CN110138558B - 会话密钥的传输方法、设备及计算机可读存储介质 - Google Patents
会话密钥的传输方法、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN110138558B CN110138558B CN201910459800.2A CN201910459800A CN110138558B CN 110138558 B CN110138558 B CN 110138558B CN 201910459800 A CN201910459800 A CN 201910459800A CN 110138558 B CN110138558 B CN 110138558B
- Authority
- CN
- China
- Prior art keywords
- node
- isp
- user node
- user
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Power Engineering (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供一种会话密钥的传输方法、设备及计算机可读存储介质。本发明实施例通过用户节点第一次向第一ISP节点发送该用户节点的信息的哈希值,用户节点第二次向第一ISP节点发送该用户节点的公钥的加密信息和该用户节点的标识信息,使得该第一ISP节点将该加密信息和该用户节点的标识信息发送给第二ISP节点,第一ISP节点根据该第二ISP节点解密得到的该用户节点的公钥,对该用户节点进行认证,如果认证通过,则该第一ISP节点向该用户节点发送加密后的会话密钥,使得只有该第一ISP节点和该用户节点拥有该会话密钥,提高了第一ISP节点和该用户节点之间通信的安全性。
Description
技术领域
本发明实施例涉及通信技术领域,尤其涉及一种会话密钥的传输方法、设备及计算机可读存储介质。
背景技术
随着智能终端的发展,用户可以在智能终端上安装各种不同的应用程序(Application,APP),不同的APP可以给用户提供不同的服务。
但是,用户在智能终端上安装APP时,需要在该APP对应的互联网服务提供商(Internet Service Provider,ISP)服务器上进行注册,由于不同APP的互联网服务提供商不同,因此,用户需要在不同的ISP服务器上进行注册。随着用户在智能终端上安装的APP数量不断增多,如果用户在不同的ISP服务器上注册的用户名和密码均一样,很容易导致用户名和密码泄露。如果用户在不同的ISP服务器上注册的用户名和密码不一样,又会导致用户很难记住各个APP对应的用户名和密码。为了解决该问题,现有技术提出了通过大型ISP节点,例如,Facebook、Twiter、微信、支付宝等构建联盟区块链,当用户在某一个大型ISP节点中注册过用户名和密码后,该大型ISP节点即可为该联盟区块链中的其他ISP节点,例如,小型ISP节点提供该用户的用户名和密码的查询服务。
现有技术中,用户节点和小型ISP节点进行通信时,用户节点和小型ISP节点之间需要有一个会话密钥,如果大型ISP节点或其他中间节点根据该小型ISP节点的IP地址解析出该小型ISP节点的公钥,并对该小型ISP节点的公钥进行替换,同时对该公钥的哈希值也进行替换,将导致小型ISP节点和该用户节点之间通信的安全性较低。
发明内容
本发明实施例提供一种会话密钥的传输方法、设备及计算机可读存储介质,以提高第一ISP节点和该用户节点之间通信的安全性。
第一方面,本发明实施例提供一种会话密钥的传输方法,包括:
用户节点向第一互联网服务提供商ISP节点发送访问请求,所述用户节点未在所述第一ISP节点中注册过,所述访问请求包括所述用户节点的信息的哈希值;
所述用户节点接收所述第一ISP节点发送的区块链记录信息,所述区块链记录信息包括区块的区块标识和所述区块的内容,所述区块存储有所述哈希值;
当所述用户节点对所述区块中存储的所述哈希值验证通过后,所述用户节点将所述用户节点的公钥的加密信息和所述用户节点的标识信息发送给所述第一ISP节点;
当所述第一ISP节点根据第二ISP节点对所述加密信息进行解密得到的所述用户节点的公钥,对所述用户节点认证通过时,所述用户节点接收所述第一ISP节点发送的加密后的会话密钥,所述用户节点在所述第二ISP节点中注册过;
所述用户节点对所述加密后的会话密钥进行解密,得到所述会话密钥,所述会话密钥用于所述第一ISP节点和所述用户节点进行通信。
第二方面,本发明实施例提供一种用户节点,包括:
存储器;
处理器;
通讯接口;以及
计算机程序;
其中,所述计算机程序存储在所述存储器中,并被配置为由所述处理器执行以下操作:
通过所述通讯接口向第一互联网服务提供商ISP节点发送访问请求,所述用户节点未在所述第一ISP节点中注册过,所述访问请求包括所述用户节点的信息的哈希值;
通过所述通讯接口接收所述第一ISP节点发送的区块链记录信息,所述区块链记录信息包括区块的区块标识和所述区块的内容,所述区块存储有所述哈希值;
当所述处理器对所述区块中存储的所述哈希值验证通过后,通过所述通讯接口将所述用户节点的公钥的加密信息和所述用户节点的标识信息发送给所述第一ISP节点;
当所述第一ISP节点根据第二ISP节点对所述加密信息进行解密得到的所述用户节点的公钥,对所述用户节点认证通过时,通过所述通讯接口接收所述第一ISP节点发送的加密后的会话密钥,所述用户节点在所述第二ISP节点中注册过;
通过所述通讯接口对所述加密后的会话密钥进行解密,得到所述会话密钥,所述会话密钥用于所述第一ISP节点和所述用户节点进行通信。
第三方面,本发明实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行以实现第一方面所述的方法。
本发明实施例提供的会话密钥的传输方法、设备及计算机可读存储介质,通过用户节点第一次向第一ISP节点发送该用户节点的信息的哈希值,用户节点第二次向第一ISP节点发送该用户节点的公钥的加密信息和该用户节点的标识信息,使得该第一ISP节点将该加密信息和该用户节点的标识信息发送给第二ISP节点,第二ISP节点根据该用户节点的标识信息获取该第二ISP节点和该用户节点之间的共享密钥,并采用该共享密钥对该加密信息进行解密得到该用户节点的公钥,进一步,第一ISP节点根据该第二ISP节点解密得到的该用户节点的公钥,对该用户节点进行认证,如果认证通过,则该第一ISP节点向该用户节点发送加密后的会话密钥,使得只有该第一ISP节点和该用户节点拥有该会话密钥,由于用户节点的IP地址是随机的,所以大型ISP节点或其他中间节点无法获取该用户节点的标识信息,从而无法伪造该用户节点的标识信息的哈希值,提高了第一ISP节点和该用户节点之间通信的安全性。
附图说明
图1为本发明实施例提供的一种应用场景的示意图;
图2为本发明实施例提供的会话密钥的传输方法流程图;
图3为本发明另一实施例提供的会话密钥的传输方法流程图;
图4为本发明实施例提供的用户节点的结构示意图。
通过上述附图,已示出本公开明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本公开构思的范围,而是通过参考特定实施例为本领域技术人员说明本公开的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
本发明实施例提供的会话密钥的传输方法,可以适用于图1所示的通信系统。如图1所示,该通信系统包括:互联网服务提供商节点1-互联网服务提供商节点5、以及用户节点,其中,互联网服务提供商节点1可以是小型ISP节点,互联网服务提供商节点2-互联网服务提供商节点5可以是大型ISP节点,例如,Facebook、Twiter、微信、支付宝等互联网服务提供商的节点。用户节点具体可以是用户终端设备。其中,互联网服务提供商节点2-互联网服务提供商节点5等大型ISP节点可以构建联盟区块链。可选的,互联网服务提供商节点2-互联网服务提供商节点5中的每个节点作为一个区块链服务节点接入该联盟区块链中,并为其他ISP节点或用户节点提供身份认证服务。可选的,该联盟区块链的创世区块中存储有互联网服务提供商节点2-互联网服务提供商节点5中各个节点的区块链标识、公钥、IP地址等信息。互联网服务提供商节点2-互联网服务提供商节点5作为该联盟区块链的创世节点对该联盟区块链进行管理。例如,互联网服务提供商节点2-互联网服务提供商节点5可以决定是否允许某个ISP节点,例如,某个小型ISP节点接入到该联盟区块链中。例如,互联网服务提供商节点1和用户节点可以是经过互联网服务提供商节点2-互联网服务提供商节点5同意后接入到该联盟区块链中的节点。
在本实施例中,假设用户节点在互联网服务提供商节点2-互联网服务提供商节点5中的任意一个联盟区块链节点上进行过注册,也就是说,互联网服务提供商节点2-互联网服务提供商节点5中的任意一个联盟区块链节点上记录过该用户节点的注册信息,并且将该注册信息存储在了联盟区块链的账本中。用户节点与该联盟区块链节点之间拥有共享密钥,即用户节点与该联盟区块链节点通过该共享密钥进行通信。例如,用户节点在互联网服务提供商节点2上注册过用户信息,用户节点与互联网服务提供商节点2之间拥有共享密钥。该用户节点未在小型ISP节点,例如,互联网服务提供商节点1上进行过注册。
本发明实施例提供的会话密钥的传输方法,旨在解决现有技术的如上技术问题。
下面以具体地实施例对本发明的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本发明的实施例进行描述。
图2为本发明实施例提供的会话密钥的传输方法流程图。本发明实施例针对现有技术的如上技术问题,提供了会话密钥的传输方法,该方法具体步骤如下:
步骤201、用户节点向第一互联网服务提供商ISP节点发送访问请求,所述用户节点未在所述第一ISP节点中注册过,所述访问请求包括所述用户节点的信息的哈希值。
在本实施例中,第一互联网服务提供商ISP节点具体可以是如图1所示的互联网服务提供商节点1,互联网服务提供商节点1为小型ISP节点,用户节点未在小型ISP节点上注册过用户信息。本实施例中的第二ISP节点具体可以是如图1所示的互联网服务提供商节点2。用户节点在互联网服务提供商节点2上注册过用户信息。本实施例中所述的区块链网络具体可以是包括如上所述的联盟区块链节点的网络。
