CN116055188A - 设备的双向认证方法、双向认证装置及双向认证系统 - Google Patents
设备的双向认证方法、双向认证装置及双向认证系统 Download PDFInfo
- Publication number
- CN116055188A CN116055188A CN202310042865.3A CN202310042865A CN116055188A CN 116055188 A CN116055188 A CN 116055188A CN 202310042865 A CN202310042865 A CN 202310042865A CN 116055188 A CN116055188 A CN 116055188A
- Authority
- CN
- China
- Prior art keywords
- field
- decryption
- plaintext data
- verification
- feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/72—Signcrypting, i.e. digital signing and encrypting simultaneously
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本申请涉及通信数据安全技术领域,公开了一种设备的双向认证方法。该方法包括:第一设备根据第一验证字段生成第一特征字段和第一明文数据,再生成第一加密流;第二设备根据第二验证字段生成第二特征字段,提取第一加密流的第一解密明文数据,再生成第二加密流;第一设备提取第二加密流的第一解密特征字段和第二解密明文数据,若第一解密特征字段和第一特征字段相同,利用第二解密明文数据的第二解密特征字段生成第三加密流;若第二解密特征字段和第二特征字段相同,认证通过;同时,两个设备根据第一明文数据和第二明文数据生成临时双向认证密钥。该方法可提高认证安全性。本申请还公开一种设备的双向认证装置和双向认证系统。
Description
技术领域
本申请涉及通信数据安全技术领域,例如涉及一种设备的双向认证方法、双向认证装置及双向认证系统。
背景技术
目前,MIFARE是NXP(Next Experience Semiconductors,恩智浦半导体公司)推出的存储卡芯片产品,其中MIFAREClassic属于逻辑加密芯片,被广泛用于交通卡、门禁卡、校园卡等系统中。Mifare1的安全性主要指卡中数据的安全性,要求卡中的数据不能被非法修改或窃听,由于MIFAREClassic得到广泛使用,其Mifare1的安全性非常重要。数据的安全性主要使用加密技术来保证,加密技术有两个关键因素:加密算法和密钥。
Mifare1(NXP拥有的一系列非接触式智能卡和近傍型卡技术的注册商标)在存储模块中存放本存储模块使用的两个密钥(KeyA,KeyB),且每个存储块都有各自的秘钥,密钥长度都为6字节。
Mifare1中使用了一种称为“Crypto1”的加密算法,支持ISO/IECDIS9798-2三次传送双向认证体制,认证成功才能进行对存储卡的读、写、加值、减值等后续操作,这些操作使用“Crypto1”加密流。
但是,自2007年以来,Mifare Classic芯片逐步被破解。2007年12月,K.Nohl和H.Plotz在柏林举行的CCC会议上介绍了对Mifare Classic 芯片进行逆向工程和安全的部分结果,公开了MifareClassic卡用于认证过程的随机数产生方法和算法,并指出其中的48bitcrypto1流密码已经被还原。2008年10月,荷兰奈梅亨Raboud大学(NRU)F.D.Garcia教授在西班牙ESORICS2008会发表他们研究小组还原了crypto1算法和认证方法。目前,网上已经有“Crypto1”的原理图及相关破解源代码。
为了实现两个设备(第一设备和第二设备)之间的安全通信,可通过如下步骤进行双向认证:S1、第一设备和第二设备获取对称密钥KeyS;S2、第一设备生成验证字段RA并将其发送至第二设备;S3、第二设备接收验证字段RA,并生成一个验证字段RB,使用对称加密算法、对称密钥KeyS加密“验证字段RA和验证字段RB”,得到密文,将得到的密文使用Hash算法计算Hash值,得到的Hash值作为会话密钥SeKey;S4、第二设备使用对称加密算法、会话密钥SeKey对预先规定的“B确认消息”进行加密,得到密文BData,第二设备将密文BData和验证字段RB一起发送至第一设备;S5、第一设备接收第二设备发送的密文BData和验证字段RB,使用对称加密算法、对称密钥KeyS加密“验证字段RA和验证字段RB”,得到密文,将得到的密文使用Hash算法计算Hash值,从而得到会话密钥SeKey;S6、第一设备使用对称加密算法、会话密钥SeKey对接收到的密文BData进行解密,如果解密成功且得到第二设备发送的“B确认消息”,则第一设备验证第二设备成功,执行步骤S7,否则,验证失败,终止第一设备和第二设备之间的会话;S7、第一设备使用对称加密算法、会话密钥SeKey对预先规定的“A确认消息”进行加密,得到密文AData,第一设备将密文AData发送至第二设备;S8、第二设备接收第一设备发送的密文AData,并使用对称加密算法、会话密钥SeKey对接收到的密文AData进行解密,如果解密成功且得到第一设备发送的“A确认消息”,则第二设备验证第一设备成功,执行步骤S9,否则,验证失败,终止第一设备和第二设备之间的会话;S9、第一设备和第二设备开始正常通信,通信过程中使用对称加密算法、会话密钥SeKey对发送和接收的数据进行加密和解密,直至完成此次会话。
在实现本申请实施例的过程中,发现相关技术中至少存在如下问题:
利用两个验证字段的hash值作为会话密钥SeKey,再利用确认消息的验证方式,来确保两个设备均有相同的会话密钥SeKey,使两个设备之间实现正常通信。在这个过程中,“A确认消息”或“B确认消息”均为一个预先设置的正确消息,那么,A确认消息和B确认消息一旦泄露,就容易通过逆向工程破解该会话密钥,导致该双向认证方式仍存在一定的安全风险。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本申请的背景的理解,因此可以包括不构成对本领普通技术人员已知的现有技术的信息。
发明内容
为了对披露的实施例的一些方面有基本的理解,下面给出了简单的概括。所述概括不是泛泛评述,也不是要确定关键/重要组成元素或描绘这些实施例的保护范围,而是作为后面的详细说明的序言。
本申请实施例提供了一种设备的双向认证方法、双向认证装置及双向认证系统,以提高设备双向认证的安全性,提高两个设备之间的通信安全。
在一些实施例中,设备的双向认证方法应用于第一设备,所述双向认证方法包括:
获得协商传输密钥以及第一验证字段;所述第一设备预存多组协商传输密钥,所获得的一组协商传输密钥与外部访问条件相关;
生成包含所述第一验证字段的第一明文数据,并通过预设数据处理方法对所述第一验证字段进行处理,以获得所述第一验证字段对应的第一特征字段;所述第一特征字段的长度小于所述第一验证字段的长度;
利用所述协商传输密钥对所述第一明文数据进行加密处理,以获得第一加密流,并将所述第一加密流发送至第二设备;使所述第二设备利用所述协商传输密钥对所述第一加密流进行解密,以获得所述第一明文数据对应的第一解密明文数据以及所述第一验证字段对应的第一解密字段;通过预设数据处理方法对所述第一解密字段进行处理,以获得所述第一解密字段对应的第一解密特征字段;获得第二验证字段并生成包含所述第二验证字段和所述第一解密特征字段的第二明文数据,通过预设数据处理方法对所述第二验证字段进行处理,以获得所述第二验证字段对应的第二特征字段,所述第二明文数据包括所述第二验证字段和所述第一解密特征字段;利用所述协商传输密钥对所述第二明文数据进行加密处理,以获得第二加密流;
接收所述第二设备发送的第二加密流;
通过所述协商传输密钥对所述第二加密流进行解密,以获得所述第二明文数据对应的第二解密明文数据以及所述第二解密明文数据中的第一解密特征字段;
在所述第一解密特征字段与所述第一特征字段相同的情况下,通过预设数据处理方法对所述第二加密流中的第二解密字段进行处理,以获得所述第二解密字段对应的第二解密特征字段;所述第二解密特征字段的长度小于所述第二解密字段的长度;
生成第三明文数据,利用所述协商传输密钥加密所述第三明文数据,以获得第三加密流,并向所述第二设备发送所述第三加密流,所述第三明文数据包括所述第二解密特征字段;使所述第二设备根据所述协商传输密钥解密所述第三加密流,以获得所述第三明文数据对应的第三解密明文数据,以及所述第三解密明文数据中的第二解密特征字段,并在所述第二解密特征字段与所述第二特征字段相同的情况下,确认认证通过;
根据所述第一明文数据和所述第二解密明文数据生成临时双向认证密钥;所述临时双向认证密钥用于在所述第一设备与所述第二设备之间完成认证通过后,所述第一设备对二者后续的通信数据进行加密或解密。
可选地,所述第一明文数据还包括所述协商传输加密算法对应的协商传输算法特征码;利用所述协商传输密钥对所述第一明文数据进行加密处理,以获得第一加密流,包括:利用所述协商传输密钥和所述协商传输加密算法对所述第一明文数据进行加密处理,以获得所述第一加密流。
可选地,通过预设数据处理方法对所述第一验证字段进行处理,以获得所述第一验证字段对应的第一特征字段,包括:通过预设数据处理方法对所述第一验证字段和所述协商传输算法特征码二者构成的整体进行处理,获得所述第一验证字段和所述协商传输算法特征码二者构成的整体对应的所述第一特征字段。
可选地,所述第二设备通过预设数据处理方法对所述第一解密字段进行处理,获得所述第一解密字段对应的第一解密特征字段,包括:所述第二设备通过预设数据处理方法对所述第一解密字段和所述协商传输算法特征码二者构成的整体进行处理,获得所述第一解密字段和所述协商传输算法特征码二者构成的整体对应的第一解密特征字段。
可选地,获得所述第一验证字段,包括:生成第一随机数,将所述第一随机数作为所述第一验证字段。
可选地,获得所述第二验证字段,包括:生成第二随机数,将所述第二随机数作为所述第二验证字段。
可选地,通过预设数据处理方法对所述第一验证字段进行处理,以获得所述第一验证字段对应的第一特征字段,包括:在所述第一验证字段中抽取第一预设位置的内容,将所述第一预设位置处抽取的内容作为所述第一特征字段。
可选地,通过预设数据处理方法对所述第一解密字段进行处理,以获得所述第一解密字段对应的第一解密特征字段,包括:在所述第一解密字段中抽取所述第一预设位置的内容,将所述第一预设位置处抽取的内容作为所述第一解密特征字段。
可选地,通过预设数据处理方法对所述第二验证字段进行处理,以获得所述第二验证字段对应的第二特征字段,包括:在所述第二验证字段中抽取第二预设位置的内容,将所述第二预设位置处抽取的内容作为所述第二特征字段。
可选地,通过预设数据处理方法对所述第二加密流中的第二解密字段进行处理,以获得所述第二解密字段对应的第二解密特征字段,包括:在所述第二解密字段中抽取所述第二预设位置的内容,将所述第二预设位置处抽取的内容作为所述第二解密特征字段。
可选地,获得所述协商传输密钥,包括:获得非接触式存储卡(IntegrateCircuitCard,ICC)的存储区密钥、扇区号以及识别码UID,根据所述存储区密钥、所述扇区号和所述UID,生成所述协商传输密钥;所获得的存储区密钥和扇区号与外部访问条件相关。
在一些实施例中,设备的双向认证方法应用于第二设备,所述双向认证方法包括:
接收第一设备发送的第一加密流,并获得协商传输密钥;所述第一加密流是所述第一设备通过如下方式获得的:获得协商传输密钥以及第一验证字段;生成包含所述第一验证字段的第一明文数据,并通过预设数据处理方法对所述第一验证字段进行处理,以获得所述第一验证字段对应的第一特征字段;所述第一特征字段的长度小于所述第一验证字段的长度;利用所述协商传输密钥对所述第一明文数据进行加密处理,以获得第一加密流;所述第一设备预存多组协商传输密钥,所获得的一组协商传输密钥与外部访问条件相关;
利用所述协商传输密钥对所述第一加密流进行解密,以获得所述第一明文数据对应的第一解密明文数据以及所述第一验证字段对应的第一解密字段;
通过预设数据处理方法对所述第一解密字段进行处理,以获得所述第一解密字段对应的第一解密特征字段;
获得第二验证字段;
生成包含所述第二验证字段和所述第一解密特征字段的第二明文数据,并通过预设数据处理方法对所述第二验证字段进行处理,以获得所述第二验证字段对应的第二特征字段;所述第二特征字段的长度小于所述第二验证字段的长度;
利用所述协商传输密钥对所述第二明文数据进行加密处理,以获得第二加密流,并将所述第二加密流发送至所述第一设备,使所述第一设备通过所述协商传输密钥对所述第二加密流进行解密,以获得第二解密明文数据以及所述第二解密明文数据中的第一解密特征字段;在所述第一解密特征字段与所述第一特征字段相同的情况下,通过预设数据处理方法对所述第二加密流中的第二解密字段进行处理,以获得所述第二解密字段对应的第二解密特征字段;所述第二解密特征字段的长度小于所述第二解密字段的长度;生成第三明文数据,利用所述协商传输密钥加密所述第三明文数据,以获得第三加密流;所述第三明文数据包括所述第二解密特征字段;
接收所述第一设备发送的第三加密流,并根据所述协商传输密钥解密所述第三加密流,以获得所述第三明文数据对应的第三解密明文数据,以及所述第三解密明文数据中的第二解密特征字段;
在所述第二解密特征字段与所述第二特征字段相同的情况下,确认认证通过;
根据所述第一解密明文数据和所述第二明文数据生成临时双向认证密钥;所述临时双向认证密钥用于在所述第一设备与所述第二设备之间完成认证通过后,所述第二设备对二者后续的通信数据进行加密或解密。
可选地,利用所述协商传输密钥对所述第一加密流进行解密,以获得所述第一明文数据对应的第一解密明文数据,包括:分别通过多种预设加密算法和所述协商传输密钥对所述第一加密流进行解密,获得多个解密流;提取每个解密流中的算法特征码,并获得每个解密流的长度;算法特征码与加密算法对应,所述第一加密流是所述第一设备通过所述协商传输密钥和协商传输算法特征码对应的协商传输加密算法进行加密的;将算法特征码和长度均合法的解密流确定为所述第一解密明文数据;所述第二设备还将所述第一解密明文数据所对应的加密算法作为协商传输加密算法,在与所述第一设备的后续认证过程中,利用所述协商传输加密算法对通信数据进行加密;第二设备还将所述第一解密明文数据中的算法特征码作为协商传输算法特征码,并通过预设数据处理方法对所述第一解密字段和所述协商传输算法特征码二者构成的整体进行处理,获得所述第一解密字段和所述协商传输算法特征码二者构成的整体对应的第一解密特征字段。
可选地,获得所述第一验证字段,包括:生成第一随机数,将所述第一随机数作为所述第一验证字段。
可选地,获得所述第二验证字段,包括:生成第二随机数,将所述第二随机数作为所述第二验证字段。
可选地,通过预设数据处理方法对所述第一验证字段进行处理,以获得所述第一验证字段对应的第一特征字段,包括:在所述第一验证字段中抽取第一预设位置的内容,将所述第一预设位置处抽取的内容作为所述第一特征字段。
可选地,通过预设数据处理方法对所述第一解密字段进行处理,以获得所述第一解密字段对应的第一解密特征字段,包括:在所述第一解密字段中抽取所述第一预设位置的内容,将所述第一预设位置处抽取的内容作为所述第一解密特征字段。
可选地,通过预设数据处理方法对所述第二验证字段进行处理,以获得所述第二验证字段对应的第二特征字段,包括:在所述第二验证字段中抽取第二预设位置的内容,将所述第二预设位置处抽取的内容作为所述第二特征字段。
可选地,通过预设数据处理方法对所述第二加密流中的第二解密字段进行处理,以获得所述第二解密字段对应的第二解密特征字段,包括:在所述第二解密字段中抽取所述第二预设位置的内容,将所述第二预设位置处抽取的内容作为所述第二解密特征字段。
可选地,所述第一设备获得所述协商传输密钥,包括:获得ICC的存储区密钥、扇区号以及UID,根据所述存储区密钥、所述扇区号和所述UID,生成所述协商传输密钥;所获得的存储区密钥和扇区号与外部访问条件相关。
在一些实施例中,双向认证系统包括第一设备和第二设备;
所述第一设备获得协商传输密钥以及第一验证字段;所述第一设备预存多组协商传输密钥,所获得的一组协商传输密钥与外部访问条件相关;
所述第一设备生成包含所述第一验证字段的第一明文数据,并通过预设数据处理方法对所述第一验证字段进行处理,以获得所述第一验证字段对应的第一特征字段;所述第一特征字段的长度小于所述第一验证字段的长度;
所述第一设备利用所述协商传输密钥对所述第一明文数据进行加密处理,以获得第一加密流,并将所述第一加密流发送至所述第二设备;
所述第二设备获得所述协商传输密钥;
所述第二设备利用所述协商传输密钥对所述第一加密流进行解密,以获得所述第一明文数据对应的第一解密明文数据以及所述第一验证字段对应的第一解密字段;
所述第二设备通过预设数据处理方法对所述第一解密字段进行处理,以获得所述第一解密字段对应的第一解密特征字段;
所述第二设备获得第二验证字段;
所述第二设备生成包含所述第二验证字段和所述第一解密特征字段的第二明文数据,并通过预设数据处理方法对所述第二验证字段进行处理,以获得所述第二验证字段对应的第二特征字段;所述第二特征字段的长度小于所述第二验证字段的长度;
所述第二设备利用所述协商传输密钥对所述第二明文数据进行加密处理,以获得第二加密流,并将所述第二加密流发送至所述第一设备;
所述第一设备通过所述协商传输密钥对所述第二加密流进行解密,以获得所述第二明文数据对应的第二解密明文数据以及所述第二解密明文数据中的第一解密特征字段;
所述第一设备在所述第一解密特征字段与所述第一特征字段相同的情况下,通过预设数据处理方法对所述第二加密流中的第二解密字段进行处理,以获得所述第二解密字段对应的第二解密特征字段;所述第二解密特征字段的长度小于所述第二解密字段的长度;
所述第一设备生成第三明文数据,利用所述协商传输密钥加密所述第三明文数据,以获得第三加密流,并向所述第二设备发送所述第三加密流,所述第三明文数据包括所述第二解密特征字段;
所述第二设备根据所述协商传输密钥解密所述第三加密流,以获得所述第三明文数据对应的第三解密明文数据,以及所述第三解密明文数据中的第二解密特征字段;
所述第二设备在所述第二解密特征字段与所述第二特征字段相同的情况下,确认认证通过;
所述第一设备根据所述第一明文数据和所述第二解密明文数据生成临时双向认证密钥,用于在所述第一设备与所述第二设备之间完成认证通过后,所述第一设备对二者后续的通信数据进行加密或解密;
所述第二设备根据所述第一解密明文数据和所述第二明文数据生成临时双向认证密钥,用于在所述第一设备与所述第二设备之间完成认证通过后,所述第二设备对二者后续的通信数据进行加密或解密。
在一些实施例中,设备的双向认证装置包括处理器和存储有程序指令的存储器,所述处理器被配置为在执行所述程序指令时,执行前述实施例提供的双向认证方法。
本申请实施例提供的设备的双向认证方法、双向认证装置及双向认证系统,可以实现以下技术效果:
第一设备通过第一明文数据和第二解密明文数据生成临时双向认证密钥,用于在第一设备与第二设备之间完成认证通过后,第一设备对二者后续的通信数据进行加密或解密;而第二设备通过第一解密明文数据和第二明文数据生成临时双向认证密钥,用于在第一设备与第二设备之间完成认证通过后,第二设备对二者后续的通信数据进行加密或解密。在这个过程中,第一设备通过第一特征字段和第一解密特征字段的比对,确认第二设备所获得的第一解密明文数据与第一设备的第一明文数据是相同的;第二设备通过第二特征字段和第二解密特征字段的比对,确认第一设备所获得第二解密字段与第二设备的第二明文数据是相同的,通过这种确认方式,确认了第一设备和第二设备具备相同的用于生成临时双向认证密钥的基础数据,之后第一设备和第二设备可利用该临时双向认证密钥直接进行数据通信,而无需再次的对该临时双向认证密钥进行验证,降低通过逆向工程破解该临时双向认证密钥的风险,提高了两个设备之间双向认证的安全性,提高了两个设备之间的通信安全。
以上的总体描述和下文中的描述仅是示例性和解释性的,不用于限制本申请。
附图说明
一个或一个以上实施例通过与之对应的附图进行示例性说明,这些示例性说明和附图并不构成对实施例的限定,附图中具有相同参考数字标号的元件视为类似的元件,并且其中:
图1a和图1b是本申请实施例提供的一种设备的双向认证方法的实施环境示意图;
图2是本申请提供的一种设备的双向认证方法的流程示意图;
图3是本申请实施例提供的一种设备的双向认证方法的流程示意图;
图4是本申请实施例提供的一种双向认证系统的示意图;
图5是本申请实施例提供的一种设备的双向认证装置的示意图。
具体实施方式
为了能够更加详尽地了解本申请实施例的特点与技术内容,下面结合附图对本申请实施例的实现进行详细阐述,所附附图仅供参考说明之用,并非用来限定本申请实施例。在以下的技术描述中,为方便解释起见,通过多个细节以提供对所披露实施例的充分理解。然而,在没有这些细节的情况下,一个或一个以上实施例仍然可以实施。在其它情况下,为简化附图,熟知的结构和装置可以简化展示。
本申请实施例的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请实施例的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含。
除非另有说明,术语“多个”表示两个以上。
本申请实施例中,字符“/”表示前后对象是一种“或”的关系。例如,A/B表示:A或B。
术语“和/或”是一种描述对象的关联关系,表示可以存在三种关系。例如,A和/或B,表示:A或B,或,A和B这三种关系。
图1a和图1b是本申请实施例提供的一种设备的双向认证方法的实施环境示意图。
如图1a所示,第一设备11和第二设备12可直接通信,彼此传输数据;或者,如图1b所示,第一设备11和第二设备12均与第三设备13通信,第三设备13能够将第一设备11的信息转发至第二设备12,将第二设备12的信息转发至第一设备11,第一设备11和第二设备12通过这样的方式实现相互通信。
第三设备13可为服务器。
第一设备11和第二设备12均包括通信模块以及计算模块(如CPU),二者通过通信模块实现通信功能,通过计算模块实现简单的逻辑计算功能。
在具体应用场景中,第一设备11和第二设备12可为物联网中的任意设备,该物联网可为工业场景中的物联网,如智慧生产;也可为家庭场景中的物联网,如智慧家庭。
或者,第一设备11和第二设备12中的一个为ICC,第一设备11和第二设备12中的另一个为接口设备(Interface Device,IFD)。
在本申请实施例中,第一设备根据第一设备生成的第一明文数据和第二设备生成的第二明文数据(第二解密明文数据)生成临时双向认证密钥,用于在第一设备与第二设备之间完成认证通过后,第一设备对二者后续的通信数据进行加密或解密;第二设备根据第一设备生成的第一明文数据(第一解密明文数据)和第二设备的第二明文数据生成临时双向认证密钥,用于在第一设备与第二设备之间完成认证通过后,第二设备对二者后续的通信数据进行加密或解密。第一设备和第二设备生成的临时双向认证密钥无需再次经过验证即可直接使用,降低被逆向工程破解的风险,提高了双向认证的安全性,提高了第一设备和第二设备之间的通信安全。
以下为对本申请所提供的设备的双向认证方法进行示例性说明,首先将该设备的双向认证方法应用于图1a和图1b中所示的第一设备进行示例性说明,再将该设备的双向认证方法应用于图1a和图1b中所示的第二设备进行示例性说明,最后再在图1a和图1b中所示的第一设备和第二设备交互通信的角度对该设备的双向认证方法进行示例性说明。
图2是本申请提供的一种设备的双向认证方法的流程示意图。以该设备的双向认证方法应用于图1a和图1b中的第一设备进行示例性说明。
如图2所示,设备的双向认证方法包括:
S201、获得协商传输密钥以及第一验证字段。
第一设备预存多组协商传输密钥,所获得的一组协商传输密钥与外部访问条件相关。例如,第一设备在多组协商传输密钥中获得外部访问条件对应的一组协商传输密钥。本领域技术人员可根据经验设置外部访问条件与协商传输密钥的对应关系,这里不再一一赘述。
可选地,获得协商传输密钥,包括:第一设备获得ICC的存储区密钥、扇区号以及UID,根据存储区密钥、扇区号和UID,生成协商传输密钥;所获得的存储区密钥和扇区号与外部访问条件相关。其中,在第一设备为ICC的情况下,ICC的存储区包括两个密钥,由外部访问条件指定ICC使用其中一个密钥,本领域技术人员可根据经验,设置外部访问条件与密钥的对应关系,这里不再一一赘述。
可将存储区密钥、扇区号和UID拼接为一个整体,在根据该拼接的整体生成协商传输密钥,如计算该拼接的整体的Hash值,将该拼接的整体的Hash值作为协商传输密钥,或者,把该拼接的整体通过加密算法的计算值作为协商传输密钥,或者,直接将该拼接的整体作为协商传输密钥。本领域技术人员可根据经验,采用一定的数据处理方法对存储区密钥、扇区号和UID拼接的整体进行处理,再将处理结果作为协商传输密钥,这里不再一一赘述。
可选地,获得第一验证字段,包括:生成第一随机数,将第一随机数作为第一验证字段。
S202、生成包含第一验证字段的第一明文数据,并通过预设数据处理方法对第一验证字段进行处理,以获得第一验证字段对应的第一特征字段。
第一特征字段的长度小于第一验证字段的长度。
其中,通过预设数据处理方法对第一验证字段进行处理,以获得第一验证字段对应的第一特征字段,可包括:在第一验证字段中抽取第一预设位置的内容,将第一预设位置处抽取的内容作为第一特征字段。
可选地,第一明文数据还包括协商传输加密算法对应的协商传输算法特征码,该算法特征码用于表示该明文数据是采用协商传输加密算法进行加密的。在此基础上,利用协商传输密钥对第一明文数据进行加密处理,以获得第一加密流,包括:利用协商传输密钥和协商传输加密算法对第一明文数据进行加密处理,以获得第一加密流。
进而,通过预设数据处理方法对第一验证字段进行处理,以获得第一验证字段对应的第一特征字段,可包括:通过预设数据处理方法对第一验证字段和协商传输算法特征码二者构成的整体进行处理,获得第一验证字段和协商传输算法特征码二者构成的整体对应的第一特征字段。
协商传输加密算法可为多种预设加密算法中的任一种。第一设备利用协商传输加密算法对第一明文数据进行加密。
S203、利用协商传输密钥对第一明文数据进行加密处理,以获得第一加密流,并将第一加密流发送至第二设备。
第一设备向第二设备发送的第一加密流能够使第二设备利用协商传输密钥对第一加密流进行解密,以获得第一明文数据对应的第一解密明文数据以及第一验证字段对应的第一解密字段;通过预设数据处理方法对第一解密字段进行处理,以获得第一解密字段对应的第一解密特征字段;获得第二验证字段并生成包含第二验证字段和第一解密特征字段的第二明文数据,通过预设数据处理方法对第二验证字段进行处理,以获得第二验证字段对应的第二特征字段,第二明文数据包括第二验证字段和第一解密特征字段;利用协商传输密钥对第二明文数据进行加密处理,以获得第二加密流。
第二设备通过外部输入的方式获得协商传输密钥。例如,第二设备可调用应用程序获得该协商传输密钥。
在第一明文数据包括第一验证字段和协商传输加密算法对应的协商传输算法特征码的情况下,第二设备中预置有多种预设加密算法以及每种加密算法的算法特征码。第二设备利用协商传输密钥对第一加密流进行解密,以获得第一明文数据对应的第一解密明文数据,包括:分别通过多种预设加密算法和协商传输密钥对第一加密流进行解密,获得多个解密流;提取每个解密流中的算法特征码,并获得每个解密流的长度;将算法特征码和长度均合法的解密流确定为第一解密明文数据。同时,第二设备还将第一解密明文数据所对应的加密算法作为协商传输加密算法,在与第一设备的后续认证过程中,利用协商传输加密算法对通信数据进行加密;第二设备还将第一解密明文数据中的算法特征码作为协商传输算法特征码,并通过预设数据处理方法对第一解密字段和协商传输算法特征码二者构成的整体进行处理,获得第一解密字段和协商传输算法特征码二者构成的整体对应的第一解密特征字段。
如果一个解密流中的算法特征码,与第二设备中预置多个算法特征码之一相同,则确定该一个解密流中的算法特征码合法;如果一个解密流中的算法特征码,与第二设备中预置多个算法特征码均不相同,则确定该一个解密流中的算法特征码非法。
第一设备和第二设备约定有第一明文数据的长度,如果一个解密流的长度度与约定长度相同,则确认该一个解密流的长度合法;如果一个解密流的长度与约定长度不相同,则确认该一个解密流的长度非法。
进一步地,第二设备通过预设数据处理方法对第一解密字段进行处理,获得第一解密字段对应的第一解密特征字段,可包括:第二设备通过预设数据处理方法对第一解密字段和协商传输算法特征码二者构成的整体进行处理,获得第一解密字段和协商传输算法特征码二者构成的整体对应的第一解密特征字段。
可选地,获得第二验证字段,可包括:生成第二随机数,将第二随机数作为第二验证字段。
可将存储区密钥、扇区号和UID拼接为一个整体,在根据该拼接的整体生成协商传输密钥,如计算该拼接的整体的Hash值,将该拼接的整体的Hash值作为协商传输密钥,或者,把该拼接的整体通过加密算法的计算值作为协商传输密钥,或者,直接将该拼接的整体作为协商传输密钥。本领域技术人员可根据经验,采用一定的数据处理方法对存储区密钥、扇区号和UID拼接的整体进行处理,再将处理结果作为协商传输密钥,这里不再一一赘述。
第二设备获得第一解密特征字段的方式与第一设备获得第一特征字段的方式对应。例如,通过预设数据处理方法对第一解密字段进行处理,以获得第一解密字段对应的第一解密特征字段,可包括:在第一解密字段中抽取第一预设位置的内容,将第一预设位置处抽取的内容作为第一解密特征字段。
可选地,通过预设数据处理方法对第二验证字段进行处理,以获得第二验证字段对应的第二特征字段,包括:在第二验证字段中抽取第二预设位置的内容,将第二预设位置处抽取的内容作为第二特征字段。
该第二预设位置与第一预设位置可相同,也可不相同。
S204、接收第二设备发送的第二加密流。
S205、通过协商传输密钥对第二加密流进行解密,以获得第二明文数据对应的第二解密明文数据以及第二解密明文数据中的第一解密特征字段。
S206、在第一解密特征字段与第一特征字段相同的情况下,通过预设数据处理方法对第二加密流中的第二解密字段进行处理,以获得第二解密字段对应的第二解密特征字段。
第二解密特征字段的长度小于第二解密字段的长度。
如果第一解密特征字段与第一特征字段相同,则可表示第二设备所接收并解密获得的第一解密明文数据和第一设备生成的第一明文数据相同,以便于使第一设备根据第一明文数据和第二解密明文数据生成的临时双向认证密钥,与第二设备根据第一解密明文数据和第二明文数据生成的临时双向认证密钥相同,进而避免对临时双向认证密钥的验证过程,减少被逆向工程破解的风险。
第一设备获得第二解密特征字段的方式与第二设备获得第二特征字段的方式对应。例如,通过预设数据处理方法对第二加密流中的第二解密字段进行处理,以获得第二解密字段对应的第二解密特征字段,可包括:在第二解密字段中抽取第二预设位置的内容,将第二预设位置处抽取的内容作为第二解密特征字段。
S207、生成第三明文数据,利用协商传输密钥加密第三明文数据,以获得第三加密流,并向第二设备发送第三加密流。
第三明文数据包括第二解密特征字段。
第一设备向第二发送的第三加密流能够使第二设备根据协商传输密钥解密第三加密流,以获得第三明文数据对应的第三解密明文数据,以及第三解密明文数据中的第二解密特征字段,并在第二解密特征字段与第二特征字段相同的情况下,确认认证通过。
如果第二解密特征字段与第二特征字段相同,则可表示第一设备所接收并解密获得第二解密明文数据和第二设备生成的第二明文数据相同,以便于使第一设备根据第一明文数据和第二解密明文数据生成的临时双向认证密钥,与第二设备根据第一解密明文数据和第二明文数据生成的临时双向认证密钥相同,进而避免对临时双向认证密钥的验证过程,减少被逆向工程破解的风险。
S208、根据第一明文数据和第二解密明文数据生成临时双向认证密钥;临时双向认证密钥用于在第一设备与第二设备之间完成认证通过后,第一设备对二者后续的通信数据进行加密或解密。
例如将第一明文数据和第二解密明文数据拼接为一个整体,计算该一个整体的Hash值,将该一个整体的Hash值作为临时双向认证密钥;或者,利用加密算法对该一个整体进行加密计算,将加密计算值作为临时双向认证密钥;或者,直接将该一个整体作为临时双向认证密钥。
第二设备也生成临时双向认证密钥,例如:第二设备根据第一解密明文数据和第二明文数据生成临时双向认证密钥,用于在第一设备与第二设备之间完成认证通过后,第二设备对二者后续的通信数据进行加密或解密。
第一设备通过第一明文数据和第二解密明文数据生成临时双向认证密钥,用于在第一设备与第二设备之间完成认证通过后,第一设备对二者后续的通信数据进行加密或解密;而第二设备通过第一解密明文数据和第二明文数据生成临时双向认证密钥,用于在第一设备与第二设备之间完成认证通过后,第二设备对二者后续的通信数据进行加密或解密。在这个过程中,第一设备通过第一特征字段和第一解密特征字段的比对,确认第二设备所获得的第一解密明文数据与第一设备的第一明文数据是相同的;第二设备通过第二特征字段和第二解密特征字段的比对,确认第一设备所获得第二解密字段与第二设备的第二明文数据是相同的,通过这种确认方式,确认了第一设备和第二设备具备相同的用于生成临时双向认证密钥的基础数据,之后第一设备和第二设备可利用该临时双向认证密钥直接进行数据通信,而无需再次的对该临时双向认证密钥进行验证,降低通过逆向工程破解该临时双向认证密钥的风险,提高了两个设备之间双向认证的安全性,提高了两个设备之间的通信安全。
以下对本申请实施例提到的预设加密算法进行示例性说明。本申请实施例中提到的加密算法包括但不限于SM1对称算法、SM4对称算法以及SM7对称密码。
其中,SM1算法是分组对称算法,分组长度为128位,密钥长度都为128比特,算法安全保密强度及相关软硬件实现性能与AES相当,算法不公开,仅以IP核的形式存在于芯片中。采用该算法已经研制了系列芯片、智能IC卡、智能密码钥匙、加密卡、加密机等安全产品,广泛应用于电子政务、电子商务及国民经济的各个应用领域(包括国家政务通、警务通等重要领域)。
SM4算法是一种分组密码算法,用于无线局域网产品,该算法的分组长度为128bit,加密算法与密钥扩展算法都采用32轮非线性迭代结构。解密算法与加密算法的结构相同,只是轮密钥的使用顺序相反,解密轮密钥是加密轮密钥的逆序。
SM7算法是一种分组密码算法,分组长度为128比特,密钥长度为128比特。SM7适用于非接触式IC卡,应用包括身份识别类应用(门禁卡、工作证、参赛证),票务类应用(大型赛事门票、展会门票),支付与通卡类应用(积分消费卡、校园一卡通、企业一卡通等)。
SM1和SM7对外是不公开的,如使用,需在芯片内部添加加密IP;本发明就是对现有非接触存储卡和接口设备的芯片IC升级,在升级的芯片中加入硬件加密IP电路即可。
在上述预设加密算法的使用过程中,在存储模块中同样存放本存储模块使用的两个密钥(KeyA,KeyB),且每个存储块同样都有各自的密钥,密钥长度都为16字节。
图3是本申请实施例提供的一种设备的双向认证方法的流程示意图。以该设备的双向认证方法应用于图1a和图1b中的第二设备进行示例性说明。
如图3所示,设备的双向认证方法包括:
S301、接收第一设备发送的第一加密流,并获得协商传输密钥。
第二设备通过外部输入的方式获得协商传输密钥。例如,第二设备可调用应用程序获得该协商传输密钥。
第一加密流是第一设备通过如下方式获得的:获得协商传输密钥以及第一验证字段;生成包含第一验证字段的第一明文数据,并通过预设数据处理方法对第一验证字段进行处理,以获得第一验证字段对应的第一特征字段;第一特征字段的长度小于第一验证字段的长度;利用协商传输密钥对第一明文数据进行加密处理,以获得第一加密流。
第一设备预存多组协商传输密钥,所获得的一组协商传输密钥与外部访问条件相关。例如,第一设备在多组协商传输密钥中获得外部访问条件对应的一组协商传输密钥。本领域技术人员可根据经验设置外部访问条件与协商传输密钥的对应关系,这里不再一一赘述。
可选地,第一设备获得协商传输密钥,包括:获得ICC的存储区密钥、扇区号以及UID,根据存储区密钥、扇区号和UID,生成协商传输密钥;所获得的存储区密钥和扇区号与外部访问条件相关。其中,在第一设备为ICC的情况下,ICC的存储区包括两个密钥,由外部访问条件指定ICC使用其中一个密钥,本领域技术人员可根据经验,设置外部访问条件与密钥的对应关系,这里不再一一赘述。
可将存储区密钥、扇区号和UID拼接为一个整体,再根据该拼接的整体生成协商传输密钥,如计算该拼接的整体的Hash值,将该拼接的整体的Hash值作为协商传输密钥,或者,把该拼接的整体通过加密算法的计算值作为协商传输密钥,或者,直接将该拼接的整体作为协商传输密钥。本领域技术人员可根据经验,采用一定的数据处理方法对存储区密钥、扇区号和UID拼接的整体进行处理,再将处理结果作为协商传输密钥,这里不再一一赘述。
可选地,获得第一验证字段,包括:生成第一随机数,将第一随机数作为第一验证字段。
可选地,第一设备通过预设数据处理方法对第一验证字段进行处理,以获得第一验证字段对应的第一特征字段,包括:在第一验证字段中抽取第一预设位置的内容,将第一预设位置处抽取的内容作为第一特征字段。
可选地,第一明文数据还包括协商传输加密算法对应的协商传输算法特征码,该算法特征码用于表示该明文数据是采用协商传输加密算法进行加密的。在此基础上,利用协商传输密钥对第一明文数据进行加密处理,以获得第一加密流,包括:利用协商传输密钥和协商传输加密算法对第一明文数据进行加密处理,以获得第一加密流。
进而,通过预设数据处理方法对第一验证字段进行处理,以获得第一验证字段对应的第一特征字段,可包括:通过预设数据处理方法对第一验证字段和协商传输算法特征码二者构成的整体进行处理,获得第一验证字段和协商传输算法特征码二者构成的整体对应的第一特征字段。
协商传输加密算法可为多种预设加密算法中的任一种。第一设备利用协商传输加密算法对第一明文数据进行加密。
S302、利用协商传输密钥对第一加密流进行解密,以获得第一明文数据对应的第一解密明文数据以及第一验证字段对应的第一解密字段。
其中,在第一明文数据包括第一验证字段和协商传输加密算法对应的协商传输算法特征码的情况下,第二设备中预置有多种预设加密算法以及每种加密算法的算法特征码。第二设备利用协商传输密钥对第一加密流进行解密,以获得第一明文数据对应的第一解密明文数据,包括:分别通过多种预设加密算法和协商传输密钥对第一加密流进行解密,获得多个解密流;提取每个解密流中的算法特征码,并获得每个解密流的长度;算法特征码与协商传输加密算法对应,所协商传输加密算法和协商传输密钥同时用于第一设备对第一明文数据进行加密处理,以获得第一加密流;将算法特征码和长度均合法的解密流确定为第一解密明文数据。
如果一个解密流中的算法特征码,与第二设备中预置多个算法特征码之一相同,则确定该一个解密流中的算法特征码合法;如果一个解密流中的算法特征码,与第二设备中预置多个算法特征码均不相同,则确定该一个解密流中的算法特征码非法。
第二设备和第一设备约定有第一明文数据的长度,如果一个解密流的长度与约定长度相同,则确认该一个解密流的长度合法;如果一个解密流的长度与约定长度不相同,则确认该一个解密流的长度非法。
第二设备还将第一解密明文数据所对应的加密算法作为协商传输加密算法,在与第一设备的后续认证过程中,利用协商传输加密算法对通信数据进行加密;第二设备还将第一解密明文数据中的算法特征码作为协商传输算法特征码,并通过预设数据处理方法对第一解密字段和协商传输算法特征码二者构成的整体进行处理,获得第一解密字段和协商传输算法特征码二者构成的整体对应的第一解密特征字段。
S303、通过预设数据处理方法对第一解密字段进行处理,以获得第一解密字段对应的第一解密特征字段。
第二设备获得第一解密特征字段的方式与第一设备获得第一特征字段的方式对应。例如,通过预设数据处理方法对第一解密字段进行处理,以获得第一解密字段对应的第一解密特征字段,可包括:在第一解密字段中抽取第一预设位置的内容,将第一预设位置处抽取的内容作为第一解密特征字段。
进一步地,在第一明文数据包括第一验证字段和协商传输加密算法对应的协商传输算法特征码的情况下,第二设备通过预设数据处理方法对第一解密字段进行处理,以获得第一解密字段对应的第一解密特征字段,可包括:第二设备通过预设数据处理方法对第一解密字段和协商传输算法特征码二者构成的整体进行处理,获得第一解密字段和协商传输算法特征码二者构成的整体对应的第一解密特征字段。
S304、获得第二验证字段。
可选地,获得第二验证字段,包括:生成第二随机数,将第二随机数作为第二验证字段。
S305、生成包含第二验证字段和第一解密特征字段的第二明文数据,并通过预设数据处理方法对第二验证字段进行处理,以获得第二验证字段对应的第二特征字段。
第二特征字段的长度小于第二验证字段的长度。
可选地,通过预设数据处理方法对第二验证字段进行处理,以获得第二验证字段对应的第二特征字段,包括:在第二验证字段中抽取第二预设位置的内容,将第二预设位置处抽取的内容作为第二特征字段。
第一预设位置与第一预设位置可相同,也可不相同。
S306、利用协商传输密钥对第二明文数据进行加密处理,以获得第二加密流,并将第二加密流发送至第一设备。
使第一设备通过协商传输密钥对第二加密流进行解密,以获得第二解密明文数据以及第二解密明文数据中的第一解密特征字段;在第一解密特征字段与第一特征字段相同的情况下,通过预设数据处理方法对第二加密流中的第二解密字段进行处理,以获得第二解密字段对应的第二解密特征字段;第二解密特征字段的长度小于第二解密字段的长度;生成第三明文数据,利用协商传输密钥加密第三明文数据,以获得第三加密流;第三明文数据包括第二解密特征字段。
第一设备获得第二解密特征字段的方式与第二设备获得第二特征字段的方式对应。例如,第一设备通过预设数据处理方法对第二加密流中的第二解密字段进行处理,以获得第二解密字段对应的第二解密特征字段,包括:在第二解密字段中抽取第二预设位置的内容,将第二预设位置处抽取的内容作为第二解密特征字段。
如果第一解密特征字段与第一特征字段相同,则可表示第二设备所接收并解密获得的第一解密明文数据和第一设备生成的第一明文数据相同,以便于使第一设备根据第一明文数据和第二解密明文数据生成的临时双向认证密钥,与第二设备根据第一解密明文数据和第二明文数据生成的临时双向认证密钥相同,进而避免对临时双向认证密钥的验证过程,减少被逆向工程破解的风险。
S307、接收第一设备发送的第三加密流,并根据协商传输密钥解密第三加密流,以获得第三明文数据对应的第三解密明文数据,以及第三解密明文数据中的第二解密特征字段。
S308、在第二解密特征字段与第二特征字段相同的情况下,确认认证通过。
如果第二解密特征字段与第二特征字段相同,则可表示第一设备所接收并解密获得第二解密明文数据和第二设备生成的第二明文数据相同,以便于使第一设备根据第一明文数据和第二解密明文数据生成的临时双向认证密钥,与第二设备根据第一解密明文数据和第二明文数据生成的临时双向认证密钥相同,进而避免对临时双向认证密钥的验证过程,减少被逆向工程破解的风险。
S309、根据第一解密明文数据和第二明文数据生成临时双向认证密钥;临时双向认证密钥用于在第一设备与第二设备之间完成认证通过后,第二设备对二者后续的通信数据进行加密或解密。
例如将第一明文数据和第二解密明文数据拼接为一个整体,计算该一个整体的Hash值,将该一个整体的Hash值作为临时双向认证密钥;或者,利用加密算法对该一个整体进行加密计算,将加密计算值作为临时双向认证密钥;或者,直接将该一个整体作为临时双向认证密钥。
第一设备也生成临时双向临时认证密钥,例如:第一设备第一明文数据和第二解密明文数据生成临时双向认证密钥,用于在第一设备与第二设备之间完成认证通过后,第二设备对二者后续的通信数据进行加密或解密。
第一设备通过第一明文数据和第二解密明文数据生成临时双向认证密钥,用于在第一设备与第二设备之间完成认证通过后,第一设备对二者后续的通信数据进行加密或解密;而第二设备通过第一解密明文数据和第二明文数据生成临时双向认证密钥,用于在第一设备与第二设备之间完成认证通过后,第二设备对二者后续的通信数据进行加密或解密。在这个过程中,第一设备通过第一特征字段和第一解密特征字段的比对,确认第二设备所获得的第一解密明文数据与第一设备的第一明文数据是相同的;第二设备通过第二特征字段和第二解密特征字段的比对,确认第一设备所获得第二解密字段与第二设备的第二明文数据是相同的,通过这种确认方式,确认了第一设备和第二设备具备相同的用于生成临时双向认证密钥的基础数据,之后第一设备和第二设备可利用该临时双向认证密钥直接进行数据通信,而无需再次的对该临时双向认证密钥进行验证,降低通过逆向工程破解该临时双向认证密钥的风险,提高了两个设备之间双向认证的安全性,提高了两个设备之间的通信安全。
图4是本申请实施例提供的一种双向认证系统的示意图,在第一设备和第二设备相互通信的角度,对双向认证系统进行示例性说明。
如图4所示,双向认证系统包括:
S401、第一设备获得协商传输密钥以及第一验证字段。
第一设备预存多组协商传输密钥,所获得的一组协商传输密钥与外部访问条件相关。
S402、第一设备生成包含第一验证字段的第一明文数据,并通过预设数据处理方法对第一验证字段进行处理,以获得第一验证字段对应的第一特征字段;第一特征字段的长度小于第一验证字段的长度。
S403、第一设备利用协商传输密钥对第一明文数据进行加密处理,以获得第一加密流,并将第一加密流发送至第二设备。
S404、第二设备获得协商传输密钥。
S405、第二设备利用协商传输密钥对第一加密流进行解密,以获得第一明文数据对应的第一解密明文数据以及第一验证字段对应的第一解密字段。
S406、第二设备通过预设数据处理方法对第一解密字段进行处理,以获得第一解密字段对应的第一解密特征字段。
S407、第二设备获得第二验证字段。
S408、第二设备生成包含第二验证字段和第一解密特征字段的第二明文数据,并通过预设数据处理方法对第二验证字段进行处理,以获得第二验证字段对应的第二特征字段。
第二特征字段的长度小于第二验证字段的长度。
S409、第二设备利用协商传输密钥对第二明文数据进行加密处理,以获得第二加密流,并将第二加密流发送至第一设备。
S410、第一设备通过协商传输密钥对第二加密流进行解密,以获得第二明文数据对应的第二解密明文数据以及第二解密明文数据中的第一解密特征字段。
S411、第一设备在第一解密特征字段与第一特征字段相同的情况下,通过预设数据处理方法对第二加密流中的第二解密字段进行处理,以获得第二解密字段对应的第二解密特征字段。
第二解密特征字段的长度小于第二解密字段的长度。
S412、第一设备生成第三明文数据,利用协商传输密钥加密第三明文数据,以获得第三加密流,并向第二设备发送第三加密流。
第三明文数据包括第二解密特征字段。
S413、第二设备根据协商传输密钥解密第三加密流,以获得第三明文数据对应的第三解密明文数据,以及第三解密明文数据中的第二解密特征字段。
S414、第二设备在第二解密特征字段与第二特征字段相同的情况下,确认认证通过。
S415、第一设备根据第一明文数据和第二解密明文数据生成临时双向认证密钥,用于在第一设备与第二设备之间完成认证通过后,第一设备对二者后续的通信数据进行加密或解密。
S416、第二设备根据第一解密明文数据和第二明文数据生成临时双向认证密钥,用于在第一设备与第二设备之间完成认证通过后,第二设备对二者后续的通信数据进行加密或解密。
在一些实施例中,设备的双向认证装置包括处理器和存储有程序指令的存储器,处理器被配置为在执行程序指令时,执行前述实施例提供设备的双向认证方法。
图5是本申请实施例提供的一种设备的双向认证装置的示意图。结合图5所示,设备的双向认证装置包括:
处理器(processor)51和存储器(memory)52,还可以包括通信接口(CommunicationInterface)53和总线54。其中,处理器51、通信接口53、存储器52可以通过总线54完成相互间的通信。通信接口53可以用于信息传输。处理器51可以调用存储器52中的逻辑指令,以执行前述实施例提供的设备的双向认证方法。
此外,上述的存储器52中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。
存储器52作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序,如本申请实施例中的方法对应的程序指令/模块。处理器51通过运行存储在存储器52中的软件程序、指令以及模块,从而执行功能应用以及数据处理,即实现上述方法实施例中的方法。
存储器52可包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端设备的使用所创建的数据等。此外,存储器52可以包括高速随机存取存储器,还可以包括非易失性存储器。
本申请实施例提供了一种计算机可读存储介质,存储有计算机可执行指令,计算机可执行指令设置为执行前述实施例提供的设备的双向认证方法。
本申请实施例提供了一种计算机程序产品,计算机程序产品包括存储在计算机可读存储介质上的计算机程序,计算机程序包括程序指令,当程序指令被计算机执行时,使计算机执行前述实施例提供的设备的双向认证方法。
上述的计算机可读存储介质可以是暂态计算机可读存储介质,也可以是非暂态计算机可读存储介质。
本申请实施例的技术方案可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括一个或一个以上指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请实施例中方法的全部或部分步骤。而前述的存储介质可以是非暂态存储介质,包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机读取存储器(Random AccessMemory,RAM)、磁碟或者光盘等多种可以存储程序代码的介质,也可以是暂态存储介质。
以上描述和附图充分地示出了本申请的实施例,以使本领域的技术人员能够实践它们。其他实施例可以包括结构的、逻辑的、电气的、过程的以及其他的改变。实施例仅代表可能的变化。除非明确要求,否则单独的部件和功能是可选的,并且操作的顺序可以变化。一些实施例的部分和特征可以被包括在或替换其他实施例的部分和特征。而且,本申请中使用的用词仅用于描述实施例并且不用于限制权利要求。如在实施例以及权利要求的描述中使用的,除非上下文清楚地表明,否则单数形式的“一个”(a)、“一个”(an)和“所述”(the)旨在同样包括复数形式。另外,当用于本申请中时,术语“包括”(comprise)及其变型“包括”(comprises)和/或包括(comprising)等指陈述的特征、整体、步骤、操作、元素,和/或组件的存在,但不排除一个或一个以上其它特征、整体、步骤、操作、元素、组件和/或这些的分组的存在或添加。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法或者设备中还存在另外的相同要素。本文中,每个实施例重点说明的可以是与其他实施例的不同之处,各个实施例之间相同相似部分可以互相参见。对于实施例公开的方法、产品等而言,如果其与实施例公开的方法部分相对应,那么相关之处可以参见方法部分的描述。
本领域技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,可以取决于技术方案的特定应用和设计约束条件。技术人员可以对每个特定的应用来使用不同方法以实现所描述的功能,但是这种实现不应认为超出本申请实施例的范围。技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本文所披露的实施例中,所揭露的方法、产品(包括但不限于装置、设备等),可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,可以仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例。另外,在本申请实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
附图中的流程图和框图显示了根据本申请实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,模块、程序段或代码的一部分包含一个或一个以上用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这可以依所涉及的功能而定。框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
Claims (10)
1.一种设备的双向认证方法,其特征在于,应用于第一设备,所述双向认证方法包括:
获得协商传输密钥以及第一验证字段;所述第一设备预存多组协商传输密钥,所获得的一组协商传输密钥与外部访问条件相关;
生成包含所述第一验证字段的第一明文数据,并通过预设数据处理方法对所述第一验证字段进行处理,以获得所述第一验证字段对应的第一特征字段;所述第一特征字段的长度小于所述第一验证字段的长度;
利用所述协商传输密钥对所述第一明文数据进行加密处理,以获得第一加密流,并将所述第一加密流发送至第二设备;使所述第二设备利用所述协商传输密钥对所述第一加密流进行解密,以获得所述第一明文数据对应的第一解密明文数据以及所述第一验证字段对应的第一解密字段;通过预设数据处理方法对所述第一解密字段进行处理,以获得所述第一解密字段对应的第一解密特征字段;获得第二验证字段并生成包含所述第二验证字段和所述第一解密特征字段的第二明文数据,通过预设数据处理方法对所述第二验证字段进行处理,以获得所述第二验证字段对应的第二特征字段;利用所述协商传输密钥对所述第二明文数据进行加密处理,以获得第二加密流;
接收所述第二设备发送的第二加密流;
通过所述协商传输密钥对所述第二加密流进行解密,以获得所述第二明文数据对应的第二解密明文数据以及所述第二解密明文数据中的第一解密特征字段;
在所述第一解密特征字段与所述第一特征字段相同的情况下,通过预设数据处理方法对所述第二加密流中的第二解密字段进行处理,以获得所述第二解密字段对应的第二解密特征字段;所述第二解密特征字段的长度小于所述第二解密字段的长度;
生成第三明文数据,利用所述协商传输密钥加密所述第三明文数据,以获得第三加密流,并向所述第二设备发送所述第三加密流,所述第三明文数据包括所述第二解密特征字段;使所述第二设备根据所述协商传输密钥解密所述第三加密流,以获得所述第三明文数据对应的第三解密明文数据,以及所述第三解密明文数据中的第二解密特征字段,并在所述第二解密特征字段与所述第二特征字段相同的情况下,确认认证通过;
根据所述第一明文数据和所述第二解密明文数据生成临时双向认证密钥;所述临时双向认证密钥用于在所述第一设备与所述第二设备之间完成认证通过后,所述第一设备对二者后续的通信数据进行加密或解密。
2.根据权利要求1所述的双向认证方法,其特征在于,所述第一明文数据还包括协商传输加密算法对应的协商传输算法特征码;
利用所述协商传输密钥对所述第一明文数据进行加密处理,以获得第一加密流,包括:利用所述协商传输密钥和所述协商传输加密算法对所述第一明文数据进行加密处理,以获得所述第一加密流。
3.根据权利要求2所述的双向认证方法,其特征在于,
通过预设数据处理方法对所述第一验证字段进行处理,以获得所述第一验证字段对应的第一特征字段,包括:通过预设数据处理方法对所述第一验证字段和所述协商传输算法特征码二者构成的整体进行处理,获得所述第一验证字段和所述协商传输算法特征码二者构成的整体对应的所述第一特征字段;
所述第二设备通过预设数据处理方法对所述第一解密字段进行处理,获得所述第一解密字段对应的第一解密特征字段,包括:所述第二设备通过预设数据处理方法对所述第一解密字段和所述协商传输算法特征码二者构成的整体进行处理,获得所述第一解密字段和所述协商传输算法特征码二者构成的整体对应的第一解密特征字段。
4.根据权利要求1至3任一项所述的双向认证方法,其特征在于,所述第一设备获得所述协商传输密钥,包括:
获得非接触式存储卡ICC的存储区密钥、扇区号以及识别码UID,根据所述存储区密钥、所述扇区号和所述UID,生成所述协商传输密钥;所获得的存储区密钥和扇区号与外部访问条件相关。
5.一种设备的双向认证方法,其特征在于,应用于第二设备,所述双向认证方法包括:
接收第一设备发送的第一加密流,并获得协商传输密钥;所述第一加密流是所述第一设备通过如下方式获得的:获得协商传输密钥以及第一验证字段;生成包含所述第一验证字段的第一明文数据,并通过预设数据处理方法对所述第一验证字段进行处理,以获得所述第一验证字段对应的第一特征字段;所述第一特征字段的长度小于所述第一验证字段的长度;利用所述协商传输密钥对所述第一明文数据进行加密处理,以获得第一加密流;所述第一设备预存多组协商传输密钥,所获得的一组协商传输密钥与外部访问条件相关;
利用所述协商传输密钥对所述第一加密流进行解密,以获得所述第一明文数据对应的第一解密明文数据以及所述第一验证字段对应的第一解密字段;
通过预设数据处理方法对所述第一解密字段进行处理,以获得所述第一解密字段对应的第一解密特征字段;
获得第二验证字段;
生成包含所述第二验证字段和所述第一解密特征字段的第二明文数据,并通过预设数据处理方法对所述第二验证字段进行处理,以获得所述第二验证字段对应的第二特征字段;所述第二特征字段的长度小于所述第二验证字段的长度;
利用所述协商传输密钥对所述第二明文数据进行加密处理,以获得第二加密流,并将所述第二加密流发送至所述第一设备,使所述第一设备通过所述协商传输密钥对所述第二加密流进行解密,以获得第二解密明文数据以及所述第二解密明文数据中的第一解密特征字段;在所述第一解密特征字段与所述第一特征字段相同的情况下,通过预设数据处理方法对所述第二加密流中的第二解密字段进行处理,以获得所述第二解密字段对应的第二解密特征字段;所述第二解密特征字段的长度小于所述第二解密字段的长度;生成第三明文数据,利用所述协商传输密钥加密所述第三明文数据,以获得第三加密流;所述第三明文数据包括所述第二解密特征字段;
接收所述第一设备发送的第三加密流,并根据所述协商传输密钥解密所述第三加密流,以获得所述第三明文数据对应的第三解密明文数据,以及所述第三解密明文数据中的第二解密特征字段;
在所述第二解密特征字段与所述第二特征字段相同的情况下,确认认证通过;
根据所述第一解密明文数据和所述第二明文数据生成临时双向认证密钥;所述临时双向认证密钥用于在所述第一设备与所述第二设备之间完成认证通过后,所述第二设备对后续的通信数据进行加密或解密。
6.根据权利要求5所述的双向认证方法,其特征在于,利用所述协商传输密钥对所述第一加密流进行解密,以获得所述第一明文数据对应的第一解密明文数据,包括:
分别通过多种预设加密算法和所述协商传输密钥对所述第一加密流进行解密,获得多个解密流;
提取每个解密流中的算法特征码,并获得每个解密流的长度;算法特征码与加密算法对应,所述第一加密流是所述第一设备通过所述协商传输密钥和协商传输算法特征码对应的协商传输加密算法进行加密的;
将算法特征码和长度均合法的解密流确定为所述第一解密明文数据;所述第二设备还将所述第一解密明文数据所对应的加密算法作为协商传输加密算法,在与所述第一设备的后续认证过程中,利用所述协商传输加密算法对通信数据进行加密。
7.根据权利要求5或6所述的双向认证方法,其特征在于,
获得所述第一验证字段,包括:生成第一随机数,将所述第一随机数作为所述第一验证字段;
获得所述第二验证字段,包括:生成第二随机数,将所述第二随机数作为所述第二验证字段。
8.根据权利要求5或6所述的双向认证方法,其特征在于,
通过预设数据处理方法对所述第一验证字段进行处理,以获得所述第一验证字段对应的第一特征字段,包括:在所述第一验证字段中抽取第一预设位置的内容,将所述第一预设位置处抽取的内容作为所述第一特征字段;
通过预设数据处理方法对所述第一解密字段进行处理,以获得所述第一解密字段对应的第一解密特征字段,包括:在所述第一解密字段中抽取所述第一预设位置的内容,将所述第一预设位置处抽取的内容作为所述第一解密特征字段;
通过预设数据处理方法对所述第二验证字段进行处理,以获得所述第二验证字段对应的第二特征字段,包括:在所述第二验证字段中抽取第二预设位置的内容,将所述第二预设位置处抽取的内容作为所述第二特征字段;
通过预设数据处理方法对所述第二加密流中的第二解密字段进行处理,以获得所述第二解密字段对应的第二解密特征字段,包括:在所述第二解密字段中抽取所述第二预设位置的内容,将所述第二预设位置处抽取的内容作为所述第二解密特征字段。
9.一种设备的双向认证装置,包括处理器和存储有程序指令的存储器,其特征在于,所述处理器被配置为在执行所述程序指令时,执行如权利要求1至8任一项所述的设备的双向认证方法。
10.一种双向认证系统,包括第一设备和第二设备,其特征在于,
所述第一设备获得协商传输密钥以及第一验证字段;所述第一设备预存多组协商传输密钥,所获得的一组协商传输密钥与外部访问条件相关;
所述第一设备生成包含所述第一验证字段的第一明文数据,并通过预设数据处理方法对所述第一验证字段进行处理,以获得所述第一验证字段对应的第一特征字段;所述第一特征字段的长度小于所述第一验证字段的长度;
所述第一设备利用所述协商传输密钥对所述第一明文数据进行加密处理,以获得第一加密流,并将所述第一加密流发送至所述第二设备;
所述第二设备获得所述协商传输密钥;
所述第二设备利用所述协商传输密钥对所述第一加密流进行解密,以获得所述第一明文数据对应的第一解密明文数据以及所述第一验证字段对应的第一解密字段;
所述第二设备通过预设数据处理方法对所述第一解密字段进行处理,以获得所述第一解密字段对应的第一解密特征字段;
所述第二设备获得第二验证字段;
所述第二设备生成包含所述第二验证字段和所述第一解密特征字段的第二明文数据,并通过预设数据处理方法对所述第二验证字段进行处理,以获得所述第二验证字段对应的第二特征字段;所述第二特征字段的长度小于所述第二验证字段的长度;
所述第二设备利用所述协商传输密钥对所述第二明文数据进行加密处理,以获得第二加密流,并将所述第二加密流发送至所述第一设备;
所述第一设备通过所述协商传输密钥对所述第二加密流进行解密,以获得所述第二明文数据对应的第二解密明文数据以及所述第二解密明文数据中的第一解密特征字段;
所述第一设备在所述第一解密特征字段与所述第一特征字段相同的情况下,通过预设数据处理方法对所述第二加密流中的第二解密字段进行处理,以获得所述第二解密字段对应的第二解密特征字段;所述第二解密特征字段的长度小于所述第二解密字段的长度;
所述第一设备生成第三明文数据,利用所述协商传输密钥加密所述第三明文数据,以获得第三加密流,并向所述第二设备发送所述第三加密流,所述第三明文数据包括所述第二解密特征字段;
所述第二设备根据所述协商传输密钥解密所述第三加密流,以获得所述第三明文数据对应的第三解密明文数据,以及所述第三解密明文数据中的第二解密特征字段;
所述第二设备在所述第二解密特征字段与所述第二特征字段相同的情况下,确认认证通过;
所述第一设备根据所述第一明文数据和所述第二解密明文数据生成临时双向认证密钥,用于在所述第一设备与所述第二设备之间完成认证通过后,所述第一设备对二者后续的通信数据进行加密或解密;
所述第二设备根据所述第一解密明文数据和所述第二明文数据生成临时双向认证密钥,用于在所述第一设备与所述第二设备之间完成认证通过后,所述第二设备对二者后续的通信数据进行加密或解密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310042865.3A CN116055188B (zh) | 2023-01-28 | 2023-01-28 | 设备的双向认证方法、双向认证装置及双向认证系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310042865.3A CN116055188B (zh) | 2023-01-28 | 2023-01-28 | 设备的双向认证方法、双向认证装置及双向认证系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116055188A true CN116055188A (zh) | 2023-05-02 |
| CN116055188B CN116055188B (zh) | 2023-07-14 |
Family
ID=86123679
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310042865.3A Active CN116055188B (zh) | 2023-01-28 | 2023-01-28 | 设备的双向认证方法、双向认证装置及双向认证系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116055188B (zh) |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101523800A (zh) * | 2006-10-10 | 2009-09-02 | 高通股份有限公司 | 用于双向认证的方法和装置 |
| CN103634266A (zh) * | 2012-08-21 | 2014-03-12 | 上海凌攀信息科技有限公司 | 一种对服务器、终端双向认证的方法 |
| EP2913955A1 (en) * | 2014-02-28 | 2015-09-02 | Gemalto SA | Method to authenticate two devices to establish a secure channel |
| CN110380852A (zh) * | 2019-07-22 | 2019-10-25 | 中国联合网络通信集团有限公司 | 双向认证方法及通信系统 |
| CN110535868A (zh) * | 2019-09-05 | 2019-12-03 | 山东浪潮商用系统有限公司 | 基于混合加密算法的数据传输方法及系统 |
| CN110958209A (zh) * | 2018-09-27 | 2020-04-03 | 广东国盾量子科技有限公司 | 基于共享密钥的双向认证方法及系统、终端 |
| CN112333152A (zh) * | 2020-10-13 | 2021-02-05 | 西安电子科技大学 | 双向认证方法、系统、介质、计算机设备、终端及应用 |
| CN113596046A (zh) * | 2021-08-03 | 2021-11-02 | 中电金信软件有限公司 | 一种双向认证方法及装置 |
| CN113676448A (zh) * | 2021-07-13 | 2021-11-19 | 上海瓶钵信息科技有限公司 | 一种基于对称秘钥的离线设备双向认证方法和系统 |
| WO2022021992A1 (zh) * | 2020-07-31 | 2022-02-03 | 深圳市燃气集团股份有限公司 | 一种基于NB-IoT通信的数据传输方法、系统及介质 |
| CN114553426A (zh) * | 2020-11-26 | 2022-05-27 | 中移物联网有限公司 | 签名验证方法、密钥管理平台、安全终端及电子设备 |
-
2023
- 2023-01-28 CN CN202310042865.3A patent/CN116055188B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101523800A (zh) * | 2006-10-10 | 2009-09-02 | 高通股份有限公司 | 用于双向认证的方法和装置 |
| CN103634266A (zh) * | 2012-08-21 | 2014-03-12 | 上海凌攀信息科技有限公司 | 一种对服务器、终端双向认证的方法 |
| EP2913955A1 (en) * | 2014-02-28 | 2015-09-02 | Gemalto SA | Method to authenticate two devices to establish a secure channel |
| CN110958209A (zh) * | 2018-09-27 | 2020-04-03 | 广东国盾量子科技有限公司 | 基于共享密钥的双向认证方法及系统、终端 |
| CN110380852A (zh) * | 2019-07-22 | 2019-10-25 | 中国联合网络通信集团有限公司 | 双向认证方法及通信系统 |
| CN110535868A (zh) * | 2019-09-05 | 2019-12-03 | 山东浪潮商用系统有限公司 | 基于混合加密算法的数据传输方法及系统 |
| WO2022021992A1 (zh) * | 2020-07-31 | 2022-02-03 | 深圳市燃气集团股份有限公司 | 一种基于NB-IoT通信的数据传输方法、系统及介质 |
| CN112333152A (zh) * | 2020-10-13 | 2021-02-05 | 西安电子科技大学 | 双向认证方法、系统、介质、计算机设备、终端及应用 |
| CN114553426A (zh) * | 2020-11-26 | 2022-05-27 | 中移物联网有限公司 | 签名验证方法、密钥管理平台、安全终端及电子设备 |
| CN113676448A (zh) * | 2021-07-13 | 2021-11-19 | 上海瓶钵信息科技有限公司 | 一种基于对称秘钥的离线设备双向认证方法和系统 |
| CN113596046A (zh) * | 2021-08-03 | 2021-11-02 | 中电金信软件有限公司 | 一种双向认证方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 贺嘉琦等: "面向RFID的轻量级双向认证协议", 《计算机工程与应用》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116055188B (zh) | 2023-07-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110519260B (zh) | 一种信息处理方法及信息处理装置 | |
| CN107358441B (zh) | 支付验证的方法、系统及移动设备和安全认证设备 | |
| CN108780548A (zh) | 将椭圆曲线加密用于个人装置安全以共享秘密 | |
| KR20200012845A (ko) | 점진적 키 암호화 알고리즘 | |
| JP3917679B2 (ja) | 低帯域幅暗号モジュールを持つ高帯域幅暗号システム | |
| EP3289723A1 (en) | Encryption system, encryption key wallet and method | |
| CN110070363B (zh) | 区块链网络中的账户管理方法、验证方法及终端设备 | |
| CN103546289A (zh) | 一种基于USBKey的安全传输数据的方法及系统 | |
| WO2010057423A1 (zh) | 智能卡的加密、解密方法及系统、读写器 | |
| CN109274644A (zh) | 一种数据处理方法、终端和水印服务器 | |
| CN103198264A (zh) | 一种加密文件系统数据的恢复方法和装置 | |
| CN107707562A (zh) | 一种非对称动态令牌加、解密算法的方法、装置 | |
| CN107104788B (zh) | 终端及其不可抵赖的加密签名方法和装置 | |
| KR20100031354A (ko) | Otp를 이용한 태그 보안 처리 방법 | |
| CN108199836B (zh) | 一种密钥与设备绑定、解绑定的方法及装置 | |
| CN112380404B (zh) | 数据过滤方法、装置及系统 | |
| CN103873257A (zh) | 密钥更新、数字签名及签名验证的方法及装置 | |
| CN108365952A (zh) | 一种注册的方法、系统及智能密钥安全设备 | |
| CN102270182B (zh) | 基于同步用户和主机认证的加密可移动存储设备 | |
| CN116055188B (zh) | 设备的双向认证方法、双向认证装置及双向认证系统 | |
| CN104883260B (zh) | 证件信息处理和验证方法、处理终端及验证服务器 | |
| US10057054B2 (en) | Method and system for remotely keyed encrypting/decrypting data with prior checking a token | |
| CN110138544A (zh) | 一种物联网设备的加密解密系统及方法 | |
| CN106972928A (zh) | 一种堡垒机私钥管理方法、装置及系统 | |
| CN106487509A (zh) | 一种生成密钥的方法及宿主设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |