[发明专利]无CA的身份认证方法和系统

权利要求书

1.一种无CA的身份认证方法，应用于安全芯片端，其特征在于，包括以下步骤：

接收主站在接收身份认证指令后发送的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名，所述主站公钥的第一签名为在预设安全环境中接收所述主站发送的所述主站非对称密钥中主站公钥后，利用生成的安全芯片非对称密钥中的安全芯片私钥对在预设安全环境中接收的主站公钥进行第一次签名后得到的签名；

利用所述安全芯片私钥对接收的所述主站在接收身份认证指令后发送的主站公钥进行第二次签名，得到主站公钥的第二签名；

当所述主站公钥的第一签名和所述主站公钥的第二签名相同时，生成第一随机数；

利用所述主站非对称密钥中主站公钥对所述第一随机数进行加密，并将所述第一随机数的加密结果发送至所述主站；

接收所述主站发送的第二随机数，所述第二随机数为所述主站利用所述主站非对称密钥中的主站私钥对所述第一随机数的加密结果进行解密得到的随机数；

当所述第一随机数与所述第二随机数相同时，判定所述主站身份认证通过，并将所述主站的身份认证通过结果发送至所述主站。

2.根据权利要求1所述的无CA的身份认证方法，其特征在于，所述主站公钥的第一签名为在预设安全环境中接收所述主站发送的所述主站非对称密钥中主站公钥后，获得在预设安全环境中接收的主站公钥的散列值，利用所述安全芯片私钥对所述主站公钥的散列值进行加密得到的签名。

3.一种无CA的身份认证方法，应用于安全芯片端，其特征在于，包括以下步骤：

接收主站在接收身份认证指令后发送的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名，所述主站公钥的第一签名为在预设安全环境中接收所述主站发送的所述主站非对称密钥中主站公钥后，利用生成的安全芯片非对称密钥中的安全芯片私钥对在预设安全环境中接收的主站公钥进行第一次签名后得到的签名；

利用所述安全芯片私钥对接收的所述主站在接收身份认证指令后发送的主站公钥进行第二次签名，得到主站公钥的第二签名；

当所述主站公钥的第一签名和所述主站公钥的第二签名相同时，生成第一随机数；

利用所述主站非对称密钥中主站公钥对所述第一随机数进行加密，并将所述第一随机数的加密结果发送至所述主站；

接收所述主站发送的第二随机数的散列值，所述第二随机数的散列值为所述主站利用所述主站非对称密钥中的主站私钥对所述第一随机数的加密结果进行解密得到第二随机数后，根据所述第二随机数确定的散列值；

当所述第一随机数的散列值与所述第二随机数的散列值相同时，判定所述主站身份认证通过，并将所述主站的身份认证通过结果发送至所述主站，所述第一随机数的散列值根据所述第一随机数确定。

4.一种无CA的身份认证方法，应用于主站端，其特征在于，包括以下步骤：

在接收身份认证指令后，将生成的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名发送至安全芯片，所述主站公钥的第一签名为所述安全芯片在预设安全环境中接收所述主站非对称密钥中主站公钥后，利用生成的安全芯片非对称密钥中的安全芯片私钥对在预设安全环境中接收的主站公钥进行第一次签名得到的签名；

接收所述安全芯片发送的第一随机数的加密结果，所述第一随机数的加密结果为当所述主站公钥的第一签名和主站公钥的第二签名相同时，所述安全芯片生成第一随机数后，利用所述主站非对称密钥中主站公钥对所述第一随机数进行加密得到的随机数的加密结果，所述主站公钥的第二签名为所述安全芯片利用所述安全芯片私钥对在身份认证指令后接收的主站公钥进行第二次签名得到的签名；

利用所述主站非对称密钥中的主站私钥对所述第一随机数的加密结果进行解密，得到第二随机数，并将所述第二随机数发送至所述安全芯片；

接收所述安全芯片发送的身份认证通过结果，所述身份认证通过结果为当所述第一随机数与所述第二随机数相同时，所述安全芯片判定所述主站身份认证通过的结果。

5.根据权利要求4所述的无CA的身份认证方法，其特征在于，所述主站公钥的第一签名为所述安全芯片在预设安全环境中接收所述主站非对称密钥中主站公钥后，获得在预设安全环境中接收的主站公钥的散列值，利用所述安全芯片私钥对所述主站公钥的散列值进行加密得到的签名。