CN111147471A - 一种终端入网认证方法、装置、***和存储介质 - Google Patents
一种终端入网认证方法、装置、***和存储介质 Download PDFInfo
- Publication number
- CN111147471A CN111147471A CN201911329898.6A CN201911329898A CN111147471A CN 111147471 A CN111147471 A CN 111147471A CN 201911329898 A CN201911329898 A CN 201911329898A CN 111147471 A CN111147471 A CN 111147471A
- Authority
- CN
- China
- Prior art keywords
- terminal
- server
- network access
- access authentication
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供了一种终端入网认证方法、装置、***和存储介质,其中,所述方法包括:调用终端中间件的第一函数,根据入网认证类型生成入网认证请求信息,发送入网认证请求信息至服务器;调用终端中间件的第二函数对服务器返回的入网认证响应信息进行验证处理,若验证通过则生成入网认证确认信息,发送入网认证确认信息至服务器;第一函数的输入项包含第一密码设备的句柄,输出项包含终端随机数、终端签名证书和安全配置信息中的一种或多种;第二函数的输入项包含第一密码设备的句柄和入网认证响应信息,输出项包含入网认证确认信息。本发明实施例提高了终端入网的安全性,满足了不同入网认证类型的终端的入网认证需求。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种终端入网认证方法、装置、***和存储介质。
背景技术
目前,视频会议***通常强调会议的并发数、视频的清晰度、***的易用性、***的稳定性等功能指标。但是,***的安全性问题却被忽略。
相关技术中,视频会议终端利用注册的账户和口令登陆至视频会议服务器。账户和口令容易遗忘、被窃取等,给视频会议***造成了极大的安全隐患,视频会议终端入网认证的安全性较低。
发明内容
鉴于上述问题,提出了本发明实施例以便提供一种克服上述问题或者至少部分地解决上述问题的一种终端入网认证方法、装置、***和存储介质。
为了解决上述问题,根据本发明实施例的第一方面,公开了一种终端入网认证方法,应用于视联网中的终端,所述终端与所述视联网中的服务器通信连接,所述方法包括:调用预先配置的终端中间件的第一函数,根据所述终端的入网认证类型生成入网认证请求信息,所述入网认证类型包含实体终端类型、虚拟终端类型或快速入网类型,并发送所述入网认证请求信息至所述服务器;调用所述终端中间件的第二函数对所述服务器返回的入网认证响应信息进行验证处理,在验证通过的情况下生成入网认证确认信息,并发送所述入网认证确认信息至所述服务器;其中,所述第一函数的输入项包含与所述终端通信连接的第一密码设备的句柄,所述第一函数的输出项包含终端随机数、终端签名证书和安全配置信息中的一种或多种;所述第二函数的输入项包含所述第一密码设备的句柄和所述入网认证响应信息,所述第二函数的输出项包含所述入网认证确认信息。
可选地,所述调用预先配置的终端中间件的第一函数,根据所述终端的入网认证类型生成入网认证请求信息的步骤,包括:调用所述终端中间件的所述第一函数从与所述终端通信连接的所述第一密码设备中读取得到所述终端签名证书;根据所述终端签名证书、所述终端随机数和所述入网认证类型生成所述入网认证请求信息。
可选地,当所述入网认证类型为所述实体终端类型或所述虚拟终端类型时,所述根据所述终端签名证书、所述终端随机数和所述入网认证类型生成所述入网认证请求信息的步骤,包括:利用杂凑算法计算所述终端随机数的终端摘要值;利用所述终端签名证书中的终端签名私钥对所述终端摘要值进行签名操作得到终端签名值;将所述终端签名证书、所述终端摘要值和所述终端签名值封装为所述入网认证请求信息;当所述入网认证类型为所述快速入网类型时,所述根据所述终端签名证书、所述终端随机数和所述入网认证类型生成所述入网认证请求信息的步骤,包括:利用所述杂凑算法计算所述终端随机数的所述终端摘要值;利用所述终端签名证书中的所述终端签名私钥对所述终端摘要值进行签名操作得到所述终端签名值;将所述终端摘要值和所述终端签名值封装为所述入网认证请求信息。
可选地,所述调用所述终端中间件的第二函数对所述服务器返回的入网认证响应信息进行验证处理的步骤,包括:调用所述终端中间件的所述第二函数获取服务器签名证书,根据所述服务器签名证书对所述入网认证响应信息进行验证处理。
可选地,当所述入网认证类型为所述实体终端类型或所述虚拟终端类型时,所述调用所述终端中间件的所述第二函数获取服务器签名证书,根据所述服务器签名证书对所述入网认证响应信息进行验证处理的步骤,包括:调用所述终端中间件的所述第二函数从所述入网认证响应信息中解析得到所述服务器签名证书、服务器摘要值和服务器签名值;检验所述服务器签名证书是否合法和有效;在所述服务器签名证书合法且有效的情况下,利用所述服务器签名证书中的服务器签名公钥和所述服务器摘要值对所述服务器签名值进行验签操作;当所述入网认证类型为所述快速入网类型时,所述调用所述终端中间件的所述第二函数获取服务器签名证书,根据所述服务器签名证书对所述入网认证响应信息进行验证处理的步骤,包括:调用所述终端中间件的所述第二函数从所述第一密码设备中读取得到所述服务器签名证书;调用所述终端中间件的所述第二函数从所述入网认证响应信息中解析得到所述服务器摘要值和所述服务器签名值;利用所述服务器签名证书中的所述服务器签名公钥和所述服务器摘要值对所述服务器签名值进行验签操作。
可选地,当所述入网认证类型为所述实体终端类型或所述虚拟终端类型时,所述生成入网认证确认信息的步骤,包括:调用所述终端中间件的所述第二函数将所述终端签名证书、所述服务器签名证书、所述终端摘要值、所述服务器摘要值、所述终端签名值和所述服务器签名值封装为所述入网认证确认信息;当所述入网认证类型为所述快速入网类型时,所述生成入网认证确认信息的步骤,包括:调用所述终端中间件的所述第二函数将所述终端摘要值、所述服务器摘要值、所述终端签名值和所述服务器签名值封装为所述入网认证确认信息。
根据本发明实施例的第二方面,还公开了一种终端入网认证方法,应用于视联网中的服务器,所述服务器与所述视联网中的终端通信连接,所述方法包括:调用预先配置的服务器中间件的第三函数对来自所述终端的入网认证请求信息进行验证处理,所述入网认证请求信息包含所述终端的入网认证类型,所述入网认证类型包含实体终端类型、虚拟终端类型或快速入网类型;在对所述入网认证请求信息验证通过的情况下,调用所述服务器中间件的所述第三函数,根据所述入网认证类型生成入网认证响应信息,并发送所述入网认证响应信息至所述终端;调用所述服务器中间件的第四函数对所述入网认证确认信息进行验证处理,在对所述入网认证确认信息验证通过的情况下允许所述终端入网;其中,所述第三函数的输入项包含与所述服务器通信连接的第二密码设备的句柄、终端随机数和终端签名证书中的一种或多种,所述第三函数的输出项包含所述入网认证响应信息;所述第四函数的输入项包含所述第二密码设备的句柄和所述入网认证确认信息;所述第四函数的输出项包含对所述入网认证确认信息的验证结果。
可选地,所述调用预先配置的服务器中间件的第三函数对来自所述终端的入网认证请求信息进行验证处理的步骤,包括:调用所述服务器中间件的所述第三函数获取所述终端签名证书,根据所述终端签名证书对所述入网认证请求信息进行验证处理。
可选地,当所述入网认证类型为所述实体终端类型或所述虚拟终端类型时,所述调用所述服务器中间件的所述第三函数获取所述终端签名证书,根据所述终端签名证书对所述入网认证请求信息进行验证处理的步骤,包括:调用所述服务器中间件的所述第三函数从所述入网认证请求信息中解析得到所述终端签名证书、终端摘要值和终端签名值;检验所述终端签名证书是否合法和有效;在所述终端签名证书合法且有效的情况下,利用所述终端签名证书中的终端签名公钥和所述终端摘要值对所述终端签名值进行验签操作;当所述入网认证类型为所述快速入网类型时,所述调用所述服务器中间件的所述第三函数获取所述终端签名证书,根据所述终端签名证书对所述入网认证请求信息进行验证处理的步骤,包括:调用所述服务器中间件的所述第三函数从所述第二密码设备中读取得到所述终端签名证书;调用所述服务器中间件的所述第三函数从所述入网认证请求信息中解析得到所述终端摘要值和所述终端签名值;利用所述终端签名证书中的所述终端签名公钥和所述终端摘要值对所述终端签名值进行验签操作。
可选地,所述调用所述服务器中间件的所述第三函数,根据所述入网认证类型生成入网认证响应信息的步骤,包括:调用所述服务器中间件的所述第三函数从所述第二密码设备中读取得到服务器签名证书;根据所述服务器签名证书、所述服务器随机数和所述入网认证类型生成所述入网认证响应信息。
可选地,当所述入网认证类型为所述实体终端类型或所述虚拟终端类型时,所述根据所述服务器签名证书、所述服务器随机数和所述入网认证类型生成所述入网认证响应信息的步骤,包括:利用杂凑算法计算所述服务器随机数的服务器摘要值;利用所述服务器签名证书中的服务器签名私钥对所述服务器摘要值进行签名操作得到服务器签名值;将所述服务器签名证书、所述服务器摘要值和所述服务器签名值封装为所述入网认证响应信息;当所述入网认证类型为所述快速入网类型时,所述根据所述服务器签名证书、所述服务器随机数和所述入网认证类型生成所述入网认证响应信息的步骤,包括:利用所述杂凑算法计算所述服务器随机数的所述服务器摘要值;利用所述服务器签名证书中的所述服务器签名私钥对所述服务器摘要值进行签名操作得到服务器签名值;将所述服务器摘要值和所述服务器签名值封装为所述入网认证响应信息。
可选地,所述调用所述服务器中间件的第四函数对所述入网认证确认信息进行验证处理的步骤,包括:调用所述服务器中间件的第四函数获取所述终端签名证书和所述服务器签名证书,根据所述终端签名证书和所述服务器签名证书对所述入网认证确认信息进行验证处理。
