CN110519300B - 基于口令双向认证的客户端密钥安全存储方法 - Google Patents

基于口令双向认证的客户端密钥安全存储方法 Download PDF

Info

Publication number
CN110519300B
CN110519300B CN201910904741.5A CN201910904741A CN110519300B CN 110519300 B CN110519300 B CN 110519300B CN 201910904741 A CN201910904741 A CN 201910904741A CN 110519300 B CN110519300 B CN 110519300B
Authority
CN
China
Prior art keywords
client
server
key
authentication
username
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910904741.5A
Other languages
English (en)
Other versions
CN110519300A (zh
Inventor
刘志强
毛伟信
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Byte Information Technology Co ltd
Original Assignee
Hangzhou Byte Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Byte Information Technology Co ltd filed Critical Hangzhou Byte Information Technology Co ltd
Priority to CN201910904741.5A priority Critical patent/CN110519300B/zh
Publication of CN110519300A publication Critical patent/CN110519300A/zh
Application granted granted Critical
Publication of CN110519300B publication Critical patent/CN110519300B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN

Abstract

本发明公开了一种基于口令双向认证的客户端密钥安全存储方法,主要包括客户端与服务端的双向认证方法、基于认证的密钥协商机制、认证通过后的客户端密钥安全存储机制;其中客户端与服务端的双向认证方向包括以下步骤:客户端随机产生client‑nonce,然后随同username一起发送认证请求给服务端;服务端收到请求后,从数据库中查询username对应的salt和iteration‑count,同时随机产生server‑nonce,然后向客户端发送server‑nonce以及username对应的salt和iteration‑count;客户端收到报文后,计算客户端认证凭据并向服务端发送客户端认证凭据ClientProof;服务端收到报文后,计算Key1,并比较H(Key1)与存储的H(Key)是否一致,若是则对客户端认证通过,若否则对客户端认证失败。本发明的有益之处在于最大化地兼顾了安全性与实用性。

Description

基于口令双向认证的客户端密钥安全存储方法
技术领域
本发明涉及一种基于口令双向认证的客户端密钥安全存储方法。
背景技术
在网络信息化快速发展的今天,越来越多的用户使用网络传输数据信息。为了保护用户传输的数据及隐私安全,一般需要进行网络身份认证(即用户与服务器之间的认证),其中基于用户口令的认证是一种常用且有效的方法。常规方案一般可归纳为以下三类实现。第一类,服务端直接口令明文存储,系统认证时通过用户输入的口令和预先存储的用户口令进行比较进而实现用户的认证;第二类,服务端口令HASH存储,系统认证时对用户输入的口令进行HASH计算,最后与系统预先存储的用户口令的HASH值进行比对,如果一致则认证通过,否则认证失败;第三类,服务端口令HASH加盐存储,系统认证时,对用户输入用户的口令以及注册时对服务端产生并存储的随机盐值进行HASH或者HMAC处理,最后与系统预先存储口令HASH加盐处理的HASH值进行比对,如果一致则认证通过,否则认证失败。
网络身份认证作为网络信息安全的第一道防线,具有十分重要的意义。口令认证技术是解决网络安全的核心技术。然而,当前常规方案所采用的三种服务端口令存储技术存在以下缺点:
第一类服务端直接口令明文存储,这一类方案基本无安全可言,用户口令完全暴露在数据库,一旦被拖库后果不堪设想;
第二类服务端口令HASH存储,这一类如果口令不是特别复杂的话基本使用查字典法或彩虹表破解法都能轻松破解口令,因此一旦数据库被拖库口令基本也能破解;
第三类服务端口令HASH加盐存储,这一类虽然在一定意义上可削弱查字典法或彩虹表破解法的破解效率,但由于计算HASH值的耗时在微秒级别,虽然一定意义上能降低数据库被拖库后被破解的风险,但如果用户设置的口令不是太复杂的话,攻击者还是可以通过优化构建的彩虹表破解法破解;
此外,以上三类实现方案口令均需直接明文或加密传输给服务端,但口令总会明文暴露于服务端,加之中间传输不安全以及服务端口令管理不规范等原因都将可能导致用户口令泄露。
产品安全架构中,除需解决客户端与服务端身份认证外,产品往往期望同时能解决客户端与服务端的会话密钥协商机制,甚至在缺少硬件TPM芯片条件下客户端密钥存储问题。
发明内容
为解决现有技术的不足,本发明提供了一种基于口令双向认证的客户端密钥安全存储方法,安全性高。
本发明采用如下的技术方案:
一种基于口令双向认证的客户端密钥安全存储方法,包括:客户端与服务端的双向认证方法;
客户端与服务端的双向认证方向包括以下步骤:
(1)客户端随机产生client-nonce,然后随同username一起发送认证请求给服务端;
(2)服务端收到请求后,先临时存储username以及client-nonce,并从数据库中查询username对应的salt和iteration-count,同时随机产生server-nonce并临时存储于本地,然后向客户端发送server-nonce以及username对应的salt和iteration-count;
(3)客户端收到报文后,首先根据客户输入的password以及salt、iteration-count,计算客户端认证凭据ClientProof=Key⊕FUN(H(Key),username,server-nonce);客户端向服务端发送客户端认证凭据ClientProof;其中:Key=Hi(password,salt,iteration-count);
作为一种具体的方式,ClientProof=Key⊕HMAC(H(Key),username|server-nonce),Key=PBKDF2(password,salt,iteration-count);
(4)服务端收到报文后,查询username注册时数据库中对应存储的H(Key),根据username及server-nonce,计算Key1=ClientProof⊕FUN(H(Key),username,server-nonce),并比较H(Key1)与存储的H(Key)是否一致,若是则对客户端认证通过,若否则对客户端认证失败;
作为一种具体的方式,Key1=ClientProof⊕HMAC(H(Key),username|server-nonce);
如对客户端认证通过,服务端根据前面报文收到的username及client-nonce计算ServerProof=FUN(Key1,username,client-nonce),向客户端发送服务端认证凭据ServerProof,并计算会话密钥:SessionKey=FUN(Key1,username,server-nonce,client-nonce);
作为一种具体的方式,SessionKey=HMAC(Key1,username|server-nonce|client-nonce);
ServerProof=HMAC(Key1,username|client-nonce)。
(5)客户端收到报文后,计算ServerProof1=FUN(Key,username,client-nonce),并比较ServerProof1与ServerProof是否一致,若是则对服务器认证通过,否则对服务端认证失败;
如对服务器认证通过,
计算会话密钥:SessionKey=FUN(Key,username,server-nonce,client-nonce),并向服务端反馈认证消息;
作为一种具体的方式,SessionKey=HMAC(Key,username|server-nonce|client-nonce);
ServerProof1=HMAC(Key,username|client-nonce);
(6)服务端收到认证报文,确认是否通过客户端认证。
进一步地,客户端与服务端协商确认的会话密钥可以用于传输密钥。
进一步地,基于口令双向认证的客户端密钥安全存储方法还包括:客户端密钥加密存储方法;
客户端密钥加密存储方法包括以下步骤;
(1)客户端向服务器发送username并申请存储密钥;
(2)服务端接收到申请存储密钥报文后,从数据库查询username对应的KEK-Salt,然后向客户端发送KEK-Salt;
(3)客户端收到报文后,首先计算KEK=FUN(password,KEK-Salt),随机产生用于数据加密的密钥DataKey,使用KEK加密DataKey得到密文EKEK(DataKey),最后将密文EKEK(DataKey)发送给服务端;作为一种具体的方式,KEK=HMAC(password,KEK-Salt);
(4)服务端收到报文后,直接将密文EKEK(DataKey)存储到对应的数据库中,以备使用。
进一步地,KEK-Salt在用户注册时由服务端随机产生。
进一步地,基于口令双向认证的客户端密钥安全存储方法,还包括:客户端密钥获取方法;
客户端密钥获取方法,包括以下步骤:
(1)客户端向服务端发送username并申请解密密钥;
(2)服务端收到报文申请后,从数据库中查询username对应的KEK-Salt以及对应的密文EKEK(DataKey),并一同发送给客户端;
(3)客户端收到报文后,首先计算KEK=FUN(password,KEK-Salt),然后使用KEK对密文EKEK(DataKey)解密得到DataKey,以备使用。
作为一种具体的方式,KEK=HMAC(password,KEK-Salt)。
进一步地,KEK和DataKey在使用结束后可直接删除不必保存。
进一步地,可通过password恢复KEK和DataKey。
本发明的有益之处在于提出了一种简洁高效的口令双向安全认证方法,具体体现在:认证凭据尽可能的减少关联参数;用户注册时,服务端仅需存储username、salt、iteration-count、H(Key)、KEK-Salt就能完成客户端与服务端之间的双向认证。
认证过程采用随机数server-nonce和client-nonce生成认证凭据,从而可防止重放攻击。因此,即便过程通信数据完全被第三方监听也无法仿冒客户端或服务端。
基于认证过程协商确立的会话密钥SessionKey每次也因使用随机数server-nonce和client-nonce而具有随机性。因此,当会话结束是该会话密钥生命周期也将结束。
客户端认证过程的核心计算采用性能可调控的Hi算法实现,可通过配置迭代次数调控认证计算量从而满足不同产品(如传统计算资源充足的产品或轻量级的物联网终端设备)计算性能需求,最终兼顾系统安全与性能。
提出了基于口令安全认证的客户端密钥安全存储机制,实现集口令双向安全认证和客户端密钥安全存储两大功能于一体的技术方法。此外,由于口令双向认证机制的实现过程未直接暴露用户口令,这种方式既保证了安全又兼顾了实用性。
基于口令派生的客户端密钥安全存储机制采用软件实现,从而解决很多端侧硬件缺少TPM芯片又需确保信息安全的场景,保证产品安全同时又节约系统资源和成本。
附图说明
图1是本发明的一种基于口令双向认证的客户端密钥安全存储方法的客户端与服务端的双向认证方法的流程图;
图2是本发明的一种基于口令双向认证的客户端密钥安全存储方法的客户端密钥加密存储方法的流程图;
图3是本发明的一种基于口令双向认证的客户端密钥安全存储方法的客户端密钥获取方法的流程图。
具体实施方式
以下结合附图和具体实施例对本发明作具体的介绍。
本文描述中,FUN(a,b,c,d)表示一个输出结果与输入参数a,b,c,d有关的抽象函数,其具体实现可以是密码学算法或者算法的组合,具体而言,可以选用HMAC、CMAC、HASH、AES等密码算法或密码算法组合。公式EKey(M)表示对明文M使用密钥Key进行加密后的密文,这里Key是对称算法的密钥;HMAC(Key,M)表示使用密钥Key对消息M的HMAC运算;⊕表示异或运算;|表示数据拼接运算。
本发明假定用户注册过程为每一位注册用户都在服务端数据库中存储了对应的username、salt、iteration-count、H(Key)、KEK-Salt几个参数。
其中:Key=Hi(password,salt,iteration-count)。Hi是一种基于口令且具有迭代功能的密钥派生算法,作为一种具体实现方式一般可采用PBKDF2算法。该算法一般具有迭代功能且核心计算为单向HASH函数。H(Key)表示对Key进行HASH函数处理,password可以是用户的口令或者硬件存储的密钥,iteration-count为迭代次数,salt以及KEK-Salt都为盐值,但功能不一样。以下描述的安全机制均假定用户已经完成了注册,并选定Hi为PBKDF2算法,FUN采用HMAC算法。
相关技术术语的名词解释:
TPM Trusted Platform Model可信平台模块;
KEK Key-Enciphered Key密钥加密密钥;
HMAC Hash-based Message Authentication Code哈希消息认证码;
CMAC Cipher-based Message Authentication Code加密消息认证码。
一种基于口令双向认证的客户端密钥安全存储方法,包括:客户端与服务端的双向认证方法、客户端密钥加密存储方法和客户端密钥获取方法。
图1示出了一种客户端与服务端的双向认证方法。
客户端与服务端的双向认证方向包括以下步骤:
1、客户端随机产生client-nonce,然后随同username一起发送认证请求给服务端。
2、服务端收到请求后,先临时存储username以及client-nonce,并从数据库中查询username对应的salt和iteration-count,同时随机产生server-nonce并临时存储于本地,然后向客户端发送server-nonce以及username对应的salt和iteration-count。
3、客户端收到报文后,首先根据客户输入的password以及salt、iteration-count,计算客户端认证凭据ClientProof,并向服务端发送客户端认证凭据ClientProof;作为一种具体的方式:
ClientProof=Key⊕HMAC(H(Key),username|server-nonce);
Key=PBKDF2(password,salt,iteration-count)。
4、服务端收到报文后,查询username注册时数据库中对应存储的H(Key),根据username及server-nonce,计算Key1,并比较H(Key1)与存储的H(Key)是否一致,若是则对客户端认证通过,若否则对客户端认证失败;
如对客户端认证通过,服务端根据前面报文收到的username及client-nonce计算服务端认证凭据ServerProof,并向客户端发送服务端认证凭据ServerProof,之后计算会话密钥SessionKey,待使用。作为一种具体的方式:
Key1=ClientProof⊕HMAC(H(Key),username|server-nonce);
ServerProof=HMAC(Key1,username|client-nonce);
SessionKey=HMAC(Key1,username|server-nonce|client-nonce)。
5、客户端收到报文后,计算ServerProof1,并比较ServerProof1与ServerProof是否一致,若是则对服务器认证通过,若否则对服务端认证失败;如对服务器认证通过,计算会话密钥SessionKey,并向服务端反馈认证消息。作为一种具体的方式:
ServerProof1=HMAC(Key,username|client-nonce);
SessionKey=HMAC(Key,username|server-nonce|client-nonce)。
服务器收到认证报文,确认是否通过客户端认证。
客户端与服务端协商确认的会话密钥SessionKey可以用于客户端与服务端之间加密数据传输,以及传输密钥等信息。
如图2示出了一种客户端密钥加密存储方法。
客户端密钥加密存储方法包括以下步骤;
1、客户端向服务器发送用户名username并申请存储密钥。
2、服务端接收到申请存储密钥报文后,从数据库查询username对应的KEK-Salt,然后向客户端发送KEK-Salt。KEK-Salt,该盐值在用户注册时由服务端随机产生。
3、客户端收到报文后,首先计算KEK=HMAC(password,KEK-Salt),随机产生用于数据加密的对称密钥DataKey,使用KEK加密DataKey得到密文EKEK(DataKey),最后将密文EKEK(DataKey)发送给服务端。
4、服务端收到报文后,直接将密文EKEK(DataKey)存储到对应的数据库中,以备使用。
图3示出了一种客户端密钥获取方法。
客户端密钥获取方法,包括以下步骤:
1、客户端向服务端发送username并申请解密密钥;
2、服务端收到报文申请后,从数据库中查询username对应的KEK-Salt以及对应的密文EKEK(DataKey),并一同发送给客户端。
3、客户端收到报文后,首先计算KEK=HMAC(password,KEK-Salt),然后使用KEK对密文EKEK(DataKey)解密得到DataKey,以备使用。
KEK和DataKey在使用结束后可直接删除不必保存,需要时可通过password恢复KEK和DataKey,以确保系统安全。
本发明实现了一个基于口令的双向安全认证机制,该机制提出了简洁的认证凭据构造方法,包括客户端认证凭据ClientProof及服务端认证凭据ServerProof。具体形式为:ClientProof=Key⊕FUN(H(Key),username,server-nonce),ServerProof=FUN(Key1,username,client-nonce)。一方面,密钥Key由password通过Hi算法派生所得,而客户端认证凭据ClientProof又依赖于Key,因此只有掌握了password的客户端才能生成合法的客户端认证凭据ClientProof;另一方面,只有合法并拥有H(Key)的服务端在成功完成对客户端认证凭据ClientProof验证通过后,才能确保Key=Key1,从而生成正确的服务端认证凭据ServerProof。
基于认证过程中的中间核心密钥Key,协商出客户端与服务端的会话密钥SessionKey,具体形式采用SessionKey=FUN(Key,username,server-nonce,client-nonce)的协商机制,其中Key只有当认证成功时才能临时存在,不需使用时可以删除。
通过结合口令双向认证机制提供基于口令派生KEK(密钥加密密钥)的客户端密钥安全存储机制,其过程为首先基于口令选定派生算法得到密钥加密密钥KEK=FUN(password,KEK-Salt)。然后基于KEK加密DataKey得到密文EKEK(DataKey),并发送服务端存储。
本发明基于用户口令,同时实现了双向安全认证及客户端密钥安全存储两大安全机制。该机制假定当双向安全认证通过后,客户端密钥安全存储机制才发生作用来确保密系统安全。
以上显示和描述了本发明的基本原理、主要特征和优点。本行业的技术人员应该了解,上述实施例不以任何形式限制本发明,凡采用等同替换或等效变换的方式(包括采用任何构造本发明中所定义的抽象函数FUN、Hi的方式)所获得的技术方案,均落在本发明的保护范围内。

Claims (7)

1.一种基于口令双向认证的客户端密钥安全存储方法,其特征在于,包括:客户端与服务端的双向认证方法;
客户端与服务端的双向认证方向包括以下步骤:
(1)客户端随机产生client-nonce,然后随同username一起发送认证请求给服务端;
(2)服务端收到请求后,先临时存储username以及client-nonce,并从数据库中查询username对应的salt和iteration-count,同时随机产生server-nonce并临时存储于本地,然后向客户端发送server-nonce以及username对应的salt和iteration-count;
(3)客户端收到报文后,首先根据客户输入的password以及salt、iteration-count,计算客户端认证凭据ClientProof=Key⊕FUN(H(Key),username,server-nonce);客户端向服务端发送客户端认证凭据ClientProof,其中:Key=Hi(password,salt,iteration-count);
(4)服务端收到报文后,查询username注册时数据库中对应存储的H(Key),根据username及server-nonce,计算Key1=ClientProof⊕FUN(H(Key),username,server-nonce),并比较H(Key1)与存储的H(Key)是否一致,若是则对客户端认证通过,若否则对客户端认证失败;
如对客户端认证通过,服务端根据前面报文收到的username及client-nonce计算ServerProof=FUN(Key1,username,client-nonce),向客户端发送服务端认证凭据ServerProof,
并计算会话密钥:SessionKey=FUN(Key1,username,server-nonce,client-nonce);
(5)客户端收到报文后,计算ServerProof1=FUN(Key,username,client-nonce),并比较ServerProof1与ServerProof是否一致,若是则对服务器认证通过,否则对服务端认证失败;
如对服务器认证通过,
计算会话密钥:SessionKey=FUN(Key,username,server-nonce,client-nonce),并向服务端反馈认证消息;
(6)服务端收到认证报文,确认是否通过客户端认证;
其中,FUN()表示一个输出结果与输入参数有关的抽象函数,其具体实现可以是密码学算法或者算法的组合;
H()表示对输入参数进行HASH函数处理;
Hi()是一种基于口令且具有迭代功能的密钥派生算法。
2.根据权利要求1所述的基于口令双向认证的客户端密钥安全存储方法,其特征在于,
客户端与服务端协商确认的会话密钥可以用于客户端与服务端之间加密数据传输。
3.根据权利要求1所述的基于口令双向认证的客户端密钥安全存储方法,其特征在于,
客户端与服务端协商确认的会话密钥可以用于传输密钥。
4.根据权利要求1所述的基于口令双向认证的客户端密钥安全存储方法,其特征在于,
基于口令双向认证的客户端密钥安全存储方法还包括:客户端密钥加密存储方法;
客户端密钥加密存储方法包括以下步骤;
(1)客户端向服务器发送username并申请存储密钥;
(2)服务端接收到申请存储密钥报文后,从数据库查询username对应的KEK-Salt,然后向客户端发送KEK-Salt;
(3)客户端收到报文后,首先计算KEK=FUN(password,KEK-Salt),随机产生用于数据加密的密钥DataKey,使用KEK加密DataKey得到密文EKEK(DataKey),最后将密文EKEK(DataKey)发送给服务端;
(4)服务端收到报文后,直接将密文EKEK(DataKey)存储到对应的数据库中,以备使用;
其中,KEK是密钥加密密钥。
5.根据权利要求4所述的基于口令双向认证的客户端密钥安全存储方法,其特征在于,
KEK-Salt在用户注册时由服务端随机产生。
6.根据权利要求1所述的基于口令双向认证的客户端密钥安全存储方法,其特征在于,
基于口令双向认证的客户端密钥安全存储方法,还包括:客户端密钥获取方法;
客户端密钥获取方法,包括以下步骤:
(1)客户端向服务端发送username并申请解密密钥;
(2)服务端收到报文申请后,从数据库中查询username对应的KEK-Salt以及对应的密文EKEK(DataKey),并一同发送给客户端;
(3)客户端收到报文后,首先计算KEK=FUN(password,KEK-Salt),然后使用KEK对密文EKEK(DataKey)解密得到DataKey,以备使用,
其中,KEK是密钥加密密钥。
7.根据权利要求4或6所述的基于口令双向认证的客户端密钥安全存储方法,其特征在于,
KEK和DataKey在使用结束后可直接删除不必保存,可通过password恢复KEK和DataKey。
CN201910904741.5A 2019-09-24 2019-09-24 基于口令双向认证的客户端密钥安全存储方法 Active CN110519300B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910904741.5A CN110519300B (zh) 2019-09-24 2019-09-24 基于口令双向认证的客户端密钥安全存储方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910904741.5A CN110519300B (zh) 2019-09-24 2019-09-24 基于口令双向认证的客户端密钥安全存储方法

Publications (2)

Publication Number Publication Date
CN110519300A CN110519300A (zh) 2019-11-29
CN110519300B true CN110519300B (zh) 2021-08-06

Family

ID=68632013

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910904741.5A Active CN110519300B (zh) 2019-09-24 2019-09-24 基于口令双向认证的客户端密钥安全存储方法

Country Status (1)

Country Link
CN (1) CN110519300B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111629012B (zh) * 2020-07-28 2020-10-30 杭州海康威视数字技术股份有限公司 通信方法、装置及门禁系统、设备、存储介质
CN114726558A (zh) * 2020-12-21 2022-07-08 航天信息股份有限公司 认证方法、装置、电子设备和存储介质
CN113517981B (zh) * 2021-04-28 2023-05-23 河南中烟工业有限责任公司 一种密钥管理方法、代码版本的管理方法及装置
CN113556321A (zh) * 2021-06-22 2021-10-26 杭州安恒信息技术股份有限公司 口令认证方法、系统、电子装置和存储介质
CN113468499B (zh) * 2021-07-06 2023-03-17 北京景安云信科技有限公司 一种使用代理实现在Mongo协议认证方式过程中替换认证信息的方法
CN113783867B (zh) * 2021-09-07 2023-07-25 福建天泉教育科技有限公司 一种请求认证方法及终端
CN114666118A (zh) * 2022-03-17 2022-06-24 深圳市同为数码科技股份有限公司 基于gdpr规范的双向认证的方法、装置、设备及介质
CN115955307B (zh) * 2023-03-10 2023-05-23 江西曼荼罗软件有限公司 用户密码加盐保护方法、装置、可读存储介质及电子设备

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1069726A3 (en) * 1999-07-13 2004-04-07 Lucent Technologies Inc. Secure mutual network authentication protocol
CN101431415A (zh) * 2008-12-12 2009-05-13 天柏宽带网络科技(北京)有限公司 一种双向认证的方法
CN103905437A (zh) * 2014-03-22 2014-07-02 哈尔滨工程大学 一种基于口令的远程认证协议方法
CN103914666A (zh) * 2013-09-17 2014-07-09 亚欧宝龙信息安全技术(湖南)有限公司 一种基于分区的文件加解密方法和装置
CN105119716A (zh) * 2015-07-15 2015-12-02 中国科学院信息工程研究所 一种基于sd卡的密钥协商方法
US9628273B2 (en) * 2014-04-30 2017-04-18 Thamir Alshammari Cryptographic method and system for secure authentication and key exchange
CN108234129A (zh) * 2017-09-12 2018-06-29 北京电子科技学院 一种基于格密码的双向认证密钥协商方法与系统
CN108650210A (zh) * 2018-03-14 2018-10-12 深圳市中易通安全芯科技有限公司 一种认证系统和方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7076656B2 (en) * 2001-04-05 2006-07-11 Lucent Technologies Inc. Methods and apparatus for providing efficient password-authenticated key exchange
CN103781026B (zh) * 2012-10-19 2017-05-31 中国移动通信集团公司 通用认证机制的认证方法
CN106571913A (zh) * 2016-10-31 2017-04-19 全球能源互联网研究院 一种面向电力无线专网的两方认证密钥协商方法
CN107592197A (zh) * 2017-05-09 2018-01-16 哈尔滨工业大学深圳研究生院 无需智能卡的三方口令认证与密钥协商协议

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1069726A3 (en) * 1999-07-13 2004-04-07 Lucent Technologies Inc. Secure mutual network authentication protocol
CN101431415A (zh) * 2008-12-12 2009-05-13 天柏宽带网络科技(北京)有限公司 一种双向认证的方法
CN103914666A (zh) * 2013-09-17 2014-07-09 亚欧宝龙信息安全技术(湖南)有限公司 一种基于分区的文件加解密方法和装置
CN103905437A (zh) * 2014-03-22 2014-07-02 哈尔滨工程大学 一种基于口令的远程认证协议方法
US9628273B2 (en) * 2014-04-30 2017-04-18 Thamir Alshammari Cryptographic method and system for secure authentication and key exchange
CN105119716A (zh) * 2015-07-15 2015-12-02 中国科学院信息工程研究所 一种基于sd卡的密钥协商方法
CN108234129A (zh) * 2017-09-12 2018-06-29 北京电子科技学院 一种基于格密码的双向认证密钥协商方法与系统
CN108650210A (zh) * 2018-03-14 2018-10-12 深圳市中易通安全芯科技有限公司 一种认证系统和方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
《A Modified PBKDF2-based MAC scheme XKDF》;Xiurong Chen etal;《IEEE》;20151231;全文 *
《基于现场可编程门阵列的Linux统一加密设置认证算法的流水线架构》;杨文勇 等;《厦门大学学报(自然科学版)》;20180731;全文 *

Also Published As

Publication number Publication date
CN110519300A (zh) 2019-11-29

Similar Documents

Publication Publication Date Title
CN110519300B (zh) 基于口令双向认证的客户端密钥安全存储方法
US9942048B2 (en) Method for distributed trust authentication
CN108599925B (zh) 一种基于量子通信网络的改进型aka身份认证系统和方法
US6064736A (en) Systems, methods and computer program products that use an encrypted session for additional password verification
US5418854A (en) Method and apparatus for protecting the confidentiality of passwords in a distributed data processing system
US6826686B1 (en) Method and apparatus for secure password transmission and password changes
US8059818B2 (en) Accessing protected data on network storage from multiple devices
US20170142082A1 (en) System and method for secure deposit and recovery of secret data
US9491174B2 (en) System and method for authenticating a user
CN108650210A (zh) 一种认证系统和方法
Pritikin et al. Enrollment over secure transport
US11044082B2 (en) Authenticating secure channel establishment messages based on shared-secret
US11263298B2 (en) Persistent authentication system incorporating one time pass codes
CN108599926B (zh) 一种基于对称密钥池的HTTP-Digest改进型AKA身份认证系统和方法
WO2006091396A2 (en) Payload layer security for file transfer
CN102651739A (zh) 登录验证方法、系统及im服务器
JP4783340B2 (ja) 移動ネットワーク環境におけるデータトラフィックの保護方法
Tschofenig et al. The extensible authentication protocol-Internet key exchange protocol version 2 (EAP-IKEv2) method
CN113411187A (zh) 身份认证方法和系统、存储介质及处理器
US20240113885A1 (en) Hub-based token generation and endpoint selection for secure channel establishment
CN113596004B (zh) 多方安全计算中的身份认证方法和装置
Toorani Cryptanalysis of a new protocol of wide use for email with perfect forward secrecy
CN110855444A (zh) 一种基于可信第三方的纯软件cava身份认证方法
KR102577882B1 (ko) 쌍토큰을 이용한 tls 세션 복구 방법
CN117714185A (zh) 一种基于国密算法的银行柜面数据处理方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: A Secure Client Key Storage Method Based on Password Mutual Authentication

Effective date of registration: 20221121

Granted publication date: 20210806

Pledgee: Zhejiang Fuyang Rural Commercial Bank Co.,Ltd. Jinqiao sub branch

Pledgor: HANGZHOU BYTE INFORMATION TECHNOLOGY Co.,Ltd.

Registration number: Y2022980022579

PE01 Entry into force of the registration of the contract for pledge of patent right