[发明专利]基于动态口令的工业控制设备身份认证方法及装置

说明书

基于动态口令的工业控制设备身份认证方法及装置，工业控制终端发起设备注册请求，由工业控制终端计算本机硬件特征码及设备序列号，并将本机硬件特征码及设备序列号发送给认证服务器；向工业控制终端输入随机授权码，随机授权码由认证服务器对本机硬件特征码及设备序列号进行校验审批通过后产生；工业控制终端获取当前本地时间，工业控制终端根据当前本地时间和第二杂凑值得出第一动态口令；工业控制终端将本机硬件特征码、当前本地时间和第一动态口令发送给认证服务器；工业控制终端接收认证服务器发送的验证结果。本发明由通信双方各自得到种子密钥，保证密钥不经网络传输前提下安全分发；不需要人工参与，提高了身份认证的准确性和安全性。

技术领域

本发明涉及身份认证技术领域，具体涉及一种基于动态口令的工业控制设备身份认证方法及装置。

背景技术

动态口令也叫做一次性口令(One Time Password，简称OTP)，又称动态密码或单次有效密码，是在计算器系统或其他数字设备上只能使用一次的密码，有效期为只有一次登录会话或交易。

基于动态口令的身份认证，是使用密码技术实现的在客户端和服务器之间通过共享秘密实现的一种强认证技术，是增强静态口令认证的一种技术手段。一般包括作为口令产生器的动态令牌(一个带电池和液晶屏的微型硬件设备)，和用于管理令牌及完成身份认证的身份认证系统组成。

现有的基于动态口令的身份认证过程如下：

步骤0：认证服务器产生种子密钥，种子密钥又称预共享密钥(Pre-Shared Key，简称PSK)。然后将密钥通过离线方式导出到动态令牌中。此步骤只在令牌初始化时发生1次；

步骤1：终端用户登录时，通过肉眼读取动态令牌上显示的动态口令，输入在要登录的终端业务系统上；

步骤2：终端业务系统提交用户名和动态口令给认证服务器；

步骤3：认证服务器根据用户名匹配种子密钥，并校验本次动态口令值正确性，然后将登录结果返回给终端业务系统。

传统动态口令缺点是人类难以记忆，需要通过特定的渠道告知使用者，并由使用者读取动态口令，然后手动输入在要登录的系统上。比如通过预置了种子密钥的动态令牌硬件，或者通过短信告知给使用者，由使用者手动完成登录。基于动态口令的身份认证一般用于人工干预过程的身份认证，很难用于高度自动化的设备的身份认证。

发明内容

为此，本发明提供基于动态口令的工业控制设备身份认证方法及装置，实现密钥不经网络传输的前提下安全分发，身份认证过程不需要人工参与。

为了实现上述目的，第一方面，本发明提供一种基于动态口令的工业控制设备身份认证方法，包括种子秘钥分发阶段和身份认证阶段；

所述种子秘钥分发阶段包括：

工业控制终端发起设备注册请求，由工业控制终端计算本机硬件特征码及设备序列号，并将所述本机硬件特征码及设备序列号发送给认证服务器；

向工业控制终端输入随机授权码，所述随机授权码由所述认证服务器对所述本机硬件特征码及设备序列号进行校验审批通过后产生，所述随机授权码还用于结合所述本机硬件特征码、设备序列号由认证服务器采用国密算法计算第一杂凑值；

所述工业控制终端采用国密算法计算包括所述本机硬件特征码、设备序列号及随机授权码的第二杂凑值；

所述身份认证阶段包括：

工业控制终端获取当前本地时间，工业控制终端根据所述当前本地时间和第二杂凑值得出第一动态口令；

工业控制终端将所述本机硬件特征码、当前本地时间和第一动态口令发送给认证服务器；