身份认证方法及电子设备与流程
本发明涉及视频会议技术领域,具体涉及身份认证方法及电子设备。
背景技术:
在非对称密码体系中,公钥是可以公开的,而私钥必须秘密保管。为了安全地存储私钥,一般要将私钥保存到安全芯片、usbkey或密码卡中。私钥一旦导入这些安全硬件中就再也无法读取,只能利用内部的私钥进行某些运算,比如签名或解密。
当安全硬件与视频会议平台服务器结合使用时,由于视频会议通常可能同时几百个几千个终端设备并发登录,这就要求安全硬件需要实现对几百个几千个终端设备进行身份认证,或对终端发送的数据进行解密等等。具体地,每个客户端产生一个随机数发给服务器,服务器将随机数发送给安全硬件,安全硬件利用存储的私钥对随机数进行签名后经过服务器再发送给客户端,然后客户端用服务器公钥通过验证签名来验证服务器的身份。但是,由于这些安全硬件的计算性能,就会导致身份验证的速度都比较慢,同时,在进行密钥交换过程中,需要用到服务器内安全硬件中的私钥进行解密,采用安全硬件解密同样导致密钥交换的速度较慢,无法适应大容量计算的需要。
技术实现要素:
有鉴于此,本发明实施例提供了一种身份认证方法及电子设备,以解决身份认证的效率低的问题。
根据第一方面,本发明实施例提供了一种身份认证方法,所述身份认证方法由服务器执行,所述身份认证方法包括:
生成临时密钥对;其中,所述临时密钥对包括临时公钥和临时私钥;
将所述临时公钥发送给安全硬件;
接收所述安全硬件基于所述临时公钥返回的临时公钥认证数据;所述临时公钥认证数据是所述安全硬件用硬件私钥对所述临时公钥进行签名得到的;
基于所述临时私钥对客户端发送的身份认证数据进行签名,以得到签名消息,并将所述临时公钥认证数据添加到所述签名消息中;
将所述签名消息发送给所述客户端,以供所述客户端对所述服务器进行身份认证。
本发明实施例提供的身份认证方法,采用安全硬件中的硬件私钥确定临时公钥的身份,对于服务器的身份认证而言,在安全硬件中只需要采用硬件私钥对临时公钥做一次签名,其余对于各个客户端发送的身份认证数据的签名可以在服务器中完成;即,采用服务器中的临时密钥对将原来在安全硬件中对不同客户端的身份认证数据的签名,转移至服务器中完成,利用服务器的处理性能对不同客户端的身份认证数据进行签名,极大地提高了身份认证的效率。
结合第一方面,在第一方面第一实施方式中,所述生成临时密钥对,包括:
启动数据处理进程,所述数据处理进程用于处理所述服务器与至少一个所述客户端之间的通信数据;
利用所述数据处理进程在所述服务器的内存中生成所述临时密钥对。
本发明实施例提供的身份认证方法,由于临时密钥对是在每次数据处理进程启动时临时产生的,即使失窃也不会影响下一次启动的安全性,在不影响基本安全要求的前提下,保证身份认证的效率;同时由于操作系统的进程都运行在虚模式下,每个进程拥有独立的地址空间,攻击者一般无法对进程内存中的密钥进行跨进程访问,进一步保证了身份认证的安全性。
结合第一方面第一实施方式,在第一方面第二实施方式中,所述接收所述安全硬件基于所述临时公钥返回的临时公钥认证数据的步骤之后,还包括:
将所述临时公钥认证数据存储于所述服务器的内存中。
结合第一方面,在第一方面第三实施方式中,所述在将所述签名消息发送给所述客户端之后,还包括:
接收所述客户端发送的加密会话密钥,所述加密会话密钥由所述客户端利用所述临时公钥加密会话密钥得到,所述会话密钥用于对所述服务器与所述客户端之间的通信数据进行加密;
利用所述临时私钥对所述加密会话密钥进行解密,得到所述会话密钥。
本发明实施例提供的身份认证方法,在采用安全硬件中的硬件私钥确认临时公钥的身份之后,对于会话密钥的解密可以直接利用服务器实现对会话密钥数据的解密,而不必再利用安全硬件进行解密,由于服务器的处理性能远远大于安全硬件,因此,可以极大地提高会话密钥加解密的效率。
结合第一方面第一实施方式,在第一方面第四实施方式中,还包括:
当所述数据处理进程结束时,清除所述临时密钥对。
本发明实施例提供的身份认证方法,通过清除临时密钥对的敏感数据,保证了身份认证的安全性。
结合第一方面,或第一方面第一实施方式至第一方面第四实施方式中任一项,在第一方面第五实施方式中,所述方法还包括:
每隔预设时间清除所述临时密钥对,并重新生成新的临时密钥对;
利用所述新的临时密钥对对未认证所述服务器的客户端进行签名认证,和/或,利用所述新的临时密钥对对会话密钥进行加解密;其中,所述会话密钥用于对所述服务器与所述客户端之间的通信数据进行加密。
本发明实施例提供的身份认证方法,通过对临时密钥对的更新,保证临时密钥对的安全,进而保证身份认证的安全。
根据第二方面,本发明实施例还提供了一种身份认证方法,所述身份认证方法由客户端执行,所述身份认证方法包括:
获取服务器发送的签名消息;其中,所述签名消息是服务器采用临时私钥对客户端的身份认证数据进行签名得到的,所述签名消息中携带有临时公钥认证数据,所述临时公钥认证数据是安全硬件采用硬件私钥对临时公钥进行签名得到的;
采用硬件公钥验签所述临时公钥认证数据,以提取所述临时公钥;其中,所述硬件公钥与所述硬件私钥对应;
基于所述临时公钥对签名后的所述身份认证数据进行验签,以对所述服务器进行身份认证。
本发明实施例提供的身份认证方法,采用安全硬件中的硬件私钥确认临时公钥的身份,对于服务器的身份认证而言,在安全硬件中只需要采用硬件私钥对临时公钥做一次签名,其余对于各个客户端发送的身份认证数据的签名可以在服务器中完成;即,采用服务器中的临时密钥对将原来在安全硬件中对不同客户端的身份认证数据的签名,转移至服务器中完成,利用服务器的处理性能对不同客户端的身份认证数据进行签名,极大地提高了身份认证的效率。
结合第二方面,在第二方面第一实施方式中,所述基于所述临时公钥对签名后的所述身份认证数据进行验签的步骤之后,还包括:
当所述服务器的身份认证成功时,利用所述临时公钥对会话密钥进行加密,以得到加密会话密钥;其中,所述会话密钥用于对所述服务器与所述客户端之间的通信数据进行加密;
将所述加密会话密钥发送给所述服务器。
本发明实施例提供的身份认证方法,由于临时公钥已经采用安全硬件中的硬件私钥确定过身份,那么就可以直接利用服务器所生成的临时公钥对会话密钥进行加密,后续对于会话密钥的解密可以直接利用服务器实现,而不必通过安全硬件进行,由于服务器的处理性能远远大于安全硬件,因此,可以极大地提高会话密钥加解密的效率。
根据第三方面,本发明实施例提供了一种电子设备,包括:存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行第一方面或者第一方面的任意一种实施方式中所述的身份认证方法。
根据第四方面,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行第一方面或者第一方面的任意一种实施方式中所述的身份认证方法。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的身份认证方法的流程图;
图2是根据本发明实施例的身份认证方法的流程图;
图3是根据本发明实施例的身份认证方法的流程图;
图4是根据本发明实施例的身份认证方法的流程图;
图5是根据本发明实施例的身份认证方法的流程图;
图6是根据本发明实施例的身份认证方法的流程图;
图7是根据本发明实施例的身份认证方法的流程图;
图8是根据本发明实施例的身份认证装置的结构框图;
图9是根据本发明实施例的身份认证装置的结构框图;
图10是本发明实施例提供的电子设备的硬件结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例中所述身份认证方法以及密钥交换方法的应用场景可以为:在视频会议中,服务器与客户端之间进行视频会议,其中客户端的数量可以根据实际情况设置,在下文中以多个客户端为例进行详细描述。
本发明实施例中所述的安全硬件与服务器中的处理器电连接,可以将安全硬件理解为密码卡、usbkey等等。由于服务器的处理器的运算速度远远超过密码卡的运算速度,且服务器还可以利用多核处理器进行多线程并行计算,可以大幅度提高运算性能。例如,一般usbkey的签名速度只能达到50次/秒,而一个interxeone5-2620处理器单核的签名速度就可以达到2000次/秒。如果算上16核并行计算的话,可以达到2000*16=32000次/秒的签名速度。因此,理论上可以将身份认证放到服务器的处理器进行处理。但是,由于硬件私钥保存在安全硬件中无法读取,所以不能直接拿到处理器中进行运算。基于此,本申请发明人提出在服务器中生成临时密钥对,并用安全硬件中的硬件私钥进行签名认证。即安全硬件只需利用硬件私钥对临时密钥进行一次签名认证,后续所有的数据处理都可以在服务器中利用临时密钥进行处理,极大地提高了数据处理的效率。
具体地,对于服务器而言,其包括处理器以及安全硬件,基于本发明实施例所提供的身份认证方法,安全硬件只需进行一次签名操作,对服务器所生成的临时公钥进行签名,后续所有的签名、加解密的处理都可以在服务器的处理器中执行,与安全硬件无关。该方法可以极大地利用服务器的处理性能,提高数据处理的效率。
根据本发明实施例,提供了一种身份认证方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
在本实施例中提供了一种身份认证方法,可以应用于视频会议中服务器的处理器中,也可以应用于其他处理器中,总之该方法是由服务器执行的。在下文中以服务器的处理器为例进行详细描述。图1是根据本发明实施例的身份认证方法的流程图,如图1所示,该流程包括如下步骤:
s11,生成临时密钥对。
其中,所述临时密钥对包括临时公钥和临时私钥。
服务器的处理器可以是在视频会议开始时实时生成临时密钥对。其中,服务器的公钥称之为硬件公钥,服务器的私钥称之为硬件私钥。所述的硬件公钥与硬件私钥对应,且硬件私钥存储于安全硬件中,而硬件公钥一般是通过数字证书的形式发送给客户端。
所述的临时密钥对可以是每次视频会议进行更新的,也可以是在同一视频会议中每隔预设时间进行更新,在此对临时密钥对的更新时间或更新时机并不做任何限定。对于服务器更新临时密钥对而言,若在临时密钥对更新之前,客户端已经验证过服务器身份且一直在线的话,则这些客户端就不需要再次验证服务器的身份;但是,后续在进行通信数据的加密时,就需要利用更新的临时密钥对。若在临时密钥对更新后,客户端掉线又重新上线的,或者,新加入的客户端,这些客户端都可以统称为未认证服务器的客户端;上述未认证服务器的客户端都需要对服务器的身份进行认证,并利用更新的临时密钥对进行后续通信数据的加密。
s12,将临时公钥发送给安全硬件。
服务器的处理器将所获取到的临时公钥发送给安全硬件,以便于安全硬件利用所存储的硬件私钥对其进行签名。
s13,接收安全硬件基于临时公钥返回的临时公钥认证数据。
其中,所述临时公钥认证数据是安全硬件用硬件私钥对所述临时公钥进行签名得到的。
服务器的处理器在将临时公钥发送给安全硬件之后,安全硬件利用硬件私钥对所获取到的临时公钥进行签名,以得到临时公钥认证数据。服务器的处理器在获取到该临时公钥认证数据之后,可以将其存储在内存中,以用于后续的身份认证。
s14,基于临时私钥对客户端发送的身份认证数据进行签名,以得到签名消息,并将临时公钥认证数据添加到签名消息中。
当客户端连接服务器时,客户端向服务器发送身份认证数据,服务器的处理器利用临时私钥进行对身份认证数据进行身份认证的签名,具体签名方式与使用硬件私钥进行身份认证的签名类似,在此不再赘述。
服务器的处理器还将安全硬件发送的临时公钥认证数据添加到签名消息中,将临时公钥认证数据一并发送给客户端。
可选地,客户端发送的身份认证数据可以是客户端产生的随机数。例如,当多个客户端连接服务器时,每个客户端都会产生一个随机数,并将该随机数发送给服务器,此时服务器接收到随机数之后,在处理器中采用临时私钥对各个随机数进行签名,并附加上s13中接收到的临时公钥认证数据,形成签名消息发送给对应的客户端。
s15,将签名消息发送给客户端,以供客户端对服务器进行身份认证。
其中,签名消息中包括两种签名数据:(1)安全硬件采用硬件私钥对临时公钥的签名数据;(2)服务器的处理器采用临时私钥对客户端发送的身份认证数据的签名数据。服务器的处理器将得到的签名消息发送给客户端,客户端基于接收到的签名消息对服务器进行身份认证。在下文中,将详细描述客户端对服务器进行身份认证的方法。
本实施例提供的身份认证方法,采用安全硬件中的硬件私钥确认临时公钥的身份,对于服务器的身份认证而言,在安全硬件中只需要采用硬件私钥对临时公钥做一次签名,其余对于各个客户端发送的身份认证数据的签名可以在服务器中完成;即,采用临时密钥对将原来在安全硬件中对不同客户端的身份认证数据的签名,转移至服务器中完成,利用服务器的处理性能对不同客户端的身份认证数据进行签名,极大地提高了身份认证的效率。
在本实施例中还提供了一种身份认证方法,可以应用于视频会议中服务器的处理器中,图2是根据本发明实施例的身份认证方法的流程图,如图2所示,该流程包括如下步骤:
s21,生成临时密钥对。
其中,所述临时密钥对包括临时公钥和临时私钥。
所述临时密钥对是服务器的处理器在开始数据处理时实时生成的,具体地,该步骤包括:
s211,启动数据处理进程。
其中,数据处理进程用于处理服务器与至少一个客户端之间的通信数据。
以视频会议为例,服务器在开始视频会议时,首先在内存中启动数据处理进程,该数据处理进程用于身份认证以及后续的数据加解密。或者,可以理解为,该数据处理进程是用于处理整个视频会议中的通信数据。
s212,利用数据处理进程在服务器的内存中生成临时密钥对。
服务器的处理器在启动数据处理进程时,在内存中实时产生临时密钥对。
s22,将临时公钥发送给安全硬件。
详细请参见图1所示实施例的s12,在此不再赘述。
s23,接收安全硬件基于临时公钥返回的临时公钥认证数据。
所述临时公钥认证数据是安全硬件用硬件私钥对所述临时公钥进行签名得到的。
详细请参见图1所示实施例的s13,在此不再赘述。
s24,基于临时私钥对客户端发送的身份认证数据进行签名,以得到签名消息,并将临时公钥认证数据添加到签名消息中。
其中,所述签名消息中还携带有临时公钥认证数据。
具体地,该步骤包括:
s241,利用临时私钥对身份认证数据进行签名,以得到签名消息。
服务器的处理器利用所产生的临时私钥对各个客户端发送的身份认证数据进行签名,从而可以得到签名消息。
s242,从内存中提取临时公钥认证数据。
服务器的处理器在s23中接收安全硬件返回的临时公钥认证数据之后,将其存储在内存中。此时,服务器的处理器只需从内存中提取出临时公钥认证数据即可。
s243,将临时公钥认证数据添加在签名消息中。
服务器的处理器将临时公钥认证数据附加在签名数据中。
s25,将签名消息发送给客户端,以供客户端对服务器进行身份认证。
详细请参见图1所示实施例的s15,在此不再赘述。
s26,判断数据处理进程是否结束。
对于进程结束的监测可以是该数据处理进程实时监测是否接收到停止数据处理进程的命令,当接收到该命令时,表示此时数据处理进程结束。
或者,服务器的处理器也可以采用其他方式对数据处理进程是否结束进行判断,在此对具体判断方法并不做任何限制。
当数据处理进程结束时,清除临时密钥对。否则,执行s26。通过清除临时密钥对的敏感数据,保证了身份认证的安全性。
本实施例提供的身份认证方法,由于临时密钥对是在每次数据处理进程启动时临时产生的,即使失窃也不会影响下一次启动的安全性,在不影响基本安全要求的前提下,保证身份认证的效率;同时由于操作系统的进程都运行在虚模式下,每个进程拥有独立的地址空间,攻击者一般无法对进程内存中的密钥进行跨进程访问,进一步保证了身份认证的安全性。
本发明实施例还提供了一种身份认证方法,可以应用于视频会议中服务器的处理器中,图2是根据本发明实施例的身份认证方法的流程图,如图2所示,该流程包括如下步骤:
s31,生成临时密钥对。
详细请参见图2所示实施例的s21,在此不再赘述。
s32,将临时公钥发送给安全硬件。
详细请参见图2所示实施例的s21,在此不再赘述。
s33,接收安全硬件基于临时公钥返回的临时公钥认证数据。
所述临时公钥认证数据是安全硬件用硬件私钥对所述临时公钥进行签名得到的。
详细请参见图2所示实施例的s23,在此不再赘述。
s34,基于临时私钥对客户端发送的身份认证数据进行签名,以得到签名消息,并将临时公钥认证数据添加到签名消息中。
详细请参见图2所示实施例的s24,在此不再赘述。
s35,将签名消息发送给客户端,以供客户端对服务器进行身份认证。
详细请参见图2所示实施例的s25,在此不再赘述。
s36,接收客户端发送的加密会话密钥。
其中,所述加密会话密钥由客户端利用临时公钥加密会话密钥得到,所述会话密钥用于对服务器与客户端之间的通信数据进行加密。
当客户端对服务器的身份认证成功时,服务器能够接收到服务器发送的加密会话密钥。
s37,利用临时私钥对加密会话密钥进行解密,得到会话密钥。
服务器的处理器采用所存储的临时私钥对加密会话密钥进行解密,由于加密会话密钥是采用临时公钥加密得到的,而临时私钥与临时公钥对应,因此,利用临时私钥即可解密出会话密钥。
后续服务器的处理器即可利用解密得到的会话密钥进行视频数据的加解密。
s38,判断数据处理进程是否结束。
当数据处理进程结束时,清除临时密钥对。否则,执行s38。
本实施例提供的身份认证方法,在采用安全硬件中的硬件私钥确认临时公钥的身份之后,对于会话密钥的解密可以直接利用服务器的处理器实现对会话密钥的解密,而不必通过再利用安全硬件进行解密,由于服务器的处理性能远远大于安全硬件,因此,可以极大地提高会话密钥加解密的效率。
根据本发明实施例,提供了一种身份认证方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
在本实施例中提供了一种身份认证方法,可以应用于视频会议中的客户端,图4是根据本发明实施例的身份认证方法的流程图,如图3所示,该流程包括如下步骤:
s41,获取服务器发送的签名消息。
其中,所述签名消息是服务器采用临时私钥对客户端的身份认证数据进行签名得到的,所述签名消息中携带有临时公钥认证数据,所述临时公钥认证数据是安全硬件采用硬件私钥对临时公钥进行签名得到的。
所述的签名消息是服务器发送给客户端的,其中,关于临时公钥认证数据的描述请参见图1所示实施例的s13的描述,或图2所示实施例的s23的描述;关于签名消息的描述请参见图1所示实施例的s14,或图2所示实施例的s24的描述,在此不再赘述。
s42,采用硬件公钥验签临时公钥认证数据,以提取临时公钥。
其中,所述硬件公钥与所述硬件私钥对应。
客户端获取到签名消息之后,采用与硬件私钥对应的硬件公钥对临时公钥认证数据进行验签,目的在于提取临时公钥认证数据中的临时公钥。
s43,基于临时公钥对签名后的身份认证数据进行验签,以对服务器进行身份认证。
客户端利用临时公钥对服务器签名后的身份认证数据进行验签,提取出签名消息中的身份认证数据,客户端将提取出的身份认证数据与发送给服务器的身份认证数据进行比较,当两者相同时,表示此时身份认证成功;否则,身份认证失败。
例如,客户端利用临时公钥对服务器签名后的随机数进行验签,提取出第一随机数;客户端发送给服务器的为第二随机数,当第一随机数与第二随机数相同时,此时身份认证成功;否则,身份认证失败。
本实施例提供的身份认证方法,采用安全硬件中的硬件私钥确认临时公钥的身份,对于服务器的身份认证而言,在安全硬件中只需要采用硬件私钥对临时公钥做一次签名,其余对于各个客户端发送的身份认证数据的签名可以在服务器中完成;即,采用临时密钥对将原来在安全硬件中对不同客户端的身份认证数据的签名,转移至服务器中完成,利用服务器的处理性能对不同客户端的身份认证数据进行签名,极大地提高了身份认证的效率。
在本实施例中提供了一种密钥交换方法,可以应用于视频会议系统中的客户端,图5是根据本发明实施例的密钥交换方法的流程图,如图5所示,该流程包括如下步骤:
s51,获取服务器发送的签名消息。
其中,所述签名消息是服务器采用临时私钥对客户端的身份认证数据进行签名得到的,所述签名消息中携带有临时公钥认证数据,所述临时公钥认证数据是安全硬件采用硬件私钥对临时公钥进行签名得到的。
详细请参见图4所示实施例的s41,在此不再赘述。
s52,采用硬件公钥验签临时公钥认证数据,以提取临时公钥。
其中,所述硬件公钥与所述硬件私钥对应。
详细请参见图4所示实施例的s42,在此不再赘述。
s53,基于临时公钥对签名后的身份认证数据进行验签,以对服务器进行身份认证。
详细请参见图4所示实施例的s43,在此不再赘述。
s54,当服务器的身份认证成功时,利用临时公钥对会话密钥进行加密,以得到加密会话密钥。
其中,所述会话密钥用于对所述服务器与所述客户端之间的通信数据进行加密。
当客户端对服务器的身份认证成功时,此时客户端可以利用临时公钥对会话密钥进行加密,即可得到加密会话密钥。
s55,将加密会话密钥发送给服务器。
客户端将加密会话密钥发送给服务器,后续服务器的处理器采用与临时公钥对应的临时私钥即可解密出加密会话密钥中的会话密钥。
本实施例提供的身份认证方法,由于临时公钥已经采用安全硬件中的硬件私钥确认过身份,那么就可以直接利用服务器所生成的临时公钥对会话密钥进行加密,后续对于会话密钥的解密可以直接利用服务器实现,而不必通过安全硬件进行,由于服务器的处理性能远远大于安全硬件,因此,可以极大地提高会话密钥加解密的效率。
根据本发明实施例,提供了一种身份认证方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
在本实施例中提供了一种身份认证方法,可以应用于视频会议系统中,图6是根据本发明实施例的身份认证方法的流程图,如图6所示,该流程包括如下步骤:
s61,服务器生成临时密钥对。
其中,所述临时密钥对包括临时公钥和临时私钥。
详细请参见图1所示实施例的s11,在此不再赘述。
作为本实施例的一种可选实施方式,也可以参见图2所示实施例的s21。
s62,服务器将临时公钥发送给安全硬件。
详细请参见图1所示实施例的s12,在此不再赘述。
s63,安全硬件采用硬件私钥对临时公钥进行签名,以得到临时公钥认证数据。
详细请参见图1所示实施例的s13中关于临时公钥认证数据的描述,在此不再赘述。
s64,安全硬件将临时公钥认证数据发送给服务器。
详细请参见图1所示实施例的s14,在此不再赘述。
作为本实施例的一种可选实施方式,也可以参见图2所示实施例的s24。
s65,服务器基于临时私钥对客户端发送的身份认证数据进行签名,以得到签名消息,并将临时公钥认证数据添加到签名消息中。
详细请参见图1所示实施例的s14,在此不再赘述。
作为本实施例的一种可选实施方式,也可以参见图2所示实施例的s24。
s66,服务器将签名消息发送给客户端,以供客户端对服务器进行身份认证。
详细请参见图1所示实施例的s15,在此不再赘述。
s67,客户端采用硬件公钥验签临时公钥认证数据,以提取临时公钥。
其中,所述硬件公钥与所述硬件私钥对应。
详细请参见图4所示实施例的s42,在此不再赘述。
s68,基于临时公钥对签名后的身份认证数据进行验签,以对服务器进行身份认证。
详细请参见图4所示实施例的s43,在此不再赘述。
在本实施例中提供了一种身份认证方法,可以应用于视频会议系统中,图7是根据本发明实施例的身份认证方法的流程图,如图7所示,该流程包括如下步骤:
s701,服务器生成临时密钥对。
其中,所述临时密钥对包括临时公钥和临时私钥。
详细请参见图1所示实施例的s11,在此不再赘述。
作为本实施例的一种可选实施方式,也可以参见图2所示实施例的s21。
s702,服务器将临时公钥发送给安全硬件。
详细请参见图1所示实施例的s12,在此不再赘述。
s703,安全硬件采用硬件私钥对临时公钥进行签名,以得到临时公钥认证数据。
详细请参见图1所示实施例的s13中关于临时公钥认证数据的描述,在此不再赘述。
s704,安全硬件将临时公钥认证数据发送给服务器。
详细请参见图1所示实施例的s14,在此不再赘述。
作为本实施例的一种可选实施方式,也可以参见图2所示实施例的s24。
s705,服务器基于临时私钥对客户端发送的身份认证数据进行签名,以得到签名消息,并将临时公钥认证数据添加到签名消息中。
详细请参见图1所示实施例的s14,在此不再赘述。
作为本实施例的一种可选实施方式,也可以参见图2所示实施例的s24。
s706,服务器将签名消息发送给客户端,以供客户端对服务器进行身份认证。
详细请参见图1所示实施例的s15,在此不再赘述。
s707,客户端采用硬件公钥验签临时公钥认证数据,以提取临时公钥。
其中,所述硬件公钥与所述硬件私钥对应。
详细请参见图4所示实施例的s42,在此不再赘述。
s708,客户端基于临时公钥对签名后的身份认证数据进行验签,以对服务器进行身份认证。
详细请参见图4所示实施例的s43,在此不再赘述。
s709,当服务器的身份认证成功时,客户端利用临时公钥对会话密钥进行加密,以得到加密会话密钥。
其中,所述会话密钥用于对所述服务器与所述客户端之间的通信数据进行加密。
详细请参见图5所示实施例的s54,在此不再赘述。
s710,客户端将加密会话密钥发送给服务器。
详细请参见图5所示实施例的s55,在此不再赘述。
s711,服务器利用临时私钥对加密会话密钥进行解密,得到会话密钥。
详细请参见图3所示实施例的s37,在此不再赘述。
s712,判断数据处理进程是否结束。
当数据处理进程结束时,清除临时密钥对。否则,执行s712。
在本实施例中还提供了一种身份认证装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
本实施例提供一种身份认证装置,可以应用于视频会议系统中服务器中,如图8所示,包括:
密钥生成模块81,用于生成临时密钥对;其中,所述临时密钥对包括临时公钥和临时私钥。
第一发送模块82,用于将所述临时公钥发送给安全硬件。
第一接收模块83,用于接收所述安全硬件基于所述临时公钥返回的临时公钥认证数据;所述临时公钥认证数据是安全硬件用硬件私钥对所述临时公钥进行签名得到的。
身份认证模块84,用于基于所述临时私钥对客户端发送的身份认证数据进行签名,以得到签名消息,并将临时公钥认证数据添加到签名消息中。
第二发送模块85,用于将所述签名消息发送给客户端,以供客户端对服务器进行身份认证。
本实施例提供的身份认证装置,采用安全硬件中只需要采用硬件私钥对临时公钥做一次签名,其余对于各个客户端发送的身份认证数据的签名可以在服务器中完成;即,采用临时密钥对将原来在安全硬件中对不同客户端的身份认证数据的签名,转移至服务器中完成,利用服务器的处理性能对不同客户端的身份认证数据进行签名,极大地提高了身份认证的效率。
本实施例提供一种身份认证装置,可以应用于视频会议系统中的客户端中,如图9所示,包括:
第一获取模块91,用于获取服务器发送的签名消息;其中,所述签名消息是服务器采用临时私钥对客户端的身份认证数据进行签名得到的,所述签名消息中携带有临时公钥认证数据,所述临时公钥认证数据是安全硬件采用硬件私钥对临时公钥进行签名得到的。
验签模块92,用于采用硬件公钥验签所述临时公钥认证数据,以提取所述临时公钥;其中,所述硬件公钥与所述硬件私钥对应。
确定模块93,用于基于所述临时公钥对签名后的所述身份认证数据进行验签,以对服务器进行身份认证。
本实施例提供的身份认证装置,采用安全硬件中的硬件私钥确认临时公钥的身份,对于服务器的身份认证而言,在安全硬件中只需要采用硬件私钥对临时公钥做一次签名,其余对于各个客户端发送的身份认证数据的签名可以在服务器中完成;即,采用临时密钥对将原来在安全硬件中对不同客户端的身份认证数据的签名,转移至服务器中完成,利用服务器的处理性能对不同客户端的身份认证数据进行签名,极大地提高了身份认证的效率。
本实施例中的身份认证装置,或密钥交换装置是以功能单元的形式来呈现,这里的单元是指asic电路,执行一个或多个软件或固定程序的处理器和存储器,和/或其他可以提供上述功能的器件。
上述各个模块的更进一步的功能描述与上述对应实施例相同,在此不再赘述。
本发明实施例还提供一种电子设备,当该电子设备作为视频会议系统中的服务器时,具有上述图8所示的身份认证装置;当该电子设备作为视频会议系统中的客户端时,具有上述图9所示的身份认证装置。
请参阅图10,图10是本发明可选实施例提供的一种电子设备的结构示意图,如图10所示,该电子设备可以包括:至少一个处理器101,例如处理器(centralprocessingunit,中央处理器),至少一个通信接口103,存储器104,至少一个通信总线102。其中,通信总线102用于实现这些组件之间的连接通信。其中,通信接口103可以包括显示屏(display)、键盘(keyboard),可选通信接口103还可以包括标准的有线接口、无线接口。存储器104可以是高速ram存储器(randomaccessmemory,易挥发性随机存取存储器),也可以是非不稳定的存储器(non-volatilememory),例如至少一个磁盘存储器。存储器104可选的还可以是至少一个位于远离前述处理器101的存储装置。其中,当电子设备为视频会议系统中的服务器时,处理器101可以结合图8所描述的身份认证装置,存储器104中存储应用程序,且处理器101调用存储器104中存储的对应的程序代码,以用于执行上述图1-3所示实施例的身份认证方法步骤。当电子设备为视频会议系统中的客户端时,处理器101可以结合图9所描述的身份认证装置,存储器104中存储应用程序,且处理器101调用存储器104中存储的对应的程序代码,以用于执行上述图4-5所示实施例的身份认证方法步骤。
其中,通信总线102可以是外设部件互连标准(peripheralcomponentinterconnect,简称pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture,简称eisa)总线等。通信总线102可以分为地址总线、数据总线、控制总线等。为便于表示,图10中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器104可以包括易失性存储器(英文:volatilememory),例如随机存取存储器(英文:random-accessmemory,缩写:ram);存储器也可以包括非易失性存储器(英文:non-volatilememory),例如快闪存储器(英文:flashmemory),硬盘(英文:harddiskdrive,缩写:hdd)或固态硬盘(英文:solid-statedrive,缩写:ssd);存储器104还可以包括上述种类的存储器的组合。
其中,处理器101可以是中央处理器(英文:centralprocessingunit,缩写:处理器),网络处理器(英文:networkprocessor,缩写:np)或者处理器和np的组合。
其中,处理器101还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(英文:application-specificintegratedcircuit,缩写:asic),可编程逻辑器件(英文:programmablelogicdevice,缩写:pld)或其组合。上述pld可以是复杂可编程逻辑器件(英文:complexprogrammablelogicdevice,缩写:cpld),现场可编程逻辑门阵列(英文:field-programmablegatearray,缩写:fpga),通用阵列逻辑(英文:genericarraylogic,缩写:gal)或其任意组合。
可选地,存储器104还用于存储程序指令。处理器101可以调用程序指令,实现如本申请图1-3实施例中所示的身份认证方法、或图4-5实施例中所示的身份认证方法。
本发明实施例还提供了一种非暂态计算机存储介质,所述计算机存储介质存储有计算机可执行指令,该计算机可执行指令可执行上述任意方法实施例中的身份认证方法,或密钥交换方法。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(read-onlymemory,rom)、随机存储记忆体(randomaccessmemory,ram)、快闪存储器(flashmemory)、硬盘(harddiskdrive,缩写:hdd)或固态硬盘(solid-statedrive,ssd)等;所述存储介质还可以包括上述种类的存储器的组合。
虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。
- 还没有人留言评论。精彩留言会获得点赞!