CN116032486A - 非对称密钥的认证方法、***及可读存储介质 - Google Patents

非对称密钥的认证方法、***及可读存储介质 Download PDF

Info

Publication number
CN116032486A
CN116032486A CN202211639805.1A CN202211639805A CN116032486A CN 116032486 A CN116032486 A CN 116032486A CN 202211639805 A CN202211639805 A CN 202211639805A CN 116032486 A CN116032486 A CN 116032486A
Authority
CN
China
Prior art keywords
terminal
certificate
server
message
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202211639805.1A
Other languages
English (en)
Other versions
CN116032486B (zh
Inventor
陈嘉毅
刘伟华
王志强
丁战阳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Eastcompeace Technology Co Ltd
Original Assignee
Eastcompeace Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Eastcompeace Technology Co Ltd filed Critical Eastcompeace Technology Co Ltd
Priority to CN202211639805.1A priority Critical patent/CN116032486B/zh
Publication of CN116032486A publication Critical patent/CN116032486A/zh
Application granted granted Critical
Publication of CN116032486B publication Critical patent/CN116032486B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种非对称密钥的认证方法、***及可读存储介质,方法包括:认证平台发送第一终端证书和第一服务端证书到终端;终端接收到后获取第一报文发送给服务端;服务端转发第一报文到认证平台;认证平台接收第一报文,根据第一报文中的序列号获取第二终端证书和第二服务端证书进行密钥协商得到第一会话密钥,根据第一会话密钥对第一随机数和第二随机数加密得到第一随机密文,发送第二报文到服务端;服务端转发第二报文到终端;终端接收第二报文进行密钥协商得到第二会话密钥,基于第二会话密钥对第一随机数和第二随机数加密得到第二随机密文;终端比较第一随机密文和第二随机密文。以提高认证速度,可应用于非对称密钥的认证领域。

