[发明专利]认证及密钥协商方法、设备及存储介质

权利要求书

1.一种认证及密钥协商方法，其特征在于，所述方法包括：

密钥管理设备为终端设备配置种子密钥集合，并周期性地更新所述终端设备中的当前有效种子密钥和认证设备中与所述终端设备相关联的指定的当前有效种子密钥；所述终端设备在向所述认证设备发起身份认证请求时在所述身份认证请求中携载第一挑战码；

所述认证设备在接收到所述身份认证请求后基于所述指定的当前有效种子密钥以及预设的关联因素生成第一派生密码，并用所述第一派生密码加密所述第一挑战码，以及将加密后的第一挑战码和第二挑战码发送至所述终端设备；

所述终端设备基于所述种子密钥集合中的实际的当前有效种子密钥以及所述预设的关联因素生成第二派生密码，并用所述第二派生密码解码并验证所述加密后的第一挑战码，并在验证通过的情况下用所述第二派生密码加密所述第二挑战码，以及将加密后的第二挑战码发送至所述认证设备；

所述认证设备用所述第一派生密码解码并验证所述加密后的第二挑战码，并在验证通过的情况下确认身份认证成功；

其中，所述密钥管理设备为终端设备配置种子密钥集合，并周期性地更新所述终端设备中的当前有效种子密钥和认证设备中与所述终端设备相关联的指定的当前有效种子密钥包括：

所述密钥管理设备将包含预设数量的种子密钥预置到加密后的令牌中，并将所述令牌部署在所述终端设备上，其中，所述预设数量的种子密钥构成所述种子密钥集合；

基于预设的时间间隔和所述种子密钥集合周期性地持续更新所述终端设备中的所述当前有效种子密钥和所述认证设备中的所述指定的当前有效种子密钥。

2.如权利要求1所述的方法，其特征在于，所述方法还包括：

在所述终端设备在向所述认证设备发起所述身份认证请求之前，所述终端设备向所述认证设备发起注册请求以完成注册过程，其中，所述注册请求包含所述终端设备的标识信息；以及

在确认身份认证成功之后，所述认证设备用所述第一派生密码加密会话密钥，并将加密后的会话密钥发送至所述终端设备，以触发后续的会话过程。

3.如权利要求2所述的方法，其特征在于，所述密钥管理设备为终端设备配置种子密钥集合，并周期性地更新所述终端设备中的当前有效种子密钥和认证设备中与所述终端设备相关联的指定的当前有效种子密钥还包括：

在所述终端设备完成注册之后，所述认证设备以所述终端设备的标识信息为参数并基于后量子密码向所述密钥管理设备申请与所述终端设备相关联的所述指定的当前有效种子密钥以及所述指定的当前有效种子密钥对应的有效时间。

4.如权利要求3所述的方法，其特征在于，所述预设的关联因素包括与所述终端设备相关联的基于时间或事件的运算因子。

5.如权利要求4所述的方法，其特征在于，所述密钥管理设备为终端设备配置种子密钥集合，并周期性地更新所述终端设备中的当前有效种子密钥和认证设备中与所述终端设备相关联的指定的当前有效种子密钥还包括：

所述认证设备在所述指定的当前有效种子密钥的失效时间之前的预设时间内基于所述后量子密码向所述密钥管理设备发送种子密钥更新请求；

所述密钥管理设备在接收到所述种子密钥更新请求后基于所述后量子密码向所述认证设备发送与所述终端设备相关联的下一个指定的当前有效种子密钥以及所述下一个指定的当前有效种子密钥对应的有效时间。

6.如权利要求5所述的方法，其特征在于，所述标识信息是所述终端设备的唯一识别码。

7.如权利要求6所述的方法，其特征在于，所述方法还包括：

在所述认证设备接收到下一个指定的当前有效种子密钥的情况下：

在所述指定的当前有效种子密钥的失效时间之前的所述预设时间内，所述指定的当前有效种子密钥以及所述下一个指定的当前有效种子密钥均有效，并且在所述认证设备向所述终端设备发送所述加密后的第一挑战码和第二挑战码时，所述认证设备同时向所述终端设备发送当前使用的种子密钥的标识。