CN114221752A - 基于同态加密技术的可信实体认证通信方法 - Google Patents
基于同态加密技术的可信实体认证通信方法 Download PDFInfo
- Publication number
- CN114221752A CN114221752A CN202210165198.3A CN202210165198A CN114221752A CN 114221752 A CN114221752 A CN 114221752A CN 202210165198 A CN202210165198 A CN 202210165198A CN 114221752 A CN114221752 A CN 114221752A
- Authority
- CN
- China
- Prior art keywords
- client
- authentication
- timestamp
- legal
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/008—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving homomorphic encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biodiversity & Conservation Biology (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Power Engineering (AREA)
- Collating Specific Patterns (AREA)
Abstract
本发明实施例公开了基于同态加密技术的可信实体认证通信方法。方法包括:获取实体认证要素,对实体认证要素进行解密;判断当前本地时间戳是否合法;若是,生成认证凭证;获取服务器当前的时间戳,以形成第一时间戳,并将第一时间戳认证凭证发送至客户端;获取来自客户端的认证请求;对认证请求进行解密;判断发送请求时的本地时间戳是否合法;若是,则对同态加密后的指纹信息进行处理,以得到目标凭证;判断目标凭证是否合法;若是,则对客户端软件环境进行可信验证,并获取客户端的应答信息;判断应答信息是否符合要求;若是,则确定客户端认证通过。通过实施本发明实施例的方法可实现提高实体验证的保密性和完整性,降低信息泄露的风险。
Description
技术领域
本发明涉及实体认证方法,更具体地说是指基于同态加密技术的可信实体认证通信方法。
背景技术
实体认证是对通信主体的认证,目的是识别通信方的真实身份,防止假冒,是验证主体的真实身份与其所声称的身份是否符合的过程。现有的实体认证方法为系统账号密码、U盾、生物指纹信息等数据进行验证,认证因子单一,存在账号密码泄漏、服务器环境不安全导致U盾/生物指纹泄漏等风险,无法保证身份验证过程中的敏感信息安全以及实体环境变化带来的风险。
因此,有必要设计一种新的方法,实现提高实体验证的保密性和完整性,降低信息泄露的风险。
发明内容
本发明的目的在于克服现有技术的缺陷,提供基于同态加密技术的可信实体认证通信方法。
为实现上述目的,本发明采用以下技术方案:基于同态加密技术的可信实体认证通信方法,包括:
获取来自客户端所发送的实体认证要素,其中,所述实体认证要素是哈希加密后的主机软件信息、采用同态加密算法加密后的用户生物信息以及当前本地时间戳对称加密形成的信息;
对所述实体认证要素进行解密,以得到当前本地时间戳;
判断所述当前本地时间戳是否合法;
若所述当前本地时间戳合法,则使用同态加密处理方法生成认证凭证;
获取服务器当前的时间戳,以形成第一时间戳,并将第一时间戳所述认证凭证发送至客户端,以由客户端对第一时间戳验证是否合法后再进行存储;
获取来自客户端的认证请求;
对所述认证请求进行解密,以得到发送请求时的本地时间戳以及同态加密后的指纹信息;
判断发送请求时的本地时间戳是否合法;
若发送请求时的本地时间戳合法,则对同态加密后的指纹信息使用同态加密处理方法进行处理,以得到目标凭证;
判断所述目标凭证是否合法;
若所述目标凭证合法,则对客户端软件环境进行可信验证,并获取所述客户端的应答信息;
判断所述应答信息是否符合要求;
若所述应答信息符合要求,则确定客户端认证通过,以使得客户端可正常通信。
其进一步技术方案为:所述哈希加密后的主机软件信息包括主机IP地址、主机操作系统版本、主机安装软件名列表、主机计划任务内容以及主机系统用户名。
其进一步技术方案为:所述判断所述当前本地时间戳是否合法,包括:
计算所述当前本地时间戳与服务器当前时间戳的差值;
判断所述差值是否小于设定时间差阈值;
若所述差值小于设定时间差阈值,则确定所述当前本地时间戳合法;
若所述差值不小于设定时间差阈值,则确定所述当前本地时间戳不合法。
其进一步技术方案为:所述使用同态加密处理方法生成认证凭证,包括:
采用同态加密算法的处理方法对采用同态加密算法加密后的用户生物信息进行处理,以生成认证凭证。
其进一步技术方案为:所述获取服务器当前的时间戳,以形成第一时间戳,并将第一时间戳所述认证凭证发送至客户端,以由客户端对第一时间戳验证是否合法后再进行存储,包括:
获取服务器当前的时间戳,以形成第一时间戳,并将第一时间戳所述认证凭证发送至客户端,以使得客户端对所述第一时间戳进行合法性判断,当所述第一时间戳合法时,对所述认证凭证进行存储。
其进一步技术方案为:所述判断所述目标凭证是否合法,包括:
判断所述目标凭证是否等于所述认证凭证;
若所述目标凭证等于所述认证凭证,则确定所述目标凭证合法;
若所述目标凭证不等于所述认证凭证,则确定所述目标凭证不合法。
其进一步技术方案为:所述对客户端软件环境进行可信验证,并获取所述客户端的应答信息,包括:
获取服务器此时的本地时间戳,以得到第二时间戳;
生成请求获取主机软件信息的内容;
根据所述第二时间戳、请求获取主机软件信息的内容以及所述目标凭证生成实体验证请求;
发送所述实体验证请求至客户端,以使得客户端解密所述实体验证请求,并验证第二时间戳是否合法,在第二时间戳合法时,对所述目标凭证进行解密并验证合法性,在所述目标凭证合法的情况时,根据请求获取主机软件信息的内容生成当前环境下的主机软件信息,以形成目标主机软件信息,将目标主机软件信息结合客户端当前时间戳生成应答信息,发送所述应答信息。
本发明还提供了基于同态加密技术的可信实体认证通信装置,包括:
要素获取单元,用于获取来自客户端所发送的实体认证要素,其中,所述实体认证要素是哈希加密后的主机软件信息、采用同态加密算法加密后的用户生物信息以及当前本地时间戳对称加密形成的信息;
第一解密单元,用于对所述实体认证要素进行解密,以得到当前本地时间戳;
第一判断单元,用于判断所述当前本地时间戳是否合法;
凭证生成单元,用于若所述当前本地时间戳合法,则使用同态加密处理方法生成认证凭证;
第一发送单元,用于获取服务器当前的时间戳,以形成第一时间戳,并将第一时间戳所述认证凭证发送至客户端,以由客户端对第一时间戳验证是否合法后再进行存储;
认证请求获取单元,用于获取来自客户端的认证请求;
第二解密单元,用于对所述认证请求进行解密,以得到发送请求时的本地时间戳以及同态加密后的指纹信息;
第二判断单元,用于判断发送请求时的本地时间戳是否合法;
第一处理单元,用于若发送请求时的本地时间戳合法,则对同态加密后的指纹信息使用同态加密处理方法进行处理,以得到目标凭证;
第三判断单元,用于判断所述目标凭证是否合法;
环境验证单元,用于若所述目标凭证合法,则对客户端软件环境进行可信验证,并获取所述客户端的应答信息;
第四判断单元,用于判断所述应答信息是否符合要求;
认证通过单元,用于若所述应答信息符合要求,则确定客户端认证通过,以使得客户端可正常通信。
本发明还提供了一种计算机设备,所述计算机设备包括存储器及处理器,所述存储器上存储有计算机程序,所述处理器执行所述计算机程序时实现上述的方法。
本发明还提供了一种存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述的方法。
本发明与现有技术相比的有益效果是:本发明通过客户端采集的主机软件信息及用户生物信息进行同态加密处理后发送至服务器,以由服务器生成可信实体的认证凭证。在通信阶段,将主机软件信息作为应答知识挑战,用于判定设备软件环境的合法性,在所有通信过程中,进行数据对称加密传输,实现从注册阶段到通信阶段全流程主机与服务器间交互数据的保密性和完整性保护,实现提高实体验证的保密性和完整性,降低信息泄露的风险。
下面结合附图和具体实施例对本发明作进一步描述。
附图说明
为了更清楚地说明本发明实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的基于同态加密技术的可信实体认证通信方法的应用场景示意图;
图2为本发明实施例提供的基于同态加密技术的可信实体认证通信方法的流程示意图;
图3为本发明实施例提供的基于同态加密技术的可信实体认证通信方法的子流程示意图;
图4为本发明实施例提供的基于同态加密技术的可信实体认证通信方法的子流程示意图;
图5为本发明实施例提供的基于同态加密技术的可信实体认证通信方法的子流程示意图;
图6为本发明实施例提供的基于同态加密技术的可信实体认证通信装置的示意性框图;
图7为本发明实施例提供的基于同态加密技术的可信实体认证通信装置的第一判断单元的示意性框图;
图8为本发明实施例提供的基于同态加密技术的可信实体认证通信装置的第三判断单元的示意性框图;
图9为本发明实施例提供的基于同态加密技术的可信实体认证通信装置的环境验证单元的示意性框图;
图10为本发明实施例提供的计算机设备的示意性框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当进一步理解,在本发明说明书和所附权利要求书中使用的术语“和/ 或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
请参阅图1和图2,图1为本发明实施例提供的基于同态加密技术的可信实体认证通信方法的应用场景示意图。图2为本发明实施例提供的基于同态加密技术的可信实体认证通信方法的示意性流程图。该基于同态加密技术的可信实体认证通信方法应用于服务器中。该服务器与客户端进行数据交互,在实体注册阶段,由客户端采集实体认证要素;并由服务器生成及下发实体认证凭证;在实体认证阶段,客户端发起认证请求;服务器基于实体认证要素的可信实体验证;客户端应答验证请求;应答结果判定及可信实体认证。通过采集的主机软件信息及用户生物信息,并通过同态加密方法处理,作为可信实体的认证凭证。在通信阶段,主机软件信息作为应答知识挑战,用于判定设备软件环境的合法性。除此之外,在所有通信过程中,进行数据对称加密传输,实现从注册阶段到通信阶段全流程主机与服务器间交互数据的保密性和完整性保护。
图2是本发明实施例提供的基于同态加密技术的可信实体认证通信方法的流程示意图。如图2所示,该方法包括以下步骤S110至S240。
S110、获取来自客户端所发送的实体认证要素。
其中,所述实体认证要素是哈希加密后的主机软件信息、采用同态加密算法加密后的用户生物信息以及当前本地时间戳对称加密形成的信息。
在本实施例中,客户端在采集实体认证要素时,主要是通过在主机安装Agent软件实现。
在本实施例中,哈希加密后的主机软件信息包括主机IP地址、主机操作系统版本、主机安装软件名列表、主机计划任务内容以及主机系统用户名。
具体地,通过md5算法生成主机IP地址为H1,主机操作系统版本为H2,主机已安装软件名列表为H3,主机计划任务内容为H4,主机系统用户名为H5。针对用户生物信息M,存在同态加密算法HmoEnc(),对用户手指指纹进行加密,为HmoEnc(M);在生成上述数据后,获取客户端本地时间戳Ts1。存在对称加密算法PubsEnc(),将上述数据PubsEnc(HmoEnc(M),HmoF(),H1,H2,H3,H4,H5,Ts1)发送到服务器,其中,HmoEnc(M)为对用户手指指纹M的同态加密结果,HmoF()为同态加密算法的处理方法,可对同态加密后的数据进行操作,而不影响解密后的数据。H1,H2,H3,H4,H5为主机软件信息的各个哈希结果。
S120、对所述实体认证要素进行解密,以得到当前本地时间戳。
在本实施例中,当前本地时间戳是指客户端发送的实体认证要素带有的时间戳。
服务器接收到加密数据PubsEnc(HmoEnc(M),HmoF(),H1,H2,H3,H4,H5,Ts1)之后,通过自身密钥进行解密:PubsDec(HmoEnc(M),HmoF(),H1,H2,H3,H4,H5,Ts1)。
S130、判断所述当前本地时间戳是否合法。
在一实施例中,请参阅图3,上述的步骤S130可包括步骤S131~S134。
S131、计算所述当前本地时间戳与服务器当前时间戳的差值;
S132、判断所述差值是否小于设定时间差阈值;
S133、若所述差值小于设定时间差阈值,则确定所述当前本地时间戳合法;
S134、若所述差值不小于设定时间差阈值,则确定所述当前本地时间戳不合法。
具体地,判定当前本地时间戳Ts1的合法性。获取服务器当前时间戳T1,存在当前本地时间戳的合法判定算法Ts_Ok(Ts1,T1,T),其中T为常量,默认为60s。当T1-Ts1<T时,Ts_Ok(Ts1,T1,T)=1,则认为Ts1合法。当T1-Ts1>=T时,Ts_Ok(Ts1,T1,T)=0,则认为Ts1不合法。
S140、若所述当前本地时间戳不合法,则阻断客户端的连接。
具体地,若当前本地时间戳Ts1不合法,则阻断客户端与服务器的连接。
S150、若所述当前本地时间戳合法,则使用同态加密处理方法生成认证凭证。
在本实施例中,认证凭证是指客户端请求服务器时需要携带的一个凭证。
具体地,采用同态加密算法的处理方法对采用同态加密算法加密后的用户生物信息进行处理,以生成认证凭证。
若当前本地时间戳Ts1合法,通过处理函数HmoF()生成客户端实体的认证凭证AppID,AppID与H1-H5形成关联关系,其中,AppID = HmoF(HmoEnc(M))。
S160、获取服务器当前的时间戳,以形成第一时间戳,并将第一时间戳所述认证凭证发送至客户端,以由客户端对第一时间戳验证是否合法后再进行存储。
具体地,获取服务器当前的时间戳,以形成第一时间戳,并将第一时间戳所述认证凭证发送至客户端,以使得客户端对所述第一时间戳进行合法性判断,当所述第一时间戳合法时,对所述认证凭证进行存储。
在本实施例中,生成AppID后,获取此时本地时间戳Ts2,连同AppID形成PubsEnc(AppID,Ts2)下发给客户端。客户端接收服务器发送的加密凭证PubsEnc(AppID,Ts2),对其进行解密,即PubsDec(AppID,Ts2),以获得AppID和Ts2,获取此时客户端的时间戳T2,进行第一时间戳Ts2合法性验证;Ts_Ok(Ts2,T2,T),验证过程与当前本地时间戳Ts1的合法性验证过程一致,此处不再赘述。若Ts2合法,则保存AppID在本地,作为之后的认证凭证。
S170、获取来自客户端的认证请求。
在本实施例中,客户端发起认证请求,具体为通过对称加密算法PubsEnc(),将此时本地的时间戳Ts3,同态加密后的用户手指指纹HmoEnc(M1)加密后形成,PubsEnc(HmoEnc(M1),Ts3),发送到服务器。
S180、对所述认证请求进行解密,以得到发送请求时的本地时间戳以及同态加密后的指纹信息。
在本实施例中,服务器基于实体认证要素的客户端验证,具体在于验证时间戳合法性、凭证服务校验、实体认证要素二次验证。通过对称解密算法PubsDec(HmoEnc(M1),Ts3)获得同态加密后的指纹信息HmoEnc(M1),发送请求时的本地时间戳Ts3。获取此时的本地时间戳T3,验证发送请求时的本地时间戳Ts3的合法性Ts_Ok(Ts3,T3,T),该验证方式与当前本地时间戳Ts1的合法性的验证过程一致,此处不再赘述。若发送请求时的本地时间戳Ts3合法,使用同态加密处理方法HmoF()对HmoEnc(M1)进行处理,得到AppID2。AppID2 =HmoF(HmoEnc(M1))存在凭证判断算法,AppID_Ok(AppID,AppID2),当AppID2=AppID,则AppID_Ok = 1,认为AppID2合法,即用户手指指纹合法。反之则AppID_Ok=0,认为AppID2不合法。
S190、判断发送请求时的本地时间戳是否合法;
若发送请求时的本地时间戳不合法,则执行所述步骤S140;
S200、若发送请求时的本地时间戳合法,则对同态加密后的指纹信息使用同态加密处理方法进行处理,以得到目标凭证。
在本实施例中,目标凭证是指使用同态加密处理方法HmoF()对同态加密后的指纹信息HmoEnc(M1)进行处理后得到的内容。
S210、判断所述目标凭证是否合法;
在一实施例中,请参阅图4,上述的步骤S210可包括步骤S211~S213。
S211、判断所述目标凭证是否等于所述认证凭证;
S212、若所述目标凭证等于所述认证凭证,则确定所述目标凭证合法;
S213、若所述目标凭证不等于所述认证凭证,则确定所述目标凭证不合法。
若所述目标凭证不合法,则执行所述步骤S140;
S220、若所述目标凭证合法,则对客户端软件环境进行可信验证,并获取所述客户端的应答信息。
在本实施例中,应答信息是指在所述目标凭证合法的情况时,根据请求获取主机软件信息的内容生成当前环境下的主机软件信息,以形成目标主机软件信息,将目标主机软件信息结合客户端当前时间戳形成的信息。
在一实施例中,请参阅图5,上述的步骤S220可包括步骤S221~S224。
S221、获取服务器此时的本地时间戳,以得到第二时间戳;
S222、生成请求获取主机软件信息的内容。
S223、根据所述第二时间戳、请求获取主机软件信息的内容以及所述目标凭证生成实体验证请求。
获取此时服务器的本地时间戳Ts4,以及H1-H5的名称Req(H1,H2,H3,H4,H5),形成PubsEnc(Req(H1,H2,H3,H4,H5),AppID2,Ts4),向客户端发送基于实体认证要求的客户端验证请求,要求客户端应答此时客户端环境的主机软件信息。
S224、发送所述实体验证请求至客户端,以使得客户端解密所述实体验证请求,并验证第二时间戳是否合法,在第二时间戳合法时,对所述目标凭证进行解密并验证合法性,在所述目标凭证合法的情况时,根据请求获取主机软件信息的内容生成当前环境下的主机软件信息,以形成目标主机软件信息,将目标主机软件信息结合客户端当前时间戳生成应答信息,发送所述应答信息。
具体地,客户端解密服务器的客户端验证请求,根据其应答所请求的数据,通过Agent生成实时的数据PubsDec(Req(H1,H2,H3,H4,H5),AppID2,Ts4)并返回。
具体地,解密服务器发送的实体验证请求。首先采用Ts_Ok(Ts4,T4,T)验证第二时间戳Ts4的合法性,获取此时客户端的时间戳T4,第二时间戳Ts4的合法性可以参阅当前本地时间戳Ts1的合法性验证。当Ts4验证合法时,通过同态加密技术的解密算法HmoDec(AppID2)对AppID2进行解密,验证服务器的合法性。
存在用户手指指纹合法性判断算法M_Ok,M_Ok(HmoDec(AppID2),HmoEnc(M)),当HmoDec(AppID2)==HmoEnc(M)时,AppID2验证合法,反之则不合法。确认Ts4及AppID2合法后,根据Req(H1,H2,H3,H4,H5)所需要的数据,通过客户端Agent生成当前环境的值,并对值进行Md5处理,得到目标主机软件信息Ans(N1,N2,N3,N4,N5),同时获取此时的客户端时间戳Ts5,形成PubsEnc(Ans(N1,N2,N3,N4,N5),Ts5)向服务器发送应答验证。
S230、判断所述应答信息是否符合要求;
若所述应答信息不符合要求,则执行所述步骤S140。
具体地,对客户端发送的应答信息采用PubsDec(Ans(N1,N2,N3,N4,N5),Ts5)进行解密,判断Ts5合法性,并与本地保存的H1-H5进行比对,判断是否相同,获取此时服务器时间戳T5,采用Ts_Ok(Ts5,T5,T)验证Ts5合法性,Ts5合法性可参阅Ts1的合法性验证,此处不再赘述,当Ts5验证合法时,存在应答判断算法Judge(),采用Judge(H1,H2,H3,H4,H5,N1,N2,N3,N4,N5)判断客户端的验证应答是否与服务器一致。当N1-N5与H1-H5两两对应相等时,Judge(H1,H2,H3,H4,H5,N1,N2,N3,N4,N5)=1,应答信息符合要求,认证通过。反之有一个不相等时,则Judge(H1,H2,H3,H4,H5,N1,N2,N3,N4,N5)=0,应答信息不符合要求,认证不通过。当认证通过后,客户端与服务器可正常通信。
S240、若所述应答信息符合要求,则确定客户端认证通过,以使得客户端可正常通信。
举个例子,在该例子中,客户端中均正确安装Agent,哈希算法为md5算法,对称加密算法为AES算法,认证的有效时间T=60s。对客户端进行可信实体认证要素采集,也就是实体认证要素的采集,在本例子中,主机IP地址:192.168.230.111,对应md5值H1=f553f21602ee3837063e09925c1be54e;主机操作系统版本:Linuxubuntu5.11.0-38-generic#42~20.04.1-UbuntuSMPTueSep2820:41:07UTC2021x86_64x86_64x86_64GNU/Linux,对应md5值H2=64ac458704eb1fb5821bd5cb469d97a3;主机已安装软件名列表:fwknop,fwupd,fonts-ubuntu,对应md5值H3=e7cd4dc6a53e4515dd23bceb6897d0ff;主机计划任务内容:0*/1***/etc/init.d/smbrestart,对应md5值H4=5af2a051fa9e6ce8b0dba96b2ba78d42;主机系统用户名:root,对应md5值H5=63a9f0ea7bb98050796b649e85481845;用户手指指纹:fingerprint.png,即M=fingerprint.png;通过同态加密算法,对手指指纹进行加密得到HmoEnc(fingerprint.png);当前本地时间戳Ts1=1638950420将同态加密处理方法HmoF(),H1-H5,HmonEnc(M)通过对称加密后,发送给服务器。本例子中,发送的数据如下:PubsEnc(HmoEnc(M),HmoF(),H1,H2,H3,H4,H5,Ts1)=PubsEnc(HmoEnc(fingerprint.png),HmoF(),f553f21602ee3837063e09925c1be54e,64ac458704eb1fb5821bd5cb469d97a3,e7cd4dc6a53e4515dd23bceb6897d0ff,5af2a051fa9e6ce8b0dba96b2ba78d42,63a9f0ea7bb98050796b649e85481845,1638950420);
