[发明专利]一种认证方法

权利要求书

1.一种认证方法，其特征在于，用户侧实体设备之间进行双向认证，该方法包括：

用户侧实体设备接收到对方发送的证书后，验证对方发送的证书是否由认证中心签发；

用户侧实体设备在确认对方的证书是由认证中心签发之后，在自身保存的证书吊销列表CRL中查找是否存在对方的证书，如果不存在，则证书验证通过；

用户侧实体设备在确认自身对证书验证通过，且接收到对方对证书验证通过的消息后，启动密钥协商，获取第一随机数和第二随机数；

用户侧实体设备根据第一随机数和第二随机数，协商产生会话密钥，并验证会话密钥的一致性后完成认证。

2.如权利要求1所述的方法，其特征在于，

认证中心向每个用户侧实体设备发送的证书中携带有认证中心采用认证中心私钥对证书加密得到的认证中心的签名；

所述用户侧实体设备验证对方发送的证书是否由认证中心签发的方法包括：

用户侧实体设备采用认证中心公钥验证证书中携带的认证中心的签名，如果验证通过，则确认该证书由认证中心签发。

3.如权利要求1所述的方法，其特征在于，用户侧实体设备在自身保存的CRL是在认证前从认证中心获取的。

4.如权利要求3所述的方法，其特征在于，所述获取CRL的方法包括：

用户侧实体设备接收认证中心通过广播或组播方式发送的最新签发的CRL；

用户侧实体设备验证该最新签发的CRL是否由认证中心签发；

用户侧实体设备在确认该最新签发的CRL是由认证中心签发之后，将该最新签发的CRL替换原有保存的CRL。

5.如权利要求4所述的方法，其特征在于，

认证中心向每个用户侧实体设备发送的CRL中携带有认证中心采用认证中心私钥对CRL加密得到的认证中心的签名；

所述用户侧实体设备验证该最新签发的CRL是否由认证中心签发的方法包括：

用户侧实体设备采用认证中心公钥验证CRL中携带的认证中心的签名，如果验证通过，则确认该最新签发的CRL由认证中心签发。

6.如权利要求3所述的方法，其特征在于，所述获取CRL的方法包括：

用户侧实体设备定期向认证中心发送携带有当前保存的CRL签发时间信息的更新CRL请求；所述当前保存的CRL签发时间信息是采用该用户侧实体设备的私钥进行加密得到的用户侧实体设备私钥签名；

认证中心接收到更新CRL请求后，采用该用户侧实体设备的公钥验证所述用户侧实体设备私钥签名；验证通过后，对比收到的CRL签发时间和当前最新的CRL签发时间，如果收到的CRL签发时间与认证中心中当前最新的CRL签发时间一致，则向用户侧实体设备返回无需更新CRL应答消息；否则，向用户侧实体设备返回认证中心中当前最新的CRL作为应答消息；

用户侧实体设备接收到应答消息后，如果需要更新CRL，则验证认证中心返回的当前最新的CRL是否由认证中心签发，在确认该返回的当前最新的CRL是由认证中心签发之后，将该返回的当前最新的CRL替换原有保存的CRL，并向认证中心发送替换成功结果。

7.如权利要求1所述的方法，其特征在于，所述用户侧实体设备启动密钥协商，获取第一随机数和第二随机数包括：

用户侧实体设备产生第一随机数；

用户侧实体设备接收对方产生的，且采用所述用户侧实体设备公钥加密发送的第二随机数；

用户侧实体设备采用自身私钥解密获得第二随机数。

8.如权利要求7所述的方法，其特征在于，

所述用户侧实体设备验证会话密钥的一致性的方法包括：

用户侧实体设备将产生的第三随机数发送给对方；

用户侧实体设备接收对方采用会话密钥加密的第三随机数；

用户侧实体设备采用会话密钥解密获得第三随机数，与自身产生的第三随机数进行对比，如果相同，则确认双方产生的会话密钥一致。