【技术实现步骤摘要】
本申请涉及计算机,具体而言,涉及一种单包认证方法及系统、存储介质和电子设备。
技术介绍
1、单包认证技术是指终端设备只需要发送一个数据包到服务端,服务端便可以识别该终端身份的合法性。现有技术的零信任安全架构中的单包认证技术是一项轻量级终端接入认证技术。
2、目前在工控和物联网领域,单包认证技术方案可以实现设备到设备之间的身份认证,其一般采用基于密码技术的安全凭证作为身份验证标识,如pki数字证书,otp密钥,ibc身份密钥等。
3、但专利技术人发现,基于密码技术的安全凭证对于密钥的全生命周期管理能力要求较高。而在工控领域,大多数的嵌入式设备缺乏密钥管理能力,如密钥的产生、分发和存储能力等。如果嵌入式设备的安全凭证遭受到非法攻击造成安全泄露,将会导致系统和服务存在非法接入风险。
4、另外,采用硬件密码模块可以解决上述设备密码的安全存储问题,但其需要对设备硬件进行改造和存在分发更新困难的问题,同时也会使得设备的维护成本增加。
5、基于此,专利技术人认为基于密码技术的安全凭证难以在嵌入式设备上广泛应用,基于嵌入式设备的单包认证技术还有待改进。
技术实现思路
1、本申请提供了一种单包认证方法及系统、存储介质和电子设备。用于解决基于密码技术的安全凭证难以在嵌入式设备上广泛应用的问题。
2、本申请的一方面提供了一种单包认证方法。所述单包认证方法包括:远程控制设备接收来自终端设备的目标组件的第一组件信息后,将公钥信息发送至终端设备;接收
3、根据本申请的一些实施例,终端设备包括第一认证单元和第二认证单元,远程控制设备接收来自终端设备的第一组件信息包括:接收第二认证单元发送的第一组件信息;其中,第一组件信息是第一认证单元所确定的,第一组件信息包括目标组件的第一度量值信息和第一设备标识信息。
4、根据本申请的一些实施例,接收来自终端设备的加密组件信息包括:接收第二认证单元发送的加密组件信息;其中,加密组件信息为第一认证单元通过对目标组件的第二组件信息加密处理所确定的,第二组件信息包括目标组件的第二度量值信息、第二设备标识信息。
5、根据本申请的一些实施例,在第二组件信息与第一组件信息一致的情况下,通过终端设备的设备认证包括:判断第二度量值信息与第一度量值信息是否一致;如果是,则通过终端设备的设备认证。
6、本申请的另一方面提供了一种单包认证系统。所述单包认证系统包括可信注册单元和可信认证单元。可信注册单元接收来自终端设备的目标组件的第一组件信息后,将公钥信息发送至终端设备;可信认证单元接收来自终端设备的加密组件信息,加密组件信息为终端设备基于目标组件的第二组件信息和公钥信息所确定的,以及解密加密组件信息得到第二组件信息,在第二组件信息与第一组件信息一致的情况下,通过终端设备的设备认证。
7、根据本申请的一些实施例,终端设备包括第一认证单元和第二认证单元;可信注册单元接收第二认证单元发送的第一组件信息;其中,第一组件信息是第一认证单元所确定的,第一组件信息包括目标组件的第一度量值信息和第一设备标识信息。
8、根据本申请的一些实施例,可信认证单元接收第二认证单元发送的加密组件信息;其中,加密组件信息为第一认证单元通过对目标组件的第二组件信息加密处理所确定的,第二组件信息包括目标组件的第二度量值信息、第二设备标识信息。
9、根据本申请的一些实施例,可信认证单元判断第二度量值信息与第一度量值信息是否一致;如果是,则可信认证单元通过终端设备的设备认证。
10、根据本申请的又一方面,本申请提供了一种非易失性计算机可读存储。所述存储介质上存储有计算机程序,该计算机程序可以实现如上文所述的单包认证方法。
11、根据本申请的又一方面,本申请提供了一种电子设备。所述电子设备包括一个或多个处理器和存储装置,存储装置用于存储一个或多个程序,当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器可以实现如上文所述的单包认证方法。
12、通过上述实施例,本申请通过将终端设备的初始系统度量值(第一组件信息)存储至远程控制设备,在终端设备发起单包认证请求时,远程控制设备通过比较当前系统度量值(解密后的第二组件信息)与初始系统度量值来对终端设备进行可信认证,无需终端设备再提供其它身份安全凭证即可完成终端设备的身份认证和安全接入。
本文档来自技高网...【技术保护点】
1.一种终端设备的单包认证方法,其特征在于,所述终端设备与远程控制设备通信连接,所述单包认证方法包括:
2.根据权利要求1所述的单包认证方法,其特征在于,所述终端设备包括第一认证单元和第二认证单元,所述远程控制设备接收来自所述终端设备的第一组件信息包括:
3.根据权利要求2所述的单包认证方法,其特征在于,所述接收来自所述终端设备的加密组件信息包括:
4.根据权利要求3所述的单包认证方法,其特征在于,所述在所述第二组件信息与所述第一组件信息一致的情况下,通过所述终端设备的设备认证包括:
5.一种终端设备的单包认证系统,其特征在于,包括:
6.根据权利要求5所述的单包认证系统,其特征在于,所述终端设备包括第一认证单元和第二认证单元;所述可信注册单元接收所述第二认证单元发送的第一组件信息;
7.根据权利要求6所述的单包认证系统,其特征在于,所述可信认证单元接收所述第二认证单元发送的加密组件信息;
8.根据权利要求7所述的单包认证系统,其特征在于,所述可信认证单元判断所述第二度量值信息与所述第一度量值信息
9.一种非易失性计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序实现如权利要求1-4中任一所述的单包认证方法。
10.一种电子设备,其特征在于,包括:
...【技术特征摘要】
1.一种终端设备的单包认证方法,其特征在于,所述终端设备与远程控制设备通信连接,所述单包认证方法包括:
2.根据权利要求1所述的单包认证方法,其特征在于,所述终端设备包括第一认证单元和第二认证单元,所述远程控制设备接收来自所述终端设备的第一组件信息包括:
3.根据权利要求2所述的单包认证方法,其特征在于,所述接收来自所述终端设备的加密组件信息包括:
4.根据权利要求3所述的单包认证方法,其特征在于,所述在所述第二组件信息与所述第一组件信息一致的情况下,通过所述终端设备的设备认证包括:
5.一种终端设备的单包认证系统,其特征在于,包括:
【专利技术属性】
技术研发人员:唐大圆,曹翔,林青,缪海飞,陶耕宇,陈宝鼎,
申请(专利权)人:南京南瑞继保电气有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。