WO2021120503A1 - 一种基于自组网络通信的产品激活认证方法 - Google Patents
一种基于自组网络通信的产品激活认证方法 Download PDFInfo
- Publication number
- WO2021120503A1 WO2021120503A1 PCT/CN2020/089826 CN2020089826W WO2021120503A1 WO 2021120503 A1 WO2021120503 A1 WO 2021120503A1 CN 2020089826 W CN2020089826 W CN 2020089826W WO 2021120503 A1 WO2021120503 A1 WO 2021120503A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- network
- product
- information
- activation
- security module
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3252—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using DSA or related signature schemes, e.g. elliptic based signatures, ElGamal or Schnorr schemes
Definitions
- Step 1 According to the type of application for network access of the user’s product, select the application type required by the user’s product in the existing product classification system: the application type includes new network access but not completed activation of the network user product, completed activation but not completed authentication access to the network User products and products of users who have completed the activation and authentication to enter the network;
- Step 4-1 fill in the relevant information of the product that needs to be connected to the network.
- the relevant information includes: manufacturer code, device type, hardware version number and device serial number, together with the data and public key data encrypted by the private key of the product that needs to be connected to the network.
- Apply for activation information and then use the public key provided by the security module certification authority to encrypt and submit the activation application information to the security module certification party;
- Steps 4-9 The security module receives the request, generates a 64Bit random number, that is, the random number RS data generated by the security module, and sends it to the product that needs to be connected to the network;
- an asymmetric encryption algorithm based on an elliptic curve is used for the RS data, the RM data, the identification of the reading and writing device, and the appointment information data signature.
- the embodiment of the present invention discloses a product activation authentication method based on ad hoc network communication. This method is applied in an unlimited ad hoc network environment.
- a security module is added, and methods such as network communication authentication activation are provided to ensure that police dogs are carried.
- the communication equipment is connected to the network to communicate, and the trainers and the command center system equipment can obtain the security of sharing on-site information.
- products were generally used without restrictions on network access. They only used content encryption or destination IP address filtering for security protection in communication between devices. There are security risks such as interception and decryption of communication content and illegal devices disguising normal device communications. This solution starts from the source.
- Communication equipment is connected to the network for authentication security restrictions. Devices that have not passed authentication cannot use ad hoc network equipment to access the communication network for communication; a layer of communication link protection is added to reduce security risks such as interception of communication content.
- Step 4-7 If the public key provided in the activation application information is valid, the security module is successfully activated, and the digital certificate of the security module is generated and sent to the product that needs to be connected to the network. Step 4-8 is performed to start the process. The security module authenticates products that need to be connected to the network.
- Steps 4-10 the said product that needs to be connected to the network generates a 64Bit random number, that is, the random number RM data generated by the product that needs to be connected to the network;
- step 4-15 if the currently received RS data is consistent with the RS data generated and sent in step 4-9, the authentication is successful, and the network-in-demand product is allowed to connect to the network. In this embodiment, if the RS data currently received in step 4-14 is inconsistent with the RS data generated and sent in step 4-9, the authentication fails and access to the network is prohibited.
