logo好方法网

一种数字证书离线认证系统和方法

发布时间:2020-09-10 发布人:admin 分类:专利技术 资料大小:1.28M 资料格式:pdf 举报 版权申诉

技术摘要:
本发明公开了一种数字证书离线认证系统和方法,应用于离线网络环境中依次连接的用户终端、控制台和服务器端,所述系统包括:所述用户终端,用于通过所述控制台发送数字证书请求到所述服务器端;所述服务器端,用于验证所述数字证书请求,生成与所述数字证书请求对应的  全部
背景技术:
随着国家电网公司对具有信息化、自动化、互动化特征的统一智能电网的建设,网 络的接入变得日渐复杂,信息集成度更高,用户交互程度更好,业务系统中存储了大量人、 财、物等关键信息。为了保证业务数据的信息安全,需要强化身份认证系统等安全基础设施 建设,在安全接入、安全传输、安全应用等方面深化研究和应用。 其中,在工业终端与工控主站的之间的通信方式主要是基于IP网络技术的密钥通 信,其中私钥由终端自行保管,公钥通过证书方式分配给所有通信对等实体。为保证上述通 信数据在传统IP网络中的机密性、完整性和抗抵赖性,需要在工业终端与工控主站之间部 署防护设备(或防护模块),即主站防护设备和终端防护设备,上述设备之间的通信安全性 则依赖于密钥的保密性。 而在一些安全级别要求高的应用场景(如电网生产系统)中,为了确保密钥安全 性,采用离线方式签发证书,比如用传统U盘离线拷贝证书,再插入工业终端设备中进行证 书签发,此种方法操作繁琐,工作量较大;或是采用在线证书签发的方式,通过网络连接CA 机构(Certificate  Authority,证书授证中心)进行在线证书签发,但由于此种方式需要外 网连接到CA机构,可能会被不法分子冒充证书请求方从CA机构获取证书,进而冒充企业进 行不法活动,存在较大的网络安全风险。
技术实现要素:
本发明提供了一种数字证书离线认证系统和方法,解决了现有技术中数字证书离 线认证操作较为繁琐,在线认证操作具有较高网络风险,安全性与使用便利性较低的技术 问题。 本发明提供的一种数字证书离线认证系统,应用于离线网络环境中依次连接的用 户终端、控制台和服务器端,所述系统包括: 所述用户终端,用于通过所述控制台发送数字证书请求到所述服务器端; 所述服务器端,用于验证所述数字证书请求,生成与所述数字证书请求对应的密 钥;根据所述密钥和所述数字证书请求,签发数字证书到所述控制台; 所述控制台,用于写入所述数字证书到所述用户终端。 可选地,所述服务器端包括: 安全模块,用于接收所述数字证书请求,确定所述控制台的用户登录信息; 认证模块,用于验证所述用户登录信息与预设登录信息是否相同;其中,所述预设 登录信息包括第一预设登录信息; 密钥管理模块,用于当所述用户登录信息与所述第一预设登录信息相同时,从预 设密钥库中生成与所述数字证书请求对应的密钥; 4 CN 111600718 A 说 明 书 2/7 页 证书签发模块,用于根据所述密钥和所述用户登录信息,签发数字证书到所述控 制台。 可选地,所述安全模块还用于,通过数字信封加密所述数字证书。 可选地,所述控制台还用于,加密所述数字证书请求。 可选地,所述认证模块还用于, 修改所述预设登录信息;删除所述预设登录信息。 可选地,所述预设登录信息还包括第二预设登录信息和第三预设登录信息,所述 密钥管理模块还用于, 当所述用户登录信息与所述第二预设登录信息相同时,执行密钥备份操作; 当所述用户登录信息与所述第三预设登录信息相同时,执行密钥恢复操作。 可选地,所述用户终端还用于,接收所述控制台写入的数字证书;使用所述数字证 书加密预设数据,生成加密数据;发送所述加密数据到所述服务器端。 可选地,所述用户终端包括: 数字证书管理模块,用于调度所述数字证书对预设数据进行加密,生成中间数据; 协议配置与解析模块,用于使用封装安全载荷ESP对所述中间数据进行封装,生成 所述加密数据; 加密通信模块,用于发送所述加密数据到所述服务器端。 可选地,所述数字证书管理模块包括: 公钥确定子模块,用于根据所述数字证书确定所述服务器端所发送的公钥; 加密子模块,用于使用所述公钥对所述预设数据进行加密,生成中间数据。 此外,本发明实施例还提供了一种数字证书离线认证方法,应用于离线网络环境 中依次连接的用户终端、控制台和服务器端,所述方法包括: 所述用户终端通过所述控制台发送数字证书请求到所述服务器端; 所述服务器端验证所述数字证书请求,生成与所述数字证书请求对应的密钥; 所述服务器端根据所述密钥和所述数字证书请求,签发数字证书到所述控制台; 所述控制台写入所述数字证书到所述用户终端。 从以上技术方案可以看出,本发明具有以下优点: 通过将认证模块、证书签发模块以及密钥管理模块整合在服务器端中,在接收到 用户终端通过控制台发送的数字证书请求后,直接在服务器端即可以实现用户认证、密钥 管理分发与证书签发等步骤,简化了数字证书认证的操作;同时在证书签发过程中,控制台 可以通过串口、局域网络或USB写入的方式将数字证书直接写入到用户终端,而无需使用U 盘拷贝,进一步降低了工作人员的工作量,同时用户终端、控制台与服务器端之间通过局域 网连接,避免了由于在线认证数字证书所导致的网络风险,提高了数字证书的认证安全性。 附图说明 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本 发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可 以根据这些附图获得其它的附图。 5 CN 111600718 A 说 明 书 3/7 页 图1为本发明实施例的一种数字证书离线认证系统的系统框图; 图2为本发明另一实施例的一种数字证书离线认证方法流程图; 图3为本发明实施例中的ESP封装格式示意图; 图4为本发明实施例中的ESP头格式示意图; 图5为本发明实施例中的一种数字证书离线认证系统的硬件框图。
    分享到:
    收藏

    相关推荐