WO2009067901A1 - Procédé d'authentification d'accès unidirectionnelle - Google Patents

Description

一种单向接入认证方法

本申请要求于 2007年 11月 8日提交中国专利局、 申请号为 200710019023.7、 发明名称为 "一种单向接入认证方法"的中国专利申请的优先权，其全部内容通 过引用结合在本申请中。

技术领域

本发明涉及无线通信技术领域， 特别是涉及一种单向接入认证方法。

背景技术

射频识别标签 RFID在进行安全通信之前， 必须有效地解决 RFID中读写器 和电子标签之间的安全认证及密钥协商问题。 在 RFID中， 由于在一些应用场 合中， 电子标签性能较差， 计算和通信能力弱， 这时只需要对电子标签进行单 向认证即可。 同样， 在无线网络的一些特殊的应用场合中， 网络接入点或基站 往往只需要对移动终端进行认证， 同样需要安全的单向认证协议。

美国 IEEE提出 IEEE802.11标准， 通过釆用 WEP协议来实现无线局域网的 安全性， 随后又提出 802.11i标准以緩解 WEP协议中出现的安全漏洞，并支持接 入点对移动终端的单向认证。 同时， 美国 IEEE提出 IEEE802.16标准， 实现无线 城域网的安全性， 提供了基站对移动终端的单向认证， 随后 IEEE802.16e标准 借鉴 IEEE802.1 li标准也对 IEEE802.16标准进行了改进。

但是，发明人在研究中发现，现有的单向认证方法不能够实现基站或接入 点对移动终端的直接单向认证， 而都是基于认证服务器来实现的。 即， 当基站 或接入点在对移动终端进行单向认证时 ,需要在接入点和认证服务器之间或者 基站和服务器之间借助其它安全协议事先建立一条安全信道，再由认证服务器 来完成基站或接入点与移动终端之间的单向认证。而当安全信道的安全性出现 问题时， 就会影响单向认证的可靠性。 此外， 当网络系统中增加新的基站或接 入点时， 需要手动建立基站或接入点与认证服务器之间的安全信道， 不利于网 络系统的扩展。

发明内容

本发明实施例提供了一种单向接入认证的方法， 以保证单向认证的可靠 性。

本发明实施例公开了一种单向接入认证方法， 所述方法包括： 根据第三实 体预先建立的系统参数，第二实体发送认证请求及密钥分发分组消息给第一实 体， 所述第一实体验证所述认证请求及密钥分发分组消息是否有效； 当所述认 证请求及密钥分发分组消息有效时，所述第一实体生成认证及密钥响应分组消 息， 并将所述认证及密钥响应分组消息发送给所述第二实体， 所述第二实体验 证所述认证及密钥响应分组消息是否有效；当所述认证及密钥响应分组消息有 效时， 所述第二实体生成认证及密钥确认分组消息， 并发给所述第一实体， 所 述第一实体验证所述认证及密钥确认分组消息是否有效；当所述认证及密钥确 认分组消息有效时， 认证成功， 且密钥为协商的主密钥。

优选的，所述第一实体验证所述认证请求及密钥分发分组消息是否有效包 括： 利用所述认证请求及密钥分发分组消息中的秘密数据 SData和所述第一实 体的私钥获得所述认证请求及密钥分发分组消息中密钥密文 CKey的解密密钥 和完整性校验密钥； 通过所述完整性校验密钥得到第二消息完整性校验码； 判 断所述第二消息完整性校验码与所述认证请求及密钥分发分组消息中的第一 消息完整性校验码是否相同。

优选的， 所述第一实体验证所述认证及密钥确认分组消息是否有效包括： 判断所述认证及密钥确认分组消息中，第二实体使用的随机数是否为所述第一 实体产生的随机数，如果是， 判断所述认证及密钥确认分组消息中的第三消息 完整性校验码是否有效。

优选的， 所述第一实体包括： 电子标签或移动终端。

优选的， 所述第二实体包括： 读写器、 接入点或基站。

本发明实施例还公开了一种单向接入认证方法， 所述方法包括： 根据第三 实体预先建立的系统参数，第二实体发送认证请求及密钥分发分组消息给第一 实体， 所述第一实体验证所述认证请求及密钥分发分组消息是否有效； 当所述 认证请求及密钥分发分组消息有效时，所述第一实体生成认证及密钥响应分组 消息， 并将所述认证及密钥响应分组消息发送给所述第二实体， 所述第二实体 验证所述认证及密钥响应分组消息是否有效；当所述认证及密钥响应分组消息 有效时， 所述第二实体发送身份鉴别请求分组消息给所述第三实体， 由所述第 三实体对第一实体的身份有效性进行验证，并将所述身份鉴别响应分组消息发 送给所述第二实体；所述第二实体根据所述身份鉴别响应分组消息验证所述第 一实体的身份是否正确； 当所述第一实体的身份正确时， 第二实体生成认证及 密钥确认分组消息， 并发给所述第一实体， 所述第一实体验证所述认证及密钥 确认分组消息是否有效； 当所述认证及密钥确认分组消息有效时， 认证成功， 且密钥为协商的主密钥。

优选的，所述第一实体验证所述认证请求及密钥分发分组消息是否有效包 括： 利用所述认证请求及密钥分发分组消息中的秘密数据 SData和所述第一实 体的私钥获得所述认证请求及密钥分发分组消息中 CKey字段的解密密钥和完 整性校验密钥； 通过所述完整性校验密钥得到第二消息完整性校验码； 判断所 述第二消息完整性校验码与所述认证请求及密钥分发分组消息中的第一消息 完整性校验码是否相同。

优选的， 所述第一实体验证所述认证及密钥确认分组消息是否有效包括： 判断所述认证及密钥确认分组消息中，第二实体使用的随机数是否为所述第一 实体产生的随机数，如果是， 判断所述认证及密钥确认分组消息中的第三消息 完整性校验码是否有效。

优选的， 所述第一实体包括： 电子标签或移动终端。

优选的， 所述第二实体包括： 读写器、 接入点或基站。

由上述本发明实施例可以看出，第一实体与第二实体之间的认证不需要通 过认证服务器， 第三实体与第一实体和第二实体不需要建立安全信道， 由第一 实体和第二实体可以直接完成单向认证。此夕卜，将基于身份的公钥机制和 WAPI 的后台身份有效性鉴别机制结合起来， 还具有以下优点： 1、 维护工作量小。 本发明基于身份公钥机制， 不需要像传统公钥那样维护公钥基础设施 PKI。 2、 节约通信开销。在认证过程中无须传送数字证书，节约通信开销。 3、结合 WAPI 机制的身份鉴别功能，能够避免基于身份公钥机制中难以进行身份有效性验证 的缺点； 4、 与 WAPI不同的是， 在身份验证过程的 TTP签名中， 既可以使用传 统公钥算法， 也可以使用基于身份的公钥算法， 签名实现更为灵活。 5、 釆用 椭圓曲线上的双线性对，能够在不降低安全性的基础上，缩短安全数据的长度， 从而大大地提高计算和通信性能。 附图说明 图 1为本发明实施例中一种单向接入认证方法的流程示意图。

具体实施方式 本发明的方法是通过一个可信第三方 TTP来实现， 该可信第三方可以是认 证服务器或其它可实现认证功能的设备，可信第三方负责用户实体身份的物理 鉴别、 系统参数的生成以及用户参数的建立过程。

参照图 1 , 其为本发明实施例中一种单向接入认证方法的流程示意图。 具 体实现方法如下：

步骤 1 ) 由可信第三方建立系统参数， 该系统参数包括： 两个 q阶的循环 群 ( +)和 (^G2，'）、 的生成元？、 和（¾的双线性变换结果 e, 即 e ^ x — 和随机选取的可信第三方私钥 ^{S E Z} 以及对应的公钥 QTTP = ^STWP 。

这里实体用户 i的身份 IDi为该实体用户的公钥 ,其对应的私钥为 = S^ID, , 其中， i=l , 2。

上述步骤只是在首次应用时执行该步骤， 当建立好系统参数后，在以后的 重复应用中则无须重复执行该步骤。

步骤 2 )第二实体发送认证请求及密钥分发分组消息给第一实体， 由第一 实体验证第二实体发送的消息是否有效，如果有效， 生成认证及密钥响应分组 消息， 并发送给第二实体；

上述步骤 2 ) 中， 第二实体发送给第一实体的认证请求及密钥分发分组由 以下字段构成：

其中：

ID1字段： 第一实体的身份信息；

ID2字段： 第二实体的身份信息；

N2字段： 第二实体产生的随机数；

秘密数据 SData字段：由第二实体通过选取一个秘密随机数 r,并计算 r.P获 密钥密文 CKey字段： 封装有第二实体要传给第一实体的密钥 Key的密文， 即 Ckey = E_k(Key),这里加密密钥 k由 r.^^ ./Dl导出，导出的结果一部分作为加 密密钥， 导出的结果另一部分作为完整性密钥。

MIC1字段： 对 CKey字段及其 CKey字段之前的所有字段求消息完整性 校验码。

当在第一实体收到了第二实体发送的认证请求及密钥分发分组消息后，首 先， 利用消息中的 SData字段和自己的私钥 &

, 然后由计算结果导 出分别与加密密钥和第一完整性校验密钥对应的解密密钥和第二完整性校验 密钥， 用第二完整性校验密钥重新计算一个新的 MIC1'字段， 并与认证请求及 密钥分发分组消息中的 MIC1比较， 如果不相同， 丟弃该分组； 如果相同， 利 用解密密钥对 CKey字段进行解密， 得到密钥 Key, 并用密钥 Key导出一个新 的第三完整性校验密钥， 进入步骤 3 )。

步骤 3 ) 由第一实体生成认证及密钥响应分组消息， 并发送给第二实体， 由第二实体验证第一实体发送的消息是否有效，如果有效， 由第二实体生成认 证及密钥确认分组消息， 并发给第一实体；

上述步骤 3 ) 中， 第一实体发送给第二实体的认证及密钥响应分组消息由 以下字段构成：

其中：

ID1字段： 第一实体的身份信息；

ID2字段： 第二实体的身份信息；

N1字段： 第一实体产生的随机数；

N2'字段： 第一实体使用的随机数；

MIC2字段： 用由密钥 Key导出的第三完整性校验密钥对 N2字段及其 N2字 段之前所有字段求取的消息完整性校验码。

步骤 4 ) 当第一实体收到认证及密钥确认分组消息后， 由第一实体验证所 述消息是否有效， 如果是， 认证成功且密钥 Key为协商的主密钥。

上述步骤 4 ) 中， 第二实体发送给第一实体的认证及密钥确认分组消息由 以下字段构成：

其中：

ID1字段： 弟'一实体的身份信息；

ID2字段： 弟.二实体的身份信息；

ΝΓ字段： 弟.二实体使用的随机数;

MIC3字段：用由密钥 Key导出的完整性校验密钥 3对 N1字段及其 N1字段之 前所有字段求消息完整性校验码。

当第一实体收到第二实体发送的认证及密钥确认分组消息后，判断消息中 第二实体使用的随机数 ΝΓ是否为自己产生的随机数， 如果不是， 则丟弃该消 息， 如果是， 利用新的完整性校验密钥 3判断 MIC3字段是否有效， 如果无效， 则丟弃该分组， 如果有效， 认证成功且密钥 Key为协商的主密钥。

为进一步提高安全性，当第二实体收到第一实体发送的认证及密钥响应分 组消息后，还可以对第一实体进行身份有效性验证， 当对第一实体的身份验证 通过后， 再向第一实体发送认证及密钥确认分组消息。 则在步骤 3 )和步骤 4 ) 之间还包括：

