CN103491094B - 一种基于c/s模式的快速身份认证方法 - Google Patents
一种基于c/s模式的快速身份认证方法 Download PDFInfo
- Publication number
- CN103491094B CN103491094B CN201310443916.XA CN201310443916A CN103491094B CN 103491094 B CN103491094 B CN 103491094B CN 201310443916 A CN201310443916 A CN 201310443916A CN 103491094 B CN103491094 B CN 103491094B
- Authority
- CN
- China
- Prior art keywords
- client
- random number
- service end
- ciphertext
- deciphering
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种基于C/S模式的快速身份认证方法,客户端、服务端双方先后产生各自的随机数,并把随机数加密发送给对方,对方将解密后的随机数数据再次加密发送返回,在此过程中服务端对客户端的身份信息进行合法性验证,验证通过方进行加密处理;双方对返回的数据进行解密获得经过加密保护传递后的随机数,并与自身所产生的随机数进行比较,若均一致则认为双向身份认证通过。该方法取消了认证过程中客户端对服务端证书的合法验证处理过程,流程简单,认证过程的快速优化,同时又能保证安全性,尤其适用于终端运算资源、网络传输能力等均有限的移动终端接入应用系统时的身份认证处理过程。
Description
技术领域
本发明涉及一种基于C/S模式的快速身份认证方法,特别是涉及一种适用于信息安全领域基于证书及非对称密码技术的快速身份认证方法。
背景技术
目前有较多的系统出于丰富客户端的功能、提高用户使用体验、加强安全性等方面的考虑,对客户端软件采用C/S(Client-Server)模式的方式进行部署,即使已有B/S(Browser-Server)模式的系统,也同时推出对应的客户端软件,提供用户选择使用。尤其在移动终端中,大部分系统均提供C/S模式的客户端软件。
在客户端软件与服务端进行数据交互时,一般需进行身份认证处理,为达到较高的安全性,需进行双向身份认证,其中包括客户端向服务端发起认证请求、服务端响应请求并返回服务端证书、客户端对服务端证书进行合法性验证、客户端将自身证书发送至服务端、服务端对客户端证书进行合法性验证等处理。认证流程过程复杂,认证速度较慢。
发明内容
本发明要解决的技术问题是提供一种身份认证流程更简单、速度更快的基于C/S模式的快速身份认证方法。
本发明采用的技术方案如下:一种基于C/S模式的快速身份认证方法,具体方法为:客户端、服务端双方先后产生各自的随机数,并把随机数加密发送给对方,对方将解密后的随机数数据再次加密发送返回,在此过程中服务端对客户端的身份信息进行合法性验证,验证通过方进行加密处理;双方对返回的数据进行解密获得经过加密保护传递后的随机数,并与自身所产生的随机数进行比较,若均一致则认为双向身份认证通过。
具体方法步骤为:步骤一、客户端产生随机数R1,获取服务端公钥PK2,通过非对称加密形成R1的密文,连同客户端的证书信息CER一并发送至服务端;步骤二、服务端对客户端的证书信息CER进行合法性验证,通过验证后进入下一步;步骤三、服务端用自身私钥SK2解密R1的密文获得客户端产生的随机数R1a;步骤四、服务端从客户端证书信息中解析获得客户端公钥PK1,并产生随机数R2,连同解密获得的客户端随机数R1a一并用客户端的公钥PK1进行非对称加密运算,形成密文数据R1a和R2的密文;步骤五、服务端将所述的密文数据R1a和R2的密文数据发送至客户端;步骤六、客户端用自身私钥SK1解密获得两个随机数R1b,R2a,并将其中的客户端随机数R1b与自身产生并保存的随机数R1比较是否一致,完成对服务端的合法性验证;步骤七、客户端用服务端的公钥PK2对上步解密出的服务端产生的随机数R2a作非对称加密处理,形成R2a的密文,并将该加密后的数据发送至服务端;步骤八、服务端用自身私钥SK2解密R2a的密文获得随机数R2b,并与自身产生并保存的随机数R2比较是否一致,完成对客户端的合法性验证;步骤九、双向认证完毕。
所述步骤一中,客户端从内置的服务端证书中获取服务端公钥PK2。
所述非对称方法为ECC方法。
与现有技术相比,本发明的有益效果是:本发明所述方法取消了认证过程中客户端对服务端证书的合法验证处理过程,同时由于客户端已有服务端证书数据,认证时客户端直接产生随机数等认证数据并保护后发送至服务端申请认证,减少了普通认证过程中客户端向服务端发起认证申请、服务端响应下发服务端证书的过程,可降低客户端的运算消耗及网络数据传输消耗,实现了认证过程的快速优化,尤其适用于终端运算资源、网络传输能力等均有限的移动终端接入应用系统时的身份认证处理过程。
其进一步的有益效果为:本发明由客户端内置服务端证书,无需从服务端在线获取服务端证书信息,且认证流程与普通认证流程存在差异,因此非法服务端的数据将导致认证过程出错,可有效避免客户端软件被非法重定向或引导至钓鱼网站等恶意网站导致的虚假认证成功等安全风险。
附图说明
图1为本发明其中一实施例流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
本说明书中公开的所有特征,除了互相排除的特征以外,均可以以任何方式组合。
本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或者具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
本发明针对C/S模式的特点,提出一种认证流程简单的基于C/S模式的快速身份认证处理方法,可取消普通双向认证过程中客户端向服务端发起认证请求、服务端响应返回服务端证书、客户端对服务端证书进行合法性验证等处理过程,简化认证流程,同时安全性方面与普通双向身份认证方式保持一致。
一种基于C/S模式的快速身份认证方法,具体方法为:客户端、服务端双方先后产生各自的随机数,并把随机数加密发送给对方,对方将解密后的随机数数据再次加密发送返回,在此过程中服务端对客户端的身份信息进行合法性验证,验证通过方进行加密处理;双方对返回的数据进行解密获得经过加密保护传递后的随机数,并与自身所产生的随机数进行比较,若均一致则认为双向身份认证通过。
具体方法步骤为:步骤一、客户端产生随机数R1,获取服务端公钥PK2,通过非对称加密形成R1的密文,连同客户端的证书信息CER一并发送至服务端;步骤二、服务端对客户端的证书信息CER进行合法性验证;步骤三、服务端用自身私钥SK2解密R1的密文获得客户端产生的随机数R1a;步骤四、服务端从客户端证书信息CER中解析获得客户端公钥PK1,并产生随机数R2,连同解密获得的客户端随机数R1a一并用客户端的公钥PK1进行非对称加密运算,形成密文数据R1a和R2的密文;步骤五、服务端将所述的密文数据R1a和R2的密文发送至客户端;步骤六、客户端用自身私钥SK1解密获得两个随机数R1b,R2a,并将其中的客户端随机数R1b与自身产生并保存的随机数R1比较是否一致,完成对服务端的合法性验证;步骤七、客户端用服务端的公钥PK2对上步解密出的服务端产生的随机数R2a作非对称加密处理,形成R2a 的密文,并将该加密后的数据发送至服务端;步骤八、服务端用自身私钥SK2解密R2a的密文获得随机数R2b,并与自身产生并保存的随机数R2比较是否一致,完成对客户端的合法性验证;步骤九、双向认证完毕。
所述步骤一中,客户端从内置的服务端证书中获取服务端公钥PK2。
采用C/S模式部署的系统提供客户端软件,该客户端软件由系统开发商提供,属于完全可信方。因此可基于该特点,将服务端的证书内置于提供的客户端软件中,一并部署于终端用户处,在客户端软件与服务端进行身份认证时利用该内置的证书进行针对性的流程设计,简化认证流程,实现快速认证,同时不降低认证的安全性。
所述非对称加密方法为ECC加密方法。
从上述认证过程可看出,虽然客户端未对服务端证书进行验证,但服务端证书的公钥参与了认证流程的运算,因此上述简化后的认证流程可有效防范由于取消客户端对服务端证书的验证而可能导致的服务端被非法篡改、客户端被非法篡改情况下引起的安全风险。
同时,一般而言,服务端证书的有效期均较客户端证书的有效期长,因此本发明中未对服务端证书进行有效期合法性验证可能引起的客户端内置的服务端证书过期的安全风险也可有效避免,同时可进一步设计对客户端内置服务端证书的更换处理流程,从而更为完善地保证认证的安全性。
Claims (3)
1.一种基于C/S模式的快速身份认证方法,具体方法为:客户端、服务端双方先后产生各自的随机数,并把随机数加密发送给对方,对方将解密后的随机数数据再次加密发送返回,在此过程中服务端对客户端的身份信息进行合法性验证,验证通过方进行加密处理;双方对返回的数据进行解密获得经过加密保护传递后的随机数,并与自身所产生的随机数进行比较,若均一致则认为双向身份认证通过;
具体方法步骤为:步骤一、客户端产生随机数R1,获取服务端公钥PK2,通过非对称加密形成R1的密文,连同客户端的证书信息CER一并发送至服务端;步骤二、服务端对客户端的证书信息CER进行合法性验证,通过验证后进入下一步;步骤三、服务端用自身私钥SK2解密R1的密文获得客户端产生的随机数R1a;步骤四、服务端从客户端证书信息中解析获得客户端公钥PK1,并产生随机数R2,连同解密获得的客户端随机数R1a一并用客户端的公钥PK1进行非对称加密运算,形成密文数据R1a和R2的密文;步骤五、服务端将所述的密文数据R1a和R2的密文数据发送至客户端;步骤六、客户端用自身私钥SK1解密获得两个随机数R1b,R2a,并将其中的客户端随机数R1b与自身产生并保存的随机数R1比较是否一致,完成对服务端的合法性验证;步骤七、客户端用服务端的公钥PK2对上步解密出的服务端产生的随机数R2a作非对称加密处理,形成R2a 的密文,并将该加密后的数据发送至服务端;步骤八、服务端用自身私钥SK2解密R2a的密文获得随机数R2b,并与自身产生并保存的随机数R2比较是否一致,完成对客户端的合法性验证;步骤九、双向认证完毕。
2.根据权利要求1所述的方法,所述步骤一中,客户端从内置的服务端证书中获取服务端公钥PK2。
3.根据权利要求1所述的方法,所述非对称方法为ECC方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310443916.XA CN103491094B (zh) | 2013-09-26 | 2013-09-26 | 一种基于c/s模式的快速身份认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310443916.XA CN103491094B (zh) | 2013-09-26 | 2013-09-26 | 一种基于c/s模式的快速身份认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103491094A CN103491094A (zh) | 2014-01-01 |
| CN103491094B true CN103491094B (zh) | 2016-10-05 |
Family
ID=49831053
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310443916.XA Expired - Fee Related CN103491094B (zh) | 2013-09-26 | 2013-09-26 | 一种基于c/s模式的快速身份认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103491094B (zh) |
Families Citing this family (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104883677B (zh) * | 2014-02-28 | 2018-09-18 | 阿里巴巴集团控股有限公司 | 一种近场通讯设备间通讯的连接方法、装置和系统 |
| CN104954327B (zh) * | 2014-03-27 | 2019-02-22 | 东华软件股份公司 | 用于终端连接控制的服务器及方法、终端及方法、和系统 |
| CN104581706B (zh) * | 2015-01-09 | 2018-05-18 | 上海华申智能卡应用系统有限公司 | 基于非对称加密技术的智能移动终端间的数据安全交互方法 |
| CN104796265B (zh) * | 2015-05-06 | 2017-12-01 | 厦门大学 | 一种基于蓝牙通信接入的物联网身份认证方法 |
| CN104936176B (zh) * | 2015-06-11 | 2019-08-20 | 惠州Tcl移动通信有限公司 | 一种移动终端入网验证实现方法及实现系统 |
| CN106330442B (zh) * | 2015-06-17 | 2020-04-28 | 中兴通讯股份有限公司 | 身份认证方法、装置及系统 |
| CN105939343A (zh) * | 2016-04-14 | 2016-09-14 | 江苏马上游科技股份有限公司 | 基于信息二次编码的客户端与服务器双向验证方法 |
| CN105959189B (zh) * | 2016-06-08 | 2019-09-13 | 美的集团股份有限公司 | 家电设备及其与云服务器和终端的通讯系统及方法、终端 |
| CN105871918A (zh) * | 2016-06-08 | 2016-08-17 | 美的集团股份有限公司 | 家电设备及其与云服务器的通讯系统及方法、云服务器 |
| CN105871920A (zh) * | 2016-06-08 | 2016-08-17 | 美的集团股份有限公司 | 终端与云服务器的通讯系统及方法、终端、云服务器 |
| CN106101097A (zh) * | 2016-06-08 | 2016-11-09 | 美的集团股份有限公司 | 家电设备及其与云服务器的通讯系统及方法、云服务器 |
| CN109690543B (zh) * | 2016-09-26 | 2021-04-09 | 华为技术有限公司 | 安全认证方法、集成电路及系统 |
| CN106685969A (zh) * | 2016-12-29 | 2017-05-17 | 武汉华安科技股份有限公司 | 一种混合加密的信息传输方法及传输系统 |
| CN106850603B (zh) * | 2017-01-19 | 2020-01-07 | 北京梆梆安全科技有限公司 | 一种白盒密码双向身份认证方法、终端、服务端及系统 |
| CN107993062A (zh) * | 2017-11-27 | 2018-05-04 | 百富计算机技术(深圳)有限公司 | Pos终端交易方法、装置、计算机设备及可读存储介质 |
| CN107948189B (zh) * | 2017-12-19 | 2020-10-30 | 数安时代科技股份有限公司 | 非对称密码身份鉴别方法、装置、计算机设备及存储介质 |
| CN108199830A (zh) * | 2017-12-22 | 2018-06-22 | 沈阳通用软件有限公司 | 基于证书严格管控Android应用程序合法的方法 |
| CN108307388A (zh) * | 2018-02-01 | 2018-07-20 | 北京华大智宝电子系统有限公司 | 一种无线安全终端及数据加密方法 |
| CN108494811B (zh) * | 2018-06-27 | 2021-06-18 | 深圳市思迪信息技术股份有限公司 | 数据传输安全认证方法及装置 |
| CN109214221B (zh) * | 2018-08-23 | 2022-02-01 | 武汉普利商用机器有限公司 | 一种身份证阅读器验证方法、上位机和身份证阅读器 |
| CN109412800A (zh) * | 2018-12-30 | 2019-03-01 | 北京华力创通科技股份有限公司 | 集群通信终端遥毙方法及系统 |
| CN110138736B (zh) * | 2019-04-11 | 2022-05-13 | 泉州信息工程学院 | 物联网多重动态随机加密的身份认证方法和装置及设备 |
| CN110380852B (zh) * | 2019-07-22 | 2023-06-16 | 中国联合网络通信集团有限公司 | 双向认证方法及通信系统 |
| CN110691098A (zh) * | 2019-10-29 | 2020-01-14 | 北京龙德时代技术服务有限公司 | 民爆信息多重加密通讯方法 |
| CN110912696B (zh) * | 2019-12-26 | 2022-08-30 | 成都三零瑞通移动通信有限公司 | 一种适用于即时群组的快速身份认证方法及系统 |
| CN113098833B (zh) * | 2020-01-08 | 2022-04-15 | 北京新能源汽车股份有限公司 | 一种车辆的信息安全控制方法、客户端设备及服务端设备 |
| CN111815814B (zh) * | 2020-06-22 | 2022-06-10 | 合肥智辉空间科技有限责任公司 | 一种电子锁安全系统及其绑定认证方法 |
| CN111901303A (zh) * | 2020-06-28 | 2020-11-06 | 北京可信华泰信息技术有限公司 | 设备认证方法和装置、存储介质及电子装置 |
| CN112135278A (zh) * | 2020-10-09 | 2020-12-25 | 成都淞幸科技有限责任公司 | 一种面向5g的d2d通信隐私保护方法 |
| CN112233756A (zh) * | 2020-10-15 | 2021-01-15 | 刘明 | 精神病管理云平台系统及电子智能药盒 |
| CN114070614B (zh) * | 2021-11-15 | 2024-01-09 | 中国工商银行股份有限公司 | 身份认证方法、装置、设备、存储介质和计算机程序产品 |
| CN114205292A (zh) * | 2021-12-10 | 2022-03-18 | 百度在线网络技术(北京)有限公司 | 路由器拨号配置方法、装置、路由器、管理端和存储介质 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100561916C (zh) * | 2006-12-28 | 2009-11-18 | 北京飞天诚信科技有限公司 | 一种更新认证密钥的方法和系统 |
| US8265272B2 (en) * | 2007-08-29 | 2012-09-11 | Red Hat, Inc. | Method and an apparatus to generate pseudo random bits for a cryptographic key |
| CN101378320B (zh) * | 2008-09-27 | 2011-09-28 | 北京数字太和科技有限责任公司 | 一种认证方法和认证系统 |
| CN101465735B (zh) * | 2008-12-19 | 2011-06-01 | 北京大学 | 网络用户身份验证方法、服务器及客户端 |
| CN101771535B (zh) * | 2008-12-30 | 2012-07-11 | 上海茂碧信息科技有限公司 | 终端和服务器之间的双向认证方法 |
| CN101674304B (zh) * | 2009-10-15 | 2013-07-10 | 浙江师范大学 | 一种网络身份认证系统及方法 |
| CN102143134B (zh) * | 2010-08-05 | 2014-04-30 | 华为技术有限公司 | 分布式身份认证方法、装置与系统 |
| CN102546552B (zh) * | 2010-12-24 | 2015-02-04 | 中国联合网络通信集团有限公司 | 认证方法、设备和系统 |
| CN102143482B (zh) * | 2011-04-13 | 2013-11-13 | 中国工商银行股份有限公司 | 一种手机银行客户端信息认证方法 |
| CN102387161A (zh) * | 2011-12-14 | 2012-03-21 | 创新科存储技术有限公司 | 一种身份验证方法 |
| CN103237019B (zh) * | 2013-04-03 | 2016-08-31 | 中国科学院合肥物质科学研究院 | 一种云服务访问网关系统和方法 |
-
2013
- 2013-09-26 CN CN201310443916.XA patent/CN103491094B/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN103491094A (zh) | 2014-01-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103491094B (zh) | 一种基于c/s模式的快速身份认证方法 | |
| CN108810029B (zh) | 一种微服务架构服务间鉴权系统及优化方法 | |
| ES2951585T3 (es) | Autenticación de transacciones usando un identificador de dispositivo móvil | |
| US8533482B2 (en) | Method for generating a key pair and transmitting a public key or request file of a certificate in security | |
| CA2956590C (en) | Apparatus and method for sharing a hardware security module interface in a collaborative network | |
| US10630488B2 (en) | Method and apparatus for managing application identifier | |
| WO2017201809A1 (zh) | 终端通信方法及系统 | |
| CN102006306B (zh) | 一种web服务的安全认证方法 | |
| US20190165947A1 (en) | Signatures for near field communications | |
| CN105337977A (zh) | 一种动态双向认证的安全移动通讯架构及其实现方法 | |
| JP2018521417A (ja) | 生体特徴に基づく安全性検証方法、クライアント端末、及びサーバ | |
| CN102685749B (zh) | 面向移动终端的无线安全身份验证方法 | |
| RU2011105187A (ru) | Протокол привязки устройства к станции | |
| US11714914B2 (en) | Secure storage of passwords | |
| CN102916970B (zh) | 一种基于网络的pin码缓存方法 | |
| CN103888938A (zh) | 一种基于参数的动态生成密钥的pki私钥保护方法 | |
| CN101136748A (zh) | 一种身份认证方法及系统 | |
| US20170289159A1 (en) | Security support for free wi-fi and sponsored connectivity for paid wi-fi | |
| CN101686127A (zh) | 一种新型的USBKey安全调用方法和USBKey装置 | |
| WO2017185450A1 (zh) | 终端的认证方法及系统 | |
| KR20120007509A (ko) | 일종의 신분 인증 및 공유키 생성방법 | |
| US10091189B2 (en) | Secured data channel authentication implying a shared secret | |
| CN102868531A (zh) | 一种网络交易认证系统和网络交易认证方法 | |
| CN110166453A (zh) | 一种基于se芯片的接口认证方法、系统及存储介质 | |
| CN111065101A (zh) | 基于区块链的5g通信信息加解密方法、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20161005 Termination date: 20210926 |