本申请涉及工业互联网领域,尤其涉及物理实体的认证、可信解析方法、装置及系统。
背景技术:
“工业互联网(industri权威企业节点linternet)”强调利用先进的人工智能、云计算等互联网技术处理工业大数据,提升产业价值;德国提出“工业4.0(industrie4.0)”,强调利用物联网(internetofthings,iot)、务联网(internetofservice,ios)、信息物理融合系统(cyberphysic权威企业节点lsystem,cps)等技术打造智能产品和智能工厂,提高生产效率和创造附加价值。
工业互联网的基础是“连接”,即通过网络将机器、产品、零部件等工业的物理实体连接到虚拟的网络空间中;核心是“数据”,即通过网络基础设施对物理实体的描述、工序、算法、设计图纸、制造流程、状态监控等工业数据实现交换和共享。
工业互联网中物理实体均具有唯一的物理实体标识。在工业互联网中对于物理实体具有认证和可信解析两个方面。其中认证过程可以对物理实体进行编码以用于生成物理实体标识,也即物理实体的“身份证”,以便后续将物理实体产生的工业数据与物理实体标识对应存储。
可信解析过程可以利用物理实体标识进行定位和信息查询,即在工业互联网中依托可信解析来访问保存物理实体的原材料、零部件和产品等相关工业数据的服务器,以便于根据查询到的工业数据实现对异主、异地、异构数据的智能关联,为数据交换和共享提供重要支撑。在工业互联网中物理实体标识具有重要作用,所以需要提供一种可以保护物理实体标识的方案,以防止物理实体标识被篡改或盗取。
技术实现要素:
鉴于此,本申请提供一种物理实体的认证、可信解析方法、装置及系统,可以对在认证和可信解析过程中对物体实体标识进行保护,防止物理实体标识被篡改和盗取。
为了实现上述目的,本发明提供了下述技术特征:
一种物理实体的认证方法,包括:
权威企业节点确定待认证的当前用户;
在所述当前用户为第一类型用户的情况下,权威企业节点接收二级节点发送的企业认证结果,并发送企业认证结果至第一类型用户;其中所述企业认证结果包括二级节点在生成企业前缀标识后利用私钥对所述企业前缀标识进行签名操作所生成的签名;
在所述当前用户为第二类型用户的情况下,权威企业节点对所述第二类型用户进行认证生成普通用户标识,确定与所述第二类型用户对应的签名信息,基于所述普通用户标识和所述签名信息构建用户认证结果,发送用户认证结果至第二类型用户;其中所述用户认证结果包括所述签名信息,以及,利用所述签名信息对所述普通用户标识进行签名操作生成的签名。
可选的,在权威企业节点接收二级节点发送的企业认证结果之前,还包括:
权威企业节点发送认证请求至二级节点,所述认证请求包括所述第一类型用户的第一类型用户信息;
二级节点接收认证请求并基于所述认证请求中的第一类型用户信息生成企业前缀标识,利用二级节点的私钥对该企业前缀标识进行签名操作生成签名,构建并存储企业认证结果;
二级节点发送所述企业认证结果至所述权威企业节点,并向国家顶级节点发送所述第一类型用户的第一类型用户标识和二级节点标识的对应关系;
国家顶级节点保存所述第一类型用户的第一类型用户标识和二级节点标识的对应关系。
可选的,所述权威企业节点集成有标识密码系统,则所述确定与所述第二类型用户对应的签名信息,包括:
获取所述第二类型用户对应的用户身份标识;
基于标识密码系统将所述用户身份标识作为秘钥,将所述秘钥作为所述签名信息;
则所述利用所述签名信息对所述普通用户标识进行签名操作生成的签名包括:利用所述秘钥对所述普通用户标识执行签名操作获得签名。
可选的,所述权威企业节点与第三方认证机构相连,则所述确定与所述第二类型用户对应的签名信息,包括:
所述权威企业节点发送认证请求至第三方认证机构,所述认证请求包括所述第二类型用户的第二类型用户信息;
所述权威企业节点接收第三方认证机构针对所述第二类型用户生成并发送的数字证书,将所述数字证书作为所述签名信息;
则所述利用所述签名信息对所述普通用户标识进行签名操作生成的签名包括:利用所述数字证书对所述普通用户标识执行签名操作获得签名。
可选的,所述权威企业节点集成有标识密码系统且与第三方认证机构相连,则所述确定与所述第二类型用户对应的签名信息,包括:
权威企业节点判断所述第二类型用户是否指定第三方认证机构的签名方式;
若所述第二类型用户未指定第三方认证机构的签名方式,则权威企业节点获取所述第二类型用户对应的用户身份标识;基于标识密码系统将所述用户身份标识作为秘钥,将所述秘钥作为所述签名信息;则所述利用所述签名信息对所述普通用户标识进行签名操作生成的签名包括:利用所述秘钥对所述普通用户标识执行签名操作获得签名;
若所述第二类型用户指定第三方认证机构的签名方式,则所述权威企业节点发送认证请求至第三方认证机构,所述认证请求包括所述第二类型用户的第二类型用户信息;接收第三方认证机构针对所述第二类型用户生成并发送的数字证书,将所述数字证书作为所述签名信息;则所述利用所述签名信息对所述普通用户标识进行签名操作生成的签名包括:利用所述数字证书对所述普通用户标识执行签名操作获得签名。
可选的,所述用户认证结果还包括签名类型;所述签名类型为第一类型或第二类型;
第一类型,用于表示借助于标识密码系统生成的秘钥对普通用户标识进行签名操作的签名方式;
第二类型,用于表示借助于第三方认证机构生成的数字证书对普通用户标识进行签名操作的签名方式;
所述用户认证结果的数据结构包括:
签名类型字段,用于存储所述签名类型;
数字证书字段,用于存储采用第三方认证机构生成的数字证书,在未采用第三方认证机构生成数字证书的情况下该字段为空;
签名字段,用于存储签名。
一种物理实体的可信解析方法,包括:
公共递归解析节点接收当前用户发送的可信解析请求;
在所述当前用户为第一类型用户的情况下,公共递归解析节点采用递归方式对所述可信解析请求中企业认证结果中的签名进行可信解析操作,获得可信解析结果;
在所述当前用户为第二类型用户情况下,公共递归解析节点对所述可信解析请求中用户认证结果中的签名信息和签名进行可信解析操作,获得可信解析结果。
可选的,在公共递归解析节点采用递归方式对所述可信解析请求中企业认证结果中的签名进行可信解析操作,获得可信解析结果之前,还包括:
公共递归解析节点判断本地密码机是否存储有与所述可信解析请求中第一类型用户标识对应的历史可信解析结果;
若存储有与所述可信解析请求中第一类型用户标识对应的历史可信解析结果且历史可信解析结果有效,则使用所述历史可信解析结果作为所述可信解析结果;
若未存储有与所述可信解析请求中第一类型用户标识对应的历史可信解析结果,则执行所述采用递归方式对所述企业认证结果中签名进行可信解析操作,获得可信解析结果的步骤;并且,将所述可信解析结果与所述第一类型用户标识对应存储于所述本地密码机中。
可选的,所述公共递归解析节点采用递归方式对所述可信解析请求中企业认证结果中的签名进行可信解析操作,包括:
公共递归解析节点向国家顶级节点查询所述第一类型用户的第一类型用户标识;
国家顶级节点若查询到所述第一类型用户标识,则返回与所述第一类型用户标识关联的二级节点的网络地址和二级节点的数字证书;
公共递归解析节点向二级节点的网络地址对应的二级节点查询所述第一类型用户标识;
所述二级节点若查询到所述第一类型用户标识,则返回与第一类型用户标识对应的网络地址和与第一类型用户标识对应的签名;
公共递归解析节点验证企业认证结果中的签名与二级节点返回的第一类型用户标识对应的签名是否一致;
若不一致则确定可信解析失败;
若一致则从国家顶级节点查询国家顶级节点的根证书,并采用根证书验证二级节点的数字证书;
若验证不通过则确定可信解析失败;
若验证通过则采用二级节点的数字证书验证企业认证结果中的签名,若验证通过则表示可信解析成功,否则表示可信解析失败;
若可信解析成功,则将二级节点的网络地址、第一类型用户的网络地址和可信解析结果,与,第一类型用户标识对应存储到本地密码机中。
可选的,若用户认证结果采用密码标识系统的签名方式,则所述公共递归解析节点对所述可信解析请求中用户认证结果中的签名信息和签名进行可信解析操作,获得可信解析结果包括:
公共递归解析节点将所述可信解析请求中的用户身份标识作为公钥;
利用所述公钥对所述签名进行解密操作;
若解密成功则确定可信解析成功,否则确定可信解析失败。
可选的,若用户认证结果采用第三方认证机构的签名方式,则所述公共递归解析节点对所述可信解析请求中用户认证结果中的签名信息和签名进行可信解析操作,获得可信解析结果包括:
公共递归解析节点将用户认证结果中的数字证书作为公钥;
利用所述公钥对所述签名进行解密操作;
若解密成功则获取第三方认证机构的根证书,若解密失败确定可信解析失败;
利用所述第三方认证机构的根证书对所述数字证书进行验证;
若验证成功则确定可信解析成功,否则确定可信解析失败。
可选的,用户认证结果包括签名类型字段、数字证书字段和签名字段的情况下,则所述公共递归解析节点对所述可信解析请求中用户认证结果中的签名信息和签名进行可信解析操作,获得可信解析结果包括:
若所述签名类型字段指示为第一类型,则从所述签名字段提取签名,将所述可信解析请求中的用户身份标识作为公钥;利用所述公钥对所述签名进行解密操作;若解密成功则确定可信解析成功,否则确定可信解析失败;
若所述签名类型字段指示为第二类型,则从所述签名字段提取签名,从所述数字证书字段提取数字证书;将所述数字证书作为公钥;利用所述公钥对所述签名进行解密操作;若解密成功则获取第三方认证机构的根证书,若解密失败确定可信解析失败;利用所述第三方认证机构的根证书对所述数字证书进行验证;若验证成功则确定可信解析成功,否则确定可信解析失败。
一种物理实体的认证装置,包括:
节点确认器,用于权威企业节点确定待认证的当前用户;
接收器,用于在所述当前用户为第一类型用户的情况下,权威企业节点接收二级节点发送的企业认证结果,并发送企业认证结果至第一类型用户;其中所述企业认证结果包括二级节点在生成企业前缀标识后利用私钥对所述企业前缀标识进行签名操作所生成的签名;
节点认证器,用于在所述当前用户为第二类型用户的情况下,权威企业节点对所述第二类型用户进行认证生成普通用户标识,确定与所述第二类型用户对应的签名信息;
认证结果构建器,用于基于所述普通用户标识和所述签名信息构建用户认证结果,发送用户认证结果至第二类型用户;其中所述用户认证结果包括所述签名信息,以及,利用所述签名信息对所述普通用户标识进行签名操作生成的签名。
一种工业互联网系统,包括:
物理实体标识应用系统和物理实体标识服务系统;
其中,物理实体标识服务系统包括:国际根节点,与国际根节点相连的国家根节点,与国家根节点相连的二级节点,与二级节点相连的权威企业节点,和,与所述国家根节点、二级节点和权威企业节点相连的公共递归解析节点;
所述权威企业节点,用于确定待认证的当前用户;在所述当前用户为第一类型用户的情况下,接收二级节点发送的企业认证结果;其中所述企业认证结果包括二级节点在生成企业前缀标识后利用私钥对所述企业前缀标识进行签名操作所生成的签名;在所述当前用户为第二类型用户的情况下,权威企业节点对所述第二类型用户进行认证生成普通用户标识,确定与所述第二类型用户对应的签名信息,基于所述普通用户标识和所述签名信息构建并发送用户认证结果;其中所述用户认证结果包括所述签名信息,以及,利用所述签名信息对所述普通用户标识进行签名操作生成的签名。
一种物理实体的可信解析装置,包括:
接收器,用于公共递归解析节点接收当前用户发送的可信解析请求;
递归解析器,用于在所述当前用户为第一类型用户的情况下,公共递归解析节点采用递归方式对所述可信解析请求中企业认证结果中的签名进行可信解析操作,获得可信解析结果;
可信解析器,用于在所述当前用户为第二类型用户情况下,公共递归解析节点对所述可信解析请求中用户认证结果中的签名信息和签名进行可信解析操作,获得可信解析结果。
一种工业互联网系统,包括:
物理实体标识应用系统和物理实体标识服务系统;
其中,物理实体标识服务系统包括:国际根节点,与国际根节点相连的国家根节点,与国家根节点相连的二级节点,与二级节点相连的权威企业节点,和,与所述国家根节点、二级节点和所述权威企业节点相连的公共递归解析节点;
所述公共递归解析节点,用于接收当前用户发送的可信解析请求,在所述当前用户为第一类型用户的情况下,公共递归解析节点采用递归方式对所述可信解析请求中企业认证结果中的签名进行可信解析操作,获得可信解析结果;在所述当前用户为第二类型用户情况下,公共递归解析节点对所述可信解析请求中用户认证结果中的签名信息和签名进行可信解析操作,获得可信解析结果。
通过以上技术手段,可以实现以下有益效果:
由于权威企业节点对第一类型用户和第二类型用户的处理方式不同,为此本发明将当前用户分为第一类型用户和第二类型用户,分别针对不同的当前用户采用不同的保护策略。
针对第一类型用户而言:权威企业节点的上级节点也即二级节点可以为该第一类型用户进行认证并生成企业前缀标识,为了保护企业前缀标识,二级节点采用二级节点自身的私钥、对企业前缀标识进行签名操作获得签名。这样可以使得二级节点与权威企业节点之间传输加密后的企业前缀标识,从而保护企业前缀标识,防止企业前缀标识被篡改或盗取。
对于第二类型用户而言:权威企业节点可以接收第二类型用户的认证请求,然后针对第二类型用户进行认证生成普通用户标识,第一类型用户还可以确定与第二类型用户对应的签名信息,并采用签名信息对普通用户标识进行签名操作获得签名。这样可以使得第一类型用户与第二类型用户之间传输加密后的普通用户标识,从而保护普通用户标识,防止普通用户标识被篡改或盗取。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1a-1c为本申请实施例公开的工业互联网系统的结构示意图;
图2为本申请实施例公开的一种物理实体的认证方法的实施例一的流程图;
图3a-3b为本申请实施例公开的一种物理实体的认证方法的实施例二的流程图;
图4a-4b为本申请实施例公开的一种物理实体的认证方法的实施例三的流程图;
图5a-5b为本申请实施例公开的一种物理实体的认证方法的实施例四的流程图;
图6为本申请实施例公开的一种物理实体的认证方法的实施例五的流程图;
图7为本申请实施例公开的一种物理实体的可信解析方法的实施例一的流程图;
图8a-8b为本申请实施例公开的一种物理实体的可信解析方法的实施例二的流程图;
图9为本申请实施例公开的一种物理实体的可信解析方法的实施例三的流程图;
图10为本申请实施例公开的一种物理实体的可信解析方法的实施例四的流程图;
图11a为本申请实施例公开的一种物理实体的可信解析方法的实施例五的流程图;
图11b为本申请实施例公开的一种物理实体的可信解析方法的实施例六的流程图;
图12为本申请实施例公开的一种物理实体的认证装置的结构示意图;
图13为本申请实施例公开的一种工业互联网的可信解析装置的结构示意图。
具体实施方式
术语解释:
国际根节点:是指某一标识体系中的最高层级服务节点,不限于特定国家或者地区,而是面向全球范围提供公共的根区数据管理和根解析服务。
国家顶级节点:工业互联网可信解析体系的关键,既是对外互联的国际关口,也是对内统筹的核心枢纽。能够面向全国范围提供顶级认证注册和可信解析服务,以及标识备案、标识认证等管理能力。国家顶级节点既要与各种标识体系的国际根节点保持连通,又要连通国内的各种二级及以下其他可信解析服务节点。
二级节点:是指一个行业或者区域内部的可信解析公共服务节点,能够面向行业或区域提供认证注册和可信解析服务,以及完成相关的标识业务管理、标识应用对接等。
企业节点:是指一个企业内部的可信解析服务节点,能够面向特定企业提供标识注册和可信解析服务。既可以独立部署,也可以作为企业信息系统的组成要素。
第三方认证机构(certificateauthority),用于签发数字证书。
标识密码系统ibc(identity-basedcryptosystems&signatureschemes):该系统是在ca认证体系基础上发展起来的,本质上是公钥基础设施的一种;最早由以色列密码学家shamir提出,主要思想是以用户标识作为公钥,用户私钥由秘钥生产中心kgc(keygenerationcenter)根据用户标识产生,技术上简化ca中心公钥管理。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为了便于本申请技术人员了解本申请的技术架构,本申请提供一种工业互联网系统的实施例一,参见图1工业互联网系统包括:物理实体标识应用系统100和物理实体标识服务系统200。
其中,物理实体标识服务系统200包括:
国际根节点201,与国际根节点相连201的国家根节点202,与国家根节点202相连的二级节点203,与二级节点203相连的权威企业节点204,和,与所述国家根节点202、二级节点203和所述权威企业节点204相连的公共递归解析节点205。
可选的,权威企业节点可以集成有标识密码系统ibc,以用于对待认证的用户进行签名操作,具体过程将在后续实施例中进行详细描述,在此暂不详细描述。
本申请提供一种工业互联网系统的实施例二,参见图1b包括:物理实体标识应用系统100,物理实体标识服务系统200和第三方认证机构300。
其中,物理实体标识服务系统200包括:国际根节点201,与国际根节点相连201的国家根节点202,与国家根节点202相连的二级节点203,与二级节点203相连的权威企业节点204,和,与所述国家根节点202、二级节点203和所述权威企业节点204相连的公共递归解析节点205。
可选的,权威企业节点与第三方认证机构300相连,以用于对待认证的用户进行签名操作,具体过程将在后续实施例中进行详细描述,在此暂不详细描述。
本申请提供一种工业互联网系统的实施例三,参见图1c包括:物理实体标识应用系统100,物理实体标识服务系统200和第三方认证机构300。
其中,物理实体标识服务系统200包括:国际根节点201,与国际根节点相连201的国家根节点202,与国家根节点202相连的二级节点203,与二级节点203相连的权威企业节点204,和,与所述国家根节点202、二级节点203和所述权威企业节点204相连的公共递归解析节点205。
可选的,权威企业节点可以集成有标识密码系统ibc,且,权威企业节点与第三方认证机构300相连,以用于对待认证用户进行签名操作,具体过程将在后续实施例中进行详细描述,在此暂不详细描述。
在上述图1a-图1c中,国家根节点202、二级节点203和权威企业节点204的数量与实际应用场景有关,图示中仅作为示意性说明,并未真正体现国家根节点202、二级节点203和权威企业节点204的数量。
所述物理实体标识应用系统100包括:工业互联网app、工业互联网平台、企业信息系统等,对此不再赘述。
对于已经在工业互联网系统中认证注册过的企业节点称为权威企业节点。为了保护权威企业节点和工业互联网的安全性,对于想要访问权威企业节点的临时用户进行认证操作和可信解析操作。
在临时用户被认证过程中会向临时用户分配标识,已认证用户携带已分配标识访问权威企业节点,权威企业节点会借助于公共递归解析节点进行可信解析,在可信解析通过后才允许访问权威企业节点的数据。
本申请提供一种物理实体的认证方法的实施例一,应用于权威企业节点。参见图2,可以包括以下步骤:
步骤s201:权威企业节点确定待认证的当前用户。
权威企业节点可以获取第二类型用户发送的认证请求,也可以接收第一类型用户发送的认证请求;所以权威企业节点在获取一个认证请求后,首先确定发送认证请求的临时用户类型,也即待认证的当前用户为第一类型用户还是第二类型用户。
本发明中将想要访问权威企业节点的用户称为临时用户,临时用户可以分为两类:第一类型用户为想要访问本权威企业节点的其它企业终端,第二类型用户为想要访问权威企业节点的普通用户终端。
步骤s202:在所述当前用户为第一类型用户的情况下,权威企业节点接收二级节点发送的企业认证结果,并发送企业认证结果至第一类型用户;其中所述企业认证结果包括二级节点在生成企业前缀标识后利用私钥对所述企业前缀标识进行签名操作所生成的签名。
步骤s203:在所述当前用户为第二类型用户的情况下,权威企业节点对所述第二类型用户进行认证生成普通用户标识,确定与所述第二类型用户对应的签名信息,基于所述普通用户标识和所述签名信息构建用户认证结果,发送用户认证结果至第二类型用户;其中所述用户认证结果包括所述签名信息,以及,利用所述签名信息对所述普通用户标识进行签名操作生成的签名。
通过以上技术手段,可以实现以下有益效果:
由于权威企业节点对第一类型用户和第二类型用户的处理方式不同,为此本发明将当前用户分为第一类型用户和第二类型用户,分别针对不同的当前用户采用不同的保护策略。
针对第一类型用户而言:权威企业节点的上级节点也即二级节点可以为该第一类型用户进行认证并生成企业前缀标识,为了保护企业前缀标识,二级节点采用二级节点自身的私钥、对企业前缀标识进行签名操作获得签名。这样可以使得二级节点与权威企业节点之间传输加密后的企业前缀标识,从而保护企业前缀标识,防止企业前缀标识被篡改或盗取。
对于第二类型用户而言:权威企业节点可以接收第二类型用户的认证请求,然后针对第二类型用户进行认证生成普通用户标识,第一类型用户还可以确定与第二类型用户对应的签名信息,并采用签名信息对普通用户标识进行签名操作获得签名。这样可以使得第一类型用户与第二类型用户之间传输加密后的普通用户标识,从而保护普通用户标识,防止普通用户标识被篡改或盗取。
下面对于权威企业节点的认证过程进行详细描述。
本申请提供一种物理实体的认证方法的实施例二,应用于图1a-图1c任一个所述的工业互联网系统中的权威企业节点。参见图3a和3b,可以包括以下步骤:
步骤s301~s305为国家顶级节点和二级节点预先执行的过程。在二级节点到国家顶级节点认证后,企业节点可以到二级节点中进行认证,认证成功后变为权威企业节点。认证过程与步骤s306与步骤s309类似。
步骤s301:国家顶级节点通过自签名方式获得根证书。
国家顶级节点可以根据一定的密钥算法生成公钥和私钥,然后利用私钥对公钥进行加密操作,将加密结果作为国家顶级节点的根证书。
步骤s302:二级节点向国家顶级节点发送认证请求,认证请求包括二级节点信息和二级节点的公钥。
二级节点可以根据一定的密钥算法生成公钥和私钥,发送认证请求中包括二级节点的公钥和二级节点的节点信息。
步骤s303:国家顶级节点接收二级节点发送的认证请求,生成二级节点的数字证书和二级节点前缀标识,并对二级节点前缀标识执行签名操作获得签名。
国家顶级节点按照一定的规则生成二级节点前缀标识,并利用国家顶级节点的私钥对二级节点前缀标识进行签名操作生成签名。国家顶级节点利用国家顶级节点的私钥对二级节点发送的公钥进行加密操作,将加密结果作为二级节点的数字证书。
步骤s304:国家顶级节点保存二级节点的数字证书和二级节点的网络地址,发送二级节点的数字证书和签名至二级节点。
国家顶级节点可以保存二级节点的数字证书和二级节点的网络地址,以便于后续进行可信解析操作时使用。
步骤s305:二级节点接收并保存国家顶级节点发送的数字证书和签名。
以上为国家顶级节点和二级节点之间的处理过程,也为对第一类型用户进行编码标识的预先执行过程。
下面介绍权威企业节点对第二类型用户的认证过程。
步骤s306:权威企业节点向二级节点发送认证请求,认证请求包括第一类型用户信息。
权威企业节点接收其它第一类型用户发送的认证请求后,会转发认证请求至二级节点,由二级节点处理第一类型用户的认证请求。
步骤s307:二级节点生成企业前缀标识,并利用二级节点的私钥对企业前缀标识进行签名操作生成签名,构建并发送企业认证结果至权威企业节点,权威企业节点发送企业认证结果至第一类型用户。
二级节点按照一定的规则生成企业前缀标识,然后利用二级节点的私钥对企业前缀标识进行签名操作生成签名,构建并发送企业认证结果至权威企业节点。其中企业认证结果即为利用二级节点的私钥对企业前缀标识进行签名操作生成签名。
步骤s308:二级节点向国家顶级节点发送第一类型用户标识和二级节点标识的对应关系。
步骤s309:国家顶级节点保存第一类型用户标识和二级节点标识的对应关系。
国家顶级节点可以保存二级节点标识和第一类型用户标识的对应关系,以便后续进行可信解析时使用。
对于第二类型用户的认证过程本发明提供了三种实现方式。
第一种实现方式:仅利用标识密码系统ibc进行签名的方式。
所述权威企业节点集成有标识密码系统ibc,则权威企业节点确定与所述第二类型用户对应的签名信息,包括:获取所述第二类型用户对应的用户身份标识;基于标识密码系统ibc将所述用户身份标识作为秘钥,将所述秘钥作为所述签名信息;
则所述利用所述签名信息对所述普通用户标识进行签名操作生成的签名包括:利用所述秘钥对所述普通用户标识执行签名操作获得签名。
本申请提供了一种物理实体的认证方法的实施例三,来介绍第一种实现方式。本实施例应用于图1权威企业节点所示的工业互联网系统中的权威企业节点。参见图4a或4b,可以包括以下步骤:
步骤s401:权威企业节点获取所述第二类型用户对应的用户身份标识。
权威企业节点预先集成标识密码系统ibc,权威企业节点可以接收第二类型用户发送的认证请求;其中所述认证请求包括用户身份标识。
步骤s402:权威企业节点基于标识密码系统ibc将所述用户身份标识作为秘钥。也即本实施例中将所述秘钥作为所述签名信息。步骤s403:权威企业节点对所述第二类型用户进行认证生成普通用户标识,利用所述秘钥对所述普通用户标识执行签名操作获得签名。
权威企业节点对所述第二类型用户进行认证生成普通用户标识,关于具体认证过程已为成熟技术,在此不再赘述。
步骤s404:权威企业节点构建并发送用户认证结果至第二类型用户。
其中所述用户认证结果包括所述签名信息,以及,利用所述签名信息对所述普通用户标识进行签名操作生成的签名。
为了保证普通用户标识的安全性,本发明利用标识密码系统ibc的技术思路,将所述用户身份标识作为私钥,以便利用私钥对普通用户标识进行签名操作。由于标识密码系统ibc的技术中私钥与用户身份标识具有强相关性,所以采用用户身份标识可以作为私钥,无需额外生成私钥,非常简单方便。
由于用户身份标识即为私钥,所以在简单方便之余安全等级不高,所以第一种实现方式较为适用于对于安全性要求不是非常高的第二类型用户。
第二种实现方式:仅利用第三方颁发的数字证书进行签名的方式。
权威企业节点与第三方认证机构相连,则所述确定与所述第二类型用户对应的签名信息,包括:接收第三方认证机构针对所述第二类型用户生成并发送的数字证书,将所述数字证书作为所述签名信息;
则所述利用所述签名信息对所述普通用户标识进行签名操作生成的签名包括:利用所述数字证书对所述普通用户标识执行签名操作获得签名。
本申请提供了一种物理实体的认证方法的实施例四,来介绍第二种实现方式:仅利用第三方颁发的数字证书进行签名的方式。本实施例应用于图1b所示的工业互联网系统中的权威企业节点。
参见图5a或5b,可以包括以下步骤:
步骤s501:权威企业节点接收用户节点发送的认证请求。
步骤s502:权威企业节点转发所述认证请求至第三方认证机构。
步骤s503:权威企业节点接收第三方认证机构对所述第二类型用户生成并发送的数字证书。本实施例中将数字证书作为所述签名信息。
步骤s504:权威企业节点对所述第二类型用户进行认证生成普通用户标识,利用所述数字证书对所述普通用户标识执行签名操作获得签名。
权威企业节点对所述第二类型用户进行认证生成普通用户标识,关于具体认证过程已为成熟技术,在此不再赘述。步骤s505:权威企业节点构建并发送用户认证结果至第二类型用户;其中所述用户认证结果包括所述签名信息,以及,利用所述签名信息对所述普通用户标识进行签名操作生成的签名。
为了保证普通用户标识的安全性,本发明利用第三方认证机构生成数字证书,并利用数字证书作为私钥,以便利用私钥对普通用户标识进行签名操作。由于第三方认证机构生成的数字证书其安全性较高,因此本方式的安全性较高。
由于需要采用第三方认证机构生成数字证书,数字证书的签名、更新和存储需要较为繁琐,所以在安全较高之余处理过程较为繁琐,所以第二种实现方式可以适用于对于安全性要求较高的第二类型用户。当然也适用于对安全性要求较低的节点。
第三种实现方式:采用标识密码系统ibc进行签名的方式或者利用第三方颁发的数字证书进行签名的方式。
所述权威企业节点集成有标识密码系统ibc,且与第三方认证机构相连,则所述确定与所述第二类型用户对应的签名信息,包括:
权威企业节点判断所述第二类型用户是否指定第三方认证机构的签名方式;
若所述第二类型用户未指定第三方认证机构的签名方式,则获取所述第二类型用户对应的用户身份标识;基于标识密码系统ibc将所述用户身份标识作为秘钥,将所述秘钥作为所述签名信息;则所述利用所述签名信息对所述普通用户标识进行签名操作生成的签名包括:利用所述秘钥对所述普通用户标识执行签名操作获得签名;
若所述第二类型用户指定第三方认证机构的签名方式,则接收第三方认证机构针对所述第二类型用户生成并发送的数字证书,将所述数字证书作为所述签名信息;则所述利用所述签名信息对所述普通用户标识进行签名操作生成的签名包括:利用所述数字证书对所述普通用户标识执行签名操作获得签名。
即为了兼容第一种实现方式和第二种实现方式,本申请提供了一种物理实体的认证方法的实施例五,来介绍第三种实现方式采用标识密码系统ibc进行签名的方式或者利用第三方颁发的数字证书进行签名的方式。本实施例应用于图1c所示的工业互联网系统中的权威企业节点。
参见图6,可以包括以下步骤:
步骤s601:判断所述第二类型用户是否指定第三方认证机构的签名方式。
步骤s602:若所述第二类型用户未指定第三方认证机构的签名方式,则执行图4a所示的实施例。
步骤s603:若第二类型用户指定第三方认证机构的签名方式,则执行图5a所示的实施例。
关于步骤s602可以详见图4权威企业节点所示的实施例,步骤s603可以详见图5a所示的实施例,在此不再赘述。
由于本实施例中具有两种不同的签名方式,由于签名方式不同后续的解析方式也不同,为了便于后续解析时能够区分两种不同的签名方式,本发明提供了一种用户认证结果的数据结构。
所述用户认证结果的数据结构可以包括以下字段:
签名类型字段(可以采用hs_ti表示),用于存储所述签名类型。
数字证书字段(可以采用hs_c权威企业节点cert表示),用于存储采用第三方认证机构生成的数字证书,在未采用第三方认证机构生成的数字证书的情况下该字段为空。
签名字段(可以采用hs_c权威企业节点sig表示),用于存储签名。
用户认证结果的详细结构如下:
其中所述签名类型字段的数据值为第一类型或第二类型;
第一类型,用于表示借助于ibc生成的秘钥对普通用户标识进行签名操作的签名方式;其中,第一类型可以采用hs_si表示。
第二类型,用于表示借助于第三方认证机构生成的数字证书对普通用户标识进行签名操作的签名方式;其中第二类型可以采用hs_sig表示。
针对步骤s602中采用图4权威企业节点所示实施例生成的用户认证结果,可以表示为:
其中,签名类型字段(hs_ti字段),用于存储第一类型也即hs_si。
数字证书字段(hs_c权威企业节点cert字段),无数字证书所以为空值;
签名字段(hs_c权威企业节点sig字段),用于存储签名数据(采用密码标识系统ibc方式进行签名操作后生成的签名数据)。
针对步骤s603中采用图5权威企业节点所示实施例生成的用户认证结果,可以表示为:
其中,签名类型字段(hs_ti字段),用于存储第二类型也即hs_sig。
数字证书字段(hs_c权威企业节点cert字段),用于存储数字证书数据;
签名字段(hs_c权威企业节点sig字段),用于存储签名数据(采用第三方认证机构生成的数字证书进行签名操作后生成的签名数据)。
因为在互联网系统中有的第二类型用户需要较高安全性,有的第二类型用户不必采用较高的安全性,所以提供了一种可以兼容第一种实现方式和第二种实现方式的方案。
第三种实现方式中既可以针对需要安全性较高的第二类型用户采用第三方认证机构的方式进行签名,对于安全性不高的第二类型用户可以采用标识密码系统ibc进行签名的方式。
本方案中利用密码标识系统ibc技术思路,将用户身份标识作为私钥,即用户身份标识与私钥具有强相关性,省去数字证书来构建用户身份标识与私钥的关系,从而节省用来数字证书的存储空间,简化处理流程,提升认证效率。
对于对安全性要求较高的第二类型用户,也能够兼容在ibc技术思路基础上,兼容第三方认证机构的签名方式,做到针对不同的第二类型用户设置不同的安全级别。
下面介绍一种物理实体的可信解析方法的实施例一,本实施例互联网系统的中公共递归解析节点205。参见图7,可以包括以下步骤:
步骤s701:公共递归解析节点接收当前用户发送的可信解析请求。
在当前用户通过工业互联网体系访问权威企业节点时,为了保证安全性,通常会由公共递归解析节点进行可信解析,待可信解析成功后才允许当前用户访问权威企业节点的数据。
公共递归解析节点可以接收第一类型用户发送的可信解析请求,也可以接收第二类型用户发送的可信解析请求,所以可信解析请求可以为针对第一类型用户进行解析的企业可信解析请求(其中包含企业认证结果),还可以为针对第二类型用户进行解析的用户可信解析请求(其中包含用户认证结果)。
步骤s702:在所述当前用户为第一类型用户的情况下,公共递归解析节点采用递归方式对所述可信解析请求中企业认证结果中的签名进行可信解析操作,获得可信解析结果。
步骤s703:在所述当前用户为第二类型用户情况下,公共递归解析节点对所述可信解析请求中用户认证结果中的签名信息和签名进行可信解析操作,获得可信解析结果。
在当前用户为第一类型用户,所述可信解析请求包括企业认证结果的情况下对解析过程进行详细说明。本申请提供了一种物理实体的可信解析方法的实施例二。参见图8a或8b,所述包括以下步骤:
步骤s800:公共递归解析节点判断本地密码机是否存储有与所述可信解析请求中第一类型用户标识对应的历史可信解析结果。若是进入步骤s801,若否则进入步骤s802。
若存储有与所述可信解析请求中历史可信解析结果且历史可信解析结果有效,则使用所述历史可信解析结果作为所述可信解析结果。若未存储有与所述可信解析请求中历史可信解析结果则进入步骤s802。
步骤s801:公共递归解析节点使用所述历史可信解析结果作为所述可信解析结果。
步骤s802:公共递归解析节点向国家顶级节点查询第一类型用户标识,国家顶级节点返回与所述第一类型用户标识关联的二级节点的网络地址和二级节点的数字证书。
可信解析请求包括第一类型用户标识和企业认证结果,企业认证结果包括签名。公共递归解析节点向国家顶级节点查询第一类型用户标识,以获知该第一类型用户标识在那个二级节点下。
步骤s803:公共递归解析节点基于二级节点的网络地址确定二级节点,并在二级节点查询所述第一类型用户标识,二级节点返回第一类型用户的网络地址和与第一类型用户标识对应的签名。
二级节点反馈第一类型用户的网络地址,以用于从基于网络地址查找到第一类型用户,并从第一类型用户中查询第一类型用户的相关信息以用于实现数据交换和共享。
步骤s804:公共递归解析节点验证企业认证结果中的签名与二级节点返回的第一类型用户标识对应的签名是否一致。若一致则进入步骤s805,若不一致,则确定解析失败。
步骤s805:公共递归解析节点从国家顶级节点查询国家顶级节点的根证书,采用根证书验证二级节点的数字证书,若验证通过则进入步骤s806,若验证不通过则确定解析失败。
步骤s806:公共递归解析节点采用二级节点的数字证书验证企业认证结果中的签名,若验证通过则表示解析成功,否则表示解析失败。
步骤s807:将二级节点的网络地址、第一类型用户的网络地址和可信解析结果,与,第一类型用户标识对应存储到本地密码机中。
公共递归解析节点将二级节点的网络地址、第一类型用户的网络地址和可信解析结果,与,第一类型用户标识对应存储到本地密码机中,以便下次第一类型用户再次进行可信解析时可以在本地密码机中查找到可信解析结果和二级节点的网络地址、第一类型用户的网络地址,不必在执行可信解析过程,从而可以大大提高解析效率。
与图4权威企业节点所示一种物理实体的认证方法的实施例三相对应,本发明提供了一种物理实体的可信解析方法的实施例三。参见图9所述包括以下步骤:
步骤s901:接收当前用户发送的可信解析请求。本实施例中当前用户为第二类型用户。
步骤s902:在所述可信解析请求包括用户认证结果的情况下,将所述可信解析请求中的用户身份标识作为公钥。
在图4权威企业节点对应的实施例中,采用的是用户身份标识进行签名操作,所以在可信解析过程中采用用户身份标识作为公钥,以用于对签名进行解密操作。
步骤s903:利用所述公钥对所述签名进行解密操作。
步骤s904:若解密成功则确定可信解析成功,若解密失败则确定可信解析失败。
与图5权威企业节点所示一种物理实体的认证方法的实施例四相对应,本发明提供了一种物理实体的可信解析方法的实施例四。参见图10所述包括以下步骤:
步骤s1001:接收当前用户发送的可信解析请求。
步骤s1002:在所述可信解析请求包括用户认证结果的情况下,将所述数字证书作为公钥。
步骤s1003:利用所述公钥对所述签名进行解密操作。
步骤s1004:若解密失败确定可信解析失败。
步骤s1005:若解密成功则获取第三方认证机构的根证书。
步骤s1006:利用所述第三方认证机构的根证书对所述数字证书进行验证。
步骤s1007:若验证成功则确定可信解析成功,否则确定可信解析失败。
与图6所示一种物理实体的认证方法的实施例五相对应,本发明提供了一种物理实体的可信解析方法的实施例五。参见图11a,所述包括以下步骤:
步骤s1101:接收当前用户发送的可信解析请求。
步骤s1102:在所述可信解析请求包括用户认证结果的情况下,判断是否指定采用数字证书的方式执行可信解析操作;若是则进入步骤s1103,若否则进入步骤s1107。
用户认证结果包括签名类型字段、数字证书字段和签名字段。其中所述签名类型字段的数据值为第一类型或第二类型。
第一类型,用于表示借助于ibc生成的秘钥对普通用户标识进行签名操作的签名方式;其中,第一类型可以采用hs_si表示。
第二类型,用于表示借助于第三方认证机构生成的数字证书对普通用户标识进行签名操作的签名方式;其中第二类型可以采用hs_sig表示。
因此若用户认证结果中签名类型为第一类型,则进入步骤s1103;若为第二类型则进入步骤s1107。
步骤s1103:从所述签名字段提取签名。
步骤s1104:将所述可信解析请求中的用户身份标识作为公钥。
步骤s1105:利用所述公钥对所述签名进行解密操作;
步骤s1106:若解密成功则确定可信解析成功,否则确定可信解析失败。
步骤s1107:从所述签名字段提取签名,从所述数字证书字段提取数字证书。
步骤s1108:将所述数字证书作为公钥,利用所述公钥对所述签名进行解密操作;若解密失败确定可信解析失败。
步骤s1109:若解密成功则获取第三方认证机构的根证书。
步骤s1110:利用所述第三方认证机构的根证书对所述数字证书进行验证。
步骤s1111:若验证成功则确定可信解析成功,否则确定可信解析失败。
可以理解的是,认证和可信解析是一对对应的过程。
若在认证过程中采用用户身份标识作为秘钥进行签名的方式,在解析时也对应的采用用户身份标识作为公钥进行解析的方式。
若在认证过程中采用指定第三方认证机构提供的数字证书作为秘钥进行签名的方式,在解析时也采用数字证书作为公钥进行解析的方式。
与图6所示一种物理实体的认证方法的实施例五相对应,本发明提供了一种物理实体的可信解析方法的实施例六。参见图11b,所述包括以下步骤:
步骤s0:接收第二类型用户发送的可信解析请求。
步骤s1:判断可信解析请求中是否有hs_ti类型的数据。若是则进入步骤s2,若否则进入步骤s4。
步骤s2:将所述可信解析请求中的用户身份标识作为公钥验证签名hs_c权威企业节点sig。
步骤s3:判断是否验证成功。若是则确定可信解析成功;若否则确定可信解析失败。
步骤s4:判断可信解析请求中是否有hs_ti类型的数据且有hs_c权威企业节点cert类型的数据,若否则确定可信解析失败,若是则进入步骤s5。
步骤s5:采用hs_c权威企业节点cert类型的数据作为公钥验证签名hs_c权威企业节点sig。
步骤s6:判断是否验证成功,若是则进入步骤s7。若否则确定可信解析失败。
步骤s7:获取第三方认证机构的根证书,并利用根证书验证hs_c权威企业节点cert类型的数据。
步骤s8:判断是否验证通过;若是则确定可信解析成功,若否则确定可信解析失败。
参见图12,一种物理实体的认证装置,包括:
节点确认器121,用于权威企业节点确定待认证的当前用户;
接收器122,用于在所述当前用户为第一类型用户的情况下,权威企业节点接收二级节点发送的企业认证结果,并发送企业认证结果至第一类型用户;其中所述企业认证结果包括二级节点在生成企业前缀标识后利用私钥对所述企业前缀标识进行签名操作所生成的签名;
节点认证器123,用于在所述当前用户为第二类型用户的情况下,权威企业节点对所述第二类型用户进行认证生成普通用户标识,确定与所述第二类型用户对应的签名信息;
认证结果构建器124,用于基于所述普通用户标识和所述签名信息构建用户认证结果,发送用户认证结果至第二类型用户;其中所述用户认证结果包括所述签名信息,以及,利用所述签名信息对所述普通用户标识进行签名操作生成的签名。
参见图13,本申请提供了一种物理实体的可信解析装置,包括:
接收器131,用于公共递归解析节点接收当前用户发送的可信解析请求;
递归解析器132,用于在所述当前用户为第一类型用户的情况下,公共递归解析节点采用递归方式对所述可信解析请求中企业认证结果中的签名进行可信解析操作,获得可信解析结果;
可信解析器133,用于在所述当前用户为第二类型用户情况下,公共递归解析节点对所述可信解析请求中用户认证结果中的签名信息和签名进行可信解析操作,获得可信解析结果。
参见图1a,本申请提供了一种工业互联网系统,包括:
物理实体标识应用系统和物理实体标识服务系统;
其中,物理实体标识服务系统包括:国际根节点,与国际根节点相连的国家根节点,与国家根节点相连的二级节点,与二级节点相连的权威企业节点,和,与所述国家根节点、二级节点和权威企业节点相连的公共递归解析节点;
所述权威企业节点,用于确定待认证的当前用户;在所述当前用户为第一类型用户的情况下,接收二级节点发送的企业认证结果;其中所述企业认证结果包括二级节点在生成企业前缀标识后利用私钥对所述企业前缀标识进行签名操作所生成的签名;在所述当前用户为第二类型用户的情况下,权威企业节点对所述第二类型用户进行认证生成普通用户标识,确定与所述第二类型用户对应的签名信息,基于所述普通用户标识和所述签名信息构建并发送用户认证结果;其中所述用户认证结果包括所述签名信息,以及,利用所述签名信息对所述普通用户标识进行签名操作生成的签名。
参见图1a,权威企业节点集成有标识密码系统ibc,则所述确定与所述第二类型用户对应的签名信息,包括:
获取所述第二类型用户对应的用户身份标识;
基于标识密码系统ibc将所述用户身份标识作为秘钥,将所述秘钥作为所述签名信息;则所述利用所述签名信息对所述普通用户标识进行签名操作生成的签名包括:利用所述秘钥对所述普通用户标识执行签名操作获得签名。
参见图1b,所述系统与权威企业节点相连的第三方认证机构,则所述确定与所述第二类型用户对应的签名信息,包括:
接收第三方认证机构针对所述第二类型用户生成并发送的数字证书,将所述数字证书作为所述签名信息;
则所述利用所述签名信息对所述普通用户标识进行签名操作生成的签名包括:利用所述数字证书对所述普通用户标识执行签名操作获得签名。
所述物理实体标识应用系统包括:
与所述权威企业节点相连的企业应用app;
与所述权威企业节点相连的多个第二类型用户。
参见图1c,所述权威企业节点集成有标识密码系统ibc,且,所述系统还包括与权威企业节点相连的第三方认证机构,则所述确定与所述第二类型用户对应的签名信息,包括:
判断所述第二类型用户是否指定第三方认证机构的签名方式;
若所述第二类型用户未指定第三方认证机构的签名方式,则获取所述第二类型用户对应的用户身份标识;基于标识密码系统ibc将所述用户身份标识作为秘钥,将所述秘钥作为所述签名信息;则所述利用所述签名信息对所述普通用户标识进行签名操作生成的签名包括:利用所述秘钥对所述普通用户标识执行签名操作获得签名;
若所述第二类型用户指定第三方认证机构的签名方式,则接收第三方认证机构针对所述第二类型用户生成并发送的数字证书,将所述数字证书作为所述签名信息;则所述利用所述签名信息对所述普通用户标识进行签名操作生成的签名包括:利用所述数字证书对所述普通用户标识执行签名操作获得签名。
参见图1a,本申请提供一种工业互联网系统,包括:
物理实体标识应用系统100和物理实体标识服务系统200;
其中,物理实体标识服务系统包括:国际根节点,与国际根节点相连的国家根节点,与国家根节点相连的二级节点,与二级节点相连的权威企业节点,和,与所述国家根节点、二级节点和权威企业节点相连的公共递归解析节点。
所述公共递归解析节点,用于接收当前用户发送的可信解析请求;
在所述当前用户为第一类型用户的情况下,采用递归方式对所述可信解析请求中企业认证结果中的签名进行可信解析操作,获得可信解析结果;
在所述当前用户为第二类型用户情况下,对所述可信解析请求中用户认证结果中的签名信息和签名进行可信解析操作,获得可信解析结果。
参见图1a,所述公共递归解析节点集成有密码机,用于将第一类型用户标识和历史可信解析结果对应存储;
则所述公共递归解析节点在采用递归方式对所述可信解析请求中企业认证结果中签名进行可信解析操作,获得可信解析结果之前,还用于:
判断本地密码机是否存储有与所述可信解析请求中第一类型用户标识对应的历史可信解析结果;
若存储有与所述可信解析请求中第一类型用户标识对应的历史可信解析结果且历史可信解析结果有效,则使用所述历史可信解析结果作为所述可信解析结果;
若未存储有与所述可信解析请求中第一类型用户标识对应的历史可信解析结果,则执行所述采用递归方式对所述企业认证结果中签名进行可信解析操作,获得可信解析结果的步骤;并且,将所述可信解析结果与所述第一类型用户标识对应存储于所述本地密码机中。
参见图1a,所述权威企业节点集成有标识密码系统ibc,若用户认证结果采用密码标识系统ibc的签名方式,则所述公共递归解析节点中对所述用户认证结果中的签名信息和签名进行可信解析操作,获得可信解析结果的过程具体包括:
将所述可信解析请求中的用户身份标识作为公钥;
利用所述公钥对所述签名进行解密操作;
若解密成功则确定可信解析成功,否则确定可信解析失败。
参见图1b,权威企业节点与第三方认证机构相连,若用户认证结果采用第三方认证机构的签名方式则所述公共递归解析节点中所述对所述用户认证结果中的签名信息和签名进行可信解析操作,获得可信解析结果的过程具体包括:
将所述数字证书作为公钥;
利用所述公钥对所述签名进行解密操作;
若解密成功则获取第三方认证机构的根证书,若解密失败确定可信解析失败;
利用所述第三方认证机构的根证书对所述数字证书进行验证;
若验证成功则确定可信解析成功,否则确定可信解析失败。
参见图1c,所述权威企业节点集成有标识密码系统ibc,且与第三方认证机构相连,则所述公共递归解析节点中在所述用户认证结果包括签名类型字段、数字证书字段和签名字段的情况下,则所述对所述用户认证结果中的签名信息和签名进行可信解析操作,获得可信解析结果的过程具体包括:
若所述签名类型字段指示为第一类型,则从所述签名字段提取签名,将所述可信解析请求中的用户身份标识作为公钥;利用所述公钥对所述签名进行解密操作;若解密成功则确定可信解析成功,否则确定可信解析失败;
若所述签名类型字段指示为第二类型,则从所述签名字段提取签名,从所述数字证书字段提取数字证书;将所述数字证书作为公钥;利用所述公钥对所述签名进行解密操作;若解密成功则获取第三方认证机构的根证书,若解密失败确定可信解析失败;利用所述第三方认证机构的根证书对所述数字证书进行验证;若验证成功则确定可信解析成功,否则确定可信解析失败。
本实施例方法所述的功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算设备可读取存储介质中。基于这样的理解,本申请实施例对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一台计算设备(可以是个人计算机,服务器,移动计算设备或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:u盘、移动硬盘、只读存储器(rom,read-onlymemory)、随机存取存储器(ram,randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
1.一种物理实体的认证方法,其特征在于,包括:
权威企业节点确定待认证的当前用户;
在所述当前用户为第一类型用户的情况下,权威企业节点接收二级节点发送的企业认证结果,并发送企业认证结果至第一类型用户;其中所述企业认证结果包括二级节点在生成企业前缀标识后利用私钥对所述企业前缀标识进行签名操作所生成的签名;
在所述当前用户为第二类型用户的情况下,权威企业节点对所述第二类型用户进行认证生成普通用户标识,确定与所述第二类型用户对应的签名信息,基于所述普通用户标识和所述签名信息构建用户认证结果,发送用户认证结果至第二类型用户;其中所述用户认证结果包括所述签名信息,以及,利用所述签名信息对所述普通用户标识进行签名操作生成的签名。
2.如权利要求1所述的方法,其特征在于,在权威企业节点接收二级节点发送的企业认证结果之前,还包括:
权威企业节点发送认证请求至二级节点,所述认证请求包括所述第一类型用户的第一类型用户信息;
二级节点接收认证请求并基于所述认证请求中的第一类型用户信息生成企业前缀标识,利用二级节点的私钥对该企业前缀标识进行签名操作生成签名,构建并存储企业认证结果;
二级节点发送所述企业认证结果至所述权威企业节点,并向国家顶级节点发送所述第一类型用户的第一类型用户标识和二级节点标识的对应关系;
国家顶级节点保存所述第一类型用户的第一类型用户标识和二级节点标识的对应关系。
3.如权利要求1所述的方法,其特征在于,所述权威企业节点集成有标识密码系统,则所述确定与所述第二类型用户对应的签名信息,包括:
获取所述第二类型用户对应的用户身份标识;
基于标识密码系统将所述用户身份标识作为秘钥,将所述秘钥作为所述签名信息;
则所述利用所述签名信息对所述普通用户标识进行签名操作生成的签名包括:利用所述秘钥对所述普通用户标识执行签名操作获得签名。
4.如权利要求1所述的方法,其特征在于,所述权威企业节点与第三方认证机构相连,则所述确定与所述第二类型用户对应的签名信息,包括:
所述权威企业节点发送认证请求至第三方认证机构,所述认证请求包括所述第二类型用户的第二类型用户信息;
所述权威企业节点接收第三方认证机构针对所述第二类型用户生成并发送的数字证书,将所述数字证书作为所述签名信息;
则所述利用所述签名信息对所述普通用户标识进行签名操作生成的签名包括:利用所述数字证书对所述普通用户标识执行签名操作获得签名。
5.如权利要求1所述的方法,其特征在于,所述权威企业节点集成有标识密码系统且与第三方认证机构相连,则所述确定与所述第二类型用户对应的签名信息,包括:
权威企业节点判断所述第二类型用户是否指定第三方认证机构的签名方式;
若所述第二类型用户未指定第三方认证机构的签名方式,则权威企业节点获取所述第二类型用户对应的用户身份标识;基于标识密码系统将所述用户身份标识作为秘钥,将所述秘钥作为所述签名信息;
则所述利用所述签名信息对所述普通用户标识进行签名操作生成的签名包括:利用所述秘钥对所述普通用户标识执行签名操作获得签名;
若所述第二类型用户指定第三方认证机构的签名方式,则所述权威企业节点发送认证请求至第三方认证机构,所述认证请求包括所述第二类型用户的第二类型用户信息;接收第三方认证机构针对所述第二类型用户生成并发送的数字证书,将所述数字证书作为所述签名信息;
则所述利用所述签名信息对所述普通用户标识进行签名操作生成的签名包括:利用所述数字证书对所述普通用户标识执行签名操作获得签名。
6.如权利要求5所述的方法,其特征在于,所述用户认证结果还包括签名类型;所述签名类型为第一类型或第二类型;
第一类型,用于表示借助于标识密码系统生成的秘钥对普通用户标识进行签名操作的签名方式;
第二类型,用于表示借助于第三方认证机构生成的数字证书对普通用户标识进行签名操作的签名方式;
所述用户认证结果的数据结构包括:
签名类型字段,用于存储所述签名类型;
数字证书字段,用于存储采用第三方认证机构生成的数字证书,在未采用第三方认证机构生成数字证书的情况下该字段为空;
签名字段,用于存储签名。
7.一种物理实体的可信解析方法,其特征在于,包括:
公共递归解析节点接收当前用户发送的可信解析请求;
在所述当前用户为第一类型用户的情况下,公共递归解析节点采用递归方式对所述可信解析请求中企业认证结果中的签名进行可信解析操作,获得可信解析结果;
在所述当前用户为第二类型用户情况下,公共递归解析节点对所述可信解析请求中用户认证结果中的签名信息和签名进行可信解析操作,获得可信解析结果。
8.如权利要求7所述的方法,其特征在于,在公共递归解析节点采用递归方式对所述可信解析请求中企业认证结果中的签名进行可信解析操作,获得可信解析结果之前,还包括:
公共递归解析节点判断本地密码机是否存储有与所述可信解析请求中第一类型用户标识对应的历史可信解析结果;
若存储有与所述可信解析请求中第一类型用户标识对应的历史可信解析结果且历史可信解析结果有效,则使用所述历史可信解析结果作为所述可信解析结果;
若未存储有与所述可信解析请求中第一类型用户标识对应的历史可信解析结果,则执行所述采用递归方式对所述企业认证结果中签名进行可信解析操作,获得可信解析结果的步骤;并且,将所述可信解析结果与所述第一类型用户标识对应存储于所述本地密码机中。
9.如权利要求7或8所述的方法,其特征在于,所述公共递归解析节点采用递归方式对所述可信解析请求中企业认证结果中的签名进行可信解析操作,包括:
公共递归解析节点向国家顶级节点查询所述第一类型用户的第一类型用户标识;
国家顶级节点若查询到所述第一类型用户标识,则返回与所述第一类型用户标识关联的二级节点的网络地址和二级节点的数字证书;
公共递归解析节点向二级节点的网络地址对应的二级节点查询所述第一类型用户标识;
所述二级节点若查询到所述第一类型用户标识,则返回与第一类型用户标识对应的网络地址和与第一类型用户标识对应的签名;
公共递归解析节点验证企业认证结果中的签名与二级节点返回的第一类型用户标识对应的签名是否一致;
若不一致则确定可信解析失败;
若一致则从国家顶级节点查询国家顶级节点的根证书,并采用根证书验证二级节点的数字证书;
若验证不通过则确定可信解析失败;
若验证通过则采用二级节点的数字证书验证企业认证结果中的签名,若验证通过则表示可信解析成功,否则表示可信解析失败;
若可信解析成功,则将二级节点的网络地址、第一类型用户的网络地址和可信解析结果,与,第一类型用户标识对应存储到本地密码机中。
10.如权利要求7所述的方法,其特征在于,若用户认证结果采用密码标识系统的签名方式,则所述公共递归解析节点对所述可信解析请求中用户认证结果中的签名信息和签名进行可信解析操作,获得可信解析结果包括:
公共递归解析节点将所述可信解析请求中的用户身份标识作为公钥;
利用所述公钥对所述签名进行解密操作;
若解密成功则确定可信解析成功,否则确定可信解析失败。
11.如权利要求7所述的方法,其特征在于,若用户认证结果采用第三方认证机构的签名方式,则所述公共递归解析节点对所述可信解析请求中用户认证结果中的签名信息和签名进行可信解析操作,获得可信解析结果包括:
公共递归解析节点将用户认证结果中的数字证书作为公钥;
利用所述公钥对所述签名进行解密操作;
若解密成功则获取第三方认证机构的根证书,若解密失败确定可信解析失败;
利用所述第三方认证机构的根证书对所述数字证书进行验证;
若验证成功则确定可信解析成功,否则确定可信解析失败。
12.如权利要求7所述的方法,其特征在于,用户认证结果包括签名类型字段、数字证书字段和签名字段的情况下,则所述公共递归解析节点对所述可信解析请求中用户认证结果中的签名信息和签名进行可信解析操作,获得可信解析结果包括:
若所述签名类型字段指示为第一类型,则从所述签名字段提取签名,将所述可信解析请求中的用户身份标识作为公钥;利用所述公钥对所述签名进行解密操作;若解密成功则确定可信解析成功,否则确定可信解析失败;
若所述签名类型字段指示为第二类型,则从所述签名字段提取签名,从所述数字证书字段提取数字证书;将所述数字证书作为公钥;利用所述公钥对所述签名进行解密操作;若解密成功则获取第三方认证机构的根证书,若解密失败确定可信解析失败;利用所述第三方认证机构的根证书对所述数字证书进行验证;若验证成功则确定可信解析成功,否则确定可信解析失败。
13.一种物理实体的认证装置,其特征在于,包括:
节点确认器,用于权威企业节点确定待认证的当前用户;
接收器,用于在所述当前用户为第一类型用户的情况下,权威企业节点接收二级节点发送的企业认证结果,并发送企业认证结果至第一类型用户;其中所述企业认证结果包括二级节点在生成企业前缀标识后利用私钥对所述企业前缀标识进行签名操作所生成的签名;
节点认证器,用于在所述当前用户为第二类型用户的情况下,权威企业节点对所述第二类型用户进行认证生成普通用户标识,确定与所述第二类型用户对应的签名信息;
认证结果构建器,用于基于所述普通用户标识和所述签名信息构建用户认证结果,发送用户认证结果至第二类型用户;其中所述用户认证结果包括所述签名信息,以及,利用所述签名信息对所述普通用户标识进行签名操作生成的签名。
14.一种工业互联网系统,其特征在于,包括:
物理实体标识应用系统和物理实体标识服务系统;
其中,物理实体标识服务系统包括:国际根节点,与国际根节点相连的国家根节点,与国家根节点相连的二级节点,与二级节点相连的权威企业节点,和,与所述国家根节点、二级节点和权威企业节点相连的公共递归解析节点;
所述权威企业节点,用于确定待认证的当前用户;在所述当前用户为第一类型用户的情况下,接收二级节点发送的企业认证结果;其中所述企业认证结果包括二级节点在生成企业前缀标识后利用私钥对所述企业前缀标识进行签名操作所生成的签名;在所述当前用户为第二类型用户的情况下,权威企业节点对所述第二类型用户进行认证生成普通用户标识,确定与所述第二类型用户对应的签名信息,基于所述普通用户标识和所述签名信息构建并发送用户认证结果;其中所述用户认证结果包括所述签名信息,以及,利用所述签名信息对所述普通用户标识进行签名操作生成的签名。
15.一种物理实体的可信解析装置,其特征在于,包括:
接收器,用于公共递归解析节点接收当前用户发送的可信解析请求;
递归解析器,用于在所述当前用户为第一类型用户的情况下,公共递归解析节点采用递归方式对所述可信解析请求中企业认证结果中的签名进行可信解析操作,获得可信解析结果;
可信解析器,用于在所述当前用户为第二类型用户情况下,公共递归解析节点对所述可信解析请求中用户认证结果中的签名信息和签名进行可信解析操作,获得可信解析结果。
16.一种工业互联网系统,其特征在于,包括:
物理实体标识应用系统和物理实体标识服务系统;
其中,物理实体标识服务系统包括:国际根节点,与国际根节点相连的国家根节点,与国家根节点相连的二级节点,与二级节点相连的权威企业节点,和,与所述国家根节点、二级节点和所述权威企业节点相连的公共递归解析节点;
所述公共递归解析节点,用于接收当前用户发送的可信解析请求,在所述当前用户为第一类型用户的情况下,公共递归解析节点采用递归方式对所述可信解析请求中企业认证结果中的签名进行可信解析操作,获得可信解析结果;在所述当前用户为第二类型用户情况下,公共递归解析节点对所述可信解析请求中用户认证结果中的签名信息和签名进行可信解析操作,获得可信解析结果。
技术总结