步骤 21 )第二实体发送身份鉴别请求分组消息给可信第三方， 由可信第三 方对第一实体的身份有效性进行验证；

上述步骤 21 ) 中， 身份鉴别请求分组消息由以下字段构成：

其中：

ID2字段： 第二实体的身份信息；

TTP字段： 负责对其他设备身份进行有效性验证的可信第三方；

ID1字段： 第一实体的身份信息；

N1字段： 第一实体产生的随机数；

N2字段： 第二实体产生的随机数。

步骤 31 )可信第三方根据验证结果生成身份鉴别响应分组消息， 并发送给 第二实体， 第二实体根据身份鉴别响应分组消息验证第一实体的身份是否正 确， 正确则进至步骤 3 ) 。

上述步骤 31 )中， 可信第三方发送给第二实体的身份鉴别响应分组消息由 以下字段构成：

其中：

ID1字段： 第一实体的身份信息；

ID2字段： 第二实体的身份信息；

TTP字段： 负责对其他设备身份进行有效性验证的可信第三方

N1字段： 第一实体产生的随机数；

N2字段： 第二实体产生的随机数；

RES1字段： TTP对第一实体身份的有效性验证结果；

SigTTP字段： TTP对 RES1字段及其 RES1字段之前所有字段进行的数字签 名， 可以是传统的基于 PKI的签名， 也可以是基于身份的签名。

当可信第三方收到第二实体发送的身份鉴别请求分组消息后，对第一实体 的身份进行验证， 并将验证结果封装在身份鉴别响应分组消息中，发送给第二 实体。 该份鉴别响应分组和身份鉴别请求分组成对出现。

通过身份鉴别响应分组中 RES1字段， 第二实体可以判断出第一实体的身 份的有效性。

通过以上过程， 实现了第二实体对第一实体的单向认证， 并建立共享的 主密钥 Key。

当本发明应用在在 RFID网络中时， 第二实体即为读写器， 第一实体即为 电子标签， 以解决 RFID网络中读写器对电子标签认证问题， 并由读写器为电 子标签分发共享密钥，即实现读写器对电子标签的认证，并产生共享的主密钥。

当本发明应用在无线局域网中时， 第二实体即为接入点， 第一实体即为移 动终端， 以解决无线局域网中接入点对移动终端认证问题， 并由接入点为移动 终端分发共享密钥， 即实现接入点对移动终端的认证， 并产生共享的主密钥。

本发明应用在无线城域网中时， 第二实体即为基站， 第一实体即为移动终 端， 以解决无线城域网中基站对移动终端认证问题， 并由基站为移动终端分发 共享密钥， 即实现基站对移动终端的认证， 并产生共享的主密钥。

由上述本发明实施例可以看出，第一实体与第二实体之间的认证不需要通 过认证服务器， 第三实体与第一实体和第二实体不需要建立安全信道， 由第一 实体和第二实体可以直接完成单向认证。此夕卜，将基于身份的公钥机制和 WAPI 的后台身份有效性鉴别机制结合起来， 还具有以下优点： 1、 维护工作量小。 本发明基于身份的公钥机制，不需要像传统公钥那样维护公钥基础设施 PKI。 2、 节约通信开销。在认证过程中无须传送数字证书，节约通信开销。 3、结合 WAPI 机制的身份鉴别功能，能够避免基于身份公钥机制中难以进行身份有效性验证 的缺点； 4、 与 WAPI不同的是， 在身份验证过程的 TTP签名中， 既可以使用传 统公钥算法， 也可以使用基于身份的公钥算法， 签名实现更为灵活。 5、 釆用 椭圓曲线上的双线性对，能够在不降低安全性的基础上，缩短安全数据的长度， 从而大大地提高计算和通信性能。

Claims

OP080835 WO 2009/067901 PCT/CN2008/072979 -9- 权 利 要 求

1、 一种单向接入认证方法， 其特征在于， 所述方法包括：

根据第三实体预先建立的系统参数，第二实体发送认证请求及密钥分发分 组消息给第一实体，所述第一实体验证所述认证请求及密钥分发分组消息是否 有效

当所述认证请求及密钥分发分组消息有效时，所述第一实体生成认证及密 钥响应分组消息， 并将所述认证及密钥响应分组消息发送给所述第二实体， 所 述第二实体验证所述认证及密钥响应分组消息是否有效；

当所述认证及密钥响应分组消息有效时，所述第二实体生成认证及密钥确 认分组消息， 并发给所述第一实体， 所述第一实体验证所述认证及密钥确认分 组消息是否有效；

当所述认证及密钥确认分组消息有效时，认证成功， 且密钥为协商的主密 钥。

2、 根据权利要求 1所述的方法， 其特征在于， 所述第一实体验证所述认证 请求及密钥分发分组消息是否有效包括：

利用所述认证请求及密钥分发分组消息中的秘密数据 SData字段和所述第 一实体的私钥获得所述认证请求及密钥分发分组消息中密钥密文 CKey字段的 解密密钥和完整性校验密钥；

通过所述完整性校验密钥得到第二消息完整性校验码；

判断所述第二消息完整性校验码与所述认证请求及密钥分发分组消息中 的第一消息完整性校验码是否相同。

3、 根据权利要求 1所述的方法， 其特征在于， 所述第一实体验证所述认证 及密钥确认分组消息是否有效包括：

判断所述认证及密钥确认分组消息中，第二实体使用的随机数是否为所述 第一实体产生的随机数， 如果是， 判断所述认证及密钥确认分组消息中的第三 消息完整性校验码是否有效。

4、 根据权利要求 1-3任意一项所述的方法， 其特征在于， 所述第一实体包 括：

电子标签或移动终端。 OP080835

WO 2009/067901 PCT/CN2008/072979

- 10-

5、 根据权利要求 1-3任意一项所述的方法， 其特征在于， 所述第二实体包 括：

读写器、 接入点或基站。

6、 一种单向接入认证方法， 其特征在于， 所述方法包括：

根据第三实体预先建立的系统参数，第二实体发送认证请求及密钥分发分 组消息给第一实体，所述第一实体验证所述认证请求及密钥分发分组消息是否 有效；

当所述认证请求及密钥分发分组消息有效时，所述第一实体生成认证及密 钥响应分组消息， 并将所述认证及密钥响应分组消息发送给所述第二实体， 所 述第二实体验证所述认证及密钥响应分组消息是否有效；

当所述认证及密钥响应分组消息有效时，所述第二实体发送身份鉴别请求 分组消息给所述第三实体， 由所述第三实体对第一实体的身份有效性进行验 证， 并将所述身份鉴别响应分组消息发送给所述第二实体；

所述第二实体根据所述身份鉴别响应分组消息验证所述第一实体的身份 是否正确；

当所述第一实体的身份正确时， 第二实体生成认证及密钥确认分组消息， 并发给所述第一实体，所述第一实体验证所述认证及密钥确认分组消息是否有 效；

当所述认证及密钥确认分组消息有效时，认证成功， 且密钥为协商的主密 钥。

7、 根据权利要求 4所述的方法， 其特征在于， 所述第一实体验证所述认证 请求及密钥分发分组消息是否有效包括：

利用所述认证请求及密钥分发分组消息中的秘密数据 SData字段和所述第 一实体的私钥获得所述认证请求及密钥分发分组消息中密钥密文 CKey字段的 解密密钥和完整性校验密钥；

通过所述完整性校验密钥得到第二消息完整性校验码；

判断所述第二消息完整性校验码与所述认证请求及密钥分发分组消息中 的第一消息完整性校验码是否相同。

8、 根据权利要求 4所述的方法， 其特征在于， 所述第一实体验证所述认证 OP080835

WO 2009/067901 PCT/CN2008/072979

- 11 - 及密钥确认分组消息是否有效包括：

判断所述认证及密钥确认分组消息中，第二实体使用的随机数是否为所述 第一实体产生的随机数， 如果是， 判断所述认证及密钥确认分组消息中的第三 消息完整性校验码是否有效。

9、 根据权利要求 6-8任意一项所述的方法， 其特征在于， 所述第一实体包 括：

电子标签或移动终端。

10、 根据权利要求 6-8任意一项所述的方法， 其特征在于， 所述第二实体 包括：

读写器、 接入点或基站。