CN118018205A - 一种多方实体鉴别方法及相关设备 - Google Patents
一种多方实体鉴别方法及相关设备 Download PDFInfo
- Publication number
- CN118018205A CN118018205A CN202211397579.0A CN202211397579A CN118018205A CN 118018205 A CN118018205 A CN 118018205A CN 202211397579 A CN202211397579 A CN 202211397579A CN 118018205 A CN118018205 A CN 118018205A
- Authority
- CN
- China
- Prior art keywords
- entity
- target
- value
- data
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 94
- 238000012795 verification Methods 0.000 claims abstract description 109
- 230000006870 function Effects 0.000 claims description 99
- 238000012545 processing Methods 0.000 claims description 86
- 230000009466 transformation Effects 0.000 claims description 81
- 238000004364 calculation method Methods 0.000 claims description 26
- 230000008569 process Effects 0.000 claims description 26
- 239000000872 buffer Substances 0.000 claims description 16
- 238000006243 chemical reaction Methods 0.000 claims description 9
- 230000006854 communication Effects 0.000 claims description 9
- 238000004891 communication Methods 0.000 claims description 8
- 238000000844 transformation Methods 0.000 claims description 6
- 230000000875 corresponding effect Effects 0.000 description 185
- 238000005516 engineering process Methods 0.000 description 19
- 230000003993 interaction Effects 0.000 description 16
- 238000010586 diagram Methods 0.000 description 5
- 230000001360 synchronised effect Effects 0.000 description 5
- 230000002596 correlated effect Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 239000012536 storage buffer Substances 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供一种多方实体鉴别方法及相关设备,第一实体利用目标时变参数生成策略生成目标时变参数,并根据目标时变参数和目标请求生成目标数据;其中,目标时变参数生成策略为第一实体和第三实体约定的时变参数生成策略;根据秘密值Kab和目标数据,生成密码校验值Sa;根据目标数据和密码校验值Sa,生成目标消息;将目标消息发送给第二实体,以便第二实体判断缓存模块中是否存在目标消息的摘要值对应的目标摘要值;若存在,从缓存模块中获取对目标摘要值对应鉴别结果;若不存在,将目标消息转发给第三实体,以使第三实体利用目标消息对第一实体进行实体鉴别并将得到的鉴别结果反馈给第二实体。
Description
技术领域
本发明涉及信息安全技术领域,更具体地说,涉及一种多方实体鉴别方法及相关设备。
背景技术
随着互联网技术和大数据技术的快速发展,用户之间通过互联网进行通信也越来越普及,为了保证通信双方在通信过程中的安全,可以在通信之前对通信双方的身份进行认证。
在相关技术中,可以将第三实体(可信第三方)针对每个第一实体(声称方)的消息及其鉴别结存储至缓存模块,第二实体(验证方)接收到第一实体发送的消息时,首先尝试根据第一实体的消息读取缓存模块中的缓存数据,查询是否存在相应的鉴别结果,若存在,第二实体便可直接知晓第一实体的鉴别结果;若不存在,第二实体将消息给第三实体,由第三实体对第一实体进行实体鉴别。
但是,缓存模块中存储的消息为真实数据,容易成为数据泄露风险点,一旦缓存模块遭到安全攻击,攻击者能够直接使用缓存模块中的预先存储的第一实体的消息来冒充第一实体来与第二实体进行通信,从而非法获取数据资源。
发明内容
有鉴于此,本发明提供一种多方鉴别方法及相关设备,以解决现有技术中缓存模块遭到安全攻击时,攻击者能够直接使用缓存模块中的预先存储的第一实体的消息来冒充第一实体来与第二实体进行通信,从而非法获取数据资源。
本发明第一方面公开一种多方实体鉴别方法,应用于第一实体,所述方法包括:
利用目标时变参数生成策略生成目标时变参数,并根据所述目标时变参数和目标请求生成目标数据;其中,所述目标时变参数生成策略为所述第一实体和第三实体约定的时变参数生成策略;
根据秘密值Kab和所述目标数据,生成密码校验值Sa;
根据所述目标数据和所述密码校验值Sa,生成目标消息;
将所述目标消息发送给第二实体,以便所述第二实体判断缓存模块中是否存在所述目标消息的摘要值对应的目标摘要值;若存在,从所述缓存模块中获取对所述目标摘要值对应鉴别结果;若不存在,将所述目标消息转发给第三实体,以使所述第三实体利用所述目标消息对所述第一实体进行实体鉴别并将得到的鉴别结果反馈给所述第二实体。
可选的,所述根据秘密值Kab和所述目标数据,生成密码校验值Sa,包括:
将秘密值Kab和所述目标数据执行目标密码变换算法Sign,得到密码校验值Sa;其中,所述目标密码变换算法Sign与所述第三实体约定的密码变换算法Verify为一对相关变换。
可选的,所述根据所述目标数据和所述密码校验值Sa,生成目标消息,包括:
将所述目标数据和所述密码校验值Sa进行拼接,生成目标消息。
本发明第二方面公开,应用于第二实体,所述方法包括:
接收到第一实体发送的目标消息时,对所述目标消息进行处理,得到所述目标消息的摘要值;
判断缓存模块中是否存在所述目标消息的摘要值对应的目标摘要值;其中,所述缓存模块中存储有多个摘要值,以及每个摘要值对应的鉴别结果;
若所述缓存模块中存在所述目标消息的摘要值对应的目标摘要值,从所述缓存模块中获取所述目标摘要值对应的鉴别结果,并根据所述鉴别结果进行相应的业务处理;其中,所述目标摘要值对应的鉴别结果为第一实体的鉴别结果;
若所述缓存模块中不存在所述目标消息的摘要值对应的目标摘要值,将所述目标消息转发给所述第三实体,以使所述第三实体利用所述目标消息对所述实体进行实体鉴别得到所述第一实体的鉴别结果;
接收所述第三实体反馈的所述第一实体鉴别结果,并根据所述第一实体的鉴别结果进行相应的业务处理。
可选的,所述接收到第一实体发送的目标消息时,对所述目标消息进行处理,得到所述目标消息的摘要值,包括:
接收到第一实体发送的目标消息时,利用目标单向散列函数对所述目标消息进行单向散列计算,得到所述目标消息的摘要值。
本发明第三方方面公开一种多方实体鉴别方法,应用于第三实体,所述方法包括:
接收到第二实体转发的目标消息时,利用秘密值Kba对目标消息中的目标数据进行处理,并将得到的所述第一实体的鉴别结果发送给第二实体,以使第二实体根据所述第一实体的鉴别结果进行相应的业务处理;其中,所述秘密值Kba与所述第一实体约定的秘密值Kab为一对秘密密钥,或者为对称密钥,或者为非对称密钥;
根据预测检验函数和目标时变参数生成策略预测第一实体在目标时间窗口期内的第1条数据,以得到目标预测数据;其中,所述目标时变参数生成策略为所述第一实体和第三实体约定的时变参数生成策略;
根据秘密值Kba和所述目标预测数据,生成密码校验值Sbi;
对根据所述目标预测数据和所述密码校验值Sbi生成的预测消息进行处理,得到所述目标预测数据对应的摘要值;
将所述目标预测数据更新为所述第一实体在目标时间窗口期内的下一条数据,返回执行根据秘密值Kba和所述目标预测数据生成密码校验值Sbi,直至得到n个摘要值;所述第一实体在目标时间窗口期内的下一条数据基于所述目标时变参数生成策略和所述预测检验函数预测得到;
将所述第一实体的鉴别结果分别和每个所述摘要值进行关联,并将关联后的所述第一实体的鉴别结果和摘要值发送给所述第二实体,以使所述第二实体将关联后的所述第一实体的鉴别结果和摘要值存储至缓存模块中。
可选的,所述接收到第二实体转发的目标消息时,利用秘密值Kba对目标消息中的目标数据进行处理,并将得到的所述第一实体的鉴别结果发送给第二实体,包括:
接收到第二实体转发的目标消息时,将秘密值Kba和所述目标消息执行密码变换算法Verify,得到所述第一实体的鉴别结果,并将所述第一实体的鉴别结果发送的第二实体;
其中,所述密码变换算法Verify与所述第一实体约定的密码变换算法Sign是一对相关变换算法。
可选的,所述对根据所述目标预测数据和所述密码校验值Sbi生成的预测消息进行处理,得到所述目标预测数据对应的目标摘要值,包括:
根据所述目标预测数据和所述密码校验值Sbi,生成的预测消息;
利用目标单向散列函数,对所述预测消息执行单向散列计算,得到所述目标预测数据对应的目标摘要值。
本发明第四方面公开一种多方实体鉴别装置,应用于第一实体,所述装置包括:
目标数据生成单元,用于利用目标时变参数生成策略生成目标时变参数,并根据所述目标时变参数和目标请求生成目标数据;其中,所述目标时变参数生成策略为所述第一实体和第三实体约定的时变参数生成策略;
密码校验值Sa生成单元,用于根据秘密值Kab和所述目标数据,生成密码校验值Sa;
目标消息生成单元,用于根据所述目标数据和所述密码校验值Sa,生成目标消息;
第一目标消息转发单元,用于将所述目标消息发送给第二实体,以便所述第二实体判断缓存模块中是否存在所述目标消息的摘要值对应的目标摘要值;若存在,从所述缓存模块中获取对所述目标摘要值对应鉴别结果;若不存在,将所述目标消息转发给第三实体,以使所述第三实体利用所述目标消息对所述实体进行实体鉴别并将得到的鉴别结果反馈给所述第二实体。
本发明第五方面公开一种多方实体鉴别装置,应用于第二实体,所述装置包括:
