[发明专利]一种资源受限网络的实体鉴别方法及系统

说明书

技术领域

本发明属信息安全技术中的网络安全应用领域，尤其涉及一种资源受限网络的实体鉴别方法及系统。

背景技术

资源受限的无线网络，包括传感器网络、磁域网、RFID网络等，在军事、环境监测、森林防火、健康医疗、物流等领域有着广阔的应用前景，并正在这些领域发挥越来越重要的作用。由于这类网络在通信时的无线及广播特性，使其易遭受消息被窃听、窜改、伪造，以及实体被捕获、复制等攻击，需要引入低开销的鉴别和消息保密机制来确保这类网络中实体的合法性和通信消息的保密性以及完整性。目前的鉴别方法，一般基于密码运算，要求网络中的实体必须预置相应的密码算法，否则就无法执行鉴别协议；而且，即使实体预置了密码算法，这类鉴别协议在执行时也会给网络中的实体造成计算开销，如基于对称和非对称密码算法的鉴别方法，都要求实体进行加解密运算，从而增加了网络实体在资源方面的负担。

发明内容

为了解决背景技术中存在的上述技术间题，本发明提供了一种资源受限网络的实体鉴别方法及系统。

本发明的技术解决方案是：一种资源受限网络的实体鉴别方法，其特殊之处在于：该方法包括以下步骤：

1)实体A向实体B发送鉴别请求消息；

2)实体B收到实体A发送鉴别请求消息后，向实体A发送鉴别响应消息；

3)实体A根据收到的步骤2)的鉴别响应消息判断实体B的合法性，至此，完成了实体A对实体B的单向鉴别。

步骤3)中，在实体A收到鉴别响应消息后可向实体B发送鉴别结果消息，若实体A判断实体B合法，则鉴别结果消息中包含鉴别成功信息；否则，鉴别结果消息中包含鉴别失败信息。此种情况下，可在所述步骤2)中设置消息超时处理时限T4，若在发送鉴别响应消息之后的时间T4内没有收到正确的鉴别结果消息，则实体B向实体A重新发送鉴别响应消息，若经过q次重新发送后，且每次等待接收鉴别结果消息的时间均为T4，仍未收到正确的鉴别结果消息，则实体B认为鉴别失败，其中，q为预设的鉴别响应消息的重传次数。

步骤3)中，若实体A判断实体B合法，则表示实体A对实体B鉴别成功；若实体A判断实体B不合法，则可丢弃鉴别响应消息。

为实现实体A与实体B之间的双向鉴别，上述方法还包括：

4)若实体A对实体B鉴别成功，则实体A构造鉴别响应确认消息发送给实体B，来启动与实体B的双向鉴别。

5)实体B收到鉴别响应确认消息(30)后判断实体A的合法性。

步骤5)中，在实体B收到鉴别响应确认消息后可向实体A发送鉴别结果消息，如果实体B判断实体A合法，则鉴别结果消息中包含鉴别成功信息；否则，鉴别结果消息中包含鉴别失败信息。在此种情况下，可在所述步骤4)中设置消息超时处理时限T3，如果在发送鉴别响应确认消息之后的T3时间内实体A没有收到正确的鉴别结果消息，则实体A向实体B重新发送鉴别响应确认消息，若经过n次重新发送后，且每次等待接收鉴别结果消息的时间均为T3，仍未收到正确的鉴别结果消息，则实体A认为鉴别失败，其中n为预设的鉴别响应确认消息的重传次数。

上述步骤1)之前还包括：

0)实体A和实体B之间已共享预共享密钥PSK(Pre-Shared key，PSK)。

上述步骤1)的具体实现方式是：

实体A向实体B发送鉴别请求消息，所述鉴别请求消息包括SN1，SN1通过如下方式得到：实体A产生一个随机数N1，计算其中，符号表示逐比特异或运算。

上述步骤2)的具体实现方式是：

2.1)实体B收到实体A发送的鉴别请求消息后，首先计算将N1进行按比特首尾倒置得到RN1，并计算

2.2)实体B产生一个随机数N2，计算实体B构造鉴别响应消息发送给实体A，鉴别响应消息包括SRN1和SN2。

其中，当实体A对实体B进行单向鉴别时，实体B无需生成N2及计算SN2，实体B发送给实体A的鉴别响应消息中仅包含的SRN1。

上述步骤3)的具体实现方式是：

实体A收到实体B发送的鉴别响应消息后，首先计算将RN1进行按比特首尾倒置得到N1’，判断N1’是否与实体A在步骤S1中产生的N1相等，如果不相等，则实体A丢弃该鉴别响应消息20；如果相等，则实体A认为实体B合法，此时表示实体A对实体B鉴别成功。

上述步骤4)的具体实现方式是：