本发明涉及通信安全技术领域,尤其涉及一种嵌入式设备准入认证方法及系统。
背景技术:
嵌入式设备在与交换机通讯时大部分都无准入认证功能或采取简单的mac(mediaaccesscontrol,基于媒体访问控制)地址进行简单地准入认证。由于mac地址被修改或仿冒的情况下,很难分辨接入设备的真伪,导致嵌入式设备在具有保密性质的场合下,安全性低。
目前,pc(personalcomputer,个人电脑)端与交换机通讯时,采用基于aap协议的准入认证方法。该准入认证方法通过在pc端安装一个准入认证客户端,用于负责pc端的私钥存储、网络通讯、解密处理等。通过准入认证客户端与存储有pc端的公钥的交换机进行准入认证报文的交互,可以实现对pc端的准入认证。
但是,在pc端安装准入认证客户端需要较大的存储空间、运行内存空间和较大的运算能力。而嵌入式设备的存储空间小、运行内存空间小。若将这种准入认证方法应用于嵌入式设备,不仅准入认证效率低,且很容易超出嵌入式设备的存储空间或运行内存空间,无法实现对嵌入式设备的准入认证。
技术实现要素:
本发明提供一种嵌入式设备准入认证方法及系统,用以解决现有技术中准入认证效率低,且很容易超出嵌入式设备的存储空间或运行内存空间,无法实现对嵌入式设备的准入认证的缺陷,实现提高对嵌入式设备进行准入认证的效率。
本发明提供一种嵌入式设备准入认证方法,包括:
待认证嵌入式设备接收交换机发送的加密的挑战报文,使用所述待认证嵌入式设备的mac地址对应的私钥对所述加密的挑战报文进行解密;其中,所述私钥由pc端根据所述mac地址返回;
将解密后的所述挑战报文发送给所述交换机,以供所述交换机根据解密后的所述挑战报文对所述待认证嵌入式设备进行准入认证。
根据本发明提供的一种嵌入式设备准入认证方法,所述使用所述待认证嵌入式设备的mac地址对应的私钥对所述加密的挑战报文进行解密,包括:
若所述私钥在所述待认证嵌入式设备的解密芯片中不存在,则向所述pc端发送所述mac地址;
接收所述pc端根据所述mac地址返回的所述私钥,并将所述私钥写入所述解密芯片中;
使用所述解密芯片中的私钥对所述加密的挑战报文进行解密。
根据本发明提供的一种嵌入式设备准入认证方法,所述私钥通过从所述pc端上的私钥文件中查找获取;其中,所述私钥文件中预先存储有所述mac地址与所述私钥之间的关联关系。
根据本发明提供的一种嵌入式设备准入认证方法,所述待认证嵌入式设备接收交换机发送的加密的挑战报文,使用所述待认证嵌入式设备的mac地址对应的私钥对所述加密的挑战报文进行解密,包括:
对所述交换机进行监听,获取所述交换机发送的加密的挑战报文;
将所述加密的挑战报文通过所述解密芯片的spi驱动发送至所述解密芯片;
根据所述解密芯片中的私钥对所述解密芯片中加密的挑战报文进行解密。
根据本发明提供的一种嵌入式设备准入认证方法,所述使用所述待认证嵌入式设备的mac地址对应的私钥对所述加密的挑战报文进行解密,包括:
验证所述加密的挑战报文发送的目标mac地址是否为所述待认证嵌入式设备的mac地址;
若是,则对所述加密的挑战报文进行载荷校验;
若所述加密的挑战报文通过载荷校验,则使用所述私钥对所述加密的挑战报文进行解密。
本发明还提供一种嵌入式设备准入认证系统,包括:
解密模块,用于待认证嵌入式设备接收交换机发送的加密的挑战报文,使用所述待认证嵌入式设备的mac地址对应的私钥对所述加密的挑战报文进行解密;
其中,所述私钥由pc端根据所述mac地址返回;
发送模块,用于将解密后的所述挑战报文发送给所述交换机,以供所述交换机根据解密后的所述挑战报文对所述待认证嵌入式设备进行准入认证。
根据本发明提供的一种嵌入式设备准入认证系统,所述解密模块具体为:
若所述私钥在所述待认证嵌入式设备的解密芯片中不存在,则向所述pc端发送所述mac地址;
接收所述pc端根据所述mac地址返回的所述私钥,并将所述私钥写入所述解密芯片中;
使用所述解密芯片中的私钥对所述加密的挑战报文进行解密。
根据本发明提供的一种嵌入式设备准入认证系统,所述私钥通过从所述pc端上的私钥文件中查找获取;其中,所述私钥文件中预先存储有所述mac地址与所述私钥之间的关联关系。
本发明还提供一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述任一种所述嵌入式设备准入认证方法的步骤。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述嵌入式设备准入认证方法的步骤。
本发明提供的嵌入式设备准入认证方法及系统,通过根据待认证嵌入式设备的mac地址,可以快速获取到mac地址对应的私钥,根据私钥对交换机发送的加密的挑战报文进行解密,并将解密后的挑战报文反馈给交换机,一方面可以提高对待认证嵌入式设备的安全准入认证;另一方面,根据mac地址可以自动获取pc端返回的私钥,不仅可以节约存储空间,还可以减少因生成私钥所需的运算,提高准入认证的效率。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的嵌入式设备准入认证方法的流程示意图;
图2是本发明提供的嵌入式设备准入认证方法中待认证嵌入式设备软件和硬件分布的结构示意图;
图3是本发明提供的嵌入式设备准入认证方法中嵌入式设备、交换机和pc端的结构示意图;
图4是本发明提供的嵌入式设备准入认证方法中时序的结构示意图;
图5是本发明提供的嵌入式设备准入认证方法完整的流程示意图;
图6是本发明提供的嵌入式设备准入认证系统的结构示意图;
图7是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合图1描述本发明的嵌入式设备准入认证方法,包括:步骤101,待认证嵌入式设备接收交换机发送的加密的挑战报文,使用所述待认证嵌入式设备的mac地址对应的私钥对所述加密的挑战报文进行解密;其中,所述私钥由pc端根据所述mac地址返回;
其中,待认证嵌入式设备可以是打印机或摄像头等,本实施例不限于待认证嵌入式设备的类型。其中,待认证嵌入式设备内嵌认证客户端。如图2和图3所示,认证客户端包括认证客户端硬件和认证客户端软件。且认证客户端的硬件和软件独立嵌入待认证嵌入式设备中。其中,认证客户端硬件包括国密芯片。认证客户端软件包括网络通信模块、加解密模块、mac匹配模块、私钥写入模块和命令行界面。认证客户端软件通过网口与交换机进行连接,并在需要导入私钥时通过串口与pc端连接。
交换机在将挑战报文发送出去之前,可以根据挑战报文发送的目的mac地址对应的公钥对挑战报文进行加密,保证挑战报文的安全传输。即,向待认证嵌入式设备发送挑战报文前,可以使用待认证嵌入式设备的mac地址对应的公钥对挑战报文进行加密。其中,任一mac地址对应的公钥和私钥可以基于加密算法成对生成,可以是sm2算法等,本实施例对加密算法不作限定。其中,sm2算法是一种椭圆曲线公钥密码算法。
在正常情况下,待认证嵌入式设备中需要写入一次私钥。因此,任一待认证嵌入式设备内部可能已经写入私钥,也可能未写入私钥。可以在待认证嵌入式设备接收到交换机发送的加密的挑战报文之前或之后,根据mac地址在待认证嵌入式设备中查找对应的私钥。若查找到私钥,则使用私钥对加密的挑战报文进行解密;若未查找到私钥,则将pc端根据mac地址返回的私钥写入待认证嵌入式设备中。
通过将各mac地址对应的私钥存储在pc端,不仅可以节约待认证嵌入式设备的存储空间,还可以减少因生成私钥所需的运算。此外,待认证嵌入式设备通常不具有便于用户操作的交互设备,如,屏幕、键盘和鼠标等。而本实施例中将待认证嵌入式设备与pc端通过串口连接。通过在pc端进行操作,可以实现对待认证嵌入式设备的控制。此外,pc端设置有日志导出功能,用于将待认证嵌入式设备内的日志导出为文本文件,便于对待认证嵌入式设备进行维护。
步骤102,将解密后的所述挑战报文发送给所述交换机,以供所述交换机根据解密后的所述挑战报文对所述待认证嵌入式设备进行准入认证。
具体地,待认证嵌入式设备与网络进行通信时,需要先与交换机进行准入认证。其中,交换机中内嵌准入认证模块。当交换机接收到待认证嵌入式设备发送的解密的挑战报文时,可以采用准入认证模块对解密的挑战报文进行认证。若准入认证模块认证成功,则表明待认证嵌入式设备通过认证。待认证嵌入式设备通过认证,则交换机开启待认证嵌入式设备与网络的连接通路,待认证嵌入式设备可正常与网络进行通信。通过这种准入认证的方式,可以实现交换机与待认证嵌入式设备的一对一准入认证,提高嵌入式设备与网络通信的安全性。
本实施例根据待认证嵌入式设备的mac地址,可以快速获取到mac地址对应的私钥,根据私钥对交换机发送的加密的挑战报文进行解密,并将解密后的挑战报文反馈给交换机,一方面可以提高对待认证嵌入式设备的安全准入认证;另一方面,根据mac地址可以自动获取pc端返回的私钥,不仅可以节约存储空间,还可以减少因生成私钥所需的运算,提高准入认证的效率。
在上述实施例的基础上,本实施例中所述使用所述待认证嵌入式设备的mac地址对应的私钥对所述加密的挑战报文进行解密,包括若所述私钥在所述待认证嵌入式设备的解密芯片中不存在,则向所述pc端发送所述mac地址;接收所述pc端根据所述mac地址返回的所述私钥,并将所述私钥写入所述解密芯片中;使用所述解密芯片中的私钥对所述加密的挑战报文进行解密。
其中,解密芯片为嵌入有加解密算法的国密芯片。解密芯片不仅可以实现解密功能,还可以对私钥进行存储。认证客户端软件可以通过spi(serialperipheralinterface,串行外围设备接口)驱动与解密芯片进行通信。因此,认证客户端软件可以将私钥写入解密芯片中,也可以将加密的挑战报文发送到解密芯片中进行解密。解密芯片中可能存储有mac地址对应的私钥,也可能为空。
对加密的挑战报文进行解密之前,待认证嵌入式设备的私钥写入模块根据mac地址,判断解密芯片中是否存在mac地址对应的私钥。若不存在,则私钥写入模块通过串口驱动向pc端的私钥写入模块发送mac地址和索要私钥的请求。pc端的私钥写入模块根据mac地址获取到私钥,并通过串口将私钥返回待认证嵌入式设备的私钥写入模块。待认证嵌入式设备的私钥写入模块可以通过spi驱动将私钥写入解密芯片中。
通过这种方式,可以实现对待认证嵌入式设备进行一对一的私钥写入和存储。对待认证嵌入式设备进行出厂设置或私钥更新时,也可以通过这种方式将私钥写入解密芯片中。其中,私钥更新时,需要将嵌入式设备内的配置文件中私钥的状态标记归零,然后将pc端返回的私钥写入解密芯片中。
在上述实施例的基础上,本实施例中所述私钥通过从所述pc端上的私钥文件中查找获取;其中,所述私钥文件中预先存储有所述mac地址与所述私钥之间的关联关系。
如图4所示,当pc端的私钥写入模块接收到任一待认证嵌入式设备发送的mac地址和索要私钥的请求时,pc端的mac匹配模块遍历私钥文件中的私钥,判断该mac地址对应的私钥是否存在。若不存在,则在pc端提示该mac地址对应的私钥不存在;若存在,则获取该mac地址对应的私钥,并将私钥返回待认证嵌入式设备。
其中,pc端的私钥文件构建的步骤包括:根据mac匹配模块获取每个嵌入式设备的mac地址;然后基于加密算法生成mac地址对应的私钥,将每个嵌入式设备的mac地址对应的私钥以一定的规则存储在文件中,构建私钥文件。私钥文件可以对不同批次的待认证嵌入式设备的mac地址对应的私钥进行管理。
在上述实施例的基础上,本实施例中所述待认证嵌入式设备接收交换机发送的加密的挑战报文,使用所述待认证嵌入式设备的mac地址对应的私钥对所述加密的挑战报文进行解密,包括:对所述交换机进行监听,获取所述交换机发送的加密的挑战报文;将所述加密的挑战报文通过所述解密芯片的spi驱动发送至所述解密芯片;根据所述解密芯片中的私钥对所述解密芯片中加密的挑战报文进行解密。
具体地,待认证嵌入式设备的网络通信模块可以通过持续监听的方式,并根据网络通信的三元组实时获取交换机发送的加密的挑战报文。其中,网络通信的三元组包括源mac地址、目的mac地址和协议类型。如图3所示,当网络通信模块通过网口接收到交换机发送的加密的挑战报文时,可以将加密的挑战报文传输到加解密模块。加解密模块通过spi驱动将加密的挑战报文传输到解密芯片中,可以根据解密芯片内部存储的私钥对加密的挑战报文进行解密,以保证挑战报文传输的安全性。
在上述实施例的基础上,本实施例中所述使用所述待认证嵌入式设备的mac地址对应的私钥对所述加密的挑战报文进行解密,包括:验证所述加密的挑战报文发送的目标mac地址是否为所述待认证嵌入式设备的mac地址;若是,则对所述加密的挑战报文进行载荷校验;若所述加密的挑战报文通过载荷校验,则使用所述私钥对所述加密的挑战报文进行解密。
具体地,为了确保待认证嵌入式设备获取到有效的加密的挑战报文,可以对加密的挑战报文进行校验。如图5所示,先对加密的挑战报文发送的目标mac地址进行验证,判断目标mac地址和待认证嵌入式设备的mac地址是否一致。若mac地址不一致,则丢弃该加密的挑战报文;若mac地址一致,则对加密的挑战报文进行载荷校验。若载荷校验未通过,则将校验结果显示在pc端,并丢弃该加密的挑战报文;若载荷检验通过,则使用加密芯片中的私钥对加密的挑战报文进行解密。
下面对本发明提供的嵌入式设备准入认证系统进行描述,下文描述的嵌入式设备准入认证系统与上文描述的嵌入式设备准入认证方法可相互对应参照。
如图6所示,本实施例提供的一种嵌入式设备准入认证系统,包括解密模块601和发送模块602,其中:
解密模块601用于待认证嵌入式设备接收交换机发送的加密的挑战报文,使用所述待认证嵌入式设备的mac地址对应的私钥对所述加密的挑战报文进行解密;其中,所述私钥由pc端根据所述mac地址返回;
其中,待认证嵌入式设备可以是打印机或摄像头等,本实施例不限于待认证嵌入式设备的类型。其中,待认证嵌入式设备内嵌认证客户端。如图2所示,认证客户端包括认证客户端硬件和认证客户端软件。其中认证客户端硬件包括解密芯片。认证客户端软件通过网口与交换机进行连接,并在需要导入私钥时通过串口与pc端连接。
交换机在将挑战报文发送出去之前,可以根据挑战报文发送的目的mac地址对应的公钥对挑战报文进行加密,保证挑战报文的安全传输。即,向待认证嵌入式设备发送挑战报文前,可以使用待认证嵌入式设备的mac地址对应的公钥对挑战报文进行加密。其中,任一mac地址对应的公钥和私钥可以基于加密算法成对生成,可以是sm2算法等,本实施例对加密算法不作限定。
在正常情况下,待认证嵌入式设备中需要写入一次私钥。因此,任一待认证嵌入式设备内部可能已经写入私钥,也可能未写入私钥。可以在待认证嵌入式设备接收到交换机发送的加密的挑战报文之前或之后,根据mac地址在待认证嵌入式设备中查找对应的私钥。若查找到私钥,则使用私钥对加密的挑战报文进行解密;若未查找到私钥,则将pc端根据mac地址返回的私钥写入待认证嵌入式设备中。
通过将各mac地址对应的私钥存储在pc端,不仅可以节约待认证嵌入式设备的存储空间,还可以减少因生成私钥所需的运算。此外,待认证嵌入式设备通常不具有便于用户操作的交互设备。而本实施例中将待认证嵌入式设备与pc端通过串口连接。通过在pc端进行操作,可以实现对待认证嵌入式设备的控制。此外,pc端设置有日志导出功能,用于将待认证嵌入式设备内的日志导出为文本文件,便于对待认证嵌入式设备进行维护。
发送模块602用于将解密后的所述挑战报文发送给所述交换机,以供所述交换机根据解密后的所述挑战报文对所述待认证嵌入式设备进行准入认证。
具体地,待认证嵌入式设备与网络进行通信时,需要先与交换机进行准入认证。其中,交换机中内嵌准入认证模块。当交换机接收到待认证嵌入式设备发送的解密的挑战报文时,可以采用准入认证模块对解密的挑战报文进行认证。若准入认证模块认证成功,则表明待认证嵌入式设备通过认证。待认证嵌入式设备通过认证,则交换机开启待认证嵌入式设备与网络的连接通路,待认证嵌入式设备可正常与网络进行通信。通过这种准入认证的方式,可以实现交换机与待认证嵌入式设备的一对一准入认证,提高嵌入式设备与网络通信的安全性。
本实施例根据待认证嵌入式设备的mac地址,可以快速获取到mac地址对应的私钥,根据私钥对交换机发送的加密的挑战报文进行解密,并将解密后的挑战报文反馈给交换机,一方面可以提高对待认证嵌入式设备的安全准入认证;另一方面,根据mac地址可以自动获取pc端返回的私钥,不仅可以节约存储空间,还可以减少因生成私钥所需的运算,提高准入认证的效率。
在上述实施例的基础上,本实施例中解密模块具体用于:若所述私钥在所述待认证嵌入式设备的解密芯片中不存在,则向所述pc端发送所述mac地址;接收所述pc端根据所述mac地址返回的所述私钥,并将所述私钥写入所述解密芯片中;使用所述解密芯片中的私钥对所述加密的挑战报文进行解密。
在上述实施例的基础上,本实施例中所述私钥通过从所述pc端上的私钥文件中查找获取;其中,所述私钥文件中预先存储有所述mac地址与所述私钥之间的关联关系。
在上述实施例的基础上,本实施例中解密模块,还用于对所述交换机进行监听,获取所述交换机发送的加密的挑战报文;将所述加密的挑战报文通过所述解密芯片的spi驱动发送至所述解密芯片;根据所述解密芯片中的私钥对所述解密芯片中加密的挑战报文进行解密。
在上述实施例的基础上,本实施例中还包括验证模块具体用于:验证所述加密的挑战报文发送的目标mac地址是否为所述待认证嵌入式设备的mac地址;若是,则对所述加密的挑战报文进行载荷校验;若所述加密的挑战报文通过载荷校验,则使用所述私钥对所述加密的挑战报文进行解密。
图7示例了一种电子设备的实体结构示意图,如图7所示,该电子设备可以包括:处理器(processor)701、通信接口(communicationsinterface)702、存储器(memory)703和通信总线704,其中,处理器701,通信接口702,存储器703通过通信总线704完成相互间的通信。处理器701可以调用存储器703中的逻辑指令,以执行嵌入式设备准入认证方法,该方法包括:待认证嵌入式设备接收交换机发送的加密的挑战报文,使用所述待认证嵌入式设备的mac地址对应的私钥对所述加密的挑战报文进行解密;其中,所述私钥由pc端根据所述mac地址返回;将解密后的所述挑战报文发送给所述交换机,以供所述交换机根据解密后的所述挑战报文对所述待认证嵌入式设备进行准入认证。
此外,上述的存储器703中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:u盘、移动硬盘、只读存储器(rom,read-onlymemory)、随机存取存储器(ram,randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法所提供的嵌入式设备准入认证方法,该方法包括:待认证嵌入式设备接收交换机发送的加密的挑战报文,使用所述待认证嵌入式设备的mac地址对应的私钥对所述加密的挑战报文进行解密;其中,所述私钥由pc端根据所述mac地址返回;将解密后的所述挑战报文发送给所述交换机,以供所述交换机根据解密后的所述挑战报文对所述待认证嵌入式设备进行准入认证。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各提供的嵌入式设备准入认证方法,该方法包括:待认证嵌入式设备接收交换机发送的加密的挑战报文,使用所述待认证嵌入式设备的mac地址对应的私钥对所述加密的挑战报文进行解密;其中,所述私钥由pc端根据所述mac地址返回;将解密后的所述挑战报文发送给所述交换机,以供所述交换机根据解密后的所述挑战报文对所述待认证嵌入式设备进行准入认证。
以上所描述的系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如rom/ram、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
1.一种嵌入式设备准入认证方法,其特征在于,包括:
待认证嵌入式设备接收交换机发送的加密的挑战报文,使用所述待认证嵌入式设备的mac地址对应的私钥对所述加密的挑战报文进行解密;其中,所述私钥由pc端根据所述mac地址返回;
将解密后的所述挑战报文发送给所述交换机,以供所述交换机根据解密后的所述挑战报文对所述待认证嵌入式设备进行准入认证。
2.根据权利要求1所述的嵌入式设备准入认证方法,其特征在于,所述使用所述待认证嵌入式设备的mac地址对应的私钥对所述加密的挑战报文进行解密,包括:
若所述私钥在所述待认证嵌入式设备的解密芯片中不存在,则向所述pc端发送所述mac地址;
接收所述pc端根据所述mac地址返回的所述私钥,并将所述私钥写入所述解密芯片中;
使用所述解密芯片中的私钥对所述加密的挑战报文进行解密。
3.根据权利要求2所述的嵌入式设备准入认证方法,其特征在于,所述私钥通过从所述pc端上的私钥文件中查找获取;其中,所述私钥文件中预先存储有所述mac地址与所述私钥之间的关联关系。
4.根据权利要求2所述的嵌入式设备准入认证方法,其特征在于,所述待认证嵌入式设备接收交换机发送的加密的挑战报文,使用所述待认证嵌入式设备的mac地址对应的私钥对所述加密的挑战报文进行解密,包括:
对所述交换机进行监听,获取所述交换机发送的加密的挑战报文;
将所述加密的挑战报文通过所述解密芯片的spi驱动发送至所述解密芯片;
根据所述解密芯片中的私钥对所述解密芯片中加密的挑战报文进行解密。
5.根据权利要求1-4任一所述的嵌入式设备准入认证方法,其特征在于,所述使用所述待认证嵌入式设备的mac地址对应的私钥对所述加密的挑战报文进行解密,包括:
验证所述加密的挑战报文发送的目标mac地址是否为所述待认证嵌入式设备的mac地址;
若是,则对所述加密的挑战报文进行载荷校验;
若所述加密的挑战报文通过载荷校验,则使用所述私钥对所述加密的挑战报文进行解密。
6.一种嵌入式设备准入认证系统,其特征在于,包括:
解密模块,用于待认证嵌入式设备接收交换机发送的加密的挑战报文,使用所述待认证嵌入式设备的mac地址对应的私钥对所述加密的挑战报文进行解密;其中,所述私钥由pc端根据所述mac地址返回;
发送模块,用于将解密后的所述挑战报文发送给所述交换机,以供所述交换机根据解密后的所述挑战报文对所述待认证嵌入式设备进行准入认证。
7.根据权利要求6所述的嵌入式设备准入认证系统,其特征在于,所述解密模块具体为:
若所述私钥在所述待认证嵌入式设备的解密芯片中不存在,则向所述pc端发送所述mac地址;
接收所述pc端根据所述mac地址返回的所述私钥,并将所述私钥写入所述解密芯片中;
使用所述解密芯片中的私钥对所述加密的挑战报文进行解密。
8.根据权利要求7所述的嵌入式设备准入认证系统,其特征在于,所述私钥通过从所述pc端上的私钥文件中查找获取;其中,所述私钥文件中预先存储有所述mac地址与所述私钥之间的关联关系。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至5任一项所述嵌入式设备准入认证方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述嵌入式设备准入认证方法的步骤。
技术总结