CN114567439B - 一种身份认证方法及装置 - Google Patents

一种身份认证方法及装置 Download PDF

Info

Publication number
CN114567439B
CN114567439B CN202210022826.2A CN202210022826A CN114567439B CN 114567439 B CN114567439 B CN 114567439B CN 202210022826 A CN202210022826 A CN 202210022826A CN 114567439 B CN114567439 B CN 114567439B
Authority
CN
China
Prior art keywords
request
response
session
data packet
check value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210022826.2A
Other languages
English (en)
Other versions
CN114567439A (zh
Inventor
姜林剑
孙悦
孙马秋
武长龙
宋咏超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Password Cloud Core Technology Co ltd
Original Assignee
Beijing Password Cloud Core Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Password Cloud Core Technology Co ltd filed Critical Beijing Password Cloud Core Technology Co ltd
Priority to CN202210022826.2A priority Critical patent/CN114567439B/zh
Publication of CN114567439A publication Critical patent/CN114567439A/zh
Application granted granted Critical
Publication of CN114567439B publication Critical patent/CN114567439B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开提供了一种身份认证方法及装置,涉及信息安全技术领域,包括:向响应端发送会话创建请求,与所述响应端建立会话;其中,所述会话创建请求包括:第一请求数据包;调用所述会话,重新生成第二请求数据包,并根据所述第二请求数据包,对交互数据进行完整性验证;向响应端发送结束会话请求,释放所述会话资源。本公开提供的一种身份认证方法,在建立连接时进行身份验证,防止有不合法的攻击者假冒合法用户,另一方面也可以对通信过程(命令执行)中传输的信息完整性进行验证,避免了恶意的攻击者对传输的信息进行伪造或者修改;同时在通讯双方都加入了随机数,每次通讯更新随机数,防止重放攻击。

Description

一种身份认证方法及装置
技术领域
本公开涉及信息安全技术领域,尤其涉及一种身份认证方法及装置。
背景技术
随着信息技术的迅速发展,信息安全问题已日益成为计算机和网络技术发展的焦点问题。如何在不可信的网络中完成可信的信息交换是我们最关心的问题之一,而身份认证技术是解决这一问题的关键。
传统的双向身份认证协议在连接建立时进行身份认证,认证通过后,开放相应的权限或可执行某些指令或命令等。这就导致无法抵抗伪装攻击和窃取凭证攻击。如果不加入随机数,还可能导致重复攻击的风险。
发明内容
本公开的目的在于提出一种身份认证方法、装置、电子设备及存储介质,以解决上述技术问题之一。
为实现上述目的,本公开第一方面提供了一种身份认证方法,用于请求端,包括:
向响应端发送会话创建请求,与所述响应端建立会话;其中,所述会话创建请求包括:第一请求数据包;
调用所述会话,重新生成第二请求数据包,并根据所述第二请求数据包,对交互数据进行完整性验证;
向响应端发送结束会话请求,释放所述会话资源。
为实现上述目的,本公开第二方面提供了一种身份认证装置,用于请求端,包括:
获取模块,向响应端发送会话创建请求,与所述响应端建立会话;其中,所述会话创建请求包括:第一请求数据包;
验证模块,调用所述会话,重新生成第二请求数据包,并根据所述第二请求数据包,对交互数据进行完整性验证;
结束模块,向响应端发送结束会话请求,释放所述会话资源。
为实现上述目的,本公开第三方面提供了一种身份认证方法,用于请求端,包括:
接收所述请求端的会话创建请求,根据所述请求端的会话创建请求向所述请求端发送应答请求;所述请求端的会话创建请求包括:第一请求数据包;
调用所述会话,接收第二请求数据包,并根据所述第二请求数据包,对交互数据进行完整性验证;
接收所述请求端的发送的结束会话请求,释放所述会话资源。
为实现上述目的,本公开第四方面提供了一种身份认证装置,用于响应端,包括:
获取模块,接收所述请求端的会话创建请求,根据所述请求端的会话创建请求向所述请求端发送应答请求;所述请求端的会话创建请求包括:第一请求数据包;
验证模块,调用所述会话,接收第二请求数据包,并根据所述第二请求数据包,对交互数据进行完整性验证;
结束模块,接收所述请求端的发送的结束会话请求,释放所述会话资源。
由上可见,本公开提供的一种身份认证方法,在建立连接时进行身份验证,防止有不合法的攻击者假冒合法用户,另一方面也可以对通信过程(命令执行)中传输的信息完整性进行验证,避免了恶意的攻击者对传输的信息进行伪造或者修改;同时在通讯双方都加入了随机数,每次通讯更新随机数,防止重放攻击。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例中的身份认证方法流程图;
图2为本公开实施例中的身份认证方法另一流程图;
图3为本公开实施例中的身份认证方法另一流程图;
图4为本公开实施例中的身份认证方法另一流程图;
图5为本公开实施例中的身份认证方法流程图;
图6为本公开实施例中的身份认证方法另一流程图;
图7为本公开实施例中的身份认证方法另一流程图;
图8为本公开实施例中的身份认证方法另一流程图;
图9为本公开实施例中的身份认证方法另一流程图;
图10为本公开实施例中的身份认证装置结构示意图;
图11为本公开实施例中的身份认证装置结构示意图。
具体实施方式
下面结合附图和实施例对本公开作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本公开,而非对本公开的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本公开相关的部分而非全部结构。
图1为本公开实施例中的身份认证方法流程图,如图1所示,包括:
S101、向响应端发送会话创建请求,与所述响应端建立会话;其中,所述会话创建请求包括:第一请求数据包;
S102、调用所述会话,重新生成第二请求数据包,并根据所述第二请求数据包,对交互数据进行完整性验证;
S103、向响应端发送结束会话请求,释放所述会话资源。
本公开提供的一种身份认证方法,在建立连接时进行身份验证,防止有不合法的攻击者假冒合法用户,另一方面也可以对通信过程(命令执行)中传输的信息完整性进行验证,避免了恶意的攻击者对传输的信息进行伪造或者修改;同时在通讯双方都加入了随机数,每次通讯更新随机数,防止重放攻击。
所述第一请求数据包包括:第一请求随机数RDM_A1;
如图2所示,向响应端发送会话创建请求,与所述响应端建立会话包括:
S201、通过请求端将所述第一请求数据包发送至响应端;
具体地,外部调用者(请求端),创建session结构,生成随机数RDM_A1并保存,把用于标识密钥对的keyhandle(密码卡使用)的口令作为对称密钥key(对称密钥key可以是外部输入的,也可以是密码卡内部生成的,然后密码卡输出一个用于标识密钥对的keyhandle,给外部使用,对称密钥key和用于标识密钥对的keyhandle是绑定的关系),保存key到session,进行校验值HMAC计算,校验值inMac=HMAC(key,keyhandle||RDM_A1),||仅仅表达一种运算。将命令AP_CREATE、协议类型protocolType(有绑定)、keyhandle、随机数RDM_A1、校验值inMac,组包后发送给密码模块(响应端),HMAC是密钥相关的哈希运算消息认证码(Hash-based Message Authentication Code)的缩写。HMAC运算利用hash算法,以一个消息M和一个密钥K作为输入,生成一个定长的消息摘要作为输出。
S202、通过请求端接收第一应答数据包,根据所述应答数据包重新计算第一应答校验值,并验证收到的第一应答校验值数据对比一致;
外部调用者在收到数据包后,保存sessionhandle、随机数RDM_B1到session结构里。使用对称密钥key计算校验值outMac=HMAC(key,RDM_A1||RDM_B1),与收到的数据包里的校验值outMac对比一致,继续。
S203、若判断收到的第一应答校验值数据对比一致,则执行所述调用所述会话,重新生成第二请求数据包,并根据所述第二请求数据包,对交互数据进行完整性验证的步骤。
所述向响应端发送会话创建请求,与所述响应端建立会话包括:通过请求端将所述第一请求数据包发送至响应端。
本公开实施例中在请求端和响应端进行校验值数据inMac计算,并在收到数据包,进行校验值inMac数据校验,保证了传输的信息完整性,避免了恶意的攻击者对传输的信息进行伪造或者修改一样。同时也是进行身份验证,防止有不合法的攻击者假冒合法用户。重新生成并更新随机数,可以防止重放攻击。
如图3所示,第二请求数据包包括第二请求随机数RDM_A2;所述调用所述会话,重新生成第二请求数据包,并根据所述第二请求数据包,对交互数据进行完整性验证包括:
S301、根据所述第二请求随机数RDM_A2和第一应答随机数RDM_B1计算第二请求校验值inMac;
具体地,生成随机数RDM_A2,替换随机数RDM_A1,使用key做HMAC计算HMAC(key,RDM_A2||RDM_B1)。
S302、通过请求端接收第二应答数据包,根据所述第二应答数据包包重新计算第二应答校验值,并验证收到的第二应答校验值数据对比一致;
随机数RDM_B2替换随机数RDM_B1,使用对称密钥key进行HMAC计算,更新sessionkey=HMAC(key,RDM_A2||RDM_B2)。使用sessionkey计算HMAC(sessionkey,CMD_DATA||RDM_A2||RDM_B2),计算校验值outMac。
S303、若判断收到的第二应答校验值数据对比一致,则执行向响应端发送结束会话请求,释放所述会话资源的步骤。
如图4所示,所述调用所述会话,重新生成第二请求数据包,并根据所述第二请求数据包,对交互数据进行完整性验证包括:
S401、通过所述请求端根据所述第二请求随机数RDM_A2和第一应答随机数RDM_B1计算第一会话密钥sessionKey;
生成随机数RDM_A2,替随机数换RDM_A1,使用对称密钥key做HMAC计算HMAC(key,RDM_A2||RDM_B1)作为会话密钥sessionkey。
S402、通过所述请求端使用所述第一会话密钥sessionKey对所述第二请求数据包加密;
S403、通过所述请求端根据所述第二请求随机数RDM_A2和第二应答随机数RDM_B2计算第二会话密钥sessionKey;
生成随机数RDM_B2替换随机数RDM_B1,使用对称密钥key进行HMAC计算,更新会话密钥sessionkey=HMAC(key,RDM_A2||RDM_B2)
S404、通过所述请求端使用所述第二会话密钥sessionKey对所述第二应答数据包解密。
所述第二应答数据包包括:第二请求随机数RDM_A2和第二应答随机数RDM_B2;向响应端发送结束会话请求,释放所述会话资源具体包括:
通过请求端根据第二请求随机数RDM_A2和第二应答随机数RDM_B2计算得到第二请求校验值inMac数据,并向响应端发送第三请求数据包。使用sessionkey计算inMac=HMAC(sessionkey,RDM_A2||RDM_B2)。
本公开实施例中在请求端和响应端通过在会话创建的时候也进行了安全校验,由于每次执行指令都更新随机数,所以每次指令的会话密钥都会进行更新。
本公开实施例中在请求端和响应端通过使用会话密钥sessionkey对命令参数进行XOR加密解密,保证了关键数据的安全,防范窃取凭证攻击。
如图10所示,本公开实施例提供一种身份认证装置,用于请求端,包括:
获取模块1001,向响应端发送会话创建请求,与所述响应端建立会话;其中,所述会话创建请求包括:第一请求数据包;
验证模块1002,调用所述会话,重新生成第二请求数据包,并根据所述第二请求数据包,对交互数据进行完整性验证;
