CN103916851B - 一种安全认证的方法、设备及系统 - Google Patents
一种安全认证的方法、设备及系统 Download PDFInfo
- Publication number
- CN103916851B CN103916851B CN201310003687.XA CN201310003687A CN103916851B CN 103916851 B CN103916851 B CN 103916851B CN 201310003687 A CN201310003687 A CN 201310003687A CN 103916851 B CN103916851 B CN 103916851B
- Authority
- CN
- China
- Prior art keywords
- equipment
- key
- random number
- message
- cryptographic hash
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/04—Protocols specially adapted for terminals or networks with limited capabilities; specially adapted for terminal portability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种安全认证的方法、设备和系统,所述第一设备与所述第二设备通过使用第一映射密钥和第二映射密钥进行安全认证,其中,所述第一映射密钥根据所述第一设备的初始密钥和第一预定算法生成,所述第二映射密钥根据所述第二设备的初始密钥和所述第一预定算法生成。本发明实施例的设备通过使用映射后的初始密钥进行安全认证,可以提高攻击者获取密钥的难度,从而提高无线网络连接的安全。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种安全认证的方法、设备及系统。
背景技术
现有网络安全建立,尤其是无线网络安全建立(WiFiprotected setup,WPS)的主要操作包括:1、建立初始无线网络;2、在该无线网络中增添新的设备。WPS的架构由3个组成部分:应用终端(在WPS中称为enrollee),认证设备(registrar),接入点(AP,AccessPoint);AP是无线局域网的基础设施,即:支持802.11协议的接入点;认证设备是管理网络建立、添加/删除应用终端的设备,认证设备可以和接入点集成在一起,也可以由手机、计算机这样的外部设备来充当。
现有技术中,应用终端和认证设备执行发现过程完成后,认证设备在获得应用终端密钥后与应用终端进行密钥交换协商,例如,终端或认证设备使用个人身份号(personalidentifiernumber,PIN)作为密钥,进行密钥转换后发送给对方进行验证。
本发明的发明人发现,现有技术的密钥协商,直接使用PIN的一半来认证,当攻击者假冒成上述应用终端或认证设备的时候,在获得密钥消息后容易暴力攻击出密钥,假如密钥的位数(十进制)是N,计算量为10^(N/2)次,而不是最大的计算量10^N次,反而降低了计算次数,这影响无线网络连接的安全性或可靠性。
发明内容
本发明实施例提供安全认证的方法、设备及系统,可以提高攻击者获取密钥的难度,将暴力攻击出密钥的计算次数提高,一定程度上又起到了动态的效果,从而提高无线网络连接的安全。
第一方面,提供一种安全认证方法,所述方法包括:第一设备向第二设备发送消息一,所述消息一包含第一密钥信息,使得所述第二设备接收所述消息一后,根据所述第一密钥信息执行动态密钥交换算法生成至少一个加密密钥;
所述第一设备接收所述第二设备回复给所述第一设备的消息二,所述消息二包含第二密钥信息,所述第一设备根据所述第二密钥信息执行动态密钥交换算法生成至少一个加密密钥;
所述第一设备向所述第二设备发送消息三,所述消息三包含第一设备哈希值一和第一设备哈希值二,所述第一设备哈希值一是根据第一设备随机数一和第一映射密钥的第一部分生成,所述第一设备哈希值二是根据第一设备随机数二和所述第一映射密钥的第二部分生成,以使所述第二设备接收所述消息三后确定回复消息四给所述第一设备,所述第一映射密钥根据所述第一设备的初始密钥和第一预定算法生成;
所述第一设备接收所述第二设备发送的所述消息四,所述消息四包含第二设备哈希值一、第二设备哈希值二和加密的第二设备随机数一,所述第二设备哈希值一是根据所述第二设备随机数一和第二映射密钥的第一部分生成,所述第二设备哈希值二是根据第二设备随机数二和所述第二映射密钥的第二部分生成,所述加密的第二设备随机数一是利用所述加密密钥对所述第二设备随机数一加密,所述第二映射密钥根据所述第二设备的初始密钥和所述第一预定算法生成,所述第一设备根据所述第二设备随机数一和所述第一映射密钥对所述第二设备哈希值一进行认证,如果正确,则确定回复消息五给所述第二设备;
所述第一设备向所述第二设备发送消息五,所述消息五包含利用所述加密密钥加密后的所述第一设备随机数一,使得所述第二设备根据所述第一设备随机数一和所述第二映射密钥对所述第一设备哈希值一进行认证,如果正确,则确定回复消息六给所述第一设备;
所述第一设备接收所述消息六,所述消息六包含利用所述加密密钥加密后的所述第二设备随机数二,所述第一设备根据所述第二设备随机数二和所述第一映射密钥对所述第二设备哈希值二进行认证,如果正确,表示所述第一设备对所述第二设备认证成功,则确定回复消息七给所述第二设备;
所述第一设备向所述第二设备发送所述消息七,所述消息七包含利用所述加密密钥加密后的所述第一设备随机数二,使得所述第二设备根据所述第一设备随机数二和所述第二映射密钥对所述第一设备哈希值二进行认证,如果正确,表示所述第二设备对所述第一设备认证成功。
在第一方面的第一种可能的实现方式中,所述动态密钥交换算法至少是DH算法,RSA算法,EIGamal算法的其中之一。
结合第一方面或上述任一可能的实现方式,在第二种可能的实现方式中,所述第一设备根据所述第二设备随机数一和所述第一映射密钥对所述第二设备哈希值一进行认证,包括:所述第一设备根据所述第二设备随机数一和所述第一映射密钥重构出第二设备哈希值三,比对所述第二设备哈希值三与所述消息四中的所述第二设备哈希值一,如果相同,则确定回复消息五给所述第二设备。
结合第一方面或上述任一可能的实现方式,在第三种可能的实现方式中,所述第一设备根据所述第二设备随机数二和所述第一映射密钥对所述第二设备哈希值二进行认证,包括,所述第一设备根据所述第二设备随机数二和所述第一映射密钥重构出第二设备哈希值四,比对所述第二设备哈希值四与所述消息四中的所述第二设备哈希值二,如果相同,则确定回复消息七给所述第二设备。
结合第一方面或上述任一可能的实现方式,在第四种可能的实现方式中,所述第一设备向第二设备发送消息一的步骤之前,还包括:所述第一设备生成并存储映射密钥列表,以使所述第一设备按预定规则在所述映射密钥列表中选择所述第一映射密钥。
结合第一方面或上述任一可能的实现方式,在第五种可能的实现方式中,所述第一设备与所述第二设备互换,使所述第二设备执行所述第一设备的步骤,所述第一设备执行所述第二设备的步骤。
第二方面,提供一种安全认证的系统,所述系统应用于第一设备和第二设备,第一设备向第二设备发送消息一,所述消息一包含第一密钥信息,使得所述第二设备接收所述消息一后,根据所述第一密钥信息执行动态密钥交换算法生成至少一个加密密钥;
所述第一设备接收所述第二设备回复给所述第一设备的消息二,所述消息二包含第二密钥信息,所述第一设备根据所述第二密钥信息执行动态密钥交换算法生成至少一个加密密钥;
所述第一设备向所述第二设备发送消息三,所述消息三包含第一设备哈希值一和第一设备哈希值二,所述第一设备哈希值一是根据第一设备随机数一和第一映射密钥的第一部分生成,所述第一设备哈希值二是根据第一设备随机数二和所述第一映射密钥的第二部分生成,以使所述第二设备接收所述消息三后确定回复消息四给所述第一设备,所述第一映射密钥根据所述第一设备的初始密钥和第一预定算法生成;
所述第一设备接收所述第二设备发送的所述消息四,所述消息四包含第二设备哈希值一、第二设备哈希值二和加密的第二设备随机数一,所述第二设备哈希值一是根据所述第二设备随机数一和第二映射密钥的第一部分生成,所述第二设备哈希值二是根据第二设备随机数二和所述第二映射密钥的第二部分生成,所述加密的第二设备随机数一是利用所述加密密钥对所述第二设备随机数一加密,所述第二映射密钥根据所述第二设备的初始密钥和所述第一预定算法生成,所述第一设备根据所述第二设备随机数一和所述第一映射密钥对所述第二设备哈希值一进行认证,如果正确,则确定回复消息五给所述第二设备;
所述第一设备向所述第二设备发送消息五,所述消息五包含利用所述加密密钥加密后的所述第一设备随机数一,使得所述第二设备根据所述第一设备随机数一和所述第二映射密钥对所述第一设备哈希值一进行认证,如果正确,则确定回复消息六给所述第一设备;
所述第一设备接收所述消息六,所述消息六包含利用所述加密密钥加密后的所述第二设备随机数二,所述第一设备根据所述第二设备随机数二和所述第一映射密钥对所述第二设备哈希值二进行认证,如果正确,表示所述第一设备对所述第二设备认证成功,则确定回复消息七给所述第二设备;
所述第一设备向所述第二设备发送所述消息七,所述消息七包含利用所述加密密钥加密后的所述第一设备随机数二,使得所述第二设备根据所述第一设备随机数二和所述第二映射密钥对所述第一设备哈希值二进行认证,如果正确,表示所述第二设备对所述第一设备认证成功。
在第二方面的第一种可能的实现方式中,所述动态密钥交换算法至少是DH算法,RSA算法,EIGamal算法的其中之一。
结合第二方面或第二方面的上述任一可能的实现方式,在第二种可能的实现方式中,所述第一设备根据所述第二设备随机数一和所述第一映射密钥对所述第二设备哈希值一进行认证,包括:所述第一设备根据所述第二设备随机数一和所述第一映射密钥重构出第二设备哈希值三,比对所述第二设备哈希值三与所述消息四中的所述第二设备哈希值一,如果相同,则确定回复消息五给所述第二设备。
结合第二方面或上述任一可能的实现方式,在第三种可能的实现方式中,所述第一设备根据所述第二设备随机数二和所述第一映射密钥对所述第二设备哈希值二进行认证,包括,所述第一设备根据所述第二设备随机数二和所述第一映射密钥重构出第二设备哈希值四,比对所述第二设备哈希值四与所述消息四中的所述第二设备哈希值二,如果相同,则确定回复消息七给所述第二设备。
结合第二方面或上述任一可能的实现方式,在第四种可能的实现方式中,所述第一设备向第二设备发送消息一的步骤之前,还包括:所述第一设备生成并存储映射密钥列表,以使所述第一设备按预定规则在所述映射密钥列表中选择所述第一映射密钥。
结合第二方面或上述任一可能的实现方式,在第五种可能的实现方式中,所述第一设备与所述第二设备互换,使所述第二设备执行所述第一设备的步骤,所述第一设备执行所述第二设备的步骤。
第三方面,提供一种安全认证的第一设备,用于与第二设备进行安全认证,所述第一设备包括通信模块、认证模块、密钥生成模块和控制模块。
所述通信模块向所述第二设备发送消息一,所述消息一包含第一密钥信息,使得所述第二设备接收所述消息一后,根据所述第一密钥信息执行动态密钥交换算法生成至少一个加密密钥;
所述通信模块接收所述第二设备回复给所述第一设备的消息二,所述消息二包含第二密钥信息,所述密钥生成模块根据所述第二密钥信息执行动态密钥交换算法生成至少一个加密密钥;
所述通信模块向所述第二设备发送消息三,所述消息三包含第一设备哈希值一和第一设备哈希值二,所述第一设备哈希值一是根据第一设备随机数一和第一映射密钥的第一部分生成,所述第一设备哈希值二是根据第一设备随机数二和所述第一映射密钥的第二部分生成,以使所述第二设备接收所述消息三后确定回复消息四给所述第一设备,所述第一映射密钥由所述密钥生成模块根据所述第一设备的初始密钥和第一预定算法生成;
所述通信模块接收所述第二设备发送的所述消息四,所述消息四包含第二设备哈希值一、第二设备哈希值二和加密的第二设备随机数一,所述第二设备哈希值一是根据所述第二设备随机数一和第二映射密钥的第一部分生成,所述第二设备哈希值二是根据第二设备随机数二和所述第二映射密钥的第二部分生成,所述加密的第二设备随机数一是利用所述加密密钥对所述第二设备随机数一加密,所述第二映射密钥根据所述第二设备的初始密钥和所述第一预定算法生成,所述认证模块根据所述第二设备随机数一和所述第一映射密钥对所述第二设备哈希值一进行认证,如果正确,所述控制模块则确定回复消息五给所述第二设备;
所述通信模块向所述第二设备发送消息五,所述消息五包含利用所述加密密钥加密后的所述第一设备随机数一,使得所述第二设备根据所述第一设备随机数一和所述第二映射密钥对所述第一设备哈希值一进行认证,如果正确,则确定回复消息六给所述第一设备;
所述通信模块接收所述消息六,所述消息六包含利用所述加密密钥加密后的所述第二设备随机数二,所述认证模块根据所述第二设备随机数二和所述第一映射密钥对所述第二设备哈希值二进行认证,如果正确,表示所述第一设备对所述第二设备认证成功,所述控制模块则确定回复消息七给所述第二设备;
所述通信模块向所述第二设备发送所述消息七,所述消息七包含利用所述加密密钥加密后的所述第一设备随机数二,使得所述第二设备根据所述第一设备随机数二和所述第二映射密钥对所述第一设备哈希值二进行认证,如果正确,表示所述第二设备对所述第一设备认证成功。
在第三方面的第一种可能的实现方式中,所述动态密钥交换算法至少是DH算法,RSA算法,EIGamal算法的其中之一。
结合第三方面或上述任一可能的实现方式,在第二种可能的实现方式中,所述认证模块根据所述第二设备随机数一和所述第一映射密钥对所述第二设备哈希值一进行认证,包括:所述认证模块根据所述第二设备随机数一和所述第一映射密钥重构出第二设备哈希值三,比对所述第二设备哈希值三与所述消息四中的所述第二设备哈希值一,如果相同,所述控制模块则确定回复消息五给所述第二设备。
结合第三方面或上述任一可能的实现方式,在第三种可能的实现方式中,所述认证模块根据所述第二设备随机数二和所述第一映射密钥对所述第二设备哈希值二进行认证,包括,所述认证模块根据所述第二设备随机数二和所述第一映射密钥重构出第二设备哈希值四,比对所述第二设备哈希值四与所述消息四中的所述第二设备哈希值二,如果相同,所述控制模块则确定回复消息七给所述第二设备。
结合第三方面或上述任一可能的实现方式,在第四种可能的实现方式中,所述通信模块向第二设备发送消息一之前,所述密钥生成模块生成并存储映射密钥列表,以使所述第一设备按预定规则在所述映射密钥列表中选择所述第一映射密钥。
结合第三方面或上述任一可能的实现方式,在第五种可能的实现方式中,所述第一设备与所述第二设备互换,使所述第二设备具有所述通信模块、所述认证模块、所述密钥生成模块和所述控制模块,并具有所述第一设备的功能。
本发明实施例提供的安全认证的方法、设备及系统,通过使用映射后的初始密钥与另一设备进行安全认证,可以提高攻击者获取密钥的难度,从而提高无线网络连接的安全。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的安全认证的应用场景图;
图2是本发明第一实施例提供的安全认证的方法的示意图;
图3是本发明第二实施例提供的安全认证的系统示意图;
图4是本发明第三实施例提供的安全认证的第一设备示意图;
图5是本发明第四实施例提供的安全认证的第一设备示意图。
具体实施方式
本发明实施例提供一种网络通信安全认证的方法,可以提高攻击者获取密钥的难度,从而提高无线网络连接的安全。以下分别进行详细说明。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例的安全认证方法应用于网络300中第一设备与第二设备之间进行通信的认证,图1为本发明实施例提供的安全认证的应用场景图。
该应用为第一设备与第二设备进行安全认证,该第一设备与第二设备可以是具有相同通信功能的设备,例如:该第一设备可以是接入点、路由器、调制解调器,注册器等;该第二设备可以是终端设备,或者集成于具有通信功能的手机、电脑、PAD等电子设备。可以理解的,该第一设备与该第二设备也可以互换,本发明实施例中的该第一设备可以具有该第二设备的功能,该第二设备也可以具有该第一设备的功能。
需要说明的是,本发明实施例中的该第一设备与该第二设备可以直接通信,例如:可以通过近距离无线方式,该近距离无线方式通信可以为近场通信(Near fieldcommunication,简称,NFC)方式通信,还可以为通过无线保真(Wireless Fidelity,简称,WiFi)方式或蓝牙等方式进行通信,该第一设备与该第二设备还可以通过该第一设备或该第二设备所在网络的接入点与另一设备通信,从而进行安全认证。
参阅图2,本发明第一实施例提供的安全认证的方法的示意图。
该安全认证的方法包括:
10、第一设备向第二设备发送消息一,该消息一包含第一密钥信息,使得该第二设备接收该消息一后,根据该第一密钥信息执行动态密钥交换算法生成至少一个加密密钥。
20、该第一设备接收该第二设备回复给该第一设备的消息二,该消息二包含第二密钥信息,该第一设备根据该第二密钥信息执行动态密钥交换算法生成至少一个加密密钥。
其中,步骤10和步骤20中的该动态密钥交换算法至少是DH算法,RSA算法,EIGamal算法的其中之一,DH是Diffie-Hellman algorithm的简写;RSA
是Ron Rivest、Adi Shamirh和LenAdleman的简写;EIGamal算法是EIGamal密钥交换算法;DH密钥交换算法计算可以得出加密密钥:DH key,KDK,AuthKey,KeyWrapKey,EMSK等。
可以理解的,每次该第一设备与该第二设备进行安全认证时,该第一密钥信息和该第二密钥信息可以变化,并且可以共享给该第一设备和该第二设备。
30、该第一设备向该第二设备发送消息三,该消息三包含第一设备哈希值一和第一设备哈希值二,该第一设备哈希值一是根据第一设备随机数一和第一映射密钥的第一部分生成,该第一设备哈希值二是根据第一设备随机数二和该第一映射密钥的第二部分生成,以使该第二设备接收该消息三后确定回复消息四给该第一设备,该第一映射密钥根据该第一设备的初始密钥和第一预定算法生成。
40、该第一设备接收该第二设备发送的该消息四,该消息四包含第二设备哈希值一、第二设备哈希值二和加密的第二设备随机数一,该第二设备哈希值一是根据该第二设备随机数一和第二映射密钥的第一部分生成,该第二设备哈希值二是根据第二设备随机数二和该第二映射密钥的第二部分生成,该加密的第二设备随机数一是利用该加密密钥对该第二设备随机数一加密,该第二映射密钥根据该第二设备的初始密钥和该第一预定算法生成,该第一设备根据该第二设备随机数一和该第一映射密钥对该第二设备哈希值一进行认证,如果正确,则确定回复消息五给该第二设备。
其中,该第一设备根据该第二设备随机数一和该第一映射密钥对该第二设备哈希值一进行认证,包括:该第一设备根据该第二设备随机数一和该第一映射密钥重构出第二设备哈希值三,比对该第二设备哈希值三与该消息四中的该第二设备哈希值一,如果相同,则确定回复消息五给该第二设备。
50、该第一设备向该第二设备发送消息五,该消息五包含利用该加密密钥加密后的该第一设备随机数一,使得该第二设备根据该第一设备随机数一和该第二映射密钥对该第一设备哈希值一进行认证,如果正确,则确定回复消息六给该第一设备。
60、该第一设备接收该消息六,该消息六包含利用该加密密钥加密后的该第二设备随机数二,该第一设备根据该第二设备随机数二和该第一映射密钥对该第二设备哈希值二进行认证,如果正确,表示该第一设备对该第二设备认证成功,则确定回复消息七给该第二设备。
其中,该第一设备根据该第二设备随机数二和该第一映射密钥对该第二设备哈希值二进行认证,包括,该第一设备根据该第二设备随机数二和该第一映射密钥重构出第二设备哈希值四,比对该第二设备哈希值四与该消息四中的该第二设备哈希值二,如果相同,则确定回复消息七给该第二设备。
70、该第一设备向该第二设备发送该消息七,该消息七包含利用该加密密钥加密后的该第一设备随机数二,使得该第二设备根据该第一设备随机数二和该第二映射密钥对该第一设备哈希值二进行认证,如果正确,表示该第二设备对该第一设备认证成功。
可以理解的是,该第一设备向该第二设备发送消息一的步骤之前,还包括:该第一设备生成并存储映射密钥列表,以使该第一设备按预定规则在该映射密钥列表中选择该第一映射密钥。
还可以理解的是,该第一映射密钥的第一部分可以是该第一映射密钥的前一半或前三分之一等,该第一映射密钥的其余部分为该第一映射密钥的第二部分,此处对该第一映射密钥的第一部分和第二部分的大小并不限定。
还可以理解的,该消息一中的第一密钥信息可以为第一设备的公钥或第一设备产生的随机数,或其他设定数值;该消息二包含的第二密钥信息,可以为该第二设备公钥或该第二设备产生的随机数,或其他设定的数值。
本发明另一实施例中,该第一设备与该第二设备可以互换,使该第二设备执行该第一设备的步骤,该第一设备执行该第二设备的步骤。
可以理解的,本发明实施例中的密钥也可以是密码,如:设备的PIN(personlidentifernumber)码。
本发明实施例中,上述该第一映射密钥的生成方法可以为:
该第一设备可以对该第一设备的初始密钥和随机数根据预定算法生成随机值,进一步可以对该随机值进行取模运算得到该第一映射密钥,其中,该第一映射密钥的位数可以与该第一设备的初始密钥的位数相同或不同。
其中,该随机数可以是该第一设备和该第二设备执行密钥交换算法得出的加密密钥,也可以是该第一设备接收该第二设备发送的参数,或者该第一设备执行交换算法得出并发送给该第二设备的参数。该预定算法可以是将该第一设备的初始密钥和随机数相加、相乘、或按照一定规则拆分后相加或相乘等算法。
