CN111314274B - 一种车载终端与中心平台双向认证方法及系统 - Google Patents
一种车载终端与中心平台双向认证方法及系统 Download PDFInfo
- Publication number
- CN111314274B CN111314274B CN201910695197.8A CN201910695197A CN111314274B CN 111314274 B CN111314274 B CN 111314274B CN 201910695197 A CN201910695197 A CN 201910695197A CN 111314274 B CN111314274 B CN 111314274B
- Authority
- CN
- China
- Prior art keywords
- key
- platform
- terminal
- value
- public key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种车载终端与中心平台双向认证方法及系统,该方法中包括:为车载终端和中心平台分发对应的唯一密钥信息,由密钥信息签名私钥签名的签名值,并下发密钥信息签名公钥至车载终端和中心平台作为互相认证的依据;车载终端和中心平台通过密钥信息签名公钥进行相互认证,根据密钥信息中的终端/平台ID、密钥ID和时间戳来判断密钥信息是否合法;根据车载终端和中心平台相互交互过程中车载终端和中心平台生成的临时公钥和随机数,结合自身公/私钥进行协商会话密钥,通过协商的会话密钥进行加密通信。本发明改善了中心平台与密钥管理系统耦合问题和减低了终端密钥泄露风险,提高了双方认证效率。
Description
技术领域
本发明涉及网络认证技术领域,尤其涉及一种车载终端与中心平台双向认证方法及系统。
背景技术
随着车联网技术的兴起,越来越多的车辆安装了无线通信功能的车载终端。然而,绝大部分的车载终端都未采取安全措施,直接在互联网络上明文传输通信。在当今互联网高速发展的过程中,安全问题越发凸显,明文通信可能造成通信数据被窃取,敏感信息泄露,甚至不法分子通过协议给车载终端下发控制命令,从而导致更严重的安全隐患。
目前的安全技术中,通常是会采用数字证书SSL(Secure Sockets Layer,安全套接层)认证协议来为网络通信提供数据传输的安全性和可靠性。然而,SSL认证过程中,双方交互的复杂度高,一些计算能力比较低的车载终端不能适用。
发明内容
为了解决上述问题,本发明提出了一种车载终端与中心平台双向认证方法及系统,改善了中心平台与密钥管理系统耦合问题和减低了终端密钥泄露风险,提高了双方认证效率。
具体方案如下:
一种车载终端与中心平台双向认证方法,包括:
为车载终端和中心平台分发对应的唯一密钥信息,其中密钥信息由终端ID、平台ID、密钥ID、时间戳、终端公钥、平台公钥和由密钥信息签名私钥签名的签名值,并下发密钥信息签名公钥至车载终端和中心平台作为互相认证的依据;
车载终端和中心平台通过密钥信息签名公钥进行相互认证,根据密钥信息中的终端/平台ID、密钥ID和时间戳来判断密钥信息是否合法;
根据车载终端和中心平台相互交互过程中车载终端和中心平台生成的临时公钥和随机数,结合自身公/私钥进行协商会话密钥,通过协商的会话密钥进行加密通信。
进一步的,具体包括以下步骤:
S1:车载终端接收终端密钥信息、终端私钥和密钥信息签名公钥并保存,所述终端密钥信息包括终端ID、密钥ID、时间戳、终端公钥和签名值;
S2:中心平台接收平台密钥信息、平台私钥和密钥信息签名公钥并保存,所述平台密钥信息包括平台IP、密钥ID、时间戳、平台公钥和签名值;
S3:车载终端生成随机数A,用终端私钥对终端密钥信息和随机数A进行签名得到签名值后,将终端密钥信息、随机数A和签名值进行组帧得到认证请求,并将认证请求发送至中心平台;
S4:中心平台从认证请求中取出终端密钥信息,用密钥信息签名公钥对终端密钥信息进行验签,若验签通过,则进入S5;否则,断开链接,结束;
S5:取出终端密钥信息中的终端公钥,用终端公钥对认证请求中的终端密钥信息、随机数A和签名值进行验签,若验签通过,则进入S6;否则,断开链接,结束;
S6:中心平台生成随机数B,用平台私钥对平台密钥信息、随机数A和随机数B进行签名得到签名值后,将平台密钥信息、随机数A、随机数B和签名值进行组帧,用终端公钥进行加密,得到认证请求应答密文值,将认证请求应答密文值发送至车载终端;
S7:车载终端接收到认证请求应答密文值后,用终端私钥对认证请求应答密文值进行解密,若解密成功,得到平台密钥信息、随机数A、随机数B和签名值,进入S8;否则,断开链接,结束;
S8:用密钥信息签名公钥对平台密钥信息进行验签,若验签通过,判断平台密钥信息内的平台IP与当前链接IP是否一致,若一致,则进入S9;否则,断开链接,结束;
S9:用平台密钥信息内的平台公钥,对认证请求应答进行验签,若验签通过,则进入S10;否则,断开链接,结束;
S10:判断认证请求应答密文值中的随机数A与车载终端生成的随机数A是否一致,若一致,进入S11;否则,断开链接,结束;
S11:车载终端生成终端临时非对称密钥A,用终端私钥对随机数B和终端临时非对称密钥A中的终端临时公钥A进行签名得到签名值后,将随机数B和终端临时公钥A和签名值进行组帧,用平台公钥进行加密,得到协商请求密文值,将协商请求密文值发送至中心平台;
S12:中心平台接收协商请求密文值后,用平台私钥进行解密,若解密成功,得到随机数B、终端临时公钥A、签名值,进入S13;否则,断开链接,结束;
S13:用终端公钥对随机数B、终端临时公钥A和签名值进行验签,若验签通过,则进入S14;否则,断开链接,结束;
S14:判断协商请求密文值中的随机数B与中心平台生成的随机数B是否一致,若一致,进入S15;否则,断开链接,结束;
S15:中心平台生成平台临时非对称密钥B,用平台私钥对平台临时非对称密钥B中的平台临时公钥B进行签名得到签名值后,将平台临时公钥B和签名值进行组帧,用终端公钥进行加密,得到协商请求应答密文值,将协商请求应答密文值发送至车载终端;同时,通过SM2密钥交换协议对随机数A、随机数B、终端公钥、终端临时公钥A、平台公钥、平台私钥和平台临时非对称密钥B进行协商出会话密钥WK;
S16:车载终端接收协商请求应答密文值后,用终端私钥进行解密,若解密成功,得到平台临时公钥B和签名值,进入S17;否则,断开链接,结束;
S17:用平台公钥对平台临时公钥B和签名值进行验签,若验签通过,则通过SM2密钥交换协议对随机数A、随机数B、平台公钥、平台临时公钥B、终端公钥、终端私钥和终端临时非对称密钥A进行协商出会话密钥WK,通过会话密钥WK进行车载终端与中心平台之间的加密通信;否则,断开链接,结束。
进一步的,步骤S1中所述终端私钥进行加密存储,终端密钥信息和签名公钥保存在配置文件中。
进一步的,步骤S2中所述平台私钥进行加密存储,平台密钥信息和签名公钥存储在配置文件中。
进一步的,当步骤S17中验签通过时,还包括以下步骤:
S18:通过SM2密钥交换协议对随机数A、随机数B、终端公钥、终端临时公钥A、平台公钥、平台私钥和平台临时非对称密钥B进行协商,计算出哈希值S2和Sb;通过SM2密钥交换协议对随机数A、随机数B、平台公钥、平台临时公钥B、终端公钥、终端私钥和终端临时非对称密钥A进行协商的时候并计算出哈希值S1和Sa;
S19:车载终端用终端私钥对哈希值Sa进行签名得到签名值后,将哈希值Sa和签名值进行组帧,用平台公钥进行加密,得到确认请求密文值,将确认请求密文值发送至中心平台;
S20:中心平台接收确认请求密文值后,用平台私钥进行解密,若解密成功,得到哈希值Sa、签名值,进入S21;否则,断开链接,结束;
S21:用终端公钥对哈希值Sa和签名值进行验签,若验签通过,则进入S22;否则,断开链接,结束;
S22:判断哈希值S2与哈希值Sa是否一致,如果一致,则协商出来的会话密钥WK一致,下发成功应答,进入S23;否则,断开链接,结束;
S23:中心平台用平台私钥对哈希值Sb进行签名得到签名值后,将哈希值Sb和签名值进行组帧,用终端公钥进行加密,得到确认应答密文值,将确认应答密文值发送至车载终端;
S24:车载终端收到确认应答密文值后,用终端私钥进行解密,若解密成功,得到哈希值Sb和签名值,进入S25;否则,断开链接,结束;
S25:用平台公钥对哈希值Sb和签名值进行验签,若验签通过,则协议合法,进入S26;否则,协议被篡改,断开链接,结束;
S26:判断哈希值S1与哈希值Sb是否一致,如果一致,则协商出来的会话密钥WK一致,通过WK进行车载终端与中心平台之间的加密通信;否则,断开链接,结束。
一种车载终端与中心平台双向认证系统,包括车载终端和中心平台,所述车载终端和中心平台均处理器、存储器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现本发明实施例上述的方法的步骤。
本发明采用如上技术方案,通过国密算法进行严格的双向认证机制,采用生成密钥信息格式作为终端和平台的唯一标识,通过密钥信息签名公钥进行认证,中心平台不需要从密钥管理系统获取终端对应密钥信息,改善了中心平台与密钥管理系统耦合问题和减低了终端密钥泄露风险,提高了双方认证效率。同时采用SM2密钥交换协议根据双方公私钥和临时公钥分别在安全芯片和加密卡内生成会话密钥。会话密钥只存在硬件加密设备中保证了生成出来的临时会话密钥高安全性。
附图说明
图1所示为本发明实施例一的整体流程图。
图2所示为该实施例中认证协议的认证流程图。
图3所示为该实施例中硬答协议的认证流程图。
具体实施方式
为进一步说明各实施例,本发明提供有附图。这些附图为本发明揭露内容的一部分,其主要用以说明实施例,并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容,本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点。
现结合附图和具体实施方式对本发明进一步说明。
实施例一:
本发明实施例提供了一种车载终端与中心平台双向认证方法,所述方法的主要内容包括:
由密钥管理系统统一为车载终端和中心平台预先分发对应的唯一密钥信息,其中密钥信息由终端/平台ID(标识号)、密钥ID、时间戳和终端/平台公钥组成,由密钥信息签名私钥签名,并下发密钥信息签名公钥至车载终端和中心平台作为互相认证的依据。
车载终端和中心平台通过密钥信息签名公钥进行相互认证,根据密钥信息的内容中的终端/平台ID、密钥ID和时间戳判断密钥信息是否合法。
根据交互过程中车载终端和中心平台生成的临时公钥和随机数,结合自身公/私钥进行协商会话密钥,通过协商的会话密钥进行加密通信。
根据协商过程中计算出来的哈希值进行验证双方协商出来的会话密钥是否一致。
参考图1,本实施例具体包括以下步骤:
步骤一:车载终端由密钥管理系统预先分发终端密钥信息、终端私钥和密钥信息签名公钥,并将终端私钥保存在加密芯片内,终端密钥信息和签名公钥存储在配置文件中。
该实施例中,所述终端密钥信息包括终端ID、密钥ID、时间戳、终端公钥和签名值。
步骤二:中心平台由密钥管理系统预先分发平台密钥信息、平台私钥和密钥信息签名公钥,并将平台私钥由加密卡加密存储,平台密钥信息和签名公钥存储在配置文件中。
该实施例中,所述平台密钥信息包括平台ID、密钥ID、时间戳、平台公钥和签名值。
步骤三:车载终端生成随机数A,用终端私钥对终端密钥信息和随机数A进行签名得到签名值后,将终端密钥信息、随机数A、签名值进行组帧,得到认证请求,并将认证请求发送至中心平台。
步骤四:参考图2,中心平台从认证请求中取出终端密钥信息,用密钥信息签名公钥对终端密钥信息进行验签,若验签通过,则车载终端合法;否则,车载终端非法,断开链接。当验签通过时,进一步的取出终端密钥信息中终端公钥,用终端公钥对认证请求中终端密钥信息、随机数A和签名值进行验签,若验签通过,则协议合法,进入步骤五;否则,协议被篡改,断开链接。
步骤五:中心平台生成随机数B,用平台私钥对平台密钥信息、随机数A和随机数B进行签名得到签名值后,将平台密钥信息、随机数A、随机数B、签名值进行组帧,用终端公钥进行加密,得到认证请求应答密文值,将认证请求应答密文值发送至车载终端。
步骤六:参考图3,车载终端接收到认证请求应答密文值后,用终端私钥对认证请求应答密文值进行解密,若解密失败,断开链接,若解密成功,得到平台密钥信息、随机数A、随机数B和签名值,并用密钥信息签名公钥对平台密钥信息进行验签,若验签通过,判断平台密钥信息内的平台IP与当前链接IP是否一致,若一致,则中心平台合法;否则,中心平台非法,断开链接。
当中心平台合法时,进一步的,用平台密钥信息内的平台公钥,对认证请求应答进行验签,若验签通过,则协议合法;否则,协议被篡改,断开链接。
当协议合法时,进一步的,判断认证请求应答密文值中的随机数A与车载终端生成的随机数A是否一致,若一致,进入步骤七,若不一致,断开链接。
步骤七:车载终端生成终端临时非对称密钥A,其中终端临时非对称密钥A中包含终端临时公钥A和终端临时私钥A,用终端私钥对随机数B和终端临时公钥A进行签名得到签名值后,将随机数B和终端临时公钥A和签名值进行组帧,用平台公钥进行加密,得到协商请求密文值,将协商请求密文值发送至中心平台。
步骤八:中心平台接收协商请求密文值后,用平台私钥进行解密,若解密失败,断开链接;若解密成功,得到随机数B、终端临时公钥A和签名值,并用终端公钥对随机数B、终端临时公钥A和签名值进行验签,若验签通过,则协议合法;否则,协议被篡改,断开链接。
当协议合法时,对比协商请求密文值中的随机数B与中心平台生成的随机数B是否一致,若一致,进入步骤九,若不一致,断开链接。
步骤九:中心平台生成平台临时非对称密钥B,其中平台临时非对称密钥B中包含平台临时公钥B和平台临时私钥B,用平台私钥对平台临时公钥B进行签名得到签名值后,将平台临时公钥B和签名值进行组帧,用终端公钥进行加密,得到协商请求应答密文值,将协商请求应答密文值发送至车载终端。同时,通过SM2密钥交换协议(SM2椭圆曲线公钥密码算法的第3部分:密钥交换协议)对随机数A、随机数B、终端公钥、终端临时公钥A、平台公钥、平台私钥和平台临时密钥B进行协商出会话密钥WK,并计算出哈希值S2和Sb。
步骤十:车载终端接收协商请求应答密文值后,用终端私钥进行解密,若解密失败,断开链接;若解密成功,得到平台临时公钥B和签名值,并用平台公钥对平台临时公钥B和签名值进行验签,若验签通过,则协议合法,通过SM2密钥交换协议对随机数A、随机数B、平台公钥、平台临时公钥B、终端公钥、终端私钥和终端临时密钥A进行协商出会话密钥WK,并计算出哈希值S1和Sa;否则,协议被篡改,断开链接。
在上述的步骤中,已经实现了通过密钥来进行车载总段与中心平台之间的认证,为了进一步确保认证结果的准确性,该实施例中还包括:
步骤十一:车载终端用终端私钥对哈希值Sa进行签名得到签名值后,将哈希值Sa和签名值进行组帧,用平台公钥进行加密,得到确认请求密文值,将确认请求密文值发送至中心平台。
步骤十二:中心平台接收确认请求密文值后,用平台私钥进行解密,若解密失败,断开链接;若解密成功,得到哈希值Sa和签名值,并用终端公钥对哈希值Sa和签名值进行验签,若验签通过,则协议合法;否则,协议被篡改,断开链接。
当协议合法时,用哈希值S2与哈希值Sa进行对比,若一致,则协商出来的会话密钥WK一致,下发成功应答,进入步骤十三;否则,断开链接。
步骤十三:中心平台用平台私钥对哈希值Sb进行签名得到签名值后,将哈希值Sb和签名值进行组帧,用终端公钥进行加密,得到确认应答密文值,将确认应答密文值发送到车载终端。
步骤十四:车载终端收到确认应答密文值后,用终端私钥进行解密,若解密失败,断开链接;若解密成功,得到哈希值Sb、签名值,并用平台公钥对哈希值Sb和签名值进行验签,若验签通过,则协议合法;否则,协议被篡改,断开链接。
当协议合法时,用哈希值S1与哈希值Sb进行对比,若一致,则协商出来的会话密钥WK一致,根据WK进行加密通信;否则,断开链接。
本发明实施例一通过国密算法进行严格的双向认证机制,采用生成密钥信息格式作为终端和平台的唯一标识,通过密钥信息签名公钥进行认证,中心平台不需要从密钥管理系统获取终端对应密钥信息,改善了中心平台与密钥管理系统耦合问题和减低了终端密钥泄露风险,提高了双方认证效率。同时采用SM2密钥交换协议根据双方公私钥和临时公钥分别在安全芯片和加密卡内生成会话密钥。会话密钥只存在硬件加密设备中保证了生成出来的临时会话密钥高安全性。
实施例二:
本发明还提供一种车载终端与中心平台双向认证系统,包括车载终端和中心平台,所述车载终端和中心平台均包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现本发明实施例一的上述方法实施例中的步骤。
进一步地,作为一个可执行方案,所述车载终端与中心平台双向认证系统可以是车载电脑、桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述车载终端与中心平台双向认证系统可包括,但不仅限于,处理器、存储器。本领域技术人员可以理解,上述车载终端与中心平台双向认证系统的组成结构仅仅是车载终端与中心平台双向认证系统的示例,并不构成对车载终端与中心平台双向认证系统的限定,可以包括比上述更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述车载终端与中心平台双向认证系统还可以包括输入输出设备、网络接入设备、总线等,本发明实施例对此不做限定。
进一步地,作为一个可执行方案,所称处理器可以是中央处理单元(CentralProcessing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器是所述车载终端与中心平台双向认证系统的控制中心,利用各种接口和线路连接整个车载终端与中心平台双向认证系统的各个部分。
所述存储器可用于存储所述计算机程序和/或模块,所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现所述车载终端与中心平台双向认证系统的各种功能。所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据手机的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
尽管结合优选实施方案具体展示和介绍了本发明,但所属领域的技术人员应该明白,在不脱离所附权利要求书所限定的本发明的精神和范围内,在形式上和细节上可以对本发明做出各种变化,均为本发明的保护范围。
Claims (5)
1.一种车载终端与中心平台双向认证方法,其特征在于,包括:
为车载终端和中心平台分发对应的唯一密钥信息,其中密钥信息包括终端ID、平台IP、密钥ID、时间戳、终端公钥、平台公钥和由密钥信息签名私钥签名的签名值,并下发密钥信息签名公钥至车载终端和中心平台作为互相认证的依据;
车载终端和中心平台通过密钥信息签名公钥进行相互认证,根据密钥信息中的终端ID/平台IP、密钥ID和时间戳来判断密钥信息是否合法;
根据车载终端和中心平台相互交互过程中车载终端和中心平台生成的临时公钥和随机数,结合自身公/私钥协商会话密钥,通过协商的会话密钥进行加密通信;
方法的具体实现步骤如下:
S1:车载终端接收终端密钥信息、终端私钥和密钥信息签名公钥并保存,所述终端密钥信息包括终端ID、密钥ID、时间戳、终端公钥和签名值;
S2:中心平台接收平台密钥信息、平台私钥和密钥信息签名公钥并保存,所述平台密钥信息包括平台IP、密钥ID、时间戳、平台公钥和签名值;
S3:车载终端生成随机数A,用终端私钥对终端密钥信息和随机数A进行签名得到签名值后,将终端密钥信息、随机数A和签名值进行组帧得到认证请求,并将认证请求发送至中心平台;
S4:中心平台从认证请求中取出终端密钥信息,用密钥信息签名公钥对终端密钥信息进行验签,若验签通过,则进入S5;否则,断开链接,结束;
S5:取出终端密钥信息中的终端公钥,用终端公钥对认证请求中的终端密钥信息、随机数A和签名值进行验签,若验签通过,则进入S6;否则,断开链接,结束;
S6:中心平台生成随机数B,用平台私钥对平台密钥信息、随机数A和随机数B进行签名得到签名值后,将平台密钥信息、随机数A、随机数B和签名值进行组帧,用终端公钥进行加密,得到认证请求应答密文值,将认证请求应答密文值发送至车载终端;
S7:车载终端接收到认证请求应答密文值后,用终端私钥对认证请求应答密文值进行解密,若解密成功,得到平台密钥信息、随机数A、随机数B和签名值,进入S8;否则,断开链接,结束;
S8:用密钥信息签名公钥对平台密钥信息进行验签,若验签通过,判断平台密钥信息内的平台IP与当前链接IP是否一致,若一致,则进入S9;否则,断开链接,结束;
S9:用平台密钥信息内的平台公钥,对认证请求应答进行验签,若验签通过,则进入S10;否则,断开链接,结束;
S10:判断认证请求应答密文值中的随机数A与车载终端生成的随机数A是否一致,若一致,进入S11;否则,断开链接,结束;
S11:车载终端生成终端临时非对称密钥,用终端私钥对随机数B和终端临时非对称密钥中的终端临时公钥进行签名得到签名值后,将随机数B和终端临时公钥和签名值进行组帧,用平台公钥进行加密,得到协商请求密文值,将协商请求密文值发送至中心平台;
S12:中心平台接收协商请求密文值后,用平台私钥进行解密,若解密成功,得到随机数B、终端临时公钥、签名值,进入S13;否则,断开链接,结束;
S13:用终端公钥对随机数B、终端临时公钥和签名值进行验签,若验签通过,则进入S14;否则,断开链接,结束;
S14:判断协商请求密文值中的随机数B与中心平台生成的随机数B是否一致,若一致,进入S15;否则,断开链接,结束;
S15:中心平台生成平台临时非对称密钥,用平台私钥对平台临时非对称密钥中的平台临时公钥进行签名得到签名值后,将平台临时公钥和签名值进行组帧,用终端公钥进行加密,得到协商请求应答密文值,将协商请求应答密文值发送至车载终端;同时,通过SM2密钥交换协议对随机数A、随机数B、终端公钥、终端临时公钥、平台公钥、平台私钥和平台临时非对称密钥进行协商以得出会话密钥WK;
S16:车载终端接收协商请求应答密文值后,用终端私钥进行解密,若解密成功,得到平台临时公钥和签名值,进入S17;否则,断开链接,结束;
S17:用平台公钥对平台临时公钥和签名值进行验签,若验签通过,则通过SM2密钥交换协议对随机数A、随机数B、平台公钥、平台临时公钥B、终端公钥、终端私钥和终端临时非对称密钥进行协商以得出会话密钥WK,通过会话密钥WK进行车载终端与中心平台之间的加密通信;否则,断开链接,结束。
2.根据权利要求1所述的方法,其特征在于:步骤S1中所述终端私钥进行加密存储,终端密钥信息和签名公钥保存在配置文件中。
3.根据权利要求1所述的方法,其特征在于:步骤S2中所述平台私钥进行加密存储,平台密钥信息和签名公钥存储在配置文件中。
4.根据权利要求1所述的方法,其特征在于:当步骤S17中验签通过时,还包括以下步骤:
S18:中心平台通过SM2密钥交换协议对随机数A、随机数B、终端公钥、终端临时公钥A、平台公钥、平台私钥和平台临时非对称密钥B进行协商,计算出哈希值S2和Sb;车载终端通过SM2密钥交换协议对随机数A、随机数B、平台公钥、平台临时公钥B、终端公钥、终端私钥和终端临时非对称密钥A进行协商的时候并计算出哈希值S1和Sa;
S19:车载终端用终端私钥对哈希值Sa进行签名得到签名值后,将哈希值Sa和签名值进行组帧,用平台公钥进行加密,得到确认请求密文值,将确认请求密文值发送至中心平台;
S20:中心平台接收确认请求密文值后,用平台私钥进行解密,若解密成功,得到哈希值Sa、签名值,进入S21;否则,断开链接,结束;
S21:用终端公钥对哈希值Sa和签名值进行验签,若验签通过,则进入S22;否则,断开链接,结束;
S22:判断哈希值S2与哈希值Sa是否一致,如果一致,则协商出来的会话密钥WK一致,下发成功应答,进入S23;否则,断开链接,结束;
S23:中心平台用平台私钥对哈希值Sb进行签名得到签名值后,将哈希值Sb和签名值进行组帧,用终端公钥进行加密,得到确认应答密文值,将确认应答密文值发送至车载终端;
S24:车载终端收到确认应答密文值后,用终端私钥进行解密,若解密成功,得到哈希值Sb和签名值,进入S25;否则,断开链接,结束;
S25:用平台公钥对哈希值Sb和签名值进行验签,若验签通过,则协议合法,进入S26;否则,协议被篡改,断开链接,结束;
S26:判断哈希值S1与哈希值Sb是否一致,如果一致,则协商出来的会话密钥WK一致,通过WK进行车载终端与中心平台之间的加密通信;否则,断开链接,结束。
5.一种车载终端与中心平台双向认证系统,其特征在于:车载终端和中心平台,所述车载终端和中心平台均包括处理器、存储器以及存储在所述存储器中并在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1~4中任一所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910695197.8A CN111314274B (zh) | 2019-07-30 | 2019-07-30 | 一种车载终端与中心平台双向认证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910695197.8A CN111314274B (zh) | 2019-07-30 | 2019-07-30 | 一种车载终端与中心平台双向认证方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111314274A CN111314274A (zh) | 2020-06-19 |
| CN111314274B true CN111314274B (zh) | 2023-02-10 |
Family
ID=71146606
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910695197.8A Active CN111314274B (zh) | 2019-07-30 | 2019-07-30 | 一种车载终端与中心平台双向认证方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111314274B (zh) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111935166B (zh) * | 2020-08-18 | 2022-09-16 | 杭州萤石软件有限公司 | 通信认证方法、系统、电子设备、服务器及存储介质 |
| CN111923863B (zh) * | 2020-08-25 | 2021-09-17 | 东信和平科技股份有限公司 | 一种基于数字车钥匙的车辆控制方法 |
| CN112753203B (zh) * | 2020-10-30 | 2022-07-12 | 华为技术有限公司 | 一种安全通信方法及装置 |
| CN112600668A (zh) * | 2020-12-15 | 2021-04-02 | 上海银基信息安全技术股份有限公司 | 密钥协商方法、装置、电子设备和存储介质 |
| CN112737766B (zh) * | 2020-12-25 | 2022-08-19 | 国网浙江省电力有限公司营销服务中心 | 一种适用于安装式电能表的蓝牙通信动态配对密钥方法 |
| CN112733128B (zh) * | 2021-02-06 | 2022-06-14 | 深圳市云小白科技有限公司 | 基于非对称加密的一种无中心物联网安全认证方法 |
| CN113612616A (zh) * | 2021-07-27 | 2021-11-05 | 北京沃东天骏信息技术有限公司 | 一种基于区块链的车辆通信方法和装置 |
| CN113742709B (zh) * | 2021-09-13 | 2023-09-05 | 抖音视界有限公司 | 信息的处理方法、装置、可读介质和电子设备 |
| CN115220416A (zh) * | 2021-12-07 | 2022-10-21 | 广州汽车集团股份有限公司 | 车辆诊断方法、车载终端、系统及存储介质 |
| CN114154135B (zh) * | 2022-02-07 | 2022-05-24 | 南京理工大学 | 基于国密算法的车联网通信安全认证方法、系统及设备 |
| CN114531246A (zh) * | 2022-02-22 | 2022-05-24 | 中国银行股份有限公司 | 数据下载方法及装置 |
| WO2023230983A1 (zh) * | 2022-06-02 | 2023-12-07 | Oppo广东移动通信有限公司 | 建立互操作通道的方法、装置、芯片和存储介质 |
| CN115529127B (zh) * | 2022-09-23 | 2023-10-03 | 中科海川(北京)科技有限公司 | 基于sd-wan场景的设备认证方法、装置、介质、设备 |
| CN115664669B (zh) * | 2022-09-29 | 2023-08-04 | 鼎铉商用密码测评技术(深圳)有限公司 | 金融设备认证方法、取款机、外接设备及存储介质 |
| CN116521073B (zh) * | 2023-04-28 | 2023-10-24 | 江苏禾禾贯文网络科技有限公司 | 基于云服务的存储方法及装置 |
| CN116383857B (zh) * | 2023-06-05 | 2023-08-22 | 贯文检测(苏州)有限公司 | 基于跨平台认证的存储方法、装置及存储介质 |
| CN117395652B (zh) * | 2023-11-28 | 2024-04-09 | 广东石油化工学院 | 无线网络两端通信的双向身份认证方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008101340A1 (en) * | 2007-02-23 | 2008-08-28 | Cloakware Corporation | System and method for interlocking to protect software-mediated program and device behaviours |
| CN103338215A (zh) * | 2013-07-26 | 2013-10-02 | 中金金融认证中心有限公司 | 基于国密算法建立tls通道的方法 |
| CN105306492A (zh) * | 2015-11-25 | 2016-02-03 | 成都三零瑞通移动通信有限公司 | 一种针对安全即时通信的异步密钥协商方法及装置 |
| CN107426452A (zh) * | 2017-05-05 | 2017-12-01 | 中国联合网络通信集团有限公司 | 互联网通话方法及装置 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107317674B (zh) * | 2016-04-27 | 2021-08-31 | 华为技术有限公司 | 密钥分发、认证方法,装置及系统 |
| CN107809411B (zh) * | 2016-09-09 | 2021-12-03 | 华为技术有限公司 | 移动网络的认证方法、终端设备、服务器和网络认证实体 |
| CN106790279A (zh) * | 2017-02-21 | 2017-05-31 | 中国信息安全测评中心 | 一种双向认证方法及通信系统 |
| CN109495269B (zh) * | 2017-09-13 | 2023-11-03 | 厦门雅迅网络股份有限公司 | 车载端对接入设备的可信验证方法及其系统、车载端 |
| CN109347635A (zh) * | 2018-11-14 | 2019-02-15 | 中云信安(深圳)科技有限公司 | 一种基于国密算法的物联网安全认证系统及认证方法 |
-
2019
- 2019-07-30 CN CN201910695197.8A patent/CN111314274B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008101340A1 (en) * | 2007-02-23 | 2008-08-28 | Cloakware Corporation | System and method for interlocking to protect software-mediated program and device behaviours |
| CN103338215A (zh) * | 2013-07-26 | 2013-10-02 | 中金金融认证中心有限公司 | 基于国密算法建立tls通道的方法 |
| CN105306492A (zh) * | 2015-11-25 | 2016-02-03 | 成都三零瑞通移动通信有限公司 | 一种针对安全即时通信的异步密钥协商方法及装置 |
| CN107426452A (zh) * | 2017-05-05 | 2017-12-01 | 中国联合网络通信集团有限公司 | 互联网通话方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111314274A (zh) | 2020-06-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111314274B (zh) | 一种车载终端与中心平台双向认证方法及系统 | |
| CN109743176B (zh) | 一种pos终端的证书更新方法、服务器及pos终端 | |
| CN110290525A (zh) | 一种车辆数字钥匙的分享方法及系统、移动终端 | |
| US8555069B2 (en) | Fast-reconnection of negotiable authentication network clients | |
| CN110177354A (zh) | 一种车辆的无线控制方法及系统 | |
| CN110621014B (zh) | 一种车载设备及其程序升级方法、服务器 | |
| US20150172064A1 (en) | Method and relay device for cryptographic communication | |
| CN111372247A (zh) | 一种基于窄带物联网的终端安全接入方法及终端安全接入系统 | |
| CN112913189B (zh) | 一种ota升级方法及装置 | |
| CN112055019B (zh) | 一种建立通信信道的方法及用户终端 | |
| CN111131416A (zh) | 业务服务的提供方法和装置、存储介质、电子装置 | |
| CN110598429B (zh) | 数据加密存储和读取的方法、终端设备及存储介质 | |
| CN100550030C (zh) | 在便携式终端主机上添加可信平台的方法 | |
| CN111062059B (zh) | 用于业务处理的方法和装置 | |
| CN117081736A (zh) | 密钥分发方法、密钥分发装置、通信方法及通信装置 | |
| CN109960935B (zh) | 确定tpm可信状态的方法、装置及存储介质 | |
| CN111225001B (zh) | 区块链去中心化通讯方法、电子设备及系统 | |
| EP1790116B1 (en) | Method and system for managing authentication and payment for use of broadcast material | |
| CN114338091B (zh) | 数据传输方法、装置、电子设备及存储介质 | |
| CN114549206A (zh) | 一种交易抗抵赖的方法、系统、电子设备及可读存储介质 | |
| WO2019037422A1 (zh) | 密钥及密钥句柄的生成方法、系统及智能密钥安全设备 | |
| KR102551592B1 (ko) | 자동차의 주행거리 조작을 방지하는 방법 및 이를 사용한 주행거리기록장치 | |
| US11005651B2 (en) | Method and terminal for establishing security infrastructure and device | |
| CN113422753A (zh) | 数据处理方法、装置、电子设备及计算机存储介质 | |
| CN114980012A (zh) | 一种车联网设备认证方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |