CN111031061A - 一种验证方法及网关设备 - Google Patents
一种验证方法及网关设备 Download PDFInfo
- Publication number
- CN111031061A CN111031061A CN201911347869.2A CN201911347869A CN111031061A CN 111031061 A CN111031061 A CN 111031061A CN 201911347869 A CN201911347869 A CN 201911347869A CN 111031061 A CN111031061 A CN 111031061A
- Authority
- CN
- China
- Prior art keywords
- encrypted data
- key
- information
- response result
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请公开了一种验证方法及网关设备,该方法包括:获取并验证端子设备发送的第一加密数据包,从所述第一加密数据包中提取加密数据标识,随机生成与所述加密数据标识关联的第一密钥,基于所述加密数据标识和所述第一密钥生成第一验证信息;通过第一加密数据包的公钥对所述加密数据标识、所述第一密钥和所述第一验证信息进行加密,生成一加密信息,将所述加密信息反馈给所述端子设备;基于所述响应结果判断所述端子设备的合法性。本申请实施例的验证方法能够判断与网关设备通信的端子设备的合法性,从而保证用户的智能硬件的数据安全。
Description
技术领域
本申请涉及通信安全领域,特别涉及一种验证方法及网关设备。
背景技术
随着智能硬件和互联网技术的发展,越来越多的智能硬件走入生活,这些智能硬件通过互联网连接在一起,通过网关设备与人们交互,这就需要一种防伪认证机制来保障人们的智能硬件不被伪造,保护人们的硬件安全。
现在有的技术中,通常是在端子设备和网关设备的通信通道上进行加密认证,也就是防止网络通道上的数据被破解。此方案中存在安全风险:如果网络数据被截取,完全可以复制一个一样端子设备或者网关设备,从而伪造一个一样的端子设备或网关设备,危害到用户的智能硬件和数据安全。
发明内容
本申请实施例的目的在于提供一种验证方法及网关设备,该方法能够判断与网关设备通信的端子设备的合法性,从而保证用户的智能硬件的数据安全。
为了解决上述技术问题,本申请的实施例采用了如下技术方案:一种验证方法,包括:
获取端子设备发送的第一加密数据包,验证所述第一加密数据包并从所述第一加密数据包中提取加密数据标识,保存所述加密数据标识;
随机生成与所述加密数据标识关联的第一密钥并保存,基于所述加密数据标识和所述第一密钥生成第一验证信息;
通过第一加密数据包的公钥对所述加密数据标识、所述第一密钥和所述第一验证信息进行加密,生成一加密信息,将所述加密信息反馈给所述端子设备;
接收从所述端子设备发送的响应结果,并基于所述响应结果判断所述端子设备的合法性。
优选地,所述的接收从所述端子设备发送的响应结果,并基于所述响应结果判断所述端子设备的合法性,具体为:
接收所述端子设备发送的响应结果,其中,所述响应结果是所述端子设备通过第一加密数据包的私钥对所述加密信息进行解密并生成的解密信息,并且基于所述解密信息计算的结果。
优选地,所述方法还包括:
通过预存的根公钥验证所述端子设备发送的中级证书,并基于所述中级证书获取中级证书公钥,通过所述中级证书公钥验证所述第一加密数据包。
优选地,所述的随机生成与所述加密数据标识关联的第一密钥并保存,基于所述加密数据标识和所述第一密钥生成第一验证信息,包括:
通过固定密钥对所述加密数据标识和所述第一密钥进行签名,以生成所述第一验证信息。
优选地,其中,所述响应结果具体为:所述端子设备对所述解密信息进行计算得出哈希值;所述解密信息具体包括:所述端子设备通过所述第一加密数据包的私钥对所述加密数据标识进行解密所生成的第一解密信息,以及所述端子设备通过所述固定密钥对所述第一验证信息进行验证所生成的第二解密信息。。
优选地,所述的接收从所述端子设备发送的响应结果,并基于所述响应结果判断所述端子设备的合法性,包括:
基于从所述端子设备发送的哈希值来确定所述响应结果,利用预设的哈希验证数据对所述哈希值进行验证并验证通过时,确定所述响应结果为合法。
本申请实施例还提供了一种网关设备,包括:
获取模块,其用于获取端子设备发送的第一加密数据包,验证所述第一加密数据包并从所述第一加密数据包中提取加密数据标识,保存所述加密数据标识;
加密模块,其用于随机生成与所述加密数据标识关联的第一密钥并保存,基于所述加密数据标识和所述第一密钥生成第一验证信息;并通过第一加密数据包的公钥对所述加密数据标识、所述第一密钥和所述验证信息进行加密,生成第一加密信息,将所述加密信息反馈给所述端子设备;
验证模块,其用于接收从所述端子设备发送的响应结果并基于所述响应结果判断所述端子设备的合法性。
优选地,所述验证模块进一步用于接收所述端子设备发送的响应结果,其中,所述响应结果是所述端子设备通过第一加密数据包的私钥对所述加密信息进行解密并生成的解密信息,并且基于所述解密信息计算出的结果。
优选地,所述加密模块进一步用于:通过固定密钥对所述加密数据标识和所述第一密钥进行签名,以生成所述验证信息。
优选地,所述验证模块进一步用于:基于从所述端子设备发送的哈希值来确定所述响应结果,利用预设的哈希验证数据对所述哈希值进行验证并验证通过时,确定所述响应结果为合法。
本申请实施例的有益效果在于:本申请实施例的验证方法,通过在网关设备中预设固定密钥,并且在端子设备中预设证书私钥,即使利用伪造的网关设备或端子设备,也无法进行通信,也不能认证成功。本申请实施例的验证方法能够有效地判断与网关设备通信的端子设备的合法性,防止了网络通道数据被非法截取,从而保证用户的智能硬件的数据安全。
附图说明
图1为本申请实施例的验证方法的流程图;
图2为本申请实施例的验证方法的一个实施例的流程图;
图3为本申请实施例的验证方法的具体实施例的流程图;
图4为本申请实施例的网关设备的示意图。
具体实施方式
此处参考附图描述本申请的各种方案以及特征。
应理解的是,可以对此处申请的实施例做出各种修改。因此,上述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本申请的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本申请的实施例,并且与上面给出的对本申请的大致描述以及下面给出的对实施例的详细描述一起用于解释本申请的原理。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本申请的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本申请进行了描述,但本领域技术人员能够确定地实现本申请的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
当结合附图时,鉴于以下详细说明,本申请的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本申请的具体实施例;然而,应当理解,所申请的实施例仅仅是本申请的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本申请模糊不清。因此,本文所申请的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本申请。
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本申请的相同或不同实施例中的一个或多个。
下面参照附图对本申请的实施方式进行详细说明。
图1为本申请实施例的验证方法的流程图,如图1所示,该验证方法包括以下步骤:
S1,获取端子设备发送的第一加密数据包,验证所述第一加密数据包并从所述第一加密数据包中提取加密数据标识,保存所述加密数据标识;
在本实施例中,网关设备获取端子设备发送的第一加密数据包,以执行与端子设备之间的通信,具体地,第一加密数据包为KeyBag证书,网关设备验证获取的第一加密数据包并从第一加密数据包中提取加密数据标识,具体地,加密数据标识为KeyBag ID,网关设备保存加密数据标识。
S2,随机生成与所述加密数据标识关联的第一密钥并保存,基于所述加密数据标识和所述第一密钥生成第一验证信息;
在本实施例中,基于加密数据标识,网关设备随机生成与加密数据标识关联的第一密钥,具体地,第一密钥为随机密钥,与KeyBag ID相关联,将第一密钥保存后,网关设备基于加密数据标识和第一密钥生成第一验证信息,具体地,第一验证信息为网关设备对加密数据标识和第一密钥的验证签名。
S3,通过第一加密数据包的公钥对所述加密数据标识、所述第一密钥和所述第一验证信息进行加密,生成一加密信息,将所述加密信息反馈给所述端子设备;
在本实施例中,网关设备通过第一加密数据包的公钥对加密数据标识、第一密钥和第一验证信息进行加密,具体地,第一加密数据包的公钥为KeyBag证书公钥,网关设备通过KeyBag证书公钥对加密数据标识、第一密钥和第一验证信息进行加密后,生成一加密信息,加密信息具体可为签名或密钥。网关设备将加密信息反馈给端子设备,以要求端子设备基于该加密信息做出响应,具体地,端子设备可对该加密信息进行解密,以对该加密信息做出响应。
S4,接收从所述端子设备发送的响应结果,并基于所述响应结果判断所述端子设备的合法性。
在本实施例中,在端子设备对加密信息做出响应后,网关设备接收从端子设备发送的响应结果,具体地,响应结果可为端子设备对加密信息进行解密后的结果,例如,对加密信息的签名进行验证,并将验证信息反馈给网关设备,网关设备基于该响应结果,判断端子设备的合法性。如果响应结果与网关设备预设的验证信息相匹配,该响应结果有效,端子设备为合法,网关设备与端子设备认证成功,可建立通信连接。如果响应结果与网关设备预设的验证信息不能匹配,该响应结果无效,端子设备不合法,网关设备与端子设备认证失败,端子设备可能是伪造的,不能与网关设备建立通信连接。
本实施例中的验证方法,网关设备通过对端子设备发送的加密数据进行验证,并将关联的加密信息反馈给端子设备,以要求端子设备做出响应,网关设备基于端子设备发送的响应结果判断端子设备的合法性。本申请实施例的验证方法能够有效地保证网关设备与端子设备之间的验证安全性,在网关设备与端子设备认证失败时,端子设备与网关设备将不能建立通信连接,从而保证网关设备的安全。
在本申请的一个实施例中,所述的接收从所述端子设备发送的响应结果,并基于所述响应结果判断所述端子设备的合法性,具体为:
接收所述端子设备发送的响应结果,其中,所述响应结果是所述端子设备通过第一加密数据包的私钥对所述加密信息进行解密并生成的解密信息,并且基于所述解密信息计算出的结果。
在本实施例中,网关设备将加密信息发送给端子设备,端子设备通过第一加密数据包的私钥对加密信息进行解密,具体地,第一加密数据包的私钥为KeyBag证书私钥,也就是,端子设备通过KeyBag证书私钥进行解密,生成对应的解密信息,解密信息具体可为对加密数据标识、第一密钥和第一验证信息的验证签名信息,基于该解密信息,端子设备计算出响应结果也就是,端子设备对从网关设备接收的加密信息进行解密,再基于该解密信息计算出响应结果。具体地,从网关设备发送的加密信息包括KeyBag ID和随机密钥,端子设备计算KeyBag ID和随机密钥的哈希值,以生成响应结果。
在一些优选的实施例中,网关设备中预存的KeyBag证书公钥与端子设备中预存的KeyBag证书私钥是相对应的,并且分别对验证信息进行加密和解密操作。并且,端子设备中存放网关设备的根证书签发的中级证书、KeyBag证书和KeyBag证书私钥,其中KeyBag证书私钥为私密。网关设备和端子设备之间通过相关联的KeyBag证书公钥和KeyBag证书私钥进行验证和认证。
图2为本申请实施例的验证方法的另一流程图,如图2所示,该验证方法还包括以下步骤:
S0,通过预存的根公钥验证所述端子设备发送的中级证书,并基于所述中级证书获取中级证书公钥,通过所述中级证书公钥验证所述第一加密数据包。
在本实施例中,在网关设备对端子设备发送的加密数据进行验证之前,还包括:网关设备通过预存的根公钥验证端子设备发送的中级证书,并基于所述中级证书获取中级证书公钥,通过中级证书公钥验证第一加密数据包。具体地,根公钥内置在网关设备中并且是预先存储的,利用根公钥对端子设备发送的中级证书进行验证,生成相应的中级证书公钥,以将网关设备与端子设备进行认证绑定,再通过中级证书公钥对从端子设备获取的第一加密数据包进行验证。
在本申请的一个实施例中,所述的随机生成与所述加密数据标识关联的第一密钥并保存,基于所述加密数据标识和所述第一密钥生成第一验证信息,包括:
通过固定密钥对所述加密数据标识和所述第一密钥进行签名,以生成所述第一验证信息。
在本实施例中,网关设备通过固定密钥对加密数据标识和第一密钥进行签名,具体地,固定密钥预存在网关设备中并且是私密的,网关设备利用固定密钥对加密数据标识和与加密数据标识关联的第一密钥进行签名,以生成第一验证信息,具体地,第一验证信息为加密数据标识和第一密钥的签名值,也就是KeyBag ID和随机密钥的签名值。
在本申请的一个实施例中,所述响应结果具体为:所述端子设备对所述解密信息进行计算得出哈希值;所述解密信息具体包括:所述端子设备通过所述第一加密数据包的私钥对所述加密数据标识进行解密所生成的第一解密信息,以及所述端子设备通过所述固定密钥对所述第一验证信息进行验证所生成的第二解密信息。
在本实施例中,端子设备计算出的响应结果具体为:端子设备对解密信息进行计算得出的哈希值,具体地,端子设备将从网关设备发送的加密信息进行解密以得到解密信息,解密信息具体包括:端子设备通过第一加密数据包的私钥对加密数据标识进行解密所生成的第一解密信息,以及端子设备通过固定密钥对第一验证信息进行验证所生成的第二解密信息。端子设备对解密信息进行计算得出的哈希值,也就是基于从网关设备发送的加密信息进行计算得出哈希值,由于加密信息包括网关设备通过KeyBag证书公钥对加密数据标识、第一密钥和第一验证信息进行加密后生成的加密信息,端子设备在对加密信息进行解密后,生成了基于网关设备中的加密数据标识、第一密钥和第一验证信息得到的信息,以得出与网关设备中的加密数据标识、第一密钥和第一验证信息相关联的哈希值。
在本申请的一个实施例中,所述的接收从所述端子设备发送的响应结果,并基于所述响应结果判断所述端子设备的合法性,包括:
基于从所述端子设备发送的哈希值来确定所述响应结果,利用预设的哈希验证数据对所述哈希值进行验证并验证通过时,确定所述响应结果为合法。
在本实施例中,网关设备接收端子设备发送的哈希值来确定响应结果,具体地,哈希值为计算加密数据标识和随机密钥的哈希值,基于计算后的哈希值来确定端子设备的响应结果,当哈希值与网关设备中预设的哈希验证数据相一致时,确定端子设备的响应结果为合法。具体地,网关设备中预设的哈希验证数据与端子设备中计算生成的哈希值是相对应的。利用预设的哈希验证数据对所述哈希值进行验证并验证通过时,确定端子设备的响应结果为合法,具体来说,哈希验证数据为网关设备中与计算后的哈希值相关联对应的签名值或验证值。当利用预设的哈希验证数据哈希值进行验证并验证通过时,确定该哈希值为合法,网关设备与端子设备认证成功,可建立通信连接。如果哈希值与预设的哈希验证数据不一致,该哈希值不合法,网关设备与端子设备认证失败,端子设备可能是伪造的,不能与网关设备建立通信连接。
图3为本申请实施例的验证方法的具体实施例的流程图。下面结合图3对本申请的验证方法进行进一步的说明:
端子设备发送中级证书给网关设备,网关设备利用内置的根公钥验证该中级证书,生成并保存中级证书公钥。端子设备发送KeyBag证书给网关设备,网关设备使用中级证书验证KeyBag证书,从KeyBag证书中提取KeyBag ID,并保存KeyBag ID。网关设备生成随机密钥,并与KeyBag ID关联保存,使用固定密钥对KeyBag ID和随机密钥进行签名,并使用KeyBag证书公钥对KeyBag ID、随机密钥和签名值进行加密,然后将密文发给端子设备。端子设备使用KeyBag证书私钥对密文进行解密,使用固定密钥验证网关设备对KeyBag ID和随机密钥的签名,保存KeyBag ID和随机密钥,并且计算KeyBag ID和随机密钥的哈希值,将哈希值返回给网关设备。网关验证端子设备的哈希值是否正确,正确则认证通过。
本申请实施例还提供一种网关设备,如图4所示,包括:
获取模块,其用于获取端子设备发送的第一加密数据包,验证所述第一加密数据包并从所述第一加密数据包中提取加密数据标识,保存所述加密数据标识;
在本实施例中,获取模块用于获取端子设备发送的第一加密数据包,以执行与端子设备之间的通信,具体地,第一加密数据包为KeyBag证书,网关设备验证获取的第一加密数据包并从第一加密数据包中提取加密数据标识,具体地,加密数据标识为KeyBag ID,网关设备保存加密数据标识。
加密模块,其用于随机生成与所述加密数据标识关联的第一密钥并保存,基于所述加密数据标识和所述第一密钥生成第一验证信息;并通过第一加密数据包的公钥对所述加密数据标识、所述第一密钥和所述验证信息进行加密,生成第一加密信息,将所述加密信息反馈给所述端子设备;
在本实施例中,基于加密数据标识,加密模块用于随机生成与加密数据标识关联的第一密钥,具体地,第一密钥为随机密钥,与KeyBag ID相关联,将第一密钥保存后,网关设备基于加密数据标识和第一密钥生成第一验证信息,具体地,第一验证信息为网关设备对加密数据标识和第一密钥的验证签名。
验证模块,其用于接收从所述端子设备发送的响应结果并基于所述响应结果判断所述端子设备的合法性。
在本实施例中,在端子设备对加密信息做出响应后,验证模块用于接收从端子设备发送的响应结果,具体地,响应结果可为端子设备对加密信息进行解密后的结果,例如,对加密信息的签名进行验证,并将验证信息反馈给网关设备,网关设备基于该响应结果,判断端子设备的合法性。如果响应结果与网关设备预设的验证信息相匹配,该响应结果有效,端子设备为合法,网关设备与端子设备认证成功,可建立通信连接。如果响应结果与网关设备预设的验证信息不能匹配,该响应结果无效,端子设备不合法,网关设备与端子设备认证失败,端子设备可能是伪造的,不能与网关设备建立通信连接。
本申请实施例的网关设备的验证模块进一步用于接收所述端子设备发送的响应结果,其中,所述响应结果是所述端子设备通过第一加密数据包的私钥对所述加密信息进行解密并生成的解密信息,并且基于所述解密信息计算出的结果。
在本实施例中,验证模块用于将加密信息发送给端子设备,端子设备通过第一加密数据包的私钥对加密信息进行解密,具体地,第一加密数据包的私钥为KeyBag证书私钥,也就是,端子设备通过KeyBag证书私钥进行解密,生成对应的解密信息,解密信息具体可为对加密数据标识、第一密钥和第一验证信息的验证签名信息,基于该解密信息,端子设备计算出响应结果也就是,端子设备对从网关设备接收的加密信息进行解密,再基于该解密信息计算出响应结果。具体地,从网关设备发送的加密信息包括KeyBag ID和随机密钥,端子设备计算KeyBag ID和随机密钥的哈希值,以生成响应结果。
在本实施例中,加密模块进一步用于:通过固定密钥对所述加密数据标识和所述第一密钥进行签名,以生成所述第一验证信息。
具体地,在本实施例中,加密模块进一步用于通过固定密钥对加密数据标识和第一密钥进行签名,具体地,固定密钥预存在网关设备中并且是私密的,网关设备利用固定密钥对加密数据标识和与加密数据标识关联的第一密钥进行签名,以生成第一验证信息,具体地,第一验证信息为加密数据标识和第一密钥的签名值,也就是KeyBag ID和随机密钥的签名值。
在本实施例中,验证进一步用于:基于从所述端子设备发送的哈希值来确定所述响应结果,利用预设的哈希验证数据对所述哈希值进行验证并验证通过时,确定所述响应结果为合法。。
在本实施例中,验证模块进一步用于基于从端子设备发送的哈希值来确定响应结果,利用预设的哈希验证数据对哈希值进行验证并验证通过时,确定响应结果为合法。通过固定密钥对从端子设备发送的第一验证信息进行验证,具体地,哈希值为计算加密数据标识和随机密钥的哈希值,基于计算后的哈希值来确定端子设备的响应结果,当哈希值与网关设备中预设的哈希验证数据相一致时,确定端子设备的响应结果为合法。具体地,网关设备中预设的哈希验证数据与端子设备中计算生成的哈希值是相对应的。利用预设的哈希验证数据对所述哈希值进行验证并验证通过时,确定端子设备的响应结果为合法,具体来说,哈希验证数据为网关设备中与计算后的哈希值相关联对应的签名值或验证值。当利用预设的哈希验证数据哈希值进行验证并验证通过时,确定该哈希值为合法,网关设备与端子设备认证成功,可建立通信连接。如果哈希值与预设的哈希验证数据不一致,该哈希值不合法,网关设备与端子设备认证失败,端子设备可能是伪造的,不能与网关设备建立通信连接。
本申请技术方案带来的有益效果:本申请实施例的验证方法,通过在网关设备中预设固定密钥,固定密钥是私密的,网关设备利用固定密钥对端子设备发送的加密数据进行签名,并且,网关设备和端子设备中分别预设加密数据包的公钥和加密数据包的私钥,对加密数据进行加密和解密,由于加密数据包的公钥和加密数据包的私钥是互相关联的,如果利用伪造的网关设备或端子设备,就无法认证成功,也就无法进行通信。本申请实施例的验证方法能够有效地判断与网关设备通信的端子设备的合法性,防止了网络通道数据被非法截取,从而保证用户的智能硬件的数据安全。
以上实施例仅为本申请的示例性实施例,不用于限制本申请,本申请的保护范围由权利要求书限定。本领域技术人员可以在本申请的实质和保护范围内,对本申请做出各种修改或等同替换,这种修改或等同替换也应视为落在本申请的保护范围内。
Claims (10)
1.一种验证方法,所述方法包括:
获取端子设备发送的第一加密数据包,验证所述第一加密数据包并从所述第一加密数据包中提取加密数据标识,保存所述加密数据标识;
随机生成与所述加密数据标识关联的第一密钥并保存,基于所述加密数据标识和所述第一密钥生成第一验证信息;
通过第一加密数据包的公钥对所述加密数据标识、所述第一密钥和所述第一验证信息进行加密,生成一加密信息,将所述加密信息反馈给所述端子设备;
接收从所述端子设备发送的响应结果,并基于所述响应结果判断所述端子设备的合法性。
2.根据权利要求1所述的方法,其特征在于,所述的接收从所述端子设备发送的响应结果,并基于所述响应结果判断所述端子设备的合法性,具体为:
接收所述端子设备发送的响应结果,其中,所述响应结果是所述端子设备通过第一加密数据包的私钥对所述加密信息进行解密并生成的解密信息,并且基于所述解密信息计算出的结果。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
通过预存的根公钥验证所述端子设备发送的中级证书,并基于所述中级证书获取中级证书公钥,通过所述中级证书公钥验证所述第一加密数据包。
4.根据权利要求1所述的方法,其特征在于,所述的随机生成与所述加密数据标识关联的第一密钥并保存,基于所述加密数据标识和所述第一密钥生成第一验证信息,包括:
通过固定密钥对所述加密数据标识和所述第一密钥进行签名,以生成所述第一验证信息。
5.根据权利要求2所述的方法,其特征在于,其中,所述响应结果具体为:所述端子设备对所述解密信息进行计算得出哈希值;所述解密信息具体包括:所述端子设备通过所述第一加密数据包的私钥对所述加密数据标识进行解密所生成的第一解密信息,以及所述端子设备通过所述固定密钥对所述第一验证信息进行验证所生成的第二解密信息。
6.根据权利要求5所述的方法,其特征在于,所述的接收从所述端子设备发送的响应结果,并基于所述响应结果判断所述端子设备的合法性,包括:
基于从所述端子设备发送的哈希值来确定所述响应结果,利用预设的哈希验证数据对所述哈希值进行验证并验证通过时,确定所述响应结果为合法。
7.一种网关设备,其特征在于,包括:
获取模块,其用于获取端子设备发送的第一加密数据包,验证所述第一加密数据包并从所述第一加密数据包中提取加密数据标识,保存所述加密数据标识;
加密模块,其用于随机生成与所述加密数据标识关联的第一密钥并保存,基于所述加密数据标识和所述第一密钥生成第一验证信息;并通过第一加密数据包的公钥对所述加密数据标识、所述第一密钥和所述验证信息进行加密,生成第一加密信息,将所述加密信息反馈给所述端子设备;
验证模块,其用于接收从所述端子设备发送的响应结果,并基于所述响应结果判断所述端子设备的合法性。
8.根据权利要求7所述的网关设备,其特征在于,所述验证模块进一步用于接收所述端子设备发送的响应结果,其中,所述响应结果是所述端子设备通过第一加密数据包的私钥对所述加密信息进行解密并生成的解密信息,并且基于所述解密信息计算出的结果。
9.根据权利要求7所述的网关设备,其特征在于,所述加密模块进一步用于:通过固定密钥对所述加密数据标识和所述第一密钥进行签名,以生成所述第一验证信息。
10.根据权利要求8所述的网关设备,其特征在于,所述验证模块进一步用于:基于从所述端子设备发送的哈希值来确定所述响应结果,利用预设的哈希验证数据对所述哈希值进行验证并验证通过时,确定所述响应结果为合法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911347869.2A CN111031061A (zh) | 2019-12-24 | 2019-12-24 | 一种验证方法及网关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911347869.2A CN111031061A (zh) | 2019-12-24 | 2019-12-24 | 一种验证方法及网关设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111031061A true CN111031061A (zh) | 2020-04-17 |
Family
ID=70212042
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911347869.2A Pending CN111031061A (zh) | 2019-12-24 | 2019-12-24 | 一种验证方法及网关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111031061A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112329000A (zh) * | 2020-07-22 | 2021-02-05 | 深圳Tcl新技术有限公司 | 设备校验方法、主控设备、被控设备及可读存储介质 |
| CN113676330A (zh) * | 2021-08-10 | 2021-11-19 | 上海瓶钵信息科技有限公司 | 一种基于二级密钥的数字证书申请系统及方法 |
| CN114666154A (zh) * | 2022-04-08 | 2022-06-24 | 深圳市欧瑞博科技股份有限公司 | 设备通信方法、装置、网关、设备、系统、介质和产品 |
| CN114979786A (zh) * | 2022-05-16 | 2022-08-30 | 湖南快乐阳光互动娱乐传媒有限公司 | 媒资资源处理方法及系统、存储介质及电子设备 |
| CN115801448A (zh) * | 2023-01-09 | 2023-03-14 | 北京中科网威信息技术有限公司 | 数据通信方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103400063A (zh) * | 2013-08-06 | 2013-11-20 | 深信服网络科技(深圳)有限公司 | 脚本文件执行方法及装置 |
| CN104901935A (zh) * | 2014-09-26 | 2015-09-09 | 易兴旺 | 一种基于cpk的双向认证及数据交互安全保护方法 |
| CN107302541A (zh) * | 2017-07-31 | 2017-10-27 | 成都蓝码科技发展有限公司 | 一种基于http协议的数据加密传输方法 |
| US10192055B2 (en) * | 2016-01-10 | 2019-01-29 | Apple Inc. | Log in/log out process for EDU mode |
-
2019
- 2019-12-24 CN CN201911347869.2A patent/CN111031061A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103400063A (zh) * | 2013-08-06 | 2013-11-20 | 深信服网络科技(深圳)有限公司 | 脚本文件执行方法及装置 |
| CN104901935A (zh) * | 2014-09-26 | 2015-09-09 | 易兴旺 | 一种基于cpk的双向认证及数据交互安全保护方法 |
| US10192055B2 (en) * | 2016-01-10 | 2019-01-29 | Apple Inc. | Log in/log out process for EDU mode |
| CN107302541A (zh) * | 2017-07-31 | 2017-10-27 | 成都蓝码科技发展有限公司 | 一种基于http协议的数据加密传输方法 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112329000A (zh) * | 2020-07-22 | 2021-02-05 | 深圳Tcl新技术有限公司 | 设备校验方法、主控设备、被控设备及可读存储介质 |
| CN112329000B (zh) * | 2020-07-22 | 2024-06-04 | 深圳Tcl新技术有限公司 | 设备校验方法、主控设备、被控设备及可读存储介质 |
| CN113676330A (zh) * | 2021-08-10 | 2021-11-19 | 上海瓶钵信息科技有限公司 | 一种基于二级密钥的数字证书申请系统及方法 |
| CN113676330B (zh) * | 2021-08-10 | 2023-08-01 | 上海瓶钵信息科技有限公司 | 一种基于二级密钥的数字证书申请系统及方法 |
| CN114666154A (zh) * | 2022-04-08 | 2022-06-24 | 深圳市欧瑞博科技股份有限公司 | 设备通信方法、装置、网关、设备、系统、介质和产品 |
| CN114666154B (zh) * | 2022-04-08 | 2023-11-24 | 深圳市欧瑞博科技股份有限公司 | 设备通信方法、装置、网关、设备、系统、介质和产品 |
| CN114979786A (zh) * | 2022-05-16 | 2022-08-30 | 湖南快乐阳光互动娱乐传媒有限公司 | 媒资资源处理方法及系统、存储介质及电子设备 |
| CN115801448A (zh) * | 2023-01-09 | 2023-03-14 | 北京中科网威信息技术有限公司 | 数据通信方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109359691B (zh) | 基于区块链的身份验证方法和系统 | |
| CN106603485B (zh) | 密钥协商方法及装置 | |
| CN109728909B (zh) | 基于USBKey的身份认证方法和系统 | |
| EP3529965B1 (en) | System and method for configuring a wireless device for wireless network access | |
| US9197411B2 (en) | Protocol and method for client-server mutual authentication using event-based OTP | |
| CN106612180B (zh) | 实现会话标识同步的方法及装置 | |
| CN111031061A (zh) | 一种验证方法及网关设备 | |
| CN104735068B (zh) | 基于国密的sip安全认证的方法 | |
| US6732270B1 (en) | Method to authenticate a network access server to an authentication server | |
| WO2018076365A1 (zh) | 密钥协商方法及装置 | |
| WO2018127081A1 (zh) | 一种加密密钥获取方法及系统 | |
| CN108650210A (zh) | 一种认证系统和方法 | |
| US10477402B2 (en) | One-way key fob and vehicle pairing | |
| CA2518032A1 (en) | Methods and software program product for mutual authentication in a communications network | |
| CN107733636B (zh) | 认证方法以及认证系统 | |
| CN101005361A (zh) | 一种服务器端软件保护方法及系统 | |
| JP6548172B2 (ja) | 端末認証システム、サーバ装置、及び端末認証方法 | |
| CN111030814A (zh) | 秘钥协商方法及装置 | |
| CN101272616A (zh) | 一种无线城域网的安全接入方法 | |
| CN109474419A (zh) | 一种活体人像照片加密、解密方法及加解密系统 | |
| CN102739403A (zh) | 动态令牌的身份认证方法及装置 | |
| CN111540093A (zh) | 一种门禁控制系统及其控制方法 | |
| CN114650173A (zh) | 一种加密通讯方法及系统 | |
| CN114765534A (zh) | 基于国密标识密码算法的私钥分发系统 | |
| CN114499871A (zh) | 一种签名加密方法、装置、系统及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200417 |