例如,该第一设备的初始密码是4321,该随机数(假如:DHkey)是1234,相乘后得到的随机值为:4321*1234=5332114;也可以相加后得到的随机值:4321+1234=5555;也可以按一定规则拆分(如:各取一半)后相加得到的随机值:(43+12)+(21+34)=110;也可以按一定规则拆分(如:各取一半)后相乘得到的随机值:(43*12)+(21*34)=924。本实施例中该第一设备的初始密码和该随机数相乘为例计算。
进一步的,可以对该随机值进行取模运算得到第一映射密钥,即,随机值为4321*1234=5332114,模数(10^4-1=9999),第一映射密钥=5332114mod(9999)=2647。
可选的,该第一映射密钥的生成方法还可以为:
该第一设备还可以将该第一设备的初始密钥结合第一随机数根据预定算法生成第一随机值,将该第一设备的初始密钥结合第二随机数根据该预定算法生成第二随机值;
该第一设备可以分别对该第一和第二随机值进行取模运算得到第一值和第二值,该第一值和第二值构成该第一映射密钥,其中,该第一值和第二值的任意一个的位数可以是该第一设备的初始密钥位数的一半,如,该第一设备的初始密钥位数为N,该第一值和第二值的任意一个的位数是N/2。
其中,该第一和第二随机数可以是该第一设备与该第二设备执行密钥交换算法得出的加密密钥,也可以是该第一设备接收该第二设备发送的参数,或者该第一设备执行交换算法得出并发送给该第二设备的参数。该预定算法可以是将该第一设备的初始密钥和随机数相加、相乘、或按照一定规则拆分后相加或相乘等算法。
可以理解的是,该第一预定算法并不限定于本实施例中所列举的算法,可以匹配该第一设备和该第二设备之间的认证难度选择适当的算法,都不脱离本发明实施例的保护范围。
还可以理解的是,该第一设备在步骤10之前,可以预先生成映射密钥列表并存储于该第一设备,该映射密钥列表包括至少一个第一映射密钥,该第一设备可以根据预定规则在该映射密钥列表中选择该第一映射密钥。
其中,该预定规则可以通过该第一设备共享给该第二设备,该预定规则可以是上述的第一预定算法,也可以是其他函数算法,本发明实施例对此并不限定。
该第二映射密钥的生成方法可以为:该第二设备可以对该第二设备的初始密钥和随机数根据预定算法生成随机值,进一步对该随机值进行取模运算得到该第二映射密钥,其中,该第二映射密钥的位数可以与该第二设备的初始密钥的位数相同或不同。
其中,该随机数可以是该第一设备和该第二设备执行密钥交换算法得出的加密密钥,也可以是接收该第一设备执行交换算法得出并发送给该第二设备的参数,或者该第二设备执行交换算法得出并发送给该第一设备的参数。该预定算法可以是将该第二设备的初始密钥和随机数相加、相乘、或按照一定规则拆分后相加或相乘等算法。
可选的,该第二映射密钥的生成方法还可以为:
该第二设备还可以将该第二设备的初始密钥结合第二设备第一随机数根据预定算法生成第二设备第一随机值,将该第二设备的初始密钥结合第二设备第二随机数根据该预定算法生成该第二设备第二随机值。
该第二设备可以分别对该第二设备的第一和第二随机值进行取模运算得到该第二设备第一值和第二值,该第二设备第一值和第二值构成该第二映射密钥,其中,该第二设备第一值和第二值的任意一个的位数可以是该第二设备的初始密钥位数的一半。
其中,该第二设备第一和第二随机数可以是该第一设备和该第二设备执行密钥交换算法得出的加密密钥,也可以是接收该第一设备执行交换算法得出发送的给该第二设备的参数,或者该第二设备执行交换算法得出并发送给该第一设备的参数。该预定算法可以是将该第二设备的初始密钥和随机数相加、相乘、或按照一定规则拆分后相加或相乘等算法。
可以理解的是,该第一映射密钥也可以由该第二设备生成,该第二映射密钥也可以由该第一设备生成,本发明实施例对此不作限定。
还可以理解的是,上述该第一设备和该第二设备相互认证过程,仅为本发明的一个较佳实施例,对上述认证过程中各步骤的执行顺序并不限定,或者可以同步执行,只要通过本发明实施例的认证方法进行设备之间的相互认证,都可以应用于本发明实施例。
本发明实施例中安全认证的方法,该第一设备通过使用映射后的初始密钥与该第二设备进行安全认证,可以提高攻击者获取密钥的难度,从而提高无线网络连接的安全。
图3为本发明第二实施例提供的安全认证的系统示意图。
该系统应用于第一设备和第二设备,用于该第一设备和第二设备间进行安全认证。
10a、该第一设备向该第二设备发送消息一,该消息一包含第一密钥信息,使得该第二设备接收该消息一后,根据该第一密钥信息执行动态密钥交换算法生成至少一个加密密钥。
20a、该第一设备接收该第二设备回复给该第一设备的消息二,该消息二包含第二密钥信息,该第一设备根据该第二密钥信息执行动态密钥交换算法生成至少一个加密密钥。
其中,步骤10a和步骤20a中的该动态密钥交换算法至少是DH算法,RSA算法,EIGamal算法的其中之一,DH是Diffie-Hellman algorithm的简写;RSA
是Ron Rivest、Adi Shamirh和LenAdleman的简写;EIGamal算法是EIGamal密钥交换算法;DH密钥交换算法计算可以得出加密密钥:DH key,KDK,AuthKey,KeyWrapKey,EMSK等。
可以理解的,每次该第一设备与该第二设备进行安全认证时,该第一密钥信息和该第二密钥信息可以变化,并且可以共享给该第一设备和该第二设备。
30a、该第一设备向该第二设备发送消息三,该消息三包含第一设备哈希值一和第一设备哈希值二,该第一设备哈希值一是根据第一设备随机数一和第一映射密钥的第一部分生成,该第一设备哈希值二是根据第一设备随机数二和该第一映射密钥的第二部分生成,以使该第二设备接收该消息三后确定回复消息四给该第一设备,该第一映射密钥根据该第一设备的初始密钥和第一预定算法生成。
40a、该第一设备接收该第二设备发送的该消息四,该消息四包含第二设备哈希值一、第二设备哈希值二和加密的第二设备随机数一,该第二设备哈希值一是根据该第二设备随机数一和第二映射密钥的第一部分生成,该第二设备哈希值二是根据第二设备随机数二和该第二映射密钥的第二部分生成,该加密的第二设备随机数一是利用该加密密钥对该第二设备随机数一加密,该第二映射密钥根据该第二设备的初始密钥和该第一预定算法生成,该第一设备根据该第二设备随机数一和该第一映射密钥对该第二设备哈希值一进行认证,如果正确,则确定回复消息五给该第二设备。
其中,该第一设备根据该第二设备随机数一和该第一映射密钥对该第二设备哈希值一进行认证,包括:该第一设备根据该第二设备随机数一和该第一映射密钥重构出第二设备哈希值三,比对该第二设备哈希值三与该消息四中的该第二设备哈希值一,如果相同,则确定回复消息五给该第二设备。
50a、该第一设备向该第二设备发送消息五,该消息五包含利用该加密密钥加密后的该第一设备随机数一,使得该第二设备根据该第一设备随机数一和该第二映射密钥对该第一设备哈希值一进行认证,如果正确,则确定回复消息六给该第一设备。
60a、该第一设备接收该消息六,该消息六包含利用该加密密钥加密后的该第二设备随机数二,该第一设备根据该第二设备随机数二和该第一映射密钥对该第二设备哈希值二进行认证,如果正确,表示该第一设备对该第二设备认证成功,则确定回复消息七给该第二设备。
其中,该第一设备根据该第二设备随机数二和该第一映射密钥对该第二设备哈希值二进行认证,包括,该第一设备根据该第二设备随机数二和该第一映射密钥重构出第二设备哈希值四,比对该第二设备哈希值四与该消息四中的该第二设备哈希值二,如果相同,则确定回复消息七给该第二设备。
70a、该第一设备向该第二设备发送该消息七,该消息七包含利用该加密密钥加密后的该第一设备随机数二,使得该第二设备根据该第一设备随机数二和该第二映射密钥对该第一设备哈希值二进行认证,如果正确,表示该第二设备对该第一设备认证成功。
可以理解的是,该第一设备向该第二设备发送消息一的步骤之前,还包括:该第一设备生成并存储映射密钥列表,以使该第一设备按预定规则在该映射密钥列表中选择该第一映射密钥。
还可以理解的是,该第一映射密钥的第一部分可以是该第一映射密钥的前一半或前三分之一等,该第一映射密钥的其余部分为该第一映射密钥的第二部分,此处对该第一映射密钥的第一部分和第二部分的大小并不限定。
还可以理解的,该消息一中的第一密钥信息可以为第一设备的公钥或第一设备产生的随机数,或其他设定数值;该消息二包含的第二密钥信息,可以为该第二设备公钥或该第二设备产生的随机数,或其他设定的数值。
本发明另一实施例中,该第一设备与该第二设备可以互换,使该第二设备执行该第一设备的步骤,该第一设备执行该第二设备的步骤。
可以理解的,本发明实施例中的密钥也可以是密码,如:设备的PIN(personlidentifernumber)码。
本发明实施例中,上述该第一映射密钥的生成方法可以为:
该第一设备可以对该第一设备的初始密钥和随机数根据预定算法生成随机值,进一步可以对该随机值进行取模运算得到该第一映射密钥,其中,该第一映射密钥的位数可以与该第一设备的初始密钥的位数相同或不同。
其中,该随机数可以是该第一设备和该第二设备执行密钥交换算法得出的加密密钥,也可以是该第一设备接收该第二设备发送的参数,或者该第一设备执行交换算法得出并发送给该第二设备的参数。该预定算法可以是将该第一设备的初始密钥和随机数相加、相乘、或按照一定规则拆分后相加或相乘等算法。
例如,该第一设备的初始密码是4321,该随机数(假如:DHkey)是1234,相乘后得到的随机值为:4321*1234=5332114;也可以相加后得到的随机值:4321+1234=5555;也可以按一定规则拆分(如:各取一半)后相加得到的随机值:(43+12)+(21+34)=110;也可以按一定规则拆分(如:各取一半)后相乘得到的随机值:(43*12)+(21*34)=924。本实施例中该第一设备的初始密码和该随机数相乘为例计算。
进一步的,可以对该随机值进行取模运算得到第一映射密钥,即,随机值为4321*1234=5332114,模数(10^4-1=9999),第一映射密钥=5332114mod(9999)=2647。
可选的,该第一映射密钥的生成方法还可以为:
该第一设备还可以将该第一设备的初始密钥结合第一随机数根据预定算法生成第一随机值,将该第一设备的初始密钥结合第二随机数根据该预定算法生成第二随机值;
该第一设备可以分别对该第一和第二随机值进行取模运算得到第一值和第二值,该第一值和第二值构成该第一映射密钥,其中,该第一值和第二值的任意一个的位数可以是该第一设备的初始密钥位数的一半,如,该第一设备的初始密钥位数为N,该第一值和第二值的任意一个的位数是N/2。
其中,该第一和第二随机数可以是该第一设备与该第二设备执行密钥交换算法得出的加密密钥,也可以是该第一设备接收该第二设备发送的参数,或者该第一设备执行交换算法得出并发送给该第二设备的参数。该预定算法可以是将该第一设备的初始密钥和随机数相加、相乘、或按照一定规则拆分后相加或相乘等算法。
可以理解的是,该第一预定算法并不限定于本实施例中所列举的算法,可以匹配该第一设备和该第二设备之间的认证难度选择适当的算法,都不脱离本发明实施例的保护范围。
还可以理解的是,该第一设备在步骤10a之前,可以预先生成映射密钥列表并存储于该第一设备,该映射密钥列表包括至少一个第一映射密钥,该第一设备可以根据预定规则在该映射密钥列表中选择该第一映射密钥。
其中,该预定规则可以通过该第一设备共享给该第二设备,该预定规则可以是上述的第一预定算法,也可以是其他函数算法,本发明实施例对此并不限定。
该第二映射密钥的生成方法可以为:该第二设备可以对该第二设备的初始密钥和随机数根据预定算法生成随机值,进一步对该随机值进行取模运算得到该第二映射密钥,其中,该第二映射密钥的位数可以与该第二设备的初始密钥的位数相同或不同。
其中,该随机数可以是该第一设备和该第二设备执行密钥交换算法得出的加密密钥,也可以是接收该第一设备执行交换算法得出并发送给该第二设备的参数,或者该第二设备执行交换算法得出并发送给该第一设备的参数。该预定算法可以是将该第二设备的初始密钥和随机数相加、相乘、或按照一定规则拆分后相加或相乘等算法。
可选的,该第二映射密钥的生成方法还可以为:
该第二设备还可以将该第二设备的初始密钥结合第二设备第一随机数根据预定算法生成第二设备第一随机值,将该第二设备的初始密钥结合第二设备第二随机数根据该预定算法生成该第二设备第二随机值。
该第二设备可以分别对该第二设备的第一和第二随机值进行取模运算得到该第二设备第一值和第二值,该第二设备第一值和第二值构成该第二映射密钥,其中,该第二设备第一值和第二值的任意一个的位数可以是该第二设备的初始密钥位数的一半。
其中,该第二设备第一和第二随机数可以是该第一设备和该第二设备执行密钥交换算法得出的加密密钥,也可以是接收该第一设备执行交换算法得出发送的给该第二设备的参数,或者该第二设备执行交换算法得出并发送给该第一设备的参数。该预定算法可以是将该第二设备的初始密钥和随机数相加、相乘、或按照一定规则拆分后相加或相乘等算法。
可以理解的是,该第一映射密钥也可以由该第二设备生成,该第二映射密钥也可以由该第一设备生成,本发明实施例对此不作限定。
还可以理解的是,上述该第一设备和该第二设备相互认证过程,仅为本发明的一个较佳实施例,对上述认证过程中各步骤的执行顺序并不限定,或者可以同步执行,只要通过本发明实施例的认证方法进行设备之间的相互认证,都可以应用于本发明实施例。
本发明实施例中安全认证的系统,该第一设备通过使用映射后的初始密钥与该第二设备进行安全认证,可以提高攻击者获取密钥的难度,从而提高无线网络连接的安全。
图4为本发明第三实施例提供的安全认证的第一设备100示意图。
该第一设备100,用于与第二设备进行安全认证,该第一设备100包括通信模块10、认证模块20、密钥生成模块30和控制模块40。
该通信模块10向该第二设备发送消息一,该消息一包含第一密钥信息,使得该第二设备接收该消息一后,根据该第一密钥信息执行动态密钥交换算法生成至少一个加密密钥;
该通信模块10接收该第二设备回复给该第一设备100的消息二,该消息二包含第二密钥信息,该密钥生成模块30根据该第二密钥信息执行动态密钥交换算法生成至少一个加密密钥;
该通信模块10向该第二设备发送消息三,该消息三包含第一设备哈希值一和第一设备哈希值二,该第一设备哈希值一是根据第一设备随机数一和第一映射密钥的第一部分生成,该第一设备哈希值二是根据第一设备随机数二和该第一映射密钥的第二部分生成,以使该第二设备接收该消息三后确定回复消息四给该第一设备100,该第一映射密钥由该密钥生成模块30根据该第一设备100的初始密钥和第一预定算法生成;
该通信模块10接收该第二设备发送的该消息四,该消息四包含第二设备哈希值一、第二设备哈希值二和加密的第二设备随机数一,该第二设备哈希值一是根据该第二设备随机数一和第二映射密钥的第一部分生成,该第二设备哈希值二是根据第二设备随机数二和该第二映射密钥的第二部分生成,该加密的第二设备随机数一是利用该加密密钥对该第二设备随机数一加密,该第二映射密钥根据该第二设备的初始密钥和该第一预定算法生成,该认证模块20根据该第二设备随机数一和该第一映射密钥对该第二设备哈希值一进行认证,如果正确,该控制模块40则确定回复消息五给该第二设备;
该通信模块10向该第二设备发送消息五,该消息五包含利用该加密密钥加密后的该第一设备随机数一,使得该第二设备根据该第一设备随机数一和该第二映射密钥对该第一设备哈希值一进行认证,如果正确,则确定回复消息六给该第一设备100;
该通信模块10接收该消息六,该消息六包含利用该加密密钥加密后的该第二设备随机数二,该认证模块20根据该第二设备随机数二和该第一映射密钥对该第二设备哈希值二进行认证,如果正确,表示该第一设备100对该第二设备认证成功,该控制模块40则确定回复消息七给该第二设备;
该通信模块10向该第二设备发送该消息七,该消息七包含利用该加密密钥加密后的该第一设备随机数二,使得该第二设备根据该第一设备随机数二和该第二映射密钥对该第一设备哈希值二进行认证,如果正确,表示该第二设备对该第一设备100认证成功。
其中,该动态密钥交换算法至少是DH算法,RSA算法,EIGamal算法的其中之一,DH是Diffie-Hellman algorithm的简写;RSA是Ron Rivest、Adi Shamirh和LenAdleman的简写;EIGamal算法是EIGamal密钥交换算法;DH密钥交换算法计算可以得出加密密钥:DHkey,KDK,AuthKey,KeyWrapKey,EMSK等。
可以理解的,每次该第一设备与该第二设备进行安全认证时,该第一密钥信息和该第二密钥信息可以变化,并且可以共享给该第一设备和该第二设备。
其中,该认证模块20根据该第二设备随机数一和该第一映射密钥对该第二设备哈希值一进行认证,包括:该认证模块20根据该第二设备随机数一和该第一映射密钥重构出第二设备哈希值三,比对该第二设备哈希值三与该消息四中的该第二设备哈希值一,如果相同,该控制模块40则确定回复消息五给该第二设备;该认证模块20根据该第二设备随机数二和该第一映射密钥对该第二设备哈希值二进行认证,包括,该认证模块20根据该第二设备随机数二和该第一映射密钥重构出第二设备哈希值四,比对该第二设备哈希值四与该消息四中的该第二设备哈希值二,如果相同,该控制模块40则确定回复消息七给该第二设备。
可以理解的,该通信模块10向第二设备发送消息一之前,该密钥生成模块30生成并存储映射密钥列表,以使该第一设备按预定规则在该映射密钥列表中选择该第一映射密钥。
还可以理解的是,该第一映射密钥的第一部分可以是该第一映射密钥的前一半或前三分之一等,该第一映射密钥的其余部分为该第一映射密钥的第二部分,此处对该第一映射密钥的第一部分和第二部分的大小并不限定。
还可以理解的,该消息一中的第一密钥信息可以为第一设备的公钥或第一设备产生的随机数,或其他设定数值;该消息二包含的第二密钥信息,可以为该第二设备公钥或该第二设备产生的随机数,或其他设定的数值。
本发明另一实施例中,该第一设备100可以与该第二设备互换,使该第二设备具有该通信模块、该认证模块、该密钥生成模块和该控制模块,并具有该第一设备100的功能。
可以理解的,本发明实施例中的密钥也可以是密码,如:设备的PIN(personlidentifernumber)码。
本发明实施例中,上述该第一映射密钥的生成方法可以为:
该密钥生成模块30可以对该第一设备的初始密钥和随机数根据预定算法生成随机值,进一步可以对该随机值进行取模运算得到该第一映射密钥,其中,该第一映射密钥的位数可以与该第一设备的初始密钥的位数相同或不同。
其中,该随机数可以是该第一设备和该第二设备执行密钥交换算法得出的加密密钥,也可以是该第一设备接收该第二设备发送的参数,或者该第一设备执行交换算法得出并发送给该第二设备的参数。该预定算法可以是将该第一设备的初始密钥和随机数相加、相乘、或按照一定规则拆分后相加或相乘等算法。
例如,该第一设备的初始密码是4321,该随机数(假如:DHkey)是1234,相乘后得到的随机值为:4321*1234=5332114;也可以相加后得到的随机值:4321+1234=5555;也可以按一定规则拆分(如:各取一半)后相加得到的随机值:(43+12)+(21+34)=110;也可以按一定规则拆分(如:各取一半)后相乘得到的随机值:(43*12)+(21*34)=924。本实施例中该第一设备的初始密码和该随机数相乘为例计算。
进一步的,可以对该随机值进行取模运算得到第一映射密钥,即,随机值为4321*1234=5332114,模数(10^4-1=9999),第一映射密钥=5332114mod(9999)=2647。
可选的,该第一映射密钥的生成方法还可以为:
该密钥生成模块30还可以将该第一设备的初始密钥结合第一随机数根据预定算法生成第一随机值,将该第一设备的初始密钥结合第二随机数根据该预定算法生成第二随机值。
该密钥生成模块30可以分别对该第一和第二随机值进行取模运算得到第一值和第二值,该第一值和第二值构成该第一映射密钥,其中,该第一值和第二值的任意一个的位数可以是该第一设备的初始密钥位数的一半,如,该第一设备的初始密钥位数为N,该第一值和第二值的任意一个的位数是N/2。
其中,该第一和第二随机数可以是该第一设备与该第二设备执行密钥交换算法得出的加密密钥,也可以是该第一设备接收该第二设备发送的参数,或者该第一设备执行交换算法得出并发送给该第二设备的参数。该预定算法可以是将该第一设备的初始密钥和随机数相加、相乘、或按照一定规则拆分后相加或相乘等算法。
可以理解的是,该第一预定算法并不限定于本实施例中所列举的算法,可以匹配该第一设备和该第二设备之间的认证难度选择适当的算法,都不脱离本发明实施例的保护范围。
该第二映射密钥的生成方法可以为:该第二设备可以对该第二设备的初始密钥和随机数根据预定算法生成随机值,进一步对该随机值进行取模运算得到该第二映射密钥,其中,该第二映射密钥的位数可以与该第二设备的初始密钥的位数相同或不同。
其中,该随机数可以是该第一设备和该第二设备执行密钥交换算法得出的加密密钥,也可以是接收该第一设备执行交换算法得出并发送给该第二设备的参数,或者该第二设备执行交换算法得出并发送给该第一设备的参数。该预定算法可以是将该第二设备的初始密钥和随机数相加、相乘、或按照一定规则拆分后相加或相乘等算法。
可选的,该第二映射密钥的生成方法还可以为:
该第二设备还可以将该第二设备的初始密钥结合第二设备第一随机数根据预定算法生成第二设备第一随机值,将该第二设备的初始密钥结合第二设备第二随机数根据该预定算法生成该第二设备第二随机值。
该第二设备可以分别对该第二设备的第一和第二随机值进行取模运算得到该第二设备第一值和第二值,该第二设备第一值和第二值构成该第二映射密钥,其中,该第二设备第一值和第二值的任意一个的位数可以是该第二设备的初始密钥位数的一半。
其中,该第二设备第一和第二随机数可以是该第一设备和该第二设备执行密钥交换算法得出的加密密钥,也可以是接收该第一设备执行交换算法得出发送的给该第二设备的参数,或者该第二设备执行交换算法得出并发送给该第一设备的参数。该预定算法可以是将该第二设备的初始密钥和随机数相加、相乘、或按照一定规则拆分后相加或相乘等算法。
可以理解的是,该第一映射密钥也可以由该第二设备生成,该第二映射密钥也可以由该第一设备生成,本发明实施例对此不作限定。
本发明实施例中安全认证的第一设备,通过使用映射后的初始密钥与该第二设备进行安全认证,可以提高攻击者获取密钥的难度,从而提高无线网络连接的安全。
图5为本发明第四实施例提供的安全认证的第一设备200示意图。
该第一设备200用于与第二设备进行安全认证,该第一设备200包括收发器201和处理器202,该收发器201向该第二设备发送消息一,该消息一包含第一密钥信息,使得该第二设备接收该消息一后,根据该第一密钥信息执行动态密钥交换算法生成至少一个加密密钥;
该收发器201接收该第二设备回复给该第一设备200的消息二,该消息二包含第二密钥信息,该处理器202根据该第二密钥信息执行动态密钥交换算法生成至少一个加密密钥;
该收发器201向该第二设备发送消息三,该消息三包含第一设备哈希值一和第一设备哈希值二,该第一设备哈希值一是根据第一设备随机数一和第一映射密钥的第一部分生成,该第一设备哈希值二是根据第一设备随机数二和该第一映射密钥的第二部分生成,以使该第二设备接收该消息三后确定回复消息四给该第一设备200,该第一映射密钥由该处理器202根据该第一设备200的初始密钥和第一预定算法生成;
该收发器201接收该第二设备发送的该消息四,该消息四包含第二设备哈希值一、第二设备哈希值二和加密的第二设备随机数一,该第二设备哈希值一是根据该第二设备随机数一和第二映射密钥的第一部分生成,该第二设备哈希值二是根据第二设备随机数二和该第二映射密钥的第二部分生成,该加密的第二设备随机数一是利用该加密密钥对该第二设备随机数一加密,该第二映射密钥根据该第二设备的初始密钥和该第一预定算法生成,该处理器202根据该第二设备随机数一和该第一映射密钥对该第二设备哈希值一进行认证,如果正确,则确定回复消息五给该第二设备;
该收发器201向该第二设备发送消息五,该消息五包含利用该加密密钥加密后的该第一设备随机数一,使得该第二设备根据该第一设备随机数一和该第二映射密钥对该第一设备哈希值一进行认证,如果正确,则确定回复消息六给该第一设备200;
该收发器201接收该消息六,该消息六包含利用该加密密钥加密后的该第二设备随机数二,该处理器202根据该第二设备随机数二和该第一映射密钥对该第二设备哈希值二进行认证,如果正确,表示该第一设备200对该第二设备认证成功,该处理器202则确定回复消息七给该第二设备;
该收发器201向该第二设备发送该消息七,该消息七包含利用该加密密钥加密后的该第一设备随机数二,使得该第二设备根据该第一设备随机数二和该第二映射密钥对该第一设备哈希值二进行认证,如果正确,表示该第二设备对该第一设备200认证成功。
其中,该动态密钥交换算法至少是DH算法,RSA算法,EIGamal算法的其中之一,DH是Diffie-Hellman algorithm的简写;RSA是Ron Rivest、Adi Shamirh和LenAdleman的简写;EIGamal算法是EIGamal密钥交换算法;DH密钥交换算法计算可以得出加密密钥:DHkey,KDK,AuthKey,KeyWrapKey,EMSK等。
可以理解的,每次该第一设备与该第二设备进行安全认证时,该第一密钥信息和该第二密钥信息可以变化,并且可以共享给该第一设备和该第二设备。
其中,该处理器202根据该第二设备随机数一和该第一映射密钥对该第二设备哈希值一进行认证,包括:该处理器202根据该第二设备随机数一和该第一映射密钥重构出第二设备哈希值三,比对该第二设备哈希值三与该消息四中的该第二设备哈希值一,如果相同,该处理器202则确定回复消息五给该第二设备;
该处理器202根据该第二设备随机数二和该第一映射密钥对该第二设备哈希值二进行认证,包括,该处理器202根据该第二设备随机数二和该第一映射密钥重构出第二设备哈希值四,比对该第二设备哈希值四与该消息四中的该第二设备哈希值二,如果相同,该处理器202则确定回复消息七给该第二设备。
可以理解的,该第一设备200还包括存储器203,该收发器201向第二设备发送消息一之前,该处理器202生成映射密钥列表,并存储该映射密钥列表到该存储器203,以使该第一设备按预定规则在该映射密钥列表中选择该第一映射密钥。
还可以理解的是,该第一映射密钥的第一部分可以是该第一映射密钥的前一半或前三分之一等,该第一映射密钥的其余部分为该第一映射密钥的第二部分,此处对该第一映射密钥的第一部分和第二部分的大小并不限定。
还可以理解的,该消息一中的第一密钥信息可以为第一设备的公钥或第一设备产生的随机数,或其他设定数值;该消息二包含的第二密钥信息,可以为该第二设备公钥或该第二设备产生的随机数,或其他设定的数值。
本发明另一实施例中,该第一设备200可以与该第二设备互换,使该第二设备具有该收发器201、该处理器202和该存储器203,并具有该第一设备200的功能。
可以理解的,本发明实施例中的密钥也可以是密码,如:设备的PIN(personlidentifernumber)码。
本发明实施例中,上述该第一映射密钥的生成方法可以为:
该处理器202可以对该第一设备的初始密钥和随机数根据预定算法生成随机值,进一步可以对该随机值进行取模运算得到该第一映射密钥,其中,该第一映射密钥的位数可以与该第一设备的初始密钥的位数相同或不同。
其中,该随机数可以是该第一设备和该第二设备执行密钥交换算法得出的加密密钥,也可以是该第一设备接收该第二设备发送的参数,或者该第一设备执行交换算法得出并发送给该第二设备的参数。该预定算法可以是将该第一设备的初始密钥和随机数相加、相乘、或按照一定规则拆分后相加或相乘等算法。
例如,该第一设备的初始密码是4321,该随机数(假如:DHkey)是1234,相乘后得到的随机值为:4321*1234=5332114;也可以相加后得到的随机值:4321+1234=5555;也可以按一定规则拆分(如:各取一半)后相加得到的随机值:(43+12)+(21+34)=110;也可以按一定规则拆分(如:各取一半)后相乘得到的随机值:(43*12)+(21*34)=924。本实施例中该第一设备的初始密码和该随机数相乘为例计算。
进一步的,可以对该随机值进行取模运算得到第一映射密钥,即,随机值为4321*1234=5332114,模数(10^4-1=9999),第一映射密钥=5332114mod(9999)=2647。
可选的,该第一映射密钥的生成方法还可以为:
该处理器202还可以将该第一设备的初始密钥结合第一随机数根据预定算法生成第一随机值,将该第一设备的初始密钥结合第二随机数根据该预定算法生成第二随机值;
该处理器202可以分别对该第一和第二随机值进行取模运算得到第一值和第二值,该第一值和第二值构成该第一映射密钥,其中,该第一值和第二值的任意一个的位数可以是该第一设备的初始密钥位数的一半。
其中,该第一和第二随机数可以是该第一设备与该第二设备执行密钥交换算法得出的加密密钥,也可以是该第一设备接收该第二设备发送的参数,或者该第一设备执行交换算法得出并发送给该第二设备的参数。该预定算法可以是将该第一设备的初始密钥和随机数相加、相乘、或按照一定规则拆分后相加或相乘等算法。
可以理解的是,该第一预定算法并不限定于本实施例中所列举的算法,可以匹配该第一设备和该第二设备之间的认证难度选择适当的算法,都不脱离本发明实施例的保护范围。
该第二映射密钥的生成方法可以为:该第二设备可以对该第二设备的初始密钥和随机数根据预定算法生成随机值,进一步对该随机值进行取模运算得到该第二映射密钥,其中,该第二映射密钥的位数可以与该第二设备的初始密钥的位数相同或不同。
其中,该随机数可以是该第一设备和该第二设备执行密钥交换算法得出的加密密钥,也可以是接收该第一设备执行交换算法得出并发送给该第二设备的参数,或者该第二设备执行交换算法得出并发送给该第一设备的参数。该预定算法可以是将该第二设备的初始密钥和随机数相加、相乘、或按照一定规则拆分后相加或相乘等算法。
可选的,该第二映射密钥的生成方法还可以为:
该第二设备还可以将该第二设备的初始密钥结合第二设备第一随机数根据预定算法生成第二设备第一随机值,将该第二设备的初始密钥结合第二设备第二随机数根据该预定算法生成该第二设备第二随机值。
该第二设备可以分别对该第二设备的第一和第二随机值进行取模运算得到该第二设备第一值和第二值,该第二设备第一值和第二值构成该第二映射密钥,其中,该第二设备第一值和第二值的任意一个的位数可以是该第二设备的初始密钥位数的一半。
其中,该第二设备第一和第二随机数可以是该第一设备和该第二设备执行密钥交换算法得出的加密密钥,也可以是接收该第一设备执行交换算法得出发送的给该第二设备的参数,或者该第二设备执行交换算法得出并发送给该第一设备的参数。该预定算法可以是将该第二设备的初始密钥和随机数相加、相乘、或按照一定规则拆分后相加或相乘等算法。
可以理解的是,该第一映射密钥也可以由该第二设备生成,该第二映射密钥也可以由该第一设备生成,本发明实施例对此不作限定。
本发明实施例中安全认证的第一设备,通过使用映射后的初始密钥与该第二设备进行安全认证,可以提高攻击者获取密钥的难度,从而提高无线网络连接的安全。
本发明实施例中的安全认证的第一设备,通过使用映射后的初始密钥与该第二设备进行安全认证,可以提高攻击者获取密钥的难度,从而提高无线网络连接的安全。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:ROM、RAM、磁盘或光盘等。
以上对本发明实施例所提供的安全认证的方法、设备以及系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上该,本说明书内容不应理解为对本发明的限制。
Claims (57)
1.一种安全认证的方法,所述方法包括:
第一设备向第二设备发送消息一,所述消息一包含第一密钥信息,使得所述第二设备接收所述消息一后,根据所述第一密钥信息执行动态密钥交换算法生成至少一个加密密钥;
所述第一设备接收所述第二设备回复给所述第一设备的消息二,所述消息二包含第二密钥信息,所述第一设备根据所述第二密钥信息执行动态密钥交换算法生成至少一个加密密钥;
所述第一设备向所述第二设备发送消息三,所述消息三包含第一设备哈希值一和第一设备哈希值二,所述第一设备哈希值一是根据第一设备随机数一和第一映射密钥的第一部分生成,所述第一设备哈希值二是根据第一设备随机数二和所述第一映射密钥的第二部分生成,以使所述第二设备接收所述消息三后确定回复消息四给所述第一设备,所述第一映射密钥根据所述第一设备的初始密钥和第一预定算法生成;
所述第一设备接收所述第二设备发送的所述消息四,所述消息四包含第二设备哈希值一、第二设备哈希值二和加密的第二设备随机数一,所述第二设备哈希值一是根据所述第二设备随机数一和第二映射密钥的第一部分生成,所述第二设备哈希值二是根据第二设备随机数二和所述第二映射密钥的第二部分生成,所述加密的第二设备随机数一是利用所述加密密钥对所述第二设备随机数一加密,所述第二映射密钥根据所述第二设备的初始密钥和所述第一预定算法生成,所述第一设备根据所述第二设备随机数一和所述第一映射密钥对所述第二设备哈希值一进行认证,如果正确,则确定回复消息五给所述第二设备;
所述第一设备向所述第二设备发送消息五,所述消息五包含利用所述加密密钥加密后的所述第一设备随机数一,使得所述第二设备根据所述第一设备随机数一和所述第二映射密钥对所述第一设备哈希值一进行认证,如果正确,则确定回复消息六给所述第一设备;
所述第一设备接收所述消息六,所述消息六包含利用所述加密密钥加密后的所述第二设备随机数二,所述第一设备根据所述第二设备随机数二和所述第一映射密钥对所述第二设备哈希值二进行认证,如果正确,表示所述第一设备对所述第二设备认证成功,则确定回复消息七给所述第二设备;
所述第一设备向所述第二设备发送所述消息七,所述消息七包含利用所述加密密钥加密后的所述第一设备随机数二,使得所述第二设备根据所述第一设备随机数二和所述第二映射密钥对所述第一设备哈希值二进行认证,如果正确,表示所述第二设备对所述第一设备认证成功。
2.根据权利要求1所述的方法,其特征在于,所述动态密钥交换算法至少是DH算法,RSA算法,EIGamal算法的其中之一。
3.根据权利要求1所述的方法,其特征在于,所述第一设备根据所述第二设备随机数一和所述第一映射密钥对所述第二设备哈希值一进行认证,包括:所述第一设备根据所述第二设备随机数一和所述第一映射密钥重构出第二设备哈希值三,比对所述第二设备哈希值三与所述消息四中的所述第二设备哈希值一,如果相同,则确定回复消息五给所述第二设备。
4.根据权利要求2所述的方法,其特征在于,所述第一设备根据所述第二设备随机数一和所述第一映射密钥对所述第二设备哈希值一进行认证,包括:所述第一设备根据所述第二设备随机数一和所述第一映射密钥重构出第二设备哈希值三,比对所述第二设备哈希值三与所述消息四中的所述第二设备哈希值一,如果相同,则确定回复消息五给所述第二设备。
5.根据权利要求1-4任一所述的方法,其特征在于,所述第一设备根据所述第二设备随机数二和所述第一映射密钥对所述第二设备哈希值二进行认证,包括,所述第一设备根据所述第二设备随机数二和所述第一映射密钥重构出第二设备哈希值四,比对所述第二设备哈希值四与所述消息四中的所述第二设备哈希值二,如果相同,则确定回复消息七给所述第二设备。
6.根据权利要求1-4任一所述的方法,其特征在于,所述第一设备向第二设备发送消息一的步骤之前,还包括:所述第一设备生成并存储映射密钥列表,以使所述第一设备按预定规则在所述映射密钥列表中选择所述第一映射密钥。
7.根据权利要求5所述的方法,其特征在于,所述第一设备向第二设备发送消息一的步骤之前,还包括:所述第一设备生成并存储映射密钥列表,以使所述第一设备按预定规则在所述映射密钥列表中选择所述第一映射密钥。
8.根据权利要求1-4任一所述的方法,其特征在于,所述第一设备与所述第二设备互换,使所述第二设备执行所述第一设备的步骤,所述第一设备执行所述第二设备的步骤。
9.根据权利要求5所述的方法,其特征在于,所述第一设备与所述第二设备互换,使所述第二设备执行所述第一设备的步骤,所述第一设备执行所述第二设备的步骤。
10.根据权利要求6所述的方法,其特征在于,所述第一设备与所述第二设备互换,使所述第二设备执行所述第一设备的步骤,所述第一设备执行所述第二设备的步骤。
11.根据权利要求7所述的方法,其特征在于,所述第一设备与所述第二设备互换,使所述第二设备执行所述第一设备的步骤,所述第一设备执行所述第二设备的步骤。
12.根据权利要求1-4任一所述的方法,其特征在于,所述第一密钥信息为所述第一设备的公钥,或所述第一设备产生的随机数;所述第二密钥信息为所述第二设备的公钥,或所述第二设备产生的随机数。
13.根据权利要求5所述的方法,其特征在于,所述第一密钥信息为所述第一设备的公钥,或所述第一设备产生的随机数;所述第二密钥信息为所述第二设备的公钥,或所述第二设备产生的随机数。
14.根据权利要求6所述的方法,其特征在于,所述第一密钥信息为所述第一设备的公钥,或所述第一设备产生的随机数;所述第二密钥信息为所述第二设备的公钥,或所述第二设备产生的随机数。
15.根据权利要求7所述的方法,其特征在于,所述第一密钥信息为所述第一设备的公钥,或所述第一设备产生的随机数;所述第二密钥信息为所述第二设备的公钥,或所述第二设备产生的随机数。
16.根据权利要求8所述的方法,其特征在于,所述第一密钥信息为所述第一设备的公钥,或所述第一设备产生的随机数;所述第二密钥信息为所述第二设备的公钥,或所述第二设备产生的随机数。
17.根据权利要求9所述的方法,其特征在于,所述第一密钥信息为所述第一设备的公钥,或所述第一设备产生的随机数;所述第二密钥信息为所述第二设备的公钥,或所述第二设备产生的随机数。
18.根据权利要求10所述的方法,其特征在于,所述第一密钥信息为所述第一设备的公钥,或所述第一设备产生的随机数;所述第二密钥信息为所述第二设备的公钥,或所述第二设备产生的随机数。
19.根据权利要求11所述的方法,其特征在于,所述第一密钥信息为所述第一设备的公钥,或所述第一设备产生的随机数;所述第二密钥信息为所述第二设备的公钥,或所述第二设备产生的随机数。
20.一种安全认证的系统,所述系统应用于第一设备和第二设备,第一设备向第二设备发送消息一,所述消息一包含第一密钥信息,使得所述第二设备接收所述消息一后,根据所述第一密钥信息执行动态密钥交换算法生成至少一个加密密钥;
所述第一设备接收所述第二设备回复给所述第一设备的消息二,所述消息二包含第二密钥信息,所述第一设备根据所述第二密钥信息执行动态密钥交换算法生成至少一个加密密钥;
所述第一设备向所述第二设备发送消息三,所述消息三包含第一设备哈希值一和第一设备哈希值二,所述第一设备哈希值一是根据第一设备随机数一和第一映射密钥的第一部分生成,所述第一设备哈希值二是根据第一设备随机数二和所述第一映射密钥的第二部分生成,以使所述第二设备接收所述消息三后确定回复消息四给所述第一设备,所述第一映射密钥根据所述第一设备的初始密钥和第一预定算法生成;
所述第一设备接收所述第二设备发送的所述消息四,所述消息四包含第二设备哈希值一、第二设备哈希值二和加密的第二设备随机数一,所述第二设备哈希值一是根据所述第二设备随机数一和第二映射密钥的第一部分生成,所述第二设备哈希值二是根据第二设备随机数二和所述第二映射密钥的第二部分生成,所述加密的第二设备随机数一是利用所述加密密钥对所述第二设备随机数一加密,所述第二映射密钥根据所述第二设备的初始密钥和所述第一预定算法生成,所述第一设备根据所述第二设备随机数一和所述第一映射密钥对所述第二设备哈希值一进行认证,如果正确,则确定回复消息五给所述第二设备;
所述第一设备向所述第二设备发送消息五,所述消息五包含利用所述加密密钥加密后的所述第一设备随机数一,使得所述第二设备根据所述第一设备随机数一和所述第二映射密钥对所述第一设备哈希值一进行认证,如果正确,则确定回复消息六给所述第一设备;
所述第一设备接收所述消息六,所述消息六包含利用所述加密密钥加密后的所述第二设备随机数二,所述第一设备根据所述第二设备随机数二和所述第一映射密钥对所述第二设备哈希值二进行认证,如果正确,表示所述第一设备对所述第二设备认证成功,则确定回复消息七给所述第二设备;
所述第一设备向所述第二设备发送所述消息七,所述消息七包含利用所述加密密钥加密后的所述第一设备随机数二,使得所述第二设备根据所述第一设备随机数二和所述第二映射密钥对所述第一设备哈希值二进行认证,如果正确,表示所述第二设备对所述第一设备认证成功。
21.根据权利要求20所述的系统,其特征在于,所述动态密钥交换算法至少是DH算法,RSA算法,EIGamal算法的其中之一。
22.根据权利要求20所述的系统,其特征在于,所述第一设备根据所述第二设备随机数一和所述第一映射密钥对所述第二设备哈希值一进行认证,包括:所述第一设备根据所述第二设备随机数一和所述第一映射密钥重构出第二设备哈希值三,比对所述第二设备哈希值三与所述消息四中的所述第二设备哈希值一,如果相同,则确定回复消息五给所述第二设备。
23.根据权利要求21所述的系统,其特征在于,所述第一设备根据所述第二设备随机数一和所述第一映射密钥对所述第二设备哈希值一进行认证,包括:所述第一设备根据所述第二设备随机数一和所述第一映射密钥重构出第二设备哈希值三,比对所述第二设备哈希值三与所述消息四中的所述第二设备哈希值一,如果相同,则确定回复消息五给所述第二设备。
24.根据权利要求20-23任一所述的系统,其特征在于,所述第一设备根据所述第二设备随机数二和所述第一映射密钥对所述第二设备哈希值二进行认证,包括,所述第一设备根据所述第二设备随机数二和所述第一映射密钥重构出第二设备哈希值四,比对所述第二设备哈希值四与所述消息四中的所述第二设备哈希值二,如果相同,则确定回复消息七给所述第二设备。
25.根据权利要求20-23任一所述的系统,其特征在于,所述第一设备向第二设备发送消息一的步骤之前,还包括:所述第一设备生成并存储映射密钥列表,以使所述第一设备按预定规则在所述映射密钥列表中选择所述第一映射密钥。
26.根据权利要求24所述的系统,其特征在于,所述第一设备向第二设备发送消息一的步骤之前,还包括:所述第一设备生成并存储映射密钥列表,以使所述第一设备按预定规则在所述映射密钥列表中选择所述第一映射密钥。
27.根据权利要求20-23任一所述的系统,其特征在于,所述第一设备与所述第二设备互换,使所述第二设备执行所述第一设备的步骤。
28.根据权利要求25所述的系统,其特征在于,所述第一设备与所述第二设备互换,使所述第二设备执行所述第一设备的步骤。
29.根据权利要求26所述的系统,其特征在于,所述第一设备与所述第二设备互换,使所述第二设备执行所述第一设备的步骤。
30.根据权利要求20-23任一所述的系统,其特征在于,所述第一密钥信息为所述第一设备的公钥,或所述第一设备产生的随机数;所述第二密钥信息为所述第二设备的公钥,或所述第二设备产生的随机数。
31.根据权利要求24所述的系统,其特征在于,所述第一密钥信息为所述第一设备的公钥,或所述第一设备产生的随机数;所述第二密钥信息为所述第二设备的公钥,或所述第二设备产生的随机数。
32.根据权利要求25所述的系统,其特征在于,所述第一密钥信息为所述第一设备的公钥,或所述第一设备产生的随机数;所述第二密钥信息为所述第二设备的公钥,或所述第二设备产生的随机数。
33.根据权利要求26所述的系统,其特征在于,所述第一密钥信息为所述第一设备的公钥,或所述第一设备产生的随机数;所述第二密钥信息为所述第二设备的公钥,或所述第二设备产生的随机数。
34.根据权利要求27所述的系统,其特征在于,所述第一密钥信息为所述第一设备的公钥,或所述第一设备产生的随机数;所述第二密钥信息为所述第二设备的公钥,或所述第二设备产生的随机数。
35.根据权利要求28所述的系统,其特征在于,所述第一密钥信息为所述第一设备的公钥,或所述第一设备产生的随机数;所述第二密钥信息为所述第二设备的公钥,或所述第二设备产生的随机数。
36.根据权利要求29所述的系统,其特征在于,所述第一密钥信息为所述第一设备的公钥,或所述第一设备产生的随机数;所述第二密钥信息为所述第二设备的公钥,或所述第二设备产生的随机数。
37.根据权利要求24所述的系统,其特征在于,所述第一设备与所述第二设备互换,使所述第二设备执行所述第一设备的步骤。
38.根据权利要求37所述的系统,其特征在于,所述第一密钥信息为所述第一设备的公钥,或所述第一设备产生的随机数;所述第二密钥信息为所述第二设备的公钥,或所述第二设备产生的随机数。
39.一种安全认证的第一设备,用于与第二设备进行安全认证,所述第一设备包括通信模块、认证模块、密钥生成模块和控制模块,
所述通信模块向所述第二设备发送消息一,所述消息一包含第一密钥信息,使得所述第二设备接收所述消息一后,根据所述第一密钥信息执行动态密钥交换算法生成至少一个加密密钥;
所述通信模块接收所述第二设备回复给所述第一设备的消息二,所述消息二包含第二密钥信息,所述密钥生成模块根据所述第二密钥信息执行动态密钥交换算法生成至少一个加密密钥;
所述通信模块向所述第二设备发送消息三,所述消息三包含第一设备哈希值一和第一设备哈希值二,所述第一设备哈希值一是根据第一设备随机数一和第一映射密钥的第一部分生成,所述第一设备哈希值二是根据第一设备随机数二和所述第一映射密钥的第二部分生成,以使所述第二设备接收所述消息三后确定回复消息四给所述第一设备,所述第一映射密钥由所述密钥生成模块根据所述第一设备的初始密钥和第一预定算法生成;
所述通信模块接收所述第二设备发送的所述消息四,所述消息四包含第二设备哈希值一、第二设备哈希值二和加密的第二设备随机数一,所述第二设备哈希值一是根据所述第二设备随机数一和第二映射密钥的第一部分生成,所述第二设备哈希值二是根据第二设备随机数二和所述第二映射密钥的第二部分生成,所述加密的第二设备随机数一是利用所述加密密钥对所述第二设备随机数一加密,所述第二映射密钥根据所述第二设备的初始密钥和所述第一预定算法生成,所述认证模块根据所述第二设备随机数一和所述第一映射密钥对所述第二设备哈希值一进行认证,如果正确,所述控制模块则确定回复消息五给所述第二设备;
所述通信模块向所述第二设备发送消息五,所述消息五包含利用所述加密密钥加密后的所述第一设备随机数一,使得所述第二设备根据所述第一设备随机数一和所述第二映射密钥对所述第一设备哈希值一进行认证,如果正确,则确定回复消息六给所述第一设备;
所述通信模块接收所述消息六,所述消息六包含利用所述加密密钥加密后的所述第二设备随机数二,所述认证模块根据所述第二设备随机数二和所述第一映射密钥对所述第二设备哈希值二进行认证,如果正确,表示所述第一设备对所述第二设备认证成功,所述控制模块则确定回复消息七给所述第二设备;
所述通信模块向所述第二设备发送所述消息七,所述消息七包含利用所述加密密钥加密后的所述第一设备随机数二,使得所述第二设备根据所述第一设备随机数二和所述第二映射密钥对所述第一设备哈希值二进行认证,如果正确,表示所述第二设备对所述第一设备认证成功。
40.根据权利要求39所述的第一设备,其特征在于,所述动态密钥交换算法至少是DH算法,RSA算法,EIGamal算法的其中之一。
41.根据权利要求39所述的第一设备,其特征在于,所述认证模块根据所述第二设备随机数一和所述第一映射密钥对所述第二设备哈希值一进行认证,包括:所述认证模块根据所述第二设备随机数一和所述第一映射密钥重构出第二设备哈希值三,比对所述第二设备哈希值三与所述消息四中的所述第二设备哈希值一,如果相同,所述控制模块则确定回复消息五给所述第二设备。
42.根据权利要求40所述的第一设备,其特征在于,所述认证模块根据所述第二设备随机数一和所述第一映射密钥对所述第二设备哈希值一进行认证,包括:所述认证模块根据所述第二设备随机数一和所述第一映射密钥重构出第二设备哈希值三,比对所述第二设备哈希值三与所述消息四中的所述第二设备哈希值一,如果相同,所述控制模块则确定回复消息五给所述第二设备。
43.根据权利要求39-42任一所述的第一设备,其特征在于,所述认证模块根据所述第二设备随机数二和所述第一映射密钥对所述第二设备哈希值二进行认证,包括,所述认证模块根据所述第二设备随机数二和所述第一映射密钥重构出第二设备哈希值四,比对所述第二设备哈希值四与所述消息四中的所述第二设备哈希值二,如果相同,所述控制模块则确定回复消息七给所述第二设备。
44.根据权利要求39-42任一所述的第一设备,其特征在于,所述通信模块向第二设备发送消息一之前,所述密钥生成模块生成并存储映射密钥列表,以使所述第一设备按预定规则在所述映射密钥列表中选择所述第一映射密钥。
45.根据权利要求43所述的第一设备,其特征在于,所述通信模块向第二设备发送消息一之前,所述密钥生成模块生成并存储映射密钥列表,以使所述第一设备按预定规则在所述映射密钥列表中选择所述第一映射密钥。
46.根据权利要求39-42任一所述的第一设备,其特征在于,所述第一设备与所述第二设备互换,使所述第二设备具有所述通信模块、所述认证模块、所述密钥生成模块和所述控制模块,并具有所述第一设备的功能。
47.根据权利要求43所述的第一设备,其特征在于,所述第一设备与所述第二设备互换,使所述第二设备具有所述通信模块、所述认证模块、所述密钥生成模块和所述控制模块,并具有所述第一设备的功能。
48.根据权利要求44所述的第一设备,其特征在于,所述第一设备与所述第二设备互换,使所述第二设备具有所述通信模块、所述认证模块、所述密钥生成模块和所述控制模块,并具有所述第一设备的功能。
49.根据权利要求45所述的第一设备,其特征在于,所述第一设备与所述第二设备互换,使所述第二设备具有所述通信模块、所述认证模块、所述密钥生成模块和所述控制模块,并具有所述第一设备的功能。
50.根据权利要求39-42任一所述的第一设备,其特征在于,所述第一密钥信息为所述第一设备的公钥,或所述第一设备产生的随机数;所述第二密钥信息为所述第二设备的公钥,或所述第二设备产生的随机数。
51.根据权利要求43所述的第一设备,其特征在于,所述第一密钥信息为所述第一设备的公钥,或所述第一设备产生的随机数;所述第二密钥信息为所述第二设备的公钥,或所述第二设备产生的随机数。
52.根据权利要求44所述的第一设备,其特征在于,所述第一密钥信息为所述第一设备的公钥,或所述第一设备产生的随机数;所述第二密钥信息为所述第二设备的公钥,或所述第二设备产生的随机数。
53.根据权利要求45所述的第一设备,其特征在于,所述第一密钥信息为所述第一设备的公钥,或所述第一设备产生的随机数;所述第二密钥信息为所述第二设备的公钥,或所述第二设备产生的随机数。
54.根据权利要求46所述的第一设备,其特征在于,所述第一密钥信息为所述第一设备的公钥,或所述第一设备产生的随机数;所述第二密钥信息为所述第二设备的公钥,或所述第二设备产生的随机数。
55.根据权利要求47所述的第一设备,其特征在于,所述第一密钥信息为所述第一设备的公钥,或所述第一设备产生的随机数;所述第二密钥信息为所述第二设备的公钥,或所述第二设备产生的随机数。
56.根据权利要求48所述的第一设备,其特征在于,所述第一密钥信息为所述第一设备的公钥,或所述第一设备产生的随机数;所述第二密钥信息为所述第二设备的公钥,或所述第二设备产生的随机数。
57.根据权利要求49所述的第一设备,其特征在于,所述第一密钥信息为所述第一设备的公钥,或所述第一设备产生的随机数;所述第二密钥信息为所述第二设备的公钥,或所述第二设备产生的随机数。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310003687.XA CN103916851B (zh) | 2013-01-06 | 2013-01-06 | 一种安全认证的方法、设备及系统 |
| PCT/CN2013/085118 WO2014106402A1 (zh) | 2013-01-06 | 2013-10-12 | 一种安全认证的方法、设备及系统 |
| US14/791,716 US9756504B2 (en) | 2013-01-06 | 2015-07-06 | Security authentication method, device, and system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310003687.XA CN103916851B (zh) | 2013-01-06 | 2013-01-06 | 一种安全认证的方法、设备及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103916851A CN103916851A (zh) | 2014-07-09 |
| CN103916851B true CN103916851B (zh) | 2017-08-18 |
Family
ID=51042166
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310003687.XA Active CN103916851B (zh) | 2013-01-06 | 2013-01-06 | 一种安全认证的方法、设备及系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US9756504B2 (zh) |
| CN (1) | CN103916851B (zh) |
| WO (1) | WO2014106402A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105188057B (zh) * | 2015-08-26 | 2018-07-06 | 上海斐讯数据通信技术有限公司 | 一种提高网络接入认证安全的方法及系统 |
| CN105357210B (zh) * | 2015-11-23 | 2018-04-13 | 贾如银 | 动态密码的生成方法 |
| CN105933119B (zh) * | 2015-12-24 | 2019-01-29 | 中国银联股份有限公司 | 一种认证方法及设备 |
| CN109040087B (zh) * | 2018-08-15 | 2021-12-07 | 咪咕视讯科技有限公司 | 一种文件加、解密方法及装置 |
| CN112565182B (zh) * | 2020-10-28 | 2023-06-27 | 锐捷网络股份有限公司 | 数据处理方法、系统、电子设备及网关设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101082883A (zh) * | 2006-05-31 | 2007-12-05 | 朴显泽 | 一种具有多层加密保护的存储装置 |
| CN101256615A (zh) * | 2007-02-27 | 2008-09-03 | 中国科学院研究生院 | 基于稀疏树的动态密钥更新的射频识别隐私认证方法 |
| CN101989984A (zh) * | 2010-08-24 | 2011-03-23 | 北京易恒信认证科技有限公司 | 电子文件安全共享系统及方法 |
| CN102026188A (zh) * | 2010-12-09 | 2011-04-20 | 中国联合网络通信集团有限公司 | 鉴权方法、设备及系统 |
| CN102231883A (zh) * | 2011-07-11 | 2011-11-02 | 上海柯斯软件有限公司 | Rfid-sim卡电信数据传输内容加密系统及方法 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10133576A (ja) * | 1996-10-31 | 1998-05-22 | Hitachi Ltd | 公開鍵暗号方法および装置 |
| US6754820B1 (en) * | 2001-01-30 | 2004-06-22 | Tecsec, Inc. | Multiple level access system |
| US6718467B1 (en) * | 1999-10-28 | 2004-04-06 | Cisco Technology, Inc. | Password based protocol for secure communications |
| US6965674B2 (en) * | 2002-05-21 | 2005-11-15 | Wavelink Corporation | System and method for providing WLAN security through synchronized update and rotation of WEP keys |
| US7142674B2 (en) * | 2002-06-18 | 2006-11-28 | Intel Corporation | Method of confirming a secure key exchange |
| US20050283826A1 (en) * | 2004-06-22 | 2005-12-22 | Sun Microsystems, Inc. | Systems and methods for performing secure communications between an authorized computing platform and a hardware component |
| US8001584B2 (en) * | 2005-09-30 | 2011-08-16 | Intel Corporation | Method for secure device discovery and introduction |
| US7987375B2 (en) * | 2006-11-20 | 2011-07-26 | Canon Kabushiki Kaisha | Communication apparatus, control method thereof and computer readable medium |
| CN100534037C (zh) * | 2007-10-30 | 2009-08-26 | 西安西电捷通无线网络通信有限公司 | 一种适用于ibss网络的接入认证方法 |
| CN101771586B (zh) * | 2008-11-14 | 2013-10-09 | 华为终端有限公司 | Wi-Fi点对点网络实现添加设备的方法、系统和设备 |
| CN102685741B (zh) * | 2011-03-09 | 2014-12-03 | 华为终端有限公司 | 接入认证处理方法及系统、终端和网络设备 |
| US20130110920A1 (en) * | 2011-10-27 | 2013-05-02 | Alcatel-Lucent Usa Inc. | Network-assisted peer-to-peer secure communication establishment |
-
2013
- 2013-01-06 CN CN201310003687.XA patent/CN103916851B/zh active Active
- 2013-10-12 WO PCT/CN2013/085118 patent/WO2014106402A1/zh active Application Filing
-
2015
- 2015-07-06 US US14/791,716 patent/US9756504B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101082883A (zh) * | 2006-05-31 | 2007-12-05 | 朴显泽 | 一种具有多层加密保护的存储装置 |
| CN101256615A (zh) * | 2007-02-27 | 2008-09-03 | 中国科学院研究生院 | 基于稀疏树的动态密钥更新的射频识别隐私认证方法 |
| CN101989984A (zh) * | 2010-08-24 | 2011-03-23 | 北京易恒信认证科技有限公司 | 电子文件安全共享系统及方法 |
| CN102026188A (zh) * | 2010-12-09 | 2011-04-20 | 中国联合网络通信集团有限公司 | 鉴权方法、设备及系统 |
| CN102231883A (zh) * | 2011-07-11 | 2011-11-02 | 上海柯斯软件有限公司 | Rfid-sim卡电信数据传输内容加密系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20150312763A1 (en) | 2015-10-29 |
| CN103916851A (zh) | 2014-07-09 |
| WO2014106402A1 (zh) | 2014-07-10 |
| US9756504B2 (en) | 2017-09-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105684344B (zh) | 一种密钥配置方法和装置 | |
| CN104144424B (zh) | 一种设备之间建立连接的方法、配置设备和无线设备 | |
| CN101926151B (zh) | 建立安全关联的方法和通信网络系统 | |
| CN103747012B (zh) | 网络交易的安全验证方法、装置及系统 | |
| CN101159639B (zh) | 一种单向接入认证方法 | |
| CN104885404B (zh) | 无线电标签和阅读器之间相互认证的方法 | |
| CN103795534A (zh) | 基于口令的认证方法及用于执行该方法的装置 | |
| CN103916851B (zh) | 一种安全认证的方法、设备及系统 | |
| CN101814991B (zh) | 基于身份的双向认证方法及系统 | |
| CN103688563A (zh) | 执行组认证和密钥协商过程 | |
| CN109644134A (zh) | 用于大型物联网组认证的系统和方法 | |
| CN101771586A (zh) | Wi-Fi点对点网络实现添加设备的方法、系统和设备 | |
| US11375369B2 (en) | Message authentication method and communication method of communication network system, and communication network system | |
| CN104202170B (zh) | 一种基于标识的身份认证系统和方法 | |
| CN103795541B (zh) | 一种230m无线专网信道用电信息采集系统的安全通信方法 | |
| CN102036236A (zh) | 一种对移动终端认证的方法和装置 | |
| CN109474927A (zh) | 信息交互方法、归属网络、用户终端以及信息交互系统 | |
| CN101944216A (zh) | 双因子在线交易安全认证方法及系统 | |
| CN108964897A (zh) | 基于群组通信的身份认证系统和方法 | |
| CN102420642A (zh) | 蓝牙设备及其通信方法 | |
| CN102045716A (zh) | 一种无线局域网中端站的安全配置方法和系统 | |
| CN111416712B (zh) | 基于多个移动设备的量子保密通信身份认证系统及方法 | |
| CN104954130A (zh) | 一种实体鉴别方法及装置 | |
| CN101170411A (zh) | 一种轻型接入认证方法 | |
| CN102209319A (zh) | 提高mesh网络中的接入控制器控制效率的方法及接入控制器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20171027 Address after: Metro Songshan Lake high tech Industrial Development Zone, Guangdong Province, Dongguan City Road 523808 No. 2 South Factory (1) project B2 -5 production workshop Patentee after: HUAWEI terminal (Dongguan) Co., Ltd. Address before: 518129 Longgang District, Guangdong, Bantian HUAWEI base B District, building 2, building No. Patentee before: Huawei Device Co., Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 523808 Southern Factory Building (Phase I) Project B2 Production Plant-5, New Town Avenue, Songshan Lake High-tech Industrial Development Zone, Dongguan City, Guangdong Province Patentee after: Huawei Device Co., Ltd. Address before: 523808 Southern Factory Building (Phase I) Project B2 Production Plant-5, New Town Avenue, Songshan Lake High-tech Industrial Development Zone, Dongguan City, Guangdong Province Patentee before: HUAWEI terminal (Dongguan) Co., Ltd. |