CN101409621B - 一种基于设备的多方身份认证方法及系统 - Google Patents
一种基于设备的多方身份认证方法及系统 Download PDFInfo
- Publication number
- CN101409621B CN101409621B CN2008102264969A CN200810226496A CN101409621B CN 101409621 B CN101409621 B CN 101409621B CN 2008102264969 A CN2008102264969 A CN 2008102264969A CN 200810226496 A CN200810226496 A CN 200810226496A CN 101409621 B CN101409621 B CN 101409621B
- Authority
- CN
- China
- Prior art keywords
- authentication
- digital certificates
- terminal equipment
- send
- authenticating device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明提供一种多方身份认证方法及系统,该系统包括:鉴权服务器和至少两个认证设备;鉴权服务器向至少两个认证设备分别发送包含所有参与认证的认证设备电子证书的身份认证数据;认证设备将接收的身份认证数据进行存储;其中,认证设备包括:认证发起方认证设备和认证处理方认证设备;认证发起方认证设备向认证处理方认证设备发送包含有认证发起方认证设备电子证书的认证请求消息;认证处理方认证设备将自身存储的认证发起方认证设备电子证书与接收的认证请求消息中的电子证书进行一致性比较,如果一致则向鉴权服务器发送身份合法消息,如果不一致则向鉴权服务器发送身份非法消息。解决了服务器、终端和用户三者之间身份认证问题。
Description
技术领域
本发明关于身份认证技术,特别是关于终端设备、用户端和服务器间的身份认证技术,具体的讲是一种基于设备的多方身份认证方法及系统。
背景技术
随着通信技术及IT技术的快速发展,一方面,通信/应用终端的智能及运算能力越来越高,基于终端的网络攻击、假冒身份的安全事件愈加频繁,攻击的频度和烈度也越来越高,加强终端自身安全防护的需求日益提高;另一方面,企业网络的地域限制逐渐淡化,网络规模日益庞大,对网络中的个体管理的需求日益突出。
传统的电力、银行、交通等大量的传统工业客户,对应用的安全性有非常高的要求,例如:金融行业的无线POS业务,由于涉及到货币交易,银行对于交易的各环节有特殊的安全要求,首先,对于终端,必须是通过金融行业组织的特别认证,才可以接入到银行交易系统中;对于使用者,必须是银行授权的用户,并通过特定的用户名/口令才能接入到交易系统;银行的后台中心负责对于用户权限、口令的统一管理。但是,随着终端运算能力的提高及各种网络通信能力的普及,终端本身不再是可信的,例如:网络黑客通过伪造终端的外部特征(终端硬件编号、IP、消息内容等),发起非法的通信/交易行为,骗取中心的信任,从而进行非法的交易;另外一种情况,黑客通过仿冒IP、截取数据等方式,伪造非法的交易中心,欺骗合法的终端/用户,窃取用户名、口令等关键数据,进行非法交易。
为了解决终端、用户以及应用中心各环节的相互鉴权认证问题,中国专利申请200680019600.6公开了一种综合认证和管理服务提供者、终端和用户身份模块的方法以及使用该方法的系统和终端。在该发明申请的技术方案中,终端、用户以及应用中心任意双方的认证过程均需要通过管理中心、终端、用户身份模块三方在认证消息中加入各自的身份信息在网络中传递,这种三方在认证消息中都加入各自身份信息的方法安全性较低,在进行任意双方间的安全鉴权时消耗较大,并且认证流程固定。
发明内容
为了解决现有技术中应用中心、终端和用户三者之间身份认证的安全性低、鉴权消耗大以及认证流程固定的问题,本发明提供了一种基于设备的多方身份认证方法及系统。
本发明的目的之一是,提供一种多方身份认证方法,所述的方法包括以下步骤:由鉴权端向至少两个认证设备分别发送包含所有参与认证的认证设备电子证书的身份认证数据;每个认证设备都将接收的身份认证数据进行存储;当两个认证设备之间进行身份认证时,认证发起方认证设备向认证处理方认证设备发送包含有认证发起方认证设备电子证书的认证请求消息;认证处理方认证设备将自身存储的认证发起方认证设备电子证书与接收的认证请求消息中的电子证书进行一致性比较,如果一致则向所述的鉴权端发送身份合法消息,如果不一致则向所述的鉴权端发送身份非法消息。
本发明的目的之一是,提供一种多方身份认证系统,所述的系统包括:鉴权服务器和至少两个认证设备;所述的鉴权服务器向至少两个认证设备分别发送包含所有参与认证的认证设备电子证书的身份认证数据;所述的认证设备将接收的身份认证数据进行存储;其中,所述的至少两个认证设备包括:认证发起方认证设备和认证处理方认证设备;所述的认证发起方认证设备向认证处理方认证设备发送包含有认证发起方认证设备电子证书的认证请求消息;认证处理方认证设备将自身存储的认证发起方认证设备电子证书与接收的认证请求消息中的电子证书进行一致性比较,如果一致则向所述的鉴权服务器发送身份合法消息,如果不一致则向所述的鉴权服务器发送身份非法消息。
本发明的有益效果在于,解决了终端设备、用户设备乃至作为应用中心的认证服务器均可能存在的假冒问题。本发明基于三方均不可信的原则,在进行应用交互前,终端设备、用户设备、应用中心均可主动发起向其他任意一方或多方的合法性的鉴权。
特别是,终端设备与用户设备的相互认证锁定,用户设备与终端设备对应关系发生变化后,终端设备或用户设备无法发起与应用中心的应用交互。
另外,终端或用户发起的对于应用中心的合法性鉴权,如果应用中心未通过终端或用户的鉴权,则终端或用户拒绝发起与应用中心的连接。应用中心对于终端或用户进行身份合法性的鉴权,若未通过应用中心鉴权,则应用中心拒绝终端和用户的应用连接请求。
附图说明
图1是本发明的系统结构框图。
图2是电子证书发放流程图。
图3为终端鉴权用户的流程图。
图4为用户鉴权终端的流程图。
图5是终端对应用中心的鉴权流程图。
图6是应用中心发起对终端的鉴权流程图。
图7是本发明应用实例的结构示意图。
具体实施方式
下面结合附图说明本发明的具体实施方式。如图1所示,多方身份认证系统包括:终端设备、用户设备、应用服务器和鉴权服务器,用户设备通过终端设备与鉴权服务器及应用服务器相联接。
如图2所示,鉴权服务器向终端设备、用户设备、应用服务器分别发送包含所有参与认证的认证设备电子证书的身份认证数据。身份认证数据可以包括:终端设备电子证书和加密密钥、用户设备电子证书和加密密钥、以及应用服务器电子证书和加密密钥。
终端设备、用户设备以及应用服务器分别接收鉴权服务器发来的身份认证数据,并将其中的终端设备电子证书和加密密钥、用户设备电子证书和加密密钥、以及应用服务器电子证书和加密密钥进行存储;其中,
终端设备、用户设备以及应用服务器可以进行任意组合的两两认证,两两认证的设备包括:认证发起方认证设备和认证处理方认证设备;认证发起方认证设备向认证处理方认证设备发送包含有认证发起方认证设备电子证书的认证请求消息;认证处理方认证设备将自身存储的认证发起方认证设备电子证书与接收的认证请求消息中的电子证书进行一致性比较,如果一致则向所述的鉴权服务器发送身份合法消息,如果不一致则向所述的鉴权服务器发送身份非法消息。
实施例1
如图2所示,鉴权中心的鉴权服务器通过安全的方式向终端设备下发唯一电子证书,终端设备将该电子证书固化在终端设备中,并确保不可篡改。鉴权中心通过安全渠道,向终端设备提供安全密钥,终端设备将该密钥存储在本地硬件环境中。加密解密的算法通过硬件方式实现,防止篡改及窃取。根据鉴权中心鉴权策略模块的记录,如果终端设备需要对用户设备或应用中心的应用服务器鉴权,则鉴权中心一并将用户设备及应用中心的电子证书及对应加密密钥通过安全方式直接下发至终端设备。
下发唯一电子证书的流程是:
步骤101、鉴权中心通过安全的方式向终端设备下发唯一电子证书,终端设备将该电子证书固化在终端设备中,终端设备可为:手机、POS机和移动电脑等设备,该电子证书确保不可篡改。鉴权中心通过安全渠道,向终端设备提供安全密钥,终端设备将该密钥存储在本地硬件环境中。加密解密的算法通过硬件方式实现,防止篡改及窃取。
步骤102、鉴权中心通过安全方式向用户设备下发唯一电子证书,该电子证书固化在用户设备中,用户设备可为:SIM/USIM卡、用户IC卡和SD存储卡等载体,该电子证书不可篡改。鉴权中心通过安全渠道,向用户设备提供安全密钥,该密钥存储在用户设备硬件环境中。同时,加密解密的算法通过硬件方式实现,防止篡改及窃取。
如图3所示,终端设备鉴权用户设备的流程包括以下两种方案:
1)终端设备加电启动后,从用户设备读取用户设备本地存储的用户密钥加密的用户身份认证信息;终端设备采用本地存储的用户密钥进行解密,将解密后获得的用户身份信息与本地存储的用户身份信息进行比对;终端判断用户身份合法性,并向用户设备返回采用本地存储的用户密钥加密的确认消息。如果终端设备判断用户设备合法,则向鉴权中心发送采用终端密钥加密的合法性鉴权结果通知,鉴权中心采用本地存储的终端密钥进行解密,获得认证结果,进行记录;同时终端设备向应用中心发起应用连接,应用平台根据本地记录的定购关系,判断合法性,记录访问日志,并向终端设备返回确认消息。如果终端判断用户身份非法,向鉴权中心发送采用终端密钥加密的非法性鉴权结果通知,鉴权中心采用本地存储的终端密钥进行解密,获得认证结果,进行记录,终端设备拒绝该用户设备发起的应用连接请求,终端设备进入休眠或停机状态,直至正确的用户身份设备插入设备后,正常启动。
2)终端设备加电启动后,向用户设备发送终端设备本地存储的用户身份认证信息,并采用终端设备本地存储的用户密钥进行加密;用户设备接收终端设备传递的加密用户身份信息,采用用户设备本地存储的用户设备密钥进行解密,获取终端上传的用户身份电子证书,与用户设备本地存储的身份信息进行比对,向终端设备反馈采用本地存储的用户密钥进行加密的确认消息,终端设备对接收的确认消息采用本地存储的用户密钥进行解密,获得确认消息,判断用户身份合法。如果终端设备判断用户设备合法,则向鉴权中心发送采用终端密钥加密的合法性鉴权结果通知,鉴权中心采用本地存储的终端密钥进行解密,获得认证结果,进行记录;同时终端设备向应用平台发起应用连接,应用平台根据本地记录的定购关系,判断合法性,进行记录,并向终端设备返回确认消息。如果终端判断用户身份非法,向鉴权中心发送采用终端密钥加密的非法性鉴权结果通知,鉴权中心采用本地存储的终端密钥进行解密,获得认证结果,进行记录,终端设备拒绝该用户设备发起的应用连接请求,终端设备进入休眠或停机状态,直至正确的用户身份设备插入设备后,正常启动。
终端设备对用户信息进行鉴权(用户信息通过公开加密密钥加密,终端通过解密芯片和密钥解密进行解密,获取用户信息)包括:企业信息、用户ID、有效期等。
用户设备对终端设备身份信息进行鉴权(用户信息通过公开加密密钥加密,终端通过解密芯片和密钥解密进行解密,获取用户信息),包括:厂家信息,设备ID、有效期等
类似的,设备与用户互相通过鉴权后,形成单方身份信息或双方的联合身份信息,并通过加密密钥和加密芯片加密后送鉴权中心,鉴权中心通过加密密钥和解密芯片对设备传来的联合身份信息进行解密,并与本地维护的鉴权策略,例如:终端与用户的联合捆绑鉴权要求,对用户身份信息和终端身份信息进行比对鉴权。
实施例二
如图4所示,用户设备鉴权终端设备的流程包括以下两种方案:
1)当用户设备进行鉴权终端设备的操作时,用户设备假设终端设备不可信,向终端设备传递用户设备本地存储的终端设备的身份信息,并采用用户设备本地存储的终端设备密钥进行加密;终端设备接收用户设备传递的加密终端设备信息,采用本地存储的终端设备密钥进行解密,获取用户设备上传的终端设备电子证书,与本地存储的身份信息进行比对,并向用户设备返回采用本地存储的终端设备密钥加密的确认消息,用户设备采用本地存储的终端设备密钥对接收的确认消息进行解密,确认终端的合法性。如果用户设备判断终端设备合法,则向鉴权中心发送采用用户设备密钥加密的合法性鉴权结果通知,鉴权中心采用本地存储的用户设备密钥进行解密,获得认证结果,进行记录;同时用户设备通过终端设备向应用平台发起应用连接,应用平台根据本地记录的定购关系,判断合法性,进行记录,并向终端设备返回确认消息。如果用户设备判断终端身份非法,通过终端设备向鉴权中心发送采用用户设备密钥加密的非法性鉴权结果通知,鉴权中心采用本地存储的用户设备密钥进行解密,获得认证结果,进行记录,用户设备拒绝通过该终端设备发起的应用连接请求,终端设备进入休眠或停机状态,直至更换合法的终端设备后,正常启动。
2)用户设备要求终端设备返回采用终端密钥加密后的终端设备电子证书,用户设备对接收到的信息采用本地存储的终端密钥解密,进行确认,并向终端设备返回采用本地存储的终端密钥加密的确认消息。后者的安全性高于前者。为确保安全,用户设备不向外发送自己的身份及密钥信息。
如果用户设备判断终端设备合法,则向鉴权中心发送采用用户密钥加密的合法性鉴权结果通知,鉴权中心采用本地存储的用户密钥进行解密,获得认证结果,进行记录;同时用户设备通过终端设备向应用中心发起应用连接,应用平台根据本地记录的定购关系,判断合法性,记录访问日志,并向终端设备返回确认消息。如果用户设备判断终端设备身份非法,向鉴权中心发送采用用户设备密钥加密的非法性鉴权结果通知,鉴权中心采用本地存储的用户设备密钥进行解密,获得认证结果,进行记录,用户设备拒绝通过终端设备发起到应用中心的应用连接请求,终端设备进入休眠或停机状态,直至更换合法的终端设备后,正常启动。
实施例三
如图5所示,终端对应用中心的鉴权包括两种方案:
1)终端加电启动后,向应用中心发送终端本地存储的应用中心身份认证信息,并采用终端本地存储的应用中心密钥进行加密;应用中心接收终端传递的加密应用中心身份信息,并采用本地存储的应用中心密钥进行解密,获取终端上传的应用中心电子证书,与本地存储的身份信息进行比对,终端根据比对结果,向鉴权中心发送鉴权结果通知,并采用终端本地存储的终端加密钥对消息进行加密。终端判断应用中心身份合法,终端向应用平台发起应用连接,应用平台根据定购关系,判断合法性,并进行记录。终端判断应用中心非法,进入休眠,终端记录非法应用中心的事件记录,包括通信消息记录、非法应用IP等必要信息,存储在终端本地,待连接到合法应用中心后,上报相关记录,同时终端将详细的记录通知用户身份设备。
2)终端加电启动后,终端设备从应用中心读取应用中心身份认证信息,并采用应用中心本地存储的应用中心密钥进行加密,终端采用本地存储的应用中心密钥进行解密,将解密后获得的应用中心身份信息与本地存储的应用中心身份信息进行比对,并将鉴权结果通知鉴权中心,采用终端本地存储的终端设备密钥进行加密。终端判断应用中心身份合法,终端向应用平台发起应用连接,应用平台根据定购关系,判断合法性,并进行记录。终端判断应用中心非法,进入休眠,终端记录非法应用中心的事件记录,包括通信消息记录、非法应用IP等必要信息,存储在终端本地,待连接到合法应用中心后,上报相关记录,同时终端将详细的记录通知用户身份设备。
类似的,用户发起对应用中心的鉴权流程包括两种:
1)当用户对终端进行鉴权时,用户假设应用中心不可信。用户设备向应用中心传递用户设备存储的应用中心身份信息,并采用用户设备本地存储应用中心加密密钥加密,由应用中心返回鉴权确认消息。
2)当用户对终端进行鉴权时,用户假设应用中心不可信。用户设备要求应用中心返回加密后的应用中心身份的电子证书,由用户身份设备进行解密确认。后者的安全性高于前者。为确保安全,用户不向外发送自己的身份信息。
实施例四
如图6所示,应用中心发起对终端的鉴权流程包括两种方案:
1)终端加电启动后,应用中心向终端发送本地存储的终端身份认证信息,并采用应用中心本地存储的终端密钥进行加密;终端采用本地存储的终端密钥解密接收到的消息,与本地存储的终端身份信息进行比对,判断合法性,并采用本地存储的终端密钥的确认消息。应用中心采用本地存储的终端密钥对确认消息解密,判断判断终端合法性。如果应用中心判断终端设备合法,则向鉴权中心发送采用应用中心密钥加密的合法性鉴权结果通知,鉴权中心采用本地存储的应用中心密钥进行解密,获得认证结果,进行记录;同时应用中心允许终端设备发起的应用连接请求,应用中心根据本地记录的定购关系,判断合法性,记录访问日志,并向终端设备返回确认消息。如果应用中心判断终端设备身份非法,向鉴权中心发送采用应用中心密钥加密的非法性鉴权结果通知,鉴权中心采用本地存储的应用中心密钥进行解密,获得认证结果,进行记录,应用中心拒绝该终端设备发起的应用连接请求,要求终端设备进入休眠或停机状态,直至更换合法的终端设备后,正常启动。
2)终端加电启动后,应用中心读取终端设备的身份认证信息,并采用终端设备本地存储的终端设备密钥进行加密,应用中心采用应用中心本地存储的终端设备密钥对接受到的消息进行解密,将获得的终端设备身份信息与本地存储的应用中心身份信息进行比对,并判断终端身份合法性。如果应用中心判断终端设备合法,则向鉴权中心发送采用应用中心密钥加密的合法性鉴权结果通知,鉴权中心采用本地存储的应用中心密钥进行解密,获得认证结果,进行记录;同时应用中心允许终端设备发起的应用连接请求,应用中心根据本地记录的定购关系,判断合法性,记录访问日志,并向终端设备返回确认消息。如果应用中心判断终端设备身份非法,向鉴权中心发送采用应用中心密钥加密的非法性鉴权结果通知,鉴权中心采用本地存储的应用中心密钥进行解密,获得认证结果,进行记录,应用中心拒绝该终端设备发起的应用连接请求,要求终端设备进入休眠或停机状态,直至更换合法的终端设备后,正常启动。
与图6所示相类似,应用中心也可以发起对用户的鉴权流程。
如图7所示,在本发明的一个应用中,应用设备通过鉴权中心与应用中心实现数据交互。其中,应用设备的用户设备为用户信息存储设备(SIM卡),应用设备的终端设备为设备信息存储芯片。鉴权中心包括认证服务器。应用中心包括应用服务器。
用户设备和终端设备是应用设备的一部分或是应用设备的外围设备。
应用中心向鉴权中心提交鉴权要求:包括:终端与用户的对应关系、应用中心的身份信息、用户定制的鉴权策略(例如要求中心身份ID与设备ID捆绑等用户、中心、设备三方的任意双方或三方的绑定鉴权)。认证流程如图3至图6所示。
本发明基于三方均不可信的原则,在进行应用交互前,终端设备、用户设备、应用中心均可主动发起向其他任意一方或多方的合法性的鉴权。
Claims (12)
1.一种多方身份认证方法,其特征是,所述的方法包括以下步骤:
由鉴权端向终端设备、用户设备和应用服务器三个认证设备中的至少两个认证设备分别发送包含所有参与认证的认证设备电子证书的身份认证数据;
每个认证设备都将接收的身份认证数据进行存储;
当两个认证设备之间进行身份认证时,
认证发起方认证设备向认证处理方认证设备发送包含有认证发起方认证设备电子证书的认证请求消息;
认证处理方认证设备将自身存储的认证发起方认证设备电子证书与接收的认证请求消息中的电子证书进行一致性比较,如果一致则向所述的鉴权端发送身份合法消息,如果不一致则向所述的鉴权端发送身份非法消息。
2.根据权利要求1所述的方法,其特征是,所述的身份认证数据还包含加密密钥;
所述的认证设备将所述的身份认证数据和加密密钥进行存储;
当两个认证设备之间进行身份认证时,
认证发起方认证设备向认证处理方认证设备发送包含有认证发起方认证设备电子证书的加密认证请求消息;
认证处理方认证设备根据自身存储的认证发起方认证设备加密密钥对接收的加密认证请求消息进行解密,获取其中的电子证书,并将自身存储的认证发起方认证设备电子证书与获取的认证请求消息中的电子证书进行一致性比较,如果一致则向所述的鉴权端发送身份合法消息,如果不一致则向所述的鉴权端发送身份非法消息。
3.根据权利要求1所述的方法,其特征是,
当终端设备与用户设备之间进行身份认证时,
终端设备向用户设备发送包含有终端设备电子证书的认证请求消息;
