CN102638468B - 保护信息传输安全的方法、发送端、接收端及系统 - Google Patents
保护信息传输安全的方法、发送端、接收端及系统 Download PDFInfo
- Publication number
- CN102638468B CN102638468B CN201210106712.2A CN201210106712A CN102638468B CN 102638468 B CN102638468 B CN 102638468B CN 201210106712 A CN201210106712 A CN 201210106712A CN 102638468 B CN102638468 B CN 102638468B
- Authority
- CN
- China
- Prior art keywords
- transmitting terminal
- message
- receiving terminal
- code
- authentication code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明实施例公开了一种保护信息传输安全的方法、发送端、接收端及系统,涉及网络技术领域,能够通过所需费用较低的方法保证信息传输的安全性,从而降低了加强信息安全所需的成本。本发明的方法包括:根据发送端当前的时间信息生成挑战码;根据所述挑战码、用户身份标识和所述发送端保存的用户身份认证凭证生成发送端认证码;将携带了所述发送端认证码、所述挑战码和所述用户身份标识的消息发送至接收端,以便于所述接收端根据所述挑战码和所述用户身份标识重新生成认证码,并通过比对重新生成的认证码与所述发送端认证码是否相同确认消息的安全性。本发明适用于保证信息传输的安全性。
Description
技术领域
本发明涉及网络技术领域,尤其涉及一种保护信息传输安全的方法、发送端、接收端及系统。
背景技术
随着网络技术的发展,网络系统中各个设备之间的信息传输的频率和数据量急剧上升,传输线路上的中间设备(如网关、路由器等)逐渐增多,这就导致所传输的信息(请求消息、应答消息等)很容易被攻击者或恶意软件截获,使攻击者可以通过各种方式伪造发送端请求信息,从而盗用接收端中的用户信息,给用户造成损失。例如:许多网络设备都使用SOAP(Simple Object Access Protocol,简单对象访问协议)协议进行信息交互,但是,许多使用SOAP协议的系统是将系统所在的网络假象为一个安全的网络在进行设计的,所以一些网络设备采用可信任方式访问,或者只是在传递的信息中简单添加了用户账号和密码,这就使得攻击者和很容易就能在网关或路由器上截获并破解所传输的信息。
为了保证信息传输的安全性,可以对传输的信息进行复杂加密,具体加密过程包括:发送端接收接收端发送的挑战码(即挑战口令,一般指一组加密口令,用于在信息传输过程中保证用户的真实密码不被泄露。),并使用接收到的挑战码以及其他参数生成认证码,再将包含认证码的需要传输的信息发送至接收端,以便于接收端根据认证码确定发送端所发来的信息的是否是合法用户发送的。上述加密过程由于使用了较复杂的加密算法,因此,能够增加信息传输的安全性。
为了实现上述加密过程,需要通过扩展协议来发送端和接收端之间挑战码的传输。例如:采用SOAP Extensions Digest Authentication(一种SOAP扩展协议)进行数据传输的发送端可以对所传输的数据进行上述的加密过程。
而使用扩展协议(如SOAP Extensions Digest Authentication)往往需要对网络系统中使用原有协议的设备进行相应的改造,比如:使用SOAP协议的发送端一般采用axis(Apache Extensible InteractionSystem,阿帕奇可扩展交互系统)引擎来封装协议层的消息,但axis引擎是针对原来的SOAP协议的协议框架以及信息格式设计的,不能支持如SOAP Extensions Digest Authentication等SOAP的扩展协议,如果想要使该发送端能够支持扩展协议,就需要将axis引擎改造成能够支持扩展协议的引擎,或将axis引擎更换为其他能够支持扩展协议的引擎,以实现加密过程中发送端和接收端之间的挑战码的传输。相应的,为了使信息能够顺利传输,系统中的接收端、信息接口等也需要进行联动的改造。
通过使用扩展协议进行信息加密,需要对网络系统中的各个设备进行相应的改造,然而在实际应用中设备数量较多,导致改造费用较高,使得加强信息安全所需的成本较高。
发明内容
本发明的实施例提供一种保护信息传输安全的方法、发送端、接收端及系统,能够实现发送端自动生成挑战字,在保证相同的安全性的同时可以避免使用扩展协议,从而避免了设备的改造,降低了加强信息安全所需的成本。
为达到上述目的,本发明的实施例采用如下技术方案:
一种保护信息传输安全的方法,由发送端执行,包括:
根据发送端当前的时间信息生成挑战码;
根据所述挑战码、用户身份标识和所述发送端保存的用户身份认证凭证生成发送端认证码,所述用户身份标识用于识别当前使用所述发送端的用户,所述用户身份认证凭证用于鉴别所述用户身份标识的合法性;
将携带了所述发送端认证码、所述挑战码和所述用户身份标识的消息发送至接收端,以便于所述接收端根据所述挑战码和所述用户身份标识重新生成认证码,并通过比对重新生成的认证码与所述发送端认证码是否相同确认消息的安全性。
一种保护信息传输安全的方法,由接收端端执行,包括:
接收所述发送端发送的携带了所述发送端认证码和所述挑战码、所述用户身份标识的消息,所述挑战码为所述发送端根据所述发送端当前的时间信息生成的,所述发送端认证码为所述发送端根据所述挑战码、所述用户身份标识和所述发送端保存的用户身份认证凭证生成的,所述用户身份标识用于识别当前使用所述发送端的用户;
根据所述发送端认证码、所述挑战码和所述用户身份标识确认消息的安全性。
一种发送端,包括:
挑战码生成模块,用于根据发送端当前的时间信息生成挑战码;
发送端认证码生成模块,用于根据所述挑战码、用户身份标识和所述发送端保存的用户身份认证凭证生成发送端认证码,所述用户身份标识用于识别当前使用所述发送端的用户,所述用户身份认证凭证用于鉴别所述用户身份标识的合法性;
发送模块,将携带了所述发送端认证码、所述挑战码和所述用户身份标识的消息发送至接收端,以便于所述接收端根据所述挑战码和所述用户身份标识重新生成认证码,并通过比对重新生成的认证码与所述发送端认证码是否相同确认消息的安全性。
一种接收端,包括:
接收模块,用于接收所述发送端发送的携带了所述发送端认证码和所述挑战码、所述用户身份标识的消息,所述挑战码为所述发送端根据所述发送端当前的时间信息生成的,所述发送端认证码为所述发送端根据所述挑战码、所述用户身份标识和所述发送端保存的用户身份认证凭证生成的,所述用户身份标识用于识别当前使用所述发送端的用户,所述用户身份认证凭证包括用于鉴别所述用户身份标识合法性的密码、数字证书;
验证模块,用于根据所述发送端认证码、所述挑战码和所述用户身份标识确认消息的安全性。
一种保护信息传输安全的系统,包括了上述的发送端和接收端。
本发明实施例提供的保护信息传输安全的方法、发送端、接收端及系统,发送端独立生成挑战码,再根据挑战码生成认证码,即发送端在生成认证码过程中不需要接收接收端发送的挑战码,使得整个数据加密以及传输的过程符合现有数据传输协议的规定,可以避免使用扩展协议,因此系统中的设备不需要进行改造。本发明实施例能够在不改造系统中各个网络设备的情况下保证信息传输安全性,节省了现有技术中因改造网络设备所需的费用,从而降低了加强信息安全所需的成本。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获取其它的附图。
图1为本发明实施例1提供的一种保护信息传输安全的方法流程图;
图2a为本发明实施例2提供的一种保护信息传输安全的方法流程图;
图2b为本发明实施例2提供的一种保护信息传输安全的方法流程图;
图3为本发明实施例3提供的一种发送端的示意图;
图4a为本发明实施例4提供的一种接收端的示意图;
图4b为本发明实施例4提供的一种接收端的示意图;
图5为本发明实施例5提供的一种保护信息传输安全的系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获取的所有其它实施例,都属于本发明保护的范围。
为使本发明技术方案的优点更加清楚,下面结合附图和实施例对本发明作详细说明。
实施例1
本发明实施例提供一种保护信息传输安全的方法,如图1所示,该方法包括:
步骤101,根据发送端当前的时间信息生成挑战码。
具体的,在本实施例中,发送端可以根据发送端当前的时间信息生成挑战码,例如:
挑战码的格式为:{ClientTime:salt},其中ClientTime为时间信息对应发送端的当前时间,可选的,挑战码中还可以包括salt,salt为一个序号、随机数或随机字符串,增加salt可以提高挑战码的复杂程度,从而提高根据挑战码所生成的认证码时加密的复杂程度,进一步提高了加密的安全性。其中,发送端可以为系统中用于发送信息的发送端接收端、个人电脑、手机等具备信息传输功能的设备。
具体的,在本实施例中,作为执行主体的发送端可以是终端、接收端等与接收端存在数据传输关系且在本发明所对应的方法流程中用于发送信息至接收端的设备。
步骤102,根据所述挑战码、用户身份标识和所述发送端保存的用户身份认证凭证生成发送端认证码。
其中,用户身份标识用于识别当前使用发送端的用户,用户身份认证凭证包括用于鉴别用户身份标识合法性的密码、数字证书。
具体的,在本实施例中,发送端所获取的用户身份标识可以为使用发送端的用户的账号或发送端所配置的管理员账号;用户身份认证凭证可以是对应于具体用户的账号或管理员账号的密码或数字证书。获取用户身份标识和用户身份认证凭证的具体方式可以由用户输入或是由发送端从自身的储存设备中自动获取,也可以是其他获取方式,在此不作限定。
进一步的,发送端生成认证码可以遵循已有的加密算法。而参与加密计算的参数即为发送端所获取的用户身份标识、用户身份认证凭证和挑战码。例如:发送端可以对挑战码、用户身份标识、用户身份认证凭证等信息的组合字符串按照MD5(Message Digest AlgorithmMD5,消息摘要算法第五版)算法生成认证码。其中,参与加密计算的参数可以不只限于此,诸如认证域,发送端设备标识等本领域技术人员所熟知的消息或信息也可以被用于参与加密计算以生成认证码。并且所有参与加密计算的的消息或信息需要由消息携带并发送至接收端,使接收端能够根据与发送端相同的参数再次生成认证码,并根据再次生成的认证码和发送端认证码确定消息的安全性。
步骤103,将携带了所述发送端认证码、所述挑战码和所述用户身份标识的消息发送至接收端。
其中,发送端发送至接收端的消息中还携带了发送端生成挑战码所依据的时间信息。
具体的,在本实施例中,若发送端生成认证码时参与加密计算的参数还包括了除用户身份标识和挑战码以外的其他消息或信息,则消息中还应携带这些消息或信息,以便于接收端能够根据与发送端相同的参数并通过相同的加密算法再次生成认证码。
具体的,在本实施例中,消息携带发送端认证码、挑战码和所述用户身份标识的具体方式可以有多种,例如:
在采用SOAP协议进行数据传输的发送端中,终端设备可以在待传输请求消息的头单元或消息体中添加认证码所对应的字段信息,比如:
SOAPHeaderElement(SOAP头单元)携带认证码的字段信息。具体可以用多个子单元(使用addChildElement方法实现)分别携带以上字段信息,也可以用一个字段组合认证码的字段信息:
上述代码中,线框内的部分即为认证码的字段信息。
再例如:在根据SOAP协议传输请求消息的发送端通常采用类似交易流水号(transactionID)的字符串字段来做发送端请求唯一标识。在此情况下,可以通过对交易流水号做适当的格式调整来携带认证信息,比如:调整后的格式为
[serId:]ClientDeviceID:ClientTime:Salt:Digest-AuthCode其中,
Digest-AuthCode表示认证码,从而使的随请求消息一起传输的交易流水号携带了认证码。
本实施例提供的保护信息传输安全的方法,发送端独立生成挑战码,再根据挑战码生成认证码,使生成认证码过程中不需要接收接收端发送的挑战码,即不存在挑战码在发送端与接收端之间的传输过程。这个传输过程符合原有数据传输协议所涉及的数据传输流程,即发送端与接收端之间只存在消息的传输,例如:原有的SOAP协议所涉及的数据传输流程支持发送端与接收端之间请求消息和应答消息的传输,但是若要由接收端向发送端传输挑战码,则需要使用SOAPExtensions Digest Authentication。而本发明的发送端能够独立生成挑战码,免去了接收端向发送端传输挑战码这一步骤,使得发送端与接收端只需要传输请求消息和应答消息,这就使本发明所涉及的发送端与接收端之间的传输过程符合原有的SOAP协议,从而不需使用SOAPExtensions Digest Authentication。由于避免了使用扩展协议,因此系统中的设备不需要进行改造。与现有技术相比,本发明实施例能够在不改造系统中各个网络设备的情况下保证信息传输安全性,节省了现有技术中因改造网络设备所需的费用,从而降低了加强信息安全所需的成本。
实施例2
本发明实施例提供一种保护信息传输安全的方法,如图2a所示,该方法包括:
步骤201,接收所述发送端发送的携带了所述发送端认证码和所述挑战码、所述用户身份标识的消息。
其中,挑战码为发送端根据发送端当前的时间信息生成的,发送端认证码为发送端根据挑战码、用户身份标识和发送端保存的用户身份认证凭证,用户身份标识用于识别当前使用发送端的用户,用户身份认证凭证包括用于鉴别用户身份标识合法性的密码、数字证书。
具体的,在本实施例中,作为执行主体的接收端可以是终端、接收端、交换机、网关设备、路由器等与发送端存在数据传输关系且在本发明所对应的方法流程中用于接收发送端所发信息的设备。
步骤202,根据所述发送端认证码、所述挑战码和所述用户身份标识确认消息的安全性。
实施例提供的保护信息传输安全的方法,接收端能够根据认证码对消息进行验证以确认所传输数据的安全性,并且在接收端接收发送端发送的消息之前不需向发送端发送挑战码。其中,整个数据加密以及传输的过程符合现有数据传输协议的规定,不需要使用扩展协议,因此系统中的设备不需要进行的改造。与现有技术相比,本发明实施例能够在不改造系统中各个网络设备的情况下保证信息传输安全性,节省了现有技术中因改造网络设备所需的费用,从而降低了加强信息安全所需的成本。
进一步可选的,如图2b所示,本发明实施例提供的保护信息传输安全的方法,在接收端执行步骤202之前,还包括了步骤203所对应的方法流程,并且步骤202包括了步骤2021至步骤2028所对应的方法流程。
步骤203,记录接收到所述消息时的时间。
具体的,在本实施例中,接收端在接收消息时,记录接收端当前的时间。
步骤2021,检测所述当前时间和所述时间信息所对应的时间的差值是否小于等于预设值。
具体的,在本实施例中,接收端在在接收了所述消息后,获取所记录的接收到消息时的当前时间与消息中所包含的时间信息所对应的时间的差值,并检测所获取的差值是否小于等于预设值。在实际应用中,预设值可以为发送端和接收端之间所允许的系统时间偏差,时间的差值即为发送端和接收端之间的数据传输的延时,并且预设值可以由系统中的相应设备或工作人员根据系统的具体运行情况通过已有技术手段进行调整。例如:所传输的数据被攻击者截获并被作为伪造的数据再次发送至接收端的过程中,所造成的数据传输的延时会远远大于系统中正常的延时(即所允许的系统时间偏差),接收端对数据传输的延时(即时间的差值)进行检测,当延时大于预设值时,说明所接收的消息有可能是伪造的数据,此时接收端将不会针对所接收的消息做进一步处理,从而增强了信息传输的安全性。
步骤2022,若所述差值小于等于预设值,则检测接收端中是否存在与所述发送端发送的所述消息中的挑战码相同的挑战码。
其中,若接收端获知存在相同的挑战码,则说明所接收的消息有可能是挑战字被截获后所伪造的数据,此时接收端将不会针对所接收的消息做进一步处理,从而增强了信息传输的安全性。
步骤2023,当不存在与发送端发送的消息中的挑战码相同的挑战码时,将所述消息中的挑战码保存在所述接收端。
具体的,在本实施例中,当不存在与所述发送端发送的所述消息中的挑战码相同的挑战码时,接收端将消息中的挑战码保存在自身的储存器中,以便于在下次接收到携带挑战码的信息时再次进行相同的检测。上述过程可以使每个挑战码不具备可重复性,当所传输的信息被截获并被作为伪造的数据时,由于其中的挑战码已经被使用过,接收端就不会对伪造的数据进行进一步的处理,从而增强了信息传输的安全性。
步骤2024,当接收端中不存在与所述发送端发送的所述消息中的挑战码相同的挑战码时,根据所述用户身份标识获取所述接收端保存的用户身份认证凭证。
具体的,在本实施例中,接收端中储存了与用户身份标识相对应的用户身份认证凭证,即接收端中储存了用于鉴别用户身份标识合法性的密码、数字证书等信息。
其中,步骤2023与步骤2024可以同时执行,也可以按照一定先后顺序执行,在此不作限定。
步骤2025,根据所述挑战码、所述用户身份标识和所述接收端保存的用户身份认证凭证生成接收端认证码。
具体的,在本实施例中,接收端按照与发送端生成认证码时相同的加密算法再次生成认证码,而参与加密计算的参数即为所接收到的消息中的用户身份标识、挑战码和接收端保存的用户身份认证凭证。进一步的,若消息中还包括诸如认证域,发送端设备标识等本领域技术人员所熟知的消息或信息,并且这些消息或信息已被发送端用于加密算法中,则接收端再次生成认证码时也需要采用与发送端完全相同的消息或信息,例如:发送端中参与加密计算的参数为用户身份标识、用户身份认证凭证、挑战码和认证域,则接收端中参与加密计算的参数应该为用户身份标识、用户身份认证凭证、挑战码和认证域,其中接收端中的用户身份标识、挑战码和认证域都是由接收端从发送端所发送的消息中获取的。
步骤2026,检测所述接收端认证码与所述发送端认证码是否相同。
步骤2027,若所述接收端认证码与所述发送端认证码相同,则发送认证确认信息至所述发送端。
具体的,在本实施例中,接收端在发送认证确认信息至所述发送端后继续对接收到的消息进行进一步处理。例如:在现有的使用SOAP协议的系统中,发送端向接收端发送请求消息,该请求消息用于向接收端请求数据访问的权限,接收端在验证了该请求消息是安全的之后,发送认证确认信息至发送端,并且可以进一步向发送端发送拥有数据访问权限的授权证书或通行证,以便于发送端获取请求数据访问的权限。
步骤2028,若所述接收端认证码与所述发送端认证码不相同,或者所述接收端中存在与所述消息中的挑战码相同的挑战码,或者所述差值大于预设值,则发送认证失败信息至所述发送端。
具体的,在本实施例中,对于:接收端认证码与发送端认证码不相同,或者接收端中存在与消息中的挑战码相同的挑战码,或者差值大于预设值,这三种情况发生其中任意一种时,接收端发送认证失败信息至所述发送端。同理,若消息中还包含了其他的技术人员所熟知的消息或信息,且这些消息或信息也被接收端用于判断消息的安全性时,并且所有消息或信息所对应的判断结果中的任意一种不符合满足消息安全的结果,则接收端发送认证失败信息至所述发送端。例如:
消息中还包含了发送端的设备标识,每个设备标识只对应一个发送端,由于每个发送端在一定时间内会多次向接收端发送信息,即接收端在一定时间内会收到来自同一个接收端的多个挑战字,接收端根据设备标识即可获得唯一的一个发送端在一定时间内所发送的所有挑战字,接收端在步骤2024所对应的流程中只需在同一个发送端所发送的挑战字中进行查重,从而减少了所要检测的挑战字的数量。
实施例提供的保护信息传输安全的方法,接收端能够根据消息中的挑战码和其他消息或信息再次生成认证码,并通过再次生成的认证码和发送端所发送的认证码验证消息的安全性,还能够通过其他消息或信息验证消息的安全性。其中,整个数据传输的过程符合现有数据传输协议的规定,不需要使用扩展协议,因此系统中的设备不需要进行的改造。与现有技术相比,本发明实施例能够在不改造系统中各个网络设备的情况下保证信息传输安全性,节省了现有技术中因改造网络设备所需的费用,从而降低了加强信息安全所需的成本。
实施例3
本发明实施例提供一种发送端,如图3所示,包括:
挑战码生成模块31,用于根据发送端当前的时间信息生成挑战码。
发送端认证码生成模块32,用于根据所述挑战码、用户身份标识和所述发送端保存的用户身份认证凭证生成发送端认证码。
其中,用户身份标识用于识别当前使用发送端的用户,用户身份认证凭证包括用于鉴别用户身份标识合法性的密码、数字证书。
发送模块33,用于将携带了所述发送端认证码、所述挑战码和所述用户身份标识的消息发送至接收端,以便于所述接收端根据所述发送端认证码、所述挑战码和所述用户身份标识确认消息的安全性。
其中,由发送模块发送至接收端的消息中还携带了发送端生成所述发送端认证码所依据的时间信息。
实施例提供的发送端,发送端通过第一认证码生成模块能够在生成认证码的过程中不需要接收接收端发送的挑战码,并能够通过发送模块向接收端发送携带认证码的消息,使接收端根据认证码对消息进行验证以确认所传输数据的安全性。其中,整个数据加密以及传输的过程符合现有数据传输协议的规定,不需要使用扩展协议,因此系统中的设备不需要进行的改造。与现有技术相比,本发明实施例能够在不改造系统中各个网络设备的情况下保证信息传输安全性,节省了现有技术中因改造网络设备所需的费用,从而降低了加强信息安全所需的成本。
实施例4
本发明实施例提供一种接收端,如图4a所示,包括:
接收模块41,,用于接收所述发送端发送的携带了所述发送端认证码和所述挑战码、所述用户身份标识的消息。
其中,挑战码为发送端根据发送端当前的时间信息生成的,发送端认证码为发送端根据挑战码、用户身份标识和发送端保存的用户身份认证凭证,用户身份标识用于识别当前使用发送端的用户,用户身份认证凭证包括用于鉴别用户身份标识合法性的密码、数字证书。
验证模块42,用于根据所述发送端认证码、所述挑战码和所述用户身份标识确认消息的安全性。
实施例提供的接收端,能够通过验证模块根据认证码对消息进行验证以确认所传输数据的安全性,并且在接收端接收发送端发送的消息之前不需向发送端发送挑战码。其中,整个数据加密以及传输的过程符合现有数据传输协议的规定,不需要使用扩展协议,因此系统中的设备不需要进行的改造。与现有技术相比,本发明实施例能够在不改造系统中各个网络设备的情况下保证信息传输安全性,节省了现有技术中因改造网络设备所需的费用,从而降低了加强信息安全所需的成本。
进一步可选的,如图4b所示,本发明实施例提供的接收端还包括:
时间获取模块43,用于记录接收到所述消息时的时间。
所述验证模块42所接收的消息中还包括所述发送端生成所述发送端认证码所依据的时间信息,所述验证模块42还包括:
时间验证单元421,用于检测所述当前时间和所述时间信息所对应的时间的差值是否小于等于预设值。
挑战码验证单元422,用于若所述差值小于等于预设值,则检测所述接收端中是否存在与所述消息中的挑战码相同的挑战码。
储存单元423,用于当所述接收端中不存在与所述消息中的挑战码相同的挑战码时,将所述消息中的挑战码保存在所述接收端。
用户身份认证凭证获取单元424,用于当所述接收端中不存在与所述消息中的挑战码相同的挑战码时,根据所述用户身份标识获取所述接收端保存的用户身份认证凭证。
接收端认证码生成单元425,用于根据所述挑战码、所述用户身份标识和所述接收端保存的用户身份认证凭证生成接收端认证码。
认证码验证单元426,用于检测所述接收端认证码与所述发送端认证码是否相同。
认证确认信息发送单元427,用于若所述接收端认证码与所述发送端认证码相同,则发送认证确认信息至所述发送端。
认证失败信息发送单元428,用于若所述接收端认证码与所述发送端认证码不相同,或者所述接收端中存在与所述消息中的挑战码相同的挑战码,或者所述差值大于预设值,则发送认证失败信息至所述发送端。
实施例提供的接收端,能够通过时间验证单元和挑战码验证单元验证其他消息或信息验证消息的安全性。其中,整个数据加密的过程符合现有数据传输协议的规定,不需要使用扩展协议,因此系统中的设备不需要进行的改造。与现有技术相比,本发明实施例能够在不改造系统中各个网络设备的情况下保证信息传输安全性,节省了现有技术中因改造网络设备所需的费用,从而降低了加强信息安全所需的成本。
实施例5
本发明实施例提供一种保护信息传输安全的系统,如图5所示,该方法包括:
实施例3所述的发送端,和实施例4所述的接收端。
实施例提供的保护信息传输安全的系统,发送端能够在生成认证码的过程中不需要接收接收端发送的挑战码,并能够向接收端发送携带认证码的消息,使接收端根据认证码对消息进行验证以确认所传输数据的安全性。其中,整个数据加密以及传输的过程符合现有数据传输协议的规定,不需要使用扩展协议,因此系统中的设备不需要进行的改造。与现有技术相比,本发明实施例能够在不改造系统中各个网络设备的情况下保证信息传输安全性,节省了现有技术中因改造网络设备所需的费用,从而降低了加强信息安全所需的成本。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (15)
1.一种保护信息传输安全的方法,其特征在于,所述方法包括:
发送端根据发送端当前的时间信息生成挑战码;
所述发送端根据所述挑战码、用户身份标识和所述发送端保存的用户身份认证凭证生成发送端认证码,所述用户身份标识用于识别当前使用所述发送端的用户,所述用户身份认证凭证用于鉴别所述用户身份标识的合法性;
所述发送端将携带了所述发送端认证码、所述挑战码和所述用户身份标识的消息发送至接收端,以便于所述接收端根据所述挑战码和所述用户身份标识重新生成认证码,并通过比对重新生成的认证码与所述发送端认证码是否相同确认消息的安全性;
其中,所述挑战码中还包括序号、随机数或随机字符串。
2.根据权利要求1所述的保护信息传输安全的方法,其特征在于,所述用户身份认证凭证包括用于鉴别所述用户身份标识合法性的密码、数字证书。
3.根据权利要求1所述的保护信息传输安全的方法,其特征在于,发送至所述接收端的消息中还携带了所述时间信息,以便于所述接收端检测所述时间信息所对应的时间与所述接收端接收到所述消息时的时间的差值是否小于等于预设值。
4.一种保护信息传输安全的方法,其特征在于,所述方法包括:
接收端接收发送端发送的携带了发送端认证码和挑战码、用户身份标识的消息,所述挑战码为所述发送端根据所述发送端当前的时间信息生成的,所述发送端认证码为所述发送端根据所述挑战码、所述用户身份标识和所述发送端保存的用户身份认证凭证生成的,所述用户身份标识用于识别当前使用所述发送端的用户;
所述接收端根据所述发送端认证码、所述挑战码和所述用户身份标识确认消息的安全性;
其中,所述挑战码中还包括序号、随机数或随机字符串。
5.根据权利要求4所述的保护信息传输安全的方法,其特征在于,所述根据所述发送端认证码、所述挑战码和所述用户身份标识确认消息的安全性包括:
根据所述用户身份标识获取所述接收端保存的用户身份认证凭证;
根据所述挑战码、所述用户身份标识和所述接收端保存的用户身份认证凭证生成接收端认证码;
检测所述接收端认证码与所述发送端认证码是否相同;
若所述接收端认证码与所述发送端认证码相同,则发送认证确认信息至所述发送端;
若所述接收端认证码与所述发送端认证码不相同,说明所述消息已被截获后被伪造的消息,所述消息不安全,所述消息不安全,则发送认证失败信息至所述发送端。
6.根据权利要求4所述的保护信息传输安全的方法,其特征在于,所述消息中还包括所述发送端生成所述发送端认证码所依据的时间信息,在根据所述用户身份标识获取所述接收端保存的用户身份认证凭证之前,所述方法还包括:
记录接收到所述消息时的时间;
检测所述当前时间和所述时间信息所对应的时间的差值是否小于等于预设值;
若所述差值小于等于预设值,则检测所述接收端中是否存在与所述消息中的挑战码相同的挑战码;
当所述接收端中不存在与所述消息中的挑战码相同的挑战码时,将所述消息中的挑战码保存在所述接收端。
7.根据权利要求6所述的保护信息传输安全的方法,其特征在于,还包括:
若所述接收端中存在与所述消息中的挑战码相同的挑战码,或者所述差值大于预设值,以上两种情况,说明所述消息已被截获后被伪造的消息,所述消息不安全,所述消息不安全,则发送认证失败信息至所述发送端。
8.一种发送端,其特征在于,包括:
挑战码生成模块,用于根据发送端当前的时间信息生成挑战码;
发送端认证码生成模块,用于根据所述挑战码、用户身份标识和所述发送端保存的用户身份认证凭证生成发送端认证码,所述用户身份标识用于识别当前使用所述发送端的用户,所述用户身份认证凭证用于鉴别所述用户身份标识的合法性;
发送模块,将携带了所述发送端认证码、所述挑战码和所述用户身份标识的消息发送至接收端,以便于所述接收端根据所述挑战码和所述用户身份标识重新生成认证码,并通过比对重新生成的认证码与所述发送端认证码是否相同确认消息的安全性;
其中,所述挑战码中还包括序号、随机数或随机字符串。
9.根据权利要求8所述的发送端,其特征在于,所述用户身份认证凭证包括用于鉴别所述用户身份标识合法性的密码、数字证书。
10.根据权利要求8所述的发送端,其特征在于,由所述发送模块发送至所述接收端的消息中还携带了所述时间信息,以便于所述接收端检测所述时间信息所对应的时间与所述接收端接收到所述消息时的时间的差值是否小于等于预设值。
11.一种接收端,其特征在于,包括:
接收模块,用于接收发送端发送的携带了发送端认证码和挑战码、用户身份标识的消息,所述挑战码为所述发送端根据所述发送端当前的时间信息生成的,所述发送端认证码为所述发送端根据所述挑战码、所述用户身份标识和所述发送端保存的用户身份认证凭证生成的,所述用户身份标识用于识别当前使用所述发送端的用户,所述用户身份认证凭证包括用于鉴别所述用户身份标识合法性的密码、数字证书;
验证模块,用于根据所述发送端认证码、所述挑战码和所述用户身份标识确认消息的安全性;
其中,所述挑战码中还包括序号、随机数或随机字符串。
12.根据权利要求11所述的接收端,其特征在于,所述验证模块包括:
用户身份认证凭证获取单元,用于根据所述用户身份标识获取所述接收端保存的用户身份认证凭证;
接收端认证码生成单元,用于根据所述挑战码、所述用户身份标识和所述接收端保存的用户身份认证凭证生成接收端认证码;
认证码验证单元,用于检测所述接收端认证码与所述发送端认证码是否相同;
认证确认信息发送单元,用于若所述接收端认证码与所述发送端认证码相同,则发送认证确认信息至所述发送端;
认证失败信息发送单元,用于若所述接收端认证码与所述发送端认证码不相同,判定所述消息有是被截获后所伪造的消息,所述消息不安全,则发送认证失败信息至所述发送端。
13.根据权利要求11所述的接收端,其特征在于,所述消息中还包括所述发送端生成所述发送端认证码所依据的时间信息,在根据所述用户身份标识获取所述接收端保存的用户身份认证凭证之前,所述接收端还包括:
时间获取模块,用于记录接收到所述消息时的时间;
所述验证模块还包括:
时间检验单元,用于检测所述当前时间和所述时间信息所对应的时间的差值是否小于等于预设值;
挑战码验证单元,用于若所述差值小于等于预设值,则检测所述接收端中是否存在与所述消息中的挑战码相同的挑战码;
储存单元,用于当所述接收端中不存在与所述消息中的挑战码相同的挑战码时,将所述消息中的挑战码保存在所述接收端。
14.根据权利要求13所述的接收端,其特征在于,所述认证失败信息发送单元,用于若所述接收端中存在与所述消息中的挑战码相同的挑战码,或者所述差值大于预设值,判定所述消息有是被截获后所伪造的消息,所述消息不安全,则发送认证失败信息至所述发送端。
15.一种保护信息传输安全的系统,其特征在于,包括:权利要求8至10任一项所述的发送端,和权利要求11至14任一项所述的接收端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210106712.2A CN102638468B (zh) | 2012-04-12 | 2012-04-12 | 保护信息传输安全的方法、发送端、接收端及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210106712.2A CN102638468B (zh) | 2012-04-12 | 2012-04-12 | 保护信息传输安全的方法、发送端、接收端及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102638468A CN102638468A (zh) | 2012-08-15 |
| CN102638468B true CN102638468B (zh) | 2015-09-09 |
Family
ID=46622711
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210106712.2A Active CN102638468B (zh) | 2012-04-12 | 2012-04-12 | 保护信息传输安全的方法、发送端、接收端及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102638468B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104702450A (zh) * | 2013-12-04 | 2015-06-10 | 腾讯科技(北京)有限公司 | 合法性检测方法、装置及系统 |
| CN105471829A (zh) * | 2014-09-05 | 2016-04-06 | 深圳市同盛绿色科技有限公司 | 信号传输方法及系统 |
| CN104883352B (zh) * | 2015-03-31 | 2018-09-28 | 北京畅游天下网络技术有限公司 | 一种用于社交软件中的消息防伪方法及装置 |
| CN105262759B (zh) * | 2015-10-29 | 2018-11-27 | 桂林力拓信息科技有限公司 | 一种加密通信的方法和系统 |
| CN105743883B (zh) * | 2016-01-21 | 2019-06-21 | 兴唐通信科技有限公司 | 一种网络应用的身份属性获取方法及装置 |
| CN107872421B (zh) * | 2016-09-23 | 2021-04-20 | 中国电信股份有限公司 | 节点认证方法和系统以及相关设备 |
| CN107896207A (zh) * | 2017-09-28 | 2018-04-10 | 努比亚技术有限公司 | 一种数据迁移方法、终端及计算机可读存储介质 |
| CN107948152B (zh) * | 2017-11-23 | 2021-05-14 | 腾讯科技(深圳)有限公司 | 信息存储方法、获取方法、装置及设备 |
| CN108599932A (zh) * | 2018-04-10 | 2018-09-28 | 国网山东省电力公司博兴县供电公司 | 一种用于电力系统的身份认证方法 |
| CN112054991B (zh) * | 2020-07-21 | 2022-08-26 | 杜晓楠 | 区块链系统中更新挑战码的方法、计算机可读介质和区块链系统 |
| CN112383521A (zh) * | 2020-11-02 | 2021-02-19 | 大连理工大学 | 一种分布式文件系统中节点身份认证方法 |
| WO2022266845A1 (zh) * | 2021-06-22 | 2022-12-29 | 华为技术有限公司 | 一种安全通信方法和装置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102123148A (zh) * | 2011-03-02 | 2011-07-13 | 北京天地融科技有限公司 | 基于动态口令的认证方法、系统和装置 |
-
2012
- 2012-04-12 CN CN201210106712.2A patent/CN102638468B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102123148A (zh) * | 2011-03-02 | 2011-07-13 | 北京天地融科技有限公司 | 基于动态口令的认证方法、系统和装置 |
Non-Patent Citations (3)
| Title |
|---|
| A user friendly remote authentication scheme with smart cards against impersonation attacks;Chien-Jung Hsu;《Applied Mathematics and Computation》;20051130;第170卷;140页第2段至141页最后一段 * |
| Improved remote authentication scheme with smart card;Narn-Yih Lee;《Computer Syandards and Interfaces》;20050130;第27卷;全文 * |
| Shyi-Tsong Wu.A user friendly remote authentication scheme with smart cards.《Computers Security》.2003,第22卷 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102638468A (zh) | 2012-08-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102638468B (zh) | 保护信息传输安全的方法、发送端、接收端及系统 | |
| CN102142961B (zh) | 一种网关、节点和服务器进行鉴权的方法、装置及系统 | |
| CN102348209B (zh) | 接入无线网络及其认证的方法和设备 | |
| CN102271133B (zh) | 认证方法、装置和系统 | |
| CN102916869B (zh) | 即时通信方法和系统 | |
| CN105050081A (zh) | 网络接入设备接入无线网络接入点的方法、装置和系统 | |
| CN102196434A (zh) | 无线局域网终端认证方法及系统 | |
| CN103905194B (zh) | 身份溯源认证方法及系统 | |
| CN103828414A (zh) | 安全网关通信 | |
| CN111314366B (zh) | 一种基于mqtt协议的安全登录系统及方法 | |
| CN110087241B (zh) | 业务授权方法、设备及系统 | |
| CN103220673B (zh) | Wlan用户认证方法、认证服务器及用户设备 | |
| CN103780609A (zh) | 一种云数据的处理方法、装置和云数据安全网关 | |
| US20170072875A1 (en) | Data communication method for vehicle, electronic control unit and system thereof | |
| CN107113613A (zh) | 服务器、移动终端、网络实名认证系统及方法 | |
| CN104660401A (zh) | 验证方法、系统和终端 | |
| CN109005144B (zh) | 一种身份认证方法、设备、介质和系统 | |
| CN107659935A (zh) | 一种认证方法、认证服务器、网管系统及认证系统 | |
| CN104796399A (zh) | 一种数据加密传输的密钥协商方法 | |
| EP3334086A1 (en) | Online authentication method based on smart card, smart card and authentication server | |
| CN102255904A (zh) | 一种通信网络以及对终端的认证方法 | |
| CN110166471A (zh) | 一种Portal认证方法及装置 | |
| KR20130077682A (ko) | 스마트폰을 이용한 로그인 인증 방법 및 시스템과 기록매체 | |
| KR20130057678A (ko) | 인증서 검증 장치 및 방법, 그리고 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체 | |
| CN104243488A (zh) | 一种跨网站服务器的登录认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |