非对称密钥的认证方法、系统及可读存储介质技术方案

本发明专利技术公开了一种非对称密钥的认证方法、系统及可读存储介质，方法包括：认证平台发送第一终端证书和第一服务端证书到终端；终端接收到后获取第一报文发送给服务端；服务端转发第一报文到认证平台；认证平台接收第一报文，根据第一报文中的序列号获取第二终端证书和第二服务端证书进行密钥协商得到第一会话密钥，根据第一会话密钥对第一随机数和第二随机数加密得到第一随机密文，发送第二报文到服务端；服务端转发第二报文到终端；终端接收第二报文进行密钥协商得到第二会话密钥，基于第二会话密钥对第一随机数和第二随机数加密得到第二随机密文；终端比较第一随机密文和第二随机密文。以提高认证速度，可应用于非对称密钥的认证领域。的认证领域。的认证领域。

【技术实现步骤摘要】
非对称密钥的认证方法、系统及可读存储介质


[0001]本专利技术涉及非对称密钥认证领域，尤其是一种非对称密钥的认证方法、系统及可读存储介质。

技术介绍

[0002]传统终端和业务平台在进行双向认证时，双发需要交换传递证书，才能实现证书的校验和密钥协商的计算。而每次证书的传输都需要大量的数据，导致认证速度减慢。

技术实现思路

[0003]有鉴于此，本专利技术实施例提供一种非对称密钥的认证方法、系统及可读存储介质，以提高认证速度。
[0004]本专利技术的第一方面提供了一种非对称密钥的认证方法，包括：认证平台发送第一终端证书和第一服务端证书到终端，其中，所述第一终端证书为所述终端的数字证书，所述第一服务端证书为服务端的数字证书；所述终端接收所述第一终端证书和所述第一服务端证书，获取第一报文发送给所述服务端，其中，所述第一报文包括：第一临时公钥、第一随机数、终端证书序列号、服务器证书序列号；所述服务端接收所述第一报文，发送所述第一报文到认证平台；所述认证平台接收到所述服务端发送的所述第一报文，根据所述第一报文中的所述终端证书序列号、所述服务端证书序列号获取得到第二终端证书和第二服务端证书，基于所述第一临时公钥、第二临时公钥、所述第二终端证书和所述第二服务端证书进行密钥协商得到第一会话密钥，其中，所述第二临时公钥为所述认证平台生成的；所述认证平台根据所述第一会话密钥对所述第一随机数和第二随机数进行加密得到第一随机密文，其中，所述第二随机数为所述认证平台生成的；所述认证平台发送第二报文到所述服务端，其中，所述第二报文包括所述第二临时公钥、所述第二随机数；所述服务端接收到所述第二报文，发送所述第二报文到所述终端；所述终端接收所述第二报文，基于所述第一临时公钥、所述第二临时公钥、所述第一终端证书和所述第一服务端证书进行密钥协商得到第二会话密钥，基于所述第二会话密钥对所述第一随机数和所述第二随机数进行加密得到第二随机密文；所述终端比较所述第一随机密文和所述第二随机密文是否一样，如果一样，则确定所述终端与所述服务端之间完成认证。
[0005]根据本专利技术的一些实施例，所述认证平台接收到所述服务端发送的所述第一报文后，还包括：通过第二终端证书校验所述第一报文中的第一签名值，其中，所述第一签名值通过第一终端私钥对第一数据进行SM2签名得到，第一报文包括第一签名值和第一数据。
[0006]根据本专利技术的一些实施例，所述终端接收所述第二报文后，还包括：通过第一服务端证书校验所述第二报文中的第二签名值，其中，所述第二签名值通过第二服务端私钥对第二数据进行SM2签名得到，第二报文包括第二签名值和第二数据。
[0007]根据本专利技术的一些实施例，所述第一随机密文或所述第二随机密文的生成步骤包括：通过所述第一会话密钥对第一随机数和第二随机数进行SM4_CBC_NOPAD加密得到第一
随机密文；通过所述第二会话密钥对第一随机数和第二随机数进行SM4_CBC_NOPAD加密得到第二随机密文。
[0008]根据本专利技术的一些实施例，还包括：通过所述第二会话密钥对所述第二随机密文进行SM4
‑
MAC计算得到服务端MAC，所述第二报文包括服务端MAC。
[0009]根据本专利技术的一些实施例，所述终端比较所述第一随机密文和所述第二随机密文是否一样后，还包括：通过会话密钥对所述第二随机密文进行SM4
‑
MAC计算得到终端MAC；比较终端MAC和所述服务端MAC是否一样，如果一样，则确定所述终端与所述服务端之间完成认证。
[0010]本专利技术的另一方面提供了一种非对称密钥的认证系统，包括：认证平台，用于发送第一终端证书和第一服务端证书到终端，其中，所述第一终端证书为所述终端的数字证书，所述第一服务端证书为服务端的数字证书；接收到所述服务端发送的第一报文，根据所述第一报文中的终端证书序列号、服务端证书序列号获取得到第二终端证书和第二服务端证书，基于第一临时公钥、第二临时公钥、所述第二终端证书和所述第二服务端证书进行密钥协商得到第一会话密钥，其中，所述第二临时公钥为所述认证平台生成的；根据所述第一会话密钥对第一随机数和第二随机数进行加密得到第一随机密文，其中，所述第二随机数为所述认证平台生成的；发送第二报文到所述服务端，其中，所述第二报文包括所述第二临时公钥、所述第二随机数；终端，用于接收所述第一终端证书和所述第一服务端证书，获取第一报文发送给服务端，其中，所述第一报文包括：第一临时公钥、第一随机数、终端证书序列号、服务器证书序列号；接收所述第二报文，基于所述第一临时公钥、所述第二临时公钥、所述第一终端证书和所述第二服务端证书进行密钥协商得到第二会话密钥，基于所述第二会话密钥对所述第一随机数和所述第二随机数进行加密得到第二随机密文；比较所述第一随机密文和所述第二随机密文是否一样，如果一样，则确定所述终端与所述服务端之间完成认证；服务端，用于接收所述第一报文，发送所述第一报文到认证平台；接收到所述第二报文，发送所述第二报文到所述终端。
[0011]本专利技术的另一方面提供了一种电子设备，包括处理器以及存储器；所述存储器用于存储程序；所述处理器执行所述程序实现如上所述的任一项所述的非对称密钥的认证方法。
[0012]根据本专利技术实施例的电子设备，至少具有与上述的非对称密钥的认证方法同样的有益效果。
[0013]本专利技术的另一方面提供了一种计算机可读存储介质，所述存储介质存储有程序，所述程序被处理器执行实现如上所述的任一项所述的非对称密钥的认证方法。
[0014]根据本专利技术实施例的计算机可读存储介质，至少具有与上述的非对称密钥的认证方法同样的有益效果。
[0015]本专利技术实施例还公开了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器可以从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行前面的方法。
[0016]本专利技术的实施例通过认证平台管理终端证书和服务端证书，在认证过程中，终端通过预设的终端证书和服务端证书计算第一报文，认证平台通过第一报文当中的终端证书
序列号和服务端证书序列号查询得到对应的证书内容，然后利用临时密钥和双方证书内容进行密钥协商得到了第一会话密钥，并利用第一会话密钥对第一报文发送过来的第一随机数和认证平台上的第二随机数进行加密，并经由服务端发送给终端，终端接收到第二报文之后，基于随机公钥、位于终端的终端证书和服务端报文进行计算得到第二会话密钥，利用第二会话密钥对第一随机数和第二随机数进行加密，比较两次加密的密文是否一样，从而完成验证。终端通过传输序列号给认证平台而非直接传输认证证书给服务端减少了认证时候需要传输整个证书内容的数据，而是让认证平台根据序列号自己在认证平台中查找对应的证书内容。而在认证平台完成密钥协商之后，传输的报文给终端使得终端进行验证确定完成认证的过程中，报文中也不携带有完整的证书相关数据。从而减少了双向认证过程中的数据本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种非对称密钥的认证方法，其特征在于，包括：认证平台发送第一终端证书和第一服务端证书到终端，其中，所述第一终端证书为所述终端的数字证书，所述第一服务端证书为服务端的数字证书；所述终端接收所述第一终端证书和所述第一服务端证书，获取第一报文发送给所述服务端，其中，所述第一报文包括：第一临时公钥、第一随机数、终端证书序列号、服务器证书序列号；所述服务端接收所述第一报文，发送所述第一报文到认证平台；所述认证平台接收到所述服务端发送的所述第一报文，根据所述第一报文中的所述终端证书序列号、所述服务端证书序列号获取得到第二终端证书和第二服务端证书，基于所述第一临时公钥、第二临时公钥、所述第二终端证书和所述第二服务端证书进行密钥协商得到第一会话密钥，其中，所述第二临时公钥为所述认证平台生成的；所述认证平台根据所述第一会话密钥对所述第一随机数和第二随机数进行加密得到第一随机密文，其中，所述第二随机数为所述认证平台生成的；所述认证平台发送第二报文到所述服务端，其中，所述第二报文包括所述第二临时公钥、所述第二随机数；所述服务端接收到所述第二报文，发送所述第二报文到所述终端；所述终端接收所述第二报文，基于所述第一临时公钥、所述第二临时公钥、所述第一终端证书和所述第一服务端证书进行密钥协商得到第二会话密钥，基于所述第二会话密钥对所述第一随机数和所述第二随机数进行加密得到第二随机密文；所述终端比较所述第一随机密文和所述第二随机密文是否一样，如果一样，则确定所述终端与所述服务端之间完成认证。2.根据权利要求1所述的一种非对称密钥的认证方法，所述认证平台接收到所述服务端发送的所述第一报文后，还包括：通过第二终端证书校验所述第一报文中的第一签名值，其中，所述第一签名值通过第一终端私钥对第一数据进行SM2签名得到，第一报文包括第一签名值和第一数据。3.根据权利要求1所述的一种非对称密钥的认证方法，所述终端接收所述第二报文后，还包括：通过第一服务端证书校验所述第二报文中的第二签名值，其中，所述第二签名值通过第二服务端私钥对第二数据进行SM2签名得到，第二报文包括第二签名值和第二数据。4.根据权利要求1所述的一种非对称密钥的认证方法，所述第一随机密文或所述第二随机密文的生成步骤包括：通过所述第一会话密钥对第一随机数和第二随机数进行SM4_CBC_NOPAD加密得到第一随机密文；通过所述第二会话密钥对第一随机数和第二随机数进行SM4_CBC_NOPAD加密得到第二随机密文。5.根据权利要求1所述...

【专利技术属性】
技术研发人员：陈嘉毅，刘伟华，王志强，丁战阳，
申请(专利权)人：东信和平科技股份有限公司，
类型：发明
国别省市：