CN111835508B - 一种密钥分配部署方法和系统 - Google Patents
一种密钥分配部署方法和系统 Download PDFInfo
- Publication number
- CN111835508B CN111835508B CN201910330675.5A CN201910330675A CN111835508B CN 111835508 B CN111835508 B CN 111835508B CN 201910330675 A CN201910330675 A CN 201910330675A CN 111835508 B CN111835508 B CN 111835508B
- Authority
- CN
- China
- Prior art keywords
- key
- signature
- production line
- message
- public key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请涉及一种密钥分配部署方法,包括:第一设备生成第一密钥对,第一密钥对包括第一公钥和第一私钥,产线签名服务器对第一公钥签名并生成第一签名值,返回第一消息至第一设备,第一消息至少包括第一签名值;第二设备生成第二密钥对,第二密钥对包括第二公钥和第二私钥,产线签名服务器对第二公钥签名并生成第二签名值,返回第二消息至第二设备,第二消息至少包括第二签名值;第一设备和第二设备利用第一消息和第二消息进行协商共享密钥,共享密钥用于在第一设备和第二设备之间进行通信。本方案使得低性能的设备能够部署高安全性数据传输安全方案,降低了成本。
Description
技术领域
本申请涉及通信安全技术领域,尤其涉及一种密钥分配部署方法和系统。
背景技术
如图1所示,现有生物识别系统一般可分为两个部分:生物传感器设备和主机设备,这二者一般情况通过USB、SPI等通信总线建立通信。更高级别的生物识别系统中,为了保护用户的生物信息,在图1的基础上增设了相关防护环境,如图2所示。其中安全协议保护生物传感器设备和主机设备安全模式之间数据传输的安全性,安全模式用于保护用户数据处理过程环境的安全性。
现有技术中,安全协议,如安全传输层协议等,一般情况下有两种类型,基于非对称密码的安全协议和基于对称密码系统的安全协议。
方法一,基于非对称密码的安全协议,需要在设备生产过程中预置可信认证授权(CA,Certificate Authority)颁发的设备证书,比如向生物传感器设备颁发生物传感器设备证书,向主机设备颁发主机证书,证书相互关系如图3所示。在生产过程中,生物传感器设备和主机设备向CA请求证书,再把从CA获取到的CA证书和设备证书分别预置到生物传感器设备和主机设备中。
该方法中利用公钥体系建立相互信任的架构,生物传感器设备和主机设备对于证书的解析需要耗费大量的时间和空间。验证证书的过程、随后的会话协商过程也需耗费大量的时间和空间。以上都要求双方具备强大的运算能力或硬件密码加速模块,这些都会导致成本上升。
方法二,基于对称密码系统的安全协议,需要将相同的密钥信息在工厂产线分别写入到生物传感器设备和主机设备中,该密钥信息用作双方的认证凭据。生产过程中注入的每对密钥信息是每对设备独有的,每对都不相同。该方案中生物传感器设备与主机设备通过预置的密钥信息形成了强绑定关系,这将导致生产灵活性下降,在整个生产过程中都不能改变生物传感器设备和主机设备之间的硬件配对关系。同时,也给售后带来了不确定性,一旦设备损坏则只能返厂重新更换生物传感器设备和主机设备。
发明内容
有鉴于此,本申请实施例所解决的技术问题之一在于提供一种密钥分配部署方法、装置及系统,用以克服或者缓解现有技术中的上述缺陷。
第一方面,本申请提供一种密钥分配部署方法,包括:
第一设备生成第一密钥对,第一密钥对包括第一公钥和第一私钥,产线签名服务器对第一公钥签名并生成第一签名值,返回第一消息至第一设备,第一消息至少包括第一签名值;
第二设备生成第二密钥对,第二密钥对包括第二公钥和第二私钥,产线签名服务器对第二公钥签名并生成第二签名值,返回第二消息至第二设备,第二消息至少包括第二签名值;
第一设备和第二设备利用第一消息和第二消息进行协商共享密钥,共享密钥用于在第一设备和第二设备之间进行通信。
另外,结合第一方面,在第一方面的一种实现方式中,第一设备生成第一密钥对之前包括:
根签名服务器生成根密钥对,根密钥对包括根公钥和根私钥;
产线签名服务器生成产线签名密钥对,产线签名密钥对包括产线签名公钥和产线签名私钥,产线签名服务器发送签名请求和产线签名公钥,根签名服务器接收签名请求和产线签名公钥,根签名服务器的根私钥对产线签名公钥签名并生成第三签名值,返回根公钥、产线签名公钥以及第三签名值至产线签名服务器。
另外,结合第一方面及其上述实现方式,在第一方面的另一种实现方式中,第一设备生成第一密钥对,第一密钥对包括第一公钥和第一私钥,产线签名服务器对第一公钥签名并生成第一签名值,返回第一消息至第一设备,第一消息至少包括第一签名值,包括:
第一设备生成第一密钥对,第一设备发送签名请求和第一公钥,产线签名服务器接收第一设备的签名请求和第一公钥,产线签名服务器的产线签名私钥对第一公钥签名,生成第一签名值,返回第一消息至第一设备,第一消息还包括根公钥、第三签名值、产线签名公钥以及第一公钥。
另外,结合第一方面及其上述实现方式,在第一方面的另一种实现方式中,第二设备生成第二密钥对,第二密钥对包括第二公钥和第二私钥,产线签名服务器对第二公钥签名并生成第二签名值,返回第二消息至第二设备,第二消息至少包括第二签名值,包括:第二设备生成第二密钥对,第二设备发送签名请求和第二公钥,产线签名服务器接收第二设备的签名请求和第二公钥,产线签名服务器的产线签名私钥对第二公钥签名,生成第二签名值,返回第二消息至第二设备,第二消息还包括根公钥、第三签名值、产线签名公钥以及第二公钥。
另外,结合第一方面及其上述实现方式,在第一方面的另一种实现方式中,第一设备和所述第二设备利用第一消息和第二消息进行协商共享密钥,共享密钥用于在第一设备和第二设备之间进行通信包括:
第一设备发起连接并生成第一随机数,将第一消息发送至第二设备;
第二设备接收第一设备的第一消息,验证第一消息的合法性,若第一消息合法,则生成第二随机数和共享密钥,并将第二随机数和第二消息发送至第一设备;
第一设备接收第二设备的第二消息和第二随机数,验证第二消息的合法性,若第二消息合法,则生成共享密钥,共享密钥用于在第一设备和第二设备之间进行通信。
本申请的实施例的第二方面提供了一种密钥分配部署系统,包括:
第一设备,用于生成第一密钥对以及接收产线签名服务器返回的第一消息,以利用第一消息与第二设备进行协商共享密钥,第一密钥对包括第一公钥和第一私钥,第一公钥用于被产线签名服务器签名并生成第一签名值,第一消息至少包括第一签名值;
第二设备,用于生成第二密钥对以及接收产线签名服务器返回的第二消息,以利用第二消息与第一设备进行协商共享密钥,第二密钥对包括第二公钥和第二私钥,第二公钥用于被产线签名服务器签名并生成第二签名值,第二消息至少包括第二签名值,共享密钥用来在第一设备与第二设备之间进行通信。
另外,结合第二方面,在第二方面的一种实现方式中,系统还包括:
根签名服务器,用于生成根密钥对,根密钥对包括根公钥和根私钥;
产线签名服务器,用于生成产线签名密钥对,产线签名密钥对包括产线签名公钥和产线签名私钥,根签名服务器的根私钥用于对产线签名公钥签名并生成第三签名值,根签名服务器用于返回根公钥、产线签名公钥以及第三签名值至产线签名服务器。
另外,结合第二方面及其上述实现方式,在第二方面的另一种实现方式中,第一设备还用于,包括:
第一设备生成第一密钥对,第一设备发送签名请求和第一公钥,产线签名服务器接收第一设备的签名请求和第一公钥,产线签名服务器的产线签名私钥对第一公钥签名,生成第一签名值,返回第一消息至第一设备,第一消息还包括根公钥、第三签名值、产线签名公钥以及第一公钥。
另外,结合第二方面及其上述实现方式,在第二方面的另一种实现方式中,第二设备还用于,包括:
第二设备生成第二密钥对,第二设备发送签名请求和第二公钥,产线签名服务器接收第二设备的签名请求和第二公钥,产线签名服务器的产线签名私钥对第二公钥签名,生成第二签名值,返回第二消息至第二设备,第二消息还包括根公钥、第三签名值、产线签名公钥以及第二公钥。
另外,结合第二方面及其上述实现方式,在第二方面的另一种实现方式中,
第一设备和第二设备还用于,包括:
第一设备发起连接并生成第一随机数,将第一消息发送至第二设备;
第二设备接收第一设备的第一消息,验证第一消息的合法性,若第一消息合法,则生成第二随机数和共享密钥,并将第二随机数和第二消息发送至第一设备;
第一设备接收第二设备的第二消息,验证第二消息的合法性,若第二消息合法,则生成共享密钥,共享密钥用于在第一设备和第二设备之间进行通信。
与现有技术相比,本申请实施例的有益效果在于:本发明将预置到设备中的公钥数据不直接提供给安全通信协议使用,而是利用通信双方数据校验过程生成共享密钥,在安全通信协议使用共享密钥进行通信。本发明降低了生物识别系统安全方案对生物传感器性能的门槛要求,使得低性能的生物传感器芯片能够部署高安全性数据传输安全方案,提升了生产的效率和售后效率,降低了成本。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是现有技术中主机设备与生物识别设备之间的连接方式示意图;
图2是现有技术中设备安全环境保护的连接方式示意图;
图3是现有技术中非对称密码的安全协议的示意图;
图4是本申请实施例的一种密钥分配部署方法流程图;
图5是本申请实施例的产线签名服务器给第一设备和第二设备预置密钥阶段的示意图;
图6是本申请实施例的第一设备和第二设备协商共享密钥的流程图;
图7是本申请实施例的第二设备生成共享密钥流程图;
图8是本申请实施例的第一设备生成共享密钥流程图;
图9是本申请实施例的工厂预置密钥的示意图;
图10是本申请实施例的ECDSA和ECDH密钥的数据格式示意图;
图11是本申请实施例的数字签名格式示意图;
图12是本申请实施例的初始化协商共享密钥流程图;
图13是本申请另一实施例第二设备生成共享密钥流程图;
图14是本申请另一实施例第一设备生成共享密钥流程图;
图15是本申请实施例的第一设备的结构示意图;
图16是本申请实施例的第二设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例,例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
请参考图4,图4是本申请实施例的一种密钥分配部署方法流程图,本实施例采用对第一设备和第二设备预置密钥对,使得第一设备和第二设备通过预置密钥对进行协商共享密钥,并利用共享密钥建立安全信道进行通信,该方法包括:
S101,第一设备生成第一密钥对,第一密钥对包括第一公钥和第一私钥,产线签名服务器对第一公钥签名并生成第一签名值,返回第一消息至第一设备,所述第一消息至少包括第一签名值;
S102,第二设备生成第二密钥对,第二密钥对包括第二公钥和第二私钥,产线签名服务器对第二公钥签名并生成第二签名值,返回第二消息至第二设备,所述第二消息至少包括第二签名值;
S103,第一设备和第二设备利用第一消息和第二消息进行协商共享密钥,所述共享密钥用于在第一设备和第二设备之间进行通信。
本实施例的有益效果在于:本发明将以往的产线预置密钥过程分割为两段,即工厂预置密钥和协商共享密钥过程。预置到设备中的公钥数据不会直接提供给安全通信协议使用,而是利用通信双方数据校验过程协商生成共享密钥,在安全通信协议使用共享密钥进行通信。本发明降低了生物识别系统安全方案对生物传感器性能的门槛要求,使得低性能的生物传感器芯片能够部署高安全性数据传输安全方案,提升了生产的效率和售后效率,降低了成本。
基于上述实施例公开的内容,可选的,本实施例中,在S101中,第一设备生成第一密钥对之前包括:
根签名服务器生成根密钥对,根密钥对包括根公钥和根私钥;
产线签名服务器生成产线签名密钥对,产线签名密钥对包括产线签名公钥和产线签名私钥,产线签名服务器发送签名请求和产线签名公钥给根签名服务器,根签名服务器接收签名请求和产线签名公钥,根签名服务器的根私钥对产线签名公钥签名并生成第三签名值,返回根公钥、产线签名公钥以及第三签名值至产线签名服务器。
具体的,根签名服务器生成并保护根密钥对(pk_root,sk_root),pk_root为根公钥,sk_root为根私钥,产线签名服务器生成并保护产线签名密钥对(pk_issue,sk_issue),pk_issue为产线签名公钥,sk_issue为产线签名私钥,产线签名服务器发送签名请求和产线签名公钥给根签名服务器,根签名服务器接收签名请求和产线签名公钥,根签名服务器的根私钥对产线签名公钥签名并生成第三签名值s_root,返回根公钥、产线签名公钥以及第三签名值至产线签名服务器,产线签名服务器保存(pk_issue,s_root,pk_root)。
在S101中,第一设备生成第一密钥对,第一设备发送签名请求和第一公钥至产线签名服务器,产线签名服务器接收第一设备的签名请求和第一公钥,产线签名服务器的产线签名私钥对第一公钥签名,生成第一签名值,产线签名服务器返回第一消息至所述第一设备,所述第一消息包括所述第一签名值、第三签名值、根公钥、产线签名公钥以及第一公钥。
在S102中,第二设备生成第二密钥对,第二设备发送签名请求和第二公钥至产线签名服务器,产线签名服务器接收所述第二设备的签名请求和第二公钥,产线签名服务器的产线签名私钥对第二公钥签名,生成第二签名值,产线签名服务器返回第二消息至所述第二设备,第二消息包括第二签名值、第三签名值、根公钥、产线签名公钥以及第二公钥。
具体的,如图5所示,第一设备503和第二设备504分别在不同的厂商生产,在各自的生产产线上部署了产线签名服务器501和502。第一设备503预先生成或预置了唯一的密钥对,即第一私钥sk_1和第一公钥pk_1;第二设备504预先生成或预置了唯一的密钥对,即第二私钥sk_2和第二公钥pk_2。第一设备和第二设备各自分别发送签名请求和各自的公钥至产线签名服务器。需要说明的是,产线签名服务器可以有一个,也可以有多个,由于假设的是在不同的厂商完成生产,假设这里有2个产线签名服务器。产线签名服务器501接收第一设备的签名请求以及第一公钥,使用产线签名服务器501的私钥sk_issue签名第一设备的第一公钥pk_1并生成的第一签名值s_issue,然后第一设备保存(sk_1,pk_1,s_issue,pk_issue,s_root,pk_root)。另一产线签名服务器502接收第二设备的签名请求以及第二公钥pk_2,使用另一产线签名服务器502的私钥sk_issue签名第二设备的第二公钥pk_2并生成的第二签名值s_issue,然后第二设备保存(sk_2,pk_2,s_issue,pk_issue,s_root,pk_root)。
在本申请中,第一设备和第二设备可以为芯片、手机、电脑、平板等任一设备,本申请不限于两个设备,也可以是多个设备之间进行密钥分配部署,本申请对第一设备和第二设备的种类和数量不做限制。
如图6所示,在S103中,第一设备和第二设备利用第一消息和第二消息进行协商共享密钥,所述共享密钥用于在第一设备和第二设备之间进行通信,此过程包括以下步骤:
S1031,第一设备发起连接并生成第一随机数,将保存的第一消息发送给第二设备;
S1032,第二设备接收第一设备的第一消息,验证第一消息的合法性,若第一消息合法,则生成第二随机数和共享密钥,并将第二随机数和第二消息发送至所述第一设备;
S1033,第一设备接收第二设备的第二消息和第二随机数,验证第二消息的合法性,若第二消息合法,则生成共享密钥,所述共享密钥用于在第一设备和第二设备之间进行通信。
如图7所示,在S1032中,第二设备接收第一设备的第一消息,验证第一消息的合法性,若第一消息合法,则生成第二随机数和共享密钥,并将第二随机数和第二消息发送至所述第一设备包括以下步骤:
S10321,第二设备首先检查接收的第一消息中的根公钥是否和本地保存的相同,若相同,则使用第一消息中的根公钥pk_root和第三签名值s_root验证第一设备的产线签名公钥pk_issue是否合法,若合法,则使用第一设备的产线签名公钥pk_issue和第一签名值s_issue验证第一设备的公钥是否合法;
S10322,第二设备生成第二随机数;
S10323,第二设备调用密钥协商算法,根据密钥协商算法、第一公钥和第二私钥,生成主密钥;
具体的,第二设备调用密钥协商算法KeyAgreement,生成ms=KeyAgreement(pk_1,sk_2),其中ms为主密钥,pk_1为第一设备的第一公钥,sk_2为第二设备的第二私钥。
S10324,第二设备调用KDF函数,根据KDF函数、主密钥、第一随机数和第二随机数,生成共享密钥。
具体的,第二设备调用KDF函数,生成共享密钥psk=KDF(ms,r_1,r_2),其中r_1表示第一随机数,r_2表示第二随机数。
S10325,第二设备将保存的第二消息claim_2=(pk_2,s_issue,pk_issue,s_root,pk_root)和第二随机数返回给第一设备。
如图8所示,在S1033,第一设备接收第二设备的第二消息和第二随机数,验证第二消息的合法性,若第二消息合法,则生成共享密钥,所述共享密钥用来在所述第一设备与所述第二设备之间进行通信,包括以下步骤:
S10331,第一设备首先检查接收的第二消息中的根公钥是否和本地保存的相同,若相同,则使用第二消息中的根公钥pk_root和第三签名值s_root验证第二设备的产线签名公钥pk_issue是否合法,若合法,则使用第二设备的产线签名公钥pk_issue和第二签名值s_issue验证第二设备的公钥是否合法;
S10332,第一设备调用密钥协商算法,根据密钥协商算法、第二公钥和第一私钥,生成主密钥;
具体的,第一设备调用密钥协商算法KeyAgreement,生成ms=KeyAgreement(pk_2,sk_1),其中ms为主密钥,pk_2为第二设备的第二公钥,sk_1为第一设备的第一私钥。
S10333,第一设备调用KDF函数,根据KDF函数、主密钥、第一随机数和第二随机数,生成共享密钥,所述共享密钥用来在所述第一设备与所述第二设备之间进行通信。
具体的,第一设备调用KDF函数,生成共享密钥psk=KDF(ms,r_1,r_2),其中r_1表示第一随机数,r_2表示第二随机数,所述共享密钥用来在所述第一设备与所述第二设备之间进行通信。
经过以上步骤,双方得到了共同的psk,并保存在各自的安全存储区中。至此密钥预置过程结束。
本申请还提供了一种密钥分配部署系统,本实施例采用对第一设备和第二设备预置密钥对,通过预置密钥对进行协商共享密钥,利用共享密钥建立安全信道进行通信,该系统包括:
第一设备,用于生成第一密钥对以及接收产线签名服务器返回的第一消息,以利用第一消息与第二设备进行协商共享密钥,第一密钥对包括第一公钥和第一私钥,第一公钥用于被产线签名服务器签名并生成第一签名值,所述第一消息至少包括第一签名值;
第二设备,用于生成第二密钥对以及接收产线签名服务器返回的第二消息,以利用第二消息与第一设备进行协商共享密钥,第二密钥对包括第二公钥和第二私钥,第二公钥用于被产线签名服务器签名并生成第二签名值,所述第二消息至少包括第二签名值,所述共享密钥用来在所述第一设备与所述第二设备之间进行通信。
基于上述实施例公开的内容,可选的,本实施例中,所述系统还包括:
根签名服务器,用于生成根密钥对,根密钥对包括根公钥和根私钥;
产线签名服务器,用于生成产线签名密钥对,产线签名密钥对包括产线签名公钥和产线签名私钥,根签名服务器的根私钥用于对产线签名公钥签名并生成第三签名值,根签名服务器用于返回根公钥、产线签名公钥以及第三签名值至产线签名服务器。
基于上述实施例公开的内容,可选的,本实施例中,第一设备还用于,包括:
第一设备发送签名请求和第一公钥,产线签名服务器接收第一设备的签名请求和第一公钥,产线签名服务器的产线签名私钥对第一公钥签名,生成第一签名值,返回第一消息至第一设备,第一消息包括第一签名值、第三签名值、根公钥、产线签名公钥以及第一公钥。
基于上述实施例公开的内容,可选的,本实施例中,第二设备还用于,包括:
第二设备发送签名请求和第二公钥,产线签名服务器接收第二设备的签名请求和第二公钥,产线签名服务器的产线签名私钥对第二公钥签名,生成第二签名值,返回第二消息至第二设备,第二消息包括第二签名值、第三签名值、根公钥、产线签名公钥以及第二公钥。
基于上述实施例公开的内容,可选的,本实施例中,所述第一设备和所述第二设备还用于,包括:
第一设备发起连接并生成第一随机数,将第一消息发送至第二设备;
第二设备接收第一设备的第一消息,验证第一消息的合法性,若第一消息合法,则生成第二随机数和共享密钥,并将第二随机数和第二消息发送至第一设备;
第一设备接收第二设备的第二消息,验证第二消息的合法性,若第二消息合法,则生成共享密钥,所述共享密钥用来在所述第一设备与所述第二设备之间进行通信。
具体的,请参考图9,图9是本申请一实施例关于工厂预置密钥的示意图。
本实施例关于密钥分配部署方法的实施过程分为三个步骤:
a.准备产线签名服务器阶段;
b.产线预置密钥阶段;
c.初始化协商共享密钥阶段。
在a中,第一阶段准备产线签名服务器可以在研发办公环境中完成此步骤。根签名服务器901用于生成并保护根密钥对(sk_root,pk_root),sk_root表示根私钥,pk_root表示根公钥;产线签名服务器902和903用于生成并保护产线签名密钥对(sk_issue,pk_issue),sk_issue表示产线签名私钥,pk_issue表示产线签名公钥。产线签名服务器902和903发送签名请求和产线签名公钥给根签名服务器901,根签名服务器901生成的根私钥sk_root用于对产线签名服务器生成的产线签名公钥pk_issue签名并生成第三签名值s_root,根签名服务器返回根公钥pk_root、产线签名公钥pk_issue以及第三签名值s_root至产线签名服务器,产线签名服务器保存(sk_issue,pk_issue,s_root,pk_root)。
在b中,即第二阶段产线预置密钥阶段,第一设备904和第二设备905的生产可以在不同的厂商或不同的时期完成,假定第一设备和第二设备分别在不同的厂商生产,在各自的生产产线上部署了产线签名服务器,即902和903。第一设备904预先生成或预置了唯一的密钥对,即第一私钥sk_1和第一公钥pk_1;第二设备905预先生成或预置了唯一的密钥对,即第二私钥sk_2和第二公钥pk_2。第一设备904和第二设备905各自分别发送签名请求和各自的公钥至产线签名服务器。需要说明的是,产线签名服务器可以有一个,也可以有多个,由于假设的是在不同的厂商完成生产,假设这里有2个产线签名服务器。产线签名服务器902接收第一设备904的签名请求以及第一公钥,使用产线签名服务器902的私钥sk_issue签名第一设备904的第一公钥pk_1并生成的第一签名值s_issue,然后保存(sk_1,pk_1,s_issue,pk_issue,s_root,pk_root)。另一产线签名服务器903接收第二设备905的签名请求以及第二公钥pk_2,使用另一产线签名服务器903的私钥sk_issue签名第二设备905的第二公钥pk_2并生成的第二签名值s_issue,然后保存(sk_2,pk_2,s_issue,pk_issue,s_root,pk_root)。
在c中,第三阶段初始化协商共享密钥,进入本阶段之前,第一设备和第二设备已经完成工厂预置密钥动作,即第一阶段准备产线签名服务器阶段和第二阶段产线预置密钥阶段。
具体的,协商共享密钥过程如图6所述,本实施例不再描述。
基于上述实施例公开的内容,可选的,本实施例的协商共享密钥过程使用到的数据和算法详情如下:公钥密码算法采用高效密码学标准(SEC1,Standards for EfficientCryptography 1)规定的椭圆曲线数字签名算法(ECDSA,Elliptic Curve DigitalSignature Algorithm)作为签名算法,椭圆曲线密钥协商算法(ECDH,EllipticCurvesDiffie-Hellman)作为密钥协商算法。曲线选用NISTP256曲线。ECDSA和ECDH密钥的数据格式如图10所示,密钥数据采用大端格式。其公钥如SEC1规定,采用非压缩XY坐标以大端格式串联在一起的形式,头部加上0x04表明非压缩。数字签名signature=ECDSA(sk,SHA256(0xC001||0x04||pk.X||pk.Y))。数字签名格式如SEC1中规定,签名长度为64字节,具体格式如图11所示。密钥派生函数(KDFKey Derivation Function)使用NIST SP 800-108中规定的基于散列消息身份验证码:(HMAC,Hashed Message Authentication Code)的计数器模式的KDF。KeyAgreement密钥协商函数采用了基于NISTP256曲线的ECDH算法。
实施例方案。本例中包含了三层组件,相互关系如图9所示。第一层的根签名服务器901,生成和保护了根密钥对(sk_root,pk_root)。第二层的产线签名服务器902和903,生成和保护了产线签名密钥对(sk_issue,pk_issue)。根私钥sk_root用ECDSA算法给产线签名公钥pk_issue签名并生成第三签名值s_root。第三层的独立设备单元,即第一设备904和第二设备905,生成和保护了基于NISP P256曲线的ECDH密钥对(sk,pk)。第二层密钥sk_issue签名pk生成s_issue。
如图12示,本申请实施例中的利用以上算法完成的密钥初始化协商过程如下,包括:
S2031,第一设备发起连接并生成32字节第一随机数,将保存的第一消息发送给第二设备;
S2032,第二设备接收第一设备的第一消息,验证第一消息的合法性,若第一消息合法,则生成32字节第二随机数和共享密钥,并将32字节第二随机数和第二消息发送至所述第一设备;
S2033,第一设备接收第二设备的第二消息和32字节第二随机数,验证第二消息的合法性,若第二消息合法,则生成共享密钥,所述共享密钥用来在所述第一设备与所述第二设备之间进行通信。
在S2032中,第二设备接收第一设备的第一消息,验证第一消息的合法性,若第一消息合法,则生成32字节第二随机数和共享密钥,并将32字节第二随机数和第二消息发送至所述第一设备包括以下步骤,如图13所示,包括:
S20321,第二设备首先检查接收的第一消息中的根公钥是否和本地保存的相同,若相同,则使用第一消息中的根公钥pk_root和第三签名值s_root验证第一设备的产线签名公钥pk_issue是否合法,若合法,则使用第一设备的产线签名公钥pk_issue和第一签名值s_issue验证第一设备的公钥是否合法;
S20322,第二设备生成32字节第二随机数;
S20323,第二设备调用密钥协商算法,根据密钥协商算法、第一公钥和第二私钥,生成主密钥;
具体的,第二设备调用密钥协商算法KeyAgreement,生成ms=ECDH_KeyAgreement(pk_1,sk_2),其中ms为32字节主密钥,pk_1为第一设备的第一公钥,sk_2为第二设备的第二私钥。
S20324,第二设备调用KDF函数,根据KDF函数、主密钥、第一随机数和第二随机数,生成共享密钥;
具体的,第二设备调用KDF函数,生成共享密钥psk=KDF(ms,r_1,r_2),其中r_1表示第一随机数,r-2表示第二随机数。
S20325,第二设备将保存的第二消息claim_2=(pk_2,s_issue,pk_issue,s_root,pk_root)和第二随机数返回给第一设备。
在S2033,第一设备接收第二设备的第二消息和32字节第二随机数,验证第二消息的合法性,若第二消息合法,则协商生成共享密钥,所述共享密钥用来在所述第一设备与所述第二设备之间进行通信,包括以下步骤,如图14所示,包括:
S20331,第一设备首先检查接收的第二消息中的根公钥是否和本地保存的相同,若相同,则使用第二消息中的根公钥pk_root和第三签名值s_root验证第二设备的产线签名公钥pk_issue是否合法,若合法,则使用第二设备的产线签名公钥pk_issue和第二签名值s_issue验证第二设备的公钥是否合法;
S20332,第一设备调用密钥协商算法,根据密钥协商算法、第二公钥和第一私钥,生成主密钥;
具体的,第一设备调用密钥协商算法KeyAgreement,生成ms=KeyAgreement(pk_2,sk_1),其中ms为32字节主密钥,pk_2为第二设备的第二公钥,sk_1为第一设备的第一私钥。
S20333,第一设备调用KDF函数,根据KDF函数、主密钥、第一随机数和第二随机数,生成共享密钥,所述共享密钥用来在所述第一设备与所述第二设备之间进行通信。
具体的,第一设备调用KDF函数,生成共享密钥psk=KDF(ms,r_1,r_2),其中r_1表示第一随机数,r_2表示第二随机数,所述共享密钥用来在所述第一设备与所述第二设备之间进行通信。
经过以上步骤,双方得到了共同的PSK,并保存在各自的安全存储区中。至此密钥预置过程结束。
签名和协商算法可以使用RSA算法;数字签名算法和规范可以参考使用PKCS#1的V1.1或者新的PSS规范;KeyAgreement函数可以使用基于RSA的DHE算法;HASH函数也可以更换成SHA-512函数;本申请对采用的签名协商算法、数字签名算法、KeyAgreement函数以及HASH函数不做限定。
可选的,本申请还可提供一种第一设备。图14为本申请实施例提供的一种设备的结构示意图。如图14所示,该设备140可作为主设备,其可包括:存储器1401和处理器1402。存储器1401和处理器1402耦合。
存储器1401,用于存储程序指令。
处理器1402,用于调用该存储器存储的程序指令,使得上述第一设备执行的上述任一方法。
本申请实施例还可提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器1402执行时实现执行上述第一设备执行的上述任一方法。
本申请实施例提供的设备及计算机可读存储介质,可执行上述任一所述实施例提供的主设备执行的调试方法,其具体的实现过程及有益效果参见上述,在此不再赘述。
可选的,本申请还可提供一种第二设备。图15为本申请另一实施例提供的一种设备的结构示意。如图15所示,该设备150可作为影像处理装置,其可包括:存储器1501和处理器1502。存储器1501和处理器1502耦合。
存储器1501,用于存储程序指令。
处理器1502,用于调用该存储器存储的程序指令,使得上述第二设备执行的上述任一方法。
本申请实施例还可提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器1402执行时实现执行上述第二设备执行的上述任一方法。
类似地,虽然在附图中以特定顺序描述了操作,但是这不应理解为要求这些操作以所示的特定顺序或按照顺序依次执行,或者要求执行所有所示的操作,以实现期望的结果。而且,在本专利文件中描述的实施例中的各种单独的系统部件不应理解为在所有实施例中需要这种分离。
应注意,本申请上述方法实施例可以应用于处理器中,或者由处理器实现。处理器可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(digital signal processor,DSP)、专用集成电路(application specific integrated circuit,ASIC)、现成可编程门阵列(fieldprogrammable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
可以理解,本申请实施例中的存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable rom,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(dynamic RAM,DRAM)、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(double data rateSDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(directrambus RAM,DR RAM)。应注意,本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
应理解,在本申请实施例中,“与A相应的B”表示B与A相关联,根据A可以确定B。但还应理解,根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其它信息确定B。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围。
Claims (4)
1.一种密钥分配部署方法,其特征在于,所述方法包括:
根签名服务器生成根密钥对,所述根密钥对包括根公钥和根私钥;
产线签名服务器生成产线签名密钥对,所述产线签名密钥对包括产线签名公钥和产线签名私钥,所述产线签名服务器发送签名请求和所述产线签名公钥,所述根签名服务器接收所述产线签名服务器的所述签名请求和所述产线签名公钥,所述根签名服务器的所述根私钥对所述产线签名公钥签名并生成第三签名值,返回所述根公钥、产线签名公钥以及第三签名值至所述产线签名服务器;
第一设备生成第一密钥对,所述第一密钥对包括第一公钥和第一私钥,所述第一设备发送签名请求和所述第一公钥,所述产线签名服务器接收所述第一设备的所述签名请求和所述第一公钥,所述产线签名服务器的所述产线签名私钥对所述第一公钥签名并生成第一签名值,返回第一消息至所述第一设备,所述第一消息至少包括所述第一签名值、所述根公钥、所述产线签名公钥、所述第三签名值以及所述第一公钥;
第二设备生成第二密钥对,所述第二密钥对包括第二公钥和第二私钥,所述第二设备发送签名请求和所述第二公钥,所述产线签名服务器接收所述第二设备的所述签名请求和所述第二公钥,所述产线签名服务器的所述产线签名私钥对所述第二公钥签名并生成第二签名值,返回第二消息至所述第二设备,所述第二消息至少包括所述第二签名值、所述根公钥、所述产线签名公钥、所述第三签名值以及所述第二公钥;
所述第一设备和所述第二设备利用所述第一消息和所述第二消息进行协商共享密钥,所述共享密钥用于在所述第一设备和所述第二设备之间进行通信。
2.根据权利要求1所述的方法,其特征在于,所述第一设备和所述第二设备利用所述第一消息和第二消息进行协商共享密钥,所述共享密钥用于在所述第一设备和所述第二设备之间进行通信包括:
所述第一设备发起连接并生成第一随机数,将所述第一消息发送至所述第二设备;
所述第二设备接收所述第一设备的所述第一消息,验证所述第一消息的合法性,若所述第一消息合法,则生成第二随机数和共享密钥,并将所述第二随机数和所述第二消息发送至所述第一设备;
所述第一设备接收所述第二设备的所述第二消息和所述第二随机数,验证所述第二消息的合法性,若所述第二消息合法,则生成共享密钥,所述共享密钥用于在所述第一设备和所述第二设备之间进行通信。
3.一种密钥分配部署系统,其特征在于,包括:
根签名服务器,用于生成根密钥对,所述根密钥对包括根公钥和根私钥;
产线签名服务器,用于生成产线签名密钥对,所述产线签名密钥对包括产线签名公钥和产线签名私钥,所述根签名服务器的所述根私钥用于对所述产线签名公钥签名并生成第三签名值,所述根签名服务器用于返回所述根公钥、产线签名公钥以及第三签名值至所述产线签名服务器;
第一设备,用于生成第一密钥对以及接收产线签名服务器返回的第一消息,以利用所述第一消息与第二设备进行协商共享密钥,所述第一密钥对包括第一公钥和第一私钥,所述第一设备发送签名请求和所述第一公钥,所述产线签名服务器接收所述第一设备的所述签名请求和所述第一公钥,所述第一公钥用于被所述产线签名服务器的所述产线签名私钥签名并生成第一签名值,所述第一消息至少包括所述第一签名值、所述根公钥、产线签名公钥、第三签名值以及第一公钥;
第二设备,用于生成第二密钥对以及接收所述产线签名服务器返回的第二消息,以利用所述第二消息与所述第一设备进行协商共享密钥,所述第二密钥对包括第二公钥和第二私钥,所述第二设备发送签名请求和所述第二公钥,所述产线签名服务器接收所述第二设备的所述签名请求和所述第二公钥,所述第二公钥用于被所述产线签名服务器签名并生成第二签名值,所述第二消息至少包括所述第二签名值、所述根公钥、产线签名公钥、第三签名值以及第二公钥,所述共享密钥用来在所述第一设备与所述第二设备之间进行通信。
4.根据权利要求3所述的系统,其特征在于,
所述第一设备和所述第二设备还用于,包括:
所述第一设备发起连接并生成第一随机数,将所述第一消息发送至第二设备;
所述第二设备接收所述第一设备的所述第一消息,验证所述第一消息的合法性,若所述第一消息合法,则生成第二随机数和共享密钥,并将所述第二随机数和所述第二消息发送至所述第一设备;
所述第一设备接收所述第二设备的所述第二消息,验证所述第二消息的合法性,若所述第二消息合法,则生成共享密钥,所述共享密钥用于在所述第一设备和所述第二设备之间进行通信。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910330675.5A CN111835508B (zh) | 2019-04-23 | 2019-04-23 | 一种密钥分配部署方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910330675.5A CN111835508B (zh) | 2019-04-23 | 2019-04-23 | 一种密钥分配部署方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111835508A CN111835508A (zh) | 2020-10-27 |
CN111835508B true CN111835508B (zh) | 2023-02-28 |
Family
ID=72911846
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910330675.5A Active CN111835508B (zh) | 2019-04-23 | 2019-04-23 | 一种密钥分配部署方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111835508B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009078139A1 (ja) * | 2007-12-14 | 2009-06-25 | Nec Corporation | 署名生成装置および署名検証装置 |
WO2016049895A1 (zh) * | 2014-09-30 | 2016-04-07 | 华为技术有限公司 | 配置的方法、配置的装置及设备 |
CN107223322A (zh) * | 2017-04-25 | 2017-09-29 | 深圳市汇顶科技股份有限公司 | 签名验证的方法、设备和系统 |
CN107809411A (zh) * | 2016-09-09 | 2018-03-16 | 华为技术有限公司 | 移动网络的认证方法、终端设备、服务器和网络认证实体 |
CN107925578A (zh) * | 2016-03-11 | 2018-04-17 | 华为技术有限公司 | 密钥协商方法、设备和系统 |
CN108064436A (zh) * | 2017-11-21 | 2018-05-22 | 深圳市汇顶科技股份有限公司 | 生物识别信息传输建立方法、装置、系统及存储介质 |
CN108737323A (zh) * | 2017-04-13 | 2018-11-02 | 山东量子科学技术研究院有限公司 | 一种数字签名方法、装置及系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10412098B2 (en) * | 2015-12-11 | 2019-09-10 | Amazon Technologies, Inc. | Signed envelope encryption |
-
2019
- 2019-04-23 CN CN201910330675.5A patent/CN111835508B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009078139A1 (ja) * | 2007-12-14 | 2009-06-25 | Nec Corporation | 署名生成装置および署名検証装置 |
WO2016049895A1 (zh) * | 2014-09-30 | 2016-04-07 | 华为技术有限公司 | 配置的方法、配置的装置及设备 |
CN107925578A (zh) * | 2016-03-11 | 2018-04-17 | 华为技术有限公司 | 密钥协商方法、设备和系统 |
CN107809411A (zh) * | 2016-09-09 | 2018-03-16 | 华为技术有限公司 | 移动网络的认证方法、终端设备、服务器和网络认证实体 |
CN108737323A (zh) * | 2017-04-13 | 2018-11-02 | 山东量子科学技术研究院有限公司 | 一种数字签名方法、装置及系统 |
CN107223322A (zh) * | 2017-04-25 | 2017-09-29 | 深圳市汇顶科技股份有限公司 | 签名验证的方法、设备和系统 |
CN108064436A (zh) * | 2017-11-21 | 2018-05-22 | 深圳市汇顶科技股份有限公司 | 生物识别信息传输建立方法、装置、系统及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN111835508A (zh) | 2020-10-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11323276B2 (en) | Mutual authentication of confidential communication | |
CN110401615B (zh) | 一种身份认证方法、装置、设备、系统及可读存储介质 | |
US9705683B2 (en) | Verifiable implicit certificates | |
CN109361508B (zh) | 数据传输方法、电子设备及计算机可读存储介质 | |
US9531540B2 (en) | Secure token-based signature schemes using look-up tables | |
EP3387576B1 (en) | Apparatus and method for certificate enrollment | |
CN110661748B (zh) | 一种日志的加密方法、解密方法及装置 | |
CN104836784B (zh) | 一种信息处理方法、客户端和服务器 | |
CN107425971B (zh) | 无证书的数据加/解密方法和装置、终端 | |
EP3720164A1 (en) | Message authentication method for communication network system, communication method and communication network system | |
CN108199847B (zh) | 数字安全处理方法、计算机设备及存储介质 | |
EP3038287A1 (en) | General encoding functions for modular exponentiation encryption schemes | |
CN114900304A (zh) | 数字签名方法和装置、电子设备和计算机可读存储介质 | |
CN114465803A (zh) | 对象授权方法、装置、系统及存储介质 | |
CN110690969A (zh) | 一种多方协同完成双向ssl/tls认证的方法和系统 | |
NL1043779B1 (en) | Method for electronic signing and authenticaton strongly linked to the authenticator factors possession and knowledge | |
CN111949996B (zh) | 安全私钥的生成方法、加密方法、系统、设备及介质 | |
CN111835508B (zh) | 一种密钥分配部署方法和系统 | |
CN115909560A (zh) | 数据加密方法、解密方法及门锁系统 | |
CN112713989B (zh) | 一种解密方法及装置 | |
US11005651B2 (en) | Method and terminal for establishing security infrastructure and device | |
CN116827691B (zh) | 用于数据传输的方法及系统 | |
US11601284B2 (en) | Digital signature system based on a cloud of dedicated local devices | |
CN110601841B (zh) | Sm2协同签名及解密方法、装置 | |
CN113905368A (zh) | 移动终端安全通信方法、装置、设备及可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |