WO2011109960A1

WO2011109960A1 - 基于身份的双向认证方法及系统

Info

Publication number: WO2011109960A1
Application number: PCT/CN2010/073384
Authority: WO
Inventors: 庞辽军; 曹军; 杜志强; 黄振海; 张国强; 王珂; 胡亚楠
Original assignee: 西安西电捷通无线网络通信股份有限公司
Priority date: 2010-03-12
Filing date: 2010-05-31
Publication date: 2011-09-15
Also published as: CN101814991A; CN101814991B

Description

基于身份的双向认证方法及系统本申请要求于 2010年 3月 12日提交中国专利局、申请号为 201010123250.6、发明名称为"基于身份的双向认证方法及系统"的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明属网络安全技术领域，尤其涉及一种基于身份的双向认证方法及系统。

背景技术

对于无线网络来说，如无线局域网或无线城域网等，其安全问题远比有线以太网严重的多。射频识别标签（ RFID , Radio Frequency IDentification )同样面临安全问题，在进行安全通信之前，必须有效地解决 RFID系统中读写器和电子标签之间的安全认证问题。由于在认证过程中需要管理数字证书，从而导致系统具有过大的通信量和管理负载，不适合 RFID领域。而基于身份的公钥机制能够满足 RFID应用需求。在基于身份的公钥机制中，用户的公钥就是由其可公开的身份信息 ID ( IDentification )经 Hash运算生成的信息，或者，有时也可以直接使用其身份信息，用户不需要管理公钥簿。在认证过程中，也不再需要像传统公钥系统那样进行证书的传递和验证，只需要知道各参与者的身份信息和一些系统参数即可。现有的一些基于身份的双向认证方案由于考虑"身份遗漏"等攻击，协议分组信息量较大，对于某些带宽较低的 RFID系统不合适。基于身份的密码体制，在不降低安全性的前提下，降低系统通信量的安全协议是本发明所要解决的技术问题。

发明内容

为了解决背景技术中存在的上述技术问题，本发明提供了一种能实现电子标签与读写器之间的双向认证并产生共享的会话密钥、节约通信开销以及进一步降低通信和计算复杂度的基于身份的 RFID双向认证方法及系统。本发明的技术解决方案是：本发明提供了一种基于身份的双向认证方法，其特殊之处在于：所述基于身份的双向认证方法包括以下步骤：

1 ) 由读写器 ID₂向电子标签发送认证请求分组，该分组包括： PFLAG 字段、 N₂字段以及 MI 字段，其中：

PFLAG字段：表示该分组的类别及组成信息；

N₂字段：表示由 ID₂选取的随机数；

MI 字段：表示完整性校验值；

2 ) 当电子标签收到读写器 ID₂发送的认证请求分组后，构造认证响应分组发送给读写器 ID₂, 该认证响应分组包括 PFLAG字段、字段、 N₂字段以及 MIC₂字段，其中：

PFLAG字段，表示该分组的类别及组成信息；

字段，表示由 10选取的随机数；

N₂字段，表示由 ID₂选取的随机数，其值应与认证请求分组中的 N₂字段值相等；

MIC₂字段，表示完整性校验值；

5 ) 当读写器 ID₂收到电子标签发送的认证响应分组后，构造认证确认分组发送给电子标签 , 该认证确认分组包括 PFLAG字段、字段以及 MIC₃ 字段，其中：

PFLAG字段，表示该分组的类别及组成信息；

字段，表示由选取的随机数，其值应与认证响应分组中的^字段值相等；

MIC₃字段，表示完整性校验密钥。

上所述基于身份的 RFID双向认证方法在步骤 2 )之后还包括：

3 ) 当读写器 ID₂收到电子标签发送的认证响应分组后，构造身份鉴别请求分组发送给可信第三方 ΤΤΡ,该身份鉴别请求分组包括： PFLAG字段、字段、 ID₂字段、 TTP字段、 ^字段以及 N₂字段，其中：

PFLAG字段，表示该分组的类别及组成信息； IDi字段，表示电子标签的身份信息；

ID₂字段，表示读写器的身份信息；

TTP字段，表示可信第三方 TTP的身份信息；

字段，表示由 10₁选取的随机数，其值应与接入认证响应分组中的 ^字段值相同；

N₂字段，表示由 ID₂选取的随机数，其值应与接入认证请求分组中的 N₂字段值相同；

4 ) 当可信第三方 TTP收到读写器 ID₂发送的身份鉴别请求分组后，构造身份鉴别响应分组发送给读写器 ID₂, 该身份鉴别响应分组包括： PFLAG字段、 N₂字段、 RESi字段、 RES₂字段以及 Sig_TTp字段，其中：

PFLAG字段，表示该分组的类别及组成信息；

N₂字段，表示由 ID₂选取的随机数，其值应与身份鉴别请求分组中的 ^字段值相同；

RES字段，表示由 TTP对的身份鉴别结果；

RES₂字段，表示由 TTP对 ID₂的身份鉴别结果；

Sig_TTp字段，表示 TTP对该字段之前所有字段以及 n^llIDzllNJITTP进行的签名。

上述步骤 5 ) 当读写器 ID₂收到可信第三方 TTP发送的身份鉴别响应分组后，构造认证确认分组发送给电子标签 ID 该认证确认分组包括 PFLAG字段、字段、 MIC₃字段、 TTP字段、 RES字段、 RES₂字段以及 Sig_TTP字段，其中： PFLAG字段，表示该分组的类别及组成信息；

MIC₃字段，表示完整性校验密钥；

TTP字段，表示可信第三方 TTP的身份信息；

RES字段，表示由 TTP对的身份鉴别结果；

RES₂字段，表示由 TTP对 ID₂的身份鉴别结果； Sig_TTp字段，表示 TTP对该字段之前所有字段进行的签名。

上述步骤 1 )中 MIC^々计算过程为：利用读写器的私钥&和的身份计算 MK=e(_JF(ID₁), S₂)= e(Q S₂); 以 MK为密钥，对 PFLAGIIN in^llIDz计算 ΜΙ(^。

上述步骤 2 ) 的具体实现方式是：当电子标签收到读写器 ID₂发送的认证请求分组后，首先利用电子标签的私钥和 ID₂的身份计算 MK=£ F(ID₂), S₁)=e(Q₂, S^== e(Q S₂) ; 然后以 MK为密钥重新对 PFLAGHNzllIDJIIDz计算 Mid , 并与认证及请求分组中的 MI 比较，如果不相等，丟弃该分组；如果相等，构造认证响应分组发送给读写器 ID₂。

上述步骤 2 ) 中 MIC₂的计算过程为：以 MKHNJIN2为密钥种子进行密钥推导，导出一个会话消息完整性校验密钥 SIK和一个会话加密密钥 SEK; 以 MKIISIK为密钥，对 PFLAGIIN lN in^llIDz计算 MIC₂。

上述步骤 3 ) 的具体实现方式是：当读写器 ID₂收到电子标签 ₁发送的认证响应分组后，首先判断 N₂是否是读写器 ID₂选取的随机数，如果不是，则丟弃该分组；如果是，以为密钥种子进行密钥推导，导出一个会话消息完整性校验密钥 SIK和一个会话加密密钥 SEK, 接着，利用 MKIISIK为密钥对 PFLAGIINJINdin^llIDz重新计算 MIC₂并与接收到的 MIC₂值进行比较，如果不相等，则丟弃该分组，如果相等，判断是否需要进行身份鉴别；如果需要进行身份鉴别，则先向可信第三方 TTP发送身份鉴别请求分组，等收到身份鉴别响直接构造认证确认分组发送给电子标签。

上述步骤 3 ) 中 MIC₃的计算过程为：以 SIK为密钥，对 PFLAGHNJI IDJIID2 计算 MIC₃。

上述步骤 4 ) 的具体实现方式是：当读写器 ID₂收到可信第三方 TTP发送的身份鉴别响应分组后，首先，判断 N₂是否是读写器 ID₂当前选取的随机数，如果不是，则丟弃该分组；如果是，验证可信第三方 TTP的签名 Sig_TTP是否正确；如果不正确，则丟弃该分组；如果正确，构造认证确认分组发送给电子标签 IID 上述步骤 4 ) 中 Sig_TTP字段计算过程为： TTP对该字段之前所有字段以及 ID^IDzllNJITTP进行的签名，可以是传统的基于 PKI的签名，也可以是基于身份的签名。

上述步骤 5 ) 的具体实现方式是：当电子标签收到读写器 ID₂发送的认证确认分组后，首先判断^是否是电子标签选取的随机数，如果不是，则丟弃该分组；如果是，利用完整性校验密钥 SIK重新计算 MIC₃并与接收到的 MIC₃ 值进行比较；如果不相等，则丟弃该分组；如果相等，则电子标签完成对 ID₂的会话密钥 SIK的验证。

一种基于身份的双向认证系统，其特殊之处在于：所述基于身份的 RFID 双向认证系统包括读写器 ID₂以及电子标签；所述读写器 ID₂向电子标签发送认证请求分组以及认证确认分组；所述电子标签接收来自读写器 ID₂的上述基于身份的双向认证系统还包括可信第三方 TTP, 所述可信第三方 TTP接收来自读写器 ID₂发送的身份鉴别请求分组以及做出身份鉴别响应分组反馈于读写器 ID₂。

本发明的优点是：

1、能实现电子标签与读写器之间的双向认证并产生共享的回话密钥。本发明解决 RFID网络中电子标签与读写器之间的接入认证问题：基于身份的公钥机制，不需要像传统公钥那样维护 PKI和管理数字证书；即实现电子标签与读写器之间的双向认证，并产生共享的会话密钥。

2、节约通信开销。本发明在认证过程中无须传送数字证书，节约通信开销。

3、进一步降低通信和计算复杂度。本发明使用消息完整性校验 MIC代替签名操作，进一步降低通信和计算复杂度。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例中所需要使用的附图作筒单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图 1为本发明所提供的基于身份的双向认证方法的流程示意图；

图 2为本发明所提供的基于身份的双向认证系统结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

参见图 1 , 本发明提供了一种基于身份的双向认证方法，该方法包含以下步骤：

1 )认证请求分组：

认证请求分组由读写器（ID₂ )发送给电子标签以激活认证过程，该分组如表 1所示，具体包括：

PFLAG

MIC 表 1 其中：

PFLAG字段，表示该分组的类别及组成信息。

N₂字段，表示由 ID₂选取的随机数。

MI 字段，表示完整性校验值。 MIC^々计算过程为：

a )利用读写器 ID₂的私钥&和的身份计算 MK aD , S₂)= e(Q S₂); b ) 以 MK为密钥，对 PFLAGIIN2IIIDJIID2计算 ΜΙ(^。

在设备收到了 ID₂发送的认证请求分组后，首先利用电子标签的私钥和 ID₂的身份计算 MK=e(F(ID₂), S^= e(Q₂, S^== e(Q S₂); 然后以 MK为密钥重新对 PFLAGIIN2IIIDJIID2计算 Mid , 并与认证及请求分组中的 MI 比较。如果不相等，丟弃该分组；否则，构造认证响应分组发送给 ID₂。这时完成对 ID₂的身份验证。

2 )认证响应分组：

认证响应分组由电子标签发送给读写器（ID₂ ), 该分组如表 2所示，具体包括:

表 2

其中：

PFLAG字段，表示该分组的类别及组成信息。

字段，表示由 10选取的随机数。

N₂字段，表示由 ID₂选取的随机数，其值应与认证请求分组中的 N₂字段值相等。

MIC₂字段，表示完整性校验值。 MIC₂的计算过程为：

a ) 以 MKIIN1IIN2为密钥种子进行密钥推导，导出一个会话消息完整性校验密钥 SIK和一个会话加密密钥 SEK;

b ) 以 MKIISIK为密钥，对 PFLAGnNJINzllH^IIIDz计算 MIC₂。

当 ID₂收到：^^发送的认证响应分组后，首先判断 N₂是否是读写器 ID₂选取的随机数。如果不是，则丟弃该分组；否则，以 MKIIN1IIN2为密钥种子进行密钥推导，导出一个会话消息完整性校验密钥 SIK和一个会话加密密钥 SEK, 接着，利用 MKIISIK为密钥对 PFLAGHN lN n^lin^重新计算 MIC₂并与接收到的 MIC₂值进行比较。如果不相等，则丟弃该分组，否则，判断是否需要进行身份鉴别。如果需要进行身份鉴别，则先向可信第三方（TTP )发送身份鉴别请求分组，等收到身份鉴别响应分组后再构造认证确认分组发送给 ID^ 否则，直接构造认证确认分组发送给 IDi。

这时 ID₂完成对的身份验证和对会话密钥 SIK的验证。

3 ) 身份鉴别请求分组

身份鉴别请求分组是可选的，由读写器（ID₂ )发送给可信第三方（ΤΤΡ ), 该分组包括其分组格式如表 3所示。

表 3 其中：

PFLAG字段，表示该分组的类别及组成信息。

字段，表示电子标签的身份信息。

ID₂字段，表示读写器的身份信息。

TTP字段，表示可信第三方 TTP的身份信息。

字段，表示由 10₁选取的随机数，其值应与接入认证响应分组中的 ^字段值相同。

N₂字段，表示由 ID₂选取的随机数，其值应与接入认证请求分组中的 N₂字段值相同。

当 TTP收到 ID₂发送的身份鉴别请求分组后，对 ID^WD₂的身份进行验证，并构造身份鉴别响应分组发送给 ID₂。

4 ) 身份鉴别响应分组

身份鉴别响应分组是可选的，和身份鉴别请求分组成对出现。

该分组由可信第三方（TTP )发送给读写器（ID₂ ), 该分组如表 4所示，具体包括：

表 4

其中：

PFLAG字段，表示该分组的类别及组成信息。

N₂字段，表示由 ID₂选取的随机数，其值应与身份鉴别请求分组中的 N₂字段值相同。

RES字段，表示由 TTP对的身份鉴别结果。

RES₂字段，表示由 TTP对 ID₂的身份鉴别结果。 Sig_TTp字段，表示 TTP对该字段之前所有字段以及 n^llIDzllNJITTP进行的签名，可以是传统的基于 PKI的签名，也可以是基于身份的签名。

当 ID₂收到 TTP发送的身份鉴别响应分组后，首先，判断 N₂是否是读写器 ID₂ 当前选取的随机数。如果不是，则丟弃该分组；如果是，验证 TTP的签名 Sig_TTP 是否正确。如果不正确，则丟弃该分组；否则，构造认证确认分组发送给 ID^ 5 )认证确认分组

认证确认分组由读写器（ ID₂ )发送给电子标签（ IDi ), 该分组如表 5所示，具体包括：

其中:

PFLAG字段，表示该分组的类别及组成信息。

字段，表示由选取的随机数，其值应与认证响应分组中的^字段值相等。

MIC ，表示完整性校验密钥为。计算方法为：以 SIK为密钥，对

TTP字段，表示可信第三方 TTP的身份信息。该字段是可选的。仅当 ID₂ 选择进行了身份鉴别过程的情况下需要，其值应与身份鉴别响应分组中的 TTP 字段值相同。

RES字段，表示由 TTP对的身份鉴别结果。该字段是可选的，仅当 ID₂ 选择进行了身份鉴别过程的情况下需要，其值应与身份鉴别响应分组中的 RESi字段值相同。

RES₂字段，表示由 TTP对 ID₂的身份鉴别结果。该字段是可选的，仅当 ID₂ 选择进行了身份鉴别过程的情况下需要，其值应与身份鉴别响应分组中的 RES₂字段值相同。

Sig_TTP字段，表示 TTP对该字段之前所有字段进行的签名，可以是传统的基于 PKI的签名，也可以是基于身份的签名。该字段是可选的，仅当 ID₂选择进行了身份鉴别过程的情况下需要，其值应与身份鉴别响应分组中的 Sig_TTP字段值相同。

当 IDi收到 ID₂发送的认证确认分组后，首先判断 ^是否电子标签选取的随机数。如果不是，则丟弃该分组；否则，利用完整性校验密钥 SIK重新计算 MIC₃ 并与接收到的 MIC₃值进行比较。如果不相等，则丟弃该分组。如果相等，说明完成对 10₂的会话密钥 SIK的验证。

如果接入认证响应分组后面还跟有 TTP、 RES! , RES₂和 Sig_TTp字段，则可以判断 ID₂身份的有效性，以便做出合理选择。

至此， ID^PID₂完成双向认证，并建立共享的会话消息完整性校验密钥 SIK 和会话加密密钥 SEK。

系统参数：系统参数由可信第三方（这里记为 TTP )生成。 TTP负责用户实体身份的物理鉴别、系统参数生成以及用户参数建立过程。 TTP首先建立系统参数，包括：两个阶的循环群 ((¾，+)和 ((¾，·）；尸为的生成元；令 e为 (^和 G₂上的双线性变换，即 6> _:(¾ ><(；_1→(¾； TTP随机选取可信第三方 TTP的私钥 s_TTP z_q* , 其对应公钥为 ^^ ^^ ^^ ; F : {o，ir 表示一个强密码杂凑函数，把用户的身份映射到中一个元素。

需要说明的是，上述将循环群和 ((¾，·）筒写为 (^和(¾。

对于每一个设备 , 设 ID为其身份，令 ^= (Π¾为其公钥，则其私钥为 S_t― S_TTFQ_i G G_x。

名词解释：

分别表示电子标签和读写器的身份；

N^ N₂: —次性随机数；

MIC: 完整性校险码；

II：表示链接操作。

综上，本发明实施例提供的一种基于身份的双向认证方法，可以包括以下步骤：步骤 10 )读写器 ID₂向电子标签发送认证请求分组，其中，所述认证请求分组中包括表示该分组的类别及组成信息的 PFLAG字段，由 ID₂选取的第二随机数 N₂以及第一完整性校验值 Mid；

其中，读写器 ID₂生成第一完整性校验值 MI 的步骤包括：

利用读写器 ID₂的私钥&和的身份计算 MK^ ID , S₂)= e(Q S₂);

以 MK为密钥，对 PFLAGIIN2IIIDJIID2计算 MIC^

步骤 20 )电子标签收到读写器 ID₂发送的认证请求分组后，根据所述第二随机数 N₂以及第一完整性校验值 MIC †所述读写器 ID₂进行身份验证，验证通过后，电子标签构造认证响应分组发送给读写器 ID₂, 其中，所述认证响应分组包括表示该分组的类别及组成信息的 PFLAG字段，由选取的第一随机数 , 由 ID₂选取的第二随机数 N₂以及第二完整性校验值 MIC₂;

其中，所述电子标签收到读写器 ID₂发送的认证请求分组后，根据所述第二随机数 N₂以及第一完整性校验值 MI 对所述读写器 ID₂进行身份验证的步骤可以包括：

电子标签利用自身的私钥和读写器 ID₂的身份计算 MK=e(F(ID₂),

S₁)=e(Q₂, S^eiQ S₂) ; 然后以 MK为密钥重新对 PFLAGHN IIDJIIDz计算 Mid , 并与认证及请求分组中的 MI 比较，如果不相等，则丟弃该分组，验证未通过；如果相等，则验证通过。

其中，电子标签 ₁生成第二完整性校验值 MIC₂的步骤包括：

电子标签10₁以^1 附₁附₂为密钥种子进行密钥推导，导出一个会话消息完整性校验密钥 SIK和一个会话加密密钥 SEK ; 以 MKIISIK为密钥，对 PFLAGIINillNzlin^llIDz计算 MIC₂。

步骤 30 )读写器 ID₂根据所述第一随机数 N_l 第二随机数 N₂以及第二完整性校验值 MIC₂对所述电子标签 10进行身份验证，验证通过后，构造认证确认分组发送给电子标签 Π^ , 完成双向身份认证。

其中，所述读写器 ID₂根据所述第一随机数 N_l 第二随机数 N₂以及第二完当读写器 ID₂收到电子标签发送的认证响应分组后，首先判断第二随机数 Ν₂是否是读写器 ID₂选取的随机数，如果不是，则丟弃该分组；如果是，以为密钥种子进行密钥推导，导出一个会话消息完整性校验密钥 SIK 和一个会话加密密钥 SEK;

接着，利用 MKIISIK为密钥对 PFLAGIINJINdin^lin^重新计算 MIC₂并与接收到的 MIC₂值进行比较，如果不相等，则丟弃该分组，验证未通过；如果相等，则验证通过。

上述认证确认分组可以包括：第一随机数 ^以及第三完整性校验值 MIC₃; 其中，读写器 ID₂生成第三完整性校验值 MIC₃的步骤包括：以 SIK为密钥，对 PFLAGIINJI IDJIID2计算 MIC₃; 此时，还可以包括步骤 40 ), 具体如下：

当电子标签收到读写器 ID₂发送的认证确认分组后，所述方法还包括步骤 5 ) : 电子标签首先判断第一随机数是否电子标签选取的随机数，如果不是，则丟弃该分组；如果是，利用完整性校验密钥 SIK重新计算 MIC₃并与接收到的 MIC₃值进行比较；如果不相等，则丟弃该分组；如果相等，则电子标签 ID！完成对 ID₂的会话密钥 SIK的验证。

此外，在读写器 ID₂收到认证响应分组，读写器 ID₂根据所述第一随机数 N_l 第二随机数 N₂以及第二完整性校验值 MIC₂对所述电子标签进行身份验证，验证通过后，构造认证确认分组之前，即在步骤 30 )之后，步骤 40 )之前还可以包括：

步骤 50 )读写器 ID₂构造身份鉴别请求分组发送给可信第三方 TTP, 该身份鉴别请求分组包括：表示该分组的类别及组成信息的 PFLAG字段，电子标签的身份信息 Π^ , 读写器的身份信息 ID₂, 可信第三方 TTP的身份信息 TTP, 由电子标签选取的第一随机数由读写器 ID₂选取的第二随机数 N₂; 和步骤 60 )读写器 ID₂接收来自可信第三方 TTP的身份鉴别响应分组，该身份鉴别响应分组包括：表示该分组的类别及组成信息的 PFLAG字段，由读写器 ID₂选取的第二随机数 Ν₂ , 由可信第三方 TTP对电子标签的身份鉴别结果 RES! , 由可信第三方 TTP对读写器 ID₂的身份鉴别结果 RES₂, 以及签名 Sig_TTP; 读写器 ID₂首先判断第二随机数 N₂是否是读写器 ID₂选取的随机数，如果不是，则丟弃该分组，结束；如果是，验证可信第三方 TTP的签名 Sig_TTP是否正确；如果不正确，则丟弃该分组，结束；如果正确，再构造认证确认分组发送给电子标签 ID^

上述签名 Sig_TTP 为 TTP对第二随机数 N₂ , 电子标签 ID^々身份鉴别结果

RESi ,读写器 ID₂的身份鉴别结果 RES₂以及 n^llIDdlN lTTP进行的签名，其中，所述签名是传统的基于 PKI的签名，或是基于身份的签名。

如果所述认证确认分组包括：表示该分组的类别及组成信息的 PFLAG字段，第一随机数第三完整性校验值 MIC₃, 可信第三方 TTP的身份，由可信第三方 TTP对电子标签 ID^々身份鉴别结果 RES^ 由可信第三方 TTP对读写器 ID₂的身份鉴别结果 RES₂, 以及签名 Sig_TTP; 此时，当电子标签收到读写器 ID₂发送的认证确认分组后，上述步骤 40 )可以为：电子标签首先判断第一随机数 ^是否电子标签选取的随机数，如果不是，则丟弃该分组；如果是，利用完整性校验密钥 SIK重新计算 MIC₃并与接收到的 MIC₃值进行比较；如果不相等，则丟弃该分组；如果相等，则根据 TTP、 RES! , RES₂和 Sig_TTp字段，判断 ID₂身份的有效性，若无效，则丟弃该分组，若有效，则 ID^PID₂完成双向认证，并建立共享的会话消息完整性校验密钥 SIK和会话加密密钥 SEK。

本发明在提供一种基于身份的双向认证方法的同时还提供了一种基于身份的双向认证系统，该系统包括读写器 ID₂以及电子标签 ID 读写器 ID₂向电子标签发送认证请求分组以及认证确认分组；电子标签接收来自读写器 ID₂的认证请求分组后做出认证响应分组发送给读写器 ID₂。除此之外，该系统还包括可信第三方 TTP,可信第三方 TTP接收来自读写器 ID₂发送的身份鉴别请求分组以及做出身份鉴别响应分组反馈于读写器 ID₂。

综上，本发明实施例提供一种基于身份的双向认证系统，如图 2所示：具体包括：

读写器 ID₂201 , 用于向电子标签发送认证请求分组，其中，所述认证请求分组中包括表示该分组的类别及组成信息的 PFLAG字段，由 ID₂选取的第二随机数 N₂以及第一完整性校验值 Mid; 接收来自电子标签 ID^々认证响应分组，根据所述认证响应分组中的第一随机数第二随机数 N₂以及第二完整性校验值 MIC₂对所述电子标签进行身份验证，验证通过后，构造认证确认分组发送给电子标签 ID 完成双向身份认证；

电子标签 ID 02, 用于收到读写器 ID₂发送的认证请求分组后，根据所述第二随机数 N₂以及第一完整性校验值 MIC †所述读写器 ID₂进行身份验证，验证通过后，电子标签构造认证响应分组发送给读写器 ID₂, 其中，所述认证响应分组包括表示该分组的类别及组成信息的 PFLAG字段，由选取的第一随机数 , 由 ID₂选取的第二随机数 N₂以及第二完整性校验值 MIC₂。

其中，所述认证确认分组包括：表示该分组的类别及组成信息的 PFLAG 字段，第一随机数 ^以及第三完整性校验值 MIC₃; 其中，电子标签生成第三完整性校验值 MIC₃的步骤包括：以为密钥种子进行密钥推导，导出一个会话消息完整性校验密钥 SIK; 以 SIK为密钥，对 PFLAGNNJI Π^ΙΙΠ^计算 MIC₃; 所述电子标签 ID 02还用于，收到读写器 ID₂发送的认证确认分组后，首先判断第一随机数 ^是否电子标签选取的随机数，如果不是，则丟弃该分组；如果是，利用完整性校验密钥 SIK重新计算 MIC₃并与接收到的 MIC₃值进行比较；如果不相等，则丟弃该分组；如果相等，则电子标签完成对 ID₂的会话密钥 SIK的验证。

所述读写器 ID₂201还用于，在收到认证响应分组， ID₂根据所述第一随机数第二随机数 N₂以及第二完整性校验值 MIC₂对所述电子标签进行身份验证，验证通过后，构造认证确认分组之前，读写器 ID₂构造身份鉴别请求分组发送给可信第三方 TTP203 , 该身份鉴别请求分组包括：表示该分组的类别及组成信息的 PFLAG字段，电子标签的身份信息 ID 读写器的身份信息 ID₂, 可信第三方的身份信息 TTP,由电子标签选取的第一随机数由读写器 ID₂ 选取的第二随机数 N₂; 接收来自可信第三方 TTP203的身份鉴别响应分组，该身份鉴别响应分组包括：表示该分组的类别及组成信息的 PFLAG字段，由读写器 ID₂选取的第二随机数 Ν₂ , 由可信第三方 TTP对电子标签的身份鉴别结果 RES 由可信第三方 TTP对读写器 ID₂的身份鉴别结果 RES₂,以及签名 Sig_TTP。需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语"包括"、 "包含"或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句 "包括一个…… "限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，所述的程序可以存储于计算机可读取存储介质中，这里所称得的存储介质，如： ROM/RAM、磁碟、光盘等。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。

Claims

权利要求

1、一种基于身份的双向认证方法，其特征在于：所述基于身份的双向认证方法包括以下步骤：

读写器 ID₂向电子标签发送认证请求分组，其中，所述认证请求分组中包括表示该分组的类别及组成信息的 PFLAG字段，由 ID₂选取的第二随机数 Ν₂ 以及第一完整性校验值 Mid；

电子标签收到读写器 ID₂发送的认证请求分组后，根据所述第二随机数 N₂以及第一完整性校验值 MIC †所述读写器 ID₂进行身份验证，验证通过后，电子标签构造认证响应分组发送给读写器 ID₂, 其中，所述认证响应分组包括表示该分组的类别及组成信息的 PFLAG字段，由选取的第一随机数 N_l 由 ID₂选取的第二随机数 N₂以及第二完整性校验值 MIC₂;

读写器 ID₂根据所述第一随机数 , 第二随机数 N₂以及第二完整性校验值 MIC₂对所述电子标签 10₁进行身份验证，验证通过后，构造认证确认分组发送给电子标签 ID 完成双向身份认证。

2、根据权利要求 1所述的基于身份的双向认证方法，其特征在于：读写器

ID₂生成第一完整性校验值 MIC^々步骤包括：

利用读写器 ID₂的私钥&和的身份计算 MK^ ID , S₂)= e(Q S₂); 以 MK为密钥，对 PFLAGIIN2IIIDJIID2计算 MIC^

3、根据权利要求 2所述的基于身份的双向认证方法，其特征在于：所述电子标签收到读写器 ID₂发送的认证请求分组后，根据所述第二随机数 N₂以及电子标签 IDi利用自身的私钥和读写器 ID₂的身份计算 MK=e(F(lO₂),S₁)=e(Q₂,S₁)==e(Q₁,S₂) ；然后以 MK 为密钥重新对 PFLAGIIN2IIIDJIID2计算 Mid ,并与认证请求分组中的 MI 比较，如果不相等，则丟弃该分组，验证未通过；如果相等，则验证通过。

4、根据权利要求 1所述的基于身份的双向认证方法，其特征在于：电子标签 10₁生成第二完整性校验值 MIC₂的步骤包括：以 MKIINJIN2为密钥种子进行密钥推导，导出一个会话消息完整性校验密钥 SIK和一个会话加密密钥 SEK;

以 MKIISIK为密钥，对 PFLAGIINJINzlin^llIDz计算 MIC₂。

5、根据权利要求 4所述的基于身份的双向认证方法，其特征在于：所述读写器 ID₂根据所述第一随机数 , 第二随机数 N₂以及第二完整性校验值 MIC₂对所述电子标签进行身份验证的步骤包括：

当读写器 ID₂收到电子标签发送的认证响应分组后，首先判断第二随机数 Ν₂是否是读写器 ID₂选取的随机数，如果不是，则丟弃该分组；如果是，以为密钥种子进行密钥推导，导出一个会话消息完整性校验密钥 SIK 和一个会话加密密钥 SEK;

6、根据权利要求 1所述的基于身份的双向认证方法，其特征在于：所述认证确认分组包括：表示该分组的类别及组成信息的 PFLAG字段，第一随机数以及第三完整性校验值 MIC₃；

其中，读写器 IID₂生成第三完整性校验值 MIC₃的步骤包括：以 MKIINJIN2 为密钥种子进行密钥推导，导出一个会话消息完整性校验密钥 SIK; 以 SIK为密钥，对 PFLAGHNJI ^^^计算^！工^;

当电子标签收到读写器 ID₂发送的认证确认分组后，所述方法还包括：电子标签首先判断第一随机数 ^是否电子标签选取的随机数，如果不是，则丟弃该分组；如果是，利用完整性校验密钥 SIK重新计算 MIC₃并与接收到的 MIC₃值进行比较；如果不相等，则丟弃该分组；如果相等，则电子标签完成对 ID₂的会话密钥 SIK的验证。

7、根据权利要求 5所述的基于身份的双向认证方法，其特征在于：所述方法还包括：在读写器收到认证响应分组， ID₂根据所述第一随机数 N_l 第二随机数 N₂以及第二完整性校验值 MIC₂对所述电子标签进行身份验证，验证通过后，构造认证确认分组之前，还包括：

读写器 ID₂构造身份鉴别请求分组发送给可信第三方 TTP, 该身份鉴别请求分组包括：表示该分组的类别及组成信息的 PFLAG字段，电子标签的身份信息 Π^ , 读写器的身份信息 ID₂, 可信第三方的身份信息 TTP, 由电子标签选取的第一随机数由读写器 ID₂选取的第二随机数 Ν₂;

接收来自可信第三方 ΤΤΡ的身份鉴别响应分组，该身份鉴别响应分组包括：表示该分组的类别及组成信息的 PFLAG字段，由读写器 ID₂选取的第二随机数 N₂, 由可信第三方 TTP对电子标签 ID^々身份鉴别结果 RES^ 由可信第三方 TTP对读写器 ID₂的身份鉴别结果 RES₂ , 以及签名 Sig_TTP;

读写器 ID₂首先判断第二随机数 N₂是否是读写器 ID₂选取的随机数，如果不是，则丟弃该分组，结束；如果是，验证可信第三方 TTP的签名 Sig_TTP是否正确；如果不正确，则丟弃该分组，结束；如果正确，再构造认证确认分组发送给电子标签 ID^

8、根据权利要求 7所述的基于身份的双向认证方法，其特征在于：所述签名 Sig_TTP为 TTP对第二随机数 N₂,电子标签 ID^々身份鉴别结果 RES 读写器 ID₂ 的身份鉴别结果 RES₂以及 n^llIDdlN lTTP进行的签名，其中，所述签名是传统的基于 PKI的签名，或是基于身份的签名。

9、根据权利要求 7所述的基于身份的双向认证方法，其特征在于：所述认证确认分组包括：表示该分组的类别及组成信息的 PFLAG字段，第一随机数第三完整性校验值 MIC₃, 可信第三方 TTP的身份，由可信第三方 TTP对电子标签的身份鉴别结果 RES , 由可信第三方 TTP对读写器 ID₂的身份鉴别结果 RES₂ , 以及签名 Sig_TTP;

当电子标签收到读写器 ID₂发送的认证确认分组后，所述方法还包括：电子标签首先判断第一随机数 ^是否电子标签选取的随机数，如果不是，则丟弃该分组；如果是，利用完整性校验密钥 SIK重新计算 MIC₃并与接收到的 MIC₃值进行比较；如果不相等，则丟弃该分组；如果相等，则根据 TTP、 RES! , RES₂和 Sig_TTP字段，判断 ID₂身份的有效性，若无效，则丟弃该分组，若有效，则 ID^WD₂完成双向认证，并建立共享的会话消息完整性校验密钥 SIK和会话加密密钥 SEK。

10、一种基于身份的双向认证系统，其特征在于：所述基于身份的双向认证系统包括：

读写器 ID₂, 用于向电子标签发送认证请求分组，其中，所述认证请求分组中包括表示该分组的类别及组成信息的 PFLAG字段，由 ID₂选取的第二随机数 N₂以及第一完整性校验值 Mid; 接收来自电子标签的认证响应分组，根据所述认证响应分组中的第一随机数，第二随机数 Ν₂以及第二完整性校验值 MIC₂对所述电子标签 10进行身份验证，验证通过后，构造认证确认分组发送给电子标签 π^ , 完成双向身份认证；

电子标签 ID 用于收到读写器 ID₂发送的认证请求分组后，根据所述第二随机数 N₂以及第一完整性校验值 MIC †所述读写器 ID₂进行身份验证，验证通过后，电子标签构造认证响应分组发送给读写器 ID₂, 其中，所述认证响应分组包括表示该分组的类别及组成信息的 PFLAG字段，由选取的第一随机数 N_l 由 ID₂选取的第二随机数 Ν₂以及第二完整性校验值 MIC₂;

其中，所述认证确认分组包括：表示该分组的类别及组成信息的 PFLAG 字段，第一随机数 ^以及第三完整性校验值 MIC₃; 其中，电子标签生成第三完整性校验值 MIC₃的步骤包括：以为密钥种子进行密钥推导，导出一个会话消息完整性校验密钥 SIK; 以 SIK为密钥，对 PFLAGNNJI Π^ΙΙΠ^计算 MIC₃;

所述电子标签 ₁还用于，收到读写器 ID₂发送的认证确认分组后，首先判断第一随机数是否电子标签选取的随机数，如果不是，则丟弃该分组；如果是，利用完整性校验密钥 SIK重新计算 MIC₃并与接收到的 MIC₃值进行比较；如果不相等，则丟弃该分组；如果相等，则电子标签完成对 ID₂的会话密钥 SIK 的验证；

其中，所述读写器 ID₂还用于，在收到认证响应分组， ID₂根据所述第一随机数 N_l 第二随机数 N₂以及第二完整性校验值 MIC₂对所述电子标签进行身份验证，验证通过后，构造认证确认分组之前，读写器 ID₂构造身份鉴别请求分组发送给可信第三方 TTP, 该身份鉴别请求分组包括：表示该分组的类别及组成信息的 PFLAG字段，电子标签的身份信息 ID 读写器的身份信息 ID₂, 可信第三方的身份信息 TTP, 由电子标签选取的第一随机数由读写器 ID₂ 选取的第二随机数 N₂; 接收来自可信第三方 TTP的身份鉴别响应分组，该身份鉴别响应分组包括：表示该分组的类别及组成信息的 PFLAG字段，由读写器 ID₂ 选取的第二随机数 Ν₂ , 由可信第三方 TTP对电子标签 ID的身份鉴别结果 RES , 由可信第三方 TTP对读写器 ID₂的身份鉴别结果 RES₂, 以及签名 Sig_TTP。