[发明专利]一种实体鉴别方法及装置

说明书

本发明公开一种实体鉴别方法和装置，涉及：实体A向实体B发送第一身份鉴别消息，实体B收到第一身份鉴别消息后检查实体A证书的有效性，实体B向实体A发送第二身份鉴别消息，实体A收到第二身份鉴别消息后检查其中字段数据的正确性，实体A利用自身的私钥和实体B的临时公钥计算秘密信息和消息鉴别码并发送第三身份鉴别消息给实体B，实体B收到第三身份鉴别消息后检查其中字段数据的正确性，实体B利用自身的私钥和实体A的临时公钥计算秘密信息和消息鉴别码并发送第四身份鉴别消息给实体A，实体A接收第四身份鉴别消息并检查实体B的合法性。本发明为包括NFC设备在内的空口通信设备提供身份鉴别机制，保证通信双方身份的合法性和真实性。

技术领域

本发明涉及网络安全技术领域，尤其涉及实体鉴别方法及装置。

背景技术

近场通信（Near Field Communication，NFC）技术基于空中接口进行通信，不需要任何物理或可见接触，在其获得广泛应用的同时，也面临着多种安全威胁，包括：攻击者通过监听非法截获通信双方的交互信息；通过复制或伪造对合法的卡进行假冒；通过大射频功率的读卡器远程读取卡内保密信息，然后利用后台服务器进行破解以达到非法获取卡内信息的目的等。针对上述攻击，NFC技术必须具备防伪造能力，通过通信双方的身份鉴别机制，提供卡与读卡器身份鉴别功能，为通信双方身份的合法性和真实性提供保证。但目前的NFC空中接口通信技术没有提供身份鉴别机制，存在较大的安全隐患。

发明内容

本发明为解决背景技术中存在的问题，提出一种实体鉴别方法及装置。

一种实体鉴别方法，其特征在于：

步骤1，实体A向实体B发送包括N_A||Cert_A的第一身份鉴别消息，其中，N_A为实体A产生的随机数，Cert_A为实体A的证书；

步骤2，实体B收到来自实体A的第一身份鉴别消息后，检查第一身份鉴别消息中证书Cert_A的有效性，若证书无效，则终止鉴别；

步骤3，实体B产生随机数N_B，利用自身的私钥CS_B计算数字签名Sig_B=SIG(CS_B，ID_A||ID_B||N_A||N_B||Q_B)，其中SIG为数字签名算法，ID_A和ID_B分别为实体A和实体B的标识信息，Q_B为实体B的临时公钥，实体B向实体A发送包括N_A||N_B||Cert_B||Q_B||Sig_B的第二身份鉴别消息，其中Cert_B为实体B的证书；

步骤4，实体A收到来自实体B的包括N_A||N_B||Cert_B||Q_B||Sig_B的第二身份鉴别消息后，检查第二身份鉴别消息中字段数据的正确性，若验证不正确，则终止鉴别；

步骤5，实体A利用自身的私钥CS_A计算实体A的数字签名Sig_A=SIG(CS_A,ID_A||ID_B||N_A||N_B||Q_A)，其中Q_A为实体A的临时公钥；实体A检查是否已存储有实体B的临时公钥Q_B，若已存储有Q_B，则使用已存储的Q_B，否则检查收到的第二身份鉴别消息中的Q_B的有效性，如果有效，则使用收到的第二身份鉴别消息中的Q_B，如果无效，则终止鉴别；