本發(fā)明屬于設(shè)備認(rèn)證，尤其涉及一種基于憑證分發(fā)的設(shè)備認(rèn)證方法與系統(tǒng)。

背景技術(shù)：

1、在不安全的復(fù)雜網(wǎng)絡(luò)環(huán)境中，存在若干智能設(shè)備如何安全、有效的進(jìn)行互相認(rèn)證的技術(shù)難題。

2、現(xiàn)有的基于某一操作系統(tǒng)的智能設(shè)備，如要實(shí)現(xiàn)設(shè)備間的認(rèn)證(比如為支持某些應(yīng)用功能，需要先讓各自的設(shè)備與對(duì)方建立可信認(rèn)證)，需要面對(duì)面得到對(duì)方設(shè)備的標(biāo)識(shí)，在千變?nèi)f化的復(fù)雜場(chǎng)景下這種過程會(huì)十分不便。或者采用其他遠(yuǎn)程交互的方式，但此種方式下無法判斷對(duì)方來意，即無法驗(yàn)證來源是否可靠。

3、現(xiàn)有技術(shù)中，使用個(gè)體標(biāo)識(shí)碼(pin碼)進(jìn)行面對(duì)面驗(yàn)證：每個(gè)設(shè)備都帶有一個(gè)唯一標(biāo)識(shí)的pin碼，通過獲取對(duì)端的pin碼(手動(dòng)輸入或掃描)，來與對(duì)端設(shè)備建立可信認(rèn)證。然而，遠(yuǎn)程獲取對(duì)端pin碼無法確保來源可靠；面對(duì)面獲取pin碼在復(fù)雜場(chǎng)景下受約束較大。

技術(shù)實(shí)現(xiàn)思路

1、針對(duì)上述技術(shù)問題；本發(fā)明提出一種基于憑證分發(fā)的設(shè)備認(rèn)證方案。

2、本發(fā)明第一方面提出一種基于憑證分發(fā)的設(shè)備認(rèn)證方法。所述方法包括：

3、步驟s1、各個(gè)終端分別向憑證分發(fā)服務(wù)器申請(qǐng)憑證；

4、其中，在所述步驟s1中：終端向憑證分發(fā)服務(wù)器發(fā)送憑證申請(qǐng)消息，包括終端自身公鑰和終端自身設(shè)備信息；

5、步驟s2、憑證分發(fā)服務(wù)器向各個(gè)終端分發(fā)憑證；

6、其中，在所述步驟s2中：憑證分發(fā)服務(wù)器預(yù)先配置服務(wù)器公私鑰對(duì)，用于進(jìn)行數(shù)字簽名；憑證分發(fā)服務(wù)器基于憑證申請(qǐng)消息中的終端自身公鑰和終端自身設(shè)備信息生成原文，并利用摘要算法生成原文的簽名，并結(jié)合服務(wù)器公鑰形成憑證，將憑證下發(fā)至終端；

7、步驟s3、不同終端之間基于下發(fā)的憑證建立可信認(rèn)證。

8、根據(jù)本發(fā)明第一方面的方法，在所述步驟s2中：

9、將終端自身公鑰、終端自身設(shè)備信息、憑證分發(fā)服務(wù)器自身相關(guān)信息共同拼裝成一個(gè)字符串，作為原文；

10、基于原文，利用sha摘要算法生成哈希值，作為原文的摘要；使用服務(wù)器私鑰，通過ecc數(shù)字簽名算法對(duì)原文的摘要進(jìn)行簽名，得到原文的簽名；

11、將原文、原文的簽名、服務(wù)器公鑰拼裝成憑證，并將憑證下發(fā)給終端。

12、根據(jù)本發(fā)明第一方面的方法，在所述步驟s3中，不同終端建立可信認(rèn)證具體包括：

13、第一終端從自身憑證中取出原文p1和原文p1的簽名，組成第一消息，將第一消息發(fā)送給第二終端，同時(shí)接收來自第二終端的第二消息，所述第二消息包括第二終端從自身憑證中取出的原文p2和原文p2的簽名；

14、第一終端從自身憑證中取出服務(wù)器公鑰pk，利用服務(wù)器公鑰pk對(duì)第二消息中原文p2的簽名進(jìn)行驗(yàn)簽，驗(yàn)簽通過后獲取原文p2的摘要；利用解密算法對(duì)原文p2的摘要進(jìn)行解密，得到經(jīng)解密的原文p2’；

15、第一終端比對(duì)經(jīng)解密的原文p2’和從第二消息中取出的原文p2，若二者一致，則從原文p2中取出第二終端的公鑰，以進(jìn)行與第二終端的秘鑰協(xié)商，從而建立可信認(rèn)證。

16、本發(fā)明第二方面提出一種基于憑證分發(fā)的設(shè)備認(rèn)證系統(tǒng)。所述系統(tǒng)包括憑證分發(fā)服務(wù)器和若干終端；其中：

17、各個(gè)終端分別向憑證分發(fā)服務(wù)器申請(qǐng)憑證；

18、其中，終端向憑證分發(fā)服務(wù)器發(fā)送憑證申請(qǐng)消息，包括終端自身公鑰和終端自身設(shè)備信息；

19、憑證分發(fā)服務(wù)器向各個(gè)終端分發(fā)憑證；

20、其中，憑證分發(fā)服務(wù)器預(yù)先配置服務(wù)器公私鑰對(duì)，用于進(jìn)行數(shù)字簽名；憑證分發(fā)服務(wù)器基于憑證申請(qǐng)消息中的終端自身公鑰和終端自身設(shè)備信息生成原文，并利用摘要算法生成原文的簽名，并結(jié)合服務(wù)器公鑰形成憑證，將憑證下發(fā)至終端；

21、不同終端之間基于下發(fā)的憑證建立可信認(rèn)證。

22、根據(jù)本發(fā)明第二方面的系統(tǒng)，憑證分發(fā)服務(wù)器被配置為：

23、將終端自身公鑰、終端自身設(shè)備信息、憑證分發(fā)服務(wù)器自身相關(guān)信息共同拼裝成一個(gè)字符串，作為原文；

24、基于原文，利用sha摘要算法生成哈希值，作為原文的摘要；使用服務(wù)器私鑰，通過ecc數(shù)字簽名算法對(duì)原文的摘要進(jìn)行簽名，得到原文的簽名；

25、將原文、原文的簽名、服務(wù)器公鑰拼裝成憑證，并將憑證下發(fā)給終端。

26、根據(jù)本發(fā)明第二方面的系統(tǒng)，不同終端建立可信認(rèn)證具體包括：

27、第一終端從自身憑證中取出原文p1和原文p1的簽名，組成第一消息，將第一消息發(fā)送給第二終端，同時(shí)接收來自第二終端的第二消息，所述第二消息包括第二終端從自身憑證中取出的原文p2和原文p2的簽名；

28、第一終端從自身憑證中取出服務(wù)器公鑰pk，利用服務(wù)器公鑰pk對(duì)第二消息中原文p2的簽名進(jìn)行驗(yàn)簽，驗(yàn)簽通過后獲取原文p2的摘要；利用解密算法對(duì)原文p2的摘要進(jìn)行解密，得到經(jīng)解密的原文p2’；

29、第一終端比對(duì)經(jīng)解密的原文p2’和從第二消息中取出的原文p2，若二者一致，則從原文p2中取出第二終端的公鑰，以進(jìn)行與第二終端的秘鑰協(xié)商，從而建立可信認(rèn)證。

30、本發(fā)明第三方面公開了一種電子設(shè)備。電子設(shè)備包括存儲(chǔ)器和處理器，存儲(chǔ)器存儲(chǔ)有計(jì)算機(jī)程序，處理器執(zhí)行計(jì)算機(jī)程序時(shí)，實(shí)現(xiàn)本公開一種基于憑證分發(fā)的設(shè)備認(rèn)證方法中的步驟。

31、本發(fā)明第四方面公開了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上存儲(chǔ)有計(jì)算機(jī)程序，計(jì)算機(jī)程序被處理器執(zhí)行時(shí)，實(shí)現(xiàn)本公開一種基于憑證分發(fā)的設(shè)備認(rèn)證方法中的步驟。

32、綜上，本發(fā)明提供的設(shè)備認(rèn)證方案，無需得到對(duì)端的標(biāo)識(shí)，避免了獲取對(duì)端標(biāo)識(shí)過程中會(huì)遇到的問題，如遠(yuǎn)程獲取對(duì)端pin碼無法確保來源可靠，面對(duì)面獲取pin碼在復(fù)雜場(chǎng)景下受約束較大等問題；各終端的憑證由憑證服務(wù)器下發(fā)，申請(qǐng)憑證的人員由憑證服務(wù)器管理者進(jìn)行身份的驗(yàn)證，保證了憑證的可靠，同時(shí)物理直連的方式保證了傳輸?shù)陌踩?，不?huì)出現(xiàn)中間人攻擊等問題；憑證中帶有服務(wù)器公鑰，無需額外獲取，簡(jiǎn)化了公鑰獲取流程的同時(shí)，也保證了公鑰可靠性；在公鑰可靠的前提下，最終實(shí)現(xiàn)設(shè)備間的可信認(rèn)證。

技術(shù)特征：

1.一種基于憑證分發(fā)的設(shè)備認(rèn)證方法，其特征在于，所述方法包括：

2.根據(jù)權(quán)利要求1所述的一種基于憑證分發(fā)的設(shè)備認(rèn)證方法，其特征在于，在所述步驟s2中：

3.根據(jù)權(quán)利要求2所述的一種基于憑證分發(fā)的設(shè)備認(rèn)證方法，其特征在于，在所述步驟s3中，不同終端建立可信認(rèn)證具體包括：

4.一種基于憑證分發(fā)的設(shè)備認(rèn)證系統(tǒng)，其特征在于，所述系統(tǒng)包括憑證分發(fā)服務(wù)器和若干終端；其中：

5.根據(jù)權(quán)利要求4所述的一種基于憑證分發(fā)的設(shè)備認(rèn)證系統(tǒng)，其特征在于，憑證分發(fā)服務(wù)器被配置為：

6.根據(jù)權(quán)利要求5所述的一種基于憑證分發(fā)的設(shè)備認(rèn)證系統(tǒng)，其特征在于，不同終端建立可信認(rèn)證具體包括：

7.一種電子設(shè)備，其特征在于，所述電子設(shè)備包括存儲(chǔ)器和處理器，所述存儲(chǔ)器存儲(chǔ)有計(jì)算機(jī)程序，所述處理器執(zhí)行所述計(jì)算機(jī)程序時(shí)，實(shí)現(xiàn)權(quán)利要求1-3任一項(xiàng)所述的一種基于憑證分發(fā)的設(shè)備認(rèn)證方法中的步驟。

8.一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其特征在于，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)，實(shí)現(xiàn)權(quán)利要求1-3任一項(xiàng)所述的一種基于憑證分發(fā)的設(shè)備認(rèn)證方法中的步驟。

技術(shù)總結(jié)
本發(fā)明提出一種基于憑證分發(fā)的設(shè)備認(rèn)證方法與系統(tǒng)，屬于設(shè)備認(rèn)證技術(shù)領(lǐng)域。在所述方法中，各個(gè)終端分別向憑證分發(fā)服務(wù)器申請(qǐng)憑證，憑證分發(fā)服務(wù)器向各個(gè)終端分發(fā)憑證，不同終端之間基于下發(fā)的憑證建立可信認(rèn)證。本發(fā)明在不安全的復(fù)雜網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)不同智能設(shè)備之間安全有效的認(rèn)證過程。

技術(shù)研發(fā)人員：趙棒,李文強(qiáng),陳翔宇,常先堂,賈飛騰,汪子林,曹慶華,朱茅,鮑明通,劉超
受保護(hù)的技術(shù)使用者：中國(guó)兵器裝備集團(tuán)兵器裝備研究所
技術(shù)研發(fā)日：
技術(shù)公布日：2025/1/9