技術領域

本發明涉及數字通信技術，尤其涉及一種數字通信系統中設備之間認證與密鑰協商方法。

背景技術

隨著全球信息化，以及通信網絡技術的出現和發展，人類社會出現了巨大的變化。人與人之間可以更便捷地進行溝通，信息的交換也越來越頻繁。

數字通信系統的兩個設備之間在需要交互數據之前，為了保證交互數據的安全性，兩個設備之間需要互認對方的身份，確認身份后，進一步協商出一個會話密鑰，后續交互數據用會話密鑰加密傳輸。

目前認證密鑰協商方法有：基于公鑰加密的、基于數字簽名的，基于對稱密鑰的、基于口令等。而現有設備之間多采用單一的認證與加密方法，雖然實現簡單但安全性較低。

發明內容

為克服現有技術的缺陷，本發明提出一種數字通信系統中兩設備之間認證與密鑰協商方法，通過對秘密數據S1的保護措施來提高認證的安全性。

本發明采用如下技術方案實現：一種設備之間認證與密鑰協商方法，其包括步驟：

A、在主設備與從設備預建立相同的密鑰信息記錄，該密鑰信息記錄由密鑰編號Key_ID、加模糊數據SM1、密鑰數據K1、配置字ACW組成；

B、主設備判斷從設備是否擁有相同的密鑰編號Key_ID，若是轉入步驟C；

C、從設備產生一個隨機數RA，從設備根據自身的密鑰信息記錄和隨機數RA計算出結果數據A1、B1和C1，將結果數據A1和隨機數RA傳輸給主設備；

D、主設備根據自身的密鑰信息記錄和隨機數RA計算出結果數據A1、B1和C1，當主設備判斷計算出的結果數據A1與由從設備計算出的結果數據A1兩者相等時，主設備將結果數據B1發給從設備；

E、當從設備判斷自身計算出的結果數據B1與主設備發來的結果數據B1相等時，從設備產生一個隨機數RB，從設備根據自身的密鑰信息記錄、自身計算出的計算結果C1和隨機數RB計算出結果數據A2、B2和C2，將結果數據A2和隨機數RB傳輸給主設備；

F、主設備根據自身的密鑰信息記錄、自身計算出的計算結果C1和隨機數RB計算出結果數據A2、B2和C2，當主設備判斷計算出的結果數據A2與由從設備計算出的結果數據A2兩者相等，然后確定主設備與從設備之間的密鑰為C2。

其中，所述根據自身的密鑰信息記錄和隨機數RA計算出結果數據A1、B1和C1的步驟具體包括：

以密鑰信息記錄中的加模糊數據SM1和密鑰數據K1為輸入參數，用變種對稱算法解模糊處理獲得私密數據S1；

把私密數據S1既作為密鑰參數又作為數據參數，用變化處理算法運算后輸出數據S1C，變化處理算法類型根據ACW值決定；

把S1C、密鑰編號Key_ID和隨機數RA信息作為摘要算法的輸入參數，運算出摘要算法計算結果，該摘要算法計算結果由結果數據A1、結果數據B1和結果數據C1構成。

其中，所述摘要算法為SHA256算法，摘要算法計算結果為256位數據，摘要算法計算結果的第0~63位、第64~127位及第128~255位分別為結果數據A1、結果數據B1和結果數據C1。

其中，所述模糊處理算法、變化處理算法、摘要算法均是由密鑰信息記錄中配置字ACW的值決定的。

其中，所述根據自身的密鑰信息記錄、自身計算出的計算結果C1和隨機數RB計算出結果數據A2、B2和C2的步驟包括：

把S1C、C1、隨機數RB信息作為摘要算法的輸入參數，運算出摘要算法計算結果，該摘要算法計算結果由結果數據A2、結果數據B2和結果數據C2構成。

其中，所述摘要算法為SHA256算法，摘要算法計算結果為256位數據，摘要算法計算結果的第0~63位、第64~127位及第128~255位分別為結果數據A2、結果數據B2和結果數據C2。

其中，當主設備判斷計算出的結果數據A2與由從設備計算出的結果數據A2兩者相等時，還包括步驟：主設備把結果數據B2傳給從設備，由從設備判斷計算出的B2與主設備發來的B2是否相等，若是，則確定主設備與從設備之間的密鑰為C2。

其中，預建立相同的密鑰信息記錄的步驟包括：

選擇一個配置字ACW；

產生秘密數據S1和密鑰數據K1；

以秘密數據S1和密鑰數據K1作為輸入參數，用變種對稱算法計算出加模糊數據SM1；

分配一個密鑰編號Key_ID；

把上述生成數據配置字ACW、密鑰數據K1、加模糊數據SM1、密鑰編號Key_ID組合成一個密鑰信息記錄。