CN105471845A - 防止中间人攻击的通信方法及系统 - Google Patents
防止中间人攻击的通信方法及系统 Download PDFInfo
- Publication number
- CN105471845A CN105471845A CN201510783756.2A CN201510783756A CN105471845A CN 105471845 A CN105471845 A CN 105471845A CN 201510783756 A CN201510783756 A CN 201510783756A CN 105471845 A CN105471845 A CN 105471845A
- Authority
- CN
- China
- Prior art keywords
- terminal
- public key
- identity information
- key certificate
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种防止中间人攻击的通信方法及系统,所述方法包括:在第一终端和第二终端建立通信连接后以及进行加密通信前,第一终端和第二终端通过建立的通信连接分别获取并保存对方的身份信息;第一终端和第二终端分别向对方发送包含有自身身份信息的公钥证书;第一终端和第二终端分别从接收到的公钥证书中获取对方的身份信息,并将获取的对方的身份信息与之前保存的对方的身份信息进行比较,若第一终端和第二终端确定从接收到的公钥证书中获取的对方的身份信息与之前保存的对方的身份信息一致,则进行数据通信,否则端中止通信。本发明的防止中间人攻击的通信方法,能够有效避免端到端加密系统中的中间人攻击的安全风险。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种防止中间人攻击的通信方法及系统。
背景技术
移动终端的通信传输建立在无线通信的基础之上,人们通过移动终端的通信功能交流的各种信息中,相当数量涉及到个人隐私或敏感的信息,由于移动通信的开放性和移动终端的智能化,通信内容容易被恶意的第三方非法截取和窃听。针对不同的移动通信体制,可以通过加密通信来保护用户的信息安全。
对于进行加密通信的合法用户Alice和Bob,如果攻击者Lucifer具备通信的插入能力,就可以伪装成合法用户Bob与Alice进行通信,同时也可以伪装成合法用户Alice与Bob进行通信,即攻击者Lucifer串接在通信双方Alice和Bob的信道上而不被发现,只要攻击者Lucifer具备一个合法的身份(如通过内部人员获取等),就可以实现中间人攻击,从而窃取Alice和Bob的通信内容(见图1和图2),无法实现加密信息的效果。
针对中间人攻击的安全问题,在互联网领域,目前有多种安全增强措施。例如其中一种处理方式为:发送方将加密后的ARP数据包发送给接收方主机,接收方主机接收到ARP数据包后,向网络中可信任主机发送携带发送方的MAC地址和IP地址的加密密钥查询请求,可信任主机根据发送方的MAC地址和IP地址查询主机信息数据表获取对应的加密密钥,将对应的加密密钥返回给接收方主机,接收方主机用加密密钥对ARP数据包进行解密。该方法通过网络中的可信主机存储各终端的加密密钥,发送方使用本端的加密密钥对信息进行加密,将密文及本端的身份信息(MAC地址和IP地址)发送给接收方。接收方收到消息后,将发送方的身份信息发送给可信主机,由可信主机对发送方身份的合法性进行判断,若合法则将发送方的加密密钥发送给接收方,若不合法,则中止通信。
现有的防止中间人攻击的方案大多针对计算机和互联网系统,通过增加新的专用设备用于用户身份的合法性认证并为通信双方分发通信密钥,从而达到有效避免中间人攻击的目的,但这类方案在增加硬件成本的同时也降低了数据传输的性能,在实际应用时,要受到一些条件的制约。
在现有端到端移动通信加密解决方案中,移动终端一般通过可信证书机构(CA)的公钥信息验证所接收到的对方证书的合法性来判定对方是否为可以通信的合法用户。
然而此类证书的内容中通常不包括移动终端的身份信息,使得该证书并不具备鉴别移动终端身份合法性的条件。目前没有针对此类解决方案中所面临的中间人攻击的有效方法。
发明内容
针对现有技术中的缺陷,本发明提供一种防止中间人攻击的通信方法及系统,以有效避免端到端加密系统中的中间人攻击的安全风险。
为解决上述技术问题,本发明提供以下技术方案:
第一方面,本发明提供了一种防止中间人攻击的通信方法,包括:
在第一终端和第二终端建立通信连接后以及进行加密通信前,第一终端和第二终端通过建立的通信连接分别获取并保存对方的身份信息;
第一终端和第二终端分别向对方发送包含有自身身份信息的公钥证书;
第一终端和第二终端分别从接收到的公钥证书中获取对方的身份信息,并将获取的对方的身份信息与之前保存的对方的身份信息进行比较,若第一终端确定从接收到的公钥证书中获取的第二终端的身份信息与之前保存的第二终端的身份信息一致,且第二终端确定从接收到的公钥证书中获取的第一终端的身份信息与之前保存的第一终端的身份信息一致,则第一终端和第二终端开始进行数据通信,否则,第一终端和第二终端中止通信。
进一步地,在第一终端和第二终端建立通信连接之前,所述方法还包括:
为所述第一终端制作公钥证书,在该公钥证书中添加第一终端的身份信息,使用CA私钥对第一终端的公钥和第一终端的身份信息一起进行签名,产生第一终端的公钥证书,并将第一终端的公钥和第一终端的公钥证书发送给第一终端;
为所述第二终端制作公钥证书,在该公钥证书中添加第二终端的身份信息,使用CA私钥对第二终端的公钥和第二终端的身份信息一起进行签名,产生第二终端的公钥证书,并将第二终端的公钥和第二终端的公钥证书发送给第二终端。
进一步地,在第一终端和第二终端分别从接收到的公钥证书中获取对方的身份信息之前,所述方法还包括:
第一终端和第二终端分别判断接收到的公钥证书的合法性;在第一终端和第二终端分别确定接收到的公钥证书为合法证书时,第一终端和第二终端分别从接收到的公钥证书中获取对方的身份信息。
进一步地,第一终端和第二终端分别判断接收到的公钥证书的合法性,包括:
第一终端和第二终端分别使用相应的CA公钥验证对方公钥证书中签名的合法性。
进一步地,所述身份信息为终端的号码或网络中表示该终端的唯一身份识别码。
第二方面,本发明还提供了一种防止中间人攻击的通信系统,包括:第一终端和第二终端;
所述第一终端和所述第二终端,用于在与对方建立通信连接后以及进行加密通信之前,通过建立的通信连接分别获取并保存对方的身份信息;
所述第一终端和所述第二终端分别向对方发送包含有自身身份信息的公钥证书;
所述第一终端和所述第二终端分别从接收到的公钥证书中获取对方的身份信息,并将获取的对方的身份信息与之前保存的对方的身份信息进行比较,若所述第一终端确定从接收到的公钥证书中获取的第二终端的身份信息与之前保存的第二终端的身份信息一致,且所述第二终端确定从接收到的公钥证书中获取的第一终端的身份信息与之前保存的第一终端的身份信息一致,则第一终端和第二终端开始进行数据通信,否则,第一终端和第二终端中止通信。
进一步地,所述系统还包括:第三终端;
所述第三终端,用于为所述第一终端制作公钥证书,在该公钥证书中添加第一终端的身份信息,使用CA私钥对第一终端的公钥和第一终端的身份信息一起进行签名,产生第一终端的公钥证书,并将第一终端的公钥和第一终端的公钥证书发送给第一终端;
所述第三终端,还用于为所述第二终端制作公钥证书,在该公钥证书中添加第二终端的身份信息,使用CA私钥对第二终端的公钥和第二终端的身份信息一起进行签名,产生第二终端的公钥证书,并将第二终端的公钥和第二终端的公钥证书发送给第二终端。
进一步地,所述第一终端和所述第二终端还用于判断接收到的公钥证书的合法性;在所述第一终端和所述第二终端分别确定接收到的公钥证书为合法证书时,所述第一终端和所述第二终端分别从接收到的公钥证书中获取对方的身份信息。
进一步地,所述第一终端和所述第二终端分别使用相应的CA公钥验证对方公钥证书中签名的合法性。
进一步地,所述身份信息为终端的号码或网络中表示该终端的唯一身份识别码。
由上述技术方案可知,本发明提供的防止中间人攻击的通信方法,在终端用户所使用的公钥证书中增加终端的身份信息,且该身份信息不能被篡改,在加密通信前通过比对终端的身份和公钥证书中的终端身份是否一致,判定其是否为合法的用户,从而有效避免端到端加密系统中的中间人攻击的安全风险。本发明所述的防止中间人攻击的通信方法,解决了端到端移动通信加密方案中所面临的中间人攻击安全问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是合法用户的正常加密通信方式示意图;
图2是有中间攻击人的加密通信方式示意图;
图3是本发明实施例一提供的防止中间人攻击的通信方法的流程图;
图4是本发明实施例二提供的防止中间人攻击的通信方法的流程图;
图5是本发明实施例三提供的防止中间人攻击的通信方法的流程图;
图6是本发明实施例四提供的防止中间人攻击的通信系统的结构示意图;
图7是本发明实施例五提供的防止中间人攻击的通信系统的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明针对现有技术中存在的问题,提出了一种针对端到端移动通信加密信息的抗中间人攻击的方法,通信过程中无需移动通信系统核心网设备或者可信证书机构(CA)的参与,通过确保通信双方在通信前能够有效的确认拟通信的对方的身份,从而识别并避免中间人攻击的安全风险。
图3是本发明实施例一提供的防止中间人攻击的通信方法的流程图,参见图3,本实施例一提供了一种防止中间人攻击的通信方法,包括如下步骤:
步骤101:在第一终端和第二终端建立通信连接后以及进行加密通信前,第一终端和第二终端通过建立的通信连接分别获取并保存对方的身份信息。
在本实施例中,第一终端和第二终端为移动通信系统中的终端,所述移动通信系统可以为2G、3G、4G、集群及未来可能出现的通信系统。
步骤102:第一终端和第二终端分别向对方发送包含有自身身份信息的公钥证书。
在本步骤中,所述身份信息为终端的号码或网络中表示该终端的唯一身份识别码。例如,身份信息为终端的号码如186***,或者也可以是网络中表示该终端的唯一身份识别码,如国际移动用户识别码IMSI(InternationalMobileSubscriberIdentificationNumber,IMSI)。
其中,本步骤中终端的身份信息要和后面步骤中的公钥证书中的身份信息保持一致,例如,当本步骤中的身份信息指终端的号码时,公钥证书中的身份信息也应该为终端的号码。当本步骤中的身份信息指网络中表示该终端的唯一身份识别码时,公钥证书中的身份信息也应该为网络中表示该终端的唯一身份识别码,否则后边步骤无法进行比较。
步骤103:第一终端和第二终端分别从接收到的公钥证书中获取对方的身份信息,并将获取的对方的身份信息与之前保存的对方的身份信息进行比较。
步骤104:第一终端和第二终端分别判断从接收到的公钥证书中获取的对方的身份信息与之前保存的对方的身份信息是否一致,若第一终端确定从接收到的公钥证书中获取的第二终端的身份信息与之前保存的第二终端的身份信息一致,且第二终端确定从接收到的公钥证书中获取的第一终端的身份信息与之前保存的第一终端的身份信息一致,则执行步骤104a;否则,执行步骤104b。
步骤104a:第一终端和第二终端开始进行数据通信。
步骤104b:第一终端和第二终端中止通信。
本实施例所述的防止中间人攻击的通信方法,在移动终端用户所使用的公钥证书中增加与移动终端的身份信息,且该身份信息不能被篡改,在加密通信前通过比对移动终端身份和公钥证书中的移动终端身份是否一致,判定其是否为合法的用户,从而有效避免端到端加密系统中的中间人攻击的安全风险。本实施例所述的防止中间人攻击的通信方法,解决了端到端移动通信加密方案中所面临的中间人攻击安全问题。
本实施例所述的防止中间人攻击的通信方法,适用于移动通信体制(包括2G、3G、4G、集群及未来可能出现的通信体制)、移动终端和无移动通信系统专用设备参与的端到端加密方案。
在本发明的实施例二中,在第一终端和第二终端建立通信连接之前,参见图4,所述方法还包括步骤101’。
步骤101’:为所述第一终端制作公钥证书,在该公钥证书中添加第一终端的身份信息,使用CA私钥对第一终端的公钥和第一终端的身份信息一起进行签名,产生第一终端的公钥证书,并将第一终端的公钥和第一终端的公钥证书发送给第一终端;
为所述第二终端制作公钥证书,在该公钥证书中添加第二终端的身份信息,使用CA私钥对第二终端的公钥和第二终端的身份信息一起进行签名,产生第二终端的公钥证书,并将第二终端的公钥和第二终端的公钥证书发送给第二终端。
在本实施例中,具有制作和颁发公钥证书的其他终端会为第一终端和第二终端制作公钥证书。其中,通过本步骤制作好的公钥证书中携带有相应终端的身份信息,且该公钥证书中的身份信息不能被篡改。这样使得第一终端和第二终端在进行加密通信前,先通过建立的通信连接获取对方的身份信息,然后再通过从对方接收的公钥证书中获取对方的身份信息,最后将这两个身份信息进行比较,若一致,则判定对方为合法用户,若不一致,则判定对方为非法用户。其中,只有当第一终端和第二终端均判定对方为合法用户时,才能进行加密通信。只要有一方判定对方为非法用户,则双方的通信中止,从而有效避免了端到端加密系统中的中间人攻击的安全风险。
在本发明的实施例三中,在上述步骤103之前,参见图5,所述方法还包括步骤103’。
步骤103’:第一终端和第二终端分别判断接收到的公钥证书的合法性;在第一终端和第二终端分别确定接收到的公钥证书为合法证书时,第一终端和第二终端分别从接收到的公钥证书中获取对方的身份信息。
在本步骤中,第一终端和第二终端分别判断接收到的公钥证书的合法性,包括:第一终端和第二终端分别使用相应的CA公钥验证对方公钥证书中签名的合法性。
本实施例增加了判断公钥证书合法性的步骤,这是因为假如第一终端和/或第二终端接收到的公钥证书为非法证书,那么判断公钥证书中携带的身份信息是没有意义的,因为非法证书很有可能被修改过,里面的信息有可能是伪装后的信息。因此当第一终端和第二终端中的任何一方判断出接收到的公钥证书为非法证书时,第一终端和第二终端将会中止通信,以避免数据泄露。
图6是本发明实施例四提供的防止中间人攻击的通信系统的结构示意图,参见图6,本实施例四提供的防止中间人攻击的通信系统,包括:第一终端100和第二终端200;
所述第一终端100和所述第二终端200,用于在与对方建立通信连接后以及进行加密通信之前,通过建立的通信连接分别获取并保存对方的身份信息;
其中,所述身份信息包括终端的号码或网络中表示该终端的唯一身份识别码。
所述第一终端100和所述第二终端200分别向对方发送包含有自身身份信息的公钥证书;
所述第一终端100和所述第二终端200分别从接收到的公钥证书中获取对方的身份信息,并将获取的对方的身份信息与之前保存的对方的身份信息进行比较,若所述第一终端100确定从接收到的公钥证书中获取的第二终端200的身份信息与之前保存的第二终端200的身份信息一致,且所述第二终端200确定从接收到的公钥证书中获取的第一终端100的身份信息与之前保存的第一终端100的身份信息一致,则第一终端100和第二终端200开始进行数据通信,否则,第一终端100和第二终端200中止通信。
在本发明实施例五中,参见图7,所述系统还包括:第三终端300;
所述第三终端300,用于为所述第一终端100制作公钥证书,在该公钥证书中添加第一终端100的身份信息,使用CA私钥对第一终端100的公钥和第一终端100的身份信息一起进行签名,产生第一终端100的公钥证书,并将第一终端100的公钥和第一终端100的公钥证书发送给第一终端100;
所述第三终端300,还用于为所述第二终端200制作公钥证书,在该公钥证书中添加第二终端200的身份信息,使用CA私钥对第二终端200的公钥和第二终端200的身份信息一起进行签名,产生第二终端200的公钥证书,并将第二终端200的公钥和第二终端200的公钥证书发送给第二终端200。
在本实施例中,所述第三终端300为具有为移动终端颁发公钥证书资格的终端。一般地,所述第三终端300在所述第一终端100和所述第二终端200建立通信连接之前向所述第一终端100和所述第二终端200发送制作好的公钥证书。
在本发明实施例六中,所述第一终端100和所述第二终端200还用于判断接收到的公钥证书的合法性;在所述第一终端100和所述第二终端200分别确定接收到的公钥证书为合法证书时,所述第一终端100和所述第二终端200分别从接收到的公钥证书中获取对方的身份信息。
所述第一终端100和所述第二终端200在判断接收到的公钥证书的合法性时,所述第一终端100和所述第二终端200分别使用相应的CA公钥验证对方公钥证书中签名的合法性。
本发明实施例所述的系统其实现原理和有益效果与上述方法实施例相同或类似,此处不再赘述。
以上实施例仅用于说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种防止中间人攻击的通信方法,其特征在于,包括:
在第一终端和第二终端建立通信连接后以及进行加密通信前,第一终端和第二终端通过建立的通信连接分别获取并保存对方的身份信息;
第一终端和第二终端分别向对方发送包含有自身身份信息的公钥证书;
第一终端和第二终端分别从接收到的公钥证书中获取对方的身份信息,并将获取的对方的身份信息与之前保存的对方的身份信息进行比较,若第一终端确定从接收到的公钥证书中获取的第二终端的身份信息与之前保存的第二终端的身份信息一致,且第二终端确定从接收到的公钥证书中获取的第一终端的身份信息与之前保存的第一终端的身份信息一致,则第一终端和第二终端开始进行数据通信,否则,第一终端和第二终端中止通信。
2.根据权利要求1所述的方法,其特征在于,在第一终端和第二终端建立通信连接之前,所述方法还包括:
为所述第一终端制作公钥证书,在该公钥证书中添加第一终端的身份信息,使用CA私钥对第一终端的公钥和第一终端的身份信息一起进行签名,产生第一终端的公钥证书,并将第一终端的公钥和第一终端的公钥证书发送给第一终端;
为所述第二终端制作公钥证书,在该公钥证书中添加第二终端的身份信息,使用CA私钥对第二终端的公钥和第二终端的身份信息一起进行签名,产生第二终端的公钥证书,并将第二终端的公钥和第二终端的公钥证书发送给第二终端。
3.根据权利要求2所述的方法,其特征在于,在第一终端和第二终端分别从接收到的公钥证书中获取对方的身份信息之前,所述方法还包括:
第一终端和第二终端分别判断接收到的公钥证书的合法性;在第一终端和第二终端分别确定接收到的公钥证书为合法证书时,第一终端和第二终端分别从接收到的公钥证书中获取对方的身份信息。
4.根据权利要求3所述的方法,其特征在于,第一终端和第二终端分别判断接收到的公钥证书的合法性,包括:
第一终端和第二终端分别使用相应的CA公钥验证对方公钥证书中签名的合法性。
5.根据权利要求1~4任一所述的方法,其特征在于,所述身份信息为终端的号码或网络中表示该终端的唯一身份识别码。
6.一种防止中间人攻击的通信系统,其特征在于,包括:第一终端和第二终端;
所述第一终端和所述第二终端,用于在与对方建立通信连接后以及进行加密通信前,通过建立的通信连接分别获取并保存对方的身份信息;
所述第一终端和所述第二终端分别向对方发送包含有自身身份信息的公钥证书;
所述第一终端和所述第二终端分别从接收到的公钥证书中获取对方的身份信息,并将获取的对方的身份信息与之前保存的对方的身份信息进行比较,若所述第一终端确定从接收到的公钥证书中获取的第二终端的身份信息与之前保存的第二终端的身份信息一致,且所述第二终端确定从接收到的公钥证书中获取的第一终端的身份信息与之前保存的第一终端的身份信息一致,则第一终端和第二终端开始进行数据通信,否则,第一终端和第二终端中止通信。
7.根据权利要求6所述的系统,其特征在于,还包括:第三终端;
所述第三终端,用于为所述第一终端制作公钥证书,在该公钥证书中添加第一终端的身份信息,使用CA私钥对第一终端的公钥和第一终端的身份信息一起进行签名,产生第一终端的公钥证书,并将第一终端的公钥和第一终端的公钥证书发送给第一终端;
所述第三终端,还用于为所述第二终端制作公钥证书,在该公钥证书中添加第二终端的身份信息,使用CA私钥对第二终端的公钥和第二终端的身份信息一起进行签名,产生第二终端的公钥证书,并将第二终端的公钥和第二终端的公钥证书发送给第二终端。
8.根据权利要求7所述的系统,其特征在于,所述第一终端和所述第二终端还用于判断接收到的公钥证书的合法性;在所述第一终端和所述第二终端分别确定接收到的公钥证书为合法证书时,所述第一终端和所述第二终端分别从接收到的公钥证书中获取对方的身份信息。
9.根据权利要求8所述的系统,其特征在于,所述第一终端和所述第二终端分别使用相应的CA公钥验证对方公钥证书中签名的合法性。
10.根据权利要求6~9任一所述的系统,其特征在于,所述身份信息为终端的号码或网络中表示该终端的唯一身份识别码。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510783756.2A CN105471845B (zh) | 2015-11-16 | 2015-11-16 | 防止中间人攻击的通信方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510783756.2A CN105471845B (zh) | 2015-11-16 | 2015-11-16 | 防止中间人攻击的通信方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105471845A true CN105471845A (zh) | 2016-04-06 |
| CN105471845B CN105471845B (zh) | 2018-10-19 |
Family
ID=55609116
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510783756.2A Active CN105471845B (zh) | 2015-11-16 | 2015-11-16 | 防止中间人攻击的通信方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105471845B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107733929A (zh) * | 2017-11-30 | 2018-02-23 | 中国联合网络通信集团有限公司 | 认证方法和认证系统 |
| CN108347431A (zh) * | 2017-01-25 | 2018-07-31 | 福特全球技术公司 | 用于自主车辆的控制接口 |
| CN109802825A (zh) * | 2017-11-17 | 2019-05-24 | 深圳市金证科技股份有限公司 | 一种数据加密、解密的方法、系统及终端设备 |
| CN110166226A (zh) * | 2018-02-12 | 2019-08-23 | 北京京东尚科信息技术有限公司 | 一种生成秘钥的方法和装置 |
| CN110493233A (zh) * | 2019-08-23 | 2019-11-22 | 广州华多网络科技有限公司 | 通信方法、装置、系统、计算机可读介质及设备 |
| CN115348113A (zh) * | 2022-10-18 | 2022-11-15 | 安徽华云安科技有限公司 | 一种中间人攻击对抗方法 |
| WO2023082578A1 (zh) * | 2021-11-12 | 2023-05-19 | 华为技术有限公司 | 一种验证方法、通信节点及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101296083A (zh) * | 2008-05-14 | 2008-10-29 | 华为技术有限公司 | 一种加密数据传输方法和系统 |
| CN101299667A (zh) * | 2008-06-05 | 2008-11-05 | 华为技术有限公司 | 一种认证方法、系统、客户端设备和服务器 |
| CN102624528A (zh) * | 2012-03-02 | 2012-08-01 | 中国人民解放军总参谋部第六十一研究所 | 一种基于身份的认证密钥协商方法 |
| CN104579694A (zh) * | 2015-02-09 | 2015-04-29 | 浙江大学 | 一种身份认证方法及系统 |
| CN104639329A (zh) * | 2015-02-02 | 2015-05-20 | 浙江大学 | 基于椭圆曲线码的用户身份相互认证方法 |
-
2015
- 2015-11-16 CN CN201510783756.2A patent/CN105471845B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101296083A (zh) * | 2008-05-14 | 2008-10-29 | 华为技术有限公司 | 一种加密数据传输方法和系统 |
| CN101299667A (zh) * | 2008-06-05 | 2008-11-05 | 华为技术有限公司 | 一种认证方法、系统、客户端设备和服务器 |
| CN102624528A (zh) * | 2012-03-02 | 2012-08-01 | 中国人民解放军总参谋部第六十一研究所 | 一种基于身份的认证密钥协商方法 |
| CN104639329A (zh) * | 2015-02-02 | 2015-05-20 | 浙江大学 | 基于椭圆曲线码的用户身份相互认证方法 |
| CN104579694A (zh) * | 2015-02-09 | 2015-04-29 | 浙江大学 | 一种身份认证方法及系统 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108347431A (zh) * | 2017-01-25 | 2018-07-31 | 福特全球技术公司 | 用于自主车辆的控制接口 |
| CN109802825A (zh) * | 2017-11-17 | 2019-05-24 | 深圳市金证科技股份有限公司 | 一种数据加密、解密的方法、系统及终端设备 |
| CN107733929A (zh) * | 2017-11-30 | 2018-02-23 | 中国联合网络通信集团有限公司 | 认证方法和认证系统 |
| CN107733929B (zh) * | 2017-11-30 | 2020-04-10 | 中国联合网络通信集团有限公司 | 认证方法和认证系统 |
| CN110166226A (zh) * | 2018-02-12 | 2019-08-23 | 北京京东尚科信息技术有限公司 | 一种生成秘钥的方法和装置 |
| CN110166226B (zh) * | 2018-02-12 | 2023-06-27 | 北京京东尚科信息技术有限公司 | 一种生成秘钥的方法和装置 |
| CN110493233A (zh) * | 2019-08-23 | 2019-11-22 | 广州华多网络科技有限公司 | 通信方法、装置、系统、计算机可读介质及设备 |
| WO2023082578A1 (zh) * | 2021-11-12 | 2023-05-19 | 华为技术有限公司 | 一种验证方法、通信节点及系统 |
| CN115348113A (zh) * | 2022-10-18 | 2022-11-15 | 安徽华云安科技有限公司 | 一种中间人攻击对抗方法 |
| CN115348113B (zh) * | 2022-10-18 | 2022-12-23 | 安徽华云安科技有限公司 | 一种中间人攻击对抗方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105471845B (zh) | 2018-10-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105471845A (zh) | 防止中间人攻击的通信方法及系统 | |
| CN105554747B (zh) | 无线网络连接方法、装置及系统 | |
| CN111314056B (zh) | 基于身份加密体制的天地一体化网络匿名接入认证方法 | |
| RU2406251C2 (ru) | Способ и устройство для установления безопасной ассоциации | |
| CA2362905C (en) | An authentication method | |
| US7120422B2 (en) | Method, element and system for securing communication between two parties | |
| CN100589381C (zh) | 一种通信系统中用户身份保密的方法 | |
| CN1929371B (zh) | 用户和外围设备协商共享密钥的方法 | |
| CN105577680A (zh) | 密钥生成方法、解析加密数据方法、装置及密钥管理中心 | |
| CN107888560A (zh) | 一种移动智能终端邮件安全传输系统及方法 | |
| CN105827304A (zh) | 基于信关站的卫星网络匿名认证方法 | |
| CN104219650A (zh) | 发送用户身份认证信息的方法及用户设备 | |
| CN112565302A (zh) | 基于安全网关的通信方法、系统及设备 | |
| CN111314919B (zh) | 用于在认证服务端保护用户身份隐私的增强5g认证方法 | |
| FI964926A0 (fi) | Tiedonsiirron osapuolien oikeellisuuden tarkistaminen tietoliikenneverkossa | |
| US20100131762A1 (en) | Secured communication method for wireless mesh network | |
| CN105873059A (zh) | 配电通信无线专网的联合身份认证方法和系统 | |
| CN205693897U (zh) | Lte电力无线专网的二次身份认证系统 | |
| CN115459972A (zh) | 基于多无人机中继的安全匿名核心网访问方法 | |
| CN106559402B (zh) | 用户终端及其加密语音电话业务的身份认证方法及装置 | |
| Liu et al. | Security enhancements to subscriber privacy protection scheme in 5G systems | |
| CN1968096B (zh) | 一种同步流程优化方法和系统 | |
| Sher et al. | Network access security management (NASM) model for next generation mobile telecommunication networks | |
| CN100389634C (zh) | 一种同步攻击防护方法及相应的鉴权方法 | |
| CN116709338B (zh) | 一种能防御中间人MitM攻击的Wi-Fi存取点 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |