CN108111467B - 身份认证方法与设备及系统 - Google Patents

身份认证方法与设备及系统 Download PDF

Info

Publication number
CN108111467B
CN108111467B CN201611052569.8A CN201611052569A CN108111467B CN 108111467 B CN108111467 B CN 108111467B CN 201611052569 A CN201611052569 A CN 201611052569A CN 108111467 B CN108111467 B CN 108111467B
Authority
CN
China
Prior art keywords
identity
key
alternative
message
master public
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201611052569.8A
Other languages
English (en)
Other versions
CN108111467A (zh
Inventor
时杰
杨艳江
王贵林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201611052569.8A priority Critical patent/CN108111467B/zh
Priority to PCT/CN2017/092900 priority patent/WO2018095050A1/zh
Publication of CN108111467A publication Critical patent/CN108111467A/zh
Priority to US16/421,039 priority patent/US11134379B2/en
Application granted granted Critical
Publication of CN108111467B publication Critical patent/CN108111467B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本申请实公开了身份认证方法、设备及系统。所述方法包括:第一设备从密钥生成中心获取第一主公钥及第一私钥;第一设备发送ClientHello消息,ClientHello消息中携带备选预共享密钥PSK模式的密码套件;第一设备从ServerKeyExchange消息中获取第二身份标识;第一设备使用第二身份标识、第一私钥以及第一主公钥,生成选定PSK模式的预共享密钥;第一设备使用预共享密钥完成与第二设备之间的身份认证。采用本申请各个实施例所提供的方法、设备及系统,可以利用TLS协议中的信息实现身份标识的传输,而不必对TLS协议进行扩展,从而可以避免因为对TLS协议进行扩展所带来的兼容性问题。

Description

身份认证方法与设备及系统
技术领域
本申请涉及通信领域,尤其涉及身份认证方法与设备及系统。
背景技术
非交互式密钥协商技术是一种用于通信双方生成预共享密钥的技术。与传统的密钥协商不同,非交互式密钥协商可以实现通信双方在未交互信息时,即可利用自身的密钥信息和对方的公开信息生成相同预共享密钥。基于身份的非交互式密钥协商是一种特殊的密钥协商,该技术是以基于身份的密码为基础的密钥协商协议,通信双方的公开信息均为自己的身份标识,例如email地址、IP地址和域名等。
由于在物联网场景中,不论是无论是终端设备与终端设备间的通信,还是终端设备与服务器间的通信,通信双方之间的密码算法协议、认证和密钥协商等,均需要采用传输层安全协议(Transport Layer Security,简称TLS)完成。因此在物联网场景中,如果通信双方需要进行基于身份的非交互式密钥协商,那么就需要通信双方均需要使用TLS协议中所规定的信息向对方发送自身的身份标识,以完成身份认证。
通信双方通常可以使用TLS协议中所规定的ClientHello消息和ServerHello消息来发送身份标识;即,终端设备可以通过ClientHello消息向服务器发送终端设备的身份标识,而服务器则可以通过ServerHello消息来发送服务器的身份标识。但是,通过ClientHello消息和ServerHello消息来传输身份标识,就需要在ClientHello消息和ServerHello消息中添加新的字段,也就是说,需要对终端设备及网络设备所支持的TLS协议进行扩展。由于物联网中终端设备的数量众多,对端设备及网络设备所支持的TLS协议进行扩展,可能会带来设备之间身份认证过程的兼容性问题。
发明内容
本申请提供了身份认证方法与设备及系统,不但可以使通信双方通能够使用TLS协议中所规定的消息来发送身份标识,而且可以避免因为对TLS协议进行扩展为身份认证过程带来的兼容性问题。
第一方面,本申请提供了一种身份认证方法,该方法包括:第一设备从密钥生成中心获取第一主公钥及与第一身份标识相对应的第一私钥,其中,所述第一身份标识为所述第一设备的身份标识;所述第一设备发送安全传输协议TLS客户端问候ClientHello消息,所述ClientHello消息中携带备选预共享密钥PSK模式的密码套件;所述第一设备从TLS服务器密钥交换ServerKeyExchange消息中获取所述第二身份标识,所述第二身份标识为第二设备的身份标识;所述第一设备使用所述第二身份标识、所述第一私钥以及所述第一主公钥,生成选定PSK模式的预共享密钥,其中,所述选定PSK模式为所述第二设备从所述备选PSK模式中选出的一个;所述第一设备使用所述预共享密钥完成与所述第二设备之间的身份认证。
结合第一方面,在第一方面第一种可能的实现方式中,所述第一设备发送TLS客户端密钥交换ClientKeyExchange消息,所述ClientKeyExchange消息中携带所述第一身份标识。
结合第一方面或第一方面第一种可能的实现方式,在第一方面第二种可能的实现方式中,所述第一设备从TLS服务器密钥交换ServerKeyExchange消息中获取所述第二身份标识,包括:所述第一设备从所述ServerKeyExchange消息中获取所述第二身份标识及第二主公钥。
结合第一方面或第一方面第一种可能的实现方式,在第一方面第三种可能的实现方式中,所述第一设备从TLS服务器密钥交换ServerKeyExchange消息中获取所述第二身份标识,包括:所述第一设备从所述ServerKeyExchange消息中获取第二设备的备选身份标识;所述第一设备从所述备选身份标识中选取一个作为所述第二身份标识。
结合第一方面或第一方面第一种可能的实现方式,在第一方面第四种可能的实现方式中,所述第一设备从TLS服务器密钥交换ServerKeyExchange消息中获取所述第二身份标识,包括:所述第一设备从所述ServerKeyExchange消息中获取第二设备的备选身份标识及各个所述备选身份标识对应的备选主公钥;所述第一设备从所述备选身份标识中选取第二身份标识,其中,所述第二身份标识对应的备选主公钥与所述第一主公钥相同。
结合第一方面第二种可能的实现方式,在第一方面第五种可能的实现方式中,所述第一设备使用所述第二身份标识、所述第一私钥以及所述第一主公钥,生成选定PSK模式的预共享密钥,包括:如果所述第二主公钥与所述第一主公钥相同,所述第一设备使用所述第二身份标识、所述第一私钥以及所述第一主公钥,生成选定PSK模式的预共享密钥。
结合第一方面第二种可能的实现方式,在第一方面第六种可能的实现方式中,所述第一设备发送TLS客户端密钥交换ClientKeyExchange消息,所述ClientKeyExchange消息中携带所述第一身份标识,包括:所述第一设备发送ClientKeyExchange消息,所述ClientKeyExchange消息携带所述第一身份标识及所述第一主公钥。
结合第一方面第三或四种可能的实现方式,在第一方面第七种可能的实现方式中,其特征在于,所述第一设备发送TLS客户端密钥交换ClientKeyExchange消息,所述ClientKeyExchange消息中携带所述第一身份标识,包括:所述第一设备发送ClientKeyExchange消息,所述ClientKeyExchange消息携带所述第一身份标识及所述第二身份标识。
结合第一方面第三或四种可能的实现方式,在第一方面第八种可能的实现方式中,其特征在于,所述第一设备发送TLS客户端密钥交换ClientKeyExchange消息,所述ClientKeyExchange消息中携带所述第一身份标识,包括:所述第一设备发送ClientKeyExchange消息,所述ClientKeyExchange消息携带所述第一身份标识及所述第二身份标识的指示信息。
第二方面,本申请还提供了另一种身份认证方法,包括:第二设备从密钥生成中心获取第二主公钥及与第二身份标识相对应的第二私钥,所述第二身份标识为第二设备的身份标识;所述第二设备发送安全传输协议TLS服务器问候ServerHello消息,所述ServerHello消息中携带选定PSK模式的密码套件;所述第二设备从TLS客户端密钥交换ClientKeyExchange消息中获取第一身份标识,所述第一身份标识为第一设备的身份标识;所述第二设备使用所述第一身份标识、所述第二私钥以及所述第二主公钥,生成所述选定PSK模式的预共享密钥;所述第二设备使用所述预共享密钥完成与所述第一设备之间的身份认证。
结合第二方面,在第二方面第一种可能的实现方式中,所述第二设备发送TLS服务器密钥交换ServerKeyExchange消息,所述ServerKeyExchange消息中携带第二身份标识。
结合第二方面或第二方面第一种可能的实现方式,在第二方面第二种可能的实现方式中,所述第二设备从密钥生成中心获取第二主公钥及与第二身份标识相对应的第二私钥,包括:所述第二设备从所述密钥生成中心获取第二主公钥以及备选私钥,其中,每一个所述备选私钥与所述第二设备的一个备选标识相对应。
结合第二方面或第二方面第一种可能的实现方式,在第二方面第三种可能的实现方式中,所述第二设备从密钥生成中心获取第二主公钥及与第二身份标识相对应的第二私钥,包括:所述第二设备从所述密钥生成中心获取备选主公钥以及备选私钥,其中,每一个所述备选私钥与一个备选主公钥相对应,且每一个所述备选私钥与所述第二设备的一个备选标识相对应。
结合第二方面第一种可能的实现方式,在第二方面第四种可能的实现方式中,所述第二设备发送TLS服务器密钥交换ServerKeyExchange消息,所述ServerKeyExchange消息中携带第二身份标识,包括:所述第二设备发送ServerKeyExchange消息,所述ServerKeyExchange消息中携带第二身份标识及第二主公钥。
结合第二方面第一种可能的实现方式,在第二方面第五种可能的实现方式中,所述第二设备发送TLS服务器密钥交换ServerKeyExchange消息,所述ServerKeyExchange消息中携带第二身份标识,包括:所述第二设备发送ServerKeyExchange消息,所述发送ServerKeyExchange消息中携带所述备选主公钥。
结合第二方面第三或四种可能的实现方式,在第二方面第六种可能的实现方式中,所述第二设备发送TLS服务器密钥交换ServerKeyExchange消息,所述ServerKeyExchange消息中携带第二身份标识,包括:所述第二设备发送ServerKeyExchange消息,所述发送ServerKeyExchange消息中携带所述备选标识及每一个所述备选标识对应的所述备选主公钥。
结合第二方面第三或四种可能的实现方式,在第二方面第七种可能的实现方式中,所述第二设备从TLS客户端密钥交换ClientKeyExchange消息中获取第一身份标识,包括:所述第二设备从所述ClientKeyExchange消息中获取第一身份标识及所述第二身份标识。
第三方面,本申请提供了一种通信设备,包括:收发单元,用于从密钥生成中心获取第一主公钥及与第一身份标识相对应的第一私钥,其中,所述第一身份标识为所述第一设备的身份标识;发送安全传输协议TLS客户端问候ClientHello消息,所述ClientHello消息中携带备选预共享密钥PSK模式的密码套件;处理单元,用于从TLS服务器密钥交换ServerKeyExchange消息中获取所述第二身份标识,所述第二身份标识为第二设备的身份标识;使用所述第二身份标识、所述第一私钥以及所述第一主公钥,生成选定PSK模式的预共享密钥,其中,所述选定PSK模式为所述第二设备从所述备选PSK模式中选出的一个;使用所述预共享密钥完成与所述第二设备之间的身份认证。其中,所述收发单元可以由于通信设备的收发器或处理器与收发器相结合实现,所述处理单元可以由所述通信设备的收发器实现。
结合第三方面,在第三方面第一种可能的实现方式中,所述收发单元,还用于发送TLS客户端密钥交换ClientKeyExchange消息,所述ClientKeyExchange消息中携带所述第一身份标识。
结合第三方面或第三方面第一种可能的实现方式,在第三方面第二种可能的实现方式中,所述处理单元,还用于从所述ServerKeyExchange消息中获取所述第二身份标识及第二主公钥。
结合第三方面或第三方面第一种可能的实现方式,在第三方面第三种可能的实现方式中,所述处理单元,还用于从所述ServerKeyExchange消息中获取第二设备的备选身份标识;从所述备选身份标识中选取一个作为所述第二身份标识。
结合第三方面或第三方面第一种可能的实现方式,在第三方面第四种可能的实现方式中,所述处理单元,还用于从所述ServerKeyExchange消息中获取第二设备的备选身份标识及各个所述备选身份标识对应的备选主公钥;从所述备选身份标识中选取第二身份标识,其中,所述第二身份标识对应的备选主公钥与所述第一主公钥相同。
结合第三方面第二种可能的实现方式,在第三方面第五种可能的实现方式中,所述处理单元,还用于如果所述第二主公钥与所述第一主公钥相同,则使用所述第二身份标识、所述第一私钥以及所述第一主公钥,生成选定PSK模式的预共享密钥。
结合第三方面第二种可能的实现方式,在第三方面第六种可能的实现方式中,所述收发单元,还用于发送ClientKeyExchange消息,所述ClientKeyExchange消息携带所述第一身份标识及所述第一主公钥。
结合第三方面第三或四种可能的实现方式,在第三方面第七种可能的实现方式中,所述收发单元,还用于发送ClientKeyExchange消息,所述ClientKeyExchange消息携带所述第一身份标识及所述第二身份标识。
结合第三方面第三或四种可能的实现方式,在第三方面第八种可能的实现方式中,所述收发单元,还用于发送ClientKeyExchange消息,所述ClientKeyExchange消息携带所述第一身份标识及所述第二身份标识的指示信息。
第四方面,本申请还提供了另一种通信设备,包括:收发单元,用于从密钥生成中心获取第二主公钥及与第二身份标识相对应的第二私钥,所述第二身份标识为第二设备的身份标识;发送安全传输协议TLS服务器问候ServerHello消息,所述ServerHello消息中携带选定PSK模式的密码套件;处理单元,用于从TLS客户端密钥交换ClientKeyExchange消息中获取第一身份标识,所述第一身份标识为第一设备的身份标识;使用所述第一身份标识、所述第二私钥以及所述第二主公钥,生成所述选定PSK模式的预共享密钥;使用所述预共享密钥完成与所述第一设备之间的身份认证。其中,所述收发单元可以由于通信设备的收发器或处理器与收发器相结合实现,所述处理单元可以由所述通信设备的收发器实现。
结合第四方面,在第四方面第一种可能的实现方式中,所述收发单元,还用于发送安全传输层协议TLS服务器密钥交换ServerKeyExchange消息,所述ServerKeyExchange消息中携带第二身份标识。
结合第四方面或第四方面第一种可能的实现方式,在第四方面第二种可能的实现方式中,所述处理单元,还用于从所述密钥生成中心获取第二主公钥以及备选私钥,其中,每一个所述备选私钥与所述第二设备的一个备选标识相对应。
结合第四方面或第四方面第一种可能的实现方式,在第四方面第三种可能的实现方式中,所述处理单元,还用于从所述密钥生成中心获取备选主公钥以及备选私钥,其中,每一个所述备选私钥与一个备选主公钥相对应,且每一个所述备选私钥与所述第二设备的一个备选标识相对应。
结合第四方面第一种可能的实现方式,在第四方面第四种可能的实现方式中,所述收发单元,还用于发送ServerKeyExchange消息,所述ServerKeyExchange消息中携带第二身份标识及第二主公钥。
结合第四方面第一种可能的实现方式,在第四方面第五种可能的实现方式中,所述收发单元,还用于发送ServerKeyExchange消息,所述发送ServerKeyExchange消息中携带所述备选主公钥。
结合第四方面第三或四种可能的实现方式,在第四方面第六种可能的实现方式中,所述收发单元,还用于发送ServerKeyExchange消息,所述发送ServerKeyExchange消息中携带所述备选标识及每一个所述备选标识对应的所述备选主公钥。
结合第四方面第三或四种可能的实现方式,在第四方面第七种可能的实现方式中,所述处理单元,还用于从所述ClientKeyExchange消息中获取第一身份标识及所述第二身份标识。
第五方面,本申请还提供了一种通信系统,包括:密钥生成中心、第一设备与第二设备;其中,所述第一设备,用于从密钥生成中心获取第一主公钥及与第一身份标识相对应的第一私钥,其中,所述第一身份标识为所述第一设备的身份标识;发送安全传输协议TLS客户端问候ClientHello消息,所述ClientHello消息中携带备选预共享密钥PSK模式的密码套件;从TLS服务器密钥交换ServerKeyExchange消息中获取所述第二身份标识,所述第二身份标识为第二设备的身份标识;使用所述第二身份标识、所述第一私钥以及所述第一主公钥,生成选定PSK模式的预共享密钥,其中,所述选定PSK模式为所述第二设备从所述备选PSK模式中选出的一个;使用所述预共享密钥完成与所述第二设备之间的身份认证;所述第二设备,用于从密钥生成中心获取第二主公钥及与第二身份标识相对应的第二私钥,所述第二身份标识为第二设备的身份标识;发送安全传输协议TLS服务器问候ServerHello消息,所述ServerHello消息中携带选定PSK模式的密码套件;从安全传输层协议TLS客户端密钥交换ClientKeyExchange消息中获取第一身份标识,所述第一身份标识为第一设备的身份标识;使用所述第一身份标识、所述第二私钥以及所述第二主公钥,生成所述选定PSK模式的预共享密钥;使用所述预共享密钥完成与所述第一设备之间的身份认证。
采用本申请各个实施例所提供的方法、设备及系统,第一设备与第二设备均可以利用TLS协议中的信息实现自身身份标识的传输,而不必对TLS协议进行扩展,从而可以避免因为对TLS协议进行扩展所带来的兼容性问题。
附图说明
为了更清楚地说明本申请的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请通信系统一个实施例的结构示意图。
图2为本申请身份认证方法一个实施例的流程图;
图3为本申请身份认证方法另一个实施例的结构示意图;
图4为本申请身份认证方法另一个实施例的结构示意图;
图5为本申请身份认证方法另一个实施例的结构示意图;
图6为本申请身份认证方法另一个实施例的结构示意图;
图7为本申请身份认证方法另一个实施例的结构示意图;
图8为本申请通信设备一个实施例的结构示意图;
图9为本申请通信设备另一个实施例的结构示意图。
具体实施方式
参见图1,为本申请通信系统一个实施例的结构示意图。
如图1所述,所述通信系统可以包括第一设备101,第二设备102,以及密钥生成中心103。
其中,第一设备101可以与第二设备102之间进行加密数据传输。第一设备101与第二设备102之间进行加密数据传输时所需的密码算法协议、认证和密钥协商过程等,可以均可以采用TLS协议完成。
所述TLS协议由两层组成:TLS记录协议(TLS Record)和TLS握手协议(TLSHandshake)。握手协议是TLS的核心部分,完成客户端和服务端之间的密码算法协议、认证和会话密钥生成等功能,是通信双方进行数据安全传输的前提。TLS支持多种密码套件,其中一类密码套件是基于预共享密钥的密码套件(pre-shared key cipher suites,简称PSK)。支持预共享密钥的密码套件的TLS简称为TLS-PSK。TLS-PSK中使用的预共享密钥为对称密钥,即第一设备101与第二设备102使用相同的对称密钥。基于该相同的预共享密钥,第一设备101与第二设备102通过交互完成认证和密钥生成。
所述第一设备101可以为终端设备;所述第二设备102可以为网络设备,也可以为除第一设备101之外的其他终端设备。通常情况下,所述第一设备101可以被称为客户端,所述第二设备102可以被称为服务器。
所述终端设备可以是指向用户提供语音和或数据连通性的设备,具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备。无线终端可以经无线接入网(radio access network,简称RAN)与一个或多个核心网进行通信,无线终端可以是移动终端,如移动电话(或称为“蜂窝”电话)和具有移动终端的计算机,例如,可以是便携式、袖珍式、手持式、计算机内置的或车载的移动装置,它们与无线接入网交换语言和或数据。例如,个人通信业务(personal communication service,简称PCS)电话、无绳电话、会话发起协议(session initiation protocol,简称SIP)话机、无线本地环路(wireless local loop,简称WLL)站、个人数字助理(personal digital assistant,简称PDA)等设备。无线终端也可以称为系统、订户单元(subscriber unit,简称SU)、订户站(subscriber station,简称SS),移动站(mobile station,简称MS)、远程站(remote station,简称RS)、接入点(accesspoint,简称AP)、远端设备(remote terminal,简称RT)、接入终端(access terminal,简称AT)、用户终端(user terminal,简称UT)、用户代理(user agent,简称UA)、用户设备、或用户装备(user equipment,简称UE)。
所述网络设备,可以是基站,或者接入点,或者可以是指接入网中在空中接口上通过一个或多个扇区与无线终端通信的设备。基站可用于将收到的空中帧与IP分组进行相互转换,作为无线终端与接入网的其余部分之间的路由器,其中接入网的其余部分可包括网际协议(Internet protocol,简称IP)网络。基站还可协调对空中接口的属性管理。例如,基站可以是GSM或CDMA中的基站(Base Transceiver Station,简称BTS),也可以是WCDMA中的基站(NodeB),还可以是LTE中的演进型基站(evolutional Node B,简称eNodeB),本申请并不限定。
所述密钥生成中心103用于为各个网络设备生成公钥与私钥,第一设备101与第二设备102可以使用对应的公钥及私钥分别生成与共享私钥。通常情况下,所述密钥生成中心103可以采用双线性配对(Bilinear Pairing)技术或Schnorr签名技术生成所需的公钥及私钥。
密钥生成中心103利用双线性配对生成主公钥及与身份标识对应的私钥的方式可以如下所示:
密钥生成中心103首先生成阶为q的两个循环群G1和G2,及一个双线性配对e:G1×G2→G2,其中,q为一个大素数;并随机选择G1群的一个生成元P及一个随机数
Figure BDA0001161275770000091
然后计算Ppub,Ppub=sP;再选择两个哈希函数
Figure BDA0001161275770000092
Figure BDA0001161275770000093
其中n为密钥长度;从而可以得到主公钥mpk=<q,G1,G2,e,n,P,Ppub,H1,H2>及主私钥
Figure BDA0001161275770000094
在主私钥确定之后,密钥生成中心103可以在主私钥的基础上,生成与各个身份标识对应的私钥,其中,SKi=sH1(IDi);其中s为主私钥,H1为哈希函数,IDi为身份标识;即,主私钥与该身份标识的哈希值的乘积即为该身份标识对应的私钥。其中,所述身份标识可以包括第一身份标识、第二身份标识或备选身份标识。
密钥生成中心103利用chnorr签名技术生成主公钥及与身份标识对应的私钥的方式可以如下所示:
密钥生成中心103首先生成阶为q的循环群G,其中,q为一个大素数;然后选择G的一个生成元g;选择哈数函数H:{0,1}*→{0,1}l,其中,l为特定的整数;再选择一个随机数
Figure BDA0001161275770000095
计算y=gs;从而可以得到主公钥mpk=<q,G,y,H>,及主私钥
Figure BDA0001161275770000096
在主私钥确定之后,密钥生成中心103可以在主私钥的基础上,生成与各个身份标识对应的私钥,其中,SKi=si,si=ri+sH(Ri,IDi)mod q,
Figure BDA0001161275770000097
其中,
Figure BDA0001161275770000098
为随机数,IDi为身份标识。其中,所述身份标识可以包括第一身份标识、第二身份标识或备选身份标识。
下面结合附图对本申请身份认证方法进行说明。该认证方法可以用于实现第一设备101与第二设备102之间的身份认证。
参见图2,为本申请身份认证方法另一个实施例流程示意图。
步骤201,第一设备从密钥生成中心获取第一主公钥及与第一身份标识相对应的第一私钥,其中,所述第一身份标识为第一设备的身份标识。
第一主公钥及第一私钥的生成方式可以参见前述,在此就不再赘述。
步骤202,所述第一设备从TLS服务器密钥交换ServerKeyExchange消息中获取所述第二身份标识,所述第二身份标识为第二设备的身份标识。
所述ServerKeyExchange消息中携带可以直接携带有所述第二身份标识,也可以携带有所述第二设备的多个备选身份标识。如果所述ServerKeyExchange消息中携带有多个备选身份标识,那么所述第一设备可以从所述备选身份标识中选择一个作为所述第二身份标识。
除所述第二身份标识或所述备选身份标识之外,所述ServerKeyExchange消息还可以携带至少一个公钥,以便于所述第一设备从备选身份标识中选择第二身份标识。其中,所述ServerKeyExchange消息所携带的公钥可以仅为与所述第二身份标识相对应的第二主公钥,或者也可以是多个备选主公钥。当所述备询公钥为多个时,每一个备选主公钥与所述ServerKeyExchange消息中携带的一个备选身份标识相对应。其中,所述第二身份标识
步骤203,所述第一设备使用所述第二身份标识、所述第一私钥以及所述第一主公钥,生成选定PSK模式的预共享密钥。
在所述第二身份标识、所述第一私钥以及所述第一主公钥均被确定之后,所述第一设备可以使用所述第二身份标识、所述第一私钥以及所述第一主公钥生成预共享密钥。第一设备可以使用利用双线性配对(Bilinear Pairing)技术或利用Schnorr签名技术生成所述预共享密钥。
步骤204,所述第一设备使用所述预共享密钥完成与所述第二设备之间的身份认证。
所述第一设备使用所述与预共享密钥完成与所述第二设备之间身份认证的具体过程在此就不再赘述。
为使第二设备也能生成所述预共享密钥,除前述步骤201至步骤204之外,所述方法还可以包括:
步骤205,所述第一设备发送TLS客户端密钥交换ClientKeyExchange消息,所述ClientKeyExchange消息携带所述第一身份标识。
除携带所述第一身份标识之外,根据所述ServerKeyExchange消息中携带所携带的内容不同,所述ClientKeyExchange消息也可以携带相应的内容。
如果所述ServerKeyExchange消息中携带第二身份标识及第二主公钥,那么所述ClientKeyExchange消息中则可以携带所述第一身份标识及所述第一主公钥。
如果所述ServerKeyExchange消息中携带有备选身份标识,那么所述ClientKeyExchange消息中则可以携带所述第一身份标识及所述第二身份标识。其中,所述第二身份标识也可以被所述第二身份标识的指示信息所替代。
如果除所述备选身份标识之外,所述ServerKeyExchange消息中携带还携带有各个备选身份标识所对应的备选主公钥,那么所述ClientKeyExchange消息中除携带所述第一身份标识及所述第二身份标识之外,还可以携带所述第二主公钥。
其中,当所述ClientKeyExchange消息中需要携带所述第一身份标识、所述第一主公钥或所述第二主公钥时,所述第一身份标识、所述第一主公钥或所述第二主公钥均可以由所述ClientKeyExchange中可以由应用层指定的字段,例如psk_identity字段承载。
在此需要说明的是,本申请不对步骤205与步骤201至204之间的执行顺序进行限定。
采用本申请各个实施例所提供的方法及设备,第一设备可以利用TLS协议中规定的信息实现获取第二身份标识,并发送第一身份标识,从而可以在不对TLS协议进行扩展的前提下完成预共享密钥协商,避免因为对TLS协议进行扩展所带来的兼容性问题。
参见图3,为本申请身份认证方法另一个实施例流程示意图。
步骤301,第二设备从密钥生成中心获取第二主公钥及与第二身份标识相对应的第二私钥,所述第二身份标识为第二设备的身份标识。
第二主公钥及第二私钥的生成方式可以参见前述,在此不再赘述。
步骤302,所述第二设备从TLS客户端密钥交换ClientKeyExchange消息中获取第一身份标识,所述第一身份标识为第一设备的身份标识。
步骤303,所述第二设备使用所述第一身份标识、所述第二私钥以及所述第二主公钥,生成预共享密钥。
其中,所述第二设备可以直接从所述密钥生成中心获取所述第二设备,或者,当所述第二身份标识由所述第一设备从所述备选身份标识中选定时,所述第二设备也可以从所述ClientKeyExchange消息中获取所述第二身份标识;相应的,所述第二设备也可以从所述ClientKeyExchange消息中获取所述第二主公钥。
步骤304,所述第二设备使用所述预共享密钥完成与所述第一设备之间的身份认证。
所述第二设备使用所述与预共享密钥完成与所述第一设备之间身份认证的具体过程在此就不再赘述。
为使第一设备也能生成所述预共享密钥,除前述步骤301至步骤304之外,所述方法还可以包括:
步骤305,第二设备发送安全传输层协议TLS服务器密钥交换ServerKeyExchange消息,所述ServerKeyExchange消息中携带所述第二身份标识。
所述ServerKeyExchange消息中携带可以直接携带所述第二身份标识,或者也可以携带多个备选身份标识,以便于第一设备能从所述备选身份标识中选择第二身份标识。除所述第二身份标识或所述备选身份标识之外,所述ServerKeyExchange消息中携带还可以携带所和第二身份标识对应的第二主公钥或每个多数备选身份标识对应被备选公钥。
其中,当所述ServerKeyExchange消息中需要携带所述第二身份标识、所述第二主公钥、备选身份标识或所述备选主公钥时,所述第二身份标识、所述第二主公钥、备选身份标识或所述备选主公钥时均可以由所述ServerKeyExchange中可以由应用层指定的字段,例如psk_identity_hint字段承载。
在此需要说明的是,本申请不对步骤305与步骤301至304之间的执行顺序进行限定。
采用本申请各个实施例所提供的方法及设备,第二设备可以利用TLS协议中规定的信息实现获取第一身份标识,并发送第二身份标识,从而可以在不对TLS协议进行扩展的前提下完成预共享密钥协商,避免因为对TLS协议进行扩展所带来的兼容性问题。
下面结合附图对本申请身份认证方法做进一步说明。
参见图4,为本申请身份认证方法另一个实施例流程示意图。
步骤401,第一设备从密钥生成中心获取第一主公钥、以及与第一身份标识对应的第一私钥。
步骤402,第二设备从密钥生成中心获取第二主公钥、以及与第二身份标识对应的第二私钥。
密钥生成中心可以利用双线性配对(Bilinear Pairing)技术或chnorr签名技术来生成与第一身份标识对应的第一私钥和与第二身份标识对应的第二私钥。而第一主公钥与第二主公钥则可以为同一个主公钥。其中,所述第一身份标识可以是所述第一设备的email地址、IP地址或域名等,第二身份标识也可以是所述第二设备的email地址、IP地址或域名等,第一私钥和第二私钥的生成方式可以参见前述,在此就不再赘述。
步骤403、第一设备发送TLS ClientHello消息。
所述TLS ClientHello消息中可以携带备选PSK模式的密码套件的指示信息,所述备选PSK模式的密码套件为第一设备所支持PSK模式的密码套件。
例如,所述TLS ClientHello消息中可以携带TLS_PSK_WITH_AES_256_CBC_SHA、TLS_DHE_PSK_WITH_AES_256_CBC_SHA、TLS_RSA_PSK_WITH_AES_256_CBC_SHA等信息,用于指示第一设备支持相应的密码套件。
步骤404,第二设备发送TLS ServerHello消息。
在接收到TLS ClientHello消息之后,第二设备可以从备选PSK模式中选择一个,作为第一设备与第二设备进行加密数据传输时所采用的选定PSK模式。在所述选定PSK模式选定后,所述第二设备可以发送TLS ServerHello消息。所述TLS ServerHello消息中可以携带有用于指示所述选定PSK模式的指示信息。
例如,所述指示新可以是TLS_PSK_WITH_AES_256_CBC_SHA、TLS_DHE_PSK_WITH_AES_256_CBC_SHA或TLS_RSA_PSK_WITH_AES_256_CBC_SHA,也可以是TLS_PSK_WITH_AES_256_CBC_SHA、TLS_DHE_PSK_WITH_AES_256_CBC_SHA或TLS_RSA_PSK_WITH_AES_256_CBC_SHA所对应的编号。
步骤405,第二设备发送ServerKeyExchange消息。
其中,所述ServerKeyExchange消息的psk_identity_hint字段可以携带所述第二身份标识。
步骤406,第二设备发送TLS ServerHelloDone消息。
步骤407,第一设备从ServerKeyExchange消息的psk_identity_hint字段中获取所述第二身份标识。
步骤408,第一设备使用所述第二身份标识、所述第一私钥以及所述第一主公钥,生成预共享密钥。
第一设备可以通过在openssl开源代码中TLS实现源码中直接添加的内容实现预共享密钥的计算;或者,也可以通过openssl源码的TLS-PSK模式下指定callback函数在应用层实现预共享密钥的计算,即,第一设备可以利用SSL_CTX_set_psk_client_callback()和SSL_CTX_set_psk_server_callback()等应用层callback函数计算所述预共享密钥。
如果利用双线性配对(Bilinear Pairing)技术生成所述预共享密钥,那么第一设备生成预共享密钥的计算方法可以如下所示:
psk=e(SKA,H1(IDB))=e(sH1(IDA),H1(IDB))=e(H1(IDA),H1(IDB))S
如果利用Schnorr签名技术生成所述预共享密钥,那么第一设备生成预共享密钥的计算方法可以如下所示:
Figure BDA0001161275770000141
步骤409,第一设备发送ClientKeyExchange消息。
其中,所述ClientKeyExchange消息的psk_identity字段中可以携带所述第一身份标识。
步骤410,第一设备发送TLS Finished消息。
步骤411,第二设备从ClientKeyExchange消息的psk_ideneity字段中获取所述第一身份标识。
步骤412,第二设备使用所述第一身份标识、所述第二私钥以及所述第一主公钥,生成预共享密钥。
第二设备可以通过在openssl开源代码中TLS实现源码中直接添加的内容实现预共享密钥的计算;或者,也可以通过openssl源码的TLS-PSK模式下指定callback函数在应用层实现预共享密钥的计算,即,第二设备可以利用SSL_CTX_set_psk_client_callback()和SSL_CTX_set_psk_server_callback()等应用层callback函数计算所述预共享密钥。
如果利用双线性配对(Bilinear Pairing)技术生成所述预共享密钥,那么第二设备生成预共享密钥的计算方法可以如下所示:
psk=e(SKB,H1(IDA))=e(sH1(IDB),H1(IDA))=e(H1(IDB),H1(IDA))S
如果利用Schnorr签名技术生成所述预共享密钥,那么第二设备生成预共享密钥的计算方法可以如下所示:
Figure BDA0001161275770000151
步骤413,第二设备发送TLS Finished消息。
采用本实施例,可以通过psk_identity字段来传输第一身份标识并通过psk_identity_hint字段来传输第二身份标识,而按照TLS协议,psk_identity_hint和psk_identity字段可以由应用层指定,因此可以在符合TLS标准规定的基础上完成身份标识传输。
参见图5,为本申请身份认证方法另一个实施例流程示意图。由于在实际使用中,第一设备可能需要与多个第二设备进行通信,而第二设备有可能与多个第一设备进行通信,如果第一设备与第二设备所使用的主公钥不一致,则会导致第一设备与第二设备之间发生通信失败。因此还可以由第二设备发送第二主公钥或者第二设备发送第一主公钥来避免因为第一设备与第二设备所使用的主公钥不一致所导致的通信失败。具体实现方式可以如下所示:
步骤501,第一设备从密钥生成中心获取第一主公钥、以及第一私钥。
步骤502,第二设备从密钥生成中心获取第二主公钥、以及第二私钥。
步骤503、第一设备发送TLS ClientHello消息。
步骤504,第二设备发送TLS ServerHello消息。
步骤505,第二设备发送ServerKeyExchange消息。
其中,所述ServerKeyExchange消息的psk_identity_hint字段中可以携带所述第二身份标识及所述第二主公钥。
或者,所述ServerKeyExchange消息的psk_identity_hint字段中可以携带所述第二身份标识及所述第二主公钥的指示信息,例如,第二主公钥的序列号。第一设备可以通过所述第二主公钥的指示信息判定所述第一主公钥与所述第二主公钥是否一致。
步骤506,第二设备发送TLS ServerHelloDone消息。
步骤507,第一设备从ServerKeyExchange消息的psk_identity_hint字段中获取所述第二身份标识及所述第二主公钥。
步骤508,若所述第二主公钥与所述第一主公钥相同,则所述第一设备使用所述第二身份标识、所述第一私钥以及所述第一主公钥,生成选定PSK模式的预共享密钥。
步骤509,第一设备发送ClientKeyExchange消息。
其中,所述ClientKeyExchange消息的psk_identity字段中可以携带所述第一身份标识及所述第一主公钥。
步骤510,第一设备发送TLS Finished消息。
步骤511,第二设备从ClientKeyExchange消息的psk_ideneity字段中获取所述第一身份标识以及所述第一主公钥。
步骤512,若所述第一主公钥与所述第二主公钥相同,则所述第二设备使用第一所述身份标识、所述第二私钥以及所述第一主公钥,生成预共享密钥。
步骤513,第二设备发送TLS Finished消息。
采用本实施例中所提供的方式,通过psk_identity_hint字段携带第二主公钥,可以使第一设备与第二设备在通信之前判定双方所用的公钥是否相同,从而避免因为第一设备与第二设备使用的主公钥不一致造成的通信失败。
参见图6,为本申请身份认证方法另一个实施例流程示意图。由于在实际使用中,第一设备可能需要以不同的身份与第一设备进行通信,在第一设备的身份不同时,所要采用的私钥也不相同,为实现第二设备能使用不同的身份与第一设备进行通信,第二设备可以向第一设备发送多个备选身份标识。具体实现方式可以如下所示:
步骤601,第一设备从密钥生成中心获取第一主公钥、以及第一私钥。
步骤602,第二设备从密钥生成中心获取第二主公钥、以及n个备选私钥。
其中,每一个备选私钥与所述第二设备的一个备选身份标识相对应。n的取值为正整数,通常情况下n的取值不小于2。
其中,每个一个所述备选私钥与所述第二设备的一个备选身份标识相对应。
步骤603,第一设备发送TLS ClientHello消息。
步骤604,第二设备发送TLS ServerHello消息。
步骤605,第二设备发送ServerKeyExchange消息。
其中,ServerKeyExchange消息的psk_identity_hint字段中携带的psk_identity_hint字段携带所述第二设备的至少一个备选身份标识。所述备选身份标识可以是所述第二设备的email地址、IP地址和域名等的一个或多个。
步骤606,第二设备发送TLS ServerHelloDone消息。
步骤607,第一设备从ServerKeyExchange消息的psk_identity_hint字段中获取所述备选身份标识。
步骤608,第一设备从所述备选身份标识中选择一个作为第二身份标识。
步骤609,第一设备使用所述第二身份标识、所述第一私钥以及所述第一主公钥,生成所述预共享密钥。
步骤610,第一设备发送ClientKeyExchange消息。
其中,ClientKeyExchange消息的psk_identity字段中可以携带所述第二身份标识以及所述第一身份标识。
步骤611,第一设备发送TLS Finished消息;
步骤612,第二设备从ClientKeyExchange消息的psk_ideneity字段中获取第二身份标识和第一身份标识
步骤613,第二设备使用所述第一身份标识、与第二身份标识相对应的私钥和所述第一主公钥,生成所述预共享密钥。
步骤614,第二设备发送TLS Finished消息。
采用本实施例中所提供的方式,通过psk_identity_hint字段携带备选身份标识,可以使第二设备用不同的身份与第一设备进行通信。
参见图7,为本申请身份认证方法另一个实施例流程示意图。由于在实际使用中,第一设备可能需要以不同的身份与第一设备进行通信,在第一设备的身份不同时,不但所要采用的私钥也不相同,而且所要采用的公钥也可能不同,为实现第二设备能使用不同的身份与第一设备进行通信,第二设备可以向第一设备发送多个备选身份标识以及多个备选主公钥。具体实现方式可以如下所示:
步骤701,第一设备从密钥生成中心获取第一主公钥、以及第一私钥。
步骤702,第二设备从密钥生成中心获取每一个备选身份标识所对应的公钥,以及每一个备选身份标识所对应的私钥。
步骤703,第一设备发送TLS ClientHello消息。
步骤704,第二设备发送TLS ServerHello消息。
步骤705,第二设备发送ServerKeyExchange消息,
其中,ServerKeyExchange消息的psk_identity_hint字段中携带的psk_identity_hint字段携带第二设备的至少一个备选身份标识及每一个所述备选身份标识所对应的备选主公钥。
步骤706,第二设备发送TLS ServerHelloDone消息;
步骤707,第一设备从ServerKeyExchange消息的psk_identity_hint字段中获取备选身份标识及备选身份标识对应的备选主公钥。
步骤708,设备从所述备选身份标识中选取第二身份标识。
其中,所述第二身份标识所对应的备选主公钥与所述第一主公钥相同。
步骤709,第一设备使用所述第二身份标识、所述第一私钥、以及所述第一主公钥生成所述预共享密钥。
步骤710,第一设备发送ClientKeyExchange消息。
其中,ClientKeyExchange消息中的psk_identity字段携带所述第二身份标识第一身份标识。
除所述,第二身份标识之外,所述psk_identity字段中还可以携带有所述第二身份标识所对应的备选主公钥。
步骤711,第一设备发送TLS Finished消息。
步骤712,第二设备从ClientKeyExchange消息的psk_ideneity中获取第二身份标识和第一身份标识。
所述第二设备还可以从所述psk_identity字段中获取所述第二身份标识所对应的备选主公钥。
步骤713,第二设备使用所述第一身份标识、所述第二身份标识对应的备选私钥、以及所述第二身份标识所对应的备选主公钥,生成所述预共享密钥。
步骤714,第二设备发送TLS Finished消息。
采用本实施例中所提供的方式,通过psk_identity_hint字段携带备选身份标识,及备选主公钥,从而可以使第一设备使用与自己所获取公钥相匹配的公钥进行与第二设备进行通信。
参见图8,为本申请通信设备一个实施例的结构示意图。
如图8所述,所述通信设备可以包括收发单元801、处理单元802以及存储单元803。所述装置可以为前述实施例中的第一设备也可以是前述实施例中的第二设备。
当所述通信设备为第二设备时,
所述收发单元801,用于从密钥生成中心获取第一主公钥及与第一身份标识相对应的第一私钥,其中,所述第一身份标识为所述第一设备的身份标识;发送安全传输协议TLS客户端问候ClientHello消息,所述ClientHello消息中携带备选预共享密钥PSK模式的密码套件;处理单元802,用于从TLS服务器密钥交换ServerKeyExchange消息中获取所述第二身份标识,所述第二身份标识为第二设备的身份标识;使用所述第二身份标识、所述第一私钥以及所述第一主公钥,生成选定PSK模式的预共享密钥,其中,所述选定PSK模式为所述第二设备从所述备选PSK模式中选出的一个;使用所述预共享密钥完成与所述第二设备之间的身份认证。
可选的,所述收发单元801,还用于发送TLS客户端密钥交换ClientKeyExchange消息,所述ClientKeyExchange消息中携带所述第一身份标识。
可选的,所述处理单元802,还用于从所述ServerKeyExchange消息中获取所述第二身份标识及第二主公钥。
可选的,所述处理单元802,还用于从所述ServerKeyExchange消息中获取第二设备的备选身份标识;从所述备选身份标识中选取一个作为所述第二身份标识。
可选的,所述处理单元802,还用于从所述ServerKeyExchange消息中获取第二设备的备选身份标识及各个所述备选身份标识对应的备选主公钥;从所述备选身份标识中选取第二身份标识,其中,所述第二身份标识对应的备选主公钥与所述第一主公钥相同。
可选的,所述处理单元802,还用于如果所述第二主公钥与所述第一主公钥相同,则使用所述第二身份标识、所述第一私钥以及所述第一主公钥,生成选定PSK模式的预共享密钥。
可选的,所述收发单元801,还用于发送ClientKeyExchange消息,所述ClientKeyExchange消息携带所述第一身份标识及所述第一主公钥。
可选的,所述收发单元801,还用于发送ClientKeyExchange消息,所述ClientKeyExchange消息携带所述第一身份标识及所述第二身份标识。
可选的,所述收发单元801,还用于发送ClientKeyExchange消息,所述ClientKeyExchange消息携带所述第一身份标识及所述第二身份标识的指示信息。
当所述通信设备为所述第二设备时,
收发单元801,用于从密钥生成中心获取第二主公钥及与第二身份标识相对应的第二私钥,所述第二身份标识为第二设备的身份标识;发送安全传输协议TLS服务器问候ServerHello消息,所述ServerHello消息中携带选定PSK模式的密码套件;
处理单元802,用于从TLS客户端密钥交换ClientKeyExchange消息中获取第一身份标识,所述第一身份标识为第一设备的身份标识;使用所述第一身份标识、所述第二私钥以及所述第二主公钥,生成所述选定PSK模式的预共享密钥;使用所述预共享密钥完成与所述第一设备之间的身份认证。
可选的,所述收发单元801,还用于发送安全传输层协议TLS服务器密钥交换ServerKeyExchange消息,所述ServerKeyExchange消息中携带第二身份标识。
可选的,所述处理单元802,还用于从所述密钥生成中心获取第二主公钥以及备选私钥,其中,每一个所述备选私钥与所述第二设备的一个备选标识相对应。
可选的,所述处理单元802,还用于从所述密钥生成中心获取备选主公钥以及备选私钥,其中,每一个所述备选私钥与一个备选主公钥相对应,且每一个所述备选私钥与所述第二设备的一个备选标识相对应。
可选的,所述收发单元801,还用于发送ServerKeyExchange消息,所述ServerKeyExchange消息中携带第二身份标识及第二主公钥。
可选的,所述收发单元801,还用于发送ServerKeyExchange消息,所述发送ServerKeyExchange消息中携带所述备选主公钥。
可选的,所述收发单元801,还用于发送ServerKeyExchange消息,所述发送ServerKeyExchange消息中携带所述备选标识及每一个所述备选标识对应的所述备选主公钥。
可选的,所述处理单元802,还用于从所述ClientKeyExchange消息中获取第一身份标识及所述第二身份标识。
参见图9,为本申请通信设备另一个实施例的结构示意图。
如图9所示,所述通信设备可以包括:参见图9为本申请通信设备一个实施例的结构示意图。所述通信设备可以是前述任意实施例中的通信设备,可以用于执行图2至图7任一个实施例所示身份认证方法中的任意方法步骤。
如图9所示,所述通信设备可以包括处理器901、存储器902及收发器903,所述收发器903可以包括接收机、发射机与天线等部件。所述通信设备还可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置,本申请对此不进行限定。
处理器901为通信设备的控制中心,利用各种接口和线路连接整个通信设备的各个部分,通过运行或执行存储在存储器902内的软件程序和/或模块,以及调用存储在存储器内的数据,以执行通信设备的各种功能和/或处理数据。所述处理器901可以由集成电路(integrated circuit,简称IC)组成,例如可以由单颗封装的IC所组成,也可以由连接多颗相同功能或不同功能的封装IC而组成。举例来说,处理器可以仅包括中央处理器(centralprocessing unit,简称CPU),也可以是GPU、数字信号处理器(digital signal processor,简称DSP)、及收发器903中的控制芯片(例如基带芯片)的组合。在本申请实施方式中,CPU可以是单运算核心,也可以包括多运算核心。
所述收发器903用于建立通信信道,使通信设备通过所述通信信道以连接至其他通信设备,从而实现通信设备之间的数据传输。所述收发器903可以包括无线局域网(wireless local area network,简称WLAN)模块、蓝牙模块、基带(base band)模块等通信模块,以及所述通信模块对应的射频(radio frequency,简称RF)电路,用于进行无线局域网络通信、蓝牙通信、红外线通信及/或蜂窝式通信系统通信,例如宽带码分多重接入(wideband code division multiple access,简称WCDMA)及/或高速下行封包存取(highspeed downlink packet access,简称HSDPA)。所述收发器903用于控制通信设备中的各组件的通信,并且可以支持直接内存存取(direct memory access)。
在本申请的不同实施方式中,所述收发器903中的各种收发器903一般以集成电路芯片(integrated circuit chip)的形式出现,并可进行选择性组合,而不必包括所有收发器903及对应的天线组。例如,所述收发器903可以仅包括基带芯片、射频芯片以及相应的天线以在一个蜂窝通信系统中提供通信功能。经由所述收发器903建立的无线通信连接,例如无线局域网接入或WCDMA接入,所述通信设备可以连接至蜂窝网(cellular network)或因特网(internet)。在本申请的一些可选实施方式中,所述收发器903中的通信模块,例如基带模块可以集成到处理器中,典型的如高通(Qualcomm)公司提供的APQ+MDM系列平台。射频电路用于信息收发或通话过程中接收和发送信号。例如,将网络设备的下行信息接收后,给处理器处理;另外,将设计上行的数据发送给网络设备。通常,所述射频电路包括用于执行这些功能的公知电路,包括但不限于天线系统、射频收发机、一个或多个放大器、调谐器、一个或多个振荡器、数字信号处理器、编解码(codec)芯片组、用户身份模块(SIM)卡、存储器等等。此外,射频电路还可以通过无线通信与网络和其他设备通信。所述无线通信可以使用任一通信标准或协议,包括但不限于全球移动通讯系统(global system of mobilecommunication,简称GSM)、通用分组无线服务(general packet radio service,简称gprs)、码分多址(code division multiple access,简称CDMA)、宽带码分多址(widebandcode division multiple access,简称WCDMA)、高速上行行链路分组接入技术(highspeed uplink packet access,简称HSUPA)、长期演进(long term evolution,简称LTE)、电子邮件、短消息服务(short messaging service,简称SMS)等。
所述通信设备作为前述实施例中第一设备时,
所述收发器903,用于从密钥生成中心获取第二主公钥及与第二身份标识相对应的第二私钥,所述第二身份标识为第二设备的身份标识;发送安全传输协议TLS服务器问候ServerHello消息,所述ServerHello消息中携带选定PSK模式的密码套件;所述处理器901,用于从TLS客户端密钥交换ClientKeyExchange消息中获取第一身份标识,所述第一身份标识为第一设备的身份标识;使用所述第一身份标识、所述第二私钥以及所述第二主公钥,生成所述选定PSK模式的预共享密钥;使用所述预共享密钥完成与所述第一设备之间的身份认证。
可选的,所述收发器903,还用于发送TLS客户端密钥交换ClientKeyExchange消息,所述ClientKeyExchange消息中携带所述第一身份标识。
可选的,所述处理器901,还用于从所述ServerKeyExchange消息中获取所述第二身份标识及第二主公钥。
可选的,所述处理器901,还用于从所述ServerKeyExchange消息中获取第二设备的备选身份标识;从所述备选身份标识中选取一个作为所述第二身份标识。
可选的,所述处理器901,还用于从所述ServerKeyExchange消息中获取第二设备的备选身份标识及各个所述备选身份标识对应的备选主公钥;从所述备选身份标识中选取第二身份标识,其中,所述第二身份标识对应的备选主公钥与所述第一主公钥相同。
可选的,所述处理器901,还用于如果所述第二主公钥与所述第一主公钥相同,则使用所述第二身份标识、所述第一私钥以及所述第一主公钥,生成选定PSK模式的预共享密钥。
可选的,所述收发器903,还用于发送ClientKeyExchange消息,所述ClientKeyExchange消息携带所述第一身份标识及所述第一主公钥。
可选的,所述收发器903,还用于发送ClientKeyExchange消息,所述ClientKeyExchange消息携带所述第一身份标识及所述第二身份标识。
可选的,所述收发器903,还用于发送ClientKeyExchange消息,所述ClientKeyExchange消息携带所述第一身份标识及所述第二身份标识的指示信息。
当所述通信设备为所述第二设备时,
收发器903,用于从密钥生成中心获取第二主公钥及与第二身份标识相对应的第二私钥,所述第二身份标识为第二设备的身份标识;发送安全传输协议TLS服务器问候ServerHello消息,所述ServerHello消息中携带选定PSK模式的密码套件;
处理器901,用于从TLS客户端密钥交换ClientKeyExchange消息中获取第一身份标识,所述第一身份标识为第一设备的身份标识;使用所述第一身份标识、所述第二私钥以及所述第二主公钥,生成所述选定PSK模式的预共享密钥;使用所述预共享密钥完成与所述第一设备之间的身份认证。
可选的,所述收发器903,还用于发送安全传输层协议TLS服务器密钥交换ServerKeyExchange消息,所述ServerKeyExchange消息中携带第二身份标识。
可选的,所述处理器901,还用于从所述密钥生成中心获取第二主公钥以及备选私钥,其中,每一个所述备选私钥与所述第二设备的一个备选标识相对应。
可选的,所述处理器901,还用于从所述密钥生成中心获取备选主公钥以及备选私钥,其中,每一个所述备选私钥与一个备选主公钥相对应,且每一个所述备选私钥与所述第二设备的一个备选标识相对应。
可选的,所述收发器903,还用于发送ServerKeyExchange消息,所述ServerKeyExchange消息中携带第二身份标识及第二主公钥。
可选的,所述收发器903,还用于发送ServerKeyExchange消息,所述发送ServerKeyExchange消息中携带所述备选主公钥。
可选的,所述收发器903,还用于发送ServerKeyExchange消息,所述发送ServerKeyExchange消息中携带所述备选标识及每一个所述备选标识对应的所述备选主公钥。
可选的,所述处理器901,还用于从所述ClientKeyExchange消息中获取第一身份标识及所述第二身份标识。
具体实现中,本申请还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,该程序执行时可包括本申请提供的身份认证方法的各实施例中的部分或全部步骤。所述的存储介质可为磁碟、光盘、只读存储记忆体(read-only memory,简称ROM)或随机存储记忆体(random access memory,简称RAM)等。
本领域的技术人员可以清楚地了解到本申请实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本申请实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。
本说明书中各个实施例之间相同相似的部分互相参见即可。尤其,对于设备及系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本申请实施方式并不构成对本申请保护范围的限定。

Claims (35)

1.一种身份认证方法,其特征在于,包括:
第一设备从密钥生成中心获取第一主公钥及与第一身份标识相对应的第一私钥,其中,所述第一身份标识为所述第一设备的身份标识;
所述第一设备发送安全传输协议TLS客户端问候ClientHello消息,所述ClientHello消息中携带备选预共享密钥PSK模式的密码套件;
所述第一设备从TLS服务器密钥交换ServerKeyExchange消息中获取所述第二身份标识,所述第二身份标识为第二设备的身份标识;
所述第一设备使用所述第二身份标识、所述第一私钥以及所述第一主公钥,生成选定PSK模式的预共享密钥,其中,所述选定PSK模式为所述第二设备从所述备选PSK模式中选出的一个;
所述第一设备使用所述预共享密钥完成与所述第二设备之间的身份认证。
2.如权利要求1所述的方法,其特征在于,还包括:
所述第一设备发送TLS客户端密钥交换ClientKeyExchange消息,所述ClientKeyExchange消息中携带所述第一身份标识。
3.如权利要求2所述的方法,其特征在于,所述第一设备从TLS服务器密钥交换ServerKeyExchange消息中获取所述第二身份标识,包括:
所述第一设备从所述ServerKeyExchange消息中获取所述第二身份标识及第二主公钥。
4.如权利要求2所述的方法,其特征在于,所述第一设备从TLS服务器密钥交换ServerKeyExchange消息中获取所述第二身份标识,包括:
所述第一设备从所述ServerKeyExchange消息中获取所述第二设备的备选身份标识;
所述第一设备从所述备选身份标识中选取一个作为所述第二身份标识。
5.如权利要求2所述的方法,其特征在于,所述第一设备从TLS服务器密钥交换ServerKeyExchange消息中获取所述第二身份标识,包括:
所述第一设备从所述ServerKeyExchange消息中获取所述第二设备的备选身份标识及各个所述备选身份标识对应的备选主公钥;
所述第一设备从所述备选身份标识中选取第二身份标识,其中,所述第二身份标识对应的备选主公钥与所述第一主公钥相同。
6.如权利要求3所述的方法,其特征在于,所述第一设备使用所述第二身份标识、所述第一私钥以及所述第一主公钥,生成选定PSK模式的预共享密钥,包括:
如果所述第二主公钥与所述第一主公钥相同,所述第一设备使用所述第二身份标识、所述第一私钥以及所述第一主公钥,生成选定PSK模式的预共享密钥。
7.如权利要求3所述的方法,其特征在于,所述第一设备发送TLS客户端密钥交换ClientKeyExchange消息,所述ClientKeyExchange消息中携带所述第一身份标识,包括:
所述第一设备发送ClientKeyExchange消息,所述ClientKeyExchange消息携带所述第一身份标识及所述第一主公钥。
8.如权利要求4或5所述的方法,其特征在于,所述第一设备发送TLS客户端密钥交换ClientKeyExchange消息,所述ClientKeyExchange消息中携带所述第一身份标识,包括:
所述第一设备发送ClientKeyExchange消息,所述ClientKeyExchange消息携带所述第一身份标识及所述第二身份标识。
9.如权利要求4或5所述的方法,其特征在于,所述第一设备发送TLS客户端密钥交换ClientKeyExchange消息,所述ClientKeyExchange消息中携带所述第一身份标识,包括:
所述第一设备发送ClientKeyExchange消息,所述ClientKeyExchange消息携带所述第一身份标识及所述第二身份标识的指示信息。
10.一种身份认证方法,其特征在于,包括:
第二设备从密钥生成中心获取第二主公钥及与第二身份标识相对应的第二私钥,所述第二身份标识为第二设备的身份标识;
所述第二设备发送安全传输协议TLS服务器问候ServerHello消息,所述ServerHello消息中携带选定预共享密钥PSK模式的密码套件;
所述第二设备从TLS客户端密钥交换ClientKeyExchange消息中获取第一身份标识,所述第一身份标识为第一设备的身份标识;
所述第二设备使用所述第一身份标识、所述第二私钥以及所述第二主公钥,生成所述选定PSK模式的预共享密钥;
所述第二设备使用所述预共享密钥完成与所述第一设备之间的身份认证。
11.如权利要求10所述的方法,其特征在于,还包括:
所述第二设备发送TLS服务器密钥交换ServerKeyExchange消息,所述ServerKeyExchange消息中携带第二身份标识。
12.如权利要求11所述的方法,其特征在于,所述第二设备从密钥生成中心获取第二主公钥及与第二身份标识相对应的第二私钥,包括:
所述第二设备从所述密钥生成中心获取第二主公钥以及备选私钥,其中,每一个所述备选私钥与所述第二设备的一个备选标识相对应。
13.如权利要求11所述的方法,其特征在于,所述第二设备从密钥生成中心获取第二主公钥及与第二身份标识相对应的第二私钥,包括:
所述第二设备从所述密钥生成中心获取备选主公钥以及备选私钥,其中,每一个所述备选私钥与一个备选主公钥相对应,且每一个所述备选私钥与所述第二设备的一个备选标识相对应。
14.如权利要求11所述的方法,其特征在于,所述第二设备发送TLS服务器密钥交换ServerKeyExchange消息,所述ServerKeyExchange消息中携带第二身份标识,包括:
所述第二设备发送ServerKeyExchange消息,所述ServerKeyExchange消息中携带第二身份标识及第二主公钥。
15.如权利要求11所述的方法,其特征在于,所述第二设备发送TLS服务器密钥交换ServerKeyExchange消息,所述ServerKeyExchange消息中携带第二身份标识,包括:
所述第二设备发送ServerKeyExchange消息,所述发送ServerKeyExchange消息中携带所述备选主公钥。
16.如权利要求12或13所述的方法,其特征在于,所述第二设备发送TLS服务器密钥交换ServerKeyExchange消息,所述ServerKeyExchange消息中携带第二身份标识,包括:
所述第二设备发送ServerKeyExchange消息,所述发送ServerKeyExchange消息中携带所述备选标识及每一个所述备选标识对应的所述备选主公钥。
17.如权利要求12或13所述的方法,其特征在于,所述第二设备从TLS客户端密钥交换ClientKeyExchange消息中获取第一身份标识,包括:
所述第二设备从所述ClientKeyExchange消息中获取第一身份标识及所述第二身份标识。
18.一种通信设备,其特征在于,包括:
收发单元,用于从密钥生成中心获取第一主公钥及与第一身份标识相对应的第一私钥,其中,所述第一身份标识为所述第一设备的身份标识;发送安全传输协议TLS客户端问候ClientHello消息,所述ClientHello消息中携带备选预共享密钥PSK模式的密码套件;
处理单元,用于从TLS服务器密钥交换ServerKeyExchange消息中获取所述第二身份标识,所述第二身份标识为第二设备的身份标识;使用所述第二身份标识、所述第一私钥以及所述第一主公钥,生成选定PSK模式的预共享密钥,其中,所述选定PSK模式为所述第二设备从所述备选PSK模式中选出的一个;使用所述预共享密钥完成与所述第二设备之间的身份认证。
19.如权利要求18所述的通信设备,其特征在于,
所述收发单元,还用于发送TLS客户端密钥交换ClientKeyExchange消息,所述ClientKeyExchange消息中携带所述第一身份标识。
20.如权利要求19所述的通信设备,其特征在于,
所述处理单元,还用于从所述ServerKeyExchange消息中获取所述第二身份标识及第二主公钥。
21.如权利要求19所述的通信设备,其特征在于,
所述处理单元,还用于从所述ServerKeyExchange消息中获取第二设备的备选身份标识;从所述备选身份标识中选取一个作为所述第二身份标识。
22.如权利要求19所述的通信设备,其特征在于,
所述处理单元,还用于从所述ServerKeyExchange消息中获取第二设备的备选身份标识及各个所述备选身份标识对应的备选主公钥;从所述备选身份标识中选取第二身份标识,其中,所述第二身份标识对应的备选主公钥与所述第一主公钥相同。
23.如权利要求20所述的通信设备,其特征在于,
所述处理单元,还用于如果所述第二主公钥与所述第一主公钥相同,则使用所述第二身份标识、所述第一私钥以及所述第一主公钥,生成选定PSK模式的预共享密钥。
24.如权利要求20所述的通信设备,其特征在于,所述ClientKeyExchange消息中携带所述第一身份标识,具体包括:
所述ClientKeyExchange消息携带所述第一身份标识及所述第一主公钥。
25.如权利要求21或22所述的通信设备,其特征在于,所述ClientKeyExchange消息中携带所述第一身份标识,具体包括:
所述ClientKeyExchange消息携带所述第一身份标识及所述第二身份标识。
26.如权利要求21或22所述的通信设备,其特征在于,所述ClientKeyExchange消息中携带所述第一身份标识,具体包括:
所述ClientKeyExchange消息携带所述第一身份标识及所述第二身份标识的指示信息。
27.一种通信设备,其特征在于,包括:
收发单元,用于从密钥生成中心获取第二主公钥及与第二身份标识相对应的第二私钥,所述第二身份标识为第二设备的身份标识;发送安全传输协议TLS服务器问候ServerHello消息,所述ServerHello消息中携带选定预共享密钥PSK模式的密码套件;
处理单元,用于从TLS客户端密钥交换ClientKeyExchange消息中获取第一身份标识,所述第一身份标识为第一设备的身份标识;使用所述第一身份标识、所述第二私钥以及所述第二主公钥,生成所述选定PSK模式的预共享密钥;使用所述预共享密钥完成与所述第一设备之间的身份认证。
28.如权利要求27所述的通信设备,其特征在于,还包括:
所述收发单元,还用于发送安全传输层协议TLS服务器密钥交换ServerKeyExchange消息,所述ServerKeyExchange消息中携带第二身份标识。
29.如权利要求28所述的通信设备,其特征在于:
所述处理单元,还用于从所述密钥生成中心获取第二主公钥以及备选私钥,其中,每一个所述备选私钥与所述第二设备的一个备选标识相对应。
30.如权利要求28所述的通信设备,其特征在于:
所述处理单元,还用于从所述密钥生成中心获取备选主公钥以及备选私钥,其中,每一个所述备选私钥与一个备选主公钥相对应,且每一个所述备选私钥与所述第二设备的一个备选标识相对应。
31.如权利要求28所述的通信设备,其特征在于,所述ServerKeyExchange消息中携带第二身份标识,具体包括:
所述ServerKeyExchange消息中携带第二身份标识及第二主公钥。
32.如权利要求29或30所述的通信设备,其特征在于,所述ServerKeyExchange消息中携带第二身份标识,具体包括:
所述ServerKeyExchange消息中携带备选主公钥。
33.如权利要求29或30所述的通信设备,其特征在于,所述ServerKeyExchange消息中携带第二身份标识,具体包括:
所述ServerKeyExchange消息中携带所述备选标识及每一个所述备选标识对应的备选主公钥。
34.如权利要求29或30所述的通信设备,其特征在于,
所述处理单元,还用于从所述ClientKeyExchange消息中获取第一身份标识及所述第二身份标识。
35.一种通信系统,其特征在于,包括:密钥生成中心、第一设备与第二设备;其中,
所述第一设备,用于从密钥生成中心获取第一主公钥及与第一身份标识相对应的第一私钥,其中,所述第一身份标识为所述第一设备的身份标识;发送安全传输协议TLS客户端问候ClientHello消息,所述ClientHello消息中携带备选预共享密钥PSK模式的密码套件;从TLS服务器密钥交换ServerKeyExchange消息中获取所述第二身份标识,所述第二身份标识为第二设备的身份标识;使用所述第二身份标识、所述第一私钥以及所述第一主公钥,生成选定PSK模式的预共享密钥,其中,所述选定PSK模式为所述第二设备从所述备选PSK模式中选出的一个;使用所述预共享密钥完成与所述第二设备之间的身份认证;
所述第二设备,用于从密钥生成中心获取第二主公钥及与第二身份标识相对应的第二私钥,所述第二身份标识为第二设备的身份标识;发送安全传输协议TLS服务器问候ServerHello消息,所述ServerHello消息中携带选定PSK模式的密码套件;从安全传输层协议TLS客户端密钥交换ClientKeyExchange消息中获取第一身份标识,所述第一身份标识为第一设备的身份标识;使用所述第一身份标识、所述第二私钥以及所述第二主公钥,生成所述选定PSK模式的预共享密钥;使用所述预共享密钥完成与所述第一设备之间的身份认证。
CN201611052569.8A 2016-11-24 2016-11-24 身份认证方法与设备及系统 Active CN108111467B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN201611052569.8A CN108111467B (zh) 2016-11-24 2016-11-24 身份认证方法与设备及系统
PCT/CN2017/092900 WO2018095050A1 (zh) 2016-11-24 2017-07-14 身份认证方法与设备及系统
US16/421,039 US11134379B2 (en) 2016-11-24 2019-05-23 Identity authentication method, device, and system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611052569.8A CN108111467B (zh) 2016-11-24 2016-11-24 身份认证方法与设备及系统

Publications (2)

Publication Number Publication Date
CN108111467A CN108111467A (zh) 2018-06-01
CN108111467B true CN108111467B (zh) 2021-04-09

Family

ID=62194825

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611052569.8A Active CN108111467B (zh) 2016-11-24 2016-11-24 身份认证方法与设备及系统

Country Status (3)

Country Link
US (1) US11134379B2 (zh)
CN (1) CN108111467B (zh)
WO (1) WO2018095050A1 (zh)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110896390B (zh) * 2018-09-12 2021-05-11 华为技术有限公司 一种发送消息的方法、验证消息的方法、装置及通信系统
CN109617675B (zh) * 2018-11-15 2024-02-06 国网电动汽车服务有限公司 一种充放电设施与用户端间的双方标识认证方法及系统
JP2020195100A (ja) * 2019-05-29 2020-12-03 株式会社bitFlyer Blockchain 公開鍵の信頼性を証明するための装置、方法及びそのためのプログラム
WO2021064978A1 (ja) * 2019-10-04 2021-04-08 日本電信電話株式会社 端末、サーバ、方法及びプログラム
CN111814178A (zh) * 2020-06-29 2020-10-23 四川长虹电器股份有限公司 一种针对第三方应用的数据回调熔断保护方法
EP4184857A4 (en) * 2020-07-28 2023-09-13 Huawei Technologies Co., Ltd. BLUETOOTH NODE PAIRING METHOD AND APPARATUS
CN114760026A (zh) * 2020-12-26 2022-07-15 西安西电捷通无线网络通信股份有限公司 一种身份鉴别方法和装置
CN114268439B (zh) * 2021-12-16 2023-09-15 中原工学院 一种基于格的身份基认证密钥协商方法
WO2023230983A1 (zh) * 2022-06-02 2023-12-07 Oppo广东移动通信有限公司 建立互操作通道的方法、装置、芯片和存储介质
US11882117B1 (en) 2023-03-24 2024-01-23 Srinivas Kumar System and method for device label scan based zero touch device onboarding and device directory service

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101567784A (zh) * 2008-04-21 2009-10-28 成都市华为赛门铁克科技有限公司 一种获取密钥的方法、系统和设备
CN103581167A (zh) * 2013-07-29 2014-02-12 华为技术有限公司 基于安全传输层协议的安全认证方法、设备及系统
CN103765842A (zh) * 2011-07-25 2014-04-30 皇家飞利浦有限公司 用于建立端到端的安全连接和用于安全地传送数据分组的方法、设备以及系统
CN104735037A (zh) * 2013-12-24 2015-06-24 中国移动通信集团公司 一种网络认证方法、装置及系统

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004254027A (ja) * 2003-02-19 2004-09-09 Toshiba Corp サーバ装置、鍵管理装置、暗号通信方法及びプログラム
CN101277512B (zh) * 2007-03-27 2011-07-20 厦门致晟科技有限公司 一种无线移动终端通讯加密的方法
WO2009055802A1 (en) * 2007-10-26 2009-04-30 Telcordia Technologies, Inc. Method and system for secure session establishment using identity-based encryption (vdtls)
US8856509B2 (en) * 2010-08-10 2014-10-07 Motorola Mobility Llc System and method for cognizant transport layer security (CTLS)
US10172000B2 (en) * 2016-03-17 2019-01-01 M2MD Technologies, Inc. Method and system for managing security keys for user and M2M devices in a wireless communication network environment
CN106060070B (zh) 2016-07-01 2019-05-10 中国人民解放军国防科学技术大学 基于身份密码系统的tls握手协议
CN105978906A (zh) 2016-07-01 2016-09-28 中国人民解放军国防科学技术大学 一种基于身份的通信握手协议

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101567784A (zh) * 2008-04-21 2009-10-28 成都市华为赛门铁克科技有限公司 一种获取密钥的方法、系统和设备
CN103765842A (zh) * 2011-07-25 2014-04-30 皇家飞利浦有限公司 用于建立端到端的安全连接和用于安全地传送数据分组的方法、设备以及系统
CN103581167A (zh) * 2013-07-29 2014-02-12 华为技术有限公司 基于安全传输层协议的安全认证方法、设备及系统
CN104735037A (zh) * 2013-12-24 2015-06-24 中国移动通信集团公司 一种网络认证方法、装置及系统

Also Published As

Publication number Publication date
CN108111467A (zh) 2018-06-01
WO2018095050A1 (zh) 2018-05-31
US11134379B2 (en) 2021-09-28
US20190281453A1 (en) 2019-09-12

Similar Documents

Publication Publication Date Title
CN108111467B (zh) 身份认证方法与设备及系统
JP4763726B2 (ja) 無線通信のための安全なブートストラッピング
US11570617B2 (en) Communication method and communications apparatus
US10833876B2 (en) Protection of the UE identity during 802.1x carrier hotspot and Wi-Fi calling authentication
US10694376B2 (en) Network authentication method, network device, terminal device, and storage medium
US20150244685A1 (en) Generalized cryptographic framework
US20110130119A1 (en) Staging a mobile device to an enterprise network securely using voice channel of a wireless wide area network (wwan)
WO2015144041A1 (zh) 一种网络鉴权认证的方法及设备
WO2010023506A1 (en) Methods, apparatuses, computer program products, and systems for providing secure pairing and association for wireless devices
CN114025352A (zh) 终端设备的鉴权方法及其装置
WO2022188033A1 (zh) 数据上传方法、数据下载方法及相关设备
CN117546441A (zh) 一种安全通信方法及装置、终端设备、网络设备
CN113872755A (zh) 一种密钥交换方法及装置
US20190149326A1 (en) Key obtaining method and apparatus
US10609553B2 (en) Data transmission method, first device, and second device
US11553561B2 (en) Protection of the UE identity during 802.1x carrier hotspot and wi-fi calling authentication
CN115412909A (zh) 一种通信方法及装置
WO2024050846A1 (zh) 近邻通信方法和装置
WO2024060149A1 (zh) 密钥验证方法、密钥获取方法及设备
WO2023042618A1 (ja) 無線通信端末装置、認証及び鍵共有方法、プログラム、認証及び鍵共有システム
Uysal A security framework for mobile communication

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant