CN109729523A - 一种终端联网认证的方法和装置 - Google Patents
一种终端联网认证的方法和装置 Download PDFInfo
- Publication number
- CN109729523A CN109729523A CN201711048378.9A CN201711048378A CN109729523A CN 109729523 A CN109729523 A CN 109729523A CN 201711048378 A CN201711048378 A CN 201711048378A CN 109729523 A CN109729523 A CN 109729523A
- Authority
- CN
- China
- Prior art keywords
- platform
- authentication
- terminal
- certificate
- authentication information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
一种终端联网认证的方法和装置。该方法包括:终端向认证服务器发送包第一认证信息和第二认证信息的用户身份认证请求,其中第一认证信息用于对终端的用户身份进行认证,第二认证信息用于确定与终端相对应的平台,终端还需要在收到认证服务器发送的用户身份认证确认信息后,向认证服务器发送包含用于确定与终端相对应的平台的第三认证信息的平台身份认证请求。认证服务器只有在比对第二认证信息和第三认证信息对应的平台相一致时,才向终端发送平台身份认证确认信息,因此在可信网络连接认证的过程中能够防止攻击者在平台身份认证阶段冒用其他合法终端的用户身份信息进行网络攻击,避免网络安全隐患。
Description
技术领域
本申请涉及移动互联网技术领域,尤其涉及一种终端联网认证的方法和装置。
背景技术
目前移动终端和移动互联网技术发展迅速,大部分移动终端都可以访问互联网和接入云平台等远程网络,信息移动化在大大方便了用户的同时,也使移动终端成为攻击目标,带来了严重的网络安全问题。
移动终端在网络安全中的脆弱性导致其容易被攻击者植入病毒等恶意代码,攻击者从而可以轻松获得移动终端中使用的用户账户、口令等秘密数据,根据这些秘密数据,攻击者可以冒名访问移动终端用户的敏感服务进而获取用户在云端存储的私有数据,导致了用户隐私泄露的问题。攻击者在获取用户口令后还可以仿冒移动终端的用户接入网络,如果通过被病毒等恶意代码攻破的移动终端对移动终端接入的网络或云端服务器进行攻击,还会破坏网络中各用户共享的基础设施、网络存储、数据和服务等资源,影响整个网络框架的鲁棒性和稳定性,使得网络平台中的其它用户的隐私数据也会受到严重威胁。
现有技术中,在移动终端请求接入网络时需要通过可信平台模块(TrustedPlatform Module,TPM)和基于可信网络连接(Trusted Network Connection,TNC)架构来解决移动终端接入网络的安全问题,即网络侧需要通过TPM和TNC架构来对接入网络侧的移动终端进行可信网络连接认证流程,认证通过后才允许移动终端接入网络侧。通常的可信网络连接认证流程中,网络侧需要分别对请求接入的移动终端进行用户身份认证、平台身份认证以及平台完整性认证,在以上三个认证过程均通过的情况下才会允许移动终端接入网络。
但是现有的可信网络连接认证流程中,用户身份认证和平台身份认证是相互独立的过程,彼此之间并不存在必然的关联,因此存在被攻击者攻击的风险,例如,攻击者截获其他已经接入网络的合法移动终端发送的用户身份证书,然后假冒成该合法的移动终端完成用户身份认证后,再用攻击者自己的平台信息完成平台身份认证和平台完整性认证,从而攻击者就能够利用其他合法移动终端的用户身份信息完成网络接入,从而带来网络安全隐患。
综上所述,现有技术中进行移动终端的可信网络连接认证的流程中,由于移动终端的用户身份认证与移动终端的平台身份认证是两个相互独立的过程,从而容易导致攻击者冒用其他合法移动终端的用户身份信息进行网络攻击,致使网络安全存在隐患。
发明内容
本申请提供一种终端联网认证的方法和装置,用以解决现有进行移动终端的可信网络连接认证的流程中,存在攻击者容易冒用其他合法移动终端的用户身份信息进行网络攻击,致使网络安全存在隐患的问题。
第一方面,本申请实施例提供一种终端联网认证的方法,该方法包括:终端向认证服务器发送包括第一认证信息和第二认证信息的用户身份认证请求,认证服务器收到用户身份认证请求后,根据第一认证信息对终端进行用户身份认证,根据第二认证信息确定与终端相对应的平台,在认证服务器对用户身份认证证书认证通过后,向终端发送用户身份认证确认信息,终端在收到用户身份认证确认信息后,向认证服务器发送携带第三认证信息的平台身份认证请求,认证服务器根据第三认证信息对终端相对应的平台身份进行认证,以及,根据第二认证信息和第三认证信息,确定第二认证信息和第三认证信息所对应的平台是否相一致,认证服务器在确定终端相对应的平台身份通过认证,并且第二认证信息和第三认证信息所对应的平台相一致后,向终端发送指示终端平台身份认证通过的认证的平台身份认证确认信息。
上述方法中,终端在向认证服务器请求进行用户身份认证时,需要向认证服务器发送用于认证服务器确定与终端相对应的平台的第二认证信息,以及在进行平台身份认证时,向认证服务器发送用于确定终端相对应的平台的第三认证信息,从而,认证服务器只有在确定第二认证信息对应的平台与第三认证信息对应的平台相一致时,才向终端发送平台身份认证确认信息,确保终端在用户身份认证阶段的平台和平台身份认证阶段的平台一致,从而可以在可信网络连接认证的过程中防止攻击者冒用其他合法终端的用户身份信息进行网络攻击,可以避免网络安全隐患。
在一种可能的设计中,第一认证信息可包括用户身份认证证书,第二认证信息可包括终端相对应的平台的身份认证证书信息,平台的身份认证证书信息用于认证服务器确定终端相对应的平台的身份认证证书。这样认证服务器可以根据第一认证信息进行终端的用户身份认证,并根据第二认证信息确定请求进行用户身份认证的终端对应的平台的身份认证证书。
在一种可能的设计中,第三认证信息可以与第二认证信息系统,则认证服务器可以根据第三认证信息获取请求进行平台身份认证的终端对应的平台的身份认证证书。
在一种可能的设计中,用户身份认证请求中还可以包括第一明文和使用平台身份认证证书的私钥加密第一明文得到的第一密文,这样认证服务器就可以在确定使用第二认证信息获取的平台身份认证证书的公钥解密第一密文后,比较得到的第二明文与第一明文是否一致,若一致,则确定根据第二认证信息获取的平台身份认证证书与终端的平台身份认证证书一致。认证服务器可以在确定第二明文与第一明文一致后,再向终端发送用户身份认证确认信息。这样认证服务器就可以在收到用户身份认证请求后先判断根据第二认证信息获取的平台身份认证证书与发送用户身份认证请求的终端的平台身份认证证书是否一致,以避免非法终端利用无效的平台身份认证证书通过用户身份认证并接入网络,进一步的可以避免网络隐患。
在一种可能的设计中,平台身份认证请求中还可以包括第三明文和使用平台身份认证证书的私钥加密第三明文得到的第二密文,这样认证服务器就可以在确定使用第三认证信息获取的平台身份认证证书的公钥解密第二密文后,比较得到的第四明文与第三明文是否一致,若一致,则确定根据第三认证信息获取的平台身份认证证书与终端的平台身份认证证书一致。认证服务器可以在确定第三明文与第四明文一致后,再判断第二认证信息和第三认证信息所对应的平台是否相一致。这样,认证服务器就可以在收到平台身份认证请求后先判断根据第三认证信息获取的平台身份认证证书与发送平台身份认证请求的终端的平台身份认证证书是否一致,以避免非法终端利用无效的平台身份认证证书通过平台身份认证并接入网络,更进一步的可以避免网络隐患。
在一种可能的设计中,终端在接收到认证服务器发送的平台身份认证确认信息后,还可以向认证服务器发送平台完整性认证请求,平台完整性认证请求中可以包括第四认证信息和第五认证信息;认证服务器在收到平台完整性认证请求后,根据第四认证信息验证终端相对应的平台是否通过平台完整性认证,根据第五认证信息确定与终端相对应的平台,以及确定第二认证信息和第五认证信息所对应的平台是否相一致。在确定终端相对应的平台通过平台完整性认证以及确定第二认证信息和第五认证信息所对应的平台一致后,认证服务器向终端发送平台完整性认证确认信息。
由于在进行平台完整性认证的过程中,还需要确定第二认证信息和第五认证信息所对应的平台相一致,从而能够确定用户身份认证请求和平台完整性认证请求为同一所述终端所发送的,进一步可以防止非法终端冒用其他合法终端的用户身份认证证书通过平台完整性认证请求,从而更好地避免网络隐患。
在一种可能的设计中,第五认证信息包括所述终端相对应的平台的身份认证证书信息,平台完整性认证请求中还包括第五明文和使用所述终端对应的平台的身份认证证书的私钥加密所述第五明文得到的第三密文。认证服务器在收到平台完整性认证请求后,可以根据第五认证信息确定终端对应的平台的身份认证证书,并获取平台的身份认证证书中的公钥,根据公钥解密第三密文得到第六明文,并比对第五明文与第六明文是否一致,在确定第五明文与第六明文一致之后,比对第二认证信息和第五认证信息所对应的平台是否一致。这样,认证服务器就可以在收到平台完整性认证请求后先判断根据第五认证信息获取的平台身份认证证书与发送平台完整性认证请求的终端的平台身份认证证书是否一致,以避免非法终端利用无效的平台身份认证证书通过平台身份认证并接入网络,更进一步的可以避免网络隐患。
在一种可能的设计中,第一认证信息为用户身份认证证书,第二认证信息、第三认证信息以及第五认证信息均为终端相对应的平台的身份认证证书信息,第四认证信息为用于进行平台完整性认证的平台完整性度量值,其中,所述身份认证证书信息所述用于所述认证服务器确定终端相对应的平台的身份认证证书。从而认证服务器能够根据第一认证信息验证终端是否通过平台身份验证,根据第二认证信息、第三认证信息以及第五认证信息获取平台的身份认证证书,以及根据第四认证信息验证平台是否通过平台完整性认证。
第二方面,本申请实施例提供了一种终端联网认证的终端,包括收发器、存储器和处理器,所述收发器用于认证服务器与终端之间进行通信,所述存储器存储有计算机程序,所述处理器调用存储器存储的计算机程序可以实现上述第一方面以及第一方面中的任意一种可能的设计中终端所执行的方法。
第三方面,本申请实施例提供了一种终端联网认证的认证服务器,包括收发器、存储器和处理器,所述收发器用于认证服务器与终端之间进行通信,所述存储器存储有计算机程序,所述处理器调用存储器存储的计算机程序可以实现上述第一方面以及第一方面中的任意一种可能的设计中认证服务器所执行的方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,所述可读存储介质中保存有计算机程序,当所述计算机程序被计算机运行时,可以使得计算机实现上述第一方面中以及第一方面中的任意一种可能的设计中终端所执行的功能。
第五方面,本申请实施例提供了一种计算机可读存储介质,所述可读存储介质中保存有计算机程序,当所述计算机程序被计算机运行时,可以使得计算机实现上述第一方面中以及第一方面中的任意一种可能的设计中认证服务器所执行的功能。
第六方面,本申请实施例提供了一种计算机程序产品,当所述计算机程序产品被计算机运行时,可以使得计算机实现上述第一方面中以及第一方面中的任意一种可能的设计中终端所执行的功能。
第七方面,本申请实施例提供了一种计算机程序产品,当所述计算机程序产品被计算机运行时,可以使得计算机实现上述第一方面中以及第一方面中的任意一种可能的设计中认证服务器所执行的功能。
第八方面,本申请实施例提供了一种终端联网认证系统,该系统包括上述第二方面所描述的终端和上述第三方面所描述的认证服务器。
附图说明
图1为本申请实施例提供的一种联网认证的系统架构示意图;
图2为本申请实施例提供的可信网络连接认证过程的架构示意图;
图3为本申请实施例提供的一种联网认证的方法的流程示意图;
图4为本申请实施例提供的一种联网认证的终端的结构示意图;
图5为本申请实施例提供的一种联网认证的认证服务器的结构示意图;
图6为本申请实施例提供的终端获取包含扩展项的身份认证证书的方法的流程示意图;
图7为本申请实施例提供的一种包含扩展项的身份认证证书的示意图;
图8为本申请实施例提供的又一种联网认证的方法的流程示意图;
图9为本申请实施例提供的一种软件实现可信平台模块的架构示意图;
图10为本申请实施例提供的一种利用软件可信平台模块进行可信网络连接认证过程的架构示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述。
如图1所示,本申请实施例提供的终端联网认证的方法可以由终端101以及认证服务器102组成的系统实现。
应理解,本申请实施例所涉及的终端101可以为用于向用户提供语音和/或数据连通性的设备、具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备,包括但不限于移动终端、PC(Personal Computer,个人计算机)终端和智能家电等等。终端设备还可以为无线终端,其中,无线终端可以经无线接入网(radio access network,RAN)与一个或多个核心网进行通信,无线终端可以是移动终端,如移动电话(或称为“蜂窝”电话)、或具有移动终端的计算机,例如,具有移动终端的计算机可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置,它们与无线接入网交换语言和/或数据。例如,无线终端还可以为个人通信业务(Personal Communication Service,PCS)电话、无绳电话、会话发起协议(Session Initiation Protocol,SIP)话机、无线本地环路(Wireless LocalLoop,WLL)站、个人数字助理(Personal Digital Assistant,PDA)等设备。无线终端也可以称为系统、订户单元(Subscriber Unit)、订户站(Subscriber Station),移动站(MobileStation)、移动台(Mobile)、远程站(Remote Station)、接入点(Access Point,AP)、远程终端(Remote Terminal)、接入终端(Access Terminal)、用户终端(User Terminal)、用户代理(User Agent)、用户设备(User Device)、或UE(User Equipment,用户设备)等,本申请实施例不做限定。
本申请实施例所涉及的认证服务器102与用户侧所使用的终端相对应,用于在服务端一侧对请求接入网络的终端进行用户身份、平台身份和平台完整性认证,认证服务器102可以是用来判断客户端的服务端载体,可以具备一定运算能力从而能够提供运算服务,并能够与终端进行通信以响应终端的请求。
在接入网络之前,终端101需要经过认证服务器102的可信网络连接认证。下面以图2所示的TNC架构为例,说明一次完整的可信网络连接认证的流程:
1)在接入网络之前,TNCC(TNC Client,TNC客户端)要发现并加载所有的IMC(Integrity Measurement Collector,完整性度量收集器),并对它们进行初始化,包括但不限于定义连接ID(Identity,身份标识)和IMC的ID。为了确保TNCC和IMC之间保持有效的连接,在加载IMC的过程中,TNCC要验证IMC的完整性。同时,TNCS(TNC Server,TNC服务器)也加载和初始化IMV(Integrity Measurement Verifier,完整性度量验证器)。
2)AR(Access Requestor,访问请求者)因系统自动或由用户触发,向PEP(PolicyEnforcement Point,策略执行点)申请连接网络。
3)PEP请求PDP(Policy Decision Point,测量决策点)的组件NAA(NetworkAccess Authority,网络访问授权者)进行接入验证。然后PDP将对AR的用户合法性验证(即进行用户身份验证,是指对移动终端的用户身份进行认证),对移动终端的可信平台模块的真实性(即进行平台身份验证,是指基于平台身份认证证书(如AIK(Attestation IdentityKey,身份证明密钥)证书)对移动终端中的可信平台模块的身份进行认证),以及对可信平台模块的组件配置完整性等方面进行验证(即进行平台完整性验证,是指对移动终端中的可信平台模块的完整性进行认证)。其中,上述第一项验证在网络访问层完成,后两项验证依托完整性评估层完成。
4)首先PDP进行AR的用户身份认证。如果认证合法,则NAA通知TNCS开始进行下一步认证。
5)PDP通过TNCS基于可信平台的AIK证书对AR进行平台身份认证,认证平台的真实性和合法性。
6)假如AR的可信平台真实、合法,TNCS通知IMV开始进行平台完整性认证。同样的,TNCC也通知IMC准备收集完整性信息。
7)TNCC和TNCS维护TNCCS会话,交互完整性请求和回应信息,直到整个认证过程完成。
8)TNCS将完整性报告消息交给对应的IMV处理。IMV可以给出完整性评估结果并发送给TNCS。
9)同样的,TNCC将挑战消息交给对应的IMC,IMC处理后将完整性报告消息交TNCC发送。
10)平台验证完成后,TNCS汇总验证结果,形成建议发送给NAA。
11)NAA向PEP发送指令表明自己的接入决策,NAA同时也会将它的最后决定交由TNCS发送给TNCC。通常NAA会将它的执行决定告诉AR的NAR(Network Access Requestor,网络访问请求者)组件。
本申请实施例中的终端101在进行可信网络连接认证中可以作为访问请求者,认证服务器102可以是TNC架构中的PDP。
上述可信网络连接认证流程如图2所示,移动终端在接入移动网络之前需要分别进行用户身份认证、平台身份认证以及平台完整性认证,其中,现有的可信网络连接认证过程中的用户身份认证与平台身份认证是两个独立的过程,因此存在被攻击者攻击的风险。例如,攻击者截获其他接入网络的移动终端发送的用户身份证书,假冒成其他合法的移动终端的完成用户身份认证,再用攻击者自己的平台信息完成平台身份认证和平台完整性认证,从而攻击者能够利用其他接入者的用户身份完成网络连接,带来网络安全隐患。
基于如图2所示的可信网络连接认证架构,在平台身份认证环节,需要基于终端可信平台模块(Trusted Platform Module,TPM)和可信平台服务进行平台身份认证,例如,基于可信平台模块的平台身份认证证书进行平台身份认证。其中,可信平台模块基于TPM相关标准通过集成密钥和加解密运算引擎,能够提供基于硬件的敏感信息安全存储功能。TPM标准是由国际工业标准组织——可信计算组织(Trusted Computing Group,TCG)制定的,该标准通过在计算机系统中嵌入一个包含密钥生成、加解密计算、安全存储和防篡改功能的TPM芯片,使非法用户无法对其内部的数据进行访问更改,从而确保了身份认证和数据加密的安全性。在可信网络连接认证中,需要在确保请求接入网络的终端受到可信平台模块的保护的情况下才允许终端接入网络,能够有效防止不具备可信平台模块或者可信平台模块未通过联网认证的不安全终端接入网络,这些不安全终端往往含有恶意软件或者感染恶意软件。
在实施中,终端101可以通过自身的TPM安全芯片获取平台身份认证证书。其中,TPM安全芯片是一种含有密码运算和存储部件的小型芯片系统,通常由中央处理器(Central Processing Unit,CPU)、存储器、输入/输出端口(Input/Output,I/O)、密码运算器、随机数产生器和嵌入式操作系统等部件组成。
平台身份认证证书可以是终端从私有证书授权中心获取的用于证明可信平台模块中存储的内容或者可信平台模块产生的内容可信的证书,例如,可以采用私有证书授权中心等平台认证设备颁发的AIK证书作为平台身份认证证书,AIK密钥是可信平台模块基于唯一的背书密钥(EK,Endorsement Key)产生的不可迁移的平台身份证明密钥,AIK证书中包括AIK的公钥。平台身份认证证书可以存储于生成该平台身份认证证书的平台认证设备,或者存储于专门用于存储平台身份认证证书的服务器等设备,其中平台身份认证证书的平台认证设备可以是用于签发平台身份认证证书的证书服务器。
本申请实施例提供一种终端联网认证的方法和装置,采用该方法,认证服务器在进行终端的可信网络连接认证的过程中需要在用户身份认证阶段和平台身份认证阶段分别获取终端的第二认证信息和第三认证信息,并比对第二认证信息和第三认证信息对应的平台身份是否一致,只有平台身份比对一致,认证服务器才向终端发送平台身份认证确认信息,使得可信网络连接认证中移动终端的用户身份认证与移动终端的平台身份认证过程不再相互独立,防止攻击者在平台身份认证过程中冒用其他合法终端的信息通过认证从而进行网络攻击,因此能够避免网络安全隐患。
如图3所示,本申请实施例提供的一种终端联网认证的方法,包括以下步骤:
步骤301:终端向认证服务器发送包括第一认证信息和第二认证信息的用户身份认证请求;
步骤302:认证服务器接收终端发送的用户身份认证请求;
步骤303:认证服务器根据第一认证信息对用户身份进行认证,以及根据第二认证信息确定终端对应的平台;
步骤304:认证服务器在确定终端通过用户身份认证后,向终端发送用户身份认证确认信息;
步骤305:终端接收用户身份认证确认信息;
步骤306:终端向认证服务器发送包括第三认证信息的平台身份认证请求;
步骤307:认证服务器接收平台身份认证请求;
步骤308:认证服务器根据第三认证信息对终端对应的平台身份进行认证,以及,根据第三认证信息确定终端对应的平台,并确定第二认证信息和第三认证信息所对应的平台是否相一致;
步骤309:认证服务器在确定所述终端相对应的平台身份通过认证,且所述第二认证信息和所述第三认证信息所对应的平台相一致后,向终端发送平台身份认证确认信息;
步骤310:终端接收平台身份认证确认信息。
采用以上方法,认证服务器在联网认证中需要比对第二认证信息和第三认证信息所对应的平台是否相一致,并且只有在这两个平台的比对结果一致,即用户身份认证请求与平台身份认证请求来自同一个平台对应的终端,才向终端发送平台身份认证确认信息,因此在可信网络连接认证的过程中能够防止攻击者在平台身份认证阶段冒用其他合法终端的用户身份信息进行网络攻击,避免网络安全隐患。其中,第二认证信息对应的平台是认证服务器根据第二认证信息确定的终端对应的平台,第三认证信息所对应的平台是认证服务器根据第三认证信息确定的终端对应的平台。
在实施中,若认证服务器确定第二认证信息所对应的平台和第三认证信息所对应的平台不一致,则认证服务器可以向终端发送平台身份认证否认信息,从而即便该终端通过用户身份认证和平台神人验证也无法接入网络。
如图4所示,本申请实施例提供的一种终端101包括:收发器401、处理器402以及存储器403。
收发器401与处理器402电连接,收发器401可以包括接收器,用于接收信号,并将接收的信号发送至处理器402并由处理器402进行处理,例如,将接收的认证服务器102发送的信号发送至处理器402;和/或,收发器401可以包括发送器,用于根据处理器402的控制进行信号的发送,例如,根据处理器402的控制将信号发送至服务器102。
处理器402,用于执行终端的各种功能和进行数据处理。其中,处理器402可以采用中央处理器,微处理器,应用专用集成电路,或者一个或多个集成电路,用于执行相关操作,以实现本申请实施例所提供的技术方案。
存储器403,用于存储终端101的处理器402执行的软件程序,用于通过软件程序实现本申请实施例中终端101所执行的方法。存储器403可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
在一种可能的实施方式中,终端101还包括总线接口,处理器402通过总线接口与收发器401连接,以及通过总线接口与存储器403连接。
如图5所示,本申请实施例提供的一种认证服务器102包括:收发器501、处理器502和存储器503。
收发器501与处理器502电连接,收发器501可以包括接收器,用于接收信号,并将接收的信号发送至处理器502并由处理器502进行处理,例如,将接收的终端101发送的信号发送至处理器502;和/或,收发器501可以包括发送器,用于根据处理器502的控制进行信号的发送,例如,根据处理器502的控制将信号发送终端101。
处理器502,用于执行认证服务器的各种功能和进行数据处理。其中,处理器502可以采用中央处理器,微处理器,应用专用集成电路,或者一个或多个集成电路,用于执行相关操作,以实现本申请实施例所提供的技术方案。
存储器503,用于存储认证服务器102的处理器502执行的软件程序,以通过软件程序实现本申请实施例中认证服务器102所执行的方法。存储器503可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
进一步,认证服务器102还包括总线接口,处理器502通过总线接口与收发器501连接,以及通过总线接口与存储器503连接。
可选地,在一种实施方式中,第一认证信息可以包括用户身份认证证书,则认证服务器102在步骤303中可以根据终端101的用户身份认证证书判断终端是否通过用户身份认证;第二认证信息可以包括终端101相对应的平台的身份认证证书信息,该信息用于确定终端101相对应的平台的身份认证证书,则认证服务器102在步骤303中可以根据终端101相对应的平台的身份认证证书信息去获取终端101对应的平台的身份认证证书,从而根据平台的身份认证证书确定终端101对应的平台。
可选地,第三认证信息可以包括终端101相对应的平台的身份认证证书信息,该信息用于确定终端101相对应的平台的身份认证证书。认证服务器102在步骤308中可以根据第三认证信息获取终端101对应的平台的身份认证证书,之后,与根据第二认证信息获取的平台的身份认证证书进行比对并判断是否一致,若确定一致,则认证服务器102确定用户身份认证请求和平台身份认证请求为同一所述终端101所发送。在一种实施方式中,第三认证信息可以与第二认证信息相同。
可选地,在本申请实施例中,第二认证信息和/或第三认证信息中的平台身份认证证书的信息,可以是平台身份认证证书的索引信息。以平台身份认证证书为AIK证书为例,在一种实施方式中,本申请实施例中的平台身份认证证书的信息可以包括生成AIK证书的平台认证设备的信息和该平台身份认证证书在平台认证设备中的索引号。
在一种可行的实施方式中,认证服务器102可以根据第二认证信息和/或第三认证信息中包括的平台身份认证证书的信息获取终端的平台身份认证证书。在实施中,平台身份认证证书的信息可以包括生成该平台身份认证证书的平台认证设备的信息、该平台身份认证证书的索引信息和该平台身份认证证书的版本号信息中的部分或全部信息。
以平台身份认证证书为AIK证书为例,认证服务器102在收到包含第二认证信息的用户身份认证请求后,获取第二认证信息中的平台的AIK证书的信息,其中,若该AIK证书的信息为生成该AIK证书的平台认证设备的信息和该AIK证书的索引信息(如索引号等),认证服务器可以根据索引信息向生成该AIK证书的平台认证设备查询AIK证书,从而获取平台认证设备中存储的平台身份认证证书;在收到包含第三认证信息的平台身份认证请求后,认证服务器102可以根据第三认证信息中的平台的AIK证书的信息,采用同样的方法获取对应的AIK证书,此后,认证服务器102可以比对根据第二认证信息获取的AIK证书与根据第三认证信息获取的AIK证书是否一致,从而判断第二认证信息与第三认证信息所对应的平台是否一致。
可选地,在一种实施方式中,认证服务器102可以在判断第二认证信息和第三认证信息对应的平台是否一致之前,确定第二认证信息对应的平台的身份认证证书与发送用户身份认证请求的终端101的平台身份认证证书相同,以及,确定第三认证信息对应的平台的身份认证证书与发送用户身份认证请求的终端101的平台身份认证证书相同。
在一种实施方式中,认证服务器102可以根据终端101发送的用户身份认证请求中包括的第一明文和第一密文,确定第二认证信息对应的平台的身份认证证书与发送用户身份认证请求的终端的平台身份认证证书是否相同,其中第一密文是使用终端101的平台身份认证证书的私钥加密该第一明文得到的。
在实施中,认证服务器102在根据第二认证信息中的平台的身份证书信息获取平台身份认证证书后,能够获取平台身份认证证书中的公钥。例如,平台身份认证证书是AIK证书,则认证服务器102在获取AIK证书后,还可以获取其中的AIK公钥。
此后,认证服务器102可以根据AIK公钥解密用户身份认证请求中携带的第一密文,并判断解密第一密文得到的第二明文与用户身份认证请求中的第一明文是否一致,若一致,则确定用户身份认证请求中包括的第二认证信息所对应的平台身份认证证书,与加密第一明文得到第一密文所使用的AIK私钥所属的平台身份认证证书一致;否则,确定用户身份认证请求中包括的第二认证信息所对应的平台身份认证证书与加密第一明文得到第一密文所使用的AIK私钥所属的平台身份认证证书不一致,此时认证服务器可以向终端发送用户身份认证否认信息,从而防止终端使用假冒的平台身份认证证书和/或假冒的平台的身份认证证书信息接入网络。
在一种实施方式中,认证服务器102可以根据终端101发送的平台身份认证请求中包括的第三明文和第二密文,确定第三认证信息对应的平台的身份认证证书与发送用户身份认证请求的终端的平台身份认证证书是否相同,其中所述第二密文是使用终端的平台身份认证证书的私钥加密该第三明文得到的。
在实施中,认证服务器102可以在根据第三认证信息中的平台的身份证书信息获取平台身份认证证书后,获取平台身份认证证书中的公钥。例如,平台身份认证证书是AIK证书,则认证服务器102在获取AIK证书后,还可以获取其中的AIK公钥。
此后,认证服务器102可以根据AIK公钥解密平台身份认证请求中携带的第二密文,并判断解密第二密文的到的第四明文与平台身份认证请求中的第三明文是否一致,若一致,则确定平台身份认证请求中包括的第三认证信息所对应的平台身份认证证书,与加密第二明文得到第二密文所使用的AIK私钥所属的平台身份认证证书一致;否则,确定第三认证信息所对应的平台身份认证证书与加密第二明文得到第二密文所使用的AIK私钥所属的平台身份认证证书不一致,此时可以向终端发送平台身份认证否认信息,从而防止终端使用假冒的平台身份认证证书和/或假冒的平台的身份认证证书信息接入网络。
可选地,在本申请实施例中,若第一认证信息包括用户身份认证证书,则用户身份认证请求中的第二认证信息、第一明文和第一密文可以位于所述用户身份认证证书的扩展项中。
在一种可行的实施方式中,终端可以在获取平台认证设备颁发的平台身份认证证书后,在向电子签证机关申请用户身份认证证书的请求中携带生成包含平台身份认证证书的信息以及第一明文和第一密文的扩展项的请求,并接收电子签证机关颁发的包含扩展项的用户身份认证证书,其中,该扩展项可以是SKAE(Subject Key Attestation Evidence,主题密钥证言证据)扩展项,电子签证机关可以是用于签发证书的CA(CertificationAuthority,认证中心)服务器。
如图6所示,以第二认证信息为平台的身份认证证书信息为例,说明本申请实施例中的终端获取平台身份认证证书以及获取包括SKAE扩展项的用户身份认证证书的具体步骤:
步骤601:终端生成平台身份证明公钥和私钥;
步骤602:终端向平台认证设备申请包含该公钥的平台身份认证证书;
步骤603:平台认证设备根据终端的请求生成包含该公钥的平台身份认证证书,并向终端发送该平台身份认证证书;
步骤604:终端根据平台身份认证证书的私钥对第一明文加密生成第一密文,并获取平台身份认证证书的信息;
步骤605:终端向电子签证机关请求颁发包含SKEA扩展项的用户身份认证证书,其中,终端向电子签证机关请求在SKEA扩展项中携带第一明文、第一密文以及平台的身份认证证书信息;
步骤606:电子签证机关根据终端的请求生成包含SKEA扩展项的用户身份认证证书,并向终端发送该用户身份证书;
步骤607:终端接收电子签证机关发送的包含SKEA扩展项的用户身份认证证书。
采用以上方法,终端能够从平台认证设备获取平台身份认证证书,并从电子签证机关获取包含SKEA扩展项的用户身份认证证书,其中,终端获取的用户身份认证证书包含第一明文、第一密文以及平台的身份认证证书信息,平台身份认证证书的信息可以是、生成平台身份认证证书的平台认证设备的信息、平台身份认证证书的索引信息以及平台身份认证证书采用的版本号等等。
在一种可能的实施方式中,若平台身份认证证书的信息包括生成平台身份认证证书的平台认证设备的信息、平台认证设备存储平台身份认证证书的索引号以及平台身份认证证书所采用的版本号信息,则终端获取的包含第一明文、第一密文以及平台的身份认证证书信息的用户身份认证证书的一种可能的格式如图7所示,其中平台身份认证证书的信息包括生成平台身份认证证书的平台认证设备的信息、平台认证设备存储平台身份认证证书的索引号以及平台身份认证证书所采用的版本号信息。在实施中,若用户身份认证证书中的扩展项是SKAE扩展项,可以将第一明文作为SKAE扩展项的Certify_Info字段,将第一密文作为SKAE扩展项的Signature字段,将生成平台身份认证证书的平台认证设备的信息作为SKAE扩展项的AIK_serial_nub字段,将平台认证设备存储平台身份认证证书的索引号作为SKAE扩展项的PCA_authority_info字段,以及将平台身份认证证书所采用的版本号信息作为SKAE扩展项的Tcg_spec_version字段。
在一种可能的实施方式中,终端101发送的用户身份认证请求中的第一明文可以是平台身份认证证书的私钥加密的不可迁移的SKAE密钥,由于该SKAE密钥经过平台身份认证证书的私钥加密,因此该SKAE密钥的安全性得到该平台身份认证证书的认证,认证服务器102可以在收到用户身份认证请求后,获取SKAE密钥并用于诸如TLS(Transport LayerSecurity,传输层安全协议)和HTTPS(Hyper Text Transfer Protocol over SecureSocket Layer,基于TLS的超文本传输协议)场景,从而不需要由终端101在上述场景中单独发送SKAE密钥。
可选地,在本申请实施例中,终端101可以在收到认证服务器102发送的平台身份认证确认信息后,向认证服务器102发送平台完整性认证请求,并在该请求中携带第四认证信息以及第五认证信息,其中第四认证信息用于认证服务器102验证终端101对应的平台是否通过平台完整性认证,第五认证信息用于认证服务器102确定终端101对应的平台,以及确定第二认证信息确定的平台与根据第五认证信息确定的平台是否一致。认证服务器102可以根据第四认证信息判断终端101对应的平台是否通过平台完整性认证,根据第五认证信息去确定终端相对应的平台,以及判断根据第二认证信息确定的平台与根据第五认证信息确定的平台是否一致,若一致,则认证服务器102确定用户身份认证请求和平台完整性认证请求为同一终端101发送的;若认证服务器判断终端101通过完整性认证,并且用户身份认证请求和平台完整性认证请求为同一终端101发送的,则认证服务器102向终端101发送平台完整性认证确认信息。
另外,在实施中,若认证服务器102根据第二认证信息和第五认证信息判断第二认证信息和第五认证信息所对应的平台不一致,则确定用户身份认证请求和平台完整性认证请求不是同一终端发送的,此时可以向终端101发送平台完整性认证否认信息。
可选地,在一种实施方式中,第五认证信息可以包括终端相对应的平台的身份认证证书信息,该信息用于认证服务器获取平台的身份认证证书,则在平台完整性认证阶段,认证服务器102可以根据身份认证证书信息获取平台的完整性认证证书,进一步,认证服务器102可以比对根据第二认证信息获取的平台的完整性认证证书和根据第五认证信息获取的平台的完整性认证证书,并根据比对结果判断第二认证信息和第五认证信息所对应的平台是否一致。
可选地,在本申请实施例中,终端101发送的平台完整性认证请求还可以包括第五明文和使用平台身份认证证书的私钥加密第五明文得到的第三密文,认证服务器102可以在确定第二认证信息和第五认证信息所对应的平台是否相一致之前,根据第五认证信息中的身份认证证书信息确定平台身份认证证书并获取平台身份认证证书中的公钥,之后根据所述公钥解密第三密文得到第六明文,此后确定第六明文和第五明文比对一致;若确定比对不一致,则认证服务器102可以向终端101发送平台完整性认证否认信息,此时认证服务器可以不再根据平台完整性认证信息判断终端对应的平台是否通过平台完整性认证。
在实施中,认证服务器102在根据第五认证信息中的平台的身份证书信息获取平台身份认证证书后,能够获取平台身份认证证书中的公钥。例如,平台身份认证证书是AIK证书,则认证服务器102在获取AIK证书后,还可以获取其中的AIK公钥。
此后,认证服务器102可以根据AIK公钥解密平台完整性认证请求中携带的第三密文,并判断解密第三密文的到的第六明文与平台完整性认证请求中的第五明文是否一致,若一致,则确定平台完整性认证请求中包括的第五认证信息所对应的平台身份认证证书,与加密第五明文得到第三密文所使用的AIK私钥所属的平台身份认证证书一致;否则,确定第五认证信息所对应的平台身份认证证书与加密第五明文得到第三密文所使用的AIK私钥所属的平台身份认证证书不一致,此时可以向终端发送平台完整性认证否认信息,从而防止终端使用假冒的平台身份认证证书和/或假冒的平台的身份认证证书信息接入网络。
可选地,在本申请实施例中,第四认证信息可以由平台认证证书的私钥加密后作为平台完整性认证请求中的第五明文,其中第四认证信息可以是平台完整性度量值等用于认证服务器102验证终端101对应的平台是否通过平台完整性认证的信息。以第四认证信息是平台完整性度量值为例,说明本申请实施例中终端101通过认证服务器102认证平台完整性的方法:
平台完整性度量值可以由终端101通过平台身份认证证书的私钥加密后作为第五明文加入平台完整性认证请求,之后由终端101向认证服务器102发送该平台完整性认证请求,认证服务器102可以根据平台完整性认证请求中的第五认证信息获取对应的平台认证证书并确定平台身份认证证书中的公钥,在使用平台身份认证证书的公钥解密平台完整性认证请求中的第五明文后获取平台完整性度量值,并根据平台完整性度量值判断终端对应的平台是否通过平台完整性认证。其中,第五认证信息可以是平台的身份认证证书信息,例如生成所述平台的身份认证证书的平台认证设备的信息、平台身份认证证书的索引信息和身份认证证书的版本号信息。
应注意,本申请实施例中平台完整性认证请求中的第五明文并不局限于平台身份认证证书的私钥加密的平台完整性度量值,还可以是平台身份认证证书的私钥加密的其他信息,例如,可以是与终端的平台身份信息相关的其他数据,或者相关通信协议、标准中定义的用于进行平台身份认证证书的签名和验签的数据。
若第一认证信息为用户身份认证证书,第二认证信息、第三认证信息、第五认证信息为终端对应的平台的身份认证证书信息,第四认证信息为平台的平台完整性度量值,以移动终端为例,本申请实施例提供的一种终端联网认证的方法的具体步骤如图8所示,包括:
步骤801:移动终端向认证服务器发送用户身份认证请求,其中,用户身份认证请求包括移动终端的用户身份认证证书,并且用户身份认证证书的SKAE扩展项中包括第一明文、移动终端的平台身份认证证书的私钥加密第一明文得到的第一密文、平台的身份认证证书信息,其中第一明文为平台身份认证证书的私钥加密的SKAE密钥,其中,平台的身份认证证书信息包括生成平台身份认证证书的平台认证设备的信息、平台认证设备存储平台身份认证证书的索引号以及平台身份认证证书所采用的版本号信息;
步骤802:认证服务器收到用户身份认证请求后,根据用户身份认证请求中的平台身份认证证书的信息获取平台身份认证证书,判断是否移动终端的用户身份认证证书认证通过,且用户身份认证请求中包括的第一明文与使用公钥解密第一密文得到的第二明文一致,若是,则执行步骤803,否则,执行步骤804,其中,所述公钥是根据平台身份认证证书的信息确定的平台的认证证书中的公钥;
步骤803:认证服务器向移动终端发送用户身份认证确认信息,之后执行步骤805;
步骤804:认证服务器向移动终端发送用户身份认证否认信息,之后执行步骤806;
步骤805:移动终端在收到用户身份认证确认信息后,向认证服务器发送包括终端的平台的身份认证证书信息的平台身份认证请求,其中平台身份认证请求还包括第三明文和使用平台身份认证证书的私钥加密该第三明文得到的第二密文,之后执行步骤807,其中平台身份认证证书的信息包括生成平台身份认证证书的平台认证设备的信息、平台认证设备存储平台身份认证证书的索引号以及平台身份认证证书所采用的版本号信息;
步骤806:移动终端接收用户身份认证否认信息,之后结束本流程;
步骤807:认证服务器收到平台身份认证请求后,根据平台身份认证请求中的平台身份认证证书的信息获取平台身份认证证书,判断是否获取的平台身份认证证书与根据用户身份认证请求中的平台身份认证证书的信息获取的平台身份认证证书一致,且平台身份认证请求中的第三明文与使用公钥解密第二密文得到的第四明文一致,若是,执行步骤808,否则执行步骤809,其中公钥是根据平台身份认证请求中的平台身份认证证书的信息确定的平台的认证证书中的公钥;
步骤808:认证服务器向移动终端发送平台身份认证确认信息,之后执行步骤810;
步骤809:认证服务器向移动终端发送平台身份认证否认信息,之后执行步骤811;
步骤810:移动终端接收平台身份认证确认信息后,向认证服务器发送平台完整性认证请求,并在该请求中携带第五明文和使用平台身份认证证书的私钥加密第五明文得到的第三密文、终端的平台身份认证证书的信息,其中第五明文为使用平台身份认证证书的私钥加密的平台完整性度量值,之后执行步骤812,其中平台身份认证证书的信息包括生成平台身份认证证书的平台认证设备的信息、平台认证设备存储平台身份认证证书的索引号以及平台身份认证证书所采用的版本号信息;
步骤811:移动终端收平平台身份认证否认信息,之后结束本流程;
步骤812:认证服务器收到平台完整性证请求后,根据平台完整性认证请求中的平台身份认证证书的信息获取平台身份认证证书,判断是否获取的平台身份认证证书与根据用户身份认证请求中的平台身份认证证书的信息获取的平台身份认证证书一致,且平台身份认证请求中的第五明文与使用公钥解密第三密文得到的第六明文一致,且根据平台完整性度量值确定移动终端对应的平台通过平台完整性认证,若是,执行步骤813,否则执行步骤814,其中所述公钥是根据平台完整性认证请求中的平台身份认证证书的信息确定的平台的认证证书中的公钥;
步骤813:认证服务器向移动终端发送平台完整性认证确认信息,之后执行步骤815;
步骤814:认证服务器向移动终端发送平台完整性认证否认信息,之后执行步骤816;
步骤815:移动终端接收平台完整性认证确认信息,之后结束本流程;
步骤816:移动终端接收平台完整性认证否认信息,之后结束本流程。
其中,用户身份认证确认信息用于指示终端通过用户身份认证,用户身份认证否认信息用于指示终端没有通过用户身份认证;平台身份认证确认信息用于指示终端对应的平台通过平台身份认证,平台身份认证否认信息用于指示终端通对应的平台没有过平台身份认证;平台完整性认证确认信息用于指示终端对应的平台通过平台的完整性认证,平台完整性认证否认信息用于指示终端对应的平台没有通过平台的完整性认证。
采用以上方法,在终端发送的用户身份认证请求中的平台身份认证证书的信息有效,且终端发送的平台身份认证请求中的平台身份认证证书的信息有效时,认证服务器只有在根据用户身份认证请求中的平台身份认证证书的信息确定的平台身份认证证书与根据平台身份认证请求中的平台身份认证证书的信息确定的平台身份认证证书一致时,才向终端发送平台身份认证确认信息,从而可以在可信网络连接认证的过程中实现终端的用户身份认证和终端的平台身份认证过程的绑定,防止攻击者冒用其他合法终端的用户身份信息进行网络攻击,避免网络安全隐患。
并且,认证服务器只有在根据用户身份认证请求中的平台身份认证证书的信息确定的平台身份认证证书与根据平台完整性认证请求中的平台身份认证证书的信息确定的平台身份认证证书一致时,才向终端发送平台完整性认证确认信息,实现终端的用户身份认证和终端的平台完整性认证过程的绑定,防止攻击者冒用其他合法终端的用户身份信息通过平台完整性认证,进一步避免网络安全隐患。
另外,上述方法中,认证服务器只有在终端通过用户身份认证并且终端发送的用户身份认证请求中的第一明文与解密第一密文得到的第二明文比对一致时,才向终端发送用户身份认证确认信息,由于上述比对过程能够保证加密第一明文得到第一密文所使用的私钥与解密第一密文得到第二明文的公钥为对应的公私钥,即终端101对应的平台的认证证书与服务器102根据第二认证信息确定的平台的认证证书系统,从而能够进一步防止可信网络连接认证的过程中攻击者利用假冒的平台身份认证证书及其信息进行网络攻击,提升网络安全。
基于相同的原因,认证服务器只有在终端对应的平台通过平台身份认证并且终端发送的平台身份认证请求中的第三明文与解密第二密文得到的第四明文比对一致时,才向终端发送用户身份认证确认信息;认证服务器只有在终端对应的平台通过平台完整性认证并且终端发送的平台完整性请求中的第五明文与解密第三密文得到的第六明文比对一致时,才向终端发送平台完整性认证确认信息,能够进一步防止可信网络连接认证的过程中攻击者利用假冒的平台身份认证证书及其信息进行网络攻击,提升网络安全。
可选地,本申请实施例中,终端的可信平台模块为软件可信平台模块(Soft TPM,sTPM),终端基于软件可信平台模块实现本申请实施例中的联网认证过程。
在一种可行的实施方式中,可以基于安全世界(TrustZone)构造安全隔离的可信执行环境(Trusted Execution Environment,TEE),并在其中部署软件构造的TPM模块为终端提供可信服务,同时将TNC客户端和完整性度量收集器部署在TrustZone构建的可信执行环境中,保证其运行的安全性。另外,可以将TSS(Trusted Software Stack,可信软件栈)和sTPM分别部署在一般运行环境(Rich Execution Environment,REE)(以下称为普通世界)和可信执行环境(以下称为安全世界)中,两者通过可信应用(Trusted Application,TA),并以TrustZone原有的普通世界和安全世界之间的通信方式进行通信。
基于TrustZone的sTPM实现架构如图9所示,终端通过sTPM模块901、TSS模块902、通信模块903以及安全存储模块904实现本申请实施例提供的终端联网认证的方法。
sTPM模块901用软件方式实现的TPM仿真,并且可以提供完整的TPM功能,如加密、解密、度量等,并添加OpenSSL(开源安全套接层协议)加密库以及国密算法SM2、SM3以及SM4,为sTPM提供加解密算法支持。同时为了保证sTPM运行安全,将sTPM运行在安全世界的操作系统中。其中sTPM模块还需要包含sTPM身份信息。由于sTPM缺乏背书密钥,可以在终端出厂时将一个终端背书密钥固化在设备隐私区域,不允许修改,且由TrustZone保护和访问,在进行联网认证时,基于该终端背书密钥生成平台身份认证证书的公钥、私钥。
TSS模块902作为可信软件栈,运行在普通世界,为用户提供简便的调用sTPM模块901的应用程序编程接口(Application Programming Interface,API接口),供上层用户调用。
通信模块903,用于实现普通世界的TSS模块902与安全世界的sTPM模块901的通信功能。本申请实施例中,可以基于TrustZone规范,在TSS模块902中通过调用可信执行环境客户端接口(TEE Client API),将sTPM模块产生的sTPM命令发送到安全世界中,并在安全世界设计一个通信可信应用(Trusted Application,TA),用于接收TSS模块902发送过来的命令,将其转发给sTPM模块901,由sTPM模块901处理后再发给TSS模块902,完成用户调用终端的sTPM过程。
如图10所示,一种可能的实施方式中,基于软件实现本申请实施例提供的可信网络连接认证时,AR(即终端)在通过NAR向PDP(即认证服务器)请求进行用户身份认证时,携带从sTPM获取的平台身份认证证书的信息,以及,在通过TNCC向PDP请求进行平台身份认证时,携带从sTPM获取的平台身份认证证书的信息,PDP在通过TNCS比对用户身份认证和平台身份认证时AR发送的平台身份认证证书的信息所对应的平台身份认证证书一致时,才向AR发送平台身份认证通过结果。另外,AR在通过IMC与PDP的IMV进行平台完整性认证时,可以携带从sTPM获取的平台身份认证证书的信息,PDP在通过TNCS比对用户身份认证和平台完整性认证时AR发送的平台身份认证证书的信息所属的平台身份认证证书一致后,进行平台完整性认证。
由于可以通过软件方式实现可信平台模块,本申请实施例可以为移动终端、嵌入式设备等难以扩展硬件芯片的终端提供软件的可信平台模块,支持这些终端实现本申请实施例提供的终端联网认证的方法。
基于与上述方法实施例相同构思,本申请实施例还提供了一种终端,用于实现本申请实施例所述的方法。该终端可以具有如图4所示的结构。
基于与上述方法实施例相同构思,本申请实施例还提供了一种认证服务器,用于实现本申请实施例所述的方法。该认证服务器可以具有如图5所示的结构。
基于与上述方法实施例相同构思,本申请实施例还提供了一种系统,用于实现本申请实施例所述的方法。该系统可以包括如图4所示的终端以及如图5所示的认证服务器。
基于与上述方法实施例相同构思,本申请实施例还提供了一种计算机可读存储介质,其上存储有一些指令,这些指令被调用执行时,可以使得终端执行上述方法实施例、方法实施例的任意一种可能的设计中所涉及的功能。本申请实施例中,对可读存储介质不做限定,例如,可以是RAM(random-access memory,随机存取存储器)、ROM(read-onlymemory,只读存储器)等。
基于与上述方法实施例相同构思,本申请实施例还提供了一种计算机可读存储介质,其上存储有一些指令,这些指令被调用执行时,可以使得认证服务器执行上述方法实施例、方法实施例的任意一种可能的设计中所涉及的功能。本申请实施例中,对可读存储介质不做限定,例如,可以是RAM、ROM等。
基于与上述方法实施例相同构思,本申请实施例还提供了一种计算机程序产品,当所述计算机程序产品被计算机运行时,可以使得终端执行上述方法实施例、方法实施例的任意一种可能的设计中所涉及的功能。
基于与上述方法实施例相同构思,本申请实施例还提供了一种计算机程序产品,当所述计算机程序产品被计算机运行时,可以使得认证服务器执行上述方法实施例、方法实施例的任意一种可能的设计中所涉及的功能。
本领域内的技术人员应明白,本申请实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请中一些可能的实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括本申请实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (34)
1.一种终端联网认证的方法,其特征在于,包括:
终端向认证服务器发送用户身份认证请求,所述用户身份认证请求中包括第一认证信息和第二认证信息,其中,所述第一认证信息用于所述认证服务器对所述终端的用户身份进行认证,所述第二认证信息用于所述认证服务器确定与所述终端相对应的平台;
所述终端在收到所述认证服务器发送的用户身份认证确认信息后,向所述认证服务器发送平台身份认证请求,所述平台身份认证请求中包括第三认证信息,所述第三认证信息用于所述认证服务器对所述终端相对应的平台身份进行认证,以及,根据所述第二认证信息和所述第三认证信息所对应的平台相一致确定所述用户身份认证请求和所述平台身份认证请求为同一所述终端所发送;
所述终端接收所述认证服务器发送的平台身份认证确认信息。
2.根据权利要求1所述方法,其特征在于,所述第一认证信息包括用户身份认证证书,所述第二认证信息包括所述终端相对应的平台的身份认证证书信息,所述身份认证证书信息用于所述认证服务器确定终端相对应的平台的身份认证证书。
3.根据权利要求2所述方法,其特征在于,所述第三认证信息与所述第二认证信息相同。
4.根据权利要求2所述方法,其特征在于,所述用户身份认证请求中还包括第一明文和使用所述终端对应的平台的身份认证证书的私钥加密所述第一明文得到的第一密文,所述第一明文用于与第二明文比对是否一致,所述第二明文为使用根据所述第二认证信息确定的平台身份认证证书中的公钥解密所述第一密文得到的明文。
5.根据权利要求3所述方法,其特征在于,所述平台身份认证请求中还包括第三明文和使用所述终端对应的平台的身份认证证书的私钥加密所述第三明文得到的第二密文,所述第三明文用于与第四明文比对是否一致,所述第四明文为使用根据所述第三认证信息确定的平台身份认证证书中的公钥解密所述第二密文得到的明文。
6.根据权利要求1所述方法,其特征在于,所述终端在接收所述认证服务器发送的平台身份认证确认信息后,还包括:
所述终端向认证服务器发送平台完整性认证请求,所述平台完整性认证请求中包括第四认证信息、第五认证信息,其中,所述第四认证信息用于所述认证服务器验证所述终端相对应的平台是否通过平台完整性认证,所述第五认证信息用于所述认证服务器确定与所述终端相对应的平台,以及用于所述认证服务器根据所述第二认证信息和所述第五认证信息所对应的平台相一致确定所述用户身份认证请求和所述平台完整性认证请求为同一所述终端所发送;
所述终端接收所述认证服务器发送的平台完整性认证确认信息。
7.根据权利要求6所述方法,其特征在于,所述第五认证信息包括所述终端相对应的平台的身份认证证书信息,所述平台完整性认证请求中还包括第五明文和使用所述终端对应的平台的身份认证证书的私钥加密所述第五明文得到的第三密文,所述第五明文用于与第六明文比对是否一致,所述第六明文为使用根据所述第五认证信息确定的平台身份认证证书中的公钥解密所述第三密文得到的明文。
8.根据权利要求6所述方法,其特征在于,所述第一认证信息为用户身份认证证书,所述第二认证信息、所述第三认证信息以及所述第五认证信息为所述终端相对应的平台的身份证明密钥AIK证书的索引信息,所述第四认证信息为平台完整性度量值。
9.一种终端联网认证的方法,其特征在于,包括:
认证服务器接收终端发送的用户身份认证请求,所述用户身份认证请求中包括第一认证信息和第二认证信息;
根据所述第一认证信息对所述终端的用户身份进行认证,根据所述第二认证信息确定与所述终端相对应的平台;
若所述终端的用户身份通过认证,所述认证服务器向所述终端发送用户身份认证确认信息,所述用户身份认证确认信息用于指示所述终端用户身份认证通过;
所述认证服务器接收所述终端发送的平台身份认证请求,所述平台身份认证请求中包括第三认证信息;
根据所述第三认证信息对所述终端相对应的平台身份进行认证,以及,根据所述第二认证信息和所述第三认证信息,确定所述第二认证信息和所述第三认证信息所对应的平台是否相一致;
若所述终端相对应的平台身份通过认证,且所述第二认证信息和所述第三认证信息所对应的平台相一致,所述认证服务器向所述终端发送平台身份认证确认信息,所述平台身份认证确认信息用于指示所述终端平台身份认证通过。
10.根据权利要求9所述方法,其特征在于,所述第一认证信息包括用户身份认证证书,所述第二认证信息包括所述终端相对应的平台的身份认证证书信息,所述身份认证证书信息用于所述认证服务器确定终端相对应的平台的身份认证证书。
11.根据权利要求10所述方法,其特征在于,所述第三认证信息与所述第二认证信息相同。
12.根据权利要求10所述方法,其特征在于,所述用户身份认证请求中还包括第一明文和使用所述终端对应的平台的身份认证证书的私钥加密所述第一明文得到的第一密文;
所述认证服务器向所述终端发送用户身份认证确认信息之前,还包括:
根据所述第二认证信息中包括的所述平台的身份认证证书信息确定平台身份认证证书中的公钥;
根据所述公钥解密所述第一密文得到第二明文;
确定所述第一明文与第二明文比对一致。
13.根据权利要求11所述方法,其特征在于,所述平台身份认证请求中还包括第三明文和使用所述终端对应的平台的身份认证证书的私钥加密所述第三明文得到的第二密文;
所述认证服务器确定所述第二认证信息和所述第三认证信息所对应的平台是否相一致之前,还包括:
根据所述第三认证信息中包括的所述平台的身份认证证书信息确定平台身份认证证书中的公钥;
根据所述公钥解密所述第二密文得到第四明文;
确定所述第三明文与第四明文比对一致。
14.根据权利要求9所述方法,其特征在于,所述认证服务器向所述终端发送平台身份认证确认信息之后,还包括:
所述认证服务器接收所述终端发送的平台完整性认证请求,所述平台完整性认证请求第四认证信息、第五认证信息;
所述认证服务器根据所述第四认证信息对所述终端的平台完整性进行认证,根据所述第五认证信息确定与所述终端相对应的平台,以及确定所述第二认证信息和所述第五认证信息所对应的平台是否相一致;
若所述终端相对应的平台完整性通过认证,且所述第二认证信息和所述第五认证信息所对应的平台相一致,所述认证服务器向所述终端发送平台完整性认证确认信息,所述平台完整性认证确认信息用于指示所述终端平台完整性认证通过。
15.根据权利要求14所述的方法,其特征在于,所述第五认证信息包括所述终端相对应的平台的身份认证证书信息,所述平台完整性认证请求中还包括第五明文和使用所述终端对应的平台的身份认证证书的私钥加密所述第五明文得到的第三密文;
所述认证服务器确定所述第二认证信息和所述第五认证信息所对应的平台是否相一致之前,还包括:
根据所述第五认证信息中包括的所述平台的身份认证证书信息确定平台身份认证证书中的公钥;
根据所述公钥解密所述第三密文得到第六明文;
确定所述第五明文与第六明文比对一致。
16.根据权利要求14所述方法,其特征在于,所述第一认证信息为用户身份认证证书,所述第二认证信息、所述第三认证信息以及所述第五认证信息为所述终端相对应的平台的身份证明密钥AIK证书的索引信息,所述第四认证信息为平台完整性度量值。
17.一种终端联网认证的终端,其特征在于,包括收发器和处理器,其中:
所述收发器,用于所述终端与认证服务器之间进行通信;
所述处理器,用于控制所述收发器向认证服务器发送用户身份认证请求,所述用户身份认证请求中包括第一认证信息和第二认证信息,其中,所述第一认证信息用于所述认证服务器对所述终端的用户身份进行认证,所述第二认证信息用于所述认证服务器确定与所述终端相对应的平台;在通过所述收发器收到所述认证服务器发送的用户身份认证确认信息后,控制所述收发器向所述认证服务器发送平台身份认证请求,所述平台身份认证请求中包括第三认证信息,所述第三认证信息用于所述认证服务器对所述终端相对应的平台身份进行认证,以及,根据所述第二认证信息和所述第三认证信息所对应的平台相一致确定所述用户身份认证请求和所述平台身份认证请求为同一所述终端所发送;以及通过所述收发器接收所述认证服务器发送的平台身份认证确认信息。
18.根据权利要求17所述终端,其特征在于,所述第一认证信息包括用户身份认证证书,所述第二认证信息包括所述终端相对应的平台的身份认证证书信息,所述身份认证证书信息用于所述认证服务器确定终端相对应的平台的身份认证证书。
19.根据权利要求18所述终端,其特征在于,所述第三认证信息与所述第二认证信息相同。
20.根据权利要求18所述终端,其特征在于,所述用户身份认证请求中还包括第一明文和使用所述终端对应的平台的身份认证证书的私钥加密所述第一明文得到的第一密文,所述第一明文用于与第二明文比对是否一致,所述第二明文为使用根据所述第二认证信息确定的平台身份认证证书中的公钥解密所述第一密文得到的明文。
21.根据权利要求19所述终端,其特征在于,所述平台身份认证请求中还包括第三明文和使用所述终端对应的平台的身份认证证书的私钥加密所述第三明文得到的第二密文,所述第三明文用于与第四明文比对是否一致,所述第四明文为使用根据所述第三认证信息确定的平台身份认证证书中的公钥解密所述第二密文得到的明文。
22.根据权利要求17所述终端,其特征在于,所述处理器还用于:
在通过所述收发器接收所述认证服务器发送的平台身份认证确认信息后,通过所述收发器向所述认证服务器发送平台完整性认证请求,所述平台完整性认证请求中包括第四认证信息、第五认证信息,其中,所述第四认证信息用于所述认证服务器验证所述终端相对应的平台是否通过平台完整性认证,所述第五认证信息用于所述认证服务器确定与所述终端相对应的平台,以及用于所述认证服务器确定根据所述第二认证信息和所述第五认证信息所对应的平台相一致确定所述用户身份认证请求和所述平台完整性认证请求为同一所述终端所发送;通过所述收发器接收所述认证服务器发送的平台完整性认证确认信息。
23.根据权利要求22所述终端,其特征在于,所述第五认证信息包括所述终端相对应的平台的身份认证证书信息,所述身份认证证书信息用于所述认证服务器确定终端相对应的平台的身份认证证书,所述平台完整性认证请求中还包括第五明文和使用所述终端对应的平台的身份认证证书的私钥加密所述第五明文得到的第三密文,所述第五明文用于与第六明文比对是否一致,所述第六明文为使用根据所述第五认证信息确定的平台身份认证证书中的公钥解密所述第三密文得到的明文。
24.根据权利要求22所述终端,其特征在于,所述第一认证信息为用户身份认证证书,所述第二认证信息、所述第三认证信息以及所述第五认证信息为所述终端相对应的平台的身份证明密钥AIK证书的索引信息,所述第四认证信息为平台完整性度量值。
25.一种终端联网认证的认证服务器,其特征在于,包括:
所述收发器,用于所述认证服务器与终端之间进行通信;
所述处理器,用于通过所述收发器接收终端发送的用户身份认证请求,所述用户身份认证请求中包括第一认证信息和第二认证信息;根据所述第一认证信息对所述终端的用户身份进行认证,根据所述第二认证信息确定与所述终端相对应的平台;若确定所述终端的用户身份通过认证,通过所述收发器向所述终端发送用户身份认证确认信息,所述用户身份认证确认信息用于指示所述终端用户身份认证通过;通过所述收发器接收所述终端发送的平台身份认证请求,所述平台身份认证请求中包括第三认证信息;根据所述第三认证信息对所述终端相对应的平台身份进行认证,以及,根据所述第二认证信息和所述第三认证信息,确定所述第二认证信息和所述第三认证信息所对应的平台是否相一致;以及,若确定所述终端相对应的平台身份通过认证,且所述第二认证信息和所述第三认证信息所对应的平台相一致,通过所述收发器向所述终端发送平台身份认证确认信息,所述平台身份认证确认信息用于指示所述终端平台身份认证通过。
26.根据权利要求25所述认证服务器,其特征在于,所述第一认证信息包括用户身份认证证书,所述第二认证信息包括所述终端相对应的平台的身份认证证书信息,所述身份认证证书信息用于所述认证服务器确定终端相对应的平台的身份认证证书。
27.根据权利要求26所述认证服务器,其特征在于,所述第三认证信息与所述第二认证信息相同。
28.根据权利要求26所述认证服务器,其特征在于,所述用户身份认证请求中还包括第一明文和使用所述终端对应的平台的身份认证证书的私钥加密所述第一明文得到的第一密文;
所述处理器通过所述收发器向所述终端发送用户身份认证确认信息之前,还包括:
根据所述第二认证信息中包括的所述平台的身份认证证书信息确定平台身份认证证书中的公钥;
根据所述公钥解密所述第一密文得到第二明文;
确定所述第一明文与第二明文比对一致。
29.根据权利要求27所述认证服务器,其特征在于,所述平台身份认证请求中还包括第三明文和使用所述终端对应的平台的身份认证证书的私钥加密所述第三明文得到的第二密文;
所述处理器确定所述第二认证信息和所述第三认证信息所对应的平台是否相一致之前,还包括:
根据所述第三认证信息中包括的所述平台的身份认证证书信息确定平台身份认证证书中的公钥;
根据所述公钥解密所述第二密文得到第四明文;
确定所述第三明文与第四明文比对一致。
30.根据权利要求25所述认证服务器,其特征在于,所述处理器通过所述收发器向所述终端发送平台身份认证确认信息之后,还包括:
通过所述收发器接收所述终端发送的平台完整性认证请求,所述平台完整性认证请求第四认证信息、第五认证信息;根据所述第四认证信息对所述终端的平台完整性进行认证,根据所述第五认证信息确定与所述终端相对应的平台,以及确定所述第二认证信息和所述第五认证信息所对应的平台是否相一致;若所述终端相对应的平台完整性通过认证,且所述第二认证信息和所述第五认证信息所对应的平台相一致,通过所述收发器向所述终端发送平台完整性认证确认信息,所述平台完整性认证确认信息用于指示所述终端平台完整性认证通过。
31.根据权利要求30所述的认证服务器,其特征在于,所述第五认证信息包括所述终端相对应的平台的身份认证证书信息,所述平台完整性认证请求中还包括第五明文和使用所述终端对应的平台的身份认证证书的私钥加密所述第五明文得到的第三密文;
所述处理器确定根据所述第二认证信息确定的平台和根据所述第五认证信息确定的平台是否相一致之前,还包括:
根据所述第五认证信息中包括的所述平台的身份认证证书信息确定平台身份认证证书中的公钥;
根据所述公钥解密所述第三密文得到第六明文;
确定所述第五明文与第六明文比对一致。
32.根据权利要求30所述认证服务器,其特征在于,所述第一认证信息为用户身份认证证书,所述第二认证信息、所述第三认证信息以及所述第五认证信息为所述终端相对应的平台的身份证明密钥AIK证书的索引信息,所述第四认证信息为平台完整性度量值。
33.一种计算机可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序,当所述计算机程序被计算机调用执行时,使得计算机执行根据权利要求1至8任一所述方法。
34.一种计算机可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序,当所述计算机程序被计算机调用执行时,使得计算机执行根据权利要求9至16任一所述方法。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711048378.9A CN109729523B (zh) | 2017-10-31 | 2017-10-31 | 一种终端联网认证的方法和装置 |
| EP18873087.3A EP3694243B1 (en) | 2017-10-31 | 2018-06-29 | Method and system for network connection authentication |
| PCT/CN2018/093851 WO2019085531A1 (zh) | 2017-10-31 | 2018-06-29 | 一种终端联网认证的方法和装置 |
| US16/862,236 US11432150B2 (en) | 2017-10-31 | 2020-04-29 | Method and apparatus for authenticating network access of terminal |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711048378.9A CN109729523B (zh) | 2017-10-31 | 2017-10-31 | 一种终端联网认证的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109729523A true CN109729523A (zh) | 2019-05-07 |
| CN109729523B CN109729523B (zh) | 2021-02-23 |
Family
ID=66293169
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711048378.9A Active CN109729523B (zh) | 2017-10-31 | 2017-10-31 | 一种终端联网认证的方法和装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11432150B2 (zh) |
| EP (1) | EP3694243B1 (zh) |
| CN (1) | CN109729523B (zh) |
| WO (1) | WO2019085531A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110417776A (zh) * | 2019-07-29 | 2019-11-05 | 大唐高鸿信安(浙江)信息科技有限公司 | 一种身份认证方法及装置 |
| CN111628873A (zh) * | 2020-07-28 | 2020-09-04 | 四川省数字证书认证管理中心有限公司 | 一种使用数字证书固化数据电文的存证方法 |
| CN111756733A (zh) * | 2020-06-23 | 2020-10-09 | 恒生电子股份有限公司 | 一种身份认证方法和相关装置 |
| WO2021073375A1 (zh) * | 2019-10-17 | 2021-04-22 | 华为技术有限公司 | 一种组合式设备远程证明模式的协商方法及相关设备 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109960582B (zh) * | 2018-06-19 | 2020-04-28 | 华为技术有限公司 | 在tee侧实现多核并行的方法、装置及系统 |
| US11017090B2 (en) | 2018-12-17 | 2021-05-25 | Hewlett Packard Enterprise Development Lp | Verification of a state of a platform |
| US11360784B2 (en) * | 2019-09-10 | 2022-06-14 | Hewlett Packard Enterprise Development Lp | Integrity manifest certificate |
| US20200127850A1 (en) * | 2019-12-20 | 2020-04-23 | Intel Corporation | Certifying a trusted platform module without privacy certification authority infrastructure |
| CN112800071A (zh) * | 2020-08-24 | 2021-05-14 | 支付宝(杭州)信息技术有限公司 | 基于区块链的业务处理方法、装置、设备及存储介质 |
| CN115250180A (zh) * | 2021-04-28 | 2022-10-28 | Oppo广东移动通信有限公司 | 数据的加密、解密方法及装置 |
| CN113794685B (zh) * | 2021-08-16 | 2023-09-29 | 德威可信(北京)科技有限公司 | 一种基于可信评估的数据传输方法及装置 |
| CN114666147A (zh) * | 2022-03-31 | 2022-06-24 | 深信服科技股份有限公司 | 一种身份认证方法、装置、设备及可读存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101159640A (zh) * | 2007-11-16 | 2008-04-09 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络接入控制系统 |
| CN101431517A (zh) * | 2008-12-08 | 2009-05-13 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络连接握手方法 |
| CN102204305A (zh) * | 2008-09-24 | 2011-09-28 | 交互数字专利控股公司 | 家用节点b设备以及安全协议 |
| CN102740296A (zh) * | 2012-06-28 | 2012-10-17 | 中国科学院软件研究所 | 一种移动终端可信网络接入方法和系统 |
| CN103023911A (zh) * | 2012-12-25 | 2013-04-03 | 北京工业大学 | 可信网络设备接入可信网络认证方法 |
| CN103581203A (zh) * | 2013-11-20 | 2014-02-12 | 北京可信华泰信息技术有限公司 | 基于可信计算的可信网络连接方法 |
| US20150095638A1 (en) * | 2008-12-30 | 2015-04-02 | Ned M. Smith | Method and system for enterprise network single-sign-on by a manageability engine |
| CN104580250A (zh) * | 2015-01-29 | 2015-04-29 | 成都卫士通信息产业股份有限公司 | 一种基于安全芯片进行可信身份认证的系统和方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7574600B2 (en) * | 2004-03-24 | 2009-08-11 | Intel Corporation | System and method for combining user and platform authentication in negotiated channel security protocols |
| US7747862B2 (en) * | 2004-06-28 | 2010-06-29 | Intel Corporation | Method and apparatus to authenticate base and subscriber stations and secure sessions for broadband wireless networks |
| CN101447992B (zh) * | 2008-12-08 | 2011-04-06 | 西安西电捷通无线网络通信股份有限公司 | 一种基于三元对等鉴别的可信网络连接实现方法 |
| US9490984B2 (en) * | 2009-09-14 | 2016-11-08 | Interdigital Patent Holdings, Inc. | Method and apparatus for trusted authentication and logon |
| CN102763111B (zh) * | 2010-01-22 | 2015-08-05 | 交互数字专利控股公司 | 用于可信联合身份管理和数据接入授权的方法和设备 |
| CN104104652B (zh) * | 2013-04-03 | 2017-08-18 | 阿里巴巴集团控股有限公司 | 一种人机识别方法、网络服务接入方法及相应的设备 |
-
2017
- 2017-10-31 CN CN201711048378.9A patent/CN109729523B/zh active Active
-
2018
- 2018-06-29 WO PCT/CN2018/093851 patent/WO2019085531A1/zh unknown
- 2018-06-29 EP EP18873087.3A patent/EP3694243B1/en active Active
-
2020
- 2020-04-29 US US16/862,236 patent/US11432150B2/en active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101159640A (zh) * | 2007-11-16 | 2008-04-09 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络接入控制系统 |
| CN102204305A (zh) * | 2008-09-24 | 2011-09-28 | 交互数字专利控股公司 | 家用节点b设备以及安全协议 |
| CN101431517A (zh) * | 2008-12-08 | 2009-05-13 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络连接握手方法 |
| US20150095638A1 (en) * | 2008-12-30 | 2015-04-02 | Ned M. Smith | Method and system for enterprise network single-sign-on by a manageability engine |
| CN102740296A (zh) * | 2012-06-28 | 2012-10-17 | 中国科学院软件研究所 | 一种移动终端可信网络接入方法和系统 |
| CN103023911A (zh) * | 2012-12-25 | 2013-04-03 | 北京工业大学 | 可信网络设备接入可信网络认证方法 |
| CN103581203A (zh) * | 2013-11-20 | 2014-02-12 | 北京可信华泰信息技术有限公司 | 基于可信计算的可信网络连接方法 |
| CN104580250A (zh) * | 2015-01-29 | 2015-04-29 | 成都卫士通信息产业股份有限公司 | 一种基于安全芯片进行可信身份认证的系统和方法 |
Non-Patent Citations (2)
| Title |
|---|
| 3GPP: "3rd Generation Partnership Project;Technical Specification Group Service and System Aspects;Security of H(e)NB;(Release 8)", 《3GPP TR 33.820 V8.3.0 (2009-12)》 * |
| HUAWEI: "pCR to TS 6.2 Binding of HPM ID and Device ID", 《3GPP TSG-SA3 MEETING SA3#57 S3-092107》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110417776A (zh) * | 2019-07-29 | 2019-11-05 | 大唐高鸿信安(浙江)信息科技有限公司 | 一种身份认证方法及装置 |
| CN110417776B (zh) * | 2019-07-29 | 2022-03-25 | 大唐高鸿信安(浙江)信息科技有限公司 | 一种身份认证方法及装置 |
| WO2021073375A1 (zh) * | 2019-10-17 | 2021-04-22 | 华为技术有限公司 | 一种组合式设备远程证明模式的协商方法及相关设备 |
| CN111756733A (zh) * | 2020-06-23 | 2020-10-09 | 恒生电子股份有限公司 | 一种身份认证方法和相关装置 |
| CN111628873A (zh) * | 2020-07-28 | 2020-09-04 | 四川省数字证书认证管理中心有限公司 | 一种使用数字证书固化数据电文的存证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3694243A4 (en) | 2020-09-23 |
| WO2019085531A1 (zh) | 2019-05-09 |
| CN109729523B (zh) | 2021-02-23 |
| EP3694243A1 (en) | 2020-08-12 |
| US11432150B2 (en) | 2022-08-30 |
| EP3694243B1 (en) | 2023-06-21 |
| US20200260278A1 (en) | 2020-08-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109729523A (zh) | 一种终端联网认证的方法和装置 | |
| CN114553568B (zh) | 一种基于零信任单包认证与授权的资源访问控制方法 | |
| KR101485230B1 (ko) | 안전한 멀티 uim 인증 및 키 교환 | |
| KR101563828B1 (ko) | 신뢰성있는 인증 및 로그온을 위한 방법 및 장치 | |
| CN109309565A (zh) | 一种安全认证的方法及装置 | |
| JP6896940B2 (ja) | 第1のアプリケーションと第2のアプリケーションとの間の対称型相互認証方法 | |
| EP1095484B1 (en) | Method of establishing the trustworthiness level of a participant in a communication connection | |
| CN108282779B (zh) | 天地一体化空间信息网络低时延匿名接入认证方法 | |
| JP2016525838A (ja) | 暗号化通信方法、及び、暗号化通信システム | |
| US10091189B2 (en) | Secured data channel authentication implying a shared secret | |
| CN110278084B (zh) | eID建立方法、相关设备及系统 | |
| CN109831311A (zh) | 一种服务器验证方法、系统、用户终端及可读存储介质 | |
| CN109525565A (zh) | 一种针对短信拦截攻击的防御方法及系统 | |
| CN110572392A (zh) | 一种基于Hyperledger网络的身份认证方法 | |
| WO2017020530A1 (zh) | 一种增强的wlan证书鉴别方法、装置及系统 | |
| Moussa et al. | Group Security Authentication and Key Agreement Protocol Built by Elliptic Curve Diffie Hellman Key Exchange for LTE Military Grade Communication | |
| Aiash | A formal analysis of authentication protocols for mobile devices in next generation networks | |
| Wu et al. | Efficient authentication for Internet of Things devices in information management systems | |
| EP4270860A1 (en) | Identity authentication method, authentication access controller, request device, storage medium, program, and program product | |
| David et al. | A framework for secure single sign-on | |
| JP2015111440A (ja) | 信頼できる認証およびログオンのための方法および装置 | |
| Gharib et al. | SCC5G: A PQC-based Architecture for Highly Secure Critical Communication over Cellular Network in Zero-Trust Environment | |
| RU2282311C2 (ru) | Использование пары открытых ключей в оконечном устройстве для аутентификации и авторизации пользователя телекоммуникационной сети по отношению к сетевому провайдеру и деловым партнерам | |
| Li et al. | A cloud based dual-root trust model for secure mobile online transactions | |
| Yu et al. | AAKA: An Anti-Tracking Cellular Authentication Scheme Leveraging Anonymous Credentials |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |