公开/公告号CN101247223A
专利类型发明专利
公开/公告日2008-08-20
原文格式PDF
申请/专利权人 西安西电捷通无线网络通信有限公司;
申请/专利号CN200810017646.5
申请日2008-03-06
分类号H04L9/30(20060101);H04L9/32(20060101);H04L29/06(20060101);
代理机构61211 西安智邦专利商标代理有限公司;
代理人商宇科
地址 710075 陕西省西安市高新区科技二路68号西安软件园秦风阁A201
入库时间 2023-12-17 20:36:43
法律状态公告日
法律状态信息
法律状态
2023-06-09
专利实施许可合同备案的生效 IPC(主分类):H04L 9/30 专利申请号:2008100176465 专利号:ZL2008100176465 合同备案号:X2023610000008 让与人:西安西电捷通无线网络通信股份有限公司 受让人:深圳市天智伟业科技有限公司 发明名称:一种基于可信第三方的实体双向鉴别方法 申请日:20080306 申请公布日:20080820 授权公告日:20100609 许可种类:普通许可 备案日期:20230522
专利实施许可合同备案的生效、变更及注销
2023-04-14
专利实施许可合同备案的生效 IPC(主分类):H04L 9/30 专利申请号:2008100176465 专利号:ZL2008100176465 合同备案号:X2023610000005 让与人:西安西电捷通无线网络通信股份有限公司 受让人:北京佰才邦技术股份有限公司 发明名称:一种基于可信第三方的实体双向鉴别方法 申请日:20080306 申请公布日:20080820 授权公告日:20100609 许可种类:普通许可 备案日期:20230329
专利实施许可合同备案的生效、变更及注销
2023-02-24
专利实施许可合同备案的生效 IPC(主分类):H04L 9/30 专利申请号:2008100176465 专利号:ZL2008100176465 合同备案号:X2023610000003 让与人:西安西电捷通无线网络通信股份有限公司 受让人:亮风台(上海)信息科技有限公司 发明名称:一种基于可信第三方的实体双向鉴别方法 申请日:20080306 申请公布日:20080820 授权公告日:20100609 许可种类:普通许可 备案日期:20230207
专利实施许可合同备案的生效、变更及注销
2022-06-17
专利实施许可合同备案的生效 IPC(主分类):H04L 9/30 专利申请号:2008100176465 专利号:ZL2008100176465 合同备案号:X2022610000005 让与人:西安西电捷通无线网络通信股份有限公司 受让人:深圳市智开科技有限公司 发明名称:一种基于可信第三方的实体双向鉴别方法 申请日:20080306 申请公布日:20080820 授权公告日:20100609 许可种类:普通许可 备案日期:20220531
专利实施许可合同备案的生效、变更及注销
2019-11-01
专利实施许可合同备案的生效 IPC(主分类):H04L9/30 合同备案号:X2019610000002 让与人:西安西电捷通无线网络通信股份有限公司 受让人:深圳市优克联新技术有限公司 发明名称:一种基于可信第三方的实体双向鉴别方法 申请公布日:20080820 授权公告日:20100609 许可种类:普通许可 备案日期:20191010 申请日:20080306
专利实施许可合同备案的生效、变更及注销
2018-12-18
专利实施许可合同备案的生效 IPC(主分类):H04L9/30 合同备案号:2018990000306 让与人:西安西电捷通无线网络通信股份有限公司 受让人:索尼移动通信公司 发明名称:一种基于可信第三方的实体双向鉴别方法 申请公布日:20080820 授权公告日:20100609 许可种类:普通许可 备案日期:20181123 申请日:20080306
专利实施许可合同备案的生效、变更及注销
2018-04-27
专利实施许可合同备案的生效 IPC(主分类):H04L9/30 合同备案号:2018610000012 让与人:西安西电捷通无线网络通信股份有限公司 受让人:南昌黑鲨科技有限公司 发明名称:一种基于可信第三方的实体双向鉴别方法 申请公布日:20080820 授权公告日:20100609 许可种类:普通许可 备案日期:20180404 申请日:20080306
专利实施许可合同备案的生效、变更及注销
2018-04-13
专利实施许可合同备案的生效 IPC(主分类):H04L9/30 合同备案号:2018610000010 让与人:西安西电捷通无线网络通信股份有限公司 受让人:深圳市明华澳汉智能卡有限公司 发明名称:一种基于可信第三方的实体双向鉴别方法 申请公布日:20080820 授权公告日:20100609 许可种类:普通许可 备案日期:20180322 申请日:20080306
专利实施许可合同备案的生效、变更及注销
2018-04-10
专利实施许可合同备案的生效 IPC(主分类):H04L9/30 合同备案号:2018610000008 让与人:西安西电捷通无线网络通信股份有限公司 受让人:深圳市明华澳汉智能卡有限公司 发明名称:一种基于可信第三方的实体双向鉴别方法 申请公布日:20080820 授权公告日:20100609 许可种类:普通许可 备案日期:20180319 申请日:20080306
专利实施许可合同备案的生效、变更及注销
2018-03-20
专利实施许可合同备案的生效 IPC(主分类):H04L9/30 合同备案号:2018610000006 让与人:西安西电捷通无线网络通信股份有限公司 受让人:深圳市瑞科慧联科技有限公司 发明名称:一种基于可信第三方的实体双向鉴别方法 申请公布日:20080820 授权公告日:20100609 许可种类:普通许可 备案日期:20180226 申请日:20080306
专利实施许可合同备案的生效、变更及注销
2018-01-16
专利实施许可合同备案的生效 IPC(主分类):H04L9/30 合同备案号:2017990000497 让与人:西安西电捷通无线网络通信股份有限公司 受让人:阿尔派株式会社 发明名称:一种基于可信第三方的实体双向鉴别方法 申请公布日:20080820 授权公告日:20100609 许可种类:普通许可 备案日期:20171222 申请日:20080306
专利实施许可合同备案的生效、变更及注销
2017-12-15
专利实施许可合同备案的生效 IPC(主分类):H04L9/30 合同备案号:2017610000028 让与人:西安西电捷通无线网络通信股份有限公司 受让人:北京华信傲天网络技术有限公司 发明名称:一种基于可信第三方的实体双向鉴别方法 申请公布日:20080820 授权公告日:20100609 许可种类:普通许可 备案日期:20171122 申请日:20080306
专利实施许可合同备案的生效、变更及注销
2017-06-27
专利实施许可合同备案的生效 IPC(主分类):H04L9/30 合同备案号:2017610000015 让与人:西安西电捷通无线网络通信股份有限公司 受让人:海能达通信股份有限公司 发明名称:一种基于可信第三方的实体双向鉴别方法 申请公布日:20080820 授权公告日:20100609 许可种类:普通许可 备案日期:20170602 申请日:20080306
专利实施许可合同备案的生效、变更及注销
2017-06-23
专利实施许可合同备案的生效 IPC(主分类):H04L9/30 合同备案号:2017610000014 让与人:西安西电捷通无线网络通信股份有限公司 受让人:北京比邻科技有限公司 发明名称:一种基于可信第三方的实体双向鉴别方法 申请公布日:20080820 授权公告日:20100609 许可种类:普通许可 备案日期:20170601 申请日:20080306
专利实施许可合同备案的生效、变更及注销
2017-04-12
专利实施许可合同备案的生效 IPC(主分类):H04L9/30 合同备案号:2017610000005 让与人:西安西电捷通无线网络通信股份有限公司 受让人:上海宇飞来星河科技有限公司 发明名称:一种基于可信第三方的实体双向鉴别方法 申请公布日:20080820 授权公告日:20100609 许可种类:普通许可 备案日期:20170317 申请日:20080306
专利实施许可合同备案的生效、变更及注销
2017-02-01
专利实施许可合同备案的生效 IPC(主分类):H04L9/30 合同备案号:2017610000001 让与人:西安西电捷通无线网络通信股份有限公司 受让人:北京烽火联拓科技有限公司 发明名称:一种基于可信第三方的实体双向鉴别方法 申请公布日:20080820 授权公告日:20100609 许可种类:普通许可 备案日期:20170106 申请日:20080306
专利实施许可合同备案的生效、变更及注销
2016-12-14
专利实施许可合同备案的生效 IPC(主分类):H04L9/30 合同备案号:2016610000049 让与人:西安西电捷通无线网络通信股份有限公司 受让人:北京智享科技有限公司 发明名称:一种基于可信第三方的实体双向鉴别方法 申请公布日:20080820 授权公告日:20100609 许可种类:普通许可 备案日期:20161117 申请日:20080306
专利实施许可合同备案的生效、变更及注销
2010-10-20
专利权人的姓名或者名称、地址的变更 IPC(主分类):H04L9/30 变更前: 变更后: 申请日:20080306
专利权人的姓名或者名称、地址的变更
2010-06-09
授权
授权
2008-10-15
实质审查的生效
实质审查的生效
2008-08-20
公开
公开
查看全部
技术领域
本发明涉及一种实用的基于可信第三方的实体双向鉴别方法。
背景技术
采用非对称密码技术的实体鉴别方法可分为两种类型,即单向鉴别和双向鉴别。鉴别的唯一性或时效性由时变参数进行标识,常被用作时变参数的有时间标记、顺序号和随机数等。若采用时间标记或顺序号作为时变参数,则单向鉴别只需要采用一次消息传递,双向鉴别需要采用两次消息传递;若采用随机数作为时变参数,则单向鉴别需要采用两次消息传递,双向鉴别需要采用三次消息传递或四次消息传递(即两次消息传递的并行鉴别)。
不论上述哪种鉴别机制,在运行之前或运行当中,验证者必须具有声称者的有效公开密钥,否则鉴别过程会受到损害或不能成功完成。在此,以双向鉴别的三次传递方法为例进行说明:
参见图1,权标TokenAB=RA||RB||B||Text3||sSA(RA||RB||B||Text2),TokenBA=RB||RA||A||Text5||sSB(RB||RA||A||Text4)。其中,X为实体区分符,该鉴别系统有A和B两个鉴别实体;CertX表示实体X的证书;sSX表示实体X的签名;RX表示实体X产生的随机数;Text为可选文本字段。
三次传递鉴别机制运行过程详述如下:
1)实体B发送随机数RB、可选项文本Text1给实体A;
2)实体A发送权标TokenAB、可选项证书CertA给实体B;
3)实体B收到实体A发送的消息后,执行以下步骤:
3.1)通过检验实体A的证书或通过别的方式确保拥有实体A的有效公开密钥。
3.2)获取实体A的公钥后,验证步骤2)中的TokenAB的签名,校验区分符B的正确性,并检查步骤1)中发送的随机数RB和TokenAB中的随机数RB是否相符,实体B完成对实体A的验证;
4)实体B发送权标TokenBA、可选项证书CertB给实体A;
5)实体A收到实体B发送的包括TokenBA的消息后,执行以下步骤:
5.1)通过检验实体B的证书或通过别的方式确保拥有实体B的有效公开密钥;
5.2)获取实体B的公钥后,验证4)中的TokenBA的签名,校验区分符A的正确性,并检查步骤2)中发送的随机数RA和TokenBA中的随机数RA是否相符及1)中收到的随机数RB和TokenBA中的随机数RB是否相符;实体A完成对实体B的验证。
可见,三次传递鉴别机制欲运行成功必须确保实体A和B分别拥有对方的有效公开密钥,而如何获得对方公开密钥及其有效性,协议本身并没有涉及。这一保障需求条件在目前很多应用环境下都不能满足,比如通信网络通常采用实体鉴别机制实现用户接入控制功能,在鉴别机制成功完成前,禁止用户访问网络,因而在鉴别之前用户无法或难以访问证书机构获得对端实体——网络接入点公开密钥的有效性。
目前通信网络通常需要在用户和网络接入点之间完成双向鉴别,以确保合法用户接入合法网络,因此对于网络实体而言,在鉴别之前若不需知晓通信对端实体的有效公开密钥,而是在鉴别过程中完成对端实体公开密钥的验证,则不仅完善了传统的实体鉴别机制,而且使其在实际应用中具有良好的可行性和易用性。另外,不论上述哪种鉴别机制,鉴别实体都需要进行公钥计算,而公钥计算比较耗时,这对于计算能力较弱的鉴别实体而言,鉴别协议难以得到应用。因此,协议的设计应在保障鉴别功能的基础上,尽可能减少鉴别实体的公钥计算次数。
发明内容
本发明为解决背景技术中存在的上述技术问题,而提出一种实用的基于可信第三方的实体双向鉴别方法。
本发明的技术解决方案是:一种实用的基于可信第三方的实体双向鉴别方法,其特殊之处在于:该方法包括以下步骤:
1)实体B向实体A发送消息1,消息1包括时变参数RB、身份标识IDB、权标TokenBA、可选项文本Text1;
2)实体A收到消息1后,向可信第三方TP发送消息2,消息2包括时变参数RA和RB、身份标识IDA和IDB、权标TokenAT和TokenBA、可选项文本Text1和Text2;
3)可信第三方TP收到消息2后,检查实体A和实体B是否合法;
4)可信第三方TP检查完实体A和实体B的合法性后,向实体A返回消息3,消息3包括权标TokenTA和可选项文本Text3或者包括权标TokenTA1和TokenTA2;
5)实体A收到消息3后,进行验证;
6)实体A完成对消息3的验证后,向实体B发送消息4,消息4包括权标TokenTA和可选项文本Text3或者包括权标TokenTA2;
7)实体B收到消息4后,进行验证,完成鉴别。
上述步骤3)中检查实体A和实体B是否合法的具体步骤如下:若消息2中实体A和实体B的身份标识为证书,则验证权标TokenBA和TokenAT中实体B和实体A的签名,若验证不通过,则直接丢弃消息2;否则检查实体A和实体B证书的有效性,若无效,则直接丢弃消息2或返回消息3;若有效,返回消息3,执行步骤4);
上述步骤3)中检查实体A和实体B是否合法的具体步骤如下:若消息2中实体A和实体B的身份标识为区分符,则搜索并检查实体A和实体B相应的公钥及其有效性;若搜索不到对应的公钥或公钥无效,则直接丢弃消息2或返回消息3;若搜索到且有效,则再验证权标TokenBA和TokenAT中实体B和实体A的签名,若验证不通过,则直接丢弃消息2;若验证通过,则返回消息3,执行步骤4);
上述步骤5)中实体A中的具体验证步骤如下:验证TokenTA或TokenTA1中可信第三方TP的签名,并检查消息2中的时变参数RA与TokenTA或TokenTA1中的时变参数RA是否相符,相符则得到实体B的验证结果PubB;
上述步骤7)中实体B中的具体验证步骤如下:验证TokenTA或TokenTA2中可信第三方TP的签名,并检查消息1中的时变参数RB与TokenTA或TokenTA2中的时变参数RB是否相符,相符则得到实体A的验证结果PubA。
上述时变参数可为随机数、时间标记或顺序号。
在上述步骤1)之前,还可添加步骤0),即首先实体A向实体B发送消息0,实体B收到消息0后再向实体A发送消息1,消息0包括时变参数RA、身份标识IDA、可选项文本Text0。
本发明采用三实体构架,鉴别实体在鉴别之前需获得可信第三方的的公钥或证书,并获得可信第三方颁发给自己的用户证书或将自己的公钥交给可信第三方保管,而无需事先知晓对端鉴别实体的有效公开密钥。在协议运行中,鉴别实体的公开密钥及其有效性通过可信第三方的搜索和验证,自动传递给所需的对端;在协议运行中,鉴别实体的验证签名工作尽可能交由通常计算能力较强的可信第三方完成。本发明相比传统鉴别机制,定义了公开密钥的在线检索和鉴别机制,实现了对它的集中管理,简化了协议的运行条件,降低了对鉴别实体的计算能力要求,可满足资源较差的网络设备的高安全性需求。
附图说明
图1为现有技术中三次传递鉴别机制的鉴别示意图;
图2为本发明的鉴别示意图。
具体实施方式
参见图2,本发明的方法涉及三个实体,两个鉴别实体A和B,一个可信第三方TP(Trusted third Party),可信第三方TP为鉴别实体A和B的可信第三方。将这种通过可信第三方TP实现两实体A、B之间对等鉴别的系统,称之为三元对等鉴别TePA(Tri-element Peer Authentication)系统。图2中,ValidX表示证书CertX的有效性;PublicKeyX为实体X的公钥;IDX为实体X的身份标识,由证书CertX或者实体的区分符X表示;PubX表示实体X的验证结果,由证书CertX及其有效性ValidX组成或者由实体X及其公钥PublicKeyX组成,Token为权标字段,定义如下:
TokenBA=sSB(RB||IDB||Text1))
TokenAT=sSA(RA||RB||IDA||IDB||Text2)
TokenTA=RA||RB||PubA||PubB||sSTP(RA||RB||PubA||PubB||Text3)
TokenTA1=RA||PubB||Text4||sSTP(RA||PubB||Text4)
TokenTA2=RB||PubA||Text5||sSTP(RB||PubA||Text5)
其具体流程如下:
1)实体B向实体A发送消息1,消息1包括时变参数RB、身份标识IDB、权标TokenBA、可选项文本Text1;
2)实体A收到消息1后,向可信第三方TP发送消息2,消息2包括时变参数RA和RB、身份标识IDA和IDB、权标TokenBA和TokenAT以及可选项文本Text1和Text2;
3)可信第三方TP收到消息2后,检查实体A和实体B是否合法;
其中:若消息2中实体A和实体B的身份标识为证书,则验证权标TokenBA和TokenAT中实体B和实体A的签名,若验证不通过,则直接丢弃消息2;否则检查实体A和实体B证书的有效性,若无效,则直接丢弃消息2或返回消息3;若有效,返回消息3,执行步骤4)。
若消息2中实体A和实体B的身份标识为区分符,则搜索并检查实体A和实体B相应的公钥及其有效性;若搜索不到对应的公钥或公钥无效,则直接丢弃消息2或返回消息3;若搜索到且有效,则再验证权标TokenBA和TokenAT中实体B和实体A的签名,若验证不通过,则直接丢弃消息2;若验证通过,则返回消息3,执行步骤4)。
4)可信第三方TP检查完实体A和实体B的合法性后,向实体A返回消息3,消息3包括权标TokenTA和可选项文本Text3或者包含权标TokenTA1和TokenTA2;
5)实体A收到消息3后,进行验证。验证TokenTA或TokenTA1中可信第三方TP的签名,并检查消息2中的时变参数RA与TokenTA或TokenTA1中的时变参数RA是否相符,相符则得到实体B的验证结果PubB;
6)实体A完成对消息3的验证后,向实体B发送消息4,消息4包括权标TokenTA和可选项文本Text3或者包括权标TokenTA2;
7)实体B收到消息4后,进行验证。验证TokenTA或TokenTA2中可信第三方TP的签名,并检查消息1中的时变参数RB与TokenTA或TokenTA2中的时变参数RB是否相符,相符则得到实体A的验证结果PubA。
需说明的是:
1、本发明中的时变参数可采用随机数、时间标记或顺序号。
2、在某些情况下,便于协议执行,协议的启动可由实体A激活,即实体A首先向实体B发送消息0,实体B收到消息0之后,再开始上述的7个步骤。此时,消息0包括时变参数RA、身份标识IDA、可选项文本Text0,消息1中的权标TokenBA=sSB(RA||RB||IDA||IDB||Text1)。
机译: 基于可信第三方的双向实体标识系统和方法
机译: 基于可信第三方的双向实体认证方法
机译: 基于可信任第三方的实体双向标识符方法和系统
