[发明专利]BACnet协议设备的安全认证方法

说明书

BACnet协议设备的安全认证方法，运行初始化算法，设备A、B拥有主密钥Ka、Kb；设备A向密钥服务器Server发送消息ReqKey请求会话密钥，Server收到消息后，用Ka进行数据识别，判断是否由设备A发出，产生会话密钥Ks。Server用Ka对Ks和请求消息加密，用Kb对Ks和A(IDa)加密，发送给设备A；设备A收到消息后，用Ka进行数据识别，判断是否由Server发出；存储Ks，把Server的信息发送给设备B，设备B收到消息后，获取Ks和A(IDa)，设备B用Ks加密随机数Nb，并发给设备A；设备A收到消息后，进行认证；设备A用Ks加密Authenticate，发送给设备B。设备B进行解码；验证随机数Nb是否相同，若相同，向设备A返回ComplexACK报文；设备A解码消息，查看“Modified Random Number”是否正确，若正确，则完成身份认证。

技术领域

本发明涉及智能建筑通信协议设备认证和数据保密安全技术领域。

背景技术

BACnet是一种面向对象的基于对等的网络协议，为保证通信效率采用了精简的OSI-RM体系结构，定义了应用层、网络层、数据链路层和物理层等四个层次，BACnet专注于网络层及以上，目标是可在任何数据链路和物理介质上运行。

BACnet协议标准定义了6个功能类别的服务：对象访问服务、文件访问服务、报警与事件服务、远程设备管理服务、虚拟终端服务和网络安全服务。BACnet网络安全服务主要提供了设备认证、数据源认证、操作员身份认证和数据保密与完整性方面的安全机制，不提供诸如访问控制和非否定(Non-repudiation)的通信安全机制。

发明内容

本发明的目的是提供一种BACnet协议设备的安全认证方法。

本发明是BACnet协议设备的安全认证方法，其步骤为：

(1)运行初始化算法，设备A、B使用DES算法产生自己的主密钥；设备A有主密钥Ka，仅和密钥服务器Server共享；设备B有主密钥Kb，仅和密钥服务器Server共享；

(2)设备A向密钥服务器Server发送消息ReqKey＝IDa||IDb||Na，请求一个认证会话密钥来保护到设备B的逻辑连接安全，该消息包含该次传输的随机数Na以及设备A的身份IDa和设备B的身份IDb；

(3)密钥服务器Server收到设备A的消息后，使用Ka进行数据源识别过程，判断请求是否由设备A发出，然后利用DES算法产生认证会话密钥Ks；密钥服务器Server使用设备A的主密钥Ka对用于认证会话的一次性会话密钥Ks和之前的请求信息加密，使用设备B的主密钥Kb对用于认证会话的一次性会话密钥Ks和设备A的身份加密，发送给设备A，即(E(Ka,[Ks||IDa||IDb||Na+1])||E(Kb,[Ks||IDa))；

(4)设备A收到密钥服务器Server发送的消息后，使用Ka进行数据源识别过程，判断是否由密钥服务器Server发出；解密存储将要使用的会话密钥Ks，把来源于密钥服务器Server的信息发送给设备B，即E(Kb,[Ks||IDa])；

(5)设备B收到消息后，解密获取认证会话密钥Ks和想建立连接的另一方设备A(IDa)，设备B使用新的认证会话密钥Ks加密该次传输的随机数Nb，并将结果发给设备A，即E(Ks,Nb)；

(6)设备A收到设备B发送的消息后，开始对设备B进行认证；设备A使用认证会话密钥Ks加密Authenticate的服务请求信息，即包含请求协议的数据部分、Pseudo RandomNumber和随机数Nb，发送给设备B；