CN111262693B - 一种信息处理方法及系统 - Google Patents

一种信息处理方法及系统 Download PDF

Info

Publication number
CN111262693B
CN111262693B CN202010024529.2A CN202010024529A CN111262693B CN 111262693 B CN111262693 B CN 111262693B CN 202010024529 A CN202010024529 A CN 202010024529A CN 111262693 B CN111262693 B CN 111262693B
Authority
CN
China
Prior art keywords
authentication code
client
user
cipher machine
request data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010024529.2A
Other languages
English (en)
Other versions
CN111262693A (zh
Inventor
孙吉平
陈文静
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Senseshield Technology Co Ltd
Original Assignee
Beijing Senseshield Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Senseshield Technology Co Ltd filed Critical Beijing Senseshield Technology Co Ltd
Priority to CN202010024529.2A priority Critical patent/CN111262693B/zh
Publication of CN111262693A publication Critical patent/CN111262693A/zh
Application granted granted Critical
Publication of CN111262693B publication Critical patent/CN111262693B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds

Abstract

本申请实施例提供了一种信息处理方法及系统,方法包括:客户端获得用户的注册信息;客户端与服务端的密码机均基于用户的注册信息以及特定算法计算出共享密钥,使客户端与密码机间建立能够通信的安全通道;客户端基于共享密钥计算得到加密后的请求数据包的第一认证码,并将第一认证码、用户名及请求数据包封装后经安全通道发送至密码机;密码机基于用户名确定共享密钥,并基于共享密钥计算得到第二认证码,若第二认证码与第一认证码匹配,则表明请求数据包通过密码机的校验。本申请的信息处理方法能够有效避免客户与服务器端进行数据交互时,数据安全受到威胁。

Description

一种信息处理方法及系统
技术领域
本申请实施例涉及信息安全领域,特别涉及一种信息处理方法及系统。
背景技术
服务器程序目前被广泛使用,用于和用户的客户端进行数据交互。而为了确保数据交互安全,主流的安全防护措施都是通过部署防火墙等外围安全设备的方式来实现,即,服务器以及客户端均装设防火墙来实现安全保护。当服务器程序运行过程中,其安全性都需要依赖服务器环境的安全性作为保障,然而实际上这种保障是有可能被人恶意攻破的,而且服务器程序也有可能被服务商等内部人员植入恶意代码,从而使得用户的隐私数据等容易被该人员控制或恶意利用。
申请内容
本申请实施例提供了一种能够有效避免客户与服务器端进行数据交互时,数据安全受到威胁的信息处理方法及信息处理系统。
为了解决上述技术问题,本申请实施例提供了一种信息处理方法,其特征在于,包括:
客户端获得用户的注册信息;
所述客户端与服务端的密码机均基于所述用户的注册信息以及特定算法计算出共享密钥,使所述客户端与密码机间建立能够通信的安全通道;
所述客户端基于所述共享密钥计算得到加密后的请求数据包的第一认证码,并将所述第一认证码、用户名及请求数据包封装后经所述安全通道发送至密码机;
所述密码机基于所述用户名确定所述共享密钥,并基于所述共享密钥计算得到第二认证码,若所述第二认证码与第一认证码匹配,则表明所述请求数据包通过所述密码机的校验。
作为优选,所述客户端获得用户的注册信息包括:
获得第一随机码;
基于所述第一随机码对用户的注册信息进行加密;
存储所述第一随机码及加密后的注册信息。
作为优选,所述客户端与服务端的密码机均基于所述用户的注册信息以及特定算法计算出共享密钥包括:
所述客户端与服务端的密码机均基于所述用户的注册信息以及用于认证用户身份并用于计算客户端与密码机间密钥的SRP算法及协议计算出共享密钥。
作为优选,所述客户端将所述第一认证码、用户名及请求数据包封装后发送至密码机包括:
所述客户端将封装后的数据发送给服务器端,由所述服务器端转发至所述密码机,由所述密码机处理所述封装后的数据。
作为优选,所述第一认证码与第二认证码均为经过哈希算法计算得到的消息认证码。
作为优选,所述若第二认证码与第一认证码匹配,则表明所述请求数据包通过所述密码机的校验包括:
若所述第二认证码与第一认证码相同,则表明所述请求数据包通过所述密码机的校验,可对所述请求数据包进行处理。
作为优选,还包括:
所述密码机将所述请求数据包的处理结果使用共享密钥计算得到第三认证码,并将所述第三认证码及处理结果发送至所述客户端;
所述客户端基于所述处理结果及共享密钥计算得到第四认证码;
若所述第三认证码与第四认证码匹配,则表明所述处理结果通过所述客户端的校验。
作为优选,所述若所述第三认证码与第四认证码匹配,则表明所述处理结果通过所述客户端的校验包括:
若所述第三认证码与第四认证码相同,则表明所述处理结果通过所述客户端的校验。
本申请实施例同时提供一种信息处理系统,包括:
客户端,其用于获得用户的注册信息,并与服务端的密码机进行交互,以均基于所述用户的注册信息以及特定算法计算出共享密钥,使所述客户端与密码机间建立能够直接通信的安全通道,所述客户端同时能够基于所述共享密钥计算得到加密后的请求数据包的第一认证码,并将所述第一认证码、用户名及请求数据包封装后经所述安全通道发送至密码机;
密码机,其用于根据所述用户名确定所述共享密钥,并基于所述共享密钥计算得到第二认证码,若所述第二认证码与第一认证码匹配,则表明所述请求数据包通过所述密码机的校验。
作为优选,所述客户端获得用户的注册信息时包括:
获得第一随机码;
基于所述第一随机码对用户的注册信息进行加密;
存储所述第一随机码及加密后的注册信息。
基于上述实施例的公开可以获知,本申请实施例具备的有益效果包括在客户端与服务端的每次交互时,客户端均直接与服务端的密码机间共同协商生成共享密钥,以基于该共享密钥建立一可进行数据通信的安全通道,如此,当客户端与密码机间进行数据传输时,数据会同时基于共享密钥而被加密,并生成认证码,故当服务器程序只要对该数据进行过处理,认证码就会被改变,因此密码机可基于认证码识别出数据是否被篡改过,若篡改过,该数据就不会通过校验,密码机便不会对该数据进行处理。
附图说明
图1为本申请实施例中的信息处理方法的流程图。
图2为本申请另一实施例中的信息处理方法的流程图。
图3为本申请另一实施例中的信息处理方法的流程图。
图4为本申请实施例中的信息处理系统的结构框图。
具体实施方式
下面,结合附图对本申请的具体实施例进行详细的描述,但不作为本申请的限定。
应理解的是,可以对此处公开的实施例做出各种修改。因此,下述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本公开的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本公开的实施例,并且与上面给出的对本公开的大致描述以及下面给出的对实施例的详细描述一起用于解释本公开的原理。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本申请的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本申请进行了描述,但本领域技术人员能够确定地实现本申请的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
当结合附图时,鉴于以下详细说明,本公开的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本公开的具体实施例;然而,应当理解,所公开的实施例仅仅是本公开的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本公开模糊不清。因此,本文所公开的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本公开。
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本公开的相同或不同实施例中的一个或多个。
下面,结合附图详细的说明本申请实施例。
如图1所示,本申请实施例提供一种信息处理方法,包括:
S101:客户端获得用户的注册信息;
S201:客户端与服务端的密码机均基于用户的注册信息以及特定算法计算出共享密钥,使客户端与密码机间建立能够通信的安全通道;
S301:客户端基于共享密钥计算得到加密后的请求数据包的第一认证码,并将第一认证码、用户名及请求数据包封装后经安全通道发送至密码机;
S401:密码机基于用户名确定共享密钥,并基于共享密钥计算得到第二认证码,若第二认证码与第一认证码匹配,则表明请求数据包通过密码机的校验。
例如,用户首先在客户端进行注册,使客户端获得用户的注册信息,然后客户端便与服务器的密码机进行交互,使密码机获得注册信息,之后客户端与密码机间通过该注册信息和特定算法计算得到共享密钥,当该共享密钥生成时,客户端与密码机间便建立了一条安全通道,基于该安全通道,客户端与密码机间便可进行安全通信,也即基于该共享密钥,客户端与密码机间便可在本次交互过程中实现数据的安全传输,不会被服务端程序进行处理,篡改。当客户端基于用户的指令生成请求数据时,即,欲发送请求数据到服务器,使其作出响应,并反馈结果数据时,为了确保数据传输安全,客户端可对该请求数据进行加密,同时基于共享密钥对该请求数据计算第一认证码,之后客户端将表征用户身份的用户名、第一认证码及请求数据封装后发送至服务器,由服务器转发给密码机。当密码机接收到该封装的数据后,会基于用户名确定共享密钥,接着基于共享密钥和请求数据计算出第二认证码,经比较判断,若密码机确定第一认证码与第二认证码匹配,则可确定请求数据完整,与用户发出时的数据一致,中途未经第三方,如服务器程度进行篡改,该请求数据认证通过。之后,密码机便可对该请求数据进行处理,如解密,基于请求数据获得结果数据,即响应用户请求,做出反馈等。本实施例中的信息处理方法,增强了密码机与客户端间的交互,削弱了服务器的角色,使原有服务器程序对客户端发送的数据的安全控制及处理交由密码机执行,而服务器仅起到了转发客户端的请求数据、转发密码机发送至客户端的结果数据,并维持交互状态。密码机作为硬件本身相比于服务器,安全机制更缜密,可有效保证业务处理过程的安全性,当客户端发送的请求数据被送至密码机时,密码机会根据对应用户的共享密钥及请求数据来计算认证码,并与客户端发送的认证码进行比对,若二者匹配,则可说明请求数据完整,未经篡改,请求数据是安全的,密码机此时可对该请求数据进行处理。
综上可知,本申请实施例具备的有益效果包括在客户端与服务端的每次交互时,客户端均与服务端的密码机间共同协商生成共享密钥,以基于该共享密钥建立一可进行数据通信的安全通道。如此,当客户端与密码机间进行数据传输时,数据会同时基于共享密钥而被加密,并生成认证码,故当服务器程序只要对该请求数据进行过处理,故再次计算的认证码就会改变,因此密码机可基于认证码识别出请求数据在传输过程中是否被篡改过,若篡改过,该请求数据就不会通过校验,密码机便不会对该数据进行处理,如此大大提高了数据安全性。
进一步地,当密码机通过认证码的校验发现请求书被篡改过时,即,请求数据的完整性受到破坏时,密码机会通过服务器转发通知给客户端,经客户端告知用户需要修改注册信息等,以保证用户的数据安全。而且,还可通知服务器内部人员,对服务器的传输路径进行检查,确保数据传输安全。
如图2所示,本实施例中的客户端获得用户的注册信息包括:
S102:获得第一随机码;
S103:基于第一随机码对用户的注册信息进行加密;
S104:存储第一随机码及加密后的注册信息。
例如,在客户端与服务端,也即服务器的密码机间建立安全通道前,需要对使用客户端的身份进行认证,认证过程具体可包括:
1、客户端随机产生盐值s并上传到服务端
2、服务端计算x=H(s,I,P)
3、服务端计算v=g^x(模幂算法)
4、服务端保存s,v
其中,盐值s即为第一随机码,之后服务端通过该盐值、I(用户名)、P(用户口令)计算哈希值x,接着利用模幂运算的原根g对x进行模幂运算得到数值v,如此便可将用户的注册信息进行加密隐藏,最后服务端在用户本次交互过程中匹配保存s和v即可,此时便完成了本次数据交互过程中的用户的身份认证。
进一步地,本实施例中的客户端与服务端的密码机均基于用户的注册信息以及特定算法计算出共享密钥包括:
S202:客户端与服务端的密码机均基于用户的注册信息以及用于认证用户身份并用于计算客户端与密码机间密钥的SRP算法及协议计算出共享密钥。
具体地,客户端与密码机之间的身份认证与安全通道建立过程是为了验证客户端身份的合法性并在客户端和密码机之间安全的协商出共享密钥。该共享密钥用于在客户端和密码机之间进行数据的完整性校验,以能够使双方均能够快速识别出数据在传输过程中是否被篡改。该共享密钥的协商过程,是基于SRP算法及协议进行的,例如包括:
1、客户端发送用户I(用户名)给服务端;
2、服务端通过I查询s并返回给客户端;
3、客户端计算x=H(s,I,P);
4、客户端产生随机数a并计算A=g^a;
5、客户端将A发送给密码机;
6、密码机计算k=H(N,g);
7、密码机产生随机数b并计算B=k*v+g^b;
8、密码机计算u=H(A,B)并返回B给客户端;
9、密码机计算S=(A*v^u)^b;
10、客户端计算u=H(A,B);
11、客户端计算k=H(N,g);
12、客户端计算S=(B-k*g^x)^a+u*x;
13、客户端计算M1=H(A,B,S)并发送给密码机;
14、密码机计算M1=H(A,B,S)并校验和客户端发送的M1是否一致;
15、如果一致,则说明校验通过,密码机计算M2=H(A,M1,S)并返回客户端;
16、密码机计算K=H(S);
17、客户端计算M2=H(A,M1,S)并校验和密码机发送的M2是否一致;
18、如果一致,则表明校验通过,客户端开始计算K=H(S);
19、计算完成后表明协商完成,客户端和密码机此时具有了共享密钥K;
其中,上述各式中涉及的S、u、k、A、M1、M2等均是计算过程中的中间数据。
当密码机与客户端协商出共享密钥后,二者间的安全通道建立完成,此时客户端便可与密码机间进行数据交互,期间,数据的传输可通过服务器转发,也可直接通信。当客户端根据用户的输入信息生成有请求数据时,也即,客户端产生业务,需要密码机进行业务处理时,客户端会基于共享密钥对请求数据计算得到第一认证码,该请求数据可提前基于其他方式进行加密,之后客户端将请求数据,第一认证码及用户名封装后发送给服务器,由服务器转发给密码机,交由密码机进行安全识别处理等。
即,本实施例中客户端将第一认证码、用户名及请求数据包封装后发送至密码机包括:
S302:客户端将封装后的数据发送给服务器端,由服务器端转发至密码机,由密码机处理封装后的数据。
当密码机接收到该封装的数据包后,会基于用户名而确定出匹配的共享密钥,并基于该共享密钥对当前接收到的请求数据计算第二认证码,并判断该第一认证码与第二认证码是否匹配,若匹配,则表明请求数据完整,中间并未经第三方篡改,此时密码机便可对该请求数据进行处理,响应用户。
本实施例中的第一认证码与第二认证码均为经过哈希算法计算得到的消息认证码。其中,若第二认证码与第一认证码匹配,则表明请求数据包通过密码机的校验包括:
S402:若第二认证码与第一认证码相同,则表明请求数据包通过密码机的校验,可对请求数据包进行处理。
也即,仅在第一认证码与第二认证码相同时才会认定校验通过,请求数据未被篡改。
进一步地,如图3所示,本实施例中的方法还包括:
S501:密码机将请求数据包的处理结果使用共享密钥计算得到第三认证码,并将第三认证码及处理结果发送至客户端;
S601:客户端基于处理结果及共享密钥计算得到第四认证码;
S701:若第三认证码与第四认证码匹配,则表明处理结果通过客户端的校验。
其中,若第三认证码与第四认证码匹配,则表明处理结果通过客户端的校验包括:
S702:若第三认证码与第四认证码相同,则表明处理结果通过客户端的校验。
也即,在请求数据校验通过后,密码机会对请求数据进行处理而得到结果数据,即,得到反馈用户请求的数据。之后密码机将该结果数据进行加密,然后基于共享密钥对该结果数据计算第三认证码,并将其与结果数据封装后发送给客户端,客户端接收到该数据包后会基于共享密钥对接收到的结果数据计算第四认证码,并对比判断第三认证码与第四认证码,若二者相同,则验证通过,说明结果数据在传输过程中未被篡改,数据可靠,可对其解密并展现给用户。本实施例中的第三认证码与第四认证码也均优选为HMAC消息认证码。
实际实施时,可参考以下计算步骤:
1、客户端生成请求需要的数据,即请求数据;
2、客户端使用协商出来的共享密钥对待发送的数据计算HMAC(此处的HMAC相当于第一认证码)
3、客户端发送请求数据包给服务器程序;
4、服务器程序接收请求数据包并查询请求需要的其他数据;
5、服务器程序转发请求数据包给密码机;
6、密码机基于用户名确定共享密钥后使用共享密钥计算数据的HMAC(此处的HMAC相当于第二认证码),校验数据的完整性;
7、校验沟通过后密码机处理请求得到结果数据并使用共享密钥计算HMAC(此处的HMAC相当于第三认证码);
8、密码机将处理结果返回服务器程序;
9、服务器程序记录处理结果并将数据转发给客户端;
10、客户端使用共享密钥计算结果数据的HMAC(此处的HMAC相当于第四认证码),校验通过之后继续执行后续的操作。
如图4所示,本申请实施例同时提供一种信息处理系统,包括:
客户端1,其用于获得用户的注册信息,并与服务端2的密码机3进行交互,以均基于用户的注册信息以及特定算法计算出共享密钥,使客户端1与密码机3间建立能够直接通信的安全通道,客户端1同时能够基于共享密钥计算得到加密后的请求数据包的第一认证码,并将第一认证码、用户名及请求数据包封装后经安全通道发送至密码机3;
密码机3,其用于根据用户名确定共享密钥,并基于共享密钥计算得到第二认证码,若第二认证码与第一认证码匹配,则表明请求数据包通过密码机3的校验。
综上可知,本申请实施例具备的有益效果包括在客户端1与服务端2的每次交互时,客户端1均直接与服务端2的密码机3间共同协商生成共享密钥,以基于该共享密钥建立一可进行数据通信的安全通道。如此,当客户端1与密码机3间进行数据传输时,数据会同时基于共享密钥而被加密,并生成认证码,故当服务器程序只要对该请求数据进行过处理,故再次计算的认证码就会改变,因此密码机3可基于认证码识别出请求数据在传输过程中是否被篡改过,若篡改过,该请求数据就不会通过校验,密码机3便不会对该数据进行处理,如此大大提高了数据安全性。
进一步地,客户端1获得用户的注册信息时包括:
获得第一随机码;
基于第一随机码对用户的注册信息进行加密;
存储第一随机码及加密后的注册信息。
例如,在客户端1与服务端2,也即服务器的密码机3间建立安全通道前,需要对使用客户端1的身份进行认证,认证过程具体可包括:
1、客户端1随机产生盐值s并上传到服务端2
2、服务端2计算x=H(s,I,P)
3、服务端2计算v=g^x(模幂算法)
4、服务端2保存s,v
其中,盐值s即为第一随机码,之后服务端2通过该盐值、I(用户名)、P(用户口令)计算哈希值x,接着利用模幂运算的原根g对x进行模幂运算得到数值v,如此便可将用户的注册信息进行加密隐藏,最后服务端2在用户本次交互过程中匹配保存s和v即可,此时便完成了本次数据交互过程中的用户的身份认证。
进一步地,客户端1与服务端2的密码机3均基于用户的注册信息以及特定算法计算出共享密钥时包括:
客户端1与服务端2的密码机3均基于用户的注册信息以及SRP算法及协议计算出共享密钥。
具体地,客户端1与密码机3之间的身份认证与安全通道建立过程是为了验证客户端1身份的合法性并在客户端1和密码机3之间安全的协商出共享密钥。该共享密钥用于在客户端1和密码机3之间进行数据的完整性校验,以能够使双方均能够快速识别出数据在传输过程中是否被篡改。该共享密钥的协商过程,是基于SRP算法及协议进行的,例如包括:
1、客户端1发送用户I(用户名)给服务端2;
2、服务端2通过I查询s并返回给客户端1;
3、客户端1计算x=H(s,I,P);
4、客户端1产生随机数a并计算A=g^a;
5、客户端1将A发送给密码机3;
6、密码机3计算k=H(N,g);
7、密码机3产生随机数b并计算B=k*v+g^b;
8、密码机3计算u=H(A,B)并返回B给客户端1;
9、密码机3计算S=(A*v^u)^b;
10、客户端1计算u=H(A,B);
11、客户端1计算k=H(N,g);
12、客户端1计算S=(B-k*g^x)^a+u*x;
13、客户端1计算M1=H(A,B,S)并发送给密码机3;
14、密码机3计算M1=H(A,B,S)并校验和客户端1发送的M1是否一致;
15、如果一致,则说明校验通过,密码机3计算M2=H(A,M1,S)并返回客户端1;
16、密码机3计算K=H(S);
17、客户端1计算M2=H(A,M1,S)并校验和密码机3发送的M2是否一致;
18、如果一致,则表明校验通过,客户端1开始计算K=H(S);
19、计算完成后表明协商完成,客户端1和密码机3此时具有了共享密钥K;
其中,上述各式中涉及的S、u、k、A、M1、M2等均是计算过程中的中间数据。
当密码机3与客户端1协商出共享密钥后,二者间的安全通道建立完成,此时客户端1便可与密码机3间进行数据交互,期间,数据的传输可通过服务器转发,也可直接通信。当客户端1根据用户的输入信息生成有请求数据时,也即,客户端1产生业务,需要密码机3进行业务处理时,客户端1会基于共享密钥对请求数据计算得到第一认证码,该请求数据可提前基于其他方式进行加密,之后客户端1将请求数据,第一认证码及用户名封装后发送给服务器,由服务器转发给密码机3,交由密码机3进行安全识别处理等。
即,本实施例中客户端1将第一认证码、用户名及请求数据包封装后发送至密码机3时包括:
客户端1将封装后的数据发送给服务器端,由服务器端转发至密码机3,由密码机3处理封装后的数据。
进一步地,本实施例中的第一认证码与第二认证码均为经过哈希算法计算得到的消息认证码。
进一步地,密码机3在判断第一认证码和第二认证码是否匹配,确定请求数据包是否通过校验时包括:
若第二认证码与第一认证码相同,则表明请求数据包通过密码机3的校验,可对请求数据包进行处理。
进一步地,密码机3和客户端1还配置为:
密码机3将请求数据包的处理结果使用共享密钥计算得到第三认证码,并将第三认证码及处理结果发送至客户端1;
客户端1基于处理结果及共享密钥计算得到第四认证码;
客户端1判断若第三认证码与第四认证码匹配,则表明处理结果通过客户端1的校验。
进一步地,客户端1在判断第三认证码和第四认证码是否匹配,确定请求数据包是否通过校验时包括:
若第三认证码与第四认证码相同,则表明处理结果通过客户端1的校验。
实际实施时,可参考以下计算步骤:
1、客户端1生成请求需要的数据,即请求数据;
2、客户端1使用协商出来的共享密钥对待发送的数据计算HMAC(此处的HMAC相当于第一认证码)
3、客户端1发送请求数据包给服务器程序;
4、服务器程序接收请求数据包并查询请求需要的其他数据;
5、服务器程序转发请求数据包给密码机3;
6、密码机3基于用户名确定共享密钥后使用共享密钥计算数据的HMAC(此处的HMAC相当于第二认证码),校验数据的完整性;
7、校验沟通过后密码机3处理请求得到结果数据并使用共享密钥计算HMAC(此处的HMAC相当于第三认证码);
8、密码机3将处理结果返回服务器程序;
9、服务器程序记录处理结果并将数据转发给客户端1;
10、客户端1使用共享密钥计算结果数据的HMAC(此处的HMAC相当于第四认证码),校验通过之后继续执行后续的操作。
以上实施例仅为本申请的示例性实施例,不用于限制本申请,本申请的保护范围由权利要求书限定。本领域技术人员可以在本申请的实质和保护范围内,对本申请做出各种修改或等同替换,这种修改或等同替换也应视为落在本申请的保护范围内。

Claims (9)

1.一种信息处理方法,其特征在于,包括:
客户端获得用户的注册信息;
所述客户端与服务端的密码机均基于所述用户的注册信息以及用于认证用户身份并用于计算客户端与密码机间密钥的SRP算法及协议计算出共享密钥,使所述客户端与密码机间建立能够通信的安全通道;
所述客户端基于所述共享密钥计算得到加密后的请求数据包的第一认证码,并将所述第一认证码、用户名及请求数据包封装后经所述安全通道发送至密码机;
所述密码机基于所述用户名确定所述共享密钥,并基于所述共享密钥计算得到第二认证码,若所述第二认证码与第一认证码匹配,则表明所述请求数据包通过所述密码机的校验。
2.根据权利要求1所述的方法,其特征在于,所述客户端获得用户的注册信息包括:
获得第一随机码;
基于所述第一随机码对用户的注册信息进行加密;
存储所述第一随机码及加密后的注册信息。
3.根据权利要求1所述的方法,其特征在于,所述客户端将所述第一认证码、用户名及请求数据包封装后发送至密码机包括:
所述客户端将封装后的数据发送给服务器端,由所述服务器端转发至所述密码机,由所述密码机处理所述封装后的数据。
4.根据权利要求1所述的方法,其特征在于,所述第一认证码与第二认证码均为经过哈希算法计算得到的消息认证码。
5.根据权利要求4所述的方法,其特征在于,所述若第二认证码与第一认证码匹配,则表明所述请求数据包通过所述密码机的校验包括:
若所述第二认证码与第一认证码相同,则表明所述请求数据包通过所述密码机的校验,可对所述请求数据包进行处理。
6.根据权利要求1所述的方法,其特征在于,还包括:
所述密码机将所述请求数据包的处理结果使用共享密钥计算得到第三认证码,并将所述第三认证码及处理结果发送至所述客户端;
所述客户端基于所述处理结果及共享密钥计算得到第四认证码;
若所述第三认证码与第四认证码匹配,则表明所述处理结果通过所述客户端的校验。
7.根据权利要求6所述的方法,其特征在于,所述若所述第三认证码与第四认证码匹配,则表明所述处理结果通过所述客户端的校验包括:
若所述第三认证码与第四认证码相同,则表明所述处理结果通过所述客户端的校验。
8.一种信息处理系统,其特征在于,包括:
客户端,其用于获得用户的注册信息,并与服务端的密码机进行交互,均基于所述用户的注册信息以及用于认证用户身份并用于计算客户端与密码机间密钥的SRP算法及协议计算出共享密钥,使所述客户端与密码机间建立能够通信的安全通道,所述客户端同时能够基于所述共享密钥计算得到加密后的请求数据包的第一认证码,并将所述第一认证码、用户名及请求数据包封装后经所述安全通道发送至密码机;
密码机,其用于根据所述用户名确定所述共享密钥,并基于所述共享密钥计算得到第二认证码,若所述第二认证码与第一认证码匹配,则表明所述请求数据包通过所述密码机的校验。
9.根据权利要求8所述的信息处理系统,其特征在于,所述客户端获得用户的注册信息时包括:
获得第一随机码;
基于所述第一随机码对用户的注册信息进行加密;
存储所述第一随机码及加密后的注册信息。
CN202010024529.2A 2020-01-10 2020-01-10 一种信息处理方法及系统 Active CN111262693B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010024529.2A CN111262693B (zh) 2020-01-10 2020-01-10 一种信息处理方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010024529.2A CN111262693B (zh) 2020-01-10 2020-01-10 一种信息处理方法及系统

Publications (2)

Publication Number Publication Date
CN111262693A CN111262693A (zh) 2020-06-09
CN111262693B true CN111262693B (zh) 2021-06-29

Family

ID=70953946

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010024529.2A Active CN111262693B (zh) 2020-01-10 2020-01-10 一种信息处理方法及系统

Country Status (1)

Country Link
CN (1) CN111262693B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112291066B (zh) * 2020-10-29 2022-02-01 中国科学院信息工程研究所 一种数据发送方法、接收方法、终端设备及电子设备
CN113992402B (zh) * 2021-10-27 2023-11-21 贝壳找房(北京)科技有限公司 一种基于零信任策略的访问控制方法、系统及介质

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1558593A (zh) * 2004-01-30 2004-12-29 阳 胡 采用密码技术来防止网络游戏外挂的方法
US10797864B2 (en) * 2011-11-21 2020-10-06 Combined Conditional Access Development And Support, Llc System and method for authenticating data while minimizing bandwidth
CN103929299B (zh) * 2014-04-28 2017-05-10 王小峰 地址即公钥的自安全轻量级网络报文传输方法
CN105577377B (zh) * 2014-10-13 2019-01-29 航天信息股份有限公司 带密钥协商的基于身份的认证方法和系统
CN106713247A (zh) * 2015-11-17 2017-05-24 中国移动通信集团公司 一种消息可信性验证方法及装置

Also Published As

Publication number Publication date
CN111262693A (zh) 2020-06-09

Similar Documents

Publication Publication Date Title
CN109728909B (zh) 基于USBKey的身份认证方法和系统
US20200092108A1 (en) Data communication method, device and apparatus, and storage medium
US9819666B2 (en) Pass-thru for client authentication
US8214649B2 (en) System and method for secure communications between at least one user device and a network entity
CN107040513B (zh) 一种可信访问认证处理方法、用户终端和服务端
US6263437B1 (en) Method and apparatus for conducting crypto-ignition processes between thin client devices and server devices over data networks
US8418242B2 (en) Method, system, and device for negotiating SA on IPv6 network
US20120284506A1 (en) Methods and apparatus for preventing crimeware attacks
EP3972293A1 (en) Bluetooth device connection methods and bluetooth devices
WO2011140924A1 (zh) 一种网关、节点和服务器进行鉴权的方法、装置及系统
JP2004515117A (ja) 暗号化データセキュリティシステムおよび方法
JP2002197064A (ja) 認証サーバに対してネットワーク・アクセス・サーバを認証する方法
KR102017758B1 (ko) 의료 기기, 게이트웨이 기기 및 이를 이용한 프로토콜 보안 방법
CN112637136A (zh) 加密通信方法及系统
CN111030814A (zh) 秘钥协商方法及装置
WO2009146655A1 (zh) 一种密码输入方法、装置和系统
CN108599926B (zh) 一种基于对称密钥池的HTTP-Digest改进型AKA身份认证系统和方法
CN111262693B (zh) 一种信息处理方法及系统
CN113904809A (zh) 一种通信方法、装置、电子设备及存储介质
CN110493177B (zh) 基于非对称密钥池对和序列号的量子通信服务站aka密钥协商方法和系统
WO2015180399A1 (zh) 一种认证方法及装置系统
US20240106633A1 (en) Account opening methods, systems, and apparatuses
CN113904767A (zh) 一种基于ssl建立通信的系统
JPH10340255A (ja) ネットワーク利用者認証方式
WO2023036348A1 (zh) 一种加密通信方法、装置、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: 100193 5th floor 510, No. 5 Building, East Yard, No. 10 Wangdong Road, Northwest Haidian District, Beijing

Patentee after: Beijing Shendun Technology Co.,Ltd.

Address before: 100193 5th floor 510, No. 5 Building, East Yard, No. 10 Wangdong Road, Northwest Haidian District, Beijing

Patentee before: BEIJING SENSESHIELD TECHNOLOGY Co.,Ltd.