CN107566125A - 一种多算法结合的安全认证方法 - Google Patents
一种多算法结合的安全认证方法 Download PDFInfo
- Publication number
- CN107566125A CN107566125A CN201710780144.7A CN201710780144A CN107566125A CN 107566125 A CN107566125 A CN 107566125A CN 201710780144 A CN201710780144 A CN 201710780144A CN 107566125 A CN107566125 A CN 107566125A
- Authority
- CN
- China
- Prior art keywords
- algorithms
- algorithm
- identifying
- appointment
- certified
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种多算法结合的安全认证方法,包括下列步骤:1)认证方发送随机数给被认证方;2)被认证方跟据预先约定的选择算法,从预先约定的至少两个认证算法中选择本次认证将要采用的认证算法,然后根据所选出的认证算法和所接收到的随机数计算出认证校验值;再将认证校验值发送给认证方;3)认证方跟据所述的预先约定的选择算法,从所述的预先约定的至少两个认证算法中选择本次认证采用的认证算法,然后根据所选出的认证算法和步骤1)中的随机数计算出认证校验值;4)认证方将本地所计算出的认证校验值与所接收的来自于被认证方的认证校验值进行比对,进而判断认证结果。本发明能够有效地降低密钥被暴力破解的威胁。
Description
技术领域
本发明涉及信息安全技术领域,具体地说,本发明涉及一种安全认证方法。
背景技术
比较常见的认证方法为直接输入密码、签名或者指纹识别等。而对于保密要求高的行业(例如金融)来说,一般需要进行加密认证。例如基于安全芯片的加密认证。
加密认证通常是指:认证方A与被认证方B同时拥有密钥,A、B间互相认证时不可明文传输密钥,以防止第三方拦截。双方通过比对对相同输入的、按预先约定的同一认证算法得出的计算结果来认证可靠性。这样,即使明文和计算结果在传输过程中被拦截,也无法破译出密钥。
当前,安全芯片是市场上常见的实现加密认证的重要载体。通常来说,安全芯片是一个可独立进行密钥生成、加解密的装置,内部拥有独立的处理器和存储单元,可存储密钥和特征数据,为电脑、智能卡、可穿戴设备等提供加密和安全认证服务。用安全芯片进行加密,密钥被存储在硬件中,被窃的数据无法解密,从而保护商业隐私和数据安全。
而在认证算法方面,主要包括国密算法和国际加密算法。目前,常见的国密算法包括:SM2、SM3、SM4等。常见的国际加密算法包括:RSA、SHA/MD5、DES等。为了提高安全芯片的兼容性,同一安全芯片中往往同时集成了多种加密算法。这样,同一安全芯片就能够同时支持多种采用不同认证算法的安全应用。
然而,当前计算机硬件飞速发展,现有安全算法正面临挑战。这是由于第三方一般容易截获认证方A与被认证方B之间传递的明文和计算结果,而各种常见的加密算法通常也是公开的,理论上可以通过遍历的所有的加密算法的方式来尝试出A、B间的密钥。随着目前计算机技术的飞速发展,计算设备的计算速度正飞速提高,暴力破解所需的理论时间越来越短,密钥被暴力破解的风险日益提高,这给信息安全带来了新的威胁。
因此,当前迫切需要一种能够降低密钥被暴力破解的威胁的加密认证解决方案。
发明内容
本发明的任务是提供一种能够降低密钥被暴力破解的威胁的加密认证解决方案。
根据本发明的一个方面,提供了一种多算法结合的安全认证方法,包括下列步骤:
1)认证方发送随机数给被认证方;
2)被认证方跟据预先约定的选择算法,从预先约定的至少两个认证算法中选择本次认证将要采用的认证算法,然后根据所选出的认证算法和所接收到的随机数计算出认证校验值;再将认证校验值发送给认证方;
3)认证方跟据所述的预先约定的选择算法,从所述的预先约定的至少两个认证算法中选择本次认证采用的认证算法,然后根据所选出的认证算法和步骤1)中的随机数计算出认证校验值;
4)认证方将本地所计算出的认证校验值与所接收的来自于被认证方的认证校验值进行比对,进而判断认证结果。
其中,所述步骤2)和步骤3)中,所述选择算法是根据所述随机数的属性值来从至少两个可能取值中选出其中一个取值的算法。
其中,所述的预先约定的至少两个认证算法为国密SM4算法和3DES算法。
其中,所述步骤1)中,所述随机数为16字节随机数。
在一个实施例中,所述步骤2)和步骤3)中,所述选择算法是计算所述随机数的奇偶校验值,并将奇数值和偶数值分别对应为国密SM4算法或3DES算法。
在另一个实施例中,所述步骤2)和步骤3)中,所述选择算法是:先将随机数与密钥做异或运算,然后计算异或结果的奇偶校验值,再根据奇偶校验值来选择国密SM4算法还是3DES算法。
其中,所述认证方和被认证方中的至少一个为安全模块。
与现有技术相比,本发明具有下列技术效果:
1、本发明能够有效地降低密钥被暴力破解的威胁。
2、本发明特别适合与集成了多种加密算法的安全芯片配合使用,由于这类安全芯片本身已集成了多种加密算法,因此为实现多算法结合的安全认证而带来的额外开销很小。
附图说明
以下,结合附图来详细说明本发明的实施例,其中:
图1示出了本发明一个实施例中的国密SM4算法和3DES算法结合的安全认证方法。
具体实施方式
根据本发明的一个实施例,提供了国密SM4算法和3DES算法结合的安全认证方法。
为便于描述,下面首先从国密SM4算法以和3DES算法的原理入手进行分析。从原理上说,这两种算法具有如下特征:
1、两种算法密钥长度相同:国密SM4算法以和3DES算法的密钥长度都为16字节,虽然3DES算法的实际有效密钥长度为112个bit,但由于实际应用中的密钥设定以字节为单位,3DES密钥通常为16字节值。
2、两种算法中明文、密文数据块长度成整数倍。国密SM4算法明文、密文数据块长度为16字节,3DES算法明文、密文数据块长度为8字节。由于两算法处理的数据长度成整数倍,可以根据需要将新的认证方法中的数据块长度单元设置为16字节,两算法都可以对16字节的数据进行加解密操作。因此,结合这两种算法,有可能实现相同密钥、相同输入而得到不同的输出结果。
基于上述特性,本实施例提供了一种国密SM4算法和3DES算法结合的安全认证方法,该方法主要涉及认证方和被认证方两个功能实体,图1示出了该认证方法的流程,具体包括下列步骤:
步骤1:认证方和被认证方同时掌握一组16字节密钥。具体实现上,16字节密钥可以是由认证方生成后告知被认证方,也可以由认证方和被认证方根据预先协商的密钥生成算法计算获得。
步骤2:认证方生成16字节随机数,然后将该16字节随机数发送给被认证方。其中,随机数可以由硬件生成也可以由软件生成。
步骤3:被认证方跟据预先约定的选择算法,来选择本次认证将要采用的认证算法(也可称为加解密算法),即选择出本次认证是采用国密SM4算法还是3DES算法。选择算法是认证方和被认证方预先约定好的,在一个优选实施例中,选择算法可以是:首先16字节随机数与密钥做异或运算,然后计算异或结果的奇偶校验值,再根据奇偶校验值来选择国密SM4算法还是3DES算法。例如奇数对应国密SM4算法,偶数对应3DES算法。以上对选择算法的说明是示例性地,选择算法并不局限于上述优选实施例。只要该选择算法能够根据一定的输入(该输入是被认证方和认证方均已知的,例如前述的认证方生成并发送的16字节随机数),得出一个有两种取值可能的计算结果即可。这里的选择算法可以公开也可以只限认证方和被认证方掌握,并不公开。如果选择算法公开,此选择算法要包含第三方无法获取的信息,从而确保第三方无法获取加密算法。例如:本实施例中,添加了一步异或操作,即首先用16字节随机数与密钥做异或运算,这样就可以确保选择算法公开后第三方也无法获取加密算法。而在另一实施例中,选择算法不公开,此时可以直接使用16字节随机数的奇偶校验值来选择国密SM4算法还是3DES算法。
步骤4:被认证方基于所选择的认证算法和所收到的16字节随机数,计算本次认证的校验值(为便于描述,下文中有时也简称为认证校验值)并将该校验值发送给认证方。奇偶校验值决定了选择哪种算法进行计算,从而得到认证的校验值。国密SM4算法、3DES算法本身均为现有技术,因此对于计算校验值的具体方法,本文中不再赘述。
步骤5:认证方根据预先约定的选择算法得出本次认证所采用的认证算法,即选择出本次认证是采用国密SM4算法还是3DES算法。由于认证方的选择算法与被认证方的选择算法是完全一致的,因此可以保证在同一次认证中,认证方与被认证方采用的是同一认证算法。
步骤6:认证方根据所选出的认证算法和16字节随机数来计算本次认证的校验值,然后,将本地计算出的校验值与所接收的来自于被认证方的校验值进行比较,进而判断本次认证结果。如果本地计算出的校验值与所接收的来自于被认证方的校验值相同,则本次认证成功,如果不相同,则本次认证失败。
采用上述实施例的认证方法,能够显著地提高暴力破解的难度。
对于加密认证,暴力破解通常是指在传输过程中拦截大量的明文(即16字节的随机数)和计算结果(即认证校验值),然后结合对现有常见的认证算法的遍历,利用强大的计算能力短时间地从这些明文和计算结果中提取出规律,进而破解出背后隐藏的密钥。
而在本实施例中,由于明文和计算结果中混杂了两种不同的认证算法,并且,第三方无法得知认证方与被认证方之间约定的选择算法(即无法得知每次认证过程中采用的具体算法),因此要得出明文和计算结果之间的规律的难度将显著增加,从而降低暴力破解的威胁。
另一方面,现有的安全模块平台往往本身就需要集成多种加解密算法,以适配不同服务商的不同安全应用的要求,因此,为实现多算法结合的安全认证而带来的额外开销很小。这对于硬件资源较为紧张的安全模块(安全模块常用于智能IC卡、可穿戴设备等领域)来说,是一种额外的优势。也就是说,当前述实施例的认证方法应用在安全模块中时(此时所述认证方和被认证方中的至少一个为安全模块),将获得额外的优势。
需要注意,上述实施例仅仅是示意性的。在本发明的其它实施例中,也可以将国密SM4算法和3DES算法替换为其它互相适配的认证算法。相结合的认证算法也可以超过两个,例如三个、四个等。当相结合的认证算法数目为n个时,所述的选择算法也相应地具有n个可能的计算结果,它们分别对应于n个认证算法。
通常地,可以相结合的多个认证算法具备以下特性:1、这多个认证算法的密钥长度相同;2、各个认证算法的明文数据块长度成整数倍,各个认证算法的密文数据块长度成整数倍。
最后所应说明的是,以上实施例仅用以说明本发明的技术方案而非限制。尽管参照实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,对本发明的技术方案进行修改或者等同替换,都不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (7)
1.一种多算法结合的安全认证方法,包括下列步骤:
1)认证方发送随机数给被认证方;
2)被认证方跟据预先约定的选择算法,从预先约定的至少两个认证算法中选择本次认证将要采用的认证算法,然后根据所选出的认证算法和所接收到的随机数计算出认证校验值;再将认证校验值发送给认证方;
3)认证方跟据所述的预先约定的选择算法,从所述的预先约定的至少两个认证算法中选择本次认证采用的认证算法,然后根据所选出的认证算法和步骤1)中的随机数计算出认证校验值;
4)认证方将本地所计算出的认证校验值与所接收的来自于被认证方的认证校验值进行比对,进而判断认证结果。
2.根据权利要求1所述的多算法结合的安全认证方法,其特征在于,所述步骤2)和步骤3)中,所述选择算法是根据所述随机数的属性值来从至少两个可能取值中选出其中一个取值的算法。
3.根据权利要求1所述的多算法结合的安全认证方法,其特征在于,所述的预先约定的至少两个认证算法为国密SM4算法和3DES算法。
4.根据权利要求3所述的多算法结合的安全认证方法,其特征在于,所述步骤1)中,所述随机数为16字节随机数。
5.根据权利要求1所述的多算法结合的安全认证方法,其特征在于,所述步骤2)和步骤3)中,所述选择算法是计算所述随机数的奇偶校验值,并将奇数值和偶数值分别对应为国密SM4算法或3DES算法。
6.根据权利要求1所述的多算法结合的安全认证方法,其特征在于,所述步骤2)和步骤3)中,所述选择算法是:先将随机数与密钥做异或运算,然后计算异或结果的奇偶校验值,再根据奇偶校验值来选择国密SM4算法还是3DES算法。
7.根据权利要求1~6任意一项所述的多算法结合的安全认证方法,其特征在于,所述认证方和被认证方中的至少一个为安全模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710780144.7A CN107566125A (zh) | 2017-09-01 | 2017-09-01 | 一种多算法结合的安全认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710780144.7A CN107566125A (zh) | 2017-09-01 | 2017-09-01 | 一种多算法结合的安全认证方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107566125A true CN107566125A (zh) | 2018-01-09 |
Family
ID=60979002
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710780144.7A Pending CN107566125A (zh) | 2017-09-01 | 2017-09-01 | 一种多算法结合的安全认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107566125A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109039600A (zh) * | 2018-07-16 | 2018-12-18 | 烽火通信科技股份有限公司 | 一种无源光网络系统中协商加密算法的方法及系统 |
| CN109150840A (zh) * | 2018-07-25 | 2019-01-04 | 重庆邮电大学 | 一种车联网中更新包自适应防篡改的数据结构及方法 |
| CN110727614A (zh) * | 2019-09-24 | 2020-01-24 | 北京四达时代软件技术股份有限公司 | Edid动态配置方法、装置及电子设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110072121A1 (en) * | 2005-12-19 | 2011-03-24 | Nippon Telegraph And Telephone Corporation | Terminal Identification Method, Authentication Method, Authentication System, Server, Terminal, Wireless Base Station, Program, and Recording Medium |
| CN102263639A (zh) * | 2010-05-31 | 2011-11-30 | 索尼公司 | 认证装置、认证方法、程序和签名生成装置 |
| CN106156548A (zh) * | 2015-04-10 | 2016-11-23 | 杭州海康威视数字技术股份有限公司 | 用于程序加密的认证方法和装置 |
-
2017
- 2017-09-01 CN CN201710780144.7A patent/CN107566125A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110072121A1 (en) * | 2005-12-19 | 2011-03-24 | Nippon Telegraph And Telephone Corporation | Terminal Identification Method, Authentication Method, Authentication System, Server, Terminal, Wireless Base Station, Program, and Recording Medium |
| CN102263639A (zh) * | 2010-05-31 | 2011-11-30 | 索尼公司 | 认证装置、认证方法、程序和签名生成装置 |
| CN106156548A (zh) * | 2015-04-10 | 2016-11-23 | 杭州海康威视数字技术股份有限公司 | 用于程序加密的认证方法和装置 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109039600A (zh) * | 2018-07-16 | 2018-12-18 | 烽火通信科技股份有限公司 | 一种无源光网络系统中协商加密算法的方法及系统 |
| CN109039600B (zh) * | 2018-07-16 | 2020-01-07 | 烽火通信科技股份有限公司 | 一种无源光网络系统中协商加密算法的方法及系统 |
| WO2020015338A1 (zh) * | 2018-07-16 | 2020-01-23 | 烽火通信科技股份有限公司 | 一种无源光网络系统中协商加密算法的方法及系统 |
| CN109150840A (zh) * | 2018-07-25 | 2019-01-04 | 重庆邮电大学 | 一种车联网中更新包自适应防篡改的数据结构及方法 |
| CN109150840B (zh) * | 2018-07-25 | 2021-04-20 | 重庆邮电大学 | 一种车联网中更新包自适应防篡改的数据结构及方法 |
| CN110727614A (zh) * | 2019-09-24 | 2020-01-24 | 北京四达时代软件技术股份有限公司 | Edid动态配置方法、装置及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Degabriele et al. | On the joint security of encryption and signature in EMV | |
| US9497021B2 (en) | Device for generating a message authentication code for authenticating a message | |
| US8989385B2 (en) | Data encryption method, data verification method and electronic apparatus | |
| US9166793B2 (en) | Efficient authentication for mobile and pervasive computing | |
| CN102082790B (zh) | 一种数字签名的加/解密方法及装置 | |
| US20060195402A1 (en) | Secure data transmission using undiscoverable or black data | |
| CN104322003B (zh) | 借助实时加密进行的密码认证和识别方法 | |
| CN110889696A (zh) | 一种基于sgx技术的联盟区块链秘钥存储方法、装置、设备及介质 | |
| CN104243494B (zh) | 一种数据处理方法 | |
| CN109428867A (zh) | 一种报文加解密方法、网路设备及系统 | |
| CN108111524A (zh) | 基于私钥动态生成机制的终端数据保护方法及系统 | |
| CN103684772B (zh) | 动态缺失加密系统 | |
| US9847879B2 (en) | Protection against passive sniffing | |
| CN106100823B (zh) | 保护密码装置 | |
| CN101145230B (zh) | 加密签名手写板及复合加密签名的方法 | |
| CN112653719A (zh) | 汽车信息安全存储方法、装置、电子设备和存储介质 | |
| CN107566125A (zh) | 一种多算法结合的安全认证方法 | |
| CN113726733B (zh) | 一种基于可信执行环境的加密智能合约隐私保护方法 | |
| US7424114B2 (en) | Method for enhancing security of public key encryption schemas | |
| US8806216B2 (en) | Implementation process for the use of cryptographic data of a user stored in a data base | |
| CN109792380B (zh) | 一种传递密钥的方法、终端及系统 | |
| CN117081736A (zh) | 密钥分发方法、密钥分发装置、通信方法及通信装置 | |
| Tsuji et al. | A one-time password authentication method for low spec machines and on internet protocols | |
| CN113239343B (zh) | 内部认证的加密方法、智能卡、内部认证方法以及读卡器 | |
| CN114338043A (zh) | 跨迪链征信数据加密存储及信用评分隐私计算方案 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180109 |