CN108023873B - 信道建立方法及终端设备 - Google Patents
信道建立方法及终端设备 Download PDFInfo
- Publication number
- CN108023873B CN108023873B CN201711090322.XA CN201711090322A CN108023873B CN 108023873 B CN108023873 B CN 108023873B CN 201711090322 A CN201711090322 A CN 201711090322A CN 108023873 B CN108023873 B CN 108023873B
- Authority
- CN
- China
- Prior art keywords
- client
- channel
- target user
- information
- authentication information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
Abstract
本发明实施例公开了一种信道建立方法及终端设备,其中,所述方法包括:获取客户端发送的第一认证信息,第一认证信息由客户端根据第一授权信息生成,第一授权信息为客户端接收的目标用户输入的授权信息;获取目标用户的目标用户身份标识,根据目标用户身份标识确定第二授权信息;根据第二授权信息生成第一会话密钥及第二认证信息;若检测第一认证信息与第二认证信息匹配,则根据第一会话密钥建立与所述客户端之间的安全信道,可以在需要与客户端通信时,建立与客户端之间的安全信道,不需要客户端具备安全存储密钥的能力,避免客户端密钥泄露,解决信道安全问题,同时使用对称密钥支持双向认证及密钥协商,对客户端功耗、性能要求低、适用范围广。
Description
技术领域
本发明属于通信技术领域,尤其涉及一种信道建立方法及终端设备。
背景技术
随着通信技术的发展,大量的应用已经在通信网络上部署,用于满足人们对通信的多样化需求。为了保证业务安全进行,需要在通信端点之间建立安全信道,现有建立安全信道的方式有两类:(1)基于预共享密钥的方式,需要在两个通信端点预置用于对端认证及密钥交换的对称密钥,通信端点需要保证密钥安全存储,一旦密钥泄露,安全性将得不到保证。而多数情况下,两个通信端点为“客户-服务器”形式,客户端需要长时间保持密钥的安全性。(2)基于证书的方式,在“客户-服务器”进行双向认证时,客户端需要保证密钥证书安全存储。但是现有由于客户端难以做到长时间保持密钥的安全性,无法保证信道安全。
发明内容
有鉴于此,本发明实施例提供了一种信道建立方法及终端设备,以解决现有信道建立技术由于客户端难以做到长时间保持密钥的安全性,无法保证信道安全的问题。
本发明实施例的第一方面提供了一种信道建立方法,包括:
获取客户端发送的第一认证信息,所述第一认证信息由所述客户端根据第一授权信息生成,所述第一授权信息为目标用户登录所述客户端后,所述客户端接收的所述目标用户输入的授权信息;
获取所述目标用户登录所述客户端时的目标用户身份标识,根据所述目标用户身份标识确定第二授权信息;
根据所述第二授权信息生成第一会话密钥及第二认证信息;
若检测所述第一认证信息与所述第二认证信息匹配,则根据所述第一会话密钥建立与所述客户端之间的安全信道。
本发明实施例的第二方面提供了一种信道建立方法,包括:
获取目标用户输入的登录请求,所述登录请求携带目标用户身份标识;
接收所述目标用户输入的第一授权信息;
根据所述第一授权信息生成第一认证信息;
将所述第一认证信息发送至所述服务端,以使所述服务端根据所述目标用户登录所述客户端时的目标用户身份标识,确定第二授权信息,根据所述第二授权信息生成第一会话密钥及第二认证信息,若检测所述第一认证信息与所述第二认证信息匹配,则根据所述第一会话密钥建立与所述客户端之间的安全信道。
本发明实施例的第三方面提供了一种信道建立装置,包括:
第一认证信息获取单元,用于获取客户端发送的第一认证信息,所述第一认证信息由所述客户端根据第一授权信息生成,所述第一授权信息为目标用户登录所述客户端后,所述客户端接收的所述目标用户输入的授权信息;
授权信息确定单元,用于获取所述目标用户登录所述客户端时的目标用户身份标识,根据所述目标用户身份标识确定第二授权信息;
第一会话密钥及第二认证信息生成单元,用于根据所述第二授权信息生成第一会话密钥及第二认证信息;
安全信道建立单元,用于若检测所述第一认证信息与所述第二认证信息匹配,则根据所述第一会话密钥建立与所述客户端之间的安全信道。
本发明实施例的第四方面提供了一种信道建立装置,包括:
用户登录单元,用于获取目标用户输入的登录请求,所述登录请求携带目标用户身份标识;
授权信息接收单元,用于接收所述目标用户输入的第一授权信息;
第一认证信息生成单元,用于根据所述第一授权信息生成第一认证信息;
信息发送单元,用于将所述第一认证信息发送至所述服务端,以使所述服务端根据所述目标用户登录所述客户端时的目标用户身份标识,确定第二授权信息,根据所述第二授权信息生成第一会话密钥及第二认证信息,若检测所述第一认证信息与所述第二认证信息匹配,则根据所述第一会话密钥建立与所述客户端之间的安全信道。
本发明实施例的第五方面提供了一种信道建立终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一方面的方法。
本发明实施例的第六方面提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面的方法。
本发明实施例与现有技术相比存在的有益效果是:本发明实施例首先获取客户端发送的第一认证信息,然后获取目标用户登录所述客户端时的目标用户身份标识,根据所述目标用户身份标识确定第二授权信息,根据所述第二授权信息生成第一会话密钥及第二认证信息,若检测所述第一认证信息与所述第二认证信息匹配,则根据第一会话密钥建立与所述客户端之间的安全信道,可以在需要与客户端通信时,建立与客户端之间的安全信道,不需要客户端具备安全存储密钥的能力,避免客户端密钥泄露,解决信道安全问题,能够有效阻止基于信道监听的数据窃取、重放等攻击行为,同时使用对称密钥支持双向认证及密钥协商,对客户端功耗、性能要求低、适用范围广。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种信道建立方法的示意流程图;
图2是本发明另一实施例提供的一种信道建立方法的示意流程图;
图3是本发明再一实施例提供的一种信道建立方法的示意流程图;
图4是本发明又一实施例提供的一种信道建立方法的示意流程图;
图5是本发明又一实施例提供的一种信道建立方法的示意流程图;
图6是本发明又一实施例提供的一种信道建立方法的示意流程图;
图7是本发明又一实施例提供的一种信道建立方法的示意流程图;
图8是本发明实施例提供的一种信道建立装置的示意性框图;
图9是本发明另一实施例提供的一种信道建立装置示意性框图;
图10是本发明再一实施例提供的一种信道建立装置示意性框图;
图11是本发明实施例提供的一种信道建立终端设备的示意性框图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本发明实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本发明的描述。
参见图1,图1是本发明实施例提供的一种信道建立方法的示意流程图。本实施例中信道建立方法的执行主体为服务端,这里,服务端是为客户端提供服务的,运行服务端的电脑可以称之为服务器。如图1所示,在该实施例中,服务端的处理过程可以包括以下步骤:
S101:获取客户端发送的第一认证信息,所述第一认证信息由所述客户端根据第一授权信息生成,所述第一授权信息为目标用户登录所述客户端后,所述客户端接收的所述目标用户输入的授权信息。
这里,目标用户为在客户端操作的任意一个用户,目标用户首先需要登录客户端,可以通过目标用户身份标识和登录密码登录客户端,客户端可以在获取目标用户输入的目标用户身份标识和登录密码发起登录请求后,服务器根据预存的用户身份标识和密码的对应关系判断目标用户身份标识和登录密码是否正确,若判定目标用户身份标识和登录密码正确,则执行后续步骤,否则,拒绝目标用户登录客户端。目标用户成功登录客户端后,目标用户可以在客户端输入第一授权信息。客户端根据第一授权信息生成第一认证信息,将第一认证信息发送给服务端。
具体地,客户端和服务端之间可以建立两条信道,例如第一信道和第二信道。客户端和服务端可以在第一信道建立安全通道,目标用户可以通过第二信道获取服务端存储的第一授权信息,其中,第一信道可以为网络,第二信道可以为密码信封,短信,邮件,动态令牌等,目标用户可以通过第二信道在任意时间已任意方式获取第一授权信息,不限于在登录的时候获取,比如,可以在之前的时间通过密码信封获取。
S102:获取所述目标用户登录所述客户端时的目标用户身份标识,根据所述目标用户身份标识确定第二授权信息。
这里,服务端具备密钥安全存储能力,并且配备密钥分发及授权装置。
具体地,在根据所述目标用户身份标识确定第二授权信息之后,还可以包括:验证第二授权信息是否有效。具体验证第二授权信息是否有效的方式可以包括:获取第二授权信息的授权时间,将该时间与预设授权有效时间进行比较,若该时间小于预设授权有效时间,则验证第二授权信息有效,否则,验证第二授权信息失效。
S103:根据所述第二授权信息生成第一会话密钥及第二认证信息。
这里,服务端在需要与客户端通信时,生成第一会话密钥及第二认证信息,不需要客户端具备安全存储密钥的能力,避免客户端密钥泄露,也使不具备数据安全存储能力的设备也能够与服务端建立安全通信信道。
S104:若检测所述第一认证信息与所述第二认证信息匹配,则根据所述第一会话密钥建立与所述客户端之间的安全信道。
具体地,若检测所述第一认证信息与所述第二认证信息匹配,则会话密钥协商成功,服务端可以根据第一会话密钥建立与客户端之间的安全信道,实现通信端点在非安全介质中的双向认证及密钥协商,若错误,则会话密钥协商失败,停止操作,生成信道建立失败信息。
从以上描述可知,本发明实施例信道建立方法,可以在需要与客户端通信时,建立与客户端之间的安全信道,不需要客户端具备安全存储密钥的能力,避免客户端密钥泄露,解决信道安全问题,能够有效阻止基于信道监听的数据窃取、重放等攻击行为,同时使用对称密钥支持双向认证及密钥协商,对客户端功耗、性能要求低、适用范围广。
请参阅图2,图2为本发明另一实施例提供的一种信道建立方法的示意流程图。本实施例上述实施例的区别在于S203~S206,其中S201~S202与上一实施例中的S101~S102相同,具体请参阅上述实施例中S101~S102的相关描述,此处不赘述。本实施例中的信道建立方法还可以包括:
S203:检测所述第二授权信息的使用次数是否小于预设次数阈值。
这里,服务端可以预设次数阈值,将第二授权信息的使用次数与预设次数阈值进行比较,同时服务端还可以预设授权有效时间,将第二授权信息的授权时间与预设授权有效时间进行比较,判断第二授权信息的使用次数是否小于预设次数阈值,且判断第二授权信息的授权时间是否小于预设授权有效时间。
S204:若检测到所述使用次数小于所述预设次数阈值,则执行所述根据所述第二授权信息生成第一会话密钥及第二认证信息的步骤,并在生成第一会话密钥及第二认证信息之后更新所述第二授权信息的使用次数。
S205:若检测所述第一认证信息与所述第二认证信息匹配,则根据所述第一会话密钥建立与所述客户端之间的安全信道。
S206:若检测到所述使用次数等于或大于所述预设次数阈值,则停止建立所述安全信道,生成第一信道建立失败信息。
具体地,第一信道建立失败信息可以携带信道建立失败原因,例如所述使用次数等于或大于所述预设次数阈值。若判定第二授权信息的使用次数小于预设次数阈值,则执行步骤S204~S205,否则,执行步骤S206。上述如果有判断第二授权信息的授权时间是否小于预设授权有效时间,那么要在判定第二授权信息的使用次数小于预设次数阈值,且判定第二授权信息的授权时间小于预设授权有效时间时,执行步骤S204~S205,否则,执行步骤S206。
这里,在建立安全通道之前,验证第二授权信息是否有效,在验证有效时才执行后续安全通道建立步骤,否则停止操作,避免授权信息失效,保证信道安全。
请参阅图3,图3为本发明再一实施例提供的一种信道建立方法的示意流程图。本实施例上述实施例的区别在于S304~S306,其中S301~S303与上一实施例中的S101~S103相同,具体请参阅上述实施例中S101~S103的相关描述,此处不赘述。本实施例中的信道建立方法还可以包括:
S304:将所述第二授权信息的使用次数发送至所述客户端,以使所述客户端显示所述第二授权信息的使用次数,生成一个是否停止建立信道的提示。
这里,获取第二授权信息的使用次数,并将该使用次数发送至客户端显示,客户端生成一个是否停止建立信道的提示,目标用户可以在客户端查看第二授权信息的使用次数,判断第二授权信息的使用次数与自己使用第二授权信息的次数是否相同,若相同,说明第二授权信息没有被其他人使用,授权信息没有泄露,信息安全,可以根据第二授权信息执行后续信道建立步骤,否则,第二授权信息已经被其他人使用,需要重新授权,停止根据第二授权信息建立信道。
S305:若检测所述第一认证信息与所述第二认证信息匹配,且接收到所述目标用户通过所述客户端发送的确认建立信道信息,则执行所述根据所述第一会话密钥建立与所述客户端之间的安全信道的步骤。
S306:若接收到所述目标用户通过所述客户端发送的停止建立信道信息,则根据所述信息停止建立所述安全信道,生成第二信道建立失败信息。
具体地,第二信道建立失败信息可以携带信道建立失败原因,例如所述停止建立信道信息。若接收到目标用户通过客户端发送的确认建立信道信息,则执行步骤S305,否则,执行步骤S306。
这里,在建立安全通道之前,将第二授权信息的使用次数发送至客户端显示,通过客户端接收目标用户发送的信息,若该信息是确认建立信道信息才执行后续安全通道建立步骤,否则停止操作,避免授权信息泄露,保证信息安全。
请参阅图4,图4为本发明又一实施例提供的一种信道建立方法的示意流程图。本实施例上述实施例的区别在于S403~S407,其中S401~S402与上一实施例中的S101~S102相同,具体请参阅上述实施例中S101~S102的相关描述,此处不赘述。所述第一认证信息包括第一摘要,所述第一摘要由所述客户端根据第二会话密钥、服务端随机数和客户端随机数确定,所述服务端随机数由服务端在所述目标用户登录所述客户端时生成,所述客户端随机数由所述客户端在所述目标用户登录所述客户端时生成,所述第二会话密钥由所述客户端根据所述第一授权信息、所述服务端随机数和所述客户端随机数生成。第二认证信息包括第二摘要。本实施例中的信道建立方法还可以包括:
S403:根据所述第二授权信息、所述服务端随机数和所述客户端随机数,生成第一会话密钥。
S404:根据所述第一会话密钥、所述服务端随机数和所述客户端随机数,计算第二摘要。
S405:将所述第二摘要与所述第一摘要进行比较。
S406:若所述第二摘要与所述第一摘要相同,则检测所述第一认证信息与所述第二认证信息匹配,根据所述第一会话密钥建立与所述客户端之间的安全信道。
S407:若所述第二摘要与所述第一摘要不同,则检测所述第一认证信息与所述第二认证信息不匹配,停止建立所述安全信道。
具体地,目标用户成功登录客户端后,客户端随机生成一个客户端随机数Rc,服务端随机生成一个服务端随机数Rs,目标用户可以在客户端输入第一授权信息。客户端混合第一授权信息、Rc、Rs产生第二会话密钥Ks,使用Ks计算Rc||Rs的第一摘要M,将Rc||M发送给服务端。
服务端根据所述第二授权信息、所述服务端随机数和所述客户端随机数,生成第一会话密钥Ks*,使用第一会话密钥Ks*计算客户端随机数Rc||服务端随机数Rs的第二摘要M*,将第二摘要M*与第一摘要M进行比较,若M*与M相同,检测所述第一认证信息与所述第二认证信息匹配,会话密钥协商成功,根据第一会话密建立与客户端之间的安全信道;若M*与M不同,检测所述第一认证信息与所述第二认证信息不匹配,会话密钥协商失败,停止建立上述安全信道,可以生成第三信道建立失败信息。
这里,在建立安全通道之前,检测第一认证信息与第二认证信息是否匹配,只有在验证匹配时才执行后续安全通道建立步骤,否则停止操作,保证信息安全,适合实际应用。
请参阅图5,图5为本发明又一实施例提供的一种信道建立方法的示意流程图。本实施例上述实施例的区别在于S505,其中S501~S504与上一实施例中的S101~S104相同,具体请参阅上述实施例中S101~S104的相关描述,此处不赘述。本实施例中的信道建立方法还可以包括:
S505:若检测到所述安全信道失效后,则删除所述第一会话密钥。
这里,例如,在检测到办理业务完成之后,或者出现异常(长时间无操作,客户端连接中断等)时,立即销毁第一会话密钥,避免由于客户端、第二信道等泄露第一会话密钥而被攻击者重复利用,能够有效阻止基于信道监听的数据窃取、重放等攻击行为。
图6是本发明又一实施例提供的一种信道建立方法的示意流程图,在该实施例中,是以客户端的角度触发为例进行说明,这里,客户端与服务端进行信息交互,客户端可以为手机、平板电脑等移动终端,但并不限于此,还可以为其他终端。如图6所示,在该实施例中,客户端的处理过程可以包括以下步骤:
S601:获取目标用户输入的登录请求,所述登录请求携带目标用户身份标识。
这里,目标用户身份标识可以为目标用户账号、目标用户姓名等。
具体地,客户端在获取目标用户输入的登录请求后,向服务器发起登录请求,服务器根据预存的身份标识判断目标用户身份标识是否正确,若判定目标用户身份标识正确,则执行生成客户端随机数的步骤,否则,拒绝目标用户登录客户端。
S602:接收所述目标用户输入的第一授权信息。
这里,以客户端和服务端之间建立两条信道为例,客户端和服务端可以在第一信道建立安全通道,目标用户可以通过第二信道获取服务端存储的第一授权信息。
S603:根据所述第一授权信息生成第一认证信息。
S604:将所述第一认证信息发送至所述服务端,以使所述服务端根据所述目标用户登录所述客户端时的目标用户身份标识,确定第二授权信息,根据所述第二授权信息生成第一会话密钥及第二认证信息,若检测所述第一认证信息与所述第二认证信息匹配,则根据所述第一会话密钥建立与所述客户端之间的安全信道。
这里,客户端将第一认证信息发送给服务端,服务端预先存储用户身份标识与授权信息的对应关系,在目标用户登录客户端后,服务端根据目标用户登录客户端输入的目标用户身份标识和上述对应关系,找到目标用户身份标识对应的第二授权信息。
具体地,服务端在确定所述目标用户身份标识对应的第二授权信息之后,还可以包括:验证第二授权信息是否有效,若验证第二授权信息有效,则执行根据所述第二授权信息生成第一会话密钥及第二认证信息的步骤,否则停止操作。具体验证第二授权信息是否有效的方式可以包括:获取第二授权信息的授权时间,将该时间与预设授权有效时间进行比较,若该时间小于预设授权有效时间,则验证第二授权信息有效,否则,验证第二授权信息失效。或者,判断所述第二授权信息的使用次数是否小于预设次数阈值;若判定所述第二授权信息的使用次数小于所述预设次数阈值,则执行根据所述第二授权信息生成第一会话密钥及第二认证信息的步骤,并在生成第一会话密钥之后更新所述第二授权信息的使用次数;若判定所述使用次数等于或大于所述预设次数阈值,则停止建立所述安全信道,生成第一信道建立失败信息。
为了更好地理解上述方法,以下详细阐述一个本发明信道建立方法的应用实例。
结合上述各个实施例,在本实施例中,以客户端和服务端之间的交互过程为例进行说明,这种说明并不用以对本发明方案构成限定。
如图7所示,本应用实例可以包括:
S701:客户端获取目标用户输入的登录请求,所述登录请求携带目标用户身份标识及登录密码。
S702:客户端向服务器发送登录请求,服务器根据预存的用户身份标识与密码的对应关系判断上述目标用户身份标识及登录密码是否正确。
S703:若判定上述目标用户身份标识及登录密码均正确,则客户端生成客户端随机数Rc,接收目标用户输入的第一授权信息。
S704:客户端从服务器获取服务端随机数Rs,所述服务端随机数Rs由服务器在目标用户登录客户端时随机生成。
S705:客户端根据客户端随机数Rc、第一授权信息和服务端随机数Rs,生成第二会话密钥Ks。
S706:客户端使用第二会话密钥Ks计算得到Rc||Rs的第一摘要M,将第一摘要M发送给服务端。
S707:服务端获取目标用户登录客户端时的目标用户身份标识,确定目标用户身份标识对应的第二授权信息。
这里,服务端预先存储用户身份标识与授权信息的对应关系,在目标用户登录客户端后,服务端根据目标用户登录客户端输入的目标用户身份标识和上述对应关系,找到目标用户身份标识对应的第二授权信息。
S708:服务端判断第二授权信息的使用次数是否小于预设次数阈值,若判定第二授权信息的使用次数小于预设次数阈值,则根据第二授权信息、服务端随机数Rs和客户端随机数Rc,生成第一会话密钥Ks*,并在生成第一会话密钥之后更新第二授权信息的使用次数;若判定所述使用次数等于或大于预设次数阈值,则停止建立信道,生成第一信道建立失败信息。
具体地,服务端在确定目标用户身份标识对应的第二授权信息之后,可以包括:验证第二授权信息是否有效。具体验证第二授权信息是否有效的方式除了上述步骤S708外还可以包括:获取第二授权信息的授权时间,将该时间与预设授权有效时间进行比较,若该时间小于预设授权有效时间,则验证第二授权信息有效,否则,验证第二授权信息失效。
这里,服务端在需要与客户端通信时,生成第一会话密钥,不需要客户端具备安全存储密钥的能力,避免客户端密钥泄露,也使不具备数据安全存储能力的设备也能够与服务端建立安全通信信道。
S709:服务端生成第一会话密钥Ks*之后,根据第一会话密钥Ks*、服务端随机数Rs和客户端随机数Rc,计算第二摘要M*。
S710:服务端将第二摘要与第一摘要进行比较,若第二摘要与第一摘要相同,则验证第一摘要正确;若第二摘要与第一摘要不同,则验证第一摘要错误。
S711:若验证第一摘要正确,则服务端根据第一会话密钥建立与客户端之间的安全信道。
具体地,若验证第一摘要正确,则会话密钥协商成功,服务端可以根据第一会话密钥建立与客户端之间的安全信道,实现通信端点在非安全介质中的双向认证及密钥协商,若错误,则会话密钥协商失败,停止操作,生成信道建立失败信息。
S712:服务端若检测到安全信道失效,则删除第一会话密钥。
这里,例如,在检测到安全信道被使用后,立即销毁第一会话密钥,避免由于客户端、第二信道等泄露第一会话密钥而被攻击者重复利用,能够有效阻止基于信道监听的数据窃取、重放等攻击行为。
从以上描述可知,本实施例首先客户端发送客户端随机数和第一摘要到服务端,服务端根据目标用户登录客户端时的目标用户身份标识,确定目标用户身份标识对应的第二授权信息;根据第二授权信息、服务端随机数和客户端随机数,生成第一会话密钥;若验证第一摘要正确,则服务端根据第一会话密钥建立与客户端之间的安全信道,可以在需要与客户端通信时,建立与客户端之间的安全信道,不需要客户端具备安全存储密钥的能力,避免客户端密钥泄露,解决信道安全问题,能够有效阻止基于信道监听的数据窃取、重放等攻击行为,同时使用对称密钥支持双向认证及密钥协商,对客户端功耗、性能要求低、适用范围广。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
对应于上文实施例所述的信道建立方法,图8示出了本发明实施例提供的一种信道建立装置的示意性框图。本实施例的信道建立装置800包括的各单元用于执行图1对应的实施例中的各步骤,具体请参阅图1及图1对应的实施例中的相关描述,此处不赘述。本实施例的信道建立装置800包括第一认证信息获取单元801、授权信息确定单元802、第一会话密钥及第二认证信息生成单元803及安全信道建立单元804。
其中,第一认证信息获取单元801,用于获取客户端发送的第一认证信息,所述第一认证信息由所述客户端根据第一授权信息生成,所述第一授权信息为目标用户登录所述客户端后,所述客户端接收的所述目标用户输入的授权信息。
授权信息确定单元802,用于获取所述目标用户登录所述客户端时的目标用户身份标识,根据所述目标用户身份标识确定第二授权信息。
第一会话密钥及第二认证信息生成单元803,用于根据所述第二授权信息生成第一会话密钥及第二认证信息。
安全信道建立单元804,用于若检测所述第一认证信息与所述第二认证信息匹配,则根据所述第一会话密钥建立与所述客户端之间的安全信道。
从以上描述可知,本发明实施例信道建立装置,可以在需要与客户端通信时,建立与客户端之间的安全信道,不需要客户端具备安全存储密钥的能力,避免客户端密钥泄露,解决信道安全问题,能够有效阻止基于信道监听的数据窃取、重放等攻击行为,同时使用对称密钥支持双向认证及密钥协商,对客户端功耗、性能要求低、适用范围广。
参见图9,图9是本发明另一实施例提供的另一种信道建立装置的示意性框图。本实施例的信道建立装置900包括第一认证信息获取单元901、授权信息确定单元902、第一会话密钥及第二认证信息生成单元903、安全信道建立单元904、次数检测单元905、第一信道停止单元906、次数发送单元907、第二信道停止单元908及密钥删除单元909。
其中第一认证信息获取单元901、授权信息确定单元902、第一会话密钥及第二认证信息生成单元903、安全信道建立单元904具体请参阅图8及图8对应的实施例中第一认证信息获取单元801、授权信息确定单元802、第一会话密钥及第二认证信息生成单元803、安全信道建立单元804的相关描述,此处不赘述。
进一步的,次数检测单元905,用于检测所述第二授权信息的使用次数是否小于预设次数阈值。
第一会话密钥及第二认证信息生成单元903,用于若检测到所述使用次数小于所述预设次数阈值,则执行所述根据所述第二授权信息生成第一会话密钥及第二认证信息的步骤,并在生成第一会话密钥及第二认证信息之后更新所述第二授权信息的使用次数。
第一信道停止单元906,用于若检测到所述使用次数等于或大于所述预设次数阈值,则停止建立所述安全信道,生成第一信道建立失败信息。
进一步的,次数发送单元907,用于将所述第二授权信息的使用次数发送至所述客户端,以使所述客户端显示所述第二授权信息的使用次数,生成一个是否停止建立信道的提示。
安全信道建立单元904,用于若接收到所述目标用户通过所述客户端发送的确认建立信道信息,则执行所述根据所述第一会话密钥建立与所述客户端之间的安全信道的步骤。
第二信道停止单元908,用于若接收到所述目标用户通过所述客户端发送的停止建立信道信息,则根据所述信息停止建立所述安全信道,生成第二信道建立失败信息。
进一步的,所述第一认证信息包括第一摘要,所述第一摘要由所述客户端根据第二会话密钥、服务端随机数和客户端随机数确定,所述服务端随机数由服务端在所述目标用户登录所述客户端时生成,所述客户端随机数由所述客户端在所述目标用户登录所述客户端时生成,所述第二会话密钥由所述客户端根据所述第一授权信息、所述服务端随机数和所述客户端随机数生成;
第二认证信息包括第二摘要。
