CN106603234A - 一种设备身份认证的方法、装置和系统 - Google Patents
一种设备身份认证的方法、装置和系统 Download PDFInfo
- Publication number
- CN106603234A CN106603234A CN201510662102.4A CN201510662102A CN106603234A CN 106603234 A CN106603234 A CN 106603234A CN 201510662102 A CN201510662102 A CN 201510662102A CN 106603234 A CN106603234 A CN 106603234A
- Authority
- CN
- China
- Prior art keywords
- data
- equipment
- random number
- certified equipment
- certified
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
Abstract
本发明提供了一种设备身份认证的方法、装置和系统,其中方法包括:被认证设备获取预先写入被认证设备的设备密钥,其中设备密钥由认证设备和被认证设备预先约定;利用设备密钥对第一数据进行签名和/或加密,得到第二数据,其中第一数据包含被认证设备与认证设备约定的随机数;利用第二数据和被认证设备的身份标识,生成认证码并发送给认证设备。认证设备利用与被认证设备的身份标识对应的设备密钥,对认证码包含的第二数据进行签名验证和/或解密;利用签名验证和/或解密得到的随机数,对被认证设备进行认证。本发明能够解决在认证过程中设备身份标识极易被伪造和篡改所带来的身份认证问题。
Description
【技术领域】
本发明涉及计算机应用技术领域,特别涉及一种设备身份认证的方法、装置和系统。
【背景技术】
IMEI(International Mobile Equipment Identity,移动设备国际身份码)是在硬件出厂时固化在设备中的,不可更改和擦除,但由于任何人都能够获取到IMEI号,也就是说,IMEI号对外是明文存在的,所以只能解决销售过程中的设备身份问题。当设备入网后,由于IMEI号容易被应用获取,因此在进行网络身份认证时,IMEI号极易被伪造和篡改,无法满足网络上对设备的身份认证需求。
【发明内容】
有鉴于此,本发明提供了一种设备身份认证的方法、装置和系统,解决在认证过程中设备身份标识极易被伪造和篡改所带来的身份认证问题。
具体技术方案如下:
本发明提供了一种设备身份认证的方法,该方法包括:
被认证设备获取预先写入所述被认证设备的设备密钥,其中所述设备密钥由所述认证设备和所述被认证设备预先约定;
利用所述设备密钥对第一数据进行签名和/或加密,得到第二数据,其中所述第一数据包含所述被认证设备与认证设备约定的随机数;
利用所述第二数据和所述被认证设备的身份标识,生成认证码并发送给所述认证设备。
根据本发明一优选实施方式,所述被认证设备获取预先写入所述被认证设备的设备密钥包括:
所述被认证设备从自身的安全存储中获取预先写入的设备密钥;或者,
从自身的安全存储中获取预先写入的设备密钥和身份标识。
根据本发明一优选实施方式,该方法还包括:
所述被认证设备确定与认证设备约定的随机数。
根据本发明一优选实施方式,所述被认证设备确定与认证设备约定的随机数包括:
所述被认证设备向所述认证设备请求随机数;
接收所述认证设备返回的随机数。
根据本发明一优选实施方式,接收所述认证设备返回的随机数包括:
利用服务端密钥对所述认证设备返回的加密后的随机数进行解密,其中所述服务端密钥由所述认证设备与所述被认证设备预先约定。
根据本发明一优选实施方式,所述被认证设备确定与认证设备约定的随机数包括:
所述被认证设备获取预先与所述认证设备约定的随机数种子;
基于所述随机数种子,采用预先与所述认证设备约定的算法生成随机数。
根据本发明一优选实施方式,所述随机数种子包括:所述被认证设备与认证设备预先约定的密钥信息;
预先与所述认证设备约定的算法包括:基于时间的一次性密码算法TOTP。
根据本发明一优选实施方式,利用所述设备密钥对第一数据进行签名和/或加密包括:
利用所述设备密钥对所述第一数据进行签名,得到第二数据;或者,
利用所述设备密钥对所述第一数据进行加密,得到第二数据;或者,
利用服务端密钥对所述第一数据进行加密,得到密文数据,利用所述设备密钥对所述密文数据进行签名,得到第二数据;或者,
利用所述设备密钥对所述第一数据进行签名,得到签名数据,利用服务端密钥对签名数据进行加密,得到第二数据;
其中,所述服务端密钥由所述认证设备和所述被认证设备预先约定。
根据本发明一优选实施方式,所述被认证设备的身份标识由所述认证设备生成并预先提供给所述被认证设备。
根据本发明一优选实施方式,所述获取预先写入所述被认证设备的设备密钥,利用所述设备密钥对第一数据进行签名和/或加密,以及利用所述第二数据和所述被认证设备的身份标识,生成认证码的步骤在可信执行环境下执行。
根据本发明一优选实施方式,所述设备密钥为设备私钥,所述认证设备保存有与所述设备私钥对应的设备公钥。
根据本发明一优选实施方式,所述服务端密钥为服务端公钥,所述认证设备保存有与所述服务端公钥对应的服务端私钥。
本发明还提供了一种设备身份认证的方法,该方法包括:
认证设备接收被认证设备发送的认证码;
利用与所述被认证设备的身份标识对应的设备密钥,对所述认证码包含的第二数据进行签名验证和/或解密,其中所述设备密钥由认证设备和被认证设备预先约定;
利用所述签名验证和/或解密得到的随机数,对所述被认证设备进行认证。
根据本发明一优选实施方式,该方法还包括:
所述认证设备从所述认证码中解析得到所述被认证设备的身份标识;
利用预先存储的所述被认证设备的身份标识与设备密钥之间的对应关系,确定所述被认证设备的身份标识对应的设备密钥。
根据本发明一优选实施方式,利用与所述被认证设备的身份标识对应的设备密钥,对所述认证码包含的第二数据进行签名验证和/或解密包括:
利用所述设备密钥对所述第二数据包含的第一数据进行签名,将得到的签名数据与所述第二数据包含的签名数据进行比对,如果一致,则确定签名验证通过,从所述第一数据中获取随机数,否则确定签名验证失败;或者,
利用所述设备密钥对所述第二数据进行解密,得到第一数据,从所述第一数据中获取随机数;或者,
利用所述设备密钥对所述第二数据包含的密文数据进行签名,将得到的签名数据与所述第二数据包含的签名数据进行比对,如果一致,则确定签名验证通过,利用服务端密钥对所述密文数据进行解密,得到随机数,否则确定签名验证失败;或者,
利用服务端密钥对所述第二数据进行解密,得到签名数据和第一数据,利用所述设备密钥对所述第一数据进行签名,将签名得到的签名数据与解密得到的签名数据进行比对,如果一致,则确定签名验证通过,从所述第一数据中获取随机数,否则确定签名验证失败。
根据本发明一优选实施方式,利用所述签名验证和/或解密得到的随机数,对所述被认证设备进行认证包括:
将所述认证设备与所述被认证设备约定的随机数与所述得到的随机数进行比对,如果一致,则确定对所述被认证设备的认证通过,否则确定对所述被认证设备的认证失败。
根据本发明一优选实施方式,该方法还包括:
所述认证设备确定与所述被认证设备约定的随机数。
根据本发明一优选实施方式,所述认证设备确定与所述被认证设备约定的随机数包括:
所述认证设备接收所述被认证设备获取随机数的请求;
向所述被认证设备返回随机数。
根据本发明一优选实施方式,向所述被认证设备返回随机数包括:
利用服务端密钥对所述随机数进行加密,将加密后的随机数返回给所述被认证设备,所述服务端密钥由所述认证设备和所述被认证设备预先约定。
根据本发明一优选实施方式,所述认证设备确定与所述被认证设备约定的随机数包括:
所述认证设备获取预先与所述被认证设备约定的随机数种子;
基于所述随机数种子,采用预先与所述被认证设备约定的算法生成随机数。
根据本发明一优选实施方式,所述随机数种子包括:所述认证设备与所述被认证设备预先约定的密钥信息;
预先与所述被认证设备约定的算法包括:基于时间的一次性密码算法TOTP。
根据本发明一优选实施方式,该方法还包括:
所述认证设备预先针对所述被认证设备生成身份标识,并将所述被认证设备的身份标识提供给所述被认证设备。
根据本发明一优选实施方式,所述设备密钥为设备公钥,在所述被认证设备中预先写入有与所述设备公钥对应的设备私钥。
根据本发明一优选实施方式,所述服务端密钥为服务端私钥,在所述被认证设备中保存有与所述服务端私钥对应的服务端公钥。
本发明还提供了一种设备身份认证的装置,该装置设置于被认证设备,该装置包括:
密钥获取单元,用于获取预先写入所述被认证设备的设备密钥,其中所述设备密钥由所述认证设备和所述被认证设备预先约定;
认证码生成单元,用于利用所述设备密钥对第一数据进行签名和/或加密,得到第二数据,其中所述第一数据包含所述被认证设备与认证设备约定的随机数;利用所述第二数据和所述被认证设备的身份标识,生成认证码;
认证请求单元,用于将所述认证码发送给所述认证设备。
根据本发明一优选实施方式,所述密钥获取单元,具体用于在所述认证请求单元的触发下,从所述被认证设备的安全存储中获取预先写入的设备密钥。
根据本发明一优选实施方式,该装置还包括:
标识获取单元,用于在所述认证请求单元的触发下,从所述被认证设备的安全存储中获取预先写入的身份标识,并提供给所述认证码生成单元。
根据本发明一优选实施方式,所述认证码生成单元,还用于确定所述被认证设备与所述认证设备约定的随机数。
根据本发明一优选实施方式,所述认证码生成单元在确定所述被认证设备与所述认证设备约定的随机数时,具体执行:
向所述认证设备请求随机数;
接收所述认证设备返回的随机数。
根据本发明一优选实施方式,所述认证码生成单元在接收所述认证设备返回的随机数时,具体用于利用服务端密钥对所述认证设备返回的加密后的随机数进行解密,其中所述服务端密钥由所述认证设备与所述被认证设备预先约定。
根据本发明一优选实施方式,所述认证码生成单元在确定所述被认证设备与所述认证设备约定的随机数时,具体执行:
获取预先与所述认证设备约定的随机数种子;
基于所述随机数种子,采用预先与所述认证设备约定的算法生成随机数。
根据本发明一优选实施方式,所述随机数种子包括:所述被认证设备与认证设备预先约定的密钥信息;
预先与所述认证设备约定的算法包括:基于时间的一次性密码算法TOTP。
根据本发明一优选实施方式,所述认证码生成单元在利用所述设备密钥对第一数据进行签名和/或加密时,具体执行:
利用所述设备密钥对所述第一数据进行签名,得到第二数据;或者,
利用所述设备密钥对所述第一数据进行加密,得到第二数据;或者,
利用服务端密钥对所述第一数据进行加密,得到密文数据,利用所述设备密钥对所述密文数据进行签名,得到第二数据;或者,
利用所述设备密钥对所述第一数据进行签名,得到签名数据,利用服务端密钥对签名数据进行加密,得到第二数据;
其中,所述服务端密钥由所述认证设备与所述被认证设备预先约定。
根据本发明一优选实施方式,所述被认证设备的身份标识由所述认证设备生成并预先提供给所述被认证设备。
根据本发明一优选实施方式,所述密钥获取单元和所述认证码生成单元设置于可信执行环境。
根据本发明一优选实施方式,所述设备密钥为设备私钥,所述认证设备保存有与所述设备私钥对应的设备公钥。
根据本发明一优选实施方式,所述服务端密钥为服务端公钥,所述认证设备保存有与所述服务端公钥对应的服务端私钥。
本发明还提供了一种设备身份认证的装置,该装置设置于认证设备,该装置包括:
接收单元,用于接收被认证设备发送的认证码;
处理单元,用于利用与所述被认证设备的身份标识对应的设备密钥,对所述认证码包含的第二数据进行签名验证和/或解密,其中所述设备密钥由认证设备和被认证设备预先约定;
认证单元,用于利用所述处理单元进行签名验证和/或解密得到的随机数,对所述被认证设备进行认证。
根据本发明一优选实施方式,所述处理单元,还用于从所述认证码中解析得到所述被认证设备的身份标识,利用预先存储的所述被认证设备的身份标识与设备密钥之间的对应关系,确定所述被认证设备的身份标识对应的设备密钥。
根据本发明一优选实施方式,所述处理单元,具体用于:
利用所述设备密钥对所述第二数据包含的第一数据进行签名,将得到的签名数据与所述第二数据包含的签名数据进行比对,如果一致,则确定签名验证通过,从所述第一数据中获取随机数,否则确定签名验证失败;或者,
利用所述设备密钥对所述第二数据进行解密,得到第一数据,从所述第一数据中获取随机数;或者,
利用所述设备密钥对所述第二数据包含的密文数据进行签名,将得到的签名数据与所述第二数据包含的签名数据进行比对,如果一致,则确定签名验证通过,利用服务端密钥对所述密文数据进行解密,得到随机数,否则确定签名验证失败;或者,
利用服务端密钥对所述第二数据进行解密,得到签名数据和第一数据,利用所述设备密钥对所述第一数据进行签名,将签名得到的签名数据与解密得到的签名数据进行比对,如果一致,则确定签名验证通过,从所述第一数据中获取随机数,否则确定签名验证失败。
根据本发明一优选实施方式,所述认证单元具体用于:
将所述认证设备与所述被认证设备约定的随机数与所述处理单元得到的随机数进行比对,如果一致,则确定对所述被认证设备的认证通过,否则确定对所述被认证设备的认证失败。
根据本发明一优选实施方式,该装置还包括:随机数确定单元,用于确定所述认证设备与所述被认证设备约定的随机数。
根据本发明一优选实施方式,所述随机数确定单元,具体用于:
接收所述被认证设备获取随机数的请求;
向所述被认证设备返回随机数。
根据本发明一优选实施方式,所述随机数确定单元在向所述被认证设备返回随机数时,具体执行:
利用服务端密钥对所述随机数进行加密,将加密后的随机数返回给所述被认证设备,所述服务端密钥由所述认证设备和所述被认证设备预先约定。
根据本发明一优选实施方式,所述随机数确定单元,具体用于:
获取预先与所述被认证设备约定的随机数种子;
基于所述随机数种子,采用预先与所述被认证设备约定的算法生成随机数。
根据本发明一优选实施方式,所述随机数种子包括:所述认证设备与所述被认证设备预先约定的密钥信息;
预先与所述被认证设备约定的算法包括:基于时间的一次性密码算法TOTP。
根据本发明一优选实施方式,该装置还包括:
标识生成单元,用于预先针对所述被认证设备生成身份标识,并将所述被认证设备的身份标识提供给所述被认证设备。
根据本发明一优选实施方式,所述设备密钥为设备公钥,在所述被认证设备中预先写入有与所述设备公钥对应的设备私钥。
根据本发明一优选实施方式,所述服务端密钥为服务端私钥,在所述被认证设备中保存有与所述服务端私钥对应的服务端公钥。
本发明还提供了一种设备身份认证的系统,该系统包括被认证设备和认证设备。
由以上技术方案可以看出,本发明中被认证设备使用预先写入被认证设备的设备密钥对包含随机数的数据进行签名和/或加密的方式形成认证码,使用该认证码进行被认证设备的身份认证,即便被认证设备的身份标识被篡改和泄露,但由于设备密钥和随机数只有被认证设备与认证设备之间约定,具有唯一性,因此能够满足对被认证设备的身份认证需求。
【附图说明】
图1为本发明实施例提供的系统结构图;
图2为本发明实施例提供的被认证设备执行的第一种方法流程图;
图3为本发明实施例提供的认证设备执行的第一种方法流程图;
图4为本发明实施例提供的被认证设备执行的第二种方法流程图;
图5为本发明实施例提供的认证设备执行的第二种方法流程图;
图6为本发明实施例提供的被认证设备执行的第三种方法流程图;
图7为本发明实施例提供的认证设备执行的第三种方法流程图;
图8为本发明实施例提供的一种装置结构图;
图9为本发明实施例提供的另一种装置结构图。
【具体实施方式】
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
本发明所基于的系统可以如图1中所示,主要包括被认证设备和认证设备。其中被认证设备可以是任意的物理设备,可以包括但不限于:手机、电脑、网络设备、智能家居设备、可穿戴设备、智能医疗器械等。其中电脑可以包括但不限于PC、笔记本电脑、平板电脑等。网络设备可以包括但不限于路由器、交换机、网卡、集线器等。智能家居设备可以包括但不限于智能电视、智能空调、智能加湿器、智能热水器、智能厨电设备、智能门窗、智能空气净化器等。可穿戴设备可以包括但不限于:智能手环、智能手表、智能眼镜等等。智能医疗器械可以包括但不限于:智能血压计、智能体重计、智能血糖仪、智能按摩椅等。认证设备可以是服务端的设备或设备集群,例如服务器或服务器集群的形式。
在本发明实施例中,预先在被认证设备中写入被认证设备的设备密钥,如果在本发明实施例中,采用对称式加/解密方式,那么在认证设备中保存有同样的设备密钥,该设备密钥由被认证设备和认证设备预先约定,且只有认证设备和被认证设备获知,其他设备无法得到。如果在本发明实施例中采用非对称式加/解密方式,那么写入被认证设备的设备密钥可以是设备私钥,那么在认证设备中保存有与该被认证设备的设备私钥对应的设备公钥,该设备私钥和设备公钥构成一组密钥对。该设备私钥只有被认证设备和认证设备获知,其他设备无法得到。该设备密钥主要用于生成认证码发送给认证设备,以进行被认证设备的身份认证。
被认证设备端开始进行身份认证时,可以执行如图2中所示的流程。图2为本发明实施例提供的被认证设备执行的第一种方法流程图,在本实施例中以非对称式加解密方式为例进行描述,如图2中所示,该方法可以包括以下步骤:
在201中,被认证设备获取预先写入被认证设备的设备私钥。
触发被认证设备开始进行身份认证的时机有很多,可以根据实际的业务需求进行定制,例如被认证设备第一次开机时,在设备激活过程中需要进行身份认证;再例如被认证设备中某应用要请求对应的服务时,可以触发身份认证,只有身份认证通过的被认证设备才能够获取到对应的服务,等等。
当被认证设备被触发进行身份认证时,可以获取预先被写入的设备私钥。在本发明实施例中,为了保证设备私钥的安全性,可以在安全存储中保存设备私钥。安全存储可以是利用诸如ARM TrustZone或Secure Element或TI M-Shield等机制在硬件上隔离出的安全区域,也可以是利用虚拟化机制隔离出一个独立的安全环境,安全存储保证了存入的设备私钥不可篡改和擦除。无论采用哪种方式,目的是为了提供一个可信执行环境来进行私钥的获取和认证码的生成,可信执行环境保证了设备私钥的私密性。
在本发明实施例中,为了实现身份认证可以预先在被认证设备中写入以下信息:
1)设备私钥。
2)被认证设备的身份标识。
3)服务端公钥。
其中设备私钥和被认证设备的身份标识是必须的信息,服务端公钥是可选的信息。如上面已经提及的,设备私钥由认证设备与被认证设备预先约定,并在被认证设备端预先写入安全存储,同时认证设备端保存有与设备私钥对应的设备公钥。被认证设备的身份标识用于唯一标识被认证设备,可以采用但不限于:被认证设备的IMEI、MAC地址等等。作为一种优选的实施方式,被认证设备的身份标识可以由认证设备生成,并提供给被认证设备,例如提供给标识写入设备,由标识写入设备将被认证设备的身份标识写入被认证设备。其中,被认证设备的身份标识和服务端公钥也可以存储于安全存储。
上述的服务端公钥也是以非对称加解密方式为例,相应地,在认证设备端保存有对应的服务端私钥。如果采用对称加解密方式,那么在认证设备和被认证设备都保存有相同的服务端密钥。
本发明实施例中涉及的“写入”可以采用但不限于烧录至设备芯片的方式。设备私钥和设备公钥对可以预先由认证设备生成,并在被认证设备出厂时将其中的设备私钥提供给被认证设备;也可以由被认证设备在出厂时生成设备私钥和设备公钥对,然后将其中的设备公钥提供给认证设备。服务端私钥和服务端私钥同样可以由认证设备生成,并在被认证设备出厂时将其中的服务端公钥提供给被认证设备;也可以由被认证设备在出厂时生成服务端私钥和服务端公钥对,然后将其中的服务端私钥提供给认证设备。
在202中,利用设备私钥对第一数据进行签名,得到第二数据,其中第一数据包含被认证设备与认证设备约定的随机数。
被认证设备除了获取设备私钥之外,在生成认证码时,还需要确定与认证设备约定的随机数。在本发明实施例中,随机数的确定可以采用但不限于以下两种方式:
第一种方式为实时请求的方式,即被认证设备向认证设备请求随机数,由认证设备针对该被认证设备生成一个随机数,并返回给被认证设备。为了保证随机数的安全性,认证设备在返回随机数时,可以采用服务端私钥对随机数进行加密,被认证设备利用服务端公钥对随机数进行解密。
其中,服务端公钥可以由认证设备预先提供给被认证设备。例如,认证设备可以预先生成一组密钥对,即服务端公钥和服务端私钥,将其中的服务端公钥提供给被认证设备。
第二种方式为两端采用同步生成随机数的方式。即被认证设备获取与认证设备预先约定的随机数种子,基于该随机数种子,采用预先与认证设备约定的算法生成随机数。相应地,在认证设备端也可以采用相同的随机数种子和算法生成相同的随机数。
其中,上述随机数种子可以是被认证设备与认证设备预先约定的密钥信息,上述生成随机数的算法可以采用诸如TOTP(Time-based One TimePassword Algorithm,基于时间的一次性密码算法)。TOTP算法通过在认证设备和被认证设备之间约定一个起始时间戳T0,以及间隔时间TS;把当前时间戳减去T0,用得到的时间差除以TS并取整,可以得到整数TC;然后利用TC和约定的密钥信息K进行哈希运算,就可以得到随机数password。在此不对TOTP进行详细说明,当然除了TOTP算法之外,也可以采用其他算法,只要保证认证设备和被认证设备能够生成同样的随机数即可。
上述第一数据除了包含随机数之外,还可以包含其他数据,例如设备的厂商信息、身份标识等等其他设备相关信息。
在本步骤中利用设备私钥对第一数据进行签名,例如利用设备私钥对第一数据进行哈希运算,得到签名数据,该签名数据只有利用与该设备私钥对应的设备公钥才能够进行签名验证。再由第一数据和签名数据构成第二数据,其中第一数据为明文数据,签名数据为密文数据。
在203中,利用第二数据和被认证设备的身份标识,生成认证码并发送给认证设备。
在本实施例中,发送给认证设备的认证码包含利用设备私钥对随机数进行签名之后的第二数据以及被认证设备的身份标识。
对应于图2所示的实施例,认证设备端执行的认证流程可以如图3中所示。图3为本发明实施例提供的认证设备执行的第一种方法流程图,如图3中所示,可以包括以下步骤:
在301中,认证设备接收被认证设备发送的认证码。
认证设备从该认证码中可以解析得到第二数据和被认证设备的身份标识。
在302中,利用与被认证设备的身份标识对应的设备公钥,对认证码包含的第二数据进行签名验证。
在认证设备端保存有被认证设备的身份标识与设备公钥之间的对应关系,利用该对应关系可以确定出被认证设备的身份标识对应的设备公钥。
在利用设备公钥进行签名验证时,可以利用设备公钥对第二数据包含的第一数据进行签名,将得到的签名数据与第二数据包含的签名数据进行比对。也就是说,提取出第二数据中的明文数据,利用设备公钥对明文数据进行签名后,得到密文的签名数据,将自己得到的签名数据与第二数据本身包含的签名数据进行比对。如果一致,则确定签名验证通过,从第一数据中获取随机数;否则确定签名验证失败,可以返回签名验证失败的信息。
在303中,利用签名验证得到的随机数,对被认证设备进行认证。
在本步骤中,认证设备需要确定与被认证设备约定的随机数,确定的方式可以包括但不限于以下两种:
第一种方式:认证设备接收到被认证设备获取随机数的请求后,生成随机数并返回给被认证设备,这里确定的随机数就是生成的该随机数。其中,在返回随机数给被认证设备时,为了保证随机数的安全性,可以利用服务端私钥对随机数进行加密,将加密后的随机数返回给被认证设备,这样被认证设备需要利用服务端公钥对随机数进行解密。
第二种方式:认证设备获取预先与被认证设备约定的随机数种子,基于该随机数种子,采用预先与被认证设备预定的算法生成随机数。其中随机数种子可以包括认证设备与被认证设备预先约定的密钥信息,生成随机数采用的算法可以采用诸如TOTP算法。
具体采用哪种方式,认证设备和被认证设备可以预先约定,从而保证两端确定的随机数相同。
本步骤在进行认证时,可以将认证设备确定的随机数与从第一数据中获取的随机数进行比对,如果一致,则确定被认证设备的身份认证通过,否则认证失败。可以进一步返回认证结果。
图4为本发明实施例提供的被认证设备执行的第二种方法流程图,在本实施例中仍以非对称式加解密方式为例进行描述,如图4中所示,该方法可以包括以下步骤:
步骤401同步骤201,具体参见步骤201中的相关描述。
在步骤402中,利用设备私钥对第一数据进行加密,得到第二数据,其中第一数据包含被认证设备与认证设备约定的随机数。
本步骤中确定与认证设备约定的随机数的方式可以参见步骤202中的相关描述,不再赘述。
与图2所示实施例不同的是,本步骤中是利用设备私钥对包含随机数的第一数据进行加密,得到密文数据,即第二数据。
步骤403同步骤203,具体参见步骤203中的相关描述。本实施例中发送给认证设备的认证码包含利用设备私钥对随机数进行加密后的第二数据以及被认证设备的身份标识。
对应于图4所示的实施例,认证设备端执行的认证流程可以如图5中所示。图5为本发明实施例提供的认证设备执行的第二种方法流程图,如图5中所示,该方法可以包括以下步骤:
步骤501同步骤301,具体参见步骤301中的相关描述。
在步骤502中,认证设备利用与被认证设备的身份标识对应的设备公钥,对认证码包含的第二数据进行解密。
与图3所示实施例不同的是,本步骤中认证设备利用被认证设备的身份标识对应的设备公钥对第二数据进行解密,得到明文的第一数据,并从第一数据中可以获取随机数。
在步骤503中,利用解密得到的随机数,对被认证设备进行认证。认证的方式可以参见步骤303中的描述,不再赘述。
图6为本发明实施例提供的被认证设备执行的第三种方法流程图,如图6中所示,该方法可以包括以下步骤:
步骤601同步骤201,具体参见步骤201中的相关描述。
在602中,利用服务端公钥对第一数据进行加密,得到密文数据,其中第一数据包含被认证设备与认证设备约定的随机数。
本步骤中,确定与认证设备约定的随机数的方式可以参见步骤202中的相关描述,在此不再赘述。
在603中,利用设备私钥对密文数据进行签名,得到第二数据。
本实施例是先对包含随机数的第一数据进行加密,然后再对得到的密文数据进行签名。得到的第二数据包含密文数据以及对该密文数据进行签名得到的签名数据。
除了这种方式之外,还可以先利用设备私钥对第一数据进行签名,得到签名数据,然后对第一数据和签名数据进行加密得到第二数据。
步骤604同步骤203,具体参见步骤203的相关描述。
对应于图6所示的实施例,认证设备端执行的认证流程可以如图7中所示。图7为本发明实施例提供的认证设备执行的第三种方法流程图,如图7中所示,可以包括以下步骤:
步骤701同步骤301,具体参见步骤301的相关描述。
在702中,利用与被认证设备的身份标识对应的设备公钥,对认证码包含的第二数据进行签名验证。
具体地,由于第二数据中包含密文数据以及该密文数据对应的签名数据,认证设备可以利用设备公钥对密文数据进行签名,将得到的签名数据与第二数据中包含的签名数据进行比对,如果一致,则签名验证通过,继续执行步骤703,否则签名验证失败,可以返回签名验证失败的信息,结束本流程。
在703中,利用服务端私钥对第二数据中包含的密文数据进行解密,得到第一数据,并从第一数据中获取随机数。
如果被认证设备采用先利用设备私钥对第一数据进行签名,得到签名数据后,然后利用服务端公钥对第一数据和签名数据进行加密得到的第二数据的方式,那么相应地,认证设备先利用服务端私钥对第二数据进行解密,得到第一数据和签名数据。然后利用设备公钥对第一数据进行签名,得到签名数据,将得到的签名数据与解密得到的签名数据进行比对,如果一致,则验证通过,否则验证失败。如果验证通过,则从第一数据中获取随机数。
在704中,利用解密得到的随机数,对被认证设备进行认证。认证的方式可以参见步骤303中的相关描述,不再赘述。
以上是对本发明所提供方法进行的详细描述,下面对本发明所提供的装置进行详细描述。
图8为本发明实施例提供的一种装置结构图,该装置可以设置于被认证设备,如图8中所示,该装置可以包括:密钥获取单元01、认证码生成单元02和认证请求单元03,还可以进一步包括标识获取单元04。
密钥获取单元01负责获取预先写入被认证设备的设备密钥,其中设备密钥由认证设备和被认证设备预先约定。其中,密钥获取单元01可以在认证请求单元03有设备的身份认证需求时,被认证请求单元03触发获取预先写入被认证设备的设备密钥。例如,当被具体的业务触发后,认证请求单元03需要将认证码发送给认证设备,这时就触发密钥获取单元01获取设备密钥。
另外,为了保证安全性,密钥获取单元01可以从被认证设备的安全存储中获取预先写入的设备密钥。
认证码生成单元02负责利用设备密钥对第一数据进行签名和/或加密,得到第二数据,其中第一数据包含被认证设备与认证设备约定的随机数;利用第二数据和被认证设备的身份标识,生成认证码。
由认证请求单元03将认证码发送给认证设备。
标识获取单元04负责在认证请求单元03的触发下,从被认证设备的安全存储中获取预先写入的身份标识,并提供给认证码生成单元02。在本发明实施例中,为了保证设备密钥的安全性,将其预先存储于安全存储中。安全存储可以是利用诸如ARM TrustZone或TI M-Shield等机制在硬件上隔离出的安全区域,也可以是利用虚拟化机制隔离出一个独立的安全环境,无论采用哪种方式,目的是为了提供一个可信执行环境来进行私钥的获取和认证码的生成。也就是说,本实施例中涉及的密钥获取单元01和认证码生成单元02设置于可信执行环境。
认证码生成单元02需要首先确定被认证设备与认证设备约定的随机数。具体可以采用但不限于以下两种方式:
第一种方式:实时地向认证设备请求随机数,并接收认证设备返回的随机数。其中,为了保证安全性,认证单元在返回随机数时,可以利用服务端密钥对随机数进行加密。相应地,认证码生成单元02在接收认证设备返回的随机数时,利用服务端密钥对认证设备返回的加密后的随机数进行解密,其中服务端密钥由认证设备与被认证设备预先约定。
第二种方式:获取预先与认证设备约定的随机数种子,基于随机数种子,采用预先与认证设备约定的算法生成随机数。其中,上述的随机数种子可以包括:被认证设备与认证设备预先约定的密钥信息。预先与认证设备约定的算法可以采用诸如TOTP算法。其中随机数种子也可以预先存储于安全存储,由认证码生成单元02从安全存储中获取。
具体地,认证码生成单元02在利用设备密钥对第一数据进行签名和/或加密时,可以采用但不限于以下几种方式:
第一种方式:利用设备密钥对第一数据进行签名,得到第二数据。
第二种方式:利用设备密钥对第一数据进行加密,得到第二数据。
第三种方式:利用服务端密钥对第一数据进行加密,得到密文数据,利用设备密钥对密文数据进行签名,得到第二数据。
第四种方式:利用设备密钥对第一数据进行签名,得到签名数据,利用服务端密钥对第一数据和签名数据进行加密,得到第二数据。
在本发明实施例中,被认证设备的身份标识可以由认证设备生成并预先提供给被认证设备。具体地,认证设备可以在接收到厂商管理设备的请求后,为待分配标识的设备生成设备标识,并将设备标识提供给标识写入设备,由标识写入设备在设备出厂时写入设备。
在本发明实施例中,如果采用非对称式的加解密方式,那么上述的设备密钥为设备私钥,认证设备保存有与设备私钥对应的设备公钥。该设备私钥和设备公钥对可以由认证设备生成,然后将其中的设备私钥提供给被认证设备。也可以由被认证设备生成,由被认证设备将其中的设备公钥提供给认证设备。
另外,上述的服务端密钥为服务端公钥,认证设备保存有与服务端公钥对应的服务端私钥。该服务端公钥和服务端私钥对可以由认证设备生成,然后将其中的服务端公钥提供给被认证设备。也可以由被认证设备生成,由被认证设备将其中的服务端私钥提供给认证设备。
图9为本发明实施例提供的另一种装置结构图,该装置设置于认证设备,如图9中所示,该装置可以包括:接收单元11、处理单元12和认证单元13,还可以进一步包括随机数确定单元14和标识生成单元15。各组成单元的主要功能如下:
接收单元11负责接收被认证设备发送的认证码。
处理单元12负责利用与被认证设备的身份标识对应的设备密钥,对认证码包含的第二数据进行签名验证和/或解密,其中设备密钥由认证设备和被认证设备预先约定。
认证单元13负责利用处理单元12进行签名验证和/或解密得到的随机数,对被认证设备进行认证。
其中,处理单元12可以从认证码中解析得到被认证设备的身份标识,利用预先存储的被认证设备的身份标识与设备密钥之间的对应关系,确定被认证设备的身份标识对应的设备密钥。
具体地,处理单元12可以采用但不限于以下方式进行处理:
第一种方式:利用设备密钥对第二数据包含的第一数据进行签名,将得到的签名数据与第二数据包含的签名数据进行比对,如果一致,则确定签名验证通过,从第一数据中获取随机数,否则确定签名验证失败。
第二种方式:利用设备密钥对第二数据进行解密,得到第一数据,从第一数据中获取随机数。
第三种方式:利用设备密钥对第二数据包含的密文数据进行签名,将得到的签名数据与第二数据包含的签名数据进行比对,如果一致,则确定签名验证通过,利用服务端密钥对密文数据进行解密,得到随机数,否则确定签名验证失败。
第四种方式:利用服务端密钥对第二数据进行解密,得到签名数据和第一数据,利用设备密钥对第一数据进行签名,将签名得到的签名数据与解密得到的签名数据进行比对,如果一致,则确定签名验证通过,从第一数据中获取随机数,否则确定签名验证失败。
认证单元13在进行认证时,可以将认证设备与被认证设备约定的随机数与处理单元12得到的随机数进行比对,如果一致,则确定对被认证设备的认证通过,否则确定对被认证设备的认证失败。
其中,随机数确定单元14负责确定认证设备与被认证设备约定的随机数。具体可以采用但不限于以下两种方式:
第一种方式:接收被认证设备获取随机数的请求,向被认证设备返回随机数。即应被认证设备的请求实时为其生成随机数。其中为了保证随机数的安全性,随机数确定单元14可以在向被认证设备返回随机数时,利用服务端密钥对随机数进行加密,将加密后的随机数返回给被认证设备,服务端密钥由认证设备和被认证设备预先约定。
第二种方式:获取预先与被认证设备约定的随机数种子,基于随机数种子,采用预先与被认证设备约定的算法生成随机数。其中,随机数种子可以包括:认证设备与被认证设备预先约定的密钥信息。预先与被认证设备约定的算法可以采用诸如TOTP算法。
上述被认证设备的身份标识可以由认证设备生成,即标识生成单元15预先针对被认证设备生成身份标识,并将被认证设备的身份标识提供给被认证设备。
在本实施例中,上述的设备密钥可以为设备公钥,在被认证设备中预先写入有与设备公钥对应的设备私钥。该设备私钥和设备公钥对可以由认证设备生成,然后将其中的设备私钥提供给被认证设备。也可以由被认证设备生成,由被认证设备将其中的设备公钥提供给认证设备。
上述的服务端密钥为服务端私钥,在被认证设备中保存有与服务端私钥对应的服务端公钥。该服务端公钥和服务端私钥对可以由认证设备生成,然后将其中的服务端公钥提供给被认证设备。也可以由被认证设备生成,由被认证设备将其中的服务端私钥提供给认证设备。
本发明实施例提供的上述身份认证的方法、装置和系统可以应用于多种身份认证场景,包括但不限于:
在网络业务中对设备的身份认证,例如当设备需要在网络中请求某业务时,可以在请求中携带本发明实施例中所述的认证码,只有服务端的认证设备利用该认证码进行认证通过后,才允许相应业务下发给被认证的设备。
对设备进行流量统计过程中的身份认证。在对设备进行流量统计时,往往会出现有的设备为了躲避流量统计,篡改、伪造设备标识,那么通过在流量统计过程中携带认证码,用认证码来检验设备的真实身份。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (50)
1.一种设备身份认证的方法,其特征在于,该方法包括:
被认证设备获取预先写入所述被认证设备的设备密钥,其中所述设备密钥由认证设备和所述被认证设备预先约定;
利用所述设备密钥对第一数据进行签名和/或加密,得到第二数据,其中所述第一数据包含所述被认证设备与认证设备约定的随机数;
利用所述第二数据和所述被认证设备的身份标识,生成认证码并发送给所述认证设备。
2.根据权利要求1所述的方法,其特征在于,所述被认证设备获取预先写入所述被认证设备的设备密钥包括:
所述被认证设备从自身的安全存储中获取预先写入的设备密钥;或者,
从自身的安全存储中获取预先写入的设备密钥和身份标识。
3.根据权利要求1所述的方法,其特征在于,该方法还包括:
所述被认证设备确定与认证设备约定的随机数。
4.根据权利要求3所述的方法,其特征在于,所述被认证设备确定与认证设备约定的随机数包括:
所述被认证设备向所述认证设备请求随机数;
接收所述认证设备返回的随机数。
5.根据权利要求4所述的方法,其特征在于,接收所述认证设备返回的随机数包括:
利用服务端密钥对所述认证设备返回的加密后的随机数进行解密,其中所述服务端密钥由所述认证设备与所述被认证设备预先约定。
6.根据权利要求3所述的方法,其特征在于,所述被认证设备确定与认证设备约定的随机数包括:
所述被认证设备获取预先与所述认证设备约定的随机数种子;
基于所述随机数种子,采用预先与所述认证设备约定的算法生成随机数。
7.根据权利要求6所述的方法,其特征在于,所述随机数种子包括:所述被认证设备与认证设备预先约定的密钥信息;
预先与所述认证设备约定的算法包括:基于时间的一次性密码算法TOTP。
8.根据权利要求1所述的方法,其特征在于,利用所述设备密钥对第一数据进行签名和/或加密包括:
利用所述设备密钥对所述第一数据进行签名,得到第二数据;或者,
利用所述设备密钥对所述第一数据进行加密,得到第二数据;或者,
利用服务端密钥对所述第一数据进行加密,得到密文数据,利用所述设备密钥对所述密文数据进行签名,得到第二数据;或者,
利用所述设备密钥对所述第一数据进行签名,得到签名数据,利用服务端密钥对签名数据进行加密,得到第二数据;
其中,所述服务端密钥由所述认证设备和所述被认证设备预先约定。
9.根据权利要求1所述的方法,其特征在于,所述被认证设备的身份标识由所述认证设备生成并预先提供给所述被认证设备。
10.根据权利要求1所述的方法,其特征在于,所述获取预先写入所述被认证设备的设备密钥,利用所述设备密钥对第一数据进行签名和/或加密,以及利用所述第二数据和所述被认证设备的身份标识,生成认证码的步骤在可信执行环境下执行。
11.根据权利要求1至10任一权项所述的方法,其特征在于,所述设备密钥为设备私钥,所述认证设备保存有与所述设备私钥对应的设备公钥。
12.根据权利要求5或8所述的方法,其特征在于,所述服务端密钥为服务端公钥,所述认证设备保存有与所述服务端公钥对应的服务端私钥。
13.一种设备身份认证的方法,其特征在于,该方法包括:
认证设备接收被认证设备发送的认证码;
利用与所述被认证设备的身份标识对应的设备密钥,对所述认证码包含的第二数据进行签名验证和/或解密,其中所述设备密钥由认证设备和被认证设备预先约定;
利用所述签名验证和/或解密得到的随机数,对所述被认证设备进行认证。
14.根据权利要求13所述的方法,其特征在于,该方法还包括:
所述认证设备从所述认证码中解析得到所述被认证设备的身份标识;
利用预先存储的所述被认证设备的身份标识与设备密钥之间的对应关系,确定所述被认证设备的身份标识对应的设备密钥。
15.根据权利要求13所述的方法,其特征在于,利用与所述被认证设备的身份标识对应的设备密钥,对所述认证码包含的第二数据进行签名验证和/或解密包括:
利用所述设备密钥对所述第二数据包含的第一数据进行签名,将得到的签名数据与所述第二数据包含的签名数据进行比对,如果一致,则确定签名验证通过,从所述第一数据中获取随机数,否则确定签名验证失败;或者,
利用所述设备密钥对所述第二数据进行解密,得到第一数据,从所述第一数据中获取随机数;或者,
利用所述设备密钥对所述第二数据包含的密文数据进行签名,将得到的签名数据与所述第二数据包含的签名数据进行比对,如果一致,则确定签名验证通过,利用服务端密钥对所述密文数据进行解密,得到随机数,否则确定签名验证失败;或者,
利用服务端密钥对所述第二数据进行解密,得到签名数据和第一数据,利用所述设备密钥对所述第一数据进行签名,将签名得到的签名数据与解密得到的签名数据进行比对,如果一致,则确定签名验证通过,从所述第一数据中获取随机数,否则确定签名验证失败。
16.根据权利要求13所述的方法,其特征在于,利用所述签名验证和/或解密得到的随机数,对所述被认证设备进行认证包括:
将所述认证设备与所述被认证设备约定的随机数与所述得到的随机数进行比对,如果一致,则确定对所述被认证设备的认证通过,否则确定对所述被认证设备的认证失败。
17.根据权利要求16所述的方法,其特征在于,该方法还包括:
所述认证设备确定与所述被认证设备约定的随机数。
18.根据权利要求17所述的方法,其特征在于,所述认证设备确定与所述被认证设备约定的随机数包括:
所述认证设备接收所述被认证设备获取随机数的请求;
向所述被认证设备返回随机数。
19.根据权利要求18所述的方法,其特征在于,向所述被认证设备返回随机数包括:
利用服务端密钥对所述随机数进行加密,将加密后的随机数返回给所述被认证设备,所述服务端密钥由所述认证设备和所述被认证设备预先约定。
20.根据权利要求17所述的方法,其特征在于,所述认证设备确定与所述被认证设备约定的随机数包括:
所述认证设备获取预先与所述被认证设备约定的随机数种子;
基于所述随机数种子,采用预先与所述被认证设备约定的算法生成随机数。
21.根据权利要求20所述的方法,其特征在于,所述随机数种子包括:所述认证设备与所述被认证设备预先约定的密钥信息;
预先与所述被认证设备约定的算法包括:基于时间的一次性密码算法TOTP。
22.根据权利要求13至21任一权项所述的方法,其特征在于,该方法还包括:
所述认证设备预先针对所述被认证设备生成身份标识,并将所述被认证设备的身份标识提供给所述被认证设备。
23.根据权利要求13至21任一权项所述的方法,其特征在于,所述设备密钥为设备公钥,在所述被认证设备中预先写入有与所述设备公钥对应的设备私钥。
24.根据权利要求15或19所述的方法,其特征在于,所述服务端密钥为服务端私钥,在所述被认证设备中保存有与所述服务端私钥对应的服务端公钥。
25.一种设备身份认证的装置,该装置设置于被认证设备,其特征在于,该装置包括:
密钥获取单元,用于获取预先写入所述被认证设备的设备密钥,其中所述设备密钥由所述认证设备和所述被认证设备预先约定;
认证码生成单元,用于利用所述设备密钥对第一数据进行签名和/或加密,得到第二数据,其中所述第一数据包含所述被认证设备与认证设备约定的随机数;利用所述第二数据和所述被认证设备的身份标识,生成认证码;
认证请求单元,用于将所述认证码发送给所述认证设备。
26.根据权利要求25所述的装置,其特征在于,所述密钥获取单元,具体用于在所述认证请求单元的触发下,从所述被认证设备的安全存储中获取预先写入的设备密钥。
27.根据权利要求25所述的装置,其特征在于,该装置还包括:
标识获取单元,用于在所述认证请求单元的触发下,从所述被认证设备的安全存储中获取预先写入的身份标识,并提供给所述认证码生成单元。
28.根据权利要求25所述的装置,其特征在于,所述认证码生成单元,还用于确定所述被认证设备与所述认证设备约定的随机数。
29.根据权利要求28所述的装置,其特征在于,所述认证码生成单元在确定所述被认证设备与所述认证设备约定的随机数时,具体执行:
向所述认证设备请求随机数;
接收所述认证设备返回的随机数。
30.根据权利要求29所述的装置,其特征在于,所述认证码生成单元在接收所述认证设备返回的随机数时,具体用于利用服务端密钥对所述认证设备返回的加密后的随机数进行解密,其中所述服务端密钥由所述认证设备与所述被认证设备预先约定。
31.根据权利要求28所述的装置,其特征在于,所述认证码生成单元在确定所述被认证设备与所述认证设备约定的随机数时,具体执行:
获取预先与所述认证设备约定的随机数种子;
基于所述随机数种子,采用预先与所述认证设备约定的算法生成随机数。
32.根据权利要求31所述的装置,其特征在于,所述随机数种子包括:所述被认证设备与认证设备预先约定的密钥信息;
预先与所述认证设备约定的算法包括:基于时间的一次性密码算法TOTP。
33.根据权利要求25所述的装置,其特征在于,所述认证码生成单元在利用所述设备密钥对第一数据进行签名和/或加密时,具体执行:
利用所述设备密钥对所述第一数据进行签名,得到第二数据;或者,
利用所述设备密钥对所述第一数据进行加密,得到第二数据;或者,
利用服务端密钥对所述第一数据进行加密,得到密文数据,利用所述设备密钥对所述密文数据进行签名,得到第二数据;或者,
利用所述设备密钥对所述第一数据进行签名,得到签名数据,利用服务端密钥对签名数据进行加密,得到第二数据;
其中,所述服务端密钥由所述认证设备与所述被认证设备预先约定。
34.根据权利要求25所述的装置,其特征在于,所述被认证设备的身份标识由所述认证设备生成并预先提供给所述被认证设备。
35.根据权利要求25所述的装置,其特征在于,所述密钥获取单元和所述认证码生成单元设置于可信执行环境。
36.根据权利要求25至35任一权项所述的装置,其特征在于,所述设备密钥为设备私钥,所述认证设备保存有与所述设备私钥对应的设备公钥。
37.根据权利要求30或33所述的装置,其特征在于,所述服务端密钥为服务端公钥,所述认证设备保存有与所述服务端公钥对应的服务端私钥。
38.一种设备身份认证的装置,该装置设置于认证设备,其特征在于,该装置包括:
接收单元,用于接收被认证设备发送的认证码;
处理单元,用于利用与所述被认证设备的身份标识对应的设备密钥,对所述认证码包含的第二数据进行签名验证和/或解密,其中所述设备密钥由认证设备和被认证设备预先约定;
认证单元,用于利用所述处理单元进行签名验证和/或解密得到的随机数,对所述被认证设备进行认证。
39.根据权利要求38所述的装置,其特征在于,所述处理单元,还用于从所述认证码中解析得到所述被认证设备的身份标识,利用预先存储的所述被认证设备的身份标识与设备密钥之间的对应关系,确定所述被认证设备的身份标识对应的设备密钥。
40.根据权利要求38所述的装置,其特征在于,所述处理单元,具体用于:
利用所述设备密钥对所述第二数据包含的第一数据进行签名,将得到的签名数据与所述第二数据包含的签名数据进行比对,如果一致,则确定签名验证通过,从所述第一数据中获取随机数,否则确定签名验证失败;或者,
利用所述设备密钥对所述第二数据进行解密,得到第一数据,从所述第一数据中获取随机数;或者,
利用所述设备密钥对所述第二数据包含的密文数据进行签名,将得到的签名数据与所述第二数据包含的签名数据进行比对,如果一致,则确定签名验证通过,利用服务端密钥对所述密文数据进行解密,得到随机数,否则确定签名验证失败;或者,
利用服务端密钥对所述第二数据进行解密,得到签名数据和第一数据,利用所述设备密钥对所述第一数据进行签名,将签名得到的签名数据与解密得到的签名数据进行比对,如果一致,则确定签名验证通过,从所述第一数据中获取随机数,否则确定签名验证失败。
41.根据权利要求38所述的装置,其特征在于,所述认证单元具体用于:
将所述认证设备与所述被认证设备约定的随机数与所述处理单元得到的随机数进行比对,如果一致,则确定对所述被认证设备的认证通过,否则确定对所述被认证设备的认证失败。
42.根据权利要求41所述的装置,其特征在于,该装置还包括:随机数确定单元,用于确定所述认证设备与所述被认证设备约定的随机数。
43.根据权利要求42所述的装置,其特征在于,所述随机数确定单元,具体用于:
接收所述被认证设备获取随机数的请求;
向所述被认证设备返回随机数。
44.根据权利要求43所述的装置,其特征在于,所述随机数确定单元在向所述被认证设备返回随机数时,具体执行:
利用服务端密钥对所述随机数进行加密,将加密后的随机数返回给所述被认证设备,所述服务端密钥由所述认证设备和所述被认证设备预先约定。
45.根据权利要求42所述的装置,其特征在于,所述随机数确定单元,具体用于:
获取预先与所述被认证设备约定的随机数种子;
基于所述随机数种子,采用预先与所述被认证设备约定的算法生成随机数。
46.根据权利要求45所述的装置,其特征在于,所述随机数种子包括:所述认证设备与所述被认证设备预先约定的密钥信息;
预先与所述被认证设备约定的算法包括:基于时间的一次性密码算法TOTP。
47.根据权利要求38至46任一权项所述的装置,其特征在于,该装置还包括:
标识生成单元,用于预先针对所述被认证设备生成身份标识,并将所述被认证设备的身份标识提供给所述被认证设备。
48.根据权利要求38至46任一权项所述的装置,其特征在于,所述设备密钥为设备公钥,在所述被认证设备中预先写入有与所述设备公钥对应的设备私钥。
49.根据权利要求38至46任一权项所述的装置,其特征在于,所述服务端密钥为服务端私钥,在所述被认证设备中保存有与所述服务端私钥对应的服务端公钥。
50.一种设备身份认证的系统,其特征在于,该系统包括被认证设备和认证设备;
所述被认证设备包括如权利要求25至35任一权项所述的装置;
所述认证设备包括如权利要求38至46任一权项所述的装置。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510662102.4A CN106603234A (zh) | 2015-10-14 | 2015-10-14 | 一种设备身份认证的方法、装置和系统 |
| PCT/CN2016/101642 WO2017063534A1 (zh) | 2015-10-14 | 2016-10-10 | 一种设备身份认证的方法、装置和系统 |
| US15/951,611 US20180285555A1 (en) | 2015-10-14 | 2018-04-12 | Authentication method, device and system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510662102.4A CN106603234A (zh) | 2015-10-14 | 2015-10-14 | 一种设备身份认证的方法、装置和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106603234A true CN106603234A (zh) | 2017-04-26 |
Family
ID=58517093
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510662102.4A Pending CN106603234A (zh) | 2015-10-14 | 2015-10-14 | 一种设备身份认证的方法、装置和系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20180285555A1 (zh) |
| CN (1) | CN106603234A (zh) |
| WO (1) | WO2017063534A1 (zh) |
Cited By (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107204985A (zh) * | 2017-06-22 | 2017-09-26 | 北京洋浦伟业科技发展有限公司 | 基于加密密钥的权限认证方法、装置及系统 |
| CN107277017A (zh) * | 2017-06-22 | 2017-10-20 | 北京洋浦伟业科技发展有限公司 | 基于加密密钥和设备指纹的权限认证方法、装置及系统 |
| CN107395341A (zh) * | 2017-06-23 | 2017-11-24 | 陈景辉 | 一种物联网安全认证芯片及基于该芯片的访问控制方法 |
| CN107547572A (zh) * | 2017-10-13 | 2018-01-05 | 北京洋浦伟业科技发展有限公司 | 一种基于伪随机数的can总线通信方法 |
| CN107733645A (zh) * | 2017-11-28 | 2018-02-23 | 苏州朗捷通智能科技有限公司 | 加密通信认证方法和系统 |
| CN107819576A (zh) * | 2017-11-28 | 2018-03-20 | 苏州朗捷通智能科技有限公司 | 通信认证方法和系统 |
| WO2018050081A1 (zh) * | 2016-09-13 | 2018-03-22 | 中国移动通信有限公司研究院 | 设备身份认证的方法、装置、电子设备及存储介质 |
| CN107948213A (zh) * | 2018-01-17 | 2018-04-20 | 深圳中电国际信息科技有限公司 | 一种加密认证方法、系统、装置及计算机可读存储介质 |
| CN108616361A (zh) * | 2018-03-27 | 2018-10-02 | 阿里巴巴集团控股有限公司 | 一种识别设备唯一性的方法及装置 |
| CN109361669A (zh) * | 2018-10-19 | 2019-02-19 | 铂有限公司 | 通信设备的身份认证方法、装置和设备 |
| CN109525989A (zh) * | 2017-09-19 | 2019-03-26 | 阿里巴巴集团控股有限公司 | 数据处理、身份认证方法及系统、终端 |
| CN109617696A (zh) * | 2019-01-03 | 2019-04-12 | 北京城市网邻信息技术有限公司 | 一种数据加密、数据解密的方法和装置 |
| CN110213230A (zh) * | 2019-04-26 | 2019-09-06 | 特斯联(北京)科技有限公司 | 一种用于分布式通信的网络安全验证方法及装置 |
| CN110753023A (zh) * | 2018-07-24 | 2020-02-04 | 阿里巴巴集团控股有限公司 | 一种设备认证方法、设备访问方法和装置 |
| CN111049797A (zh) * | 2019-10-30 | 2020-04-21 | 珠海格力电器股份有限公司 | 为智能家居设备配网及数据传输方法、设备及存储介质 |
| CN111600870A (zh) * | 2020-05-13 | 2020-08-28 | 山东大学 | 一种双向通信认证方法及系统 |
| CN111859366A (zh) * | 2020-06-02 | 2020-10-30 | 惠州市德赛西威汽车电子股份有限公司 | 一种车机设备初始密码数据在线注入方法 |
| CN111901303A (zh) * | 2020-06-28 | 2020-11-06 | 北京可信华泰信息技术有限公司 | 设备认证方法和装置、存储介质及电子装置 |
| US10873460B2 (en) * | 2015-12-10 | 2020-12-22 | SZ DJI Technology Co., Ltd. | UAV authentication method and system |
| CN112150158A (zh) * | 2019-06-28 | 2020-12-29 | 华为技术有限公司 | 一种区块链交易交付验证方法及装置 |
| CN112487380A (zh) * | 2020-12-16 | 2021-03-12 | 江苏国科微电子有限公司 | 一种数据交互方法、装置、设备及介质 |
| CN112565265A (zh) * | 2020-12-04 | 2021-03-26 | 国网辽宁省电力有限公司沈阳供电公司 | 物联网终端设备间的认证方法、认证系统及通讯方法 |
| CN112564897A (zh) * | 2020-11-30 | 2021-03-26 | 上海万向区块链股份公司 | 物联网设备密钥分配及身份认证管理方法及系统 |
| CN112637145A (zh) * | 2020-12-08 | 2021-04-09 | 北京北信源软件股份有限公司 | 一种网络设备互联认证方法及系统 |
| CN112887308A (zh) * | 2021-01-26 | 2021-06-01 | 许少建 | 一种无感网络身份认证方法及系统 |
| CN112887306A (zh) * | 2021-01-26 | 2021-06-01 | 浪潮云信息技术股份公司 | 一种自定义安全认证方法 |
| CN113329399A (zh) * | 2020-02-28 | 2021-08-31 | 阿里巴巴集团控股有限公司 | 数据传输、配网与管理方法、设备、系统及存储介质 |
| CN113381853A (zh) * | 2020-03-10 | 2021-09-10 | 北京京东振世信息技术有限公司 | 生成随机密码以及客户端鉴权的方法和装置 |
| CN113761550A (zh) * | 2020-11-05 | 2021-12-07 | 北京沃东天骏信息技术有限公司 | 一种加密的方法和装置 |
| CN114205292A (zh) * | 2021-12-10 | 2022-03-18 | 百度在线网络技术(北京)有限公司 | 路由器拨号配置方法、装置、路由器、管理端和存储介质 |
| WO2022116209A1 (zh) * | 2020-12-04 | 2022-06-09 | Oppo广东移动通信有限公司 | 物联网设备接入认证方法、装置、设备及存储介质 |
| WO2022135399A1 (zh) * | 2020-12-26 | 2022-06-30 | 西安西电捷通无线网络通信股份有限公司 | 身份鉴别方法、鉴别接入控制器和请求设备、存储介质、程序、及程序产品 |
| CN114710348A (zh) * | 2022-03-31 | 2022-07-05 | 湖北工业大学 | 用户使用家庭智能设备的授权认证与密钥协商方法 |
| CN114866250A (zh) * | 2022-04-25 | 2022-08-05 | 中国第一汽车股份有限公司 | 车内can网络新鲜值构建方法、装置、车辆及存储介质 |
| CN116418509A (zh) * | 2021-12-31 | 2023-07-11 | 圣邦微电子(北京)股份有限公司 | 序列号生成电路及终端对外部设备进行认证的方法 |
| WO2024016486A1 (zh) * | 2022-07-21 | 2024-01-25 | 广州汽车集团股份有限公司 | 数据传输方法及装置、设备、计算机可读存储介质 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3454502B1 (en) * | 2017-09-07 | 2020-08-05 | Nxp B.V. | Transceiver system |
| US11256818B2 (en) | 2017-12-28 | 2022-02-22 | Corlina, Inc. | System and method for enabling and verifying the trustworthiness of a hardware system |
| US11509636B2 (en) * | 2018-01-30 | 2022-11-22 | Corlina, Inc. | User and device onboarding |
| JP7106965B2 (ja) * | 2018-04-25 | 2022-07-27 | 富士通株式会社 | 情報処理装置、認証制御システム、及び認証制御プログラム |
| US10749852B2 (en) * | 2018-05-10 | 2020-08-18 | Rovi Guides, Inc. | Systems and methods for connecting private devices to public devices according to connection parameters |
| US10757109B2 (en) | 2018-05-10 | 2020-08-25 | Rovi Guides, Inc. | Systems and methods for connecting a public device to a private device with pre-installed content management applications |
| US10805083B1 (en) * | 2019-09-04 | 2020-10-13 | Capital One Services, Llc | Systems and methods for authenticated communication sessions |
| CN113055340B (zh) * | 2019-12-26 | 2023-09-26 | 华为技术有限公司 | 鉴权方法及设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101989991A (zh) * | 2010-11-24 | 2011-03-23 | 北京天地融科技有限公司 | 安全导入密钥的方法及电子签名工具、认证设备及系统 |
| CN103763631A (zh) * | 2014-01-07 | 2014-04-30 | 青岛海信信芯科技有限公司 | 认证方法、服务器和电视机 |
| CN104683354A (zh) * | 2015-03-24 | 2015-06-03 | 武汉理工大学 | 一种基于标识的动态口令系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9323950B2 (en) * | 2012-07-19 | 2016-04-26 | Atmel Corporation | Generating signatures using a secure device |
| CN104468126B (zh) * | 2014-12-26 | 2018-08-21 | 北京深思数盾科技股份有限公司 | 一种安全通信系统及方法 |
-
2015
- 2015-10-14 CN CN201510662102.4A patent/CN106603234A/zh active Pending
-
2016
- 2016-10-10 WO PCT/CN2016/101642 patent/WO2017063534A1/zh active Application Filing
-
2018
- 2018-04-12 US US15/951,611 patent/US20180285555A1/en not_active Abandoned
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101989991A (zh) * | 2010-11-24 | 2011-03-23 | 北京天地融科技有限公司 | 安全导入密钥的方法及电子签名工具、认证设备及系统 |
| CN103763631A (zh) * | 2014-01-07 | 2014-04-30 | 青岛海信信芯科技有限公司 | 认证方法、服务器和电视机 |
| CN104683354A (zh) * | 2015-03-24 | 2015-06-03 | 武汉理工大学 | 一种基于标识的动态口令系统 |
Cited By (52)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10873460B2 (en) * | 2015-12-10 | 2020-12-22 | SZ DJI Technology Co., Ltd. | UAV authentication method and system |
| WO2018050081A1 (zh) * | 2016-09-13 | 2018-03-22 | 中国移动通信有限公司研究院 | 设备身份认证的方法、装置、电子设备及存储介质 |
| CN107204985A (zh) * | 2017-06-22 | 2017-09-26 | 北京洋浦伟业科技发展有限公司 | 基于加密密钥的权限认证方法、装置及系统 |
| CN107277017A (zh) * | 2017-06-22 | 2017-10-20 | 北京洋浦伟业科技发展有限公司 | 基于加密密钥和设备指纹的权限认证方法、装置及系统 |
| CN107395341A (zh) * | 2017-06-23 | 2017-11-24 | 陈景辉 | 一种物联网安全认证芯片及基于该芯片的访问控制方法 |
| CN109525989A (zh) * | 2017-09-19 | 2019-03-26 | 阿里巴巴集团控股有限公司 | 数据处理、身份认证方法及系统、终端 |
| WO2019056957A1 (zh) * | 2017-09-19 | 2019-03-28 | 阿里巴巴集团控股有限公司 | 数据处理、身份认证方法及系统、终端 |
| CN107547572A (zh) * | 2017-10-13 | 2018-01-05 | 北京洋浦伟业科技发展有限公司 | 一种基于伪随机数的can总线通信方法 |
| CN107733645A (zh) * | 2017-11-28 | 2018-02-23 | 苏州朗捷通智能科技有限公司 | 加密通信认证方法和系统 |
| CN107819576A (zh) * | 2017-11-28 | 2018-03-20 | 苏州朗捷通智能科技有限公司 | 通信认证方法和系统 |
| CN107733645B (zh) * | 2017-11-28 | 2021-03-19 | 苏州朗捷通智能科技有限公司 | 加密通信认证方法和系统 |
| CN107948213A (zh) * | 2018-01-17 | 2018-04-20 | 深圳中电国际信息科技有限公司 | 一种加密认证方法、系统、装置及计算机可读存储介质 |
| CN108616361A (zh) * | 2018-03-27 | 2018-10-02 | 阿里巴巴集团控股有限公司 | 一种识别设备唯一性的方法及装置 |
| CN108616361B (zh) * | 2018-03-27 | 2022-04-08 | 杭州蚂蚁聚慧网络技术有限公司 | 一种识别设备唯一性的方法及装置 |
| CN110753023A (zh) * | 2018-07-24 | 2020-02-04 | 阿里巴巴集团控股有限公司 | 一种设备认证方法、设备访问方法和装置 |
| CN110753023B (zh) * | 2018-07-24 | 2022-02-25 | 阿里巴巴集团控股有限公司 | 一种设备认证方法、设备访问方法和装置 |
| CN109361669A (zh) * | 2018-10-19 | 2019-02-19 | 铂有限公司 | 通信设备的身份认证方法、装置和设备 |
| CN109361669B (zh) * | 2018-10-19 | 2022-03-18 | 深圳数粉科技有限公司 | 通信设备的身份认证方法、装置和设备 |
| CN109617696A (zh) * | 2019-01-03 | 2019-04-12 | 北京城市网邻信息技术有限公司 | 一种数据加密、数据解密的方法和装置 |
| CN109617696B (zh) * | 2019-01-03 | 2022-08-19 | 北京城市网邻信息技术有限公司 | 一种数据加密、数据解密的方法和装置 |
| CN110213230B (zh) * | 2019-04-26 | 2020-01-31 | 特斯联(北京)科技有限公司 | 一种用于分布式通信的网络安全验证方法及装置 |
| CN110213230A (zh) * | 2019-04-26 | 2019-09-06 | 特斯联(北京)科技有限公司 | 一种用于分布式通信的网络安全验证方法及装置 |
| CN112150158A (zh) * | 2019-06-28 | 2020-12-29 | 华为技术有限公司 | 一种区块链交易交付验证方法及装置 |
| CN111049797A (zh) * | 2019-10-30 | 2020-04-21 | 珠海格力电器股份有限公司 | 为智能家居设备配网及数据传输方法、设备及存储介质 |
| CN111049797B (zh) * | 2019-10-30 | 2021-06-18 | 珠海格力电器股份有限公司 | 为智能家居设备配网及数据传输方法、设备及存储介质 |
| CN113329399A (zh) * | 2020-02-28 | 2021-08-31 | 阿里巴巴集团控股有限公司 | 数据传输、配网与管理方法、设备、系统及存储介质 |
| CN113381853B (zh) * | 2020-03-10 | 2024-04-16 | 北京京东振世信息技术有限公司 | 生成随机密码以及客户端鉴权的方法和装置 |
| CN113381853A (zh) * | 2020-03-10 | 2021-09-10 | 北京京东振世信息技术有限公司 | 生成随机密码以及客户端鉴权的方法和装置 |
| CN111600870A (zh) * | 2020-05-13 | 2020-08-28 | 山东大学 | 一种双向通信认证方法及系统 |
| CN111600870B (zh) * | 2020-05-13 | 2021-08-03 | 山东大学 | 一种双向通信认证方法及系统 |
| CN111859366B (zh) * | 2020-06-02 | 2022-08-19 | 惠州市德赛西威汽车电子股份有限公司 | 一种车机设备初始密码数据在线注入方法 |
| CN111859366A (zh) * | 2020-06-02 | 2020-10-30 | 惠州市德赛西威汽车电子股份有限公司 | 一种车机设备初始密码数据在线注入方法 |
| CN111901303A (zh) * | 2020-06-28 | 2020-11-06 | 北京可信华泰信息技术有限公司 | 设备认证方法和装置、存储介质及电子装置 |
| CN113761550A (zh) * | 2020-11-05 | 2021-12-07 | 北京沃东天骏信息技术有限公司 | 一种加密的方法和装置 |
| CN112564897A (zh) * | 2020-11-30 | 2021-03-26 | 上海万向区块链股份公司 | 物联网设备密钥分配及身份认证管理方法及系统 |
| CN112565265B (zh) * | 2020-12-04 | 2022-11-01 | 国网辽宁省电力有限公司沈阳供电公司 | 物联网终端设备间的认证方法、认证系统及通讯方法 |
| CN112565265A (zh) * | 2020-12-04 | 2021-03-26 | 国网辽宁省电力有限公司沈阳供电公司 | 物联网终端设备间的认证方法、认证系统及通讯方法 |
| WO2022116209A1 (zh) * | 2020-12-04 | 2022-06-09 | Oppo广东移动通信有限公司 | 物联网设备接入认证方法、装置、设备及存储介质 |
| CN112637145A (zh) * | 2020-12-08 | 2021-04-09 | 北京北信源软件股份有限公司 | 一种网络设备互联认证方法及系统 |
| CN112637145B (zh) * | 2020-12-08 | 2023-04-28 | 北京北信源软件股份有限公司 | 一种网络设备互联认证方法及系统 |
| CN112487380A (zh) * | 2020-12-16 | 2021-03-12 | 江苏国科微电子有限公司 | 一种数据交互方法、装置、设备及介质 |
| CN112487380B (zh) * | 2020-12-16 | 2024-04-05 | 江苏国科微电子有限公司 | 一种数据交互方法、装置、设备及介质 |
| WO2022135399A1 (zh) * | 2020-12-26 | 2022-06-30 | 西安西电捷通无线网络通信股份有限公司 | 身份鉴别方法、鉴别接入控制器和请求设备、存储介质、程序、及程序产品 |
| CN112887306A (zh) * | 2021-01-26 | 2021-06-01 | 浪潮云信息技术股份公司 | 一种自定义安全认证方法 |
| CN112887308A (zh) * | 2021-01-26 | 2021-06-01 | 许少建 | 一种无感网络身份认证方法及系统 |
| CN112887306B (zh) * | 2021-01-26 | 2023-01-20 | 浪潮云信息技术股份公司 | 一种自定义安全认证方法 |
| CN114205292A (zh) * | 2021-12-10 | 2022-03-18 | 百度在线网络技术(北京)有限公司 | 路由器拨号配置方法、装置、路由器、管理端和存储介质 |
| CN116418509A (zh) * | 2021-12-31 | 2023-07-11 | 圣邦微电子(北京)股份有限公司 | 序列号生成电路及终端对外部设备进行认证的方法 |
| CN114710348A (zh) * | 2022-03-31 | 2022-07-05 | 湖北工业大学 | 用户使用家庭智能设备的授权认证与密钥协商方法 |
| CN114866250B (zh) * | 2022-04-25 | 2024-03-26 | 中国第一汽车股份有限公司 | 车内can网络新鲜值构建方法、装置、车辆及存储介质 |
| CN114866250A (zh) * | 2022-04-25 | 2022-08-05 | 中国第一汽车股份有限公司 | 车内can网络新鲜值构建方法、装置、车辆及存储介质 |
| WO2024016486A1 (zh) * | 2022-07-21 | 2024-01-25 | 广州汽车集团股份有限公司 | 数据传输方法及装置、设备、计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2017063534A1 (zh) | 2017-04-20 |
| US20180285555A1 (en) | 2018-10-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106603234A (zh) | 一种设备身份认证的方法、装置和系统 | |
| CN105050081B (zh) | 网络接入设备接入无线网络接入点的方法、装置和系统 | |
| CN105471833B (zh) | 一种安全通讯方法和装置 | |
| CN103685311B (zh) | 一种登录验证方法及设备 | |
| CN106603461A (zh) | 一种业务认证的方法、装置和系统 | |
| KR100564677B1 (ko) | 네트워크 환경에서 비밀 신규 무작위 숫자들의 운영 및 이용 | |
| CN101272237B (zh) | 一种用于自动生成和填写登录信息的方法和系统 | |
| CN110086608A (zh) | 用户认证方法、装置、计算机设备及计算机可读存储介质 | |
| CN109067801A (zh) | 一种身份认证方法、身份认证装置及计算机可读介质 | |
| CN107579817A (zh) | 基于区块链的用户身份验证方法、装置及系统 | |
| US20130007464A1 (en) | Protocol for Controlling Access to Encryption Keys | |
| CN106960148A (zh) | 一种设备标识的分配方法和装置 | |
| CN109150519A (zh) | 基于公共密钥池的抗量子计算云存储安全控制方法和系统 | |
| CN107294900A (zh) | 基于生物特征的身份注册方法和装置 | |
| CN106612180A (zh) | 实现会话标识同步的方法及装置 | |
| CN105656862B (zh) | 认证方法及装置 | |
| CN107317791A (zh) | 登录验证方法、登录请求方法和安全登录系统 | |
| CN103812651B (zh) | 密码验证方法、装置及系统 | |
| CN110059458A (zh) | 一种用户口令加密认证方法、装置及系统 | |
| CN104579680B (zh) | 一种安全分发种子的方法 | |
| CN103634265B (zh) | 安全认证的方法、设备及系统 | |
| CN108965222A (zh) | 身份认证方法、系统及计算机可读存储介质 | |
| CN102025748B (zh) | 获取Kerberos认证方式的用户名的方法、装置和系统 | |
| CN105657699B (zh) | 数据安全传输方法 | |
| CN108667801A (zh) | 一种物联网接入身份安全认证方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170426 |