一种基于PKI技术的设备间证书验证方法技术

本发明专利技术提供基于PKI技术的设备间证书验证方法，只要通过一次验证，通过在认证设备内保存首次通过认证的设备证书的Hash表(包括设备ID及设备证书Hash值),后续认证只需查询Hash表中是否包含相关信息能得出认证结果，无需每一次认证都解析证书并进行验证，减少了步骤，降低了设备认证时所需计算资源，缩短了认证时延，提升了效率。

A method of certificate verification between devices based on PKI technology

【技术实现步骤摘要】
一种基于PKI技术的设备间证书验证方法
本专利技术涉及信息安全技术，尤其涉及一种基于PKI技术的设备间证书验证系统。
技术介绍
PKI(PublicKeyInfrastructure)是公钥基础设施的简称，是利用公钥理论和数字证书来提供系统信息安全服务，并负责验证数字证书持有者身份的一种体系。PKI是目前网络安全建设的核心和关键，也是为电子商务发展提供保障的基础，它保证了通信数据的私密性、完整性、不可否认性和源认证性。在设备之间传送数字信息的过程中，首先需要解析证书、验证完整的证书链以及设备的信息，认证通过后，才可以进行后续正常的业务操作。但是，每一次收到数字证书都要对其进行解析和验证，认证流程复杂且需要一定的时长。随着物联网技术的快速发展，物物间设备相互认证的需求明显增加，而物联网设备普遍要求低功耗、低时延，设备间认证时原有的PKI技术证书认证流程复杂且耗时，无法满足设备间相互快速认证的需求。
技术实现思路
本专利技术的目的在于提供一种基于PKI技术的设备间证书验证方法，用于解决设备间认证时，认证流程复杂，需要较长的时长、时延长的问题。本专利技术提供了基于PKI技术的设备间证书验证方法，验证设备至少包括证书授权中心CA、需要认证的设备A以及设备B，设备A内保存设备数字证书CertA和以及证书授权中心CA的根证书CertCA，设备B内至少保存证书授权中心CA的根证书CertCA。设备B内保存表TB，该表中记载已认证设备ID和设备A的数字证书CertA的Hash值。<br>设备B对所述设备A的验证包括以下步骤：第一步骤S1，设备A将其设备ID和设备A数字证书CertA发送给设备B；第二步骤S2，设备B对设备A的CertA进行哈希运算，得到哈希值H(CertA)，并检查设备A的设备ID和CertA的Hash值H(CertA)是否存在表TB中；如果设备A的CertA的Hash值H(CertA)以及设备ID存在于表TB中，认证通过，否则，转入第三步骤S3；第三步骤S3，设备B验证设备A数字证书有效性；设备A数字证书有效时，转入第四步骤S4；第四步骤S4，将设备A的设备ID和CertA记载在表TB中，认证通过。进一步地，设备ID为网络中可唯一标识设备的ID。进一步地，设备B验证设备A数字证书有效性包括：验证设备数字证书有效期以及通过根证书检查证书链有效性。进一步地，设备B验证设备A数字证书有效性还包括：验证根证书有效性和证书吊销列表CRL。进一步地，设备B内还保存CertB，所述设备A内还保存表TA，该表中记载已认证设备ID和设备B的数字证书CertB的Hash值，设备A采用与所述设备B同样的步骤，认证设备B，所述设备A和所述设备B之间进行双向认证。进一步地，包含多个证书授权中心CA，设备A和设备B内分别保存多个证书授权中心CA的根证书CertCA，设备A与设备B根据不同根CA交叉验证设备数字证书有效性。附图说明图1为PKI技术的设备间证书验证系统图2为数字证书结构图；图3为设备数字证书快速验证流程的具体例；图4为现有基于PKI技术数字证书验证流程。具体实施方式下面结合附图和实施例对本专利技术进行详细阐述。如图1所示，PKI技术的设备间证书验证系统由证书授权中心CA(服务器)及需要进行认证的设备A、B、…、N组成。CA负责设备的数字证书Cert的发放。数字证书Cert发放流程遵循传统PKI技术下的发放流程，支持但不限于RSA、ECC和SM2等非对称算法。设备A、B、…、N中分别保存了各自的数字证书CertA、CertB、…、CertN以及根证书CertCA。图2为数字证书结构图。数字证书Cert是一个经证书授权中心CA(以下简称CA)数字签名的文件。数字证书Cert包括两部分：拥有者(设备)的公钥及主体名等相关身份信息、颁发者(CA)的名称、密钥的有效期、颁发者颁发证书使用的签名算法等信息，构成证书信息；以及颁发者用私钥对证书信息部分使用签名算法进行签名，构成签名信息。同时，设备A、B、…、N中，相互认证的两设备内还分别保存一张已认证通过的设备证书的Hash表T，该表中包含已认证设备ID和设备数字证书Hash值。关于设备数字证书的Hash表T的生成以下详细说明。以下以设备A和设备B为例，说明设备A和设备B之间的设备数字证书认证流程。设备数字证书Cert发放流程完成后，设备A和B分别保存了各自的数字证书CertA、CertB以及根证书CertCA。同时，设备A和设备B内还分别保存了设备证书CertA和CertB的Hash表TA和TB，该表中包含已认证设备ID和设备证书Hash值。当无任何已认证设备时，Hash表为空。如图3所示，设备B认证设备A证书的流程如下：第一步骤S1，设备A将其设备ID和设备A的数字证书CertA发送给设备B。设备ID可以为MAC地址、IMEI号等在网络中可唯一标识设备的ID。第二步骤S2，设备B对设备A的CertA进行哈希运算，得到哈希值H(CertA)，并检查设备A的设备ID和CertA的Hash值H(CertA)是否在表TB中。如果设备A的数字证书CertA的Hash值H(CertA)以及设备ID存在于表TB中，表示设备A的数字证书CertA已认证通过且其内容未被修改。此时认证通过，可以安全地进行后续正常业务操作。否则，表示设备A的数字证书CertA未被认证，由设备B对其有效性进行验证。转入第三步骤S3。第三步骤S3，设备B验证设备A的数字证书CertA有效性。此步骤与现有基于PKI技术数字证书验证流程相同。即如图4所示。步骤S31，设备B得到数字证书CertA的证书信息以及签名信息。步骤S32，读取CertA证书信息中“有效期”内容、判断当前日期是否在有效期内。如果当前日期不在有效期内，直接返回认证失败，否则，转入步骤S33。步骤S33，读取CertA证书信息中“签名算法”内容，使用根证书CertCA中CA的公钥对签名信息进行解密，得到哈希后的摘要H。步骤S34，将数字证书CertA的证书信息部分进行哈希操作，得到哈希后的摘要H’，并判断H和H’是否相同。如果相同，相关证书链有效，转入第四步骤S4。第四步骤S4，设备B将设备A的ID和数字证书CertA加入表TB中，认证通过，认证流程结束。以上实施方式中，设备B验证设备A的数字证书CertA有效性是通过验证CertA证书信息中“有效期”内容以及通过根证书检查证书链有效性。变形例中，第三步骤S3中，设备B验证设备A数字证书有效性还包括：验证根证书有效性和证书吊销列表CRL。本实施方式由以上构成，由实施方式可知，本专利技术提供的基于PKI技术的设备间证书验证方法，只要通过一次验证，通过在认证设备内保存首次通过本文档来自技高网...

【技术保护点】
1.一种基于PKI技术的设备间证书验证方法，验证设备至少包括证书授权中心CA、需要认证的设备A以及设备B，所述设备A内保存设备数字证书Cert

【技术特征摘要】
1.一种基于PKI技术的设备间证书验证方法，验证设备至少包括证书授权中心CA、需要认证的设备A以及设备B，所述设备A内保存设备数字证书CertA和以及证书授权中心CA的根证书CertCA，所述设备B内至少保存证书授权中心CA的根证书CertCA，其特征在于，
所述设备B内保存表TB，该表中记载已认证设备ID和设备A的数字证书CertA的Hash值，
所述设备B对所述设备A的验证包括以下步骤：
第一步骤(S1)，设备A将其设备ID和设备A数字证书CertA发送给设备B；
第二步骤(S2)，设备B对设备A的CertA进行哈希运算，得到哈希值H(CertA)，并检查设备A的设备ID和CertA的Hash值H(CertA)是否存在表TB中；
如果设备A的CertA的Hash值H(CertA)以及设备ID存在于表TB中，认证通过，否则，转入第三步骤(S3)；
第三步骤(S3)，设备B验证设备A数字证书有效性；
设备A数字证书有效时，转入第四步骤(S4)；
第四步骤(S4)，将设备A的设备ID和CertA记载在表TB中，认证通过。


2.根据权利要...

【专利技术属性】
技术研发人员：马娟，
申请(专利权)人：北京握奇智能科技有限公司，
类型：发明
国别省市：北京;11