CN104735037B - 一种网络认证方法、装置及系统 - Google Patents
一种网络认证方法、装置及系统 Download PDFInfo
- Publication number
- CN104735037B CN104735037B CN201310722666.3A CN201310722666A CN104735037B CN 104735037 B CN104735037 B CN 104735037B CN 201310722666 A CN201310722666 A CN 201310722666A CN 104735037 B CN104735037 B CN 104735037B
- Authority
- CN
- China
- Prior art keywords
- key
- server
- message
- client
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种网络认证方法、装置及系统,应用于安全传输层协议TLS/数据传输安全协议DTLS协议中,包括:获取认证服务器发送的认证向量;利用所述认证向量中的认证字段构造DH_PSK类型的服务器密钥交换Server Key Exchange消息,将所述Server Key Exchange消息携带于服务器问候消息中发送给所述终端;接收所述终端发送的DH_PSK类型的客户端密钥交换Client Key Exchange消息,获取所述Client Key Exchange消息中携带的res信息;确定所述res信息与所述认证向量中的XRES信息是否匹配;在确定所述res信息与所述认证向量中的XRES信息匹配时,确定对所述终端的认证成功,并向所述用户终端发送认证成功的通知消息,实现了对使用预共享密钥的用户进行认证。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种网络认证方法、装置及系统。
背景技术
在现有技术中,网络认证技术主要是指在网络中确认终端身份的过程,而所谓认证交互技术主要是双向认证,即除了网络确认终端身份,终端也可确认网络服务器的身份。通过身份网络认证交互技术,可以使网络获知用户的正确身份,防止非法用户接入,还可以使终端确认网络的正确身份,防止攻击者假冒网络诱骗用户接入。而密钥产生方法则与认证结合,借助认证产生的信息作为密钥产生的材料,从而防止攻击者进行中间人攻击。网络认证交互与密钥产生技术在电信网络、计算机网络等多种网络中具有广泛的应用。
正如我们所熟知的,现有的网络认证技术主要包含有以下几种:
基于SIM(Subscriber Identity Module,客户识别模块)卡的SIM/AKA(Authentication and Key Agreement,认证与密钥协商协议)类认证。具体的,此类认证较为成熟,主要用于通信网络,借助于SIM卡中与通信网共享的根密钥,依照严格的消息格式与流程,从而在SIM卡外的手机和接入控制网元之间进行双向认证并产生会话密钥。
基于共享密钥/证书的IKEv2(Internet Key Exchange protocol,第二代密钥交换协议)认证。具体的,此类认证基于IP协议,主要优点在于适用于所有使用IP协议的设备,使用预共享的密钥或者证书进行认证。
基于证书的TLS(Transport Layer Security,安全传输层协议)/DTLS(DatagramTransport Layer Security,数据传输安全协议)握手协议认证。此类认证基于TCP(Transmission Control Protocol,传输控制协议)/UDP(User Datagram Protocol,用户数据报协议)会话层协议,主要优点在于通用性,可适用于所有使用IP协议的设备,并且不需要处于操作系统核心层面,因此对条件受限的设备也适用。
然而,对于上述三种网络认证方式,均会带来不同的问题:
对于基于SIM卡的SIM/AKA类认证,其协议格式固定,必须依照特定的消息流程才能完成,不得更改;此外,该认证用于通信网络层面,在上层业务层/应用层的通信认证过程中不使用,具有很大的应用局限性;
对于共享密钥/证书的IKEv2认证,其协议处于操作系统核心层面,因此并不适用于所有的设备,尤其是条件受限的设备;
对于基于证书的TLS/DTLS握手协议认证,其必须基于证书系统,对于使用预共享密钥的用户无法适用;
综上,虽然上述三种认证方式均能解决认证问题,也同时能够产生密钥,但是由于各自的应用的局限性,致使限制了密钥的应用范围。
发明内容
本发明实施例的目的在于提供一种网络认证方法、装置及系统,实现了对使用预共享密钥的用户进行认证。
为了达到上述目的,本发明实施例提供了一种网络认证方法,应用于安全传输层协议TLS/数据传输安全协议DTLS协议中,包括:
获取认证服务器发送的认证向量;
利用所述认证向量中的认证字段构造DH_PSK类型的服务器密钥交换Server KeyExchange消息,将所述Server Key Exchange消息携带于服务器问候消息中发送给所述终端;
接收所述终端发送的DH_PSK类型的客户端密钥交换Client Key Exchange消息,获取所述Client Key Exchange消息中携带的res信息;
确定所述res信息与所述认证向量中的XRES信息是否匹配;
在确定所述res信息与所述认证向量中的XRES信息匹配时,确定对所述终端的认证成功,并向所述用户终端发送认证成功的通知消息。
优选地,所述获取认证服务器发送认证向量,之前包括:
接收终端发送的客户端问候消息,获取所述客户端问候消息中携带的ID信息;
根据所述ID信息向认证服务器发送请求认证向量的请求消息。
优选地,所述Client Key Exchange消息中还携带有DH密钥,
所述在确定所述res信息与所述认证向量中的XRES信息匹配之后,还包括:
根据所述DH密钥以及所述认证向量中的key确定应用层密钥。
本发明实施例还提供了一种网络认证设备,包括:
获取模块,用于获取认证服务器发送的认证向量;
构造模块,用于利用所述认证向量中的认证字段构造DH_PSK类型的服务器密钥交换Server Key Exchange消息;
发送模块,用于将所述Server Key Exchange消息携带于服务器问候消息中发送给所述终端;
接收模块,用于接收所述终端发送的DH_PSK类型的客户端密钥交换Client KeyExchange消息,并通过所述获取模块获取所述Client Key Exchange消息中携带的res信息;
匹配模块,用于确定所述res信息与所述认证向量中的XRES信息是否匹配,
确定模块,用于在确定所述res信息与所述认证向量中的XRES信息匹配时,确定对所述终端的认证成功,并通过所述发送模块向所述用户终端发送认证成功的通知消息。
优选地,
所述接收模块,用于接收终端发送的客户问候消息;
所述获取模块,用于获取所述客户问候消息中携带的ID信息;
所述发送模块,用于根据所述ID信息向认证服务器发送请求认证向量的请求消息。
优选地,所述Client Key Exchange消息中还携带有DH密钥,
所述确定模块,还用于根据所述DH密钥以及所述认证向量中的key确定应用层密钥。
本发明实施例还提供了一种网络认证方法,应用于安全传输层协议TLS/数据传输安全协议DTLS协议中,包括:
接收服务器发送的服务器问候消息,所述服务器问候消息中携带有DH_PSK类型的服务器密钥交换Server Key Exchange消息,获取所述Server Key Exchange消息中的认证字段;
利用所述认证字段确定res信息;
将所述res信息构造DH_PSK类型的客户端密钥交换Client Key Exchange消息,将所述Client Key Exchange消息携带于客户端问候消息中发送给所述服务器;
接收所述服务器发送的认证成功的通知消息,确定认证成功。
优选地,所述接收服务器发送的服务器问候消息,之前还包括:
向所述服务器发送客户端问候消息,并在所述客户端问候消息中携带有ID信息。
优选地,所述利用所述认证字段确定res信息时,还包括:
利用所述认证字段确定key。
优选地,所述Server Key Exchange消息中还携带有DH密钥,
所述接收所述服务器发送的认证成功的通知消息,之后还包括:
根据所述DH密钥以及确定的key确定应用层密钥。
本发明实施例还提供了一种网络认证设备,包括:
接收模块,用于接收服务器发送的服务器问候消息,所述服务器问候消息中携带有DH_PSK类型的服务器密钥交换Server Key Exchange消息;
获取模块,用于获取所述Server Key Exchange消息中的认证字段;
确定模块,用于利用所述认证字段确定res信息;
构造模块,用于将所述res信息构造DH_PSK类型的客户端密钥交换Client KeyExchange消息;
发送模块,用于将所述Client Key Exchange消息携带于客户端问候消息中发送给所述服务器;
所述接收模块,还用于接收所述服务器发送的认证成功的通知消息,确定认证成功。
优选地,
所述发送模块,还用于向所述服务器发送客户端问候消息,并在所述客户端问候消息中携带有ID信息。
优选地,
所述确定模块,用于利用所述认证字段确定key。
优选地,所述Server Key Exchange消息中还携带有DH密钥,
所述确定模块,还用于根据所述DH密钥以及确定的key确定应用层密钥。
本发明实施例还提供了一种网络认证系统,应用于安全传输层协议TLS/数据传输安全协议DTLS协议中,包括:
终端,用于接收服务器发送的服务器问候消息,所述服务器问候消息中携带有DH_PSK类型的服务器密钥交换Server Key Exchange消息,获取所述Server Key Exchange消息中的认证字段;用于利用所述认证字段确定res信息;用于将所述res信息构造DH_PSK类型的客户端密钥交换Client Key Exchange消息,将所述Client Key Exchange消息携带于客户端问候消息中发送给所述服务器;用于接收所述服务器发送的认证成功的通知消息,确定认证成功;
服务器,用于获取认证服务器发送的认证向量;用于利用所述认证向量中的认证字段构造DH_PSK类型的服务器密钥交换Server Key Exchange消息,将所述Server KeyExchange消息携带于服务器问候消息中发送给所述终端;用于接收所述终端发送的DH_PSK类型的客户端密钥交换Client Key Exchange消息,获取所述Client Key Exchange消息中携带的res信息;用于确定所述res信息与所述认证向量中的XRES信息是否匹配;用于在确定所述res信息与所述认证向量中的XRES信息匹配时,确定对所述终端的认证成功,并向所述用户终端发送认证成功的通知消息。
优选地,
所述终端,用于向所述服务器发送客户端问候消息,并在所述客户端问候消息中携带有ID信息;用于利用所述认证字段确定key;用于根据所述Server Key Exchange消息中携带的DH密钥以及确定的key确定应用层密钥;
所述服务器,用于接收终端发送的客户端问候消息,获取所述客户端问候消息中携带的ID信息;根据所述ID信息向认证服务器发送请求认证向量的请求消息;用于根据所述Client Key Exchange消息中携带的DH密钥以及所述认证向量中的key确定应用层密钥。
与现有技术相比,本发明实施例所提出的技术方案具有以下优点:
本发明的上述实施例,获取认证服务器发送的认证向量;利用所述认证向量中的认证字段构造DH_PSK类型的服务器密钥交换Server Key Exchange消息,将所述ServerKey Exchange消息携带于服务器问候消息中发送给所述终端;接收所述终端发送的DH_PSK类型的客户端密钥交换Client Key Exchange消息,获取所述Client Key Exchange消息中携带的res信息;确定所述res信息与所述认证向量中的XRES信息是否匹配;在确定所述res信息与所述认证向量中的XRES信息匹配时,确定对所述终端的认证成功,并向所述用户终端发送认证成功的通知消息,实现了对使用预共享密钥的用户进行认证。
附图说明
图1是本发明实施例一提供的网络认证的流程示意图;
图2是本发明实施例一提供的网络认证的装置图;
图3是本发明实施例二提供的网络认证的流程示意图;
图4是本发明实施例二提供的网络认证的装置图。
具体实施方式
下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
参见图1,为本发明实施例提供的网络认证的流程示意图,该流程包括:
步骤101,获取认证服务器发送的认证向量。
接收终端发送的客户端问候消息,获取该消息中携带的ID信息,并根据该ID信息向认证服务器发送请求消息,请求获取认证向量;
在具体实施例中,手机终端发起TLS/DTLS握手流程,通过向服务器发送ClientHello消息,并在该Client Hello消息中携带有该手机用户的IMSI(International MobileSubscriber Identification Number,国际移动用户识别码)信息;服务器在接收到手机终端的Client Hello消息后,获取其中携带的IMSI信息,根据该IMSI信息向认证服务器发送请求消息,请求获取认证向量;认证服务器在接收到该请求消息后,产生认证所需的信息和密钥,其中,该认证向量中包含有key、XRES、auth字段以及random字段。
步骤102,利用认证向量中的认证字段构造DH_PSK类型的Server Key Exchange消息。
在获取到认证向量后,利用该认证向量中的认证字段来构造DH_PSK类型的ServerKey Exchange消息;该认证字段具体为auth字段以及random字段;
其中,本领域技术人员所公知的是,在现有的TLS/DTLS协议中,Key ExchangeAlg.的类型包括DHE_RSA,DHE_DSS,Server Key Exchange消息具体为:
而在本申请中,在该Server Key Exchange Alg.中添加了一种新的类型DH_PSK;具体的,在Server Key Exchange消息中增加完DH_PSK后,该消息的具体为:
其中,该DH_PSK的意义为使用DH进行密钥交换,而PSK代表DH签名采用认证向量中产生的会话密钥。
在构造完该消息后,将该Server Key Exchange消息携带于Server Hello消息中,发送给终端;
在具体实施例中,服务器在获取到认证向量中的auth字段以及random字段后,利用auth字段以及random字段来构造DH_PSK类型的Server Key Exchange消息,并利用Server Hello消息来携带该Server Key Exchange消息发送给手机终端。
步骤103,接收所述终端发送的DH_PSK类型的客户端密钥交换Client KeyExchange消息,获取所述Client Key Exchange消息中携带的res信息。
终端在接收到该Server Hello消息后,获取其中携带的Server Key Exchange消息,提取该Server Key Exchange消息中的认证字段;利用该认证字段进行网络认证,在认证之后,确定得到的res信息以及认证密钥key;利用该res信息构造Client Key Exchange消息;其中,该Client Key Exchange消息具体为:
而在本申请中,通过在该Client Key Exchange Alg.中添加了一种新的类型DH_PSK;具体的,在Client Key Exchange消息中增加完DH_PSK后,得到的该Client KeyExchange消息的具体为:
在具体实施例中,手机终端在接收到服务器发送的Server Hello消息后,获取其中携带的Server Key Exchange消息,提取该Server Key Exchange消息中的auth字段和random字段;并将该auth字段和random字段发送给自身嵌入的USIM卡,USIM卡根据该auth字段和random字段进行网络认证,在认证之后,产生认证反馈的res信息以及认证密钥key;USIM卡将该res信息以及key反馈给手机终端,手机终端利用该res信息构造Client KeyExchange消息;
手机终端通过将该Client Key Exchange消息携带于Client Hello消息中发送给服务器;
服务器在接收到Client Key Exchange消息之后,获取其中携带的res信息。
步骤104,确定res信息与认证向量中的XRES信息是否匹配。
服务器在获取到res信息后,利用该res信息与认证向量中的XRES进行匹配,若匹配成功转到步骤105,否则,确定认证失败。
步骤105,向用户终端发送认证成功的通知消息。
在对res信息和XRES进行匹配成功后,确定对该用户终端的认证成功,向用户终端发送通知消息,告知其认证成功;
终端在接收到该通知消息后,还会根据服务器发送的Server Key Exchange消息中携带的DH密钥,以及确定的认证密钥key来确定应用层密钥,在将应用层密钥确定后,还会将该应用层密钥通知给上层应用,以使上层应用可以直接进行加密保护,从而提升了上层应用的安全等级。
步骤106,根据DH密钥以及认证向量中的key确定应用层密钥。
在获取到终端发送的Client Key Exchange消息时,还会获取该消息中携带的DH密钥,利用该密钥以及认证向量中的认证密钥key来确定应用层密钥,在将应用层密钥确定后,还会将该应用层密钥通知给上层应用,以使上层应用可以直接进行加密保护,从而提升了上层应用的安全等级。
基于与上述方法相同的构思,本发明实施例一还提供了一种网络认证设备,参见图2,包括:
获取模块21,用于获取认证服务器发送的认证向量;用于获取所述客户问候消息中携带的ID信息;
构造模块22,用于利用所述认证向量中的认证字段构造DH_PSK类型的服务器密钥交换Server Key Exchange消息;
发送模块23,用于将所述Server Key Exchange消息携带于服务器问候消息中发送给所述终端;用于根据所述ID信息向认证服务器发送请求认证向量的请求消息;
接收模块24,用于接收所述终端发送的DH_PSK类型的客户端密钥交换Client KeyExchange消息,并通过所述获取模块获取所述Client Key Exchange消息中携带的res信息;用于接收终端发送的客户问候消息;
匹配模块25,用于确定所述res信息与所述认证向量中的XRES信息是否匹配,
确定模块26,用于在确定所述res信息与所述认证向量中的XRES信息匹配时,确定对所述终端的认证成功,并通过所述发送模块向所述用户终端发送认证成功的通知消息;还用于根据所述DH密钥以及所述认证向量中的key确定应用层密钥;
所述Client Key Exchange消息中还携带有DH密钥。
参见图3,为本发明实施例二提供的网络认证的流程示意图,该流程包括:
步骤301,接收服务器发送的服务器问候消息。
具体的,所述服务器问候消息中携带有DH_PSK类型的服务器密钥交换Server KeyExchange消息;
其中,所述接收服务器发送的服务器问候消息,之前还包括:
向所述服务器发送客户端问候消息,并在所述客户端问候消息中携带有ID信息。
步骤302,获取Server Key Exchange消息中的认证字段。
具体的,在接收到Server Key Exchange消息后,获取该Server Key Exchange消息中的认证字段。
步骤303,利用认证字段确定res信息。
具体的,所述利用所述认证字段确定res信息时,还包括:
利用所述认证字段确定key。
步骤304,利用res信息构造DH_PSK类型的客户端密钥交换Client Key Exchange消息。
具体的,在利用res信息构造完Client Key Exchange消息后,将该Client KeyExchange消息携带于客户端问候消息中发送给服务器。
步骤305,接收服务器发送的认证成功的通知消息。
具体的,所述Server Key Exchange消息中还携带有DH密钥,
所述接收所述服务器发送的认证成功的通知消息,之后还包括:
根据所述DH密钥以及确定的key确定应用层密钥。
基于与上述方法相同的构思,本发明实施例还提供了一种网络认证设备,如图4所示,包括:
接收模块41,用于接收服务器发送的服务器问候消息,所述服务器问候消息中携带有DH_PSK类型的服务器密钥交换Server Key Exchange消息;还用于接收所述服务器发送的认证成功的通知消息,确定认证成功。
获取模块42,用于获取所述Server Key Exchange消息中的认证字段;
确定模块43,用于利用所述认证字段确定res信息;用于利用所述认证字段确定key;还用于根据所述所述Server Key Exchange消息中还携带的DH密钥以及确定的key确定应用层密钥;
构造模块44,用于将所述res信息构造DH_PSK类型的客户端密钥交换Client KeyExchange消息;
发送模块45,用于将所述Client Key Exchange消息携带于客户端问候消息中发送给所述服务器;还用于向所述服务器发送客户端问候消息,并在所述客户端问候消息中携带有ID信息。
本发明实施例还提供了一种网络认证系统,应用于安全传输层协议TLS/数据传输安全协议DTLS协议中,包括:
终端,用于接收服务器发送的服务器问候消息,所述服务器问候消息中携带有DH_PSK类型的服务器密钥交换Server Key Exchange消息,获取所述Server Key Exchange消息中的认证字段;用于利用所述认证字段确定res信息;用于将所述res信息构造DH_PSK类型的客户端密钥交换Client Key Exchange消息,将所述Client Key Exchange消息携带于客户端问候消息中发送给所述服务器;用于接收所述服务器发送的认证成功的通知消息,确定认证成功;用于向所述服务器发送客户端问候消息,并在所述客户端问候消息中携带有ID信息;用于利用所述认证字段确定key;用于根据所述Server Key Exchange消息中携带的DH密钥以及确定的key确定应用层密钥;
服务器,用于获取认证服务器发送的认证向量;用于利用所述认证向量中的认证字段构造DH_PSK类型的服务器密钥交换Server Key Exchange消息,将所述Server KeyExchange消息携带于服务器问候消息中发送给所述终端;用于接收所述终端发送的DH_PSK类型的客户端密钥交换Client Key Exchange消息,获取所述Client Key Exchange消息中携带的res信息;用于确定所述res信息与所述认证向量中的XRES信息是否匹配;用于在确定所述res信息与所述认证向量中的XRES信息匹配时,确定对所述终端的认证成功,并向所述用户终端发送认证成功的通知消息;用于接收终端发送的客户端问候消息,获取所述客户端问候消息中携带的ID信息;根据所述ID信息向认证服务器发送请求认证向量的请求消息;用于根据所述Client Key Exchange消息中携带的DH密钥以及所述认证向量中的key确定应用层密钥。
综上所述,本发明实施例中,获取认证服务器发送的认证向量;利用所述认证向量中的认证字段构造DH_PSK类型的服务器密钥交换Server Key Exchange消息,将所述Server Key Exchange消息携带于服务器问候消息中发送给所述终端;接收所述终端发送的DH_PSK类型的客户端密钥交换Client Key Exchange消息,获取所述Client KeyExchange消息中携带的res信息;确定所述res信息与所述认证向量中的XRES信息是否匹配;在确定所述res信息与所述认证向量中的XRES信息匹配时,确定对所述终端的认证成功,并向所述用户终端发送认证成功的通知消息,实现了对使用预共享密钥的用户进行认证。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (11)
1.一种网络认证方法,其特征在于,应用于安全传输层协议TLS/数据传输安全协议DTLS协议中,包括:
获取认证服务器发送的认证向量;
利用所述认证向量中的认证字段构造DH_PSK类型的服务器密钥交换Server KeyExchange消息,将所述Server Key Exchange消息携带于服务器问候消息中发送给终端;
接收所述终端发送的DH_PSK类型的客户端密钥交换Client Key Exchange消息,获取所述Client Key Exchange消息中携带的res信息;
确定所述res信息与所述认证向量中的XRES信息是否匹配;
在确定所述res信息与所述认证向量中的XRES信息匹配时,确定对所述终端的认证成功,并向所述终端发送认证成功的通知消息;
所述Client Key Exchange消息中还携带有DH密钥,
所述在确定所述res信息与所述认证向量中的XRES信息匹配之后,还包括:
根据所述DH密钥以及所述认证向量中的key确定应用层密钥。
2.如权利要求1所述的方法,其特征在于,所述获取认证服务器发送认证向量,之前包括:
接收终端发送的客户端问候消息,获取所述客户端问候消息中携带的ID信息;
根据所述ID信息向认证服务器发送请求认证向量的请求消息。
3.一种网络认证设备,其特征在于,包括:
获取模块,用于获取认证服务器发送的认证向量;
构造模块,用于利用所述认证向量中的认证字段构造DH_PSK类型的服务器密钥交换Server Key Exchange消息;
发送模块,用于将所述Server Key Exchange消息携带于服务器问候消息中发送给终端;
接收模块,用于接收所述终端发送的DH_PSK类型的客户端密钥交换Client KeyExchange消息,并通过所述获取模块获取所述Client Key Exchange消息中携带的res信息;
匹配模块,用于确定所述res信息与所述认证向量中的XRES信息是否匹配,
确定模块,用于在确定所述res信息与所述认证向量中的XRES信息匹配时,确定对所述终端的认证成功,并通过所述发送模块向所述终端发送认证成功的通知消息;
所述Client Key Exchange消息中还携带有DH密钥,
所述确定模块,还用于根据所述DH密钥以及所述认证向量中的key确定应用层密钥。
4.如权利要求3所述的设备,其特征在于,
所述接收模块,用于接收终端发送的客户问候消息;
所述获取模块,用于获取所述客户问候消息中携带的ID信息;
所述发送模块,用于根据所述ID信息向认证服务器发送请求认证向量的请求消息。
5.一种网络认证方法,其特征在于,应用于安全传输层协议TLS/数据传输安全协议DTLS协议中,包括:
接收服务器发送的服务器问候消息,所述服务器问候消息中携带有DH_PSK类型的服务器密钥交换Server Key Exchange消息,获取所述Server Key Exchange消息中的认证字段;
利用所述认证字段确定res信息;
将所述res信息构造DH_PSK类型的客户端密钥交换Client Key Exchange消息,将所述Client Key Exchange消息携带于客户端问候消息中发送给所述服务器;
接收所述服务器发送的认证成功的通知消息,确定认证成功;
所述Server Key Exchange消息中还携带有DH密钥,
所述接收所述服务器发送的认证成功的通知消息,之后还包括:
根据所述DH密钥以及确定的key确定应用层密钥。
6.如权利要求5所述的方法,其特征在于,所述接收服务器发送的服务器问候消息,之前还包括:
向所述服务器发送客户端问候消息,并在所述客户端问候消息中携带有ID信息。
7.如权利要求5所述的方法,其特征在于,所述利用所述认证字段确定res信息时,还包括:
利用所述认证字段确定key。
8.一种网络认证设备,其特征在于,包括:
接收模块,用于接收服务器发送的服务器问候消息,所述服务器问候消息中携带有DH_PSK类型的服务器密钥交换Server Key Exchange消息;
获取模块,用于获取所述Server Key Exchange消息中的认证字段;
确定模块,用于利用所述认证字段确定res信息;
构造模块,用于将所述res信息构造DH_PSK类型的客户端密钥交换Client KeyExchange消息;
发送模块,用于将所述Client Key Exchange消息携带于客户端问候消息中发送给所述服务器;
所述接收模块,还用于接收所述服务器发送的认证成功的通知消息,确定认证成功;
所述Server Key Exchange消息中还携带有DH密钥,
所述确定模块,还用于根据所述DH密钥以及确定的key确定应用层密钥。
9.如权利要求8所述的设备,其特征在于,
所述发送模块,还用于向所述服务器发送客户端问候消息,并在所述客户端问候消息中携带有ID信息。
10.如权利要求8所述的设备,其特征在于,
所述确定模块,用于利用所述认证字段确定key。
11.一种网络认证系统,其特征在于,应用于安全传输层协议TLS/数据传输安全协议DTLS协议中,包括:
终端,用于接收服务器发送的服务器问候消息,所述服务器问候消息中携带有DH_PSK类型的服务器密钥交换Server Key Exchange消息,获取所述Server Key Exchange消息中的认证字段;用于利用所述认证字段确定res信息;用于将所述res信息构造DH_PSK类型的客户端密钥交换Client Key Exchange消息,将所述Client Key Exchange消息携带于客户端问候消息中发送给所述服务器;用于接收所述服务器发送的认证成功的通知消息,确定认证成功;
服务器,用于获取认证服务器发送的认证向量;用于利用所述认证向量中的认证字段构造DH_PSK类型的服务器密钥交换Server Key Exchange消息,将所述Server KeyExchange消息携带于服务器问候消息中发送给所述终端;用于接收所述终端发送的DH_PSK类型的客户端密钥交换Client Key Exchange消息,获取所述Client Key Exchange消息中携带的res信息;用于确定所述res信息与所述认证向量中的XRES信息是否匹配;用于在确定所述res信息与所述认证向量中的XRES信息匹配时,确定对所述终端的认证成功,并向所述终端发送认证成功的通知消息;
所述终端,用于向所述服务器发送客户端问候消息,并在所述客户端问候消息中携带有ID信息;用于利用所述认证字段确定key;用于根据所述Server Key Exchange消息中携带的DH密钥以及确定的key确定应用层密钥;
所述服务器,用于接收终端发送的客户端问候消息,获取所述客户端问候消息中携带的ID信息;根据所述ID信息向认证服务器发送请求认证向量的请求消息;用于根据所述Client Key Exchange消息中携带的DH密钥以及所述认证向量中的key确定应用层密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310722666.3A CN104735037B (zh) | 2013-12-24 | 2013-12-24 | 一种网络认证方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310722666.3A CN104735037B (zh) | 2013-12-24 | 2013-12-24 | 一种网络认证方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104735037A CN104735037A (zh) | 2015-06-24 |
| CN104735037B true CN104735037B (zh) | 2018-11-23 |
Family
ID=53458475
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310722666.3A Active CN104735037B (zh) | 2013-12-24 | 2013-12-24 | 一种网络认证方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104735037B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105591752B (zh) * | 2015-12-31 | 2019-01-08 | 盛科网络(苏州)有限公司 | 一种降低dtls解密时延的方法及装置 |
| CN108111467B (zh) | 2016-11-24 | 2021-04-09 | 华为技术有限公司 | 身份认证方法与设备及系统 |
| JP6745403B2 (ja) | 2017-04-11 | 2020-08-26 | 華為技術有限公司Huawei Technologies Co.,Ltd. | ネットワーク認証方法、デバイス、およびシステム |
| CN109246701B (zh) * | 2017-04-11 | 2019-11-19 | 华为技术有限公司 | 网络认证方法、设备和系统 |
| CN110401645B (zh) * | 2019-07-15 | 2021-11-19 | 珠海市杰理科技股份有限公司 | 数据穿透传输方法、装置、系统、客户端和存储介质 |
| CN113615220B (zh) * | 2021-06-22 | 2023-04-18 | 华为技术有限公司 | 一种安全通信方法和装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1722689A (zh) * | 2005-06-21 | 2006-01-18 | 中兴通讯股份有限公司 | 一种ip多媒体子系统接入安全的保护方法 |
| CN101005701A (zh) * | 2006-01-18 | 2007-07-25 | 华为技术有限公司 | 连接建立方法 |
| CN101110673A (zh) * | 2006-07-17 | 2008-01-23 | 华为技术有限公司 | 利用一次eap过程执行多次认证的方法和装置 |
| EP1988730A1 (en) * | 2006-02-22 | 2008-11-05 | NEC Corporation | Radio access system and radio access method |
| CN101426190A (zh) * | 2007-11-01 | 2009-05-06 | 华为技术有限公司 | 一种服务访问认证方法和系统 |
| CN102752298A (zh) * | 2012-06-29 | 2012-10-24 | 华为技术有限公司 | 安全通信方法、终端、服务器及系统 |
-
2013
- 2013-12-24 CN CN201310722666.3A patent/CN104735037B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1722689A (zh) * | 2005-06-21 | 2006-01-18 | 中兴通讯股份有限公司 | 一种ip多媒体子系统接入安全的保护方法 |
| CN101005701A (zh) * | 2006-01-18 | 2007-07-25 | 华为技术有限公司 | 连接建立方法 |
| EP1988730A1 (en) * | 2006-02-22 | 2008-11-05 | NEC Corporation | Radio access system and radio access method |
| CN101110673A (zh) * | 2006-07-17 | 2008-01-23 | 华为技术有限公司 | 利用一次eap过程执行多次认证的方法和装置 |
| CN101426190A (zh) * | 2007-11-01 | 2009-05-06 | 华为技术有限公司 | 一种服务访问认证方法和系统 |
| CN102752298A (zh) * | 2012-06-29 | 2012-10-24 | 华为技术有限公司 | 安全通信方法、终端、服务器及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104735037A (zh) | 2015-06-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Shen et al. | Secure device-to-device communications over WiFi direct | |
| US8763097B2 (en) | System, design and process for strong authentication using bidirectional OTP and out-of-band multichannel authentication | |
| CN103596173B (zh) | 无线网络认证方法、客户端及服务端无线网络认证装置 | |
| KR101158956B1 (ko) | 통신 시스템에 증명서를 배분하는 방법 | |
| US7707412B2 (en) | Linked authentication protocols | |
| JP5579872B2 (ja) | 安全な複数uim認証および鍵交換 | |
| CN104735037B (zh) | 一种网络认证方法、装置及系统 | |
| CN107360571B (zh) | 在移动网络中的匿名相互认证和密钥协商协议的方法 | |
| EP3570575A1 (en) | Internet of things security with multi-party computation (mpc) | |
| US20110246770A1 (en) | Authentication method, authentication system, server terminal, client terminal and computer programs therefor | |
| US20150128243A1 (en) | Method of authenticating a device and encrypting data transmitted between the device and a server | |
| CN112637136A (zh) | 加密通信方法及系统 | |
| US20160261414A1 (en) | Secure authentication of remote equipment | |
| CN107094156A (zh) | 一种基于p2p模式的安全通信方法及系统 | |
| Matos et al. | Secure hotspot authentication through a near field communication side-channel | |
| CN111866881A (zh) | 无线局域网认证方法与无线局域网连接方法 | |
| Marques et al. | EAP-SH: an EAP authentication protocol to integrate captive portals in the 802.1 X security architecture | |
| Hall | Detection of rogue devices in wireless networks | |
| Dey et al. | A light-weight authentication scheme based on message digest and location for mobile cloud computing | |
| Khan et al. | An HTTPS approach to resist man in the middle attack in secure SMS using ECC and RSA | |
| Marques et al. | Integration of the Captive Portal paradigm with the 802.1 X architecture | |
| Lee et al. | Man-in-the-middle Attacks Detection Scheme on Smartphone using 3G network | |
| Gupta et al. | Security mechanisms of Internet of things (IoT) for reliable communication: a comparative review | |
| Guenane et al. | A strong authentication for virtual networks using eap-tls smart cards | |
| Jain et al. | SAP: a low-latency protocol for mitigating evil twin attacks and high computation overhead in WI-FI networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |