[发明专利]主站与终端的认证方法、主站、终端及存储介质

权利要求书

1.一种主站与终端的认证方法，其特征在于，包括以下步骤：

在主站与终端初次认证之前，所述主站与所述终端进行会话密钥协商；

在进行会话密钥协商时，所述主站向所述终端发送第一协商报文以启动会话密钥协商流程；其中，所述第一协商报文包括会话密钥协商标识、第三非对称密钥索引、第三对称密钥索引和第三数据报文，所述第三数据报文包括所述主站的ID、所述终端的ID和所述主站利用所述第三非对称密钥索引对所述主站和所述终端的ID进行数字签名生成的第三签名信息；所述第一协商报文用于指示所述终端利用所述第三非对称密钥索引验证所述第三签名信息，若验证通过，所述终端利用所述第三对称密钥索引对第二随机数使用密钥协商算法进行操作，生成第二会话密钥，并利用所述第三非对称密钥索引对所述第二会话密钥和所述主站的ID进行数字签名形成第四签名信息；将所述第四签名信息和所述第二随机数合并成第一协商响应报文；

所述主站接收所述终端发送的第一协商响应报文；其中，所述主站验证所述第二随机数的正确性，若验证通过，保存所述第二随机数，并利用所述第三对称密钥索引对所述第二随机数使用会话密钥算法生成第一会话密钥；至此，所述主站与所述终端之间完成会话密钥的协商；其中，所述第一会话密钥是根据用户需求采用不同安全等级和安全强度的算法生成的；

在获得所述第一会话密钥后，所述主站向所述终端发送第一认证报文，所述第一认证报文包括第一认证标识、第一非对称密钥索引、第一对称密钥索引和第一数据报文，所述第一数据报文包括所述主站生成的第一随机数和所述主站利用所述第一会话密钥对所述第一随机数进行加密生成的第一加密密文；其中，所述终端利用所述第一对称密钥索引对所述第一加密密文进行解密得到第三随机数，并若第三随机数与第一随机数相同，利用第一非对称密钥索引对第一随机数和密钥协商过程中终端生成的第二随机数进行数字签名生成第一签名信息；

所述主站接收所述终端发送的第一认证响应报文，所述第一认证响应报文包括所述第一签名信息；

所述主站验证所述第一签名信息的正确性，并在验证通过后完成对所述终端的认证。

2.根据权利要求1所述的主站与终端的认证方法，其特征在于，在获得所述第一会话密钥后，所述主站向所述终端发送第二认证报文，所述第二认证报文包括第二认证标识、第二非对称密钥索引、第二对称密钥索引和第二数据报文，所述第二数据报文包括所述主站利用所述第二非对称密钥索引对所述第二随机数进行数字签名生成的第二签名信息和所述主站利用所述第一会话密钥对所述第二随机数进行加密生成的第二加密密文，以便所述终端在验证所述第二签名信息和所述第二随机数正确后完成对所述主站的认证。

3.根据权利要求1或2所述的主站与终端的认证方法，其特征在于，在所述认证完成后，所述方法还包括：

所述主站利用所述第一会话密钥进行数据的加解密处理，并判断所述第一会话密钥的生命周期是否达到预设生命周期；

如果是，所述主站则重新向所述终端发起所述会话密钥协商。

4.根据权利要求3所述的主站与终端的认证方法，其特征在于，所述主站判断所述第一会话密钥的生命周期是否达到预设生命周期，包括：

所述主站判断所述主站与所述终端的通信次数是否达到预设次数；

如果是，则判定所述第一会话密钥的生命周期达到所述预设生命周期。