技術領域

本發明涉及數字信息的一種身份認證的方法。

背景技術

隨著計算機技術、密碼學技術、信息安全技術、電子商務技術、數字內容技術的發展，認證技術得到了廣泛的使用。認證(Authentication)是證實實體身份的過程，是保證系統安全的重要措施之一。當主體提供服務時，需要確認來訪者的身份，訪問者也需要確認服務提供者的身份。

密碼技術一直在身份證明中起到重要作用，根據所用密碼體制的不同，可分為基于對稱密鑰技術的身份認證，和基于公開密鑰的身份認證兩類。

目前，使用最多的還是基于PKI機制的非對稱認證算法。

PKI(Public?Key?Infrastructure，公鑰基礎設施)，是目前信息安全領域應用最廣泛的技術之一，比如安全的瀏覽器、安全電子郵件、電子數據交換、Internet上信用卡以及VPN等。

PKI的認證的一個基礎就是數字證書，目前使用的數字證書一般為x.509數字證書。

數字證書是一段包含用戶身份信息、用戶公鑰信息以及身份驗證機構數字簽名的數據，也是一個經證書認證中心。數字簽名中包含公鑰擁有者信息以及公鑰。

基于數字證書的認證，一般是認證的雙方相互交換證書，然后使用根證書分別對對方證書的有效性進行檢查。

舉例說明：假設有兩臺設備A、設備B，它們都有各自的證書和私鑰，且證書都由證書認證中心cert_root簽發。設備A的證書和私鑰分別為：cert_a和key_a，設備B的證書和私鑰分別為：cert_b和key_b，設備A的根證書為cert_root_a，設備B的根證書為cert_root_b。現在如果設備A要認證設備B則要執行如下步驟，在此過程中設備A稱為認證方，設備B稱為待認證方：

(1)待認證方將其證書cert_b發給認證方，認證方用其根證書cert_root_a驗證證書cert_b，如果驗證不通過則認證失敗，驗證通過進入下一步；

(2)認證方產生隨機數rand_a，用證書cert_b中的公鑰對隨機數rand_a進行加密得到加密結果enc_rand_a，并將加密結果enc_rand_a發送給待認證方；

(3)待認證方使用私鑰key_b對加密結果enc_rand_a進行解密得到解密結果rand_a’，并將解密結果rand_a’發送給認證方；

(4)認證方比較解密結果rand_a’和隨機數rand_a，如果相等則認證成功，否則認證失敗。

在認證過程中，需要第三方的參與，并且運算復雜，因為加密與解密必須使用RSA、ECC等非常復雜的數學運算，如RSA必須使用冪指數運算，ECC必須使用橢圓曲線運算。這樣就非常耗系統資源或者硬件資源，在某些情況下甚至無法實現。此外，在離線的情況下，根本不可能到證書認證中心去驗證。因此，其應用領域也受到了限制。比如IC卡和IC卡使用設備之間的認證，由于其復雜性現在基本沒有采用該認證機制。

目前，在某些應用中，需要一種簡單有效的認證方式，在不需要第三方參與的情況下，能夠以一種簡單的方式實現認證功能。比如，在數字電視接口內容保護中，參與通信的接口需要進行認證，并且該認證在很短的時間內需要重復進行，證書頒發機構無法參與認證的過程，因此要求算法非常簡單，PKI機制不太適用。再比如，在IC卡、USB?Key與應用終端或者服務器需要進行認證，也需要算法簡單，否則IC卡、USB?Key無法在規定時間內完成復雜運算。

正是基于以上背景，需要一種簡單的算法，達到身份認證的目的。

發明內容

本發明所要解決的技術問題是，提供一不需要第三方參與且算法簡單的身份認證方法。

本發明為解決上述技術問題所采用技術方案是，一種身份認證方法，包括以下步驟：

(1)密鑰頒發機構按一定規律成對產生公鑰、私鑰并分配給設備；認證方的一對公鑰、私鑰分別為P1、S1；待認證方的一對公鑰、私鑰為P2、S2；

(2)認證方產生一個隨機數R，并同認證方公鑰P1一起傳送到待認證方；

(3)待認證方對收到隨機數R、公鑰P1后，將公鑰P2發送給認證方；待認證方將隨機數R、公鑰P1、私鑰S2進行處理得到結果Y2，并將結果Y2傳送到認證方；

(4)認證方收到公鑰P2后，將隨機數R、公鑰P2、私鑰S1進行處理得到結果Y1；比較結果Y1與結果Y2是否相同，如是通過驗證；如否驗證失敗。

采用上述方法不需要第三方參與，也不需要加密、解密算法，可以快速安全地實現身份認證。