一种基于挑战应答机制的身份认证方法及相关设备技术

本公开实施例提供了一种基于挑战应答机制的身份认证方法及相关设备，涉及通信技术领域。由终端执行的方法包括：向认证服务器发送身份认证请求信息，接收认证服务器发送的请求响应信息；生成第一认证数据，向认证服务器发送第一认证数据；若认证服务器对第一认证数据认证成功，则接收认证服务器发送的第二认证数据，对第二认证数据进行认证；若对第二认证数据认证成功，则生成第三认证数据，向认证服务器发送第三认证数据；若认证服务器对第三认证数据认证成功，则接收认证服务器发送的身份认证成功信息。该基于挑战应答机制的身份认证方法能够对终端和认证服务器进行双向身份认证。法能够对终端和认证服务器进行双向身份认证。法能够对终端和认证服务器进行双向身份认证。

【技术实现步骤摘要】
一种基于挑战应答机制的身份认证方法及相关设备


[0001]本公开涉及通信
，具体而言，涉及一种基于挑战应答机制的身份认证方法、终端、认证服务器、电子设备和计算机可读存储介质。

技术介绍

[0002]身份认证是在使用信息技术的过程中，保证信息安全的重要途径，是保证各种安全措施能够正常发挥作用的重要前提。现有身份认证机制中，多实现认证服务器对终端的单向认证，忽略了终端对认证服务器的认证，容易受到钓鱼网站等假冒服务器攻击窃取密钥和数据。
[0003]需要说明的是，在上述
技术介绍
部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

技术实现思路

[0004]本公开实施例提供一种基于挑战应答机制的身份认证方法、终端、认证服务器、电子设备和计算机可读存储介质，能够对终端和认证服务器进行双向身份认证，解决了终端没有对认证服务器进行认证的问题。
[0005]本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。
[0006]根据本公开的一个方面，提供一种基于挑战应答机制的身份认证方法，所述方法由终端执行，包括：向认证服务器发送身份认证请求信息，接收所述认证服务器发送的请求响应信息；生成第一认证数据，向所述认证服务器发送所述第一认证数据；若所述认证服务器对所述第一认证数据认证成功，则接收所述认证服务器发送的第二认证数据，对所述第二认证数据进行认证；若对所述第二认证数据认证成功，则生成第三认证数据，向所述认证服务器发送所述第三认证数据；若所述认证服务器对所述第三认证数据认证成功，则接收所述认证服务器发送的身份认证成功信息。
[0007]在本公开一些实施例中，所述身份认证请求信息包括终端身份标识和终端数字证书；所述请求响应信息包括认证服务器身份标识、认证服务器数字证书和身份认证挑战开始信息。
[0008]在本公开一些实施例中，所述第一认证数据包括挑战密文和第一时间戳；其中，生成第一认证数据，向所述认证服务器发送所述第一认证数据，包括：若接收到所述认证服务器发送的身份认证挑战开始信息，则生成第一随机数；利用所述认证服务器数字证书中的认证服务器公钥加密所述第一随机数，获得第一加密数据；对所述终端身份标识和所述第一随机数进行哈希变换，获得第一哈希数据；根据所述第一加密数据和所述第一哈希数据，生成所述挑战密文；确定所述第一时间戳，向所述认证服务器发送所述挑战密文和所述第一时间戳。
[0009]在本公开一些实施例中，所述第二认证数据包括认证服务器的应答密文和第二时
间戳；所述认证服务器的应答密文包括第二加密数据和第二哈希数据；以及，所述第二加密数据是所述认证服务器利用所述终端数字证书中的终端公钥对第二随机数加密获得的，所述第二哈希数据是所述认证服务器对所述认证服务器身份标识和所述第二随机数进行哈希变换获得的，其中，所述第二随机数是在所述认证服务器对所述第一认证数据认证成功的情况下生成的。
[0010]在本公开一些实施例中，所述接收所述认证服务器发送的第二认证数据，对所述第二认证数据进行认证，包括：接收所述认证服务器发送的所述认证服务器的应答密文和所述第二时间戳；验证所述第二时间戳是否有效；若所述第二时间戳有效，则利用终端私钥对所述认证服务器的应答密文中的所述第二加密数据进行解密，获得所述第二随机数，然后对所述认证服务器身份标识和所述第二随机数进行哈希变换，获得认证哈希数据；判断获得的认证哈希数据与所述认证服务器的应答密文中的所述第二哈希数据是否一致；若获得的认证哈希数据与所述第二哈希数据一致，则确定对所述第二认证数据认证成功。
[0011]在本公开一些实施例中，所述第三认证数据包括终端的应答密文和第三时间戳；其中，所述若对所述第二认证数据认证成功，则生成第三认证数据，向所述认证服务器发送所述第三认证数据，包括：若对所述第二认证数据认证成功，则生成第三随机数；利用所述认证服务器数字证书中的认证服务器公钥加密所述第三随机数和所述第二随机数，获得第三加密数据；对所述终端身份标识和所述第三随机数进行哈希变换，获得第三哈希数据；根据所述第三加密数据和所述第三哈希数据，生成所述终端的应答密文；确定所述第三时间戳，向所述认证服务器发送所述终端的应答密文和所述第三时间戳。
[0012]在本公开一些实施例中，在接收所述认证服务器发送的身份认证成功信息之后，所述方法还包括：根据所述终端在身份认证过程中生成的随机数和所述认证服务器在身份认证过程中生成的随机数，生成通信密钥。
[0013]在本公开一些实施例中，所述方法还包括：若所述认证服务器对所述第一认证数据认证失败，或者，所述认证服务器对所述第三认证数据认证失败，则接收所述认证服务器发送的认证失败信息；以及，若对所述第二认证数据认证失败，则向所述认证服务器发送认证失败信息。
[0014]根据本公开的又一个方面，提供一种基于挑战应答机制的身份认证方法，所述方法由认证服务器执行，包括：接收终端发送的身份认证请求信息，向所述终端发送请求响应信息；接收所述终端发送的第一认证数据，对所述第一认证数据进行认证；若对所述第一认证数据认证成功，则生成第二认证数据，向所述终端发送所述第二认证数据；若所述终端对所述第二认证数据认证成功，则接收所述终端发送的第三认证数据，对所述第三认证数据进行认证；若对所述第三认证数据认证成功，则确定身份认证成功，向所述终端发送身份认证成功信息。
[0015]在本公开一些实施例中，所述身份认证请求信息包括终端身份标识和终端数字证书；所述请求响应信息包括认证服务器身份标识、认证服务器数字证书和身份认证挑战开始信息。
[0016]在本公开一些实施例中，所述第一认证数据包括挑战密文和第一时间戳；所述挑战密文包括第一加密数据和第一哈希数据；以及，所述第一加密数据是所述终端利用所述认证服务器数字证书中的认证服务器公钥加密第一随机数获得的，所述第一哈希数据是所
述终端对所述终端身份标识和所述第一随机数进行哈希变换获得的，其中，所述第一随机数是所述终端在接收到所述认证服务器发送的身份认证挑战开始信息后生成的。
[0017]在本公开一些实施例中，所述接收所述终端发送的第一认证数据，对所述第一认证数据进行认证，包括：接收所述终端发送的所述挑战密文和所述第一时间戳；验证所述第一时间戳是否有效；若所述第一时间戳有效，则利用认证服务器私钥对所述挑战密文中的所述第一加密数据进行解密，获得所述第一随机数，然后对所述终端身份标识和所述第一随机数进行哈希变换，获得认证哈希数据；判断获得的认证哈希数据与所述挑战密文中的所述第一哈希数据是否一致；若获得的认证哈希数据与所述第一哈希数据一致，则确定对所述第一认证数据认证成功。
[0018]在本公开一些实施例中，所述第二认证数据包括认证服务器的应答密文和第二时间戳；其中，所述若对所述第一认证数据认证成功，则生成第二认证数据，向所述终端发送所述第二认证数据，包括：若对所述第一认证数据认证成功，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于挑战应答机制的身份认证方法，其特征在于，所述方法由终端执行，包括：向认证服务器发送身份认证请求信息，接收所述认证服务器发送的请求响应信息；生成第一认证数据，向所述认证服务器发送所述第一认证数据；若所述认证服务器对所述第一认证数据认证成功，则接收所述认证服务器发送的第二认证数据，对所述第二认证数据进行认证；若对所述第二认证数据认证成功，则生成第三认证数据，向所述认证服务器发送所述第三认证数据；若所述认证服务器对所述第三认证数据认证成功，则接收所述认证服务器发送的身份认证成功信息。2.根据权利要求1所述的方法，其特征在于，所述身份认证请求信息包括终端身份标识和终端数字证书；所述请求响应信息包括认证服务器身份标识、认证服务器数字证书和身份认证挑战开始信息。3.根据权利要求2所述的方法，其特征在于，所述第一认证数据包括挑战密文和第一时间戳；其中，生成第一认证数据，向所述认证服务器发送所述第一认证数据，包括：若接收到所述认证服务器发送的身份认证挑战开始信息，则生成第一随机数；利用所述认证服务器数字证书中的认证服务器公钥加密所述第一随机数，获得第一加密数据；对所述终端身份标识和所述第一随机数进行哈希变换，获得第一哈希数据；根据所述第一加密数据和所述第一哈希数据，生成所述挑战密文；确定所述第一时间戳，向所述认证服务器发送所述挑战密文和所述第一时间戳。4.根据权利要求2所述的方法，其特征在于，所述第二认证数据包括认证服务器的应答密文和第二时间戳；所述认证服务器的应答密文包括第二加密数据和第二哈希数据；以及，所述第二加密数据是所述认证服务器利用所述终端数字证书中的终端公钥对第二随机数加密获得的，所述第二哈希数据是所述认证服务器对所述认证服务器身份标识和所述第二随机数进行哈希变换获得的，其中，所述第二随机数是在所述认证服务器对所述第一认证数据认证成功的情况下生成的。5.根据权利要求4所述的方法，其特征在于，所述接收所述认证服务器发送的第二认证数据，对所述第二认证数据进行认证，包括：接收所述认证服务器发送的所述认证服务器的应答密文和所述第二时间戳；验证所述第二时间戳是否有效；若所述第二时间戳有效，则利用终端私钥对所述认证服务器的应答密文中的所述第二加密数据进行解密，获得所述第二随机数，然后对所述认证服务器身份标识和所述第二随机数进行哈希变换，获得认证哈希数据；判断获得的认证哈希数据与所述认证服务器的应答密文中的所述第二哈希数据是否一致；若获得的认证哈希数据与所述第二哈希数据一致，则确定对所述第二认证数据认证成功。6.根据权利要求5所述的方法，其特征在于，所述第三认证数据包括终端的应答密文和
第三时间戳；其中，所述若对所述第二认证数据认证成功，则生成第三认证数据，向所述认证服务器发送所述第三认证数据，包括：若对所述第二认证数据认证成功，则生成第三随机数；利用所述认证服务器数字证书中的认证服务器公钥加密所述第三随机数和所述第二随机数，获得第三加密数据；对所述终端身份标识和所述第三随机数进行哈希变换，获得第三哈希数据；根据所述第三加密数据和所述第三哈希数据，生成所述终端的应答密文；确定所述第三时间戳，向所述认证服务器发送所述终端的应答密文和所述第三时间戳。7.根据权利要求1所述的方法，其特征在于，在接收所述认证服务器发送的身份认证成功信息之后，所述方法还包括：根据所述终端在身份认证过程中生成的随机数和所述认证服务器在身份认证过程中生成的随机数，生成通信密钥。8.根据权利要求1至7任一所述的方法，其特征在于，所述方法还包括：若所述认证服务器对所述第一认证数据认证失败，或者，所述认证服务器对所述第三认证数据认证失败，则接收所述认证服务器发送的认证失败信息；以及，若对所述第二认证数据认证失败，则向所述认证服务器发送认证失败信息。9.一种基于挑战应答机制的身份认证方法，其特征在于，所述方法由认证服务器执行，包括：接收终端发送的身份认证请求信息，向所述终端发送请求响应信息；接收所述终端发送的第一认证数据，对所述第一认证数据进行认证；若对所述第一认证数据认证成功，则生成第二认证数据，向所述终端发送所述第二认证数据；若所述终端对所述第二认证数据认证成功，则接收所述终端发送的第三认证数据，对所述第三认证数据进行认证；若对所述第三认证数据认证成功，则确定身份认证成功，向所述终端发送身份认证成功信息。10.根据权利要求9所述的方法，其特征在于，所述身份认证请求信息包括终端身份标识和终端数字证书；所述请求响应信息包括认证服务器身份标识、认证服务器数字证书和身份认证挑战开始信息。11.根据权利要求10所述的方法，其特征在于，所述第一认证数据包括挑战密文和第一时间戳；所述挑战密文包括第一加密数据和第一哈希数据；以及，所述第一加密数据是所述终端利用所述认证服务器数字证书中的认证服务器公钥加密第一随机数获得的，所述第一哈希数据是所述终端对所述终端身份标识和所述第一随机数进行哈希变...

【专利技术属性】
技术研发人员：邱艳，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：