一种身份认证方法、装置、终端设备和存储介质与流程

1.本发明涉及数据安全传输技术领域，特别是涉及一种身份认证方法、装置、终端设备和存储介质。


背景技术：

2.视联网中的两台密码机在进行数据交互之前，需要先进行身份认证，在身份认证成功的情况下才进行数据传输。
3.在进行身份认证时，当密码机a向密码机b发送身份认证信息时，为了防止出现重放攻击的风险，则对身份认证信息进行加密，如果有第三方设备监听数据，截获密码机a发送的身份认证信息，并将身份认证信息发送给接收方，接收方解析身份认证信息，发现身份认证信息中的密码机b的标识与自己的标识一致，则认为对方身份合法，这个时候第三方设备就完成了一次攻击，如何避免身份认证的流程中出现重放攻击风险，是目前需要解决的问题。


技术实现要素：

4.鉴于上述问题，提出了本发明实施例以便提供一种克服上述问题或者至少部分地解决上述问题的一种身份认证方法、装置、终端设备和存储介质。
5.第一个方面，本发明实施例提供一种身份认证方法，所述方法包括：
6.在身份认证开始时，确定第一验证信息，其中，所述第一验证信息至少包括发送端的第一随机数；
7.将所述第一验证信息发送至接收端设备，以使所述接收端设备根据所述第一验证信息中的发送端的第一随机数、接收端的第一随机数确定第二验证信息，其中，所述接收端的第一随机数是所述接收端设备在所述第一验证信息通过验证的情况下生成的；
8.接收所述接收端设备返回的第二验证信息，其中，所述第二验证信息包括发送端的第二随机数；
9.若所述发送端的第一随机数和所述发送端的第二随机数相同，则将所述发送端的第一随机数删除，并根据所述接收端设备的第一随机数生成第三验证信息，将所述第三验证信息发送至接收端设备，以使所述接收端设备对所述第三验证信息中的接收端设备的第一随机数进行验证。
10.可选地，所述在身份认证开始时，确定第一验证信息，包括：
11.在身份认证开始时，生成发送端的第一随机数；
12.根据发送端设备的证书私钥、所述发送端的第一随机数和接收端设备的设备标识，确定所述第一签名信息；
13.根据所述第一签名信息、发送端的第一随机数和所述接收端设备的设备标识，确定所述第一验证信息。
14.可选地，在所述身份认证开始之前，所述方法还包括：
15.接收接收端设备发送的接收端证书公钥。
16.可选地，在所述接收所述接收端设备返回的第二验证信息之后，所述方法还包括：
17.采用所述接收端证书公钥对接收端设备返回的第二验证信息进行验签；其中，所述第二验证信息中还包括发送端设备的设备标识；
18.若所述发送端的设备标识和预设发送端的设备标识相同，则对所述发送端的第一随机数和所述发送端的第二随机数进行比较。
19.可选地，所述根据所述接收端设备的第一随机数生成第三验证信息，将所述第三验证信息发送至接收端设备，包括：
20.根据发送端证书私钥和接收端的第一随机数，确定第三签名信息；
21.根据所述第三签名信息和所述接收端的第一随机数，确定所述第三验证信息；
22.将所述第三验证信息发送至接收端设备。
23.第二个方面，本发明实施例提供一种身份认证方法，所述方法包括：
24.在发送端设备发送的第一验证信息通过验证的情况下，根据发送端的第一随机数、接收端的第一随机数，确定第二验证信息，其中，所述第一验证信息包括发送端的第一随机数；
25.将所述第二验证信息返回至所述发送端设备，以使所述发送端设备在所述第二验证信息通过验证的情况下，根据所述接收端的第一随机数，确定第三验证信息，其中，所述第三验证信息包括接收端的第二随机数；
26.接收所述发送端设备返回的第三验证信息；
27.若所述接收端的第一随机数和所述接收端的第二随机数相同，则删除接收端的第一随机数。
28.可选地，所述在发送端设备发送的第一验证信息通过验证的情况下，根据发送端的第一随机数、接收端的第一随机数，确定第二验证信息，包括：
29.采用发送端证书公钥对所述第一验证信息进行验签，其中，所述第一验证信息还包括接收端设备的设备标识；
30.若所述接收端设备的设备标识和预设接收端设备的设备标识相同，则生成接收端设备的第一随机数；根据接收端证书私钥、发送端的第一随机数、接收端的第一随机数和发送端设备的设备标识，确定第二签名信息；
31.根据所述第二签名信息、发送端的第一随机数、接收端的第一随机数和发送端设备的设备标识确定所述第二验证信息。
32.可选地，在身份认证开始之前，所述方法还包括：
33.接收发送端设备发送的发送端证书公钥。
34.第三个方面，本发明实施例提供一种身份认证装置，所述装置包括：
35.第一确定模块，用于在身份认证开始时，确定第一验证信息，其中，所述第一验证信息至少包括发送端的第一随机数；
36.第一发送模块，用于将所述第一验证信息发送至接收端设备，以使所述接收端设备根据所述第一验证信息中的发送端的第一随机数、接收端的第一随机数确定第二验证信息，其中，所述接收端的第一随机数是所述接收端设备在所述第一验证信息通过验证的情况下生成的；
37.第一接收模块，用于接收所述接收端设备返回的第二验证信息，其中，所述第二验证信息包括发送端的第二随机数；
38.第一认证模块，用于若所述发送端的第一随机数和所述发送端的第二随机数相同，则将所述发送端的第一随机数删除，并根据所述接收端设备的第一随机数生成第三验证信息，将所述第三验证信息发送至接收端设备，以使所述接收端设备对所述第三验证信息中的接收端设备的第一随机数进行验证。
39.可选地，所述第一确定模块用于：
40.在身份认证开始时，生成发送端的第一随机数；
41.根据发送端设备的证书私钥、所述发送端的第一随机数和接收端设备的设备标识，确定所述第一签名信息；
42.根据所述第一签名信息、发送端的第一随机数和所述接收端设备的设备标识，确定所述第一验证信息。
43.可选地，所述装置还包括第一交换模块，所述第一交换模块用于：
44.接收接收端设备发送的接收端证书公钥。
45.可选地，所述第一认证模块用于：
46.采用所述接收端证书公钥对接收端设备返回的第二验证信息进行验签；其中，所述第二验证信息中还包括发送端设备的设备标识；
47.若所述发送端的设备标识和预设发送端的设备标识相同，则对所述发送端的第一随机数和所述发送端的第二随机数进行比较。
48.可选地，所述第一认证模块用于：
49.根据发送端证书私钥和接收端的第一随机数，确定第三签名信息；
50.根据所述第三签名信息和所述接收端的第一随机数，确定所述第三验证信息；
51.将所述第三验证信息发送至接收端设备。
52.第四个方面，本发明实施例提供一种身份认证装置，所述装置包括：
53.第二确定模块，用于在发送端设备发送的第一验证信息通过验证的情况下，根据发送端的第一随机数、接收端的第一随机数，确定第二验证信息，其中，所述第一验证信息包括发送端的第一随机数；
54.第二发送模块，用于将所述第二验证信息返回至所述发送端设备，以使所述发送端设备在所述第二验证信息通过验证的情况下，根据所述接收端的第一随机数，确定第三验证信息，其中，所述第三验证信息包括接收端的第二随机数；
55.第二接收模块，用于接收所述发送端设备返回的第三验证信息；
56.第二认证模块，用于若所述接收端的第一随机数和所述接收端的第二随机数相同，则删除接收端的第一随机数。
57.可选地，所述第二确定模块用于：
58.采用发送端证书公钥对所述第一验证信息进行验签，其中，所述第一验证信息还包括接收端设备的设备标识；
59.若所述接收端设备的设备标识和预设接收端设备的设备标识相同，则生成接收端设备的第一随机数；根据接收端证书私钥、发送端的第一随机数、接收端的第一随机数和发送端设备的设备标识，确定第二签名信息；
60.根据所述第二签名信息、发送端的第一随机数、接收端的第一随机数和发送端设备的设备标识确定所述第二验证信息。
61.可选地，所述装置还包括第二交换模块，所述第二交换模块用于：
62.接收发送端设备发送的发送端证书公钥。
63.第五个方面，本发明实施例提供一种终端设备，包括：至少一个处理器和存储器；
64.所述存储器存储计算机程序；所述至少一个处理器执行所述存储器存储的计算机程序，以实现第一个方面提供的身份认证方法。
65.第六个方面，本发明实施例提供一种计算机可读存储介质，该计算机可读存储介质中存储有计算机程序，所述计算机程序被执行时实现第一个方面提供的身份认证方法。
66.第七个方面，本发明实施例提供一种终端设备，包括：至少一个处理器和存储器；
67.所述存储器存储计算机程序；所述至少一个处理器执行所述存储器存储的计算机程序，以实现第二个方面提供的身份认证方法。
68.第八个方面，本发明实施例提供一种计算机可读存储介质，该计算机可读存储介质中存储有计算机程序，所述计算机程序被执行时实现第二个方面提供的身份认证方法。
69.本发明实施例包括以下优点：
70.本发明实施例提供的身份认证方法、装置、终端设备和存储介质，通过在身份认证开始时，确定第一验证信息，其中，第一验证信息至少包括发送端的第一随机数；将第一验证信息发送至接收端设备，以使接收端设备根据第一验证信息中的发送端的第一随机数、接收端的第一随机数确定第二验证信息，其中，接收端的第一随机数是接收端设备在第一验证信息通过验证的情况下生成的；接收接收端设备返回的第二验证信息，其中，第二验证信息包括发送端的第二随机数；若发送端的第一随机数和发送端的第二随机数相同，则将发送端的第一随机数删除，并根据接收端设备的第一随机数生成第三验证信息，将第三验证信息发送至接收端设备，以使接收端设备对第三验证信息中的接收端设备的第一随机数进行验证，通过在发送端设备和接收端设备生成随机数，然后将在双方认证通过后，将随机数删除，当有第三方监听数据，截获发送端设备的数据，并将数据发送给接收端设备，接收端设备解析数据包，发现数据包中的随机数与自己的随机数不一致，第三方攻击失败，这样，可以达到抗重放的目的。
附图说明
71.图1是本发明的一种身份认证方法实施例的步骤流程图；
72.图2是本发明的另一种身份认证方法实施例的步骤流程图；
73.图3是本发明的又一种身份认证方法实施例的步骤流程图；
74.图4是本发明的再一种身份认证方法实施例的步骤流程图；
75.图5是本发明的又一种身份认证方法实施例的步骤流程图；
76.图6是本发明的再一种身份认证方法实施例的步骤流程图；
77.图7是本发明的一种身份认证装置实施例的结构框图；
78.图8是本发明的又一种身份认证装置实施例的结构框图；
79.图9是本发明的一种终端设备的结构示意图；
80.图10是本发明的一种终端设备的结构示意图。
具体实施方式
81.为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。
82.视联网是网络发展的重要里程碑，是一个实时网络，能够实现高清视频实时传输，将众多互联网应用推向高清视频化，高清面对面。
83.视联网采用实时高清视频交换技术，可以在一个网络平台上将所需的服务，如高清视频会议、视频监控、智能化监控分析、应急指挥、数字广播电视、延时电视、网络教学、现场直播、vod点播、电视邮件、个性录制(pvr)、内网(自办)频道、智能化视频播控、信息发布等数十种视频、语音、图片、文字、通讯、数据等服务全部整合在一个系统平台，通过电视或电脑实现高清品质视频播放。
84.名词解释如下：
85.ca(certification authority)：在pki中称“认证机构”，它为电子商务环境中各个实体颁发电子证书，即对实体的身份信息和相应公钥数据进行数字签名，用以捆绑该实体的公钥和身份，以证明各实体在网上身份的真实性；并负责在交易中检验和管理证书。
86.重放攻击(replay attacks)又称重播攻击、回放攻击，是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。重放攻击可以由发起者，也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据，之后再把它重新发给认证服务器。重放攻击在任何网络通过程中都可能发生，是计算机世界黑客常用的攻击方式之一
87.本发明一实施例提供一种身份认证方法，用于对身份进行认证。本实施例的执行主体为身份认证装置，设置在终端设备上，其中，终端设备可以为计算机，平板电脑和手机终端等。
88.参照图1，示出了本发明的一种身份认证方法实施例的步骤流程图，该方法具体可以包括如下步骤：
89.s101、在身份认证开始时，确定第一验证信息，其中，第一验证信息至少包括发送端的第一随机数；
90.具体地，终端设备在进行数据交互之前，需要先进行证书交换，然后再进行身份认证，进一步地，进行密钥协商、最后对需要传输的数据进行加密，并进行传输。其中，终端设备可以是互联网设备，也可以是视联网设备，例如视联网密码机，在视联网密码机之间进行数据交互。
91.发送端设备和接收端设备需要先进行证书交换，也相互获得对方的公钥，然后才开始身份认证，在身份认证开始时，发送端设备生成发送端的第一随机数，并根据发送端的第一随机数和接收端设备的设备标识确定第一验证信息。
92.s102、将第一验证信息发送至接收端设备，以使接收端设备根据第一验证信息中的发送端的第一随机数、接收端的第一随机数确定第二验证信息，其中，接收端的第一随机数是接收端设备在第一验证信息通过验证的情况下生成的；
93.具体地，发送端设备将第一验证信息发送至接收端设备，接收端设备对该第一验证信息进行验证，若该第一验证信息通过验证，也就是说第一验证信息中的接收端设备的设备标识和接收端设备自身的设备标识相同，则说明验证通过，接收端设备生成接收端的
第一随机数，并根据第一验证信息中的发送端的第一随机数、接收端的第一随机数和接收端设备的设备标识，确定第二验证信息，其中，第二验证信息中包括发送端的第二随机数。
94.s103、接收接收端设备返回的第二验证信息，其中，第二验证信息包括发送端的第二随机数；
95.具体地，接收端设备将第二验证信息返回至发送端设备。
96.s104、若发送端的第一随机数和发送端的第二随机数相同，则将发送端的第一随机数删除，并根据接收端设备的第一随机数生成第三验证信息，将第三验证信息发送至接收端设备，以使接收端设备对第三验证信息中的接收端设备的第一随机数进行验证。
97.具体地，发送端设备对发送端的第一随机数和发送端的第二随机数进行比较，若两者相同，则说明发送端设备对接收端设备的验证通过，同时发送端设备将发送端的第一随机数删除，并根据接收端设备的第一随机数生成第三验证信息，该第三验证信息中包括接收端的第二随机数，发送端设备将第三验证信息发送至接收端设备，接收端设备对第三验证信息中的接收端的第二随机数和接收端的第一随机数进行比较，若两者相同，则说明接收端设备对发送端设备的验证通过，接收端设备将接收端的第一随机数删除。
98.本发明实施例中在两台终端设备例如密码机身份认证的过程中会产生随机数，认证完成随机数删除，这个时候如果有第三方监听数据包，该数据包为证书认证过程中产生的信令交互数据，第三方截获发送端的数据包，并将数据包发送给接收端设备，接收端设备解析协数据包，发现数据包中的随机数与自己的随机数不一致，因为此时接收端设备本地的随机数为空，则认为对方身份不合法，这个时候第三方攻击失败。
99.本发明实施例提供的身份认证方法，通过在身份认证开始时，确定第一验证信息，其中，第一验证信息至少包括发送端的第一随机数；将第一验证信息发送至接收端设备，以使接收端设备根据第一验证信息中的发送端的第一随机数、接收端的第一随机数确定第二验证信息，其中，接收端的第一随机数是接收端设备在第一验证信息通过验证的情况下生成的；接收接收端设备返回的第二验证信息，其中，第二验证信息包括发送端的第二随机数；若发送端的第一随机数和发送端的第二随机数相同，则将发送端的第一随机数删除，并根据接收端设备的第一随机数生成第三验证信息，将第三验证信息发送至接收端设备，以使接收端设备对第三验证信息中的接收端设备的第一随机数进行验证，通过在发送端设备和接收端设备生成随机数，然后将在双方认证通过后，将随机数删除，当有第三方监听数据，截获发送端设备的数据，并将数据发送给接收端设备，接收端设备解析数据包，发现数据包中的随机数与自己的随机数不一致，第三方攻击失败，这样，可以达到抗重放的目的。
100.本发明又一实施例对上述实施例提供的身份认证方法做进一步补充说明。
101.如图2所示，示出了本发明的另一种身份认证方法实施例的步骤流程图，该身份认证方法包括：
102.s201、接收接收端设备发送的接收端证书公钥。
103.具体地，终端设备在进行证书认证之前，需要进行证书交换，在证书交换流程中各个终端设备产生公司钥对，并向第三方认证机构提交公钥、组织信息、个人信息(域名)等信息，并申请认证，若第三方认证机构ca对终端设备信息通过认证，则第三方认证机构ca向终端设备签发认证文件，该认证文件包括终端设备的公钥和私钥，终端设备将私钥进行保存，将公钥发送至对方终端。
104.示例性地，终端设备例如密码机a产生公私钥对，向第三方认证机构ca提交公钥、组织信息、个人信息(域名)等信息并申请认证，如信息审核通过，ca会向密码机a签发认证文件，证书文件里包括密码机a的公钥和私钥，密码机a自己保留私钥，不外传；如果密码机a和密码机b要进行数据传输，则密码机a需要获取到密码机b的证书，即密码机b的公钥在b的证书里，a可以通过读取b的证书得到b的公钥；
105.假如：密码机a的公钥为pub_a，私钥为pri_a；
106.密码机b的公钥为pub_b，私钥为pri_b；pub_a,pri_a,pub_b,pri_b可以是不一样的密码，也可以是相同的密码；
107.s202、在身份认证开始时，生成发送端的第一随机数；
