一种结合设备证书与私有算法进行认证的方法和系统与流程

1.本技术涉及数据安全技术领域，具体涉及一种结合设备证书与私有算法进行认证的方法和系统。


背景技术：

2.各类终端和系统没有统一的开发规范和接入规则，等保级别较低。部分终端存在明文保存账号密码的情况，存在接口服务调用凭证泄露导致服务被第三方盗用、造成数据泄露的隐患。


技术实现要素：

3.为解决上述问题，本技术提供一种结合设备证书与私有算法进行认证的方法和系统，包括：
4.获取接入设备的属性数据；
5.根据所述设备的属性数据，签发所述接入设备的证书，并将所述接入设备属性数据写入到所述证书的使用者信息中；
6.使用私有算法对所述证书的使用者信息和所述接入设备的地址数据和时间戳进行加密，生成原始数据；对所述原始数据进行签名，生成签名数据；
7.通过调用系统的登录接口，验证所述签名数据的唯一性和合法性，若所述签名数据唯一且合法，则使用私有算法对所述证书和所述使用者信息进行验证，若验证通过，则完成登录认证。
8.优选的，所述接入设备的属性数据，包括：
9.设备编号、设备mac地址、ip地址、所属单位编号。
10.优选的，在通过秘钥对系统的接入设备的属性数据进行非对称加密的步骤之前，还包括：
11.使用所述接入设备的ip地址和mac地址，在所述系统上注册所述接入设备。
12.优选的，在获取接入设备的属性数据的步骤之后，还包括：
13.通过秘钥对系统的接入设备的属性数据进行非对称加密。
14.优选的，所述接入设备的证书，通过使用openssl签发。
15.优选的，使用私有算法对所述证书的使用者信息和所述接入设备的地址数据和时间戳进行加密，生成原始数据，包括：
16.使用私有算法对所述证书的使用者信息和所述接入设备的ip地址、mac 地址及时间戳进行加密，生成原始数据，然后再生成原始数据的md5摘要数据。
17.优选的，对所述原始数据进行签名，生成签名数据；
18.对所述原始数据md5摘要数据进行签名，生成pkcs7签名数据，。
19.优选的，验证所述签名数据的唯一性和合法性，若所述签名数据唯一且合法，包括：
20.对所签名数据的唯一性进行验证，若唯一，使用公钥验证所述签名数据的合法性，若所述签名数据是pkcs7签名包，则所述签名数据合法。
21.优选的，使用私有算法对所述证书和所述使用者信息进行验证，若验证通过，则完成登录认证，包括：
22.使用私有算法对所述证书中的注册信息和使用都信息中的设备属性信息进行验证，若验证通过，则所述签名数据合法。
23.本技术同时提供一种结合设备证书与私有算法进行认证的系统，包括：
24.属性数据获取模块，用于获取接入设备的属性数据；
25.证书签发模块，用于根据所述设备的属性数据，签发所述接入设备的证书，并将所述接入设备属性数据写入到所述证书的使用者信息中；
26.签名数据生成模块，用于使用私有算法对所述证书的使用者信息和所述接入设备的地址数据和时间戳进行加密，生成原始数据；对所述原始数据进行签名，生成签名数据；
27.认证模块，用于通过调用系统的登录接口，验证所述签名数据的唯一性和合法性，若所述签名数据唯一且合法，则使用私有算法对所述证书和所述使用者信息进行验证，若验证通过，则完成登录认证。
附图说明
28.图1是本技术提供的一种结合设备证书与私有算法进行认证的方法的流程示意图；
29.图2是本技术涉及的设备可信认证的思路图；
30.图3是本技术提供的一种结合设备证书与私有算法进行认证的装置的结构示意图。
具体实施方式
31.在下面的描述中阐述了很多具体细节以便于充分理解本技术。但是本技术能够以很多不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本技术内涵的情况下做类似推广，因此本技术不受下面公开的具体实施的限制。
32.图1是本技术提供的一种结合设备证书与私有算法进行认证的方法的流程示意图，本技术第一实施例提供方法进行详细说明。
33.步骤s101，获取接入设备的属性数据。
34.本技术涉及的接入设备，可以为需要接入系统的终端设备，例如出入境服务点的自助受理终端设备。每个设备都具有相关的属性数据，包括：设备编号、设备mac地址、ip地址、所属单位编号等。然后，使用所述接入设备的ip地址和mac地址，在所述系统上注册所述接入设备。通过秘钥对系统的接入设备的属性数据进行非对称加密。
35.步骤s102，根据所述设备的属性数据，签发所述接入设备的证书，并将所述接入设备属性数据写入到所述证书的使用者信息中。
36.接入设备的证书，通过使用openssl签发。签发证书时会将设备编号、设备mac地址、设备ip地址、设备类型、设备所属单位、自定义证书编号等属性数据写入到证书的使用者中。
37.步骤s103，使用私有算法对所述证书的使用者信息和所述接入设备的地址数据和时间戳进行加密，生成原始数据；对所述原始数据进行签名，生成签名数据。
38.使用私有算法对所述证书的使用者信息和所述接入设备的ip地址、mac 地址及时间戳进行加密，生成原始数据，然后再生成原始数据的md5摘要数据。对所述原始数据md5摘要数据进行签名，生成pkcs7签名数据。
39.步骤s104，通过调用系统的登录接口，验证所述签名数据的唯一性和合法性，若所述签名数据唯一且合法，则使用私有算法对所述证书和所述使用者信息进行验证，若验证通过，则完成登录认证。
40.终端程序调用系统的登录接口，进行登录认证。首先，对所述签名数据的唯一性进行验证，若唯一，使用公钥验证所述签名数据的合法性，若所述签名数据是pkcs7签名包，则所述签名数据合法。再使用私有算法对所述证书中的注册信息和使用都信息中的设备属性信息进行验证，若验证通过，则所述签名数据合法。
41.具体应用实施例如下：
42.为了提高设备与后端服务认证的安全性和可靠性，结合证书签名和非对称加密、私有算法，对现有登录认证机制做出的一种改良优化。可以综合运用到出入境业务系统与外部交互的服务系统中。具体方案如图2所示。
43.1、设备接入
44.设备负责人从设备上提取设备的ip地址、mac地址，然后使用这些数据作为设备属性在平台上进行注册。设备注册信息提交后，管理员进行设备审批与授权。系统自动使用本公司研发的算法对主键、设备编号、设备mac地址、 ip地址、所属单位编号、审批状态等字段进行处理得到原文。最后使用非对称加密的秘钥对原文进行非对称加密，将加密后的数据存到数据库中。
45.2、证书签发
46.设备接入完成后，平台将使用openssl签发设备证书。平台签发证书时会将设备编号、设备mac地址、设备ip地址、设备类型、设备所属单位、自定义证书编号写入到证书的使用者中。
47.3、数据签名
48.设备维护者从平台下载探针程序和证书，完成探针和证书安装后，在系统中增加安全策略，禁止7776端口与外部通讯。终端程序访问探针签名接口获取设备登录所需签名数据。签名数据生成流程如下：
49.①
探针系统中读取最新的证书，获取证书容器和使用者信息；
50.②
探针从设备上获取ip地址和mac地址，和证书中的ip、mac地址进行比对，确保证书和设备一致；
51.③
使用私有算法对证书的使用者信息、设备ip、mac地址、时间戳进行加密处理生成原始数据，然后生成原始数据的md5摘要数据；
52.④
使用第三步骤获取到的全部数据进行签名，生成pkcs7签名数据
53.⑤
将签名数据转换成base64编码的字符串，返回给自助终端程序。
54.4、登录认证
55.自助终端程序使用签名数据，调用接口服务平台的登录接口，进行登录认证。系统
处理逻辑如下：
56.①
系统对签名数据唯一性做校验，已使用的签名不能再进行登录。
57.②
使用根证书的公钥处理pcsk7签名包，验证签名包的合法性。即请求数据是pkcs7签名包，且用于签名的证书是本系统签发。
58.③
使用私有算法对证书的使用者信息、设备ip、mac地址、时间戳加密处理，然后对密文生成md5数据，比对服务端和客户端传入的md5，
59.预防数据被篡改。
60.④
使用证书编号和设备编号查找设备注册信息和证书签发信息。
61.⑤
使用公钥对注册信息中的加密串解密得到原文1，注册信息的主键、设备编号、设备mac地址、ip地址、所属单位编号、审批状态等字段用内部算法处理得到原文2，比较原文1和原文2，确保注册信息没有被篡改。
62.⑥
比对设备ip、注册ip、证书ip和请求来源ip，如果四者一致则进行 mac比较。
63.⑦
比较设备mac、注册mac和证书记录的mac，如果信息一致则说明证书安装在对应的设备上，登录请求是该设备发出。
64.⑧
进行设备状态检查，如果设备审批通过并且在用，就登陆成功，使用过jwt生成token
65.⑨
将接口调用凭证(token)反馈给自助终端程序。
66.5、服务调用
67.终端程序拿到token后，将token缓存起来，调用服务时，传入token、接口参数、签名数据。接口服务通过token和请求来源ip进行权限鉴定，通过参数和签名数据检验数据是否被篡改。并记录接口调用情况，超过一定频率和次数将进行限流和熔断。
68.基于同一发明构思，本技术同时提供一种结合设备证书与私有算法进行认证的装置300，如图3所示，包括：
69.属性数据获取模块310，用于获取接入设备的属性数据；
70.证书签发模块320，用于根据所述设备的属性数据，签发所述接入设备的证书，并将所述接入设备属性数据写入到所述证书的使用者信息中；
71.签名数据生成模块330，用于使用私有算法对所述证书的使用者信息和所述接入设备的地址数据和时间戳进行加密，生成原始数据；对所述原始数据进行签名，生成签名数据；
72.认证模块340，用于通过调用系统的登录接口，验证所述签名数据的唯一性和合法性，若所述签名数据唯一且合法，则使用私有算法对所述证书和所述使用者信息进行验证，若验证通过，则完成登录认证。
73.通过本技术提供的一种结合设备证书与私有算法进行认证的方法和系统，提高外部系统和设备的接入标准，增强了对自助终端设备的监管力度。提高了接口服务登录认证的安全性和可靠性，降低了个人信息和业务数据泄露的风险，减少服务被滥用的可能性。
74.最后应该说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求范围当中。