[发明专利]鉴权和密钥协商方法、认证方法、系统及设备

权利要求书

1. 一种鉴权和密钥协商方法，其特征在于，包含以下步骤：

网络侧收到终端的认证请求时，根据与该终端的共享密钥、一个随机数、和代表网络侧当前系统时间的第一序列号生成第一认证码，将该随机数、第一序列号和第一认证码发送给所述终端；

所述终端对收到的随机数、第一序列号和第一认证码进行验证，如满足以下条件则认定所述网络侧合法：

根据与所述网络侧的共享密钥、所述随机数和第一序列号生成的第二认证码与所述第一认证码相同；

代表终端侧当前系统时间的第二序列号与所述第一序列号的差值满足预定条件；

所述终端认定所述网络侧合法后，根据与所述网络侧的共享密钥和随机数生成响应值，发送给所述网络侧；

如果所述网络侧对所述响应值验证成功，则认定所述终端合法。

2. 根据权利要求1所述的鉴权和密钥协商方法，其特征在于，所述第一序列号和第二序列号的长度小于或等于48比特；或

所述第一序列号和第二序列号均包含两部分，第一部分的长度小于或等于48比特，第二部分的长度小于或等于16比特。

3. 根据权利要求1所述的鉴权和密钥协商方法，其特征在于，所述预定条件为：

所述第二序列号与所述第一序列号的差值的绝对值小于预定门限；或

所述第二序列号与所述第一序列号的差值在预定范围内。

4. 根据权利要求1所述的鉴权和密钥协商方法，其特征在于，所述终端在发送所述认证请求之前，或所述网络侧在生成所述第一认证码之前，确保所述终端和所述网络侧的系统时钟同步。

5. 根据权利要求1所述的鉴权和密钥协商方法，其特征在于，所述网络侧通过以下方式验证所述响应值：

所述网络侧根据与所述终端的共享密钥和所述随机数生成响应验证值，如果该响应验证值与所述响应值相同，则所述验证成功。

6. 根据权利要求1所述的鉴权和密钥协商方法，其特征在于，还包含以下步骤：

所述网络侧在生成所述第一认证码时，还根据与所述终端的共享密钥和所述随机数生成完整性密钥和加密密钥；

所述终端认定所述网络侧合法后，还根据与所述网络侧的共享密钥和所述随机数生成所述完整性密钥和加密密钥；

如果所述网络侧认定所述终端合法，则该网络侧和该终端通过所述完整性密钥和加密密钥进行数据传输。

7. 根据权利要求1至6中任一项所述的鉴权和密钥协商方法，其特征在于，如果所述终端验证得到所述第二序列号与所述第一序列号的差值不满足预定条件，则还包含以下步骤：

所述终端将所述第二序列号发送给所述网络侧；

所述网络侧根据所述第二序列号代表的系统时间进行所述终端与该网络侧的时钟同步过程。

8. 一种鉴权和密钥协商系统，包含网络侧和终端，其特征在于，所述网络侧包含：第一生成单元，用于在收到所述终端的认证请求时，根据与该终端的共享密钥、一个随机数、和代表网络侧当前系统时间的第一序列号生成第一认证码；

发送单元，用于将所述随机数、第一序列号和所述第一生成单元生成的第一认证码发送给所述终端；

所述终端包含：接收单元，用于从所述网络侧接收所述随机数、第一序列号和第一认证码；

第二生成单元，用于根据与所述网络侧的共享密钥和所述接收单元收到的随机数，生成第二认证码和响应值；

发送单元，用于将所述响应值发送给所述网络侧；

验证单元，用于对所述接收单元收到的所述随机数、第一序列号和第一认证码进行验证，在所述第二生成单元生成的第二认证码与所述第一认证码相同，且代表终端侧当前系统时间的第二序列号与所述第一序列号的差值满足预定条件时，认定所述网络侧合法；

所述第二生成单元在所述验证单元认定所述网络侧合法后，根据与所述网络侧的共享密钥和所述随机数生成所述响应值。

9. 根据权利要求8所述的鉴权和密钥协商系统，其特征在于，所述第一序列号和第二序列号的长度小于或等于48比特；或

所述第一序列号和第二序列号均包含两部分，第一部分的长度小于或等于48比特，第二部分的长度小于或等于16比特。