专利名称:一种双向认证方法、系统及网络终端的制作方法
技术领域:
本发明涉及网络信息安全领域,特别涉及一种双向认证方法、系统及网络终端。
背景技术:
对于大多数系统、应用网络的设计者与开发者而言,安全问题始终是一个极具挑战的关 键性问题。不管是普通的PC系统还是企业的网关系统,各种攻击以及未授权的访问很容易导
致关键数据丢失,造成不可估量的损失。
2003年4月8日可信计算组(TCG, Trusted Computing Group)成立。作为一个工业界 接受的标准化组织,TCG在硬件上设计了可信硬件的基本构造模块,在软件上开发了可信软 件以抵抗各种虚拟或物理上的攻击。现在,实现这些标准的产品可以很容易的应用于嵌入式 设计之中。
可信平台模块(TPM, Platform Module)是可信计算的基础。通常,TPM是一片附着于某 个设备上的微小硅片,即一个带密码运算功能的安全微控制器,通过LPC (LowPin Count, 少针脚型接口)总线与PC芯片集结合在一起。其主要任务包括以下四个方面l.存贮各类 保密信息,例如口令、证书、密钥信息等,以防止各类软件攻击;2.通过硬件随机数发生器 生成高质量的密钥;3.在单元内部进行私钥处理;4.存贮软件完整性相关的标准信息,用于 评估各类执行软件的完整性。
TPM作为可信计算的基础,不仅可以应用于普通PC和其它计算设备中,同时也可以应用 于互联网络中。通过在每一个网络终端设备上植入TPM,从而建造可信互联网络平台。
通信双方的相互认证以及密钥协商是可信互联网络的基础,由于现有的TPM模块均是以 基于PKI (Public Key Infrastructure,公开密钥体系)的密码体制实现认证的,需要额外的数 字证书将平台的公钥和平台的身份(比如编号等等)绑定,使得在对平台的验证过程中,需 要额外地对证书进行验证,并且证书的传输也需占用额外的网络带宽,对于证书的管理也非 常复杂,需要网络对PKI的支持。
发明内容
为了使可信互联网平台的认证过程更为简单、可靠,本发明实施例结合身份的密码学,
提供了一种双向认证方法、系统及网络终端。所述技术方案如下
一种双向认证方法,所述方法包括
根据网络终端标识,生成网络终端的公钥、私钥; 第一网络终端向第二网络终端发送认证请求;
所述第二网络终端根据第一网络终端的公钥和第二网络终端的私钥生成第一检验参数, 并将包含所述第一检验参数的认证响应返回给所述第一网络终端;
所述第一网络终端根据第二网络终端的公钥和第一网络终端的私钥生成第二检验参数, 根据所述第一检验参数和所述第二检验参数对所述第二网络终端进行验证;
根据第二网络终端的公钥和第一网络终端的私钥生成第三检验参数,并将所述第三检验 参数返回给所述第二网络终端;
所述第二网络终端根据第一网络终端的公钥和第二网络终端的私钥生成第四检验参数, 根据所述第三检验参数和所述第四检验参数对所述第一网络终端进行验证。
一种双向认证系统,所述系统包括网络密钥分发器、第一网络终端和第二网络终端;
所述网络密钥分发器用于生成系统参数和群组密钥、根据网络终端标识,生成所述网络 终端的私钥;
所述第一网络终端用于根据网络终端标识,生成所述网络终端的公钥;还用于根据第二 网络终端的公钥和第一网络终端的私钥生成第二检验参数,根据所述第一检验参数和所述第 二检验参数对所述第二网络终端进行验证;根据第二网络终端的公钥和第一网络终端的私钥 生成第三检验参数,并将所述第三检验参数返回给所述第二网络终端;
所述第二网络终端用于根据网络终端的身份,生成所述网络终端的公钥;还用于根据第 一网络终端的公钥和第二网络终端的私钥生成第一检验参数,并将包含所述第一检验参数的 认证响应返回给所述第一网络终端;根据第一网络终端的公钥和第二网络终端的私钥生成第 四检验参数,根据所述第三检验参数和所述第四检验参数对所述第一网络终端进行验证。
一种网络终端,所述网络终端包括
公私钥生成模块,用于根据网络终端标识生成所述网络终端的公钥、私钥; 认证请求发送模块,用于向对端网络终端发送认证请求;
第一认证模块,用于根据对端网络终端的公钥和本端网络终端的私钥生成第二检验参数, 根据对端网络终端发送的第一检验参数和所述第二检验参数对对端网络终端进行验证;根据 对端网络终端的公钥和本端网络终端的私钥生成第三检验参数,并将所述第三检验参数返回 给所述对端网络终端。
一种网络终端,所述网络终端包括
公私钥生成模块,用于根据网络终端标识生成网络终端的公钥、私钥;
认证响应发送模块,用于根据对端网络终端的公钥和本端网络终端的私钥生成第一检验 参数,并将包含所述第一检验参数的认证响应返回给所述对端网络终端;
第二认证模块,用于根据对端网络终端的公钥和本端网络终端的私钥生成第四检验参数, 根据对端网络终端发送的第三检验参数和所述第四检验参数对对端网络终端进行验证。
本发明实施例将基于身份的密码学结合起来应用于可信互联网络平台上,设备的身份就 是公钥,无需额外的证书,避免了由于验证证书而带来的额外计算量,经过部署后,网络就 可以直接进行相互认证和密钥协商。
图1是本发明实施例1提供的双向认证方法流程图; 图2是本发明实施例2提供的双向认证系统示意图; 图3是本发明实施例3提供的网络终端示意图; 图4是本发明实施例4提供的网络终端示意图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进 一歩地详细描述。
本发明实施例提供的技术方案将TPM与基于身份的密码学结合起来,基于椭圆曲线双线 性配对技术,提出了一种双向认证方法、系统及网络终端。
首先定义如下参数
设G,为一个循环加法群,《为一个循环乘法群,并且它们具有相同的素数阶g。 e:G,xG,—《为一个双线性映射,它具有以下三个性质
双线性对于任何尸,geG,和fl》e《,我们有e(^^0二eCP,2)。b。其中Z;是小于q 并与q互素的所有正整数构成的集合。
非退化性存在peG,, 2e《,满足e(P,gpl。
可计算性对于任何P,ge(^,存在多项式时间算法计算"尸,2)。
假设G,为Gap Di迅e-Hellman群,即G,中计算性Diffie-Hellman问题困难,而判定性 Diffie-Hellman问题容易。这样,系统公开参数为{G, ,G2,仏尸}。
再进行系统初始化
可信网络密钥分发器首先根据安全参数"生成系统参数
〈仏G;,G2,eA尸,尸—《/fp//2,//3〉。
其中,《为素数,G,和《分别为以素数《为阶的循环加法群和循环乘法群;e:G,xG, 为一个双线性映射;s为从群Z:中随机选取的值,作为可信网络密钥分发器的私钥;尸为群G, 的生成元;而P—=^作为对应的系统公钥;//1:{0,1}'—G,, //2:{0,1}'4{0,1}', //3:{0,1}'—{0,1}'为密码学哈希函数,其中/为另一安全参数,A为比特长度。
另外,可信网络密钥分发器生成一个可信群组密钥5《,6。在整个系统中,每一个网络终 端可以通过巧{0,1}4 ^q与对方唯一标识/D,,计算对方的公钥g,
TPM进行密钥分发,建立可信网络终端。当一个网络终端成为可信网络终端的时候,可信 网络密钥分发器首先根据终端标识/D/主成对应的终端私钥S, 。然后将系统参数
〈g,C^,G2,^,尸,i^ /f2,//3〉,终端私钥&以及可信群组密钥S《^注入可信平台模块
TPM中,并将TPM嵌入到网络终端中,从而建立可信网络终端。
可信群组密钥S《^通过TPM分发给每一个网络终端,从而实现可信网络终端之间的互相 认证。对于可信群组以外的终端,由于不知道该可信群组密钥,因此不能对互相认证作用。 可信网络平台上的两个可信网络终端要进行安全通信时,进行双向认证并建立安全会话密钥。
参见图l,本发明实施例提供了一种可信网络平台上的双向认证方法,根据网络终端标识, 生成网络终端的公钥、私钥;第一网络终端向第二网络终端发送认证请求;第二网络终端根 据第一网络终端的公钥和第二网络终端的私钥生成第一检验参数,并将包含第一检验参数的
认证响应返回给第一网络终端;第一网络终端根据第二网络终端的公钥和第一网络终端的私 钥生成第二检验参数,根据第一检验参数和第二检验参数对第二网络终端进行验证;根据第 二网络终端的公钥和第一网络终端的私钥生成第三检验参数,并将第三检验参数返回给第二 网络终端;第二网络终端根据第一网络终端的公钥和第二网络终端的私钥生成第四检验参数,
根据第三检验参数和第四检验参数对第一网络终端进行验证。下面以第一网络终端和第二网 络终端分别为第一可信网络终端NT-A和第二可信网络终端NT-B进行网络安全通信为例,进行
详细说明,具体包括以下步骤
步骤101:计算第一可信网络终端NT-A的公钥为0^ 二/^(/D,),对应的第一可信网络终 端NT-A私钥为& = s巧(/Z)J ,以及第二可信网络终端NT-B的公钥为gB = Z/,(/Z^),对应的第 二可信网络终端NT-B私钥为& = s/f, )。
其中,第一可信网络终端NT-A的身份标识是/Dp可信网络终端NT-B的身份标识是/Z^
歩骤102:第一可信网络终端NT-A选取一个随机数。eZ:,称为第一随机数,计算第一 请求数据^P ,发送认证请求(/Z^,^尸)给第二可信网络终端NT-B。
步骤103:第二可信网络终端NT-B认证请求(/Z^,。尸)之后,选择另一个随机数 e《, 称为第二随机数,计算第二请求数据 P,将收到的认证请求中携带的第一可信网络终端 NT-A身份标识/D,和第二可信网络终端NT-B身份标识/Z),毗连,得到的第一毗连值,第一 请求数据。尸,第二请求数据 P,第一请求数据和第二随机数的乘积,将第一可信网络终 端的公钥仏和第二可信网络终端的私钥&通过双线性配对映射成循环乘法群中的元素,生成 的第一映射值,和可信群组密钥进行哈希运算,得到第一检验参数
《 =//2(/Z^ II/ZVG尸, /V人Ae必,&),L,.G)。
其中,将会话中所有协商用的数据作为哈希函数的输入,可以使得会话的建立更加可信, 安全,这样攻击者无法利用或者篡改建立会话信息。
步骤104:第二可信网络终端NT-B生成认证响应(/Z^, 尸,〖J,并返回给第一可信网络 终端NT-A。
歩骤105:第一可信网络终端NT-A收到认证响应(/Z^, vP,i^)之后,将自身的身份标识 /Z^和接收到的认证响应中携带的第二可信网络终端NT-B身份标识/Z^毗连,得到的第二毗连 值,第一请求数据。P,第二请求数据 户,第二请求数据和第一随机数的乘积,将第二可 信网络终端的公钥込和第一可信网络终端的私钥&通过双线性配对映射成循环乘法群中的 元素,生成的第二映射值,和可信群组密钥进行哈希运算,得到第二检验参数 ^ = //2(/" II叫W,。W必。
步骤106:第一可信网络终端NT-A判断检验参数A^与K、是否相等,如果是,执行步骤 107,否则,执行步骤lll。
歩骤107:第二可信网络终端NT-B通过认证,第一可信网络终端NT-A计将第二可信网络终 端NT-B身份标识/Z^和自身的身份标识/Z),毗连,得到的第三毗连值,第一请求数据。尸,第 二请求数据 VP,第二请求数据和第一随机数的乘积,将第二可信网络终端的公钥o^和第一 可信网络终端的私钥&通过双线性配对映射成循环乘法群中的元素,生成的第二映射值,和 可信群组密钥进行哈希运算,得到第三检验参数<formula>formula see original document page 9</formula>
并将第三检验参数《,返回给第二可信网络终端NT-B并将自身的身份标识/D,和第二可 信网络终端NT-B身份标识/Z^毗连值,第一请求数据。P,第二请求数据 尸,第一请求数据 和第二随机数的乘积,将第二可信网络终端的公钥Oi和第一可信网络终端的私钥^通过双线
性配对映射成循环乘法群中的元素,生成的第二映射值,和可信群组密钥进行哈希运算,得
到第一安全会话密钥S/^ =/f2(/i^ 11/ZV。iV^,。^尸,e(a,^),S/^)。
步骤108:第二可信网络终端NT-B收到第三检验参数《」,将自身身份标识/Z^和第一可 信网络终端NT-A的身份标识/D,毗连,得到的第四毗连值,第一请求数据^尸,第二请求数据 尸,第二请求数据和第一随机数的乘积,将第二可信网络终端的公钥2s和第一可信网络终 端的私钥&通过双线性配对映射成循环乘法群中的元素,生成的第一映射值,和可信群组密 钥进行哈希运算,得到第四检验参数夂、=//2(/£>s II /Z^,r^,AvP, wP,e(込,^),S^c)。
步骤109:第二可信网络终端NT-B判断检验参数/C、和i:,是否相等,如果是,执行步骤 110,否则执行步骤lll。
步骤110:第一可信网络终端NT-A通过认证,第二可信网络终端NT-B将自身的身份标识 /Z^和第一可信网络终端NT-A身份标识/D,毗连值,第一请求数据。尸,第二请求数据 尸, 第二请求数据和第一随机数的乘积,将第二可信网络终端的公钥g,和第一可信网络终端的私 钥&通过双线性配对映射成循环乘法群中的元素,生成的第一映射值,和可信群组密钥进行 哈希运算,得到第二安全会话密钥S/^ = //2(/化II /Dfl,。/VBiVzsJP,e(^,Ss),S^c)。
步骤lll:认证失败。
其中,因为e必,&)中的Ss"a,即e必,&)w必^a),同理,e必A)"必,W》, 由于具有双线性性质,e必,&)w必^a)^必必y, e必A)"必,5仏)"必必)s, 即e(仏,^Xa,^卜e(a,a)5 ,因此,第一安全会话密钥S/^和第二安全会话密钥Si^相 等。同时,由于可信群组密钥S《^包含在协议中,因此群组之外的终端不能认证群组内终端, 从而实现了秘密握手协议。
由于可信群组密钥S《^是为了限定只有组内的成员才能参与认证。在一般的认证方案
中,也可以不采用可信群组密钥si:^。
实施例2
参见图2,本发明实施例提供了一种双向认证系统,包括网络密钥分发器,第一网络终 端,第二网络终端,其中,
网络密钥分发器用于生成系统参数和群组密钥、根据网络终端标识,生成网络终端的私
钥;
第一网络终端用于根据网络终端标识,生成网络终端的公钥;还用于根据第二网络终端 的公钥和第一网络终端的私钥生成第二检验参数,根据第一检验参数和第二检验参数对第二 网络终端进行验证;根据第二网络终端的公钥和第一网络终端的私钥生成第三检验参数,并
将第三检验参数返回给第二网络终端;
第二网络终端用于根据网络终端的身份,生成网络终端的公钥;还用于根据第一网络终 端的公钥和第二网络终端的私钥生成第一检验参数,并将包含第一检验参数的认证响应返回 给第一网络终端;根据第一网络终端的公钥和第二网络终端的私钥生成第四检验参数,根据 第三检验参数和第四检验参数对第一网络终端进行验证。
实施例3
参见图3,本发明实施例提供了一种网络终端,包括公私钥生成模块,认证请求发送模 块,第一认证模块,其中,
公私钥生成模块,用于根据网络终端标识生成网络终端的公钥、私钥; 认证请求发送模块,用于向对端网络终端发送认证请求;
第一认证模块,用于根据对端网络终端的公钥和本端网络终端的私钥生成第二检验参数, 根据对端网络终端发送的第一检验参数和第二检验参数对对端网络终端进行验证;根据对端 网络终端的公钥和本端网络终端的私钥生成第三检验参数,并将第三检验参数返回给对端网 络终端。
其中,公私钥生成模块具体包括 网络标识获取单元,用于获取网络终端标识;
哈希运算单元,用于对网络终端标识进行哈希函数运算,生成一个哈希运算值,哈希运 算值为网络终端的公钥。
进一步,本发明实施例提供的网络终端还包括
第一安全会话密钥生成模块,用于将对端网络终端的公钥和本端网络终端的私钥双线性 配对映射成循环乘法群中的元素,生成映射值,根据映射值和群组密钥生成安全会话密钥。
实施例4
参见图4,本发明实施例提供了一种网络终端,包括公私钥生成模块,认证响应发送模 块,第二认证模块,其中,
公私钥生成模块,用于根据网络终端标识生成网络终端的公钥、私钥;
认证响应发送模块,用于根据对端网络终端的公钥和本端网络终端的私钥生成第一检验 参数,并将包含第一检验参数的认证响应返回给对端网络终端;
第二认证模块,用于根据对端网络终端的公钥和本端网络终端的私钥生成第四检验参数, 根据对端网络终端发送的第三检验参数和第四检验参数对对端网络终端进行验证。
其中,公私钥生成模块具体包括 网络标识获取单元,用于获取网络终端标识;
哈希运算单元,用于对网络终端标识进行哈希函数运算,生成一个哈希运算值,哈希运 算值为网络终端的公钥。
进一步,本发明实施例提供的网络终端还包括
第二安全会话密钥生成模块,用于将对端网络终端的公钥和本端网络终端的私钥双线性 配对映射成循环乘法群中的元素,生成映射值,根据映射值和群组密钥生成安全会话密钥。
本发明实施例提供的技术方案提供的双向认证方法、系统及网络终端,基于椭圆曲线双 线性配对技术,采用了基于身份的密码技术,设备的身份就是公钥,无需额外的证书,避免 了由于验证证书而带来的额外计算量,所以直接部署后,网络就可以进行相互认证和密钥协 商。网络终端内同时具有群组密钥以及各设备独自的终端私钥,具有非常高的安全性及实用 性。群组密钥可以保证同组内的网络终端能够进行相互认证和密钥协商,而各终端私钥可以 保证在某个设备的群组密钥发生泄漏时,其它设备不受影响可以继续正常使用,这点在大型 网络中尤其重要,它可以在某台设备被攻破后,保护现有投资,而不更换其它设备的网络终 端的私钥。采用基于身份的可信芯片利于网络的部署,使得密钥管理简单化。
以上实施例提供的技术方案中部分歩骤可以通过软件实现,软件存储在可读取的存储介 质上,如计算机的软盘,硬盘或光盘等。
以上仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内, 所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种双向认证方法,其特征在于,所述方法包括根据网络终端标识,生成网络终端的公钥、私钥;第一网络终端向第二网络终端发送认证请求;所述第二网络终端根据第一网络终端的公钥和第二网络终端的私钥生成第一检验参数,并将包含所述第一检验参数的认证响应返回给所述第一网络终端;所述第一网络终端根据第二网络终端的公钥和第一网络终端的私钥生成第二检验参数,根据所述第一检验参数和所述第二检验参数对所述第二网络终端进行验证;根据第二网络终端的公钥和第一网络终端的私钥生成第三检验参数,并将所述第三检验参数返回给所述第二网络终端;所述第二网络终端根据第一网络终端的公钥和第二网络终端的私钥生成第四检验参数,根据所述第三检验参数和所述第四检验参数对所述第一网络终端进行验证。
2. 如权利要求l所述的双向认证方法,其特征在于,所述根据网络终端标识,生成网络 终端的公钥、私钥的步骤具体包括对网络终端标识进行哈希函数运算,生成一个哈希运算值,所述哈希运算值为所述网络 终端的公钥;对网络终端标识进行哈希函数运算,生成一个哈希运算值,将所述哈希运算值和网络密 钥分发器私钥相乘得到所述网络终端的私钥。
3. 如权利要求l所述的双向认证方法,其特征在于,所述第一网络终端向第二网络终端 发送认证请求的步骤具体包括-根据循环加法群的生成元得到第一请求数据,将第一网络终端标识和所述第一请求数据 作为认证请求,向所述第二网络终端发送。
4. 如权利要求1-3中任意一项所述的双向认证方法,其特征在于,所述方法还包括 所述第一网络终端将第二网络终端的公钥和第一网络终端的私钥通过双线性配对映射成循环乘法群中的元素,生成第二映射值,根据所述第二映射值和群组密钥生成安全会话密钥; 所述第二网络终端将第一网络终端的公钥和第二网络终端的私钥通过双线性配对映射成 循环乘法群中的元素,生成第一映射值,根据所述第一映射值和群组密钥生成安全会话密钥。
5. —种双向认证系统,其特征在于,所述系统包括网络密钥分发器、第一网络终端和 第二网络终端;所述网络密钥分发器用于生成系统参数和群组密钥、根据网络终端标识,生成所述网络 终端的私钥;所述第一网络终端用于根据网络终端标识,生成所述网络终端的公钥;还用于根据第二 网络终端的公钥和第一网络终端的私钥生成第二检验参数,根据所述第一检验参数和所述第 二检验参数对所述第二网络终端进行验证;根据第二网络终端的公钥和第一网络终端的私钥 生成第三检验参数,并将所述第三检验参数返回给所述第二网络终端;所述第二网络终端用于根据网络终端的身份,生成所述网络终端的公钥;还用于根据第 一网络终端的公钥和第二网络终端的私钥牛成第一检验参数,并将包含所述第一检验参数的 认证响应返回给所述第一网络终端;根据第一网络终端的公钥和第二网络终端的私钥生成第 四检验参数,根据所述第三检验参数和所述第四检验参数对所述第一网络终端进行验证。
6. —种网络终端,其特征在于,所述网络终端包括公私钥生成模块,用于根据网络终端标识生成所述网络终端的公钥、私钥; 认证请求发送模块,用于向对端网络终端发送认证请求;第一认证模块,用于根据对端网络终端的公钥和本端网络终端的私钥生成第二检验参数, 根据对端网络终端发送的第一检验参数和所述第二检验参数对对端网络终端进行验证;根据 对端网络终端的公钥和本端网络终端的私钥生成第三检验参数,并将所述第三检验参数返回 给所述对端网络终端。
7. 如权利要求6所述的网络终端,其特征在于,所述公私钥生成模块具体包括 网络标识获取单元,用于获取网络终端标识;哈希运算单元,用于对所述网络终端标识进行哈希函数运算,生成一个哈希运算值,所 述哈希运算值为所述网络终端的公钥。
8. 如权利要求6或7所述的网络终端,其特征在于,所述网络终端还包括 第一安全会话密钥生成模块,用于将对端网络终端的公钥和本端网络终端的私钥双线性配对映射成循环乘法群中的元素,生成映射值,根据所述映射值和群组密钥生成安全会话密 钥。
9. 一种网络终端,其特征在于,所述网络终端包括 公私钥生成模块,用于根据网络终端标识生成网络终端的公钥、私钥;认证响应发送模块,用于根据对端网络终端的公钥和木端网络终端的私钥生成第一检验 参数,并将包含所述第一检验参数的认证响应返回给所述对端网络终端;第二认证模块,用丁根据对端网络终端的公钥和本端网络终端的私钥生成第四检验参数, 根据对端网络终端发送的第三检验参数和所述第四检验参数对对端网络终端进行验证。
10. 如权利要求9所述的网络终端,其特征在于,所述公私钥生成模块具体包括 网络标识获取单元,用于获取网络终端标识;哈希运算单元,用于对所述网络终端标识进行哈希函数运算,生成一个哈希运算值,所 述哈希运算值为所述网络终端的公钥。
11. 如权利要求9或10所述的网络终端,其特征在于,所述网络终端还包括 第二安全会话密钥生成模块,用于将对端网络终端的公钥和本端网络终端的私钥双线性配对映射成循环乘法群中的元素,生成映射值,根据所述映射值和群组密钥生成安全会话密
全文摘要
本发明公开了一种双向认证方法、系统及网络终端,属于网络信息安全领域。所述方法包括根据网络终端标识,生成网络终端的公钥、私钥;第一网络终端向第二网络终端发送认证请求;第二网络终端返回认证响应,第一网络终端和第二网络终端通过判断检验参数是否相等进行相互认证。所述系统包括网络密钥分发器、第一网络终端和第二网络终端。本发明将基于身份的密码学结合起来应用于可信互联网络平台上,设备的身份就是公钥,无需额外的证书,避免了由于验证证书而带来的额外计算量,提高了系统的安全性和可靠性,使得密钥管理简单化。
文档编号H04L9/30GK101179380SQ20071017763
公开日2008年5月14日 申请日期2007年11月19日 优先权日2007年11月19日
发明者位继伟, 曹珍富, 柴震川, 董晓蕾, 陆荣幸 申请人:上海交通大学;华为技术有限公司