專利名稱:使用隨機(jī)數(shù)的通信安全認(rèn)證方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種通信安全認(rèn)證方法��,尤其涉及一種利用隨機(jī)數(shù)進(jìn)行通信安全認(rèn)證的方法���。
(2)背景技術(shù)現(xiàn)代科技的發(fā)展使安全認(rèn)證滲透到了各個領(lǐng)域��。例如�,電子商務(wù)和自動存取款等商業(yè)活動,安全門禁和管理權(quán)限等企業(yè)管理��,它們都需要安全認(rèn)證��。目前�,最常用的認(rèn)證方法是加密認(rèn)證。在此認(rèn)證過程中���,加密和解密雙方都擁有一個秘密���,即所謂的加密算法。信息發(fā)送方根據(jù)加密算法用加密密鑰對信息加密����,然后將加密信息發(fā)送給接收方。接收方用解密密鑰對接收到的加密信息解密��,獲得原始信息����。由于加密和解密過程中使用的密鑰通常在一段時間內(nèi)不會改變,當(dāng)不法分子利用竊聽手段截獲傳送信息時����,加密算法可能被破解�,從而導(dǎo)致信息發(fā)送失去安全保障����。竊聽手段的不斷升級迫使研發(fā)人員設(shè)計越來越復(fù)雜的加密算法,由此引起的大運算量對設(shè)備也提出了越來越高的要求�����。
(3)發(fā)明內(nèi)容為此����,本發(fā)明的一個目的是提供一種安全性高�����、運算量小且方案簡單的通信安全認(rèn)證方法����。
根據(jù)本發(fā)明,提供了一種在第一和第二設(shè)備之間進(jìn)行通信安全認(rèn)證的方法����,其中第一和第二設(shè)備具有相同的隨機(jī)數(shù)表,且所述隨機(jī)數(shù)表由N個隨機(jī)數(shù)組組成,每個隨機(jī)數(shù)組包括第一��、第二和第三隨機(jī)數(shù)�。該方法包括以下步驟(a)使第一設(shè)備隨機(jī)數(shù)表的當(dāng)前指針與第二設(shè)備隨機(jī)數(shù)表的當(dāng)前指針同步,其中所述當(dāng)前指針號大于等于第一與第二設(shè)備隨機(jī)數(shù)表各自下次認(rèn)證指針號中的較大者����;(b)將第一設(shè)備隨機(jī)數(shù)表當(dāng)前指針指向的第m個隨機(jī)數(shù)組的第一個隨機(jī)數(shù)發(fā)送給第二設(shè)備;
(c)當(dāng)?shù)谝缓偷诙O(shè)備隨機(jī)數(shù)表第m個隨機(jī)數(shù)組的第一個隨機(jī)數(shù)相等時���,將第二設(shè)備隨機(jī)數(shù)表的下次認(rèn)證指針號更新為m+1���;(d)將第二設(shè)備隨機(jī)數(shù)表當(dāng)前指針指向的第m個隨機(jī)數(shù)組的第二個隨機(jī)數(shù)發(fā)送給第一設(shè)備;(e)當(dāng)?shù)谝缓偷诙O(shè)備隨機(jī)數(shù)表第m個隨機(jī)數(shù)組的第二個隨機(jī)數(shù)相等時���,將第一設(shè)備隨機(jī)數(shù)表的下次認(rèn)證指針號更新為m+1�����;(f)將第一設(shè)備隨機(jī)數(shù)表當(dāng)前指針指向的第m個隨機(jī)數(shù)組的第三個隨機(jī)數(shù)發(fā)送給第二設(shè)備�����;(g)當(dāng)?shù)谝缓偷诙O(shè)備隨機(jī)數(shù)表第m個隨機(jī)數(shù)組的第三個隨機(jī)數(shù)相等時��,發(fā)送確認(rèn)信息�;以及(h)當(dāng)?shù)谝缓偷诙O(shè)備隨機(jī)數(shù)表第m個隨機(jī)數(shù)組的任何一個隨機(jī)數(shù)比對不相等時,認(rèn)證失敗���。
在上述安全認(rèn)證方法中���,第一和第二隨機(jī)數(shù)表的當(dāng)前指針號最好等于第一與第二隨機(jī)數(shù)表各自下次認(rèn)證指針號中的較大者。
在上述安全認(rèn)證方法中�����,在步驟(a)之前還可以包括下述步驟將第一設(shè)備的標(biāo)識符發(fā)送給第二設(shè)備���;當(dāng)?shù)诙O(shè)備中存在第一設(shè)備標(biāo)識符時,第二設(shè)備調(diào)用與第一設(shè)備標(biāo)識符相應(yīng)的隨機(jī)數(shù)表����;將第二設(shè)備的標(biāo)識符發(fā)送給第一設(shè)備�����;當(dāng)?shù)谝辉O(shè)備中存在第二設(shè)備標(biāo)識符時���,第一設(shè)備調(diào)用與第二設(shè)備標(biāo)識符相應(yīng)的隨機(jī)數(shù)表����;以及當(dāng)?shù)谝换虻诙O(shè)備中不存在第二或第一設(shè)備標(biāo)識符時,認(rèn)證失敗���。
在上述安全認(rèn)證方法中���,步驟(h)還可以包括下述步驟當(dāng)?shù)谝缓偷诙O(shè)備隨機(jī)數(shù)表第m個隨機(jī)數(shù)組的第二個隨機(jī)數(shù)不相等時,認(rèn)證失敗并將第一設(shè)備錯誤標(biāo)志增1��;對于第二設(shè)備標(biāo)識符�����,當(dāng)?shù)谝辉O(shè)備錯誤標(biāo)志連續(xù)累加達(dá)到一預(yù)定值時�����,第一設(shè)備在一段時間內(nèi)拒絕響應(yīng)第二設(shè)備�;當(dāng)?shù)谝缓偷诙O(shè)備隨機(jī)數(shù)表第m個隨機(jī)數(shù)組的第一個或第三隨機(jī)數(shù)不相等時,認(rèn)證失敗并將第二設(shè)備錯誤標(biāo)志增1��;以及對于第一設(shè)備標(biāo)識符���,當(dāng)?shù)诙e誤標(biāo)志連續(xù)累加達(dá)到一預(yù)定值時����,第二設(shè)備在一段時間內(nèi)拒絕響應(yīng)第一設(shè)備。
在上述安全認(rèn)證方法中�����,還包括下述步驟當(dāng)?shù)谝辉O(shè)備在發(fā)送其標(biāo)識符后未在一預(yù)定時間內(nèi)收到來自第二設(shè)備的標(biāo)識符時��,認(rèn)證失?����?;
當(dāng)?shù)诙O(shè)備在發(fā)送其標(biāo)識符后未在預(yù)定時間內(nèi)收到來自第一設(shè)備的當(dāng)前指針同步信息或第一隨機(jī)數(shù)時,認(rèn)證失??���;當(dāng)?shù)谝辉O(shè)備在發(fā)送當(dāng)前指針同步信息或第一隨機(jī)數(shù)后未在一預(yù)定時間內(nèi)收到來自第二設(shè)備的第二隨機(jī)數(shù)時,認(rèn)證失敗并將第一設(shè)備錯誤標(biāo)志增1�;以及當(dāng)?shù)诙O(shè)備在發(fā)送第二隨機(jī)數(shù)后未在預(yù)定時間內(nèi)收到來自第一設(shè)備的第三隨機(jī)數(shù)時,認(rèn)證失敗并將第二設(shè)備錯誤標(biāo)志增1���。
在上述安全認(rèn)證方法中����,第一設(shè)備和第二設(shè)備之間可以通過有線或無線通信線路連接。
(4)
結(jié)合附圖閱讀本發(fā)明的具體實施方式
��,將清楚和明白本發(fā)明的特征和優(yōu)點�����,其中附圖有圖1是一認(rèn)證系統(tǒng)的結(jié)構(gòu)示意圖�����;圖2是依照本發(fā)明一實施例的隨機(jī)數(shù)表的數(shù)據(jù)結(jié)構(gòu)圖�;圖3示出了依照本發(fā)明一實施例在安全認(rèn)證過程中前端和后端設(shè)備隨機(jī)數(shù)表指針的移動過程;圖4(a)是依照本發(fā)明一實施例的安全認(rèn)證過程的流程圖���;和圖4(b)是圖4(a)流程圖中子程序A的工作過程�。
(5)具體實施方式
以下參照附圖���,詳細(xì)描述本發(fā)明的具體實施方式
�����。
圖1是一認(rèn)證系統(tǒng)10���,它包括前端設(shè)備12和后端設(shè)備14���,兩者之間可以通過有線或無線連接方式交流信息。在實踐中��,前端和后端設(shè)備可以是任何能夠交流信息的成對設(shè)備�����。例如�����,自動取款機(jī)和銀行帳戶系統(tǒng)�����,兩個網(wǎng)絡(luò)終端�����,電子鑰匙和門禁�。
在本發(fā)明的安全認(rèn)證方法中,由管理機(jī)構(gòu)生成一隨機(jī)數(shù)表����。這里,對于上述例舉的成對設(shè)備����,管理機(jī)構(gòu)分別可以是銀行、網(wǎng)絡(luò)提供者或企業(yè)管理部門等��。在某些情況下����,管理機(jī)構(gòu)也可以是兩個成對設(shè)備的任何一個。管理機(jī)構(gòu)將生成的隨機(jī)數(shù)表與后端設(shè)備的標(biāo)識符分配給前端設(shè)備�,同時將同一隨機(jī)數(shù)表與前端設(shè)備的標(biāo)識符分配給后端設(shè)備。這樣��,前端和后端設(shè)備具有相同的隨機(jī)數(shù)表����。
圖2例示了依照本發(fā)明一實施例的隨機(jī)數(shù)表20的結(jié)構(gòu)。如圖所示����,該表是一個N×3二維表�,由n組隨機(jī)數(shù)組成�。每一組隨機(jī)數(shù)包含三個隨機(jī)數(shù)。每個隨機(jī)數(shù)可以是16位��、32位或其它位數(shù)的二進(jìn)制數(shù)�,也可以是具有一定長度的其它進(jìn)制的數(shù)字串。在本發(fā)明的安全認(rèn)證方案中�����,每次認(rèn)證使用一組隨機(jī)數(shù)�����。隨機(jī)數(shù)表的大小可以根據(jù)使用場合而定�。
由于一個前端設(shè)備可能對應(yīng)多個后端設(shè)備,反之亦然�,所以為前端和后端設(shè)備分配標(biāo)識符是必要的。如前所述����,管理機(jī)構(gòu)在為一對前端和后端設(shè)備分配隨機(jī)數(shù)表時,還必須將一個設(shè)備的標(biāo)識符通知另一個設(shè)備��。這樣,在認(rèn)證過程中�,前端設(shè)備和后端設(shè)備可以通過識別標(biāo)識符來調(diào)用對應(yīng)的隨機(jī)數(shù)表��。
圖3示出了依照本發(fā)明一實施例在安全認(rèn)證過程中前端和后端設(shè)備隨機(jī)數(shù)表指針的移動過程�����。
當(dāng)前端設(shè)備被非法使用或者后端設(shè)備受到侵犯時���,兩個設(shè)備的隨機(jī)數(shù)表指針可能指向不同的數(shù)組�����。因此�,每次認(rèn)證開始時應(yīng)先使指針同步�����。具體地說����,在一實施例中,當(dāng)前端設(shè)備對后端設(shè)備作一次新的訪問時����,它將其標(biāo)識符ID1發(fā)送給后端設(shè)備����。后端設(shè)備識別標(biāo)識符ID1�����,找出與標(biāo)識符ID1對應(yīng)的隨機(jī)數(shù)表����。然后,后端設(shè)備對前端設(shè)備的訪問作出響應(yīng)�����,將自己的標(biāo)識符ID2和下次認(rèn)證指針P2next=m′發(fā)送給前端設(shè)備�。前端設(shè)備根據(jù)后端設(shè)備標(biāo)識符ID2查找相應(yīng)的隨機(jī)數(shù)表,并將自已的下次認(rèn)證指針P1next=m與后端設(shè)備的下次認(rèn)證指針P2next=m′作比較���。如果m≥m′��,則將m作為當(dāng)前指針的指針號P1����,即令P1=m。如果m<m′�����,則將m′作為當(dāng)前指針的指針號����,即令P1=m′�����。前端設(shè)備會將當(dāng)前指針號P1通知后端設(shè)備����。為了防止第三者通過竊聽而重發(fā)攻擊,后端設(shè)備判斷P1是否大于或等于后端的下次認(rèn)證指針P2next���。如果是�,則后端設(shè)備使P2=P1���,完成當(dāng)前指針的同步�����。如果不是��,表示認(rèn)證失敗���。在圖3所示的實施例中����,假設(shè)m>m′�����,因此同步后P1=P2=m�����。
在認(rèn)證方面����,前端設(shè)備根據(jù)當(dāng)前指針P1=m從隨機(jī)數(shù)表第m組數(shù)據(jù)中取出第一個隨機(jī)數(shù)Rm1,并將Rm1與P1一起發(fā)送給后端設(shè)備���。后端設(shè)備也根據(jù)其當(dāng)前指針P2=m從隨機(jī)數(shù)表第m組數(shù)據(jù)中取出第一個隨機(jī)數(shù)rm1�。后端設(shè)備將rm1與接收到的Rm1比較��。如果相同,表示后端設(shè)備實現(xiàn)了對前端設(shè)備的認(rèn)證����。為了保證后端隨機(jī)數(shù)表的當(dāng)前數(shù)據(jù)組不會在下一次認(rèn)證時再次使用,后端設(shè)備將下次認(rèn)證指針P2next的值更新為當(dāng)前指針P2的值加1�,即P2next=P2+1=m+1。接著�����,后端設(shè)備根據(jù)當(dāng)前指針P2從隨機(jī)數(shù)表第m組中取出第二個隨機(jī)數(shù)rm2����,并將其發(fā)送給前端設(shè)備��。前端設(shè)備也取出第m組數(shù)據(jù)中的第二隨機(jī)數(shù)Rm2�����,并將Rm2與rm2比較�。如果相同,表示前端設(shè)備實現(xiàn)了對后端設(shè)備的認(rèn)證��。同樣�����,為了保證前端隨機(jī)數(shù)表當(dāng)前數(shù)據(jù)組不會在下一次認(rèn)證時再次使用,前端設(shè)備將下次認(rèn)證指針P1next的值更新為當(dāng)前指針P1的值加1��,即P1next=P1+1=m+1��。接著����,前端設(shè)備根據(jù)當(dāng)前指針號P1取出隨機(jī)數(shù)表第m組數(shù)據(jù)的第三個隨機(jī)數(shù)Rm3,并將其發(fā)送給后端設(shè)備��。后端設(shè)備取出隨機(jī)數(shù)rm3�,并將其與接收到的Rm3比較。如果相同���,表示完成確認(rèn)���。后端設(shè)備發(fā)出確認(rèn)信息。整個認(rèn)證過程結(jié)束�。在電子鑰匙(前端設(shè)備)和門禁(后端設(shè)備)的實施例中,當(dāng)完成確認(rèn)時����,門禁發(fā)出的確認(rèn)信息可以是表示開啟門鎖的信號�����。
另外��,在本發(fā)明的認(rèn)證方法中�����,可以為前端設(shè)備設(shè)立一個錯誤標(biāo)志和一預(yù)定值�,用于記錄后端設(shè)備的錯誤次數(shù)�����。同樣�,為后端設(shè)備設(shè)立一個錯誤標(biāo)志和一預(yù)定值���,用于記錄前端設(shè)備的錯誤次數(shù)�。當(dāng)前端設(shè)備比對后端設(shè)備發(fā)送的隨機(jī)數(shù)不成功時�,前端設(shè)備的錯誤標(biāo)志加1。如果對于同一后端設(shè)備ID�����,前端錯誤標(biāo)志連續(xù)累計值小于預(yù)定值,那么允許前端設(shè)備重新請求認(rèn)證�。如果前端錯誤標(biāo)志連續(xù)累計值大于或等于預(yù)定值,雖然前端設(shè)備仍可重新請求認(rèn)證��,但前端設(shè)備在一段時間內(nèi)拒絕響應(yīng)同一ID的后端設(shè)備ID��。另一方面��,當(dāng)后端設(shè)備比對前端設(shè)備發(fā)送的隨機(jī)數(shù)不成功時���,后端設(shè)備的錯誤標(biāo)志加1��。如果對于同一前端設(shè)備ID��,后端錯誤標(biāo)志連續(xù)累計值小于預(yù)定值�����,那么允許前端設(shè)備重新請求認(rèn)證�。如果后端錯誤標(biāo)志連續(xù)累計值大于或等于預(yù)定值��,那么后端設(shè)備在一段時間內(nèi)拒絕響應(yīng)同一ID的前端設(shè)備���。如果有一次完成的認(rèn)證過程成功了��,則將前端和后端錯誤標(biāo)志清零��。
另外���,為了防止外來攻擊��,在本發(fā)明的認(rèn)證方法中��,還可以為前端和后端設(shè)備分別設(shè)置一計時器�����,并設(shè)定一預(yù)定時間��。當(dāng)前端或后端設(shè)備在發(fā)出各自設(shè)備ID后未能在預(yù)定時間內(nèi)收到對方設(shè)備的響應(yīng)����,則不再接收信息并返回起始狀態(tài)�����,允許前端設(shè)備重新請求認(rèn)證���。當(dāng)前端或后端設(shè)備在發(fā)出隨機(jī)數(shù)后未能在預(yù)定時間內(nèi)收到對方設(shè)備的響應(yīng)���,則不再接收信息,并將相應(yīng)的錯誤標(biāo)志加1��。
圖4(a)是依照本發(fā)明一實施例的安全認(rèn)證過程的流程圖�����。
首先����,在步驟42,前端設(shè)備向后端設(shè)備發(fā)出認(rèn)證請求��,提供其ID���。在步驟62�����,后端設(shè)備核對前端ID�����。如果在后端設(shè)備存儲的所有前端設(shè)備ID中搜索到相匹配的ID��,則核對成功���,過程進(jìn)至步驟64�����。否則����,返回起始處�。在步驟64,后端設(shè)備調(diào)用與接收到的前端ID相對應(yīng)的隨機(jī)數(shù)表�,并作出認(rèn)證響應(yīng),向前端設(shè)備發(fā)送后端ID及后端隨機(jī)數(shù)表的下次認(rèn)證指針號P2next�。在步驟44,前端設(shè)備核對后端ID�。如果在前端設(shè)備存儲的所有后端設(shè)備ID中搜索到相匹配的ID,則核對成功����,過程進(jìn)至步驟46�。否則返回起始處。在步驟46,前端設(shè)備調(diào)用與接收到的后端ID相對應(yīng)的隨機(jī)數(shù)表�,并將該表的下次認(rèn)證指針號P1next與接收到的后端P2next中的較大者設(shè)定為前端隨機(jī)數(shù)表的當(dāng)前指針號P1。然后���,前端設(shè)備將前端當(dāng)前指針號P1以及該指針?biāo)鸽S機(jī)數(shù)組的第一個隨機(jī)數(shù)Rm1發(fā)送給后端設(shè)備����。在步驟65���,后端設(shè)備判斷P1是否大于等于后端P2next���。如果是,則過程進(jìn)入步驟66���。如果否����,則返回起始處����。在步驟66,后端設(shè)備使后端指針與前端指針同步P2=P1�。在步驟68�����,將P2所指隨機(jī)數(shù)組中的第一個隨機(jī)數(shù)rm1與接收到的Rm1比對��。如果兩個第一隨機(jī)數(shù)相等���,則過程進(jìn)到步驟70。如果不相等���,過程進(jìn)到子程序A���。在步驟70,使下次認(rèn)證指針號P2next等于P2+1����。然后,后端設(shè)備將P2所指隨機(jī)數(shù)組的第二個隨機(jī)數(shù)rm2發(fā)送給前端��。在步驟48�����,前端設(shè)備將P1所指隨機(jī)數(shù)組中的第二個隨機(jī)數(shù)Rm2與接收到的rm2比對����。如果兩個第二隨機(jī)數(shù)相等,則過程進(jìn)到步驟50��。如果不相等����,過程進(jìn)到子程序A。在步驟50����,使下次認(rèn)證指針號P1next等于P1+1。然后��,前端設(shè)備將P1所指隨機(jī)數(shù)組的第三個隨機(jī)數(shù)Rm3發(fā)送給后端��。在步驟72�,后端設(shè)備將P2所指隨機(jī)數(shù)組中的第三個隨機(jī)數(shù)rm3與接收到的Rm3比對。如果兩個第三隨機(jī)數(shù)相等���,則過程進(jìn)到步驟74����。如果不相等���,過程進(jìn)到子程序A�����。在步驟74����,后端設(shè)備發(fā)出認(rèn)證成功信號,整個認(rèn)證過程結(jié)束����。
圖4(b)是圖4(a)中子程序A的流程。當(dāng)前端和后端設(shè)備中的任一設(shè)備比對隨機(jī)數(shù)不成功時�����,該設(shè)備的錯誤標(biāo)志增1����。然后,判斷該錯誤標(biāo)志是否大于或等于一預(yù)定值�����。如果是,則關(guān)閉該設(shè)備�����。這里“關(guān)閉”是指所述設(shè)備在一段時間內(nèi)拒絕響應(yīng)同一對方設(shè)備�����。如果否�,則返回圖4(a)流程中的起始處���,允許前端設(shè)備重新發(fā)出認(rèn)證請求�����。圖4(b)所示的子程序也適用于前端或后端設(shè)備在發(fā)送隨機(jī)數(shù)后未能在預(yù)定時間內(nèi)收到對方響應(yīng)的情況����。
具體地說�,對于同一后端設(shè)備ID2,當(dāng)前端設(shè)備未能在預(yù)定時間內(nèi)收到來自后端設(shè)備的隨機(jī)數(shù)rm2或者比對Rm2與rm2不成功時���,前端錯誤標(biāo)志增1��。然后�����,判斷此前端錯誤標(biāo)志是否大于或等于預(yù)定值�����,如果是��,返回起始處�����,前端設(shè)備重新請求��,但拒絕響應(yīng)同一ID的后端設(shè)備2�����。類似地��,對于同一前端設(shè)備ID1�,當(dāng)后端設(shè)備未能在預(yù)定時間內(nèi)收到來自前端設(shè)備的隨機(jī)數(shù)rm3或者比對rm1與Rm1或rm3與Rm3不成功時,后端錯誤標(biāo)志增1���。然后����,判斷此后端錯誤標(biāo)志是否大于或等于預(yù)定值,如果是��,后端設(shè)備拒絕響應(yīng)同一ID的前端設(shè)備����。
圖4的流程圖未包括用計時器限制對方設(shè)備響應(yīng)時間的過程。但根據(jù)前述�,本領(lǐng)域的熟練技術(shù)人員應(yīng)該可以理解�。
由上述技術(shù)方案可知,本發(fā)明的技術(shù)方案有很高的安全性����。具體表現(xiàn)在第一,本發(fā)明的安全認(rèn)證過程采用一次口令的方式���。每次認(rèn)證過程都采用三個一組的隨機(jī)數(shù)進(jìn)行確認(rèn)���。一組隨機(jī)數(shù)用過后,便被廢棄(參見圖4(a)中的步驟50和70)����,可以防止中間人通過竊聽進(jìn)行重發(fā)攻擊���。第二,前端和后端設(shè)備的隨機(jī)數(shù)指針號采用同步方式(參見圖4(a)中的步驟46和66)����,取雙方指針號的大者為當(dāng)前指針號。這樣���,即使前端設(shè)備被非法使用或后端設(shè)備受到攻擊����,也可以保證每次合法的認(rèn)證過程能夠順利進(jìn)行�����。第三����,本發(fā)明的安全認(rèn)證過程采用三個一組隨機(jī)數(shù)進(jìn)行認(rèn)證。其中�����,第一和第二隨機(jī)數(shù)是認(rèn)證隨機(jī)數(shù),用于成對設(shè)備相互間的認(rèn)證�����。第三隨機(jī)數(shù)是確認(rèn)隨機(jī)數(shù)���,當(dāng)?shù)谝缓偷诙S機(jī)數(shù)比對成功后���,還要比對第三隨機(jī)數(shù)。只有第三隨機(jī)數(shù)比對成功���,才認(rèn)為認(rèn)證成功��。與僅比對二個隨機(jī)數(shù)的方案相比���,本發(fā)明的三個隨機(jī)數(shù)比對方案可以防止中間人的攻擊���。第四��,前端和后端設(shè)備都裝備了一計時器�����,用于限制通信時間����,防止中間人攻擊。第五�,設(shè)置錯誤標(biāo)志,在錯誤次數(shù)超過預(yù)定值時����,將設(shè)備關(guān)閉一段時間,由此防止中間人用窮舉掃描方式進(jìn)行攻擊���。例如����,如果隨機(jī)數(shù)長度為16位�,則一個完整的窮舉掃描需54小時。如果隨機(jī)數(shù)長度增加到32位��,則一個完整的窮舉掃描需408年����。可見����,本發(fā)明方案具有很高的安全性��。
本發(fā)明的安全認(rèn)證方案非常簡單��,而且運算量小���。除了生成隨機(jī)數(shù)表和隨機(jī)數(shù)比對之外,沒有其他運算�。因此,特別適用于嵌入式系統(tǒng)�����。
盡管通過實施例詳細(xì)描述了本發(fā)明����,但實施例僅是說明性的。本領(lǐng)域的熟練技術(shù)人員在不脫離本發(fā)明精神和范圍的情況下�����,可以作各種變化和修改���。本發(fā)明由后附權(quán)利要求書及其等效技術(shù)方案來限定����。
權(quán)利要求
1.一種在第一和第二設(shè)備之間進(jìn)行通信安全認(rèn)證的方法�����,其中第一和第二設(shè)備具有相同的隨機(jī)數(shù)表���,且所述隨機(jī)數(shù)表由N個隨機(jī)數(shù)組組成�����,每個隨機(jī)數(shù)組包括第一���、第二和第三隨機(jī)數(shù),其特征在于����,所述方法包括以下步驟(a)使第一設(shè)備隨機(jī)數(shù)表的當(dāng)前指針與第二設(shè)備隨機(jī)數(shù)表的當(dāng)前指針同步,其中所述當(dāng)前指針號大于等于第一與第二設(shè)備隨機(jī)數(shù)表各自下次認(rèn)證指針號中的較大者����;(b)將第一設(shè)備隨機(jī)數(shù)表當(dāng)前指針指向的第m個隨機(jī)數(shù)組的第一個隨機(jī)數(shù)發(fā)送給第二設(shè)備;(c)當(dāng)?shù)谝缓偷诙O(shè)備隨機(jī)數(shù)表第m個隨機(jī)數(shù)組的第一個隨機(jī)數(shù)相等時�����,將第二設(shè)備隨機(jī)數(shù)表的下次認(rèn)證指針號更新為m+1;(d)將第二設(shè)備隨機(jī)數(shù)表當(dāng)前指針指向的第m個隨機(jī)數(shù)組的第二個隨機(jī)數(shù)發(fā)送給第一設(shè)備����;(e)當(dāng)?shù)谝缓偷诙O(shè)備隨機(jī)數(shù)表第m個隨機(jī)數(shù)組的第二個隨機(jī)數(shù)相等時,將第一設(shè)備隨機(jī)數(shù)表的下次認(rèn)證指針號更新為m+1��;(f)將第一設(shè)備隨機(jī)數(shù)表當(dāng)前指針指向的第m個隨機(jī)數(shù)組的第三個隨機(jī)數(shù)發(fā)送給第二設(shè)備�����;(g)當(dāng)?shù)谝缓偷诙O(shè)備隨機(jī)數(shù)表第m個隨機(jī)數(shù)組的第三個隨機(jī)數(shù)相等時�����,發(fā)送確認(rèn)信息�����;以及(h)當(dāng)?shù)谝缓偷诙O(shè)備隨機(jī)數(shù)表第m個隨機(jī)數(shù)組的任何一個隨機(jī)數(shù)比對不相等時�,認(rèn)證失敗。
2.如權(quán)利要求1所述的通信安全認(rèn)證方法���,其特征在于�,第一和第二設(shè)備隨機(jī)數(shù)表的當(dāng)前指針號等于第一與第二設(shè)備隨機(jī)數(shù)表各自下次認(rèn)證指針號中的較大者����。
3.如權(quán)利要求1或2所述的通信安全認(rèn)證方法,其特征在于�,在步驟(a)之前還包括下述步驟將第一設(shè)備的標(biāo)識符發(fā)送給第二設(shè)備;當(dāng)?shù)诙O(shè)備中存在第一設(shè)備標(biāo)識符時���,第二設(shè)備調(diào)用與第一設(shè)備標(biāo)識符相應(yīng)的隨機(jī)數(shù)表����;將第二設(shè)備的標(biāo)識符發(fā)送給第一設(shè)備���;當(dāng)?shù)谝辉O(shè)備中存在第二設(shè)備標(biāo)識符時�,第一設(shè)備調(diào)用與第二設(shè)備標(biāo)識符相應(yīng)的隨機(jī)數(shù)表�;以及當(dāng)?shù)谝换虻诙O(shè)備中不存在第二或第一設(shè)備標(biāo)識符時,認(rèn)證失敗�����。
4.如權(quán)利要求3所述的通信安全認(rèn)證方法����,其特征在于��,所述步驟(h)還包括下述步驟當(dāng)?shù)谝缓偷诙O(shè)備隨機(jī)數(shù)表第m個隨機(jī)數(shù)組的第二個隨機(jī)數(shù)不相等時�,認(rèn)證失敗并將第一設(shè)備錯誤標(biāo)志增1�;對于第二設(shè)備標(biāo)識符,當(dāng)?shù)谝辉O(shè)備錯誤標(biāo)志連續(xù)累加達(dá)到一預(yù)定值時���,第一設(shè)備在一段時間內(nèi)拒絕響應(yīng)第二設(shè)備����;當(dāng)?shù)谝缓偷诙O(shè)備隨機(jī)數(shù)表第m個隨機(jī)數(shù)組的第一個或第三隨機(jī)數(shù)不相等時���,認(rèn)證失敗并將第二設(shè)備錯誤標(biāo)志增1�;以及對于第一設(shè)備標(biāo)識符�,當(dāng)?shù)诙e誤標(biāo)志連續(xù)累加達(dá)到一預(yù)定值時,第二設(shè)備在一段時間內(nèi)拒絕響應(yīng)第一設(shè)備����。
5.如權(quán)利要求4所述的通信安全認(rèn)證方法,其特征在于�����,還包括下述步驟當(dāng)?shù)谝辉O(shè)備在發(fā)送其標(biāo)識符后未在一預(yù)定時間內(nèi)收到來自第二設(shè)備的標(biāo)識符時,認(rèn)證失?。划?dāng)?shù)诙O(shè)備在發(fā)送其標(biāo)識符后未在預(yù)定時間內(nèi)收到來自第一設(shè)備的當(dāng)前指針同步信息或第一隨機(jī)數(shù)時�����,認(rèn)證失?��。划?dāng)?shù)谝辉O(shè)備在發(fā)送當(dāng)前指針同步信息或第一隨機(jī)數(shù)后未在一預(yù)定時間內(nèi)收到來自第二設(shè)備的第二隨機(jī)數(shù)時��,認(rèn)證失敗并將第一設(shè)備錯誤標(biāo)志增1���;以及當(dāng)?shù)诙O(shè)備在發(fā)送第二隨機(jī)數(shù)后未在預(yù)定時間內(nèi)收到來自第一設(shè)備的第三隨機(jī)數(shù)時�����,認(rèn)證失敗并將第二設(shè)備錯誤標(biāo)志增1��。
6.如權(quán)利要求1所述的通信安全認(rèn)證方法�����,其特征在于��,第一設(shè)備和第二設(shè)備之間通過有線通信線路連接�����。
7.如權(quán)利要求1所述的通信安全認(rèn)證方法�����,其特征在于��,第一設(shè)備和第二設(shè)備之間通過無線通信線路連接�����。
全文摘要
一種在具有相同隨機(jī)數(shù)表的前后設(shè)備之間進(jìn)行通信安全認(rèn)證的方法����,其中隨機(jī)數(shù)表由N個隨機(jī)數(shù)組組成,每組包括三個隨機(jī)數(shù)���。具體步驟使前后端隨機(jī)數(shù)表的當(dāng)前指針同步�,當(dāng)前指針最好等于前后端下次認(rèn)證指針中的較大者����;前端將當(dāng)前第m個隨機(jī)數(shù)組的第一隨機(jī)數(shù)發(fā)送給后端�����;后端將其相應(yīng)數(shù)組的第一個隨機(jī)數(shù)與前端第一隨機(jī)數(shù)比對�,若相等����,將后端下次認(rèn)證指針號更新為m+1;后端將第二個隨機(jī)數(shù)發(fā)送給前端����;前端將其第二個隨機(jī)數(shù)與后端第二隨機(jī)數(shù)比對����,若相等,將前端下次認(rèn)證指針號更新為m+1����;前端將第三個隨機(jī)數(shù)發(fā)送給后端;后端將其第三個隨機(jī)數(shù)與前端第三隨機(jī)數(shù)比對�����,若相等���,認(rèn)證成功���。若任何一個隨機(jī)數(shù)比對不相等��,認(rèn)證失敗��。
文檔編號H04L9/00GK1419356SQ0113744
公開日2003年5月21日 申請日期2001年11月13日 優(yōu)先權(quán)日2001年11月13日
發(fā)明者黃旭濤, 沈王磊 申請人:杭州中正生物認(rèn)證技術(shù)有限公司