阅读说明：本技术 一种轻量级鉴别方法及系统 (Lightweight identification method and system ) 是由 陆舟 于华章 于 2019-10-24 设计创作，主要内容包括：本发明公开一种轻量级鉴别方法及系统,该方法包括：第二装置接收第一装置发送的第二鉴别请求消息,第二装置对第一装置进行鉴别,如鉴别成功则第二装置生成第二鉴别响应消息并发送给第一装置,如鉴别失败则丢弃第二鉴别请求消息；第一装置根据第二鉴别响应消息对第二装置进行鉴别,如鉴别成功则第一装置对第二装置鉴别成功,如鉴别失败则丢弃第二鉴别响应消息。该方法通过降低鉴别过程中的计算和通信复杂度实现装置之间身份真实性的确认,具有计算资源占用少、交互信息少、耗时短和所需存储空间少的优点。(The invention discloses a lightweight identification method and a system, wherein the method comprises the following steps: the second device receives a second authentication request message sent by the first device, authenticates the first device, generates a second authentication response message and sends the second authentication response message to the first device if the authentication is successful, and discards the second authentication request message if the authentication is failed; and the first device authenticates the second device according to the second authentication response message, if the authentication is successful, the first device successfully authenticates the second device, and if the authentication is failed, the second authentication response message is discarded. The method realizes the confirmation of the identity authenticity between the devices by reducing the calculation and communication complexity in the authentication process, and has the advantages of less calculation resource occupation, less interaction information, short time consumption and less required storage space.)

一种轻量级鉴别方法及系统

技术领域

本发明涉及信息安全领域，尤其涉及一种轻量级鉴别方法及系统。

背景技术

在无线传感器网络、射频识别、近场通信等资源受限的应用场景下，现有技术的鉴别存在步骤多、过程繁琐、计算量大、耗时长和占用资源多等问题，故亟待提供一种轻量级鉴别方法。

发明内容

本发明的目的是为了克服现有技术的不足，提供一种轻量级鉴别方法及系统。

本发明提供了一种轻量级鉴别方法，包括：

步骤S1：第二装置接收第一装置发送的第二鉴别请求消息，所述第二装置对所述第一装置进行鉴别，如鉴别成功则执行步骤S2，如鉴别失败则丢弃所述第二鉴别请求消息；

步骤S2：所述第二装置生成第二鉴别响应消息并发送给所述第一装置；

步骤S3：所述第一装置根据第二鉴别响应消息对所述第二装置进行鉴别，如鉴别成功则所述第一装置对所述第二装置鉴别成功，如鉴别失败则丢弃所述第二鉴别响应消息；

所述步骤S1之前还包括：

步骤S01：第一装置发送第一鉴别请求消息给第二装置，所述第一鉴别请求消息包括所述第一装置的身份标识、预存的用于密钥交换的公共参数；

步骤S02：所述第二装置生成第二随机数并保存，根据所述第二随机数生成第一鉴别响应消息，发送所述第一鉴别响应消息给所述第一装置；

步骤S03：所述第一装置生成第一随机数并保存，生成第一临时密钥对和第一基密钥，根据所述第一基密钥导出第一完整性校验密钥；

步骤S04：所述第一装置生成第二鉴别请求消息并发送给所述第二装置。

本发明提供了一种轻量级鉴别系统，包括：第一装置和第二装置；

所述第二装置包括：

第二接收模块，用于接收所述第一装置发送的第二鉴别请求消息；

第二鉴别模块，用于所述第二装置对所述第一装置进行鉴别，如鉴别成功则触发第二生成模块，如鉴别失败则丢弃所述第二鉴别请求消息；

所述第二生成模块，用于生成第二鉴别响应消息；

第二发送模块，用于发送所述第二生成模块生成的第二鉴别响应消息给所述第一装置；

所述第一装置包括：

第一接收模块，用于接收所述第二装置发送的第二鉴别响应消息；

第一鉴别模块，用于根据第二鉴别响应消息对所述第二装置进行鉴别，如鉴别成功则所述第一装置对第二装置鉴别成功，如鉴别失败则丢弃所述第二鉴别响应消息；

所述第一装置还包括：

第一发送模块，用于发送第一鉴别请求消息给所述第二装置，所述第一鉴别请求消息包括所述第一装置的身份标识、预存的用于密钥交换的公共参数；还用于发送第二鉴别请求消息给所述第二装置；

所述第一接收模块，还用于接收所述第二装置发送的第一鉴别响应消息；

第一生成模块，用于生成第一随机数并保存，生成第一临时密钥对和第一基密钥，根据所述第一基密钥导出第一完整性校验密钥；还用于生成第二鉴别请求消息；

所述第二装置还包括：

所述第二接收模块，还用于接收第一装置发送的第一鉴别请求消息；

所述第二生成模块，还用于生成第二随机数并保存，根据所述第二随机数生成第一鉴别响应消息；

所述第二发送模块，还用于发送第二生成模块生成的第一鉴别响应消息给所述第一装置。

本发明与现有技术相比，具有以下优点：

本发明的轻量级鉴别方法通过降低鉴别过程中的计算和通信复杂度实现装置之间的身份真实性的确认，具有计算资源占用少、交互信息少、耗时短和所需存储空间少的优点。

附图说明

图1为本发明实施例一提供的一种轻量级鉴别方法的流程图；

图2为本发明实施例二提供的一种轻量级鉴别方法的流程图；

图3-1和图3-2为本发明实施例三提供的一种轻量级鉴别方法的流程图；

图4为本发明实施例四提供的一种轻量级鉴别系统的方框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例一

本发明实施例一提供一种轻量级鉴别方法，如图1所示，包括：

步骤S1：第二装置接收第一装置发送的第二鉴别请求消息，第二装置对第一装置进行鉴别，如鉴别成功则执行步骤S2，如鉴别失败则丢弃第二鉴别请求消息；

步骤S2：第二装置生成第二鉴别响应消息并发送给第一装置；

步骤S3：第一装置根据第二鉴别响应消息对第二装置进行鉴别，如鉴别成功则第一装置对第二装置鉴别成功，如鉴别失败则丢弃第二鉴别响应消息；

步骤S1之前还包括：

步骤S01：第一装置发送第一鉴别请求消息给第二装置，第一鉴别请求消息包括第一装置的身份标识、预存的用于密钥交换的公共参数；

步骤S02：第二装置生成第二随机数并保存，根据第二随机数生成第一鉴别响应消息，发送第一鉴别响应消息给第一装置；

步骤S03：第一装置生成第一随机数并保存，生成第一临时密钥对和第一基密钥，根据第一基密钥导出第一完整性校验密钥；

实施例二

本发明实施例二提供一种轻量级鉴别方法，如图2所示，包括：

步骤101：第一装置发送第一鉴别请求消息给第二装置；

具体的，第一鉴别请求消息包括第一装置的身份标识和预存的用于密钥交换的公共参数；

步骤102：第二装置生成第二随机数并保存，生成第二临时密钥对，使用第二临时密钥对的私钥对第一拼接值进行签名得到第二签名值，发送第一鉴别响应消息给第一装置；

在本实施例中，生成第二临时密钥对具体包括：第二装置生成第二临时密钥对的私钥，根据接收的第一鉴别请求消息中的用于密钥交换的公共参数和第二临时密钥对的私钥计算得出第二临时密钥对的公钥；

具体的，第一拼接值为第一装置的身份标识、第二装置的身份标识、第二随机数、第二临时密钥对的公钥和用于密钥交换的公共参数的拼接值；

具体的，第一鉴别响应消息包括第二随机数、第一拼接值、第二临时密钥对的公钥和第二签名值随机数；

步骤103：第一装置生成第一临时密钥对和第一基密钥，根据第一基密钥导出第一完整性校验密钥，生成第一随机数并保存；

在本实施例中，生成第一临时密钥对具体包括：第一装置生成第一临时密钥对的私钥，根据用于密钥交换的公共参数和第一临时密钥对的私钥计算得到第一临时密钥对的公钥；

在本实施例中，生成第一基密钥具体包括：第一装置根据第一临时密钥对的私钥和第二临时密钥对的公钥计算得到第一基密钥；

步骤104：第一装置使用第一临时密钥对的私钥对第二拼接值进行签名得到第一签名值，使用第一完整性校验密钥根据预设算法对第三拼接值进行计算得到第一完整性校验值，发送第二鉴别请求消息给第二装置；

具体的，第二拼接值为第一装置的身份标识、第二装置的身份标识、第二随机数、第一随机数和第一临时密钥对的公钥的拼接值；

第三拼接值为第一装置的身份标识、第二装置的身份标识、第二随机数、第一随机数、第一临时密钥对的公钥和第一签名值的拼接值；

第二鉴别请求消息包括第二拼接值、第三拼接值、第二随机数、第一签名值、第一临时密钥对的公钥和第一完整性校验值；

步骤105：第二装置判断接收的第二鉴别请求消息中的第二随机数与保存的第二随机数是否一致，是则执行步骤106，否则第二装置对第一装置鉴别失败；

步骤106：第二装置对第一签名值进行验证，如验证成功则执行步骤107，如验证失败则丢弃第二鉴别请求消息；

具体的，第二装置使用第一临时密钥对的公钥解密第一签名值得到第三哈希值，对第二鉴别请求消息中的第二拼接值进行哈希运算得到第四哈希值，判断第三哈希值和第四哈希值是否相等，是则验证成功，否则验证失败，丢弃第二鉴别请求消息；

步骤107：第二装置生成第二基密钥，根据第二基密钥导出第二完整性校验密钥，使用第二完整性校验密钥根据预设算法对第二鉴别请求消息中的第三拼接值进行计算得到第二完整性校验值，判断接收的第二鉴别请求消息中的第一完整性校验值和第二完整性校验值是否一致，是则第二装置对第一装置鉴别成功，执行步骤108，否则丢弃第二鉴别请求消息；

在本实施例中，第二装置生成第二基密钥具体包括：第二装置根据第二临时密钥对的私钥和第一临时密钥对的公钥计算得到第二基密钥；

步骤108：第二装置使用第二完整性校验密钥根据预设算法对第四拼接值进行计算得到第三完整性校验值，发送第二鉴别响应消息给第一装置；

具体的，第四拼接值为第一装置的身份标识、第二装置的身份标识和第一随机数的拼接值；

第二鉴别响应消息包括第一随机数、第四拼接值和第三完整性校验值；

步骤109：第一装置判断接收的第二鉴别响应消息中的第一随机数与保存的第一随机数是否一致，是则执行步骤110，否则丢弃第二鉴别响应消息；

步骤110：第一装置使用第一完整性校验密钥根据预设算法对第二鉴别响应消息中的第四拼接值进行计算得到第四完整性校验值，判断接收的第二鉴别响应消息中的第三完整性校验值和第四完整性校验值是否一致，是则第一装置对第二装置鉴别成功；否则丢弃第二鉴别响应消息。

实施例三

本发明实施例三提供一种轻量级鉴别方法，如图3-1和图3-2所示，包括：

步骤201：第一装置发送第一鉴别请求消息给第二装置；

具体的，第一鉴别请求消息包括第一装置的身份标识和预存的用于密钥交换的公共参数；

步骤202：第二装置生成第二随机数并保存，生成第二临时密钥对，使用第二临时密钥对的私钥对第一数据进行签名得到第二签名值，发送第一鉴别响应消息给第一装置；

在本实施例中，生成第二临时密钥对具体包括：第二装置生成第二临时密钥对的私钥，根据接收的第一鉴别请求消息中的用于密钥交换的公共参数和第二临时密钥对的私钥计算得出第二临时密钥对的公钥；

具体的，第一数据为第一装置的身份标识、第二装置的身份标识、可信第三方的身份标识、第二随机数、第二临时密钥对的公钥和用于密钥交换的公共参数的拼接值；

具体的，第一鉴别响应消息包括第二随机数、第一数据、第二临时密钥对的公钥和第二签名值；

步骤203：第一装置生成第一临时密钥对和第一基密钥，根据第一基密钥导出第一完整性校验密钥，生成第一随机数并保存，发送身份鉴别请求消息给可信第三方；

在本实施例中，第一装置生成第一临时密钥对具体包括：第一装置生成第一临时密钥对的私钥，根据用于密钥交换的公共参数和第一临时密钥对的私钥计算得到第一临时密钥对的公钥；

在本实施例中，生成第一基密钥集体包括：第一装置根据第一临时密钥对的私钥和第二临时密钥对的公钥计算得到第一基密钥；

具体的，身份鉴别请求消息包括第一装置的身份标识、第二装置的身份标识、第二随机数和第一随机数；

步骤204：可信第三方验证第一装置和第二装置的身份，生成第一装置的身份鉴别结果和第二装置的身份鉴别结果，对鉴别信息数据进行签名得到第三签名值，发送身份鉴别响应信息给第一装置；

具体的，鉴别信息数据为第一装置的身份标识、第二装置的身份标识、可信第三方的身份标识、第二随机数、第一随机数、第一装置的身份鉴别结果和第二装置的身份鉴别结果的拼接值；

具体的，身份鉴别响应信息包括第一随机数、鉴别信息数据、第一装置的身份鉴别结果、第二装置的身份鉴别结果和第三签名值；

步骤205：第一装置判断接收的身份鉴别响应信息中的第一随机数和保存的第一随机数是否一致，是则执行步骤206，否则丢弃身份鉴别响应信息；

步骤206：第一装置对第三签名值进行验证，如验证成功则执行步骤207，如验证失败则丢弃身份鉴别响应信息；

步骤207：第一装置根据接收的第二装置的身份鉴别结果对第二装置身份的真实性进行验证，如验证成功则执行步骤208，如验证失败则丢弃身份鉴别响应信息；

步骤208：第一装置对第二签名值进行验证，如验证成功则执行步骤209，如验证失败则第一装置对第二装置鉴别失败；

具体的，第一装置使用接收的第二临时密钥对的公钥解密第二签名值得到第一哈希值，对第一鉴别响应消息中的第一数据进行哈希运算得到第二哈希值，判断第一哈希值和第二哈希值是否相等，是则验证成功，否则验证失败，第一装置对第二装置鉴别失败；

步骤209：第一装置使用第一临时密钥对的私钥对第二数据进行签名得到第一签名值，使用第一完整性校验密钥根据预设算法对第三数据进行计算得到第一完整性校验值，发送第二鉴别请求消息给第二装置；

具体的，第二数据为第一装置的身份标识、第二装置的身份标识、可信第三方的身份标识、第二随机数、第一随机数和第一临时密钥对的公钥的拼接值；

第三数据为第一装置的身份标识、第二装置的身份标识、可信第三方的身份标识、第二随机数、第一随机数、第一临时密钥对的公钥和第一签名值的拼接值；

第二鉴别请求消息包括第二数据、第三数据、第二随机数、第一签名值、第一完整性校验值、第一装置的身份鉴别结果、第三签名值、鉴别信息数据；

步骤210：第二装置判断接收的第二鉴别请求消息中的第二随机数与保存的第二随机数是否一致，是则执行步骤211，否则第二装置对第一装置鉴别失败；

步骤211：第二装置对第一签名值进行验证，如验证成功则执行步骤212，如验证失败则丢弃第二鉴别请求消息；

具体的，第二装置使用接收的第一临时密钥对的公钥解密第一签名值得到第三哈希值，对第二鉴别请求消息中的第二数据进行哈希运算得到第四哈希值，判断第三哈希值和第四哈希值是否相等，是则验证陈工，否则验证失败，丢弃第二鉴别请求消息；

步骤212：第二装置生成第二基密钥，根据第二基密钥导出第二完整性校验密钥，使用第二完整性校验密钥根据预设算法对第二鉴别请求消息中的第三数据进行计算得到第二完整性校验值，判断接收的第二鉴别请求消息中的第一完整性校验值和第二完整性校验值是否一致，是则第二装置对第一装置鉴别成功，执行步骤213，否则丢弃第二鉴别请求消息；

在本实施例中，第二装置生成第二基密钥具体包括：第二装置根据第二临时密钥对的私钥和第一临时密钥对的公钥计算得到第二基密钥；

步骤213：第二装置对第三签名值进行验证，验证成功则执行步骤214，验证失败则丢弃第二鉴别请求消息；

步骤214：第二装置根据接收的第一装置的身份鉴别结果对第一装置身份的真实性进行验证，如验证成功则执行步骤215，如验证失败则丢弃第二鉴别请求消息；

步骤215：第二装置使用第二完整性校验密钥根据预设算法对第四数据进行计算得到第三完整性校验值，发送第二鉴别响应消息给第一装置；

具体的，第四数据为第一装置的身份标识、第二装置的身份标识和第一随机数的拼接值；

第二鉴别响应消息包括第一随机数、第四数据和第三完整性校验值；

步骤216：第一装置判断接收的第二鉴别响应消息中的第一随机数与保存的第一随机数是否一致，是则执行步骤217，否则丢弃第二鉴别响应消息；

步骤217：第一装置使用第一完整性校验密钥根据预设算法对第二鉴别响应消息中的第四数据进行计算得到第四完整性校验值，判断接收的第二鉴别响应消息中的第三完整性校验值和第四完整性校验值是否一致，是则第一装置对第二装置鉴别成功；否则丢弃第二鉴别响应消息。

实施例四

本发明实施例四提供一种轻量级鉴别系统，如图4所示，包括：第一装置和第二装置；

第二装置包括：

第二接收模块21，用于接收第一装置发送的第二鉴别请求消息；

第二鉴别模块22，用于第二装置对第一装置进行鉴别，如鉴别成功则触发第二生成模块，如鉴别失败则丢弃第二鉴别请求消息；

第二生成模块23，用于生成第二鉴别响应消息；

第二发送模块24，用于发送第二生成模块生成的第二鉴别响应消息给第一装置；

第一装置包括：

第一接收模块11，用于接收第二装置发送的第二鉴别响应消息；

第一鉴别模块12，用于根据第二鉴别响应消息对第二装置进行鉴别，如鉴别成功则第一装置对第二装置鉴别成功，如鉴别失败则丢弃第二鉴别响应消息；

第一装置还包括：

第一发送模块13，用于发送第一鉴别请求消息给第二装置，第一鉴别请求消息包括第一装置的身份标识、预存的用于密钥交换的公共参数；还用于发送第二鉴别请求消息给第二装置；

第一接收模块11，还用于接收第二装置发送的第一鉴别响应消息；

第一生成模块14，用于生成第一随机数并保存，生成第一临时密钥对和第一基密钥，根据第一基密钥导出第一完整性校验密钥；还用于生成第二鉴别请求消息；

第二装置还包括：

第二接收模块21，还用于接收第一装置发送的第一鉴别请求消息；

第二生成模块23，还用于生成第二随机数并保存，根据第二随机数生成第一鉴别响应消息；

第二发送模块24，还用于发送第二生成模块生成的第一鉴别响应消息给第一装置。

可选的，在本实施例中，还包括可信第三方；

第一装置还包括：

第一生成模块14，还用于第一装置根据第一随机数生成身份鉴别请求消息；

第一发送模块13，还用于发送第一生成模块生成的身份鉴别请求消息给可信第三方；

第一接收模块11，还用于接收可信第三方发送的身份鉴别响应消息；

第一鉴别模块12，还用于第一装置根据身份鉴别响应消息对第二装置进行鉴别；

可信第三方包括：

第三接收模块，用于接收第一装置发送的身份鉴别请求消息；

第一验证模块，用于可信第三方验证第一装置和第二装置的身份，生成第一装置的身份鉴别结果和第二装置的身份鉴别结果；

第三生成模块，用于可信第三方将第一装置的身份标识、第二装置的身份标识、可信第三方的身份标识、第二随机数、第一随机数、第一装置的身份鉴别结果和第二装置的身份鉴别结果进行拼接生成鉴别信息数据；还用于可信第三方将第一随机数、鉴别信息数据、第一装置的身份鉴别结果、第二装置的身份鉴别结果和第三签名值生成身份鉴别响应信息；

第三签名模块，用于可信第三方对第三生成模块生成的鉴别信息数据进行签名得到第三签名值；

第三发送模块，用于可信第三方将第三生成模块生成的身份鉴别响应信息发送给第一装置；

第二装置还包括：

第二验证模块25，用于第二装置对第三签名值进行验证，如验证成功则触发第三验证模块26，如验证失败则丢弃第二鉴别请求消息；

第三验证模块26，用于第二装置根据接收的第一装置的身份鉴别结果对第一装置身份的真实性进行验证，如验证成功则触发第二生成模块23，如验证失败则丢弃第二鉴别请求消息。

可选的，在本实施例中，第二生成模块23具体包括：

第二生成子模块，用于第二装置生成第二临时密钥对；

第二拼接子模块，用于第二装置将接收的第一鉴别请求消息中的第一装置的身份标识、第二装置的身份标识、可信第三方的身份标识、第二随机数、第二临时密钥对的公钥和接收的第一鉴别请求消息中的用于密钥交换的公共参数进行拼接生成第一拼接值；

第二签名子模块，用于第二装置使用第二临时密钥对的私钥对第一拼接值进行签名得到第二签名值；

第二生成子模块，还用于第二装置将第二装置的身份标识、第二随机数、第一拼接值、第二临时密钥对的公钥和第二签名值生成第一鉴别请求消息。

可选的，在本实施例中，第一鉴别模块12具体包括：

第一判断子模块，用于第一装置判断接收的身份鉴别响应消息中的第一随机数和保存的第一随机数是否一致，是则触发第一验证子模块，否则丢弃身份鉴别响应信息；

第一验证子模块，用于第一装置对第三签名值进行验证，如验证成功则触发第二验证子模块，如验证失败则丢弃身份鉴别响应消息；

第二验证子模块，用于第一装置根据接收的第二装置的身份鉴别结果对第二装置身份的真实性进行验证，如验证成功则触发第三验证子模块，如验证失败则丢弃身份鉴别响应消息；

第三验证子模块，用于第一装置对第二签名值进行验证，如验证成功则触发第一生成模块，如验证失败则第一装置对第二装置鉴别失败。

可选的，在本实施例中，第三验证子模块具体包括：

第一解密单元，用于第一装置使用接收的第二临时密钥对的公钥解密第二签名值得到第一哈希值；

第一运算单元，用于对第一鉴别响应消息中的第一拼接值进行哈希运算得到第二哈希值；

第一判断单元，用于判断第一哈希值和第二哈希值是否相等，是则触发第一生成模块，否则验证失败。

可选的，在本实施例中，第一生成模块14具体包括：

第一拼接子模块，用于第一装置将第一装置的身份标识、接收的第一鉴别请求消息中的第二装置的身份标识、保存的可信第三方的身份标识、接收的第一鉴别请求消息中的第二随机数、第一随机数和第一临时密钥对的公钥进行拼接生成第二拼接值；

第一签名子模块，用于第一装置对第二拼接值进行签名生成第一签名值；

第一拼接子模块，还用于第一装置将第一装置的身份标识、第二装置的身份标识、可信第三方的身份标识、第二随机数、第一随机数、第一临时密钥对的公钥和第一签名值进行拼接生成第三拼接值；

第一计算子模块，用于第一装置使用第一完整性校验密钥根据预设算法对第三拼接值进行计算得到第一完整性校验值；

第一生成子模块，用于第一装置将第二拼接值、第三拼接值、第二随机数、第一签名值、第一临时密钥对的公钥和第一完整性校验值生成第二鉴别请求消息。

可选的，在本实施例中，第二生成模块23具体包括：

第二生成子模块，用于第二装置生成第二临时密钥对；

第二拼接子模块，用于第二装置将接收的第一鉴别请求消息中的第一装置的身份标识、第二装置的身份标识、第二随机数、第二临时密钥对的公钥和接收的第一鉴别请求消息中的用于密钥交换的公共参数进行拼接生成第一拼接值；

第二签名子模块，用于第二装置使用第二临时密钥对的私钥对第一拼接值进行签名得到第二签名值；

第二生成子模块，还用于第二装置将第二装置的身份标识、第二随机数、第一拼接值、第二临时密钥对的公钥和第二签名值生成第一鉴别请求消息。

可选的，在本实施例中，第一生成模块14具体包括：

第一拼接子模块，用于第一装置将第一装置的身份标识、接收的第一鉴别请求消息中的第二装置的身份标识、接收的第一鉴别请求消息中的第二随机数、第一随机数和第一临时密钥对的公钥进行拼接生成第二拼接值；

第一签名子模块，用于第一装置对第二拼接值进行签名生成第一签名值；

第一拼接子模块，还用于第一装置将第一装置的身份标识、第二装置的身份标识、第二随机数、第一随机数、第一临时密钥对的公钥和第一签名值进行拼接生成第三拼接值；

第一计算子模块，用于第一装置使用第一完整性校验密钥根据预设算法对第三拼接值进行计算得到第一完整性校验值；

第一生成子模块，用于第一装置将第二拼接值、第三拼接值、第二随机数、第一签名值、第一临时密钥对的公钥和第一完整性校验值生成第二鉴别请求消息。

可选的，在本实施例中，第二鉴别模块22具体包括：

第二判断子模块，用于第二装置判断接收的第二鉴别请求消息中的第二随机数与保存的第二随机数是否一致，是则触发第四验证子模块，否则第二装置对第一装置鉴别失败；

第四验证子模块，用于第二装置对第一签名值进行验证，如验证成功则触发第二生成导出子模块，如验证失败则丢弃第二鉴别请求消息；

第二生成导出子模块，用于第二装置生成第二基密钥，根据第二基密钥导出第二完整性校验密钥；

第二运算子模块，用于第二装置使用第二完整性校验密钥根据预设算法对第二鉴别请求消息中的第三拼接值进行计算得到第二完整性校验值；

第二判断子模块，还用于判断接收的第二鉴别请求消息中的第一完整性校验值和第二完整性校验值是否一致，是则触发第二生成模块，否则丢弃第二鉴别请求消息。

可选的，在本实施例中，第四验证子模块具体包括：

第二解密单元，用于第二装置使用接收的第一临时密钥对的公钥解密第一签名值得到第三哈希值；

第二运算单元，用于对第二鉴别请求消息中的第二拼接值进行哈希运算得到第四哈希值；

第二判断单元，用于判断第三哈希值和第四哈希值是否相等，是则触发第二生成导出子模块，否则丢弃第二鉴别请求消息。

可选的，在本实施例中，第二生成模块23还包括：

第二拼接子模块，还用于第二装置将第一装置的身份标识、第二装置的身份标识和第一随机数进行拼接生成第四拼接值；

第二计算子模块，用于使用第二完整性校验密钥根据预设算法对第四拼接值进行计算得到第三完整性校验值；

第二生成子模块，还用于将第一随机数、第四拼接值和第三完整性校验值生成第二鉴别响应消息。

可选的，在本实施例中，第一鉴别模块12具体包括：

第一判断子模块，用于第一装置判断接收的第二鉴别响应消息中的第一随机数与保存的第一随机数是否一致，是则触发第一运算子模块，否则丢弃第二鉴别响应消息；

第一运算子模块，用于第一装置使用第一完整性校验密钥根据预设算法对第二鉴别响应消息中的第四拼接值进行计算得到第四完整性校验值；

第一判断子模块，还用于判断接收的第二鉴别响应消息中的第三完整性校验值和第四完整性校验值是否一致，是则第一装置对第二装置鉴别成功；否则鉴别失败，丢弃第二鉴别响应消息。

可选的，在本实施例中，第二生成子模块用于第二装置生成第二临时密钥对的私钥，根据接收的第一鉴别请求消息中的用于密钥交换的公共参数和第二临时密钥对的私钥计算得出第二临时密钥对的公钥。

可选的，在本实施例中，第一生成模块用于第一装置生成第一临时密钥对的私钥，根据用于密钥交换的公共参数和第一临时密钥对的私钥计算得出第一临时密钥对的公钥。

可选的，在本实施例中，第一生成模块用于第一装置根据第一临时密钥对的私钥和第二临时密钥对的公钥计算得到第一基密钥。

可选的，在本实施例中，第二生成导出子模块用于第二装置根据第二临时密钥对的私钥和第一临时密钥对的公钥计算得到第二基密钥。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明公开的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。