技术领域

本发明属信息安全技术中的网络安全应用领域 ， 尤其涉及一种基于对称密 码算法的实体鉴别方法及系统。

背景技术

对于无线网络来说， 如无线局域网或无线传感器网络等， 由于其通信时的 无线及广播特性， 易遭受伪造、 重放等攻击。 射频识别 （Radio Frequency Identificaton, RFID )作为一种无线技术， 也面临着同样的安全问题， 在通信之 前必须解决 RFID系统中读写器和电子标签之间的身份鉴别� �题， 以保证通信 双方身份的合法性。 基于公钥基础设施（ PKI, Public Key Infrastructure )及数 字证书的安全机制， 由于在鉴别过程中需要管理数字证书，从而导 致系统具有 过大的通信量和管理负载， 不适合 RFID应用。 基于预共享密钥的安全机制是 RFID常釆用的方法。

目前， 业界已提出了一些基于预共享密钥的鉴别协议 ， 但是分析发现， 这 些协议普遍存在一些不足： 1 )电子标签和读写器的共享密钥需要数据库存� �， 增加了系统实现代价； 2 )鉴别过程中， 读写器需要查询数据库， 可能会带来 安全性问题， 并有可能导致鉴别时延较大。 因此， 现有技术中的鉴别方法难以 完全满足 RFID的应用需求。 发明内容

为了解决背景技术中存在的上述技术问题，有 必要提供一种基于对称密码 算法的实体鉴别方法及系统， 以更好的满足 RFID的应用需求。

本发明的技术解决方案是： 一种基于对称密码算法的实体鉴别方法， 包括 以下步骤：

1 ) 实体 A向实体 B发送鉴别请求消息；

2 )实体 B收到实体 A发送的鉴别请求消息后，向实体 A发送鉴别响应消息；

3 ) 实体 A根据收到的鉴别响应消息判断实体 B的合法性。

在步骤 3 ) 中， 实体 A可向实体 B发送鉴别结果消息， 若实体 A判断实体 B 合法， 则鉴别结果消息中包含鉴别成功信息； 否则， 鉴别结果消息中包含鉴别 失败信息。 此种情况下， 可在所述步骤 2 ) 中设置消息超时处理时限 T3 , 若在 发送鉴别响应消息之后的时间 T3内实体 B没有收到正确的鉴别结果消息， 则实 体 B向实体 A重新发送鉴别响应消息， 进一步的， 若经过 n次重新发送， 且每次 等待接收鉴别结果消息的时间均为 T3 ,仍未收到正确的鉴别结果消息，则实体 B认为鉴别失败， 其中， n为预设的鉴别响应消息的重传次数。

为实现实体 A与实体 B之间的双向鉴别， 上述方法还包括： 实体 A根据收 到的鉴别响应消息判断实体 B的合法性后， 若判断为实体 B合法， 则执行步骤 4.1 ); 若判断为不合法， 则执行步骤 4.2 );

4.1 ) 实体 A向实体 B发送鉴别响应确认消息；

4.2 ) 实体 A丟弃鉴别响应消息。

上述方法可进一步包括： 4.3 )实体 B根据收到的鉴别响应确认消息后判断 实体 A的合法性， 若实体 A合法， 则实体 A与实体 B之间的双向身份鉴别成功； 若实体 A不合法， 则丟弃该鉴别响应确认消息。

实体 B收到鉴别响应确认消息后， 还可向实体 A发送鉴别结果消息。 如果 实体 B判断实体 A合法， 则鉴别结果消息中包含鉴别成功信息； 否则， 鉴别结 果消息中包含鉴别失败信息。 此种情况下， 还可在所述步骤 4.1 ) 中设置消息 超时处理时限 T4,如果在发送鉴别响应确认消息之后的时间 T4内实体 A没有收 到正确的鉴别结果消息， 则实体 A向实体 B重新发送鉴别响应确认消息， 若经 过 q次重新发送后， 且每次等待接收鉴别结果消息的时间均为 T4, 仍未收到正 确的鉴别结果消息， 则实体 A认为鉴别失败， 其中， q为预设的鉴别响应确认 消息的重传次数。

在实体 A和实体 B之间已经共享预共享密钥 PSK ( Pre-Shared key, PSK )。 上述步骤 1 ) 的具体实现方式可以是：

实体 A向实体 B发送鉴别请求消息， 所述鉴别请求消息包括 Nl , N1是实体

A产生的一个随机数。

上述步骤 2 ) 的一种具体实现方式是： 2.1 )实体 B收到实体 A发送的鉴别请求消息后， 生成随机数 N3, 并计算消 息认证码 MAC1=E(N1||N3,PSK) , 其中， "||"表示消息的串联， E为一种对称 加密算法， MAC1中包含用 PSK对 N1||N3计算的完整性校验码 ACC1以及加密后 形成的密文。 另外， 为提高安全性， 可在实体 B计算消息认证码 MAC1之前， 实体 B根据 PSK导出完整性校验密钥 PSK1和加密密钥 PSK2, 并利用 PSK1计算 完整性校验码 ACC1 , 利用 PSK2进行加密形成密文， 则此时 MAC1=E(N1 ||N3,PSK1 ||PSK2) ₀

2.2) 实体 B构造鉴别响应消息发送给实体 A, 鉴别响应消息包括 Nl和 MAC1, 实体 B将 N3作为与实体 A的会话密钥。

上述步骤 3) 的一种具体实现方式是：

3.1 ) 实体 A收到实体 B发送的鉴别响应消息后， 判断 N1是否与实体 A在步 骤 1) 中产生的 N1相等， 如果不相等， 则执行步骤 3.2); 如果相等， 则执行步 骤 3.3 );

3.2) 实体 A丟弃鉴别响应消息 （20);

3.3)实体 A对 MAC1中的密文进行解密得到 N1和 N3, 实体 A计算完整性校 验码 ACC1', 实体 A比较完整性校验码 ACC1，和 ACCl是否相等， 若不相等， 则 执行步骤 3.2); 若相等， 则执行步骤 3.4);

3.4) 实体 A判断解密获得的 N1是否与实体 A在步骤 1) 中产生的 N1相等， 如果相等， 则实体 A认为实体 B合法， 表示实体 A对实体 B鉴别成功， 实体 A将 解密得到的 N3作为与实体 B的会话密钥； 如果不相等， 则实体 A认为实体 B不 合法。

上述步骤 2) 的另一种具体实现方式是：

2.1') 实体 B收到实体 A发送的鉴别请求消息后， 首先生成随机数 N2以及 随机数 N3, 然后计算消息认证码 MAC1=E(N1||N2||N3,PSK), 其中， "||"表示消 息的串联， E为一种对称加密算法， MAC1中包含用 PSK对 N1||N2||N3计算的完 整性校验码 ACC1以及加密后形成的密文。 另外， 为提高安全性， 可在实体 B 计算消息认证码 MAC1之前， 根据 PSK导出完整性校验密钥 PSK1和加密密钥 PSK2, 利用 PSK1计算完整性校验码 ACC1 , 利用 PSK2进行加密形成密文， 则 此时 MAC1=E(N1||N2||N3,PSK1||PSK2)。

2.2' ) 实体 B构造鉴别响应消息发送给实体 A, 鉴别响应消息包括 Nl和 MAC1。

上述步骤 3 ) 的另一种具体实现方式是：

3.1 ' )实体 A收到实体 B发送的鉴别响应消息后， 判断 N1是否与实体 A在步 骤 1 ) 中产生的 N1相等， 如果不相等， 则执行步骤 3.2，）； 如果相等， 则执行步 骤 3.3，）；

3.2' ) 实体 A丟弃该鉴别响应消息；

3.3' )实体 A对 MAC1中的密文进行解密得到 Nl、 N2和 N3并计算完整完整 性校验码 ACC1 ' , 实体 A比较完整性校验码 ACC1，和 ACC1是否相等， 若不相 等， 则执行步骤 3.2' ); 若相等， 则执行步骤 3.4' );

3.4，） 实体 A判断解密获得的 N1是否与自己在步骤 1 ) 中产生的 N1相等， 如果相等， 则实体 A认为实体 B合法， 表示实体 A对实体 B鉴别成功， 实体 A将 解密得到的 N3作为与实体 B的会话密钥； 如果不相等， 则实体 A认为实体 B不 合法。

本发明基于对称密码算法， 实现了实体 A对实体 B的单向身份鉴别， 可以 适用于 RFID, 以及无线局域网、 有线局域网、 传感器网络等。

上述步骤 4.1 ) 的一种具体实现方式是： 实体 A对实体 B鉴别成功后， 构造 鉴别响应确认消息发送给实体 B, 鉴别响应确认消息中包括 N2。

上述步骤 4.3 ) 的一种具体实现方式是： 实体 B收到实体 A的鉴别响应确认 消息后， 判断 N2是否与实体 B在步骤 2 ) 中产生的 N2相等， 如果不相等， 则实 体 B丟弃鉴别响应确认消息； 如果相等， 则实体 B认为实体 A合法， 表示实体 B 对实体 A鉴别成功， 实体 B将 N3作为与实体 A的会话密钥。

上述步骤 4.1 ) 的另一种具体实现方式是： 实体 A对实体 B鉴别成功后， 实 体 A计算 MAC2=E(N2,N3), 并构造鉴别响应确认消息发送给实体 B, 鉴别响应 确认消息中包括 N2和 MAC2。 其中， E为一种对称加密算法， MAC2中包含用 N3对 N2计算的完整性校验码 ACC2以及加密后形成的密文。 另外， 为提高安全 性， 可在计算 MAC2之前， 根据 N3导出完整性校验密钥 N31和加密密钥 N32, 利用 N31计算完整性校验码 ACC2 , 利用 N32进行加密形成密文， 则此时 MAC2=E(N2,N31||N32)。

上述步骤 4.3 ) 的另一种具体实现方式是：

4.3.1 ) 实体 B收到实体 A的鉴别响应确认消息后， 首先判断 N2是否与实体 B在步骤 2 ) 中产生的 N2相等， 执行步骤 4.3.2 ); 如果相等， 则执行步骤 4.3.3 );

4.3.2 ) 实体 B丟弃该鉴别响应确认消息；

4.3.3 )实体 B利用 N3对 MAC2中的密文进行解密得到 N2并计算完整性校验 码 ACC2', 实体 B比较完整性校验码 ACC2'和 ACC2是否相等， 若不相等， 则执 行步骤 4.3.2 ); 若相等， 则执行步骤 4.3.4 );

4.3.4 )实体 B判断解密得到的 N2是否与实体 B在步骤 2 )中产生的 N2相等， 若 N2与自己在步骤 2 ) 中产生的 N2相等， 则认为实体 A合法， 表示实体 B对实 体 A鉴别成功， 加之之前实体 A对实体 B已鉴别成功， 则此时实体 A与实体 B之 间的双向身份鉴别成功， 实体 B将 N3作为与实体 A的会话密钥； 如果不相等， 则实体 B认为实体 A不合法并丟弃该鉴别响应确认消息。

上述步骤 1 )中， 实体 A还设置实体 A的消息超时处理时限 T1 , 则在步骤 1 ) 中， 实体 A在发送鉴别请求消息之后的时间 T1内如果没有收到正确的鉴别响应 消息， 则向实体 B重新发送鉴别请求消息， 进一步的， 若经过 m次重新发送后， 且每次等待接收鉴别响应消息的时间均为 T 1 , 仍未收到正确的鉴别响应消息， 则实体 A认为鉴别失败； 所述 m是预设的鉴别请求消息的重传次数。

上述步骤 2 )中， 实体 B在其中设置实体 B的消息超时处理时限 T2, 在步骤 2 ) 中， 实体 B在发送鉴别响应消息之后的时间 T2内如果没有收到正确的鉴别 响应确认消息， 则向实体 A重新发送鉴别响应消息， 若经过 p次重新发送后， 且每次等待接收鉴别响应确认消息的时间均为 T2 ,仍未收到正确的鉴别响应确 认消息， 则实体 B认为鉴别失败， 所述 p是预设的鉴别响应消息的重传次数。

一种基于对称密码算法的实体鉴别系统，其特 殊之处在于： 所述系统包括 实体 A和实体 B, 所述实体 A和实体 B之间已共享 PSK; 所述实体 A向实体 B发送 鉴别请求消息并接收来自实体 B的鉴别响应消息； 所述实体 B接收来自实体 A 的鉴别请求消息并向实体 A发送鉴别响应消息。

一种基于对称密码算法的鉴别实体，所述鉴别 实体与被鉴别实体已经共享 PSK; 所述鉴别实体包括：

第一发送模块， 用于向被鉴别实体发送鉴别请求消息；

第一接收模块，用于接收所述被鉴别实体收到 鉴别请求消息后返回的鉴别 响应消息； 以及

第一鉴别模块，用于根据收到的鉴别响应消息 判断所述被鉴别实体的合法 性。

可选的， 所述鉴别实体还包括：

第二发送模块，用于在所述被鉴别实体合法时 ，发送鉴别响应确认消息给 所述被鉴别实体，以便于所述被鉴别实体收到 鉴别响应确认消息后判断所述鉴 别实体的合法性。

一种基于对称密码算法的被鉴别实体，所述被 鉴别实体与鉴别实体已经共 享 PSK; 所述被鉴别实体包括：

第二接收模块， 用于接收鉴别实体发送的鉴别请求消息； 以及

第三发送模块， 用于向所述鉴别实体发送鉴别响应消息， 以便于所述鉴别 实体依据所述鉴别响应消息判断所述被鉴别实 体的合法性。

可选的， 所述被鉴别实体还包括：

第三接收模块， 用于接收所述鉴别实体发送的鉴别响应确认消 息； 以及 第二鉴别模块，用于在收到鉴别响应确认消息 后判断所述鉴别实体的合法 性。

与现有技术相比， 本发明的优点包括： 1 )可实现电子标签与读写器之间 双向鉴别并建立共享的会话密钥； 2 ) 系统实现代价降低， 本发明提供的基于 预共享密钥可离线的双向鉴别方法不需要后台 数据库支持， 系统实现代价降 低； 3 )鉴别效率更高， 本发明所提供的基于预共享密钥可离线的双向 鉴别方 法在鉴别过程中无须查询数据库， 鉴别效率更高； 4 )适合在线或离线鉴别， 本发明所提供的基于预共享密钥可离线的双向 鉴别方法无需后台数据库支持， 可以适合在线或离线鉴别， 尤其可以适合离线鉴别。 附图说明

图 1为本发明所提供的实体鉴别系统的结构示意� �；

图 2为图 1中步骤 S 1的流程示意图；

图 3为图 1中步骤 S2的流程示意图；

图 4为图 1中步骤 S3的流程示意图。 具体实施方式

下面将结合本发明实施例中的附图，对本发明 实施例中的技术方案进行清 楚、 完整地描述， 显然， 所描述的实施例仅仅是本发明一部分实施例， 而不是 全部的实施例。 基于本发明中的实施例， 本领域普通技术人员在没有做出创造 性劳动前提下所获得的所有其他实施例， 都属于本发明保护的范围。

请参见图 1 , 本发明提供了一种基于对称密码算法的实体鉴 别方法， 该方 法实施时， 实体 A和实体 B之间已共享预共享密钥（Pre-Shared key, PSK ), 该 方法包括以下步骤：

步骤 S1 : 实体 A向实体 B发送鉴别请求消息 10。

请参考图 2, 该鉴别请求消息 10可以包括 Nl , N1是实体 A产生的一个随机 数。

步骤 S2: 实体 B收到实体 A发送的鉴别请求消息 10后， 向实体 A发送鉴别 响应消息 20。

请参考图 3 , 实体 B收到实体 A发送的鉴别请求消息 10后， 首先生成随机数 N2以及随机数 N3 , 然后计算消息认证码 MAC1=E(N1||N2||N3,PSK), 其中， "||" 表示消息的串联，Ε为一种对称加密算法（可� ��是分组加密算法或流加密算法）， MAC 1中包含用 PSK对 N 11 |N2||N3计算的完整性校验码 ACC 1以及加密后形成 的密文， 即 MAC1可以包含用 PSK对 N1||N2||N3计算的完整性校验码 ACC1以及 Nl、 N2、 N3和 ACC1加密后形成的密文， 也可以包含用 PSK对 N1||N2||N3加密 后形成的密文以及对该密文计算的消息完整性 校验码 ACC1。 实体 B构造鉴别 响应消息 20后将鉴别响应消息 20发送给实体 A, 该鉴别响应消息 20包括 N1和 MAC1。

需要说明的是， 当实体 A对实体 B进行单向鉴别时，上述实体 B无需生成随 机数 N2, 此时， 消息认证码MAC1=E(N1 ||N3,PSK), 实体 B发送鉴别相应消息 20后将 N3作为与实体 A的会话密钥。

步骤 S3: 实体 A收到实体 B发送的鉴别响应消息 20后， 对实体 B进行鉴别。 请参考图 4 , 实体 A首先判断消息认证码中的 N1是否与实体 A在步骤 S 1中 产生的 N1相等， 如果不相等， 则实体 A丟弃该鉴别响应消息 20。

如果消息认证码中的 N1与实体 A在步骤 S1中产生的 N1相等， 则实体 A对

MAC1中的密文进行解密得到 Nl、 N2和 N3并计算完整性校验码 ACC1，， 实体 A 比较完整性校验码 ACC1，和 ACC1 , 若两者不相等， 则实体 A丟弃鉴别响应消 息 20; 若两者相等， 则实体 A判断解密获得的 N1是否与自己在步骤 S1中产生的 N1相等， 如果实体 A解密获得的 N1与其在步骤 S1中产生的 N1相等， 则实体 A 认为实体 B合法， 此时表示实体 A对实体 B鉴别成功， 实体 A将解密得到的 N3 作为与实体 B的会话密钥；如果实体 A解密获得的 N1与其在步骤 S1中产生的 N1 不相等， 则实体 A丟弃该鉴别响应消息 20。

需要说明的是， 当实体 A对实体 B进行单向鉴别， 即 MAC1=E(N1||N3,PSK) 时， 实体 A收到实体 B发送的鉴别响应消息 20后，解密 MAC1得到的是 N1和 N3。

若要实现实体 A与实体 B之间的双向鉴别， 则可以继续进行以下步骤 S4。 步骤 S4: 实体 A对实体 B鉴别成功 （即实体 A认为实体 B合法）后， 实体 A 向实体 B发送鉴别响应确认消息 30。

实体 A首先计算 MAC2=E(N2,N3),并构造鉴别响应确认消息 30发送给实体 B, 鉴别响应确认消息 30中包括 N2和 MAC2。 其中， E为一种对称加密算法， MAC2中包含用 N3对 N2计算的完整性校验码 ACC2以及对 N2和 ACC2加密后形 成的密文， 或者 MAC2中包含用 N3对 N2加密后形成的密文以及对该密文计算 的消息完整性校验码 ACC2。上述实体 A计算 MAC2=E(N2,N3)的操作是可选的， 相应地， 鉴别响应确认消息 30中所包含的 MAC2也是可选的， 鉴别响应确认消 息 30中可仅包含 N2。

为提高安全性， 上述在计算消息认证码 MAC1之前， 在步骤 S2中可先根据 PSK导出完整性校验密钥 PSK1和加密密钥 PSK2,利用 PSK1计算完整性校验码 ACC1 , 利 用 PSK2进行加 密 形 成 密 文 ， 此 时 步骤 S2 中 的 MAC1=E(N1 ||N2||N3,PSK1||PSK2) ( 双 向 鉴 别 适 用 ) 或 MAC1=E(N1 ||N3,PSK1 ||PSK2) (单向鉴别适用）； 上述在计算消息认证码 MAC2 之前， 在步骤 S4中可先根据 N3导出完整性校验密钥 N31和加密密钥 N32, 利用 N31计算完整性校验码 ACC2, 利用 N32进行加密形成密文， 此时步骤 S4中的 MAC2=E(N2,N311 |N32)。

实体 B收到实体 A的鉴别响应确认消息 30后， 首先判断 N2是否与实体 B在 步骤 S2中产生的 N2相等， 如果 N2与实体 B在步骤 S2中产生的 N2不相等， 则实 体 B丟弃该鉴别响应确认消息 30; 如果 N2与实体 B在步骤 S2中产生的 N2相等， 则实体 B利用 N3对 MAC2中的密文进行解密得到 N2并计算完整性校验码 ACC2', 实体 B比较完整性校验码 ACC2'和 ACC2, 若 ACC2'和 ACC2不相等， 则实体 B丟弃鉴别响应消息 30; 如果 ACC2，和 ACC2相等， 则实体 B判断解密得 到的 N2是否与自己在步骤 S2中产生的 N2相等， 如果解密得到的 N2与自己在步 骤 S2中产生的 N2相等， 则认为实体 A合法， 此时表示实体 B对实体 A鉴别成功， 并将 N3作为与实体 A的会话密钥； 如果解密得到的 N2与自己在步骤 S2中产生 的 N2不相等， 则实体 B认为实体 A不合法并丟弃该鉴别响应确认消息 30。 当鉴 别响应确认消息 30中仅包含 N2时， 实体 B在收到该消息后，如果判断 N2与实体 B在步骤 S2中产生的 N2相等， 则认为实体 A合法， 并将 N3作为与实体 A的会话 密钥； 如果判断 N2与实体 B在步骤 S2中产生的 N2不相等， 实体 B丟弃该鉴别响 应确认消息 30。

至此， 本发明实现了基于预共享密钥的实体间的双向 鉴别， 并同时分发了 鉴别双方之间的会话密钥， 为后续实体间的安全通信提供了保障。

在其它实施例中， 在步骤 S1和步骤 S2中， 实体 A和实体 B可各自设置消息 超时处理时限 Tl和 T2。 其中， 在步骤 SI中， 实体 A在发送鉴别请求消息 10之后 的时间 T1内如果没有收到正确的鉴别响应消息 20, 则向实体 B重新发送鉴别请 求消息 10, 若经过 m次（预设的鉴别请求消息 10的重传次数）重新发送后， 且 每次等待接收鉴别响应消息 20的时间均为 T1 , 仍未收到正确的鉴别响应消息 20, 则实体 A认为鉴别失败； 在步骤 S2中， 实体 B在发送鉴别响应消息 20之后 的时间 T2内如果没有收到正确的鉴别响应确认消息 30,则向实体 A重新发送鉴 别响应消息 20, 若经过 p次（预设的鉴别响应消息 20的重传次数）重新发送后， 且每次等待接收鉴别响应确认消息 30的时间均为 T2,仍未收到正确的鉴别响应 确认消息 30, 则实体 B认为鉴别失败。 通过增加上述消息超时重传机制， 能够 提高本发明通信过程的容忍丟包能力。

在其它实施例中， 在步骤 S3中， 在实体 A收到鉴别响应消息 20后可向实体 B发送鉴别结果消息。如果实体 A判断实体 B合法， 则鉴别结果消息中包含鉴别 成功信息； 否则， 鉴别结果消息中包含鉴别失败信息。 此情形下， 实体 B在步 骤 S2中可设置消息超时处理时限 T3， 如果在发送鉴别响应消息 20之后的时间 T3内没有收到正确的鉴别结果消息， 则向实体 A重新发送鉴别响应消息 20, 若 经过 n (预设的鉴别响应消息 20的重传次数）次重新发送后， 且每次等待接收 鉴别结果消息的时间均为 T3 , 仍未收到正确的鉴别结果消息， 则实体 B认为鉴 别失败。

在其它实施例中， 在步骤 S4中， 在实体 B收到鉴别响应确认消息 30后可向 实体 A发送鉴别结果消息。如果实体 B判断实体 A合法，则鉴别结果消息中包含 鉴别成功信息； 否则， 鉴别结果消息中包含鉴别失败信息。 此情形下， 实体 A 在步骤 S4中可设置消息超时处理时限 T4, 如果在发送鉴别响应确认消息 30之 后的时间 T4内没有收到正确的鉴别结果消息， 则向实体 B重新发送鉴别响应确 认消息 30, 若经过 q (预设的鉴别响应确认消息 30的重传次数）次重新发送后， 且每次等待接收鉴别结果消息的时间均为 T4 , 仍未收到正确的鉴别结果消息， 则实体 A认为鉴别失败。 综上， 本发明基于对称密码算法实现了实体间的身份 鉴别， 同时本发明的 适用领域也非常广泛。

以上举较佳实施例，对本发明的目的、技术方 案和优点进行了进一步详细 说明， 所应理解的是， 以上所述仅为本发明的较佳实施例而已， 并不用以限制 本发明，凡在本发明的精神和原则之内，所作 的任何修改、等同替换、改进等， 均应包含在本发明的保护范围之内，本发明所 主张的权利范围应以发明申请范 围所述为准， 而非仅限于上述实施例。