服务器接收到加密数据PubsEnc(HmoEnc(M),HmoF(),H1,H2,H3,H4,H5,Ts1)之后,通过自身密钥进行解密:PubsDec(HmoEnc(M),HmoF(),H1,H2,H3,H4,H5,Ts1);首先判定Ts1的合法性。获取当前时间戳T1,存在时间戳合法判定算法Ts_Ok(Ts1,T1,T),其中T为常量,默认为60s。此时T1=1638950423;T1-Ts1=1638950423-1638950420=3<T,因此Ts1合法。通过处理函数HmoF()生成客户端实体的凭证AppID,AppID与H1-H5形成关联关系,AppID=HmoF(HmoEnc(fingerprint.png));生成AppID后,获取此时本地时间戳Ts2=1638950425,连同AppID下发给客户端,PubsEnc(HmoF(HmoEnc(fingerprint.png)),1638950425);客户端接收服务器发送的加密凭证,具体为解密获得AppID和Ts2,PubsDec(HmoF(HmoEnc(fingerprint.png)),1638950425)获取此时时间戳T2=1638950426,采用Ts_Ok(Ts2,T2,T)进行Ts2合法性验证。即Ts_Ok(1638950425,1638950426,60)由于T2-Ts2=1638950426-1638950425=1<T,因此Ts2合法,保存AppID在本地,作为之后的认证凭证。
客户端通过对称加密算法PubsEnc(),将此时本地的时间戳Ts3,同态加密后的用户手指指纹HmoEnc(M1)加密后发送到服务器,在本实例中,Ts3=1638950430,M1=fingerprint2.png,PubsEnc(HmoEnc(M1),Ts3)即PubsEnc(HmoEnc(fingerprint2.png),1638950430);
服务器基于实体认证要素的客户端验证,具体在于验证时间戳合法性、凭证服务校验、实体认证要素二次验证。在本实例中,通过对称解密算法获得HmoEnc(M1)=HmoEnc(fingerprint2.png),Ts3=1638950430;PubsDec(HmoEnc(M1),Ts3);获取此时的本地时间戳T3=1638950435,采用Ts_Ok(Ts3,T3,T)验证Ts3的合法性,即Ts_Ok(1638950430,1638950435,60);由于T3-Ts3<T,所以Ts3合法,使用同态加密处理方法HmoF()对HmoEnc(M1)进行处理,得到AppID2。AppID2=HmoF(HmoEnc(M1))即AppID2=HmoF(HmoEnc(fingerprint2.png));存在凭证判断算法,AppID_Ok(AppID,AppID2),在本实例中,即AppID_Ok(HmoF(HmoEnc(fingerprint.png)),HmoF(HmoEnc(fingerprint2.png))),在本实例中,AppID2=AppID,认为AppID2合法,即用户手指指纹合法。然后对客户端软件环境进行可信验证。获取此时的本地时间戳Ts4=1638950440,以及H1-H5的名称Req(H1,H2,H3,H4,H5)=Req(主机IP地址,主机操作系统版本,主机已安装软件名列表,主机计划任务内容,主机系统用户名),向客户端发送基于实体认证要求的客户端验证请求,要求客户端应答此时客户端环境的主机软件信息,PubsEnc(Req(H1,H2,H3,H4,H5),AppID2,Ts4);在本实例中,即PubsEnc(Req(主机IP地址,主机操作系统版本,主机已安装软件名列表,主机计划任务内容,主机系统用户名),HmoF(HmoEnc(fingerprint2.png)),1638950440);客户端解密服务器的客户端验证请求,根据其应答所请求的数据,通过Agent生成实时的数据PubsDec(Req(H1,H2,H3,H4,H5),AppID2,Ts4)并返回;在本实例中,即PubsDec(Req(主机IP地址,主机操作系统版本,主机已安装软件名列表,主机计划任务内容,主机系统用户名),HmoF(HmoEnc(fingerprint2.png)),1638950440),解密服务器发送的客户端验证请求。首先采用Ts_Ok(Ts4,T4,T)验证Ts4的合法性,获取此时客户端的时间戳T4=1638950444。即Ts_Ok(1638950440,1638950444,60),由于T4-Ts4<T,验证合法,然后通过同态加密技术的解密算法HmoDec(AppID2)对AppID2进行解密,验证服务器的合法性。在本实例中,即HmoDec(HmoF(HmoEnc(fingerprint2.png)));存在用户手指指纹合法性判断算法M_Ok,M_Ok(HmoDec(AppID2),HmoEnc(M));在本实例中,即M_Ok(HmoDec(HmoF(HmoEnc(fingerprint2.png))),HmoEnc(M));且HmoDec(HmoF(HmoEnc(fingerprint2.png)))==HmoEnc(M),AppID2验证合法。确认Ts4及AppID2合法后,根据Req(H1,H2,H3,H4,H5)所需要的数据,通过客户端Agent生成当前环境的值,并对值进行Md5处理,得到Ans(N1,N2,N3,N4,N5),同时获取此时的客户端时间戳Ts5。
在本实例中,Ans(N1,N2,N3,N4,N5)=Ans(f553f21602ee3837063e09925c1be54e,64ac458704eb1fb5821bd5cb469d97a3,e7cd4dc6a53e4515dd23bceb6897d0ff,5af2a051fa9e6ce8b0dba96b2ba78d42,63a9f0ea7bb98050796b649e85481845),Ts5=1638950444,向服务器发送应答信息PubsEnc(Ans(N1,N2,N3,N4,N5),Ts5);在本实例中,即PubsEnc(Ans(N1,N2,N3,N4,N5)=Ans(f553f21602ee3837063e09925c1be54e,64ac458704eb1fb5821bd5cb469d97a3,e7cd4dc6a53e4515dd23bceb6897d0ff,5af2a051fa9e6ce8b0dba96b2ba78d42,63a9f0ea7bb98050796b649e85481845),1638950444);采用PubsDec(Ans(N1,N2,N3,N4,N5),Ts5)对客户端发送的验证应答进行解密,判断Ts5合法性,并与本地保存的H1-H5进行比对,判断是否相同。采用Ts_Ok(Ts5,T5,T)验证Ts5合法性,获取此时服务器时间戳T5。在本实例中,T5=1638950450,Ts5=1638950444,T5-Ts5<T,验证合法,存在应答判断算法Judge(),判断客户端的验证应答是否与服务器一致,Judge(H1,H2,H3,H4,H5,N1,N2,N3,N4,N5);在本实例中,即为Judge(f553f21602ee3837063e09925c1be54e,64ac458704eb1fb5821bd5cb469d97a3,e7cd4dc6a53e4515dd23bceb6897d0ff,5af2a051fa9e6ce8b0dba96b2ba78d42,63a9f0ea7bb98050796b649e85481845,f553f21602ee3837063e09925c1be54e,64ac458704eb1fb5821bd5cb469d97a3,e7cd4dc6a53e4515dd23bceb6897d0ff,5af2a051fa9e6ce8b0dba96b2ba78d42,63a9f0ea7bb98050796b649e85481845)且N1-N5与H1-H5两两对应相等,因此Judge(H1,H2,H3,H4,H5,N1,N2,N3,N4,N5)=1,认证通过,客户端与服务器可正常通信。
上述的基于同态加密技术的可信实体认证通信方法,通过客户端采集的主机软件信息及用户生物信息进行同态加密处理后发送至服务器,以由服务器生成可信实体的认证凭证。在通信阶段,将主机软件信息作为应答知识挑战,用于判定设备软件环境的合法性,在所有通信过程中,进行数据对称加密传输,实现从注册阶段到通信阶段全流程主机与服务器间交互数据的保密性和完整性保护,实现提高实体验证的保密性和完整性,降低信息泄露的风险。
图6是本发明实施例提供的一种基于同态加密技术的可信实体认证通信装置300的示意性框图。如图5所示,对应于以上基于同态加密技术的可信实体认证通信方法,本发明还提供一种基于同态加密技术的可信实体认证通信装置300。该基于同态加密技术的可信实体认证通信装置300包括用于执行上述基于同态加密技术的可信实体认证通信方法的单元,该装置可以被配置于服务器中。具体地,请参阅图6,该基于同态加密技术的可信实体认证通信装置300包括要素获取单元301、第一解密单元302、第一判断单元303、凭证生成单元304、第一发送单元305、认证请求获取单元306、第二解密单元307、第二判断单元308、第一处理单元309、第三判断单元310、环境验证单元311、第四判断单元312以及认证通过单元313。
要素获取单元301,用于获取来自客户端所发送的实体认证要素,其中,所述实体认证要素是哈希加密后的主机软件信息、采用同态加密算法加密后的用户生物信息以及当前本地时间戳对称加密形成的信息;第一解密单元302,用于对所述实体认证要素进行解密,以得到当前本地时间戳;第一判断单元303,用于判断所述当前本地时间戳是否合法;凭证生成单元304,用于若所述当前本地时间戳合法,则使用同态加密处理方法生成认证凭证;第一发送单元305,用于获取服务器当前的时间戳,以形成第一时间戳,并将第一时间戳所述认证凭证发送至客户端,以由客户端对第一时间戳验证是否合法后再进行存储;认证请求获取单元306,用于获取来自客户端的认证请求;第二解密单元307,用于对所述认证请求进行解密,以得到发送请求时的本地时间戳以及同态加密后的指纹信息;第二判断单元308,用于判断发送请求时的本地时间戳是否合法;第一处理单元309,用于若发送请求时的本地时间戳合法,则对同态加密后的指纹信息使用同态加密处理方法进行处理,以得到目标凭证;第三判断单元310,用于判断所述目标凭证是否合法;环境验证单元311,用于若所述目标凭证合法,则对客户端软件环境进行可信验证,并获取所述客户端的应答信息;第四判断单元312,用于判断所述应答信息是否符合要求;认证通过单元313,用于若所述应答信息符合要求,则确定客户端认证通过,以使得客户端可正常通信。
在一实施例中,如图7所示,所述第一判断单元303包括差值计算子单元3031、差值判断子单元3032、第一确定子单元3033以及第二确定子单元3034。
差值计算子单元3031,用于计算所述当前本地时间戳与服务器当前时间戳的差值;差值判断子单元3032,用于判断所述差值是否小于设定时间差阈值;第一确定子单元3033,用于若所述差值小于设定时间差阈值,则确定所述当前本地时间戳合法;第二确定子单元3034,用于若所述差值不小于设定时间差阈值,则确定所述当前本地时间戳不合法。
在一实施例中,所述凭证生成单元304,用于采用同态加密算法的处理方法对采用同态加密算法加密后的用户生物信息进行处理,以生成认证凭证。
在一实施例中,所述第一发送单元305,用于获取服务器当前的时间戳,以形成第一时间戳,并将第一时间戳所述认证凭证发送至客户端,以使得客户端对所述第一时间戳进行合法性判断,当所述第一时间戳合法时,对所述认证凭证进行存储。
在一实施例中,如图8所示,所述第三判断单元310包括目标凭证判断子单元3101、第三确定子单元3102以及第四确定子单元3103。
目标凭证判断子单元3101,用于判断所述目标凭证是否等于所述认证凭证;第三确定子单元3102,用于若所述目标凭证等于所述认证凭证,则确定所述目标凭证合法;第四确定子单元3103,用于若所述目标凭证不等于所述认证凭证,则确定所述目标凭证不合法。
在一实施例中,如图9所示,所述环境验证单元311包括第二时间戳获取子单元3111、内容生成子单元3112、实体验证请求生成子单元3113以及请求发送子单元3114。
第二时间戳获取子单元3111,用于获取服务器此时的本地时间戳,以得到第二时间戳;内容生成子单元3112,用于生成请求获取主机软件信息的内容;实体验证请求生成子单元3113,用于根据所述第二时间戳、请求获取主机软件信息的内容以及所述目标凭证生成实体验证请求;请求发送子单元3114,用于发送所述实体验证请求至客户端,以使得客户端解密所述实体验证请求,并验证第二时间戳是否合法,在第二时间戳合法时,对所述目标凭证进行解密并验证合法性,在所述目标凭证合法的情况时,根据请求获取主机软件信息的内容生成当前环境下的主机软件信息,以形成目标主机软件信息,将目标主机软件信息结合客户端当前时间戳生成应答信息,发送所述应答信息。
需要说明的是,所属领域的技术人员可以清楚地了解到,上述基于同态加密技术的可信实体认证通信装置300和各单元的具体实现过程,可以参考前述方法实施例中的相应描述,为了描述的方便和简洁,在此不再赘述。
上述基于同态加密技术的可信实体认证通信装置300可以实现为一种计算机程序的形式,该计算机程序可以在如图10所示的计算机设备上运行。
请参阅图10,图10是本申请实施例提供的一种计算机设备的示意性框图。该计算机设备500可以是服务器,其中,服务器可以是独立的服务器,也可以是多个服务器组成的服务器集群。
参阅图10,该计算机设备500包括通过系统总线501连接的处理器502、存储器和网络接口505,其中,存储器可以包括非易失性存储介质503和内存储器504。
该非易失性存储介质503可存储操作系统5031和计算机程序5032。该计算机程序5032包括程序指令,该程序指令被执行时,可使得处理器502执行一种基于同态加密技术的可信实体认证通信方法。
该处理器502用于提供计算和控制能力,以支撑整个计算机设备500的运行。
该内存储器504为非易失性存储介质503中的计算机程序5032的运行提供环境,该计算机程序5032被处理器502执行时,可使得处理器502执行一种基于同态加密技术的可信实体认证通信方法。
该网络接口505用于与其它设备进行网络通信。本领域技术人员可以理解,图10中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备500的限定,具体的计算机设备500可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
其中,所述处理器502用于运行存储在存储器中的计算机程序5032,以实现如下步骤:
获取来自客户端所发送的实体认证要素,其中,所述实体认证要素是哈希加密后的主机软件信息、采用同态加密算法加密后的用户生物信息以及当前本地时间戳对称加密形成的信息;对所述实体认证要素进行解密,以得到当前本地时间戳;判断所述当前本地时间戳是否合法;若所述当前本地时间戳合法,则使用同态加密处理方法生成认证凭证;获取服务器当前的时间戳,以形成第一时间戳,并将第一时间戳所述认证凭证发送至客户端,以由客户端对第一时间戳验证是否合法后再进行存储;获取来自客户端的认证请求;对所述认证请求进行解密,以得到发送请求时的本地时间戳以及同态加密后的指纹信息;判断发送请求时的本地时间戳是否合法;若发送请求时的本地时间戳合法,则对同态加密后的指纹信息使用同态加密处理方法进行处理,以得到目标凭证;判断所述目标凭证是否合法;若所述目标凭证合法,则对客户端软件环境进行可信验证,并获取所述客户端的应答信息;判断所述应答信息是否符合要求;若所述应答信息符合要求,则确定客户端认证通过,以使得客户端可正常通信。
其中,所述哈希加密后的主机软件信息包括主机IP地址、主机操作系统版本、主机安装软件名列表、主机计划任务内容以及主机系统用户名。
在一实施例中,处理器502在实现所述判断所述当前本地时间戳是否合法步骤时,具体实现如下步骤:
计算所述当前本地时间戳与服务器当前时间戳的差值;判断所述差值是否小于设定时间差阈值;若所述差值小于设定时间差阈值,则确定所述当前本地时间戳合法;若所述差值不小于设定时间差阈值,则确定所述当前本地时间戳不合法。
在一实施例中,处理器502在实现所述使用同态加密处理方法生成认证凭证步骤时,具体实现如下步骤:
采用同态加密算法的处理方法对采用同态加密算法加密后的用户生物信息进行处理,以生成认证凭证。
在一实施例中,处理器502在实现所述获取服务器当前的时间戳,以形成第一时间戳,并将第一时间戳所述认证凭证发送至客户端,以由客户端对第一时间戳验证是否合法后再进行存储步骤时,具体实现如下步骤:
获取服务器当前的时间戳,以形成第一时间戳,并将第一时间戳所述认证凭证发送至客户端,以使得客户端对所述第一时间戳进行合法性判断,当所述第一时间戳合法时,对所述认证凭证进行存储。
在一实施例中,处理器502在实现所述判断所述目标凭证是否合法步骤时,具体实现如下步骤:
判断所述目标凭证是否等于所述认证凭证;若所述目标凭证等于所述认证凭证,则确定所述目标凭证合法;若所述目标凭证不等于所述认证凭证,则确定所述目标凭证不合法。
在一实施例中,处理器502在实现所述对客户端软件环境进行可信验证,并获取所述客户端的应答信息步骤时,具体实现如下步骤:
获取服务器此时的本地时间戳,以得到第二时间戳;生成请求获取主机软件信息的内容;根据所述第二时间戳、请求获取主机软件信息的内容以及所述目标凭证生成实体验证请求;发送所述实体验证请求至客户端,以使得客户端解密所述实体验证请求,并验证第二时间戳是否合法,在第二时间戳合法时,对所述目标凭证进行解密并验证合法性,在所述目标凭证合法的情况时,根据请求获取主机软件信息的内容生成当前环境下的主机软件信息,以形成目标主机软件信息,将目标主机软件信息结合客户端当前时间戳生成应答信息,发送所述应答信息。
应当理解,在本申请实施例中,处理器502可以是中央处理单元 (CentralProcessing Unit,CPU),该处理器502还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路 (Application Specific IntegratedCircuit,ASIC)、现成可编程门阵列 (Field-Programmable Gate Array,FPGA) 或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中,通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
本领域普通技术人员可以理解的是实现上述实施例的方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成。该计算机程序包括程序指令,计算机程序可存储于一存储介质中,该存储介质为计算机可读存储介质。该程序指令被该计算机系统中的至少一个处理器执行,以实现上述方法的实施例的流程步骤。
因此,本发明还提供一种存储介质。该存储介质可以为计算机可读存储介质。该存储介质存储有计算机程序,其中该计算机程序被处理器执行时使处理器执行如下步骤:
获取来自客户端所发送的实体认证要素,其中,所述实体认证要素是哈希加密后的主机软件信息、采用同态加密算法加密后的用户生物信息以及当前本地时间戳对称加密形成的信息;对所述实体认证要素进行解密,以得到当前本地时间戳;判断所述当前本地时间戳是否合法;若所述当前本地时间戳合法,则使用同态加密处理方法生成认证凭证;获取服务器当前的时间戳,以形成第一时间戳,并将第一时间戳所述认证凭证发送至客户端,以由客户端对第一时间戳验证是否合法后再进行存储;获取来自客户端的认证请求;对所述认证请求进行解密,以得到发送请求时的本地时间戳以及同态加密后的指纹信息;判断发送请求时的本地时间戳是否合法;若发送请求时的本地时间戳合法,则对同态加密后的指纹信息使用同态加密处理方法进行处理,以得到目标凭证;判断所述目标凭证是否合法;若所述目标凭证合法,则对客户端软件环境进行可信验证,并获取所述客户端的应答信息;判断所述应答信息是否符合要求;若所述应答信息符合要求,则确定客户端认证通过,以使得客户端可正常通信。
其中,所述哈希加密后的主机软件信息包括主机IP地址、主机操作系统版本、主机安装软件名列表、主机计划任务内容以及主机系统用户名。
在一实施例中,所述处理器在执行所述计算机程序而实现所述判断所述当前本地时间戳是否合法步骤时,具体实现如下步骤:
计算所述当前本地时间戳与服务器当前时间戳的差值;判断所述差值是否小于设定时间差阈值;若所述差值小于设定时间差阈值,则确定所述当前本地时间戳合法;若所述差值不小于设定时间差阈值,则确定所述当前本地时间戳不合法。
在一实施例中,所述处理器在执行所述计算机程序而实现所述使用同态加密处理方法生成认证凭证步骤时,具体实现如下步骤:
采用同态加密算法的处理方法对采用同态加密算法加密后的用户生物信息进行处理,以生成认证凭证。
在一实施例中,所述处理器在执行所述计算机程序而实现所述获取服务器当前的时间戳,以形成第一时间戳,并将第一时间戳所述认证凭证发送至客户端,以由客户端对第一时间戳验证是否合法后再进行存储步骤时,具体实现如下步骤:
获取服务器当前的时间戳,以形成第一时间戳,并将第一时间戳所述认证凭证发送至客户端,以使得客户端对所述第一时间戳进行合法性判断,当所述第一时间戳合法时,对所述认证凭证进行存储。
在一实施例中,所述处理器在执行所述计算机程序而实现所述判断所述目标凭证是否合法步骤时,具体实现如下步骤:
判断所述目标凭证是否等于所述认证凭证;若所述目标凭证等于所述认证凭证,则确定所述目标凭证合法;若所述目标凭证不等于所述认证凭证,则确定所述目标凭证不合法。
在一实施例中,所述处理器在执行所述计算机程序而实现所述对客户端软件环境进行可信验证,并获取所述客户端的应答信息步骤时,具体实现如下步骤:
获取服务器此时的本地时间戳,以得到第二时间戳;生成请求获取主机软件信息的内容;根据所述第二时间戳、请求获取主机软件信息的内容以及所述目标凭证生成实体验证请求;发送所述实体验证请求至客户端,以使得客户端解密所述实体验证请求,并验证第二时间戳是否合法,在第二时间戳合法时,对所述目标凭证进行解密并验证合法性,在所述目标凭证合法的情况时,根据请求获取主机软件信息的内容生成当前环境下的主机软件信息,以形成目标主机软件信息,将目标主机软件信息结合客户端当前时间戳生成应答信息,发送所述应答信息。
所述存储介质可以是U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的计算机可读存储介质。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的。例如,各个单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。本发明实施例装置中的单元可以根据实际需要进行合并、划分和删减。另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。
该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,终端,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.基于同态加密技术的可信实体认证通信方法,其特征在于,包括:
获取来自客户端所发送的实体认证要素,其中,所述实体认证要素是哈希加密后的主机软件信息、采用同态加密算法加密后的用户生物信息以及当前本地时间戳对称加密形成的信息;
对所述实体认证要素进行解密,以得到当前本地时间戳;
判断所述当前本地时间戳是否合法;
若所述当前本地时间戳合法,则使用同态加密处理方法生成认证凭证;
获取服务器当前的时间戳,以形成第一时间戳,并将第一时间戳所述认证凭证发送至客户端,以由客户端对第一时间戳验证是否合法后再进行存储;
获取来自客户端的认证请求;
对所述认证请求进行解密,以得到发送请求时的本地时间戳以及同态加密后的指纹信息;
判断发送请求时的本地时间戳是否合法;
若发送请求时的本地时间戳合法,则对同态加密后的指纹信息使用同态加密处理方法进行处理,以得到目标凭证;
判断所述目标凭证是否合法;
若所述目标凭证合法,则对客户端软件环境进行可信验证,并获取所述客户端的应答信息;
判断所述应答信息是否符合要求;
若所述应答信息符合要求,则确定客户端认证通过,以使得客户端可正常通信。
2.根据权利要求1所述的基于同态加密技术的可信实体认证通信方法,其特征在于,所述哈希加密后的主机软件信息包括主机IP地址、主机操作系统版本、主机安装软件名列表、主机计划任务内容以及主机系统用户名。
3.根据权利要求1所述的基于同态加密技术的可信实体认证通信方法,其特征在于,所述判断所述当前本地时间戳是否合法,包括:
计算所述当前本地时间戳与服务器当前时间戳的差值;
判断所述差值是否小于设定时间差阈值;
若所述差值小于设定时间差阈值,则确定所述当前本地时间戳合法;
若所述差值不小于设定时间差阈值,则确定所述当前本地时间戳不合法。
4.根据权利要求1所述的基于同态加密技术的可信实体认证通信方法,其特征在于,所述使用同态加密处理方法生成认证凭证,包括:
采用同态加密算法的处理方法对采用同态加密算法加密后的用户生物信息进行处理,以生成认证凭证。
5.根据权利要求4所述的基于同态加密技术的可信实体认证通信方法,其特征在于,所述获取服务器当前的时间戳,以形成第一时间戳,并将第一时间戳所述认证凭证发送至客户端,以由客户端对第一时间戳验证是否合法后再进行存储,包括:
获取服务器当前的时间戳,以形成第一时间戳,并将第一时间戳所述认证凭证发送至客户端,以使得客户端对所述第一时间戳进行合法性判断,当所述第一时间戳合法时,对所述认证凭证进行存储。
6.根据权利要求1所述的基于同态加密技术的可信实体认证通信方法,其特征在于,所述判断所述目标凭证是否合法,包括:
判断所述目标凭证是否等于所述认证凭证;
若所述目标凭证等于所述认证凭证,则确定所述目标凭证合法;
若所述目标凭证不等于所述认证凭证,则确定所述目标凭证不合法。
7.根据权利要求1所述的基于同态加密技术的可信实体认证通信方法,其特征在于,所述对客户端软件环境进行可信验证,并获取所述客户端的应答信息,包括:
获取服务器此时的本地时间戳,以得到第二时间戳;
生成请求获取主机软件信息的内容;
根据所述第二时间戳、请求获取主机软件信息的内容以及所述目标凭证生成实体验证请求;
发送所述实体验证请求至客户端,以使得客户端解密所述实体验证请求,并验证第二时间戳是否合法,在第二时间戳合法时,对所述目标凭证进行解密并验证合法性,在所述目标凭证合法的情况时,根据请求获取主机软件信息的内容生成当前环境下的主机软件信息,以形成目标主机软件信息,将目标主机软件信息结合客户端当前时间戳生成应答信息,发送所述应答信息。
8.基于同态加密技术的可信实体认证通信装置,其特征在于,包括:
要素获取单元,用于获取来自客户端所发送的实体认证要素,其中,所述实体认证要素是哈希加密后的主机软件信息、采用同态加密算法加密后的用户生物信息以及当前本地时间戳对称加密形成的信息;
第一解密单元,用于对所述实体认证要素进行解密,以得到当前本地时间戳;
第一判断单元,用于判断所述当前本地时间戳是否合法;
凭证生成单元,用于若所述当前本地时间戳合法,则使用同态加密处理方法生成认证凭证;
第一发送单元,用于获取服务器当前的时间戳,以形成第一时间戳,并将第一时间戳所述认证凭证发送至客户端,以由客户端对第一时间戳验证是否合法后再进行存储;
认证请求获取单元,用于获取来自客户端的认证请求;
第二解密单元,用于对所述认证请求进行解密,以得到发送请求时的本地时间戳以及同态加密后的指纹信息;
第二判断单元,用于判断发送请求时的本地时间戳是否合法;
第一处理单元,用于若发送请求时的本地时间戳合法,则对同态加密后的指纹信息使用同态加密处理方法进行处理,以得到目标凭证;
第三判断单元,用于判断所述目标凭证是否合法;
环境验证单元,用于若所述目标凭证合法,则对客户端软件环境进行可信验证,并获取所述客户端的应答信息;
第四判断单元,用于判断所述应答信息是否符合要求;
认证通过单元,用于若所述应答信息符合要求,则确定客户端认证通过,以使得客户端可正常通信。
9.一种计算机设备,其特征在于,所述计算机设备包括存储器及处理器,所述存储器上存储有计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至7中任一项所述的方法。
10.一种存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210165198.3A CN114221752B (zh) | 2022-02-23 | 2022-02-23 | 基于同态加密技术的可信实体认证通信方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210165198.3A CN114221752B (zh) | 2022-02-23 | 2022-02-23 | 基于同态加密技术的可信实体认证通信方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114221752A true CN114221752A (zh) | 2022-03-22 |
| CN114221752B CN114221752B (zh) | 2022-04-29 |
Family
ID=80709369
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210165198.3A Active CN114221752B (zh) | 2022-02-23 | 2022-02-23 | 基于同态加密技术的可信实体认证通信方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114221752B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116260661A (zh) * | 2023-05-15 | 2023-06-13 | 杭州美创科技股份有限公司 | 终端认证方法、装置、计算机设备及存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012156636A (ja) * | 2011-01-24 | 2012-08-16 | National Institute Of Information & Communication Technology | 位置情報認証方法 |
| CN102664885A (zh) * | 2012-04-18 | 2012-09-12 | 南京邮电大学 | 一种基于生物特征加密和同态算法的身份认证方法 |
| US20150207630A1 (en) * | 2014-01-20 | 2015-07-23 | Fujitsu Limited | Information processing apparatus, and information processing method |
| US20150381348A1 (en) * | 2014-06-30 | 2015-12-31 | Fujitsu Limited | Encryption processing method, encryption processing device, and computer-readable recording medium storing program for encryption processing |
| CN107819587A (zh) * | 2017-12-13 | 2018-03-20 | 陈智罡 | 基于全同态加密的认证方法和用户设备以及认证服务器 |
| CN108718240A (zh) * | 2018-06-08 | 2018-10-30 | 浙江捷尚人工智能研究发展有限公司 | 基于全同态加密的认证方法、电子设备、存储介质及系统 |
| CN109922077A (zh) * | 2019-03-27 | 2019-06-21 | 北京思源互联科技有限公司 | 一种基于区块链的身份认证方法及其系统 |
| CN112948795A (zh) * | 2021-02-19 | 2021-06-11 | 支付宝(杭州)信息技术有限公司 | 保护隐私的身份认证方法及装置 |
-
2022
- 2022-02-23 CN CN202210165198.3A patent/CN114221752B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012156636A (ja) * | 2011-01-24 | 2012-08-16 | National Institute Of Information & Communication Technology | 位置情報認証方法 |
| CN102664885A (zh) * | 2012-04-18 | 2012-09-12 | 南京邮电大学 | 一种基于生物特征加密和同态算法的身份认证方法 |
| US20150207630A1 (en) * | 2014-01-20 | 2015-07-23 | Fujitsu Limited | Information processing apparatus, and information processing method |
| US20150381348A1 (en) * | 2014-06-30 | 2015-12-31 | Fujitsu Limited | Encryption processing method, encryption processing device, and computer-readable recording medium storing program for encryption processing |
| CN107819587A (zh) * | 2017-12-13 | 2018-03-20 | 陈智罡 | 基于全同态加密的认证方法和用户设备以及认证服务器 |
| CN108718240A (zh) * | 2018-06-08 | 2018-10-30 | 浙江捷尚人工智能研究发展有限公司 | 基于全同态加密的认证方法、电子设备、存储介质及系统 |
| CN109922077A (zh) * | 2019-03-27 | 2019-06-21 | 北京思源互联科技有限公司 | 一种基于区块链的身份认证方法及其系统 |
| CN112948795A (zh) * | 2021-02-19 | 2021-06-11 | 支付宝(杭州)信息技术有限公司 | 保护隐私的身份认证方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 杨亚涛等: "基于SEAL库的同态密文指纹识别系统设计与实现", 《密码学报》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116260661A (zh) * | 2023-05-15 | 2023-06-13 | 杭州美创科技股份有限公司 | 终端认证方法、装置、计算机设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114221752B (zh) | 2022-04-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108768664B (zh) | 密钥管理方法、装置、系统、存储介质和计算机设备 | |
| EP3373510B1 (en) | Method and device for realizing session identifier synchronization | |
| US20190253260A1 (en) | Electronic certification system | |
| JP5695120B2 (ja) | システム間シングルサインオン | |
| EP2755162B1 (en) | Identity controlled data center | |
| US20050132202A1 (en) | Attesting to establish trust between computer entities | |
| US8468359B2 (en) | Credentials for blinded intended audiences | |
| US20220286440A1 (en) | Secure Media Delivery | |
| CN113630416A (zh) | 机密认证和供应 | |
| US8312518B1 (en) | Island of trust in a service-oriented environment | |
| CN111914293B (zh) | 一种数据访问权限验证方法、装置、计算机设备及存储介质 | |
| KR101311059B1 (ko) | 취소 정보 관리 | |
| CN110855426B (zh) | 一种用于软件使用授权的方法 | |
| US20210056198A1 (en) | Remote processing of credential requests | |
| CN114374522B (zh) | 一种可信设备认证方法、装置、计算机设备及存储介质 | |
| CN113051540A (zh) | 一种应用程序接口安全分级治理方法 | |
| CN114221752B (zh) | 基于同态加密技术的可信实体认证通信方法 | |
| JP2019134333A (ja) | 情報処理システム、クライアント装置、認証認可サーバー、制御方法とそのプログラム | |
| KR20170111809A (ko) | 대칭키 기반의 보안 토큰을 이용한 양방향 인증 방법 | |
| JP7017477B2 (ja) | 利用者権限認証システム | |
| TW201638826A (zh) | 在行動裝置上以安全信物使相異程式獲得數位憑證簽署之系統及方法 | |
| TWM505130U (zh) | 在行動裝置上以安全信物使相異程式獲得數位憑證簽署之系統 | |
| WO2022121940A1 (zh) | 业务密钥的信息处理方法、服务端及系统 | |
| US20230376574A1 (en) | Information processing device and method, and information processing system | |
| JP2006268790A (ja) | 属性証明書管理装置および方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 311100 Rooms 103-27, Building 19, No. 1399 Liangmu Road, Cangqian Street, Yuhang District, Hangzhou City, Zhejiang Province Patentee after: Hangzhou Meichuang Technology Co.,Ltd. Address before: 310013 floor 12, building 7, Tianxing International Center, No. 508, Fengtan Road, Gongshu District, Hangzhou, Zhejiang Province Patentee before: HANGZHOU MEICHUANG TECHNOLOGY CO.,LTD. |
|
| CP03 | Change of name, title or address |