CN116846576A - 一种地铁信号设备安全操作方法及装置 - Google Patents

一种地铁信号设备安全操作方法及装置 Download PDF

Info

Publication number
CN116846576A
CN116846576A CN202310015259.2A CN202310015259A CN116846576A CN 116846576 A CN116846576 A CN 116846576A CN 202310015259 A CN202310015259 A CN 202310015259A CN 116846576 A CN116846576 A CN 116846576A
Authority
CN
China
Prior art keywords
client
server
public key
certificate
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310015259.2A
Other languages
English (en)
Inventor
李文勇
张恒
丁伟
陈德刚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ningbo Zhongzhi Shuke Information Technology Co ltd
Original Assignee
Ningbo Zhongzhi Shuke Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ningbo Zhongzhi Shuke Information Technology Co ltd filed Critical Ningbo Zhongzhi Shuke Information Technology Co ltd
Priority to CN202310015259.2A priority Critical patent/CN116846576A/zh
Publication of CN116846576A publication Critical patent/CN116846576A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • H04L67/125Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本申请公开了一种地铁信号设备安全操作方法及装置,由服务器执行,接收并根据客户端发送的建立https连接请求向客户端发送服务器的公钥证书,以供客户端获得服务器的公钥。接收并读取客户端的公钥集成证书,获得客户端的公钥和预设地址,接收客户端发送的加密方法,根据客户端的公钥对加密方式进行加密并发送到客户端。接收加密后的通信密钥,并根据服务器的私钥进行解密,获得通信密钥。根据通信密钥接收客户端发送的安全操作请求,根据客户端的预设地址验证客户端发送安全操作请求时的地址,获得验证结果,根据验证结果和安全操作请求执行对应的安全操作,通过对客户端预设地址的验证可以防止客户端证书泄露的情况,提高了执行安全操作时的安全性。

Description

一种地铁信号设备安全操作方法及装置
技术领域
本申请涉及地铁信号技术领域,尤其涉及一种地铁信号设备安全操作方法及装置。
背景技术
地铁作为城市中快速的、大运量、用电力牵引的轨道交通,已经成为人们日常生活中必不可少的交通工具。在地铁上地铁信号系统涉及行车和列车运行控制为一体的重要的机电系统,直接关系到地铁的运营安全。
现有的地铁信号系统采用客户端/服务器(英文:Client/Server,C/S)架构,设备间通信采用铁路信号安全通信协议(英文:Railway Signal Safety Protocol,RSSP),客户端软件一般都安装在固定位置的台式机上。客户端软件应用于移动设备时,RSSP协议不适用于浏览器/服务器(英文:Browser/Server,B/S)架构,在安全性方面相较于HTTPS协议可靠性低。
发明内容
有鉴于此,本申请实施例提供了一种地铁信号设备安全操作方法及装置,旨在提高执行安全操作时的安全性。
第一方面,本申请实施例提供了一种地铁信号设备安全操作方法,由服务器执行,所述方法包括:
接收客户端发送的建立https连接请求;
根据所述连接请求向所述客户端发送所述服务器的公钥证书,以便所述客户端根据所述服务器的公钥证书获取所述服务器的公钥;
接收所述客户端的公钥集成证书;
通过根证书读取所述客户端的公钥集成证书,获得所述客户端的公钥和所述客户端的预设地址;
接收所述客户端发送的加密方式;
根据所述客户端的公钥对所述加密方式进行加密,并向所述客户端发送加密后的加密方式;
接收加密后的通信密钥,并根据所述服务器的私钥对所述加密后的通信密钥进行解密,获得通信密钥,所述加密后的通信密钥是所述客户端对所述通信密钥进行加密得到的,所述通信密钥是通过客户端对所述加密后的加密方式进行解密之后生成的;
根据所述通信密钥接收所述客户端发送的安全操作请求,根据所述客户端的预设地址验证所述客户端发送所述安全操作请求时的地址,获得验证结果;
根据所述验证结果和所述安全操作请求执行对应的安全操作。
可选地,所述根据所述通信密钥接收所述客户端发送的安全操作请求,根据所述客户端的预设地址验证所述客户端发送所述安全操作请求时的地址,获得验证结果具体为:
若所述客户端的预设地址和所述客户端发送所述安全操作请求时的地址相同时,则所述验证结果为验证成功;
根据所述验证结果和所述安全操作请求执行对应的安全操作,包括:
当所述验证结果为所述验证成功时,所述服务器根据所述安全操作请求执行对应的安全操作;
若所述客户端的预设地址和所述客户端发送所述安全操作请求时的地址不相同时,则所述验证结果为验证失败;
根据所述验证结果和所述安全操作请求执行对应的安全操作,包括:
当所述验证结果为所述验证失败时,所述服务器拒绝所述安全操作请求。
可选地,所述接收客户端发送的建立https连接请求之前,还包括:
安装所述根证书;
配置所述服务器证书,所述服务器证书包括所述服务器的公钥证书、所述服务器的私钥和所述服务器的预设格式的文件。
可选地,所述根据所述连接请求向所述客户端发送所述服务器的公钥证书,以便所述客户端根据所述服务器的公钥证书获取所述服务器的公钥,还包括:
根据所述连接请求向所述客户端发送所述服务器的公钥集成证书,以便所述客户端根据所述服务器的公钥集成证书读取所述服务器的公钥和所述服务器的预设地址。
可选地,所述安全操作包括:强扳道岔、计轴复位、临时限速、远程关车门、远程紧急制动缓解、区域控制器ZC区域紧急制动和/或雨雪模式。
第二方面,本申请实施例提供了一种地铁信号设备安全操作方法,由客户端执行,所述方法包括:
向服务器发送建立https连接请求;
接收并读取所述服务器的公钥证书,获得所述服务器的公钥;
向所述服务器发送所述客户端的公钥集成证书,以便所述服务器通过根证书读取所述客户端的公钥集成证书,获得所述客户端的公钥和所述客户端的预设地址;
向所述服务器发送所述客户端的加密方式,以便所述服务器根据所述客户端的公钥对所述加密方式进行加密,并向所述客户端发送加密后的加密方式;
用所述客户端的私钥解密所述加密后的加密方式,生成通信密钥;
向所述服务器发送加密后的通信密钥,以便所述服务器根据所述服务器的私钥进行解密,获得所述通信密钥;
根据所述通信密钥向所述服务器发送安全操作请求,以便所述服务器根据所述客户端的预设地址验证所述客户端发送所述安全操作请求时的地址,得到验证结果,并根据验证结果和所述安全操作请求执行对应的安全操作。
可选地,所述向服务器发送建立https连接请求之前,所述方法还包括:
安装所述根证书;
配置所述根证书和所述客户端证书,所述客户端证书包括所述客户端的公钥集成证书、所述客户端的私钥和所述客户端的预设格式的文件。
第三方面,本申请实施例提供了一种地铁信号设备安全操作装置,部署于服务器,所述装置包括:
接收请求模块,用于接收客户端发送的建立https连接请求;
发送证书模块,用于根据所述连接请求向所述客户端发送所述服务器的公钥证书,以便所述客户端根据所述服务器的公钥证书获取所述服务器的公钥;
接收证书模块,用于接收所述客户端的公钥集成证书;
第一读取模块,用于通过根证书读取所述客户端的公钥集成证书,获得所述客户端的公钥和所述客户端的预设地址;
接收加密方式模块,用于接收所述客户端发送的加密方式;
加密模块,用于根据所述客户端的公钥对所述加密方式进行加密,并向所述客户端发送加密后的加密方式;
接收密钥模块,用于接收加密后的通信密钥,并根据所述服务器的私钥对所述加密后的通信密钥进行解密,获得通信密钥,所述加密后的通信密钥是所述客户端对所述通信密钥进行加密得到的,所述通信密钥是通过客户端对所述加密后的加密方式进行解密之后生成的;
第一验证模块,用于根据所述通信密钥接收所述客户端发送的安全操作请求,根据所述客户端的预设地址验证所述客户端发送所述安全操作请求时的地址,获得验证结果;
执行模块,用于根据所述验证结果和所述安全操作请求执行对应的安全操作。
第四方面,本申请实施例提供了一种地铁信号设备安全操作装置,部署于客户端,所述装置包括:
第一发送模块,用于向服务器发送建立https连接请求;
第二读取模块,用于接收并读取所述服务器的公钥证书,获得所述服务器的公钥;
第二发送模块,用于向所述服务器发送所述客户端的公钥集成证书,以便所述服务器通过根证书读取所述客户端的公钥集成证书,获得所述客户端的公钥和所述客户端的预设地址;
第三发送模块,用于向所述服务器发送所述客户端的加密方式,以便所述服务器根据所述客户端的公钥对所述加密方式进行加密,并向所述客户端发送加密后的加密方式;
解密模块,用于用所述客户端的私钥解密所述加密后的加密方式,生成通信密钥;
第四发送模块,用于向所述服务器发送加密后的通信密钥,以便所述服务器根据所述服务器的私钥进行解密,获得所述通信密钥;
第二验证模块,用于根据所述通信密钥向所述服务器发送安全操作请求,以便所述服务器根据所述客户端的预设地址验证所述客户端发送所述安全操作请求时的地址,得到验证结果,并根据验证结果和所述安全操作请求执行对应的安全操作。
第五方面,本申请实施例提供了一种地铁信号设备安全操作设备,所述设备包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序,以使所述设备执行前述第一方面或第二方面所述的地铁信号设备安全操作方法。
第六方面,本申请实施例提供了一种计算机存储介质,所述计算机可读存储介质上存储有计算机程序,当所述计算机程序被运行时,运行所述计算机程序的设备实现前述第一方面或第二方面所述的地铁信号设备安全操作方法。
相较于现有技术,本申请实施例具有以下有益效果:
本申请实施例提供了一种地铁信号设备安全操作方法及装置,由服务器执行,首先,接收客户端发送的建立https连接请求,根据连接请求向客户端发送服务器的公钥证书,以供客户端读取服务器的公钥证书,获得服务器的公钥。然后,接收客户端的公钥集成证书,通过根证书读取公钥集成证书,获得客户端的公钥和客户端的预设地址,接收客户端发送的加密方法,根据客户端的公钥对加密方式进行加密并将加密后的加密方式发送到客户端。接收加密后的通信密钥,并根据服务器的私钥对加密后的通信密钥进行解密,获得通信密钥,其中加密后的通信密钥是客户端对通过客户端解密加密后的加密方式后生成的通信密钥进行加密得到的。最后,根据通信密钥接收客户端发送的安全操作请求,根据客户端的预设地址验证客户端发送安全操作请求时的地址,获得验证结果,根据验证结果和安全操作请求执行对应的安全操作。在服务器和客户端进行https双向认证后,客户端向服务器发送安全操作请求,服务器根据双向认证过程中获得的客户端的预设地址和客户端发送安全操作请求时的地址进行验证,服务器再根据验证结果判断是否根据安全操作请求执行对应的安全操作,进行双向验证保证了服务器和客户端都是可信的,通过对客户端预设地址的验证可以防止客户端证书泄露的情况,提高了执行安全操作时的安全性。
附图说明
为更清楚地说明本实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例中一种应用场景所涉及的系统框架示意图;
图2为本申请实施例提供的一种地铁信号设备安全操作方法的方法流程图;
图3为本申请实施例提供的另一种地铁信号设备安全操作方法的方法流程图;
图4为本申请实施例提供的一种地铁信号设备安全操作装置的结构示意图;
图5为本申请实施例提供的另一种地铁信号设备安全操作装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
现有的地铁信号系统采用客户端/服务器(英文:Client/Server,C/S)架构,设备间通信采用铁路信号安全通信协议(英文:Railway Signal Safety Protocol,RSSP),客户端软件一般都安装在固定位置的台式机上。客户端软件应用于移动设备时,RSSP协议不适用于浏览器/服务器(英文:Browser/Server,B/S)架构,在安全性方面相较于HTTPS协议可靠性低。
基于此,为了解决上述问题,本申请实施例提供了一种地铁信号设备安全操作方法及装置,由服务器执行,首先,接收客户端发送的建立https连接请求,根据连接请求向客户端发送服务器的公钥证书,以供客户端读取服务器的公钥证书,获得服务器的公钥。然后,接收客户端的公钥集成证书,通过根证书读取公钥集成证书,获得客户端的公钥和客户端的预设地址,接收客户端发送的加密方法,根据客户端的公钥对加密方式进行加密并将加密后的加密方式发送到客户端。接收加密后的通信密钥,并根据服务器的私钥对加密后的通信密钥进行解密,获得通信密钥,其中加密后的通信密钥是客户端对通过客户端解密加密后的加密方式后生成的通信密钥进行加密得到的。最后,根据通信密钥接收客户端发送的安全操作请求,根据客户端的预设地址验证客户端发送安全操作请求时的地址,获得验证结果,根据验证结果和安全操作请求执行对应的安全操作。在服务器和客户端进行https双向认证后,客户端向服务器发送安全操作请求,服务器根据双向认证过程中获得的客户端的预设地址和客户端发送安全操作请求时的地址进行验证,服务器再根据验证结果判断是否根据安全操作请求执行对应的安全操作,进行双向验证保证了服务器和客户端都是可信的,通过对客户端预设地址的验证可以防止客户端证书泄露的情况,提高了执行安全操作时的安全性。
举例来说,本申请实施例的场景之一,可以是应用到如图1所示的场景中。该场景包括服务器101和客户端102,其中,在服务器101和客户端102进行超文本传输安全协议(Hypertext Transfer Protocol Secure,https)双向认证后,客户端102向服务器101发送安全操作请求,服务器101根据双向认证过程中获得的客户端102的预设地址和客户端102发送安全操作请求时的地址进行验证,服务器101再根据验证结果判断是否根据安全操作请求执行对应的安全操作。
首先,在上述应用场景中,虽然将本申请实施例提供的实施方式的动作描述由服务器101执行;但是,本申请实施例在执行主体方面不受限制,只要执行了本申请实施例提供的实施方式所公开的动作即可。
其次,上述场景仅是本申请实施例提供的一个场景示例,本申请实施例并不限于此场景。
下面结合附图,通过实施例来详细说明本申请实施例中地铁信号设备安全操作方法及装置的具体实现方式。
图2为本申请实施例提供的一种地铁信号设备安全操作方法的方法流程图。结合图2所示,本申请实施例提供的地铁信号设备安全操作方法,由服务器执行,可以包括:
S201:接收客户端发送的建立https连接请求。
在服务器接收客户端发送的建立https连接请求之前,需要先安装根证书,并配置服务器证书,服务器证书包括服务器的公钥证书、服务器的私钥和服务器的预设格式pfx的文件,并根据服务器的预设格式pfx的文件、服务器的私钥和配置安全操作请求的接口在服务器端配置服务器证书。其中,根证书中包括根证书的请求证书文件、根证书的私钥和根证书的公钥证书,根证书的公钥证书有效期限可以是10年期限,当然,本申请不具体限定根证书的公钥证书有效期限,并不影响本申请实施例的实现。
S202:根据连接请求向客户端发送服务器的公钥证书,以便客户端根据服务器的公钥证书获取服务器的公钥。
服务器根据https连接请求向客户端发送服务器的公钥证书,使得客户端能够根据服务器的公钥证书得到服务器的公钥。在一种可能的实施方式中,服务器还可以根据连接请求向客户端发送服务器的公钥集成证书,以便客户端根据服务器的公钥集成证书读取服务器的公钥和服务器的预设地址,服务器的公钥集成证书包括服务器的公钥证书和服务器的预设地址,服务器的预设地址可以是服务器的预设域名或服务器的预设IP地址,服务器的公钥证书有效期限可以是10年期限,当然,本申请不具体限定服务器的公钥证书有效期限,并不影响本申请实施例的实现。
S203:接收客户端的公钥集成证书。
服务器接收客户端的公钥集成证书,客户端的公钥集成证书包括客户端的公钥证书和客户端的预设互联网协议(英文:Internet Protocol Address,IP)地址,客户端的公钥证书有效期限可以是1年期限,当然,本申请不具体限定客户端的公钥证书有效期限,并不影响本申请实施例的实现。
S204:通过根证书读取客户端的公钥集成证书,获得客户端的公钥和客户端的预设地址。
服务器通过根证书能够读取到客户端的公钥集成证书,能够获得客户端的公钥和客户端的预设IP地址。
S205:接收客户端发送的加密方式。
服务器接收客户端发送的客户端能够使用的加密方式。
S206:根据客户端的公钥对加密方式进行加密,并向客户端发送加密后的加密方式。
服务器根据客户端的公钥对服务器选中的加密方式进行加密,并将加密后的加密方式发送给客户端。
S207:接收加密后的通信密钥,并根据服务器的私钥对加密后的通信密钥进行解密,获得通信密钥,加密后的通信密钥是客户端对通信密钥进行加密得到的,通信密钥是通过客户端对加密后的加密方式进行解密之后生成的。
客户端通过客户端的私钥对加密后的加密方式进行解密,产生通信密钥,通信密钥可以是随机数,本申请不具体限定通信密钥的内容,并不影响本申请实施例的实现。客户端使用服务器的公钥将通信密钥加密后发送到服务器,服务器接收到加密后的通信密钥,根据服务器的私钥进行解密,获得通信密钥,由此客户端和服务器可以使用通信密钥进行https通信,完成了https双向认证。
S208:根据通信密钥接收客户端发送的安全操作请求,根据客户端的预设地址验证客户端发送安全操作请求时的地址,获得验证结果。
服务器可以根据通信密钥与客户端进行https通信,服务器接收客户端发送的安全操作请求,将客户端发送安全操作请求时的IP地址与客户端的预设IP地址进行校验,能够获得校验结果。其中,安全操作请求可以是强扳道岔、计轴复位、临时限速、远程关车门、远程紧急制动缓解、区域控制器(Zone Controller,ZC)区域紧急制动还可以是雨雪模式。
S209:根据验证结果和安全操作请求执行对应的安全操作。
若客户端的预设IP地址和客户端发送安全操作请求时的IP地址相同时,则验证结果为验证成功,当验证结果为验证成功时,服务器根据安全操作请求执行对应的安全操作;
若客户端的预设IP地址和客户端发送安全操作请求时的IP地址不相同时,则验证结果为验证失败,当验证结果为验证失败时,服务器拒绝安全操作请求。
以上,为本申请实施例提供的一种地铁信号设备安全操作方法,由服务器执行,首先,接收客户端发送的建立https连接请求,根据连接请求向客户端发送服务器的公钥证书,以供客户端读取服务器的公钥证书,获得服务器的公钥。然后,接收客户端的公钥集成证书,通过根证书读取公钥集成证书,获得客户端的公钥和客户端的预设地址,接收客户端发送的加密方法,根据客户端的公钥对加密方式进行加密并将加密后的加密方式发送到客户端。接收加密后的通信密钥,并根据服务器的私钥对加密后的通信密钥进行解密,获得通信密钥,其中加密后的通信密钥是客户端对通过客户端解密加密后的加密方式后生成的通信密钥进行加密得到的。最后,根据通信密钥接收客户端发送的安全操作请求,根据客户端的预设地址验证客户端发送安全操作请求时的地址,获得验证结果,根据验证结果和安全操作请求执行对应的安全操作。
可见,采用浏览器/服务器模式(Browser/Server,B/S)架构以及https双向认证使得地铁信号安全操作能够应用于移动设备上,在服务器和客户端进行https双向认证后,客户端向服务器发送安全操作请求,服务器根据双向认证过程中获得的客户端的预设地址和客户端发送安全操作请求时的地址进行验证,服务器再根据验证结果判断是否根据安全操作请求执行对应的安全操作,进行双向验证保证了服务器和客户端都是可信的,通过对客户端预设地址的验证可以防止客户端证书泄露的情况,提高了执行安全操作时的安全性。
图3为本申请实施例提供的另一种地铁信号设备安全操作方法的方法流程图。结合图3所示,本申请实施例提供的地铁信号设备安全操作方法,由客户端执行,可以包括:
S301:向服务器发送建立https连接请求。
在客户端向服务器发送建立https连接请求之前,需要先安装根证书,并配置根证书和客户端证书,客户端证书包括客户端的公钥集成证书、客户端的私钥和客户端的预设格式pfx的文件,并根据客户端的预设格式pfx的文件、客户端的私钥、客户端的公钥集成证书和根证书的私钥在客户端配置客户端证书和根证书。其中,客户端的公钥集成证书包括客户端的公钥证书和客户端的预设IP地址。
S302:接收并读取服务器的公钥证书,获得服务器的公钥。
S303:向服务器发送客户端的公钥集成证书,以便服务器通过根证书读取客户端的公钥集成证书,获得客户端的公钥和客户端的预设地址。
客户端向服务器发送客户端的公钥集成证书,使得服务器可以通过根证书读取到客户端的公钥集成证书,从而获得客户端的公钥和客户端的预设IP地址。
S304:向服务器发送客户端的加密方式,以便服务器根据客户端的公钥对加密方式进行加密,并向客户端发送加密后的加密方式。
客户端向服务器发送客户端所接受的加密方式,使得服务器根据客户端的公钥对服务器选中的加密方式进行加密,并将加密后的加密方式发送给客户端。
S305:用客户端的私钥解密加密后的加密方式,生成通信密钥。
客户端通过客户端的私钥对加密后的加密方式进行解密,产生通信密钥,通信密钥可以是随机数,本申请不具体限定通信密钥的内容,并不影响本申请实施例的实现。
S306:向服务器发送加密后的通信密钥,以便服务器根据服务器的私钥进行解密,获得通信密钥。
客户端向服务器发送加密后的通信密钥,使得服务器接收到加密后的通信密钥,根据服务器的私钥进行解密,获得通信密钥,由此客户端和服务器可以使用通信密钥进行https通信,完成了https双向认证。
S307:根据通信密钥向服务器发送安全操作请求,以便服务器根据客户端的预设地址验证客户端发送安全操作请求时的地址,得到验证结果,并根据验证结果和安全操作请求执行对应的安全操作。
客户端根据通信密钥向服务器发送安全操作请求,使得服务器能够根据客户端预设的IP地址对客户端发送安全操作请求时的IP地址进行验证,得到验证结果,服务器并根据验证结果和安全操作请求执行对应的安全操作。
以上,为本申请实施例提供的另一种地铁信号设备安全操作方法,由客户端执行,首先,向服务器发送建立https连接请求,接收并读取服务器的公钥证书,能够获得服务器的公钥。然后,向服务器发送客户端的公钥集成证书,以便服务器通过根证书读取客户端的公钥集成证书,获得客户端的公钥和客户端的预设地址,向服务器发送客户端的加密方式,以便服务器根据客户端的公钥对加密方式进行加密,并向客户端发送加密后的加密方式,用客户端的私钥解密加密后的加密方式,生成通信密钥,向服务器发送加密后的通信密钥,以便服务器根据服务器的私钥进行解密,获得通信密钥。最后,根据通信密钥向服务器发送安全操作请求,以便服务器根据客户端的预设地址验证客户端发送安全操作请求时的地址,得到验证结果,并根据验证结果和安全操作请求执行对应的安全操作。
可见,在服务器和客户端进行https双向认证后,客户端向服务器发送安全操作请求,服务器根据双向认证过程中获得的客户端的预设地址和客户端发送安全操作请求时的地址进行验证,服务器再根据验证结果判断是否根据安全操作请求执行对应的安全操作,进行双向验证保证了服务器和客户端都是可信的,通过对客户端预设地址的验证可以防止客户端证书泄露的情况,提高了执行安全操作时的安全性。
以上为本申请实施例提供的地铁信号设备安全操作方法的一些具体实现方式,基于此,本申请还提供了对应的装置。下面将从功能模块化的角度对本申请实施例提供的装置进行介绍。
参见图4,该图为本申请实施例提供的一种地铁信号设备安全操作装置400的结构示意图,部署于服务器,该装置400可以包括:
接收请求模块401,用于接收客户端发送的建立https连接请求;
发送证书模块402,用于根据连接请求向客户端发送服务器的公钥证书,以便客户端根据服务器的公钥证书获取服务器的公钥;
接收证书模块403,用于接收客户端的公钥集成证书;
第一读取模块404,用于通过根证书读取客户端的公钥集成证书,获得客户端的公钥和客户端的预设地址;
接收加密方式模块405,用于接收客户端发送的加密方式;
加密模块406,用于根据客户端的公钥对加密方式进行加密,并向客户端发送加密后的加密方式;
接收密钥模块407,用于接收加密后的通信密钥,并根据服务器的私钥对加密后的通信密钥进行解密,获得通信密钥,加密后的通信密钥是客户端对通信密钥进行加密得到的,通信密钥是通过客户端对加密后的加密方式进行解密之后生成的;
第一验证模块408,用于根据通信密钥接收客户端发送的安全操作请求,根据客户端的预设地址验证客户端发送安全操作请求时的地址,获得验证结果;
执行模块409,用于根据验证结果和安全操作请求执行对应的安全操作。
在本申请实施例中,通过接收请求模块401、发送证书模块402、接收证书模块403、第一读取模块404、接收加密方式模块405、加密模块406、接收密钥模块407、第一验证模块408和执行模块409的配合,在服务器和客户端进行https双向认证后,客户端向服务器发送安全操作请求,服务器根据双向认证过程中获得的客户端的预设地址和客户端发送安全操作请求时的地址进行验证,服务器再根据验证结果判断是否根据安全操作请求执行对应的安全操作,进行双向验证保证了服务器和客户端都是可信的,通过对客户端预设地址的验证可以防止客户端证书泄露的情况,提高了执行安全操作时的安全性。
作为一种实施方式,第一验证模块408,具体包括:
验证成功单元,用于若客户端的预设地址和客户端发送安全操作请求时的地址相同时,则验证结果为验证成功,当验证结果为验证成功时,服务器根据安全操作请求执行对应的安全操作;
验证失败单元,用于若客户端的预设地址和客户端发送安全操作请求时的地址不相同时,则验证结果为验证失败,当验证结果为验证失败时,服务器拒绝安全操作请求。
作为一种实施方式,地铁信号设备安全操作装置400还包括:
第一安装单元,用于安装根证书;
第一配置单元,用于配置服务器证书,服务器证书包括服务器的公钥证书、服务器的私钥和服务器的预设格式的文件。
作为一种实施方式,地铁信号设备安全操作装置400还包括:
根据连接请求向客户端发送服务器的公钥集成证书,以便客户端根据服务器的公钥集成证书读取服务器的公钥和服务器的预设地址。
作为一种实施方式,安全操作包括:强扳道岔、计轴复位、临时限速、远程关车门、远程紧急制动缓解、区域控制器ZC区域紧急制动和/或雨雪模式。
参见图5,该图为本申请实施例提供的另一种地铁信号设备安全操作装置500的结构示意图,部署于客户端,该装置500可以包括:
第一发送模块501,用于向服务器发送建立https连接请求;
第二读取模块502,用于接收并读取服务器的公钥证书,获得服务器的公钥;
第二发送模块503,用于向服务器发送客户端的公钥集成证书,以便服务器通过根证书读取客户端的公钥集成证书,获得客户端的公钥和客户端的预设地址;
第三发送模块504,用于向服务器发送客户端的加密方式,以便服务器根据客户端的公钥对加密方式进行加密,并向客户端发送加密后的加密方式;
解密模块505,用于用客户端的私钥解密加密后的加密方式,生成通信密钥;
第四发送模块506,用于向服务器发送加密后的通信密钥,以便服务器根据服务器的私钥进行解密,获得通信密钥;
第二验证模块507,用于根据通信密钥向服务器发送安全操作请求,以便服务器根据客户端的预设地址验证客户端发送安全操作请求时的地址,得到验证结果,并根据验证结果和安全操作请求执行对应的安全操作。
在本申请实施例中,通过第一发送模块501、第二读取模块502、第二发送模块503、第三发送模块504、解密模块505、第四发送模块506和第二验证模块507的配合,在服务器和客户端进行https双向认证后,客户端向服务器发送安全操作请求,服务器根据双向认证过程中获得的客户端的预设地址和客户端发送安全操作请求时的地址进行验证,服务器再根据验证结果判断是否根据安全操作请求执行对应的安全操作,进行双向验证保证了服务器和客户端都是可信的,通过对客户端预设地址的验证可以防止客户端证书泄露的情况,提高了执行安全操作时的安全性。
作为一种实施方式,地铁信号设备安全操作装置500还包括:
第二安装单元,用于安装根证书;
第二配置单元,用于配置根证书和客户端证书,客户端证书包括客户端的公钥集成证书、客户端的私钥和客户端的预设格式的文件。
本申请实施例还提供了对应的设备以及计算机存储介质,用于实现本申请实施例提供的方案。
其中,所述设备包括存储器和处理器,所述存储器用于存储计算机程序,所述处理器用于执行所述计算机程序,以使所述设备执行本申请任一实施例所述的地铁信号设备安全操作方法。
所述计算机存储介质中存储有计算机程序,当所述代码被运行时,运行所述计算机程序的设备实现本申请任一实施例所述的地铁信号设备安全操作方法。
本申请实施例中提到的“第一”、“第二”(若存在)等名称中的“第一”、“第二”只是用来做名字标识,并不代表顺序上的第一、第二。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到上述实施例方法中的全部或部分步骤可借助软件加通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如只读存储器(英文:read-only memory,ROM)/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者诸如路由器等网络通信设备)执行本申请各个实施例或者实施例的某些部分所述的方法。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元提示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述,仅为本申请的一种具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应该以权利要求的保护范围为准。

Claims (10)

1.一种地铁信号设备安全操作方法,其特征在于,由服务器执行,所述方法包括:
接收客户端发送的建立超文本传输安全协议https连接请求;
根据所述连接请求向所述客户端发送所述服务器的公钥证书,以便所述客户端根据所述服务器的公钥证书获取所述服务器的公钥;
接收所述客户端的公钥集成证书;
通过根证书读取所述客户端的公钥集成证书,获得所述客户端的公钥和所述客户端的预设地址;
接收所述客户端发送的加密方式;
根据所述客户端的公钥对所述加密方式进行加密,并向所述客户端发送加密后的加密方式;
接收加密后的通信密钥,并根据所述服务器的私钥对所述加密后的通信密钥进行解密,获得通信密钥,所述加密后的通信密钥是所述客户端对所述通信密钥进行加密得到的,所述通信密钥是通过客户端对所述加密后的加密方式进行解密之后生成的;
根据所述通信密钥接收所述客户端发送的安全操作请求,根据所述客户端的预设地址验证所述客户端发送所述安全操作请求时的地址,获得验证结果;
根据所述验证结果和所述安全操作请求执行对应的安全操作。
2.根据权利要求1所述的方法,其特征在于,所述根据所述通信密钥接收所述客户端发送的安全操作请求,根据所述客户端的预设地址验证所述客户端发送所述安全操作请求时的地址,获得验证结果具体为:
若所述客户端的预设地址和所述客户端发送所述安全操作请求时的地址相同时,则所述验证结果为验证成功;
根据所述验证结果和所述安全操作请求执行对应的安全操作,包括:
当所述验证结果为所述验证成功时,所述服务器根据所述安全操作请求执行对应的安全操作;
若所述客户端的预设地址和所述客户端发送所述安全操作请求时的地址不相同时,则所述验证结果为验证失败;
根据所述验证结果和所述安全操作请求执行对应的安全操作,包括:
当所述验证结果为所述验证失败时,所述服务器拒绝所述安全操作请求。
3.根据权利要求1所述的方法,其特征在于,所述接收客户端发送的建立https连接请求之前,还包括:
安装所述根证书;
配置所述服务器证书,所述服务器证书包括所述服务器的公钥证书、所述服务器的私钥和所述服务器的预设格式的文件。
4.根据权利要求1所述的方法,其特征在于,所述根据所述连接请求向所述客户端发送所述服务器的公钥证书,以便所述客户端根据所述服务器的公钥证书获取所述服务器的公钥,还包括:
根据所述连接请求向所述客户端发送所述服务器的公钥集成证书,以便所述客户端根据所述服务器的公钥集成证书读取所述服务器的公钥和所述服务器的预设地址。
5.根据权利要求1所述的方法,其特征在于,所述安全操作包括:强扳道岔、计轴复位、临时限速、远程关车门、远程紧急制动缓解、区域控制器ZC区域紧急制动和/或雨雪模式。
6.一种地铁信号设备安全操作方法,其特征在于,由客户端执行,所述方法包括:
向服务器发送建立https连接请求;
接收并读取所述服务器的公钥证书,获得所述服务器的公钥;
向所述服务器发送所述客户端的公钥集成证书,以便所述服务器通过根证书读取所述客户端的公钥集成证书,获得所述客户端的公钥和所述客户端的预设地址;
向所述服务器发送所述客户端的加密方式,以便所述服务器根据所述客户端的公钥对所述加密方式进行加密,并向所述客户端发送加密后的加密方式;
用所述客户端的私钥解密所述加密后的加密方式,生成通信密钥;
向所述服务器发送加密后的通信密钥,以便所述服务器根据所述服务器的私钥进行解密,获得所述通信密钥;
根据所述通信密钥向所述服务器发送安全操作请求,以便所述服务器根据所述客户端的预设地址验证所述客户端发送所述安全操作请求时的地址,得到验证结果,并根据验证结果和所述安全操作请求执行对应的安全操作。
7.根据权利要求6所述的方法,其特征在于,所述向服务器发送建立https连接请求之前,所述方法还包括:
安装所述根证书;
配置所述根证书和所述客户端证书,所述客户端证书包括所述客户端的公钥集成证书、所述客户端的私钥和所述客户端的预设格式的文件。
8.一种地铁信号设备安全操作装置,其特征在于,部署于服务器,所述装置包括:
接收请求模块,用于接收客户端发送的建立https连接请求;
发送证书模块,用于根据所述连接请求向所述客户端发送所述服务器的公钥证书,以便所述客户端根据所述服务器的公钥证书获取所述服务器的公钥;
接收证书模块,用于接收所述客户端的公钥集成证书;
第一读取模块,用于通过根证书读取所述客户端的公钥集成证书,获得所述客户端的公钥和所述客户端的预设地址;
接收加密方式模块,用于接收所述客户端发送的加密方式;
加密模块,用于根据所述客户端的公钥对所述加密方式进行加密,并向所述客户端发送加密后的加密方式;
接收密钥模块,用于接收加密后的通信密钥,并根据所述服务器的私钥对所述加密后的通信密钥进行解密,获得通信密钥,所述加密后的通信密钥是所述客户端对所述通信密钥进行加密得到的,所述通信密钥是通过客户端对所述加密后的加密方式进行解密之后生成的;
第一验证模块,用于根据所述通信密钥接收所述客户端发送的安全操作请求,根据所述客户端的预设地址验证所述客户端发送所述安全操作请求时的地址,获得验证结果;
执行模块,用于根据所述验证结果和所述安全操作请求执行对应的安全操作。
9.一种地铁信号设备安全操作装置,其特征在于,部署于客户端,所述装置包括:
第一发送模块,用于向服务器发送建立https连接请求;
第二读取模块,用于接收并读取所述服务器的公钥证书,获得所述服务器的公钥;
第二发送模块,用于向所述服务器发送所述客户端的公钥集成证书,以便所述服务器通过根证书读取所述客户端的公钥集成证书,获得所述客户端的公钥和所述客户端的预设地址;
第三发送模块,用于向所述服务器发送所述客户端的加密方式,以便所述服务器根据所述客户端的公钥对所述加密方式进行加密,并向所述客户端发送加密后的加密方式;
解密模块,用于用所述客户端的私钥解密所述加密后的加密方式,生成通信密钥;
第四发送模块,用于向所述服务器发送加密后的通信密钥,以便所述服务器根据所述服务器的私钥进行解密,获得所述通信密钥;
第二验证模块,用于根据所述通信密钥向所述服务器发送安全操作请求,以便所述服务器根据所述客户端的预设地址验证所述客户端发送所述安全操作请求时的地址,得到验证结果,并根据验证结果和所述安全操作请求执行对应的安全操作。
10.一种地铁信号设备安全操作设备,其特征在于,所述设备包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序,以使所述设备执行如权利要求1至7任一项所述的地铁信号设备安全操作方法的步骤。
CN202310015259.2A 2023-01-05 2023-01-05 一种地铁信号设备安全操作方法及装置 Pending CN116846576A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310015259.2A CN116846576A (zh) 2023-01-05 2023-01-05 一种地铁信号设备安全操作方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310015259.2A CN116846576A (zh) 2023-01-05 2023-01-05 一种地铁信号设备安全操作方法及装置

Publications (1)

Publication Number Publication Date
CN116846576A true CN116846576A (zh) 2023-10-03

Family

ID=88171280

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310015259.2A Pending CN116846576A (zh) 2023-01-05 2023-01-05 一种地铁信号设备安全操作方法及装置

Country Status (1)

Country Link
CN (1) CN116846576A (zh)

Similar Documents

Publication Publication Date Title
CN114154135B (zh) 基于国密算法的车联网通信安全认证方法、系统及设备
CN108684041B (zh) 登录认证的系统和方法
CN109889484B (zh) 轨道交通车载信号控制系统用的信息安全保密方法及装置
CN101192926B (zh) 帐号保护的方法及系统
CN101136748B (zh) 一种身份认证方法及系统
CN101272616B (zh) 一种无线城域网的安全接入方法
RU2011153984A (ru) Доверенный администратор достоверности (tim)
CN101272301B (zh) 一种无线城域网的安全接入方法
CN111786799B (zh) 基于物联网通信模组的数字证书签发方法及系统
EP3499793B1 (en) Data provision system, data security device, data provision method, and computer program
US10133861B2 (en) Method for controlling access to a production system of a computer system not connected to an information system of said computer system
CN101257489A (zh) 一种保护账号安全的方法
CN108881176A (zh) 一种车联网终端之间安全通信的方法
CN112396735B (zh) 网联汽车数字钥匙安全认证方法及装置
CN109462572B (zh) 基于加密卡和UsbKey的多因子认证方法、系统、存储介质及安全网关
CN111541660B (zh) 用于远程车辆控制的身份认证方法
CN111224784A (zh) 一种基于硬件可信根的角色分离的分布式认证授权方法
CN108989038B (zh) 一种用于地理位置认证的识别设备、系统及方法
CN1848722B (zh) 建立可信虚拟专用网连接的方法和系统
CN113163375B (zh) 一种基于NB-IoT通信模组的空中发证方法和系统
CN109309648B (zh) 一种信息传输的方法和设备
CN111200807B (zh) 一种基于蓝牙的信息交互方法及其装置
CN117119012A (zh) 城市生命线数据处理方法及设备
CN116846576A (zh) 一种地铁信号设备安全操作方法及装置
CN115333732A (zh) 一种物联网设备防克隆结构与方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination