CN110351092A - 数据包的传输方法和装置、存储介质、电子装置 - Google Patents
数据包的传输方法和装置、存储介质、电子装置 Download PDFInfo
- Publication number
- CN110351092A CN110351092A CN201910503334.3A CN201910503334A CN110351092A CN 110351092 A CN110351092 A CN 110351092A CN 201910503334 A CN201910503334 A CN 201910503334A CN 110351092 A CN110351092 A CN 110351092A
- Authority
- CN
- China
- Prior art keywords
- information
- dimension
- data packet
- requesting party
- signing messages
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3218—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
- H04L9/3221—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs interactive zero-knowledge proofs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/121—Timestamp
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种数据包的传输方法和装置、存储介质、电子装置。其中,该方法包括:生成标准数据包,其中,所述标准数据包至少包括待请求方发送的目标数据、所述请求方对所述标准数据包中内容进行签名得到的签名信息以及用于对所述签名信息进行验证的所述请求方的公钥;向接收方发送所述数据包。本发明解决了相关技术中实现用户认证的方法安全性较低的技术问题。
Description
技术领域
本发明涉及互联网领域,具体而言,涉及一种数据包的传输方法和装置、存储介质、电子装置。
背景技术
传统信息安全***中通常采用非零知识证明的方法实现用户认证,如用户/口令的验证场景,或IP地址验证的场景,这些场景均是基于对真实信息的对比实现对用户的认证,例如需要认证用户时,用户必须出示用户的id帐号和密码,以便于***将用户的id帐号和密码与***中存储的信息进行对比,通过对比来完成用户身份的验证;再如,证明***可基于可信的第三方集中数据库,采用特征对比的方式对用户身份进行认证。
以上这些方法的问题是使用成本高昂、验证方式复杂、数据集中存在一定的风险。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种数据包的传输方法和装置、存储介质、电子装置,以至少解决相关技术中实现用户认证的方法安全性较低的技术问题。
根据本发明实施例的一个方面,提供了一种数据包的传输方法,包括:生成标准数据包,其中,标准数据包至少包括待请求方发送的目标数据、请求方对标准数据包中内容进行签名得到的签名信息以及用于对签名信息进行验证的请求方的公钥;向接收方发送数据包。
可选地,生成标准数据包包括:获取第一维度的信息、第二维度的信息、第三维度的信息、第四维度的信息、第五维度的信息、第六维度的信息以及签名信息,其中,第一维度的信息用于指示请求方和接收方,第二维度的信息用于指示目标数据,第三维度的信息与时间相关,第四维度的信息用于指示传输的目的,第五维度的信息用于指示传输的寻址信息,第六维度的信息用于指示信息处理方式,签名信息为对第一维度的信息、第二维度内的明文信息、第三维度的信息、第四维度的信息、第五维度的信息以及第六维度的信息进行签名得到的;将第一维度的信息、第二维度的信息、第三维度的信息、第四维度的信息、第五维度的信息、第六维度的信息以及签名信息组合成标准数据包。
可选地,获取第一维度的信息包括:获取请求方的标识和用户信息、及接收方的标识和用户信息。
可选地,获取第三维度的信息包括:获取生成目标数据时的时间戳和目标数据的时序标识。
可选地,获取第三维度的信息还包括:获取目标数据的消息序号。
可选地,获取第五维度的信息包括:获取请求方的公钥。
可选地,获取第五维度的信息还包括:获取接收方的互联网协议地址、接收方的设备标识以及接收方的业务地址中的至少之一。
可选地,获取第六维度的信息包括:获取目标数据的编码方式和/或加密方式。
根据本发明实施例的一个方面,提供了一种数据包的传输方法,包括:获取请求方发送的标准数据包,其中,标准数据包至少包括请求方发送的目标数据、请求方的签名信息对标准数据包中内容进行签名得到的签名信息以及请求方的公钥;利用请求方的公钥对签名信息进行验证,以确定请求方的合法性。
可选地,利用请求方的公钥对签名信息进行验证,以确定请求方的合法性包括:从标准数据包中获取第一维度的信息、第二维度的信息、第三维度的信息、第四维度的信息、第五维度的信息、第六维度的信息以及签名信息,其中,第一维度的信息用于指示请求方和接收方,第二维度的信息用于指示目标数据,第三维度的信息与时间相关,第四维度的信息用于指示传输的目的,第五维度的信息用于指示传输的寻址信息,第六维度的信息用于指示信息处理方式,签名信息为对第一维度的信息、第二维度内的明文信息、第三维度的信息、第四维度的信息、第五维度的信息以及第六维度的信息进行签名得到的;按照第六维度的信息指示的信息处理方式对第二维度的信息进行处理,得到第二维度内的明文信息;在利用请求方的公钥验证签名信息正确的情况下,确定请求方合法;在利用请求方的公钥验证签名信息不正确的情况下,确定请求方不合法。
根据本发明实施例的另一方面,还提供了一种数据包的传输装置,包括:生成单元,用于生成标准数据包,其中,标准数据包至少包括待请求方发送的目标数据、请求方对标准数据包中内容进行签名得到的签名信息以及用于对签名信息进行验证的请求方的公钥;发送单元,用于向接收方发送数据包。
根据本发明实施例的另一方面,还提供了一种数据包的传输装置,包括:获取单元,用于获取请求方发送的标准数据包,其中,标准数据包至少包括请求方发送的目标数据、请求方的签名信息对标准数据包中内容进行签名得到的签名信息以及请求方的公钥;验证单元,用于利用请求方的公钥对签名信息进行验证,以确定请求方的合法性。
根据本发明实施例的另一方面,还提供了一种存储介质,该存储介质包括存储的程序,程序运行时执行上述的方法。
根据本发明实施例的另一方面,还提供了一种电子装置,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器通过计算机程序执行上述的方法。
在本发明实施例中,通过采用上述数据结构,在安全通信数据交换的场景中,在一次简单交互中通过信息的整合和分配,实现了基于零知识证明的验证方式nizk的数字签名,从而可以直接以零交互的方式实现身份认证,并保证了消息传递的机密性和完整性,可以解决相关技术中实现用户认证的方法安全性较低的技术问题,进而达到提高验证过程的安全性的技术效果。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的数据包的传输方法的硬件环境的示意图;
图2是根据本发明实施例的一种可选的数据包的传输方法的流程图;
图3是根据本发明实施例的一种可选的数据包的传输方法的流程图;
图4是根据本发明实施例的一种可选的数据包的传输装置的示意图;
图5是根据本发明实施例的一种可选的数据包的传输装置的示意图;
以及
图6是根据本发明实施例的一种终端的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本申请所涉及的技术术语含义如下:
TCP(Transmission Control Protocol传输控制协议)是一种面向连接的、可靠的、基于字节流的传输层通信协议,由IETF的RFC 793定义。
UDP是User Datagram Protocol的简称,中文名是用户数据报协议,是OSI(OpenSystem Interconnection,开放式***互联)参考模型中一种无连接的传输层协议,提供面向事务的简单不可靠信息传送服务,IETFRFC 768是UDP的正式规范。UDP在IP报文的协议号是17。
安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性。该协议由两层组成:TLS记录协议(TLS Record)和TLS握手协议(TLS Handshake)。
ECC是“Elliptic curve cryptography”的简写,中文名称是“椭圆曲线密码学”。
根据本发明实施例的一方面,提供了一种数据包的传输方法的方法实施例。
可选地,在本实施例中,上述数据包的传输方法可以应用于如图1所示的由终端101和服务器103(该服务器也可替换为不同于终端101的其他终端)所构成的硬件环境中。如图1所示,服务器103通过网络与终端101进行连接,可用于为终端或终端上安装的客户端提供验证服务,可在服务器上或独立于服务器设置数据库105,用于为服务器103提供存储验证过程需要使用的数据的服务,上述网络包括但不限于:广域网、城域网或局域网,终端101并不限定于PC、手机、平板电脑等。
本发明实施例的数据包的传输方法也可以由终端101来执行,其中,终端101执行本发明实施例的数据包的传输方法也可以是由安装在其上的客户端来执行。图2是根据本发明实施例的一种可选的数据包的传输方法的流程图,如图2所示,该方法可以包括以下步骤:
步骤S202,终端生成标准数据包,标准数据包至少包括待请求方发送的目标数据、请求方对标准数据包中内容进行签名得到的签名信息以及用于对签名信息进行验证的请求方的公钥。
上述的请求方即为终端所在的一方,对应于使用该终端请求进行验证的用户;而接收方即进行验证的服务器所在的一方。
在上述实施例中,生成标准数据包可包括:获取第一维度的信息(可用“who”表示)、第二维度的信息(可用“what”表示)、第三维度的信息(可用“when”表示)、第四维度的信息(可用“why”表示)、第五维度的信息(可用“where”表示)、第六维度的信息(可用“how”表示)以及签名信息(可用“sign”表示),其中,第一维度的信息用于指示请求方和接收方,第二维度的信息用于指示目标数据,第三维度的信息与时间相关,第四维度的信息用于指示传输的目的,第五维度的信息用于指示传输的寻址信息,第六维度的信息用于指示信息处理方式,签名信息为对第一维度的信息、第二维度内的明文信息、第三维度的信息、第四维度的信息、第五维度的信息以及第六维度的信息进行签名得到的;将第一维度的信息、第二维度的信息、第三维度的信息、第四维度的信息、第五维度的信息、第六维度的信息以及签名信息组合成标准数据包。
可选地,在获取第一维度的信息时,可获取请求方的标识和用户信息、及接收方的标识和用户信息为第一维度的信息。
可选地,在获取第三维度的信息时,可获取生成目标数据时的时间戳和目标数据的时序标识为第三维度的信息。
可选地,在获取第三维度的信息时,除了获取上述内容还可获取目标数据的消息序号。
可选地,在获取第五维度的信息时,可获取请求方的公钥。
可选地,在获取第五维度的信息时,除了获取请求方的公钥外,还可获取接收方的互联网协议地址、接收方的设备标识以及接收方的业务地址中的至少之一。
可选地,在获取第六维度的信息时,可获取目标数据的编码方式和/或加密方式。
可选地,在获取第六维度的信息时,除了获取目标数据的编码方式和/或加密方式外,还可获取签名信息的签名方式。
表1
在上述实施例中,一种可选的标准数据包的结构如表1所示,初始化时,可将信息的6个维度合成一体,这6个维度具体可包含:who(将安全交互的双方进行标记,即标识请求方和接受方)、what(即需要交互信息的原始内容)、when(如时间戳,可自带时序id)、why(即信息交互的场景,可包括目的性,如请求资源、删除资源、获取密钥,以不同服务标识构造指令集定义等)、where(即寻址标记,可以ip地址+设备id+公钥+业务地址的形式实现)、how(如信息的格式处理、编码和加密处理等方式,即对应指令集的默认处理方式,可统一在此定义)。每一次信息交互,可通过对6个维度构造一个标准数据包,进行数字签名,实现了一次请求即可验证的能力。
步骤S204,终端向接收方发送数据包。
本发明实施例的数据包的传输方法可以由服务器103来执行,图3是根据本发明实施例的一种可选的数据包的传输方法的流程图,如图3所示,该方法可以包括以下步骤:
步骤S302,服务器获取请求方发送的标准数据包,标准数据包至少包括请求方发送的目标数据、请求方的签名信息对标准数据包中内容进行签名得到的签名信息以及请求方的公钥。
步骤S304,服务器利用请求方的公钥对签名信息进行验证,以确定请求方的合法性。
在步骤S304所示的实施例中,一种可选的实施方式如下,利用请求方的公钥对签名信息进行验证,以确定请求方的合法性包括:从标准数据包中获取第一维度的信息、第二维度的信息、第三维度的信息、第四维度的信息、第五维度的信息、第六维度的信息以及签名信息,其中,第一维度的信息用于指示请求方和接收方,第二维度的信息用于指示目标数据,第三维度的信息与时间相关,第四维度的信息用于指示传输的目的,第五维度的信息用于指示传输的寻址信息,第六维度的信息用于指示信息处理方式,签名信息为对第一维度的信息、第二维度内的明文信息、第三维度的信息、第四维度的信息、第五维度的信息以及第六维度的信息进行签名得到的;按照第六维度的信息指示的信息处理方式对第二维度的信息进行处理,得到第二维度内的明文信息;在利用请求方的公钥验证签名信息正确的情况下,确定请求方合法;在利用请求方的公钥验证签名信息不正确的情况下,确定请求方不合法。
在上述技术方案中,提供了一种零知识证明的验证方式,零知识证明是一种一方(即证明者)在不需要出示某信息(如x值)但可以向另一方(即验证者)证明他持有该信息的方案。不同于相关技术中采用的零知识证明方法,其实现用户认证时都要借助公私钥的非对称密码学技术来实现,且实现过程大部分都是基于交互式的方式实现,如CA、PKI体系,其总是需要交互来不断进行公钥互换,面临中间人攻击的问题。
通过上述步骤,通过采用上述数据结构,在安全通信数据交换的场景中,在一次简单交互中通过信息的整合和分配,实现了基于零知识证明的验证方式nizk的数字签名,随后就能直接以零交互的方式实现身份认证,并保证了消息传递的机密性和完整性,可以解决相关技术中实现用户认证的方法安全性较低的技术问题,进而达到提高验证过程的安全性的技术效果。
作为一种可选的实施例,下面结合具体的实施方式详述本申请的技术方案。
假定交互双方为Alice(即发送方),Bob(即接收方),所处的环境为企业内部的通讯场景,具体的实现步骤如下所示:
步骤S101,Alice需要给Bob发送信息时,可在Alice使用的终端1与Bob使用的终端2之间创建tcp连接(此处的tcp连接也可替换为其他连接,如udp连接)。
步骤S102,在终端1与终端2之间创建tcp连接后,使用表1的协议设计格式组装报文,以替代tls的加密方法对报文加密,组装报文以二进制格式进行编码。字段request可包括Alice的唯一识别id和昵称"Alice",字段response可包括Bob的唯一识别id和昵称"Bob";在Encode字段处,定义不同编码方式,例如明文、ecc加密等编码方式,如果定义为加密,则可以是对称加密,也可以是非对称加密,如使用Bob的公钥加密data的明文,将密文存放Data字段处,Data中的内容data为具体需要交互的消息(如Alice向Bob发送的工作要求等);在Time与Time id字段填入相应内容,Time与Time id是具备关联关系的字段,Time可以取unix***的时间戳,Time id可为随机生成id号,并随着消息发送方发送的消息数递增,如对于同一会话,即给同一个response的消息的序号递增,接收方可存储此值进行对比,可以避免报文重放;通过字段Type自定义指令集,可根据业务不同,后方的服务不同,可以定义任意指令集,如指令集“send message”,代表的是发送消息;通过Address字段存放寻址方式,如按照ip寻址,则可在该字段填写接收方的ip地址,如按公钥寻址,则填写对方的公钥;为了便于接收方对发送方进行验证,该字段必须填入发送方的公钥。
步骤S103,对以上6个维度的消息进行签名,具体签名方式可以任意,但需要在Encode字段中指定所使用的签名方式,如选择ecdsa或eddsa的非对称签名技术进行整体签名,将签名值放于整个报文末尾,这样,即构造了一个基于nizk的数字签名,此处的签名是基于Data的原文进行的。
步骤S104,接收方接收消息后,按照Encode字段中的编码方式获取Data中的明文;将6个维度信息组合,结合Encode中指定的具体签名技术,使用发送方的公钥进行验证,一旦验证通过,则说明,确实是从Alice发送过来的消息。
至此,Bob获取了Alice发送过来的秘密信息(该信息只有Bob能解开),且仅需一次***互,即能够验证消息来源于Alice且6个维度消息传递过程未经篡改。
采用本申请的上述技术方案,可以实现去中心的鉴权,做到端对端的平等交互认证,去掉可信第三方的介入;通过一次交互即可传递数据,能保证二进制数据的完整性不被破坏;采用多维度的信息封装,直接实现了认证和数据保密的一体化;每个报文信息自动携带时间戳与时序,自动避免对报文的重放攻击;完整信息总是携带最终签名,只要私钥不丢失,安全性就能得到保证。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
根据本发明实施例的另一个方面,还提供了一种用于实施上述数据包的传输方法的数据包的传输装置。图4是根据本发明实施例的一种可选的数据包的传输装置的示意图,如图4所示,该装置可以包括:生成单元401和发送单元403。
生成单元401,用于生成标准数据包,其中,所述标准数据包至少包括待请求方发送的目标数据、所述请求方对所述标准数据包中内容进行签名得到的签名信息以及用于对所述签名信息进行验证的所述请求方的公钥。
发送单元403,用于向接收方发送所述数据包。
需要说明的是,该实施例中的生成单元401可以用于执行本申请实施例中的步骤S202,该实施例中的发送单元403可以用于执行本申请实施例中的步骤S204。
可选地,生成单元生成标准数据包时,可用于获取第一维度的信息、第二维度的信息、第三维度的信息、第四维度的信息、第五维度的信息、第六维度的信息以及所述签名信息,其中,所述第一维度的信息用于指示所述请求方和所述接收方,所述第二维度的信息用于指示所述目标数据,所述第三维度的信息与时间相关,所述第四维度的信息用于指示传输的目的,所述第五维度的信息用于指示传输的寻址信息,所述第六维度的信息用于指示信息处理方式,所述签名信息为对所述第一维度的信息、所述第二维度内的明文信息、所述第三维度的信息、所述第四维度的信息、所述第五维度的信息以及所述第六维度的信息进行签名得到的;将所述第一维度的信息、所述第二维度的信息、所述第三维度的信息、所述第四维度的信息、所述第五维度的信息、所述第六维度的信息以及所述签名信息组合成所述标准数据包。
可选地,生成单元获取第一维度的信息时,获取所述请求方的标识和用户信息、及所述接收方的标识和用户信息,作为第一维度的信息。
可选地,生成单元获取第三维度的信息时,获取生成所述目标数据时的时间戳和所述目标数据的时序标识,作为第三维度的信息。
可选地,生成单元获取第三维度的信息时,还可获取所述目标数据的消息序号,将其作为第三维度的信息中的一部分。
可选地,生成单元获取第五维度的信息时,获取所述请求方的公钥,作为第五维度的信息。
可选地,生成单元获取第五维度的信息时,还可获取所述接收方的互联网协议地址、所述接收方的设备标识以及所述接收方的业务地址中的至少之一,将其作为第五维度的信息中的一部分。
可选地,生成单元获取第六维度的信息时,获取所述目标数据的编码方式和/或加密方式,作为第六维度的信息。
可选地,生成单元获取第六维度的信息时,还可获取签名信息的签名方式,将其作为第六维度的信息中的一部分。
根据本发明实施例的另一个方面,还提供了一种用于实施上述数据包的传输方法的数据包的传输装置。图5是根据本发明实施例的一种可选的数据包的传输装置的示意图,如图5所示,该装置可以包括:获取单元501和验证单元503。
获取单元501,用于获取请求方发送的标准数据包,其中,所述标准数据包至少包括所述请求方发送的目标数据、所述请求方的签名信息对所述标准数据包中内容进行签名得到的签名信息以及所述请求方的公钥;
验证单元503,用于利用所述请求方的公钥对所述签名信息进行验证,以确定所述请求方的合法性。
需要说明的是,该实施例中的获取单元501可以用于执行本申请实施例中的步骤S302,该实施例中的验证单元503可以用于执行本申请实施例中的步骤S304。
此处需要说明的是,上述模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在如图1所示的硬件环境中,可以通过软件实现,也可以通过硬件实现。
通过上述模块,通过采用上述数据结构,在安全通信数据交换的场景中,在一次简单交互中通过信息的整合和分配,实现了基于零知识证明的验证方式nizk的数字签名,随后就能直接以零交互的方式实现身份认证,并保证了消息传递的机密性和完整性,可以解决相关技术中实现用户认证的方法安全性较低的技术问题,进而达到提高验证过程的安全性的技术效果。
采用本申请的上述技术方案,可以实现去中心的鉴权,做到端对端的平等交互认证,去掉可信第三方的介入;通过一次交互即可传递数据,能保证二进制数据的完整性不被破坏;采用多维度的信息封装,直接实现了认证和数据保密的一体化;每个报文信息自动携带时间戳与时序,自动避免对报文的重放攻击;完整信息总是携带最终签名,只要私钥不丢失,安全性就能得到保证。
此处需要说明的是,上述模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在如图1所示的硬件环境中,可以通过软件实现,也可以通过硬件实现,其中,硬件环境包括网络环境。
根据本发明实施例的另一个方面,还提供了一种用于实施上述数据包的传输方法的服务器或终端。
图6是根据本发明实施例的一种终端的结构框图,如图6所示,该终端可以包括:一个或多个(图6中仅示出一个)处理器601、存储器603、以及传输装置605,如图6所示,该终端还可以包括输入输出设备607。
其中,存储器603可用于存储软件程序以及模块,如本发明实施例中的数据包的传输方法和装置对应的程序指令/模块,处理器601通过运行存储在存储器603内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的数据包的传输方法。存储器603可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器603可进一步包括相对于处理器601远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
上述的传输装置605用于经由一个网络接收或者发送数据,还可以用于处理器与存储器之间的数据传输。上述的网络具体实例可包括有线网络及无线网络。在一个实例中,传输装置605包括一个网络适配器(Network Interface Controller,NIC),其可通过网线与其他网络设备与路由器相连从而可与互联网或局域网进行通讯。在一个实例中,传输装置605为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
其中,具体地,存储器603用于存储应用程序。
处理器601可以通过传输装置605调用存储器603存储的应用程序,以执行下述步骤:
生成标准数据包,其中,所述标准数据包至少包括待请求方发送的目标数据、所述请求方对所述标准数据包中内容进行签名得到的签名信息以及用于对所述签名信息进行验证的所述请求方的公钥;
向接收方发送所述数据包。
处理器601还用于执行下述步骤:
获取第一维度的信息、第二维度的信息、第三维度的信息、第四维度的信息、第五维度的信息、第六维度的信息以及所述签名信息,其中,所述第一维度的信息用于指示所述请求方和所述接收方,所述第二维度的信息用于指示所述目标数据,所述第三维度的信息与时间相关,所述第四维度的信息用于指示传输的目的,所述第五维度的信息用于指示传输的寻址信息,所述第六维度的信息用于指示信息处理方式,所述签名信息为对所述第一维度的信息、所述第二维度内的明文信息、所述第三维度的信息、所述第四维度的信息、所述第五维度的信息以及所述第六维度的信息进行签名得到的;
将所述第一维度的信息、所述第二维度的信息、所述第三维度的信息、所述第四维度的信息、所述第五维度的信息、所述第六维度的信息以及所述签名信息组合成所述标准数据包。
采用本发明实施例,通过采用上述数据结构,在安全通信数据交换的场景中,在一次简单交互中通过信息的整合和分配,实现了基于零知识证明的验证方式nizk的数字签名,随后就能直接以零交互的方式实现身份认证,并保证了消息传递的机密性和完整性,可以解决相关技术中实现用户认证的方法安全性较低的技术问题,进而达到提高验证过程的安全性的技术效果。
可选地,本实施例中的具体示例可以参考上述实施例中所描述的示例,本实施例在此不再赘述。
本领域普通技术人员可以理解,图6所示的结构仅为示意,终端可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌上电脑以及移动互联网设备(Mobile InternetDevices,MID)、PAD等终端设备。图6其并不对上述电子装置的结构造成限定。例如,终端还可包括比图6中所示更多或者更少的组件(如网络接口、显示装置等),或者具有与图6所示不同的配置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(RandomAccess Memory,RAM)、磁盘或光盘等。
本发明的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于执行数据包的传输方法的程序代码。
可选地,在本实施例中,上述存储介质可以位于上述实施例所示的网络中的多个网络设备中的至少一个网络设备上。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:
生成标准数据包,其中,所述标准数据包至少包括待请求方发送的目标数据、所述请求方对所述标准数据包中内容进行签名得到的签名信息以及用于对所述签名信息进行验证的所述请求方的公钥;
向接收方发送所述数据包。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:
获取第一维度的信息、第二维度的信息、第三维度的信息、第四维度的信息、第五维度的信息、第六维度的信息以及所述签名信息,其中,所述第一维度的信息用于指示所述请求方和所述接收方,所述第二维度的信息用于指示所述目标数据,所述第三维度的信息与时间相关,所述第四维度的信息用于指示传输的目的,所述第五维度的信息用于指示传输的寻址信息,所述第六维度的信息用于指示信息处理方式,所述签名信息为对所述第一维度的信息、所述第二维度内的明文信息、所述第三维度的信息、所述第四维度的信息、所述第五维度的信息以及所述第六维度的信息进行签名得到的;
将所述第一维度的信息、所述第二维度的信息、所述第三维度的信息、所述第四维度的信息、所述第五维度的信息、所述第六维度的信息以及所述签名信息组合成所述标准数据包。
可选地,本实施例中的具体示例可以参考上述实施例中所描述的示例,本实施例在此不再赘述。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在上述计算机可读取的存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在存储介质中,包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的客户端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (14)
1.一种数据包的传输方法,其特征在于,包括:
生成标准数据包,其中,所述标准数据包至少包括待请求方发送的目标数据、所述请求方对所述标准数据包中内容进行签名得到的签名信息以及用于对所述签名信息进行验证的所述请求方的公钥;
向接收方发送所述数据包。
2.根据权利要求1所述的方法,其特征在于,生成标准数据包包括:
获取第一维度的信息、第二维度的信息、第三维度的信息、第四维度的信息、第五维度的信息、第六维度的信息以及所述签名信息,其中,所述第一维度的信息用于指示所述请求方和所述接收方,所述第二维度的信息用于指示所述目标数据,所述第三维度的信息与时间相关,所述第四维度的信息用于指示传输的目的,所述第五维度的信息用于指示传输的寻址信息,所述第六维度的信息用于指示信息处理方式,所述签名信息为对所述第一维度的信息、所述第二维度内的明文信息、所述第三维度的信息、所述第四维度的信息、所述第五维度的信息以及所述第六维度的信息进行签名得到的;
将所述第一维度的信息、所述第二维度的信息、所述第三维度的信息、所述第四维度的信息、所述第五维度的信息、所述第六维度的信息以及所述签名信息组合成所述标准数据包。
3.根据权利要求2所述的方法,其特征在于,获取第一维度的信息包括:
获取所述请求方的标识和用户信息、及所述接收方的标识和用户信息。
4.根据权利要求2所述的方法,其特征在于,获取第三维度的信息包括:
获取生成所述目标数据时的时间戳和所述目标数据的时序标识。
5.根据权利要求4所述的方法,其特征在于,获取第三维度的信息还包括:
获取所述目标数据的消息序号。
6.根据权利要求2所述的方法,其特征在于,获取第五维度的信息包括:
获取所述请求方的公钥。
7.根据权利要求6所述的方法,其特征在于,获取第五维度的信息还包括:
获取所述接收方的互联网协议地址、所述接收方的设备标识以及所述接收方的业务地址中的至少之一。
8.根据权利要求2所述的方法,其特征在于,获取第六维度的信息包括:
获取所述目标数据的编码方式和/或加密方式。
9.一种数据包的传输方法,其特征在于,包括:
获取请求方发送的标准数据包,其中,所述标准数据包至少包括所述请求方发送的目标数据、所述请求方的签名信息对所述标准数据包中内容进行签名得到的签名信息以及所述请求方的公钥;
利用所述请求方的公钥对所述签名信息进行验证,以确定所述请求方的合法性。
10.根据权利要求9所述的方法,其特征在于,利用所述请求方的公钥对所述签名信息进行验证,以确定所述请求方的合法性包括:
从所述标准数据包中获取第一维度的信息、第二维度的信息、第三维度的信息、第四维度的信息、第五维度的信息、第六维度的信息以及所述签名信息,其中,所述第一维度的信息用于指示所述请求方和接收方,所述第二维度的信息用于指示所述目标数据,所述第三维度的信息与时间相关,所述第四维度的信息用于指示传输的目的,所述第五维度的信息用于指示传输的寻址信息,所述第六维度的信息用于指示信息处理方式,所述签名信息为对所述第一维度的信息、所述第二维度内的明文信息、所述第三维度的信息、所述第四维度的信息、所述第五维度的信息以及所述第六维度的信息进行签名得到的;
按照所述第六维度的信息指示的信息处理方式对所述第二维度的信息进行处理,得到所述第二维度内的明文信息;
在利用所述请求方的公钥验证所述签名信息正确的情况下,确定所述请求方合法;
在利用所述请求方的公钥验证所述签名信息不正确的情况下,确定所述请求方不合法。
11.一种数据包的传输装置,其特征在于,包括:
生成单元,用于生成标准数据包,其中,所述标准数据包至少包括待请求方发送的目标数据、所述请求方对所述标准数据包中内容进行签名得到的签名信息以及用于对所述签名信息进行验证的所述请求方的公钥;
发送单元,用于向接收方发送所述数据包。
12.一种数据包的传输装置,其特征在于,包括:
获取单元,用于获取请求方发送的标准数据包,其中,所述标准数据包至少包括所述请求方发送的目标数据、所述请求方的签名信息对所述标准数据包中内容进行签名得到的签名信息以及所述请求方的公钥;
验证单元,用于利用所述请求方的公钥对所述签名信息进行验证,以确定所述请求方的合法性。
13.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序运行时执行上述权利要求1至10任一项中所述的方法。
14.一种电子装置,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器通过所述计算机程序执行上述权利要求1至10任一项中所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910503334.3A CN110351092A (zh) | 2019-06-11 | 2019-06-11 | 数据包的传输方法和装置、存储介质、电子装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910503334.3A CN110351092A (zh) | 2019-06-11 | 2019-06-11 | 数据包的传输方法和装置、存储介质、电子装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110351092A true CN110351092A (zh) | 2019-10-18 |
Family
ID=68181874
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910503334.3A Pending CN110351092A (zh) | 2019-06-11 | 2019-06-11 | 数据包的传输方法和装置、存储介质、电子装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110351092A (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101854625A (zh) * | 2009-04-03 | 2010-10-06 | 华为技术有限公司 | 安全算法选择处理方法与装置、网络实体及通信*** |
| CN106534086A (zh) * | 2016-10-31 | 2017-03-22 | 深圳数字电视国家工程实验室股份有限公司 | 一种设备认证方法、终端设备、服务器及*** |
| CN106992865A (zh) * | 2017-03-30 | 2017-07-28 | 北京深思数盾科技股份有限公司 | 数据签名方法及***、数据验签方法及装置 |
-
2019
- 2019-06-11 CN CN201910503334.3A patent/CN110351092A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101854625A (zh) * | 2009-04-03 | 2010-10-06 | 华为技术有限公司 | 安全算法选择处理方法与装置、网络实体及通信*** |
| CN106534086A (zh) * | 2016-10-31 | 2017-03-22 | 深圳数字电视国家工程实验室股份有限公司 | 一种设备认证方法、终端设备、服务器及*** |
| CN106992865A (zh) * | 2017-03-30 | 2017-07-28 | 北京深思数盾科技股份有限公司 | 数据签名方法及***、数据验签方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| C语言程序猿: "一个自定义的自报报文格式", 《21电子网》 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111083131B (zh) | 一种用于电力物联网感知终端轻量级身份认证的方法 | |
| US9621545B2 (en) | System and method for connecting client devices to a network | |
| US6263437B1 (en) | Method and apparatus for conducting crypto-ignition processes between thin client devices and server devices over data networks | |
| US8971540B2 (en) | Authentication | |
| US8601267B2 (en) | Establishing a secured communication session | |
| US20150244525A1 (en) | Authentication | |
| EP4066434B1 (en) | Password-authenticated public key establishment | |
| CN108650227A (zh) | 基于数据报安全传输协议的握手方法及*** | |
| US9106644B2 (en) | Authentication | |
| US10742426B2 (en) | Public key infrastructure and method of distribution | |
| EP0661845B1 (en) | System and method for message authentication in a non-malleable public-key cryptosystem | |
| CN111756529B (zh) | 一种量子会话密钥分发方法及*** | |
| CN109150897A (zh) | 一种端到端的通信加密方法及装置 | |
| CN111970699B (zh) | 一种基于ipk的终端wifi登录认证方法以及*** | |
| CN101938500B (zh) | 源地址验证方法及*** | |
| US20110320359A1 (en) | secure communication method and device based on application layer for mobile financial service | |
| CN107094156A (zh) | 一种基于p2p模式的安全通信方法及*** | |
| CN113904809B (zh) | 一种通信方法、装置、电子设备及存储介质 | |
| CN109639426A (zh) | 一种基于标识密码的双向自认证方法 | |
| CN116204914A (zh) | 一种可信隐私计算方法、装置、设备及存储介质 | |
| KR101704540B1 (ko) | M2m 환경의 다중 디바이스 데이터 공유를 위한 그룹키 관리 방법 | |
| CN103986716B (zh) | Ssl连接的建立方法以及基于ssl连接的通信方法及装置 | |
| CN114928503B (zh) | 一种安全通道的实现方法及数据传输方法 | |
| CN110417722A (zh) | 一种业务数据通信方法、通信设备及存储介质 | |
| CN110351092A (zh) | 数据包的传输方法和装置、存储介质、电子装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20191128 Address after: 102300 no.6-1-21, office building, building 20, Pudong, Mentougou District, Beijing Applicant after: Beijing Siyuan ideal Holding Group Co.,Ltd. Address before: 100102 No. 301, No. 316 building, Nanhu garden, Chaoyang District, Beijing 18 Applicant before: BEIJING SYSWIN INTERCONNECTED TECHNOLOGY CO.,LTD. |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191018 |