CN113727057B - 多媒体会议终端入网认证方法、装置、设备及存储介质 - Google Patents
多媒体会议终端入网认证方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN113727057B CN113727057B CN202111011882.8A CN202111011882A CN113727057B CN 113727057 B CN113727057 B CN 113727057B CN 202111011882 A CN202111011882 A CN 202111011882A CN 113727057 B CN113727057 B CN 113727057B
- Authority
- CN
- China
- Prior art keywords
- terminal
- network
- access authentication
- certificate
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/14—Systems for two-way working
- H04N7/15—Conference systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/14—Systems for two-way working
- H04N7/15—Conference systems
- H04N7/155—Conference systems involving storage of or access to video conference sessions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Multimedia (AREA)
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及一种多媒体会议终端入网认证方法、装置、设备及存储介质,该方法应用于网络管理设备,该方法包括:在接收到作为非首席虚拟终端的第二终端的入网认证请求时,生成第二终端的第二网络密钥,使用预先获得的作为首席虚拟终端的第一终端的第一网络密钥对响应相关信息进行加密,得到响应相关加密第二信息,将携带该信息的入网认证响应消息返回给第二终端,第二终端对其中携带的响应相关第二信息进行解密,得到第二网络密钥,返回入网认证完成消息,网络管理设备基于入网认证完成消息中携带的信息,确定是否允许第二终端入网。实现了对终端入网的认证管控,使得只有认证通过的终端才能被允许入网,提高了多媒体会议的安全性。
Description
技术领域
本公开涉及计算机应用技术领域,特别是涉及一种多媒体会议终端入网认证方法、装置、设备及存储介质。
背景技术
随着计算机技术和网络技术的快速发展,音视频等多媒体会议的应用范围越来越广泛。多媒体会议依赖于网络进行,具有高效率、低成本、快捷方便等特点。用户通过各种终端可以加入到多媒体会议中。
但是,因为多媒体会议具有一定的私密性,如果任意终端都可以加入,则很可能会产生机密泄露等风险,安全性较低,所以并非所有终端都可以加入,只有预先设定的合法终端才可以加入。而入网是终端加入多媒体会议的前提,为了提高多媒体会议的安全性,如何对终端入网进行认证管控,是目前本领域技术人员急需解决的技术问题。
发明内容
本公开的目的是提供一种多媒体会议终端入网认证方法、装置、设备及存储介质,以对多媒体会议中终端入网进行认证管控,提高多媒体会议的安全性。
为解决上述技术问题,本公开提供如下技术方案:
一种多媒体会议终端入网认证方法,应用于网络管理设备,所述网络管理设备预先获得根网络密钥和第一终端的第一网络密钥,所述方法包括:
在接收到第二终端发送的入网认证请求消息的情况下,基于所述根网络密钥,生成所述第二终端的第二网络密钥,所述第二终端与所述第一终端共用一个密码模块,所述第一终端为已入网的首席虚拟终端,所述第二终端为任意一个非首席虚拟终端,所述入网认证请求消息中携带所述第二终端的随机数;
使用所述第一网络密钥对响应相关信息进行加密,获得响应相关加密第二信息,所述响应相关信息包括所述第二网络密钥、所述第二终端的随机数和所述网络管理设备的随机数;
向所述第二终端返回入网认证响应消息,所述入网认证响应消息中携带所述响应相关加密第二信息,以使所述第二终端对所述响应相关第二信息进行解密获得所述第二网络密钥,并向所述网络管理设备发送入网认证完成消息,所述入网认证完成消息中携带所述第二终端的随机数和所述网络管理设备的随机数;
在接收到所述第二终端发送的所述入网认证完成消息的情况下,基于所述入网认证完成消息中携带的信息,确定是否允许所述第二终端入网。
在本公开的一种具体实施方式中,所述入网认证请求消息中携带有证书相关信息,在接收到第二终端发送的入网认证请求消息的情况下,还包括:
如果所述证书相关信息中包括需要传递证书的标记信息,则在所述入网认证响应消息中携带所述网络管理设备的证书;
或者,如果所述证书相关信息中包括的网管证书序列号与所述网络管理设备的实际证书序列号不同,则在所述入网认证响应消息中携带所述网络管理设备的证书。
在本公开的一种具体实施方式中,所述入网认证请求消息中携带有安全交互机制版本的支持信息,在接收到第二终端发送的入网认证请求消息的情况下,还包括:
在所述入网认证响应消息中携带安全交互机制版本的应答信息,以使所述第二终端与所述网络管理设备基于相同的安全交互机制版本进行交互。
在本公开的一种具体实施方式中,所述网络管理设备预先获得广播密钥,所述响应相关信息还包括所述广播密钥。
在本公开的一种具体实施方式中,所述入网认证响应消息中还携带证书相关信息,以使所述第二终端基于所述证书相关信息,确定是否在所述入网认证完成消息中携带所述第一终端的证书。
在本公开的一种具体实施方式中,所述入网认证完成消息中携带所述第一终端的证书,在所述基于所述入网认证完成消息中携带的信息,确定是否允许所述第二终端入网之前,还包括:
确定所述第一终端的证书是否有效;
如果有效,则执行所述基于所述入网认证完成消息中携带的信息,确定是否允许所述第二终端入网的步骤。
在本公开的一种具体实施方式中,在确定所述第一终端的证书有效的情况下,还包括:
在本地缓存所述第一终端的证书。
一种多媒体会议终端入网认证装置,运行于网络管理设备,所述网络管理设备预先获得根网络密钥和第一终端的第一网络密钥,所述装置包括:
网络密钥生成模块,用于在接收到第二终端发送的入网认证请求消息的情况下,基于所述根网络密钥,生成所述第二终端的第二网络密钥,所述第二终端与所述第一终端共用一个密码模块,所述第一终端为已入网的首席虚拟终端,所述第二终端为任意一个非首席虚拟终端,所述入网认证请求消息中携带所述第二终端的随机数;
加密信息获得模块,用于使用所述第一网络密钥对响应相关信息进行加密,获得响应相关加密第二信息,所述响应相关信息包括所述第二网络密钥、所述第二终端的随机数和所述网络管理设备的随机数;
响应信息返回模块,用于向所述第二终端返回入网认证响应消息,所述入网认证响应消息中携带所述响应相关加密第二信息,以使所述第二终端对所述响应相关第二信息进行解密获得所述第二网络密钥,并向所述网络管理设备发送入网认证完成消息,所述入网认证完成消息中携带所述第二终端的随机数和所述网络管理设备的随机数;
入网判定模块,用于在接收到所述第二终端发送的所述入网认证完成消息的情况下,基于所述入网认证完成消息中携带的信息,确定是否允许所述第二终端入网。
一种多媒体会议终端入网认证设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述任一项所述多媒体会议终端入网认证方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述多媒体会议终端入网认证方法的步骤。
应用本公开实施例所提供的技术方案,网络管理设备在接收到作为非首席虚拟终端的第二终端的入网认证请求时,生成第二终端的第二网络密钥,使用预先获得的作为首席虚拟终端的第一终端的第一网络密钥对包括第二网络密钥、第二终端的随机数和网络管理设备的随机数的响应相关信息进行加密,得到响应相关加密第二信息,将携带该信息的入网认证响应消息返回给第二终端,第二终端对其中携带的响应相关第二信息进行解密,可以得到第二网络密钥,返回入网认证完成消息,网络管理设备基于入网认证完成消息中携带的信息,确定是否允许第二终端入网。实现了对终端入网的认证管控,使得只有认证通过的终端才能被允许入网,提高了多媒体会议的安全性。
附图说明
附图是用来提供对本公开的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本公开,但并不构成对本公开的限制。在附图中:
图1为本公开实施例中一种多媒体会议终端入网认证方法的实施流程图;
图2为本公开实施例中多媒体会议终端入网认证具体流程示意图;
图3为本公开实施例中一种多媒体会议终端入网认证装置的结构示意图;
图4为本公开实施例中一种多媒体会议终端入网认证设备的结构示意图。
具体实施方式
本公开的核心是提供一种多媒体会议终端入网认证方法,该方法可以应用于网络管理设备,网络管理设备可以对涉及到多媒体会议的要入网的终端进行认证管控。网络管理设备可以预先获得根网络密钥。具体的,可以是网络管理设备自身生成根网络密钥,还可以由密钥管理设备进行密钥管理,网络管理设备在接入网络后,向密钥管理设备申请获得根网络密钥,当然,还可以通过其他方式获得根网络密钥,本公开对此不做限制。为了保障密钥的安全性,网络管理设备在重启接入网络后均可获得根网络密钥,不同时刻获得的根网络密钥不同。
网络管理设备对要入网的终端进行认证,只有认证通过才允许终端入网,以对入网终端进行认证管控,提高多媒体会议的安全性。
在实际应用中,在一个实体设备上可以部署多个虚拟终端,共用一个密码模块,第一个申请入网的虚拟终端为首席虚拟终端,后续申请入网的虚拟终端为非首席虚拟终端。网络管理设备在已经对首席虚拟终端入网认证通过的情况下,可以对非首席虚拟终端执行快速入网认证过程。
在本公开实施例中,第一终端即为已入网的首席虚拟终端,第二终端为任意一个非首席虚拟终端。在对第一终端进行入网认证过程中,网络管理设备可以获得第一终端的第一网络密钥。
具体的,网络管理设备对第一终端进行入网认证的过程参考如下:
在接收到第一终端发送的入网认证请求消息的情况下,基于预先获得的根网络密钥,生成第一终端的第一网络密钥;
使用第一终端的公钥对网络管理设备的网管标识和第一网络密钥进行加密,获得网络密钥加密第一信息;
向第一终端返回入网认证响应消息,入网认证响应消息中携带网络密钥加密第一信息和网管签名第一信息,以使第一终端基于网管签名第一信息进行签名验证,在验证通过后,对网络密钥加密第一信息进行解密获得第一网络密钥和网管标识,并向网络管理设备发送入网认证完成消息,入网认证完成消息中携带网管标识和终端签名第一信息;
在接收到第一终端发送的入网认证完成消息的情况下,基于入网认证完成消息中携带的信息,确定是否允许第一终端入网。
如果确定允许第一终端入网,则第一终端入网成功,网络管理设备得到第一终端的第一网络密钥,进而对于与第一终端共用一个密码模块的其他任意一个非首席虚拟终端,可以进行快速入网认证过程。
为了使本技术领域的人员更好地理解本公开方案,下面结合附图和具体实施方式对本公开作进一步的详细说明。显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
参见图1所示,为本公开实施例所提供的一种多媒体会议终端入网认证方法的实施流程图,该方法可以包括以下步骤:
S110:在接收到第二终端发送的入网认证请求消息的情况下,基于根网络密钥,生成第二终端的第二网络密钥,入网认证请求消息中携带第二终端的随机数。
第二终端为要入网的任意一个非首席虚拟终端,与第二终端共用一个密码模块的第一终端作为首席虚拟终端已入网。
第二终端有入网需求时,可以向网络管理设备发出入网认证请求消息,入网认证请求消息中可以携带第二终端的随机数。该随机数可以是第二终端调用密码模块生成的。
网络管理设备在接收到第二终端发送的入网认证请求消息后,可以基于根网络密钥,生成第二终端的第二网络密钥。具体的,可以通过密钥派生函数对根网络密钥进行作用,生成第二终端的第二网络密钥。
S120:使用第一网络密钥对响应相关信息进行加密,获得响应相关加密第二信息,响应相关信息包括第二网络密钥、第二终端的随机数和网络管理设备的随机数。
网络管理设备预先获得第一终端的第一网络密钥,在接收到第二终端发送的入网认证请求消息的情况下,生成第二终端的第二网络密钥。可以使用第一网络密钥对包括第二网络密钥、第二终端的随机数和网络管理设备的随机数的响应相关信息进行加密,获得响应相关加密第二信息。
其中,网络管理设备的随机数可以是网络管理设备调用密钥模块生成的。第二终端和网络管理设备所能调用的密码模块不同,且在不同时刻调用密码模块生成的随机数不同。
S130:向第二终端返回入网认证响应消息,入网认证响应消息中携带响应相关加密第二信息,以使第二终端对响应相关第二信息进行解密获得第二网络密钥,并向网络管理设备发送入网认证完成消息,入网认证完成消息中携带第二终端的随机数和网络管理设备的随机数。
网络管理设备获得响应相关加密第二信息后,可以向第二终端返回入网认证响应消息。在入网认证响应消息中携带响应相关加密第二信息。
因为响应相关第二信息是使用第一网络密钥对响应相关信息进行加密后获得的,而第二终端与第一终端共用密码模块,为设置在同一个实体设备上的不同虚拟终端,第二终端可以预先获得第一终端的第一网络密钥,所以,第二终端在接收到网络管理设备返回的入网认证响应消息后,可以使用第一网络密钥对其中携带的响应相关第二信息进行解密获得第二网络密钥、第二终端的随机数和网络管理设备的随机数等信息。可以根据此时得到的第二终端的随机数与入网认证请求消息中携带的第二终端的随机数是否相同,确定信息的正确性,对网络管理设备进行认证。如果认证通过,则第二终端可以向网络管理设备发送入网认证完成消息,其中携带第二终端的随机数和网络管理设备的随机数。
S140:在接收到第二终端发送的入网认证完成消息的情况下,基于入网认证完成消息中携带的信息,确定是否允许第二终端入网。
网络管理设备接收到第二终端发送的入网认证完成消息后,可以基于其中携带信息,确定是否允许第二终端入网。如可以通过其中携带的第二终端的随机数和网络管理设备的随机数,进行身份验证。如果入网认证完成消息中携带的第二终端的随机数和网络管理设备的随机数分别与入网认证响应消息中携带的第二终端的随机数和网络管理设备的随机数相同,则可以确定对第二终端的身份验证通过。
根据身份验证结果,可以确定是否允许第二终端入网。
具体的,如果验证结果为验证通过,则可以确定允许第二终端入网,第二终端入网后,进一步可以执行浏览多媒体会议、加入多媒体会议等操作。如果验证结果为验证不通过,则可以确定不允许第二终端入网,可以向第二终端返回验证失败提示信息,第二终端可以重新发送入网认证请求消息,重复执行认证过程。
通过对随机数的传递可以加强相互认证的可靠性。
应用本公开实施例所提供的方法,网络管理设备在接收到作为非首席虚拟终端的第二终端的入网认证请求时,生成第二终端的第二网络密钥,使用预先获得的作为首席虚拟终端的第一终端的第一网络密钥对包括第二网络密钥、第二终端的随机数和网络管理设备的随机数的响应相关信息进行加密,得到响应相关加密第二信息,将携带该信息的入网认证响应消息返回给第二终端,第二终端对其中携带的响应相关第二信息进行解密,可以得到第二网络密钥,返回入网认证完成消息,网络管理设备基于入网认证完成消息中携带的信息,确定是否允许第二终端入网。实现了对终端入网的认证管控,使得只有认证通过的终端才能被允许入网,提高了多媒体会议的安全性。
在本公开的一个实施例中,入网认证请求消息中携带有证书相关信息,在接收到第二终端发送的入网认证请求消息的情况下,该方法还可以包括以下步骤:
如果证书相关信息中包括需要传递证书的标记信息,则在入网认证响应消息中携带网络管理设备的证书;
或者,如果证书相关信息中包括的网管证书序列号与网络管理设备的实际证书序列号不同,则在入网认证响应消息中携带网络管理设备的证书。
在本公开实施例中,入网认证请求消息中可以携带证书相关信息,该证书相关信息可以包括是否传递证书的标记信息、网管证书序列号、首席虚拟终端标识、第一终端的证书序列号等。
第二终端在有入网需求时,如果本地没有保存有网络管理设备的证书,则可以在入网认证请求消息中携带需要传递证书的标记信息,如果本地保存有网络管理设备的证书,则可以在入网认证请求消息中携带不需要传递证书的标记信息、本地保存的网管证书序列号、第一终端的证书序列号、首席虚拟终端标识等证书相关信息。第一终端和第二终端为同一实体设备上承载的不同虚拟终端,可以共同使用该实体设备的证书。即第一终端的证书、第二终端的证书均为该实体设备的证书。
网络管理设备在接收到第二终端发送的入网认证请求消息的情况下,如果证书相关信息中包括需要传递证书的标记信息,则可以认为第一终端要求网络管理设备传递证书,网络管理设备可以在向第一终端返回的入网认证响应消息中携带网络管理设备的证书。
如果证书相关信息中包括的网管证书序列号与网络管理设备的实际证书序列号不同,则可以认为网络管理设备的证书有更新,网络管理设备可以在入网认证响应消息中携带网络管理设备的证书。
当然,如果证书相关信息中包括不需要传递证书的标记信息,但是证书相关信息中包括的网管证书序列号与网络管理设备的实际证书序列号不同,也可以在入网认证响应消息中携带网络管理设备的证书。以使第二终端能够基于网络管理设备的证书对网络管理设备进行认证,确认入网认证响应消息的合法性。第二终端收到网络管理设备的证书后,可以在本地缓存该证书,这样可以减少之后对证书的传递,节约网络资源。
在本公开的一个实施例中,入网认证响应消息中还可以携带证书相关信息,以使第二终端基于证书相关信息,确定是否在入网认证完成消息中携带第一终端的证书。
在本公开实施例中,网络管理设备在向第二终端返回的入网认证响应消息中还可以携带证书相关信息。证书相关信息可以包括是否传递证书的标记信息、第一终端的证书序列号等。
可以理解的是,证书数据量较大,在线传递将会消耗较多网络资源。所以,在本公开实施例中,终端和网络管理设备都可以在确定需要传递证书时才进行证书的传递。
网络管理设备可以根据入网认证请求消息中携带的信息或本地存储的信息,确定是否需要第二终端发送证书。
具体的,网络管理设备在接收到第二终端发送的入网认证请求消息后,可以先确定入网认证请求消息中是否携带有第一终端的证书,如果没有携带,则可以进一步确定网络管理设备的本地是否缓存有第一终端的证书。如果本地缓存有,则可以认为之前获得过第一终端的证书,也即第二终端的证书,但是证书是否有效还需要进一步确定,即可以再进一步确定本地缓存的第一终端的证书是否有效,如果证书无效,或者本地没有缓存第一终端的证书,则可以在向第二终端返回的入网认证响应消息中携带需要传递证书的标记信息。
另外,如果网络管理设备本地存储有第一终端的证书,则可以在入网认证响应消息中携带不需要传递证书的标记信息,及第一终端的证书序列号等证书相关信息。
第二终端接收到入网认证响应消息后,可以基于其中携带的证书相关信息,确定是否在入网认证完成消息中携带第一终端的证书。如,如果入网认证响应消息中携带有需要传递证书的标记信息,则第二终端在入网认证完成消息中可以携带第一终端的证书,或者,如果入网认证响应消息中携带的第一终端的证书序列号与本地保存的第一终端的证书序列号不同,则认为第一终端的证书有更新,可以在入网认证完成消息中携带第一终端的证书。
在本公开的一个实施例中,入网认证完成消息中携带第一终端的证书,在基于入网认证完成消息中携带的信息,确定是否允许第二终端入网之前,该方法还可以包括以下步骤:
确定第一终端的证书是否有效,如果有效,则执行基于入网认证完成消息中携带的信息,确定是否允许第二终端入网的步骤。
在本公开实施例中,网络管理服务器接收到第二终端返回的入网认证完成消息时,如果入网认证完成消息中携带有第一终端的证书,则可以先确定第一终端的证书是否有效。具体的,可以通过证书服务器进行证书有效性的确定。如果有效,则可以继续执行基于入网认证完成消息中携带的信息,确定是否允许第二终端入网的操作。如果无效,则第二终端可能为非法终端,可以直接确定不允许第二终端入网,向第二终端返回相应的错误提示信息。
同时,在确定第一终端的证书有效的情况下,还可以在本地缓存第一终端的证书。这样可以减少之后对证书的传递,节约网络资源。
在本公开的一个实施例中,入网认证请求消息中携带有安全交互机制版本的支持信息,在接收到第二终端发送的入网认证请求消息的情况下,该方法还可以包括以下步骤:
在入网认证响应消息中携带安全交互机制版本的应答信息,以使第二终端与网络管理设备基于相同的安全交互机制版本进行交互。
在本公开实施例中,第二终端在有入网需求时,向网络管理设备发送的入网认证请求消息中可以携带安全交互机制版本的支持信息,即自身支持的安全交互机制版本,可能有一个或多个。
网络管理设备接收到第二终端发送的入网认证请求消息后,可以基于其中携带的安全交互机制版本的支持信息,确定当前要使用的安全交互机制版本,并在入网认证响应消息中携带安全交互机制版本的应答信息,这样可以使得第二终端与网络管理设备基于相同的安全交互版本进行交互,以避免安全交互版本不同导致的入网认证管控出现误判等问题。
举例而言,安全交互机制有更新,第二终端支持的安全交互机制版本有v1.0、v2.0,网络管理设备确定当前需要使用安全交互机制的版本为v2.0,其中入网认证响应消息中可以携带v2.0的应答信息,这样第二终端与网络管理设备将均基于v2.0的安全交互机制进行交互。
在本公开的一个实施例中,网络管理设备预先获得广播密钥,响应相关信息还包括广播密钥。
网络管理设备初次接入网络后,或者重启接入网络后,可以获得广播密钥。具体的,可以是网络管理设备本身自动生成广播密钥,还可以是向密钥管理设备申请获得广播密钥。不同时刻获得的广播密钥可以不同。
网络管理设备接收到第二终端发送的入网认证请求消息时,可以使用第一网络密钥对还包括广播密钥的响应相关信息进行加密获得响应相关加密第二信息,在向第二终端返回入网认证响应消息后,第二终端对入网认证响应消息中携带的响应相关加密第二信息进行解密,可以得到广播密钥。方便后续使用广播密钥对广播信息进行加解密处理,以提高广播信息的传输安全性。
为便于理解,以图2所示为例对本公开实施例的具体执行过程进行说明。
假设第二终端为终端B,网络管理设备为网管M,密钥管理设备为密管,终端B为任意一个非首席虚拟终端,终端A为首席虚拟终端。
S1:网管M在接入网络后,可以向密管申请根网络密钥NK-root、广播密钥BK;
S2:终端B向网管M发送入网认证请求消息,入网认证请求消息中可以携带辅助信息Info、终端B的标识IDB和终端B的随机数RB。可以约定,终端B发送的第一条入网认证请求消息不携带证书;其中,辅助信息Info可扩展,可以包括以下内容:终端侧支持的安全交互机制的版本、认证类型标识(1实体终端,2虚拟终端,3快速入网)、证书相关信息(是否传递证书,对端证书序列号,本端证书序列号、首席虚拟终端标识);终端B随机数RB可以是终端B调用密码模块生成的随机数;
S3:网管M接收到入网认证请求消息后,如果确定本地没有缓存终端A的证书CertA,或本地缓存的终端A的证书CertA无效,则向终端B返回错误信息;CertA为终端A的加密证书和/或签名证书,终端A和终端B共用承载设备的证书;
S4:终端B接收到错误信息,重新发送入网认证请求消息,在入网认证请求消息中加入证书;
S5:网管M接收到入网认证请求消息,验证证书CertA的有效性,如果有效,则基于根网络密钥,生成终端B的网络密钥NKB;
S6:网管M向终端B返回入网认证响应消息,入网认证响应消息中携带辅助信息Info、使用预先获得的终端A的网络密钥NKA对网管M的随机数RM、终端B的随机数RB、终端B的标识IDB和广播密钥BK的拼接结果进行加密得到的密文、网管M的证书CertM等。其中,CertM为网管M的签名证书和/或加密证书,可以基于接收到的入网认证请求消息中携带的Info确定是否传递该证书;
S7:终端B接收到入网认证响应消息后,对其中携带的密文进行解密,验证身份,验证通过后,向网管M发送入网认证完成消息,入网认证完成消息中可以携带辅助信息Info、使用终端A的网络密钥NKA对网管M的随机数RM、终端B的随机数RB进行加密得到的密文等;
S8:网管M接收到入网认证完成消息后,对其中携带的密文进行解密,根据解密得到的网管M的随机数RM、终端B的随机数RB,确定是否允许终端B入网,完成身份认证的过程。
本公开中网络管理设备对要入网的终端进行认证,只有认证通过才允许终端入网,可以对入网终端进行有效管控,提高多媒体会议的安全性。
相应于上面的方法实施例,本公开实施例还提供了一种多媒体会议终端入网认证装置,运行于网络管理设备,网络管理设备预先获得根网络密钥和第一终端的第一网络密钥,下文描述的多媒体会议终端入网认证装置与上文描述的多媒体会议终端入网认证方法可相互对应参照。
参见图3所示,该装置可以包括以下模块:
网络密钥生成模块310,用于在接收到第二终端发送的入网认证请求消息的情况下,基于根网络密钥,生成第二终端的第二网络密钥,第二终端与第一终端共用一个密码模块,第一终端为已入网的首席虚拟终端,第二终端为任意一个非首席虚拟终端,入网认证请求消息中携带第二终端的随机数;
加密信息获得模块320,用于使用第一网络密钥对响应相关信息进行加密,获得响应相关加密第二信息,响应相关信息包括第二网络密钥、第二终端的随机数和网络管理设备的随机数;
响应信息返回模块330,用于向第二终端返回入网认证响应消息,入网认证响应消息中携带响应相关加密第二信息,以使第二终端对响应相关第二信息进行解密获得第二网络密钥,并向网络管理设备发送入网认证完成消息,入网认证完成消息中携带第二终端的随机数和网络管理设备的随机数;
入网判定模块340,用于在接收到第二终端发送的入网认证完成消息的情况下,基于入网认证完成消息中携带的信息,确定是否允许第二终端入网。
应用本公开实施例所提供的装置,网络管理设备在接收到作为非首席虚拟终端的第二终端的入网认证请求时,生成第二终端的第二网络密钥,使用预先获得的作为首席虚拟终端的第一终端的第一网络密钥对包括第二网络密钥、第二终端的随机数和网络管理设备的随机数的响应相关信息进行加密,得到响应相关加密第二信息,将携带该信息的入网认证响应消息返回给第二终端,第二终端对其中携带的响应相关第二信息进行解密,可以得到第二网络密钥,返回入网认证完成消息,网络管理设备基于入网认证完成消息中携带的信息,确定是否允许第二终端入网。实现了对终端入网的认证管控,使得只有认证通过的终端才能被允许入网,提高了多媒体会议的安全性。
在本公开的一种具体实施方式中,入网认证请求消息中携带有证书相关信息,该装置还包括证书携带判定模块,用于:
在接收到第二终端发送的入网认证请求消息的情况下,如果证书相关信息中包括需要传递证书的标记信息,则在入网认证响应消息中携带网络管理设备的证书;
或者,如果证书相关信息中包括的网管证书序列号与网络管理设备的实际证书序列号不同,则在入网认证响应消息中携带网络管理设备的证书。
在本公开的一种具体实施方式中,入网认证请求消息中携带有安全交互机制版本的支持信息,该装置还包括交互版本携带判定模块,用于:
在接收到第二终端发送的入网认证请求消息的情况下,在入网认证响应消息中携带安全交互机制版本的应答信息,以使第二终端与网络管理设备基于相同的安全交互机制版本进行交互。
在本公开的一种具体实施方式中,网络管理设备预先获得广播密钥,响应相关信息还包括广播密钥。
在本公开的一种具体实施方式中,入网认证响应消息中还携带证书相关信息,以使第二终端基于证书相关信息,确定是否在入网认证完成消息中携带第一终端的证书。
在本公开的一种具体实施方式中,入网认证完成消息中携带第一终端的证书,该装置还包括证书有效性确定模块,用于:
在基于入网认证完成消息中携带的信息,确定是否允许第二终端入网之前,确定第一终端的证书是否有效;
如果有效,则触发入网判定模块340执行基于入网认证完成消息中携带的信息,确定是否允许第二终端入网的步骤。
在本公开的一种具体实施方式中,还包括证书缓存模块,用于:
在确定第一终端的证书有效的情况下,在本地缓存第一终端的证书。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
相应于上面的方法实施例,本公开实施例还提供了一种多媒体会议终端入网认证设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现上述多媒体会议终端入网认证方法的步骤。
参见图4所示,为根据一示例性实施例示出的一种多媒体会议终端入网认证设备400的框图。例如,多媒体会议终端入网认证设备400可以被提供为一服务器。参照图4,多媒体会议终端入网认证设备400包括处理器410,其数量可以为一个或多个,以及存储器420,用于存储可由处理器410执行的计算机程序。存储器420中存储的计算机程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理器410可以被配置为执行该计算机程序,以执行上述的多媒体会议终端入网认证方法。
另外,多媒体会议终端入网认证设备400还可以包括电源组件430和通信组件440,该电源组件430可以被配置为执行多媒体会议终端入网认证设备400的电源管理,该通信组件440可以被配置为实现多媒体会议终端入网认证设备400的通信,例如,有线或无线通信。此外,该多媒体会议终端入网认证设备400还可以包括输入/输出(I/O)接口450。多媒体会议终端入网认证设备400可以操作基于存储在存储器420的操作***,例如WindowsServerTM,Mac OS XTM,UnixTM,LinuxTM等等。
在另一示例性实施例中,还提供了一种包括程序指令的计算机可读存储介质,该程序指令被处理器执行时实现上述的多媒体会议终端入网认证方法的步骤。例如,该计算机可读存储介质可以为上述包括程序指令的存储器420,上述程序指令可由多媒体会议终端入网认证设备400的处理器410执行以完成上述的多媒体会议终端入网认证方法。
以上结合附图详细描述了本公开的优选实施方式,但是,本公开并不限于上述实施方式中的具体细节,在本公开的技术构思范围内,可以对本公开的技术方案进行多种简单变型,这些简单变型均属于本公开的保护范围。例如,可以将消息中携带的信息改变为单独传输的信息。
另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合,例如入网认证请求消息中同时携带第一终端的标识、随机数等信息。为了避免不必要的重复,本公开对各种可能的组合方式不再另行说明。
此外,本公开的各种不同的实施方式之间也可以进行任意组合,只要其不违背本公开的思想,其同样应当视为本公开所公开的内容。
Claims (10)
1.一种多媒体会议终端入网认证方法,其特征在于,应用于网络管理设备,所述网络管理设备预先获得根网络密钥和第一终端的第一网络密钥,所述方法包括:
在接收到第二终端发送的入网认证请求消息的情况下,基于所述根网络密钥,生成所述第二终端的第二网络密钥,所述第二终端与所述第一终端共用一个密码模块,所述第一终端为已入网的首席虚拟终端,所述第二终端为任意一个非首席虚拟终端,所述入网认证请求消息中携带所述第二终端的随机数;
使用所述第一网络密钥对响应相关信息进行加密,获得响应相关加密第二信息,所述响应相关信息包括所述第二网络密钥、所述第二终端的随机数和所述网络管理设备的随机数;
向所述第二终端返回入网认证响应消息,所述入网认证响应消息中携带所述响应相关加密第二信息,以使所述第二终端对所述响应相关第二信息进行解密获得所述第二网络密钥,并向所述网络管理设备发送入网认证完成消息,所述入网认证完成消息中携带所述第二终端的随机数和所述网络管理设备的随机数;
在接收到所述第二终端发送的所述入网认证完成消息的情况下,基于所述入网认证完成消息中携带的信息,确定是否允许所述第二终端入网。
2.根据权利要求1所述的方法,其特征在于,所述入网认证请求消息中携带有证书相关信息,在接收到第二终端发送的入网认证请求消息的情况下,还包括:
如果所述证书相关信息中包括需要传递证书的标记信息,则在所述入网认证响应消息中携带所述网络管理设备的证书;
或者,如果所述证书相关信息中包括的网管证书序列号与所述网络管理设备的实际证书序列号不同,则在所述入网认证响应消息中携带所述网络管理设备的证书。
3.根据权利要求1所述的方法,其特征在于,所述入网认证请求消息中携带有安全交互机制版本的支持信息,在接收到第二终端发送的入网认证请求消息的情况下,还包括:
在所述入网认证响应消息中携带安全交互机制版本的应答信息,以使所述第二终端与所述网络管理设备基于相同的安全交互机制版本进行交互。
4.根据权利要求1所述的方法,其特征在于,所述网络管理设备预先获得广播密钥,所述响应相关信息还包括所述广播密钥。
5.根据权利要求1至4之中任一项所述的方法,其特征在于,所述入网认证响应消息中还携带证书相关信息,以使所述第二终端基于所述证书相关信息,确定是否在所述入网认证完成消息中携带所述第一终端的证书。
6.根据权利要求5所述的方法,其特征在于,所述入网认证完成消息中携带所述第一终端的证书,在所述基于所述入网认证完成消息中携带的信息,确定是否允许所述第二终端入网之前,还包括:
确定所述第一终端的证书是否有效;
如果有效,则执行所述基于所述入网认证完成消息中携带的信息,确定是否允许所述第二终端入网的步骤。
7.根据权利要求6所述的方法,其特征在于,在确定所述第一终端的证书有效的情况下,还包括:
在本地缓存所述第一终端的证书。
8.一种多媒体会议终端入网认证装置,其特征在于,运行于网络管理设备,所述网络管理设备预先获得根网络密钥和第一终端的第一网络密钥,所述装置包括:
网络密钥生成模块,用于在接收到第二终端发送的入网认证请求消息的情况下,基于所述根网络密钥,生成所述第二终端的第二网络密钥,所述第二终端与所述第一终端共用一个密码模块,所述第一终端为已入网的首席虚拟终端,所述第二终端为任意一个非首席虚拟终端,所述入网认证请求消息中携带所述第二终端的随机数;
加密信息获得模块,用于使用所述第一网络密钥对响应相关信息进行加密,获得响应相关加密第二信息,所述响应相关信息包括所述第二网络密钥、所述第二终端的随机数和所述网络管理设备的随机数;
响应信息返回模块,用于向所述第二终端返回入网认证响应消息,所述入网认证响应消息中携带所述响应相关加密第二信息,以使所述第二终端对所述响应相关第二信息进行解密获得所述第二网络密钥,并向所述网络管理设备发送入网认证完成消息,所述入网认证完成消息中携带所述第二终端的随机数和所述网络管理设备的随机数;
入网判定模块,用于在接收到所述第二终端发送的所述入网认证完成消息的情况下,基于所述入网认证完成消息中携带的信息,确定是否允许所述第二终端入网。
9.一种多媒体会议终端入网认证设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述多媒体会议终端入网认证方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述多媒体会议终端入网认证方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111011882.8A CN113727057B (zh) | 2021-08-31 | 2021-08-31 | 多媒体会议终端入网认证方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111011882.8A CN113727057B (zh) | 2021-08-31 | 2021-08-31 | 多媒体会议终端入网认证方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113727057A CN113727057A (zh) | 2021-11-30 |
CN113727057B true CN113727057B (zh) | 2023-05-23 |
Family
ID=78679778
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111011882.8A Active CN113727057B (zh) | 2021-08-31 | 2021-08-31 | 多媒体会议终端入网认证方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113727057B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010074561A (ja) * | 2008-09-18 | 2010-04-02 | Pioneer Electronic Corp | 会議制御装置、会議システム、会議制御方法、そのプログラム、および、そのプログラムを記録した記録媒体 |
US9071967B1 (en) * | 2013-05-31 | 2015-06-30 | Amazon Technologies, Inc. | Wireless credential sharing |
CN105357223A (zh) * | 2015-12-07 | 2016-02-24 | 山东山大华天软件有限公司 | 基于即时通信协议的三维协同会议***及其实现方法 |
KR101674616B1 (ko) * | 2016-03-21 | 2016-11-09 | (주)한위드정보기술 | 가상화 기반 원격 화상 회의 제공 시스템 |
CN110933112A (zh) * | 2019-12-26 | 2020-03-27 | 视联动力信息技术股份有限公司 | 一种入网认证方法、装置和存储介质 |
CN111835691A (zh) * | 2019-04-22 | 2020-10-27 | ***通信有限公司研究院 | 一种认证信息处理方法、终端和网络设备 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080120370A1 (en) * | 2006-11-22 | 2008-05-22 | Brian Chan | Virtual Meeting Server Discovery |
US9838373B2 (en) * | 2010-11-29 | 2017-12-05 | Biocatch Ltd. | System, device, and method of detecting a remote access user |
US8860777B2 (en) * | 2011-12-22 | 2014-10-14 | Verizon Patent And Licensing Inc. | Multi-enterprise video conference service |
US10291597B2 (en) * | 2014-08-14 | 2019-05-14 | Cisco Technology, Inc. | Sharing resources across multiple devices in online meetings |
-
2021
- 2021-08-31 CN CN202111011882.8A patent/CN113727057B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010074561A (ja) * | 2008-09-18 | 2010-04-02 | Pioneer Electronic Corp | 会議制御装置、会議システム、会議制御方法、そのプログラム、および、そのプログラムを記録した記録媒体 |
US9071967B1 (en) * | 2013-05-31 | 2015-06-30 | Amazon Technologies, Inc. | Wireless credential sharing |
CN105357223A (zh) * | 2015-12-07 | 2016-02-24 | 山东山大华天软件有限公司 | 基于即时通信协议的三维协同会议***及其实现方法 |
KR101674616B1 (ko) * | 2016-03-21 | 2016-11-09 | (주)한위드정보기술 | 가상화 기반 원격 화상 회의 제공 시스템 |
CN111835691A (zh) * | 2019-04-22 | 2020-10-27 | ***通信有限公司研究院 | 一种认证信息处理方法、终端和网络设备 |
CN110933112A (zh) * | 2019-12-26 | 2020-03-27 | 视联动力信息技术股份有限公司 | 一种入网认证方法、装置和存储介质 |
Non-Patent Citations (1)
Title |
---|
魏枫 ; 张捷 ; 段惠卿 ; .视频会议流媒体录播技术研究与开发.信息安全与通信保密.2009,(第07期),全文. * |
Also Published As
Publication number | Publication date |
---|---|
CN113727057A (zh) | 2021-11-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9832183B2 (en) | Key management using quasi out of band authentication architecture | |
CN108566381A (zh) | 一种安全升级方法、装置、服务器、设备和介质 | |
CN114788226B (zh) | 用于建立分散式计算机应用的非托管工具 | |
EP1376976A1 (en) | Methods for authenticating potential members invited to join a group | |
US20120137132A1 (en) | Shared secret establishment and distribution | |
US20110131640A1 (en) | Secure transfer of data | |
KR20010108150A (ko) | 보안 마이크로프로세서에서 복호화를 사용하는 인증 및단일 트랜젝션의 인증을 시행하는 방법 | |
WO2002093824A2 (en) | Authentication method | |
TW201926943A (zh) | 資料傳輸方法及系統 | |
CN115473655B (zh) | 接入网络的终端认证方法、装置及存储介质 | |
CN116244750A (zh) | 一种涉密信息维护方法、装置、设备及存储介质 | |
WO2022135391A1 (zh) | 身份鉴别方法、装置、存储介质、程序、及程序产品 | |
WO2013044766A1 (zh) | 无卡终端的业务访问方法及设备 | |
KR102171377B1 (ko) | 로그인 제어 방법 | |
CN113727059B (zh) | 多媒体会议终端入网认证方法、装置、设备及存储介质 | |
CN104901967A (zh) | 信任设备的注册方法 | |
WO2023174350A1 (zh) | 身份认证方法、装置、设备及存储介质 | |
CN116528230A (zh) | 验证码处理方法、移动终端及可信服务*** | |
JP4499575B2 (ja) | ネットワークセキュリティ方法およびネットワークセキュリティシステム | |
CN113727057B (zh) | 多媒体会议终端入网认证方法、装置、设备及存储介质 | |
CN116233832A (zh) | 验证信息发送方法及装置 | |
CN114553426B (zh) | 签名验证方法、密钥管理平台、安全终端及电子设备 | |
CN113656788B (zh) | 多媒体会议终端入会认证方法、装置、设备及存储介质 | |
CN113660285A (zh) | 多媒体会议在网终端管控方法、装置、设备及存储介质 | |
JP2000261428A (ja) | 分散処理システムにおける認証装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |