一种双向认证方法及通信系统技术方案

本申请公开了一种双向认证方法及通信系统，其中，在所述双向认证方法中，所述终端利用所述终端私钥对所述第一随机数、第二随机数和所述加密密钥进行处理获得所述签名值，以实现对所述终端发送给所述处理中心的整个验证信息的签名，签名值不再仅仅包含所述第一随机数和第二随机数的信息，从而避免了对所述签名值中某些信息的替换，以实现伪造终端的可能，在防止验证信息被篡改的同时，也强化了处理中心对所述终端的验证，进而降低了被第三方伪造终端的风险。

Bidirectional authentication method and communication system

The invention discloses a two-way authentication method and communication system, which, in the two-way authentication method, the terminal of the first random number and a second random number and the encryption key to obtain the signature value using the private key to the terminal, the terminal sends to the processing center in order to achieve the authentication information signature, signature value not only includes the first random number and a second random number information, so as to avoid the replacement of some of the information in the signature value, in order to realize the terminal may prevent forgery, in the verification of information at the same time has been tampered with, but also to strengthen the verification of the processing center the terminal, thereby reducing the risk of terminal forged by the third party.

【技术实现步骤摘要】
一种双向认证方法及通信系统
本申请涉及通信
，更具体地说，涉及一种双向认证方法及通信系统。
技术介绍
随着通信技术的不断发展，终端和处理中心之间的通信安全问题愈发受到普遍关注，如何在终端和处理中心之间建立一个安全的通信通道，以防止数据传输过程中数据的窃取侦听和篡改。因此在终端和处理中心之间进行通信之前，终端对处理中心或处理中心对终端的合法性验证是保障通信链路安全的重要手段。现有技术中存在一种实现终端和处理中心之间的双向认证过程的规范，参考《中国金融集成电路(IC)卡规范》中定义的IC卡(终端)和处理中心之间的双向认证过程。但是由于现有技术中终端向处理中心发送的验证信息分散为较为独立的模块，存在被第三方更改终端向处理中心发送的验证信息中的某一模块的内容从而达到伪造终端的风险。
技术实现思路
为解决上述技术问题，本专利技术提供了一种双向认证方法，以实现将终端向处理中心发送的验证信息整合为一个整体，从而降低被第三方伪造终端的风险的目的。为实现上述技术目的，本专利技术实施例提供了如下技术方案：一种双向认证方法，应用于由终端和处理中心构成的通信系统，所述双向认证方法包括：所述终端设置第一算法标识并产生第一随机数，将所述第一算法标识和第一随机数发送给所述处理中心；所述处理中心判断是否支持第一算法标识，如果是，则产生第二随机数，并向所述终端发送渠道证书和所述第二随机数；所述终端对所述渠道证书进行验证，在所述渠道证书验证通过后，生成共享主密钥，并利用所述渠道证书加密所述共享主密钥获得加密密钥；所述终端利用所述终端私钥对所述第一随机数、第二随机数和所述加密密钥进行处理，获得签名值，并将所述签名值、加密密钥及终端证书发送给所述处理中心；所述处理中心验证所述终端证书，在所述终端证书验证通过后，利用处理中心私钥解密加密密钥获得共享主密钥，并利用所述终端证书中的公钥信息验证所述签名值，并在所述签名值通过验证后，根据所述第一算法标识生成处理中心握手完成消息发送给所述终端；所述终端验证所述处理中心握手完成消息，并在所述处理中心握手完成消息通过验证后，生成终端握手完成消息发送给所述处理中心；所述处理中心验证所述终端握手完成消息，并在所述终端握手完成消息通过验证后，完成双向认证过程。可选的，所述终端利用所述终端私钥对所述第一随机数、第二随机数和所述加密密钥进行处理，获得签名值包括：所述终端利用所述第一随机数、第二随机数和所述加密密钥连接后得到连接值，并对所述连接值进行摘要运算获得加密连接值；利用所述终端私钥对所述加密连接值进行签名获得签名值。可选的，所述根据所述第一算法标识生成处理中心握手完成消息包括：将所述第一算法标识作为加密算法，将所述共享主密钥作为密钥，对所述第一随机数和第二随机数的和进行加密，获得处理中心握手完成消息。可选的，所述共享主密钥为预设大小的随机数。可选的，所述预设大小为48字节或56字节。可选的，所述终端对所述渠道证书进行验证包括：所述终端利用终端中预制的CA根证书对所述渠道证书进行验证。可选的，所述处理中心验证所述终端证书包括：所述处理中心利用CA根证书对所述终端证书进行验证。一种通信系统，包括终端和处理中心，所述终端与所述处理中心采用上述任一项所述的双向认证方法进行双向认证。从上述技术方案可以看出，本专利技术实施例提供了一种双向认证方法及通信系统，其中，在所述双向认证方法中，所述终端利用所述终端私钥对所述第一随机数、第二随机数和所述加密密钥进行处理获得所述签名值，以实现对所述终端发送给所述处理中心的整个验证信息的签名，签名值不再仅仅包含所述第一随机数和第二随机数的信息，从而避免了对所述签名值中某些信息的替换，以实现伪造终端的可能，在防止验证信息被篡改的同时，也强化了处理中心对所述终端的验证，进而降低了被第三方伪造终端的风险。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。图1为本申请的一个实施例提供的一种双向认证方法的流程示意图；图2为本申请的另一个实施例提供的一种双向认证方法的流程示意图；图3为本申请的又一个实施例提供的一种双向认证方法的流程示意图；图4为本申请的再一个实施例提供的一种双向认证方法的流程示意图；图5为本申请的一个优选实施例提供的一种双向认证方法的流程示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。本申请实施例提供了一种双向认证方法，如图1所示，应用于由终端和处理中心构成的通信系统，所述双向认证方法包括：所述终端设置第一算法标识A1并产生第一随机数r1，将所述第一算法标识A1和第一随机数r1发送给所述处理中心；所述处理中心判断是否支持第一算法标识A1，如果是，则产生第二随机数r2，并向所述终端发送渠道证书和所述第二随机数r2；所述终端对所述渠道证书进行验证，在所述渠道证书验证通过后，生成共享主密钥M，并利用所述渠道证书加密所述共享主密钥M获得加密密钥E；所述终端利用所述终端私钥对所述第一随机数r1、第二随机数r2和所述加密密钥E进行处理，获得签名值S，并将所述签名值S、加密密钥E及终端证书发送给所述处理中心；所述处理中心验证所述终端证书，在所述终端证书验证通过后，利用处理中心私钥解密加密密钥E获得共享主密钥M，并利用所述终端证书中的公钥信息验证所述签名值S，并在所述签名值S通过验证后，根据所述第一算法标识A1生成处理中心握手完成消息E2发送给所述终端；所述终端验证所述处理中心握手完成消息E2，并在所述处理中心握手完成消息E2通过验证后，生成终端握手完成消息E1发送给所述处理中心；所述处理中心验证所述终端握手完成消息E1，并在所述终端握手完成消息E1通过验证后，完成双向认证过程。需要说明的是，在实际应用过程中，当任一验证过程不通过时，都会结束本次双向认证过程；在本申请的其他实施例中，当任一验证过程不通过时，会发送出错消息，并结束链接，以结束本次双向认证过程。还需要说明的是，在所述双向认证方法中，所述终端利用所述终端私钥对所述第一随机数r1、第二随机数r2和所述加密密钥E进行处理获得所述签名值S，以实现对所述终端发送给所述处理中心的整个验证信息的签名，签名值S不再仅仅包含所述第一随机数r1和第二随机数r2的信息，从而避免了对所述签名值S中某些信息的替换，以实现伪造终端的可能，在防止验证信息被篡改的同时，也强化了处理中心对所述终端的验证，进而降低了被第三方伪造终端的风险。在上述实施例的基础上，在本申请的一个实施例中，如图2所示，所述终端利用所述终端私钥对所述第一随机数r1、第二随机数r2和所述加密密钥E进行处理，获得签名值S包括：所述终端利用所述第一随机数r1、第二随机数r2和所述加密密钥E连接后得到连接值R，并对所述连接值R进行摘要运算获得加密连接值H；利用本文档来自技高网...

【技术保护点】
一种双向认证方法，其特征在于，应用于由终端和处理中心构成的通信系统，所述双向认证方法包括：所述终端设置第一算法标识并产生第一随机数，将所述第一算法标识和第一随机数发送给所述处理中心；所述处理中心判断是否支持第一算法标识，如果是，则产生第二随机数，并向所述终端发送渠道证书和所述第二随机数；所述终端对所述渠道证书进行验证，在所述渠道证书验证通过后，生成共享主密钥，并利用所述渠道证书加密所述共享主密钥获得加密密钥；所述终端利用所述终端私钥对所述第一随机数、第二随机数和所述加密密钥进行处理，获得签名值，并将所述签名值、加密密钥及终端证书发送给所述处理中心；所述处理中心验证所述终端证书，在所述终端证书验证通过后，利用处理中心私钥解密加密密钥获得共享主密钥，并利用所述终端证书中的公钥信息验证所述签名值，并在所述签名值通过验证后，根据所述第一算法标识生成处理中心握手完成消息发送给所述终端；所述终端验证所述处理中心握手完成消息，并在所述处理中心握手完成消息通过验证后，生成终端握手完成消息发送给所述处理中心；所述处理中心验证所述终端握手完成消息，并在所述终端握手完成消息通过验证后，完成双向认证过程。

【技术特征摘要】
1.一种双向认证方法，其特征在于，应用于由终端和处理中心构成的通信系统，所述双向认证方法包括：所述终端设置第一算法标识并产生第一随机数，将所述第一算法标识和第一随机数发送给所述处理中心；所述处理中心判断是否支持第一算法标识，如果是，则产生第二随机数，并向所述终端发送渠道证书和所述第二随机数；所述终端对所述渠道证书进行验证，在所述渠道证书验证通过后，生成共享主密钥，并利用所述渠道证书加密所述共享主密钥获得加密密钥；所述终端利用所述终端私钥对所述第一随机数、第二随机数和所述加密密钥进行处理，获得签名值，并将所述签名值、加密密钥及终端证书发送给所述处理中心；所述处理中心验证所述终端证书，在所述终端证书验证通过后，利用处理中心私钥解密加密密钥获得共享主密钥，并利用所述终端证书中的公钥信息验证所述签名值，并在所述签名值通过验证后，根据所述第一算法标识生成处理中心握手完成消息发送给所述终端；所述终端验证所述处理中心握手完成消息，并在所述处理中心握手完成消息通过验证后，生成终端握手完成消息发送给所述处理中心；所述处理中心验证所述终端握手完成消息，并在所述终端握手完成消息通过验证后，完成双向认证过程。2.根据权利要求1所述的双向认证方法，其特征在于，所述...

【专利技术属性】
技术研发人员：朱克雷，张普含，王嘉捷，谢丰，邸丽清，王婷，高洋，
申请(专利权)人：中国信息安全测评中心，
类型：发明
国别省市：北京,11