CN112602290B - 一种身份验证方法、装置和可读存储介质 - Google Patents

一种身份验证方法、装置和可读存储介质 Download PDF

Info

Publication number
CN112602290B
CN112602290B CN201980054989.5A CN201980054989A CN112602290B CN 112602290 B CN112602290 B CN 112602290B CN 201980054989 A CN201980054989 A CN 201980054989A CN 112602290 B CN112602290 B CN 112602290B
Authority
CN
China
Prior art keywords
terminal
information
identity
authentication
public key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201980054989.5A
Other languages
English (en)
Other versions
CN112602290A (zh
Inventor
杨艳江
魏卓
吴双
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN112602290A publication Critical patent/CN112602290A/zh
Application granted granted Critical
Publication of CN112602290B publication Critical patent/CN112602290B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Abstract

本申请实施例公开了一种身份验证方法及装置,涉及通信领域,能够在身份验证过程中不必传输占用较大数据量的公钥证书,提高效率。该方法包括:第一终端接收第二终端发送的第二身份验证信息,第二身份验证信息用于表示第二终端的身份;其中,第二身份验证信息包括:第二DH元素、第二公钥信息;第二公钥信息包含第二公钥和第二证书信息;第一终端根据第一身份验证信息以及第二身份验证信息生成第一共享秘密;其中,第一身份验证信息用于表示第一终端的身份,第一身份验证信息包括:第一DH元素、第一公钥信息、第一私钥;第一公钥信息包含第一公钥和第一证书信息;第一终端根据第一共享秘密对第二终端的身份进行验证。

Description

一种身份验证方法、装置和可读存储介质
技术领域
本申请实施例涉及通信技术领域,尤其涉及一种身份验证方法及装置。
背景技术
车联网时代,车需要与外界互联从而接收外界信息和传递信息给外界,这就是车联任意事物(vehicle to everything,V2X)系统。如图1所示,V2X系统包括汽车到汽车(vehicle to vehicle,V2V)通信系统、汽车到行人(vehicle to pedestrian,V2P)系统、汽车到基础设施(vehicle to infrastructure,V2I)通信系统等,在这类通信系统中,车与外界之间采用业界标准的身份验证协议进行身份验证。如图2所示,V2X系统还包括车与驾驶员的手机互联的设备对设备(device to device,D2D) 通信系统或车与云服务器互联的汽车到网络(vehicle to network,V2N)的通信系统等,在这类通信系统中,为了提高效率原因,车与外界之间可采用非业界标准的身份验证协议进行身份验证。
现有技术中,常用的身份验证和密钥交换(authenticated key exchange,AKE)协议通常是通过通信双方共享相同的密钥或是双方分别拥有各自的公私钥对来实现安全的传输业务数据和/或信令消息,是一种使通信双方完成身份互认并生成共享的密钥用于保护后续通信的技术。密钥分发协议的前向安全性极为重要,前向安全可分为弱前向安全和强前向安全。其中,前者指攻击者取得其中一个用户的私钥不能推衍出之前生成的所有密钥,而后者指攻击者即便取得两个用户的私钥也不能推衍出之前生成的所有密钥。如无特殊,前向安全通常指强前向安全。安全传输层协议(transport layer security,TLS)是互联网广泛使用的AKE协议,但是,TLS是一个协议套件,为了兼容其它多种密码套件则需要发送多种信息,并且其采用的是传统的公钥系统,因此需要部署类似X.509公钥基础设施(public key infrastructure,PKI)系统来颁发公钥证书以证明用户公钥的合法性。故存在效率差和公钥证书管理复杂等问题。此外,现有技术中,还存在一种密钥协商协议族(menezes、qu、vanstone,MQV),MQV 协议是一项具有前向安全的AKE协议,可以减少消息的发送,但是其采用的也是传统公钥系统,因此也存在效率差和公钥证书管理复杂等问题。
发明内容
本申请的实施例提供一种身份验证方法及装置,能够实现通信系统中,在通信双方身份验证的过程中,不必传输占用较大数据量的证书就可以进行身份验证,进而提高身份验证效率。
第一方面,本申请实施例提供一种身份验证方法,所述方法包括:第一终端接收第二终端发送的第二身份验证信息,第二身份验证信息用于表示第二终端的身份;其中,第二身份验证信息包括:第二迪菲-赫尔曼DH元素、第二公钥信息;第二公钥信息包含第二公钥和第二证书信息;第一终端根据第一身份验证信息以及第二身份验证信息生成第一共享秘密;其中,第一身份验证信息用于表示第一终端的身份,第一身份验证信息包括:第一DH元素、第一公钥信息、第一私钥;第一公钥信息包含第一公钥和第一证书信息;第一终端根据第一共享秘密对第二终端的身份进行验证。
如此,能够实现根据DH元素,公钥,私钥,证书信息生成共享秘密,进而通信双方根据共享秘密对对方身份进行验证。相对于现有技术中,采用传统的公钥系统对通信双方进行身份认证的方法,本申请实施例不必传输占用较大数据量的公钥证书,提高了身份验证的效率。
结合第一方面,在第一方面的第一种可能的实现方式中,第一终端根据第一共享秘密对第二终端的身份进行验证,具体包括:第一终端获取第二消息验证码;第二消息验证码为第二终端根据第二共享秘密、第一证书信息以及第二证书信息生成,第二共享秘密为第二终端根据第一身份验证信息以及第二身份验证信息生成;第一终端根据第一共享秘密、第一证书信息及第二证书信息生成第一消息验证码;若第一消息码等于第二消息验证码,则第二终端身份验证通过。
结合第一方面,在第一方面的第二种可能的实现方式中,第一终端根据第一身份验证信息以及第二身份验证信息生成第一共享秘密,具体包括:第一终端生成第一DH 元素X;其中,X=gx,x表示小于素数q且与q互为素数的所有正整数的集合Zq *中的任一随机数,g表示一个椭圆曲线素数阶为q的循环群的生成元;第一终端生成第一数值d;其中,d为第一终端根据第一DH元素X和第二证书信息CIB进行哈希运算 d=H(X,CIB)生成;第一终端生成第二数值e;其中,e为第一终端根据第二DH元素Y和第一证书信息CIA进行哈希运算e=H(Y,CIA)生成;第一终端生成第三数值HB;其中, HB为第一终端根据第二公钥RB和第二证书信息CIB进行哈希运算HB=H(RB,CIB)生成;第一终端生成第一共享秘密σA;其中,
Figure GWB0000003340010000041
G表示凭证管理中心CA预设置的密钥对;SA表示第一私钥。
结合第一方面,在第一方面的第三种可能的实现方式中,第一终端根据第一身份验证信息以及第二身份验证信息生成第一共享秘密,具体包括:第一终端生成第一DH 元素X;其中,X=gx,x表示小于素数q且与q互为素数的所有正整数的集合Zq *中的任一随机数,g表示一个椭圆曲线素数阶为q的循环群的生成元;第一终端生成第一数值d;其中,d为第一终端根据第一DH元素X和第二证书信息CIB进行哈希运算 d=H(X,CIB)生成;第一终端生成第二数值e;其中,e为第一终端根据第二DH元素Y和第一证书信息CIA进行哈希运算e=H(Y,CIA)生成;第一终端生成第三数值HB;其中, HB为第一终端根据第二公钥RB和第二证书信息CIB进行哈希运算HB=H(RB,CIB)生成;第一终端生成第一共享秘密σA;其中,
Figure GWB0000003340010000042
其中,G表示凭证管理中心CA预设置的密钥对;SA表示第一私钥。
结合第一方面,在第一方面的第四种可能的实现方式中,第一证书信息包括:第一终端标识;还包括以下信息中的任意一项或几项:第一终端有效日期、第一终端序号;第二证书信息包括:第二终端标识;还包括以下信息中的任意一项或几项:第二终端有效日期、第二终端序号。
结合第一方面,在第一方面的第五种可能的实现方式中,第一终端采用密钥派生函数根据第一共享秘密生成第一共享密钥,第一共享密钥用于对第一终端与第二终端之间传输的数据进行加密以及解密。
第二方面,本申请实施例提供一种身份验证装置,该装置可以为实现上述第一方面方法的设备,也可以是设备中的组件(比如可以为设备中的芯片系统),该装置可以包括:接收模块,生成模块和验证模块。其中,接收模块,用于接收第二终端发送的第二身份验证信息,第二身份验证信息用于表示第二终端的身份;其中,第二身份验证信息包括:第二迪菲-赫尔曼DH元素、第二公钥信息;第二公钥信息包含第二公钥和第二证书信息。生成模块,用于根据第一身份验证信息以及第二身份验证信息生成第一共享秘密;其中,第一身份验证信息用于表示第一终端身份,第一身份验证信息包括:第一DH元素、第一公钥信息、第一私钥;第一公钥信息包含第一公钥和第一证书信息。验证模块,用于根据第一共享秘密对第二终端的身份进行验证。
结合第二方面,在第二方面的第一种可能的实现方式中,接收模块还用于获取第二消息验证码;第二消息验证码为第二终端根据第二共享秘密、第一证书信息以及第二证书信息生成,第二共享秘密为第二终端根据第一身份验证信息以及第二身份验证信息生成。生成模块还用于根据第一共享秘密、第一证书信息及第二证书信息生成第一消息验证码。验证模块具体用于根据第一消息验证码和第二消息验证码对第二终端身份进行验证;若第一消息码等于第二消息验证码,则第二终端身份验证通过。
结合第二方面,在第二方面的第二种可能的实现方式中,生成模块具体用于:生成第一DH元素X;其中,X=gx,x表示小于素数q且与q互为素数的所有正整数的集合Zq *中的任一随机数,g表示一个椭圆曲线素数阶为q的循环群的生成元;生成第一数值d;其中,d为第一终端根据第一DH元素X和第二证书信息CIB进行哈希运算 d=H(X,CIB)生成;生成第二数值e;其中,e为第一终端根据第二DH元素Y和第一证书信息CIA进行哈希运算e=H(Y,CIA)生成;生成第三数值HB;其中,HB为第一终端根据第二公钥RB和第二证书信息CIB进行哈希运算HB=H(RB,CIB)生成;生成第一共享秘密σA;其中,
Figure GWB0000003340010000051
G表示凭证管理中心CA预设置的密钥对; SA表示第一私钥。
结合第二方面,在第二方面的第三种可能的实现方式中,生成模块具体用于:生成第一DH元素X;其中,X=gx,x表示小于素数q且与q互为素数的所有正整数的集合Zq *中的任一随机数,g表示一个椭圆曲线素数阶为q的循环群的生成元。生成第一数值d;其中,d为第一终端根据第一DH元素X和第二证书信息CIB进行哈希运算 d=H(X,CIB)生成。生成第二数值e;其中,e为第一终端根据第二DH元素Y和第一证书信息CIA进行哈希运算e=H(Y,CIA)生成。生成第三数值HB;其中,HB为第一终端根据第二公钥RB和第二证书信息CIB进行哈希运算HB=H(RB,CIB)生成。生成第一共享秘密σA;其中,
Figure GWB0000003340010000061
其中,G表示凭证管理中心CA预设置的密钥对;SA表示第一私钥。
结合第二方面,在第二方面的第四种可能的实现方式中,第一证书信息包括:第一终端标识;还包括以下信息中的任意一项或几项:第一终端有效日期、第一终端序号;第二证书信息包括:第二终端标识;还包括以下信息中的任意一项或几项:第二终端有效日期、第二终端序号。
结合第二方面,在第二方面的第五种可能的实现方式中,第一终端采用密钥派生函数根据第一共享秘密生成第一共享密钥,第一共享密钥用于对第一终端与第二终端之间传输的数据进行加密以及解密。
第三方面,本申请实施例提供一种身份验证装置,该装置具有实现上述第一方面中任一项的身份验证方法的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
第四方面,本申请实施例提供一种身份验证装置,包括:处理器和存储器;该存储器用于存储计算机执行指令,当该身份验证装置运行时,该处理器执行该存储器存储的该计算机执行指令,以使该身份验证装置执行如上述第一方面及其各种可选的实现方式中任意之一所述的身份验证方法。
第五方面,本申请实施例提供一种身份验证装置,包括:处理器;处理器用于与存储器耦合,并读取存储器中的指令之后,根据指令执行如上述任一方面中任一项的身份验证方法。
第六方面,本申请实施例提供一种身份验证装置,该装置包括:处理器、存储器和通信接口。其中,存储器用于存储一个或多个程序。该一个或多个程序包括计算机执行指令,当该装置运行时,处理器执行该存储器存储的该计算机执行指令,以使该装置上述第一方面及其各种可选的实现方式中任意之一所述的身份验证方法。
第七方面,本申请实施例提供了一种身份验证装置,该装置可以为芯片系统,该芯片系统包括处理器,还可以包括存储器,用于实现上述第一方面及其各种可选的实现方式中任意之一所述的身份验证方法的功能。该芯片系统可以由芯片构成,也可以包含芯片和其他分立器件。
第八方面,本申请实施例提供一种身份验证装置,该装置可以为电路系统,电路系统包括处理电路,处理电路被配置为执行如上述任一方面中任一项的身份验证方法。
第九方面,本申请实施例提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当计算机执行该指令时,该计算机执行上述第一方面及其各种可选的实现方式中任意之一所述的身份验证方法。
第十方面,本申请实施例提供一种包含指令的计算机程序产品,当所述计算机程序产品在计算机上运行时,使得所述计算机执行上述第一方面及其各种可选的实现方式中任意之一所述的身份验证方法。
附图说明
图1为本申请实施例提供的一种通信系统的结构示意图;
图2为本申请实施例提供的一种通信系统的结构示意图;
图3为本申请实施例提供的一种瞬时迪菲-赫尔曼EDH协议流程示意图;
图4为本申请实施例提供的一种身份验证方法流程图;
图5为本申请实施例提供的一种身份验证方法流程图;
图6为本申请实施例提供的一种身份验证装置的结构示意图一;
图7为本申请实施例提供的一种身份验证装置的结构示意图二;
图8为本申请实施例提供的一种身份验证装置的结构示意图三。
具体实施方式
下面结合附图对本申请实施例提供的一种身份验证方法及装置进行详细地描述。
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。
本申请的说明书以及附图中的术语“第一”和“第二”等是用于区别不同的对象,或者用于区别对同一对象的不同处理,而不是用于描述对象的特定顺序。
此外,本申请的描述中所提到的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括其他没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,本申请实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
在本申请的描述中,除非另有说明,“多个”的含义是指两个或两个以上。
首先,以图2中示出的通信系统为例详细说明适用于本申请实施例的无线通信系统。如图2所示,该通信系统包括第一终端设备(手机)、第二终端设备(车)和云服务器(elastic compute service,ECS)。其中,上述第一终端设备和第二终端设备可以在侧行链路SL上直接通信,如V2X通信。需要说明的是,上述系统还可以包括网络设备,其中该网络设备为可选项,例如,如果存在基站,则是有网络覆盖的场景;如果没有基站,则是属于无网络覆盖的场景。在有网络覆盖的场景下,上述SL上直接通信所使用的资源池,可以是网络设备配置的资源池,如第一终端设备和第二终端设备可以通过与网络设备的空口连接正常时所使用的资源池,在没有网络覆盖的场景下,也可以是第一终端设备和第二终端设备中预配置的资源池,如设备厂商在终端设备出厂前根据协议规定事先配置在终端设备中的资源池。
需要说明的是,上述第一终端设备和第二终端设备也可以在侧行链路SL上直接通信,可以是V2X形式的通信,如V2V通信、V2I通信、V2N通信、V2P通信等,也可以是终端设备之间其他形式的直接通信,如行人到行人(pedestrian to pedestrian, P2P)通信。
此外,除侧行链路(sidelink,SL)外,终端设备之间的直接通信也可以采用其他形式或其他名称的无线连接,如未来的无线通信系统,如6G系统,终端设备之间的直接通信所采用的无线连接,本申请对此不作限定。
其中,上述网络设备可以为具有无线收发功能的接入网设备或设置于该接入网设备中的芯片。该接入网设备包括但不限于:Wi-Fi系统中的接入点(access point, AP),如家用无线路由器、无线中继节点、无线回传节点、传输点(transmission and receptionpoint,TRP或者transmission point,TP),eNB、无线网络控制器(radio networkcontroller,RNC)、节点B(Node B,NB)、基站控制器(base station controller, BSC)、基站收发台(base transceiver station,BTS)、家庭基站(例如,home evolved NodeB,或home Node B,HNB)、基带单元(baseband unit,BBU),还可以为5G,如NR,系统中的gNB,或,传输点(TRP或TP),5G系统中的基站的一个或一组(包括多个天线面板)天线面板,或者,还可以为构成gNB或传输点的网络节点,如基带单元(BBU),或,分布式单元(distributedunit,DU)等。
在一些部署中,gNB可以包括集中式单元(centralized unit,CU)和分布式单元(distributed unit,DU)。gNB还可以包括射频单元(radio unit,RU)。CU实现gNB的部分功能,DU实现gNB的部分功能,比如,CU实现无线资源控制(radio resource control,RRC),分组数据汇聚层协议(packet data convergence protocol, PDCP)层和服务发现应用规范(service discovery application profile,SDAP)层的功能,DU实现无线链路控制(radiolink control,RLC)、媒体接入控制(media access control,MAC)和物理(physical,PHY)层的功能。由于RRC层的信息最终会变成PHY层的信息,或者,由PHY层的信息转变而来,因而,在这种架构下,高层信令,如RRC层信令或PHCP层信令,也可以认为是由DU发送的,或者,由DU+RU发送的。可以理解的是,网络设备可以为CU节点、或DU节点、或包括CU节点和DU节点的设备。此外,CU可以划分为接入网RAN中的网络设备,也可以将CU划分为核心网CN中的网络设备,在此不做限制。
上述终端设备可以为具有无线收发功能的用户设备或设置于该用户设备中的芯片。上述终端设备也可以称为站点(station,STA)、用户设备(user equipment,UE)、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、无线通信设备、用户代理或用户装置。上述终端设备包括但不限于:手机 (mobile phone)、平板电脑(Pad)、带无线收发功能的电脑、虚拟现实(virtual reality, VR)终端设备、增强现实(augmented reality,AR)终端设备、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端、传感器类设备(如监控终端等)、车辆、车载模组、车载电脑、车载芯片、车载通信系统、工业控制中的无线终端等。为方便描述,本申请中,上面提到的设备统称为终端。
应理解,图2仅为便于理解而示例的简化示意图,该通信系统中还可以包括其他网络设备,和/或,其他终端设备,图2中未予以画出。
本申请实施例中的术语“通信”还可以描述为“数据传输”、“信息传输”或“传输”等。
通常在车联网系统中,通信双方在通信开始之前,首先需要使用具有前向安全的密钥分发协议对对方身份进行验证,验证通过后才能够进行密钥的分发,进而实现后续的数据传输。特别在车联网系统中的专用短距通信(dedicated short rangecommunications,DSRC)中,需要在保障数据传输安全性的基础上还需要保障传输效率。现有技术中,通常采用具有前向安全的密钥分发协议瞬时迪菲-赫尔曼(ephemeral diffie-hellman,EDH)协议对通信双方身份进行验证,EDH是TLS的一种主要密码套件(ciphersuite)。如图3所示,TLS EDH的主要工作流程包括:
1、客户端(Client)向服务器(Server)发送一个Client Hello消息,该消息中携带有一随机数Rc。其中,Rc为客户端任意选择的一个随机数。
2、服务器(Server)向客户端(Client)发送一个Server Hello消息,该消息中携带有服务器选择的任一随机数Rs、服务器证书、基于一素数阶椭圆曲线循环群的服务器迪菲-赫尔曼(Diffie-Hellman,DH)元素、服务器数字签名及客户端证书请求 (该请求用于向客户端请求客户端证书)。
3、客户端(Client)向服务器(Server)发送客户端证书、基于上述素数阶椭圆曲线循环群的客户端DH元素、客户端数字签名、加密后的finish消息。
4、服务器(Server)向客户端(Client)发送加密后的finish消息。
需要说明的是,上述TLS EDH流程中主要保留了与密码学计算相关的信息,而省略其他信息,其具体实现可参考现有技术。
根据上述流程可知,TSL EDH采用了传统的公钥系统,当对用户进行身份验证时需先验证用户的公钥证书(包含于DH元素中)以证明公钥的合法性,之后再用公钥验证签名以验证身份,并且为双向验证,每次都需要先对所有公钥证书进行验证,步骤繁琐,且由于每次传输的公钥证书数据量较大,也会影响效率,并且大量的公钥证书会使得证书管理过程较为复杂,进一步的影响效率。
为了能够更加高效的对通信双方的身份进行验证,以实现更高效率的密钥分发,进而保证终端之间可以更加快速的进入数据传输阶段,本申请实施例提出一种身份验证方法,可以应用于任意两个终端进行身份验证的过程中,例如可以应用于图2所示的通信系统中,第一终端设备(手机)和第二终端设备(车)之间的身份验证过程中,或者,第二终端设备(车)和云服务器之间的身份验证过程中。当然,本申请实施例的应用场景,不限于图2所示的通信系统,还可以应用在网上银行交易通信系统等,如任意两个终端之间进行身份验证的应用场景中。本申请实施例的身份验证方法,适用于IEEE 1609.2、IETF RFC6507及ISO/IEC 29192-4等基于身份的数字签名方案。
本申请实施例中,将任意两个需要进行身份验证的终端分别描述为第一终端和第二终端,参见图4所示,具体流程包括:
S101、第一终端接收第二终端发送的第二身份验证信息。
为了便于下文理解,首先,对第一身份验证信息及第二身份验证信息进行介绍。
第一身份验证信息由第一终端产生,用于表示第一终端身份,以便于与第一终端进行通信的第二终端对其身份进行验证。主要包括以下信息:
第一DH元素X。第一终端可以根据公式X=gx求得第一终端的第一DH元素X。其中,x表示小于素数q且与q互为素数的所有正整数的集合Zq *中的任一随机数,g表示一个椭圆曲线素数阶为q的循环群的生成元。
第一公钥信息。其中,第一公钥信息包含第一公钥RA和第一证书信息CIA,即第一公钥信息为
Figure GWB0000003340010000108
其中,第一终端可以根据公式
Figure GWB0000003340010000101
求得第一终端的第一公钥RA。第一证书信息CIA包括:第一终端标识IDA,还包括以下信息中的任意一项或几项:第一终端有效日期、第一终端序号。那么结合第一终端标识IDA第一公钥也可以表示为
Figure GWB0000003340010000102
第一私钥SA。第一终端获取凭证管理中心(certificate authority,CA)根据第一终端的第一公钥信息签发的第一私钥SA及预配置的公钥G。其中,SA=S+rAHA(mod q),
Figure GWB0000003340010000103
HA=H(RA,CIA)。
第二身份验证信息由第二终端产生,用于表示第二终端身份,以便于与第二终端进行通信的第一终端对其身份进行验证。主要包括以下信息:
第二DH元素。第二终端可以根据公式Y=gy,y∈Zq *求得第二终端的第二DH元素Y。
第二公钥信息。其中,第二公钥信息包含第二公钥RB和第二证书信息CIB,即第二公钥信息为
Figure GWB0000003340010000104
其中,第二终端可以根据公式
Figure GWB0000003340010000105
求得第二终端的第二公钥RB。第二证书信息CIB包括:第二终端标识IDB,还包括以下信息中的任意一项或几项:第二终端有效日期、第二终端序号。那么结合第二终端标识IDB第二公钥也可以表示为
Figure GWB0000003340010000106
第二私钥。第二终端获取CA根据第二终端的第二公钥信息签发的第二私钥SB及预配置的公钥G。其中,SB=S+rBHB(mod q),
Figure GWB0000003340010000107
HB=H(RB,CIB)。
S102、第一终端根据第一身份验证信息以及第二身份验证信息生成第一共享秘密。
具体的,第一终端根据第一身份验证信息以及第二身份验证信息生成第一共享秘密可以通过下述几个步骤完成:
步骤一、获取第一DH元素X=gx,第二公钥RB,第一私钥SA
步骤二、根据第一DH元素X和第二证书信息CIB进行哈希运算d=H(X,CIB)生成第一数值d。
步骤三、根据第二DH元素Y和第一证书信息CIA进行哈希运算e=H(Y,CIA)生成第二数值e。
步骤四、根据第二公钥RB和第二证书信息CIB进行哈希运算HB=H(RB,CIB)生成第三数值HB
步骤五、获取CA预设置的密钥对G,G=gs
Figure GWB0000003340010000111
步骤六、根据公式
Figure GWB0000003340010000112
生成第一共享秘密σA。或者,也可以根据公式
Figure GWB0000003340010000113
生成第一共享秘密σA。两种计算公式都可以实现生成第一共享秘密,对此本申请实施例不做具体限定。
上述步骤一至步骤五的顺序本申请实施例不做具体限定。
S103、第一终端根据第一共享秘密对第二终端的身份进行验证。
作为一种可能的实现方式,如图5所示,S103可以实现为如下步骤S1031至S1035:
S1031、第一终端向第二终端发送的第一身份验证信息。相应的,第二终端接收第一终端发送的身份验证信息。
其中,第一身份验证信息的相关内容可参考步骤S101的相关内容,这里不再进行赘述。
之后,第二终端根据该第一身份验证信息以及其自身的第二身份验证信息采用和步骤S102类似的方式生成第二共享秘密,如S1032所示。
S1032、第二终端根据第一身份验证信息以及第二身份验证信息生成第二共享秘密。
具体的,第二终端根据第一身份验证信息以及第二身份验证信息生成第二共享秘密可以通过下述几个步骤完成:
步骤一、获取第二DH元素Y=gy,第一公钥RA,第二私钥SB
步骤二、根据第一DH元素X和第二证书信息CIB进行哈希运算d=H(X,CIB)生成第一数值d。
步骤三、根据第二DH元素Y和第一证书信息CIA进行哈希运算e=H(Y,CIA)生成第二数值e。
步骤四、根据第一公钥RA和第一证书信息CIA进行哈希运算HA=H(RA,CIA)生成第四数值HA
步骤五、获取CA预设置的密钥对G,G=gs
Figure GWB0000003340010000121
步骤六、根据公式
Figure GWB0000003340010000122
生成第二共享秘密σB。或者,也可以根据公式
Figure GWB0000003340010000123
生成第二共享秘密σB。两种计算公式都可以实现生成第二共享秘密,对此本申请实施例不做具体限定。
上述步骤一至步骤五的顺序本申请实施例不做具体限定。
S1033、第二终端根据第二共享秘密生成第二消息验证码。
可以采用如下方式生成第二消息验证码:
第二终端根据第二共享秘密、第一证书信息以及第二证书信息采用带密钥的哈希函数,即消息验证码(message authentication code,MAC)确定第二消息验证码ADB,即 ADB=MAC(σB,CIA,CIB)。
相应的,第一终端也可以根据第一共享秘密、第一证书信息及第二证书信息生成第一消息验证码ADA,ADA=MAC(σA,CIB,CIA)。
需要说明的是,本申请实施中所采用的生成消息验证码的方式包括但不限于上述列举的方式,本申请实施对此不作具体限定。
S1034、第二终端向第一终端发送第二消息验证码。
S1035、第一终端根据第一共享秘密及第二消息验证码对第二终端的身份进行验证。
具体的,若第一消息码ADA等于第二消息验证码ADB,即利用第一共享秘密,验证ADB=MAC(σB,CIA,CIB)=MAC(σA,CIA,CIB)=ADA,则第二终端身份验证通过,可以继续身份验证,即参见图5,第一终端将第一消息验证码ADA发送给第二终端,进而使第二终端可以根据第二共享秘密及第一消息验证码对第一终端身份进行验证, ADA=MAC(σA,CIB,CIA)=MAC(σB,CIB,CIA)=ADB。如果第二终端身份验证不通过,则终止身份验证,即不进行后续步骤,此次身份验证过程结束。当双方身份验证均通过时,则判定此次身份验证合格,可以进行后续数据传输;当一方或双方身份验证未通过,则判定此次身份验证不合格,不能进行后续数据传输。
进一步的,通过上述步骤,对第一终端及第二终端身份进行验证之后,还可以进一步生成共享密钥,以保证第一终端和第二终端之间数据传输的安全。因此,还可以包括下述步骤S104:
S104、第一终端根据第一共享秘密生成第一共享密钥。
具体的,密钥派生函数可用于派生各种算法的输入密钥,因此,第一终端可以将第一共享秘密作为输入参数采用密钥派生函数(key derivation function,KDF)生成第一共享密钥KAB,KAB=KDF(σA)。该第一共享密钥可以用于对第一终端与第二终端之间传输的数据进行加密以及解密,以保护数据传输安全。相应的,第二终端也可以利用KDF函数生成第二共享密钥KBA,KBA=KDF(σB),该第二共享密钥同样用于对第一终端与第二终端之间传输的数据进行加密以及解密,以保护数据传输安全。示例性的,第一终端利用第一共享密钥将第一数据加密后发送给第二终端,第二终端接收第一数据后利用第二共享密钥对加密的第一数据进行解密。第二终端利用第二共享密钥将第二数据加密后回复给第一终端,第一终端接收第二数据后利用第一共享密钥对加密的第二数据进行解密。因此,通信双方实现了利用共享密钥对数据加密及解密,保证了数据传输的安全性。
需要说明的是,本申请实施中所采用的密钥派生函数包括但不限于上述列举的KDF函数,本申请实施中所采用密钥派生函数还可以包括其他的密钥派生函数。
由此可见,本申请实施例的身份验证方法,能够实现根据DH元素,公钥,私钥,证书信息生成共享秘密,进而通信双方根据共享秘密对对方身份进行验证。相对于现有技术中,采用传统的公钥系统对通信双方进行身份认证的方法,本申请实施例不必传输占用较大数据量的公钥证书,提高了身份验证的效率。
具体的,以TLS EDH协议为例,假设通信双方(即第一终端和第二终端)使用椭圆曲线数字签名算法(ECDSA)通信,通信双方需要对对方的数字签名进行验证,以确认对方身份,此时由于通信双方公钥证书的传输验证使得总计算量大于5个椭圆曲线指数运算。而本申请实施例,以第一终端为例,第一终端需要对第一DH元素X和第一共享秘密σA进行计算。其中,第一DH元素X的计算过程为一个单基指数计算,而第一共享秘密σA的计算过程为一个3基指数计算。采用平方乘方法(square-and-multiply method)的指数计算方法,3基指数计算的计算量约是单基指数计算的1.25倍。因此第一终端的计算量约是2.25单基指数计算。同理,第二终端的计算量也约是2.25单基指数计算。因此两个终端共需做约4.5个单基指数计算,即,第一终端和第二终端双方身份验证效率高于TLS EDH。
本申请实施例可以根据上述方法示例对装置进行功能模块或者功能单元的划分,例如,可以对应各个功能划分各个功能模块或者功能单元,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块或者功能单元的形式实现。其中,本申请实施例中对模块或者单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
图6示出了上述实施例中所涉及的装置的一种可能的结构示意图。该装置600包括接收模块601、生成模块602、验证模块603。
接收模块601,用于接收第二终端发送的第二身份验证信息,第二身份验证信息用于表示第二终端的身份,第二身份验证信息包括:第二DH元素、第二公钥信息。第二公钥信息包含第二公钥和第二证书信息。
生成模块602,用于根据第一身份验证信息以及第二身份验证信息生成第一共享秘密;其中,第一身份验证信息用于表示第一终端的身份,第一身份验证信息包括:第一DH元素、第一公钥信息、第一私钥;第一公钥信息包含第一公钥和第一证书信息。
验证模块603,用于根据第一共享秘密对第二终端的身份进行验证。
可选的,接收模块601,还用于获取第二消息验证码;第二消息验证码为第二终端根据第二共享秘密、第一证书信息以及第二证书信息生成,第二共享秘密为第二终端根据第一身份验证信息以及第二身份验证信息生成。
可选的,生成模块602,还用于根据第一共享秘密、第一证书信息及第二证书信息生成第一消息验证码。
可选的,验证模块603,具体用于根据第一消息验证码和第二消息验证码对第二终端身份进行验证;若第一消息码等于第二消息验证码,则第二终端身份验证通过。
可选的,生成模块602,具体用于生成第一DH元素X;其中,X=gx,x表示小于素数q且与q互为素数的所有正整数的集合Zq *中的任一随机数,g表示一个椭圆曲线素数阶为q的循环群的生成元;生成第一数值d;其中,d为第一终端根据第一DH元素X和第二证书信息CIB进行哈希运算d=H(X,CIB)生成;生成第二数值e;其中,e为第一终端根据第二DH元素Y和第一证书信息CIA进行哈希运算e=H(Y,CIA)生成;生成第三数值HB;其中,HB为第一终端根据第二公钥RB和第二证书信息CIB进行哈希运算 HB=H(RB,CIB)生成;生成第一共享秘密σA;其中,
Figure GWB0000003340010000141
G表示凭证管理中心CA预设置的密钥对;SA表示第一私钥。
可选的,生成模块602,具体用于生成第一DH元素X;其中,X=gx,x表示小于素数q且与q互为素数的所有正整数的集合Zq *中的任一随机数,g表示一个椭圆曲线素数阶为q的循环群的生成元。生成第一数值d;其中,d为第一终端根据第一DH元素X和第二证书信息CIB进行哈希运算d=H(X,CIB)生成。生成第二数值e;其中,e为第一终端根据第二DH元素Y和第一证书信息CIA进行哈希运算e=H(Y,CIA)生成。生成第三数值HB;其中,HB为第一终端根据第二公钥RB和第二证书信息CIB进行哈希运算 HB=H(RB,CIB)生成。生成第一共享秘密σA;其中,
Figure GWB0000003340010000142
其中,G表示凭证管理中心CA预设置的密钥对;SA表示第一私钥。
可选的,第一证书信息包括:第一终端标识;还包括以下信息中的任意一项或几项:第一终端有效日期、第一终端序号;第二证书信息包括:第二终端标识;还包括以下信息中的任意一项或几项:第二终端有效日期、第二终端序号。
可选的,生成模块602,还用于采用密钥派生函数根据第一共享秘密生成第一共享密钥,第一共享密钥用于对第一终端与第二终端之间传输的数据进行加密以及解密。
本申请实施例提供的身份验证装置,能够实现根据DH元素,公钥,私钥,证书信息生成共享秘密,进而通信双方根据共享秘密对对方身份进行验证。相对于现有技术中,采用传统的公钥系统对通信双方进行身份认证的方法,本申请实施例不必传输占用较大数据量的公钥证书,提高了身份验证的效率。
图7示出了上述实施例中所涉及的装置的一种可能的结构示意图。如图7所示,该装置700可以包括:处理器701和通信接口702。处理器701用于对该装置700的动作进行控制管理,例如,执行上述生成模块602和验证模块603执行的步骤,和/ 或用于执行本文所描述的技术的其它过程。通信接口702用于执行接收模块601执行的步骤,支持该装置与其他网络实体的通信。此外,该装置还可以包括存储器703和总线704,存储器703用于存储该装置700的程序代码和数据。
其中,存储器703可以包括易失性存储器,例如随机存取存储器;该存储器也可以包括非易失性存储器,例如只读存储器,快闪存储器,硬盘或固态硬盘;该存储器还可以包括上述种类的存储器的组合。
上述处理器701可以是实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。该处理器可以是中央处理器,通用处理器,数字信号处理器,专用集成电路,现场可编程门阵列或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等。
总线704可以是扩展工业标准结构(extended industry standardarchitecture, EISA)总线等。总线704可以分为地址总线、数据总线、控制总线等。为便于表示,图7中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
如图8所示,本申请实施例提供身份验证装置的另一种可能的结构示意图。该装置800包括:处理单元801。处理单元801用于对装置600的动作进行控制管理,例如,执行上述生成模块602和验证模块603执行的步骤,和/或用于执行本文所描述的技术的其它过程。装置800还可以包括存储单元802和通信单元803,存储单元802 用于存储该装置的程序代码和数据;通信单元803用于执行接收模块601执行的步骤,支持该装置与其他网络实体的通信。
其中,结合图7和图8,上述处理单元801可以是装置700中的处理器701或控制器。
存储单元802可以是装置700中的存储器703等,该存储器703可以包括易失性存储器,例如随机存取存储器;该存储器也可以包括非易失性存储器,例如只读存储器,快闪存储器,硬盘或固态硬盘;该存储器还可以包括上述种类的存储器的组合。
通信单元803可以是装置700中的通信接口702,还可以是收发器或收发电路等。
本申请的实施例还提供了一种计算机存储介质,用于存储为上述身份验证装置所用的计算机软件指令。
本申请的实施例还提供了一种计算机程序产品,例如计算机可读存储介质,包括用于执行上述实施例中身份验证装置执行的步骤所设计的程序。
结合本申请公开内容所描述的方法或者算法的步骤可以硬件的方式来实现,也可以是由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成,软件模块可以被存放于随机存取存储器(random access memory,RAM)、闪存、只读存储器(readonly memory,ROM)、可擦除可编程只读存储器(erasable programmable ROM,EPROM)、电可擦可编程只读存储器(electrically EPROM,EEPROM)、寄存器、硬盘、移动硬盘、只读光盘(CD-ROM)或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于专用集成电路(applicationspecific integrated circuit,ASIC) 中。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor) 执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (8)

1.一种身份验证方法,其特征在于,所述方法包括:
第一终端接收第二终端发送的第二身份验证信息,所述第二身份验证信息用于表示所述第二终端的身份;其中,所述第二身份验证信息包括:第二迪菲-赫尔曼DH元素、第二公钥信息;所述第二公钥信息包含第二公钥和第二证书信息;
所述第一终端根据第一身份验证信息以及所述第二身份验证信息生成第一共享秘密;其中,所述第一身份验证信息用于表示所述第一终端的身份,所述第一身份验证信息包括:第一DH元素、第一公钥信息、第一私钥;所述第一公钥信息包含第一公钥和第一证书信息;
所述第一终端根据所述第一共享秘密对所述第二终端的身份进行验证;
其中,所述第一终端根据第一身份验证信息以及所述第二身份验证信息生成第一共享秘密,具体包括:
所述第一终端生成第一DH元素X;其中,所述X=gx,所述x表示小于素数q且与所述q互为素数的所有正整数的集合Zq *中的任一随机数,g表示一个椭圆曲线素数阶为q的循环群的生成元;
所述第一终端生成第一数值d;其中,所述d为所述第一终端根据所述第一DH元素X和所述第二证书信息CIB进行哈希运算d=H(X,CIB)生成;
所述第一终端生成第二数值e;其中,所述e为所述第一终端根据第二DH元素Y和所述第一证书信息CIA进行哈希运算e=H(Y,CIA)生成;
所述第一终端生成第三数值HB;其中,所述HB为所述第一终端根据所述第二公钥RB和所述第二证书信息CIB进行哈希运算HB=H(RB,CIB)生成;
所述第一终端生成第一共享秘密σA;其中,
Figure FDA0003304078410000011
或者,
Figure FDA0003304078410000012
Figure FDA0003304078410000013
G表示凭证管理中心CA预设置的密钥对;SA表示所述第一私钥;
其中,所述第一终端根据所述第一共享秘密对所述第二终端的身份进行验证,具体包括:
所述第一终端获取第二消息验证码;所述第二消息验证码为所述第二终端根据第二共享秘密、所述第一证书信息以及所述第二证书信息生成,所述第二共享秘密为第二终端根据所述第一身份验证信息以及第二身份验证信息生成;
所述第一终端根据所述第一共享秘密、所述第一证书信息及所述第二证书信息生成第一消息验证码;
若所述第一消息验证码等于所述第二消息验证码,则所述第二终端身份验证通过。
2.根据权利要求1所述的身份验证方法,其特征在于,
所述第一证书信息包括:第一终端标识;还包括以下信息中的任意一项或几项:第一终端有效日期、第一终端序号;
所述第二证书信息包括:第二终端标识;还包括以下信息中的任意一项或几项:第二终端有效日期、第二终端序号。
3.根据权利要求1或2所述的身份验证方法,其特征在于,所述方法还包括:
所述第一终端采用密钥派生函数根据所述第一共享秘密生成第一共享密钥,所述第一共享密钥用于对所述第一终端与所述第二终端之间传输的数据进行加密以及解密。
4.一种身份验证装置,其特征在于,所述装置应用于第一终端,所述装置包括:
接收模块,用于接收第二终端发送的第二身份验证信息,所述第二身份验证信息用于表示所述第二终端的身份;其中,所述第二身份验证信息包括:第二迪菲-赫尔曼DH元素、第二公钥信息;所述第二公钥信息包含第二公钥和第二证书信息;
生成模块,用于根据第一身份验证信息以及所述第二身份验证信息生成第一共享秘密;其中,所述第一身份验证信息用于表示第一终端的身份,所述第一身份验证信息包括:第一DH元素、第一公钥信息、第一私钥;所述第一公钥信息包含第一公钥和第一证书信息;
验证模块,用于根据所述第一共享秘密对所述第二终端的身份进行验证;
其中,所述生成模块具体用于:
生成第一DH元素X;其中,所述X=gx,所述x表示小于素数q且与所述q互为素数的所有正整数的集合Zq *中的任一随机数,g表示一个椭圆曲线素数阶为q的循环群的生成元;
生成第一数值d;其中,所述d为所述第一终端根据所述第一DH元素X和所述第二证书信息CIB进行哈希运算d=H(X,CIB)生成;
生成第二数值e;其中,所述e为所述第一终端根据第二DH元素Y和所述第一证书信息CIA进行哈希运算e=H(Y,CIA)生成;
生成第三数值HB;其中,所述HB为所述第一终端根据所述第二公钥RB和所述第二证书信息CIB进行哈希运算HB=H(RB,CIB)生成;
生成第一共享秘密σA;其中,
Figure FDA0003304078410000021
或者,
Figure FDA0003304078410000022
Figure FDA0003304078410000023
G表示凭证管理中心CA预设置的密钥对;SA表示所述第一私钥;
其中,所述接收模块,还用于获取第二消息验证码;所述第二消息验证码为所述第二终端根据第二共享秘密、所述第一证书信息以及所述第二证书信息生成,所述第二共享秘密为第二终端根据所述第一身份验证信息以及第二身份验证信息生成;
所述生成模块,还用于根据所述第一共享秘密、所述第一证书信息及所述第二证书信息生成第一消息验证码;
所述验证模块,具体用于根据所述第一消息验证码和第二消息验证码对第二终端身份进行验证;若所述第一消息验证码等于所述第二消息验证码,则所述第二终端身份验证通过。
5.根据权利要求4所述的身份验证装置,其特征在于,
所述第一证书信息包括:第一终端标识;还包括以下信息中的任意一项或几项:第一终端有效日期、第一终端序号;
所述第二证书信息包括:第二终端标识;还包括以下信息中的任意一项或几项:第二终端有效日期、第二终端序号。
6.根据权利要求4或5所述的身份验证装置,其特征在于,
所述生成模块,还用于采用密钥派生函数根据所述第一共享秘密生成第一共享密钥,所述第一共享密钥用于对所述第一终端与所述第二终端之间传输的数据进行加密以及解密。
7.一种身份验证装置,其特征在于,所述身份验证装置包括:处理器、通信接口和存储器,其中,存储器用于存储一个或多个程序,所述一个或多个程序包括计算机执行指令,当所述装置运行时,处理器执行所述存储器存储的计算机执行指令,以使所述装置执行权利要求1至3中任意一项所述的身份验证方法。
8.一种计算机可读存储介质,其特征在于,计算机可读存储介质中存储有指令,当计算机执行所述指令时,所述计算机执行如权利要求1至3中任意一项所述的身份验证方法。
CN201980054989.5A 2019-08-02 2019-08-02 一种身份验证方法、装置和可读存储介质 Active CN112602290B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2019/099045 WO2021022406A1 (zh) 2019-08-02 2019-08-02 一种身份验证方法及装置

Publications (2)

Publication Number Publication Date
CN112602290A CN112602290A (zh) 2021-04-02
CN112602290B true CN112602290B (zh) 2022-02-08

Family

ID=74503296

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201980054989.5A Active CN112602290B (zh) 2019-08-02 2019-08-02 一种身份验证方法、装置和可读存储介质

Country Status (2)

Country Link
CN (1) CN112602290B (zh)
WO (1) WO2021022406A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114205168B (zh) * 2021-12-20 2023-07-18 全球能源互联网研究院有限公司 一种用于身份认证的终端设备密钥分配方法及系统
CN114362946B (zh) * 2022-03-10 2022-06-07 北京得瑞领新科技有限公司 密钥协商方法及系统
CN116614814B (zh) * 2023-07-17 2023-10-10 中汽智联技术有限公司 基于v2x通信的x.509证书申请方法、设备和介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101242426A (zh) * 2007-02-06 2008-08-13 华为技术有限公司 建立传输层安全连接的方法、系统及装置
CN101247394A (zh) * 2008-01-10 2008-08-20 赵运磊 一种改进的密钥交换协议
CN109905348A (zh) * 2017-12-07 2019-06-18 华为技术有限公司 端到端认证及密钥协商方法、装置及系统

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101060530A (zh) * 2007-05-22 2007-10-24 赵运磊 可抵赖的互联网密钥交换协议
CN101175076B (zh) * 2007-10-23 2012-01-11 赵运磊 在线计算高效、可抵赖、不可锻造安全的密钥交换方法
US9344438B2 (en) * 2008-12-22 2016-05-17 Qualcomm Incorporated Secure node identifier assignment in a distributed hash table for peer-to-peer networks
US20160286395A1 (en) * 2015-03-24 2016-09-29 Intel Corporation Apparatus, system and method of securing communication between wireless devices

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101242426A (zh) * 2007-02-06 2008-08-13 华为技术有限公司 建立传输层安全连接的方法、系统及装置
CN101247394A (zh) * 2008-01-10 2008-08-20 赵运磊 一种改进的密钥交换协议
CN109905348A (zh) * 2017-12-07 2019-06-18 华为技术有限公司 端到端认证及密钥协商方法、装置及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
An Enhanced Secure Identity-Based Certificateless Public Key Authentication Scheme for Vehicular Sensor Networks;Congcong,Li等;《Sensors》;20180111;第18卷(第1期);第1-26页 *

Also Published As

Publication number Publication date
CN112602290A (zh) 2021-04-02
WO2021022406A1 (zh) 2021-02-11

Similar Documents

Publication Publication Date Title
US10812969B2 (en) System and method for configuring a wireless device for wireless network access
US11563565B2 (en) System and method for computing private keys for self certified identity based signature schemes
EP2792100B1 (en) Method and device for secure communications over a network using a hardware security engine
CN111953705A (zh) 物联网身份认证方法、装置及电力物联网身份认证系统
CN112740733B (zh) 一种安全接入方法及装置
US10516654B2 (en) System, apparatus and method for key provisioning delegation
CN110402560B (zh) 具有前向安全性的基于身份的认证密钥交换方案中用于计算公有会话密钥的系统和方法
CN112602290B (zh) 一种身份验证方法、装置和可读存储介质
CN103873487A (zh) 一种基于智能家居设备安全挂件的家居信任组网的实现方法
US11044081B2 (en) System and method for obtaining a common session key between devices
CN105282179A (zh) 一种基于cpk的家庭物联网安全控制的方法
CN109309566B (zh) 一种认证方法、装置、系统、设备及存储介质
WO2021120924A1 (zh) 一种证书申请方法及设备
CN111654481B (zh) 一种身份认证方法、装置和存储介质
CN112449323B (zh) 一种通信方法、装置和系统
CN104243452A (zh) 一种云计算访问控制方法及系统
CN108011856B (zh) 一种传输数据的方法和装置
WO2023283789A1 (zh) 一种安全通信方法及装置、终端设备、网络设备
US20200366474A1 (en) Private key generation method and device
CN105471896A (zh) 基于ssl的代理方法、装置及系统
US9876774B2 (en) Communication security system and method
CN112367329B (zh) 通信连接认证方法、装置、计算机设备及存储介质
WO2016176902A1 (zh) 一种终端认证方法、管理终端及申请终端
CN111656729A (zh) 用于为编码两台设备之间的数字通信计算托管会话密钥和私人会话密钥的系统和方法
CN113228722B (zh) 一种配对方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant