CN107682160A - 一种生产设备的认证方法及装置、电子设备 - Google Patents
一种生产设备的认证方法及装置、电子设备 Download PDFInfo
- Publication number
- CN107682160A CN107682160A CN201711044886.XA CN201711044886A CN107682160A CN 107682160 A CN107682160 A CN 107682160A CN 201711044886 A CN201711044886 A CN 201711044886A CN 107682160 A CN107682160 A CN 107682160A
- Authority
- CN
- China
- Prior art keywords
- safety means
- authentication information
- signed
- key
- signature key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本公开揭示了一种生产设备的认证方法及装置、电子设备、计算机可读存储介质,该方法通过对安全设备的认证,表明安全设备所连接生产设备的合法性;该方法包括:向安全设备发出签名密钥对生成请求,并接收安全设备响应签名密钥对生成请求返回的签名公钥;根据签名公钥和安全设备的标识信息向许可证服务器发起签名请求;接收许可证服务器响应签名请求返回的签发认证信息,签发认证信息是许可证服务器根据签名公钥和安全设备的标识信息生成的;对签发认证信息进行验签,验签成功后将签发认证信息保存至安全设备,完成安全设备所连接生产设备的合法性认证。本公开提供的技术方案,借助安全设备,实现了生产设备的离线认证。
Description
技术领域
本公开涉及物联网安全技术领域,特别涉及一种生产设备的认证方法及装置、电子设备、计算机可读存储介质。
背景技术
数字证书是由证书授权认证中心(CA,Certificate Authority)发放并经认证中心数字签名的,包含公开密钥拥有者以及公开密钥相关信息的一种电子文件。数字证书与公钥密码体制紧密相关。在公钥密码体制中,每个实体都有一对互相匹配的密钥:公开密钥(Pubic Key公钥)和私有密钥(Private Key私钥)。公开密钥为一组用户所共享,用于加密或验证签名,私有密钥仅为证书拥有者本人所知,用于解密或签名。
现有数字证书的签发过程如下:
设备向CA服务器发出申请数字证书的请求,该请求中包括设备的公钥以及设备的一些相关信息(组织机构、产品ID等),CA服务器用自己的私钥,对设备的公钥和相关信息一起加密,生成“数字证书”(Digital Certificate),并将数字证书下发给设备,表面设备身份的合法性。
现有技术只能在线环境才能对设备的身份合法性进行认证,表明设备身份的合法性,如果设备不联网与CA服务器进行通信,则无法表明设备身份的合法性。
发明内容
为了解决相关技术中存在的只能在线环境才能对设备的身份合法性进行认证的问题,本公开提供了一种生产设备的认证方法。
一方面,本公开提供了一种生产设备的认证方法,所述方法通过对安全设备的认证,表明所述安全设备所连接生产设备的合法性;所述方法应用于许可证服务器,所述方法包括:
接收所连接的智能终端发送的签名请求,所述签名请求是所述智能终端通过向安全设备发送签名密钥对生成请求,并根据所述安全设备的标识信息和返回的签名公钥生成的;
响应所述签名请求,利用自身私钥组织待签名数据进行签名,得到签名数据;所述待签名数据包括所述许可证服务器公钥、所述签名公钥和所述安全设备的标识信息;
根据所述签名数据和待签名数据生成签发认证信息,并将所述签发认证信息发送至所述智能终端;
所述签发认证信息的发送,触发所述智能终端对所述签发认证信息进行验签,并在验签成功后将所述签发认证信息保存至所述安全设备,完成所述安全设备所连接生产设备的合法性认证。
另一方面,本公开还提供了一种生产设备的认证方法,所述方法通过对安全设备的认证,表明所述安全设备所连接生产设备的合法性;所述方法应用于许可证服务器,所述方法包括:
接收所连接的智能终端发送的签名请求,所述签名请求是所述智能终端通过向安全设备发送签名密钥对生成请求,并根据所述安全设备的标识信息和返回的签名公钥生成的;
响应所述签名请求,利用自身私钥组织待签名数据进行签名,得到签名数据;所述待签名数据包括所述许可证服务器公钥、所述签名公钥和所述安全设备的标识信息;
根据所述签名数据和待签名数据生成签发认证信息,并将所述签发认证信息发送至所述智能终端;
所述签发认证信息的发送,触发所述智能终端对所述签发认证信息进行验签,并在验签成功后将所述签发认证信息保存至所述安全设备,完成所述安全设备所连接生产设备的合法性认证。
进一步的,本公开提供了一种生产设备的认证装置,所述装置通过对安全设备的认证,表明所述安全设备所连接生产设备的合法性;所述装置包括:
密钥请求模块,用于向所述安全设备发出签名密钥对生成请求,并接收所述安全设备响应所述签名密钥对生成请求返回的签名公钥;
签名请求模块,用于根据所述签名公钥和所述安全设备的标识信息向许可证服务器发起签名请求;
认证接收模块,用于接收所述许可证服务器响应所述签名请求返回的签发认证信息,所述签发认证信息是所述许可证服务器根据所述签名公钥和安全设备的标识信息生成的;
验签保存模块,用于对所述签发认证信息进行验签,验签成功后将所述签发认证信息保存至所述安全设备,完成所述安全设备所连接生产设备的合法性认证。
更进一步的,本公开还提供了另一种生产设备的认证装置,所述装置通过对安全设备的认证,表明所述安全设备所连接生产设备的合法性;所述装置应用于许可证服务器,所述装置包括:
签名请求接收模块,用于接收所连接的智能终端发送的签名请求,所述签名请求是所述智能终端通过向安全设备发送签名密钥对生成请求,并根据所述安全设备的标识信息和返回的签名公钥生成的;
签名请求响应模块,用于响应所述签名请求,利用自身私钥组织待签名数据进行签名,得到签名数据;所述待签名数据包括所述许可证服务器公钥、所述签名公钥和所述安全设备的标识信息;
认证信息发送模块,用于根据所述签名数据和待签名数据生成签发认证信息,并将所述签发认证信息发送至所述智能终端;
所述签发认证信息的发送,触发所述智能终端对所述签发认证信息进行验签,并在验签成功后将所述签发认证信息保存至所述安全设备,完成所述安全设备所连接生产设备的合法性认证。
此外,本公开还提供了一种电子设备,所述电子设备包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行上述生产设备的认证方法。
进一步的,本公开还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序可由处理器执行完成上述生产设备的认证方法。
本公开的实施例提供的技术方案可以包括以下有益效果:
本公开上述示例性实施例提供的方案,借助安全设备,通过对安全设备进行认证,表明安全设备所连接生产设备的合法性,即使在生产设备离线状态下,也可以通过对安全设备进行认证,将签发认证信息存储在安全设备中,使与安全设备连接的生产设备也可以获取到安全设备中的签发认证信息,表明生产设备的合法性。克服了现有技术必须在生产设备联网状态下,才能完成对生产设备的合法性认证的缺陷。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并于说明书一起用于解释本发明的原理。
图1是根据本公开所涉及的实施环境的示意图;
图2是根据一示例性实施例示出的一种装置的框图;
图3是根据一示例性实施例示出的一种生产设备的认证方法的流程图;
图4是图3对应实施例的步骤310的流程图;
图5是根据一示例性实施例示出的一种生产设备的认证方法的详细流程图;
图6是图3对应实施例的步骤330的流程图;
图7是图3对应实施例的步骤340的流程图;
图8是根据另一示例性实施例示出的一种生产设备的认证方法的流程图;
图9是根据一示例性实施例示出的一种生产设备的认证装置的框图;
图10是图9对应实施例中的密钥请求模块的细节框图;
图11是根据另一示例性实施例示出的一种生产设备的认证装置的框图。
具体实施方式
这里将详细地对示例性实施例执行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
图1是根据本公开所涉及的实施环境的示意图。该实施环境包括:安全设备110、智能终端120和许可证服务器130。许可证服务器即为证书授权认证中心(CA,CertificateAuthority)服务器。
智能终端120与许可证服务器130之间的关联方式,包括硬件的网络关联方式和/或协议,以及二者之间往来的数据关联方式。安全设备110与智能终端120之间采用USB连接或无线(如蓝牙、4G、wifi)连接。举例来说,智能终端120可以是电脑,安全设备110通过USB接口直接插在电脑主机上就可以实现与智能终端120的连接,完成安全设备110的认证。在完成安全设备110的认证后,可以将安全设备110连接至生产设备,从而连接了安全设备110的生产设备可以认为是受CA服务器信任的设备,可以表明生产设备的合法性。
图2是根据一示例性实施例示出的一种装置200的框图。例如,装置200可以是图1所示实施环境中的智能终端120。智能终端120比如可以是笔记本电脑或台式电脑。
参照图2,装置200可以包括以下一个或多个组件:处理组件202,存储器204,电源组件206,多媒体组件208,音频组件210,传感器组件214以及通信组件216。
处理组件202通常控制装置200的整体操作,诸如与显示,电话呼叫,数据通信,相机操作以及记录操作相关联的操作等。处理组件202可以包括一个或多个处理器218来执行指令,以完成下述的方法的全部或部分步骤。此外,处理组件202可以包括一个或多个模块,便于处理组件202和其他组件之间的交互。例如,处理组件202可以包括多媒体模块,以方便多媒体组件208和处理组件202之间的交互。
存储器204被配置为存储各种类型的数据以支持在装置200的操作。这些数据的示例包括用于在装置200上操作的任何应用程序或方法的指令。存储器204可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(Static RandomAccess Memory,简称SRAM),电可擦除可编程只读存储器(Electrically ErasableProgrammable Read-Only Memory,简称EEPROM),可擦除可编程只读存储器(ErasableProgrammable Read Only Memory,简称EPROM),可编程只读存储器(Programmable Red-Only Memory,简称PROM),只读存储器(Read-Only Memory,简称ROM),磁存储器,快闪存储器,磁盘或光盘。存储器204中还存储有一个或多个模块,该一个或多个模块被配置成由该一个或多个处理器218执行,以完成下述图3-图7任一所示方法中的全部或者部分步骤。
电源组件206为装置200的各种组件提供电力。电源组件206可以包括电源管理***,一个或多个电源,及其他与为装置200生成、管理和分配电力相关联的组件。
多媒体组件208包括在所述装置200和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括液晶显示器(Liquid Crystal Display,简称LCD)和触摸面板。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与所述触摸或滑动操作相关的持续时间和压力。屏幕还可以包括有机电致发光显示器(Organic Light Emitting Display,简称OLED)。
音频组件210被配置为输出和/或输入音频信号。例如,音频组件210包括一个麦克风(Microphone,简称MIC),当装置200处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器204或经由通信组件216发送。在一些实施例中,音频组件210还包括一个扬声器,用于输出音频信号。
传感器组件214包括一个或多个传感器,用于为装置200提供各个方面的状态评估。例如,传感器组件214可以检测到装置200的打开/关闭状态,组件的相对定位,传感器组件214还可以检测装置200或装置200一个组件的位置改变以及装置200的温度变化。在一些实施例中,该传感器组件214还可以包括磁传感器,压力传感器或温度传感器。
通信组件216被配置为便于装置200和其他设备之间有线或无线方式的通信。装置200可以接入基于通信标准的无线网络,如WiFi(WIreless-Fidelity,无线保真)。在一个示例性实施例中,通信组件216经由广播信道接收来自外部广播管理***的广播信号或广播相关信息。在一个示例性实施例中,所述通信组件216还包括近场通信(Near FieldCommunication,简称NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RadioFrequency Identification,简称RFID)技术,红外数据协会(Infrared DataAssociation,简称IrDA)技术,超宽带(Ultra Wideband,简称UWB)技术,蓝牙技术和其他技术来实现。
在示例性实施例中,装置200可以被一个或多个应用专用集成电路(ApplicationSpecific Integrated Circuit,简称ASIC)、数字信号处理器、数字信号处理设备、可编程逻辑器件、现场可编程门阵列、控制器、微控制器、微处理器或其他电子元件实现,用于执行下述方法。
图3是根据一示例性实施例示出的一种生产设备的认证方法的流程图。该生产设备的认证方法的适用范围和执行主体,例如,该方法用于图1所示实施环境的智能终端120。需要说明的是,该生产设备的认证方法通过对安全设备110的认证,表明安全设备110所连接生产设备的合法性,从而即使在生产设备处于离线状态时也可以表明生产设备的合法性性。如图3所示,该生产设备的认证方法可以由智能终端120执行,可以包括以下步骤。
在步骤310中,向所述安全设备发出签名密钥对生成请求,并接收所述安全设备响应所述签名密钥对生成请求返回的签名公钥;
需要说明的是,现有技术中对生产设备的合法性认证必须在生产设备联网状态下,由生产设备向CA服务器进行签章申请,如果生产设备离线,则不能与CA服务器进行通信,进而不能完成生产设备的合法性认证。物联网安全越来越严峻,目前主要的防护均体现在对网络数据的过滤,没有体现到生产管理以及证书签发的过程。
本公开示例性实施例通过对安全设备110的认证,使安全设备110为受CA服务器信任的设备,从而连接了安全设备110的生产设备可以认为是受到CA服务器认证的设备。具体的,安全设备110可以是USB KEY(USB接口的硬件设备),智能终端120中安装了签发客户端,该签发客户端采用本公开示例性实施例提供的方法,可以进行安全设备110的认证,从而表明安全设备110所连接生产设备的合法性。
其中,如图4所示,步骤310具体包括:
在步骤311中,向所述安全设备发出签名密钥对生成请求,触发所述安全设备生成签名密钥对;
在步骤312中,接收所述安全设备返回的所述签名密钥对中的签名公钥。
如图5所示,智能终端120向安全设备110发送ECC256(表示采用ECC加密算法生成长度为256比特的密钥)签名密钥对生成请求(参见图5中步骤1),安全设备110接收到签名密钥对生成请求后,生成签名密钥对。其中,签名密钥对包括安全设备的110的签名公钥和私钥。安全设备110将其中的签名公钥(U_PublicKey)返回给智能设备120(参见图5中步骤2)。
在步骤320中,根据所述签名公钥和所述安全设备的标识信息向许可证服务器发起签名请求;
如图5所示,智能终端120组织安全设备110的公钥(U_PublicKey)和厂商ID(即安全设备110的标识信息),向CA服务器(即许可证服务器130)发起签名请求(参见图5中步骤3)。
在步骤330中,接收所述许可证服务器响应所述签名请求返回的签发认证信息,所述签发认证信息是所述许可证服务器根据所述签名公钥和安全设备的标识信息生成的;
其中,如图6所示,步骤330具体包括:
在步骤331中,所述签名请求的发送,触发所述许可证服务器利用自身私钥组织待签名数据进行签名,得到签名数据;所述待签名数据包括所述许可证服务器公钥、所述签名公钥和安全设备的标识信息;
如图5所示,CA服务器接收到签名请求后,组织待签名数据(U_PreSignData)利用CA服务器私钥进行签名(即加密),得到签名数据(U_SignData)(参见图5中步骤4)。其中,待签名数据U_PreSignData=Version|VID|U_PublicKey|S_PublicKey。Version表示CA服务器的版本号,可以直接读取。VID表示安全设备110的标识信息(如厂商ID),U_PublicKey表示安全设备的签名公钥,S_PublicKey表示CA服务器公钥。需要说明的是,本公开可能涉及的加密解密方法均属于现有技术,本公开对此不做限定。
在步骤332中,接收所述许可证服务器根据所述签名数据和待签名数据生成的签发认证信息。
具体的,CA服务器结合签名数据(U_SignData)和待签名数据(U_PreSignData),生成签发认证信息(U_AuthInfo=U_PreSignData|U_SignData)。签发认证信息可以由待签名数据和签名数据拼接而成。如图5所示,CA服务器将该签发认证信息下发至智能终端120,智能终端120接收签发认证信息(参见图5中步骤5)。
在步骤340中,对所述签发认证信息进行验签,验签成功后将所述签发认证信息保存至所述安全设备,完成所述安全设备所连接生产设备的合法性认证。
如图5所示,智能终端120接收到签发认证信息后,对签发认证信息进行验签(参见图5中步骤6)。验签就是解密然后对比明文。验签成功后将签发认证信息下发至安全设备110(参见图5中步骤7),由安全设备110对安全认证信息进行存储(参见图5中步骤8)。
具体的,如图7所示,上述步骤340具体包括:
在步骤341中,根据所述许可证服务器的公钥对所述签发认证信息进行解密,得到解密数据;
需要说明的是,由于签名数据有CA服务器的私钥进行加密,因此通过CA服务器的公钥对签名数据进行解密,得到解密数据。
在步骤342中,对比所述解密数据和待签名数据;如果一致,表示验签成功,将所述签发认证信息保存至所述安全设备。
通过比对解密数据和待签名数据,如果比对一致,表示安全设备110经过了CA服务器的认证,可以将签发认证信息作为数字证书保存至安全设备110。
经过上述对安全设备110的认证,安全设备即为受CA服务器信任的设备。从而与安全设备连接的生产设备也可以认为是合法的。
在生产环节,可以通过对安全设备110中存储的签发认证信息进行验签,获取到CA服务器的公钥,并将CA服务器的公钥烧录到需要连接到物联网云的生产设备中,进而生产设备可以与云服务器进行密钥协商,连接至相应的云服务器。
由于现有技术必须在生产设备联网状态下,才能由CA服务器完成对生产设备的合法性认证。本公开上述示例性实施例提供的方案,借助安全设备110,通过对安全设备110进行认证,表明安全设备110所连接生产设备的合法性,即使在生产设备离线状态下,也可以通过对安全设备110进行认证,将签发认证信息存储在安全设备110中,使与安全设备110连接的生产设备也可以获取到安全设备中的签发认证信息,表明生产设备的合法性。
如图8所示,本公开另一示例性实施例还提供了一种生产设备的认证方法,所述方法应用于许可证服务器130,该许可证服务器即上述示例性实施例中的CA服务器。所述方法通过对安全设备的认证,表明所述安全设备所连接生产设备的合法性;所述方法可以由CA服务器执行,具体可以包括以下步骤。
在步骤810中,接收所连接的智能终端发送的签名请求,所述签名请求是所述智能终端通过向安全设备发送签名密钥对生成请求,并根据所述安全设备的标识信息和返回的签名公钥生成的;
具体的,智能终端120通过向安全设备110发送签名密钥对生成请求,触发安全设备110生成签名密钥对。其中,签名密钥对包括签名公钥和私钥。安全设备110将签名公钥返回给智能设备120。智能终端120组织安全设备的标识信息(如厂商ID)和签名公钥向CA服务器发送签名请求,CA服务器接收签名请求。
在步骤820中,响应所述签名请求,利用自身私钥组织待签名数据进行签名,得到签名数据;所述待签名数据包括所述许可证服务器公钥、所述签名公钥和所述安全设备的标识信息;
具体的,CA服务器对签名请求作出响应,组织待签名数据(U_PreSignData=Version|VID|U_PublicKey|S_PublicKey)利用CA服务器私钥对待签名数据进行签名(即加密),得到签名数据(U_SignData)。Version表示CA服务器的版本号,可以直接读取。VID表示安全设备110的标识信息(如厂商ID),U_PublicKey表示安全设备的签名公钥,S_PublicKey表示CA服务器公钥。
在步骤830中,根据所述签名数据和待签名数据生成签发认证信息,并将所述签发认证信息发送至所述智能终端;
具体的,CA服务器可以通过拼接签名数据(U_SignData)和待签名数据(U_PreSignData)生成签发认证信息(U_AuthInfo=U_PreSignData|U_SignData),之后将签发认证信息下发至智能终端120。
在步骤840中,所述签发认证信息的发送,触发所述智能终端对所述签发认证信息进行验签,并在验签成功后将所述签发认证信息保存至所述安全设备,完成所述安全设备所连接生产设备的合法性认证。
具体的,智能终端120接收到签发认证信息后,对签发认证信息进行验签(即解密后对比明文),并在验签成功后,将签发认证信息保存至安全设备110,从而安全设备110为受CA服务器信任的设备,表明与安全设备110连接的生产设备合法,完成生产设备的认证。
下述为本公开装置实施例,可以用于执行本公开上述智能终端120执行的生产设备的认证方法实施例。对于本公开装置实施例中未披露的细节,请参照本公开生产设备的认证方法实施例。
图9是根据一示例性实施例示出的一种生产设备的认证装置的框图,该生产设备的认证装置可以用于图1所示实施环境的智能终端120中,执行图3-图7任一所示的生产设备的认证方法的全部或者部分步骤。所述装置通过对安全设备的认证,表明所述安全设备所连接生产设备的合法性,如图9所示,该认证装置包括但不限于:密钥请求模块910、签名请求模块920、认证接收模块930、验签保存模块940;
密钥请求模块910,用于向所述安全设备发出签名密钥对生成请求,并接收所述安全设备响应所述签名密钥对生成请求返回的签名公钥;
签名请求模块920,用于根据所述签名公钥和所述安全设备的标识信息向许可证服务器发起签名请求;
认证接收模块930,用于接收所述许可证服务器响应所述签名请求返回的签发认证信息,所述签发认证信息是所述许可证服务器根据所述签名公钥和安全设备的标识信息生成的;
验签保存模块940,用于对所述签发认证信息进行验签,验签成功后将所述签发认证信息保存至所述安全设备,完成所述安全设备所连接生产设备的合法性认证。
上述装置中各个模块的功能和作用的实现过程具体详见上述生产设备的认证方法中对应步骤的实现过程,在此不再赘述。
密钥请求模块910比如可以是图2中的某一个物理结构通信组件216。
签名请求模块920、认证接收模块930、验签保存模块940也可以是功能模块,用于执行上述生产设备的认证方法中的对应步骤。可以理解,这些模块可以通过硬件、软件、或二者结合来实现。当以硬件方式实现时,这些模块可以实施为一个或多个硬件模块,例如一个或多个专用集成电路。当以软件方式实现时,这些模块可以实施为在一个或多个处理器上执行的一个或多个计算机程序,例如图2的处理器218所执行的存储在存储器204中的程序。
可选的,如图10所示,所述密钥请求模块910包括:
请求发送单元911,用于向所述安全设备发出签名密钥对生成请求,触发所述安全设备生成签名密钥对;
公钥接收单元912,用于接收所述安全设备返回的所述签名密钥对中的签名公钥。
图11是根据另一示例性实施例示出的一种生产设备的认证装置的框图,该生产设备的认证装置可以用于图1所示实施环境的许可证服务器130中,执行图8所示的生产设备的认证方法的步骤。所述装置通过对安全设备110的认证,表明所述安全设备110所连接生产设备的合法性,如图11所示,该生产设备的认证装置包括但不限于:签名请求接收模块1110、签名请求响应模块1120、认证信息发送模块1130。
签名请求接收模块1110,用于接收所连接的智能终端发送的签名请求,所述签名请求是所述智能终端通过向安全设备发送签名密钥对生成请求,并根据所述安全设备的标识信息和返回的签名公钥生成的;
签名请求响应模块1120,用于响应所述签名请求,利用自身私钥组织待签名数据进行签名,得到签名数据;所述待签名数据包括所述许可证服务器公钥、所述签名公钥和所述安全设备的标识信息;
认证信息发送模块1130,用于根据所述签名数据和待签名数据生成签发认证信息,并将所述签发认证信息发送至所述智能终端;
所述签发认证信息的发送,触发所述智能终端对所述签发认证信息进行验签,并在验签成功后将所述签发认证信息保存至所述安全设备,完成所述安全设备所连接生产设备的合法性认证。
上述装置中各个模块的功能和作用的实现过程具体详见图8以及上述生产设备的认证方法中对应步骤的实现过程,在此不再赘述。
可选的,本公开还提供一种电子设备,该电子设备可以用于图1所示实施环境的智能终端110中,执行图3-图7任一所示的生产设备的认证方法的全部或者部分步骤。该电子设备也可以用于图1所示实施环境的许可证服务器130中,执行图8所示的生产设备的认证方法。所述电子设备包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行上述示例性实施例所述的生产设备的认证方法。
该实施例中电子设备的处理器执行操作的具体方式已经在有关该生产设备的认证方法的实施例中执行了详细描述,此处将不做详细阐述说明。
在示例性实施例中,还提供了一种存储介质,该存储介质为计算机可读存储介质,例如可以为包括指令的临时性和非临时性计算机可读存储介质。该存储介质存储有计算机程序,所述计算机程序可由装置200的处理器218执行以完成上述生产设备的认证方法。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围执行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
Claims (10)
1.一种生产设备的认证方法,其特征在于,所述方法通过对安全设备的认证,表明所述安全设备所连接生产设备的合法性;所述方法包括:
向所述安全设备发出签名密钥对生成请求,并接收所述安全设备响应所述签名密钥对生成请求返回的签名公钥;
根据所述签名公钥和所述安全设备的标识信息向许可证服务器发起签名请求;
接收所述许可证服务器响应所述签名请求返回的签发认证信息,所述签发认证信息是所述许可证服务器根据所述签名公钥和安全设备的标识信息生成的;
对所述签发认证信息进行验签,验签成功后将所述签发认证信息保存至所述安全设备,完成所述安全设备所连接生产设备的合法性认证。
2.根据权利要求1所述的方法,其特征在于,所述向安全设备发出签名密钥对生成请求,并接收所述安全设备响应所述签名密钥对生成请求返回的签名公钥,包括:
向所述安全设备发出签名密钥对生成请求,触发所述安全设备生成签名密钥对;
接收所述安全设备返回的所述签名密钥对中的签名公钥。
3.根据权利要求1所述的方法,其特征在于,所述接收所述许可证服务器响应所述签名请求返回的签发认证信息,所述签发认证信息是所述许可证服务器根据所述签名公钥和安全设备的标识信息生成的,包括:
所述签名请求的发送,触发所述许可证服务器利用自身私钥组织待签名数据进行签名,得到签名数据;所述待签名数据包括所述许可证服务器公钥、所述签名公钥和安全设备的标识信息;
接收所述许可证服务器根据所述签名数据和待签名数据生成的签发认证信息。
4.根据权利要求1所述的方法,其特征在于,所述对签发认证信息进行验签,验签成功后将所述签发认证信息保存至所述安全设备,包括:
根据所述许可证服务器的公钥对所述签发认证信息进行解密,得到解密数据;
对比所述解密数据和待签名数据;如果一致,表示验签成功,将所述签发认证信息保存至所述安全设备。
5.一种生产设备的认证方法,其特征在于,所述方法通过对安全设备的认证,表明所述安全设备所连接生产设备的合法性;所述方法应用于许可证服务器,所述方法包括:
接收所连接的智能终端发送的签名请求,所述签名请求是所述智能终端通过向安全设备发送签名密钥对生成请求,并根据所述安全设备的标识信息和返回的签名公钥生成的;
响应所述签名请求,利用自身私钥组织待签名数据进行签名,得到签名数据;所述待签名数据包括所述许可证服务器公钥、所述签名公钥和所述安全设备的标识信息;
根据所述签名数据和待签名数据生成签发认证信息,并将所述签发认证信息发送至所述智能终端;
所述签发认证信息的发送,触发所述智能终端对所述签发认证信息进行验签,并在验签成功后将所述签发认证信息保存至所述安全设备,完成所述安全设备所连接生产设备的合法性认证。
6.一种生产设备的认证装置,其特征在于,所述装置通过对安全设备的认证,表明所述安全设备所连接生产设备的合法性;所述装置包括:
密钥请求模块,用于向所述安全设备发出签名密钥对生成请求,并接收所述安全设备响应所述签名密钥对生成请求返回的签名公钥;
签名请求模块,用于根据所述签名公钥和所述安全设备的标识信息向许可证服务器发起签名请求;
认证接收模块,用于接收所述许可证服务器响应所述签名请求返回的签发认证信息,所述签发认证信息是所述许可证服务器根据所述签名公钥和安全设备的标识信息生成的;
验签保存模块,用于对所述签发认证信息进行验签,验签成功后将所述签发认证信息保存至所述安全设备,完成所述安全设备所连接生产设备的合法性认证。
7.根据权利要求6所述的装置,其特征在于,所述密钥请求模块包括:
请求发送单元,用于向所述安全设备发出签名密钥对生成请求,触发所述安全设备生成签名密钥对;
公钥接收单元,用于接收所述安全设备返回的所述签名密钥对中的签名公钥。
8.一种生产设备的认证装置,其特征在于,所述装置通过对安全设备的认证,表明所述安全设备所连接生产设备的合法性;所述装置应用于许可证服务器,所述装置包括:
签名请求接收模块,用于接收所连接的智能终端发送的签名请求,所述签名请求是所述智能终端通过向安全设备发送签名密钥对生成请求,并根据所述安全设备的标识信息和返回的签名公钥生成的;
签名请求响应模块,用于响应所述签名请求,利用自身私钥组织待签名数据进行签名,得到签名数据;所述待签名数据包括所述许可证服务器公钥、所述签名公钥和所述安全设备的标识信息;
认证信息发送模块,用于根据所述签名数据和待签名数据生成签发认证信息,并将所述签发认证信息发送至所述智能终端;
所述签发认证信息的发送,触发所述智能终端对所述签发认证信息进行验签,并在验签成功后将所述签发认证信息保存至所述安全设备,完成所述安全设备所连接生产设备的合法性认证。
9.一种电子设备,其特征在于,所述电子设备包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行权利要求1-5任意一项所述的生产设备的认证方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序可由处理器执行完成权利要求1-5任意一项所述的生产设备的认证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711044886.XA CN107682160B (zh) | 2017-10-31 | 2017-10-31 | 一种生产设备的认证方法及装置、电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711044886.XA CN107682160B (zh) | 2017-10-31 | 2017-10-31 | 一种生产设备的认证方法及装置、电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107682160A true CN107682160A (zh) | 2018-02-09 |
| CN107682160B CN107682160B (zh) | 2020-08-28 |
Family
ID=61142940
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711044886.XA Active CN107682160B (zh) | 2017-10-31 | 2017-10-31 | 一种生产设备的认证方法及装置、电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107682160B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109902450A (zh) * | 2019-03-14 | 2019-06-18 | 成都安恒信息技术有限公司 | 一种离线许可签发管理的方法 |
| CN110247884A (zh) * | 2018-11-21 | 2019-09-17 | 浙江大华技术股份有限公司 | 一种更新证书的方法、装置、***及计算机可读存储介质 |
| CN110324283A (zh) * | 2018-03-30 | 2019-10-11 | 中移(苏州)软件技术有限公司 | 基于非对称加密的许可方法、装置及*** |
| CN111680334A (zh) * | 2020-06-11 | 2020-09-18 | 深圳市网心科技有限公司 | 一种磁盘安全访问方法、装置、设备、介质 |
| CN111949967A (zh) * | 2020-08-31 | 2020-11-17 | Oppo广东移动通信有限公司 | 设备认证方法、装置、电子设备、服务器及存储介质 |
| CN113609213A (zh) * | 2021-07-01 | 2021-11-05 | 深圳数字电视国家工程实验室股份有限公司 | 设备密钥的同步方法、***、设备和存储介质 |
| CN115987636A (zh) * | 2022-12-22 | 2023-04-18 | 北京深盾科技股份有限公司 | 一种信息安全的实现方法、装置及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080270786A1 (en) * | 2007-04-30 | 2008-10-30 | Brickell Ernest F | Apparatus and method for direct anonymous attestation from bilinear maps |
| CN101420413A (zh) * | 2007-10-25 | 2009-04-29 | 华为技术有限公司 | 会话密钥协商方法、网络***、认证服务器及网络设备 |
| CN101567780A (zh) * | 2009-03-20 | 2009-10-28 | 武汉理工大学 | 一种针对加密数字证书的密钥管理与恢复方法 |
| CN101778102A (zh) * | 2009-12-31 | 2010-07-14 | 卓望数码技术(深圳)有限公司 | 一种传感器的安全认证方法、传感器及其认证*** |
| CN101938520A (zh) * | 2010-09-07 | 2011-01-05 | 中兴通讯股份有限公司 | 一种基于移动终端签名的远程支付***及方法 |
| CN107196922A (zh) * | 2017-05-03 | 2017-09-22 | 国民认证科技(北京)有限公司 | 身份认证方法、用户设备和服务器 |
-
2017
- 2017-10-31 CN CN201711044886.XA patent/CN107682160B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080270786A1 (en) * | 2007-04-30 | 2008-10-30 | Brickell Ernest F | Apparatus and method for direct anonymous attestation from bilinear maps |
| CN101420413A (zh) * | 2007-10-25 | 2009-04-29 | 华为技术有限公司 | 会话密钥协商方法、网络***、认证服务器及网络设备 |
| CN101567780A (zh) * | 2009-03-20 | 2009-10-28 | 武汉理工大学 | 一种针对加密数字证书的密钥管理与恢复方法 |
| CN101778102A (zh) * | 2009-12-31 | 2010-07-14 | 卓望数码技术(深圳)有限公司 | 一种传感器的安全认证方法、传感器及其认证*** |
| CN101938520A (zh) * | 2010-09-07 | 2011-01-05 | 中兴通讯股份有限公司 | 一种基于移动终端签名的远程支付***及方法 |
| CN107196922A (zh) * | 2017-05-03 | 2017-09-22 | 国民认证科技(北京)有限公司 | 身份认证方法、用户设备和服务器 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110324283A (zh) * | 2018-03-30 | 2019-10-11 | 中移(苏州)软件技术有限公司 | 基于非对称加密的许可方法、装置及*** |
| CN110324283B (zh) * | 2018-03-30 | 2021-08-06 | 中移(苏州)软件技术有限公司 | 基于非对称加密的许可方法、装置及*** |
| CN110247884A (zh) * | 2018-11-21 | 2019-09-17 | 浙江大华技术股份有限公司 | 一种更新证书的方法、装置、***及计算机可读存储介质 |
| CN109902450A (zh) * | 2019-03-14 | 2019-06-18 | 成都安恒信息技术有限公司 | 一种离线许可签发管理的方法 |
| CN109902450B (zh) * | 2019-03-14 | 2023-01-24 | 成都安恒信息技术有限公司 | 一种离线许可签发管理的方法 |
| CN111680334A (zh) * | 2020-06-11 | 2020-09-18 | 深圳市网心科技有限公司 | 一种磁盘安全访问方法、装置、设备、介质 |
| CN111680334B (zh) * | 2020-06-11 | 2023-05-09 | 深圳市网心科技有限公司 | 一种磁盘安全访问方法、装置、设备、介质 |
| CN111949967A (zh) * | 2020-08-31 | 2020-11-17 | Oppo广东移动通信有限公司 | 设备认证方法、装置、电子设备、服务器及存储介质 |
| CN113609213A (zh) * | 2021-07-01 | 2021-11-05 | 深圳数字电视国家工程实验室股份有限公司 | 设备密钥的同步方法、***、设备和存储介质 |
| CN113609213B (zh) * | 2021-07-01 | 2024-02-13 | 深圳数字电视国家工程实验室股份有限公司 | 设备密钥的同步方法、***、设备和存储介质 |
| CN115987636A (zh) * | 2022-12-22 | 2023-04-18 | 北京深盾科技股份有限公司 | 一种信息安全的实现方法、装置及存储介质 |
| CN115987636B (zh) * | 2022-12-22 | 2023-07-18 | 北京深盾科技股份有限公司 | 一种信息安全的实现方法、装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107682160B (zh) | 2020-08-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107682160A (zh) | 一种生产设备的认证方法及装置、电子设备 | |
| CN109472166B (zh) | 一种电子签章方法、装置、设备及介质 | |
| CN105050081B (zh) | 网络接入设备接入无线网络接入点的方法、装置和*** | |
| US7552322B2 (en) | Using a portable security token to facilitate public key certification for devices in a network | |
| CN105474573B (zh) | 用于同步并恢复参考模板的技术 | |
| WO2017177435A1 (zh) | 一种身份认证方法、终端及服务器 | |
| CA2813855C (en) | Methods and systems for conducting smart card transactions | |
| CN108768664A (zh) | 密钥管理方法、装置、***、存储介质和计算机设备 | |
| US20100042848A1 (en) | Personalized I/O Device as Trusted Data Source | |
| CN104283688B (zh) | 一种USBKey安全认证***及安全认证方法 | |
| US10158493B2 (en) | Solution for generating and issuing security codes with guaranteed issuer authenticity and origin | |
| CN109992949A (zh) | 一种设备认证方法、空中写卡方法及设备认证装置 | |
| CN110299996A (zh) | 认证方法、设备及*** | |
| CN105701873B (zh) | 一种非接触式考勤记录方法及考勤记录*** | |
| CN107743067A (zh) | 数字证书的颁发方法、***、终端以及存储介质 | |
| CN108696361B (zh) | 智能卡的配置方法、生成方法及装置 | |
| CN110519268A (zh) | 基于区块链的投票方法、装置、设备、***及存储介质 | |
| JP2015162694A (ja) | 商品認証システム、認証サーバ及び商品認証方法 | |
| CN108898388B (zh) | 支付方法及装置 | |
| CN109636622A (zh) | 一种基于区块链的基金数据共享方法、***及电子设备 | |
| CN104065648A (zh) | 一种语音通话的数据处理方法 | |
| CN106789977B (zh) | 一种基于密钥分割实现手机令牌的方法及*** | |
| CN111709747B (zh) | 智能终端认证方法及*** | |
| CN113904830B (zh) | 一种spa认证的方法、装置、电子设备和可读存储介质 | |
| CA3227278A1 (en) | Methods and systems for generating and validating uses of digital credentials and other documents |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |