CN117155564A - 一种双向加密认证系统及方法 - Google Patents
一种双向加密认证系统及方法 Download PDFInfo
- Publication number
- CN117155564A CN117155564A CN202311126270.2A CN202311126270A CN117155564A CN 117155564 A CN117155564 A CN 117155564A CN 202311126270 A CN202311126270 A CN 202311126270A CN 117155564 A CN117155564 A CN 117155564A
- Authority
- CN
- China
- Prior art keywords
- key
- trusted
- security authentication
- request
- authentication gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 50
- 230000002457 bidirectional effect Effects 0.000 title claims description 21
- 238000012795 verification Methods 0.000 claims abstract description 101
- 238000004891 communication Methods 0.000 claims abstract description 65
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 30
- 230000004044 response Effects 0.000 claims abstract description 28
- 238000004364 calculation method Methods 0.000 claims abstract description 22
- 230000005540 biological transmission Effects 0.000 claims abstract description 20
- 230000003993 interaction Effects 0.000 claims abstract description 13
- 230000000903 blocking effect Effects 0.000 claims abstract description 7
- 238000009795 derivation Methods 0.000 claims description 2
- 230000002708 enhancing effect Effects 0.000 claims description 2
- 230000006870 function Effects 0.000 description 15
- 230000008569 process Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 8
- 238000004590 computer program Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 6
- 230000006378 damage Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 230000004075 alteration Effects 0.000 description 2
- 230000006835 compression Effects 0.000 description 2
- 238000007906 compression Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 238000012804 iterative process Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Optimization (AREA)
- Mathematical Analysis (AREA)
- General Physics & Mathematics (AREA)
- Algebra (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种双向加密认证系统及方法,涉及加密技术领域,在安全认证网关和入网认证客户端,分别生成SM2算法所需的公私钥对,入网认证客户端向安全认证网关发送请求,等待安全认证网关对请求的响应,请求响应交互完成后,关闭网络连接,安全认证网关收到连接请求后,使用公钥对其身份进行验证,入网认证客户端通过数字证书验证安全认证网关的身份,通信双方经过身份验证后,实现密钥协商和交换,在建立安全连接后,进行数据传输,通过销毁会话密钥安全结束通信,进行可信验证节点的注册,识别双方身份,使用可信根进行可信验证,利用可信计算策略模式,支持主动阻断验证失败的程序并告警,创建一个安全可靠和可信赖的计算环境。
Description
技术领域
本发明涉及加密技术领域,更具体地说,本发明涉及一种双向加密认证系统及方法。
背景技术
目前常用工业控制通讯协议基本都采用明文传输,如标准协议Modbus Tcp、IEC60870-5-104、Ethernet/IP(CIP)等尤其Modbus协议,在工业控制系统中得到广泛的应用。大多数工控协议在设计之初,仅考虑协议的功能,效率和可靠性等没有考虑安全性问题,即使在控制系统专用网络内部,很容易在网络节点上实施监听、攻击甚至篡改。工业通讯协议很难满足现代信息系统安全的要求,尤其给承担关键信息基础设施的工业控制系统带来了极大安全隐患。
使用SM2算法在安全认证网关和入网认证客户端之间,用于数据加密传输以及身份认证。基于一种双向加密认证系统及方法,在保持现有工业通讯协议兼容性基础上,实现通讯加密和双向认证,在网络传输层确保工业控制系统通讯的机密性和完整性。
发明内容
本发明针对现有技术中存在的技术问题,提供一种双向加密认证系统及方法,通过在安全认证网关与入网认证客户端之间进行身份验证,以解决上述背景技术中提出的问题。
本发明解决上述技术问题的技术方案如下:一种双向加密认证方法,具体包括以下步骤:
101、将生成的公钥和私钥导出,分别在安全认证网关和入网认证客户端保存和使用;
102、入网认证客户端与安全认证网关的网络进行连接,向安全认证网关发送请求;
103、安全认证网关与入网认证客户端建立连接请求后,对入网认证客户端、安全认证网关身份进行验证;
104、通信双方经过身份验证后,使用密钥交换算法实现密钥协商和交换;
105、通信双方利用协商和交换得到的密钥建立安全连接,确保通信的机密性和完整性;
106、在建立安全连接后,通信双方通过计算消息摘要,进行数据传输;
107、通过可信验证节点的注册,识别双方身份,使用可信根对重要配置参数进行可信验证;
108、利用可信计算策略的策略模式,创建一个安全可靠的计算环境。
在一个优选地实施方式中,所述步骤101中,对于安全认证网关和入网认证客户端,分别生成SM2算法所需的公私钥对,公钥用于加密数据,私钥用于解密数据和签名验证,使用SM2曲线定义曲线参数包括椭圆曲线方程、基点坐标和曲线上的模数,具体包括以下内容:
S1、定义椭圆曲线参数:椭圆曲线方程为:y2=x3+ax+b;
椭圆曲线模数p为素数,定义基点坐标G(x,y),选择私钥d,一个长度为n的二进制串,其中n是椭圆曲线的位数;
S2、计算公钥:使用椭圆曲线上点乘法运算,将私钥与基点相乘得到公钥,公钥是椭圆曲线上的一个点,表示为(x,y)的坐标形式,具体计算公钥的步骤如下:
步骤1、将基点G加到自身上,G+G=2×G;
步骤2、将结果再加上基点G,2×G+G=3×G;
步骤3、依此类推,将前面得到的结果加上基点G,直到计算到(d-1)×G;
步骤4、将(d-1)×G与G相加,得到公钥Q=d×G;
S3、导出公私钥对:将生成的公钥和私钥导出,分别在安全认证网关和入网认证客户端保存和使用。
在一个优选地实施方式中,所述步骤102中,入网认证客户端使用Socket方式与安全认证网关的网络进行连接,向安全认证网关发送请求,根据请求的需求,构造请求数据,将序列化后的请求数据发送给安全认证网关,入网认证客户端设置超时时间等待安全认证网关对请求的响应,请求响应交互完成后,入网认证客户端关闭与安全认证网关的网络连接,具体包括以下内容:
S1、建立网络连接:入网认证客户端使用Socket方式与安全认证网关的网络进行连接,具体包括以下步骤:
步骤1、入网认证客户端获取安全认证网关的IP地址和端口号;
步骤2、在入网认证客户端代码中,使用Socket API创建一个套接字并指定协议类型;
步骤3、调用connect()函数,将安全认证网关的IP地址和端口作为参数传入,与安全认证网关建立连接;
步骤4、连接成功后,使用套接字的send()方法发送数据给安全认证网关,使用recv()方法接收安全认证网关返回的数据;
步骤5、使用close()方法关闭套接字;
S2、组织请求数据:入网认证客户端根据请求的需求,构造请求数据,将请求数据序列化为二进制流格式,方便在网络中传输;
S3、发送请求:将序列化后的请求数据发送给安全认证网关,使用底层的网络通信库提供的发送函数发送数据;
S4、等待响应:入网认证客户端设置超时时间等待安全认证网关对请求的响应,为整个入网认证客户端会话设置一个全局的超时时间,在入网认证客户端代码的初始化阶段设置一个默认的超时时间,避免长时间等待;
S5、接收和解析响应:入网认证客户端接收到安全认证网关发送的响应数据,对其进行解析,获取所需的信息;
S6、关闭连接:请求响应交互完成后,入网认证客户端关闭与安全认证网关的网络连接。
在一个优选地实施方式中,所述步骤103中,安全认证网关收到入网认证客户端的连接请求后,使用入网认证客户端提供的公钥对其身份进行验证,通过数字证书验证安全认证网关的身份,验证的具体过程如下:
S1、入网认证客户端身份验证:
步骤1、安全认证网关从入网认证客户端接收到的数据中提取出入网认证客户端的公钥;
步骤2、安全认证网关使用预先存储的入网认证客户端公钥进行签名验证;
S2、安全认证网关身份验证:
步骤1、入网认证客户端使用数字证书验证安全认证网关的身份;
步骤2、入网认证客户端检查证书中的签名、有效期等信息来确保安全认证网关的真实性和合法性;
验证成功后,入网认证客户端的公钥有效且与预期的公钥匹配,安全认证网关的公钥有效且与预期的公钥匹配,安全认证网关与入网认证客户端互相确认身份,将数字证书发送给入网认证客户端,数字证书包含安全认证网关的公钥和相关信息,由可信任的第三方机构颁发。
在一个优选地实施方式中,所述步骤104中,通信双方经过身份验证后,使用密钥交换算法实现密钥协商和交换,确认相同后的共享密钥用于后续的加密和解密操作,具体包括以下内容:
S1、参数选择:选择一个素数p和一个原根g作为公开参数,g是模p的原根;
S2、密钥生成:入网认证客户端和安全认证网关各自生成一个介于1和p-1之间的随机整数s,称为私钥;
S3、入网认证客户端和安全认证网关利用公开参数和私钥来计算公钥,公钥具体计算公式为:
X=gs modp
其中,X表示公钥,s表示私钥,p为素数。
S4、密钥交换:入网认证客户端将其公钥发送给安全认证网关,安全认证网关将其公钥发送给入网认证客户端;
S5、密钥协商:入网认证客户端使用生成的私钥和收到的安全认证网关公钥计算协商出的共享密钥,计算公式为:
W=Armodp
其中,W表示共享密钥,A表示安全认证网关公钥,r表示入网认证客户端私钥,p为素数;
安全认证网关使用自己的私钥和收到的入网认证客户端公钥计算协商出的共享密钥,计算公式为:
Y=Ra modp
其中,Y表示共享密钥,R表示入网认证客户端公钥,a表示安全认证网关私钥,p为素数;
S6、密钥确认:将入网认证客户端和安全认证网关计算出的共享密钥,进行比较是否W=Y,确认相同后用于后续的加密和解密操作。
在一个优选地实施方式中,所述步骤105中,通信双方利用协商和交换得到的密钥建立安全连接,双方使用对称密钥进行数据加密和解密,确保通信的机密性和完整性,具体包括以下步骤:
步骤1、非对称加密:使用RSA算法利用两个大素数的乘积作为公开的密钥,解密过程中需要使用私钥进行计算,选择两个不同的大素数p和q,具体计算公式如下:
φ(n)=(p-1)×(q-1)
n=p×q
其中,n作为公钥部分的一部分,φ(n)表示小于n且与n互质的正整数的个数。
选择一个整数e,作为公钥的指数部分,计算d,具体计算公式如下:
(d×e)modφ(n)=1
其中,d作为私钥的指数部分,1<e<φ(n),e与φ(n)互质。
步骤2、加密过程:使用ASCII码,将明文消息转换为数字形式,利用公钥(n,e)对明文进行加密,具体计算公式如下:
c=memod n
其中,m表示明文消息。
步骤3、解密过程:利用私钥(n,d)对密文进行解密,计算明文消息,将解密得到的数字形式转换为原始的明文消息,具体计算公式如下:
m=cd mod n
其中,c表示密文消息。
在一个优选地实施方式中,所述步骤106中,在建立安全连接后,通信双方通过SM2算法计算消息摘要,开始进行数据传输,安全通信结束后,通过销毁会话密钥确保通信双方在关闭连接后无法再使用该密钥进行解密,加强了数据的保密性和安全性,具体包括以下内容:
S1、准备要计算摘要的消息:将要计算摘要的消息使用UTF-8进行编码;
S2、填充消息:根据SM2算法的填充规则,对消息进行填充满足算法要求,填充规则具体如下:
步骤1、在消息末尾添加比特位“1”;
步骤2、填充零比特位;
步骤3、添加原始消息长度;
S3、划分消息:将填充后的消息划分为512比特的分组;
S4、初始化变量:设置一个160位的常数,为SM2算法所需的固定初始值;
S5、迭代压缩:对每个消息分组进行迭代压缩,通过轮函数和置换来处理每个分组,具体步骤如下:
步骤1、将初始值复制到一个临时变量中;
步骤2、对每个分组进行64轮迭代,通过应用轮函数和置换来更新临时变量的值;
步骤3、在迭代过程中,使用上一个分组的结果和当前分组进行运算;
S6、输出摘要:迭代完所有消息分组后,将最后一个迭代结果作为最终的消息摘要进行输出;
S7、销毁会话密钥:双方共同协商确定销毁会话密钥的时间点,同时将其从内存中删除,执行密钥的销毁;
S8、关闭连接:在完成会话密钥的销毁后,双方正式关闭连接,具体步骤如下:
步骤1、入网认证客户端和安全认证网关发送TCP连接中的FIN包,请求关闭连接;
步骤2、在双方都收到关闭请求后,确认连接已关闭,释放相关资源。
在一个优选地实施方式中,所述步骤107中,通过可信验证节点的注册,识别双方身份,使用可信根用于对计算节点的引导程序、系统程序、应用程序以及重要配置参数进行可信验证,具体包括以下内容:
S1、通过注册和身份验证,可信验证节点能够识别双方的身份,具体包括以下步骤:
步骤1、注册过程:双方将自己的身份信息和相关证书提交给可信验证节点进行注册,可信验证节点验证并记录双方的身份信息,并为其分配唯一的标识符;
步骤2、身份验证:使用数字证书和证书颁发机构来验证可信验证节点的证书的有效性,双方进行身份验证,客户端和服务端通过使用各自的私钥对数据进行签名,并使用对方的公钥进行验证,实现身份的互相认证;
步骤3、身份识别:在身份验证成功后,可信验证节点根据注册信息和标识符来识别通信双方的身份;
步骤4、会话管理:可信验证节点维护会话状态和相关的安全参数,包括生成临时的对称会话密钥用于加密和解密通信数据,确保通信的安全性;
S2、使用可信根用于对计算节点的引导程序、系统程序、应用程序以及重要配置参数进行可信验证,具体步骤如下:
步骤1、定义可信根:确定一个被广泛认可和信任的实体可信计算基作为可信根;
步骤2、引导程序验证:通过使用可信根中的公钥来验证计算节点的引导程序的完整性和真实性,使用哈希值机制进行验证,选择MD5哈希函数进行计算,具体计算公式如下:
H(n)=MD5(M)
其中,H(n)表示哈希值,M表示输入的数据;
步骤3、系统程序和应用程序验证:使用可信根中的公钥对操作系统和关键系统组件进行验证,确保没有被篡改,对应用程序进行签名验证,确保其来源可信并保持完整性;
步骤4、配置参数验证:使用可信根中的公钥对重要配置参数进行验证,确保配置参数没有被未授权的篡改;
步骤5、可信链建立:将可信根的信任链逐级向下传递,确保每一层都有合法且受信任的实体进行验证;
步骤6、周期性验证:定期对计算节点进行可信验证,确保其在运行时的状态仍然是可信的。
在一个优选地实施方式中,所述步骤108中,利用可信计算策略的一种策略模式,支持主动阻断验证失败的程序并告警,创建一个安全可靠和可信赖的计算环境,具体内容如下:
S1、定义策略接口:创建一个策略接口,包括验证和告警的抽象方法;
S2、实现验证策略类:根据验证要求,实现具体的验证策略类,每个策略类负责执行一种特定的验证操作,实现验证策略类步骤如下:
步骤1、在验证策略类中实现接口定义验证方法;
步骤2、根据具体的需求,添加属性、构造函数;
S3、实现告警策略类:在验证失败情况下触发告警操作,发送警报通知给管理员;
S4、创建策略上下文类:创建一个策略上下文类,管理和组织验证策略和告警策略,包含验证策略和告警策略的引用,并提供统一的接口供调用者使用;
S5、客户端应用程序调用策略:客户端应用程序通过策略上下文类调用具体的验证策略,策略上下文类执行相应的验证操作,并根据验证结果选择是否触发告警操作;
S6、验证失败处理:在验证失败的情况下,策略上下文类会根据配置的告警策略触发告警操作,通过发送警报通知给管理员,执行反制措施,保护系统和数据免受恶意攻击。
本发明的有益效果是:在安全认证网关和入网认证客户端,分别生成SM2算法所需的公私钥对,入网认证客户端向安全认证网关发送请求,等待安全认证网关对请求的响应,请求响应交互完成后,关闭网络连接,安全认证网关收到连接请求后,使用公钥对其身份进行验证,入网认证客户端通过数字证书验证安全认证网关的身份,通信双方经过身份验证后,实现密钥协商和交换,在建立安全连接后,进行数据传输,通过销毁会话密钥安全结束通信,进行可信验证节点的注册,识别双方身份,使用可信根进行可信验证,利用可信计算策略模式,支持主动阻断验证失败的程序并告警,创建一个安全可靠和可信赖的计算环境。
附图说明
图1为本发明的系统流程图;
图2为本发明的结构框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在本申请的描述中,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个所述特征。在本申请的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
在本申请的描述中,术语“例如”一词用来表示“用作例子、例证或说明”。本申请中被描述为“例如”的任何实施例不一定被解释为比其它实施例更优选或更具优势。为了使本领域任何技术人员能够实现和使用本发明,给出了以下描述。在以下描述中,为了解释的目的而列出了细节。应当明白的是,本领域普通技术人员可以认识到,在不使用这些特定细节的情况下也可以实现本发明。在其它实例中,不会对公知的结构和过程进行详细阐述,以避免不必要的细节使本发明的描述变得晦涩。因此,本发明并非旨在限于所示的实施例,而是与符合本申请所公开的原理和特征的最广范围相一致。
实施例1
本实施例提供了如图1所示一种双向加密认证方法,具体包括以下步骤:
101、将生成的公钥和私钥导出,分别在安全认证网关和入网认证客户端保存和使用;
102、入网认证客户端与安全认证网关的网络进行连接,向安全认证网关发送请求;
103、安全认证网关与入网认证客户端建立连接请求后,对入网认证客户端、安全认证网关身份进行验证;
104、通信双方经过身份验证后,使用密钥交换算法实现密钥协商和交换;
105、通信双方利用协商和交换得到的密钥建立安全连接,确保通信的机密性和完整性;
106、在建立安全连接后,通信双方通过计算消息摘要,进行数据传输;
107、通过可信验证节点的注册,识别双方身份,使用可信根对重要配置参数进行可信验证;
108、利用可信计算策略的策略模式,创建一个安全可靠的计算环境。
实施例2
本实施例提供了如图2所示一种双向加密认证系统,具体包括公私钥对导出模块、请求响应交互模块、身份验证模块、密钥协商和交换模块、安全连接建立模块、数据传输模块、可信验证管理模块,以及可信计算策略模块;
公私钥对导出:对于安全认证网关和入网认证客户端,分别生成SM2算法所需的公私钥对,公钥用于加密数据,私钥用于解密数据和签名验证,使用SM2曲线定义曲线参数包括椭圆曲线方程、基点坐标和曲线上的模数;
请求响应交互:入网认证客户端使用Socket方式与安全认证网关的网络进行连接,向安全认证网关发送请求,根据请求的需求,构造请求数据,将序列化后的请求数据发送给安全认证网关,入网认证客户端等待安全认证网关对请求的响应,请求响应交互完成后,入网认证客户端关闭与安全认证网关的网络连接;
身份验证:安全认证网关收到入网认证客户端的连接请求后,使用入网认证客户端提供的公钥对其身份进行验证,通过数字证书验证安全认证网关的身份;
密钥协商和交换:通信双方经过身份验证后,使用密钥交换算法实现密钥协商和交换,确认相同后的共享密钥用于后续的加密和解密操作;
安全连接建立:通信双方利用协商和交换得到的密钥建立安全连接,双方使用对称密钥进行数据加密和解密,确保通信的机密性和完整性;
数据传输:在建立安全连接后,通信双方开始进行数据传输,使用SM2算法计算消息摘要,通过销毁会话密钥确保通信双方在关闭连接后无法再使用该密钥进行解密,结束安全通信,加强了数据的保密性和安全性;
可信验证管理:通过可信验证节点的注册,识别双方身份,使用可信根用于对计算节点的引导程序、系统程序、应用程序以及重要配置参数进行可信验证;
可信计算策略:利用可信计算策略的一种策略模式,支持主动阻断验证失败的程序并告警,创建一个安全可靠和可信赖的计算环境。
101、将生成的公钥和私钥导出,分别在安全认证网关和入网认证客户端保存和使用;
进一步的,对于安全认证网关和入网认证客户端,分别生成SM2算法所需的公私钥对,公钥用于加密数据,私钥用于解密数据和签名验证,使用SM2曲线定义曲线参数包括椭圆曲线方程、基点坐标和曲线上的模数,具体包括以下内容:
S1、定义椭圆曲线参数:椭圆曲线方程为:y2=x3+ax+b;
椭圆曲线模数p为素数,定义基点坐标G(x,y),选择私钥d,一个长度为n的二进制串,其中n是椭圆曲线的位数;
S2、计算公钥:使用椭圆曲线上点乘法运算,将私钥与基点相乘得到公钥,公钥是椭圆曲线上的一个点,表示为(x,y)的坐标形式,具体计算公钥的步骤如下:
步骤1、将基点G加到自身上,G+G=2×G;
步骤2、将结果再加上基点G,2×G+G=3×G;
步骤3、依此类推,将前面得到的结果加上基点G,直到计算到(d-1)×G;
步骤4、将(d-1)×G与G相加,得到公钥Q=d×G;
S3、导出公私钥对:将生成的公钥和私钥导出,分别在安全认证网关和入网认证客户端保存和使用。
102、入网认证客户端与安全认证网关的网络进行连接,向安全认证网关发送请求;
进一步的,入网认证客户端使用Socket方式与安全认证网关的网络进行连接,向安全认证网关发送请求,根据请求的需求,构造请求数据,将序列化后的请求数据发送给安全认证网关,入网认证客户端设置超时时间等待安全认证网关对请求的响应,请求响应交互完成后,入网认证客户端关闭与安全认证网关的网络连接,具体包括以下内容:
S1、建立网络连接:入网认证客户端使用Socket方式与安全认证网关的网络进行连接,具体包括以下步骤:
步骤1、入网认证客户端获取安全认证网关的IP地址和端口号;
步骤2、在入网认证客户端代码中,使用Socket API创建一个套接字并指定协议类型;
步骤3、调用connect()函数,将安全认证网关的IP地址和端口作为参数传入,与安全认证网关建立连接;
步骤4、连接成功后,使用套接字的send()方法发送数据给安全认证网关,使用recv()方法接收安全认证网关返回的数据;
步骤5、使用close()方法关闭套接字;
S2、组织请求数据:入网认证客户端根据请求的需求,构造请求数据,将请求数据序列化为二进制流格式,方便在网络中传输;
S3、发送请求:将序列化后的请求数据发送给安全认证网关,使用底层的网络通信库提供的发送函数发送数据;
S4、等待响应:入网认证客户端设置超时时间等待安全认证网关对请求的响应,为整个入网认证客户端会话设置一个全局的超时时间,在入网认证客户端代码的初始化阶段设置一个默认的超时时间,避免长时间等待;
S5、接收和解析响应:入网认证客户端接收到安全认证网关发送的响应数据,对其进行解析,获取所需的信息;
S6、关闭连接:请求响应交互完成后,入网认证客户端关闭与安全认证网关的网络连接。
103、安全认证网关与入网认证客户端建立连接请求后,对入网认证客户端、安全认证网关身份进行验证;
进一步的,安全认证网关收到入网认证客户端的连接请求后,使用入网认证客户端提供的公钥对其身份进行验证,通过数字证书验证安全认证网关的身份,验证的具体过程如下:
S1、入网认证客户端身份验证:
步骤1、安全认证网关从入网认证客户端接收到的数据中提取出入网认证客户端的公钥;
步骤2、安全认证网关使用预先存储的入网认证客户端公钥进行签名验证;
S2、安全认证网关身份验证:
步骤1、入网认证客户端使用数字证书验证安全认证网关的身份;
步骤2、入网认证客户端检查证书中的签名、有效期等信息来确保安全认证网关的真实性和合法性;
验证成功后,入网认证客户端的公钥有效且与预期的公钥匹配,安全认证网关的公钥有效且与预期的公钥匹配,安全认证网关与入网认证客户端互相确认身份,将数字证书发送给入网认证客户端,数字证书包含安全认证网关的公钥和相关信息,由可信任的第三方机构颁发。
104、通信双方经过身份验证后,使用密钥交换算法实现密钥协商和交换;
进一步的,通信双方经过身份验证后,使用密钥交换算法实现密钥协商和交换,确认相同后的共享密钥用于后续的加密和解密操作,具体包括以下内容:
S1、参数选择:选择一个素数p和一个原根g作为公开参数,g是模p的原根;
S2、密钥生成:入网认证客户端和安全认证网关各自生成一个介于1和p-1之间的随机整数s,称为私钥;
S3、入网认证客户端和安全认证网关利用公开参数和私钥来计算公钥,公钥具体计算公式为:
X=gs modp
其中,X表示公钥,s表示私钥,p为素数。
S4、密钥交换:入网认证客户端将其公钥发送给安全认证网关,安全认证网关将其公钥发送给入网认证客户端;
S5、密钥协商:入网认证客户端使用生成的私钥和收到的安全认证网关公钥计算协商出的共享密钥,计算公式为:
W=Armodp
其中,W表示共享密钥,A表示安全认证网关公钥,r表示入网认证客户端私钥,p为素数;
安全认证网关使用自己的私钥和收到的入网认证客户端公钥计算协商出的共享密钥,计算公式为:
Y=Ra modp
其中,Y表示共享密钥,R表示入网认证客户端公钥,a表示安全认证网关私钥,p为素数;
S6、密钥确认:将入网认证客户端和安全认证网关计算出的共享密钥,进行比较是否W=Y,确认相同后用于后续的加密和解密操作。
105、通信双方利用协商和交换得到的密钥建立安全连接,确保通信的机密性和完整性;
进一步的,通信双方利用协商和交换得到的密钥建立安全连接,双方使用对称密钥进行数据加密和解密,确保通信的机密性和完整性,具体包括以下步骤:
步骤1、非对称加密:使用RSA算法利用两个大素数的乘积作为公开的密钥,解密过程中需要使用私钥进行计算,选择两个不同的大素数p和q,具体计算公式如下:
φ(n)=(p-1)×(q-1)
n=p×q
其中,n作为公钥部分的一部分,φ(n)表示小于n且与n互质的正整数的个数,p和q为两个不同的大素数。
选择一个整数e,作为公钥的指数部分,计算d,具体计算公式如下:
(d×e)modφ(n)=1
其中,d作为私钥的指数部分,1<e<φ(n),e与φ(n)互质。
步骤2、加密过程:使用ASCII码,将明文消息转换为数字形式,利用公钥(n,e)对明文进行加密,具体计算公式如下:
c=memod n
其中,m表示明文消息。
步骤3、解密过程:利用私钥(n,d)对密文进行解密,计算明文消息,将解密得到的数字形式转换为原始的明文消息,具体计算公式如下:
m=cd mod n
其中,c表示密文消息。
106、在建立安全连接后,通信双方通过计算消息摘要,进行数据传输;
进一步的,在建立安全连接后,通信双方通过SM2算法计算消息摘要,开始进行数据传输,安全通信结束后,通过销毁会话密钥确保通信双方在关闭连接后无法再使用该密钥进行解密,加强了数据的保密性和安全性,具体包括以下内容:
S1、准备要计算摘要的消息:将要计算摘要的消息使用UTF-8进行编码;
S2、填充消息:根据SM2算法的填充规则,对消息进行填充满足算法要求,填充规则具体如下:
步骤1、在消息末尾添加比特位“1”;
步骤2、填充零比特位;
步骤3、添加原始消息长度;
S3、划分消息:将填充后的消息划分为512比特的分组;
S4、初始化变量:设置一个160位的常数,为SM2算法所需的固定初始值;
S5、迭代压缩:对每个消息分组进行迭代压缩,通过轮函数和置换来处理每个分组,具体步骤如下:
步骤1、将初始值复制到一个临时变量中;
步骤2、对每个分组进行64轮迭代,通过应用轮函数和置换来更新临时变量的值;
步骤3、在迭代过程中,使用上一个分组的结果和当前分组进行运算;
S6、输出摘要:迭代完所有消息分组后,将最后一个迭代结果作为最终的消息摘要进行输出;
S7、销毁会话密钥:双方共同协商确定销毁会话密钥的时间点,同时将其从内存中删除,执行密钥的销毁;
S8、关闭连接:在完成会话密钥的销毁后,双方正式关闭连接,具体步骤如下:
步骤1、入网认证客户端和安全认证网关发送TCP连接中的FIN包,请求关闭连接;
步骤2、在双方都收到关闭请求后,确认连接已关闭,释放相关资源。
107、通过可信验证节点的注册,识别双方身份,使用可信根对重要配置参数进行可信验证;
进一步的,通过可信验证节点的注册,识别双方身份,使用可信根用于对计算节点的引导程序、系统程序、应用程序以及重要配置参数进行可信验证,具体包括以下内容:
S1、通过注册和身份验证,可信验证节点能够识别双方的身份,具体包括以下步骤:
步骤1、注册过程:双方将自己的身份信息和相关证书提交给可信验证节点进行注册,可信验证节点验证并记录双方的身份信息,并为其分配唯一的标识符;
步骤2、身份验证:使用数字证书和证书颁发机构来验证可信验证节点的证书的有效性,双方进行身份验证,客户端和服务端通过使用各自的私钥对数据进行签名,并使用对方的公钥进行验证,实现身份的互相认证;
步骤3、身份识别:在身份验证成功后,可信验证节点根据注册信息和标识符来识别通信双方的身份;
步骤4、会话管理:可信验证节点维护会话状态和相关的安全参数,包括生成临时的对称会话密钥用于加密和解密通信数据,确保通信的安全性;
S2、使用可信根用于对计算节点的引导程序、系统程序、应用程序以及重要配置参数进行可信验证,具体步骤如下:
步骤1、定义可信根:确定一个被广泛认可和信任的实体可信计算基作为可信根;
步骤2、引导程序验证:通过使用可信根中的公钥来验证计算节点的引导程序的完整性和真实性,使用哈希值机制进行验证,选择MD5哈希函数进行计算,具体计算公式如下:
H(n)=MD5(M)
其中,H(n)表示哈希值,M表示输入的数据;
步骤3、系统程序和应用程序验证:使用可信根中的公钥对操作系统和关键系统组件进行验证,确保没有被篡改,对应用程序进行签名验证,确保其来源可信并保持完整性;
步骤4、配置参数验证:使用可信根中的公钥对重要配置参数进行验证,确保配置参数没有被未授权的篡改;
步骤5、可信链建立:将可信根的信任链逐级向下传递,确保每一层都有合法且受信任的实体进行验证;
步骤6、周期性验证:定期对计算节点进行可信验证,确保其在运行时的状态仍然是可信的。
108、利用可信计算策略的策略模式,创建一个安全可靠的计算环境;
进一步的,利用可信计算策略的一种策略模式,支持主动阻断验证失败的程序并告警,创建一个安全可靠和可信赖的计算环境,具体内容如下:
S1、定义策略接口:创建一个策略接口,包括验证和告警的抽象方法;
S2、实现验证策略类:根据验证要求,实现具体的验证策略类,每个策略类负责执行一种特定的验证操作,实现验证策略类步骤如下:
步骤1、在验证策略类中实现接口定义验证方法;
步骤2、根据具体的需求,添加属性、构造函数;
S3、实现告警策略类:在验证失败情况下触发告警操作,发送警报通知给管理员;
S4、创建策略上下文类:创建一个策略上下文类,管理和组织验证策略和告警策略,包含验证策略和告警策略的引用,并提供统一的接口供调用者使用;
S5、客户端应用程序调用策略:客户端应用程序通过策略上下文类调用具体的验证策略,策略上下文类执行相应的验证操作,并根据验证结果选择是否触发告警操作;
S6、验证失败处理:在验证失败的情况下,策略上下文类会根据配置的告警策略触发告警操作,通过发送警报通知给管理员,执行反制措施,保护系统和数据免受恶意攻击。
需要说明的是,在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详细描述的部分,可以参见其它实施例的相关描述。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式计算机或者其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包括这些改动和变型在内。
Claims (10)
1.一种双向加密认证方法,其特征在于,具体包括以下步骤:
101、将生成的公钥和私钥导出,分别在安全认证网关和入网认证客户端保存和使用;
102、入网认证客户端与安全认证网关的网络进行连接,向安全认证网关发送请求;
103、安全认证网关与入网认证客户端建立连接请求后,对入网认证客户端、安全认证网关身份进行验证;
104、通信双方经过身份验证后,使用密钥交换算法实现密钥协商和交换;
105、通信双方利用协商和交换得到的密钥建立安全连接,确保通信的机密性和完整性;
106、在建立安全连接后,通信双方通过计算消息摘要,进行数据传输;
107、通过可信验证节点的注册,识别双方身份,使用可信根对重要配置参数进行可信验证;
108、利用可信计算策略的策略模式,创建一个安全可靠的计算环境。
2.根据权利要求1所述的一种双向加密认证方法,其特征在于:所述步骤101中,对于安全认证网关和入网认证客户端,分别生成SM2算法所需的公私钥对,公钥用于加密数据,私钥用于解密数据和签名验证,使用SM2曲线定义曲线参数包括椭圆曲线方程、基点坐标和曲线上的模数。
3.根据权利要求1所述的一种双向加密认证方法,其特征在于,所述步骤102中,入网认证客户端使用Socket方式与安全认证网关的网络进行连接,向安全认证网关发送请求,根据请求的需求,构造请求数据,将序列化后的请求数据发送给安全认证网关,入网认证客户端等待安全认证网关对请求的响应,请求响应交互完成后,入网认证客户端关闭与安全认证网关的网络连接。
4.根据权利要求1所述的一种双向加密认证方法,其特征在于,所述步骤103中,安全认证网关收到入网认证客户端的连接请求后,使用入网认证客户端提供的公钥对其身份进行验证,通过数字证书验证安全认证网关的身份。
5.根据权利要求1所述的一种双向加密认证方法,其特征在于,所述步骤104中,通信双方经过身份验证后,使用密钥交换算法实现密钥协商和交换,确认相同后的共享密钥用于后续的加密和解密操作,具体计算公式为:
X=gsmodp
其中,X表示公钥,s表示私钥,p为素数。
6.根据权利要求1所述的一种双向加密认证方法,其特征在于,所述步骤105中,通信双方利用协商和交换得到的密钥建立安全连接,双方使用对称密钥进行数据加密和解密,确保通信的机密性和完整性,具体计算公式如下:
φ(n)=(p-1)×(q-1)
n=p×q
其中,n作为公钥部分的一部分,φ(n)表示小于n且与n互质的正整数的个数,p和q为两个不同的大素数。
7.根据权利要求1所述的一种双向加密认证方法,其特征在于,所述步骤106中,在建立安全连接后,通信双方通过SM2算法计算消息摘要,开始进行数据传输,安全通信结束后,通过销毁会话密钥确保通信双方在关闭连接后无法再使用该密钥进行解密,加强了数据的保密性和安全性。
8.根据权利要求1所述的一种双向加密认证方法,其特征在于,所述步骤107中,通过可信验证节点的注册,识别双方身份,使用可信根用于对计算节点的引导程序、系统程序、应用程序以及重要配置参数进行可信验证,具体计算公式如下:
H(n)=MD5(M)
其中,H(n)表示哈希值,M表示输入的数据。
9.根据权利要求1所述的一种双向加密认证方法,其特征在于,所述步骤108中,利用可信计算策略的一种策略模式,支持主动阻断验证失败的程序并告警,创建一个安全可靠和可信赖的计算环境。
10.一种双向加密认证系统应用于如权利要求1-9所述的一种双向加密认证方法,其特征在于:具体包括公私钥对导出模块、请求响应交互模块、身份验证模块、密钥协商和交换模块、安全连接建立模块、数据传输模块、可信验证管理模块,以及可信计算策略模块;
公私钥对导出:对于安全认证网关和入网认证客户端,分别生成SM2算法所需的公私钥对,公钥用于加密数据,私钥用于解密数据和签名验证,使用SM2曲线定义曲线参数包括椭圆曲线方程、基点坐标和曲线上的模数;
请求响应交互:入网认证客户端使用Socket方式与安全认证网关的网络进行连接,向安全认证网关发送请求,根据请求的需求,构造请求数据,将序列化后的请求数据发送给安全认证网关,入网认证客户端等待安全认证网关对请求的响应,请求响应交互完成后,入网认证客户端关闭与安全认证网关的网络连接;
身份验证:安全认证网关收到入网认证客户端的连接请求后,使用入网认证客户端提供的公钥对其身份进行验证,通过数字证书验证安全认证网关的身份;
密钥协商和交换:通信双方经过身份验证后,使用密钥交换算法实现密钥协商和交换,确认相同后的共享密钥用于后续的加密和解密操作;
安全连接建立:通信双方利用协商和交换得到的密钥建立安全连接,双方使用对称密钥进行数据加密和解密,确保通信的机密性和完整性;
数据传输:在建立安全连接后,通信双方开始进行数据传输,使用SM2算法计算消息摘要,通过销毁会话密钥确保通信双方在关闭连接后无法再使用该密钥进行解密,结束安全通信,加强了数据的保密性和安全性;
可信验证管理:通过可信验证节点的注册,识别双方身份,使用可信根用于对计算节点的引导程序、系统程序、应用程序以及重要配置参数进行可信验证;
可信计算策略:利用可信计算策略的一种策略模式,支持主动阻断验证失败的程序并告警,创建一个安全可靠和可信赖的计算环境。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311126270.2A CN117155564A (zh) | 2023-08-31 | 2023-08-31 | 一种双向加密认证系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311126270.2A CN117155564A (zh) | 2023-08-31 | 2023-08-31 | 一种双向加密认证系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117155564A true CN117155564A (zh) | 2023-12-01 |
Family
ID=88900326
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311126270.2A Pending CN117155564A (zh) | 2023-08-31 | 2023-08-31 | 一种双向加密认证系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117155564A (zh) |
-
2023
- 2023-08-31 CN CN202311126270.2A patent/CN117155564A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20210367753A1 (en) | Trusted measurement and control network authentication method based on double cryptographic values and chaotic encryption | |
| CN108886468B (zh) | 用于分发基于身份的密钥资料和证书的系统和方法 | |
| US9621545B2 (en) | System and method for connecting client devices to a network | |
| CN109495249B (zh) | 一种区块链系统的数据存储方法、节点和区块链系统 | |
| JP2017063432A (ja) | 証明書不要公開鍵基盤に基づく安全なクライアント・サーバ通信プロトコルを設計するシステムと方法 | |
| JP2008545353A (ja) | 未知の通信当事者間における信頼できる関係の確立 | |
| CN111756529B (zh) | 一种量子会话密钥分发方法及系统 | |
| CN112351037B (zh) | 用于安全通信的信息处理方法及装置 | |
| CN112637136A (zh) | 加密通信方法及系统 | |
| US20230188325A1 (en) | Computer-implemented system and method for highly secure, high speed encryption and transmission of data | |
| CN110535626B (zh) | 基于身份的量子通信服务站保密通信方法和系统 | |
| TWI807103B (zh) | 用於共享公共秘密之電腦實施系統及方法 | |
| TW201537937A (zh) | 統一身份認證平臺及認證方法 | |
| WO2023151479A1 (zh) | 数据处理方法及设备 | |
| CN112165386B (zh) | 一种基于ecdsa的数据加密方法及系统 | |
| JP2022540653A (ja) | データ保護及び回復システム及び方法 | |
| US20200235915A1 (en) | Computer-implemented system and method for highly secure, high speed encryption and transmission of data | |
| CN115208615A (zh) | 一种数控系统数据加密传输方法 | |
| CN111953489A (zh) | 基于sm2算法的发电单元采集业务的密钥交换设备及方法 | |
| CN114928503B (zh) | 一种安全通道的实现方法及数据传输方法 | |
| CN117155564A (zh) | 一种双向加密认证系统及方法 | |
| WO2023151427A1 (zh) | 量子密钥传输方法、装置及系统 | |
| CN110798431A (zh) | 一种安全参数交互方法、装置、设备及系统 | |
| TWI778828B (zh) | 基於區塊鏈的物聯網雙向認證方法 | |
| CN111615107B (zh) | 一种数据交互方法、终端及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |