CN114389793B - 会话密钥验证的方法、装置、设备及计算机存储介质 - Google Patents

会话密钥验证的方法、装置、设备及计算机存储介质 Download PDF

Info

Publication number
CN114389793B
CN114389793B CN202011109753.8A CN202011109753A CN114389793B CN 114389793 B CN114389793 B CN 114389793B CN 202011109753 A CN202011109753 A CN 202011109753A CN 114389793 B CN114389793 B CN 114389793B
Authority
CN
China
Prior art keywords
ciphertext
key
session
hash
session key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011109753.8A
Other languages
English (en)
Other versions
CN114389793A (zh
Inventor
袁园
张磊
邓晶晶
贺雨言
陈丽茉
赵晨光
陈乐�
罗朝彤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Information Technology Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Information Technology Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN202011109753.8A priority Critical patent/CN114389793B/zh
Publication of CN114389793A publication Critical patent/CN114389793A/zh
Application granted granted Critical
Publication of CN114389793B publication Critical patent/CN114389793B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/302Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3249Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本申请实施例提供了一种会话密钥验证的方法、装置、设备及计算机存储介质,其中,方法包括:接收客户端发送的密钥验证请求,密钥验证请求包括会话公钥密文,其中,会话公钥密文为客户端使用服务端的事件证书公钥对会话密文进行加密得到的,会话密文包括第一哈希密文,获取证书颁发机构颁发的服务端的事件证书私钥,根据事件证书私钥解密会话公钥密文,得到第二哈希密文,当第一哈希密文与第二哈希密文一致时,向客户端发送会话密钥验证成功的响应消息,由于事件证书具有瞬时性,密钥有效期短,且完成验证后立即失效,减小了被冒用的风险,提高了密钥传输的安全性。

Description

会话密钥验证的方法、装置、设备及计算机存储介质
技术领域
本申请属于通信技术领域,尤其涉及一种会话密钥验证的方法、装置、设备及计算机存储介质。
背景技术
会话密钥协商是用于会话中加密用的对称式密钥,所有成员使用同一把密钥来加密明文、解密密文,进行会话密钥验证,在此次验证结束该密钥即无效,如需重新通信则需要再重新进行一次密钥的产生及交换等步骤。为保证客户端与服务端之间安全通信会话而随机产生的加密和解密密钥,可由通信用户之间进行协商得到。会话密钥一般是动态的,仅在需要进行会话数据加密时产生。
会话密钥协商通常采用李维斯特萨莫尔阿曼德(Rivest Sham Adleman,RSA)加密算法密钥协商和迪菲赫尔曼(Diffie-Hellman,DH)算法,但是这种传统的密钥协商算法及保护手段存在一定的缺陷:数字证书有效期比较长,在传输过程中,会带来密钥被冒用的风险,降低了密钥传输的安全性。
发明内容
本申请实施例提供一种会话密钥验证的方法、装置、设备及计算机存储介质,利用事件证书的瞬时性,密钥有效期短,且完成验证后立即失效,减小了被冒用的风险,提高了密钥传输的安全性。
第一方面,本申请实施例提供一种会话密钥验证的方法,方法包括:
接收客户端发送的密钥验证请求,密钥验证请求包括会话公钥密文,其中,会话公钥密文为客户端使用服务端的事件证书公钥对会话密文进行加密得到的,会话密文包括第一哈希密文;
获取证书颁发机构颁发的服务端的事件证书私钥;
根据事件证书私钥解密会话公钥密文,得到第二哈希密文;
当第一哈希密文与第二哈希密文一致时,向客户端发送会话密钥验证成功的响应消息。
在一种可能的实现方式中,会话密文包括第一密文;根据事件证书私钥解密会话公钥密文,得到第二哈希密文,包括:
根据事件证书私钥解密会话公钥密文,得到第一密文;其中,第一密文包括密钥身份标识ID、会话密钥密文;
当密钥ID的序列号长度为预设长度时,调用加密机主密钥解密会话密钥密文,得到第二哈希密文。
在一种可能的实现方式中,第一密文还包括认证密文,会话密钥秘文包括会话密钥;当密钥ID的序列号长度为预设长度时,调用加密机主密钥解密会话密钥密文,得到第二哈希密文,包括:
调用加密机主密钥解密会话密钥密文,得到会话密钥;
使用会话密钥解密认证密文,得到客户端产生的随机数;
将随机数和密钥ID进行按位或计算,得到第二哈希密文。
在一种可能的实现方式中,当下一次密钥验证请求中的序列号小于或等于密钥ID的序列号时,中断会话密钥验证。
在一种可能的实现方式中,在会话密钥验证成功时,会话密钥失效。
第二方面,本申请实施例提供了一种会话密钥验证装置,装置包括:
接收模块,用于接收客户端发送的密钥验证请求,密钥验证请求包括会话公钥密文,其中,会话公钥密文为客户端使用服务端的事件证书公钥对会话密文进行加密得到的,会话密文包括第一哈希密文;
获取模块,用于获取证书颁发机构颁发的服务端的事件证书私钥;
解密模块,用于根据事件证书私钥解密会话公钥密文,得到第二哈希密文;
发送模块,用于当第一哈希密文与第二哈希密文一致时,向客户端发送会话密钥验证成功的响应消息。
在一种可能的实现方式中,会话密文包括第一密文;装置包括:第一解密模块,用于根据事件证书私钥解密会话公钥密文,得到第一密文;其中,第一密文包括密钥身份标识号ID、会话密钥密文;
第二解密模块,用于当密钥ID的序列号长度为预设长度时,调用加密机主密钥解密会话密钥密文,得到第二哈希密文。
在一种可能的实现方式中,第一密文还包括认证密文,会话密钥秘文包括会话密钥;第二解密模块,具体用于调用加密机主密钥解密会话密钥密文,得到会话密钥;
使用会话密钥解密认证密文,得到客户端产生的随机数;
将随机数和密钥ID进行按位或计算,得到第二哈希密文。
第三方面,本申请实施例提供了一种会话密钥验证设备,设备包括:会话密钥验证设备包括:处理器,以及存储有计算机程序指令的存储器;处理器读取并执行计算机程序指令,以实现第一方面或者第一方面任意一种可能的实现方式中的会话密钥验证的方法。
第四方面,本申请实施例提供了一种计算机存储介质,计算机存储介质上存储有计算机程序指令,计算机程序指令被处理器执行时实现第一方面或者第一方面任意一种可能的实现方式中的会话密钥验证的方法。
本申请实施例提供的会话密钥验证的方法、装置、设备及计算机存储介质,其中,方法包括:接收客户端发送的密钥验证请求,密钥验证请求包括会话公钥密文,其中,会话公钥密文为客户端使用服务端的事件证书公钥对会话密文进行加密得到的,会话密文包括第一哈希密文,获取证书颁发机构颁发的服务端的事件证书私钥,根据事件证书私钥解密会话公钥密文,得到第二哈希密文,当第一哈希密文与第二哈希密文一致时,向客户端发送会话密钥验证成功的响应消息,由于事件证书具有瞬时性,密钥有效期短,且完成验证后立即失效,减小了被冒用的风险,提高了密钥传输的安全性。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单的介绍,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种会话密钥验证的逻辑构架图;
图2是本申请实施例提供的一种会话密钥验证方法的流程示意图;
图3是本申请实施例提供的一种会话密文的结构示意图;
图4是本申请实施例提供的一种会话密钥验证装置的结构示意图;
图5是本申请实施例提供的一种会话密钥验证设备的结构示意图。
具体实施方式
下面将详细描述本申请的各个方面的特征和示例性实施例,为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及具体实施例,对本申请进行进一步详细描述。应理解,此处所描述的具体实施例仅意在解释本申请,而不是限定本申请。对于本领域技术人员来说,本申请可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本申请的示例来提供对本申请更好的理解。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
会话密钥协商通常采用传统技术手段为RSA加密算法密钥协商和DH算法。RSA加密算法密钥协商是服务端将证书提供者客户端,客户端通过验证证书,然后提取公钥,通过公钥加密客户端的随机密钥,传输给服务端后,服务端进行解密提取。DH算法可以全程透露身份信息,DH算法不支持身份认证,必须结合签名算法使用,如RSA,DSA等签名算法。
但是,上述技术手段存在以下缺陷:
1、传输过程中需要持有长效电子证书,且数字证书有效期超过一天带来冒用风险;
2、持有长效电子证书的不灵活性,单纯使用DH算法并不能防犯中间人攻击,缺乏身份认证,需要加入基于可信公钥设施的签名算法来交换密钥。
为了解决现有技术问题,本申请实施例提供了一种会话密钥验证的方法、装置、设备及计算机存储介质。
图1为一种会话密钥验证的方法的逻辑架构图,具体包括:
客户端110:基于国密算法的事件证书持有者,为了把持有者的风险减到最低,必须缩小证书的有效期和有效使用范围,证书有效期应该非常短而且只能在对应项目里面使用。
服务端120:基于国密算法的事件证书持有者,为了把持有者的风险减到最低,必须缩小证书的有效期和有效使用范围,证书有效期应该非常短而且只能在对应项目里面使用。
证书颁发机构(Certificate Authority,CA)130:基于国密算法的事件证书签发可信机构,CA为每个使用公开密钥侧发放一个事件证书,用于证明证书中列出的用户合法拥有证书中列出的公开密钥。CA的数字签名使得攻击者不能伪造和篡改证书。
加密机140:基于国密算法的存储和产生主密钥141的专用安全设备。
基于CA颁发的事件证书,也是基于X509 V3标准的电子证书,证书产生的流程与现有的证书产生流程一样,都是产生密钥对,发送申请请求到CA,CA进行签发返回。
当证书持有者决定使用时,进行操作的动作只要几秒时间,因此,证书有效期只要保证在申请到操作完毕期间的几秒时间内就可以。如果有效期过长,就会有可能用于其他未经签名者授权的操作,事件证书的瞬时性能够降低这类风险。另外,这种证书是一次一密性质的,验证完毕以后销毁私钥防止重复使用。
在本发明实施例中,CA向客户端颁发服务端的事件证书公钥,向服务端颁发服务端的事件证书私钥,事件证书公钥和事件证书私钥包含密钥ID及其他信息,提供身份认证。客户端使用事件证书公钥对会话密文进行加密得到会话公钥密文,向服务端发送该会话公钥密文。服务根据CA颁发的事件证书私钥解密会话公钥密文,得到第二哈希密文。当所述第一哈希密文与所述第二哈希密文一致时,向所述客户端发送会话密钥验证成功的响应消息。由于事件证书具有瞬时性,密钥有效期短,且完成验证后立即失效,减小了被冒用的风险,提高了密钥传输的安全性。
下面首先对本申请实施例所提供的会话密钥验证的方法进行介绍。
图2示出了本申请一个实施例提供的会话密钥验证的方法的流程示意图。如图2所示,该方法可以包括以下步骤:
S210、接收客户端发送的密钥验证请求,密钥验证请求包括会话公钥密文,其中,会话公钥密文为客户端使用服务端的事件证书公钥对会话密文进行加密得到的,会话密文包括第一哈希密文。
客户端产生会话密钥Sessionkey,并调用加密机的主密钥对临时会话密钥加密形成会话密钥密文EncSessionkey。
客户端产生随机数R作为共享秘密,使用临时会话密钥采用国密对称算法对其进行加密,形成认证密文EncR,使得密钥不会明文暴露在外部,保证私钥的安全。另外,将随机数作为密钥来加密,每次都不一样,重放攻击失效,即便攻击者拿到密钥也没有意义。
客户端产生递增序列号为密钥身份标识ID,密钥ID长度固定为8位。
客户端将随机数R和密钥ID进行按位或形成第一哈希密文EncHash,可表示为如下公式:
EncHash=HASH(R|ID)…………………………(1)
将密钥ID、会话密钥密文、认证密文、第一哈希密文再次进行按位或计算,得到会话密文,可表示为如下公式:
ID|EncSessionkey|EncR|EncHash……………………(2)
图3为会话密文的结构示意图,由图3可知,会话密文300包括第一密文310、哈希密文340,其中,第一密文310包括密钥ID310、会话密钥密文320、认证密文330,会话密钥密文320包括会话密钥321,当对会话密文进行加密时,哈希密文340为第一哈希密文,当对会话密文进行解密时,哈希密文340为第二哈希密文。
客户端使用CA颁发的服务端的事件证书公钥对会话密文进行加密,得到会话公钥密文,发送给服务端。其中,会话公钥密文可表示为如下公式:
(ID|EncSessionkey|EncR|EncHash)PubK…………………(3)
服务端接收客户端发送的密钥验证请求,该密钥验证请求包括会话公钥密文,用于进行密钥验证。
S220、获取证书颁发机构颁发的服务端的事件证书私钥。
服务端获取CA颁发的服务端的事件证书私钥,用于解密会话公钥密文。
S230、根据事件证书私钥解密会话公钥密文,得到第二哈希密文。
具体地,根据事件证书私钥解密会话公钥密文,得到第一密文;其中,如图3所示,第一密文包括密钥身份标识ID310、会话密钥密文320,将密钥ID310保存至服务端。
当密钥ID的序列号长度为预设长度时,调用加密机主密钥解密会话密钥密文,得到第二哈希密文。
由于客户端产生长度固定为8位的递增序列号为密钥ID,所以预设长度设置为8位。当解密后第一密文中的密钥ID的序列号长度为8位时,说明密钥ID合法,服务端调用加密机的主密钥解密会话密钥密文,得到第二哈希密文。
具体地,当密钥ID的序列号长度为预设长度时,调用加密机的主密钥解密会话密钥密文,得到第二哈希密文,包括:
调用加密机的主密钥解密会话密钥密文EncSessionkey,得到会话密钥Sessionkey;
使用会话密钥Sessionkey解密认证密文EncR,得到客户端产生的随机数;
将随机数和密钥ID进行按位或计算,得到第二哈希密文EncHash′,可表示为以下公式:
EncHash`=HASH(R|ID)……………………(4)
S240、当第一哈希密文与第二哈希密文一致时,向客户端发送会话密钥验证成功的响应消息。
将客户端发送的第一哈希密文EncHash与服务端解密得到的第二哈希密文EncHash′进行比较,当第一哈希密文与第二哈希密文一致时,即验证了共享秘密的完整性和可靠性,向客户端发送会话密钥验证的相应消息,会话密钥协商过程完毕。
在一个实施例中,当下一次密钥验证请求中的序列号小于或等于密钥ID的序列号时,中断会话密钥验证。
当接收到下次密钥验证请求时,服务侧把请求中的序列号与本地保存的密钥ID进行比较,若请求中的序列号小于或等于密钥ID的序列号时,为重放攻击,中断会话密钥验证,若大于则为正常请求,避免了重放攻击的问题。
在一个实施例中,在会话密钥验证成功时,会话密钥失效。
会话密钥使用完毕后立即失效,同时事件证书因为其一次一密的瞬时性也在短时间内进行了销毁,有效减小了被冒用的风险,提高了密钥传输的安全性。
在本申请实施例中,通过接收客户端发送的密钥验证请求,密钥验证请求包括会话公钥密文,其中,会话公钥密文为客户端使用服务端的事件证书公钥对会话密文进行加密得到的,会话密文包括第一哈希密文,获取证书颁发机构颁发的服务端的事件证书私钥,根据事件证书私钥解密会话公钥密文,得到第二哈希密文,当第一哈希密文与第二哈希密文一致时,向客户端发送会话密钥验证成功的响应消息,由于事件证书具有瞬时性,密钥有效期短,且完成验证后立即失效,减小了被冒用的风险,提高了密钥传输的安全性。
图4是本申请实施例提供的一种会话密钥验证装置结构示意图。如图4所示,该会话密钥验证装置400可以包括接收模块410、获取模块420、解密模块430和发送模块440。
接收模块410,用于接收客户端发送的密钥验证请求,密钥验证请求包括会话公钥密文,其中,会话公钥密文为客户端使用服务端的事件证书公钥对会话密文进行加密得到的,会话密文包括第一哈希密文;
获取模块420,用于获取证书颁发机构颁发的服务端的事件证书私钥;
解密模块430,用于根据事件证书私钥解密会话公钥密文,得到第二哈希密文;
发送模块440,用于当第一哈希密文与第二哈希密文一致时,向客户端发送会话密钥验证成功的响应消息。
在一个实施例中,会话密文包括第一密文;装置包括:第一解密模块,用于根据事件证书私钥解密会话公钥密文,得到第一密文;其中,第一密文包括密钥身份标识号ID、会话密钥密文;
第二解密模块,用于当密钥ID的序列号长度为预设长度时,调用加密机主密钥解密会话密钥密文,得到第二哈希密文。
在一个实施例中,第一密文还包括认证密文,会话密钥秘文包括会话密钥;第二解密模块,具体用于调用加密机主密钥解密会话密钥密文,得到会话密钥;
使用会话密钥解密认证密文,得到客户端产生的随机数;
将随机数和密钥ID进行按位或计算,得到第二哈希密文。
在一个实施例中,该装置还包括:中断模块,用于当下一次密钥验证请求中的序列号小于或等于密钥ID的序列号时,中断会话密钥验证。
在一个实施例中,在会话密钥验证成功时,会话密钥失效。
图4所示装置中的各个模块具有实现图2中会话密钥验证设备所执行的各个步骤的功能,并能达到其相应的技术效果,为简洁描述,在此不再赘述。
图5示出了本申请实施例提供的会话密钥验证设备的硬件结构示意图。
在会话密钥验证设备可以包括处理器501以及存储有计算机程序指令的存储器502。
具体地,上述处理器501可以包括中央处理器(Central Processing Unit,CPU),或者特定集成电路(Application Specific Integrated Circuit,ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
存储器502可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器502可包括硬盘驱动器(Hard Disk Drive,HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(Universal Serial Bus,USB)驱动器或者两个或更多个以上这些的组合。在一个实例中,存储器502可以包括可移除或不可移除(或固定)的介质,或者存储器502是非易失性固态存储器。存储器502可在综合网关容灾设备的内部或外部。
在一个实例中,存储器502可包括只读存储器(ROM),随机存取存储器(RAM),磁盘存储介质设备,光存储介质设备,闪存设备,电气、光学或其他物理/有形的存储器存储设备。因此,通常,存储器502包括一个或多个编码有包括计算机可执行指令的软件的有形(非暂态)计算机可读存储介质(例如,存储器设备),并且当该软件被执行(例如,由一个或多个处理器)时,其可操作来执行参考根据本申请的一方面的方法所描述的操作。
处理器501通过读取并执行存储器502中存储的计算机程序指令,以实现图2所示实施例中的步骤S210至S240,并达到图2所示实例执行其方法/步骤达到的相应技术效果,为简洁描述在此不再赘述。
在一个示例中,会话密钥验证设备还可包括通信接口503和总线510。其中,如图5所示,处理器501、存储器502、通信接口503通过总线510连接并完成相互间的通信。
通信接口503,主要用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。
总线510包括硬件、软件或两者,将会话密钥验证设备的部件彼此耦接在一起。举例来说而非限制,总线可包括加速图形端口(Accelerated Graphics Port,AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture,EISA)总线、前端总线(Front Side Bus,FSB)、超传输(Hyper Transport,HT)互连、工业标准架构(Industry Standard Architecture,ISA)总线、无限带宽互连、低引脚数(LPC)总线、存储器总线、微信道架构(MCA)总线、外围组件互连(PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SATA)总线、视频电子标准协会局部(VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线510可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请考虑任何合适的总线或互连。
该会话密钥验证设备可以基于会话密钥密文及事件证书执行本申请实施例中的会话密钥验证方法,从而实现结合图2描述的会话密钥验证的方法。
另外,结合上述实施例中的会话密钥验证的方法,本申请实施例可提供一种计算机存储介质来实现。该计算机存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种会话密钥验证的方法。
需要明确的是,本申请并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见,这里省略了对已知方法的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本申请的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本申请的精神后,作出各种改变、修改和添加,或者改变步骤之间的顺序。
以上所述的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(Application SpecificIntegrated Circuit,ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本申请的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RadioFrequency,RF)链路,等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
还需要说明的是,本申请中提及的示例性实施例,基于一系列的步骤或者装置描述一些方法或系统。但是,本申请不局限于上述步骤的顺序,也就是说,可以按照实施例中提及的顺序执行步骤,也可以不同于实施例中的顺序,或者若干步骤同时执行。
上面参考根据本申请的实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本申请的各方面。应当理解,流程图和/或框图中的每个方框以及流程图和/或框图中各方框的组合可以由计算机程序指令实现。这些计算机程序指令可被提供给通用计算机、专用计算机、或其它可编程数据处理装置的处理器,以产生一种机器,使得经由计算机或其它可编程数据处理装置的处理器执行的这些指令使能对流程图和/或框图的一个或多个方框中指定的功能/动作的实现。这种处理器可以是但不限于是通用处理器、专用处理器、特殊应用处理器或者现场可编程逻辑电路。还可理解,框图和/或流程图中的每个方框以及框图和/或流程图中的方框的组合,也可以由执行指定的功能或动作的专用硬件来实现,或可由专用硬件和计算机指令的组合来实现。
以上所述,仅为本申请的具体实施方式,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。应理解,本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本申请的保护范围之内。

Claims (8)

1.一种会话密钥验证的方法,应用于服务端,其特征在于,包括:
接收客户端发送的密钥验证请求,所述密钥验证请求包括会话公钥密文,其中,所述会话公钥密文为所述客户端使用所述服务端的事件证书公钥对会话密文进行加密得到的,所述会话密文包括第一哈希密文;
获取证书颁发机构颁发的所述服务端的事件证书私钥;
根据所述事件证书私钥解密所述会话公钥密文,得到第二哈希密文;
当所述第一哈希密文与所述第二哈希密文一致时,向所述客户端发送会话密钥验证成功的响应消息;
所述会话密文包括第一密文;所述根据所述事件证书私钥解密所述会话公钥密文,得到第二哈希密文,包括:
根据所述事件证书私钥解密所述会话公钥密文,得到所述第一密文;其中,所述第一密文包括密钥ID、会话密钥密文;
当所述密钥ID的序列号长度为预设长度时,调用加密机主密钥解密所述会话密钥密文,得到所述第二哈希密文。
2.根据权利要求1所述的方法,其特征在于,所述第一密文还包括认证密文,所述会话密钥秘文包括会话密钥;所述当所述密钥ID的序列号长度为预设长度时,调用加密机主密钥解密所述会话密钥密文,得到所述第二哈希密文,包括:
调用所述加密机主密钥解密所述会话密钥密文,得到会话密钥;
使用所述会话密钥解密所述认证密文,得到所述客户端产生的随机数;
将所述随机数和所述密钥ID进行按位或计算,得到所述第二哈希密文。
3.根据权利要求1所述的方法,其特征在于,当下一次密钥验证请求中的序列号小于或等于所述密钥ID的序列号时,中断所述会话密钥验证。
4.在根据权利要求1所述的方法,其特征在于,在会话密钥验证成功时,所述会话密钥失效。
5.一种会话密钥验证的装置,其特征在于,所述装置包括:
接收模块,用于接收客户端发送的密钥验证请求,所述密钥验证请求包括会话公钥密文,其中,所述会话公钥密文为所述客户端使用服务端的事件证书公钥对会话密文进行加密得到的,所述会话密文包括第一哈希密文;
获取模块,用于获取证书颁发机构颁发的所述服务端的事件证书私钥;
解密模块,用于根据所述事件证书私钥解密所述会话公钥密文,得到第二哈希密文;
发送模块,用于当所述第一哈希密文与所述第二哈希密文一致时,向所述客户端发送会话密钥验证成功的响应消息;
所述会话密文包括第一密文;所述装置包括:
第一解密模块,用于根据所述事件证书私钥解密所述会话公钥密文,得到所述第一密文;其中,所述第一密文包括密钥ID、会话密钥密文;
第二解密模块,用于当所述密钥ID的序列号长度为预设长度时,调用加密机主密钥解密所述会话密钥密文,得到所述第二哈希密文。
6.根据权利要求5所述的装置,其特征在于,所述第一密文还包括认证密文,所述会话密钥秘文包括会话密钥;所述第二解密模块,具体用于调用所述加密机主密钥解密所述会话密钥密文,得到会话密钥;
使用所述会话密钥解密所述认证密文,得到所述客户端产生的随机数;
将所述随机数和所述密钥ID进行按位或计算,得到所述第二哈希密文。
7.一种会话密钥验证设备,其特征在于,所述会话密钥验证设备包括:处理器,以及存储有计算机程序指令的存储器;所述处理器读取并执行所述计算机程序指令,以实现如权利要求1-4任意一项所述的会话密钥验证的方法。
8.一种计算机存储介质,其特征在于,所述计算机存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现如权利要求1-4任意一项所述的会话密钥验证的方法。
CN202011109753.8A 2020-10-16 2020-10-16 会话密钥验证的方法、装置、设备及计算机存储介质 Active CN114389793B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011109753.8A CN114389793B (zh) 2020-10-16 2020-10-16 会话密钥验证的方法、装置、设备及计算机存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011109753.8A CN114389793B (zh) 2020-10-16 2020-10-16 会话密钥验证的方法、装置、设备及计算机存储介质

Publications (2)

Publication Number Publication Date
CN114389793A CN114389793A (zh) 2022-04-22
CN114389793B true CN114389793B (zh) 2024-03-08

Family

ID=81193072

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011109753.8A Active CN114389793B (zh) 2020-10-16 2020-10-16 会话密钥验证的方法、装置、设备及计算机存储介质

Country Status (1)

Country Link
CN (1) CN114389793B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115913672B (zh) * 2022-11-02 2023-09-01 广州市南方人力资源评价中心有限公司 电子档案加密传输方法、系统、终端设备及计算机介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105915342A (zh) * 2016-07-01 2016-08-31 广州爱九游信息技术有限公司 一种应用程序通信处理系统、设备、装置及方法
CN106063219A (zh) * 2013-12-31 2016-10-26 奥约斯实验室Ip有限公司 用于生物识别协议标准的系统和方法
CN111628873A (zh) * 2020-07-28 2020-09-04 四川省数字证书认证管理中心有限公司 一种使用数字证书固化数据电文的存证方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE495602T1 (de) * 2005-11-09 2011-01-15 Xyzmo Software Gmbh Verfahren zur erzeugung einer fortgeschrittenen elektronischen signatur eines elektronischen dokuments
CN107113171B (zh) * 2015-12-10 2019-03-29 深圳市大疆创新科技有限公司 安全通信系统、方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106063219A (zh) * 2013-12-31 2016-10-26 奥约斯实验室Ip有限公司 用于生物识别协议标准的系统和方法
CN105915342A (zh) * 2016-07-01 2016-08-31 广州爱九游信息技术有限公司 一种应用程序通信处理系统、设备、装置及方法
CN111628873A (zh) * 2020-07-28 2020-09-04 四川省数字证书认证管理中心有限公司 一种使用数字证书固化数据电文的存证方法

Also Published As

Publication number Publication date
CN114389793A (zh) 2022-04-22

Similar Documents

Publication Publication Date Title
AU2021203815B2 (en) Methods for secure cryptogram generation
CN110535868A (zh) 基于混合加密算法的数据传输方法及系统
CN111740844A (zh) 基于硬件的国密算法的ssl通信方法及装置
CN106452764B (zh) 一种标识私钥自动更新的方法及密码系统
WO2016058404A1 (zh) 基于预共享密钥的实体鉴别方法及装置
CN113806772A (zh) 基于区块链的信息加密传输方法及装置
CN114244522B (zh) 信息保护方法、装置、电子设备及计算机可读存储介质
CN111526007B (zh) 一种随机数生成方法及系统
CN110855597B (zh) 消息传输方法、服务器及客户端
CN114499837B (zh) 一种报文防泄露方法、装置、系统和设备
CN113612852A (zh) 一种基于车载终端的通信方法、装置、设备及存储介质
WO2017040124A1 (en) System and method for detection of cloned devices
CN115314313A (zh) 信息加密方法、装置、存储介质及计算机设备
CN114389793B (zh) 会话密钥验证的方法、装置、设备及计算机存储介质
CN110611679A (zh) 一种数据传输方法、装置、设备及系统
CN105873043B (zh) 一种用于移动终端的网络私匙的生成及应用方法及其系统
CN112769789A (zh) 一种加密通信方法及系统
CN110968878A (zh) 信息传输方法、系统、电子设备及可读介质
CN116073989A (zh) 一种认证数据处理方法、装置、系统、设备及介质
CN114386075A (zh) 数据传输通道建立、数据传输方法、装置、设备及介质
CN109784032B (zh) 测试设备验证方法、测试设备、验证设备和存储装置
EP3035589A1 (en) Security management system for authenticating a token by a service provider server
CN112822015A (zh) 信息传输方法及相关装置
EP3361670B1 (en) Multi-ttp-based method and device for verifying validity of identity of entity
CN118199888A (zh) 安全认证的方法、装置、电子设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant