一种实体身份有效性验证方法及其装置制造方法及图纸

本发明专利技术提供的实体身份有效性验证方法和装置，涉及网络通信领域，解决了当前无多可信第三方参与身份有效性验证的技术方案的问题，该身份有效性验证方法涉及实体A、实体B、第一可信第三方TTPA和第二可信第三方TTPB，该方法包括1)实体B发送消息1到实体A；2)实体A向TTPA发送消息2；3)TTPA向TTPB发送消息3；4)TTPB向TTPA返回消息4；5)TTPA构造消息5发送给实体A；6)实体A根据验证结果R判断实体B身份的有效性。相应的，本发明专利技术还提供了与实体身份有效性验证方法相对应的装置。

【技术实现步骤摘要】

本专利技术涉及网络通信领域，尤其涉及多个可信第三方参与的实体身份有效性验证方法及装置。
技术介绍
现有的在实体之间的身份有效性验证方法中，有一类需要可信第三方TTP参与并提供验证服务的方法，这类方法中，存在一个身份有效性验证双方共同信任的TTP，其用于为参与身份有效性验证的双方提供验证服务，通过将验证结果反馈给参与身份有效性验证的双方实体，从而帮助实体之间完成对彼此身份的有效性验证。但这类方法并不能指导本领域技术人员完成一些特定环境下的身份有效性验证工作。所述的特定身份有效性验证环境例如：分别信任不同可信第三方TTP的实体之间对彼此身份有效性进行验证，且又同时需要可信第三方参与并提供验证的环境。
技术实现思路
有鉴于此，为了解决
技术介绍
中存在的上述技术问题，本专利技术提供的一种实体身份有效性验证方法及其装置，能够适用于多可信第三方TTP参与身份有效性验证的应用场景。一种实体身份有效性验证方法，实体A的身份有效性能被TTPA验证，实体B的身份有效性能被TTPB验证，实体A信任TTPA和TTPB，实体B信任TTPB，该方法包括以下步骤：1)所述实体B发送消息1到所述实体A，所述消息1包括实体B的身份信息IB；2)所述实体A收到所述消息1后，向TTPA发送消息2，所述消息2实体A产生的随机数RA和IB；3)TTPA收到实体A发送的所述消息2后，向TTPB发送消息3，所述消息3包括TTPA自己产生的随机数RTPA、RA和IB；4)TTPB收到TTPA发送的消息3后，根据IB验证实体B身份的有效性，获取实体B的身份验证结果ResB；并向TTPA返回消息4，所述消息4包括权标TokenTPBA，所述权标TokenTPBA包含RA、ResB、TTPB的第一签名以及TTPB的第二签名；所述TTPB的第一签名的签名对象包括括ResB、RA，所述TTPB的第二签名的签名对象包括RTPA；5)TTPA收到TTPB发送的消息4后，验证包含在TokenTPBA中所述TTPB的第二签名，验证通过后，检查从消息4中得到的RTPA是否与自己在消息3中发送给TTPB的随机数RTPA一致，若一致，TTPA构造消息5发送给实体A，所述消息5包括权标TokenTA，所述权标TokenTA包含ResB、TTPB的第一签名；6)实体A收到来自TTPA的消息5后，首先验证包含在TokenTA中TTPB的第一签名，验证通过后，检查从消息5中得到的RA是否与自己在消息2中发送给TTPA的随机数RA一致，若一致，实体A根据验证结果ResB判断实体B身份的有效性。本专利技术还提供了与上述身份有效性验证方法相应的装置。第一实体身份有效性验证装置，用于在第一可信第三方装置和第二可信第三方装置的参与下，与第二实体身份有效性验证装置进行身份有效性验证，所述第一实体身份有效性验证装置包括收发单元和处理单元，具体的：所述处理单元用于产生随机数RA；所述收发单元用于接收所述第二实体身份有效性验证装置发送的消息1，并用于向所述第一可信第三方装置发送消息2，所述消息1包括所述第二实体身份有效性验证装置的身份信息IB，所述消息2包括RA和IB；所述收发单元还用于接收所述第一可信第三方装置发送的消息5，所述消息5包括权标TokenTA，所述权标TokenTA包含第二身份有效性验证实体装置的身份验证二级果ResB、第二可信第三方装置的第一签名，所述第二可信第三方装置的第一签名的签名对象包括ResB、RA；所述处理单元还用于验证包含在TokenTA中所述第二可信第三方装置的第一签名，验证通过后，检查从消息5中得到的RA是否与自己在消息2中发送给所述第一可信第三方装置的随机数RA一致，若一致，根据验证结果ResB判断所述第二实体身份有效性验证装置身份的有效性。第二实体身份有效性验证装置，用于在第一可信第三方装置和第二可信第三方装置的参与下，与第一实体身份有效性验证装置进行身份有效性验证，所述第二实体身份有效性验证装置包括存储单元、收发单元，具体的：所述存储单元用于存储所述第二实体身份有效性验证装置的身份信息IB；所述收发单元用于发送消息1，所述消息1包括IB。第一可信第三方装置，用于与第二可信第三方装置一起，参与第一实体身份有效性验证装置和第二实体身份有效性验证装置之间的身份有效性验证，所述第一可信第三方装置包括收发单元和处理单元，具体的：所述收发单元用于接收所述第一实体身份有效性验证装置发送的消息2，所述消息2包括所述第一实体身份有效性验证装置产生的随机数RA以及所述第二实体身份有效性验证装置的身份信息IB；所述收发单元还用于向所述第二可信第三方装置发送消息3，所述消息3包括所述第一可信第三方装置产生的随机数RTPA、RA和IB；所述收发单元还用于接收所述第二可信第三方装置发送的消息4，所述消息4包括权标TokenTPBA；所述权标TokenTPBA包含RA、第二实体身份有效性验证装置的身份验证结果ResB、所述第二可信第三方装置的第一签名以及所述第二可信第三方装置的第二签名；所述第二可信第三方装置的第一签名的签名对象包括ResB、RA，所述第二可信第三方装置的第二签名的签名对象包括RTPA；所述处理单元还用于验证包含在TokenTPBA中所述第二可信第三方装置的第二签名，验证通过后，检查从消息4中得到的RTPA是否与自己在消息3中发送给所述第二可信第三方装置的随机数RTPA一致，若一致，构造消息5，所述消息5包括权标TokenTA，所述权标TokenTA包含ResB以及所述第二可信第三方装置的第一签名；所述收发单元还用于向所述第一实体身份有效性验证装置发送所述消息5。第二可信第三方装置，用于与第一可信第三方装置一起，参与第一实体身份有效性验证装置和第二实体身份有效性验证装置之间的身份有效性验证，所述第二可信第三方装置包括收发单元和处理单元，具体的：所述收发单元用于接收所述第一可信第三方装置发送的消息3，所述消息3包括第一可信第三方装置产生的随机数RTPA、所述第一身份有效性验证实体装置产生的随机数RA以及所述第二身份有效性验证实体装置的身份标识IB；所述处理单元用于根据IB验证实体B的身份，获取实体B的身份验证结果ResB；所述收发单元还用于向所述第一可信第三方装置发送消息4，所述消息4包括权标TokenTPBA，所述权标TokenTPBA包含RA、ResB、所述第二可信第三方装置的第一签名以及所述第二可信第三方装置的第二签名；所述第二可信第三方装置的第一签名的对象包括ResB、RA，所述第二可信第三方装置的第二签名的对象包括RTPA。本专利技术提供的实体身份有效性验证方法中，实体A的身份有效性能被TTPA验证，实体B的身份有效性能被TTPB验证。实体A信任TTPA和TTPB，实体B信任TTPB，该方法进行相互身份有效性验证的实体的身份有效性只能由不同的可信第三方TTP验证，在身份有效性验证过程中，通过两个实体分别信任的TTP之间的交互为一个实体对另一实体的身份有效性验证提供身份有效性验证服务，完成实体间的身份有效性验证。本专利技术解决了实体分别信任不同TTP时的身份有效性验证问题。该方法能很好的适用于多TTP参与实体身份有效性验证的场景，填补了当前无多本文档来自技高网...

【技术保护点】
一种实体身份有效性验证方法，涉及实体A、实体B、第一可信第三方TTPA和第二可信第三方TTPB，实体A的身份有效性能被TTPA验证，实体B的身份有效性能被TTPB验证，实体A信任TTPA和TTPB，实体B信任TTPB，其特征在于，该方法包括以下步骤：1)所述实体B发送消息1到所述实体A，所述消息1包括实体B的身份信息IB；2)所述实体A收到所述消息1后，向TTPA发送消息2，所述消息2实体A产生的随机数RA和IB；3)TTPA收到实体A发送的所述消息2后，向TTPB发送消息3，所述消息3包括TTPA自己产生的随机数RTPA、RA和IB；4)TTPB收到TTPA发送的消息3后，根据IB验证实体B身份的有效性，获取实体B的身份验证结果ResB；并向TTPA返回消息4，所述消息4包括权标TokenTPBA，所述权标TokenTPBA包含RA、ResB、TTPB的第一签名以及TTPB的第二签名；所述TTPB的第一签名的签名对象包括括ResB、RA，所述TTPB的第二签名的签名对象包括RTPA；5)TTPA收到TTPB发送的消息4后，验证包含在TokenTPBA中所述TTPB的第二签名，验证通过后，检查从消息4中得到的RTPA是否与自己在消息3中发送给TTPB的随机数RTPA一致，若一致，TTPA构造消息5发送给实体A，所述消息5包括权标TokenTA，所述权标TokenTA包含ResB、TTPB的第一签名；6)实体A收到来自TTPA的消息5后，首先验证包含在TokenTA中TTPB的第一签名，验证通过后，检查从消息5中得到的RA是否与自己在消息2中发送给TTPA的随机数RA一致，若一致，实体A根据验证结果ResB判断实体B身份的有效性。...

【技术特征摘要】
1.一种实体身份有效性验证方法，涉及实体A、实体B、第一可信第三方TTPA和第二可信第三方TTPB，实体A的身份有效性能被TTPA验证，实体B的身份有效性能被TTPB验证，实体A信任TTPA和TTPB，实体B信任TTPB，其特征在于，该方法包括以下步骤：1)所述实体B发送消息1到所述实体A，所述消息1包括实体B的身份信息IB；2)所述实体A收到所述消息1后，向TTPA发送消息2，所述消息2实体A产生的随机数RA和IB；3)TTPA收到实体A发送的所述消息2后，向TTPB发送消息3，所述消息3包括TTPA自己产生的随机数RTPA、RA和IB；4)TTPB收到TTPA发送的消息3后，根据IB验证实体B身份的有效性，获取实体B的身份验证结果ResB；并向TTPA返回消息4，所述消息4包括权标TokenTPBA，所述权标TokenTPBA包含RA、ResB、TTPB的第一签名以及TTPB的第二签名；所述TTPB的第一签名的签名对象包括括ResB、RA，所述TTPB的第二签名的签名对象包括RTPA；5)TTPA收到TTPB发送的消息4后，验证包含在TokenTPBA中所述TTPB的第二签名，验证通过后，检查从消息4中得到的RTPA是否与自己在消息3中发送给TTPB的随机数RTPA一致，若一致，TTPA构造消息5发送给实体A，所述消息5包括权标TokenTA，所述权标TokenTA包含ResB、TTPB的第一签名；6)实体A收到来自TTPA的消息5后，首先验证包含在TokenTA中TTPB的第一签名，验证通过后，检查从消息5中得到的RA是否与自己在消息2中发送给TTPA的随机数RA一致，若一致，实体A根据验证结果ResB判断实体B身份的有效性。2.根据权利要求1所述的实体身份有效性验证方法，其特征在于：步骤4)中，根据IB验证实体B身份的有效性，获取实体B的身份验证结果ResB，具体包括：如果IB是实体B的区分符，则TTPB提取实体B的公钥PB，此时ResB包括PB；如果IB是实体B的证书CertB，则TTPB检查CertB的有效性，此时ResB中包括CertB的有效性状态；如果实体B的公钥或证书的有效性不能被TTPB获得，此时ResB中包括表示验证失败的内容。3.根据权利要求1所述的实体身份有效性验证方法，其特征在于：在所述步骤5)中，TTPA从消息4中得到RTPA的具体方式是：如果TTPA验证TTPB的第二签名时能够从第二签名中恢复RTPA，则TTPA在验证TTPB的第二签名通过后从该签名中直接恢复RTPA；如果TTPA验证第二签名时不能够恢复RTPA，则消息4中还进一步包括RTPA字段，TTPA从消息4中直接获取RTPA；在所述步骤6)中，实体A从消息5中得到RA的具体方式是：如果实体A验证TTPB的第一签名时能够从第一签名中恢复RA，则实体A在验证TTPB的第一签名通过后从该签名中直接恢复RA；如果实体A验证第一签名时不能够恢复RA，则消息5中还进一步包括RA字段，实体A从消息5中直接获取RA。4.根据权利要求1-3中任一所述的实体身份有效性验证方法，其特征在于：所述步骤3)中TTPA不产生随机数RTPA，所述步骤4)及5)中的RTPA被RA代替。5.一种第一实体身份有效性验证装置，用于在第一可信第三方装置和第二可信第三方装置的参与下，与第二实体身份有效性验证装置进行身份身份有效性验证，所述第一实体身份有效性验证装置包括收发单元和处理单元，其特征在于：所述处理单元用于产生随机数RA；所述收发单元用于接收所述第二实体身份有效性验证装置发送的消息1，并用于向所述第一可信第三方装置发送消息2，所述消息1包括所述第二实体身份有效性验证装置的身份信息IB，所述消息2包括RA和IB；所述收发单元还用于接收所述第一可信第三方装置发送的消息5，所述消息5包括权标TokenTA，所述权标TokenTA包含第二身份有效性验证实体装置的
\t身份验证二级果ResB、第二可信第三方装置的第一签名，所述第二可信第三方装置的第一签名的签名对象包括ResB、RA，；所述处理单元还用于验...

【专利技术属性】
技术研发人员：张变玲，杜志强，李琴，赖晓龙，童伟刚，
申请(专利权)人：西安西电捷通无线网络通信股份有限公司，
类型：发明
国别省市：陕西;61