進(jìn)行分解����。在此過(guò)程中,該主密鑰至少可分解為終端密鑰�����、服務(wù)器密鑰����、終端簽名密鑰、服務(wù)器簽名密鑰��。在目標(biāo)服務(wù)器與中轉(zhuǎn)服務(wù)器的交互過(guò)程中,目標(biāo)服務(wù)器可使用服務(wù)器密鑰對(duì)待發(fā)送數(shù)據(jù)進(jìn)行加密����,使用服務(wù)器簽名密鑰對(duì)待發(fā)送數(shù)據(jù)進(jìn)行加密;目標(biāo)服務(wù)器可使用終端密鑰對(duì)接收到的數(shù)據(jù)進(jìn)行解密���,使用終端簽名密鑰對(duì)接收到的數(shù)據(jù)的簽名進(jìn)行驗(yàn)證���。
[0226]除了上述終端密鑰、服務(wù)器密鑰�、終端簽名密鑰、服務(wù)器簽名密鑰����,目標(biāo)服務(wù)器還可將主密鑰分解為終端加密初始向量、服務(wù)器加密初始向量���。在終端與中轉(zhuǎn)服務(wù)器����、目標(biāo)服務(wù)器與中轉(zhuǎn)服務(wù)器的交互過(guò)程中�����,該終端加密初始向量可用于終端在使用指定加密算法及終端加密密鑰進(jìn)行加密時(shí),確定加密初始值�����;該服務(wù)器加密初始向量可用于服務(wù)器在使用指定加密算法及服務(wù)器加密密鑰進(jìn)行加密時(shí)����,確定加密初始值。
[0227]另外��,目標(biāo)服務(wù)器通過(guò)對(duì)與中轉(zhuǎn)服務(wù)器之間的交互數(shù)據(jù)進(jìn)行校驗(yàn)��,可得到第二校驗(yàn)值�。其中����,目標(biāo)服務(wù)器與中轉(zhuǎn)服務(wù)器之間的交互數(shù)據(jù)既包括目標(biāo)服務(wù)器向中轉(zhuǎn)服務(wù)器發(fā)送的數(shù)據(jù),也包括目標(biāo)服務(wù)器從中轉(zhuǎn)服務(wù)器接收到的數(shù)據(jù)��。目標(biāo)服務(wù)器在對(duì)與中轉(zhuǎn)服務(wù)器之間的交互數(shù)據(jù)進(jìn)行校驗(yàn)時(shí)�����,可先按照時(shí)間順序����,將與中轉(zhuǎn)服務(wù)器之間的交互數(shù)據(jù)進(jìn)行拼接����,得到第二拼接結(jié)果��,然后采用指定校驗(yàn)算法對(duì)第二拼接結(jié)果進(jìn)行校驗(yàn)�����,得到第二校驗(yàn)值��。該指定校驗(yàn)算法與終端在對(duì)與中轉(zhuǎn)服務(wù)器之間的交互數(shù)據(jù)進(jìn)行校驗(yàn)時(shí)采用的校驗(yàn)算法相同��,可以為PRF函數(shù)等�����。
[0228]需要說(shuō)明的是�,上述終端根據(jù)第一隨機(jī)數(shù)和第二隨機(jī)數(shù),生成第一校驗(yàn)值的過(guò)程�����,以及目標(biāo)服務(wù)器根據(jù)第一隨機(jī)數(shù)和第二隨機(jī)隨機(jī)數(shù)�,生成第二校驗(yàn)值的過(guò)程�,可以同時(shí)進(jìn)行��,也可以為不同時(shí)進(jìn)行��,本實(shí)施例僅將終端根據(jù)第一隨機(jī)數(shù)和第二隨機(jī)數(shù)���,生成第一校驗(yàn)值作為步驟210���,將目標(biāo)服務(wù)器根據(jù)第一隨機(jī)數(shù)和第二隨機(jī)隨機(jī)數(shù),生成第二校驗(yàn)值作為步驟211為例進(jìn)行說(shuō)明����,上述步驟210和上述步驟211并不代表具體的執(zhí)行順序。
[0229]在步驟212中����,基于主密鑰�����、第一校驗(yàn)值和第二校驗(yàn)值����,終端與目標(biāo)服務(wù)器彼此進(jìn)行安全驗(yàn)證���。
[0230]基于主密鑰、第一校驗(yàn)值及第二校驗(yàn)值�,終端與目標(biāo)服務(wù)器彼此進(jìn)行安全驗(yàn)證時(shí),可分為目標(biāo)服務(wù)器對(duì)終端的安全驗(yàn)證過(guò)程及終端對(duì)目標(biāo)服務(wù)器的安全驗(yàn)證過(guò)程��。
[0231]關(guān)于目標(biāo)服務(wù)器對(duì)終端的安全驗(yàn)證過(guò)程����,可參見下述步驟(I)?⑶:
[0232](I)、終端根據(jù)終端簽名密鑰��,對(duì)第一校驗(yàn)值進(jìn)行簽名����,得到第一簽名信息。
[0233]為了提高傳輸?shù)臄?shù)據(jù)安全�����,終端在獲取到第一校驗(yàn)值之后�����,還將采用指定簽名算法���,根據(jù)主密鑰分解得到的終端簽名密鑰���,對(duì)第一校驗(yàn)值進(jìn)行簽名���。通過(guò)對(duì)第一校驗(yàn)值進(jìn)行簽名,可得到第一簽名信息��。
[0234](2)�����、終端根據(jù)終端密鑰����,對(duì)第一簽名信息進(jìn)行加密,得到第一加密信息����。
[0235]終端還將采用指定加密算法,根據(jù)主密鑰分解得到的終端密鑰�,對(duì)第一簽名信息進(jìn)行加密�,以得到第一加密信息。
[0236](3)�、終端將第一加密信息發(fā)送至中轉(zhuǎn)服務(wù)器���,由中轉(zhuǎn)服務(wù)器將第一加密信息發(fā)送至目標(biāo)服務(wù)器。
[0237]終端將第一加密信息發(fā)送至中轉(zhuǎn)服務(wù)器的方式�,包括但不限于通過(guò)有線網(wǎng)絡(luò)或無(wú)線網(wǎng)絡(luò)的方式將第一加密信息發(fā)送至中轉(zhuǎn)服務(wù)器,本實(shí)施例對(duì)此不作具體的限定����。當(dāng)中轉(zhuǎn)服務(wù)器接收到的第一加密信息之后,中轉(zhuǎn)服務(wù)器還將第一加密信息發(fā)送至目標(biāo)服務(wù)器����。
[0238](4)、目標(biāo)服務(wù)器根據(jù)本地存儲(chǔ)的終端密鑰��,對(duì)第一加密信息進(jìn)行解密��。
[0239]當(dāng)接收到的第一加密信息�����,目標(biāo)服務(wù)器將根據(jù)本地存儲(chǔ)的終端密鑰��,對(duì)第一加密信息進(jìn)行解密�,如果發(fā)送第一加密信息的終端為合法終端,則目標(biāo)服務(wù)器根據(jù)本地存儲(chǔ)的終端密鑰�,可對(duì)第一加密信息成功解密�;如果發(fā)送第一加密信息的終端為不合法終端�,則目標(biāo)服務(wù)器根據(jù)本地存儲(chǔ)的終端密鑰,不能對(duì)第一加密信息成功解密�����。
[0240](5)�����、當(dāng)對(duì)第一簽名信息成功解密時(shí)����,目標(biāo)服務(wù)器獲取第一簽名信息。
[0241]¢)�、目標(biāo)服務(wù)器根據(jù)本地存儲(chǔ)的終端簽名密鑰,對(duì)第一簽名信息的簽名進(jìn)行驗(yàn)證�����。
[0242]為了進(jìn)一步保證終端的合法性�����,目標(biāo)服務(wù)器還將根據(jù)本地存儲(chǔ)的終端簽名密鑰,對(duì)第一簽名信息的簽名進(jìn)行驗(yàn)證��。
[0243](7)當(dāng)對(duì)第一簽名信息的簽名成功驗(yàn)證時(shí)��,目標(biāo)服務(wù)器獲取第一校驗(yàn)值���。
[0244](8)、目標(biāo)服務(wù)器將第一校驗(yàn)值與第二校驗(yàn)值進(jìn)行比對(duì)����,如果第一校驗(yàn)值與第二校驗(yàn)值一致,則目標(biāo)服務(wù)器確定對(duì)終端的校驗(yàn)通過(guò)����,并生成驗(yàn)證成功信息。
[0245]在目標(biāo)服務(wù)器將第一校驗(yàn)值與第二校驗(yàn)值進(jìn)行比對(duì)��,如果第一校驗(yàn)值與第二校驗(yàn)值一致��,說(shuō)明終端與中轉(zhuǎn)服務(wù)器之間的交互數(shù)據(jù)以及目標(biāo)服務(wù)器與中轉(zhuǎn)服務(wù)器之間的交互數(shù)據(jù)相同���,也即是���,該終端為本次目標(biāo)服務(wù)器需要進(jìn)行數(shù)據(jù)交互的終端,此時(shí)目標(biāo)服務(wù)器確定對(duì)終端的校驗(yàn)通過(guò),同時(shí)生成驗(yàn)證成功信息�。
[0246]關(guān)于終端對(duì)目標(biāo)服務(wù)器的安全驗(yàn)證過(guò)程,可參見下述步驟(I)?(7):
[0247](I)����、目標(biāo)服務(wù)器根據(jù)服務(wù)器簽名密鑰,對(duì)驗(yàn)證成功信息進(jìn)行簽名�����,得到第二簽名信息��。
[0248]基于生成的驗(yàn)證成功信息�,目標(biāo)服務(wù)器還將采用指定加密算法,根據(jù)主密鑰分解得到的服務(wù)器密鑰��,對(duì)驗(yàn)證成功信息進(jìn)行加密��,從而得到第二簽名信息��。
[0249](2)��、目標(biāo)服務(wù)器根據(jù)服務(wù)器密鑰�����,對(duì)第二簽名信息進(jìn)行加密,得到第二加密信息���。
[0250]目標(biāo)服務(wù)器還將采用指定加密算法���,根據(jù)主密鑰分解得到的服務(wù)器密鑰���,對(duì)第二簽名信息進(jìn)行加密����,從而得到第二加密信息����。
[0251](3)、目標(biāo)服務(wù)器將第二加密信息發(fā)送至中轉(zhuǎn)服務(wù)器�����,由中轉(zhuǎn)服務(wù)器將第二加密信息發(fā)送至終端�。
[0252]目標(biāo)服務(wù)器將第二加密信息發(fā)送至中轉(zhuǎn)服務(wù)器的方式,包括但不限于目標(biāo)服務(wù)器通過(guò)有線網(wǎng)絡(luò)或無(wú)線網(wǎng)絡(luò)的方式將第二加密信息發(fā)送至中轉(zhuǎn)服務(wù)器等�,本實(shí)施例對(duì)此不作具體的限定。當(dāng)中轉(zhuǎn)服務(wù)器接收到的第二加密信息之后����,中轉(zhuǎn)服務(wù)器還將第二加密信息發(fā)送至終端�����。
[0253](4)���、終端根據(jù)本地存儲(chǔ)的服務(wù)器密鑰,對(duì)第二加密信息進(jìn)行解密���。
[0254]當(dāng)接收到的第二加密信息�,終端將根據(jù)本地存儲(chǔ)的服務(wù)器密鑰�����,對(duì)第二加密信息進(jìn)行解密��,如果發(fā)送第二加密信息的目標(biāo)服務(wù)器為合法服務(wù)器���,則終端根據(jù)本地存儲(chǔ)的服務(wù)器密鑰��,可對(duì)第二加密信息成功解密��;如果發(fā)送第二加密信息的目標(biāo)服務(wù)器為不合法服務(wù)器�,則終端器根據(jù)本地存儲(chǔ)的服務(wù)器密鑰,不能對(duì)第二加密信息成功解密��。
[0255](5)��、當(dāng)對(duì)第二加密信息成功解密時(shí)���,終端獲取第二簽名信息��。
[0256](6)��、終端根據(jù)本地存儲(chǔ)的服務(wù)器簽名密鑰,對(duì)第二簽名信息的簽名進(jìn)行驗(yàn)證����。
[0257]為了進(jìn)一步保證目標(biāo)服務(wù)器的合法性,終端還將根據(jù)本地存儲(chǔ)的服務(wù)器簽名密鑰���,對(duì)第二簽名信息的簽名進(jìn)行驗(yàn)證�。
[0258](7)���、當(dāng)對(duì)第二簽名信息的簽名成功驗(yàn)證時(shí)��,終端確定與目標(biāo)服務(wù)器彼此通過(guò)安全驗(yàn)證�����。
[0259]當(dāng)終端與目標(biāo)服務(wù)器彼此通過(guò)安全驗(yàn)證之后���,終端即可安全地與目標(biāo)服務(wù)器進(jìn)行交互�����,在交互過(guò)程中包括如下步驟:
[0260]終端經(jīng)過(guò)中轉(zhuǎn)服務(wù)器向目標(biāo)服務(wù)器發(fā)送的所有數(shù)據(jù)�,都需要使用指定加密算法及終端加密密鑰進(jìn)行加密�,并使用指定簽名算法及終端簽名密鑰進(jìn)行簽名;
[0261 ]目標(biāo)服務(wù)器經(jīng)過(guò)中轉(zhuǎn)服務(wù)器向終端發(fā)送的所有數(shù)據(jù)���,都需要使用指定加密算法及服務(wù)器加密密鑰進(jìn)行加密�,并使用指定簽名算法及服務(wù)器簽名密鑰進(jìn)行簽名�。
[0262]本發(fā)明實(shí)施例提供的方法,終端和目標(biāo)服務(wù)器在彼此進(jìn)行安全驗(yàn)證時(shí)����,并不僅依賴于由第一隨機(jī)數(shù)和第二隨機(jī)數(shù)生成的主密鑰,而是根據(jù)校驗(yàn)值及主密鑰協(xié)同進(jìn)行校驗(yàn)�����,由于該校驗(yàn)值是根據(jù)數(shù)據(jù)驗(yàn)證過(guò)程中與中轉(zhuǎn)服務(wù)器之間的交互數(shù)據(jù)生成的,其他終端即使獲取到主密鑰���,也無(wú)法獲取到校驗(yàn)值�����,因而有效地保證了數(shù)據(jù)安全��。
[0263]圖3是根據(jù)一示例性實(shí)施例示出的一種安全驗(yàn)證系統(tǒng)的裝置結(jié)構(gòu)示意圖����。參照?qǐng)D3�����,該系統(tǒng)包括:終端301����、目標(biāo)服務(wù)器302及中轉(zhuǎn)服務(wù)器303�����。
[0264]該終端301被配置為目標(biāo)服務(wù)器根據(jù)第一隨機(jī)數(shù)和第二隨機(jī)數(shù)���,生成主密鑰���;
[0265]該目標(biāo)服務(wù)器302被配置為根據(jù)第一隨機(jī)數(shù)和第二隨機(jī)數(shù)��,生成主密鑰�;
[0266]該終端301被配置為基于與中轉(zhuǎn)服務(wù)器303之間的交互數(shù)據(jù)進(jìn)行校驗(yàn)���,得到第一校驗(yàn)值���;
[0267]該目標(biāo)服務(wù)器302被配置為基于與中轉(zhuǎn)服務(wù)器302之間的交互數(shù)據(jù)進(jìn)行校驗(yàn),得到第二校驗(yàn)值��;
[0268]該終端301被配置為基于主密鑰�、第一校驗(yàn)值及第二校驗(yàn)值,與目標(biāo)服務(wù)器303進(jìn)行安全驗(yàn)證�;
[0269]該目標(biāo)服務(wù)器302被配置為基于主密鑰、第一校驗(yàn)值及第二校驗(yàn)值�,與終端進(jìn)行安全驗(yàn)證。
[0270]在本公開的另一個(gè)實(shí)施例中�����,主密鑰至少包括終端密鑰�����、服務(wù)器密鑰、終端簽名密鑰�、服務(wù)器簽名密鑰,在終端與中轉(zhuǎn)服務(wù)器����、目標(biāo)服務(wù)器與中轉(zhuǎn)服務(wù)器的交互過(guò)程中包括以下步驟:
[0271]終端301使用終端密鑰對(duì)待發(fā)送數(shù)據(jù)進(jìn)行加密,終端301使用終端簽名密鑰對(duì)待發(fā)送數(shù)據(jù)進(jìn)行簽名����;
[0272]目標(biāo)服務(wù)器302使用服務(wù)器密鑰對(duì)待發(fā)送數(shù)據(jù)進(jìn)行加密,目標(biāo)服務(wù)器302使用服務(wù)器簽名密鑰對(duì)待發(fā)送數(shù)據(jù)進(jìn)行加密�;
[0273]終端301使用服務(wù)器密鑰對(duì)接收到的數(shù)據(jù)進(jìn)行解密,終端301使用服務(wù)器簽名密鑰對(duì)接收到的數(shù)據(jù)的簽名進(jìn)行驗(yàn)證��;
[0274]目標(biāo)服務(wù)器302使用終端密鑰對(duì)接收到的數(shù)據(jù)進(jìn)行解密�,目標(biāo)服務(wù)器302使用終端簽名密鑰對(duì)接收到的數(shù)據(jù)的簽名進(jìn)行驗(yàn)證。
[0275]參見圖4�,該系統(tǒng)還包括:安全設(shè)備304��。
[0276]該終端301被配置為向中轉(zhuǎn)服務(wù)器303發(fā)送驗(yàn)證請(qǐng)求����,驗(yàn)證請(qǐng)求中至少攜帶第一交互信息����,第一交互信息至少包括終端對(duì)應(yīng)的安全設(shè)備的設(shè)備標(biāo)識(shí)�、第一隨機(jī)數(shù)及目標(biāo)服務(wù)器的地址;
[0277]該中轉(zhuǎn)服務(wù)器303被配置為根據(jù)設(shè)備標(biāo)識(shí)�����,從設(shè)備標(biāo)識(shí)與公鑰之間的對(duì)應(yīng)關(guān)系中�����,獲取設(shè)備標(biāo)識(shí)對(duì)應(yīng)的公鑰�����;
[0278]該中轉(zhuǎn)服務(wù)器303被配置為將公鑰及第一交互信息發(fā)送至目標(biāo)服務(wù)器地址對(duì)應(yīng)的目標(biāo)服務(wù)器�;
[0279]該目標(biāo)服務(wù)器302被配置為根據(jù)公鑰對(duì)生成的第二隨機(jī)數(shù)進(jìn)行加密,得到第一密文�����;
[0280]該目標(biāo)服務(wù)器302被配置為將第一密文發(fā)送至中轉(zhuǎn)服務(wù)器����,由中轉(zhuǎn)服務(wù)器發(fā)送至終端�;
[0281]該終端301被配置為將第一密文發(fā)送至安全設(shè)備����;
[0282]該安全設(shè)備304被配置為根據(jù)存儲(chǔ)的私鑰對(duì)第一密文進(jìn)行解密,得到第二隨機(jī)數(shù)�;
[0283]該安全設(shè)備304被配置為將第二隨機(jī)數(shù)發(fā)送至終端。
[0284]在本公開的另一個(gè)實(shí)施例中��,該安全設(shè)備304被配置為接收設(shè)備生產(chǎn)商發(fā)送的密鑰生成請(qǐng)求���;
[0285]該安全設(shè)備304被配置為基于密鑰生成請(qǐng)求���,生成一對(duì)非對(duì)稱密鑰,非對(duì)稱密鑰包括公鑰和私鑰�����;
[0286]該安全設(shè)備304被配置為存儲(chǔ)私鑰�,并將公鑰與設(shè)備標(biāo)識(shí)發(fā)送至中轉(zhuǎn)服務(wù)器303 ;
[0287]基于接收到的公鑰與設(shè)備標(biāo)識(shí),中轉(zhuǎn)服務(wù)器303存儲(chǔ)公鑰與設(shè)備標(biāo)識(shí)之間的對(duì)應(yīng)關(guān)系O
[0288]在本發(fā)明的另一個(gè)實(shí)施例中�����,驗(yàn)證請(qǐng)求中還攜帶終端支持的加密算法信息��、終端支持的簽名算法信息���;
[0289]該目標(biāo)服務(wù)器302被配置為根據(jù)本端支持的加密算法及終端支持的加密算法信息�����,確定指定加密算法�;
[0290]該目標(biāo)服務(wù)器302被配置為根據(jù)本端支持的簽名算法及終端支持的簽名算法信息��,確定指定簽名算法�����;
[0291]該目標(biāo)服務(wù)器302被配置為向中轉(zhuǎn)服務(wù)器發(fā)送通知消息�����,由中轉(zhuǎn)服務(wù)器將通知消息發(fā)送至終端�����,通知消息用于通知終端將指定加密算法作為加密算法���、將指定簽名算法作為簽名算法�。
[0292]在本公開的另一個(gè)實(shí)施例中,在終端301與中轉(zhuǎn)服務(wù)器303�����、目標(biāo)服務(wù)器302與中轉(zhuǎn)服務(wù)器303之間的交互過(guò)程中�,指定加密算法用于對(duì)待發(fā)送的交互數(shù)據(jù)進(jìn)行加密運(yùn)算,指定簽名算法用于對(duì)待發(fā)送的交互數(shù)據(jù)進(jìn)行簽名運(yùn)算���。
[0293]在本公開的另一個(gè)實(shí)施例中��,該終端301被配置為按照時(shí)間順序����,將與中轉(zhuǎn)服務(wù)器之間的交互數(shù)據(jù)進(jìn)行拼接�,得到第一拼接結(jié)果;
[0294]該終端301被配置為采用指定校驗(yàn)算法對(duì)第一拼接結(jié)果進(jìn)行校驗(yàn)����,得到第一校驗(yàn)值。
[0295]在本公開的另