[发明专利]BACnet协议设备的安全认证方法

权利要求书

1.BACnet协议设备的安全认证方法，其特征在于，其步骤为：

(1)运行初始化算法，设备A、B使用DES算法产生自己的主密钥；设备A有主密钥Ka，仅和密钥服务器Server共享；设备B有主密钥Kb，仅和密钥服务器Server共享；

(2)设备A向密钥服务器Server发送消息ReqKey＝IDa||IDb||Na，请求一个认证会话密钥来保护到设备B的逻辑连接安全，该消息包含该次传输的随机数Na以及设备A的身份IDa和设备B的身份IDb；

(3)密钥服务器Server收到设备A的消息后，使用Ka进行数据源识别过程，判断请求是否由设备A发出，然后利用DES算法产生认证会话密钥Ks；密钥服务器Server使用设备A的主密钥Ka对用于认证会话的一次性会话密钥Ks和之前的请求信息加密，使用设备B的主密钥Kb对用于认证会话的一次性会话密钥Ks和设备A的身份加密，发送给设备A，即(E(Ka,[Ks||IDa||IDb||Na+1])||E(Kb,[Ks||IDa))；

(4)设备A收到密钥服务器Server发送的消息后，使用Ka进行数据源识别过程，判断是否由密钥服务器Server发出；解密存储将要使用的会话密钥Ks，把来源于密钥服务器Server的信息发送给设备B，即E(Kb,[Ks||IDa])；

(5)设备B收到消息后，解密获取认证会话密钥Ks和想建立连接的另一方设备A(IDa)，设备B使用新的认证会话密钥Ks加密该次传输的随机数Nb，并将结果发给设备A，即E(Ks,Nb)；

(6)设备A收到设备B发送的消息后，开始对设备B进行认证；设备A使用认证会话密钥Ks加密Authenticate的服务请求信息，即包含请求协议的数据部分、Pseudo Random Number和随机数Nb，发送给设备B；

(7)设备B收到设备A的认证服务后进行解码；首先验证收到的随机数Nb是否与之前发出的相同，如果相同，则将该参数的每一个字节的最高位和最低位取反，修改PseudoRandom Number为Modified Random Number，向设备A返回一个ComplexACK，即传送服务请求已经成功执行报文；

(8)设备A将收到的回复消息进行解码，查看ComplexACK报文是否包含正确的“Modified Random Number”，如果正确，则完成对设备B的身份认证。