一種安全認證的方法、設備及系統的製作方法

2023-05-28 04:51:56

一種安全認證的方法、設備及系統的製作方法
【專利摘要】本發明公開了一種安全認證的方法、設備和系統，所述第一設備與所述第二設備通過使用第一映射密鑰和第二映射密鑰進行安全認證，其中，所述第一映射密鑰根據所述第一設備的初始密鑰和第一預定算法生成，所述第二映射密鑰根據所述第二設備的初始密鑰和所述第一預定算法生成。本發明實施例的設備通過使用映射後的初始密鑰進行安全認證，可以提高攻擊者獲取密鑰的難度，從而提高無線網絡連接的安全。
【專利說明】一種安全認證的方法、設備及系統
【技術領域】
[0001]本發明涉及通信【技術領域】，具體涉及一種安全認證的方法、設備及系統。
【背景技術】
[0002]現有網絡安全建立，尤其是無線網絡安全建立(WiFi protected setup，WPS)的主要操作包括:1、建立初始無線網絡；2、在該無線網絡中增添新的設備。WPS的架構由3個組成部分:應用終端(在WPS中稱為enrollee),認證設備(registrar),接入點(AP, AccessPoint) ；AP是無線區域網的基礎設施，即:支持802.11協議的接入點；認證設備是管理網絡建立、添加/刪除應用終端的設備，認證設備可以和接入點集成在一起，也可以由手機、計算機這樣的外部設備來充當。
[0003]現有技術中，應用終端和認證設備執行發現過程完成後，認證設備在獲得應用終端密鑰後與應用終端進行密鑰交換協商，例如，終端或認證設備使用個人身份號(personalidentifier number, PIN)作為密鑰,進行密鑰轉換後發送給對方進行驗證。
[0004]本發明的發明人發現，現有技術的密鑰協商，直接使用PIN的一半來認證，當攻擊者假冒成上述應用終端或認證設備的時候，在獲得密鑰消息後容易暴力攻擊出密鑰，假如密鑰的位數(十進位)是N，計算量為10~(N/2)次，而不是最大的計算量10~N次，反而降低了計算次數，這影響無線網絡連接的安全性或可靠性。

【發明內容】

[0005]本發明實施例提供安全認證的方法、設備及系統，可以提高攻擊者獲取密鑰的難度，將暴力攻擊出密鑰的計算次數提高，一定程度上又起到了動態的效果，從而提高無線網絡連接的安全。
[0006]第一方面,提供一種安全認證方法,所述方法包括:第一設備向第二設備發送消息一，所述消息一包含第一密鑰信息，使得所述第二設備接收所述消息一後，根據所述第一密鑰信息執行動態密鑰交換算法生成至少一個加密密鑰；
[0007]所述第一設備接收所述第二設備回復給所述第一設備的消息二，所述消息二包含第二密鑰信息，所述第一設備根據所述第二密鑰信息執行動態密鑰交換算法生成至少一個加密密鑰；
[0008]所述第一設備向所述第二設備發送消息三，所述消息三包含第一設備哈希值一和第一設備哈希值二，所述第一設備哈希值一是根據第一設備隨機數一和第一映射密鑰的第一部分生成，所述第一設備哈希值二是根據第一設備隨機數二和所述第一映射密鑰的第二部分生成，以使所述第二設備接收所述消息三後確定回復消息四給所述第一設備，所述第一映射密鑰根據所述第一設備的初始密鑰和第一預定算法生成；
[0009]所述第一設備接收所述第二設備發送的所述消息四，所述消息四包含第二設備哈希值一、第二設備哈希值二和加密的第二設備隨機數一，所述第二設備哈希值一是根據所述第二設備隨機數一和第二映射密鑰的第一部分生成，所述第二設備哈希值二是根據第二設備隨機數二和所述第二映射密鑰的第二部分生成，所述加密的第二設備隨機數一是利用所述加密密鑰對所述第二設備隨機數一加密，所述第二映射密鑰根據所述第二設備的初始密鑰和所述第一預定算法生成，所述第一設備根據所述第二設備隨機數一和所述第一映射密鑰對所述第二設備哈希值一進行認證，如果正確，則確定回復消息五給所述第二設備；
[0010]所述第一設備向所述第二設備發送消息五，所述消息五包含利用所述加密密鑰加密後的所述第一設備隨機數一，使得所述第二設備根據所述第一設備隨機數一和所述第二映射密鑰對所述第一設備哈希值一進行認證，如果正確，則確定回復消息六給所述第一設備;
[0011]所述第一設備接收所述消息六，所述消息六包含利用所述加密密鑰加密後的所述第二設備隨機數二，所述第一設備根據所述第二設備隨機數二和所述第一映射密鑰對所述第二設備哈希值二進行認證，如果正確，表示所述第一設備對所述第二設備認證成功，則確定回復消息七給所述第二設備；
[0012]所述第一設備向所述第二設備發送所述消息七，所述消息七包含利用所述加密密鑰加密後的所述第一設備隨機數二，使得所述第二設備根據所述第一設備隨機數二和所述第二映射密鑰對所述第一設備哈希值二進行認證，如果正確，表示所述第二設備對所述第一設備認證成功。
[0013]在第一方面的第一種可能的實現方式中，所述動態密鑰交換算法至少是DH算法，RSA算法，EIGamal算法的其中之一。
[0014]結合第一方面或上述任一可能的實現方式，在第二種可能的實現方式中，所述第一設備根據所述第二設備隨機數一和所述第一映射密鑰對所述第二設備哈希值一進行認證，包括:所述第一設備根據所述第二設備隨機數一和所述第一映射密鑰重構出第二設備哈希值三，比對所述第二設備哈希值三與所述消息四中的所述第二設備哈希值一，如果相同，則確定回復消息五給所述第二設備。
[0015]結合第一方面或上述任一可能的實現方式，在第三種可能的實現方式中，所述第一設備根據所述第二設備隨機數二和所述第一映射密鑰對所述第二設備哈希值二進行認證，包括，所述第一設備根據所述第二設備隨機數二和所述第一映射密鑰重構出第二設備哈希值四，比對所述第二設備哈希值四與所述消息四中的所述第二設備哈希值二，如果相同，則確定回復消息七給所述第二設備。
[0016]結合第一方面或上述任一可能的實現方式，在第四種可能的實現方式中，所述第一設備向第二設備發送消息一的步驟之前，還包括:所述第一設備生成並存儲映射密鑰列表，以使所述第一設備按預定規則在所述映射密鑰列表中選擇所述第一映射密鑰。
[0017]結合第一方面或上述任一可能的實現方式，在第五種可能的實現方式中，所述第一設備與所述第二設備互換，使所述第二設備執行所述第一設備的步驟，所述第一設備執行所述第二設備的步驟。
[0018]第二方面，提供一種安全認證的系統，所述系統應用於第一設備和第二設備，第一設備向第二設備發送消息一，所述消息一包含第一密鑰信息，使得所述第二設備接收所述消息一後，根據所述第一密鑰信息執行動態密鑰交換算法生成至少一個加密密鑰；
[0019]所述第一設備接收所述第二設備回復給所述第一設備的消息二，所述消息二包含第二密鑰信息，所述第一設備根據所述第二密鑰信息執行動態密鑰交換算法生成至少一個加密密鑰；
[0020]所述第一設備向所述第二設備發送消息三，所述消息三包含第一設備哈希值一和第一設備哈希值二，所述第一設備哈希值一是根據第一設備隨機數一和第一映射密鑰的第一部分生成，所述第一設備哈希值二是根據第一設備隨機數二和所述第一映射密鑰的第二部分生成，以使所述第二設備接收所述消息三後確定回復消息四給所述第一設備，所述第一映射密鑰根據所述第一設備的初始密鑰和第一預定算法生成；
[0021]所述第一設備接收所述第二設備發送的所述消息四，所述消息四包含第二設備哈希值一、第二設備哈希值二和加密的第二設備隨機數一，所述第二設備哈希值一是根據所述第二設備隨機數一和第二映射密鑰的第一部分生成，所述第二設備哈希值二是根據第二設備隨機數二和所述第二映射密鑰的第二部分生成，所述加密的第二設備隨機數一是利用所述加密密鑰對所述第二設備隨機數一加密，所述第二映射密鑰根據所述第二設備的初始密鑰和所述第一預定算法生成，所述第一設備根據所述第二設備隨機數一和所述第一映射密鑰對所述第二設備哈希值一進行認證，如果正確，則確定回復消息五給所述第二設備；
[0022]所述第一設備向所述第二設備發送消息五，所述消息五包含利用所述加密密鑰加密後的所述第一設備隨機數一，使得所述第二設備根據所述第一設備隨機數一和所述第二映射密鑰對所述第一設備哈希值一進行認證，如果正確，則確定回復消息六給所述第一設備;
[0023]所述第一設備接收所述消息六，所述消息六包含利用所述加密密鑰加密後的所述第二設備隨機數二，所述第一設備根據所述第二設備隨機數二和所述第一映射密鑰對所述第二設備哈希值二進行認證，如果正確，表示所述第一設備對所述第二設備認證成功，則確定回復消息七給所述第二設備；
[0024]所述第一設備向所述第二設備發送所述消息七，所述消息七包含利用所述加密密鑰加密後的所述第一設備隨機數二，使得所述第二設備根據所述第一設備隨機數二和所述第二映射密鑰對所述第一設備哈希值二進行認證，如果正確，表示所述第二設備對所述第一設備認證成功。
