WO2009109136A1 - 一种实用的基于可信第三方的实体双向鉴别方法 - Google Patents

Description

一种实用的基于可信第三方的实体双向鉴别方法

本申请要求于 2008 年 3 月 6 日提交中国专利局、 申请号为 200810017646.5、 发明名称为"一种实用的基于可信第三方的实体双向鉴别方 法"的中国专利申请的优先权， 其全部内容通过引用结合在本申请中。

技术领域

本发明涉及一种实用的基于可信第三方的实体双向鉴别方法。

背景技术

采用非对称密码技术的实体鉴别方法可分为两种类型 ,即单向鉴别和双向 鉴别。鉴别的唯一性或时效性由时变参数进行标识， 常被用作时变参数的有时 间标记、 顺序号和随机数等。 若采用时间标记或顺序号作为时变参数， 则单向 鉴别只需要采用一次消息传递， 双向鉴别需要采用两次消息传递； 若采用随机 数作为时变参数， 则单向鉴别需要采用两次消息传递，双向鉴别需要采用三次 消息传递或四次消息传递（即两次消息传递的并行鉴别）。

不论上述哪种鉴别机制，在运行之前或运行当中，验证者必须具有声称者 的有效公开密钥， 否则鉴别过程会受到损害或不能成功完成。 在此， 以双向鉴 别的三次传递方法为例进行说明：

参 见 图 1 , 权 标 TokenAB=R_A||R_B||B||Text3||sS_A(R_A||R_B||B||Text2)， TokenBA=R_B||R_A||A||Text5||sS_B(R_B||R_A||A||Text4)。 其中， X为实体区分符， 该鉴 别系统有 A和 B两个鉴别实体； Cert_x表示实体 X的证书； sS_x表示实体 X的 签名； R_x表示实体 X产生的随机数； Text为可选文本字段。

三次传递鉴别机制运行过程详述如下：

1 ) 实体 B发送随机数 R_B、 可选项文本 Textl给实体 A;

2 ) 实体 A发送权标 TokenAB、 可选项证书 Cert_A给实体 B;

3 ) 实体 B收到实体 A发送的消息后 , 执行以下步骤： 密钥。

3.2 )获取实体 A的公钥后 , 验证步骤 2 ) 中的 TokenAB的签名 , 校验区 分符 B的正确性， 并检查步骤 1 )中发送的随机数 R_B和 TokenAB中的随机数 R_B是否相符， 实体 B完成对实体 A的验证； 4 ) 实体 B发送权标 TokenBA, 可选项证书 Cert_B给实体 A;

5 ) 实体 A收到实体 B发送的包括 TokenBA的消息后， 执行以下步骤： 5.1 )通过检验实体 B的证书或通过别的方式确保拥有实体 B的有效公开 密钥；

5.2 )获取实体 B的公钥后， 验证 4)中的 TokenBA的签名 , 校验区分符 A 的正确性， 并检查步骤 2 ) 中发送的随机数 R_A和 TokenBA中的随机数 R_A是 否相符及 1 )中收到的随机数 R_B和 TokenBA中的随机数 R_B是否相符； 实体 A 完成对实体 B的验证。

可见， 三次传递鉴别机制欲运行成功必须确保实体 A和 B分别拥有对方 的有效公开密钥，而如何获得对方公开密钥及其有效性，协议本身并没有涉及。 这一保障需求条件在目前很多应用环境下都不能满足，比如通信网络通常采用 实体鉴别机制实现用户接入控制功能，在鉴别机制成功完成前， 禁止用户访问 网络，因而在鉴别之前用户无法或难以访问证书机构获得对端实体——网络接 入点公开密钥的有效性。

目前通信网络通常需要在用户和网^矣入点之间完成双向鉴别，以确保合 法用户接入合法网络， 因此对于网络实体而言，在鉴别之前若不需知晓通信对 端实体的有效公开密钥， 而是在鉴别过程中完成对端实体公开密钥的验证， 则 不仅完善了传统的实体鉴别机制，而且使其在实际应用中具有良好的可行性和 易用性。 另外， 不论上述哪种鉴别机制， 鉴别实体都需要进行公钥计算， 而公 钥计算比较耗时，这对于计算能力较弱的鉴别实体而言，鉴别协议难以得到应 用。 因此， 协议的设计应在保障鉴别功能的基础上， 尽可能减少鉴别实体的公 钥计算次数。

发明内容

本发明为解决背景技术中存在的上述技术问题，而提出一种实用的基于可 信第三方的实体双向鉴别方法。

本发明的技术解决方案是：

一种实用的基于可信第三方的实体双向鉴别方法， 包括：

实体 A接收实体 B发送的包含所述实体 B的鉴别参数的消息 1后， 向可 信第三方 TP发送消息 2, 所述消息 2中包含所述实体 B的鉴别参数和所述实 体 A的鉴别参数；

实体 A接收所述可信第三方 TP发送的消息 3 , 所述消息 3中包含所述可 信第三方 TP根据所述消息 2对所述实体 A和实体 B是否合法进行检查后的检 查结果；

实体 A对所述消息 3进行验证后， 得到实体 B的验证结果， 向所述实体

B发送消息 4,用于使所述实体 B根据所述消息 4进行验证并得到实体 A的验 证结果。

所述消息 1 包括时变参数 R_B、 身份标识 ID_B、 权标 TokenBA、 可选项文 本 Textl;

所述消息 2包括时变参数 R_A和 R_B、 身份标识 ID_A和 ID_B、 权标 TokenAT 和 TokenBA、 可选项文本 Textl和 Tex2;

所述消息 3包括权标 TokenTA和可选项文本 Text3或者包括权标 TokenTAl 和 TokenTA2;

所述消息 4 包括权标 TokenTA 和可选项文本 Tex3 或者包括权标 TokenTA2。

所述对实体 A和实体 B是否合法进行检查包括：

若消息 2中实体 A和实体 B的身份标识 ID_A和 ID_B为证书， 则验证权标 TokenBA和 TokenAT中实体 B和实体 A的签名， 若验证不通过， 则直接丢弃 消息 2; 若验证通过， 则检查所述证书的有效性；

若所述证书无效， 则直接丢弃所述消息 2、 或返回所述消息 3; 若所述证 书有效， 则向所述实体 A返回所述消息 3。

所述对实体 A和实体 B是否合法进行检查包括：

若消息 2中实体 A和实体 B的身份标识 ID_A和 ID_B为区分符， 则搜索并 检查实体 A和实体 B相应的公钥及其有效性， 若搜索不到所述相应的公钥、 或搜索到的所述相应公钥无效， 则直接丢弃消息 2、 或返回消息 3; 若搜索到 所述相应的公钥， 且所述搜索到的相应公钥有效， 则验证所述权标 TokenBA 和 TokenAT中实体 B和实体 A的签名；

若验证所述签名不通过， 则直接丢弃所述消息 2; 若验证所述签名通过， 则向所述实体 A返回所述消息 3。 所述实体 A对所述消息 3进行验证包括：

所述实体 A验证所述 TokenTA或 TokenTAl中可信第三方 TP的签名 ,并 检查所述消息 2中的时变参数 R_A与 TokenTA或 TokenTAl 中的时变参数 R_A 是否相符， 若相符则得到所述实体 B的验证结果 Pub_B。

所述实体 B才 据所述消息 4进行验证包括：

所述实体 B验证所述 TokenTA或 TokenTA2中可信第三方 TP的签名 , 并 检查所述消息 1 中的时变参数 R_B与 TokenTA或 TokenTA2中的时变参数 R_B 是否相符， 若相符则得到所述实体 A的验证结果 Pub_A。

所述实体 A接收实体 B发送的消息 1之前， 还包括：

实体 A向实体 B发送包含所述实体 A的鉴别参数的消息 0， 所述实体 B 接收到所述消息 0后向所述实体 A发送所述消息 1。

所述消息 0包括时变参数 R_A、 身份标识 ID_A、 可选项文本 Text0。

所述时变参数是随机数、 时间标记、 或顺序号。

本发明采用三实体构架，鉴别实体在鉴别之前需获得可信第三方的公钥或 证书，并获得可信第三方颁发给自己的用户证书或将自己的公钥交给可信第三 方保管， 而无需事先知晓对端鉴别实体的有效公开密钥。 在协议运行中， 鉴别 实体的公开密钥及其有效性通过可信第三方的搜索和验证， 自动传递给所需的 对端； 在协议运行中，鉴别实体的验证签名工作尽可能交由通常计算能力较强 的可信第三方完成。本发明相比传统鉴别机制， 定义了公开密钥的在线检索和 鉴别机制， 实现了对它的集中管理， 简化了协议的运行条件， 降低了对鉴别实 体的计算能力要求， 可满足资源较差的网络设备的高安全性需求。

附图说明

图 1为现有技术中三次传递鉴别机制的鉴别示意图；

图 2为本发明的鉴别示意图。

具体实施方式

参见图 2， 本发明的方法涉及三个实体， 两个鉴别实体 A和 B, —个可信 第三方 TP ( Trusted third Party )， 可信第三方 TP为鉴别实体 A和 B的可信第 三方。 将这种通过可信第三方 TP实现两实体 A、 B之间对等鉴别的系统， 称 之为三元对等鉴别 TePA( Tri-element Peer Authentication )系统。图 2中， Valid_x 表示证书 Cert_x的有效性； PublicKeyx为实体 X的公钥； ID_X为实体 X的身份 标识， 由证书 Certx或者实体的区分符 X表示； Pub_x表示实体 X的验证结果， 由证书 Certx及其有效性 Valid_x组成或者由实体 X及其公钥 PublicKeyx组成 , Token为权标字段， 定义如下：

TokenBA =sS_B(R_B||ID_B||Textl))

TokenAT = sS_A(R_A||R_B||ID_A||ID_B||Text2)

TokenTA = Ι ΑΙΙΙ ΒΙΙΡΙΛΑΙΙΡΙΛΒΙ^Τ^Ι ΑΙΙΙ ΒΙΙΡΙΛΑΙΙΡΙΛΒΙΙΤ

TokenTAl = R_A| |Pub_B| |Text4| | SSTP(R_a| |Pub_B| |Text4)

TokenTA2 = R_B| |Pub_A| |Text511 SSTP(R_b| |Pub_A| |Text5)

其具体流程如下：

1 )实体 B向实体 A发送消息 1， 消息 1包括时变参数 R_B、身份标识 ID_B、 权标 TokenB A、 可选项文本 Textl；

2 ) 实体 A收到消息 1后， 向可信第三方 TP发送消息 2, 消息 2包括时 变参数 R_A和 R_B、 身份标识 ID_A和 1 、 权标 TokenBA和 TokenAT以及可选 项文本 Textl和 Text2;

3 )可信第三方 TP收到消息 2后， 检查实体 A和实体 B是否合法； 其中： 若消息 2 中实体 A和实体 B 的身份标识为证书， 则验证权标

TokenBA和 TokenAT中实体 B和实体 A的签名， 若验证不通过， 则直接丢弃 消息 2; 否则检查实体 A和实体 B证书的有效性， 若无效， 则直接丢弃消息 2 或返回消息 3; 若有效， 返回消息 3， 执行步骤 4 ) 。

若消息 2中实体 A和实体 B的身份标识为区分符， 则搜索并检查实体 A 和实体 B相应的公钥及其有效性； 若搜索不到对应的公钥或公钥无效， 则直 接丢弃消息 2 或返回消息 3; 若搜索到且有效， 则再验证权标 TokenBA和 TokenAT中实体 B和实体 A的签名， 若验证不通过， 则直接丢弃消息 2; 若验 证通过， 则返回消息 3， 执行步骤 4 ) 。

4 )可信第三方 TP检查完实体 A和实体 B的合法性后， 向实体 A返回消 息 3 , 消息 3包括权标 TokenTA和可选项文本 Text3或者包含权标 TokenTAl 和 TokenTA2;

5 ) 实体 A收到消息 3后， 进行验证。 验证 TokenTA或 TokenTAl中可信 第三方 TP的签名 , 并检查消息 2中的时变参数 R_A与 TokenTA或 TokenTAl 中的时变参数 R_A是否相符， 相符则得到实体 B的验证结果 Pub_B;

6 ) 实体 A完成对消息 3的-险证后， 向实体 B发送消息 4 , 消息 4包括权

7 ) 实体 B收到消息 4后， 进行验证。 验证 TokenTA或 TokenTA2中可信 第三方 TP的签名， 并检查消息 1 中的时变参数 R_B与 TokenTA或 TokenTA2 中的时变参数 R_B是否相符， 相符则得到实体 A的验证结果 Pub_A。

需说明的是：

1、 本发明中的时变参数可采用随机数、 时间标记或顺序号。

2、 在某些情况下， 便于协议执行， 协议的启动可由实体 A激活， 即实体 A首先向实体 B发送消息 0，实体 B收到消息 0之后 ,再开始上述的 Ί个步骤。 此时， 消息 0包括时变参数 R_A、 身份标识 ID_A、 可选项文本 TextO, 消息 1中 的权标 TokenBA =sS_B(R_A||R_B||ID_A||ID_B||Textl)。

Claims

权 利 要 求

1、 一种实用的基于可信第三方的实体双向鉴别方法， 其特征在于， 包括： 实体 A接收实体 B发送的包含所述实体 B的鉴别参数的消息 1后， 向可 信第三方 TP发送消息 2, 所述消息 2中包含所述实体 B的鉴别参数和所述实 体 A的鉴别参数；

实体 A接收所述可信第三方 TP发送的消息 3 , 所述消息 3中包含所述可 信第三方 TP根据所述消息 2对所述实体 A和实体 B是否合法进行检查后的检 查结果；

实体 A对所述消息 3进行验证后 , 得到实体 B的验证结果， 向所述实体 B发送消息 4，用于使所述实体 B根据所述消息 4进行验证并得到实体 A的验 证结果。

2、 根据权利要求 1所述的方法， 其特征在于， 所述消息 1包括时变参数 R_B、 身份标识 ID_B、 权标 TokenBA、 可选项文本 Textl ;

所述消息 2包括时变参数 R_A和 R_B、 身份标识 ID_A和 ID_B、 权标 TokenAT 和 TokenBA、 可选项文本 Textl和 Tex2;

所述消息 3包括权标 TokenTA和可选项文本 Text3或者包括权标 TokenTAl 和 TokenTA2;

所述消息 4 包括权标 TokenTA 和可选项文本 Tex3 或者包括权标 TokenTA2。

3、 根据权利要求 2所述的方法， 其特征在于： 所述对实体 A和实体 B是 否合法进行检查包括：

若消息 2中实体 A和实体 B的身份标识 ID_A和 ID_B为证书， 则验证权标 TokenBA和 TokenAT中实体 B和实体 A的签名， 若验证不通过， 则直接丢弃 消息 2; 若验证通过， 则检查所述证书的有效性；

若所述证书无效， 则直接丢弃所述消息 2、 或返回所述消息 3; 若所述证 书有效， 则向所述实体 A返回所述消息 3。

4、 根据权利要求 1所述的方法， 其特征在于： 所述对实体 A和实体 B是 否合法进行检查包括：

若消息 2中实体 A和实体 B的身份标识 ID_A和 ID_B为区分符， 则搜索并 检查实体 A和实体 B相应的公钥及其有效性， 若搜索不到所述相应的公钥、 或搜索到的所述相应公钥无效， 则直接丢弃消息 2、 或返回消息 3; 若搜索到 所述相应的公钥， 且所述搜索到的相应公钥有效， 则验证所述权标 TokenBA 和 TokenAT中实体 B和实体 A的签名；

若验证所述签名不通过， 则直接丢弃所述消息 2; 若验证所述签名通过， 则向所述实体 A返回所述消息 3。

5、 根据权利要求 2所述的方法， 其特征在于： 所述实体 A对所述消息 3 进行验证包括：

所述实体 A验证所述 TokenTA或 TokenTAl中可信第三方 TP的签名 ,并 检查所述消息 2中的时变参数 R_A与 TokenTA或 TokenTAl 中的时变参数 R_A 是否相符， 若相符则得到所述实体 B的验证结果 Pub_B。

6、 根据权利要求 2所述的方法， 其特征在于： 所述实体 B根据所述消息 4进行验证包括：

所述实体 B验证所述 TokenTA或 TokenTA2中可信第三方 TP的签名 , 并 检查所述消息 1 中的时变参数 R_B与 TokenTA或 TokenTA2中的时变参数 R_B 是否相符， 若相符则得到所述实体 A的验证结果 Pub_A。

7、 根据权利要求 1所述的方法， 其特征在于： 所述实体 A接收实体 B发 送的消息 1之前， 还包括：

实体 A向实体 B发送包含所述实体 A的鉴别参数的消息 0， 所述实体 B 接收到所述消息 0后向所述实体 A发送所述消息 1。

8、 根据权利要求 7所述的方法， 其特征在于， 所述消息 0包括： 时变参 数 R_A、 身份标识 ID_A、 可选项文本 Text0。

9、 根据权利要求 1至 8任意一项所述的方法， 其特征在于： 所述时变参 数是随机数、 时间标记或顺序号。