本發明公開一種實體鑒別方法和裝置，涉及：實體A向實體B發送第一身份鑒別消息，實體B收到第一身份鑒別消息后檢查實體A證書的有效性，實體B向實體A發送第二身份鑒別消息，實體A收到第二身份鑒別消息后檢查其中字段數據的正確性，實體A利用自身的私鑰和實體B的臨時公鑰計算秘密信息和消息鑒別碼并發送第三身份鑒別消息給實體B，實體B收到第三身份鑒別消息后檢查其中字段數據的正確性，實體B利用自身的私鑰和實體A的臨時公鑰計算秘密信息和消息鑒別碼并發送第四身份鑒別消息給實體A，實體A接收第四身份鑒別消息并檢查實體B的合法性。本發明為包括NFC設備在內的空口通信設備提供身份鑒別機制，保證通信雙方身份的合法性和真實性。

技術領域

本發明涉及網絡安全技術領域，尤其涉及實體鑒別方法及裝置。

背景技術

近場通信（Near Field Communication，NFC）技術基于空中接口進行通信，不需要任何物理或可見接觸，在其獲得廣泛應用的同時，也面臨著多種安全威脅，包括：攻擊者通過監聽非法截獲通信雙方的交互信息；通過復制或偽造對合法的卡進行假冒；通過大射頻功率的讀卡器遠程讀取卡內保密信息，然后利用后臺服務器進行破解以達到非法獲取卡內信息的目的等。針對上述攻擊，NFC技術必須具備防偽造能力，通過通信雙方的身份鑒別機制，提供卡與讀卡器身份鑒別功能，為通信雙方身份的合法性和真實性提供保證。但目前的NFC空中接口通信技術沒有提供身份鑒別機制，存在較大的安全隱患。

發明內容

本發明為解決背景技術中存在的問題，提出一種實體鑒別方法及裝置。

一種實體鑒別方法，其特征在于：

步驟1，實體A向實體B發送包括N_A||Cert_A的第一身份鑒別消息，其中，N_A為實體A產生的隨機數，Cert_A為實體A的證書；

步驟2，實體B收到來自實體A的第一身份鑒別消息后，檢查第一身份鑒別消息中證書Cert_A的有效性，若證書無效，則終止鑒別；

步驟3，實體B產生隨機數N_B，利用自身的私鑰CS_B計算數字簽名Sig_B=SIG(CS_B，ID_A||ID_B||N_A||N_B||Q_B)，其中SIG為數字簽名算法，ID_A和ID_B分別為實體A和實體B的標識信息，Q_B為實體B的臨時公鑰，實體B向實體A發送包括N_A||N_B||Cert_B||Q_B||Sig_B的第二身份鑒別消息，其中Cert_B為實體B的證書；

步驟4，實體A收到來自實體B的包括N_A||N_B||Cert_B||Q_B||Sig_B的第二身份鑒別消息后，檢查第二身份鑒別消息中字段數據的正確性，若驗證不正確，則終止鑒別；

步驟5，實體A利用自身的私鑰CS_A計算實體A的數字簽名Sig_A=SIG(CS_A,ID_A||ID_B||N_A||N_B||Q_A)，其中Q_A為實體A的臨時公鑰；實體A檢查是否已存儲有實體B的臨時公鑰Q_B，若已存儲有Q_B，則使用已存儲的Q_B，否則檢查收到的第二身份鑒別消息中的Q_B的有效性，如果有效，則使用收到的第二身份鑒別消息中的Q_B，如果無效，則終止鑒別；