[发明专利]一种读写器与电子标签的双向身份认证方法及设备

说明书

本说明书实施例公开了一种读写器与电子标签的双向身份认证方法及设备，包括：读写器生成公私钥对，利用证书授权中心(CA)进行证书发布；密钥管理中心(KMC)利用标识密码算法生成电子标签的公私钥对，将其托管到密钥托管中心(KEC)存储；密钥管理中心(KMC)生成所述电子标签的加解密密钥，并将其存放至密钥托管中心(KEC)；密钥托管中心(KEC)基于身份标识算法，代替电子标签完成与读写器的双向身份认证。本发明利用密钥托管中心KEC代替计算和存储能力有限的电子标签实现与计算资源相对丰富的读写器进行双向身份认证，保证了通信双方的身份可信度。

技术领域

本申请涉及无线通信技术领域，尤其涉及一种读写器与电子标签的双向身份认证方法及设备。

背景技术

在高安全等级网络的超高频射频识别采集应用场景中，尤其是跨域环境下的应用，最具有挑战性的是如何实现计算能力严重不对称的读写器与电子标签之间的双向身份鉴别，从而确保合法的读写器读写合法的电子标签。

由于超高频无源电子标签芯片存储和运算能力的局限性，传统的基于非对称密码算法的身份鉴别协议(包括公钥证书或者身份标识证书算法)无法在标签上完成运算。尽管目前有厂商提出采用对称密码算法的超高频无源电子标签芯片可以通过预共享密钥的方式实现读写器与标签之间的身份鉴别和数据保护，但这种芯片并未普及，且预共享密钥方式面临跨部门跨域密钥互通的管理挑战。

因此，高安全等级网络的超高频射频识别采集应用场景，尤其是跨域环境迫切需要一种安全可靠的认证算法，实现读写器与海量电子标签间的双向身份认证。

发明内容

有鉴于此，本申请实施例提供了一种读写器与电子标签的双向身份认证方法及设备，用于解决物联网读写器与海量电子标签之间的双向身份认证问题。

为解决上述技术问题，本说明书实施例是这样实现的：

一方面，本说明书实施例提供的一种读写器与电子标签的双向身份认证方法，包括：

读写器生成公私钥对，利用证书授权中心(CA)进行证书发布；

密钥管理中心(KMC)利用标识密码算法生成电子标签的公私钥对，将其托管到密钥托管中心(KEC)存储；

密钥管理中心(KMC)生成所述电子标签的加解密密钥，并将其存放至密钥托管中心(KEC)；

密钥托管中心(KEC)基于身份标识算法，代替电子标签完成与读写器的双向身份认证。

可选的，基于PKI及IBC两种证书生成算法，生成读写器公钥证书和电子标签身份标识证书。

可选的，读写器生成公私钥对，利用证书授权中心(CA)进行证书发布，具体包括：

读写器在本地生成一个公私密钥对，并向证书授权中心(CA)或者数字证书注册中心(RA)提交证书申请；

所述证书授权中心(CA)对所述证书申请进行审核检查，检查无误后对证书进行签署和发布。

可选的，密钥管理中心(KMC)利用标识密码算法生成电子标签的公私钥对，具体包括：

密钥管理中心(KMC)利用标识密码算法将电子标签的唯一标签识别号TID作为所述电子标签的公钥，并生成与之对应的私钥。

可选的，密钥管理中心(KMC)生成所述电子标签的加解密密钥，具体包括：

密钥管理中心(KMC)建立对称密钥体系的根密钥，利用所述电子标签的TID进行对称密钥的逐级分散，利用HMAC进行密钥的保密性和完整性保护。

可选的，在密钥管理中心(KMC)生成所述电子标签的加解密密钥，并将其存放至密钥托管中心(KEC)之前，所述方法还包括：