技術領域

本發明屬信息安全技術中的網絡安全應用領域，尤其涉及一種資源受限網絡的實體鑒別方法及系統。

背景技術

資源受限的無線網絡，包括傳感器網絡、磁域網、RFID網絡等，在軍事、環境監測、森林防火、健康醫療、物流等領域有著廣闊的應用前景，并正在這些領域發揮越來越重要的作用。由于這類網絡在通信時的無線及廣播特性，使其易遭受消息被竊聽、竄改、偽造，以及實體被捕獲、復制等攻擊，需要引入低開銷的鑒別和消息保密機制來確保這類網絡中實體的合法性和通信消息的保密性以及完整性。目前的鑒別方法，一般基于密碼運算，要求網絡中的實體必須預置相應的密碼算法，否則就無法執行鑒別協議；而且，即使實體預置了密碼算法，這類鑒別協議在執行時也會給網絡中的實體造成計算開銷，如基于對稱和非對稱密碼算法的鑒別方法，都要求實體進行加解密運算，從而增加了網絡實體在資源方面的負擔。

發明內容

為了解決背景技術中存在的上述技術間題，本發明提供了一種資源受限網絡的實體鑒別方法及系統。

本發明的技術解決方案是：一種資源受限網絡的實體鑒別方法，其特殊之處在于：該方法包括以下步驟：

1)實體A向實體B發送鑒別請求消息；

2)實體B收到實體A發送鑒別請求消息后，向實體A發送鑒別響應消息；

3)實體A根據收到的步驟2)的鑒別響應消息判斷實體B的合法性，至此，完成了實體A對實體B的單向鑒別。

步驟3)中，在實體A收到鑒別響應消息后可向實體B發送鑒別結果消息，若實體A判斷實體B合法，則鑒別結果消息中包含鑒別成功信息；否則，鑒別結果消息中包含鑒別失敗信息。此種情況下，可在所述步驟2)中設置消息超時處理時限T4，若在發送鑒別響應消息之后的時間T4內沒有收到正確的鑒別結果消息，則實體B向實體A重新發送鑒別響應消息，若經過q次重新發送后，且每次等待接收鑒別結果消息的時間均為T4，仍未收到正確的鑒別結果消息，則實體B認為鑒別失敗，其中，q為預設的鑒別響應消息的重傳次數。

步驟3)中，若實體A判斷實體B合法，則表示實體A對實體B鑒別成功；若實體A判斷實體B不合法，則可丟棄鑒別響應消息。

為實現實體A與實體B之間的雙向鑒別，上述方法還包括：

4)若實體A對實體B鑒別成功，則實體A構造鑒別響應確認消息發送給實體B，來啟動與實體B的雙向鑒別。

5)實體B收到鑒別響應確認消息(30)后判斷實體A的合法性。

步驟5)中，在實體B收到鑒別響應確認消息后可向實體A發送鑒別結果消息，如果實體B判斷實體A合法，則鑒別結果消息中包含鑒別成功信息；否則，鑒別結果消息中包含鑒別失敗信息。在此種情況下，可在所述步驟4)中設置消息超時處理時限T3，如果在發送鑒別響應確認消息之后的T3時間內實體A沒有收到正確的鑒別結果消息，則實體A向實體B重新發送鑒別響應確認消息，若經過n次重新發送后，且每次等待接收鑒別結果消息的時間均為T3，仍未收到正確的鑒別結果消息，則實體A認為鑒別失敗，其中n為預設的鑒別響應確認消息的重傳次數。

上述步驟1)之前還包括：

0)實體A和實體B之間已共享預共享密鑰PSK(Pre-Shared?key，PSK)。

上述步驟1)的具體實現方式是：

實體A向實體B發送鑒別請求消息，所述鑒別請求消息包括SN1，SN1通過如下方式得到：實體A產生一個隨機數N1，計算其中，符號表示逐比特異或運算。

上述步驟2)的具體實現方式是：

2.1)實體B收到實體A發送的鑒別請求消息后，首先計算將N1進行按比特首尾倒置得到RN1，并計算

2.2)實體B產生一個隨機數N2，計算實體B構造鑒別響應消息發送給實體A，鑒別響應消息包括SRN1和SN2。

其中，當實體A對實體B進行單向鑒別時，實體B無需生成N2及計算SN2，實體B發送給實體A的鑒別響應消息中僅包含的SRN1。

上述步驟3)的具體實現方式是：

實體A收到實體B發送的鑒別響應消息后，首先計算將RN1進行按比特首尾倒置得到N1’，判斷N1’是否與實體A在步驟S1中產生的N1相等，如果不相等，則實體A丟棄該鑒別響應消息20；如果相等，則實體A認為實體B合法，此時表示實體A對實體B鑒別成功。

上述步驟4)的具體實現方式是：