CN101340436A - 基于便携式存储设备实现远程访问控制的方法及装置 - Google Patents

基于便携式存储设备实现远程访问控制的方法及装置 Download PDF

Info

Publication number
CN101340436A
CN101340436A CNA2008101181973A CN200810118197A CN101340436A CN 101340436 A CN101340436 A CN 101340436A CN A2008101181973 A CNA2008101181973 A CN A2008101181973A CN 200810118197 A CN200810118197 A CN 200810118197A CN 101340436 A CN101340436 A CN 101340436A
Authority
CN
China
Prior art keywords
memory card
bill
intelligent memory
message
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA2008101181973A
Other languages
English (en)
Other versions
CN101340436B (zh
Inventor
刘道斌
李必涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Petevio Institute Of Technology Co ltd
Original Assignee
Potevio Institute of Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Potevio Institute of Technology Co Ltd filed Critical Potevio Institute of Technology Co Ltd
Priority to CN2008101181973A priority Critical patent/CN101340436B/zh
Publication of CN101340436A publication Critical patent/CN101340436A/zh
Application granted granted Critical
Publication of CN101340436B publication Critical patent/CN101340436B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

本发明公开了基于便携式存储设备实现远程访问控制的方法及装置,该方法包括:认证服务器接收智能存储卡发送的请求访问消息,包括智能存储卡标识、应用服务器标识以及标识相关密钥;认证服务器获取保存的与该智能存储卡标识对应的标识相关密钥,与请求访问消息中的标识相关密钥进行比较,如果一致,则向该智能存储卡返回请求访问响应消息;应用服务器接收智能存储卡发送的包含智能存储卡标识和票据的服务请求消息,采用与认证服务器共享的密钥解密票据,验证票据包含的智能存储卡标识与服务请求消息中未加密的智能存储卡标识一致,为该智能存储卡提供服务。本发明方案实现了将认证与应用分开,减轻了应用服务器对智能存储卡进行认证的负担。

Description

基于便携式存储设备实现远程访问控制的方法及装置
技术领域
本发明涉及信息安全技术领域,尤其涉及基于便携式存储设备实现远程访问控制的方法及装置。
背景技术
Internet为组织和个人提供了使用计算机在全世界范围内交流和共享数据的能力,具有诸如可访问性、可扩展性、降低与业务相关成本降低等好处。但是,对于组织而言,Internet是一个不安全、可能有危险的操作环境,这样,组织在利用Internet提供的好处的同时,需要保持必要级别的数据和通信的安全性。
目前,用于确保安全性的方法是:当用户登录一个远程网络时,使用用户名和密码这两个机密进行验证,验证通过后登录成功。但是,该方法具有不安全性,第三方可能通过其他方式获知用户名,例如,名片或文档资料通常包括用户名,通过名片或文档资料便可获知用户名,在获知用户名之后,密码成为组织网络安全性保护的唯一机密,这种情况下,第三方可能通过“试错法”测试出密码,使组织网络遭到攻击。
用户名和密码安全性保护方案只使用了用户知道的信息来访问网络资源,也称为一元法。一元法采用一元身份验证,其安全性不高,为此,常采用多元身份验证的方法,该多元身份包括:
用户知道的信息:如密码或个人识别码(PIN,Personal IdentificationNumber),以及用户名;
用户拥有的信息:如硬件令牌或智能存储卡;
用户本身的信息:如指纹或视网膜扫描。
智能存储卡是一种便携式存储设备,智能存储卡及其关联的PIN越来越成为流行、可靠和经济型的双重身份验证,采用该双重身份验证时,用户必须有智能存储卡并且知道PIN才能访问网络资源,这样,大大降低了未经授权访问组织网络的可能性。
双重身法验证不同于简单的一元法中提供用户名和密码的组合,而是需要工作站向应用服务器提交某种形式的独特令牌以及PIN。对通过远程访问连接进行身份验证时,用户将智能存储卡插入读卡器后,键入该用户的PIN,将PIN传送给应用服务器进行认证。这种情况下,对智能存储卡PIN进行扩展、猛烈的攻击都是不可能的,因为根据智能存储卡PIN的特点,在多次试图键入正确的PIN失败后,智能存储卡将被锁定。
用户进行网络访问时,智能存储卡直接和网络侧的应用服务进行认证,认证通过后应用服务器向该智能存储卡提供服务,由于应用服务器既向工作站提供登录过程又向工作站提供服务,这使得应用服务器的负担过重,导致用户登录的时间过长。并且,当多个用户同时登录时,应用服务器对多个用户的认证将增加应用服务器的负担,此时应用服务器还可能承担其他已经通过认证的智能存储卡的一些应用服务。不仅如此,采用应用服务器直接认证的方式还增加了应用服务器的危险性,可能导致很多直接针对应用服务器的攻击。
发明内容
本发明提供基于便携式存储设备实现访问控制的方法,该方法能够实现将认证与提供服务分开,减轻应用服务器对智能存储卡进行认证的负担。
本发明提供基于便携式存储设备实现访问控制的装置,该装置能够实现将认证与提供服务分开,减轻应用服务器对智能存储卡进行认证的负担。
一种基于便携式存储设备实现访问控制的方法,该方法包括:
认证服务器接收智能存储卡发送的请求访问消息,该请求访问消息包括智能存储卡标识、应用服务器标识以及智能存储卡中保存的标识相关密钥;
认证服务器获取保存的与该智能存储卡标识对应的标识相关密钥,与请求访问消息中的标识相关密钥进行比较,如果两者一致,则向该智能存储卡返回请求访问响应消息,该请求访问响应消息包括用认证服务器和应用服务器共享的密钥加密后的票据,该票据包括智能存储卡标识和应用服务器标识;
应用服务器接收智能存储卡发送的包含智能存储卡标识和票据的服务请求消息,采用与认证服务器共享的密钥对票据进行解密,验证票据中包含的应用服务器标识为自身标识;验证票据包含的智能存储卡标识与服务请求消息中未加密的智能存储卡标识是否一致,如果一致,则应用服务器为该智能存储卡提供服务。
一种基于便携式存储设备实现访问控制的方法,该方法包括:
认证服务器接收智能存储卡发送的请求访问消息,该请求访问消息包括智能存储卡的标识和票据授权服务器TGS标识;
认证服务器向该智能存储卡返回请求访问响应消息,该请求访问响应消息用智能存储卡和认证服务器之间共享的会话密钥Kc加密,包括第一票据、智能存储卡和TGS之间共享的会话密钥Kc,tgs以及TGS的标识IDtgs,第一票据用认证服务器和TGS之间共享的会话密钥Ktgs加密,该第一票据包括Kc,tgs、认证元素一和IDtgs;
TGS接收智能存储卡发送的请求服务授权消息,该请求服务授权消息包括第一票据、应用服务器标识IDv以及第一认证消息,该第一认证消息由智能存储卡用Kc,tgs加密,包括认证元素一;TGS用Ktgs解密第一票据,判断第一票据中包含的IDtgs与自身标识是否一致,如果一致,则获取第一票据中包含的Kc,tgs,用Kc,tgs解密第一认证消息,判断第一票据中包含的认证元素一与第一认证消息包含的认证元素一是否一致,如果一致,则认证通过;
TGS向智能存储卡发送服务授权响应消息,该服务授权响应消息用Kc,tgs加密,包括智能存储卡和应用服务器之间共享的会话密钥Kc,v、应用服务器标识IDv和第二票据,第二票据用TGS与应用服务器之间共享的会话密钥Kv加密,包括Kc,v、认证元素二和IDv;
应用服务器接收智能存储卡发送的请求服务消息,该请求服务消息包括第二票据和第二认证消息,该第二认证消息用Kc,v加密,包括认证元素二;
应用服务器用Kv解密第二票据,判断第二票据中包含的IDv与自身标识是否一致,如果一致,则获取第二票据中包含的Kc,v,用Kc,v解密第二认证消息;判断第二认证消息中包含的认证元素二与第二票据中包含的认证元素二是否一致,如果一致,则为该智能存储卡提供服务。
一种基于便携式存储设备实现访问控制的装置,该装置包括认证服务器和应用服务器;
所述认证服务器,用于接收智能存储卡发送的请求访问消息,该请求访问消息包括智能存储卡标识、应用服务器标识以及智能存储卡中保存的密钥;获取保存的与该智能存储卡标识对应的标识相关密钥,与请求访问消息中的标识相关密钥进行比较,如果两者一致,则向该智能存储卡返回请求访问响应消息,该请求访问响应消息包括用认证服务器和应用服务器共享的密钥加密后的票据,该票据包括智能存储卡标识和应用服务器标识;
所述应用服务器,用于接收智能存储卡发送的包含智能存储卡标识和票据的服务请求消息,采用与认证服务器共享的密钥对票据进行解密,验证票据中包含的应用服务器标识为自身标识;验证票据包含的智能存储卡标识与服务请求消息中未加密的智能存储卡标识是否一致,如果一致,则应用服务器为该智能存储卡提供服务。
一种基于便携式存储设备实现访问控制的装置,该装置包括认证服务器、票据授权服务器TGS和应用服务器;
所述认证服务器,用于接收智能存储卡发送的请求访问消息,该请求访问消息包括智能存储卡的标识和TGS标识;向该智能存储卡返回请求访问响应消息,该请求访问响应消息用智能存储卡和认证服务器之间共享的会话密钥Kc加密,包括第一票据、智能存储卡和TGS之间共享的会话密钥Kc,tgs以及TGS的标识IDtgs,第一票据用认证服务器和TGS之间共享的会话密钥Ktgs加密,该第一票据包括Kc,tgs、认证元素一和IDtgs;
所述TGS,用于接收智能存储卡发送的请求服务授权消息,该请求服务授权消息包括第一票据、应用服务器标识IDv以及第一认证消息,该第一认证消息由智能存储卡用Kc,tgs加密,包括认证元素一;TGS用Ktgs解密第一票据,判断第一票据中包含的IDtgs与自身标识是否一致,如果一致,则获取第一票据中包含的Kc,tgs,用Kc,tgs解密第一认证消息,判断第一票据包含的认证元素一与第一认证消息包含的认证元素一是否一致,如果一致,则认证通过;向智能存储卡发送服务授权响应消息,该服务授权响应消息用Kc,tgs加密,包括智能存储卡和应用服务器之间共享的会话密钥Kc,v、应用服务器标识IDv和第二票据,第二票据用TGS与应用服务器之间共享的会话密钥Kv加密,包括Kc,v、认证元素二和IDv;
所述应用服务器,用于接收智能存储卡发送的请求服务消息,该请求服务消息包括第二票据和第二认证消息,该第二认证消息用Kc,v加密,包括认证元素二;用Kv解密第二票据,判断第二票据中包含的IDv与自身标识是否一致,如果一致,则获取第二票据中包含的Kc,v,用Kc,v解密第二认证服务器;判断第二认证消息中包含的认证元素二与第二票据中包含的认证元素二是否一致,如果一致,则为该智能存储卡提供服务。
从上述方案可以看出,本发明将认证与提供服务分开,由认证服务器对智能存储卡进行认证,或者由认证服务器结合票据授权服务器对智能存储卡进行认证,通过认证后,发给智能存储卡用于访问应用服务器的授权票据。这样,有效减轻了应用服务器的认证负担,防止了大量用户同时登录时发生的认证阻塞。
附图说明
图1为本发明基于便携式存储设备实现远程访问控制的方法流程图例一;
图2为本发明基于便携式存储设备实现远程访问控制的方法流程图例二。
图3为本发明基于便携式存储设备实现远程访问控制的系统结构示意图一;
图4为本发明基于便携式存储设备实现远程访问控制的系统结构示意图二。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施例和附图,对本发明进一步详细说明。
本发明中,在远程服务器方对插入工作站的便携式存储设备进行认证、权限鉴别与管理时,将认证与提供服务区分开,单独建立进行认证的认证服务器(AS,Authenticating Server)或单独建立进行认证的AS和票据授权服务器(TGS,Ticket Generating Server),并单独建立为工作站提供服务的应用服务器。由认证服务器对智能存储卡进行认证,或者由认证服务器结合TGS对智能存储卡进行认证,通过认证后,发给智能存储卡用于访问应用服务器的授权票据,这样,将认证与服务分开,有效减轻了应用服务器的认证负担,防止了大量用户同时登录时发生的认证阻塞。所述应用服务器包括打印服务器、邮件服务器、文件服务器等。
本发明涉及的便携式存储设备为智能存储卡,智能存储卡运行于嵌入式操作系统和一种可存储数据的文件系统,智能存储卡操作系统能够执行以下任务:存储与服务相关的票据,加密和存储工作站从应用服务器下载的私密数据,且能够对这些数据解密;更进一步地,智能存储卡操作系统还能够执行以下任务:存储用户的公钥和私钥;存储关联的公钥证书;检索公钥证书;以用户名义执行私钥操作等。
本发明中,认证服务器存储了所有的智能存储卡的标识(ID,Identity)及其对应各个智能存储卡ID的标识相关密钥(PC,Personal Code),智能存储卡ID和对应各个智能存储卡ID的PC可以存储在一个集中式数据库中,并且,AS与应用服务器共享唯一的密钥(KV),KV按物理方法分发给应用服务器或按其他安全方法分发给应用服务器。
参见图1,为本发明基于便携式存储设备实现远程访问控制的方法流程图例一,包括以下步骤:
步骤101,智能存储卡向AS发送请求访问消息。
当用户要登录到工作站请求应用服务器提供服务时,向工作站插入智能存储卡,并输入启动智能存储卡的PIN,智能存储卡启动后向AS发送请求访问消息。这里,为了简便说明,用C表示智能存储卡,用V表示应用服务器。
该请求访问消息中包括智能存储卡的标识(IDC)、智能存储卡所要访问的应用服务器的标识(IDV)以及智能存储卡中保存的与自身标识对应的PC。PC可以是由随机字母、数字和特殊符号组成的长密码,存储于智能存储卡的安全区域。智能存储卡和AS中都保存了对应该智能存储卡标识的标识相关密钥,这样,AS接收请求访问消息后,可以通过PC对智能存储卡进行认证。
本步骤可表示为:C→AS:IDC||PC||IDV,其中,“||”表示连接符。
步骤102,AS接收请求访问消息,根据该请求访问消息中的IDC获取AS中保存的与该IDC对应的PC,将获取的PC与请求访问消息中的PC进行比较,如果一致,则认证通过;否则认证不通过。
C向AS发送请求访问消息时,以IP数据包形式发送,IP数据包中包含了该智能存储卡所在的网络地址(ADC)信息,这样,AS通过接收到的请求访问消息便可获知该智能存储卡的ADC
步骤103,AS生成票据,该票据中包括IDC和IDV,采用与V之间共享的密钥KV对票据进行加密,向C返回包括该加密后票据的请求访问响应消息。
本步骤可表示为:AS→C:Ticket,其中,Ticket=EKv[IDC||IDV]。Ticket中还可以包括ADC
由于票据用AS与V之间共享的密钥加密,不会被接收该票据的工作站以及其他的攻击者修改。
步骤104,C接收请求访问响应消息后,向V发送服务请求消息,该服务请求消息中包括IDC和加密后的票据。
本步骤可表示为:C→V:IDc||Ticket。
C向V发送服务请求消息时,以IP数据包形式发送,该IP数据包中包含该智能存储卡所在的网络地址(ADC)信息。
步骤105,V接收C发送的服务请求消息后,采用与AS之间共享的密钥KV对票据进行解密,根据解密后票据中包含的IDV判断是否为发送给自身的服务请求消息,如果不是,则结束流程,如果是,则执行步骤106。
步骤106,V将解密后的票据中包含的IDC与服务请求消息中包含的IDC进行比较,如果一致,则为该智能存储卡提供服务,否则拒绝为该智能存储卡提供服务。
对于票据中没有ADC的情况,攻击者可能在步骤103的传输过程中捕获票据,然后使用IDc以步骤104中访问请求响应消息的格式从另一个工作站向V发送服务请求消息,这样,应用服务器接收到该另一个工作站发送的服务请求消息后,对该服务请求消息进行解密,根据解密后的票据中包含的IDv判断为发送给自身的服务请求消息,比较票据中包含的IDc与服务请求消息中包含的IDc一致后,将为处于另一个网络地址的另一个工作站提供服务。
为了防止这种攻击,步骤103中AS可以在票据中加入消息来源的网络地址,相应地,本步骤中,应用服务器通过接收到的服务请求消息获知该智能存储卡所在的网络地址ADC,将获知的网络地址与解密后票据中包含的ADC进行比较,并且,将解密后的票据中包含的IDC与服务请求消息中未加密的IDC进行比较,如果对IDC和ADC的验证都通过,则为该智能存储卡提供服务,否则拒绝为该智能存储卡提供服务。
上述远程访问方法虽然解决了开放网络环境中认证的一些问题,但仍存在下述问题:
第一个问题是,在远程访问过程中,希望智能存储卡向认证服务器发送请求访问消息的时间最小化。假设远程访问过程中每个票据仅能使用一次,那么,若用户M早晨在一个工作站上登录,希望查看他在邮件服务器上的邮件,用户M为了与邮件服务器通信就必须向AS发送包含与其ID对应的标识相关密钥的请求访问消息,以得到票据,进而根据得到的票据对邮件服务器进行访问。但如果用户M想在一天中多次查看邮件,则每一次都需要向AS发送请求访问消息。对于此问题,可以采用重用票据的方式来解决。在这种模式下,智能存储卡将存储由AS发送的对应每种不同服务的票据。同样以访问邮件服务器的例子进行说明,进行远程访问过程中,智能存储卡存储由AS发送的关于访问邮件服务器的票据,这样,后续多次访问邮件服务器时便可使用存储的的该票据。这种情况下,该票据中可包含确定其有效使用时间范围的时间戳和有效期,V接收C发送的该票据,对其进行解密,首先通过其中的时间戳和有效期判断该票据是否有效,如果在有效使用时间范围内,再进行后续的步骤;如果没有在有效使用时间范围内,则结束流程。
第二个问题是,步骤101中包含对标识相关密钥的明文传输,网络窃听者捕获标识相关密钥后将使用受害者的任何服务。
第三个问题是,应用服务器有向智能存储卡证实自己身份的需求。如果没有这样的认证,攻击者可伪造配置,使得发往应用服务器的消息被定向到其他节点,假冒的应用服务器便可得到智能存储卡的一些信息,从而对受害者提供虚假服务。
下面对改进后的远程访问过程进行说明,改进后的远程访问过程中,通过AS与TGS实现对智能存储卡的认证,认证通过后,智能存储卡便向应用服务器请求服务。具体地,该过程为图2所示,包括以下步骤:
步骤201,C向AS发送请求访问消息,该请求访问消息包括C的标识、请求访问的TGS标识(IDtgs)以及时间戳TS1。
时间戳TS1表示了C发送该请求访问消息的时间。
本步骤可表示为:C→AS:IDC||IDtgs||TS1,其中,IDtgs用于步骤2中产生第一票据。
步骤202,AS接收C发送的请求访问消息后,根据请求访问消息中包含的时间戳TS1确定该请求访问消息是否即时,如果即时,则向C返回请求访问响应消息,该请求访问响应消息用AS与C之间共享的密钥Kc加密,执行步骤203;否则结束流程。
AS根据时间戳TS1确定请求访问消息是否即时的方法包括:AS将接收请求访问消息的时间与时间戳TS1进行比较,如果间隔的时间很短,小于预先设定的间隔值,例如小于3秒,则该消息为即时,否则该消息为不即时。
请求访问响应消息中包含第一票据(Tickettgs),C和TGS之间传输数据时使用共享的会话密钥(Kc,tgs),其下标表示该会话密钥属于C和TGS共享的会话密钥、TGS的标识(IDtgs)、发送该请求访问响应消息的时间戳(TS2),Tickettgs的有效期(Lifetime2)。
其中,第一票据包括C和tgs之间传输数据时使用的会话密钥(Kc,tgs)、智能存储卡的标识(IDc)、智能存储卡的网络地址(ADc)、TGS的标识(IDtgs)、发送该第一票据的时间戳(TS2)以及Tickettgs的有效期(Lifetime2),其中的ADc由AS从网络获取与IDc对应的智能存储卡所在的网络地址得到。并且,AS采用与TGS之间共享的密钥(Ktgs)对第一票据进行加密后包含于请求访问响应消息中。
第一票据可表示为:
Tickettgs=EKtgs[Kc,tgs||IDc||ADc||IDtgs||TS2||Lifetime2]。
本步骤可表示为:
C→AS:Ekc[Kc,tgs||IDtgs||TS2||Lifetime2||Tickettgs],其中EKc表示用AS与C之间共享的密钥对Kc,tgs||IDtgs||TS2||Lifetime2||Tickettgs进行加密。
由于会话密钥Kc,tgs包含在用Kc加密的请求访问响应消息中,只有该智能存储卡可以解密得到Kc,tgs;同时,此Kc,tgs也存在于第一票据中,由于第一票据只能被AS和TGS解密,因此,请求访问响应消息中的两处Kc,tgs都不能被其他的第三方轻易解密,Kc,tgs可以安全地在C和TGS之间传递。
步骤203,C接收请求访问响应消息后,用Kc对其进行解密,获得该请求访问响应消息中包含的各个元素。
请求访问响应消息中包含的Kc,tgs用于C和TGS之间传输数据时加解密使用;TS2和Lifetime2用于判断第一票据是否过期,如果过期则丢弃该第一票据,如果没有过期,则执行步骤204。
根据TS2和Lifetime2判断第一票据是否过期的方法包括:将TS2加Lifetime2的相加结果,与当前时间进行比较,如果大于或等于当前时间,则没有过期,如果小于当前时间,则过期。
步骤204,C向TGS发送请求服务授权消息。
请求服务授权消息中包含第一票据、申请服务的应用服务器标识(IDv)以及第一认证消息(Authenticatorc)。
请求服务授权消息中包含的IDv用于通知TGS智能存储卡所在的工作站需要访问的应用服务器。Authenticatorc包含C的ID,C所在的网络地址以及时间戳TS3,TS3表示了C发送该请求服务授权消息的时间,该第一认证消息用Kc,tgs加密。第一票据中包含第一票据的有效使用时间范围,在有效使用时间范围内该第一票据可重用,而第一认证消息只能使用一次,且生命周期极短,由于第一认证消息仅能使用一次且生命期极短,能有效抵抗重放攻击。
第一认证消息可表示为:Authenticatorc=EKc,tgs[IDc||ADc||TS3]。
本步骤可表示为:C→TGS:IDv||Tickettgs||Authenticatorc。
步骤205,TGS收到该请求服务授权消息后,用与AS共享的密钥解密第一票据,获取第一票据中的各个元素。
解密后,TGS判断第一票据中包含的IDtgs与自身标识是否一致,如果一致,则根据请求服务授权消息中包含的TS2和Lifetime2判断该票据是否有效,如果无效,则结束流程;如果有效,则用第一票据中包含的会话密钥(Kc,tgs)解密第一认证消息,查看第一认证消息是否即时,如果不即时,则结束流程,如果即时,则比较第一票据中包含的IDc、ADc与第一认证消息中包含的IDc、ADc是否一致,如果一致,则通过认证,执行步骤206,否则,结束流程。这里,将第一票据和第一认证消息中包含的IDc和ADc称为认证元素一,该认证元素一还可以是其他元素,例如,认证元素一可以只包括IDc,相应地,TGS进行认证时,判断第一票据中包含的IDc和第一认证消息中包含的IDc是否一致,如果一致,则通过认证,执行步骤206,否则,结束流程。
步骤206,TGS向C返回请求服务授权响应消息,该请求服务授权响应消息用TGS和C共享的会话密钥(Kc,tgs)加密。
该请求服务授权响应消息包括:C和V共享的会话密钥(Kc,v),用于认证过程中C和V之间对数据加解密使用,V的标识ID(IDv)、第二票据以及发送该请求服务授权响应消息的时间戳(TS4)。其中,第二票据里包含有C和V之间共享的会话密钥(Kc,v)、智能存储卡的标识(IDc)、智能存储卡的网络地址(ADc)、V的标识(IDv)、发送该第二票据的时间戳(TS4)以及第二票据的有效期(Lifetime4)。并且,TGS采用与V之间共享的密钥(Kv)对第二票据进行加密后包含于请求服务授权响应消息中。
本步骤可表示为:TGS→C:EKc,tgs[Kc,v||IDv||TS4||Ticketv]。
第二票据可表示为:Ticketv=EKv[Kc,v||IDc||ADc||IDv||TS4||Lifetime4]。
步骤207,C接收服务授权响应消息后,用会话密钥(Kc,tgs)对其进行解密,根据服务授权响应消息中包含的时间戳(TS4)判断该消息是否即时,如果不即时,则结束流程,如果即时,则向V发送请求服务消息。
请求服务消息中包含第二票据和使用该第二票据时需要使用的第二认证消息(Authenticatorc2)。本步骤可表示为:C→V:Ticketv||Authenticatorc。
Authenticatorc2包含C的ID,C所在的网络地址以及时间戳(TS5),TS5表示了C发送该请求服务消息的时间,该第二认证消息用会话密钥(Kc,v)加密。
第二认证消息可表示为:Authenticatorc 2=EKc,v[IDc||ADc||TS5]。
步骤208,应用服务器接收请求服务消息后,用V与TGS之间共享的会话密钥(Kv)对第二票据进行解密,获取第二票据中的各个元素。
解密后,应用服务器判断第二票据中包含的IDv与自身标识是否一致,如果一致,则TGS根据票据中的TS4和Lifetime4判断该票据是否有效,如果无效,则结束流程;如果有效,则用第二票据中包含的会话密钥(Kc,v)解密第二认证消息,根据第二认证消息中包含的TS5查看第二认证消息是否即时,如果不即时,则结束流程,如果即时,则比较第二票据中包含的IDc、ADc与第二认证消息中包含的IDc、ADc是否一致,如果一致,则认证通过,执行步骤209,否则,结束流程。这里,将第二票据和第二认证消息中包含的IDc和ADc称为认证元素二,该认证元素二还可以是其他元素,例如,认证元素二只包括IDc,则应用服务器进行认证时,判断第二票据中包含的IDc和第二认证消息中包含的IDc是否一致,如果一致,则通过认证,执行步骤209,否则,结束流程。
步骤209,V向C返回请求服务响应消息,该请求服务响应消息用V和C共享的会话密钥(Kc,v)加密。
该请求服务响应消息包括:TS5+1,其中与TS5相加的值“1”也可以是V和C之间预先设置的其他设定值。
本步骤可表示为:V→C:EKc,v[TS5+1]。
步骤210,C接收请求服务响应消息后,用与V之间共享的密钥Kc,v对其进行解密,判断与TS5相加的值是否为“1”,如果是,则通过C对V的认证,否则,C对V的认证失败。
在需要进行双向认证的情况下,才执行步骤209和步骤210;如果不需要进行C对V的认证,则不执行步骤209和步骤210。
需要说明的是,上述流程发送的各消息中,也可以不包含用于确定消息发送是否即时的时间戳,在消息中加入时间戳只是为了更进一步的确保发送的消息的安全性,以避免攻击者截获该消息后重复发送该消息,冒充受害者从应用服务获取服务。
并且,第一票据、请求访问响应消息和第二票据中,所包含的时间戳和有效期是用于判断相应的票据是否有效,如果有效,则该票据可重用,这样缩短了访问时间。当然,在第一票据、请求访问响应消息和和第二票据中也可以不包含时间戳和有效期,这种情况下,票据不可重用,每次对应用服务器进行访问时都需要重新产生相应的票据。
步骤211,智能存储卡与应用服务器协商关于提供服务时进行数据传输的加解密密钥。
协商出的密钥可以用于加解密在C和V之间传递的消息或交换新的随机会话。例如,用户想要从应用服务器下载数据内容,则下载的数据内容都用C和V之间协商出的密钥加密后由V传送给C,C接收后采用协商出的密钥进行解密。协商出的密钥可以存储在智能存储卡的安全区域。当然,通过步骤201-210的认证过程后,智能存储卡与应用服务器之间关于提供服务的传输数据也可不使用密钥进行加解密,通过协商出的密钥进行加解密只是为了更进一步提高数据传输的安全性。
参见图3,为本发明基于便携式存储设备实现远程访问控制的系统结构示意图一,该系统包括智能存储卡和网络侧装置,该网络侧装置包括认证服务器和应用服务器;
所述认证服务器,用于接收智能存储卡发送的请求访问消息,该请求访问消息包括智能存储卡标识、应用服务器标识以及智能存储卡中保存的密钥;获取保存的与该智能存储卡标识对应的标识相关密钥,与请求访问消息中的标识相关密钥进行比较,如果两者一致,则向该智能存储卡返回请求访问响应消息,该请求访问响应消息包括用认证服务器和应用服务器共享的密钥加密后的票据,该票据包括智能存储卡标识应用服务器标识;
所述应用服务器,接收智能存储卡发送的包含智能存储卡标识和票据的服务请求消息,采用与认证服务器共享的密钥对票据进行解密,验证票据中包含的应用服务器标识为自身标识;验证票据包含的智能存储卡标识与服务请求消息中未加密的智能存储卡标识是否一致,如果一致,则应用服务器为该智能存储卡提供服务。
可选地,所述票据包括智能存储卡所在的网络地址,所述应用服务器包括标识验证模块、网络地址验证模块和服务模块;
所述标识验证模块,用于接收智能存储卡发送的包含智能存储卡标识和票据的服务请求消息,采用与认证服务器共享的密钥对票据进行解密,验证票据中包含的应用服务器标识为自身标识,并且,验证票据包含的智能存储卡标识与服务请求消息中未加密的智能存储卡标识一致,则向网络地址验证模块发送启动命令;
所述网络地址验证模块,用于接收标识验证模块发送的启动命令,从网络获取与智能存储卡标识对应的网络地址,与票据中包含的网络地址进行比较验证,如果通过验证,则向服务模块发送启动命令;
所述服务模块,用于接收网络地址验证模块发送的启动命令,为该智能存储卡提供服务。
参见图4,为本发明基于便携式存储设备实现远程访问控制的系统结构示意图二,该系统包括智能存储卡和网络侧装置,该网络侧装置包括认证服务器、TGS和应用服务器;
所述认证服务器,用于接收智能存储卡发送的请求访问消息,该请求访问消息包括智能存储卡的标识和TGS标识;向该智能存储卡返回请求访问响应消息,该请求访问响应消息用智能存储卡和认证服务器之间共享的会话密钥Kc加密,包括第一票据、智能存储卡和TGS之间共享的会话密钥Kc,tgs以及TGS的标识IDtgs,第一票据用认证服务器和TGS之间共享的会话密钥Ktgs加密,该第一票据包括Kc,tgs、认证元素一和IDtgs;
所述TGS,用于接收智能存储卡发送的请求服务授权消息,该请求服务授权消息包括第一票据、应用服务器标识IDv以及第一认证消息,该第一认证消息由智能存储卡用Kc,tgs加密,包括认证元素一;TGS用Ktgs解密第一票据,判断第一票据中包含的IDtgs与自身标识是否一致,如果一致,则获取第一票据中包含的Kc,tgs,用Kc,tgs解密第一认证消息,判断第一票据包含的认证元素一与第一认证消息包含的认证元素一是否一致,如果一致,则认证通过;向智能存储卡发送服务授权响应消息,该服务授权响应消息用Kc,tgs加密,包括智能存储卡和应用服务器之间共享的会话密钥Kc,v、应用服务器标识IDv和第二票据,第二票据用TGS与应用服务器之间共享的会话密钥Kv加密,包括Kc,v、认证元素二和IDv;
所述应用服务器,用于接收智能存储卡发送的请求服务消息,该请求服务消息包括第二票据和第二认证消息,该第二认证消息用Kc,v加密,包括认证元素二;用Kv解密第二票据,判断第二票据中包含的IDv与自身标识是否一致,如果一致,则获取第二票据中包含的Kc,v,用Kc,v解密第二认证服务器;判断第二认证消息中包含的认证元素二与第二票据中包含的认证元素二是否一致,如果一致,则为该智能存储卡提供服务。
可选地,所述第二认证消息包括时间戳五,用于判断该第二认证消息是否即时,所述应用服务器包括请求服务消息接收模块、验证模块、请求服务响应消息发送模块和服务模块;
所述请求服务消息接收模块,用于接收智能存储卡发送的请求服务消息,该请求服务消息包括第二票据和第二认证消息,发送给验证模块;
所述验证模块,用Kv解密第二票据,获取第二票据中包含的Kc,v,用Kc,v解密第二认证消息;根据时间戳五判断该第二认证消息即时,并且判断第二认证消息中包含的认证元素二与第二票据中包含的认证元素二一致,则向请求服务响应消息发送模块和服务模块发送启动命令;
所述请求服务响应消息发送模块,用于接收启动命令,向智能存储卡返回请求服务响应消息,该请求服务响应消息用Kc,v加密,该请求服务响应消息包括时间戳五与设定值的和,该设定值用于智能存储卡判断是否通过对应用服务器的验证;
所述服务模块,用于接收启动命令,为该智能存储卡提供服务。
可选地,所述服务模块包括密钥协商模块,用于与智能存储卡之间协商出提供服务时进行数据传输的加解密密钥。
本发明将认证与提供服务分开,有效减轻了现有的应用服务器的认证负担,防止了大量用户同时登录时发生的认证阻塞。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (18)

1、一种基于便携式存储设备实现远程访问控制的方法,其特征在于,该方法包括:
认证服务器接收智能存储卡发送的请求访问消息,该请求访问消息包括智能存储卡标识、应用服务器标识以及智能存储卡中保存的标识相关密钥;
认证服务器获取保存的与该智能存储卡标识对应的标识相关密钥,与请求访问消息中的标识相关密钥进行比较,如果两者一致,则向该智能存储卡返回请求访问响应消息,该请求访问响应消息包括用认证服务器和应用服务器共享的密钥加密后的票据,该票据包括智能存储卡标识和应用服务器标识;
应用服务器接收智能存储卡发送的包含智能存储卡标识和票据的服务请求消息,采用与认证服务器共享的密钥对票据进行解密,验证票据中包含的应用服务器标识为自身标识;验证票据包含的智能存储卡标识与服务请求消息中未加密的智能存储卡标识是否一致,如果一致,则应用服务器为该智能存储卡提供服务。
2、如权利要求1所述的方法,其特征在于,所述票据还包括智能存储卡所在的网络地址,
应用服务器验证票据包含的智能存储卡标识与服务请求消息中未加密的智能存储卡标识一致之后,应用服务器为该智能存储卡提供服务之前,该方法包括:
应用服务器从网络获取与智能存储卡标识对应的网络地址,与票据中包含的智能存储卡所在的网络地址进行比较验证,如果通过验证,则执行所述应用服务器为该智能存储卡提供服务的步骤。
3、一种基于便携式存储设备实现远程访问控制的方法,其特征在于,该方法包括:
认证服务器接收智能存储卡发送的请求访问消息,该请求访问消息包括智能存储卡的标识和票据授权服务器TGS标识;
认证服务器向该智能存储卡返回请求访问响应消息,该请求访问响应消息用智能存储卡和认证服务器之间共享的会话密钥Kc加密,包括第一票据、智能存储卡和TGS之间共享的会话密钥Kc,tgs以及TGS的标识IDtgs,第一票据用认证服务器和TGS之间共享的会话密钥Ktgs加密,该第一票据包括Kc,tgs、认证元素一和IDtgs;
TGS接收智能存储卡发送的请求服务授权消息,该请求服务授权消息包括第一票据、应用服务器标识IDv以及第一认证消息,该第一认证消息由智能存储卡用Kc,tgs加密,包括认证元素一;TGS用Ktgs解密第一票据,判断第一票据中包含的IDtgs与自身标识是否一致,如果一致,则获取第一票据中包含的Kc,tgs,用Kc,tgs解密第一认证消息,判断第一票据中包含的认证元素一与第一认证消息包含的认证元素一是否一致,如果一致,则认证通过;
TGS向智能存储卡发送服务授权响应消息,该服务授权响应消息用Kc,tgs加密,包括智能存储卡和应用服务器之间共享的会话密钥Kc,v、应用服务器标识IDv和第二票据,第二票据用TGS与应用服务器之间共享的会话密钥Kv加密,包括Kc,v、认证元素二和IDv;
应用服务器接收智能存储卡发送的请求服务消息,该请求服务消息包括第二票据和第二认证消息,该第二认证消息用Kc,v加密,包括认证元素二;
应用服务器用Kv解密第二票据,判断第二票据中包含的IDv与自身标识是否一致,如果一致,则获取第二票据中包含的Kc,v,用Kc,v解密第二认证消息;判断第二认证消息中包含的认证元素二与第二票据中包含的认证元素二是否一致,如果一致,则为该智能存储卡提供服务。
4、如权利要求3所述的方法,其特征在于,所述请求访问消息包括时间戳一,所述认证服务器接收智能存储卡发送请求访问消息之后,该方法包括:
认证服务器根据时间戳一判断请求访问消息是否即时,如果是,则执行所述认证服务器向该智能存储卡返回请求访问响应消息的步骤。
5、如权利要求3所述的方法,其特征在于,所述认证元素一包括智能存储卡标识,或者包括智能存储卡标识和智能存储所在的网络地址。
6、如权利要求3所述的方法,其特征在于,所述认证元素二包括智能存储卡标识,或者包括智能存储卡标识和智能存储卡所在的网络地址。
7、如权利要求3所述的方法,其特征在于,所述请求访问响应消息包括时间戳二和有效期二,所述第一票据包括时间戳二和有效期二,该时间戳二和有效期二用于确定第一票据的有效使用时间范围。
8、如权利要求3所述的方法,其特征在于,所述第一认证消息包括时间戳三,所述用Kc,tgs解密第一认证消息之后,该方法包括:
TGS根据时间戳三判断第一认证消息是否即时,如果是,则执行所述判断第一票据中包含的认证元素一与第一认证消息包含的认证元素一是否一致的步骤。
9、如权利要求3所述的方法,其特征在于,所述第二票据包括时间戳四和有效期四,该时间戳四和有效期四用于确定第二票据的有效使用时间范围。
10、如权利要求3所述的方法,其特征在于,所述服务授权响应消息包括时间戳四,该时间戳四用于确定发送给智能存储卡的该服务授权响应消息是否即时。
11、如权利要求3所述的方法,其特征在于,所述第二认证消息包括时间戳五,用于判断该第二认证消息是否即时。
12、如权利要求11所述的方法,其特征在于,应用服务器判断第二认证消息中包含的认证元素二与第二票据中包含的认证元素二一致之后,该方法包括:
应用服务器向智能存储卡返回请求服务响应消息,该请求服务响应消息用智能存储卡与应用服务器之间的共享密钥加密,包括时间戳五与设定值的和;
智能存储卡接收请求服务响应消息后,用智能存储卡与应用服务器之间的共享密钥进行解密,将智能存储卡预先保存的设定值与通过请求服务响应消息获得的设定值进行比较,如果一致,则通过对应用服务器的验证。
13、如权利要求3所述的方法,其特征在于,所述为该智能存储卡提供服务包括:
在智能存储卡与应用服务器之间协商出提供服务时进行数据传输的加解密密钥;
通过协商出的密钥进行数据传输。
14、一种基于便携式存储设备实现远程访问控制的装置,其特征在于,该装置包括认证服务器和应用服务器;
所述认证服务器,用于接收智能存储卡发送的请求访问消息,该请求访问消息包括智能存储卡标识、应用服务器标识以及智能存储卡中保存的密钥;获取保存的与该智能存储卡标识对应的标识相关密钥,与请求访问消息中的标识相关密钥进行比较,如果两者一致,则向该智能存储卡返回请求访问响应消息,该请求访问响应消息包括用认证服务器和应用服务器共享的密钥加密后的票据,该票据包括智能存储卡标识和应用服务器标识;
所述应用服务器,用于接收智能存储卡发送的包含智能存储卡标识和票据的服务请求消息,采用与认证服务器共享的密钥对票据进行解密,验证票据中包含的应用服务器标识为自身标识;验证票据包含的智能存储卡标识与服务请求消息中未加密的智能存储卡标识是否一致,如果一致,则应用服务器为该智能存储卡提供服务。
15、如权利要求14所述的装置,其特征在于,所述票据包括智能存储卡所在的网络地址,所述应用服务器包括标识验证模块、网络地址验证模块和服务模块;
所述标识验证模块,用于接收智能存储卡发送的包含智能存储卡标识和票据的服务请求消息,采用与认证服务器共享的密钥对票据进行解密,验证票据中包含的应用服务器标识为自身标识,并且,验证票据包含的智能存储卡标识与服务请求消息中未加密的智能存储卡标识一致,则向网络地址验证模块发送启动命令;
所述网络地址验证模块,用于接收标识验证模块发送的启动命令,从网络获取与智能存储卡标识对应的网络地址,与票据中包含的网络地址进行比较验证,如果通过验证,则向服务模块发送启动命令;
所述服务模块,用于接收网络地址验证模块发送的启动命令,为该智能存储卡提供服务。
16、一种基于便携式存储设备实现远程访问控制的装置,其特征在于,该装置包括认证服务器、票据授权服务器TGS和应用服务器;
所述认证服务器,用于接收智能存储卡发送的请求访问消息,该请求访问消息包括智能存储卡的标识和TGS标识;向该智能存储卡返回请求访问响应消息,该请求访问响应消息用智能存储卡和认证服务器之间共享的会话密钥Kc加密,包括第一票据、智能存储卡和TGS之间共享的会话密钥Kc,tgs以及TGS的标识IDtgs,第一票据用认证服务器和TGS之间共享的会话密钥Ktgs加密,该第一票据包括Kc,tgs、认证元素一和IDtgs;
所述TGS,用于接收智能存储卡发送的请求服务授权消息,该请求服务授权消息包括第一票据、应用服务器标识IDv以及第一认证消息,该第一认证消息由智能存储卡用Kc,tgs加密,包括认证元素一;TGS用Ktgs解密第一票据,判断第一票据中包含的IDtgs与自身标识是否一致,如果一致,则获取第一票据中包含的Kc,tgs,用Kc,tgs解密第一认证消息,判断第一票据包含的认证元素一与第一认证消息包含的认证元素一是否一致,如果一致,则认证通过;向智能存储卡发送服务授权响应消息,该服务授权响应消息用Kc,tgs加密,包括智能存储卡和应用服务器之间共享的会话密钥Kc,v、应用服务器标识IDv和第二票据,第二票据用TGS与应用服务器之间共享的会话密钥Kv加密,包括Kc,v、认证元素二和IDv;
所述应用服务器,用于接收智能存储卡发送的请求服务消息,该请求服务消息包括第二票据和第二认证消息,该第二认证消息用Kc,v加密,包括认证元素二;用Kv解密第二票据,判断第二票据中包含的IDv与自身标识是否一致,如果一致,则获取第二票据中包含的Kc,v,用Kc,v解密第二认证服务器;判断第二认证消息中包含的认证元素二与第二票据中包含的认证元素二是否一致,如果一致,则为该智能存储卡提供服务。
17、如权利要求16所述的装置,其特征在于,所述第二认证消息包括时间戳五,用于判断该第二认证消息是否即时,所述应用服务器包括请求服务消息接收模块、验证模块、请求服务响应消息发送模块和服务模块;
所述请求服务消息接收模块,用于接收智能存储卡发送的请求服务消息,该请求服务消息包括第二票据和第二认证消息,发送给验证模块;
所述验证模块,用Kv解密第二票据,获取第二票据中包含的Kc,v,用Kc,v解密第二认证消息;根据时间戳五判断该第二认证消息即时,并且判断第二认证消息中包含的认证元素二与第二票据中包含的认证元素二一致,则向请求服务响应消息发送模块和服务模块发送启动命令;
所述请求服务响应消息发送模块,用于接收启动命令,向智能存储卡返回请求服务响应消息,该请求服务响应消息用Kc,v加密,该请求服务响应消息包括时间戳五与设定值的和,该设定值用于智能存储卡判断是否通过对应用服务器的验证;
所述服务模块,用于接收启动命令,为该智能存储卡提供服务。
18、如权利要求17所述的装置,其特征在于,所述服务模块包括密钥协商模块,用于与智能存储卡之间协商出提供服务时进行数据传输的加解密密钥。
CN2008101181973A 2008-08-14 2008-08-14 基于便携式存储设备实现远程访问控制的方法及装置 Expired - Fee Related CN101340436B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2008101181973A CN101340436B (zh) 2008-08-14 2008-08-14 基于便携式存储设备实现远程访问控制的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2008101181973A CN101340436B (zh) 2008-08-14 2008-08-14 基于便携式存储设备实现远程访问控制的方法及装置

Publications (2)

Publication Number Publication Date
CN101340436A true CN101340436A (zh) 2009-01-07
CN101340436B CN101340436B (zh) 2011-05-11

Family

ID=40214390

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2008101181973A Expired - Fee Related CN101340436B (zh) 2008-08-14 2008-08-14 基于便携式存储设备实现远程访问控制的方法及装置

Country Status (1)

Country Link
CN (1) CN101340436B (zh)

Cited By (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101847296A (zh) * 2009-03-25 2010-09-29 索尼公司 集成电路、加密通信装置、系统和方法以及信息处理方法
CN102227106A (zh) * 2011-06-01 2011-10-26 飞天诚信科技股份有限公司 智能密钥设备与计算机进行通信的方法和系统
CN102497267A (zh) * 2011-12-07 2012-06-13 绚视软件科技(上海)有限公司 软件进程间安全通信系统
CN102592173A (zh) * 2011-01-07 2012-07-18 北大方正集团有限公司 数字内容借阅处理方法、装置及系统
CN102904869A (zh) * 2011-07-25 2013-01-30 福特全球技术公司 用于远程认证的方法和设备
WO2013013291A1 (en) * 2011-07-28 2013-01-31 Certicom Corp. System, device, and method for authentication of a user accessing an on-line resource
CN103109510A (zh) * 2012-10-16 2013-05-15 华为技术有限公司 一种资源安全访问方法及装置
CN103238292A (zh) * 2011-12-07 2013-08-07 夏普株式会社 通信系统
CN103442053A (zh) * 2013-08-23 2013-12-11 深圳市奥尼视讯技术有限公司 基于云服务平台实现远程访问存储终端的方法及系统
CN103957258A (zh) * 2014-04-30 2014-07-30 中国工商银行股份有限公司 一种跨区数据通信方法及系统
CN104956620A (zh) * 2013-02-07 2015-09-30 高通股份有限公司 用于验证和密钥交换的方法和装置
CN105681038A (zh) * 2016-03-30 2016-06-15 惠州Tcl移动通信有限公司 一种基于移动终端的调试许可控制方法及系统
CN106406877A (zh) * 2016-09-09 2017-02-15 浪潮软件股份有限公司 一种在线开发和发布轻应用的实现方法
CN106790075A (zh) * 2016-12-21 2017-05-31 上海云熵网络科技有限公司 用于udp传输的认证系统及认证方法
CN107302519A (zh) * 2016-04-15 2017-10-27 北京搜狗科技发展有限公司 一种终端设备的身份认证方法、装置和终端设备、服务器
CN107924515A (zh) * 2015-08-19 2018-04-17 三星电子株式会社 电子设备及其用户认证方法
CN108243158A (zh) * 2016-12-26 2018-07-03 中移(苏州)软件技术有限公司 一种安全认证的方法和装置
CN108243156A (zh) * 2016-12-26 2018-07-03 航天信息股份有限公司 一种基于指纹密钥进行网络认证的方法和系统
CN108737093A (zh) * 2017-04-13 2018-11-02 山东量子科学技术研究院有限公司 一种加密的方法、装置及系统
CN108900582A (zh) * 2018-06-13 2018-11-27 卢嘉川 一种基于物联网的智能控制器
CN110463161A (zh) * 2017-04-03 2019-11-15 微软技术许可有限责任公司 用于访问受保护资源的口令状态机
CN112654989A (zh) * 2020-03-18 2021-04-13 华为技术有限公司 数据保存方法、数据访问方法及相关装置、设备
CN112714167A (zh) * 2020-12-22 2021-04-27 北京百度网讯科技有限公司 用于远程控制的通信方法、云端服务器、驾驶舱和车辆

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105959303B (zh) * 2016-03-23 2019-03-12 四川长虹电器股份有限公司 一种信息安全系统和信息安全方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1122930C (zh) * 2000-05-11 2003-10-01 英业达集团(南京)电子技术有限公司 通过电脑与ic卡进行加密与解密的方法
CN1338841A (zh) * 2000-08-11 2002-03-06 海南格方网络安全有限公司 计算机安全认证智能密钥

Cited By (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101847296A (zh) * 2009-03-25 2010-09-29 索尼公司 集成电路、加密通信装置、系统和方法以及信息处理方法
CN101847296B (zh) * 2009-03-25 2013-07-10 索尼公司 集成电路、加密通信装置、系统和方法以及信息处理方法
CN102592173A (zh) * 2011-01-07 2012-07-18 北大方正集团有限公司 数字内容借阅处理方法、装置及系统
CN102227106A (zh) * 2011-06-01 2011-10-26 飞天诚信科技股份有限公司 智能密钥设备与计算机进行通信的方法和系统
CN102227106B (zh) * 2011-06-01 2014-04-30 飞天诚信科技股份有限公司 智能密钥设备与计算机进行通信的方法和系统
CN102904869B (zh) * 2011-07-25 2018-03-06 福特全球技术公司 用于远程认证的方法和设备
CN102904869A (zh) * 2011-07-25 2013-01-30 福特全球技术公司 用于远程认证的方法和设备
WO2013013291A1 (en) * 2011-07-28 2013-01-31 Certicom Corp. System, device, and method for authentication of a user accessing an on-line resource
CN103238292A (zh) * 2011-12-07 2013-08-07 夏普株式会社 通信系统
CN102497267A (zh) * 2011-12-07 2012-06-13 绚视软件科技(上海)有限公司 软件进程间安全通信系统
CN103109510A (zh) * 2012-10-16 2013-05-15 华为技术有限公司 一种资源安全访问方法及装置
CN104956620A (zh) * 2013-02-07 2015-09-30 高通股份有限公司 用于验证和密钥交换的方法和装置
CN103442053A (zh) * 2013-08-23 2013-12-11 深圳市奥尼视讯技术有限公司 基于云服务平台实现远程访问存储终端的方法及系统
CN103957258A (zh) * 2014-04-30 2014-07-30 中国工商银行股份有限公司 一种跨区数据通信方法及系统
CN103957258B (zh) * 2014-04-30 2018-06-15 中国工商银行股份有限公司 一种跨区数据通信方法及系统
US11074581B2 (en) 2015-08-19 2021-07-27 Samsung Electronics Co., Ltd. Electronic device and user authentication method thereof
CN107924515A (zh) * 2015-08-19 2018-04-17 三星电子株式会社 电子设备及其用户认证方法
CN105681038B (zh) * 2016-03-30 2019-06-04 惠州Tcl移动通信有限公司 一种基于移动终端的调试许可控制方法及系统
CN105681038A (zh) * 2016-03-30 2016-06-15 惠州Tcl移动通信有限公司 一种基于移动终端的调试许可控制方法及系统
CN107302519B (zh) * 2016-04-15 2021-11-30 北京搜狗智能科技有限公司 一种终端设备的身份认证方法、装置和终端设备、服务器
CN107302519A (zh) * 2016-04-15 2017-10-27 北京搜狗科技发展有限公司 一种终端设备的身份认证方法、装置和终端设备、服务器
CN106406877A (zh) * 2016-09-09 2017-02-15 浪潮软件股份有限公司 一种在线开发和发布轻应用的实现方法
CN106790075A (zh) * 2016-12-21 2017-05-31 上海云熵网络科技有限公司 用于udp传输的认证系统及认证方法
CN108243156A (zh) * 2016-12-26 2018-07-03 航天信息股份有限公司 一种基于指纹密钥进行网络认证的方法和系统
CN108243158A (zh) * 2016-12-26 2018-07-03 中移(苏州)软件技术有限公司 一种安全认证的方法和装置
CN110463161A (zh) * 2017-04-03 2019-11-15 微软技术许可有限责任公司 用于访问受保护资源的口令状态机
CN110463161B (zh) * 2017-04-03 2022-03-04 微软技术许可有限责任公司 用于访问受保护资源的口令状态机
CN108737093A (zh) * 2017-04-13 2018-11-02 山东量子科学技术研究院有限公司 一种加密的方法、装置及系统
CN108900582A (zh) * 2018-06-13 2018-11-27 卢嘉川 一种基于物联网的智能控制器
CN112654989A (zh) * 2020-03-18 2021-04-13 华为技术有限公司 数据保存方法、数据访问方法及相关装置、设备
CN112714167A (zh) * 2020-12-22 2021-04-27 北京百度网讯科技有限公司 用于远程控制的通信方法、云端服务器、驾驶舱和车辆
CN112714167B (zh) * 2020-12-22 2022-06-07 北京百度网讯科技有限公司 用于远程控制的通信方法、云端服务器、驾驶舱和车辆

Also Published As

Publication number Publication date
CN101340436B (zh) 2011-05-11

Similar Documents

Publication Publication Date Title
CN101340436B (zh) 基于便携式存储设备实现远程访问控制的方法及装置
CN108064440B (zh) 基于区块链的fido认证方法、装置及系统
FI115098B (fi) Todentaminen dataviestinnässä
CA2241052C (en) Application level security system and method
CN102215221B (zh) 从移动设备对计算机的安全远程唤醒、引导及登录的方法和系统
CN109347809A (zh) 一种面向自主可控环境下的应用虚拟化安全通信方法
CN108270571A (zh) 基于区块链的物联网身份认证系统及其方法
US20120240204A1 (en) System, design and process for strong authentication using bidirectional OTP and out-of-band multichannel authentication
EP2932428B1 (en) Method of allowing establishment of a secure session between a device and a server
CN104767731A (zh) 一种Restful移动交易系统身份认证防护方法
CN108768653A (zh) 基于量子密钥卡的身份认证系统
CN108566273A (zh) 基于量子网络的身份认证系统
WO2014141263A1 (en) Asymmetric otp authentication system
CN110493162A (zh) 基于可穿戴设备的身份认证方法及系统
CN107911211B (zh) 基于量子通信网络的二维码认证系统
CN108964896A (zh) 一种基于群组密钥池的Kerberos身份认证系统和方法
CN101483863B (zh) 即时消息的传送方法、系统及wapi终端
CN102025748A (zh) 获取Kerberos认证方式的用户名的方法、装置和系统
CN108964895A (zh) 基于群组密钥池和改进Kerberos的User-to-User身份认证系统和方法
KR102219086B1 (ko) 드론(Unnamed Aerial vehicle)시스템을 위한 HMAC기반의 송신원 인증 및 비밀키 공유 방법 및 시스템
CN108667801A (zh) 一种物联网接入身份安全认证方法及系统
CN105978688B (zh) 一种基于信息分离管理的跨网域安全认证方法
KR100957044B1 (ko) 커버로스를 이용한 상호 인증 방법 및 그 시스템
CN110176989A (zh) 基于非对称密钥池的量子通信服务站身份认证方法和系统
CN107786978B (zh) 基于量子加密的nfc认证系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
ASS Succession or assignment of patent right

Owner name: CHINA POTEVIO CO., LTD.

Free format text: FORMER OWNER: PUTIAN IT TECH INST CO., LTD.

Effective date: 20130917

C41 Transfer of patent application or patent right or utility model
TR01 Transfer of patent right

Effective date of registration: 20130917

Address after: 100080, No. two, 2 street, Zhongguancun science and Technology Park, Beijing, Haidian District

Patentee after: CHINA POTEVIO CO.,LTD.

Address before: 100080 Beijing, Haidian, North Street, No. two, No. 6, No.

Patentee before: PETEVIO INSTITUTE OF TECHNOLOGY Co.,Ltd.

ASS Succession or assignment of patent right

Owner name: PUTIAN IT TECH INST CO., LTD.

Free format text: FORMER OWNER: CHINA POTEVIO CO., LTD.

Effective date: 20131202

C41 Transfer of patent application or patent right or utility model
TR01 Transfer of patent right

Effective date of registration: 20131202

Address after: 100080 Beijing, Haidian, North Street, No. two, No. 6, No.

Patentee after: PETEVIO INSTITUTE OF TECHNOLOGY Co.,Ltd.

Address before: 100080, No. two, 2 street, Zhongguancun science and Technology Park, Beijing, Haidian District

Patentee before: CHINA POTEVIO CO.,LTD.

CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20110511

Termination date: 20210814

CF01 Termination of patent right due to non-payment of annual fee