(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210722855.X (22)申请日 2022.06.24 (71)申请人 南京南瑞信息通信科技有限公司 地址 210003 江苏省南京市 鼓楼区南瑞路8 号 (72)发明人 曹光耀　王元强　马涛　何迎利　 卢岸　范镇淇　张翔　杨晓林　 蔡国龙　聂云杰　李宇航　 (74)专利代理 机构 南京纵横知识产权代理有限 公司 32224 专利代理师 母秋松 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 一种基于轻量级算法的安全认证系统及其 工作方法 (57)摘要 本发明公开了一种基于轻量级算法的安全 认证系统及其工作方法， 包括多个客户端、 服务 端、 密钥生成中心。 所述服务端包括： 客户端信息 库、 访问控制模型和验证模块。 所述访问控制模 型包括： 客户端模块、 属性模块和权限模块。 本发 明无需复杂证书管理， 适合大量的客户端设备接 入物联网。 既发挥了高效率同时又对关键资源提 供了安全性保证。 避免因非法设备接入带来服务 端关键资源信息泄露等网络安全问题， 防止非法 设备接入网络从而 对网络造成危害。 权利要求书2页 说明书6页 附图3页 CN 115277090 A 2022.11.01 CN 115277090 A 1.一种基于轻量级算法的安全认证系统， 包括： 服务端， 其特征在于： 所述服务端包括： 客户端信息库、 访问控制模型和验证模块； 所述客户端信息库， 用于存 储多个客户端的用户信息； 所述访问控制模型包括： 客户端模块、 属性模块和权限模块； 所述客户端模块， 用于接收客户端传送的身份认证信息， 并与客户端信息库中客户端 的用户信息做比对， 信息保持一 致的， 将身份认证信息发送给属性模块； 所述属性模块， 用于接收客户端模块发送的身份认证信息， 并根据客户端的身份认证 信息给客户端分配属性角色； 所述权限模块， 用于根据不同的属性角色， 给客户端分配不同的系统资源访 问的权限 等级； 根据不同的权限等级， 设置客户端与服务端之间是单向安全认证， 还是双向安全认 证； 所述验证模块， 用于根据客户端的身份认证信息生成客户端的公钥， 利用客户端的公 钥， 采用加密算法对数字签名进行验签； 向客户端发送身份认证请求， 向KGC发送数据信息 。 2.根据权利要求1所述的一种基于轻量级算法的安全认证系统， 其特征在于： 还包括： 包括多个客户端、 密钥生成中心； 所述密钥生成中心， 用于根据客户端的身边认证信息， 生成客户端的私钥， 利用客户端 的私钥， 采用加密算法对客户端发送的数据信息进 行签名操作， 生成数字签名， 并将数字签 名发送给服务端； 根据服务端发送的身份认证请求， 生成服务端的公钥， 利用服务端的公 钥， 采用加密算法对服务端发送的数据信息进行签名操作， 生成数字签名， 并将数字签名发 送给客户端； 所述客户端， 用于根据服务端的身份认证请求生成服务端的公钥， 利用服务端的公钥， 采用加密算法对数字签名进行验签。 3.根据权利要求1或2所述的一种基于轻量级算法的安全认证系统， 其特征在于： 客户 端的属性角色划分成关键支 点、 汇聚节点和终端节点； 终端节点设定为低级权限、 汇聚节 点 设定为中级权限、 关键支点设定为高级权限。 4.根据权利要求1或2所述的一种基于轻量级算法的安全认证系统， 其特征在于： 权限 等级划分成低、 中和高； 高级权限可访问的资源最多， 低级权限可访问的资源最少； 如果是 低级权限或 中级权限， 便采用单向安全认证的方法； 如果是高级权限， 便采用双向安全认证 的方法。 5.根据权利要求1或2所述的一种基于轻量级算法的安全认证系统， 其特征在于： 所述 加密算法采用SM9。 6.一种基于轻量级算法的安全认证系统的工作方法， 其特 征在于： 包括如下步骤： 服务器根据客户端的属性角色获取客户端的权限等级； 服务器根据客户端的权限等级， 获取客户端访问服 务器的认证方式； 当认证方式为单向认证时， 客户端与服 务器通过 单向安全认证方法建立 通信链路； 当认证方式为双向认证时， 客户端与服 务器通过双向安全认证方法建立 通信链路。 7.根据权利要求6所述的工作方法， 其特征在于： 所述服务器根据客户端的属性角色获 取客户端的权限等级， 包括如下步骤： 1.1、 客户端信息库导入到服 务端中， 获取客户端信息库中的客户端的用户信息；权　利　要　求　书 1/2 页 2 CN 115277090 A 21.2、 接收客户端发送的身份认证信息， 与用户信息相对比， 并判断是否为有效客户端； 1.3、 如果身份认证信息与用户信息保持一 致的， 则设定客户端对应 类别的属性角色； 1.4、 根据客户端的属性角色 设定客户端的权限等级。 8.根据权利要求6所述的工作方法， 其特征在于： 客户端的属性角色划分成关键支点、 汇聚节点和终端节 点； 终端节点设定为低级权限、 汇聚节点设定为中级权限、 关键支点设定 为高级权限。 9.根据权利要求6所述的工作方法， 其特征在于： 所述服务器根据客户端的权限等级， 获取客户端访问服 务器的认证方式， 包括： 当客户端的权限等级是低级权限或中级权限， 客户端访问服 务器采用单向认证方式； 当客户端的权限等级是高级权限， 客户端访问服 务器采用双向认证方式。 10.根据权利要求6所述的工作方法， 其特征在于： 所述当认证方式为单向认证时， 客户 端与服务器通过 单向安全认证方法建立 通信链路， 包括： 客户端发送一段数据M和身边认证信息发送到密钥生成中心KGC； KGC根据身边认证信 息生成客户端的私钥； 利用加密算法， 对数据信息M进行签名操作， 生成数字签名M*； KGC将 M*传输到服务端； 服务端利用客户端的身份认证信息生成客户端的公钥， 根据加密算法对加密数据M*进 行验签， 如果验签通过， 建立 通信链路。 11.根据权利要求6所述的工作方法， 其特征在于： 所述当认证方式为双向认证时， 客户 端与服务器通过双向安全认证方法建立 通信链路， 包括： 客户端发送一段数据M和身边认证信息发送到密钥生成中心KGC； KGC根据身边认证信 息生成客户端的私钥， 利用加密算法， 对数据信息M进行签名操作， 生成数字签名M*； KGC将 M*传输到服务端； 服务端利用客户端的身份认证信息生成客户端的公钥， 根据加密算法对加密数据M*进 行验签， 如果验签通过， 进入下一 步； 服务端向客户端发送身份认证请求， 然后向密钥生成中心KGC发送数据信息N； KGC根据 身份认证请求生成服务端的私钥， 利用加密算法， 对数据信息N进行签名操作， 生成数字签 名N*； KGC将N*传输 到客户端； 客户端利用服务端的身份认证请求IDb生成服务端的公钥， 根据加密算法对加密数据 N*进行验签， 如果验签通过， 建立 通信链路。 12.根据权利要求10或1 1所述的工作方法， 其特 征在于： 所述加密算法采用SM9。权　利　要　求　书 2/2 页 3 CN 115277090 A 3