本发明专利技术涉及一种认证管理方法、赋权服务器、终端设备和认证管理系统,属于数据处理领域。本发明专利技术所述的方法,赋权服务器获取终端设备发送的第一序列号,第一序列号为终端设备上的认证模块的标识信息;赋权服务器判断预存的管理信息文件中是否有与第一序列号对应的认证密钥,管理信息文件包括序列号和认证密钥的对应关系;若管理信息文件中有与第一序列号对应的认证密钥,则赋权服务器扣减管理信息文件中的授权次数,以及使用认证密钥生成认证密文;赋权服务器向终端设备发送认证密文,以使终端设备通过认证模块在校验认证密文成功后,执行预设操作。采用本发明专利技术所述的方法可提高认证管理的安全性。
A certification management method and related equipment
【技术实现步骤摘要】
一种认证管理方法和相关设备
本专利技术属于数据处理领域,具体涉及一种认证管理方法、赋权服务器、终端设备和认证管理系统。
技术介绍
目前安全认证模块使用场景多为脱机模式,这些安全认证模块的认证过程涉及密钥的管理。设置在脱机模式的终端设备上的安全认证模块的安全性保护,目前只是通过安全认证模块内部的密钥管理机制实现,例如通过密钥错误的尝试次数控制,或者通过物理防拆卸的机制防止安全认证模块被强拆。但是,安全认证模块现有的密钥管理机制,无法应对被盗窃后非法的认证场合。并且全国包括公交在内的众多公共事业应用的非联网密钥管理处于“有技术、无管理、有应用、无监管”的危险境地,没有对应的管理规章来明确各个单位的职责和分工、义务、权利,以及密钥使用的管理规范和业务流程,进一步造成现在的密钥管理存在漏洞。例如:以销售点终端安全存取模块(PurchaseSecureAccessModule,PSAM)卡为代表的密钥介质管理不规范,已造成部分密钥介质的丢失,一旦非法人员获取PSAM卡,既可以用来修改系统中电子不停车收费系统(ElectronicTollCollection,ETC)用户卡的入站信息,达到偷逃通行费的目的,也可以对客户进行恶意扣费甚至清空ETC用户卡的文件,同时,部分省份委托银行等代理发行机构使用PSAM卡脱机进行车载单元(OnboardUnit,OBU)二发,这类发行PSAM卡一旦丢失,存在被直接修改OBU车型(大车小标)等风险。
技术实现思路
针对现有技术中存在的缺陷,本专利技术的目的是提供一种认证管理方法、赋权服务器、终端设备和认证管理系统,该证管理方法、赋权服务器、终端设备和认证管理系统能够提高认证管理的安全性。为达到以上目的,本专利技术采用的技术方案是:一种认证管理方法,包括以下步骤:赋权服务器获取终端设备发送的第一序列号,所述第一序列号为所述终端设备上的认证模块的标识信息;所述赋权服务器判断预存的管理信息文件中是否有与所述第一序列号对应的认证密钥,所述管理信息文件包括序列号和认证密钥的对应关系;若所述管理信息文件中有与所述第一序列号对应的认证密钥,则所述赋权服务器扣减所述管理信息文件中的授权次数,以及使用所述认证密钥生成认证密文;所述赋权服务器向所述终端设备发送所述认证密文,以使所述终端设备通过所述认证模块在校验所述认证密文成功后,执行预设操作。进一步,如上所述的一种认证管理方法,所述赋权服务器获取终端设备发送的第一序列号之前,所述方法还包括:所述赋权服务器向服务中心系统发送第二序列号和管理信息文件,以使所述服务中心系统认证所述第二序列号通过后,更新所述管理信息文件,所述第二序列号为所述赋权服务器上的安全认证设备的标识信息;所述赋权服务器获取所述服务中心系统发送的更新后的管理信息文件;所述赋权服务器扣减所述管理信息文件中的授权次数,以及使用所述认证密钥生成认证密文,包括:所述赋权服务器通过所述安全认证设备扣减所述管理信息文件中的授权次数,以及使用所述认证密钥生成认证密文。进一步,如上所述的一种认证管理方法,所述更新后的管理信息文件为更新了序列号和认证密钥的管理信息文件;或者,所述更新后的管理信息文件为更新了授权次数的管理信息文件。进一步,如上所述的一种认证管理方法,所述赋权服务器获取终端设备发送的第一序列号,包括:赋权服务器通过局域网获取终端设备发送的第一序列号;所述赋权服务器向服务中心系统发送第二序列号,包括:所述赋权服务器通过联网方式向服务中心系统发送第二序列号。进一步,如上所述的一种认证管理方法,所述赋权服务器向服务中心系统发送第二序列号和所述管理信息文件之前,所述方法还包括:所述赋权服务器确定共享主密钥;所述赋权服务器通过加密方式向服务中心系统发送所述共享主密钥,以使所述服务中心系统得到共享主密钥。进一步,如上所述的一种认证管理方法,所述赋权服务器确定共享主密钥,包括:所述赋权服务器向所述服务中心系统发送第二序列号和第一随机数,以使所述服务中心系统产生第二随机数;所述赋权服务器获取所述服务中心系统发送的所述第二随机数和渠道证书;当使用CA证书验证所述渠道证书通过时,所述赋权服务器生成共享主密钥;所述赋权服务器通过加密方式向服务中心系统发送所述共享主密钥,包括:所述赋权服务器使用所述渠道证书对所述共享主密钥进行加密,得到密钥密文;所述赋权服务器连接所述第一随机数和所述第二随机数,得到第三随机数;所述赋权服务器使用使用方私钥对所述第三随机数进行加密,得到随机数密文;所述赋权服务器向所述服务中心系统发送所述密钥密文、所述随机数密文和使用方证书,以使所述服务中心系统在使用CA证书验证所述使用方证书通过,且使用所述使用方证书验证所述随机数密文通过后,解密所述密钥密文,得到所述共享主密钥。本专利技术实施例还提供了一种认证管理方法,包括以下步骤:终端设备向赋权服务器发送第一序列号,以使所述赋权服务器判断出预存的管理信息文件中有与所述第一序列号对应的认证密钥后,所述赋权服务器扣减所述管理信息文件中的授权次数,以及使用所述认证密钥生成认证密文,其中,所述第一序列号为所述终端设备上的认证模块的标识信息,所述管理信息文件包括序列号和认证密钥的对应关系;所述终端设备获取所述赋权服务器发送的所述认证密文;所述终端设备通过所述认证模块在校验所述认证密文成功后,执行预设操作。本专利技术实施例还提供了一种赋权服务器,包括以下装置:获取单元,用于获取终端设备发送的第一序列号,所述第一序列号为所述终端设备上的认证模块的标识信息;判断单元,用于判断预存的管理信息文件中是否有与所述第一序列号对应的认证密钥,所述管理信息文件包括序列号和认证密钥的对应关系;执行单元,用于若所述管理信息文件中有与所述第一序列号对应的认证密钥,则扣减所述管理信息文件中的授权次数,以及使用所述认证密钥生成认证密文;发送单元,用于向所述终端设备发送所述认证密文,以使所述终端设备通过所述认证模块在校验所述认证密文成功后,执行预设操作。本专利技术实施例还提供了一种终端设备,包括以下装置:终端发送单元,用于向赋权服务器发送第一序列号,以使所述赋权服务器判断出预存的管理信息文件中有与所述第一序列号对应的认证密钥后,所述赋权服务器扣减所述管理信息文件中的授权次数,以及使用所述认证密钥生成认证密文,其中,所述第一序列号为所述终端设备上的认证模块的标识信息,所述管理信息文件包括序列号和认证密钥的对应关系;终端获取单元,用于获取所述赋权服务器发送的所述认证密文;终端执行单元,用于通过所述认证模块在校验所述认证密文成功后,执行预设操作。本专利技术实施例还提供了一种认证管理系统,包括赋权服务器和终端设备,其中,所述赋权服务器为如上所述的赋权服务器;所述终端设备为如上所述的终端设备。本专利技术的效果在于:采用本专利技术所述的方法,赋权服务器对终端设备进行认证管理,赋权服务器判断出预存的管理信息文件中有与所述第一序列号对应的认证密钥,且授权次数可扣减时,赋权服务器才通过发送认证密文授权终端设备上的认证模块,若该认证模块校验认证密文成功,才执行预设操作,从而可以增强对认证模块的认证强度,提高了认证管理的安全性。附图说明图1是本专利技术实施例提供的一种认证管理方法涉及的系统架构图;图2为本专利技术另一实施例提供的一种认证本文档来自技高网...
【技术保护点】
1.一种认证管理方法,包括以下步骤:赋权服务器获取终端设备发送的第一序列号,所述第一序列号为所述终端设备上的认证模块的标识信息;所述赋权服务器判断预存的管理信息文件中是否有与所述第一序列号对应的认证密钥,所述管理信息文件包括序列号和认证密钥的对应关系;若所述管理信息文件中有与所述第一序列号对应的认证密钥,则所述赋权服务器扣减所述管理信息文件中的授权次数,以及使用所述认证密钥生成认证密文;所述赋权服务器向所述终端设备发送所述认证密文,以使所述终端设备通过所述认证模块在校验所述认证密文成功后,执行预设操作。
【技术特征摘要】
1.一种认证管理方法,包括以下步骤:赋权服务器获取终端设备发送的第一序列号,所述第一序列号为所述终端设备上的认证模块的标识信息;所述赋权服务器判断预存的管理信息文件中是否有与所述第一序列号对应的认证密钥,所述管理信息文件包括序列号和认证密钥的对应关系;若所述管理信息文件中有与所述第一序列号对应的认证密钥,则所述赋权服务器扣减所述管理信息文件中的授权次数,以及使用所述认证密钥生成认证密文;所述赋权服务器向所述终端设备发送所述认证密文,以使所述终端设备通过所述认证模块在校验所述认证密文成功后,执行预设操作。2.如权利要求1所述的一种认证管理方法,其特征在于:所述赋权服务器获取终端设备发送的第一序列号之前,所述方法还包括:所述赋权服务器向服务中心系统发送第二序列号和管理信息文件,以使所述服务中心系统认证所述第二序列号通过后,更新所述管理信息文件,所述第二序列号为所述赋权服务器上的安全认证设备的标识信息;所述赋权服务器获取所述服务中心系统发送的更新后的管理信息文件;所述赋权服务器扣减所述管理信息文件中的授权次数,以及使用所述认证密钥生成认证密文,包括:所述赋权服务器通过所述安全认证设备扣减所述管理信息文件中的授权次数,以及使用所述认证密钥生成认证密文。3.如权利要求2所述的一种认证管理方法,其特征在于:所述更新后的管理信息文件为更新了序列号和认证密钥的管理信息文件;或者,所述更新后的管理信息文件为更新了授权次数的管理信息文件。4.如权利要求2所述的一种认证管理方法,其特征在于:所述赋权服务器获取终端设备发送的第一序列号,包括:赋权服务器通过局域网获取终端设备发送的第一序列号;所述赋权服务器向服务中心系统发送第二序列号,包括:所述赋权服务器通过联网方式向服务中心系统发送第二序列号。5.如权利要求2所述的一种认证管理方法,其特征在于:所述赋权服务器向服务中心系统发送第二序列号和所述管理信息文件之前,所述方法还包括:所述赋权服务器确定共享主密钥;所述赋权服务器通过加密方式向服务中心系统发送所述共享主密钥,以使所述服务中心系统得到所述共享主密钥。6.如权利要求5所述的一种认证管理方法,其特征在于:所述赋权服务器确定共享主密钥,包括:所述赋权服务器向所述服务中心系统发送第二序列号和第一随机数,以使所述服务中心系统产生第二随机数;所述赋权服务器获取所述服务中心系统发送的所述第二随机数和渠道证书;当使用签证机关CA证书验证所述渠道证书通过时,所述赋权服务器生成共享主密...
【专利技术属性】
技术研发人员:孙婉丽,
申请(专利权)人:北京握奇智能科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。