CN110958209B - 基于共享密钥的双向认证方法及系统、终端 - Google Patents
基于共享密钥的双向认证方法及系统、终端 Download PDFInfo
- Publication number
- CN110958209B CN110958209B CN201811127941.6A CN201811127941A CN110958209B CN 110958209 B CN110958209 B CN 110958209B CN 201811127941 A CN201811127941 A CN 201811127941A CN 110958209 B CN110958209 B CN 110958209B
- Authority
- CN
- China
- Prior art keywords
- terminal
- random number
- shared key
- key index
- algorithm suite
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种基于共享密钥的双向认证方法及系统、终端,第一终端发送认证请求至第二终端,第二终端发送认证请求响应至第一终端,第一终端生成第二随机数,发送包括根据所选择的算法套件和第一共享密钥索引对第一随机数和第二随机数进行加密的第一加密结果和第一共享密钥索引的验证请求至第二终端;第二终端发送包括第二加密结果和第二共享密钥索引的验证请求响应至第一终端,并对第一加密结果进行解密,若解密结果与第一随机数一致,则认证第一终端为合法用户;第一终端对第二加密结果进行解密,若解密结果与第二随机数一致,则认证第二终端为合法用户。本发明的基于共享密钥的双向认证方法及系统、终端实现用户间的双向认证,安全性高。
Description
技术领域
本发明涉及网络认证的技术领域,特别是涉及一种基于共享密钥的双向认证方法及系统、终端。
背景技术
现有技术中,在网络服务接入时最广泛使用的认证方式是基于公开密钥加密算法的身份验证。通信双方分别持有一对公钥和私钥,其中一方采用私钥对特定数据进行加密,而对方采用公开密钥对数据进行解密;如果解密成功,则认为用户是合法用户,如SSL、数字签名等。
在实践中,用户通常拥有一份电子证书文件,此文件包含了公钥信息、用户主体以及数字证书认证机构对这份文件的数字签名。而其他用户通过核实证书内容,包括证书有否过期、数字签名是否有效、颁发机构是否可信等来判断证书是否可信。如果证书可信,则凭公钥与该证书用户进行可靠的通信。
然而,现有的用户认证方式具有以下不足:
(1)基于公钥的认证方式依赖于公钥的基础建设,如数字证书认证机构,导致配置复杂,要求较高;
(2)相较于对称密钥算法,现有的公钥算法的运算速度较慢。
发明内容
鉴于以上所述现有技术的缺点,本发明的目的在于提供一种基于共享密钥的双向认证方法及系统、终端,通过共享密钥来实现用户之间的双向认证,架构简单,安全性高。
为实现上述目的及其他相关目的,本发明提供一种基于共享密钥的双向认证方法,应用于第一终端,所述第一终端和第二终端配置有共享密钥,所述双向认证方法包括以下步骤:发送认证请求至第二终端,所述认证请求中包含所述第一终端所支持的至少一个算法套件;接收所述第二终端发送来的认证请求响应,所述认证请求响应包括第一随机数、所选择的算法套件和第一共享密钥索引;生成第二随机数,发送验证请求至所述第二终端,所述验证请求包括根据所述所选择的算法套件和所述第一共享密钥索引对所述第一随机数和所述第二随机数进行加密的第一加密结果和第一共享密钥索引;接收所述第二终端发送来的验证请求响应,所述验证请求响应包括第二加密结果和第二共享密钥索引;并基于所述所选择的算法套件和所述第二共享密钥索引对所述第二加密结果进行解密,若解密得到的第二随机数与本地记录的所述第二随机数一致,则认证所述第二终端为合法用户。
于本发明一实施例中,所述算法套件包括散列算法和加密算法。
于本发明一实施例中,根据所述所选择的算法套件和所述第一共享密钥索引对所述第一随机数和所述第二随机数进行加密时,将与所述第一共享密钥索引对应的第一共享密钥和所述第一随机数进行哈希计算,将所述哈希计算结果作为加密密钥对所述第一随机数和所述第二随机数进行加密;或者采用与所述第一共享密钥索引对应的第一共享密钥对所述第一随机数和所述第二随机数进行加密。
于本发明一实施例中,所述验证请求响应还包括时间戳信息和/或消息摘要,以根据所述时间戳信息避免重放攻击,根据所述消息摘要验证所述验证请求响应的完整性。
对应地,本发明提供一种基于共享密钥的双向认证系统,应用于第一终端,所述第一终端和第二终端配置有共享密钥,所述双向认证系统包括发送模块、接收模块、生成发送模块和接收认证模块;
所述发送模块用于发送认证请求至第二终端,所述认证请求中包含所述第一终端所支持的至少一个算法套件;
所述接收模块用于接收所述第二终端发送来的认证请求响应,所述认证请求响应包括第一随机数、所选择的算法套件和第一共享密钥索引;
所述生成发送模块用于生成第二随机数,发送验证请求至所述第二终端,所述验证请求包括根据所述所选择的算法套件和所述第一共享密钥索引对所述第一随机数和所述第二随机数进行加密的第一加密结果和第一共享密钥索引;
所述接收认证模块用于接收所述第二终端发送来的验证请求响应,所述验证请求响应包括第二加密结果和第二共享密钥索引;并基于所述所选择的算法套件和所述第二共享密钥索引对所述第二加密结果进行解密,若解密得到的第二随机数与本地记录的所述第二随机数一致,则认证所述第二终端为合法用户。
本发明提供一种第一终端,包括:处理器及存储器;
所述存储器用于存储计算机程序;
所述处理器用于执行所述存储器存储的计算机程序,以使所述第一终端执行上述的基于共享密钥的双向认证方法。
本发明提供一种基于共享密钥的双向认证方法,应用于第二终端,第一终端和所述第二终端配置有共享密钥,所述双向认证方法包括以下步骤:
接收所述第一终端发送来的认证请求,并在所述认证请求中包含的所述第一终端所支持的至少一个算法套件中选择一个算法套件作为所选择的算法套件;
生成第一随机数,发送认证请求响应至所述第一终端;所述认证请求响应包括第一随机数、所选择的算法套件和第一共享密钥索引;
接收所述第一终端发送来的验证请求,所述验证请求包括根据所述所选择的算法套件和所述第一共享密钥索引对所述第一随机数和第二随机数进行加密的第一加密结果和第一共享密钥索引;
基于所述所选择的算法套件和所述第一共享密钥索引对所述第一加密结果进行解密,若解密得到的第一随机数与本地记录的所述第一随机数一致,则认证所述第一终端为合法用户;并基于所述所选择的算法套件和第二共享密钥索引对解密得到的第二随机数进行加密得到第二加密结果,将包括所述第二加密结果和所述第二共享密钥索引的验证请求响应发送至所述第一终端。
于本发明一实施例中,所述算法套件包括散列算法和加密算法。
于本发明一实施例中,所述验证请求还包括时间戳信息和/或消息摘要,以根据所述时间戳信息避免重放攻击,根据所述消息摘要验证所述验证请求的完整性。
于本发明一实施例中,所述验证请求响应还包括基于所述所选择的算法套件和所述第二共享密钥索引加密后的随机会话密钥,所述随机会话密钥用作所述第一终端和所述第二终端的通信密钥。
对应地,本发明提供一种基于共享密钥的双向认证系统,应用于第二终端,第一终端和所述第二终端配置有共享密钥,所述双向认证系统包括第一接收模块、生成发送模块、第二接收模块和发送认证模块;
所述第一接收模块用于接收所述第一终端发送来的认证请求,并在所述认证请求中包含的所述第一终端所支持的至少一个算法套件中选择一个算法套件作为所选择的算法套件;
所述生成发送模块用于生成第一随机数,发送认证请求响应至所述第一终端;所述认证请求响应包括第一随机数、所选择的算法套件和第一共享密钥索引;
所述第二接收模块用于接收所述第一终端发送来的验证请求,所述验证请求包括根据所述所选择的算法套件和所述第一共享密钥索引对所述第一随机数和第二随机数进行加密的第一加密结果和第一共享密钥索引;
所述发送认证模块用于基于所述所选择的算法套件和所述第一共享密钥索引对所述第一加密结果进行解密,若解密得到的第一随机数与本地记录的所述第一随机数一致,则认证所述第一终端为合法用户;并基于所述所选择的算法套件和第二共享密钥索引对解密得到的第二随机数进行加密得到第二加密结果,将包括所述第二加密结果和所述第二共享密钥索引的验证请求响应发送至所述第一终端。
本发明提供一种第二终端,包括:处理器及存储器;
所述存储器用于存储计算机程序;
所述处理器用于执行所述存储器存储的计算机程序,以使所述第二终端执行上述的基于共享密钥的双向认证方法。
最后,本发明提供一种基于共享密钥的双向认证系统,包括上述的第一终端和上述的第二终端。
于本发明一实施例中,所述第一终端为客户端;所述第二终端为服务器。
于本发明一实施例中,所述第一终端和所述第二终端的共享密钥通过手动配置或量子密钥分发的方式配置。
如上所述,本发明的基于共享密钥的双向认证方法及系统、终端,具有以下有益效果:
(1)通过共享密钥来实现用户之间的双向认证,安全性高;
(2)基于共享密钥的认证方式不需要第三方的参与,配置更为简单;
(3)随着量子密钥分发技术的出现,共享密钥的分发更新的安全性进一步提升,尤其适用于通信双方物理距离接近或利于手工配置密钥的场景;
(4)本发明所提供的技术方案支持算法套件的灵活协商,可配置性强;可以在两个终端间方便地进行实施,适用性广;
(5)共享密钥索引可只由一个终端生成,兼容认证中心、认证服务器等实际应用场景;
(6)认证过程中所使用的随机数由两个终端分别生成,可以有效抵御重放攻击,同时还可以避免单个终端随机数资源的过多消耗。
附图说明
图1显示为本发明的基于共享密钥的双向认证方法于一实施例中的流程图;
图2显示为本发明的基于共享密钥的双向认证系统于一实施例中的结构示意图;
图3显示为本发明的第一终端于一实施例中的结构示意图;
图4显示为本发明的基于共享密钥的双向认证方法于另一实施例中的流程图;
图5显示为本发明的基于共享密钥的双向认证系统于另一实施例中的结构示意图;
图6显示为本发明的第二终端于一实施例中的结构示意图;
图7显示为本发明的基于共享密钥的双向认证系统于又一实施例中的结构示意图;
图8显示为本发明的基于共享密钥的双向认证系统的认证时序流程图。
元件标号说明
21 发送模块
22 接收模块
23 生成发送模块
24 接收认证模块
31 处理器
32 存储器
51 第一接收模块
52 生成发送模块
53 第二接收模块
54 发送认证模块
61 处理器
62 存储器
71 第一终端
72 第二终端
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。
需要说明的是,以下实施例中所提供的图示仅以示意方式说明本发明的基本构想,遂图示中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
本发明的基于共享密钥的双向认证方法及系统、终端通过共享密钥来实现第一终端和第二终端之间的双向认证,无需第三方的参与,且架构简单,安全性高。
如图1所示,于一实施例中,本发明的基于共享密钥的双向认证方法应用于第一终端,所述第一终端和第二终端配置有共享密钥,所述双向认证方法包括以下步骤:
步骤S11、发送认证请求至第二终端,所述认证请求中包含所述第一终端所支持的至少一个算法套件。
具体地,第一终端支持有至少一个算法套件,并将包含有所支持的至少一个算法套件的认证请求发送至第二终端。其中,认证请求中还包括有第一终端的用户标识,以便于第二终端根据用户标识获取第一终端和第二终端的共享密钥。所述共享密钥由系统预先手动配置或由量子密钥分发配置。
于一实施例中,认证请求的字段如表1所示。
表1、认证请求的字段
步骤S12、接收所述第二终端发送来的认证请求响应,所述认证请求响应包括第一随机数、所选择的算法套件和第一共享密钥索引。
具体地,第二终端接收到第一终端的认证请求后,从第一终端所支持的至少一个算法套件中选择一个算法套件作为所选择的算法套件,以便后续使用所选择的算法套件进行第一终端和第二终端之间的通信。算法套件的灵活协商,使得第一终端和第二终端的可配置性更强;可以在两个终端间方便地实施本发明所提供的技术方案,方案的适用性更广。
同时,第二终端生成第一随机数Ra,并在本地记录以便于后续校验使用。为防止重放攻击,优选地,所述第一随机数Ra为8字节大小。
同时,第二终端通过第一终端的用户标识获取双方的共享密钥,以便于后续根据加密算法使用共享密钥进行加密。在本发明中,第一终端和第二终端的每次加密均动态使用共享密钥的一部分内容作为密钥,使用哪一部分密钥由第二终端依据一定的策略决定,例如使用一个依次定增的位置索引或者完全随机的索引来确定所采用的密钥。在本发明中,第二终端采用索引Ka为第一共享密钥索引,以指引第一终端按照索引进行加密。
因此,第二终端将包含有第一随机数、所选择的算法套件和第一共享密钥索引的认证请求响应发送至第一终端。
于一实施例中,所述认证请求响应的字段如表2所示。
表2、认证请求响应的字段
优选地,当所述第二终端发送来的第一共享密钥索引Ka为-1时,表示不指定第一共享密钥索引Ka。此时,由第一终端自行确定第一共享密钥索引Ka。
步骤S13、生成第二随机数,发送验证请求至所述第二终端,所述验证请求包括根据所述所选择的算法套件和所述第一共享密钥索引对所述第一随机数和所述第二随机数进行加密的第一加密结果和第一共享密钥索引。
具体地,第一终端在接收到认证请求响应之后,生成第二随机数Rb,并在本地记录以便于后续校验使用;再根据第一共享密钥索引Ka和所选择的算法套件对第一随机数Ra和第二随机数Rb进行加密。
优选地,对第一随机数Ra和第二随机数Rb的加密可以依据一定的策略。于本发明一实施例中,根据所述所选择的算法套件和所述第一共享密钥索引对所述第一随机数和所述第二随机数进行加密时,可以将与所述第一共享密钥索引对应的第一共享密钥和所述第一随机数进行哈希计算,将所述哈希计算结果作为加密密钥对所述第一随机数和所述第二随机数进行加密;也可以采用与所述第一共享密钥索引对应的第一共享密钥对所述第一随机数和所述第二随机数进行加密。
最后,第一终端将包含有所述第一加密结果和第一共享密钥索引Ka的验证请求发送至第二终端。
于本发明一实施例中,所述验证请求还包括时间戳信息和/或消息摘要,即所述验证请求包括根据所述所选择的算法套件和所述第一共享密钥索引对所述第一随机数、所述第二随机数、时间戳信息和/或消息摘要进行加密的第一加密结果和第一共享密钥索引,以使所述第二终端根据所述时间戳信息避免重放攻击,根据所述消息摘要验证所述验证请求的完整性。
于一实施例中,所述验证请求的字段如表3所示。
表3、验证请求的字段
需要说明的是,默认第二终端知晓该验证请求来自第一终端,否则所述验证请求中还需加上第一终端的用户标识。此外,认证过程中所使用的随机数采取由两个终端轮询生成的机制,可以有效抵御重放攻击;特别地,随机数可以是量子密钥,即可以由量子随机数发生器或量子密钥分发生成,从而具有真随机性、高安全性等特点,因此种随机数资源宝贵,故由两个终端分别生成随机数的方式还可以避免单个终端随机数资源的过多消耗。
步骤S14、接收所述第二终端发送来的验证请求响应,所述验证请求响应包括第二加密结果和第二共享密钥索引;并基于所述所选择的算法套件和所述第二共享密钥索引对所述第二加密结果进行解密,若解密得到的第二随机数与本地记录的所述第二随机数一致,则认证所述第二终端为合法用户。
具体地,第二终端接收到验证请求后,基于所选择的算法套件和第一共享密钥索引Ka对第一加密结果进行解密,若解密得到的第一随机数与本地记录的所述第一随机数Ra一致,则认证所述第一终端为合法用户。
同时,第二终端再基于所选择的算法套件和第二共享密钥索引Kb对解密得到的第二随机数进行加密得到第二加密结果,并将包含有所述第二加密结果和第二共享密钥索引Kb的验证请求响应发送至第一终端。
第一终端基于所选择的算法套件和第二共享密钥索引Kb对所述第二加密结果进行解密,若解密得到的第二随机数与本地记录的所述第二随机数Rb一致,则认证所述第二终端为合法用户。
其中,所述第二共享密钥索引Kb由第二终端根据一定的策略或算法生成。本发明中,第一共享密钥索引Ka和第二共享密钥索引Kb可以都由第二终端生成,这与实际应用场景具有较好的兼容性,例如当第二终端作为认证中心或认证服务器而存在时,通常具有较高的控制权和可信度。
于本发明一实施例中,所述验证请求响应还包括时间戳信息和/或消息摘要,即所述验证请求响应包括根据所述所选择的算法套件和所述第二共享密钥索引对解密得到的第二随机数、时间戳信息和/或消息摘要进行加密的第二加密结果和第二共享密钥索引,以使所述第一终端根据所述时间戳信息避免重放攻击,根据所述消息摘要验证所述验证请求响应的完整性。需要说明的是,第一终端和第二终端之间的共享密钥只作认证之用。为了实现第一终端和第二终端之间的安全通信,优选地,所述验证请求响应中还包括有随机会话密钥,可以由随机数发生器或量子密钥分发生成,用于第一终端和第二终端双向认证之后的通信。
于本发明一实施例中,所述验证请求响应还包括基于所选择的算法套件和第二共享密钥索引加密后的随机会话密钥,所述随机会话密钥用作所述第一终端和所述第二终端的通信密钥。
于一实施例中,所述验证请求响应的字段如表4所示。
表4、验证请求响应的字段
如图2所示,于一实施例中,本发明的基于共享密钥的双向认证系统应用于第一终端,所述第一终端和第二终端配置有共享密钥,所述双向认证系统包括发送模块21、接收模块22、生成发送模块23和接收认证模块24。
所述发送模块21用于发送认证请求至第二终端,所述认证请求中包含所述第一终端所支持的至少一个算法套件。
所述接收模块22与所述发送模块21相连,用于接收所述第二终端发送来的认证请求响应,所述认证请求响应包括第一随机数、所选择的算法套件和第一共享密钥索引。
所述生成发送模块23与所述接收模块22相连,用于生成第二随机数,发送验证请求至所述第二终端,所述验证请求包括根据所述所选择的算法套件和所述第一共享密钥索引对所述第一随机数和所述第二随机数进行加密的第一加密结果和第一共享密钥索引。
所述接收认证模块24与所述生成发送模块23相连,用于接收所述第二终端发送来的验证请求响应,所述验证请求响应包括第二加密结果和第二共享密钥索引;并基于所述所选择的算法套件和所述第二共享密钥索引对所述第二加密结果进行解密,若解密得到的第二随机数与本地记录的所述第二随机数一致,则认证所述第二终端为合法用户。
需要说明的是,发送模块21、接收模块22、生成发送模块23和接收认证模块24的结构和原理与上述应用于第一终端的基于共享密钥的双向认证方法中的步骤一一对应,故在此不再赘述。
需要说明的是,应理解以上系统的各个模块的划分仅仅是一种逻辑功能的划分,实际实现时可以全部或部分集成到一个物理实体上,也可以物理上分开。且这些模块可以全部以软件通过处理元件调用的形式实现;也可以全部以硬件的形式实现;还可以部分模块通过处理元件调用软件的形式实现,部分模块通过硬件的形式实现。例如,x模块可以为单独设立的处理元件,也可以集成在上述装置的某一个芯片中实现,此外,也可以以程序代码的形式存储于上述装置的存储器中,由上述装置的某一个处理元件调用并执行以上x模块的功能。其它模块的实现与之类似。此外这些模块全部或部分可以集成在一起,也可以独立实现。这里所述的处理元件可以是一种集成电路,具有信号的处理能力。在实现过程中,上述方法的各步骤或以上各个模块可以通过处理器元件中的硬件的集成逻辑电路或者软件形式的指令完成。
例如,以上这些模块可以是被配置成实施以上方法的一个或多个集成电路,例如:一个或多个特定集成电路(Application Specific Integrated Circuit,简称ASIC),或,一个或多个数字信号处理器(Digital Signal Processor,简称DSP),或,一个或者多个现场可编程门阵列(Field Programmable Gate Array,简称FPGA)等。再如,当以上某个模块通过处理元件调度程序代码的形式实现时,该处理元件可以是通用处理器,例如中央处理器(Central Processing Unit,简称CPU)或其它可以调用程序代码的处理器。再如,这些模块可以集成在一起,以片上系统(system-on-a-chip,简称SOC)的形式实现。
如图3所示,于一实施例中,本发明的第一终端包括:处理器31及存储器32。
所述存储器32用于存储计算机程序。
所述存储器32包括:ROM、RAM、磁碟、U盘、存储卡或者光盘等各种可以存储程序代码的介质。
所述处理器31与所述存储器32相连,用于执行所述存储器32存储的计算机程序,以使所述第一终端执行上述的基于共享密钥的双向认证方法。
优选地,所述处理器31可以是通用处理器,包括中央处理器(Central ProcessingUnit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital Signal Processor,简称DSP)、专用集成电路(Application SpecificIntegrated Circuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
如图4所示,于一实施例中,本发明的基于共享密钥的双向认证方法应用于第二终端,第一终端和所述第二终端配置有共享密钥,所述双向认证方法包括以下步骤:
步骤S41、接收所述第一终端发送来的认证请求,并在所述认证请求中包含的所述第一终端所支持的至少一个算法套件中选择一个算法套件作为所选择的算法套件。
具体地,第一终端支持有至少一个算法套件,并将包含有所支持的至少一个算法套件的认证请求发送至第二终端。其中,认证请求中还包括有第一终端的用户标识,以便于第二终端根据用户标识获取第一终端和第二终端的共享密钥。所述共享密钥由系统预先手动配置或由量子密钥分发配置。
于一实施例中,认证请求的字段如前述表1所示。
所述第二终端根据接收到的认证请求,在所述第一终端所支持的至少一个算法套件中选择一个算法套件作为所选择的算法套件来实现第一终端和第二终端之间的通信。
步骤S42、生成第一随机数,发送认证请求响应至所述第一终端;所述认证请求响应包括第一随机数、所选择的算法套件和第一共享密钥索引。
具体地,第二终端生成第一随机数Ra,并在本地记录以便于后续校验使用。为防止重放攻击,优选地,所述第一随机数Ra为8字节大小。
同时,第二终端通过第一终端的用户标识获取双方的共享密钥,以便于后续根据加密算法使用共享密钥进行加密。在本发明中,第一终端和第二终端的每次加密均动态使用共享密钥的一部分内容作为密钥,使用哪一部分密钥由第二终端依据一定的策略决定,例如使用一个依次定增的位置索引或者完全随机的索引来确定所采用的密钥。在本发明中,第二终端采用索引Ka为第一共享密钥索引,以指引第一终端按照索引进行加密。
优选地,当所述第二终端指定的第一共享密钥索引Ka为-1时,表示不指定第一共享密钥索引Ka。此时,由第一终端自行确定第一共享密钥索引Ka。
因此,第二终端将包含有第一随机数、所选择的算法套件和第一共享密钥索引的认证请求响应发送至第一终端。
于一实施例中,所述认证请求响应的字段如前述表2所示。
步骤S43、接收所述第一终端发送来的验证请求,所述验证请求包括根据所述所选择的算法套件和所述第一共享密钥索引对所述第一随机数和第二随机数进行加密的第一加密结果和第一共享密钥索引。
具体地,第一终端在接收到认证请求响应之后,生成第二随机数Rb,并在本地记录以便于后续校验使用;再根据第一共享密钥索引Ka和所选择的算法套件对第一随机数Ra和第二随机数Rb进行加密。
优选地,对第一随机数Ra和第二随机数Rb的加密可以依据一定的策略。于本发明一实施例中,根据所述所选择的算法套件和所述第一共享密钥索引对所述第一随机数和所述第二随机数进行加密时,可以将与所述第一共享密钥索引对应的所述第一共享密钥和所述第一随机数进行哈希计算,将所述哈希计算结果作为加密密钥对所述第一随机数和所述第二随机数进行加密;也可以采用与所述第一共享密钥索引对应的第一共享密钥对所述第一随机数和所述第二随机数进行加密。
最后,第一终端将包含有所述第一加密结果和第一共享密钥索引Ka的验证请求发送至第二终端。
于本发明一实施例中,所述验证请求还包括时间戳信息和/或消息摘要,即所述验证请求包括根据所述所选择的算法套件和所述第一共享密钥索引对所述第一随机数、所述第二随机数、时间戳信息和/或消息摘要进行加密的第一加密结果和第一共享密钥索引,以使所述第二终端根据所述时间戳信息避免重放攻击,根据所述消息摘要验证所述验证请求的完整性。
于一实施例中,所述验证请求的字段如前述表3所示。
需要说明的是,默认第二终端知晓该验证请求来自第一终端,否则所述验证请求中还需加上第一终端的用户标识。此外,认证过程中所使用的随机数采取由两个终端轮询生成的机制,可以有效抵御重放攻击;特别地,随机数可以是量子密钥,即可以由量子随机数发生器或量子密钥分发生成,从而具有真随机性、高安全性等特点,因此种随机数资源宝贵,故由两个终端分别生成随机数的方式还可以避免单个终端随机数资源的过多消耗。
步骤S44、基于所述所选择的算法套件和所述第一共享密钥索引对所述第一加密结果进行解密,若解密得到的第一随机数与本地记录的所述第一随机数一致,则认证所述第一终端为合法用户;并基于所述所选择的算法套件和第二共享密钥索引对解密得到的第二随机数进行加密得到第二加密结果,将包括所述第二加密结果和所述第二共享密钥索引的验证请求响应发送至所述第一终端。
具体地,所述第二终端根据一定的策略或算法生成第二共享密钥索引Kb,并在接收到验证请求后,基于所选择的算法套件和第一共享密钥索引Ka对第一加密结果进行解密,若解密得到的第一随机数与本地记录的所述第一随机数Ra一致,则认证所述第一终端为合法用户。
同时,第二终端基于所选择的算法套件和第二共享密钥索引Kb对解密得到的第二随机数进行加密得到第二加密结果,并将包含有所述第二加密结果和所述第二共享密钥索引Kb的验证请求响应发送至第一终端。
第一终端基于所选择的算法套件和第二共享密钥索引Kb对所述第二加密结果进行解密,若解密得到的第二随机数与本地记录的所述第二随机数Rb一致,则认证所述第二终端为合法用户。
于本发明一实施例中,所述验证请求响应还包括时间戳信息和/或消息摘要,即所述验证请求响应包括根据所述所选择的算法套件和所述第二共享密钥索引对解密得到的第二随机数、时间戳信息和/或消息摘要进行加密的第二加密结果和第二共享密钥索引,以使所述第一终端根据所述时间戳信息避免重放攻击,根据所述消息摘要验证所述验证请求响应的完整性。需要说明的是,第一终端和第二终端之间的共享密钥只作认证之用。为了实现第一终端和第二终端之间的安全通信,优选地,所述验证请求响应中还包括有随机会话密钥,可以由随机数发生器或量子密钥分发生成,用于第一终端和第二终端双向认证之后的通信。
于本发明一实施例中,所述验证请求响应还包括基于所选择的算法套件和第二共享密钥索引加密后的随机会话密钥,所述随机会话密钥用作所述第一终端和所述第二终端的通信密钥。
于一实施例中,所述验证请求响应的字段如前述表4所示。
如图5所示,于一实施例中,本发明的基于共享密钥的双向认证系统应用于第二终端,第一终端和所述第二终端配置有共享密钥,所述双向认证系统包括第一接收模块51、生成发送模块52、第二接收模块53和发送认证模块54。
所述第一接收模块51用于接收所述第一终端发送来的认证请求,并在所述认证请求中包含的所述第一终端所支持的至少一个算法套件中选择一个算法套件作为所选择的算法套件。
所述生成发送模块52与所述第一接收模块51相连,用于生成第一随机数,发送认证请求响应至所述第一终端;所述认证请求响应包括第一随机数、所选择的算法套件和第一共享密钥索引。
所述第二接收模块53与所述生成发送模块52相连,用于接收所述第一终端发送来的验证请求,所述验证请求包括根据所述所选择的算法套件和所述第一共享密钥索引对所述第一随机数和第二随机数进行加密的第一加密结果和第一共享密钥索引。
所述发送认证模块54与所述第二接收模块53相连,用于基于所述所选择的算法套件和所述第一共享密钥索引对所述第一加密结果进行解密,若解密得到的第一随机数与本地记录的所述第一随机数一致,则认证所述第一终端为合法用户;并基于所述所选择的算法套件和第二共享密钥索引对解密得到的第二随机数进行加密得到第二加密结果,将包括所述第二加密结果和所述第二共享密钥索引的验证请求响应发送至所述第一终端。
需要说明的是,第一接收模块51、生成发送模块52、第二接收模块53和发送认证模块54的结构和原理与上述应用于第二终端的基于共享密钥的双向认证方法的步骤一一对应,故在此不再赘述。
需要说明的是,应理解以上系统的各个模块的划分仅仅是一种逻辑功能的划分,实际实现时可以全部或部分集成到一个物理实体上,也可以物理上分开。且这些模块可以全部以软件通过处理元件调用的形式实现;也可以全部以硬件的形式实现;还可以部分模块通过处理元件调用软件的形式实现,部分模块通过硬件的形式实现。例如,x模块可以为单独设立的处理元件,也可以集成在上述装置的某一个芯片中实现,此外,也可以以程序代码的形式存储于上述装置的存储器中,由上述装置的某一个处理元件调用并执行以上x模块的功能。其它模块的实现与之类似。此外这些模块全部或部分可以集成在一起,也可以独立实现。这里所述的处理元件可以是一种集成电路,具有信号的处理能力。在实现过程中,上述方法的各步骤或以上各个模块可以通过处理器元件中的硬件的集成逻辑电路或者软件形式的指令完成。
例如,以上这些模块可以是被配置成实施以上方法的一个或多个集成电路,例如:一个或多个特定集成电路(Application Specific Integrated Circuit,简称ASIC),或,一个或多个数字信号处理器(Digital Signal Processor,简称DSP),或,一个或者多个现场可编程门阵列(Field Programmable Gate Array,简称FPGA)等。再如,当以上某个模块通过处理元件调度程序代码的形式实现时,该处理元件可以是通用处理器,例如中央处理器(Central Processing Unit,简称CPU)或其它可以调用程序代码的处理器。再如,这些模块可以集成在一起,以片上系统(system-on-a-chip,简称SOC)的形式实现。
如图6所示,于一实施例中,本发明的第二终端包括:处理器61及存储器62。
所述存储器62用于存储计算机程序。
所述存储器62包括:ROM、RAM、磁碟、U盘、存储卡或者光盘等各种可以存储程序代码的介质。
所述处理器61与所述存储器62相连,用于执行所述存储器62存储的计算机程序,以使所述第二终端执行上述的基于共享密钥的双向认证方法。
优选地,所述处理器61可以是通用处理器,包括中央处理器(Central ProcessingUnit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital Signal Processor,简称DSP)、专用集成电路(Application SpecificIntegrated Circuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
如图7所示,于一实施例中,本发明的基于共享密钥的双向认证系统包括上述的第一终端71和上述的第二终端72。
于本发明一实施例中,所述第一终端71为客户端;所述第二终端72为服务器,从而实现客户端与服务器之间的双向认证,保证了网络通信的安全性和可靠性。
于本发明一实施例中,所述第一终端71和所述第二终端72的共享密钥通过手动配置或量子密钥分发的方式配置。
下面参照图8简单介绍以下第一终端和第二终端之间的认证过程。其中,预设第一终端和第二终端享有共享密钥。
(1)第一终端发送认证请求至第二终端,所述认证请求中包含所述第一终端所支持的至少一个算法套件。
(2)第二终端在第一终端所支持的至少一个算法套件中选择一个算法套件作为所选择的算法套件,并生成第一随机数,然后发送包括第一随机数、所选择的算法套件和第一共享密钥索引的认证请求响应至第一终端。
(3)第一终端生成第二随机数,发送包括根据所述所选择的算法套件和所述第一共享密钥索引对所述第一随机数和所述第二随机数进行加密的第一加密结果和第一共享密钥索引的验证请求至第二终端。
(4)第二终端基于所述所选择的算法套件和第一共享密钥索引对所述第一加密结果进行解密,若解密得到的第一随机数与本地记录的所述第一随机数一致,则认证所述第一终端为合法用户;并基于所述所选择的算法套件和第二共享密钥索引对解密得到的第二随机数进行加密得到第二加密结果,将包括所述第二加密结果和第二共享密钥索引的验证请求响应发送至第一终端;
第一终端接收所述第二终端发送来的验证请求响应,并基于所述所选择的算法套件和第二共享密钥索引对所述第二加密结果进行解密,若解密得到的第二随机数与本地记录的所述第二随机数一致,则认证所述第二终端为合法用户。
综上所述,本发明的基于共享密钥的双向认证方法及系统、终端通过共享密钥来实现用户之间的双向认证,安全性高;基于共享密钥的认证方式不需要第三方的参与,配置更为简单;随着量子密钥分发技术的出现,共享密钥的分发更新的安全性进一步提升,尤其适用于通信双方物理距离接近或利于手工配置密钥的场景。此外,本发明所提供的技术方案还兼具可配置性强、易于实施、适用性广、场景兼容性好、抗重放攻击等优点。所以,本发明有效克服了现有技术中的种种缺点而具高度产业利用价值。
上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。
Claims (14)
1.一种基于共享密钥的双向认证方法,应用于第一终端,其特征在于,所述第一终端和第二终端配置有共享密钥,所述双向认证方法包括以下步骤:
发送认证请求至第二终端,所述认证请求中包含所述第一终端所支持的至少一个算法套件;
接收所述第二终端发送来的认证请求响应,所述认证请求响应包括第一随机数、所选择的算法套件和第一共享密钥索引;
生成第二随机数,发送验证请求至所述第二终端,所述验证请求包括根据所述所选择的算法套件和所述第一共享密钥索引对所述第一随机数和所述第二随机数进行加密的第一加密结果和第一共享密钥索引;
接收所述第二终端发送来的验证请求响应,所述验证请求响应包括第二加密结果和第二共享密钥索引;并基于所述所选择的算法套件和所述第二共享密钥索引对所述第二加密结果进行解密,若解密得到的第二随机数与本地记录的所述第二随机数一致,则认证所述第二终端为合法用户;所述第二加密结果是基于所述所选择的算法套件和所述第一共享密钥索引对所述第一加密结果进行解密,并基于所述所选择的算法套件和所述第二共享密钥索引对解密得到的第二随机数进行加密得到的;
根据所述所选择的算法套件和所述第一共享密钥索引对所述第一随机数和所述第二随机数进行加密时,将与所述第一共享密钥索引对应的第一共享密钥和所述第一随机数进行哈希计算,将哈希计算结果作为加密密钥对所述第一随机数和所述第二随机数进行加密。
2.根据权利要求1所述的基于共享密钥的双向认证方法,其特征在于,所述算法套件包括散列算法和加密算法。
3.根据权利要求1至2中任一项所述的基于共享密钥的双向认证方法,其特征在于,所述验证请求响应还包括时间戳信息和/或消息摘要,以根据所述时间戳信息避免重放攻击,根据所述消息摘要验证所述验证请求响应的完整性。
4.一种基于共享密钥的双向认证系统,应用于第一终端,其特征在于,所述第一终端和第二终端配置有共享密钥,所述双向认证系统包括发送模块、接收模块、生成发送模块和接收认证模块;
所述发送模块用于发送认证请求至第二终端,所述认证请求中包含所述第一终端所支持的至少一个算法套件;
所述接收模块用于接收所述第二终端发送来的认证请求响应,所述认证请求响应包括第一随机数、所选择的算法套件和第一共享密钥索引;
所述生成发送模块用于生成第二随机数,发送验证请求至所述第二终端,所述验证请求包括根据所述所选择的算法套件和所述第一共享密钥索引对所述第一随机数和所述第二随机数进行加密的第一加密结果和第一共享密钥索引;
所述接收认证模块用于接收所述第二终端发送来的验证请求响应,所述验证请求响应包括第二加密结果和第二共享密钥索引;并基于所述所选择的算法套件和所述第二共享密钥索引对所述第二加密结果进行解密,若解密得到的第二随机数与本地记录的所述第二随机数一致,则认证所述第二终端为合法用户;所述第二加密结果是基于所述所选择的算法套件和所述第一共享密钥索引对所述第一加密结果进行解密,并基于所述所选择的算法套件和所述第二共享密钥索引对解密得到的第二随机数进行加密得到的;
根据所述所选择的算法套件和所述第一共享密钥索引对所述第一随机数和所述第二随机数进行加密时,将与所述第一共享密钥索引对应的第一共享密钥和所述第一随机数进行哈希计算,将哈希计算结果作为加密密钥对所述第一随机数和所述第二随机数进行加密。
5.一种第一终端,其特征在于,包括:处理器及存储器;
所述存储器用于存储计算机程序;
所述处理器用于执行所述存储器存储的计算机程序,以使所述第一终端执行权利要求1至3中任一项所述的基于共享密钥的双向认证方法。
6.一种基于共享密钥的双向认证方法,应用于第二终端,其特征在于,第一终端和所述第二终端配置有共享密钥,所述双向认证方法包括以下步骤:
接收所述第一终端发送来的认证请求,并在所述认证请求中包含的所述第一终端所支持的至少一个算法套件中选择一个算法套件作为所选择的算法套件;
生成第一随机数,发送认证请求响应至所述第一终端;所述认证请求响应包括第一随机数、所选择的算法套件和第一共享密钥索引;
接收所述第一终端发送来的验证请求,所述验证请求包括根据所述所选择的算法套件和所述第一共享密钥索引对所述第一随机数和第二随机数进行加密的第一加密结果和第一共享密钥索引;
基于所述所选择的算法套件和所述第一共享密钥索引对所述第一加密结果进行解密;若解密得到的第一随机数与本地记录的所述第一随机数一致,则认证所述第一终端为合法用户;并基于所述所选择的算法套件和第二共享密钥索引对解密得到的第二随机数进行加密得到第二加密结果,将包括所述第二加密结果和所述第二共享密钥索引的验证请求响应发送至所述第一终端;
根据所述所选择的算法套件和所述第一共享密钥索引对所述第一随机数和所述第二随机数进行加密时,将与所述第一共享密钥索引对应的第一共享密钥和所述第一随机数进行哈希计算,将哈希计算结果作为加密密钥对所述第一随机数和所述第二随机数进行加密。
7.根据权利要求6所述的基于共享密钥的双向认证方法,其特征在于,所述算法套件包括散列算法和加密算法。
8.根据权利要求6所述的基于共享密钥的双向认证方法,其特征在于,所述验证请求还包括时间戳信息和/或消息摘要,以根据所述时间戳信息避免重放攻击,根据所述消息摘要验证所述验证请求的完整性。
9.根据权利要求6至8中任一项所述的基于共享密钥的双向认证方法,其特征在于,所述验证请求响应还包括基于所述所选择的算法套件和所述第二共享密钥索引加密后的随机会话密钥,所述随机会话密钥用作所述第一终端和所述第二终端的通信密钥。
10.一种基于共享密钥的双向认证系统,应用于第二终端,其特征在于,第一终端和所述第二终端配置有共享密钥,所述双向认证系统包括第一接收模块、生成发送模块、第二接收模块和发送认证模块;
所述第一接收模块用于接收所述第一终端发送来的认证请求,并在所述认证请求中包含的所述第一终端所支持的至少一个算法套件中选择一个算法套件作为所选择的算法套件;
所述生成发送模块用于生成第一随机数,发送认证请求响应至所述第一终端;所述认证请求响应包括第一随机数、所选择的算法套件和第一共享密钥索引;
所述第二接收模块用于接收所述第一终端发送来的验证请求,所述验证请求包括根据所述所选择的算法套件和所述第一共享密钥索引对所述第一随机数和第二随机数进行加密的第一加密结果和第一共享密钥索引;
所述发送认证模块用于基于所述所选择的算法套件和所述第一共享密钥索引对所述第一加密结果进行解密,若解密得到的第一随机数与本地记录的所述第一随机数一致,则认证所述第一终端为合法用户;并基于所述所选择的算法套件和第二共享密钥索引对解密得到的第二随机数进行加密得到第二加密结果,将包括所述第二加密结果和所述第二共享密钥索引的验证请求响应发送至所述第一终端;
根据所述所选择的算法套件和所述第一共享密钥索引对所述第一随机数和所述第二随机数进行加密时,将与所述第一共享密钥索引对应的第一共享密钥和所述第一随机数进行哈希计算,将哈希计算结果作为加密密钥对所述第一随机数和所述第二随机数进行加密。
11.一种第二终端,其特征在于,包括:处理器及存储器;
所述存储器用于存储计算机程序;
所述处理器用于执行所述存储器存储的计算机程序,以使所述第二终端执行权利要求6至9中任一项所述的基于共享密钥的双向认证方法。
12.一种基于共享密钥的双向认证系统,其特征在于,包括权利要求5所述的第一终端和权利要求11所述的第二终端。
13.根据权利要求12所述的基于共享密钥的双向认证系统,其特征在于,所述第一终端为客户端;所述第二终端为服务器。
14.根据权利要求12或13所述的基于共享密钥的双向认证系统,其特征在于,所述第一终端和所述第二终端的共享密钥通过手动配置或量子密钥分发的方式配置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811127941.6A CN110958209B (zh) | 2018-09-27 | 2018-09-27 | 基于共享密钥的双向认证方法及系统、终端 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811127941.6A CN110958209B (zh) | 2018-09-27 | 2018-09-27 | 基于共享密钥的双向认证方法及系统、终端 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110958209A CN110958209A (zh) | 2020-04-03 |
CN110958209B true CN110958209B (zh) | 2022-06-24 |
Family
ID=69967643
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811127941.6A Active CN110958209B (zh) | 2018-09-27 | 2018-09-27 | 基于共享密钥的双向认证方法及系统、终端 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110958209B (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112118223B (zh) * | 2020-08-11 | 2023-06-20 | 北京智芯微电子科技有限公司 | 主站与终端的认证方法、主站、终端及存储介质 |
CN112468490B (zh) * | 2020-11-25 | 2023-09-08 | 国网辽宁省电力有限公司信息通信分公司 | 一种用于电网终端层设备接入的认证方法 |
CN114338197B (zh) * | 2021-12-30 | 2024-01-09 | 广州小鹏汽车科技有限公司 | 车辆与远程座舱连接鉴权方法、设备、系统及可读存储介质 |
CN114844646A (zh) * | 2022-04-15 | 2022-08-02 | 深圳汇辰软件有限公司 | 设备间的认证方法、装置及电子设备 |
CN114785521B (zh) * | 2022-04-15 | 2024-05-14 | 深圳成谷科技有限公司 | 认证方法、装置、电子设备及存储介质 |
CN116055188B (zh) * | 2023-01-28 | 2023-07-14 | 紫光同芯微电子有限公司 | 设备的双向认证方法、双向认证装置及双向认证系统 |
CN116318673A (zh) * | 2023-03-23 | 2023-06-23 | 中国工商银行股份有限公司 | 外派金融业务的处理方法、处理系统及处理装置 |
CN116319073B (zh) * | 2023-05-12 | 2024-03-26 | 国开启科量子技术(北京)有限公司 | 基于量子随机数的api接口防重放攻击方法及系统 |
CN118400186B (zh) * | 2024-06-25 | 2024-09-06 | 浙江之江数安量子科技有限公司 | 一种安全的密钥交换方式 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1741523A (zh) * | 2004-08-25 | 2006-03-01 | 华为技术有限公司 | 一种实现主机移动性和多家乡功能的密钥交换协议方法 |
CN101662705A (zh) * | 2009-10-19 | 2010-03-03 | 国网信息通信有限公司 | 以太网无源光网络epon的设备认证方法及系统 |
CN101772024A (zh) * | 2008-12-29 | 2010-07-07 | 中国移动通信集团公司 | 一种用户身份确定方法及装置和系统 |
CN105872848A (zh) * | 2016-06-13 | 2016-08-17 | 北京可信华泰信息技术有限公司 | 一种适用于非对称资源环境的可信双向认证方法 |
CN106972974A (zh) * | 2017-04-18 | 2017-07-21 | 南京南瑞集团公司 | 一种电力LTE无线终端的Web网管系统及其终端认证方法 |
CN107147611A (zh) * | 2016-03-01 | 2017-09-08 | 华为技术有限公司 | 传输层安全tls建链的方法、用户设备、服务器和系统 |
CN107959688A (zh) * | 2017-12-14 | 2018-04-24 | 恒宝股份有限公司 | 一种终端和摄像设备相互认证的安全认证方法及其认证系统 |
CN108282329A (zh) * | 2017-01-06 | 2018-07-13 | 中国移动通信有限公司研究院 | 一种双向身份认证方法及装置 |
US10033703B1 (en) * | 2015-06-16 | 2018-07-24 | Amazon Technologies, Inc. | Pluggable cipher suite negotiation |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9184911B2 (en) * | 2014-04-08 | 2015-11-10 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
-
2018
- 2018-09-27 CN CN201811127941.6A patent/CN110958209B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1741523A (zh) * | 2004-08-25 | 2006-03-01 | 华为技术有限公司 | 一种实现主机移动性和多家乡功能的密钥交换协议方法 |
CN101772024A (zh) * | 2008-12-29 | 2010-07-07 | 中国移动通信集团公司 | 一种用户身份确定方法及装置和系统 |
CN101662705A (zh) * | 2009-10-19 | 2010-03-03 | 国网信息通信有限公司 | 以太网无源光网络epon的设备认证方法及系统 |
US10033703B1 (en) * | 2015-06-16 | 2018-07-24 | Amazon Technologies, Inc. | Pluggable cipher suite negotiation |
CN107147611A (zh) * | 2016-03-01 | 2017-09-08 | 华为技术有限公司 | 传输层安全tls建链的方法、用户设备、服务器和系统 |
CN105872848A (zh) * | 2016-06-13 | 2016-08-17 | 北京可信华泰信息技术有限公司 | 一种适用于非对称资源环境的可信双向认证方法 |
CN108282329A (zh) * | 2017-01-06 | 2018-07-13 | 中国移动通信有限公司研究院 | 一种双向身份认证方法及装置 |
CN106972974A (zh) * | 2017-04-18 | 2017-07-21 | 南京南瑞集团公司 | 一种电力LTE无线终端的Web网管系统及其终端认证方法 |
CN107959688A (zh) * | 2017-12-14 | 2018-04-24 | 恒宝股份有限公司 | 一种终端和摄像设备相互认证的安全认证方法及其认证系统 |
Also Published As
Publication number | Publication date |
---|---|
CN110958209A (zh) | 2020-04-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110958209B (zh) | 基于共享密钥的双向认证方法及系统、终端 | |
JP7119040B2 (ja) | データ伝送方法、装置およびシステム | |
CN109347835B (zh) | 信息传输方法、客户端、服务器以及计算机可读存储介质 | |
CN109756500B (zh) | 基于多个非对称密钥池的抗量子计算https通信方法和系统 | |
CN109714167B (zh) | 适用于移动应用签名的身份认证与密钥协商方法及设备 | |
CN107810617B (zh) | 机密认证和供应 | |
CN111416807B (zh) | 数据获取方法、装置及存储介质 | |
CN109818747B (zh) | 数字签名方法及装置 | |
US9185111B2 (en) | Cryptographic authentication techniques for mobile devices | |
CN111030814B (zh) | 秘钥协商方法及装置 | |
WO2023083007A1 (zh) | 物联网设备身份认证方法、装置、系统及存储介质 | |
CN109714176B (zh) | 口令认证方法、装置及存储介质 | |
CN109861813B (zh) | 基于非对称密钥池的抗量子计算https通信方法和系统 | |
CA2551113A1 (en) | Authentication system for networked computer applications | |
CN113868684B (zh) | 一种签名方法、装置、服务端、介质以及签名系统 | |
EP2608477A1 (en) | Trusted certificate authority to create certificates based on capabilities of processes | |
CN111241492A (zh) | 一种产品多租户安全授信方法、系统及电子设备 | |
WO2023151427A1 (zh) | 量子密钥传输方法、装置及系统 | |
CN115473655B (zh) | 接入网络的终端认证方法、装置及存储介质 | |
CN115277168A (zh) | 一种访问服务器的方法以及装置、系统 | |
CN114553441B (zh) | 一种电子合同签署方法及系统 | |
CN114374522B (zh) | 一种可信设备认证方法、装置、计算机设备及存储介质 | |
CN109361681A (zh) | 国密证书认证方法、装置及设备 | |
US10785193B2 (en) | Security key hopping | |
EP1790116B1 (en) | Method and system for managing authentication and payment for use of broadcast material |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |