CN117061124A - 一种基于国密算法的终端设备认证方法及系统 - Google Patents
一种基于国密算法的终端设备认证方法及系统 Download PDFInfo
- Publication number
- CN117061124A CN117061124A CN202311070408.1A CN202311070408A CN117061124A CN 117061124 A CN117061124 A CN 117061124A CN 202311070408 A CN202311070408 A CN 202311070408A CN 117061124 A CN117061124 A CN 117061124A
- Authority
- CN
- China
- Prior art keywords
- authentication
- resource
- symmetric key
- equipment
- terminal equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 20
- 238000009826 distribution Methods 0.000 claims description 19
- 230000009286 beneficial effect Effects 0.000 abstract description 2
- 238000012795 verification Methods 0.000 abstract description 2
- 238000004891 communication Methods 0.000 description 4
- 208000033748 Device issues Diseases 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003860 storage Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
Abstract
本发明涉及密码学技术领域,具体为一种基于国密算法的终端设备认证方法及系统,包括如下步骤:出厂阶段,获取对应ID的对称密钥;初始化阶段,申请ID的对称密钥;认证阶段,解密对称密钥后进行认证;结束阶段,获取到认证的结果,资源受限设备B解密后得知终端设备A的状态,到此结束;有益效果为:本发明提出的基于国密算法的终端设备认证方法及系统,利用国密算法的安全性使得终端设备计算其拥有对应对称密钥,而资源受限设备端只需要解密验证即可判断是否认证成功,避免了资源受限设备进行身份认证时的大量公钥密码运算。
Description
技术领域
本发明涉及密码学技术领域,具体为一种基于国密算法的终端设备认证方法及系统。
背景技术
终端设备认证是指终端设备之间进行通信前的一种准入机制,确定设备之间对称密钥是否对齐,设备信息ID是否一致等,防止非法设备假冒其他合法设备获得一系列相关权限,保证设备之间通信、数据传输的安全。
现有技术中,当前,物联网的快速发展,出现诸多计算能力、存储空间有限的资源受限设备,如各种传感器等。在物联网中,这些设备数量众多且处于获取数据资源的前端,其数据安全问题受到重视。
但是,这些资源受限设备无法进行公钥密码运算来保护自身的通信安全,因此一般选择对称算法进行加密。由于认证系统多采用公钥算法,因此对于采用对称密钥的资源受限设备的认证需要一个快速且安全的方案。
发明内容
本发明的目的在于提供一种基于国密算法的终端设备认证方法及系统,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:一种基于国密算法的终端设备认证方法,所述方法包括如下步骤:
步骤一,出厂阶段,获取对应ID的对称密钥;
步骤二,初始化阶段,申请ID的对称密钥;
步骤三:认证阶段,解密对称密钥后进行认证;
步骤四:结束阶段,获取到认证的结果,资源受限设备B解密后得知终端设备A的状态,到此结束。
优选的,出厂阶段,资源受限设备B向密钥分发系统提交设备ID,获取对应ID的对称密钥,并灌装至设备中。
优选的,初始化阶段,资源受限设备B向终端设备A发起配对申请,并提交设备ID,终端设备A接收配对申请及资源受限设备B的设备ID,向密钥分发系统申请ID的对称密钥,并存储到本机中。
优选的,认证阶段,终端设备A用下发的对称密钥对资源受限设备B的设备ID进行SM4加密,初始向量IV默认全0,将密文发送给资源受限设备B,如果解密成功且明文为设备B的ID,则认证成功。
优选的,结束阶段,资源受限设备将认证成功与否的结果用对称密钥进行SM4加密,并将密文发送给终端设备A,终端设备A解密之后,获取到认证的结果,将已获取结果的标识1进行SM4加密返回给资源受限设备B,资源受限设备B解密后得知终端设备A的状态,到此结束。
一种基于国密算法的终端设备认证系统,所述系统由资源受限设备端、终端设备端以及密钥分发系统组成;
资源受限设备端,用于出厂阶段向密钥分发系统获取对应ID的对称密钥,并灌装至设备中,在认证阶段对密文解密,如果通过则配对认证成功,将认证结果SM4加密返回给终端设备端,解密终端设备端返回的最终状态结果;
终端设备端,用于初始化阶段接受配对申请,向密钥分发系统申请需配对的ID的对称密钥,并存储到本机中,在认证阶段计算ID的密文,解密来自资源受限设备端的认证结果,并将自己的状态加密发送给资源受限设备端;
密钥分发系统,用于资源受限设备出厂时为其下发对应ID的对称密钥,终端设备端初始化时为其下发需要配对ID的对称密钥。
与现有技术相比,本发明的有益效果是:
本发明提出的基于国密算法的终端设备认证方法及系统,利用国密算法的安全性使得终端设备计算其拥有对应对称密钥,而资源受限设备端只需要解密验证即可判断是否认证成功,避免了资源受限设备进行身份认证时的大量公钥密码运算。
附图说明
图1为本发明方法流程图;
图2为本发明系统架构图。
具体实施方式
为了使本发明的目的、技术方案进行清楚、完整地描述,及优点更加清楚明白,以下结合附图对本发明实施例进行进一步详细说明。应当理解,此处所描述的具体实施例是本发明一部分实施例,而不是全部的实施例,仅仅用以解释本发明实施例,并不用于限定本发明实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
一种基于国密算法的终端设备认证方法,包括以下步骤,
步骤一,出厂阶段,资源受限设备B向密钥分发系统提交设备ID,获取对应ID的对称密钥,并灌装至设备中;
步骤二,初始化阶段,资源受限设备B向终端设备A发起配对申请,并提交设备ID,终端设备A接收配对申请及资源受限设备B的设备ID,向密钥分发系统申请该ID的对称密钥,并存储到本机中;
步骤三:认证阶段,终端设备A用下发的对称密钥对资源受限设备B的设备ID进行SM4加密,初始向量IV默认全0,将密文发送给资源受限设备B,如果解密成功且明文为设备B的ID,则认证成功;
步骤四:结束阶段,资源受限设备将认证成功与否的结果用对称密钥进行SM4加密,并将密文发送给终端设备A,终端设备A解密之后,获取到认证的结果,同样将已获取结果的标识1进行SM4加密返回给资源受限设备B,资源受限设备B解密后得知终端设备A的状态,到此结束。
实施例二
请参阅图1,在实施例一的基础上提出了:一种基于国密算法的终端设备认证方法,所述方法包括如下步骤:
A表示终端设备,B表示资源受限设备;
1、出厂阶段
步骤101、设备B在产线时,将设备ID号向密钥分发系统提交,获取下发的对应ID的对称密钥k作为预置密钥灌装到设备B中,从而完成产线灌装密钥。
2、初始化阶段
步骤102、设备B向终端设备A发起配对申请,并提交设备ID;
步骤103、设备A接收配对申请及设备B的设备ID,向密钥分发系统申请该ID的对称密钥k,并存储到本机中;
3、认证阶段
步骤104、设备A用下发的对称密钥k对设备B的设备ID进行SM4加密,
得到c=SM4Enc(ID),初始向量IV默认全0;
步骤105、设备A将密文c发送给设备B;
步骤106、设备B用对称密钥k解密c得到m=SM4Dec(c),判断m是否等于ID,若等设备B更新认证状态为1,否则设备B更新认证状态为0;4、结束阶段
步骤107、设备B将认证成功与否的结果,即认证状态,用对称密钥k进行SM4加密,并将密文发送给设备A;
步骤108、设备A解密之后,获取到认证的结果,如果是0和1,则将已获取结果的标识1进行SM4加密返回给设备B,否则对标识0进行SM4加密返回给设备B;
步骤109、设备B解密后得知终端设备A的状态,如果为0则进行步骤107,如果为1,通信到此结束。
实施例三
在实施例一的基础上,提出了一种基于国密算法的终端设备认证系统,
包括;
资源受限设备端:出厂阶段向密钥分发系统获取对应ID的对称密钥,并灌装至设备中,在认证阶段对密文解密,如果通过则配对认证成功,将认证结果SM4加密返回给终端设备端,解密终端设备端返回的最终状态结果;
终端设备端,初始化阶段接受配对申请,向密钥分发系统申请需配对的ID的对称密钥,并存储到本机中,在认证阶段计算ID的密文,解密来自资源受限设备端的认证结果,并将自己的状态加密发送给资源受限设备端;
密钥分发系统:资源受限设备出厂时为其下发对应ID的对称密钥,终端设备端初始化时为其下发需要配对ID的对称密钥。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (6)
1.一种基于国密算法的终端设备认证方法,其特征在于:所述方法包括如下步骤:
步骤一,出厂阶段,获取对应ID的对称密钥;
步骤二,初始化阶段,申请ID的对称密钥;
步骤三:认证阶段,解密对称密钥后进行认证;
步骤四:结束阶段,获取到认证的结果,资源受限设备B解密后得知终端设备A的状态,到此结束。
2.根据权利要求1所述的一种基于国密算法的终端设备认证方法,其特征在于:出厂阶段,资源受限设备B向密钥分发系统提交设备ID,获取对应ID的对称密钥,并灌装至设备中。
3.根据权利要求2所述的一种基于国密算法的终端设备认证方法,其特征在于:初始化阶段,资源受限设备B向终端设备A发起配对申请,并提交设备ID,终端设备A接收配对申请及资源受限设备B的设备ID,向密钥分发系统申请ID的对称密钥,并存储到本机中。
4.根据权利要求2所述的一种基于国密算法的终端设备认证方法,其特征在于:认证阶段,终端设备A用下发的对称密钥对资源受限设备B的设备ID进行SM4加密,初始向量IV默认全0,将密文发送给资源受限设备B,如果解密成功且明文为设备B的ID,则认证成功。
5.根据权利要求1所述的一种基于国密算法的终端设备认证方法,其特征在于:结束阶段,资源受限设备将认证成功与否的结果用对称密钥进行SM4加密,并将密文发送给终端设备A,终端设备A解密之后,获取到认证的结果,将已获取结果的标识1进行SM4加密返回给资源受限设备B,资源受限设备B解密后得知终端设备A的状态,到此结束。
6.一种根据权利要求1-5任意一项所述的基于国密算法的终端设备认证系统,其特征在于:所述系统由资源受限设备端、终端设备端以及密钥分发系统组成;
资源受限设备端,用于出厂阶段向密钥分发系统获取对应ID的对称密钥,并灌装至设备中,在认证阶段对密文解密,如果通过则配对认证成功,将认证结果SM4加密返回给终端设备端,解密终端设备端返回的最终状态结果;
终端设备端,用于初始化阶段接受配对申请,向密钥分发系统申请需配对的ID的对称密钥,并存储到本机中,在认证阶段计算ID的密文,解密来自资源受限设备端的认证结果,并将自己的状态加密发送给资源受限设备端;
密钥分发系统,用于资源受限设备出厂时为其下发对应ID的对称密钥,终端设备端初始化时为其下发需要配对ID的对称密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311070408.1A CN117061124A (zh) | 2023-08-24 | 2023-08-24 | 一种基于国密算法的终端设备认证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311070408.1A CN117061124A (zh) | 2023-08-24 | 2023-08-24 | 一种基于国密算法的终端设备认证方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117061124A true CN117061124A (zh) | 2023-11-14 |
Family
ID=88655061
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311070408.1A Pending CN117061124A (zh) | 2023-08-24 | 2023-08-24 | 一种基于国密算法的终端设备认证方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117061124A (zh) |
-
2023
- 2023-08-24 CN CN202311070408.1A patent/CN117061124A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106357649B (zh) | 用户身份认证系统和方法 | |
| CN110380852B (zh) | 双向认证方法及通信系统 | |
| CA1292790C (en) | Controlled use of cryptographic keys via generating station establishedcontrol values | |
| CN109495274B (zh) | 一种去中心化智能锁电子钥匙分发方法及系统 | |
| CN107358441B (zh) | 支付验证的方法、系统及移动设备和安全认证设备 | |
| CN108683501B (zh) | 基于量子通信网络的以时间戳为随机数的多次身份认证系统和方法 | |
| CN109525390B (zh) | 用于终端设备保密通信的量子密钥无线分发方法及系统 | |
| CN101090316B (zh) | 离线状态下存储卡与终端设备之间的身份认证方法 | |
| CN111464301B (zh) | 一种密钥管理方法及系统 | |
| CN108650028B (zh) | 基于量子通信网络与真随机数的多次身份认证系统和方法 | |
| JP2004304751A5 (zh) | ||
| CN108809633B (zh) | 一种身份认证的方法、装置及系统 | |
| CN107104795B (zh) | Rsa密钥对和证书的注入方法、架构及系统 | |
| CN111526007B (zh) | 一种随机数生成方法及系统 | |
| CN112202556B (zh) | 安全认证方法、装置和系统 | |
| CN114172745A (zh) | 一种物联网安全协议系统 | |
| CN108809936A (zh) | 一种基于混合加密算法的智能移动终端身份验证方法及其实现系统 | |
| CN111416712B (zh) | 基于多个移动设备的量子保密通信身份认证系统及方法 | |
| CN113676448A (zh) | 一种基于对称秘钥的离线设备双向认证方法和系统 | |
| CN113688405B (zh) | 一种基于区块链的双向认证混合加密方法 | |
| CN117061124A (zh) | 一种基于国密算法的终端设备认证方法及系统 | |
| CN113422753B (zh) | 数据处理方法、装置、电子设备及计算机存储介质 | |
| WO2018119852A1 (en) | Method for mutual authentication between device and secure element | |
| CN115776675A (zh) | 一种用于车路协同的数据传输方法及装置 | |
| CN114285557A (zh) | 通信加密方法、系统和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |