CN107124409A - 一种接入认证方法及装置 - Google Patents
一种接入认证方法及装置 Download PDFInfo
- Publication number
- CN107124409A CN107124409A CN201710276815.6A CN201710276815A CN107124409A CN 107124409 A CN107124409 A CN 107124409A CN 201710276815 A CN201710276815 A CN 201710276815A CN 107124409 A CN107124409 A CN 107124409A
- Authority
- CN
- China
- Prior art keywords
- account
- key
- access authentication
- password
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例提供了一种接入认证方法及装置。该方法用于终端,包括:在收到携带账户名和账户密码的接入认证指令后,向目标设备发送携带账户名的种子获取请求,以使目标设备为账户名分配密钥种子、将账户名与所分配的密钥种子的对应关系存储至账户信息数据库;获得为账户名分配的密钥种子,生成第一加密账户密码;向服务器发送携带账户名和第一加密账户密码的接入认证请求,以使服务器从数据库中获取接入请求中的账户名对应的账户密码和密钥种子,生成第二加密账户密码,根据第一加密账户密码和第二加密账户密码是否相同,确定是否同意接入认证请求。在采用对称加密方式进行接入认证的情况下,本方案能够解决共享密钥的泄漏带来的安全隐患。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种接入认证方法及装置。
背景技术
在通信技术领域中,服务器常常需要采用对称加密方式对请求接入的终端进行接入认证。下面结合图1,对接入认证过程进行简要说明。
如图1所示,当终端接收到用户输入的、携带账户名和账户密码的接入认证指令后,终端会利用自身所具有的共享密钥,对该账户密码进行加密,以得到加密结果,之后,终端向服务器发送携带该账户名和该加密结果的接入认证请求。
当接收到接入认证请求后,服务器先从账户信息数据库(该数据库中存储有合法用户的账户名和账户密码之间的对应关系)中获取接入认证请求中的账户名对应的账户密码。接下来,服务器利用自身与终端共享的共享密钥,对获取到的账户密码进行加密,以得到加密结果。这样,终端将所得到的加密结果与接入认证请求中的加密结果进行比对,根据比对结果,就能确定是否同意终端的接入认证请求,并向终端返回相应的认证结果了。
容易看出,当采用对称加密方式进行接入认证时,终端和服务器需要预先配置有共享密钥,一旦共享密钥被破解,所有使用该共享密钥进行加密的账户密码都会泄露,这样,大量账户的账户信息都存在非常大的安全隐患。
因此,在采用对称加密方式进行接入认证的情况下,如何解决共享密钥的泄漏带来的安全隐患对于本领域技术人员是一个亟待解决的问题。
发明内容
本发明实施例的目的在于提供一种接入认证方法及装置,以在采用对称加密方式进行接入认证的情况下,解决共享密钥的泄漏带来的安全隐患。
本发明实施例提供了一种接入认证方法,应用于终端,所述方法包括:
在接收到携带账户名和账户密码的接入认证指令后,向目标设备发送携带所述账户名的种子获取请求,以使所述目标设备为所述账户名分配密钥种子、并将所述账户名与所分配的密钥种子的对应关系存储至账户信息数据库;
获得为所述账户名分配的密钥种子,并基于所述账户密码和所述密钥种子,生成第一加密账户密码;
向服务器发送携带所述账户名和所述第一加密账户密码的接入认证请求,以使所述服务器从所述账户信息数据库中获取所述接入认证请求中的账户名对应的账户密码和密钥种子,基于所获取的账户密码和密钥种子,生成第二加密账户密码,并根据所述第一加密账户密码和所述第二加密账户密码是否相同,确定是否同意所述接入认证请求。
本发明实施例还提供了一种接入认证方法,应用于服务器,所述方法包括:
获得终端发送的、携带账户名和第一加密账户密码的接入认证请求,所述第一加密账户密码是基于所述账户名对应的账户密码以及为所述账户名分配的密钥种子生成的;
从账户信息数据库中获取与所述接入认证请求中的账户名对应的账户密码和密钥种子,并基于所获取的账户密码和密钥种子,生成第二加密账户密码;
根据所述第一加密账户密码和所述第二加密账户密码是否相同,确定是否同意所述接入认证请求。
本发明实施例还提供了一种接入认证装置,应用于终端,所述装置包括:
第一发送模块,用于在接收到携带账户名和账户密码的接入认证指令后,向目标设备发送携带所述账户名的种子获取请求,以使所述目标设备为所述账户名分配密钥种子、并将所述账户名与所分配的密钥种子的对应关系存储至账户信息数据库;
第一生成模块,用于获得为所述账户名分配的密钥种子,并基于所述账户密码和所述密钥种子,生成第一加密账户密码;
第二发送模块,用于向服务器发送携带所述账户名和所述第一加密账户密码的接入认证请求,以使所述服务器从所述账户信息数据库中获取所述接入认证请求中的账户名对应的账户密码和密钥种子,基于所获取的账户密码和密钥种子,生成第二加密账户密码,并根据所述第一加密账户密码和所述第二加密账户密码是否相同,确定是否同意所述接入认证请求。
本发明实施例还提供了一种接入认证装置,应用于服务器,所述装置包括:
获得模块,用于获得终端发送的、携带账户名和第一加密账户密码的接入认证请求,所述第一加密账户密码是基于所述账户名对应的账户密码以及为所述账户名分配的密钥种子生成的;
第二生成模块,用于从账户信息数据库中获取与所述接入认证请求中的账户名对应的账户密码和密钥种子,并基于所获取的账户密码和密钥种子,生成第二加密账户密码;
认证模块,用于根据所述第一加密账户密码和所述第二加密账户密码是否相同,确定是否同意所述接入认证请求。
本方案中,终端无需预先传递或配置共享密钥,每次需要进行接入认证时,终端就会向目标设备发送种子获取请求,以使得目标设备为种子获取请求中的账户名分配密钥种子,并存储该账户名和该密钥种子的对应关系至账户信息数据库。在每次使用对称加密方式进行认证时,终端和服务器利用的都是目标设备针对本次接入认证过程生成的密钥种子,也就是说,每个密钥种子仅在一次完整的接入认证过程中是有效的。因此,即使针对某一次接入认证过程的密钥种子被不法分子破解了,不法分子也无法据此破解针对其余接入认证过程的密钥种子,更不用说破解出其余接入认证过程中在终端和服务器间传输的加密账户密码的密码明文了,相应地,用户的账户信息的安全性能够得到较好地保证。
容易看出,在采用对称加密方式进行接入认证的情况下,本方案能够较好地解决共享密钥的泄漏而带来的安全隐患。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为终端和服务器的组网结构示意图;
图2为本发明实施例所提供的一种应用于终端的接入认证方法的流程图;
图3为终端、服务器、种子生成设备、规则存储装置的组网结构示意图;
图4为本发明实施例所提供的一种应用于服务器的接入认证方法的流程图;
图5为本发明实施例所提供的一种应用于终端的接入认证装置的结构框图;
图6为本发明实施例所提供的一种应用于服务器的接入认证装置的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了解决现有技术存在的问题,本发明从终端和服务器的角度分别提供了一种接入认证方法及装置。
下面首先对本发明从终端的角度所提供的一种接入认证方法进行说明。
需要说明的是,该终端可以为手机或者平板电脑,当然,该终端的类型并不局限于此,具体可以根据实际情况来确定,在此不再一一赘述。可选的,该终端上可以安装有一专门用于接入认证的客户端,通过该客户端实现下述接入认证方法。
参见图2,图中示出了本发明实施例所提供的一种接入认证方法的流程图。如图2所示,该方法应用于终端,该方法可以包括如下步骤:
步骤S201,在接收到携带账户名和账户密码的接入认证指令后,向目标设备发送携带该账户名的种子获取请求,以使目标设备为该账户名分配密钥种子、并将该账户名与所分配的密钥种子的对应关系存储至账户信息数据库。需要说明的是,目标设备既可以是后续用于对终端进行认证的服务器;也可以是独立于服务器的、专门用来生成密钥种子的设备(例如图3中所示的种子生成设备),则终端的客户端中,需要预先存储有目标设备的地址信息,从而便于终端建立与目标设备间的第一传输通道。
可以理解的是,目标设备可以依据特定的种子生成算法来生成密钥种子,种子生成算法的运算复杂度可以根据实际需求任意设定,例如,种子生成算法可以利用随机数、图片二进制数据等参与运算。一般而言,种子生成算法的部署方式可以有两种:
一种方式中,种子生成算法可以直接部署在目标设备上。这样,当接收到目标设备发送的携带该账户名的种子获取请求后,目标设备能够直接利用部署于自身的种子生成算法,生成一密钥种子。
另一种方式中,种子生成算法可以部署在图3中所示的规则存储装置上。这样,当接收到目标设备发送的携带该账户名的种子获取请求后,目标设备能够从规则存储装置中获取到种子生成算法,其中,规则存储装置中存储的种子生成算法可以间隔预设时间进行更换,以增加生成的种子的保密性。之后,目标设备能够利用自身获取到的种子生成算法,生成一密钥种子。
无论采用上述哪种部署方式,在目标设备根据种子生成算法生成一密钥种子后,目标设备均会将生成的该密钥种子确定为为种子获取请求中的账户名分配的密钥种子。目标设备可以将分配的密钥种子发送给终端。
进一步的,目标设备可以对账户信息数据库进行遍历查找,以判断账户信息数据库中是否已经存储有该账户名和相应密钥种子的对应关系。
如果判断结果为否,这说明目标设备之前未接收到过携带该账户名的种子获取请求,因此,目标设备可以直接存储该账户名和所分配的密钥种子的对应关系至账户信息数据库中。
如果判断结果为是,这说明目标设备之前已经接收到过携带该账户名的种子获取请求,并为该账户名分配密钥种子了,因此,账户信息数据库内已经存储的该账户名对应的密钥种子并不是最新的,此时,目标设备可以利用所分配的密钥种子替换账户信息数据库内已经存储的该账户名对应的密钥种子,以使得账户信息数据库内存储的各账户名对应的密钥种子为目标设备为该账户名分配的最新的密钥种子。
步骤S202,获得为该账户名分配的密钥种子,并基于该账户密码和该密钥种子,生成第一加密账户密码。
步骤S203,向服务器发送携带该账户名和第一加密账户密码的接入认证请求,以使服务器从账户信息数据库中获取接入认证请求中的账户名对应的账户密码和密钥种子,基于所获取的账户密码和密钥种子,生成第二加密账户密码,并根据第一加密账户密码和第二加密账户密码是否相同,确定是否同意接入认证请求。
在步骤S203之后,终端会接收服务器发送的认证是否通过的响应信息。
由于账户信息数据库中当前既存储有账户名和账户密码的对应关系,也存储有账户名和密钥种子的对应关系,因此,在服务器获得了接入认证请求后,终端能够从账户信息数据库中获取到接入认证请求中的账户名对应的账户密码和密钥种子。之后,服务器就能基于获取到的账户密码和密钥种子,生成第二加密账户密码。
可选的,服务器生成第二加密账户密码的加密算法与终端生成第一加密账户密码的加密算法相同。当服务器生成第二加密账户密码后,其可以将第一加密账户密码和第二加密账户密码进行比对,以确定两者是否相同。如果两者相同,服务器就会同意终端的接入认证请求,并向终端返回接入成功的响应信息;如果两者不相同,服务器就会拒绝终端的接入认证请求,并向终端返回接入失败的响应信息。
本方案中,终端无需预先传递或配置共享密钥,每次需要进行接入认证时,终端就会向目标设备发送种子获取请求,以使得目标设备为种子获取请求中的账户名分配密钥种子,并存储该账户名和该密钥种子的对应关系至账户信息数据库。在每次使用对称加密方式进行认证时,终端和服务器利用的都是目标设备针对本次接入认证过程生成的密钥种子,也就是说,每个密钥种子仅在一次完整的接入认证过程中是有效的。因此,即使针对某一次接入认证过程的密钥种子被不法分子破解了,不法分子也无法据此破解针对其余接入认证过程的密钥种子,更不用说破解出其余接入认证过程中在终端和服务器间传输的加密账户密码的密码明文了,相应地,用户的账户信息的安全性能够得到较好地保证。
容易看出,在采用对称加密方式进行接入认证的情况下,本方案能够较好地解决共享密钥的泄漏而带来的安全隐患。
需要说明的是,第一加密账户密码和第二加密账户密码的生成方式均存在多种,下面进行举例介绍。
在本发明实施例的一种具体实施方式中,步骤S202中,基于该账户密码和该密钥种子,生成第一加密账户密码,可以包括:
步骤S2021,根据该账户密码、该密钥种子,以及预设的密钥生成算法,生成第一加密密钥。
其中,预设的密钥生成算法可以有多种,例如将该账户密码和该密钥种子中所包含的各字符串顺序排列,以生成第一加密密钥。具体地,假设该账户密码为1234,该密钥种子为56789,那么,终端可以将123456789作为第一加密密钥。当然,第一加密密钥的生成方式并不局限于此,具体可以根据实际情况来确定,本实施例对此不做任何限定。
步骤S2022,采用预设的第一加密算法,对第一加密密钥进行加密运算,生成第二加密密钥,其中,第二加密密钥所包含的字符串数量为预设数量的整数倍。
步骤S2023,采用预设的第二加密算法,并利用第二加密密钥对该账户密码进行加密,生成第一加密账户密码。
具体地,第一加密算法可以为消息摘要算法第五版MD5,第二加密算法可以为高级加密标准AES或者数据加密标准DES。
对于大多数加密算法而言,其一般要求加密密钥所包含的字符串数量为预设数量(例如8)的整数倍。因此,在生成第一加密密钥,例如123456789后,终端可以采用MD5对123456789进行加密,以得到字符串数量满足要求的第二加密密钥。之后,终端就能利用该包含的字符串数量满足要求的第二加密密钥对1234进行加密,以生成第一加密账户密码了。
本实施例中,当终端执行了步骤S203后,服务器相应的接收了接入认证请求,则服务器可以从账户信息数据库中获取该接入认证请求中的账户名对应的账户密码和密钥种子。
接下来,服务器先根据获取到的账户密码、密钥种子,以及预设的密钥生成算法,生成第三加密密钥;
然后,服务器采用预设的第一加密算法,对第三加密密钥进行加密运算,生成包含的字符串数量为预设数量的整数倍的第四加密密钥;
最后,服务器采用预设的第二加密算法,并利用第四加密密钥对获取到的账户密码进行加密,生成第二加密账户密码。
这样,服务器就能够根据第一加密账户密码和第二加密账户密码是否相同确定接入认证结果了。
容易看出,本实施例中,第一加密账户密码和第二加密账户密码的生成算法均较为简单,便于实施。
在本发明实施例的一种具体实施方式中,终端与目标设备通过第一传输通道传输密钥种子;终端与服务器通过第二传输通道传输接入认证请求。
其中,第一传输通道可以为SSL(Secure Socket Layer,安全套接字层)通道,当然,第一传输通道的类型并不局限于此,具体可以根据实际情况来确定,在此不再一一赘述。第二传输通道可以采用现有技术中终端与服务器之间用于接入认证的通信通道。
本实施例中,密钥种子和接入认证请求是通过两条不同的传输通道进行传输的,两个传输通道上传输的信息同时被破解的可能性比较低,这样有效地降低了不法分子通过截取传输通道上传输的信息破解密钥的可能性,从而进一步提高了用户的账户信息的安全性。
综上,在采用对称加密方式进行接入认证的情况下,本实施例能够较好地解决共享密钥的泄漏而带来的安全隐患。
下面对本发明从服务器的角度所提供的一种接入认证方法进行说明。
参见图4,图中示出了本发明实施例所提供的一种接入认证方法的流程图。如图4所示,该方法应用于服务器,该方法可以包括如下步骤:
步骤S401,获得终端发送的、携带账户名和第一加密账户密码的接入认证请求,第一加密账户密码是基于该账户名对应的账户密码以及为该账户名分配的密钥种子生成的。
对于终端而言,当其接收到用户输入的携带账户名和账户密码的接入认证指令后,其会向目标设备发送携带该账户名的种子获取请求。具体地,目标设备可以为服务器或者图3中所示的种子生成设备。
当目标设备接收到该种子获取请求后,目标设备会根据种子生成算法生成一密钥种子,该密钥种子即为目标设备为种子获取请求中的账户名分配的密钥种子。之后,目标设备会将该密钥种子和该账户名的对应关系存储至账户信息数据库,并将该密钥种子发送至终端。当终端接收到该密钥种子后,终端就能够基于该密钥种子,以及该账户名对应的账户密码生成第一加密账户密码,并向服务器发送携带该账户名和第一加密账户密码的接入认证请求了。
步骤S402,从账户信息数据库中获取与接入认证请求中的账户名对应的账户密码和密钥种子,并基于所获取的账户密码和密钥种子,生成第二加密账户密码。
容易理解的是,由于目标设备之前将种子获取请求中的账户名和为该账户名分配的密钥种子的对应关系存储在账户信息数据库中了,因此,当获得接入认证请求后,服务器可以从账户信息数据库中获取到接入认证请求中的账户名和密钥种子,并据此生成第二加密账户密码。
步骤S403,根据第一加密账户密码和第二加密账户密码是否相同,确定是否同意接入认证请求。
本方案中,服务器当接收到接入认证请求时,可以从账户信息数据库中获取账户密码和密钥种子。其中,该账户密码和密钥种子是终端在接收到用户输入的携带账户名和账户密码的接入认证指令后,向目标设备发送携带账户名的种子获取请求,目标设备在为该账户名分配密钥种子后,将账户名与所分配的密钥种子的对应关系存储至账户信息数据库的,可见,服务器内无需预先配置共享密钥,降低了预先配置共享密钥而造成的密钥泄露的风险。每次需要进行接入认证时,终端就会向目标设备发送种子获取请求,以使得目标设备为种子获取请求中的账户名分配密钥种子,并存储该账户名和该密钥种子的对应关系至账户信息数据库。在每次使用对称加密方式进行认证时,终端和服务器利用的都是目标设备针对本次接入认证过程生成的密钥种子,也就是说,每个密钥种子仅在一次完整的接入认证过程中是有效的。因此,即使针对某一次接入认证过程的密钥种子被不法分子破解了,不法分子也无法据此破解针对其余接入认证过程的密钥种子,更不用说破解出其余接入认证过程中在终端和服务器间传输的加密账户密码的密码明文了,相应地,用户的账户信息的安全性能够得到较好地保证。
容易看出,在采用对称加密方式进行接入认证的情况下,本方案能够较好地解决共享密钥的泄漏而带来的安全隐患。
在本发明实施例的一种具体实施方式中,服务器是通过不同于第一传输通道的第二传输通道获得终端发送的接入认证请求的,其中,第一传输通道是为账户名分配密钥种子时,向终端传递该密钥种子的通道。
其中,第一传输通道可以SSL(Secure Socket Layer,安全套接字层)通道,当然,第一传输通道的类型并不局限于此,具体可以根据实际情况来确定,在此不再一一赘述。第二传输通道可以采用现有技术中终端与服务器之间用于接入认证的通信通道。
容易理解的是,当目标设备为图3中所示的种子生成设备时,第一传输通道就是位于终端与种子生成设备之间的传输通道。当种子生成设备接收到终端发送的种子获取请求后,其会为该请求中的账户名分配密钥种子,并将分配的密钥种子通过第一传输通道传输至终端。
当目标设备为服务器时,第一传输通道就是位于终端与服务器之间的传输通道,这时,终端与服务器之间存在着两条传输通道,其中,第一传输通道是专门用来传输密钥种子的通道,第二传输通道是专门用来传输接入认证请求的。因此,在生成密钥种子后,服务器会将该密钥种子通过第一传输通道传输,而不通过第二传输通道进行传输。
本实施例中,密钥种子和接入认证请求是通过两条不同的传输通道进行传输的,两个传输通道上传输的信息同时被破解的可能性比较低,这样有效地降低了不法分子通过截取传输通道上传输的信息破解密钥的可能性,从而进一步提高了用户的账户信息的安全性。
本实施例提供了一种接入认证方法,图3为本实施例提供终端、服务器、种子生成设备、规则存储装置的组网结构示意图,该方法可以应用于该通信系统中。在上述实施例中的目标设备,可以具体采用本实施例中的种子生成设备来实现,种子生成设备与服务器为相互独立的设备。本实施例中的账户信息数据库、规则存储装置以及种子生成设备的功能可以集成于同一个执行主体上或者分布在三个不同的执行主体上,本实施例中,以分布在三个不同的执行主体上的情况为例进行说明,但是应当理解的是,不应当以此作为限制。
具体的,该接入认证方法包括:
步骤S31,终端向种子生成设备发送携带账户名的种子获取请求。
步骤S32,种子生成设备向账户信息数据库发送对种子生成算法的获取请求,以获取种子生成算法,其中种子生成算法是由规则存储装置预先下发至账户信息数据库的。
其中,种子生成算法可以间隔预设周期进行更新。
步骤S33,种子生成设备接收账户信息数据库发送的种子生成算法,根据种子生成算法为账户名分配密钥种子,向终端发送密钥种子;
步骤S34,种子生成设备向账户信息数据库发送账户信息,以使得账户信息数据库存储账户信息,账户信息中包括账户名和为账户名分配的密钥种子。
步骤S35,终端向服务器发送携带账户名和第一加密账户密码的接入认证请求,其中第一加密账户密码是根据账户密码和分配的密钥种子生成的;
步骤S36,服务器根据接入认证请求向账户信息数据库发送对账户信息的获取请求;
步骤S37,服务器接收账户密码和密钥种子,根据该账户密码和该密钥种子生成第二加密账户密码,根据第一加密账户密码和第二加密账户密码是否相同,确定是否同意接入认证请求。
本方案中,终端和服务器无需预先传递或配置共享密钥,每次需要进行接入认证时,终端就会向目标设备发送种子获取请求,以使得目标设备为种子获取请求中的账户名分配密钥种子,并存储该账户名和该密钥种子的对应关系至账户信息数据库。在每次使用对称加密方式进行认证时,终端和服务器利用的都是目标设备针对本次接入认证过程生成的密钥种子,也就是说,每个密钥种子仅在一次完整的接入认证过程中是有效的。因此,即使针对某一次接入认证过程的密钥种子被不法分子破解了,不法分子也无法据此破解针对其余接入认证过程的密钥种子,更不用说破解出其余接入认证过程中在终端和服务器间传输的加密账户密码的密码明文了,相应地,用户的账户信息的安全性能够得到较好地保证。
综上,在采用对称加密方式进行接入认证的情况下,本实施例能够较好地解决共享密钥的泄漏而带来的安全隐患。
下面对本发明从终端的角度所提供的一种接入认证装置进行说明。
参见图5,图中示出了本发明实施例所提供的一种接入认证装置的结构框图。如图5所示,该装置应用于终端,该装置可以包括:
第一发送模块51,用于在接收到携带账户名和账户密码的接入认证指令后,向目标设备发送携带该账户名的种子获取请求,以使目标设备为该账户名分配密钥种子、并将该账户名与所分配的密钥种子的对应关系存储至账户信息数据库;
第一生成模块52,用于获得为该账户名分配的密钥种子,并基于该账户密码和该密钥种子,生成第一加密账户密码;
第二发送模块53,用于向服务器发送携带该账户名和第一加密账户密码的接入认证请求,以使服务器从账户信息数据库中获取接入认证请求中的账户名对应的账户密码和密钥种子,基于所获取的账户密码和密钥种子,生成第二加密账户密码,并根据第一加密账户密码和第二加密账户密码是否相同,确定是否同意接入认证请求。
当然,该装置还包括接收模块(图中未示出),用于接收服务器发送的认证是否通过的响应信息。
本方案中,终端无需预先传递或配置共享密钥,每次需要进行接入认证时,终端就会向目标设备发送种子获取请求,以使得目标设备为种子获取请求中的账户名分配密钥种子,并存储该账户名和该密钥种子的对应关系至账户信息数据库。在每次使用对称加密方式进行认证时,终端和服务器利用的都是目标设备针对本次接入认证过程生成的密钥种子,也就是说,每个密钥种子仅在一次完整的接入认证过程中是有效的。因此,即使针对某一次接入认证过程的密钥种子被不法分子破解了,不法分子也无法据此破解针对其余接入认证过程的密钥种子,更不用说破解出其余接入认证过程中在终端和服务器间传输的加密账户密码的密码明文了,相应地,用户的账户信息的安全性能够得到较好地保证。
容易看出,在采用对称加密方式进行接入认证的情况下,本方案能够较好地解决共享密钥的泄漏而带来的安全隐患。
在本发明实施例的一种具体实施方式中,第一生成模块,可以包括:
第一生成子模块,用于根据账户密码、密钥种子,以及预设的密钥生成算法,生成第一加密密钥;
第二生成子模块,用于采用预设的第一加密算法,对第一加密密钥进行加密运算,生成第二加密密钥,其中,第二加密密钥所包含的字符串数量为预设数量的整数倍;
第三生成子模块,用于采用预设的第二加密算法,并利用第二加密密钥对账户密码进行加密,生成第一加密账户密码。
在本发明实施例的一种具体实施方式中,第一加密算法为消息摘要算法第五版MD5。
在本发明实施例的一种具体实施方式中,终端与目标设备通过第一传输通道传输密钥种子;终端与服务器通过第二传输通道传输接入认证请求。
综上,在采用对称加密方式进行接入认证的情况下,本实施例能够较好地解决共享密钥的泄漏而带来的安全隐患。
下面对本发明从服务器的角度所提供的一种接入认证装置进行说明。
参见图6,图中示出了本发明实施例所提供的一种接入认证装置的结构框图。如图6所示,该装置应用于服务器,该装置可以包括:
获得模块61,用于获得终端发送的、携带账户名和第一加密账户密码的接入认证请求,第一加密账户密码是基于该账户名对应的账户密码以及为该账户名分配的密钥种子生成的;
第二生成模块62,用于从账户信息数据库中获取与接入认证请求中的账户名对应的账户密码和密钥种子,并基于所获取的账户密码和密钥种子,生成第二加密账户密码;
认证模块63,用于根据第一加密账户密码和第二加密账户密码是否相同,确定是否同意接入认证请求。
本方案中,服务器当接收到接入认证请求时,可以从账户信息数据库中获取账户密码和密钥种子。其中,该账户密码和密钥种子是终端在接收到用户输入的携带账户名和账户密码的接入认证指令后,向目标设备发送携带账户名的种子获取请求,目标设备在为该账户名分配密钥种子后,将账户名与所分配的密钥种子的对应关系存储至账户信息数据库的,可见,服务器内无需预先配置共享密钥,降低了预先共享密钥而造成的密钥泄露的风险。每次需要进行接入认证时,终端就会向目标设备发送种子获取请求,以使得目标设备为种子获取请求中的账户名分配密钥种子,并存储该账户名和该密钥种子的对应关系至账户信息数据库。在每次使用对称加密方式进行认证时,终端和服务器利用的都是目标设备针对本次接入认证过程生成的密钥种子,也就是说,每个密钥种子仅在一次完整的接入认证过程中是有效的。因此,即使针对某一次接入认证过程的密钥种子被不法分子破解了,不法分子也无法据此破解针对其余接入认证过程的密钥种子,更不用说破解出其余接入认证过程中在终端和服务器间传输的加密账户密码的密码明文了,相应地,用户的账户信息的安全性能够得到较好地保证。
容易看出,在采用对称加密方式进行接入认证的情况下,本方案能够较好地解决共享密钥的泄漏而带来的安全隐患。
在本发明实施例的一种具体实施方式中,服务器是通过不同于第一传输通道的第二传输通道获得终端发送的接入认证请求的,其中,第一传输通道是为账户名分配密钥种子时,向终端传递该密钥种子的通道。具体的,当目标设备与服务器是两个不同的设备时,则第一传输通道是建立于目标设备与终端之间的传输通道。当目标设备的功能均集成于服务器中时,则第一传输通道是服务器与终端之间的传输通道,但是,为了密钥种子传递的安全性,第一传输通道与第二传输通道不同。
综上,在采用对称加密方式进行接入认证的情况下,本实施例能够较好地解决共享密钥的泄漏而带来的安全隐患。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (12)
1.一种接入认证方法,其特征在于,应用于终端,所述方法包括:
在接收到携带账户名和账户密码的接入认证指令后,向目标设备发送携带所述账户名的种子获取请求,以使所述目标设备为所述账户名分配密钥种子、并将所述账户名与所分配的密钥种子的对应关系存储至账户信息数据库;
获得为所述账户名分配的密钥种子,并基于所述账户密码和所述密钥种子,生成第一加密账户密码;
向服务器发送携带所述账户名和所述第一加密账户密码的接入认证请求,以使所述服务器从所述账户信息数据库中获取所述接入认证请求中的账户名对应的账户密码和密钥种子,基于所获取的账户密码和密钥种子,生成第二加密账户密码,并根据所述第一加密账户密码和所述第二加密账户密码是否相同,确定是否同意所述接入认证请求。
2.根据权利要求1所述的方法,其特征在于,所述基于所述账户密码和所述密钥种子,生成第一加密账户密码,包括:
根据所述账户密码、所述密钥种子,以及预设的密钥生成算法,生成第一加密密钥;
采用预设的第一加密算法,对所述第一加密密钥进行加密运算,生成第二加密密钥,其中,所述第二加密密钥所包含的字符串数量为预设数量的整数倍;
采用预设的第二加密算法,并利用所述第二加密密钥对所述账户密码进行加密,生成第一加密账户密码。
3.根据权利要求2所述的方法,其特征在于,所述第一加密算法为消息摘要算法第五版MD5。
4.根据权利要求1-3中任一项所述的方法,其特征在于,所述终端与所述目标设备通过第一传输通道传输所述密钥种子;所述终端与所述服务器通过第二传输通道传输所述接入认证请求。
5.一种接入认证方法,其特征在于,应用于服务器,所述方法包括:
获得终端发送的、携带账户名和第一加密账户密码的接入认证请求,所述第一加密账户密码是基于所述账户名对应的账户密码以及为所述账户名分配的密钥种子生成的;
从账户信息数据库中获取与所述接入认证请求中的账户名对应的账户密码和密钥种子,并基于所获取的账户密码和密钥种子,生成第二加密账户密码;
根据所述第一加密账户密码和所述第二加密账户密码是否相同,确定是否同意所述接入认证请求。
6.根据权利要求5所述的方法,其特征在于,所述服务器是通过不同于第一传输通道的第二传输通道获得所述终端发送的接入认证请求的,其中,所述第一传输通道是为所述账户名分配密钥种子时,向所述终端传递该密钥种子的通道。
7.一种接入认证装置,其特征在于,应用于终端,所述装置包括:
第一发送模块,用于在接收到携带账户名和账户密码的接入认证指令后,向目标设备发送携带所述账户名的种子获取请求,以使所述目标设备为所述账户名分配密钥种子、并将所述账户名与所分配的密钥种子的对应关系存储至账户信息数据库;
第一生成模块,用于获得为所述账户名分配的密钥种子,并基于所述账户密码和所述密钥种子,生成第一加密账户密码;
第二发送模块,用于向服务器发送携带所述账户名和所述第一加密账户密码的接入认证请求,以使所述服务器从所述账户信息数据库中获取所述接入认证请求中的账户名对应的账户密码和密钥种子,基于所获取的账户密码和密钥种子,生成第二加密账户密码,并根据所述第一加密账户密码和所述第二加密账户密码是否相同,确定是否同意所述接入认证请求。
8.根据权利要求7所述的装置,其特征在于,所述第一生成模块,包括:
第一生成子模块,用于根据所述账户密码、所述密钥种子,以及预设的密钥生成算法,生成第一加密密钥;
第二生成子模块,用于采用预设的第一加密算法,对所述第一加密密钥进行加密运算,生成第二加密密钥,其中,所述第二加密密钥所包含的字符串数量为预设数量的整数倍;
第三生成子模块,用于采用预设的第二加密算法,并利用所述第二加密密钥对所述账户密码进行加密,生成第一加密账户密码。
9.根据权利要求8所述的装置,其特征在于,所述第一加密算法为消息摘要算法第五版MD5。
10.根据权利要求7-9中任一项所述的装置,其特征在于,所述终端与所述目标设备通过第一传输通道传输所述密钥种子;所述终端与所述服务器通过第二传输通道传输所述接入认证请求。
11.一种接入认证装置,其特征在于,应用于服务器,所述装置包括:
获得模块,用于获得终端发送的、携带账户名和第一加密账户密码的接入认证请求,所述第一加密账户密码是基于所述账户名对应的账户密码以及为所述账户名分配的密钥种子生成的;
第二生成模块,用于从账户信息数据库中获取与所述接入认证请求中的账户名对应的账户密码和密钥种子,并基于所获取的账户密码和密钥种子,生成第二加密账户密码;
认证模块,用于根据所述第一加密账户密码和所述第二加密账户密码是否相同,确定是否同意所述接入认证请求。
12.根据权利要求11所述的装置,其特征在于,所述服务器是通过不同于第一传输通道的第二传输通道获得所述终端发送的接入认证请求的,其中,所述第一传输通道是为所述账户名分配密钥种子时,向所述终端传递该密钥种子的通道。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710276815.6A CN107124409B (zh) | 2017-04-25 | 2017-04-25 | 一种接入认证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710276815.6A CN107124409B (zh) | 2017-04-25 | 2017-04-25 | 一种接入认证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107124409A true CN107124409A (zh) | 2017-09-01 |
| CN107124409B CN107124409B (zh) | 2021-05-14 |
Family
ID=59724832
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710276815.6A Active CN107124409B (zh) | 2017-04-25 | 2017-04-25 | 一种接入认证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107124409B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108173886A (zh) * | 2018-03-28 | 2018-06-15 | 深圳市德联讯科技有限公司 | 一种采用指纹识别匹配快速接入的Wi-Fi联网设备 |
| CN108768640A (zh) * | 2018-06-06 | 2018-11-06 | 厦门科华恒盛股份有限公司 | 一种基于量子密钥的网络准入认证的方法及系统 |
| CN109257381A (zh) * | 2018-11-08 | 2019-01-22 | 江苏恒宝智能系统技术有限公司 | 一种密钥管理方法、系统及电子设备 |
| CN109639705A (zh) * | 2018-12-27 | 2019-04-16 | 成都国信安信息产业基地有限公司 | 云平台安全检测方法 |
| CN114157693A (zh) * | 2021-11-30 | 2022-03-08 | 四川虹美智能科技有限公司 | 通信设备的上电认证方法、通信模块和服务器 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101022337A (zh) * | 2007-03-28 | 2007-08-22 | 胡祥义 | 一种网络身份证的实现方法 |
| CN101908113A (zh) * | 2010-07-30 | 2010-12-08 | 深圳市江波龙电子有限公司 | 一种认证方法及认证系统 |
| CN102857340A (zh) * | 2011-06-27 | 2013-01-02 | 席继红 | 一种对称密码体制的加密方法 |
| CN103297403A (zh) * | 2012-03-01 | 2013-09-11 | 盛大计算机(上海)有限公司 | 一种实现动态密码认证的方法和系统 |
| US20140067678A1 (en) * | 2012-09-02 | 2014-03-06 | Mpayme Ltd. | Dispute code system for secure mobile payment |
| CN104393989A (zh) * | 2014-10-30 | 2015-03-04 | 北京神州泰岳软件股份有限公司 | 一种密钥协商方法及装置 |
-
2017
- 2017-04-25 CN CN201710276815.6A patent/CN107124409B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101022337A (zh) * | 2007-03-28 | 2007-08-22 | 胡祥义 | 一种网络身份证的实现方法 |
| CN101908113A (zh) * | 2010-07-30 | 2010-12-08 | 深圳市江波龙电子有限公司 | 一种认证方法及认证系统 |
| CN102857340A (zh) * | 2011-06-27 | 2013-01-02 | 席继红 | 一种对称密码体制的加密方法 |
| CN103297403A (zh) * | 2012-03-01 | 2013-09-11 | 盛大计算机(上海)有限公司 | 一种实现动态密码认证的方法和系统 |
| US20140067678A1 (en) * | 2012-09-02 | 2014-03-06 | Mpayme Ltd. | Dispute code system for secure mobile payment |
| CN104393989A (zh) * | 2014-10-30 | 2015-03-04 | 北京神州泰岳软件股份有限公司 | 一种密钥协商方法及装置 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108173886A (zh) * | 2018-03-28 | 2018-06-15 | 深圳市德联讯科技有限公司 | 一种采用指纹识别匹配快速接入的Wi-Fi联网设备 |
| CN108768640A (zh) * | 2018-06-06 | 2018-11-06 | 厦门科华恒盛股份有限公司 | 一种基于量子密钥的网络准入认证的方法及系统 |
| CN108768640B (zh) * | 2018-06-06 | 2021-10-08 | 科华数据股份有限公司 | 一种基于量子密钥的网络准入认证的方法及系统 |
| CN109257381A (zh) * | 2018-11-08 | 2019-01-22 | 江苏恒宝智能系统技术有限公司 | 一种密钥管理方法、系统及电子设备 |
| CN109639705A (zh) * | 2018-12-27 | 2019-04-16 | 成都国信安信息产业基地有限公司 | 云平台安全检测方法 |
| CN109639705B (zh) * | 2018-12-27 | 2021-08-31 | 成都国信安信息产业基地有限公司 | 云平台安全检测方法 |
| CN114157693A (zh) * | 2021-11-30 | 2022-03-08 | 四川虹美智能科技有限公司 | 通信设备的上电认证方法、通信模块和服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107124409B (zh) | 2021-05-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110535833B (zh) | 一种基于区块链的数据共享控制方法 | |
| CN109495274B (zh) | 一种去中心化智能锁电子钥匙分发方法及系统 | |
| CN103327002B (zh) | 基于属性的云存储访问控制系统 | |
| CN106161402B (zh) | 基于云环境的加密机密钥注入系统、方法及装置 | |
| CN107124409A (zh) | 一种接入认证方法及装置 | |
| CN111797415A (zh) | 基于区块链的数据共享方法、电子设备和存储介质 | |
| CN103929306B (zh) | 智能密钥设备和智能密钥设备的信息管理方法 | |
| CN105072125B (zh) | 一种http通信系统及方法 | |
| US11831753B2 (en) | Secure distributed key management system | |
| CN103973736A (zh) | 一种数据共享的方法及装置 | |
| CN106656490B (zh) | 量子白板数据存储方法 | |
| CN101815091A (zh) | 密码提供设备、密码认证系统和密码认证方法 | |
| CN204360381U (zh) | 移动设备 | |
| CN104767731A (zh) | 一种Restful移动交易系统身份认证防护方法 | |
| CN102082790A (zh) | 一种数字签名的加/解密方法及装置 | |
| CN106452770A (zh) | 一种数据加密方法、解密方法、装置和系统 | |
| CN106936588A (zh) | 一种硬件控制锁的托管方法、装置及系统 | |
| CN106685919A (zh) | 一种具有被动式动态密钥分发机制的安全云存储方法 | |
| CN110383755A (zh) | 网络设备和可信第三方设备 | |
| CN202455386U (zh) | 一种用于云存储的安全系统 | |
| CN104125230A (zh) | 一种短信认证服务系统以及认证方法 | |
| CN109815747A (zh) | 基于区块链的离线审计方法、电子装置及可读存储介质 | |
| CN110224816A (zh) | 基于密钥卡和序列号的抗量子计算应用系统以及近距离节能通信方法和计算机设备 | |
| CN104767766A (zh) | 一种Web Service接口验证方法、Web Service服务器、客户端 | |
| CN108965279A (zh) | 数据处理方法、装置、终端设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |