CN109302412A - 基于CPK的VoIP通信处理方法、终端、服务器及存储介质 - Google Patents
基于CPK的VoIP通信处理方法、终端、服务器及存储介质 Download PDFInfo
- Publication number
- CN109302412A CN109302412A CN201811314583.XA CN201811314583A CN109302412A CN 109302412 A CN109302412 A CN 109302412A CN 201811314583 A CN201811314583 A CN 201811314583A CN 109302412 A CN109302412 A CN 109302412A
- Authority
- CN
- China
- Prior art keywords
- terminal
- key
- server
- session
- random number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M7/00—Arrangements for interconnection between switching centres
- H04M7/006—Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer
- H04M7/0078—Security; Fraud detection; Fraud prevention
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明实施例提供一种基于CPK的VoIP通信处理方法、终端、服务器及存储介质,网络通信安全技术领域,解决了现有技术中在VoIP通信中无法有效保障用户信息安全的问题。所述方法包括:终端向服务器发送包含所述终端标识的认证请求;当接收到所述服务器发送的第一随机数时,利用所述终端的私钥对所述第一随机数进行数字签名,并将得到签名信息发送给所述服务器,以便所述服务器根据所述签名信息验证是否允许所述终端接入所述服务器;当接收到所述服务器发送的认证成功的消息时,终端生成第二随机数,根据所述第二随机数得到所述终端与其它终端进行通信的会话密钥。本发明实施例适用于终端身份认证和通信数据传输过程的加密保护。
Description
技术领域
本发明涉及网络通信安全技术领域,具体地涉及一种基于CPK的VoIP通信处理方法、终端、服务器及存储介质。
背景技术
随着移动互联网技术的迅速发展,传统互联网与移动通信网络间的重合部分越来越大,面临的相似或重合的安全问题也就越来越多。例如,VoIP(Voice Over InternetProtocol,网络电话)中的智能手机在一定程度上具备了电脑的功能,通信内容也不再局限于传统的语音和文字,数据传输内容、传输方式的改变,使得互联网中的电脑黑客、木马、病毒等有了更大的施展空间,网络欺骗、非法的通信监听及信息窃取时有发生,用户面临经济和信息泄露的风险。在这种情况下,传统移动通信的安全策略已经无法有效保障用户的信息安全。
发明内容
本发明实施例的目的是提供一种基于CPK的VoIP通信处理方法、终端、服务器及存储介质,解决了现有技术中在VoIP通信中无法有效保障用户信息安全的问题,实现了VoIP通信中基于CPK的加密通信方法,提高了VoIP通信的安全性。
为了实现上述目的,本发明实施例提供一种基于CPK的VoIP通信处理方法,所述方法应用于终端,所述方法包括:向服务器发送包含所述终端标识的认证请求;当接收到所述服务器发送的第一随机数时,利用所述终端的私钥对所述第一随机数进行数字签名,并将得到签名信息发送给所述服务器,以便所述服务器根据所述签名信息验证是否允许所述终端接入所述服务器;当接收到所述服务器发送的认证成功的消息时,生成第二随机数,根据所述第二随机数得到所述终端与其它终端进行通信的会话密钥。
进一步地,当所述终端为会话发起方时,所述生成第二随机数,根据所述第二随机数得到所述终端与其它终端进行通信的会话密钥包括:生成第二随机数作为会话密钥;根据会话接收方的标识和公钥矩阵,得到所述会话接收方的公钥;利用所述会话接收方的公钥对所述会话密钥进行加密,并将加密后的所述会话密钥发送给所述会话接收方,以便所述会话接收方利用其私钥将加密后的所述会话密钥解密,并利用解密得到的所述会话密钥与所述终端进行通信。
进一步地,当所述终端为会话发起方时,所述生成第二随机数,根据所述第二随机数得到所述终端与其它终端进行通信的会话密钥包括:生成第二随机数作为第一协商密钥;利用会话接收方的公钥对所述第一协商密钥进行加密,并将加密后的所述第一协商密钥发送给所述会话接收方;接收所述会话接收方发送的利用所述终端的公钥加密后的第二协商密钥,并利用所述终端的私钥将加密后的所述第二协商密钥解密,得到所述第二协商密钥;利用预设算法,根据所述第一协商密钥以及所述第二协商密钥,得到所述终端与所述会话接收方进行通信的会话密钥。
进一步地,当所述终端为会话接收方时,所述生成第二随机数,根据所述第二随机数得到所述终端与其它终端进行通信的会话密钥包括:接收会话发起方发送的利用所述终端的公钥加密后的第一协商密钥,并利用所述终端的私钥将加密后的所述第一协商密钥解密,得到所述第一协商密钥;生成第二随机数作为第二协商密钥;利用所述会话发起方的公钥对所述第二协商密钥进行加密,并将加密后的所述第二协商密钥发送给所述会话发起方;利用预设算法,根据所述第一协商密钥以及所述第二协商密钥,得到所述终端与所述会话发起方进行通信的会话密钥。
相应的,本发明实施例还提供一种基于CPK的VoIP通信处理方法,所述方法应用于服务器,所述方法包括:当接收到终端发送的包含所述终端标识的认证请求时,根据所述终端标识判断其是否为合法标识;当所述终端标识为合法标识时,生成第一随机数作为挑战码,并将所述挑战码发送给所述终端;当接收到所述终端发送所述挑战码的签名信息时,根据所述签名信息验证是否允许所述终端接入所述服务器;当验证允许所述终端接入所述服务器时,向所述终端发送认证成功的消息,以便所述终端生成第二随机数,并根据所述第二随机数得到所述终端与其它终端进行通信的会话密钥。
进一步地,所述根据所述终端标识判断其是否为合法标识包括:在预设白名单中查找是否存在所述终端标识;若所述预设白名单中存在所述终端标识,确定所述终端标识为合法标识;若所述预设白名单中不存在所述终端标识,确定所述终端标识为非法标识。
进一步地,当所述确定所述终端标识为非法标识之后,所述方法还包括:向所述终端发送认证失败的消息。
进一步地,所述根据所述签名信息验证是否允许所述终端接入所述服务器包括:根据所述终端的公钥以及所述挑战码,验证所述挑战码的签名信息是否为真;当验证所述签名信息为真时,验证允许所述终端接入所述服务器;当验证所述签名信息不为真时,验证不允许所述终端接入所述服务器。
进一步地,在所述将所述挑战码发送给所述终端之后,所述方法还包括:本地计时器开始计时;所述当接收到所述终端发送所述挑战码的签名信息时,根据所述签名信息验证是否允许所述终端接入所述服务器包括:当接收到所述终端发送所述挑战码的签名信息时,所述本地计时器停止计时,得到待查时间;根据所述终端的公钥以及所述挑战码,验证所述挑战码的签名信息是否为真,并判断所述待查时间是否在预设时间范围内;当验证所述签名信息为真,且所述待查时间在所述预设时间范围内时,验证允许所述终端接入所述服务器;当验证所述签名信息不为真,和/或所述待查时间不在所述预设时间范围内时,验证不允许所述终端接入所述服务器。
进一步地,所述方法还包括:当验证不允许所述终端接入所述服务器时,向所述终端发送认证失败的消息。
相应的,本发明实施例还提供一种终端,所述终端用于执行所述的基于CPK的VoIP通信处理方法。
相应的,本发明实施例还提供一种服务器,所述服务器用于执行所述的基于CPK的VoIP通信处理方法。
相应的,本发明实施例还提供一种存储介质,所述存储介质上存储有指令,该指令用于使得机器执行上述终端执行的基于CPK的VoIP通信处理方法,和/或上述服务器执行的基于CPK的VoIP通信处理方法。
通过上述技术方案,终端之间在相互通信之前,需要向服务器进行身份认证,认证成功之后利用会话密钥进行通信。本发明实施例解决了现有技术中在VoIP通信中无法有效保障用户信息安全的问题,实现了VoIP通信中基于CPK的加密通信方法,提高了VoIP通信的安全性。
本发明实施例的其它特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
附图是用来提供对本发明实施例的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明实施例,但并不构成对本发明实施例的限制。在附图中:
图1是本发明实施例提供的一种基于CPK的VoIP通信处理方法的流程示意图;
图2是本发明实施例提供的终端A与终端B之间生成会话密钥的过程的流程示意图;
图3是本发明实施例提供的终端A与终端B之间交换会话密钥的过程的流程示意图;
图4是本发明实施例提供的终端A与终端Bi之间交换会话密钥的过程的流程示意图;
图5是本发明实施例提供的一种基于CPK的VoIP通信处理方法的流程示意图。
具体实施方式
以下结合附图对本发明实施例的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明实施例,并不用于限制本发明实施例。
图1是本发明实施例提供的一种基于CPK的VoIP通信处理方法的流程示意图。如图1所示,所述方法应用于终端,包括如下执行步骤:
步骤101,向服务器发送包含所述终端标识的认证请求;
步骤102,当接收到所述服务器发送的第一随机数时,利用所述终端的私钥对所述第一随机数进行数字签名,并将得到签名信息发送给所述服务器,以便所述服务器根据所述签名信息验证是否允许所述终端接入所述服务器;
步骤103,当接收到所述服务器发送的认证成功的消息时,生成第二随机数,根据所述第二随机数得到所述终端与其它终端进行通信的会话密钥。
其中,终端之间每次通信之前,均需要向服务器进行身份认证,只有当终端在服务器身份认证通过后,终端之间才会通过服务器进行通信。终端将包含终端标识的认证请求发送给服务器,由服务器进行认证,并在所述服务器认证通过后,会向所述终端发送作为挑战码的第一随机数。所述终端在接收到第一随机数之后,利用所述终端的私钥对所述第一随机数进行数字签名,得到签名信息,例如:
根据SIGalice(Rs)=(s1,c1)=sign1,得到签名信息sign1。其中SIG为签名函数,alice为所述终端的私钥,Rs为所述第一随机数,s1为签名码,c1为验证码,sign1用于标记(s1,c1)。
之后,终端将所述签名信息发送给所述服务器,由所述服务器根据所述签名信息进行验证,并在验证通过后,所述终端接收到所述服务器发送的认证成功的消息。然后,所述终端生成第二随机数,并根据所述第二随机数得到所述终端与其它终端进行通信的会话密钥。
其中,所述终端在与其它终端进行通信的场景有以下两种,一种是端到端的通信,一种是多方通信。下面将分别对这两种通信方式中的会话密钥的生成进行描述。
首先,在VoIP端到端通信场景下,有两种会话密钥的生成方式,一种是需要终端之间协商密钥,另一种是不需要终端之间协商密钥的生成,直接由会话发起方生成会话密钥并告知会话接收方。例如,终端A为会话发起方,而终端B为会话接收方,终端A的公钥为ALICE,私钥为alice,终端B的公钥为MIKE,私钥为mike。如图2所示为需要终端之间协商密钥,从而生成会话密钥的方式,终端A与终端B之间生成会话密钥的过程如下:
1)终端A生成第二随机数KA作为第一协商密钥;
2)由于终端A是会话发起方,故其本地存储有终端B的标识,因此终端A根据终端B的标识和公钥矩阵,得到终端B的公钥MIKE;
3)终端A利用终端B的公钥MIKE对KA进行加密,例如,根据EMIKE(KA)=code1,其中code1为将所述第一协商密钥KA加密后的信息,然后将加密后的所述第一协商密钥发送给终端B。
其中,终端A可以利用现有SIP(Session Initiation Protocol,会话发起协议)中的INVITE消息将加密后的所述第一协商密钥发送给终端B。
4)终端B接收到终端A发送的加密后的第一协商密钥后,由于所述第一协商密钥是利用终端B的公钥进行加密的,因此,终端B直接利用其自身的私钥将加密后的第一协商密钥进行解密,例如,根据Dmike(code1)=KA,得到所述第一协商密钥KA;
5)终端B生成第三随机数KB作为第二协商密钥;
6)终端B根据终端A的标识和公钥矩阵,得到终端A的公钥ALICE;
7)终端B利用终端A的公钥ALICE对第二协商密钥KB进行加密,例如,根据EALICE(KB)=code2,其中code2为将所述第二协商密钥KB加密后的信息,然后将加密后的所述第二协商密钥发送给终端A。
其中,终端B可以利用SIP中的200OK消息将加密后的所述第二协商密钥发送给终端A。
8)终端A接收到终端B发送的加密后的第二协商密钥后,由于所述第二协商密钥是利用终端A的公钥进行加密的,因此,终端A直接利用其自身的私钥将加密后的第二协商密钥进行解密,例如,根据Dalice(code2)=KB,得到所述第二协商密钥KB;
9)由此,通过上述步骤1)至8),终端A和终端B均得到了两个协商密钥KA和KB,双方可根据共同约定的预设算法,根据第一协商密钥KA和第二协商密钥KB,得到终端A和终端B进行通信的会话密钥KS,例如,所述预设算法为将所述第一协商密钥与所述第二协商密钥取异或,即KS=KA xor KB,或者其他预设算法,这里不做限定。
通过上述步骤1)至9),终端A和终端B均得到进行通信的会话密钥,双方均可使用会话密钥对通信数据进行加密,保证通信数据的安全性。
如图3所示为不需要终端之间协商密钥的生成,直接由会话发起方生成会话密钥并告知会话接收方的方式,终端A与终端B之间交换会话密钥的过程如下:
1)终端A生成第二随机数KA作为会话密钥;
2)终端A根据终端B的标识和公钥矩阵,得到终端B的公钥MIKE;
3)终端A利用终端B的公钥MIKE对所述会话密钥KA进行加密,例如,根据EMIKE(KA)=code3,其中code3为将会话密钥KA加密后的信息,然后将加密后的会话密钥发送给终端B;
4)终端B接收到终端A发送的加密后的会话密钥,由于会话密钥是利用终端B的公钥进行加密的,因此,终端B直接利用其自身的私钥将加密后的会话密钥进行解密,例如,根据Dmike(code3)=KA,得到所述会话密钥KA。
通过上述步骤1)至4),终端A和终端B均得到进行通信的会话密钥,双方均可使用会话密钥对通信数据进行加密,保证通信数据的安全性。
第二种,在VoIP多方通信场景下,会话密钥是由会话发起方产生并分发至各个接收方,例如,终端A为会话发起方,终端Bi为多方通信中的任一会话接收方,终端Bi的公钥为MIKEi,私钥为mikei。如图4所示,终端A与终端Bi之间交换会话密钥的过程如下:
1)终端A生成第二随机数K作为会话密钥;
2)终端A根据终端Bi的标识和公钥矩阵,得到终端Bi的公钥MIKEi;
3)终端A利用终端Bi的公钥MIKEi对所述会话密钥K进行加密,例如,根据EMIKEi(K)=code4,其中code4为将会话密钥K加密后的信息,然后将加密后的会话密钥发送给终端Bi;
4)终端Bi接收到终端A发送的加密后的会话密钥,由于会话密钥是利用终端Bi的公钥进行加密的,因此,终端Bi直接利用其自身的私钥将加密后的会话密钥进行解密,例如,根据Dmikei(code4)=K,得到所述会话密钥K。
终端A可以重复上述步骤1)至4),从而将会话密钥K分发到会话中的其它会话接收方,至此,多方通信中的各方可使用会话密钥K进行之后的多方通信,并利用会话密钥K对通信数据进行加密,保证多方通信数据的安全性。
需要说明的是,上述终端之间进行数据的交互过程均是依赖于所述服务器进行的,也就是说上述终端均要求在所述服务器上认证通过后,才能通过所述服务器转发终端之间的数据信息。在本发明实施例中并没有提到终端向服务器发送数据,然后服务器向另一终端转发数据的过程,由于上述过程并不存在数据的变换,因此在本发明实施例中终端与终端之间的数据交互省略了通过服务器的转发过程,并不代表该过程不存在。
通过上述实施例,所有使用VoIP服务的终端都经过身份认证,且链路传输的通信数据为加密状态,提高了VoIP通信的安全性。另外,基于CPK技术,所有终端的公钥可以由其标识和公钥矩阵计算得到,与PKI(Public Key Infrastructure公钥基础设施)相比,简化了签名验证和加密过程中对公钥证书的查询、传输和验证过程。而且,在传输加密信息时,还可基于现有SIP协议,简单易行,对协议影响较小,大大提高了加密信道建立过程中的密钥协商效率。
相应的,图5是本发明实施例提供的一种基于CPK的VoIP通信处理方法的流程示意图。所述方法应用于服务器,终端之间相互通信之前,均需要向服务器进行认证,如图5所示,所述方法描述了终端通信之前向服务器的认证过程:
步骤501,当接收到终端发送的包含所述终端标识的认证请求时,根据所述终端标识判断其是否为合法标识;
步骤502,当所述终端标识为合法标识时,生成第一随机数作为挑战码,并将所述挑战码发送给所述终端;
步骤503,当接收到所述终端发送所述挑战码的签名信息时,根据所述签名信息验证是否允许所述终端接入所述服务器;
步骤504,当验证允许所述终端接入所述服务器时,向所述终端发送认证成功的消息,以便所述终端生成第二随机数,并根据所述第二随机数得到所述终端与其它终端进行通信的会话密钥。
其中,终端A要与其它终端进行通信之前,需要请求登录服务器,即向服务器进行身份认证。以终端A标识为IDA,其公钥为ALICE,私钥为alice为例进行描述。
当服务器接收到终端A发送的包含其标识IDA的认证请求时,首先判断其标识IDA是否为合法标识。例如,所述服务器可以在其预设白名单中查找是否存在所述终端标识。若所述预设白名单中存在所述终端标识,则确定所述终端标识为合法标识;若所述预设白名单中不存在所述终端标识,则确定所述终端标识为非法标识。当服务器确定所述终端标识为非法标识时,向终端A发送认证失败的消息,从而终止终端A的后续流程,不再允许其进行后续数据通信。
若判断所述终端标识为合法标识,所述服务器生成第一随机数Rs作为挑战码,并将所述挑战码发送给终端A。在终端A对所述挑战码进行数字签名得到签名信息,并将所述签名信息发送给所述服务器之后,所述服务器根据所述签名信息验证是否允许所述终端接入所述服务器。
其中,所述服务器根据终端A标识和公钥矩阵,得到终端A的公钥ALICE。然后,所述服务器根据所述终端的公钥以及本地缓存的所述挑战码,验证所述挑战码的签名信息是否为真。
1)当根据VERALICE(Rs,s1)=c1’,得到所述挑战码的验证码c1’。其中,VER为验证函数,ALICE为所述终端A的公钥。验证c1与c1’是否相同,当c与c’相同时,则验证所述签名信息为真,即验证允许所述终端接入所述服务器;
2)当c与c’不相同时,则验证所述签名信息验证不为真,即验证不允许所述终端接入所述服务器。
上述实施例中,终端仅将签名信息反馈给所述服务器,并没有返回挑战码,避免了在签名信息和挑战码同时返回时,黑客拦截得到上述信息进行重放攻击的可能性。服务器从本地获取缓存的挑战码,从而对所述签名信息进行验证,进一步保证了认证的安全性。
另外,在本发明的另一种实施方式中,为了进一步保证认证过程的安全性,在所述服务器将所述挑战码发送给所述终端之后,所述服务器可以将本地计时器开始计时。而在接收到所述终端发送所述挑战码的签名信息时,则所述服务器将所述本地计时器停止计时,从而得到待查时间。所述服务器根据所述签名信息以及所述待查时间验证所述终端,具体过程如下:
1)根据所述终端的公钥以及所述挑战码,验证所述挑战码的签名信息是否为真,并判断所述待查时间是否在预设时间范围内;
2)当验证所述签名信息为真,且所述待查时间在所述预设时间范围内时,验证允许所述终端接入所述服务器;
3)当验证所述签名信息不为真,和/或所述待查时间不在所述预设时间范围内时,验证不允许所述终端接入所述服务器。
其中,当根据VERALICE(Rs,s1)=c1’,得到所述挑战码的验证码c1’。其中,VER为验证函数,ALICE为所述终端A的公钥。验证c1与c1’是否相同,当c与c’相同时,则验证所述签名信息为真,而当c与c’不相同时,则验证所述签名信息验证不为真。
另外,同时判断所述待查时间是否在预设时间范围内,以避免由于因黑客拦截相关信息导致的数据延迟。所述预设时间范围的设置可根据具体网络情况而定,这里不做限定。当验证所述签名信息为真,且所述待查时间在所述预设时间范围内时,则验证允许所述终端接入所述服务器。而当验证所述签名信息不为真,和/或所述待查时间不在所述预设时间范围内时,则验证不允许所述终端接入所述服务器,并向所述终端发送认证失败的消息,从而终止所述终端的后续通信。
本发明实施例在保证了合法终端通过服务器的认证之后,从而保证了合法终端之间的后续通信安全。
相应的,本发明实施例还提供一种终端,所述终端用于执行上述实施例所述的基于CPK的VoIP通信处理方法。
相应的,本发明实施例还提供一种服务器,所述服务器用于执行上述实施例所述的基于CPK的VoIP通信处理方法。
相应的,本发明实施例还提供一种存储介质,所述存储介质上存储有指令,该指令用于使得机器执行上述终端实施例所述的基于CPK的VoIP通信处理方法,和/或上述服务器实施例所述的基于CPK的VoIP通信处理方法。
以上结合附图详细描述了本发明实施例的可选实施方式,但是,本发明实施例并不限于上述实施方式中的具体细节,在本发明实施例的技术构思范围内,可以对本发明实施例的技术方案进行多种简单变型,这些简单变型均属于本发明实施例的保护范围。
另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合。为了避免不必要的重复,本发明实施例对各种可能的组合方式不再另行说明。
本领域技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序存储在一个存储介质中,包括若干指令用以使得单片机、芯片或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
此外,本发明实施例的各种不同的实施方式之间也可以进行任意组合,只要其不违背本发明实施例的思想,其同样应当视为本发明实施例所公开的内容。
Claims (10)
1.一种基于CPK的VoIP通信处理方法,其特征在于,所述方法应用于终端,所述方法包括:
向服务器发送包含所述终端标识的认证请求;
当接收到所述服务器发送的第一随机数时,利用所述终端的私钥对所述第一随机数进行数字签名,并将得到签名信息发送给所述服务器,以便所述服务器根据所述签名信息验证是否允许所述终端接入所述服务器;
当接收到所述服务器发送的认证成功的消息时,生成第二随机数,根据所述第二随机数得到所述终端与其它终端进行通信的会话密钥。
2.根据权利要求1所述的方法,其特征在于,当所述终端为会话发起方时,所述生成第二随机数,根据所述第二随机数得到所述终端与其它终端进行通信的会话密钥包括:
生成第二随机数作为会话密钥;
根据会话接收方的标识和公钥矩阵,得到所述会话接收方的公钥;
利用所述会话接收方的公钥对所述会话密钥进行加密,并将加密后的所述会话密钥发送给所述会话接收方,以便所述会话接收方利用其私钥将加密后的所述会话密钥解密,并利用解密得到的所述会话密钥与所述终端进行通信。
3.根据权利要求1所述的方法,其特征在于,当所述终端为会话发起方时,所述生成第二随机数,根据所述第二随机数得到所述终端与其它终端进行通信的会话密钥包括:
生成第二随机数作为第一协商密钥;
利用会话接收方的公钥对所述第一协商密钥进行加密,并将加密后的所述第一协商密钥发送给所述会话接收方;
接收所述会话接收方发送的利用所述终端的公钥加密后的第二协商密钥,并利用所述终端的私钥将加密后的所述第二协商密钥解密,得到所述第二协商密钥;
利用预设算法,根据所述第一协商密钥以及所述第二协商密钥,得到所述终端与所述会话接收方进行通信的会话密钥。
4.根据权利要求1所述的方法,其特征在于,当所述终端为会话接收方时,所述生成第二随机数,根据所述第二随机数得到所述终端与其它终端进行通信的会话密钥包括:
接收会话发起方发送的利用所述终端的公钥加密后的第一协商密钥,并利用所述终端的私钥将加密后的所述第一协商密钥解密,得到所述第一协商密钥;
生成第二随机数作为第二协商密钥;
利用所述会话发起方的公钥对所述第二协商密钥进行加密,并将加密后的所述第二协商密钥发送给所述会话发起方;
利用预设算法,根据所述第一协商密钥以及所述第二协商密钥,得到所述终端与所述会话发起方进行通信的会话密钥。
5.一种基于CPK的VoIP通信处理方法,其特征在于,所述方法应用于服务器,所述方法包括:
当接收到终端发送的包含所述终端标识的认证请求时,根据所述终端标识判断其是否为合法标识;
当所述终端标识为合法标识时,生成第一随机数作为挑战码,并将所述挑战码发送给所述终端;
当接收到所述终端发送所述挑战码的签名信息时,根据所述签名信息验证是否允许所述终端接入所述服务器;
当验证允许所述终端接入所述服务器时,向所述终端发送认证成功的消息,以便所述终端生成第二随机数,并根据所述第二随机数得到所述终端与其它终端进行通信的会话密钥。
6.根据权利要求5所述的方法,其特征在于,所述根据所述终端标识判断其是否为合法标识包括:
在预设白名单中查找是否存在所述终端标识;
若所述预设白名单中存在所述终端标识,确定所述终端标识为合法标识;
若所述预设白名单中不存在所述终端标识,确定所述终端标识为非法标识。
7.根据权利要求5所述的方法,其特征在于,在所述将所述挑战码发送给所述终端之后,所述方法还包括:
本地计时器开始计时;
所述当接收到所述终端发送所述挑战码的签名信息时,根据所述签名信息验证是否允许所述终端接入所述服务器包括:
当接收到所述终端发送所述挑战码的签名信息时,所述本地计时器停止计时,得到待查时间;
根据所述终端的公钥以及所述挑战码,验证所述挑战码的签名信息是否为真,并判断所述待查时间是否在预设时间范围内;
当验证所述签名信息为真,且所述待查时间在所述预设时间范围内时,验证允许所述终端接入所述服务器;
当验证所述签名信息不为真,和/或所述待查时间不在所述预设时间范围内时,验证不允许所述终端接入所述服务器。
8.一种终端,其特征在于,所述终端用于执行权利要求1-4任一项所述的基于CPK的VoIP通信处理方法。
9.一种服务器,其特征在于,所述服务器用于执行权利要求5-7任一项所述的基于CPK的VoIP通信处理方法。
10.一种存储介质,其特征在于,所述存储介质上存储有指令,该指令用于使得机器执行上述权利要求1-4中任一项所述的基于CPK的VoIP通信处理方法,和/或上述权利要求5-7任一项所述的基于CPK的VoIP通信处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811314583.XA CN109302412B (zh) | 2018-11-06 | 2018-11-06 | 基于CPK的VoIP通信处理方法、终端、服务器及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811314583.XA CN109302412B (zh) | 2018-11-06 | 2018-11-06 | 基于CPK的VoIP通信处理方法、终端、服务器及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109302412A true CN109302412A (zh) | 2019-02-01 |
CN109302412B CN109302412B (zh) | 2021-09-21 |
Family
ID=65145850
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811314583.XA Active CN109302412B (zh) | 2018-11-06 | 2018-11-06 | 基于CPK的VoIP通信处理方法、终端、服务器及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109302412B (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109996229A (zh) * | 2019-02-28 | 2019-07-09 | 深圳前海达闼云端智能科技有限公司 | 基于dht网络的数据传输方法、装置、电子设备和存储介质 |
CN110212991A (zh) * | 2019-06-06 | 2019-09-06 | 江苏亨通问天量子信息研究院有限公司 | 量子无线网络通信系统 |
CN110289956A (zh) * | 2019-06-27 | 2019-09-27 | 飞天诚信科技股份有限公司 | 一种云音箱更新配置的方法及系统 |
CN111065101A (zh) * | 2019-12-30 | 2020-04-24 | 全链通有限公司 | 基于区块链的5g通信信息加解密方法、设备及存储介质 |
CN111405537A (zh) * | 2020-03-23 | 2020-07-10 | 杭州涂鸦信息技术有限公司 | 一种基于ble连接的双向安全认证方法及其系统和设备 |
CN112118223A (zh) * | 2020-08-11 | 2020-12-22 | 北京智芯微电子科技有限公司 | 主站与终端的认证方法、主站、终端及存储介质 |
WO2020252611A1 (zh) * | 2019-06-17 | 2020-12-24 | 华为技术有限公司 | 一种数据交互方法及相关设备 |
CN113727059A (zh) * | 2021-08-31 | 2021-11-30 | 成都卫士通信息产业股份有限公司 | 多媒体会议终端入网认证方法、装置、设备及存储介质 |
CN114584355A (zh) * | 2022-02-24 | 2022-06-03 | 中国人民银行数字货币研究所 | 一种用于数字货币交易的安全认证方法、装置和系统 |
CN115549961A (zh) * | 2022-08-19 | 2022-12-30 | 海南视联通信技术有限公司 | 一种终端认证方法、装置、电子设备以及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103155614A (zh) * | 2010-10-22 | 2013-06-12 | 高通股份有限公司 | 漫游网络中接入终端身份的认证 |
CN104901803A (zh) * | 2014-08-20 | 2015-09-09 | 易兴旺 | 一种基于cpk标识认证技术的数据交互安全保护方法 |
EP3174241A1 (fr) * | 2015-11-26 | 2017-05-31 | Commissariat à l'Energie Atomique et aux Energies Alternatives | Méthode d'établissement d'une communication sécurisée de bout en bout entre le terminal d'un utilisateur et un objet connecté |
CN104486077B (zh) * | 2014-11-20 | 2017-09-15 | 中国科学院信息工程研究所 | 一种VoIP实时数据安全传输的端到端密钥协商方法 |
-
2018
- 2018-11-06 CN CN201811314583.XA patent/CN109302412B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103155614A (zh) * | 2010-10-22 | 2013-06-12 | 高通股份有限公司 | 漫游网络中接入终端身份的认证 |
CN104901803A (zh) * | 2014-08-20 | 2015-09-09 | 易兴旺 | 一种基于cpk标识认证技术的数据交互安全保护方法 |
CN104486077B (zh) * | 2014-11-20 | 2017-09-15 | 中国科学院信息工程研究所 | 一种VoIP实时数据安全传输的端到端密钥协商方法 |
EP3174241A1 (fr) * | 2015-11-26 | 2017-05-31 | Commissariat à l'Energie Atomique et aux Energies Alternatives | Méthode d'établissement d'une communication sécurisée de bout en bout entre le terminal d'un utilisateur et un objet connecté |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109996229B (zh) * | 2019-02-28 | 2022-06-24 | 达闼机器人股份有限公司 | 基于dht网络的数据传输方法、装置、电子设备和存储介质 |
CN109996229A (zh) * | 2019-02-28 | 2019-07-09 | 深圳前海达闼云端智能科技有限公司 | 基于dht网络的数据传输方法、装置、电子设备和存储介质 |
CN110212991A (zh) * | 2019-06-06 | 2019-09-06 | 江苏亨通问天量子信息研究院有限公司 | 量子无线网络通信系统 |
WO2020252611A1 (zh) * | 2019-06-17 | 2020-12-24 | 华为技术有限公司 | 一种数据交互方法及相关设备 |
CN112400299A (zh) * | 2019-06-17 | 2021-02-23 | 华为技术有限公司 | 一种数据交互方法及相关设备 |
CN110289956A (zh) * | 2019-06-27 | 2019-09-27 | 飞天诚信科技股份有限公司 | 一种云音箱更新配置的方法及系统 |
CN110289956B (zh) * | 2019-06-27 | 2021-12-28 | 飞天诚信科技股份有限公司 | 一种云音箱更新配置的方法及系统 |
CN111065101A (zh) * | 2019-12-30 | 2020-04-24 | 全链通有限公司 | 基于区块链的5g通信信息加解密方法、设备及存储介质 |
CN111405537A (zh) * | 2020-03-23 | 2020-07-10 | 杭州涂鸦信息技术有限公司 | 一种基于ble连接的双向安全认证方法及其系统和设备 |
CN112118223A (zh) * | 2020-08-11 | 2020-12-22 | 北京智芯微电子科技有限公司 | 主站与终端的认证方法、主站、终端及存储介质 |
CN112118223B (zh) * | 2020-08-11 | 2023-06-20 | 北京智芯微电子科技有限公司 | 主站与终端的认证方法、主站、终端及存储介质 |
CN113727059A (zh) * | 2021-08-31 | 2021-11-30 | 成都卫士通信息产业股份有限公司 | 多媒体会议终端入网认证方法、装置、设备及存储介质 |
CN113727059B (zh) * | 2021-08-31 | 2023-10-24 | 成都卫士通信息产业股份有限公司 | 多媒体会议终端入网认证方法、装置、设备及存储介质 |
CN114584355A (zh) * | 2022-02-24 | 2022-06-03 | 中国人民银行数字货币研究所 | 一种用于数字货币交易的安全认证方法、装置和系统 |
CN114584355B (zh) * | 2022-02-24 | 2024-03-22 | 中国人民银行数字货币研究所 | 一种用于数字货币交易的安全认证方法、装置和系统 |
CN115549961A (zh) * | 2022-08-19 | 2022-12-30 | 海南视联通信技术有限公司 | 一种终端认证方法、装置、电子设备以及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN109302412B (zh) | 2021-09-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109302412A (zh) | 基于CPK的VoIP通信处理方法、终端、服务器及存储介质 | |
CN110380852B (zh) | 双向认证方法及通信系统 | |
US20240243907A1 (en) | Internet of things security with multi-party computation (mpc) | |
Huang et al. | S-AKA: A provable and secure authentication key agreement protocol for UMTS networks | |
CN108111301A (zh) | 基于后量子密钥交换实现ssh协议的方法及其系统 | |
CN107948189A (zh) | 非对称密码身份鉴别方法、装置、计算机设备及存储介质 | |
CN107360571B (zh) | 在移动网络中的匿名相互认证和密钥协商协议的方法 | |
US7930542B2 (en) | MashSSL: a novel multi party authentication and key exchange mechanism based on SSL | |
US9398024B2 (en) | System and method for reliably authenticating an appliance | |
US9787651B2 (en) | Method and device for establishing session keys | |
CN112351037B (zh) | 用于安全通信的信息处理方法及装置 | |
Bhargavan et al. | A formal treatment of accountable proxying over TLS | |
CN112733129B (zh) | 一种服务器带外管理的可信接入方法 | |
CN108809907A (zh) | 一种证书请求消息发送方法、接收方法和装置 | |
CN106453431A (zh) | 基于pki实现互联网系统间认证的方法 | |
Easttom | Virtual private networks, authentication, and wireless security | |
CN116388995A (zh) | 一种基于puf的轻量级智能电网认证方法 | |
JP4499575B2 (ja) | ネットワークセキュリティ方法およびネットワークセキュリティシステム | |
CN110417722A (zh) | 一种业务数据通信方法、通信设备及存储介质 | |
CN109474667A (zh) | 一种基于tcp和udp的无人机通信方法 | |
Patel | Analysis of EAP-SIM session key agreement | |
JP3983561B2 (ja) | 秘密分散法による鍵管理システム、検証センタ、通信端末、検証センタ用プログラム、通信端末用プログラム、並びに秘密分散法による鍵管理方法 | |
Diaz et al. | On securing online registration protocols: Formal verification of a new proposal | |
Cheng et al. | Analysis and improvement of the Internet‐Draft IKEv3 protocol | |
CN114039793B (zh) | 一种加密通信方法、系统及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |