本發明專利技術涉及一種基于數字證書的移動設備可信接入方法,接入方法包括數字證書發放和設備接入主站兩個步驟;所述數字證書發放是在設備接入主站之前完成的。該方法能夠支持設備對主站的身份認證,解決了傳統協議中無法檢驗假冒主站的問題,能夠很好的滿足此類網絡中對于身份認證的需求。
【技術實現步驟摘要】
本專利技術涉及設備接入領域,具體涉及ー種基于數字證書的移動設備可信接入方法。
技術介紹
近年來信息產業飛速發展,信息的安全性受到了越來越大的關注,身份認證是ー種重要的信息安全技術手段,隨著身份認證技術發展越來越成熟,它被廣泛應用于很多的網絡中。但是ー些覆蓋范圍廣,結構復雜,實時性較高的信息網絡,例如,用電信息采集系統 對傳統的認證方式提出了新的要求,網絡結構的特殊性決定了常用的身份認證協議并不能滿足它對信息安全的要求。常用的身份認證協議,例如安全傳輸協議(SSL),存在著一些比較協議上的漏洞,容易受到攻擊。例如,容易受到密碼算法組及版本號等回滾攻擊;不支持國產加密算法;不能提供不可否認性。另ー方面,對于主站-終端的鏈式網絡結構,終端無法直接與CA系統進行通信,所以使用常用的認證協議無法實現終端對主站的認證。在工程實際應用時存在如下問題(I)終端不能直接查詢在線證書狀態協議(Online Certification StatusProtocol, OCSP)月艮務器在簽發數字證書階段,主站與終端的數字證書均為同一級別CA機構簽發。受實際應用中網絡拓撲的限制,終端位于主站下方,與主站屬于上下級關系。數字證書查詢有效性包括身份查詢、hash值比對、是否在有效期、CRL列表。對于前三項有效性的校驗在終端內部可以操作完成,對于CRL列表一般需要訪問OCSP服務器來確認所用證書是否已經被撤銷。終端無法直接連接CA系統。從而主站在檢查終端數字證書的有效性時可以通過連接OCSP服務器查詢CRL列表得知該數字證書是否被撤銷,而終端在檢查主站數字證書時卻無法連接OCSP服務器,也就無法認證主站證書的有效性。(2)假冒主站無法識別由于SSL協議的漏洞可以利用終端中芯片或者主站的測試芯片假冒主站。廢棄的或是撤壞掉的終端芯片中包含有終端的數字證書、證書私鑰、預置的對稱密鑰等機密信息,鑒于終端證書與主站證書由同一 CA簽發,為同一級證書。因此,攻擊者可利用廢棄芯片來假冒主站。
技術實現思路
針對現有技術的不足,本專利技術提供,該方法能夠支持設備對主站的身份認證,解決了傳統協議中無法檢驗假冒主站的問題,能夠很好的滿足此類網絡中對于身份認證的需求。本專利技術的目的是采用下述技術方案實現的,其改進之處在于,所述接入方法包括數字證書發放和設備接入主站兩個步驟;所述數字證書發放是在設備接入主站之前完成的。進ー步,所述數字證書發放是指證書發放中心將數字證書發送給設備,主站和CRL;所述數字證書是由證書發放中心發放的,所述數字證書中有類型標識位,所述類型標識位用來判斷持有該證書的是設備、主站或CRL。進ー步,所述證書發放中心是指CA證書系統內數字證書生成和發放的服務器,為整個系統提供證書發放和更新服務;所述證書發放中心分為兩級,第一級是根CA證書系統,第二級是運行CA證書系統。進ー步,所述數字證書是指證明證書持有者身份的電子文件;所述數字證書包括普通證書和證書鏈兩種;所述證書鏈包括證書發放者的證書,用來驗證證書源的有效性。進ー步,所述CRL是指證書撤銷列表;所述CRL中存儲被撤銷證書的序列號,通過網絡訪問CRL查詢證書的序列號是否已被撤銷。 進ー步,所述設備接入主站是指設備通過自身持有的數字證書接入主站,設備接入主站時進行主站對設備的身份認證和設備對主站的身份認證。進ー步,所述主站對設備的身份認證是指主站檢驗設備證書的有效性,主站通過證書鏈和證書有效期驗證設備持有的證書是合法的;主站通過查詢CRL檢驗設備的證書是否被撤銷。進ー步,所述設備對主站的身份認證是指設備檢驗主站證書的有效性,設備首先通過證書鏈和證書有效期驗證主站的證書的合法性,其次設備通過主站連接CRL查詢主站的證書是否被撤銷。進ー步,所述設備接入主站包括下述步驟A、設備向主站發送證書;B、檢驗設備向主站發送的證書是否合法如果合法,則進行步驟C ;否則返回步驟A ;C、減壓橫豎是否被撤銷如果被撤銷,則進行步驟D ;否則返回步驟A ;D、主站向設備發送證書;E、檢驗主站向設備發送的證書是否合法如果合法,則進行步驟F ;否則返回步驟D ;F、設備發送主站證書序列號并查詢隨機碼;G、主站將證書序列號和隨機碼換發給CRL并簽名;H、所述CRL查詢證書是否被撤銷回復信息并簽名給主站;I、主站轉發CRL回復信息給設備;J、所述設備驗證主站證書是否被撤銷如果被撤銷,則進行步驟K ;否則返回步驟I ;K、設備接入主站。與現有技術比,本專利技術達到的有益效果是(I)増加了設備對主站的身份認證,保證了主站身份的正確性。解決了傳統協議中無法檢驗假冒主站的問題;(2)使用證書鏈解決了證書存儲分發的問題,設備與主站之間的認證更加方便,安全;(3)在主站側建立證書撤銷列表CRL,縮短了主站查詢證書撤銷的時間開銷;(4)該方法能夠支持設備對主站的身份認證,解決了傳統協議中無法檢驗假冒主站的問題,能夠很好的滿足此類網絡中對于身份認證的需求。附圖說明圖I是本專利技術提供的設備接入總體流程示意圖;圖2是本專利技術提供的數字證書發放 示意圖;圖3是本專利技術提供的身份認證示意圖;圖4是本專利技術提供的設備接入主站流程示意圖。具體實施例方式下面結合附圖對本專利技術的具體實施方式作進ー步的詳細說明。本專利技術提供的設備接入總體流程如圖I所示,本專利技術ー種基于數字證書的移動設備可信接入方法,包括數字證書發放和設備接入主站兩個步驟,數字證書發放是在設備接入王站之如完成。本專利技術提供的證書發放如圖2所示,數字證書發放是指證書發放中心將數字證書發送給設備,主站和證書撤銷列表CRL。證書發放中心是指系統內所有數字證書的生成和發放的服務器,證書發放中心分為兩級,第一級是根CA證書系統,第二級是運行CA證書系統,證書發放中心是可信任的,為整個系統提供證書發放,更新服務;數字證書,是指能夠證明證書持有者身份的電子文件。數字證書包括普通證書和證書鏈兩種,證書鏈中包括證書發放者的一系列證書,可以用來驗證證書源的有效性,數字證書中有類型標識位,用來標識持有該證書的是設備、主站還是證書撤銷列表CRL ;其中的CRL是指證書撤銷列表,存儲了被撤銷的證書的序列號,通過網絡可以訪問證書撤銷列表CRL可以查詢證書的序列號是否已被撤銷。如圖3所示,設備接入主站,是指設備通過自身持有的數字證書接入主站,設備接入主站時進行主站對設備的身份認證和設備對主站的身份認證。主站對設備的身份認證,是指主站檢驗設備證書的有效性,主站首先通過證書鏈和證書有效期驗證設備持有的證書是合法的,其次主站通過查詢證書撤銷列表CRL確認設備的證書是否被撤銷;設備對主站的身份認證,是指設備檢驗主站證書的有效性,設備首先通過證書鏈和證書有效期驗證主站的證書的合法性,其次設備通過主站連接證書撤銷列表CRL查詢主站的證書是否被撤銷。設備接入主站具體流程如圖4所示,首先設備向主站發送證書,主站接收證書并通過自身持有的證書鏈判斷證書的頒發者是否合法,查看證書是否過期,其次訪問證書撤銷列表CRL查詢證書是否被撤銷,若證書合法且沒有被撤銷則主站向設備發送證書,完成主站對設備的認證,否則結束進程;主站向設備發送證書,設備通過證書鏈判斷主站證書的頒發者是否合法,查看證書是否過期,若證書合法且沒有過期,則提取主站證書的序列號添加隨機碼發送查本文檔來自技高網...
【技術保護點】
一種基于數字證書的移動設備可信接入方法,其特征在于,所述接入方法包括數字證書發放和設備接入主站兩個步驟;所述數字證書發放是在設備接入主站之前完成的。
【技術特征摘要】
1.一種基于數字證書的移動設備可信接入方法,其特征在于,所述接入方法包括數字證書發放和設備接入主站兩個步驟;所述數字證書發放是在設備接入主站之前完成的。2.如權利要求I所述的移動設備可信接入方法,其特征在于,所述數字證書發放是指證書發放中心將數字證書發送給設備,主站和CRL ;所述數字證書是由證書發放中心發放的,所述數字證書中有類型標識位,所述類型標識位用來判斷持有該證書的是設備、主站或CRL。3.如權利要求2所述的移動設備可信接入方法,其特征在干,所述證書發放中心是指CA證書系統內數字證書生成和發放的服務器,為整個系統提供證書發放和更新服務;所述證書發放中心分為兩級,第一級是根CA證書系統,第二級是運行CA證書系統。4.如權利要求2所述的移動設備可信接入方法,其特征在于,所述數字證書是指證明證書持有者身份的電子文件;所述數字證書包括普通證書和證書鏈兩種;所述證書鏈包括證書發放者的證書,用來驗證證書源的有效性。5.如權利要求2所述的移動設備可信接入方法,其特征在于,所述CRL是指證書撤銷列表;所述CRL中存儲被撤銷證書的序列號,通過網絡訪問CRL查詢證書的序列號是否已被撤銷。6.如權利要求I所述的移動設備可信接入方法,其特征在于,所述設備接入主站是指設備通過自身持有的數字證書接入主站,設備接入主站時進行主站...
【專利技術屬性】
技術研發人員:劉鷹,趙兵,呂英杰,徐英輝,翟峰,章欣,李寶豐,付義倫,孫志強,梁曉兵,
申請(專利權)人:中國電力科學研究院,國家電網公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。