CN110636504B - 一种轻量级鉴别方法及系统 - Google Patents
一种轻量级鉴别方法及系统 Download PDFInfo
- Publication number
- CN110636504B CN110636504B CN201911017788.6A CN201911017788A CN110636504B CN 110636504 B CN110636504 B CN 110636504B CN 201911017788 A CN201911017788 A CN 201911017788A CN 110636504 B CN110636504 B CN 110636504B
- Authority
- CN
- China
- Prior art keywords
- value
- identity
- authentication
- random number
- request message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开一种轻量级鉴别方法及系统,该方法包括:第二装置接收第一装置发送的第二鉴别请求消息,第二装置对第一装置进行鉴别,如鉴别成功则第二装置生成第二鉴别响应消息并发送给第一装置,如鉴别失败则丢弃第二鉴别请求消息;第一装置根据第二鉴别响应消息对第二装置进行鉴别,如鉴别成功则第一装置对第二装置鉴别成功,如鉴别失败则丢弃第二鉴别响应消息。该方法通过降低鉴别过程中的计算和通信复杂度实现装置之间身份真实性的确认,具有计算资源占用少、交互信息少、耗时短和所需存储空间少的优点。
Description
技术领域
本发明涉及信息安全领域,尤其涉及一种轻量级鉴别方法及系统。
背景技术
在无线传感器网络、射频识别、近场通信等资源受限的应用场景下,现有技术的鉴别存在步骤多、过程繁琐、计算量大、耗时长和占用资源多等问题,故亟待提供一种轻量级鉴别方法。
发明内容
本发明的目的是为了克服现有技术的不足,提供一种轻量级鉴别方法及系统。
本发明提供了一种轻量级鉴别方法,包括:
步骤S1:第二装置接收第一装置发送的第二鉴别请求消息,所述第二装置对所述第一装置进行鉴别,如鉴别成功则执行步骤S2,如鉴别失败则丢弃所述第二鉴别请求消息;
步骤S2:所述第二装置生成第二鉴别响应消息并发送给所述第一装置;
步骤S3:所述第一装置根据第二鉴别响应消息对所述第二装置进行鉴别,如鉴别成功则所述第一装置对所述第二装置鉴别成功,如鉴别失败则丢弃所述第二鉴别响应消息;
所述步骤S1之前还包括:
步骤S01:第一装置发送第一鉴别请求消息给第二装置,所述第一鉴别请求消息包括所述第一装置的身份标识、预存的用于密钥交换的公共参数;
步骤S02:所述第二装置生成第二随机数并保存,根据所述第二随机数生成第一鉴别响应消息,发送所述第一鉴别响应消息给所述第一装置;
步骤S03:所述第一装置生成第一随机数并保存,生成第一临时密钥对和第一基密钥,根据所述第一基密钥导出第一完整性校验密钥;
步骤S04:所述第一装置生成第二鉴别请求消息并发送给所述第二装置。
本发明提供了一种轻量级鉴别系统,包括:第一装置和第二装置;
所述第二装置包括:
第二接收模块,用于接收所述第一装置发送的第二鉴别请求消息;
第二鉴别模块,用于所述第二装置对所述第一装置进行鉴别,如鉴别成功则触发第二生成模块,如鉴别失败则丢弃所述第二鉴别请求消息;
所述第二生成模块,用于生成第二鉴别响应消息;
第二发送模块,用于发送所述第二生成模块生成的第二鉴别响应消息给所述第一装置;
所述第一装置包括:
第一接收模块,用于接收所述第二装置发送的第二鉴别响应消息;
第一鉴别模块,用于根据第二鉴别响应消息对所述第二装置进行鉴别,如鉴别成功则所述第一装置对第二装置鉴别成功,如鉴别失败则丢弃所述第二鉴别响应消息;
所述第一装置还包括:
第一发送模块,用于发送第一鉴别请求消息给所述第二装置,所述第一鉴别请求消息包括所述第一装置的身份标识、预存的用于密钥交换的公共参数;还用于发送第二鉴别请求消息给所述第二装置;
所述第一接收模块,还用于接收所述第二装置发送的第一鉴别响应消息;
第一生成模块,用于生成第一随机数并保存,生成第一临时密钥对和第一基密钥,根据所述第一基密钥导出第一完整性校验密钥;还用于生成第二鉴别请求消息;
所述第二装置还包括:
所述第二接收模块,还用于接收第一装置发送的第一鉴别请求消息;
所述第二生成模块,还用于生成第二随机数并保存,根据所述第二随机数生成第一鉴别响应消息;
所述第二发送模块,还用于发送第二生成模块生成的第一鉴别响应消息给所述第一装置。
本发明与现有技术相比,具有以下优点:
本发明的轻量级鉴别方法通过降低鉴别过程中的计算和通信复杂度实现装置之间的身份真实性的确认,具有计算资源占用少、交互信息少、耗时短和所需存储空间少的优点。
附图说明
图1为本发明实施例一提供的一种轻量级鉴别方法的流程图;
图2为本发明实施例二提供的一种轻量级鉴别方法的流程图;
图3-1和图3-2为本发明实施例三提供的一种轻量级鉴别方法的流程图;
图4为本发明实施例四提供的一种轻量级鉴别系统的方框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
本发明实施例一提供一种轻量级鉴别方法,如图1所示,包括:
步骤S1:第二装置接收第一装置发送的第二鉴别请求消息,第二装置对第一装置进行鉴别,如鉴别成功则执行步骤S2,如鉴别失败则丢弃第二鉴别请求消息;
步骤S2:第二装置生成第二鉴别响应消息并发送给第一装置;
步骤S3:第一装置根据第二鉴别响应消息对第二装置进行鉴别,如鉴别成功则第一装置对第二装置鉴别成功,如鉴别失败则丢弃第二鉴别响应消息;
步骤S1之前还包括:
步骤S01:第一装置发送第一鉴别请求消息给第二装置,第一鉴别请求消息包括第一装置的身份标识、预存的用于密钥交换的公共参数;
步骤S02:第二装置生成第二随机数并保存,根据第二随机数生成第一鉴别响应消息,发送第一鉴别响应消息给第一装置;
步骤S03:第一装置生成第一随机数并保存,生成第一临时密钥对和第一基密钥,根据第一基密钥导出第一完整性校验密钥;
实施例二
本发明实施例二提供一种轻量级鉴别方法,如图2所示,包括:
步骤101:第一装置发送第一鉴别请求消息给第二装置;
具体的,第一鉴别请求消息包括第一装置的身份标识和预存的用于密钥交换的公共参数;
步骤102:第二装置生成第二随机数并保存,生成第二临时密钥对,使用第二临时密钥对的私钥对第一拼接值进行签名得到第二签名值,发送第一鉴别响应消息给第一装置;
在本实施例中,生成第二临时密钥对具体包括:第二装置生成第二临时密钥对的私钥,根据接收的第一鉴别请求消息中的用于密钥交换的公共参数和第二临时密钥对的私钥计算得出第二临时密钥对的公钥;
具体的,第一拼接值为第一装置的身份标识、第二装置的身份标识、第二随机数、第二临时密钥对的公钥和用于密钥交换的公共参数的拼接值;
具体的,第一鉴别响应消息包括第二随机数、第一拼接值、第二临时密钥对的公钥和第二签名值随机数;
步骤103:第一装置生成第一临时密钥对和第一基密钥,根据第一基密钥导出第一完整性校验密钥,生成第一随机数并保存;
在本实施例中,生成第一临时密钥对具体包括:第一装置生成第一临时密钥对的私钥,根据用于密钥交换的公共参数和第一临时密钥对的私钥计算得到第一临时密钥对的公钥;
在本实施例中,生成第一基密钥具体包括:第一装置根据第一临时密钥对的私钥和第二临时密钥对的公钥计算得到第一基密钥;
步骤104:第一装置使用第一临时密钥对的私钥对第二拼接值进行签名得到第一签名值,使用第一完整性校验密钥根据预设算法对第三拼接值进行计算得到第一完整性校验值,发送第二鉴别请求消息给第二装置;
具体的,第二拼接值为第一装置的身份标识、第二装置的身份标识、第二随机数、第一随机数和第一临时密钥对的公钥的拼接值;
第三拼接值为第一装置的身份标识、第二装置的身份标识、第二随机数、第一随机数、第一临时密钥对的公钥和第一签名值的拼接值;
第二鉴别请求消息包括第二拼接值、第三拼接值、第二随机数、第一签名值、第一临时密钥对的公钥和第一完整性校验值;
步骤105:第二装置判断接收的第二鉴别请求消息中的第二随机数与保存的第二随机数是否一致,是则执行步骤106,否则第二装置对第一装置鉴别失败;
步骤106:第二装置对第一签名值进行验证,如验证成功则执行步骤107,如验证失败则丢弃第二鉴别请求消息;
具体的,第二装置使用第一临时密钥对的公钥解密第一签名值得到第三哈希值,对第二鉴别请求消息中的第二拼接值进行哈希运算得到第四哈希值,判断第三哈希值和第四哈希值是否相等,是则验证成功,否则验证失败,丢弃第二鉴别请求消息;
步骤107:第二装置生成第二基密钥,根据第二基密钥导出第二完整性校验密钥,使用第二完整性校验密钥根据预设算法对第二鉴别请求消息中的第三拼接值进行计算得到第二完整性校验值,判断接收的第二鉴别请求消息中的第一完整性校验值和第二完整性校验值是否一致,是则第二装置对第一装置鉴别成功,执行步骤108,否则丢弃第二鉴别请求消息;
在本实施例中,第二装置生成第二基密钥具体包括:第二装置根据第二临时密钥对的私钥和第一临时密钥对的公钥计算得到第二基密钥;
步骤108:第二装置使用第二完整性校验密钥根据预设算法对第四拼接值进行计算得到第三完整性校验值,发送第二鉴别响应消息给第一装置;
具体的,第四拼接值为第一装置的身份标识、第二装置的身份标识和第一随机数的拼接值;
第二鉴别响应消息包括第一随机数、第四拼接值和第三完整性校验值;
步骤109:第一装置判断接收的第二鉴别响应消息中的第一随机数与保存的第一随机数是否一致,是则执行步骤110,否则丢弃第二鉴别响应消息;
步骤110:第一装置使用第一完整性校验密钥根据预设算法对第二鉴别响应消息中的第四拼接值进行计算得到第四完整性校验值,判断接收的第二鉴别响应消息中的第三完整性校验值和第四完整性校验值是否一致,是则第一装置对第二装置鉴别成功;否则丢弃第二鉴别响应消息。
实施例三
本发明实施例三提供一种轻量级鉴别方法,如图3-1和图3-2所示,包括:
步骤201:第一装置发送第一鉴别请求消息给第二装置;
具体的,第一鉴别请求消息包括第一装置的身份标识和预存的用于密钥交换的公共参数;
步骤202:第二装置生成第二随机数并保存,生成第二临时密钥对,使用第二临时密钥对的私钥对第一数据进行签名得到第二签名值,发送第一鉴别响应消息给第一装置;
在本实施例中,生成第二临时密钥对具体包括:第二装置生成第二临时密钥对的私钥,根据接收的第一鉴别请求消息中的用于密钥交换的公共参数和第二临时密钥对的私钥计算得出第二临时密钥对的公钥;
具体的,第一数据为第一装置的身份标识、第二装置的身份标识、可信第三方的身份标识、第二随机数、第二临时密钥对的公钥和用于密钥交换的公共参数的拼接值;
具体的,第一鉴别响应消息包括第二随机数、第一数据、第二临时密钥对的公钥和第二签名值;
步骤203:第一装置生成第一临时密钥对和第一基密钥,根据第一基密钥导出第一完整性校验密钥,生成第一随机数并保存,发送身份鉴别请求消息给可信第三方;
在本实施例中,第一装置生成第一临时密钥对具体包括:第一装置生成第一临时密钥对的私钥,根据用于密钥交换的公共参数和第一临时密钥对的私钥计算得到第一临时密钥对的公钥;
在本实施例中,生成第一基密钥集体包括:第一装置根据第一临时密钥对的私钥和第二临时密钥对的公钥计算得到第一基密钥;
具体的,身份鉴别请求消息包括第一装置的身份标识、第二装置的身份标识、第二随机数和第一随机数;
步骤204:可信第三方验证第一装置和第二装置的身份,生成第一装置的身份鉴别结果和第二装置的身份鉴别结果,对鉴别信息数据进行签名得到第三签名值,发送身份鉴别响应信息给第一装置;
具体的,鉴别信息数据为第一装置的身份标识、第二装置的身份标识、可信第三方的身份标识、第二随机数、第一随机数、第一装置的身份鉴别结果和第二装置的身份鉴别结果的拼接值;
具体的,身份鉴别响应信息包括第一随机数、鉴别信息数据、第一装置的身份鉴别结果、第二装置的身份鉴别结果和第三签名值;
步骤205:第一装置判断接收的身份鉴别响应信息中的第一随机数和保存的第一随机数是否一致,是则执行步骤206,否则丢弃身份鉴别响应信息;
步骤206:第一装置对第三签名值进行验证,如验证成功则执行步骤207,如验证失败则丢弃身份鉴别响应信息;
步骤207:第一装置根据接收的第二装置的身份鉴别结果对第二装置身份的真实性进行验证,如验证成功则执行步骤208,如验证失败则丢弃身份鉴别响应信息;
步骤208:第一装置对第二签名值进行验证,如验证成功则执行步骤209,如验证失败则第一装置对第二装置鉴别失败;
具体的,第一装置使用接收的第二临时密钥对的公钥解密第二签名值得到第一哈希值,对第一鉴别响应消息中的第一数据进行哈希运算得到第二哈希值,判断第一哈希值和第二哈希值是否相等,是则验证成功,否则验证失败,第一装置对第二装置鉴别失败;
步骤209:第一装置使用第一临时密钥对的私钥对第二数据进行签名得到第一签名值,使用第一完整性校验密钥根据预设算法对第三数据进行计算得到第一完整性校验值,发送第二鉴别请求消息给第二装置;
具体的,第二数据为第一装置的身份标识、第二装置的身份标识、可信第三方的身份标识、第二随机数、第一随机数和第一临时密钥对的公钥的拼接值;
第三数据为第一装置的身份标识、第二装置的身份标识、可信第三方的身份标识、第二随机数、第一随机数、第一临时密钥对的公钥和第一签名值的拼接值;
第二鉴别请求消息包括第二数据、第三数据、第二随机数、第一签名值、第一完整性校验值、第一装置的身份鉴别结果、第三签名值、鉴别信息数据;
步骤210:第二装置判断接收的第二鉴别请求消息中的第二随机数与保存的第二随机数是否一致,是则执行步骤211,否则第二装置对第一装置鉴别失败;
步骤211:第二装置对第一签名值进行验证,如验证成功则执行步骤212,如验证失败则丢弃第二鉴别请求消息;
具体的,第二装置使用接收的第一临时密钥对的公钥解密第一签名值得到第三哈希值,对第二鉴别请求消息中的第二数据进行哈希运算得到第四哈希值,判断第三哈希值和第四哈希值是否相等,是则验证陈工,否则验证失败,丢弃第二鉴别请求消息;
步骤212:第二装置生成第二基密钥,根据第二基密钥导出第二完整性校验密钥,使用第二完整性校验密钥根据预设算法对第二鉴别请求消息中的第三数据进行计算得到第二完整性校验值,判断接收的第二鉴别请求消息中的第一完整性校验值和第二完整性校验值是否一致,是则第二装置对第一装置鉴别成功,执行步骤213,否则丢弃第二鉴别请求消息;
在本实施例中,第二装置生成第二基密钥具体包括:第二装置根据第二临时密钥对的私钥和第一临时密钥对的公钥计算得到第二基密钥;
步骤213:第二装置对第三签名值进行验证,验证成功则执行步骤214,验证失败则丢弃第二鉴别请求消息;
步骤214:第二装置根据接收的第一装置的身份鉴别结果对第一装置身份的真实性进行验证,如验证成功则执行步骤215,如验证失败则丢弃第二鉴别请求消息;
步骤215:第二装置使用第二完整性校验密钥根据预设算法对第四数据进行计算得到第三完整性校验值,发送第二鉴别响应消息给第一装置;
具体的,第四数据为第一装置的身份标识、第二装置的身份标识和第一随机数的拼接值;
第二鉴别响应消息包括第一随机数、第四数据和第三完整性校验值;
步骤216:第一装置判断接收的第二鉴别响应消息中的第一随机数与保存的第一随机数是否一致,是则执行步骤217,否则丢弃第二鉴别响应消息;
步骤217:第一装置使用第一完整性校验密钥根据预设算法对第二鉴别响应消息中的第四数据进行计算得到第四完整性校验值,判断接收的第二鉴别响应消息中的第三完整性校验值和第四完整性校验值是否一致,是则第一装置对第二装置鉴别成功;否则丢弃第二鉴别响应消息。
实施例四
本发明实施例四提供一种轻量级鉴别系统,如图4所示,包括:第一装置和第二装置;
第二装置包括:
第二接收模块21,用于接收第一装置发送的第二鉴别请求消息;
第二鉴别模块22,用于第二装置对第一装置进行鉴别,如鉴别成功则触发第二生成模块,如鉴别失败则丢弃第二鉴别请求消息;
第二生成模块23,用于生成第二鉴别响应消息;
第二发送模块24,用于发送第二生成模块生成的第二鉴别响应消息给第一装置;
第一装置包括:
第一接收模块11,用于接收第二装置发送的第二鉴别响应消息;
第一鉴别模块12,用于根据第二鉴别响应消息对第二装置进行鉴别,如鉴别成功则第一装置对第二装置鉴别成功,如鉴别失败则丢弃第二鉴别响应消息;
第一装置还包括:
第一发送模块13,用于发送第一鉴别请求消息给第二装置,第一鉴别请求消息包括第一装置的身份标识、预存的用于密钥交换的公共参数;还用于发送第二鉴别请求消息给第二装置;
第一接收模块11,还用于接收第二装置发送的第一鉴别响应消息;
第一生成模块14,用于生成第一随机数并保存,生成第一临时密钥对和第一基密钥,根据第一基密钥导出第一完整性校验密钥;还用于生成第二鉴别请求消息;
第二装置还包括:
第二接收模块21,还用于接收第一装置发送的第一鉴别请求消息;
第二生成模块23,还用于生成第二随机数并保存,根据第二随机数生成第一鉴别响应消息;
第二发送模块24,还用于发送第二生成模块生成的第一鉴别响应消息给第一装置。
可选的,在本实施例中,还包括可信第三方;
第一装置还包括:
第一生成模块14,还用于第一装置根据第一随机数生成身份鉴别请求消息;
第一发送模块13,还用于发送第一生成模块生成的身份鉴别请求消息给可信第三方;
第一接收模块11,还用于接收可信第三方发送的身份鉴别响应消息;
第一鉴别模块12,还用于第一装置根据身份鉴别响应消息对第二装置进行鉴别;
可信第三方包括:
第三接收模块,用于接收第一装置发送的身份鉴别请求消息;
第一验证模块,用于可信第三方验证第一装置和第二装置的身份,生成第一装置的身份鉴别结果和第二装置的身份鉴别结果;
第三生成模块,用于可信第三方将第一装置的身份标识、第二装置的身份标识、可信第三方的身份标识、第二随机数、第一随机数、第一装置的身份鉴别结果和第二装置的身份鉴别结果进行拼接生成鉴别信息数据;还用于可信第三方将第一随机数、鉴别信息数据、第一装置的身份鉴别结果、第二装置的身份鉴别结果和第三签名值生成身份鉴别响应信息;
第三签名模块,用于可信第三方对第三生成模块生成的鉴别信息数据进行签名得到第三签名值;
第三发送模块,用于可信第三方将第三生成模块生成的身份鉴别响应信息发送给第一装置;
第二装置还包括:
第二验证模块25,用于第二装置对第三签名值进行验证,如验证成功则触发第三验证模块26,如验证失败则丢弃第二鉴别请求消息;
第三验证模块26,用于第二装置根据接收的第一装置的身份鉴别结果对第一装置身份的真实性进行验证,如验证成功则触发第二生成模块23,如验证失败则丢弃第二鉴别请求消息。
可选的,在本实施例中,第二生成模块23具体包括:
第二生成子模块,用于第二装置生成第二临时密钥对;
第二拼接子模块,用于第二装置将接收的第一鉴别请求消息中的第一装置的身份标识、第二装置的身份标识、可信第三方的身份标识、第二随机数、第二临时密钥对的公钥和接收的第一鉴别请求消息中的用于密钥交换的公共参数进行拼接生成第一拼接值;
第二签名子模块,用于第二装置使用第二临时密钥对的私钥对第一拼接值进行签名得到第二签名值;
第二生成子模块,还用于第二装置将第二装置的身份标识、第二随机数、第一拼接值、第二临时密钥对的公钥和第二签名值生成第一鉴别请求消息。
可选的,在本实施例中,第一鉴别模块12具体包括:
第一判断子模块,用于第一装置判断接收的身份鉴别响应消息中的第一随机数和保存的第一随机数是否一致,是则触发第一验证子模块,否则丢弃身份鉴别响应信息;
第一验证子模块,用于第一装置对第三签名值进行验证,如验证成功则触发第二验证子模块,如验证失败则丢弃身份鉴别响应消息;
第二验证子模块,用于第一装置根据接收的第二装置的身份鉴别结果对第二装置身份的真实性进行验证,如验证成功则触发第三验证子模块,如验证失败则丢弃身份鉴别响应消息;
第三验证子模块,用于第一装置对第二签名值进行验证,如验证成功则触发第一生成模块,如验证失败则第一装置对第二装置鉴别失败。
可选的,在本实施例中,第三验证子模块具体包括:
第一解密单元,用于第一装置使用接收的第二临时密钥对的公钥解密第二签名值得到第一哈希值;
第一运算单元,用于对第一鉴别响应消息中的第一拼接值进行哈希运算得到第二哈希值;
第一判断单元,用于判断第一哈希值和第二哈希值是否相等,是则触发第一生成模块,否则验证失败。
可选的,在本实施例中,第一生成模块14具体包括:
第一拼接子模块,用于第一装置将第一装置的身份标识、接收的第一鉴别请求消息中的第二装置的身份标识、保存的可信第三方的身份标识、接收的第一鉴别请求消息中的第二随机数、第一随机数和第一临时密钥对的公钥进行拼接生成第二拼接值;
第一签名子模块,用于第一装置对第二拼接值进行签名生成第一签名值;
第一拼接子模块,还用于第一装置将第一装置的身份标识、第二装置的身份标识、可信第三方的身份标识、第二随机数、第一随机数、第一临时密钥对的公钥和第一签名值进行拼接生成第三拼接值;
第一计算子模块,用于第一装置使用第一完整性校验密钥根据预设算法对第三拼接值进行计算得到第一完整性校验值;
第一生成子模块,用于第一装置将第二拼接值、第三拼接值、第二随机数、第一签名值、第一临时密钥对的公钥和第一完整性校验值生成第二鉴别请求消息。
可选的,在本实施例中,第二生成模块23具体包括:
第二生成子模块,用于第二装置生成第二临时密钥对;
第二拼接子模块,用于第二装置将接收的第一鉴别请求消息中的第一装置的身份标识、第二装置的身份标识、第二随机数、第二临时密钥对的公钥和接收的第一鉴别请求消息中的用于密钥交换的公共参数进行拼接生成第一拼接值;
第二签名子模块,用于第二装置使用第二临时密钥对的私钥对第一拼接值进行签名得到第二签名值;
第二生成子模块,还用于第二装置将第二装置的身份标识、第二随机数、第一拼接值、第二临时密钥对的公钥和第二签名值生成第一鉴别请求消息。
可选的,在本实施例中,第一生成模块14具体包括:
第一拼接子模块,用于第一装置将第一装置的身份标识、接收的第一鉴别请求消息中的第二装置的身份标识、接收的第一鉴别请求消息中的第二随机数、第一随机数和第一临时密钥对的公钥进行拼接生成第二拼接值;
第一签名子模块,用于第一装置对第二拼接值进行签名生成第一签名值;
第一拼接子模块,还用于第一装置将第一装置的身份标识、第二装置的身份标识、第二随机数、第一随机数、第一临时密钥对的公钥和第一签名值进行拼接生成第三拼接值;
第一计算子模块,用于第一装置使用第一完整性校验密钥根据预设算法对第三拼接值进行计算得到第一完整性校验值;
第一生成子模块,用于第一装置将第二拼接值、第三拼接值、第二随机数、第一签名值、第一临时密钥对的公钥和第一完整性校验值生成第二鉴别请求消息。
可选的,在本实施例中,第二鉴别模块22具体包括:
第二判断子模块,用于第二装置判断接收的第二鉴别请求消息中的第二随机数与保存的第二随机数是否一致,是则触发第四验证子模块,否则第二装置对第一装置鉴别失败;
第四验证子模块,用于第二装置对第一签名值进行验证,如验证成功则触发第二生成导出子模块,如验证失败则丢弃第二鉴别请求消息;
第二生成导出子模块,用于第二装置生成第二基密钥,根据第二基密钥导出第二完整性校验密钥;
第二运算子模块,用于第二装置使用第二完整性校验密钥根据预设算法对第二鉴别请求消息中的第三拼接值进行计算得到第二完整性校验值;
第二判断子模块,还用于判断接收的第二鉴别请求消息中的第一完整性校验值和第二完整性校验值是否一致,是则触发第二生成模块,否则丢弃第二鉴别请求消息。
可选的,在本实施例中,第四验证子模块具体包括:
第二解密单元,用于第二装置使用接收的第一临时密钥对的公钥解密第一签名值得到第三哈希值;
第二运算单元,用于对第二鉴别请求消息中的第二拼接值进行哈希运算得到第四哈希值;
第二判断单元,用于判断第三哈希值和第四哈希值是否相等,是则触发第二生成导出子模块,否则丢弃第二鉴别请求消息。
可选的,在本实施例中,第二生成模块23还包括:
第二拼接子模块,还用于第二装置将第一装置的身份标识、第二装置的身份标识和第一随机数进行拼接生成第四拼接值;
第二计算子模块,用于使用第二完整性校验密钥根据预设算法对第四拼接值进行计算得到第三完整性校验值;
第二生成子模块,还用于将第一随机数、第四拼接值和第三完整性校验值生成第二鉴别响应消息。
可选的,在本实施例中,第一鉴别模块12具体包括:
第一判断子模块,用于第一装置判断接收的第二鉴别响应消息中的第一随机数与保存的第一随机数是否一致,是则触发第一运算子模块,否则丢弃第二鉴别响应消息;
第一运算子模块,用于第一装置使用第一完整性校验密钥根据预设算法对第二鉴别响应消息中的第四拼接值进行计算得到第四完整性校验值;
第一判断子模块,还用于判断接收的第二鉴别响应消息中的第三完整性校验值和第四完整性校验值是否一致,是则第一装置对第二装置鉴别成功;否则鉴别失败,丢弃第二鉴别响应消息。
可选的,在本实施例中,第二生成子模块用于第二装置生成第二临时密钥对的私钥,根据接收的第一鉴别请求消息中的用于密钥交换的公共参数和第二临时密钥对的私钥计算得出第二临时密钥对的公钥。
可选的,在本实施例中,第一生成模块用于第一装置生成第一临时密钥对的私钥,根据用于密钥交换的公共参数和第一临时密钥对的私钥计算得出第一临时密钥对的公钥。
可选的,在本实施例中,第一生成模块用于第一装置根据第一临时密钥对的私钥和第二临时密钥对的公钥计算得到第一基密钥。
可选的,在本实施例中,第二生成导出子模块用于第二装置根据第二临时密钥对的私钥和第一临时密钥对的公钥计算得到第二基密钥。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明公开的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (24)
1.一种轻量级鉴别方法,其特征在于,包括:
步骤S1:第二装置接收第一装置发送的第二鉴别请求消息,所述第二装置对所述第一装置进行鉴别,如鉴别成功则执行步骤S2,如鉴别失败则丢弃所述第二鉴别请求消息;
所述第二装置对所述第一装置进行鉴别包括:所述第二装置判断所述第二鉴别请求消息中的第二随机数与保存的第二随机数是否一致,若不一致则所述第二装置对所述第一装置鉴别失败,若一致则对所述第二鉴别请求消息中的第一签名值进行验证,如验证失败则丢弃所述第二鉴别请求消息,如验证成功则生成第二基密钥,根据所述第二基密钥导出第二完整性校验密钥,使用所述第二完整性校验密钥根据预设算法对所述第二鉴别请求消息中的第三拼接值进行计算得到第二完整性校验值,判断所述第二鉴别请求消息中的第一完整性校验值和所述第二完整性校验值是否一致,是则所述第二装置对所述第一装置鉴别成功,否则丢弃所述第二鉴别请求消息;
步骤S2:所述第二装置生成第二鉴别响应消息并发送给所述第一装置;
所述第二装置生成第二鉴别响应消息包括:所述第二装置使用所述第二完整性校验密钥根据预设算法对第四拼接值进行计算得到第三完整性校验值;
所述第二鉴别响应消息包括:第一随机数、第四拼接值和第三完整性校验值;其中,所述第四拼接值为第一装置的身份标识、第二装置的身份标识和第一随机数的拼接值;
步骤S3:所述第一装置根据第二鉴别响应消息对所述第二装置进行鉴别,如鉴别成功则所述第一装置对所述第二装置鉴别成功,如鉴别失败则丢弃所述第二鉴别响应消息;
所述第一装置根据第二鉴别响应消息对所述第二装置进行鉴别包括:所述第一装置判断所述第二鉴别响应消息中的第一随机数与保存的第一随机数是否一致,若不一致则丢弃所述第二鉴别响应消息,若一致则使用第一完整性校验密钥根据预设算法对所述第二鉴别响应消息中的第四拼接值进行计算得到第四完整性校验值,判断所述第二鉴别响应消息中的第三完整性校验值和所述第四完整性校验值是否一致,是则所述第一装置对所述第二装置鉴别成功,否则丢弃所述第二鉴别响应消息;
所述步骤S1之前还包括:
步骤S01:第一装置发送第一鉴别请求消息给第二装置,所述第一鉴别请求消息包括所述第一装置的身份标识、预存的用于密钥交换的公共参数;
步骤S02:所述第二装置生成第二随机数并保存,根据所述第二随机数生成第一鉴别响应消息,发送所述第一鉴别响应消息给所述第一装置;
步骤S03:所述第一装置生成第一随机数并保存,生成第一临时密钥对的私钥,根据用于密钥交换的公共参数和所述第一临时密钥对的私钥计算得出第一临时密钥对的公钥,生成第一基密钥,根据所述第一基密钥导出第一完整性校验密钥;
步骤S04:所述第一装置生成第二鉴别请求消息并发送给所述第二装置;
所述第一装置生成第二鉴别请求消息包括:所述第一装置使用所述第一临时密钥对的私钥对第二拼接值进行签名得到第一签名值,使用所述第一完整性校验密钥根据预设算法对第三拼接值进行计算得到第一完整性校验值;
所述第二鉴别请求消息包括:所述第二拼接值、所述第三拼接值、所述第二随机数、所述第一签名值、所述第一临时密钥对的公钥和所述第一完整性校验值;其中,所述第二拼接值包括第一装置的身份标识、第二装置的身份标识、第二随机数、第一随机数和第一临时密钥对的公钥,所述第三拼接值包括第一装置的身份标识、第二装置的身份标识、第二随机数、第一随机数、第一临时密钥对的公钥和第一签名值。
2.如权利要求1所述的方法,其特征在于,所述步骤S03和步骤S04之间还包括:
步骤R1:所述第一装置根据所述第一随机数生成身份鉴别请求消息并发送给可信第三方;
步骤R2:所述可信第三方验证所述第一装置和所述第二装置的身份,生成所述第一装置的身份鉴别结果和所述第二装置的身份鉴别结果;
步骤R3:所述可信第三方将第一装置的身份标识、第二装置的身份标识、可信第三方的身份标识、第二随机数、第一随机数、第一装置的身份鉴别结果和第二装置的身份鉴别结果进行拼接生成鉴别信息数据,对所述鉴别信息数据进行签名得到第三签名值;
步骤R4:所述可信第三方将第一随机数、鉴别信息数据、第一装置的身份鉴别结果、第二装置的身份鉴别结果和第三签名值生成身份鉴别响应信息并发送给所述第一装置;
步骤R5:所述第一装置根据所述身份鉴别响应消息对所述第二装置进行鉴别,如鉴别成功则执行步骤S04,如鉴别失败则所述第一装置对所述第二装置鉴别失败;
所述步骤S1和步骤S2之间还包括:
步骤T1:所述第二装置对所述第三签名值进行验证,如验证成功则执行步骤T2,如验证失败则丢弃所述第二鉴别请求消息;
步骤T2:所述第二装置根据接收的第一装置的身份鉴别结果对所述第一装置身份的真实性进行验证,如验证成功则执行步骤S2,如验证失败则丢弃所述第二鉴别请求消息。
3.如权利要求2所述的方法,其特征在于,所述根据所述第二随机数生成第一鉴别响应消息具体包括:
步骤A1:所述第二装置生成第二临时密钥对;
步骤A2:所述第二装置将接收的第一鉴别请求消息中的第一装置的身份标识、第二装置的身份标识、可信第三方的身份标识、第二随机数、第二临时密钥对的公钥和接收的第一鉴别请求消息中的用于密钥交换的公共参数进行拼接生成第一拼接值;
步骤A3:所述第二装置使用所述第二临时密钥对的私钥对所述第一拼接值进行签名得到第二签名值;
步骤A4:所述第二装置将所述第二装置的身份标识、所述第二随机数、所述第一拼接值、所述第二临时密钥对的公钥和所述第二签名值生成第一鉴别请求消息。
4.如权利要求3所述的方法,其特征在于,所述步骤R5具体包括:
步骤R5-1:所述第一装置判断接收的身份鉴别响应消息中的第一随机数和保存的第一随机数是否一致,是则执行步骤R5-2,否则丢弃所述身份鉴别响应信息;
步骤R5-2:所述第一装置对所述第三签名值进行验证,如验证成功则执行步骤R5-3,如验证失败则丢弃所述身份鉴别响应信息;
步骤R5-3:所述第一装置根据接收的第二装置的身份鉴别结果对所述第二装置身份的真实性进行验证,如验证成功则执行步骤R5-4,如验证失败则丢弃所述身份鉴别响应信息;
步骤R5-4:所述第一装置对所述第二签名值进行验证,如验证成功则执行步骤S04,如验证失败则所述第一装置对所述第二装置鉴别失败。
5.如权利要求4所述的方法,其特征在于,所述步骤R5-4具体包括:
所述第一装置使用接收的第二临时密钥对的公钥解密第二签名值得到第一哈希值,对所述第一鉴别响应消息中的第一拼接值进行哈希运算得到第二哈希值,判断所述第一哈希值和所述第二哈希值是否相等,是则验证成功,执行步骤S04,否则验证失败。
6.如权利要求5所述的方法,其特征在于,所述第一装置生成第二鉴别请求消息具体包括:
步骤C1:所述第一装置将第一装置的身份标识、接收的第一鉴别请求消息中的第二装置的身份标识、保存的可信第三方的身份标识、接收的第一鉴别请求消息中的第二随机数、第一随机数和第一临时密钥对的公钥进行拼接生成第二拼接值;
步骤C2:所述第一装置对所述第二拼接值进行签名生成第一签名值;
步骤C3:所述第一装置将第一装置的身份标识、第二装置的身份标识、可信第三方的身份标识、第二随机数、第一随机数、第一临时密钥对的公钥和第一签名值进行拼接生成第三拼接值;
步骤C4:所述第一装置使用所述第一完整性校验密钥根据预设算法对第三拼接值进行计算得到第一完整性校验值;
步骤C5:所述第一装置将所述第二拼接值、所述第三拼接值、所述第二随机数、所述第一签名值、所述第一临时密钥对的公钥和所述第一完整性校验值生成第二鉴别请求消息。
7.如权利要求1所述的方法,其特征在于,所述根据所述第二随机数生成第一鉴别响应消息具体包括:
步骤M1:所述第二装置生成第二临时密钥对;
步骤M2:所述第二装置将接收的第一鉴别请求消息中的第一装置的身份标识、第二装置的身份标识、第二随机数、第二临时密钥对的公钥和接收的第一鉴别请求消息中的用于密钥交换的公共参数进行拼接生成第一拼接值;
步骤M3:所述第二装置使用所述第二临时密钥对的私钥对所述第一拼接值进行签名得到第二签名值;
步骤M4:所述第二装置将所述第二装置的身份标识、所述第二随机数、所述第一拼接值、所述第二临时密钥对的公钥和所述第二签名值生成第一鉴别请求消息。
8.如权利要求7所述的方法,其特征在于,所述第一装置生成第二鉴别请求消息具体包括:
步骤B1:所述第一装置将第一装置的身份标识、接收的第一鉴别请求消息中的第二装置的身份标识、接收的第一鉴别请求消息中的第二随机数、第一随机数和第一临时密钥对的公钥进行拼接生成第二拼接值;
步骤B2:所述第一装置对所述第二拼接值进行签名生成第一签名值;
步骤B3:所述第一装置将第一装置的身份标识、第二装置的身份标识、第二随机数、第一随机数、第一临时密钥对的公钥和第一签名值进行拼接生成第三拼接值;
步骤B4:所述第一装置使用所述第一完整性校验密钥根据预设算法对第三拼接值进行计算得到第一完整性校验值;
步骤B5:所述第一装置将所述第二拼接值、所述第三拼接值、所述第二随机数、所述第一签名值、所述第一临时密钥对的公钥和所述第一完整性校验值生成第二鉴别请求消息。
9.如权利要求1所述的方法,其特征在于,所述对所述第二鉴别请求消息中的第一签名值进行验证具体为:
所述第二装置使用接收的第一临时密钥对的公钥解密第一签名值得到第三哈希值,对所述第二鉴别请求消息中的第二拼接值进行哈希运算得到第四哈希值,判断所述第三哈希值和所述第四哈希值是否相等,是则验证成功,否则验证失败。
10.如权利要求3或7所述的方法,其特征在于,所述第二装置生成第二临时密钥对具体为:所述第二装置生成第二临时密钥对的私钥,根据接收的第一鉴别请求消息中的用于密钥交换的公共参数和所述第二临时密钥对的私钥计算得出第二临时密钥对的公钥。
11.如权利要求3或7所述的方法,其特征在于,所述生成第一基密钥具体为:所述第一装置根据所述第一临时密钥对的私钥和所述第二临时密钥对的公钥计算得到第一基密钥。
12.如权利要求3所述的方法,其特征在于,所述生成第二基密钥具体为:所述第二装置根据所述第二临时密钥对的私钥和第一临时密钥对的公钥计算得到第二基密钥。
13.一种轻量级鉴别系统,其特征在于,所述系统包括第一装置和第二装置;
所述第二装置包括:
第二接收模块,用于接收所述第一装置发送的第二鉴别请求消息;
第二鉴别模块,用于所述第二装置对所述第一装置进行鉴别,如鉴别成功则触发第二生成模块,如鉴别失败则丢弃所述第二鉴别请求消息;
所述第二生成模块,用于生成第二鉴别响应消息;
第二发送模块,用于发送所述第二生成模块生成的第二鉴别响应消息给所述第一装置;
所述第一装置包括:
第一接收模块,用于接收所述第二装置发送的第二鉴别响应消息;
第一鉴别模块,用于根据第二鉴别响应消息对所述第二装置进行鉴别,如鉴别成功则所述第一装置对第二装置鉴别成功,如鉴别失败则丢弃所述第二鉴别响应消息;
所述第二鉴别模块具体包括:
第二判断子模块,用于第二装置判断接收的第二鉴别请求消息中的第二随机数与保存的第二随机数是否一致,是则触发第四验证子模块,否则所述第二装置对所述第一装置鉴别失败;
所述第四验证子模块,用于所述第二装置对所述第二鉴别请求消息中的第一签名值进行验证,如验证成功则触发第二生成导出子模块,如验证失败则丢弃所述第二鉴别请求消息;
所述第二生成导出子模块,用于所述第二装置生成第二基密钥,根据所述第二基密钥导出第二完整性校验密钥;
第二运算子模块,用于所述第二装置使用所述第二完整性校验密钥根据预设算法对所述第二鉴别请求消息中的第三拼接值进行计算得到第二完整性校验值;
第二判断子模块,还用于判断所述第二鉴别请求消息中的第一完整性校验值和所述第二完整性校验值是否一致,是则触发第二生成模块,否则丢弃所述第二鉴别请求消息;
所述第二生成模块具体包括:
第二拼接子模块,用于所述第二装置将第一装置的身份标识、第二装置的身份标识和第一随机数进行拼接生成第四拼接值;
第二计算子模块,用于使用所述第二完整性校验密钥根据预设算法对第四拼接值进行计算得到第三完整性校验值;
第二生成子模块,用于将所述第一随机数、所述第四拼接值和所述第三完整性校验值生成第二鉴别响应消息;
所述第一鉴别模块具体包括:
第一判断子模块,用于所述第一装置判断接收的第二鉴别响应消息中的第一随机数与保存的第一随机数是否一致,是则触发第一运算子模块,否则丢弃第二鉴别响应消息;
所述第一运算子模块,用于所述第一装置使用所述第一完整性校验密钥根据预设算法对所述第二鉴别响应消息中的第四拼接值进行计算得到第四完整性校验值;
所述第一判断子模块,还用于判断所述第二鉴别响应消息中的第三完整性校验值和所述第四完整性校验值是否一致,是则所述第一装置对所述第二装置鉴别成功;否则鉴别失败,丢弃所述第二鉴别响应消息;
所述第一装置还包括:
第一发送模块,用于发送第一鉴别请求消息给所述第二装置,所述第一鉴别请求消息包括所述第一装置的身份标识、预存的用于密钥交换的公共参数;还用于发送第二鉴别请求消息给所述第二装置,所述第二鉴别请求消息包括:第二拼接值、第三拼接值、第二随机数、第一签名值、第一临时密钥对的公钥和第一完整性校验值;其中,所述第二拼接值包括第一装置的身份标识、第二装置的身份标识、第二随机数、第一随机数和第一临时密钥对的公钥,所述第三拼接值包括第一装置的身份标识、第二装置的身份标识、第二随机数、第一随机数、第一临时密钥对的公钥和第一签名值;
所述第一接收模块,还用于接收所述第二装置发送的第一鉴别响应消息;
第一生成模块,用于生成第一随机数并保存,生成第一临时密钥对的私钥,根据用于密钥交换的公共参数和所述第一临时密钥对的私钥计算得出第一临时密钥对的公钥,生成第一基密钥,根据所述第一基密钥导出第一完整性校验密钥;还用于使用所述第一临时密钥对的私钥对第二拼接值进行签名得到第一签名值,使用所述第一完整性校验密钥根据预设算法对第三拼接值进行计算得到第一完整性校验值;
所述第二装置还包括:
所述第二接收模块,还用于接收第一装置发送的第一鉴别请求消息;
所述第二生成模块,还用于生成第二随机数并保存,根据所述第二随机数生成第一鉴别响应消息;
所述第二发送模块,还用于发送第二生成模块生成的第一鉴别响应消息给所述第一装置。
14.如权利要求13所述的系统,其特征在于,还包括可信第三方;
所述第一装置还包括:
所述第一生成模块,还用于所述第一装置根据所述第一随机数生成身份鉴别请求消息;
所述第一发送模块,还用于发送所述第一生成模块生成的身份鉴别请求消息给所述可信第三方;
所述第一接收模块,还用于接收所述可信第三方发送的身份鉴别响应消息;
所述第一鉴别模块,还用于所述第一装置根据所述身份鉴别响应消息对所述第二装置进行鉴别;
所述可信第三方包括:
第三接收模块,用于接收所述第一装置发送的身份鉴别请求消息;
第一验证模块,用于所述可信第三方验证所述第一装置和所述第二装置的身份,生成所述第一装置的身份鉴别结果和所述第二装置的身份鉴别结果;
第三生成模块,用于所述可信第三方将第一装置的身份标识、第二装置的身份标识、可信第三方的身份标识、第二随机数、第一随机数、第一装置的身份鉴别结果和第二装置的身份鉴别结果进行拼接生成鉴别信息数据;还用于所述可信第三方将第一随机数、鉴别信息数据、第一装置的身份鉴别结果、第二装置的身份鉴别结果和第三签名值生成身份鉴别响应信息;
第三签名模块,用于所述可信第三方对所述第三生成模块生成的鉴别信息数据进行签名得到第三签名值;
第三发送模块,用于所述可信第三方将所述第三生成模块生成的身份鉴别响应信息发送给所述第一装置;
所述第二装置还包括:
第二验证模块,用于所述第二装置对所述第三签名值进行验证,如验证成功则触发第三验证模块,如验证失败则丢弃所述第二鉴别请求消息;
所述第三验证模块,用于所述第二装置根据接收的第一装置的身份鉴别结果对所述第一装置身份的真实性进行验证,如验证成功则触发所述第二生成模块,如验证失败则丢弃所述第二鉴别请求消息。
15.如权利要求14所述的系统,其特征在于,所述第二生成模块还包括:
所述第二生成子模块,还用于所述第二装置生成第二临时密钥对;
所述第二拼接子模块,还用于所述第二装置将接收的第一鉴别请求消息中的第一装置的身份标识、第二装置的身份标识、可信第三方的身份标识、第二随机数、第二临时密钥对的公钥和接收的第一鉴别请求消息中的用于密钥交换的公共参数进行拼接生成第一拼接值;
所述第二生成模块还包括:第二签名子模块,用于所述第二装置使用所述第二临时密钥对的私钥对所述第一拼接值进行签名得到第二签名值;
所述第二生成子模块,还用于所述第二装置将所述第二装置的身份标识、所述第二随机数、所述第一拼接值、所述第二临时密钥对的公钥和所述第二签名值生成第一鉴别请求消息。
16.如权利要求15所述的系统,其特征在于,所述第一鉴别模块还包括:
所述第一判断子模块,还用于所述第一装置判断接收的身份鉴别响应消息中的第一随机数和保存的第一随机数是否一致,是则触发第一验证子模块,否则丢弃所述身份鉴别响应信息;
所述第一验证子模块,用于所述第一装置对所述第三签名值进行验证,如验证成功则触发第二验证子模块,如验证失败则丢弃所述身份鉴别响应消息;
所述第二验证子模块,用于所述第一装置根据接收的第二装置的身份鉴别结果对所述第二装置身份的真实性进行验证,如验证成功则触发第三验证子模块,如验证失败则丢弃所述身份鉴别响应消息;
所述第三验证子模块,用于所述第一装置对所述第二签名值进行验证,如验证成功则触发所述第一生成模块,如验证失败则所述第一装置对所述第二装置鉴别失败。
17.如权利要求16所述的系统,其特征在于,所述第三验证子模块具体包括:
第一解密单元,用于所述第一装置使用接收的第二临时密钥对的公钥解密第二签名值得到第一哈希值;
第一运算单元,用于对所述第一鉴别响应消息中的第一拼接值进行哈希运算得到第二哈希值;
第一判断单元,用于判断所述第一哈希值和所述第二哈希值是否相等,是则触发所述第一生成模块,否则验证失败。
18.如权利要求17所述的系统,其特征在于,所述第一生成模块具体包括:
第一拼接子模块,用于所述第一装置将第一装置的身份标识、接收的第一鉴别请求消息中的第二装置的身份标识、保存的可信第三方的身份标识、接收的第一鉴别请求消息中的第二随机数、第一随机数和第一临时密钥对的公钥进行拼接生成第二拼接值;
第一签名子模块,用于所述第一装置对所述第二拼接值进行签名生成第一签名值;
所述第一拼接子模块,还用于所述第一装置将第一装置的身份标识、第二装置的身份标识、可信第三方的身份标识、第二随机数、第一随机数、第一临时密钥对的公钥和第一签名值进行拼接生成第三拼接值;
第一计算子模块,用于所述第一装置使用所述第一完整性校验密钥根据预设算法对第三拼接值进行计算得到第一完整性校验值;
第一生成子模块,用于所述第一装置将所述第二拼接值、所述第三拼接值、所述第二随机数、所述第一签名值、所述第一临时密钥对的公钥和所述第一完整性校验值生成第二鉴别请求消息。
19.如权利要求13所述的系统,其特征在于,所述第二生成模块还包括:
所述第二生成子模块,还用于所述第二装置生成第二临时密钥对;
所述第二拼接子模块,还用于所述第二装置将接收的第一鉴别请求消息中的第一装置的身份标识、第二装置的身份标识、第二随机数、第二临时密钥对的公钥和接收的第一鉴别请求消息中的用于密钥交换的公共参数进行拼接生成第一拼接值;
所述第二生成模块还包括:第二签名子模块,用于所述第二装置使用所述第二临时密钥对的私钥对所述第一拼接值进行签名得到第二签名值;
所述第二生成子模块,还用于所述第二装置将所述第二装置的身份标识、所述第二随机数、所述第一拼接值、所述第二临时密钥对的公钥和所述第二签名值生成第一鉴别请求消息。
20.如权利要求19所述的系统,其特征在于,所述第一生成模块具体包括:
第一拼接子模块,用于所述第一装置将第一装置的身份标识、接收的第一鉴别请求消息中的第二装置的身份标识、接收的第一鉴别请求消息中的第二随机数、第一随机数和第一临时密钥对的公钥进行拼接生成第二拼接值;
第一签名子模块,用于所述第一装置对所述第二拼接值进行签名生成第一签名值;
所述第一拼接子模块,还用于所述第一装置将第一装置的身份标识、第二装置的身份标识、第二随机数、第一随机数、第一临时密钥对的公钥和第一签名值进行拼接生成第三拼接值;
第一计算子模块,用于所述第一装置使用所述第一完整性校验密钥根据预设算法对第三拼接值进行计算得到第一完整性校验值;
第一生成子模块,用于所述第一装置将所述第二拼接值、所述第三拼接值、所述第二随机数、所述第一签名值、所述第一临时密钥对的公钥和所述第一完整性校验值生成第二鉴别请求消息。
21.如权利要求13所述的系统,其特征在于,所述第四验证子模块具体包括:
第二解密单元,用于所述第二装置使用接收的第一临时密钥对的公钥解密第一签名值得到第三哈希值;
第二运算单元,用于对所述第二鉴别请求消息中的第二拼接值进行哈希运算得到第四哈希值;
第二判断单元,用于判断所述第三哈希值和所述第四哈希值是否相等,是则触发第二生成导出子模块,否则丢弃所述第二鉴别请求消息。
22.如权利要求15或19所述的系统,其特征在于,所述第二生成子模块用于所述第二装置生成第二临时密钥对的私钥,根据接收的第一鉴别请求消息中的用于密钥交换的公共参数和所述第二临时密钥对的私钥计算得出第二临时密钥对的公钥。
23.如权利要求15或19所述的系统,其特征在于,所述第一生成模块用于所述第一装置根据所述第一临时密钥对的私钥和所述第二临时密钥对的公钥计算得到第一基密钥。
24.如权利要求15所述的系统,其特征在于,所述第二生成导出子模块用于所述第二装置根据所述第二临时密钥对的私钥和第一临时密钥对的公钥计算得到第二基密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911017788.6A CN110636504B (zh) | 2019-10-24 | 2019-10-24 | 一种轻量级鉴别方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911017788.6A CN110636504B (zh) | 2019-10-24 | 2019-10-24 | 一种轻量级鉴别方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110636504A CN110636504A (zh) | 2019-12-31 |
| CN110636504B true CN110636504B (zh) | 2022-09-06 |
Family
ID=68977503
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911017788.6A Active CN110636504B (zh) | 2019-10-24 | 2019-10-24 | 一种轻量级鉴别方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110636504B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101541001A (zh) * | 2009-04-28 | 2009-09-23 | 刘建 | 一种基密钥的更新方法及系统 |
| CN101635624A (zh) * | 2009-09-02 | 2010-01-27 | 西安西电捷通无线网络通信有限公司 | 引入在线可信第三方的实体鉴别方法 |
| CN101925060A (zh) * | 2010-08-27 | 2010-12-22 | 西安西电捷通无线网络通信股份有限公司 | 一种资源受限网络的实体鉴别方法及系统 |
| CN104954130A (zh) * | 2014-03-31 | 2015-09-30 | 西安西电捷通无线网络通信股份有限公司 | 一种实体鉴别方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8769259B2 (en) * | 2012-01-06 | 2014-07-01 | Alcatel Lucent | Methods and apparatuses for secure information sharing in social networks using randomly-generated keys |
-
2019
- 2019-10-24 CN CN201911017788.6A patent/CN110636504B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101541001A (zh) * | 2009-04-28 | 2009-09-23 | 刘建 | 一种基密钥的更新方法及系统 |
| CN101635624A (zh) * | 2009-09-02 | 2010-01-27 | 西安西电捷通无线网络通信有限公司 | 引入在线可信第三方的实体鉴别方法 |
| CN101925060A (zh) * | 2010-08-27 | 2010-12-22 | 西安西电捷通无线网络通信股份有限公司 | 一种资源受限网络的实体鉴别方法及系统 |
| CN104954130A (zh) * | 2014-03-31 | 2015-09-30 | 西安西电捷通无线网络通信股份有限公司 | 一种实体鉴别方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110636504A (zh) | 2019-12-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106603485B (zh) | 密钥协商方法及装置 | |
| CN107995608B (zh) | 一种通过蓝牙车载单元进行认证的方法及装置 | |
| US7773973B2 (en) | Method for authentication between a mobile station and a network | |
| US8307202B2 (en) | Methods and systems for using PKCS registration on mobile environment | |
| CN103067402B (zh) | 数字证书的生成方法和系统 | |
| KR101139558B1 (ko) | 쌍방향 액세스 인증 방법 | |
| US10523447B2 (en) | Obtaining and using time information on a secure element (SE) | |
| CN111376865B (zh) | 车辆数字钥匙激活方法、系统及存储介质 | |
| EP2905719A1 (en) | Device and method certificate generation | |
| CN106921640A (zh) | 身份认证方法、认证装置及认证系统 | |
| US20080130879A1 (en) | Method and system for a secure PKI (Public Key Infrastructure) key registration process on mobile environment | |
| US9398024B2 (en) | System and method for reliably authenticating an appliance | |
| CN110475249A (zh) | 一种认证方法、相关设备及系统 | |
| CN104836784A (zh) | 一种信息处理方法、客户端和服务器 | |
| CN111541716A (zh) | 一种数据传输的方法和相关装置 | |
| CN111800378A (zh) | 一种登录认证方法、装置、系统和存储介质 | |
| CN109361681B (zh) | 国密证书认证方法、装置及设备 | |
| CN111698204B (zh) | 一种双向身份认证的方法及装置 | |
| CN114710298A (zh) | 基于变色龙哈希的文档批量签署方法、装置、设备及介质 | |
| CN101394395B (zh) | 一种认证方法和系统、及装置 | |
| CN111800276A (zh) | 业务处理方法及装置 | |
| CN114040401B (zh) | 终端认证方法及系统 | |
| US9038143B2 (en) | Method and system for network access control | |
| CN110636504B (zh) | 一种轻量级鉴别方法及系统 | |
| US11972032B2 (en) | Authentication of an original equipment manufacturer entity |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |