CN113656788B - 多媒体会议终端入会认证方法、装置、设备及存储介质 - Google Patents
多媒体会议终端入会认证方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN113656788B CN113656788B CN202111011890.2A CN202111011890A CN113656788B CN 113656788 B CN113656788 B CN 113656788B CN 202111011890 A CN202111011890 A CN 202111011890A CN 113656788 B CN113656788 B CN 113656788B
- Authority
- CN
- China
- Prior art keywords
- target terminal
- conference
- terminal
- ciphertext
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 44
- 230000004044 response Effects 0.000 claims abstract description 94
- 230000003993 interaction Effects 0.000 claims abstract description 19
- 230000007246 mechanism Effects 0.000 claims description 13
- 238000004590 computer program Methods 0.000 claims description 11
- 238000012795 verification Methods 0.000 claims description 4
- 238000007726 management method Methods 0.000 description 163
- 238000004891 communication Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000004883 computer application Methods 0.000 description 1
- 230000008094 contradictory effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 238000012805 post-processing Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
- Telephonic Communication Services (AREA)
Abstract
本公开涉及一种多媒体会议终端入会认证方法、装置、设备及存储介质,该方法应用于会议管理设备,该方法包括:会议管理设备预先获得密钥加密密钥和目标终端的网络密钥,在接收到目标终端的入会申请时,向目标终端发送入会认证消息,并在接收到目标终端返回的终端响应消息后,对其中携带的密文进行解密及信息验证,通过后,向目标终端发送服务器响应消息,在接收到目标终端返回的入会完成消息后,对其中携带的密文进行解密,根据得到的信息,确定是否允许目标终端入会。应用本公开所提供的技术方案,通过与目标终端的交互,对目标终端进行入会认证管控,可以提高多媒体会议的安全性。
Description
技术领域
本公开涉及计算机应用技术领域,特别是涉及一种多媒体会议终端入会认证方法、装置、设备及存储介质。
背景技术
随着计算机技术和网络技术的快速发展,音视频等多媒体会议的应用范围越来越广泛。多媒体会议依赖于网络进行,具有高效率、低成本、快捷方便等特点。用户通过各种终端可以加入到多媒体会议中。
但是,因为多媒体会议具有一定的私密性,如果任意终端都可以加入,则很可能会产生机密泄露等风险,安全性较低。为了提高多媒体会议的安全性,如何对终端入会进行认证管控,是目前本领域技术人员急需解决的技术问题。
发明内容
本公开的目的是提供一种多媒体会议终端入会认证方法、装置、设备及存储介质,以对多媒体会议中终端入会进行认证管控,提高多媒体会议的安全性。
为解决上述技术问题,本公开提供如下技术方案:
一种多媒体会议终端入会认证方法,应用于会议管理设备,所述会议管理设备预先获得密钥加密密钥和目标终端的网络密钥;所述方法包括:
在接收到所述目标终端的入会申请时,向所述目标终端发送入会认证消息,所述入会认证消息中携带第一认证信息,所述第一认证信息至少包括所述会议管理设备的标识;
接收所述目标终端返回的携带第一密文的终端响应消息,所述第一密文为所述目标终端使用所述目标终端的网络密钥对第二认证信息进行加密得到的密文,所述第二认证信息至少包括所述会议管理设备的标识;
在对所述第一密文解密成功且对所述第二认证信息验证通过的情况下,向所述目标终端发送携带第二密文的服务器响应消息,所述第二密文为所述会议管理设备使用所述目标终端的网络密钥对第三认证信息进行加密得到的密文,所述第三认证信息至少包括所述密钥加密密钥和密钥加密密钥版本;
接收所述目标终端返回的携带第三密文的入会完成消息,所述第三密文为所述目标终端使用所述目标终端的网络密钥对所述会议管理设备的标识和所述密钥加密密钥版本进行加密得到的密文;
在对所述第三密文解密之后,根据所述会议管理设备的标识和所述密钥加密密钥版本的正确与否判定结果,确定是否允许所述目标终端入会。
在本公开的一种具体实施方式中,所述第一认证信息中还包括所述会议管理设备的随机数,所述第二认证信息中还包括所述会议管理设备的随机数和所述目标终端的随机数,所述第三认证信息中还包括所述会议管理设备的随机数和所述目标终端的随机数。
在本公开的一种具体实施方式中,所述入会认证消息中还携带第一证书相关信息,以使所述目标终端在所述第一证书相关信息中包括需要传递证书的标记信息的情况下,或者在所述第一证书相关信息中包括的终端证书序列号与所述目标终端的实际证书序列号不同的情况下,在返回的所述终端响应消息中携带所述目标终端的证书。
在本公开的一种具体实施方式中,在所述终端响应消息中携带所述目标终端的证书的情况下,在所述接收所述目标终端返回的终端响应消息之后,还包括:
在所述会议管理设备中缓存所述目标终端的证书。
在本公开的一种具体实施方式中,所述终端响应消息中还携带第二证书相关信息,在所述接收所述目标终端返回的终端响应消息之后,还包括:
如果所述第二证书相关信息中包括需要传递证书的标记信息,则在所述服务器响应消息中携带所述会议管理设备的证书;
或者,如果所述第二证书相关信息中包括的会管证书序列号与所述会议管理设备的实际证书序列号不同,则在所述服务器响应消息中携带所述会议管理设备的证书。
在本公开的一种具体实施方式中,所述入会认证消息、所述终端响应消息、所述服务器响应消息、所述入会完成消息中还携带安全交互机制版本的相关信息,以使所述会议管理设备与所述目标终端基于相同的安全交互机制版本进行交互。
在本公开的一种具体实施方式中,在确定不允许所述目标终端入会的情况下,还包括:
向所述目标终端返回入会认证失败提示信息;
或者,重复执行向所述目标终端发送入会认证消息的步骤。
一种多媒体会议终端入会认证装置,应用于会议管理设备,所述会议管理设备预先获得密钥加密密钥和目标终端的网络密钥;所述装置包括:
入会认证消息发送模块,用于在接收到所述目标终端的入会申请时,向所述目标终端发送入会认证消息,所述入会认证消息中携带第一认证信息,所述第一认证信息至少包括所述会议管理设备的标识;
终端响应消息接收模块,用于接收所述目标终端返回的携带第一密文的终端响应消息,所述第一密文为所述目标终端使用所述目标终端的网络密钥对第二认证信息进行加密得到的密文,所述第二认证信息至少包括所述会议管理设备的标识;
服务器响应消息发送模块,用于在对所述第一密文解密成功且对所述第二认证信息验证通过的情况下,向所述目标终端发送携带第二密文的服务器响应消息,所述第二密文为所述会议管理设备使用所述目标终端的网络密钥对第三认证信息进行加密得到的密文,所述第三认证信息至少包括所述密钥加密密钥和密钥加密密钥版本;
入会完成消息接收模块,用于接收所述目标终端返回的携带第三密文的入会完成消息,所述第三密文为所述目标终端使用所述目标终端的网络密钥对所述会议管理设备的标识和所述密钥加密密钥版本进行加密得到的密文;
终端入会判定模块,用于在对所述第三密文解密之后,根据所述会议管理设备的标识和所述密钥加密密钥版本的正确与否判定结果,确定是否允许所述目标终端入会。
一种多媒体会议终端入会认证设备,预先获得密钥加密密钥和目标终端的网络密钥,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述任一项所述多媒体会议终端入会认证方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述多媒体会议终端入会认证方法的步骤。
应用本公开实施例所提供的技术方案,会议管理设备预先获得密钥加密密钥和目标终端的网络密钥,在接收到目标终端的入会申请时,向目标终端发送入会认证消息,并在接收到目标终端返回的终端响应消息后,对其中携带的密文进行解密及信息验证,通过后,向目标终端发送服务器响应消息,在接收到目标终端返回的入会完成消息后,对其中携带的密文进行解密,根据得到的信息,确定是否允许目标终端入会。通过与目标终端的交互,对目标终端进行入会认证管控,可以提高多媒体会议的安全性。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例中一种多媒体会议入会认证方法的实施流程图;
图2为本公开实施例中多媒体会议终端入会认证具体流程示意图;
图3为本公开实施例中一种多媒体会议终端入会认证装置的结构示意图;
图4为本公开实施例中一种多媒体会议终端入会认证设备的结构示意图。
具体实施方式
本公开的核心是提供一种多媒体会议终端入会认证方法,该方法可以应用于会议管理设备,会议管理设备可以对涉及到多媒体会议的要入会的终端进行认证管控。
会议管理设备可以预先获得密钥加密密钥。具体的,可以是会议管理设备自身生成密钥加密密钥,还可以由密钥管理设备进行密钥管理,会议管理设备在接入网络后,向密钥管理设备申请获得密钥加密密钥,当然,还可以通过其他方式获得密钥加密密钥,本公开对此不做限制。
另外,会议管理设备还可以通过密钥管理设备查询获得已入网的各个终端的网络密钥。入网是终端加入到多媒体会议的前提,在实际应用中,可以通过网络管理设备对要入网的各个终端进行认证管控,网络管理设备在对终端进行认证管控的过程中,可以使得网络管理设备和终端都获得终端的网络密钥,网络管理设备可以将终端的网络密钥发送给密钥管理设备,由密钥管理设备对终端的网络密钥进行存储。
会议管理设备对要入会的终端进行认证,只有认证通过才允许终端加入多媒体会议,以对入会终端进行认证管控,提高多媒体会议的安全性。
为了使本技术领域的人员更好地理解本公开方案,下面结合附图和具体实施方式对本公开作进一步的详细说明。显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
参见图1所示,为本公开实施例所提供的一种多媒体会议终端入会认证方法的实施流程图,该方法可以包括以下步骤:
S110:在接收到目标终端的入会申请时,向目标终端发送入会认证消息。
入会认证消息中携带第一认证信息,第一认证信息至少包括会议管理设备的标识。
在本公开实施例中,目标终端为已获得网络密钥,要加入多媒体会议的任意一个终端。目标终端在有入会需求时,可以向会议管理设备发送入会申请。
会议管理设备在接收到目标终端的入会申请时,可以向目标终端发送入会认证消息。入会认证消息中可以携带第一认证信息,第一认证信息至少包括会议管理设备的标识。
S120:接收目标终端返回的携带第一密文的终端响应消息。
终端响应消息中携带第一密文,第一密文为目标终端使用目标终端的网络密钥对第二认证信息进行加密得到的密文,第二认证信息至少包括会议管理设备的标识。
会议管理设备向目标终端发送入会认证消息后,目标终端接收到入会认证消息,可以获取其中携带的第一认证信息中包括的会议管理设备的标识,目标终端可以基于会议管理设备的标识生成第二认证信息,在第二认证信息中至少包括会议管理设备的标识,然后使用目标终端的网络密钥对第二认证信息进行加密得到第一密文,将携带第一密文的终端响应消息返回给会议管理设备。
会议管理设备接收到目标终端返回的终端响应消息后,可以继续执行后续步骤的操作。
S130:在对第一密文解密成功且对第二认证信息验证通过的情况下,向目标终端发送携带第二密文的服务器响应消息。
服务器响应消息中携带第二密文,第二密文为会议管理设备使用目标终端的网络密钥对第三认证信息进行加密得到的密文,第三认证信息至少包括密钥加密密钥和密钥加密密钥版本。
会议管理设备在接收到目标终端返回的终端响应消息后,可以使用预先获得的目标终端的网络密钥对其中携带的第一密文进行解密。
如果解密不成功,则表明目标终端使用的用于加密的网络密钥与会议管理设备使用的用于解密的网络密钥不一致,目标终端可能为非法终端,可以向目标终端返回认证不通过的提示信息,或者重复执行向目标终端发送入会认证消息的步骤。
如果可以解密成功,则进一步可以对解密得到的第二认证信息进行验证。具体的,可以将第二认证信息中包括的会议管理设备的标识与发送给目标终端的入会认证消息中携带的第一认证信息包括的会议管理设备的标识进行比较,确定二者是否一致。
如果不一致,则确定对第二认证信息验证不通过,目标终端可能为非法终端,可以向目标终端返回认证不通过的提示信息,或者重复执行向目标终端发送入会认证消息的步骤。
如果一致,则可以基于预先获得的密钥加密密钥和密钥加密密钥版本,生成第三认证信息,第三认证信息中至少包括密钥加密密钥和密钥加密密钥版本。会议管理设备可以使用目标终端的网络密钥对第三认证信息进行加密得到第二密文,然后向目标终端发送携带第二密文的服务器响应消息。
S140:接收目标终端返回的携带第三密文的入会完成消息。
第三密文为目标终端使用目标终端的网络密钥对会议管理设备的标识和密钥加密密钥版本进行加密得到的密文。
会议管理设备在对目标终端返回的终端响应消息中携带的第一密文进行解密,解密成功并对其包括的第二认证信息验证通过的情况下,向目标终端发送服务器响应消息。目标终端接收到服务器响应消息后,可以使用目标终端的网络密钥对其中携带的第二密文进行解密,解密后可以获得第三认证信息,也就获得了密钥加密密钥和密钥加密密钥版本。目标终端可以使用目标终端的网络密钥对密钥加密密钥版本和会议管理设备的标识进行加密,得到第三密文,然后将携带第三密文的入会完成消息返回给会议管理设备。
会议管理设备接收到目标终端返回的携带第三密文的入会完成消息后,可以继续执行后续步骤的操作。
S150:在对第三密文解密之后,根据会议管理设备的标识和密钥加密密钥版本的正确与否判定结果,确定是否允许目标终端入会。
在本公开实施例中,会议管理设备接收到目标终端返回的入会完成信息后,可以得到其中携带的第三密文。第三密文为目标终端使用目标终端的网络密钥对会议管理设备的标识和密钥加密密钥版本进行加密得到的密文。会议管理设备使用目标终端的网络密钥对第三密文进行解密。
如果解密失败,则目标终端可能为非法终端,可以向目标终端返回认证不通过的提示信息,或者重复执行向目标终端发送入会认证消息的步骤。
如果解密成功,则会议管理设备可以获得会议管理设备的标识和密钥加密密钥版本,可以分别确定当前获得的会议管理设备的标识和密钥加密密钥版本是否正确。
根据会议管理设备的标识和密钥加密密钥版本的正确与否判定结果,可以确定是否允许目标终端入会。
具体的,如果会议管理设备的标识和密钥加密密钥版本有一者不正确,则可以确定不允许目标终端入会。在不允许目标终端入会的情况下,可以向目标终端返回入会认证失败提示信息,或者,可以重复执行向目标终端发送入会认证消息的步骤。
如果会议管理设备的标识和密钥加密密钥版本都正确,在可以确定允许目标终端入会。这样目标终端可以加入多媒体会议,在需要传输音视频时,可以使用音视频加密密钥对多媒体会议中需要传输的音视频进行加解密处理,而音视频加密密钥可以通过密钥加密密钥加密后传输给对端,以提高音视频加密密钥的安全性,提高音视频的传输安全性。
应用本公开实施例所提供的方法,会议管理设备预先获得密钥加密密钥和目标终端的网络密钥,在接收到目标终端的入会申请时,向目标终端发送入会认证消息,并在接收到目标终端返回的终端响应消息后,对其中携带的密文进行解密及信息验证,通过后,向目标终端发送服务器响应消息,在接收到目标终端返回的入会完成消息后,对其中携带的密文进行解密,根据得到的信息,确定是否允许目标终端入会。通过与目标终端的交互,对目标终端进行入会认证管控,可以提高多媒体会议的安全性。
在本公开的一个实施例中,第一认证信息中还可以包括会议管理设备的随机数,第二认证信息中还可以包括会议管理设备的随机数和目标终端的随机数,第三认证信息中还可以包括会议管理设备的随机数和目标终端的随机数。
在本公开实施例中,会议管理设备在要向目标终端发送入会认证消息时,可以调用密码模块生成一个随机数,使得在入会认证消息携带的第一认证信息中包括会议管理设备的随机数。
目标终端接收到入会认证消息后,可以得到会议管理设备的随机数。目标终端也可以调用密码模块生成一个随机数,使得在终端响应消息携带的第二认证信息中还包括会议管理设备的随机数和目标终端的随机数。
会议管理设备接收到终端响应消息后,对其中携带的密文进行解密,可以得到第二认证信息中包括的会议管理设备的随机数和目标终端的随机数,通过对当前获得的会议管理设备的随机数与之前自身生成的会议管理设备的随机数的比较,可以确定终端响应消息是否可靠。
如果消息可靠,则会议管理设备可以在第三认证信息中加入会议管理设备的随机数和目标终端的随机数,将服务器响应消息发送给目标终端。同样,目标终端可以基于该消息中携带的目标终端的随机数,确定服务器响应消息是否可靠。
通过对随机数的传递可以加强相互认证的可靠性。目标终端和会议管理设备所能调用的密码模块不同,且在不同时刻调用密码模块生成的随机数不同。
在本公开的一个实施例中,入会认证消息中还可以携带第一证书相关信息,以使目标终端在第一证书相关信息中包括需要传递证书的标记信息的情况下,或者在第一证书相关信息中包括的终端证书序列号与目标终端的实际证书序列号不同的情况下,在返回的终端响应消息中携带目标终端的证书。
可以理解的是,证书数据量较大,在线传递将会消耗较多网络资源。在本公开实施例中,会议管理设备和终端在获得对端证书后,可以在本地保存。
会议管理设备可以根据自身情况,如自身中是否存储有目标终端的证书,或者自身存储的目标终端的证书是否有效等,在向目标终端发送的入会认证消息中携带第一证书相关信息。
目标终端在接收到入会认证消息后,可以得到其中携带的第一证书相关信息。如果第一证书相关信息中包括需要传递证书的标记信息,则可以在返回的终端响应消息中携带目标终端的证书。或者,如果第一证书相关信息中包括的终端证书序列号与目标终端的实际证书序列号不同,则表明目标终端的证书可能存在更新,可以在返回的终端响应消息中携带目标终端的证书。以使会议管理设备基于终端响应消息中携带的目标终端的证书确定目标终端的合法性。
在终端响应消息中携带目标终端的证书的情况下,会议管理设备在接收目标终端返回的终端响应消息之后,可以在会议管理设备中缓存目标终端的证书,再有需要时可以直接使用,以减少证书传输消耗的网络资源。
在本公开的一个实施例中,终端响应消息中还可以携带第二证书相关信息,在接收目标终端返回的终端响应消息之后,该方法还可以包括以下步骤:
如果第二证书相关信息中包括需要传递证书的标记信息,则在服务器响应消息中携带会议管理设备的证书;
或者,如果第二证书相关信息中包括的会管证书序列号与会议管理设备的实际证书序列号不同,则在服务器响应消息中携带会议管理设备的证书。
在本公开实施例中,目标终端也可以根据自身情况,如自身中是否存储有会议管理设备的证书等,在向会议管理设备返回的终端响应消息中携带第二证书相关信息。
会议管理设备在接收到目标终端返回的终端响应消息后,可以得到第二证书相关信息。如果第二证书相关信息中包括需要传递证书的标记信息,则会议管理设备可以在服务器响应消息中携带会议管理设备的证书,以使目标终端通过会议管理设备的证书认证会议管理设备的可靠性。
如果第二证书相关信息中包括的会管证书序列号与会议管理设备的实际证书序列号不同,则表明会议管理设备的证书可能存在更新,可以在服务器响应消息中携带会议管理设备的证书,以使目标终端通过会议管理设备的证书认证会议管理设备的可靠性。
同样,目标终端在获得会议管理设备的证书后,可以在本地保存,以在后续需要时使用,减少证书传递带来的网络资源的消耗。
在本公开的一个实施例中,入会认证消息、终端响应消息、服务器响应消息、入会完成消息中还可以携带安全交互机制版本的相关信息,以使会议管理设备与目标终端基于相同的安全交互机制版本进行交互。
在本公开实施例中,会议管理设备与目标终端交互的各消息中可以携带安全交互机制版本的相关信息,如支持信息、应答信息等。基于其中携带的安全交互机制版本的相关信息,可以确定当前要使用的安全交互机制版本,这样可以使得目标终端与会议管理设备基于相同的安全交互版本进行交互,以避免安全交互版本不同导致的入会认证管控出现误判等问题。
为便于理解,以图2所示为例对本公开实施例的具体执行过程进行说明。
假设目标终端为终端A,会议管理设备为会管M,密钥管理设备为密管。
S1:终端A向会管M发出入会申请;
S2:会管M向密管申请或查询密钥加密密钥,查询终端A的网络密钥NKA;
S3:会管M向终端A发送入会认证消息,入会认证消息中可以携带辅助信息Info、会管M的标识IDM和会管M的随机数RM;其中,辅助信息Info可扩展,可以包括以下内容:会管侧提交的安全交互机制的版本、认证类型标识(1实体终端,2虚拟终端,3快速入网)、证书相关信息(是否传递证书,对端证书序列号,本端证书序列号);会管M的随机数RM可以是会管M调用密码模块生成的随机数;
S4:终端A接收到入会认证消息后,可以获得其中携带的辅助信息Info、会管M的随机数RM、会管M的标识IDM,可以使用终端A的网络密钥NKA对终端A的随机数RA、会管M的随机数RM和会管M的标识IDM进行加密,得到第一密文,向会管M返回携带第一密文的终端响应消息,还可以根据入会认证消息中携带的辅助信息Info确定是否在终端响应消息中携带终端A的证书CertA,还可以根据实际情况,在终端响应消息中携带相应的辅助信息Info;
S5:会管M如果接收到终端A的证书,则可以在本地保存,还可以验证证书的有效性;
S6:会管M对终端响应消息中携带的第一密文进行解密,可以得到终端A的随机数RA、会管M的随机数RM和会管M的标识IDM,对信息进行认证,如果通过,则可以使用终端A的网络密钥NKA对终端A的随机数RA、会管M的随机数RM、密钥加密密钥和密钥加密密钥版本进行加密,得到第二密文,将携带第二密文的服务器响应消息发送给终端A,还可以根据终端响应消息中携带的辅助信息Info确定是否在服务器响应消息中携带会管M的证书CertM,还可以根据实际情况,在服务器响应消息中携带相应的辅助信息Info;
S7:终端A如果接收到会管M的证书,则可以在本地保存;
S8:终端A可以使用终端A的网络密钥NKA对会管M的标识IDM和密钥加密密钥版本进行加密,得到第三密文,将携带第三密文的入会完成消息返回给会管M,在入会完成消息中还可以携带相应的辅助信息Info。
至此,会管M可以根据对第三密文的解密得到的信息确定是否允许终端A入会,完成入会认证管控过程,提高了多媒体会议的安全性。
相应于上面的方法实施例,本公开实施例还提供了一种多媒体会议终端入会认证装置,应用于会议管理设备,会议管理设备预先获得密钥加密密钥和目标终端的网络密钥,下文描述的多媒体会议终端入会认证装置与上文描述的多媒体会议终端入会认证方法可相互对应参照。
参见图3所示,该装置可以包括以下模块:
入会认证消息发送模块310,用于在接收到目标终端的入会申请时,向目标终端发送入会认证消息,入会认证消息中携带第一认证信息,第一认证信息至少包括会议管理设备的标识;
终端响应消息接收模块320,用于接收目标终端返回的携带第一密文的终端响应消息,第一密文为目标终端使用目标终端的网络密钥对第二认证信息进行加密得到的密文,第二认证信息至少包括会议管理设备的标识;
服务器响应消息发送模块330,用于在对第一密文解密成功且对第二认证信息验证通过的情况下,向目标终端发送携带第二密文的服务器响应消息,第二密文为会议管理设备使用目标终端的网络密钥对第三认证信息进行加密得到的密文,第三认证信息至少包括密钥加密密钥和密钥加密密钥版本;
入会完成消息接收模块340,用于接收目标终端返回的携带第三密文的入会完成消息,第三密文为目标终端使用目标终端的网络密钥对会议管理设备的标识和密钥加密密钥版本进行加密得到的密文;
终端入会判定模块350,用于在对第三密文解密之后,根据会议管理设备的标识和密钥加密密钥版本的正确与否判定结果,确定是否允许目标终端入会。
应用本公开实施例所提供的装置,会议管理设备预先获得密钥加密密钥和目标终端的网络密钥,在接收到目标终端的入会申请时,向目标终端发送入会认证消息,并在接收到目标终端返回的终端响应消息后,对其中携带的密文进行解密及信息验证,通过后,向目标终端发送服务器响应消息,在接收到目标终端返回的入会完成消息后,对其中携带的密文进行解密,根据得到的信息,确定是否允许目标终端入会。通过与目标终端的交互,对目标终端进行入会认证管控,可以提高多媒体会议的安全性。
在本公开的一种具体实施方式中,第一认证信息中还包括会议管理设备的随机数,第二认证信息中还包括会议管理设备的随机数和目标终端的随机数,第三认证信息中还包括会议管理设备的随机数和目标终端的随机数。
在本公开的一种具体实施方式中,入会认证消息中还携带第一证书相关信息,以使目标终端在第一证书相关信息中包括需要传递证书的标记信息的情况下,或者在第一证书相关信息中包括的终端证书序列号与目标终端的实际证书序列号不同的情况下,在返回的终端响应消息中携带目标终端的证书。
在本公开的一种具体实施方式中,还包括证书缓存模块,用于:
在终端响应消息中携带目标终端的证书的情况下,在接收目标终端返回的终端响应消息之后,在会议管理设备中缓存目标终端的证书。
在本公开的一种具体实施方式中,终端响应消息中还携带第二证书相关信息,还包括证书携带模块,用于:
在接收目标终端返回的终端响应消息之后,如果第二证书相关信息中包括需要传递证书的标记信息,则在服务器响应消息中携带会议管理设备的证书;
或者,如果第二证书相关信息中包括的会管证书序列号与会议管理设备的实际证书序列号不同,则在服务器响应消息中携带会议管理设备的证书。
在本公开的一种具体实施方式中,入会认证消息、终端响应消息、服务器响应消息、入会完成消息中还携带安全交互机制版本的相关信息,以使会议管理设备与目标终端基于相同的安全交互机制版本进行交互。
在本公开的一种具体实施方式中,还包括后处理模块,用于:
在确定不允许目标终端入会的情况下,向目标终端返回入会认证失败提示信息;
或者,重复执行向目标终端发送入会认证消息的步骤。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
相应于上面的方法实施例,本公开实施例还提供了一种多媒体会议终端入会认证设备,预先获得密钥加密密钥和目标终端的网络密钥,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现上述多媒体会议终端入会认证方法的步骤。
参见图4所示,为根据一示例性实施例示出的一种多媒体会议终端入会认证设备400的框图。例如,多媒体会议终端入会认证设备400可以被提供为一服务器。参照图4,多媒体会议终端入会认证设备400包括处理器410,其数量可以为一个或多个,以及存储器420,用于存储可由处理器410执行的计算机程序。存储器420中存储的计算机程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理器410可以被配置为执行该计算机程序,以执行上述的多媒体会议终端入会认证方法。
另外,多媒体会议终端入会认证设备400还可以包括电源组件430和通信组件440,该电源组件430可以被配置为执行多媒体会议终端入会认证设备400的电源管理,该通信组件440可以被配置为实现多媒体会议终端入会认证设备400的通信,例如,有线或无线通信。此外,该多媒体会议终端入会认证设备400还可以包括输入/输出(I/O)接口450。多媒体会议终端入会认证设备400可以操作基于存储在存储器420的操作***,例如WindowsServerTM,Mac OS XTM,UnixTM,LinuxTM等等。
在另一示例性实施例中,还提供了一种包括程序指令的计算机可读存储介质,该程序指令被处理器执行时实现上述的多媒体会议终端入会认证方法的步骤。例如,该计算机可读存储介质可以为上述包括程序指令的存储器420,上述程序指令可由多媒体会议终端入会认证设备400的处理器410执行以完成上述的多媒体会议终端入会认证方法。
以上结合附图详细描述了本公开的优选实施方式,但是,本公开并不限于上述实施方式中的具体细节,在本公开的技术构思范围内,可以对本公开的技术方案进行多种简单变型,这些简单变型均属于本公开的保护范围。例如,可以将消息中携带的信息改变为单独传输的信息。
另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合,例如入网认证请求消息中同时携带第一终端的标识、随机数等信息。为了避免不必要的重复,本公开对各种可能的组合方式不再另行说明。
此外,本公开的各种不同的实施方式之间也可以进行任意组合,只要其不违背本公开的思想,其同样应当视为本公开所公开的内容。
Claims (10)
1.一种多媒体会议终端入会认证方法,其特征在于,应用于会议管理设备,所述会议管理设备预先获得密钥加密密钥和目标终端的网络密钥;所述方法包括:
在接收到所述目标终端的入会申请时,向所述目标终端发送入会认证消息,所述入会认证消息中携带第一认证信息,所述第一认证信息至少包括所述会议管理设备的标识;
接收所述目标终端返回的携带第一密文的终端响应消息,所述第一密文为所述目标终端使用所述目标终端的网络密钥对第二认证信息进行加密得到的密文,所述第二认证信息至少包括所述会议管理设备的标识;
在对所述第一密文解密成功且对所述第二认证信息验证通过的情况下,向所述目标终端发送携带第二密文的服务器响应消息,所述第二密文为所述会议管理设备使用所述目标终端的网络密钥对第三认证信息进行加密得到的密文,所述第三认证信息至少包括所述密钥加密密钥和密钥加密密钥版本;
接收所述目标终端返回的携带第三密文的入会完成消息,所述第三密文为所述目标终端使用所述目标终端的网络密钥对所述会议管理设备的标识和所述密钥加密密钥版本进行加密得到的密文;
在对所述第三密文解密之后,根据所述会议管理设备的标识和所述密钥加密密钥版本的正确与否判定结果,确定是否允许所述目标终端入会。
2.根据权利要求1所述的方法,其特征在于,所述第一认证信息中还包括所述会议管理设备的随机数,所述第二认证信息中还包括所述会议管理设备的随机数和所述目标终端的随机数,所述第三认证信息中还包括所述会议管理设备的随机数和所述目标终端的随机数。
3.根据权利要求1所述的方法,其特征在于,所述入会认证消息中还携带第一证书相关信息,以使所述目标终端在所述第一证书相关信息中包括需要传递证书的标记信息的情况下,或者在所述第一证书相关信息中包括的终端证书序列号与所述目标终端的实际证书序列号不同的情况下,在返回的所述终端响应消息中携带所述目标终端的证书。
4.根据权利要求3所述的方法,其特征在于,在所述终端响应消息中携带所述目标终端的证书的情况下,在所述接收所述目标终端返回的终端响应消息之后,还包括:
在所述会议管理设备中缓存所述目标终端的证书。
5.根据权利要求1所述的方法,其特征在于,所述终端响应消息中还携带第二证书相关信息,在所述接收所述目标终端返回的终端响应消息之后,还包括:
如果所述第二证书相关信息中包括需要传递证书的标记信息,则在所述服务器响应消息中携带所述会议管理设备的证书;
或者,如果所述第二证书相关信息中包括的会管证书序列号与所述会议管理设备的实际证书序列号不同,则在所述服务器响应消息中携带所述会议管理设备的证书。
6.根据权利要求1所述的方法,其特征在于,所述入会认证消息、所述终端响应消息、所述服务器响应消息、所述入会完成消息中还携带安全交互机制版本的相关信息,以使所述会议管理设备与所述目标终端基于相同的安全交互机制版本进行交互。
7.根据权利要求1至6之中任一项所述的方法,其特征在于,在确定不允许所述目标终端入会的情况下,还包括:
向所述目标终端返回入会认证失败提示信息;
或者,重复执行向所述目标终端发送入会认证消息的步骤。
8.一种多媒体会议终端入会认证装置,其特征在于,应用于会议管理设备,所述会议管理设备预先获得密钥加密密钥和目标终端的网络密钥;所述装置包括:
入会认证消息发送模块,用于在接收到所述目标终端的入会申请时,向所述目标终端发送入会认证消息,所述入会认证消息中携带第一认证信息,所述第一认证信息至少包括所述会议管理设备的标识;
终端响应消息接收模块,用于接收所述目标终端返回的携带第一密文的终端响应消息,所述第一密文为所述目标终端使用所述目标终端的网络密钥对第二认证信息进行加密得到的密文,所述第二认证信息至少包括所述会议管理设备的标识;
服务器响应消息发送模块,用于在对所述第一密文解密成功且对所述第二认证信息验证通过的情况下,向所述目标终端发送携带第二密文的服务器响应消息,所述第二密文为所述会议管理设备使用所述目标终端的网络密钥对第三认证信息进行加密得到的密文,所述第三认证信息至少包括所述密钥加密密钥和密钥加密密钥版本;
入会完成消息接收模块,用于接收所述目标终端返回的携带第三密文的入会完成消息,所述第三密文为所述目标终端使用所述目标终端的网络密钥对所述会议管理设备的标识和所述密钥加密密钥版本进行加密得到的密文;
终端入会判定模块,用于在对所述第三密文解密之后,根据所述会议管理设备的标识和所述密钥加密密钥版本的正确与否判定结果,确定是否允许所述目标终端入会。
9.一种多媒体会议终端入会认证设备,其特征在于,预先获得密钥加密密钥和目标终端的网络密钥,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述多媒体会议终端入会认证方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述多媒体会议终端入会认证方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111011890.2A CN113656788B (zh) | 2021-08-31 | 2021-08-31 | 多媒体会议终端入会认证方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111011890.2A CN113656788B (zh) | 2021-08-31 | 2021-08-31 | 多媒体会议终端入会认证方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113656788A CN113656788A (zh) | 2021-11-16 |
CN113656788B true CN113656788B (zh) | 2023-10-24 |
Family
ID=78482486
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111011890.2A Active CN113656788B (zh) | 2021-08-31 | 2021-08-31 | 多媒体会议终端入会认证方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113656788B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11313055A (ja) * | 1998-04-27 | 1999-11-09 | Hitachi Ltd | 暗号通信装置、鍵管理装置および方法、ネットワーク通信システムおよび方法 |
CN101547096A (zh) * | 2009-02-11 | 2009-09-30 | 广州杰赛科技股份有限公司 | 基于数字证书的网络会议***及其管理方法 |
CN104702611A (zh) * | 2015-03-15 | 2015-06-10 | 西安电子科技大学 | 一种保护安全套接层会话密钥的设备及方法 |
CN110475095A (zh) * | 2019-08-21 | 2019-11-19 | 苏州科达科技股份有限公司 | 一种会议控制方法、装置、设备及可读存储介质 |
CN111654731A (zh) * | 2020-07-07 | 2020-09-11 | 成都卫士通信息产业股份有限公司 | 密钥信息传输方法、装置、电子设备及计算机存储介质 |
CN112165596A (zh) * | 2020-09-03 | 2021-01-01 | 视联动力信息技术股份有限公司 | 监控视频数据传输方法、装置、终端设备和存储介质 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8301883B2 (en) * | 2009-08-28 | 2012-10-30 | Alcatel Lucent | Secure key management in conferencing system |
US10778659B2 (en) * | 2012-05-24 | 2020-09-15 | Smart Security Systems Llc | System and method for protecting communications |
US10074374B2 (en) * | 2014-04-07 | 2018-09-11 | Barco N.V. | Ad hoc one-time pairing of remote devices using online audio fingerprinting |
US9692757B1 (en) * | 2015-05-20 | 2017-06-27 | Amazon Technologies, Inc. | Enhanced authentication for secure communications |
-
2021
- 2021-08-31 CN CN202111011890.2A patent/CN113656788B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11313055A (ja) * | 1998-04-27 | 1999-11-09 | Hitachi Ltd | 暗号通信装置、鍵管理装置および方法、ネットワーク通信システムおよび方法 |
CN101547096A (zh) * | 2009-02-11 | 2009-09-30 | 广州杰赛科技股份有限公司 | 基于数字证书的网络会议***及其管理方法 |
CN104702611A (zh) * | 2015-03-15 | 2015-06-10 | 西安电子科技大学 | 一种保护安全套接层会话密钥的设备及方法 |
CN110475095A (zh) * | 2019-08-21 | 2019-11-19 | 苏州科达科技股份有限公司 | 一种会议控制方法、装置、设备及可读存储介质 |
CN111654731A (zh) * | 2020-07-07 | 2020-09-11 | 成都卫士通信息产业股份有限公司 | 密钥信息传输方法、装置、电子设备及计算机存储介质 |
CN112165596A (zh) * | 2020-09-03 | 2021-01-01 | 视联动力信息技术股份有限公司 | 监控视频数据传输方法、装置、终端设备和存储介质 |
Non-Patent Citations (2)
Title |
---|
张舒黎等.视频会议加密技术研究.通信技术.2020,第53卷(第10期),2520-2527. * |
相佳佳 ; 李晓宇 ; .使用匿名通信的双通道匿名在线会议方案.小型微型计算机***.2020,(第10期),2131-2139. * |
Also Published As
Publication number | Publication date |
---|---|
CN113656788A (zh) | 2021-11-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10187797B2 (en) | Code-based authorization of mobile device | |
CN110380852B (zh) | 双向认证方法及通信*** | |
US11501294B2 (en) | Method and device for providing and obtaining graphic code information, and terminal | |
US8112787B2 (en) | System and method for securing a credential via user and server verification | |
US10411884B2 (en) | Secure bootstrapping architecture method based on password-based digest authentication | |
CN109672675A (zh) | 一种基于OAuth2.0的密码服务中间件的WEB认证方法 | |
CN114765534B (zh) | 基于国密标识密码算法的私钥分发***和方法 | |
KR20110083886A (ko) | 휴대용 단말기에서 다른 휴대용 단말기를 인증하는 장치 및 방법 | |
US11218317B1 (en) | Secure enclave implementation of proxied cryptographic keys | |
CN107609878B (zh) | 一种共享汽车的安全认证方法及*** | |
US11595389B1 (en) | Secure deployment confirmation of IOT devices via bearer tokens with caveats | |
WO2024124924A1 (zh) | 小程序应用的密钥协商方法及装置 | |
US11595215B1 (en) | Transparently using macaroons with caveats to delegate authorization for access | |
CN117336092A (zh) | 一种客户端登录方法、装置、电子设备和存储介质 | |
CN113727059B (zh) | 多媒体会议终端入网认证方法、装置、设备及存储介质 | |
JP4499575B2 (ja) | ネットワークセキュリティ方法およびネットワークセキュリティシステム | |
CN113656788B (zh) | 多媒体会议终端入会认证方法、装置、设备及存储介质 | |
CN116233832A (zh) | 验证信息发送方法及装置 | |
CN114553426B (zh) | 签名验证方法、密钥管理平台、安全终端及电子设备 | |
CN113660285A (zh) | 多媒体会议在网终端管控方法、装置、设备及存储介质 | |
CN113727057B (zh) | 多媒体会议终端入网认证方法、装置、设备及存储介质 | |
KR20170111809A (ko) | 대칭키 기반의 보안 토큰을 이용한 양방향 인증 방법 | |
RU2386220C2 (ru) | Способ и устройство для аутентификации и конфиденциальности | |
CN110855444A (zh) | 一种基于可信第三方的纯软件cava身份认证方法 | |
US11997207B2 (en) | Identifying group membership through discharge macaroon access tokens |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |