CN101159639B - 一种单向接入认证方法 - Google Patents

一种单向接入认证方法 Download PDF

Info

Publication number
CN101159639B
CN101159639B CN200710019023A CN200710019023A CN101159639B CN 101159639 B CN101159639 B CN 101159639B CN 200710019023 A CN200710019023 A CN 200710019023A CN 200710019023 A CN200710019023 A CN 200710019023A CN 101159639 B CN101159639 B CN 101159639B
Authority
CN
China
Prior art keywords
entity
key
field
identity
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN200710019023A
Other languages
English (en)
Other versions
CN101159639A (zh
Inventor
庞辽军
曹军
铁满霞
黄振海
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Iwncomm Co Ltd
Original Assignee
China Iwncomm Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Iwncomm Co Ltd filed Critical China Iwncomm Co Ltd
Priority to CN200710019023A priority Critical patent/CN101159639B/zh
Publication of CN101159639A publication Critical patent/CN101159639A/zh
Priority to KR1020107012237A priority patent/KR101127250B1/ko
Priority to RU2010122598/08A priority patent/RU2454811C2/ru
Priority to JP2010532413A priority patent/JP5399404B2/ja
Priority to EP08854091A priority patent/EP2209254A1/en
Priority to US12/741,567 priority patent/US8578164B2/en
Priority to PCT/CN2008/072979 priority patent/WO2009067901A1/zh
Application granted granted Critical
Publication of CN101159639B publication Critical patent/CN101159639B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0847Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving identity based encryption [IBE] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明涉及一种单向接入认证方法,该方法包括以下步骤:1)第二实体发送认证请求及密钥分发分组给第一实体,由第一实体验证第二实体发送的消息是否有效,如果有效,进行步骤2);2)由第一实体生成认证及密钥响应分组发送给第二实体,由第二实体验证第一实体发送的消息是否有效,如果有效,由第二实体生成认证及密钥确认分组发给第一实体;3)当第一实体收到认证及密钥确认分组后,认证成功且密钥为协商的主密钥。本发明提供一种实现简单,可进行身份有效性验证的基于身份机制的单向接入认证方法。

Description

一种单向接入认证方法
技术领域
本发明涉及一种单向接入认证方法。
背景技术
对于无线网络来说,如无线局域网或无线城域网等,其安全问题远比有线以太网严重的多。射频识别标签(RFID)同样面临安全问题,在进行安全通信之前,必须有效地解决RFID中读写器和电子标签之间的安全认证及密钥协商问题。在RFID中,由于在一些应用场合中,电子标签性能较差,计算和通信能力弱,这时只需要对电子标签进行单向认证即可,这就需要实现安全且高效的单向认证来解决这个问题。同样,在一些特殊的应用场合中,网络接入点往往只需要对移动终端进行认证,同样需要安全的单向认证协议。
美国IEEE制定了802.11和802.16系列标准来增强无线局域网和无线城域网的安全性,提供移动终端到基站的安全接入。中国在2003年5月和2006年1月颁布了无线局域网国家标准GB15629.11-2003和GB15629.11-2003/XG1-2006,通常称为WAPI协议。
美国IEEE802.11标准采用WEP协议实现无线局域网的安全性,理论及应用都证明WEP协议存在严重的安全漏洞。IEEE虽后提出802.11i标准以缓解WEP的安全漏洞,尽管802.11i标准支持单向认证,但它存在下面的缺点:
1、不能实现接入点对移动终端的直接单向认证。802.11i标准是通过认证服务器来实现对移动终端的单向认证,不能实现接入点对移动终端的直接单向认证。
2、需借助其他安全协议来提高安全性。如,需要在接入点和认证服务器之间借助其它安全协议来建立安全信道。
3、每一个接入点都要和后台认证服务器事先建立一条安全信道,而这条安全信道一般需要手动建立,不利于系统的扩展。
4、安全的可靠性较差。由于每一个接入点都要和认证服务器建立安全信道,该信道的安全性会影响至整个网络系统。
美国IEEE提出的无线城域网标准即IEEE802.16标准,提供了基站对移动终端的单向认证,但它是基于公钥证书和PKI技术的,存在证书传送和证书管理以及公钥验证等问题,不适合性能差的电子标签应用。
IEEE802.16e标准借鉴IEEE802.11i标准改进了方案,但存在以下不足:
1、不能实现移动终端与基站的直接身份鉴别。
2、在基站和认证服务器之间需事先建立安全信道,需借助其他安全协议。
3、密钥管理采用时间同步方式,状态管理复杂。新密钥的启用、禁用都依赖时间判断,在一个分布式系统中维护同步时钟比较复杂。系统状态多,管理复杂。
中国国家标准GB15629.11仅支持双向认证,而不支持单向认证。而且基于数字证书和PKI技术,也存在以下不足:基于数字证书机制,过大的通信和管理负载不适合RFID领域。
而基于身份的公钥机制很显然能够适合RFID领域.在基于身份的公钥机制中,用户的公钥就是由身份信息ID经Hash运算生成的信息,或者,有时也可以直接使用其身份信息,用户不需要管理公钥簿.在认证过程中,也不再需要像传统公钥系统那样进行证书的传递和验证,只需要知道各参与者的身份信息和一些系统参数即可.
然而,基于身份的公钥机制也有自己的缺点,不能灵活地管理实体身份,难以对用户身份进行有效性验证。
发明内容
本发明为解决背景技术中存在的上述技术问题,而提供一种实现简单,可进行身份有效性验证的基于身份机制的单向接入认证方法。
本发明的技术解决方案是:本发明为一种单向接入认证方法,其特殊之处在于:该方法包括以下步骤:
1)第二实体发送认证请求及密钥分发分组给第一实体,由第一实体验证第二实体发送的消息是否有效,如果有效,进行步骤2);
2)由第一实体生成认证及密钥响应分组发送给第二实体,由第二实体验证第一实体发送的消息是否有效,如果有效,由第二实体生成认证及密钥确认分组发给第一实体;
3)当第一实体收到认证及密钥确认分组后,认证成功且密钥为协商的主密钥。
上述步骤2)和步骤3)之间还包括有步骤
21)由第二实体发送身份鉴别请求分组给可信第三方,由可信第三方对第一实体的身份有效性进行判别;
31)由可信第三方根据判别结果生成身份鉴别响应分组发送给第二实体,第二实体根据身份鉴别响应分组验证第一实体的身份是否正确,正确则进至步骤3)。
上述步骤1)之前还包括有通过可信第三方建立系统参数的步骤。
上述系统参数包括:两个q阶的循环群(G1,+)和(G2,·);P为G1的生成元;令e为G1和G2上的双线性变换,即e:G1×G1→G2;可信第三方随机选取自己的私钥
Figure G2007100190237D00031
其对应公钥为QTTP=STTPP∈G1;令EK(M)为对称加密算法。
上述步骤1)中认证请求及密钥分发分组包括以下内容:
  ID1   ID2   N2   SData   Ckey   MIC
其中:
ID1字段:第一实体的身份信息;
ID2字段:第二实体的身份信息;
N2字段:第二实体产生的随机数;
SData字段:该字段计算过程为:第二实体选取一个秘密随机数r,计算SData为r·P;
Ckey字段:表示第二实体要传给第一实体的密钥Key的密文,即Ckey=Ek(Key),这里加密密钥k由r·QTTP·ID1导出,导出的结果一部分作为加密密钥;
MIC字段:表示对该字段之前的所有字段求MIC值,这里完整性校验密钥也是由r·QTTP·ID1导出,导出的结果另一部分作为完整性密钥。
上述步骤1)中在第一实体收到了第二实体发送的认证请求及密钥分发分组后,首先利用SData和自己的私钥S1计算密钥k=r·P·S1,然后由计算结果导出和加密密钥和完整性校验密钥对应的解密密钥和完整性校验密钥,用完整性校验密钥重新计算MIC并与认证及请求分组中的MIC比较,如果不相等,丢弃该分组;否则,利用解密密钥解密Ckey得到密钥Key,并用密钥Key导出一个新的完整性校验密钥,然后进至步骤2)。
上述步骤2)中的认证及密钥响应分组包括以下内容:
  ID1   ID2   N1   N2   MIC
其中:
ID1字段:第一实体的身份信息;
ID2字段:第二实体的身份信息;
N1字段:第一实体产生的随机数;
N2字段:第二实体产生的随机数;
MIC字段:用由Key导出的完整性校验密钥对该字段之前所有字段求MIC所得。
上述步骤2)中的认证及密钥确认分组包括以下内容:
  ID1   ID2   N1   MIC
其中:
ID1字段:第一实体的身份信息;
ID2字段:第二实体的身份信息;
N1字段:第一实体产生的随机数;
MIC字段:用由Key导出的完整性校验密钥对该字段之前所有字段求MIC所得。
上述步骤3)中所述第一实体收到认证及密钥确认分组后,判断N1是否为自己选取的数值,不是则丢弃该消息,如果是,利用新的完整性校验密钥判断MIC是否有效,如果无效,丢弃该分组,如果有效,认证成功且密钥Key为协商的主密钥。
上述步骤21)中的身份鉴别请求分组包括以下内容:
  ID2   TTP   ID1   N1   N2
其中:
ID2字段:第二实体的身份信息;
TTP字段:负责对其他设备身份进行有效性验证的可信第三方;
ID1字段:第一实体的身份信息;
N1字段:第一实体产生的随机数;
N2字段:第二实体产生的随机数。
3)身份鉴别响应:由TTP发送给ID2。
上述31)中的身份鉴别响应分组包括以下内容:
  ID1   ID2   TTP   N1   N2   RES1   SigTTP
其中:
ID1字段:第一实体的身份信息;
ID2字段:第二实体的身份信息;
TTP字段:负责对其他设备身份进行有效性验证的可信第三方
N1字段:第一实体产生的随机数;
N2字段:第二实体产生的随机数;
RES1字段:TTP对第一实体身份的有效性验证结果;
SigTTP字段:TTP对该字段之前所有字段进行的签名,可以是传统的基于PKI的签名,也可以是基于身份的签名。
本发明将身份公钥机制和WAPI的后台身份有效性鉴别机制结合起来,其具有以下优点:
1、维护工作量小。本发明基于身份公钥机制,不需要像传统公钥那样维护公钥基础设施PKI。
2、节约通信开销。在认证过程中无须传送数字证书,节约通信开销。
3、结合WAPI机制的身份鉴别功能,能够避免基于身份公钥机制中难以进行身份有效性验证的缺点;
4、与WAPI不同的是,在身份验证过程的TTP签名中,既可以使用传统公钥算法,也可以使用基于身份的公钥算法,签名实现更为灵活。
5、采用椭圆曲线上的双线性对,能够在不降低安全性的基础上,缩短安全数据的长度,从而大大地提高计算和通信性能。
附图说明
图1为本发明的方法流程示意图。
具体实施方式
本发明的方法是通过一个可信第三方(TTP)来实现,该可信第三方可以是认证服务器或其它可实现认证的设备,可信第三方负责用户实体身份的物理鉴别、系统参数生成以及用户参数建立过程。
参照图1,本发明的具体实现方法如下:
1)首先由可信第三方建立系统参数,该系统参数包括:两个q阶的循环群(G1,+)和(G2,);P为G1的生成元;令e为G1和G2上的双线性变换,即e:G1×G1→G2;可信第三方随机选取自己的私钥其对应公钥为QTTP=STTPP∈G1;令EK(M)为对称加密算法(使用K作为对称加密算法的密钥,对后面的消息M进行加密)。
这里实体用户i的身份IDi为其公钥,其私钥为Si=STTPIDi
该步骤只是在首次应用时来建立系统参数,建立好后,在以后的重复应用中则无须该步骤;
2)第二实体发送认证请求及密钥分发分组给第一实体,由第一实体验证第二实体发送的消息是否有效,如果有效,生成认证及密钥响应分组发送给第二实体;
其中认证请求及密钥分发分组包括以下内容:
  ID1   ID2   N2   SData   Ckey   MIC
其中:
ID1字段:第一实体的身份信息;
ID2字段:第二实体的身份信息;
N2字段:第二实体产生的随机数;
SData字段:该字段计算过程为:第二实体选取一个秘密随机数r,计算SData为r·P;
Ckey字段:表示第二实体要传给第一实体的密钥Key的密文,即Ckey=Ek(Key),这里加密密钥k由r·QTTP·ID1导出,导出的结果一部分作为加密密钥;MIC字段:表示对该字段之前的所有字段求MIC值,这里完整性校验密钥也是由r·QTTP·ID1导出,导出的结果另一部分作为完整性密钥。
当在第一实体收到了第二实体发送的认证请求及密钥分发分组后,首先利用SData和自己的私钥S1计算密钥k=r·P·S1,所述SData是秘密数据;然后由计算结果导出和加密密钥和完整性校验密钥对应的解密密钥和完整性校验密钥,用完整性校验密钥重新计算MIC并与认证及请求分组中的MIC比较,如果不相等,丢弃该分组;否则,利用解密密钥解密Ckey得到密钥Key,并用密钥Key导出一个新的完整性校验密钥,然后进至步骤3)。
3)由第一实体生成认证及密钥响应分组发送给第二实体,由第二实体验证第一实体发送的消息是否有效,如果有效,由第二实体生成认证及密钥确认分组发给第一实体;
其中认证及密钥响应分组包括以下内容:
  ID1   ID2   N1   N2   MIC
其中:
ID1字段:第一实体的身份信息;
ID2字段:第二实体的身份信息;
N1字段:第一实体产生的随机数;
N2字段:第二实体产生的随机数;
MIC字段:用由Key导出的完整性校验密钥对该字段之前所有字段求MIC所得。
4)当第一实体收到认证及密钥确认分组后,认证成功且密钥为协商的主密钥。
其中认证及密钥确认分组包括以下内容:
  ID1   ID2   N1   MIC
其中:
ID1字段:第一实体的身份信息;
ID2字段:第二实体的身份信息;
N1字段:第一实体产生的随机数;
MIC字段:用由Key导出的完整性校验密钥对该字段之前所有字段求MIC所得。
第一实体收到认证及密钥确认分组后,判断N1是否为自己选取的数值,不是则丢弃该消息,如果是,利用新的完整性校验密钥判断MIC是否有效,如果无效,丢弃该分组,如果有效,认证成功且密钥Key为协商的主密钥。
为进一步提高安全性,当第二实体收到第一实体发送的认证及密钥响应分组后,如果需要对第一实体进行身份有效性验证,则本发明的步骤3)和步骤4)之间还包括有步骤:
21)由第二实体发送身份鉴别请求分组给可信第三方,由可信第三方对第一实体的身份有效性进行判别;
其中身份鉴别请求分组包括以下内容:
  ID2   TTP   ID1   N1   N2
其中:
ID2字段:第二实体的身份信息;
TTP字段:负责对其他设备身份进行有效性验证的可信第三方;
ID1字段:第一实体的身份信息;
N1字段:第一实体产生的随机数;
N2字段:第二实体产生的随机数。
31)由可信第三方根据判别结果生成身份鉴别响应分组发送给第二实体,第二实体根据身份鉴别响应分组验证第一实体的身份是否正确,正确则进至步骤3)。
其中身份鉴别响应分组包括以下内容:
 ID1   ID2   TTP   N1   N2   RES1   SigTTP
其中:
ID1字段:第一实体的身份信息;
ID2字段:第二实体的身份信息;
TTP字段:负责对其他设备身份进行有效性验证的可信第三方
N1字段:第一实体产生的随机数;
N2字段:第二实体产生的随机数;
RES1字段:TTP对第一实体身份的有效性验证结果;
SigTTP字段:TTP对该字段之前所有字段进行的签名,可以是传统的基于PKI的签名,也可以是基于身份的签名。
当可信第三方收到第二实体发送的身份鉴别请求后,对第一实体的身份进行验证,并将验证结果封装在身份鉴别响应分组中,发送给第二实体。该份鉴别响应分组和身份鉴别请求分组成对出现。
通过身份鉴别响应分组中RES1字段:该字段ID2可以判断ID1的身份有效性。
通过以上过程,实现了第二实体对第一实体的单向认证,并建立共享的主密钥Key。
本发明应用在RFID网络中时,第二实体即为读写器,第一实体即为电子标签,以解决RFID网络中读写器对电子标签认证问题,并由读写器为电子标签分发共享密钥:即实现读写器对电子标签的认证,并产生共享的主密钥。
本发明应用在无线局域网中时,第二实体即为接入点,第一实体即为移动终端,以解决无线局域网中接入点对移动终端认证问题,并由接入点为移动终端分发共享密钥:即实现接入点对移动终端的认证,并产生共享的主密钥。
本发明应用在无线城域网中时,第二实体即为基站,第一实体即为移动终端,以解决无线城域网中基站对移动终端认证问题,并由基站为移动终端分发共享密钥:即实现基站对移动终端的认证,并产生共享的主密钥。
名词解释:
ID1和ID2:第一实体或第二实体的身份;
N1和N2:一次性随机数;
Key:协商的主密钥;
SigTTP:TTP的数字签名;
MIC:完整性校验码。

Claims (7)

1.一种单向接入认证方法,其特征在于:该方法包括以下步骤:
1)第二实体发送认证请求及密钥分发分组给第一实体,第一实体收到了第二实体发送的认证请求及密钥分发分组后,首先利用SData和自己的私钥S1计算密钥k=r·P·S1,所述Sdata是秘密数据;然后由计算结果导出与加密密钥及其完整性校验密钥对应的解密密钥及其完整性校验密钥,用解密密钥的完整性校验密钥重新计算完整性效验码MIC并与认证及请求分组中的完整性效验码MIC比较,如果不相等,丢弃该分组;否则,利用解密密钥解密Ckey得到密钥Key,并用密钥Key导出一个新的完整性校验密钥,然后进至步骤2);
所述认证请求及密钥分发分组包括以下内容:
  ID1   ID2   N2   SData   Ckey   MIC
其中:
ID1字段:第一实体的身份信息;
ID2字段:第二实体的身份信息;
N2字段:第二实体产生的随机数;
SData字段:该字段计算过程为:第二实体选取一个秘密随机数r,计算SData为r·P;
Ckey字段:表示第二实体要传给第一实体的密钥Key的密文,即Ckey=Ek(Key),这里加密密钥k由r·QTTP·ID1导出,导出的结果一部分作为加密密钥;
MIC字段:表示对该字段之前的所有字段求MIC值,这里完整性校验密钥也是由r·QTTP·ID1导出,导出的结果另一部分作为完整性密钥;
2)第一实体生成认证及密钥响应分组发送给第二实体,第二实体验证第一实体发送的消息是否有效,如果有效,第二实体生成认证及密钥确认分组发给第一实体;
所述认证及密钥响应分组包括以下内容:
  ID1   ID2   N1   N2   MIC
其中:
ID1字段:第一实体的身份信息;
ID2字段:第二实体的身份信息;
N1字段:第一实体产生的随机数;
N2字段:第二实体产生的随机数;
MIC字段:用由Key导出的完整性校验密钥对该字段之前所有字段求MIC所得;
所述认证及密钥确认分组包括以下内容:
  ID1   ID2   N1   MIC
其中:
ID1字段:第一实体的身份信息;
ID2字段:第二实体的身份信息;
N1字段:第一实体产生的随机数;
MIC字段:用由Key导出的完整性校验密钥对该字段之前所有字段求MIC所得;
3)当第一实体收到认证及密钥确认分组后,认证成功且密钥为协商的主密钥。
2.根据权利要求1所述的单向接入认证方法,其特征在于:所述步骤2)和步骤3)之间还包括有步骤
21)由第二实体发送身份鉴别请求分组给可信第三方TTP,由可信第三方TTP对第一实体的身份有效性进行判别;
31)由可信第三方TTP根据判别结果生成身份鉴别响应分组发送给第二实体,第二实体根据身份鉴别响应分组验证第一实体的身份是否正确,正确则进至步骤3)。
3.根据权利要求1或2所述的单向接入认证方法,其特征在于:所述步骤1)之前还包括有通过可信第三方TTP建立系统参数的步骤。
4.根据权利要求3所述的单向接入认证方法,其特征在于:所述系统参数包括:可信第三方TTP随机选取的两个q阶的循环群(G1,+)和(G2,·);P为G1的生成元;令e为G1和G2上的双线性变换,即e:G1×G1→G2;可信第三方随机选取自己的私钥
Figure F2007100190237C00021
其对应公钥为QTTP=STTPP∈G1;令EK(M)为对称加密算法,其中Zq *是可信第三方TTP随机选取的q阶乘法群,STTP是可信第三方为自己随机选取的私钥。
5.根据权利要求1所述的单向接入认证方法,其特征在于:所述步骤3)中所述第一实体收到认证及密钥确认分组后,判断N1是否为自己选取的数值,不是则丢弃该消息,如果是,利用新的完整性校验密钥判断MIC是否有效,如果无效,丢弃该分组,如果有效,认证成功且密钥Key为协商的主密钥。
6.根据权利要求2所述的单向接入认证方法,其特征在于:所述步骤21)中的身份鉴别请求分组包括以下内容:
  ID2   TTP   ID1   N1   N2
其中:
ID2字段:第二实体的身份信息;
TTP字段:负责对其他设备身份进行有效性验证的可信第三方;
ID1字段:第一实体的身份信息;
N1字段:第一实体产生的随机数;
N2字段:第二实体产生的随机数。
3)身份鉴别响应:由TTP发送给认证者ID2。
7.根据权利要求10所述的单向接入认证方法,其特征在于:所述31)中的身份鉴别响应分组包括以下内容:
  ID1   ID2   TTP   N1   N2   RES1   SigTTP
其中:
ID1字段:第一实体的身份信息;
ID2字段:第二实体的身份信息;
TTP字段:负责对其他设备身份进行有效性验证的可信第三方
N1字段:第一实体产生的随机数;
N2字段:第二实体产生的随机数;
RES1字段:TTP对第一实体身份的有效性验证结果;
SigTTP字段:TTP对该字段之前所有字段进行的签名,可以是传统的基于PKI的签名,也可以是基于身份的签名。
CN200710019023A 2007-11-08 2007-11-08 一种单向接入认证方法 Expired - Fee Related CN101159639B (zh)

Priority Applications (7)

Application Number Priority Date Filing Date Title
CN200710019023A CN101159639B (zh) 2007-11-08 2007-11-08 一种单向接入认证方法
KR1020107012237A KR101127250B1 (ko) 2007-11-08 2008-11-07 일-방향 액세스 인증 방법
RU2010122598/08A RU2454811C2 (ru) 2007-11-08 2008-11-07 Способ аутентификации при одностороннем доступе
JP2010532413A JP5399404B2 (ja) 2007-11-08 2008-11-07 一方向アクセス認証の方法
EP08854091A EP2209254A1 (en) 2007-11-08 2008-11-07 A method of one-way access authentication
US12/741,567 US8578164B2 (en) 2007-11-08 2008-11-07 Method of one-way access authentication
PCT/CN2008/072979 WO2009067901A1 (fr) 2007-11-08 2008-11-07 Procédé d'authentification d'accès unidirectionnelle

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN200710019023A CN101159639B (zh) 2007-11-08 2007-11-08 一种单向接入认证方法

Publications (2)

Publication Number Publication Date
CN101159639A CN101159639A (zh) 2008-04-09
CN101159639B true CN101159639B (zh) 2010-05-12

Family

ID=39307566

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200710019023A Expired - Fee Related CN101159639B (zh) 2007-11-08 2007-11-08 一种单向接入认证方法

Country Status (7)

Country Link
US (1) US8578164B2 (zh)
EP (1) EP2209254A1 (zh)
JP (1) JP5399404B2 (zh)
KR (1) KR101127250B1 (zh)
CN (1) CN101159639B (zh)
RU (1) RU2454811C2 (zh)
WO (1) WO2009067901A1 (zh)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101159639B (zh) * 2007-11-08 2010-05-12 西安西电捷通无线网络通信有限公司 一种单向接入认证方法
CN100495964C (zh) 2007-12-03 2009-06-03 西安西电捷通无线网络通信有限公司 一种轻型接入认证方法
CN102006671B (zh) * 2009-08-31 2014-06-18 中兴通讯股份有限公司 一种实现来电转接的系统及方法
JP5206992B2 (ja) * 2009-12-25 2013-06-12 日本電気株式会社 認証システム、認証装置、端末装置、認証方法、及びプログラム
DE102010011022A1 (de) * 2010-03-11 2012-02-16 Siemens Aktiengesellschaft Verfahren zur sicheren unidirektionalen Übertragung von Signalen
US8842833B2 (en) * 2010-07-09 2014-09-23 Tata Consultancy Services Limited System and method for secure transaction of data between wireless communication device and server
CN101925060A (zh) * 2010-08-27 2010-12-22 西安西电捷通无线网络通信股份有限公司 一种资源受限网络的实体鉴别方法及系统
JP5664637B2 (ja) 2012-12-07 2015-02-04 トヨタ自動車株式会社 車体前部構造
CN104954130B (zh) 2014-03-31 2019-08-20 西安西电捷通无线网络通信股份有限公司 一种实体鉴别方法及装置
JP2017004133A (ja) * 2015-06-08 2017-01-05 株式会社リコー サービス提供システム、情報処理システム、情報処理装置、サービス提供方法、及びプログラム
US9979711B2 (en) * 2015-06-26 2018-05-22 Cisco Technology, Inc. Authentication for VLAN tunnel endpoint (VTEP)
EP3386140B1 (en) * 2015-12-31 2020-08-26 Huawei Technologies Co., Ltd. Data transmission method, apparatus and device
CN111523154B (zh) * 2020-03-20 2021-03-02 北京元心科技有限公司 用于取得硬件唯一标识的方法、系统及相应计算机设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1767429A (zh) * 2004-10-29 2006-05-03 大唐移动通信设备有限公司 移动通信用户认证与密钥协商方法
CN1949709A (zh) * 2006-09-23 2007-04-18 西安西电捷通无线网络通信有限公司 一种网络接入鉴别与授权方法以及授权密钥更新方法
US20070234410A1 (en) * 2006-03-31 2007-10-04 Geller Alan S Enhanced security for electronic communications

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2870163B2 (ja) * 1990-09-07 1999-03-10 松下電器産業株式会社 認証機能付き鍵配送方式
WO1998011689A2 (de) * 1996-09-13 1998-03-19 Temic Telefunken Microelectronic Gmbh Verfahren zur kryptologischen authentifizierung in einem radiofrequenz-identifikations-system
US6986040B1 (en) * 2000-11-03 2006-01-10 Citrix Systems, Inc. System and method of exploiting the security of a secure communication channel to secure a non-secure communication channel
KR20010079161A (ko) 2001-06-19 2001-08-22 김영진 무선통신환경에서 인증서를 사용한 장치 인증 및 통신암호 키 분배 방법
US7698550B2 (en) * 2002-11-27 2010-04-13 Microsoft Corporation Native wi-fi architecture for 802.11 networks
US20060155993A1 (en) * 2003-02-21 2006-07-13 Axel Busboon Service provider anonymization in a single sign-on system
US7499548B2 (en) * 2003-06-24 2009-03-03 Intel Corporation Terminal authentication in a wireless network
JP2006025298A (ja) 2004-07-09 2006-01-26 Oki Electric Ind Co Ltd 相互認証方法、相互認証装置、及び相互認証システム
US8099607B2 (en) * 2005-01-18 2012-01-17 Vmware, Inc. Asymmetric crypto-graphy with rolling key security
CN100389555C (zh) * 2005-02-21 2008-05-21 西安西电捷通无线网络通信有限公司 一种适合有线和无线网络的接入认证方法
US9660808B2 (en) * 2005-08-01 2017-05-23 Schneider Electric It Corporation Communication protocol and method for authenticating a system
CN1777102B (zh) * 2005-11-25 2010-09-08 中国移动通信集团公司 软件终端接入ip多媒体子系统的装置及方法
CN101159639B (zh) * 2007-11-08 2010-05-12 西安西电捷通无线网络通信有限公司 一种单向接入认证方法
CN101640893B (zh) * 2009-09-09 2011-12-21 中国电信股份有限公司 解决高层建筑码分多址信号导频污染的方法和系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1767429A (zh) * 2004-10-29 2006-05-03 大唐移动通信设备有限公司 移动通信用户认证与密钥协商方法
US20070234410A1 (en) * 2006-03-31 2007-10-04 Geller Alan S Enhanced security for electronic communications
CN1949709A (zh) * 2006-09-23 2007-04-18 西安西电捷通无线网络通信有限公司 一种网络接入鉴别与授权方法以及授权密钥更新方法

Also Published As

Publication number Publication date
WO2009067901A1 (fr) 2009-06-04
RU2010122598A (ru) 2011-12-20
RU2454811C2 (ru) 2012-06-27
CN101159639A (zh) 2008-04-09
US20100268954A1 (en) 2010-10-21
JP2011504318A (ja) 2011-02-03
US8578164B2 (en) 2013-11-05
JP5399404B2 (ja) 2014-01-29
KR20100076058A (ko) 2010-07-05
KR101127250B1 (ko) 2012-03-29
EP2209254A1 (en) 2010-07-21

Similar Documents

Publication Publication Date Title
CN101159639B (zh) 一种单向接入认证方法
Wang et al. HDMA: Hybrid D2D message authentication scheme for 5G-enabled VANETs
CN100488099C (zh) 一种双向接入认证方法
KR101485230B1 (ko) 안전한 멀티 uim 인증 및 키 교환
CN100581169C (zh) 一种基于单播会话密钥的组播密钥分发方法及其更新方法
Park A secure and efficient ecqv implicit certificate issuance protocol for the internet of things applications
CN1929371B (zh) 用户和外围设备协商共享密钥的方法
EP3469763B1 (en) A method for unified network and service authentication based on id-based cryptography
CN101814991B (zh) 基于身份的双向认证方法及系统
JP2002532985A (ja) 改良された加入者認証プロトコル
CN109905877B (zh) 通信网络系统的消息验证方法、通信方法和通信网络系统
CN103491540A (zh) 一种基于身份凭证的无线局域网双向接入认证系统及方法
CN110087240B (zh) 基于wpa2-psk模式的无线网络安全数据传输方法及系统
CN111416715A (zh) 基于秘密共享的量子保密通信身份认证系统及方法
CN100495964C (zh) 一种轻型接入认证方法
CN101192927B (zh) 基于身份保密的授权与多重认证方法
US20020199102A1 (en) Method and apparatus for establishing a shared cryptographic key between energy-limited nodes in a network
CN105450623A (zh) 一种电动汽车的接入认证方法
CN111416712B (zh) 基于多个移动设备的量子保密通信身份认证系统及方法
KR100658301B1 (ko) 무선통신시스템에서의 공개키 기반 상호 인증 방법
CN113676448B (zh) 一种基于对称秘钥的离线设备双向认证方法和系统
CN101364865A (zh) 一种无线城域网组播密钥管理方法
CN116599659B (zh) 无证书身份认证与密钥协商方法以及系统
Chen et al. Provable secure group key establishment scheme for fog computing
CN101521884A (zh) 一种自组网模式下安全关联建立方法及终端

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C56 Change in the name or address of the patentee

Owner name: XI'AN IWNCOMM CO., LTD.

Free format text: FORMER NAME: XIDIAN JIETONG WIRELESS NETWORK COMMUNICATION CO LTD, XI'AN

CP01 Change in the name or title of a patent holder

Address after: High tech Zone technology two road 710075 Shaanxi city of Xi'an Province, No. 68 Xi'an Software Park A201

Patentee after: CHINA IWNCOMM Co.,Ltd.

Address before: High tech Zone technology two road 710075 Shaanxi city of Xi'an Province, No. 68 Xi'an Software Park A201

Patentee before: CHINA IWNCOMM Co.,Ltd.

EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20080409

Assignee: SHENZHEN M&W SMART CARD CO.,LTD.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: 2018610000008

Denomination of invention: One-way access authentication method

Granted publication date: 20100512

License type: Common License

Record date: 20180319

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20080409

Assignee: SHENZHEN M&W SMART CARD CO.,LTD.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: 2018610000009

Denomination of invention: One-way access authentication method

Granted publication date: 20100512

License type: Common License

Record date: 20180320

Application publication date: 20080409

Assignee: SHENZHEN M&W SMART CARD CO.,LTD.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: 2018610000010

Denomination of invention: One-way access authentication method

Granted publication date: 20100512

License type: Common License

Record date: 20180322

EE01 Entry into force of recordation of patent licensing contract
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20100512

Termination date: 20211108

CF01 Termination of patent right due to non-payment of annual fee