可选地,当所述入网认证类型为所述实体终端类型或所述虚拟终端类型时,所述调用所述服务器中间件的第四函数获取所述终端签名证书和所述服务器签名证书,根据所述终端签名证书和所述服务器签名证书对所述入网认证确认信息进行验证处理的步骤,包括:调用所述服务器中间件的第四函数从所述入网认证确认信息中解析得到所述终端签名证书、所述服务器签名证书、所述终端摘要值、所述服务器摘要值、所述终端签名值和所述服务器签名值;检验所述终端签名证书和所述服务器签名证书是否合法和有效;在所述终端签名证书和所述服务器签名证书均合法且有效的情况下,利用所述终端签名证书中的所述终端签名公钥和所述终端摘要值对所述终端签名值进行验签操作,利用所述服务器签名证书中的服务器签名公钥和所述服务器摘要值对所述服务器签名值进行验签操作;当所述入网认证类型为所述快速入网类型时,所述调用所述服务器中间件的第四函数获取所述终端签名证书和所述服务器签名证书,根据所述终端签名证书和所述服务器签名证书对所述入网认证确认信息进行验证处理的步骤,包括:调用所述服务器中间件的第四函数从所述第二密码设备中读取得到所述终端签名证书和所述服务器签名证书;调用所述服务器中间件的第四函数从所述入网认证确认信息中解析得到所述终端摘要值、所述服务器摘要值、所述终端签名值和所述服务器签名值;利用所述终端签名证书中的所述终端签名公钥和所述终端摘要值对所述终端签名值进行验签操作,并利用所述服务器签名证书中的所述服务器签名公钥和所述服务器摘要值对所述服务器签名值进行验签操作。
根据本发明实施例的第三方面,还公开了一种终端入网认证装置,应用于视联网中的终端,所述终端与所述视联网中的服务器通信连接,所述装置包括:入网认证请求模块,用于调用预先配置的终端中间件的第一函数,根据所述终端的入网认证类型生成入网认证请求信息,所述入网认证类型包含实体终端类型、虚拟终端类型或快速入网类型,并发送所述入网认证请求信息至所述服务器;入网认证确认模块,用于调用所述终端中间件的第二函数对所述服务器返回的入网认证响应信息进行验证处理,在验证通过的情况下生成入网认证确认信息,并发送所述入网认证确认信息至所述服务器;其中,所述第一函数的输入项包含与所述终端通信连接的第一密码设备的句柄,所述第一函数的输出项包含终端随机数、终端签名证书和安全配置信息中的一种或多种;所述第二函数的输入项包含所述第一密码设备的句柄和所述入网认证响应信息,所述第二函数的输出项包含所述入网认证确认信息。
可选地,所述入网认证请求模块,包括:终端签名证书读取模块,用于调用所述终端中间件的所述第一函数从与所述终端通信连接的所述第一密码设备中读取得到所述终端签名证书;请求信息生成模块,用于根据所述终端签名证书、所述终端随机数和所述入网认证类型生成所述入网认证请求信息。
可选地,当所述入网认证类型为所述实体终端类型或所述虚拟终端类型时,所述请求信息生成模块,包括:第一计算模块,用于利用杂凑算法计算所述终端随机数的终端摘要值;第一签名模块,用于利用所述终端签名证书中的终端签名私钥对所述终端摘要值进行签名操作得到终端签名值;第一封装模块,用于将所述终端签名证书、所述终端摘要值和所述终端签名值封装为所述入网认证请求信息;当所述入网认证类型为所述快速入网类型时,所述请求信息生成模块,包括:第二计算模块,用于利用所述杂凑算法计算所述终端随机数的所述终端摘要值;第二签名模块,用于利用所述终端签名证书中的所述终端签名私钥对所述终端摘要值进行签名操作得到所述终端签名值;第二封装模块,用于将所述终端摘要值和所述终端签名值封装为所述入网认证请求信息。
可选地,所述入网认证确认模块,用于调用所述终端中间件的所述第二函数获取服务器签名证书,根据所述服务器签名证书对所述入网认证响应信息进行验证处理。
可选地,当所述入网认证类型为所述实体终端类型或所述虚拟终端类型时,所述入网认证确认模块,包括:第一解析模块,用于调用所述终端中间件的所述第二函数从所述入网认证响应信息中解析得到所述服务器签名证书、服务器摘要值和服务器签名值;第一检验模块,用于检验所述服务器签名证书是否合法和有效;第一验签模块,用于在所述服务器签名证书合法且有效的情况下,利用所述服务器签名证书中的服务器签名公钥和所述服务器摘要值对所述服务器签名值进行验签操作;当所述入网认证类型为所述快速入网类型时,所述入网认证确认模块,包括:第二读取模块,用于调用所述终端中间件的所述第二函数从所述第一密码设备中读取得到所述服务器签名证书;第二解析模块,用于调用所述终端中间件的所述第二函数从所述入网认证响应信息中解析得到所述服务器摘要值和所述服务器签名值;第二验签模块,用于利用所述服务器签名证书中的所述服务器签名公钥和所述服务器摘要值对所述服务器签名值进行验签操作。
可选地,当所述入网认证类型为所述实体终端类型或所述虚拟终端类型时,所述入网认证确认模块,用于调用所述终端中间件的所述第二函数将所述终端签名证书、所述服务器签名证书、所述终端摘要值、所述服务器摘要值、所述终端签名值和所述服务器签名值封装为所述入网认证确认信息;当所述入网认证类型为所述快速入网类型时,所述入网认证确认模块,用于调用所述终端中间件的所述第二函数将所述终端摘要值、所述服务器摘要值、所述终端签名值和所述服务器签名值封装为所述入网认证确认信息。
根据本发明实施例的第四方面,还公开了一种终端入网认证装置,应用于视联网中的服务器,所述服务器与所述视联网中的终端通信连接,所述装置包括:入网认证验证模块,用于调用预先配置的服务器中间件的第三函数对来自所述终端的入网认证请求信息进行验证处理,所述入网认证请求信息包含所述终端的入网认证类型,所述入网认证类型包含实体终端类型、虚拟终端类型或快速入网类型;入网认证响应模块,用于在对所述入网认证请求信息验证通过的情况下,调用所述服务器中间件的所述第三函数,根据所述入网认证类型生成入网认证响应信息,并发送所述入网认证响应信息至所述终端;所述入网认证验证模块,还用于调用所述服务器中间件的第四函数对所述入网认证确认信息进行验证处理,在对所述入网认证确认信息验证通过的情况下允许所述终端入网;其中,所述第三函数的输入项包含与所述服务器通信连接的第二密码设备的句柄、终端随机数和终端签名证书中的一种或多种,所述第三函数的输出项包含所述入网认证响应信息;所述第四函数的输入项包含所述第二密码设备的句柄和所述入网认证确认信息;所述第四函数的输出项包含对所述入网认证确认信息的验证结果。
可选地,所述入网认证验证模块,用于调用所述服务器中间件的所述第三函数获取所述终端签名证书,根据所述终端签名证书对所述入网认证请求信息进行验证处理。
可选地,当所述入网认证类型为所述实体终端类型或所述虚拟终端类型时,所述入网认证验证模块,包括:第三解析模块,用于调用所述服务器中间件的所述第三函数从所述入网认证请求信息中解析得到所述终端签名证书、终端摘要值和终端签名值;第三检验模块,用于检验所述终端签名证书是否合法和有效;第三验签模块,用于在所述终端签名证书合法且有效的情况下,利用所述终端签名证书中的终端签名公钥和所述终端摘要值对所述终端签名值进行验签操作;当所述入网认证类型为所述快速入网类型时,所述入网认证验证模块,包括:第四读取模块,用于调用所述服务器中间件的所述第三函数从所述第二密码设备中读取得到所述终端签名证书;第四解析模块,用于调用所述服务器中间件的所述第三函数从所述入网认证请求信息中解析得到所述终端摘要值和所述终端签名值;第四验签模块,用于利用所述终端签名证书中的所述终端签名公钥和所述终端摘要值对所述终端签名值进行验签操作。
可选地,所述入网认证响应模块,包括:服务器签名证书读取模块,用于调用所述服务器中间件的所述第三函数从所述第二密码设备中读取得到服务器签名证书;响应信息生成模块,用于根据所述服务器签名证书、所述服务器随机数和所述入网认证类型生成所述入网认证响应信息。
可选地,当所述入网认证类型为所述实体终端类型或所述虚拟终端类型时,所述响应信息生成模块,包括:第三计算模块,用于利用杂凑算法计算所述服务器随机数的服务器摘要值;第三签名模块,用于利用所述服务器签名证书中的服务器签名私钥对所述服务器摘要值进行签名操作得到服务器签名值;第三封装模块,用于将所述服务器签名证书、所述服务器摘要值和所述服务器签名值封装为所述入网认证响应信息;当所述入网认证类型为所述快速入网类型时,所述响应信息生成模块,包括:第四计算模块,用于利用所述杂凑算法计算所述服务器随机数的所述服务器摘要值;第四签名模块,用于利用所述服务器签名证书中的所述服务器签名私钥对所述服务器摘要值进行签名操作得到服务器签名值;第四封装模块,用于将所述服务器摘要值和所述服务器签名值封装为所述入网认证响应信息。
可选地,所述入网认证验证模块,还用于调用所述服务器中间件的第四函数获取所述终端签名证书和所述服务器签名证书,根据所述终端签名证书和所述服务器签名证书对所述入网认证确认信息进行验证处理。
可选地,当所述入网认证类型为所述实体终端类型或所述虚拟终端类型时,所述第三解析模块,还用于调用所述服务器中间件的第四函数从所述入网认证确认信息中解析得到所述终端签名证书、所述服务器签名证书、所述终端摘要值、所述服务器摘要值、所述终端签名值和所述服务器签名值;所述第三检验模块,还用于检验所述终端签名证书和所述服务器签名证书是否合法和有效;所述第三验签模块,还用于在所述终端签名证书和所述服务器签名证书均合法且有效的情况下,利用所述终端签名证书中的所述终端签名公钥和所述终端摘要值对所述终端签名值进行验签操作,利用所述服务器签名证书中的服务器签名公钥和所述服务器摘要值对所述服务器签名值进行验签操作;当所述入网认证类型为所述快速入网类型时,所述第四读取模块,还用于调用所述服务器中间件的第四函数从所述第二密码设备中读取得到所述终端签名证书和所述服务器签名证书;所述第四解析模块,还用于调用所述服务器中间件的第四函数从所述入网认证确认信息中解析得到所述终端摘要值、所述服务器摘要值、所述终端签名值和所述服务器签名值;所述第四验签模块,还用于利用所述终端签名证书中的所述终端签名公钥和所述终端摘要值对所述终端签名值进行验签操作,并利用所述服务器签名证书中的所述服务器签名公钥和所述服务器摘要值对所述服务器签名值进行验签操作。
根据本发明实施例的第五方面,还公开了一种终端入网认证***,应用于视联网中,所述视联网包括终端和服务器,所述终端与所述服务器通信连接,其中,所述终端包括如第三方面所述的终端入网认证装置;所述服务器包括如第四方面所述的终端入网认证装置。
根据本发明实施例的第六方面,还公开了一种装置,包括:一个或多个处理器;和其上存储有指令的一个或多个机器可读介质,当由所述一个或多个处理器执行时,使得所述装置执行如第一方面和/或第二方面所述的终端入网认证方法。
根据本发明实施例的第七方面,还公开了一种计算机可读存储介质,其特征在于,其存储的计算机程序使得处理器执行如第一方面和/或第二方面所述的终端入网认证方法。
本发明实施例包括以下优点:
本发明实施例提供的终端入网认证方法,在视联网的终端中,调用终端中间件的第一函数,根据终端的入网认证类型生成入网认证请求信息,入网认证类型包含实体终端类型、虚拟终端类型或快速入网类型。发送入网认证请求信息至服务器,以便服务器在对入网认证请求信息验证通过的情况下返回入网认证响应信息。再调用终端中间件的第二函数对入网认证响应信息进行验证处理,在验证通过的情况下生成入网认证确认信息,并发送入网认证确认信息至服务器,以便服务器在对入网认证确认信息验证通过的情况下允许终端入网。
第一方面,本发明实施例根据终端的入网认证类型生成入网认证请求信息,该入网认证请求信息中不包含账户和口令,避免了账户和口令遗忘、被窃取等造成的安全隐患问题,增加了入网认证请求消息被破译、解析的难度,提高了终端入网的安全性。
第二方面,本发明实施例中的终端通过调用终端中间件的第一函数生成入网认证请求信息,调用终端中间件的第二函数对入网认证响应信息进行验证,并生成入网认证确认信息。在入网认证过程中增加了终端中间件,丰富了终端与服务器之间的交互层级,利用终端中间件中的第一函数生成入网认证请求信息,并利用终端中间件中的第二函数对入网认证响应信息进行验证并生成入网认证确认信息,简化了终端生成入网认证请求信息和入网认证确认信息,以及,对入网认证响应信息进行验证的步骤。
第三方面,终端的入网认证类型可以包含实体终端类型、虚拟终端类型或快速入网类型。根据入网认证类型可以生成各种类型的入网认证请求信息。为终端入网认证提供了多种类型的入网认证请求消息,满足了不同入网认证类型的终端的入网认证需求。
第四方面,服务器不仅对终端的入网认证请求信息和入网认证确认信息进行验证,终端还对服务器的入网认证响应信息进行验证,实现了终端和服务器的双向验证,提高了终端入网的安全性。
附图说明
图1是本发明的一种终端入网认证的流程示意图;
图2是本发明的一种终端入网认证方法实施例的步骤流程图;
图3是本发明的另一种终端入网认证方法实施例的步骤流程图;
图4是本发明的一种终端与服务器的双向认证示意图;
图5是本发明的一种视频会议***中终端入网认证方法实施例的步骤流程图;
图6是本发明的一种基于视联网的终端入网认证方法实施例的流程示意图;
图7是本发明的一种终端入网认证装置实施例的结构框图;
图8是本发明的另一种终端入网认证装置实施例的结构框图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
公钥基础设施(Pubic Key Infrastructure,KPI)是一种遵循标准的利用公钥加密技术为网络数据传输提供一套安全基础平台的技术和规范。使用KPI建立安全通信信任机制的基础是:任何需要进行安全服务的通信都建立在公钥的基础之上,而与公钥成对的私钥只掌握在通信的另一方。私钥对摘要值加密称之为签名操作;公钥对签名值解密操作后再与摘要值比对称之为验签操作。
如图1所示,本发明实施例中的终端在向服务器申请入网认证时,向服务器发送入网认证请求信息,服务器在对入网认证请求信息验证通过的情况下向终端返回入网认证响应信息。终端在对入网认证响应信息验证通过的情况下向服务器发送入网认证确认信息,服务器在对入网认证确认信息验证通过的情况下允许终端入网。其中,终端向服务器发送的入网认证请求信息可以由终端根据终端的入网认证类型生成所得。入网认证请求信息中不需要包含终端的账户和口令。
参照图2,示出了本发明的一种终端入网认证方法实施例的步骤流程图,该方法可以应用于视联网中的终端,该终端可以与视联网中的服务器通信连接。该方法具体可以包括如下步骤:
步骤201,调用预先配置的终端中间件的第一函数,根据终端的入网认证类型生成入网认证请求信息,并发送入网认证请求信息至服务器。
在本发明的实施例中,终端上可以连接有第一密码设备(如UKey),该UKey中预先存储有终端签名证书。终端签名证书中包含成对的终端签名公钥和终端签名私钥。终端中的应用程序可以调用终端中间件的第一函数,从UKey中获取终端签名证书。中间件是介于应用程序和***程序之间的一类软件,它使用***程序所提供的基础服务(功能),衔接网络上应用程序的各个部分或不同的应用,能够达到资源共享、功能共享的目的。终端中间件的第一函数中可以预先配置了访问UKey的接口等,简化了应用程序直接从UKey获取终端签名证书的步骤。在实际应用中,终端中的应用程序可以调用终端中间件的第一函数通过终端密码模块从UKey中获取终端签名证书。其中,终端密码模块为终端提供密码运算功能,例如,加密操作、签名操作等等。
在调用终端中间件的第一函数生成入网认证请求信息时,可以根据终端签名证书、终端随机数和终端的入网认证类型生成入网认证请求信息。
在本发明的实施例中,终端的入网认证类型可以包含实体终端类型、虚拟终端类型或快速入网类型。其中,实体终端类型表示终端为视联网中的实体终端。虚拟终端类型表示终端为视联网中的虚拟终端。快速入网类型属于业务层的一个概念,是一种临时入网认证策略。当终端的入网认证类型为实体终端类型或虚拟终端类型时,需要在终端与服务器之间互传证书;当终端的入网认证类型为快速入网类型时,不需要在终端与服务器之间互传证书。
本步骤201可以根据终端的不同的入网认证类型生成不同的入网认证请求信息,相应地,服务器也会按照终端的不同的入网认证类型对不同的入网认证请求信息进行验证处理,并返回不同的入网认证响应信息。无论生成的入网认证请求信息包含哪些数据,在各种入网认证请求信息均不包含账户和口令。
当入网认证类型为实体终端类型或虚拟终端类型时,生成入网认证请求信息的步骤可以包括:先利用杂凑算法计算终端随机数的终端摘要值。杂凑算法就是把任意长度的输入消息串转化成固定长度的输出消息串的一种算法。然后利用终端签名证书中的终端签名私钥对终端摘要值进行签名操作得到终端签名值。再将终端签名证书、终端摘要值和终端签名值封装为入网认证请求消息。在实际应用中,封装入网认证请求消息时,可以按照预先设定的“key-lenth-value”协议进行封装,即“key”分别表示终端签名证书、终端摘要值和终端签名值的标识。对应的“lenth”分别表示终端签名证书、终端摘要值和终端签名值的字节数。对应的“value”分别表示终端签名证书、终端摘要值和终端签名值的具体数值。
当入网认证类型为快速入网类型时,生成入网认证请求信息的步骤可以包括:先利用杂凑算法计算终端随机数的终端摘要值。然后利用终端签名证书中的终端签名私钥对终端摘要值进行签名操作得到终端签名值。再将终端摘要值和终端签名值按照“key-lenth-value”协议封装为入网认证请求消息。
在本发明的实施例中,第一函数的输入项可以包含第一密码设备的句柄,第一函数的输出项可以包含终端随机数、终端签名证书和安全配置信息中的一种或多种。
步骤202,调用终端中间件的第二函数对服务器返回的入网认证响应信息进行验证处理,在验证通过的情况下生成入网认证确认信息,并发送入网认证确认信息至服务器。
在本发明的实施例中,在对入网认证响应信息进行验证处理时,可以调用终端中间件的第二函数获取服务器签名证书,根据服务器签名证书对入网认证响应信息进行验证处理。
同理,根据不同的入网认证类型也会对入网认证响应信息进行不同的验证处理。
当入网认证类型为实体终端类型或虚拟终端类型时,可以调用终端中间件的第二函数从入网认证响应信息中按照“key-lenth-value”协议解析得到服务器签名证书、服务器摘要值和服务器签名值。然后,检验服务器签名证书是否合法和有效。在检验服务器签名证书是否合法和有效时,可以从服务器签名证书中解析得到服务器签名证书的签名值和有效期区间。根据终端上已存储的根证书公钥对服务器签名证书的签名值进行验证,若验证通过,则表示服务器签名证书为合法的服务器签名证书;若验证未通过,则表示服务器签名证书为不合法的服务器签名证书。再判断当前时间是否属于有效期区间,若属于,则表示服务器签名证书为有效的服务器签名证书;若不属于,则表示服务器签名证书为无效的服务器签名证书。在服务器签名证书合法且有效的情况下,从服务器签名证书中解析得到服务器签名公钥,并利用服务器签名公钥和服务器摘要值对服务器签名值进行验签操作。在利用服务器签名公钥和服务器摘要值对服务器签名值进行验签操作时,利用服务器签名公钥对服务器签名值进行解密,得到服务器解密结果,将服务器解密结果与服务器摘要值进行比较,若相同,则表示入网认证响应信息验证通过;若不相同,则表示入网认证响应信息验证未通过。
当入网认证类型为快速入网类型,可以调用终端中间件的第二函数从第一密码设备(如UKey)中读取得到服务器签名证书。并调用终端中间件的第二函数从入网认证响应信息中按照“key-lenth-value”协议解析得到服务器摘要值和服务器签名值,然后利用服务器签名证书中的服务器签名公钥和服务器摘要值对服务器签名值进行验签操作。
相应地,在生成入网认证确认信息时,也可以根据终端的不同的入网认证类型,采用不同的处理过程生成不同的入网认证确认信息。
当入网认证类型为实体终端类型或虚拟终端类型时,可以调用终端中间件的第二函数按照“key-lenth-value”协议将终端签名证书、服务器签名证书、终端摘要值、服务器摘要值、终端签名值和服务器签名值封装为入网认证确认信息。
当入网认证类型为快速入网类型时,可以调用终端中间件的第二函数按照“key-lenth-value”协议将终端摘要值、服务器摘要值、终端签名值和服务器签名值封装为入网认证确认信息。
在本发明的实施例中,第二函数的输入项可以包含第一密码设备的句柄和入网认证响应信息,第二函数的输出项可以包含入网认证确认信息。
参照图3,示出了本发明的另一种终端入网认证方法实施例的步骤流程图,该方法可以应用于视联网中的服务器,该服务器可以与视联网中的终端通信连接。该方法具体可以包括如下步骤:
步骤301,调用预先配置的服务器中间件的第三函数对来自终端的入网认证请求信息进行验证处理。
在本发明的实施例中,服务器接收到来自终端的入网认证请求信息,对入网认证请求信息进行验证处理。该入网认证请求信息可以为终端根据终端的不同的入网认证类型生成的不同的入网认证请求信息。不同的入网认证请求信息中可以包含不同的数据。服务器可以对入网认证请求信息中的各项数据进行验证处理。
在对入网认证请求信息进行验证处理时,可以调用服务器中间件的第三函数获取终端签名证书,根据终端签名证书对入网认证请求信息进行验证处理。在实际应用中,也可以根据终端不同的入网认证类型对入网认证请求信息进行不同的验证处理。
当入网认证类型为实体终端类型或虚拟终端类型时,可以调用服务器中间件的第三函数从入网认证请求信息中解析得到终端签名证书、终端摘要值和终端签名值;检验终端签名证书是否合法和有效;在终端签名证书合法且有效的情况下,从终端签名证书中解析得到终端签名公钥,并利用终端签名公钥和终端摘要值对终端签名值进行验签操作。
当入网认证类型为快速入网类型时,可以调用服务器中间件的第三函数从第二密码设备中读取得到终端签名证书,并调用服务器中间件的第三函数从入网认证请求信息中解析得到终端摘要值和终端签名值;利用终端签名证书中的终端签名公钥和终端摘要值对终端签名值进行验签操作。上述第二密码设备可以为高速串行计算机扩展总线标准(Peripheral Component Interconnect Express,PCIE)卡,该PCIE卡中预先存储有服务器签名证书。服务器签名证书中包含成对的服务器签名公钥和服务器签名私钥。服务器中的应用程序可以调用服务器中间件的第三函数从PCIE卡中获取服务器签名证书。服务器中间件的第三函数中预先配置了访问PCIE卡的接口等,简化了应用程序直接从PCIE卡获取服务器签名证书的步骤。在实际应用中,服务器中的应用程序可以调用服务器中间件的第三函数通过服务器密码模块从PCIE卡中获取服务器签名证书。其中,服务器密码模块为服务器提供密码运算功能,例如,加密操作、签名操作等等。
步骤302,在对入网认证请求信息验证通过的情况下,调用服务器中间件的第三函数,根据入网认证类型生成入网认证响应信息,并发送入网认证响应信息至终端。
在本发明的实施例中,在生成入网认证响应信息时,可以调用服务器中间件的第三函数从第二密码设备中读取得到服务器签名证书;根据服务器签名证书、服务器随机数和入网认证类型生成入网认证响应信息。其中,终端的入网认证类型可以携带在入网认证请求信息中,服务器在接收到入网认证请求信息后,可以从入网认证请求信息中解析得到终端的入网认证类型。终端的入网认证类型也可以不携带在入网认证请求信息中,服务器在接收到入网认证请求信息后,对入网认证请求信息进行解析,若解析结果中包含终端签名证书,则表示终端的入网认证类型为实体终端类型或虚拟终端类型;若解析结果中不包含终端签名证书,则表示终端的入网认证类型为快速入网类型。
在根据服务器签名证书、服务器随机数和入网认证类型生成入网认证响应信息时,也可以根据不同的入网认证类型生成不同的入网认证响应信息。
当入网认证类型为实体终端类型或虚拟终端类型时,可以利用杂凑算法计算服务器随机数的服务器摘要值;利用服务器签名证书中的服务器签名私钥对服务器摘要值进行签名操作得到服务器签名值;将服务器签名证书、服务器摘要值和服务器签名值封装为入网认证响应信息。
当入网认证类型为快速入网类型时,可以利用杂凑算法计算服务器随机数的服务器摘要值;利用服务器签名证书中的服务器签名私钥对服务器摘要值进行签名操作得到服务器签名值;将服务器摘要值和服务器签名值封装为入网认证响应信息。
在本发明的实施中,第三函数的输入项可以包含第二密码设备的句柄、终端随机数和终端签名证书中的一种或多种,第三函数的输出项可以包含入网认证响应信息。
步骤303,调用服务器中间件的第四函数对入网认证确认信息进行验证处理,在对入网认证确认信息验证通过的情况下允许终端入网。
在本发明的实施例中,服务器对来自终端的入网认证确认信息进行验证处理,若验证通过,则允许终端入网;若验证未通过,则拒绝终端入网。
在本发明的一种优选实施例中,在对入网认证确认信息进行验证处理时,可以调用服务器中间件的第四函数获取终端签名证书和服务器签名证书,根据终端签名证书和服务器签名证书对入网认证确认信息进行验证处理。在实际应用中,可以根据终端的不同的入网认证类型,采用不同的处理过程对不同的入网认证确认信息进行验证处理。
当入网认证类型为实体终端类型或虚拟终端类型时,可以调用服务器中间件的第四函数从入网认证确认信息中解析得到终端签名证书、服务器签名证书、终端摘要值、服务器摘要值、终端签名值和服务器签名值;检验终端签名证书和服务器签名证书是否合法和有效;在终端签名证书和服务器签名证书均合法且有效的情况下,从终端签名证书中解析得到终端签名公钥,并利用终端签名公钥和终端摘要值对终端签名值进行验签操作,从服务器签名证书中解析得到服务器签名公钥,并利用服务器签名公钥和服务器摘要值对服务器签名值进行验签操作。
当入网认证类型为快速入网类型时,可以调用服务器中间件的第四函数从第二密码设备中读取得到终端签名证书和服务器签名证书。并调用服务器中间件的第四函数从入网认证确认信息中解析得到终端摘要值、服务器摘要值、终端签名值和服务器签名值;利用终端签名公钥和终端摘要值对终端签名值进行验签操作,并利用服务器签名公钥和服务器摘要值对服务器签名值进行验签操作。
在本发明的实施例中,第四函数的输入项可以包含第二密码设备的句柄和入网认证确认信息;第四函数的输出项可以包含对入网认证确认信息的验证结果。
需要说明的是,上述应用于服务器中的终端入网认证方法中,服务器对入网认证请求信息和入网认证确认信息的验证处理过程的相关介绍可以参照上述应用于终端的终端入网认证方法中,终端对入网认证响应信息的验证处理过程的相关描述。服务器生成入网认证响应信息的相关介绍可以参照上述应用于终端的终端入网认证方法中,终端生成入网认证请求信息和入网认证确认信息的相关描述,在此不再赘述。而且,无论是终端执行的验证处理还是服务器执行的验证处理,若验证未通过,则禁止终端入网。
如图4所示,终端在向服务器申请入网认证的过程中,终端调用终端中间件,再通过终端密码模块从UKey中获取到终端签名证书,进而根据终端签名证书、终端随机数和入网认证类型等生成入网认证请求信息,将入网认证请求信息发送至服务器。服务器对入网认证请求信息进行验证,若验证通过,则调用服务器中间件,再通过服务器密码模块从PCIE卡中获取到服务器签名证书,进而根据服务器签名证书、服务器随机数和入网认证类型等生成入网认证响应信息,将入网认证响应信息返回至终端。终端对入网认证响应信息进行验证,若验证通过,则生成并发送入网认证确认信息至服务器。服务器对入网认证确认信息进行验证,若验证通过,则允许终端入网。若验证未通过,则禁止终端入网。
参照图5,示出了本发明的一种视频会议***中终端入网认证方法实施例的步骤流程图,该方法具体可以包括如下步骤:终端向网管服务器发送入网认证请求信息,网管服务器在对入网认证请求信息验证通过的情况下,向终端返回入网认证响应信息。终端在对入网认证响应信息验证通过的情况下,向网管服务器发送入网认证完成信息。网管服务器在对入网认证完成信息验证通过的情况下允许终端入网。
上述入网认证请求信息可以包括“info”字段、“sing_T”字段和“cert_T”字段,入网认证响应信息可以包括“info”字段、“sing_S”字段和“cert_S”字段,入网认证完成信息可以包括“info”字段。各字段的详细介绍可以参照表1。
表1
其中,安全交互机制的版本表示终端和网管服务器统一的密码算法。快速入网是从业务层提出的一个概念,是一种临时入网策略,快速入网不需要终端与网管服务器互传签名证书。
参照图6,示出了本发明的一种基于视联网的终端入网认证方法实施例的流程示意图,终端利用“VVSec_vEntryNet”函数生成入网认证请求信息,并封装为视联网格式传输至网管服务器。网管服务器利用“VVSec_vEntryNetResp”函数对入网认证请求信息进行验证,根据密钥管理器申请到的网络根密钥和广播密钥生成入网认证响应信息,并封装为视联网格式传输至终端。终端利用“VVSec_vEntryNetAck”函数对入网认证响应信息进行验证,生成入网认证确认信息,并封装为视联网格式传输至网管服务器。网管服务器利用“VVSec_vEntryNetFinal”函数对入网认证确认信息进行验证,并完成终端的入网操作。下面,分别详细介绍上述各函数以及各信息的数据结构。
表2示出了“VVSec_vEntryNet”函数的相关说明。
表2
在“VVSec_vEntryNet”函数中,上述DEVICE_HANDLE中可以包含hdev(密码设备的句柄)、hcont(密码设备被调用的次数)和happ(密码设备主程序)。info作为输入时,即info表示入网认证请求信息中的终端安全配置信息,并且,入网认证请求信息发送至网管服务器时,通过设置info中certLabel来决定是否导出证书数据。info作为输出时,即info表示入网认证请求信息中的终端安全配置信息,并且,终端输出入网认证请求信息时,如果终端保存有网管签名证书,则将网管签名证书的序列号放入info中,如果终端未保存有网管签名证书,则info中可以不携带网管签名证书的序列号。
表3示出了“VVSec_vEntryNetAck”函数的相关说明。
表3
在“VVSec_vEntryNetAck”函数中,info作为输入时,即info表示入网认证响应信息中的服务器安全配置信息,并且,入网认证响应信息发送至终端时,如果网管服务器发送网管签名证书的序列号至终端,则将网管签名证书的序列号传入info;如果网管服务器不发送网管签名证书的序列号至终端,则info中可以不携带网管签名证书的序列号。info作为输出时,即info表示入网认证确认信息中的终端安全配置信息,并且,终端输出入网认证确认信息时,如果终端需要让网管服务器更新终端签名证书,则将info中的certLabel设置为0x03,并输出终端签名证书;如果终端不需要让网管服务器更新终端签名证书,则将info中的certLabel设置为0。
表4示出了“VVSec_vEntryNetResp”函数的相关说明。
表4
在“VVSec_vEntryNetResp”函数中,info作为输入时,即info表示入网认证确认信息中的终端安全配置信息,并且,入网认证确认信息发送至网管服务器时,如果终端发送终端加密证书,则将info中的certLabel设置为0x02,否则设置为0;如果终端发送终端签名证书的序列号,则将终端签名证书的序列号传入info。info作为输出时,即info表示入网认证响应信息中的服务器安全配置信息,并且,网管服务器输出入网认证响应信息时,如果网管服务器本地未保存终端加密证书,则info中certLabel设置为0x02;如果网管服务器本地保存有终端加密证书,则info中certLabel设置为0。
表5示出了“VVSec_vEntryNetFinal”函数的相关说明。
表5
本发明实施例提供的终端入网认证方法,在视联网的终端中,调用终端中间件的第一函数,根据终端的入网认证类型生成入网认证请求信息,入网认证类型包含实体终端类型、虚拟终端类型或快速入网类型。发送入网认证请求信息至服务器,以便服务器在对入网认证请求信息验证通过的情况下返回入网认证响应信息。再调用终端中间件的第二函数对入网认证响应信息进行验证处理,在验证通过的情况下生成入网认证确认信息,并发送入网认证确认信息至服务器,以便服务器在对入网认证确认信息验证通过的情况下允许终端入网。
第一方面,本发明实施例根据终端的入网认证类型生成入网认证请求信息,该入网认证请求信息中不包含账户和口令,避免了账户和口令遗忘、被窃取等造成的安全隐患问题,增加了入网认证请求消息被破译、解析的难度,提高了终端入网的安全性。
第二方面,本发明实施例中的终端通过调用终端中间件的第一函数生成入网认证请求信息,调用终端中间件的第二函数对入网认证响应信息进行验证,并生成入网认证确认信息。在入网认证过程中增加了终端中间件,丰富了终端与服务器之间的交互层级,利用终端中间件中的第一函数生成入网认证请求信息,并利用终端中间件中的第二函数对入网认证响应信息进行验证并生成入网认证确认信息,简化了终端生成入网认证请求信息和入网认证确认信息,以及,对入网认证响应信息进行验证的步骤。
第三方面,终端的入网认证类型可以包含实体终端类型、虚拟终端类型或快速入网类型。根据入网认证类型可以生成各种类型的入网认证请求信息。为终端入网认证提供了多种类型的入网认证请求消息,满足了不同入网认证类型的终端的入网认证需求。
第四方面,服务器不仅对终端的入网认证请求信息和入网认证确认信息进行验证,终端还对服务器的入网认证响应信息进行验证,实现了终端和服务器的双向验证,提高了终端入网的安全性。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
参照图7,示出了本发明的一种终端入网认证装置实施例的结构框图,该装置可以应用于视联网中的终端,所述终端与所述视联网中的服务器通信连接,所述装置具体可以包括如下模块:
入网认证请求模块71,用于调用预先配置的终端中间件的第一函数,根据所述终端的入网认证类型生成入网认证请求信息,所述入网认证类型包含实体终端类型、虚拟终端类型或快速入网类型,并发送所述入网认证请求信息至所述服务器;
入网认证确认模块72,用于调用所述终端中间件的第二函数对所述服务器返回的入网认证响应信息进行验证处理,在验证通过的情况下生成入网认证确认信息,并发送所述入网认证确认信息至所述服务器;
其中,所述第一函数的输入项包含与所述终端通信连接的第一密码设备的句柄,所述第一函数的输出项包含终端随机数、终端签名证书和安全配置信息中的一种或多种;所述第二函数的输入项包含所述第一密码设备的句柄和所述入网认证响应信息,所述第二函数的输出项包含所述入网认证确认信息。
在本发明的一种优选实施例中,所述入网认证请求模块71,包括:
终端签名证书读取模块,用于调用所述终端中间件的所述第一函数从与所述终端通信连接的所述第一密码设备中读取得到所述终端签名证书;
请求信息生成模块,用于根据所述终端签名证书、所述终端随机数和所述入网认证类型生成所述入网认证请求信息。
在本发明的一种优选实施例中,当所述入网认证类型为所述实体终端类型或所述虚拟终端类型时,所述请求信息生成模块,包括:
第一计算模块,用于利用杂凑算法计算所述终端随机数的终端摘要值;
第一签名模块,用于利用所述终端签名证书中的终端签名私钥对所述终端摘要值进行签名操作得到终端签名值;
第一封装模块,用于将所述终端签名证书、所述终端摘要值和所述终端签名值封装为所述入网认证请求信息;
当所述入网认证类型为所述快速入网类型时,所述请求信息生成模块,包括:
第二计算模块,用于利用所述杂凑算法计算所述终端随机数的所述终端摘要值;
第二签名模块,用于利用所述终端签名证书中的所述终端签名私钥对所述终端摘要值进行签名操作得到所述终端签名值;
第二封装模块,用于将所述终端摘要值和所述终端签名值封装为所述入网认证请求信息。
在本发明的一种优选实施例中,所述入网认证确认模块72,用于调用所述终端中间件的所述第二函数获取服务器签名证书,根据所述服务器签名证书对所述入网认证响应信息进行验证处理。
在本发明的一种优选实施例中,当所述入网认证类型为所述实体终端类型或所述虚拟终端类型时,所述入网认证确认模块72,包括:
第一解析模块,用于调用所述终端中间件的所述第二函数从所述入网认证响应信息中解析得到所述服务器签名证书、服务器摘要值和服务器签名值;
第一检验模块,用于检验所述服务器签名证书是否合法和有效;
第一验签模块,用于在所述服务器签名证书合法且有效的情况下,利用所述服务器签名证书中的服务器签名公钥和所述服务器摘要值对所述服务器签名值进行验签操作;
当所述入网认证类型为所述快速入网类型时,所述入网认证确认模块72,包括:
第二读取模块,用于调用所述终端中间件的所述第二函数从所述第一密码设备中读取得到所述服务器签名证书;
第二解析模块,用于调用所述终端中间件的所述第二函数从所述入网认证响应信息中解析得到所述服务器摘要值和所述服务器签名值;
第二验签模块,用于利用所述服务器签名证书中的所述服务器签名公钥和所述服务器摘要值对所述服务器签名值进行验签操作。
在本发明的一种优选实施例中,当所述入网认证类型为所述实体终端类型或所述虚拟终端类型时,所述入网认证确认模块72,用于调用所述终端中间件的所述第二函数将所述终端签名证书、所述服务器签名证书、所述终端摘要值、所述服务器摘要值、所述终端签名值和所述服务器签名值封装为所述入网认证确认信息;
当所述入网认证类型为所述快速入网类型时,所述入网认证确认模块72,用于调用所述终端中间件的所述第二函数将所述终端摘要值、所述服务器摘要值、所述终端签名值和所述服务器签名值封装为所述入网认证确认信息。
参照图8,示出了本发明的另一种终端入网认证装置实施例的结构框图,该装置可以应用于视联网中的服务器,所述服务器与所述视联网中的终端通信连接,所述装置具体可以包括如下模块:
入网认证验证模块81,用于调用预先配置的服务器中间件的第三函数对来自所述终端的入网认证请求信息进行验证处理,所述入网认证请求信息包含所述终端的入网认证类型,所述入网认证类型包含实体终端类型、虚拟终端类型或快速入网类型;
入网认证响应模块82,用于在对所述入网认证请求信息验证通过的情况下,调用所述服务器中间件的所述第三函数,根据所述入网认证类型生成入网认证响应信息,并发送所述入网认证响应信息至所述终端;
所述入网认证验证模块81,还用于调用所述服务器中间件的第四函数对所述入网认证确认信息进行验证处理,在对所述入网认证确认信息验证通过的情况下允许所述终端入网;
其中,所述第三函数的输入项包含与所述服务器通信连接的第二密码设备的句柄、终端随机数和终端签名证书中的一种或多种,所述第三函数的输出项包含所述入网认证响应信息;所述第四函数的输入项包含所述第二密码设备的句柄和所述入网认证确认信息;所述第四函数的输出项包含对所述入网认证确认信息的验证结果。
在本发明的一种优选实施例中,所述入网认证验证模块81,用于调用所述服务器中间件的所述第三函数获取所述终端签名证书,根据所述终端签名证书对所述入网认证请求信息进行验证处理。
在本发明的一种优选实施例中,当所述入网认证类型为所述实体终端类型或所述虚拟终端类型时,所述入网认证验证模块81,包括:
第三解析模块,用于调用所述服务器中间件的所述第三函数从所述入网认证请求信息中解析得到所述终端签名证书、终端摘要值和终端签名值;
第三检验模块,用于检验所述终端签名证书是否合法和有效;
第三验签模块,用于在所述终端签名证书合法且有效的情况下,利用所述终端签名证书中的终端签名公钥和所述终端摘要值对所述终端签名值进行验签操作;
当所述入网认证类型为所述快速入网类型时,所述入网认证验证模块81,包括:
第四读取模块,用于调用所述服务器中间件的所述第三函数从所述第二密码设备中读取得到所述终端签名证书;
第四解析模块,用于调用所述服务器中间件的所述第三函数从所述入网认证请求信息中解析得到所述终端摘要值和所述终端签名值;
第四验签模块,用于利用所述终端签名证书中的所述终端签名公钥和所述终端摘要值对所述终端签名值进行验签操作。
在本发明的一种优选实施例中,所述入网认证响应模块82,包括:
服务器签名证书读取模块,用于调用所述服务器中间件的所述第三函数从所述第二密码设备中读取得到服务器签名证书;
响应信息生成模块,用于根据所述服务器签名证书、所述服务器随机数和所述入网认证类型生成所述入网认证响应信息。
在本发明的一种优选实施例中,当所述入网认证类型为所述实体终端类型或所述虚拟终端类型时,所述响应信息生成模块,包括:
第三计算模块,用于利用杂凑算法计算所述服务器随机数的服务器摘要值;
第三签名模块,用于利用所述服务器签名证书中的服务器签名私钥对所述服务器摘要值进行签名操作得到服务器签名值;
第三封装模块,用于将所述服务器签名证书、所述服务器摘要值和所述服务器签名值封装为所述入网认证响应信息;
当所述入网认证类型为所述快速入网类型时,所述响应信息生成模块,包括:
第四计算模块,用于利用所述杂凑算法计算所述服务器随机数的所述服务器摘要值;
第四签名模块,用于利用所述服务器签名证书中的所述服务器签名私钥对所述服务器摘要值进行签名操作得到服务器签名值;
