安全驗(yàn)證方法�����、裝置及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本公開(kāi)涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域����,尤其涉及一種安全驗(yàn)證方法�����、裝置及系統(tǒng)����。
【背景技術(shù)】
[0002]在現(xiàn)代生活中��,網(wǎng)絡(luò)購(gòu)物因其方便��、快捷�,受到越來(lái)越多用戶的青睞。在網(wǎng)絡(luò)購(gòu)物場(chǎng)景下�����,當(dāng)用戶通過(guò)終端中安裝的購(gòu)物應(yīng)用�����,訪問(wèn)購(gòu)物網(wǎng)站��,查找到心儀物品后���,為了能夠獲取該物品�,用戶需要通過(guò)互聯(lián)網(wǎng)從賬戶中轉(zhuǎn)移相應(yīng)的數(shù)值給商家��。在此過(guò)程中��,為了保障用戶賬戶安全����,常常需要對(duì)參與數(shù)據(jù)轉(zhuǎn)移的終端及目標(biāo)服務(wù)器進(jìn)行安全驗(yàn)證。
[0003]目前�����,在進(jìn)行安全驗(yàn)證時(shí)��,主要有以下兩種安全驗(yàn)證形式:
[0004]第一種形式:基于單向驗(yàn)證的TLS(Transport Layer Security�,傳輸層安全)協(xié)議,目標(biāo)服務(wù)器在生成一對(duì)非對(duì)稱(chēng)密鑰后���,存儲(chǔ)非對(duì)稱(chēng)密鑰中私鑰�����,并將非對(duì)稱(chēng)密鑰中的公鑰發(fā)送給終端進(jìn)行存儲(chǔ)����。當(dāng)終端想要與目標(biāo)服務(wù)器進(jìn)行信息交互時(shí),該終端可借助接收到的公鑰對(duì)目標(biāo)服務(wù)器進(jìn)行驗(yàn)證��,當(dāng)對(duì)目標(biāo)服務(wù)器的驗(yàn)證通過(guò)時(shí)�����,終端與目標(biāo)服務(wù)器可進(jìn)行信息交互�����。
[0005]第二種形式:基于雙向驗(yàn)證的TLS協(xié)議�,目標(biāo)服務(wù)器生成一對(duì)非對(duì)稱(chēng)密鑰,存儲(chǔ)該非對(duì)稱(chēng)密鑰���,并將該非對(duì)稱(chēng)密鑰發(fā)送給終端進(jìn)行存儲(chǔ)���。當(dāng)終端想要與目標(biāo)服務(wù)器進(jìn)行信息交互時(shí),終端和服務(wù)器基于存儲(chǔ)的非對(duì)稱(chēng)密鑰彼此進(jìn)行驗(yàn)證�����,當(dāng)驗(yàn)證通過(guò)時(shí)�����,終端和目標(biāo)服務(wù)器可進(jìn)行信息交互���。
【發(fā)明內(nèi)容】
[0006]為克服相關(guān)技術(shù)中存在的問(wèn)題�����,本公開(kāi)提供一種安全驗(yàn)證方法���、裝置及系統(tǒng)。
[0007]根據(jù)本公開(kāi)實(shí)施例的第一方面�,提供一種安全驗(yàn)證方法,所述方法包括:
[0008]終端和目標(biāo)服務(wù)器分別根據(jù)第一隨機(jī)數(shù)和第二隨機(jī)數(shù)��,生成主密鑰����;
[0009]所述終端基于與中轉(zhuǎn)服務(wù)器之間的交互數(shù)據(jù)進(jìn)行校驗(yàn),得到第一校驗(yàn)值�����;
[0010]所述目標(biāo)服務(wù)器基于與所述中轉(zhuǎn)服務(wù)器之間的交互數(shù)據(jù)進(jìn)行校驗(yàn)���,得到第二校驗(yàn)值�����;
[0011]基于所述主密鑰�、所述第一校驗(yàn)值及所述第二校驗(yàn)值,所述終端與所述目標(biāo)服務(wù)器彼此進(jìn)行安全驗(yàn)證����。
[0012]可選地,所述主密鑰至少包括終端密鑰�、服務(wù)器密鑰、終端簽名密鑰���、服務(wù)器簽名密鑰���,在所述終端與所述中轉(zhuǎn)服務(wù)器、所述目標(biāo)服務(wù)器與所述中轉(zhuǎn)服務(wù)器的交互過(guò)程中包括以下步驟:
[0013]所述終端使用所述終端密鑰對(duì)待發(fā)送數(shù)據(jù)進(jìn)行加密���,所述終端使用所述終端簽名密鑰對(duì)待發(fā)送數(shù)據(jù)進(jìn)行簽名���;
[0014]所述目標(biāo)服務(wù)器使用所述服務(wù)器密鑰對(duì)待發(fā)送數(shù)據(jù)進(jìn)行加密,所述目標(biāo)服務(wù)器使用所述服務(wù)器簽名密鑰對(duì)待發(fā)送數(shù)據(jù)進(jìn)行加密;
[0015]所述終端使用所述服務(wù)器密鑰對(duì)接收到的數(shù)據(jù)進(jìn)行解密��,所述終端使用所述服務(wù)器簽名密鑰對(duì)接收到的數(shù)據(jù)的簽名進(jìn)行驗(yàn)證�����;
[0016]所述目標(biāo)服務(wù)器使用所述終端密鑰對(duì)接收到的數(shù)據(jù)進(jìn)行解密���,所述目標(biāo)服務(wù)器使用所述終端簽名密鑰對(duì)接收到的數(shù)據(jù)的簽名進(jìn)行驗(yàn)證。
[0017]可選地�,所述終端和目標(biāo)服務(wù)器分別根據(jù)第一隨機(jī)數(shù)和第二隨機(jī)數(shù),生成主密鑰之前����,所述方法還包括:
[0018]所述終端向所述中轉(zhuǎn)服務(wù)器發(fā)送驗(yàn)證請(qǐng)求,所述驗(yàn)證請(qǐng)求中至少攜帶第一交互信息���,所述第一交互信息至少包括所述終端對(duì)應(yīng)的安全設(shè)備的設(shè)備標(biāo)識(shí)�����、所述第一隨機(jī)數(shù)及目標(biāo)服務(wù)器的地址�����;
[0019]所述中轉(zhuǎn)服務(wù)器根據(jù)所述設(shè)備標(biāo)識(shí)�,從設(shè)備標(biāo)識(shí)與公鑰之間的對(duì)應(yīng)關(guān)系中,獲取所述設(shè)備標(biāo)識(shí)對(duì)應(yīng)的公鑰�����;
[0020]所述中轉(zhuǎn)服務(wù)器將所述公鑰及所述第一交互信息發(fā)送至所述目標(biāo)服務(wù)器地址對(duì)應(yīng)的目標(biāo)服務(wù)器�;
[0021]所述目標(biāo)服務(wù)器根據(jù)所述公鑰對(duì)生成的第二隨機(jī)數(shù)進(jìn)行加密,得到第一密文�����;
[0022]所述目標(biāo)服務(wù)器將所述第一密文發(fā)送至所述中轉(zhuǎn)服務(wù)器���,由所述中轉(zhuǎn)服務(wù)器發(fā)送至所述終端���;
[0023]所述終端將所述第一密文發(fā)送至所述安全設(shè)備;
[0024]所述安全設(shè)備根據(jù)存儲(chǔ)的私鑰對(duì)所述第一密文進(jìn)行解密���,得到所述第二隨機(jī)數(shù)��;
[0025]所述安全設(shè)備將所述第二隨機(jī)數(shù)發(fā)送至所述終端�。
[0026]可選地���,所述中轉(zhuǎn)服務(wù)器根據(jù)所述設(shè)備標(biāo)識(shí)����,從設(shè)備標(biāo)識(shí)與公鑰之間的對(duì)應(yīng)關(guān)系中,獲取所述設(shè)備標(biāo)識(shí)對(duì)應(yīng)的公鑰之前��,所述方法還包括:
[0027]所述安全設(shè)備接收設(shè)備生產(chǎn)商發(fā)送的密鑰生成請(qǐng)求����;
[0028]基于所述密鑰生成請(qǐng)求,所述安全設(shè)備生成一對(duì)非對(duì)稱(chēng)密鑰��,所述非對(duì)稱(chēng)密鑰包括所述公鑰和私鑰�;
[0029]所述安全設(shè)備存儲(chǔ)所述私鑰�,并將所述公鑰與設(shè)備標(biāo)識(shí)發(fā)送至所述中轉(zhuǎn)服務(wù)器;
[0030]基于接收到的所述公鑰與設(shè)備標(biāo)識(shí)����,所述中轉(zhuǎn)服務(wù)器存儲(chǔ)所述公鑰與設(shè)備標(biāo)識(shí)之間的對(duì)應(yīng)關(guān)系。
[0031]可選地�,所述驗(yàn)證請(qǐng)求中還攜帶所述終端支持的加密算法信息、所述終端支持的簽名算法信息��,所述方法還包括:
[0032]所述目標(biāo)服務(wù)器根據(jù)本端支持的加密算法及所述終端支持的加密算法信息�����,確定指定加密算法;
[0033]所述目標(biāo)服務(wù)器根據(jù)本端支持的簽名算法及所述終端支持的簽名算法信息����,確定指定簽名算法;
[0034]所述目標(biāo)服務(wù)器向所述中轉(zhuǎn)服務(wù)器發(fā)送通知消息����,由所述中轉(zhuǎn)服務(wù)器將所述通知消息發(fā)送至所述終端,所述通知消息用于通知所述終端將所述指定加密算法作為加密算法�����、將所述指定簽名算法作為簽名算法���。
[0035]可選地���,所述目標(biāo)服務(wù)器向所述中轉(zhuǎn)服務(wù)器發(fā)送通知消息之后,所述方法還包括:
[0036]在所述終端與所述中轉(zhuǎn)服務(wù)器�、所述目標(biāo)服務(wù)器與所述中轉(zhuǎn)服務(wù)器之間的交互過(guò)程中,所述指定加密算法用于對(duì)待發(fā)送的交互數(shù)據(jù)進(jìn)行加密運(yùn)算���,所述指定簽名算法用于對(duì)待發(fā)送的交互數(shù)據(jù)進(jìn)行簽名運(yùn)算���。
[0037]可選地�,所述終端基于與中轉(zhuǎn)服務(wù)器之間的交互數(shù)據(jù)進(jìn)行校驗(yàn)��,得到第一校驗(yàn)值���,包括:
[0038]所述終端按照時(shí)間順序�,將與所述中轉(zhuǎn)服務(wù)器之間的交互數(shù)據(jù)進(jìn)行拼接�,得到第一拼接結(jié)果;
[0039]所述終端采用指定校驗(yàn)算法對(duì)所述第一拼接結(jié)果進(jìn)行校驗(yàn)�,得到第一校驗(yàn)值。
[0040]可選地�,所述目標(biāo)服務(wù)器基于與所述中轉(zhuǎn)服務(wù)器之間的交互數(shù)據(jù)進(jìn)行校驗(yàn),得到第二校驗(yàn)值���,包括:
[0041]所述目標(biāo)服務(wù)器按照時(shí)間順序,將與所述中轉(zhuǎn)服務(wù)器之間的交互數(shù)據(jù)進(jìn)行拼接�����,得到第二拼接結(jié)果���;
[0042]所述目標(biāo)服務(wù)器采用指定校驗(yàn)算法對(duì)所述第二拼接結(jié)果進(jìn)行校驗(yàn)�,得到第二校驗(yàn)值。
[0043]可選地���,所述基于所述主密鑰���、所述第一校驗(yàn)值及所述第二校驗(yàn)值,所述終端與所述目標(biāo)服務(wù)器彼此進(jìn)行安全驗(yàn)證�����,包括:
[0044]所述終端根據(jù)所述終端簽名密鑰�����,對(duì)所述第一校驗(yàn)值進(jìn)行簽名��,得到第一簽名信息;
[0045]所述終端根據(jù)所述終端密鑰����,對(duì)所述第一簽名信息進(jìn)行加密,得到第一加密信息;
[0046]所述終端將所述第一加密信息發(fā)送至所述中轉(zhuǎn)服務(wù)器��,由所述中轉(zhuǎn)服務(wù)器將所述第一加密信息發(fā)送至所述目標(biāo)服務(wù)器����;
[0047]所述目標(biāo)服務(wù)器根據(jù)本地存儲(chǔ)的終端密鑰����,對(duì)所述第一加密信息進(jìn)行解密����;
[0048]當(dāng)對(duì)所述第一簽名信息成功解密時(shí),所述目標(biāo)服務(wù)器獲取所述第一簽名信息��;
[0049]所述目標(biāo)服務(wù)器根據(jù)本地存儲(chǔ)的終端簽名密鑰�,對(duì)所述第一簽名信息的簽名進(jìn)行驗(yàn)證;
[0050]當(dāng)對(duì)所述第一簽名信息的簽名成功驗(yàn)證時(shí)�����,所述目標(biāo)服務(wù)器獲取所述第一校驗(yàn)值���;
[0051 ] 所述目標(biāo)服務(wù)器將所述第一校驗(yàn)值與所述第二校驗(yàn)值進(jìn)行比對(duì)�;
[0052]如果所述第一校驗(yàn)值與所述第二校驗(yàn)值一致�,則所述目標(biāo)服務(wù)器生成驗(yàn)證成功信息;
[0053]所述目標(biāo)服務(wù)器根據(jù)所述服務(wù)器簽名密鑰�����,對(duì)所述驗(yàn)證成功信息進(jìn)行簽名�����,得到第二簽名信息;
[0054]所述目標(biāo)服務(wù)器根據(jù)所述服務(wù)器密鑰�����,對(duì)所述第二簽名信息進(jìn)行加密�,得到第二加密信息;
[0055]所述目標(biāo)服務(wù)器將所述第二加密信息發(fā)送至所述中轉(zhuǎn)服務(wù)器��,由所述中轉(zhuǎn)服務(wù)器將所述第二加密信息發(fā)送至所述終端�����;
[0056]所述終端根據(jù)本地存儲(chǔ)的服務(wù)器密鑰���,對(duì)所述第二加密信息進(jìn)行解密��;
[0057]當(dāng)對(duì)所述第二加密信息成功解密時(shí)���,所述終端獲取所述第二簽名信息;
[0058]所述終端根據(jù)本地存儲(chǔ)的服務(wù)器簽名密鑰�����,對(duì)所述第二簽名信息的簽名進(jìn)行驗(yàn)證;
[0059]當(dāng)對(duì)所述第二簽名信息的簽名成功驗(yàn)證時(shí)���,所述終端確定與所述目標(biāo)服務(wù)器彼此通過(guò)安全驗(yàn)證�����。
[0060]可選地��,其特征在于���,所述方法應(yīng)用于所述安全設(shè)備、所述終端�、所述中轉(zhuǎn)服務(wù)器及所述目標(biāo)服務(wù)器進(jìn)行數(shù)值轉(zhuǎn)移的場(chǎng)景。
[0061]根據(jù)本公開(kāi)實(shí)施例的第二方面���,提供一種安全驗(yàn)證系統(tǒng)���,所述系統(tǒng)包括:終端、目標(biāo)服務(wù)器及中轉(zhuǎn)服務(wù)器�;
[0062]所述終端,用于根據(jù)第一隨機(jī)數(shù)和第二隨機(jī)數(shù)�,生成主密鑰;
[0063]所述目標(biāo)服務(wù)器�����,用于根據(jù)第一隨機(jī)數(shù)和第二隨機(jī)數(shù)��,生成主密鑰����;
[0064]所述終端,用于基于與中轉(zhuǎn)服務(wù)器之間的交互數(shù)據(jù)進(jìn)行校驗(yàn)��,得到第一校驗(yàn)值�����;
[0065]所述目標(biāo)服務(wù)器���,用于基于與所述中轉(zhuǎn)服務(wù)器之間的交互數(shù)據(jù)進(jìn)行校驗(yàn)�,得到第二校驗(yàn)值�����;
[0066]所述終端��,用于基于所述主密鑰、所述第一校驗(yàn)值及所述第二校驗(yàn)值�����,與所述目標(biāo)服務(wù)器進(jìn)行安全驗(yàn)證�;
[0067]所述目標(biāo)服務(wù)器,用于基于所述主密鑰���、所述第一校驗(yàn)值及所述第二校驗(yàn)值��,與所述終端進(jìn)行安全驗(yàn)證���。
[0068]可選地,所述主密鑰至少包括終端密鑰��、服務(wù)器密鑰���、終端簽名密鑰���、服務(wù)器簽名密鑰,在所述終端與所述中轉(zhuǎn)服務(wù)器�、所述目標(biāo)服務(wù)器與所述中轉(zhuǎn)服務(wù)器的交互過(guò)程中包括以下步驟:
[0069]所述終端使用所述終端密鑰對(duì)待發(fā)送數(shù)據(jù)進(jìn)行加密,所述終端使用所述終端簽名密鑰對(duì)待發(fā)送數(shù)據(jù)進(jìn)行簽名���;
[0070]所述目標(biāo)服務(wù)器使用所述服務(wù)器密鑰對(duì)待發(fā)送數(shù)據(jù)進(jìn)行加密�,所述目標(biāo)服務(wù)器使用所述服務(wù)器簽名密鑰對(duì)待發(fā)送數(shù)據(jù)進(jìn)行加密;
[0071]所述終端使用所述服務(wù)器密鑰對(duì)接收到的數(shù)據(jù)進(jìn)行解密�����,所述終端使用所述服務(wù)器簽名密鑰對(duì)接收到的數(shù)據(jù)的簽名進(jìn)行驗(yàn)證����;
[0072]所述目標(biāo)服務(wù)器使用所述終端密鑰對(duì)接收到的數(shù)據(jù)進(jìn)行解密���,所述目標(biāo)服務(wù)器使用所述終端簽名密鑰對(duì)接收到的數(shù)據(jù)的簽名進(jìn)行驗(yàn)證�。
[0073]可選地�����,所述系統(tǒng)還包括:安全設(shè)備�����;
[0074]所述終端�����,還用于向所述中轉(zhuǎn)服務(wù)器發(fā)送驗(yàn)證請(qǐng)求,所述驗(yàn)證請(qǐng)求中至少攜帶第一交互信息�����,所述第一交互信息至少包括所述終端對(duì)應(yīng)的安全設(shè)備的設(shè)備標(biāo)識(shí)��、所述第一隨機(jī)數(shù)及目標(biāo)服務(wù)器的地址�����;
[0075]所述中轉(zhuǎn)服務(wù)器��,用于根據(jù)所述設(shè)備標(biāo)識(shí)����,從設(shè)備標(biāo)識(shí)與公鑰之間的對(duì)應(yīng)關(guān)系中,獲取所述設(shè)備標(biāo)識(shí)對(duì)應(yīng)的公鑰�����;
[0076]所述中轉(zhuǎn)服務(wù)器��,用于將所述公鑰及所述第一交互信息發(fā)送至所述目標(biāo)服務(wù)器地址對(duì)應(yīng)的目標(biāo)服務(wù)器����;
[0077]所述目標(biāo)服務(wù)器�����,還用于根據(jù)所述公鑰對(duì)生成的第二隨機(jī)數(shù)進(jìn)行加密�����,得到第一密文��;
[0078]所述目標(biāo)服務(wù)器,還用于將所述第一密文發(fā)送至所述中轉(zhuǎn)服務(wù)器�,由所述中轉(zhuǎn)服務(wù)器發(fā)送至所述終端;
[0079]所述終端�����,還用于將所述第一密文發(fā)送至所述安全設(shè)備���;
[0080]所述安全設(shè)備�����,用于根據(jù)存儲(chǔ)的私鑰對(duì)所述第一密文進(jìn)行解密�,得到所述第二隨機(jī)數(shù)���;
[0081]所述安全設(shè)備����,用于將所述第二隨機(jī)數(shù)發(fā)送至所述終端。
[0082]可選地�,所述安全設(shè)備,還用于接收設(shè)備生產(chǎn)商發(fā)送的密鑰生成請(qǐng)求����;
[0083]所述安全設(shè)備,還用于基于所述密鑰生成請(qǐng)求����,生成一對(duì)非對(duì)稱(chēng)密鑰,所述非對(duì)稱(chēng)密鑰包括所述公鑰和私鑰���;
[0084]所述安全設(shè)備�����,還用于存儲(chǔ)所述私鑰���,并將所述公鑰與設(shè)備標(biāo)識(shí)發(fā)送至所述中轉(zhuǎn)服務(wù)器;
[0085]基于接收到的所述公鑰與設(shè)備標(biāo)識(shí)��,所述中轉(zhuǎn)服務(wù)器存儲(chǔ)所述公鑰與設(shè)備標(biāo)識(shí)之間的對(duì)應(yīng)關(guān)系。
[0086]可選地���,所述驗(yàn)證請(qǐng)求中還攜帶所述終端支持的加密算法信息�����、所述終端支持的簽名算法?目息��;
[0087]所述目標(biāo)服務(wù)器�����,還用于根據(jù)本端支持的加密算法及所述終端支持的加密算法信息,確定指定加密算法����;
[0088]所述目標(biāo)服務(wù)器,還用于根據(jù)本端支持的簽名算法及所述終端支持的簽名算法信息�,確定指定簽名算法;
[0089]所