[发明专利]一种基于SM9密码身份认证的地铁综合监控系统

权利要求书

1.一种基于SM9密码身份认证的地铁综合监控系统，其特征在于，该地铁综合监控系统包括密钥管理中心和若干个监控中心；各个监控中心之间通过综合监控系统主干网连接；每个监控中心均包括通过网络总线连接的工作站、FEP和服务器；

各个工作站、FEP和服务器分别配有工作站端UKey、FEP端UKey和服务器端UKey；各个工作站、FEP和服务器上均设有安全中间件模块；

安全中间件模块包括底层的设备层、中层的密码服务层和上层的API接口层；设备层用于连接用户端Ukey、工作站端UKey、FEP端UKey和/或服务器端UKey；密码服务层用于提供对称密码算法和非对称密码算法的密码运算功能；API接口层用来受工作站、EFP和/或服务器的调用；

用户端UKey中存储有用户账号标识及其对应的私钥信息；工作站端UKey中存储有工作站的设备特征信息及其对应的私钥信息；FEP端UKey中存储有FEP的设备特征信息及其对应的私钥信息；服务器端UKey中存储有服务器的设备特征信息及其对应的私钥信息；

密钥管理中心包括SM9标识密码管理系统和SM9标识密码机，SM9标识密码管理系统与SM9标识密码机连接，用于计算生成用户端UKey、工作站端UKey、FEP端UKey和服务器端UKey中的私钥信息，并将该私钥信息写入到对应UKey中；

只有完成工作站设备认证和用户认证后，工作站上的监控程序才能启动；

只有完成FEP设备认证后，FEP上的监控程序才能启动；

只有完成服务器设备认证后，FEP上的监控程序才能启动。

2.根据权利要求1所述的基于SM9密码身份认证的地铁综合监控系统，其特征在于，工作站设备认证包括以下步骤：

S11：工作站上的监控程序向对应的工作站端安全中间件模块发送工作站端挑战值；

S12：工作站端安全中间件模块根据对应的工作站端UKey上存储的私钥信息对工作站端挑战值进行加密生成工作站对应的签名，并传输给工作站上的监控程序；

S13：当工作站上的监控程序件使用工作站的设备特征信息对工作站对应的签名完成签名验证时，完成工作站设备认证。

3.根据权利要求1所述的基于SM9密码身份认证的地铁综合监控系统，其特征在于，FEP设备认证包括以下步骤：

S21：FEP上的监控程序向对应的FEP端安全中间件模块发送FEP端挑战值；

S22：FEP端安全中间件模块根据对应的FEP端UKey上存储的私钥信息对FEP端挑战值加密生成FEP对应的签名，并传输给FEP上的监控程序；

S23：当FEP上的监控程序件使用FEP的设备特征信息对FEP对应的签名完成签名验证时，完成FEP设备认证。

4.根据权利要求1所述的基于SM9密码身份认证的地铁综合监控系统，其特征在于，服务器设备认证包括以下步骤：

S31：服务器上的监控程序向对应的服务器端安全中间件模块发送服务器端挑战值；

S32：服务器端安全中间件模块根据对应的服务器端UKey上存储的私钥信息对服务器端挑战值加密生成服务器对应的签名，并传输给服务器上的监控程序；

S33：当服务器上的监控程序件使用服务器的设备特征信息对服务器对应的签名完成签名验证时，完成服务器设备认证。