远程身份验证方法及装置制造方法及图纸

本发明专利技术提供一种远程身份验证方法及装置，应用于身份验证平台，所述方法包括：当请求方与响应方的可信凭据与AIK证书均在有效期内，且响应方接收到请求方发送的请求报文时，身份验证平台接收请求方的请求验证报文，对请求报文进行验证，并向响应方发送请求方验证结果报文；当请求方的身份通过验证时，身份验证平台接收请求方发送的响应方的响应验证报文，对响应验证报文进行验证，并向请求方发送响应方验证结果报文，触发请求方对响应方验证结果报文进行验证，验证成功时，响应方的身份认证成功。通过本发明专利技术提供的方法，通过使用AIK证书对请求方与响应方的身份进行认证，提高通讯的匿名性，从而提高了通讯的隐蔽性，进一步保证通讯的安全。

Remote authentication method and device

【技术实现步骤摘要】
远程身份验证方法及装置
本专利技术涉及工业信息安全
，具体涉及一种远程身份验证方法及装置。
技术介绍
随着工业技术的快速发展，众多的领域需要对设备进行数据采集并且对设备进行监视控制。SCADA(SupervisoryControIAndDataAcquisition)系统，即数据采集与监控系统。SCADA系统是以计算机为基础的DCS(DistributedControlSystem)分布式控制系统与电力自动化监控系统，是可以进行数据采集、监视和控制的系统。SCADA系统主要应用于电力、冶金、石油、化工等领域的数据采集与监视控制以及过程控制等诸多领域。在进行数据采集与监控时，SCADA系统一般包括调控中心、站控系统以及通信系统，站控系统中通常配置了RTU(RemoteTerminalUnit)远程监控终端，RTU通常应用于对设备的监视、控制与数据采集。在目前的技术中，RTU与SCADA或是RTU与RTU之间通讯采用的通讯方式没有设置安全机制，双方仅仅通过明文传输的方式实现通讯，并且通讯时无法验证通讯双方的身份是否可信，使得双方在远程通讯的过程中易遭到攻击、被修改通讯内容以及被植入病毒等，双方之间的远程通讯安全性极低。
技术实现思路
有鉴于此，本专利技术提供一种远程身份验证方法，能够认证请求方与响应方的身份。通过本专利技术提供的方法，对所述请求方与响应方的身份进行认证，认证的过程中通过周期性的更换密钥、可信凭据等，避免通讯端遭到木马、病毒的劫持，从而提高双方通讯的安全性。本专利技术提供一种远程身份验证装置，用于支持所述远程身份验证方法在实际应用中的实施。为实现上述目的，本专利技术提供如下技术方案：一种远程身份验证方法，应用于身份验证平台，所述方法包括：在请求方的可信凭据、请求方的身份证言密钥AIK证书、响应方的可信凭据和响应方的AIK证书均在有效周期内的情况下，当所述响应方接收到所述请求方发送的请求报文时，接收由所述响应方发送的请求方验证报文，所述请求方验证报文由所述响应方应用所述响应方的AIK证书，对所述请求方向所述响应方发送的请求报文进行签名生成；对所述请求方验证报文进行验证，生成请求方身份验证结果，并应用预设的验证平台数字证书对所述请求方身份验证结果进行签名，得到请求方身份验证结果报文，并向所述响应方发送所述请求方身份验证结果报文；触发所述响应方对所述请求方身份验证结果报文进行签名验证，获取所述请求方身份验证结果报文中的所述请求方身份验证结果，并依据所述请求方验证结果判断所述请求方的身份是否验证通过；当判断所述请求方的身份验证通过时，接收所述请求方发送的响应方验证报文，所述响应方验证报文由所述请求方应用所述请求方的AIK证书，对所述响应方向所述请求方发送的响应报文进行签名生成；对所述响应方验证报文进行验证，生成响应方身份验证结果，并应用所述验证平台数字证书对所述响应方身份验证结果进行签名，得到响应方身份验证结果报文，并向所述请求方发送所述响应方身份验证结果报文，完成对所述请求方和响应方的身份验证。上述方法，可选的，还包括：当所述请求方接收到所述响应方身份验证结果报文时，触发所述请求方对所述响应方身份验证结果报文进行签名验证，获取所述响应方身份验证结果报文中的所述响应方身份验证结果，并依据所述响应方身份验证结果，判断所述响应方身份是否验证通过。上述方法，可选的，所述对所述请求方验证报文进行验证，生成请求方验证结果，包括：使用所述响应方的AIK证书对所述请求方验证报文进行签名验证，当签名验证通过时，获取所述请求方验证报文中的请求报文；使用所述请求方的AIK证书对所述请求报文进行签名验证，当签名验证通过时，获取所述请求报文中的请求方可信凭据以及随机数，将所述随机数进行保存；判断所述请求报文中的请求方的可信凭据与所述身份验证平台中的请求方的可信凭据是否一致；当所述请求报文中的请求方的可信凭据与所述身份验证平台中的请求方的可信凭据一致时，对所述请求方的身份验证结果为身份验证通过。上述方法，可选的，所述对所述响应方验证报文进行验证，生成响应方身份验证结果，包括：使用所述请求方的AIK证书对所述响应方验证报文进行签名验证，当签名验证通过时，获取所述响应方验证报文中的响应报文；使用所述响应方的AIK证书对所述响应报文进行签名验证，当签名验证通过时，获取所述响应报文中的响应方的可信凭据；判断所述请求报文中的响应方的可信凭据与所述身份验证平台中的响应方的可信凭据是否一致；当所述响应报文中的响应方的可信凭据与所述身份验证平台中的响应方的可信凭据一致时，对所述响应方的身份验证结果为身份验证通过。上述方法，可选的，请求方或响应方获取有效AIK证书与可信凭据的过程，包括：接收订阅方发送的订阅报文，所述订阅方为所述请求方或是响应方，所述订阅报文为所述订阅方使用所述身份验证平台的数字公钥对订阅信息进行加密得到；使用预设的数字私钥对所述订阅报文进行解密，获取所述订阅报文中的订阅信息；将所述订阅信息中订阅方的完整性度量信息进行记录，依据对所述订阅方的完整性度量信息的所有记录，生成所述订阅方的可信度量历史日志；依据订阅方的可信度量历史日志，判断所述订阅信息中的订阅方完整性度量信息的正确性；当所述订阅方完整性度量信息正确时，生成发布报文，向所述订阅方发送所述发布报文；触发所述订阅方使用预设的AIK私钥对所述发布报文进行解密，并验证所述发布报文中的订阅方AIK证书和订阅方随机数，若验证成功，则所述订阅方获得对应的可信凭据与AIK证书。上述方法，可选的，所述判断所述订阅信息中的订阅方完整性度量信息的正确性，包括：将所述订阅信息中的订阅方完整性度量信息与所述订阅方的可信度量历史日志进行比对；当所述订阅方完整性度量信息与所述订阅方的可信度量历史日志比对一致时，所述订阅信息中的订阅方完整性度量信息正确。上述方法，可选的，所述生成发布报文，并向所述订阅方发送所述发布报文，包括：生成发布信息，所述发布信息包括订阅方随机数、订阅方可信凭据以及订阅方AIK证书；使用所述订阅方AIK公钥对所述发布信息进行加密，生成发布报文，并将所述发布报文发送至所述订阅方。一种远程身份验证装置，应用于身份验证平台，所述装置包括：第一接收单元，用于在请求方的可信凭据、请求方的AIK证书、响应方的可信凭据和响应方的AIK证书均在有效周期内的情况下，当所述响应方接收到所述请求方发送的请求报文时，接收由所述响应方发送的请求方验证报文，所述请求方验证报文由所述响应方应用所述响应方的AIK证书，对所述请求方向所述响应方发送的请求报文进行签名生成；第一验证单元，用于对所述请求方验证报文进行验证，生成请求方身份验证结果，并应用预设的验证平台数字证书对所述请求方身份验证结果进行签名，得到请求方身份验证结果报文，并向所述响应方发送所述请求方身份本文档来自技高网...

【技术保护点】
1.一种远程身份验证方法，其特征在于，应用于身份验证平台，所述方法包括：/n在请求方的可信凭据、请求方的身份证言密钥AIK证书、响应方的可信凭据和响应方的AIK证书均在有效周期内的情况下，当所述响应方接收到所述请求方发送的请求报文时，接收由所述响应方发送的请求方验证报文，所述请求方验证报文由所述响应方应用所述响应方的AIK证书，对所述请求方向所述响应方发送的请求报文进行签名生成；/n对所述请求方验证报文进行验证，生成请求方身份验证结果，并应用预设的验证平台数字证书对所述请求方身份验证结果进行签名，得到请求方身份验证结果报文，并向所述响应方发送所述请求方身份验证结果报文；/n触发所述响应方对所述请求方身份验证结果报文进行签名验证，获取所述请求方身份验证结果报文中的所述请求方身份验证结果，并依据所述请求方验证结果判断所述请求方的身份是否验证通过；/n当判断所述请求方的身份验证通过时，接收所述请求方发送的响应方验证报文，所述响应方验证报文由所述请求方应用所述请求方的AIK证书，对所述响应方向所述请求方发送的响应报文进行签名生成；/n对所述响应方验证报文进行验证，生成响应方身份验证结果，并应用所述验证平台数字证书对所述响应方身份验证结果进行签名，得到响应方身份验证结果报文，并向所述请求方发送所述响应方身份验证结果报文，完成对所述请求方和响应方的身份验证。/n...

【技术特征摘要】
1.一种远程身份验证方法，其特征在于，应用于身份验证平台，所述方法包括：
在请求方的可信凭据、请求方的身份证言密钥AIK证书、响应方的可信凭据和响应方的AIK证书均在有效周期内的情况下，当所述响应方接收到所述请求方发送的请求报文时，接收由所述响应方发送的请求方验证报文，所述请求方验证报文由所述响应方应用所述响应方的AIK证书，对所述请求方向所述响应方发送的请求报文进行签名生成；
对所述请求方验证报文进行验证，生成请求方身份验证结果，并应用预设的验证平台数字证书对所述请求方身份验证结果进行签名，得到请求方身份验证结果报文，并向所述响应方发送所述请求方身份验证结果报文；
触发所述响应方对所述请求方身份验证结果报文进行签名验证，获取所述请求方身份验证结果报文中的所述请求方身份验证结果，并依据所述请求方验证结果判断所述请求方的身份是否验证通过；
当判断所述请求方的身份验证通过时，接收所述请求方发送的响应方验证报文，所述响应方验证报文由所述请求方应用所述请求方的AIK证书，对所述响应方向所述请求方发送的响应报文进行签名生成；
对所述响应方验证报文进行验证，生成响应方身份验证结果，并应用所述验证平台数字证书对所述响应方身份验证结果进行签名，得到响应方身份验证结果报文，并向所述请求方发送所述响应方身份验证结果报文，完成对所述请求方和响应方的身份验证。


2.根据权利要求1所述的方法，其特征在于，还包括：
当所述请求方接收到所述响应方身份验证结果报文时，触发所述请求方对所述响应方身份验证结果报文进行签名验证，获取所述响应方身份验证结果报文中的所述响应方身份验证结果，并依据所述响应方身份验证结果，判断所述响应方身份是否验证通过。


3.根据权利要求1所述的方法，其特征在于，所述对所述请求方验证报文进行验证，生成请求方验证结果，包括：
使用所述响应方的AIK证书对所述请求方验证报文进行签名验证，当签名验证通过时，获取所述请求方验证报文中的请求报文；
使用所述请求方的AIK证书对所述请求报文进行签名验证，当签名验证通过时，获取所述请求报文中的请求方可信凭据以及随机数，将所述随机数进行保存；
判断所述请求报文中的请求方的可信凭据与所述身份验证平台中的请求方的可信凭据是否一致；
当所述请求报文中的请求方的可信凭据与所述身份验证平台中的请求方的可信凭据一致时，对所述请求方的身份验证结果为身份验证通过。


4.根据权利要求1所述的方法，其特征在于，所述对所述响应方验证报文进行验证，生成响应方身份验证结果，包括：
使用所述请求方的AIK证书对所述响应方验证报文进行签名验证，当签名验证通过时，获取所述响应方验证报文中的响应报文；
使用所述响应方的AIK证书对所述响应报文进行签名验证，当签名验证通过时，获取所述响应报文中的响应方的可信凭据；
判断所述请求报文中的响应方的可信凭据与所述身份验证平台中的响应方的可信凭据是否一致；
当所述响应报文中的响应方的可信凭据与所述身份验证平台中的响应方的可信凭据一致时，对所述响应方的身份验证结果为身份验证通过。


5.根据权利要求1所述的方法，其特征在于，请求方或响应方获取有效AIK证书与可信凭据的过程，包括：
接收订阅方发送的订阅报文，所述订阅方为所述请求方或是响应方，所述订阅报文为所述订阅方使用所述身份验证平台的数字公钥对订阅信息进行加密得到；
使用预设的数字私钥对所述订阅报文进行解密，获取所述订阅报文中的订阅信息；
将所述订阅信息中订阅方的完整性度量信息进行记录，依据对所述订阅方的完整性度量信息的所有记录，生成所述订阅方的可信度量历史日志；
依据订阅方的可信度...

【专利技术属性】
技术研发人员：章维，马纳，陈银桃，罗冰，张高达，
申请(专利权)人：浙江中控技术股份有限公司，
类型：发明
国别省市：浙江;33