一种安全认证方法及系统技术方案

本发明专利技术提供一种安全认证方法及系统，包括：根据目标终端发送的报文获取目标终端的唯一身份标识；利用唯一身份标识和公钥矩阵生成目标终端公钥，并利用目标终端公钥对一随机数进行加密后生成加密随机数；将加密随机数发送给目标终端；接收由目标终端返回的解密随机数，以利用随机数对所述解密随机数进行认证；解密随机数是由终端利用目标终端私钥对加密随机数进行解密后生成的。本发明专利技术提供的安全认证方法及系统，利用入网的终端的唯一物理特征生成终端的唯一身份标识，通过密钥矩阵与唯一身份标识生成设备对应的公钥和私钥，以实现终端的唯一认证，确保了安全认证时终端的身份唯一性，提高了安全认证的可靠性。

【技术实现步骤摘要】
一种安全认证方法及系统
本专利技术涉及计算机
，尤其涉及一种安全认证方法及系统。
技术介绍
身份认证过程是认证主体对被认证主体进行认证以确认身份、拥有权以及所属权利等，其中认证主体通常是服务提供方如安全交换机，被认证主体通常是用户终端。从最基础的层次上讲，是认证主体对被认证主体提交的信息进行确认的过程。从原理上讲，认证主体和被认证主体需要建立共有信息，并且通过共有信息进行辨认来达成认证，这种共有信息是建立信任和认证的基础。目前，企业的入网终端设备的标识和认证工作无法做到唯一性，比如在基于Client/Server的访问控制和认证协议802.1X中，就存在多用户通过一台或多台设备的多个IP认证，或一个用户通过一台或多台设备的多个IP认证等方式，无法满足认证用户与认证主体(设备)唯一对应的严格性要求，无法保障认证的安全性。
技术实现思路
针对现有技术存在的问题，本专利技术实施例提供一种安全认证方法及系统。第一方面，本专利技术提供一种安全认证方法，包括：根据目标终端发送的报文获取所述目标终端的唯一身份标识；利用所述唯一身份标识和公钥矩阵生成目标终端公钥，并利用所述目标终端公钥对一随机数进行加密后生成加密随机数；将所述加密随机数发送给所述目标终端；接收由所述目标终端返回的解密随机数，以利用所述随机数对所述解密随机数进行认证；所述解密随机数是由所述终端利用目标终端私钥对所述加密随机数进行解密后生成的。根据本专利技术提供的一种安全认证方法，所述根据目标终端发送的报文获取所述目标终端的唯一身份标识，包括：接收由所述终端发送的报文，所述报文包含所述目标终端的网卡物理地址信息；根据所述网卡物理地址信息，以调取所目标终端的唯一身份标识。根据本专利技术提供的一种安全认证方法，所述目标终端的网卡物理地址信息是基于唯一身份标识生成工具读取所述目标设备的硬件信息后获取的。第二方面，本专利技术提供一种安全认证方法，包括：发送报文至认证设备；接收由所述认证设备发送的加密随机数；所述加密随机数是由所述认证设备根据目标终端公钥对一随机数进行加密后生成；所述目标终端公钥是由唯一身份标识和公钥矩阵生成的；所述唯一身份标识是根据所述报文获取的；利用目标终端私钥对所述加密随机数进行解密，获取解密随机数；将所述解密随机数发送给所述认证设备，以供所述认证设备利用所述随机数对所述解密随机数进行认证。根据本专利技术提供的一种安全认证方法，在发送报文至认证设备之前，还包括：生成所述目标终端的唯一身份标识，以供所述认证设备根据所述报文获取所述唯一身份标识。根据本专利技术提供的一种安全认证方法，所述生成所述目标终端的唯一身份标识，包括：获取所述目标终端的所有网卡物理地址信息；将每个所述网卡物理地址信息按首字节ASCII码顺序拼接，获取初始标识码；在所述初始标识码的总字节长度大于第一预设字节长度的情况下，获取所述第一预设字节长度的部分初始标识码作为所述唯一身份标识的第一部分；在所述初始标识码的总字节长度等于第一预设字节长度的情况下，将所述初始标识码作为所述唯一身份标识的第一部分；在所述初始标识码的总字节长度小于第一预设字节长度的情况下，将所述初始标识码作为所述唯一身份标识的第一子部分，并在所述第一子部分后增加第二子部分构成所述唯一身份标识的第一部分；所述第一子部分和第二子部分的总字节长度等于第一预设字节长度；所述第二子部分是基于随机生成的全局唯一标识符截取的；在所述第一部分的前面设置第二部分，所述第二部分是由第二预设字节长度的用户编号和第三预设字节长度的网卡物理地址数组成；所述第一部分和所述第二部分构成所述唯一身份标识。根据本专利技术提供的一种安全认证方法，所述目标终端公钥与所述目标终端私钥相匹配，所述目标终端私钥是基于IPK标识技术，根据所述目标终端的唯一身份标识与私钥矩阵生成的。第三方面，本专利技术还提供一种安全认证系统，包括：第一处理模块，用于根据目标终端发送的报文获取所述目标终端的唯一身份标识；第二处理模块，用于利用所述唯一身份标识和公钥矩阵生成目标终端公钥，并利用所述目标终端公钥对一随机数进行加密后生成加密随机数；第三处理模块，用于将所述加密随机数发送给所述目标终端；第四处理模块，用于接收由所述目标终端返回的解密随机数，以利用所述随机数对所述解密随机数进行认证；所述解密随机数是由所述终端利用目标终端私钥对所述加密随机数进行解密后生成的。本专利技术还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述安全认证方法的步骤。本专利技术还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述安全认证方法的步骤。本专利技术提供的安全认证方法及系统，利用入网的终端的唯一物理特征生成终端的唯一身份标识，通过密钥矩阵与唯一身份标识生成设备对应的公钥和私钥，以实现终端的唯一认证，确保了安全认证时终端的身份唯一性，提高了安全认证的可靠性。附图说明为了更清楚地说明本专利技术或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是本专利技术提供的安全认证方法的流程示意图之一；图2是本专利技术提供的安全认证方法的信令交互图；图3是本专利技术提供的安全认证方法的流程示意图之二；图4是本专利技术提供的安全认证系统的结构示意图；图5是本专利技术提供的电子设备的结构示意图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚，下面将结合本专利技术中的附图，对本专利技术中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。下面结合图1-图5描述本专利技术实施例所提供的安全认证方法和系统。图1是本专利技术提供的安全认证方法的流程示意图之一，如图1所示，提供了一种以认证设备(如安全交换机)作为执行主体的安全认证方法，包括但不限于以下步骤：步骤S11：根据目标终端发送的报文获取所述目标终端的唯一身份标识；步骤S12：利用所述唯一身份标识和公钥矩阵生成目标终端公钥，并利用所述目标终端公钥对一随机数进行加密后生成加密随机数；步骤S13：将所述加密随机数发送给所述目标终端；步骤S14：接收由所述目标终端返回的解密随机数，以利用所述随机数对所述解密随机数进行认证；所述解密随机数是由所述终端利用目标终端私钥对所述加密随机数进行解密后生成的。图2是本专利技术提供的本文档来自技高网...

【技术保护点】
1.一种安全认证方法，其特征在于，包括：/n根据目标终端发送的报文获取所述目标终端的唯一身份标识；/n利用所述唯一身份标识和公钥矩阵生成目标终端公钥，并利用所述目标终端公钥对一随机数进行加密后生成加密随机数；/n将所述加密随机数发送给所述目标终端；/n接收由所述目标终端返回的解密随机数，以利用所述随机数对所述解密随机数进行认证；所述解密随机数是由所述终端利用目标终端私钥对所述加密随机数进行解密后生成的。/n

【技术特征摘要】
1.一种安全认证方法，其特征在于，包括：
根据目标终端发送的报文获取所述目标终端的唯一身份标识；
利用所述唯一身份标识和公钥矩阵生成目标终端公钥，并利用所述目标终端公钥对一随机数进行加密后生成加密随机数；
将所述加密随机数发送给所述目标终端；
接收由所述目标终端返回的解密随机数，以利用所述随机数对所述解密随机数进行认证；所述解密随机数是由所述终端利用目标终端私钥对所述加密随机数进行解密后生成的。


2.根据权利要求1所述的安全认证方法，其特征在于，所述根据目标终端发送的报文获取所述目标终端的唯一身份标识，包括：
接收由所述终端发送的报文，所述报文包含所述目标终端的网卡物理地址信息；
根据所述网卡物理地址信息，以调取所目标终端的唯一身份标识。


3.根据权利要求2所述的安全认证方法，其特征在于，所述目标终端的网卡物理地址信息是基于唯一身份标识生成工具读取所述目标设备的硬件信息后获取的。


4.一种安全认证方法，其特征在于，包括：
发送报文至认证设备；
接收由所述认证设备发送的加密随机数；所述加密随机数是由所述认证设备根据目标终端公钥对一随机数进行加密后生成；所述目标终端公钥是由唯一身份标识和公钥矩阵生成的；所述唯一身份标识是根据所述报文获取的；
利用目标终端私钥对所述加密随机数进行解密，获取解密随机数；
将所述解密随机数发送给所述认证设备，以供所述认证设备利用所述随机数对所述解密随机数进行认证。


5.根据权利要求4所述的安全认证方法，其特征在于，在发送报文至认证设备之前，还包括：
生成所述目标终端的唯一身份标识，以供所述认证设备根据所述报文获取所述唯一身份标识。


6.根据权利要求5所述的安全认证方法，其特征在于，所述生成所述目标终端的唯一身份标识，包括：
获取所述目标终端的所有网卡物理地址信息；
将每个所述网卡物理地址信息按首字节ASCII码顺序拼接，获取初始标识码；
在所述初始标识码的总字节长度大于第一预设字节长度的情况下，获取...

【专利技术属性】
技术研发人员：林皓，刘建兵，杨泳，王振欣，汤凌峰，张小雷，
申请(专利权)人：北京北信源软件股份有限公司，
类型：发明
国别省市：北京;11