CN112738122B - 一种轨道交通领域复杂场景下的在线密钥管理系统及方法 - Google Patents
一种轨道交通领域复杂场景下的在线密钥管理系统及方法 Download PDFInfo
- Publication number
- CN112738122B CN112738122B CN202110001943.6A CN202110001943A CN112738122B CN 112738122 B CN112738122 B CN 112738122B CN 202110001943 A CN202110001943 A CN 202110001943A CN 112738122 B CN112738122 B CN 112738122B
- Authority
- CN
- China
- Prior art keywords
- key
- centralized management
- equipment
- management device
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Abstract
本发明公开了一种轨道交通领域复杂场景下的在线密钥管理系统及方法,系统包括数字证书系统,用于接收设备的申请证书请求且向对应设备颁发证书,验证数字证书的有效性;密钥使用设备,为轨道交通领域中的安全信号设备,密钥最终使用设备,用于向所述数字证书系统申请证书并接收对应的证书;与密钥集中管理设备建立安全通道和交互密钥消息,并存储密钥集中管理设备下发的密钥;密钥集中管理设备,用于向所述数字证书系统申请证书并接收对应的证书;接收管理员下达的在线任务;与密钥使用设备建立安全通道和交互密钥消息;对交互密钥信息的结果进行汇总并进行一致性检查。本系统提高了系统可用性,且密钥管理系统支持国密体系。
Description
技术领域
本发明属于密钥管理技术领域,特别涉及一种轨道交通领域复杂场景下的在线密钥管理系统及方法。
背景技术
在轨道交通领域中,当一个安全信号设备(密钥使用设备)试图同另一个安全信号设备(密钥使用设备)通信时,应当能够确认通信是与一个已授权的安全信号设备建立的,需确认安全信号设备之间交互的所有信息的真实性和完整性。目前通用做法是预先在两个安全信号设备安装验证密钥,在每次对话时根据一定机制生成会话密钥,通过会话密钥对交互消息产生成MAC码进行保护此次会话消息。因此对验证密钥的密钥管理功能是轨道交通领域安全信号设备间安全通信的基础。
在轨道交通领域,密钥等级及功能如下:
轨道交通领域密钥管理主要针对验证密钥生成、添加、更新、删除、查询和存储等管理。现有密钥管理包括在线和离线密钥管理两种方式,两种方式均由密钥集中管理设备生成验证密钥。
现有离线方式还需要密钥集中管理设备生成传输密钥,为了验证密钥传输过程的安全,验证密钥需要传输密钥(一种对称密钥)进行加密。离线方式的密钥添加、更新、删除管理,需要人工介入将加密的验证密钥和明文的传输密钥通过移动媒介同时运输至信号安全设备处,且不对信号安全设备执行结果进行综合。
现有在线方式的密钥添加、更新、删除管理需通过网络进行,减少了人工干预。目前现有在线方式没有就如何保证密钥管理消息安全性进行充分防护,无法防护密钥管理消息被非法监听、篡改及中间人攻击。
国内轨道交通领域现有的密钥管理方法技术存在的缺点:
1.离线密钥管理方法需要操作人员携带密钥至密钥使用设备处进行安装,便捷性差;
2.离线密钥管理方法使用明文的传输密钥加解密来保证验证密钥安全性,一旦传输密钥丢失或泄露会造成验证密钥泄露,无法实现验证密钥更新过程的正向保密;
3.在线密钥管理方法没有对密钥使用设备身份进行鉴定,存在中间人攻击风险。
4.所有密钥管理方法没有对使用密钥的两个对端设备更新结果做一致性判断,存在执行结果不一致,无法建立安全通信的风险,降低系统可用性;
5.所有密钥管理方法主要针对DES密钥体系,且兼容国密密钥体系。
发明内容
为了解决背景技术中提出的技术问题。本申请提供了一种轨道交通领域复杂场景下的在线密钥管理系统及方法。
具体技术方案如下所述:
一种轨道交通领域复杂场景下的在线密钥管理系统,包括:
数字证书系统,用于接收设备的申请证书请求且向对应设备颁发证书,验证数字证书的有效性;
密钥使用设备,为轨道交通领域中的安全信号设备,密钥最终使用设备,用于向所述数字证书系统申请证书并接收对应的证书;与密钥集中管理设备建立安全通道和交互密钥消息,并存储密钥集中管理设备下发的密钥;
密钥集中管理设备,用于向所述数字证书系统申请证书并接收对应的证书;接收管理员下达的在线任务;与密钥使用设备建立安全通道和交互密钥消息;对交互密钥信息的结果进行汇总并进行一致性检查。
具体地说,所述密钥集中管理设备包括依次双向通信的密钥生成装置、主机、终端;
所述数字证书系统分别与密钥使用设备和密钥集中管理设备的主机通过CMP协议双向连接进行证书发放;且通过OCSP协议向密钥使用设备和密钥集中管理设备反馈证书校验结果。
具体地说,所述密钥集中管理设备的主机通过TLS协议与密钥使用设备实现双向安全通信。
一种轨道交通领域复杂场景下的在线密钥管理方法,包括以下步骤:
S1、数字证书系统预先向密钥集中管理设备及密钥使用设备颁发数字证书;
S2、密钥集中管理设备接收管理员拟定的密钥任务基本信息,自动拆分为针对密钥使用设备的在线密钥消息;
S3、管理员在密钥集中管理设备上选择下达在线任务,密钥集中管理设备与密钥使用设备通过TLS协议建立安全通道;
S4、密钥集中管理设备与密钥使用设备交互密钥消息,密钥集中管理设备进行结果汇总并进行一致性检查,向管理员反馈密钥任务执行结果。
具体地说,步骤S1的具体步骤如下:
S11、所述密钥集中管理设备及所述密钥使用设备生成用于身份认证的非对称密钥对;
S12、所述密钥集中管理设备及所述密钥使用设备使用CMP协议向数字证书系统申请证书;
S13、数字证书系统使用CMP协议向密钥集中管理设备及密钥使用设备颁发证书。
具体地说,步骤S2具体步骤如下:
S21、管理员在密钥集中管理设备的终端通过用户名+静态口令方式进行身份认证,如果认证成功,则可登入系统进入步骤S22,否则无法登入系统,如果连续一段时间没有操作,则系统自动退出,自动退出后,管理员需重复S21身份认证步骤;
S22、密钥集中管理设备接收到管理员输入的密钥任务基本信息包括但不限于密钥种类、任务命令类型、密钥有效期及密钥使用设备等;
S23、密钥集中管理设备校验管理员输入的密钥任务基本信息,若基本信息合法则进入步骤S24,否则在终端提示信息错误类型;
S24、密钥集中管理设备根据管理员输入的密钥种类,由其密钥生成装置生成密钥;由主机根据管理员输入的密钥任务基本信息及生成装置生成的密钥,自动拆分为针对密钥涉及的密钥使用设备的密钥消息,并在终端上显示拆分后的密钥消息。
具体地说,步骤S3的具体步骤如下:
S31、管理员在密钥集中管理设备上选择下达在线任务;
S32、密钥集中管理设备的主机与密钥使用设备使用TLS建立安全通道的主机发起TLS连接;车载密钥使用设备其为TLS连接的发起方,固定周期或由车载设备维护人员操作向密钥集中管理设备的主机发起TLS连接;
S33、密钥集中管理设备根据密钥种类自动选择对应的TLS算法套件,密钥种类若为3DES密钥选择TLS_ECDHE_RSA_ WITH_AES_256_GCM_SHA384套件,密钥种类若为SM4密钥选择国密 GM/T 0024-2014《SSLVPN技术规范》规定的套件;
S34、钥集中管理设备的主机与密钥使用设备建立安全通道时的签名验签使用数字证书系统颁发的证书;
S35、TLS连接过程中,钥集中管理设备的主机与密钥使用设备使用 OCSP协议校验证书是否被吊销,如果被吊销,则进入步骤S1,如果没有被吊销,完成TLS安全连接建立后,则进入步骤S4。
具体地说,步骤S4包括以下步骤:
S41、密钥集中管理设备检查其数据库中对该使用设备已成功下发密钥与密钥使用设备自身已经存储密钥内容一致性,若不一致,自动对密钥使用设备进行密钥内容补发,若一致,则进入步骤S42;
S42、密钥集中管理设备与密钥使用设备交互密钥消息执行本次下达的密钥任务;
S43、密钥集中管理设备汇总所有密钥使用设备执行结果,并对结果进行一致性检查,若不一致,自动进行密钥内容补发,若补发设定次数仍不一致向管理员报警。
本发明的有益效果:
(1)本发明针对轨道交通领域密钥管理现有的缺点,提出一种轨道交通领域复杂场景下的在线密钥管理方法,通过引入数字证书系统及建立安全性保证在线密钥管理的安全性,本系统增加密钥使用设备回复及密钥集中管理设备一致性检查,提高了系统可用性,且密钥管理系统支持国密体系。
(2)数字证书系统负责数字证书签发、数字证书状态管理及数字证书使用方对证书状态查询回复;密钥集中管理设备负责数字证书申请、对端数字证书状态查询、生成各类算法密码、与密钥使用设备建立基于数字证书的安全连接、根据管理员输入自动生成针对使用设备的密钥管理消息、在线密钥管理消息下发、密钥管理消息的执行一致性检查及密钥存储;密钥使用设备负责数字证书申请、对端数字证书状态查询、与密钥集中管理设备建立基于数字证书的安全连接、在线密钥管理消息解析、回复及存储。
(3)本发明支持兼容多种密钥格式。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所指出的结构来实现和获得。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了系统的结构示意图;
图2示出了管理方法的流程图。
附图标记说明如下:
1、数字证书系统;2、密钥使用设备;3、密钥集中管理设备;31、密钥生成装置;32、主机;33、终端。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地说明,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,一种轨道交通领域复杂场景下的在线密钥管理系统,包括:
数字证书系统1,用于接收设备的申请证书请求且向对应设备颁发证书,验证数字证书的有效性;具体地说,还包括对数字证书状态管理及数字证书使用方对证书状态查询回复的功能。
密钥使用设备2,为轨道交通领域中的安全信号设备,密钥最终使用设备,用于向所述数字证书系统1申请证书并接收对应的证书;与密钥集中管理设备3建立安全通道和交互密钥消息,并存储密钥集中管理设备3下发的密钥;具体地说,还包括对端数字证书状态查询、对在线密钥管理消息解析、回复及存储的功能。
密钥集中管理设备3,用于向所述数字证书系统1申请证书并接收对应的证书;接收管理员下达的在线任务;与密钥使用设备2建立安全通道和交互密钥消息;对交互密钥信息的结果进行汇总并进行一致性检查。具体地说,还包括对端数字证书状态查询、生成各类算法密码、根据管理员的输入自动生成针对使用设备的密钥管理消息、密钥存储的功能。
所述密钥集中管理设备3包括密钥依次双向通信的密钥生成装置31、主机32、终端33;所述数字证书系统1分别与密钥使用设备2和密钥集中管理设备3的主机32通过CMP协议双向连接进行证书发放;且通过OCSP 协议向密钥使用设备2和密钥集中管理设备3反馈证书校验结果。所述密钥集中管理设备3的主机32通过TLS协议与密钥使用设备2实现双向安全通信。
如图2所示,一种轨道交通领域复杂场景下的在线密钥管理方法,包括以下步骤:
S1、数字证书系统1预先向密钥集中管理设备3及密钥使用设备2颁发数字证书;具体为:
S11、所述密钥集中管理设备3及所述密钥使用设备2通过密码机生成用于身份认证的非对称密钥对;
S12、所述密钥集中管理设备3及所述密钥使用设备2使用CMP协议向数字证书系统1申请证书,证书至少包括申请者公钥、申请者的信息、数字证书系统1信息、有效时间、证书序列号及签名;
S13、数字证书系统1使用CMP协议向密钥集中管理设备3及密钥使用设备2颁发证书。
S2、密钥集中管理设备3接收管理员拟定的密钥任务基本信息,自动拆分为针对密钥使用设备2的在线密钥消息;具体为:
S21、管理员在密钥集中管理设备3的终端33通过用户名+静态口令方式进行身份认证,如果认证成功,则可登入系统进入步骤S22,否则无法登入系统,如果连续一段时间没有操作,则系统自动退出,自动退出后,管理员需重复S21身份认证步骤;
S22、密钥集中管理设备3接收到管理员输入的密钥基本信息;密钥基础信息包括但不限于命令类型(比如添加、更新、删除)、使用设备、密钥类型(比如3-DES、SM4)、有效期信息。
S23、密钥集中管理设备3校验管理员输入的密钥任务基本信息,若基本信息合法则进入步骤S24,否则在终端33提示信息错误类型;
S24、密钥集中管理设备3根据管理员输入的密钥种类,由其密钥生成装置31生成密钥;由主机32根据管理员输入的密钥任务基本信息及生成装置31生成的密钥,自动拆分为针对密钥涉及的密钥使用设备2的密钥消息,并在终端33上显示拆分后的密钥消息。
S3、管理员在密钥集中管理设备3上选择下达在线任务,密钥集中管理设备3与密钥使用设备2通过TLS协议建立安全通道;具体步骤为:
S31、管理员在密钥集中管理设备3上选择下达在线任务;
S32、钥集中管理设备3的主机32与密钥使用设备2使用TLS建立安全通道(地面密钥使用设备其为TLS连接的响应方,在管理员下达在线任务时由钥集中管理设备3主动建立连接,车载密钥使用设备其为TLS连接的发起方,固定周期或由车载设备维护人员操作向钥集中管理设备3发起 TLS连接;
S33、密钥集中管理设备3根据密钥种类自适应选择对应的TLS算法套件(TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384套件或国密GM/T 0024-2014《SSLVPN技术规范》规定的套件);
S34、钥集中管理设备3的主机32与密钥使用设备2建立安全通道时的签名验签使用数字证书系统1颁发的证书。
S35、钥集中管理设备3的主机32与密钥使用设备2使用OCSP校验证书是否被吊销,如果被吊销,则进入步骤S1,如果没有被吊销,则进入步骤S32;
S4、密钥集中管理设备3与密钥使用设备2交互密钥消息,密钥集中管理设备3进行结果汇总并进行一致性检查,向管理员反馈密钥任务执行结果。具体步骤为:
S41、密钥集中管理设备3在与密钥使用设备2做双方存储内容一致性检查,若不一致,需自动对密钥使用设备2进行密钥内容补发,若一致,则进入步骤S42;
S42、密钥集中管理设备3与密钥使用设备2交互密钥消息执行本次下达的密钥任务;
S43、密钥集中管理设备3汇总所有密钥使用设备2执行结果,并对结果进行一致性检查,若不一致,自动进行密钥内容补发,若补发设定次数仍不一致向管理员报警。
本发明针对轨道交通领域密钥管理现有的缺点,提出一种轨道交通领域复杂场景下的在线密钥管理方法,通过引入数字证书系统1及TLS安全通信协议保证在线密钥管理的安全性,优化密钥管理方案(增加密钥使用设备2回复及密钥集中管理设备3一致性检查等)提高系统可用性,使密钥管理系统支持国密体系。
尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (6)
1.一种轨道交通领域复杂场景下的在线密钥管理系统,其特征在于,包括:
数字证书系统(1),用于接收设备的申请证书请求且向对应设备颁发证书,验证数字证书的有效性;
密钥使用设备(2),为轨道交通领域中的安全信号设备,密钥最终使用设备,用于向所述数字证书系统(1)申请证书并接收对应的证书;与密钥集中管理设备(3)建立安全通道和交互密钥消息,并存储密钥集中管理设备(3)下发的密钥;
密钥集中管理设备(3),用于向所述数字证书系统(1)申请证书并接收对应的证书;接收管理员下达的在线任务;与密钥使用设备(2)建立安全通道和交互密钥消息;对交互密钥信息的结果进行汇总并进行一致性检查;
所述密钥集中管理设备(3)包括依次双向通信的密钥生成装置(31)、主机(32)、终端(33);
管理员在密钥集中管理设备(3)上选择下达在线任务,
密钥集中管理设备(3)的主机(32)与密钥使用设备(2)使用TLS建立安全通道,地面密钥使用设备为TLS连接的响应方,在管理员下达在线任务后即由密钥集中管理设备(3)的主机(32)发起TLS连接;车载密钥使用设备为TLS连接的发起方,固定周期或由车载设备维护人员操作向密钥集中管理设备(3)的主机(32)发起TLS连接;
密钥集中管理设备(3)根据密钥种类自动选择对应的TLS算法套件,密钥种类若为3DES密钥选择TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384套件,密钥种类若为SM4密钥选择国密GM/T 0024-2014《SSLVPN技术规范》规定的套件;
密钥集中管理设备(3)的主机(32)与密钥使用设备(2)建立安全通道时的签名验签使用数字证书系统(1)颁发的证书;
TLS连接过程中,密钥集中管理设备(3)的主机(32)与密钥使用设备(2)使用OCSP协议校验证书是否被吊销,如果被吊销,则通过数字证书系统(1)向密钥集中管理设备(3)及密钥使用设备(2)颁发数字证书,如果没有被吊销,完成TLS安全连接建立后;
密钥集中管理设备(3)检查其数据库中对该使用设备已成功下发密钥与密钥使用设备(2)自身已经存储密钥内容一致性,若不一致,自动对密钥使用设备(2)进行密钥内容补发,若一致,密钥集中管理设备(3)与密钥使用设备(2)交互密钥消息执行本次下达的密钥任务;
密钥集中管理设备(3)汇总所有密钥使用设备(2)执行结果,并对结果进行一致性检查,若不一致,自动进行密钥内容补发,若补发设定次数仍不一致向管理员报警。
2.根据权利要求1所述的一种轨道交通领域复杂场景下的在线密钥管理系统,其特征在于,
所述数字证书系统(1)分别与密钥使用设备(2)和密钥集中管理设备(3)的主机(32)通过CMP协议双向连接进行证书发放;且通过OCSP协议向密钥使用设备(2)和密钥集中管理设备(3)反馈证书校验结果。
3.根据权利要求2所述的一种轨道交通领域复杂场景下的在线密钥管理系统,其特征在于,所述密钥集中管理设备(3)的主机(32)通过TLS协议与密钥使用设备(2)实现双向安全通信。
4.一种轨道交通领域复杂场景下的在线密钥管理方法,其特征在于,包括以下步骤:
S1、数字证书系统(1)预先向密钥集中管理设备(3)及密钥使用设备(2)颁发数字证书;
S2、密钥集中管理设备(3)接收管理员拟定的密钥任务基本信息,自动拆分为针对密钥使用设备(2)的在线密钥消息,所述密钥集中管理设备(3)包括依次双向通信的密钥生成装置(31)、主机(32)、终端(33);
S3、管理员在密钥集中管理设备(3)上选择下达在线任务,密钥集中管理设备(3)与密钥使用设备(2)通过TLS协议建立安全通道;
步骤S3的具体步骤如下:
S31、管理员在密钥集中管理设备(3)上选择下达在线任务;
S32、密钥集中管理设备(3)的主机(32)与密钥使用设备(2)使用TLS建立安全通道,地面密钥使用设备为TLS连接的响应方,在管理员下达在线任务后即由密钥集中管理设备(3)的主机(32)发起TLS连接;车载密钥使用设备为TLS连接的发起方,固定周期或由车载设备维护人员操作向密钥集中管理设备(3)的主机(32)发起TLS连接;
S33、密钥集中管理设备(3)根据密钥种类自动选择对应的TLS算法套件,密钥种类若为3DES密钥选择TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384套件,密钥种类若为SM4密钥选择国密GM/T 0024-2014《SSLVPN技术规范》规定的套件;
S34、密钥集中管理设备(3)的主机(32)与密钥使用设备(2)建立安全通道时的签名验签使用数字证书系统(1)颁发的证书;
S35、TLS连接过程中,密钥集中管理设备(3)的主机(32)与密钥使用设备(2)使用OCSP协议校验证书是否被吊销,如果被吊销,则进入步骤S1,如果没有被吊销,完成TLS安全连接建立后,则进入步骤S4;
S4、密钥集中管理设备(3)与密钥使用设备(2)交互密钥消息,密钥集中管理设备(3)进行结果汇总并进行一致性检查,向管理员反馈密钥任务执行结果;
步骤S4包括以下步骤:
S41、密钥集中管理设备(3)检查其数据库中对该使用设备已成功下发密钥与密钥使用设备(2)自身已经存储密钥内容一致性,若不一致,自动对密钥使用设备(2)进行密钥内容补发,若一致,则进入步骤S42;
S42、密钥集中管理设备(3)与密钥使用设备(2)交互密钥消息执行本次下达的密钥任务;
S43、密钥集中管理设备(3)汇总所有密钥使用设备(2)执行结果,并对结果进行一致性检查,若不一致,自动进行密钥内容补发,若补发设定次数仍不一致向管理员报警。
5.根据权利要求4所述的一种轨道交通领域复杂场景下的在线密钥管理方法,其特征在于,步骤S1的具体步骤如下:
S11、所述密钥集中管理设备(3)及所述密钥使用设备(2)生成用于身份认证的非对称密钥对;
S12、所述密钥集中管理设备(3)及所述密钥使用设备(2)使用CMP协议向数字证书系统(1)申请证书;
S13、数字证书系统(1)使用CMP协议向密钥集中管理设备(3)及密钥使用设备(2)颁发证书。
6.根据权利要求4所述的一种轨道交通领域复杂场景下的在线密钥管理方法,其特征在于,步骤S2具体步骤如下:
S21、管理员在密钥集中管理设备(3)的终端(33)通过用户名+静态口令方式进行身份认证,如果认证成功,则可登入系统进入步骤S22,否则无法登入系统,如果连续一段时间没有操作,则系统自动退出,自动退出后,管理员需重复S21身份认证步骤;
S22、密钥集中管理设备(3)接收到管理员输入的密钥任务基本信息包括密钥种类、任务命令类型、密钥有效期及密钥使用设备;
S23、密钥集中管理设备(3)校验管理员输入的密钥任务基本信息,若基本信息合法则进入步骤S24,否则在终端(33)提示信息错误类型;
S24、密钥集中管理设备(3)根据管理员输入的密钥种类,由其密钥生成装置(31)生成密钥;由主机(32)根据管理员输入的密钥任务基本信息及密钥 生成装置(31)生成的密钥,自动拆分为针对密钥涉及的密钥使用设备(2)的密钥消息,并在终端(33)上显示拆分后的密钥消息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110001943.6A CN112738122B (zh) | 2021-01-04 | 2021-01-04 | 一种轨道交通领域复杂场景下的在线密钥管理系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110001943.6A CN112738122B (zh) | 2021-01-04 | 2021-01-04 | 一种轨道交通领域复杂场景下的在线密钥管理系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112738122A CN112738122A (zh) | 2021-04-30 |
| CN112738122B true CN112738122B (zh) | 2023-02-21 |
Family
ID=75609514
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110001943.6A Active CN112738122B (zh) | 2021-01-04 | 2021-01-04 | 一种轨道交通领域复杂场景下的在线密钥管理系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112738122B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115988488B (zh) * | 2023-03-21 | 2023-06-30 | 北京全路通信信号研究设计院集团有限公司 | 一种在线集中更新车载密钥的方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105491015A (zh) * | 2015-11-21 | 2016-04-13 | 国网山东潍坊市寒亭区供电公司 | 一种数据通信及存储方法 |
| CN107800538A (zh) * | 2016-09-01 | 2018-03-13 | 中电长城(长沙)信息技术有限公司 | 一种自助设备远程密钥分发方法 |
| CN108401493A (zh) * | 2018-02-06 | 2018-08-14 | 福建联迪商用设备有限公司 | 一种传输密钥的方法、接收终端及分发终端 |
| WO2019047927A1 (zh) * | 2017-09-07 | 2019-03-14 | 西安西电捷通无线网络通信股份有限公司 | 数字证书管理方法及设备 |
| CN110740040A (zh) * | 2019-09-29 | 2020-01-31 | 卡斯柯信号有限公司 | 采用pki模型在轨道交通信号系统中进行身份验证的方法 |
-
2021
- 2021-01-04 CN CN202110001943.6A patent/CN112738122B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105491015A (zh) * | 2015-11-21 | 2016-04-13 | 国网山东潍坊市寒亭区供电公司 | 一种数据通信及存储方法 |
| CN107800538A (zh) * | 2016-09-01 | 2018-03-13 | 中电长城(长沙)信息技术有限公司 | 一种自助设备远程密钥分发方法 |
| WO2019047927A1 (zh) * | 2017-09-07 | 2019-03-14 | 西安西电捷通无线网络通信股份有限公司 | 数字证书管理方法及设备 |
| CN108401493A (zh) * | 2018-02-06 | 2018-08-14 | 福建联迪商用设备有限公司 | 一种传输密钥的方法、接收终端及分发终端 |
| CN110740040A (zh) * | 2019-09-29 | 2020-01-31 | 卡斯柯信号有限公司 | 采用pki模型在轨道交通信号系统中进行身份验证的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112738122A (zh) | 2021-04-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108390851B (zh) | 一种用于工业设备的安全远程控制系统及方法 | |
| CN103812871B (zh) | 一种基于移动终端应用程序安全应用的开发方法及系统 | |
| CN107046531B (zh) | 监测终端的数据接入电力信息网络的数据处理方法及系统 | |
| CN105790938A (zh) | 基于可信执行环境的安全单元密钥生成系统及方法 | |
| CN112350826A (zh) | 一种工业控制系统数字证书签发管理方法和加密通信方法 | |
| CN101841525A (zh) | 安全接入方法、系统及客户端 | |
| CN101610150B (zh) | 第三方数字签名方法和数据传输系统 | |
| CN111865939A (zh) | 一种点对点国密隧道建立方法及装置 | |
| CN103067402A (zh) | 数字证书的生成方法和系统 | |
| CN113037478B (zh) | 一种量子密匙分发系统及方法 | |
| CN100370772C (zh) | 一种无线局域网移动终端接入的方法 | |
| CN113382002B (zh) | 数据请求方法、请求应答方法、数据通信系统及存储介质 | |
| CN106713236A (zh) | 一种基于cpk标识认证的端对端身份认证及加密方法 | |
| CN115051813B (zh) | 一种新能源平台控制指令保护方法及系统 | |
| CN113572740A (zh) | 一种基于国密的云管理平台认证加密方法 | |
| CN111147257A (zh) | 身份认证和信息保密的方法、监控中心和远程终端单元 | |
| CN112738122B (zh) | 一种轨道交通领域复杂场景下的在线密钥管理系统及方法 | |
| CN114139176A (zh) | 一种基于国密的工业互联网核心数据的保护方法及系统 | |
| CN114091009A (zh) | 利用分布式身份标识建立安全链接的方法 | |
| CN110445782A (zh) | 一种多媒体安全播控系统及方法 | |
| CN111435389A (zh) | 一种配电终端运维工具安全防护系统 | |
| CN112020037A (zh) | 一种适用于轨道交通的国产通信加密方法 | |
| CN113676330B (zh) | 一种基于二级密钥的数字证书申请系统及方法 | |
| CN100589384C (zh) | 一种用户终端接入软交换系统的安全交互方法 | |
| CN112423298B (zh) | 一种道路交通信号管控设施身份认证系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |