(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111501201.6 (22)申请日 2021.12.09 (71)申请人 北京计算机技 术及应用研究所 地址 100854 北京市海淀区永定路51号西 工业区96号楼 (72)发明人 秦蕾　叶青　李杨　张帆　姜志祥　 陈玺　李旭　冯烽　 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/32(2006.01) H04L 9/40(2022.01) G06K 17/00(2006.01) (54)发明名称 一种读写器与电子标签的双向身份认证方 法及设备 (57)摘要 本说明书实施例公开了一种读写器与电子 标签的双向身份认证方法及设备， 包括： 读写器 生成公私钥对， 利用证书授权中心(CA)进行证书 发布； 密钥管理中心(KMC)利用标识密码算法生 成电子标签的公私钥对， 将其托管到密钥托管中 心(KEC)存储； 密钥管理 中心(KMC)生成所述电子 标签的加解密密钥， 并将其存放至密钥托管中心 (KEC)； 密钥托管中心(KEC)基于身份标识算法， 代替电子标签完成与 读写器的双向身份认证。 本 发明利用密钥托管中心KEC代替计算和存储能力 有限的电子标签实现与计算资源相对丰富的读 写器进行双向身份认证， 保证了通信双方的身份 可信度。 权利要求书2页 说明书7页 附图2页 CN 114205082 A 2022.03.18 CN 114205082 A 1.一种读写器与电子标签的双向身份认证方法， 其特 征在于， 包括： 读写器生成公私钥对， 利用证书授权中心(CA)进行证书发布； 密钥管理中心(KMC)利用标识密码算法生成电子标签的公私钥对， 将其托管到密钥托 管中心(KE C)存储； 密钥管理中心(KMC)生成所述电子标签的加解密密钥， 并将其存放至密钥托管中心 (KEC)； 密钥托管中心(KE C)基于身份标识算法， 代替电子标签完成与读写器的双向身份认证。 2.如权利要求1所述的方法， 其特征在于， 基于PKI及IBC两种证书生成算法， 生成读写 器公钥证书和电子标签身份标识证书。 3.如权利要求1所述的方法， 其特征在于， 读写器生成公私钥对， 利用证书授权中心 (CA)进行证书发布， 具体包括： 读写器在本地生成一个公私密钥对， 并向证书授权中心(CA)或者数字证书注册中心 (RA)提交证书申请； 所述证书授权中心(CA)对所述证书申请进行审核检查， 检查无误后对证书进行签署和 发布。 4.如权利要求1所述的方法， 其特征在于， 密钥管理中心(KMC)利用标识密码算法生成 电子标签的公私钥对， 具体包括： 密钥管理中心(KMC)利用标识密码算法将电子标签的唯一标签识别号TID作为所述电 子标签的公钥， 并生成与之对应的私钥。 5.如权利要求1所述的方法， 其特征在于， 密钥管理中心(KMC)生成所述电子标签的加 解密密钥， 具体包括： 密钥管理中心(KMC)建立对称密钥体系的根密钥， 利用所述电子标签的TID进行对称密 钥的逐级分散， 利用H MAC进行密钥的保密性和完整性保护。 6.如权利要求1所述的密钥生成方法， 其特征在于， 在密钥管理中心(KMC)生成所述电 子标签的加解密 密钥， 并将其存放至密钥托管中心(KE C)之前， 所述方法还 包括： RFID制卡终端在本地利用非对称算法生成公私钥 对， 利用证书授权中心(CA)进行证书 发布； 制卡终端读取电子标签的TID信息， 并将制卡数据利用对称算法加密后， 以密文形式写 入电子标签的存 储区； 制卡终端将 读取到的电子标签的TID标识发给密钥管理中心(KM C)。 7.如权利 要求1所述的方法， 其特征在于， 密钥托管中心(KEC)基于身份标识算法， 代替 电子标签完成与读写器的双向身份认证， 具体包括： 密钥托管中心(KEC)和 读写器之间利用标识密码算法公钥算法， 获取彼此的公钥证书， 验证证书签名的有效性、 验证证书的有效期、 提取证书公钥、 采用挑战/应答模式的认证协 议验证双方身份； 密钥托管中心(KEC)和读写器根据预先协商的验签算法， 产生随机数， 密钥托管中心 (KEC)利用电子标签的私钥进行 数字签名； 所述读写器根据证书标识和发行 方公共参数进行运 算， 得到验证结果。 8.如权利 要求1所述的方法， 其特征在于， 密钥托管中心(KEC)基于身份标识算法， 代替权　利　要　求　书 1/2 页 2 CN 114205082 A 2电子标签完成与读写器的双向身份认证， 具体包括： 读写器读取电子标签的TID和存 储的标签数据密文； 读写器发送电子标签的TID， 向密钥托管中心(KE C)要求验证电子标签的身份； 密钥托管中心(KEC)和读写器基于身份标识算法进行验证， 密钥托管中心用电子标签 的私钥进行签名， 读写器利用TID进行身份验证； 密钥托管中心(KE C)和读写器 基于PKI公钥算法进行验证； 密钥托管中心(KEC)和读写器双方协商会话密钥， 读写器向(KEC)发送从所述电子标签 读取到的密文数据， (KE C)利用所述电子标签的对称密钥解密后将数据发回给读写器。 9.如权利 要求8所述的方法， 其特征在于， 所述密钥托管中心(KEC)和 读写器基于PKI公 钥算法进行验证， 具体包括： 密钥托管中心(KEC)代替电子标签验证读写器的身份， 双方基于公钥算法进行验证， 读 写器用私钥签名， 密钥托管中心(KE C)利用公钥进行验证， 确定读写器的身份。 10.一种读写器与电子标签的双向身份认证设备， 包括： 至少一个处 理器； 以及， 与所述至少一个处 理器通信连接的存 储器； 其中， 所述存储器存储有可被所述至少一个处理器执行的指令， 所述指令被所述至少一个处 理器执行， 以使所述至少一个处 理器能够： 读写器生成公私钥对， 利用证书授权中心(CA)进行证书发布； 密钥管理中心(KMC)利用标识密码算法生成电子标签的公私钥对， 将其托管到密钥托 管中心(KE C)存储； 密钥管理中心(KMC)生成所述电子标签的加解密密钥， 并将其存放至密钥托管中心 (KEC)； 密钥托管中心(KE C)基于身份标识算法， 代替电子标签完成与读写器的双向身份认证。权　利　要　求　书 2/2 页 3 CN 114205082 A 3