CN106973056B - 一种面向对象的安全芯片及其加密方法 - Google Patents

一种面向对象的安全芯片及其加密方法 Download PDF

Info

Publication number
CN106973056B
CN106973056B CN201710201909.7A CN201710201909A CN106973056B CN 106973056 B CN106973056 B CN 106973056B CN 201710201909 A CN201710201909 A CN 201710201909A CN 106973056 B CN106973056 B CN 106973056B
Authority
CN
China
Prior art keywords
data
security
encryption
key
lsctr
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710201909.7A
Other languages
English (en)
Other versions
CN106973056A (zh
Inventor
梁晓兵
翟峰
岑炜
赵兵
刘鹰
吕英杰
李保丰
付义伦
曹永峰
许斌
孔令达
徐文静
冯占成
任博
张庚
杨全萍
周琪
袁泉
卢艳
韩文博
李丽丽
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
China Electric Power Research Institute Co Ltd CEPRI
Original Assignee
State Grid Corp of China SGCC
China Electric Power Research Institute Co Ltd CEPRI
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, China Electric Power Research Institute Co Ltd CEPRI filed Critical State Grid Corp of China SGCC
Priority to CN201710201909.7A priority Critical patent/CN106973056B/zh
Publication of CN106973056A publication Critical patent/CN106973056A/zh
Application granted granted Critical
Publication of CN106973056B publication Critical patent/CN106973056B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及一种面向对象的安全芯片及其加密方法,所述安全芯片包括:中央处理单元CPU,其用于协调安全芯片中其他功能模块,使其正常工作;对称密码算法单元,其采用国密对称密码算法对数据加解密运算;非对称密码算法单元,其采用国密非对称密码算法,实现数字证书的签名、验签,计算信息摘要以及通信双方的密钥协商;通信单元,其用于数据通信;安全保护单元,其用于保证安全芯片的正常运行;数据存储单元,其用于存储密钥;中断源,其用于向CPU提出事件的中断请求;以及定时/计数器,其用于安全芯片工作中进行计数和定时。所述安全芯片加密方法为分别建立传输层安全链接和应用层安全链接,采用传输层和应用层双层保护机制实现信息的安全传输。

Description

一种面向对象的安全芯片及其加密方法
技术领域
本发明涉及信息安全技术领域,并且更具体地,涉及一种面向对象的安全芯片及其加密方法。
背景技术
目前,各类信息采集系统信息集成度、融合度更高,系统依赖性更强,业务系统之间、业务系统与外界用户之间实时交互更加丰富与频繁,系统接入的终端数量庞大、类型多样,终端设备接入方式和接入环境比较复杂、并发量比较大,导致其运行环境日趋复杂,来自公网的信息安全威胁也日趋增多。安全芯片作为保护终端信息安全的重要介质,在身份识别、安全隔离、信息加密、完整性保护和抗抵赖等方面发挥着不可替代的重要作用。然而,现有安全芯片大多采用7816通信接口或单路串行外围通信接口SPI(Serial PeripheralInterface),通信效率及并发处理能力相对较低,安全通信灵活性相对较弱,无法满足面向对象协议的安全传输要求,很难适应当前信息采集系统复杂的业务应用环境。因此,亟需研发面向对象的适用于多业务处理能力的安全芯片及其加密方法,提高信息采集系统的安全性。
发明内容
为了解决背景技术存在的上述问题,本发明提供一种面向对象的安全芯片,所述安全芯片包括:
中央处理单元CPU,其用于协调安全芯片中除中央处理单元CPU以外的其他功能模块,使其正常工作;
对称密码算法单元,其采用国密对称密码算法对数据进行加解密运算;
非对称密码算法单元,其采用国密非对称密码算法,实现数字证书的签名、验签,计算信息摘要以及通信双方的密钥协商;
通信单元,其用于在安全芯片和安全隔离网关之间以及安全芯片和业务前置密码机之间进行数据通信,所述通信单元包括ISO/IEC7816通信接口和多个串行外围通信接口SPI;
安全保护单元,通过电压监测、频率监测、存储器数据加密和总线加扰安全防护功能来保证安全芯片的正常运行;
数据存储单元,其用于存储固定密钥、数字证书、应用广播密钥和初始向量、外部认证密钥、内部认证密钥、本地加密计算MAC密钥、本地解密验证MAC密钥和文件保护密钥;
中断源,其用于向CPU提出事件的中断请求;
定时/计数器,其采用可编程芯片计数、定时,所述定时/计数器包括单地址链路协商计数器LSCTR、终端主动上报计数器ARCTR和单地址应用协商计数器ASCTR;以及
随机数发生器,其用于产生随机数进行加解密运算。
进一步地,所述安全芯片适用于用电信息采集系统接入的终端。
进一步地,所述中央处理单元CPU是32位的。
进一步地,所述数据存储单元只用于存储密钥,经安全芯片加密运算后的数据存储在终端的数据存储区。
根据本发明的另一方面,本发明提供一种面向对象的安全芯片的加密方法,所述方法包括:
步骤一、安全芯片与安全隔离网关之间建立传输层加密链接,实现终端设备的接入认证和传输层数据的加密传输;
步骤二、安全芯片与业务前置密码机之间建立应用层加密链接,所述应用层加密链接用于对指令进行权限控制;
步骤三、安全芯片根据数据标识码对数据进行分类,将数据分为无安全性要求数据、低安全性要求数据、中安全性要求数据和高安全性要求数据,并根据数据分类配置数据安全模式和业务密钥后进行数据传输,其中,对于无安全性要求数据执行步骤四,对于低安全性要求数据执行步骤五,对于中安全性要求数据执行步骤六,对于高安全性要求数据执行步骤七;
步骤四、无安全性要求数据的安全模式为无需安全加密,数据以明文方式传输,在数据交互前无需配置密钥,即由安全芯片将待传输数据明文按照传输层数据编码格式编码后发送给安全隔离网关,安全隔离网关收到并验证数据完整性和解码后按照应用层数据编码格式发送给业务前置密码机,业务前置密码机解码后发送给业务前置服务器,业务前置服务器根据明文数据执行操作;
步骤五、低安全性要求数据的安全模式为无需安全加密,但需要计算MAC校验码,数据以明文加MAC方式传输,在数据交互前需配置MAC密钥,即由安全芯片采用应用层MAC密钥计算数据MAC校验码MAC1,然后采用传输层MAC密钥计算明文和MAC1数据的MAC校验码MAC2,之后将明文、MAC1和MAC2数据按照传输层数据编码格式编码后发送给安全隔离网关,安全隔离网关收到并验证数据完整性和MAC2后,解码并按照应用层数据编码格式发送明文和MAC1给业务前置密码机,业务前置密码机解码后验证MAC1是否正确,如果正确将明文数据发送给业务前置服务器,业务前置服务器根据明文数据执行相应的操作;
步骤六、中安全性要求数据的安全模式为需要安全加密,但不需要计算MAC校验码,数据以密文方式传输,在数据交互前需配置数据加密密钥,即由安全芯片采用应用层数据加密密钥加密数据明文为密文,然后采用传输层数据加密密钥加密后,按照传输层数据编码格式编码后发送给安全隔离网关,安全隔离网关收到并验证数据完整性后解密该数据为经过应用层数据加密密钥加密后的数据,并按照应用层数据编码格式发送给业务前置密码机,业务前置密码机解码并解密密文数据为明文数据后发送给业务前置服务器,业务前置服务器根据明文数据执行相应的操作;
步骤七、高安全性要求数据的安全模式为需要安全加密和计算MAC校验码,数据以密文加MAC方式传输,在数据交互前需配置数据加密密钥和MAC计算密钥,由安全芯片采用应用层数据加密密钥加密数据明文为密文1并用MAC密钥计算得到MAC校验码MAC1,然后将密文1和MAC1采用传输层数据加密密钥和MAC密钥加密并计算MAC校验码后得到密文2和MAC2,将密文2和MAC2按照传输层数据编码格式编码后发送给安全隔离网关,安全隔离网关收到数据并验证数据完整性后,首先验证MAC2是否正确,如果正确,解密密文2为密文1和MAC1,然后将密文1和MAC1按照应用层数据编码格式发送给业务前置密码机,业务前置密码机解码后首先验证MAC1是否正确,如果正确,解密密文1为明文数据后发送给业务前置服务器,业务前置服务器根据明文数据执行相应的操作。
进一步地,所述加密方法适用于用电信息采集系统接入的终端的安全芯片。
进一步地,在所述加密方法中安全芯片、安全隔离网关和业务前置密码机中预埋用于密钥协商的数据加密密钥、MAC计算密钥和数字证书。
进一步地,所述方法适用于所述业务前置密码机向安全芯片发送指令并处理数据的过程。
进一步地,所述加密方法的步骤一包括:
安全芯片组成报文1,将所述报文1发送给安全隔离网关,其中所述报文1包括密文信息Eks1(R1||FLAG||LSCTR)、消息鉴别码MAC1以及签名信息S1,所述FLAG为加密算法及安全模式标识,所述LSCTR为单地址链路协商计数器,所述密文信息Eks1(R1||FLAG||LSCTR)由安全芯片取随机数R1,加密R1||FLAG||LSCTR后得到,所述消息鉴别码MAC1由FLAG、LSCTR和R1计算得到,安全芯片将FLAG、LSCTR和随机数R1进行签名形成所述签名信息S1;
安全隔离网关接收报文1后,首先解密密文信息Eks1(R1||FLAG||LSCTR)得到随机数R′1、FLAG和LSCTR,然后验证签名S1、LSCTR的有效性和消息鉴别码MAC1,验证通过说明安全芯片身份合法且数据未被篡改,生成随机数R2,计算Ksnew=Mixbits(R′1,R2),然后利用密钥衍生算法计算Ksnew分别得到数据加密密钥、MAC计算密钥和初始向量,并组成报文2发送给安全芯片,其中,所述报文2包括密文信息Eks2(R'1||R2||FLAG||LSCTR)、消息鉴别码MAC2以及签名信息S2,所述密文信息Eks2(R'1||R2||FLAG||LSCTR)由安全隔离网关加密R'1||R2||FLAG||LSCTR后得到,所述消息鉴别码MAC2由FLAG、LSCTR和R'1||R2计算得到,安全隔离网关将FLAG、LSCTR和随机数R'1、R2进行签名形成所述签名信息S2;
安全芯片接收报文2后,首先解密密文信息Eks2(R1||R2||FLAG||LSCTR)得到随机数R″1、R′2、FLAG’和LSCTR’,若R″1与R1、FLAG与FLAG’相同,说明安全隔离网关采用的密码算法和安全模式与安全芯片一致,则验证签名S2、LSCTR’的有效性和消息鉴别码MAC2,若验证通过,说明安全隔离网关身份合法,然后计算K′snew=Mixbits(R1,R'2),利用密钥衍生算法计算K′snew分别得到数据加密密钥、MAC计算密钥和初始向量。安全芯片组成报文3发送给安全隔离网关,其中,所述报文3包括消息鉴别码MAC3,所述消息鉴别码MAC3由数据加密密钥、MAC计算密钥和初始向量计算得到;以及
安全隔离网关收到报文3后,首先验证MAC3,若验证通过说明R'2与R2相同,安全芯片采用的密码算法和安全模式与安全隔离网关一致,双方产生的数据加密密钥、MAC计算密钥和初始向量相同,则密钥协商成功,安全芯片与信息采集系统安全隔离网关之间建立传输层加密链接。
进一步地,所述加密方法的步骤二包括:
安全芯片组成报文1,将所述报文1发送给业务前置密码机,其中,所述报文1包括密文信息Eks1(R1||FLAG||LSCTR)、消息鉴别码MAC1以及签名信息S1,所述FLAG为加密算法及安全模式标识,所述LSCTR为单地址链路协商计数器,所述密文信息Eks1(R1||FLAG||LSCTR)由安全芯片取随机数R1,加密R1||FLAG||LSCTR后得到,所述消息鉴别码MAC1由FLAG、LSCTR和R1计算得到,安全芯片将FLAG、LSCTR和随机数R1进行签名形成所述签名信息S1;
业务前置密码机接收报文1后,首先解密密文信息Eks1(R1||FLAG||LSCTR)得到随机数R′1、FLAG和LSCTR,然后验证签名S1、LSCTR的有效性和消息鉴别码MAC1,验证通过说明安全芯片身份合法且数据未被篡改,生成随机数R2,计算Ksnew=Mixbits(R′1,R2),然后利用密钥衍生算法计算Ksnew分别得到数据加密密钥、MAC计算密钥和初始向量,并组成报文2发送给安全芯片,所述报文2包括密文信息Eks2(R'1||R2||FLAG||LSCTR)、消息鉴别码MAC2以及签名信息S2,所述密文信息Eks2(R'1||R2||FLAG||LSCTR)由业务前置密码机加密R'1||R2||FLAG||LSCTR后得到,所述消息鉴别码MAC2由FLAG、LSCTR和R'1||R2计算得到,业务前置密码机将FLAG、LSCTR和随机数R'1、R2进行签名形成所述签名信息S2;
安全芯片接收报文2后,首先解密密文信息Eks2(R1||R2||FLAG||LSCTR)得到随机数R″1、R′2、FLAG’和LSCTR’,若R″1与R1、FLAG与FLAG’相同,说明业务前置密码机采用的密码算法和安全模式与安全芯片一致,则验证签名S2、LSCTR’的有效性和消息鉴别码MAC2,若验证通过,说明业务前置密码机身份合法,然后计算K′snew=Mixbits(R1,R'2)利用密钥衍生算法计算K′snew分别得到数据加密密钥、MAC计算密钥和初始向量,安全芯片组成报文3发送给业务前置密码机,其中,所述报文3包括消息鉴别码MAC3,所述所述消息鉴别码MAC3由数据加密密钥、MAC计算密钥和初始向量计算得到;以及
前置密码机收到报文3后,首先验证MAC3,若验证通过说明R'2与R2相同,安全芯片采用的密码算法和安全模式与业务前置密码机一致,双方产生的数据加密密钥、MAC计算密钥和初始向量相同,则密钥协商成功,安全芯片与信息采集系统业务前置密码机之间建立应用层加密链接。
本发明所述的面向对象的安全芯片及其加密方法,结合采集终端本身的业务需求,对协议中的链路用户数据提供加解密或计算数据校验码功能,保证数据传输的私密性、防重放、防篡改、抗抵赖,并在在建立应用连接过程中提供安全认证、动态密钥协商功能,通过动态密钥实现数据加解密或计算数据校验码,提高了传输数据的安全性,而且根据对象标识灵活配置安全模式是明文、明文加数据校验码、密文还是密文加数据校验码,使信息安全防护和具体业务分离,提高系统数据传输的安全性和灵活性。
附图说明
通过参考下面的附图,可以更为完整地理解本发明的示例性实施方式:
图1是本发明具体实施方式的面向对象的安全芯片的结构图;
图2是本发明具体实施方式的面向对象的安全芯片加密方法的流程图;
图3是本发明具体实施方式的安全芯片与安全隔离网关之间建立传输层加密链接的方法的流程图;以及
图4是本发明具体实施方式的安全芯片与业务前置密码机之间建立应用层加密链接的方法的流程图。
具体实施方式
现在参考附图介绍本发明的示例性实施方式,然而,本发明可以用许多不同的形式来实施,并且不局限于此处描述的实施例,提供这些实施例是为了详尽地且完全地公开本发明,并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中,相同的单元/元件使用相同的附图标记。
除非另有说明,此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外,可以理解的是,以通常使用的词典限定的术语,应当被理解为与其相关领域的语境具有一致的含义,而不应该被理解为理想化的或过于正式的意义。
图1是本发明具体实施方式的面向对象的安全芯片的结构图,如图1所示,本发明所述的安全芯片100包括中央处理单元CPU101、对称密码算法单元102、非对称密码算法单元103、通信单元104、安全保护单元105、数据存储单元106、中断源107和定时/计数器108。
中央处理单元CPU101,其用于协调安全芯片中除中央处理单元CPU以外的其他功能模块,使其正常工作;
对称密码算法单元102,其采用国密对称密码算法对数据进行加解密运算;
非对称密码算法单元103,其采用国密非对称密码算法,实现数字证书的签名、验签,计算信息摘要以及通信双方的密钥协商;
通信单元104,其用于在安全芯片和安全隔离网关之间以及安全芯片和业务前置密码机之间进行数据通信,所述通信单元包括ISO/IEC7816通信接口和多个串行外围通信接口SPI;
安全保护单元105,通过电压监测、频率监测、存储器数据加密和总线加扰安全防护功能来保证安全芯片的正常运行;
数据存储单元106,其用于存储固定密钥、数字证书、应用广播密钥和初始向量、外部认证密钥、内部认证密钥、本地加密计算MAC密钥、本地解密验证MAC密钥和文件保护密钥;
中断源107,其用于向CPU提出事件的中断请求;
定时/计数器108,其采用可编程芯片计数、定时,所述定时/计数器包括单地址链路协商计数器LSCTR、终端主动上报计数器ARCTR和单地址应用协商计数器ASCTR;以及
随机数发生器109,其用于产生随机数进行加解密运算。
优选地,所述安全芯片适用于用电信息采集系统接入的终端。
优选地,所述中央处理单元CPU101是32位的。
优选地,所述数据存储单元106只用于存储密钥,经安全芯片加密运算后的数据存储在终端的数据存储区。
图2是本发明具体实施方式的面向对象的安全芯片加密方法的流程图。如图2所示,面对对象的安全芯片加密方法从步骤S201开始。
在步骤S201,安全芯片与安全隔离网关之间建立传输层加密链接,实现终端设备的接入认证和传输层数据的加密传输;
在步骤S202,安全芯片与业务前置密码机之间建立应用层加密链接,所述应用层加密链接用于对指令进行权限控制;
在步骤S203,安全芯片根据数据标识码对数据进行分类,将数据分为无安全性要求数据、低安全性要求数据、中安全性要求数据和高安全性要求数据,并根据数据分类配置数据安全模式和业务密钥后进行数据传输,其中,对于无安全性要求数据执行步骤四,对于低安全性要求数据执行步骤五,对于中安全性要求数据执行步骤六,对于高安全性要求数据执行步骤七;
在步骤S204,无安全性要求数据的安全模式为无需安全加密,数据以明文方式传输,在数据交互前无需配置密钥,即由安全芯片将待传输数据明文按照传输层数据编码格式编码后发送给安全隔离网关,安全隔离网关收到并验证数据完整性和解码后按照应用层数据编码格式发送给业务前置密码机,业务前置密码机解码后发送给业务前置服务器,业务前置服务器根据明文数据执行操作;
在步骤S205,低安全性要求数据的安全模式为无需安全加密,但需要计算MAC校验码,数据以明文加MAC方式传输,在数据交互前需配置MAC密钥,即由安全芯片采用应用层MAC密钥计算数据MAC校验码MAC1,然后采用传输层MAC密钥计算明文和MAC1数据的MAC校验码MAC2,之后将明文、MAC1和MAC2数据按照传输层数据编码格式编码后发送给安全隔离网关,安全隔离网关收到并验证数据完整性和MAC2后,解码并按照应用层数据编码格式发送明文和MAC1给业务前置密码机,业务前置密码机解码后验证MAC1是否正确,如果正确将明文数据发送给业务前置服务器,业务前置服务器根据明文数据执行相应的操作;
在步骤S206,中安全性要求数据的安全模式为需要安全加密,但不需要计算MAC校验码,数据以密文方式传输,在数据交互前需配置数据加密密钥,即由安全芯片采用应用层数据加密密钥加密数据明文为密文,然后采用传输层数据加密密钥加密后,按照传输层数据编码格式编码后发送给安全隔离网关,安全隔离网关收到并验证数据完整性后解密该数据为经过应用层数据加密密钥加密后的数据,并按照应用层数据编码格式发送给业务前置密码机,业务前置密码机解码并解密密文数据为明文数据后发送给业务前置服务器,业务前置服务器根据明文数据执行相应的操作;
在步骤S207,高安全性要求数据的安全模式为需要安全加密和计算MAC校验码,数据以密文加MAC方式传输,在数据交互前需配置数据加密密钥和MAC计算密钥,由安全芯片采用应用层数据加密密钥加密数据明文为密文1并用MAC密钥计算得到MAC校验码MAC1,然后将密文1和MAC1采用传输层数据加密密钥和MAC密钥加密并计算MAC校验码后得到密文2和MAC2,将密文2和MAC2按照传输层数据编码格式编码后发送给安全隔离网关,安全隔离网关收到数据并验证数据完整性后,首先验证MAC2是否正确,如果正确,解密密文2为密文1和MAC1,然后将密文1和MAC1按照应用层数据编码格式发送给业务前置密码机,业务前置密码机解码后首先验证MAC1是否正确,如果正确,解密密文1为明文数据后发送给业务前置服务器,业务前置服务器根据明文数据执行相应的操作。
优选地,所述加密方法适用于用电信息采集系统接入的终端的安全芯片。
优选地,在所述加密方法中安全芯片、安全隔离网关和业务前置密码机中预埋用于密钥协商的数据加密密钥、MAC计算密钥和数字证书。
优选地,所述方法适用于所述业务前置密码机向安全芯片发送指令并处理数据的过程。
图3是本发明具体实施方式的安全芯片与安全隔离网关之间建立传输层加密链接的方法的流程图。如图3所示,所述安全芯片与安全隔离网关之间建立传输层加密链接的方法从步骤S301开始。
在步骤S301,安全芯片组成报文1,将所述报文1发送给安全隔离网关,其中所述报文1包括密文信息Eks1(R1||FLAG||LSCTR)、消息鉴别码MAC1以及签名信息S1,所述FLAG为加密算法及安全模式标识,所述LSCTR为单地址链路协商计数器,所述密文信息Eks1(R1||FLAG||LSCTR)由安全芯片取随机数R1,加密R1||FLAG||LSCTR后得到,所述消息鉴别码MAC1由FLAG、LSCTR和R1计算得到,安全芯片将FLAG、LSCTR和随机数R1进行签名形成所述签名信息S1;
在步骤S302,安全隔离网关接收报文1后,首先解密密文信息Eks1(R1||FLAG||LSCTR)得到随机数R′1、FLAG和LSCTR,然后验证签名S1、LSCTR的有效性和消息鉴别码MAC1,验证通过说明安全芯片身份合法且数据未被篡改,生成随机数R2,计算Ksnew=Mixbits(R′1,R2),然后利用密钥衍生算法计算Ksnew分别得到数据加密密钥、MAC计算密钥和初始向量,并组成报文2发送给安全芯片,其中,所述报文2包括密文信息Eks2(R'1||R2||FLAG||LSCTR)、消息鉴别码MAC2以及签名信息S2,所述密文信息Eks2(R'1||R2||FLAG||LSCTR)由安全隔离网关加密R'1||R2||FLAG||LSCTR后得到,所述消息鉴别码MAC2由FLAG、LSCTR和R'1||R2计算得到,安全隔离网关将FLAG、LSCTR和随机数R′1、R2进行签名形成所述签名信息S2;
在步骤S303,安全芯片接收报文2后,首先解密密文信息Eks2(R1||R2||FLAG||LSCTR)得到随机数R″1、R'2、FLAG’和LSCTR’,若R″1与R1、FLAG与FLAG’相同,说明安全隔离网关采用的密码算法和安全模式与安全芯片一致,则验证签名S2、LSCTR’的有效性和消息鉴别码MAC2,若验证通过,说明安全隔离网关身份合法,然后计算K′snew=Mixbits(R1,R'2),利用密钥衍生算法计算K′snew分别得到数据加密密钥、MAC计算密钥和初始向量。安全芯片组成报文3发送给安全隔离网关,其中,所述报文3包括消息鉴别码MAC3,所述消息鉴别码MAC3由数据加密密钥、MAC计算密钥和初始向量计算得到;以及
在步骤S304,安全隔离网关收到报文3后,首先验证MAC3,若验证通过说明R'2与R2相同,安全芯片采用的密码算法和安全模式与安全隔离网关一致,双方产生的数据加密密钥、MAC计算密钥和初始向量相同,则密钥协商成功,安全芯片与信息采集系统安全隔离网关之间建立传输层加密链接。
图4是本发明具体实施方式的安全芯片与业务前置密码机之间建立应用层加密链接的方法的流程图。如图所示,安全芯片与业务前置密码机之间建立应用层加密链接的方法从步骤S401开始。
在步骤S401,安全芯片组成报文1,将所述报文1发送给业务前置密码机,其中,所述报文1包括密文信息Eks1(R1||FLAG||LSCTR)、消息鉴别码MAC1以及签名信息S1,所述FLAG为加密算法及安全模式标识,所述LSCTR为单地址链路协商计数器,所述密文信息Eks1(R1||FLAG||LSCTR)由安全芯片取随机数R1,加密R1||FLAG||LSCTR后得到,所述消息鉴别码MAC1由FLAG、LSCTR和R1计算得到,安全芯片将FLAG、LSCTR和随机数R1进行签名形成所述签名信息S1;
在步骤S402,业务前置密码机接收报文1后,首先解密密文信息Eks1(R1||FLAG||LSCTR)得到随机数R′1、FLAG和LSCTR,然后验证签名S1、LSCTR的有效性和消息鉴别码MAC1,验证通过说明安全芯片身份合法且数据未被篡改,生成随机数R2,计算Ksnew=Mixbits(R′1,R2),然后利用密钥衍生算法计算Ksnew分别得到数据加密密钥、MAC计算密钥和初始向量,并组成报文2发送给安全芯片,所述报文2包括密文信息Eks2(R'1||R2||FLAG||LSCTR)、消息鉴别码MAC2以及签名信息S2,所述密文信息Eks2(R'1||R2||FLAG||LSCTR)由业务前置密码机加密R'1||R2||FLAG||LSCTR后得到,所述消息鉴别码MAC2由FLAG、LSCTR和R'1||R2计算得到,业务前置密码机将FLAG、LSCTR和随机数R′1、R2进行签名形成所述签名信息S2;
在步骤S403,安全芯片接收报文2后,首先解密密文信息Eks2(R1||R2||FLAG||LSCTR)得到随机数R″1、R'2、FLAG’和LSCTR’,若R″1与R1、FLAG与FLAG’相同,说明业务前置密码机采用的密码算法和安全模式与安全芯片一致,则验证签名S2、LSCTR’的有效性和消息鉴别码MAC2,若验证通过,说明业务前置密码机身份合法,然后计算K′snew=Mixbits(R1,R'2)利用密钥衍生算法计算K′snew分别得到数据加密密钥、MAC计算密钥和初始向量,安全芯片组成报文3发送给业务前置密码机,其中,所述报文3包括消息鉴别码MAC3,所述所述消息鉴别码MAC3由数据加密密钥、MAC计算密钥和初始向量计算得到;以及
在步骤S404,前置密码机收到报文3后,首先验证MAC3,若验证通过说明R'2与R2相同,安全芯片采用的密码算法和安全模式与业务前置密码机一致,双方产生的数据加密密钥、MAC计算密钥和初始向量相同,则密钥协商成功,安全芯片与信息采集系统业务前置密码机之间建立应用层加密链接。
通常地,在权利要求中使用的所有术语都根据他们在技术领域的通常含义被解释,除非在其中被另外明确地定义。所有的参考“一个/所述/该【装置、组件等】”都被开放地解释为所述装置、组件等中的至少一个实例,除非另外明确地说明。这里公开的任何方法的步骤都没必要以公开的准确的顺序运行,除非明确地说明。

Claims (8)

1.一种面向对象的安全芯片,其特征在于,所述安全芯片包括:
中央处理单元CPU,其用于协调安全芯片中除中央处理单元CPU以外的其他功能模块,使其正常工作;
对称密码算法单元,其采用国密对称密码算法对数据进行加解密运算;
非对称密码算法单元,其采用国密非对称密码算法,实现数字证书的签名、验签,计算信息摘要以及通信双方的密钥协商;
通信单元,其用于在安全芯片和安全隔离网关之间以及安全芯片和业务前置密码机之间进行数据通信,所述通信单元包括ISO/IEC7816通信接口和多个串行外围通信接口SPI;
安全保护单元,通过电压监测、频率监测、存储器数据加密和总线加扰安全防护功能来保证安全芯片的正常运行;
数据存储单元,其用于存储固定密钥、数字证书、应用广播密钥、初始向量、外部认证密钥、内部认证密钥、本地加密计算MAC密钥、本地解密验证MAC密钥和文件保护密钥;
中断源,其用于向CPU提出事件的中断请求;
定时/计数器,其采用可编程芯片定时、计数,所述定时/计数器包括单地址链路协商计数器LSCTR、终端主动上报计数器ARCTR和单地址应用协商计数器ASCTR;以及
随机数发生器,其用于产生随机数进行加解密运算;
所述安全芯片适用于用电信息采集系统接入的终端,所述数据存储单元只用于存储密钥,经安全芯片加密运算后的数据存储在终端的数据存储区。
2.根据权利要求1所述的安全芯片,其特征在于,所述CPU是32位的。
3.一种面向对象的安全芯片的加密方法,其特征在于,所述方法包括:
步骤一、安全芯片与安全隔离网关之间建立传输层加密链接,实现终端设备的接入认证和传输层数据的加密传输;
步骤二、安全芯片与业务前置密码机之间建立应用层加密链接,所述应用层加密链接用于对指令进行权限控制;
步骤三、安全芯片根据数据标识码对数据进行分类,将数据分为无安全性要求数据、低安全性要求数据、中安全性要求数据和高安全性要求数据,并根据数据分类配置数据安全模式和业务密钥后进行数据传输,其中,对于无安全性要求数据执行步骤四,对于低安全性要求数据执行步骤五,对于中安全性要求数据执行步骤六,对于高安全性要求数据执行步骤七;
步骤四、无安全性要求数据的安全模式为无需安全加密,数据以明文方式传输,在数据交互前无需配置密钥,即由安全芯片将待传输数据明文按照传输层数据编码格式编码后发送给安全隔离网关,安全隔离网关收到并验证数据完整性和解码后按照应用层数据编码格式发送给业务前置密码机,业务前置密码机解码后发送给业务前置服务器,业务前置服务器根据明文数据执行操作;
步骤五、低安全性要求数据的安全模式为无需安全加密,但需要计算MAC校验码,数据以明文加MAC方式传输,在数据交互前需配置MAC密钥,即由安全芯片采用应用层MAC密钥计算数据MAC校验码MAC1,然后采用传输层MAC密钥计算明文和MAC1数据的MAC校验码MAC2,之后将明文、MAC1和MAC2数据按照传输层数据编码格式编码后发送给安全隔离网关,安全隔离网关收到并验证数据完整性和MAC2后,解码并按照应用层数据编码格式发送明文和MAC1给业务前置密码机,业务前置密码机解码后验证MAC1是否正确,如果正确将明文数据发送给业务前置服务器,业务前置服务器根据明文数据执行相应的操作;
步骤六、中安全性要求数据的安全模式为需要安全加密,但不需要计算MAC校验码,数据以密文方式传输,在数据交互前需配置数据加密密钥,即由安全芯片采用应用层数据加密密钥加密数据明文为密文,然后采用传输层数据加密密钥加密后,按照传输层数据编码格式编码后发送给安全隔离网关,安全隔离网关收到并验证数据完整性后解密该数据为经过应用层数据加密密钥加密后的数据,并按照应用层数据编码格式发送给业务前置密码机,业务前置密码机解码并解密密文数据为明文数据后发送给业务前置服务器,业务前置服务器根据明文数据执行相应的操作;
步骤七、高安全性要求数据的安全模式为需要安全加密和计算MAC校验码,数据以密文加MAC方式传输,在数据交互前需配置数据加密密钥和MAC计算密钥,由安全芯片采用应用层数据加密密钥加密数据明文为密文1并用MAC密钥计算得到MAC校验码MAC1,然后将密文1和MAC1采用传输层数据加密密钥和MAC密钥加密并计算MAC校验码后得到密文2和MAC2,将密文2和MAC2按照传输层数据编码格式编码后发送给安全隔离网关,安全隔离网关收到数据并验证数据完整性后,首先验证MAC2是否正确,如果正确,解密密文2为密文1和MAC1,然后将密文1和MAC1按照应用层数据编码格式发送给业务前置密码机,业务前置密码机解码后首先验证MAC1是否正确,如果正确,解密密文1为明文数据后发送给业务前置服务器,业务前置服务器根据明文数据执行相应的操作。
4.根据权利要求3所述的加密方法,其特征在于,所述加密方法适用于用电信息采集系统接入的终端的安全芯片。
5.根据权利要求3所述的加密方法,其特征在于,在所述加密方法中安全芯片、安全隔离网关和业务前置密码机中预埋用于密钥协商的数据加密密钥、MAC计算密钥和数字证书。
6.根据权利要求3所述的加密方法,其特征在于,所述方法适用于所述业务前置密码机向安全芯片发送指令并处理数据的过程。
7.根据权利要求3所述的加密方法,其特征在于,所述步骤一包括:
安全芯片组成报文1,将所述报文1发送给安全隔离网关,其中所述报文1包括密文信息Eks1(R1||FLAG||LSCTR)、消息鉴别码MAC1以及签名信息S1,所述FLAG为加密算法及安全模式标识,所述LSCTR为单地址链路协商计数器,所述密文信息Eks1(R1||FLAG||LSCTR)由安全芯片取随机数R1,加密R1||FLAG||LSCTR后得到,所述消息鉴别码MAC1由FLAG、LSCTR和R1计算得到,安全芯片将FLAG、LSCTR和随机数R1进行签名形成所述签名信息S1;
安全隔离网关接收报文1后,首先解密密文信息Eks1(R1||FLAG||LSCTR)得到随机数R′1、FLAG和LSCTR,然后验证签名S1、LSCTR的有效性和消息鉴别码MAC1,验证通过说明安全芯片身份合法且数据未被篡改,生成随机数R2,计算Ksnew=Mixbits(R′1,R2),然后利用密钥衍生算法计算Ksnew分别得到数据加密密钥、MAC计算密钥和初始向量,并组成报文2发送给安全芯片,其中,所述报文2包括密文信息Eks2(R′1||R2||FLAG||LSCTR)、消息鉴别码MAC2以及签名信息S2,所述密文信息Eks2(R′1||R2||FLAG||LSCTR)由安全隔离网关加密R′1||R2||FLAG||LSCTR后得到,所述消息鉴别码MAC2由FLAG、LSCTR和R′1||R2计算得到,安全隔离网关将FLAG、LSCTR和随机数R′1、R2进行签名形成所述签名信息S2;
安全芯片接收报文2后,首先解密密文信息Eks2(R1||R2||FLAG||LSCTR)得到随机数R″1、R′2、FLAG’和LSCTR’,若R″1与R1、FLAG与FLAG’相同,说明安全隔离网关采用的密码算法和安全模式与安全芯片一致,则验证签名S2、LSCTR’的有效性和消息鉴别码MAC2,若验证通过,说明安全隔离网关身份合法,然后计算K′snew=Mixbits(R1,R′2),利用密钥衍生算法计算K′snew分别得到数据加密密钥、MAC计算密钥和初始向量,安全芯片组成报文3发送给安全隔离网关,其中,所述报文3包括消息鉴别码MAC3,所述消息鉴别码MAC3由数据加密密钥、MAC计算密钥和初始向量计算得到;以及
安全隔离网关收到报文3后,首先验证MAC3,若验证通过说明R'2与R2相同,安全芯片采用的密码算法和安全模式与安全隔离网关一致,双方产生的数据加密密钥、MAC计算密钥和初始向量相同,则密钥协商成功,安全芯片与信息采集系统安全隔离网关之间建立传输层加密链接。
8.根据权利要求3所述的加密方法,其特征在于,所述步骤二包括:
安全芯片组成报文1,将所述报文1发送给业务前置密码机,其中,所述报文1包括密文信息Eks1(R1||FLAG||LSCTR)、消息鉴别码MAC1以及签名信息S1,所述FLAG为加密算法及安全模式标识,所述LSCTR为单地址链路协商计数器,所述密文信息Eks1(R1||FLAG||LSCTR)由安全芯片取随机数R1,加密R1||FLAG||LSCTR后得到,所述消息鉴别码MAC1由FLAG、LSCTR和R1计算得到,安全芯片将FLAG、LSCTR和随机数R1进行签名形成所述签名信息S1;
业务前置密码机接收报文1后,首先解密密文信息Eks1(R1||FLAG||LSCTR)得到随机数R'1、FLAG和LSCTR,然后验证签名S1、LSCTR的有效性和消息鉴别码MAC1,验证通过说明安全芯片身份合法且数据未被篡改,生成随机数R2,计算Ksnew=Mixbits(R′1,R2),然后利用密钥衍生算法计算Ksnew分别得到数据加密密钥、MAC计算密钥和初始向量,并组成报文2发送给安全芯片,所述报文2包括密文信息Eks2(R'1||R2||FLAG||LSCTR)、消息鉴别码MAC2以及签名信息S2,所述密文信息Eks2(R ′ 1 ||R2||FLAG||LSCTR) 由业务前置密码机加密R′1||R2||FLAG||LSCTR后得到,所述消息鉴别码MAC2由FLAG、LSCTR和R′1||R2计算得到,业务前置密码机将FLAG、LSCTR和随机数R′1、R2进行签名形成所述签名信息S2;
安全芯片接收报文2后,首先解密密文信息Eks2(R1||R2||FLAG||LSCTR)得到随机数R″1、R′2、FLAG’和LSCTR’,若R″1与R1、FLAG与FLAG’相同,说明业务前置密码机采用的密码算法和安全模式与安全芯片一致,则验证签名S2、LSCTR’的有效性和消息鉴别码MAC2,若验证通过,说明业务前置密码机身份合法,然后计算K′snew=Mixbits(R1,R′2)利用密钥衍生算法计算K′snew分别得到数据加密密钥、MAC计算密钥和初始向量,安全芯片组成报文3发送给业务前置密码机,其中,所述报文3包括消息鉴别码MAC3,所述所述消息鉴别码MAC3由数据加密密钥、MAC计算密钥和初始向量计算得到;以及
前置密码机收到报文3后,首先验证MAC3,若验证通过说明R′2与R2相同,安全芯片采用的密码算法和安全模式与业务前置密码机一致,双方产生的数据加密密钥、MAC计算密钥和初始向量相同,则密钥协商成功,安全芯片与信息采集系统业务前置密码机之间建立应用层加密链接。
CN201710201909.7A 2017-03-30 2017-03-30 一种面向对象的安全芯片及其加密方法 Active CN106973056B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710201909.7A CN106973056B (zh) 2017-03-30 2017-03-30 一种面向对象的安全芯片及其加密方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710201909.7A CN106973056B (zh) 2017-03-30 2017-03-30 一种面向对象的安全芯片及其加密方法

Publications (2)

Publication Number Publication Date
CN106973056A CN106973056A (zh) 2017-07-21
CN106973056B true CN106973056B (zh) 2020-11-17

Family

ID=59336241

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710201909.7A Active CN106973056B (zh) 2017-03-30 2017-03-30 一种面向对象的安全芯片及其加密方法

Country Status (1)

Country Link
CN (1) CN106973056B (zh)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107395361A (zh) * 2017-07-25 2017-11-24 成都国科微电子有限公司 信源数据的转换和鉴定方法及系统
CN107743062A (zh) * 2017-08-29 2018-02-27 苏州惠邦科信息技术有限公司 手机安全加密芯片
CN109698815B (zh) * 2017-10-23 2021-08-31 中国电信股份有限公司 嵌入式芯片卡、卡应用服务器及应用数据传输系统和方法
CN108322442A (zh) * 2017-12-29 2018-07-24 广州雅广信息科技有限公司 一种专线加密认证系统
CN108257319B (zh) * 2018-02-12 2023-10-31 中国电力科学研究院有限公司 一种具有加解密功能的usbkey安全存储柜及其应用方法
CN108280372A (zh) * 2018-02-23 2018-07-13 深圳国微技术有限公司 一种安全芯片
CN109274643A (zh) * 2018-08-14 2019-01-25 国网甘肃省电力公司电力科学研究院 一种基于libevent架构的新能源厂站发电单元终端接入管理系统
CN109714360B (zh) * 2019-01-31 2021-10-19 武汉天喻聚联网络有限公司 一种智能网关及网关通信处理方法
CN109902478B (zh) * 2019-03-27 2022-03-08 公安部交通管理科学研究所 一种机动车号牌制作设备的安全控制装置及控制方法
CN112383917A (zh) * 2020-10-21 2021-02-19 华北电力大学 一种基于商密算法的北斗安全通信方法和系统
CN114039728A (zh) * 2021-12-24 2022-02-11 中电长城(长沙)信息技术有限公司 一种报文加解密方法及其系统
CN114697082B (zh) * 2022-03-09 2023-11-07 中易通科技股份有限公司 一种无服务器环境的加解密装置的生产及应用方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1553349A (zh) * 2003-05-29 2004-12-08 联想(北京)有限公司 一种安全芯片及基于该芯片的信息安全处理设备和方法
CN103095696A (zh) * 2013-01-09 2013-05-08 中国电力科学研究院 一种适用于用电信息采集系统的身份认证和密钥协商方法
CN103679062A (zh) * 2013-12-23 2014-03-26 上海贝岭股份有限公司 智能电表主控芯片和安全加密方法
CN104704505A (zh) * 2012-08-28 2015-06-10 维萨国际服务协会 保护设备上的资产
CN105871873A (zh) * 2016-04-29 2016-08-17 国家电网公司 一种用于配电终端通信的安全加密认证模块及其方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2578983A1 (en) * 2004-10-01 2006-04-13 Ubitrak Inc. Security system for authenticating gaming chips
US10771448B2 (en) * 2012-08-10 2020-09-08 Cryptography Research, Inc. Secure feature and key management in integrated circuits

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1553349A (zh) * 2003-05-29 2004-12-08 联想(北京)有限公司 一种安全芯片及基于该芯片的信息安全处理设备和方法
CN104704505A (zh) * 2012-08-28 2015-06-10 维萨国际服务协会 保护设备上的资产
CN103095696A (zh) * 2013-01-09 2013-05-08 中国电力科学研究院 一种适用于用电信息采集系统的身份认证和密钥协商方法
CN103679062A (zh) * 2013-12-23 2014-03-26 上海贝岭股份有限公司 智能电表主控芯片和安全加密方法
CN105871873A (zh) * 2016-04-29 2016-08-17 国家电网公司 一种用于配电终端通信的安全加密认证模块及其方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于面向对象互操作技术的用电信息采集系统通信协议设计;巫钟兴,阿辽沙·叶,郑安刚,王伟峰;《电测与仪表》;20161225;第53卷(第24期);第69-74页 *

Also Published As

Publication number Publication date
CN106973056A (zh) 2017-07-21

Similar Documents

Publication Publication Date Title
CN106973056B (zh) 一种面向对象的安全芯片及其加密方法
CN100468438C (zh) 实现硬件和软件绑定的加密和解密方法
CN106656510B (zh) 一种加密密钥获取方法及系统
JP3816337B2 (ja) テレコミュニケーションネットワークの送信に対するセキュリティ方法
CN102547688B (zh) 一种基于虚拟专用信道的高可信手机安全通信信道的建立方法
CN106357396A (zh) 数字签名方法和系统以及量子密钥卡
CN101502040A (zh) 减少通过无线链路的低数据率应用中的安全协议开销
CN110336774A (zh) 混合加密解密方法、设备及系统
US8332628B2 (en) Method for accessing data safely suitable for electronic tag
CN107172056A (zh) 一种信道安全确定方法、装置、系统、客户端及服务器
US8230218B2 (en) Mobile station authentication in tetra networks
CN109391468A (zh) 一种认证方法及系统
CN101969638A (zh) 一种移动通信中对imsi进行保护的方法
KR101608815B1 (ko) 폐쇄형 네트워크에서 암복호화 서비스 제공 시스템 및 방법
CN104424446A (zh) 一种安全认证和传输的方法和系统
CN107483429B (zh) 一种数据加密方法和装置
CN103118363A (zh) 一种互传秘密信息的方法、系统、终端设备及平台设备
CN105281910A (zh) 带ca数字证书作为入网身份识别的物联网锁及其入网身份识别方法
CN103117851A (zh) 一种公钥机制实现防篡改防抵赖的加密控制方法及装置
CN101986726A (zh) 一种基于wapi的管理帧保护方法
CN112020038A (zh) 一种适用于轨道交通移动应用的国产加密终端
CN105007163A (zh) 预共享密钥的发送、获取方法及发送、获取装置
CN111147257A (zh) 身份认证和信息保密的方法、监控中心和远程终端单元
CN112911588A (zh) 一种轻量级的窄带物联网安全传输方法和系统
CN113591109B (zh) 可信执行环境与云端通信的方法及系统

Legal Events

Date Code Title Description
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant