CN106850207B - 无ca的身份认证方法和系统 - Google Patents

无ca的身份认证方法和系统 Download PDF

Info

Publication number
CN106850207B
CN106850207B CN201710113552.7A CN201710113552A CN106850207B CN 106850207 B CN106850207 B CN 106850207B CN 201710113552 A CN201710113552 A CN 201710113552A CN 106850207 B CN106850207 B CN 106850207B
Authority
CN
China
Prior art keywords
main website
random number
public key
signature
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710113552.7A
Other languages
English (en)
Other versions
CN106850207A (zh
Inventor
杨祎巍
林伟斌
李鹏
肖勇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China South Power Grid International Co ltd
Original Assignee
China South Power Grid International Co ltd
Power Grid Technology Research Center of China Southern Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China South Power Grid International Co ltd, Power Grid Technology Research Center of China Southern Power Grid Co Ltd filed Critical China South Power Grid International Co ltd
Priority to CN201710113552.7A priority Critical patent/CN106850207B/zh
Publication of CN106850207A publication Critical patent/CN106850207A/zh
Application granted granted Critical
Publication of CN106850207B publication Critical patent/CN106850207B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种无CA的身份认证方法和系统,所述方法包括:接收主站在接收身份认证指令后发送的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名;利用安全芯片私钥对接收的主站在接收身份认证指令后发送的主站公钥进行第二次签名,得到主站公钥的第二签名;当上述两个签名相同时,生成第一随机数;利用主站公钥对第一随机数进行加密,并将第一随机数的加密结果发送至主站;接收主站发送的第二随机数;当第一随机数与第二随机数相同时,判定所述主站身份认证通过,并将该身份认证通过结果发送至主站。本发明认证过程中无需在线CA的参与,减少了通信流量,消除了第三方CA的角色,降低了交互的复杂度。

Description

无CA的身份认证方法和系统
技术领域
本发明涉及可信计算技术领域,特别是涉及一种无CA的身份认证方法和系统。
背景技术
非对称密钥的认证通常采用证书的方式,通过CA(证书管理机构)提供第三方认证。在互联网场景下,通信双方难以通过会面等其他安全方式交换密钥,因此需要第三方CA保证密钥的安全性。但是在工控系统中如果通过CA提供第三方认证,不仅通信流量大,交互复杂度高,而且对于使用485、无线等通信方式的工控系统,其通信带宽、通信稳定性远不如互联网可靠,通过CA提供第三方认证,通信速率低,通信稳定性差,无法满足工控系统的认证需求。
发明内容
基于上述情况,本发明提出了一种无CA的身份认证方法和系统,认证过程中无需在线CA的参与,减少了通信流量,消除了第三方CA的角色,降低了交互的复杂度。
为了实现上述目的,本发明技术方案的实施例为:
一种无CA的身份认证方法,包括以下步骤:
接收主站在接收身份认证指令后发送的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名,所述主站公钥的第一签名为在预设安全环境中接收所述主站发送的所述主站非对称密钥中主站公钥后,利用生成的安全芯片非对称密钥中的安全芯片私钥对在预设安全环境中接收的主站公钥进行第一次签名后得到的签名;
利用所述安全芯片私钥对接收的所述主站在接收身份认证指令后发送的主站公钥进行第二次签名,得到主站公钥的第二签名;
当所述主站公钥的第一签名和所述主站公钥的第二签名相同时,生成第一随机数;
利用所述主站非对称密钥中主站公钥对所述第一随机数进行加密,并将所述第一随机数的加密结果发送至所述主站;
接收所述主站发送的第二随机数,所述第二随机数为所述主站利用所述主站非对称密钥中的主站私钥对所述第一随机数的加密结果进行解密得到的随机数;
当所述第一随机数与所述第二随机数相同时,判定所述主站身份认证通过,并将所述主站的身份认证通过结果发送至所述主站。
一种无CA的身份认证方法,包括以下步骤:
接收主站在接收身份认证指令后发送的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名,所述主站公钥的第一签名为在预设安全环境中接收所述主站发送的所述主站非对称密钥中主站公钥后,利用生成的安全芯片非对称密钥中的安全芯片私钥对在预设安全环境中接收的主站公钥进行第一次签名后得到的签名;
利用所述安全芯片私钥对接收的所述主站在接收身份认证指令后发送的主站公钥进行第二次签名,得到主站公钥的第二签名;
当所述主站公钥的第一签名和所述主站公钥的第二签名相同时,生成第一随机数;
利用所述主站非对称密钥中主站公钥对所述第一随机数进行加密,并将所述第一随机数的加密结果发送至所述主站;
接收所述主站发送的第二随机数的散列值,所述第二随机数的散列值为所述主站利用所述主站非对称密钥中的主站私钥对所述第一随机数的加密结果进行解密得到第二随机数后,根据所述第二随机数确定的散列值;
当所述第一随机数的散列值与所述第二随机数的散列值相同时,判定所述主站身份认证通过,并将所述主站的身份认证通过结果发送至所述主站,所述第一随机数的散列值根据所述第一随机数确定。
一种无CA的身份认证方法,包括以下步骤:
在接收身份认证指令后,将生成的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名发送至安全芯片,所述主站公钥的第一签名为所述安全芯片在预设安全环境中接收所述主站非对称密钥中主站公钥后,利用生成的安全芯片非对称密钥中的安全芯片私钥对在预设安全环境中接收的主站公钥进行第一次签名得到的签名;
接收所述安全芯片发送的第一随机数的加密结果,所述第一随机数的加密结果为当所述主站公钥的第一签名和主站公钥的第二签名相同时,所述安全芯片生成第一随机数后,利用所述主站非对称密钥中主站公钥对所述第一随机数进行加密得到的随机数的加密结果,所述主站公钥的第二签名为所述安全芯片利用所述安全芯片私钥对在身份认证指令后接收的主站公钥进行第二次签名得到的签名;
利用所述主站非对称密钥中的主站私钥对所述第一随机数的加密结果进行解密,得到第二随机数,并将所述第二随机数发送至所述安全芯片;
接收所述安全芯片发送的身份认证通过结果,所述身份认证通过结果为当所述第一随机数与所述第二随机数相同时,所述安全芯片判定所述主站身份认证通过的结果。
一种无CA的身份认证方法,包括以下步骤:
在接收身份认证指令后,将生成的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名发送至安全芯片,所述主站公钥的第一签名为所述安全芯片在预设安全环境中接收所述主站非对称密钥中主站公钥后,利用生成的安全芯片非对称密钥中的安全芯片私钥对在预设安全环境中接收的主站公钥进行第一次签名得到的签名;
接收所述安全芯片发送的第一随机数的加密结果,所述第一随机数的加密结果为当所述主站公钥的第一签名和主站公钥的第二签名相同时,所述安全芯片生成第一随机数后,利用所述主站非对称密钥中主站公钥对所述第一随机数进行加密得到的随机数的加密结果,所述主站公钥的第二签名为所述安全芯片利用所述安全芯片私钥对在身份认证指令后接收的主站公钥进行第二次签名得到的签名;
利用所述主站非对称密钥中的主站私钥对所述第一随机数的加密结果进行解密,得到第二随机数,根据所述第二随机数确定所述随机数的散列值,并将所述第二随机数的散列值发送至所述安全芯片;
接收所述安全芯片发送的身份认证通过结果,所述身份认证通过结果为当所述第一随机数的散列值与所述第二随机数的散列值相同时,所述安全芯片判定所述主站身份认证通过的结果,所述第一随机数的散列值为所述安全芯片根据所述第一随机数确定的散列值。
一种无CA的身份认证系统,包括:
主站公钥及主站公钥签名接收模块,用于接收主站在接收身份认证指令后发送的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名,所述主站公钥的第一签名为在预设安全环境中接收所述主站发送的所述主站非对称密钥中主站公钥后,利用生成的安全芯片非对称密钥中的安全芯片私钥对在预设安全环境中接收的主站公钥进行第一次签名后得到的签名;
主站公钥签名模块,用于利用所述安全芯片私钥对接收的所述主站在接收身份认证指令后发送的主站公钥进行第二次签名,得到主站公钥的第二签名;
随机数生成模块,用于当所述主站公钥的第一签名和所述主站公钥的第二签名相同时,生成第一随机数;
随机数加密模块,用于利用所述主站非对称密钥中主站公钥对所述第一随机数进行加密;
随机数加密结果发送模块,用于将所述第一随机数的加密结果发送至所述主站;
随机数接收模块,用于接收所述主站发送的第二随机数,所述第二随机数为所述主站利用所述主站非对称密钥中的主站私钥对所述第一随机数的加密结果进行解密得到的随机数;
主站认证模块,用于当所述第一随机数与所述第二随机数相同时,判定所述主站身份认证通过;
主站认证结果发送模块,用于将所述主站的身份认证通过结果发送至所述主站。
一种无CA的身份认证系统,包括:
主站公钥及主站公钥签名接收模块,用于接收主站在接收身份认证指令后发送的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名,所述主站公钥的第一签名为在预设安全环境中接收所述主站发送的所述主站非对称密钥中主站公钥后,利用生成的安全芯片非对称密钥中的安全芯片私钥对在预设安全环境中接收的主站公钥进行第一次签名后得到的签名;
主站公钥签名模块,用于利用所述安全芯片私钥对接收的所述主站在接收身份认证指令后发送的主站公钥进行第二次签名,得到主站公钥的第二签名;
随机数生成模块,用于当所述主站公钥的第一签名和所述主站公钥的第二签名相同时,生成第一随机数;
随机数加密模块,用于利用所述主站非对称密钥中主站公钥对所述第一随机数进行加密;
随机数加密结果发送模块,用于将所述第一随机数的加密结果发送至所述主站;
随机数散列值接收模块,用于接收所述主站发送的第二随机数的散列值,所述第二随机数的散列值为所述主站利用所述主站非对称密钥中的主站私钥对所述第一随机数的加密结果进行解密得到第二随机数后,根据所述第二随机数确定的散列值;
主站认证模块,用于当所述第一随机数的散列值与所述第二随机数的散列值相同时,判定所述主站身份认证通过,所述第一随机数的散列值根据所述第一随机数确定;
主站认证结果发送模块,用于将所述主站的身份认证通过结果发送至所述主站。
一种无CA的身份认证系统,包括:
主站公钥及主站公钥签名发送模块,用于在接收身份认证指令后,将生成的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名发送至安全芯片,所述主站公钥的第一签名为所述安全芯片在预设安全环境中接收所述主站非对称密钥中主站公钥后,利用生成的安全芯片非对称密钥中的安全芯片私钥对在预设安全环境中接收的主站公钥进行第一次签名得到的签名;
随机数加密结果接收模块,用于接收所述安全芯片发送的第一随机数的加密结果,所述第一随机数的加密结果为当所述主站公钥的第一签名和主站公钥的第二签名相同时,所述安全芯片生成第一随机数后,利用所述主站非对称密钥中主站公钥对所述第一随机数进行加密得到的随机数的加密结果,所述主站公钥的第二签名为所述安全芯片利用所述安全芯片私钥对在身份认证指令后接收的主站公钥进行第二次签名得到的签名;
随机数加密结果解密模块,用于利用所述主站非对称密钥中的主站私钥对所述第一随机数的加密结果进行解密,得到第二随机数;
随机数发送模块,用于将所述第二随机数发送至所述安全芯片;
认证结果接收模块,用于接收所述安全芯片发送的身份认证通过结果,所述身份认证通过结果为当所述第一随机数与所述第二随机数相同时,所述安全芯片判定身份认证通过的结果。
一种无CA的身份认证系统,包括:
主站公钥及主站公钥签名发送模块,用于在接收身份认证指令后,将生成的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名发送至安全芯片,所述主站公钥的第一签名为所述安全芯片在预设安全环境中接收所述主站非对称密钥中主站公钥后,利用生成的安全芯片非对称密钥中的安全芯片私钥对在预设安全环境中接收的主站公钥进行第一次签名得到的签名;
随机数加密结果接收模块,用于接收所述安全芯片发送的第一随机数的加密结果,所述第一随机数的加密结果为当所述主站公钥的第一签名和主站公钥的第二签名相同时,所述安全芯片生成第一随机数后,利用所述主站非对称密钥中主站公钥对所述第一随机数进行加密得到的随机数的加密结果,所述主站公钥的第二签名为所述安全芯片利用所述安全芯片私钥对在身份认证指令后接收的主站公钥进行第二次签名得到的签名;
随机数加密结果解密模块,用于利用所述主站非对称密钥中的主站私钥对所述第一随机数的加密结果进行解密,得到第二随机数,根据所述第二随机数确定所述随机数的散列值;
随机数散列值发送模块,用于将所述第二随机数的散列值发送至所述安全芯片;
认证结果接收模块,用于接收所述安全芯片发送的身份认证通过结果,所述身份认证通过结果为当所述第一随机数的散列值与所述第二随机数的散列值相同时,所述安全芯片判定身份认证通过的结果,所述第一随机数的散列值为所述安全芯片根据所述第一随机数确定的散列值。
与现有技术相比,本发明的有益效果为:本发明无CA的身份认证方法和系统,首先接收主站在接收身份认证指令后发送的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名;然后利用安全芯片私钥对接收的主站在接收身份认证指令后发送的主站公钥进行第二次签名,得到主站公钥的第二签名;当所述主站公钥的第一签名和所述主站公钥的第二签名相同时,生成第一随机数;利用主站非对称密钥中主站公钥对所述第一随机数进行加密,并将所述第一随机数的加密结果发送至所述主站;接收所述主站发送的第二随机数;当所述第一随机数与所述第二随机数相同时,判定所述主站身份认证通过,并将所述主站的身份认证通过结果发送至所述主站。本发明对主站进行非对称密钥的认证,认证过程中无需在线CA的参与,减少了通信流量,消除了第三方CA的角色,降低了交互的复杂度,更加适用于工业控制等嵌入式应用场景。
附图说明
图1为一个实施例中无CA的身份认证方法流程图一;
图2为一个实施例中无CA的身份认证方法流程图二;
图3为一个实施例中无CA的身份认证方法流程图三;
图4为一个实施例中无CA的身份认证方法流程图四;
图5为基于图2、4所示方法一个具体示例中无CA的身份认证方法中主站公钥签名流程图;
图6为基于图2、4所示方法一个具体示例中无CA的身份认证方法中公钥验证流程图;
图7为基于图2、4所示方法一个具体示例中无CA的身份认证方法中挑战/应答流程图;
图8为一个实施例中无CA的身份认证系统结构示意图一;
图9为一个实施例中无CA的身份认证系统结构示意图二;
图10为一个实施例中无CA的身份认证系统结构示意图三;
图11为一个实施例中无CA的身份认证系统结构示意图四。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步的详细说明。应当理解,此处所描述的具体实施方式仅仅用以解释本发明,并不限定本发明的保护范围。
图1中示出一个实施例中本发明无CA(证书管理机构)的身份认证方法流程图一,在该实施例中,是以安全芯片(TPM,Trusted Platform Module)的处理过程为例进行说明,这里安全芯片就是可信任平台模块,是一个可独立进行密钥生成、加解密的装置,安全芯片安装在终端设备中。
如图1所示,在该实施例中,安全芯片的处理过程可以包括以下步骤:
步骤S101:接收主站在接收身份认证指令后发送的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名,所述主站公钥的第一签名为在预设安全环境中接收所述主站发送的所述主站非对称密钥中主站公钥后,利用生成的安全芯片非对称密钥中的安全芯片私钥对在预设安全环境中接收的主站公钥进行第一次签名后得到的签名;
这里,身份认证指令为需要认证后才能进行相应操作的指令,例如电表拉闸指令。主站为后台服务器或机房等。
具体地,预设安全环境指值密钥注入、产品检测等环节,这些环节由主站自身管理,通常在特殊的场所开展工作,如在机房、装有监控安全等级较高的车间等,这些场所通常不联网、工作人员可靠。在安全环境下,可以认为一些安全风险无法产生威胁。
主站非对称密钥、安全芯片非对称密钥通常使用随机数发生器随机生成。
非对称密钥包括公钥和私钥,非对称密钥的公钥和私钥配对使用,公钥可以公开,私钥由密钥持有人保管,公钥加密的数据只有私钥能够解密,私钥加密的数据(称为签名)只有公钥可以解密。
步骤S102:利用所述安全芯片私钥对接收的所述主站在接收身份认证指令后发送的主站公钥进行第二次签名,得到主站公钥的第二签名;
这里,签名指用私钥对数据进行加密,实际应用中,通常使用私钥对数据的哈希值进行加密,签名的作用是:可以验证数据的授权(私钥签名)和完整性(哈希函数)。
步骤S103:当所述主站公钥的第一签名和所述主站公钥的第二签名相同时,生成第一随机数;
具体地,主站公钥的第一签名和所述主站公钥的第二签名相同说明数据与签名是一致的,数据是经过授权的,是正确的,是未被篡改的。若不一致,说明数据是伪造的,或经过了篡改。
这里,使用基于硬件的随机数发生器产生随机数。
步骤S104:利用所述主站非对称密钥中主站公钥对所述第一随机数进行加密,并将所述第一随机数的加密结果发送至所述主站;
步骤S105:接收所述主站发送的第二随机数,所述第二随机数为所述主站利用所述主站非对称密钥中的主站私钥对所述第一随机数的加密结果进行解密得到的随机数;
步骤S106:当所述第一随机数与所述第二随机数相同时,判定所述主站身份认证通过,并将所述主站的身份认证通过结果发送至所述主站。
这里,若一致,则认证通过,否则返回失败,私钥代表了持有人,私钥的操作就是持有人意思的表达;而公钥则可以公开,每个人都可以拿到。上述即为如果证明A是私钥的持有人,方法如下:B生成一个随机数,用公钥加密,如果A能够正确解密,告诉B随机数的值,则说明A是私钥的持有人。
从以上描述可知,本发明无CA的身份认证方法,对主站进行非对称密钥的认证,认证过程中无需在线CA的参与,减少了通信流量,消除了第三方CA的角色,降低了交互的复杂度,更加适用于工业控制等嵌入式应用场景。
此外,在一个具体示例中,所述主站公钥的第一签名为在预设安全环境中接收所述主站发送的所述主站非对称密钥中主站公钥后,获得在预设安全环境中接收的主站公钥的散列值,利用所述安全芯片私钥对所述主站公钥的散列值进行加密得到的签名。
这里,签名指用私钥对数据进行加密,实际应用中,通常使用私钥对数据的哈希值进行加密,签名的作用是:可以验证数据的授权(私钥签名)和完整性(哈希函数)。
图2中示出一个实施例中本发明无CA的身份认证方法流程图二,在该实施例中,是以安全芯片的处理过程为例进行说明。
如图2所示,在该实施例中,安全芯片的处理过程可以包括以下步骤:
步骤S201:接收主站在接收身份认证指令后发送的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名,所述主站公钥的第一签名为在预设安全环境中接收所述主站发送的所述主站非对称密钥中主站公钥后,利用生成的安全芯片非对称密钥中的安全芯片私钥对在预设安全环境中接收的主站公钥进行第一次签名后得到的签名;
具体地,所述主站公钥的第一签名为在预设安全环境中接收所述主站发送的所述主站非对称密钥中主站公钥后,获得在预设安全环境中接收的主站公钥的散列值,利用所述安全芯片私钥对所述主站公钥的散列值进行加密得到的签名。
步骤S202:利用所述安全芯片私钥对接收的所述主站在接收身份认证指令后发送的主站公钥进行第二次签名,得到主站公钥的第二签名;
步骤S203:当所述主站公钥的第一签名和所述主站公钥的第二签名相同时,生成第一随机数;
步骤S204:利用所述主站非对称密钥中主站公钥对所述第一随机数进行加密,并将所述第一随机数的加密结果发送至所述主站;
步骤S205:接收所述主站发送的第二随机数的散列值,所述第二随机数的散列值为所述主站利用所述主站非对称密钥中的主站私钥对所述第一随机数的加密结果进行解密得到第二随机数后,根据所述第二随机数确定的散列值;
步骤S206:当所述第一随机数的散列值与所述第二随机数的散列值相同时,判定所述主站身份认证通过,并将所述主站的身份认证通过结果发送至所述主站,所述第一随机数的散列值根据所述第一随机数确定。
这里,散列值又称哈希值,哈希函数用于计算数据的“指纹”,数据有微小的改变,其哈希值会有明显不同。因此,这里的一致说明数据与签名是一致的,数据是经过授权的,是正确的,是未被篡改的。若不一致,说明数据是伪造的,或经过了篡改。
从以上描述可知,本发明无CA的身份认证方法,对主站进行非对称密钥的认证,认证过程中无需在线CA的参与,减少了通信流量,消除了第三方CA的角色,降低了交互的复杂度,更加适用于工业控制等嵌入式应用场景。
图3中示出一个实施例中本发明无CA的身份认证方法流程图三,在该实施例中,是以主站的处理过程为例进行说明。
如图3所示,在该实施例中,主站的处理过程可以包括以下步骤:
步骤S301:在接收身份认证指令后,将生成的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名发送至安全芯片,所述主站公钥的第一签名为所述安全芯片在预设安全环境中接收所述主站非对称密钥中主站公钥后,利用生成的安全芯片非对称密钥中的安全芯片私钥对在预设安全环境中接收的主站公钥进行第一次签名得到的签名;
步骤S302:接收所述安全芯片发送的第一随机数的加密结果,所述第一随机数的加密结果为当所述主站公钥的第一签名和主站公钥的第二签名相同时,所述安全芯片生成第一随机数后,利用所述主站非对称密钥中主站公钥对所述第一随机数进行加密得到的随机数的加密结果,所述主站公钥的第二签名为所述安全芯片利用所述安全芯片私钥对在身份认证指令后接收的主站公钥进行第二次签名得到的签名;
步骤S303:利用所述主站非对称密钥中的主站私钥对所述第一随机数的加密结果进行解密,得到第二随机数,并将所述第二随机数发送至所述安全芯片;
步骤S304:接收所述安全芯片发送的身份认证通过结果,所述身份认证通过结果为当所述第一随机数与所述第二随机数相同时,所述安全芯片判定所述主站身份认证通过的结果。
从以上描述可知,本发明无CA的身份认证方法,对主站进行非对称密钥的认证,认证过程中无需在线CA的参与,减少了通信流量,消除了第三方CA的角色,降低了交互的复杂度,更加适用于工业控制等嵌入式应用场景。
此外,在一个具体实施例中,所述主站公钥的第一签名为所述安全芯片在预设安全环境中接收所述主站非对称密钥中主站公钥后,获得在预设安全环境中接收的主站公钥的散列值,利用所述安全芯片私钥对所述主站公钥的散列值进行加密得到的签名。
图4中示出一个实施例中本发明无CA的身份认证方法流程图四,在该实施例中,是以主站的处理过程为例进行说明。
如图4所示,在该实施例中,主站的处理过程可以包括以下步骤:
步骤S401:在接收身份认证指令后,将生成的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名发送至安全芯片,所述主站公钥的第一签名为所述安全芯片在预设安全环境中接收所述主站非对称密钥中主站公钥后,利用生成的安全芯片非对称密钥中的安全芯片私钥对在预设安全环境中接收的主站公钥进行第一次签名得到的签名;
这里,所述主站公钥的第一签名为所述安全芯片在预设安全环境中接收所述主站非对称密钥中主站公钥后,获得在预设安全环境中接收的主站公钥的散列值,利用所述安全芯片私钥对所述主站公钥的散列值进行加密得到的签名。
步骤S402:接收所述安全芯片发送的第一随机数的加密结果,所述第一随机数的加密结果为当所述主站公钥的第一签名和主站公钥的第二签名相同时,所述安全芯片生成第一随机数后,利用所述主站非对称密钥中主站公钥对所述第一随机数进行加密得到的随机数的加密结果,所述主站公钥的第二签名为所述安全芯片利用所述安全芯片私钥对在身份认证指令后接收的主站公钥进行第二次签名得到的签名;
步骤S403:利用所述主站非对称密钥中的主站私钥对所述第一随机数的加密结果进行解密,得到第二随机数,根据所述第二随机数确定所述随机数的散列值,并将所述第二随机数的散列值发送至所述安全芯片;
步骤S404:接收所述安全芯片发送的身份认证通过结果,所述身份认证通过结果为当所述第一随机数的散列值与所述第二随机数的散列值相同时,所述安全芯片判定所述主站身份认证通过的结果,所述第一随机数的散列值为所述安全芯片根据所述第一随机数确定的散列值。
从以上描述可知,本发明无CA的身份认证方法,对主站进行非对称密钥的认证,认证过程中无需在线CA的参与,减少了通信流量,消除了第三方CA的角色,降低了交互的复杂度,更加适用于工业控制等嵌入式应用场景。
为了更好地理解上述方法,以下详细阐述一个本发明无CA的身份认证方法的应用实例。
结合上述图2、图4中的方案,在本实施例中,是以安全芯片和主站之间的双向交互过程为例进行说明,这种说明并不用以对本发明方案构成限定。
本实施例主要有三个步骤,分别是主站公钥签名、公钥验证和挑战/应答。
主站公钥签名流程如图5所示,TPM(Trusted Platform Module,安全芯片)生成安全芯片非对称密钥,主站生成主站非对称密钥,安全芯片非对称密钥包括安全芯片公钥Ktpmpub和安全芯片私钥Ktpmpri,主站非对称密钥包括主站公钥Kuserpub和主站私钥Kuserpri;
在安全环境中,主站将主站公钥Kuserpub发送至TPM;
这里,安全环境指嵌入式设备生成等环节中涉及到的安全芯片密钥注入等环节,此时可以认为主站的密钥没有被篡改、伪造。
TPM使用安全芯片私钥Ktpmpri对主站公钥Kuserpub进行签名,得到主站公钥Kuserpub的第一签名Ktpmpri(Hash(Kuserpub)),并将该签名发送给主站,主站保存该签名;
公钥验证流程如图6所示,TPM在安装在设备中开始工作后,应用程序会需要进行认证,此时,应用程序即为主站,主站将保存的主站公钥Kuserpub的第一签名Ktpmpri(Hash(Kuserpub))和主站公钥Kuserpub一起发送个TPM;
TPM使用安全芯片私钥Ktpmpri对上一步骤接收的主站公钥Kuserpub进行签名,得到主站公钥Kuserpub的第二签名Ktpmpri’(Hash(Kuserpub));
挑战/应答流程如图7所示,TPM将主站公钥Kuserpub的第一签名Ktpmpri(Hash(Kuserpub))与主站公钥Kuserpub的第二签名Ktpmpri’(Hash(Kuserpub))进行比较,当上述两个签名相同时,生成随机数nonce,否则返回失败;
TPM使用主站公钥Kuserpub对随机数nonce进行加密,得到加密结果Kuserpub(nonce),将该加密结果发送至主站;
主站使用主站私钥Kuserpri对上述加密结果进行解密,得到随机数nonce’,计算nonce’的散列值Hash(nonce’),并将Hash(nonce’)发送给TPM;
TPM计算随机数nonce的散列值Hash(nonce),并与接收到的随机数nonce’的散列值Hash(nonce’)进行比较,若一致,则身份认证通过,否则返回失败。
从以上描述可知,本实施例包括主站公钥签名、公钥验证和挑战/应答三个步骤,主站公钥签名流程是:在安全的环境下,主站将主站公钥发送给TPM,TPM对主站公钥进行第一次签名,并将签名数据发送给主站进行保存;公钥验证流程是:安全芯片在安装在设备中开始工作后,主站将主站公钥和上述第一签名一起发送个TPM,TPM对接收的主站公钥进行第二次签名;挑战/应答流程是:当两次签名相同时,TPM生成随机数nonce,使用主站公钥进行加密,将加密结果发送给主站,主站用主站私钥进行解密,得到随机数nonce’,计算该随机数的散列值,将该散列值发送给TPM,TPM计算nonce的散列值,并与接收到的散列值进行比较,若一致,则身份认证通过。本实施例对主站进行非对称密钥的认证,认证过程中无需在线CA的参与,减少了通信流量,消除了第三方CA的角色,降低了交互的复杂度,更加适用于工业控制等嵌入式应用场景。
图8中示出一个实施例中本发明无CA的身份认证系统结构示意图一,在该实施例中,是以安全芯片这端为例进行说明。
如图8所示,在该实施例中,无CA的身份认证系统可以包括:
主站公钥及主站公钥签名接收模块801,用于接收主站在接收身份认证指令后发送的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名,所述主站公钥的第一签名为在预设安全环境中接收所述主站发送的所述主站非对称密钥中主站公钥后,利用生成的安全芯片非对称密钥中的安全芯片私钥对在预设安全环境中接收的主站公钥进行第一次签名后得到的签名;
主站公钥签名模块802,用于利用所述安全芯片私钥对接收的所述主站在接收身份认证指令后发送的主站公钥进行第二次签名,得到主站公钥的第二签名;
随机数生成模块803,用于当所述主站公钥的第一签名和所述主站公钥的第二签名相同时,生成第一随机数;
随机数加密模块804,用于利用所述主站非对称密钥中主站公钥对所述第一随机数进行加密;
随机数加密结果发送模块805,用于将所述第一随机数的加密结果发送至所述主站;
随机数接收模块806,用于接收所述主站发送的第二随机数,所述第二随机数为所述主站利用所述主站非对称密钥中的主站私钥对所述第一随机数的加密结果进行解密得到的随机数;
主站认证模块807,用于当所述第一随机数与所述第二随机数相同时,判定所述主站身份认证通过;
主站认证结果发送模块808,用于将所述主站的身份认证通过结果发送至所述主站。
图9中示出一个实施例中本发明无CA的身份认证系统结构示意图二,在该实施例中,是以安全芯片这端为例进行说明。
如图9所示,在该实施例中,无CA的身份认证系统可以包括:
主站公钥及主站公钥签名接收模块901,用于接收主站在接收身份认证指令后发送的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名,所述主站公钥的第一签名为在预设安全环境中接收所述主站发送的所述主站非对称密钥中主站公钥后,利用生成的安全芯片非对称密钥中的安全芯片私钥对在预设安全环境中接收的主站公钥进行第一次签名后得到的签名;
主站公钥签名模块902,用于利用所述安全芯片私钥对接收的所述主站在接收身份认证指令后发送的主站公钥进行第二次签名,得到主站公钥的第二签名;
随机数生成模块903,用于当所述主站公钥的第一签名和所述主站公钥的第二签名相同时,生成第一随机数;
随机数加密模块904,用于利用所述主站非对称密钥中主站公钥对所述第一随机数进行加密;
随机数加密结果发送模块905,用于将所述第一随机数的加密结果发送至所述主站;
随机数散列值接收模块906,用于接收所述主站发送的第二随机数的散列值,所述第二随机数的散列值为所述主站利用所述主站非对称密钥中的主站私钥对所述第一随机数的加密结果进行解密得到第二随机数后,根据所述第二随机数确定的散列值;
主站认证模块907,用于当所述第一随机数的散列值与所述第二随机数的散列值相同时,判定所述主站身份认证通过,所述第一随机数的散列值根据所述第一随机数确定;
主站认证结果发送模块908,用于将所述主站的身份认证通过结果发送至所述主站。
图10中示出一个实施例中本发明无CA的身份认证系统结构示意图三,在该实施例中,是以主站这端为例进行说明。
如图10所示,在该实施例中,无CA的身份认证系统可以包括:
主站公钥及主站公钥签名发送模块1001,用于在接收身份认证指令后,将生成的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名发送至安全芯片,所述主站公钥的第一签名为所述安全芯片在预设安全环境中接收所述主站非对称密钥中主站公钥后,利用生成的安全芯片非对称密钥中的安全芯片私钥对在预设安全环境中接收的主站公钥进行第一次签名得到的签名;
随机数加密结果接收模块1002,用于接收所述安全芯片发送的第一随机数的加密结果,所述第一随机数的加密结果为当所述主站公钥的第一签名和主站公钥的第二签名相同时,所述安全芯片生成第一随机数后,利用所述主站非对称密钥中主站公钥对所述第一随机数进行加密得到的随机数的加密结果,所述主站公钥的第二签名为所述安全芯片利用所述安全芯片私钥对在身份认证指令后接收的主站公钥进行第二次签名得到的签名;
随机数加密结果解密模块1003,用于利用所述主站非对称密钥中的主站私钥对所述第一随机数的加密结果进行解密,得到第二随机数;
随机数发送模块1004,用于将所述第二随机数发送至所述安全芯片;
认证结果接收模块1005,用于接收所述安全芯片发送的身份认证通过结果,所述身份认证通过结果为当所述第一随机数与所述第二随机数相同时,所述安全芯片判定身份认证通过的结果。
图11中示出一个实施例中本发明无CA的身份认证系统结构示意图四,在该实施例中,是以主站这端为例进行说明。
如图11所示,在该实施例中,无CA的身份认证系统可以包括:
主站公钥及主站公钥签名发送模块1101,用于在接收身份认证指令后,将生成的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名发送至安全芯片,所述主站公钥的第一签名为所述安全芯片在预设安全环境中接收所述主站非对称密钥中主站公钥后,利用生成的安全芯片非对称密钥中的安全芯片私钥对在预设安全环境中接收的主站公钥进行第一次签名得到的签名;
随机数加密结果接收模块1102,用于接收所述安全芯片发送的第一随机数的加密结果,所述第一随机数的加密结果为当所述主站公钥的第一签名和主站公钥的第二签名相同时,所述安全芯片生成第一随机数后,利用所述主站非对称密钥中主站公钥对所述第一随机数进行加密得到的随机数的加密结果,所述主站公钥的第二签名为所述安全芯片利用所述安全芯片私钥对在身份认证指令后接收的主站公钥进行第二次签名得到的签名;
随机数加密结果解密模块1103,用于利用所述主站非对称密钥中的主站私钥对所述第一随机数的加密结果进行解密,得到第二随机数,根据所述第二随机数确定所述随机数的散列值;
随机数散列值发送模块1104,用于将所述第二随机数的散列值发送至所述安全芯片;
认证结果接收模块1105,用于接收所述安全芯片发送的身份认证通过结果,所述身份认证通过结果为当所述第一随机数的散列值与所述第二随机数的散列值相同时,所述安全芯片判定身份认证通过的结果,所述第一随机数的散列值为所述安全芯片根据所述第一随机数确定的散列值。
从以上描述可知,本发明无CA的身份认证系统,对主站进行非对称密钥的认证,认证过程中无需在线CA的参与,减少了通信流量,消除了第三方CA的角色,降低了交互的复杂度,更加适用于工业控制等嵌入式应用场景。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种无CA的身份认证方法,应用于安全芯片端,其特征在于,包括以下步骤:
接收主站在接收身份认证指令后发送的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名,所述主站公钥的第一签名为在预设安全环境中接收所述主站发送的所述主站非对称密钥中主站公钥后,利用生成的安全芯片非对称密钥中的安全芯片私钥对在预设安全环境中接收的主站公钥进行第一次签名后得到的签名;
利用所述安全芯片私钥对接收的所述主站在接收身份认证指令后发送的主站公钥进行第二次签名,得到主站公钥的第二签名;
当所述主站公钥的第一签名和所述主站公钥的第二签名相同时,生成第一随机数;
利用所述主站非对称密钥中主站公钥对所述第一随机数进行加密,并将所述第一随机数的加密结果发送至所述主站;
接收所述主站发送的第二随机数,所述第二随机数为所述主站利用所述主站非对称密钥中的主站私钥对所述第一随机数的加密结果进行解密得到的随机数;
当所述第一随机数与所述第二随机数相同时,判定所述主站身份认证通过,并将所述主站的身份认证通过结果发送至所述主站。
2.根据权利要求1所述的无CA的身份认证方法,其特征在于,所述主站公钥的第一签名为在预设安全环境中接收所述主站发送的所述主站非对称密钥中主站公钥后,获得在预设安全环境中接收的主站公钥的散列值,利用所述安全芯片私钥对所述主站公钥的散列值进行加密得到的签名。
3.一种无CA的身份认证方法,应用于安全芯片端,其特征在于,包括以下步骤:
接收主站在接收身份认证指令后发送的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名,所述主站公钥的第一签名为在预设安全环境中接收所述主站发送的所述主站非对称密钥中主站公钥后,利用生成的安全芯片非对称密钥中的安全芯片私钥对在预设安全环境中接收的主站公钥进行第一次签名后得到的签名;
利用所述安全芯片私钥对接收的所述主站在接收身份认证指令后发送的主站公钥进行第二次签名,得到主站公钥的第二签名;
当所述主站公钥的第一签名和所述主站公钥的第二签名相同时,生成第一随机数;
利用所述主站非对称密钥中主站公钥对所述第一随机数进行加密,并将所述第一随机数的加密结果发送至所述主站;
接收所述主站发送的第二随机数的散列值,所述第二随机数的散列值为所述主站利用所述主站非对称密钥中的主站私钥对所述第一随机数的加密结果进行解密得到第二随机数后,根据所述第二随机数确定的散列值;
当所述第一随机数的散列值与所述第二随机数的散列值相同时,判定所述主站身份认证通过,并将所述主站的身份认证通过结果发送至所述主站,所述第一随机数的散列值根据所述第一随机数确定。
4.一种无CA的身份认证方法,应用于主站端,其特征在于,包括以下步骤:
在接收身份认证指令后,将生成的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名发送至安全芯片,所述主站公钥的第一签名为所述安全芯片在预设安全环境中接收所述主站非对称密钥中主站公钥后,利用生成的安全芯片非对称密钥中的安全芯片私钥对在预设安全环境中接收的主站公钥进行第一次签名得到的签名;
接收所述安全芯片发送的第一随机数的加密结果,所述第一随机数的加密结果为当所述主站公钥的第一签名和主站公钥的第二签名相同时,所述安全芯片生成第一随机数后,利用所述主站非对称密钥中主站公钥对所述第一随机数进行加密得到的随机数的加密结果,所述主站公钥的第二签名为所述安全芯片利用所述安全芯片私钥对在身份认证指令后接收的主站公钥进行第二次签名得到的签名;
利用所述主站非对称密钥中的主站私钥对所述第一随机数的加密结果进行解密,得到第二随机数,并将所述第二随机数发送至所述安全芯片;
接收所述安全芯片发送的身份认证通过结果,所述身份认证通过结果为当所述第一随机数与所述第二随机数相同时,所述安全芯片判定所述主站身份认证通过的结果。
5.根据权利要求4所述的无CA的身份认证方法,其特征在于,所述主站公钥的第一签名为所述安全芯片在预设安全环境中接收所述主站非对称密钥中主站公钥后,获得在预设安全环境中接收的主站公钥的散列值,利用所述安全芯片私钥对所述主站公钥的散列值进行加密得到的签名。
6.一种无CA的身份认证方法,应用于主站端,其特征在于,包括以下步骤:
在接收身份认证指令后,将生成的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名发送至安全芯片,所述主站公钥的第一签名为所述安全芯片在预设安全环境中接收所述主站非对称密钥中主站公钥后,利用生成的安全芯片非对称密钥中的安全芯片私钥对在预设安全环境中接收的主站公钥进行第一次签名得到的签名;
接收所述安全芯片发送的第一随机数的加密结果,所述第一随机数的加密结果为当所述主站公钥的第一签名和主站公钥的第二签名相同时,所述安全芯片生成第一随机数后,利用所述主站非对称密钥中主站公钥对所述第一随机数进行加密得到的随机数的加密结果,所述主站公钥的第二签名为所述安全芯片利用所述安全芯片私钥对在身份认证指令后接收的主站公钥进行第二次签名得到的签名;
利用所述主站非对称密钥中的主站私钥对所述第一随机数的加密结果进行解密,得到第二随机数,根据所述第二随机数确定所述随机数的散列值,并将所述第二随机数的散列值发送至所述安全芯片;
接收所述安全芯片发送的身份认证通过结果,所述身份认证通过结果为当所述第一随机数的散列值与所述第二随机数的散列值相同时,所述安全芯片判定所述主站身份认证通过的结果,所述第一随机数的散列值为所述安全芯片根据所述第一随机数确定的散列值。
7.一种无CA的身份认证系统,其特征在于,包括:
主站公钥及主站公钥签名接收模块,用于接收主站在接收身份认证指令后发送的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名,所述主站公钥的第一签名为在预设安全环境中接收所述主站发送的所述主站非对称密钥中主站公钥后,利用生成的安全芯片非对称密钥中的安全芯片私钥对在预设安全环境中接收的主站公钥进行第一次签名后得到的签名;
主站公钥签名模块,用于利用所述安全芯片私钥对接收的所述主站在接收身份认证指令后发送的主站公钥进行第二次签名,得到主站公钥的第二签名;
随机数生成模块,用于当所述主站公钥的第一签名和所述主站公钥的第二签名相同时,生成第一随机数;
随机数加密模块,用于利用所述主站非对称密钥中主站公钥对所述第一随机数进行加密;
随机数加密结果发送模块,用于将所述第一随机数的加密结果发送至所述主站;
随机数接收模块,用于接收所述主站发送的第二随机数,所述第二随机数为所述主站利用所述主站非对称密钥中的主站私钥对所述第一随机数的加密结果进行解密得到的随机数;
主站认证模块,用于当所述第一随机数与所述第二随机数相同时,判定所述主站身份认证通过;
主站认证结果发送模块,用于将所述主站的身份认证通过结果发送至所述主站。
8.一种无CA的身份认证系统,其特征在于,包括:
主站公钥及主站公钥签名接收模块,用于接收主站在接收身份认证指令后发送的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名,所述主站公钥的第一签名为在预设安全环境中接收所述主站发送的所述主站非对称密钥中主站公钥后,利用生成的安全芯片非对称密钥中的安全芯片私钥对在预设安全环境中接收的主站公钥进行第一次签名后得到的签名;
主站公钥签名模块,用于利用所述安全芯片私钥对接收的所述主站在接收身份认证指令后发送的主站公钥进行第二次签名,得到主站公钥的第二签名;
随机数生成模块,用于当所述主站公钥的第一签名和所述主站公钥的第二签名相同时,生成第一随机数;
随机数加密模块,用于利用所述主站非对称密钥中主站公钥对所述第一随机数进行加密;
随机数加密结果发送模块,用于将所述第一随机数的加密结果发送至所述主站;
随机数散列值接收模块,用于接收所述主站发送的第二随机数的散列值,所述第二随机数的散列值为所述主站利用所述主站非对称密钥中的主站私钥对所述第一随机数的加密结果进行解密得到第二随机数后,根据所述第二随机数确定的散列值;
主站认证模块,用于当所述第一随机数的散列值与所述第二随机数的散列值相同时,判定所述主站身份认证通过,所述第一随机数的散列值根据所述第一随机数确定;
主站认证结果发送模块,用于将所述主站的身份认证通过结果发送至所述主站。
9.一种无CA的身份认证系统,其特征在于,包括:
主站公钥及主站公钥签名发送模块,用于在接收身份认证指令后,将生成的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名发送至安全芯片,所述主站公钥的第一签名为所述安全芯片在预设安全环境中接收所述主站非对称密钥中主站公钥后,利用生成的安全芯片非对称密钥中的安全芯片私钥对在预设安全环境中接收的主站公钥进行第一次签名得到的签名;
随机数加密结果接收模块,用于接收所述安全芯片发送的第一随机数的加密结果,所述第一随机数的加密结果为当所述主站公钥的第一签名和主站公钥的第二签名相同时,所述安全芯片生成第一随机数后,利用所述主站非对称密钥中主站公钥对所述第一随机数进行加密得到的随机数的加密结果,所述主站公钥的第二签名为所述安全芯片利用所述安全芯片私钥对在身份认证指令后接收的主站公钥进行第二次签名得到的签名;
随机数加密结果解密模块,用于利用所述主站非对称密钥中的主站私钥对所述第一随机数的加密结果进行解密,得到第二随机数;
随机数发送模块,用于将所述第二随机数发送至所述安全芯片;
认证结果接收模块,用于接收所述安全芯片发送的身份认证通过结果,所述身份认证通过结果为当所述第一随机数与所述第二随机数相同时,所述安全芯片判定身份认证通过的结果。
10.一种无CA的身份认证系统,其特征在于,包括:
主站公钥及主站公钥签名发送模块,用于在接收身份认证指令后,将生成的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名发送至安全芯片,所述主站公钥的第一签名为所述安全芯片在预设安全环境中接收所述主站非对称密钥中主站公钥后,利用生成的安全芯片非对称密钥中的安全芯片私钥对在预设安全环境中接收的主站公钥进行第一次签名得到的签名;
随机数加密结果接收模块,用于接收所述安全芯片发送的第一随机数的加密结果,所述第一随机数的加密结果为当所述主站公钥的第一签名和主站公钥的第二签名相同时,所述安全芯片生成第一随机数后,利用所述主站非对称密钥中主站公钥对所述第一随机数进行加密得到的随机数的加密结果,所述主站公钥的第二签名为所述安全芯片利用所述安全芯片私钥对在身份认证指令后接收的主站公钥进行第二次签名得到的签名;
随机数加密结果解密模块,用于利用所述主站非对称密钥中的主站私钥对所述第一随机数的加密结果进行解密,得到第二随机数,根据所述第二随机数确定所述随机数的散列值;
随机数散列值发送模块,用于将所述第二随机数的散列值发送至所述安全芯片;
认证结果接收模块,用于接收所述安全芯片发送的身份认证通过结果,所述身份认证通过结果为当所述第一随机数的散列值与所述第二随机数的散列值相同时,所述安全芯片判定身份认证通过的结果,所述第一随机数的散列值为所述安全芯片根据所述第一随机数确定的散列值。
CN201710113552.7A 2017-02-28 2017-02-28 无ca的身份认证方法和系统 Active CN106850207B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710113552.7A CN106850207B (zh) 2017-02-28 2017-02-28 无ca的身份认证方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710113552.7A CN106850207B (zh) 2017-02-28 2017-02-28 无ca的身份认证方法和系统

Publications (2)

Publication Number Publication Date
CN106850207A CN106850207A (zh) 2017-06-13
CN106850207B true CN106850207B (zh) 2019-06-04

Family

ID=59138770

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710113552.7A Active CN106850207B (zh) 2017-02-28 2017-02-28 无ca的身份认证方法和系统

Country Status (1)

Country Link
CN (1) CN106850207B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109218319A (zh) * 2018-09-21 2019-01-15 四川长虹电器股份有限公司 一种基于区块链的身份认证系统及认证方法
CN110119639A (zh) * 2019-05-13 2019-08-13 上海英恒电子有限公司 一种车辆充电设备防伪认证方法、装置及系统
CN111490876B (zh) * 2020-04-03 2021-12-28 北京达龙上东文化艺术传播有限责任公司 一种基于usb key的通信方法和usb key
CN111641651B (zh) * 2020-05-29 2022-08-02 南方电网科学研究院有限责任公司 一种基于哈希链的访问验证方法及装置
CN112134694B (zh) * 2020-08-11 2024-01-23 北京智芯微电子科技有限公司 数据交互方法、主站、终端及计算机可读存储介质
CN112737790B (zh) * 2020-12-30 2023-04-07 北京天融信网络安全技术有限公司 数据传输方法、装置及服务器、客户终端
CN113783705A (zh) * 2021-11-12 2021-12-10 北京华云安信息技术有限公司 密钥的零知识证明方法、验证端、设备以及存储介质
CN114978554B (zh) * 2022-07-29 2022-10-18 广州匠芯创科技有限公司 一种软件授权认证系统及方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102111265B (zh) * 2011-01-13 2014-03-26 中国电力科学研究院 一种电力系统采集终端的安全芯片加密方法
US8855302B2 (en) * 2011-06-21 2014-10-07 Intel Corporation Apparatus and method for Skein hashing
CN102984156B (zh) * 2012-11-30 2016-01-20 无锡赛思汇智科技有限公司 一种可验证的分布式隐私数据比较与排序方法及装置
CN103023911B (zh) * 2012-12-25 2015-10-14 北京工业大学 可信网络设备接入可信网络认证方法
CN105577613B (zh) * 2014-10-11 2018-11-23 电信科学技术研究院 一种密钥信息的发送和接收方法、设备及系统
CN104270756A (zh) * 2014-10-24 2015-01-07 石家庄铁道大学 身份与位置分离网络中的域内映射更新认证方法

Also Published As

Publication number Publication date
CN106850207A (zh) 2017-06-13

Similar Documents

Publication Publication Date Title
CN106850207B (zh) 无ca的身份认证方法和系统
US11757662B2 (en) Confidential authentication and provisioning
US10015159B2 (en) Terminal authentication system, server device, and terminal authentication method
CN110380852B (zh) 双向认证方法及通信系统
CN109347835B (zh) 信息传输方法、客户端、服务器以及计算机可读存储介质
CN105162772B (zh) 一种物联网设备认证与密钥协商方法和装置
US11336641B2 (en) Security enhanced technique of authentication protocol based on trusted execution environment
EP2905719B1 (en) Device and method certificate generation
CN111147225A (zh) 基于双密值和混沌加密的可信测控网络认证方法
CN103763631A (zh) 认证方法、服务器和电视机
CN104735068A (zh) 基于国密的sip安全认证的方法
CN108809633B (zh) 一种身份认证的方法、装置及系统
RU2645597C2 (ru) Способ аутентификации в канале скрытой передачи данных
CN110020524A (zh) 一种基于智能卡的双向认证方法
CN103701787A (zh) 一种基于公开密钥算法实现的用户名口令认证方法
CN102739403A (zh) 动态令牌的身份认证方法及装置
CN104486087A (zh) 一种基于远程硬件安全模块的数字签名方法
CN105610872B (zh) 物联网终端加密方法和物联网终端加密装置
KR102219086B1 (ko) 드론(Unnamed Aerial vehicle)시스템을 위한 HMAC기반의 송신원 인증 및 비밀키 공유 방법 및 시스템
CN117081736A (zh) 密钥分发方法、密钥分发装置、通信方法及通信装置
CN116388995A (zh) 一种基于puf的轻量级智能电网认证方法
CN108551391B (zh) 一种基于USB-key的认证方法
US9038143B2 (en) Method and system for network access control
CN106209384B (zh) 使用安全机制的客户终端与充电装置的通信认证方法
CN114826742B (zh) 一种面向工程机械物联网感知层网络的通信安全系统及认证方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20210611

Address after: 510700 3rd, 4th and 5th floors of building J1 and 3rd floor of building J3, No.11 Kexiang Road, Science City, Luogang District, Guangzhou City, Guangdong Province

Patentee after: China South Power Grid International Co.,Ltd.

Address before: 510080 water Donggang 8, Dongfeng East Road, Yuexiu District, Guangzhou, Guangdong.

Patentee before: China South Power Grid International Co.,Ltd.

Patentee before: POWER GRID TECHNOLOGY RESEARCH CENTER. CHINA SOUTHERN POWER GRID

TR01 Transfer of patent right