一种基于数字证书的移动设备可信接入方法.pdf

摘要
申请专利号：	CN201210294785.9	申请日：	2012.08.17
公开号：	CN102833754A	公开日：	2012.12.19
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|著录事项变更IPC(主分类):H04W 12/06变更事项:发明人变更前:刘鹰赵兵吕英杰徐英辉翟峰章欣李宝丰付义伦孙志强梁晓兵变更后:刘鹰赵兵吕英杰徐英辉翟峰章欣李保丰付义伦孙志强梁晓兵\|\|\|实质审查的生效IPC(主分类):H04W 12/06申请日:20120817\|\|\|公开
IPC分类号：	H04W12/06(2009.01)I; H04W12/08(2009.01)I	主分类号：	H04W12/06
申请人：	中国电力科学研究院; 国家电网公司
发明人：	刘鹰; 赵兵; 吕英杰; 徐英辉; 翟峰; 章欣; 李宝丰; 付义伦; 孙志强; 梁晓兵
地址：	100192 北京市海淀区清河小营东路15号
优先权：
专利代理机构：	北京安博达知识产权代理有限公司 11271	代理人：	徐国文
PDF下载：	PDF下载

内容摘要

本发明涉及一种基于数字证书的移动设备可信接入方法，接入方法包括数字证书发放和设备接入主站两个步骤；所述数字证书发放是在设备接入主站之前完成的。该方法能够支持设备对主站的身份认证，解决了传统协议中无法检验假冒主站的问题，能够很好的满足此类网络中对于身份认证的需求。

权利要求书

1.一种基于数字证书的移动设备可信接入方法，其特征在于，所述接入方法包括数字证书发放和设备接入主站两个步骤；所述数字证书发放是在设备接入主站之前完成的。2.如权利要求1所述的移动设备可信接入方法，其特征在于，所述数字证书发放是指证书发放中心将数字证书发送给设备，主站和CRL；所述数字证书是由证书发放中心发放的，所述数字证书中有类型标识位，所述类型标识位用来判断持有该证书的是设备、主站或CRL。3.如权利要求2所述的移动设备可信接入方法，其特征在于，所述证书发放中心是指CA证书系统内数字证书生成和发放的服务器，为整个系统提供证书发放和更新服务；所述证书发放中心分为两级，第一级是根CA证书系统，第二级是运行CA证书系统。4.如权利要求2所述的移动设备可信接入方法，其特征在于，所述数字证书是指证明证书持有者身份的电子文件；所述数字证书包括普通证书和证书链两种；所述证书链包括证书发放者的证书，用来验证证书源的有效性。5.如权利要求2所述的移动设备可信接入方法，其特征在于，所述CRL是指证书撤销列表；所述CRL中存储被撤销证书的序列号，通过网络访问CRL查询证书的序列号是否已被撤销。6.如权利要求1所述的移动设备可信接入方法，其特征在于，所述设备接入主站是指设备通过自身持有的数字证书接入主站，设备接入主站时进行主站对设备的身份认证和设备对主站的身份认证。7.如权利6所述的移动设备可信接入方法，其特征在于，所述主站对设备的身份认证是指主站检验设备证书的有效性，主站通过证书链和证书有效期验证设备持有的证书是合法的；主站通过查询CRL检验设备的证书是否被撤销。8.如权利6所述的移动设备可信接入方法，其特征在于，所述设备对主站的身份认证是指设备检验主站证书的有效性，设备首先通过证书链和证书有效期验证主站的证书的合法性，其次设备通过主站连接CRL查询主站的证书是否被撤销。9.如权利6所述的移动设备可信接入方法，其特征在于，所述设备接入主站包括下述步骤：A、设备向主站发送证书；B、检验设备向主站发送的证书是否合法：如果合法，则进行步骤C；否则返回步骤A；C、减压横竖是否被撤销：如果被撤销，则进行步骤D；否则返回步骤A；D、主站向设备发送证书；E、检验主站向设备发送的证书是否合法：如果合法，则进行步骤F；否则返回步骤D；F、设备发送主站证书序列号并查询随机码；G、主站将证书序列号和随机码换发给CRL并签名；H、所述CRL查询证书是否被撤销回复信息并签名给主站；I、主站转发CRL回复信息给设备；J、所述设备验证主站证书是否被撤销：如果被撤销，则进行步骤K；否则返回步骤I；K、设备接入主站。

说明书

一种基于数字证书的移动设备可信接入方法

技术领域

本发明涉及设备接入领域，具体涉及一种基于数字证书的移动设备可信接入方法。

背景技术

近年来信息产业飞速发展，信息的安全性受到了越来越大的关注，身份认证是一种重要
的信息安全技术手段，随着身份认证技术发展越来越成熟，它被广泛应用于很多的网络中。
但是一些覆盖范围广，结构复杂，实时性较高的信息网络，例如，用电信息采集系统对传统
的认证方式提出了新的要求，网络结构的特殊性决定了常用的身份认证协议并不能满足它对
信息安全的要求。

常用的身份认证协议，例如安全传输协议（SSL），存在着一些比较协议上的漏洞，容易
受到攻击。例如，容易受到密码算法组及版本号等回滚攻击；不支持国产加密算法；不能提
供不可否认性。另一方面，对于主站-终端的链式网络结构，终端无法直接与CA系统进行通
信，所以使用常用的认证协议无法实现终端对主站的认证。在工程实际应用时存在如下问题：

（1）终端不能直接查询在线证书状态协议（Online Certification Status Protocol，OCSP）
服务器：

在签发数字证书阶段，主站与终端的数字证书均为同一级别CA机构签发。受实际应用
中网络拓扑的限制，终端位于主站下方，与主站属于上下级关系。数字证书查询有效性包括
身份查询、hash值比对、是否在有效期、CRL列表。对于前三项有效性的校验在终端内部可
以操作完成，对于CRL列表一般需要访问OCSP服务器来确认所用证书是否已经被撤销。终
端无法直接连接CA系统。从而主站在检查终端数字证书的有效性时可以通过连接OCSP服
务器查询CRL列表得知该数字证书是否被撤销，而终端在检查主站数字证书时却无法连接
OCSP服务器，也就无法认证主站证书的有效性。

（2）假冒主站无法识别：

由于SSL协议的漏洞可以利用终端中芯片或者主站的测试芯片假冒主站。

废弃的或是撤坏掉的终端芯片中包含有终端的数字证书、证书私钥、预置的对称密钥等
机密信息，鉴于终端证书与主站证书由同一CA签发，为同一级证书。因此，攻击者可利用
废弃芯片来假冒主站。

发明内容

针对现有技术的不足，本发明提供一种基于数字证书的移动设备可信接入方法，该方法
能够支持设备对主站的身份认证，解决了传统协议中无法检验假冒主站的问题，能够很好的
满足此类网络中对于身份认证的需求。

本发明的目的是采用下述技术方案实现的：

一种基于数字证书的移动设备可信接入方法，其改进之处在于，所述接入方法包括数字
证书发放和设备接入主站两个步骤；所述数字证书发放是在设备接入主站之前完成的。

进一步，所述数字证书发放是指证书发放中心将数字证书发送给设备，主站和CRL；所
述数字证书是由证书发放中心发放的，所述数字证书中有类型标识位，所述类型标识位用来
判断持有该证书的是设备、主站或CRL。

进一步，所述证书发放中心是指CA证书系统内数字证书生成和发放的服务器，为整个
系统提供证书发放和更新服务；所述证书发放中心分为两级，第一级是根CA证书系统，第
二级是运行CA证书系统。

进一步，所述数字证书是指证明证书持有者身份的电子文件；所述数字证书包括普通证
书和证书链两种；所述证书链包括证书发放者的证书，用来验证证书源的有效性。

进一步，所述CRL是指证书撤销列表；所述CRL中存储被撤销证书的序列号，通过网
络访问CRL查询证书的序列号是否已被撤销。

进一步，所述设备接入主站是指设备通过自身持有的数字证书接入主站，设备接入主站
时进行主站对设备的身份认证和设备对主站的身份认证。

进一步，所述主站对设备的身份认证是指主站检验设备证书的有效性，主站通过证书链
和证书有效期验证设备持有的证书是合法的；主站通过查询CRL检验设备的证书是否被撤
销。

进一步，所述设备对主站的身份认证是指设备检验主站证书的有效性，设备首先通过证
书链和证书有效期验证主站的证书的合法性，其次设备通过主站连接CRL查询主站的证书是
否被撤销。

进一步，所述设备接入主站包括下述步骤：

A、设备向主站发送证书；

B、检验设备向主站发送的证书是否合法：如果合法，则进行步骤C；否则返回步骤A；

C、减压横竖是否被撤销：如果被撤销，则进行步骤D；否则返回步骤A；

D、主站向设备发送证书；

E、检验主站向设备发送的证书是否合法：如果合法，则进行步骤F；否则返回步骤D；

F、设备发送主站证书序列号并查询随机码；

G、主站将证书序列号和随机码换发给CRL并签名；

H、所述CRL查询证书是否被撤销回复信息并签名给主站；

I、主站转发CRL回复信息给设备；

J、所述设备验证主站证书是否被撤销：如果被撤销，则进行步骤K；否则返回步骤I；

K、设备接入主站。

与现有技术比，本发明达到的有益效果是：

（1）增加了设备对主站的身份认证，保证了主站身份的正确性。解决了传统协议中无法
检验假冒主站的问题；

（2）使用证书链解决了证书存储分发的问题，设备与主站之间的认证更加方便，安全；

（3）在主站侧建立证书撤销列表CRL，缩短了主站查询证书撤销的时间开销；

（4）该方法能够支持设备对主站的身份认证，解决了传统协议中无法检验假冒主站的问
题，能够很好的满足此类网络中对于身份认证的需求。

附图说明

图1是本发明提供的设备接入总体流程示意图；

图2是本发明提供的数字证书发放示意图；

图3是本发明提供的身份认证示意图；

图4是本发明提供的设备接入主站流程示意图。

具体实施方式

下面结合附图对本发明的具体实施方式作进一步的详细说明。

本发明提供的设备接入总体流程如图1所示，本发明一种基于数字证书的移动设备可信
接入方法，包括数字证书发放和设备接入主站两个步骤，数字证书发放是在设备接入主站之
前完成。

本发明提供的证书发放如图2所示，数字证书发放是指证书发放中心将数字证书发送给
设备，主站和证书撤销列表CRL。证书发放中心是指系统内所有数字证书的生成和发放的服
务器，证书发放中心分为两级，第一级是根CA证书系统，第二级是运行CA证书系统，证
书发放中心是可信任的，为整个系统提供证书发放，更新服务；数字证书，是指能够证明证
书持有者身份的电子文件。数字证书包括普通证书和证书链两种，证书链中包括证书发放者
的一系列证书，可以用来验证证书源的有效性，数字证书中有类型标识位，用来标识持有该
证书的是设备、主站还是证书撤销列表CRL；其中的CRL是指证书撤销列表，存储了被撤销
的证书的序列号，通过网络可以访问证书撤销列表CRL可以查询证书的序列号是否已被撤
销。

如图3所示，设备接入主站，是指设备通过自身持有的数字证书接入主站，设备接入主
站时进行主站对设备的身份认证和设备对主站的身份认证。主站对设备的身份认证，是指主
站检验设备证书的有效性，主站首先通过证书链和证书有效期验证设备持有的证书是合法的，
其次主站通过查询证书撤销列表CRL确认设备的证书是否被撤销；设备对主站的身份认证，
是指设备检验主站证书的有效性，设备首先通过证书链和证书有效期验证主站的证书的合法
性，其次设备通过主站连接证书撤销列表CRL查询主站的证书是否被撤销。

设备接入主站具体流程如图4所示，首先设备向主站发送证书，主站接收证书并通过自
身持有的证书链判断证书的颁发者是否合法，查看证书是否过期，其次访问证书撤销列表CRL
查询证书是否被撤销，若证书合法且没有被撤销则主站向设备发送证书，完成主站对设备的
认证，否则结束进程；主站向设备发送证书，设备通过证书链判断主站证书的颁发者是否合
法，查看证书是否过期，若证书合法且没有过期，则提取主站证书的序列号添加随机码发送
查询信息给主站，主站接收信息并转发给证书撤销列表CRL，证书撤销列表CRL查询证书序
列号是否被撤销并将查询结果和签名一起发送给主站，由主站转发给设备，设备接收信息，
如果主站的证书没有被撤销，则设备完成对主站的认证。

具体的，设备接入主站包括下述步骤：

A、设备向主站发送证书；

B、检验设备向主站发送的证书是否合法：如果合法，则进行步骤C；否则返回步骤A；

C、减压横竖是否被撤销：如果被撤销，则进行步骤D；否则返回步骤A；

D、主站向设备发送证书；

E、检验主站向设备发送的证书是否合法：如果合法，则进行步骤F；否则返回步骤D；

F、设备发送主站证书序列号并查询随机码；

G、主站将证书序列号和随机码换发给CRL并签名；

H、CRL查询证书是否被撤销回复信息并签名给主站；

I、主站转发CRL回复信息给设备；

J、设备验证主站证书是否被撤销：如果被撤销，则进行步骤K；否则返回步骤I；

K、设备接入主站。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照
上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本
发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等
同替换，其均应涵盖在本发明的权利要求范围当中。

资源描述

《一种基于数字证书的移动设备可信接入方法.pdf》由会员分享，可在线阅读，更多相关《一种基于数字证书的移动设备可信接入方法.pdf（8页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 102833754 A (43)申请公布日 2012.12.19 C N 1 0 2 8 3 3 7 5 4 A *CN102833754A* (21)申请号 201210294785.9 (22)申请日 2012.08.17 H04W 12/06(2009.01) H04W 12/08(2009.01) (71)申请人中国电力科学研究院地址 100192 北京市海淀区清河小营东路 15号申请人国家电网公司 (72)发明人刘鹰赵兵吕英杰徐英辉翟峰章欣李宝丰付义伦孙志强梁晓兵 (74)专利代理机构北京安博达知识产权代理有限公司 11271 代理人。

2、徐国文 (54) 发明名称一种基于数字证书的移动设备可信接入方法 (57) 摘要本发明涉及一种基于数字证书的移动设备可信接入方法，接入方法包括数字证书发放和设备接入主站两个步骤；所述数字证书发放是在设备接入主站之前完成的。该方法能够支持设备对主站的身份认证，解决了传统协议中无法检验假冒主站的问题，能够很好的满足此类网络中对于身份认证的需求。 (51)Int.Cl. 权利要求书1页说明书4页附图2页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书 1 页说明书 4 页附图 2 页 1/1页 2 1.一种基于数字证书的移动设备可信接入方法，其特征在于。

3、，所述接入方法包括数字证书发放和设备接入主站两个步骤；所述数字证书发放是在设备接入主站之前完成的。 2.如权利要求1所述的移动设备可信接入方法，其特征在于，所述数字证书发放是指证书发放中心将数字证书发送给设备，主站和CRL；所述数字证书是由证书发放中心发放的，所述数字证书中有类型标识位，所述类型标识位用来判断持有该证书的是设备、主站或 CRL。 3.如权利要求2所述的移动设备可信接入方法，其特征在于，所述证书发放中心是指 CA证书系统内数字证书生成和发放的服务器，为整个系统提供证书发放和更新服务；所述证书发放中心分为两级，第一级是根CA证书系统，第二级是运行CA证书系统。 4.如权利要。

4、求2所述的移动设备可信接入方法，其特征在于，所述数字证书是指证明证书持有者身份的电子文件；所述数字证书包括普通证书和证书链两种；所述证书链包括证书发放者的证书，用来验证证书源的有效性。 5.如权利要求2所述的移动设备可信接入方法，其特征在于，所述CRL是指证书撤销列表；所述CRL中存储被撤销证书的序列号，通过网络访问CRL查询证书的序列号是否已被撤销。 6.如权利要求1所述的移动设备可信接入方法，其特征在于，所述设备接入主站是指设备通过自身持有的数字证书接入主站，设备接入主站时进行主站对设备的身份认证和设备对主站的身份认证。 7.如权利6所述的移动设备可信接入方法，其特征在于，所述。

5、主站对设备的身份认证是指主站检验设备证书的有效性，主站通过证书链和证书有效期验证设备持有的证书是合法的；主站通过查询CRL检验设备的证书是否被撤销。 8.如权利6所述的移动设备可信接入方法，其特征在于，所述设备对主站的身份认证是指设备检验主站证书的有效性，设备首先通过证书链和证书有效期验证主站的证书的合法性，其次设备通过主站连接CRL查询主站的证书是否被撤销。 9.如权利6所述的移动设备可信接入方法，其特征在于，所述设备接入主站包括下述步骤： A、设备向主站发送证书； B、检验设备向主站发送的证书是否合法：如果合法，则进行步骤C；否则返回步骤A； C、减压横竖是否被撤销：如果被撤销，。

6、则进行步骤D；否则返回步骤A； D、主站向设备发送证书； E、检验主站向设备发送的证书是否合法：如果合法，则进行步骤F；否则返回步骤D； F、设备发送主站证书序列号并查询随机码； G、主站将证书序列号和随机码换发给CRL并签名； H、所述CRL查询证书是否被撤销回复信息并签名给主站； I、主站转发CRL回复信息给设备； J、所述设备验证主站证书是否被撤销：如果被撤销，则进行步骤K；否则返回步骤I； K、设备接入主站。权利要求书CN 102833754 A 1/4页 3 一种基于数字证书的移动设备可信接入方法技术领域 0001 本发明涉及设备接入领域，具体涉及一种基于数字证书的移动设。

7、备可信接入方法。背景技术 0002 近年来信息产业飞速发展，信息的安全性受到了越来越大的关注，身份认证是一种重要的信息安全技术手段，随着身份认证技术发展越来越成熟，它被广泛应用于很多的网络中。但是一些覆盖范围广，结构复杂，实时性较高的信息网络，例如，用电信息采集系统对传统的认证方式提出了新的要求，网络结构的特殊性决定了常用的身份认证协议并不能满足它对信息安全的要求。 0003 常用的身份认证协议，例如安全传输协议（SSL），存在着一些比较协议上的漏洞，容易受到攻击。例如，容易受到密码算法组及版本号等回滚攻击；不支持国产加密算法；不能提供不可否认性。另一方面，对于主站-终端的链式。

8、网络结构，终端无法直接与CA系统进行通信，所以使用常用的认证协议无法实现终端对主站的认证。在工程实际应用时存在如下问题： 0004 （1）终端不能直接查询在线证书状态协议（Online Certification Status Protocol，OCSP）服务器： 0005 在签发数字证书阶段，主站与终端的数字证书均为同一级别CA机构签发。受实际应用中网络拓扑的限制，终端位于主站下方，与主站属于上下级关系。数字证书查询有效性包括身份查询、hash值比对、是否在有效期、CRL列表。对于前三项有效性的校验在终端内部可以操作完成，对于CRL列表一般需要访问OCSP服务器来确认所用证书是否已。

9、经被撤销。终端无法直接连接CA系统。从而主站在检查终端数字证书的有效性时可以通过连接 OCSP服务器查询CRL列表得知该数字证书是否被撤销，而终端在检查主站数字证书时却无法连接OCSP服务器，也就无法认证主站证书的有效性。 0006 （2）假冒主站无法识别： 0007 由于SSL协议的漏洞可以利用终端中芯片或者主站的测试芯片假冒主站。 0008 废弃的或是撤坏掉的终端芯片中包含有终端的数字证书、证书私钥、预置的对称密钥等机密信息，鉴于终端证书与主站证书由同一CA签发，为同一级证书。因此，攻击者可利用废弃芯片来假冒主站。发明内容 0009 针对现有技术的不足，本发明提供一种基于数字证书。

10、的移动设备可信接入方法，该方法能够支持设备对主站的身份认证，解决了传统协议中无法检验假冒主站的问题，能够很好的满足此类网络中对于身份认证的需求。 0010 本发明的目的是采用下述技术方案实现的： 0011 一种基于数字证书的移动设备可信接入方法，其改进之处在于，所述接入方法包说明书CN 102833754 A 2/4页 4 括数字证书发放和设备接入主站两个步骤；所述数字证书发放是在设备接入主站之前完成的。 0012 进一步，所述数字证书发放是指证书发放中心将数字证书发送给设备，主站和 CRL；所述数字证书是由证书发放中心发放的，所述数字证书中有类型标识位，所述类型标识位用来判断持。

11、有该证书的是设备、主站或CRL。 0013 进一步，所述证书发放中心是指CA证书系统内数字证书生成和发放的服务器，为整个系统提供证书发放和更新服务；所述证书发放中心分为两级，第一级是根CA证书系统，第二级是运行CA证书系统。 0014 进一步，所述数字证书是指证明证书持有者身份的电子文件；所述数字证书包括普通证书和证书链两种；所述证书链包括证书发放者的证书，用来验证证书源的有效性。 0015 进一步，所述CRL是指证书撤销列表；所述CRL中存储被撤销证书的序列号，通过网络访问CRL查询证书的序列号是否已被撤销。 0016 进一步，所述设备接入主站是指设备通过自身持有的数字证书接入主站，。

12、设备接入主站时进行主站对设备的身份认证和设备对主站的身份认证。 0017 进一步，所述主站对设备的身份认证是指主站检验设备证书的有效性，主站通过证书链和证书有效期验证设备持有的证书是合法的；主站通过查询CRL检验设备的证书是否被撤销。 0018 进一步，所述设备对主站的身份认证是指设备检验主站证书的有效性，设备首先通过证书链和证书有效期验证主站的证书的合法性，其次设备通过主站连接CRL查询主站的证书是否被撤销。 0019 进一步，所述设备接入主站包括下述步骤： 0020 A、设备向主站发送证书； 0021 B、检验设备向主站发送的证书是否合法：如果合法，则进行步骤C；否则返回步骤 A。

13、； 0022 C、减压横竖是否被撤销：如果被撤销，则进行步骤D；否则返回步骤A； 0023 D、主站向设备发送证书； 0024 E、检验主站向设备发送的证书是否合法：如果合法，则进行步骤F；否则返回步骤 D； 0025 F、设备发送主站证书序列号并查询随机码； 0026 G、主站将证书序列号和随机码换发给CRL并签名； 0027 H、所述CRL查询证书是否被撤销回复信息并签名给主站； 0028 I、主站转发CRL回复信息给设备； 0029 J、所述设备验证主站证书是否被撤销：如果被撤销，则进行步骤K；否则返回步骤 I； 0030 K、设备接入主站。 0031 与现有技术比，本发明达到的有益效果。

14、是： 0032 （1）增加了设备对主站的身份认证，保证了主站身份的正确性。解决了传统协议中无法检验假冒主站的问题； 0033 （2）使用证书链解决了证书存储分发的问题，设备与主站之间的认证更加方便，安说明书CN 102833754 A 3/4页 5 全； 0034 （3）在主站侧建立证书撤销列表CRL，缩短了主站查询证书撤销的时间开销； 0035 （4）该方法能够支持设备对主站的身份认证，解决了传统协议中无法检验假冒主站的问题，能够很好的满足此类网络中对于身份认证的需求。附图说明 0036 图1是本发明提供的设备接入总体流程示意图； 0037 图2是本发明提供的数字证书发放示意图；。

15、 0038 图3是本发明提供的身份认证示意图； 0039 图4是本发明提供的设备接入主站流程示意图。具体实施方式 0040 下面结合附图对本发明的具体实施方式作进一步的详细说明。 0041 本发明提供的设备接入总体流程如图1所示，本发明一种基于数字证书的移动设备可信接入方法，包括数字证书发放和设备接入主站两个步骤，数字证书发放是在设备接入主站之前完成。 0042 本发明提供的证书发放如图2所示，数字证书发放是指证书发放中心将数字证书发送给设备，主站和证书撤销列表CRL。证书发放中心是指系统内所有数字证书的生成和发放的服务器，证书发放中心分为两级，第一级是根CA证书系统，第二级是运行C。

16、A证书系统，证书发放中心是可信任的，为整个系统提供证书发放，更新服务；数字证书，是指能够证明证书持有者身份的电子文件。数字证书包括普通证书和证书链两种，证书链中包括证书发放者的一系列证书，可以用来验证证书源的有效性，数字证书中有类型标识位，用来标识持有该证书的是设备、主站还是证书撤销列表CRL；其中的CRL是指证书撤销列表，存储了被撤销的证书的序列号，通过网络可以访问证书撤销列表CRL可以查询证书的序列号是否已被撤销。 0043 如图3所示，设备接入主站，是指设备通过自身持有的数字证书接入主站，设备接入主站时进行主站对设备的身份认证和设备对主站的身份认证。主站对设备的身份认证，。

17、是指主站检验设备证书的有效性，主站首先通过证书链和证书有效期验证设备持有的证书是合法的，其次主站通过查询证书撤销列表CRL确认设备的证书是否被撤销；设备对主站的身份认证，是指设备检验主站证书的有效性，设备首先通过证书链和证书有效期验证主站的证书的合法性，其次设备通过主站连接证书撤销列表CRL查询主站的证书是否被撤销。 0044 设备接入主站具体流程如图4所示，首先设备向主站发送证书，主站接收证书并通过自身持有的证书链判断证书的颁发者是否合法，查看证书是否过期，其次访问证书撤销列表CRL查询证书是否被撤销，若证书合法且没有被撤销则主站向设备发送证书，完成主站对设备的认证，否则结束进。

18、程；主站向设备发送证书，设备通过证书链判断主站证书的颁发者是否合法，查看证书是否过期，若证书合法且没有过期，则提取主站证书的序列号添加随机码发送查询信息给主站，主站接收信息并转发给证书撤销列表CRL，证书撤销列表 CRL查询证书序列号是否被撤销并将查询结果和签名一起发送给主站，由主站转发给设备，说明书CN 102833754 A 4/4页 6 设备接收信息，如果主站的证书没有被撤销，则设备完成对主站的认证。 0045 具体的，设备接入主站包括下述步骤： 0046 A、设备向主站发送证书； 0047 B、检验设备向主站发送的证书是否合法：如果合法，则进行步骤C；否则返回步骤 A； 00。

19、48 C、减压横竖是否被撤销：如果被撤销，则进行步骤D；否则返回步骤A； 0049 D、主站向设备发送证书； 0050 E、检验主站向设备发送的证书是否合法：如果合法，则进行步骤F；否则返回步骤 D； 0051 F、设备发送主站证书序列号并查询随机码； 0052 G、主站将证书序列号和随机码换发给CRL并签名； 0053 H、CRL查询证书是否被撤销回复信息并签名给主站； 0054 I、主站转发CRL回复信息给设备； 0055 J、设备验证主站证书是否被撤销：如果被撤销，则进行步骤K；否则返回步骤I； 0056 K、设备接入主站。 0057 最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求范围当中。说明书CN 102833754 A 1/2页 7 图1 图2 图3 说明书附图CN 102833754 A 2/2页 8 图4 说明书附图CN 102833754 A 。

展开阅读全文