本发明公开一种用于轨道交通设备的智能身份认证方法及装置,该方法步骤包括:1)预先在所需的设备中加载一个身份认证模块;2)当通信双方设备需要通信或执行数据交换时,启动设备中身份认证模块,身份认证模块将通信双方设备建立连接,并对本地身份标志使用对方的公钥进行加密、本地私钥进行签名后发送给对方设备,获取到对方设备的身份标志后与本地存储的身份标志进行对比以认证对方设备的合法身份。本发明能够适用于轨道交通设备实现智能身份认证,具有实现方法简单、所需成本低、身份认证效率高且安全可靠等优点。
1.一种用于轨道交通设备的智能身份认证方法,其特征在于,步骤包括:
2)当通信双方设备需要通信或执行数据交换时,启动设备中所述身份认证模块,所述身份认证模块将通信双方设备建立连接,并对本地身份标志使用对方的公钥进行加密、本地私钥进行签名后发送给对方设备,获取到对方设备的身份标志后与本地存储的身份标志进行对比以认证对方设备的合法身份;
所述步骤2)中源设备端的所述身份认证模块的具体执行步骤为:
2.11)数据获取:获取本地身份认证数据,所述本地身份认证数据包括由本地源设备身份标志、目标设备身份标志构成的本地身份标志对、目标设备的公钥以及本地源设备私钥;
2.12)连接建立:向目标设备发起连接,如果连接成功,转入执行步骤2.13);否则返回执行步骤2.12);
2.13)认证请求发送:对所述本地源设备身份标志使用所述目标设备的公钥加密,并使用所述本地源设备私钥对加密后密文进行数字签名,生成认证请求发送给目标设备,等待目标设备的认证应答信息;
2.14)身份认证:接收目标设备的认证应答信息,对所述认证应答信息使用所述目标设备的公钥验证数字签名,验证通过后使用所述本地源设备私钥解密所述认证应答信息中密文,根据解密后数据判断目标设备是否为合法设备;
2.21)数据获取:获取本地身份认证数据,所述本地身份认证数据包括本地目标设备身份标志、源设备身份标志构成的本地身份标志对、源设备的公钥以及本地目标设备私钥;
2.22)身份认证:接收源设备发送的认证请求,对所述认证请求使用所述源设备的公钥验证数字签名,验证通过后使用所述本地目标设备私钥解密所述认证请求中密文,根据解密后数据判断源设备是否为合法设备;
2.23)认证应答:将本地目标设备身份标志使用所述源设备的公钥加密,并使用所述本地目标设备的私钥进行签名,生成认证应答信息发送给源设备。
2.根据权利要求1所述的用于轨道交通设备的智能身份认证方法,其特征在于,所述步骤2)的具体步骤为:当源设备与目标设备需要通信或执行数据交换时,启动源设备、目标设备中所述身份认证模块,在源设备端,通过所述身份认证模块将源设备与目标设备建立连接,并对源设备的本地身份标志使用目标设备的公钥进行加密、本地私钥进行签名后生成认证请求发送给目标设备;在目标设备端,通过所述身份认证模块接收所述认证请求,对所述认证请求使用源设备的公钥、本地私钥获取源设备的身份标志进行认证,认证完成后将目标设备的身份标志生成认证应答信息发送给源设备;源设备端通过所述身份认证模块接收所述认证应答信息,对所述认证应答信息使用目标设备的公钥、本地私钥获取目标设备的本地身份标志进行认证,完成源设备、目标设备之间合法身份的双向认证。
3.根据权利要求2所述的用于轨道交通设备的智能身份认证方法,其特征在于,所述步骤2.14)中根据解密后数据判断目标设备是否为合法设备的具体步骤为:
2.141)根据解密后数据判断目标设备对源设备的验证是否通过,若通过,转入执行步骤2.42),否则判定目标设备为非法设备;
2.142)获取解密后数据中目标设备身份标志,并与本地存储的目标设备身份标志比较,如果一致则判定目标设备为合法设备,否则判定目标设备为非法设备,返回验证结果给目标设备;
所述步骤2.22)中根据解密后数据判断源设备是否为合法设备的具体步骤为:获取解密后数据中源设备身份标志,并与本地存储的源设备身份标志比较,如果一致则判定源设备为合法设备,否则判定源设备为非法设备。
4.根据权利要求1~3中任意一项所述的用于轨道交通设备的智能身份认证方法,其特征在于,当为首次身份认证时,所述步骤2)前还包括设备合法身份智能初始化步骤,具体步骤为:S1)预先在所需的设备中加载一个初始化模块;
S2)源设备与目标设备通信时,若为首次身份认证则启动源设备中所述初始化模块,所述初始化模块将源设备与目标设备建立连接,并判断源设备的本地是否有目标设备对应的合法身份标志,其中如果判断到没有,则向目标设备获取对应的合法身份标志。
5.根据权利要求4所述的用于轨道交通设备的智能身份认证方法,其特征在于,所述步骤S2)中所述初始化模块每次建立连接的具体执行步骤为:S21)连接建立:从源设备的本地获取目标设备的地址、合法身份标志,根据获取到的所述目标设备的地址、合法身份标志向目标设备发送连接请求,连接成功后转入执行步骤S22);
S22)初始化智能判断:判断源设备的本地是否有目标设备对应的合法身份标志,如果没有,转入执行步骤S23);否则判定已完成初始化,退出当前初始化;
S23)初始化智能执行:向目标设备发送初始化请求,根据目标设备返回的响应信息获取对应的合法身份标志并存储至本地指定位置。
6.根据权利要求5所述的用于轨道交通设备的智能身份认证方法,其特征在于,所述步骤S23)的具体步骤为:S231)向目标设备发送初始化请求,等待目标设备返回响应信息,转入执行步骤S232);
S232)接收目标设备返回的响应信息,所述响应信息包括明文部分和使用本地公钥加密的密文,转入执行步骤S233);
S233)将接收到的响应信息进行解析,通过使用该响应信息中明文部分的服务器端公钥进行签名验证,签名验证通过后,根据解析信息判断是否允许当前初始化,如果是,获取所述响应信息中的密文,转入执行步骤S234,否则返回执行步骤S231);
S234)使用私钥解密所述密文,获取得到目标设备对应的合法身份标志,转入执行步骤S235);
S235)将获取到的合法身份标志存储至本地指定位置,转入执行步骤S236);
S236)发送初始化完成信息给目标设备,完成初始化。
7.一种用于轨道交通设备的智能身份认证装置,其特征在于包括预先加载在所需设备中的身份认证模块,当源设备与目标设备需要通信或执行数据交换时,启动源设备、目标设备中所述身份认证模块,在源设备端,通过所述身份认证模块将源设备与目标设备建立连接,并对源设备的本地身份标志使用目标设备的公钥进行加密、本地私钥进行签名后生成认证请求发送给目标设备;在目标设备端,通过所述身份认证模块接收所述认证请求,对所述认证请求使用源设备的公钥、本地私钥获取源设备的身份标志进行认证,认证完成后将目标设备的身份标志生成认证应答信息发送给源设备;源设备端通过所述身份认证模块接收所述认证应答信息,对所述认证应答信息使用目标设备的公钥、本地私钥获取目标设备的本地身份标志进行认证,完成源设备、目标设备之间合法身份的双向认证;
数据获取单元,用于获取本地身份认证数据,所述本地身份认证数据包括本地身份标志对、对方设备的公钥、本地设备私钥;
连接建立单元,将通信设备双方建立连接,如果连接成功,转入执行身份认证单元;否则返回执行所述连接建立单元;
认证请求发送单元,用于为源设备端时,对所述本地身份标志对使用所述目标设备的公钥加密,并使用所述本地私钥对加密后密文进行数字签名,生成认证请求发送给目标设备,等待目标设备的认证应答信息;
认证应答单元,用于为目标设备端时,将本地目标设备身份标志使用所述源设备的公钥加密,并使用所述本地目标设备的私钥进行签名,生成认证应答信息发送给源设备;
身份认证单元,用于为目标设备端时,接收源设备发送的认证请求,对所述认证请求使用所述源设备的公钥验证数字签名,验证通过后使用所述本地目标设备私钥解密所述认证请求中密文,根据解密后数据判断源设备是否为合法设备;在源设备端时接收目标设备的认证应答信息,对所述认证应答信息使用所述目标设备的公钥验证数字签名,验证通过后使用所述本地私钥解密所述认证应答信息中密文,根据解密后数据判断目标设备是否为合法设备。
8.根据权利要求7所述的用于轨道交通设备的智能身份认证装置,其特征在于,所述身份认证单元中为源设备端时,根据解密后数据判断目标设备是否为合法设备具体包括:验证判断子单元,用于根据解密后数据判断目标设备对源设备的验证是否通过,若通过,转入执行身份判定子单元,否则判定目标设备为非法设备;
身份判定子单元,用于获取解密后数据中目标设备身份标志,并与本地储存的目标设备身份标志比较,如果一致则判定目标设备为合法设备,否则判定目标设备为非法设备;
所述身份认证单元中为目标设备端时,根据解密后数据判断源设备是否为合法设备的具体包括:获取解密后数据中源设备身份标志,并与本地存储的源设备身份标志比较,如果一致则判定源设备为合法设备,否则判定源设备为非法设备。
9.根据权利要求7或8所述的用于轨道交通设备的智能身份认证装置,其特征在于,还包括验证结果发送单元,所述验证结果发送单元用于为源设备端时将最终验证结果使用目标设备的公钥加密,并使用本地源设备私钥进行数字签名后发送给目标设备。
10.根据权利要求7或8所述的用于轨道交通设备的智能身份认证装置,其特征在于,还包括预先加载在所需设备中的初始化模块,源设备与目标设备通信时,若为首次身份认证则启动源设备中所述初始化模块,所述初始化模块将源设备与目标设备建立连接,并判断源设备的本地是否有目标设备对应的合法身份标志,其中如果判断到没有,则向目标设备获取对应的合法身份标志;
连接建立单元,用于从源设备的本地获取目标设备的地址、合法身份标志,根据获取到的所述目标设备的地址、合法身份标志向目标设备发送连接请求,连接成功后转入执行步骤S22);
初始化智能判断单元,用于判断源设备的本地是否有目标设备对应的合法身份标志,如果没有,转入执行步骤初始化智能执行单元;否则判定已完成初始化,退出当前初始化;
初始化智能执行单元,用于向目标设备发送初始化请求,根据目标设备返回的响应信息获取对应的合法身份标志并存储至本地指定位置。
一种用于轨道交通设备的智能身份认证方法及装置
技术领域
[0001] 本发明涉及轨道交通通信,尤其涉及一种用于轨道交通设备的智能身份认证方法及装置。
背景技术
[0002] 目前轨道交通设备的通信及数据传输过程,通常都是将通信的目标设备默认为合法设备,再基于身份标志、智能卡等管理手段来确保通信双方的合法性,还未有对设备进行身份合法性认证的有效方法。但是通过管理手段来确定目标设备是否合法,非常容易由于管理疏漏或者失误造成非法设备验证为合法设备,设备通信及数据传输过程存在非常大的安全风险。如在列车车地无线传输系统中,需要将列车各终端数据传输到车载认证单元,以及车载数据传输到地面服务器过程中等,若无身份认证过程,则各终端保密数据、传输至地面服务器的车载保密数据在数据传输过程中,均可能被非法设备获取。
[0003] 传统的身份认证方式通常都需要人工参与,如中国专利文献CN公开一种实现用户身份自动认证的方法,当终端检测到已经连接到终端管理平台,并且自身的注册状态为未注册成功时,提示输入逻辑号码和验证信息;终端将输入的逻辑号码和验证信息上报到终端管理平台;如果接收到终端管理平台返回的验证成功信息,终端更改自身的注册状态为注册成功;该身份自动认证方法,仍然需要人工参与,由用户按照提示输入逻辑号码和验证信息等相关信息,通过判断信息比对是否通过而确定对方身份,并不能通过设备间自主交互,以实现完全的自动化、智能化的身份认证。轨道交通中通信双方通常物理距离较远、分布较为分散,且通信设备众多,上述传统基于人工配置的身份认证方式效率低下、成本较高,并不适用于轨道交通设备。
发明内容
[0004] 本发明要解决的技术问题就在于:针对现有技术存在的技术问题,本发明提供一种能够适用于轨道交通设备实现智能身份认证,具有实现方法简单、所需成本低、身份认证效率高且安全可靠的用于轨道交通设备的智能身份认证方法及装置。
[0005] 为解决上述技术问题,本发明提出的技术方案为:
[0006] 一种用于轨道交通设备的智能身份认证方法,步骤包括:
[0007] 1)预先在所需的设备中加载一个身份认证模块;
[0008] 2)当通信双方设备需要通信或执行数据交换时,启动设备中所述身份认证模块,所述身份认证模块将通信双方设备建立连接,并对本地身份标志使用对方的公钥进行加密、本地私钥进行签名后发送给对方设备,获取到对方设备的身份标志后与本地存储的身份标志进行对比以认证对方设备的合法身份。作为本发明方法的进一步改进,所述步骤2)的具体执行步骤为:
[0009] 当源设备与目标设备需要通信或执行数据交换时,启动源设备、目标设备中所述身份认证模块,在源设备端,通过所述身份认证模块将源设备与目标设备建立连接,并对源设备的本地身份标志使用目标设备的公钥进行加密、本地私钥进行签名后生成认证请求发送给目标设备;在目标设备端,通过所述身份认证模块接收所述认证请求,对所述认证请求使用源设备的公钥、本地私钥获取源设备的身份标志进行认证,认证完成后将目标设备的身份标志生成认证应答信息发送给源设备;源设备端通过所述身份认证模块接收所述认证应答信息,对所述认证应答信息使用目标设备的公钥、本地私钥获取目标设备的本地身份标志进行认证,完成源设备、目标设备之间合法身份的双向认证。
[0010] 作为本发明方法的进一步改进,所述步骤2)中源设备端的所述身份认证模块的具体执行步骤为:
[0011] 2.11)数据获取:获取本地身份认证数据,所述本地身份认证数据包括由本地源设备身份标志、目标设备身份标志构成的本地身份标志对、目标设备的公钥以及本地源设备私钥;
[0012] 2.12)连接建立:向目标设备发起连接,如果连接成功,转入执行步骤2.13);否则返回执行步骤2.12);
[0013] 2.13)认证请求发送:对所述本地源设备身份标志使用所述目标设备的公钥加密,并使用所述本地源设备私钥对加密后密文进行数字签名,生成认证请求发送给目标设备,等待目标设备的认证应答信息;
[0014] 2.14)身份认证:接收目标设备的认证应答信息,对所述认证应答信息使用所述目标设备的公钥验证数字签名,验证通过后使用所述本地源设备私钥解密所述认证应答信息中密文,根据解密后数据判断目标设备是否为合法设备;
[0015] 目标设备端的所述身份认证模块的具体执行步骤为:
[0016] 2.21)数据获取:获取本地身份认证数据,所述本地身份认证数据包括本地目标设备身份标志、源设备身份标志构成的本地身份标志对、源设备的公钥以及本地目标设备私钥;
[0017] 2.22)身份认证:接收源设备发送的认证请求,对所述认证请求使用所述源设备的公钥验证数字签名,验证通过后使用所述本地目标设备私钥解密所述认证请求中密文,根据解密后数据判断源设备是否为合法设备;
[0018] 2.23)认证应答:将本地目标设备身份标志使用所述源设备的公钥加密,并使用所述本地目标设备的私钥进行签名,生成认证应答信息发送给源设备。
[0019] 作为本发明方法的进一步改进,所述步骤2.14)中根据解密后数据判断源设备是否为合法设备的具体步骤为:
[0020] 2.141)根据解密后数据判断目标设备对源设备的验证是否通过,若通过,转入执行步骤2.42),否则判定目标设备为非法设备;
[0021] 2.142)获取解密后数据中目标设备身份标志,并与本地存储的目标设备身份标志比较,如果一致则判定目标设备为合法设备,否则判定目标设备为非法设备,返回验证结果给目标设备;
[0022] 所述步骤2.22)中根据解密后数据判断源设备是否为合法设备的具体步骤为:获取解密后数据中源设备身份标志,并与本地存储的源设备身份标志比较,如果一致则判定源设备为合法设备,否则判定源设备为非法设备。
[0023] 作为本发明方法的进一步改进,所述判断目标设备是否为合法设备后还包括验证结果发送步骤,具体步骤为:将最终验证结果使用目标设备的公钥加密,并使用本地私钥进行数字签名后发送给目标设备。
[0024] 作为本发明方法的进一步改进,当为首次身份认证时,步骤2)前还包括设备合法身份智能初始化步骤,具体步骤为:
[0025] S1)预先在所需的设备中加载一个初始化模块;
[0026] S2)源设备与目标设备通信时,若为首次身份认证则启动源设备中所述初始化模块,所述初始化模块将源设备与目标设备建立连接,并判断源设备的本地是否有目标设备对应的合法身份标志,其中如果判断到没有,则向目标设备获取对应的合法身份标志。
[0027] 作为本发明方法的进一步改进,所述步骤S2)中所述初始化模块每次建立连接的具体执行步骤为:
[0028] S21)连接建立:从源设备的本地获取目标设备的地址、合法身份标志,根据获取到的所述目标设备的地址、合法身份标志向目标设备发送连接请求,连接成功后转入执行步骤S22);
[0029] S22)初始化智能判断:判断源设备的本地是否有目标设备对应的合法身份标志,如果没有,转入执行步骤S23);否则判定已完成初始化,退出当前初始化;
[0030] S23)初始化智能执行:向目标设备发送初始化请求,根据目标设备返回的响应信息获取对应的合法身份标志并存储至本地指定位置。
[0031] 作为本发明方法的进一步改进,所述步骤S23)的具体步骤为:
[0032] S231)向目标设备发送初始化请求,等待目标设备返回响应信息,转入执行步骤S232);
[0033] S232)接收目标设备返回的响应信息,所述响应信息包括明文部分和使用本地公钥加密的密文,转入执行步骤S233);
[0034] S233)将接收到的响应信息进行解析,通过使用该响应信息中明文部分的服务器端公钥进行签名验证,签名验证通过后,根据解析信息判断是否允许当前初始化,如果是,获取所述响应信息中的密文,转入执行步骤S234,否则返回执行步骤S231);
[0035] S234)使用私钥解密所述密文,获取得到目标设备对应的合法身份标志,转入执行步骤S235);
[0036] S235)将获取到的合法身份标志存储至本地指定位置,转入执行步骤S236);
[0037] S236)发送初始化完成信息给目标设备,完成初始化。
[0038] 一种用于轨道交通设备的智能身份认证装置,包括预先加载在所需设备中的身份认证模块,当源设备与目标设备需要通信或执行数据交换时,启动源设备、目标设备中所述身份认证模块,在源设备端,通过所述身份认证模块将源设备与目标设备建立连接,并对源设备的本地身份标志使用目标设备的公钥、本地私钥生成认证请求发送给目标设备,在目标设备端,通过所述身份认证模块接收所述认证请求,对所述认证请求使用本地公钥、源设备的私钥进行认证,认证完成后发送认证应答信息给源设备;源设备端通过所述身份认证模块接收所述认证应答信息,对所述认证应答信息使用目标设备的公钥、本地私钥获取目标设备对源设备进行认证,完成源设备、目标设备之间的双向身份认证。
[0039] 作为本发明装置的进一步改进,所述身份认证模块包括:
[0040] 数据获取单元,用于获取本地身份认证数据,所述本地身份认证数据包括本地身份标志对、对方设备的公钥、本地设备私钥;
[0041] 连接建立单元,将通信设备双方建立连接,如果连接成功,转入执行身份认证单元;否则返回执行所述连接建立单元;
[0042] 认证请求发送单元,用于为源设备端时,对所述本地身份标志对使用所述目标设备的公钥加密,并使用所述本地私钥对加密后密文进行数字签名,生成认证请求发送给目标设备,等待目标设备的认证应答信息;
[0043] 认证应答单元,用于为目标设备端时,将本地目标设备身份标志使用所述源设备的公钥加密,并使用所述本地目标设备的私钥进行签名,生成认证应答信息发送给源设备;
[0044] 身份认证单元,用于为目标设备端时,接收源设备发送的认证请求,对所述认证请求使用所述源设备的公钥验证数字签名,验证通过后使用所述本地目标设备私钥解密所述认证请求中密文,根据解密后数据判断源设备是否为合法设备;在源设备端时接收目标设备的认证应答信息,对所述认证应答信息使用所述目标设备的公钥验证数字签名,验证通过后使用所述本地私钥解密所述认证应答信息中密文,根据解密后数据判断目标设备是否为合法设备。
[0045] 作为本发明装置的进一步改进,所述身份认证单元中为源设备端时,根据解密后数据判断目标设备是否为合法设备具体包括:
[0046] 验证判断子单元,用于根据解密后数据判断目标设备对源设备的验证是否通过,若通过,转入执行身份判定子单元,否则判定目标设备为非法设备;
[0047] 身份判定子单元,用于获取解密后数据中目标设备身份标志,并与本地储存的目标设备身份标志比较,如果一致则判定目标设备为合法设备,否则判定目标设备为非法设备;
[0048] 所述身份认证单元中为目标设备端时,根据解密后数据判断源设备是否为合法设备的具体包括:获取解密后数据中源设备身份标志,并与本地存储的源设备身份标志比较,如果一致则判定源设备为合法设备,否则判定源设备为非法设备。
[0049] 作为本发明装置的进一步改进,还包括验证结果发送单元,所述验证结果发送单元用于为源设备端时将最终验证结果使用目标设备的公钥加密,并使用本地源设备私钥进行数字签名后发送给目标设备。
[0050] 作为本发明装置的进一步改进,还包括预先加载在所需设备中的初始化模块,源设备与目标设备通信时,若为首次身份认证则启动源设备中所述初始化模块,所述初始化模块将源设备与目标设备建立连接,并判断源设备的本地是否有目标设备对应的合法身份标志,其中如果判断到没有,则向目标设备获取对应的合法身份标志;
[0051] 所述初始化模块具体包括:
[0052] 连接建立单元,用于从源设备的本地获取目标设备的地址、合法身份标志,根据获取到的所述目标设备的地址、合法身份标志向目标设备发送连接请求,连接成功后转入执行步骤S22);
[0053] 初始化智能判断单元,用于判断源设备的本地是否有目标设备的合法身份标志,如果没有,转入执行步骤初始化智能执行单元;否则判定已完成初始化,退出当前初始化;
[0054] 初始化智能执行单元,用于向目标设备发送初始化请求,根据目标设备返回的响应信息获取对应的合法身份标志并存储至本地指定位置。
[0055] 与现有技术相比,本发明的优点在于:
[0056] 1)本发明通过在目标设备中加载一个身份认证模块,设备通信时启动身份认证模块,由身份认证模块自动完成通信、数据传输过程中设备的身份认证过程,无需人工参与,能够适用于轨道交通设备中,智能、高效的实现对车载设备间、车载设备与地面设备数据通信等的设备身份认证,有效提高网络设备的信息安全性能;
[0057] 2)本发明执行身份认证时,将本地身份标志通过对方的公钥加密,使得只有拥有与该公钥对应私钥的设备可以正确解密,从而能够确保只有合法的目标设备能够知晓本地身份标志,同时采用本地私钥进行数字签名,使得可以确保数据为本设备发出;在接收到目标设备认证应答信息时,通过目标设备的公钥验证数字签名,可以确保该数据是拥有与该公钥对应私钥的设备发送,对数据解密之后,验证目标设备身份标志即可判定目标设备的合法身份,实现设备的智能身份认证,确保设备通信、数据传输安全;
[0058] 3)本发明在进行首次身份认证时由初始化模块自动完成初始化过程,无需人为干预即可批量、自动完成各设备的合法身份初始化,实现过程简单,有效提高了轨道交通设备初始化的效率、降低初始化所需成本,同时结合智能身份认证过程,能够自动、高效的实现包括初始化、设备身份认证的完整身份认证过程,从而提高整个身份认证过程的智能化程度以及效率,同时降低所需成本;
[0059] 4)本发明通过初始化模块在首次初始化过程中,将源设备与目标设备建立连接,判断源设备本地是否有目标设备对应的合法身份标志,如果没有则向目标设备获取对应的合法身份标志,能够实现初始化的智能判断以及智能执行,从而可以自动完成初始化过程。
附图说明
[0060] 图1是本发明实施例1用于轨道交通设备的智能身份认证方法的实现流程示意图。
[0061] 图2是本发明实施例1中源设备端身份认证模块的具体执行流程示意图。
[0062] 图3是本发明实施例1具体实施例中身份认证的详细实现流程示意图。
[0063] 图4是本发明实施例1中身份认证模块的结构示意图。
[0064] 图5是本发明实施例2中初始化步骤的实现流程示意图。
[0065] 图6是本发明实施例2中初始化模块实现初始化的具体实现流程示意图。
[0066] 图7是本发明实施例2中初始化智能执行步骤的具体实现流程示意图。
[0067] 图8是本发明实施例2中初始化模块的具体结构示意图。
[0068] 图9是本发明实施例2中初始化智能执行单元的具体结构示意图。
具体实施方式
[0069] 以下结合说明书附图和具体优选的实施例对本发明作进一步描述,但并不因此而限制本发明的保护范围。
[0070] 实施例1:
[0071] 如图1所示,本实施例用于轨道交通设备的智能身份认证方法,步骤包括:
[0072] 1)预先在所需的设备中加载一个身份认证模块;
[0073] 2)当通信双方设备需要通信或执行数据交换时,启动设备中身份认证模块,身份认证模块将通信双方设备建立连接,并对本地身份标志使用对方的公钥进行加密、本地私钥进行签名后发送给对方设备,获取到对方设备的身份标志后与本地存储的身份标志进行对比以认证对方设备的合法身份。
[0074] 本实施例中,步骤2)的具体步骤为:当源设备与目标设备需要通信或执行数据交换时,启动源设备、目标设备中身份认证模块,在源设备端,通过身份认证模块将源设备与目标设备建立连接,并对源设备的本地身份标志使用目标设备的公钥进行加密、本地私钥进行签名后生成认证请求发送给目标设备;在目标设备端,通过身份认证模块接收认证请求,对认证请求使用源设备的公钥、本地私钥获取源设备的身份标志进行认证,认证完成后将目标设备的身份标志生成认证应答信息发送给源设备;源设备端通过身份认证模块接收认证应答信息,对认证应答信息使用目标设备的公钥、本地私钥获取目标设备的本地身份标志进行认证,完成源设备、目标设备之间合法身份的双向认证。
[0075] 本实施例通过在设备中预先加载一个初始化模块,设备通信时启动身份认证模块,由身份认证模块自动完成通信、数据传输过程中通信双方设备的身份认证过程,无需人工参与,能够适用于轨道交通设备中,智能、高效的实现对车载设备间、车载设备与地面设备数据通信等的设备身份认证,有效提高网络设备的信息安全性能。
[0076] 如图2所示,步骤2)中源设备端的身份认证模块的具体执行步骤为:
[0077] 2.11)数据获取:获取本地身份认证数据,本地身份认证数据包括由本地源设备身份标志、目标设备身份标志构成的本地身份标志对、目标设备的公钥以及本地源设备私钥;
[0078] 2.12)连接建立:向目标设备发起连接,如果连接成功,转入执行步骤2.13);否则返回执行步骤2.12);
[0079] 2.13)认证请求发送:对本地源设备身份标志使用目标设备的公钥加密,并使用本地源设备私钥对加密后密文进行数字签名,生成认证请求发送给目标设备,等待目标设备的认证应答信息;
[0080] 2.14)身份认证:接收目标设备的认证应答信息,对认证应答信息使用目标设备的公钥验证数字签名,验证通过后使用本地源设备私钥解密认证应答信息中密文,根据解密后数据判断目标设备是否为合法设备。
[0081] 本实施例中,目标设备端的身份认证模块的具体执行步骤为:
[0082] 2.21)数据获取:获取本地身份认证数据,本地身份认证数据包括本地目标设备身份标志、源设备身份标志构成的本地身份标志对、源设备的公钥以及本地目标设备私钥;
[0083] 2.22)身份认证:接收源设备发送的认证请求,对认证请求使用源设备的公钥验证数字签名,验证通过后使用本地目标设备私钥解密认证请求中密文,根据解密后数据判断源设备是否为合法设备;
[0084] 2.23)认证应答:将本地目标设备身份标志使用源设备的公钥加密,并使用本地目标设备的私钥进行签名,生成认证应答信息发送给源设备。
[0085] 本实施例身份认证模块执行身份认证时,将本地身份标志通过对方的公钥加密,使得只有拥有与该公钥对应私钥的设备可以正确解密,从而能够确保只有合法的目标设备能够知晓本地身份标志,同时采用本地私钥进行数字签名,使得可以确保数据为本设备发出;在接收到目标设备认证应答信息时,通过目标设备的公钥验证数字签名,可以确保该数据是拥有与该公钥对应私钥的设备发送,对数据解密之后,验证获取目标设备身份标志与本地预先存放的目标设备身份标志是否相同,即可判定目标设备的合法身份,确保设备通信、数据传输安全。
[0086] 本实施例身份认证模块具体为具有上述数据获取、连接建立、认证请求发送以及合法身份判断功能的程序模块,设备通信、数据交换时,调用身份认证模块,即可自动实现上述数据获取、连接建立、认证请求发送以及合法身份判断步骤,从而自动完成设备的身份认证过程。
[0087] 本实施例中,步骤2.14)中根据解密后数据判断源设备是否为合法设备的具体步骤为:
[0088] 2.141)根据解密后数据判断目标设备对源设备的验证是否通过,若通过,转入执行步骤2.42),否则判定目标设备为非法设备;
[0089] 2.142)获取解密后数据中目标设备身份标志,并与本地存储的目标设备身份标志比较,如果一致则判定目标设备为合法设备,否则判定目标设备为非法设备,返回验证结果给目标设备;
[0090] 步骤2.22)中根据解密后数据判断源设备是否为合法设备的具体步骤为:获取解密后数据中源设备身份标志,并与本地存储的源设备身份标志比较,如果一致则判定源设备为合法设备,否则判定源设备为非法设备。
[0091] 本实施例中,判断目标设备是否为合法设备后还包括验证结果发送步骤,具体步骤为:将最终验证结果使用目标设备的公钥加密,并使用本地私钥进行数字签名后发送给目标设备。
[0092] 如图3所示为一个具体实施例中源设备端的身份认证模块实现智能身份认证的详细实现流程,详细步骤为:
[0093] ①获取本地身份认证数据:身份标志对(本地源设备身份标志、目标设备身份标志)、目标设备公钥、本地源设备私钥,其中目标设备公钥为PublicKey_Target,本地源设备私钥为PrivateKey_Local,转入②;
[0094] ②向目标设备发起连接,判断连是否成功,如果连接成功,转入第③,否则返回②;
[0095] ③对本地源设备身份标志使用PublicKey_Target加密,并使用PrivateKey_Local对加密后密文进行数字签名,封装后转入④;
[0096] ④发送认证请求给目标设备,转入⑤发;
[0097] ⑤接收目标设备的验证结果信息,使用PublicKey_Target验证数字签名,转入⑥;
[0098] ⑥使用PublicKey_Target验证数字签名,判断验证是否通过,如果通过转入⑦,否则目标设备为非法设备,转入⑨;
[0099] ⑦使用PrivateKey_Local解密密文,判定目标设备端对本设备验证是否通过,判断目标设备端验证是否成功,如果成功,则转入⑧,否则目标设备为非法设备,转入⑨;
[0100] ⑧将反馈信息中获取的目标设备身份标志与本地存储的目标设备身份标志对比,判断是否相同,如果相同,则目标设备为合法设备,否则目标设备为非法设备;转入⑨;
[0101] ⑨将验证结果通过PublicKey_Target加密,并且使用PrivateKey_Local进行签名,转入⑩;
[0102] ⑩发送验证结果给目标设备,目标设备合法身份验证结束。
[0103] 本实施例采用上述方法,在列车车地无线传输系统中,需要将列车各终端数据传输到车载认证单元时,在数据交互之前采用上述方法进行双向身份认证,使得只有通过身份认证的目标设备才能进行保密数据的传递;当车载数据需要传输到地面服务器时,采用上述方法进行身份认证,使得只有通过身份认证后才能够传递车载数据,从而能够有效减少在设备通信、数据传输过程中被非法设备获取的可能性,保证设备通信、数据传输过程安全。
[0104] 如图4所示,本实施例中身份认证模块具体包括:
[0105] 数据获取单元,用于获取本地身份认证数据,本地身份认证数据包括本地身份标志对、对方设备的公钥、本地设备私钥;
[0106] 连接建立单元,将通信设备双方建立连接,如果连接成功,转入执行身份认证单元;否则返回执行连接建立单元;
[0107] 认证请求发送单元,用于为源设备端时,对本地身份标志对使用目标设备的公钥加密,并使用本地私钥对加密后密文进行数字签名,生成认证请求发送给目标设备,等待目标设备的认证应答信息;
[0108] 认证应答单元,用于为目标设备端时,将本地目标设备身份标志使用源设备的公钥加密,并使用本地目标设备的私钥进行签名,生成认证应答信息发送给源设备;
[0109] 身份认证单元,用于为目标设备端时,接收源设备发送的认证请求,对认证请求使用源设备的公钥验证数字签名,验证通过后使用本地目标设备私钥解密认证请求中密文,根据解密后数据判断源设备是否为合法设备;在源设备端时接收目标设备的认证应答信息,对认证应答信息使用目标设备的公钥验证数字签名,验证通过后使用本地私钥解密认证应答信息中密文,根据解密后数据判断目标设备是否为合法设备。
[0110] 本实施例中,身份认证单元中为源设备端时,根据解密后数据判断目标设备是否为合法设备具体包括:
[0111] 验证判断子单元,用于根据解密后数据判断目标设备对源设备的验证是否通过,若通过,转入执行身份判定子单元,否则判定目标设备为非法设备;
[0112] 身份判定子单元,用于获取解密后数据中目标设备身份标志,并与本地储存的目标设备身份标志比较,如果一致则判定目标设备为合法设备,否则判定目标设备为非法设备;
[0113] 身份认证单元中为目标设备端时,根据解密后数据判断源设备是否为合法设备的具体包括:获取解密后数据中源设备身份标志,并与本地存储的源设备身份标志比较,如果一致则判定源设备为合法设备,否则判定源设备为非法设备。
[0114] 本实施例中,还包括验证结果发送单元,验证结果发送单元将最终验证结果使用目标设备的公钥加密,并使用本地私钥进行数字签名后发送给目标设备。
[0115] 实施例2:
[0116] 本实施例与实施例1的区别在于当为首次身份认证时,步骤2)前还包括设备合法身份智能初始化步骤,如图5所示,具体步骤为:
[0117] S1)预先在所需的设备中加载一个初始化模块;
[0118] S2)源设备与目标设备通信或执行数据交换时,若为首次身份认证则启动源设备中初始化模块,初始化模块将源设备与目标设备建立连接,并每次建立连接时判断源设备的本地是否有目标设备对应的合法身份标志,其中如果判断到没有,则向目标设备获取对应的合法身份标志。
[0119] 本实施例在进行首次身份认证时,由初始化模块自动完成初始化过程,无需人为干预即可批量、自动完成各设备的合法身份初始化,实现过程简单,有效提高了轨道交通设备初始化的效率、降低初始化所需成本,同时结合上述智能身份认证过,能够智能、高效的实现包括初始化、设备身份认证的完整身份认证过程,从而提高整个身份认证过程的智能化程度、效率,同时降低所需成本。
[0120] 本实施例初始化模块执行时,在初始化模块与目标服务器每次建立连接时,即需要进行判断目标设备的本地是否有目标服务器匹配的合法身份标志的检测环节,以检测设备是否进行已初始化,可以保证每次连接的都是合法设备,降低非法设备接入风险,同时还可以便于实现身份标志的自动更换更新。
[0121] 如图6所示,本实施例步骤S2)中初始化模块每次建立连接的具体执行步骤为:
[0122] S21)连接建立:从源设备的本地获取目标设备的地址、合法身份标志,目标设备的地址包括IP地址、端口号,并生成由本地私钥和本地公钥构成的本地秘钥对,根据获取到的目标设备的地址、合法身份标志向目标设备发送连接请求,连接成功后转入执行步骤S22);
[0123] S22)初始化智能判断:判断源设备的本地是否有目标设备对应的合法身份标志,如果没有,转入执行步骤S23);否则判定已完成初始化,退出当前初始化;
[0124] S23)初始化智能执行:向目标设备发送初始化请求,根据目标设备返回的响应信息获取对应的合法身份标志并存储至本地指定位置。
[0125] 本实施例通过初始化模块在首次初始化过程中,将源设备与目标设备建立连接,判断源设备本地是否有目标设备对应的合法身份标志,如果没有则向目标设备获取对应的合法身份标志,如果有则认为设备已初始化,结束初始化过程,能够实现初始化的智能判断以及智能执行,从而可以自动完成初始化过程。
[0126] 本实施例初始化模块具体为具有上述S21)连接建立、S22)初始化智能判断以及S23)初始化智能执行功能的程序模块,进行首次身份认证时调用该初始化模块,即可自动实现连接建立、初始化智能判断以及初始化智能执行功能,从而自动完成设备的初始化过程。
[0127] 如图7所示,步骤S23)的具体步骤为:
[0128] S231)向目标设备发送初始化请求,等待目标设备返回响应信息,转入执行步骤S232);
[0129] S232)接收目标设备返回的响应信息,响应信息包括明文部分和使用本地公钥加密的密文,转入执行步骤S233);
[0130] S233)将接收到的响应信息进行解析,通过使用该响应信息中明文部分的服务器端公钥进行签名验证,签名验证通过后,根据解析信息判断是否允许当前初始化,如果是,获取响应信息中的密文,转入执行步骤S234,否则返回执行步骤S231);
[0131] S234)使用私钥解密密文,获取得到目标设备对应的合法身份标志,转入执行步骤S235);
[0132] S235)将获取到的合法身份标志存储至本地指定位置,转入执行步骤S236);
[0133] S236)发送初始化完成信息给目标设备,完成初始化。
[0134] 本实施例当源设备与目标设备建立连接后,且检查到源设备本地无目标设备对应的合法身份标志时,向目标设备发送初始化请求,该初始化请求具体包含列车编号、交换机MAC/IP地址、接口MAC地址、初始化请求标志、本地公钥、线路身份标志、数字签名等,以请求获取对应的合法身份标志,等待目标设备的响应;目标设备接收到初始化请求后,响应初始化请求,使用公钥PublicKey_Local加密后向源设备发送响应信息,响应信息具体包含列车编号、线路编号、允许初始化标志、密文包数量、密文长度、密文、数字签名等;源设备中初始化模块接收到目标设备发送的响应信息后进行解析,若允许初始化,则使用私钥解密密文后,即获取得到目标设备对应的合法身份标志,存储至源设备本地后发送初始化完成信息给目标设备,至此完成初始化过程。
[0135] 如图8所示,本实施例中初始化模块具体包括:
[0136] 连接建立单元,用于从源设备的本地获取目标设备的地址、合法身份标志,并生成由本地私钥和本地公钥构成的本地秘钥对,根据获取到的目标设备的地址、合法身份标志向目标设备发送连接请求,连接成功后转入执行初始化智能判断单元
[0137] 初始化智能判断单元,用于判断源设备的本地是否有目标设备的合法身份标志,如果没有,转入执行步骤初始化智能执行单元;否则判定已完成初始化,退出当前初始化;
[0138] 初始化智能执行单元,用于向目标设备发送初始化请求,根据目标设备返回的响应信息获取对应的合法身份标志并存储至本地指定位置。
[0139] 如图9所示,本实施例中初始化智能执行单元包括:
[0140] 请求发送子单元,用于向目标设备发送初始化请求,等待目标设备返回响应信息,转入执行步骤接收子单元;
[0141] 接收子单元,用于接收目标设备返回的响应信息,响应信息包括明文部分和使用本地公钥加密的密文,转入执行解析及判断子单元;
[0142] 解析及判断子单元,用于将接收到的响应信息进行解析,通过使用该响应信息中明文部分的服务器端公钥进行签名验证,签名验证通过后,根据解析信息判断是否允许当前初始化,如果是,获取响应信息中的密文,转入执行解密子单元,否则返回执行请求发送子单元;
[0143] 解密子单元,用于使用私钥解密密文,获取得到目标设备的合法身份标志,转入执行存储子单元;
[0144] 存储子单元,用于将获取到的合法身份标志存储至目标设备中指定位置,转入执行完成信息发送子单元;
[0145] 完成信息发送子单元,用于发送初始化完成信息给目标设备,完成初始化。
[0146] 上述只是本发明的较佳实施例,并非对本发明作任何形式上的限制。虽然本发明已以较佳实施例揭露如上,然而并非用以限定本发明。因此,凡是未脱离本发明技术方案的内容,依据本发明技术实质对以上实施例所做的任何简单修改、等同变化及修饰,均应落在本发明技术方案保护的范围内。
