本發(fā)明屬于設備認證，尤其涉及一種基于憑證分發(fā)的設備認證方法與系統(tǒng)。

背景技術：

1、在不安全的復雜網絡環(huán)境中，存在若干智能設備如何安全、有效的進行互相認證的技術難題。

2、現(xiàn)有的基于某一操作系統(tǒng)的智能設備，如要實現(xiàn)設備間的認證(比如為支持某些應用功能，需要先讓各自的設備與對方建立可信認證)，需要面對面得到對方設備的標識，在千變萬化的復雜場景下這種過程會十分不便。或者采用其他遠程交互的方式，但此種方式下無法判斷對方來意，即無法驗證來源是否可靠。

3、現(xiàn)有技術中，使用個體標識碼(pin碼)進行面對面驗證：每個設備都帶有一個唯一標識的pin碼，通過獲取對端的pin碼(手動輸入或掃描)，來與對端設備建立可信認證。然而，遠程獲取對端pin碼無法確保來源可靠；面對面獲取pin碼在復雜場景下受約束較大。

技術實現(xiàn)思路

1、針對上述技術問題；本發(fā)明提出一種基于憑證分發(fā)的設備認證方案。

2、本發(fā)明第一方面提出一種基于憑證分發(fā)的設備認證方法。所述方法包括：

3、步驟s1、各個終端分別向憑證分發(fā)服務器申請憑證；

4、其中，在所述步驟s1中：終端向憑證分發(fā)服務器發(fā)送憑證申請消息，包括終端自身公鑰和終端自身設備信息；

5、步驟s2、憑證分發(fā)服務器向各個終端分發(fā)憑證；

6、其中，在所述步驟s2中：憑證分發(fā)服務器預先配置服務器公私鑰對，用于進行數(shù)字簽名；憑證分發(fā)服務器基于憑證申請消息中的終端自身公鑰和終端自身設備信息生成原文，并利用摘要算法生成原文的簽名，并結合服務器公鑰形成憑證，將憑證下發(fā)至終端；

7、步驟s3、不同終端之間基于下發(fā)的憑證建立可信認證。

8、根據本發(fā)明第一方面的方法，在所述步驟s2中：

9、將終端自身公鑰、終端自身設備信息、憑證分發(fā)服務器自身相關信息共同拼裝成一個字符串，作為原文；

10、基于原文，利用sha摘要算法生成哈希值，作為原文的摘要；使用服務器私鑰，通過ecc數(shù)字簽名算法對原文的摘要進行簽名，得到原文的簽名；

11、將原文、原文的簽名、服務器公鑰拼裝成憑證，并將憑證下發(fā)給終端。

12、根據本發(fā)明第一方面的方法，在所述步驟s3中，不同終端建立可信認證具體包括：

13、第一終端從自身憑證中取出原文p1和原文p1的簽名，組成第一消息，將第一消息發(fā)送給第二終端，同時接收來自第二終端的第二消息，所述第二消息包括第二終端從自身憑證中取出的原文p2和原文p2的簽名；

14、第一終端從自身憑證中取出服務器公鑰pk，利用服務器公鑰pk對第二消息中原文p2的簽名進行驗簽，驗簽通過后獲取原文p2的摘要；利用解密算法對原文p2的摘要進行解密，得到經解密的原文p2’；

15、第一終端比對經解密的原文p2’和從第二消息中取出的原文p2，若二者一致，則從原文p2中取出第二終端的公鑰，以進行與第二終端的秘鑰協(xié)商，從而建立可信認證。

16、本發(fā)明第二方面提出一種基于憑證分發(fā)的設備認證系統(tǒng)。所述系統(tǒng)包括憑證分發(fā)服務器和若干終端；其中：

17、各個終端分別向憑證分發(fā)服務器申請憑證；

18、其中，終端向憑證分發(fā)服務器發(fā)送憑證申請消息，包括終端自身公鑰和終端自身設備信息；

19、憑證分發(fā)服務器向各個終端分發(fā)憑證；

20、其中，憑證分發(fā)服務器預先配置服務器公私鑰對，用于進行數(shù)字簽名；憑證分發(fā)服務器基于憑證申請消息中的終端自身公鑰和終端自身設備信息生成原文，并利用摘要算法生成原文的簽名，并結合服務器公鑰形成憑證，將憑證下發(fā)至終端；

21、不同終端之間基于下發(fā)的憑證建立可信認證。

22、根據本發(fā)明第二方面的系統(tǒng)，憑證分發(fā)服務器被配置為：

23、將終端自身公鑰、終端自身設備信息、憑證分發(fā)服務器自身相關信息共同拼裝成一個字符串，作為原文；

24、基于原文，利用sha摘要算法生成哈希值，作為原文的摘要；使用服務器私鑰，通過ecc數(shù)字簽名算法對原文的摘要進行簽名，得到原文的簽名；

25、將原文、原文的簽名、服務器公鑰拼裝成憑證，并將憑證下發(fā)給終端。

26、根據本發(fā)明第二方面的系統(tǒng)，不同終端建立可信認證具體包括：

27、第一終端從自身憑證中取出原文p1和原文p1的簽名，組成第一消息，將第一消息發(fā)送給第二終端，同時接收來自第二終端的第二消息，所述第二消息包括第二終端從自身憑證中取出的原文p2和原文p2的簽名；

28、第一終端從自身憑證中取出服務器公鑰pk，利用服務器公鑰pk對第二消息中原文p2的簽名進行驗簽，驗簽通過后獲取原文p2的摘要；利用解密算法對原文p2的摘要進行解密，得到經解密的原文p2’；

29、第一終端比對經解密的原文p2’和從第二消息中取出的原文p2，若二者一致，則從原文p2中取出第二終端的公鑰，以進行與第二終端的秘鑰協(xié)商，從而建立可信認證。

30、本發(fā)明第三方面公開了一種電子設備。電子設備包括存儲器和處理器，存儲器存儲有計算機程序，處理器執(zhí)行計算機程序時，實現(xiàn)本公開一種基于憑證分發(fā)的設備認證方法中的步驟。

31、本發(fā)明第四方面公開了一種計算機可讀存儲介質。計算機可讀存儲介質上存儲有計算機程序，計算機程序被處理器執(zhí)行時，實現(xiàn)本公開一種基于憑證分發(fā)的設備認證方法中的步驟。

32、綜上，本發(fā)明提供的設備認證方案，無需得到對端的標識，避免了獲取對端標識過程中會遇到的問題，如遠程獲取對端pin碼無法確保來源可靠，面對面獲取pin碼在復雜場景下受約束較大等問題；各終端的憑證由憑證服務器下發(fā)，申請憑證的人員由憑證服務器管理者進行身份的驗證，保證了憑證的可靠，同時物理直連的方式保證了傳輸?shù)陌踩裕粫霈F(xiàn)中間人攻擊等問題；憑證中帶有服務器公鑰，無需額外獲取，簡化了公鑰獲取流程的同時，也保證了公鑰可靠性；在公鑰可靠的前提下，最終實現(xiàn)設備間的可信認證。

技術特征：

1.一種基于憑證分發(fā)的設備認證方法，其特征在于，所述方法包括：

2.根據權利要求1所述的一種基于憑證分發(fā)的設備認證方法，其特征在于，在所述步驟s2中：

3.根據權利要求2所述的一種基于憑證分發(fā)的設備認證方法，其特征在于，在所述步驟s3中，不同終端建立可信認證具體包括：

4.一種基于憑證分發(fā)的設備認證系統(tǒng)，其特征在于，所述系統(tǒng)包括憑證分發(fā)服務器和若干終端；其中：

5.根據權利要求4所述的一種基于憑證分發(fā)的設備認證系統(tǒng)，其特征在于，憑證分發(fā)服務器被配置為：

6.根據權利要求5所述的一種基于憑證分發(fā)的設備認證系統(tǒng)，其特征在于，不同終端建立可信認證具體包括：

7.一種電子設備，其特征在于，所述電子設備包括存儲器和處理器，所述存儲器存儲有計算機程序，所述處理器執(zhí)行所述計算機程序時，實現(xiàn)權利要求1-3任一項所述的一種基于憑證分發(fā)的設備認證方法中的步驟。

8.一種計算機可讀存儲介質，其特征在于，所述計算機可讀存儲介質上存儲有計算機程序，所述計算機程序被處理器執(zhí)行時，實現(xiàn)權利要求1-3任一項所述的一種基于憑證分發(fā)的設備認證方法中的步驟。

技術總結
本發(fā)明提出一種基于憑證分發(fā)的設備認證方法與系統(tǒng)，屬于設備認證技術領域。在所述方法中，各個終端分別向憑證分發(fā)服務器申請憑證，憑證分發(fā)服務器向各個終端分發(fā)憑證，不同終端之間基于下發(fā)的憑證建立可信認證。本發(fā)明在不安全的復雜網絡環(huán)境中實現(xiàn)不同智能設備之間安全有效的認證過程。

技術研發(fā)人員：趙棒,李文強,陳翔宇,常先堂,賈飛騰,汪子林,曹慶華,朱茅,鮑明通,劉超
受保護的技術使用者：中國兵器裝備集團兵器裝備研究所
技術研發(fā)日：
技術公布日：2025/1/9