CN101136748B - 一种身份认证方法及系统 - Google Patents
一种身份认证方法及系统 Download PDFInfo
- Publication number
- CN101136748B CN101136748B CN2006101123521A CN200610112352A CN101136748B CN 101136748 B CN101136748 B CN 101136748B CN 2006101123521 A CN2006101123521 A CN 2006101123521A CN 200610112352 A CN200610112352 A CN 200610112352A CN 101136748 B CN101136748 B CN 101136748B
- Authority
- CN
- China
- Prior art keywords
- party
- certificate
- checking
- terminal
- memory apparatus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 55
- 230000008569 process Effects 0.000 claims description 30
- 238000012545 processing Methods 0.000 claims description 17
- 230000004044 response Effects 0.000 claims description 17
- 238000012795 verification Methods 0.000 claims description 13
- 238000013475 authorization Methods 0.000 claims description 4
- 238000011084 recovery Methods 0.000 claims description 3
- 230000006854 communication Effects 0.000 abstract description 12
- 238000004891 communication Methods 0.000 abstract description 11
- 238000005516 engineering process Methods 0.000 description 3
- 230000002123 temporal effect Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
Images
Abstract
本发明公开了一种身份认证方法,该方法包括以下步骤:A、便携式存储设备和终端中的第一方收到第二方发送来的携带第二方证书的认证请求后,将第二方证书发送给数字证书认证中心CA;B、CA收到来自第一方的第二方证书后,验证第二方证书是否有效,并将验证结果发送给第一方;C、第一方收到来自CA的验证结果后,根据收到的验证结果决定是否通过对第二方的认证。本发明还公开了一种身份认证系统,该系统包括:便携式存储设备、终端和数字证书认证中心CA。本发明能够保证便携式存储设备与终端之间的通信安全,简化整个身份认证流程,节省便携式存储设备的存储空间开销。
Description
技术领域
本发明涉及信息安全技术,尤其涉及一种身份认证方法及系统。
背景技术
公钥基础设施(Public Key Infrastructure,PKI)体系是一组建立在公开密码算法基础上的硬件、软件、人员和应用程序的集合,它采用证书管理公钥,通过第三方可信任机构数字证书认证中心(Certificate Authority,CA)把用户的公钥和用户的其他标识信息(如名称、身份证号等)绑定在一起,用以在互联网上验证用户的身份,PKI体系把公钥密码和对称密码有机的结合在一起,实现密钥的自动管理,保证数据的机密性和完整性。其中,CA是一个独立于所有用户之外的可信任第三方,是整个PKI体系的核心,它负责为PKI体系中所有的实体(如用户、软件、机器等)发放数字证书(以下简称证书),更新证书和废止过期证书等。数字证书是由CA签发的用于标明用户身份的电子文档,其中包含用户的公钥、可以唯一标识用户身份的用户标识(如用户ID)以及CA对上述信息的签名等,CA将签发的数字证书发送给最终用户,并将该数字证书公布出去。
便携式存储设备(如存储卡)一般采用PKI技术实现数字版权保护(DRM)功能,其拥有自己的证书,一般证书是在便携式存储设备发行之前由CA写入该设备内的。为了保证通信的安全性,便携式存储设备在与终端(如手机、PC机)进行通信之前,需要进行身份认证。
在美国专利文献US20050210241中,公开了一种便携式存储设备与终端之间身份认证的方法。该专利采用了基于证书的身份认证方法,便携式存储设备内保存有设备自身证书、CA证书、以及证书吊销列表(CertificateRevocation List,CRL)等;终端内保存有终端自身证书、CA证书、以及CRL等。便携式存储设备与终端之间进行身份认证时,各自将自身的证书发给对方,双方首先验证对方证书的有效性,如果双方证书都有效,则认证通过,便携式存储设备与终端之间可以进行安全通信;否则,只要有一方证书被验证为无效,整个认证过程就立刻停止。
在上述身份认证方法中,证书有效性验证是基于CRL进行的。当用户证书因用户私钥遗失、泄漏或被破解等原因必须被吊销时,吊销的证书信息要及时发布出去,一般CA通过发布CRL来完成,CRL是由CA签名的一组电子文档,包含了被吊销证书的唯一标识(证书序列号),证书验证方利用CRL来验证证书持有者的证书是否有效。
便携式存储设备在收到终端的证书之后,就在自身的CRL中查找是否有终端证书,如果没有,则证明终端证书有效;否则,终端证书被视为无效。终端在收到便携式存储设备的证书之后,也以类似的方式对便携式存储设备证书有效性进行验证。其实,在便携式存储设备和终端进行证书有效性验证之前,还有一个CRL更新的过程,即:首先,便携式存储设备和终端将各自保存的CRL的签发时间信息发送给对方,双方通过对比CRL签发时间判断自己保存的CRL是否比对方的要新,如果便携式存储设备发现自身保存的CRL不如终端的新,便携式存储设备将向终端发送CRL更新请求,终端收到请求后,将自身保存的CRL发给便携式存储设备,以替换便携式存储设备内已过时的CRL;类似地,终端也以同样的方式判断自身保存的CRL是否过时并进行更换。
由以上描述可见,上述身份认证方法主要存在以下缺点:
首先,证书的有效性验证是基于当时保存在便携式存储设备和终端内的CRL进行的,但无论是便携式存储设备还是终端都无法保证其保存的CRL是实时更新的,如果当时的CRL不是最新的,那么验证出的证书有效性结果就不准确,从而使得便携式存储设备与终端之间的通信安全性得不到可靠保证。
其次,在认证过程中,便携式存储设备与终端之间要进行多次、频繁的信息交互,比如:交互发送CRL签发时间信息、一方向另一方发送更新的CRL、交互发送证书以及处理完各种请求后的响应应答等,整个认证处理过程过于繁琐,容易造成较大的时延,同时这也给便携式存储设备和终端提出了较高的性能要求。
再次,该方法要求在便携式存储设备内维护CRL,但是,对于便携式存储设备(如移动存储卡)来说,其存储空间十分有限,在存储卡内保存一定规模的CRL,需要耗费存储卡相当大的存储空间,从而使得存储卡的有效存储空间大大缩小。
发明内容
有鉴于此,本发明的主要目的在于提供一种身份认证方法及系统,保证便携式存储设备与终端之间的通信安全。
为达到上述目的,本发明提供的身份认证方法包括以下步骤:
A、便携式存储设备和终端中的第一方收到第二方发送来的携带第二方证书的认证请求后,将第二方证书发送给数字证书认证中心CA;
B、CA收到来自第一方的第二方证书后,验证第二方证书是否有效,并将验证结果发送给第一方;
C、第一方收到来自CA的验证结果后,根据收到的验证结果决定是否通过对第二方的认证。
其中,步骤B所述验证包括:
CA查找自身的证书吊销列表CRL,判断收到的验证请求中携带的第二方证书是否位于CRL中,如果是,则确定验证结果为第二方证书无效;否则,确定验证结果为第二方证书有效。
步骤C所述根据验证结果决定是否通过对第二方的认证包括:
当验证结果为第二方证书有效时,第一方通过对第二方的认证;
当验证结果为第二方证书无效时,第一方对第二方的认证不通过。
所述认证请求中进一步包括:第二方标识;
步骤A所述将第二方证书发送给CA之前进一步包括:第一方判断第二方证书中的第二方标识与认证请求中携带的第二方标识是否相同,如果相同,则向CA发送验证请求;否则,结束本流程的处理。
步骤A所述将第二方证书发送给CA包括:第一方向CA发送携带第二方证书的验证请求;
步骤B所述将验证结果发送给第一方包括:CA向第一方发送携带验证结果的验证应答。
所述验证请求中进一步包括:第一方标识;
步骤B所述验证之前进一步包括:CA根据验证请求中携带的第一方标识判断第一方是否为自身域内的合法用户,如果是,则继续验证第二方证书是否有效;否则,结束本流程的处理。
所述步骤A进一步包括:第一方用CA公钥对验证请求中携带的请求信息进行加密;
步骤B所述验证之前进一步包括:CA用自身私钥对收到的加密后的请求信息进行解密,恢复请求信息明文。
所述步骤B进一步包括:CA用自身私钥对验证应答中携带的应答信息进行加密;
步骤C所述决定之前进一步包括:第一方用CA公钥对收到的加密后的应答信息进行解密,恢复应答信息明文。
所述第一方为便携式存储设备,第二方为终端时,
所述验证请求中进一步包括:CA对便携式存储设备标识的签名;
步骤B所述验证之前进一步包括:CA用自身公钥解密验证请求中携带的CA对便携式存储设备标识的签名,恢复便携式存储设备标识的明文,并判断恢复出的便携式存储设备标识与验证请求中携带的便携式存储设备标识是否相同,如果相同,则继续验证终端证书是否有效;否则,结束本流程的处理。
所述第一方为便携式存储设备,第二方为终端时,
所述验证应答中进一步包括:被验证的终端证书序列号;
步骤C所述决定之前进一步包括:便携式存储设备判断收到的验证应答中携带的终端证书序列号与终端发送来的终端证书中的序列号是否相同,如果相同,则根据验证应答中携带的验证结果决定是否通过对终端的认证;否则,结束本流程的处理。
本发明还提供了一种身份认证系统,该系统包括:便携式存储设备、终端和数字证书认证中心CA,其中,
便携式存储设备和终端中的第一方,用于在收到第二方发送来的携带第二方证书的认证请求后,将第二方证书发送给CA,并在收到来自CA的验证结果后,根据收到的验证结果决定是否通过对第二方的认证;
CA,用于在收到来自第一方的第二方证书后,验证第二方证书是否有效,并将验证结果发送给第一方。
由此可见,本发明具有以下有益效果:
1)便携式存储设备与终端通过CA进行在线状态下的身份认证,证书有效性验证是基于CA内实时更新的CRL进行的,证书有效性验证结果的准确性能够得到保障,从而保证了便携式存储设备与终端之间的通信建立在最高安全级别基础上。
2)证书有效性验证基于CA内实时更新的CRL进行,便携式存储设备与终端之间不用进行CRL签发时间信息、CRL更新信息等信息的交互,提高了便携式存储设备与终端之间身份认证的响应速度,简化了整个身份认证流程,使得整个身份认证过程变得简单有效。
3)证书有效性验证基于CA内实时更新的CRL进行,无需在便携式存储设备内保存CRL,不用在便携式存储设备内进行CRL的更新维护,节省了便携式存储设备的存储空间开销。
附图说明
图1为本发明中的身份认证系统结构示意图。
图2为本发明中的身份认证方法流程图。
图3为本发明实施例一中的身份认证流程图。
图4为本发明实施例二中的身份认证流程图。
图5为本发明实施例三中的身份认证流程图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,下面参照附图并举实施例,对本发明作进一步详细说明。
参见图1所示,本发明提供的身份认证系统包括:便携式存储设备、终端和CA,其中,
便携式存储设备和终端中的第一方,用于在收到第二方发送来的携带第二方证书的认证请求后,将第二方证书发送给CA,并在收到来自CA的验证结果后,根据收到的验证结果决定是否通过对第二方的认证;
CA,用于在收到来自第一方的第二方证书后,验证第二方证书是否有效,并将验证结果发送给第一方。
参见图2所示,本发明所提供的身份认证方法主要包括以下步骤:
步骤201:便携式存储设备和终端中的第一方收到第二方发送来的携带第二方证书的认证请求后,将第二方证书发送给CA;
步骤202:CA收到来自第一方的第二方证书后,验证第二方证书是否有效,并将验证结果发送给第一方;
步骤203:第一方收到来自CA的验证结果后,根据收到的验证结果决定是否通过对第二方的认证。
当第一方为便携式存储设备时,第二方为终端;当第一方为终端时,第二方为便携式存储设备。其中,当第一方为便携式存储设备时,第一方与CA的交互实际上都是通过终端进行的。
下面结合图1所示的系统,并举几个实施例对本发明所提供的身份认证方法进行详细阐述,其中,实施例一和实施例二分别就终端对便携式存储设备进行身份认证、以及便携式存储设备对终端进行身份认证的单向身份认证过程进行说明,实施例三就便携式存储设备和终端之间互相进行身份认证的双向身份认证过程进行说明。
在介绍各实施例之前,首先简单介绍一下便携式存储设备、终端和CA,其中,便携式存储设备内保存有设备自身证书和CA证书;终端内保存有终端自身证书和CA证书;CA内保存有CA签发的实时更新的CRL,用于验证便携式存储设备证书和终端证书的有效性。其中,CA证书中包含有CA的公钥。
实施例一
以终端对便携式存储设备进行身份认证、且便携式存储设备为移动存储卡(以下简称卡)为例,参见图3所示,本实施例中的身份认证过程主要包括以下步骤:
步骤301:卡向终端发送认证请求,请求终端对卡进行身份认证,该认证请求中携带的请求信息包括:卡证书。
步骤302:终端收到卡发送来的认证请求后,向CA发送验证请求,该验证请求中携带的请求信息包括:卡证书。
步骤303:CA收到终端发送来的验证请求后,验证该验证请求中携带的卡证书的有效性,并将验证结果携带在验证应答中返回给终端。
也就是说,CA查找自身的CRL,判断收到的验证请求中携带的卡证书是否位于CRL中,如果是,则确定验证结果为卡证书无效;否则,确定验证结果为卡证书有效,然后,CA将卡证书是否有效的验证结果返回给终端。
为了保证终端与CA之间的通信安全,在步骤302中,终端还可以利用CA公钥对验证请求中携带的请求信息进行加密;在步骤303中,CA在验证卡证书有效性之前,需要利用自身的私钥对收到的请求信息进行解密,恢复卡证书的明文。
步骤304:终端收到CA返回的验证应答后,根据其中携带的验证结果来决定是否通过对卡的认证。
也就是说,当验证结果为卡证书有效时,终端通过对卡的认证;当验证结果为卡证书无效时,终端对卡的认证不通过。认证通过后,卡和终端就可以进行后续的通信了;否则,终端终止与卡的通信。
并且,为了保证终端与CA之间的通信安全,在步骤303中,CA还可以利用自身的私钥对返回给终端的应答信息进行加密;在步骤304中,终端收到加密后的验证结果后,首先需要利用CA公钥进行解密,恢复出验证结果明文。
另外,卡还可在认证请求中进一步携带以下请求信息:能够唯一标识自身身份的卡标识,终端收到卡发送来的认证请求后,首先判断卡证书中的卡标识与该认证请求中携带的卡标识是否相同,如果相同,则说明该认证请求确实是由卡发送来的,然后,终端向CA发送验证请求;如果不同,则说明该认证请求不是由卡发送来的,终端结束本流程的处理。
终端也可在验证请求中进一步携带以下请求信息:能够唯一标识自身身份的终端标识,CA收到终端发送来的验证请求后,首先根据终端标识判断该终端是否为自身域内的合法用户,如果是,则验证卡证书的有效性;否则,CA结束本流程的处理。
实施例二
以便携式存储设备对终端进行身份认证、且便携式存储设备为移动存储卡(以下简称卡)为例,参见图4所示,本实施例中的身份认证过程主要包括以下步骤:
步骤401:终端向卡发送认证请求,请求卡对终端进行身份认证,该认证请求中携带的请求信息包括:终端证书。
步骤402:卡收到终端发送来的认证请求后,通过终端向CA发送验证请求,该验证请求中携带的请求信息包括:终端证书。
步骤403:CA收到卡发送来的验证请求后,验证该验证请求中携带的终端证书的有效性,并将验证结果携带在验证应答中通过终端返回给卡。
也就是说,CA查找自身的CRL,判断收到的验证请求中携带的终端证书是否位于CRL中,如果是,则确定验证结果为终端证书无效;否则,确定验证结果为终端证书有效,然后,CA将终端证书是否有效的验证结果返回给卡。
为了保证卡与CA之间的通信安全,在步骤402中,卡还可以利用CA公钥对验证请求中携带的请求信息进行加密;在步骤403中,CA在验证终端证书有效性之前,需要利用自身的私钥对收到的请求信息进行解密,恢复终端证书的明文。
步骤404:卡收到CA返回的验证应答后,根据其中的验证结果来决定是否通过对终端的认证。
也就是说,当验证结果为终端证书有效时,卡通过对终端的认证;当验证结果为终端证书无效时,卡对终端的认证不通过。认证通过后,卡和终端就可以进行后续的通信了;否则,卡终止与终端的通信。
并且,为了保证卡与CA之间的通信安全,在步骤403中,CA还可以利用自身的私钥对返回给卡的应答信息进行加密;在步骤404中,卡收到加密后的验证结果后,首先需要利用CA公钥进行解密,恢复出验证结果的明文。
另外,终端还可在认证请求中进一步携带以下请求信息:能够唯一标识自身身份的终端标识,卡收到终端发送来的认证请求后,首先判断终端证书中的终端标识与该认证请求中携带的终端标识是否相同,如果相同,则说明该认证请求确实是由终端发送来的,然后,卡向CA发送验证请求;如果不同,则说明该认证请求不是由终端发送来的,卡结束本流程的处理。
卡也可在验证请求中进一步携带以下请求信息:能够唯一标识自身身份的卡标识,CA收到卡发送来的验证请求后,首先根据卡标识判断该卡是否为自身域内的合法用户,如果是,则验证终端证书的有效性;否则,CA结束本流程的处理。
在卡通过CA验证终端证书有效性时,要解决的关键问题是如何防止在证书验证过程中终端或者其他攻击者实施“中间人”攻击。所谓“中间人”攻击,是指攻击者暗中截取会话双方的正常通信数据并对数据进行修改,而这种修改对会话双方来说是完全透明的。实施“中间人”攻击的一个必要条件就是攻击者必须能成功截取到会话双方的通信数据,由于卡在通过CA验证终端证书有效性过程中必须通过终端来转发数据,这样就为非法用户通过终端实施“中间人”攻击创造了便利条件,具体来说包括以下两点:
一、当卡通过终端向CA发送验证请求时,终端截下卡发送的请求信息,同时伪造一个请求信息发给CA,并让CA相信伪造的请求信息是由卡发送来的;
二、CA收到验证请求后,对验证请求进行处理,并向卡发送验证应答,这时终端又截取CA发送的应答信息,同时又伪造一个应答信息发送给卡,并让卡相信伪造的应答信息是由CA发送过来的。这样,终端就在卡与CA之间成功地实施了一次“中间人”攻击。
在卡通过CA验证终端证书有效性时,为了防止非法用户通过终端实施“中间人”攻击,可以采取以下有效措施:
在步骤402中,卡发送给CA的验证请求中除了终端证书请求信息外,还进一步携带以下请求信息:能够唯一标识卡身份的卡标识、以及CA对卡标识的签名,且用CA公钥对上述所有请求信息进行加密。
在步骤403中,CA收到卡发送来的验证请求后,首先利用自身私钥对收到的请求信息进行解密,恢复请求信息的明文,然后,用CA公钥解密请求信息中的CA对卡标识的签名,恢复出卡标识的明文,并判断恢复出的卡标识是否与请求信息中的卡标识相同,如果相同,则说明该验证请求确实是由卡发送来的,CA继续验证请求信息中携带的终端证书的有效性;如果不同,则说明该验证请求不是由卡发送来的,CA终止验证,结束本流程的处理。
CA可以在为卡签发证书时,将CA对卡标识的签名和卡私钥一起发送给卡,但CA对卡标识的签名不能放在卡证书中发送,也就是说,CA对卡标识的签名不能公开。CA对卡标识的签名是为防止终端欺骗CA而设置的,保存在卡内,终端无法得到,并且,由于终端没有CA的私钥,无法伪造CA对卡标识的签名,因此,终端也就无法伪造卡发送给CA的请求信息来欺骗CA。
另外,在步骤403中,CA还可以在返回给卡的验证应答中携带除验证结果之外的应答信息:被验证的终端证书序列号,且用CA私钥对应答信息即验证结果和被验证的终端证书序列号进行加密,由于终端没有CA私钥,因此,无法伪造应答信息来欺骗卡。
在步骤404中,卡收到CA返回的验证应答后,首先用CA公钥解密应答信息,恢复出终端证书的有效性验证结果以及被验证的终端证书序列号,并判断恢复出的终端证书序列号是否与终端发送来的终端证书中的序列号相同,如果相同,则说明CA验证的终端证书确实是卡发送给CA的终端证书,卡根据收到的验证结果来决定是否通过对终端的认证;如果不同,则说明CA验证的终端证书不是卡发送给CA的终端证书,卡结束该认证过程。
实施例三
以便携式存储设备和终端之间互相进行身份认证、且便携式存储设备为移动存储卡(以下简称卡)为例,参见图5所示,本实施例中的身份认证过程主要包括以下两部分:
步骤501~步骤504:终端对卡进行身份认证的过程;
步骤505~步骤508:卡对终端进行身份认证的过程。
需要说明的是,步骤501~步骤504与步骤505~步骤508为两个不同的过程,时间上并没有严格的先后关系。步骤501~步骤504的具体处理过程与实施例一中的步骤301~步骤304一致;步骤505~步骤508的具体处理过程与实施例二中的步骤401~步骤404一致,这里均不再一一赘述。
当双方认证均通过时,接下来就可以在卡和终端之间产生会话密钥,并进行后续的通信过程;否则,只要有一方认证没有通过,终端和卡便终止通信。
以上所述对本发明的目的、技术方案和有益效果进行了进一步的详细说明,所应理解的是,以上所述并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种身份认证方法,其特征在于,该方法包括以下步骤:
A、便携式存储设备和终端中的第一方收到第二方发送来的携带第二方证书的认证请求后,所述第一方为便携式存储设备,第二方为终端时,将包含第二方证书、便携式存储设备标识和CA对便携式存储设备标识的签名的验证请求发送给数字证书认证中心CA;
B、CA收到来自第一方的第二方证书、便携式存储设备标识和CA对便携式存储设备标识的签名后,用自身公钥解密验证请求中携带的CA对便携式存储设备标识的签名,恢复便携式存储设备标识的明文,并判断恢复出的便携式存储设备标识与验证请求中携带的便携式存储设备标识是否相同,如果相同,则验证第二方证书是否有效,并将包括验证结果的验证应答发送给第一方;否则,结束本流程的处理;
C、第一方收到来自CA的验证结果后,根据收到的验证结果决定是否通过对第二方的认证。
2.根据权利要求1所述的方法,其特征在于,步骤B所述验证包括:
CA查找自身的证书吊销列表CRL,判断收到的验证请求中携带的第二方证书是否位于CRL中,如果是,则确定验证结果为第二方证书无效;否则,确定验证结果为第二方证书有效。
3.根据权利要求1所述的方法,其特征在于,步骤C所述根据验证结果决定是否通过对第二方的认证包括:
当验证结果为第二方证书有效时,第一方通过对第二方的认证;
当验证结果为第二方证书无效时,第一方对第二方的认证不通过。
4.根据权利要求1所述的方法,其特征在于,所述认证请求中进一步包括:第二方标识;
步骤A所述将第二方证书发送给CA之前进一步包括:第一方判断第二方证书中的第二方标识与认证请求中携带的第二方标识是否相同,如果相同,则向CA发送验证请求;否则,结束本流程的处理。
5.根据权利要求1所述的方法,其特征在于,所述验证请求中进一步包括:第一方标识;
步骤B所述验证之前进一步包括:CA根据验证请求中携带的第一方标识判断第一方是否为自身域内的合法用户,如果是,则继续验证第二方证书是否有效;否则,结束本流程的处理。
6.根据权利要求1或5所述的方法,其特征在于,所述步骤A进一步包括:第一方用CA公钥对验证请求中携带的请求信息进行加密;
步骤B所述验证之前进一步包括:CA用自身私钥对收到的加密后的请求信息进行解密,恢复请求信息明文。
7.根据权利要求1所述的方法,其特征在于,所述步骤B进一步包括:CA用自身私钥对验证应答中携带的应答信息进行加密;
步骤C所述决定之前进一步包括:第一方用CA公钥对收到的加密后的应答信息进行解密,恢复应答信息明文。
8.根据权利要求1或7所述的方法,其特征在于,所述第一方为便携式存储设备,第二方为终端时,
所述验证应答中进一步包括:被验证的终端证书序列号;
步骤C所述决定之前进一步包括:便携式存储设备判断收到的验证应答中携带的终端证书序列号与终端发送来的终端证书中的序列号是否相同,如果相同,则根据验证应答中携带的验证结果决定是否通过对终端的认证;否则,结束本流程的处理。
9.一种身份认证系统,其特征在于,该系统包括:便携式存储设备、终端和数字证书认证中心CA,其中,
便携式存储设备作为第一方,用于在收到终端作为第二方发送来的携带第二方证书的认证请求后,将第二方证书、便携式存储设备标识和CA对便携式存储设备标识的签名发送给CA,并在收到来自CA的验证结果后,根据收到的验证结果决定是否通过对第二方的认证;
CA,用于在收到来自第一方的第二方证书、便携式存储设备标识和CA对便携式存储设备标识的签名后,用自身公钥解密验证请求中携带的CA对便携式存储设备标识的签名,恢复便携式存储设备标识的明文,并判断恢复出的便携式存储设备标识与验证请求中携带的便携式存储设备标识是否相同,如果相同,则验证第二方证书是否有效,并将验证结果发送给第一方;否则,结束本流程的处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101123521A CN101136748B (zh) | 2006-08-31 | 2006-08-31 | 一种身份认证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101123521A CN101136748B (zh) | 2006-08-31 | 2006-08-31 | 一种身份认证方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101136748A CN101136748A (zh) | 2008-03-05 |
| CN101136748B true CN101136748B (zh) | 2012-03-07 |
Family
ID=39160606
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006101123521A Expired - Fee Related CN101136748B (zh) | 2006-08-31 | 2006-08-31 | 一种身份认证方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101136748B (zh) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101951321B (zh) * | 2008-10-23 | 2012-11-14 | 普天信息技术研究院有限公司 | 一种实现身份认证的装置、系统及方法 |
| CN101414911B (zh) * | 2008-11-21 | 2011-04-20 | 普天信息技术研究院有限公司 | 一种转移用户证书的方法、系统和移动存储装置 |
| GB2469287B (en) * | 2009-04-07 | 2013-08-21 | F Secure Oyj | Authenticating a node in a communication network |
| US9602499B2 (en) | 2009-04-07 | 2017-03-21 | F-Secure Corporation | Authenticating a node in a communication network |
| CN101616006A (zh) * | 2009-07-31 | 2009-12-30 | 中兴通讯股份有限公司 | 证书管理方法、装置及系统 |
| CN101631024A (zh) * | 2009-08-11 | 2010-01-20 | 中兴通讯股份有限公司 | 一种增强的证书管理方法和系统 |
| CN101883357A (zh) * | 2010-06-22 | 2010-11-10 | 北京握奇数据系统有限公司 | 一种终端与智能卡之间的相互认证方法、装置及系统 |
| CN102082821B (zh) * | 2010-12-08 | 2013-12-25 | 北京航空航天大学 | 基于联邦中心的跨资源池资源安全访问方法与系统 |
| CN102594843A (zh) * | 2012-03-22 | 2012-07-18 | 中国农业银行股份有限公司 | 一种身份认证系统和方法 |
| CN102624744B (zh) * | 2012-04-06 | 2014-09-10 | 北京星网锐捷网络技术有限公司 | 网络设备的认证方法、装置、系统和网络设备 |
| CN106332066A (zh) * | 2015-06-15 | 2017-01-11 | 数据通信科学技术研究所 | 移动终端间的身份认证方法及系统 |
| CN106603461A (zh) * | 2015-10-14 | 2017-04-26 | 阿里巴巴集团控股有限公司 | 一种业务认证的方法、装置和系统 |
| US9832024B2 (en) * | 2015-11-13 | 2017-11-28 | Visa International Service Association | Methods and systems for PKI-based authentication |
| CN108604990A (zh) * | 2016-12-02 | 2018-09-28 | 华为技术有限公司 | 终端中本地授权凭证的使用方法及装置 |
| CN107733912A (zh) * | 2017-10-31 | 2018-02-23 | 珠海市魅族科技有限公司 | 信息加密方法、信息认证方法、终端及计算机可读存储介质 |
| WO2019153119A1 (zh) * | 2018-02-06 | 2019-08-15 | 福建联迪商用设备有限公司 | 一种传输密钥的方法、接收终端及分发终端 |
| CN111010404B (zh) * | 2018-03-30 | 2022-07-29 | 贵州白山云科技股份有限公司 | 一种数据传输方法、设备及计算机可读存储介质 |
| CN109159758B (zh) * | 2018-08-31 | 2019-11-19 | 深圳市元征科技股份有限公司 | 设备认证方法及车载设备 |
| CN114760036A (zh) * | 2020-12-26 | 2022-07-15 | 西安西电捷通无线网络通信股份有限公司 | 一种身份鉴别方法和装置 |
| CN113221188B (zh) * | 2021-04-25 | 2024-02-02 | 亿海蓝(北京)数据技术股份公司 | Ais数据存证方法、取证方法、装置和存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1339894A (zh) * | 2000-08-24 | 2002-03-13 | 杭州中正生物认证技术有限公司 | 身份证明及其制作方法 |
| CN1708018A (zh) * | 2004-06-04 | 2005-12-14 | 华为技术有限公司 | 一种无线局域网移动终端接入的方法 |
| CN1758595A (zh) * | 2004-10-04 | 2006-04-12 | 三星电子株式会社 | 使用广播密码术对装置进行认证的方法 |
-
2006
- 2006-08-31 CN CN2006101123521A patent/CN101136748B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1339894A (zh) * | 2000-08-24 | 2002-03-13 | 杭州中正生物认证技术有限公司 | 身份证明及其制作方法 |
| CN1708018A (zh) * | 2004-06-04 | 2005-12-14 | 华为技术有限公司 | 一种无线局域网移动终端接入的方法 |
| CN1758595A (zh) * | 2004-10-04 | 2006-04-12 | 三星电子株式会社 | 使用广播密码术对装置进行认证的方法 |
Non-Patent Citations (1)
| Title |
|---|
| 同上. |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101136748A (zh) | 2008-03-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101136748B (zh) | 一种身份认证方法及系统 | |
| CN100563151C (zh) | 一种数字证书更新方法及系统 | |
| EP1249095B1 (en) | Method for issuing an electronic identity | |
| CN101212293B (zh) | 一种身份认证方法及系统 | |
| CN101090316B (zh) | 离线状态下存储卡与终端设备之间的身份认证方法 | |
| KR101237632B1 (ko) | 토큰과 검증자 사이의 인증을 위한 네크워크 헬퍼 | |
| CN101272616B (zh) | 一种无线城域网的安全接入方法 | |
| CN101192926B (zh) | 帐号保护的方法及系统 | |
| CN103532713B (zh) | 传感器认证和共享密钥产生方法和系统以及传感器 | |
| CN109687965B (zh) | 一种保护网络中用户身份信息的实名认证方法 | |
| CN101272301B (zh) | 一种无线城域网的安全接入方法 | |
| US20090187980A1 (en) | Method of authenticating, authorizing, encrypting and decrypting via mobile service | |
| CN108566395A (zh) | 一种基于区块链的文件传输方法、装置及系统 | |
| CN109150535A (zh) | 一种身份认证方法、设备、计算机可读存储介质及装置 | |
| CN103312691A (zh) | 一种云平台的认证与接入方法及系统 | |
| CN105553666B (zh) | 一种智能电力终端安全认证系统及方法 | |
| CN109474419A (zh) | 一种活体人像照片加密、解密方法及加解密系统 | |
| CN100456884C (zh) | 无线通信系统中的重认证方法 | |
| CN111224784A (zh) | 一种基于硬件可信根的角色分离的分布式认证授权方法 | |
| CN110572392A (zh) | 一种基于Hyperledger网络的身份认证方法 | |
| CN110634072A (zh) | 一种基于多签和硬件加密的区块链交易系统及其运行机制 | |
| CN106027254A (zh) | 一种身份证认证系统中身份证读卡终端使用密钥的方法 | |
| CN101931952B (zh) | 一种无线城域网系统及其鉴别认证方法 | |
| JP5537129B2 (ja) | 認証システム、認証方法およびプログラム | |
| KR20150005789A (ko) | 인증서를 이용한 사용자 인증 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: CHINA POTEVIO CO., LTD. Free format text: FORMER OWNER: PUTIAN IT TECH INST CO., LTD. Effective date: 20130926 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| C56 | Change in the name or address of the patentee |
Owner name: PUTIAN IT TECH INST CO., LTD. Free format text: FORMER NAME: PUTIAN INST. OF INFORMATION TECHNOLOGY |
|
| CP03 | Change of name, title or address |
Address after: 100080 Beijing, Haidian, North Street, No. two, No. 6, No. Patentee after: PETEVIO INSTITUTE OF TECHNOLOGY Co.,Ltd. Address before: 100085, No. two, 2 street, base of information industry, Beijing Patentee before: POTEVIO Institute of Information Technology |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20130926 Address after: 100080, No. two, 2 street, Zhongguancun science and Technology Park, Beijing, Haidian District Patentee after: CHINA POTEVIO CO.,LTD. Address before: 100080 Beijing, Haidian, North Street, No. two, No. 6, No. Patentee before: PETEVIO INSTITUTE OF TECHNOLOGY Co.,Ltd. |
|
| ASS | Succession or assignment of patent right |
Owner name: PUTIAN IT TECH INST CO., LTD. Free format text: FORMER OWNER: CHINA POTEVIO CO., LTD. Effective date: 20131211 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20131211 Address after: 100080 Beijing, Haidian, North Street, No. two, No. 6, No. Patentee after: PETEVIO INSTITUTE OF TECHNOLOGY Co.,Ltd. Address before: 100080, No. two, 2 street, Zhongguancun science and Technology Park, Beijing, Haidian District Patentee before: CHINA POTEVIO CO.,LTD. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120307 Termination date: 20210831 |