CN116647415B - 一种终端双向认证方法、装置及跨网跨域数据交换系统 - Google Patents

一种终端双向认证方法、装置及跨网跨域数据交换系统 Download PDF

Info

Publication number
CN116647415B
CN116647415B CN202310926478.6A CN202310926478A CN116647415B CN 116647415 B CN116647415 B CN 116647415B CN 202310926478 A CN202310926478 A CN 202310926478A CN 116647415 B CN116647415 B CN 116647415B
Authority
CN
China
Prior art keywords
client
server
data
authentication information
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310926478.6A
Other languages
English (en)
Other versions
CN116647415A (zh
Inventor
彭良智
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Aten Wangxin Beijing Technology Co ltd
Original Assignee
Aten Wangxin Beijing Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Aten Wangxin Beijing Technology Co ltd filed Critical Aten Wangxin Beijing Technology Co ltd
Priority to CN202310926478.6A priority Critical patent/CN116647415B/zh
Publication of CN116647415A publication Critical patent/CN116647415A/zh
Application granted granted Critical
Publication of CN116647415B publication Critical patent/CN116647415B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/55Push-based network services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种终端双向认证方法、装置及跨网跨域数据交换系统,所述双向认证方法通过基于设备特征码和RSA非对称加密算法的双向认证方案,实现设备接入系统时的鉴权认证,能够有效避免恶意设备的接入,从而保证了系统安全。相应地,本发明还提供了分别用于客户端和服务端的双向认证装置,以及包含所述双向认证装置的双向认证系统。同时,本发明提供的跨网跨域数据交换系统,利用前置机、网闸和后置机在两个不同的网络系统之间搭建数据传输通道,接入系统的任意两个相互连接的设备之间,除了最初连接时需要进行双向认证之外,还要进行周期性地双向认证,进一步确保了数据交换系统自身的安全性。

Description

一种终端双向认证方法、装置及跨网跨域数据交换系统
技术领域
本发明属于跨网跨域数据安全交换、物联网安全技术领域,尤其涉及一种终端双向认证方法、装置及跨网跨域数据交换系统。
背景技术
数据安全交换系统是一种安全数据交换中间件产品,与传统软件中间件产品不同,由于数据安全交换系统主要用于用户内外网数据交换,因此为了保证计算环境的安全,同时为了对交换数据进行硬加密,所以数据安全交换系统通常采用软硬件一体化的设计。为了防止恶意设备接入系统,需要对接入设备进行鉴权认证。
物联网接入鉴权认证机制是大规模物联网运营支撑系统的重要组成部分,系统必须设计严密的身份认证、接入控制、密钥管理和通讯协议同步机制,防止恶意假冒前端平台或物联网终端设备,防止利用二级平台、Internet或无线GPRS网络攻击平台,出现数据外泄、非法操作等情况。但是现有的物联网系统,或者不采用鉴权方案,或者简单通过静态密码进行鉴权,或者对接入终端不进行硬件指纹识别,或者对平台不进行鉴权。因此,为确保物联网系统的正常运行和信息安全,有必要采取一种更为可靠的方法,进行有效的鉴权认证,从而保障业务的有效安全运行。
发明内容
为解决上述技术问题,本发明提供一种终端双向认证方法、装置及跨网跨域数据交换系统,采用的技术方案具体如下:
一种终端双向认证方法,包括以下步骤:
S1. 客户端加载服务端注册信息,服务端加载客户端注册信息,所述服务端注册信息包含服务端公钥和服务端设备特征码,所述客户端注册信息包含客户端公钥和客户端设备特征码;
S2. 客户端使用客户端私钥对客户端设备特征码进行加密,并使用服务端公钥对客户端认证信息进行加密,然后将加密后的客户端认证信息发送给服务端,所述客户端认证信息包含加密后的客户端设备特征码;
S3. 服务端使用服务端私钥对接收到的客户端认证信息进行解密,若解密成功,则获取客户端认证信息并查找客户端注册信息进行认证信息匹配;若匹配成功,则使用客户端公钥对客户端认证信息中的客户端设备特征码进行解密,获取客户端设备特征码并将其与客户端注册信息中的客户端设备特征码进行比较,若一致,则单向认证成功;
S4. 服务端使用服务端私钥对服务端设备特征码进行加密,并使用客户端公钥对服务端认证信息进行加密,然后将加密后的服务端认证信息发送给客户端,所述服务端认证信息包含加密后的服务端设备特征码;
S5. 客户端使用客户端私钥对接收到的服务端认证信息进行解密,若解密成功,则获取服务端认证信息并查找服务端注册信息进行认证信息匹配;若匹配成功,则使用服务端公钥对服务端认证信息中的服务端设备特征码进行解密,获取服务端设备特征码并将其与服务端注册信息中的服务端设备特征码进行比较,若一致,则双向认证成功。
进一步地,所述服务端设备特征码和客户端设备特征码是指用于唯一标识服务端和客户端的设备标识,所述设备标识包括但不限于设备名称、型号、形状、颜色、功能、硬件序列号或其结合。
进一步地,所述客户端公钥和客户端私钥、服务端公钥和服务端私钥由RSA加密算法分别生成。
一种终端双向认证装置,用于客户端,包括:
客户端文件加载模块,用于加载并存储服务端注册信息,所述服务端注册信息包含服务端公钥和服务端设备特征码;
客户端秘钥生成模块,用于生成客户端公钥和客户端私钥;
客户端第一加密模块,用于使用客户端私钥对客户端设备特征码进行加密;
客户端第二加密模块,用于使用服务端公钥对客户端认证信息进行加密,所述客户端认证信息包含加密后的客户端设备特征码;
客户端数据发送模块,用于将加密后的客户端认证信息发送给服务端;
客户端数据接收模块,用于接收服务端认证信息,所述服务端认证信息由服务端使用客户端公钥加密并包含使用服务端私钥加密的服务端设备特征码;
客户端第一解密模块,用于使用客户端私钥对接收到的服务端认证信息进行解密;
客户端第二解密模块,用于使用服务端公钥对服务端设备特征码进行解密;
客户端信息匹配模块,用于将解密后的服务端认证信息与服务端注册信息进行匹配,并输出匹配结果;
客户端特征比较模块,用于将解密后的服务端设备特征码与服务端注册信息中的服务端设备特征码进行比较,并输出比较结果。
进一步地,所述客户端秘钥生成模块根据RSA加密算法生成客户端公钥和客户端私钥。
一种终端双向认证装置,用于服务端,包括:
服务端文件加载模块,用于加载并存储客户端注册信息,所述客户端注册信息包含客户端公钥和客户端设备特征码;
服务端秘钥生成模块,用于生成服务端公钥和服务端私钥;
服务端第一加密模块,用于使用服务端私钥对服务端设备特征码进行加密;
服务端第二加密模块,用于使用客户端公钥对服务端认证信息进行加密,所述服务端认证信息包含加密后的服务端设备特征码;
服务端数据发送模块,用于将加密后的服务端认证信息发送给客户端;
服务端数据接收模块,用于接收客户端认证信息,所述客户端认证信息由客户端使用服务端公钥加密并包含使用客户端私钥加密的客户端设备特征码;
服务端第一解密模块,用于使用服务端私钥对接收到的客户端认证信息进行解密;
服务端第二解密模块,用于使用客户端公钥对客户端设备特征码进行解密;
服务端信息匹配模块,用于将解密后的客户端认证信息与客户端注册信息进行匹配,并输出匹配结果;
服务端特征比较模块,用于将解密后的客户端设备特征码与客户端注册信息中的客户端设备特征码进行比较,并输出比较结果。
进一步地,所述服务端秘钥生成模块根据RSA加密算法生成服务端公钥和服务端私钥。
一种终端双向认证系统,包括客户端和服务端,所述客户端包括上述用于客户端的终端双向认证装置,所述服务端包括上述用于服务端的终端双向认证装置。
一种跨网跨域数据交换系统,包括依次连接的前置机、网闸和后置机;所述前置机与网络系统A连接,用于采集处理网络系统A的数据并将其传递给网闸,或用于对网闸传递过来的数据进行处理并推送给网络系统A;所述后置机与网络系统B连接,用于采集处理网络系统B的数据并将其传递给网闸,或用于对网闸传递过来的数据进行处理并推送给网络系统B;所述网闸用于阻断网络系统A与网络系统B之间的网络连接,还用于在前置机和后置机之间传递数据;所述前置机、网闸和后置机在接入所述数据交换系统时,均采用上述终端双向认证方法分别与其连接设备进行接入认证,并在认证成功后启动相应的服务。
进一步地,所述数据交换系统包括数据传输通道A和数据传输通道B,数据传输通道A和数据传输通道B的两端均分别与网络系统A与网络系统B连接,数据传输通道A用于将网络系统A的数据传输到网络系统B中,数据传输通道B用于将网络系统B的数据传输到网络系统A中;所述数据传输通道A包括依次连接的上行前置机、网闸、上行后置机,所述上行前置机与网络系统A连接,用于采集处理网络系统A的数据并将其传递给网闸;所述上行后置机与网络系统B连接,用于对网闸传递过来的数据进行处理并推送给网络系统B;所述数据传输通道B包括依次连接的下行前置机、网闸、下行后置机,所述下行前置机与网络系统B连接,用于采集处理网络系统B的数据并将其传递给网闸;所述下行后置机与网络系统A连接,用于对网闸传递过来的数据进行处理并推送给网络系统A。
本发明的有益效果:
本发明提供一种终端双向认证方法,通过基于设备特征码和RSA非对称加密算法的双向认证方案实现设备接入系统时的鉴权认证,能够有效避免恶意设备的接入,从而保证了系统安全。相应地,本发明还提供了分别用于客户端和服务端的双向认证装置,以及包含所述双向认证装置的双向认证系统。同时,本发明还提供一种跨网跨域数据交换系统,利用前置机、网闸和后置机在两个不同的网络系统之间搭建数据传输通道,接入系统的任意两个相互连接的设备之间,除了最初连接时需要进行双向认证之外,还要进行周期性地双向认证,以进一步确保数据交换系统的安全性。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1是本发明一实施例提供的双向认证的逻辑示意图;
图2是本发明一实施例提供的双向认证中服务端侧的流程示意图;
图3是本发明一实施例提供的双向认证装置的模块组成示意图;
图4是本发明一实施例提供的跨网跨域数据交换系统的框架示意图;
图5是本发明一实施例提供的跨网跨域数据交换系统的双数据传输通道的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参考图1和图2,本发明提供一种终端连接双向认证方法,将相互连接的两个终端设备分别作为客户端和服务端,其接入认证的基本流程如下:
(1)在进行双向认证之前,设备需要导入对方的注册信息,导入注册信息的动作由安全管理员进行。注册信息的内容包括设备特征码Devid和加密算法生成的公钥,还包括公司名Name、设备ID等其他信息。因此,分别在客户端和服务端中加载相应的服务端注册信息和客户端注册信息,其中,服务端注册信息需包含服务端公钥和服务端设备特征码,客户端注册信息则需包含客户端公钥和客户端设备特征码。
设备特征码,或者说设备指纹(硬件指纹)是指用于唯一标识出该设备的设备标识,包括一些固有的、难以篡改的设备标识。比如设备的硬件序列号,像手机在生成过程中都会被赋予一个唯一的IME(International Mobile Equipment Identity)编号,像电脑的网卡在生产过程中会被赋予唯一的MAC地址,这些唯一的设备标识可以被视为设备指纹。同时,设备的特征集合也可以用来当做设备指纹,如将设备的名称、型号、形状、颜色、功能等各个特征结合起来作为设备标识。这就类似于我们在记忆人的时候,通常是通过人的长相、面部特征来记忆。
公钥以及相应的私钥统称为秘钥,一般就是一个字符串或数字,在加密或者解密时传递给加密或解密模块。加密算法又分为对称加密算法和非对称加密算法,对称加密算法中,加密和解密都使用同一个秘钥,因此对称加密算法要保证安全性的话,秘钥要做好保密,只能让使用的人知道,不能对外公开。而非对称加密算法的加密和解密则使用不同的秘钥,即公钥和私钥。一般公钥用于公开并在加密过程中使用,而私钥则用来保留解密。公钥私钥互换也可以成功实现加解密,只是对于同一段信息而言,其加解密的成功实现必须使用相应的公钥-私钥对,也就是说,不能使用相同的公钥去解密该公钥加密的信息,而应使用对应的私钥,也不能使用相同的私钥去解密该私钥加密的信息,而应使用对应的公钥。非对称加密算法的种类有很多,典型的如RSA算法,它是最早被广泛使用的非对称加密算法之一,它利用质数分解的困难性,通过生成公钥和私钥来实现加密和解密过程。
表1 客户端认证信息的数据结构
表2 发送数据包结构
(2)双向认证开始,客户端使用客户端私钥对客户端设备特征码进行加密,并使用服务端公钥对客户端认证信息进行加密,然后将加密后的客户端认证信息发送给服务端。所述客户端认证信息包含加密后的客户端设备特征码,还包含公司名Name、设备ID等其他与客户端注册信息中相对应的信息,以便服务端在接收并解密该客户端认证信息后,能够依据这类信息查找到之前由安全管理员导入的客户端注册信息。
在一些实施例中,客户端认证信息的数据结构如表1所示,其在加密后发送给服务端的数据包结构如表2所示。
(3)服务端使用服务端私钥对接收到的客户端认证信息进行解密,若解密成功,则获取客户端认证信息并查找客户端注册信息进行认证信息匹配,即核对公司名Name、设备ID等信息是否一致。若匹配成功,则使用客户端注册信息中的客户端公钥对客户端认证信息中的客户端设备特征码进行解密,获取客户端设备特征码Devid并将其与客户端注册信息中的客户端设备特征码Devid进行比较,若一致,则单向认证成功,即服务端对客户端的认证通过。
(4)类似地,开始客户端对服务端的认证过程。服务端使用服务端私钥对服务端设备特征码进行加密,并使用客户端公钥对服务端认证信息进行加密,然后将加密后的服务端认证信息发送给客户端,所述服务端认证信息包含加密后的服务端设备特征码。
(5)客户端使用客户端私钥对接收到的服务端认证信息进行解密,若解密成功,则获取服务端认证信息并查找服务端注册信息进行认证信息匹配。若匹配成功,则使用服务端公钥对服务端认证信息中的服务端设备特征码进行解密,获取服务端设备特征码并将其与服务端注册信息中的服务端设备特征码进行比较,若一致,则客户端对服务端认证成功,双向认证通过,客户端和服务端可以启动相应的服务。
如图3所示,本发明还提供一种用于客户端的终端连接双向认证装置,包括:客户端文件加载模块,用于加载并存储服务端注册信息,服务端注册信息包含服务端公钥和服务端设备特征码;客户端秘钥生成模块,用于根据RSA加密算法生成客户端公钥和客户端私钥;客户端第一加密模块,用于使用客户端私钥对客户端设备特征码进行加密;客户端第二加密模块,用于使用服务端公钥对客户端认证信息进行加密,所述客户端认证信息包含加密后的客户端设备特征码;客户端数据发送模块,用于将加密后的客户端认证信息发送给服务端。
还包括:客户端数据接收模块,用于接收服务端认证信息,所述服务端认证信息由服务端使用客户端公钥加密并包含使用服务端私钥加密的服务端设备特征码;客户端第一解密模块,用于使用客户端私钥对接收到的服务端认证信息进行解密;客户端第二解密模块,用于使用服务端公钥对服务端设备特征码进行解密;客户端信息匹配模块,用于将解密后的服务端认证信息与服务端注册信息进行匹配,并输出匹配结果;客户端特征比较模块,用于将解密后的服务端设备特征码与服务端注册信息中的服务端设备特征码进行比较,并输出比较结果。
如图3所示,本发明还提供一种用于服务端的终端连接双向认证装置,包括:服务端文件加载模块,用于加载并存储客户端注册信息,所述客户端注册信息包含客户端公钥和客户端设备特征码;服务端秘钥生成模块,用于根据RSA加密算法生成服务端公钥和服务端私钥;服务端第一加密模块,用于使用服务端私钥对服务端设备特征码进行加密;服务端第二加密模块,用于使用客户端公钥对服务端认证信息进行加密,所述服务端认证信息包含加密后的服务端设备特征码;服务端数据发送模块,用于将加密后的服务端认证信息发送给客户端。
还包括:服务端数据接收模块,用于接收客户端认证信息,所述客户端认证信息由客户端使用服务端公钥加密并包含使用客户端私钥加密的客户端设备特征码;服务端第一解密模块,用于使用服务端私钥对接收到的客户端认证信息进行解密;服务端第二解密模块,用于使用客户端公钥对客户端设备特征码进行解密;服务端信息匹配模块,用于将解密后的客户端认证信息与客户端注册信息进行匹配,并输出匹配结果;服务端特征比较模块,用于将解密后的客户端设备特征码与客户端注册信息中的客户端设备特征码进行比较,并输出比较结果。
相应地,本发明还提供一种终端连接双向认证系统,包括客户端和服务端,所述客户端包括上述用于客户端的终端连接双向认证装置,所述服务端包括上述用于服务端的终端连接双向认证装置。
如图4所示,本发明还提供一种跨网跨域数据交换系统,包括依次连接的前置机、网闸和后置机。前置机与网络系统A连接,用于采集处理网络系统A的数据并将其传递给网闸,或用于对网闸传递过来的数据进行处理并推送给网络系统A。前置机根据事先配置的策略规则,采集位于网络系统A中的数据库中的数据或文件系统中的文件等数据,并对采集的数据进行格式检查、病毒查杀、数据转换、打包加密等处理,然后将加密后的文件交给网闸等隔离设备。或者对隔离设备传递过来的数据进行解密转换等逆向处理,然后将数据推送给网络系统A。后置机与前置机的作用相似。
网闸用于阻断网络系统A与网络系统B之间的网络连接,还用于在前置机和后置机之间传递数据。一般而言,网闸是使用带有多种控制功能的固态开关读写介质,连接两个独立主机系统的信息安全设备。由于两个独立的主机系统通过网闸进行隔离,使系统间不存在通信的物理连接、逻辑连接及信息传输协议,不存在依据协议进行的信息交换,而只有以数据文件形式进行的无协议摆渡。因此,网闸从物理上隔离、阻断了对内网具有潜在攻击可能的一切网络连接,使外部攻击者无法直接入侵、攻击或破坏内网,保障了内部主机的安全。
前置机、网闸和后置机在接入所述数据交换系统时,均采用上述的双向认证方法分别与其连接设备进行接入认证,并在认证成功后启动相应的服务。尤其对于油库系统等重要的物联网安全接入系统,除了常规的多因子身份认证以外,此类应用场景还要求单导产品(数据单向导入设备)与前置机、后置机进行“双向认证”,只用认证成功的设备配对才能进行数据采集和单向导入,防止非法数据采集终端的接入,以及来自外网的黑客攻击。
在一些实施例中,所述数据交换系统中任意两个相互连接的设备之间,除了最初连接时需要进行双向认证之外,每间隔一定时间还要进行周期性地双向认证,如每10s双向认证一次,以进一步确保数据交换系统的安全性。
在一些实施例中,所述数据交换系统包括数据传输通道A和数据传输通道B,数据传输通道A和数据传输通道B的两端均分别与网络系统A与网络系统B连接,数据传输通道A用于将网络系统A的数据传输到网络系统B中,数据传输通道B用于将网络系统B的数据传输到网络系统A中。如图5所示,所述数据传输通道A包括依次连接的上行前置机、网闸、上行后置机。其中,上行前置机与网络系统A连接,用于采集处理网络系统A的数据并将其传递给网闸;上行后置机与网络系统B连接,用于对网闸传递过来的数据进行处理并推送给网络系统B。所述数据传输通道B包括依次连接的下行前置机、网闸、下行后置机。其中,下行前置机与网络系统B连接,用于采集处理网络系统B的数据并将其传递给网闸;下行后置机与网络系统A连接,用于对网闸传递过来的数据进行处理并推送给网络系统A。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;在本发明的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本发明的不同方面的许多其它变化,为了简明,它们没有在细节中提供;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。

Claims (10)

1.一种终端双向认证方法,其特征在于,包括以下步骤:
S1. 客户端加载服务端注册信息,服务端加载客户端注册信息,所述服务端注册信息包含服务端公钥和服务端设备特征码,所述客户端注册信息包含客户端公钥和客户端设备特征码;
S2. 客户端使用客户端私钥对客户端设备特征码进行加密,并使用服务端公钥对客户端认证信息进行加密,然后将加密后的客户端认证信息发送给服务端,所述客户端认证信息包含加密后的客户端设备特征码;
S3. 服务端使用服务端私钥对接收到的客户端认证信息进行解密,若解密成功,则获取客户端认证信息并查找客户端注册信息进行认证信息匹配;若匹配成功,则使用客户端公钥对客户端认证信息中的客户端设备特征码进行解密,获取客户端设备特征码并将其与客户端注册信息中的客户端设备特征码进行比较,若一致,则单向认证成功;
S4. 服务端使用服务端私钥对服务端设备特征码进行加密,并使用客户端公钥对服务端认证信息进行加密,然后将加密后的服务端认证信息发送给客户端,所述服务端认证信息包含加密后的服务端设备特征码;
S5. 客户端使用客户端私钥对接收到的服务端认证信息进行解密,若解密成功,则获取服务端认证信息并查找服务端注册信息进行认证信息匹配;若匹配成功,则使用服务端公钥对服务端认证信息中的服务端设备特征码进行解密,获取服务端设备特征码并将其与服务端注册信息中的服务端设备特征码进行比较,若一致,则双向认证成功。
2.如权利要求1所述的终端双向认证方法,其特征在于,所述服务端设备特征码和客户端设备特征码是指用于唯一标识服务端和客户端的设备标识,所述设备标识包括设备名称、型号、形状、颜色、功能、硬件序列号或其结合。
3.如权利要求1所述的终端双向认证方法,其特征在于,所述客户端公钥和客户端私钥、服务端公钥和服务端私钥由RSA加密算法分别生成。
4.一种终端双向认证装置,用于客户端,其特征在于,包括:
客户端文件加载模块,用于加载并存储服务端注册信息,所述服务端注册信息包含服务端公钥和服务端设备特征码;
客户端秘钥生成模块,用于生成客户端公钥和客户端私钥;
客户端第一加密模块,用于使用客户端私钥对客户端设备特征码进行加密;
客户端第二加密模块,用于使用服务端公钥对客户端认证信息进行加密,所述客户端认证信息包含加密后的客户端设备特征码;
客户端数据发送模块,用于将加密后的客户端认证信息发送给服务端;
客户端数据接收模块,用于接收服务端认证信息,所述服务端认证信息由服务端使用客户端公钥加密并包含使用服务端私钥加密的服务端设备特征码;
客户端第一解密模块,用于使用客户端私钥对接收到的服务端认证信息进行解密;
客户端第二解密模块,用于使用服务端公钥对服务端设备特征码进行解密;
客户端信息匹配模块,用于将解密后的服务端认证信息与服务端注册信息进行匹配,并输出匹配结果;
客户端特征比较模块,用于将解密后的服务端设备特征码与服务端注册信息中的服务端设备特征码进行比较,并输出比较结果。
5.如权利要求4所述的终端双向认证装置,其特征在于,所述客户端秘钥生成模块根据RSA加密算法生成客户端公钥和客户端私钥。
6.一种终端双向认证装置,用于服务端,其特征在于,包括:
服务端文件加载模块,用于加载并存储客户端注册信息,所述客户端注册信息包含客户端公钥和客户端设备特征码;
服务端秘钥生成模块,用于生成服务端公钥和服务端私钥;
服务端第一加密模块,用于使用服务端私钥对服务端设备特征码进行加密;
服务端第二加密模块,用于使用客户端公钥对服务端认证信息进行加密,所述服务端认证信息包含加密后的服务端设备特征码;
服务端数据发送模块,用于将加密后的服务端认证信息发送给客户端;
服务端数据接收模块,用于接收客户端认证信息,所述客户端认证信息由客户端使用服务端公钥加密并包含使用客户端私钥加密的客户端设备特征码;
服务端第一解密模块,用于使用服务端私钥对接收到的客户端认证信息进行解密;
服务端第二解密模块,用于使用客户端公钥对客户端设备特征码进行解密;
服务端信息匹配模块,用于将解密后的客户端认证信息与客户端注册信息进行匹配,并输出匹配结果;
服务端特征比较模块,用于将解密后的客户端设备特征码与客户端注册信息中的客户端设备特征码进行比较,并输出比较结果。
7.如权利要求6所述的终端双向认证装置,其特征在于,所述服务端秘钥生成模块根据RSA加密算法生成服务端公钥和服务端私钥。
8.一种终端双向认证系统,其特征在于,包括客户端和服务端,所述客户端包括权利要求4或5所述的终端双向认证装置,所述服务端包括权利要求6或7所述的终端双向认证装置。
9.一种跨网跨域数据交换系统,其特征在于,包括依次连接的前置机、网闸和后置机;所述前置机与网络系统A连接,用于采集处理网络系统A的数据并将其传递给网闸,或用于对网闸传递过来的数据进行处理并推送给网络系统A;所述后置机与网络系统B连接,用于采集处理网络系统B的数据并将其传递给网闸,或用于对网闸传递过来的数据进行处理并推送给网络系统B;所述网闸用于阻断网络系统A与网络系统B之间的网络连接,还用于在前置机和后置机之间传递数据;
所述前置机、网闸和后置机在接入所述数据交换系统时,均采用如权利要求1至3中任一项所述的终端双向认证方法分别与其连接设备进行接入认证,并在认证成功后启动相应的服务。
10.如权利要求9所述的跨网跨域数据交换系统,其特征在于,所述数据交换系统包括数据传输通道A和数据传输通道B,数据传输通道A和数据传输通道B的两端均分别与网络系统A与网络系统B连接,数据传输通道A用于将网络系统A的数据传输到网络系统B中,数据传输通道B用于将网络系统B的数据传输到网络系统A中;
所述数据传输通道A包括依次连接的上行前置机、网闸、上行后置机,所述上行前置机与网络系统A连接,用于采集处理网络系统A的数据并将其传递给网闸;所述上行后置机与网络系统B连接,用于对网闸传递过来的数据进行处理并推送给网络系统B;所述数据传输通道B包括依次连接的下行前置机、网闸、下行后置机,所述下行前置机与网络系统B连接,用于采集处理网络系统B的数据并将其传递给网闸;所述下行后置机与网络系统A连接,用于对网闸传递过来的数据进行处理并推送给网络系统A。
CN202310926478.6A 2023-07-27 2023-07-27 一种终端双向认证方法、装置及跨网跨域数据交换系统 Active CN116647415B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310926478.6A CN116647415B (zh) 2023-07-27 2023-07-27 一种终端双向认证方法、装置及跨网跨域数据交换系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310926478.6A CN116647415B (zh) 2023-07-27 2023-07-27 一种终端双向认证方法、装置及跨网跨域数据交换系统

Publications (2)

Publication Number Publication Date
CN116647415A CN116647415A (zh) 2023-08-25
CN116647415B true CN116647415B (zh) 2023-09-22

Family

ID=87625147

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310926478.6A Active CN116647415B (zh) 2023-07-27 2023-07-27 一种终端双向认证方法、装置及跨网跨域数据交换系统

Country Status (1)

Country Link
CN (1) CN116647415B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112333152A (zh) * 2020-10-13 2021-02-05 西安电子科技大学 双向认证方法、系统、介质、计算机设备、终端及应用
CN113051547A (zh) * 2021-03-24 2021-06-29 曲阜师范大学 多服务器架构下的双向认证与密钥协商协议
CN113507372A (zh) * 2021-06-28 2021-10-15 上海浦东发展银行股份有限公司 一种接口请求的双向认证方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210377051A1 (en) * 2020-05-26 2021-12-02 Motorola Solutions, Inc. Method of establishing a future 2-way authentication between a client application and an application server
US20220191027A1 (en) * 2020-12-16 2022-06-16 Kyndryl, Inc. Mutual multi-factor authentication technology

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112333152A (zh) * 2020-10-13 2021-02-05 西安电子科技大学 双向认证方法、系统、介质、计算机设备、终端及应用
CN113051547A (zh) * 2021-03-24 2021-06-29 曲阜师范大学 多服务器架构下的双向认证与密钥协商协议
CN113507372A (zh) * 2021-06-28 2021-10-15 上海浦东发展银行股份有限公司 一种接口请求的双向认证方法

Also Published As

Publication number Publication date
CN116647415A (zh) 2023-08-25

Similar Documents

Publication Publication Date Title
US10594479B2 (en) Method for managing smart home environment, method for joining smart home environment and method for connecting communication session with smart device
CA2690755C (en) System and method of per-packet keying
US20130227286A1 (en) Dynamic Identity Verification and Authentication, Dynamic Distributed Key Infrastructures, Dynamic Distributed Key Systems and Method for Identity Management, Authentication Servers, Data Security and Preventing Man-in-the-Middle Attacks, Side Channel Attacks, Botnet Attacks, and Credit Card and Financial Transaction Fraud, Mitigating Biometric False Positives and False Negatives, and Controlling Life of Accessible Data in the Cloud
EP3205048B1 (en) Generating a symmetric encryption key
WO2017201809A1 (zh) 终端通信方法及系统
CN109951513B (zh) 基于量子密钥卡的抗量子计算智能家庭量子云存储方法和系统
WO2005088892A1 (en) A method of virtual challenge response authentication
US20170310665A1 (en) Method and system for establishing a secure communication channel
Tsai et al. Secure delegation-based authentication protocol for wireless roaming service
EP2723037A1 (en) Method for protecting a BSF entity from attack, and a user equipment
WO2016056989A1 (en) Improved security through authentication tokens
Sarvabhatla et al. A secure biometric-based user authentication scheme for heterogeneous WSN
GB2488753A (en) Encrypted communication
CN116647415B (zh) 一种终端双向认证方法、装置及跨网跨域数据交换系统
KR102539418B1 (ko) Puf 기반 상호 인증 장치 및 방법
CN115348578B (zh) 一种接触者追踪方法及装置
CN116996234B (zh) 一种终端接入认证网关的方法、终端及认证网关
CN114218555B (zh) 增强密码管理app密码安全强度方法和装置、存储介质
US20240022568A1 (en) Authorization and authentication of endpoints for network connections and communication
US20240048559A1 (en) Rendering endpoint connection without authentication dark on network
KR100744603B1 (ko) 생체 데이터를 이용한 패킷 레벨 사용자 인증 방법
US20240064012A1 (en) Authentication cryptography operations, exchanges and signatures
Chang et al. Comments on a Three-factor Anonymous User Authentication Scheme for Internet of Things Environments
Juang et al. An efficient and privacy protection multi-server authentication scheme for low-cost RFID tags
JP3721176B2 (ja) 認証システムおよび暗号化通信システム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant