(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210772874.3 (22)申请日 2022.06.30 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融大街31号 (72)发明人 邱艳　 (74)专利代理 机构 北京律智知识产权代理有限 公司 11438 专利代理师 孙宝海 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/08(2006.01) H04L 9/06(2006.01) (54)发明名称 一种基于挑战应答机制的身份认证方法及 相关设备 (57)摘要 本公开实施例提供了一种基于挑战应答机 制的身份认证方法及相关设备， 涉及通信技术领 域。 由终端执行的方法包括： 向认证服务器发送 身份认证请求信息， 接收认证服务器发送的请求 响应信息； 生成第一认证数据， 向认证服务器发 送第一认证数据； 若认证服务器对第一认证数据 认证成功， 则接收认证服务器发送的第二认证数 据， 对第二认证数据进行认证； 若对第二认证数 据认证成功， 则生成第三认证数据， 向认证服务 器发送第三认证数据； 若认证服务器对第三认证 数据认证成功， 则接收认证服务器发送的身份认 证成功信息。 该基于挑战应答机制的身份认证方 法能够对终端和认证服 务器进行双向身份认证 。 权利要求书4页 说明书23页 附图10页 CN 115150098 A 2022.10.04 CN 115150098 A 1.一种基于挑战应答机制的身份认证方法， 其特 征在于， 所述方法由终端执 行， 包括： 向认证服 务器发送身份认证请求信息， 接收所述认证服 务器发送的请求响应信息； 生成第一认证数据， 向所述认证服 务器发送所述第一认证数据； 若所述认证服务器对所述第 一认证数据认证成功， 则 接收所述认证服务器发送的第 二 认证数据， 对所述第二认证数据进行认证； 若对所述第二认证数据认证成功， 则生成第三认证数据， 向所述认证服务器发送所述 第三认证数据； 若所述认证服务器对所述第 三认证数据认证成功， 则 接收所述认证服务器发送的身份 认证成功信息 。 2.根据权利要求1所述的方法， 其特征在于， 所述身份认证请求信 息包括终端身份标识 和终端数字证书； 所述请求响应信息包括认证服务器身份标识、 认证服务器数字证书和身 份认证挑战开始信息 。 3.根据权利要求2所述的方法， 其特征在于， 所述第 一认证数据包括挑战密文和第 一时 间戳； 其中， 生成第一认证数据， 向所述认证服 务器发送所述第一认证数据， 包括： 若接收到所述认证服 务器发送的身份认证挑战开始信息， 则生成第一随机数； 利用所述认证服务器数字证书中的认证服务器公钥加密所述第 一随机数， 获得第 一加 密数据； 对所述终端 身份标识和所述第一随机数进行哈希变换， 获得第一哈希数据； 根据所述第一加密数据和所述第一哈希数据， 生成所述挑战密文； 确定所述第一时间戳， 向所述认证服 务器发送所述挑战密文和所述第一时间戳。 4.根据权利要求2所述的方法， 其特征在于， 所述第 二认证数据包括认证服务器的应答 密文和第二时间戳； 所述认证服 务器的应答密文包括第二加密数据和第二哈希数据； 以及， 所述第二加密数据是所述认证服务器利用所述终端数字证书中的终端公钥对第二随 机数加密获得的， 所述第二哈希数据是所述认证服务器对所述认证服务器身份标识和所述 第二随机数进行哈希变换获得的， 其中， 所述第二 随机数是在所述认证服务器对所述第一 认证数据认证成功的情况 下生成的。 5.根据权利要求4所述的方法， 其特征在于， 所述接收所述认证服务器发送的第 二认证 数据， 对所述第二认证数据进行认证， 包括： 接收所述认证服 务器发送的所述认证服 务器的应答密文和所述第二时间戳； 验证所述第二时间戳是否有效； 若所述第二 时间戳有效， 则利用终端私钥对所述认证服务器的应答密文中的所述第 二 加密数据进行解密， 获得所述第二 随机数， 然后对所述认证服务器身份标识和所述第二 随 机数进行哈希变换， 获得认证哈希数据； 判断获得的认证哈希数据与所述认证服务器的应答密文中的所述第二哈希数据是否 一致； 若获得的认证哈希数据与 所述第二哈希数据一致， 则确定对所述第 二认证数据认证成 功。 6.根据权利要求5所述的方法， 其特征在于， 所述第 三认证数据包括终端的应答密文和权　利　要　求　书 1/4 页 2 CN 115150098 A 2第三时间戳； 其中， 所述若对所述第二认证数据认证成功， 则生成第 三认证数据， 向所述认证服务器 发送所述第三认证数据， 包括： 若对所述第二认证数据认证成功， 则生成第三随机数； 利用所述认证服务器数字证书中的认证服务器公钥加密所述第三随机数和所述第二 随机数， 获得第三加密数据； 对所述终端 身份标识和所述第三随机数进行哈希变换， 获得第三哈希数据； 根据所述第三加密数据和所述第三哈希数据， 生成所述终端的应答密文； 确定所述第三时间戳， 向所述认证服务器发送所述终端的应答密文和所述第三时间 戳。 7.根据权利要求1所述的方法， 其特征在于， 在接收所述认证服务器发送的身份认证成 功信息之后， 所述方法还 包括： 根据所述终端在身份认证过程中生成的随机数和所述认证服务器在身份认证过程中 生成的随机数， 生成通信密钥。 8.根据权利要求1至7任一所述的方法， 其特 征在于， 所述方法还 包括： 若所述认证服务器对所述第一认证数据认证失败， 或者， 所述认证服务器对所述第三 认证数据认证失败， 则接收所述认证服 务器发送的认证失败信息； 以及， 若对所述第二认证数据认证失败， 则向所述认证服 务器发送 认证失败信息 。 9.一种基于挑战应答机制的身份认证方法， 其特征在于， 所述方法由认证服务器执行， 包括： 接收终端发送的身份认证请求信息， 向所述终端发送请求响应信息； 接收所述终端发送的第一认证数据， 对所述第一认证数据进行认证； 若对所述第一认证数据认证成功， 则生成第二认证数据， 向所述终端发送所述第二认 证数据； 若所述终端对所述第二认证数据认证成功， 则接收所述终端发送的第三认证数据， 对 所述第三认证数据进行认证； 若对所述第三认证数据认证成功， 则确定身份认证成功， 向所述终端发送身份认证成 功信息。 10.根据权利要求9所述的方法， 其特征在于， 所述身份认证请求信息包括终端身份标 识和终端数字证书； 所述请求响应信息包括认证服务器身份标识、 认证服务器数字证书和 身份认证挑战开始信息 。 11.根据权利要求10所述的方法， 其特征在于， 所述第 一认证数据包括挑战密文和第 一 时间戳； 所述挑战密文包括第一加密数据和第一哈希数据； 以及， 所述第一加密数据是所述终端利用所述认证服务器数字证书中的认证服务器公钥加 密第一随机数获得的， 所述第一哈希数据是所述 终端对所述 终端身份标识和所述第一随机 数进行哈希变换获得 的， 其中， 所述第一 随机数是所述终端在接 收到所述认证服务器发送 的身份认证挑战开始信息后生成的。 12.根据权利要求11所述的方法， 其特征在于， 所述接收所述终端发送的第一认证数 据， 对所述第一认证数据进行认证， 包括：权　利　要　求　书 2/4 页 3 CN 115150098 A 3