CN101179380A

CN101179380A - 一种双向认证方法、系统及网络终端

Info

Publication number: CN101179380A
Application number: CN200710177632.5A
Authority: CN
Inventors: 曹珍富; 董晓蕾; 陆荣幸; 柴震川; 位继伟
Original assignee: Huawei Technologies Co Ltd; Shanghai Jiaotong University
Current assignee: Huawei Technologies Co Ltd; Shanghai Jiaotong University
Priority date: 2007-11-19
Filing date: 2007-11-19
Publication date: 2008-05-14
Also published as: US20090307492A1; WO2009065356A1; EP2106090A4; EP2106090A1

Abstract

本发明公开了一种双向认证方法、系统及网络终端，属于网络信息安全领域。所述方法包括：根据网络终端标识，生成网络终端的公钥、私钥；第一网络终端向第二网络终端发送认证请求；第二网络终端返回认证响应，第一网络终端和第二网络终端通过判断检验参数是否相等进行相互认证。所述系统包括：网络密钥分发器、第一网络终端和第二网络终端。本发明将基于身份的密码学结合起来应用于可信互联网络平台上，设备的身份就是公钥，无需额外的证书，避免了由于验证证书而带来的额外计算量，提高了系统的安全性和可靠性，使得密钥管理简单化。

Description

一种双向认证方法、系统及网络终端

技术领域

本发明涉及网络信息安全领域，特别涉及一种双向认证方法、系统及网络终端。

背景技术

对于大多数系统、应用网络的设计者与开发者而言，安全问题始终是一个极具挑战的关键性问题。不管是普通的PC系统还是企业的网关系统，各种攻击以及未授权的访问很容易导致关键数据丢失，造成不可估量的损失。

2003年4月8日可信计算组(TCG，Trusted Computing Group)成立。作为一个工业界接受的标准化组织，TCG在硬件上设计了可信硬件的基本构造模块，在软件上开发了可信软件以抵抗各种虚拟或物理上的攻击。现在，实现这些标准的产品可以很容易的应用于嵌入式设计之中。

可信平台模块(TPM，Platform Module)是可信计算的基础。通常，TPM是一片附着于某个设备上的微小硅片，即一个带密码运算功能的安全微控制器，通过LPC(Low Pin Count，少针脚型接口)总线与PC芯片集结合在一起。其主要任务包括以下四个方面：1.存贮各类保密信息，例如口令、证书、密钥信息等，以防止各类软件攻击；2.通过硬件随机数发生器生成高质量的密钥；3.在单元内部进行私钥处理；4.存贮软件完整性相关的标准信息，用于评估各类执行软件的完整性。

TPM作为可信计算的基础，不仅可以应用于普通PC和其它计算设备中，同时也可以应用于互联网络中。通过在每一个网络终端设备上植入TPM，从而建造可信互联网络平台。

通信双方的相互认证以及密钥协商是可信互联网络的基础，由于现有的TPM模块均是以基于PKI(Public Key Infrastructure，公开密钥体系)的密码体制实现认证的，需要额外的数字证书将平台的公钥和平台的身份(比如编号等等)绑定，使得在对平台的验证过程中，需要额外地对证书进行验证，并且证书的传输也需占用额外的网络带宽，对于证书的管理也非常复杂，需要网络对PKI的支持。

发明内容

为了使可信互联网平台的认证过程更为简单、可靠，本发明实施例结合身份的密码学，提供了一种双向认证方法、系统及网络终端。所述技术方案如下：

一种双向认证方法，所述方法包括：

根据网络终端标识，生成网络终端的公钥、私钥；

第一网络终端向第二网络终端发送认证请求；

所述第二网络终端根据第一网络终端的公钥和第二网络终端的私钥生成第一检验参数，并将包含所述第一检验参数的认证响应返回给所述第一网络终端；

所述第一网络终端根据第二网络终端的公钥和第一网络终端的私钥生成第二检验参数，根据所述第一检验参数和所述第二检验参数对所述第二网络终端进行验证；

根据第二网络终端的公钥和第一网络终端的私钥生成第三检验参数，并将所述第三检验参数返回给所述第二网络终端；

所述第二网络终端根据第一网络终端的公钥和第二网络终端的私钥生成第四检验参数，根据所述第三检验参数和所述第四检验参数对所述第一网络终端进行验证。

一种双向认证系统，所述系统包括：网络密钥分发器、第一网络终端和第二网络终端；

所述网络密钥分发器用于生成系统参数和群组密钥、根据网络终端标识，生成所述网络终端的私钥；

所述第一网络终端用于根据网络终端标识，生成所述网络终端的公钥；还用于根据第二网络终端的公钥和第一网络终端的私钥生成第二检验参数，根据所述第一检验参数和所述第二检验参数对所述第二网络终端进行验证；根据第二网络终端的公钥和第一网络终端的私钥生成第三检验参数，并将所述第三检验参数返回给所述第二网络终端；

所述第二网络终端用于根据网络终端的身份，生成所述网络终端的公钥；还用于根据第一网络终端的公钥和第二网络终端的私钥生成第一检验参数，并将包含所述第一检验参数的认证响应返回给所述第一网络终端；根据第一网络终端的公钥和第二网络终端的私钥生成第四检验参数，根据所述第三检验参数和所述第四检验参数对所述第一网络终端进行验证。

一种网络终端，所述网络终端包括：

公私钥生成模块，用于根据网络终端标识生成所述网络终端的公钥、私钥；

认证请求发送模块，用于向对端网络终端发送认证请求；

第一认证模块，用于根据对端网络终端的公钥和本端网络终端的私钥生成第二检验参数，根据对端网络终端发送的第一检验参数和所述第二检验参数对对端网络终端进行验证；根据对端网络终端的公钥和本端网络终端的私钥生成第三检验参数，并将所述第三检验参数返回给所述对端网络终端。

一种网络终端，所述网络终端包括：

公私钥生成模块，用于根据网络终端标识生成网络终端的公钥、私钥；

认证响应发送模块，用于根据对端网络终端的公钥和本端网络终端的私钥生成第一检验参数，并将包含所述第一检验参数的认证响应返回给所述对端网络终端；

第二认证模块，用于根据对端网络终端的公钥和本端网络终端的私钥生成第四检验参数，根据对端网络终端发送的第三检验参数和所述第四检验参数对对端网络终端进行验证。

本发明实施例将基于身份的密码学结合起来应用于可信互联网络平台上，设备的身份就是公钥，无需额外的证书，避免了由于验证证书而带来的额外计算量，经过部署后，网络就可以直接进行相互认证和密钥协商。

附图说明

图1是本发明实施例1提供的双向认证方法流程图；

图2是本发明实施例2提供的双向认证系统示意图；

图3是本发明实施例3提供的网络终端示意图；

图4是本发明实施例4提供的网络终端示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

本发明实施例提供的技术方案将TPM与基于身份的密码学结合起来，基于椭圆曲线双线性配对技术，提出了一种双向认证方法、系统及网络终端。

首先定义如下参数：

设G₁为一个循环加法群，G₂为一个循环乘法群，并且它们具有相同的素数阶q。e：G₁×G₁→G₂为一个双线性映射，它具有以下三个性质：

双线性：对于任何P，Q∈G₁和

a, b &Element; Z_{q}^{*},

我们有e(aP，bQ)＝e(P，Q)^ab。其中Z_q ^*是小于q并与q互素的所有正整数构成的集合。

非退化性：存在p∈G₁，Q∈G₁，满足e(P，Q)≠1。

可计算性：对于任何P，Q∈G₁，存在多项式时间算法计算e(P，Q)。

假设G₁为Gap Diffie-Hellman群，即G₁中计算性Diffie-Hellman问题困难，而判定性Diffie-Hellman问题容易。这样，系统公开参数为{G₁，G₂，q，P}。

再进行系统初始化：

可信网络密钥分发器首先根据安全参数1^k生成系统参数：

<q，G₁，G₂，e，s，P，P_pub＝sP，H₁，H₂，H₃>。

其中，q为素数，G₁和G₂分别为以素数q为阶的循环加法群和循环乘法群；e：G₁×G₁→G₂为一个双线性映射；s为从群Z_q ^*中随机选取的值，作为可信网络密钥分发器的私钥；P为群G₁的生成元；而P_pub＝sP作为对应的系统公钥；H₁：{0，1}^*→G₁，H₂：{0，1}^*→{0，1}^l，H₃：{0，1}^*→{0，1}^l为密码学哈希函数，其中l为另一安全参数，k为比特长度。

另外，可信网络密钥分发器生成一个可信群组密钥SK_TG。在整个系统中，每一个网络终端可以通过H₁：{0，1}^*→G₁与对方唯一标识ID_I，计算对方的公钥Q_I＝H₁(ID_I)∈G₁。

TPM进行密钥分发，建立可信网络终端。当一个网络终端成为可信网络终端的时候，可信网络密钥分发器首先根据终端标识ID_I生成对应的终端私钥S_I＝sH₁(ID_I)。然后将系统参数<q，G₁，G₂，e，s，P，P_pub＝sP，H₁，H₂，H₃>，终端私钥S_I以及可信群组密钥SK_TG注入可信平台模块TPM中，并将TPM嵌入到网络终端中，从而建立可信网络终端。

可信群组密钥SK_TG通过TPM分发给每一个网络终端，从而实现可信网络终端之间的互相认证。对于可信群组以外的终端，由于不知道该可信群组密钥，因此不能对互相认证作用。可信网络平台上的两个可信网络终端要进行安全通信时，进行双向认证并建立安全会话密钥。

参见图1，本发明实施例提供了一种可信网络平台上的双向认证方法，根据网络终端标识，生成网络终端的公钥、私钥；第一网络终端向第二网络终端发送认证请求；第二网络终端根据第一网络终端的公钥和第二网络终端的私钥生成第一检验参数，并将包含第一检验参数的认证响应返回给第一网络终端；第一网络终端根据第二网络终端的公钥和第一网络终端的私钥生成第二检验参数，根据第一检验参数和第二检验参数对第二网络终端进行验证；根据第二网络终端的公钥和第一网络终端的私钥生成第三检验参数，并将第三检验参数返回给第二网络终端；第二网络终端根据第一网络终端的公钥和第二网络终端的私钥生成第四检验参数，根据第三检验参数和第四检验参数对第一网络终端进行验证。下面以第一网络终端和第二网络终端分别为第一可信网络终端NT-A和第二可信网络终端NT-B进行网络安全通信为例，进行详细说明，具体包括以下步骤：

步骤101：计算第一可信网络终端NT-A的公钥为Q_A＝H₁(ID_A)，对应的第一可信网络终端NT-A私钥为S_A＝sH₁(ID_A)，以及第二可信网络终端NT-B的公钥为Q_B＝H₁(ID_B)，对应的第二可信网络终端NT-B私钥为S_B＝sH₁(ID_B)。

其中，第一可信网络终端NT-A的身份标识是ID_A，可信网络终端NT-B的身份标识是ID_B

步骤102：第一可信网络终端NT-A选取一个随机数

r_{A} &Element; Z_{q}^{*},

称为第一随机数，计算第一请求数据r_AP，发送认证请求(ID_A，r_AP)给第二可信网络终端NT-B。

步骤103：第二可信网络终端NT-B认证请求(ID_A，r_AP)之后，选择另一个随机数

r_{B} &Element; Z_{q}^{*},

称为第二随机数，计算第二请求数据r_BP，将收到的认证请求中携带的第一可信网络终端NT-A身份标识ID_A和第二可信网络终端NT-B身份标识ID_B毗连，得到的第一毗连值，第一请求数据r_AP，第二请求数据r_BP，第一请求数据和第二随机数的乘积，将第一可信网络终端的公钥Q_A和第二可信网络终端的私钥S_B通过双线性配对映射成循环乘法群中的元素，生成的第一映射值，和可信群组密钥进行哈希运算，得到第一检验参数

K_B＝H₂(ID_A‖ID_B，r_AP，r_BP，r_Ar_BP，e(Q_A，S_B)，SK_TG)。

其中，将会话中所有协商用的数据作为哈希函数的输入，可以使得会话的建立更加可信，安全，这样攻击者无法利用或者篡改建立会话信息。

步骤104：第二可信网络终端NT-B生成认证响应(ID_B，r_BP，K_B)，并返回给第一可信网络终端NT-A。

步骤105：第一可信网络终端NT-A收到认证响应(ID_B，r_BP，K_B)之后，将自身的身份标识ID_A和接收到的认证响应中携带的第二可信网络终端NT-B身份标识ID_B毗连，得到的第二毗连值，第一请求数据r_AP，第二请求数据r_BP，第二请求数据和第一随机数的乘积，将第二可信网络终端的公钥Q_B和第一可信网络终端的私钥S_A通过双线性配对映射成循环乘法群中的元素，生成的第二映射值，和可信群组密钥进行哈希运算，得到第二检验参数K′_B＝H₂(ID_A‖ID_B，r_AP，r_BP，r_Ar_BP，e(Q_B，S_A)，SK_TG)。

步骤106：第一可信网络终端NT-A判断检验参数K_B与K′_B是否相等，如果是，执行步骤107，否则，执行步骤111。

步骤107：第二可信网络终端NT-B通过认证，第一可信网络终端NT-A计将第二可信网络终端NT-B身份标识ID_B和自身的身份标识ID_A毗连，得到的第三毗连值，第一请求数据r_AP，第二请求数据r_BP，第二请求数据和第一随机数的乘积，将第二可信网络终端的公钥Q_B和第一可信网络终端的私钥S_A通过双线性配对映射成循环乘法群中的元素，生成的第二映射值，和可信群组密钥进行哈希运算，得到第三检验参数

K_A＝H₂(ID_B‖ID_A，r_AP，r_BP，r_Ar_BP，e(Q_B，S_A)，SK_TG)，

并将第三检验参数K_A返回给第二可信网络终端NT-B并将自身的身份标识ID_A和第二可信网络终端NT-B身份标识ID_B毗连值，第一请求数据r_AP，第二请求数据r_BP，第一请求数据和第二随机数的乘积，将第二可信网络终端的公钥Q_B和第一可信网络终端的私钥S_A通过双线性配对映射成循环乘法群中的元素，生成的第二映射值，和可信群组密钥进行哈希运算，得到第一安全会话密钥SK_A＝H₂(ID_A‖ID_B，r_AP，r_BP，r_Ar_BP，e(Q_B，S_A)，SK_TG)。

步骤108：第二可信网络终端NT-B收到第三检验参数K_A，将自身身份标识ID_B和第一可信网络终端NT-A的身份标识ID_A毗连，得到的第四毗连值，第一请求数据r_AP，第二请求数据r_BP，第二请求数据和第一随机数的乘积，将第二可信网络终端的公钥Q_B和第一可信网络终端的私钥S_A通过双线性配对映射成循环乘法群中的元素，生成的第一映射值，和可信群组密钥进行哈希运算，得到第四检验参数K′_A＝H₂(ID_B‖ID_A，r_AP，r_BP，r_Ar_BP，e(Q_A，S_B)，SK_TG)。

步骤109：第二可信网络终端NT-B判断检验参数K′_A和K_A是否相等，如果是，执行步骤110，否则执行步骤111。

步骤110：第一可信网络终端NT-A通过认证，第二可信网络终端NT-B将自身的身份标识ID_B和第一可信网络终端NT-A身份标识ID_A毗连值，第一请求数据r_AP，第二请求数据r_BP，第二请求数据和第一随机数的乘积，将第二可信网络终端的公钥Q_B和第一可信网络终端的私钥S_A通过双线性配对映射成循环乘法群中的元素，生成的第一映射值，和可信群组密钥进行哈希运算，得到第二安全会话密钥SK_B＝H₂(ID_A‖ID_B，r_AP，r_BP，r_Ar_BP，e(Q_A，S_B)，SK_TG)。

步骤111：认证失败。

其中，因为e(Q_A，S_B)中的S_B＝sQ_B，即e(Q_A，S_B)＝e(Q_A，sQ_B)，同理，e(Q_B，S_A)＝e(Q_B，sQ_A)，由于具有双线性性质，e(Q_A，S_B)＝e(Q_A，sQ_B)＝e(Q_A，Q_B)^s，e(Q_B，S_A)＝e(Q_B，sQ_A)＝e(Q_B，Q_A)^s，即e(Q_A，S_B)＝e(Q_B，S_A)＝e(Q_A，Q_B)^s，因此，第一安全会话密钥SK_A和第二安全会话密钥SK_B相等。同时，由于可信群组密钥SK_TG包含在协议中，因此群组之外的终端不能认证群组内终端，从而实现了秘密握手协议。

由于可信群组密钥SK_TG是为了限定只有组内的成员才能参与认证。在一般的认证方案中，也可以不采用可信群组密钥SK_TG。

实施例2

参见图2，本发明实施例提供了一种双向认证系统，包括：网络密钥分发器，第一网络终端，第二网络终端，其中，

网络密钥分发器用于生成系统参数和群组密钥、根据网络终端标识，生成网络终端的私钥；

第一网络终端用于根据网络终端标识，生成网络终端的公钥；还用于根据第二网络终端的公钥和第一网络终端的私钥生成第二检验参数，根据第一检验参数和第二检验参数对第二网络终端进行验证；根据第二网络终端的公钥和第一网络终端的私钥生成第三检验参数，并将第三检验参数返回给第二网络终端；

第二网络终端用于根据网络终端的身份，生成网络终端的公钥；还用于根据第一网络终端的公钥和第二网络终端的私钥生成第一检验参数，并将包含第一检验参数的认证响应返回给第一网络终端；根据第一网络终端的公钥和第二网络终端的私钥生成第四检验参数，根据第三检验参数和第四检验参数对第一网络终端进行验证。

实施例3

参见图3，本发明实施例提供了一种网络终端，包括：公私钥生成模块，认证请求发送模块，第一认证模块，其中，

认证请求发送模块，用于向对端网络终端发送认证请求；

第一认证模块，用于根据对端网络终端的公钥和本端网络终端的私钥生成第二检验参数，根据对端网络终端发送的第一检验参数和第二检验参数对对端网络终端进行验证；根据对端网络终端的公钥和本端网络终端的私钥生成第三检验参数，并将第三检验参数返回给对端网络终端。

其中，公私钥生成模块具体包括：

网络标识获取单元，用于获取网络终端标识；

哈希运算单元，用于对网络终端标识进行哈希函数运算，生成一个哈希运算值，哈希运算值为网络终端的公钥。

进一步，本发明实施例提供的网络终端还包括：

第一安全会话密钥生成模块，用于将对端网络终端的公钥和本端网络终端的私钥双线性配对映射成循环乘法群中的元素，生成映射值，根据映射值和群组密钥生成安全会话密钥。

实施例4

参见图4，本发明实施例提供了一种网络终端，包括：公私钥生成模块，认证响应发送模块，第二认证模块，其中，

认证响应发送模块，用于根据对端网络终端的公钥和本端网络终端的私钥生成第一检验参数，并将包含第一检验参数的认证响应返回给对端网络终端；

第二认证模块，用于根据对端网络终端的公钥和本端网络终端的私钥生成第四检验参数，根据对端网络终端发送的第三检验参数和第四检验参数对对端网络终端进行验证。

其中，公私钥生成模块具体包括：

网络标识获取单元，用于获取网络终端标识；

进一步，本发明实施例提供的网络终端还包括：

第二安全会话密钥生成模块，用于将对端网络终端的公钥和本端网络终端的私钥双线性配对映射成循环乘法群中的元素，生成映射值，根据映射值和群组密钥生成安全会话密钥。

本发明实施例提供的技术方案提供的双向认证方法、系统及网络终端，基于椭圆曲线双线性配对技术，采用了基于身份的密码技术，设备的身份就是公钥，无需额外的证书，避免了由于验证证书而带来的额外计算量，所以直接部署后，网络就可以进行相互认证和密钥协商。网络终端内同时具有群组密钥以及各设备独自的终端私钥，具有非常高的安全性及实用性。群组密钥可以保证同组内的网络终端能够进行相互认证和密钥协商，而各终端私钥可以保证在某个设备的群组密钥发生泄漏时，其它设备不受影响可以继续正常使用，这点在大型网络中尤其重要，它可以在某台设备被攻破后，保护现有投资，而不更换其它设备的网络终端的私钥。采用基于身份的可信芯片利于网络的部署，使得密钥管理简单化。

以上实施例提供的技术方案中部分步骤可以通过软件实现，软件存储在可读取的存储介质上，如计算机的软盘，硬盘或光盘等。

以上仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种双向认证方法，其特征在于，所述方法包括：

根据网络终端标识，生成网络终端的公钥、私钥；

第一网络终端向第二网络终端发送认证请求；

2.如权利要求1所述的双向认证方法，其特征在于，所述根据网络终端标识，生成网络终端的公钥、私钥的步骤具体包括：

对网络终端标识进行哈希函数运算，生成一个哈希运算值，所述哈希运算值为所述网络终端的公钥；

对网络终端标识进行哈希函数运算，生成一个哈希运算值，将所述哈希运算值和网络密钥分发器私钥相乘得到所述网络终端的私钥。

3.如权利要求1所述的双向认证方法，其特征在于，所述第一网络终端向第二网络终端发送认证请求的步骤具体包括：

根据循环加法群的生成元得到第一请求数据，将第一网络终端标识和所述第一请求数据作为认证请求，向所述第二网络终端发送。

4.如权利要求1-3中任意一项所述的双向认证方法，其特征在于，所述方法还包括：

所述第一网络终端将第二网络终端的公钥和第一网络终端的私钥通过双线性配对映射成循环乘法群中的元素，生成第二映射值，根据所述第二映射值和群组密钥生成安全会话密钥；

所述第二网络终端将第一网络终端的公钥和第二网络终端的私钥通过双线性配对映射成循环乘法群中的元素，生成第一映射值，根据所述第一映射值和群组密钥生成安全会话密钥。

5.一种双向认证系统，其特征在于，所述系统包括：网络密钥分发器、第一网络终端和第二网络终端；

6.一种网络终端，其特征在于，所述网络终端包括：

认证请求发送模块，用于向对端网络终端发送认证请求；

7.如权利要求6所述的网络终端，其特征在于，所述公私钥生成模块具体包括：

网络标识获取单元，用于获取网络终端标识；

哈希运算单元，用于对所述网络终端标识进行哈希函数运算，生成一个哈希运算值，所述哈希运算值为所述网络终端的公钥。

8.如权利要求6或7所述的网络终端，其特征在于，所述网络终端还包括：

第一安全会话密钥生成模块，用于将对端网络终端的公钥和本端网络终端的私钥双线性配对映射成循环乘法群中的元素，生成映射值，根据所述映射值和群组密钥生成安全会话密钥。

9.一种网络终端，其特征在于，所述网络终端包括：

10.如权利要求9所述的网络终端，其特征在于，所述公私钥生成模块具体包括：

网络标识获取单元，用于获取网络终端标识；

11.如权利要求9或10所述的网络终端，其特征在于，所述网络终端还包括：

第二安全会话密钥生成模块，用于将对端网络终端的公钥和本端网络终端的私钥双线性配对映射成循环乘法群中的元素，生成映射值，根据所述映射值和群组密钥生成安全会话密钥。