[0025]在第二方面的第一種可能的實現方式中，所述動態密鑰交換算法至少是DH算法，RSA算法，EIGamal算法的其中之一。
[0026]結合第二方面或第二方面的上述任一可能的實現方式，在第二種可能的實現方式中，所述第一設備根據所述第二設備隨機數一和所述第一映射密鑰對所述第二設備哈希值一進行認證，包括:所述第一設備根據所述第二設備隨機數一和所述第一映射密鑰重構出第二設備哈希值三，比對所述第二設備哈希值三與所述消息四中的所述第二設備哈希值一，如果相同，則確定回復消息五給所述第二設備。
[0027]結合第二方面或上述任一可能的實現方式，在第三種可能的實現方式中，所述第一設備根據所述第二設備隨機數二和所述第一映射密鑰對所述第二設備哈希值二進行認證，包括，所述第一設備根據所述第二設備隨機數二和所述第一映射密鑰重構出第二設備哈希值四，比對所述第二設備哈希值四與所述消息四中的所述第二設備哈希值二，如果相同，則確定回復消息七給所述第二設備。
[0028]結合第二方面或上述任一可能的實現方式，在第四種可能的實現方式中，所述第一設備向第二設備發送消息一的步驟之前，還包括:所述第一設備生成並存儲映射密鑰列表，以使所述第一設備按預定規則在所述映射密鑰列表中選擇所述第一映射密鑰。
[0029]結合第二方面或上述任一可能的實現方式，在第五種可能的實現方式中，所述第一設備與所述第二設備互換，使所述第二設備執行所述第一設備的步驟，所述第一設備執行所述第二設備的步驟。
[0030]第三方面，提供一種安全認證的第一設備，用於與第二設備進行安全認證，所述第一設備包括通信模塊、認證模塊、密鑰生成模塊和控制模塊，
[0031]所述通信模塊向所述第二設備發送消息一，所述消息一包含第一密鑰信息，使得所述第二設備接收所述消息一後，根據所述第一密鑰信息執行動態密鑰交換算法生成至少一個加密密鑰；
[0032]所述通信模塊接收所述第二設備回復給所述第一設備的消息二，所述消息二包含第二密鑰信息，所述密鑰生成模塊根據所述第二密鑰信息執行動態密鑰交換算法生成至少一個加密密鑰；
[0033]所述通信模塊向所述第二設備發送消息三，所述消息三包含第一設備哈希值一和第一設備哈希值二，所述第一設備哈希值一是根據第一設備隨機數一和第一映射密鑰的第一部分生成，所述第一設備哈希值二是根據第一設備隨機數二和所述第一映射密鑰的第二部分生成，以使所述第二設備接收所述消息三後確定回復消息四給所述第一設備，所述第一映射密鑰由所述密鑰生成模塊根據所述第一設備的初始密鑰和第一預定算法生成；
[0034]所述通信模塊接收所述第二設備發送的所述消息四，所述消息四包含第二設備哈希值一、第二設備哈希值二和加密的第二設備隨機數一，所述第二設備哈希值一是根據所述第二設備隨機數一和第二映射密鑰的第一部分生成，所述第二設備哈希值二是根據第二設備隨機數二和所述第二映射密鑰的第二部分生成，所述加密的第二設備隨機數一是利用所述加密密鑰對所述第二設備隨機數一加密，所述第二映射密鑰根據所述第二設備的初始密鑰和所述第一預定算法生成，所述認證模塊根據所述第二設備隨機數一和所述第一映射密鑰對所述第二設備哈希值一進行認證，如果正確，所述控制模塊則確定回復消息五給所述第二設備；
[0035]所述通信模塊向所述第二設備發送消息五，所述消息五包含利用所述加密密鑰加密後的所述第一設備隨機數一，使得所述第二設備根據所述第一設備隨機數一和所述第二映射密鑰對所述第一設備哈希值一進行認證，如果正確，則確定回復消息六給所述第一設備;
[0036]所述通信模塊接收所述消息六，所述消息六包含利用所述加密密鑰加密後的所述第二設備隨機數二，所述認證模塊根據所述第二設備隨機數二和所述第一映射密鑰對所述第二設備哈希值二進行認證，如果正確，表示所述第一設備對所述第二設備認證成功，所述控制模塊則確定回復消息七給所述第二設備；
[0037]所述通信模塊向所述第二設備發送所述消息七，所述消息七包含利用所述加密密鑰加密後的所述第一設備隨機數二，使得所述第二設備根據所述第一設備隨機數二和所述第二映射密鑰對所述第一設備哈希值二進行認證，如果正確，表示所述第二設備對所述第一設備認證成功。
[0038]在第三方面的第一種可能的實現方式中，所述動態密鑰交換算法至少是DH算法，RSA算法，EIGamal算法的其中之一。[0039]結合第三方面或上述任一可能的實現方式，在第二種可能的實現方式中，所述認證模塊根據所述第二設備隨機數一和所述第一映射密鑰對所述第二設備哈希值一進行認證，包括:所述認證模塊根據所述第二設備隨機數一和所述第一映射密鑰重構出第二設備哈希值三，比對所述第二設備哈希值三與所述消息四中的所述第二設備哈希值一，如果相同，所述控制模塊則確定回復消息五給所述第二設備。
[0040]結合第三方面或上述任一可能的實現方式，在第三種可能的實現方式中，所述認證模塊根據所述第二設備隨機數二和所述第一映射密鑰對所述第二設備哈希值二進行認證，包括，所述認證模塊根據所述第二設備隨機數二和所述第一映射密鑰重構出第二設備哈希值四，比對所述第二設備哈希值四與所述消息四中的所述第二設備哈希值二，如果相同，所述控制模塊則確定回復消息七給所述第二設備。
[0041]結合第三方面或上述任一可能的實現方式，在第四種可能的實現方式中，所述通信模塊向第二設備發送消息一之前，所述密鑰生成模塊生成並存儲映射密鑰列表，以使所述第一設備按預定規則在所述映射密鑰列表中選擇所述第一映射密鑰。
[0042]結合第三方面或上述任一可能的實現方式，在第五種可能的實現方式中，所述第一設備與所述第二設備互換，使所述第二設備具有所述通信模塊、所述認證模塊、所述密鑰生成模塊和所述控制模塊，並具有所述第一設備的功能。
[0043]本發明實施例提供的安全認證的方法、設備及系統，通過使用映射後的初始密鑰與另一設備進行安全認證，可以提高攻擊者獲取密鑰的難度，從而提高無線網絡連接的安全。
【專利附圖】

【附圖說明】
[0044]為了更清楚地說明本發明實施例中的技術方案，下面將對實施例描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對於本領域技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。
[0045]圖1是本發明實施例提供的安全認證的應用場景圖；
[0046]圖2是本發明第一實施例提供的安全認證的方法的示意圖；
[0047]圖3是本發明第二實施例提供的安全認證的系統示意圖；
[0048]圖4是本發明第三實施例提供的安全認證的第一設備示意圖；
[0049]圖5是本發明第四實施例提供的安全認證的第一設備示意圖。
【具體實施方式】
[0050]本發明實施例提供一種網絡通信安全認證的方法，可以提高攻擊者獲取密鑰的難度，從而提高無線網絡連接的安全。以下分別進行詳細說明。
[0051]下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基於本發明中的實施例，本領域技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例，都屬於本發明保護的範圍。
[0052]本發明實施例的安全認證方法應用於網絡300中第一設備與第二設備之間進行通信的認證，圖1為本發明實施例提供的安全認證的應用場景圖。
[0053]該應用為第一設備與第二設備進行安全認證，該第一設備與第二設備可以是具有相同通信功能的設備，例如:該第一設備可以是接入點、路由器、數據機，註冊器等；該第二設備可以是終端設備，或者集成於具有通信功能的手機、電腦、PAD等電子設備。可以理解的，該第一設備與該第二設備也可以互換，本發明實施例中的該第一設備可以具有該第二設備的功能，該第二設備也可以具有該第一設備的功能。
[0054]需要說明的是，本發明實施例中的該第一設備與該第二設備可以直接通信，例如:可以通過近距離無線方式，該近距離無線方式通信可以為近場通信(Near fieldcommunication,簡稱，NFC)方式通信,還可以為通過無線保真(Wireless Fidelity,簡稱，WiFi)方式或藍牙等方式進行通信，該第一設備與該第二設備還可以通過該第一設備或該第二設備所在網絡的接入點與另一設備通信，從而進行安全認證。
[0055]參閱圖2，本發明第一實施例提供的安全認證的方法的示意圖。
[0056]該安全認證的方法包括:
[0057]10、第一設備向第二設備發送消息一,該消息一包含第一密鑰信息,使得該第二設備接收該消息一後，根據該第一密鑰信息執行動態密鑰交換算法生成至少一個加密密鑰。
[0058]20、該第一設備接收該第二設備回復給該第一設備的消息二，該消息二包含第二密鑰信息，該第一設備根據該第二密鑰信息執行動態密鑰交換算法生成至少一個加密密鑰。
[0059]其中，步驟10和步驟20中的該動態密鑰交換算法至少是DH算法，RSA算法，EIGamal 算法的其中之一，DH 是 Diffie-Hellman algorithm 的簡寫;RSA 是 Ron Rivest、Adi Shamirh和LenAdleman的簡寫；EIGamal算法是EIGamal密鑰交換算法；DH密鑰交換算法計算可以得出加密密鑰:DH key, KDK, AuthKey, KeyffrapKey, EMSK等。
[0060]可以理解的，每次該第一設備與該第二設備進行安全認證時，該第一密鑰信息和該第二密鑰信息可以變化，並且可以共享給該第一設備和該第二設備。
[0061]30、該第一設備向該第二設備發送消息三,該消息三包含第一設備哈希值一和第一設備哈希值二，該第一設備哈希值一是根據第一設備隨機數一和第一映射密鑰的第一部分生成，該第一設備哈希值二是根據第一設備隨機數二和該第一映射密鑰的第二部分生成，以使該第二設備接收該消息三後確定回復消息四給該第一設備，該第一映射密鑰根據該第一設備的初始密鑰和第一預定算法生成。
[0062]40、該第一設備接收該第二設備發送的該消息四，該消息四包含第二設備哈希值一、第二設備哈希值二和加密的第二設備隨機數一，該第二設備哈希值一是根據該第二設備隨機數一和第二映射密鑰的第一部分生成，該第二設備哈希值二是根據第二設備隨機數二和該第二映射密鑰的第二部分生成，該加密的第二設備隨機數一是利用該加密密鑰對該第二設備隨機數一加密，該第二映射密鑰根據該第二設備的初始密鑰和該第一預定算法生成，該第一設備根據該第二設備隨機數一和該第一映射密鑰對該第二設備哈希值一進行認證，如果正確，則確定回復消息五給該第二設備。
[0063]其中，該第一設備根據該第二設備隨機數一和該第一映射密鑰對該第二設備哈希值一進行認證，包括:該第一設備根據該第二設備隨機數一和該第一映射密鑰重構出第二設備哈希值三，比對該第二設備哈希值三與該消息四中的該第二設備哈希值一，如果相同，則確定回復消息五給該第二設備。
[0064]50、該第一設備向該第二設備發送消息五,該消息五包含利用該加密密鑰加密後的該第一設備隨機數一，使得該第二設備根據該第一設備隨機數一和該第二映射密鑰對該第一設備哈希值一進行認證，如果正確，則確定回復消息六給該第一設備。
[0065]6O、該第一設備接收該消息六，該消息六包含利用該加密密鑰加密後的該第二設備隨機數二，該第一設備根據該第二設備隨機數二和該第一映射密鑰對該第二設備哈希值二進行認證，如果正確，表示該第一設備對該第二設備認證成功，則確定回復消息七給該第二設備。
[0066]其中，該第一設備根據該第二設備隨機數二和該第一映射密鑰對該第二設備哈希值二進行認證，包括，該第一設備根據該第二設備隨機數二和該第一映射密鑰重構出第二設備哈希值四，比對該第二設備哈希值四與該消息四中的該第二設備哈希值二，如果相同，則確定回復消息七給該第二設備。
[0067]70、該第一設備向該第二設備發送該消息七，該消息七包含利用該加密密鑰加密後的該第一設備隨機數二，使得該第二設備根據該第一設備隨機數二和該第二映射密鑰對該第一設備哈希值二進行認證，如果正確，表示該第二設備對該第一設備認證成功。
[0068]可以理解的是，該第一設備向該第二設備發送消息一的步驟之前，還包括:該第一設備生成並存儲映射密鑰列表，以使該第一設備按預定規則在該映射密鑰列表中選擇該第一映射密鑰。
[0069]還可以理解的是，該第一映射密鑰的第一部分可以是該第一映射密鑰的前一半或前三分之一等，該第一映射密鑰的其餘部分為該第一映射密鑰的第二部分，此處對該第一映射密鑰的第一部分和第二部分的大小並不限定。
[0070]還可以理解的，該消息一中的第一密鑰信息可以為第一設備的公鑰或第一設備產生的隨機數，或其他設定數值；該消息二包含的第二密鑰信息，可以為該第二設備公鑰或該第二設備產生的隨機數，或其他設定的數值。
[0071]本發明另一實施例中，該第一設備與該第二設備可以互換，使該第二設備執行該第一設備的步驟，該第一設備執行該第二設備的步驟。
[0072]可以理解的，本發明實施例中的密鑰也可以是密碼，如:設備的PIN(personlidentifer number)碼。
[0073]本發明實施例中，上述該第一映射密鑰的生成方法可以為:
[0074]該第一設備可以對該第一設備的初始密鑰和隨機數根據預定算法生成隨機值，進一步可以對該隨機值進行取模運算得到該第一映射密鑰，其中，該第一映射密鑰的位數可以與該第一設備的初始密鑰的位數相同或不同。
[0075]其中，該隨機數可以是該第一設備和該第二設備執行密鑰交換算法得出的加密密鑰，也可以是該第一設備接收該第二設備發送的參數，或者該第一設備執行交換算法得出並發送給該第二設備的參數。該預定算法可以是將該第一設備的初始密鑰和隨機數相加、相乘、或按照一定規則拆分後相加或相乘等算法。
[0076]例如，該第一設備的初始密碼是4321，該隨機數(假如:DHkey)是1234，相乘後得到的隨機值為=4321*1234 = 5332114 ;也可以相加後得到的隨機值=4321+1234 = 5555 ;也可以按一定規則拆分(如:各取一半)後相加得到的隨機值:(43+12) + (21+34) = 110 ;也可以按一定規則拆分(如:各取一半)後相乘得到的隨機值:(43*12) + (21*34) = 924。本實施例中該第一設備的初始密碼和該隨機數相乘為例計算。
[0077]進一步的，可以對該隨機值進行取模運算得到第一映射密鑰，S卩，隨機值為4321*1234 = 5332114，模數(10~4_1 = 9999)，第一映射密鑰=5332114mod(9999) = 2647。
[0078]可選的，該第一映射密鑰的生成方法還可以為:
[0079]該第一設備還可以將該第一設備的初始密鑰結合第一隨機數根據預定算法生成第一隨機值，將該第一設備的初始密鑰結合第二隨機數根據該預定算法生成第二隨機值；
[0080]該第一設備可以分別對該第一和第二隨機值進行取模運算得到第一值和第二值，該第一值和第二值構成該第一映射密鑰，其中，該第一值和第二值的任意一個的位數可以是該第一設備的初始密鑰位數的一半，如，該第一設備的初始密鑰位數為N，該第一值和第二值的任意一個的位數是N/2。
[0081]其中，該第一和第二隨機數可以是該第一設備與該第二設備執行密鑰交換算法得出的加密密鑰，也可以是該第一設備接收該第二設備發送的參數，或者該第一設備執行交換算法得出並發送給該第二設備的參數。該預定算法可以是將該第一設備的初始密鑰和隨機數相加、相乘、或按照一定規則拆分後相加或相乘等算法。
[0082]可以理解的是，該第一預定算法並不限定於本實施例中所列舉的算法，可以匹配該第一設備和該第二設備之間的認證難度選擇適當的算法，都不脫離本發明實施例的保護範圍。
[0083]還可以理解的是，該第一設備在步驟10之前，可以預先生成映射密鑰列表並存儲於該第一設備，該映射密鑰列表包括至少一個第一映射密鑰，該第一設備可以根據預定規則在該映射密鑰列表中選擇該第一映射密鑰。
[0084]其中，該預定規則可以通過該第一設備共享給該第二設備，該預定規則可以是上述的第一預定算法，也可以是其他函數算法，本發明實施例對此並不限定。
[0085]該第二映射密鑰的生成方法可以為:該第二設備可以對該第二設備的初始密鑰和隨機數根據預定算法生成隨機值，進一步對該隨機值進行取模運算得到該第二映射密鑰，其中，該第二映射密鑰的位數可以與該第二設備的初始密鑰的位數相同或不同。
[0086]其中，該隨機數可以是該第一設備和該第二設備執行密鑰交換算法得出的加密密鑰，也可以是接收該第一設備執行交換算法得出並發送給該第二設備的參數，或者該第二設備執行交換算法得出並發送給該第一設備的參數。該預定算法可以是將該第二設備的初始密鑰和隨機數相加、相乘、或按照一定規則拆分後相加或相乘等算法。
[0087]可選的，該第二映射密鑰的生成方法還可以為:
[0088]該第二設備還可以將該第二設備的初始密鑰結合第二設備第一隨機數根據預定算法生成第二設備第一隨機值，將該第二設備的初始密鑰結合第二設備第二隨機數根據該預定算法生成該第二設備第二隨機值。
[0089]該第二設備可以分別對該第二設備的第一和第二隨機值進行取模運算得到該第二設備第一值和第二值，該第二設備第一值和第二值構成該第二映射密鑰，其中，該第二設備第一值和第二值的任意一個的位數可以是該第二設備的初始密鑰位數的一半。
[0090]其中，該第二設備第一和第二隨機數可以是該第一設備和該第二設備執行密鑰交換算法得出的加密密鑰，也可以是接收該第一設備執行交換算法得出發送的給該第二設備的參數，或者該第二設備執行交換算法得出並發送給該第一設備的參數。該預定算法可以是將該第二設備的初始密鑰和隨機數相加、相乘、或按照一定規則拆分後相加或相乘等算法。
[0091]可以理解的是，該第一映射密鑰也可以由該第二設備生成，該第二映射密鑰也可以由該第一設備生成，本發明實施例對此不作限定。
[0092]還可以理解的是，上述該第一設備和該第二設備相互認證過程，僅為本發明的一個較佳實施例，對上述認證過程中各步驟的執行順序並不限定，或者可以同步執行，只要通過本發明實施例的認證方法進行設備之間的相互認證，都可以應用於本發明實施例。
[0093]本發明實施例中安全認證的方法，該第一設備通過使用映射後的初始密鑰與該第二設備進行安全認證，可以提高攻擊者獲取密鑰的難度，從而提高無線網絡連接的安全。
[0094]圖3為本發明第二實施例提供的安全認證的系統示意圖。
[0095]該系統應用於第一設備和第二設備，用於該第一設備和第二設備間進行安全認證。
[0096]10a、該第一設備向該第二設備發送消息一,該消息一包含第一密鑰信息,使得該第二設備接收該消息一後，根據該第一密鑰信息執行動態密鑰交換算法生成至少一個加密密鑰。
[0097]20a、該第一設備接收該第二設備回復給該第一設備的消息二，該消息二包含第二密鑰信息，該第一設備根據該第二密鑰信息執行動態密鑰交換算法生成至少一個加密密鑰。
[0098]其中，步驟IOa和步驟20a中的該動態密鑰交換算法至少是DH算法，RSA算法，EIGamal 算法的其中之一，DH 是 Diffie-Hellman algorithm 的簡寫;RSA 是 Ron Rivest、Adi Shamirh和LenAdleman的簡寫；EIGamal算法是EIGamal密鑰交換算法；DH密鑰交換算法計算可以得出加密密鑰:DH key, KDK, AuthKey, KeyffrapKey, EMSK等。
[0099]可以理解的，每次該第一設備與該第二設備進行安全認證時，該第一密鑰信息和該第二密鑰信息可以變化，並且可以共享給該第一設備和該第二設備。
[0100]30a、該第一設備向該第二設備發送消息三,該消息三包含第一設備哈希值一和第一設備哈希值二，該第一設備哈希值一是根據第一設備隨機數一和第一映射密鑰的第一部分生成，該第一設備哈希值二是根據第一設備隨機數二和該第一映射密鑰的第二部分生成，以使該第二設備接收該消息三後確定回復消息四給該第一設備，該第一映射密鑰根據該第一設備的初始密鑰和第一預定算法生成。
[0101]40a、該第一設備接收該第二設備發送的該消息四，該消息四包含第二設備哈希值一、第二設備哈希值二和加密的第二設備隨機數一，該第二設備哈希值一是根據該第二設備隨機數一和第二映射密鑰的第一部分生成，該第二設備哈希值二是根據第二設備隨機數二和該第二映射密鑰的第二部分生成，該加密的第二設備隨機數一是利用該加密密鑰對該第二設備隨機數一加密，該第二映射密鑰根據該第二設備的初始密鑰和該第一預定算法生成，該第一設備根據該第二設備隨機數一和該第一映射密鑰對該第二設備哈希值一進行認證，如果正確，則確定回復消息五給該第二設備。
[0102]其中，該第一設備根據該第二設備隨機數一和該第一映射密鑰對該第二設備哈希值一進行認證，包括:該第一設備根據該第二設備隨機數一和該第一映射密鑰重構出第二設備哈希值三，比對該第二設備哈希值三與該消息四中的該第二設備哈希值一，如果相同，則確定回復消息五給該第二設備。
[0103]50a、該第一設備向該第二設備發送消息五,該消息五包含利用該加密密鑰加密後的該第一設備隨機數一，使得該第二設備根據該第一設備隨機數一和該第二映射密鑰對該第一設備哈希值一進行認證，如果正確，則確定回復消息六給該第一設備。
[0104]60a、該第一設備接收該消息六，該消息六包含利用該加密密鑰加密後的該第二設備隨機數二，該第一設備根據該第二設備隨機數二和該第一映射密鑰對該第二設備哈希值二進行認證，如果正確，表示該第一設備對該第二設備認證成功，則確定回復消息七給該第二設備。
[0105]其中，該第一設備根據該第二設備隨機數二和該第一映射密鑰對該第二設備哈希值二進行認證，包括，該第一設備根據該第二設備隨機數二和該第一映射密鑰重構出第二設備哈希值四，比對該第二設備哈希值四與該消息四中的該第二設備哈希值二，如果相同，則確定回復消息七給該第二設備。
[0106]70a、該第一設備向該第二設備發送該消息七，該消息七包含利用該加密密鑰加密後的該第一設備隨機數二，使得該第二設備根據該第一設備隨機數二和該第二映射密鑰對該第一設備哈希值二進行認證，如果正確，表示該第二設備對該第一設備認證成功。
[0107]可以理解的是，該第一設備向該第二設備發送消息一的步驟之前，還包括:該第一設備生成並存儲映射密鑰列表，以使該第一設備按預定規則在該映射密鑰列表中選擇該第一映射密鑰。
[0108]還可以理解的是，該第一映射密鑰的第一部分可以是該第一映射密鑰的前一半或前三分之一等，該第一映射密鑰的其餘部分為該第一映射密鑰的第二部分，此處對該第一映射密鑰的第一部分和第二部分的大小並不限定。
[0109]還可以理解的，該消息一中的第一密鑰信息可以為第一設備的公鑰或第一設備產生的隨機數，或其他設定數值；該消息二包含的第二密鑰信息，可以為該第二設備公鑰或該第二設備產生的隨機數，或其他設定的數值。
[0110]本發明另一實施例中，該第一設備與該第二設備可以互換，使該第二設備執行該第一設備的步驟，該第一設備執行該第二設備的步驟。
[0111]可以理解的，本發明實施例中的密鑰也可以是密碼』如:設備的PIN (personlidentifer number)碼。
[0112]本發明實施例中，上述該第一映射密鑰的生成方法可以為:
[0113]該第一設備可以對該第一設備的初始密鑰和隨機數根據預定算法生成隨機值，進一步可以對該隨機值進行取模運算得到該第一映射密鑰，其中，該第一映射密鑰的位數可以與該第一設備的初始密鑰的位數相同或不同。
[0114]其中，該隨機數可以是該第一設備和該第二設備執行密鑰交換算法得出的加密密鑰，也可以是該第一設備接收該第二設備發送的參數，或者該第一設備執行交換算法得出並發送給該第二設備的參數。該預定算法可以是將該第一設備的初始密鑰和隨機數相加、相乘、或按照一定規則拆分後相加或相乘等算法。
[0115]例如，該第一設備的初始密碼是4321，該隨機數(假如:DHkey)是1234，相乘後得到的隨機值為=4321*1234 = 5332114 ;也可以相加後得到的隨機值=4321+1234 = 5555 ;也可以按一定規則拆分(如:各取一半)後相加得到的隨機值:(43+12) + (21+34) = 110 ;也可以按一定規則拆分(如:各取一半)後相乘得到的隨機值:(43*12) + (21*34) = 924。本實施例中該第一設備的初始密碼和該隨機數相乘為例計算。
[0116]進一步的，可以對該隨機值進行取模運算得到第一映射密鑰，S卩，隨機值為4321*1234 = 5332114，模數(10~4_1 = 9999)，第一映射密鑰=5332114mod(9999) = 2647。
[0117]可選的，該第一映射密鑰的生成方法還可以為:
[0118]該第一設備還可以將該第一設備的初始密鑰結合第一隨機數根據預定算法生成第一隨機值，將該第一設備的初始密鑰結合第二隨機數根據該預定算法生成第二隨機值；
[0119]該第一設備可以分別對該第一和第二隨機值進行取模運算得到第一值和第二值，該第一值和第二值構成該第一映射密鑰，其中，該第一值和第二值的任意一個的位數可以是該第一設備的初始密鑰位數的一半，如，該第一設備的初始密鑰位數為N，該第一值和第二值的任意一個的位數是N/2。
[0120]其中，該第一和第二隨機數可以是該第一設備與該第二設備執行密鑰交換算法得出的加密密鑰，也可以是該第一設備接收該第二設備發送的參數，或者該第一設備執行交換算法得出並發送給該第二設備的參數。該預定算法可以是將該第一設備的初始密鑰和隨機數相加、相乘、或按照一定規則拆分後相加或相乘等算法。
[0121]可以理解的是，該第一預定算法並不限定於本實施例中所列舉的算法，可以匹配該第一設備和該第二設備之間的認證難度選擇適當的算法，都不脫離本發明實施例的保護範圍。
[0122]還可以理解的是，該第一設備在步驟IOa之前，可以預先生成映射密鑰列表並存儲於該第一設備，該映射密鑰列表包括至少一個第一映射密鑰，該第一設備可以根據預定規則在該映射密鑰列表中選擇該第一映射密鑰。
[0123]其中，該預定規則可以通過該第一設備共享給該第二設備，該預定規則可以是上述的第一預定算法，也可以是其他函數算法，本發明實施例對此並不限定。
[0124]該第二映射密鑰的生成方法可以為:該第二設備可以對該第二設備的初始密鑰和隨機數根據預定算法生成隨機值，進一步對該隨機值進行取模運算得到該第二映射密鑰，其中，該第二映射密鑰的位數可以與該第二設備的初始密鑰的位數相同或不同。
[0125]其中，該隨機數可以是該第一設備和該第二設備執行密鑰交換算法得出的加密密鑰，也可以是接收該第一設備執行交換算法得出並發送給該第二設備的參數，或者該第二設備執行交換算法得出並發送給該第一設備的參數。該預定算法可以是將該第二設備的初始密鑰和隨機數相加、相乘、或按照一定規則拆分後相加或相乘等算法。
[0126]可選的，該第二映射密鑰的生成方法還可以為:
[0127]該第二設備還可以將該第二設備的初始密鑰結合第二設備第一隨機數根據預定算法生成第二設備第一隨機值，將該第二設備的初始密鑰結合第二設備第二隨機數根據該預定算法生成該第二設備第二隨機值。
[0128]該第二設備可以分別對該第二設備的第一和第二隨機值進行取模運算得到該第二設備第一值和第二值，該第二設備第一值和第二值構成該第二映射密鑰，其中，該第二設備第一值和第二值的任意一個的位數可以是該第二設備的初始密鑰位數的一半。
[0129]其中，該第二設備第一和第二隨機數可以是該第一設備和該第二設備執行密鑰交換算法得出的加密密鑰，也可以是接收該第一設備執行交換算法得出發送的給該第二設備的參數，或者該第二設備執行交換算法得出並發送給該第一設備的參數。該預定算法可以是將該第二設備的初始密鑰和隨機數相加、相乘、或按照一定規則拆分後相加或相乘等算法。
[0130]可以理解的是，該第一映射密鑰也可以由該第二設備生成，該第二映射密鑰也可以由該第一設備生成，本發明實施例對此不作限定。
[0131]還可以理解的是，上述該第一設備和該第二設備相互認證過程，僅為本發明的一個較佳實施例，對上述認證過程中各步驟的執行順序並不限定，或者可以同步執行，只要通過本發明實施例的認證方法進行設備之間的相互認證，都可以應用於本發明實施例。
[0132]本發明實施例中安全認證的系統，該第一設備通過使用映射後的初始密鑰與該第二設備進行安全認證，可以提高攻擊者獲取密鑰的難度，從而提高無線網絡連接的安全。
[0133]圖4為本發明第三實施例提供的安全認證的第一設備100示意圖。
[0134]該第一設備100，用於與第二設備進行安全認證，該第一設備100包括通信模塊10、認證模塊20、密鑰生成模塊30和控制模塊40，
[0135]該通信模塊10向該第二設備發送消息一,該消息一包含第一密鑰信息,使得該第二設備接收該消息一後，根據該第一密鑰信息執行動態密鑰交換算法生成至少一個加密密鑰；
[0136]該通信模塊10接收該第二設備回復給該第一設備100的消息二，該消息二包含第二密鑰信息，該密鑰生成模塊30根據該第二密鑰信息執行動態密鑰交換算法生成至少一個加密密鑰；
[0137]該通信模塊10向該第二設備發送消息三，該消息三包含第一設備哈希值一和第一設備哈希值二，該第一設備哈希值一是根據第一設備隨機數一和第一映射密鑰的第一部分生成，該第一設備哈希值二是根據第一設備隨機數二和該第一映射密鑰的第二部分生成，以使該第二設備接收該消息三後確定回復消息四給該第一設備100，該第一映射密鑰由該密鑰生成模塊30根據該第一設備100的初始密鑰和第一預定算法生成；
[0138]該通信模塊10接收該第二設備發送的該消息四，該消息四包含第二設備哈希值一、第二設備哈希值二和加密的第二設備隨機數一，該第二設備哈希值一是根據該第二設備隨機數一和第二映射密鑰的第一部分生成，該第二設備哈希值二是根據第二設備隨機數二和該第二映射密鑰的第二部分生成，該加密的第二設備隨機數一是利用該加密密鑰對該第二設備隨機數一加密，該第二映射密鑰根據該第二設備的初始密鑰和該第一預定算法生成，該認證模塊20根據該第二設備隨機數一和該第一映射密鑰對該第二設備哈希值一進行認證，如果正確，該控制模塊40則確定回復消息五給該第二設備；
[0139]該通信模塊10向該第二設備發送消息五，該消息五包含利用該加密密鑰加密後的該第一設備隨機數一，使得該第二設備根據該第一設備隨機數一和該第二映射密鑰對該第一設備哈希值一進行認證，如果正確，則確定回復消息六給該第一設備100 ；
[0140]該通信模塊10接收該消息六,該消息六包含利用該加密密鑰加密後的該第二設備隨機數二，該認證模塊20根據該第二設備隨機數二和該第一映射密鑰對該第二設備哈希值二進行認證，如果正確，表示該第一設備100對該第二設備認證成功，該控制模塊40則確定回復消息七給該第二設備；[0141]該通信模塊10向該第二設備發送該消息七，該消息七包含利用該加密密鑰加密後的該第一設備隨機數二，使得該第二設備根據該第一設備隨機數二和該第二映射密鑰對該第一設備哈希值二進行認證，如果正確，表示該第二設備對該第一設備100認證成功。
[0142]其中，該動態密鑰交換算法至少是DH算法，RSA算法，EIGamal算法的其中之一，DH 是 Diffie-Hellman algorithm 的簡寫；RSA 是 Ron Rivest、AdiShamirh 和 LenAdleman的簡寫；EIGamal算法是EIGamal密鑰交換算法；DH密鑰交換算法計算可以得出加密密鑰:DH key, KDK, AuthKey, KeyffrapKey, EMSK 等。
[0143]可以理解的，每次該第一設備與該第二設備進行安全認證時，該第一密鑰信息和該第二密鑰信息可以變化，並且可以共享給該第一設備和該第二設備。
[0144]其中，該認證模塊20根據該第二設備隨機數一和該第一映射密鑰對該第二設備哈希值一進行認證，包括:該認證模塊20根據該第二設備隨機數一和該第一映射密鑰重構出第二設備哈希值三，比對該第二設備哈希值三與該消息四中的該第二設備哈希值一，如果相同，該控制模塊40則確定回復消息五給該第二設備；該認證模塊20根據該第二設備隨機數二和該第一映射密鑰對該第二設備哈希值二進行認證，包括，該認證模塊20根據該第二設備隨機數二和該第一映射密鑰重構出第二設備哈希值四，比對該第二設備哈希值四與該消息四中的該第二設備哈希值二，如果相同，該控制模塊40則確定回復消息七給該第二設備。
[0145]可以理解的，該通信模塊10向第二設備發送消息一之前，該密鑰生成模塊30生成並存儲映射密鑰列表，以使該第一設備按預定規則在該映射密鑰列表中選擇該第一映射密鑰。
[0146]還可以理解的是，該第一映射密鑰的第一部分可以是該第一映射密鑰的前一半或前三分之一等，該第一映射密鑰的其餘部分為該第一映射密鑰的第二部分，此處對該第一映射密鑰的第一部分和第二部分的大小並不限定。
[0147]還可以理解的，該消息一中的第一密鑰信息可以為第一設備的公鑰或第一設備產生的隨機數，或其他設定數值；該消息二包含的第二密鑰信息，可以為該第二設備公鑰或該第二設備產生的隨機數，或其他設定的數值。
[0148]本發明另一實施例中，該第一設備100可以與該第二設備互換，使該第二設備具有該通信模塊、該認證模塊、該密鑰生成模塊和該控制模塊，並具有該第一設備100的功倉泛。
[0149]可以理解的，本發明實施例中的密鑰也可以是密碼』如:設備的PIN (personlidentifer number)碼。
[0150]本發明實施例中，上述該第一映射密鑰的生成方法可以為:
[0151]該密鑰生成模塊30可以對該第一設備的初始密鑰和隨機數根據預定算法生成隨機值，進一步可以對該隨機值進行取模運算得到該第一映射密鑰，其中，該第一映射密鑰的位數可以與該第一設備的初始密鑰的位數相同或不同。
[0152]其中，該隨機數可以是該第一設備和該第二設備執行密鑰交換算法得出的加密密鑰，也可以是該第一設備接收該第二設備發送的參數，或者該第一設備執行交換算法得出並發送給該第二設備的參數。該預定算法可以是將該第一設備的初始密鑰和隨機數相加、相乘、或按照一定規則拆分後相加或相乘等算法。[0153]例如，該第一設備的初始密碼是4321，該隨機數(假如:DHkey)是1234，相乘後得到的隨機值為=4321*1234 = 5332114 ;也可以相加後得到的隨機值=4321+1234 = 5555 ;也可以按一定規則拆分(如:各取一半)後相加得到的隨機值:(43+12) + (21+34) = 110 ;也可以按一定規則拆分(如:各取一半)後相乘得到的隨機值:(43*12) + (21*34) = 924。本實施例中該第一設備的初始密碼和該隨機數相乘為例計算。
[0154]進一步的，可以對該隨機值進行取模運算得到第一映射密鑰，S卩，隨機值為4321*1234 = 5332114，模數(10~4_1 = 9999)，第一映射密鑰=5332114mod(9999) = 2647。
[0155]可選的，該第一映射密鑰的生成方法還可以為:
[0156]該密鑰生成模塊30還可以將該第一設備的初始密鑰結合第一隨機數根據預定算法生成第一隨機值，將該第一設備的初始密鑰結合第二隨機數根據該預定算法生成第二隨機值。
[0157]該密鑰生成模塊30可以分別對該第一和第二隨機值進行取模運算得到第一值和第二值，該第一值和第二值構成該第一映射密鑰，其中，該第一值和第二值的任意一個的位數可以是該第一設備的初始密鑰位數的一半，如，該第一設備的初始密鑰位數為N，該第一值和第二值的任意一個的位數是N/2。
[0158]其中，該第一和第二隨機數可以是該第一設備與該第二設備執行密鑰交換算法得出的加密密鑰，也可以是該第一設備接收該第二設備發送的參數，或者該第一設備執行交換算法得出並發送給該第二設備的參數。該預定算法可以是將該第一設備的初始密鑰和隨機數相加、相乘、或按照一定規則拆分後相加或相乘等算法。
[0159]可以理解的是，該第一預定算法並不限定於本實施例中所列舉的算法，可以匹配該第一設備和該第二設備之間的認證難度選擇適當的算法，都不脫離本發明實施例的保護範圍。
[0160]該第二映射密鑰的生成方法可以為:該第二設備可以對該第二設備的初始密鑰和隨機數根據預定算法生成隨機值，進一步對該隨機值進行取模運算得到該第二映射密鑰，其中，該第二映射密鑰的位數可以與該第二設備的初始密鑰的位數相同或不同。
[0161]其中，該隨機數可以是該第一設備和該第二設備執行密鑰交換算法得出的加密密鑰，也可以是接收該第一設備執行交換算法得出並發送給該第二設備的參數，或者該第二設備執行交換算法得出並發送給該第一設備的參數。該預定算法可以是將該第二設備的初始密鑰和隨機數相加、相乘、或按照一定規則拆分後相加或相乘等算法。
[0162]可選的，該第二映射密鑰的生成方法還可以為:
[0163]該第二設備還可以將該第二設備的初始密鑰結合第二設備第一隨機數根據預定算法生成第二設備第一隨機值，將該第二設備的初始密鑰結合第二設備第二隨機數根據該預定算法生成該第二設備第二隨機值。
[0164]該第二設備可以分別對該第二設備的第一和第二隨機值進行取模運算得到該第二設備第一值和第二值，該第二設備第一值和第二值構成該第二映射密鑰，其中，該第二設備第一值和第二值的任意一個的位數可以是該第二設備的初始密鑰位數的一半。
[0165]其中，該第二設備第一和第二隨機數可以是該第一設備和該第二設備執行密鑰交換算法得出的加密密鑰，也可以是接收該第一設備執行交換算法得出發送的給該第二設備的參數，或者該第二設備執行交換算法得出並發送給該第一設備的參數。該預定算法可以是將該第二設備的初始密鑰和隨機數相加、相乘、或按照一定規則拆分後相加或相乘等算法。
[0166]可以理解的是，該第一映射密鑰也可以由該第二設備生成，該第二映射密鑰也可以由該第一設備生成，本發明實施例對此不作限定。
[0167]本發明實施例中安全認證的第一設備，通過使用映射後的初始密鑰與該第二設備進行安全認證，可以提高攻擊者獲取密鑰的難度，從而提高無線網絡連接的安全。
[0168]圖5為本發明第四實施例提供的安全認證的第一設備200示意圖。
[0169]該第一設備200用於與第二設備進行安全認證,該第一設備200包括收發器201和處理器202,該收發器201向該第二設備發送消息一,該消息一包含第一密鑰信息,使得該第二設備接收該消息一後，根據該第一密鑰信息執行動態密鑰交換算法生成至少一個加密密鑰；
[0170]該收發器201接收該第二設備回復給該第一設備200的消息二，該消息二包含第二密鑰信息，該處理器202根據該第二密鑰信息執行動態密鑰交換算法生成至少一個加密密鑰；
[0171]該收發器201向該第二設備發送消息三,該消息三包含第一設備哈希值一和第一設備哈希值二，該第一設備哈希值一是根據第一設備隨機數一和第一映射密鑰的第一部分生成，該第一設備哈希值二是根據第一設備隨機數二和該第一映射密鑰的第二部分生成，以使該第二設備接收該消息三後確定回復消息四給該第一設備200，該第一映射密鑰由該處理器202根據該第一設備200的初始密鑰和第一預定算法生成；
[0172]該收發器201接收該第二設備發送的該消息四，該消息四包含第二設備哈希值一、第二設備哈希值二和加密的第二設備隨機數一，該第二設備哈希值一是根據該第二設備隨機數一和第二映射密鑰的第一部分生成，該第二設備哈希值二是根據第二設備隨機數二和該第二映射密鑰的第二部分生成，該加密的第二設備隨機數一是利用該加密密鑰對該第二設備隨機數一加密，該第二映射密鑰根據該第二設備的初始密鑰和該第一預定算法生成，該處理器202根據該第二設備隨機數一和該第一映射密鑰對該第二設備哈希值一進行認證，如果正確，則確定回復消息五給該第二設備；
[0173]該收發器201向該第二設備發送消息五，該消息五包含利用該加密密鑰加密後的該第一設備隨機數一，使得該第二設備根據該第一設備隨機數一和該第二映射密鑰對該第一設備哈希值一進行認證，如果正確，則確定回復消息六給該第一設備200 ；
[0174]該收發器201接收該消息六,該消息六包含利用該加密密鑰加密後的該第二設備隨機數二，該處理器202根據該第二設備隨機數二和該第一映射密鑰對該第二設備哈希值二進行認證，如果正確，表示該第一設備200對該第二設備認證成功，該處理器202則確定回復消息七給該第二設備；
[0175]該收發器201向該第二設備發送該消息七，該消息七包含利用該加密密鑰加密後的該第一設備隨機數二，使得該第二設備根據該第一設備隨機數二和該第二映射密鑰對該第一設備哈希值二進行認證，如果正確，表示該第二設備對該第一設備200認證成功。
[0176]其中，該動態密鑰交換算法至少是DH算法，RSA算法，EIGamal算法的其中之一，DH 是 Diffie-Hellman algorithm 的簡寫；RSA 是 Ron Rivest、AdiShamirh 和 LenAdleman的簡寫；EIGamal算法是EIGamal密鑰交換算法；DH密鑰交換算法計算可以得出加密密鑰:DH key, KDK, AuthKey, KeyffrapKey, EMSK 等。
[0177]可以理解的，每次該第一設備與該第二設備進行安全認證時，該第一密鑰信息和該第二密鑰信息可以變化，並且可以共享給該第一設備和該第二設備。
[0178]其中，該處理器202根據該第二設備隨機數一和該第一映射密鑰對該第二設備哈希值一進行認證，包括:該處理器202根據該第二設備隨機數一和該第一映射密鑰重構出第二設備哈希值三，比對該第二設備哈希值三與該消息四中的該第二設備哈希值一，如果相同，該處理器202則確定回復消息五給該第二設備；
[0179]該處理器202根據該第二設備隨機數二和該第一映射密鑰對該第二設備哈希值二進行認證，包括，該處理器202根據該第二設備隨機數二和該第一映射密鑰重構出第二設備哈希值四，比對該第二設備哈希值四與該消息四中的該第二設備哈希值二，如果相同，該處理器202則確定回復消息七給該第二設備。
[0180]可以理解的，該第一設備200還包括存儲器203，該收發器201向第二設備發送消息一之前，該處理器202生成映射密鑰列表，並存儲該映射密鑰列表到該存儲器203，以使該第一設備按預定規則在該映射密鑰列表中選擇該第一映射密鑰。
[0181]還可以理解的是，該第一映射密鑰的第一部分可以是該第一映射密鑰的前一半或前三分之一等，該第一映射密鑰的其餘部分為該第一映射密鑰的第二部分，此處對該第一映射密鑰的第一部分和第二部分的大小並不限定。
[0182]還可以理解的，該消息一中的第一密鑰信息可以為第一設備的公鑰或第一設備產生的隨機數，或其他設定數值；該消息二包含的第二密鑰信息，可以為該第二設備公鑰或該第二設備產生的隨機數，或其他設定的數值。
[0183]本發明另一實施例中，該第一設備200可以與該第二設備互換，使該第二設備具有該收發器201、該處理器202和該存儲器203，並具有該第一設備200的功能。
[0184]可以理解的，本發明實施例中的密鑰也可以是密碼』如:設備的PIN (personlidentifer number)碼。
[0185]本發明實施例中，上述該第一映射密鑰的生成方法可以為:
[0186]該處理器202可以對該第一設備的初始密鑰和隨機數根據預定算法生成隨機值，進一步可以對該隨機值進行取模運算得到該第一映射密鑰，其中，該第一映射密鑰的位數可以與該第一設備的初始密鑰的位數相同或不同。
[0187]其中，該隨機數可以是該第一設備和該第二設備執行密鑰交換算法得出的加密密鑰，也可以是該第一設備接收該第二設備發送的參數，或者該第一設備執行交換算法得出並發送給該第二設備的參數。該預定算法可以是將該第一設備的初始密鑰和隨機數相加、相乘、或按照一定規則拆分後相加或相乘等算法。
[0188]例如，該第一設備的初始密碼是4321，該隨機數(假如:DHkey)是1234，相乘後得到的隨機值為=4321*1234 = 5332114 ;也可以相加後得到的隨機值=4321+1234 = 5555 ;也可以按一定規則拆分(如:各取一半)後相加得到的隨機值:(43+12) + (21+34) = 110 ;也可以按一定規則拆分(如:各取一半)後相乘得到的隨機值:(43*12) + (21*34) = 924。本實施例中該第一設備的初始密碼和該隨機數相乘為例計算。
[0189]進一步的，可以對該隨機值進行取模運算得到第一映射密鑰，S卩，隨機值為4321*1234 = 5332114，模數(10~4_1 = 9999)，第一映射密鑰=5332114mod(9999) = 2647。[0190]可選的，該第一映射密鑰的生成方法還可以為:
[0191]該處理器202還可以將該第一設備的初始密鑰結合第一隨機數根據預定算法生成第一隨機值，將該第一設備的初始密鑰結合第二隨機數根據該預定算法生成第二隨機值；
[0192]該處理器202可以分別對該第一和第二隨機值進行取模運算得到第一值和第二值，該第一值和第二值構成該第一映射密鑰，其中，該第一值和第二值的任意一個的位數可以是該第一設備的初始密鑰位數的一半。
[0193]其中，該第一和第二隨機數可以是該第一設備與該第二設備執行密鑰交換算法得出的加密密鑰，也可以是該第一設備接收該第二設備發送的參數，或者該第一設備執行交換算法得出並發送給該第二設備的參數。該預定算法可以是將該第一設備的初始密鑰和隨機數相加、相乘、或按照一定規則拆分後相加或相乘等算法。
[0194]可以理解的是，該第一預定算法並不限定於本實施例中所列舉的算法，可以匹配該第一設備和該第二設備之間的認證難度選擇適當的算法，都不脫離本發明實施例的保護範圍。
[0195]該第二映射密鑰的生成方法可以為:該第二設備可以對該第二設備的初始密鑰和隨機數根據預定算法生成隨機值，進一步對該隨機值進行取模運算得到該第二映射密鑰，其中，該第二映射密鑰的位數可以與該第二設備的初始密鑰的位數相同或不同。
[0196]其中，該隨機數可以是該第一設備和該第二設備執行密鑰交換算法得出的加密密鑰，也可以是接收該第一設備執行交換算法得出並發送給該第二設備的參數，或者該第二設備執行交換算法得出並發送給該第一設備的參數。該預定算法可以是將該第二設備的初始密鑰和隨機數相加、相乘、或按照一定規則拆分後相加或相乘等算法。
[0197]可選的，該第二映射密鑰的生成方法還可以為:
[0198]該第二設備還可以將該第二設備的初始密鑰結合第二設備第一隨機數根據預定算法生成第二設備第一隨機值，將該第二設備的初始密鑰結合第二設備第二隨機數根據該預定算法生成該第二設備第二隨機值。
[0199]該第二設備可以分別對該第二設備的第一和第二隨機值進行取模運算得到該第二設備第一值和第二值，該第二設備第一值和第二值構成該第二映射密鑰，其中，該第二設備第一值和第二值的任意一個的位數可以是該第二設備的初始密鑰位數的一半。
[0200]其中，該第二設備第一和第二隨機數可以是該第一設備和該第二設備執行密鑰交換算法得出的加密密鑰，也可以是接收該第一設備執行交換算法得出發送的給該第二設備的參數，或者該第二設備執行交換算法得出並發送給該第一設備的參數。該預定算法可以是將該第二設備的初始密鑰和隨機數相加、相乘、或按照一定規則拆分後相加或相乘等算法。
[0201]可以理解的是，該第一映射密鑰也可以由該第二設備生成，該第二映射密鑰也可以由該第一設備生成，本發明實施例對此不作限定。
[0202]本發明實施例中安全認證的第一設備，通過使用映射後的初始密鑰與該第二設備進行安全認證，可以提高攻擊者獲取密鑰的難度，從而提高無線網絡連接的安全。
[0203]本發明實施例中的安全認證的第一設備，通過使用映射後的初始密鑰與該第二設備進行安全認證，可以提高攻擊者獲取密鑰的難度，從而提高無線網絡連接的安全。[0204]本領域普通技術人員可以理解上述實施例的各種方法中的全部或部分步驟是可以通過程序來指令相關的硬體來完成，該程序可以存儲於一計算機可讀存儲介質中，存儲介質可以包括:ROM、RAM、磁碟或光碟等。
[0205]以上對本發明實施例所提供的安全認證的方法、設備以及系統進行了詳細介紹，本文中應用了具體個例對本發明的原理及實施方式進行了闡述，以上實施例的說明只是用於幫助理解本發明的方法及其核心思想；同時，對於本領域的一般技術人員，依據本發明的思想，在【具體實施方式】及應用範圍上均會有改變之處，綜上該，本說明書內容不應理解為對本發明的限制。
【權利要求】
1.一種安全認證的方法，所述方法包括: 第一設備向第二設備發送消息一，所述消息一包含第一密鑰信息，使得所述第二設備接收所述消息一後，根據所述第一密鑰信息執行動態密鑰交換算法生成至少一個加密密鑰； 所述第一設備接收所述第二設備回復給所述第一設備的消息二，所述消息二包含第二密鑰信息，所述第一設備根據所述第二密鑰信息執行動態密鑰交換算法生成至少一個加密密鑰； 所述第一設備向所述第二設備發送消息三，所述消息三包含第一設備哈希值一和第一設備哈希值二，所述第一設備哈希值一是根據第一設備隨機數一和第一映射密鑰的第一部分生成，所述第一設備哈希值二是根據第一設備隨機數二和所述第一映射密鑰的第二部分生成，以使所述第二設備接收所述消息三後確定回復消息四給所述第一設備，所述第一映射密鑰根據所述第一設備的初始密鑰和第一預定算法生成； 所述第一設備接收所述第二設備發送的所述消息四，所述消息四包含第二設備哈希值一、第二設備哈希值二和加密的第二設備隨機數一，所述第二設備哈希值一是根據所述第二設備隨機數一和第二映射密鑰的第一部分生成，所述第二設備哈希值二是根據第二設備隨機數二和所述第二映射密鑰的第二部分生成，所述加密的第二設備隨機數一是利用所述加密密鑰對所述第二設備隨機數一加密，所述第二映射密鑰根據所述第二設備的初始密鑰和所述第一預定算法生 成，所述第一設備根據所述第二設備隨機數一和所述第一映射密鑰對所述第二設備哈希值一進行認證，如果正確，則確定回復消息五給所述第二設備； 所述第一設備向所述第二設備發送消息五，所述消息五包含利用所述加密密鑰加密後的所述第一設備隨機數一，使得所述第二設備根據所述第一設備隨機數一和所述第二映射密鑰對所述第一設備哈希值一進行認證，如果正確，則確定回復消息六給所述第一設備； 所述第一設備接收所述消息六，所述消息六包含利用所述加密密鑰加密後的所述第二設備隨機數二，所述第一設備根據所述第二設備隨機數二和所述第一映射密鑰對所述第二設備哈希值二進行認證，如果正確，表示所述第一設備對所述第二設備認證成功，則確定回復消息七給所述第二設備； 所述第一設備向所述第二設備發送所述消息七，所述消息七包含利用所述加密密鑰加密後的所述第一設備隨機數二，使得所述第二設備根據所述第一設備隨機數二和所述第二映射密鑰對所述第一設備哈希值二進行認證，如果正確，表示所述第二設備對所述第一設備認證成功。
2.根據權利要求1所述的方法，其特徵在於，所述動態密鑰交換算法至少是DH算法，RSA算法，EIGamal算法的其中之一。
3.根據權利要求1或2所述的方法，其特徵在於，所述第一設備根據所述第二設備隨機數一和所述第一映射密鑰對所述第二設備哈希值一進行認證，包括:所述第一設備根據所述第二設備隨機數一和所述第一映射密鑰重構出第二設備哈希值三，比對所述第二設備哈希值三與所述消息四中的所述第二設備哈希值一，如果相同，則確定回復消息五給所述第二設備。
4.根據權利要求1-3任一所述的方法，其特徵在於，所述第一設備根據所述第二設備隨機數二和所述第一映射密鑰對所述第二設備哈希值二進行認證，包括，所述第一設備根據所述第二設備隨機數二和所述第一映射密鑰重構出第二設備哈希值四，比對所述第二設備哈希值四與所述消息四中的所述第二設備哈希值二，如果相同，則確定回復消息七給所述第二設備。
5.根據權利要求1-4任一所述的方法，其特徵在於，所述第一設備向第二設備發送消息一的步驟之前，還包括:所述第一設備生成並存儲映射密鑰列表，以使所述第一設備按預定規則在所述映射密鑰列表中選擇所述第一映射密鑰。
6.根據權利要求1-5任一所述的方法，其特徵在於，所述第一設備與所述第二設備互換，使所述第二設備執行所述第一設備的步驟，所述第一設備執行所述第二設備的步驟。
7.根據權利要求1-6任一所述的方法，其特徵在於，所述第一密鑰信息為所述第一設備的公鑰，或所述第一設備產生的隨機數；所述第二密鑰信息為所述第二設備的公鑰，或所述第二設備產生的隨機數。
8.一種安全認證的系統，所述系統應用於第一設備和第二設備，第一設備向第二設備發送消息一，所述消息一包含第一密鑰信息，使得所述第二設備接收所述消息一後，根據所述第一密鑰信息執行動態密鑰交換算法生成至少一個加密密鑰； 所述第一設備接收所述第二設備回復給所述第一設備的消息二，所述消息二包含第二密鑰信息，所述第一設備根據所述第二密鑰信息執行動態密鑰交換算法生成至少一個加密密鑰； 所述第一設備向所述第二設備發送消息三，所述消息三包含第一設備哈希值一和第一設備哈希值二，所述第一設備哈希值一是根據第一設備隨機數一和第一映射密鑰的第一部分生成，所述第一設備哈希值二是根據第一設備隨機數二和所述第一映射密鑰的第二部分生成，以使所述第二設備接收所述消息三後確定回復消息四給所述第一設備，所述第一映射密鑰根據所述第一設備的初始密鑰和第一預定算法生成； 所述第一設備接收所述第二設備發送的所述消息四，所述消息四包含第二設備哈希值一、第二設備哈希值二和加密的第二設備隨機數一，所述第二設備哈希值一是根據所述第二設備隨機數一和第二映射密鑰的第一部分生成，所述第二設備哈希值二是根據第二設備隨機數二和所述第二映射密鑰的第二部分生成，所述加密的第二設備隨機數一是利用所述加密密鑰對所述第二設備隨機數一加密，所述第二映射密鑰根據所述第二設備的初始密鑰和所述第一預定算法生成，所述第一設備根據所述第二設備隨機數一和所述第一映射密鑰對所述第二設備哈希值一進行認證，如果正確，則確定回復消息五給所述第二設備； 所述第一設備向所述第二設備發送消息五，所述消息五包含利用所述加密密鑰加密後的所述第一設備隨機數一，使得所述第二設備根據所述第一設備隨機數一和所述第二映射密鑰對所述第一設備哈希值一進行認證，如果正確，則確定回復消息六給所述第一設備； 所述第一設備接收所述消息六，所述消息六包含利用所述加密密鑰加密後的所述第二設備隨機數二，所述第一設備根據所述第二設備隨機數二和所述第一映射密鑰對所述第二設備哈希值二進行認證，如果正確，表示所述第一設備對所述第二設備認證成功，則確定回復消息七給所述第二設備； 所述第一設備向所述第二設備發送所述消息七，所述消息七包含利用所述加密密鑰加密後的所述第一設備隨機數二，使得所述第二設備根據所述第一設備隨機數二和所述第二映射密鑰對所述第一設備哈希值二進行認證，如果正確，表示所述第二設備對所述第一設備認證成功。
9.根據權利要求8所述的系統，其特徵在於，所述動態密鑰交換算法至少是DH算法，RSA算法，EIGamal算法的其中之一。
10.根據權利要求8或9所述的系統，其特徵在於，所述第一設備根據所述第二設備隨機數一和所述第一映射密鑰對所述第二設備哈希值一進行認證，包括:所述第一設備根據所述第二設備隨機數一和所述第一映射密鑰重構出第二設備哈希值三，比對所述第二設備哈希值三與所述消息四中的所述第二設備哈希值一，如果相同，則確定回復消息五給所述第二設備。
11.根據權利要求8-10任一所述的系統，其特徵在於，所述第一設備根據所述第二設備隨機數二和所述第一映射密鑰對所述第二設備哈希值二進行認證，包括，所述第一設備根據所述第二設備隨機數二和所述第一映射密鑰重構出第二設備哈希值四，比對所述第二設備哈希值四與所述消息四中的所述第二設備哈希值二，如果相同，則確定回復消息七給所述第二設備。
12.根據權利要求8-11任一所述的系統，其特徵在於，所述第一設備向第二設備發送消息一的步驟之前，還包括:所述第一設備生成並存儲映射密鑰列表，以使所述第一設備按預定規則在所述映射密鑰列表中選擇所述第一映射密鑰。
13.根據權利要求8-12任一所述的系統，其特徵在於，所述第一設備與所述第二設備互換，使所述第二設備執行所述第一設備的步驟。
14.根據權利要求8-13任一所述的系統，其特徵在於，所述第一密鑰信息為所述第一設備的公鑰，或所述 第一設備產生的隨機數；所述第二密鑰信息為所述第二設備的公鑰，或所述第二設備產生的隨機數。
15.一種安全認證的第一設備，用於與第二設備進行安全認證，所述第一設備包括通信模塊、認證模塊、密鑰生成模塊和控制模塊， 所述通信模塊向所述第二設備發送消息一，所述消息一包含第一密鑰信息，使得所述第二設備接收所述消息一後，根據所述第一密鑰信息執行動態密鑰交換算法生成至少一個加密密鑰； 所述通信模塊接收所述第二設備回復給所述第一設備的消息二，所述消息二包含第二密鑰信息，所述密鑰生成模塊根據所述第二密鑰信息執行動態密鑰交換算法生成至少一個加密密鑰； 所述通信模塊向所述第二設備發送消息三，所述消息三包含第一設備哈希值一和第一設備哈希值二，所述第一設備哈希值一是根據第一設備隨機數一和第一映射密鑰的第一部分生成，所述第一設備哈希值二是根據第一設備隨機數二和所述第一映射密鑰的第二部分生成，以使所述第二設備接收所述消息三後確定回復消息四給所述第一設備，所述第一映射密鑰由所述密鑰生成模塊根據所述第一設備的初始密鑰和第一預定算法生成； 所述通信模塊接收所述第二設備發送的所述消息四，所述消息四包含第二設備哈希值一、第二設備哈希值二和加密的第二設備隨機數一，所述第二設備哈希值一是根據所述第二設備隨機數一和第二映射密鑰的第一部分生成，所述第二設備哈希值二是根據第二設備隨機數二和所述第二映射密鑰的第二部分生成，所述加密的第二設備隨機數一是利用所述加密密鑰對所述第二設備隨機數一加密，所述第二映射密鑰根據所述第二設備的初始密鑰和所述第一預定算法生成，所述認證模塊根據所述第二設備隨機數一和所述第一映射密鑰對所述第二設備哈希值一進行認證，如果正確，所述控制模塊則確定回復消息五給所述第二設備； 所述通信模塊向所述第二設備發送消息五，所述消息五包含利用所述加密密鑰加密後的所述第一設備隨機數一，使得所述第二設備根據所述第一設備隨機數一和所述第二映射密鑰對所述第一設備哈希值一進行認證，如果正確，則確定回復消息六給所述第一設備； 所述通信模塊接收所述消息六，所述消息六包含利用所述加密密鑰加密後的所述第二設備隨機數二，所述認證模塊根據所述第二設備隨機數二和所述第一映射密鑰對所述第二設備哈希值二進行認證，如果正確，表示所述第一設備對所述第二設備認證成功，所述控制模塊則確定回復消息七給所述第二設備； 所述通信模塊向所述第二設備發送所述消息七，所述消息七包含利用所述加密密鑰加密後的所述第一設備隨機數二，使得所述第二設備根據所述第一設備隨機數二和所述第二映射密鑰對所述第一設備哈希值二進行認證，如果正確，表示所述第二設備對所述第一設備認證成功。
16.根據權利要求15所述的第一設備，其特徵在於，所述動態密鑰交換算法至少是DH算法，RSA算法，EIGamal算法的其中之一。
17.根據權利要求15或16所述的第一設備，其特徵在於，所述認證模塊根據所述第二設備隨機數一和所述第一映射密鑰對所述第二設備哈希值一進行認證，包括:所述認證模塊根據所述第二設備隨機數一和所述第一映射密鑰重構出第二設備哈希值三，比對所述第二設備哈希值三與所述消息四中的所述第二設備哈希值一，如果相同，所述控制模塊則確定回復消息五給所述第二設備。
18.根據權利要求15-17任一所述的第一設備，其特徵在於，所述認證模塊根據所述第二設備隨機數二和所述第一映射密鑰對所述第二設備哈希值二進行認證，包括，所述認證模塊根據所述第二設備隨機數二和所述第一映射密鑰重構出第二設備哈希值四，比對所述第二設備哈希值四與所述消息四中的所述第二設備哈希值二，如果相同，所述控制模塊則確定回復消息七給所述第二設備。
19.根據權利要求15-18任一所述的第一設備,其特徵在於,所述通信模塊向第二設備發送消息一之前，所述密鑰生成模塊生成並存儲映射密鑰列表，以使所述第一設備按預定規則在所述映射密鑰列表中選擇所述第一映射密鑰。
20.根據權利要求15-19任一所述的第一設備，其特徵在於，所述第一設備與所述第二設備互換，使所述第二設備具有所述通信模塊、所述認證模塊、所述密鑰生成模塊和所述控制模塊，並具有所述第一設備的功能。
21.根據權利要求15-19任一所述的第一設備，其特徵在於，所述第一密鑰信息為所述第一設備的公鑰，或所述第一設備產生的隨機數；所述第二密鑰信息為所述第二設備的公鑰，或所述第二設備產生的隨機數。
【文檔編號】H04W12/06GK103916851SQ201310003687
【公開日】2014年7月9日 申請日期:2013年1月6日 優先權日:2013年1月6日
【發明者】龐高昆, 丁志明 申請人:華為終端有限公司