本发明涉及通信安全技术领域,特别涉及一种便携式设备的校验方法和系统。
背景技术:
随着物联网技术的发展,各种便携式的设备已经渗透到日常生活的各个角落。便携式设备通过各种传感器,记录着大量数据,并且与网络相连。所记录的大量数据,其中不乏机密信息,如果被泄露,将可能造成巨大损失。
为此,在使用便携式设备进行网络通信时,需要对便携式设备进行安全校验。便携式设备多数为嵌入式系统,其软件和硬件均针对特定的应用进行相应的裁剪,运算资源有限,故大多数已有的认证机制不能直接应用在便携式设备上,只能使用静态口令连接,数据通过口令后直接进行通信,导致便携式设备网络连接安全性能不足。
技术实现要素:
基于此,有必要针对便携式设备网络连接安全性能不足的问题,提供一种便携式设备的校验方法和系统。
一种便携式设备的校验方法,包括以下步骤:
接收已关联的便携式设备发送的便携式设备身份证书;
将网络服务管理平台身份证书和所述便携式设备身份证书发送至认证服务器;其中,所述认证服务器根据所述网络服务管理平台身份证书和便携式设备身份证书对网络服务管理平台和便携式设备进行身份认证;
接收所述认证服务器返回的身份认证的结果,当所述身份认证的结果为合法时,判定校验结果为安全。
一种便携式设备的校验方法,包括以下步骤:
向已关联的网络服务管理平台发送便携式设备身份证书;其中,所述网络服务管理平台将网络服务管理平台身份证书和所述便携式设备身份证书发送至认证服务器进行认证;
接收所述网络服务管理平台返回的身份认证的结果;其中,所述身份认证的结果为所述网络服务管理平台转发的所述认证服务器的身份认证的结果;
当所述身份认证的结果为合法时,判定校验结果为安全。
一种便携式设备的校验方法,包括以下步骤:
接收网络服务管理平台发送的网络服务管理平台身份证书和便携式设备身份证书;其中,所述便携式设备身份证书由便携式设备发送至已关联网络服务管理平台;
根据所述网络服务管理平台身份证书和便携式设备身份证书,对所述网络服务管理平台和便携式设备进行身份认证;
向所述网络服务管理平台返回所述身份认证结果;其中,所述网络服务管理平台根据所述身份认证结果判定所述便携式设备为合法时,向所述便携式设备返回所述身份认证的结果,所述便携式设备接收到所述身份认证的结果为合法时,判定校验结果为安全。
一种便携式设备的校验系统,包括以下模块:
证书接收模块,用于接收已关联的便携式设备发送的便携式设备身份证书;
证书转送模块,用于将网络服务管理平台身份证书和所述便携式设备身份证书发送至认证服务器;其中,所述认证服务器根据所述网络服务管理平台身份证书和便携式设备身份证书对网络服务管理平台和便携式设备进行身份认证;
结果接收模块,用于接收所述认证服务器返回的身份认证的结果,当所述身份认证的结果为合法时,判定校验结果为安全。
一种便携式设备的校验系统,包括以下模块:
证书发送模块,用于向已关联的网络服务管理平台发送便携式设备身份证书;其中,所述网络服务管理平台将网络服务管理平台身份证书和所述便携式设备身份证书发送至认证服务器进行认证;
认证接收模块,用于接收所述网络服务管理平台返回的身份认证的结果;其中,所述身份认证的结果为所述网络服务管理平台转发的所述认证服务器的身份认证的结果;
结果判断模块,用于当所述身份认证的结果为合法时,判定校验结果为安全。
一种便携式设备的校验系统,包括以下模块:
证书获取模块,用于接收网络服务管理平台发送的网络服务管理平台身份证书和便携式设备身份证书;其中,所述便携式设备身份证书由便携式设备发送至已关联网络服务管理平台;
证书认证模块,用于根据所述网络服务管理平台身份证书和便携式设备身份证书,对所述网络服务管理平台和便携式设备进行身份认证;
认证返回模块,用于向所述网络服务管理平台返回所述身份认证结果;其中,所述网络服务管理平台根据所述身份认证结果判定所述便携式设备为合法时,向所述便携式设备返回所述身份认证的结果,所述便携式设备接收到所述身份认证的结果为合法时,判定校验结果为安全。
上述的便携式设备的校验方法和系统,首先由便携式设备向已关联的网络服务管理平台发送便携式设备身份证书;网络服务管理平台将网络服务管理平台身份证书和所述便携式设备身份证书发送到认证服务器;认证服务器根据所述网络服务管理平台身份证书和便携式设备身份证书对所述网络服务管理平台和便携式设备身份认证,将身份认证结果返回到网络服务管理平台;网络服务管理平台接收所述身份认证结果,当所述身份认证结果为合法时,判定所述便携式设备为安全;在本方案中,通过认证服务器对便携式设备和网络服务管理平台进行身份认证,将复杂的认证过程转移到认证服务器上执行,在节省便携式设备的运算资源的同时,可以确保便携式设备与网络服务管理平台互为合法对象,解决了便携式设备网络连接安全性能不足的问题。
一种可读存储介质,其上存储有可执行程序,该程序被处理器执行时实现上述的便携式设备的校验方法的步骤。
一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的可执行程序,处理器执行程序时实现上述的便携式设备的校验方法的步骤。
附图说明
图1为本发明一个实施例中便携式设备的校验方法的流程示意图;
图1a为本发明一个实施例中对网络服务管理平台对便携式设备的合法验证的流程示意图;
图1b为本发明一个实施例中对网络服务管理平台对认证服务器的合法验证的流程示意图;
图2为本发明一个实施例中便携式设备的校验方法的流程示意图;
图2a为本发明一个实施例中便携式设备对网络服务管理平台的合法验证的流程示意图;
图2b为本发明一个实施例中便携式设备对网络服务管理平台的合法验证的流程示意图;
图3为本发明一个实施例中便携式设备的校验方法的流程示意图;
图4为本发明一个实施例中便携式设备的校验方法的执行时序图;
图5为本发明一个实施例中便携式设备的校验系统的结构示意图;
图6为本发明一个实施例中便携式设备的校验系统的结构示意图;
图7为本发明一个实施例中便携式设备的校验系统的结构示意图;
图8为本发明一个实施例中便携式设备的校验系统的结构示意图;
图9为本发明一个实施例中便携式设备的校验系统的结构示意图;
图10为本发明一个实施例中便携式设备的校验系统的结构示意图;
图11为本发明一个实施例中便携式设备的校验方法的网络模型图;
图12为本发明一个实施例中便携式设备的校验方法的执行时序图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步的详细说明。应当理解,此处所描述的具体实施方式仅仅用以解释本发明,并不限定本发明的保护范围。
目前,便携式设备已广泛应用在军事国防、环境监测、医疗健康、工业以及高危领域的数据监控等领域,其应用价值和科研价值已受到世界各国的高度关注。
在实际应用中,便携式设备通常需要与网络服务管理平台进行数据交互,才能实现完整的功能;网络服务管理平台可以为位于广域网上的服务器,也可以为安装有特定管理软件的智能手机,以实现对便携式设备进行监控。
由于便携式设备的体系结构是开放的,并且处理器运算能力较弱,导致便携式设备的网络安全性较差,不法分子可以容易地窃听、截获和伪造传输的信息,因此安全性成为了便携式设备急需解决的关键问题之一。
参见图1所示,为本发明一个实施例的便携式设备的校验方法的流程示意图。在本实施例中以网络服务管理平台为例进行说明,包括以下步骤:
步骤s110:接收已关联的便携式设备发送的便携式设备身份证书;
在本步骤中,已关联的便携式设备,是指所述便携式设备已申请与所述网络服务管理平台进行连接、并且已加入所述网络服务管理平台的关联网络的便携式设备;接收到的便携式设备身份证书,是预存在所述便携式设备上的一种认可凭证,存储了由便携式设备的ip地址、所使用的公钥和数字签名的算法信息组成的认证信息报文,可在步骤s120中发送到认证服务器进行身份认证。
步骤s120:将网络服务管理平台身份证书和所述便携式设备身份证书发送至认证服务器;
在本步骤中,将接收到的便携式设备身份证书和自身的身份证书发送到认证服务器,通过认证服务器对便携式设备以及自身进行身份认证;其中,认证服务器接收到身份证书后,提取出认证信息报文并进行解密,获取报文中的信息,确认信息长度是否与预设值一致,再验证所述ip地址是否记录在目标库中;当所述信息长度与所述预设值一致,并且在所述目标库中存在所述ip地址记录时,判定身份认证结果为合法,否则判定身份认证结果为不合法。
步骤s130:接收所述认证服务器返回的身份认证的结果,当所述身份认证的结果为合法时,判定校验结果为安全。
接收到的所述身份认证的结果中,包括了认证服务器对自身的身份认证结果以及认证服务器对便携式设备的身份认证结果,网络服务管理平台可以根据其中认证服务器对便携式设备的身份认证结果,判断所述便携式设备是否安全。
在本实施例中,当需要对便携式设备进行校验时,将便携式设备身份证书以及自身的网络服务管理平台身份证书发送至认证服务器进行身份认证,通过将复杂的身份认证过程转移到认证服务器上进行身份认证,提高了便携式设备网络连接安全性能。
在其中一个实施例中,所述步骤s130中接收所述认证服务器返回的身份认证的结果的步骤之后还包括以下步骤:
向所述便携式设备返回所述身份认证的结果;其中,所述便携式设备接收到所述身份认证的结果为合法时,判定校验结果为安全。
在本实施例中,通过向所述便携式设备返回所述身份认证的结果,可以为所述便携式设备判断校验结果是否安全提供依据,当双方根据身份认证的结果均判定校验结果为安全时,才授权端口进行通信,提高了便携式设备网络连接的安全性能。
在其中一个实施例中,所述步骤s110接收已关联的便携式设备发送的便携式设备身份证书的步骤前还包括以下步骤:
向便携式设备广播接入请求命令,其中,所述接入请求命令包括第一随机数;
接收所述便携式设备返回的接入申请命令,判断所述接入请求命令中的第一随机数与所述接入申请命令中的第一随机数是否一致;
若是,将所述便携式设备加入关联网络。
在本实施例中,网络服务管理平台通过判断所述接入请求命令中的第一随机数与所述接入申请命令中的第一随机数是否一致,可以判断是否有便携式设备申请与本网络服务管理平台进行连接,并且确保网络服务管理平台与便携式设备互为校验的对象,避免对非关联的便携式设备进行校验,从而节省运算资源。
在一个实施例中,每次向便携式设备广播接入请求命令时,所述第一随机数可为该步骤随机产生,可以避免便携式设备利用历史记录上的所述第一随机数进行与网络服务管理平台进行关联。
在另一个实施例中,向便携式设备广播接入请求命令前,判断已关联的便携式设备的数量是否达到饱和阈值,当未达到饱和阈值时,进行所述向便携式设备广播接入请求命令的步骤,可以避免由于已连接的便携式设备数量过多,导致运行速度降低,校验速度降低情况的出现。
可选地,将所述便携式设备加入关联网络后,可以向所述便携式设备发送挑战质询命令,从而触发所述便携式设备向网络服务管理平台发送身份证书;也可以进入等待状态,等待所述便携式设备发送便携式设备身份证书。
在其中一个实施例中,所述步骤s120将网络服务管理平台身份证书和所述便携式设备身份证书发送至认证服务器的步骤前还包括以下步骤:
接收已关联的便携式设备发送的便携式设备数字签名;
根据所述便携式设备数字签名,对所述便携式设备进行合法验证;
当所述验证结果为合法时,将网络服务管理平台身份证书和所述便携式设备身份证书发送至认证服务器。
在本实施例中,将网络服务管理平台身份证书和所述便携式设备身份证书发送至认证服务器之前,首先根据便携式设备数字签名对便携式设备进行合法验证,对便携式设备的合法性进行预判,进一步提高便携式设备网络连接的安全性能。
具体地,可以接收已关联的便携式设备发送的便携式设备数字签名和第二随机数,根据所述便携式设备数字签名和第二随机数对所述便携式设备进行合法校验。其中,所述第二随机数与便携式数字签名被设定为一个固定的字节结构,若数据被修改,经过公钥解码后的数字签名也会产生变化,因此通过判断解码后的数据与原发送的数据是否一致可以判断数据是否被修改,从而验证所述便携式设备是否合法。
进一步地,如图1a所示,对便携式设备的进行合法验证的整体流程可以包括:
步骤s121:便携式设备生成第二随机数,对所述第二随机数用第一hash算法生成第一摘要,利用第一私钥对第一摘要加密,生成所述便携式设备数字签名;
步骤s122:便携式设备将所述第二随机数以及所述便携式设备数字签名发送到所述网络服务管理平台;
步骤s123:网络服务管理平台利用第一公钥,对所述便携式设备数字签名进行解密,得到第一摘要;
步骤s124:网络服务管理平台对所述接收到的第二随机数用第一hash算法生成第二摘要;
步骤s125:网络服务管理平台对比第一摘要和第二摘要,当二者相同时,判定对所述便携式设备的合法验证结果为合法。
在一个实施例中,当根据便携式设备数字签名对便携式设备进行合法验证,判定所述便携式设备为不合法时,取消将网络服务管理平台身份证书和所述便携式设备身份证书发送至认证服务器的步骤,并判定当次定校验结果为不合法。
在其中一个实施例中,所述步骤s130判定校验结果为安全的步骤前还包括以下步骤:
接收所述认证服务器返回的认证服务器对网络服务管理平台数字签名;
根据所述认证服务器对网络服务管理平台数字签名,对所述认证服务器进行合法验证;
当所述验证结果为合法时,判定校验结果为安全。
在本实施例中,当从认证服务器接收到身份认证的结果后,首先根据所述认证服务器对网络服务管理平台数字签名,对所述认证服务器进行合法验证,可以判断所述身份认证结果来源的可靠性。
具体地,可以接收认证服务器发送的认证服务器对网络服务管理平台数字签名和第三随机数,根据所述认证服务器对网络服务管理平台数字签名和第三随机数对所述认证服务器进行合法校验。其中,所述第三随机数与认证服务器对网络服务管理平台数字签名被设定为一个固定的字节结构,若数据被修改,经过公钥解码后的数字签名也会产生变化,因此通过判断解码后的数据与原发送的数据是否一致可以判断数据是否被修改,从而验证所述认证服务器是否合法。
进一步地,如图1b所示,对认证服务器进行合法验证的整体流程可以包括:
步骤s131:认证服务器接收网络服务管理平台生成第三随机数,对所述第三随机数用第二hash算法生成第三摘要,利用第二私钥对第三摘要加密,生成认证服务器对网络服务管理平台数字签名;
步骤s132:认证服务器将所述第三随机数以及所述认证服务器对网络服务管理平台数字签名发送到所述网络服务管理平台;
步骤s133:网络服务管理平台利用第二公钥,对所述认证服务器对网络服务管理平台数字签名进行解密,得到第三摘要;
步骤s134:网络服务管理平台对所述接收到的第三随机数用第二hash算法生成第四摘要;
步骤s135:网络服务管理平台对比第三摘要和第四摘要,当二者相同时,判定对所述认证服务器的合法验证结果为合法。
在一个实施例中,当根据所述认证服务器对网络服务管理平台数字签名,对所述认证服务器进行合法验证,判定所述认证服务器为不合法时,取消向所述便携式设备返回所述身份认证的结果的步骤,并判定当次校验结果为不合法。
参见图2所示,为本发明一个实施例的便携式设备的校验方法的流程示意图。在本实施例中以便携式设备为例进行说明,包括以下步骤:
步骤s210:向已关联的网络服务管理平台发送便携式设备身份证书;
在本步骤中,已关联的网络服务管理平台,是指便携式设备已加入的关联网络中的网络服务管理平台;便携式设备身份证书,是预存在所述便携式设备上的一种认可凭证,存储了由便携式设备的ip地址、所使用的公钥和数字签名的算法信息组成的认证信息报文,用于供所述网络服务管理平台发送至认证服务器进行身份认证。
步骤s220:接收所述网络服务管理平台返回的身份认证的结果;
在本步骤中,所述身份认证的结果为所述网络服务管理平台转发所述认证服务器的身份认证的结果;
步骤s230:当所述身份认证的结果为合法时,判定校验结果为安全。
在本实施例中,通过将便携式设备身份证书发送到网络服务管理平台,使网络服务管理平台再将网络服务管理平台身份证书和便携式身份证书发送到认证服务器进行身份认证,可以将复杂的身份认证过程转移到认证服务器上进行身份认证,提高了便携式设备网络连接安全性能。
在其中一个实施例中,所述网络服务管理平台转发所述认证服务器的身份认证结果的步骤包括以下步骤:
接收所述认证服务器返回的身份认证的结果;
当所述身份认证的结果为合法时,判定所述便携式设备为安全;
向所述便携式设备返回所述身份认证的结果。
在本实施例中,网络服务管理平台可根据认证服务器返回的身份认证结果判定所述便携式设备的安全,并将所述身份认证的结果返回所述便携式设备。
在其中一个实施例中,所述步骤s210向已关联的网络服务管理平台发送便携式设备身份证书的步骤之前还包括以下步骤:
接收所述网络服务管理平台广播的接入请求命令,所述接入请求命令包括网络服务管理平台生成的第一随机数;
根据接收到的接入请求命令,向所述网络服务发送接入申请命令,所述接入申请命令中包括所述第一随机数;其中,所述网络服务管理平台判断所述接入请求命令中的第一随机数与所述接入申请命令中的第一随机数是否一致;
若是,则加入所述网络服务管理平台的关联网络,并判定与所述网络服务管理平台已关联。
在本实施例中,通过向网络服务管理平台返回带有相同值的第一随机数的接入申请命令,可以加入所述网络服务管理平台的关联网络,并且确保网络服务管理平台与便携式设备互为校验的对象,避免对非关联的网络服务管理平台进行校验,从而节省运算资源。
可选地,向所述网络服务发送接入申请命令后,进入倒计时等待状态,等待网络服务管理平台将所述接入申请命令处理完毕,再执行所述向已关联的网络服务管理平台发送便携式设备身份证书的步骤;也可以在向所述网络服务发送接入申请命令后,等待接收网络服务管理平台发送的挑战质询命令,当接收到所述挑战质询命令后,执行所述向已关联的网络服务管理平台发送便携式设备身份证书的步骤。
在其中一个实施例中,所述步骤s230中判定校验结果为安全的步骤前还包括以下步骤:
接收所述网络服务管理平台返回的网络服务管理平台数字签名;
根据所述网络服务管理平台数字签名,对所述网络服务管理平台进行合法验证;
当所述验证结果为合法时,判定校验结果为安全。
在本实施例中,在根据所述身份认证的结果可以判断出校验结果为安全之前,先根据网络服务管理平台数字签名对网络服务管理平台进行合法验证,可以判断所述身份认证结果来源的可靠性。
具体地,可以接收网络服务管理平台发送的网络服务管理平台数字签名和第二随机数,根据所述网络服务管理平台数字签名和第二随机数对所述网络服务管理平台进行合法校验。其中,所述第二随机数与网络服务管理平台数字签名被设定为一个固定的字节结构,若数据被修改,经过公钥解码后的数字签名也会产生变化,因此通过判断解码后的数据与原发送的数据是否一致可以判断数据是否被修改,从而验证所述网络服务管理平台是否合法。
进一步地,如图2a所示,对网络服务管理平台进行的合法验证的整体流程可以包括:
步骤s231a:网络服务管理平台接收便携式设备生成第二随机数,对所述第二随机数用第三hash算法生成第五摘要,利用第三私钥对第五摘要加密,生成所述网络服务管理平台数字签名;
步骤s232a:网络服务管理平台将所述第二随机数以及所述网络服务管理平台数字签名发送到便携式设备;
步骤s233a:便携式设备利用第三公钥,对所述网络服务管理平台数字签名进行解密,得到第五摘要;
步骤s234a:便携式设备对所述接收到的第二随机数用第三hash算法生成第六摘要;
步骤s235a:便携式设备对比第五摘要和第六摘要,当二者相同时,判定对所述网络服务管理平台的合法验证结果为合法。
在一个实施例中,当根据网络服务管理平台数字签名,对所述网络服务管理平台进行合法验证,判定所述网络服务管理平台为不合法时,判定当次校验结果为不合法。
在其中一个实施例中,所述步骤s230中判定校验结果为安全的步骤前还包括以下步骤:
接收所述网络服务管理平台返回的认证服务器对便携式设备数字签名;
根据所述认证服务器对便携式设备数字签名,对所述认证服务器进行合法验证;
当所述验证结果为合法时,判定校验结果为安全。
在本实施例中,在根据所述身份认证的结果可以判断出校验结果为安全之前,先根据认证服务器对便携式设备数字签名对认证服务器进行合法验证,可以判断所述身份认证结果来源的可靠性。
具体地,可以接收网络服务管理平台发送的认证服务器对便携式设备数字签名和第二随机数,根据所述认证服务器对便携式设备数字签名和第二随机数对所述认证服务器进行合法校验。其中,所述第二随机数与认证服务器对便携式设备数字签名被设定为一个固定的字节结构,若数据被修改,经过公钥解码后的数字签名也会产生变化,因此通过判断解码后的数据与原发送的数据是否一致可以判断数据是否被修改,从而验证所述认证服务器是否合法。
进一步地,如图2b所示,对认证服务器进行的合法验证的整体流程可以包括:
步骤s231b:认证服务器接收网络服务管理平台发送第二随机数,对所述第二随机数用第四hash算法生成第七摘要,利用第四私钥对第七摘要加密,生成认证服务器对便携式设备数字签名;其中,所述第二随机数由便携式设备生成并发送到网络服务管理平台;
步骤s232b:认证服务器将所述第二随机数以及所述认证服务器对便携式设备数字签名发送到所述网络服务管理平台;其中,所述网络服务管理平台将所述第二随机数和所述认证服务器对便携式设备签名发送到便携式设备;
步骤s233b:便携式设备利用第四公钥,对所述认证服务器对便携式设备数字签名进行解密,得到第七摘要;
步骤s234b:便携式设备对所述接收到的第二随机数用第四hash算法生成第八摘要;
步骤s235b:便携式设备对比第七摘要和第八摘要,当二者相同时,判定对所述认证服务器的合法验证结果为合法。
在一个实施例中,当根据认证服务器对便携式设备数字签名,对所述认证服务器进行合法验证,判定所述认证服务器为不合法时,判定当次校验结果为不合法。
参见图3所示,为本发明一个实施例的便携式设备的校验方法的流程示意图。在本实施例中以认证服务器为例进行说明,包括以下步骤:
步骤s310:接收网络服务管理平台发送的网络服务管理平台身份证书和便携式设备身份证书;
步骤s320:根据所述网络服务管理平台身份证书和便携式设备身份证书,对所述网络服务管理平台和便携式设备进行身份认证;
步骤s330:向所述网络服务管理平台返回所述身份认证结果;
在本步骤中,所述网络服务管理平台根据所述身份认证结果判定所述便携式设备为合法时,向所述便携式设备返回所述身份认证的结果,所述便携式设备接收到所述身份认证的结果为合法时,判定校验结果为安全。
在本实施例中,根据所述网络服务管理平台身份证书和便携式设备身份证书对网络服务管理平台和便携式设备进行身份认证;接收到身份证书后,提取出认证信息报文并进行解密,获取报文中的信息。首先确认信息长度是否与预设值一致,再验证所述ip地址是否记录在目标库中,再进一步确认其他信息是否与设定一致,任何一部分信息不存在或与设定不一致,则判定身份认证结果为不合法。
本发明还提供一个具体实施例,如图4所示,为该实施例的执行时序图,该实施例以便携式设备、网络服务管理平台和认证服务器三端交互为例进行说明,包括以下步骤:
步骤s401:网络服务管理平台向便携式设备广播接入请求命令;其中,所述接入请求命令包括第一随机数;
步骤s402:便携式设备接收所述接入请求命令,从所述接入请求命令中提取所述第一随机数;
步骤s403:便携式设备向网络服务管理平台返回接入申请命令;其中,所述接入申请命令中包括所述第一随机数;
步骤s404:网络服务管理平台接收所述接入申请命令,从所述接入申请命令中提取所述第一随机数;
步骤s405:判断接入申请命令中的第一随机数与接入请求命令中的第一随机数是否相等;若是,将所述便携式设备加入关联网络;
步骤s406:便携式设备向已关联的网络服务管理平台发送便携式设备身份证书、第二随机数和便携式设备数字签名;
步骤s407:网络服务管理平台根据第二随机数和便携式设备数字签名对便携式设备进行合法验证;若对便携式设备的合法验证判定为合法,进入下一步;
步骤s408:将网络服务管理平台身份证书、第三随机数、便携式设备身份证书和第二随机数发送至认证服务器;
步骤s409:认证服务器根据网络服务管理平台身份证书、第三随机数、便携式设备身份证书和第二随机数进行身份认证;
步骤s410:认证服务器将身份认证结果、认证服务器对网络服务管理平台数字签名、第三随机数、认证服务器对便携式设备数字签名和第二随机数发送至网络服务管理平台;
步骤s411:网络服务管理平台根据第三随机数和认证服务器对网络服务管理平台数字签名对认证服务器进行合法验证;若对认证服务器的合法验证判定为合法,进入下一步;
步骤s412:网络服务管理平台根据身份认证结果,判断便携式设备的身份是否合法;若是,进入下一步;
步骤s413:向便携式设备发送身份认证结果、认证服务器对便携设备数字签名、网络服务管理平台数字签名和第二随机数;
步骤s414:便携式设备根据网络服务管理平台数字签名和第二随机数对网络服务管理平台进行合法验证;若对网络服务管理平台的合法验证判定为合法,进入下一步;
步骤s415:便携式设备根据认证服务器对便携式设备数字签名和第二随机数对认证服务器进行合法验证;若对认证服务器的合法验证判定为合法,进入下一步;
步骤s416:便携式设备根据身份认证结果,判断网络服务管理平台的身份是否合法;若是,判定校验结果为安全。
参见图5所示,为本发明一个实施例的便携式设备的校验系统的结构示意图。在本实施例中以网络服务管理平台为例进行说明,包括以下模块:
证书接收模块510,用于接收已关联的便携式设备发送的便携式设备身份证书;
证书转送模块520,用于将网络服务管理平台身份证书和所述便携式设备身份证书发送至认证服务器;其中,所述认证服务器根据所述网络服务管理平台身份证书和便携式设备身份证书对网络服务管理平台和便携式设备进行身份认证;
结果接收模块530,用于接收所述认证服务器返回的身份认证的结果,当所述身份认证的结果为合法时,判定校验结果为安全。
在其中一个实施例中,结果接收模块530判定校验结果为安全前,向所述便携式设备返回所述身份认证的结果;其中,所述便携式设备接收到所述身份认证的结果为合法时,判定校验结果为安全。
在其中一个实施例中,如图6所示,还包括设备关联模块500,用于向便携式设备广播接入请求命令,其中,所述接入请求命令包括第一随机数;接收所述便携式设备返回的接入申请命令,判断所述接入请求命令中的第一随机数与所述接入申请命令中的第一随机数是否一致;若是,将所述便携式设备加入关联网络。
在其中一个实施例中,证书转送模块520将网络服务管理平台身份证书和所述便携式设备身份证书发送至认证服务器之前,证书接收模块510接收已关联的便携式设备发送的便携式设备数字签名;根据所述便携式设备数字签名,对所述便携式设备进行合法验证;当所述验证结果为合法时,证书转送模块520将网络服务管理平台身份证书和所述便携式设备身份证书发送至认证服务器。
在其中一个实施例中,结果接收模块530向所述便携式设备返回所述身份认证的结果前,接收所述认证服务器返回的认证服务器对网络服务管理平台数字签名;根据所述认证服务器对网络服务管理平台数字签名,对所述认证服务器进行合法验证;当所述验证结果为合法时,向所述便携式设备返回所述身份认证的结果。
参见图7所示,为本发明一个实施例的便携式设备的校验系统的结构示意图。在本实施例中以便携式设备为例进行说明,包括以下模块:
证书发送模块610,用于向已关联的网络服务管理平台发送便携式设备身份证书;其中,所述网络服务管理平台将网络服务管理平台身份证书和所述便携式设备身份证书发送至认证服务器进行认证;
认证接收模块620,用于接收所述网络服务管理平台返回的身份认证的结果;其中,所述身份认证的结果为所述网络服务管理平台转发的所述认证服务器的身份认证的结果;
结果判断模块630,用于当所述身份认证的结果为合法时,判定校验结果为安全。
在其中一个实施例中,所述网络服务管理平台接收所述认证服务器返回的身份认证的结果;当所述身份认证的结果为合法时,判定所述便携式设备为安全;向认证接收模块620返回所述身份认证的结果。
在其中一个实施例中,如图8所示,还包括平台关联模块600,证书发送模块610向已关联的网络服务管理平台发送便携式设备身份证书前,平台关联模块600接收所述网络服务管理平台广播的接入请求命令,所述接入请求命令包括网络服务管理平台生成的第一随机数;根据接收到的接入请求命令,向所述网络服务发送接入申请命令,所述接入申请命令中包括所述第一随机数;其中,所述网络服务管理平台判断所述接入请求命令中的第一随机数与所述接入申请命令中的第一随机数是否一致;若是,则加入所述网络服务管理平台的关联网络,并判定与所述网络服务管理平台已关联。
在其中一个实施例中,结果判断模块630判定校验结果为安全前,接收所述网络服务管理平台返回的网络服务管理平台数字签名;根据所述网络服务管理平台数字签名,对所述网络服务管理平台进行合法验证;当所述验证结果为合法时,判定校验结果为安全。
在其中一个实施例中,结果判断模块630判定校验结果为安全前,接收所述网络服务管理平台返回的认证服务器对便携式设备数字签名;根据所述认证服务器对便携式设备数字签名,对所述认证服务器进行合法验证;当所述验证结果为合法时,判定校验结果为安全。
参见图9所示,为本发明一个实施例的便携式设备的校验系统的结构示意图。在本实施例中以认证服务器为例进行说明,包括以下模块:
证书获取模块710,用于接收网络服务管理平台发送的网络服务管理平台身份证书和便携式设备身份证书;其中,所述便携式设备身份证书由便携式设备发送至已关联网络服务管理平台;
证书认证模块720,用于根据所述网络服务管理平台身份证书和便携式设备身份证书,对所述网络服务管理平台和便携式设备进行身份认证;
认证返回模块730,用于向所述网络服务管理平台返回所述身份认证结果;其中,所述网络服务管理平台根据所述身份认证结果判定所述便携式设备为合法时,向所述便携式设备返回所述身份认证的结果,所述便携式设备接收到所述身份认证的结果为合法时,判定校验结果为安全。
参见图10所示,为本发明一个实施例的便携式设备的校验系统的结构示意图。网络服务管理平台包括设备关联模块500、证书接收模块510、证书转送模块520和结果接收模块530;便携式设备包括平台关联模块600、证书发送模块610、认证接收模块620和结果判断模块630;认证服务器包括证书获取模块710、证书认证模块720和认证返回模块730;在本实施例中以网络服务管理平台、便携式设备和认证服务器三端交互为例进行说明:
设备关联模块500向平台关联模块600广播接入请求命令;其中,所述接入请求命令包括第一随机数;
平台关联模块600接收所述接入请求命令,从所述接入请求命令中提取所述第一随机数;
平台关联模块600向设备关联模块500返回接入申请命令;其中,所述接入申请命令中包括所述第一随机数;
设备关联模块500接收所述接入申请命令,从所述接入申请命令中提取所述第一随机数;判断接入申请命令中的第一随机数与接入请求命令中的第一随机数是否相等;若是,将所述便携式设备加入关联网络;
证书发送模块610向已关联的网络服务管理平台的证书接收模块510发送便携式设备身份证书、第二随机数和便携式设备数字签名;
证书接收模块510根据第二随机数和便携式设备数字签名对便携式设备进行合法验证;若对便携式设备的合法验证判定为合法,证书转送模块520将网络服务管理平台身份证书、第三随机数、便携式设备身份证书和第二随机数发送至证书获取模块710;
证书认证模块720根据网络服务管理平台身份证书、第三随机数、便携式设备身份证书和第二随机数进行身份认证,认证返回模块730将身份认证结果、认证服务器对网络服务管理平台数字签名、第三随机数、认证服务器对便携式设备数字签名和第二随机数发送至结果接收模块530;
认证判断模块根据第三随机数和认证服务器对网络服务管理平台数字签名对认证服务器进行合法验证;若对认证服务器的合法验证判定为合法,根据身份认证结果,判断便携式设备的身份是否合法;若是,结果接收模块530向认证接收模块620发送身份认证结果、认证服务器对便携设备数字签名、网络服务管理平台数字签名和第二随机数;
结果判断模块630根据网络服务管理平台数字签名认证服务器对便携式设备数字签名和第二随机数对网络服务管理平台和认证服务器进行合法验证;若对网络服务管理平台和认证服务器的合法验证判定均为合法,进入下一步;
结果判断模块630根据身份认证结果,判断网络服务管理平台的身份是否合法;若是,判定校验结果为安全。
在另一个具体实施例中,网络服务管理平台、便携式设备与认证服务器之间的网络模型如图11所示,认证服务器可与多个网络服务管理平台进行连接,可对多个网络服务管理平台发送数据进行身份认证,各所述网络服务管理平台可与多个便携式设备连接,其中便携式设备以可穿戴设备为例,如图12所示,为所述具体实施例的执行时序图,所述具体实施例包括以下步骤:
步骤s801:网络服务管理平台判断已连接的可穿戴设备的数量是否达到饱和阈值,若否,广播接入请求命令,所述接入请求命令中包括第一随机数;
步骤s802:可穿戴设备接收到所述接入请求命令后,向所述网络服务管理平台发送接入申请命令,所述接入申请命令中包括所述接入请求命令中的第一随机数;
步骤s803:网络服务管理平台判断所述接入申请命令中的第一随机数与所述接入请求命令中的第一随机数是否相等,若是,判定与所述可穿戴设备已关联,并将所述可穿戴设备加入本网络服务管理平台,向所述可穿戴设备发送挑战质询命令;
步骤s804:可穿戴设备接收到所述挑战质询命令后,向所述网络服务管理平台发送申请数据命令;所述申请数据命令包括认证识别符、可穿戴设备产生的第二随机数、可穿戴设备的身份证书、可穿戴设备的数字签名和可穿戴设备对网络服务管理平台的公钥;
步骤s805:网络服务管理平台接收到所述申请数据命令后,根据所述第二随机数和可穿戴设备的数字签名对可穿戴设备进行合法验证;若所述合法验证为不合法,将所述申请数据命令丢弃,并断开与所述可穿戴设备的关联;若所述合法验证为合法,进入下一步;
步骤s806:网络服务管理平台从可穿戴设备的身份证书上解析可穿戴设备的身份id,向认证服务器发送询问数据命令;所述询问数据命令包括可穿戴设备产生的第二随机数、网络服务管理平台产生的第三随机数、可穿戴设备的身份证书、网络服务管理平台的身份证书和网络服务管理平台的数字签名;
步骤s807:认证服务器接收到所述询问数据命令后,分别根据所述可穿戴设备的身份证书和网络服务管理平台的身份证书,对可穿戴设备和网络服务管理平台进行身份认证;
步骤s808:认证服务器分别从所述可穿戴设备的身份证书和网络服务管理平台的身份证书解析可穿戴设备和网络服务管理平台的身份id,向网络服务管理平台发送询问响应命令;所述询问响应命令包括可穿戴设备产生的第二随机数、网络服务管理平台产生的第三随机数、认证服务器分别对可穿戴设备和网络服务管理平台的身份认证结果以及认证服务器分别对可穿戴设备和网络服务管理平台的数字签名;
步骤s809:网络服务管理平台接收到所述询问响应命令后,根据所述第三随机数和认证服务器对网络服务管理平台的数字签名进行合法验证;若所述合法验证为不合法,则将所述询问响应命令丢弃,并判定认证服务器为不安全;若所述合法验证为合法,进入下一步;
步骤s810:网络服务管理平台向可穿戴设备发送申请响应命令;所述申请响应命令包括认证识别符、可穿戴设备产生的第二随机数、网络服务管理平台对认证服务器的合法验证结果、认证服务器对网络服务管理平台的身份认证结果、网络服务管理平台的数字签名、认证服务器对可穿戴设备的数字签名和网络服务管理平台对可穿戴设备的公钥;
步骤s811:网络服务管理平台根据认证服务器对可穿戴设备的身份认证结果,判断可穿戴设备的身份认证是否合法;若否,断开与可穿戴设备的关联;若是,进入下一步;
步骤s812:可穿戴设备接收到所述申请响应命令后,根据所述第二随机数、网络服务管理平台的数字签名和认证服务器对可穿戴设备的数字签名,分别对网络服务管理平台和认证服务器进行合法验证;若所述合法验证均为合法,则判定当次校验结果为安全,网络服务管理平台和可穿戴设备之间可以授权连接端口,并进行握手,否则断开与网络服务管理平台的关联。
在本实施例中,可穿戴设备与网络服务管理平台进行连接的过程中,便携式设备需要对网络服务平台进行合法验证,并且网络服务管理平台也需要对便携式设备进行合法验证,通过对等身份校验的方法,可以确保连接的双方互为合法对象;同时,利用三元身份校验的方法,引入认证服务器对两者进行身份信息鉴别,三者之间需要进行多次校验,进一步提高了校验的可靠性;在验证过程中,加入了数字密钥验证机制,避免了传统技术中仅通过静态口令进行连接导致的不安全问题;再者,校验过程中无需在可穿戴设备进行口令的输入,可穿戴设备自主实现三元对等校验,提高了校验过程的便捷性。
根据上述便携式设备的校验方法,本发明实施例还提供一种可读存储介质和一种计算机设备。可读存储介质上存储有可执行程序,该程序被处理器执行时实现上述便携式设备的校验方法的步骤;计算机设备包括存储器、处理器及存储在存储器上并可在处理器上运行的可执行程序,处理器执行程序时实现上述便携式设备的校验方法的步骤。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。