用户设备将自身存储的终端设备电子证书与接收的认证请求消息中的电子证书进行一致性比较,如果一致则向所述的鉴权端发送身份合法消息,如果不一致则向所述的鉴权端发送身份非法消息。
4.根据权利要求1所述的方法,其特征是,
当用户设备与终端设备之间进行身份认证时,
用户设备向终端设备发送包含有用户设备电子证书的认证请求消息;
终端设备将自身存储的用户设备电子证书与接收的认证请求消息中的电子证书进行一致性比较,如果一致则向所述的鉴权端发送身份合法消息,如果不一致则向所述的鉴权端发送身份非法消息。
5.根据权利要求1所述的方法,其特征是,
当终端设备与应用服务器之间进行身份认证时,
终端设备向应用服务器发送包含有终端设备电子证书的认证请求消息;
应用服务器将自身存储的终端设备电子证书与接收的认证请求消息中的电子证书进行一致性比较,如果一致则向所述的鉴权端发送身份合法消息,如果不一致则向所述的鉴权端发送身份非法消息。
6.根据权利要求1所述的方法,其特征是,
当应用服务器与终端设备之间进行身份认证时,
应用服务器向终端设备发送包含有应用服务器电子证书的认证请求消息;
终端设备将自身存储的应用服务器电子证书与接收的认证请求消息中的电子证书进行一致性比较,如果一致则向所述的鉴权端发送身份合法消息,如果不一致则向所述的鉴权端发送身份非法消息。
7.一种多方身份认证系统,其特征是,所述的系统包括:终端设备、用户设备和应用服务器三个认证设备中的至少两个认证设备及鉴权服务器;
所述的鉴权服务器向至少两个认证设备分别发送包含所有参与认证的认证设备电子证书的身份认证数据;
所述的认证设备将接收的身份认证数据进行存储;其中,
所述的至少两个认证设备包括:认证发起方认证设备和认证处理方认证设备;
所述的认证发起方认证设备向认证处理方认证设备发送包含有认证发起方认证设备电子证书的认证请求消息;
认证处理方认证设备将自身存储的认证发起方认证设备电子证书与接收的认证请求消息中的电子证书进行一致性比较,如果一致则向所述的鉴权服务器发送身份合法消息,如果不一致则向所述的鉴权服务器发送身份非法消息。
8.根据权利要求7所述的系统,其特征是,所述的身份认证数据还包含加密密钥;
所述的认证设备将所述的身份认证数据和加密密钥进行存储;
所述的认证发起方认证设备向认证处理方认证设备发送包含有认证发起方认证设备电子证书的加密认证请求消息;
所述的认证处理方认证设备根据自身存储的认证发起方认证设备加密密钥对接收的加密认证请求消息进行解密,获取其中的电子证书,并将自身存储的认证发起方认证设备电子证书与获取的认证请求消息中的电子证书进行一致性比较,如果一致则向所述的鉴权服务器发送身份合法消息,如果不一致则向所述的鉴权服务器发送身份非法消息。
9.根据权利要求7所述的系统,其特征是,
所述的终端设备向所述的用户设备发送包含有终端设备电子证书的认证请求消息;
所述的用户设备将自身存储的终端设备电子证书与接收的认证请求消息中的电子证书进行一致性比较,如果一致则向所述的鉴权服务器发送身份合法消息,如果不一致则向所述的鉴权服务器发送身份非法消息。
10.根据权利要求7所述的系统,其特征是,
所述的用户设备向所述的终端设备发送包含有用户设备电子证书的认证请求消息;
所述的终端设备将自身存储的用户设备电子证书与接收的认证请求消息中的电子证书进行一致性比较,如果一致则向所述的鉴权服务器发送身份合法消息,如果不一致则向所述的鉴权服务器发送身份非法消息。
11.根据权利要求7所述的系统,其特征是,
所述的终端设备向所述的应用服务器发送包含有终端设备电子证书的认证请求消息;
所述的应用服务器将自身存储的终端设备电子证书与接收的认证请求消息中的电子证书进行一致性比较,如果一致则向所述的鉴权服务器发送身份合法消息,如果不一致则向所述的鉴权服务器发送身份非法消息。
12.根据权利要求7所述的系统,其特征是,
所述的应用服务器向所述的终端设备发送包含有应用服务器电子证书的认证请求消息;
所述的终端设备将自身存储的应用服务器电子证书与接收的认证请求消息中的电子证书进行一致性比较,如果一致则向所述的鉴权服务器发送身份合法消息,如果不一致则向所述的鉴权服务器发送身份非法消息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008102264969A CN101409621B (zh) | 2008-11-13 | 2008-11-13 | 一种基于设备的多方身份认证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008102264969A CN101409621B (zh) | 2008-11-13 | 2008-11-13 | 一种基于设备的多方身份认证方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101409621A CN101409621A (zh) | 2009-04-15 |
| CN101409621B true CN101409621B (zh) | 2011-05-11 |
Family
ID=40572430
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008102264969A Active CN101409621B (zh) | 2008-11-13 | 2008-11-13 | 一种基于设备的多方身份认证方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101409621B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102045340B (zh) * | 2010-10-15 | 2014-07-16 | 国家电网公司 | 电动汽车与充换电站的安全数据交换方法及系统 |
| CN105450583B (zh) * | 2014-07-03 | 2019-07-05 | 阿里巴巴集团控股有限公司 | 一种信息认证的方法及装置 |
| CN105262733B (zh) * | 2015-09-21 | 2018-11-06 | 宇龙计算机通信科技(深圳)有限公司 | 一种指纹鉴权方法、云端服务器、指纹识别方法和终端 |
| CN105975846B (zh) * | 2016-04-29 | 2019-04-12 | 宇龙计算机通信科技(深圳)有限公司 | 终端的认证方法及系统 |
| CN108964885B (zh) | 2017-05-27 | 2021-03-05 | 华为技术有限公司 | 鉴权方法、装置、系统和存储介质 |
| CN110677413B (zh) * | 2019-09-29 | 2021-07-30 | 南京大学 | 一种智能家居物联网系统受攻击安全验证的方法和装置 |
| CN114760027A (zh) * | 2020-12-26 | 2022-07-15 | 西安西电捷通无线网络通信股份有限公司 | 一种身份鉴别方法和装置 |
| CN114760036A (zh) * | 2020-12-26 | 2022-07-15 | 西安西电捷通无线网络通信股份有限公司 | 一种身份鉴别方法和装置 |
| CN114760040A (zh) * | 2020-12-26 | 2022-07-15 | 西安西电捷通无线网络通信股份有限公司 | 一种身份鉴别方法和装置 |
| CN112883365A (zh) * | 2021-03-12 | 2021-06-01 | 三一汽车起重机械有限公司 | 作业机械设备身份认证方法、装置及作业机械 |
-
2008
- 2008-11-13 CN CN2008102264969A patent/CN101409621B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN101409621A (zh) | 2009-04-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101409621B (zh) | 一种基于设备的多方身份认证方法及系统 | |
| CN101189827B (zh) | 综合认证和管理服务提供者、终端和用户身份模块的方法以及使用该方法的系统和终端 | |
| US8763097B2 (en) | System, design and process for strong authentication using bidirectional OTP and out-of-band multichannel authentication | |
| CN1689297B (zh) | 使用密钥基防止未经授权分发和使用电子密钥的方法 | |
| US7293176B2 (en) | Strong mutual authentication of devices | |
| JP6586446B2 (ja) | 通信端末および関連システムのユーザーの識別情報を確認するための方法 | |
| CN108270571A (zh) | 基于区块链的物联网身份认证系统及其方法 | |
| CN109660485A (zh) | 一种基于区块链交易的权限控制方法及系统 | |
| AU2002226278B2 (en) | Use of a public key key pair in the terminal for authentication and authorisation of the telecommunication user with the network operator and business partners | |
| CA2518032A1 (en) | Methods and software program product for mutual authentication in a communications network | |
| CN103942687A (zh) | 数据安全交互系统 | |
| CN104767731A (zh) | 一种Restful移动交易系统身份认证防护方法 | |
| CN103944736A (zh) | 数据安全交互方法 | |
| CN101282326A (zh) | 绑定终端的数字版权管理方法、系统及其手持式终端 | |
| CN108768653A (zh) | 基于量子密钥卡的身份认证系统 | |
| CN108566273A (zh) | 基于量子网络的身份认证系统 | |
| CN103942690A (zh) | 数据安全交互系统 | |
| CN101964805B (zh) | 一种数据安全发送与接收的方法、设备及系统 | |
| WO2014141263A1 (en) | Asymmetric otp authentication system | |
| US20090044007A1 (en) | Secure Communication Between a Data Processing Device and a Security Module | |
| CN112507296B (zh) | 一种基于区块链的用户登录验证方法及系统 | |
| CN110505055A (zh) | 基于非对称密钥池对和密钥卡的外网接入身份认证方法和系统 | |
| CN101944216A (zh) | 双因子在线交易安全认证方法及系统 | |
| US20020018570A1 (en) | System and method for secure comparison of a common secret of communicating devices | |
| CN101895881A (zh) | 一种实现gba密钥的方法及终端可插拔设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |