网管服务器的标识对应的签名公钥,并将签名公钥反馈至终端设备。在获得网管服务器的签名公钥后,终端设备使用终端设备自身的签名私钥和获取的网管服务器的签名公钥,向网管服务器请求对所述终端设备进行入网认证,即验证终端设备是否为合法的设备。在验证成功的情况下,则可以允许终端设备入网,在验证失败的情况下,则可以拒绝终端设备入网。
在本发明一实施例中,所述基于所述网管服务器的签名公钥和所述终端设备的签名私钥,向所述网管服务器请求对所述终端设备进行入网认证,包括:
所述终端设备向所述网管服务器发送第一随机数;所述终端设备接收所述网管服务器发送的所述第一随机数的签名信息和第二随机数;所述终端设备采用所述网管服务器的签名公钥,对所述第一随机数的签名信息进行验证,并采用所述终端设备的签名私钥,对所述第二随机数进行签名,将所述第二随机数的签名信息发送至所述网管服务器,以使所述网管服务器请求对所述终端设备进行入网认证。
其中,所述第一随机数的签名信息为所述网管服务器采用所述网管服务器的签名私钥对所述第一随机数进行签名得到。
其中,所述网管服务器用于根据所述终端设备的标识,从所述公共参数服务获取所述终端设备的签名公钥,并采用所述终端设备的签名公钥,对所述第二随机数的签名信息进行验证。
在具体实现中,终端设备可以生成第一随机数,并将第一随机数发送至网管服务器,网管服务器在接收到第一随机数后,可以采用网管服务器自身的签名公钥,对第一随机数进行签名,得到第一随机数的签名信息,然后可以将第一随机数的签名信息发送至终端设备。终端设备可以根据网管服务器的标识,从公共参数服务中获取网管服务器的签名公钥,然后可以采用网管服务器的签名公钥,对第一随机数的签名信息进行验证。在终端设备对第一随机数的签名信息验证成功时,即表征终端设备对网管服务器的身份验证通过,在终端设备对第一随机数的签名信息验证失败时,即表征终端设备对网管服务器的身份验证不通过。
对于网管服务器,可以生成第二随机数,并可以将第二随机数发送至终端设备,终端设备可以采用终端设备自身的签名私钥,对第二随机数进行签名,得到第二随机数的签名信息,并可以将第二随机数的签名信息发送至网管服务器。网管服务器可以根据终端设备的标识,从公共参数服务中获取终端设备的签名公钥,然后可以采用终端设备的签名公钥,对第二随机数的签名信息进行验证。在网管服务器对第二随机数的签名信息验证成功,即表征网管服务器对终端设备的身份验证通过,在网管服务器对第二随机数的签名信息验证失败,即表征网管服务器对终端设备的身份验证不通过。
在终端设备对第一随机数的签名信息验证成功,且,网管服务器对第二随机数的签名信息验证成功时,即表征终端设备对网管服务器的身份验证通过,且,网管服务器对终端设备的身份验证通过,即双向验证均通过,则表征终端设备通过了入网认证,终端设备允许入网。而当任一方验证未通过,则表征终端设备未通过入网认证,拒绝终端设备入网。
在本发明实施例中,通过终端设备向所属自治域的密钥生成中心发送密钥生成请求,密钥生成请求包括终端设备的标识,所属自治域的密钥生成中心根据终端设备的标识生成终端设备的密钥对,所属自治域的密钥生成中心可以将密钥对中私钥发送至终端设备,终端设备可以接收密钥对中私钥并进行存储,所属自治域的密钥生成中心还可以将终端设备的密钥对中公钥发送至公共参数服务,公共参数服务进而可以向所属自治域及其他自治域中的其他设备共享密钥对中公钥,实现了对各个自治域下设备的公钥进行共享,且,实现了在不同自治域中使用统一的密钥体系。
具体的,通过公共参数服务对各个自治域下设备的公钥进行共享,使得密钥协商得以简化,不需要跨域即可实现,减少了资源消耗,进而使得依赖于密钥的身份认证、安全管理等功能的流程简化。
而且,通过在不同自治域中统一采用基于标识生成密钥的体系,避免了不同自治域所使用的密钥体系不同而导致的密钥协商困难,进而避免了对依赖于密钥的身份认证、安全管理等功能实现的影响。
参照图4,示出了本发明一实施例提供的另一种基于标识的数据处理方法的步骤流程图,具体可以包括如下步骤:
步骤401,终端设备向所属自治域的密钥生成中心发送密钥生成请求;其中,所述密钥生成请求包括所述终端设备的标识。
步骤402,所述终端设备接收所属自治域的密钥生成中心发送的密钥对中私钥,并进行存储;其中,所述终端设备的密钥对为由所属自治域的密钥生成中心根据所述终端设备的标识生成的,所属自治域的密钥生成中心还用于将所述终端设备的密钥对中公钥发送至公共参数服务,以通过所述公共参数服务向所属自治域及其他自治域中的其他设备共享。
步骤403,所述终端设备在所述终端设备的标识携带的信息发生变化时,请求更新所述终端设备的标识,并在所述终端设备的标识更新后,执行所述向所属自治域的密钥生成中心发送密钥生成请求,并接收所属自治域的密钥生成中心发送的密钥对中私钥。
参照图5,示出了本发明一实施例提供的另一种基于标识的数据处理方法的步骤流程图,具体可以包括如下步骤:
步骤501,终端设备向所属自治域的密钥生成中心发送密钥生成请求;其中,所述密钥生成请求包括所述终端设备的标识。
步骤502,所述终端设备接收所属自治域的密钥生成中心发送的密钥对中私钥,并进行存储;其中,所述终端设备的密钥对为由所属自治域的密钥生成中心根据所述终端设备的标识生成的,所属自治域的密钥生成中心还用于将所述终端设备的密钥对中公钥发送至公共参数服务,以通过所述公共参数服务向所属自治域及其他自治域中的其他设备共享。
步骤503,所述终端设备在所述终端设备的标识携带的信息发生变化时,请求更新所述终端设备的标识,并在所述终端设备的标识更新后,执行所述向所属自治域的密钥生成中心发送密钥生成请求,并接收所属自治域的密钥生成中心发送的密钥对中私钥。
参照图6,示出了本发明一实施例提供的另一种基于标识的数据处理方法的步骤流程图,具体可以包括如下步骤:
步骤601,终端设备向所属自治域的密钥生成中心发送密钥生成请求;其中,所述密钥生成请求包括所述终端设备的标识。
步骤602,所述终端设备接收所属自治域的密钥生成中心发送的密钥对中私钥,并进行存储;其中,所述终端设备的密钥对为由所属自治域的密钥生成中心根据所述终端设备的标识生成的,所属自治域的密钥生成中心还用于将所述终端设备的密钥对中公钥发送至公共参数服务,以通过所述公共参数服务向所属自治域及其他自治域中的其他设备共享,所述终端设备的密钥对包括签名私钥和签名公钥。
步骤603,所述终端设备采用所述终端设备的签名私钥对第一数据进行签名,并将所述第一数据和所述第一数据的签名信息发送至所述其他设备;其中,所述其他设备用于根据所述终端设备的标识,向所述公共参数服务获取所述终端设备的签名公钥,并采用所述终端设备的签名公钥,对所述第一数据的签名信息进行验证。
参照图7,示出了本发明一实施例提供的另一种基于标识的数据处理方法的步骤流程图,具体可以包括如下步骤:
步骤701,终端设备向所属自治域的密钥生成中心发送密钥生成请求;其中,所述密钥生成请求包括所述终端设备的标识。
步骤702,所述终端设备接收所属自治域的密钥生成中心发送的密钥对中私钥,并进行存储;其中,所述终端设备的密钥对为由所属自治域的密钥生成中心根据所述终端设备的标识生成的,所属自治域的密钥生成中心还用于将所述终端设备的密钥对中公钥发送至公共参数服务,以通过所述公共参数服务向所属自治域及其他自治域中的其他设备共享,所述终端设备的密钥对包括加密私钥和加密公钥。
步骤703,所述终端设备接收加密后的第二数据,并采用所述终端设备的加密私钥,对所述加密后的第二数据进行解密;其中,所述加密后的第二数据为所述其他设备根据所述终端设备的标识,向所述公共参数服务获取所述终端设备的加密公钥,并采用所述终端设备的加密公钥对第二数据进行加密得到。
参照图8,示出了本发明一实施例提供的另一种基于标识的数据处理方法的步骤流程图,具体可以包括如下步骤:
步骤801,终端设备向所属自治域的密钥生成中心发送密钥生成请求;其中,所述密钥生成请求包括所述终端设备的标识。
步骤802,所述终端设备接收所属自治域的密钥生成中心发送的密钥对中私钥,并进行存储;其中,所述终端设备的密钥对为由所属自治域的密钥生成中心根据所述终端设备的标识生成的,所属自治域的密钥生成中心还用于将所述终端设备的密钥对中公钥发送至公共参数服务,以通过所述公共参数服务向所属自治域及其他自治域中的其他设备共享,所述终端设备的密钥对包括签名私钥和签名公钥。
步骤803,所述终端设备根据网管服务器的标识,从所述公共参数服务获取所述网管服务器的签名公钥,并基于所述网管服务器的签名公钥和所述终端设备的签名私钥,向所述网管服务器请求对所述终端设备进行入网认证;其中,所述网管服务器的密钥对为由所属自治域的密钥生成中心根据所述网管服务器的标识生成的,所述网管服务器的签名公钥存储于所述公共参数服务并通过所述公共参数服务向所属自治域及其他自治域中的其他设备共享。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
本发明一实施例提供的一种终端设备,所述终端设备可以用于:
向所属自治域的密钥生成中心发送密钥生成请求;其中,所述密钥生成请求包括所述终端设备的标识;
接收所属自治域的密钥生成中心发送的密钥对中私钥,并进行存储;其中,所述终端设备的密钥对为由所属自治域的密钥生成中心根据所述终端设备的标识生成的,所属自治域的密钥生成中心还用于将所述终端设备的密钥对中公钥发送至公共参数服务,以通过所述公共参数服务向所属自治域及其他自治域中的其他设备共享。
在本发明一实施例中,所述终端设备还可以用于:
接收所属自治域的密钥生成中心发送的新的密钥对中私钥,并根据所述新的密钥对中私钥更新所述终端设备本地存储的私钥;其中,所述新的密钥对为由所属自治域的密钥生成中心根据所述终端设备的标识和附加信息生成的;其中,所属自治域的密钥生成中心还用于向所述公共参数服务发送所述新的密钥对中公钥和所述附加信息,以使所述公共参数服务根据所述新的密钥对中公钥更新所述公共参数服务本地存储公钥,并根据所述附加信息更新所述公共参数服务本地存储的所述终端设备的标识。
在本发明一实施例中,所述终端设备还可以用于:
在所述终端设备的标识携带的信息发生变化时,请求更新所述终端设备的标识,并在所述终端设备的标识更新后,执行所述向所属自治域的密钥生成中心发送密钥生成请求,并接收所属自治域的密钥生成中心发送的密钥对中私钥。
在本发明一实施例中,所述终端设备的密钥对包括签名私钥和签名公钥,所述终端设备还可以用于:
采用所述终端设备的签名私钥对第一数据进行签名,并将所述第一数据和所述第一数据的签名信息发送至所述其他设备;其中,所述其他设备用于根据所述终端设备的标识,向所述公共参数服务获取所述终端设备的签名公钥,并采用所述终端设备的签名公钥,对所述第一数据的签名信息进行验证。
在本发明一实施例中,所述终端设备的密钥对包括加密私钥和加密公钥,所述终端设备还可以用于:
接收加密后的第二数据,并采用所述终端设备的加密私钥,对所述加密后的第二数据进行解密;其中,所述加密后的第二数据为所述其他设备根据所述终端设备的标识,向所述公共参数服务获取所述终端设备的加密公钥,并采用所述终端设备的加密公钥对第二数据进行加密得到。
在本发明一实施例中,所述终端设备的密钥对包括签名私钥和签名公钥,所述终端设备还可以用于:
根据网管服务器的标识,从所述公共参数服务获取所述网管服务器的签名公钥,并基于所述网管服务器的签名公钥和所述终端设备的签名私钥,向所述网管服务器请求对所述终端设备进行入网认证;其中,所述网管服务器的密钥对为由所属自治域的密钥生成中心根据所述网管服务器的标识生成的,所述网管服务器的签名公钥存储于所述公共参数服务并通过所述公共参数服务向所属自治域及其他自治域中的其他设备共享。
在本发明一实施例中,所述基于所述网管服务器的签名公钥和所述终端设备的签名私钥,向所述网管服务器请求对所述终端设备进行入网认证,包括:
所述终端设备向所述网管服务器发送第一随机数;
所述终端设备接收所述网管服务器发送的所述第一随机数的签名信息和第二随机数;其中,所述第一随机数的签名信息为所述网管服务器采用所述网管服务器的签名私钥对所述第一随机数进行签名得到。
所述终端设备采用所述网管服务器的签名公钥,对所述第一随机数的签名信息进行验证,并采用所述终端设备的签名私钥,对所述第二随机数进行签名,将所述第二随机数的签名信息发送至所述网管服务器,以使所述网管服务器请求对所述终端设备进行入网认证;其中,所述网管服务器用于根据所述终端设备的标识,从所述公共参数服务获取所述终端设备的签名公钥,并采用所述终端设备的签名公钥,对所述第二随机数的签名信息进行验证。
在本发明实施例中,通过终端设备向所属自治域的密钥生成中心发送密钥生成请求,密钥生成请求包括终端设备的标识,所属自治域的密钥生成中心根据终端设备的标识生成终端设备的密钥对,所属自治域的密钥生成中心可以将密钥对中私钥发送至终端设备,终端设备可以接收密钥对中私钥并进行存储,所属自治域的密钥生成中心还可以将终端设备的密钥对中公钥发送至公共参数服务,公共参数服务进而可以向所属自治域及其他自治域中的其他设备共享密钥对中公钥,实现了对各个自治域下设备的公钥进行共享,且,实现了在不同自治域中使用统一的密钥体系。
具体的,通过公共参数服务对各个自治域下设备的公钥进行共享,使得密钥协商得以简化,不需要跨域即可实现,减少了资源消耗,进而使得依赖于密钥的身份认证、安全管理等功能的流程简化。
而且,通过在不同自治域中统一采用基于标识生成密钥的体系,避免了不同自治域所使用的密钥体系不同而导致的密钥协商困难,进而避免了对依赖于密钥的身份认证、安全管理等功能实现的影响。
本发明一实施例还提供了一种电子设备,可以包括处理器、存储器及存储在存储器上并能够在处理器上运行的计算机程序,计算机程序被处理器执行时实现如上基于标识的数据处理方法。
本发明一实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储计算机程序,计算机程序被处理器执行时实现如上基于标识的数据处理方法。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据,并且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准,并提供有相应的操作入口,供用户选择授权或者拒绝。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明实施例可提供为方法、装置、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括上述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对所提供的基于标识的数据处理方法、终端设备、电子设备及介质,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种基于标识的数据处理方法,其特征在于,所述方法包括:
终端设备向所属自治域的密钥生成中心发送密钥生成请求;其中,所述密钥生成请求包括所述终端设备的标识;
所述终端设备接收所属自治域的密钥生成中心发送的密钥对中私钥,并进行存储;其中,所述终端设备的密钥对为由所属自治域的密钥生成中心根据所述终端设备的标识生成的,所属自治域的密钥生成中心还用于将所述终端设备的密钥对中公钥发送至公共参数服务,以通过所述公共参数服务向所属自治域及其他自治域中的其他设备共享。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述终端设备接收所属自治域的密钥生成中心发送的新的密钥对中私钥,并根据所述新的密钥对中私钥更新所述终端设备本地存储的私钥;其中,所述新的密钥对为由所属自治域的密钥生成中心根据所述终端设备的标识和附加信息生成的;其中,所属自治域的密钥生成中心还用于向所述公共参数服务发送所述新的密钥对中公钥和所述附加信息,以使所述公共参数服务根据所述新的密钥对中公钥更新所述公共参数服务本地存储公钥,并根据所述附加信息更新所述公共参数服务本地存储的所述终端设备的标识。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述终端设备在所述终端设备的标识携带的信息发生变化时,请求更新所述终端设备的标识,并在所述终端设备的标识更新后,执行所述向所属自治域的密钥生成中心发送密钥生成请求,并接收所属自治域的密钥生成中心发送的密钥对中私钥。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述终端设备的密钥对包括签名私钥和签名公钥,所述方法还包括:
所述终端设备采用所述终端设备的签名私钥对第一数据进行签名,并将所述第一数据和所述第一数据的签名信息发送至所述其他设备;其中,所述其他设备用于根据所述终端设备的标识,向所述公共参数服务获取所述终端设备的签名公钥,并采用所述终端设备的签名公钥,对所述第一数据的签名信息进行验证。
5.根据权利要求1至3任一项所述的方法,其特征在于,所述终端设备的密钥对包括加密私钥和加密公钥,所述方法还包括:
所述终端设备接收加密后的第二数据,并采用所述终端设备的加密私钥,对所述加密后的第二数据进行解密;其中,所述加密后的第二数据为所述其他设备根据所述终端设备的标识,向所述公共参数服务获取所述终端设备的加密公钥,并采用所述终端设备的加密公钥对第二数据进行加密得到。
6.根据权利要求1至3任一项所述的方法,其特征在于,所述终端设备的密钥对包括签名私钥和签名公钥,所述方法还包括:
所述终端设备根据网管服务器的标识,从所述公共参数服务获取所述网管服务器的签名公钥,并基于所述网管服务器的签名公钥和所述终端设备的签名私钥,向所述网管服务器请求对所述终端设备进行入网认证;其中,所述网管服务器的密钥对为由所属自治域的密钥生成中心根据所述网管服务器的标识生成的,所述网管服务器的签名公钥存储于所述公共参数服务并通过所述公共参数服务向所属自治域及其他自治域中的其他设备共享。
7.根据权利要求6所述的方法,其特征在于,所述基于所述网管服务器的签名公钥和所述终端设备的签名私钥,向所述网管服务器请求对所述终端设备进行入网认证,包括:
所述终端设备向所述网管服务器发送第一随机数;
所述终端设备接收所述网管服务器发送的所述第一随机数的签名信息和第二随机数;其中,所述第一随机数的签名信息为所述网管服务器采用所述网管服务器的签名私钥对所述第一随机数进行签名得到;
所述终端设备采用所述网管服务器的签名公钥,对所述第一随机数的签名信息进行验证,并采用所述终端设备的签名私钥,对所述第二随机数进行签名,将所述第二随机数的签名信息发送至所述网管服务器,以使所述网管服务器请求对所述终端设备进行入网认证;其中,所述网管服务器用于根据所述终端设备的标识,从所述公共参数服务获取所述终端设备的签名公钥,并采用所述终端设备的签名公钥,对所述第二随机数的签名信息进行验证。
8.一种终端设备,其特征在于,所述终端设备用于:
向所属自治域的密钥生成中心发送密钥生成请求;其中,所述密钥生成请求包括所述终端设备的标识;
接收所属自治域的密钥生成中心发送的密钥对中私钥,并进行存储;其中,所述终端设备的密钥对为由所属自治域的密钥生成中心根据所述终端设备的标识生成的,所属自治域的密钥生成中心还用于将所述终端设备的密钥对中公钥发送至公共参数服务,以通过所述公共参数服务向所属自治域及其他自治域中的其他设备共享。
9.一种电子设备,其特征在于,包括处理器、存储器及存储在所述存储器上并能够在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至7中任一项所述的基于标识的数据处理方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的基于标识的数据处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310640178.1A CN116760534A (zh) | 2023-05-31 | 2023-05-31 | 基于标识的数据处理方法、终端设备、电子设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310640178.1A CN116760534A (zh) | 2023-05-31 | 2023-05-31 | 基于标识的数据处理方法、终端设备、电子设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116760534A true CN116760534A (zh) | 2023-09-15 |
Family
ID=87948777
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310640178.1A Pending CN116760534A (zh) | 2023-05-31 | 2023-05-31 | 基于标识的数据处理方法、终端设备、电子设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116760534A (zh) |
-
2023
- 2023-05-31 CN CN202310640178.1A patent/CN116760534A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111355745B (zh) | 基于边缘计算网络架构的跨域身份认证方法 | |
| US10027670B2 (en) | Distributed authentication | |
| CN113691560B (zh) | 数据传送方法、控制数据使用的方法以及密码设备 | |
| CN113256290A (zh) | 去中心化加密通讯与交易系统 | |
| US8683209B2 (en) | Method and apparatus for pseudonym generation and authentication | |
| CN106790261B (zh) | 分布式文件系统及用于其中节点间认证通信的方法 | |
| CN111163036B (zh) | 一种数据共享方法、装置、客户端、存储介质及系统 | |
| CN113852632B (zh) | 基于sm9算法的车辆身份认证方法、系统、装置及存储介质 | |
| US20190297077A1 (en) | Methods For Security System-Agnostic Uniform Device Identification | |
| CN110740038B (zh) | 区块链及其通信方法、网关、通信系统和存储介质 | |
| Kravitz | Transaction immutability and reputation traceability: Blockchain as a platform for access controlled iot and human interactivity | |
| Giannetsos et al. | Securing V2X communications for the future: Can PKI systems offer the answer? | |
| CN114091009A (zh) | 利用分布式身份标识建立安全链接的方法 | |
| CN111131160B (zh) | 一种用户、服务及数据认证系统 | |
| US8699710B2 (en) | Controlled security domains | |
| US11570008B2 (en) | Pseudonym credential configuration method and apparatus | |
| CN116760534A (zh) | 基于标识的数据处理方法、终端设备、电子设备及介质 | |
| Hahn et al. | Verifiable outsourced decryption of encrypted data from heterogeneous trust networks | |
| CN114005190B (zh) | 用于课堂考勤系统的人脸识别方法 | |
| Chen et al. | A secure cross-domain authentication scheme based on threshold signature for MEC | |
| CN115604030B (zh) | 数据共享方法、装置、电子设备和存储介质 | |
| CN113556236B (zh) | 一种基于代理签名的能源数据中台敏感内容委托授权方法 | |
| CN115987526A (zh) | 一种基于业务链的数据共享方法、系统和装置 | |
| Thangavel et al. | We Bring Your Identity: A Secure Online Passenger Identity Protocol (SOPIP) for Indian Railways Using Aadhaar Number | |
| CN117201023A (zh) | 一种数据加密传输方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |