CN113114654A - 一种终端设备接入安全认证方法、装置及系统 - Google Patents
一种终端设备接入安全认证方法、装置及系统 Download PDFInfo
- Publication number
- CN113114654A CN113114654A CN202110366324.7A CN202110366324A CN113114654A CN 113114654 A CN113114654 A CN 113114654A CN 202110366324 A CN202110366324 A CN 202110366324A CN 113114654 A CN113114654 A CN 113114654A
- Authority
- CN
- China
- Prior art keywords
- subsequence
- ciphertext
- mode
- key
- terminal device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0478—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0637—Modes of operation, e.g. cipher block chaining [CBC], electronic codebook [ECB] or Galois/counter mode [GCM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
Abstract
本发明提供了一种终端设备接入安全认证方法、装置及系统,其中方法应用于终端设备,方法包括:获取随机数序列,并从所述随机数序列中拆分出第一子序列与第二子序列;将第二子序列作为密钥加密第一子序列,得到第一密文;基于所述第一子序列获取模式密钥以及模式向量;使用模式密钥以及模式向量加密终端设备信息,得到第二密文;获取针对第一密文、第二子序列以及第二密文的哈希值;将第一密文、第二子序列、第二密文以及所述哈希值作为请求报文发送至服务端,以使服务端对所述终端设备进行验证。应用本发明实施例,可以提高加密的安全性。
Description
技术领域
本发明涉及系统安全技术领域,具体涉及一种终端设备接入安全认证方法、装置及系统。
背景技术
随着物联网技术的快速发展,越来越多的行业应用了物联网技术。因此,物联网的安全性也得到了重点关注,其中,如何对新接入物联网的终端设备进行安全认证是一个亟待解决的技术问题。
申请号为201910188547.1的口令认证方法、装置及存储介质公开了一种口令认证方法、装置及存储介质,属于通信技术领域,该方法包括:接收终端发送的待认证口令;生成认证随机数;对预先获取到的共享密钥和认证随机数进行混淆处理,得到第一字符串和第二字符串;基于预设加密算法,将第一字符串作为预设加密算法的加密密钥、并将第二字符串作为预设加密算法的初始向量对待认证口令进行加密;将访问请求数据包发送至口令认证服务器,以供口令认证服务器对待认证口令进行认证;访问请求数据包包括加密后的待认证口令和所述认证随机数;可以解决使用MD5算法、共享密钥和认证随机数直接对待认证口令进行加密时,共享密钥和认证随机数容易被破解的问题;提高了待认证口令的传输过程的安全性。但是,发明人发现,现有技术的该技术方案中使用两个字符串,分别将两个字符串作为密钥和向量,并利用该向量加密认证口令,也就是说,该方法仅对认证口令进行了一次加密,安全性不高。
发明内容
本发明所要解决的技术问题在于如何提供安全性更高的终端设备认证方法、装置及系统。
本发明通过以下技术手段实现解决上述技术问题的:
第一方面,本发明提供了一种终端设备接入安全认证方法,应用于终端设备,所述方法包括:
获取随机数序列,并从所述随机数序列中拆分出第一子序列与第二子序列;
将第二子序列作为密钥加密第一子序列,得到第一密文;
基于所述第一子序列获取模式密钥以及模式向量;使用模式密钥以及模式向量加密终端设备信息,得到第二密文;
获取针对第一密文、第二子序列以及第二密文的哈希值;
将第一密文、第二子序列、第二密文以及所述哈希值作为请求报文发送至服务端,以使服务端对所述终端设备进行验证。
可选的,所述获取随机数序列,包括:
获取终端设备在当前时刻的定位数据,将所述定位数据作为随机数种子输入到随机数生成模块以获取随机数序列,其中,所述定位数据包括:终端设备的定位震荡结果。
可选的,所述基于所述第一子序列获取模式密钥以及模式向量,包括:
对所述第一子序列中第一设定位置的数据执行第一操作得到模式密钥,其中,所述第一设定位置包括:奇数位、偶数位中的一种或组合,且第一操作包括:置零操作、翻转操作中的一种或组合;
对第一子序列中第二设定位置的数据执行第二操作得到模式向量,其中,所述第二设定位置包括:奇数位、偶数位中的一种或组合,且第二操作包括:置零操作、翻转操作中的一种或组合。
可选的,所述将第二子序列作为密钥加密第一子序列,得到第一密文,包括:
将第二子序列作为密钥,使用SM4_ECB模式加密第一子序列,得到第一密文。
可选的,所述使用模式密钥以及模式向量加密终端设备信息,得到第二密文,包括:
在SM4_CBC模式下,使用所述模式密钥以及所述模式向量加密终端设备信息,得到第二密文。
可选的,获取针对第一密文、第二子序列以及第二密文的哈希值,包括:
获取针对第一密文、第二子序列、设备信息明文长度以及第二密文的拼接结果的哈希值;
所述将第一密文、第二子序列、第二密文以及所述哈希值作为请求报文发送至服务端,包括:
将第一密文、第二子序列、设备信息明文长度、第二密文以及所述哈希值作为请求报文发送至服务端。
第二方面,本发明还提供了一种终端设备接入安全认证方法,应用于服务端,所述方法包括:
接收终端设备发送的请求报文,其中,所述请求报文为第一方面任一项所述的终端设备发送的;
利用所述哈希值对第一密文、第二子序列以及第二密文进行一致性验证,在一致性验证通过的情况下,使用第二子序列解密第一密文,得到第一子序列;
根据所述第一子序列获取模式密钥以及模式向量,并使用模式密钥以及模式向量解密所述第二密文得到设备信息;
根据所述设备信息判断该终端设备是否合法。
可选的,所述使用模式密钥以及模式向量解密所述第二密文得到设备信息,包括:
使用模式密钥以及模式向量解密所述第二密文得到解密结果;
根据设备信息明文长度从所述解密结果中截取出设备信息。
第三方面,本发明还提供了一种终端设备接入安全认证装置,应用于终端设备,所述装置包括:
获取模块,用于获取随机数序列,并从所述随机数序列中拆分出第一子序列与第二子序列;
将第二子序列作为密钥加密第一子序列,得到第一密文;
基于所述第一子序列获取模式密钥以及模式向量;使用模式密钥以及模式向量加密终端设备信息,得到第二密文;
获取针对第一密文、第二子序列以及第二密文的哈希值;
发送模块,用于将第一密文、第二子序列、第二密文以及所述哈希值作为请求报文发送至服务端,以使服务端对所述终端设备进行验证。
第四方面,本发明还提供了一种终端设备接入安全认证装置,应用于服务端,所述装置包括:
接收模块,用于接收终端设备发送的请求报文,其中,所述请求报文为第一方面任一项所述的终端设备发送的;
验证模块,用于利用所述哈希值对第一密文、第二子序列以及第二密文进行一致性验证,在一致性验证通过的情况下,使用第二子序列解密第一密文,得到第一子序列;
根据所述第一子序列获取模式密钥以及模式向量,并使用模式密钥以及模式向量解密所述第二密文得到设备信息;
根据所述设备信息判断该终端设备是否合法。
第五方面,本发明还提供了一种计算机网络安全输入认证系统,所述系统包括:
如第一方面所述的终端设备,以及,
如第二方面所述的服务端。
本发明的优点在于:
应用本发明实施例,使用第一子序列得到的模式密钥以及模式向量进行终端设备信息的加密,实现了一次加密;同时,本发明实施例使用第二子序列对第一子序列进行二次嵌套加密,窃密者必须先破解出作为加密密钥的第二子序列才能得到第一子序列,同时进一步破解得到模式密钥以及模式向量的生成协议才能得到终端设备信息的明文,因此,本发明实施例相对于现有技术中的一次加密,本发明实施例加密的安全性更高。
附图说明
图1为本发明实施例提供的一种终端设备接入安全认证方法的流程示意图;
图2为本发明实施例提供的一种终端设备接入安全认证方法的原理示意图;
图3为本发明实施例提供的另一种终端设备接入安全认证方法的流程示意图;
图4为本发明实施例提供的一种终端设备接入安全认证系统的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
图1为本发明实施例提供的一种终端设备接入安全认证方法的流程示意图,图2为本发明实施例提供的一种终端设备接入安全认证方法的原理示意图,如图1和图2所示,该方法优选应用于终端设备,所述方法包括:
S101:获取随机数序列,并从所述随机数序列中拆分出第一子序列与第二子序列。
示例性的,可以在终端设备,如物联网终端设备中安装随机数生成芯片,使用随机数生成芯片生成32位的随机数序列,然后将该随机数序列平均拆分为前后长度分别为16位字节的两个子序列,其中,前16位字节作为第一子序列,后16位字节作为第二子序列。然后,将后16位字节作为SM4_ECB模式密钥KEY-ecb;将该随机数序列中的前16字节中的部分字节作为SM4_CBC模式密钥KEY-cbc,将该前16字节中的其他部分字节作为SM4_CBC模式向量iv。
进一步的,在终端设备为车载定位终端时,可以将车载定位终端的定位数据作为随机数生成芯片的随机数生成种子,以生成随机数序列。现有的随机数生成芯片一般使用random函数对随机数种子进行处理,而随机数种子一般来自于时钟数据,但是时钟数据容易预测导致安全性不高。发明人发现,当车辆在处于静止状态如等红灯时,车载定位终端同样会周期性的计算出自身的坐标,但是卫星信号从太空传播到地面过程中可能会受到电离层、云雾、水汽的干扰,导致车载定位终端在不同时刻接收到的信号存在差别,进而在进行坐标解算时每次解算的坐标都会存在差异。这种差异体现在电子地图上就是坐标在以车辆实际位置为中心的周围范围内真随机震荡,且这种震荡具有从不重复且不可预测的特点。因此,本发明实施例中使用车辆静止时的坐标作为随机数种子,在使随机数种子为真随机数种子的同时,充分利用车载定位终端产生的数据,实现了数据复用,无需安装额外的随机数种子生成芯片或者其他测量电路,缩小了设备体积,减少了电路数量,降低了设备功耗,提高了设备续航能力,还提高了设备可靠性。需要强调的是,定位终端可以为车载定位终端、机器人中内置的定位终端,或者移动设备内置的定位终端。而且,用户看到的界面之所以只有一个定位点,这种效果是软件生产商在软件中内置了坐标选择代码:这些代码作用为判断两次坐标之间的距离小于设定阈值时,认定车辆为静止,然后将车辆刚进入静止状态的坐标作为车辆静止期间的坐标,车载定位终端同样也会继续计算车辆坐标,只是这些坐标不向用户显示而已。
在实际应用中,为了提高算法的安全性,随机数生成芯片可以一次生成256位的随机数,终端设备利用预设的筛选算法从256位的随机数中筛选出64位或者128位的随机数作为随机数序列;然后再利用该随机数序列生成第一子序列以及第二子序列。
而且,还可以将后16位字节作为第一子序列,前16位字节作为第二子序列,并将前16位字节作为SM4_ECB模式密钥KEY-ecb;将该随机数序列中的后16字节中的部分字节作为SM4_CBC模式密钥KEY-cbc,将该后16字节中的其他部分字节作为SM4_CBC模式向量iv。进一步的,在获取模式密钥KEY-cbc时,可以使用预置的选择算法从前16字节中选出模式密钥KEY_cbc,模式向量iv也可以参照上述方式得到。本发明实施例中,模式密钥、以及模式向量的获取方式可以根据用户的需求进行自定义,灵活性很高,同时进一步提高了认证过程的安全性。
再者,为了保证算法的高灵活性,可以在生成SM4_CBC模式密钥以及模式向量的过程中,可以将第一子序列中的设定位置零进而得到模式密钥,然后再次选择进而置零后得到模式向量。当然,前述选择的方法应当预置在服务端中。更进一步的,为了简化算法复杂度,提高执行效率,可以将该随机数序列中的前16字节中奇数位置0得到的16位字节作为SM4_CBC模式密钥KEY-cbc;该随机数序列中的前16字节中的偶数位置0得到的16位字节作为SM4_CBC模式向量iv。本发明实施例中使用奇偶分别置0,能够得到两串数据,共同作为参数,提高安全性,且执行效率比现有技术中的“异或”高。而且,异或只能得到单串数据串,效率低,安全性没有奇偶分别置0的方式安全性高。
最后,还可以将随机数序列中的前16字节中奇数位翻转得到SM4_CBC模式密钥KEY-cbc;该随机数序列中的前16字节中的偶数位翻转作为SM4_CBC模式向量iv。可以理解的是,本发明实施例所述翻转是指,将“1”设置为“0”,或者将“0”设置为“1”。
可以理解的是,本发明实施例中的字节数量仅作为示例之用,用户可以在实际应用中进行调节,例如可以调节为8位、32位、64位、128位、256位、512位等,且字节数量越多安全性越高,但是其越消耗计算资源,发明人发现,在现有的硬件条件以及续航等技术指标的限制下,随机数序列长度为32位,第一子序列以及第二子序列长度分别为16位是平衡了安全性、硬件计算能力以及认证效率的最佳选择。由于本认证协议的高灵活性,在硬件性能得到提升之后,可以直接修改本协议的配置参数实现保密性能更高的认证,而无需开发新的认证协议,一劳永逸且操作简便成本低。
S102:将第二子序列作为密钥加密第一子序列,得到第一密文;
示例性的,使用SM4_ECB模式和密钥KEY-ecb,加密前16字节随机数得到第一密文cipher1。
S103:基于所述第一子序列获取模式密钥以及模式向量;使用模式密钥以及模式向量加密终端设备信息,得到第二密文;
使用SM4_CBC模式和密钥KEY-cbc、向量iv对设备信息进行加密,得到第二密文cipher2。可以理解的是,本发明实施例在应用于终端设备的设备信息加密时,若设备信息的字节数比较少时,可以无需进行分组加密,直接加密即可。
进一步的,还可以利用预设的插入算法在设备信息的设定位置插入0、1或者特殊字符,然后转换为0和1构成的数字序列后,然后再进行加密,或者直接分组加密,这样即使窃密者得到了设备信息的明文数据,窃密者还需要得到插入算法的具体过程,才可以得到设备信息原文,因此,本发明实施例可以进一步降提高设备信息的安全性。类似的,该插入算法也需要在服务端预置一份,以便于服务端对明文数据进行还原处理。
在实际应用中,随着物联网技术的不断发展,接入物联网的终端设备数量可能会越来越多,因此,终端设备的设备信息的字节数可能会越来越长,因此,在终端设备的字节数达到一定的字节数时,终端设备自动转换为分组加密模式,而无需更换终端设备,因此,本发明实施例具有较高的灵活性以及且随着终端设备设备信息字节数的增加,可以提高加密的安全性。
需要强调的是,本发明实施例中S102和S103步骤的先后顺序可以调换。
S104:获取针对第一密文、第二子序列以及第二密文的哈希值。
使用SM3对第一密文cipher1+第二子序列+cipher2的拼接结果进行哈希处理,得到哈希值hash1。
可以理解的是,第一密文cipher1+第二子序列+cipher2的拼接方法可以为以下拼接方式:
第一密文cipher1+第二子序列+cipher2的直接顺序拼接;
第一密文cipher1、第二子序列、cipher2的混序拼接;
将第一密文cipher1、第二子序列、cipher2分别分段后,得到各个数据片段,然后将各个数据片段排列组合后拼接。
本发明实施例中仅列举了上述有限的几个拼接方式,在实际应用中拼接方式包括但不仅限于上述方式。
S105:将第一密文、第二子序列、第二密文以及所述哈希值作为请求报文发送至服务端,以使服务端对所述终端设备进行验证。
示例性的,将第一密文cipher1+第二子序列+第二密文+hash1作为请求报文消息体发送到服务端。实际应用中,可以根据与服务端的协议约定第一密文、第二子序列以及第二密文的位置,或者对第一密文、第二子序列以及第二密文的位置进行混淆处理,或者对前者进行加盐处理的方法,以进一步保证第二子序列的安全。
服务端在接收到设备终端发送的认证消息后,首先对“第一密文cipher1+第二子序列+第二密文”进行哈希处理,得到hash2。
然后将hash1与hash2进行一致性验证,在二者一致的情况下,判断hash1为合法哈希值,继续验证;若二者不一致,则判断hash1为非法哈希值。使用哈希算法不可破解的特性,可以保证报文的合法性。
然后,使用第二子序列作为密钥,使用SM4_ECB模式解密第一密文cipher1,得到16字节随机数,即可以得到第一子序列。
服务端使用与终端设备相同的算法生成对应的密钥KEY-cbc、模式向量iv。
然后,再使用SM4_CBC模式密钥KEY-cbc、模式向量iv,解密第二cipher2,得到设备信息。
服务端根据自身预设的注册设备列表,判断设备信息是否为已注册设备,如果该设备信息为未注册设备,则断开服务端与该终端设备的链接;若该设备信息为已注册设备信息,说明该设备验证通过,服务端向终端设备返回验证成功的消息。终端设备根据服务端返回的验证成功的消息,判断验证通过,然后即可执行正常的业务流程。
需要强调的是,终端设备每一次与服务器连接,均需要重新执行本发明实施例上述流程以重新进行身份验证。而且,如果在终端设备中进行了若干的选择、补0、插入字符的操作,服务端也需要在解密环节进行相应的处理,本发明实施例在此不再赘述。
进一步的,由于商用密码算法对于所要加密的明文长度有要求,因此,在明文不满足长度要求的情况下,需要在明文后面补0将设备信息的长度补至商用密码算法需要的长度,或者根据预设的补0算法在设定位置进行补0操作,当然,该预设的补0算法需要在服务端备份一份。因此,为了便于终端设备以及服务端两端对消息长度更好的做出判断,找到准确位置截断,本发明实施例在拼接中设计了num位,该位的物理含义为SM4_CBC模式的明文,即设备信息消息体的长度。
因此,S104步骤还可以为:
使用SM3对第一密文cipher1+第二子序列+num+cipher2做哈希,得到hash2。
相应的,在哈希值中加入了“num”为后,S105步骤中,需要将第一密文cipher1+第二子序列+num+第二密文+hash1作为请求报文消息体发送到服务端。
服务端在对终端设备进行验证时,比对num长度对解密第二cipher2后得到的字符序列中进行消息体截断操作,以去除终端设备补入的0,进而得到设备信息;
而且,现有技术中的终端设备,基本不对终端设备的身份进行认证,或只做简单认证,就开始进行消息上传,容易导致伪造等安全风险和信息泄露。为了解决上述技术问题,本发明实施例在软件层面对现有终端设备设备进行了安全性改造,并利用现有的国家商用密码相关算法实现,实现了应用成本、安全性与易实施性的良好结合与平衡。
另外,本发明实施例主要应用于物联网场景,该场景中的物联网设备与服务端,不存在文件传输,只存在消息传输,多为汽车的设备信息、行驶里程信息、定位信息、驾驶人信息等。针对车载终端,通过自定义了消息数据帧的格式和长度、以及标识,服务端收到认证消息后,按照协议帧进行解析,灵活度很高,进一步提高了数据包被破解的难度,保证了第二子序列的安全。
最后,本发明实施例中采用嵌套式加密方式,即ECB模式和CBC模式使用,CBC模式的密钥使用ECB模式加密,且这些算法都是对称加密算法,其执行效率较高。
实施例2
对应于本发明图1所示实施例,本发明还提供了另一种终端设备接入安全认证方法,该方法优选应用于服务端。
图3为本发明实施例提供的另一种终端设备接入安全认证方法的流程示意图,如图3所示,所述方法包括:
S301:接收终端设备发送的请求报文,其中,所述请求报文为实施例1任一项所述的终端设备发送的;
S302:利用所述哈希值对第一密文、第二子序列以及第二密文进行一致性验证,在一致性验证通过的情况下,使用第二子序列解密第一密文,得到第一子序列;
S303:根据所述第一子序列获取模式密钥以及模式向量,并使用模式密钥以及模式向量解密所述第二密文得到设备信息;
S304:根据所述设备信息判断该终端设备是否合法。
需要强调的是,本发明实施例2的相关内容已经在实施例1中进行了连带描述,本发明实施例在此不再进行赘述。
在本发明实施例的一种具体实施方式中,所述使用模式密钥以及模式向量解密所述第二密文得到设备信息,包括:
使用模式密钥以及模式向量解密所述第二密文得到解密结果;
根据设备信息明文长度从所述解密结果中截取出设备信息。
实施例3
本发明实施例提供了一种终端设备接入安全认证装置,应用于终端设备,所述装置包括:
获取模块,用于获取随机数序列,并从所述随机数序列中拆分出第一子序列与第二子序列;
将第二子序列作为密钥加密第一子序列,得到第一密文;
基于所述第一子序列获取模式密钥以及模式向量;使用模式密钥以及模式向量加密终端设备信息,得到第二密文;
获取针对第一密文、第二子序列以及第二密文的哈希值;
发送模块,用于将第一密文、第二子序列、第二密文以及所述哈希值作为请求报文发送至服务端,以使服务端对所述终端设备进行验证。
实施例4
本发明实施例提供了一种终端设备接入安全认证装置,应用于服务端,所述装置包括:
接收模块,用于接收终端设备发送的请求报文,其中,所述请求报文为实施例1任一项所述的终端设备发送的;
验证模块,用于利用所述哈希值对第一密文、第二子序列以及第二密文进行一致性验证,在一致性验证通过的情况下,使用第二子序列解密第一密文,得到第一子序列;
根据所述第一子序列获取模式密钥以及模式向量,并使用模式密钥以及模式向量解密所述第二密文得到设备信息;
根据所述设备信息判断该终端设备是否合法。
实施例5
本发明实施例还提供了一种计算机网络安全输入认证系统。
图4为本发明实施例提供的一种终端设备接入安全认证系统的结构示意图,如图4所示,所述系统包括:
如实施例1所述的终端设备10,以及,
如实施例2所述的服务端20。
实施例6
基于本发明实施例1-5任一实施例,本发明还提供了一种审批方法,方法包括:
应用本发明实施例1-5任一实施例与认证之后的终端-1与终端-2,终端-1生成针对待审批文件的二维码,然后将二维码发送给终端-2,终端-2识别出该二维码,用户可以在终端-2上批阅该文件。
或者终端-1、终端-2分别与服务器认证,终端-1生成针对待审批文件的二维码,然后将二维码发送给终端-2,终端-2识别出该二维码,在服务器上访问二维码对应的地址,然后用户可以在终端-2上批阅该文件。
应用本发明上述实施例,实现了基于可信认证的文件批阅。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种终端设备接入安全认证方法,其特征在于,应用于终端设备,所述方法包括:
获取随机数序列,并从所述随机数序列中拆分出第一子序列与第二子序列;
将第二子序列作为密钥加密第一子序列,得到第一密文;
基于所述第一子序列获取模式密钥以及模式向量;使用模式密钥以及模式向量加密终端设备信息,得到第二密文;
获取针对第一密文、第二子序列以及第二密文的哈希值;
将第一密文、第二子序列、第二密文以及所述哈希值作为请求报文发送至服务端,以使服务端对所述终端设备进行验证。
2.根据权利要求1所述的一种终端设备接入安全认证方法,其特征在于,所述获取随机数序列,包括:
获取终端设备在当前时刻的定位数据,将所述定位数据作为随机数种子输入到随机数生成模块以获取随机数序列,其中,所述定位数据包括:终端设备的定位震荡结果。
3.根据权利要求1所述的一种终端设备接入安全认证方法,其特征在于,所述基于所述第一子序列获取模式密钥以及模式向量,包括:
对所述第一子序列中第一设定位置的数据执行第一操作得到模式密钥,其中,所述第一设定位置包括:奇数位、偶数位中的一种或组合,且第一操作包括:置零操作、翻转操作中的一种或组合;
对第一子序列中第二设定位置的数据执行第二操作得到模式向量,其中,所述第二设定位置包括:奇数位、偶数位中的一种或组合,且第二操作包括:置零操作、翻转操作中的一种或组合。
4.根据权利要求3所述的一种终端设备接入安全认证方法,其特征在于,所述将第二子序列作为密钥加密第一子序列,得到第一密文,包括:
将第二子序列作为密钥,使用SM4_ECB模式加密第一子序列,得到第一密文。
5.根据权利要求4所述的一种终端设备接入安全认证方法,其特征在于,所述使用模式密钥以及模式向量加密终端设备信息,得到第二密文,包括:
在SM4_CBC模式下,使用所述模式密钥以及所述模式向量加密终端设备信息,得到第二密文。
6.一种终端设备接入安全认证方法,其特征在于,应用于服务端,所述方法包括:
接收终端设备发送的请求报文,其中,所述请求报文为权利要求1-6任一项所述的终端设备发送的;
利用所述哈希值对第一密文、第二子序列以及第二密文进行一致性验证,在一致性验证通过的情况下,使用第二子序列解密第一密文,得到第一子序列;
根据所述第一子序列获取模式密钥以及模式向量,并使用模式密钥以及模式向量解密所述第二密文得到设备信息;
根据所述设备信息判断该终端设备是否合法。
7.根据权利要求6所述的一种终端设备接入安全认证方法,其特征在于,所述使用模式密钥以及模式向量解密所述第二密文得到设备信息,包括:
使用模式密钥以及模式向量解密所述第二密文得到解密结果;
根据设备信息明文长度从所述解密结果中截取出设备信息。
8.一种终端设备接入安全认证装置,其特征在于,应用于终端设备,所述装置包括:
获取模块,用于获取随机数序列,并从所述随机数序列中拆分出第一子序列与第二子序列;
将第二子序列作为密钥加密第一子序列,得到第一密文;
基于所述第一子序列获取模式密钥以及模式向量;使用模式密钥以及模式向量加密终端设备信息,得到第二密文;
获取针对第一密文、第二子序列以及第二密文的哈希值;
发送模块,用于将第一密文、第二子序列、第二密文以及所述哈希值作为请求报文发送至服务端,以使服务端对所述终端设备进行验证。
9.一种终端设备接入安全认证装置,其特征在于,应用于服务端,所述装置包括:
接收模块,用于接收终端设备发送的请求报文,其中,所述请求报文为权利要求1-5任一项所述的终端设备发送的;
验证模块,用于利用所述哈希值对第一密文、第二子序列以及第二密文进行一致性验证,在一致性验证通过的情况下,使用第二子序列解密第一密文,得到第一子序列;
根据所述第一子序列获取模式密钥以及模式向量,并使用模式密钥以及模式向量解密所述第二密文得到设备信息;
根据所述设备信息判断该终端设备是否合法。
10.一种计算机网络安全输入认证系统,其特征在于,所述系统包括:
如权利要求1-5任一项所述的终端设备,以及,
如权利要求6或7所述的服务端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110366324.7A CN113114654B (zh) | 2021-04-06 | 2021-04-06 | 一种终端设备接入安全认证方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110366324.7A CN113114654B (zh) | 2021-04-06 | 2021-04-06 | 一种终端设备接入安全认证方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113114654A true CN113114654A (zh) | 2021-07-13 |
| CN113114654B CN113114654B (zh) | 2022-10-18 |
Family
ID=76713969
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110366324.7A Active CN113114654B (zh) | 2021-04-06 | 2021-04-06 | 一种终端设备接入安全认证方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113114654B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114785505A (zh) * | 2022-06-22 | 2022-07-22 | 中科雨辰科技有限公司 | 一种获取异常设备的数据处理系统 |
| CN116132977A (zh) * | 2023-04-19 | 2023-05-16 | 深圳锐爱电子有限公司 | 一种鼠标安全加密认证方法 |
| CN116347433A (zh) * | 2022-12-27 | 2023-06-27 | 中国电信股份有限公司卫星通信分公司 | 卫星终端通信方法、装置、非易失性存储介质及电子设备 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20020087332A (ko) * | 2001-05-14 | 2002-11-22 | 최병윤 | 대칭키 암호 알고리즘의 모듈화된 ecb, cbc, cfb, ofb모드 구현 회로 |
| US20100246816A1 (en) * | 2009-03-26 | 2010-09-30 | The University Of Bristol | Data encryption |
| CN103716157A (zh) * | 2013-12-13 | 2014-04-09 | 厦门市美亚柏科信息股份有限公司 | 分组多密钥加密方法及装置 |
| US20140294176A1 (en) * | 2013-03-26 | 2014-10-02 | Kabushiki Kaisha Toshiba | Generating device, encryption device, decryption device, generating method, encryption method, decryption method, and computer program product |
| CN109600217A (zh) * | 2019-01-18 | 2019-04-09 | 江苏实达迪美数据处理有限公司 | 在并行操作模式中优化sm4加密和解密的方法及处理器 |
| CN109635586A (zh) * | 2018-12-13 | 2019-04-16 | 苏州科达科技股份有限公司 | 媒体文件加密密钥管理方法、系统、设备及存储介质 |
| CN109714176A (zh) * | 2019-03-13 | 2019-05-03 | 苏州科达科技股份有限公司 | 口令认证方法、装置及存储介质 |
| CN110225028A (zh) * | 2019-06-10 | 2019-09-10 | 电子科技大学 | 一种分布式防伪系统及其方法 |
| CN111541677A (zh) * | 2020-04-17 | 2020-08-14 | 中国科学院上海微系统与信息技术研究所 | 一种基于窄带物联网的安全混合加密方法 |
| CN112182600A (zh) * | 2020-09-18 | 2021-01-05 | 北京云钥网络科技有限公司 | 数据加密方法、数据解密方法及电子设备 |
-
2021
- 2021-04-06 CN CN202110366324.7A patent/CN113114654B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20020087332A (ko) * | 2001-05-14 | 2002-11-22 | 최병윤 | 대칭키 암호 알고리즘의 모듈화된 ecb, cbc, cfb, ofb모드 구현 회로 |
| US20100246816A1 (en) * | 2009-03-26 | 2010-09-30 | The University Of Bristol | Data encryption |
| US20140294176A1 (en) * | 2013-03-26 | 2014-10-02 | Kabushiki Kaisha Toshiba | Generating device, encryption device, decryption device, generating method, encryption method, decryption method, and computer program product |
| CN103716157A (zh) * | 2013-12-13 | 2014-04-09 | 厦门市美亚柏科信息股份有限公司 | 分组多密钥加密方法及装置 |
| CN109635586A (zh) * | 2018-12-13 | 2019-04-16 | 苏州科达科技股份有限公司 | 媒体文件加密密钥管理方法、系统、设备及存储介质 |
| CN109600217A (zh) * | 2019-01-18 | 2019-04-09 | 江苏实达迪美数据处理有限公司 | 在并行操作模式中优化sm4加密和解密的方法及处理器 |
| CN109714176A (zh) * | 2019-03-13 | 2019-05-03 | 苏州科达科技股份有限公司 | 口令认证方法、装置及存储介质 |
| CN110225028A (zh) * | 2019-06-10 | 2019-09-10 | 电子科技大学 | 一种分布式防伪系统及其方法 |
| CN111541677A (zh) * | 2020-04-17 | 2020-08-14 | 中国科学院上海微系统与信息技术研究所 | 一种基于窄带物联网的安全混合加密方法 |
| CN112182600A (zh) * | 2020-09-18 | 2021-01-05 | 北京云钥网络科技有限公司 | 数据加密方法、数据解密方法及电子设备 |
Non-Patent Citations (1)
| Title |
|---|
| 樊凌雁等: "多引擎并行CBC模式的SM4算法的芯片级实现", 《计算机研究与发展》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114785505A (zh) * | 2022-06-22 | 2022-07-22 | 中科雨辰科技有限公司 | 一种获取异常设备的数据处理系统 |
| CN114785505B (zh) * | 2022-06-22 | 2022-08-23 | 中科雨辰科技有限公司 | 一种获取异常设备的数据处理系统 |
| CN116347433A (zh) * | 2022-12-27 | 2023-06-27 | 中国电信股份有限公司卫星通信分公司 | 卫星终端通信方法、装置、非易失性存储介质及电子设备 |
| CN116132977A (zh) * | 2023-04-19 | 2023-05-16 | 深圳锐爱电子有限公司 | 一种鼠标安全加密认证方法 |
| CN116132977B (zh) * | 2023-04-19 | 2023-06-23 | 深圳锐爱电子有限公司 | 一种鼠标安全加密认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113114654B (zh) | 2022-10-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110336774B (zh) | 混合加密解密方法、设备及系统 | |
| CN113114654B (zh) | 一种终端设备接入安全认证方法、装置及系统 | |
| CN108566381A (zh) | 一种安全升级方法、装置、服务器、设备和介质 | |
| CN110971415A (zh) | 一种天地一体化空间信息网络匿名接入认证方法及系统 | |
| CN112150147A (zh) | 一种基于区块链的数据安全存储系统 | |
| CN113691502B (zh) | 通信方法、装置、网关服务器、客户端及存储介质 | |
| CN105450406A (zh) | 数据处理的方法和装置 | |
| CN110690956B (zh) | 双向认证方法及系统、服务器和终端 | |
| US11914754B2 (en) | Cryptographic method for verifying data | |
| CN111614621B (zh) | 物联网通信方法和系统 | |
| CN111970114B (zh) | 文件加密方法、系统、服务器和存储介质 | |
| US11956367B2 (en) | Cryptographic method for verifying data | |
| CN108667784B (zh) | 互联网身份证核验信息保护的系统和方法 | |
| CN109005184A (zh) | 文件加密方法及装置、存储介质、终端 | |
| CN112653719A (zh) | 汽车信息安全存储方法、装置、电子设备和存储介质 | |
| CN113872770A (zh) | 一种安全性验证方法、系统、电子设备及存储介质 | |
| CN110212991B (zh) | 量子无线网络通信系统 | |
| CN114430346B (zh) | 登录方法、装置及电子设备 | |
| CN117220865A (zh) | 经纬度加密方法、经纬度校验方法、装置及可读存储介质 | |
| CN114785524A (zh) | 电子印章生成方法、装置、设备和介质 | |
| CN115175178A (zh) | 一种核电站的数据安全处理方法、5g端机及系统 | |
| CN104363584A (zh) | 一种短消息加、解密的方法、装置及终端 | |
| CN114338173B (zh) | 一种账户注册方法、系统、设备及计算机可读存储介质 | |
| CN115426195B (zh) | 数据传输方法、装置、计算机设备和存储介质 | |
| CN112422293B (zh) | 密钥生成方法、装置和信息处理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 10th floor, R & D building, Hefei Institute of technology innovation, Chinese Academy of Sciences, 2666 Xiyou Road, Hefei hi tech Zone, Anhui Province, 230000 Applicant after: Zhongke Meiluo Technology Co., Ltd. Address before: 10th floor, R & D building, Hefei Institute of technology innovation, Chinese Academy of Sciences, 2666 Xiyou Road, Hefei hi tech Zone, Anhui Province, 230000 Applicant before: ANHUI ZHONGKE MEILUO INFORMATION TECHNOLOGY CO.,LTD. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |