【技术实现步骤摘要】
一种基于数字证书的物联网终端身份认证方法
[0001]本专利技术涉及物联网
,具体涉及一种基于数字证书的物联网终端身份认证方法。
技术介绍
[0002]在物联网系统中需要对终端设备进行身份认证。在诸多身份认证解决方案中,基于PKI(公钥基础设施)的数字证书认证方案因其安全性得到广泛应用。
[0003]传统的PKI数字证书体系一般采用树状结构,在这种结构中判断终端证书是否可信的方法,是以终端证书为起点向上逐级查找直到根证书,从而建立证书链;如果证书链完整且根证书可信,则终端证书可信。在这种以根证书为信任锚的安全体系中,根证书自身的安全成为关键。为确保安全,传统的PKI体系要求定期更换根证书,更换根证书后,需要使用新的根证书重新签发所有旧的根证书签发的证书,还要尽快将新的根证书加入到物联网系统内所有终端设备中以替换旧的根证书。
[0004]物联网系统中使用传统的PKI数字证书,需要在所有终端设备中预先存入根证书。而物联网的特点决定了终端设备一旦部署后不易改变内部数据,而且为了防止终端设备中的根证书不被恶意删...
【技术保护点】
【技术特征摘要】
1.一种基于数字证书的物联网终端身份认证方法,其特征在于,包括以下步骤:S1:证书签发利用数字证书系统签发物联网系统中的证书;S2:请求身份认证物联网系统中的第一终端向第二终端请求身份认证并发送第一终端证书,并通过第二终端接收第一终端证书;S3:证书链及签名验证第二终端分别建立第一终端证书、第二终端证书的证书链,并验证两条证书链中的终端证书和中间证书的签发者签名,以及中间证书和根证书的自签名,当两条证书链均完整且各签名验证无误后则进入步骤S4,否则身份认证失败;S4:交叉点存在判断检查其中一条证书链中的中间证书和根证书,是否至少有一个中间证书或根证书存在于另一条证书链中,如果有,则进入步骤S5中,否则身份认证失败;S5:私钥持有判断判断第一终端是否持有第一终端证书的私钥,如是则身份认证成功,否则身份认证失败,进而完成身份认证过程。2.根据权利要求1所述的一种基于数字证书的物联网终端身份认证方法,其特征在于:在所述步骤S1中,所述数字证书系统包括根证书、使用根证书签发的中间证书、使用中间证书签发的下级中间证书或终端证书;所有证书在签发时均被写入系统内唯一标识,所有证书中都包含至少一组非对称密码算法的密钥对中的公钥,匹配的私钥由证书持有者保存;根证书对本证书数据域进行签名并将签名值保存到本证书的自签名域,中间证书由根证书或上级中间证书对本证书的数据域进行签名并将签名值和签发者证书的唯一标识保存到本证书的签发者签名域,再由本证书对本证书的数据域和签发者签名域进行签名并将签名值保存到本证书的自签名域,终端证书由中间证书对本证书的数据域进行签名并将签名值和签发者证书的唯一标识保存到本证书的签发者签名域;终端证书保存到物联网终端中,根证书和所有中间证书保存在能够被物联网终端获取的位置。3.根据权利要求2所述的一种基于数字证书的物联网终端身份认证方法,其特征在于:中间证书进行自签名时,即中间证书的持有者通过对中间证书及其签发者签名值进行签名,承认签发者的合法性。4.根据权利要求1所述的一种基于数字证书的物联网终端身份认证方法,其特征在于:在所述步骤S2中,物联网系统中至少包括两个物联网终端,即第一终端、第二终端,两个终端分别持有对应的第一终端证书、第二终端证书。5.根据权利要求1或3所述的一种基于数字证书的物联网终端身份认证方法,其特征在于:在所述步骤S3中,在建立证书链时,分别以第一终端证书、第二终端证书为起点,通过证书签发者签名域中的签发者证书唯一标识向上逐级查找并验证签发者证书,获取向上各级的中间证书直至根证书,进而形成两条证书链。6.根据权利要求5所述的一种基于数字证书的物联网终端身份认证方法,其特征在于:...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。