Description

非对称密钥的认证方法、***及可读存储介质
技术领域
本发明涉及非对称密钥认证领域,尤其是一种非对称密钥的认证方法、***及可读存储介质。
背景技术
传统终端和业务平台在进行双向认证时,双发需要交换传递证书,才能实现证书的校验和密钥协商的计算。而每次证书的传输都需要大量的数据,导致认证速度减慢。
发明内容
有鉴于此,本发明实施例提供一种非对称密钥的认证方法、***及可读存储介质,以提高认证速度。
本发明的第一方面提供了一种非对称密钥的认证方法,包括:认证平台发送第一终端证书和第一服务端证书到终端,其中,所述第一终端证书为所述终端的数字证书,所述第一服务端证书为服务端的数字证书;所述终端接收所述第一终端证书和所述第一服务端证书,获取第一报文发送给所述服务端,其中,所述第一报文包括:第一临时公钥、第一随机数、终端证书序列号、服务器证书序列号;所述服务端接收所述第一报文,发送所述第一报文到认证平台;所述认证平台接收到所述服务端发送的所述第一报文,根据所述第一报文中的所述终端证书序列号、所述服务端证书序列号获取得到第二终端证书和第二服务端证书,基于所述第一临时公钥、第二临时公钥、所述第二终端证书和所述第二服务端证书进行密钥协商得到第一会话密钥,其中,所述第二临时公钥为所述认证平台生成的;所述认证平台根据所述第一会话密钥对所述第一随机数和第二随机数进行加密得到第一随机密文,其中,所述第二随机数为所述认证平台生成的;所述认证平台发送第二报文到所述服务端,其中,所述第二报文包括所述第二临时公钥、所述第二随机数;所述服务端接收到所述第二报文,发送所述第二报文到所述终端;所述终端接收所述第二报文,基于所述第一临时公钥、所述第二临时公钥、所述第一终端证书和所述第一服务端证书进行密钥协商得到第二会话密钥,基于所述第二会话密钥对所述第一随机数和所述第二随机数进行加密得到第二随机密文;所述终端比较所述第一随机密文和所述第二随机密文是否一样,如果一样,则确定所述终端与所述服务端之间完成认证。
根据本发明的一些实施例,所述认证平台接收到所述服务端发送的所述第一报文后,还包括:通过第二终端证书校验所述第一报文中的第一签名值,其中,所述第一签名值通过第一终端私钥对第一数据进行SM2签名得到,第一报文包括第一签名值和第一数据。
根据本发明的一些实施例,所述终端接收所述第二报文后,还包括:通过第一服务端证书校验所述第二报文中的第二签名值,其中,所述第二签名值通过第二服务端私钥对第二数据进行SM2签名得到,第二报文包括第二签名值和第二数据。
根据本发明的一些实施例,所述第一随机密文或所述第二随机密文的生成步骤包括:通过所述第一会话密钥对第一随机数和第二随机数进行SM4_CBC_NOPAD加密得到第一随机密文;通过所述第二会话密钥对第一随机数和第二随机数进行SM4_CBC_NOPAD加密得到第二随机密文。
根据本发明的一些实施例,还包括:通过所述第二会话密钥对所述第二随机密文进行SM4-MAC计算得到服务端MAC,所述第二报文包括服务端MAC。
根据本发明的一些实施例,所述终端比较所述第一随机密文和所述第二随机密文是否一样后,还包括:通过会话密钥对所述第二随机密文进行SM4-MAC计算得到终端MAC;比较终端MAC和所述服务端MAC是否一样,如果一样,则确定所述终端与所述服务端之间完成认证。
本发明的另一方面提供了一种非对称密钥的认证***,包括:认证平台,用于发送第一终端证书和第一服务端证书到终端,其中,所述第一终端证书为所述终端的数字证书,所述第一服务端证书为服务端的数字证书;接收到所述服务端发送的第一报文,根据所述第一报文中的终端证书序列号、服务端证书序列号获取得到第二终端证书和第二服务端证书,基于第一临时公钥、第二临时公钥、所述第二终端证书和所述第二服务端证书进行密钥协商得到第一会话密钥,其中,所述第二临时公钥为所述认证平台生成的;根据所述第一会话密钥对第一随机数和第二随机数进行加密得到第一随机密文,其中,所述第二随机数为所述认证平台生成的;发送第二报文到所述服务端,其中,所述第二报文包括所述第二临时公钥、所述第二随机数;终端,用于接收所述第一终端证书和所述第一服务端证书,获取第一报文发送给服务端,其中,所述第一报文包括:第一临时公钥、第一随机数、终端证书序列号、服务器证书序列号;接收所述第二报文,基于所述第一临时公钥、所述第二临时公钥、所述第一终端证书和所述第二服务端证书进行密钥协商得到第二会话密钥,基于所述第二会话密钥对所述第一随机数和所述第二随机数进行加密得到第二随机密文;比较所述第一随机密文和所述第二随机密文是否一样,如果一样,则确定所述终端与所述服务端之间完成认证;服务端,用于接收所述第一报文,发送所述第一报文到认证平台;接收到所述第二报文,发送所述第二报文到所述终端。
本发明的另一方面提供了一种电子设备,包括处理器以及存储器;所述存储器用于存储程序;所述处理器执行所述程序实现如上所述的任一项所述的非对称密钥的认证方法。
根据本发明实施例的电子设备,至少具有与上述的非对称密钥的认证方法同样的有益效果。
本发明的另一方面提供了一种计算机可读存储介质,所述存储介质存储有程序,所述程序被处理器执行实现如上所述的任一项所述的非对称密钥的认证方法。
根据本发明实施例的计算机可读存储介质,至少具有与上述的非对称密钥的认证方法同样的有益效果。
本发明实施例还公开了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器可以从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行前面的方法。
本发明的实施例通过认证平台管理终端证书和服务端证书,在认证过程中,终端通过预设的终端证书和服务端证书计算第一报文,认证平台通过第一报文当中的终端证书序列号和服务端证书序列号查询得到对应的证书内容,然后利用临时密钥和双方证书内容进行密钥协商得到了第一会话密钥,并利用第一会话密钥对第一报文发送过来的第一随机数和认证平台上的第二随机数进行加密,并经由服务端发送给终端,终端接收到第二报文之后,基于随机公钥、位于终端的终端证书和服务端报文进行计算得到第二会话密钥,利用第二会话密钥对第一随机数和第二随机数进行加密,比较两次加密的密文是否一样,从而完成验证。终端通过传输序列号给认证平台而非直接传输认证证书给服务端减少了认证时候需要传输整个证书内容的数据,而是让认证平台根据序列号自己在认证平台中查找对应的证书内容。而在认证平台完成密钥协商之后,传输的报文给终端使得终端进行验证确定完成认证的过程中,报文中也不携带有完整的证书相关数据。从而减少了双向认证过程中的数据传输,进一步提高了认证速度。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的非对称密钥的认证方法的步骤流程图;
图2为本发明实施例提供的非对称密钥的认证***的示意图;
图3为本发明实施例的设备的示意框图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
目前,终端210和服务端220进行双向认证过程中,需要交互双方的证书,才能协商出双方都认可的会话密钥,但是,在如今互联网环境下,应该数据传输的大小,提高传输的速率,本申请提出了一种非对称密钥的认证方法、***及可读存储介质,减少数据传输的大小,提高传输速率。
参考图1,图1为本发明实施例提供的非对称密钥的认证方法的步骤流程图,包括步骤:
步骤S110,认证平台230发送第一终端210证书和第一服务端220证书到终端210,其中,第一终端210证书为终端210的数字证书,第一服务端220证书为服务端220的数字证书。
具体地,认证平台230管理签发终端210证书和服务端220证书的生命周期,提供证书的签发、检索、吊销、归档等业务功能,终端210发起双向认证时候,认证平台230下发终端210证书和终端210要进行双向认证的服务端220证书给终端210,将这两个证书写到了终端210的卡里面,要说明的是,终端210发起双向认证可以是发送某个指令给认证平台230。
步骤S120,终端210接收第一终端210证书和第一服务端220证书,获取第一报文发送给服务端220,其中,第一报文包括:第一临时公钥、第一随机数、终端210证书序列号、服务器证书序列号。
终端210接收到第一终端210证书和第一服务端220证书之后,因为每个证书都包括有相对应的序列号,因此终端210获取第一终端210证书对应的终端210证书序列号和第一服务端220证书相对应的服务端220证书序列号,并且生成临时公钥和随机数,拼装成第一报文发送给服务端220,更进一步的,终端210采用SE设备,第一报文中的报文数据由第一签名值和第一数据组成,具体为由设备ID(即IMEI,10字节)+设备类型(1字节)+SE基础信息长度(2字节)+SE基础信息+认证计数器(2字节)+时间戳(6字节)+第一随机数(8字节)+第一临时公钥(64字节)+第一签名值(64字节)组成。其中,SE基础信息由RFU(11字节)+标准版本号(1字节)+COS版本号(1字节)+生产年份(4字节)+SEID(16字节)+RFU(5)+第一终端210证书(LV格式,L为2字节)组成。要说明的是,第一签名值使用第一终端210私钥对以上设备ID到第一临时公钥这段第一数据进行SM2签名运算得到的。而SE基础信息中的RFU(11字节)中第一个字节表示双向认证协议,具体地,带证书双向认证中,0-1字节中,FF表示带证书双向认证,2-6字节中全FF占位,7-11字节全FF占位;不带证书双向认证中,0-1字节中,FE表示不带证书双向认证,2-6字节中为服务端220证书序列号,7-11字节中为终端210证书序列号。要说明的是,当不带证书双向认证时第一数据中的第一终端210证书(LV格式,L为2字节)为0000。可以看出,第一报文中不包括有证书对应的数据,这也在很大程度上减少了传递内容的大小。其中,第一随机数是终端210随机生成的,第一签名值也是终端210生成的,终端210还生成了临时公私钥对。
步骤S130,服务端220接收第一报文,发送第一报文到认证平台230。
步骤S140,认证平台230接收到服务端220发送的第一报文,根据第一报文中的终端210证书序列号、服务端220证书序列号获取得到第二终端210证书和第二服务端220证书,基于第一临时公钥、第二临时公钥、第二终端210证书和第二服务端220证书进行密钥协商得到第一会话密钥,其中,第二临时公钥为认证平台230生成的。
具体地,服务端220接收到第一报文之后转发给认证平台230,认证平台230接收到第一报文之后,根据第一报文当中的终端210证书序列号和服务端220证书序列号查询第二终端210证书和第二服务端220证书,看看是否存在,如果存在则获取相对应的证书。然后通过第二终端210证书对第一报文中的第一签名值进行校验,这是为了确认身份,因为终端210证书序列号是从第一终端210证书获取到的,因此根据终端210证书序列号查询到的第二终端210证书理应跟第一终端210证书是相同的证书,而第一签名值是使用第一终端210私钥对第一数据进行SM2签名运算得到的,因此现在利用第二终端210证书对第一签名进行校验是为了确认第一终端210证书与第二终端210证书是否为同一个终端210的数字证书,或者第一报文是否被篡改,提高安全性。校验成功之后,认证平台230协商第一会话密钥,协商过程中需要用到第一临时公钥、第二临时公钥、第二终端210证书、第二服务端220证书。可以看出,减少了证书交互过程中数据传输的大小,通过传输序列号,在认证平台230中得到证书,而且通过定义了报文,减少了双向认证过程中传输报文的大小。
步骤S150,认证平台230根据第一会话密钥对第一随机数和第二随机数进行加密得到第一随机密文,其中,第二随机数为认证平台230生成的。
步骤S160,认证平台230发送第二报文到服务端220,其中,第二报文包括第二临时公钥、第二随机数。
具体地,认证平台230根据第一会话密钥对第一随机数和认证平台230中具有的第二随机数进行SM4_CBC_NOPAD加密得到第一随机密文。并将认证平台230中的第二临时公钥和第二随机数拼装成第二报文,要说明的是,第二临时公钥和第二随机数都是针对服务端220生成的,报文数据包括第二数据和第二签名值,具体地,由会话密钥ID(1字节)+会话密钥有效期(6字节)+第二随机数(8字节)+第二服务端220证书(LV格式,L为2字节)+第二临时公钥(64字节)+第一随机密文(16字节)+MAC校验值(4字节)+第二签名值(64)字节组成。第二随机密文使用协商计算出的会话密钥对“SE随机数+平台随机数”执行SM4_CBC_NOPAD加密运算得到。服务端220MAC使用协商计算出的会话密钥对第二随机密文执行SM4-MAC运算得到。第二签名值使用第二服务端220私钥对从会话密钥ID到MAC校验值,即第一数据做SM2签名运算得到。要说明的是,当不带证书双向认证时第二服务端220证书(LV格式,L为2字节)为0000。之后发送给服务端220。
步骤S170,服务端220接收到第二报文,发送第二报文到终端210。
步骤S180,终端210接收第二报文,基于第一临时公钥、第二临时公钥、第一终端210证书和第一服务端220证书进行密钥协商得到第二会话密钥,基于第二会话密钥对第一随机数和第二随机数进行加密得到第二随机密文。
步骤S190,终端210比较第一随机密文和第二随机密文是否一样,如果一样,则确定终端210与服务端220之间完成认证。
具体地,服务端220接收第二报文并进行转发,转发给终端210,终端210接收到第二报文之后,通过第一服务端220证书校验第二报文中的第二签名值,利用第一临时公钥、第二临时公钥、第一终端210证书和第一服务端220证书进行密钥协商得到第二会话密钥,并且利用第二会话密钥对第一随机数和第二随机数进行加密得到第二随机密文。比对第一随机密文和第二随机密文,如果相同,则说明第二会话密钥与第一会话密钥验证成功,也就是说第一会话密钥为双向认证协商最终得到的密钥,此时完成了认证。而计算第二会话密钥利用了第一终端210证书和第二服务端220证书中的相关数据,也就是说,验证了第一终端210证书和第二终端210证书为同一个终端210的证书,第一服务端220证书与第二服务端220证书为同一个服务端220的证书,提高了安全性,避免了在认证平台230进行密钥协商的终端210证书和服务端220证书不是实际上要认证的终端210和服务端220。通过交换临时密钥和随机数,直接在认证平台230进行密钥协商,以及直接在终端210进行密钥协商,减少了传统中必须要将证书进行交互的场景,并且通过定义的报文格式,可以减少终端210和业务平台的双向认证时传输报文的大小。更进一步的,在比较完随机密文之后,还可以通过第二会话密钥对第二随机密文进行SM4-MAC计算得到终端210MAC,比较终端210MAC和服务端220MAC是否一样,如果一样,则确定终端210与服务端220之间完成认证。整个过程中不用再交互双方的证书。
参考图2,图2为本发明实施例提供的非对称密钥的认证***的示意图,非对称密钥的认证***包括:认证平台230、终端210、服务端220:
认证平台230,用于发送第一终端210证书和第一服务端220证书到终端210,其中,第一终端210证书为终端210的数字证书,第一服务端220证书为服务端220的数字证书;接收到服务端220发送的第一报文,根据第一报文中的终端210证书序列号、服务端220证书序列号获取得到第二终端210证书和第二服务端220证书,基于第一临时公钥、第二临时公钥、第二终端210证书和第二服务端220证书进行密钥协商得到第一会话密钥,其中,第二临时公钥为认证平台230生成的;根据第一会话密钥对第一随机数和第二随机数进行加密得到第一随机密文,其中,第二随机数为认证平台230生成的;发送第二报文到服务端220,其中,第二报文包括第二临时公钥、第二随机数;
终端210,用于接收第一终端210证书和第一服务端220证书,获取第一报文发送给服务端220,其中,第一报文包括:第一临时公钥、第一随机数、终端210证书序列号、服务器证书序列号;接收第二报文,基于第一临时公钥、第二临时公钥、第一终端210证书和第二服务端220证书进行密钥协商得到第二会话密钥,基于第二会话密钥对第一随机数和第二随机数进行加密得到第二随机密文;比较第一随机密文和第二随机密文是否一样,如果一样,则确定终端210与服务端220之间完成认证;
服务端220,用于接收第一报文,发送第一报文到认证平台230;接收到第二报文,发送第二报文到终端210。
参照图3,本实施例提供一种电子设备,包括处理器以及与处理器耦接的存储器,存储器存储有可被处理器执行的程序指令,处理器执行存储器存储的程序指令时实现上述的目标风险网站检测方法。其中,处理器还可以称为CPU(Central Processing Unit,中央处理单元)。处理器可能是一种集成电路芯片,具有信号的处理能力。处理器还可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。通用处理器可以是微处理器,或者,通用处理器还可以是任何常规的处理器等。存储器可包括各种组件(例如,机器可读介质),包括但不限于随机存取存储器组件、只读组件及其任意组合。存储器520还可包括:(例如,存储于一个或多个机器可读介质的)指令(例如,软件);该指令实现上述实施例中的目标风险网站检测方法。该电子设备具有搭载并运行本发明实施例提供的目标风险网站检测的软件***的功能,例如,个人计算机(Personal Computer,PC)、手机、智能手机、个人数字助手(Personal Digital Assistant,PDA)、可穿戴设备、掌上电脑PPC(Pocket PC)、平板电脑等。
本发明实施例还公开了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器可以从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行图1所示的方法。
在一些可选择的实施例中,在方框图中提到的功能/操作可以不按照操作示图提到的顺序发生。例如,取决于所涉及的功能/操作,连续示出的两个方框实际上可以被大体上同时地执行或所述方框有时能以相反顺序被执行。此外,在本发明的流程图中所呈现和描述的实施例以示例的方式被提供,目的在于提供对技术更全面的理解。所公开的方法不限于本文所呈现的操作和逻辑流程。可选择的实施例是可预期的,其中各种操作的顺序被改变以及其中被描述为较大操作的一部分的子操作被独立地执行。
此外,虽然在功能性模块的背景下描述了本发明,但应当理解的是,除非另有相反说明,所述的功能和/或特征中的一个或多个可以被集成在单个物理装置和/或软件模块中,或者一个或多个功能和/或特征可以在单独的物理装置或软件模块中被实现。还可以理解的是,有关每个模块的实际实现的详细讨论对于理解本发明是不必要的。更确切地说,考虑到在本文中公开的装置中各种功能模块的属性、功能和内部关系的情况下,在工程师的常规技术内将会了解该模块的实际实现。因此,本领域技术人员运用普通技术就能够在无需过度试验的情况下实现在权利要求书中所阐明的本发明。还可以理解的是,所公开的特定概念仅仅是说明性的,并不意在限制本发明的范围,本发明的范围由所附权利要求书及其等同方案的全部范围来决定。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行***、装置或设备(如基于计算机的***、包括处理器的***或其他可以从指令执行***、装置或设备取指令并执行指令的***)使用,或结合这些指令执行***、装置或设备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行***、装置或设备或结合这些指令执行***、装置或设备而使用的装置。
计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行***执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管已经示出和描述了本发明的实施例,本领域的普通技术人员可以理解:在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由权利要求及其等同物限定。
以上是对本发明的较佳实施进行了具体说明,但本发明并不限于所述实施例,熟悉本领域的技术人员在不违背本发明精神的前提下还可做出种种的等同变形或替换,这些等同的变形或替换均包含在本申请权利要求所限定的范围内。

Claims (10)

1.一种非对称密钥的认证方法,其特征在于,包括:
认证平台发送第一终端证书和第一服务端证书到终端,其中,所述第一终端证书为所述终端的数字证书,所述第一服务端证书为服务端的数字证书;
所述终端接收所述第一终端证书和所述第一服务端证书,获取第一报文发送给所述服务端,其中,所述第一报文包括:第一临时公钥、第一随机数、终端证书序列号、服务器证书序列号;
所述服务端接收所述第一报文,发送所述第一报文到认证平台;
所述认证平台接收到所述服务端发送的所述第一报文,根据所述第一报文中的所述终端证书序列号、所述服务端证书序列号获取得到第二终端证书和第二服务端证书,基于所述第一临时公钥、第二临时公钥、所述第二终端证书和所述第二服务端证书进行密钥协商得到第一会话密钥,其中,所述第二临时公钥为所述认证平台生成的;
所述认证平台根据所述第一会话密钥对所述第一随机数和第二随机数进行加密得到第一随机密文,其中,所述第二随机数为所述认证平台生成的;
所述认证平台发送第二报文到所述服务端,其中,所述第二报文包括所述第二临时公钥、所述第二随机数;
所述服务端接收到所述第二报文,发送所述第二报文到所述终端;
所述终端接收所述第二报文,基于所述第一临时公钥、所述第二临时公钥、所述第一终端证书和所述第一服务端证书进行密钥协商得到第二会话密钥,基于所述第二会话密钥对所述第一随机数和所述第二随机数进行加密得到第二随机密文;
所述终端比较所述第一随机密文和所述第二随机密文是否一样,如果一样,则确定所述终端与所述服务端之间完成认证。
2.根据权利要求1所述的一种非对称密钥的认证方法,所述认证平台接收到所述服务端发送的所述第一报文后,还包括:
通过第二终端证书校验所述第一报文中的第一签名值,其中,所述第一签名值通过第一终端私钥对第一数据进行SM2签名得到,第一报文包括第一签名值和第一数据。
3.根据权利要求1所述的一种非对称密钥的认证方法,所述终端接收所述第二报文后,还包括:
通过第一服务端证书校验所述第二报文中的第二签名值,其中,所述第二签名值通过第二服务端私钥对第二数据进行SM2签名得到,第二报文包括第二签名值和第二数据。
4.根据权利要求1所述的一种非对称密钥的认证方法,所述第一随机密文或所述第二随机密文的生成步骤包括:
通过所述第一会话密钥对第一随机数和第二随机数进行SM4_CBC_NOPAD加密得到第一随机密文;
通过所述第二会话密钥对第一随机数和第二随机数进行SM4_CBC_NOPAD加密得到第二随机密文。
5.根据权利要求1所述的一种非对称密钥的认证方法,还包括:
通过所述第二会话密钥对所述第二随机密文进行SM4-MAC计算得到服务端MAC,所述第二报文包括服务端MAC。
6.根据权利要求5所述的一种非对称密钥的认证方法,所述终端比较所述第一随机密文和所述第二随机密文是否一样后,还包括:
通过会话密钥对所述第二随机密文进行SM4-MAC计算得到终端MAC;
比较终端MAC和所述服务端MAC是否一样,如果一样,则确定所述终端与所述服务端之间完成认证。
7.一种非对称密钥的认证***,其特征在于,包括:
认证平台,用于发送第一终端证书和第一服务端证书到终端,其中,所述第一终端证书为所述终端的数字证书,所述第一服务端证书为服务端的数字证书;接收到所述服务端发送的第一报文,根据所述第一报文中的终端证书序列号、服务端证书序列号获取得到第二终端证书和第二服务端证书,基于第一临时公钥、第二临时公钥、所述第二终端证书和所述第二服务端证书进行密钥协商得到第一会话密钥,其中,所述第二临时公钥为所述认证平台生成的;根据所述第一会话密钥对第一随机数和第二随机数进行加密得到第一随机密文,其中,所述第二随机数为所述认证平台生成的;发送第二报文到所述服务端,其中,所述第二报文包括所述第二临时公钥、所述第二随机数;
终端,用于接收所述第一终端证书和所述第一服务端证书,获取第一报文发送给服务端,其中,所述第一报文包括:第一临时公钥、第一随机数、终端证书序列号、服务器证书序列号;接收所述第二报文,基于所述第一临时公钥、所述第二临时公钥、所述第一终端证书和所述第二服务端证书进行密钥协商得到第二会话密钥,基于所述第二会话密钥对所述第一随机数和所述第二随机数进行加密得到第二随机密文;比较所述第一随机密文和所述第二随机密文是否一样,如果一样,则确定所述终端与所述服务端之间完成认证;
服务端,用于接收所述第一报文,发送所述第一报文到认证平台;接收到所述第二报文,发送所述第二报文到所述终端。
8.一种电子设备,其特征在于,包括处理器以及存储器;
所述存储器用于存储程序;
所述处理器执行所述程序实现如权利要求1至6中任一项所述的方法。
9.一种计算机可读存储介质,其特征在于,所述存储介质存储有程序,所述程序被处理器执行实现如权利要求1至6中任一项所述的方法。
10.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的方法。
CN202211639805.1A 2022-12-20 2022-12-20 非对称密钥的认证方法、***及可读存储介质 Active CN116032486B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211639805.1A CN116032486B (zh) 2022-12-20 2022-12-20 非对称密钥的认证方法、***及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211639805.1A CN116032486B (zh) 2022-12-20 2022-12-20 非对称密钥的认证方法、***及可读存储介质

Publications (2)

Publication Number Publication Date
CN116032486A true CN116032486A (zh) 2023-04-28
CN116032486B CN116032486B (zh) 2024-07-09

Family

ID=86069830

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211639805.1A Active CN116032486B (zh) 2022-12-20 2022-12-20 非对称密钥的认证方法、***及可读存储介质

Country Status (1)

Country Link
CN (1) CN116032486B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1731890A (zh) * 2005-08-09 2006-02-08 重庆邮电学院 移动通信增值服务认证和支付的方法
JP2013223171A (ja) * 2012-04-18 2013-10-28 Nippon Telegr & Teleph Corp <Ntt> 公開鍵認証基盤統制システム、認証局サーバ、利用者端末、公開鍵認証基盤統制方法、およびプログラム
WO2020134635A1 (zh) * 2018-12-28 2020-07-02 百富计算机技术(深圳)有限公司 一种pos终端的证书更新方法、服务器及pos终端
CN112118223A (zh) * 2020-08-11 2020-12-22 北京智芯微电子科技有限公司 主站与终端的认证方法、主站、终端及存储介质
CN112565205A (zh) * 2020-11-19 2021-03-26 湖南大学 可信认证和度量方法、服务器、终端及可读存储介质
CN114710289A (zh) * 2022-06-02 2022-07-05 确信信息股份有限公司 物联网终端安全注册和接入方法及***
CN115134154A (zh) * 2022-06-30 2022-09-30 长城汽车股份有限公司 认证方法、装置、远程控制车辆的方法及***

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1731890A (zh) * 2005-08-09 2006-02-08 重庆邮电学院 移动通信增值服务认证和支付的方法
JP2013223171A (ja) * 2012-04-18 2013-10-28 Nippon Telegr & Teleph Corp <Ntt> 公開鍵認証基盤統制システム、認証局サーバ、利用者端末、公開鍵認証基盤統制方法、およびプログラム
WO2020134635A1 (zh) * 2018-12-28 2020-07-02 百富计算机技术(深圳)有限公司 一种pos终端的证书更新方法、服务器及pos终端
CN112118223A (zh) * 2020-08-11 2020-12-22 北京智芯微电子科技有限公司 主站与终端的认证方法、主站、终端及存储介质
CN112565205A (zh) * 2020-11-19 2021-03-26 湖南大学 可信认证和度量方法、服务器、终端及可读存储介质
CN114710289A (zh) * 2022-06-02 2022-07-05 确信信息股份有限公司 物联网终端安全注册和接入方法及***
CN115134154A (zh) * 2022-06-30 2022-09-30 长城汽车股份有限公司 认证方法、装置、远程控制车辆的方法及***

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
刘书勇;付义伦;: "基于PKI技术的可搜索云加密存储***", 软件导刊, no. 02, 22 January 2018 (2018-01-22) *
徐远涛;黄继刚;王宝军;邹山立;周宁;: "身份认证***认证协议的设计与分析", 计算机与信息技术, no. 06, 20 June 2007 (2007-06-20) *

Also Published As

Publication number Publication date
CN116032486B (zh) 2024-07-09

Similar Documents

Publication Publication Date Title
WO2021238527A1 (zh) 数字签名生成方法、装置、计算机设备和存储介质
CN108965230B (zh) 一种安全通信方法、***及终端设备
CN110798315B (zh) 基于区块链的数据处理方法、装置及终端
CA2976795C (en) Implicitly certified digital signatures
CA2838322C (en) Secure implicit certificate chaining
US8555069B2 (en) Fast-reconnection of negotiable authentication network clients
US11436597B1 (en) Biometrics-based e-signatures for pre-authorization and acceptance transfer
CN110958209B (zh) 基于共享密钥的双向认证方法及***、终端
CN110299996A (zh) 认证方法、设备及***
CN111538784A (zh) 一种基于区块链的数字资产交易方法、装置及存储介质
CN110599342B (zh) 基于区块链的身份信息的授权方法及装置
CN105635070B (zh) 一种数字文件的防伪方法及***
CN110598433B (zh) 基于区块链的防伪信息处理方法、装置
CN110601848B (zh) 基于区块链的约定信息处理方法、装置、***及电子设备
WO2020102974A1 (zh) 一种数据访问方法、数据访问装置及移动终端
CN113326525B (zh) 一种基于智能合约的数据处理方法及装置
WO2023071751A1 (zh) 一种认证方法和通信装置
CN111931209B (zh) 基于零知识证明的合同信息验证方法及装置
TW202211047A (zh) 資料獲取方法、裝置、設備和介質
WO2015135398A1 (zh) 一种基于协商密钥的数据处理方法
WO2022048318A1 (zh) 一种建立通信信道的方法及用户终端
CN107566393A (zh) 一种基于受信任证书的动态权限验证***及方法
CN114785524B (zh) 电子***生成方法、装置、设备和介质
CN107135219B (zh) 一种物联网信息安全传输方法
WO2018227471A1 (zh) 生物特征数据的安全处理方法、装置、传感器及终端设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant