使用密钥协商的认证制造技术

客户端可以向服务器发送认证请求。服务器可以使用在服务器处生成的短期私钥和设备的公钥来发起密钥协商过程，生成共享秘密，并导出对称密钥。对称密钥可以用于加密随机质询。此外，服务器使用为客户端生成的部分私钥和在服务器处生成的短期公钥向客户端发起密钥协商过程。部分密钥协商结果和加密的随机质询可以被发送至客户端。客户端可以使用部分密钥协商结果和相应私钥的部分来完成密钥协商过程。客户端可以导出加密密钥并解密随机质询。可以向服务器发送随机质询的指示，以认证该客户端。端。端。

【技术实现步骤摘要】
【国外来华专利技术】使用密钥协商的认证
[0001]交叉引用
[0002]本专利申请要求Peddada等人2020年7月24日提交的标题为“AUTHENTICATION USING KEY AGREEMENT(使用密钥协商的认证)”的美国专利申请号16/938,632的优先权，该专利申请转让给受让人。


[0003]公开文本总体上涉及数据库系统和数据处理，并且更具体地，涉及使用密钥协议的认证。

技术介绍

[0004]许多用户可以使用云平台(即，用于云计算的计算平台)来使用远程服务器的共享网络来存储、管理和处理数据。用户可以在云平台上开发应用程序来处理数据的存储、管理和处理。在某些情况下，云平台可以利用多租户数据库系统。用户可以使用各种用户设备(例如，台式计算机、笔记本电脑、智能手机、平板电脑或其他计算系统等)访问云平台。
[0005]在一个实施例中，云平台可能支持客户关系管理(CRM)解决方案。这可能包括对销售、服务、营销、社区、分析、应用程序和物联网的支持。用户可以利用云平台来帮助管理用户的联系方。例如，管理用户的联系方可以包括分析数据、存储和准备通信以及跟踪机会和销售。
[0006]加密密钥用于各种应用中，包括用户认证。在一些实施例中，密钥可以用于向系统认证用户。如果该密钥被泄露，那么用户数据可能被泄露。例如，一方可以使用泄露的密钥通过应用程序访问用户数据。
附图说明
[0007]图1示出了根据公开文本的各方面的用于支持使用密钥协商的认证的客户端的认证的系统的实施例。
[0008]图2示出了根据公开文本的各方面的支持使用密钥协商的认证的系统的实施例。
[0009]图3示出了根据公开文本的各方面的支持使用密钥协商的认证的系统的实施例。
[0010]图4示出了根据公开文本的各方面的支持使用密钥协商的认证的系统的实施例。
[0011]图5示出了根据公开文本的各方面的支持使用密钥协商的认证的过程流程图。
[0012]图6显示了根据公开文本的各方面的支持使用密钥协商的认证的装置的框图。
[0013]图7显示了根据公开文本的各方面的支持使用密钥协商的认证的安全管理器的框图。
[0014]图8显示了根据公开文本的各方面的包括支持使用密钥协商的认证的设备的系统的图。
[0015]图9和图10显示了示出根据公开文本的各方面的支持使用密钥协商的认证的方法的流程图。
具体实施方式
[0016]加密密钥用于各种应用中，包括用户认证。在一些实施例中，密钥可以用于向系统认证用户。如果该密钥被泄露，那么用户数据可能被泄露。例如，一方可以使用泄露的密钥通过应用程序访问用户数据。
[0017]本文描述的实施方式利用密钥协商协议来在服务器处执行客户端的认证。客户端设备(如执行应用的移动设备)可以请求访问服务器(例如，支持应用的服务器)。访问请求可以对应于账户请求。响应于登录请求，服务器可以生成非对称密钥对，其包括公钥(public key)和私钥。服务器可以分割私钥并将该私钥的第一部分存储在服务器上。可以将私钥的第二部分发送至客户端设备。客户端设备可以将第二部分分割成两个子部分，其中第一子部分是用户已知的，第二子部分存储在设备处。这可以完成客户端配置过程。
[0018]当客户端尝试登录时，服务器可以使用在服务器处生成的短期私钥和设备的公钥来发起密钥协商过程，生成共享秘密，并使用共享秘密导出对称密钥。对称密钥可以用于加密随机质询。此外，服务器使用为客户端生成的部分私钥和在服务器处生成的短期公钥向客户端发起密钥协商过程。部分密钥协商结果和加密的随机质询可以被发送至客户端。客户端可以使用部分密钥协商结果和私钥的两个子部分来完成密钥协商过程，这可以导致共享秘密。然后，可以使用共享秘密导出用于解密随机质询的相同加密密钥。随机质询的指示可以被发送至服务器，服务器对客户端进行认证。
[0019]在一些实施例中，可以使用椭圆曲线过程来生成非对称密钥对。此外，密钥协商过程可以利用椭圆曲线密钥交换(ECDH，Elliptic
‑
Curve Diffie
‑
Hellman)协议来导出共享秘密。因此，利用该加密协议，客户端可以存储要用于导出密钥的密钥的一部分，以解密随机质询。这可能导致更安全的应用程序和客户端认证。
[0020]公开文本的各方面最初在支持按需数据库服务的环境的上下文中描述。参考总体系统图、特定系统图和过程流程图进一步描述了公开文本的各方面。参考与使用密钥协商的认证相关的装置图、系统图和流程图进一步说明和描述公开文本的各方面。
[0021]图1示出了根据公开文本的各方面的用于云计算的支持使用密钥协商的认证的系统100的实施例。系统100包括云客户端105、联系方(contact)110、云平台115和数据中心120。云平台115可以是公共或私有云网络的实施例。云客户端105可以通过网络连接135访问云平台115。该网络可以实现传输控制协议和因特网协议(TCP/IP)，例如因特网，或者可以实现其他网络协议。云客户端105可以是用户设备的实施例，例如服务器(例如，云客户端105
‑
a)、智能手机(例如，云客户端105
‑
b)或膝上型计算机(例如，云客户端105
‑
c)。在其他实施例中，云客户端105可以是台式计算机、平板电脑、传感器或能够生成、分析、发送或接收通信的另一个计算设备或系统。在一些实施例中，云客户端105可以由作为商业、企业、非营利组织、初创企业或任何其他组织类型的一部分的用户操作。
[0022]云客户端105可以与多个联系方110交互。交互130可以包括云客户端105与联系方110之间的通信、机遇(opportunity)、购买、销售或任何其他交互。数据可以与交互130相关联。云客户端105可以访问云平台115以存储、管理和处理与交互130相关联的数据。在一些情况下，云客户端105可以具有相关联的安全或许可级别。云客户端105可以基于相关联的安全或许可级别访问云平台115内的应用程序、数据和数据库信息，并且可以不访问其他应用程序、数据和数据库信息。
[0023]联系方110可以亲自或通过电话、电子邮件、网络、文本消息、邮件或任何其他适当的交互形式(例如，交互130
‑
a、130
‑
b、130
‑
c和130
‑
d)与云客户端105交互。交互130可以是企业对企业(B2B)交互或企业对消费者(B2C)交互。联系方110还可以被称为客户、潜在客户、领导者、客户或一些其他合适的术语。在一些情况下，联系方110可以是用户设备的实施例，例如服务器(例如，联系方110
‑
a)、膝上型计算机(例如，联系方110
‑
b)、智能手机(例如，联系方110
‑
c)或传感器(例如，联系方110
‑
d)。在其他情况本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种用于向服务器认证客户端的方法，包括：在所述服务器处并且从所述客户端接收认证请求；响应于接收到所述认证请求，在所述服务器上生成短期非对称密钥对，所述客户端与客户端公钥相关联；至少部分地基于接收到所述认证请求，使用所述客户端公钥和所述短期非对称密钥对的短期私钥生成对称密钥；使用所述对称密钥加密随机质询；使用分割私钥的第一部分生成部分密钥协商结果，所述服务器已经将所述分割私钥的第二部分发送至所述客户端，所述分割私钥与所述客户端公钥相关联；向所述客户端发送已加密的随机质询和所述部分密钥协商结果，其中所述客户端被配置为使用所述部分密钥协商结果而导出用于解密所述随机质询的所述对称密钥；和至少部分地基于接收到所述客户端成功解密所述随机质询的指示而认证所述客户端。2.根据权利要求1所述的方法，还包括：在所述服务器处并且从所述客户端接收用于认证的请求；至少部分地基于所述请求，生成包括所述客户端公钥和私钥的第一密钥对；至少部分地基于所述私钥，生成所述分割私钥，所述分割私钥包括所述分割私钥的所述第一部分和所述分割私钥的所述第二部分；和向所述客户端发送所述分割私钥的所述第二部分的指示，其中所述服务器被配置为至少部分地基于向所述客户端发送所述分割私钥的所述第二部分的所述指示而从所述客户端接收所述认证请求。3.根据权利要求2所述的方法，其中发送所述分割私钥的所述第一部分的所述指示包括：生成所述分割私钥的所述第二部分的编码版本；和使所述分割私钥的所述第一部分的所述编码版本显示在计算设备的用户界面上。4.根据权利要求3所述的方法，其中生成所述分割私钥的所述第一部分的所述编码版本包括：生成快速响应(QR)码，其中所述QR码在所述用户界面上显示给用户。5.根据权利要求2所述的方法，其中发送所述分割私钥的所述第一部分的所述指示包括：使所述分割私钥的所述第二部分的第一子部分被存储在所述客户端处；和使所述分割私钥的第二子部分的显示由所述用户界面显示。6.根据权利要求2所述的方法，还包括：存储与所述客户端公钥相关联的所述分割私钥的所述第一部分。7.根据权利要求1至6中任一项所述的方法，还包括：至少部分地基于接收到所述认证请求，生成椭圆曲线密钥对作为包括所述短期私钥和短期公钥的所述短期非对称密钥对；和使用所述短期私钥和所述客户端公钥生成所述对称密钥，其中使用所述分割私钥的所述第一部分和所述短期公钥生成所述部分密钥协商结果，使得所述客户端能够使用所述分割私钥的所述第二部分和所述短期非对称密钥对的短期公钥而导出所述对称密钥。
8.根据权利要求7所述的方法，还包括：响应于使用所述短期私钥生成所述对称密钥，从存储器擦除所述短期私钥，所述擦除导致相应的短期私钥是一次性使用的密钥。9.根据权利要求1至8中任一项所述的方法，还包括：使用服务器签名私钥生成所述已加密的随机质询的数字签名，使得所述客户端能够使用服务器签名公钥验证所述已加密的随机质询。10.根据权利要求1至9中任一项所述的方法，还包括：使用椭圆曲线密钥交换(ECDH)协议以生成所述对称密钥和所述部分密钥协商...

【专利技术属性】
技术研发人员：P，
申请(专利权)人：硕动力公司，
类型：发明
国别省市：