CN110401613B - 一种认证管理方法和相关设备 - Google Patents
一种认证管理方法和相关设备 Download PDFInfo
- Publication number
- CN110401613B CN110401613B CN201810371201.0A CN201810371201A CN110401613B CN 110401613 B CN110401613 B CN 110401613B CN 201810371201 A CN201810371201 A CN 201810371201A CN 110401613 B CN110401613 B CN 110401613B
- Authority
- CN
- China
- Prior art keywords
- authentication
- server
- management information
- ciphertext
- serial number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000007726 management method Methods 0.000 title claims abstract description 214
- 238000013475 authorization Methods 0.000 claims abstract description 136
- 238000000034 method Methods 0.000 claims abstract description 67
- 238000012545 processing Methods 0.000 claims abstract description 7
- 238000012795 verification Methods 0.000 claims description 12
- 230000006855 networking Effects 0.000 claims description 7
- 230000008569 process Effects 0.000 description 21
- 230000007246 mechanism Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种认证管理方法、赋权服务器、终端设备和认证管理系统,属于数据处理领域。本发明所述的方法,赋权服务器获取终端设备发送的第一序列号,第一序列号为终端设备上的认证模块的标识信息;赋权服务器判断预存的管理信息文件中是否有与第一序列号对应的认证密钥,管理信息文件包括序列号和认证密钥的对应关系;若管理信息文件中有与第一序列号对应的认证密钥,则赋权服务器扣减管理信息文件中的授权次数,以及使用认证密钥生成认证密文;赋权服务器向终端设备发送认证密文,以使终端设备通过认证模块在校验认证密文成功后,执行预设操作。采用本发明所述的方法可提高认证管理的安全性。
Description
技术领域
本发明属于数据处理领域,具体涉及一种认证管理方法、赋权服务器、终端设备和认证管理系统。
背景技术
目前安全认证模块使用场景多为脱机模式,这些安全认证模块的认证过程涉及密钥的管理。
设置在脱机模式的终端设备上的安全认证模块的安全性保护,目前只是通过安全认证模块内部的密钥管理机制实现,例如通过密钥错误的尝试次数控制,或者通过物理防拆卸的机制防止安全认证模块被强拆。
但是,安全认证模块现有的密钥管理机制,无法应对被盗窃后非法的认证场合。并且全国包括公交在内的众多公共事业应用的非联网密钥管理处于“有技术、无管理、有应用、无监管”的危险境地,没有对应的管理规章来明确各个单位的职责和分工、义务、权利,以及密钥使用的管理规范和业务流程,进一步造成现在的密钥管理存在漏洞。例如:以销售点终端安全存取模块(Purchase Secure Access Module,PSAM)卡为代表的密钥介质管理不规范,已造成部分密钥介质的丢失,一旦非法人员获取PSAM卡,既可以用来修改系统中电子不停车收费系统(Electronic Toll Collection,ETC)用户卡的入站信息,达到偷逃通行费的目的,也可以对客户进行恶意扣费甚至清空ETC用户卡的文件,同时,部分省份委托银行等代理发行机构使用PSAM卡脱机进行车载单元(On board Unit,OBU)二发,这类发行PSAM卡一旦丢失,存在被直接修改OBU车型(大车小标)等风险。
发明内容
针对现有技术中存在的缺陷,本发明的目的是提供一种认证管理方法、赋权服务器、终端设备和认证管理系统,该证管理方法、赋权服务器、终端设备和认证管理系统能够提高认证管理的安全性。
为达到以上目的,本发明采用的技术方案是:一种认证管理方法,包括以下步骤:
赋权服务器获取终端设备发送的第一序列号,所述第一序列号为所述终端设备上的认证模块的标识信息;
所述赋权服务器判断预存的管理信息文件中是否有与所述第一序列号对应的认证密钥,所述管理信息文件包括序列号和认证密钥的对应关系;
若所述管理信息文件中有与所述第一序列号对应的认证密钥,则所述赋权服务器扣减所述管理信息文件中的授权次数,以及使用所述认证密钥生成认证密文;
所述赋权服务器向所述终端设备发送所述认证密文,以使所述终端设备通过所述认证模块在校验所述认证密文成功后,执行预设操作。
进一步,如上所述的一种认证管理方法,所述赋权服务器获取终端设备发送的第一序列号之前,所述方法还包括:
所述赋权服务器向服务中心系统发送第二序列号和管理信息文件,以使所述服务中心系统认证所述第二序列号通过后,更新所述管理信息文件,所述第二序列号为所述赋权服务器上的安全认证设备的标识信息;
所述赋权服务器获取所述服务中心系统发送的更新后的管理信息文件;
所述赋权服务器扣减所述管理信息文件中的授权次数,以及使用所述认证密钥生成认证密文,包括:
所述赋权服务器通过所述安全认证设备扣减所述管理信息文件中的授权次数,以及使用所述认证密钥生成认证密文。
进一步,如上所述的一种认证管理方法,
所述更新后的管理信息文件为更新了序列号和认证密钥的管理信息文件;或者,所述更新后的管理信息文件为更新了授权次数的管理信息文件。
进一步,如上所述的一种认证管理方法,
所述赋权服务器获取终端设备发送的第一序列号,包括:
赋权服务器通过局域网获取终端设备发送的第一序列号;
所述赋权服务器向服务中心系统发送第二序列号,包括:
所述赋权服务器通过联网方式向服务中心系统发送第二序列号。
进一步,如上所述的一种认证管理方法,所述赋权服务器向服务中心系统发送第二序列号和所述管理信息文件之前,所述方法还包括:
所述赋权服务器确定共享主密钥;
所述赋权服务器通过加密方式向服务中心系统发送所述共享主密钥,以使所述服务中心系统得到共享主密钥。
进一步,如上所述的一种认证管理方法,所述赋权服务器确定共享主密钥,包括:
所述赋权服务器向所述服务中心系统发送第二序列号和第一随机数,以使所述服务中心系统产生第二随机数;
所述赋权服务器获取所述服务中心系统发送的所述第二随机数和渠道证书;
当使用CA证书验证所述渠道证书通过时,所述赋权服务器生成共享主密钥;
所述赋权服务器通过加密方式向服务中心系统发送所述共享主密钥,包括:
所述赋权服务器使用所述渠道证书对所述共享主密钥进行加密,得到密钥密文;
所述赋权服务器连接所述第一随机数和所述第二随机数,得到第三随机数;
所述赋权服务器使用使用方私钥对所述第三随机数进行加密,得到随机数密文;
所述赋权服务器向所述服务中心系统发送所述密钥密文、所述随机数密文和使用方证书,以使所述服务中心系统在使用CA证书验证所述使用方证书通过,且使用所述使用方证书验证所述随机数密文通过后,解密所述密钥密文,得到所述共享主密钥。
本发明实施例还提供了一种认证管理方法,包括以下步骤:
终端设备向赋权服务器发送第一序列号,以使所述赋权服务器判断出预存的管理信息文件中有与所述第一序列号对应的认证密钥后,所述赋权服务器扣减所述管理信息文件中的授权次数,以及使用所述认证密钥生成认证密文,其中,所述第一序列号为所述终端设备上的认证模块的标识信息,所述管理信息文件包括序列号和认证密钥的对应关系;
所述终端设备获取所述赋权服务器发送的所述认证密文;
所述终端设备通过所述认证模块在校验所述认证密文成功后,执行预设操作。
本发明实施例还提供了一种赋权服务器,包括以下装置:
获取单元,用于获取终端设备发送的第一序列号,所述第一序列号为所述终端设备上的认证模块的标识信息;
判断单元,用于判断预存的管理信息文件中是否有与所述第一序列号对应的认证密钥,所述管理信息文件包括序列号和认证密钥的对应关系;
执行单元,用于若所述管理信息文件中有与所述第一序列号对应的认证密钥,则扣减所述管理信息文件中的授权次数,以及使用所述认证密钥生成认证密文;
发送单元,用于向所述终端设备发送所述认证密文,以使所述终端设备通过所述认证模块在校验所述认证密文成功后,执行预设操作。
本发明实施例还提供了一种终端设备,包括以下装置:
终端发送单元,用于向赋权服务器发送第一序列号,以使所述赋权服务器判断出预存的管理信息文件中有与所述第一序列号对应的认证密钥后,所述赋权服务器扣减所述管理信息文件中的授权次数,以及使用所述认证密钥生成认证密文,其中,所述第一序列号为所述终端设备上的认证模块的标识信息,所述管理信息文件包括序列号和认证密钥的对应关系;
终端获取单元,用于获取所述赋权服务器发送的所述认证密文;
终端执行单元,用于通过所述认证模块在校验所述认证密文成功后,执行预设操作。
本发明实施例还提供了一种认证管理系统,包括赋权服务器和终端设备,其中,所述赋权服务器为如上所述的赋权服务器;所述终端设备为如上所述的终端设备。
本发明的效果在于:采用本发明所述的方法,赋权服务器对终端设备进行认证管理,赋权服务器判断出预存的管理信息文件中有与所述第一序列号对应的认证密钥,且授权次数可扣减时,赋权服务器才通过发送认证密文授权终端设备上的认证模块,若该认证模块校验认证密文成功,才执行预设操作,从而可以增强对认证模块的认证强度,提高了认证管理的安全性。
附图说明
图1是本发明实施例提供的一种认证管理方法涉及的系统架构图;
图2为本发明另一实施例提供的一种认证管理方法的流程示意图;
图3为图2所示实施例的方法涉及的赋权服务器与服务中心系统握手的流程图;
图4为图2所示实施例的方法涉及的更新管理信息文件的流程图;
图5为图2所示实施例的方法涉及的更新授权次数的流程图;
图6为本发明另一实施例提供的一种赋权服务器的结构示意图;
图7为本发明另一实施例提供的一种终端设备的结构示意图。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步描述。
实施例一
如图1所示,图1为本发明实施例提供的认证管理方法涉及的系统架构图。在该系统架构中,包括赋权服务器101、终端设备102和服务中心系统103,该赋权服务器101可分别与该终端设备102、以及服务中心系统103通信连接。在其它的实施例中,该终端设备102还可与该服务中心系统103通信连接。
服务中心系统103,可用于对赋权服务器进行认证、为赋权服务器101分配授权次数,以及对赋权服务器101等设备进行识别管理。
赋权服务器101,可用于对终端设备102以及终端设备102上的认证模块进行授权、认证管理,例如管理认证模块的使用次数。在一些实施例中,在赋权服务器101上设置有安全认证设备。在有的实施例中,赋权服务器101和安全认证设备可统称为授权系统。
终端设备102设置有认证模块,通过该认证模块可执行预设操作,例如在脱机环境下对用户身份进行识别、密钥存储和安全运算等。该认证模块可与该终端设备固定连接或者可拆卸连接。
在一些具体的示例中,该赋权服务器101与终端设备102的通信连接方式可以为局域网连接,该赋权服务器101与服务中心系统103的通信连接方式可以为联网连接,例如通过互联网进行连接。从而实现网络的分层管理。
在另一些具体的示例中,赋权服务器101上的安全认证设备内部设有使用方公钥文件、使用方私钥文件、签证机关(Certification Authority,CA)公钥文件、渠道公钥文件、使用方证书文件、签证机关(Certification Authority,CA)证书文件、渠道证书文件以及管理信息文件,同时还有设备终端内的认证模块的认证密钥。该认证密钥由密钥管理中心完成发行,由运营方进行申请,并在首次使用前提交该安全认证设备管理的所有认证模块的序列号给服务中心系统,以进行安全认证设备内的管理信息文件和认证模块的认证密钥的密文数据的生成申请,服务中心系统可下发数据到认证模块,同时保存并维护安全认证设备与认证模块的对应关系表。
可以理解,一个服务中心系统103可与一个或者多个赋权服务器101通信连接,和/或一个赋权服务器101可与一个或者多个终端设备102进行连接,本发明实施例对此不作具体限定。
可以理解,一个终端设备上可以设置一个或者多个认证模块,本发明实施例对此不作具体限定。
在图1所示的系统架构中,可进行基于公钥基础设施(Public KeyInfrastructure,PKI)技术的安全认证设备的管理机制,通过一个UKEY(UKEY是一种通过USB (通用串行总线接口)直接与计算机相连、具有密码验证功能、可靠高速的小型存储设备)或读卡器内嵌赋权服务器的方式,对赋权服务器进行远程赋权管理,而认证模块的使用次数由赋权服务器进行控制,认证模块使用时也受赋权服务器的认证管理,因为赋权设备需要在线才能被赋权,将认证设备与赋权服务器的鉴权过程及对网络的要求进行分层管理,以此可解决机密设备丢失的问题。
可以理解,图1所示的系统架构以及上述描述只是示例性的说明,并不对本发明实施例的认证管理方法进行具体限定,本发明实施例的认证管理方法还可以有多种具体的系统架构,例如只有赋权服务器和终端设备的系统架构。
下面,对本发明实施例的认证管理方法进行具体的说明。
实施例二
如图2所示,图2为本发明实施例提供的一种认证管理方法的流程示意图。
参考图1所示的实施例,以及图2,本发明实施例的认证管理方法,包括以下步骤:
步骤201:赋权服务器获取终端设备发送的第一序列号。
其中,第一序列号为终端设备上的认证模块的标识信息。关于赋权服务器、终端设备以及认证模块的详情可参考图1所示实施例的具体描述。
终端设备向赋权服务器发送第一序列号,从而赋权服务器可获取该第一序列号。
例如,终端设备检测到某个认证模块掉电重启后,发起获取该认证模块的第一序列号的指令。认证模块接受到该指令后,将其第一序列号返回给终端设备。然后,终端设备向赋权服务器发送该第一序列号。
可选地,在一些具体的示例中,本发明实施例的方法还包括: 终端设备发起获取认证模块随机数指令。该认证模块收到该指令后,将认证模块随机数返回给终端设备。从而,终端设备在获取到同一认证模块的第一序列号和认证模块随机数后,将该第一序列号和认证模块随机数发送给赋权服务器。其中,该认证模块随机数用于使得终端设备每次产生的密文数据不同,从而密钥不易被破解。
步骤202:赋权服务器判断预存的管理信息文件中是否有与第一序列号对应的认证密钥。若管理信息文件中有与第一序列号对应的认证密钥,则执行步骤203。
其中,管理信息文件包括序列号和认证密钥的对应关系。管理信息文件的序列号可包括第一序列号。
在赋权服务器上预存有管理信息文件,可以是用户预先向赋权服务器输入该管理信息文件,也可以是赋权服务器从其它设备预先获取该管理信息文件,例如从服务中心系统获取。
具体来说,赋权服务器使用步骤201的第一序列号在管理信息文件中检索对应的密钥索引,若检索到与第一序列号相同的序列号,且管理信息文件中包括该序列号和认证密钥的对应关系,则表示管理信息文件中有与第一序列号对应的认证密钥。
管理信息文件中有与第一序列号对应的认证密钥,表示该第一序列号标识的认证模块是合法的认证模块。在该第一序列号标识的认证模块上预存有该认证密钥。
步骤203:赋权服务器扣减管理信息文件中的授权次数,以及使用认证密钥生成认证密文。
在管理信息文件中记录有授权次数,授权次数用于表示赋权服务器可授权认证模块的次数,认证模块被赋权服务器授权后,可执行预设操作,否则不能执行预存操作。该授权次数可以由用户输入,也可以由其它设备配置,在本发明实施例中,以授权次数由服务中心系统配置为例进行说明。
若管理信息文件中有与第一序列号对应的认证密钥,表示认证模块初步认证通过,赋权服务器扣减管理信息文件中的授权次数,以及使用认证密钥生成认证密文。
可以理解,赋权服务器可扣减一次管理信息文件中的授权次数,也可以全部扣减完。
可选地,在赋权服务器包括安全认证设备的实施例中,步骤203可由该安全认证设备执行。
关于管理信息文件,管理信息文件包括序列号、认证密钥和授权次数。管理信息文件的具体实现方式有多种,例如列表的实现方式,在该列表中包括序列号、认证密钥和授权次数三者的对应关系;赋权服务器可以是使用从终端设备获取的第一序列号和该列表中的序列号进行匹配,若匹配为相同的序列号,则确定与该序列号对应的认证密钥。管理信息文件也可以是包括列表和独立的认证密钥的实现方式,此时在该列表中包括序列号和认证密钥名的对应关系,根据该认证密钥名可查找到对应的独立保存的认证密钥,此时,赋权服务器使用从终端设备获取的第一序列号和该列表中的序列号进行匹配,若匹配为相同的序列号,则确定与该序列号对应的认证密钥名,然后使用该认证密钥名查询标识的认证密钥。
步骤204:赋权服务器向终端设备发送认证密文。
生成认证密文后,赋权服务器向终端设备发送认证密文,以使终端设备对该认证密文进行校验,进行进一步的认证,从而提高认证的安全性。
例如,赋权服务器向终端设备发送认证指令,该认证指令包括该认证密文,以使终端设备通过认证模块在校验认证密文成功后,具体为使用认证密钥解密认证密文成功,然后执行预设操作。
步骤205:终端设备通过认证模块在校验认证密文成功后,执行预设操作。
这样,终端设备向赋权服务器发送标识认证模块的第一序列号,以使赋权服务器判断出预存的管理信息文件中有与第一序列号对应的认证密钥后,赋权服务器扣减管理信息文件中的授权次数,以及使用认证密钥生成认证密文。终端设备获取到赋权服务器发送的认证密文后,可对该认证密文进行校验。
具体来说,认证密文由使用认证密钥生成,校验认证密文也通过认证密钥进行。在认证模块上也预存有与步骤203相同的认证密钥,该认证模块上的认证密钥可以由用户向认证模块录入,也可以是认证模块预先从其它设备获取,例如从服务中心系统获取。当认证模块使用预存的认证密钥解密认证密文成功,则表示校验认证密文成功。
校验认证密文成功后,认证模块执行预设操作,该预设操作包括但不限于对用户身份的识别、密钥存储和安全运算等。例如,校验认证密文成功,则对应的认证模块可进行消费交易和文件更新操作;否则不允许进行消费交易和文件更新操作。
在一些具体的示例中,赋权服务器发起认证指令,认证模块收到该认证指令后,校验该认证指令中的认证密文,并向赋权服务器返回认证结果。
在另一些具体的示例中,无论认证模块是否赋权成功,赋权服务器启动在线认证获取授权次数,具体可参阅图5所示实施例的更新授权次数的具体描述。
可选地,在步骤201之前,本发明实施例的方法还包括:赋权服务器向服务中心系统发送第二序列号和管理信息文件,以使服务中心系统认证第二序列号通过后,更新管理信息文件。然后,赋权服务器获取服务中心系统发送的更新后的管理信息文件。其中,第二序列号为赋权服务器上的安全认证设备的标识信息。
相应地,步骤203具体包括:赋权服务器通过安全认证设备扣减管理信息文件中的授权次数,以及使用认证密钥生成认证密文。例如,赋权服务器向安全认证设备发起获取认证密文指令,安全认证设备收到指令后,扣减对应认证模块的授权次数并根据认证密钥计算出认证密文,然后,将认证密文返回给赋权服务器。
这样,通过在赋权服务器上设置安全认证设备,可集中对认证过程进行统一管理。另外,通过向服务中心系统发送第二序列号,使得服务中心系统可对该安全认证设备的合法性进行识别。
可选地,上述的服务中心系统更新管理信息文件,包括:更新管理信息文件中的序列号和认证密钥;或者,更新管理信息文件中的授权次数。从而,更新后的管理信息文件为更新了序列号和认证密钥的管理信息文件;或者,更新后的管理信息文件为更新了授权次数的管理信息文件。
为了在提高认证的安全性的同时,减少通信网络的影响,在一些可选的实现方式中,赋权服务器获取终端设备发送的第一序列号,具体包括:赋权服务器通过局域网获取终端设备发送的第一序列号。赋权服务器向服务中心系统发送第二序列号,具体包括:赋权服务器通过联网方式向服务中心系统发送第二序列号。这样,通过网络上分层管理,确保了即使认证模块的网络环境不佳,也能保证认证模块的安全管理。其中,该联网方式例如可以为专线网络或者互联网。
可选地,赋权服务器与服务中心系统还包括握手过程,以使得服务中心系统可对赋权服务器进行认证,以及共享密钥,保证数据传输的安全性。即,赋权服务器向服务中心系统发送第二序列号和管理信息文件之前,本发明实施例的方法还包括:赋权服务器确定共享主密钥;然后,赋权服务器通过加密方式向服务中心系统发送共享主密钥,以使服务中心系统得到共享主密钥。
具体来说,赋权服务器确定共享主密钥,包括步骤A1-A3。具体如下:
步骤A1:赋权服务器向服务中心系统发送第二序列号和第一随机数,以使服务中心系统产生第二随机数。
步骤A2:赋权服务器获取服务中心系统发送的第二随机数和渠道证书;
步骤A3:当使用CA证书验证渠道证书通过时,赋权服务器生成共享主密钥;
赋权服务器通过加密方式向服务中心系统发送共享主密钥,包括步骤B1-B4,具体如下:
步骤B1:赋权服务器使用渠道证书对共享主密钥进行加密,得到密钥密文。
步骤B2:赋权服务器连接第一随机数和第二随机数,得到第三随机数。
步骤B3:赋权服务器使用使用方私钥对第三随机数进行加密,得到随机数密文。
步骤B4:赋权服务器向服务中心系统发送密钥密文、随机数密文和使用方证书,以使服务中心系统在使用CA证书验证使用方证书通过,且使用使用方证书验证随机数密文通过后,解密密钥密文,得到共享主密钥。
例如,参阅图3,图3示出了赋权服务器与服务中心系统握手的其中一个具体示例。赋权服务器(内嵌安全认证设备)与密钥服务中心安全机制如下:
步骤301:赋权服务器获取安全认证设备的序列号Sn和随机数R1;
步骤302:赋权服务器将序列号Sn和随机数R1发送到服务中心系统,以使服务中心系统接收到Sn与R1后,启动握手协议。
步骤303:服务中心系统产生随机数R2。
步骤304:服务中心系统将随机数R2和渠道证书发送给赋权服务器。
步骤305:赋权服务器使用CA证书验证服务中心系统发送的渠道证书,如果验证不通过,则发送错误消息,结束链接;如果验证通过,赋权服务器产生16字节随机数作为共享主密钥M1,并且使用服务中心系统的渠道证书对M1进行加密得到E1。
步骤306:赋权服务器将R1和R2连接后得到R3,赋权服务器先对R3进行摘要得到H1,然后使用使用方私钥(UKEY/SE(授权系统))对H1进行签名运算得到S1;
步骤307:赋权服务器对S1、E1和使用方证书发送到服务中心系统。
步骤308: 服务中心系统使用CA证书验证使用方证书合法性,若使用方证书验证不通过,则发送错误消息,结束链接;如果验证通过,则使用使用方证书验证S1。若S1验证不通过,则发送错误消息,结束链接;如果验证通过,则解密E1,得到共享主密钥M1。
步骤309:服务中心系统对渠道证书主体进行摘要运算得到H2,对使用方证书主体进行摘要运算得到H3,将R1、R2、H2、H3、S1、E1连接后得到T1(T1=R1||R2||H2||H3||S1||E1),对T1进行摘要运算得到H4,将H4和美国信息交换标准代码(American Standard Codefor Information Interchange,ASCII)码“SERVER”连接后得到D1,使用M1对D1进行SM3(senior middle 3)运算得到F1。
步骤310:服务中心系统发送握手验证完成消息F1给赋权服务器。
步骤311:赋权服务器验证收到的密钥服务中心发来的F1,如果验证不成功,则发送错误消息,结束链接;如果验证成功,运算得到握手验证消息F2,F2运算与F1运算方法一样,只是需要将F1运算时的ASCII码“SERVER”改为“CLIENT”。
步骤312:赋权服务器发送握手验证完成消息F2给服务中心系统。
步骤313:服务中心系统使用同样的计算方式验证收到的F2,如果验证不成功,则发送错误消息,结束链接;
上述握手过程成功后,双方进行会话密钥计算,例如可以是使用SM3方式进行会话密钥计算。然后,握手过程结束。
为了对更新所述管理信息文件的过程有更具体的理解,下面即举出其中两个示例进行说明。
示例一:
如图4所示,在该示例中,具体的流程如下:
步骤401:赋权服务器与服务中心系统进行握手,具体的握手流程请参阅图3所示的赋权服务器与服务中心系统握手实施例的具体描述。握手成功后,会话密钥临时存储在安全认证设备里,如工作密钥和消息认证码(Message Authentication Code,MAC)密钥等等。后续流程中安装有认证模块的终端设备和中心之间的数据传输都通过工作密钥加密保护,其过程不再具体描述。
步骤402:赋权服务器发起获取安全认证设备随机数指令。
步骤403:赋权服务器将管理信息文件、标识安全认证设备的第二序列号、和安全认证设备随机数,发送给服务中心系统。安全认证设备随机数用于和其它随机数配合,以挑战应答认证。
步骤404:服务中心系统接收到赋权系统传来的数据后,进行黑白名单对比。其中,白名单用于检查更新的正常设备,黑名单用于监管异常设备。
步骤405:如果安全认证设备的第二序列号在白名单中,则更新管理信息文件的内容,具体为更新管理信息文件的序列号和认证密钥。
步骤406: 用安全认证设备对应的共享主秘钥加密更新后的管理信息文件,得到管理信息密文。
步骤407:服务中心系统将管理信息密文和授权状态返回码,发送给赋权服务器。
步骤408:赋权服务器判断授权状态返回码,若授权通过,则将管理信息密文发给安全认证设备。
步骤409:安全认证设备对管理信息密文进行解密,得到管理信息文件。
步骤410:安全认证设备更新该管理信息文件。
其中,上述过程任何一个出现错误,则立刻停止授权。上述过程未出现任何一个错误,则赋权服务器在线授权结束。
示例一的流程有两种触发情况:
一:赋权服务器内的安全认证设备在发行后首次签到,如果此时赋权服务器里管理信息文件的内容为空且对应的认证模块的认证密钥都未装载,此时需要触发更新流程。该认证模块装载认证密钥的方式可以是通过安全认证设备的密钥装载功能进行安装。
二:终端设备内的认证模块损坏更换后,此时赋权服务器里管理信息文件还未将旧认证模块的第一序列号更换成新认证模块的第一序列号,对应的认证模块的认证密钥也未更新,此时需要触发更新流程。
其中,用户如果发起更新流程,必须上传更换理由给后台。
示例二:
参阅图5,本示例的具体实现流程如下:
步骤501:赋权服务器与服务中心系统进行握手,具体的握手流程请参阅图3所示的赋权服务器与服务中心系统握手实施例的具体描述。握手成功后,会话密钥临时存储在安全认证设备里,如工作密钥和MAC密钥等等。后续流程中客户端和中心之间的数据传输都通过工作密钥加密保护,其过程不再具体描述。
步骤502:赋权服务器发起获取安全认证设备随机数指令。
步骤503:赋权服务器将管理信息文件、标识安全认证设备的第二序列号、和安全认证设备随机数,发送给服务中心系统。
步骤504:服务中心系统接收到赋权系统传来的数据后,进行黑白名单对比。
步骤505:如果安全认证设备的第二序列号在白名单中,则更新管理信息文件的内容,具体为将管理信息文件中的所有授权次数设置为最大值。
步骤506:用安全认证设备对应的共享主秘钥加密更新后的管理信息文件,得到管理信息密文。
步骤507:服务中心系统将管理信息密文和授权状态返回码,发送给赋权服务器。
步骤508:赋权服务器判断授权状态返回码,若授权通过,则将管理信息密文发给安全认证设备。
步骤509:安全认证设备对管理信息密文进行解密,得到管理信息文件。
步骤510:安全认证设备更新该管理信息文件。其中,该管理信息文件的授权次数为最大授权次数。
其中,上述过程任何一个出现错误,则立刻停止授权;上述过程未出现任何一个错误,则赋权服务器在线授权结束。
本发明实施例的认证管理方法,赋权服务器的安全认证设备和终端的认证模块授权机制是采取“后台-赋权系统,赋权系统-终端认证模块”两级赋权机制。赋权系统(即赋权服务器和安全认证设备的组合)的安全认证设备通过联网方式向后台中心申请授权认证,获得认证模块卡授权次数。在有效的认证模块授权次数内,赋权系统通过与终端的局域网完成对认证模块的在线认证;认证成功后允许认证模块进行消费交易等操作(认证模块使用之前必须进行外部认证)。这样,通过对赋权服务器进行远程赋权管理,将认证设备与赋权服务器的鉴权过程及对网络的要求进行分层管理,实现安全认证设备的在线赋权,以及安全认证设备在局域网内对终端设备内的认证模块的使用管理,安全认证设备中设置管理信息文件和授权次数对上受服务中心系统维护,对下实现对认证模块的认证管理和信息维护的安全机制。以此解决或减少安全认证设备丢失所造成的损失,保证安全认证设备在使用环境上的安全性、可控性及管理的便利性。
综上所述,赋权服务器获取终端设备发送的第一序列号,第一序列号为终端设备上的认证模块的标识信息,然后,赋权服务器判断预存的管理信息文件中是否有与第一序列号对应的认证密钥,管理信息文件包括序列号和认证密钥的对应关系。若管理信息文件中有与第一序列号对应的认证密钥,则赋权服务器扣减管理信息文件中的授权次数,以及使用认证密钥生成认证密文。然后,赋权服务器向终端设备发送认证密文,以使终端设备通过认证模块在校验认证密文成功后,执行预设操作。采用本发明的方法,赋权服务器对终端设备进行认证管理,赋权服务器判断出预存的管理信息文件中有与第一序列号对应的认证密钥,且授权次数可扣减时,赋权服务器才通过发送认证密文授权终端设备上的认证模块,若该认证模块校验认证密文成功,才执行预设操作,从而可以增强对认证模块的认证强度,提高了认证管理的安全性。
实施例三
如图6所述,图6为本发明实施例提供的一种赋权服务器的结构示意图。该赋权服务器可执行如图1和图2所示实施例的赋权服务器所执行的方法。
该赋权服务器,包括以下装置:
获取单元601,用于获取终端设备发送的第一序列号,第一序列号为终端设备上的认证模块的标识信息;
判断单元602,用于判断预存的管理信息文件中是否有与第一序列号对应的认证密钥,管理信息文件包括序列号和认证密钥的对应关系;
执行单元603,用于若管理信息文件中有与第一序列号对应的认证密钥,则扣减管理信息文件中的授权次数,以及使用认证密钥生成认证密文;
发送单元604,用于向终端设备发送认证密文,以使终端设备通过认证模块在校验认证密文成功后,执行预设操作。
可选地,发送单元604,还用于向服务中心系统发送第二序列号和管理信息文件,以使服务中心系统认证第二序列号通过后,更新管理信息文件,第二序列号为赋权服务器上的安全认证设备的标识信息;
获取单元601,还用于获取服务中心系统发送的更新后的管理信息文件;
执行单元603,还用于赋权服务器通过安全认证设备扣减管理信息文件中的授权次数,以及使用认证密钥生成认证密文。
可选地,更新后的管理信息文件为更新了序列号和认证密钥的管理信息文件;或者,更新后的管理信息文件为更新了授权次数的管理信息文件。
可选地,
获取单元601,还用于通过局域网获取终端设备发送的第一序列号;
发送单元604,还用于通过联网方式向服务中心系统发送第二序列号。
可选地,
赋权服务器还包括确定单元605和解密单元606;
确定单元605,用于确定共享主密钥;
发送单元604,还用于通过加密方式向服务中心系统发送共享主密钥,以使服务中心系统得到共享主密钥。
可选地,
赋权服务器还包括加密单元607;
发送单元604,还用于向服务中心系统发送第二序列号和第一随机数,以使服务中心系统产生第二随机数;
获取单元601,还用于获取服务中心系统发送的第二随机数和渠道证书;
确定单元605,还用于当使用CA证书验证渠道证书通过时,生成共享主密钥;
加密单元607,用于使用渠道证书对共享主密钥进行加密,得到密钥密文;
加密单元607,还用于连接第一随机数和第二随机数,得到第三随机数;
加密单元607,还用于使用使用方私钥对第三随机数进行加密,得到随机数密文;
发送单元604,还用于向服务中心系统发送密钥密文、随机数密文和使用方证书,以使服务中心系统在使用CA证书验证使用方证书通过,且使用使用方证书验证随机数密文通过后,解密密钥密文,得到共享主密钥。
综上所述,获取单元601获取终端设备发送的第一序列号,第一序列号为终端设备上的认证模块的标识信息;判断单元602判断预存的管理信息文件中是否有与第一序列号对应的认证密钥,管理信息文件包括序列号和认证密钥的对应关系;执行单元603若管理信息文件中有与第一序列号对应的认证密钥,则扣减管理信息文件中的授权次数,以及使用认证密钥生成认证密文;发送单元604向终端设备发送认证密文,以使终端设备通过认证模块在校验认证密文成功后,执行预设操作。赋权服务器的装置对终端设备进行认证管理,从而赋权服务器判断出预存的管理信息文件中有与所述第一序列号对应的认证密钥,且授权次数可扣减时,赋权服务器才通过发送认证密文授权终端设备上的认证模块,若该认证模块校验认证密文成功,才执行预设操作,从而可以增强对认证模块的认证强度,提高了认证管理的安全性。
实施例四
如图7所述,图7为本发明实施例提供的一种终端设备的结构示意图。该终端设备可执行如图1和图2所示实施例的终端设备所执行的方法。
该终端设备,包括以下装置:
终端发送单元701,用于向赋权服务器发送第一序列号,以使赋权服务器判断出预存的管理信息文件中有与第一序列号对应的认证密钥后,赋权服务器扣减管理信息文件中的授权次数,以及使用认证密钥生成认证密文,其中,第一序列号为终端设备上的认证模块的标识信息,管理信息文件包括序列号和认证密钥的对应关系;
终端获取单元702,用于获取赋权服务器发送的认证密文;
终端执行单元703,用于通过认证模块在校验认证密文成功后,执行预设操作。
综上所述,终端发送单元701向赋权服务器发送第一序列号,以使赋权服务器判断出预存的管理信息文件中有与第一序列号对应的认证密钥后,赋权服务器扣减管理信息文件中的授权次数,以及使用认证密钥生成认证密文,其中,第一序列号为终端设备上的认证模块的标识信息,管理信息文件包括序列号和认证密钥的对应关系;终端获取单元702,用于获取赋权服务器发送的认证密文;终端执行单元703,用于通过认证模块在校验认证密文成功后,执行预设操作。这样,可以增强对认证模块的认证强度,提高了认证管理的安全性。
实施例五
本发明实施例还提供一种认证管理系统,该系统包括赋权服务器和终端设备,其中,赋权服务器为如图6所示实施例的赋权服务器;该终端设备为如图7所示实施例的终端设备。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域技术人员应该明白,本发明所述的方法和系统并不限于具体实施方式中所述的实施例,上面的具体描述只是为了解释本发明的目的,并非用于限制本发明。本领域技术人员根据本发明的技术方案得出其他的实施方式,同样属于本发明的技术创新范围,本发明的保护范围由权利要求及其等同物限定。
Claims (5)
1.一种认证管理方法,包括以下步骤:
赋权服务器获取终端设备发送的第一序列号,所述第一序列号为所述终端设备上的认证模块的标识信息;
所述赋权服务器判断预存的管理信息文件中是否有与所述第一序列号对应的认证密钥,所述管理信息文件包括序列号和认证密钥的对应关系;
若所述管理信息文件中有与所述第一序列号对应的认证密钥,则所述赋权服务器扣减所述管理信息文件中的授权次数,以及使用所述认证密钥生成认证密文;
所述赋权服务器向所述终端设备发送所述认证密文,以使所述终端设备通过所述认证模块在校验所述认证密文成功后,执行预设操作;
所述赋权服务器获取终端设备发送的第一序列号之前,所述方法还包括:
所述赋权服务器向服务中心系统发送第二序列号和管理信息文件,以使所述服务中心系统认证所述第二序列号通过后,更新所述管理信息文件,所述第二序列号为所述赋权服务器上的安全认证设备的标识信息;
所述赋权服务器获取所述服务中心系统发送的管理信息密文,所述管理信息密文是用安全认证设备对应的共享主密钥加密更新后的管理信息文件得到的;
所述赋权服务器扣减所述管理信息文件中的授权次数,以及使用所述认证密钥生成认证密文,包括:
所述赋权服务器通过所述安全认证设备扣减所述管理信息文件中的授权次数,以及使用所述认证密钥生成认证密文
所述赋权服务器向服务中心系统发送第二序列号和所述管理信息文件之前,所述方法还包括:
所述赋权服务器确定共享主密钥;
所述赋权服务器通过加密方式向服务中心系统发送所述共享主密钥,以使所述服务中心系统得到所述共享主密钥;所述赋权服务器确定共享主密钥,包括:
所述赋权服务器向所述服务中心系统发送第二序列号和第一随机数,以使所述服务中心系统产生第二随机数;
所述赋权服务器获取所述服务中心系统发送的所述第二随机数和渠道证书;
当使用签证机关CA证书验证所述渠道证书通过时,所述赋权服务器生成共享主密钥;
所述赋权服务器通过加密方式向服务中心系统发送所述共享主密钥,包括:
所述赋权服务器使用所述渠道证书对所述共享主密钥进行加密,得到密钥密文;
所述赋权服务器连接所述第一随机数和所述第二随机数,得到第三随机数;
所述赋权服务器使用使用方私钥对所述第三随机数进行加密,得到随机数密文;
所述赋权服务器向所述服务中心系统发送所述密钥密文、所述随机数密文和使用方证书,以使所述服务中心系统在使用CA证书验证所述使用方证书通过,且使用所述使用方证书验证所述随机数密文通过后,解密所述密钥密文,得到所述共享主密钥。
2.如权利要求1所述的一种认证管理方法,其特征在于:
所述更新后的管理信息文件为更新了序列号和认证密钥的管理信息文件;或者,
所述更新后的管理信息文件为更新了授权次数的管理信息文件。
3.如权利要求1所述的一种认证管理方法,其特征在于:
所述赋权服务器获取终端设备发送的第一序列号,包括:
赋权服务器通过局域网获取终端设备发送的第一序列号;
所述赋权服务器向服务中心系统发送第二序列号,包括:
所述赋权服务器通过联网方式向服务中心系统发送第二序列号。
4.一种认证管理方法,包括以下步骤:
终端设备向赋权服务器发送第一序列号,以使所述赋权服务器判断出预存的管理信息文件中有与所述第一序列号对应的认证密钥后,所述赋权服务器扣减所述管理信息文件中的授权次数,以及使用所述认证密钥生成认证密文,其中,所述第一序列号为所述终端设备上的认证模块的标识信息,所述管理信息文件包括序列号和认证密钥的对应关系;
所述终端设备获取所述赋权服务器发送的所述认证密文;
所述终端设备通过所述认证模块在校验所述认证密文成功后,执行预设操作;所述赋权服务器获取终端设备发送的第一序列号之前,所述方法还包括:
所述赋权服务器向服务中心系统发送第二序列号和管理信息文件,以使所述服务中心系统认证所述第二序列号通过后,更新所述管理信息文件,所述第二序列号为所述赋权服务器上的安全认证设备的标识信息;
所述赋权服务器获取所述服务中心系统发送的管理信息密文,所述管理信息密文是用安全认证设备对应的共享主密钥加密更新后的管理信息文件得到的;
所述赋权服务器扣减所述管理信息文件中的授权次数,以及使用所述认证密钥生成认证密文,包括:
所述赋权服务器通过所述安全认证设备扣减所述管理信息文件中的授权次数,以及使用所述认证密钥生成认证密文
所述赋权服务器向服务中心系统发送第二序列号和所述管理信息文件之前,所述方法还包括:
所述赋权服务器确定共享主密钥;
所述赋权服务器通过加密方式向服务中心系统发送所述共享主密钥,以使所述服务中心系统得到所述共享主密钥;所述赋权服务器确定共享主密钥,包括:
所述赋权服务器向所述服务中心系统发送第二序列号和第一随机数,以使所述服务中心系统产生第二随机数;
所述赋权服务器获取所述服务中心系统发送的所述第二随机数和渠道证书;
当使用签证机关CA证书验证所述渠道证书通过时,所述赋权服务器生成共享主密钥;
所述赋权服务器通过加密方式向服务中心系统发送所述共享主密钥,包括:
所述赋权服务器使用所述渠道证书对所述共享主密钥进行加密,得到密钥密文;
所述赋权服务器连接所述第一随机数和所述第二随机数,得到第三随机数;
所述赋权服务器使用使用方私钥对所述第三随机数进行加密,得到随机数密文;
所述赋权服务器向所述服务中心系统发送所述密钥密文、所述随机数密文和使用方证书,以使所述服务中心系统在使用CA证书验证所述使用方证书通过,且使用所述使用方证书验证所述随机数密文通过后,解密所述密钥密文,得到所述共享主密钥。
5.一种赋权服务器,包括以下装置:
获取单元,用于获取终端设备发送的第一序列号,所述第一序列号为所述终端设备上的认证模块的标识信息;
判断单元,用于判断预存的管理信息文件中是否有与所述第一序列号对应的认证密钥,所述管理信息文件包括序列号和认证密钥的对应关系;
执行单元,用于若所述管理信息文件中有与所述第一序列号对应的认证密钥,则扣减所述管理信息文件中的授权次数,以及使用所述认证密钥生成认证密文;
发送单元,用于向所述终端设备发送所述认证密文,以使所述终端设备通过所述认证模块在校验所述认证密文成功后,执行预设操作;所述赋权服务器获取终端设备发送的第一序列号之前,还包括:
所述赋权服务器向服务中心系统发送第二序列号和管理信息文件,以使所述服务中心系统认证所述第二序列号通过后,更新所述管理信息文件,所述第二序列号为所述赋权服务器上的安全认证设备的标识信息;
所述赋权服务器获取所述服务中心系统发送的管理信息密文,所述管理信息密文是用安全认证设备对应的共享主密钥加密更新后的管理信息文件得到的;
所述赋权服务器扣减所述管理信息文件中的授权次数,以及使用所述认证密钥生成认证密文,包括:
所述赋权服务器通过所述安全认证设备扣减所述管理信息文件中的授权次数,以及使用所述认证密钥生成认证密文
所述赋权服务器向服务中心系统发送第二序列号和所述管理信息文件之前,所述方法还包括:
所述赋权服务器确定共享主密钥;
所述赋权服务器通过加密方式向服务中心系统发送所述共享主密钥,以使所述服务中心系统得到所述共享主密钥;所述赋权服务器确定共享主密钥,包括:
所述赋权服务器向所述服务中心系统发送第二序列号和第一随机数,以使所述服务中心系统产生第二随机数;
所述赋权服务器获取所述服务中心系统发送的所述第二随机数和渠道证书;
当使用签证机关CA证书验证所述渠道证书通过时,所述赋权服务器生成共享主密钥;
所述赋权服务器通过加密方式向服务中心系统发送所述共享主密钥,包括:
所述赋权服务器使用所述渠道证书对所述共享主密钥进行加密,得到密钥密文;
所述赋权服务器连接所述第一随机数和所述第二随机数,得到第三随机数;
所述赋权服务器使用使用方私钥对所述第三随机数进行加密,得到随机数密文;
所述赋权服务器向所述服务中心系统发送所述密钥密文、所述随机数密文和使用方证书,以使所述服务中心系统在使用CA证书验证所述使用方证书通过,且使用所述使用方证书验证所述随机数密文通过后,解密所述密钥密文,得到所述共享主密钥。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810371201.0A CN110401613B (zh) | 2018-04-24 | 2018-04-24 | 一种认证管理方法和相关设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810371201.0A CN110401613B (zh) | 2018-04-24 | 2018-04-24 | 一种认证管理方法和相关设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110401613A CN110401613A (zh) | 2019-11-01 |
CN110401613B true CN110401613B (zh) | 2023-01-17 |
Family
ID=68320218
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810371201.0A Active CN110401613B (zh) | 2018-04-24 | 2018-04-24 | 一种认证管理方法和相关设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110401613B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113132995B (zh) * | 2019-12-31 | 2023-04-07 | 中移智行网络科技有限公司 | 一种设备管控方法、装置、存储介质和计算机设备 |
CN111368286A (zh) * | 2020-02-28 | 2020-07-03 | 深圳前海微众银行股份有限公司 | 权限控制方法、装置、设备及存储介质 |
CN112512040A (zh) * | 2020-12-11 | 2021-03-16 | 北京中交国通智能交通系统技术有限公司 | 高适应性的etc安全认证设备授权方法、装置及系统 |
CN113077558B (zh) * | 2021-02-25 | 2023-06-30 | 北京中交国通智能交通系统技术有限公司 | 一种psam卡双级在线授权认证方法、装置及系统 |
CN114626868A (zh) * | 2022-03-22 | 2022-06-14 | 歌尔股份有限公司 | 智能门铃防盗版方法、系统、智能门铃及可读存储介质 |
CN115021957B (zh) * | 2022-04-20 | 2024-05-10 | 深圳市国电科技通信有限公司 | 变电站网络设备接入认证方法及其系统、芯片、网络设备 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101009910A (zh) * | 2006-01-25 | 2007-08-01 | 华为技术有限公司 | 在无线网络中实现扩展认证协议认证的方法及装置 |
CN101583124A (zh) * | 2009-06-10 | 2009-11-18 | 大唐微电子技术有限公司 | 一种用户识别模块与终端进行认证的方法和系统 |
CN101662361A (zh) * | 2009-09-15 | 2010-03-03 | 北京市政交通一卡通有限公司 | 密钥信息处理方法、装置及系统 |
CN102510333A (zh) * | 2011-09-30 | 2012-06-20 | 飞天诚信科技股份有限公司 | 一种授权认证方法及系统 |
CN103313244A (zh) * | 2012-03-14 | 2013-09-18 | 中国移动通信集团公司 | 一种基于gba的认证方法及装置 |
CN103944735A (zh) * | 2014-04-25 | 2014-07-23 | 天地融科技股份有限公司 | 数据安全交互方法 |
CN106713508A (zh) * | 2017-02-24 | 2017-05-24 | 重庆第二师范学院 | 一种基于云服务器的数据存取方法及系统 |
CN106790279A (zh) * | 2017-02-21 | 2017-05-31 | 中国信息安全测评中心 | 一种双向认证方法及通信系统 |
CN106936790A (zh) * | 2015-12-30 | 2017-07-07 | 上海格尔软件股份有限公司 | 基于数字证书实现客户端和服务器端进行双向认证的方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003091613A (ja) * | 2001-07-10 | 2003-03-28 | Systemneeds Inc | ライセンス方法及びライセンス付与システム |
CN103220271A (zh) * | 2013-03-15 | 2013-07-24 | 福建联迪商用设备有限公司 | 密钥下载方法、管理方法、下载管理方法及装置和系统 |
-
2018
- 2018-04-24 CN CN201810371201.0A patent/CN110401613B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101009910A (zh) * | 2006-01-25 | 2007-08-01 | 华为技术有限公司 | 在无线网络中实现扩展认证协议认证的方法及装置 |
CN101583124A (zh) * | 2009-06-10 | 2009-11-18 | 大唐微电子技术有限公司 | 一种用户识别模块与终端进行认证的方法和系统 |
CN101662361A (zh) * | 2009-09-15 | 2010-03-03 | 北京市政交通一卡通有限公司 | 密钥信息处理方法、装置及系统 |
CN102510333A (zh) * | 2011-09-30 | 2012-06-20 | 飞天诚信科技股份有限公司 | 一种授权认证方法及系统 |
CN103313244A (zh) * | 2012-03-14 | 2013-09-18 | 中国移动通信集团公司 | 一种基于gba的认证方法及装置 |
CN103944735A (zh) * | 2014-04-25 | 2014-07-23 | 天地融科技股份有限公司 | 数据安全交互方法 |
CN106936790A (zh) * | 2015-12-30 | 2017-07-07 | 上海格尔软件股份有限公司 | 基于数字证书实现客户端和服务器端进行双向认证的方法 |
CN106790279A (zh) * | 2017-02-21 | 2017-05-31 | 中国信息安全测评中心 | 一种双向认证方法及通信系统 |
CN106713508A (zh) * | 2017-02-24 | 2017-05-24 | 重庆第二师范学院 | 一种基于云服务器的数据存取方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN110401613A (zh) | 2019-11-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110401613B (zh) | 一种认证管理方法和相关设备 | |
CN106656488B (zh) | 一种pos终端的密钥下载方法和装置 | |
US11606213B2 (en) | On-vehicle authentication system, communication device, on-vehicle authentication device, communication device authentication method and communication device manufacturing method | |
CN106357400B (zh) | 建立tbox终端和tsp平台之间通道的方法以及系统 | |
CN102217277B (zh) | 基于令牌进行认证的方法和系统 | |
CN106161032B (zh) | 一种身份认证的方法及装置 | |
CN1323538C (zh) | 一种动态身份认证方法和系统 | |
CN110990827A (zh) | 一种身份信息验证方法、服务器及存储介质 | |
CN111275419B (zh) | 一种区块链钱包签名确权方法、装置及系统 | |
JP2004304751A5 (zh) | ||
CN103460195A (zh) | 用于安全软件更新的系统和方法 | |
CN101841525A (zh) | 安全接入方法、系统及客户端 | |
CN107733636B (zh) | 认证方法以及认证系统 | |
CN106452796B (zh) | 认证授权方法、涉税业务平台和相关设备 | |
CN105743638A (zh) | 基于b/s架构系统客户端授权认证的方法 | |
CN106789024A (zh) | 一种远程解锁方法、装置和系统 | |
CN111740995A (zh) | 一种授权认证方法及相关装置 | |
US20230412400A1 (en) | Method for suspending protection of an object achieved by a protection device | |
CN112887099B (zh) | 数据签名方法、电子设备及计算机可读存储介质 | |
CN117692185A (zh) | 电子印章的使用方法、装置、电子设备及存储介质 | |
CN113115255A (zh) | 证书下发、密钥认证、车辆解锁方法、设备及存储介质 | |
KR102293775B1 (ko) | 클라우드 기반 지불시스템의 보안성을 강화한 모바일 결제 방법 및 이를 위한 장치 | |
JP3436476B2 (ja) | 認証用暗号鍵変更方法 | |
CN112559979B (zh) | 一种pos机上通过硬件安全芯片保护软件库授权使用的方法 | |
CN115859389B (zh) | 一种基于私有化部署的软件序列号授权方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |