基于对称加密算法的双向认证方法及系统的制作方法

专利名称：：基于对称加密算法的双向认证方法及系统的制作方法
技术领域：
：本发明涉及一种双向认证方法和系统，尤其涉及一种基于对称加密算法的双向认证方法及系统。
背景技术：
：对于无线网络来说，如无线局域网或无线城域网等，其安全问题远比有线以太网严重的多。射频识别标签(RFID)同样面临安全问题，在进行安全通信之前，必须有效地解决RFID中读写器和电子标签之间的安全认证及密钥协商问题。电子标签通常是一个低性能设备，处理能力较低；而读写器、数据库服务器等设备性能一般较高，其处理能力不受限制，能够满足如PC机上的各种运算和操作。因此，在设计电子标签应用系统时，电子标签的性能就会成为一个瓶颈，需要根据电子标签性能来确定所采用的设计方案。安全认证方案的设计也不例外。如果电子标签的设备性能较高，可以采用现有的无线网络的安全方案，如无线局域网IEEE802.11i或无线城域网IEEE802.16e等安全方案来实现电子标签与读写器之间的双向认证；但如果电子标签性能较低，则需要设计一些特殊的安全方案，在性能和安全性方面达到一个折衷。目前所采用的一些方案需要读写器和服务器互相可信，一般情况下由于它们不在同一地理位置，因此在实际运用中所采用的该种技术方案是不可行的。基于公钥系统的认证方案尽管灵活、扩展性好，但是其所需要的公钥运算对低性能电子标签来说是不合适的；而与公钥运算相比较的对称加密运算来说，其性能较高，能够适合各种低性能设备。
发明内容为了解决
背景技术：
中存在的上述技术问题，本发明提供了一种可实现数据库和电子标签之间无需安全链接、可进行双向认证及可合理利用设备性能的基于对称加密算法的双向认证方法及系统。本发明的技术解决方案是本发明提供了一种基于对称加密算法的双向认证方法，其特殊之处在于该方法包括以下步骤1)碰撞过程由读写器READER、电子标签TAG和电子标签应用系统数据库DB共同完成碰撞过程；2)证书鉴别请求在完成碰撞过程后，由电子标签应用系统数据库DB构造并发送证书鉴别请求分组给认证服务器AS;3)证书鉴别响应当认证服务器AS收到证书鉴别请求分组后发送证书鉴别响应分组给电子标签应用系统数据库DB;4)挑战信息当电子标签应用系统数据库DB收到证书鉴别响应分组后发送挑战信息分组给读写器READER;5)认证请求当读写器READER收到挑战信息分组后发送认证请求分组给电子标签TAG;6)认证响应当电子标签TAG收到认证请求分组后发送认证响应分组给读写器READER;7)身份请求当读写器READER收到认证响应分组后发送身份请求分组给电子标签应用系统数据库DB;8)身份响应当电子标签应用系统数据库DB收到身份请求分组后发送身份响应分组给读写器READER。上述步骤l)具体步骤如下1.1)由读写器READER通过碰撞协议从关联的多个电子标签TAG中选取一个电子标签TAG;1.2)将所选取的标签PID信息以及读写器READER的数字证书CER11R—起发送给电子标签应用系统数据库DB。上述步骤2)中证书鉴别请求分组内容包括CERT—R字段、Nl字段、CERT一D字段和SIG一D字段；其中CERT一R字段标识读写器READER的数字证书；Nl字段标识电子标签应用系统数据库DB选取的一次性随机数；CERT—D字段标识电子标签应用系统数据库DB的数字证书；SK^D字段标识电子标签应用系统数据库DB对其前所有字段的签名。上述步骤3)中，当认证服务器AS收到证书鉴别请求分组后，由认证服务器AS验证电子标签应用系统数据库DB的签名SIG一D是否正确？若不正确，则丢弃该分组;若正确，则验证CERT—R和CERT一—D的有效性；根据验证结果构造并发送证书鉴别响应分组给电子标签应用系统数据库DB;该证书鉴别响应分组内容包括CERT一R字段、Nl字段、CERT—D字段、RES一R字段、RES—D字段和SIG—A字段；其中CERT—R字段其值与证书鉴别请求分组中的CERT—R字段值相同；Nl字段其值与证书鉴别请求分组中的N1字段值相同；CERT—D字段其值与证书鉴别请求分组中的CERT—D字段值相同；RES—R字段标识认证服务器AS对CERT一R的鉴别结果；RESJD字段标识认证服务器AS对CERT1D的鉴别结果；SIG—A字段标识认证服务器AS对其前所有字段的签名。上述步骤4)中，当电子标签应用系统数据库DB收到证书鉴别响应分组后，由电子标签应用系统数据库DB验证N1是否为自己选取的随机数？若不是，则丢弃该分组；若是，则验证认证服务器AS的签名SIG一A是否有效？若无效，则丢弃该分组；若有效，则通过RES一R字段验证CERT一R的合法性，如果CERT1R不合法，则丢弃该分组；若合法，则构造并发送挑战信息分组给读写器READER;该分组内容包括Nl、CERT—D、RES一R、RES—D、SIG—A、CHM以及SIG—D;其中Nl字段其值与证书鉴别请求、证书鉴别响应分组中的N1字段值相同；CERT—D字段其值与证书鉴别请求、证书鉴别响应分组中的CERT—D字段值相同；RES一R字段其值与证书鉴别响应分组中的1^3_11字段值相同；RES—D字段其值与证书鉴别响应分组中的RES一D字段值相同；SIG—A字段其值与证书鉴别响应分组中的SIG—A字段值相同；CHM字段标识电子标签应用系统数据库DB发送给读写器READER的认证电子标签TAG的挑战信息，计算方法为CHM=E(TK;SK);SIG一D字段标识电子标签应用系统数据库DB对其前所有字段的签名。上述步骤5)中，当读写器READER收到挑战信息分组后，由读写器READER验证认证服务器AS的签名SK^A是否有效？若无效，则丢弃该分组；若有效，则根据RES—D字段验证CERT—D的合法性，若不合法，则丢弃该分组；若合法，则验证电子标签应用系统数据库DB的签名SIG—D是否有效？若无效，则丢弃该分组；若有效，则构造并发送认证请求分组给电子标签TAG;该分组内容包括N2以及CHM;其中N2字段标识读写器READER选取的一次性随机数；CHM字段其值与挑战信息分组中的CHM字段值相同。上述步骤6)中，当电子标签TAG收到认证请求分组后，首先判断电子标签TAG本地重新计算CHM与接收到的CHM是否相等？若不相等，则丢弃该分组；若相等，则完成对读写器READER的认证，同时，构造并发送认证响应给读写器READER;该分组内容包括RCHM;其中RCHM字段标识电子标签TAG对认证请求的响应信息，其计算方法为RCHM-E(N2PID;SK);发送认证响应后，电子标签TAG更新其PID和TK如下PID=PIDE(TKPID;SK);TK=TKE(TKPIDN2;SK)。上述步骤7)中，当读写器READER收到认证响应分组后，由读写器READER构造并发送身份请求分组给电子标签应用系统数据库DB，该分组内容包括N2、RCHM以及MIC;其中-N2字段其值与认证请求分组中的N2字段值相同；RCHM字段其值与认证响应分组中的RCHM字段值相同；MIC字段标识读写器READER计算的完整性校验信息，其计算方法为-MIC=ES(RCHMN2;读写器READER)。上述步骤8)中，当电子标签应用系统数据库DB收到身份请求分组后，电子标签应用系统数据库DB利用读写器READER的公钥解密MIC并验证解密结果是否等于RCHM^N2若不相等，则丢弃该分组；若相等，则解密RCHM并计算PID，计算构造并发送身份响应分组给读写器READER;该分组内容包括N2、CID以及SIG—D;其中N2字段其值与认证请求、身份请求分组中的N2字段值相同；CID字段标识电子标签TAG的身份ID使用读写器READER的公钥加密后的密文，即CID-EP(ID;读写器READER);SID—D字段标识电子标签应用系统数据库DB对其前面所有字段的签名；发送身份响应分组后，电子标签应用系统数据库DB更新其PID和TK如下PID=PIDE(TKPID;SK);TK=TKE(TKPIDN2;SK)。上述步骤8)之后还包括步骤9)当读写器READER收到身份响应分组后，由读写器READER验证N2是否为自己选取的随机数？若否，则丢弃该分组；若是，则利用自己的私钥解密得到电子标签TAG的身份标识ID。一种用于实现基于对称加密算法的双向认证方法的认证系统，其特殊之处在于所述系统包括电子标签TAG、读写器READER、用于实现电子标签TAG和读写器READER进行对称加密算法的双向认证的电子标签应用系统数据库DB以及认证服务器AS;所述电子标签TAG和读写器READER连接；所述电子标签应用系统数据库DB分别和认证服务器AS以及读写器READER^接。本发明的优点是-1、可实现数据库和电子标签之间的双向认证。本发明采用对称加密算法，基于三元对等鉴别和证书机制，实现了数据库和电子标签之间的双向认证。2、数据库和读写器之间无需安全链接。本发明所提供的数据库和读写器之间的安全通信通过公钥机制实现，因此数据库和读写器之间无需安全链接。3、可合理利用设备性能。本发明将复杂运算过程由读写器来执行，而电子10标签的最复杂运算为对称加密运算，能够合理利用设备性能。图1为本发明认证方法流程示意图。具体实施例方式参见图l，本发明提供了一种基于对称加密算法的双向认证方法，该方法包括1)碰撞过程该分组由读写器READER、电子标签TAG和电子标签应用系统数据库DB共同完成。首先读写器READER通过碰撞协议从关联的多个电子标签TAG中选取一个电子标签TAG，然后，将自己的数字证书CERT—R和所选取的标签PID信息发送给电子标签应用系统数据库DB。2)证书鉴别请求在完成碰撞过程后，当电子标签应用系统数据库DB获得读写器READER发送的信息后，构造并发送证书鉴别请求分组给认证服务器AS，该分组由电子标签应用系统数据库DB发送给认证服务器AS。分组内容包括CERTRNlCERTDSIGD其中CERT一R字段标识读写器READER的数字证书；Nl字段标识电子标签应用系统数据库DB选取的一次性随机数；CERT—D字段标识电子标签应用系统数据库DB的数字证书；SIG一D字段标识电子标签应用系统数据库DB对其前所有字段的签名。3)证书鉴别响应收到证书鉴别请求后，认证服务器AS验证电子标签应用系统数据库DB的签名SK^D是否正确，如果不正确，则丢弃该分组；如果正确，则验证CERT—R和CERT—D的有效性，并根据验证结果构造并发送证书鉴别响应给电子标签应用系统数据库DB。该证书鉴别响应分组由认证服务器AS发送给电子标签应用系统数据库DB。证书鉴别响应分组内容包括-<table>tableseeoriginaldocumentpage11</column></row><table>其中CERT一R字段其值与证书鉴别请求分组中的CERT—R字段值相同；Nl字段其值与证书鉴别请求分组中的N1字段值相同；CERT—D字段其值与证书鉴别请求分组中的CERT—D字段值相同；RES—R字段标识认证服务器AS对CERT^R的鉴别结果；RES一D字段标识认证服务器AS对CERT一D的鉴别结果；SIG一A字段标识认证服务器AS对其前所有字段的签名。4)挑战信息收到证书鉴别响应后，电子标签应用系统数据库DB验证N1是否为自己选取的随机数，如果不是，则丢弃该分组，如果是，则验证认证服务器AS的签名SIG一A是否有效？如果无效，则丢弃该分组；如果有效，则通过RES一R字段验证CERT—R的合法性。如果CERT一R不合法，则丢弃该分组，如果CERT一R合法，则构造并发送挑战信息分组给读写器READER。该挑战信息分组由电子标签应用系统数据库DB发送给读写器READER。挑战信息分组内容包括<table>tableseeoriginaldocumentpage12</column></row><table>其中Nl字段其值与证书鉴别请求、证书鉴别响应分组中的Nl字段值相同；CERT一D字段其值与证书鉴别请求、证书鉴别响应分组中的CERT—D字段值相同；肌8_尺字段其值与证书鉴别响应分组中的RES一R字段值相同；RES—D字段其值与证书鉴别响应分组中的RES—D字段值相同；SIG一A字段其值与证书鉴别响应分组中的SIG—A字段值相同；CHM字段标识电子标签应用系统数据库DB发送给读写器READER的认证电子标签TAG的挑战信息，计算方法为CHM-E(TK;SK);SIG—D字段标识电子标签应用系统数据库DB对其前所有字段的签名。5)认证请求收到挑战信息分组后，读写器READER验证认证服务器AS的签名SIG一A是否有效。如果无效，则丢弃该分组，如果有效，则根据RES一D字段验证CERT—D的合法性。如果不合法，则丢弃该分组，如果合法，则验证电子标签应用系统数据库DB的签名SK^D是否有效。如果无效，则丢弃该分组，如果有效，则构造并发送认证请求分组给电子标签TAG。该认证请求分组由电子标签应用系统数据库DB发送给电子标签TAG。认证请求分组内容包括<table>tableseeoriginaldocumentpage12</column></row><table>其中-N2字段标识读写器READE自取的一次性随机数；CHM字段其值与挑战信息分组中的CHM字段值相同；6)认证响应收到认证请求后，电子标签TAG本地重新计算CHM并与接收到的CHM比较。如果不相等，则丢弃该分组;如果相等，则完成对读写器READER的认证，同时，构造并发送认证响应给读写器READER。该认证响应分组由电子标签TAG发送给读写器READER。认证响应分组内容包括RCHM其中RCHM字段标识电子标签TAG对认证请求的响应信息，其计算方法为RCHM=E(N2PID;SK)。发送认证响应后，电子标签TAG更新其PID和TK如下PID=PIDE(TKPID;SK);TK=TKE(TKPIDN2;SK)。7)身份请求收到认证响应后，读写器READER构造并发送身份请求分组给电子标签应用系统数据库DB。该身份请求分组由读写器READER发送给电子标签应用系统数据库DB。身份请求分组内容包括N2RCHMMIC其中N2字段其值与认证请求分组中的N2字段值相同；RCHM字段其值与认证响应分组中的RCHM字段值相同；MIC字段标识读写器READER计算的完整性校验信息，其计算方法为MOES(RCHMN2;读写器READER)。8)身份响应收到身份请求分组后，电子标签应用系统数据库DB利用读写器READER的公钥解密MIC并验证解密结果是否等于RCHMeN2。如果不相等，则丢弃该分组，如果相等，则解密RCHM并计算PID，然后，计算构造并发送身份响应分组给读写器READER。该身份响应分组由电子标签应用系统数据库DB发送给读写器READER。身份响应分组内容包括-<table>tableseeoriginaldocumentpage13</column></row><table>N2字段其值与认证请求、身份请求分组中的N2字段值相同；CID字段标识电子标签TAG的身份ID使用读写器READER的公钥加密后的密文，即CID^EP(ID;读写器READER);SID一D字段标识电子标签应用系统数据库DB对其前面所有字段的签名。发送身份响应分组后，电子标签应用系统数据库DB更新其PID和TK如下PID=PIDE(TKPID;SK);TK=TKE(TKPIDN2;SK)。收到身份响应分组后，读写器READER验证N2是否为自己选取的随机数，如果不是，则丢弃该分组，如果是，则利用自己的私钥解密得到电子标签TAG的身份标识ID。完成对电子标签TAG的认证。通过上述协议，电子标签TAG和电子标签应用系统数据库DB实现了双向认证，电子标签应用系统数据库DB和读写器READER实现了双向认证，读写器READER获得电子标签TAG的真实身份标识ID;同时，电子标签TAG和电子标签应用系统数据库DB实现了对PID和SK的同步更新，用于下次认证。另外，需要说明的是证书鉴别请求和证书鉴别响应分组应成对出现，并且是可选的，仅当电子标签应用系统数据库DB需要进行证书有效性验证时才会使用这两个分组。这里给出一个基于对称加密算法的双向认证方案，假设电子标签、读写器、数据库之间事先没有任何安全关联，通过设计简单的操作实现电子标签和读写器之间的双向认证。电子标签端设备最复杂的运算是对称加密运算。本发明在提供一种基于对称加密算法的双向认证方法的同时，还提供了一种基于对称加密算法的双向认证系统，该系统包括电子标签TAG、读写器READER、用于实现电子标签TAG和读写器READER进行对称加密算法的双向认证的电子标签应用系统数据库DB以及认证服务器AS;电子标签TAG和读写器READER连接；电子标签应用系统数据库DB分别和认证服务器AS以及读写器READER连接。其中，ID表示电子标签TAG的身份标识；PID表示电子标签TAG的伪身份标识，电子标签TAG和电子标签应用系统数据库DB预共享该信息；SK表示电子标签TAG存储的预共享密钥，同时，数据对〈PID，SIO安全存储在电子标签应用系统数据库DB上；TK表示电子标签TAG存储的预共享临时密钥，同时，数据对〈PID,TIO安全存储在电子标签应用系统数据库DB上；CERT—R表示读写器READER的数字证书；CERT一D表示电子标签应用系统数据库DB的数字证书；CERT—A表示认证服务器AS的数字证书；MIC表示消息完整性校验；E(m;Key)表示使用密钥Key对消息m对称加密；EP(m;X)表示使用实体X的公钥对消息m加密；ES(m;X)表示使用实体X的私钥对消息m解密；SIG一D表示电子标签应用系统数据库DB的公钥签名；SIG一A表示认证服务器AS的公钥签名；RES—R表示认证服务器AS对读写器READER证书的鉴别结果；RES—D表示认证服务器AS对电子标签应用系统数据库DB证书的鉴别结果；e表示逐位异或运算。本发明属电子标签系统中基于预共享密钥的认证方法(Shared-keybasedRFIDAuthenticationProtocol,SRAP)之一。1权利要求1、一种基于对称加密算法的双向认证方法，其特征在于该方法包括以下步骤1)碰撞过程由读写器READER、电子标签TAG和电子标签应用系统数据库DB共同完成碰撞过程；2)证书鉴别请求在完成碰撞过程后，由电子标签应用系统数据库DB构造并发送证书鉴别请求分组给认证服务器AS；3)证书鉴别响应当认证服务器AS收到证书鉴别请求分组后发送证书鉴别响应分组给电子标签应用系统数据库DB；4)挑战信息当电子标签应用系统数据库DB收到证书鉴别响应分组后发送挑战信息分组给读写器READER；5)认证请求当读写器READER收到挑战信息分组后发送认证请求分组给电子标签TAG；6)认证响应当电子标签TAG收到认证请求分组后发送认证响应分组给读写器READER；7)身份请求当读写器READER收到认证响应分组后发送身份请求分组给电子标签应用系统数据库DB；8)身份响应当电子标签应用系统数据库DB收到身份请求分组后发送身份响应分组给读写器READER。2、根据权利要求l所述的基于对称加密算法的双向认证方法，其特征在于所述步骤l)具体步骤如下-1.1)由读写器READER通过碰撞协议从关联的多个电子标签TAG中选取一个电子标签TAG;1.2)将所选取的标签PID信息以及读写器READER的数字证书CERT—R—起发送给电子标签应用系统数据库DB。3、根据权利要求2所述的基于对称加密算法的双向认证方法，其特征在于所述步骤2)中证书鉴别请求分组内容包括CERT—R字段、Nl字段、CERT一D字段和SK^D字段；其中CERT^R字段标识读写器READER的数字证书；Nl字段标识电子标签应用系统数据库DB选取的一次性随机数；CERT一D字段标识电子标签应用系统数据库DB的数字证书；SIG一D字段标识电子标签应用系统数据库DB对其前所有字段的签名。4、根据权利要求3所述的基于对称加密算法的双向认证方法，其特征在于所述步骤3)中，当认证服务器AS收到证书鉴别请求分组后，由认证服务器AS验证电子标签应用系统数据库DB的签名SK^D是否正确？若不正确，则丢弃该分组；若正确，则验证CERI^R和CERT一D的有效性；根据验证结果构造并发送证书鉴别响应分组给电子标签应用系统数据库DB;该证书鉴别响应分组内容包括CERT一R字段、Nl字段、CERT—D字段、RES—R字段、RES一D字段和SIG一A字段；其中CERT—R字段其值与证书鉴别请求分组中的CERT—R字段值相同；Nl字段其值与证书鉴别请求分组中的N1字段值相同；CERT—D字段其值与证书鉴别请求分组中的CERT—D字段值相同；RES—R字段标识认证服务器AS对CERI1R的鉴别结果；RES—D字段标识认证服务器AS对CERT1D的鉴别结果；SK^A字段标识认证服务器AS对其前所有字段的签名。5、根据权利要求4所述的基于对称加密算法的双向认证方法，其特征在于所述步骤4)中，当电子标签应用系统数据库DB收到证书鉴别响应分组后，由电子标签应用系统数据库DB验证N1是否为自己选取的随机数？若不是，则丢弃该分组；若是，则验证认证服务器AS的签名SIG一A是否有效？若无效，则丢弃该分组；若有效，则通过RES一R字段验证CERT—R的合法性，如果CER11R不合法，则丢弃该分组；若合法，则构造并发送挑战信息分组给读写器READER;该分组内容包括Nl、CERT—D、RES—R、RES_D、SIG_A、CHM以及SIG—D;其中-Nl字段其值与证书鉴别请求、证书鉴别响应分组中的N1字段值相同；CERT一D字段其值与证书鉴别请求、证书鉴别响应分组中的CERT一D字段值相同；RES一R字段其值与证书鉴别响应分组中的RES一R字段值相同；RES—D字段其值与证书鉴别响应分组中的朋8_0字段值相同；SIG—A字段其值与证书鉴别响应分组中的SIG—A字段值相同；CHM字段标识电子标签应用系统数据库DB发送给读写器READER的认证电子标签TAG的挑战信息，计算方法为CHM=E(TK;SK);SIG—D字段标识电子标签应用系统数据库DB对其前所有字段的签名。6、根据权利要求5所述的基于对称加密算法的双向认证方法，其特征在于所述步骤5)中，当读写器READER收到挑战信息分组后，由读写器READER验证认证服务器AS的签名SIG—A是否有效？若无效，则丢弃该分组；若有效，则根据RES—D字段验证CERT一D的合法性，若不合法，则丢弃该分组；若合法，则验证电子标签应用系统数据库DB的签名SIG—D是否有效？若无效，则丢弃该分组；若有效，则构造并发送认证请求分组给电子标签TAG;该分组内容包括N2以及CHM;其中N2字段标识读写器READER选取的一次性随机数；CHM字段其值与挑战信息分组中的CHM字段值相同。7、根据权利要求6所述的基于对称加密算法的双向认证方法，其特征在于所述步骤6)中，当电子标签TAG收到认证请求分组后，首先判断电子标签TAG本地重新计算CHM与接收到的CHM是否相等？若不相等，则丢弃该分组；若相等，则完成对读写器READER的认证，同时，构造并发送认证响应给读写器READER;该分组内容包括RCHM;其中-RCHM字段标识电子标签TAG对认证请求的响应信息，其计算方法为RCHM=E(N2PID;SK);发送认证响应后，电子标签TAG更新其PID和TK如下PID=PIDE(TKPID;SK);TK=TKE(TKPIDN2;SK)。8、根据权利要求7所述的基于对称加密算法的双向认证方法，其特征在于所述步骤7)中，当读写器READER收到认证响应分组后，由读写器READER构造并发送身份请求分组给电子标签应用系统数据库DB，该分组内容包括N2、RCHM以及MIC;其中N2字段其值与认证请求分组中的N2字段值相同；RCHM字段其值与认证响应分组中的RCHM字段值相同；MIC字段标识读写器READER计算的完整性校验信息，其计算方法为MIC=ES(RCHMN2;读写器READER)。9、根据权利要求8所述的基于对称加密算法的双向认证方法，其特征在于:所述步骤8)中，当电子标签应用系统数据库DB收到身份请求分组后，电子标签应用系统数据库DB利用读写器READER的公钥解密MIC并验证解密结果是否等于RCHMeN2若不相等，则丢弃该分组；若相等，则解密RCHM并计算PID，计算构造并发送身份响应分组给读写器READER;该分组内容包括N2、CID以及SIG一D;<formula>formulaseeoriginaldocumentpage5</formula>其中-N2字段其值与认证请求、身份请求分组中的N2字段值相同；CID字段标识电子标签TAG的身份ID使用读写器READER的公钥加密后的密文，即CID-EP(ID;读写器READER);SID—D字段标识电子标签应用系统数据库DB对其前面所有字段的签名；发送身份响应分组后，电子标签应用系统数据库DB更新其PID和TK如下PID=PIDE(TKPID;SK);TK=TKE(TKPIDN2;SK)。10、根据权利要求9所述的基于对称加密算法的双向认证方法，其特征在于所述步骤8)之后还包括步骤9)当读写器READER收到身份响应分组后，由读写器READER验证N2是否为自己选取的随机数？若否，则丢弃该分组；若是，则利用自己的私钥解密得到电子标签TAG的身份标识ID。11、一种基于对称加密算法的双向认证系统，其特征在于所述系统包括电子标签TAG、读写器READER、用于实现电子标签TAG和读写器READER进行对称加密算法的双向认证的电子标签应用系统数据库DB以及认证服务器AS;所述电子标签TAG和读写器READER连接；所述电子标签应用系统数据库DB分别和认证服务器AS以及读写器READER连接。全文摘要本发明涉及一种基于对称加密算法的双向认证方法及系统，该方法包括1)由读写器READER、电子标签TAG和电子标签应用系统数据库DB共同完成碰撞过程；2)由DB构造并发送证书鉴别请求分组给认证服务器AS；3)发送证书鉴别响应分组给DB；4)发送挑战信息分组给READER；5)发送认证请求分组给TAG；6)发送认证响应分组给READER；7)发送身份请求分组给DB；8)发送身份响应分组给READER。本发明可实现数据库和电子标签之间无需安全链接、可进行双向认证及可合理利用设备性能的基于对称加密算法的双向认证方法及系统。文档编号H04L29/06GK101645899SQ20091016897公开日2010年2月10日申请日期2009年9月2日优先权日2009年5月27日发明者庞辽军,军曹,铁满霞,黄振海申请人:西安西电捷通无线网络通信有限公司