(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210635588.2 (22)申请日 2022.06.06 (71)申请人 北京科技大 学 地址 100083 北京市海淀区学院路3 0号 (72)发明人 许海涛　于琳　孟磊　林福宏　 安建伟　周贤伟　 (74)专利代理 机构 北京市广友专利事务所有限 责任公司 1 1237 专利代理师 张仲波　邓琳 (51)Int.Cl. H04L 9/30(2006.01) H04L 9/32(2006.01) H04L 9/08(2006.01) (54)发明名称 一种零信任架构下应用于数控系统的持续 身份认证方法 (57)摘要 本发明公开了一种零信任架构下应用于数 控系统的持续身份认证方法， 为解决数控系统中 设备间持续认证方案都依赖于一个可信的权威 机构或节 点来为设备生成密钥或秘密值， 或者依 赖一个绝对安全的通道来传输初始信息的问题 而提出。 本发 明使用区块链代 替受信任的授权机 构， 通过实用拜占庭容错共识算法选择一个节 点， 为数控系统中两个实体产生公共参数和密 钥， 以便对彼此进行身份认证。 此外， 本发明采用 基于国密SM9的认证协议实现初始认证， 并采用 异或、 哈希等轻量级操作实现持续认证， 同时， 采 用不同长度的安全参数和时间间隔来区分实体 的信任级别， 并由信任评估中心进行评估， 在安 全性和效率之间实现了更好的权 衡。 权利要求书4页 说明书10页 附图1页 CN 115189880 A 2022.10.14 CN 115189880 A 1.一种零信任架构下应用于数控系统的持续身份认证方法， 其特征在于， 包括以下步 骤： 对数控系统进行初始化， 利用区块链， 通过实用拜占庭容错共识算法选择一个节点， 为 数控系统中参与身份认证的两个实体生成公共参数和密钥； 采用基于国密SM9的认证协议实现两个实体的初始 认证； 采用异或操作或者轻量级哈希函数实现两个实体的持续认证； 对持续认证阶段的安全性进行分析验证。 2.根据权利要求1所述的零信任架构下应用于数控系统的持续身份认证方法， 其特征 在于， 所述对数控系统进 行初始化的过程中， 针对不同实体的信任级别， 采用不同长度的安 全参数和时间 间隔。 3.根据权利要求1所述的零信任架构下应用于数控系统的持续身份认证方法， 其特征 在于， 所述对数控系统进行初始化， 包括： 信任评估中心TAC对数控系统进行初始化， 假设DA和DG代表参与认证的物联 网设备和网 关； 如果其中一个是不受信任的设备， 则终止； 否则， 生成的公共参数和密钥如下： 步骤A1： TAC初始化区块链并生成源模块； 将TAC定义为区块链的主节点， 因为它不参与 设备的身份认证； TAC选取两个安全参数和五个时间间隔： k1， k2， 和tc， 其中k1＜ k2， 如果两个实体都是可信设备， 则k＜k1， 否则， k＜ k2， 步骤A2： DA将意图广播给同一数控系统中的所有设备； TA C收到后， 会随机选 取除两者 之 外的一个可信设备Dp， 为其生成公共参数； 步骤A3： Dp根据两个设备的信任程度选择k， 然后生成k位质数q； Dp在E/FP上生成q阶循 环组 其产生者之一为G； 步骤A4： 分别选取N阶加法循环群G1和G2， 以及乘法循环群GT， P1、 P2分别是加法循环群 G1、 G2的生成元 ； TAC选取双线性对e ： G1×G2→GT； 此外 ， 定义四个哈希函数 H3： {0， 1}*→{0， 1}*和H4： {0， 1}*→{0， 1}*； 随机选取s∈[1， N ‑1]作为系统参数主密钥， 计算Ppub＝sP2作为主密钥； 步骤A5： Dp形成公共参数： 作为一个新的事 务， 广播到所有具有相同域的设备； 所有设备都有投票权， 但不受信任的设备除外； 如果实 用拜占庭容错共识算法的结果为正， TAC将区块链写入一个新块； 否则， TAC记录并选择另一 个设备， 然后跳转到步骤A3 。 4.根据权利要求3所述的零信任架构下应用于数控系统的持续身份认证方法， 其特征 在于， 所述 生成密钥包括： 步骤B1： 对于设备DA， TAC选择并公开一个私钥 生成函数识别符hi d， 在椭圆曲线有限域 FN上计算t1＝H1(IDA||hid， N)+s， 若t1＝0则需要重新产生主私钥0， 否则计算 私 钥 和公钥QA＝H1(IDA||hid， N)P1+Ppub； 步骤B2： 对于网关DG， TAC选择并公开一个私钥 生成函数识别符hi d， 在椭圆曲线有限域 FN上计算t3＝H1(IDG||hid， N)+s， 若t3＝0则需要重新产生主私钥0， 否则计算 私权　利　要　求　书 1/4 页 2 CN 115189880 A 2钥 和公钥QG＝H1(IDG||hid， N)P1+Ppub； 至此， 两个实体都拥有自己的密钥， 它 们将对彼此进行身份认证。 5.根据权利要求4所述的零信任架构下应用于数控系统的持续身份认证方法， 其特征 在于， 所述初始 认证包括： 步骤C1： 对待签名的消息 M， 设备A进行如下步骤实现签名： C101： 计算gA＝e(P1， Ppub)； C102： 令rA∈[1， N‑1]， 计算ωA＝g′A， hA＝H2(M||ωA， N)； C103： 计算LA＝(rA‑hA)mod N， 若LA＝0， 则返回C102； C104： 计算SA＝LAdA， 则消息M的签名为(hA， SA)； 设备A将M， (hA， SA)发送给网关 G； 步骤C2： 网关接收到消息 M′和(h′A， S′A)； C201： 检验h ′A∈[1， N‑1]， 与S′A∈G1是否成立， 若成立则验证不 通过； C202： 令g ′A＝e(P1， Ppub)， 计算 h1＝H1(IDA||hid， N)， PA＝h1P2+Ppub； C203： 计算 μ＝e(S ′A， PA)， ω′A＝ μ·t， h2＝H2(M′||ω′A， N)， 检验h2＝h′A是否成立， 若成 立则验证通过， 否则验证不 通过； C204： 计算gG＝e(P1， Ppub)； C205： 令rG∈[1， N‑1]， 计算ωG＝g′G， hG＝H2(M||ωG， N)； C206： 计算LG＝(rG‑hG)mod N， 若LG＝0， 则返回C20 5； C207： 计算SG＝LGdG， 则消息M的签名为(hG， SG)； 网关G将M， (hG， SG)发送给设备A； 步骤C3： 设备A接收到 M′， (h′G， S′G)； C301： 检验h ′G∈[1， N‑1]， 与S′G∈G1是否成立， 若成立则验证不 通过； C302： 令g′G＝e(P1， Ppub)， 计算 h3＝H1(IDG||hid， N)， PG＝h3P2+Ppub； C303： 计算 μ2＝e(S′G， PG)， ω′G＝ μ2·t2， h2＝H2(M′||ω′A， N)， 检验h4＝h′G是否成立， 若 成立则验证通过， 否则验证不 通过； C304： 选取 C305 ： 计算 设备A将CA发送给网关 G； 步骤C4： 网关 G接收到C′A； C401： 选取 C402： 计算 C403： 检验CA＝CG是否成立， 如果成立， 计算 生成令牌 C404： 计算 并发送给设备A； 步骤C5： 设备A接收到 C501： 计算 生成令牌 权　利　要　求　书 2/4 页 3 CN 115189880 A 3