一种认证方法及设备技术

本发明专利技术公开了一种认证方法及设备，该方法包括：第一设备向第二设备发送要求第二设备进行会话密钥认证的请求；所述第一设备接收所述第二设备发送的第一随机数，并生成第二随机数；所述第一设备按照设定方式生成第一会话密钥，所述第一设备使用所述第一会话密钥加密预设的字符信息，生成第一密文；所述第一设备将所述第二随机数、所述第一设备的第二属性信息、所述预设的字符信息和所述第一密文发送给所述第二设备，以使所述第二设备生成第二会话密钥，并使用所述第二会话密钥加密所述预设的字符信息，生成第二密文；若所述第一密文和所述第二密文一致，则第二设备认证成功，用以解决现有技术中敏感信息的访问控制方式存在安全隐患的问题。

【技术实现步骤摘要】

本专利技术涉及信息安全领域，尤其涉及一种认证方法及设备。
技术介绍
中国人民银行推行的银行卡标准，简称PBOC(People's Bank Of China)标准，是与简称是EMV标准的欧陆卡(Europay)、万事达卡(Mastercard)和维萨卡(Visa)银行卡标准并行的一种银行卡标准。目前基于PBOC标准的集成电路IC(Integrated Circuit，集成电路)卡大多是通过商户的销售终端机，简称POS(Point Of Sale)机，或者自动出纳机(Automated Teller Machine，ATM)实现银行交易业务。随着基于便携终端的金融交易的普及，例如在移动终端上实现网上购物、网上转帐、网上支付等，更加需要利用PBOC标准保证移动终端的银行交易的安全性。目前，用户通过可信服务管理系统，成功空中开卡后，可以在移动终端上加载PBOC应用，通过手机控件管理空中开卡的虚拟卡片，并可以直接查看到该卡片的敏感信息，例如卡号、CVN2、有效期和电子现金余额等，但是由于互联网的不安全性，这类敏感信息很有可能会被非法访问，造成敏感信息的外泄，给便携终端的金融交易带来安全隐患。
技术实现思路
本专利技术实施例提供一种认证方法及设备，用以解决现有技术中敏感信息的访问控制方式存在安全隐患的问题。本专利技术方法包括一种认证方法，该方法包括：第一设备向第二设备发送要求第二设备进行会话密钥认证的请求；所述第一设备接收所述第二设备发送的
第一随机数，并生成第二随机数；所述第一设备按照设定方式生成第一会话密钥，所述设定方式为：利用预设的根密钥对所述第一设备的第一属性信息加密，生成第一密钥；所述第一设备使用所述第一密钥对所述第一设备的第二属性信息加密，生成第二密钥；所述第一设备使用所述第二密钥对所述第一随机数和所述第二随机数组成的分散数据加密，生成第一会话密钥；所述第一设备使用所述第一会话密钥加密预设的字符信息，生成第一密文；所述第一设备将所述第二随机数、所述第一设备的第二属性信息、所述预设的字符信息和所述第一密文发送给所述第二设备，以使所述第二设备生成第二会话密钥，并使用所述第二会话密钥加密所述预设的字符信息，生成第二密文；若所述第一密文和所述第二密文一致，则第二设备认证成功。基于同样的专利技术构思，本专利技术实施例还提供一种认证设备，该设备包括：发送单元，用于向第二设备发送要求第二设备进行会话密钥认证的请求；生成随机数单元，用于接收所述第二设备发送的第一随机数，并生成第二随机数；生成会话密钥单元，用于按照设定方式生成第一会话密钥，所述设定方式为：利用预设的根密钥对所述第一设备的第一属性信息加密，生成第一密钥；使用所述第一密钥对所述第一设备的第二属性信息加密，生成第二密钥；使用所述第二密钥对所述第一随机数和所述第二随机数组成的分散数据加密，生成第一会话密钥；生成密文单元，用于使用所述第一会话密钥加密预设的字符信息，生成第一密文；将所述第二随机数、所述第一设备的第二属性信息、所述预设的字符信息和所述第一密文发送给所述第二设备，以使所述第二设备生成第二会话密钥，并使用所述第二会话密钥加密所述预设的字符信息，生成第二密文；认证单元，用于若所述第一密文和所述第二密文一致，则第二设备认证成功。本专利技术实施例一方面提供一种特殊的会话密钥生成算法，第一设备利用这种生成算法得到第一会话密钥的过程是：所述第一设备利用预设的根密钥对所述第一设备的第一属性信息加密，生成第一密钥；所述第一设备使用所述第一密钥对所述第一设备的第二属性信息加密，生成第二密钥；所述第一设备使用
所述第二密钥对所述第一随机数和所述第二随机数组成的分散数据加密，生成第一会话密钥，这种会话密钥的生成算法可以保证被该种会话密钥加密后的敏感信息的安全性；另一方面，当第二设备向第一设备发起敏感信息的访问之前，本专利技术实施例进一步地提供一种认证方式，即第二设备连接第一设备，第一设备就向第二设备发送要求第二设备进行会话密钥认证的请求，然后第二设备就相同的预设字符信息加密后与第一设备使用会话密钥生成的密文若完全一致，则认证成功。通过这种认证方法，进一步保证访问第一设备的敏感信息的设备是可信设备，从而对敏感信息起到进一步地保护作用。综上，本专利技术实施例提供的认证方法可以保证敏感信息的安全。附图说明为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供一种认证方法流程示意图；图2为本专利技术实施例提供一种会话密钥生成方法流程示意图；图3为本专利技术实施例提供一种会话密钥分散数据生成方法示意图；图4为本专利技术实施例提供一种基于会话密钥认证的交互图；图5为本专利技术实施例提供一种基于普通密钥认证的交互图；图6为本专利技术实施例提供一种一种认证设备结构示意图。具体实施方式为了使本专利技术的目的、技术方案和优点更加清楚，下面将结合附图对本专利技术作进一步地详细描述，显然，所描述的实施例仅仅是本专利技术一部份实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做
出创造性劳动前提下所获得的所有其它实施例，都属于本专利技术保护的范围。本专利技术实施例中以两个设备之间的交互为例，两个设备分别具有各自的加密算法，通过验证两个设备加密后的信息是否一致来认定两个设备间是否可访问彼此的敏感信息。本专利技术实施例分别提供了对第一设备的认证过程和对第二设备的认证过程及第一设备与第二设备的双向认证。参见图1所示，本专利技术实施例提供一种认证方法流程示意图，具体地实现方法包括：步骤S101，第一设备向第二设备发送要求第二设备进行会话密钥认证的请求。步骤S102，所述第一设备接收所述第二设备发送的第一随机数，并生成第二随机数。步骤S103，所述第一设备按照设定方式生成第一会话密钥，所述设定方式为：利用预设的根密钥对所述第一设备的第一属性信息加密，生成第一密钥；所述第一设备使用所述第一密钥对所述第一设备的第二属性信息加密，生成第二密钥；所述第一设备使用所述第二密钥对所述第一随机数和所述第二随机数组成的分散数据加密，生成第一会话密钥。步骤S104，所述第一设备使用所述第一会话密钥加密所述预设的字符信息，生成第一密文。步骤S105，所述第一设备将所述第一随机数、所述第一设备的第二属性信息、所述预设的字符信息和所述第一密文发送给所述第二设备，以使所述第二设备生成第二会话密钥，并使用所述第二会话密钥加密所述预设的字符信息，生成第二密文；步骤S106，若所述第一密文和所述第二密文一致，则第二设备认证成功。在步骤S104中，第一设备中的预设的字符信息可以是由所述第一随机数和第一设备的卡片选择号码(CSN)组成；或者是由第一设备中的与敏感信息无
关的明文信息组成。例如，将CSN和第一设备中的第一随机数拼接在一起生成预设的字符信息，或者是将第一设备关于虚拟卡片的卡名称信息和第一随机数进行组合拼接生成预设的字符信息。步骤S103中，按照预设的方式生成会话密钥的过程共包含三个过程，概括来讲，第一个过程是由根密钥生成第一密钥；本文档来自技高网...

【技术保护点】
一种认证方法，其特征在于，该方法包括：第一设备向第二设备发送要求第二设备进行会话密钥认证的请求；所述第一设备接收所述第二设备发送的第一随机数，并生成第二随机数；所述第一设备按照设定方式生成第一会话密钥，所述设定方式为：利用预设的根密钥对所述第一设备的第一属性信息加密，生成第一密钥；所述第一设备使用所述第一密钥对所述第一设备的第二属性信息加密，生成第二密钥；所述第一设备使用所述第二密钥对所述第一随机数和所述第二随机数组成的分散数据加密，生成第一会话密钥；所述第一设备使用所述第一会话密钥加密预设的字符信息，生成第一密文；所述第一设备将所述第二随机数、所述第一设备的第二属性信息、所述预设的字符信息和所述第一密文发送给所述第二设备，以使所述第二设备生成第二会话密钥，并使用所述第二会话密钥加密所述预设的字符信息，生成第二密文；若所述第一密文和所述第二密文一致，则第二设备认证成功。

【技术特征摘要】
1.一种认证方法，其特征在于，该方法包括：第一设备向第二设备发送要求第二设备进行会话密钥认证的请求；所述第一设备接收所述第二设备发送的第一随机数，并生成第二随机数；所述第一设备按照设定方式生成第一会话密钥，所述设定方式为：利用预设的根密钥对所述第一设备的第一属性信息加密，生成第一密钥；所述第一设备使用所述第一密钥对所述第一设备的第二属性信息加密，生成第二密钥；所述第一设备使用所述第二密钥对所述第一随机数和所述第二随机数组成的分散数据加密，生成第一会话密钥；所述第一设备使用所述第一会话密钥加密预设的字符信息，生成第一密文；所述第一设备将所述第二随机数、所述第一设备的第二属性信息、所述预设的字符信息和所述第一密文发送给所述第二设备，以使所述第二设备生成第二会话密钥，并使用所述第二会话密钥加密所述预设的字符信息，生成第二密文；若所述第一密文和所述第二密文一致，则第二设备认证成功。2.如权利要求1所述的方法，其特征在于，所述第一设备利用预设的根密钥对所述第一设备的第一属性信息加密，生成第一密钥，包括：所述第一属性信息包括第一子属性信息和第二子属性信息；所述第一设备利用预设的根密钥对分别对所述第一子属性信息和所述第二子属性信息加密，生成用于加密的第一密钥和用于MAC验证的第一密钥；所述第一设备使用所述第一密钥对所述第一设备的第二属性信息加密，生成第二密钥，包括：所述第一设备使用所述用于加密的第一密钥对所述第一设备的第二属性信息加密，生成用于加密的第二密钥；所述第一设备使用所述用于MAC验证的第一密钥对所述第一设备的第二
\t属性信息加密，生成用于MAC验证的第二密钥；所述第一设备使用所述第二密钥对所述第一随机数和所述第二随机数组成的分散数据加密，生成第一会话密钥，包括：所述第一设备使用所述用于加密的第二密钥对所述第一随机数和所述第二随机数组成的分散数据加密，生成用于加密的第一会话密钥；所述第一设备使用所述用于MAC验证的第二密钥对所述第一随机数和所述第二随机数组成的分散数据加密，生成用于MAC验证的第一会话密钥；所述第一设备使用所述第一会话密钥加密所述预设的字符信息生成第一密文，包括：所述第一设备使用所述用于加密的第一会话密钥加密所述预设的字符信息，得到第一密文。3.如权利要求1所述的方法，其特征在于，所述若所述第一密文和所述第二密文一致，则第二设备认证成功之后，还包括：所述第一设备接收所述第二设备发送的转换后的字符信息和第一MAC值；所述转换后的字符信息是通过转换所述预设的字符信息得到的；所述第一MAC值是所述转换后的字符信息通过使用所述第二会话密钥加密生成的MAC值；所述第一设备使用所述用于MAC的第一会话密钥加密所述转换后的字符信息，得到第二MAC值；若所述第二MAC值与所述第一MAC值一致，则第一设备认证成功。4.如权利要求3所述的方法，其特征在于，所述第一设备认证成功之后，还包括：所述第一设备接收所述第二设备发送的敏感信息获取请求；所述第一设备使用所述用于加密的第一会话密钥加密敏感信息，并将加密后的所述敏感信息发送给所述第二设备。5.如权利要求1～4任一项所述的方法，其特征在于，还包括：确定所述第一设备处于会话密钥保护状态时，所述第一设备向第二设备发
\t送要求第二设备进行会话密钥认证的请求；确定所述第一设备不处于会话密钥保护状态时，所述第一设备向所述第二设备发送要求第二设备进行普通密钥认证的请求。6.如权利要求5所述的方法，其特征在于，所述第一设备向所述第二设备发送要求第二设备进行普通密钥认证的请求之后，还包括：所述第一设备接收所述第二设备发送的第三随机数，并生成第四随机数；所述第一设备利用预设的根密钥对所述第三随机数和所述第四随机数加密，生成第三密文；所述第一设备将所述第三随机数、第四随机数发送给所述第二设备，以使所述第二设备利用预设的根密钥对所述第三随机数和所述第四随机数加密，生成第四密文；若所述第三密文和所述第四密文一致，则第二设备认证成功。7.如权利要求1～4任一项所述的方法，其特征在于，所述第一子属性信息为所述第一设备归属的机构代码与全1字符串拼接的结果，所述第二子属性信息为所述第一设备归属的机构代码与全0字符串拼接的结果；所述第一随机数和所述第二随机数组成的分散数据为对所述第一随机数和所述第二随机数的高低位字节按设定规则置换位置后所得。8.如权利要求1～4任一项所述的方法，其特征在于，所述第一设备为包含卡片信息的移动终端，所述第二设备为服务器；所述第一设备归属的机构代码为所述卡片的发卡机构的机构代码；所述第一设备的第二属性信息为所述卡片的卡片选择号...

【专利技术属性】
技术研发人员：王逸钦，田丰，傅宜生，冀乃庚，
申请(专利权)人：中国银联股份有限公司，
类型：发明
国别省市：上海;31