一.服务目的
对诊断服务的访问进行限制,只有通过安全认证之后才可进行诊断。
二.服务支持的两类安全概念,如下图:
1.概念#1基于使用非对称加密的PKI证书交换过程
大致步骤(单向认证为例):
1.客户端创建一个随机数
2.客户端发送客户端证书
3.服务端验证客户端证书
4.服务端创建一个随机数(如果需要安全通信还需要产生一对临时的公私钥)
5.服务端发送随机数和可能的用于安全通信的公钥
6.客户端使用适当的证书令牌对至少包括服务端随机数,零时公钥等信息进行签名得到得到proof
7.发送proof给服务端
8.服务端使用接收到的客户端的证书中的公钥验证proof是有效的,允许进行访问。
9.此时,服务端会响应认证授权已经成功。如果需要安全通信,用临时公钥派生并使能的session key,发送session key的信息给客户端。
10.客户端从sessionkey的信息中提取session key,并用提取得key验证key 信息。
11.成功后,客户端使能session key。
2.概念2基于随机数,响应的过程,没有PKI证书使用对称或非对称加密
大致步骤(单向认证为例):
1.客户端发起请求随机数for认证命令给服务端;
2.服务端创建随机数,发送随机数算法指示
3.客户端计算proof(根据随机数)(又可分为用对称密码计算和非对称密码计算)
4.客户发送proof给服务端
5.服务端验证proof,ok,允许访问。
6.如果需要建立会话密钥进行以后的安全通信,服务端还需要发送session key的相关信息。不需要到5步,结束。
7.客户端从session key中提取session的信息,并使用session key验证session key的信息。验证通过,使能session key.
3.服务支持的子功能
解除授权(29 00)
单向验证证书(29 01):客户端需要有一个私钥的客户端证书,用于指示自己是合法的用户。服务端需要一个授权证书,下发和签署客户端的证书。
双向验证证书(29 02):在双向身份验证的情况下,客户端需要一个带有其私钥的证书客户端,这允许客户端将自己标识为合法的客户端。此外,服务器还需要一个证书服务器,它的私钥允许服务器将自己标识为一个合法的服务器。根据公钥基础设施(PKI)的信任模型,客户端和服务器可能需要颁发和签署证书客户端和证书服务器的证书颁发机构(CA)的证书。
所有权证明(29 03)
传递证书(29 04)
请求用于认证的随机数(29 05)
校验单向的1422proof(29 06)
校验双向的proof(29 07)
认证配置(29 08)