108.由于步骤s202与图1所示实施例中的步骤s101相同。在图1中已经对步骤s101进行了详细描述，因此，在此不再对步骤s202进行赘述。
109.s203、根据发送端设备的证书私钥、发送端的第一随机数和接收端设备的设备标识，确定第一签名信息；
110.具体地，发送端设备在生成发送端的第一随机数后，对第一随机数和接收端设备的设备标识进行哈希运算，然后采用发送端设备的证书私钥对哈希后的结果进行签名，得到第一签名信息；
111.示例性地，在签名之前终端设备需要对发送端的第一随机数和接收端设备的设备标识进行哈希，发送端的第一随机数是32个字节，而签名需要输入64个字节，所以对发送端的第一随机数和接收端设备的设备标识进行哈希后的结果是64个字节，正好作为签名的输入。
112.s204、根据第一签名信息、发送端的第一随机数和接收端设备的设备标识，确定第一验证信息。
113.s205、将第一验证信息发送至接收端设备，以使接收端设备根据第一验证信息中的发送端的第一随机数、接收端的第一随机数确定第二验证信息，其中，接收端的第一随机数是接收端设备在第一验证信息通过验证的情况下生成的；
114.s206、接收接收端设备返回的第二验证信息，其中，第二验证信息包括发送端的第二随机数；
115.s207、采用接收端证书公钥对接收端设备返回的第二验证信息进行验签；其中，第二验证信息中还包括发送端设备的设备标识；
116.具体地，发送端设备预先接收到接收端设备发送的证书公钥，在接收到接收端设备返回的第二验证信息后，则采用证书公钥对该第二验证信息进行验签，该第二验证信息中包括发送端设备的设备标识。
117.s208、若发送端的设备标识和预设发送端的设备标识相同，则对发送端的第一随机数和发送端的第二随机数进行比较。
118.具体地，发送端设备对发送端的设备标识和预设发送端的设备标识进行判断，若两者相同，则说明发送端设备对接收端设备通过验证，然后对发送端的第一随机数和发送端的第二随机数进行比较。
119.s209、若发送端的第一随机数和发送端的第二随机数相同，则将发送端的第一随机数删除，并根据接收端设备的第一随机数生成第三验证信息，将第三验证信息发送至接
收端设备，以使接收端设备对第三验证信息中的接收端设备的第一随机数进行验证。
120.具体地，发送端设备判断发送端的第一随机数和发送端的第二随机数相同，则将发送端的第一随机数删除，并根据发送端证书私钥和接收端的第一随机数，确定第三签名信息，即采用发送端证书私钥对接收端的第一随机数进行签名，得到第三签名信息；根据第三签名信息和接收端的第一随机数，确定第三验证信息；将第三验证信息发送至接收端设备。接收端设备对第三验证信息中的接收端的第二随机数和接收端的第一随机数进行比较，若两者相同，则说明接收端设备对发送端设备的验证通过，接收端设备将接收端的第一随机数删除。
121.本发明实施例中在两台终端设备例如密码机身份认证的过程中会产生随机数，认证完成随机数删除，这个时候如果有第三方监听数据包，该数据包为证书认证过程中产生的信令交互数据，第三方截获发送端的数据包，并将数据包发送给接收端设备，接收端设备解析协数据包，发现数据包中的随机数与自己的随机数不一致，因为此时接收端设备本地的随机数为空，则认为对方身份不合法，这个时候第三方攻击失败。
122.本发明实施例提供的身份认证方法，通过在身份认证开始时，确定第一验证信息，其中，第一验证信息至少包括发送端的第一随机数；将第一验证信息发送至接收端设备，以使接收端设备根据第一验证信息中的发送端的第一随机数、接收端的第一随机数确定第二验证信息，其中，接收端的第一随机数是接收端设备在第一验证信息通过验证的情况下生成的；接收接收端设备返回的第二验证信息，其中，第二验证信息包括发送端的第二随机数；若发送端的第一随机数和发送端的第二随机数相同，则将发送端的第一随机数删除，并根据接收端设备的第一随机数生成第三验证信息，将第三验证信息发送至接收端设备，以使接收端设备对第三验证信息中的接收端设备的第一随机数进行验证，通过在发送端设备和接收端设备生成随机数，然后将在双方认证通过后，将随机数删除，当有第三方监听数据，截获发送端设备的数据，并将数据发送给接收端设备，接收端设备解析数据包，发现数据包中的随机数与自己的随机数不一致，第三方攻击失败，这样，可以达到抗重放的目的。
123.参照图3，示出了本发明的一种身份认证方法实施例的步骤流程图，该方法具体可以包括如下步骤：
124.s301、在发送端设备发送的第一验证信息通过验证的情况下，根据发送端的第一随机数、接收端的第一随机数，确定第二验证信息，其中，第一验证信息包括发送端的第一随机数；
125.具体地，发送端设备和接收端设备需要先进行证书交换，也相互获得对方的公钥，然后才开始身份认证，在身份认证开始时，发送端设备生成发送端的第一随机数，并根据发送端的第一随机数和接收端设备的设备标识确定第一验证信息。
126.发送端设备将第一验证信息发送至接收端设备，其中，该第一验证信息包括发送端的第一随机数和接收端设备的设备标识，接收端设备对该第一验证信息进行验证，也就是对第一验证信息中的接收端设备的设备标识进行校验，若该第一验证信息通过验证，也就是说第一验证信息中的接收端设备的设备标识和接收端设备自身的设备标识相同，则说明验证通过，接收端设备生成接收端的第一随机数，并根据第一验证信息中的发送端的第一随机数、接收端的第一随机数和接收端设备的设备标识，确定第二验证信息，其中，第二验证信息中包括发送端的第二随机数。
127.s302、将第二验证信息返回至发送端设备，以使发送端设备在第二验证信息通过验证的情况下，根据接收端的第一随机数，确定第三验证信息，其中，第三验证信息包括接收端的第二随机数；
128.具体地，接收端设备将第二验证信息返回至发送端设备，发送端设备对第二验证信息进行验证，若该第二验证信息通过验证，也就是说第二验证信息中的发送端设备的设备标识和发送端设备自身的设备标识相同，则说明验证通过，发送端设备根据第二验证信息中的接收端的第一随机数进行签名，生成第三验证信息，该第三验证信息包括接收端的第二随机数。
129.s303、接收发送端设备返回的第三验证信息；
130.s304、若接收端的第一随机数和接收端的第二随机数相同，则删除接收端的第一随机数。
131.具体地，接收端设备对第三验证信息中的接收端的第二随机数和接收端的第一随机数进行比较，若两者相同，则说明接收端设备对发送端设备的验证通过，接收端设备将接收端的第一随机数删除。
132.本发明实施例中在两台终端设备例如密码机身份认证的过程中会产生随机数，认证完成随机数删除，这个时候如果有第三方监听数据包，该数据包为证书认证过程中产生的信令交互数据，第三方截获发送端的数据包，并将数据包发送给接收端设备，接收端设备解析协数据包，发现数据包中的随机数与自己的随机数不一致，因为此时接收端设备本地的随机数为空，则认为对方身份不合法，这个时候第三方攻击失败。
133.本发明实施例提供的身份认证方法，通过在身份认证开始时，确定第一验证信息，其中，第一验证信息至少包括发送端的第一随机数；将第一验证信息发送至接收端设备，以使接收端设备根据第一验证信息中的发送端的第一随机数、接收端的第一随机数确定第二验证信息，其中，接收端的第一随机数是接收端设备在第一验证信息通过验证的情况下生成的；接收接收端设备返回的第二验证信息，其中，第二验证信息包括发送端的第二随机数；若发送端的第一随机数和发送端的第二随机数相同，则将发送端的第一随机数删除，并根据接收端设备的第一随机数生成第三验证信息，将第三验证信息发送至接收端设备，以使接收端设备对第三验证信息中的接收端设备的第一随机数进行验证，通过在发送端设备和接收端设备生成随机数，然后将在双方认证通过后，将随机数删除，当有第三方监听数据，截获发送端设备的数据，并将数据发送给接收端设备，接收端设备解析数据包，发现数据包中的随机数与自己的随机数不一致，第三方攻击失败，这样，可以达到抗重放的目的。
134.本发明又一实施例对上述实施例提供的身份认证方法做进一步补充说明。
135.如图4所示，示出了本发明的另一种身份认证方法实施例的步骤流程图，该身份认证方法包括：
136.s401、接收发送端设备发送的发送端证书公钥。
137.s402、采用发送端证书公钥对第一验证信息进行验签，其中，第一验证信息还包括接收端设备的设备标识；
138.s403、若接收端设备的设备标识和预设接收端设备的设备标识相同，则生成接收端设备的第一随机数；根据接收端证书私钥、发送端的第一随机数、接收端的第一随机数和发送端设备的设备标识，确定第二签名信息；
139.具体地，接收端设备对发送端的第一随机数、接收端的第一随机数和发送端设备的设备标识进行哈希运算，并采用接收端证书私钥对该哈希结果进行签名，得到第二签名信息。
140.s404、根据第二签名信息、发送端的第一随机数、接收端的第一随机数和发送端设备的设备标识确定第二验证信息。
141.s405、将第二验证信息返回至发送端设备，以使发送端设备在第二验证信息通过验证的情况下，根据接收端的第一随机数，确定第三验证信息，其中，第三验证信息包括接收端的第二随机数；
142.s406、接收发送端设备返回的第三验证信息；
143.s407、若接收端的第一随机数和接收端的第二随机数相同，则删除接收端的第一随机数。
144.图5是本发明的又一种身份认证方法实施例的步骤流程图，如图5所示，该身份认证方法包括：
145.1、密码机a产生随机数r1(发送端的第一随机数)；
146.2、密码机a使用自己的证书私钥对(r1，b身份即密码机b的设备标识)进行签名，生成签名信息ma即第一签名信息；
147.3、密码机a将(ma r1 b身份)信息即第一验证信息发送至密码机b；
148.4、密码机b使用密码机a的证书公钥对ma验签，并检验其中密码机b身份；
149.5、若验证通过，则密码机b产生随机数r2即接收端的第一随机数；
150.具体地，密码机b会收到ma,对ma进行验签，验签成功会得到随机数r1和设备标识，密码机b用收到的设备id和自己的设备id做对比，如果一样，说明验证通过。
151.6、密码机b使用自己的证书私钥对(随机数r1、r2、a身份)进行签名，生成签名信息mb即第二签名信息；
152.7、密码机b将(mb r1、r2、a身份)信息即第二验证信息发送至密码机a；
153.8、密码机a使用密码机b的证书公钥对mb进行验签，并验证其中密码机a身份；
154.9、对密码机b的信息进行验证，若验证通过，则密码机a比较(r1(发送)即发送端的第一随机数，r1(接收)即发送端的第二随机数)，比较完成后清除r1；
155.10、在对密码机a的信息进行验证，若验证通过，则密码机a使用自己证书的私钥对(r2)进行签名生成签名信息mc即第三验证信息；
156.11密码机a将签名信息mc r2发送至密码机b；
157.12、密码机b比较(r2(发送)即接收端的第一随机数，r2(接收)即接收端的第二随机数)，比较完成后清除r2；
158.13、若验证通过，则说明身份认证通过，没有重放攻击。
159.本发明中在两台密码机身份认证的过程中会产生随机数，认证完成随机数删除，这个时候如果有第三方监听数据，截获发送端的数据，并将数据发送给接收方，接收方解析协议包，发现协议包中的随机数与自己的随机数不一致，因为此时本地的随机数为空，则认为对方身份不合法，这个时候第三方攻击失败。
160.图6是本发明的再一种身份认证方法实施例的步骤流程图，如图6所示，该身份认证方法包括：
161.(1)现在有密码机a和密码机b两台设备，并且两台设备在视联网中均处于在线状态；
162.(2)密码机a和密码机b均已获取ca认证机构颁发的数字证书；
163.(2)a\b两台密码机已完成数字证书的交换，即密码机a可以读取密码机b的证书，密码机b可以读取密码机a的证书；
164.(3)密码机a和密码机b进行身份认证，如上面的流程图，在此不再赘述；
165.(4)本发明实施例中比较完随机数以后要将本地的随机数删除，这样如果有重复的数据来了对比随机数会失败，即身份认证失败。
166.原有的方案中在两台密码机身份认证的过程中会产生随机数，认证完成随机数保留，这个时候如果有第三方监听数据，截获发送端的数据，并将数据发送给接收方，接收方解析协议包，发现协议包中的随机数与自己的随机数一致，则认为对方身份合法，这个时候第三方就完成了一次攻击，这是我们不想看到的结果。
167.本发明中在两台密码机身份认证的过程中会产生随机数，认证完成随机数删除，这个时候如果有第三方监听数据，截获发送端的数据，并将数据发送给接收方，接收方解析协议包，发现协议包中的随机数与自己的随机数不一致，因为此时本地的随机数为空，则认为对方身份不合法，这个时候第三方攻击失败。
168.需要说明的是，对于方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明实施例并不受所描述的动作顺序的限制，因为依据本发明实施例，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作并不一定是本发明实施例所必须的。
169.本发明实施例提供的身份认证方法，通过在身份认证开始时，确定第一验证信息，其中，第一验证信息至少包括发送端的第一随机数；将第一验证信息发送至接收端设备，以使接收端设备根据第一验证信息中的发送端的第一随机数、接收端的第一随机数确定第二验证信息，其中，接收端的第一随机数是接收端设备在第一验证信息通过验证的情况下生成的；接收接收端设备返回的第二验证信息，其中，第二验证信息包括发送端的第二随机数；若发送端的第一随机数和发送端的第二随机数相同，则将发送端的第一随机数删除，并根据接收端设备的第一随机数生成第三验证信息，将第三验证信息发送至接收端设备，以使接收端设备对第三验证信息中的接收端设备的第一随机数进行验证，通过在发送端设备和接收端设备生成随机数，然后将在双方认证通过后，将随机数删除，当有第三方监听数据，截获发送端设备的数据，并将数据发送给接收端设备，接收端设备解析数据包，发现数据包中的随机数与自己的随机数不一致，第三方攻击失败，这样，可以达到抗重放的目的。
170.本发明另一实施例提供一种身份认证装置，用于执行上述实施例提供的身份认证方法。
171.参照图7，示出了本发明的一种身份认证装置实施例的结构框图，该装置可以应用于视联网中，具体可以包括如下模块：第一确定模块701、第一发送模块702、第一接收模块703和第一认证模块704，其中：
172.第一确定模块701用于在身份认证开始时，确定第一验证信息，其中，第一验证信息至少包括发送端的第一随机数；
173.第一发送模块702用于将第一验证信息发送至接收端设备，以使接收端设备根据第一验证信息中的发送端的第一随机数、接收端的第一随机数确定第二验证信息，其中，接收端的第一随机数是接收端设备在第一验证信息通过验证的情况下生成的；
174.第一接收模块703用于接收接收端设备返回的第二验证信息，其中，第二验证信息包括发送端的第二随机数；
175.第一认证模块704用于若发送端的第一随机数和发送端的第二随机数相同，则将发送端的第一随机数删除，并根据接收端设备的第一随机数生成第三验证信息，将第三验证信息发送至接收端设备，以使接收端设备对第三验证信息中的接收端设备的第一随机数进行验证。
176.本发明实施例提供的身份认证装置，通过在身份认证开始时，确定第一验证信息，其中，第一验证信息至少包括发送端的第一随机数；将第一验证信息发送至接收端设备，以使接收端设备根据第一验证信息中的发送端的第一随机数、接收端的第一随机数确定第二验证信息，其中，接收端的第一随机数是接收端设备在第一验证信息通过验证的情况下生成的；接收接收端设备返回的第二验证信息，其中，第二验证信息包括发送端的第二随机数；若发送端的第一随机数和发送端的第二随机数相同，则将发送端的第一随机数删除，并根据接收端设备的第一随机数生成第三验证信息，将第三验证信息发送至接收端设备，以使接收端设备对第三验证信息中的接收端设备的第一随机数进行验证，通过在发送端设备和接收端设备生成随机数，然后将在双方认证通过后，将随机数删除，当有第三方监听数据，截获发送端设备的数据，并将数据发送给接收端设备，接收端设备解析数据包，发现数据包中的随机数与自己的随机数不一致，第三方攻击失败，这样，可以达到抗重放的目的。
177.本发明又一实施例对上述实施例提供的身份认证装置做进一步补充说明。
178.可选地，第一确定模块用于：
179.在身份认证开始时，生成发送端的第一随机数；
180.根据发送端设备的证书私钥、发送端的第一随机数和接收端设备的设备标识，确定第一签名信息；
181.根据第一签名信息、发送端的第一随机数和接收端设备的设备标识，确定第一验证信息。
182.可选地，装置还包括第一交换模块，第一交换模块用于：
183.接收接收端设备发送的接收端证书公钥。
184.可选地，第一认证模块用于：
185.采用接收端证书公钥对接收端设备返回的第二验证信息进行验签；其中，第二验证信息中还包括发送端设备的设备标识；
186.若发送端的设备标识和预设发送端的设备标识相同，则对发送端的第一随机数和发送端的第二随机数进行比较。
187.可选地，第一认证模块用于：
188.根据发送端证书私钥和接收端的第一随机数，确定第三签名信息；
189.根据第三签名信息和接收端的第一随机数，确定第三验证信息；
190.将第三验证信息发送至接收端设备。
191.需要说明的是，本实施例中各可实施的方式可以单独实施，也可以在不冲突的情
况下以任意组合方式结合实施本技术不做限定。
192.对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
193.本发明实施例提供的身份认证装置，通过在身份认证开始时，确定第一验证信息，其中，第一验证信息至少包括发送端的第一随机数；将第一验证信息发送至接收端设备，以使接收端设备根据第一验证信息中的发送端的第一随机数、接收端的第一随机数确定第二验证信息，其中，接收端的第一随机数是接收端设备在第一验证信息通过验证的情况下生成的；接收接收端设备返回的第二验证信息，其中，第二验证信息包括发送端的第二随机数；若发送端的第一随机数和发送端的第二随机数相同，则将发送端的第一随机数删除，并根据接收端设备的第一随机数生成第三验证信息，将第三验证信息发送至接收端设备，以使接收端设备对第三验证信息中的接收端设备的第一随机数进行验证，通过在发送端设备和接收端设备生成随机数，然后将在双方认证通过后，将随机数删除，当有第三方监听数据，截获发送端设备的数据，并将数据发送给接收端设备，接收端设备解析数据包，发现数据包中的随机数与自己的随机数不一致，第三方攻击失败，这样，可以达到抗重放的目的。
194.本发明另一实施例提供一种身份认证装置，用于执行上述实施例提供的身份认证方法。
195.参照图8，示出了本发明的一种身份认证装置实施例的结构框图，该装置可以应用于视联网中，具体可以包括如下模块：第二确定模块801、第二发送模块802、第二接收模块803和第二认证模块804，其中：
196.第二确定模块801用于在发送端设备发送的第一验证信息通过验证的情况下，根据发送端的第一随机数、接收端的第一随机数，确定第二验证信息，其中，第一验证信息包括发送端的第一随机数；
197.第二发送模块802用于将第二验证信息返回至发送端设备，以使发送端设备在第二验证信息通过验证的情况下，根据接收端的第一随机数，确定第三验证信息，其中，第三验证信息包括接收端的第二随机数；
198.第二接收模块803用于接收发送端设备返回的第三验证信息；
199.第二认证模块804用于若接收端的第一随机数和接收端的第二随机数相同，则删除接收端的第一随机数。
200.本发明实施例提供的身份认证装置，通过
201.本发明又一实施例对上述实施例提供的身份认证装置做进一步补充说明。
202.可选地，第二确定模块用于：
203.采用发送端证书公钥对第一验证信息进行验签，其中，第一验证信息还包括接收端设备的设备标识；
204.若接收端设备的设备标识和预设接收端设备的设备标识相同，则生成接收端设备的第一随机数；根据接收端证书私钥、发送端的第一随机数、接收端的第一随机数和发送端设备的设备标识，确定第二签名信息；
205.根据第二签名信息、发送端的第一随机数、接收端的第一随机数和发送端设备的设备标识确定第二验证信息。
206.可选地，装置还包括第二交换模块，第二交换模块用于：
207.接收发送端设备发送的发送端证书公钥。
208.本发明实施例提供的身份认证装置，通过在身份认证开始时，确定第一验证信息，其中，第一验证信息至少包括发送端的第一随机数；将第一验证信息发送至接收端设备，以使接收端设备根据第一验证信息中的发送端的第一随机数、接收端的第一随机数确定第二验证信息，其中，接收端的第一随机数是接收端设备在第一验证信息通过验证的情况下生成的；接收接收端设备返回的第二验证信息，其中，第二验证信息包括发送端的第二随机数；若发送端的第一随机数和发送端的第二随机数相同，则将发送端的第一随机数删除，并根据接收端设备的第一随机数生成第三验证信息，将第三验证信息发送至接收端设备，以使接收端设备对第三验证信息中的接收端设备的第一随机数进行验证，通过在发送端设备和接收端设备生成随机数，然后将在双方认证通过后，将随机数删除，当有第三方监听数据，截获发送端设备的数据，并将数据发送给接收端设备，接收端设备解析数据包，发现数据包中的随机数与自己的随机数不一致，第三方攻击失败，这样，可以达到抗重放的目的。
209.本发明再一实施例提供一种终端设备，用于执行上述实施例提供的身份认证方法。
210.图9是本发明的一种终端设备的结构示意图，如图9所示，该终端设备包括：至少一个处理器901和存储器902；
211.存储器存储计算机程序；至少一个处理器执行存储器存储的计算机程序，以实现上述实施例提供的身份认证方法。
212.本实施例提供的终端设备，通过在身份认证开始时，确定第一验证信息，其中，第一验证信息至少包括发送端的第一随机数；将第一验证信息发送至接收端设备，以使接收端设备根据第一验证信息中的发送端的第一随机数、接收端的第一随机数确定第二验证信息，其中，接收端的第一随机数是接收端设备在第一验证信息通过验证的情况下生成的；接收接收端设备返回的第二验证信息，其中，第二验证信息包括发送端的第二随机数；若发送端的第一随机数和发送端的第二随机数相同，则将发送端的第一随机数删除，并根据接收端设备的第一随机数生成第三验证信息，将第三验证信息发送至接收端设备，以使接收端设备对第三验证信息中的接收端设备的第一随机数进行验证，通过在发送端设备和接收端设备生成随机数，然后将在双方认证通过后，将随机数删除，当有第三方监听数据，截获发送端设备的数据，并将数据发送给接收端设备，接收端设备解析数据包，发现数据包中的随机数与自己的随机数不一致，第三方攻击失败，这样，可以达到抗重放的目的。
213.本技术又一实施例提供一种计算机可读存储介质，该计算机可读存储介质中存储有计算机程序，计算机程序被执行时实现上述任一实施例提供的身份认证方法。
214.根据本实施例的计算机可读存储介质，通过在身份认证开始时，确定第一验证信息，其中，第一验证信息至少包括发送端的第一随机数；将第一验证信息发送至接收端设备，以使接收端设备根据第一验证信息中的发送端的第一随机数、接收端的第一随机数确定第二验证信息，其中，接收端的第一随机数是接收端设备在第一验证信息通过验证的情况下生成的；接收接收端设备返回的第二验证信息，其中，第二验证信息包括发送端的第二随机数；若发送端的第一随机数和发送端的第二随机数相同，则将发送端的第一随机数删除，并根据接收端设备的第一随机数生成第三验证信息，将第三验证信息发送至接收端设备，以使接收端设备对第三验证信息中的接收端设备的第一随机数进行验证，通过在发送
端设备和接收端设备生成随机数，然后将在双方认证通过后，将随机数删除，当有第三方监听数据，截获发送端设备的数据，并将数据发送给接收端设备，接收端设备解析数据包，发现数据包中的随机数与自己的随机数不一致，第三方攻击失败，这样，可以达到抗重放的目的。
215.本发明再一实施例提供一种终端设备，用于执行上述实施例提供的身份认证方法。
216.图10是本发明的一种终端设备的结构示意图，如图10所示，该终端设备包括：至少一个处理器1001和存储器1002；
217.存储器存储计算机程序；至少一个处理器执行存储器存储的计算机程序，以实现上述实施例提供的身份认证方法。
218.本实施例提供的终端设备，通过在身份认证开始时，确定第一验证信息，其中，第一验证信息至少包括发送端的第一随机数；将第一验证信息发送至接收端设备，以使接收端设备根据第一验证信息中的发送端的第一随机数、接收端的第一随机数确定第二验证信息，其中，接收端的第一随机数是接收端设备在第一验证信息通过验证的情况下生成的；接收接收端设备返回的第二验证信息，其中，第二验证信息包括发送端的第二随机数；若发送端的第一随机数和发送端的第二随机数相同，则将发送端的第一随机数删除，并根据接收端设备的第一随机数生成第三验证信息，将第三验证信息发送至接收端设备，以使接收端设备对第三验证信息中的接收端设备的第一随机数进行验证，通过在发送端设备和接收端设备生成随机数，然后将在双方认证通过后，将随机数删除，当有第三方监听数据，截获发送端设备的数据，并将数据发送给接收端设备，接收端设备解析数据包，发现数据包中的随机数与自己的随机数不一致，第三方攻击失败，这样，可以达到抗重放的目的。
219.本技术又一实施例提供一种计算机可读存储介质，该计算机可读存储介质中存储有计算机程序，计算机程序被执行时实现上述任一实施例提供的身份认证方法。
220.根据本实施例的计算机可读存储介质，通过在身份认证开始时，确定第一验证信息，其中，第一验证信息至少包括发送端的第一随机数；将第一验证信息发送至接收端设备，以使接收端设备根据第一验证信息中的发送端的第一随机数、接收端的第一随机数确定第二验证信息，其中，接收端的第一随机数是接收端设备在第一验证信息通过验证的情况下生成的；接收接收端设备返回的第二验证信息，其中，第二验证信息包括发送端的第二随机数；若发送端的第一随机数和发送端的第二随机数相同，则将发送端的第一随机数删除，并根据接收端设备的第一随机数生成第三验证信息，将第三验证信息发送至接收端设备，以使接收端设备对第三验证信息中的接收端设备的第一随机数进行验证，通过在发送端设备和接收端设备生成随机数，然后将在双方认证通过后，将随机数删除，当有第三方监听数据，截获发送端设备的数据，并将数据发送给接收端设备，接收端设备解析数据包，发现数据包中的随机数与自己的随机数不一致，第三方攻击失败，这样，可以达到抗重放的目的。
221.本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。
222.本领域内的技术人员应明白，本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此，本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和
硬件方面的实施例的形式。而且，本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd
‑
rom、光学存储器等)上实施的计算机程序产品的形式。
223.本发明实施例是参照根据本发明实施例的方法、电子设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理电子设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理电子设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
224.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理电子设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
225.这些计算机程序指令也可装载到计算机或其他可编程数据处理电子设备上，使得在计算机或其他可编程电子设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程电子设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
226.尽管已描述了本发明实施例的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
227.最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者电子设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者电子设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者电子设备中还存在另外的相同要素。
228.以上对本发明所提供的一种身份认证方法和一种身份认证装置，进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。