本发明专利技术公开了一种数字证书离线认证系统和方法,应用于离线网络环境中依次连接的用户终端、控制台和服务器端,所述系统包括:所述用户终端,用于通过所述控制台发送数字证书请求到所述服务器端;所述服务器端,用于验证所述数字证书请求,生成与所述数字证书请求对应的密钥;根据所述密钥和所述数字证书请求,签发数字证书到所述控制台;所述控制台,用于写入所述数字证书到所述用户终端。从而避免了外网签发数字证书所带来的安全风险,同时简化了传统的通过U盘拷贝数字证书所带来的繁琐操作,降低成本。
【技术实现步骤摘要】
一种数字证书离线认证系统和方法
本专利技术涉及数据安全
,尤其涉及一种数字证书离线认证系统和方法。
技术介绍
随着国家电网公司对具有信息化、自动化、互动化特征的统一智能电网的建设,网络的接入变得日渐复杂,信息集成度更高,用户交互程度更好,业务系统中存储了大量人、财、物等关键信息。为了保证业务数据的信息安全,需要强化身份认证系统等安全基础设施建设,在安全接入、安全传输、安全应用等方面深化研究和应用。其中,在工业终端与工控主站的之间的通信方式主要是基于IP网络技术的密钥通信,其中私钥由终端自行保管,公钥通过证书方式分配给所有通信对等实体。为保证上述通信数据在传统IP网络中的机密性、完整性和抗抵赖性,需要在工业终端与工控主站之间部署防护设备(或防护模块),即主站防护设备和终端防护设备,上述设备之间的通信安全性则依赖于密钥的保密性。而在一些安全级别要求高的应用场景(如电网生产系统)中,为了确保密钥安全性,采用离线方式签发证书,比如用传统U盘离线拷贝证书,再插入工业终端设备中进行证书签发,此种方法操作繁琐,工作量较大;或是采用在线证书签发的方式,通过网络连接CA机构(CertificateAuthority,证书授证中心)进行在线证书签发,但由于此种方式需要外网连接到CA机构,可能会被不法分子冒充证书请求方从CA机构获取证书,进而冒充企业进行不法活动,存在较大的网络安全风险。
技术实现思路
本专利技术提供了一种数字证书离线认证系统和方法,解决了现有技术中数字证书离线认证操作较为繁琐,在线认证操作具有较高网络风险,安全性与使用便利性较低的技术问题。本专利技术提供的一种数字证书离线认证系统,应用于离线网络环境中依次连接的用户终端、控制台和服务器端,所述系统包括:所述用户终端,用于通过所述控制台发送数字证书请求到所述服务器端;所述服务器端,用于验证所述数字证书请求,生成与所述数字证书请求对应的密钥;根据所述密钥和所述数字证书请求,签发数字证书到所述控制台;所述控制台,用于写入所述数字证书到所述用户终端。可选地,所述服务器端包括:安全模块,用于接收所述数字证书请求,确定所述控制台的用户登录信息;认证模块,用于验证所述用户登录信息与预设登录信息是否相同;其中,所述预设登录信息包括第一预设登录信息;密钥管理模块,用于当所述用户登录信息与所述第一预设登录信息相同时,从预设密钥库中生成与所述数字证书请求对应的密钥;证书签发模块,用于根据所述密钥和所述用户登录信息,签发数字证书到所述控制台。可选地,所述安全模块还用于,通过数字信封加密所述数字证书。可选地,所述控制台还用于,加密所述数字证书请求。可选地,所述认证模块还用于,修改所述预设登录信息;删除所述预设登录信息。可选地,所述预设登录信息还包括第二预设登录信息和第三预设登录信息,所述密钥管理模块还用于,当所述用户登录信息与所述第二预设登录信息相同时,执行密钥备份操作;当所述用户登录信息与所述第三预设登录信息相同时,执行密钥恢复操作。可选地,所述用户终端还用于,接收所述控制台写入的数字证书;使用所述数字证书加密预设数据,生成加密数据;发送所述加密数据到所述服务器端。可选地,所述用户终端包括:数字证书管理模块,用于调度所述数字证书对预设数据进行加密,生成中间数据;协议配置与解析模块,用于使用封装安全载荷ESP对所述中间数据进行封装,生成所述加密数据;加密通信模块,用于发送所述加密数据到所述服务器端。可选地,所述数字证书管理模块包括:公钥确定子模块,用于根据所述数字证书确定所述服务器端所发送的公钥;加密子模块,用于使用所述公钥对所述预设数据进行加密,生成中间数据。此外,本专利技术实施例还提供了一种数字证书离线认证方法,应用于离线网络环境中依次连接的用户终端、控制台和服务器端,所述方法包括:所述用户终端通过所述控制台发送数字证书请求到所述服务器端;所述服务器端验证所述数字证书请求,生成与所述数字证书请求对应的密钥;所述服务器端根据所述密钥和所述数字证书请求,签发数字证书到所述控制台;所述控制台写入所述数字证书到所述用户终端。从以上技术方案可以看出,本专利技术具有以下优点:通过将认证模块、证书签发模块以及密钥管理模块整合在服务器端中,在接收到用户终端通过控制台发送的数字证书请求后,直接在服务器端即可以实现用户认证、密钥管理分发与证书签发等步骤,简化了数字证书认证的操作;同时在证书签发过程中,控制台可以通过串口、局域网络或USB写入的方式将数字证书直接写入到用户终端,而无需使用U盘拷贝,进一步降低了工作人员的工作量,同时用户终端、控制台与服务器端之间通过局域网连接,避免了由于在线认证数字证书所导致的网络风险,提高了数字证书的认证安全性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。图1为本专利技术实施例的一种数字证书离线认证系统的系统框图;图2为本专利技术另一实施例的一种数字证书离线认证方法流程图;图3为本专利技术实施例中的ESP封装格式示意图;图4为本专利技术实施例中的ESP头格式示意图;图5为本专利技术实施例中的一种数字证书离线认证系统的硬件框图。具体实施方式本专利技术实施例提供了一种数字证书离线认证系统和方法,用于解决现有技术中数字证书离线认证操作较为繁琐,在线认证操作具有较高网络风险,安全性与使用便利性较低的技术问题。为使得本专利技术的专利技术目的、特征、优点能够更加的明显和易懂,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本专利技术一部分实施例,而非全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本专利技术保护的范围。请参阅图1,图1为本专利技术实施例提供的一种数字证书离线认证系统,应用于离线网络环境中依次连接的用户终端101、控制台102和服务器端103,所述系统可以包括:所述用户终端101,用于通过所述控制台102发送数字证书请求到所述服务器端103;所述服务器端103,用于验证所述数字证书请求,生成与所述数字证书请求对应的密钥;根据所述密钥和所述数字证书请求,签发数字证书到所述控制台102;所述控制台102,用于写入所述数字证书到所述用户终端101。在本专利技术实施例中提供了一种数字证书离线认证系统,可应用在离线网络环境中,通过在控制台102接收用户终端101发送的数字证书请求,确定需要数字证书的用户终端101;转发所述数字证书本文档来自技高网...
【技术保护点】
1.一种数字证书离线认证系统,其特征在于,应用于离线网络环境中依次连接的用户终端、控制台和服务器端,所述系统包括:/n所述用户终端,用于通过所述控制台发送数字证书请求到所述服务器端;/n所述服务器端,用于验证所述数字证书请求,生成与所述数字证书请求对应的密钥;根据所述密钥和所述数字证书请求,签发数字证书到所述控制台;/n所述控制台,用于写入所述数字证书到所述用户终端。/n
【技术特征摘要】
1.一种数字证书离线认证系统,其特征在于,应用于离线网络环境中依次连接的用户终端、控制台和服务器端,所述系统包括:
所述用户终端,用于通过所述控制台发送数字证书请求到所述服务器端;
所述服务器端,用于验证所述数字证书请求,生成与所述数字证书请求对应的密钥;根据所述密钥和所述数字证书请求,签发数字证书到所述控制台;
所述控制台,用于写入所述数字证书到所述用户终端。
2.根据权利要求1所述的系统,其特征在于,所述服务器端包括:
安全模块,用于接收所述数字证书请求,确定所述控制台的用户登录信息;
认证模块,用于验证所述用户登录信息与预设登录信息是否相同;其中,所述预设登录信息包括第一预设登录信息;
密钥管理模块,用于当所述用户登录信息与所述第一预设登录信息相同时,从预设密钥库中生成与所述数字证书请求对应的密钥;
证书签发模块,用于根据所述密钥和所述用户登录信息,签发数字证书到所述控制台。
3.根据权利要求2所述的系统,其特征在于,所述安全模块还用于,通过数字信封加密所述数字证书。
4.根据权利要求1所述的系统,其特征在于,所述控制台还用于,加密所述数字证书请求。
5.根据权利要求2所述的系统,其特征在于,所述认证模块还用于,
修改所述预设登录信息;删除所述预设登录信息。
6.根据权利要求2所述的系统,其特征在于,所述预设登录信息还包括第二预设登录信息和第三预设登录信...
【专利技术属性】
技术研发人员:林丹生,曾智勇,胡春潮,周永言,刘剑锋,向谆,潘君镇,
申请(专利权)人:广东电网有限责任公司电力科学研究院,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。