实体鉴别方法、装置及系统的制作方法
【技术领域】
[0001]本发明涉及信息安全技术中的网络安全应用领域,尤其涉及一种实体鉴别方法及其装置与系统。
【背景技术】
[0002]资源受限的无线网络设备,包括传感器网络中的节点、RFID系统中的电子标签等,在环境监测、物流等领域有着广阔的应用前景,并且正在这些领域发挥越来越重要的作用。由于这类网络在通信时的无线及广播特性,使其易遭受消息被窃听、窜改、伪造,以及实体被捕获、复制等攻击,需要引入低开销的鉴别和消息保密机制来确保这类网络中实体的合法性和通信消息的保密性以及完整性。
[0003]但是目前的鉴别方法,一般基于密码运算,要求网络中的实体必须预置相应的密码算法,否则就无法执行鉴别协议;而且,即使实体预置了密码算法,这类鉴别协议在执行时也会给网络中的实体造成计算开销,如基于对称和非对称密码算法的鉴别方法,都要求实体进行加解密运算,从而增加了网络实体在资源方面的负担。
【发明内容】
[0004]本发明提供一种实体鉴别方法和装置及系统,用以节省实体鉴别过程中的计算开销。
[0005]本发明提供一种实体鉴别方法,包括:
[0006]步骤1,实体A向实体B发送鉴别请求消息,所述鉴别请求消息包含实体A本地生成的数据NI经过第一约定规则处理后的结果再与PSK进行异或运算的结果SN1,PSK为实体A和实体B共享的密钥;
[0007]步骤2,实体B接收实体A发送的鉴别请求消息,将所述鉴别请求消息中的SNl与PSK异或运算后再按第二约定规则处理后,再按照第三约定规则进行处理,然后再次与经所述第三约定规则处理后并再按照第四约定规则进行处理的PSK进行异或运算得到SONlJfSONl通过鉴别响应消息发送给实体A ;
[0008]步骤3,实体A接收实体B发送的鉴别响应消息,将所述鉴别响应消息中的SONl与经所述第三约定规则处理后并再按照所述第四约定规则进行处理的PSK进行异或运算,将异或运算的结果与将NI按所述第三约定规则处理后的结果进行比较,根据比较结果鉴别实体B是否合法;
[0009]其中,所述第二规则为所述第一规则的逆向规则。
[0010]本发明还提供一种实体鉴别装置,包括:
[0011]请求消息发送单元,用于向实体B发送鉴别请求消息,所述鉴别请求消息包含所述实体鉴别装置本地生成的数据经过第一约定规则处理后的结果再NI与PSK进行异或运算的结果SNl,PSK为实体鉴别装置和实体B共享的密钥;
[0012]鉴别单元,用于接收实体B发送的鉴别响应消息,将所述鉴别响应消息中的SONl与经第三约定规则处理后并再按照第四约定规则进行处理的PSK进行异或运算,将异或运算的结果与将NI按所述第三约定规则处理后的结果比较,根据比较结果鉴别实体B是否合法,所述SONl为实体B将接收的鉴别请求消息中的SNl与PSK进行异或运算后再按第二约定规则处理后,再按照第三约定规则进行处理,然后再次与经所述第三约定规则处理后并再按照第所述四约定规则进行处理的PSK进行异或运算得到的结果;
[0013]其中,所述第二规则为所述第一规则的逆向规则。
[0014]本发明还提供另一种实体鉴别装置,包括:
[0015]请求消息接收单元,用于接收实体A发送的鉴别请求消息,所述鉴别请求消息包含实体A本地生成的数据NI经第一约定规则处理后的结果再与PSK进行异或运算的结果SNl,PSK为A和所述实体鉴别装置共享的密钥;
[0016]响应消息发送单元,用于将所述鉴别请求消息中的SNl与PSK进行异或运算后再按第二约定规则处理后,再按照第三约定规则进行处理,然后再次与经所述第三约定规则处理后并再按照第四约定规则进行处理的PSK进行异或运算得到SONldf SONl通过鉴别响应消息发送给实体A ;
[0017]其中,所述第二规则为所述第一规则的逆向规则。
[0018]本发明还提供一种实体鉴别系统,包括实体A和实体B,其中,
[0019]实体A向实体B发送鉴别请求消息,所述鉴别请求消息包含实体A本地生成的数据NI经第一约定规则处理后的结果再与PSK进行异或运算的结果SN1,PSK为实体A和实体B共享的密钥;
[0020]实体B接收实体A发送的鉴别请求消息,将所述鉴别请求消息中的SNl与PSK进行异或运算后再按第二约定规则处理后,再按照第三约定规则进行处理,然后再次与经所述第三约定规则处理后并再按照第四约定规则进行处理的PSK进行异或运算得到SONldfSONl通过鉴别响应消息发送给实体A ;
[0021]实体A接收实体B发送的鉴别响应消息,将所述鉴别响应消息中的SONl与经所述第三约定规则处理后并再按照所述第四约定规则进行处理的PSK进行异或运算,将异或运算的结果与将NI按所述第三约定规则处理后的结果比较,根据比较结果鉴别实体B是否合法;
[0022]其中,所述第二规则为所述第一规则的逆向规则。
[0023]利用本发明提供的实体鉴别方法和装置及系统,具有以下有益效果:基于异或运算实现了轻量级实体鉴别,异或运算的效率远高于对称或非对称的加解密运算,因此,本发明有效节省了实体鉴别过程中的计算开销,并提高了鉴别过程的运行效率。同时,各约定规则的使用有助于提高实体鉴别过程的安全性。
【附图说明】
[0024]图1为本发明实施例中实体鉴别方法流程图;
[0025]图2为本发明实施例中实体鉴别方法示意图;
[0026]图3为本发明另一实施例中实体鉴别方法流程图;
[0027]图4本发明实施例中的实体鉴别装置结构图;
[0028]图5为本发明另一实施例中实体鉴别装置结构图。
【具体实施方式】
[0029]下面结合附图和实施例对本发明提供的实体鉴别方法和装置及系统进行更详细地说明。
[0030]为了解决【背景技术】中存在的上述技术问题,本发明提供了一种轻量级的实体鉴别方法和装置及系统,如图1、图2所示,本发明实施例提供的实体鉴别方法包括以下步骤:
[0031]步骤1,实体A向实体B发送鉴别请求消息,所述鉴别请求消息包含实体A本地生成的数据NI经第一约定规则处理后的结果再与PSK进行异或运算的结果SN1,PSK为A和B共享的密钥。其中,采用经所述第一约定规则处理后的NI比不经过处理而直接使用NI来说,将使得本发明实体鉴别方案的安全性更高。
[0032]本发明实施例中,在鉴别之前,实体A和实体B之间已共享密钥,本实施例称为预共享密钥 PSK (Pre-Shared key)。
[0033]这样,实体A可以直接利用本地生成的数据进行异或运算:SNl=(Nl+0n) ? PSK,其中,符号“Θ”表示逐比特异或运算,On为一常数(例如,5555 55555555 5555h),下同。本发明实施例中提到的异或运算均是指逐比特异或运算。其中,“+0n”为所述第一约定规则。另夕卜,所述第一约定规则还可以为首尾倒置、正向循环移位、在设定位置增加预定比特或与约定常量进行相加运算等,但与它们相比,“+0n”可更有效防止潜在安全漏洞出现,从而提高本发明实体鉴别方案的安全性。
[0034]优选地,实体A本地生成的数据NI为实体A产生的一个随机数,当然,还可以实体A按其他方法获得的本地生成的数据。
[0035]步骤2,实体B接收实体A发送的鉴别请求消息,将所述鉴别请求消息中的SNl与PSK进行异或运算后再按第二约定规则处理后,再按照第三约定规则进行处理,然后再次与经所述第三约定规则处理后并再按照第四约定规则进行处理的PSK进行异或运算得到S0N1,将SONl通过鉴别响应消息发送给实体A。其中,采用经所述第二约定规则和第三约定规则处理后的所述异或运算结果比不经过处理而直接使用所述异或运算结果来说,将使得本发明实体鉴别方案的安全性更高;采用经所述第三和第四约定规则处理后的PSK比不经过处理而直接使用PSK来说,将使得本发明实体鉴别方案的安全性更高。
[0036]本实施例中,实体B收到实体A发送的鉴别请求消息后,获取鉴别请求消息中的SNl,计算 NIb=SNI ? PSK-On,然后计算 SONl= (PSK,+On) ? N1B’。
[0037]其中,“_0n”为所述第二约定规则的较佳实施方式;另外,所述第二约定规则还可以为首尾倒置、反向循环移位、在设定位置减少预定比特或与约定常量进行相减运算等,但与它们相比,“_0n”可更有效防止潜在安全漏洞出现,从而提高本发明实体鉴别方案的安全性。此处的NIb为所述实体B将所述鉴别请求消息中的SNl与PSK进行异或运算后再按所述第二约定规则处理后的结果;N1b’为按照所述第三约定规则进行处理后的N1b,PSK’为按照所述第三约定规则进行处理后的PSK,其中,所述第三约定规则的较佳实施方式为逐比特向左循环移位η位(η的取值为NIb中所包含的比特位为“I”的比特位的个数,在其他实施方式中,η也可以为NIb中所包含的比特位为“O”的比特位的个数)。另外,所述第三约定规则还可以为向右循环移位、首尾倒置等。所述“+0η”为所述第四约定规则的较佳实施方式。另外,所述第四约定规则还可以为首尾倒置、循环移位、在设定位置增加预定比特或与约定常量进行相加运算等,但与它们相比,“+on ”可更有效防止潜在安全漏洞出现,从而提高本发明实体鉴别方案的安全性。总之,本段中的各较佳实施方式相对于其他实施方式来说可更有效防止潜在安全漏洞出现,从而提高本发明实体鉴别方案的安全性。
[0038]步骤3,实体A接收实体B发送的鉴别响应消息,将所述鉴别响应消息中的SONl与经所述第三约定规则处理后并再按照所述第四约定规则进行处理