一種無CA的身份認證系統的製作方法
2023-05-09 08:09:31
本實用新型涉及身份認證技術,特別是涉及一種無CA的身份認證系統。
背景技術:
隨著網絡的快速發展,網絡應用已經成為一種趨勢,例如網上證券、網上銀行、電子政務、電子商務、網上辦公等,越來越多的重要信息在網絡中傳輸,數據的流轉安全是網絡應用中非常重要的問題。身份認證是為網絡信息交流提供了一個信任的基礎,同時密碼技術是信息安全體系中的關鍵技術,也是身份認證體系的基礎。
目前常用的密碼技術分為對稱密鑰密碼和非對稱密鑰密碼。非對稱密鑰密碼在身份認證時通常採用證書的方法,通過CA(Certification Authority,認證中心)提供第三方認證,該方式主要用於網際網路的應用場景,但對於安全晶片,尤其是應用於嵌入式設備中的可信計算晶片,則並不完全適用,另外嵌入式應用場景通常使用專用網絡,網絡通信質量難以保障。
技術實現要素:
基於此,有必要針對非對稱密鑰密碼的CA認證不適用於安全晶片的問題,提供一種無CA的身份認證系統。
一種無CA的身份認證系統,包括:至少一個子站設備和主站設備;
所述子站設備包括安全晶片、第一控制設備和第一通信設備;
所述主站設備包括計算機設備和密碼設備;其中,計算機設備包括第二控制設備和第二通信設備;
所述第一控制設備通過總線分別連接所述安全晶片和所述第一通信設備;
所述第一通信設備通過網絡與所述第二通信設備進行通信;
所述第二控制設備通過總線分別連接所述第二通信設備和所述密碼設備;
所述密碼設備發送身份認證請求至所述第二控制設備,所述第二控制設備 通過所述第二通信設備發送通知指令至所述第一通信設備,所述第一通信設備發送控制指令至所述第一控制設備,所述第一控制設備發送執行指令至所述安全晶片。
上述的一種無CA的身份認證系統實現設備子站對主站的身份認證,認證過程中無需CA的參與,操作過程簡單、方便,尤其適用於嵌入式設備中的可信計算晶片等。
附圖說明
圖1為本實用新型一實施例的一種無CA的身份認證系統的結構示意圖;
圖2為本實用新型另一實施例的一種無CA的身份認證系統的結構示意圖;
圖3為本實用新型實施例的一種無CA的身份認證系統中第一密碼處理設備的結構示意圖;
圖4為本實用新型實施例的一種無CA的身份認證系統中公鑰驗證設備的結構示意圖;
圖5為本實用新型實施例的一種無CA的身份認證系統中應答設備的結構示意圖;
圖6為本實用新型實施例的一種無CA的身份認證系統中第二密碼處理設備的結構示意圖。
具體實施方式
為了進一步了解本實用新型,下面結合附圖以及相關實施例對本實用新型做詳細地說明。
圖1至圖6為本實用新型中一種無CA的身份認證系統的結構示意圖。如圖1所示,一種無CA的身份認證系統,包括:至少一個子站設備和主站設備,其中子站設備包括安全晶片10、第一控制設備20和第一通信設備30。主站設備包括計算機設備40和密碼設備50;其中,計算機設備包括第二控制設備41和第二通信設備42。第一控制設備20通過總線分別連接安全晶片10和第一通信設備30。第一通信設備20通過網絡與計算機設備40中的第二通信設備42進行 通信。計算機設備40中第二控制設備41通過總線分別連接第二通信設備41和密碼設備50。
密碼設備50發送身份認證請求至第二控制設備41,第二控制設備41通過第二通信設備42發送通知指令至第一通信設備30,第一通信設備30發送控制指令至第一控制設備20,第一控制設備20發送執行指令至安全晶片10。
上述的一種無CA的身份認證系統通過安全晶片、第一控制設備、第一通信設備、第二控制設備、第二通信設備以及密碼設備之間相互信息傳輸,實現子站(即安全晶片)對主站(即密碼設備)的身份認證,認證過程中無需CA的參與,操作過程簡單、方便,尤其適用於嵌入式設備中的可信計算晶片等。
進一步地,所述第一控制設備為微控制器。微控制器(Microcontroller Unit,簡稱MCU),是將微型計算機的主要部分集成在一個晶片上的單晶片微型計算機。微控制器其成本低、性能強大並且使用方便。
可選地,所述第一控制設備為PLC控制器。PLC(Programmable Logic Controller,可編程邏輯控制器)控制器,一種具有微處理機的數字電子設備,用於自動化控制的數字邏輯控制器,可以將控制指令隨時加載內存內儲存與執行。可編程控制器由內部CPU(Central Processing Unit,中央處理器),指令及資料內存、輸入輸出單元、電源模組、數字模擬等單元所模組化組合成。PLC可靠性高、抗幹擾能力強、硬體配套齊全、功能完善、適用性強。
進一步地,所述安全晶片可以為支持對稱密碼算法、非對稱密碼算法、散列值算法、隨機數生成或安全存儲的安全晶片。
在本實施例中密碼設備(即主站設備)向子站設備(即安全晶片)發起身份認證的請求,子站設備根據密碼設備的請求完成整個身份認證過程,其中身份認證過程可以涉及對稱密碼算法、非對稱密碼算法、散列值算法、隨機數生成和安全存儲等過程,因此安全晶片包括支持對稱密碼算法、非對稱密碼算法、散列值算法、隨機數生成或安全存儲的安全晶片。其中對稱密碼算法包括如AES(Advanced Encryption Standard,高級加密標準)、3DES(Triple Data Encryption Algorithm,三重數據加密算法)、SM4分組密碼算法等;非對稱密碼算法可以為RSA(即RSA加密算法)、ECC(Elliptic Curves Cryptography,橢圓曲線密碼編 碼學)、SM2分組密碼算法等;散列值算法包括SHA256(哈希值算法)、SHA512(哈希值算法)、SM3(哈希值算法)算法等。
作為一種可選的實施方式,如圖2所示,安全晶片10包括第一密碼處理設備11和第一密碼存儲設備12,第一密碼處理設備11連接第一密碼存儲設備12,第一密碼處理設備11連接第一控制設備20。
作為一種可選的實施方式,如圖3所示,在本實施例中第一密碼處理設備11包括第一密鑰生成設備111、公鑰籤名設備112、公鑰驗證設備113和應答設備114,其中密鑰生成設備111、公鑰籤名設備112、公鑰驗證設備113和應答設備114依次連接,第一密鑰生成設備111連接第一密碼存儲設備12,公鑰籤名設備112分別連接第一密碼存儲設備12和第一控制設備20,公鑰驗證設備113和應答設備114分別連接第一控制設備20。
作為一種可選的實施方式,如圖4所示,在本實施例中公鑰驗證設備113包括籤名解密設備1131、公鑰哈希計算設備1132、密碼比較設備1133,密碼比1133較設備分別連接籤名解密設備1131和公鑰哈希計算設備1132,籤名解密設備1131和密碼比較設備1133分別連接第一控制設備20,公鑰哈希計算設備1132連接第一密碼存儲設備12。
作為一種可選的實施方式,如圖5所示,在本實施例中應答設備114包括隨機數生成設備及加密1141、第一散列值計算設備1142、散列值比較設備1143,散列值比較設備1143分別連接隨機數生成設備1141和第一散列值計算設備1142。隨機數生成及加密設備1141分別連接第一密碼存儲設備12和第一控制設備20,所述散列值比較設備1143連接第一控制設備20。
進一步地,本實施例中密碼設備可以為加密機。加密機,是一種主機加密設備,加密機和主機之間使用TCP/IP協議通信。
可選地,碼設備也可以為密碼鍵盤或密鑰分發器。密碼鍵盤是金融收銀系統必不可少的計算機外部設備之一,廣泛應用在通訊、政府、交通、政府、工商、稅務、超市等服務行業,配合銀行系統、POS機和管理系通中使用,主要是用來輸入密碼。密鑰分發器是一種密鑰產生與分發的設備。
進一步地,在本實施例中密碼設備可以選用產生密鑰產生請求、公鑰籤名 請求、公鑰驗證請求或應答請求的密碼設備。
在本實施例中密碼設備(即主站設備)向子站設備(即安全晶片)發起身份認證的請求,子站設備根據密碼設備的請求完成整個身份認證過程,其中身份認證過程可以包括產生密鑰、公鑰籤名、公鑰驗證和應答等過程,因此密碼設備包括產生密鑰產生請求、公鑰籤名請求、公鑰驗證請求或應答請求的密碼設備。
作為一種可選的實施方式,仍參照圖2,在本實施例中密碼設備50包括第二密碼處理設備51和第二密碼存儲設備52,第二密碼處理設備51連接第二密碼存儲設備52,其中第二密碼處理設備51產生的一些數據(例如密鑰等)存儲在第二密碼存儲設備52中。另外,第二密碼處理設備51分別連接第二控制設備41和第二密碼存儲設備52。
作為一種可選的實施方式,參照圖6,在本實施例中,第二密碼處理設備51包括第二密鑰生成設備511、隨機數解密設備512和第二散列值計算設備513,隨機數解密設備512連接散列值計算設備513。第二密鑰生成設備511連接所述第二密鑰存儲設備52,隨機數解密設備512分別連接第二密碼存儲設備52和第二控制設備41,第二散列值計算設備513連接第二控制設備41。
上述一種無CA的身份認證系統可以完成身份認證,為了更好地體現本實用新型的技術方案的有益效果,下面闡述若干對該無CA的身份認證系統的應用示例。
在該應用示例中,將無CA的身份認證系統的身份認證過程主要分為四個步驟,分別是產生密鑰、公鑰籤名、公鑰驗證和應答。
產生密鑰的步驟:安全晶片10中第一密碼處理設備11中第一密鑰生成設備111生產子站設備的非對稱密鑰私鑰Kequpub和公鑰Kequpri,並將密鑰存儲在第一密碼存儲設備12中。
另外,密碼設備50中第二密碼處理設備51中的第二密鑰生成設備511產生主站設備的非對稱密鑰公鑰Kstapub和私鑰Kstapri,並將該密鑰存儲在第二密碼存儲設備52中。
公鑰籤名的步驟:
第一密碼處理設備11中公鑰籤名設備112使用公鑰Kequpri對密碼設備50中公鑰Kstapub進行籤名,得到籤名數據Kequpri(SM3(Kstapub)),並將籤名數據通過第一通信設備30傳輸至第二通信設備42,然後將籤名數據存儲在第二密碼存儲設備52中。
公鑰驗證的步驟:
子站設備工作後,對主站密碼設備50進行身份認證,密碼設備50將存儲在第二密碼存儲設備52中公鑰(Kstapub)和籤名數據(Kequpri(SM3(Kstapub)))一起發送給第一密碼處理設備11的公鑰驗證設備113中。
其中公鑰驗證設備113中的籤名解密設備1131利用私鑰Kequpub解密籤名數據得到H=SM3(Kstapub),然後公鑰哈希計算設備1132利用對密碼設備50中公鑰進行哈希計算H』=SM3(Kstapub),然後利用密碼比較設備1133比較H與H』是否相等:若不相等則返回錯誤,若相等則進入下一步。
應答的步驟:
應答設備114中的隨機數生成、設備1141生成隨機數nonce,然後利用密碼設備50中公鑰Kstapub加密後得到Kstapub(nonce)發給密碼設備50。
密碼設備50中隨機數解密設備1142使用私鑰Kstapri解密Kstapub(nonce)得到隨機數nonce』,並利用第二散列值計算設備513計算隨機數nonce』的散列值SM3(nonce』),將散列值發送給安全晶片10中的應答設備114中。
應答設備114中第一散列值計算設備1142計算nonce的散列值SM3(nonce),並利用散列值比較設備1143比較SM3(nonce)和SM3(nonce』),若相等則認證通過,否則認證失敗。
一種無CA的身份認證系統利用上述各設備進行信息相互傳輸,依次完成產生密鑰、公鑰籤名、公鑰驗證、應答過程,從而完成整個身份認證過程。
以上所述實施例的各技術特徵可以進行任意的組合,為使描述簡潔,未對上述實施例中的各個技術特徵所有可能的組合都進行描述,然而,只要這些技術特徵的組合不存在矛盾,都應當認為是本說明書記載的範圍。
以上所述實施例僅表達了本實用新型的幾種實施方式,其描述較為具體和詳細,但並不能因此而理解為對實用新型專利範圍的限制。應當指出的是,對 於本領域的普通技術人員來說,在不脫離本實用新型構思的前提下,還可以做出若干變形和改進,這些都屬於本實用新型的保護範圍。因此,本實用新型專利的保護範圍應以所附權利要求為準。