[发明专利]无CA的身份认证方法和系统

说明书

本发明公开了一种无CA的身份认证方法和系统，所述方法包括：接收主站在接收身份认证指令后发送的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名；利用安全芯片私钥对接收的主站在接收身份认证指令后发送的主站公钥进行第二次签名，得到主站公钥的第二签名；当上述两个签名相同时，生成第一随机数；利用主站公钥对第一随机数进行加密，并将第一随机数的加密结果发送至主站；接收主站发送的第二随机数；当第一随机数与第二随机数相同时，判定所述主站身份认证通过，并将该身份认证通过结果发送至主站。本发明认证过程中无需在线CA的参与，减少了通信流量，消除了第三方CA的角色，降低了交互的复杂度。

技术领域

本发明涉及可信计算技术领域，特别是涉及一种无CA的身份认证方法和系统。

背景技术

非对称密钥的认证通常采用证书的方式，通过CA(证书管理机构)提供第三方认证。在互联网场景下，通信双方难以通过会面等其他安全方式交换密钥，因此需要第三方CA保证密钥的安全性。但是在工控系统中如果通过CA提供第三方认证，不仅通信流量大，交互复杂度高，而且对于使用485、无线等通信方式的工控系统，其通信带宽、通信稳定性远不如互联网可靠，通过CA提供第三方认证，通信速率低，通信稳定性差，无法满足工控系统的认证需求。

发明内容

基于上述情况，本发明提出了一种无CA的身份认证方法和系统，认证过程中无需在线CA的参与，减少了通信流量，消除了第三方CA的角色，降低了交互的复杂度。

为了实现上述目的，本发明技术方案的实施例为：

一种无CA的身份认证方法，包括以下步骤：

接收主站在接收身份认证指令后发送的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名，所述主站公钥的第一签名为在预设安全环境中接收所述主站发送的所述主站非对称密钥中主站公钥后，利用生成的安全芯片非对称密钥中的安全芯片私钥对在预设安全环境中接收的主站公钥进行第一次签名后得到的签名；

利用所述安全芯片私钥对接收的所述主站在接收身份认证指令后发送的主站公钥进行第二次签名，得到主站公钥的第二签名；

当所述主站公钥的第一签名和所述主站公钥的第二签名相同时，生成第一随机数；

利用所述主站非对称密钥中主站公钥对所述第一随机数进行加密，并将所述第一随机数的加密结果发送至所述主站；

接收所述主站发送的第二随机数，所述第二随机数为所述主站利用所述主站非对称密钥中的主站私钥对所述第一随机数的加密结果进行解密得到的随机数；

当所述第一随机数与所述第二随机数相同时，判定所述主站身份认证通过，并将所述主站的身份认证通过结果发送至所述主站。

一种无CA的身份认证方法，包括以下步骤：

接收主站在接收身份认证指令后发送的主站非对称密钥中的主站公钥和预存的主站公钥的第一签名，所述主站公钥的第一签名为在预设安全环境中接收所述主站发送的所述主站非对称密钥中主站公钥后，利用生成的安全芯片非对称密钥中的安全芯片私钥对在预设安全环境中接收的主站公钥进行第一次签名后得到的签名；

利用所述安全芯片私钥对接收的所述主站在接收身份认证指令后发送的主站公钥进行第二次签名，得到主站公钥的第二签名；

当所述主站公钥的第一签名和所述主站公钥的第二签名相同时，生成第一随机数；

利用所述主站非对称密钥中主站公钥对所述第一随机数进行加密，并将所述第一随机数的加密结果发送至所述主站；

接收所述主站发送的第二随机数的散列值，所述第二随机数的散列值为所述主站利用所述主站非对称密钥中的主站私钥对所述第一随机数的加密结果进行解密得到第二随机数后，根据所述第二随机数确定的散列值；