本說明書實施例公開了一種讀寫器與電子標簽的雙向身份認證方法及設備，包括：讀寫器生成公私鑰對，利用證書授權中心(CA)進行證書發布；密鑰管理中心(KMC)利用標識密碼算法生成電子標簽的公私鑰對，將其托管到密鑰托管中心(KEC)存儲；密鑰管理中心(KMC)生成所述電子標簽的加解密密鑰，并將其存放至密鑰托管中心(KEC)；密鑰托管中心(KEC)基于身份標識算法，代替電子標簽完成與讀寫器的雙向身份認證。本發明利用密鑰托管中心KEC代替計算和存儲能力有限的電子標簽實現與計算資源相對豐富的讀寫器進行雙向身份認證，保證了通信雙方的身份可信度。

技術領域

本申請涉及無線通信技術領域，尤其涉及一種讀寫器與電子標簽的雙向身份認證方法及設備。

背景技術

在高安全等級網絡的超高頻射頻識別采集應用場景中，尤其是跨域環境下的應用，最具有挑戰性的是如何實現計算能力嚴重不對稱的讀寫器與電子標簽之間的雙向身份鑒別，從而確保合法的讀寫器讀寫合法的電子標簽。

由于超高頻無源電子標簽芯片存儲和運算能力的局限性，傳統的基于非對稱密碼算法的身份鑒別協議(包括公鑰證書或者身份標識證書算法)無法在標簽上完成運算。盡管目前有廠商提出采用對稱密碼算法的超高頻無源電子標簽芯片可以通過預共享密鑰的方式實現讀寫器與標簽之間的身份鑒別和數據保護，但這種芯片并未普及，且預共享密鑰方式面臨跨部門跨域密鑰互通的管理挑戰。

因此，高安全等級網絡的超高頻射頻識別采集應用場景，尤其是跨域環境迫切需要一種安全可靠的認證算法，實現讀寫器與海量電子標簽間的雙向身份認證。

發明內容

有鑒于此，本申請實施例提供了一種讀寫器與電子標簽的雙向身份認證方法及設備，用于解決物聯網讀寫器與海量電子標簽之間的雙向身份認證問題。

為解決上述技術問題，本說明書實施例是這樣實現的：

一方面，本說明書實施例提供的一種讀寫器與電子標簽的雙向身份認證方法，包括：

讀寫器生成公私鑰對，利用證書授權中心(CA)進行證書發布；

密鑰管理中心(KMC)利用標識密碼算法生成電子標簽的公私鑰對，將其托管到密鑰托管中心(KEC)存儲；

密鑰管理中心(KMC)生成所述電子標簽的加解密密鑰，并將其存放至密鑰托管中心(KEC)；

密鑰托管中心(KEC)基于身份標識算法，代替電子標簽完成與讀寫器的雙向身份認證。

可選的，基于PKI及IBC兩種證書生成算法，生成讀寫器公鑰證書和電子標簽身份標識證書。

可選的，讀寫器生成公私鑰對，利用證書授權中心(CA)進行證書發布，具體包括：

讀寫器在本地生成一個公私密鑰對，并向證書授權中心(CA)或者數字證書注冊中心(RA)提交證書申請；

所述證書授權中心(CA)對所述證書申請進行審核檢查，檢查無誤后對證書進行簽署和發布。

可選的，密鑰管理中心(KMC)利用標識密碼算法生成電子標簽的公私鑰對，具體包括：

密鑰管理中心(KMC)利用標識密碼算法將電子標簽的唯一標簽識別號TID作為所述電子標簽的公鑰，并生成與之對應的私鑰。

可選的，密鑰管理中心(KMC)生成所述電子標簽的加解密密鑰，具體包括：

密鑰管理中心(KMC)建立對稱密鑰體系的根密鑰，利用所述電子標簽的TID進行對稱密鑰的逐級分散，利用HMAC進行密鑰的保密性和完整性保護。

可選的，在密鑰管理中心(KMC)生成所述電子標簽的加解密密鑰，并將其存放至密鑰托管中心(KEC)之前，所述方法還包括：