[发明专利]基于对称加密算法的双向认证方法及系统

说明书

技术领域

本发明涉及一种双向认证方法和系统，尤其涉及一种基于对称加密算法的双向认证方法及系统。

背景技术

对于无线网络来说，如无线局域网或无线城域网等，其安全问题远比有线以太网严重的多。射频识别标签(RFID)同样面临安全问题，在进行安全通信之前，必须有效地解决RFID中读写器和电子标签之间的安全认证及密钥协商问题。

电子标签通常是一个低性能设备，处理能力较低；而读写器、数据库服务器等设备性能一般较高，其处理能力不受限制，能够满足如PC机上的各种运算和操作。因此，在设计电子标签应用系统时，电子标签的性能就会成为一个瓶颈，需要根据电子标签性能来确定所采用的设计方案。安全认证方案的设计也不例外。

如果电子标签的设备性能较高，可以采用现有的无线网络的安全方案，如：无线局域网IEEE802.11i或无线城域网IEEE802.16e等安全方案来实现电子标签与读写器之间的双向认证；但如果电子标签性能较低，则需要设计一些特殊的安全方案，在性能和安全性方面达到一个折衷。

目前所采用的一些方案需要读写器和服务器互相可信，一般情况下由于它们不在同一地理位置，因此在实际运用中所采用的该种技术方案是不可行的。

基于公钥系统的认证方案尽管灵活、扩展性好，但是其所需要的公钥运算对低性能电子标签来说是不合适的；而与公钥运算相比较的对称加密运算来说，其性能较高，能够适合各种低性能设备。

发明内容

为了解决背景技术中存在的上述技术问题，本发明提供了一种可实现数据库和电子标签之间无需安全链接、可进行双向认证及可合理利用设备性能的基于对称加密算法的双向认证方法及系统。

本发明的技术解决方案是：本发明提供了一种基于对称加密算法的双向认证方法，其特殊之处在于：该方法包括以下步骤：

1)碰撞过程：由读写器READER、电子标签TAG和电子标签应用系统数据库DB共同完成碰撞过程；

2)证书鉴别请求：在完成碰撞过程后，由电子标签应用系统数据库DB构造并发送证书鉴别请求分组给认证服务器AS；

3)证书鉴别响应：当认证服务器AS收到证书鉴别请求分组后发送证书鉴别响应分组给电子标签应用系统数据库DB；

4)挑战信息：当电子标签应用系统数据库DB收到证书鉴别响应分组后发送挑战信息分组给读写器READER；

5)认证请求：当读写器READER收到挑战信息分组后发送认证请求分组给电子标签TAG；

6)认证响应：当电子标签TAG收到认证请求分组后发送认证响应分组给读写器READER；

7)身份请求：当读写器READER收到认证响应分组后发送身份请求分组给电子标签应用系统数据库DB；

8)身份响应：当电子标签应用系统数据库DB收到身份请求分组后发送身份响应分组给读写器READER。

上述步骤1)具体步骤如下：

1.1)由读写器READER通过碰撞协议从关联的多个电子标签TAG中选取一个电子标签TAG；

1.2)将所选取的标签PID信息以及读写器READER的数字证书CERT_R一起发送给电子标签应用系统数据库DB。

上述步骤2)中证书鉴别请求分组内容包括：CERT_R字段、N1字段、CERT_D字段和SIG_D字段；

其中：

CERT_R字段：标识读写器READER的数字证书；

N1字段：标识电子标签应用系统数据库DB选取的一次性随机数；

CERT_D字段：标识电子标签应用系统数据库DB的数字证书；

SIG_D字段：标识电子标签应用系统数据库DB对其前所有字段的签名。

上述步骤3)中，当认证服务器AS收到证书鉴别请求分组后，由认证服务器AS验证电子标签应用系统数据库DB的签名SIG_D是否正确？若不正确，则丢弃该分组；若正确，则验证CERT_R和CERT_D的有效性；根据验证结果构造并发送证书鉴别响应分组给电子标签应用系统数据库DB；该证书鉴别响应分组内容包括：CERT_R字段、N1字段、CERT_D字段、RES_R字段、RES_D字段和SIG_A字段；

其中：

CERT_R字段：其值与证书鉴别请求分组中的CERT_R字段值相同；

N1字段：其值与证书鉴别请求分组中的N1字段值相同；

CERT_D字段：其值与证书鉴别请求分组中的CERT_D字段值相同；

RES_R字段：标识认证服务器AS对CERT_R的鉴别结果；

RES_D字段：标识认证服务器AS对CERT_D的鉴别结果；