一种实体身份有效性验证方法及其装置制造方法及图纸

本发明专利技术提供的实体身份有效性验证方法和装置，属于网络通信领域，解决了当前无多可信第三方参与身份有效性验证的问题。该实体身份有效性验证方法涉及实体A、实体B、第一可信第三方TTPA和第二可信第三方TTPB，其主要包括：1)所述实体B发送消息1到所述实体A；2)所述实体A向TTPA发送消息2；3)TTPA向TTPB发送消息3；4)TTPB向TTPA返回消息4；5)TTPA构造消息5发送给实体A；6)实体A构造消息6发送给实体B；7)实体B根据验证结果ResA判断实体A身份的有效性。相应的，本发明专利技术还提供了与实体身份有效性验证方法相对应的装置。

Entity identity validity verification method and device thereof

The invention provides a method and a device for verifying the validity of the entity identity, which belongs to the field of network communication, and solves the problem that the current third party does not participate in the verification of the identity validity. The entity identity validation method involving entity A, entity B, the first trusted third party TTPA and second trusted third party TTPB, which mainly includes: 1) message sending the B entity to the 1 entity A; 2) the entity A to send messages to TTPA 2; 3) TTPA messages sent to TTPB 3; 4) TTPB return messages to TTPA 4; 5) TTPA 5 is sent to construct message entity A; 6) A message sent to the 6 entity structure entity B; 7) B entity according to the verification results to judge the effectiveness of ResA entity A identity. Correspondingly, the invention also provides a device corresponding to the entity identity validation method.

【技术实现步骤摘要】

本专利技术涉及网络通信领域，尤其涉及多个可信第三方参与的实体身份有效性验证方法及装置。
技术介绍
现有的在实体之间的身份有效性验证方法中，有一类需要可信第三方TTP参与并提供验证服务的方法，这类方法中，存在一个身份有效性验证双方共同信任的TTP，其用于为参与身份有效性验证的双方提供验证服务，通过将验证结果反馈给参与身份有效性验证的双方实体，从而帮助实体之间完成对彼此身份的有效性验证。但这类方法并不能指导本领域技术人员完成一些特定环境下的身份有效性验证工作。所述的特定身份有效性验证环境例如：分别信任不同可信第三方TTP的实体之间对彼此身份有效性进行验证，且又同时需要可信第三方参与并提供验证的环境。
技术实现思路
有鉴于此，为了解决
技术介绍
中存在的上述技术问题，本专利技术提供的一种实体身份有效性验证方法及其装置，能够适用于多可信第三方TTP参与鉴别的应用场景。一种实体身份有效性验证方法，涉及实体A、实体B、第一可信第三方TTPA和第二可信第三方TTPB，实体A的身份有效性能被TTPA验证，实体B的身份有效性能被TTPB验证。实体A信任TTPA和TTPB，实体B信任TTPA和TTPB，该方法包括以下步骤：1)所述实体B发送消息1到所述实体A，所述消息1包括实体B的身份信息IB以及实体B产生的随机数RB；2)所述实体A收到所述消息1后，向TTPA发送消息2，所述消息2包括实体A的身份信息IA、实体A产生的随机数RA、IB以及RB；3)TTPA收到实体A发送的所述消息2后，根据IA验证实体A的身份，获取实体A的身份验证结果ResA；并向TTPB发送消息3，所述消息3包括IB、RA、TTPA自己产生的随机数RTPA；4)TTPB收到TTPA发送的消息3后，根据IB验证实体B的身份，获取实体B的身份验证结果ResB；并向TTPA返回消息4，所述消息4包括权标TokenTPBA，所述权标TokenTPBA包含实体B的身份验证结果ResB、TTPB的第一签名以及TTPB的第二签名，所述TTPB的第一签名的签名对象包括RA和ResB，所述TTPB的第二签名的签名对象包括RTPA；5)TTPA收到TTPB发送的消息4后，验证包含在TokenTPBA中TTPB的第二签名，验证通过后，检查从消息4中得到的RTPA是否与自己在消息3中发送给TTPB的随机数RTPA一致，若一致，TTPA构造消息5发送给实体A，所述消息5包括权标TokenTA，TokenTA包含ResA、ResB、TTPB的第一签名以及TTPA的签名，所述TTPA的签名的签名对象包括ResA、RB；6)实体A收到来自TTPA的消息5后，首先验证包含在TokenTA中TTPB的第一签名，验证通过后，检查从消息5中得到的RA是否与自己在消息2中发送给TTPA的随机数RA一致，若一致，实体A根据验证结果ResB判断实体B身份的有效性，并构造消息6发送给实体B，所述消息6包括TTPA的签名；7)实体B收到消息6后，首先验证TTPA的签名，验证通过后，检查从消息6中得到的RB是否与自己在消息1中发送给实体A的随机数RB，若一致，实体B根据验证结果ResA判断实体A身份的有效性。本专利技术还提供一种第一实体身份有效性验证装置，用于在第一可信第三方装置和第二可信第三方装置的参与下，与第二实体身份有效性验证装置进行身份鉴别，所述第一实体身份有效性验证装置包括存储单元、收发单元和处理单元，具体是：所述处理单元用于产生随机数RA；所述存储单元用于存储所述第一实体身份有效性验证装置的身份信息IA；所述收发单元用于接收所述第二实体身份有效性验证装置发送的消息1，并用于向所述第一可信第三方装置发送消息2，所述消息1包括所述第二实体身份有效性验证装置的身份信息IB和所述第二实体身份有效性验证装置产生的随机数RB，所述消息2包括IA、RA、IB和RB；所述收发单元还用于接收所述第一可信第三方装置发送的消息5，并用于向所述第二实体身份有效性验证装置发送消息6，所述消息5包括第二权标TokenTA，其中，TokenTA包含所述第一实体身份有效性验证装置的身份验证结果ResA、所述第二实体身份有效性验证装置的身份验证结果ResB、所述第二可信第三方装置的第一签名以及所述第一可信第三方装置的签名，所述第二可信第三方装置的第一签名的签名对象包括ResB、RA，所述第一可信第三方装置的签名的签名对象包括ResA、RB，所述消息6包括所述第一可信第三方装置的签名；所述处理单元还用于验证包含在TokenTA中所述第二可信第三方装置的第一签名，验证通过后，检查从消息5中得到的RA是否与自己在消息2中发送给所述第一可信第三方装置的随机数RA一致，若一致，根据验证结果ResB判断所述第二实体身份有效性验证装置身份的有效性，及构造所述消息6。本专利技术还提供了一种第二实体身份有效性验证装置，用于在第一可信第三方装置和第二可信第三方装置的参与下，与第一实体身份有效性验证装置进行身份鉴别，所述第二实体身份有效性验证装置包括存储单元、收发单元和处理单元，具体的：所述处理单元用于产生随机数RB；所述存储单元用于存储所述第二实体身份有效性验证装置的身份信息IB；所述收发单元用于发送消息1，并用于接收所述第一实体身份有效性验证装置发送的消息6，所述消息1包括IB和RB，所述消息6包括随机数RB和所述第一可信第三方装置的签名，所述第一可信第三方装置的签名的签名对象包括ResA、RB；所述处理单元还用于验证所述第一可信第三方装置的签名，验证通过后，检查从消息6中得到的RB是否与自己在消息1中发送给实体A的随机数RB，若一致，根据验证结果ResA判断所述第一实体身份有效性验证装置身份的有效性。本专利技术还提供了一种第一可信第三方装置，用于与第二可信第三方装置一起，参与第一实体身份有效性验证装置和第二实体身份有效性验证装置之间的身份鉴别，所述第一可信第三方装置包括收发单元和处理单元，具体的：所述收发单元用于接收所述第一实体身份有效性验证装置发送的消息2，所述消息2包括所述第一实体身份有效性验证装置的身份信息IA、所述第一实体身份有效性验证装置产生的随机数RA、所述第二实体身份有效性验证装置的身份信息IB以及所述第二实体身份有效性验证装置产生的随机数RB；所述处理单元用于根据IA验证所述第一实体身份有效性验证装置的身份，并获取验证结果ResA；所述收发单元还用于向所述第二可信第三方装置发送消息3，所述消息3包括IB、RA以及所述第一可信第三方装置产生的随机数RTPA；所述收发单元还用于接收所述第二可信第三方装置发送的消息4，所述消息4包括权标TokenTPBA，其中，TokenTPBA包含所述第二实体身份有效性验证装置的身份验证结果ResB、所述第二可信第三方装置的第一签名以及所述第二可信第三方装置的第二签名，所述第二可信第三方装置的第一签名的签名对象包括RA和ResB，所述第二可信第三方装置的第二签名的签名对象包括RTPA；所述处理单元还用于验证包含在TokenTPAB中所述第二可信第三方装置的第二签名，验证通过后，检查从消息4中得到的RTPA是否与自己在消息3中发送给TTPB的随机数RTPA一致，若一致，构造消本文档来自技高网...

【技术保护点】
一种实体身份有效性验证方法，涉及实体A、实体B、第一可信第三方TTPA和第二可信第三方TTPB，实体A的身份有效性能被TTPA验证，实体B的身份有效性能被TTPB验证,实体A信任TTPA和TTPB，实体B信任TTPA和TTPB，其特征在于，该方法包括以下步骤：1)所述实体B发送消息1到所述实体A，所述消息1包括实体B的身份信息IB以及实体B产生的随机数RB；2)所述实体A收到所述消息1后，向TTPA发送消息2，所述消息2包括实体A的身份信息IA、实体A产生的随机数RA、IB以及RB；3)TTPA收到实体A发送的所述消息2后，根据IA验证实体A的身份，获取实体A的身份验证结果ResA；并向TTPB发送消息3，所述消息3包括IB、RA、TTPA自己产生的随机数RTPA；4)TTPB收到TTPA发送的消息3后，根据IB验证实体B的身份，获取实体B的身份验证结果ResB；并向TTPA返回消息4，所述消息4包括权标TokenTPBA，所述权标TokenTPBA包含实体B的身份验证结果ResB、TTPB的第一签名以及TTPB的第二签名，所述TTPB的第一签名的签名对象包括RA和ResB，所述TTPB的第二签名的签名对象包括RTPA；5)TTPA收到TTPB发送的消息4后，验证包含在TokenTPBA中TTPB的第二签名，验证通过后，检查从消息4中得到的RTPA是否与自己在消息3中发送给TTPB的随机数RTPA一致，若一致，TTPA构造消息5发送给实体A，所述消息5包括权标TokenTA，TokenTA包含ResA、ResB、TTPB的第一签名以及TTPA的签名，所述TTPA的签名的签名对象包括ResA、RB；6)实体A收到来自TTPA的消息5后，首先验证包含在TokenTA中TTPB的第一签名，验证通过后，检查从消息5中得到的RA是否与自己在消息2中发送给TTPA的随机数RA一致，若一致，实体A根据验证结果ResB判断实体B身份的有效性，并构造消息6发送给实体B，所述消息6包括TTPA的签名；7)实体B收到消息6后，首先验证TTPA的签名，验证通过后，检查从消息6中得到的RB是否与自己在消息1中发送给实体A的随机数RB，若一致，实体B根据验证结果ResA判断实体A身份的有效性。...

【技术特征摘要】
1.一种实体身份有效性验证方法，涉及实体A、实体B、第一可信第三方TTPA和第二可信第三方TTPB，实体A的身份有效性能被TTPA验证，实体B的身份有效性能被TTPB验证,实体A信任TTPA和TTPB，实体B信任TTPA和TTPB，其特征在于，该方法包括以下步骤：1)所述实体B发送消息1到所述实体A，所述消息1包括实体B的身份信息IB以及实体B产生的随机数RB；2)所述实体A收到所述消息1后，向TTPA发送消息2，所述消息2包括实体A的身份信息IA、实体A产生的随机数RA、IB以及RB；3)TTPA收到实体A发送的所述消息2后，根据IA验证实体A的身份，获取实体A的身份验证结果ResA；并向TTPB发送消息3，所述消息3包括IB、RA、TTPA自己产生的随机数RTPA；4)TTPB收到TTPA发送的消息3后，根据IB验证实体B的身份，获取实体B的身份验证结果ResB；并向TTPA返回消息4，所述消息4包括权标TokenTPBA，所述权标TokenTPBA包含实体B的身份验证结果ResB、TTPB的第一签名以及TTPB的第二签名，所述TTPB的第一签名的签名对象包括RA和ResB，所述TTPB的第二签名的签名对象包括RTPA；5)TTPA收到TTPB发送的消息4后，验证包含在TokenTPBA中TTPB的第二签名，验证通过后，检查从消息4中得到的RTPA是否与自己在消息3中发送给TTPB的随机数RTPA一致，若一致，TTPA构造消息5发送给实体A，所述消息5包括权标TokenTA，TokenTA包含ResA、ResB、TTPB的第一签名以及TTPA的签名，所述TTPA的签名的签名对象包括ResA、RB；6)实体A收到来自TTPA的消息5后，首先验证包含在TokenTA中TTPB的第一签名，验证通过后，检查从消息5中得到的RA是否与自己在消息2中发送给TTPA的随机数RA一致，若一致，实体A根据验证结果ResB判断实体B身份的有效性，并构造消息6发送给实体B，所述消息6包括TTPA的签名；7)实体B收到消息6后，首先验证TTPA的签名，验证通过后，检查从消息6中得到的RB是否与自己在消息1中发送给实体A的随机数RB，若一致，实体B根据验证结果ResA判断实体A身份的有效性。2.根据权利要求1所述的实体身份有效性验证方法，其特征在于：步骤3)中，TTPA收到实体A发送的消息2后，根据IA验证实体A的身份，具体包括：如果IA是实体A的区分符，则TTPA提取实体A的公钥PA，此时ResA中包括PA；如果IA是实体A的证书CertA，则TTPA检查CertA的有效性，此时ResA中包括CertA的有效性状态；如果实体A的公钥或证书的有效性不能被TTPA获得，此时ResA中包括表示验证失败的内容。3.根据权利要求1所述的实体身份有效性验证方法，其特征在于：步骤4)中，所述可信第三方TTPB收到TTPA发送的消息3后，根据IB验证实体B的身份，具体包括：如果IB是实体B的区分符，则TTPB提取实体B的公钥PB，此时ResB包括PB；如果IB是实体B的证书CertB，则TTPB检查CertB的有效性，此时ResB中包括CertB的有效性状态；如果实体B的公钥或证书的有效性不能被TTPB获得，此时ResB中包括表示验证失败的内容。4.根据权利要求1所述的实体身份有效性验证方法，其特征在于：在所述步骤5)中，TTPA从消息4中得到RTPA的具体方式是：如果TTPA验证TTPB的第二签名时能够从第二签名中恢复RTPA，则TTPA在验证TTPB的第二签名通过后从该签名中直接恢复RTPA；如果TTPA验证TTPB的第二签名时不能够恢复RTPA，则消息4中还进一步包括RTPA字段，TTPA从消息4中直接获取RTPA；在所述步骤6)中，实体A从消息5中得到RA的具体方式是：如果实体A验证TTPB的第一签名时能够从第一签名中恢复RA，则实体A在验证TTPB的第一签名通过后从该签名中直接恢复RA；如果实体A验证TTPB的第一签名时不能够恢复RA，则消息5中还进一步包括RA字段，实体A从消息5中直接获取RA；在所述步骤7)中，实体B从消息6中得到RB的具体方式是：如果实体B验证TTPA的签名时能够从该签名中恢复RB，则实体B在验证TTPA的签名通过后从该签名中直接恢复RB；如果实体B验证TTPA的签名时不能够恢复RB，则消息6中还进一步包括RB字段，实体B从消息6中直接获取RB。5.根据权利要求1-4中任一所述的实体身份有效性验证方法，其特征在于：所述步骤3)中TTPA不产生随机数RTPA，所述步骤4)及5)中的RTPA被RA代替。6.一种第一实体身份有效性验证装置，用于在第一可信第三方装置和第二可信第三方装置的参与下，与第二实体身份有效性验证装置进行身份鉴别，所述第一实体身份有效性验证装置包括存储单元、收发单元和处理单元，其特征在于：所述处理单元用于产生随机数RA；所述存储单元用于存储所述第一实体身份有效性验证装置的身份信息IA；所述收发单元用于接收所述第二实体身份有效性验证装置发送的消息1，并用于向所述第一可信第三方装置发送消息2，所述消息1包括所述第二实体身份有效性验证装置的身份信息IB和所述第二实体身份有效性验证装置产生的随机数RB，所述消息2包括IA、RA、IB和RB；所述收发单元还用于接收所述第一可信第三方装置发送的消息5，并用于向所述第二实体身份有效性验证装置发送消息6，所述消息5包括第二权标TokenTA，其中，TokenTA包含所述第一实体身份有效性验证装置的身份验证结果ResA、所述第二实体身份有效性验证装置的身份验证结果ResB、所述第二可信第三方装置的第一签名以及所...

【专利技术属性】
技术研发人员：张变玲，杜志强，李琴，黄振海，张强，
申请(专利权)人：西安西电捷通无线网络通信股份有限公司，
类型：发明
国别省市：陕西;61