[发明专利]应用于油料存储系统的设备身份认证系统、方法及装置

权利要求书

1.一种应用于油料存储系统的设备身份认证系统、方法及装置，其特征在于，包括：

后台管理系统，用于管理主设备和从设备，内含第一密码模块，所述密码模块具有计算SM3、HMAC-SM3的能力，并且具有密钥管理能力；

主设备，作为油料存储系统的主设备和通信协议Modbus的发起方，同时内设第二密码模块；

从设备，作为油料存储系统的从设备和通信协议Modbus的响应方，同时内设第三密码模块。

2.根据权利要求1所述的应用于油料存储系统的设备身份认证系统、方法及装置，其特征在于：所述密钥管理能力包括随机数生成、密钥生成、密钥安全存储、密钥备份、密钥恢复、密钥销毁的密钥全生命周期管理功能。

3.根据权利要求1所述的应用于油料存储系统的设备身份认证系统、方法及装置，其特征在于：所述第二密码模块具有计算SM3、HMAC-SM3的功能。

4.根据权利要求1所述的应用于油料存储系统的设备身份认证系统、方法及装置，其特征在于：所述第三密码模块具有计算HMAC-SM3的功能。

5.一种应用于油料存储系统的设备身份认证方法，其特征在于，包括如下步骤：

进行主设备发送认证发起命令的步骤；

进行从设备响应认证命令，发起应答命令的步骤；

进行主设备验证从设备的响应指令的步骤。

6.根据权利要求5所述的应用于油料存储系统的设备身份认证方法，其特征在于，进行主设备发送认证发起命令的步骤具体如下：

若主设备具有随机数生成能力，则随机数R由主设备产生；否则，主设备向后台管理系统请求随机数R，后台管理系统的密码模块产生随机数R，后台管理系统将随机数安全发送给主设备；随机数R的长度记为RLen字节；

主设备发送随机数R，本条命令的Modbus数据报文如下：

地址：从设备地址；

功能码：采用自定义的油料存储系统自定义码1，记为FCODE1，该自定义码表明主设备要求从设备响应身份验证请求；

数据：随机数R；

CRC：按Modbus协议执行CRC计算。

7.根据权利要求6所述的应用于油料存储系统的设备身份认证方法，其特征在于，进行从设备响应认证命令，发起应答命令的步骤具体如下：

从设备收到主设备发到的指令后解析指令，验证CRC正确，验证功能码为自定义码1，即FCODE1，正确后对利用设备地址DEV-ADDR、自定义码2、DEV-ID值计算CD＝CRC(DEV-ADDR||FCODE2||DEV-ID)；

从设备计算：

TMP＝HMAC-SM3DEV-KEY(CD||R)；

MD＝TRUNC(TMP,MDLen)

其中，MD长度为MDLen字节；

MDLen的值不大于HMAC-SM3的输出值长度32字节；

从设备发送DEV-ID和MD，本条Modbus指令的报文为：

地址：从设备地址DEV-ADDR；

功能码：采用自定义码2，即FCODE2，该自定义码表明从设备响应身份验证请求；

数据：DEV-ID和MD；

CRC：按Modbus协议执行CRC计算。