[发明专利]双向认证方法、系统、介质、计算机设备、终端及应用

说明书

本发明属于无线通信技术领域，公开了一种双向认证方法、系统、介质、计算机设备、终端及应用，客户端向服务器端发送自己的公钥证书，服务器端向客户端发送自己的公钥证书；证书交换完成后，客户端生成一个随机数R₁，连同自己的身份标识经服务器端公钥加密后发送给服务器端，服务器端收到消息后，使用自己的私钥解密得到随机数R₁，并生成一个新的随机数R₂，客户端和服务器端使用自己的随机数和对端的随机数生成AES算法的密钥；客户端将此前的两个随机数R₁、R₂进行与运算得到一个新的数R，并经客户端密钥K_ab加密后发送给服务器端，服务器端收到消息后进行解密并验证。本发明实现了客户端与服务器端的相互认证，执行效率高。

技术领域

本发明属于无线通信技术领域，尤其涉及一种双向认证方法、系统、介质、计算机设备、终端及应用。

背景技术

目前，在复杂的网络环境中，如何有效确保通信安全则是一个十分关键的技术问题。通信安全主要包括通信内容的保密性、真实性、完整性以及不可否认性等方面内容，而确保通信安全的一个重要方式就是对通信系统的对端进行身份认证。身份认证可简要分为单向认证和双向认证。单向认证是通信中的一方主动提问并验证另一方的真实身份，这在许多访问控制协议中十分常见。但是在很多网络应用的场合，通信双方都有对对端进行身份认证的需求，这种情况下就需要双向认证。

现有的双向认证协议如Kerberos协议、NeedhamSchroeder协议借助第三方来存储通信双方的共享密钥，协议均要求实时在线的可信第三方，并且该可信第三方需要与系统内的所有用户维护安全通道。然而这种协议设置存在缺陷。一方面，第三方容易成为系统的瓶颈，一旦第三方出现问题，整个系统的安全性即无法保证；另一方面，第三方需要与系统内所有用户维护安全通道，安全成本较高。

因此本发明针对上述缺陷，提出了一种双向认认证协议，借助用户的公钥证书和AES加密算法实现安全认证。协议解决了上述缺陷的意义在于：第一，借助公钥证书实现身份认证，系统所有用户的公钥证书通过一个公开的地址进行维护，如同电话号码一样可以公开查询，将可信第三方的维护成本降低为公开公钥证书的维护，降低了维护成本，增加了系统的强壮性；第二，借助AES加密算法实现身份确认，AES加密算法具有轻量安全的特点，提高了双向认证的实现效率。

发明内容

针对现有技术存在的问题，本发明提供了一种双向认证方法、系统、介质、计算机设备、终端及应用。

本发明是这样实现的，一种双向认证方法，所述双向认证方法包括：

客户端向服务器端发送自己的CA证书，服务器端向客户端发送自己的CA证书；

客户端生成一个随机数R₁，连同自己的身份标识经服务器端公钥加密后发送给服务器端，服务器端收到消息后，使用自己的私钥解密得到随机数R₁，并生成一个新的随机数R₂，连同自己的身份标识经客户端公钥加密后发送给客户端，客户端收到消息后，使用私钥解密，得到随机数R₂，客户端和服务器端使用自己的随机数和对端的随机数生成AES算法的密钥，客户端共享密钥为K_ab，服务器端共享密钥为K′_ab；

客户端将此前的两个随机数R₁、R₂进行与运算得到一个新的数R，并经客户端密钥K_ab加密后发送给服务器端，服务器端收到消息后进行解密并验证，然后将R+1经服务器端密钥K′_ab加密后发送给客户端；客户端收到消息后进行验证。

进一步，所述双向认证方法包括：客户端A向服务器端B发送自己的CA证书，服务器端B收到证书并校验之后获得客户端公钥PK_A；