非对称密码身份鉴别方法、装置、计算机设备及存储介质制造方法及图纸

技术编号:17784108 阅读:32 留言:0更新日期:2018-04-22 15:29
本发明专利技术涉及一种非对称密码的身份鉴别方法、装置、介质和计算机设备,一个实施例的方法包括:向服务端发起身份鉴别请求,身份鉴别请求包括客户端数字证书;接收服务端返回的身份鉴别响应,身份鉴别响应至少包括服务端基于客户端数字证书的用户公钥对第一随机数进行加密得到的加密结果;根据客户端私钥分量对身份鉴别响应进行处理,获得处理结果;基于处理结果向服务端发送身份验证请求,所述身份验证请求用于指示所述服务端进行身份验证处理。利用客户端数字证书携带用户公钥和服务端的第一随机数进行身份鉴别处理,当客户端和服务端分别持有私钥分量时,同样可通过用户公钥与客户端和服务端分别持有的私钥分量实现客户端与服务端之间的协同解密来实现对客户端身份鉴别。

【技术实现步骤摘要】
非对称密码身份鉴别方法、装置、计算机设备及存储介质
本专利技术涉及密码学
,特别是涉及一种非对称密码的身份鉴别方法、装置、计算机设备和计算机存储介质。
技术介绍
零知识证明(Zero-knowledgeProof)是由S.Goldwasser、S.Micali及C.Rackoff于20世纪80年代初提出,指声称者能够在不向验证者提供任何有用的信息的情况下,使验证者相信某个论断是正确的,其实质上是一种涉及两方或更多方的协议,即两方或更多方完成一项任务所需采取的一系列步骤。在该协议中,声称者向验证者证明并使其相信自己知道或拥有某一消息,但证明过程不能向验证者泄漏任何关于被证明消息的信息。国家标准《GB/T15843.5-2005信息技术安全技术实体鉴别第5部分:使用零知识技术的机制》定义了一个基于证书的使用非对称加密系统的实体鉴别机制,该实体鉴别机制涉及到上述零知识证明的声称者和验证者之间的信息交换,它使得验证者能够核查声称者的身份。这种传统的鉴别机制中,验证者能够利用声称者的公开密钥加密一个随机消息,并要求声称者返回解密的消息。这种鉴别机制要求声称者持有完整的用户私钥,当用户私钥被分割为多个分量,由多个参与方持有时,传统技术中不能提供在采用了协同签名、加解密机制的条件下实施基于非对称密码的身份鉴别协议。
技术实现思路
基于此,有必要针对传统技术无法在采用了协同签名、加解密机制的条件下进行身份鉴别的问题,提供一种非对称密码的身份鉴别方法、装置、计算机设备和计算机存储介质。一种非对称密码的身份鉴别方法,包括:向服务端发起身份鉴别请求,所述身份鉴别请求包括客户端数字证书;接收所述服务端返回的身份鉴别响应,所述身份鉴别响应至少包括服务端基于所述客户端数字证书的用户公钥对第一随机数进行加密得到的加密结果;根据客户端私钥分量对所述身份鉴别响应进行处理,获得处理结果;基于所述处理结果向所述服务端发送身份验证请求,所述身份验证请求用于指示所述服务端进行身份验证处理。一种非对称密码的身份鉴别方法,包括:接收客户端发送的身份鉴别请求,所述身份鉴别请求包括客户端数字证书;验证所述客户端数字证书有效后,基于所述客户端数字证书的用户公钥对第一随机数进行加密获得加密结果,并向所述客户端返回身份鉴别响应,所述身份鉴别响应至少包括所述加密结果;接收所述客户端基于根据客户端私钥分量对所述身份鉴别响应进行处理获得的处理结果返回的身份验证请求;根据所述身份验证请求进行身份验证处理,获得身份验证结果。一种非对称密码的身份鉴别装置,包括:鉴别请求发送模块,用于向服务端发起身份鉴别请求,所述身份鉴别请求包括客户端数字证书;响应接收模块,用于接收所述服务端返回的身份鉴别响应,所述身份鉴别响应至少包括服务端基于所述客户端数字证书的用户公钥对第一随机数进行加密得到的加密结果;响应处理模块,用于根据客户端私钥分量对所述身份鉴别响应进行处理,获得处理结果;验证请求发送模块,用于基于所述处理结果向所述服务端发送身份验证请求,所述身份验证请求用于指示所述服务端进行身份验证处理。一种非对称密码的身份鉴别装置,包括:鉴别请求接收模块,用于接收客户端发送的身份鉴别请求,所述身份鉴别请求包括客户端数字证书;鉴别请求响应模块,用于验证所述客户端数字证书有效后,基于所述客户端数字证书的用户公钥对第一随机数进行加密获得加密结果,并向所述客户端返回身份鉴别响应,所述身份鉴别响应至少包括所述加密结果;验证请求接收模块,用于接收所述客户端基于根据客户端私钥分量对所述身份鉴别响应进行处理获得的处理结果返回的身份验证请求;验证处理模块,用于根据所述身份验证请求进行身份验证处理,获得身份验证结果。一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述方法的步骤。一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述方法的步骤。上述非对称密码的身份鉴别方法、装置、计算机设备和介质,利用客户端数字证书携带用户公钥和服务端的第一随机数进行身份鉴别处理,当客户端和服务端分别持有私钥分量时,同样可通过用户公钥与客户端和服务端分别持有的私钥分量来完成客户端与服务端之间的协同解密,从而实现对客户端的身份鉴别。附图说明图1为一个本实施例方案的应用环境的示意图;图2为一个实施例中的非对称密码的身份鉴别方法的流程示意图;图3为另一个实施例中的非对称密码的身份鉴别方法的流程示意图;图4为又一个实施例中的非对称密码的身份鉴别方法的流程示意图;图5为又一个实施例中的非对称密码的身份鉴别方法的流程示意图;图6为一个实施例中的非对称密码的身份鉴别装置的结构示意图;图7为另一个实施例中的非对称密码的身份鉴别装置的结构示意图;图8为一个具体示例的身份鉴别过程的交互流程示意图;图9为另一个具体示例的身份鉴别过程的交互流程示意图;图10为另一个具体示例的身份鉴别过程的交互流程示意图;图11为又一个具体示例的身份鉴别过程的交互流程示意图;图12为又一个具体示例的身份鉴别过程的交互流程示意图;图13为又一个具体示例的身份鉴别过程的交互流程示意图。具体实施方式为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。图1为一个实施例中非对称密码的身份鉴别方法的应用环境图。参照图1,该非对称密码的身份鉴别方法应用于非对称密码的身份鉴别系统。该非对称密码的身份系统包括终端110和服务端120。终端110和服务端120通过网络连接。终端110具体可以是台式终端、移动终端以及其他的可以或者需要进行非对称加密的终端设备,移动终端具体可以是手机、平板电脑、笔记本电脑等中的至少一种,服务端120可以用独立的服务器或者是多个服务器组成的服务器集群实现。终端110持有客户端数字证书以及客户端私钥D1,服务端120持有服务端数字证书以及服务端私钥D2,客户端私钥D1和服务端私钥D2共同构成用户私钥dA,即dA=f(D1,D2)。本申请一个实施例中采用的私钥分割方式为dA=D1·D2,可以理解,在其他实施方式中也可以采用其他的私钥分割方式,采用其他的私钥分割方式时需对应性调整步骤。例如,私钥分割方式可以为dA=D1-1·D2-1-1。服务端120对终端110身份鉴别认证成功具体可以表现为终端110可以访问服务端120、终端110可以登录服务端120的系统等。图2示出了一个实施例中的非对称密码的身份鉴别方法的流程示意图,该实施例中的方法应用于上述图1中的终端110或者设置在终端110上的客户端。参照图2,该实施例中的非对称密码的身份鉴别方法具体包括如下步骤S120至步骤S160。步骤S120,向服务端120发起身份鉴别请求,身份鉴别请求包括客户端数字证书。终端110在需要访问服务端120或者需要登录服务端120系统时,向服务端120发起身份鉴别请求。身份鉴别请求包括客户端数字证书,客户端数字证书是指终端110获得的互联网通讯中标志通讯各方身份信息的一串数字。身份鉴别请求可以被服务端120接收和响应。步骤S140,接收服务端120返回的身份鉴别响应,身份本文档来自技高网...
非对称密码身份鉴别方法、装置、计算机设备及存储介质

【技术保护点】
一种非对称密码的身份鉴别方法,其特征在于,所述方法包括:向服务端发起身份鉴别请求,所述身份鉴别请求包括客户端数字证书;接收所述服务端返回的身份鉴别响应,所述身份鉴别响应至少包括服务端基于所述客户端数字证书的用户公钥对第一随机数进行加密得到的加密结果;根据客户端私钥分量对所述身份鉴别响应进行处理,获得处理结果;基于所述处理结果向所述服务端发送身份验证请求,所述身份验证请求用于指示所述服务端进行身份验证处理。

【技术特征摘要】
1.一种非对称密码的身份鉴别方法,其特征在于,所述方法包括:向服务端发起身份鉴别请求,所述身份鉴别请求包括客户端数字证书;接收所述服务端返回的身份鉴别响应,所述身份鉴别响应至少包括服务端基于所述客户端数字证书的用户公钥对第一随机数进行加密得到的加密结果;根据客户端私钥分量对所述身份鉴别响应进行处理,获得处理结果;基于所述处理结果向所述服务端发送身份验证请求,所述身份验证请求用于指示所述服务端进行身份验证处理。2.根据权利要求1所述的非对称密码的身份鉴别方法,其特征在于:根据客户端私钥分量对所述身份鉴别响应进行处理的方式包括:根据所述客户端私钥分量以及所述加密结果,生成客户端解密参数;所述处理结果包括所述客户端解密参数。3.根据权利要求1所述的非对称密码的身份鉴别方法,其特征在于,所述身份鉴别响应还包括:服务端基于服务端私钥分量和所述加密结果确定的服务端解密参数;根据客户端私钥分量对所述身份鉴别响应进行处理的方式包括:根据所述客户端私钥分量以及所述服务端解密参数生成客户端解密参数;根据客户端解密参数对所述加密结果进行解密,获得解密结果,所述处理结果包括所述解密结果。4.根据权利要求1至3任意一项所述的非对称密码的身份鉴别方法,其特征在于:在向服务端发起身份鉴别请求之前,还包括步骤:生成第二随机数,并基于所述客户端数字证书的用户公钥对所述第二随机数进行加密得到第一共享密钥参数;所述身份鉴别请求还包括所述第一共享密钥参数,所述身份鉴别响应还包括服务端基于所述客户端数字证书的用户公钥对第三随机数进行加密得到的第二共享密钥参数;基于所述处理结果向所述服务端发送身份验证请求之前,还包括步骤:根据所述第二随机数、所述第二共享密钥参数计算得到客户端共享密钥。5.根据权利要求1所述的非对称密码的身份鉴别方法,其特征在于,所述身份鉴别响应还包括:服务端数字证书以及数字签名结果;在接收所述服务端返回的身份鉴别响应之后,根据客户端私钥分量对所述身份鉴别响应进行处理之前,还包括步骤:验证所述服务端数字证书以及服务端数字签名结果。6.根据权利要求1至5任意一项所述的非对称密码的身份鉴别方法,其特征在于:在获得所述处理结果之后,基于所述处理结果向所述服务端发送身份验证请求之前,还包括步骤:计算所述处理结果的消息摘要,获得客户端消息摘要;基于所述处理结果向所述服务端发送身份验证请求的步骤包括:向所述服务端发送身份验证请求,所述身份验证请求包括所述客户端消息摘要。7.一种非对称密码的身份鉴别方法,其特征在于,所述方法包括:接收客户端发送的身份鉴别请求,所述身份鉴别请求包括客户端数字证书;验证所述客户端数字证书有效后,基于所述客户端数字证书的用户公钥对第一随机数进行加密获得加密结果,并向所述客户端返回身份鉴别响应,所述身份鉴别响应至少包括所述加密结果;接收所述客户端基于根据客户端私钥分量对所述身份鉴别响应进行处理获得的处理结果返回的身份验证请求;根据所述身份验证请求进行身份验证处理,获得身份验证结果。8.根据权利要求7所述的非对称密码的身份鉴别方法,其特征在于,所述处理结果包括所述客户端根据所述客户端私钥分量以及所述加密结果生成的客户端解密参数,所述身份验证请求包括所述客户端解密参数;根据所述身份验证请求进行身份验证处理,获得身份验证结果的方式包括:根据所述客户端解密参数、服务端私钥分量生成服务端解密参数;根据所述服务端解密参数对所述加密结果进行解密,获得解密结果;比较所述...

【专利技术属性】
技术研发人员:张永强
申请(专利权)人:数安时代科技股份有限公司广东信鉴信息科技有限公司
类型:发明
国别省市:广东,44

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1