CN106453330B - 一种身份认证的方法和系统 - Google Patents
一种身份认证的方法和系统 Download PDFInfo
- Publication number
- CN106453330B CN106453330B CN201610908734.9A CN201610908734A CN106453330B CN 106453330 B CN106453330 B CN 106453330B CN 201610908734 A CN201610908734 A CN 201610908734A CN 106453330 B CN106453330 B CN 106453330B
- Authority
- CN
- China
- Prior art keywords
- key
- terminal
- certificate
- signature
- opposite equip
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例公开了一种身份认证的方法和系统,其中方法包括:终端随机生成包括签名公钥和签名私钥的签名密钥对;终端使用签名公钥向服务器申请数字证书和加密密钥对;终端在与对端设备建立通话的过程中,使用签名私钥对第一交互消息进行签名,并将签名后的第一交互消息发送给对端设备;终端若接收到对端设备发送的第二交互消息,则通过服务器使用对端设备的数字证书进行验签;若验签通过,则终端确认对端设备的身份合法。本发明实施例通过数字证书的合法生成和下发,以及结合服务器完成签名和验签的过程,可以对智能终端的通信双方的身份进行合法性认证,保证通信内容的安全传输。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种身份认证方法和系统。
背景技术
目前,智能手机等智能终端设备被广泛普及,用户在使用这些智能终端设备进行通信的过程中,通信内容容易被恶意软件监听和窃取。而现有的加密通信方式通常都是采用软件加密算法或硬件加密算法,在主叫和被叫建立通话的过程中的交互消息中直接包含密钥信息,这种方式很容易造成密钥信息被窃取,使得双方的通话过程容易受到中间人攻击(Man-in-the-Middle Attack,MITM),导致加密的通话内容被破解,篡改和嗅探,给用户带来安全隐患。
发明内容
本发明实施例提供一种身份认证方法和系统,可以对智能终端的通信双方的身份进行合法性认证,保证通信内容的安全传输。
第一方面,本发明实施例提供了一种身份认证的方法,该方法包括:
终端随机生成包括签名公钥和签名私钥的签名密钥对;
所述终端使用所述签名公钥向服务器申请数字证书和加密密钥对,其中,所述加密密钥对包括加密公钥和加密私钥;
所述终端在与对端设备的建立通话的过程中,使用所述签名私钥对第一交互消息进行签名,并将签名后的所述第一交互消息发送给所述对端设备;
所述终端若接收到所述对端设备发送的第二交互消息,则通过所述服务器使用所述对端设备的数字证书进行验签;
若所述验签通过,则所述终端确认所述对端设备的身份合法。
另一方面,本发明实施例提供了一种身份认证的系统,该系统包括终端和服务器;
所述终端包括:
密钥生成单元,用于随机生成包括签名公钥和签名私钥的签名密钥对;
证书申请单元,用于使用所述签名公钥向服务器申请数字证书和加密密钥对,其中,所述加密密钥对包括加密公钥和加密私钥;
签名单元,用于在与对端设备的建立通话的过程中,使用所述签名私钥对第一交互消息进行签名,并将签名后的所述第一交互消息发送给所述对端设备;
验签单元,用于若接收到所述对端设备发送的第二交互消息,则通过所述服务器使用所述对端设备的数字证书进行验签;
验签成功单元,用于若所述验签通过,则所述终端确认所述对端设备的身份合法;
所述服务器包括:
证书申请处理单元,用于处理所述终端的数字证书和加密密钥对的申请;
验签处理单元,用于使用所述对端设备的数字证书对所述第二交互消息进行验签
本发明实施例通过终端随机生成包括签名公钥和签名私钥的签名密钥对,并使用签名公钥向服务器申请数字证书和加密密钥对,终端在与对端设备建立通话的过程中,使用签名私钥对第一交互消息进行签名,并将签名后的第一交互消息发送给对端设备,若接收到对端设备发送的第二交互消息,则通过服务器使用对端设备的数字证书进行验签,通过这种签名和验签的过程可以验证通话双方的身份合法性,从而防止中间人攻击,并且避免了在交互消息中直接携带密钥信息可能导致的安全隐患,保证通信内容的安全传输。
附图说明
为了更清楚地说明本发明实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例一提供的一种身份认证的方法的示意流程图;
图2是本发明实施例二提供的一种身份认证的方法的示意流程图;
图3是本发明实施例二提供的一种身份认证的方法中建立通话的过程中验证身份合法性的示意性框图;
图4是本发明实施例三提供的一种身份认证的系统的示意性框图;
图5是本发明实施例四提供的一种身份认证的系统的示意性框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当进一步理解,在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
如在本说明书和所附权利要求书中所使用的那样,术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地,短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
具体实现中,本发明实施例中描述的终端包括但不限于诸如具有触摸敏感表面(例如,触摸屏显示器和/或触摸板)的移动电话、膝上型计算机或平板计算机之类的其它便携式设备。还应当理解的是,在某些实施例中,所述设备并非便携式通信设备,而是具有触摸敏感表面(例如,触摸屏显示器和/或触摸板)的台式计算机。
在接下来的讨论中,描述了包括显示器和触摸敏感表面的终端。然而,应当理解的是,终端可以包括诸如物理键盘、鼠标和/或控制杆的一个或多个其它物理用户接口设备。
终端支持各种应用程序,例如以下中的一个或多个:绘图应用程序、演示应用程序、文字处理应用程序、网站创建应用程序、盘刻录应用程序、电子表格应用程序、游戏应用程序、电话应用程序、视频会议应用程序、电子邮件应用程序、即时消息收发应用程序、锻炼支持应用程序、照片管理应用程序、数码相机应用程序、数字摄影机应用程序、web浏览应用程序、数字音乐播放器应用程序和/或数字视频播放器应用程序。
可以在终端上执行的各种应用程序可以使用诸如触摸敏感表面的至少一个公共物理用户接口设备。可以在应用程序之间和/或相应应用程序内调整和/或改变触摸敏感表面的一个或多个功能以及终端上显示的相应信息。这样,终端的公共物理架构(例如,触摸敏感表面)可以支持具有对用户而言直观且透明的用户界面的各种应用程序。
实施例一:
请参阅图1,图1是本发明实施例一提供的一种身份认证的方法的示意流程图,本实施例的执行主体包括终端和服务器,其中,终端可以是智能手机或者其他智能终端等设备。图1所示的身份认证方法可以包括以下步骤:
S101、终端随机生成包括签名公钥和签名私钥的签名密钥对。
具体地,终端随机生成的签名密钥对用于进行数字签名和对数字签名的验签。
S102、终端使用签名公钥向服务器申请数字证书和加密密钥对,其中,该加密密钥对包括加密公钥和加密私钥。
具体地,服务器包含证书授权(Certificate Authority,CA)功能,能够实现签发证书、认证证书和管理已颁发证书等功能。终端可以将包含签名公钥和终端标识信息的请求消息发送给服务器,服务器根据接收到的请求信息,生成终端对应的合法的数字证书和加密密钥对,并将数字证书和加密密钥对下发给终端。
数字证书是经服务器数字签名的包含公开密钥拥有者信息以及公开密钥的文件,数字证书可以包含签名公钥、加密公钥、证书名称以及服务器的数字签名等,数字证书还有一个重要的特征就是只在特定的时间段内有效。
终端申请到合法的数字证书和加密密钥对后,即可使用数字签名、加密密钥对和签名密钥对,对传输信息进行签名和验签,以及加密和解密的处理,从而提高传输信息的安全性,防止被非法盗用和攻击。
需要说明的是,步骤S101至步骤S102申请数字证书和加密密钥对的过程可以在终端与对端设备建立通话之前进行,具体可以在终端开机时或者第一次使用终端上对应的专用通信应用软件进行注册时进行,此处不做限制。
S103、终端在与对端设备建立通话的过程中,使用签名私钥对第一交互消息进行签名,并将签名后的第一交互消息发送给对端设备。
具体地,第一交互消息可以是终端发送给对端设备的交互消息,其具体可以是通话建立请求消息,终端使用步骤S101生成的签名私钥对第一交互消息进行签名后,将第一交互消息发送给对端设备。
对端设备接收到第一交互消息,通过服务器使用终端的数字证书对该第一交互消息进行验签,判断该第一交互消息是否是终端发送的,从而确认终端身份的合法性。
S104、终端若接收到对端设备发送的第二交互消息,则通过服务器使用对端设备的数字证书进行验签。
具体地,第二交互消息可以是终端接收到的对端设备发送的交互消息,其具体可以是通话建立请求响应消息。对端设备在向终端发送第二交互消息时,采用与步骤S103相同的方法,使用对端设备的签名私钥对第二交互消息进行签名,并将签名后的第二交互消息发送给终端。终端将第二交互消息发送到服务器,服务器根据对端设备的数字证书,使用对端设备的签名公钥对第二交互消息进行验签,判断该第二交互消息是否是对端设备发送的,从而确认对端设备的合法性。
由于验签的过程是在服务器进行,终端和对端设备均不需要将相关的密钥发送给对方,因此避免了在交互消息中直接携带密钥信息可能导致的安全隐患。
S105、若验签通过,则终端确认对端设备的身份合法。
具体地,服务器将步骤S104中使用对端设备的数字证书对第二交互消息进行验签的结果返回给终端,若结果为验签通过,则终端确认对端设备的身份合法。
若验签未通过,则终端确认对端设备的身份不合法,拒绝与对端设备建立通话链接,从而避免中间人攻击。
对端设备也通过同样的过程确认终端的身份合法,若终端和对端设备均确认对方的身份合法,则双方建立合法的通话链接。
需要说明的是,对端设备实现与终端相同的功能,本发明实施例中对终端实现的功能的描述也同样适用于对端设备。
从上述图1示例的身份认证的方法可知,本实施例中,终端随机生成包括签名公钥和签名私钥的签名密钥对,并使用签名公钥向服务器申请数字证书和加密密钥对,终端在与对端设备建立通话的过程中,使用签名私钥对第一交互消息进行签名,并将签名后的第一交互消息发送给对端设备,若接收到对端设备发送的第二交互消息,则通过服务器使用对端设备的数字证书进行验签,通过这种签名和验签的过程可以验证通话双方的身份合法性,从而防止中间人攻击,并且避免了在交互消息中直接携带密钥信息可能导致的安全隐患,保证通信内容的安全传输。
实施例二:
请参阅图2,图2是本发明实施例二提供的一种身份认证的方法的示意流程图,本实施例的执行主体包括终端和服务器,其中,终端可以是智能手机或者其他智能终端等设备。图2所示的身份认证方法可以包括以下步骤:
S201、终端随机生成包括签名公钥和签名私钥的签名密钥对。
具体地,终端随机生成的签名密钥对用于进行数字签名和对数字签名的验签。
S202、终端向服务器发送包含签名公钥的数字证书申请请求。
具体地,服务器包含CA功能,能够实现签发证书、认证证书和管理已颁发证书等功能。终端将包含签名公钥和终端标识信息的数字证书申请请求发送给服务器
进一步地,终端向服务器发送包含签名公钥的数字证书申请请求的具体过程可以通过步骤S2021至步骤S2022完成,详述如下:
S2021、终端生成包含签名公钥的证书请求文件。
具体地,终端可以生成采用PKCS#10文件格式的证书请求文件,该证书请求文件中包含终端的签名公钥。
PKCS(The Public-Key Cryptography Standards)是由美国RSA数据安全公司及其合作伙伴制定的一组公钥密码学标准,其中包括证书申请、证书更新、证书作废表发布、扩展证书内容以及数字签名、数字信封的格式等方面的一系列相关协议,其中,PKCS#10标准用于描述证书请求语法。
在本实施例中,证书请求文件采用PKCS#10文件格式,在其他实施例中证书请求文件还可以采用其他语法规则的文件格式,此处不做限制。
S2022、终端将证书请求文件发送给服务器。
具体地,终端将生成的包含终端的签名公钥的证书请求文件发送给服务器。
S203、服务器根据数字证书申请请求,生成终端对应的数字证书和加密密钥对,该加密密钥对包括加密公钥和加密私钥,该数字证书包括签名证书和加密证书,该加密证书包含加密公钥,该签名证书包含签名公钥。
具体地,服务器接收到终端通过步骤S202发送的包含签名公钥的数字证书申请请求,生成终端对应的PKCS#10文件格式的数字证书,同时生成终端对应的加密密钥对,其中,数字证书包括签名证书和加密证书,加密证书包含加密公钥,签名证书包含签名公钥。
S204、服务器将数字证书和加密私钥下发给终端。
具体地,服务器将数字证书和加密私钥写入到证书请求文件中,并将该证书请求文件返回给终端。
进一步地,服务器将数字证书和加密私钥下发给终端的具体过程可以通过步骤S2041至步骤S2042完成,详述如下:
S2041、服务器使用终端的签名公钥对加密私钥进行加密,并将数字证书和加密后的加密私钥发送给终端。
具体地,服务器使用终端的签名公钥对生成的加密私钥进行加密,将数字证书和加密后的加密私钥写入到证书请求文件中,并将该证书请求文件发送给终端。
S2042、终端使用签名私钥对加密私钥进行解密后,将数字证书、加密私钥和签名密钥对保存在安全芯片中。
具体地,终端从服务器返回的证书请求文件中获取数字证书和加密后的加密私钥,使用自己的签名私钥对该加密私钥进行解密。
终端将数字证书、解密后的加密私钥以及签名密钥对保存在安全芯片中。
安全芯片通过采用固定的商用密码算法,实现对数据的加密和解密,例如,安全芯片可以使用国产A3芯片。带有安全芯片的终端能够对通信过程进行加密,保证通信安全,同时保存在安全芯片中的数据安全性更高,不易被窃取。每个安全芯片在出厂时都带有唯一的序列号。
S205、终端在与对端设备的建立通话的过程中,使用签名私钥对第一交互消息进行签名,并将签名后的第一交互消息发送给对端设备。
具体地,第一交互消息可以是终端发送给对端设备的交互消息,其具体可以是通话建立请求消息,终端使用步骤S101生成的签名私钥对第一交互消息进行签名后,将第一交互消息发送给对端设备。
对端设备接收到第一交互消息,通过服务器使用终端的数字证书对该第一交互消息进行验签,判断该第一交互消息是否是终端发送的,从而确认终端身份的合法性。
S206、终端若接收到对端设备发送的第二交互消息,则将该第二交互消息发送给服务器,其中,该第二交互消息由对端设备使用对端设备的签名私钥进行签名。
具体地,第二交互消息可以是终端接收到的对端设备发送的交互消息,其具体可以是通话建立请求响应消息。对端设备在向终端发送第二交互消息时,采用与步骤S205相同的方法,使用对端设备的签名私钥对第二交互消息进行签名,并将签名后的第二交互消息发送给终端。
终端将第二交互消息和对端设备的标识发送给服务器,其中,对端设备的标识可以是对端设备的电话号码或者其他能够唯一标识对端设备的标识信息。
S207、服务器使用对端设备的数字证书对第二交互消息进行验签,并将验签结果返回给终端。
具体地,服务器根据对端设备的标识获取对端设备对应的数字证书,并根据对端设备的数字证书,使用对端设备的签名公钥对第二交互消息进行验签,判断该第二交互消息是否是对端设备发送的,从而确认对端设备的合法性,并将验签结果返回给终端。
S208、若验签通过,则终端确认对端设备的身份合法。
具体地,服务器将步骤S207中使用对端设备的数字证书对第二交互消息进行验签的结果返回给终端,若结果为验签通过,则终端确认对端设备的身份合法。
若验签未通过,则终端确认对端设备的身份不合法,拒绝与对端设备建立通话链接,从而避免中间人攻击。
需要说明的是,对端设备实现与终端相同的功能,本发明实施例中对终端实现的功能的描述也同样适用于对端设备。
为了更好地理解本发明实施例,举例说明如下:
图3为终端301和终端302在建立通话的过程中进行身份验证的过程。其中,终端301是主叫方,终端302是被叫方,终端301和终端302均向服务器303申请了数字证书和加密私钥,并将申请到的数字证书和加密私钥,以及生成的签名密钥对保存在自己的安全芯片中。
当终端301需要向终端302发起建立通话的请求消息时,终端301使用自己的签名私钥对该请求消息进行签名,并将签名后的请求消息发送给终端302;
终端302接收到请求消息后,通过服务器303验证终端301的身份合法性,服务器303使用终端301的数字证书对该请求消息进行验签,并将验签结果返回给终端302;
终端302判断验签结果为验签成功,则使用自己的签名私钥对请求响应消息进行签名,并将签名后的请求响应消息返回给终端301,同意建立通话;
终端301接收到请求响应消息后,通过服务器303验证终端302的身份合法性,服务器303使用终端302的数字证书对该请求响应消息进行验签,并将验签结果返回给终端301;
终端301判断验签结果为验签通过,则与终端302建立合法的通话链接。
从上述图2示例的身份认证的方法可知,本实施例中,终端随机生成包括签名公钥和签名私钥的签名密钥对,并使用签名公钥向服务器申请数字证书和加密密钥对,服务器生成终端对应的数字证书和加密密钥对后,使用终端的签名公钥对加密私钥进行加密,并将数字证书和加密后的加密私钥通过证书请求文件下发给终端,这种申请方式保证了数字证书的合法生成,以及数字证书和加密私钥在传输过程中的安全性;终端在与对端设备建立通话的过程中,使用签名私钥对第一交互消息进行签名,并将签名后的第一交互消息发送给对端设备,若接收到对端设备发送的第二交互消息,则通过服务器使用对端设备的数字证书进行验签,通过这种签名和验签的过程可以验证通话双方的身份合法性,从而防止中间人攻击,并且避免了在交互消息中直接携带密钥信息可能导致的安全隐患,保证通信内容的安全传输。
实施例三:
请参阅图4,图4是本发明实施例三提供的一种身份认证的系统的示意框图。为了便于说明,仅示出了与本发明实施例相关的部分。图4示例的身份认证的系统300可以是前述实施例一提供的一种身份认证的方法的执行主体。图4示例的身份认证的系统300主要包括包括终端31和服务器32,详细说明如下:
终端31包括:
密钥生成单元311,用于随机生成包括签名公钥和签名私钥的签名密钥对;
证书申请单元312,用于使用密钥生成单元311生成的签名公钥向服务器申请数字证书和加密密钥对,其中,该加密密钥对包括加密公钥和加密私钥;
签名单元313,用于在与对端设备建立通话的过程中,使用密钥生成单元311生成的签名私钥对第一交互消息进行签名,并将签名后的第一交互消息发送给对端设备;
验签单元314,用于若接收到对端设备发送的第二交互消息,则通过服务器使用对端设备的数字证书进行验签;
验签成功单元315,用于若验签单元314的验签通过,则终端确认对端设备的身份合法;
服务器32包括:
证书申请处理单元321,用于处理终端31的证书申请单元312的数字证书和加密密钥对的申请;
验签处理单元322,用于根据验签单元314的请求,使用对端设备的数字证书对第二交互消息进行验签。
本实施例提供的身份认证的系统300中终端31和服务器32的各单元实现各自功能的过程,具体可参考前述图1所示实施例的描述,此处不再赘述。
从上述图3示例的身份认证的系统300可知,本实施例中,终端随机生成包括签名公钥和签名私钥的签名密钥对,并使用签名公钥向服务器申请数字证书和加密密钥对,终端在与对端设备建立通话的过程中,使用签名私钥对第一交互消息进行签名,并将签名后的第一交互消息发送给对端设备,若接收到对端设备发送的第二交互消息,则通过服务器使用对端设备的数字证书进行验签,通过这种签名和验签的过程可以验证通话双方的身份合法性,从而防止中间人攻击,并且避免了在交互消息中直接携带密钥信息可能导致的安全隐患,保证通信内容的安全传输。
实施例四:
请参阅图5,图5是本发明实施例四提供的一种身份认证的系统的示意框图。为了便于说明,仅示出了与本发明实施例相关的部分。图5示例的身份认证的系统400可以是前述实施例二提供的一种身份认证的方法的执行主体。图5示例的身份认证的系统400主要包括包括终端41和服务器42,详细说明如下:
终端41包括:
密钥生成单元411,用于随机生成包括签名公钥和签名私钥的签名密钥对;
证书申请单元412,用于使用密钥生成单元411生成的签名公钥向服务器申请数字证书和加密密钥对,其中,该加密密钥对包括加密公钥和加密私钥;
签名单元413,用于在与对端设备建立通话的过程中,使用密钥生成单元411生成的签名私钥对第一交互消息进行签名,并将签名后的第一交互消息发送给对端设备;
验签单元414,用于若接收到对端设备发送的第二交互消息,则通过服务器使用对端设备的数字证书进行验签;
验签成功单元415,用于若验签单元414的验签通过,则终端确认对端设备的身份合法;
服务器42包括:
证书申请处理单元421,用于处理终端41的证书申请单元412的数字证书和加密密钥对的申请;
验签处理单元422,用于根据验签单元414的请求,使用对端设备的数字证书对第二交互消息进行验签。
进一步地,证书申请单元412包括:
请求发送单元4121,用于向服务器42发送包含签名公钥的数字证书申请请求;
证书申请处理单元421包括:
证书生成单元4211,用于根据请求发送单元4121发送的数字证书申请请求,生成所述终端对应的数字证书和加密密钥对,加密密钥对包括加密公钥和加密私钥,数字证书包括签名证书和加密证书,加密证书包含加密公钥,签名证书包含签名公钥;
证书发送单元4212,用于将证书生成单元4211生成的数字证书和加密私钥下发给终端41;
证书申请单元412还包括:
证书接收单元4122,用于接收服务器42的证书发送单元4212下发的数字证书和加密私钥。
进一步地,证书发送单元4212,还用于使用签名公钥对证书生成单元4211生成的加密私钥进行加密,并将数字证书和加密后的加密私钥发送给终端41;
证书接收单元4122,还用于使用签名私钥对证书发送单元4212发送的加密私钥进行解密后,将数字证书、加密私钥和签名密钥对保存在安全芯片中。
进一步地,请求发送单元4121还用于:
生成包含签名公钥的证书请求文件;
将证书请求文件发送给服务器42。
进一步地,验签单元414,还用于若接收到对端设备发送的第二交互消息,则将第二交互消息发送给服务器42,其中,第二交互消息由对端设备使用对端设备的签名私钥进行签名;
验签处理单元422,还用于使用对端设备的数字证书对第二交互消息进行验签,并将验签结果返回给终端41。
本实施例提供的身份认证的系统400中终端41和服务器42的各单元实现各自功能的过程,具体可参考前述图2所示实施例的描述,此处不再赘述。
从上述图5示例的身份认证的系统400可知,本实施例中,终端随机生成包括签名公钥和签名私钥的签名密钥对,并使用签名公钥向服务器申请数字证书和加密密钥对,服务器生成终端对应的数字证书和加密密钥对后,使用终端的签名公钥对加密私钥进行加密,并将数字证书和加密后的加密私钥通过证书请求文件下发给终端,这种申请方式保证了数字证书的合法生成,以及数字证书和加密私钥在传输过程中的安全性;终端在与对端设备建立通话的过程中,使用签名私钥对第一交互消息进行签名,并将签名后的第一交互消息发送给对端设备,若接收到对端设备发送的第二交互消息,则通过服务器使用对端设备的数字证书进行验签,通过这种签名和验签的过程可以验证通话双方的身份合法性,从而防止中间人攻击,并且避免了在交互消息中直接携带密钥信息可能导致的安全隐患,保证通信内容的安全传输。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的【系统】、终端和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的【系统】、终端和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (8)
1.一种身份认证的方法,其特征在于,所述方法包括:
终端随机生成包括签名公钥和签名私钥的签名密钥对;
所述终端使用所述签名公钥向服务器申请数字证书和加密密钥对,其中,所述加密密钥对包括加密公钥和加密私钥;
所述终端在与对端设备建立通话的过程中,使用所述签名私钥对第一交互消息进行签名,并将签名后的所述第一交互消息发送给所述对端设备;
所述终端若接收到所述对端设备发送的第二交互消息,则通过所述服务器使用所述对端设备的数字证书进行验签;
若所述验签通过,则所述终端确认所述对端设备的身份合法;
所述终端使用所述签名公钥向服务器申请数字证书和加密密钥对包括:
所述终端向所述服务器发送包含所述签名公钥的数字证书申请请求;
所述服务器根据所述数字证书申请请求,生成所述终端对应的数字证书和加密密钥对,所述加密密钥对包括加密公钥和加密私钥,所述数字证书包括签名证书和加密证书,所述加密证书包含所述加密公钥,所述签名证书包含所述签名公钥;
所述服务器将所述数字证书和所述加密私钥下发给所述终端。
2.根据权利要求1所述的方法,其特征在于,所述服务器将所述数字证书和所述加密私钥下发给所述终端包括:
所述服务器使用所述签名公钥对所述加密私钥进行加密,并将所述数字证书和加密后的所述加密私钥发送给所述终端;
所述终端使用所述签名私钥对所述加密私钥进行解密后,将所述数字证书、所述加密私钥和所述签名密钥对保存在安全芯片中。
3.根据权利要求1或2所述的方法,其特征在于,所述终端向服务器发送包含所述签名公钥的数字证书申请请求包括:
所述终端生成包含所述签名公钥的证书请求文件;
所述终端将所述证书请求文件发送给所述服务器。
4.根据权利要求1或2所述的方法,其特征在于,所述终端若接收到所述对端设备发送的第二交互消息,则通过所述服务器使用所述对端设备的数字证书进行验签包括:
所述终端若接收到所述对端设备发送的所述第二交互消息,则将所述第二交互消息发送给所述服务器,其中,所述第二交互消息由所述对端设备使用所述对端设备的签名私钥进行签名;
所述服务器使用所述对端设备的数字证书对所述第二交互消息进行验签,并将验签结果返回给所述终端。
5.一种身份认证的系统,其特征在于,所述系统包括终端和服务器;
所述终端包括:
密钥生成单元,用于随机生成包括签名公钥和签名私钥的签名密钥对;
证书申请单元,用于使用所述签名公钥向服务器申请数字证书和加密密钥对,其中,所述加密密钥对包括加密公钥和加密私钥;
签名单元,用于在与对端设备建立通话的过程中,使用所述签名私钥对第一交互消息进行签名,并将签名后的所述第一交互消息发送给所述对端设备;
验签单元,用于若接收到所述对端设备发送的第二交互消息,则通过所述服务器使用所述对端设备的数字证书进行验签;
验签成功单元,用于若所述验签通过,则所述终端确认所述对端设备的身份合法;
所述服务器包括:
证书申请处理单元,用于处理所述终端的数字证书和加密密钥对的申请;
验签处理单元,用于使用所述对端设备的数字证书对所述第二交互消息进行验签;
所述证书申请单元包括:
请求发送单元,用于向所述服务器发送包含所述签名公钥的数字证书申请请求;
所述证书申请处理单元包括:
证书生成单元,用于根据所述数字证书申请请求,生成所述终端对应的数字证书和加密密钥对,所述加密密钥对包括加密公钥和加密私钥,所述数字证书包括签名证书和加密证书,所述加密证书包含所述加密公钥,所述签名证书包含所述签名公钥;
证书发送单元,用于将所述数字证书和所述加密私钥下发给所述终端;
所述证书申请单元还包括:
证书接收单元,用于接收所述服务器下发的所述数字证书和所述加密私钥。
6.根据权利要求5所述的系统,其特征在于,
所述证书发送单元,还用于使用所述签名公钥对所述加密私钥进行加密,并将所述数字证书和加密后的所述加密私钥发送给所述终端;
所述证书接收单元,还用于使用所述签名私钥对所述加密私钥进行解密后,将所述数字证书、所述加密私钥和所述签名密钥对保存在安全芯片中。
7.根据权利要求5或6所述的系统,其特征在于,所述请求发送单元还用于:
生成包含所述签名公钥的证书请求文件;
将所述证书请求文件发送给所述服务器。
8.根据权利要求5或6所述的系统,其特征在于,
所述验签单元,还用于若接收到所述对端设备发送的所述第二交互消息,则将所述第二交互消息发送给所述服务器,其中,所述第二交互消息由所述对端设备使用所述对端设备的签名私钥进行签名;
所述验签处理单元,还用于使用所述对端设备的数字证书对所述第二交互消息进行验签,并将验签结果返回给所述终端。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610908734.9A CN106453330B (zh) | 2016-10-18 | 2016-10-18 | 一种身份认证的方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610908734.9A CN106453330B (zh) | 2016-10-18 | 2016-10-18 | 一种身份认证的方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106453330A CN106453330A (zh) | 2017-02-22 |
CN106453330B true CN106453330B (zh) | 2019-11-12 |
Family
ID=58175374
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610908734.9A Active CN106453330B (zh) | 2016-10-18 | 2016-10-18 | 一种身份认证的方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106453330B (zh) |
Families Citing this family (34)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7136903B2 (ja) | 2017-10-22 | 2022-09-13 | エルジー エレクトロニクス インコーポレイティド | デジタル認証書を管理するための暗号化方法及びそのシステム |
CN109756447B (zh) * | 2017-11-01 | 2022-03-29 | 华为技术有限公司 | 一种安全认证方法及相关设备 |
CN108494557B (zh) * | 2018-02-07 | 2020-03-20 | 平安科技(深圳)有限公司 | 社保数字证书管理方法、计算机可读存储介质及终端设备 |
CN108429740B (zh) | 2018-02-12 | 2020-08-07 | 华为技术有限公司 | 一种获得设备标识的方法及装置 |
CN110198538B (zh) * | 2018-02-26 | 2022-02-18 | 北京华为数字技术有限公司 | 一种获得设备标识的方法及装置 |
CN110519545B (zh) * | 2018-05-22 | 2021-11-23 | 中兴通讯股份有限公司 | 会议权限控制方法及系统、服务器、终端、存储介质 |
CN111342968B (zh) * | 2018-12-18 | 2023-04-07 | 武汉信安珞珈科技有限公司 | 一种颁发双数字证书的方法和系统 |
CN111342955B (zh) * | 2018-12-19 | 2023-04-18 | 北京沃东天骏信息技术有限公司 | 一种通信方法及其设备、计算机存储介质 |
EP3697019A1 (de) * | 2019-02-12 | 2020-08-19 | Siemens Aktiengesellschaft | Verfahren zur bereitstellung eines herkunftsortnachweises für ein digitales schlüsselpaar |
CN111628860B (zh) * | 2019-02-28 | 2023-08-08 | 武汉信安珞珈科技有限公司 | 一种双密钥体系数字证书的生成方法和应用方法 |
CN110401535B (zh) * | 2019-07-19 | 2023-03-10 | 广州优路加信息科技有限公司 | 数字证书生成、安全通信、身份认证方法及装置 |
CN110417798B (zh) * | 2019-08-05 | 2022-03-08 | 斑马网络技术有限公司 | 终端设备与车机的通信方法和装置 |
CN112654039B (zh) * | 2019-09-25 | 2024-03-01 | 紫光同芯微电子有限公司 | 一种终端的合法性鉴别方法、装置及系统 |
CN110650160B (zh) * | 2019-10-29 | 2022-01-04 | 北京天威诚信电子商务服务有限公司 | 一种身份认证方法及系统 |
CN110768795B (zh) * | 2019-10-30 | 2022-09-13 | 迈普通信技术股份有限公司 | 一种会话建立方法及装置 |
CN111031047B (zh) * | 2019-12-16 | 2022-08-12 | 中国南方电网有限责任公司 | 设备通信方法、装置、计算机设备及存储介质 |
CN111192047B (zh) * | 2019-12-26 | 2023-10-20 | 天地融科技股份有限公司 | 基于非对称算法的车载单元收费方法 |
CN111212050B (zh) * | 2019-12-27 | 2022-07-26 | 航天信息股份有限公司企业服务分公司 | 一种基于数字证书对数据进行加密传输的方法及系统 |
EP3866428B1 (en) * | 2020-02-13 | 2021-12-29 | Axis AB | A method for re-provisioning a digital security certificate and a system and a non-transitory computer program product thereof |
CN111654728B (zh) * | 2020-04-17 | 2023-10-20 | 视联动力信息技术股份有限公司 | 一种证书更新的方法和装置 |
CN111612443B (zh) * | 2020-04-30 | 2024-04-16 | 沈阳数云科技有限公司 | 一种公积金业务办理方法、系统、设备及可读存储介质 |
CN111931158A (zh) * | 2020-08-10 | 2020-11-13 | 深圳大趋智能科技有限公司 | 一种双向认证方法、终端以及服务器 |
CN114362951B (zh) * | 2020-10-13 | 2024-05-17 | 花瓣云科技有限公司 | 用于更新证书的方法和装置 |
CN114598455A (zh) * | 2020-12-04 | 2022-06-07 | 华为技术有限公司 | 数字证书签发的方法、装置、终端实体和系统 |
CN112487380B (zh) * | 2020-12-16 | 2024-04-05 | 江苏国科微电子有限公司 | 一种数据交互方法、装置、设备及介质 |
CN112995140B (zh) * | 2021-02-04 | 2023-03-24 | 中国神华能源股份有限公司国华电力分公司 | 安全管理系统及方法 |
WO2022178890A1 (zh) * | 2021-02-27 | 2022-09-01 | 华为技术有限公司 | 一种密钥的传输方法和装置 |
CN114218548B (zh) * | 2021-12-14 | 2022-08-19 | 北京海泰方圆科技股份有限公司 | 身份验证证书生成方法、认证方法、装置、设备及介质 |
CN114338012A (zh) * | 2021-12-31 | 2022-04-12 | 渔翁信息技术股份有限公司 | 密钥申请方法及装置、电子设备、计算机可读存储介质 |
CN114553430B (zh) * | 2022-01-21 | 2024-02-06 | 华北电力大学 | 一种基于sdp的电力业务终端的安全接入系统 |
CN115242396B (zh) * | 2022-06-06 | 2024-08-20 | 东信和平科技股份有限公司 | 无人机认证方法、系统、电子设备及存储介质 |
CN115296890B (zh) * | 2022-08-02 | 2024-03-12 | 浙江浙科信息技术有限公司 | 一种终端应用间数据安全交互方法及系统 |
CN115022092B (zh) * | 2022-08-05 | 2022-11-11 | 中汽数据(天津)有限公司 | 车辆软件升级方法、设备和存储介质 |
CN116155515B (zh) * | 2023-04-20 | 2023-07-28 | 中汽智联技术有限公司 | 类型可选的双密钥证书生成方法、电子设备和存储介质 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101442411A (zh) * | 2008-12-23 | 2009-05-27 | 中国科学院计算技术研究所 | 一种p2p网络中对等用户结点间的身份认证方法 |
CN102427449B (zh) * | 2011-11-04 | 2014-04-09 | 北京工业大学 | 一种基于安全芯片的可信移动存储方法 |
CN103001976A (zh) * | 2012-12-28 | 2013-03-27 | 中国科学院计算机网络信息中心 | 一种安全的网络信息传输方法 |
CN103095456B (zh) * | 2013-01-10 | 2016-07-06 | 天地融科技股份有限公司 | 交易报文的处理方法和系统 |
-
2016
- 2016-10-18 CN CN201610908734.9A patent/CN106453330B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN106453330A (zh) | 2017-02-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106453330B (zh) | 一种身份认证的方法和系统 | |
KR101759193B1 (ko) | 안전한 전자 거래를 위한 네트워크 인증 방법 | |
CN101414909B (zh) | 网络应用用户身份验证系统、方法和移动通信终端 | |
CN106535184A (zh) | 一种密钥管理的方法和系统 | |
CN108924147B (zh) | 通信终端数字证书签发的方法、服务器以及通信终端 | |
CN104967597B (zh) | 一种基于安全渠道的第三方应用消息鉴权方法及系统 | |
CN109600223A (zh) | 验证方法、激活方法、装置、设备及存储介质 | |
US9344896B2 (en) | Method and system for delivering a command to a mobile device | |
CN107086984A (zh) | 一种获取和生成验证码的方法、终端及服务器 | |
US8302175B2 (en) | Method and system for electronic reauthentication of a communication party | |
CN101577917A (zh) | 一种安全的基于手机的动态密码验证方法 | |
CN112187466B (zh) | 一种身份管理方法、装置、设备及存储介质 | |
CN112651036B (zh) | 基于协同签名的身份认证方法及计算机可读存储介质 | |
CN112989426B (zh) | 授权认证方法及装置、资源访问令牌的获取方法 | |
CN106686585A (zh) | 一种绑定方法和系统 | |
EP3029879A1 (en) | Information processing device, information processing method, and computer program | |
CN112765626A (zh) | 基于托管密钥授权签名方法、装置、系统及存储介质 | |
CN108718323A (zh) | 一种身份认证方法和系统 | |
CN103139179A (zh) | 多通道主动式网络身份验证系统及网络身份验证装置 | |
CN103368918A (zh) | 一种动态口令认证方法、装置及系统 | |
CN110176989A (zh) | 基于非对称密钥池的量子通信服务站身份认证方法和系统 | |
CN104753879B (zh) | 终端认证云服务提供者的方法及系统、云服务提供者认证终端的方法及系统 | |
CN109005187A (zh) | 一种通信信息保护方法及装置 | |
CN102752308A (zh) | 通过网络提供数字证书综合业务系统及其实现方法 | |
CN109743338A (zh) | 一种自动登陆的验证方法、系统、服务器及可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20210527 Address after: 518057 Desai Science and Technology Building, 9789 Shennan Avenue, Yuehai Street, Nanshan District, Shenzhen City, Guangdong Province, 17th Floor (15th Floor of Natural Floor) 1702-1703 Patentee after: Shenzhen Microphone Holdings Co.,Ltd. Address before: 518040 21 floor, east block, Times Technology Building, 7028 Shennan Road, Futian District, Shenzhen, Guangdong. Patentee before: DONGGUAN GOLDEX COMMUNICATION TECHNOLOGY Co.,Ltd. |