第四封装模块,用于将所述服务器摘要值和所述服务器签名值封装为所述入网认证响应信息。
在本发明的一种优选实施例中,所述入网认证验证模块81,还用于调用所述服务器中间件的第四函数获取所述终端签名证书和所述服务器签名证书,根据所述终端签名证书和所述服务器签名证书对所述入网认证确认信息进行验证处理。
在本发明的一种优选实施例中,当所述入网认证类型为所述实体终端类型或所述虚拟终端类型时,
所述第三解析模块,还用于调用所述服务器中间件的第四函数从所述入网认证确认信息中解析得到所述终端签名证书、所述服务器签名证书、所述终端摘要值、所述服务器摘要值、所述终端签名值和所述服务器签名值;
所述第三检验模块,还用于检验所述终端签名证书和所述服务器签名证书是否合法和有效;
所述第三验签模块,还用于在所述终端签名证书和所述服务器签名证书均合法且有效的情况下,利用所述终端签名证书中的所述终端签名公钥和所述终端摘要值对所述终端签名值进行验签操作,利用所述服务器签名证书中的服务器签名公钥和所述服务器摘要值对所述服务器签名值进行验签操作;
当所述入网认证类型为所述快速入网类型时,
所述第四读取模块,还用于调用所述服务器中间件的第四函数从所述第二密码设备中读取得到所述终端签名证书和所述服务器签名证书;
所述第四解析模块,还用于调用所述服务器中间件的第四函数从所述入网认证确认信息中解析得到所述终端摘要值、所述服务器摘要值、所述终端签名值和所述服务器签名值;
所述第四验签模块,还用于利用所述终端签名证书中的所述终端签名公钥和所述终端摘要值对所述终端签名值进行验签操作,并利用所述服务器签名证书中的所述服务器签名公钥和所述服务器摘要值对所述服务器签名值进行验签操作。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本发明实施例还提供了一种终端入网认证***,应用于视联网中,所述视联网包括终端和服务器,所述终端与所述服务器通信连接,其中,所述终端包括如图7所述的终端入网认证装置;所述服务器包括如图8所述的终端入网认证装置。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本发明所提供的一种终端入网认证方法、装置、***和存储介质,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (29)
1.一种终端入网认证方法,其特征在于,应用于视联网中的终端,所述终端与所述视联网中的服务器通信连接,所述方法包括:
调用预先配置的终端中间件的第一函数,根据所述终端的入网认证类型生成入网认证请求信息,所述入网认证类型包含实体终端类型、虚拟终端类型或快速入网类型,并发送所述入网认证请求信息至所述服务器;
调用所述终端中间件的第二函数对所述服务器返回的入网认证响应信息进行验证处理,在验证通过的情况下生成入网认证确认信息,并发送所述入网认证确认信息至所述服务器;
其中,所述第一函数的输入项包含与所述终端通信连接的第一密码设备的句柄,所述第一函数的输出项包含终端随机数、终端签名证书和安全配置信息中的一种或多种;所述第二函数的输入项包含所述第一密码设备的句柄和所述入网认证响应信息,所述第二函数的输出项包含所述入网认证确认信息。
2.根据权利要求1所述的方法,其特征在于,所述调用预先配置的终端中间件的第一函数,根据所述终端的入网认证类型生成入网认证请求信息的步骤,包括:
调用所述终端中间件的所述第一函数从与所述终端通信连接的所述第一密码设备中读取得到所述终端签名证书;
根据所述终端签名证书、所述终端随机数和所述入网认证类型生成所述入网认证请求信息。
3.根据权利要求2所述的方法,其特征在于,当所述入网认证类型为所述实体终端类型或所述虚拟终端类型时,所述根据所述终端签名证书、所述终端随机数和所述入网认证类型生成所述入网认证请求信息的步骤,包括:
利用杂凑算法计算所述终端随机数的终端摘要值;
利用所述终端签名证书中的终端签名私钥对所述终端摘要值进行签名操作得到终端签名值;
将所述终端签名证书、所述终端摘要值和所述终端签名值封装为所述入网认证请求信息;
当所述入网认证类型为所述快速入网类型时,所述根据所述终端签名证书、所述终端随机数和所述入网认证类型生成所述入网认证请求信息的步骤,包括:
利用所述杂凑算法计算所述终端随机数的所述终端摘要值;
利用所述终端签名证书中的所述终端签名私钥对所述终端摘要值进行签名操作得到所述终端签名值;
将所述终端摘要值和所述终端签名值封装为所述入网认证请求信息。
4.根据权利要求1所述的方法,其特征在于,所述调用所述终端中间件的第二函数对所述服务器返回的入网认证响应信息进行验证处理的步骤,包括:
调用所述终端中间件的所述第二函数获取服务器签名证书,根据所述服务器签名证书对所述入网认证响应信息进行验证处理。
5.根据权利要求4所述的方法,其特征在于,当所述入网认证类型为所述实体终端类型或所述虚拟终端类型时,所述调用所述终端中间件的所述第二函数获取服务器签名证书,根据所述服务器签名证书对所述入网认证响应信息进行验证处理的步骤,包括:
调用所述终端中间件的所述第二函数从所述入网认证响应信息中解析得到所述服务器签名证书、服务器摘要值和服务器签名值;
检验所述服务器签名证书是否合法和有效;
在所述服务器签名证书合法且有效的情况下,利用所述服务器签名证书中的服务器签名公钥和所述服务器摘要值对所述服务器签名值进行验签操作;
当所述入网认证类型为所述快速入网类型时,所述调用所述终端中间件的所述第二函数获取服务器签名证书,根据所述服务器签名证书对所述入网认证响应信息进行验证处理的步骤,包括:
调用所述终端中间件的所述第二函数从所述第一密码设备中读取得到所述服务器签名证书;
调用所述终端中间件的所述第二函数从所述入网认证响应信息中解析得到所述服务器摘要值和所述服务器签名值;
利用所述服务器签名证书中的所述服务器签名公钥和所述服务器摘要值对所述服务器签名值进行验签操作。
6.根据权利要求5所述的方法,其特征在于,当所述入网认证类型为所述实体终端类型或所述虚拟终端类型时,所述生成入网认证确认信息的步骤,包括:
调用所述终端中间件的所述第二函数将所述终端签名证书、所述服务器签名证书、所述终端摘要值、所述服务器摘要值、所述终端签名值和所述服务器签名值封装为所述入网认证确认信息;
当所述入网认证类型为所述快速入网类型时,所述生成入网认证确认信息的步骤,包括:
调用所述终端中间件的所述第二函数将所述终端摘要值、所述服务器摘要值、所述终端签名值和所述服务器签名值封装为所述入网认证确认信息。
7.一种终端入网认证方法,其特征在于,应用于视联网中的服务器,所述服务器与所述视联网中的终端通信连接,所述方法包括:
调用预先配置的服务器中间件的第三函数对来自所述终端的入网认证请求信息进行验证处理,所述入网认证请求信息包含所述终端的入网认证类型,所述入网认证类型包含实体终端类型、虚拟终端类型或快速入网类型;
在对所述入网认证请求信息验证通过的情况下,调用所述服务器中间件的所述第三函数,根据所述入网认证类型生成入网认证响应信息,并发送所述入网认证响应信息至所述终端;
调用所述服务器中间件的第四函数对所述入网认证确认信息进行验证处理,在对所述入网认证确认信息验证通过的情况下允许所述终端入网;
其中,所述第三函数的输入项包含与所述服务器通信连接的第二密码设备的句柄、终端随机数和终端签名证书中的一种或多种,所述第三函数的输出项包含所述入网认证响应信息;所述第四函数的输入项包含所述第二密码设备的句柄和所述入网认证确认信息;所述第四函数的输出项包含对所述入网认证确认信息的验证结果。
8.根据权利要求7所述的方法,其特征在于,所述调用预先配置的服务器中间件的第三函数对来自所述终端的入网认证请求信息进行验证处理的步骤,包括:
调用所述服务器中间件的所述第三函数获取所述终端签名证书,根据所述终端签名证书对所述入网认证请求信息进行验证处理。
9.根据权利要求8所述的方法,其特征在于,当所述入网认证类型为所述实体终端类型或所述虚拟终端类型时,所述调用所述服务器中间件的所述第三函数获取所述终端签名证书,根据所述终端签名证书对所述入网认证请求信息进行验证处理的步骤,包括:
调用所述服务器中间件的所述第三函数从所述入网认证请求信息中解析得到所述终端签名证书、终端摘要值和终端签名值;
检验所述终端签名证书是否合法和有效;
在所述终端签名证书合法且有效的情况下,利用所述终端签名证书中的终端签名公钥和所述终端摘要值对所述终端签名值进行验签操作;
当所述入网认证类型为所述快速入网类型时,所述调用所述服务器中间件的所述第三函数获取所述终端签名证书,根据所述终端签名证书对所述入网认证请求信息进行验证处理的步骤,包括:
调用所述服务器中间件的所述第三函数从所述第二密码设备中读取得到所述终端签名证书;
调用所述服务器中间件的所述第三函数从所述入网认证请求信息中解析得到所述终端摘要值和所述终端签名值;
利用所述终端签名证书中的所述终端签名公钥和所述终端摘要值对所述终端签名值进行验签操作。
10.根据权利要求9所述的方法,其特征在于,所述调用所述服务器中间件的所述第三函数,根据所述入网认证类型生成入网认证响应信息的步骤,包括:
调用所述服务器中间件的所述第三函数从所述第二密码设备中读取得到服务器签名证书;
根据所述服务器签名证书、所述服务器随机数和所述入网认证类型生成所述入网认证响应信息。
11.根据权利要求10所述的方法,其特征在于,当所述入网认证类型为所述实体终端类型或所述虚拟终端类型时,所述根据所述服务器签名证书、所述服务器随机数和所述入网认证类型生成所述入网认证响应信息的步骤,包括:
利用杂凑算法计算所述服务器随机数的服务器摘要值;
利用所述服务器签名证书中的服务器签名私钥对所述服务器摘要值进行签名操作得到服务器签名值;
将所述服务器签名证书、所述服务器摘要值和所述服务器签名值封装为所述入网认证响应信息;
当所述入网认证类型为所述快速入网类型时,所述根据所述服务器签名证书、所述服务器随机数和所述入网认证类型生成所述入网认证响应信息的步骤,包括:
利用所述杂凑算法计算所述服务器随机数的所述服务器摘要值;
利用所述服务器签名证书中的所述服务器签名私钥对所述服务器摘要值进行签名操作得到服务器签名值;
将所述服务器摘要值和所述服务器签名值封装为所述入网认证响应信息。
12.根据权利要求10所述的方法,其特征在于,所述调用所述服务器中间件的第四函数对所述入网认证确认信息进行验证处理的步骤,包括:
调用所述服务器中间件的第四函数获取所述终端签名证书和所述服务器签名证书,根据所述终端签名证书和所述服务器签名证书对所述入网认证确认信息进行验证处理。
13.根据权利要求12所述的方法,其特征在于,当所述入网认证类型为所述实体终端类型或所述虚拟终端类型时,所述调用所述服务器中间件的第四函数获取所述终端签名证书和所述服务器签名证书,根据所述终端签名证书和所述服务器签名证书对所述入网认证确认信息进行验证处理的步骤,包括:
调用所述服务器中间件的第四函数从所述入网认证确认信息中解析得到所述终端签名证书、所述服务器签名证书、所述终端摘要值、所述服务器摘要值、所述终端签名值和所述服务器签名值;
检验所述终端签名证书和所述服务器签名证书是否合法和有效;
在所述终端签名证书和所述服务器签名证书均合法且有效的情况下,利用所述终端签名证书中的所述终端签名公钥和所述终端摘要值对所述终端签名值进行验签操作,利用所述服务器签名证书中的服务器签名公钥和所述服务器摘要值对所述服务器签名值进行验签操作;
当所述入网认证类型为所述快速入网类型时,所述调用所述服务器中间件的第四函数获取所述终端签名证书和所述服务器签名证书,根据所述终端签名证书和所述服务器签名证书对所述入网认证确认信息进行验证处理的步骤,包括:
调用所述服务器中间件的第四函数从所述第二密码设备中读取得到所述终端签名证书和所述服务器签名证书;
调用所述服务器中间件的第四函数从所述入网认证确认信息中解析得到所述终端摘要值、所述服务器摘要值、所述终端签名值和所述服务器签名值;
利用所述终端签名证书中的所述终端签名公钥和所述终端摘要值对所述终端签名值进行验签操作,并利用所述服务器签名证书中的所述服务器签名公钥和所述服务器摘要值对所述服务器签名值进行验签操作。
14.一种终端入网认证装置,其特征在于,应用于视联网中的终端,所述终端与所述视联网中的服务器通信连接,所述装置包括:
入网认证请求模块,用于调用预先配置的终端中间件的第一函数,根据所述终端的入网认证类型生成入网认证请求信息,所述入网认证类型包含实体终端类型、虚拟终端类型或快速入网类型,并发送所述入网认证请求信息至所述服务器;
入网认证确认模块,用于调用所述终端中间件的第二函数对所述服务器返回的入网认证响应信息进行验证处理,在验证通过的情况下生成入网认证确认信息,并发送所述入网认证确认信息至所述服务器;
其中,所述第一函数的输入项包含与所述终端通信连接的第一密码设备的句柄,所述第一函数的输出项包含终端随机数、终端签名证书和安全配置信息中的一种或多种;所述第二函数的输入项包含所述第一密码设备的句柄和所述入网认证响应信息,所述第二函数的输出项包含所述入网认证确认信息。
15.根据权利要求14所述的装置,其特征在于,所述入网认证请求模块,包括:
终端签名证书读取模块,用于调用所述终端中间件的所述第一函数从与所述终端通信连接的所述第一密码设备中读取得到所述终端签名证书;
请求信息生成模块,用于根据所述终端签名证书、所述终端随机数和所述入网认证类型生成所述入网认证请求信息。
16.根据权利要求15所述的装置,其特征在于,当所述入网认证类型为所述实体终端类型或所述虚拟终端类型时,所述请求信息生成模块,包括:
第一计算模块,用于利用杂凑算法计算所述终端随机数的终端摘要值;
第一签名模块,用于利用所述终端签名证书中的终端签名私钥对所述终端摘要值进行签名操作得到终端签名值;
第一封装模块,用于将所述终端签名证书、所述终端摘要值和所述终端签名值封装为所述入网认证请求信息;
当所述入网认证类型为所述快速入网类型时,所述请求信息生成模块,包括:
第二计算模块,用于利用所述杂凑算法计算所述终端随机数的所述终端摘要值;
第二签名模块,用于利用所述终端签名证书中的所述终端签名私钥对所述终端摘要值进行签名操作得到所述终端签名值;
第二封装模块,用于将所述终端摘要值和所述终端签名值封装为所述入网认证请求信息。
17.根据权利要求14所述的装置,其特征在于,所述入网认证确认模块,用于调用所述终端中间件的所述第二函数获取服务器签名证书,根据所述服务器签名证书对所述入网认证响应信息进行验证处理。
18.根据权利要求17所述的装置,其特征在于,当所述入网认证类型为所述实体终端类型或所述虚拟终端类型时,所述入网认证确认模块,包括:
第一解析模块,用于调用所述终端中间件的所述第二函数从所述入网认证响应信息中解析得到所述服务器签名证书、服务器摘要值和服务器签名值;
第一检验模块,用于检验所述服务器签名证书是否合法和有效;
第一验签模块,用于在所述服务器签名证书合法且有效的情况下,利用所述服务器签名证书中的服务器签名公钥和所述服务器摘要值对所述服务器签名值进行验签操作;
当所述入网认证类型为所述快速入网类型时,所述入网认证确认模块,包括:
第二读取模块,用于调用所述终端中间件的所述第二函数从所述第一密码设备中读取得到所述服务器签名证书;
第二解析模块,用于调用所述终端中间件的所述第二函数从所述入网认证响应信息中解析得到所述服务器摘要值和所述服务器签名值;
第二验签模块,用于利用所述服务器签名证书中的所述服务器签名公钥和所述服务器摘要值对所述服务器签名值进行验签操作。
19.根据权利要求18所述的装置,其特征在于,当所述入网认证类型为所述实体终端类型或所述虚拟终端类型时,所述入网认证确认模块,用于调用所述终端中间件的所述第二函数将所述终端签名证书、所述服务器签名证书、所述终端摘要值、所述服务器摘要值、所述终端签名值和所述服务器签名值封装为所述入网认证确认信息;
当所述入网认证类型为所述快速入网类型时,所述入网认证确认模块,用于调用所述终端中间件的所述第二函数将所述终端摘要值、所述服务器摘要值、所述终端签名值和所述服务器签名值封装为所述入网认证确认信息。
20.一种终端入网认证装置,其特征在于,应用于视联网中的服务器,所述服务器与所述视联网中的终端通信连接,所述装置包括:
入网认证验证模块,用于调用预先配置的服务器中间件的第三函数对来自所述终端的入网认证请求信息进行验证处理,所述入网认证请求信息包含所述终端的入网认证类型,所述入网认证类型包含实体终端类型、虚拟终端类型或快速入网类型;
入网认证响应模块,用于在对所述入网认证请求信息验证通过的情况下,调用所述服务器中间件的所述第三函数,根据所述入网认证类型生成入网认证响应信息,并发送所述入网认证响应信息至所述终端;
所述入网认证验证模块,还用于调用所述服务器中间件的第四函数对所述入网认证确认信息进行验证处理,在对所述入网认证确认信息验证通过的情况下允许所述终端入网;
其中,所述第三函数的输入项包含与所述服务器通信连接的第二密码设备的句柄、终端随机数和终端签名证书中的一种或多种,所述第三函数的输出项包含所述入网认证响应信息;所述第四函数的输入项包含所述第二密码设备的句柄和所述入网认证确认信息;所述第四函数的输出项包含对所述入网认证确认信息的验证结果。
21.根据权利要求20所述的装置,其特征在于,所述入网认证验证模块,用于调用所述服务器中间件的所述第三函数获取所述终端签名证书,根据所述终端签名证书对所述入网认证请求信息进行验证处理。
22.根据权利要求21所述的装置,其特征在于,当所述入网认证类型为所述实体终端类型或所述虚拟终端类型时,所述入网认证验证模块,包括:
第三解析模块,用于调用所述服务器中间件的所述第三函数从所述入网认证请求信息中解析得到所述终端签名证书、终端摘要值和终端签名值;
第三检验模块,用于检验所述终端签名证书是否合法和有效;
第三验签模块,用于在所述终端签名证书合法且有效的情况下,利用所述终端签名证书中的终端签名公钥和所述终端摘要值对所述终端签名值进行验签操作;
当所述入网认证类型为所述快速入网类型时,所述入网认证验证模块,包括:
第四读取模块,用于调用所述服务器中间件的所述第三函数从所述第二密码设备中读取得到所述终端签名证书;
第四解析模块,用于调用所述服务器中间件的所述第三函数从所述入网认证请求信息中解析得到所述终端摘要值和所述终端签名值;
第四验签模块,用于利用所述终端签名证书中的所述终端签名公钥和所述终端摘要值对所述终端签名值进行验签操作。
23.根据权利要求22所述的装置,其特征在于,所述入网认证响应模块,包括:
服务器签名证书读取模块,用于调用所述服务器中间件的所述第三函数从所述第二密码设备中读取得到服务器签名证书;
响应信息生成模块,用于根据所述服务器签名证书、所述服务器随机数和所述入网认证类型生成所述入网认证响应信息。
24.根据权利要求23所述的装置,其特征在于,当所述入网认证类型为所述实体终端类型或所述虚拟终端类型时,所述响应信息生成模块,包括:
第三计算模块,用于利用杂凑算法计算所述服务器随机数的服务器摘要值;
第三签名模块,用于利用所述服务器签名证书中的服务器签名私钥对所述服务器摘要值进行签名操作得到服务器签名值;
第三封装模块,用于将所述服务器签名证书、所述服务器摘要值和所述服务器签名值封装为所述入网认证响应信息;
当所述入网认证类型为所述快速入网类型时,所述响应信息生成模块,包括:
第四计算模块,用于利用所述杂凑算法计算所述服务器随机数的所述服务器摘要值;
第四签名模块,用于利用所述服务器签名证书中的所述服务器签名私钥对所述服务器摘要值进行签名操作得到服务器签名值;
第四封装模块,用于将所述服务器摘要值和所述服务器签名值封装为所述入网认证响应信息。
25.根据权利要求23所述的装置,其特征在于,所述入网认证验证模块,还用于调用所述服务器中间件的第四函数获取所述终端签名证书和所述服务器签名证书,根据所述终端签名证书和所述服务器签名证书对所述入网认证确认信息进行验证处理。
26.根据权利要求25所述的装置,其特征在于,当所述入网认证类型为所述实体终端类型或所述虚拟终端类型时,
所述第三解析模块,还用于调用所述服务器中间件的第四函数从所述入网认证确认信息中解析得到所述终端签名证书、所述服务器签名证书、所述终端摘要值、所述服务器摘要值、所述终端签名值和所述服务器签名值;
所述第三检验模块,还用于检验所述终端签名证书和所述服务器签名证书是否合法和有效;
所述第三验签模块,还用于在所述终端签名证书和所述服务器签名证书均合法且有效的情况下,利用所述终端签名证书中的所述终端签名公钥和所述终端摘要值对所述终端签名值进行验签操作,利用所述服务器签名证书中的服务器签名公钥和所述服务器摘要值对所述服务器签名值进行验签操作;
当所述入网认证类型为所述快速入网类型时,
所述第四读取模块,还用于调用所述服务器中间件的第四函数从所述第二密码设备中读取得到所述终端签名证书和所述服务器签名证书;
所述第四解析模块,还用于调用所述服务器中间件的第四函数从所述入网认证确认信息中解析得到所述终端摘要值、所述服务器摘要值、所述终端签名值和所述服务器签名值;
所述第四验签模块,还用于利用所述终端签名证书中的所述终端签名公钥和所述终端摘要值对所述终端签名值进行验签操作,并利用所述服务器签名证书中的所述服务器签名公钥和所述服务器摘要值对所述服务器签名值进行验签操作。
27.一种终端入网认证***,其特征在于,应用于视联网中,所述视联网包括终端和服务器,所述终端与所述服务器通信连接,其中,所述终端包括如权利要求14至19中任一项所述的终端入网认证装置;所述服务器包括如权利要求20至26中任一项所述的终端入网认证装置。
28.一种装置,其特征在于,包括:
一个或多个处理器;和
其上存储有指令的一个或多个机器可读介质,当由所述一个或多个处理器执行时,使得所述装置执行如权利要求1至13中任一项所述的终端入网认证方法。
29.一种计算机可读存储介质,其特征在于,其存储的计算机程序使得处理器执行如权利要求1至13中任一项所述的终端入网认证方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911329898.6A CN111147471B (zh) | 2019-12-20 | 2019-12-20 | 一种终端入网认证方法、装置、***和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911329898.6A CN111147471B (zh) | 2019-12-20 | 2019-12-20 | 一种终端入网认证方法、装置、***和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111147471A true CN111147471A (zh) | 2020-05-12 |
CN111147471B CN111147471B (zh) | 2023-02-28 |
Family
ID=70519210
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911329898.6A Active CN111147471B (zh) | 2019-12-20 | 2019-12-20 | 一种终端入网认证方法、装置、***和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111147471B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111800378A (zh) * | 2020-05-21 | 2020-10-20 | 视联动力信息技术股份有限公司 | 一种登录认证方法、装置、***和存储介质 |
CN113727059A (zh) * | 2021-08-31 | 2021-11-30 | 成都卫士通信息产业股份有限公司 | 多媒体会议终端入网认证方法、装置、设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101621433A (zh) * | 2008-07-02 | 2010-01-06 | 上海华为技术有限公司 | 接入设备的配置方法、装置及*** |
CN105450418A (zh) * | 2014-09-22 | 2016-03-30 | 中兴通讯股份有限公司 | Ike认证方法、ike发起终端、ike响应终端及ike认证*** |
CN108738019A (zh) * | 2017-04-25 | 2018-11-02 | 华为技术有限公司 | 融合网络中的用户认证方法及装置 |
CN110430043A (zh) * | 2019-07-05 | 2019-11-08 | 视联动力信息技术股份有限公司 | 一种认证方法、***及装置和存储介质 |
CN110535856A (zh) * | 2019-08-28 | 2019-12-03 | 视联动力信息技术股份有限公司 | 一种用户的认证方法、装置和存储介质 |
-
2019
- 2019-12-20 CN CN201911329898.6A patent/CN111147471B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101621433A (zh) * | 2008-07-02 | 2010-01-06 | 上海华为技术有限公司 | 接入设备的配置方法、装置及*** |
CN105450418A (zh) * | 2014-09-22 | 2016-03-30 | 中兴通讯股份有限公司 | Ike认证方法、ike发起终端、ike响应终端及ike认证*** |
CN108738019A (zh) * | 2017-04-25 | 2018-11-02 | 华为技术有限公司 | 融合网络中的用户认证方法及装置 |
CN110430043A (zh) * | 2019-07-05 | 2019-11-08 | 视联动力信息技术股份有限公司 | 一种认证方法、***及装置和存储介质 |
CN110535856A (zh) * | 2019-08-28 | 2019-12-03 | 视联动力信息技术股份有限公司 | 一种用户的认证方法、装置和存储介质 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111800378A (zh) * | 2020-05-21 | 2020-10-20 | 视联动力信息技术股份有限公司 | 一种登录认证方法、装置、***和存储介质 |
CN111800378B (zh) * | 2020-05-21 | 2023-08-11 | 视联动力信息技术股份有限公司 | 一种登录认证方法、装置、***和存储介质 |
CN113727059A (zh) * | 2021-08-31 | 2021-11-30 | 成都卫士通信息产业股份有限公司 | 多媒体会议终端入网认证方法、装置、设备及存储介质 |
CN113727059B (zh) * | 2021-08-31 | 2023-10-24 | 成都卫士通信息产业股份有限公司 | 多媒体会议终端入网认证方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN111147471B (zh) | 2023-02-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9419806B2 (en) | Trusted certificate authority to create certificates based on capabilities of processes | |
CN112737779B (zh) | 一种密码机服务方法、装置、密码机及存储介质 | |
CN109309565A (zh) | 一种安全认证的方法及装置 | |
CN111800378B (zh) | 一种登录认证方法、装置、***和存储介质 | |
CN111245870A (zh) | 基于移动终端的身份认证方法及相关装置 | |
EP2608477B1 (en) | Trusted certificate authority to create certificates based on capabilities of processes | |
KR20190028787A (ko) | 그래픽 코드 정보를 제공 및 획득하기 위한 방법 및 디바이스, 그리고 단말 | |
CN112671720A (zh) | 一种云平台资源访问控制的令牌构造方法、装置及设备 | |
CN110247758B (zh) | 密码管理的方法、装置及密码管理器 | |
CN105262592A (zh) | 一种数据交互的方法及api接口 | |
CN110011950A (zh) | 一种视频流地址的鉴权方法及装置 | |
CN111147471B (zh) | 一种终端入网认证方法、装置、***和存储介质 | |
CN114553590A (zh) | 数据传输方法及相关设备 | |
CN111241492A (zh) | 一种产品多租户安全授信方法、***及电子设备 | |
CN103368831A (zh) | 一种基于熟客识别的匿名即时通讯*** | |
CN104753879B (zh) | 终端认证云服务提供者的方法及***、云服务提供者认证终端的方法及*** | |
CN108667800A (zh) | 一种访问权限的认证方法及装置 | |
KR102053993B1 (ko) | 인증서를 이용한 사용자 인증 방법 | |
KR102016976B1 (ko) | 싱글 사인 온 서비스 기반의 상호 인증 방법 및 시스템 | |
CN102882882B (zh) | 一种用户资源授权方法 | |
CN115225286A (zh) | 应用访问鉴权方法及装置 | |
CN108599936A (zh) | 一种OpenStack开源云用户的安全认证方法 | |
CN114372241A (zh) | 一种物联网终端身份认证方法、***、装置与存储介质 | |
TWI576779B (zh) | Method and Method of Payment Authentication System for Internet of Things | |
CN113381982B (zh) | 注册方法、装置、电子设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |