[发明专利]双向认证方法及系统

说明书

本发明公开了一种双向认证方法及系统，其中，方法包括：由客户端发起双向认证交易请求，将认证因子发送给服务端；所述服务端接收所述认证因子，并利用服务端Z算法根据所述认证因子生成服务端认证消息，并生成挑战值；利用客户端Z算法根据所述认证因子生成客户端验证消息，将所述客户端验证消息与所述服务端认证消息进行比对，当两者相同时客户端认证通过；利用客户端Z算法根据所述挑战值和所述认证因子生成客户端认证消息；利用服务端Z算法根据所述挑战值和所述认证因子生成服务端验证消息，将所述服务端验证消息与所述客户端认证消息进行比对，当两者相同时，服务端认证通过。本发明能够在轻量化的应用场景和开放终端上使用。

技术领域

本发明涉及信息安全领域，具体地，涉及一种双向认证方法及系统。

背景技术

身份认证技术在信息安全领域中起着非常重要的作用，是保证系统安全的重要措施之一。常见的双向认证技术基于公私钥体系，多用于SSL协议中进行密钥协商以及传输层的加密，实现手段是通过PKI证书体系，实现客户端与服务端的双向身份认证机制，通过客户端与服务端交换公钥证书后，使用对方公钥证书验证对方身份，建立https的加密连接。这种机制应用在应用层的身份认证较少，由于基于PKI体系的双向身份认证技术，需要针对客户端和服务端管理PKI证书等原因应用推广受限。

发明内容

鉴于以上问题，本发明的目的是提供一种双向认证方法及系统，以解决双向认证机制应用推广受限的问题。

为了实现上述目的，本发明的一个方面是提供一种双向认证方法，包括：

由客户端发起双向认证交易请求，将认证因子发送给服务端；

所述服务端接收所述认证因子，并利用服务端Z算法根据所述认证因子生成服务端认证消息，并生成挑战值，并将所述服务端认证消息和所述挑战值发送给所述客户端；

所述客户端接收所述服务端认证消息，并利用客户端Z算法根据所述认证因子生成客户端验证消息，将所述客户端验证消息与所述服务端认证消息进行比对，当两者相同时客户端认证通过；

利用客户端Z算法根据所述挑战值和所述认证因子生成客户端认证消息，并将所述客户端认证消息发送给所述服务端；

所述服务端接收所述客户端认证消息，并利用服务端Z算法根据所述挑战值和所述认证因子生成服务端验证消息，将所述服务端验证消息与所述客户端认证消息进行比对，当两者相同时，服务端认证通过，将认证结果发送给所述客户端。

优选地，所述服务端Z算法形态为密钥和算法形态；所述客户端Z算法形态为可执行文件的白盒态。

优选地，所述认证因子包括用户信息、设备信息、业务信息和当前时间戳中的一种以上。

优选地，利用所述服务端Z算法根据所述认证因子生成服务端认证消息时，使用以下算式1计算：

A＝Z_S(Z_S(Z_S(SM3(M))+P)+D) (算式1)

其中，A表示服务端认证消息，Z_S表示服务端Z算法，SM3表示国密标准HASH算法，M表示业务信息，P表示用户信息，D表示设备信息，+表示字符串拼接；

利用客户端Z算法根据所述认证因子生成客户端验证消息时，使用以下算式2计算：

A’＝Z_C(Z_C(Z_C(SM3(M))+P)+D) (算式2)

其中，A’表示客户端验证消息，Z_C表示客户端Z算法，SM3表示国密标准HASH算法，M表示业务信息，P表示用户信息，D表示设备信息，+表示字符串拼接。