结束模块1003,向响应端发送结束会话请求,释放所述会话资源。
本公开实施例所提供的身份认证装置可执行本发明任意实施例所提供的身份认证方法,具备执行方法相应的功能模块和有益效果。
如图5所示,本公开提供一种身份认证方法,用于响应端,包括:
S501、接收所述请求端的会话创建请求,根据所述请求端的会话创建请求向所述请求端发送应答请求;所述请求端的会话创建请求包括:第一请求数据包;
S502、调用所述会话,接收第二请求数据包,并根据所述第二请求数据包,对交互数据进行完整性验证;
S503、接收所述请求端的发送的结束会话请求,释放所述会话资源。
如图6所示,所述接收所述请求端的会话创建请求,根据所述请求端的会话创建请求向所述请求端发送应答请求包括:
S601、通过响应端根据所述第一请求数据包计算重新计算第一请求校验值,并验证与收到的第一请求校验值inMac对比一致;
分配session结构,保存随机数RDM_A1,使用对称密钥key计算校验值inMac=HMAC(key,keyhandle||RDM_A1),保存对称密钥key到session,生成session handle和随机数RDM_B1。
S602、若判断收到的第一请求校验值inMac数据对比一致,则根据所述请求数据包计算第一应答校验值outMac,返回第一应答数据包至请求端;所述第一应答数据包包括:第一应答随机数RDM_B1。
S603、所述接收所述请求端的会话创建请求,根据所述请求端的会话创建请求向所述请求端发送应答请求;
S604、通过响应端根据所述第一请求数据包返回第一应答数据包至请求端;所述第一应答数据包包括:第一应答随机数RDM_B1。
使用对称密钥key计算校验值outMac=HMAC(key,RDM_A1||RDM_B1)。
如图7所示,所述调用所述会话,接收第二请求数据包,并根据所述第二请求数据包,对交互数据进行完整性验证具体包括:
S701、通过响应端根据所述第二请求数据包计算重新计算第二请求校验值,并验证与收到的第二请求校验值inMac对比一致;
随机数RDM_A2替换保存的随机数RDM_A1,解密加密的口令等参数,使用对称密钥key做HMAC计算HMAC(key,RDM_A2||RDM_B1)作为sessionkey,使用sessionkey计算HMAC(sessionkey,XOR(CMD参数)||RDM_A2||RDM_B1);计算校验值inMac,执行CMD_Example相关操作,生成命令输出数据CMD_DATA。
S702、若判断收到的第二请求校验值inMac数据对比一致,则根据所述第二请求数据包计算第二应答校验值outMac,返回第二应答数据包至请求端;所述第二应答数据包包括:第二应答随机数RDM_B2。
如图8所示,所述调用所述会话,接收第二请求数据包,并根据所述第二请求数据包,对交互数据进行完整性验证具体包括:
S801、通过所述响应端根据所述第二请求随机数RDM_A2和第一应答随机数RDM_B1计算第一会话密钥sessionKey;
HMAC(key,RDM_A2||RDM_B1)作为会话密钥sessionkey。
S802、通过响应端使用所述第一会话密钥sessionKey对所述第二请求数据包解密;
S803、通过所述响应端根据所述第二请求随机数RDM_A2和第二应答随机数RDM_B2计算第二会话密钥sessionKey;
生成随机数RDM_B2替换随机数RDM_B1,使用对称密钥key进行HMAC计算,更新会话密钥sessionkey=HMAC(key,RDM_A2||RDM_B2)。
S804、通过所述响应端使用所述第二会话密钥sessionKey对所述第二请求数据包加密。
如图9所示,接收所述请求端的发送的结束会话请求,释放所述会话资源包括:
S901、通过响应端根据所述第三请求数据包计算重新计算第三请求校验值,并验证与收到的第三请求校验值inMac对比一致;
使用会话密钥sessionkey计算HMAC(sessionkey,RDM_A2||RDM_B2)。
S901、若判断收到的第三应答校验值数据对比一致,则执行结束会话。
如图11所示,本公开实施例提供一种身份认证装置,用于响应端,包括:
获取模块1101,接收所述请求端的会话创建请求,根据所述请求端的会话创建请求向所述请求端发送应答请求;所述请求端的会话创建请求包括:第一请求数据包;
验证模块1102,调用所述会话,接收第二请求数据包,并根据所述第二请求数据包,对交互数据进行完整性验证;
结束模块1103,接收所述请求端的发送的结束会话请求,释放所述会话资源。
本公开实施例所提供的身份认证装置可执行本发明任意实施例所提供的身份认证方法,具备执行方法相应的功能模块和有益效果。
以上实施例仅用以说明本公开的技术方案,而非对其限制;尽管参照前述实施例对本公开进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本公开各实施例技术方案的精神和范围,均应包含在本公开的保护范围之内。

Claims (8)

1.一种身份认证方法,用于请求端,其特征在于,包括:
向响应端发送会话创建请求,与所述响应端建立会话;其中,所述会话创建请求包括:第一请求数据包;所述第一请求数据包包括:第一请求随机数RDM_A1;
调用所述会话,重新生成第二请求数据包,并根据所述第二请求数据包,对交互数据进行完整性验证;第二请求数据包包括第二请求随机数RDM_A2;
向响应端发送结束会话请求,释放所述会话资源;
向响应端发送会话创建请求,与所述响应端建立会话包括:
通过请求端将所述第一请求数据包发送至响应端;
通过请求端接收第一应答数据包,根据所述应答数据包重新计算第一应答校验值,并验证收到的第一应答校验值数据对比一致;
若判断收到的第一应答校验值数据对比一致,则执行所述调用所述会话,重新生成第二请求数据包,并根据所述第二请求数据包,对交互数据进行完整性验证的步骤;
所述调用所述会话,重新生成第二请求数据包,并根据所述第二请求数据包,对交互数据进行完整性验证包括:
根据所述第二请求随机数RDM_A2和第一应答随机数RDM_B1计算第二请求校验值inMac;
通过请求端接收第二应答数据包,根据所述第二应答数据包包重新计算第二应答校验值,并验证收到的第二应答校验值数据对比一致;
若判断收到的第二应答校验值数据对比一致,则执行向响应端发送结束会话请求,释放所述会话资源的步骤。
2.根据权利要求1所述的方法,其特征在于,所述调用所述会话,重新生成第二请求数据包,并根据所述第二请求数据包,对交互数据进行完整性验证包括:
通过所述请求端根据所述第二请求随机数RDM_A2和第一应答随机数RDM_B1计算第一会话密钥sessionKey;
通过所述请求端使用所述第一会话密钥sessionKey对所述第二请求数据包加密;
通过所述请求端根据所述第二请求随机数RDM_A2和第二应答随机数RDM_B2计算第二会话密钥sessionKey;
通过所述请求端使用所述第二会话密钥sessionKey对所述第二应答数据包解密。
3.根据权利要求1所述的方法,其特征在于,所述第二应答数据包包括:第二请求随机数RDM_A2和第二应答随机数RDM_B2;向响应端发送结束会话请求,释放所述会话资源具体包括:
通过请求端根据第二请求随机数RDM_A2和第二应答随机数RDM_B2计算得到第三请求校验值inMac数据,并向响应端发送第三请求数据包。
4.一种身份认证方法,用于响应端,其特征在于,包括:
接收所述请求端的会话创建请求,根据所述请求端的会话创建请求向所述请求端发送应答请求;所述请求端的会话创建请求包括:第一请求数据包;
调用所述会话,接收第二请求数据包,并根据所述第二请求数据包,对交互数据进行完整性验证;
接收所述请求端的发送的结束会话请求,释放所述会话资源;
所述接收所述请求端的会话创建请求,根据所述请求端的会话创建请求向所述请求端发送应答请求包括:
通过响应端根据所述第一请求数据包计算重新计算第一请求校验值,并验证与收到的第一请求校验值inMac对比一致;
若判断收到的第一请求校验值inMac数据对比一致,则根据所述请求数据包计算第一应答校验值outMac,返回第一应答数据包至请求端;所述第一应答数据包包括:第一应答随机数RDM_B1;
所述调用所述会话,接收第二请求数据包,并根据所述第二请求数据包,对交互数据进行完整性验证具体包括:
通过响应端根据所述第二请求数据包计算重新计算第二请求校验值,并验证与收到的第二请求校验值inMac对比一致;
若判断收到的第二请求校验值inMac数据对比一致,则根据所述第二请求数据包计算第二应答校验值outMac,返回第二应答数据包至请求端;所述第二应答数据包包括:第二应答随机数RDM_B2。
5.根据权利要求4所述的方法,其特征在于,所述调用所述会话,接收第二请求数据包,并根据所述第二请求数据包,对交互数据进行完整性验证具体包括:
通过所述响应端根据所述第二请求随机数RDM_A2和第一应答随机数RDM_B1计算第一会话密钥sessionKey;
通过响应端使用所述第一会话密钥sessionKey对所述第二请求数据包解密;
通过所述响应端根据所述第二请求随机数RDM_A2和第二应答随机数RDM_B2计算第二会话密钥sessionKey;
通过所述响应端使用所述第二会话密钥sessionKey对所述第二请求数据包加密。
6.根据权利要求4所述的方法,其特征在于,接收所述请求端的发送的结束会话请求,释放所述会话资源包括:
通过响应端根据所述第三请求数据包计算重新计算第三请求校验值,并验证与收到的第三请求校验值inMac对比一致;
若判断收到的第三应答校验值数据对比一致,则执行结束会话。
7.一种身份认证装置,用于请求端,其特征在于,包括:
第一获取模块,向响应端发送会话创建请求,与所述响应端建立会话;其中,所述会话创建请求包括:第一请求数据包;所述第一请求数据包包括:第一请求随机数RDM_A1;
第一验证模块,调用所述会话,重新生成第二请求数据包,并根据所述第二请求数据包,对交互数据进行完整性验证;第二请求数据包包括第二请求随机数RDM_A2;
第一结束模块,向响应端发送结束会话请求,释放所述会话资源;
所述第一获取模块包括:
第一获取子模块,用于通过请求端将所述第一请求数据包发送至响应端;
第二获取子模块,用于通过请求端接收第一应答数据包,根据所述应答数据包重新计算第一应答校验值,并验证收到的第一应答校验值数据对比一致;
第三获取子模块,用于若判断收到的第一应答校验值数据对比一致,则执行所述调用所述会话,重新生成第二请求数据包,并根据所述第二请求数据包,对交互数据进行完整性验证的步骤;
所述第一验证模块包括:
第一验证子模块,用于根据所述第二请求随机数RDM_A2和第一应答随机数RDM_B1计算第二请求校验值inMac;
第二验证子模块,用于通过请求端接收第二应答数据包,根据所述第二应答数据包包重新计算第二应答校验值,并验证收到的第二应答校验值数据对比一致;
第三验证子模块,用于若判断收到的第二应答校验值数据对比一致,则执行向响应端发送结束会话请求,释放所述会话资源的步骤。
8.一种身份认证装置,用于响应端,其特征在于,包括:
第二获取模块,接收所述请求端的会话创建请求,根据所述请求端的会话创建请求向所述请求端发送应答请求;所述请求端的会话创建请求包括:第一请求数据包;
第二验证模块,调用所述会话,接收第二请求数据包,并根据所述第二请求数据包,对交互数据进行完整性验证;
第二结束模块,接收所述请求端的发送的结束会话请求,释放所述会话资源;
所述第二获取模块包括:
第四获取子模块,用于通过响应端根据所述第一请求数据包计算重新计算第一请求校验值,并验证与收到的第一请求校验值inMac对比一致;
第五获取子模块,用于若判断收到的第一请求校验值inMac数据对比一致,则根据所述请求数据包计算第一应答校验值outMac,返回第一应答数据包至请求端;所述第一应答数据包包括:第一应答随机数RDM_B1;
第二验证模块,包括:
第四验证子模块,用于通过响应端根据所述第二请求数据包计算重新计算第二请求校验值,并验证与收到的第二请求校验值inMac对比一致;
第五验证子模块,用于若判断收到的第二请求校验值inMac数据对比一致,则根据所述第二请求数据包计算第二应答校验值outMac,返回第二应答数据包至请求端;所述第二应答数据包包括:第二应答随机数RDM_B2。
CN202210022826.2A 2022-01-10 2022-01-10 一种身份认证方法及装置 Active CN114567439B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210022826.2A CN114567439B (zh) 2022-01-10 2022-01-10 一种身份认证方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210022826.2A CN114567439B (zh) 2022-01-10 2022-01-10 一种身份认证方法及装置

Publications (2)

Publication Number Publication Date
CN114567439A CN114567439A (zh) 2022-05-31
CN114567439B true CN114567439B (zh) 2022-12-27

Family

ID=81711939

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210022826.2A Active CN114567439B (zh) 2022-01-10 2022-01-10 一种身份认证方法及装置

Country Status (1)

Country Link
CN (1) CN114567439B (zh)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101388060A (zh) * 2007-09-11 2009-03-18 深圳兆日技术有限公司 一种实现实体间授权会话认证的系统及方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107483456A (zh) * 2017-08-25 2017-12-15 北京元心科技有限公司 身份认证方法及装置
CN110830991B (zh) * 2018-08-10 2023-02-03 华为技术有限公司 安全会话方法和装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101388060A (zh) * 2007-09-11 2009-03-18 深圳兆日技术有限公司 一种实现实体间授权会话认证的系统及方法

Also Published As

Publication number Publication date
CN114567439A (zh) 2022-05-31

Similar Documents

Publication Publication Date Title
CN110784491B (zh) 一种物联网安全管理系统
US8646104B2 (en) Stateless challenge-response broadcast protocol
RU2554532C2 (ru) Способ и устройство для безопасной передачи данных
KR20210134655A (ko) 보안 시스템 및 관련 방법
CN104618120A (zh) 一种移动终端密钥托管数字签名方法
US20220108028A1 (en) Providing cryptographically secure post-secrets-provisioning services
CN109525565B (zh) 一种针对短信拦截攻击的防御方法及系统
CN114584307B (zh) 一种可信密钥管理方法、装置、电子设备和存储介质
CN111130799B (zh) 一种基于tee进行https协议传输的方法及系统
JP2022540653A (ja) データ保護及び回復システム及び方法
CN107959569B (zh) 一种基于对称密钥池的密钥补充方法和密钥补充装置、密钥补充系统
Darwish et al. A model to authenticate requests for online banking transactions
CN113726733B (zh) 一种基于可信执行环境的加密智能合约隐私保护方法
CN110611679A (zh) 一种数据传输方法、装置、设备及系统
Miculan et al. Automated Symbolic Verification of Telegram's MTProto 2.0
Das et al. A decentralized open web cryptographic standard
CN111225001B (zh) 区块链去中心化通讯方法、电子设备及系统
CN114567439B (zh) 一种身份认证方法及装置
CN114257419B (zh) 设备认证方法、装置、计算机设备和存储介质
Gajek et al. Provably secure browser-based user-aware mutual authentication over TLS
CN115834149A (zh) 一种基于国密算法的数控系统安全防护方法及装置
Miculan et al. Automated verification of Telegram’s MTProto 2.0 in the symbolic model
CN114065170A (zh) 平台身份证书的获取方法、装置和服务器
CN114297355A (zh) 一种安全会话的建立方法、系统、固态硬盘和终端设备
CN114362925A (zh) 一种密钥协商方法、装置及终端

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant