System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 基于隐式证书的物联设备身份认证方法和多层管理系统技术方案_技高网
当前位置: 首页 > 专利查询>中国交通信息科技集团有限公司专利>正文

基于隐式证书的物联设备身份认证方法和多层管理系统技术方案

技术编号:43849833 阅读:38 留言:0更新日期:2024-12-31 18:42
本发明专利技术公开了一种基于隐式证书的物联设备身份认证方法和多层管理系统,其中方法包括终端设备生成终端设备预密钥;终端设备向终端管理平台发起证书申请请求;终端管理平台基于证书申请请求生成平台临时密钥;终端管理平台向PKI/CA系统请求申请终端设备证书;PKI/CA系统验签后生成终端设备隐式证书和CA私钥重构值密文,并将发送至终端管理平台;终端管理平台备份终端设备隐式证书,并将其发送至终端设备;终端设备基于终端设备隐式证书生成设备证书密钥。本发明专利技术了实现多层系统认证的前提下,实现了层级管理,PKI/CA系统仅对终端管理平台负责,终端管理平台对物联设备信息负责,以此系统化改善了设备认证模式,有利于统筹管理并有效减少冗余信息的存储和传输。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术涉及信息安全,具体的涉及一种基于隐式证书的物联设备身份认证方法和多层管理系统


技术介绍

1、在物联场景中,系统中含有大量dtu、rtu、工业网关等异构设备,信息数据在各平台、设备设施间流转,在越发严峻的网络安全形势下,使得各端的数据交互过程的安全尤为重要。其中,受限于物联设备运算能力和存储能力的限制,传统的基于数字证书的身份认证模式难以在物联设备中开展,而直接的对物联设备进行数字证书认证改造将造成大量的处理、存储与通信成本。因此,需要考虑一种通信量较低、存储空间较小的身份认证方案。

2、物联设备的状态监控与身份管理等通常由管理侧的平台级系统统一管控,此类系统统称为终端管理系统。传统的pki/ca模式将物联设备的身份认证与ca绑定,终端管理平台通过数字证书实现对物联设备的身份认证与统一管理,但无法直接面向物联设备进行设备身份管理。因此,需要考虑一种多层的认证策略,使得物联设备的身份认证不单单是基于传统的ca颁发的数字证书,而是由ca与终端管理平台共同承担设备的身份认证职能。


技术实现思路

1、本专利技术为了克服以上技术的不足,提供了一种基于隐式证书的物联设备身份认证方法和多层管理系统,采用隐式证书提升验签速度,体积小,占用带宽少。并在实现多层系统认证的前提下,实现了层级管理,pki/ca系统仅对终端管理平台负责,终端管理平台对物联设备信息负责,以此系统化改善了设备认证模式,有利于统筹管理并有效减少冗余信息的存储和传输。

2、本专利技术克服其技术问题所采用的技术方案是:

3、本专利技术的第一个方面提出了一种基于隐式证书的物联设备身份认证方法,包括终端设备生成终端设备预私钥,并基于终端设备预私钥计算终端设备预公钥和终端设备预密钥;终端设备至少将终端设备的设备信息、终端设备预公钥的信息封装后向终端管理平台发起证书申请请求;终端管理平台基于证书申请请求生成平台临时私钥,并基于平台临时私钥计算得到平台临时公钥,从而得到平台临时密钥;终端管理平台至少将终端设备预公钥、平台临时公钥和设备信息封装后发送至pki/ca系统请求申请终端设备证书;pki/ca系统基于证书申请请求生成ca临时私钥,并基于ca临时私钥得到ca临时公钥,以及基于终端设备预公钥、平台临时公钥和ca临时公钥生成终端设备隐式证书和ca私钥重构值密文,并将终端设备隐式证书和ca私钥重构值密文发送至终端管理平台;终端管理平台备份终端设备隐式证书,并基于终端设备隐式证书和平台临时私钥生成平台私钥重构值密文;终端管理平台将至少包括终端设备隐式证书、平台私钥重构值密文和ca私钥重构值密文的封装信息发送至终端设备;终端设备基于终端设备预私钥解密接收的封装消息从而得到平台私钥重构值和ca私钥重构值,并基于终端设备隐式证书和预密钥分别生成设备证书私钥和设备证书公钥;终端设备对设备证书公钥进行验证后得到设备证书密钥。

4、进一步的,所述终端管理平台基于证书申请请求生成平台临时私钥,并基于平台临时私钥计算得到平台临时公钥,从而得到平台临时密钥,具体包括:终端管理平台对证书申请请求进行完整性验证,若通过证书申请请求完整性验证,则对证书申请请求中的设备信息进行检查,若检查通过,则终端管理平台生成随机数作为平台临时私钥,基于平台临时私钥计算平台临时公钥从而得到平台临时密钥,若对证书申请请求验证不通过或设备信息检查不通过,则舍弃证书申请请求消息。

5、进一步的,所述终端管理平台至少将终端设备预公钥、平台临时公钥和设备信息封装后发送至pki/ca系统请求申请终端设备证书,包括:终端管理平台按照预设隐式证书格式规范终端设备的设备信息;将终端设备预公钥、平台临时公钥和规范后的设备信息进行封装后发送至pki/ca系统。

6、进一步的,所述pki/ca系统基于证书申请请求生成ca临时私钥,并基于ca临时私钥得到ca临时公钥,并基于终端设备预公钥、平台临时公钥和ca临时公钥生成终端设备隐式证书和ca私钥重构值密文,具体包括:pki/ca系统基于证书申请请求得到终端设备预公钥和平台临时公钥;pki/ca系统随机生成随机数作为ca临时私钥;基于ca临时私钥计算ca临时公钥,从而得到ca临时密钥对;基于终端设备预公钥、平台临时公钥和ca临时公钥生成终端设备公钥重构值;基于设备信息和设备公钥重构值注册终端设备隐式证书;基于终端设备隐式证书注册终端设备隐式证书散列值,并基于终端设备隐式证书散列值、ca临时私钥和ca根证书私钥计算生成ca私钥重构值;将ca私钥重构值基于终端设备预公钥加密得到私钥重构值密文。

7、pki/ca系统仅对终端管理平台负责,通过pki/ca注册终端设备隐式证书,并返回终端设备隐式证书和ca私钥重构值。

8、进一步的,所述终端管理平台备份终端设备隐式证书,并基于终端设备隐式证书和平台临时私钥生成平台私钥重构值密文,具体包括:对终端设备隐式证书完整性验证,并对接收的pki/ca系统响应的终端设备隐式证书验签;将通过完整性验证和验签成功后的终端设备隐式证书备份,从而将终端设备与终端设备隐式证书对应;基于终端设备隐式证书、平台临时私钥和平台证书私钥生成平台私钥重构值;基于终端设备预公钥对平台私钥重构值加密得到私钥重构值密文。

9、终端管理平台对物联设备信息负责,生成平台私钥重构值发送至终端设备,并将终端设备隐式证书、ca私钥重构值转发至终端设备。解除了终端设备与ca的绑定。

10、进一步的,所述终端设备基于终端设备预私钥解密接收的封装消息从而得到平台私钥重构值和ca私钥重构值,并基于接收的终端设备隐式证书和预密钥分别生成设备证书私钥和设备证书公钥,具体包括:对接收的终端设备隐式证书的完整性进行验证,若验证成功则对接受的终端设备隐式证书进行验签,如果验证成功,则基于终端设备预私钥解密得到平台私钥重构值和ca私钥重构值,基于终端设备隐式证书散列值、终端设备预私钥、ca私钥重构值和平台私钥重构值计算得到设备证书私钥;基于终端设备隐式证书散列值、终端设备公钥重构值、平台证书公钥和ca根证书公钥计算得到设备证书公钥。

11、进一步的,所述终端设备对设备证书公钥进行验证后得到设备证书密钥,具体包括:验证生成的设备证书公钥是否等于基于设备证书私钥和椭圆曲线算法参数计算得到的设备证书公钥,如果相等,则得到包括设备证书私钥和设备证书公钥的设备证书密钥。

12、进一步的,公钥密码算法采用sm2椭圆曲线算法,所述终端设备、终端管理平台和pki/ca系统共同约定椭圆曲线算法参数。

13、进一步的,计算终端设备隐式证书散列值采用sm3杂凑算法。

14、本专利技术的第二个方面还提出了一种基于隐式证书的物联设备身份认证多层管理系统,运行上述一种基于隐式证书的物联设备身份认证方法,至少包括若干终端设备,分别管理物联网终端设备的若干终端管理平台和连接终端管理平台的pki/ca系统,所述终端设备用于生成终端设备预公钥,并将终端设备信息和终端设备预公钥封装后向对应的物联网终本文档来自技高网...

【技术保护点】

1.一种基于隐式证书的物联设备身份认证方法,其特征在于,包括:

2.根据权利要求1所述的一种基于隐式证书的物联设备身份认证方法,其特征在于,所述终端管理平台基于证书申请请求生成平台临时私钥,并基于平台临时私钥计算得到平台临时公钥,从而得到平台临时密钥,具体包括:

3.根据权利要求1所述的一种基于隐式证书的物联设备身份认证方法,其特征在于,所述终端管理平台至少将终端设备预公钥、平台临时公钥和设备信息封装后发送至PKI/CA系统请求申请终端设备证书,包括:

4.根据权利要求1所述的一种基于隐式证书的物联设备身份认证方法,其特征在于,所述PKI/CA系统基于证书申请请求生成CA临时私钥,并基于CA临时私钥得到CA临时公钥,并基于终端设备预公钥、平台临时公钥和CA临时公钥生成终端设备隐式证书和CA私钥重构值密文,具体包括:

5.根据权利要求1所述的一种基于隐式证书的物联设备身份认证方法,其特征在于,所述终端管理平台备份终端设备隐式证书,并基于终端设备隐式证书和平台临时私钥生成平台私钥重构值密文,具体包括:

6.根据权利要求1所述的一种基于隐式证书的物联设备身份认证方法,其特征在于,所述终端设备基于终端设备预私钥解密接收的封装消息从而得到平台私钥重构值和CA私钥重构值,并基于接收的终端设备隐式证书和预密钥分别生成设备证书私钥和设备证书公钥,具体包括:

7.根据权利要求6所述的一种基于隐式证书的物联设备身份认证方法,其特征在于,所述终端设备对设备证书公钥进行验证后得到设备证书密钥,具体包括:

8.根据权利要求1-7任一项所述的一种基于隐式证书的物联设备身份认证方法,其特征在于,公钥密码算法采用SM2椭圆曲线算法,所述终端设备、终端管理平台和PKI/CA系统共同约定椭圆曲线算法参数。

9.根据权利要求1-7任一项所述的一种基于隐式证书的物联设备身份认证方法,其特征在于,计算终端设备隐式证书散列值采用SM3杂凑算法。

10.一种基于隐式证书的物联设备身份认证多层管理系统,运行权利要求1-9任一项所述一种基于隐式证书的物联设备身份认证方法,其特征在于:至少包括若干终端设备,分别管理物联网终端设备的若干终端管理平台和连接终端管理平台的PKI/CA系统,

...

【技术特征摘要】

1.一种基于隐式证书的物联设备身份认证方法,其特征在于,包括:

2.根据权利要求1所述的一种基于隐式证书的物联设备身份认证方法,其特征在于,所述终端管理平台基于证书申请请求生成平台临时私钥,并基于平台临时私钥计算得到平台临时公钥,从而得到平台临时密钥,具体包括:

3.根据权利要求1所述的一种基于隐式证书的物联设备身份认证方法,其特征在于,所述终端管理平台至少将终端设备预公钥、平台临时公钥和设备信息封装后发送至pki/ca系统请求申请终端设备证书,包括:

4.根据权利要求1所述的一种基于隐式证书的物联设备身份认证方法,其特征在于,所述pki/ca系统基于证书申请请求生成ca临时私钥,并基于ca临时私钥得到ca临时公钥,并基于终端设备预公钥、平台临时公钥和ca临时公钥生成终端设备隐式证书和ca私钥重构值密文,具体包括:

5.根据权利要求1所述的一种基于隐式证书的物联设备身份认证方法,其特征在于,所述终端管理平台备份终端设备隐式证书,并基于终端设备隐式证书和平台临时私钥生成平台私钥重构值密文,具体包括:

6.根据权利要...

【专利技术属性】
技术研发人员:查雅行郝茂鑫王世昀王楹吴志刚刘宇慧王艺鑫张玉敏黄萱李世纪纪家祺李永薛皓阳
申请(专利权)人:中国交通信息科技集团有限公司
类型:发明
国别省市:

全部详细技术资料下载 我是这个专利的主人
相关技术
网友询问留言 已有0条评论

  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1
发布您的意见
相关领域技术

关于我们 | 联系我们 | 支付方式

Copyright © 2018 All Rights Reserved.

津ICP备16005673号-1 津公网安备 12019202000132号 技高德科技(天津)有限公司版权所有