CN112202556B - 安全认证方法、装置和*** - Google Patents

安全认证方法、装置和*** Download PDF

Info

Publication number
CN112202556B
CN112202556B CN202011190495.0A CN202011190495A CN112202556B CN 112202556 B CN112202556 B CN 112202556B CN 202011190495 A CN202011190495 A CN 202011190495A CN 112202556 B CN112202556 B CN 112202556B
Authority
CN
China
Prior art keywords
terminal
security authentication
verification code
communication key
sent
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011190495.0A
Other languages
English (en)
Other versions
CN112202556A (zh
Inventor
尤鸿
谢仁艿
赵伟光
张远文
黄亚楠
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Unicom Internet of Things Corp Ltd
Original Assignee
China Unicom Internet of Things Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Unicom Internet of Things Corp Ltd filed Critical China Unicom Internet of Things Corp Ltd
Priority to CN202011190495.0A priority Critical patent/CN112202556B/zh
Publication of CN112202556A publication Critical patent/CN112202556A/zh
Application granted granted Critical
Publication of CN112202556B publication Critical patent/CN112202556B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请提供一种安全认证方法、装置和***。该方法包括:应用服务器获取安全认证服务器发送的通信密钥,并将之保存到数据库中。应用服务器将该通信密钥发送到终端。终端将该通信密钥保存到本地。当应用服务器需要向终端发送数据时,应用服务器通过通信密钥,将第一待处理数据进行加密。终端接收到加密后的第一待处理数据后,可以根据通信密钥进行解密,得到解密后数据。当终端需要向应用服务器发送数据时,终端通过通信密钥,将第二待处理数据进行加密。应用服务器接收加密后的第二待发送数据后,可以根据通信密钥进行解密,得到解密后数据。本申请的方法,提高了数据的安全性,降低了密钥更新的复杂度。

Description

安全认证方法、装置和***
技术领域
本申请涉及通信技术,尤其涉及一种安全认证方法、装置和***。
背景技术
物联网设备、边缘设备、仪表设备等终端在使用中主要存在上行数据和下行命令两种交互数据。在数据上行和命令下行过程中,由于数据会经过公网,因此需要对该上行数据或者下行命令进行加密,从而提高数据传输的安全性。
现有技术中,在数据传输过程中,通常使用的加密方法包括国际通用密码算法和国密加密算法。而上述加密算法在使用之前,通常需要在终端中事先灌装密钥,进而实现数据传输过程中,对数据的加密。
然而,上述事先灌装密钥的方式,存在密钥更新难度大的问题,进而,容易出现长时间使用固定密钥,导致数据传输在安全性差。
发明内容
本申请提供一种安全认证方法、装置和***,用以解决现有技术中,存在密钥更新难度大的问题,以及长时间使用固定密钥导致的数据传输在安全性差问题。
第一方面,本申请提供一种安全认证方法,应用于应用服务器,包括:
获取通信密钥,所述通信密钥为安全认证服务器根据应用服务器发送的通信密钥请求反馈得到,所述通信密钥根据所述安全认证服务器的服务器编码、终端的IMSI码和第二随机数生成;
将所述通信密钥发送到所述终端,所述终端根据所述通信密钥和SM4加密算法对待处理数据进行加密或者解密,所述待处理数据包括待发送到应用服务器的数据和应用服务器发送的待解密数据;
根据所述通信密钥和SM4加密算法,对所述待处理数据进行加密或者解密,所述待处理数据包括待发送到终端的数据和终端发送的待解密数据。
可选地,获取第一通信密钥之前,所述方法,包括:
获取第一验证码和第二验证码;
当所述第一验证码与所述第二验证码一致时,发送所述通信密钥请求到所述安全认证服务器,所述安全认证服务器根据所述通信密钥请求向应用服务器反馈所述通信密钥。
可选地,所述获取第一验证码和第二验证码,包括:
获取终端发送的密文,所述密文为所述终端使用公钥将第一验证码加密得到,所述第一验证码为所述终端使用SM3加密算法将所述终端的所述IMSI码加密得到;
获取安全认证服务器发送的私钥和第二验证码,所述第二验证码为所述安全认证服务器使用所述SM3加密算法将所述终端的所述IMSI码加密得到;
根据所述私钥和所述密文,解密得到第一验证码。
可选地,获取安全认证服务器发送的私钥和第二验证码之前,所述方法,还包括:
发送私钥请求到安全认证服务器,所述安全认证服务器根据所述私钥请求生成第二验证码,并反馈所述私钥和所述第二验证码。
可选地,所述方法,还包括:
当所述第一验证码与所述第二验证码不一致时,发送错误码到终端。
可选地,所述方法,还包括:
当需要更新所述通信密钥时,发送密钥更新指令到所述终端,所述终端根据所述密钥更新指令向所述安全认证服务器发送公钥请求。
可选地,所述方法,还包括:
将所述通信密钥保存到数据库中。
第二方面,本申请提供一种安全认证方法,应用于终端,包括:
获取通信密钥,所述通信密钥由应用服务器发送到终端;
根据所述通信密钥和SM4加密算法,对待处理数据进行加密或者解密,所述待处理数据包括待发送到应用服务器的数据和应用服务器发送的待解密数据。
可选地,获取通信密钥之前,所述方法,还包括:
获取公钥,所述公钥为安全认证服务器根据终端发送的公钥请求反馈得到,所述公钥根据所述终端的IMSI码和第一随机数生成;
根据所述终端的所述IMSI码、SM3加密算法和所述公钥,生成秘文;
发送所述秘文到应用服务器,所述应用服务器解密所述秘文得到第一验证码,当所述第一验证码和第二验证码一致时,所述应用服务器发送通信密钥请求。
可选地,所述方法,还包括:
将所述通信密钥保存到本地。
第三方面,本申请提供一种安全认证方法,应用于安全认证服务器,包括:
在接收到公钥请求时,根据第一随机数、终端的IMSI码和SM9加密算法,生成公钥和私钥;
在接收到私钥请求时,根据所述终端的IMSI码和SM3加密算法,生成第二验证码;
在接收到通信密钥请求时,根据第二随机数、安全认证服务器的ID和所述终端的IMSI码,生成通信密钥。
可选地,所述安全认证服务器的数量为至少一个。
可选地,所述第一随机数和所述第二随机数为所述安全认证服务器随机生成的数字。
第四方面,本申请提供一种安全认证装置,包括:
第一获取模块,用于获取通信密钥,所述通信密钥为安全认证服务器根据应用服务器发送的通信密钥请求反馈得到,所述通信密钥根据所述安全认证服务器的服务器编码、终端的IMSI码和第二随机数生成;
第一发送模块,用于将所述通信密钥发送到所述终端,所述终端根据所述通信密钥和SM4加密算法对待处理数据进行加密或者解密,所述待处理数据包括待发送到应用服务器的数据和应用服务器发送的待解密数据;
第一处理模块,用于根据所述通信密钥和SM4加密算法,对所述待处理数据进行加密或者解密,所述待处理数据包括待发送到终端的数据和终端发送的待解密数据。
可选地,第一获取模块之前,所述装置,包括:
第三获取模块,用于获取第一验证码和第二验证码;
第一发送模块,用于当所述第一验证码与所述第二验证码一致时,发送所述通信密钥请求到所述安全认证服务器,所述安全认证服务器根据所述通信密钥请求向应用服务器反馈所述通信密钥。
可选地,所述第三获取模块具体用于获取终端发送的密文,所述密文为所述终端使用公钥将第一验证码加密得到,所述第一验证码为所述终端使用SM3加密算法将所述终端的所述IMSI码加密得到;获取安全认证服务器发送的私钥和第二验证码,所述第二验证码为所述安全认证服务器使用所述SM3加密算法将所述终端的所述IMSI码加密得到;根据所述私钥和所述密文,解密得到第一验证码。
可选地,所述第三获取模块在获取安全认证服务器发送的私钥和第二验证码之前,还用于发送私钥请求到安全认证服务器,所述安全认证服务器根据所述私钥请求生成第二验证码,并反馈所述私钥和所述第二验证码。
可选地,所述装置,还包括:
第一发送模块,用于当所述第一验证码与所述第二验证码不一致时,发送错误码到终端。
可选地,所述装置,还包括:
更新模块,用于当需要更新所述通信密钥时,发送密钥更新指令到所述终端,所述终端根据所述密钥更新指令向所述安全认证服务器发送公钥请求。
可选地,所述装置,还包括:
第一存储模块,用于将所述通信密钥保存到数据库中。
第五方面,本申请提供一种安全认证装置,包括:
第二获取模块,用于获取通信密钥,所述通信密钥由应用服务器发送到终端;
第二处理模块,用于根据所述通信密钥和SM4加密算法,对待处理数据进行加密或者解密,所述待处理数据包括待发送到应用服务器的数据和应用服务器发送的待解密数据。
可选地,获取通信密钥之前,所述装置,还包括:
第四获取模块,用于获取公钥,所述公钥为安全认证服务器根据终端发送的公钥请求反馈得到,所述公钥根据所述终端的IMSI码和第一随机数生成;
第四生成模块,用于根据所述终端的所述IMSI码、SM3加密算法和所述公钥,生成秘文;
第二发送模块,用于发送所述秘文到应用服务器,所述应用服务器解密所述秘文得到第一验证码,当所述第一验证码和第二验证码一致时,所述应用服务器发送通信密钥请求。
可选地,所述装置,还包括:
第二存储模块,用于将所述通信密钥保存到本地。
第六方面,本申请提供一种安全认证装置,包括:
第一生成模块,用于在接收到公钥请求时,根据第一随机数、终端的IMSI码和SM9加密算法,生成公钥和私钥;
第二生成模块,用于在接收到私钥请求时,根据所述终端的IMSI码和SM3加密算法,生成第二验证码;
第三生成模块,用于在接收到通信密钥请求时,根据第二随机数、安全认证服务器的ID和所述终端的IMSI码,生成通信密钥。可选地,所述安全认证服务器的数量为至少一个。
可选地,所述第一随机数和所述第二随机数为所述安全认证服务器随机生成的数字。
第七方面,本申请提供一种安全认证***,包括:终端、安全认证服务器和应用服务器;
应用服务器,用于实现第一方面及第一方面任一种可能的设计中的安全认证方法。
终端,用于实现第二方面及第二方面任一种可能的设计中的安全认证方法。
安全认证服务器,用于实现第三方面及第三方面任一种可能的设计中的安全认证方法。
本申请提供的安全认证方法、装置和***,通过应用服务器获取通信密钥,所述通信密钥为安全认证服务器根据应用服务器发送的通信密钥请求反馈得到,所述通信密钥根据所述安全认证服务器的服务器编码、终端的IMSI码和第二随机数生成;应用服务器将所述通信密钥发送到所述终端,所述终端根据所述通信密钥和SM4加密算法对待处理数据进行加密或者解密,所述待处理数据包括待发送到应用服务器的数据和应用服务器发送的待解密数据;应用服务器根据所述通信密钥和SM4加密算法,对所述待处理数据进行加密或者解密,所述待处理数据包括待发送到终端的数据和终端发送的待解密数据;终端获取通信密钥,所述通信密钥由应用服务器发送到终端;终端根据所述通信密钥和SM4加密算法,对待处理数据进行加密或者解密,所述待处理数据包括待发送到应用服务器的数据和应用服务器发送的待解密数据的手段,使终端与应用服务器可以通过加密数据进行交互,实现了一机一密和密钥的密钥机制,提高数据的安全性。同时,应用服务器可以在需要更新时,通过向终端发送通信密钥更新请求,实现通信密钥的可更新机制,进一步提高了数据的安全性。
附图说明
为了更清楚地说明本申请或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请一实施例提供的一种安全认证***的应用场景示意图;
图2为本申请一实施例提供的一种安全认证方法的信令交互图;
图3为本申请一实施例提供的另一种安全认证方法的信令交互图;
图4为本申请一实施例提供的再一种安全认证方法的信令交互图;
图5为本申请一实施例提供的一种安全认证装置的结构示意图;
图6为本申请一实施例提供的另一种安全认证装置的结构示意图;
图7为本申请一实施例提供的再一种安全认证装置的结构示意图;
图8为本申请一实施例提供的又一种安全认证装置的结构示意图;
图9为本申请一实施例提供的又一种安全认证装置的结构示意图;
图10为本申请一实施例提供的一种安全认证***的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请中的附图,对本申请中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
物联网设备、边缘设备、仪表设备等终端在使用中主要存在上行数据和下行命令两种交互数据。在数据上行和命令下行过程中,数据会经过公网。如果不对数据进行加密,直接进行传输,则由于使用明文在网络上传输,容易出现数据被窃取、篡改等问题。例如,当该终端为一个物联网水表时,数据安全问题的出现,容易对水务公司造成经济损失。因此通常需要对上行数据或者下行命令进行加密,从而提高数据传输的安全性。
现有技术中,在数据传输过程中,通常使用的加密方法包括国际通用密码算法和国密加密算法。其中,国际通用密码算法可以分为对称加密算法、非对称加密算法、散列算法等。其中,当终端使用非对称加密算法时,通常需要准备CA证书并进行认证,该过程复杂度高,容易导致数据处理速度慢的问题。其中,对称加密算法与国密加密算法都需要在终端中事先灌装密钥,从而实现数据传输过程中数据的加密与解密。然而,在终端中灌装密钥,不仅增加了终端的成本,且不易更换密钥,容易导致密钥被破解等安全问题。
针对上述问题,本申请提出了一种安全认证方法,该安全认证方法通过安全认证***实现。其中,安全认证***中可以包括终端、应用服务器和至少一个安全认证服务器。本申请通过使用安全认证服务器,使终端和应用服务器可以在需要使用通信密钥,或者需要更新通信密钥时,可以直接通过该安全认证服务器获取通信密钥。该安全认证服务器的使用,免去了事先在终端和应用服务器上灌装密钥的步骤,降低了终端在生产时的复杂度。在安全认证过程中,该安全认证服务器根据安全认证服务器的服务器编码、终端的国际移动用户识别码(International Mobile Subscriber Identification Number,IMSI)和第二随机数生成通信密钥。该通信密钥的使用,简单的实现了一机一密和密钥可更新机制,增加了数据传输的可靠性。此外,本申请的安全认证***中可以包括至少一个安全认证服务器,实现了多安全认证服务器认证机制,可以有效降低单一认证服务器被伪造的可能。
下面以具体地实施例对本申请的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
图1示出了本申请一实施例提供的一种安全认证***的应用场景示意图。如图1所示,该应用场景中可以包括终端、蜂窝基站、至少一个安全认证服务器和应用服务器。其中,终端通过蜂窝网络经由蜂窝基站实现与应用服务器和安全认证服务器的数据交互。安全认证服务器用于生成通信密钥,并将该通信密钥发送到应用服务器。其中,第一安全认证服务器可以和应用服务器部署在一起,也可以单独部署。当该安全认证***中包括多个安全认证服务器时,除第一安全认证服务器以外的安全认证服务器单独部署。
本申请中,以终端、安全认证服务器和应用服务器为执行主体,执行如下实施例的安全认证方法。
图2示出了本申请一实施例提供的一种安全认证方法的信令交互图。在图1所示实施例的基础上,如图2所示,在终端与应用服务器的数据传输过程中,本实施例的方法可以包括如下步骤:
S101、应用服务器获取通信密钥,通信密钥为安全认证服务器根据应用服务器发送的通信密钥请求反馈得到,通信密钥根据安全认证服务器的服务器编码、终端的IMSI码和第二随机数生成。
本实施例中,应用服务器获取安全认证服务器发送的通信密钥。其中,安全认证服务器在获取应用服务器发送的通信密钥请求后,向应用服务器反馈该通信密钥。其中,通信密钥用于对待发送数据的加密或者接收数据的解密。其中,通信密钥为安全认证服务器根据其服务器编码、终端的IMSI码和第二随机数生成。
S102、应用服务器将通信密钥保存到数据库中。
本实施例中,应用服务器接收到该通信密钥之后,应用服务器将该通信密钥保存到数据库中。当该通信密钥保存到数据库中后,应用服务器可以在需要使用该通信密钥进行加密或者解密时,从数据库中调用该通信密钥。同时,数据库中还可以保存有该通信密钥对应的应用服务器和终端,以及历史通信密钥和历史通信密钥对应的应用服务器和终端,以便于在需要时从该数据库中调取历史通信密钥。
S103、应用服务器将通信密钥发送到终端,终端根据通信密钥和SM4加密算法对待处理数据进行加密或者解密,待处理数据包括待发送到应用服务器的数据和应用服务器发送的待解密数据。
本实施例中,应用服务器在接收到该通信密钥之后,应用服务器还将该通信密钥发送到与其交互的终端中。当终端与应用服务器使用相同的通信密钥时,终端与应用服务器之间可以通过使用通信密钥加密的数据进行交互。因此,仅有当终端与应用服务器使用相同的通信密钥时,该数据交互才可以正确完成。
例如,其他终端获取到该应用服务器发送的数据后,该其他终端无法正确解密数据。或者,其他终端向应用服务器发送数据时,该其他终端加密后的数据,该应用服务器将会对其解密失败并舍弃该数据。
其中,终端在接收到该通信密钥后,会根据该通信密钥并使用SM4加密算法,对待发送数据进行加密,或者对接收到的数据进行解密。
S104、终端获取通信密钥,并将通信密钥保存到本地。
本实施例中,终端在接收到应用服务器发送的通信密钥后,将该通信密钥保存到本地。当该通信密钥保存到本地后,终端可以在需要使用该通信密钥进行加密或者解密时,从本地读取该通信密钥。同时,本地还可以保存有该通信密钥对应的应用服务器和终端,以及历史通信密钥和历史通信密钥对应的应用服务器和终端,以便于在需要时从本地调取历史通信密钥。
S105、应用服务器根据通信密钥和SM4加密算法,对第一待处理数据进行加密,得到第一待发送数据,其中,第一待处理数据为未加密的待发送到终端的数据,第一待发送数据为加密后的第一待处理数据,该第一待发送数据将由应用服务器发送到终端。
本实施例中,在实际交互过程中,当应用服务器需要向终端发送数据时,应用服务器确定该需要发送的数据为第一待处理数据。应用服务器使用通信密钥,通过SM4加密算法,对该第一待处理数据进行加密,得到第一待发送数据。
其中,该第一待处理数据可以包括操作指令、配置文件、数据文件等。
S106、应用服务器将第一待发送数据发送到终端。
本实施例中,应用服务器将加密后的第一待发送数据发送到终端。当终端中保存有同样的通信密钥时,终端可以完成对该第一待发送数据的解密。当终端中没有保存有同样的通信密钥时,终端将无法完成对第一待发送数据的解密,或者将解密得到错误的数据。
S107、终端根据通信密钥和SM4加密算法,对接受到的第一待发送数据进行解密。
本实施例中,终端将接受到应用服务器发送的第一待发送数据,并使用终端中保存在本地的通信密钥进行解密。
具体的,终端通过通信密钥,使用SM4加密算法,对该第一待发送数据进行解密,得到解密后数据。
S108、终端根据通信密钥和SM4加密算法,对第二待处理数据进行加密,得到第二待发送数据,其中,第二待处理数据为未加密的待发送到终端的数据,第二待发送数据为加密后的第二待处理数据,该第二待发送数据将由应用服务器发送到终端。
本实施例中,在实际交互过程中,当终端需要向应用服务器发送数据时,终端确定该需要发送的数据为第二待处理数据。终端使用通信密钥,通过SM4加密算法,对该第二待处理数据进行加密,得到第二待发送数据。
其中,该第二待处理数据可以包括配置文件、数据文件、操作反馈等。
S109、终端将第二待发送到应用服务器。
本实施例中,终端将加密后的第二待发送数据发送到应用服务器。当应用服务器中保存有同样的通信密钥时,应用服务器可以完成对该第二待发送数据的解密。当应用服务器中没有保存有同样的通信密钥时,应用服务器将无法完成对第二待发送数据的解密,或者将解密得到错误的数据。
S110、应用服务器根据通信密钥和SM4加密算法,对待处理数据进行解密,待处理数据包括待发送到应用服务器的数据和应用服务器发送的待解密数据。
本实施例中,应用服务器将接受到终端发送的第二待发送数据,并使用应用服务器中保存在本地的通信密钥进行解密。
具体的,应用服务器通过通信密钥,使用SM4加密算法,对该第二待发送数据进行解密,得到解密后数据。
S111、当需要更新通信密钥时,获取通信密钥更新指令。
本实施例中,应用服务器可以根据管理员的操作,获取密钥更新指令。或者,应用服务器可以根据预设的更新时间,在达到该更新时间时,生成密钥更新指令。
S112、发送密钥更新指令到终端,终端根据密钥更新指令向安全认证服务器发送公钥请求。
本实施例中,应用服务器发送密钥更新指令到终端。终端接收该密钥更新指令后,向安全认证服务器请求公钥,并开始通信密钥的获取流程。
本申请提供的安全认证方法,应用服务器获取安全认证服务器发送的通信密钥,并将之保存到数据库中。应用服务器在接收到该通信密钥之后,将该通信密钥发送到与其交互的终端中。终端在接收到应用服务器发送的通信密钥后,将该通信密钥保存到本地。当应用服务器需要向终端发送数据时,应用服务器通过通信密钥,将第一待处理数据加密后的第一待发送数据,发送到终端。终端接收该第一待发送数据,并根据通信密钥进行解密,得到解密后数据。当终端需要向应用服务器发送数据时,终端通过通信密钥,将第二待处理数据加密后的第二待发送数据,发送到应用服务器。应用服务器接收该第二待发送数据,并根据通信密钥进行解密,得到解密后数据。本申请中,通过通信密钥,实现终端与应用服务器的交互数据的加密,实现了一机一密和密钥的密钥机制,提高数据的安全性。同时,应用服务器可以在需要更新时,通过向终端发送通信密钥更新请求,实现通信密钥的可更新机制,进一步提高了数据的安全性。
图3示出了本申请一实施例提供的另一种安全认证方法的信令交互图。在图1和图2所示实施例的基础上,如图3所示,在获取通信密钥之前,终端、应用服务器与安全认证服务器的交互过程包括如下步骤:
S201、终端发送公钥请求,公钥请求中包括终端的IMSI码。
本实施例中,终端在进入初始化后,向安全认证服务器发送公钥请求。其中,终端可以在接收到应用服务器发送密钥更新指令时,进入初始化状态。或者,终端可以在接收到管理员发送的密钥更新指令后,进入初始化状态。
其中,公钥请求中包括该终端的IMSI码。
S202、安全认证服务器在接收到公钥请求时,根据第一随机数、终端的IMSI码和SM9加密算法,生成公钥和私钥。
本实施例中,安全认证服务器接收到该公钥请求后,获取该公钥请求中,终端的IMSI码。安全认证服务器在接收到该公钥请求后,还生成第一随机数。安全认证服务器根据生成的第一随机数和终端的IMSI码,通过SM9加密算法,生成公钥和私钥。
S203、安全认证服务器返回公钥到终端。
本实施例中,安全认证服务器在完成公钥和私钥的生成后,将其中的的公钥返回到终端,以便于终端根据该公钥加密得到第一验证码。
S204、终端获取公钥,公钥为安全认证服务器根据终端发送的公钥请求反馈得到,公钥根据终端的IMSI码和第一随机数生成。
S205、终端根据终端的IMSI码、SM3加密算法和公钥,生成秘文。
本实施例中,终端在获取安全认证服务器发送的公钥后,将自身的IMSI码通过SM3加密算法,生成第一验证码。进而,终端使用公钥对该第一验证码进行加密,得到密文。终端将该密文发送到应用服务器,同时告知应用服务器可以向安全认证服务器发送私钥请求,请求该密文对应的私钥。
S206、终端发送秘文到应用服务器。
S207、应用服务器获取终端发送的密文,密文为终端使用公钥将第一验证码加密得到,第一验证码为终端使用SM3加密算法将终端的IMSI码加密得到。
本实施例中,应用服务器获取终端发送的密文。应用服务器获取可以向安全认证服务器请求私钥的告知。
S208、应用服务器发送私钥请求到安全认证服务器,安全认证服务器根据私钥请求生成第二验证码,并反馈私钥和第二验证码。
本实施例中,应用服务器根据可以向安全认证服务器请求私钥的告知,向安全认证服务器发送私钥请求。该私钥请求用于请求私钥,该私钥与加密密文所使用的公钥对应。
S209、安全认证服务器在接收到私钥请求时,根据终端的IMSI码和SM3加密算法,生成第二验证码。
本实施例中,安全认证服务器在接收到应用服务器发送的私钥请求时,生成第二验证码,并将第二验证码和S202生成的私钥一起反馈到应用服务器。其中,第二验证码为终端的IMSI码通过SM3加密算法加密得到。
S210、安全认证服务器发送私钥和第二验证码到应用服务器。
S211、应用服务器获取安全认证服务器发送的私钥和第二验证码,第二验证码为安全认证服务器使用SM3加密算法将终端的IMSI码加密得到。
S212、应用服务器根据私钥和密文,解密得到第一验证码。
本实施例中,应用服务器获取私钥和第二验证码后,根据私钥对密文进行解密,得到第一验证码。
S213、应用服务器判断第一验证码与第二验证码是否一致。
本实施例中,由于第一验证码与第二验证码都是由终端的IMSI码加密后得到。因此,解密得到的第一验证码与第二验证码应为相同的内容。当第一验证码与第二验证码不同时,说明应用服务器接收到的密文或者第二验证码存在异常。此时,应用服务器应进行报警或者重新获取密文。
S214、当第一验证码与第二验证码一致时,应用服务器发送通信密钥请求到安全认证服务器,安全认证服务器根据通信密钥请求向应用服务器反馈通信密钥。
本实施例中,当第一验证码与第二验证码一致时,应用服务器确认终端、安全认证服务器均没有出现异常。此时,应用服务器向安全认证服务器发送通信密钥请求。该通信密钥为终端与应用服务器交互过程中,终端与应用服务器对数据进行加密或者解密时使用的密钥。
S215、当第一验证码与第二验证码不一致时,应用服务器发送错误码到终端。
本实施例中,当第一验证码与第二验证码不一致时,应用服务器确认终端和/或安全认证服务器可能出现异常。此时,应用服务器发送错误码到终端进行报错。
S216、安全认证服务器在接收到通信密钥请求时,根据第二随机数、安全认证服务器的ID和终端的IMSI码,生成通信密钥。
本实施例中,安全认证服务器在接收到通信密钥请求后,生成第二随机数。安全认证服务器根据该第二随机数、该安全认证服务器本身的ID和终端的IMSI码,生成通信密钥。
S217、安全认证服务器发送通信密钥到应用服务器。
本申请提供的安全认证方法,终端在进入初始化后,向安全认证服务器发送公钥请求。安全认证服务器接收到该公钥请求后,根据公钥请求中终端的IMSI码和第一随机数,通过SM9加密算法,生成公钥和私钥。安全认证服务器返回公钥到终端。终端获取公钥,并根据终端的IMSI码、SM3加密算法和公钥,生成秘文。终端发送秘文到应用服务器。应用服务器获取终端发送的密文后,发送私钥请求到安全认证服务器。安全认证服务器在接收到私钥请求时,根据终端的IMSI码和SM3加密算法,生成第二验证码。安全认证服务器发送私钥和第二验证码到应用服务器。应用服务器根据私钥和密文,解密得到第一验证码。应用服务器判断第一验证码与第二验证码是否一致。当第一验证码与第二验证码一致时,应用服务器发送通信密钥请求到安全认证服务器。当第一验证码与第二验证码不一致时,应用服务器发送错误码到终端。安全认证服务器在接收到通信密钥请求时,根据第二随机数、安全认证服务器的ID和终端的IMSI码,生成通信密钥。安全认证服务器发送通信密钥到应用服务器。本申请中,通过向安全认证服务器请求通信密钥,实现了一机一密和密钥的密钥机制,提高数据的安全性,提高了密钥获取的便捷性。
在上述实施例中,安全认证***使用了一个安全认证服务器进行认证。在本申请所示的安全认证方法中,安全认证***中还可以包括多个安全认证服务器。其中,每一安全认证服务器均为一机一密。因此,当安全认证***中使用多个安全认证服务器时,可以有效提高安全认证***的安全性。
图4示出了本申请一实施例提供的再一种安全认证方法的信令交互图。在图1至图3所示实施例的基础上,如图3所示,以两个安全认证服务器为例,终端、应用服务器与安全认证服务器的交互过程包括如下步骤:。
S301、终端发送第一公钥请求到第一安全认证服务器。
S302、第一安全认证服务器根据第一随机数、终端的IMSI码和SM9加密算法,生成第一公钥和第一私钥。
S303、第一安全认证服务器返回第一公钥到终端。
S304、终端获取第一公钥。
S305、终端发送第二公钥请求到第二安全认证服务器。
S306、第二安全认证服务器根据第二随机数、终端的IMSI码和SM9加密算法,生成第二公钥和第二私钥。
S307、第二安全认证服务器返回第二公钥到终端。
S308、终端获取第一公钥。
S309、终端根据终端的IMSI码、SM3加密算法和第一公钥,生成第一秘文。
S310、终端根据终端的IMSI码、SM3加密算法和第二公钥,生成第二秘文。
S311、终端发送第一密文和第二密文到应用服务器。
S312、应用服务器获取终端发送的第一密文和第二密文。
S313、应用服务器发送第一私钥请求到第一安全认证服务器。
S314、第一安全认证服务器根据终端的IMSI码和SM3加密算法,生成第三验证码。
S315、第一安全认证服务器发送第一私钥和第三验证码到应用服务器。
S316、应用服务器获取第一安全认证服务器发送的第一私钥和第三验证码。
S317、应用服务器发送第二私钥请求到第二安全认证服务器。
S318、第二安全认证服务器根据终端的IMSI码和SM3加密算法,生成第四验证码。
S319、第二安全认证服务器发送第二私钥和第四验证码到应用服务器。
S320、应用服务器获取第二安全认证服务器发送的第二私钥和第四验证码。
S321、应用服务器根据第一私钥和第二私钥,分别解密第一密文,得到第一验证码和第二验证码。
S322、判断第一验证码、第二验证码、第三验证码、第四验证码是否一致。
S323、应用服务器发送通信密钥请求到第一安全认证服务器。
S324、应用服务器发送错误码到终端。
S325、第一安全认证服务器根据第三随机数、第一安全认证服务器的ID和终端的IMSI码,生成通信密钥。
S326、第一安全认证服务器发送通信密钥到应用服务器。
本申请提供的安全认证方法中应用服务器与每一安全认证服务器的交互过程,与图3所示实施例中,应用服务器与安全认证服务器的交互一致,本申请通过使用多个安全认证服务器,实现了提高安全认证***的安全性的效果。
图5示出了本申请一实施例提供的一种安全认证装置的结构示意图,如图5所示,本实施例的安全认证装置10具体可以表示为应用服务器,该安全认证装置10用于实现上述任一方法实施例中对应于应用服务器的操作,本实施例的安全认证装置10包括:。
第一获取模块11,用于获取通信密钥,通信密钥为安全认证服务器根据应用服务器发送的通信密钥请求反馈得到,通信密钥根据安全认证服务器的服务器编码、终端的IMSI码和第二随机数生成;
第一发送模块12,用于将通信密钥发送到终端,终端根据通信密钥和SM4加密算法对待处理数据进行加密或者解密,待处理数据包括待发送到应用服务器的数据和应用服务器发送的待解密数据;
第一处理模块13,用于根据通信密钥和SM4加密算法,对待处理数据进行加密或者解密,待处理数据包括待发送到终端的数据和终端发送的待解密数据。
本申请实施例提供的安全认证装置10,可执行上述方法实施例,其具体实现原理和技术效果,可参见上述方法实施例,本实施例此处不再赘述。
图6示出了本申请一实施例提供的另一种安全认证装置的结构示意图,在图5所示实施例的基础上,如图6所示,本实施例的安全认证装置10具体可以表示为应用服务器,该安全认证装置10用于实现上述任一方法实施例中对应于应用服务器的操作,本实施例的安全认证装置10包括:。
第三获取模块14,用于获取第一验证码和第二验证码。
第二发送模块15,还用于在第一验证码与第二验证码一致时,发送通信密钥请求到安全认证服务器,安全认证服务器根据通信密钥请求向应用服务器反馈通信密钥。
第二发送模块15,还用于在第一验证码与第二验证码不一致时,发送错误码到终端。
更新模块16,用于在需要更新通信密钥时,发送密钥更新指令到终端,终端根据密钥更新指令向安全认证服务器发送公钥请求。
第一存储模块17,用于将通信密钥保存到数据库中。
一种示例中,第三获取模块14,具体用于获取终端发送的密文,密文为终端使用公钥将第一验证码加密得到,第一验证码为终端使用SM3加密算法将终端的IMSI码加密得到。获取安全认证服务器发送的私钥和第二验证码,第二验证码为安全认证服务器使用SM3加密算法将终端的IMSI码加密得到。根据私钥和密文,解密得到第一验证码。
一种示例中,第三获取模块14之前,第二发送模块15,还用于发送私钥请求到安全认证服务器,安全认证服务器根据私钥请求生成第二验证码,并反馈私钥和第二验证码。
本申请实施例提供的安全认证装置10,可执行上述方法实施例,其具体实现原理和技术效果,可参见上述方法实施例,本实施例此处不再赘述。
图7示出了本申请一实施例提供的再一种安全认证装置的结构示意图,在图5和图6所示实施例的基础上,如图7所示,本实施例的安全认证装置20具体可以表示为终端,该安全认证装置20用于实现上述任一方法实施例中对应于终端的操作,本实施例的安全认证装置20包括:。
第二获取模块21,用于获取通信密钥,通信密钥由应用服务器发送到终端;
第二处理模块22,用于根据通信密钥和SM4加密算法,对待处理数据进行加密或者解密,待处理数据包括待发送到应用服务器的数据和应用服务器发送的待解密数据。
本申请实施例提供的安全认证装置20,可执行上述方法实施例,其具体实现原理和技术效果,可参见上述方法实施例,本实施例此处不再赘述。
图8示出了本申请一实施例提供的又一种安全认证装置的结构示意图,在图5至图7所示实施例的基础上,如图8所示,本实施例的安全认证装置20具体可以表示为终端,该安全认证装置20用于实现上述任一方法实施例中对应于终端的操作,本实施例的安全认证装置20包括:。
第四获取模块23,用于获取公钥,公钥为安全认证服务器根据终端发送的公钥请求反馈得到,公钥根据终端的IMSI码和第一随机数生成。
第四生成模块24,用于根据终端的IMSI码、SM3加密算法和公钥,生成秘文。
第二发送模块25,用于发送秘文到应用服务器,应用服务器解密秘文得到第一验证码,当第一验证码和第二验证码一致时,应用服务器发送通信密钥请求。
第二存储模块26,还用于将通信密钥保存到本地。
本申请实施例提供的安全认证装置20,可执行上述方法实施例,其具体实现原理和技术效果,可参见上述方法实施例,本实施例此处不再赘述。
图9示出了本申请一实施例提供的又一种安全认证装置的结构示意图,在图5至图8所示实施例的基础上,如图9所示,本实施例的安全认证装置30具体可以表示为安全认证服务器,该安全认证装置30用于实现上述任一方法实施例中对应于安全认证服务器的操作,该安全认证服务器的数量可以为一个或者多个,以一个安全认证服务器中的模块为例,本实施例的安全认证装置30包括:。
第一生成模块31,用于在接收到公钥请求时,根据第一随机数、终端的IMSI码和SM9加密算法,生成公钥和私钥。
第二生成模块32用于在接收到私钥请求时,根据终端的IMSI码和SM3加密算法,生成第二验证码。
第三生成模块33,用于在接收到通信密钥请求时,根据第二随机数、安全认证服务器的ID和终端的IMSI码,生成通信密钥。
一种示例中,安全认证服务器的数量为至少一个。
另一种示例中,第一随机数和第二随机数为安全认证服务器随机生成的数字。
本申请实施例提供的安全认证装置30,可执行上述方法实施例,其具体实现原理和技术效果,可参见上述方法实施例,本实施例此处不再赘述。
图10示出了本申请一实施例提供的一种安全认证***的结构示意图。如图10所示,该安全认证***40可以包括:终端41、安全认证服务器42和应用服务器43。
终端41,用于实现如图1至图4中对应于终端的操作。
安全认证服务器42,用于实现如如图1至图4中对应于安全认证服务器的操作。
应用服务器43,用于实现如图1至图4中对应于应用服务器的操作。
本实施例提供的电子设备可用于执行上述的安全认证方法,其实现方式和技术效果类似,本实施例此处不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅是示意性的,例如,模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个单元中。上述模块成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能模块的形式实现的集成的模块,可以存储在一个计算机可读取存储介质中。上述软件功能模块存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器执行本申请各个实施例方法的部分步骤。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤。而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制。尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。

Claims (15)

1.一种安全认证方法,其特征在于,应用于应用服务器,所述方法,包括:
获取通信密钥,所述通信密钥为安全认证服务器根据应用服务器发送的通信密钥请求反馈得到,所述通信密钥根据所述安全认证服务器的服务器编码、终端的IMSI码和第二随机数生成;
将所述通信密钥发送到所述终端,所述终端根据所述通信密钥和SM4加密算法对待处理数据进行加密或者解密,所述待处理数据包括待发送到应用服务器的数据和应用服务器发送的待解密数据;
根据所述通信密钥和SM4加密算法,对所述待处理数据进行加密或者解密,所述待处理数据包括待发送到终端的数据和终端发送的待解密数据;
所述获取通信密钥之前,所述方法,包括:
获取第一验证码和第二验证码;
当所述第一验证码与所述第二验证码一致时,发送所述通信密钥请求到所述安全认证服务器,所述安全认证服务器根据所述通信密钥请求向所述应用服务器反馈所述通信密钥;
所述获取第一验证码和第二验证码,包括:
获取终端发送的密文,所述密文为所述终端使用公钥将第一验证码加密得到,所述第一验证码为所述终端使用SM3加密算法将所述终端的所述IMSI码加密得到,所述终端使用的公钥是所述安全认证服务器发送给所述终端的;
获取安全认证服务器发送的私钥和第二验证码,所述第二验证码为所述安全认证服务器使用所述SM3加密算法将所述终端的所述IMSI码加密得到;
根据所述私钥和所述密文,解密得到第一验证码。
2.根据权利要求1所述的方法,其特征在于,获取安全认证服务器发送的私钥和第二验证码之前,所述方法,还包括:
发送私钥请求到安全认证服务器,所述安全认证服务器根据所述私钥请求生成第二验证码,并反馈所述私钥和所述第二验证码。
3.根据权利要求1所述的方法,其特征在于,所述方法,还包括:
当所述第一验证码与所述第二验证码不一致时,发送错误码到终端。
4.根据权利要求1所述的方法,其特征在于,所述方法,还包括:
当需要更新所述通信密钥时,发送密钥更新指令到所述终端,所述终端根据所述密钥更新指令向所述安全认证服务器发送公钥请求。
5.根据权利要求1所述的方法,其特征在于,所述方法,还包括:
将所述通信密钥保存到数据库中。
6.一种安全认证方法,其特征在于,应用于终端,所述方法,包括:
获取通信密钥,所述通信密钥由应用服务器发送到终端;所述通信密钥为安全认证服务器根据应用服务器发送的通信密钥请求反馈得到,所述通信密钥根据所述安全认证服务器的服务器编码、终端的IMSI码和第二随机数生成;
根据所述通信密钥和SM4加密算法,对待处理数据进行加密或者解密,所述待处理数据包括待发送到应用服务器的数据和应用服务器发送的待解密数据;
所述获取通信密钥之前,还包括:
根据SM3加密算法对所述终端的IMSI码加密得到第一验证码,使用安全认证服务器发送的公钥对所述第一验证码加密得到密文;
向所述应用服务器发送所述密文,以使得所述应用服务器根据所述密文和所述安全认证服务器反馈的私钥解密得到第一验证码,当解密得到的第一验证码与第二验证码一致时,发送通信密钥请求到所述安全认证服务器,并将所述安全认证服务器根据所述通信密钥请求反馈的通信密钥发送至终端;所述第二验证码为所述安全认证服务器使用所述SM3加密算法将所述终端的所述IMSI码加密得到。
7.根据权利要求6所述的方法,其特征在于,获取通信密钥之前,所述方法,还包括:
获取公钥,所述公钥为安全认证服务器根据终端发送的公钥请求反馈得到,所述公钥根据所述终端的IMSI码和第一随机数生成;
根据所述终端的所述IMSI码、SM3加密算法和所述公钥,生成秘文;
发送所述秘文到应用服务器,所述应用服务器解密所述秘文得到第一验证码,当所述第一验证码和第二验证码一致时,所述应用服务器发送通信密钥请求。
8.根据权利要求6所述的方法,其特征在于,所述方法,还包括:
将所述通信密钥保存到本地。
9.一种安全认证方法,其特征在于,应用于安全认证服务器,所述方法,包括:
在接收到公钥请求时,根据第一随机数、终端的IMSI码和SM9加密算法,生成公钥和私钥;
在接收到私钥请求时,根据所述终端的IMSI码和SM3加密算法,生成第二验证码;
在接收到通信密钥请求时,根据第二随机数、安全认证服务器的ID和所述终端的IMSI码,生成通信密钥;所述通信密钥请求是应用服务器在第一验证码与所述第二验证码一致时发送的;所述第一验证码是所述应用服务器根据密文和所述安全认证服务器反馈的私钥解密得到的;所述密文为所述终端使用公钥将第一验证码加密得到,所述第一验证码为所述终端使用SM3加密算法将所述终端的所述IMSI码加密得到。
10.根据权利要求9所述的方法,其特征在于,所述安全认证服务器的数量为至少一个。
11.根据权利要求10所述的方法,其特征在于,所述第一随机数和所述第二随机数为所述安全认证服务器随机生成的数字。
12.一种安全认证装置,其特征在于,所述装置,包括:
第一获取模块,用于获取通信密钥,所述通信密钥为安全认证服务器根据应用服务器发送的通信密钥请求反馈得到,所述通信密钥根据所述安全认证服务器的服务器编码、终端的IMSI码和第二随机数生成;
第一发送模块,用于将所述通信密钥发送到所述终端,所述终端根据所述通信密钥和SM4加密算法对待处理数据进行加密或者解密,所述待处理数据包括待发送到应用服务器的数据和应用服务器发送的待解密数据;
第一处理模块,用于根据所述通信密钥和SM4加密算法,对所述待处理数据进行加密或者解密,所述待处理数据包括待发送到终端的数据和终端发送的待解密数据;
第三获取模块,用于获取第一验证码和第二验证码;
第二发送模块,还用于当所述第一验证码与所述第二验证码一致时,发送所述通信密钥请求到所述安全认证服务器,所述安全认证服务器根据所述通信密钥请求向应用服务器反馈所述通信密钥;
所述第三获取模块,还用于获取终端发送的密文,所述密文为所述终端使用公钥将第一验证码加密得到,所述第一验证码为所述终端使用SM3加密算法将所述终端的所述IMSI码加密得到,所述终端使用的公钥是所述安全认证服务器发送给所述终端的;获取安全认证服务器发送的私钥和第二验证码,所述第二验证码为所述安全认证服务器使用所述SM3加密算法将所述终端的所述IMSI码加密得到;根据所述私钥和所述密文,解密得到第一验证码。
13.一种安全认证装置,其特征在于,所述装置,包括:
第二获取模块,用于获取通信密钥,所述通信密钥由应用服务器发送到终端;
第二处理模块,用于根据所述通信密钥和SM4加密算法,对待处理数据进行加密或者解密,所述待处理数据包括待发送到应用服务器的数据和应用服务器发送的待解密数据;
第四生成模块,用于根据SM3加密算法对所述终端的IMSI码加密得到第一验证码,使用安全认证服务器发送的公钥对所述第一验证码加密得到密文;
第三发送模块,用于向所述应用服务器发送所述密文,以使得所述应用服务器根据所述密文和所述安全认证服务器反馈的私钥解密得到第一验证码,当解密得到的第一验证码与第二验证码一致时,发送通信密钥请求到所述安全认证服务器,并将所述安全认证服务器根据所述通信密钥请求反馈的通信密钥发送至终端;所述第二验证码为所述安全认证服务器使用所述SM3加密算法将所述终端的所述IMSI码加密得到。
14.一种安全认证装置,其特征在于,所述装置,包括:
第一生成模块,用于在接收到公钥请求时,根据第一随机数、终端的IMSI码和SM9加密算法,生成公钥和私钥;
第二生成模块,用于在接收到私钥请求时,根据所述终端的IMSI码和SM3加密算法,生成第二验证码;
第三生成模块,用于在接收到通信密钥请求时,根据第二随机数、安全认证服务器的ID和所述终端的IMSI码,生成通信密钥;所述通信密钥请求是应用服务器在第一验证码与所述第二验证码一致时发送的;所述第一验证码是所述应用服务器根据密文和所述安全认证服务器反馈的私钥解密得到的;所述密文为所述终端使用公钥将第一验证码加密得到,所述第一验证码为所述终端使用SM3加密算法将所述终端的所述IMSI码加密得到。
15.一种安全认证***,其特征在于,所述***,包括:终端、安全认证服务器和应用服务器;
应用服务器,用于实现如权利要求1-5中任意一项所述的安全认证方法;
终端,用于实现如权利要求6-8中任意一项所述的安全认证方法;
安全认证服务器,用于实现如权利要求9-11中任意一项所述的安全认证方法。
CN202011190495.0A 2020-10-30 2020-10-30 安全认证方法、装置和*** Active CN112202556B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011190495.0A CN112202556B (zh) 2020-10-30 2020-10-30 安全认证方法、装置和***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011190495.0A CN112202556B (zh) 2020-10-30 2020-10-30 安全认证方法、装置和***

Publications (2)

Publication Number Publication Date
CN112202556A CN112202556A (zh) 2021-01-08
CN112202556B true CN112202556B (zh) 2023-07-04

Family

ID=74012110

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011190495.0A Active CN112202556B (zh) 2020-10-30 2020-10-30 安全认证方法、装置和***

Country Status (1)

Country Link
CN (1) CN112202556B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112989370B (zh) * 2021-02-09 2023-06-30 腾讯科技(深圳)有限公司 密钥灌装方法、***、装置、设备以及存储介质
CN113225352B (zh) * 2021-05-28 2023-04-07 国网绿色能源有限公司 一种数据传输方法、装置、电子设备及存储介质
CN115001864B (zh) * 2022-07-27 2023-03-10 深圳市西昊智能家具有限公司 智能家具的通信认证方法、装置、计算机设备和存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016177052A1 (zh) * 2015-08-21 2016-11-10 中兴通讯股份有限公司 一种用户认证方法和装置
CN108512846A (zh) * 2018-03-30 2018-09-07 北京邮电大学 一种终端与服务器之间的双向认证方法和装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103684798B (zh) * 2013-12-31 2017-03-22 南京理工大学连云港研究院 一种用于分布式用户服务间认证方法
CN110602098B (zh) * 2019-09-16 2021-08-24 北京众享比特科技有限公司 身份认证方法、装置、设备和存储介质
CN110572828B (zh) * 2019-10-24 2020-09-08 山东省计算中心(国家超级计算济南中心) 基于国密算法的物联网安全认证方法、***及终端
CN110690966B (zh) * 2019-11-08 2020-10-09 北京金茂绿建科技有限公司 终端与业务服务器连接的方法、***、设备及存储介质

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016177052A1 (zh) * 2015-08-21 2016-11-10 中兴通讯股份有限公司 一种用户认证方法和装置
CN108512846A (zh) * 2018-03-30 2018-09-07 北京邮电大学 一种终端与服务器之间的双向认证方法和装置

Also Published As

Publication number Publication date
CN112202556A (zh) 2021-01-08

Similar Documents

Publication Publication Date Title
CN112202556B (zh) 安全认证方法、装置和***
CN110868301B (zh) 一种基于国密算法的身份认证***及方法
CN113497778B (zh) 一种数据的传输方法和装置
CN110059458B (zh) 一种用户口令加密认证方法、装置及***
CN110690956B (zh) 双向认证方法及***、服务器和终端
US6988198B1 (en) System and method for initializing operation for an information security operation
CN106658093B (zh) 机顶盒与服务器的交互方法及***
CN108809633B (zh) 一种身份认证的方法、装置及***
CN108809936B (zh) 一种基于混合加密算法的智能移动终端身份验证方法及其实现***
CN112966287B (zh) 获取用户数据的方法、***、设备和计算机可读介质
CN106453426B (zh) 基于密钥时空碎片化存储的对称加解密方法及***
CN111159684A (zh) 一种基于浏览器的安全防护***和方法
JP2001177513A (ja) 通信システムにおける認証方法、センタ装置、認証プログラムを記録した記録媒体
CN111740995B (zh) 一种授权认证方法及相关装置
CN112765626A (zh) 基于托管密钥授权签名方法、装置、***及存储介质
CN113612852A (zh) 一种基于车载终端的通信方法、装置、设备及存储介质
CN112437044A (zh) 即时通讯方法和装置
CN112865965B (zh) 一种基于量子密钥的列车业务数据处理方法及***
CN110636503B (zh) 数据加密方法、装置、设备及计算机可读存储介质
CN117376002A (zh) 一种生物特征认证方法以及认证***
CN111107550A (zh) 5g终端设备双通道接入注册方法、设备及存储介质
CN113722726B (zh) 基于软硬件协同的加解密方法及***
CN112769759B (zh) 信息处理方法、信息网关、服务器及介质
CN114285557A (zh) 通信加密方法、***和装置
KR20130109560A (ko) 모바일 디바이스의 데이터베이스 암호화 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant