一种终端认证方法、管理终端及申请终端

本发明涉及移动通信技术领域，具体涉及一种终端认证方法、管理终端及 申请终端。

设备对设备(Device-to-Device，D2D)通信是一种在系统的控制下，允许终端 之间通过复用小区资源直接进行通信的新型技术，它能够增加蜂窝通信系统频 谱效率，降低终端发射功率，在一定程度上解决无线通信系统频谱资源匮乏的 问题。根据第三代合作伙伴计划(3rdGenerationPartnershipProject，3GPP)文档对 D2D通信的定义，D2D通信包括一对一通信和组通信等不同通信方式。在D2D 组通信中，一个用户设备充当组管理者建立组，其他用户设备加入组， 并在组内部实现端到端通信。

当一个用户设备申请加入一个通信组时，该组的管理者必须对该用户 设备进行身份认证，目前的认证方法是申请者将自己的数字证书发送至管理者， 由管理者验证数字证书的数字签名的合法性，若合法则接受申请者的申请，将 申请者加入通信。但是，由于数字证书很容易被其他用户设备获取，一旦申 请者的数字证书被其他用户设备盗用并参与认证过程，将导致申请者无法加入 该通信组，从而影响认证过程的安全性。

本发明实施例提供一种终端认证方法、管理终端及申请终端，能够提高认 证过程的安全性。

本发明实施例第一方面提供一种终端认证方法，可包括：

当管理终端接收到申请终端发送的携带有第一数字证书的申请加入组消 息时，所述管理终端根据所述第一数字证书对第一目标值进行加密得到第一加 密结果；

所述管理终端将所述第一加密结果和本端的第二数字证书发送至所述申请 终端，以使所述申请终端对所述第一加密结果进行解密得到第二目标值，并根 据所述第二数字证书对所述第二目标值进行加密得到第二加密结果；

所述管理终端获取所述申请终端发送的所述第二加密结果，并对所述第二 加密结果进行解密得到第三目标值，并在所述第三目标值与所述第一目标值相 同时通过对所述申请终端的认证。

本发明实施例第二方面提供另一种终端认证方法，可包括：

申请终端发送携带本端的第一数字证书的申请加入组消息至管理终端， 以使所述管理终端根据所述第一数字证书对第一目标值进行加密得到第一加密 结果；

所述申请终端接收所述管理终端发送的所述第一加密结果和所述管理终端 的第二数字证书，并对所述第一加密结果进行解密得到第二目标值以及根据所 述第二数字证书对所述第二目标值进行加密得到第二加密结果；

所述申请终端将所述第二加密结果发送至所述管理终端，以使所述管理终 端对所述第二加密结果进行解密得到第三目标值，并在所述第三目标值与所述 第一目标值相同时通过对本端的认证。

本发明实施例第三方面提供一种管理终端，可包括：

加密单元，用于当管理终端接收到申请终端发送的携带有第一数字证书的 申请加入组消息时，根据所述第一数字证书对第一目标值进行加密得到第一 加密结果；

发送单元，用于将所述第一加密结果和本端的第二数字证书发送至所述申 请终端，以使所述申请终端对所述第一加密结果进行解密得到第二目标值，并 根据所述第二数字证书对所述第二目标值进行加密得到第二加密结果；

解密单元，用于获取所述申请终端发送的所述第二加密结果，并对所述第 二加密结果进行解密得到第三目标值，并在所述第三目标值与所述第一目标值 相同时通过对所述申请终端的认证。

本发明实施例第四方面提供一种申请终端，可包括：

消息发送单元，用于发送携带本端的第一数字证书的申请加入组消息至 管理终端，以使所述管理终端根据所述第一数字证书对第一目标值进行加密得 到第一加密结果；

解密加密单元，用于接收所述管理终端发送的所述第一加密结果和所述管 理终端的第二数字证书，并对所述第一加密结果进行解密得到第二目标值以及 根据所述第二数字证书对所述第二目标值进行加密得到第二加密结果；

结果发送单元，用于将所述第二加密结果发送至所述管理终端，以使所述 管理终端对所述第二加密结果进行解密得到第三目标值，并在所述第三目标值 与所述第一目标值相同时通过对本端的认证。

在本发明实施例中，通过在管理终端接收到申请终端发送的携带有第一数 字证书的申请加入组消息时，管理终端根据第一数字证书对第一目标值进行 加密得到第一加密结果，然后管理终端将第一加密结果和管理终端的第二数字 证书发送至申请终端，申请终端对第一加密结果进行解密得到第二目标值并根 据第二数字证书对第二目标值进行加密得到第二加密结果，申请终端将第二加 密结果发送至管理终端，管理终端对第二加密结果进行解密得到第三目标值， 当第三目标值与第一目标值相同时通过对申请终端的认证，实现管理终端根据 加密解密结果完成对申请终端的认证过程，提高认证过程的安全性。

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施 例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述 中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付 出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种终端认证方法的流程示意图；

图2为本发明实施例提供的另一种终端认证方法的流程示意图；

图3为本发明实施例提供的又一种终端认证方法的流程示意图；

图4为本发明实施例提供的又一种终端认证方法的流程示意图；

图5为本发明实施例提供的一种管理终端的结构示意图；

图6为图5所示实施例提供的加密单元的结构示意图；

图7为图5所示实施例提供的解密单元的结构示意图；

图8为本发明实施例提供的一种申请终端的结构示意图；

图9为图8所示实施例提供的解密加密单元的结构示意图。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清 楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是 全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造 性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例提供的一种终端认证方法、管理终端及申请终端，可以应用 于D2D通信中管理终端对申请终端认证的场景，例如，管理终端与申请终端均 不在网络覆盖范围内，即当前网络信号差不支持终端之间的蜂窝通信，终端之 间可以进行D2D通信，申请终端想要加入管理终端所在的D2D通信组并与 组内的组员进行通信时，管理终端需对申请终端进行认证，应用本发明实施例 可以实现管理终端对申请终端的认证，防止申请终端的数字证书被其他终端截 取利用，提供认证过程的安全性。在申请终端的数字证书被其他终端获取的情 况下，其他终端无法对管理终端加密的结果进行解密，防止不法分子加入管理 终端所在的组。

本发明实施例提供的管理终端、申请终端可以包括但不限于手机、PAD(平 板电脑)、智能可穿戴设备等电子设备。本发明实施例提供的管理终端为D2D 通信中建立组的管理者，负责对其他申请加入该组的终端进行认证，实现 组内任意两个终端间的通信，终端之间通过无线信道进行通信，因此本发明 实施例的前提条件是申请终端与管理终端使用的无线信道频率相同。

下面将结合附图1-附图4对本发明实施例提供的终端认证方法进行详细介 绍。

请参见图1，为本发明实施例提供的一种终端认证方法的流程示意图，该方 法可包括步骤S101-步骤S103。

S101，当管理终端接收到申请终端发送的携带有第一数字证书的申请加入 组消息时，所述管理终端根据所述第一数字证书对第一目标值进行加密得到 第一加密结果。

具体的，当管理终端与申请终端使用同一无线信道频率时，所述管理终端 可接收所述申请终端发送的申请加入组消息，所述申请加入组消息携带有 第一数字证书，所述第一数字证书为所述申请终端的数字证书，数字证书是一 个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。 最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证 书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。

当所述管理终端接收到所述申请加入组消息时，所述管理终端先检验所 述第一数字证书的数字签名是否正确，当所述第一数字证书的数字签名正确时， 所述管理终端获取所述第一数字证书的公钥，并采用所述第一数字证书的公钥 对第一目标值进行加密得到第一加密结果。其中，所述第一目标值由所述管理 终端任意选择的一个值。

S102，所述管理终端将所述第一加密结果和本端的第二数字证书发送至所 述申请终端，以使所述申请终端对所述第一加密结果进行解密得到第二目标值， 并根据所述第二数字证书对所述第二目标值进行加密得到第二加密结果。

具体的，所述管理终端读取本端的第二数字证书，并将步骤S101加密得到 的所述第一加密结果和所述第二数字证书发送至所述申请终端，所述第二数字 证书包括所述第二数字证书的公钥。所述申请终端在接收到所述管理终端发送 的所述第一加密结果和所述第二数字证书时，所述申请终端采用本端的第一数 字证书的私钥对所述第一加密结果进行解密得到第二目标值，然后所述申请终 端采用所述第二数字证书的公钥对所述第二目标值进行加密得到第二加密结 果。其中，所述第二目标值可能与所述第一目标值相同，也可能不相同，当所 述管理终端在发送所述第一加密结果和所述第二数字证书的过程中没有受到外 界攻击时，所述第二目标值与所述第一目标值相同，否则所述申请终端解密得 到的所述第二目标值与所述第一目标值为不同的数值。由于所述第一加密结果 是由所述第一数字证书的公钥加密得到，而所述第二加密结果是由所述第二数 字证书的公钥加密得到，公钥不同，因此所述第二加密结果与所述第一加密结 果不相同，即使在所述第二目标值与所述第一目标值相同的情况下，所述第二 加密结果与所述第一加密结果也不相同。

S103，所述管理终端获取所述申请终端发送的所述第二加密结果，并对所 述第二加密结果进行解密得到第三目标值，并在所述第三目标值与所述第一目 标值相同时通过对所述申请终端的认证。

具体的，所述管理终端获取所述申请终端发送的所述第二加密结果，并读 取所述第二数字证书的私钥，然后采用所述第二数字证书的私钥对所述第二加 密结果进行解密得到第三目标值。其中，所述第三目标值与所述第二目标值可 能相同，可能不相同，当所述申请终端在发送所述第二加密结果的过程中没有 受到外界攻击时，所述第三目标值与所述第二目标值相同，否则所述管理终端 解密得到的所述第三目标值与所述第二目标值不相同。因此，当所述管理终端 与所述申请终端之间的无线信道没有收到外界攻击时，所述第一目标值与所述 第三目标值相同。当所述第三目标值与所述第一目标值相同时，所述管理终端 通过对所述申请终端的认证，将所述申请终端加入所述组，并通知所述申请 终端申请成功，可以参与所述组之间的通信。

需要说明的是，在所述申请终端的数字证书被其他终端盗用的情况下，例 如所述申请终端的数字证书被终端A盗用参与到本发明实施例的认证过程中， 所述终端A可能无法用自己的私钥对所述第一加密结果进行解密，也可能所述 终端A伪造所述第二目标值，若所述终端A伪造所述第二目标值，则所述第二 目标值便与所述第一目标值不相同，因此所述管理终端拒绝对所述终端A的认 证申请，不允许所述终端A加入所述组，从而提高组以及认证过程的安全 性。

在本发明实施例中，通过在管理终端接收到申请终端发送的携带有第一数 字证书的申请加入组消息时，管理终端根据第一数字证书对第一目标值进行 加密得到第一加密结果，然后管理终端将第一加密结果和管理终端的第二数字 证书发送至申请终端，申请终端对第一加密结果进行解密得到第二目标值并根 据第二数字证书对第二目标值进行加密得到第二加密结果，申请终端将第二加 密结果发送至管理终端，管理终端对第二加密结果进行解密得到第三目标值， 当第三目标值与第一目标值相同时通过对申请终端的认证，实现管理终端根据 加密解密结果完成对申请终端的认证过程，提高认证过程的安全性。

请参见图2，为本发明实施例提供的另一种终端认证方法的流程示意图，该 方法可包括步骤S201-步骤S206。

S201，当管理终端接收到申请终端发送的携带有第一数字证书的申请加入 组消息时，所述管理终端检验所述第一数字证书的数字签名是否正确。

具体的，当管理终端与申请终端使用同一无线信道频率时，所述管理终端 可接收所述申请终端发送的申请加入组消息，所述申请加入组消息携带有 第一数字证书，所述第一数字证书为所述申请终端的数字证书，数字证书是一 个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。 最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证 书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。

当所述管理终端接收到所述申请加入组消息时，所述管理终端先检验所 述第一数字证书的数字签名是否正确，当所述第一数字证书的数字签名正确时， 所述管理终端才能进行后续的认证过程；当所述第一数字证书的数字签名错误 时，所述管理终端拒绝所述申请终端加入所述组。

S202，当所述第一数字证书的数字签名正确时，所述管理终端获取所述第 一数字证书的公钥，并采用所述第一数字证书的公钥对第一目标值进行加密得 到第一加密结果。

具体的，当所述第一数字证书的数字签名正确时，可以理解的是所述第一 数字证书为所述申请终端的合法数字证书，因此所述管理终端获取所述第一数 字证书的公钥，并采用所述第一数字证书的公钥对第一目标值进行加密得到第 一加密结果。其中，所述第一目标值由所述管理终端任意选择的一个值。例如， 所述第一目标值为r1，所述第一数字证书的公钥为pk1，所述管理终端加密得到 的所述第一加密结果为e1。

S203，所述管理终端读取本端的第二数字证书，并将所述第一加密结果和 所述第二数字证书发送至所述申请终端，以使所述申请终端采用所述第一数字 证书的私钥对所述第一加密结果进行解密得到第二目标值，并采用所述第二数 字证书的公钥对所述第二目标值进行加密得到第二加密结果。

具体的，所述管理终端读取本端的第二数字证书，并将步骤S202加密得到 的所述第一加密结果和所述第二数字证书发送至所述申请终端，所述第二数字 证书包括所述第二数字证书的公钥。所述申请终端在接收到所述管理终端发送 的所述第一加密结果和所述第二数字证书时，所述申请终端采用本端的第一数 字证书的私钥对所述第一加密结果进行解密得到第二目标值，然后所述申请终 端采用所述第二数字证书的公钥对所述第二目标值进行加密得到第二加密结 果。例如，所述第二数字证书的公钥为pk2，所述管理终端将所述第一加密结果 e1和pk2发送至所述申请终端，所述申请终端解密得到的所述第二目标值为r2， 加密得到的所述第二加密结果为e2。

其中，所述第二目标值可能与所述第一目标值相同，也可能不相同，当所 述管理终端在发送所述第一加密结果和所述第二数字证书的过程中没有受到外 界攻击时，所述第二目标值与所述第一目标值相同，否则所述申请终端解密得 到的所述第二目标值与所述第一目标值为不同的数值。由于所述第一加密结果 是由所述第一数字证书的公钥加密得到，而所述第二加密结果是由所述第二数 字证书的公钥加密得到，公钥不同，因此所述第二加密结果与所述第一加密结 果不相同，即使在所述第二目标值与所述第一目标值相同的情况下，所述第二 加密结果与所述第一加密结果也不相同。

S204，所述管理终端获取所述申请终端发送的第二加密结果。

具体的，所述申请终端将采用所述第二数字证书的公钥加密的所述第二加 密结果发送至所述管理终端，所述管理终端获取所述申请终端发送的第二加密 结果。

S205，所述管理终端读取所述第二数字证书的私钥，并采用所述第二数字 证书的私钥对所述第二加密结果进行解密得到第三目标值。

具体的，针对采用某个数字证书公钥加密的结果只能用该数字证书的私钥 才能解密，因此所述管理终端读取所述第二数字证书的私钥，并采用所述第二 数字证书的私钥对所述第二加密结果进行结果得到第三目标值。例如，所述管 理终端对所述第二加密结果e2进行解密得到所述第三目标值为r3。

其中，所述第三目标值与所述第二目标值可能相同，可能不相同，当所述 申请终端在发送所述第二加密结果的过程中没有受到外界攻击时，所述第三目 标值与所述第二目标值相同，否则所述管理终端解密得到的所述第三目标值与 所述第二目标值不相同。因此，当所述管理终端与所述申请终端之间的无线信 道没有收到外界攻击时，所述第一目标值与所述第三目标值相同。

S206，当所述第三目标值与所述第一目标值相同时通过对所述申请终端的 认证。

具体的，当所述第三目标值与所述第一目标值相同时，可以理解的是所述 管理终端与所述申请终端之间的无线信道没有受到外界的攻击，所述管理终端 通过对所述申请终端的认证，将所述申请终端加入所述组，并通知所述申请 终端申请成功，可以参与所述组之间的通信。

在本发明实施例中，通过在管理终端接收到申请终端发送的携带有第一数 字证书的申请加入组消息时，管理终端根据第一数字证书对第一目标值进行 加密得到第一加密结果，然后管理终端将第一加密结果和管理终端的第二数字 证书发送至申请终端，申请终端对第一加密结果进行解密得到第二目标值并根 据第二数字证书对第二目标值进行加密得到第二加密结果，申请终端将第二加 密结果发送至管理终端，管理终端对第二加密结果进行解密得到第三目标值， 当第三目标值与第一目标值相同时通过对申请终端的认证，实现管理终端根据 加密解密结果完成对申请终端的认证过程，提高认证过程的安全性。

请参见图3，为本发明实施例提供的又一种终端认证方法的流程示意图，该 方法可包括步骤S301-步骤S303。

S301，申请终端发送携带本端的第一数字证书的申请加入组消息至管理 终端，以使所述管理终端根据所述第一数字证书对第一目标值进行加密得到第 一加密结果。

具体的，申请终端想要加入管理终端所创建的组，需向所述管理终端发 送申请加入组消息，并将本端的第一数字证书一同发送至所述管理终端。所 述管理终端在接收到所述申请加入组消息时，先检验所述第一数字证书的数 字签名是否正确，当所述第一数字证书的数字签名正确时，所述管理终端获取 所述第一数字证书的公钥，并采用所述第一数字证书的公钥对第一目标值进行 加密得到第一加密结果。其中，所述第一目标值由所述管理终端任意选择的一 个值。例如，所述第一目标值为r1，所述第一数字证书的公钥为pk1，所述管理 终端加密得到的所述第一加密结果为e1。

S302，所述申请终端接收所述管理终端发送的所述第一加密结果和所述管 理终端的第二数字证书，并对所述第一加密结果进行解密得到第二目标值以及 根据所述第二数字证书对所述第二目标值进行加密得到第二加密结果。

具体的，所述申请终端接收所述管理终端发送的所述第一加密结果和所述 管理终端的第二数字证书。所述申请终端读取所述第一数字证书的私钥，并采 用所述第一数字证书的私钥对所述第一加密结果进行解密得到所述第二目标 值。所述申请终端获取所述第二数字证书的公钥，并采用所述第二数字证书的 公钥对所述第二目标值进行加密得到第二加密结果。例如，所述第二数字证书 的公钥为pk2，所述申请终端接收所述管理终端发送的所述第一加密结果e1和 pk2，所述申请终端20解密得到的所述第二目标值为r2，加密得到的所述第二加 密结果为e2。

其中，所述第二目标值可能与所述第一目标值相同，也可能不相同，当所 述管理终端在发送所述第一加密结果和所述第二数字证书的过程中没有受到外 界攻击时，所述第二目标值与所述第一目标值相同，否则所述申请终端解密得 到的所述第二目标值与所述第一目标值为不同的数值。由于所述第一加密结果 是由所述第一数字证书的公钥加密得到，而所述第二加密结果是由所述第二数 字证书的公钥加密得到，公钥不同，因此所述第二加密结果与所述第一加密结 果不相同，即使在所述第二目标值与所述第一目标值相同的情况下，所述第二 加密结果与所述第一加密结果也不相同。

S303，所述申请终端将所述第二加密结果发送至所述管理终端，以使所述 管理终端对所述第二加密结果进行解密得到第三目标值，并在所述第三目标值 与所述第一目标值相同时通过对本端的认证。

具体的，所述申请终端将所述第二加密结果发送至所述管理终端，所述管 理终端在接收到所述第二加密结果时便会采用所述第二数字证书的私钥对所述 第二加密结果进行解密得到第三目标值，并判断所述第三目标值与所述第一目 标值是否相同，在所述第三目标值与所述第一目标值相同时通过对所述申请终 端的认证。其中，所述第三目标值与所述第二目标值可能相同，可能不相同， 当所述申请终端在发送所述第二加密结果的过程中没有受到外界攻击时，所述 第三目标值与所述第二目标值相同，否则所述管理终端解密得到的所述第三目 标值与所述第二目标值不相同。因此，当所述管理终端与所述申请终端之间的 无线信道没有收到外界攻击时，所述第一目标值与所述第三目标值相同。

在本发明实施例中，申请终端通过发送携带本端的第一数字证书的申请加 入组消息至管理终端，管理终端根据第一数字证书对第一目标值进行加密得 到第一加密结果，申请终端接收管理终端发送的第一加密结果和管理终端的第 二数字证书，并对第一加密结果进行解密得到第二目标值以及根据第二数字证 书对第二目标值进行加密得到第二加密结果，申请终端将第二加密结果发送至 管理终端，管理终端对第二加密结果进行解密得到第三目标值，并在第三目标 值与第一目标值相同时通过对申请终端的认证，实现管理终端对申请终端的认 证过程，并提高认证过程的安全性。

请参见图4，为本发明实施例提供的又一种终端认证方法的流程示意图，该 方法可包括步骤S401-步骤S405。

S401，申请终端发送携带本端的第一数字证书的申请加入组消息至管理 终端，以使所述管理终端根据所述第一数字证书对第一目标值进行加密得到第 一加密结果。

具体的，申请终端想要加入管理终端所创建的组，需向所述管理终端发 送申请加入组消息，并将本端的第一数字证书一同发送至所述管理终端。所 述管理终端在接收到所述申请加入组消息时，先检验所述第一数字证书的数 字签名是否正确，当所述第一数字证书的数字签名正确时，所述管理终端获取 所述第一数字证书的公钥，并采用所述第一数字证书的公钥对第一目标值进行 加密得到第一加密结果。其中，所述第一目标值由所述管理终端任意选择的一 个值。例如，所述第一目标值为r1，所述第一数字证书的公钥为pk1，所述管理 终端加密得到的所述第一加密结果为e1。

S402，所述申请终端接收所述管理终端发送的所述第一加密结果和所述管 理终端的第二数字证书。

S403，所述申请终端读取所述第一数字证书的私钥，并采用所述第一数字 证书的私钥对所述第一加密结果进行解密得到所述第二目标值。

其中，所述第二目标值可能与所述第一目标值相同，也可能不相同，当所 述管理终端在发送所述第一加密结果和所述第二数字证书的过程中没有受到外 界攻击时，所述第二目标值与所述第一目标值相同，否则所述申请终端解密得 到的所述第二目标值与所述第一目标值为不同的数值。

S404，所述申请终端获取所述第二数字证书的公钥，并采用所述第二数字 证书的公钥对所述第二目标值进行加密得到第二加密结果。

具体的，所述申请终端获取所述第二数字证书的公钥，并采用所述第二数 字证书的公钥对所述第二目标值进行加密得到第二加密结果。由于所述第一加 密结果是由所述第一数字证书的公钥加密得到，而所述第二加密结果是由所述 第二数字证书的公钥加密得到，公钥不同，因此所述第二加密结果与所述第一 加密结果不相同，即使在所述第二目标值与所述第一目标值相同的情况下，所 述第二加密结果与所述第一加密结果也不相同。

S405，所述申请终端将所述第二加密结果发送至所述管理终端，以使所述 管理终端对所述第二加密结果进行解密得到第三目标值，并在所述第三目标值 与所述第一目标值相同时通过对本端的认证。

具体的，所述申请终端将所述第二加密结果发送至所述管理终端，所述管 理终端在接收到所述第二加密结果时便会采用所述第二数字证书的私钥对所述 第二加密结果进行解密得到第三目标值，并判断所述第三目标值与所述第一目 标值是否相同，在所述第三目标值与所述第一目标值相同时通过对所述申请终 端的认证。其中，所述第三目标值与所述第二目标值可能相同，可能不相同， 当所述申请终端在发送所述第二加密结果的过程中没有受到外界攻击时，所述 第三目标值与所述第二目标值相同，否则所述管理终端解密得到的所述第三目 标值与所述第二目标值不相同。因此，当所述管理终端与所述申请终端之间的 无线信道没有收到外界攻击时，所述第一目标值与所述第三目标值相同。

在本发明实施例中，申请终端通过发送携带本端的第一数字证书的申请加 入组消息至管理终端，管理终端根据第一数字证书对第一目标值进行加密得 到第一加密结果，申请终端接收管理终端发送的第一加密结果和管理终端的第 二数字证书，并对第一加密结果进行解密得到第二目标值以及根据第二数字证 书对第二目标值进行加密得到第二加密结果，申请终端将第二加密结果发送至 管理终端，管理终端对第二加密结果进行解密得到第三目标值，并在第三目标 值与第一目标值相同时通过对申请终端的认证，实现管理终端对申请终端的认 证过程，并提高认证过程的安全性。

下面将结合附图5-附图7对本发明实施例提供的管理终端进行详细介绍。 需要说明的是，附图5-附图7所示的管理终端，用于执行本发明图1和图2所 示实施例的方法，为了便于说明，仅示出了与本发明实施例相关的部分，具体 技术细节未揭示的，请参照本发明图1和图2所示的实施例。

请参见图5，为本发明提供的一种管理终端的结构示意图；该管理终端10 可包括：加密单元101、发送单元102和解密单元103。

加密单元101，用于当管理终端接收到申请终端发送的携带有第一数字证书 的申请加入组消息时，根据所述第一数字证书对第一目标值进行加密得到第 一加密结果。

具体实现中，当所述管理终端10与申请终端使用同一无线信道频率时，所 述管理终端10可接收所述申请终端发送的申请加入组消息，所述申请加入 组消息携带有第一数字证书，所述第一数字证书为所述申请终端的数字证书， 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开 密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字 签名。数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。

当所述管理终端10接收到申请终端发送的携带有第一数字证书的申请加入 组消息时，所述加密单元101根据所述第一数字证书对第一目标值进行加密 得到第一加密结果。

请参见图6，为图5所示实施例提供的加密单元的结构示意图；所述加密单 元101可包括检验单元1011和第一加密单元1012。

检验单元1011，用于当管理终端接收到申请终端发送的携带有第一数字证 书的申请加入组消息时，检验所述第一数字证书的数字签名是否正确。

具体实现中，当所述管理终端10接收到所述申请加入组消息时，所述检 验单元1011先检验所述第一数字证书的数字签名是否正确，当所述第一数字证 书的数字签名正确时，所述管理终端才能进行后续的认证过程；当所述第一数 字证书的数字签名错误时，所述管理终端拒绝所述申请终端加入所述组。

第一加密单元1012，用于当所述第一数字证书的数字签名正确时，获取所 述第一数字证书的公钥，并采用所述第一数字证书的公钥对第一目标值进行加 密得到第一加密结果。

具体实现中，当所述第一数字证书的数字签名正确时，可以理解的是所述 第一数字证书为所述申请终端的合法数字证书，因此所述第一加密单元1012获 取所述第一数字证书的公钥，并采用所述第一数字证书的公钥对第一目标值进 行加密得到第一加密结果。其中，所述第一目标值由所述管理终端10任意选择 的一个值。例如，所述第一目标值为r1，所述第一数字证书的公钥为pk1，所述 第一加密单元1012加密得到的所述第一加密结果为e1。

发送单元102，用于将所述第一加密结果和本端的第二数字证书发送至所述 申请终端，以使所述申请终端对所述第一加密结果进行解密得到第二目标值， 并根据所述第二数字证书对所述第二目标值进行加密得到第二加密结果。

具体实现中，所述发送单元102读取本端的第二数字证书，并将所述第一 加密单元1012加密得到的所述第一加密结果和所述第二数字证书发送至所述申 请终端，所述第二数字证书包括所述第二数字证书的公钥。所述申请终端在接 收到所述发送单元102发送的所述第一加密结果和所述第二数字证书时，所述 申请终端采用本端的第一数字证书的私钥对所述第一加密结果进行解密得到第 二目标值，然后所述申请终端采用所述第二数字证书的公钥对所述第二目标值 进行加密得到第二加密结果。例如，所述第二数字证书的公钥为pk2，所述发送 单元102将所述第一加密结果e1和pk2发送至所述申请终端，所述申请终端解密 得到的所述第二目标值为r2，加密得到的所述第二加密结果为e2。

其中，所述第二目标值可能与所述第一目标值相同，也可能不相同，当所 述发送单元102在发送所述第一加密结果和所述第二数字证书的过程中没有受 到外界攻击时，所述第二目标值与所述第一目标值相同，否则所述申请终端解 密得到的所述第二目标值与所述第一目标值为不同的数值。由于所述第一加密 结果是由所述第一数字证书的公钥加密得到，而所述第二加密结果是由所述第 二数字证书的公钥加密得到，公钥不同，因此所述第二加密结果与所述第一加 密结果不相同，即使在所述第二目标值与所述第一目标值相同的情况下，所述 第二加密结果与所述第一加密结果也不相同。

解密单元103，用于获取所述申请终端发送的所述第二加密结果，并对所述 第二加密结果进行解密得到第三目标值，并在所述第三目标值与所述第一目标 值相同时通过对所述申请终端的认证。

具体实现中，所述解密单元103获取所述申请终端发送的所述第二加密结 果，并对所述第二加密结果进行解密得到第三目标值，并在所述第三目标值与 所述第一目标值相同时通过对所述申请终端的认证。

请参见图7，为图5所示实施例提供的解密单元的结构示意图；所述解密单 元103可包括获取单元1031、第一解密单元1032和认证单元1033。

获取单元1031，用于获取所述申请终端发送的第二加密结果。

具体实现中，所述申请终端将采用所述第二数字证书的公钥加密的所述第 二加密结果发送至所述管理终端，所述获取单元1031获取所述申请终端发送的 第二加密结果。

第一解密单元1032，用于读取所述第二数字证书的私钥，并采用所述第二 数字证书的私钥对所述第二加密结果进行解密得到第三目标值。

具体实现中，针对采用某个数字证书公钥加密的结果只能用该数字证书的 私钥才能解密，因此所述第一解密单元1032读取所述第二数字证书的私钥，并 采用所述第二数字证书的私钥对所述第二加密结果进行结果得到第三目标值。 例如，所述第一解密单元1032对所述第二加密结果e2进行解密得到所述第三目 标值为r3。

其中，所述第三目标值与所述第二目标值可能相同，可能不相同，当所述 申请终端在发送所述第二加密结果的过程中没有受到外界攻击时，所述第三目 标值与所述第二目标值相同，否则所述第一解密单元1032解密得到的所述第三 目标值与所述第二目标值不相同。因此，当所述管理终端与所述申请终端之间 的无线信道没有收到外界攻击时，所述第一目标值与所述第三目标值相同。

认证单元1033，用于当所述第三目标值与所述第一目标值相同时通过对所 述申请终端的认证。

具体实现中，当所述第三目标值与所述第一目标值相同时，可以理解的是 所述管理终端与所述申请终端之间的无线信道没有受到外界的攻击，所述认证 单元1033通过对所述申请终端的认证，将所述申请终端加入所述组，并通知 所述申请终端申请成功，可以参与所述组之间的通信。

在本发明实施例中，通过在管理终端接收到申请终端发送的携带有第一数 字证书的申请加入组消息时，管理终端根据第一数字证书对第一目标值进行 加密得到第一加密结果，然后管理终端将第一加密结果和管理终端的第二数字 证书发送至申请终端，申请终端对第一加密结果进行解密得到第二目标值并根 据第二数字证书对第二目标值进行加密得到第二加密结果，申请终端将第二加 密结果发送至管理终端，管理终端对第二加密结果进行解密得到第三目标值， 当第三目标值与第一目标值相同时通过对申请终端的认证，实现管理终端根据 加密解密结果完成对申请终端的认证过程，提高认证过程的安全性。

下面将结合附图8和附图9对本发明实施例提供的申请终端进行详细介绍。 需要说明的是，附图8和附图9所示的申请终端，用于执行本发明图3和图4 所示实施例的方法，为了便于说明，仅示出了与本发明实施例相关的部分，具 体技术细节未揭示的，请参照本发明图3和图4所示的实施例。

请参见图8，为本发明提供的一种申请终端的结构示意图；该申请终端20 可包括：消息发送单元201、解密加密单元202和结果发送单元203。

消息发送单元201，用于发送携带本端的第一数字证书的申请加入组消息 至管理终端，以使所述管理终端根据所述第一数字证书对第一目标值进行加密 得到第一加密结果。

具体实现中，所述申请终端20想要加入管理终端所创建的组，需所述消 息发送单元201向所述管理终端10发送申请加入组消息，并将本端的第一数 字证书一同发送至所述管理终端10。所述管理终端10在接收到所述申请加入 组消息时，先检验所述第一数字证书的数字签名是否正确，当所述第一数字证 书的数字签名正确时，所述管理终端获取所述第一数字证书的公钥，并采用所 述第一数字证书的公钥对第一目标值进行加密得到第一加密结果。其中，所述 第一目标值由所述管理终端任意选择的一个值。例如，所述第一目标值为r1，所 述第一数字证书的公钥为pk1，所述管理终端加密得到的所述第一加密结果为e1。

解密加密单元202，用于接收所述管理终端发送的所述第一加密结果和所述 管理终端的第二数字证书，并对所述第一加密结果进行解密得到第二目标值以 及根据所述第二数字证书对所述第二目标值进行加密得到第二加密结果。

具体实现中，所述解密加密单元202接收所述管理终端发送的所述第一加 密结果和所述管理终端的第二数字证书，并对所述第一加密结果进行解密得到 第二目标值以及根据所述第二数字证书对所述第二目标值进行加密得到第二加 密结果。

其中，所述第二目标值可能与所述第一目标值相同，也可能不相同，当所 述管理终端10在发送所述第一加密结果和所述第二数字证书的过程中没有受到 外界攻击时，所述第二目标值与所述第一目标值相同，否则所述解密加密单元 202解密得到的所述第二目标值与所述第一目标值为不同的数值。由于所述第一 加密结果是由所述第一数字证书的公钥加密得到，而所述第二加密结果是由所 述第二数字证书的公钥加密得到，公钥不同，因此所述第二加密结果与所述第 一加密结果不相同，即使在所述第二目标值与所述第一目标值相同的情况下， 所述第二加密结果与所述第一加密结果也不相同。

请参见图9，为图8所示实施例提供的解密加密单元的结构示意图；所述解 密加密单元202可包括接收单元2021、第二解密单元2022和第二加密单元2023。

接收单元2021，用于接收所述管理终端发送的所述第一加密结果和所述管 理终端的第二数字证书。

具体实现中，所述接收单元2021接收所述管理终端发送的所述第一加密结 果和所述管理终端的第二数字证书。

第二解密单元2022，用于读取所述第一数字证书的私钥，并采用所述第一 数字证书的私钥对所述第一加密结果进行解密得到所述第二目标值。

具体实现中，所述第二解密单元2022读取所述第一数字证书的私钥，并采 用所述第一数字证书的私钥对所述第一加密结果进行解密得到所述第二目标 值。例如，所述第一加密结果为e1，所述第二解密单元2022解密得到的所述第 二目标值为r2。

第二加密单元2023，用于获取所述第二数字证书的公钥，并采用所述第二 数字证书的公钥对所述第二目标值进行加密得到第二加密结果。

具体实现中，所述第二加密单元2023获取所述第二数字证书的公钥，并采 用所述第二数字证书的公钥对所述第二目标值进行加密得到第二加密结果。由 于所述第一加密结果是由所述第一数字证书的公钥加密得到，而所述第二加密 结果是由所述第二数字证书的公钥加密得到，公钥不同，因此所述第二加密结 果与所述第一加密结果不相同，即使在所述第二目标值与所述第一目标值相同 的情况下，所述第二加密结果与所述第一加密结果也不相同。

结果发送单元203，用于将所述第二加密结果发送至所述管理终端，以使所 述管理终端对所述第二加密结果进行解密得到第三目标值，并在所述第三目标 值与所述第一目标值相同时通过对本端的认证。

具体实现中，所述结果发送单元203将所述第二加密结果发送至所述管理 终端，所述管理终端10在接收到所述第二加密结果时便会采用所述第二数字证 书的私钥对所述第二加密结果进行解密得到第三目标值，并判断所述第三目标 值与所述第一目标值是否相同，在所述第三目标值与所述第一目标值相同时通 过对所述申请终端20的认证。其中，所述第三目标值与所述第二目标值可能相 同，可能不相同，当所述结果发送单元203在发送所述第二加密结果的过程中 没有受到外界攻击时，所述第三目标值与所述第二目标值相同，否则所述管理 终端10解密得到的所述第三目标值与所述第二目标值不相同。因此，当所述管 理终端10与所述申请终端20之间的无线信道没有收到外界攻击时，所述第一 目标值与所述第三目标值相同。

在本发明实施例中，申请终端通过发送携带本端的第一数字证书的申请加 入组消息至管理终端，管理终端根据第一数字证书对第一目标值进行加密得 到第一加密结果，申请终端接收管理终端发送的第一加密结果和管理终端的第 二数字证书，并对第一加密结果进行解密得到第二目标值以及根据第二数字证 书对第二目标值进行加密得到第二加密结果，申请终端将第二加密结果发送至 管理终端，管理终端对第二加密结果进行解密得到第三目标值，并在第三目标 值与第一目标值相同时通过对申请终端的认证，实现管理终端对申请终端的认 证过程，并提高认证过程的安全性。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程， 是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算 机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。 其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory， ROM)或随机存储记忆体(RandomAccessMemory，RAM)等。

以上所揭露的仅为本发明较佳实施例而已，当然不能以此来限定本发明之 权利范围，因此依本发明权利要求所作的等同变化，仍属本发明所涵盖的范围。