例如,当该用户节点需要登录该小型ISP节点时,该用户节点可以向该小型ISP节点发送登录请求或访问请求。该登录请求或访问请求中不包括该用户节点的标识信息,而是包括该用户节点的信息的哈希值。可选的,所述用户节点的信息包括:所述用户节点的标识信息和所述用户节点的公钥。也就是说,该用户节点向该小型ISP节点发送的登录请求或访问请求中包括该用户节点的标识信息和该用户节点的公钥的哈希值。
步骤202、所述用户节点接收所述第一ISP节点发送的区块链记录信息,所述区块链记录信息包括区块的区块标识和所述区块的内容,所述区块存储有所述哈希值。
当该小型ISP节点接收到该用户节点发送的该哈希值后,该小型ISP节点采用该小型ISP节点的私钥对该哈希值进行签名,并将签名后的该哈希值广播在区块链网络中,使得该区块链网络中的记账节点将该签名后的该哈希值记录在区块链的某一个区块中。进一步,该小型ISP节点向该用户节点发送区块链记录信息,该区块链记录信息包括存储有该哈希值的区块的区块标识(例如,区块号码)和该区块的内容,该区块的内容例如为该区块的区块头和区块体部分。相应的,该用户节点接收该小型ISP节点发送的区块链记录信息。
步骤203、当所述用户节点对所述区块中存储的所述哈希值验证通过后,所述用户节点将所述用户节点的公钥的加密信息和所述用户节点的标识信息发送给所述第一ISP节点。
可选的,所述加密信息是所述用户节点采用所述用户节点和所述第二ISP节点之间的共享密钥对所述用户节点的公钥进行加密后得到的信息。
当该用户节点接收到该区块链记录信息后,从该区块中获取该哈希值,并对比该区块中存储的哈希值和步骤201中该用户节点向该小型ISP节点发送的访问请求中包括的哈希值,如果两者一致,则该用户节点对该区块中存储的哈希值验证通过。进一步,该用户节点采用该用户节点和该第二ISP节点之间的共享密钥、并按照预先约定的第一加密算法对该用户节点的公钥进行加密得到加密信息,并将该加密信息和该用户节点的标识信息发送给该小型ISP节点。该预先约定的第一加密算法是该用户节点和该第二ISP节点之间预先约定的加密算法。
步骤204、当所述第一ISP节点根据第二ISP节点对所述加密信息进行解密得到的所述用户节点的公钥,对所述用户节点认证通过时,所述用户节点接收所述第一ISP节点发送的加密后的会话密钥,所述用户节点在所述第二ISP节点中注册过。
可选的,所述第二ISP节点解密得到的所述用户节点的公钥是所述第二ISP节点采用所述用户节点和所述第二ISP节点之间的共享密钥对所述加密信息进行解密得到的。
可选的,所述会话密钥由所述第一ISP节点生成,所述加密后的会话密钥是所述第一ISP节点根据所述用户节点的公钥对所述会话密钥进行加密后得到的信息。
当该小型ISP节点接收到该用户节点发送的该加密信息和该用户节点的标识信息后,该小型ISP节点采用该小型ISP节点的私钥对该加密信息和该用户节点的标识信息进行签名,并将签名后的该加密信息和该用户节点的标识信息广播到区块链网络中,使得该区块链网络中的第二ISP节点可以接收到该签名后的该加密信息和该用户节点的标识信息。
当该第二ISP节点接收到该签名后的该加密信息和该用户节点的标识信息时,首先根据该小型ISP节点的公钥对该小型ISP节点的私钥签名进行认证,如果认证通过,则该第二ISP节点根据该用户节点的标识信息,获取该第二ISP节点和该用户节点之间的共享密钥,并采用该共享密钥和如上所述的第一加密算法对应的解密算法对该加密信息进行解密,得到该用户节点的公钥。进一步,该第二ISP节点采用该第二ISP节点的私钥对该用户节点的公钥进行签名,并将签名后的该用户节点的公钥广播在区块链网络中,使得该区块链网络中的该小型ISP节点可以接收到该签名后的该用户节点的公钥。
当该小型ISP节点接收到该签名后的该用户节点的公钥后,首先采用该第二ISP节点的公钥对该第二ISP节点的私钥签名进行认证,如果认证通过,则该小型ISP节点获取该第二ISP节点解密得到的该用户节点的公钥。进一步,该小型ISP节点计算该用户节点的公钥和该用户节点的标识信息的哈希值,并对比该小型ISP节点计算得到的哈希值和该小型ISP节点在步骤201中接收到的该访问请求中包括的哈希值,如果两者相同,则该小型ISP节点确定对用户节点认证通过。
另外,在其他实施例中,计算哈希值时,不仅可以计算该用户节点的公钥和该用户节点的标识信息的哈希值,还可以计算该用户节点的公钥、该用户节点的标识信息、以及一个随机数和/或时间戳的哈希值,避免重放攻击。
进一步,当该小型ISP节点确定对用户节点认证通过后,该小型ISP节点生成该小型ISP节点和该用户节点之间通信所需的会话密钥,并根据该用户节点的公钥、以及预先约定的第二加密算法对该会话密钥进行加密,得到加密后的会话密钥。该预先约定的第二加密算法可以是该小型ISP节点和该用户节点之间预先约定的加密算法。可选的,该第二加密算法可以和如上所述的第一加密算法相同,也可以不同。进一步,该小型ISP节点可以将该加密后的会话密钥发送给该用户节点。
步骤205、所述用户节点对所述加密后的会话密钥进行解密,得到所述会话密钥,所述会话密钥用于所述第一ISP节点和所述用户节点进行通信。
可选的,所述用户节点对所述加密后的会话密钥进行解密,包括:所述用户节点采用所述用户节点的私钥对所述加密后的会话密钥进行解密。
当该用户节点接收到该小型ISP节点发送的加密后的会话密钥后,该用户节点可以采用该用户节点的私钥、以及第二加密算法对应的解密算法对该加密后的会话密钥进行解密,得到该会话密钥。在该用户节点和该小型ISP节点后续的通信过程中,双发可以采用该会话密钥对各自待发送的信息进行加密。
本发明实施例通过用户节点第一次向第一ISP节点发送该用户节点的信息的哈希值,用户节点第二次向第一ISP节点发送该用户节点的公钥的加密信息和该用户节点的标识信息,使得该第一ISP节点将该加密信息和该用户节点的标识信息发送给第二ISP节点,第二ISP节点根据该用户节点的标识信息获取该第二ISP节点和该用户节点之间的共享密钥,并采用该共享密钥对该加密信息进行解密得到该用户节点的公钥,进一步,第一ISP节点根据该第二ISP节点解密得到的该用户节点的公钥,对该用户节点进行认证,如果认证通过,则该第一ISP节点向该用户节点发送加密后的会话密钥,使得只有该第一ISP节点和该用户节点拥有该会话密钥,由于用户节点的IP地址是随机的,所以大型ISP节点或其他中间节点无法获取该用户节点的标识信息,从而无法伪造该用户节点的标识信息的哈希值,提高了第一ISP节点和该用户节点之间通信的安全性。
图3为本发明另一实施例提供的会话密钥的传输方法流程图。在上述实施例的基础上,本实施例提供的会话密钥的传输方法具体包括如下步骤:
步骤301、第一ISP节点接收用户节点发送的访问请求,所述用户节点未在所述第一ISP节点中注册过,所述访问请求包括所述用户节点的信息的哈希值。
在本实施例中,第一互联网服务提供商ISP节点具体可以是如图1所示的互联网服务提供商节点1,互联网服务提供商节点1为小型ISP节点,用户节点未在小型ISP节点上注册过用户信息。本实施例中的第二ISP节点具体可以是如图1所示的互联网服务提供商节点2。用户节点在互联网服务提供商节点2上注册过用户信息。本实施例中所述的区块链网络具体可以是包括如上所述的联盟区块链节点的网络。
例如,当该用户节点需要登录该小型ISP节点时,该用户节点可以向该小型ISP节点发送登录请求或访问请求。该登录请求或访问请求中不包括该用户节点的标识信息,而是包括该用户节点的信息的哈希值。可选的,所述用户节点的信息包括:所述用户节点的标识信息和所述用户节点的公钥。也就是说,该用户节点向该小型ISP节点发送的登录请求或访问请求中包括该用户节点的标识信息和该用户节点的公钥的哈希值。
步骤302、所述第一ISP节点向所述用户节点发送区块链记录信息,所述区块链记录信息包括区块的区块标识和所述区块的内容,所述区块存储有所述哈希值。
当该小型ISP节点接收到该用户节点发送的该哈希值后,该小型ISP节点采用该小型ISP节点的私钥对该哈希值进行签名,并将签名后的该哈希值广播在区块链网络中,使得该区块链网络中的记账节点将该签名后的该哈希值记录在区块链的某一个区块中。进一步,该小型ISP节点向该用户节点发送区块链记录信息,该区块链记录信息包括存储有该哈希值的区块的区块标识(例如,区块号码)和该区块的内容,该区块的内容例如为该区块的区块头和区块体部分。相应的,该用户节点接收该小型ISP节点发送的区块链记录信息。
步骤303、当所述用户节点对所述区块中存储的所述哈希值验证通过后,所述第一ISP节点接收所述用户节点发送的所述用户节点的公钥的加密信息和所述用户节点的标识信息。
当该用户节点接收到该区块链记录信息后,从该区块中获取该哈希值,并对比该区块中存储的哈希值和步骤201中该用户节点向该小型ISP节点发送的访问请求中包括的哈希值,如果两者一致,则该用户节点对该区块中存储的哈希值验证通过。进一步,该用户节点采用该用户节点和该第二ISP节点之间的共享密钥、并按照预先约定的第一加密算法对该用户节点的公钥进行加密得到加密信息,并将该加密信息和该用户节点的标识信息发送给该小型ISP节点。该预先约定的第一加密算法是该用户节点和该第二ISP节点之间预先约定的加密算法。
步骤304、所述第一ISP节点将所述用户节点的公钥的加密信息和所述用户节点的标识信息发送给所述第二ISP节点。
当该小型ISP节点接收到该用户节点发送的该加密信息和该用户节点的标识信息后,该小型ISP节点采用该小型ISP节点的私钥对该加密信息和该用户节点的标识信息进行签名,并将签名后的该加密信息和该用户节点的标识信息广播到区块链网络中,使得该区块链网络中的第二ISP节点可以接收到该签名后的该加密信息和该用户节点的标识信息。
步骤305、所述第一ISP节点接收所述第二ISP节点发送的解密后的所述用户节点的公钥。
当该小型ISP节点接收到该用户节点发送的该加密信息和该用户节点的标识信息后,该小型ISP节点采用该小型ISP节点的私钥对该加密信息和该用户节点的标识信息进行签名,并将签名后的该加密信息和该用户节点的标识信息广播到区块链网络中,使得该区块链网络中的第二ISP节点可以接收到该签名后的该加密信息和该用户节点的标识信息。
当该第二ISP节点接收到该签名后的该加密信息和该用户节点的标识信息时,首先根据该小型ISP节点的公钥对该小型ISP节点的私钥签名进行认证,如果认证通过,则该第二ISP节点根据该用户节点的标识信息,获取该第二ISP节点和该用户节点之间的共享密钥,并采用该共享密钥和如上所述的第一加密算法对应的解密算法对该加密信息进行解密,得到该用户节点的公钥。进一步,该第二ISP节点采用该第二ISP节点的私钥对该用户节点的公钥进行签名,并将签名后的该用户节点的公钥广播在区块链网络中,使得该区块链网络中的该小型ISP节点可以接收到该签名后的该用户节点的公钥。
步骤306、当所述第一ISP节点根据第二ISP节点对所述加密信息进行解密得到的所述用户节点的公钥,对所述用户节点认证通过时,所述第一ISP节点向所述用户节点发送加密后的会话密钥。
当该小型ISP节点接收到该签名后的该用户节点的公钥后,首先采用该第二ISP节点的公钥对该第二ISP节点的私钥签名进行认证,如果认证通过,则该小型ISP节点获取该第二ISP节点解密得到的该用户节点的公钥。进一步,该小型ISP节点计算该用户节点的公钥和该用户节点的标识信息的哈希值,并对比该小型ISP节点计算得到的哈希值和该小型ISP节点在步骤201中接收到的该访问请求中包括的哈希值,如果两者相同,则该小型ISP节点确定对用户节点认证通过。
另外,在其他实施例中,计算哈希值时,不仅可以计算该用户节点的公钥和该用户节点的标识信息的哈希值,还可以计算该用户节点的公钥、该用户节点的标识信息、以及一个随机数和/或时间戳的哈希值,避免重放攻击。
进一步,当该小型ISP节点确定对用户节点认证通过后,该小型ISP节点生成该小型ISP节点和该用户节点之间通信所需的会话密钥,并根据该用户节点的公钥、以及预先约定的第二加密算法对该会话密钥进行加密,得到加密后的会话密钥。该预先约定的第二加密算法可以是该小型ISP节点和该用户节点之间预先约定的加密算法。可选的,该第二加密算法可以和如上所述的第一加密算法相同,也可以不同。进一步,该小型ISP节点可以将该加密后的会话密钥发送给该用户节点。
本发明实施例通过用户节点第一次向第一ISP节点发送该用户节点的信息的哈希值,用户节点第二次向第一ISP节点发送该用户节点的公钥的加密信息和该用户节点的标识信息,使得该第一ISP节点将该加密信息和该用户节点的标识信息发送给第二ISP节点,第二ISP节点根据该用户节点的标识信息获取该第二ISP节点和该用户节点之间的共享密钥,并采用该共享密钥对该加密信息进行解密得到该用户节点的公钥,进一步,第一ISP节点根据该第二ISP节点解密得到的该用户节点的公钥,对该用户节点进行认证,如果认证通过,则该第一ISP节点向该用户节点发送加密后的会话密钥,使得只有该第一ISP节点和该用户节点拥有该会话密钥,由于用户节点的IP地址是随机的,所以大型ISP节点或其他中间节点无法获取该用户节点的标识信息,从而无法伪造该用户节点的标识信息的哈希值,提高了第一ISP节点和该用户节点之间通信的安全性。
图4为本发明实施例提供的用户节点的结构示意图。本发明实施例提供的用户节点可以执行会话密钥的传输方法实施例提供的处理流程,如图4所示,用户节点40包括:存储器41、处理器42、计算机程序和通讯接口43;其中,计算机程序存储在存储器41中,并被配置为由处理器42执行以下操作:通过通讯接口43向第一互联网服务提供商ISP节点发送访问请求,所述用户节点未在所述第一ISP节点中注册过,所述访问请求包括所述用户节点的信息的哈希值;通过通讯接口43接收所述第一ISP节点发送的区块链记录信息,所述区块链记录信息包括区块的区块标识和所述区块的内容,所述区块存储有所述哈希值;当处理器42对所述区块中存储的所述哈希值验证通过后,通过通讯接口43将所述用户节点的公钥的加密信息和所述用户节点的标识信息发送给所述第一ISP节点;当所述第一ISP节点根据第二ISP节点对所述加密信息进行解密得到的所述用户节点的公钥,对所述用户节点认证通过时,通过通讯接口43接收所述第一ISP节点发送的加密后的会话密钥,所述用户节点在所述第二ISP节点中注册过;通过通讯接口43对所述加密后的会话密钥进行解密,得到所述会话密钥,所述会话密钥用于所述第一ISP节点和所述用户节点进行通信。
可选的,所述会话密钥由所述第一ISP节点生成,所述加密后的会话密钥是所述第一ISP节点根据所述用户节点的公钥对所述会话密钥进行加密后得到的信息。
可选的,处理器42对所述加密后的会话密钥进行解密时,具体用于:采用所述用户节点的私钥对所述加密后的会话密钥进行解密。
可选的,所述用户节点的信息包括:所述用户节点的标识信息和所述用户节点的公钥。
可选的,所述加密信息是所述用户节点采用所述用户节点和所述第二ISP节点之间的共享密钥对所述用户节点的公钥进行加密后得到的信息;所述第二ISP节点解密得到的所述用户节点的公钥是所述第二ISP节点采用所述用户节点和所述第二ISP节点之间的共享密钥对所述加密信息进行解密得到的。
图4所示实施例的用户节点可用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
另外,本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行以实现上述实施例所述的会话密钥的传输方法。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (11)
1.一种会话密钥的传输方法,其特征在于,包括:
用户节点向第一互联网服务提供商ISP节点发送访问请求,所述用户节点未在所述第一ISP节点中注册过,所述访问请求包括所述用户节点的信息的哈希值;
所述用户节点接收所述第一ISP节点发送的区块链记录信息,所述区块链记录信息包括区块的区块标识和所述区块的内容,所述区块存储有所述哈希值;
当所述用户节点对所述区块中存储的所述哈希值验证通过后,所述用户节点将所述用户节点的公钥的加密信息和所述用户节点的标识信息发送给所述第一ISP节点,所述加密信息是所述用户节点采用所述用户节点和第二ISP节点之间的共享密钥对所述用户节点的公钥进行加密后得到的信息,所述第一ISP节点用于采用所述第一ISP节点的私钥对所述加密信息和所述用户节点的标识信息进行签名,并将签名后的所述加密信息和所述用户节点的标识信息广播到区块链网络中,所述区块链网络中的所述第二ISP节点用于根据所述第一ISP节点的公钥对所述第一ISP节点的私钥签名进行认证,如果认证通过,则所述第二ISP节点还用于根据所述用户节点的标识信息,获取所述第二ISP节点和所述用户节点之间的共享密钥,并采用所述共享密钥对所述加密信息进行解密,得到所述用户节点的公钥,所述第二ISP节点还用于采用所述第二ISP节点的私钥对所述用户节点的公钥进行签名,并将签名后的所述用户节点的公钥广播在所述区块链网络中;
当所述第一ISP节点接收到所述签名后的所述用户节点的公钥后,采用所述第二ISP节点的公钥对所述第二ISP节点的私钥签名进行认证,如果认证通过,则所述第一ISP节点获取所述第二ISP节点解密得到的所述用户节点的公钥,并计算所述用户节点的公钥和所述用户节点的标识信息的哈希值,并对比所述第一ISP节点计算得到的哈希值和所述访问请求中包括的哈希值,如果两者相同,则所述第一ISP节点确定对所述用户节点认证通过,所述用户节点接收所述第一ISP节点发送的加密后的会话密钥,所述用户节点在所述第二ISP节点中注册过;
所述用户节点对所述加密后的会话密钥进行解密,得到所述会话密钥,所述会话密钥用于所述第一ISP节点和所述用户节点进行通信。
2.根据权利要求1所述的方法,其特征在于,所述会话密钥由所述第一ISP节点生成,所述加密后的会话密钥是所述第一ISP节点根据所述用户节点的公钥对所述会话密钥进行加密后得到的信息。
3.根据权利要求2所述的方法,其特征在于,所述用户节点对所述加密后的会话密钥进行解密,包括:
所述用户节点采用所述用户节点的私钥对所述加密后的会话密钥进行解密。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述用户节点的信息包括:所述用户节点的标识信息和所述用户节点的公钥。
5.根据权利要求1所述的方法,其特征在于,
所述第二ISP节点解密得到的所述用户节点的公钥是所述第二ISP节点采用所述用户节点和所述第二ISP节点之间的共享密钥对所述加密信息进行解密得到的。
6.一种用户节点,其特征在于,包括:
存储器;
处理器;
通讯接口;以及
计算机程序;
其中,所述计算机程序存储在所述存储器中,并被配置为由所述处理器执行以下操作:
通过所述通讯接口向第一互联网服务提供商ISP节点发送访问请求,所述用户节点未在所述第一ISP节点中注册过,所述访问请求包括所述用户节点的信息的哈希值;
通过所述通讯接口接收所述第一ISP节点发送的区块链记录信息,所述区块链记录信息包括区块的区块标识和所述区块的内容,所述区块存储有所述哈希值;
当所述处理器对所述区块中存储的所述哈希值验证通过后,通过所述通讯接口将所述用户节点的公钥的加密信息和所述用户节点的标识信息发送给所述第一ISP节点,所述加密信息是所述用户节点采用所述用户节点和第二ISP节点之间的共享密钥对所述用户节点的公钥进行加密后得到的信息,所述第一ISP节点用于采用所述第一ISP节点的私钥对所述加密信息和所述用户节点的标识信息进行签名,并将签名后的所述加密信息和所述用户节点的标识信息广播到区块链网络中,所述区块链网络中的所述第二ISP节点用于根据所述第一ISP节点的公钥对所述第一ISP节点的私钥签名进行认证,如果认证通过,则所述第二ISP节点还用于根据所述用户节点的标识信息,获取所述第二ISP节点和所述用户节点之间的共享密钥,并采用所述共享密钥对所述加密信息进行解密,得到所述用户节点的公钥,所述第二ISP节点还用于采用所述第二ISP节点的私钥对所述用户节点的公钥进行签名,并将签名后的所述用户节点的公钥广播在所述区块链网络中;
当所述第一ISP节点接收到所述签名后的所述用户节点的公钥后,采用所述第二ISP节点的公钥对所述第二ISP节点的私钥签名进行认证,如果认证通过,则所述第一ISP节点获取所述第二ISP节点解密得到的所述用户节点的公钥,并计算所述用户节点的公钥和所述用户节点的标识信息的哈希值,并对比所述第一ISP节点计算得到的哈希值和所述访问请求中包括的哈希值,如果两者相同,则所述第一ISP节点确定对所述用户节点认证通过,所述用户节点通过所述通讯接口接收所述第一ISP节点发送的加密后的会话密钥,所述用户节点在所述第二ISP节点中注册过;
通过所述通讯接口对所述加密后的会话密钥进行解密,得到所述会话密钥,所述会话密钥用于所述第一ISP节点和所述用户节点进行通信。
7.根据权利要求6所述的用户节点,其特征在于,所述会话密钥由所述第一ISP节点生成,所述加密后的会话密钥是所述第一ISP节点根据所述用户节点的公钥对所述会话密钥进行加密后得到的信息。
8.根据权利要求7所述的用户节点,其特征在于,所述处理器对所述加密后的会话密钥进行解密时,具体用于:
采用所述用户节点的私钥对所述加密后的会话密钥进行解密。
9.根据权利要求6-8任一项所述的用户节点,其特征在于,所述用户节点的信息包括:所述用户节点的标识信息和所述用户节点的公钥。
10.根据权利要求6所述的用户节点,其特征在于,
所述第二ISP节点解密得到的所述用户节点的公钥是所述第二ISP节点采用所述用户节点和所述第二ISP节点之间的共享密钥对所述加密信息进行解密得到的。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-5任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910459800.2A CN110138558B (zh) | 2019-05-30 | 2019-05-30 | 会话密钥的传输方法、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910459800.2A CN110138558B (zh) | 2019-05-30 | 2019-05-30 | 会话密钥的传输方法、设备及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110138558A CN110138558A (zh) | 2019-08-16 |
| CN110138558B true CN110138558B (zh) | 2021-09-10 |
Family
ID=67582748
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910459800.2A Active CN110138558B (zh) | 2019-05-30 | 2019-05-30 | 会话密钥的传输方法、设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110138558B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11029858B1 (en) * | 2020-04-03 | 2021-06-08 | Kara Partners Llc | Systems and method for enhancing computer security and redundancy |
| CN112769789B (zh) * | 2020-12-29 | 2022-06-24 | 北京天融信网络安全技术有限公司 | 一种加密通信方法及系统 |
| TWI827906B (zh) * | 2021-01-29 | 2024-01-01 | 銓安智慧科技股份有限公司 | 訊息傳輸系統以及應用其中之使用者裝置與資訊安全硬體模組 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107809411A (zh) * | 2016-09-09 | 2018-03-16 | 华为技术有限公司 | 移动网络的认证方法、终端设备、服务器和网络认证实体 |
| CN108684041A (zh) * | 2018-05-31 | 2018-10-19 | 上海邑游网络科技有限公司 | 登录认证的系统和方法 |
| CN108702622A (zh) * | 2017-11-30 | 2018-10-23 | 深圳前海达闼云端智能科技有限公司 | 移动网络接入认证方法、装置、存储介质及区块链节点 |
| CN108768608A (zh) * | 2018-05-25 | 2018-11-06 | 电子科技大学 | 在区块链pki下支持瘦客户端的隐私保护身份认证方法 |
| CN109412790A (zh) * | 2018-10-26 | 2019-03-01 | 重庆邮电大学 | 一种面向物联网的用户认证与密钥协商系统及方法 |
| CN109767220A (zh) * | 2019-01-15 | 2019-05-17 | 中国联合网络通信集团有限公司 | 基于区块链的交易方法及基于区块链的交易系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015108410A1 (en) * | 2014-01-15 | 2015-07-23 | Xorkey B.V. | Secure login without passwords |
| US10567168B2 (en) * | 2017-11-16 | 2020-02-18 | International Business Machines Corporation | Blockchain transaction privacy enhancement through broadcast encryption |
-
2019
- 2019-05-30 CN CN201910459800.2A patent/CN110138558B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107809411A (zh) * | 2016-09-09 | 2018-03-16 | 华为技术有限公司 | 移动网络的认证方法、终端设备、服务器和网络认证实体 |
| CN108702622A (zh) * | 2017-11-30 | 2018-10-23 | 深圳前海达闼云端智能科技有限公司 | 移动网络接入认证方法、装置、存储介质及区块链节点 |
| CN108768608A (zh) * | 2018-05-25 | 2018-11-06 | 电子科技大学 | 在区块链pki下支持瘦客户端的隐私保护身份认证方法 |
| CN108684041A (zh) * | 2018-05-31 | 2018-10-19 | 上海邑游网络科技有限公司 | 登录认证的系统和方法 |
| CN109412790A (zh) * | 2018-10-26 | 2019-03-01 | 重庆邮电大学 | 一种面向物联网的用户认证与密钥协商系统及方法 |
| CN109767220A (zh) * | 2019-01-15 | 2019-05-17 | 中国联合网络通信集团有限公司 | 基于区块链的交易方法及基于区块链的交易系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110138558A (zh) | 2019-08-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109561066B (zh) | 数据处理方法、装置、终端及接入点计算机 | |
| CN109088889B (zh) | 一种ssl加解密方法、系统及计算机可读存储介质 | |
| US10142297B2 (en) | Secure communication method and apparatus | |
| CN110401629B (zh) | 一种激活授权的方法及相关装置 | |
| EP2954448B1 (en) | Provisioning sensitive data into third party network-enabled devices | |
| CN102201915B (zh) | 一种基于单点登录的终端认证方法和装置 | |
| CN110995418B (zh) | 云存储认证方法及系统、边缘计算服务器、用户路由器 | |
| US20030070068A1 (en) | Method and system for providing client privacy when requesting content from a public server | |
| CA2879910C (en) | Terminal identity verification and service authentication method, system and terminal | |
| KR20170139093A (ko) | 네트워크 액세스 디바이스가 무선 네트워크 액세스 포인트를 액세스하게 하기 위한 방법, 네트워크 액세스 디바이스, 애플리케이션 서버 및 비휘발성 컴퓨터 판독가능 저장 매체 | |
| CN110225050B (zh) | Jwt令牌的管理方法 | |
| KR20180095873A (ko) | 무선 네트워크 접속 방법 및 장치, 및 저장 매체 | |
| CN110933484A (zh) | 一种无线投屏设备的管理方法及装置 | |
| KR100957044B1 (ko) | 커버로스를 이용한 상호 인증 방법 및 그 시스템 | |
| EP2637351A1 (en) | Method and system for single sign-on | |
| CN108809633B (zh) | 一种身份认证的方法、装置及系统 | |
| CN110138558B (zh) | 会话密钥的传输方法、设备及计算机可读存储介质 | |
| CN113497778A (zh) | 一种数据的传输方法和装置 | |
| CN107026823B (zh) | 应用于无线局域网wlan中的接入认证方法和终端 | |
| CN110225017B (zh) | 基于联盟区块链的身份验证方法、设备及存储介质 | |
| CN114513339A (zh) | 一种安全认证方法、系统及装置 | |
| EP4346256A1 (en) | Implementation of one-key login service | |
| JP2024501326A (ja) | アクセス制御方法、装置、ネットワーク側機器、端末及びブロックチェーンノード | |
| WO2009053818A2 (en) | Method and apparatus for providing secure linking to a user identity in a digital rights management system | |
| CN115801287A (zh) | 签名认证方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |