本發明涉及一種基于對稱秘鑰的離線設備雙向認證方法和系統，方法包括：設備A生成驗證字段，設備B生成驗證字段，設備A與設備B交換驗證字段，基于兩個交換字段和對稱密鑰得到會話密鑰，使用會話密鑰加密設備A和設備B的確認消息，進行設備A和設備B的驗證，驗證通過后設備A和設備B使用會話密鑰進行通信。與現有技術相比，本發明基于設備A與設備B的驗證字段和預先確定的對稱密鑰生成會話密鑰，身份認證速度快，經過雙向的確認信息驗證后，設備A與設備B驗證成功并通信，每次會話的會話密鑰是基于驗證字段和對稱密鑰一起生成的，減少了密鑰泄漏的風險，而且設備A與設備B通信時使用的是對稱加密算法，加密解密效率高。

技術領域

本發明涉及數據通信的信息安全技術領域，尤其是涉及一種基于對稱秘鑰的離線設備雙向認證方法和系統。

背景技術

密鑰是與加密算法一起用于加密某些輸入(稱為明文)的值，將明文使用密鑰和加密算法加密后的輸出稱為密文。密鑰本質上是非常非常大的數，密鑰的尺寸用位(bit)來衡量，1024位密鑰代表的數是非常巨大的。在公開密鑰加密方法中，密鑰的尺寸越大，密文就越安全。

對稱密鑰加密，又稱私鑰加密，即信息的發送方和接收方用同一個密鑰去加密和解密數據，它的最大優勢是加/解密速度快，適合于對大數據量進行加密。使用對稱加密技術將簡化加密過程和解密過程，通信中的每個參與方都不必彼此研究和交換其加密算法，所有的通信參與方使用相同的對稱密鑰和相同的加密算法，信息發送方將信息使用密鑰加密后，信息接收方使用相同的密鑰進行解密。如果通信雙方能夠確保雙方共用的密鑰在密鑰交換階段未曾泄露，那么就可以保證信息的機密性。

對稱密鑰加密的密鑰管理困難，由于網絡環境的不可靠性，存在著多種多樣的攻擊方式，如身份冒充、舊消息重放等，一旦密鑰泄漏，則通信不再可靠。因此，現有技術中不少設備進行通信時依靠非對稱加密算法進行通信。但是，非對稱加密算法依賴數字證書服務器，數字證書服務器需要管理大規模的數字證書，提供證書的簽發、查詢、吊銷等管理服務，在認證過程中依賴數字證書服務器校驗證書的合法性，性能低，成本高，認證過程需要使用非對稱加密算法進行簽名、驗簽，非對稱算法的性能慢，非對稱加密算法對計算性能要求高，需要更高的cpu性能才能保證計算效率，導致成本偏高。

發明內容

本發明的目的就是為了克服上述現有技術存在的缺陷而提供一種基于對稱秘鑰的離線設備雙向認證方法和系統，基于設備A與設備B的驗證字段和預先確定的對稱密鑰生成會話密鑰，身份認證速度快，經過雙向的確認信息驗證后，設備A與設備B驗證成功并通信，每次會話的會話密鑰是基于驗證字段和對稱密鑰一起生成的，減少了密鑰泄漏的風險，而且設備A與設備B通信時使用的仍是對稱加密算法，加密解密效率高。

本發明的目的可以通過以下技術方案來實現：

一種基于對稱秘鑰的離線設備雙向認證方法，用于實現設備A和設備B之間的安全通信，包括以下步驟：

S1、設備A和設備B獲取對稱密鑰KeyS，設備A與設備B通信，需要具體相同的對稱密鑰，其他設備與設備A、設備B不具有通信綁定關系，則其他設備使用不一樣的對稱密鑰；

S2、設備A生成驗證字段R_A并將其發送至設備B；

S3、設備B接收驗證字段R_A，并生成一個驗證字段R_B，使用對稱加密算法、對稱密鑰KeyS加密“驗證字段R_A和驗證字段R_B”，得到密文，將得到的密文使用Hash算法計算Hash值，得到的Hash值作為會話密鑰SeKey；

S4、設備B使用對稱加密算法、會話密鑰SeKey對預先規定的“B確認消息”進行加密，得到密文BData，設備B將密文BData和驗證字段R_B一起發送至設備A；