本發明提供一種基于共享密鑰的雙向認證方法及系統、終端，第一終端發送認證請求至第二終端，第二終端發送認證請求響應至第一終端，第一終端生成第二隨機數，發送包括根據所選擇的算法套件和第一共享密鑰索引對第一隨機數和第二隨機數進行加密的第一加密結果和第一共享密鑰索引的驗證請求至第二終端；第二終端發送包括第二加密結果和第二共享密鑰索引的驗證請求響應至第一終端，并對第一加密結果進行解密，若解密結果與第一隨機數一致，則認證第一終端為合法用戶；第一終端對第二加密結果進行解密，若解密結果與第二隨機數一致，則認證第二終端為合法用戶。本發明的基于共享密鑰的雙向認證方法及系統、終端實現用戶間的雙向認證，安全性高。

技術領域

本發明涉及網絡認證的技術領域，特別是涉及一種基于共享密鑰的雙向認證方法及系統、終端。

背景技術

現有技術中，在網絡服務接入時最廣泛使用的認證方式是基于公開密鑰加密算法的身份驗證。通信雙方分別持有一對公鑰和私鑰，其中一方采用私鑰對特定數據進行加密，而對方采用公開密鑰對數據進行解密；如果解密成功，則認為用戶是合法用戶，如SSL、數字簽名等。

在實踐中，用戶通常擁有一份電子證書文件，此文件包含了公鑰信息、用戶主體以及數字證書認證機構對這份文件的數字簽名。而其他用戶通過核實證書內容，包括證書有否過期、數字簽名是否有效、頒發機構是否可信等來判斷證書是否可信。如果證書可信，則憑公鑰與該證書用戶進行可靠的通信。

然而，現有的用戶認證方式具有以下不足：

(1)基于公鑰的認證方式依賴于公鑰的基礎建設，如數字證書認證機構，導致配置復雜，要求較高；

(2)相較于對稱密鑰算法，現有的公鑰算法的運算速度較慢。

發明內容

鑒于以上所述現有技術的缺點，本發明的目的在于提供一種基于共享密鑰的雙向認證方法及系統、終端，通過共享密鑰來實現用戶之間的雙向認證，架構簡單，安全性高。

為實現上述目的及其他相關目的，本發明提供一種基于共享密鑰的雙向認證方法，應用于第一終端，所述第一終端和第二終端配置有共享密鑰，所述雙向認證方法包括以下步驟：發送認證請求至第二終端，所述認證請求中包含所述第一終端所支持的至少一個算法套件；接收所述第二終端發送來的認證請求響應，所述認證請求響應包括第一隨機數、所選擇的算法套件和第一共享密鑰索引；生成第二隨機數，發送驗證請求至所述第二終端，所述驗證請求包括根據所述所選擇的算法套件和所述第一共享密鑰索引對所述第一隨機數和所述第二隨機數進行加密的第一加密結果和第一共享密鑰索引；接收所述第二終端發送來的驗證請求響應，所述驗證請求響應包括第二加密結果和第二共享密鑰索引；并基于所述所選擇的算法套件和所述第二共享密鑰索引對所述第二加密結果進行解密，若解密得到的第二隨機數與本地記錄的所述第二隨機數一致，則認證所述第二終端為合法用戶。

于本發明一實施例中，所述算法套件包括散列算法和加密算法。

于本發明一實施例中，根據所述所選擇的算法套件和所述第一共享密鑰索引對所述第一隨機數和所述第二隨機數進行加密時，將與所述第一共享密鑰索引對應的第一共享密鑰和所述第一隨機數進行哈希計算，將所述哈希計算結果作為加密密鑰對所述第一隨機數和所述第二隨機數進行加密；或者采用與所述第一共享密鑰索引對應的第一共享密鑰對所述第一隨機數和所述第二隨機數進行加密。

于本發明一實施例中，所述驗證請求響應還包括時間戳信息和/或消息摘要，以根據所述時間戳信息避免重放攻擊，根據所述消息摘要驗證所述驗證請求響應的完整性。

對應地，本發明提供一種基于共享密鑰的雙向認證系統，應用于第一終端，所述第一終端和第二終端配置有共享密鑰，所述雙向認證系統包括發送模塊、接收模塊、生成發送模塊和接收認證模塊；

所述發送模塊用于發送認證請求至第二終端，所述認證請求中包含所述第一終端所支持的至少一個算法套件；