接收单元,用于接收到第一实体发送的目标消息时,对所述目标消息进行处理,得到所述目标消息的摘要值;
判断单元,用于判断缓存模块中是否存在所述目标消息的摘要值对应的目标摘要值;其中,所述缓存模块中存储有多个摘要值,以及每个摘要值对应的鉴别结果;
鉴别结果获取单元,用于若所述缓存模块中存在所述目标消息的摘要值对应的目标摘要值,从所述缓存模块中获取所述目标摘要值对应的鉴别结果,并根据所述鉴别结果进行相应的业务处理;其中,所述目标摘要值对应的鉴别结果为第一实体的鉴别结果;
第二目标消息转发单元,用于若所述缓存模块中不存在所述目标消息的摘要值对应的目标摘要值,将所述目标消息转发给所述第三实体,以使所述第三实体利用所述目标消息对所述实体进行实体鉴别得到所述第一实体的鉴别结果;
鉴别结果接收单元,用于接收所述第三实体反馈的所述第一实体鉴别结果,并根据所述第一实体的鉴别结果进行相应的业务处理。
本发明第六方面公开一种多方实体鉴别装置,应用于第三实体,所述装置包括:
第一数据处理单元,用于接收到第二实体转发的目标消息时,利用秘密值Kba对目标消息中的目标数据进行处理,并将得到的所述第一实体的鉴别结果发送给第二实体,以使第二实体根据所述第一实体的鉴别结果进行相应的业务处理;其中,所述秘密值Kba与所述第一实体约定的秘密值Kab为一对秘密密钥,或者为对称密钥,或者为非对称密钥;
预测单元,用于根据预测检验函数和目标时变参数生成策略预测第一实体在目标时间窗口期内的第1条数据,以得到目标预测数据;其中,所述目标时变参数生成策略为所述第一实体和第三实体约定的时变参数生成策略;
密码校验值Sbi生成单元,用于根据秘密值Kba和所述目标预测数据,生成密码校验值Sbi;
第二数据处理单元,用于对根据所述目标预测数据和所述密码校验值Sbi生成的预测消息进行处理,得到所述目标预测数据对应的摘要值;
更新单元,用于将所述目标预测数据更新为所述第一实体在目标时间窗口期内的下一条数据,返回执行密码校验值Sbi生成单元,直至得到n个摘要值;所述第一实体在目标时间窗口期内的下一条数据基于所述目标时变参数生成策略和所述预测检验函数预测得到;
关联单元,用于将所述第一实体的鉴别结果分别和每个所述摘要值进行关联,并将关联后的所述第一实体的鉴别结果和摘要值发送给所述第二实体,以使所述第二实体将关联后的所述第一实体的鉴别结果和摘要值存储缓存模块中。
本发明第七方面公开一种多方实体鉴别系统,所述系统包括第一实体、第二实体和第三实体;
所述第一实体,用于利用目标时变参数生成策略生成目标时变参数,并根据所述目标时变参数和目标请求生成目标数据;其中,所述目标时变参数生成策略为所述第一实体和第三实体约定的时变参数生成策略;根据秘密值Kab和所述目标数据,生成密码校验值Sa;根据所述目标数据和所述密码校验值Sa,生成目标消息;将所述目标消息发送给第二实体;
所述第二实体,用于接收到第一实体发送的目标消息时,对所述目标消息进行处理,得到所述目标消息的摘要值;判断缓存模块中是否存在所述目标消息的摘要值对应的目标摘要值;其中,所述缓存模块中存储有多个摘要值,以及每个摘要值对应的鉴别结果;若所述缓存模块中存在所述目标消息的摘要值对应的目标摘要值,从所述缓存模块中获取所述目标摘要值对应的鉴别结果,并根据所述鉴别结果进行相应的业务处理;其中,所述目标摘要值对应的鉴别结果为第一实体的鉴别结果;若所述缓存模块中不存在所述目标消息的摘要值对应的目标摘要值,将所述目标消息转发给所述第三实体;接收所述第三实体反馈的所述第一实体鉴别结果时,根据所述第一实体的鉴别结果进行相应的业务处理;接收到所述第三实体反馈的关联后的所述第一实体的鉴别结果和摘要值时,将关联后的所述第一实体的鉴别结果和摘要值存储至缓存模块中;
所述第三实体,用于接收到第二实体转发的目标消息时,利用秘密值Kba对目标消息中的目标数据进行处理,并将得到的所述第一实体的鉴别结果发送给第二实体;其中,所述秘密值Kba与所述第一实体约定的秘密值Kab为一对秘密密钥,或者为对称密钥,或者为非对称密钥;根据预测检验函数和目标时变参数生成策略预测第一实体在目标时间窗口期内的第1条数据,以得到目标预测数据;其中,所述目标时变参数生成策略为所述第一实体和第三实体约定的时变参数生成策略;根据秘密值Kba和所述目标预测数据,生成密码校验值Sb;对根据所述目标预测数据和所述密码校验值Sbi生成的预测消息进行处理,得到所述目标预测数据对应的摘要值;将所述目标预测数据更新为所述第一实体在目标时间窗口期内的下一条数据,返回执行根据秘密值Kba和所述目标预测数据生成密码校验值Sbi,直至得到n个摘要值;所述第一实体在目标时间窗口期内的下一条数据基于所述目标时变参数生成策略和所述预测检验函数预测得到;将所述第一实体的鉴别结果分别和每个所述摘要值进行关联,并将关联后的所述第一实体的鉴别结果和摘要值发送给所述第二实体。
本发明第八方面公开一种电子设备,包括:处理器以及存储器,所述处理器以及存储器通过通信总线相连;其中,所述处理器,用于调用并执行所述存储器中存储的程序;所述存储器,用于存储程序,所述程序用于实现如本发明第一方面,或者本发明第二方面,或者本发明第三方面公开的多方实体鉴别方法。
本发明第九方面公开一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令用于执行如如本发明第一方面,或者本发明第二方面,或者本发明第三方面公开的多方实体鉴别方法。
本发明提供一种多方鉴别方法及相关设备,第一实体可以利用预先与第三实体预定的目标时变参数生成策略生成目标时变参数,并根据生成的目标时变参数生成目标数据;根据秘密值Kab和目标数据生成密码校验值Sa,并将根据目标数据和密码校验值Sa生成的目标消息发送给第二实体;第二实体接收到第一实体发送的目标消息时,对目标消息进行处理,得到目标消息的摘要值,并判断缓存模块中是否存在目标消息的摘要值对应的目标摘要值;若缓存模块中存在目标消息的摘要值对应的目标摘要值,从缓存模块中获取目标摘要值对应的鉴别结果,若缓存模块中不存在目标消息的摘要值对应的目标摘要值,将目标消息转发给第三实体;第三实体利用目标消息对实体进行实体鉴别,并将得到的第一实体的鉴别结果反馈给第二实体,以便第二实体根据第一实体的鉴别结果进行相应的业务处理;第三实体得到第一实体的鉴别结果后,可以进一步根据预测检验函数和目标时变参数生成策略预测第一实体在目标时间窗口期内的第1条数据,以得到目标预测数据;根据秘密值Kba和目标预测数据生成密码校验值Sbi;对根据目标预测数据和密码校验值Sbi生成的预测消息进行处理,得到目标预测数据对应的摘要值;将目标预测数据更新为第一实体在目标时间窗口期内的下一条数据,返回执行利用秘密值Kba对目标预测数据进行处理,直至得到n个摘要值;第一实体在目标时间窗口期内的下一条数据基于目标时变参数生成策略预测和预测检验函数得到;将第一实体的鉴别结果分别和每个摘要值进行关联,并将关联后的鉴别结果和摘要值发送给第二实体,以使第二实体将关联后的鉴别结果和摘要值存储至缓存模块中,以便第二实体后续接收到第一实体发送的目标消息时,可以从缓存数据中直接获取第一实体的鉴别结果。本发明提供的技术方案,第三实体可以根据预测检验函数、与第一实体约定的目标时变参数生成策略和秘密值Kba预测出与第一实体相关的多个摘要值,这样在下一次第二实体接收到第一实体发送的消息时,可以提高缓存模块命中第一实体发送的消息的摘要值的概率,从而缓解现有的实体鉴别技术中第二实体和第三实体进行交互来带的性能损耗的问题;并且,本发明提供的缓存模块中存储的不是消息本身,而是摘要值和鉴别结果,这样即使缓存模块受到攻击,攻击者也无法根据缓存模块中存储的摘要值还原出相应的第一实体的消息,也就无法冒充该第一实体与第二实体进行通信,从而避免缓存模块发生数据泄露。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种多方实体鉴别方法的流程示意图;
图2为本发明实施例提供的另一种多方实体鉴别方法的流程示意图;
图3为本发明实施例提供的另一种多方实体鉴别方法的流程示意图;
图4为本发明实施例提供的另一种多方实体鉴别方法的流程示意图;
图5为本发明实施例提供的一种多方实体鉴别装置的结构示意图;
图6为本发明实施例提供的另一种多方实体鉴别装置的结构示意图;
图7为本发明实施例提供的另一种多方实体鉴别装置的结构示意图;
图8为本发明实施例提供的一种多方实体鉴别系统的结构示意图;
图9为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本文使用的术语“包括”及其变形是开放性包括,即“包括但不限于”。术语“基于”是“至少部分地基于”。术语“一个实施例”表示“至少一个实施例”;术语“另一实施例”表示“至少一个另外的实施例”;术语“一些实施例”表示“至少一些实施例”。其他术语的相关定义将在下文描述中给出。
需要注意,本发明公开中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分,并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。
需要注意,本发明公开中提及的“一个”、“多个”的修饰是示意性而非限制性的,本领域技术人员应当理解,除非在上下文另有明确指出,否则应该理解为“一个或多个”。
为了更好的了解本申请中涉及的技术术语,下面对本申请涉及的技术术语进行相应的解释说明:
本体(principal):其身份能被鉴别的实体(比如用户、设备等)。
声称方(claimant):以鉴别为目的,是实体本身或是代表本体的实体(比如用户的网络设备、浏览器等)。
验证方(verifier):要求鉴别声称方的实体本身或是代表它的实体(比如服务器、系统应用等)。
可信第三方(trusted thirdparty):为了鉴别的目的,在实体鉴别过程中被其他实体信任的实体(比如单点登录模块、密钥管理中心、权限管控中心等)。
实体鉴别(entity authentication):证实一个实体就是所声称的实体。
数字签名(digital signature):对数据单元执行密码变换计算而得到的数据或是附加在数据单元上的数据,允许数据单元接收者确认数据单元的来源和完整性,并防止数据单元被人伪造。
非对称密码技术(asymmetric cryptographic technique):使用两种相关变换的密码技术(加密与解密、签名与验证),一种是由公开密钥(简称公钥)定义公开变换(加密和验证),另一种是由私有密钥(简称私钥)定义的私有变换(解密和签名),在给定公开变换的情况下,推导出私有变换在计算上是不可行的。
对称密码技术(symmetric cryptographic technique):使用同一秘密密钥进行相关变换的密码技术,如果不知道秘密密钥,推导出密码变换在计算上是不可行的。
密码校验函数(cryptographic check function):以秘密密钥和任意字符串作为输入,并以密码校验值作为输出的密码变换(比如HMAC算法),如果不知道秘密密钥就不可能正确计算校验值。
密码校验值(cryptographic check value):通过在数据单元上执行密码变换计算而得到的信息。
单向散列函数(one-way hash function):以任意字符串(称为消息)作为输入,并以摘要值(也称为散列值或杂凑值)作为输出的密码变换(比如SM3算法、SHA256算法、MD5算法),用于检查消息的完整性,并且不同消息得到的摘要值也不同,具备单向性和抗碰撞性。
单向性(one-way):无法通过散列值反算出消息的性质,即无法通过散列值逆向还原出消息的性质。
抗碰撞性(collision resistance):难以发现碰撞的性质,弱抗碰撞性指要找到与某条消息具有相同散列值的另外一条消息是非常困难的,强抗碰撞性指要找到散列值相同的两条不同的消息是非常困难的。
重放攻击(replay attack):使用以前发送的消息的一种冒充攻击手段。
时变参数(time variantparameter):一种用来验证消息非重放的数据项(比如时间戳、序号等)。
时间戳(time stamp):相对于一个公共时间基准的时间点的时变参数。
序号(sequence number):其值取自一个在一定时期内不重复的特定序列的时变参数。
在现有技术中,对通信双方进行实体鉴别是较常见的身份认证方法。目标的互联网系统的业务规模较大的,通常是分布式或者微服务架构,这种情况下,可以将通信双方第一实体和第二实体的实体鉴别过程转交给可信第三方第三实体。此时,第三实体持有所有声称方(第一实体)与验证方(第二实体)的秘密值,验证方(第二实体)在接收到第一实体发送的消息后,将消息转发给第三实体,由第三实体对声称方(第一实体)进行验证,并将鉴别验证结果R同步给验证方(第二实体),最后验证方(第二实体)根据鉴别结果继续开展后续的业务逻辑处理。但是,这种方式增加了第二实体和第三实体的交互,会产生一定的性能损耗。
在现有技术中,通过借助缓存技术来解决这个问题。具体的,可以将第三实体针对每个第一实体的请求及其鉴别结存储至第二实体的缓存模块,第二实体首先尝试根据第一实体的读取缓存模块中的缓存数据,查询是否存在相应的鉴别结果,若存在,第二实体便可直接知晓第一实体鉴别结果,而无需再与第三实体进行交互,从而降低第二实体与第三实体之间的交互过程产生的性能损耗。
虽然借助缓存技术可以解决现有的实体鉴别技术产生的性能损耗问题,但是,缓存模块中存储的消息为真实数据,容易成为数据泄露风险点,一旦缓存模块遭到安全攻击,攻击者能够直接使用缓存模块中的预先存储的第一实体的消息来冒充第一实体来与第二实体进行通信,从而非法获取数据资源。
在现有技术中,还可以在鉴别过程使用时间戳、序号等时变参数,来控制唯一性和时效性,这种方式可以能够检测历史上被发送过的消息,进而可抵御重放攻击。但是,当消息中携带时变参数后,第一实体的每次请求均会得到不同的密码校验值,这会导致无法在缓存中的找到对应的鉴别结果,这样一来,缓存模块就无法再发挥缓存的功效了。故,在现有技术中只能忍受现有的鉴别技术带来的损耗。
因此,本发明提供一种多方实体鉴别方法及相关设备,第三实体可以根据预测检验函数、与第一实体约定的目标时变参数生成策略和秘密值Kba预测出与第一实体相关的多个摘要值,这样在下一次第二实体接收到第一实体发送的消息时,可以提高缓存模块命中第一实体发送的消息的摘要值的概率,从而缓解现有的实体鉴别技术中第二实体和第三实体进行交互来带的性能损耗的问题;并且,本发明提供的缓存模块中存储的不是消息本身,而是摘要值和鉴别结果,这样即使缓存模块受到攻击,攻击者也无法根据缓存模块中存储的摘要值还原出该实体的消息,也就无法冒充该实体与第二实体进行通信,从而避免缓存模块发生数据泄露。
参见图1,示出了本发明提供一种多方实体鉴别方法的流程示意图,该多方实体鉴别方法具体包括以下步骤:
S101:第一实体利用目标时变参数生成策略生成目标时变参数,并根据目标时变参数和目标请求生成目标数据。
其中,目标时变参数生成策略为第一实体和第三实体约定的时变参数生成策略。
在本申请实施例中,第一实体可以与第三实体预先约定好相应的目标时变参数生成策略;当第一实体要与第二实体进行通信时,可以利用预先约定的目标时变参数生成策略生成相应的目标时变参数,进而可以生成的目标时变参数和目标请求生成相应的目标数据。
需要说明的是,目标时变参数至少包括目标时间戳和相应的序号等等。
相应的,若目标时变参数包括目标时间戳,目标时变参数生成策略可以包括目标时间戳的生成方式,例如,将初始时间戳加上或者减去目标值,便可得到目标时间戳。有关于目标时变参数生成策略中包含的具体内容可以根据实际应用进行设置,本申请实施例不加以限定。
S102:第一实体根据秘密值Kab和目标数据,生成密码校验值Sa。
在本申请实施例中,第一实体和第三实体除了可以预先约定相应的目标时变参数生成策略以外,还可以预先约定一对秘密密钥,或者对称密钥,或者非对称密钥。
需要说明的是,如果第一实体和第三实体约定的是一对秘密密钥,或者对称密钥,则第一实体上的秘密值Kab和第三实体秘密Kba为同一个密钥;如果第一实体和第三实体约定的是非对称密钥,则第一实体上的秘密值Kab和第三实体上的秘密Kba为满足配对一致性的私钥和公钥。
在具体执行步骤S102的过程中,第一实体在生成相应的目标数据后,可进一步将秘密值Kab和目标数据执行目标密码变换算法Sign,得到密码校验值Sa。
在一些实施例中,可以使用秘密值Kab对目标数据执行目标密码变换算法Sgin(秘密值Kab,目标数据),从而得到密码校验值Sa。
需要说明的是,目标密码变换算法Sgin可以包括密码校验函数、对称加密算法和数字签名中的签名算法。
还需要说明的是,目标密码变换算法Sign与第三实体约定的密码变换算法Verify为一对相关变换。
S103:第一实体根据目标数据和密码校验值Sa,生成目标消息。
在本申请实施例中,第一实体在得到密码校验值Sa后,可以将目标数据和密码校验值进行拼接,生成完整的目标消息。
以上仅仅是生成目标消息的一种优选方式。有关于根据目标数据和密码校验值Sa生成目标消息的方式还可以为M(TEXTAB,Sa)=TEXTAB||Sa,M(TEXTAB,Sa)=SA||TEXTAB||Sa。
其中,TEXTAB为目标数据,Sa为密码校验值Sa。
S104:第一实体将目标消息发送给第二实体。
在本申请实施例中,第一实体在生成目标消息后,可以利用网络传输协议通过网络通信通道将目标消息发送给第二实体。
需要说明的是,网络传输协议可以为HTTP、HTTPS等等。
S105:第二实体接收到第一实体发送的目标消息时,对目标消息进行处理,得到目标消息的摘要值。
在具体执行步骤S105的过程中,第二实体在接收到实体发送的目标消息时,可以利用目标单向散列函数对接收到的目标消息进行单向散列计算,得到目标消息的摘要值。
在本申请实施例中,目标单项散列单数为第二实体和第三实体预先约定的单向散列函数。
需要说明的是,单向散列函数可以为SM3算法、SHA256算法、MD5算法等。可以根据实际应用选择合适的单向散列函数,本申请实施例不加以限定。
S106:第二实体判断缓存模块中是否存在目标消息的摘要值对应的目标摘要值;若缓存模块中存在目标消息的摘要值对应的目标摘要值,执行步骤S107;若缓存模块中不存在目标消息的摘要值对应的目标摘要值,执行步骤S108。
在本申请实施例中,可以预先在缓存模块中存储多个摘要值和每个摘要值对应的鉴别结果。摘要值是第三实体利用与对应的历史实体约定的时变参数生成策略、预测检验函数、与历史实体约定的秘密值Kba以及与第二实体约定的单向散列函数预测的,并将生成的摘要值和历史实体的鉴别结果进行关联后同步给第二实体进行存储。
具体的,第三实体在利用历史消息对相应的历史实体进行实体鉴别,得到该历史实体的鉴别结果后,首先可以利用预测校验函数和与该历史实体约定的时变参数生成策略预测该历史实体在特定时间窗口期内的第1条数据;其次可以利用密码变换算法Sgin和与该实体约定的秘密值Kba对第1条数据进行处理,得到相应的历史密码校验值Sbi;并将历史密码校验值Sbi和历史消息进行拼接,得到历史预测消息;最后利用单向散列函数对历史预测消息进行单向散列计算,得到第1条数据的摘要值。
第三实体在得到第1条数据的摘要值后,返回利用预测校验函数和与该历史实体约定的时变参数生成策略预测该历史实体在特定时间窗口期内的第2条数据;可以利用密码变换算法Sgin和与该历史实体约定的秘密值Kba对第2条数据进行处理,得到相应的历史密码校验值Sbi;并将该历史密码校验值Sbi和历史消息进行拼接,得到历史预测消息;最后利用单向散列函数对历史预测消息进行单向散列计算,得到第2条数据的摘要值。如此循环执行,直至得到n个摘要值,并将历史实体的鉴别结果分别和每个摘要值进行关联,并将关联后的鉴别结果和摘要值发送给第二实体,以使第二实体将关联后鉴别结果和摘要值存储至缓存模块中,以便第二实体在下一次接收到该历史实体发送的目标消息时,可以判断缓存模块中是否存在与该该历史实体发送的目标消息的摘要值对应的目标摘要值。
其中,时变参数生成策略和密码变换算法Sgin与历史实体生成历史消息时,使用的时变参数生成策略和密码变换算法Sgin相同。
需要说明的是,特定时间窗口期可以根据实际业务量进行设置,例如,可以把特定时间窗口期设置为1分钟、2分钟、3分钟等等。可以根据实际应用进行设置。
还需要说明的是,n为大于等于1的正整数。n的具体数值可以根据使用的时变参数生成策略生成的时变参数和特定时间窗口期内设置的时间进行计算得到。
在具体执行步骤S106的过程中,第二实体在对目标消息进行处理,得到目标消息的摘要值后,可以判断缓存模块中是否存在目标消息的摘要值对应的目标摘要值;如果缓存模块中存在目标消息的摘要值对应的目标摘要值,则可以直接从缓存模块中获取该目标摘要值对应的鉴别结果,并根据该鉴别结果进行相应的业务处理。
如果缓存模块中不存在目标消息的摘要值对应的目标摘要值,则将目标消息转发给第三实体,以使第三实体根据目标消息对第一实体进行实体鉴别,并向第二实体返回相应的鉴别结果。
需要说明的是,鉴别结果可以为1或者0;如果鉴别结果为1,则说明该鉴别结果对应的实体验证通过,进而可以允许进行相应的业务处理;如果鉴别结果为0,则说明该鉴别结果对应的实体验证失败,进而禁止进行相应的业务处理。
S107:第二实体从缓存模块中获取目标摘要值对应的鉴别结果,并根据鉴别结果进行相应的业务处理。
S108:第二实体将目标消息转发给第三实体。
S109:第三实体接收到第二实体转发的目标消息时,利用秘密值Kba对目标消息中的目标数据进行处理,得到第一实体的鉴别结果。
在具体执行步骤S109的过程中,第三实体在接收到第二实体转发的目标消息时,可以将秘密值Kba和目标消息执行密码变换算法Verify,得到第一实体的鉴别结果,并将第一实体的鉴别结果发送的第二实体。
其中,密码变换算法Verify与密码变换算法Sign是一对相关变换算法。
需要说明的是,密码变换算法Verify是验证密码校验值合法性的密码技术,与密码变换算法Sign是一对相关变换算法。密码变换算法Verify可以包括密码校验函数、对称加密算法和数字签名中的验证算法。
S110:第三实体将第一实体的鉴别结果反馈给第二实体。
S111:第二实体接收第三实体反馈的第一实体鉴别结果,并根据第一实体的鉴别结果进行相应的业务处理。
S112:第三实体根据预测检验函数和目标时变参数生成策略预测第一实体在目标时间窗口期内的第1条数据,以得到目标预测数据。
在本申请实施例中,第三实体在根据目标消息对第一实体进行实体鉴别得到第一实体的鉴别结果后,可以根据预测检验函数和与第一实体约定的目标时变参数生成策略,预测第一实体在目标时间窗口期内的第1条数据,并将第1条数据作为目标预测数据,以便利用秘密值Kba对目标预测数据进行处理,得到密码校验值Sbi。
S113:第三实体根据秘密值Kba和所述目标预测数据,生成密码校验值Sbi。
在本申请实施例中,第三实体在预测出目标预测数据后,可以利用将秘密值Kba对目标预测数据执行目标密码变换算法Sign(秘密值Kba,目标预测数据),得到密码校验值Sbi。
S114:第三实体对根据目标预测数据和密码校验值Sbi生成的预测消息进行处理,得到目标预测数据对应的摘要值。
在具体执行步骤S114的过程中,第三实体可以根据目标预测数据和密码校验值Sbi,生成预测消息;并利用目标单向散列函数,对预测消息执行单向散列计算,得到目标预测数据对应的目标摘要值。
在一些实施例中,第三实体可以将目标预测数据和密码校验值Sbi进行拼接,生成的预测消息。
需要说明的是,第三实体使用的目标单向散列函数和第二实体使用的目标单向散列函数相同。
S115:第三实体判断已生成的摘要值的个数是否为n;若已生成的摘要值的个数不为n,执行步骤S116;若已生成的摘要值的个数为n,执行步骤S117。
在具体执行步骤S115的过程中,第三实体利用目标单向散列函数,对预测消息执行单向散列计算,得到目标预测数据对应的目标摘要值后,可以先判断已生成的摘要值的个数是否为n;如果已生成的摘要值的个数不为n,则执行步骤S116。
如果已生成的摘要值的个数为n,第三实体可以将第一实体的鉴别结果分别和每个摘要值进行关联,即执行步骤S117。
S116:将目标预测数据更新为第一实体在目标时间窗口期内的下一条数据,并返回执行步骤S113;其中,第一实体在目标时间窗口期内的下一条数据基于目标时变参数生成策略和预测检验函数生成策略预测得到。
在具体执行步骤S116的过程中,第三实体在确定已生成的摘要值的个数不为n的情况下,可以重新根据预测检验函数和目标时变参数生成策略预测第一实体在目标时间窗口期内的下一条数据,并将目标预测数据更新为第一实体在目标时间窗口期内的下一条数据,并返回执行步骤S113,直至得到n个摘要值为止。
S117:第三实体将第一实体的鉴别结果分别和每个摘要值进行关联。
在本申请实施例中,第三实体在确定已生成的摘要值的个数为n时,可以将第一实体的鉴别结果分别和每个摘要值进行关联,并将关联后的第一实体的鉴别结果和摘要值发送给第二实体,以使第二实体将关联后的第一实体的鉴别结果和摘要值存储至缓存模块中,以便第二实体在一下接收到第一实体发送的消息时,可以提高缓存模块命中第一实体发送的消息的摘要值的概率,从而缓解现有的实体鉴别技术中第二实体和第三实体进行交互来带的性能损耗的问题。
需要说明的是,在本申请实施例中,在向第二实体反馈第一实体的鉴别结果后,可以将第一实体作为历史实体,以便第三实体利用与对应的历史实体约定的时变参数生成策略、预测检验函数、与历史实体约定的秘密值Kba以及与第二实体约定的单向散列函数预测与历史实体相关的多个摘要值,并将预测的摘要值和历史实体的鉴别结果进行关联后同步给第二实体进行存储。
S118:第三实体将关联后的第一实体的鉴别结果和摘要值发送给第二实体。
S119:第二实体将关联后的第一实体的鉴别结果和摘要值存储缓存模块中。
本发明提供一种多方鉴别方法,第三实体可以根据预测检验函数和与第一实体约定的目标时变参数生成策略预测出与第一实体相关的多个摘要值,这样在下一次第二实体接收到第一实体发送的消息时,可以提高缓存模块命中第一实体发送的消息的摘要值的概率,从而缓解现有的实体鉴别技术中第二实体和第三实体进行交互来带的性能损耗的问题;并且,本发明提供的缓存模块中存储的不是消息本身,而是摘要值和鉴别结果,这样即使缓存模块受到攻击,攻击者也无法根据缓存模块中存储的摘要值还原出相应的第一实体的消息,也就无法冒充该第一实体与第二实体进行通信,从而避免缓存模块发生数据泄露。
下面分别从第一实体、第二实体和第三实体的角度对本发明实施例提供的多方实体鉴别方式进行介绍。
参见图2,示出了本发明实施例提供的另一种多方实体鉴别方法的流程示意图,该多方实体鉴别方法应用于第一实体,该方法具体包括以下步骤:
S201:利用目标时变参数生成策略生成目标时变参数,并根据目标时变参数和目标请求生成目标数据。
其中,目标时变参数生成策略为第一实体和第三实体约定的时变参数生成策略。
在本申请实施例中,第一实体可以与第三实体预先约定好相应的目标时变参数生成策略;当第一实体要与第二实体进行通信时,可以利用预先约定的目标时变参数生成策略生成相应的目标时变参数,进而可以生成的目标时变参数和目标请求生成相应的目标数据。
S202:根据秘密值Kab和所述目标数据,生成密码校验值Sa。
在本申请实施例中,第一实体和第三实体除了可以预先约定相应的目标时变参数生成策略以外,还可以预先约定一对秘密密钥,或者对称密钥,或者非对称密钥。
需要说明的是,如果第一实体和第三实体约定的是一对秘密密钥,或者对称密钥,则第一实体上的秘密值Kab和第三实体秘密Kba为同一个密钥;如果第一实体和第三实体约定的是非对称密钥,则第一实体上的秘密值Kab和第三实体上的秘密Kba为满足配对一致性的私钥和公钥。
在具体执行步骤S202的过程中,第一实体在生成相应的目标数据后,可进一步将秘密值Kab和所述目标数据执行目标密码变换算法Sign,得到密码校验值Sa。
在一些实施例中,可以使用秘密值Kab对目标数据执行目标密码变换算法Sgin(秘密值Kab,目标数据),从而得到密码校验值Sa。
需要说明的是,目标密码变换算法Sign与第三实体约定的密码变换算法Verify为一对相关变换。
S203:根据目标数据和密码校验值Sa,生成目标消息。
在本申请实施例中,第一实体在得到密码校验值Sa后,可以将目标数据和密码校验值进行拼接,生成完整的目标消息。
以上仅仅是生成目标消息的一种优选方式。有关于根据目标数据和密码校验值Sa生成目标消息的方式还可以为M(TEXTAB,Sa)=TEXTAB||Sa,M(TEXTAB,Sa)=SA||TEXTAB||Sa。
其中,TEXTAB为目标数据,Sa为密码校验值Sa。
S204:将目标消息发送给第二实体,以便第二实体判断缓存模块中是否存在目标消息的摘要值对应的目标摘要值;若存在,从缓存模块中获取对目标摘要值对应鉴别结果;若不存在,将目标消息转发给第三实体,以使第三实体利用目标消息对第一实体进行实体鉴别并将得到的鉴别结果反馈给第二实体。
在具体执行步骤S204的过程中,第一实体在生成目标消息后,将目标消息发送给第二实体。第二实体在接收到实体发送的目标消息时,可以利用目标单向散列函数对接收到的目标消息进行单向散列计算,得到目标消息的摘要值;并判断缓存模块中是否存在目标消息的摘要值对应的目标摘要值;如果缓存模块中存在目标消息的摘要值对应的目标摘要值,则可以直接从缓存模块中获取该目标摘要值对应的鉴别结果,并根据该鉴别结果进行相应的业务处理。如果缓存模块中不存在目标消息的摘要值对应的目标摘要值,则将目标消息转发给第三实体,以使第三实体根据目标消息对第一实体进行实体鉴别,并向第二实体返回相应的鉴别结果。
需要说明的是,目标单项散列单数为第二实体和第三实体预先约定的单向散列函数。
在本申请实施例中,可以预先在缓存模块中存在多个摘要值和每个摘要值对应的鉴别结果。摘要值是第三实体利用与对应的历史实体约定的时变参数生成策略、预测检验函数、与历史实体约定的秘密值Kba以及与第二实体约定的单向散列函数预测的,并将生成的摘要值和历史实体的鉴别结果进行关联后同步给第二实体进行存储,具体预测相关的摘要值和存储过程可以参见上述图1中示出的步骤S106中的相应部分,这里不再进行赘述。
在本申请实施例中,第三实体在接收到第二实体转发的目标消息时,可以利用预先与第一实体约定的密码变换算法Verify和秘密中Kba对目标消息中的目标数据执行密码计算,得到第一实体的鉴别结果,并将得到的第一实体的鉴别结果反馈给第二实体,以使第二实体在接收到第三实体反馈的第一实体鉴别结果时,根据第一实体的鉴别结果进行相应的业务处理。
第三实体在根据目标消息对第一实体进行实体鉴别得到第一实体的鉴别结果后,可以根据预测检验函数和与第一实体约定的目标时变参数生成策略,预测第一实体在目标时间窗口期内的第1条数据,并将第1条数据作为目标预测数据,以便根据秘密值Kba和所述目标预测数据,生成密码校验值Sbi;根据目标预测数据和密码校验值Sbi,生成的预测消息;并利用目标单向散列函数,对预测消息执行单向散列计算,得到目标预测数据对应的目标摘要值。并可以重新根据预测检验函数和目标时变参数生成策略预测第一实体在目标时间窗口期内的下一条数据,并将目标预测数据更新为第一实体在目标时间窗口期内的下一条数据,返回执行根据秘密值Kba和所述目标预测数据生成密码校验值Sbi,直至得到n个摘要值。最后将第一实体的鉴别结果分别和每个摘要值进行关联,并将关联后的第一实体的鉴别结果和摘要值发送给第二实体,以使第二实体将关联后的第一实体的鉴别结果和摘要值存储至缓存模块中,以便第二实体在一下接收到第一实体发送的消息时,可以提高缓存模块命中第一实体发送的目标消息的摘要值的概率,从而缓解现有的实体鉴别技术中第二实体和第三实体进行交互来带的性能损耗的问题。
其中,密码变换算法Verify与密码变换算法Sign是一对相关变换算法。
需要说明的是,密码变换算法Verify是验证密码校验值合法性的密码技术,与密码变换算法Sign是一对相关变换算法。密码变换算法Verify可以包括密码校验函数、对称加密算法和数字签名中的验证算法。
本发明提供一种多方鉴别方法,第三实体可以根据预测检验函数和与第一实体约定的目标时变参数生成策略预测出与第一实体相关的多个摘要值,这样在下一次第二实体接收到第一实体发送的消息时,可以提高缓存模块命中第一实体发送的消息的摘要值的概率,从而缓解现有的实体鉴别技术中第二实体和第三实体进行交互来带的性能损耗的问题;并且,本发明提供的缓存模块中存储的不是消息本身,而是摘要值和鉴别结果,这样即使缓存模块受到攻击,攻击者也无法根据缓存模块中存储的摘要值还原出相应的第一实体的消息,也就无法冒充该第一实体与第二实体进行通信,从而避免缓存模块发生数据泄露。
参见图3,示出了本发明实施例提供的另一种多方实体鉴别方法的流程示意图,该多方实体鉴别方法应用于第二实体,该方法具体包括以下步骤:
S301:接收到第一实体发送的目标消息时,对目标消息进行处理,得到目标消息的摘要值。
在本申请实施例中,第一实体可以与第三实体预先约定好相应的目标时变参数生成策略;当第一实体要与第二实体进行通信时,可以利用预先约定的目标时变参数生成策略生成相应的目标时变参数,进而可以生成的目标时变参数和目标请求生成相应的目标数据。
第一实体在生成相应的目标数据后,可进一步利用目标密码变换算法Sgin和秘密值Kab对目标数据进行处理,得到密码校验值Sa。在得到密码校验值Sa后,可以将目标数据和密码校验值进行拼接,生成目标消息,并将得到的目标消息转发给第二实体。
其中第一实体和第三实体除了可以预先约定相应的目标时变参数生成策略以外,还可以预先约定一对秘密密钥,或者对称密钥,或者非对称密钥。
在具体执行步骤S301的过程中,第二实体在接收到实体发送的目标消息时,可以利用目标单向散列函数对接收到的目标消息进行单向散列计算,得到目标消息的摘要值。
在本申请实施例中,目标单项散列单数为第二实体和第三实体预先约定的单向散列函数。
S302:判断缓存模块中是否存在目标消息的摘要值对应的目标摘要值。若缓存模块中存在目标消息的摘要值对应的目标摘要值,执行步骤S303;若缓存模块中不存在目标消息的摘要值对应的目标摘要值,执行步骤S304。
在本申请实施例中,可以预先在缓存模块中存储多个摘要值和每个摘要值对应的鉴别结果。摘要值是第三实体利用与对应的历史实体约定的时变参数生成策略、预测检验函数、与历史实体约定的秘密值Kba以及与第二实体约定的单向散列函数预测的,并将生成的摘要值和历史实体的鉴别结果进行关联后同步给第二实体进行存储。
具体的,第三实体在利用历史消息对相应的历史实体进行实体鉴别,得到该历史实体的鉴别结果后,首先可以利用预测校验函数和与该历史实体约定的时变参数生成策略预测该历史实体在特定时间窗口期内的第1条数据;其次可以利用密码变换算法Sgin和与该实体约定的秘密值Kba对第1条数据进行处理,得到相应的历史密码校验值Sbi;并将历史密码校验值Sbi和历史消息进行拼接,得到历史预测消息;最后利用单向散列函数对历史预测消息进行单向散列计算,得到第1条数据的摘要值。
第三实体在得到第1条数据的摘要值后,返回利用预测校验函数和与该历史实体约定的时变参数生成策略和预测检验函数预测该历史实体在特定时间窗口期内的第2条数据;可以利用密码变换算法Sgin和与该历史实体约定的秘密值Kba对第2条数据进行处理,得到相应的历史密码校验值Sbi;并将历史密码校验值Sbi和历史消息进行拼接,得到历史预测消息;最后利用单向散列函数对历史预测消息进行单向散列计算,得到第2条数据的摘要值。如此循环执行,直至得到n个摘要值,并将历史实体的鉴别结果分别和每个摘要值进行关联,并将关联后的鉴别结果和摘要值发送给第二实体,以使第二实体将关联后鉴别结果和摘要值至存储缓存模块中,以便第二实体接收到第一实体发送的目标消息时,可以判断缓存模块中是否存在与该目标消息的摘要值对应的目标摘要值。
其中,时变参数生成策略和密码变换算法Sgin与历史实体生成历史消息时,使用的时变参数生成策略和密码变换算法Sgin相同。
在具体执行步骤S302的过程中,第二实体在对目标消息进行处理,得到目标消息的摘要值后,可以判断缓存模块中是否存在目标消息的摘要值对应的目标摘要值;如果缓存模块中存在目标消息的摘要值对应的目标摘要值,则可以直接从缓存模块中获取该目标摘要值对应的鉴别结果,并根据该鉴别结果进行相应的业务处理。
如果缓存模块中不存在目标消息的摘要值对应的目标摘要值,则将目标消息转发给第三实体,以使第三实体根据目标消息对第一实体进行实体鉴别,并向第二实体返回相应的鉴别结果。
需要说明的是,鉴别结果可以为1或者0;如果鉴别结果为1,则说明该鉴别结果对应的实体验证通过,进而可以允许进行相应的业务处理;如果鉴别结果为0,则说明该鉴别结果对应的实体验证失败,进而禁止进行相应的业务处理。
S303:从缓存模块中获取目标摘要值对应的鉴别结果,并根据鉴别结果进行相应的业务处理。
S304:将目标消息转发给第三实体,以使第三实体利用目标消息对实体进行实体鉴别。
在具体执行步骤S304的过程中,如果缓存模块中不存在目标消息的摘要值对应的目标摘要值,则将目标消息转发给第三实体,以使第三实体利用目标消息对实体进行实体鉴别。
在本申请实施例中,第三实体在接收到第二实体转发的目标消息时,可以利用预先与第一实体约定的密码变换算法Verify和秘密中Kba对目标消息中的目标数据执行密码计算,得到第一实体的鉴别结果,并将得到的第一实体的鉴别结果反馈给第二实体。
第三实体在根据目标消息对第一实体进行实体鉴别得到第一实体的鉴别结果后,可以根据预测检验函数和与第一实体约定的目标时变参数生成策略,预测第一实体在目标时间窗口期内的第1条数据,并将第1条数据作为目标预测数据,以便利用秘密值Kba对目标预测数据进行处理,得到密码校验值Sbi。
第三实体可以根据目标预测数据和密码校验值Sbi,生成的预测消息;并利用目标单向散列函数,对预测消息执行单向散列计算,得到目标预测数据对应的目标摘要值。可以重新根据预测检验函数和目标时变参数生成策略预测第一实体在目标时间窗口期内的下一条数据,并将目标预测数据更新为第一实体在目标时间窗口期内的下一条数据,返回执行根据秘密值Kba和所述目标预测数据,生成密码校验值Sbi,直至得到n个摘要值;第一实体在目标时间窗口期内的下一条数据基于目标时变参数生成策略预测得到。最后将第一实体的鉴别结果分别和每个摘要值进行关联,并将关联后的第一实体的鉴别结果和摘要值发送给第二实体,以使第二实体将关联后的第一实体的鉴别结果和摘要值存储至缓存模块中,以便第二实体在一下接收到第一实体发送的消息时,可以提高缓存模块命中第一实体发送的消息的摘要值的概率,从而缓解现有的实体鉴别技术中第二实体和第三实体进行交互来带的性能损耗的问题。
其中,密码变换算法Verify与密码变换算法Sign是一对相关变换算法。
需要说明的是,密码变换算法Verify是验证密码校验值合法性的密码技术,与密码变换算法Sign是一对相关变换算法。密码变换算法Verify可以包括密码校验函数、对称加密算法和数字签名中的验证算法。
S305:接收第三实体反馈的第一实体鉴别结果,并根据第一实体的鉴别结果进行相应的业务处理。
本发明提供一种多方鉴别方法,第三实体可以根据预测检验函数和与第一实体约定的目标时变参数生成策略预测出与第一实体相关的多个摘要值,这样在下一次第二实体接收到第一实体发送的消息时,可以提高缓存模块命中第一实体发送的消息的摘要值的概率,从而缓解现有的实体鉴别技术中第二实体和第三实体进行交互来带的性能损耗的问题;并且,本发明提供的缓存模块中存储的不是消息本身,而是摘要值和鉴别结果,这样即使缓存模块受到攻击,攻击者也无法根据缓存模块中存储的摘要值还原出相应的第一实体的消息,也就无法冒充该第一实体与第二实体进行通信,从而避免缓存模块发生数据泄露。
参见图4,示出了本发明实施例提供的另一种多方实体鉴别方法的流程示意图,该多方实体鉴别方法应用于第三实体,该方法具体包括以下步骤:
S401:接收到第二实体转发的目标消息时,利用秘密值Kba对目标消息中的目标数据进行处理,并将得到的第一实体的鉴别结果发送给第二实体,以使第二实体根据第一实体的鉴别结果进行相应的业务处理。
其中,所述秘密值Kba与所述第一实体约定的秘密值Kab为一对秘密密钥,或者为对称密钥,或者为非对称密钥。
在本申请实施例中,第一实体可以与第三实体预先约定好相应的目标时变参数生成策略;当第一实体要与第二实体进行通信时,可以利用预先约定的目标时变参数生成策略生成相应的目标时变参数,进而可以生成的目标时变参数和目标请求生成相应的目标数据。并利用目标密码变换算法Sgin和秘密值Kab对目标数据进行处理,得到密码校验值Sa,将目标数据和密码校验值Sa进行拼接,生成目标消息,并将得到的目标消息转发给第二实体。
第二实体在接收到实体发送的目标消息时,可以利用目标单向散列函数对接收到的目标消息进行单向散列计算,得到目标消息的摘要值;在对目标消息进行处理,得到目标消息的摘要值后,可以判断缓存模块中是否存在目标消息的摘要值对应的目标摘要值;如果缓存模块中存在目标消息的摘要值对应的目标摘要值,则可以直接从缓存模块中获取该目标摘要值对应的鉴别结果,并根据该鉴别结果进行相应的业务处理。如果缓存模块中不存在目标消息的摘要值对应的目标摘要值,则将目标消息转发给第三实体。
在本申请实施例中,可以预先在缓存模块中存在多个摘要值和每个摘要值对应的鉴别结果。摘要值是第三实体利用与对应的历史实体约定的时变参数生成策略、预测检验函数、与历史实体约定的秘密值Kba以及与第二实体约定的单向散列函数预测的,并将生成的摘要值和历史实体的鉴别结果进行关联后同步给第二实体进行存储,具体预测相关的摘要值和存储过程可以参见上述图1中示出的步骤S106中的相应部分,这里不再进行赘述。
在具体执行步骤S401的过程中,第三实体在接收到第二实体转发的目标消息时,可以利用预先与第一实体约定的密码变换算法Verify和秘密中Kba对目标消息中的目标数据执行密码计算,得到第一实体的鉴别结果,并将得到的第一实体的鉴别结果反馈给第二实体。
其中,密码变换算法Verify与密码变换算法Sign是一对相关变换算法。
需要说明的是,密码变换算法Verify是验证密码校验值合法性的密码技术,与密码变换算法Sign是一对相关变换算法。密码变换算法Verify可以包括密码校验函数、对称加密算法和数字签名中的验证算法。
S402:根据预测检验函数和目标时变参数生成策略预测第一实体在目标时间窗口期内的第1条数据,以得到目标预测数据。
在本申请实施例中,第三实体在根据目标消息对第一实体进行实体鉴别得到第一实体的鉴别结果后,可以根据预测检验函数和与第一实体约定的目标时变参数生成策略,预测第一实体在目标时间窗口期内的第1条数据,并将第1条数据作为目标预测数据,以便利用秘密值Kba对目标预测数据进行处理,得到密码校验值Sbi。
S403:根据秘密值Kba和目标预测数据,生成密码校验值Sbi。
在本申请实施例中,第三实体在预测出目标预测数据后,可以利用将秘密值Kba对目标预测数据执行目标密码变换算法Sign(秘密值Kba,目标预测数据),得到密码校验值Sbi。
S404:对根据目标预测数据和密码校验值Sbi生成的预测消息进行处理,得到目标预测数据对应的摘要值。
在具体执行步骤S404的过程中,第三实体可以根据目标预测数据和密码校验值Sbi,生成的预测消息;并利用目标单向散列函数,对预测消息执行单向散列计算,得到目标预测数据对应的目标摘要值。
在一些实施例中,第三实体可以将目标预测数据和密码校验值Sbi进行拼接,生成的预测消息。
需要说明的是,第三实体使用的目标单向散列函数和第二实体使用的目标单向散列函数相同。
S405:判断已生成的摘要值的个数是否为n;若已生成的摘要值的个数不为n,执行步骤S406;若已生成的摘要值的个数为n,执行步骤S407。
在具体执行步骤S405的过程中,第三实体利用目标单向散列函数,对预测消息执行单向散列计算,得到目标预测数据对应的目标摘要值后,可以先判断已生成的摘要值的个数是否为n;如果已生成的摘要值的个数不为n,则执行步骤S406。
如果已生成的摘要值的个数为n,第三实体可以将第一实体的鉴别结果分别和每个摘要值进行关联,即执行步骤S407。
S406:将目标预测数据更新为第一实体在目标时间窗口期内的下一条数据,并返回执行步骤S403;其中,第一实体在目标时间窗口期内的下一条数据基于目标时变参数生成策略和预测检验函数生成策略预测得到。
在具体执行步骤S406的过程中,第三实体在确定已生成的摘要值的个数不为n的情况下,重新根据预测检验函数和目标时变参数生成策略预测第一实体在目标时间窗口期内的下一条数据后,将目标预测数据更新为第一实体在目标时间窗口期内的下一条数据,并返回执行步骤S403,直至得到n个摘要值为止。
S407:将第一实体的鉴别结果分别和每个摘要值进行关联,并将关联后的第一实体的鉴别结果和摘要值发送给第二实体,以使第二实体将关联后的第一实体的鉴别结果和摘要值存储至缓存模块中。
在本申请实施例中,第三实体在确定已生成的摘要值的个数为n时,可以将第一实体的鉴别结果分别和每个摘要值进行关联,并将关联后的第一实体的鉴别结果和摘要值发送给第二实体,以使第二实体将关联后的第一实体的鉴别结果和摘要值存储缓存模块中,以便第二实体在一下接收到第一实体发送的消息时,可以提高缓存模块命中第一实体发送的消息的摘要值的概率,从而缓解现有的实体鉴别技术中第二实体和第三实体进行交互来带的性能损耗的问题。
需要说明的是,在本申请实施例中,在向第二实体反馈第一实体的鉴别结果后,可以将第一实体作为历史实体,以便第三实体利用与对应的历史实体约定的时变参数生成策略、预测检验函数、与历史实体约定的秘密值Kba以及与第二实体约定的单向散列函数预测与历史实体相关的多个摘要值,并将预测的摘要值和历史实体的鉴别结果进行关联后同步给第二实体进行存储。
本发明提供一种多方鉴别方法,本发明提供一种多方鉴别方法,第三实体可以根据预测检验函数和与第一实体约定的目标时变参数生成策略预测出与第一实体相关的多个摘要值,这样在下一次第二实体接收到第一实体发送的消息时,可以提高缓存模块命中第一实体发送的消息的摘要值的概率,从而缓解现有的实体鉴别技术中第二实体和第三实体进行交互来带的性能损耗的问题;并且,本发明提供的缓存模块中存储的不是消息本身,而是摘要值和鉴别结果,这样即使缓存模块受到攻击,攻击者也无法根据缓存模块中存储的摘要值还原出相应的第一实体的消息,也就无法冒充该第一实体与第二实体进行通信,从而避免缓存模块发生数据泄露。
基于本发明实施例公开的多方实体鉴别方法,本发明实施例还对应公开一种多方实体鉴别装置,如图5所示,该多方实体鉴别装置应用于第一实体,该多方实体鉴别装置包括:
目标数据生成单元51,用于利用目标时变参数生成策略生成目标时变参数,并根据目标时变参数和目标请求生成目标数据;其中,目标时变参数生成策略为第一实体和第三实体约定的时变参数生成策略;
密码校验值Sa生成单元52,用于根据秘密值Kab和目标数据,生成密码校验值Sa;
目标消息生成单元53,用于根据目标数据和密码校验值Sa,生成目标消息;
第一目标消息转发单元54,用于将目标消息发送给第二实体,以便第二实体判断缓存模块中是否存在目标消息的摘要值对应的目标摘要值;若存在,从缓存模块中获取对目标摘要值对应鉴别结果;若不存在,将目标消息转发给第三实体,以使第三实体利用目标消息对实体进行实体鉴别并将得到的鉴别结果反馈给第二实体。
上述本发明实施例公开的多方实体鉴别装置中各个单元具体的原理和执行过程,与上述本发明实施例图2公开的多方实体鉴别方法相同,可参见上述本发明实施例公开的多方实体鉴别方法中相应的部分,这里不再进行赘述。
本发明提供一种多方鉴别装置,第一实体可以利用目标时变参数生成策略生成目标时变参数,并根据目标时变参数和目标请求生成目标数据;其中,目标时变参数生成策略为第一实体和第三实体约定的时变参数生成策略;根据秘密值Kab和目标数据,生成密码校验值Sa;根据目标数据和密码校验值Sa,生成目标消息;将目标消息发送给第二实体,以便第二实体判断缓存模块中是否存在目标消息的摘要值对应的目标摘要值;若存在,从缓存模块中获取对目标摘要值对应鉴别结果;若不存在,将目标消息转发给第三实体,以使第三实体利用目标消息对实体进行实体鉴别并将得到的鉴别结果反馈给第二实体。本发明提供的技术方案,第三实体可以根据预测检验函数和与第一实体约定的目标时变参数生成策略预测出与第一实体相关的多个摘要值,这样在下一次第二实体接收到第一实体发送的消息时,可以提高缓存模块命中第一实体发送的消息的摘要值的概率,从而缓解现有的实体鉴别技术中第二实体和第三实体进行交互来带的性能损耗的问题;并且,本发明提供的缓存模块中存储的不是消息本身,而是摘要值和鉴别结果,这样即使缓存模块受到攻击,攻击者也无法根据缓存模块中存储的摘要值还原出相应的第一实体的消息,也就无法冒充该第一实体与第二实体进行通信,从而避免缓存模块发生数据泄露。
可选的,密码校验值Sa生成单元,包括:
密码校验值Sa生成子单元,用于将秘密值Kab和目标数据执行目标密码变换算法Sign,得到密码校验值Sa;其中,目标密码变换算法Sign与第三实体约定的密码变换算法Verify为一对相关变换。
可选的,目标消息生成单元,包括:
目标消息生成子单元,用于将目标数据和密码校验值Sa进行拼接,生成目标消息。
基于本发明实施例公开的多方实体鉴别方法,本发明实施例还对应公开一种多方实体鉴别装置,如图6所示,该多方实体鉴别装置应用于第二实体,该多方实体鉴别装置包括:
接收单元61,用于接收到第一实体发送的目标消息时,对目标消息进行处理,得到目标消息的摘要值;
判断单元62,用于判断缓存模块中是否存在目标消息的摘要值对应的目标摘要值;其中,缓存模块中存储有多个摘要值,以及每个摘要值对应的鉴别结果;
鉴别结果获取单元63,用于若缓存模块中存在目标消息的摘要值对应的目标摘要值,从缓存模块中获取目标摘要值对应的鉴别结果,并根据鉴别结果进行相应的业务处理;其中,目标摘要值对应的鉴别结果为第一实体的鉴别结果;
第二目标消息转发单元64,用于若缓存模块中不存在目标消息的摘要值对应的目标摘要值,将目标消息转发给第三实体,以使第三实体利用目标消息对实体进行实体鉴别得到第一实体的鉴别结果;
鉴别结果接收单元65,用于接收第三实体反馈的第一实体鉴别结果,并根据第一实体的鉴别结果进行相应的业务处理。
上述本发明实施例公开的多方实体鉴别装置中各个单元具体的原理和执行过程,与上述本发明实施例图3公开的多方实体鉴别方法相同,可参见上述本发明实施例公开的多方实体鉴别方法中相应的部分,这里不再进行赘述。
本发明提供一种多方鉴别装置,第二实体收到第一实体发送的目标消息时,对目标消息进行处理,得到目标消息的摘要值;判断缓存模块中是否存在目标消息的摘要值对应的目标摘要值;其中,缓存模块中存储有多个摘要值,以及每个摘要值对应的鉴别结果;若缓存模块中存在目标消息的摘要值对应的目标摘要值,从缓存模块中获取目标摘要值对应的鉴别结果,并根据鉴别结果进行相应的业务处理;若缓存模块中不存在目标消息的摘要值对应的目标摘要值,将目标消息转发给第三实体,以使第三实体利用目标消息对实体进行实体鉴别得到第一实体的鉴别结果;在接收到第三实体反馈的第一实体鉴别结果时,根据第一实体的鉴别结果进行相应的业务处理。本发明提供的技术方案,第三实体可以根据预测检验函数和与第一实体约定的目标时变参数生成策略预测出与第一实体相关的多个摘要值,这样在下一次第二实体接收到第一实体发送的消息时,可以提高缓存模块命中第一实体发送的消息的摘要值的概率,从而缓解现有的实体鉴别技术中第二实体和第三实体进行交互来带的性能损耗的问题;并且,本发明提供的缓存模块中存储的不是消息本身,而是摘要值和鉴别结果,这样即使缓存模块受到攻击,攻击者也无法根据缓存模块中存储的摘要值还原出相应的第一实体的消息,也就无法冒充该第一实体与第二实体进行通信,从而避免缓存模块发生数据泄露。
可选的,接收单元,包括:
第一单向散列计算单元,用于接收到第一实体发送的目标消息时,利用目标单向散列函数对目标消息进行单向散列计算,得到目标消息的摘要值。
基于本发明实施例公开的多方实体鉴别方法,本发明实施例还对应公开一种多方实体鉴别装置,如图7所示,该多方实体鉴别装置应用于第三实体,该多方实体鉴别装置包括:
第一数据处理单元71,用于接收到第二实体转发的目标消息时,利用秘密值Kba对目标消息中的目标数据进行处理,并将得到的第一实体的鉴别结果发送给第二实体,以使第二实体根据第一实体的鉴别结果进行相应的业务处理;其中,秘密值Kba与第一实体约定的秘密值Kab为一对秘密密钥,或者为对称密钥,或者为非对称密钥;
预测单元72,用于根据预测检验函数和目标时变参数生成策略预测第一实体在目标时间窗口期内的第1条数据,以得到目标预测数据;其中,目标时变参数生成策略为第一实体和第三实体约定的时变参数生成策略;
密码校验值Sbi生成单元73,用于根据秘密值Kba和目标预测数据,生成密码校验值Sbi;
第二数据处理单元74,用于对根据目标预测数据和密码校验值Sbi生成的预测消息进行处理,得到目标预测数据对应的摘要值;
更新单元75,用于将目标预测数据更新为第一实体在目标时间窗口期内的下一条数据,返回执行密码校验值Sbi生成单元,直至得到n个摘要值;第一实体在目标时间窗口期内的下一条数据基于目标时变参数生成策略和预测检验函数预测得到;
关联单元76,用于将第一实体的鉴别结果分别和每个摘要值进行关联,并将关联后的第一实体的鉴别结果和摘要值发送给第二实体,以使第二实体将关联后的第一实体的鉴别结果和摘要值存储至缓存模块中。
上述本发明实施例公开的多方实体鉴别装置中各个单元具体的原理和执行过程,与上述本发明实施例图4公开的多方实体鉴别方法相同,可参见上述本发明实施例公开的多方实体鉴别方法中相应的部分,这里不再进行赘述。
本发明提供一种多方鉴别装置,第三实体接收到第二实体转发的目标消息时,利用秘密值Kba对目标消息中的目标数据进行处理,并将得到的第一实体的鉴别结果发送给第二实体,以使第二实体根据第一实体的鉴别结果进行相应的业务处理;其中,秘密值Kba与第一实体约定的秘密值Kab为一对秘密密钥,或者为对称密钥,或者为非对称密钥;根据预测检验函数和目标时变参数生成策略预测第一实体在目标时间窗口期内的第1条数据,以得到目标预测数据;其中,目标时变参数生成策略为第一实体和第三实体约定的时变参数生成策略;根据秘密值Kba和目标预测数据,生成密码校验值Sbi;对根据目标预测数据和密码校验值Sbi生成的预测消息进行处理,得到目标预测数据对应的摘要值;将目标预测数据更新为第一实体在目标时间窗口期内的下一条数据,返回执行第三数据处理大院,直至得到n个摘要值;第一实体在目标时间窗口期内的下一条数据基于目标时变参数生成策略和预测检验函数预测得到;将第一实体的鉴别结果分别和每个摘要值进行关联,并将关联后的第一实体的鉴别结果和摘要值发送给第二实体,以使第二实体将关联后的第一实体的鉴别结果和摘要值存储缓存模块中,以便第二实体在一下接收到第一实体发送的消息时,可以提高缓存模块命中第一实体发送的消息的摘要值的概率,从而缓解现有的实体鉴别技术中第二实体和第三实体进行交互来带的性能损耗的问题。
可选的,第一数据处理单元,包括:
第一数据处理子单元,用于接收到第二实体转发的目标消息时,将秘密值Kba和目标消息执行密码变换算法Verify,得到第一实体的鉴别结果,并将第一实体的鉴别结果发送的第二实体;
其中,密码变换算法Verify与第一实体约定的密码变换算法Sign是一对相关变换算法。
可选的,第二数据处理单元,包括:
预测消息生成单元,用于根据目标预测数据和密码校验值Sbi,生成的预测消息;
第二单向散列计算单元,用于利用目标单向散列函数,对预测消息执行单向散列计算,得到目标预测数据对应的目标摘要值。
本发明实施例还对应公开一种多方实体鉴别系统,如图8所示,该系统包括第一实体、第二实体和第三实体;
第一实体,用于利用目标时变参数生成策略生成目标时变参数,并根据目标时变参数和目标请求生成目标数据;其中,目标时变参数生成策略为第一实体和第三实体约定的时变参数生成策略;根据秘密值Kab和目标数据,生成密码校验值Sa;根据目标数据和密码校验值Sa,生成目标消息;将目标消息发送给第二实体;
第二实体,用于接收到第一实体发送的目标消息时,对目标消息进行处理,得到目标消息的摘要值;判断缓存模块中是否存在目标消息的摘要值对应的目标摘要值;其中,缓存模块中存储有多个摘要值,以及每个摘要值对应的鉴别结果;若缓存模块中存在目标消息的摘要值对应的目标摘要值,从缓存模块中获取目标摘要值对应的鉴别结果,并根据鉴别结果进行相应的业务处理;其中,目标摘要值对应的鉴别结果为第一实体的鉴别结果;若缓存模块中不存在目标消息的摘要值对应的目标摘要值,将目标消息转发给第三实体;接收第三实体反馈的第一实体鉴别结果时,并根据第一实体的鉴别结果进行相应的业务处理;接收到第三实体反馈的关联后的第一实体的鉴别结果和摘要值时,将关联后的第一实体的鉴别结果和摘要值存储至缓存模块中;
第三实体,用于接收到第二实体转发的目标消息时,利用秘密值Kba对目标消息中的目标数据进行处理,并将得到的第一实体的鉴别结果发送给第二实体;其中,秘密值Kba与第一实体约定的秘密值Kab为一对秘密密钥,或者为对称密钥,或者为非对称密钥;根据预测检验函数和目标时变参数生成策略预测第一实体在目标时间窗口期内的第1条数据,以得到目标预测数据;其中,目标时变参数生成策略为第一实体和第三实体约定的时变参数生成策略;根据秘密值Kba和目标预测数据,生成密码校验值Sb;对根据目标预测数据和密码校验值Sbi生成的预测消息进行处理,得到目标预测数据对应的摘要值;将目标预测数据更新为第一实体在目标时间窗口期内的下一条数据,返回执行根据秘密值Kba和目标预测数据生成密码校验值Sbi,直至得到n个摘要值;第一实体在目标时间窗口期内的下一条数据基于目标时变参数生成策略和预测检验函数预测得到;将第一实体的鉴别结果分别和每个摘要值进行关联,并将关联后的第一实体的鉴别结果和摘要值发送给第二实体。
本发明提供的一种多方实体鉴别系统,第一实体可以利用预先与第三实体预定的目标时变参数生成策略生成目标时变参数,并根据生成的目标时变参数生成目标数据;根据秘密值Kab和目标数据生成密码校验值Sa,并将根据目标数据和密码校验值Sa生成的目标消息发送给第二实体;第二实体接收到第一实体发送的目标消息时,对目标消息进行处理,得到目标消息的摘要值,并判断缓存模块中是否存在目标消息的摘要值对应的目标摘要值;若缓存模块中存在目标消息的摘要值对应的目标摘要值,从缓存模块中获取目标摘要值对应的鉴别结果,若缓存模块中不存在目标消息的摘要值对应的目标摘要值,将目标消息转发给第三实体;第三实体利用目标消息对实体进行实体鉴别,并将得到的第一实体的鉴别结果反馈给第二实体,以便第二实体根据第一实体的鉴别结果进行相应的业务处理;第三实体得到第一实体的鉴别结果后,可以进一步根据预测检验函数和目标时变参数生成策略预测第一实体在目标时间窗口期内的第1条数据,以得到目标预测数据;根据秘密值Kba和目标预测数据生成密码校验值Sbi;对根据目标预测数据和密码校验值Sbi生成的预测消息进行处理,得到目标预测数据对应的摘要值;将目标预测数据更新为第一实体在目标时间窗口期内的下一条数据,返回执行利用秘密值Kba对目标预测数据进行处理,直至得到n个摘要值;第一实体在目标时间窗口期内的下一条数据基于目标时变参数生成策略预测和预测检验函数得到;将第一实体的鉴别结果分别和每个摘要值进行关联,并将关联后的鉴别结果和摘要值发送给第二实体,以使第二实体将关联后的鉴别结果和摘要值存储至缓存模块中,以便第二实体后续接收到第一实体发送的目标消息时,可以从缓存数据中直接获取第一实体的鉴别结果。本发明提供的技术方案,第三实体可以根据预测检验函数、与第一实体约定的目标时变参数生成策略和秘密值Kba预测出与第一实体相关的多个摘要值,这样在下一次第二实体接收到第一实体发送的消息时,可以提高缓存模块命中第一实体发送的消息的摘要值的概率,从而缓解现有的实体鉴别技术中第二实体和第三实体进行交互来带的性能损耗的问题;并且,本发明提供的缓存模块中存储的不是消息本身,而是摘要值和鉴别结果,这样即使缓存模块受到攻击,攻击者也无法根据缓存模块中存储的摘要值还原出相应的第一实体的消息,也就无法冒充该第一实体与第二实体进行通信,从而避免缓存模块发生数据泄露。
本申请实施例提供了一种电子设备,如图9所示,电子设备包括处理器901和存储器902,存储器902用于存储多方实体鉴别方法的程序代码和数据,处理器901用于调用存储器中的程序指令执行实现如上述实施例中的多方实体鉴别方法所示的步骤。
本申请实施例提供了一种存储介质,存储介质包括存储程序,其中,在程序运行时控制存储介质所在设备执行上述实施例示出的多方实体鉴别方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的系统及系统实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
以上仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (14)
1.一种多方实体鉴别方法,其特征在于,应用于第一实体,所述方法包括:
利用目标时变参数生成策略生成目标时变参数,并根据所述目标时变参数和目标请求生成目标数据;其中,所述目标时变参数生成策略为所述第一实体和第三实体约定的时变参数生成策略;
根据秘密值Kab和所述目标数据,生成密码校验值Sa;
根据所述目标数据和所述密码校验值Sa,生成目标消息;
将所述目标消息发送给第二实体,以便所述第二实体判断缓存模块中是否存在所述目标消息的摘要值对应的目标摘要值;若存在,从所述缓存模块中获取对所述目标摘要值对应鉴别结果;若不存在,将所述目标消息转发给第三实体,以使所述第三实体利用所述目标消息对所述第一实体进行实体鉴别并将得到的鉴别结果反馈给所述第二实体。
2.根据权利要求1所述的方法,其特征在于,所述根据秘密值Kab和所述目标数据,生成密码校验值Sa,包括:
将秘密值Kab和所述目标数据执行目标密码变换算法Sign,得到密码校验值Sa;其中,所述目标密码变换算法Sign与所述第三实体约定的密码变换算法Verify为一对相关变换。
3.根据权利要求1所述的方法,其特征在于,所述根据所述目标数据和所述密码校验值Sa,生成目标消息,包括:
将所述目标数据和所述密码校验值Sa进行拼接,生成目标消息。
4.一种多方实体鉴别方法,其特征在于,应用于第二实体,所述方法包括:
接收到第一实体发送的目标消息时,对所述目标消息进行处理,得到所述目标消息的摘要值;
判断缓存模块中是否存在所述目标消息的摘要值对应的目标摘要值;其中,所述缓存模块中存储有多个摘要值,以及每个摘要值对应的鉴别结果;
若所述缓存模块中存在所述目标消息的摘要值对应的目标摘要值,从所述缓存模块中获取所述目标摘要值对应的鉴别结果,并根据所述鉴别结果进行相应的业务处理;其中,所述目标摘要值对应的鉴别结果为第一实体的鉴别结果;
若所述缓存模块中不存在所述目标消息的摘要值对应的目标摘要值,将所述目标消息转发给所述第三实体,以使所述第三实体利用所述目标消息对所述实体进行实体鉴别得到所述第一实体的鉴别结果;
接收所述第三实体反馈的所述第一实体鉴别结果,并根据所述第一实体的鉴别结果进行相应的业务处理。
5.根据权利要求4所述的方法,其特征在于,所述接收到第一实体发送的目标消息时,对所述目标消息进行处理,得到所述目标消息的摘要值,包括:
接收到第一实体发送的目标消息时,利用目标单向散列函数对所述目标消息进行单向散列计算,得到所述目标消息的摘要值。
6.一种多方实体鉴别方法,其特征在于,应用于第三实体,所述方法包括:
接收到第二实体转发的目标消息时,利用秘密值Kba对目标消息中的目标数据进行处理,并将得到的所述第一实体的鉴别结果发送给第二实体,以使第二实体根据所述第一实体的鉴别结果进行相应的业务处理;其中,所述秘密值Kba与所述第一实体约定的秘密值Kab为一对秘密密钥,或者为对称密钥,或者为非对称密钥;
根据预测检验函数和目标时变参数生成策略预测第一实体在目标时间窗口期内的第1条数据,以得到目标预测数据;其中,所述目标时变参数生成策略为所述第一实体和第三实体约定的时变参数生成策略;
根据秘密值Kba和所述目标预测数据,生成密码校验值Sbi;
对根据所述目标预测数据和所述密码校验值Sbi生成的预测消息进行处理,得到所述目标预测数据对应的摘要值;
将所述目标预测数据更新为所述第一实体在目标时间窗口期内的下一条数据,返回执行根据秘密值Kba和所述目标预测数据生成密码校验值Sbi,直至得到n个摘要值;所述第一实体在目标时间窗口期内的下一条数据基于所述目标时变参数生成策略和所述预测检验函数预测得到;
将所述第一实体的鉴别结果分别和每个所述摘要值进行关联,并将关联后的所述第一实体的鉴别结果和摘要值发送给所述第二实体,以使所述第二实体将关联后的所述第一实体的鉴别结果和摘要值存储至缓存模块中。
7.根据权利要求6所述的方法,其特征在于,所述接收到第二实体转发的目标消息时,利用秘密值Kba对目标消息中的目标数据进行处理,并将得到的所述第一实体的鉴别结果发送给第二实体,包括:
接收到第二实体转发的目标消息时,将秘密值Kba和所述目标消息执行密码变换算法Verify,得到所述第一实体的鉴别结果,并将所述第一实体的鉴别结果发送的第二实体;
其中,所述密码变换算法Verify与所述第一实体约定的密码变换算法Sign是一对相关变换算法。
8.根据权利要求6所述的方法,其特征在于,所述对根据所述目标预测数据和所述密码校验值Sbi生成的预测消息进行处理,得到所述目标预测数据对应的目标摘要值,包括:
根据所述目标预测数据和所述密码校验值Sbi,生成的预测消息;
利用目标单向散列函数,对所述预测消息执行单向散列计算,得到所述目标预测数据对应的目标摘要值。
9.一种多方实体鉴别装置,其特征在于,应用于第一实体,所述装置包括:
目标数据生成单元,用于利用目标时变参数生成策略生成目标时变参数,并根据所述目标时变参数和目标请求生成目标数据;其中,所述目标时变参数生成策略为所述第一实体和第三实体约定的时变参数生成策略;
密码校验值Sa生成单元,用于根据秘密值Kab和所述目标数据,生成密码校验值Sa;
目标消息生成单元,用于根据所述目标数据和所述密码校验值Sa,生成目标消息;
第一目标消息转发单元,用于将所述目标消息发送给第二实体,以便所述第二实体判断缓存模块中是否存在所述目标消息的摘要值对应的目标摘要值;若存在,从所述缓存模块中获取对所述目标摘要值对应鉴别结果;若不存在,将所述目标消息转发给第三实体,以使所述第三实体利用所述目标消息对所述实体进行实体鉴别并将得到的鉴别结果反馈给所述第二实体。
10.一种多方实体鉴别装置,其特征在于,应用于第二实体,所述装置包括:
接收单元,用于接收到第一实体发送的目标消息时,对所述目标消息进行处理,得到所述目标消息的摘要值;
判断单元,用于判断缓存模块中是否存在所述目标消息的摘要值对应的目标摘要值;其中,所述缓存模块中存储有多个摘要值,以及每个摘要值对应的鉴别结果;
鉴别结果获取单元,用于若所述缓存模块中存在所述目标消息的摘要值对应的目标摘要值,从所述缓存模块中获取所述目标摘要值对应的鉴别结果,并根据所述鉴别结果进行相应的业务处理;其中,所述目标摘要值对应的鉴别结果为第一实体的鉴别结果;
第二目标消息转发单元,用于若所述缓存模块中不存在所述目标消息的摘要值对应的目标摘要值,将所述目标消息转发给所述第三实体,以使所述第三实体利用所述目标消息对所述实体进行实体鉴别得到所述第一实体的鉴别结果;
鉴别结果接收单元,用于接收所述第三实体反馈的所述第一实体鉴别结果,并根据所述第一实体的鉴别结果进行相应的业务处理。
11.一种多方实体鉴别装置,其特征在于,应用于第三实体,所述装置包括:
第一数据处理单元,用于接收到第二实体转发的目标消息时,利用秘密值Kba对目标消息中的目标数据进行处理,并将得到的所述第一实体的鉴别结果发送给第二实体,以使第二实体根据所述第一实体的鉴别结果进行相应的业务处理;其中,所述秘密值Kba与所述第一实体约定的秘密值Kab为一对秘密密钥,或者为对称密钥,或者为非对称密钥;
预测单元,用于根据预测检验函数和目标时变参数生成策略预测第一实体在目标时间窗口期内的第1条数据,以得到目标预测数据;其中,所述目标时变参数生成策略为所述第一实体和第三实体约定的时变参数生成策略;
密码校验值Sbi生成单元,用于根据秘密值Kba和所述目标预测数据,生成密码校验值Sbi;
第二数据处理单元,用于对根据所述目标预测数据和所述密码校验值Sbi生成的预测消息进行处理,得到所述目标预测数据对应的摘要值;
更新单元,用于将所述目标预测数据更新为所述第一实体在目标时间窗口期内的下一条数据,返回执行密码校验值Sbi生成单元,直至得到n个摘要值;所述第一实体在目标时间窗口期内的下一条数据基于所述目标时变参数生成策略和所述预测检验函数预测得到;
关联单元,用于将所述第一实体的鉴别结果分别和每个所述摘要值进行关联,并将关联后的所述第一实体的鉴别结果和摘要值发送给所述第二实体,以使所述第二实体将关联后的所述第一实体的鉴别结果和摘要值存储至缓存模块中。
12.一种多方实体鉴别系统,其特征在于,所述系统包括第一实体、第二实体和第三实体;
所述第一实体,用于利用目标时变参数生成策略生成目标时变参数,并根据所述目标时变参数和目标请求生成目标数据;其中,所述目标时变参数生成策略为所述第一实体和第三实体约定的时变参数生成策略;根据秘密值Kab和所述目标数据,生成密码校验值Sa;根据所述目标数据和所述密码校验值Sa,生成目标消息;将所述目标消息发送给第二实体;
所述第二实体,用于接收到第一实体发送的目标消息时,对所述目标消息进行处理,得到所述目标消息的摘要值;判断缓存模块中是否存在所述目标消息的摘要值对应的目标摘要值;其中,所述缓存模块中存储有多个摘要值,以及每个摘要值对应的鉴别结果;若所述缓存模块中存在所述目标消息的摘要值对应的目标摘要值,从所述缓存模块中获取所述目标摘要值对应的鉴别结果,并根据所述鉴别结果进行相应的业务处理;其中,所述目标摘要值对应的鉴别结果为第一实体的鉴别结果;若所述缓存模块中不存在所述目标消息的摘要值对应的目标摘要值,将所述目标消息转发给所述第三实体;接收所述第三实体反馈的所述第一实体鉴别结果时,根据所述第一实体的鉴别结果进行相应的业务处理;接收到所述第三实体反馈的关联后的所述第一实体的鉴别结果和摘要值时,将关联后的所述第一实体的鉴别结果和摘要值存储至缓存模块中;
所述第三实体,用于接收到第二实体转发的目标消息时,利用秘密值Kba对目标消息中的目标数据进行处理,并将得到的所述第一实体的鉴别结果发送给第二实体;其中,所述秘密值Kba与所述第一实体约定的秘密值Kab为一对秘密密钥,或者为对称密钥,或者为非对称密钥;根据预测检验函数和目标时变参数生成策略预测第一实体在目标时间窗口期内的第1条数据,以得到目标预测数据;其中,所述目标时变参数生成策略为所述第一实体和第三实体约定的时变参数生成策略;根据秘密值Kba和所述目标预测数据,生成密码校验值Sb;对根据所述目标预测数据和所述密码校验值Sbi生成的预测消息进行处理,得到所述目标预测数据对应的摘要值;将所述目标预测数据更新为所述第一实体在目标时间窗口期内的下一条数据,返回执行根据秘密值Kba和所述目标预测数据生成密码校验值Sbi,直至得到n个摘要值;所述第一实体在目标时间窗口期内的下一条数据基于所述目标时变参数生成策略和所述预测检验函数预测得到;将所述第一实体的鉴别结果分别和每个所述摘要值进行关联,并将关联后的所述第一实体的鉴别结果和摘要值发送给所述第二实体。
13.一种电子设备,其特征在于,包括:处理器以及存储器,所述处理器以及存储器通过通信总线相连;其中,所述处理器,用于调用并执行所述存储器中存储的程序;所述存储器,用于存储程序,所述程序用于实现如权利要求1-3任一项,或者权利要求4-5任一项,或者权利要求6-8任一项所述的多方实体鉴别方法。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令用于执行如权利要求1-3任一项,或者权利要求4-5任一项,或者权利要求6-8任一项所述的多方实体鉴别方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211397579.0A CN118018205A (zh) | 2022-11-09 | 2022-11-09 | 一种多方实体鉴别方法及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211397579.0A CN118018205A (zh) | 2022-11-09 | 2022-11-09 | 一种多方实体鉴别方法及相关设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN118018205A true CN118018205A (zh) | 2024-05-10 |
Family
ID=90948892
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211397579.0A Pending CN118018205A (zh) | 2022-11-09 | 2022-11-09 | 一种多方实体鉴别方法及相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN118018205A (zh) |
-
2022
- 2022-11-09 CN CN202211397579.0A patent/CN118018205A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109600350B (zh) | 用于车辆网络中的控制器间的安全通信的系统和方法 | |
| US8356179B2 (en) | Entity bi-directional identificator method and system based on trustable third party | |
| JP4709815B2 (ja) | 認証方法および装置 | |
| CN107040513B (zh) | 一种可信访问认证处理方法、用户终端和服务端 | |
| US9398024B2 (en) | System and method for reliably authenticating an appliance | |
| WO2019093478A1 (ja) | 鍵交換装置、鍵交換システム、鍵交換方法、及び鍵交換プログラム | |
| US10122755B2 (en) | Method and apparatus for detecting that an attacker has sent one or more messages to a receiver node | |
| KR101253683B1 (ko) | 연쇄 해시에 의한 전자서명 시스템 및 방법 | |
| Vangala et al. | Provably secure signature‐based anonymous user authentication protocol in an Internet of Things‐enabled intelligent precision agricultural environment | |
| CN112637298B (zh) | 认证方法和成员节点 | |
| US20240064143A1 (en) | Methods, mediums, and systems for verifying devices in an encrypted messaging system | |
| KR20130024996A (ko) | 멀티캐스트 환경에서 싱글 버퍼 해시를 이용한 소스 인증 방법 및 장치 | |
| CN115473655B (zh) | 接入网络的终端认证方法、装置及存储介质 | |
| Chang et al. | On making U2F protocol leakage-resilient via re-keying | |
| CN116599719A (zh) | 一种用户登录认证方法、装置、设备、存储介质 | |
| CN111245611A (zh) | 基于秘密共享和可穿戴设备的抗量子计算身份认证方法及系统 | |
| US11658955B1 (en) | Methods, mediums, and systems for verifying devices in an encrypted messaging system | |
| US11743035B2 (en) | Methods, mediums, and systems for verifying devices in an encrypted messaging system | |
| CN115604034A (zh) | 一种通信连接的加解密方法、系统及电子设备 | |
| CN114944921A (zh) | 登录认证方法、装置、电子设备及存储介质 | |
| CN118018205A (zh) | 一种多方实体鉴别方法及相关设备 | |
| CN114065170A (zh) | 平台身份证书的获取方法、装置和服务器 | |
| CN113505382A (zh) | 微服务鉴权方法、电子装置和存储介质 | |
| US11843636B1 (en) | Methods, mediums, and systems for verifying devices in an encrypted messaging system | |
| CN110532741B (zh) | 个人信息授权方法、认证中心及服务提供方 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |