一种基于无证书技术的身份认证系统及其工作方法技术方案

本发明专利技术公开了一种基于无证书技术的身份认证系统及其工作方法，设置了前置服务，在逻辑上将终端设备与核心服务之间进行了隔离，在隐藏核心服务的同时能够有效的防止外部攻击对核心服务造成损害。终端ID的融合生成机制，通过引入随机数参数，加大非法人员破解终端ID生成规则的难度；从设备特征、操作系统特征、通信特正三个维度对终端设备进行描述，能够确保终端ID的唯一性并能够有效的防止机卡分离、终端冒用等事件的发生。本发明专利技术能够弥补证书系统存在的问题，使之能够在分布式电源场景中为分布式电源终端提供高效安全的身份衍生方式。布式电源终端提供高效安全的身份衍生方式。布式电源终端提供高效安全的身份衍生方式。

【技术实现步骤摘要】
一种基于无证书技术的身份认证系统及其工作方法


[0001]本专利技术涉及一种基于无证书技术的身份认证系统及其工作方法，属于电力系统信息安全


技术介绍

[0002]分布式电力系统是由各型号的分布式电源发电终端组合而成的，系统庞大而复杂，联动性较强，举一发而动全具。若通信中心及站点之间出现安全故障，影响范围很可能会波及整个电力通信系统。
[0003]因此，分布式电源发电终端通信的信息安全就变的尤为重要。分布式电源发电终端的身份认证作为信息安全中最重要的一环，其具有如下特点：（1）、海量分布式发电终端导致PKI证书管理复杂。
[0004]（2）、PKI系统中密钥托管机制导致密钥集中存储问题。
[0005]（3）、部分分布式电源发电终端受限于计算资源、存储资源等问题，不能使用证书方式进行身份认证。
[0006]现有的身份认证技术，如无证书公钥密码系统、基于证书的身份验证被广泛应用于各位身份认证领域，但现有技术由于自身算法特点，在应用于分布式电源发电终端认证时，还有如下不足：（1）、对主体的识别基于证书信息，而证书信息中的主体身份信息与主体本身特征并不绑定，即无法单通过证书来确定是主体是否合法，还需要其他额外信息来确认主体身份，如用户名、指纹等。
[0007]（2）、在PKI体系中，为了方便密钥管理，证书主体的私钥信息一般均会在CA中进行集中托管，因此私钥的安全性严重依赖CA组织的安全性。
[0008]（3）、认证方需要进行两次计算才能够完成验证工作，第一次计算证书的签名的有效性，第二次计算应答消息的有效性。
[0009]（4）、在海量终端设备的分布式电源场景中，CA中心的方式在证书生成和存储方面有一定的制约。
[0010]因此，如何在提高认证效率的同时，增强认证安全性，是分布式电源发电终端身份认证急需要解决的技术问题。

技术实现思路

[0011]目的：为了克服现有技术中存在的不足，本专利技术提供一种基于无证书技术的身份认证系统及其工作方法，能够弥补证书系统存在的问题，使之能够在分布式电源场景中为分布式电源终端提供高效安全的身份衍生方式。
[0012]技术方案：为解决上述技术问题，本专利技术采用的技术方案为：第一方面，一种基于无证书技术的身份认证系统，包括：终端SDK、前置服务、设备中心、密钥中心。
[0013]所述终端SDK，用于负责终端信息采集，终端身份信息生成以及认证工作。
[0014]所述前置服务，用于负责终端SDK与后端服务进行数据交互工作。
[0015]所述设备中心，用于负责终端设备的注册以及设备管理工作。
[0016]所述密钥中心，用于负责KGC参数的生成以及终端设备相关密钥信息的生成工作，并将所生成的相关信息发布到前置服务中。
[0017]进一步的，还包括：安全中心，用于负责安全策略设置以及安全审计工作。
[0018]进一步的，所述终端SDK，具体包括：信息采集组件：用于收集终端SDK所在终端设备的终端信息，包括：设备信息、操作系统信息、SIM卡信息；将收集到终端信息通过散列算法生成相应的ID信息。
[0019]身份信息生成组件：用于将ID信息以及协商好的随机数通过算法生成终端ID。从前置服务获取密钥中心的公共参数params以及终端设备的部分私钥PPK，并通过公共参数params、终端设备部分私钥PPK、终端设备的终端ID生成终端设备的秘密值xID。通过终端设备的秘密值xID，公共参数params、终端设备的终端ID，生成终端设备的公钥PKID。生成一个随机消息M，并使用终端设备的秘密值xID、公共参数params、终端设备的终端ID以及终端设备的部分私钥PPK对随机消息M进行签名，生成随机消息M的签名。将终端设备的公钥PKID，随机消息M以及随机消息M的签名进行打包，生成终端设备的认证信息auth。
[0020]认证组件：用于通过公共参数params,提取认证信息auth中的随机消息M的签名、随机消息M和终端设备的公钥PKID,根据随机消息M和终端设备的公钥PKID对随机消息M的签名其进行验证，若验证通过，则认为身份验证通过，若验证未通过，则认为身份验证未通过。
[0021]进一步的，所述前置服务，具体包括：终端信息采集组件：用于接收终端SDK发送的终端设备的设备ID、操作系统ID、SIM卡ID信息。
[0022]密钥发布组件：用于发布公共参数params，终端设备的部分私钥PPK。
[0023]数据代理组件：用于代理转发终端SDK与设备中心、密钥之间交互的信息。
[0024]进一步的，所述设备中心，具体包括：设备注册组件：用于设备的生命周期管理，至少包括其中之一：设备注册、变更、删除。
[0025]设备管理组件：用于设备状态管理，至少包括其中之一：设备在线、离线。
[0026]进一步的，所述密钥中心，具体包括：密钥生成组件：用于产生系统密钥，包括：公共参数params、主密钥MSK以及终端设备的部分私钥PPK。
[0027]参数发布组件：用于将公共参数params，终端设备的部分私钥PPK发送至公网侧。
[0028]第二方面，一种基于无证书技术的身份认证系统工作方法，包括如下步骤：步骤1：密钥中心生成对外公开的公共参数params、不对外公开的主密钥MSK，并将公共参数params发布在前置服务的密钥发布组件中。
[0029]步骤2：设备中心通过前置服务分别与终端设备A、终端设备B上终端SDK进行通讯，获取终端设备A、终端设备B各自的ID信息，并对终端设备A、终端设备B进行注册。设备中心与终端设备A、终端设备B上的终端SDK进行协调，生成终端设备A、终端设备B的终端ID，并将
终端设备A、终端设备B的终端ID保存在设备中心。
[0030]步骤3：密钥中心从设备中心获取终端设备A、终端设备B的终端ID，并根据终端设备A、终端设备B的终端ID和主密钥MSK分别通过算法生成终端设备A、终端设备B的部分私钥PPK，并发布在前置服务的密钥发布组件中。
[0031]步骤4：终端设备A上的终端SDK从前置服务的密钥发布组件中获取公共参数params、终端设备A的部分私钥PPK，通过公共参数params、终端设备A的部分私钥PPK、终端设备A的终端ID生成终端设备A的秘密值xID。
[0032]步骤5：终端设备A上的终端SDK通过终端设备A的秘密值xID，公共参数params、终端设备A的终端ID，生成终端设备A的公钥PKID。
[0033]步骤6：终端设备A上的终端SDK生成一个随机消息M，并使用终端设备A的秘密值xID、公共参数params、终端设备A的终端ID以及终端设备A的部分私钥PPK对随机消息M进行签名，生成随机消息M的签名。
[0034]步骤7：终端设备A上的终端SDK将终端设备A的公钥PKID，随机消息M以及随机消息M的签名进行打包，生成终端设备A的认证信息auth。...

【技术保护点】

【技术特征摘要】
1.一种基于无证书技术的身份认证系统，其特征在于：包括：终端SDK、前置服务、设备中心、密钥中心；所述终端SDK，用于负责终端信息采集，终端身份信息生成以及认证工作；所述前置服务，用于负责终端SDK与后端服务进行数据交互工作；所述设备中心，用于负责终端设备的注册以及设备管理工作；所述密钥中心，用于负责KGC参数的生成以及终端设备相关密钥信息的生成工作，并将所生成的相关信息发布到前置服务中。2.根据权利要求1所述的一种基于无证书技术的身份认证系统，其特征在于：还包括：安全中心，用于负责安全策略设置以及安全审计工作。3.根据权利要求1或2所述的一种基于无证书技术的身份认证系统，其特征在于：所述终端SDK，具体包括：信息采集组件：用于收集终端SDK所在终端设备的终端信息，包括：设备信息、操作系统信息、SIM卡信息；将收集到终端信息通过散列算法生成相应的ID信息；身份信息生成组件：用于将ID信息以及协商好的随机数通过算法生成终端ID；从前置服务获取密钥中心的公共参数params以及终端设备的部分私钥PPK，并通过公共参数params、终端设备部分私钥PPK、终端设备的终端ID生成终端设备的秘密值xID；通过终端设备的秘密值xID，公共参数params、终端设备的终端ID，生成终端设备的公钥PKID；生成一个随机消息M，并使用终端设备的秘密值xID、公共参数params、终端设备的终端ID以及终端设备的部分私钥PPK对随机消息M进行签名，生成随机消息M的签名；将终端设备的公钥PKID，随机消息M以及随机消息M的签名进行打包，生成终端设备的认证信息auth；认证组件：用于通过公共参数params,提取认证信息auth中的随机消息M的签名、随机消息M和终端设备的公钥PKID,根据随机消息M和终端设备的公钥PKID对随机消息M的签名其进行验证，若验证通过，则认为身份验证通过，若验证未通过，则认为身份验证未通过。4.根据权利要求1或2所述的一种基于无证书技术的身份认证系统，其特征在于：所述前置服务，具体包括：终端信息采集组件：用于接收终端SDK发送的终端设备的设备ID、操作系统ID、SIM卡ID信息；密钥发布组件：用于发布公共参数params，终端设备的部分私钥PPK；数据代理组件：用于代理转发终端SDK与设备中心、密钥之间交互的信息。5.根据权利要求1或2所述的一种基于无证书技术的身份认证系统，其特征在于：所述设备中心，具体包括：设备注册组件：用于设备的生命周期管理，至少包括其中之一：设备注册、变更、删除；设备管理组件：用于设备状态管理，至少包括其中之一：设备在线、离线。6.根据权利要求1或2所述的一种基于无证书技术的身份认证系统，其特征在于：所述密钥中心，具体包括：密钥生成组件：用于产生系统密钥，包括：公共参数params、主密钥MSK以及终端设备的部分私钥PPK；参数发布组件：用于将公共参数params，终端设备的部分私钥PPK发送至发送至公网侧。
7.一种基于无证书技术的身份认证系统的工作方法，其特征在于：包括如下步骤：步骤1：密钥中心生成对外公开的公共参数params、不对外公开的主密钥MSK，并将公共参数params发布在前置服务的密钥发布组件中；步骤2：设备中心通过前置服务分别与终端设备A、终端设备B上终端SDK进行通讯，获取终端设备A、终端设备B各自的ID信息，并对终端设备A、终端设备B进行注册；设备中心与终端设备A、终端设备B上的终端SDK进行协调，生成终端设备A、终端设备B的终端ID，并将终端设备A、终端设备B的终端ID保存在设备中心；步骤3：密钥中心从设备中心获取终端设备A、终端设备B的终端ID，并根据终端设备A、终端设备B的终端ID和主密钥MSK分别通过算法生成终端设备A、终端设备B的部分私钥PPK，并发布在前置服务的密钥发布组件中；步骤4：终端设备A上的终端SDK从前置服务的密钥发布组件中获取公共参数params、终端设备A的部分私钥PPK，通过公共参数params、终端设备A的部分私钥PPK、...

【专利技术属性】
技术研发人员：张晓，王友怀，何宇雄，金石，张雯露，李蓓贝，何智洪，张光洲，李勃，梁野，王春艳，付广宇，邵立嵩，邢世龙，
申请(专利权)人：国网湖北省电力有限公司，
类型：发明
国别省市：