CN116722987A - 一种基于无证书技术的身份认证系统及其工作方法 - Google Patents

Abstract

本发明公开了一种基于无证书技术的身份认证系统及其工作方法，设置了前置服务，在逻辑上将终端设备与核心服务之间进行了隔离，在隐藏核心服务的同时能够有效的防止外部攻击对核心服务造成损害。终端ID的融合生成机制，通过引入随机数参数，加大非法人员破解终端ID生成规则的难度；从设备特征、操作系统特征、通信特正三个维度对终端设备进行描述，能够确保终端ID的唯一性并能够有效的防止机卡分离、终端冒用等事件的发生。本发明能够弥补证书系统存在的问题，使之能够在分布式电源场景中为分布式电源终端提供高效安全的身份衍生方式。

Description

一种基于无证书技术的身份认证系统及其工作方法

技术领域

本发明涉及一种基于无证书技术的身份认证系统及其工作方法，属于电力系统信息安全技术领域。

背景技术

分布式电力系统是由各型号的分布式电源发电终端组合而成的，系统庞大而复杂，联动性较强，举一发而动全具。若通信中心及站点之间出现安全故障，影响范围很可能会波及整个电力通信系统。

因此，分布式电源发电终端通信的信息安全就变的尤为重要。分布式电源发电终端的身份认证作为信息安全中最重要的一环，其具有如下特点：

（1）、海量分布式发电终端导致PKI证书管理复杂。

（2）、PKI系统中密钥托管机制导致密钥集中存储问题。

（3）、部分分布式电源发电终端受限于计算资源、存储资源等问题，不能使用证书方式进行身份认证。

现有的身份认证技术，如无证书公钥密码系统、基于证书的身份验证被广泛应用于各位身份认证领域，但现有技术由于自身算法特点，在应用于分布式电源发电终端认证时，还有如下不足：

（1）、对主体的识别基于证书信息，而证书信息中的主体身份信息与主体本身特征并不绑定，即无法单通过证书来确定是主体是否合法，还需要其他额外信息来确认主体身份，如用户名、指纹等。

（2）、在PKI体系中，为了方便密钥管理，证书主体的私钥信息一般均会在CA中进行集中托管，因此私钥的安全性严重依赖CA组织的安全性。

（3）、认证方需要进行两次计算才能够完成验证工作，第一次计算证书的签名的有效性，第二次计算应答消息的有效性。

（4）、在海量终端设备的分布式电源场景中，CA中心的方式在证书生成和存储方面有一定的制约。

因此，如何在提高认证效率的同时，增强认证安全性，是分布式电源发电终端身份认证急需要解决的技术问题。

发明内容

目的：为了克服现有技术中存在的不足，本发明提供一种基于无证书技术的身份认证系统及其工作方法，能够弥补证书系统存在的问题，使之能够在分布式电源场景中为分布式电源终端提供高效安全的身份衍生方式。

技术方案：为解决上述技术问题，本发明采用的技术方案为：

第一方面，一种基于无证书技术的身份认证系统，包括：终端SDK、前置服务、设备中心、密钥中心。

所述终端SDK，用于负责终端信息采集，终端身份信息生成以及认证工作。

所述前置服务，用于负责终端SDK与后端服务进行数据交互工作。

所述设备中心，用于负责终端设备的注册以及设备管理工作。

所述密钥中心，用于负责KGC参数的生成以及终端设备相关密钥信息的生成工作，并将所生成的相关信息发布到前置服务中。

进一步的，还包括：安全中心，用于负责安全策略设置以及安全审计工作。

进一步的，所述终端SDK，具体包括：

信息采集组件：用于收集终端SDK所在终端设备的终端信息，包括：设备信息、操作系统信息、SIM卡信息；将收集到终端信息通过散列算法生成相应的ID信息。

身份信息生成组件：用于将ID信息以及协商好的随机数通过算法生成终端ID。从前置服务获取密钥中心的公共参数params以及终端设备的部分私钥PPK，并通过公共参数params、终端设备部分私钥PPK、终端设备的终端ID生成终端设备的秘密值xID。通过终端设备的秘密值xID，公共参数params、终端设备的终端ID，生成终端设备的公钥PKID。生成一个随机消息M，并使用终端设备的秘密值xID、公共参数params、终端设备的终端ID以及终端设备的部分私钥PPK对随机消息M进行签名，生成随机消息M的签名。将终端设备的公钥PKID，随机消息M以及随机消息M的签名进行打包，生成终端设备的认证信息auth。

认证组件：用于通过公共参数params,提取认证信息auth中的随机消息M的签名、随机消息M和终端设备的公钥PKID,根据随机消息M和终端设备的公钥PKID对随机消息M的签名其进行验证，若验证通过，则认为身份验证通过，若验证未通过，则认为身份验证未通过。

进一步的，所述前置服务，具体包括：

终端信息采集组件：用于接收终端SDK发送的终端设备的设备ID、操作系统ID、SIM卡ID信息。

密钥发布组件：用于发布公共参数params，终端设备的部分私钥PPK。

数据代理组件：用于代理转发终端SDK与设备中心、密钥之间交互的信息。

进一步的，所述设备中心，具体包括：

设备注册组件：用于设备的生命周期管理，至少包括其中之一：设备注册、变更、删除。

设备管理组件：用于设备状态管理，至少包括其中之一：设备在线、离线。

进一步的，所述密钥中心，具体包括：

密钥生成组件：用于产生系统密钥，包括：公共参数params、主密钥MSK以及终端设备的部分私钥PPK。

参数发布组件：用于将公共参数params，终端设备的部分私钥PPK发送至公网侧。

第二方面，一种基于无证书技术的身份认证系统工作方法，包括如下步骤：

步骤1：密钥中心生成对外公开的公共参数params、不对外公开的主密钥MSK，并将公共参数params发布在前置服务的密钥发布组件中。

步骤2：设备中心通过前置服务分别与终端设备A、终端设备B上终端SDK进行通讯，获取终端设备A、终端设备B各自的ID信息，并对终端设备A、终端设备B进行注册。设备中心与终端设备A、终端设备B上的终端SDK进行协调，生成终端设备A、终端设备B的终端ID，并将终端设备A、终端设备B的终端ID保存在设备中心。

步骤3：密钥中心从设备中心获取终端设备A、终端设备B的终端ID，并根据终端设备A、终端设备B的终端ID和主密钥MSK分别通过算法生成终端设备A、终端设备B的部分私钥PPK，并发布在前置服务的密钥发布组件中。

步骤4：终端设备A上的终端SDK从前置服务的密钥发布组件中获取公共参数params、终端设备A的部分私钥PPK，通过公共参数params、终端设备A的部分私钥PPK、终端设备A的终端ID生成终端设备A的秘密值xID。

步骤5：终端设备A上的终端SDK通过终端设备A的秘密值xID，公共参数params、终端设备A的终端ID，生成终端设备A的公钥PKID。

步骤6：终端设备A上的终端SDK生成一个随机消息M，并使用终端设备A的秘密值xID、公共参数params、终端设备A的终端ID以及终端设备A的部分私钥PPK对随机消息M进行签名，生成随机消息M的签名。

步骤7：终端设备A上的终端SDK将终端设备A的公钥PKID，随机消息M以及随机消息M的签名进行打包，生成终端设备A的认证信息auth。

步骤8：终端设备B上的终端SDK从前置服务的密钥发布组件中获取公共参数params、终端设备B的部分私钥PPK，通过公共参数params、终端设备B的部分私钥PPK、终端设备B的终端ID生成终端设备B的秘密值xID。

步骤9：终端设备B上的终端SDK通过终端设备B的秘密值xID，公共参数params、终端设备B的终端ID，生成终端设备B的公钥PKID。

步骤10：终端设备B上的终端SDK生成一个随机消息M，并使用终端设备B的秘密值xID、公共参数params、终端设备B的终端ID以及终端设备B的部分私钥PPK对随机消息M进行签名，生成随机消息M的签名。

步骤11：终端设备B上的终端SDK将终端设备B的公钥PKID，随机消息M以及随机消息M的签名进行打包，生成终端设备B的认证信息auth。

步骤12：终端设备A上的终端SDK将终端设备A的认证信息auth发送给终端设备B上的终端SDK，终端设备B上的终端SDK将终端设备B的认证信息auth发送给终端设备A上的终端SDK。

步骤13：终端设备A上的终端SDK提取终端设备B的认证信息auth中的签名信息，并对签名信息进行验证，若验证通过，则认为身份验证通过，若验证未通过，则认为身份验证未通过。

步骤14：终端设备B上的终端SDK提取终端设备A的认证信息auth中的签名信息，并对签名信息进行验证，若验证通过，则认为身份验证通过，若验证未通过，则认为身份验证未通过。

进一步的，还包括：

步骤15：终端设备A、终端设备B均通过对方验证通过后，终端设备A与终端设备B建立连接。

步骤16：终端设备A、终端设备B任一方未通过对方验证通过后，终端设备A与终端设备B关闭连接。

进一步的，所述设备中心与终端设备A、终端设备B上的终端SDK进行协调，生成终端设备A、终端设备B的终端ID，具体包括：

步骤a、终端SDK采集终端设备A\终端设备B的终端信息，包括：设备信息、操作系统信息以及SIM卡信息。

步骤b、终端SDK通过前置服务的数据代理组件与设备中心进行通信，终端SDK与设备中心的设备注册组件之间协商一个随机数。

步骤c、终端SDK将采集的终端信息分别生成相应的ID，即设备ID、操作系统ID、SIM卡ID，并将生成的3类ID上传到设备注册组件。

步骤d、终端SDK与设备中心将3类ID与随机数通过算法生成终端ID，终端ID作为终端设备的唯一标识。

步骤e、设备注册组件将生成的终端ID传送到设备管理组件进行管理。

进一步的，所述步骤13，具体包括：

终端设备A上的终端SDK通过公共参数params提取终端设备B的认证信息auth中的随机消息M的签名、随机消息M和终端设备B的公钥PKID,并根据随机消息M和终端设备B的公钥PKID对随机消息M的签名其进行验证，若验证通过，则认为身份验证通过，若验证未通过，则认为身份验证未通过。

进一步的，所述步骤14，具体包括：

终端设备B上的终端SDK通过公共参数params提取终端设备A的认证信息auth中的随机消息M的签名、随机消息M和终端设备A的公钥PKID,并根据随机消息M和终端设备A的公钥PKID对随机消息M的签名其进行验证，若验证通过，则认为身份验证通过，若验证未通过，则认为身份验证未通过。

有益效果：本发明提供的一种基于无证书技术的身份认证系统及其工作方法，设置了前置服务，在逻辑上将终端设备与核心服务（设备中心、密钥中心等）之间进行了隔离，在隐藏核心服务的同时能够有效的防止外部攻击对核心服务造成损害。终端ID的融合生成机制，通过引入随机数参数，加大非法人员破解终端ID生成规则的难度；从设备特征、操作系统特征、通信特正三个维度对终端设备进行描述，能够确保终端ID的唯一性并能够有效的防止机卡分离、终端冒用等事件的发生。

相较于现有技术其优点如下：

1、身份认证信息与认证主体绑定，大幅减少认证步骤。

证书方式认证主体的身份认证信是作为一个属性信息存储在证书中，其并未参加任何计算，因此，在基于证书的认证方式中，均需要额外的认证信息，如用户名、密码等。而在基于无证书技术的认证方式中，用户身份信息直接参与认证信息计算，因此使用基于无证书技术的认证方式进行身份认证无需其他的认证信息。以挑战/应答方式为例，相比基于证书的认证方式，基于无证书的认证方式交互流程减少1/3。

2、高度自动化的注册流程，减少管理成本、提升管理效率。

在CA系统中，用户的注册以及密钥获取一般是手动流程，基于保密性原则，终端的私钥一般不能再线上直接获取，证书一般需要手动导入，自动化程度不高。再本发明中，终端的身份ID、私钥、公钥、认证信息均由终端SDK自动产生，不需要人工操作，相比CA方案效率大幅提升。

3、更加安全的系统架构，提供原生安全能力，能够更加有效的应对外部攻击。

本发明设置了前置服务，终端设备与核心服务之间的通信、数据交换均通过前置服务组件进行，核心服务同时将需要共享的数据发布到前置服务组件进行数据共享，前置服务组件将终端与核心服务之间进行了逻辑隔离，该架构能够有效的防止外部攻击对核心服务的破坏，造成服务终止或数据丢失。

4、密钥中心不进行密钥托管，相比CA系统密钥安全性更高。

传统CA系统为了密钥管理方便，一般都会提供密钥托管功能，即对终端的私钥进行集中的管理，方便终端进行密钥恢复。在本发明中，终端私钥由终端SDK自动生成，当终端的认证信息文件丢失或因某些原因不可用是，终端可以通过保存的信息恢复相应的认证信息文件，或重新注册获取新的认证文件，密钥中心不需要对终端的密钥进行托管。

附图说明

图1为本发明的基于无证书技术的身份认证系统总体架构示意图。

图2为本发明的基于无证书技术的身份认证系统工作方法流程示意图。

图3为本发明的系统初始化的流程示意图。

图4为本发明的终端设备注册的流程示意图。

图5为本发明的鉴别信息生成的流程示意图。

图6为本发明的身份认证的流程示意图。

图7为终端设备与安全接入网关之间双向认证的流程示意图。

具体实施方式

下面结合本发明实例中的附图，对本发明实例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域技术人员在没有做创造性劳动前提下所获得的所有其他实施例，都属于本发明的保护范围。

下面结合具体实施例对本发明作更进一步的说明。

如图1所示，第一种实施例一种基于无证书技术的身份认证系统，包括：终端SDK（Software Development Kit ）、前置服务、设备中心、密钥中心、安全中心。

所述终端SDK，用于认证工作的主体，主要负责终端信息采集，终端身份信息生成以及认证工作。具体包括：

信息采集组件：用于收集终端SDK所在终端设备的终端信息，包括：设备信息、操作系统信息、SIM卡信息；将收集到终端信息通过散列算法生成相应的ID信息，即hash(设备信息)->设备ID、hash（操作系统信息）->操作系统ID、hash（SIM卡信息）->SIM卡ID。

身份信息生成组件：用于将ID信息，包括：设备ID、操作系统ID、SIM卡ID以及协商好的随机数通过算法生成终端ID。

从认证中心的前置服务获取密钥中心的公共参数params以及终端设备的部分私钥PPK，并通过公共参数params、终端设备部分私钥PPK、终端设备的终端ID生成一个临时变量，即终端设备的秘密值xID。

通过终端设备的秘密值xID，公共参数params、终端设备的终端ID，生成终端设备的公钥PKID。

生成一个随机消息M，并使用终端设备的秘密值xID、公共参数params、终端设备的终端ID以及终端设备的部分私钥PPK对随机消息M进行签名，生成随机消息M的签名。

将终端设备的公钥PKID，随机消息M以及随机消息M的签名进行打包，生成终端设备的认证信息auth。

认证组件：用于通过公共参数params,提取认证信息auth中的随机消息M的签名、随机消息M和终端设备的公钥PKID,根据随机消息M和终端设备的公钥PKID对随机消息M的签名其进行验证，若验证通过（签名验证结果是VALID）则认为身份验证通过，若验证未通过（签名验证结果为INVALID）则认为身份验证未通过。

所述前置服务，用于终端SDK与后端服务进行数据交互工作。具体包括：

终端信息采集组件：用于接收终端SDK发送的设备ID、操作系统ID、SIM卡ID信息。

密钥发布组件：用于将密钥中心生成的公共参数params，终端设备的部分私钥PPK发布到公网侧。

数据代理组件：用于代理转发终端SDK与认证中心之间交互的信息，主要包括随机数协商信息以及终端信息。

所述设备中心，用于负责终端设备的注册以及设备管理工作。具体包括：

设备注册组件：用于设备的生命周期管理，包括设备注册、变更、删除等。

设备管理组件：用于设备状态管理，包括设备在线、离线等。

所述密钥中心，用于负责KGC（Key Generate Center）参数的生成以及终端设备相关密钥信息的生成工作，并将所生成的相关信息通过参数发布组件发布到前置服务中。具体包括：

密钥生成组件：用于产生系统密钥，包括：公共参数params、主密钥MSK以及终端设备的部分私钥PPK，其中：

公共参数params通过随机算法产生，且对外公开。

主密钥MSK通过随机算法产生，且不对外公开。

终端设备的部分私钥PPK通过主密钥MSK以及终端设备的终端ID通过算法生成，且对外公开。

参数发布组件：用于将公共参数params，终端设备的部分私钥PPK发送至前置服务的密钥发布组件中。

安全中心，用于负责安全策略设置以及安全审计工作，包括黑名单/白名单制定，密钥生存周期。具体包括：

策略中心组件：用于制定安全策略，包括通信黑名单/白名单，密钥生存周期等。

审计中心组件：用于对系统密钥的生成、使用、派发以及终端设备的访问情况、人员的登录情况、操作情况等进行审计。

如图2所示，第二种实施例一种基于无证书技术的身份认证系统工作方法，终端SDK分别部署在终端设备A、终端设备B上，前置服务、设备中心、密钥中心、安全中心部署在认证中心上，包括如下步骤：

如图3所示，步骤1：密钥中心生成对外公开的公共参数params、不对外公开的主密钥MSK，并将公共参数params发布在前置服务的密钥发布组件中。

如图4所示，步骤2：设备中心通过前置服务分别与终端设备A、终端设备B上终端SDK进行通讯，获取终端设备A、终端设备B各自的ID信息，并对终端设备A、终端设备B进行注册。设备中心与终端设备A、终端设备B上的终端SDK进行协调，生成终端设备A、终端设备B的终端ID，并将终端设备A、终端设备B的终端ID保存在设备中心。

如图5所示，步骤3：密钥中心从设备中心获取终端设备A、终端设备B的终端ID，并根据终端设备A、终端设备B的终端ID和主密钥MSK分别通过算法生成终端设备A、终端设备B的部分私钥PPK，并发布在前置服务的密钥发布组件中。

步骤4：终端设备A上的终端SDK从前置服务的密钥发布组件中获取公共参数params、终端设备A的部分私钥PPK，通过公共参数params、终端设备A的部分私钥PPK、终端设备A的终端ID生成终端设备A的秘密值xID。

如图6所示，步骤5：终端设备A上的终端SDK通过终端设备A的秘密值xID，公共参数params、终端设备A的终端ID，生成终端设备A的公钥PKID。

步骤6：终端设备A上的终端SDK生成一个随机消息M，并使用终端设备A的秘密值xID、公共参数params、终端设备A的终端ID以及终端设备A的部分私钥PPK对随机消息M进行签名，生成随机消息M的签名。

步骤7：终端设备A上的终端SDK将终端设备A的公钥PKID，随机消息M以及随机消息M的签名进行打包，生成终端设备A的认证信息auth。

步骤8：终端设备B上的终端SDK从前置服务的密钥发布组件中获取公共参数params、终端设备B的部分私钥PPK，通过公共参数params、终端设备B的部分私钥PPK、终端设备B的终端ID生成终端设备B的秘密值xID。

步骤9：终端设备B上的终端SDK通过终端设备B的秘密值xID，公共参数params、终端设备B的终端ID，生成终端设备B的公钥PKID。

步骤10：终端设备B上的终端SDK生成一个随机消息M，并使用终端设备B的秘密值xID、公共参数params、终端设备B的终端ID以及终端设备B的部分私钥PPK对随机消息M进行签名，生成随机消息M的签名。

步骤11：终端设备B上的终端SDK将终端设备B的公钥PKID，随机消息M以及随机消息M的签名进行打包，生成终端设备B的认证信息auth。

步骤12：终端设备A上的终端SDK将终端设备A的认证信息auth发送给终端设备B上的终端SDK，终端设备B上的终端SDK将终端设备B的认证信息auth发送给终端设备A上的终端SDK。

步骤13：终端设备A上的终端SDK提取终端设备B的认证信息auth中的签名信息，并对签名信息进行验证，若验证通过，则认为身份验证通过，若验证未通过，则认为身份验证未通过。

步骤14：终端设备B上的终端SDK提取终端设备A的认证信息auth中的签名信息，并对签名信息进行验证，若验证通过，则认为身份验证通过，若验证未通过，则认为身份验证未通过。

步骤15：终端设备A、终端设备B均通过对方验证通过后，终端设备A与终端设备B建立连接。

步骤16：终端设备A、终端设备B任一方未通过对方验证通过后，终端设备A与终端设备B关闭连接。

进一步的，一个实施例，所述设备中心与终端设备A、终端设备B上的终端SDK进行协调，生成终端设备A、终端设备B的终端ID，具体包括：

步骤a、终端SDK采集终端设备A\终端设备B的终端信息，包括：设备信息、操作系统信息以及SIM卡信息。具体采集内容如下：

所述设备信息：宿主机的S/N号、MAC地址、串码、IMEI等。

所述操作系统信息：操作系统类型、大版本信息、小版本信息、内核版本等。

所述SIM卡信息：SIM卡的IMSI信息。

步骤b、终端SDK通过前置服务的数据代理组件与设备中心进行通信，终端SDK与设备中心的设备注册组件之间协商一个随机数。

步骤c、终端SDK将采集的终端信息分别生成相应的ID，即设备ID、操作系统ID、SIM卡ID，并将生成的3类ID上传到设备注册组件。

步骤d、终端SDK与设备中心将3类ID与随机数通过算法生成终端ID，终端ID作为终端设备的唯一标识。

步骤e、设备注册组件将生成的终端ID传送到设备管理组件进行管理。

进一步的，一个实施例，所述秘密值xID在基于无证书技术的身份认证体系中是一个重要参数，终端设备的公钥、私钥的生成均基于秘密值xID，因此，在鉴别信息生成阶段，生成的秘密值xID属于临时变量，不会永久储存。

进一步的，一个实施例，所述步骤13，具体包括：

终端设备A上的终端SDK通过公共参数params提取终端设备B的认证信息auth中的随机消息M的签名、随机消息M和终端设备B的公钥PKID,并根据随机消息M和终端设备B的公钥PKID对随机消息M的签名其进行验证，若验证通过，则认为身份验证通过，若验证未通过，则认为身份验证未通过。

进一步的，一个实施例，所述步骤14，具体包括：

终端设备B上的终端SDK通过公共参数params提取终端设备A的认证信息auth中的随机消息M的签名、随机消息M和终端设备A的公钥PKID,并根据随机消息M和终端设备A的公钥PKID对随机消息M的签名其进行验证，若验证通过，则认为身份验证通过，若验证未通过，则认为身份验证未通过。

实施例

如图7所示，基于无证书技术的身份认证系统在分布式电源场景中应用，终端设备A可以为融合终端、集中器、远动装置等，终端设备B可以安全接入网关，安全接入网关与电网主站进行连接，负责终端设备A与电网主站的通信连接。终端设备A、终端设备B上均部署有终端SDK。认证中心通过路由器与终端设备A、终端设备B之间进行网络连接，认证中心部署有前置服务、设备中心、密钥中心、安全中心。

终端设备与安全接入网关之间基于无证书技术的身份认证系统的双向认证方法，具体包括：

终端设备与认证中心进行交互，获取终端设备的秘密值xID、公共参数params、终端设备的终端ID、终端设备的部分私钥PPK，并生成随机消息M，最终通过这些信息生成终端设备的认证信息Authclient。

安全接入网关与认证中心进行交互，获取安全接入网关的秘密值xID、公共参数params、安全接入网关的终端ID、安全接入网关的部分私钥PPK，并生成随机消息M，最终通过这些信息生成安全接入网关的认证信息Authgateway。

终端设备将自己的认证信息Authclient发送到安全接入网关进行认证，同时安全接入网关也把自己的认证信息Authgateway发送到该终端进行认证。

安全接入网关对终端设备进行认证，若认证通过，则建立连接，若认证不通过，则关闭当前连接，随后等待终端设备发起认证；终端设备同时也对安全接入网关进行认证，若认证通过，则建立连接，若认证不通过，则关闭当前连接，随后向其他安全接入网关发起认证流程。

以上所述仅是本发明的优选实施方式，应当指出：对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (11)

1.一种基于无证书技术的身份认证系统，其特征在于：包括：终端SDK、前置服务、设备中心、密钥中心；

所述终端SDK，用于负责终端信息采集，终端身份信息生成以及认证工作；

所述前置服务，用于负责终端SDK与后端服务进行数据交互工作；

所述设备中心，用于负责终端设备的注册以及设备管理工作；

所述密钥中心，用于负责KGC参数的生成以及终端设备相关密钥信息的生成工作，并将所生成的相关信息发布到前置服务中。

2.根据权利要求1所述的一种基于无证书技术的身份认证系统，其特征在于：还包括：安全中心，用于负责安全策略设置以及安全审计工作。

3.根据权利要求1或2所述的一种基于无证书技术的身份认证系统，其特征在于：所述终端SDK，具体包括：

信息采集组件：用于收集终端SDK所在终端设备的终端信息，包括：设备信息、操作系统信息、SIM卡信息；将收集到终端信息通过散列算法生成相应的ID信息；

身份信息生成组件：用于将ID信息以及协商好的随机数通过算法生成终端ID；从前置服务获取密钥中心的公共参数params以及终端设备的部分私钥PPK，并通过公共参数params、终端设备部分私钥PPK、终端设备的终端ID生成终端设备的秘密值xID；通过终端设备的秘密值xID，公共参数params、终端设备的终端ID，生成终端设备的公钥PKID；生成一个随机消息M，并使用终端设备的秘密值xID、公共参数params、终端设备的终端ID以及终端设备的部分私钥PPK对随机消息M进行签名，生成随机消息M的签名；将终端设备的公钥PKID，随机消息M以及随机消息M的签名进行打包，生成终端设备的认证信息auth；

认证组件：用于通过公共参数params,提取认证信息auth中的随机消息M的签名、随机消息M和终端设备的公钥PKID,根据随机消息M和终端设备的公钥PKID对随机消息M的签名其进行验证，若验证通过，则认为身份验证通过，若验证未通过，则认为身份验证未通过。

4.根据权利要求1或2所述的一种基于无证书技术的身份认证系统，其特征在于：所述前置服务，具体包括：

终端信息采集组件：用于接收终端SDK发送的终端设备的设备ID、操作系统ID、SIM卡ID信息；

密钥发布组件：用于发布公共参数params，终端设备的部分私钥PPK；

数据代理组件：用于代理转发终端SDK与设备中心、密钥之间交互的信息。

5.根据权利要求1或2所述的一种基于无证书技术的身份认证系统，其特征在于：所述设备中心，具体包括：

设备注册组件：用于设备的生命周期管理，至少包括其中之一：设备注册、变更、删除；

设备管理组件：用于设备状态管理，至少包括其中之一：设备在线、离线。

6.根据权利要求1或2所述的一种基于无证书技术的身份认证系统，其特征在于：所述密钥中心，具体包括：

密钥生成组件：用于产生系统密钥，包括：公共参数params、主密钥MSK以及终端设备的部分私钥PPK；

参数发布组件：用于将公共参数params，终端设备的部分私钥PPK发送至发送至公网侧。

7.一种基于无证书技术的身份认证系统的工作方法，其特征在于：包括如下步骤：

步骤1：密钥中心生成对外公开的公共参数params、不对外公开的主密钥MSK，并将公共参数params发布在前置服务的密钥发布组件中；

步骤2：设备中心通过前置服务分别与终端设备A、终端设备B上终端SDK进行通讯，获取终端设备A、终端设备B各自的ID信息，并对终端设备A、终端设备B进行注册；设备中心与终端设备A、终端设备B上的终端SDK进行协调，生成终端设备A、终端设备B的终端ID，并将终端设备A、终端设备B的终端ID保存在设备中心；

步骤3：密钥中心从设备中心获取终端设备A、终端设备B的终端ID，并根据终端设备A、终端设备B的终端ID和主密钥MSK分别通过算法生成终端设备A、终端设备B的部分私钥PPK，并发布在前置服务的密钥发布组件中；

步骤4：终端设备A上的终端SDK从前置服务的密钥发布组件中获取公共参数params、终端设备A的部分私钥PPK，通过公共参数params、终端设备A的部分私钥PPK、终端设备A的终端ID生成终端设备A的秘密值xID；

步骤5：终端设备A上的终端SDK通过终端设备A的秘密值xID，公共参数params、终端设备A的终端ID，生成终端设备A的公钥PKID；

步骤6：终端设备A上的终端SDK生成一个随机消息M，并使用终端设备A的秘密值xID、公共参数params、终端设备A的终端ID以及终端设备A的部分私钥PPK对随机消息M进行签名，生成随机消息M的签名；

步骤7：终端设备A上的终端SDK将终端设备A的公钥PKID，随机消息M以及随机消息M的签名进行打包，生成终端设备A的认证信息auth；

步骤8：终端设备B上的终端SDK从前置服务的密钥发布组件中获取公共参数params、终端设备B的部分私钥PPK，通过公共参数params、终端设备B的部分私钥PPK、终端设备B的终端ID生成终端设备B的秘密值xID；

步骤9：终端设备B上的终端SDK通过终端设备B的秘密值xID，公共参数params、终端设备B的终端ID，生成终端设备B的公钥PKID；

步骤10：终端设备B上的终端SDK生成一个随机消息M，并使用终端设备B的秘密值xID、公共参数params、终端设备B的终端ID以及终端设备B的部分私钥PPK对随机消息M进行签名，生成随机消息M的签名；

步骤11：终端设备B上的终端SDK将终端设备B的公钥PKID，随机消息M以及随机消息M的签名进行打包，生成终端设备B的认证信息auth；

步骤12：终端设备A上的终端SDK将终端设备A的认证信息auth发送给终端设备B上的终端SDK，终端设备B上的终端SDK将终端设备B的认证信息auth发送给终端设备A上的终端SDK；

步骤13：终端设备A上的终端SDK提取终端设备B的认证信息auth中的签名信息，并对签名信息进行验证，若验证通过，则认为身份验证通过，若验证未通过，则认为身份验证未通过；

步骤14：终端设备B上的终端SDK提取终端设备A的认证信息auth中的签名信息，并对签名信息进行验证，若验证通过，则认为身份验证通过，若验证未通过，则认为身份验证未通过。

8.根据权利要求7所述的工作方法，其特征在于：还包括：

步骤15：终端设备A、终端设备B均通过对方验证通过后，终端设备A与终端设备B建立连接；

步骤16：终端设备A、终端设备B任一方未通过对方验证通过后，终端设备A与终端设备B关闭连接。

9.根据权利要求7或8所述的工作方法，其特征在于：所述设备中心与终端设备A、终端设备B上的终端SDK进行协调，生成终端设备A、终端设备B的终端ID，具体包括：

步骤a、终端SDK采集终端设备A终端设备B的终端信息，包括：设备信息、操作系统信息以及SIM卡信息；

步骤b、终端SDK通过前置服务的数据代理组件与设备中心进行通信，终端SDK与设备中心的设备注册组件之间协商一个随机数；

步骤c、终端SDK将采集的终端信息分别生成相应的ID，即设备ID、操作系统ID、SIM卡ID，并将生成的3类ID上传到设备注册组件；

步骤d、终端SDK与设备中心将3类ID与随机数通过算法生成终端ID，终端ID作为终端设备的唯一标识；

步骤e、设备注册组件将生成的终端ID传送到设备管理组件进行管理。

10.根据权利要求7或8所述的工作方法，其特征在于：所述步骤13，具体包括：

终端设备A上的终端SDK通过公共参数params提取终端设备B的认证信息auth中的随机消息M的签名、随机消息M和终端设备B的公钥PKID,并根据随机消息M和终端设备B的公钥PKID对随机消息M的签名其进行验证，若验证通过，则认为身份验证通过，若验证未通过，则认为身份验证未通过。

11.根据权利要求7或8所述的工作方法，其特征在于：所述步骤14，具体包括：

终端设备B上的终端SDK通过公共参数params提取终端设备A的认证信息auth中的随机消息M的签名、随机消息M和终端设备A的公钥PKID,并根据随机消息M和终端设备A的公钥PKID对随机消息M的签名其进行验证，若验证通过，则认为身份验证通过，若验证未通过，则认为身份验证未通过。