Abstract
本发明提供一种基于自组网络通信的产品激活认证方法,包括:依据入网用户产品的入网申请类型,在已有的产品分类体系中选择入网用户产品需要的申请类型:申请类型包括新入网未完成激活入网用户产品、已完成激活未完成认证入网用户产品和已完成激活认证入网用户产品;若入网用户产品有产品入网需求,生成申请入网产品需求列表;判断入网用户产品所需入网的产品类别,产品类别包括激活和认证;根据申请入网产品需求列表中的每一件需求入网产品的产品类别,针对需求入网产品对安全模块进行激活,或通过安全模块对需求入网产品进行认证。该方法能够控制通信设备的入网范围,继而阻断通信信息的非法获取的途径,提高自组网络通信保密性和可靠性。
Description
本发明涉及自组网络领域,尤其涉及一种基于自组网络通信的产品激活认证方法。
警犬是我国警用现行重要装备之一,为了应对多种安全威胁,完成多样化、多警犬组队联合执行任务的客观要求,发挥在警犬在反恐维稳、消防救援、治安巡逻和缉毒排爆等不同场合下的作用,需要设计一种用于警犬的自组网络通信方法。
现有的用于警犬的自组网络通信方法中,一般使用的是产品入网没有限制,只是在设备间通信使用内容加密或目的IP地址过滤等手段进行安全防护,存在通信内容被截取解密和非法设备伪装正常设备通信等安全风险。
发明内容
针对上述入网认证研究中所存在的问题和不足,本发明的目的在于提供一种基于自组网络通信的产品激活认证方法。
一种基于自组网络通信的产品激活认证方法,包括:
步骤1,依据入网用户产品的入网申请类型,在已有的产品分类体系中选择入网用户产品需要的申请类型:所述申请类型包括新入网未完成激活入网用户产品、已完成激活未完成认证入网用户产品和已完成激活认证入网用户产品;
步骤2,若所述入网用户产品有产品入网需求,生成申请入网产品需求列表;
步骤3,判断所述入网用户产品所需入网的产品类别,所述产品类别包括激活和认证;
步骤4,根据所述申请入网产品需求列表中的每一件需求入网产品的产品类别,针对所述需求入网产品对安全模块进行激活,或通过所述安全模块对需求入网产品进行认证。
进一步地,在一种实现方式中,所述步骤4包括针对所述需求入网产品对安全模块进行激活,所述安全模块设置于自组网络内,所述安全模块用于认证需求入网产品:
步骤4-1,填写需求入网产品的相关信息,所述相关信息包括:厂商代码、设备类型、硬件版本号和设备序列号,连同需求入网产品的私钥加密后的数据和公钥数据打包生成申请激活信息,再使用安全模块认证机构提供的公钥加密提交所述申请激活信息至安全模块认证方;
步骤4-2,所述安全模块认证方收到提交的申请激活信息后,使用私钥验证申请需求的合法性:将通过私钥加密所述申请激活信息与需求入网产品提交的使用公钥加密的数据进行比对;若比对一致则所述申请需求合法;若比对不一致则所述申请需求不合法;
步骤4-3,若所述申请需求合法,验证所述申请激活信息的合法性:验证所述申请激活信息提供的每个关键信息字段的顺序和格式,是否与约定的提交格式一致;若验证一 致,则所述申请激活信息合法;若验证不一致,则所述申请激活信息不合法;
步骤4-4,若所述申请激活信息合法,验证提供的信息是否完整:判断提交的所述申请激活信息中的内容是否包含厂商代码、设备类型、硬件版本号和设备序列号;
步骤4-5,若所述提供的信息完整,验证信息是否真实有效:比对指定厂商代码、指定类型和硬件版本号是否为审核过的合法信息;若所述指定厂商代码、指定类型和硬件版本号为审核过的合法信息,则所述验证信息真实有效;若所述指定厂商代码、指定类型和硬件版本号非审核过的合法信息,则所述验证信息非真实有效;
步骤4-6,若所述验证信息真实有效,则验证所述申请激活信息中提供的公钥有效性:验证公钥是否与认证机构发布公钥一致;若一致,则所述公钥有效;若不一致,则所述公钥无效;
步骤4-7,若所述申请激活信息中提供的公钥有效,所述安全模块激活成功,生成所述安全模块的数字证书,发送至需求入网产品,执行步骤4-8的操作,开始通过所述安全模块对需求入网产品进行认证。
进一步地,在一种实现方式中,所述步骤4包括通过安全模块对所述需求入网产品进行认证:
步骤4-8,所述需求入网产品发送请求至安全模块;
步骤4-9,所述安全模块接收请求,生成64Bit随机数,即安全模块产生的随机数RS数据,并发送给需求入网产品;
步骤4-10,所述需求入网产品生成64Bit随机数,即需求入网产品产生的随机数RM数据;
步骤4-11,所述需求入网产品将认证信息文件发送至安全模块,所述认证信息文件包括:RS数据、RM数据、读写设备标识、约定信息、使用私钥对每个数据签名后的结果和数字证书;
步骤4-12,安全模块校验所述信息认证文件中的数字证书和数字证书中的公钥是否合法:验证所述信息认证文件中的数字证书和公钥是否与安全模块认证机构提供的数字证书和公钥一致;若一致则合法;若不一致则不合法;
步骤4-13,若所述数字证书和数字证书中的公钥合法,使用公钥对RS数据、RM数据、读写设备标识和约定信息进行数据签名,将使用所述公钥数据签名后的信息与接收到的签名信息进行校验:验证使用所述公钥对RS数据、RM数据、读写设备标识和约定信息进行数据签名后的信息是否与使用私钥对每个数据签名后的结果一致;若一致则校验正确;若不一致则校验不正确;
步骤4-14,若使用所述公钥数据签名后的信息正确,所述安全模块将接收的RS数据与所述步骤4-9生成并发送的RS数据进行比对:验证所述步骤4-9生成并发送的RS数据是否与安全模块当前接收的RS数据一致;
步骤4-15,若所述当前接收的RS数据与步骤4-9生成并发送的RS数据比对结果一致,则认证成功,允许所述需求入网产品入网通信。
进一步地,在一种实现方式中,所述需求入网产品必须通过安全模块进行自组网内通信;所述进行自组网内通信必须满足需求入网产品所对应的安全模块在激活状态下,且所述入网需求产品在通信前必须通过安全模块认证。
进一步地,在一种实现方式中,所述步骤4-9和步骤4-10中所述生成的64Bit随机数,用于避免安全模块和需求入网产品产生的数据重复,防止需求入网产品的数字证书被盗用;所述64Bit随机数结合椭圆曲线的加密算法,用于对所述自组网络提供前向安全性。
进一步地,在一种实现方式中,所述步骤4-11中,对所述RS数据、RM数据、读写设备标识和约定信息数据签名采用基于椭圆曲线的非对称加密算法。
进一步地,在一种实现方式中,所述步骤4-13中采用CRC32循环冗余校验方法。本发明提供一种基于自组网络通信的产品激活认证方法,包括:依据入网用户产品的入网申请类型,在已有的产品分类体系中选择入网用户产品需要的申请类型:所述申请类型包括新入网未完成激活入网用户产品、已完成激活未完成认证入网用户产品和已完成激活认证入网用户产品;若所述入网用户产品有产品入网需求,生成申请入网产品需求列表;判断所述入网用户产品所需入网的产品类别,所述产品类别包括激活和认证;根据所述申请入网产品需求列表中的每一件需求入网产品的产品类别,针对所述需求入网产品对安全模块进行激活,或通过所述安全模块对需求入网产品进行认证。该方法能够控制通信设备的入网范围,继而阻断通信信息的非法获取的途径,提高自组网络通信保密性和可靠性。
和现有技术中的自组网络通信方式相比,本发明的这种认证服务组织方法在激活和认证过程中加入了安全模块这一环节。每个入网产品均包含安全模块,安全模块能够校验数字证书和数字证书中的公钥是否合法,在保密性方面发挥着重要作用,保障信息在自组网络传输的安全性。因此,本方案从源头通信设备入网进行认证安全限制,未通过认证的设备无法使用自组网设备接入通信网络进行通信,增加了一层通信链路防护,减少了通信内容被截取等安全风险。
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例部分提供的一种基于自组网络通信的产品激活认证方法的工作流程示意图;
图2是本发明实施例部分提供的一种基于自组网络通信的产品激活认证方法中针对需求入网产品填写提交信息的激活界面示意图;
图3是本发明实施例部分提供的一种基于自组网络通信的产品激活认证方法中服务组织方法实现应用示意图。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
本发明实施例公开一种基于自组网络通信的产品激活认证方法,本方法应用于在无限自组网络环境下,为保证通信安全,增加安全模块,提供入网通信认证激活等方法,保证警犬携带的通信设备入网通信,训导员和指挥中心系统设备能够获取共享现场信息的安全性。以往一般使用的是产品入网没有限制,只是在设备间通信使用内容加密或目的IP地 址过滤等手段进行安全防护,存在通信内容被截取解密和非法设备伪装正常设备通信等安全风险,本方案从源头通信设备入网进行认证安全限制,未通过认证的设备无法使用自组网设备接入通信网络进行通信;增加了一层通信链路防护,减少了通信内容被截取等安全风险。
具体的,本发明可以为警犬设计一种基于自组网络通信的产品激活认证方法,实现警犬携带的通信设备入网通信,训导员和指挥中心系统设备能够获取共享现场信息,具有机动性强、安全性好和准确度高的特点,和4G等通信方式相比,对于现场环境要求更低。本发明提供的一种基于自组网络通信的产品激活认证方法具有广泛的应用背景,适用于保密性要求高的自组网络场合。
如图1所示,一种基于自组网络通信的产品激活认证方法,包括:
步骤1,依据入网用户产品的入网申请类型,在已有的产品分类体系中选择入网用户产品需要的入网申请类型:所述入网申请类型包括新入网未完成激活入网用户产品、已完成激活未完成认证入网用户产品和已完成激活认证入网用户产品;
步骤2,若所述入网用户产品有产品入网需求,生成申请入网产品需求列表;本实施例中,当入网用户产品的申请类型为新入网未完成激活入网用户产品或已完成激活未完成认证入网用户产品时,即所述入网用户产品有产品入网需求。
步骤3,判断所述入网用户产品所需入网的产品类别,所述产品类别包括激活和认证;本步骤中,能够根据入网用户产品不同的入网申请类型选择激活或认证,若所述入网用户产品的入网申请类型为新入网未完成激活入网用户产品,则本步骤中所需入网的产品类别为激活,待激活成功后再进行认证;若所述入网用户产品的入网申请类型为已完成激活未完成认证入网用户产品,则本步骤中所需入网的产品类别为认证,直接执行步骤4-8进行认证。
步骤4,根据所述申请入网产品需求列表中的每一件需求入网产品的产品类别,针对所述需求入网产品对安全模块进行激活,或通过所述安全模块对需求入网产品进行认证。
本实施例所述的一种基于自组网络通信的产品激活认证方法中,所述步骤4包括针对所述需求入网产品对安全模块进行激活,所述安全模块设置于自组网络内,所述安全模块用于认证需求入网产品:
步骤4-1,填写需求入网产品的相关信息,所述相关信息包括:厂商代码、设备类型、硬件版本号和设备序列号,连同需求入网产品的私钥加密后的数据和公钥数据打包生成申请激活信息,再使用安全模块认证机构提供的公钥加密提交所述申请激活信息至安全模块认证方;具体的,如图2所示,是本发明实施例部分提供的一种基于自组网络通信的产品激活认证方法中针对需求入网产品填写提交信息的激活界面示意图。
步骤4-2,所述安全模块认证方收到提交的申请激活信息后,使用私钥验证申请需求的合法性:将通过私钥加密所述申请激活信息与需求入网产品提交的使用公钥加密的数据进行比对;若比对一致则所述申请需求合法;若比对不一致则所述申请需求不合法;
步骤4-3,若所述申请需求合法,验证所述申请激活信息的合法性:验证所述申请激活信息提供的每个关键信息字段的顺序和格式,是否与约定的提交格式一致;若验证一致,则所述申请激活信息合法;若验证不一致,则所述申请激活信息不合法;本实施例中,若 所述步骤4-2中验证的申请需求不合法,则激活失败,禁止接入网。
步骤4-4,若所述申请激活信息合法,验证提供的信息是否完整:判断提交的所述申请激活信息中的内容是否包含厂商代码、设备类型、硬件版本号和设备序列号;本实施例中,若所述步骤4-3中验证的申请激活信息步合法,则激活失败,禁止接入网。
步骤4-5,若所述提供的信息完整,验证信息是否真实有效:比对指定厂商代码、指定类型和硬件版本号是否为审核过的合法信息;若所述指定厂商代码、指定类型和硬件版本号为审核过的合法信息,则所述验证信息真实有效;若所述指定厂商代码、指定类型和硬件版本号非审核过的合法信息,则所述验证信息非真实有效;本实施例中,若所述步骤4-4中判断的所述提供的信息不完整,则激活失败,禁止接入网。
步骤4-6,若所述验证信息真实有效,则验证所述申请激活信息中提供的公钥有效性:验证公钥是否与认证机构发布公钥一致;若一致,则所述公钥有效;若不一致,则所述公钥无效;本实施例中,若所述步骤4-5中验证信息非真实有效,则激活失败,禁止接入网。
步骤4-7,若所述申请激活信息中提供的公钥有效,所述安全模块激活成功,生成所述安全模块的数字证书,发送至需求入网产品,执行步骤4-8的操作,开始通过所述安全模块对需求入网产品进行认证。
本实施例所述的一种基于自组网络通信的产品激活认证方法中,所述步骤4包括通过安全模块对所述需求入网产品进行认证:
步骤4-8,所述需求入网产品发送请求至安全模块;
步骤4-9,所述安全模块接收请求,生成64Bit随机数,即安全模块产生的随机数RS数据,并发送给需求入网产品;
步骤4-10,所述需求入网产品生成64Bit随机数,即需求入网产品产生的随机数RM数据;
步骤4-11,所述需求入网产品将认证信息文件发送至安全模块,所述认证信息文件包括:RS数据、RM数据、读写设备标识、约定信息、使用私钥对每个数据签名后的结果和数字证书;
步骤4-12,安全模块校验所述信息认证文件中的数字证书和数字证书中的公钥是否合法:验证所述信息认证文件中的数字证书和公钥是否与安全模块认证机构提供的数字证书和公钥一致;若一致则合法;若不一致则不合法;
步骤4-13,若所述数字证书和数字证书中的公钥合法,使用公钥对RS数据、RM数据、读写设备标识和约定信息进行数据签名,将使用所述公钥数据签名后的信息与接收到的签名信息进行校验:验证使用所述公钥对RS数据、RM数据、读写设备标识和约定信息进行数据签名后的信息是否与使用私钥对每个数据签名后的结果一致;若一致则校验正确;若不一致则校验不正确;本实施例中,若所述步骤4-12中校验的数字证书和数字证书中的公钥不合法,则认证失败,禁止接入网。
步骤4-14,若使用所述公钥数据签名后的信息正确,所述安全模块将接收的RS数据与所述步骤4-9生成并发送的RS数据进行比对:验证所述步骤4-9生成并发送的RS数据是否与安全模块当前接收的RS数据一致;本实施例中,若所述步骤4-13中校验的公钥数据签名后的信息不正确,则认证失败,禁止接入网。
步骤4-15,若所述当前接收的RS数据与步骤4-9生成并发送的RS数据比对结果一 致,则认证成功,允许所述需求入网产品入网通信。本实施例中,若所述步骤4-14中当前接收的RS数据与步骤4-9生成并发送的RS数据比对结果不一致,则认证失败,禁止接入网。
本实施例所述的一种基于自组网络通信的产品激活认证方法中,所述需求入网产品必须通过安全模块进行自组网内通信;所述进行自组网内通信必须满足需求入网产品所对应的安全模块在激活状态下,且所述入网需求产品在通信前必须通过安全模块认证。
本实施例所述的一种基于自组网络通信的产品激活认证方法中,所述步骤4-9和步骤4-10中所述生成的64Bit随机数,用于避免安全模块和需求入网产品产生的数据重复,防止需求入网产品的数字证书被盗用;所述64Bit随机数结合椭圆曲线的加密算法,用于对所述自组网络提供前向安全性。
本实施例所述的一种基于自组网络通信的产品激活认证方法中,所述步骤4-11中,对所述RS数据、RM数据、读写设备标识和约定信息数据签名采用基于椭圆曲线的非对称加密算法。本实施例中,即便攻击者获取了读写设备标识、约定信息和密钥等,由于未知RS数据和RM数据这两个随机数,攻击者依然不能通过安全模块认证。因此提高了入网通信的安全性。
本实施例所述的一种基于自组网络通信的产品激活认证方法中,所述步骤4-13中采用CRC32循环冗余校验方法。
本发明提供一种基于自组网络通信的产品激活认证方法,包括:依据入网用户产品的入网申请类型,在已有的产品分类体系中选择入网用户产品需要的申请类型:所述申请类型包括新入网未完成激活入网用户产品、已完成激活未完成认证入网用户产品和已完成激活认证入网用户产品;若所述入网用户产品有产品入网需求,生成申请入网产品需求列表;判断所述入网用户产品所需入网的产品类别,所述产品类别包括激活和认证;根据所述申请入网产品需求列表中的每一件需求入网产品的产品类别,针对所述需求入网产品对安全模块进行激活,或通过所述安全模块对需求入网产品进行认证。该方法能够控制通信设备的入网范围,继而阻断通信信息的非法获取的途径,提高自组网络通信保密性和可靠性。
如图3所示,是本发明实施例部分提供的一种基于自组网络通信的产品激活认证方法中服务组织方法实现应用示意图。
警犬携带的通信设备包括全景视频终端、控制终端、信息处理模块、音频控制模块和电池组成的通信系统,训导员系统设备包括高清摄像头、控制模块、耳麦、腕式显控和电池组成的通信系统,和指挥中心系统设备即便携式电脑设备,三套设备分别通过无线自组网安全认证通信模块激活认证后,接入无线自组网络,获取共享现场信息和远程控制等通信。
本发明与现有技术相比,其显著优点为:首先,本发明依据梳理出来的自组网络通信激活认证产品通信体系,利用需求入网产品和安全模块认证激活服务之间的内在关系,可以简化自组网络条件下,需求入网产品通信生成的复杂度,提高入网通信的安全性;其次,本发明所依赖的需求入网产品和安全模块认证激活服务之间的关联关系都是经过实践论证过的,实现的可行性可以得到保证。
本发明提供的认证服务组织方法在激活和认证过程中加入了安全模块这一环节。每个入网产品均包含安全模块,安全模块能够校验数字证书和数字证书中的公钥是否合 法,在保密性方面发挥着重要作用,保障信息在自组网络传输的安全性。因此,本方案从源头通信设备入网进行认证安全限制,未通过认证的设备无法使用自组网设备接入通信网络进行通信,增加了一层通信链路防护,减少了通信内容被截取等安全风险。
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,该程序执行时可包括本发明提供的一种基于自组网络通信的产品激活认证方法的各实施例中的部分或全部步骤。所述的存储介质可为磁碟、光盘、只读存储记忆体(英文:read-only memory,简称:ROM)或随机存储记忆体(英文:random access memory,简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中各个实施例之间相同相似的部分互相参见即可。以上所述的本发明实施方式并不构成对本发明保护范围的限定。
Claims (7)
- 一种基于自组网络通信的产品激活认证方法,其特征在于,包括:步骤1,依据入网用户产品的入网申请类型,在已有的产品分类体系中选择入网用户产品需要的申请类型:所述申请类型包括新入网未完成激活入网用户产品、已完成激活未完成认证入网用户产品和已完成激活认证入网用户产品;步骤2,若所述入网用户产品有产品入网需求,生成申请入网产品需求列表;步骤3,判断所述入网用户产品所需入网的产品类别,所述产品类别包括激活和认证;步骤4,根据所述申请入网产品需求列表中的每一件需求入网产品的产品类别,针对所述需求入网产品对安全模块进行激活,或通过所述安全模块对需求入网产品进行认证。
- 根据权利要求1所述的一种基于自组网络通信的产品激活认证方法,其特征在于,所述步骤4包括针对所述需求入网产品对安全模块进行激活,所述安全模块设置于自组网络内,所述安全模块用于认证需求入网产品:步骤4-1,填写需求入网产品的相关信息,所述相关信息包括:厂商代码、设备类型、硬件版本号和设备序列号,连同需求入网产品的私钥加密后的数据和公钥数据打包生成申请激活信息,再使用安全模块认证机构提供的公钥加密提交所述申请激活信息至安全模块认证方;步骤4-2,所述安全模块认证方收到提交的申请激活信息后,使用私钥验证申请需求的合法性:将通过私钥加密所述申请激活信息与需求入网产品提交的使用公钥加密的数据进行比对;若比对一致则所述申请需求合法;若比对不一致则所述申请需求不合法;步骤4-3,若所述申请需求合法,验证所述申请激活信息的合法性:验证所述申请激活信息提供的每个关键信息字段的顺序和格式,是否与约定的提交格式一致;若验证一致,则所述申请激活信息合法;若验证不一致,则所述申请激活信息不合法;步骤4-4,若所述申请激活信息合法,验证提供的信息是否完整:判断提交的所述申请激活信息中的内容是否包含厂商代码、设备类型、硬件版本号和设备序列号;步骤4-5,若所述提供的信息完整,验证信息是否真实有效:比对指定厂商代码、指定类型和硬件版本号是否为审核过的合法信息;若所述指定厂商代码、指定类型和硬件版本号为审核过的合法信息,则所述验证信息真实有效;若所述指定厂商代码、指定类型和硬件版本号非审核过的合法信息,则所述验证信息非真实有效;步骤4-6,若所述验证信息真实有效,则验证所述申请激活信息中提供的公钥有效性:验证公钥是否与认证机构发布公钥一致;若一致,则所述公钥有效;若不一致,则所述公钥无效;步骤4-7,若所述申请激活信息中提供的公钥有效,所述安全模块激活成功,生成所述安全模块的数字证书,发送至需求入网产品,执行步骤4-8的操作,开始通过所述安全模块对需求入网产品进行认证。
- 根据权利要求2所述的一种基于自组网络通信的产品激活认证方法,其特征在于,所述步骤4包括通过安全模块对所述需求入网产品进行认证:步骤4-8,所述需求入网产品发送请求至安全模块;步骤4-9,所述安全模块接收请求,生成64Bit随机数,即安全模块产生的随机数RS数据,并发送给需求入网产品;步骤4-10,所述需求入网产品生成64Bit随机数,即需求入网产品产生的随机数RM数 据;步骤4-11,所述需求入网产品将认证信息文件发送至安全模块,所述认证信息文件包括:RS数据、RM数据、读写设备标识、约定信息、使用私钥对每个数据签名后的结果和数字证书;步骤4-12,安全模块校验所述信息认证文件中的数字证书和数字证书中的公钥是否合法:验证所述信息认证文件中的数字证书和公钥是否与安全模块认证机构提供的数字证书和公钥一致;若一致则合法;若不一致则不合法;步骤4-13,若所述数字证书和数字证书中的公钥合法,使用公钥对RS数据、RM数据、读写设备标识和约定信息进行数据签名,将使用所述公钥数据签名后的信息与接收到的签名信息进行校验:验证使用所述公钥对RS数据、RM数据、读写设备标识和约定信息进行数据签名后的信息是否与使用私钥对每个数据签名后的结果一致;若一致则校验正确;若不一致则校验不正确;步骤4-14,若使用所述公钥数据签名后的信息正确,所述安全模块将接收的RS数据与所述步骤4-9生成并发送的RS数据进行比对:验证所述步骤4-9生成并发送的RS数据是否与安全模块当前接收的RS数据一致;步骤4-15,若所述当前接收的RS数据与步骤4-9生成并发送的RS数据比对结果一致,则认证成功,允许所述需求入网产品入网通信。
- 根据权利要求3所述的一种基于自组网络通信的产品激活认证方法,其特征在于,所述需求入网产品必须通过安全模块进行自组网内通信;所述进行自组网内通信必须满足需求入网产品所对应的安全模块在激活状态下,且所述入网需求产品在通信前必须通过安全模块认证。
- 根据权利要求4所述的一种基于自组网络通信的产品激活认证方法,其特征在于,所述步骤4-9和步骤4-10中所述生成的64Bit随机数,用于避免安全模块和需求入网产品产生的数据重复,防止需求入网产品的数字证书被盗用;所述64Bit随机数结合椭圆曲线的加密算法,用于对所述自组网络提供前向安全性。
- 根据权利要求5所述的一种基于自组网络通信的产品激活认证方法,其特征在于,所述步骤4-11中,对所述RS数据、RM数据、读写设备标识和约定信息数据签名采用基于椭圆曲线的非对称加密算法。
- 根据权利要求6所述的一种基于自组网络通信的产品激活认证方法,其特征在于,所述步骤4-13中采用CRC32循环冗余校验方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911315510.7 | 2019-12-19 | ||
| CN201911315510.7A CN111092734B (zh) | 2019-12-19 | 2019-12-19 | 一种基于自组网络通信的产品激活认证方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2021120503A1 true WO2021120503A1 (zh) | 2021-06-24 |
Family
ID=70395212
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/CN2020/089826 WO2021120503A1 (zh) | 2019-12-19 | 2020-05-12 | 一种基于自组网络通信的产品激活认证方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN111092734B (zh) |
| WO (1) | WO2021120503A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111092734B (zh) * | 2019-12-19 | 2021-12-28 | 南京莱斯电子设备有限公司 | 一种基于自组网络通信的产品激活认证方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060156001A1 (en) * | 2002-12-17 | 2006-07-13 | Wincor Nixdorf International Gmbh | Personalisation of security modules |
| CN109587142A (zh) * | 2018-12-10 | 2019-04-05 | 北京华虹集成电路设计有限责任公司 | 一种面向业务流的数据安全接入模块和设备 |
| US20190230087A1 (en) * | 2016-06-24 | 2019-07-25 | Orange | Technique for downloading a network access profile |
| CN111092734A (zh) * | 2019-12-19 | 2020-05-01 | 南京莱斯电子设备有限公司 | 一种基于自组网络通信的产品激活认证方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101841525A (zh) * | 2010-03-02 | 2010-09-22 | 中国联合网络通信集团有限公司 | 安全接入方法、系统及客户端 |
| CN101877702A (zh) * | 2010-05-20 | 2010-11-03 | 中兴通讯股份有限公司 | 一种交互式网络电视客户端激活认证的方法和系统 |
| CN103023876B (zh) * | 2012-11-22 | 2016-05-04 | 中国科学院声学研究所 | 一种网络终端及其安全认证、注册激活方法,服务器 |
| JP6481449B2 (ja) * | 2015-03-24 | 2019-03-13 | 大日本印刷株式会社 | セットアップ管理システム |
| US9935962B2 (en) * | 2016-01-19 | 2018-04-03 | Qualcomm Incorporated | Method and system for onboarding wireless-enabled products in a network |
| CN106778084A (zh) * | 2016-11-18 | 2017-05-31 | 畅捷通信息技术股份有限公司 | 软件激活方法及装置和软件激活系统 |
-
2019
- 2019-12-19 CN CN201911315510.7A patent/CN111092734B/zh active Active
-
2020
- 2020-05-12 WO PCT/CN2020/089826 patent/WO2021120503A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060156001A1 (en) * | 2002-12-17 | 2006-07-13 | Wincor Nixdorf International Gmbh | Personalisation of security modules |
| US20190230087A1 (en) * | 2016-06-24 | 2019-07-25 | Orange | Technique for downloading a network access profile |
| CN109587142A (zh) * | 2018-12-10 | 2019-04-05 | 北京华虹集成电路设计有限责任公司 | 一种面向业务流的数据安全接入模块和设备 |
| CN111092734A (zh) * | 2019-12-19 | 2020-05-01 | 南京莱斯电子设备有限公司 | 一种基于自组网络通信的产品激活认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111092734B (zh) | 2021-12-28 |
| CN111092734A (zh) | 2020-05-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111429254B (zh) | 一种业务数据处理方法、设备以及可读存储介质 | |
| CN108768988B (zh) | 区块链访问控制方法、设备及计算机可读存储介质 | |
| CN110784491B (zh) | 一种物联网安全管理系统 | |
| US11038682B2 (en) | Communication method, apparatus and system, electronic device, and computer readable storage medium | |
| CN108964885B (zh) | 鉴权方法、装置、系统和存储介质 | |
| CN104767731B (zh) | 一种Restful移动交易系统身份认证防护方法 | |
| CN108064440A (zh) | 基于区块链的fido认证方法、装置及系统 | |
| CN111324881B (zh) | 一种融合Kerberos认证服务器与区块链的数据安全分享系统及方法 | |
| CN105050081A (zh) | 网络接入设备接入无线网络接入点的方法、装置和系统 | |
| CN105915338B (zh) | 生成密钥的方法和系统 | |
| TW200828944A (en) | Simplified management of authentication credientials for unattended applications | |
| WO2021190197A1 (zh) | 生物支付设备的认证方法、装置、计算机设备和存储介质 | |
| CN109388937B (zh) | 一种多因子身份认证的单点登录方法及登录系统 | |
| CN106713279A (zh) | 一种视频终端身份认证系统 | |
| CN114329529A (zh) | 一种基于区块链的资产数据管理方法及系统 | |
| WO2014015759A1 (zh) | 一种终端身份验证和服务鉴权的方法、系统和终端 | |
| CN114760065A (zh) | 一种在线学习平台教学资源共享的访问控制方法及装置 | |
| JP2024501326A (ja) | アクセス制御方法、装置、ネットワーク側機器、端末及びブロックチェーンノード | |
| WO2021120503A1 (zh) | 一种基于自组网络通信的产品激活认证方法 | |
| CN109561431B (zh) | 基于多口令身份鉴别的wlan接入访问控制系统及方法 | |
| CN113872986B (zh) | 配电终端认证方法、装置和计算机设备 | |
| CN115314217A (zh) | 跨多接入边缘计算系统登录方法及装置 | |
| KR20040088137A (ko) | 전송 암호화키 값 생성방법과 이를 적용한 상호인증보안방법 | |
| CN114071418A (zh) | 一种基于机密计算的车联网认证协议方法 | |
| TWI818703B (zh) | 憑證請求方法、憑證簽發方法、憑證系統與其電腦可讀媒體 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 20903617 Country of ref document: EP Kind code of ref document: A1 |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| 122 | Ep: pct application non-entry in european phase |
Ref document number: 20903617 Country of ref document: EP Kind code of ref document: A1 |