申请/专利权人：中国电子科技集团公司第三十研究所

申请日：2023-07-21

公开（公告）日：2024-06-14

公开（公告）号：CN116684876B

主分类号：H04W12/084

分类号：H04W12/084;H04W12/02;H04L9/08;H04L9/30;H04L9/40;H04L9/32

优先权：

专利状态码：有效-授权

法律状态：2024.06.14#授权;2023.09.19#实质审查的生效;2023.09.01#公开

摘要：本发明涉及无线通信网络认证鉴权技术领域，公开了一种PKI双向鉴权认证方法及系统，该方法，在接入鉴权过程中保护设备身份信息，基于可信第三方鉴权服务的PKI双向鉴权协议，利用可信第三方鉴权服务的PKI双向鉴权得到的安全参数作为安全标签产生与验证的因子，为无线通信系统提供数据完整性、真实性保护。本发明解决了现有技术存在的设备身份信息的泄露威胁、开销较大、数据伪造或损坏等问题。

主权项：1.一种PKI双向鉴权认证方法，其特征在于，在接入鉴权过程中保护设备身份信息，基于可信第三方鉴权服务的PKI双向鉴权协议，利用可信第三方鉴权服务的PKI双向鉴权得到的安全参数作为安全标签产生与验证的因子，为无线通信系统提供数据完整性、真实性保护；包括以下步骤：S1，设备身份保护：基于设备标识号的身份保护技术进行设备身份保护；S2，鉴权：基于可信第三方鉴权服务的PKI双向鉴权方法进行设备的双向认证鉴权；S3，数据报文保护：完成鉴权后，进行数据传输时，在原报文中增加安全标签的方式实现数据报文真实性和完整性保护；步骤S2中，签名验证过程采用ECC椭圆曲线密码体制，提供公私钥对的产生、数据的签名验证；步骤S2包括以下步骤：S21，设备A产生一个会话随机数NA1，然后将NA1和自身的身份标识信息DIDA发送给设备B；S22，设备B在收到设备A传送的数据后，产生一个会话随机数NB1，然后将NA1||DIDA||NB1||DIDB发送给无线接入鉴权服务器T；其中，||表示拼接，DIDB表示设备B的身份标识信息；S23，无线接入鉴权服务器T收到设备B传送的数据后，根据DIDA检索到设备A的公钥PA、DIDB检索到设备B的公钥PB，分别对NA1||DIDB||PB、NB1||DIDA||PA进行签名并发送给设备B；S24，设备B收到无线接入鉴权服务器T传送的数据后，根据预存的无线接入鉴权服务器T的公钥PT对签名的有效性进行验证，然后验证NB1是否正确，验证通过后保存设备A的公钥PA；然后向设备A发送第二次产生的会话随机数NB2和无线接入鉴权服务器T返回的设备B的身份信息NA1||DIDB||PB及签名发送给设备A；S25，设备A收到设备B传送的数据后，根据预存的T的公钥PT对签名的有效性进行验证，然后验证NA1是否正确，验证通过后保存设备B的公钥PB；设备A依靠无线接入鉴权服务器T的断言确认设备B的身份合法性；设备A通过ECDH算法计算设备A、设备B间共享的私有安全参数KAB；S26，设备A向设备B发送NB2和DIDB并签名；S27，设备B收到数据后对签名的有效性进行验证，然后验证NB2是否正确，验证通过后确认设备A的身份合法性；设备B计算设备B、设备A间共享的私有安全参数KBA。

全文数据：

权利要求：

百度查询： 中国电子科技集团公司第三十研究所 一种PKI双向鉴权认证方法及系统

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD