CN112866236A - 一种基于简化数字证书的物联网身份认证*** - Google Patents

一种基于简化数字证书的物联网身份认证*** Download PDF

Info

Publication number
CN112866236A
CN112866236A CN202110052317.XA CN202110052317A CN112866236A CN 112866236 A CN112866236 A CN 112866236A CN 202110052317 A CN202110052317 A CN 202110052317A CN 112866236 A CN112866236 A CN 112866236A
Authority
CN
China
Prior art keywords
certificate
signature
internet
things
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110052317.XA
Other languages
English (en)
Other versions
CN112866236B (zh
Inventor
杨家全
冯勇
李响
李踔
王禹
李浩涛
罗恩博
栾思平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Electric Power Research Institute of Yunnan Power Grid Co Ltd
Original Assignee
Electric Power Research Institute of Yunnan Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Electric Power Research Institute of Yunnan Power Grid Co Ltd filed Critical Electric Power Research Institute of Yunnan Power Grid Co Ltd
Priority to CN202110052317.XA priority Critical patent/CN112866236B/zh
Publication of CN112866236A publication Critical patent/CN112866236A/zh
Application granted granted Critical
Publication of CN112866236B publication Critical patent/CN112866236B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请提供一种基于简化数字证书的物联网身份认证***,包括物联网终端设备、应用服务器及证书管理中心。证书管理中心被配置为:签发终端证书、服务器证书和签发者证书。物联网终端设备被配置为:发送认证请求,认证请求中包括终端随机数序列。应用服务器被配置为:响应认证请求,生成服务器随机数序列,对终端随机数序列及服务器随机数序列签名得到第一签名值。物联网终端设备还被配置为:通过第一签名值、服务器证书及签发者证书对应用服务器认证,如果认证成功,对终端随机数序列和服务器随机数序列签名得到第二签名值。应用服务器还被配置为:通过第二签名值、终端证书及签发者证书对物联网终端设备认证。本申请简化了认证流程,降低了时延。

Description

一种基于简化数字证书的物联网身份认证***
技术领域
本申请涉及物联网安全领域,尤其涉及一种基于简化数字证书的物联网身份认证***。
背景技术
物联网是指通过信息传感设备,按约定的协议,将任何物体与网络相连接。物体通过信息传播媒介进行信息交换和通信,以实现智能化识别、定位、跟踪、监管等功能,包括感知层、网络传输层和应用层。在实际应用中,如果想要建立通信,需要进行物联网中的物联网终端设备与应用服务器之间的身份认证。
一般的认证方法采用数字证书认证。当前数字证书的格式普遍采用X.509V3国际标准,一个标准的X.509数字证书包含以下一些内容:版本信息、序列号、签名算法、签发者、有效期、持有者、持有者公钥、签发者唯一标识、持有者唯一标识、扩展项以及证书签发者对证书的签名。在认证过程中,需要对数字证书中包含的内容进行物联网终端、应用服务器以及数字证书签发端之间的多级认证。
但是,数字证书中包含较多对认证无用的冗余信息,在认证过程中,冗余信息占中了物联网终端设备的大量存储空间,并且多级认证的方式给物联网终端带来了较大的延时。因此,这样的认证方法不适用于物联网终端设备。
发明内容
本申请提供一种基于简化数字证书的物联网身份认证***,以解决传统认证方式不适用于物联网终端设备的问题。
本申请提供一种基于简化数字证书的物联网身份认证***,包括:物联网终端设备、应用服务器以及证书管理中心;
所述证书管理中心被配置为:为所述物联网终端设备签发终端证书;为所述应用服务器签发服务器证书;以及为自身签发身份证书;所述终端证书、服务器证书及签发者证书为简化的数字证书;
所述物联网终端设备被配置为:向所述应用服务器发送认证请求,所述认证请求中包括终端随机数序列;
所述应用服务器被配置为:响应所述认证请求,生成服务器随机数序列,使用自身的签名私钥对所述终端随机数序列及所述服务器随机数序列进行签名,得到第一签名值;将所述第一签名值以及所述服务器证书发送至所述物联网终端设备;
所述物联网终端设备还被配置为:通过所述第一签名值、所述服务器证书以及所述签发者证书对所述应用服务器的身份进行认证,如果应用服务器身份认证成功,使用自身的签名私钥对所述终端随机数序列和所述服务器随机数序列进行签名,得到第二签名值,将所述第二签名值以及所述终端证书发送至所述应用服务器;
所述应用服务器还被配置为:通过所述第二签名值、所述终端证书以及所述签发者证书对所述物联网终端设备的身份进行认证,如果物联网终端设备身份认证成功,向所述物联网终端设备发送通知消息,以通知所述物联网终端设备认证成功。
可选的,还包括硬件密码模块,所述物联网终端设备还被配置为:存储所述终端证书以及所述签发者证书;存储自身的身份签名以及签名私钥;所述应用服务器还被配置为:存储所述服务器证书以及所述签发者证书;所述硬件密码模块被配置为:存储所述应用服务器的身份签名及签名私钥。
可选的,所述简化的数字证书包括签发者唯一标识、持有者唯一标识、持有者签名公钥、加密公钥、有效期、签名算法以及签发者对证书的签名。
可选的,所述物联网终端设备还被配置为:对所述服务器证书的有效期进行验证,如果有效期处于生效状态,有效期验证通过,使用所述签发者证书中的签名公钥和所述服务器证书中指定的签名算法,对所述服务器证书中包括的签发者对证书的签名进行数字签名验证运算;如果有效期处于未生效或已失效状态,有效期验证未通过,应用服务器身份认证失败。
可选的,所述物联网终端设备还被配置为:如果签发者对证书的签名的数字签名验证运算结果表明服务器证书的签名有效,服务器证书验证通过,使用所述服务器证书中的签名公钥和所述服务器证书中指定的签名算法,对所述第一签名值进行数字签名验证运算;如果签发者对证书的签名的数字签名验证运算结果表明服务器证书的签名无效,服务器证书验证未通过,应用服务器身份认证失败。
可选的,所述物联网终端设备还被配置为:如果第一签名值的数字签名验证运算结果表明第一签名值有效,第一签名值验证通过,应用服务器身份认证成功;如果第一签名值的数字签名验证运算结果表明第一签名值无效,第一签名值验证未通过,应用服务器身份认证失败。
可选的,所述应用服务器还被配置为:对所述终端证书的有效期进行验证,如果有效期处于生效状态,有效期验证通过,使用所述签发者证书中的签名公钥和所述终端证书中指定的签名算法,对所述终端证书中包括的签发者对证书的签名进行数字签名验证运算;如果有效期处于未生效或已失效状态,有效期验证未通过,物联网终端设备身份认证失败。
可选的,所述应用服务器还被配置为:如果签发者对证书的签名的数字签名验证运算结果表明终端证书的签名有效,终端证书验证通过,向所述证书管理中心查询所述终端证书的状态;如果签发者对证书的签名的数字签名验证运算结果表明终端证书的签名无效,终端证书验证未通过,物联网终端设备身份认证失败。
可选的,所述应用服务器还被配置为:如果查询到的所述终端证书的状态为生效,使用所述终端证书中的签名公钥和所述终端证书指定的签名算法,对所述第二签名值进行数字签名验证运算;如果查询到的所述终端证书的状态为吊销,物联网终端设备身份认证失败。
可选的,所述应用服务器还被配置为:如果第二签名值的数字签名验证运算结果表明第二签名值有效,第二签名值验证通过,物联网终端设备身份认证成功;如果第二签名值的数字签名验证运算结果表明第二签名值无效,第二签名值验证未通过,物联网终端设备身份认证失败。
由以上技术方案可知,本申请提供一种基于简化数字证书的物联网身份认证***,包括物联网终端设备、应用服务器及证书管理中心。证书管理中心被配置为:签发终端证书、服务器证书和签发者证书。物联网终端设备被配置为:发送认证请求,认证请求中包括终端随机数序列。应用服务器被配置为:响应认证请求,生成服务器随机数序列,对终端随机数序列及服务器随机数序列签名得到第一签名值。物联网终端设备还被配置为:通过第一签名值、服务器证书及签发者证书对应用服务器认证,如果认证成功,对终端随机数序列和服务器随机数序列签名得到第二签名值。应用服务器还被配置为:通过第二签名值、终端证书及签发者证书对物联网终端设备认证。本申请简化了认证流程,降低了时延。
附图说明
为了更清楚地说明本申请的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请一种基于简化数字证书的物联网身份认证***结构示意图;
图2为本申请应用服务器身份认证示意图;
图3为本申请物联网终端设备身份认证示意图。
具体实施方式
下面将详细地对实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下实施例中描述的实施方式并不代表与本申请相一致的所有实施方式。仅是与权利要求书中所详述的、本申请的一些方面相一致的***和方法的示例。
参见图1,为本申请一种基于简化数字证书的物联网身份认证***结构示意图。由图1可知,所述***包括:物联网终端设备、应用服务器以及证书管理中心。所述证书管理中心被配置为:为所述物联网终端设备签发终端证书CertT;为所述应用服务器签发服务器证书CertS;以及为自身签发身份证书;所述终端证书CertT、服务器证书CertS及签发者证书为简化的数字证书。
在实际应用中,物联网终端设备是物联网中连接传感网络层和传输网络层,实现采集数据及向网络层发送数据的设备。具有数据采集、初步处理、加密、传输等功能。为了提高物联网的安全性,在物联网终端设备与应用服务器之间进行数据交互等动作时,需要进行身份认证。所述证书管理中心起到为所述物联网终端设备及应用服务器签发数字证书的作用,通过数字证书实现所述物联网终端及应用服务器之间相互的身份认证。
进一步地,所述简化的数字证书可以包括签发者唯一标识、持有者唯一标识、持有者签名公钥、加密公钥、有效期、签名算法以及签发者对证书的签名。所述签发者唯一标识即为所述证书管理中心的标识。所述持有者唯一标识记为被签发证书的一方的标识,在本申请实施例中,持有者即为物联网终端设备及应用服务器。有效期即为所述数字证书的有效时间,只有当数字证书在有效期内时才有效,否则数字证书即为未生效或已失效。具体的,简化的数字证书可以以基于ASN.1抽象语法标记的格式进行描述。ASN.1抽象语法标记(Abstract Syntax Notation One)描述了一种对数据进行表示、编码、传输和解码的数据格式。
Certificate::=SEQUENCE{
issuerUniqueID BIT STRING,
subjectUniqueID BIT STRING,
signPublicKey BIT STRING,
encPublicKey BIT STRING,
notBeforeTime GeneralizedTime,
notAfterTime GeneralizedTime,
signAlgorithm OBJECT IDENTIFIER,
signatureValue BIT STRING}
其中,issuerUniqueID表示所述签发者唯一标识;subjectUniqueID表示持有者唯一标识;signPublicKey表示持有者签名公钥;encPublicKey表示加密公钥;notBeforeTime及notAfterTime表示有效期,也即有效期由notBeforeTime及notAfterTime决定;signAlgorithm表示签名算法;signatureValue表示签发者对证书的签名。
在实际应用中,简化的数字证书能够对于物联网适用性更强,避免了占用过多的储存空间。并且,依托简化的数字证书进行物联网中的身份认证,能够避免带来较大延时,消耗的计算性能较低。同时,简化的数字证书同时包含了持有者签名公钥和加密公钥,在一个证书中实现了双密钥体制。
继续参见图1,所述物联网终端设备被配置为:向所述应用服务器发送认证请求,所述认证请求中包括终端随机数序列RT
在实际应用中,所述认证请求中还可以包括设备标识DevID。所述认证请求用于建立物联网终端设备与应用服务器之间的联系。
所述应用服务器可以被配置为:响应所述认证请求,生成服务器随机数序列RS,使用自身的签名私钥对所述终端随机数序列RT及所述服务器随机数序列RS进行签名,得到第一签名值;将所述第一签名值以及所述服务器证书CertS发送至所述物联网终端设备。
在本实施例中,所述应用服务器还可以被配置为:在响应所述认证请求时,验证所述设备标识DevID是否符合预定的标识规则,如果验证符合,继续生成服务器随机数序列RS。所述第一签名值可以是对所述终端随机数序列RT及所述服务器随机数序列RS形成的组合序列进行签名得到的签名结果。
进一步地,所述物联网终端设备对应用服务器进行身份认证,具体的,利用所述第一签名值及所述服务器证书CertS进行验证。
所述物联网终端设备还可以被配置为:通过所述第一签名值、所述服务器证书CertS以及所述签发者证书对所述应用服务器的身份进行认证,如果应用服务器身份认证成功,使用自身的签名私钥对所述终端随机数序列和所述服务器随机数序列进行签名,得到第二签名值,将所述第二签名值以及所述终端证书CertT发送至所述应用服务器。
在本实施例中,所述第二签名值可以是对所述终端随机数序列RT及所述服务器随机数序列RS形成的组合序列进行签名得到的签名结果。
参见图2,为本申请应用服务器身份认证示意图。由图2可知:
所述物联网终端设备还被配置为:对所述服务器证书CertS的有效期进行验证,如果有效期处于生效状态,有效期验证通过,使用所述签发者证书中的签名公钥和所述服务器证书CertS中指定的签名算法,对所述服务器证书CertS中包括的签发者对证书的签名进行数字签名验证运算;如果有效期处于未生效或已失效状态,有效期验证未通过,应用服务器身份认证失败。
在本实施例中,如果所述服务器证书CertS是在有效期内的,也就可以说明服务器证书CertS处于生效状态,如果所述服务器证书CertS不在有效期内的,也就可以说明服务器证书CertS处于失效或者未生效的状态。失效或者未生效的服务器证书CertS不能使所述应用服务器通过所述物联网终端设备的身份认证,也即应用服务器身份认证失败。
所述物联网终端设备还被配置为:如果签发者对证书的签名的数字签名验证运算结果表明服务器证书CertS的签名有效,服务器证书CertS验证通过,使用所述服务器证书CertS中的签名公钥和所述服务器证书CertS中指定的签名算法,对所述第一签名值进行数字签名验证运算;如果签发者对证书的签名的数字签名验证运算结果表明服务器证书的签名无效,服务器证书CertS验证未通过,应用服务器身份认证失败。
在本实施例中,数字签名验证是使用签名私钥对应的签名公钥对数据或消息的数字签名进行签名验证运算,上述签名公钥是数字证书中保存的签名公钥。通过运算结果可以看出该数字签名是否是由证书对应的签名私钥生成的。所述服务器证书CertS中包括的签发者对证书的签名,即为证书管理中心对所述服务器证书CertS的签名。
所述物联网终端设备还可以被配置为:如果第一签名值的数字签名验证运算结果表明第一签名值有效,第一签名值验证通过,应用服务器身份认证成功;如果第一签名值的数字签名验证运算结果表明第一签名值无效,第一签名值验证未通过,应用服务器身份认证失败。
在本申请的技术方案中,物联网终端设备对应用服务器的身份认证成功后,还应进行应用服务器对物联网终端设备的身份认证。
所述应用服务器还可以被配置为:通过所述第二签名值、所述终端证书CertT以及所述签发者证书对所述物联网终端设备的身份进行认证,如果物联网终端设备身份认证成功,向所述物联网终端设备发送通知消息,以通知所述物联网终端设备认证成功。
参见图3,为本申请物联网终端设备身份认证示意图。由图3可知,
所述应用服务器还被配置为:对所述终端证书CertT的有效期进行验证,如果有效期处于生效状态,有效期验证通过,使用所述签发者证书中的签名公钥和所述终端证书中指定的签名算法,对所述终端证书CertT中包括的签发者对证书的签名进行数字签名验证运算;如果有效期处于未生效或已失效状态,有效期验证未通过,物联网终端设备身份认证失败。
在本实施例中,如果所述终端证书CertT是在有效期内的,也就可以说明终端证书CertT处于生效状态,如果所述终端证书CertT不在有效期内的,也就可以说明终端证书CertT处于失效或者未生效的状态。失效或者未生效的终端证书CertT不能使所述物联网终端设备通过所述应用服务器的身份认证,也即物联网终端设备身份认证失败。
所述应用服务器还可以被配置为:如果签发者对证书的签名的数字签名验证运算结果表明终端证书的签名有效,终端证书CertT验证通过,向所述证书管理中心查询所述终端证书CertT的状态;如果签发者对证书的签名的数字签名验证运算结果表明终端证书的签名无效,终端证书CertT验证未通过,物联网终端设备身份认证失败。
在本实施例中,所述终端证书CertT中包括的签发者对证书的签名,即为证书管理中心对所述终端证书CertT的签名。
所述应用服务器还被配置为:如果查询到的所述终端证书CertT的状态为生效,使用所述终端证书CertT中的签名公钥和所述终端证书指定的签名算法,对所述第二签名值进行数字签名验证运算;如果查询到的所述终端证书CertT的状态为吊销,物联网终端设备身份认证失败。
在本实施例中,存在终端证书被吊销的情况,当物联网终端设备存在违法操作时,所述证书管理中心可以被配置为吊销所述终端证书CertT,并记录终端证书CertT的状态。所述应用服务器可以被配置为向所述证书管理中心查询所述终端证书CertT的状态。被吊销的终端证书CertT不能通过应用服务器的认证,也就是说,物联网终端设备不能通过身份认证。
所述应用服务器还被配置为:如果第二签名值的数字签名验证运算结果表明第二签名值有效,第二签名值验证通过,物联网终端设备身份认证成功;如果第二签名值的数字签名验证运算结果表明第二签名值无效,第二签名值验证未通过,物联网终端设备身份认证失败。
在本申请的技术方案中,还可以包括硬件密码模块,所述物联网终端设备还被配置为:存储所述终端证书CertT以及所述签发者证书;存储自身的身份签名以及签名私钥;所述应用服务器还被配置为:存储所述服务器证书CertS以及所述签发者证书;所述硬件密码模块被配置为:存储所述应用服务器的身份签名及签名私钥。
在实际应用中,将应用服务器的身份签名以及签名私钥保存在硬件密码模块中,能够确保签名私钥不被泄露,也就保证了不会出现服务器证书CertS因私钥泄露而被吊销的情况。进一步地,避免了物联网终端设备对服务器证书状态的验证,简化了步骤,提升了身份认证的效率。
由以上技术方案可知,本申请提供一种基于简化数字证书的物联网身份认证***,所述***包括:物联网终端设备、应用服务器以及证书管理中心;所述证书管理中心被配置为:为所述物联网终端设备签发终端证书;为所述应用服务器签发服务器证书;以及为自身签发身份证书;所述终端证书、服务器证书及签发者证书为简化的数字证书;所述物联网终端设备被配置为:向所述应用服务器发送认证请求,所述认证请求中包括终端随机数序列;所述应用服务器被配置为:响应所述认证请求,生成服务器随机数序列,使用自身的签名私钥对所述终端随机数序列及所述服务器随机数序列进行签名,得到第一签名值;将所述第一签名值以及所述服务器证书发送至所述物联网终端设备;所述物联网终端设备还被配置为:通过所述第一签名值、所述服务器证书以及所述签发者证书对所述应用服务器的身份进行认证,如果应用服务器身份认证成功,使用自身的签名私钥对所述终端随机数序列和所述服务器随机数序列进行签名,得到第二签名值,将所述第二签名值以及所述终端证书发送至所述应用服务器;所述应用服务器还被配置为:通过所述第二签名值、所述终端证书以及所述签发者证书对所述物联网终端设备的身份进行认证,如果物联网终端设备身份认证成功,向所述物联网终端设备发送通知消息,以通知所述物联网终端设备认证成功。本申请提供的技术方案,采用单层的证书签发体系,无需进行复杂的证书链验证。物联网终端设备无需查询和验证服务器证书的状态,简化了认证流程,降低了通信时延。
本申请提供的实施例之间的相似部分相互参见即可,以上提供的具体实施方式只是本申请总的构思下的几个示例,并不构成本申请保护范围的限定。对于本领域的技术人员而言,在不付出创造性劳动的前提下依据本申请方案所扩展出的任何其他实施方式都属于本申请的保护范围。

Claims (10)

1.一种基于简化数字证书的物联网身份认证***,其特征在于,包括:物联网终端设备、应用服务器以及证书管理中心;
所述证书管理中心被配置为:为所述物联网终端设备签发终端证书;为所述应用服务器签发服务器证书;以及为自身签发身份证书;所述终端证书、服务器证书及签发者证书为简化的数字证书;
所述物联网终端设备被配置为:向所述应用服务器发送认证请求,所述认证请求中包括终端随机数序列;
所述应用服务器被配置为:响应所述认证请求,生成服务器随机数序列,使用自身的签名私钥对所述终端随机数序列及所述服务器随机数序列进行签名,得到第一签名值;将所述第一签名值以及所述服务器证书发送至所述物联网终端设备;
所述物联网终端设备还被配置为:通过所述第一签名值、所述服务器证书以及所述签发者证书对所述应用服务器的身份进行认证,如果应用服务器身份认证成功,使用自身的签名私钥对所述终端随机数序列和所述服务器随机数序列进行签名,得到第二签名值,将所述第二签名值以及所述终端证书发送至所述应用服务器;
所述应用服务器还被配置为:通过所述第二签名值、所述终端证书以及所述签发者证书对所述物联网终端设备的身份进行认证,如果物联网终端设备身份认证成功,向所述物联网终端设备发送通知消息,以通知所述物联网终端设备认证成功。
2.根据权利要求1所述的基于简化数字证书的物联网身份认证***,其特征在于,还包括硬件密码模块,所述物联网终端设备还被配置为:存储所述终端证书以及所述签发者证书;存储自身的身份签名以及签名私钥;所述应用服务器还被配置为:存储所述服务器证书以及所述签发者证书;所述硬件密码模块被配置为:存储所述应用服务器的身份签名及签名私钥。
3.根据权利要求1所述的基于简化数字证书的物联网身份认证***,其特征在于,所述简化的数字证书包括签发者唯一标识、持有者唯一标识、持有者签名公钥、加密公钥、有效期、签名算法以及签发者对证书的签名。
4.根据权利要求1所述的基于简化数字证书的物联网身份认证***,其特征在于,所述物联网终端设备还被配置为:对所述服务器证书的有效期进行验证,如果有效期处于生效状态,有效期验证通过,使用所述签发者证书中的签名公钥和所述服务器证书中指定的签名算法,对所述服务器证书中包括的签发者对证书的签名进行数字签名验证运算;如果有效期处于未生效或已失效状态,有效期验证未通过,应用服务器身份认证失败。
5.根据权利要求4所述的基于简化数字证书的物联网身份认证***,其特征在于,其特征在于,所述物联网终端设备还被配置为:如果签发者对证书的签名的数字签名验证运算结果表明服务器证书的签名有效,服务器证书验证通过,使用所述服务器证书中的签名公钥和所述服务器证书中指定的签名算法,对所述第一签名值进行数字签名验证运算;如果签发者对证书的签名的数字签名验证运算结果表明服务器证书的签名无效,服务器证书验证未通过,应用服务器身份认证失败。
6.根据权利要求5所述的基于简化数字证书的物联网身份认证***,其特征在于,所述物联网终端设备还被配置为:如果第一签名值的数字签名验证运算结果表明第一签名值有效,第一签名值验证通过,应用服务器身份认证成功;如果第一签名值的数字签名验证运算结果表明第一签名值无效,第一签名值验证未通过,应用服务器身份认证失败。
7.根据权利要求1所述的基于简化数字证书的物联网身份认证***,其特征在于,所述应用服务器还被配置为:对所述终端证书的有效期进行验证,如果有效期处于生效状态,有效期验证通过,使用所述签发者证书中的签名公钥和所述终端证书中指定的签名算法,对所述终端证书中包括的签发者对证书的签名进行数字签名验证运算;如果有效期处于未生效或已失效状态,有效期验证未通过,物联网终端设备身份认证失败。
8.根据权利要求7所述的基于简化数字证书的物联网身份认证***,其特征在于,所述应用服务器还被配置为:如果签发者对证书的签名的数字签名验证运算结果表明终端证书的签名有效,终端证书验证通过,向所述证书管理中心查询所述终端证书的状态;如果签发者对证书的签名的数字签名验证运算结果表明终端证书的签名无效,终端证书验证未通过,物联网终端设备身份认证失败。
9.根据权利要求8所述的基于简化数字证书的物联网身份认证***,其特征在于,所述应用服务器还被配置为:如果查询到的所述终端证书的状态为生效,使用所述终端证书中的签名公钥和所述终端证书指定的签名算法,对所述第二签名值进行数字签名验证运算;如果查询到的所述终端证书的状态为吊销,物联网终端设备身份认证失败。
10.根据权利要求9所述的基于简化数字证书的物联网身份认证***,其特征在于,所述应用服务器还被配置为:如果第二签名值的数字签名验证运算结果表明第二签名值有效,第二签名值验证通过,物联网终端设备身份认证成功;如果第二签名值的数字签名验证运算结果表明第二签名值无效,第二签名值验证未通过,物联网终端设备身份认证失败。
CN202110052317.XA 2021-01-15 2021-01-15 一种基于简化数字证书的物联网身份认证*** Active CN112866236B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110052317.XA CN112866236B (zh) 2021-01-15 2021-01-15 一种基于简化数字证书的物联网身份认证***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110052317.XA CN112866236B (zh) 2021-01-15 2021-01-15 一种基于简化数字证书的物联网身份认证***

Publications (2)

Publication Number Publication Date
CN112866236A true CN112866236A (zh) 2021-05-28
CN112866236B CN112866236B (zh) 2023-03-31

Family

ID=76005786

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110052317.XA Active CN112866236B (zh) 2021-01-15 2021-01-15 一种基于简化数字证书的物联网身份认证***

Country Status (1)

Country Link
CN (1) CN112866236B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114640467A (zh) * 2022-03-15 2022-06-17 微位(深圳)网络科技有限公司 基于业务的数字证书查询方法及***
CN114666155A (zh) * 2022-04-08 2022-06-24 深圳市欧瑞博科技股份有限公司 设备接入方法、***、装置、物联网设备和网关设备
CN114710289A (zh) * 2022-06-02 2022-07-05 确信信息股份有限公司 物联网终端安全注册和接入方法及***

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105871867A (zh) * 2016-04-27 2016-08-17 腾讯科技(深圳)有限公司 身份认证方法、***及设备
US20180181739A1 (en) * 2015-08-27 2018-06-28 Alibaba Group Holding Limited Identity authentication using biometrics
CN110879879A (zh) * 2018-09-05 2020-03-13 航天信息股份有限公司 物联网身份认证方法、装置、电子设备、***及存储介质
CN111083131A (zh) * 2019-12-10 2020-04-28 南瑞集团有限公司 一种用于电力物联网感知终端轻量级身份认证的方法
CN112187808A (zh) * 2020-09-30 2021-01-05 徐凌魁 一种交通电子认证平台及认证方法
CN112202721A (zh) * 2020-09-08 2021-01-08 辽宁丰沃新能源有限公司 一种电力企业物联终端智能化安全***

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180181739A1 (en) * 2015-08-27 2018-06-28 Alibaba Group Holding Limited Identity authentication using biometrics
CN105871867A (zh) * 2016-04-27 2016-08-17 腾讯科技(深圳)有限公司 身份认证方法、***及设备
CN110879879A (zh) * 2018-09-05 2020-03-13 航天信息股份有限公司 物联网身份认证方法、装置、电子设备、***及存储介质
CN111083131A (zh) * 2019-12-10 2020-04-28 南瑞集团有限公司 一种用于电力物联网感知终端轻量级身份认证的方法
CN112202721A (zh) * 2020-09-08 2021-01-08 辽宁丰沃新能源有限公司 一种电力企业物联终端智能化安全***
CN112187808A (zh) * 2020-09-30 2021-01-05 徐凌魁 一种交通电子认证平台及认证方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
廖会敏: "泛在电力物联网信息安全综述", 《电力信息与通信技术》 *
蒲志强: "一种基于AAA 证书和身份签名的混合认证方法", 《四川师范大学学报(自然科学版)》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114640467A (zh) * 2022-03-15 2022-06-17 微位(深圳)网络科技有限公司 基于业务的数字证书查询方法及***
CN114666155A (zh) * 2022-04-08 2022-06-24 深圳市欧瑞博科技股份有限公司 设备接入方法、***、装置、物联网设备和网关设备
CN114666155B (zh) * 2022-04-08 2024-04-16 深圳市欧瑞博科技股份有限公司 设备接入方法、***、装置、物联网设备和网关设备
CN114710289A (zh) * 2022-06-02 2022-07-05 确信信息股份有限公司 物联网终端安全注册和接入方法及***

Also Published As

Publication number Publication date
CN112866236B (zh) 2023-03-31

Similar Documents

Publication Publication Date Title
CN112953727B (zh) 一种面向物联网的设备匿名身份认证方法及***
CN112866236B (zh) 一种基于简化数字证书的物联网身份认证***
CN1777096B (zh) 用于口令保护的方法和设备
US6535980B1 (en) Keyless encryption of messages using challenge response
KR100962399B1 (ko) 익명 공개 키 기반구조 제공 방법 및 이를 이용한 서비스제공 방법
Toorani et al. LPKI-a lightweight public key infrastructure for the mobile environments
CN111262692B (zh) 基于区块链的密钥分发***和方法
EP2472772B1 (en) Method and system for entity public key acquiring, certificate validation and authentication by introducing an online credible third party
US10742426B2 (en) Public key infrastructure and method of distribution
WO2008009183A1 (fr) Procédé d'authentification à distance par mot de passe reposant sur la carte intelligente, et carte intelligente, serveur, et système correspondants
CN101931536B (zh) 一种无需认证中心的高效数据加密及认证方法
CN107454077A (zh) 一种基于iki标识认证的单点登录方法
CN114710289B (zh) 物联网终端安全注册和接入方法及***
CN115102695A (zh) 基于区块链的车联网证书认证方法
WO2004032416A1 (en) Public key cryptography and a framework therefor
CN117278330B (zh) 一种电力物联网设备网络的轻量级组网与安全通信方法
CN116684093B (zh) 身份认证与密钥交换方法及***
EP2359525B1 (en) Method for enabling limitation of service access
Yang et al. Blockchain-based conditional privacy-preserving authentication protocol with implicit certificates for vehicular edge computing
Zhang et al. Certificateless hybrid signcryption by a novel protocol applied to internet of things
CN115883105A (zh) 认证连接方法、***、电子设备及计算机存储介质
KR101256114B1 (ko) 다수의 mac검증서버에 의한 메시지인증코드 검증 방법 및 시스템
Bindel et al. The need for being explicit: Failed attempts to construct implicit certificates from lattices
Ding et al. Equipping smart devices with public key signatures
CN114301612A (zh) 信息处理方法、通信设备和加密设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant