技術領域

本發明屬于信息安全領域，尤其涉及一種認證方法及系統。

背景技術

在各應用系統中，常常需要完成對主體的身份認證，以確定誰在使用系統，以便可以賦予主體何種操作權限。身份認證技術發展至今已經有了一套成熟的技術體系，其中，利用數字證書完成身份認證是其中最安全有效的一種技術手段。在現有技術中，設備之間的認證并無證書鏈的參與，不能明確設備是否是可信任的，安全性較低。?

發明內容

本發明的目的是為了克服現有技術的不足，提供一種安全性較高的認證方法及系統。

本發明提供了一種認證方法；具體包括：?

步驟A：當智能密鑰設備接收到接口設備發送的接口設備證書和接口設備證書簽發CA的公鑰時進行保存，并給所述接口設備返回保存成功響應；

步驟B：所述接口設備接收到所述保存成功響應后，生成驗證指令并將其發送給所述智能密鑰設備；

步驟C：所述智能密鑰設備接收到所述驗證指令后，對所述接口設備證書進行驗證，如驗證成功則執行步驟D，如驗證失敗則給所述接口設備返回失敗響應，結束；

步驟D：所述智能密鑰設備判斷所述接口設備證書簽發CA的公鑰與預置的信任公鑰是否相同，是執行步驟I，否則將接口設備證書簽發CA的證書設為當前證書，給所述接口設備返回失敗響應，執行步驟E；

步驟E：所述接口設備接收到失敗響應后，將所述接口設備證書簽發CA的證書設為當前證書；

步驟F：所述接口設備根據當前證書檢索上級CA證書，如果檢索到則將所述上級CA證書發給所述智能密鑰設備，并將當前證書更新為所述上級CA證書，執行步驟G，否則，給所述智能密鑰設備返回失敗響應，結束；

步驟G：所述智能密鑰設備接收所述接口設備發送的上級CA證書，判斷所述上級CA證書是否為當前證書的簽發者證書，是則執行步驟H，否則給所述接口設備返回失敗響應，結束；

步驟H：所述智能密鑰設備判斷所述上級CA證書中的公鑰與預置的信任公鑰是否一致，是則執行步驟I，否則用所述上級CA證書更新當前證書，給所述接口設備返回失敗響應，返回步驟F；

步驟I：所述智能密鑰設備從所述接口設備中獲取第一隨機數，根據所述第一隨機數、智能密鑰設備證書和接口設備證書生成第一加密數據，并將所述第一加密數據發送給所述接口設備進行驗證；

步驟J：所述接口設備接收所述第一加密數據并對其進行驗證，將驗證結果返回給所述智能密鑰設備；

步驟K：所述智能密鑰設備接收所述接口設備返回的驗證結果，并判斷所述驗證驗證結果是否為成功響應，是則與所述接口設備進行通信，否則結束。

其中，所述步驟I-步驟K替換為：

步驟I’：所述智能密鑰設備將第三隨機數和智能密鑰設備證書發送給所述接口設備；

步驟J’：所述接口設備接收所述第三隨機數和智能密鑰設備證書并生成認證指令，將所述認證指令發送給所述智能密鑰設備；

步驟K’：所述智能密鑰設備接收所述接口設備發送的認證指令，并對其進行解析，根據所述第三隨機數、智能密鑰設備證書和接口設備證書對解析結果進行驗證，如驗證成功則給所述接口設備返回成功響應，與所述接口設備進行通信，如驗證失敗則給所述接口設備返回失敗響應，結束。

其中，所述認證方法還包括：

步驟I’：所述智能密鑰設備將第三隨機數和智能密鑰設備證書發送給所述接口設備；

步驟J’：所述接口設備接收所述第三隨機數和智能密鑰設備證書并生成認證指令，將所述認證指令發送給所述智能密鑰設備；

步驟K’：所述智能密鑰設備接收所述接口設備發送的認證指令，并對其進行解析，根據所述第三隨機數、智能密鑰設備證書和接口設備證書對解析結果進行驗證，如驗證成功則給所述接口設備返回成功響應，與所述接口設備進行通信，如驗證失敗則給所述接口設備返回失敗響應，結束。

其中，所述步驟C中對接口設備證書進行驗證，具體包括：

步驟C1：所述智能密鑰設備從所述接口設備證書中獲取證書簽名原文和證書簽名值，使用所述接口設備證書簽發CA的公鑰對所述證書簽名值進行解密，得到第一摘要值，使用預設摘要算法對所述證書簽名原文進行計算，得到第二摘要值；

步驟C2：所述智能密鑰設備判斷所述第一摘要值與所述第二摘要值是否相同，是則驗證成功，否則驗證失敗。

其中，所述接口設備根據當前證書檢索上級CA證書，包括：

所述接口設備從當前證書中獲取簽發者字段，根據所述簽發者字段檢索上級CA證書。