一种多TTP参与的实体身份有效性验证方法及装置制造方法及图纸

本发明专利技术涉及一种多TTP参与的实体身份有效性验证方法和装置，方法包括：实体B发送消息1到实体A，实体A收到消息1后，向可信第三方TTPA发送消息2，TTPA收到消息2后验证实体A身份合法性，并向TTPB发送消息3，TTPB收到消息3后验证消息3中TTPA的第一签名，并向TTPA发送消息4，TTPA收到消息4后验证消息4中TTPB的第一签名，并向实体A发送消息5，实体A收到消息5后构造消息6发给实体B，实体B收到消息6后验证实体A身份的有效性。本发明专利技术实现了分别信任不同可信第三方的实体间的身份有效性验证。

【技术实现步骤摘要】

本专利技术涉及实体身份有效性验证方法及装置，尤其是有多可信第三方参与的实体身份有效性验证方法及装置。
技术介绍
在实体之间的身份有效性验证方法中，有一类需要可信第三方TTP参与并提供验证服务的方法，这类方法中，存在一个身份有效性验证双方共同信任的TTP，其用于为参与身份有效性验证的双方提供验证服务，通过将验证结果反馈给参与身份有效性验证的双方实体，从而帮助实体之间完成对彼此身份的有效性验证。但这类方法并不能指导本领域技术人员完成一些特定环境下的身份有效性验证工作。所述的特定身份有效性验证环境例如：分别信任不同可信第三方TTP的实体之间对彼此身份有效性进行验证，且又同时需要可信第三方参与并提供验证的环境。这样，就需要一种实体身份有效性验证方法，用于解决上述问题。
技术实现思路
为解决
技术介绍
中提到的问题，本专利技术提供一种包括两个TTP参与的实体身份有效性验证的方法，为实体B验证实体A的身份有效性提供服务。一种多TTP参与的实体身份有效性验证方法，涉及实体A、实体B、可信第三方TTPA和可信第三方TTPB，实体A的身份有效性能被TTPA验证，实体B的身份有效性能被TTPB验证，实体A信任TTPA，实体B信任TTPB，其特征在于，所述方法包括以下步骤：1)实体B发送消息1到实体A，消息1包括实体B产生的随机数RB；2)实体A收到消息1后，向可信第三方TTPA发送消息2，消息2包括实体A的身份信息IA、实体A产生的随机数RA以及实体B的随机数RB；3)可信第三方TTPA收到实体A发送的消息2后，根据IA验证实体A的身份，并向可信第三方TTPB发送消息3，消息3包括ResA、TTPA产生的随机数RTPA以及权标TokenTPAB，其中，ResA为TTPA对实体A的验证结果，TokenTPAB中包含TTPA的签名，TTPA的签名的签名对象包括ResA和RB；4)TTPB收到TTPA发送的消息3后，验证TokenTPAB中TTPA的签名，验证通过后，向TTPA返回消息4，消息4包括RTPA和权标TokenTPBA，其中，TokenTPBA包含TTPB的签名，TTPB的签名的签名对象包括ResA和RB；5)TTPA收到TTPB发送的消息4后，验证包含在TokenTPBA中TTPB的签名，验证通过后，检查从消息4中得到的RTPA是否与自己在消息3中发送给TTPB的随机数RTPA一致，若一致，TTPA构造消息5发送给实体A，消息5包括权标TokenTA，其中，TokenTA包含TTPB的签名；6)实体A收到来自TTPA的消息5后，构造消息6发送给实体B，消息6包括TokenTA；7)实体B收到消息6后，验证TTPB的签名，验证通过后，检查从消息6中得到的RB是否与自己在消息1中发送给实体A的随机数RB一致，若一致，实体B根据验证结果ResA判断实体A身份的有效性。一种第一实体身份有效性验证装置，用于在第一可信第三方装置和第二可信第三方装置的参与下，与第二实体身份有效性验证装置进行身份有效性验证，所述第一实体身份有效性验证装置包括存储单元、收发单元和处理单元，其中：处理单元用于产生随机数RA；存储单元用于存储所述第一实体身份有效性验证装置的身份信息IA；收发单元用于接收所述第二实体身份有效性验证装置发送的消息1，并用于向所述第一可信第三方装置发送消息2，所述消息1包括所述第二实体身份有效性验证装置产生的随机数RB，所述消息2包括IA、RA和RB；收发单元还用于接收所述第一可信第三方装置发送的消息5，并用于向所述第二实体身份有效性验证装置发送消息6，所述消息5包括权标TokenTA，其中，TokenTA包含所述第二可信第三方装置的签名，所述第二可信第三方装置的签名的签名对象包括ResA和RB，ResA为所述第一可信第三方装置对所述第一实体身份有效性验证装置的验证结果，所述消息6包括TokenTA；处理单元还用于构造所述消息6。一种第二实体身份有效性验证装置，用于在第一可信第三方装置和第二可信第三方装置的参与下，与第一实体身份有效性验证装置进行身份有效性验证，所述第二实体身份有效性验证装置包括收发单元和处理单元，其中：处理单元用于产生随机数RB；收发单元用于发送消息1，并用于接收所述第一实体身份有效性验证装置发送的消息6，所述消息1包括RB，所述消息6包括权标TokenTA，其中，TokenTA包含所述第二可信第三方装置的签名，所述第二可信第三方装置的签名的签名对象包括ResA和RB，ResA为所述第一可信第三方装置对所述第一实体身份有效性验证装置的验证结果；处理单元还用于验证所述第二可信第三方装置的签名，检查从消息6中得到的RB是否与自己在消息1中发送给所述第一实体身份有效性验证装置的随机数RB一致，以及根据验证结果ResA判断所述第一实体身份有效性验证装置身份的有效性。一种第一可信第三方装置，用于与第二可信第三方装置一起，参与第一实体身份有效性验证装置和第二实体身份有效性验证装置之间的身份有效性验证，所述第一可信第三方装置包括收发单元和处理单元，其中：收发单元用于接收所述第一实体身份有效性验证装置发送的消息2，所述消息2包括所述第一实体身份有效性验证装置的身份信息IA、所述第一实体身份有效性验证装置产生的随机数RA以及所述第二实体身份有效性验证装置产生的随机数RB；处理单元用于根据所述IA验证所述第一实体身份有效性验证装置的身份；收发单元还用于向所述第二可信第三方装置发送消息3，所述消息3包括ResA、所述第一可信第三方装置产生的随机数RTPA以及权标TokenTPAB，其中，ResA为所述第一可信第三方装置对所述第一实体身份有效性验证装置的验证结果，TokenTPAB中包含所述第一可信第三方装置的签名，所述第一可信第三方装置的签名的签名对象包括ResA和RB；收发单元还用于接收所述第二可信第三方装置发送的消息4，所述消息4包括RTPA和权标TokenTPBA，其中，TokenTPBA包含所述第二可信第三方装置的签名，所述第二可信第三方装置的签名的签名对象包括ResA和RB；处理单元还用于验证包含在TokenTPBA中所述第二可信第三方装置的签名，检查从消息4中得到的RTPA是否与自己在消息3中发送给所述第二可信第三方装置的随机数RTPA一致，以及构造消息5，所述消息5包括权标TokenTA，其中，TokenTA包含所述第二可信第三方装置的签名；收发单元还用于向所述第一实体身份有效性验证装置发送所述消息5。一种第二可信第三方装置，用于与第一可信第三方装置一起，参与第一实体身份有效性验证装置和第二实体身份有效性验证装置之间的身份有效性验证，所述第二可信第三方装置包括收发单元和处理单元，其中：收发单元用于接收所述第一可信第三方装置发送的消息3，所述消息3包括ResA、所述第一可信第三方装置产生的随机数RTPA以及权标TokenTPAB，其中，ResA为所述第一可信第三方装置对所述第一实体身份有效性验证装置的验证结果，TokenTPAB中包含所述第一可信第三方装置的签名，所述第一可信第三方装置的签名的签名对象包括ResA和RB，RB为所述第二实体身份有效性验证装置产生的随机数本文档来自技高网...

【技术保护点】
一种多TTP参与的实体身份有效性验证方法，涉及实体A、实体B、可信第三方TTPA和可信第三方TTPB，实体A的身份有效性能被TTPA验证，实体B的身份有效性能被TTPB验证，实体A信任TTPA，实体B信任TTPB，其特征在于，所述方法包括以下步骤：1)实体B发送消息1到实体A，消息1包括实体B产生的随机数RB；2)实体A收到消息1后，向可信第三方TTPA发送消息2，消息2包括实体A的身份信息IA、实体A产生的随机数RA以及实体B的随机数RB；3)可信第三方TTPA收到实体A发送的消息2后，根据IA验证实体A的身份，并向可信第三方TTPB发送消息3，消息3包括ResA、TTPA产生的随机数RTPA以及权标TokenTPAB，其中，ResA为TTPA对实体A的验证结果，TokenTPAB中包含TTPA的签名，TTPA的签名的签名对象包括ResA和RB；4)TTPB收到TTPA发送的消息3后，验证TokenTPAB中TTPA的签名，验证通过后，向TTPA返回消息4，消息4包括RTPA和权标TokenTPBA，其中，TokenTPBA包含TTPB的签名，TTPB的签名的签名对象包括ResA和RB；5)TTPA收到TTPB发送的消息4后，验证包含在TokenTPBA中TTPB的签名，验证通过后，检查从消息4中得到的RTPA是否与自己在消息3中发送给TTPB的随机数RTPA一致，若一致，TTPA构造消息5发送给实体A，消息5包括权标TokenTA，其中，TokenTA包含TTPB的签名；6)实体A收到来自TTPA的消息5后，构造消息6发送给实体B，消息6包括TokenTA；7)实体B收到消息6后，验证TTPB的签名，验证通过后，检查从消息6中得到的RB是否与自己在消息1中发送给实体A的随机数RB一致，若一致，实体B根据验证结果ResA判断实体A身份的有效性。...

【技术特征摘要】
1.一种多TTP参与的实体身份有效性验证方法，涉及实体A、实体B、可信第三方TTPA和可信第三方TTPB，实体A的身份有效性能被TTPA验证，实体B的身份有效性能被TTPB验证，实体A信任TTPA，实体B信任TTPB，其特征在于，所述方法包括以下步骤：1)实体B发送消息1到实体A，消息1包括实体B产生的随机数RB；2)实体A收到消息1后，向可信第三方TTPA发送消息2，消息2包括实体A的身份信息IA、实体A产生的随机数RA以及实体B的随机数RB；3)可信第三方TTPA收到实体A发送的消息2后，根据IA验证实体A的身份，并向可信第三方TTPB发送消息3，消息3包括ResA、TTPA产生的随机数RTPA以及权标TokenTPAB，其中，ResA为TTPA对实体A的验证结果，TokenTPAB中包含TTPA的签名，TTPA的签名的签名对象包括ResA和RB；4)TTPB收到TTPA发送的消息3后，验证TokenTPAB中TTPA的签名，验证通过后，向TTPA返回消息4，消息4包括RTPA和权标TokenTPBA，其中，TokenTPBA包含TTPB的签名，TTPB的签名的签名对象包括ResA和RB；5)TTPA收到TTPB发送的消息4后，验证包含在TokenTPBA中TTPB的签名，验证通过后，检查从消息4中得到的RTPA是否与自己在消息3中发送给TTPB的随机数RTPA一致，若一致，TTPA构造消息5发送给实体A，消息5包括权标TokenTA，其中，TokenTA包含TTPB的签名；6)实体A收到来自TTPA的消息5后，构造消息6发送给实体B，消息6包括TokenTA；7)实体B收到消息6后，验证TTPB的签名，验证通过后，检查从消息6中得到的RB是否与自己在消息1中发送给实体A的随机数RB一致，若一致，实体B根据验证结果ResA判断实体A身份的有效性。2.根据权利要求1所述的实体身份有效性验证方法，其特征在于：步骤3)中，所述可信第三方TTPA收到实体A发送的消息2后，根据IA验证实体A的身份，具体包括：如果IA是实体A的区分符，则TTPA提取实体A的公钥PA，此时ResA中
\t包括PA；如果IA是实体A的证书CertA，则TTPA检查CertA的有效性，此时ResA中包括CertA的有效性状态；如果实体A的公钥或证书的有效性不能被TTPA获得，此时ResA中包括表示验证失败的内容。3.根据权利要求1所述的实体身份有效性验证方法，其特征在于：在所述步骤5)中，TTPA从消息4中得到RTPA的具体方式是：如果TTPA验证TTPB的签名时能够从该签名中恢复RTPA，则TTPA在验证TTPB的签名通过后从该签名中直接恢复RTPA；如果TTPA验证TTPB的签名时不能够从该签名中恢复RTPA，则消息4中还进一步包括RTPA字段，TTPA从消息4中直接获取RTPA；在所述步骤7)中，实体B从消息6中得到RB的具体方式是：如果实体B验证TTPB的签名时能够从该签名中恢复RB，则实体B在验证TTPB的签名通过后从该签名中直接恢复RB；如果实体B验证TTPB的签名时不能够从该签名中恢复RB，则消息6中还进一步包括RB字段，实体B从消息6中直接获取RB。4.根据权利要求1-3中任意一项所述的实体身份有效性验证方法，其特征在于：所述步骤3)、4)及5)中的RTPA被RA代替。5.一种第一实体身份有效性验证装置，用于在第一可信第三方装置和第二可信第三方装置的参与下，与第二实体身份有效性验证装置进行身份有效性验证，所述第一实体身份有效性验证装置包括存储单元、收发单元和处理单元，其特征在于：处理单元用于产生随机数RA；存储单元用于存储所述第一实体身份有效性验证装置的身份信息IA；收发单元用于接收所述第二实体身份有效性验证装置发送的消息1，并用于向所述第一可信第三方装置发送消息2，所述消息1包括所述第二实体身份有效性验证装置产生的随机数RB，所述消息2包括IA、RA和RB；收发单元还用于接收所述第一可信第三方装置发送的消息5，并用于向所述第二实体身份有效性验证装置发送消息6，所述消息5包括权标TokenTA，其中，
\tTokenTA包含所述第二可信第三方装置的签名，所述第二可信第三方装置的签名的签名对象包括ResA和RB，ResA为所述第一可信第三方装置对所述第一实体身份有效性验证装置的验证结果，所述消息6包括TokenTA；处理单元还用于构造所述消息6。6.一种第二实体身份有效性验...

【专利技术属性】
技术研发人员：杜志强，张变玲，李琴，颜湘，张国强，
申请(专利权)人：西安西电捷通无线网络通信股份有限公司，
类型：发明
国别省市：陕西;61