第一会话密钥及第二认证信息生成单元903,用于根据所述第二授权信息、所述服务端随机数和所述客户端随机数,生成第一会话密钥;
根据所述第一会话密钥、所述服务端随机数和所述客户端随机数,计算第二摘要。
安全信道建立单元904,用于将所述第二摘要与所述第一摘要进行比较;
若所述第二摘要与所述第一摘要相同,则检测所述第一认证信息与所述第二认证信息匹配,根据所述第一会话密钥建立与所述客户端之间的安全信道;若所述第二摘要与所述第一摘要不同,则检测所述第一认证信息与所述第二认证信息不匹配,停止建立所述安全信道。
进一步的,密钥删除单元909,用于若检测到所述安全信道失效后,则删除所述第一会话密钥。
从以上描述可知,本实施例可以在需要与客户端通信时,建立与客户端之间的安全信道,不需要客户端具备安全存储密钥的能力,避免客户端密钥泄露,解决信道安全问题,能够有效阻止基于信道监听的数据窃取、重放等攻击行为,同时使用对称密钥支持双向认证及密钥协商,对客户端功耗、性能要求低、适用范围广。
对应于上文实施例所述的信道建立方法,图10示出了本发明实施例提供的再一种信道建立装置的示意性框图。本实施例的信道建立装置1000包括的各单元用于执行图6对应的实施例中的各步骤,具体请参阅图6及图6对应的实施例中的相关描述,此处不赘述。本实施例的信道建立装置1000包括用户登录单元1001、授权信息接收单元1002、第一认证信息生成单元1003及信息发送单元1004。
其中,用户登录单元1001,用于获取目标用户输入的登录请求,所述登录请求携带目标用户身份标识。
授权信息接收单元1002,用于接收所述目标用户输入的第一授权信息。
第一认证信息生成单元1003,用于根据所述第一授权信息生成第一认证信息。
信息发送单元1004,用于将所述第一认证信息发送至所述服务端,以使所述服务端根据所述目标用户登录所述客户端时的目标用户身份标识,确定第二授权信息,根据所述第二授权信息生成第一会话密钥及第二认证信息,若检测所述第一认证信息与所述第二认证信息匹配,则根据所述第一会话密钥建立与所述客户端之间的安全信道。
从以上描述可知,本发明实施例信道建立装置,可以在需要与客户端通信时,建立与客户端之间的安全信道,不需要客户端具备安全存储密钥的能力,避免客户端密钥泄露,解决信道安全问题,能够有效阻止基于信道监听的数据窃取、重放等攻击行为,同时使用对称密钥支持双向认证及密钥协商,对客户端功耗、性能要求低、适用范围广。
参见图11,图11是本发明再一实施例提供的一种信道建立终端设备的示意框图。如图11所示的本实施例中的信道建立终端设备1100可以包括:一个或多个处理器1101、一个或多个输入设备1102、一个或多个则输出设备1103及一个或多个存储器1104。上述处理器1101、输入设备1102、则输出设备1103及存储器1104通过通信总线1105完成相互间的通信。存储器1104用于存储计算机程序,所述计算机程序包括程序指令。处理器1101用于执行存储器1104存储的程序指令。其中,处理器1101被配置用于调用所述程序指令执行以下操作:
处理器1101用于获取客户端发送的第一认证信息,所述第一认证信息由所述客户端根据第一授权信息生成,所述第一授权信息为目标用户登录所述客户端后,所述客户端接收的所述目标用户输入的授权信息。
处理器1101还用于获取所述目标用户登录所述客户端时的目标用户身份标识,根据所述目标用户身份标识确定第二授权信息。
处理器1101还用于根据所述第二授权信息生成第一会话密钥及第二认证信息。
处理器1101还用于若检测所述第一认证信息与所述第二认证信息匹配,则根据所述第一会话密钥建立与所述客户端之间的安全信道。
处理器1101还用于检测所述第二授权信息的使用次数是否小于预设次数阈值。
处理器1101还用于若检测到所述使用次数小于所述预设次数阈值,则执行所述根据所述第二授权信息生成第一会话密钥及第二认证信息的步骤,并在生成第一会话密钥及第二认证信息之后更新所述第二授权信息的使用次数;若检测到所述使用次数等于或大于所述预设次数阈值,则停止建立所述安全信道,生成第一信道建立失败信息。
处理器1101还用于将所述第二授权信息的使用次数发送至所述客户端,以使所述客户端显示所述第二授权信息的使用次数,生成一个是否停止建立信道的提示。
处理器1101还用于若接收到所述目标用户通过所述客户端发送的确认建立信道信息,则执行所述根据所述第一会话密钥建立与所述客户端之间的安全信道的步骤;若接收到所述目标用户通过所述客户端发送的停止建立信道信息,则根据所述信息停止建立所述安全信道,生成第二信道建立失败信息。
进一步的,所述第一认证信息包括第一摘要,所述第一摘要由所述客户端根据第二会话密钥、服务端随机数和客户端随机数确定,所述服务端随机数由服务端在所述目标用户登录所述客户端时生成,所述客户端随机数由所述客户端在所述目标用户登录所述客户端时生成,所述第二会话密钥由所述客户端根据所述第一授权信息、所述服务端随机数和所述客户端随机数生成;
第二认证信息包括第二摘要。
处理器1101还用于根据所述第二授权信息、所述服务端随机数和所述客户端随机数,生成第一会话密钥;根据所述第一会话密钥、所述服务端随机数和所述客户端随机数,计算第二摘要。
处理器1101还用于将所述第二摘要与所述第一摘要进行比较;若所述第二摘要与所述第一摘要相同,则检测所述第一认证信息与所述第二认证信息匹配;若所述第二摘要与所述第一摘要不同,则检测所述第一认证信息与所述第二认证信息不匹配。
处理器1101还用于若检测到所述安全信道失效后,则删除所述第一会话密钥。
上述方案,处理器可以在需要与客户端通信时,建立与客户端之间的安全信道,不需要客户端具备安全存储密钥的能力,避免客户端密钥泄露,解决信道安全问题,能够有效阻止基于信道监听的数据窃取、重放等攻击行为,同时使用对称密钥支持双向认证及密钥协商,对客户端功耗、性能要求低、适用范围广。
应当理解,在本发明实施例中,所称处理器1101可以是中央处理单元(CentralProcessing Unit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(DigitalSignal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
输入设备1102可以包括触控板、指纹采传感器(用于采集用户的指纹信息和指纹的方向信息)、麦克风等,输出设备1103可以包括显示器(LCD等)、扬声器等。
该存储器1104可以包括只读存储器和随机存取存储器,并向处理器1101提供指令和数据。存储器1104的一部分还可以包括非易失性随机存取存储器。例如,存储器1104还可以存储设备类型的信息。
具体实现中,本发明实施例中所描述的处理器1101、输入设备1102、输出设备1103可执行本发明实施例提供的信道建立方法的各个实施例中所描述的实现方式,也可执行本发明实施例所描述的服务器的实现方式,在此不再赘述。
本发明又一实施例提供的一种信道建立终端设备与图11对应的实施例的区别在于:处理器被配置用于调用所述程序指令执行以下操作:
处理器用于获取目标用户输入的登录请求,所述登录请求携带目标用户身份标识。
处理器还用于接收所述目标用户输入的第一授权信息。
处理器还用于根据所述第一授权信息生成第一认证信息。
处理器还用于将所述第一认证信息发送至所述服务端,以使所述服务端根据所述目标用户登录所述客户端时的目标用户身份标识,确定第二授权信息,根据所述第二授权信息生成第一会话密钥及第二认证信息,若检测所述第一认证信息与所述第二认证信息匹配,则根据所述第一会话密钥建立与所述客户端之间的安全信道。
上述方案,处理器不需要客户端具备安全存储密钥的能力,避免客户端密钥泄露,解决信道安全问题,能够有效阻止基于信道监听的数据窃取、重放等攻击行为,同时使用对称密钥支持双向认证及密钥协商,对客户端功耗、性能要求低、适用范围广。
在本发明的另一实施例中提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令被处理器执行时实现:
获取客户端发送的第一认证信息,所述第一认证信息由所述客户端根据第一授权信息生成,所述第一授权信息为目标用户登录所述客户端后,所述客户端接收的所述目标用户输入的授权信息;
获取所述目标用户登录所述客户端时的目标用户身份标识,根据所述目标用户身份标识确定第二授权信息;
根据所述第二授权信息生成第一会话密钥及第二认证信息;
若检测所述第一认证信息与所述第二认证信息匹配,则根据所述第一会话密钥建立与所述客户端之间的安全信道。
进一步的,所述程序指令被处理器执行时实现:检测所述第二授权信息的使用次数是否小于预设次数阈值;
若检测到所述使用次数小于所述预设次数阈值,则执行所述根据所述第二授权信息生成第一会话密钥及第二认证信息的步骤,并在生成第一会话密钥及第二认证信息之后更新所述第二授权信息的使用次数;若检测到所述使用次数等于或大于所述预设次数阈值,则停止建立所述安全信道,生成第一信道建立失败信息。
进一步的,所述程序指令被处理器执行时实现:将所述第二授权信息的使用次数发送至所述客户端,以使所述客户端显示所述第二授权信息的使用次数,生成一个是否停止建立信道的提示;
若接收到所述目标用户通过所述客户端发送的确认建立信道信息,则执行所述根据所述第一会话密钥建立与所述客户端之间的安全信道的步骤;若接收到所述目标用户通过所述客户端发送的停止建立信道信息,则根据所述信息停止建立所述安全信道,生成第二信道建立失败信息。
进一步的,所述第一认证信息包括第一摘要,所述第一摘要由所述客户端根据第二会话密钥、服务端随机数和客户端随机数确定,所述服务端随机数由服务端在所述目标用户登录所述客户端时生成,所述客户端随机数由所述客户端在所述目标用户登录所述客户端时生成,所述第二会话密钥由所述客户端根据所述第一授权信息、所述服务端随机数和所述客户端随机数生成;
第二认证信息包括第二摘要。
所述程序指令被处理器执行时实现:根据所述第二授权信息、所述服务端随机数和所述客户端随机数,生成第一会话密钥;
根据所述第一会话密钥、所述服务端随机数和所述客户端随机数,计算第二摘要。
将所述第二摘要与所述第一摘要进行比较;
若所述第二摘要与所述第一摘要相同,则检测所述第一认证信息与所述第二认证信息匹配;若所述第二摘要与所述第一摘要不同,则检测所述第一认证信息与所述第二认证信息不匹配。
进一步的,所述程序指令被处理器执行时实现:若检测到所述安全信道失效后,则删除所述第一会话密钥。
所述计算机可读存储介质可以是前述任一实施例所述的服务器的内部存储单元,例如服务器的硬盘或内存。所述计算机可读存储介质也可以是所述服务器的外部存储设备,例如所述服务器上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述计算机可读存储介质还可以既包括所述服务器的内部存储单元也包括外部存储设备。所述计算机可读存储介质用于存储所述计算机程序及所述服务器所需的其他程序和数据。所述计算机可读存储介质还可以用于暂时地存储已经输出或者将要输出的数据。
在本发明的再一实施例中提供一种计算机可读存储介质,与上一实施例计算机可读存储介质区别在于:所述计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令被处理器执行时实现:
获取目标用户输入的登录请求,所述登录请求携带目标用户身份标识;
接收所述目标用户输入的第一授权信息;
根据所述第一授权信息生成第一认证信息;
将所述第一认证信息发送至所述服务端,以使所述服务端根据所述目标用户登录所述客户端时的目标用户身份标识,确定第二授权信息,根据所述第二授权信息生成第一会话密钥及第二认证信息,若检测所述第一认证信息与所述第二认证信息匹配,则根据所述第一会话密钥建立与所述客户端之间的安全信道。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的服务器和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的服务器和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (9)
1.一种信道建立方法,其特征在于,包括:
获取客户端发送的第一认证信息,所述第一认证信息由所述客户端根据第一授权信息生成,所述第一授权信息为目标用户登录所述客户端后,所述客户端接收的所述目标用户输入的授权信息;所述客户端和服务端在第一信道建立安全通道,目标用户通过第二信道获取所述服务端存储的第一授权信息,其中,第一信道可以为网络,第二信道可以为密码信封、短信、邮件、动态令牌;
获取所述目标用户登录所述客户端时的目标用户身份标识,根据所述目标用户身份标识确定第二授权信息;
检测所述第二授权信息的使用次数是否小于预设次数阈值,且判断第二授权信息的授权时间是否小于预设授权有效时间;
若检测到所述使用次数小于所述预设次数阈值,且判断第二授权信息的授权时间小于预设授权有效时间,则根据所述第二授权信息生成第一会话密钥及第二认证信息,并在生成第一会话密钥及第二认证信息之后更新所述第二授权信息的使用次数;
若检测所述第一认证信息与所述第二认证信息匹配,则根据所述第一会话密钥建立与所述客户端之间的安全信道;
若检测到所述使用次数等于或大于所述预设次数阈值,且判断第二授权信息的授权时间等于或大于预设授权有效时间,则停止建立所述安全信道,生成第一信道建立失败信息。
2.如权利要求1所述的信道建立方法,其特征在于,还包括:
将所述第二授权信息的使用次数发送至所述客户端,以使所述客户端显示所述第二授权信息的使用次数,生成一个是否停止建立信道的提示;
若接收到所述目标用户通过所述客户端发送的确认建立信道信息,则执行所述根据所述第一会话密钥建立与所述客户端之间的安全信道的步骤;若接收到所述目标用户通过所述客户端发送的停止建立信道信息,则根据所述信息停止建立所述安全信道,生成第二信道建立失败信息。
3.如权利要求1所述的信道建立方法,其特征在于,所述第一认证信息包括第一摘要,所述第一摘要由所述客户端根据第二会话密钥、服务端随机数和客户端随机数确定,所述服务端随机数由服务端在所述目标用户登录所述客户端时生成,所述客户端随机数由所述客户端在所述目标用户登录所述客户端时生成,所述第二会话密钥由所述客户端根据所述第一授权信息、所述服务端随机数和所述客户端随机数生成;
第二认证信息包括第二摘要;
所述根据所述第二授权信息生成第一会话密钥及第二认证信息包括:
根据所述第二授权信息、所述服务端随机数和所述客户端随机数,生成第一会话密钥;
根据所述第一会话密钥、所述服务端随机数和所述客户端随机数,计算第二摘要;
所述检测所述第一认证信息与所述第二认证信息匹配包括:
将所述第二摘要与所述第一摘要进行比较;
若所述第二摘要与所述第一摘要相同,则检测所述第一认证信息与所述第二认证信息匹配;若所述第二摘要与所述第一摘要不同,则检测所述第一认证信息与所述第二认证信息不匹配。
4.如权利要求1所述的信道建立方法,其特征在于,还包括:
若检测到所述安全信道失效后,则删除所述第一会话密钥。
5.一种信道建立方法,其特征在于,包括:
获取目标用户输入的登录请求,所述登录请求携带目标用户身份标识;
接收所述目标用户输入的第一授权信息;
根据所述第一授权信息生成第一认证信息;
将所述第一认证信息发送至服务端,以使所述服务端根据所述目标用户登录客户端时的目标用户身份标识,确定第二授权信息,根据所述第二授权信息生成第一会话密钥及第二认证信息,若检测所述第一认证信息与所述第二认证信息匹配,则根据所述第一会话密钥建立与所述客户端之间的安全信道;
其中,所述客户端和所述服务端在第一信道建立安全通道,目标用户通过第二信道获取所述服务端存储的第一授权信息,其中,第一信道可以为网络,第二信道可以为密码信封、短信、邮件、动态令牌。
6.一种信道建立装置,其特征在于,包括:
第一认证信息获取单元,用于获取客户端发送的第一认证信息,所述第一认证信息由所述客户端根据第一授权信息生成,所述第一授权信息为目标用户登录所述客户端后,所述客户端接收的所述目标用户输入的授权信息;所述客户端和服务端在第一信道建立安全通道,目标用户通过第二信道获取所述服务端存储的第一授权信息,其中,第一信道可以为网络,第二信道可以为密码信封、短信、邮件、动态令牌;
授权信息确定单元,用于获取所述目标用户登录所述客户端时的目标用户身份标识,根据所述目标用户身份标识确定第二授权信息;
次数检测单元,用于检测所述第二授权信息的使用次数是否小于预设次数阈值,且判断第二授权信息的授权时间是否小于预设授权有效时间;
第一会话密钥及第二认证信息生成单元,用于若检测到所述使用次数小于所述预设次数阈值,且判断第二授权信息的授权时间小于预设授权有效时间,则根据所述第二授权信息生成第一会话密钥及第二认证信息,并在生成第一会话密钥及第二认证信息之后更新所述第二授权信息的使用次数;
安全信道建立单元,用于若检测所述第一认证信息与所述第二认证信息匹配,则根据所述第一会话密钥建立与所述客户端之间的安全信道;
第一信道停止单元,用于若检测到所述使用次数等于或大于所述预设次数阈值,且判断第二授权信息的授权时间等于或大于预设授权有效时间,则停止建立所述安全信道,生成第一信道建立失败信息。
7.一种信道建立装置,其特征在于,包括:
用户登录单元,用于获取目标用户输入的登录请求,所述登录请求携带目标用户身份标识;
授权信息接收单元,用于接收所述目标用户输入的第一授权信息;
第一认证信息生成单元,用于根据所述第一授权信息生成第一认证信息;
信息发送单元,用于将所述第一认证信息发送至服务端,以使所述服务端根据所述目标用户登录客户端时的目标用户身份标识,确定第二授权信息,根据所述第二授权信息生成第一会话密钥及第二认证信息,若检测所述第一认证信息与所述第二认证信息匹配,则根据所述第一会话密钥建立与所述客户端之间的安全信道;
其中,所述客户端和所述服务端在第一信道建立安全通道,目标用户通过第二信道获取所述服务端存储的第一授权信息,其中,第一信道可以为网络,第二信道可以为密码信封、短信、邮件、动态令牌。
8.一种信道建立终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至4任一项所述方法的步骤。
9.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711090322.XA CN108023873B (zh) | 2017-11-08 | 2017-11-08 | 信道建立方法及终端设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711090322.XA CN108023873B (zh) | 2017-11-08 | 2017-11-08 | 信道建立方法及终端设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108023873A CN108023873A (zh) | 2018-05-11 |
| CN108023873B true CN108023873B (zh) | 2020-12-11 |
Family
ID=62079735
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711090322.XA Active CN108023873B (zh) | 2017-11-08 | 2017-11-08 | 信道建立方法及终端设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108023873B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109325342B (zh) * | 2018-09-10 | 2024-03-05 | 平安科技(深圳)有限公司 | 身份信息管理方法、装置、计算机设备和存储介质 |
| CN112328985A (zh) * | 2020-11-25 | 2021-02-05 | 北京百度网讯科技有限公司 | 权限管理方法、装置、设备和存储介质 |
| CN112868006B (zh) * | 2020-12-04 | 2022-04-08 | 华为技术有限公司 | 认证方法、设备及相关产品 |
| CN114726558A (zh) * | 2020-12-21 | 2022-07-08 | 航天信息股份有限公司 | 认证方法、装置、电子设备和存储介质 |
| CN112968971B (zh) * | 2021-03-15 | 2023-08-15 | 北京数字认证股份有限公司 | 会话连接建立的方法、装置、电子设备和可读存储介质 |
| CN113098964B (zh) * | 2021-04-01 | 2023-01-20 | 如东中天能源管理有限公司 | 通信连接的建立方法、装置和存储介质及电子设备 |
| CN115001749B (zh) * | 2022-05-05 | 2024-02-09 | 中科创达软件股份有限公司 | 设备授权方法、装置、设备及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1913437A (zh) * | 2006-08-25 | 2007-02-14 | 华为技术有限公司 | 初始会话协议应用网络及建立安全通道的装置和方法 |
| CN101997684A (zh) * | 2009-08-10 | 2011-03-30 | 北京多思科技发展有限公司 | 一种授权认证方法、装置以及系统 |
| CN105760745A (zh) * | 2014-12-15 | 2016-07-13 | 华为软件技术有限公司 | 权限管理方法及装置 |
| CN106341372A (zh) * | 2015-07-08 | 2017-01-18 | 阿里巴巴集团控股有限公司 | 终端的认证处理、认证方法及装置、系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8958559B2 (en) * | 2011-06-03 | 2015-02-17 | Apple Inc. | System and method for secure instant messaging |
| US10074374B2 (en) * | 2014-04-07 | 2018-09-11 | Barco N.V. | Ad hoc one-time pairing of remote devices using online audio fingerprinting |
-
2017
- 2017-11-08 CN CN201711090322.XA patent/CN108023873B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1913437A (zh) * | 2006-08-25 | 2007-02-14 | 华为技术有限公司 | 初始会话协议应用网络及建立安全通道的装置和方法 |
| CN101997684A (zh) * | 2009-08-10 | 2011-03-30 | 北京多思科技发展有限公司 | 一种授权认证方法、装置以及系统 |
| CN105760745A (zh) * | 2014-12-15 | 2016-07-13 | 华为软件技术有限公司 | 权限管理方法及装置 |
| CN106341372A (zh) * | 2015-07-08 | 2017-01-18 | 阿里巴巴集团控股有限公司 | 终端的认证处理、认证方法及装置、系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108023873A (zh) | 2018-05-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108023873B (zh) | 信道建立方法及终端设备 | |
| US8769289B1 (en) | Authentication of a user accessing a protected resource using multi-channel protocol | |
| CN109981562B (zh) | 一种软件开发工具包授权方法及装置 | |
| US8590024B2 (en) | Method for generating digital fingerprint using pseudo random number code | |
| CN110719173B (zh) | 一种信息处理方法及装置 | |
| WO2018046014A1 (zh) | 信息处理方法、装置、电子设备及计算机存储介质 | |
| WO2018046017A1 (zh) | 信息处理方法、装置、电子设备及计算机存储介质 | |
| CN105553926A (zh) | 一种认证方法、服务器以及终端 | |
| CN111131300B (zh) | 通信方法、终端及服务器 | |
| CN111182547B (zh) | 登录保护方法、装置及系统 | |
| CN107453871B (zh) | 口令生成方法、口令验证方法、支付方法及装置 | |
| KR101206854B1 (ko) | 고유식별자 기반 인증시스템 및 방법 | |
| CN112769789B (zh) | 一种加密通信方法及系统 | |
| CN112437068B (zh) | 认证及密钥协商方法、装置和系统 | |
| WO2006026925A1 (fr) | Procede d'etablissement de la cle d'authentification | |
| CN115527292B (zh) | 安全芯片的手机终端远程车辆解锁方法及安全芯片装置 | |
| CN113766450A (zh) | 车辆虚拟钥匙共享方法及移动终端、服务器、车辆 | |
| KR20170103691A (ko) | Ip 주소와 sms를 이용한 인증 방법 및 시스템 | |
| CN111131140A (zh) | 基于消息推送增强Windows操作系统登录安全性的方法和系统 | |
| KR102288444B1 (ko) | 인증모듈의 펌웨어 업데이트 방법, 장치 및 프로그램 | |
| CN113079506A (zh) | 网络安全认证方法、装置及设备 | |
| CN114844674B (zh) | 动态授权方法、系统、电子设备及存储介质 | |
| KR101298216B1 (ko) | 복수 카테고리 인증 시스템 및 방법 | |
| KR101737925B1 (ko) | 도전-응답 기반의 사용자 인증 방법 및 시스템 | |
| CN109779411B (zh) | 基于区块链的密码锁开锁方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |