CN108366069A - 一种双向认证方法和系统 - Google Patents

一种双向认证方法和系统 Download PDF

Info

Publication number
CN108366069A
CN108366069A CN201810159935.2A CN201810159935A CN108366069A CN 108366069 A CN108366069 A CN 108366069A CN 201810159935 A CN201810159935 A CN 201810159935A CN 108366069 A CN108366069 A CN 108366069A
Authority
CN
China
Prior art keywords
certified
equipment
authenticating device
public key
digital signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810159935.2A
Other languages
English (en)
Other versions
CN108366069B (zh
Inventor
郑重
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BEIJING CYBER XINGAN TECHNOLOGY Co Ltd
Original Assignee
BEIJING CYBER XINGAN TECHNOLOGY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BEIJING CYBER XINGAN TECHNOLOGY Co Ltd filed Critical BEIJING CYBER XINGAN TECHNOLOGY Co Ltd
Priority to CN201810159935.2A priority Critical patent/CN108366069B/zh
Publication of CN108366069A publication Critical patent/CN108366069A/zh
Application granted granted Critical
Publication of CN108366069B publication Critical patent/CN108366069B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Abstract

本发明涉及一种双向认证方法和系统,所述方法包括,认证设备对被认证设备关键属性信息形成第一数字签名;将所述第一数字签名与认证设备临时公钥发送给被认证设备,由被认证设备进行验证;被认证设备对所接收的第一数字签名验证通过后,被认证设备对认证设备关键属性信息形成生成的第二数字签名与被认证设备的临时公钥发给认证设备,由认证设备进行验证;认证设备接收并对所述第二数字签名进行验证;向被认证设备发送认证成功信息,利用所述双方的临时公私钥对进行加密数据传输。实现了认证设备与被认证设备正确获取对方关键属性信息并进行签名验证,实现双向认证。实现了数据交互的加密传输,进一步提高了身份验证的安全性。

Description

一种双向认证方法和系统
技术领域
本发明涉及通信技术领域,尤其涉及一种双向认证方法和系统。
背景技术
随着技术的进步,办公环境、人员调度、信息共享等越来越多的场合与单位进入自动化系统管理模式中。随之而来,对进入系统的人员设备的身份合法性验证的需求,也应时而生。
现在市场上存在的身份认证设备采用的认证方法为单向认证,即仅需要核实被认证设备的合法性,而无需核实认证设备,例如密码钥匙,的合法性。当用户进入系统需要身份验证时,只需要插入密码钥匙,通过公私钥加解密的原理完成用户的身份验证过程。这带来了很多安全隐患,比如认证设备被恶意修改后使用。
因此,现有技术中的认证方法并不完善,还存在着安全问题。迫切需要一种更加安全有效的认证方法和系统。
发明内容
鉴于上述的分析,本发明旨在提供一种双向认证方法和系统,用于提高网络交互的安全性能。
本发明的目的主要是通过以下技术方案实现的:
本申请的一方面,提供一种双向认证方法,包括:
认证设备生成第一数字签名;将所述第一数字签名与认证设备临时公钥发送给被认证设备,由被认证设备进行验证;
接收被认证设备对所接收的第一数字签名验证通过后生成的第二数字签名与被认证设备临时公钥;对所述第二数字签名进行验证;
向被认证设备发送认证成功信息,利用所述认证设备临时私钥以及被认证设备临时公钥与被认证设备进行数据传输。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,认证设备生成第一数字签名包括:
所述认证设备生成一对临时公私钥对;利用被认证设备关键属性信息(被认证设备设备号、被认证设备唯一身份标识)、认证设备唯一身份标识、认证设备临时公钥和认证设备公钥计算杂凑值,使用认证设备私钥对所述杂凑值进行数字签名,生成第一数字签名。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,对所述第二数字签名进行验证包括:
利用认证设备关键属性信息(认证设备设备号、认证设备唯一身份标识)、被认证设备唯一身份标识、被认证设备临时公钥和被认证设备公钥计算杂凑值;利用被认证设备公钥对所接收到的第二数字签名进行验签,对计算得到的杂凑值与验签得到的杂凑值进行比较,若相等,则说明通信对方是已知并可信的。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,利用所述认证设备临时私钥以及被认证设备临时公钥与被认证设备进行数据传输包括:
使用被认证设备临时公钥对待发送数据进行加密,使用认证设备临时私钥对加密后的待发送数据进行签名;
使用被认证设备临时公钥对接收数据进行验证,使用认证设备临时私钥进行解密。
本申请的另一方面,提供一种双向认证方法,包括以下步骤:
被认证设备接收认证设备生成的第一数字签名与认证设备临时公钥,对所述第一数字签名进行验证;
对所接收的第一数字签名验证通过后,生成第二数字签名与被认证设备临时公钥,发送给认证设备;
接收认证设备发送的认证成功信息,利用所述被认证设备临时私钥以及认证设备临时公钥与认证设备进行数据传输。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,对所述第一数字签名进行验证包括:
利用被认证设备关键属性信息(被认证设备设备号、被认证设备唯一身份标识)、认证设备唯一身份标识、认证设备临时公钥和认证设备公钥计算杂凑值;利用认证设备公钥对所接收到的第一数字签名进行验签,对计算得到的杂凑值与验签得到的杂凑值进行比较,若相等,则说明通信对方是已知并可信的。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,生成第二数字签名包括:
被认证设备生成一对临时公私钥对;利用认证设备关键属性信息(认证设备设备号、认证设备设备唯一身份标识等)、被认证设备设备唯一身份标识、被认证设备临时公钥和被认证设备公钥计算杂凑值,利用被认证设备私钥生成第二数字签名。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,利用所述被认证设备临时私钥以及认证设备临时公钥与认证设备进行数据传输包括:
使用认证设备临时公钥对接收数据进行验证,使用被认证设备临时私钥进行解密;
使用认证设备临时公钥对待发送数据进行加密,使用被认证设备临时私钥对加密后的待发送数据进行签名。
本申请的另一方面,提供一种双向认证系统,包括:
第一数字签名生成模块,用于生成第一数字签名;将所述第一数字签名与认证设备临时公钥发送给被认证设备,由被认证设备进行验证;
验证模块,用于接收被认证设备对所接收的第一数字签名验证通过后生成的第二数字签名与被认证设备临时公钥;对所述第二数字签名进行验证;
数据传输模块,用于向被认证设备发送认证成功信息,利用所述认证设备临时私钥以及被认证设备临时公钥与被认证设备进行数据传输。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述第一数字签名生成模块,具体用于:
生成一对临时公私钥对;利用被认证设备关键属性信息(被认证设备设备号、被认证设备唯一身份标识)、认证设备唯一身份标识、认证设备临时公钥和认证设备公钥计算杂凑值,使用认证设备私钥对所述杂凑值进行数字签名,生成第一数字签名。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述验证模块,具体用于:
利用认证设备关键属性信息(认证设备设备号、认证设备唯一身份标识)、被认证设备唯一身份标识、被认证设备临时公钥和被认证设备公钥计算杂凑值;利用被认证设备公钥对所接收到的第二数字签名进行验签,对计算得到的杂凑值与验签得到的杂凑值进行比较,若相等,则说明通信对方是已知并可信的。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述数据传输模块,具体用于:
使用被认证设备临时公钥对待发送数据进行加密,使用认证设备临时私钥对加密后的待发送数据进行签名;
使用被认证设备临时公钥对接收数据进行验证,使用认证设备临时私钥进行解密。
本申请的另一方面,提供一种双向认证系统,包括:
验证模块,用于接收认证设备生成的第一数字签名与认证设备临时公钥,对所述第一数字签名进行验证;
第二数字签名生成模块,用于对所接收的第一数字签名验证通过后,生成第二数字签名与被认证设备临时公钥,发送给认证设备;
数据传输模块,用于接收认证设备发送的认证成功信息,利用所述被认证设备临时私钥以及认证设备临时公钥与认证设备进行数据传输。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述验证模块,具体用于:
利用被认证设备关键属性信息(被认证设备设备号、被认证设备唯一身份标识)、认证设备唯一身份标识、认证设备临时公钥和认证设备公钥计算杂凑值;利用认证设备公钥对所接收到的第一数字签名进行验签,对计算得到的杂凑值与验签得到的杂凑值进行比较,若正确,则说明通信对方是已知并可信的。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述第二数字签名生成模块,具体用于:
生成一对临时公私钥对;利用认证设备关键属性信息(认证设备设备号、认证设备唯一身份标识)、被认证设备唯一身份标识、被认证设备临时公钥和被认证设备公钥计算杂凑值,利用被认证设备私钥生成第二数字签名。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,利用数据传输模块,具体用于:
使用认证设备临时公钥对接收数据进行验证,使用被认证设备临时私钥进行解密;
使用认证设备临时公钥对待发送数据进行加密,使用被认证设备临时私钥对加密后的待发送数据进行签名。
本发明的另一方面,提供一种计算机设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现如以上所述的方法。
本发明的另一方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如以上所述的方法。
由所述技术方案可知,本申请实施例可以实现了认证设备与被认证设备的双向认证、密钥交换协商,进一步提高身份验证的安全性。
本发明中,上述各技术方案之间还可以相互组合,以实现更多的优选组合方案。本发明的其他特征和优点将在随后的说明书中阐述,并且,部分优点可从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图仅用于示出具体实施例的目的,而并不认为是对本发明的限制,在整个附图中,相同的参考符号表示相同的部件。
图1为本申请一实施例提供的双向认证方法的流程示意图;
图2为本申请一实施例提供的双向认证方法的流程示意图;
图3为本申请另一实施例提供的双向认证系统的结构示意图;
图4为本申请另一实施例提供的双向认证系统的结构示意图;
图5示出了适于用来实现本发明实施方式的示例性计算机系统/服务器012的框图。
具体实施方式
下面结合附图来具体描述本发明的优选实施例,其中,附图构成本申请一部分,并与本发明的实施例一起用于阐释本发明的原理,并非用于限定本发明的范围。
图1为本申请一实施例提供的双向认证方法的示意图,如图1所示,包括以下步骤:
步骤S11、认证设备生成第一数字签名;将所述第一数字签名与认证设备临时公钥发送给被认证设备,由被认证设备进行验证;
步骤S12、接收被认证设备对所接收的第一数字签名验证通过后生成的第二数字签名与被认证设备临时公钥;对所述第二数字签名进行验证;
步骤S13、向被认证设备发送认证成功信息,利用所述认证设备临时私钥以及被认证设备临时公钥与被认证设备进行数据传输。
在所述步骤S11的一种优选实现方式中,
优选地,CA中心(Certificate Authority,证书授权中心,采用Public KeyInfrastructure公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构)预装认证设备工作证书和根证书至认证设备,预装被认证设备工作证书和根证书至被认证设备。其中,认证设备工作证书由根证书对应私钥对认证设备公钥PA签名生成,被认证设备工作证书由根证书对应私钥对被认证设备公钥签名生成。
优选地,若认证设备和被认证设备为嵌入式设备,因此,CA认证使用本地数据,将注册过的CA公私密钥对存放在认证设备和被认证设备中,即预装认证设备工作证书和根证书至认证设备,预装被认证设备工作证书和根证书至被认证设备。为了提供安全性,对所述公私密钥对使用本地数据保护。
优选地,认证设备通过交互协议携带SSL/TLS握手数据,从被认证设备获取被认证设备工作证书,使用根证书验证被认证设备工作证书的合法性,当验证合法,生成第一数字签名。
优选地,认证设备还通过交互协议携带SSL/TLS握手数据,从被认证设备获取被认证设备的关键属性信息:设备号NBi、唯一身份标志IDB
优选地,认证设备生成了一对临时公私钥对rA,RA。所述临时公私钥对可根据需要选择不同复杂度算法、安全等级算法的实现方式。
优选地,认证设备利用被认证设备关键属性信息(设备号(NBi)、被认证设备唯一身份标识(IDB))、认证设备唯一身份标识(IDA)、认证设备临时公钥(RA)和认证设备公钥(PA)5个参数,使用SM3公用算法计算杂凑值HA
认证设备使用SM2算法对所述杂凑值HA进行加密,生成第一数字签名SA;具体地,认证设备用认证设备私钥dA对HA进行数字签名,生成第一数字签名SA。
认证设备将所述第一数字签名SA与认证设备临时公钥RA通过设备交互协议发送给被认证设备进行身份认证。
在步骤S12的一种优选实现方式中,
优选地,被认证设备利用与认证设备相同的方式,重新利用被认证设备关键属性信息(被认证设备设备号(NBi)、被认证设备唯一身份标识(IDB))、认证设备唯一身份标识(IDA)、认证设备临时公钥(RA)和认证设备公钥(PA)5个参数,使用SM3公用算法计算杂凑值H'A;利用认证设备公钥(PA)对所接收到的第一数字签名进行验签,对计算得到的杂凑值H'A与验签得到的杂凑值HA进行比较,如果相同,则验证通过,继续执行下一步操作;如果不同,则认证失败,退出认证流程。验证通过后,被认证设备利用认证设备的关键属性信息(认证设备设备号(NAi)、认证设备设备唯一身份标识(IDA))、被认证设备设备唯一身份标识(IDB)、被认证设备临时公钥(RB)和被认证设备公钥(PB)5个参数,使用SM3公用算法计算杂凑值(HB);使用SM2算法对HB进行数字签名,即利用被认证设备私钥dB生成第二数字签名SB。被认证设备通过传输协议把第二数字签名SB和被认证设备临时公钥RB,发送给认证设备。
认证设备接收被认证设备发送的第二数字签名SB,利用与被认证设备相同的方式,重新利用认证设备的关键属性信息(认证设备设备号(NAi)、认证设备设备唯一身份标识(IDA))、被认证设备设备唯一身份标识(IDB)、被认证设备临时公钥(RB)和被认证设备公钥(PB)5个参数,使用SM3公用算法计算杂凑值(H'B);利用被认证设备公钥(PB)对所接收到的第二数字签名进行验签,对计算得到的杂凑值H'B与验签得到的杂凑值HB进行比较,如果相同,则验证通过,继续执行下一步操作;如果不同,则认证失败,退出认证流程。
在步骤S13的一种优选实现方式中,
认证设备向被认证设备发送认证成功信息,根据认证设备临时私钥rA以及被认证设备临时公钥RB作为会话秘钥进行数据传输。
优选地,使用被认证设备临时公钥RB对待发送数据进行加密,使用认证设备临时私钥rA对加密后的待发送数据进行签名。
优选地,使用被认证设备临时公钥RB对接收数据进行验证,验证通过后,使用认证设备临时私钥rA进行解密。
优选地,认证设备和被认证设备可以采用任意方式的适合数据可靠性传输的协议。
优选地,认证设备的关键属性信息可以是认证设备设备号,认证设备唯一标识或者其他认证设备的关键属性。
优选地,被认证设备的关键属性信息可以是被认证设备设备号,被认证设备唯一标识或者其他被认证设备的关键属性。
在本实施例的一种优选实现方式中,认证设备和被认证设备可以基于低速传输通道,比如单线串口、双线串口、ios7816等设备接口进行连接;也可以基于高速接口(如USB、蓝牙、红外等)和网络通道(如网络协议通道)进行连接。
例如,认证设备和被认证设备使用TTL电路,在一个数据线、一个共地线上实现数异步传输据传输。为了适用市场上单线串口速率不统一,在大数据传输时效率低的情况,实现低速率下协商数据传输速率,后续数据在高速率传输的功能。
图2为本申请另一实施例提供的双向认证方法的示意图,如图2所示,包括以下步骤:
步骤S21、被认证设备接收认证设备生成的第一数字签名与认证设备临时公钥,对所述第一数字签名进行验证;
步骤S22、对所接收的第一数字签名验证通过后,生成第二数字签名与被认证设备临时公钥,发送给认证设备;
步骤S23、接收认证设备发送的认证成功信息,利用所述被认证设备临时私钥以及认证设备临时公钥与认证设备进行数据传输。
在所述步骤S21的一种优选实现方式中,
优选地,CA中心(Certificate Authority,证书授权中心,采用Public KeyInfrastructure公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构)预装认证设备工作证书和根证书至认证设备,预装被认证设备工作证书和根证书至被认证设备。其中,认证设备工作证书由根证书对应私钥对认证设备公钥PA签名生成,被认证设备工作证书由根证书对应私钥对被认证设备公钥签名生成。
优选地,若认证设备和被认证设备为嵌入式设备,因此,CA认证使用本地数据,将注册过的CA公私密钥对存放在认证设备和被认证设备中,即预装认证设备工作证书和根证书至认证设备,预装被认证设备工作证书和根证书至被认证设备。为了提供安全性,对所述公私密钥对使用本地数据保护。
优选地,被认证设备通过交互协议携带SSL/TLS握手数据,从认证设备获取认证设备工作证书,使用根证书验证认证设备工作证书的合法性。
优选地,被认证设备还通过交互协议携带SSL/TLS握手数据,从认证设备获取认证设备的关键属性信息:设备号NAi,设备唯一身份标识IDA
优选地,被认证设备利用与认证设备相同的方式,重新利用被认证设备的关键属性信息(设备号(NBi)、被认证设备唯一身份标识(IDB))、认证设备唯一身份标识(IDA)、认证设备临时公钥(RA)和认证设备公钥(PA)5个参数,使用SM3公用算法计算杂凑值H'A;利用认证设备公钥(PA)对所接收到的第一数字签名进行验签,对计算得到的杂凑值H'A与验签得到的杂凑值HA进行比较,如果相同,则验证通过,继续执行下一步操作;如果不同,则认证失败,退出认证流程。
在步骤S22的一种优选实现方式中,
优选地,被认证设备生成了一对临时公私钥对rB,RB。所述临时公私钥对可根据需要选择不同复杂度算法、安全等级算法的实现方式。
被认证设备利用认证设备的关键属性信息(认证设备设备号(NAi)、认证设备设备唯一身份标识(IDA))、被认证设备设备唯一身份标识(IDB)被认证设备临时公钥(RB)和被认证设备公钥(PB)5个参数,使用SM3公用算法计算杂凑值(HB);使用SM2算法对HB进行数字签名,即利用被认证设备私钥dB生成第二数字签名SB。被认证设备通过传输协议把第二数字签名SB和被认证设备临时公钥RB,发送给认证设备。
优选地,认证设备接收被认证设备发送的第二数字签名SB,利用与被认证设备相同的方式,重新利用认证设备的关键属性信息(认证设备设备号(NAi)、认证设备设备唯一身份标识(IDA))、被认证设备设备唯一身份标识(IDB)、被认证设备临时公钥(RB)和被认证设备公钥(PB)5个参数,使用SM3公用算法计算杂凑值(H'B);利用被认证设备公钥(PB)对所接收到的第二数字签名进行验签,对计算得到的杂凑值H'B与验签得到的杂凑值HB进行比较,如果相同,则验证通过,向被认证设备发送认证成功信息;否则,认证失败。
在步骤S23的一种优选实现方式中,
被认证设备接收认证设备发送的认证成功信息,根据被认证设备临时私钥rB以及认证设备临时公钥RA作为会话秘钥进行数据传输。
优选地,使用认证设备临时公钥RA对接收数据进行验证,验证通过后,使用被认证设备临时私钥rB进行解密。
优选地,使用认证设备临时公钥RA对待发送数据进行加密,使用被认证设备临时私钥rB对加密后的待发送数据进行签名。
优选地,认证设备和被认证设备可以采用任意方式的适合数据可靠性传输的协议。
优选地,认证设备的关键属性信息可以是认证设备设备号,认证设备唯一标识或者其他认证设备的关键属性。
优选地,被认证设备的关键属性信息可以是被认证设备设备号,被认证设备唯一标识或者其他被认证设备的关键属性。
在本实施例的一种优选实现方式中,认证设备和被认证设备可以基于低速传输通道,比如单线串口、双线串口、ios7816等设备接口进行连接;也可以基于高速接口(如USB、蓝牙、红外等)和网络通道(如网络协议通道)进行连接。
例如,认证设备和被认证设备使用TTL电路,在一个数据线、一个共地线上实现数异步传输据传输。为了适用市场上单线串口速率不统一,在大数据传输时效率低的情况,实现低速率下协商数据传输速率,后续数据在高速率传输的功能。
通过本实施例所述方法,实现了认证设备与被认证设备的双向认证,实现了密钥交换协商,进一步提高了身份验证的安全性。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
以上是关于方法实施例的介绍,以下通过装置实施例,对本发明所述方案进行进一步说明。
在所述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
图3为本申请一实施例提供的双向认证系统的结构图,如图3所示,包括:
第一数字签名生成模块31,用于生成第一数字签名;将所述第一数字签名与认证设备临时公钥发送给被认证设备,由被认证设备进行验证;
验证模块32,用于接收被认证设备对所接收的第一数字签名验证通过后生成的第二数字签名与被认证设备临时公钥;对所述第二数字签名进行验证;
数据传输模块33,用于向被认证设备发送认证成功信息,利用所述认证设备临时私钥以及被认证设备临时公钥与被认证设备进行数据传输。
在所述第一数字签名生成模块31的一种优选实现方式中,
优选地,CA中心(Certificate Authority,证书授权中心,采用Public KeyInfrastructure公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构)预装认证设备工作证书和根证书至认证设备,预装被认证设备工作证书和根证书至被认证设备。其中,认证设备工作证书由根证书对应私钥对认证设备公钥PA签名生成,被认证设备工作证书由根证书对应私钥对被认证设备公钥签名生成。
优选地,若认证设备和被认证设备为嵌入式设备,因此,CA认证使用本地数据,将注册过的CA公私密钥对存放在认证设备和被认证设备中,即预装认证设备工作证书和根证书至认证设备,预装被认证设备工作证书和根证书至被认证设备。为了提供安全性,对所述公私密钥对使用本地数据保护。
优选地,认证设备通过交互协议携带SSL/TLS握手数据,从被认证设备获取被认证设备工作证书,使用根证书验证被认证设备工作证书的合法性,当验证合法,生成第一数字签名。
优选地,认证设备还通过交互协议携带SSL/TLS握手数据,从被认证设备获取被认证设备的关键属性信息:设备号NBi、唯一身份标志IDB
优选地,认证设备生成了一对临时公私钥对rA,RA。所述临时公私钥对可根据需要选择不同复杂度算法、安全等级算法的实现方式。
优选地,第一数字签名生成模块31利用被认证设备的关键属性信息(被认证设备设备号(NBi)、被认证设备唯一身份标识(IDB))、认证设备唯一身份标识(IDA)、认证设备临时公钥(RA)和认证设备公钥(PA)5个参数,使用SM3公用算法计算杂凑值HA
第一数字签名生成模块31使用SM2算法对所述杂凑值HA进行加密,生成第一数字签名SA;具体地,认证设备用认证设备私钥dA对HA进行数字签名,生成第一数字签名SA。
认证设备将所述第一数字签名SA与认证设备临时公钥RA通过设备交互协议发送给被认证设备进行身份认证。
在验证模块32的一种优选实现方式中,
优选地,被认证设备利用与认证设备相同的方式,重新利用被认证设备设备号(NAi)、认证设备唯一身份标识(IDA)、被认证设备唯一身份标识(IDB)、认证设备临时公钥(RA)和认证设备公钥(PA)5个参数,使用SM3公用算法计算杂凑值H'A;利用认证设备公钥(PA)对所接收到的第一数字签名进行验签,对计算得到的杂凑值H'A与验签得到的杂凑值HA进行比较,如果相同,则验证通过,继续执行下一步操作;如果不同,则认证失败,退出认证流程。验证通过后,被认证设备利用认证设备的关键属性信息(认证设备设备号(NAi)、认证设备设备唯一身份标识(IDA))、被认证设备设备唯一身份标识(IDB)被认证设备临时公钥(RB)和被认证设备公钥(PB)5个参数,使用SM3公用算法计算杂凑值(HB);使用SM2算法对HB进行数字签名,即利用被认证设备私钥dB生成第二数字签名SB。被认证设备通过传输协议把第二数字签名SB和被认证设备临时公钥RB,发送给认证设备。
验证模块32接收被认证设备发送的第二数字签名SB,利用与被认证设备相同的方式,重新利用认证设备关键属性信息(认证设备设备号(NAi)、认证设备设备唯一身份标识(IDA))、被认证设备设备唯一身份标识(IDB)、被认证设备临时公钥(RB)和被认证设备公钥(PB)5个参数,使用SM3公用算法计算杂凑值(H'B);利用被认证设备公钥(PB)对所接收到的第二数字签名进行验签,对计算得到的杂凑值H'B与验签得到的杂凑值HB进行比较,如果相同,则验证通过,继续执行下一步操作;如果不同,则认证失败,退出认证流程。
在数据传输模块33的一种优选实现方式中,
数据传输模块33向被认证设备发送认证成功信息,根据认证设备临时私钥rA以及被认证设备临时公钥RB作为会话秘钥进行数据传输。
优选地,使用被认证设备临时公钥RB对待发送数据进行加密,使用认证设备临时私钥rA对加密后的待发送数据进行签名。
优选地,使用被认证设备临时公钥RB对接收数据进行验证,验证通过后,使用认证设备临时私钥rA进行解密。
优选地,认证设备和被认证设备可以采用任意方式的适合数据可靠性传输的协议。
优选地,认证设备的关键属性信息可以是认证设备设备号,认证设备唯一标识或者其他认证设备的关键属性。
优选地,被认证设备的关键属性信息可以是被认证设备设备号,被认证设备唯一标识或者其他被认证设备的关键属性。
在本实施例的一种优选实现方式中,认证设备和被认证设备可以基于低速传输通道,比如单线串口、双线串口、ios7816等设备接口进行连接;也可以基于高速接口(如USB、蓝牙、红外等)和网络通道(如网络协议通道)进行连接。
例如,认证设备和被认证设备使用TTL电路,在一个数据线、一个共地线上实现数异步传输据传输。为了适用市场上单线串口速率不统一,在大数据传输时效率低的情况,实现低速率下协商数据传输速率,后续数据在高速率传输的功能。
图4为本申请另一实施例提供的双向认证系统的结构示意图,如图4所示,包括:
验证模块41,用于接收认证设备生成的第一数字签名与认证设备临时公钥,对所述第一数字签名进行验证;
第二数字签名生成模块42,用于对所接收的第一数字签名验证通过后,生成第二数字签名与被认证设备临时公钥,发送给认证设备;
数据传输模块43,用于接收认证设备发送的认证成功信息,利用所述被认证设备临时私钥以及认证设备临时公钥与认证设备进行数据传输。
在所述验证模块41的一种优选实现方式中,
优选地,CA中心(Certificate Authority,证书授权中心,采用Public KeyInfrastructure公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构)预装认证设备工作证书和根证书至认证设备,预装被认证设备工作证书和根证书至被认证设备。其中,认证设备工作证书由根证书对应私钥对认证设备公钥PA签名生成,被认证设备工作证书由根证书对应私钥对被认证设备公钥签名生成。
优选地,若认证设备和被认证设备为嵌入式设备,因此,CA认证使用本地数据,将注册过的CA公私密钥对存放在认证设备和被认证设备中,即预装认证设备工作证书和根证书至认证设备,预装被认证设备工作证书和根证书至被认证设备。为了提供安全性,对所述公私密钥对使用本地数据保护。
优选地,被认证设备通过交互协议携带SSL/TLS握手数据,从认证设备获取认证设备工作证书,使用根证书验证认证设备工作证书的合法性。
优选地,被认证设备还通过交互协议携带SSL/TLS握手数据,从认证设备获取认证设备的关键属性信息:设备号NAi,设备唯一身份标识IDA
优选地,验证模块41利用与认证设备相同的方式,重新利用被认证设备的关键属性信息(被认证设备设备号(NBi)、被认证设备唯一身份标识(IDB))、认证设备唯一身份标识(IDA)、认证设备临时公钥(RA)和认证设备公钥(PA)5个参数,使用SM3公用算法计算杂凑值H'A;利用认证设备公钥(PA)对所接收到的第一数字签名进行验签,对计算得到的杂凑值H'A与验签得到的杂凑值HA进行比较,如果相同,则验证通过,继续执行下一步操作;如果不同,则认证失败,退出认证流程。
在第二数字签名生成模块42的一种优选实现方式中,
优选地,被认证设备生成了一对临时公私钥对rB,RB。所述临时公私钥对可根据需要选择不同复杂度算法、安全等级算法的实现方式。
被认证设备利用认证设备的关键属性信息(认证设备设备号(NAi)、认证设备设备唯一身份标识(IDA))、被认证设备设备唯一身份标识(IDB)被认证设备临时公钥(RB)和被认证设备公钥(PB)5个参数,使用SM3公用算法计算杂凑值(HB);使用SM2算法对HB进行数字签名,即利用被认证设备私钥dB生成第二数字签名SB。被认证设备通过传输协议把第二数字签名SB和被认证设备临时公钥RB,发送给认证设备。
优选地,认证设备接收被认证设备发送的第二数字签名SB,利用与被认证设备相同的方式,重新利用认证设备的关键属性信息(认证设备设备号(NAi)、认证设备设备唯一身份标识(IDA))、被认证设备设备唯一身份标识(IDB)、被认证设备临时公钥(RB)和被认证设备公钥(PB)5个参数,使用SM3公用算法计算杂凑值(H'B);利用被认证设备公钥(PB)对所接收到的第二数字签名进行验签,对计算得到的杂凑值H'B与验签得到的杂凑值HB进行比较,如果相同,则验证通过,向被认证设备发送认证成功信息;否则,认证失败。
在数据传输模块43的一种优选实现方式中,
数据传输模块43接收认证设备发送的认证成功信息,根据被认证设备临时私钥rB以及认证设备临时公钥RA作为会话秘钥进行数据传输。
优选地,使用认证设备临时公钥RA对接收数据进行验证,验证通过后,使用被认证设备临时私钥rB进行解密。
优选地,使用认证设备临时公钥RA对待发送数据进行加密,使用被认证设备临时私钥rB对加密后的待发送数据进行签名。
优选地,认证设备和被认证设备可以采用任意方式的适合数据可靠性传输的协议。
优选地,认证设备的关键属性信息可以是认证设备设备号,认证设备唯一标识或者其他认证设备的关键属性。
优选地,被认证设备的关键属性信息可以是被认证设备设备号,被认证设备唯一标识或者其他被认证设备的关键属性。
在本实施例的一种优选实现方式中,认证设备和被认证设备可以基于低速传输通道,比如单线串口、双线串口、ios7816等设备接口进行连接;也可以基于高速接口(如USB、蓝牙、红外等)和网络通道(如网络协议通道)进行连接。
例如,认证设备和被认证设备使用TTL电路,在一个数据线、一个共地线上实现数异步传输据传输。为了适用市场上单线串口速率不统一,在大数据传输时效率低的情况,实现低速率下协商数据传输速率,后续数据在高速率传输的功能。
本实施例所述系统,实现了认证设备与被认证设备的双向认证,实现了密钥交换协商,进一步提高了身份验证的安全性。
在本申请所提供的几个实施例中,应该理解到,所揭露的方法和装置,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。所述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
图5示出了适于用来实现本发明实施方式的示例性计算机系统/服务器012的框图。图5显示的计算机系统/服务器012仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图5所示,计算机系统/服务器012以通用计算设备的形式表现。计算机系统/服务器012的组件可以包括但不限于:一个或者多个处理器或者处理单元016,系统存储器028,连接不同系统组件(包括系统存储器028和处理单元016)的总线018。
总线018表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。
计算机系统/服务器012典型地包括多种计算机系统可读介质。这些介质可以是任何能够被计算机系统/服务器012访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
系统存储器028可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)030和/或高速缓存存储器032。计算机系统/服务器012可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统034可以用于读写不可移动的、非易失性磁介质(图5未显示,通常称为“硬盘驱动器”)。尽管图5中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线018相连。存储器028可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块042的程序/实用工具040,可以存储在例如存储器028中,这样的程序模块042包括——但不限于——操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块042通常执行本发明所描述的实施例中的功能和/或方法。
计算机系统/服务器012也可以与一个或多个外部设备014(例如键盘、指向设备、显示器024等)通信,在本发明中,计算机系统/服务器012与外部雷达设备进行通信,还可与一个或者多个使得用户能与该计算机系统/服务器012交互的设备通信,和/或与使得该计算机系统/服务器012能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口022进行。并且,计算机系统/服务器012还可以通过网络适配器020与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图5所示,网络适配器020通过总线018与计算机系统/服务器012的其它模块通信。应当明白,尽管图5中未示出,可以结合计算机系统/服务器012使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
处理单元016通过运行存储在系统存储器028中的程序,从而执行本发明所描述的实施例中的功能和/或方法。
上述的计算机程序可以设置于计算机存储介质中,即该计算机存储介质被编码有计算机程序,该程序在被一个或多个计算机执行时,使得一个或多个计算机执行本发明上述实施例中所示的方法流程和/或装置操作。
随着时间、技术的发展,介质含义越来越广泛,计算机程序的传播途径不再受限于有形介质,还可以直接从网络下载等。可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更优选地例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
本领域技术人员可以理解,实现上述实施例方法的全部或部分流程,可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机可读存储介质中。其中,所述计算机可读存储介质为磁盘、光盘、只读存储记忆体或随机存储记忆体等。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。

Claims (10)

1.一种双向认证方法,其特征在于,包括:
认证设备生成第一数字签名和认证设备临时公钥;将所述第一数字签名与认证设备临时公钥发送给被认证设备,由被认证设备进行验证;
接收被认证设备对所接收的第一数字签名验证通过后生成的第二数字签名与被认证设备临时公钥;
对所述第二数字签名进行验证;验证成功后,向被认证设备发送认证成功信息;
利用所述认证设备临时私钥以及被认证设备临时公钥与被认证设备进行数据传输。
2.根据权利要求1所述的方法,其特征在于,认证设备生成第一数字签名和认证设备临时公钥包括:
所述认证设备生成一对临时公私钥对;利用被认证设备关键属性(被认证设备设备号、被认证设备唯一身份标识)、认证设备唯一身份标识、认证设备临时公钥和认证设备公钥计算杂凑值,使用认证设备私钥对所述杂凑值进行数字签名,生成第一数字签名。
3.根据权利要求1所述的方法,其特征在于,对所述第二数字签名进行验证包括:
利用认证设备关键属性(认证设备号、认证设备唯一身份标识)、被认证设备唯一身份标识、被认证设备临时公钥和被认证设备公钥计算杂凑值;利用被认证设备公钥对所接收到的第二数字签名进行验签,对计算得到的杂凑值与验签得到的杂凑值进行比较,若相等,则说明通信对方是已知并可信的。
4.根据权利要求1所述的方法,其特征在于,利用所述认证设备临时私钥以及被认证设备临时公钥与被认证设备进行数据传输包括:
使用被认证设备临时公钥对待发送数据进行加密,使用认证设备临时私钥对加密后的待发送数据进行签名;
使用被认证设备临时公钥对接收数据进行验证,使用认证设备临时私钥进行解密。
5.一种双向认证方法,其特征在于,包括以下步骤:
被认证设备接收认证设备生成的第一数字签名与认证设备临时公钥,对所述第一数字签名进行验证;
对所接收的第一数字签名验证通过后,生成第二数字签名与被认证设备临时公钥,发送给认证设备;
接收认证设备发送的认证成功信息,利用所述被认证设备临时私钥以及认证设备临时公钥与认证设备进行数据传输。
6.根据权利要求5所述的方法,其特征在于,对所述第一数字签名进行验证包括:
利用被认证设备关键属性(被认证设备号、被认证设备唯一身份标识)、认证设备唯一身份标识、认证设备临时公钥和认证设备公钥计算杂凑值;利用认证设备公钥对所接收到的第一数字签名进行验签,对计算得到的杂凑值与验签得到的杂凑值进行比较,若相等,则说明通信对方是已知并可信的。
7.根据权利要求5所述的方法,其特征在于,生成第二数字签名包括:
被认证设备生成一对临时公私钥对;利用认证设备关键属性(认证设备号、认证设备设备唯一身份标识、)被认证设备设备唯一身份标识、被认证设备临时公钥和被认证设备公钥计算杂凑值,利用被认证设备私钥生成第二数字签名。
8.根据权利要求5所述的方法,其特征在于,利用所述被认证设备临时私钥以及认证设备临时公钥与认证设备进行数据传输包括:
使用认证设备临时公钥对接收数据进行验证,使用被认证设备临时私钥进行解密;
使用认证设备临时公钥对待发送数据进行加密,使用被认证设备临时私钥对加密后的待发送数据进行签名。
9.一种双向认证系统,其特征在于,包括:
第一数字签名生成模块,用于生成第一数字签名;将所述第一数字签名与认证设备临时公钥发送给被认证设备,由被认证设备进行验证;
验证模块,用于接收被认证设备对所接收的第一数字签名验证通过后生成的第二数字签名和被认证设备临时公钥;对所述第二数字签名进行验证;
数据传输模块,用于向被认证设备发送认证成功信息,利用所述认证设备临时私钥以及被认证设备临时公钥与被认证设备进行数据传输。
10.根据权利要求9所述的系统,其特征在于,所述第一数字签名生成模块,具体用于:
生成一对临时公私钥对;利用被认证设备关键属性(被认证设备设备号、被认证设备唯一身份标识)、认证设备唯一身份标识、认证设备临时公钥和认证设备公钥计算杂凑值,使用认证设备私钥对所述杂凑值进行数字签名,生成第一数字签名。
CN201810159935.2A 2018-02-26 2018-02-26 一种双向认证方法和系统 Active CN108366069B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810159935.2A CN108366069B (zh) 2018-02-26 2018-02-26 一种双向认证方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810159935.2A CN108366069B (zh) 2018-02-26 2018-02-26 一种双向认证方法和系统

Publications (2)

Publication Number Publication Date
CN108366069A true CN108366069A (zh) 2018-08-03
CN108366069B CN108366069B (zh) 2020-11-13

Family

ID=63002533

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810159935.2A Active CN108366069B (zh) 2018-02-26 2018-02-26 一种双向认证方法和系统

Country Status (1)

Country Link
CN (1) CN108366069B (zh)

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109145626A (zh) * 2018-09-05 2019-01-04 郑州云海信息技术有限公司 一种raid硬件加密装置与方法
CN109257374A (zh) * 2018-10-31 2019-01-22 百度在线网络技术(北京)有限公司 安全控制方法、装置和计算机设备
CN109509314A (zh) * 2018-12-15 2019-03-22 深圳市捷诚技术服务有限公司 Pos终端的模式切换方法、装置、存储介质以及pos终端
CN110460674A (zh) * 2019-08-21 2019-11-15 中国工商银行股份有限公司 一种信息推送方法、装置及系统
CN111030824A (zh) * 2019-11-29 2020-04-17 国核自仪系统工程有限公司 工业控制设备的识别系统、方法、介质及电子设备
CN111523107A (zh) * 2020-03-20 2020-08-11 北京元心科技有限公司 用于usb数据交换身份认证的方法、系统及相应计算机设备
WO2020172887A1 (zh) * 2019-02-28 2020-09-03 云图有限公司 数据处理方法、装置、智能卡、终端设备和服务器
CN112187544A (zh) * 2020-09-30 2021-01-05 深圳忆联信息系统有限公司 固件升级方法、装置、计算机设备及存储介质
CN112242993A (zh) * 2020-09-02 2021-01-19 海量安全技术有限公司 双向认证方法及系统
CN112788011A (zh) * 2020-12-30 2021-05-11 上海浦东发展银行股份有限公司 一种基于国密算法的网关双向认证系统及方法
US20210184869A1 (en) * 2019-12-17 2021-06-17 Microchip Technology Incorporated Mutual authentication protocol for systems with low-throughput communication links, and devices for performing the same
CN112995140A (zh) * 2021-02-04 2021-06-18 中国神华能源股份有限公司国华电力分公司 安全管理系统及方法
CN114065171A (zh) * 2021-11-11 2022-02-18 北京海泰方圆科技股份有限公司 一种身份认证方法、装置、系统、设备及介质
CN114499891A (zh) * 2022-03-21 2022-05-13 宁夏凯信特信息科技有限公司 一种签名服务器系统以及签名验证方法
CN115529127A (zh) * 2022-09-23 2022-12-27 中科海川(北京)科技有限公司 基于sd-wan场景的设备认证方法、装置、介质、设备
CN115664669A (zh) * 2022-09-29 2023-01-31 鼎铉商用密码测评技术(深圳)有限公司 金融设备认证方法、取款机、外接设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006262425A (ja) * 2005-03-16 2006-09-28 Shin Sato 公開鍵暗号方式によるネットワーク上での相互認証および公開鍵の相互交換システム
CN101183938A (zh) * 2007-10-22 2008-05-21 华中科技大学 一种无线网络安全传输方法、系统及设备
CN101599959A (zh) * 2009-07-10 2009-12-09 西北工业大学 基于身份的匿名双向认证方法
US20100228968A1 (en) * 2009-03-03 2010-09-09 Riverbed Technology, Inc. Split termination of secure communication sessions with mutual certificate-based authentication
US8443194B2 (en) * 2010-10-05 2013-05-14 Brandenburgische Technische Universität Cottbus Method of authentication and session key agreement for secure data transmission, a method for securely transmitting data, and an electronic data transmission system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006262425A (ja) * 2005-03-16 2006-09-28 Shin Sato 公開鍵暗号方式によるネットワーク上での相互認証および公開鍵の相互交換システム
CN101183938A (zh) * 2007-10-22 2008-05-21 华中科技大学 一种无线网络安全传输方法、系统及设备
US20100228968A1 (en) * 2009-03-03 2010-09-09 Riverbed Technology, Inc. Split termination of secure communication sessions with mutual certificate-based authentication
CN101599959A (zh) * 2009-07-10 2009-12-09 西北工业大学 基于身份的匿名双向认证方法
US8443194B2 (en) * 2010-10-05 2013-05-14 Brandenburgische Technische Universität Cottbus Method of authentication and session key agreement for secure data transmission, a method for securely transmitting data, and an electronic data transmission system

Cited By (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109145626A (zh) * 2018-09-05 2019-01-04 郑州云海信息技术有限公司 一种raid硬件加密装置与方法
CN109257374A (zh) * 2018-10-31 2019-01-22 百度在线网络技术(北京)有限公司 安全控制方法、装置和计算机设备
CN109257374B (zh) * 2018-10-31 2021-09-03 百度在线网络技术(北京)有限公司 安全控制方法、装置和计算机设备
CN109509314A (zh) * 2018-12-15 2019-03-22 深圳市捷诚技术服务有限公司 Pos终端的模式切换方法、装置、存储介质以及pos终端
WO2020172887A1 (zh) * 2019-02-28 2020-09-03 云图有限公司 数据处理方法、装置、智能卡、终端设备和服务器
CN110460674A (zh) * 2019-08-21 2019-11-15 中国工商银行股份有限公司 一种信息推送方法、装置及系统
CN111030824A (zh) * 2019-11-29 2020-04-17 国核自仪系统工程有限公司 工业控制设备的识别系统、方法、介质及电子设备
US20210184869A1 (en) * 2019-12-17 2021-06-17 Microchip Technology Incorporated Mutual authentication protocol for systems with low-throughput communication links, and devices for performing the same
CN111523107A (zh) * 2020-03-20 2020-08-11 北京元心科技有限公司 用于usb数据交换身份认证的方法、系统及相应计算机设备
CN112242993A (zh) * 2020-09-02 2021-01-19 海量安全技术有限公司 双向认证方法及系统
CN112187544B (zh) * 2020-09-30 2023-08-08 深圳忆联信息系统有限公司 固件升级方法、装置、计算机设备及存储介质
CN112187544A (zh) * 2020-09-30 2021-01-05 深圳忆联信息系统有限公司 固件升级方法、装置、计算机设备及存储介质
CN112788011A (zh) * 2020-12-30 2021-05-11 上海浦东发展银行股份有限公司 一种基于国密算法的网关双向认证系统及方法
CN112995140B (zh) * 2021-02-04 2023-03-24 中国神华能源股份有限公司国华电力分公司 安全管理系统及方法
CN112995140A (zh) * 2021-02-04 2021-06-18 中国神华能源股份有限公司国华电力分公司 安全管理系统及方法
CN114065171B (zh) * 2021-11-11 2022-07-08 北京海泰方圆科技股份有限公司 一种身份认证方法、装置、系统、设备及介质
CN114065171A (zh) * 2021-11-11 2022-02-18 北京海泰方圆科技股份有限公司 一种身份认证方法、装置、系统、设备及介质
CN114499891A (zh) * 2022-03-21 2022-05-13 宁夏凯信特信息科技有限公司 一种签名服务器系统以及签名验证方法
CN115529127A (zh) * 2022-09-23 2022-12-27 中科海川(北京)科技有限公司 基于sd-wan场景的设备认证方法、装置、介质、设备
CN115529127B (zh) * 2022-09-23 2023-10-03 中科海川(北京)科技有限公司 基于sd-wan场景的设备认证方法、装置、介质、设备
CN115664669A (zh) * 2022-09-29 2023-01-31 鼎铉商用密码测评技术(深圳)有限公司 金融设备认证方法、取款机、外接设备及存储介质
CN115664669B (zh) * 2022-09-29 2023-08-04 鼎铉商用密码测评技术(深圳)有限公司 金融设备认证方法、取款机、外接设备及存储介质

Also Published As

Publication number Publication date
CN108366069B (zh) 2020-11-13

Similar Documents

Publication Publication Date Title
CN108366069A (zh) 一种双向认证方法和系统
CN113783836B (zh) 基于区块链和ibe算法的物联网数据访问控制方法及系统
CN109274503A (zh) 分布式协同签名方法及分布式协同签名装置、软盾系统
CN109462472A (zh) 数据加密和解密的方法、装置和系统
CN109309565A (zh) 一种安全认证的方法及装置
CN110380852A (zh) 双向认证方法及通信系统
CN103269271B (zh) 一种备份电子签名令牌中私钥的方法和系统
CN110336774A (zh) 混合加密解密方法、设备及系统
CN103916363B (zh) 加密机的通讯安全管理方法和系统
CN106452782A (zh) 为终端设备生成安全通信信道的方法和系统
JP5954609B1 (ja) 電子署名トークンの私有鍵のバックアップ方法およびシステム
CN109479049A (zh) 用于密钥供应委托的系统、设备和方法
CN106897879A (zh) 基于pki‑clc异构聚合签密算法的区块链加密方法
CN102893575B (zh) 借助于ipsec和ike第1版认证的一次性密码
CN111935213B (zh) 一种基于分布式的可信认证虚拟组网系统及方法
CN102984273B (zh) 虚拟磁盘加密方法、解密方法、装置及云服务器
CN110535626B (zh) 基于身份的量子通信服务站保密通信方法和系统
CN111931158A (zh) 一种双向认证方法、终端以及服务器
CN109981287A (zh) 一种代码签名方法及其存储介质
CN113515756B (zh) 基于区块链的高可信数字身份管理方法及系统
CN109800588A (zh) 条码动态加密方法及装置、条码动态解密方法及装置
CN108683665A (zh) 光纤通信中的数据加密方法、系统及数据发送设备
CN102761556A (zh) 保护移动客户端通信保密性及隐私功能的方法
CN107135081A (zh) 一种双证书ca系统及其实现方法
CN109302432A (zh) 基于网络安全隔离技术的网络通信数据组合加密传输方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant