无CA的身份认证方法和系统技术方案
【技术实现步骤摘要】
无CA的身份认证方法和系统
本专利技术涉及可信计算
,特别是涉及一种无CA的身份认证方法和系统。
技术介绍
非对称密钥的认证通常采用证书的方式,通过CA(证书管理机构)提供第三方认证。在互联网场景下,通信双方难以通过会面等其他安全方式交换密钥,因此需要第三方CA保证密钥的安全性。但是在工控系统中如果通过CA提供第三方认证,不仅通信流量大,交互复杂度高,而且对于使用485、无线等通信方式的工控系统,其通信带宽、通信稳定性远不如互联网可靠,通过CA提供第三方认证,通信速率低,通信稳定性差,无法满足工控系统的认证需求。
技术实现思路
基于上述情况,本专利技术提出了一种无CA的身份认证方法和系统,认证过程中无需在线CA的参与,减少了通信流量,消除了第三方CA的角色,降低了交互的复杂度。为了实现上述目的,本专利技术技术方案的实施例为:一种无CA的身份认证方法,包括以下步骤:接收主站在接收身份认证指令后发送的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名,所述主站公钥的第一签名为在预设安全环境中接收所述主站发送的所述主站非对称密钥中主站公钥后,利用生成的安全芯片非对称密钥中的安全芯片私钥对在预设安全环境中接收的主站公钥进行第一次签名后得到的签名;利用所述安全芯片私钥对接收的所述主站在接收身份认证指令后发送的主站公钥进行第二次签名,得到主站公钥的第二签名;当所述主站公钥的第一签名和所述主站公钥的第二签名相同时,生成第一随机数;利用所述主站非对称密钥中主站公钥对所述第一随机数进行加密,并将所述第一随机数的加密结果发送至所述主站;接收所述主站发送的第二随机数,所述第...
【技术保护点】
一种无CA的身份认证方法,其特征在于,包括以下步骤:接收主站在接收身份认证指令后发送的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名,所述主站公钥的第一签名为在预设安全环境中接收所述主站发送的所述主站非对称密钥中主站公钥后,利用生成的安全芯片非对称密钥中的安全芯片私钥对在预设安全环境中接收的主站公钥进行第一次签名后得到的签名;利用所述安全芯片私钥对接收的所述主站在接收身份认证指令后发送的主站公钥进行第二次签名,得到主站公钥的第二签名;当所述主站公钥的第一签名和所述主站公钥的第二签名相同时,生成第一随机数;利用所述主站非对称密钥中主站公钥对所述第一随机数进行加密,并将所述第一随机数的加密结果发送至所述主站;接收所述主站发送的第二随机数,所述第二随机数为所述主站利用所述主站非对称密钥中的主站私钥对所述第一随机数的加密结果进行解密得到的随机数;当所述第一随机数与所述第二随机数相同时,判定所述主站身份认证通过,并将所述主站的身份认证通过结果发送至所述主站。
【技术特征摘要】
1.一种无CA的身份认证方法,其特征在于,包括以下步骤:接收主站在接收身份认证指令后发送的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名,所述主站公钥的第一签名为在预设安全环境中接收所述主站发送的所述主站非对称密钥中主站公钥后,利用生成的安全芯片非对称密钥中的安全芯片私钥对在预设安全环境中接收的主站公钥进行第一次签名后得到的签名;利用所述安全芯片私钥对接收的所述主站在接收身份认证指令后发送的主站公钥进行第二次签名,得到主站公钥的第二签名;当所述主站公钥的第一签名和所述主站公钥的第二签名相同时,生成第一随机数;利用所述主站非对称密钥中主站公钥对所述第一随机数进行加密,并将所述第一随机数的加密结果发送至所述主站;接收所述主站发送的第二随机数,所述第二随机数为所述主站利用所述主站非对称密钥中的主站私钥对所述第一随机数的加密结果进行解密得到的随机数;当所述第一随机数与所述第二随机数相同时,判定所述主站身份认证通过,并将所述主站的身份认证通过结果发送至所述主站。2.根据权利要求1所述的无CA的身份认证方法,其特征在于,所述主站公钥的第一签名为在预设安全环境中接收所述主站发送的所述主站非对称密钥中主站公钥后,获得在预设安全环境中接收的主站公钥的散列值,利用所述安全芯片私钥对所述主站公钥的散列值进行加密得到的签名。3.一种无CA的身份认证方法,其特征在于,包括以下步骤:接收主站在接收身份认证指令后发送的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名,所述主站公钥的第一签名为在预设安全环境中接收所述主站发送的所述主站非对称密钥中主站公钥后,利用生成的安全芯片非对称密钥中的安全芯片私钥对在预设安全环境中接收的主站公钥进行第一次签名后得到的签名;利用所述安全芯片私钥对接收的所述主站在接收身份认证指令后发送的主站公钥进行第二次签名,得到主站公钥的第二签名;当所述主站公钥的第一签名和所述主站公钥的第二签名相同时,生成第一随机数;利用所述主站非对称密钥中主站公钥对所述第一随机数进行加密,并将所述第一随机数的加密结果发送至所述主站;接收所述主站发送的第二随机数的散列值,所述第二随机数的散列值为所述主站利用所述主站非对称密钥中的主站私钥对所述第一随机数的加密结果进行解密得到第二随机数后,根据所述第二随机数确定的散列值;当所述第一随机数的散列值与所述第二随机数的散列值相同时,判定所述主站身份认证通过,并将所述主站的身份认证通过结果发送至所述主站,所述第一随机数的散列值根据所述第一随机数确定。4.一种无CA的身份认证方法,其特征在于,包括以下步骤:在接收身份认证指令后,将生成的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名发送至安全芯片,所述主站公钥的第一签名为所述安全芯片在预设安全环境中接收所述主站非对称密钥中主站公钥后,利用生成的安全芯片非对称密钥中的安全芯片私钥对在预设安全环境中接收的主站公钥进行第一次签名得到的签名;接收所述安全芯片发送的第一随机数的加密结果,所述第一随机数的加密结果为当所述主站公钥的第一签名和主站公钥的第二签名相同时,所述安全芯片生成第一随机数后,利用所述主站非对称密钥中主站公钥对所述第一随机数进行加密得到的随机数的加密结果,所述主站公钥的第二签名为所述安全芯片利用所述安全芯片私钥对在身份认证指令后接收的主站公钥进行第二次签名得到的签名;利用所述主站非对称密钥中的主站私钥对所述第一随机数的加密结果进行解密,得到第二随机数,并将所述第二随机数发送至所述安全芯片;接收所述安全芯片发送的身份认证通过结果,所述身份认证通过结果为当所述第一随机数与所述第二随机数相同时,所述安全芯片判定所述主站身份认证通过的结果。5.根据权利要求4所述的无CA的身份认证方法,其特征在于,所述主站公钥的第一签名为所述安全芯片在预设安全环境中接收所述主站非对称密钥中主站公钥后,获得在预设安全环境中接收的主站公钥的散列值,利用所述安全芯片私钥对所述主站公钥的散列值进行加密得到的签名。6.一种无CA的身份认证方法,其特征在于,包括以下步骤:在接收身份认证指令后,将生成的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名发送至安全芯片,所述主站公钥的第一签名为所述安全芯片在预设安全环境中接收所述主站非对称密钥中主站公钥后,利用生成的安全芯片非对称密钥中的安全芯片私钥对在预设安全环境中接收的主站公钥进行第一次签名得到的签名;接收所述安全芯片发送的第一随机数的加密结果,所述第一随机数的加密结果为当所述主站公钥的第一签名和主站公钥的第二签名相同时,所述安全芯片生成第一随机数后,利用所述主站非对称密钥中主站公钥对所述第一随机数进行加密得到的随机数的加密结果,所述主站公钥的第二签名为所述安全芯片利用所述安全芯片私钥对在身份认证指令后接收的主站公钥进行第二次签名得到的签名;利用所述主站非对称密钥中的主站私钥对所述第一随机数的加密结果进行解密,得到第二随机数,根据所述第二随机数确定所述随机数的散列值,并将所述第二随机数的散列值发送至所述安全芯片;接收所述安全芯片发送的身份认证通过结果,所述身份认证通过结果为当所述第一随机数的散列值与所述第二随机数的散列值相同时,所述安全芯片判定所述主站身份认证通过的结果,所述第一随机数的散列值为所述安全芯片根据所述第一随机数确定的散列值。7.一种无CA的身份认证系统,其特征在于,包括:...
【专利技术属性】
技术研发人员:杨祎巍,林伟斌,李鹏,肖勇,
申请(专利权)人:南方电网科学研究院有限责任公司,中国南方电网有限责任公司电网技术研究中心,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。