CN113132980B - 应用于北斗导航系统的密钥管理系统方法和装置 - Google Patents
应用于北斗导航系统的密钥管理系统方法和装置 Download PDFInfo
- Publication number
- CN113132980B CN113132980B CN202110360211.6A CN202110360211A CN113132980B CN 113132980 B CN113132980 B CN 113132980B CN 202110360211 A CN202110360211 A CN 202110360211A CN 113132980 B CN113132980 B CN 113132980B
- Authority
- CN
- China
- Prior art keywords
- key
- beidou
- management system
- management
- random
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Abstract
本发明提供一种应用于北斗导航系统的密钥管理系统方法和装置,该系统包括密钥管理系统、北斗终端及地面中心站管理计算机;该应用于北斗导航系统的密钥管理系统方法和装置具有的优点如下:设计了一套适应于北斗通信环境中基于三层密码体系架构的密钥管理方案,层层向下加密,攻击者无法获取会话密钥,能有效保障北斗链路的通信安全。全部采用国产密码算法实现,从算法层面保证了系统的安全可靠。计算量较大的加解密运算部分都在地面中心的管理计算机侧实现;其次,采用对称加密体制,加密算法ZUC祖冲之序列算法所需计算资源少性能高;最后,星地交互轮次少,属于轻量级密码管理方案,能广泛应用于北斗卫星导航系统中;兼容北斗通信协议。
Description
技术领域
本发明具体涉及一种应用于北斗导航系统的密钥管理系统方法和装置。
背景技术
2020年北斗三代建设初步完成,北斗导航系统的组成由空间系统、地面系统和用户系统三部分组成。北斗导航系统针对军事应用安全防护性很强,但是针对民口应用的安全防护性设计还很薄弱。民用领域北斗卫星链路采用开放的无线信道,易受到攻击,如信息窃取、实体假冒等。因此,北斗终端与北斗卫星网络之间的身份认证和通信加密手段是必不可少。现阶段民口的北斗通信系统密码应用产品和方案均较少,密钥管理系统在业界尚无相关产品出现。
发明内容
本发明的目的在于针对现有技术的不足,提供一种应用于北斗导航系统的密钥管理系统方法和装置,该应用于北斗导航系统的密钥管理系统方法和装置可以很好地解决上述问题。
为达到上述要求,本发明采取的技术方案是:提供一种应用于北斗导航系统的密钥管理系统方法和装置,该应用于北斗导航系统的密钥管理系统包括:密钥管理系统,部署在地面中心站中,通过TCP/IP有线网络与地面中心站管理计算机通信;北斗终端,北斗通信发起方和接收方,内含密码模块,所述密码模块具有生成随机数、加解密的功能;地面中心站管理计算机:包括配置密码模块,所述配置安全通信模块,通过调用HTTPS接口实现与密钥管理系统安全通信。
该应用于北斗导航系统的密钥管理系统方法和装置具有的优点如下:
(1)本发明设计了一套适应于北斗通信环境中基于三层密码体系架构的密钥管理方案,层层向下加密,攻击者无法获取会话密钥,能有效保障北斗链路的通信安全。
(2)本发明全部采用国产密码算法(SM3杂凑算法、ZUC祖冲之序列算法)实现,从算法层面保证了系统的安全可靠。
(3)首先,本发明中计算量较大的加解密运算部分都在地面中心的管理计算机侧实现,北斗终端侧代价小;其次,本发明采用对称加密体制,加密算法ZUC祖冲之序列算法所需计算资源少,性能高;最后,星地交互轮次少,仅3次,因此本发明属于轻量级密码管理方案,能广泛应用于北斗卫星导航系统中。
(4)兼容北斗通信协议:首先,北斗协议无需改动;其次,选用加密算法的通信字节要求不高,适用于北斗通信环境。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,在这些附图中使用相同的参考标号来表示相同或相似的部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示意性地示出了根据本申请一个实施例的应用于北斗导航系统的密钥管理系统方法和装置系统框架示意图。
图2示意性地示出了根据本申请一个实施例的应用于北斗导航系统的密钥管理系统方法的流程示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,以下结合附图及具体实施例,对本申请作进一步地详细说明。
在以下描述中,对“一个实施例”、“实施例”、“一个示例”、“示例”等等的引用表明如此描述的实施例或示例可以包括特定特征、结构、特性、性质、元素或限度,但并非每个实施例或示例都必然包括特定特征、结构、特性、性质、元素或限度。另外,重复使用短语“根据本申请的一个实施例”虽然有可能是指代相同实施例,但并非必然指代相同的实施例。
为简单起见,以下描述中省略了本领域技术人员公知的某些技术特征。
根据本申请的一个实施例,提供一种应用于北斗导航系统的密钥管理系统方法和装置,具体说明如下:
记号、缩写与符号:
||:连接符号,A||B表示将数据A和B顺序依次连接。如“Beidou”||“satellite”为“Beidousatellite”。
SM3(M):使用国产SM3杂凑密码算法对消息M计算杂凑,得到256比特杂凑值。
TRUNC(MSG,Len):将消息MSG截断为仅Len字节长。截取方向可选择为从最高字节开始截取Len字节,也可选择从最低字节开始截取Len字节;具体由系统选择。
ZUC_Enr(Key,Randomnum):利用祖冲之序列密码(ZUC)算法实现的加密操作,使用密钥Key对明文Randomnum进行加密,加密密钥长度128比特。
ZUC_Dec(Xcipertext,Key):利用祖冲之序列密码(ZUC)算法实现的解密操作,使用密钥Key对密文Xcipertext进行解密,解密密钥长度128比特。
根据本申请的一个实施例,该应用于北斗导航系统的密钥管理系统包括如下模块:密钥管理系统:部署在地面中心站中,通过TCP/IP有线网络与地面中心站管理计算机通信,密钥管理系统包括安全通信模块、配置管理模块、密钥管理模块、密钥存储模块、密钥数据库和加密机。密钥存储模块负责密钥的安全存储与查询、检索,所有存储至数据库中的密钥都调用加密机加密并以密文的形式存储,保证密钥安全。同时对外部提供密钥查询及检索功能;密钥管理模块负责密钥生成、密钥更新、密钥存储、密钥撤销等功能,与安全存储模块和配置管理模块一起完成密钥全生命周期管理功能;配置管理模块负责密钥管理操作、数据管理操作、加密机管理操作以及人员管理操作;安全通信模块通过调用HTTPS接口,实现与地面中心站管理计算机加密通信,确保密钥安全。
北斗终端:北斗通信发起方和接收方,内含密码模块,该密码模块具有生成随机数、加解密的功能。
地面中心站管理计算机:通过配置密码模块,该密码模块具有产生随机数、加密功能;配置安全通信模块,通过调用HTTPS接口实现与密钥管理系统安全通信。
根据本申请的一个实施例,该应用于北斗导航系统的密钥管理系统的操作方式如下:
一、系统初始化
产生主密钥:密钥管理系统利用噪声发生器产生主密钥Keyroot。
安全通道建立:密钥管理系统调用安全通信模块与地面中心管理计算机通过HTTPS模式建立安全通信通道,用来查询和发送密钥信息。
二、密钥产生与分发
步骤1:密钥管理系统产生及分发二层密钥。密钥分散算法为:Keycontrol=TRUNC(SM3(IDcontrol||RandomCon||T),Len),其中IDcontrol为地面中心管理计算机硬件序列号,RandomCon为密钥管理系统产生的随机数,T为系统的当前时间。
密钥管理系统执行加密操作Xkeycontrol=ZUC_Encr(Keyroot,Keycontrol),加密存储地面中心站管理计算机的设备密钥Keycontrol,并建立地面中心站管理计算机硬件序列号IDcontrol与密钥密文之间的索引关系。
步骤2:密钥管理系统产生及分发三层密钥。采用密钥分散算法:Keyterminal=TRUNC(SM3(IDterminal||RandomTer||T),Len),其中IDterminal为北斗终端硬件序列号,RandomTer为密钥管理系统产生的随机数,T为系统的当前时间。
密钥Keyterminal通过离线方式安全分发给北斗终端。密钥管理系统执行加密操作Xkeyterminal=ZUC_Encr(Keycontrol,Keyterminal),加密存储北斗终端的设备密钥Keyterminal,并建立北斗终端硬件序列号IDterminal与密钥密文之间的索引关系。
三、会话密钥产生
步骤1:发送请求
北斗终端密码模块生成随机数RandomTerm,执行加密操作XTrans=ZUC_Encr(Keyterminal,RandomTerm),通过北斗链路将北斗终端序列号IDterminal及密文XTrans发送给地面中心站。
步骤2:获取北斗终端设备密钥
首先,地面中心站解析北斗终端发送的北斗消息数据,并发送给管理计算机,管理计算机获取该北斗终端序列号IDterminal和密文XTrans。管理计算机在密钥管理系统中查询IDcontrol获得密钥密文Xkeycontrol,执行解密操作Keycontrol=ZUC_Dec(Xkeycontrol,Keyroot),获取地面中心站管理计算机设备密钥Keycontrol。
其次,管理计算机在密钥管理系统中查询IDterminal,获取密钥密文Xkeyterminal,执行解密操作Keyterminal=ZUC_Dec(Xkeyterminal,Keycontrol),获取北斗终端设备密钥Keyterminal。
最后,管理计算机执行解密操作RandomTerm=ZUC_Dec(XTrans,Keyterminal),获得随机数RandomTerm。
步骤3:合成会话密钥
管理计算机密码模块产生随机数RandomConn,合成会话密钥Keysession,Keysession=TRUNC(SM3(RandomConn||RandomTerm||T),Len),T为系统的当前时间,然后执行加密操作XReturn=ZUC_Encr(Keyterminal,Keysession),将密文XReturn通过地面中心站的北斗链路发送给北斗终端。
步骤4:开始加密通信
北斗终端收到消息,解析北斗数据,然后执行解密操作Keysession==ZUC_Dec(XReturn,Keyterminal),获取会话密钥Keysession,与地面中心站开始加密通信。
以上所述实施例仅表示本发明的几种实施方式,其描述较为具体和详细,但并不能理解为对本发明范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明保护范围。因此本发明的保护范围应该以所述权利要求为准。
Claims (2)
1.一种应用于北斗导航系统的密钥管理系统,其特征在于,包括:
密钥管理系统,部署在地面中心站中,通过TCP/IP有线网络与地面中心站管理计算机通信;
北斗终端,北斗通信发起方和接收方,内含密码模块,所述密码模块具有生成随机数、加解密的功能;
地面中心站管理计算机:包括密码模块,安全通信模块,通过调用HTTPS接口实现与密钥管理系统安全通信;
该系统的使用方法包括如下步骤:
产生主密钥的步骤:密钥管理系统利用噪声发生器产生主密钥Keyroot;
安全通道建立的步骤:密钥管理系统调用安全通信模块与地面中心管理计算机通过HTTPS模式建立安全通信通道,用来查询和发送密钥信息;
密钥产生与分发的步骤:
步骤1:密钥管理系统产生及分发二层密钥,密钥分散算法为:Keycontrol=TRUNC(SM3(IDcontrol|| RandomCon||T), Len),其中IDcontrol 为地面中心管理计算机硬件序列号,RandomCon为密钥管理系统产生的随机数,T为系统的当前时间;密钥管理系统执行加密操作Xkeycontrol=ZUC_Encr(Keyroot,Keycontrol),加密存储地面中心站管理计算机的设备密钥Keycontrol,并建立地面中心站管理计算机硬件序列号IDcontrol与密钥密文之间的索引关系;步骤2:密钥管理系统产生及分发三层密钥,采用密钥分散算法:Keyterminal=TRUNC(SM3(IDterminal|| RandomTer ||T), Len),其中IDterminal 为北斗终端硬件序列号,RandomTer为密钥管理系统产生的随机数,T为系统的当前时间;密钥Keyterminal通过离线方式安全分发给北斗终端,密钥管理系统执行加密操作Xkeyterminal=ZUC_Encr(Keycontrol,Keyterminal),加密存储北斗终端的设备密钥Keyterminal,并建立北斗终端硬件序列号IDterminal与密钥密文之间的索引关系,
会话密钥产生的步骤:
步骤1:发送请求,北斗终端密码模块生成随机数RandomTerm,执行加密操作XTrans=ZUC_Encr(Keyterminal,RandomTerm),通过北斗链路将北斗终端序列号IDterminal及密文XTrans发送给地面中心站;步骤2:获取北斗终端设备密钥,首先,地面中心站解析北斗终端发送的北斗消息数据,并发送给管理计算机,管理计算机获取该北斗终端序列号IDterminal和密文XTrans,管理计算机在密钥管理系统中查询IDcontrol获得密钥密文Xkeycontrol,执行解密操作Keycontrol=ZUC_Dec(Xkeycontrol, Keyroot),获取地面中心站管理计算机设备密钥Keycontrol;其次管理计算机在密钥管理系统中查询IDterminal,获取密钥密文Xkeyterminal,执行解密操作Keyterminal=ZUC_Dec(Xkeyterminal,Keycontrol),获取北斗终端设备密钥Keyterminal;最后管理计算机执行解密操作RandomTerm= ZUC_Dec(XTrans, Keyterminal),获得随机数RandomTerm;步骤3:合成会话密钥,管理计算机密码模块产生随机数RandomConn,合成会话密钥Keysession,Keysession= TRUNC(SM3(RandomConn||RandomTerm||T),Len),T为系统的当前时间,然后执行加密操作XReturn=ZUC_Encr(Keyterminal,Keysession),将密文XReturn通过地面中心站的北斗链路发送给北斗终端;步骤4:开始加密通信,北斗终端收到消息,解析北斗数据,然后执行解密操作Keysession==ZUC_Dec(XReturn, Keyterminal),获取会话密钥Keysession,与地面中心站开始加密通信。
2.根据权利要求1所述的应用于北斗导航系统的密钥管理系统,其特征在于:所述密钥管理系统包括安全通信模块、配置管理模块、密钥管理模块、密钥存储模块、密钥数据库及加密机;
所述密钥存储模块负责密钥的安全存储与查询、检索,所有存储至数据库中的密钥都调用加密机加密并以密文的形式存储,保证密钥安全,并对外部提供密钥查询及检索功能;
所述密钥管理模块负责密钥生成、密钥更新、密钥存储、密钥撤销功能,与密钥存储模块和配置管理模块一起完成密钥全生命周期管理功能;
所述配置管理模块负责密钥管理操作、数据管理操作、加密机管理操作以及人员管理操作;
所述安全通信模块通过调用HTTPS接口,实现与地面中心站管理计算机加密通信,确保密钥安全。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110360211.6A CN113132980B (zh) | 2021-04-02 | 2021-04-02 | 应用于北斗导航系统的密钥管理系统方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110360211.6A CN113132980B (zh) | 2021-04-02 | 2021-04-02 | 应用于北斗导航系统的密钥管理系统方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113132980A CN113132980A (zh) | 2021-07-16 |
| CN113132980B true CN113132980B (zh) | 2023-10-13 |
Family
ID=76774708
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110360211.6A Active CN113132980B (zh) | 2021-04-02 | 2021-04-02 | 应用于北斗导航系统的密钥管理系统方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113132980B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117131531B (zh) * | 2023-10-27 | 2024-01-02 | 四川省计算机研究院 | 基于Neo4j数据库的数据安全存储方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102111264A (zh) * | 2009-12-25 | 2011-06-29 | 上海格尔软件股份有限公司 | 非对称密钥管理系统 |
| WO2014139406A1 (zh) * | 2013-03-15 | 2014-09-18 | 福建联迪商用设备有限公司 | 一种终端主密钥tmk安全下载方法及系统 |
| CN110912872A (zh) * | 2019-11-04 | 2020-03-24 | 国网思极神往位置服务(北京)有限公司 | 基于北斗电力应用的新能源电厂调度数据采集系统 |
-
2021
- 2021-04-02 CN CN202110360211.6A patent/CN113132980B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102111264A (zh) * | 2009-12-25 | 2011-06-29 | 上海格尔软件股份有限公司 | 非对称密钥管理系统 |
| WO2014139406A1 (zh) * | 2013-03-15 | 2014-09-18 | 福建联迪商用设备有限公司 | 一种终端主密钥tmk安全下载方法及系统 |
| CN110912872A (zh) * | 2019-11-04 | 2020-03-24 | 国网思极神往位置服务(北京)有限公司 | 基于北斗电力应用的新能源电厂调度数据采集系统 |
Non-Patent Citations (5)
| Title |
|---|
| 北斗导航系统信息安全研究;王斯梁 等;《信息安全研究》;第1-6页 * |
| 北斗短报文通信安全研究;张舒黎;石元兵;王雍;;通信技术(第11期);全文 * |
| 导航接收终端上的嵌入式安全方案研究;袁苑;《中国优秀硕士学位论文全文数据库·信息科技辑》;全文 * |
| 王斯梁.北斗导航系统信息安全研究.《信息安全研究》.2020,第1-6页. * |
| 秦健 等.铁路北斗数据密码安全防护系统设计.《铁路计算机应用》.2021,全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113132980A (zh) | 2021-07-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2416524A2 (en) | System and method for secure transaction of data between wireless communication device and server | |
| CN113132099B (zh) | 一种基于硬件密码设备的传输文件加解密方法及装置 | |
| CN104023013A (zh) | 数据传输方法、服务端和客户端 | |
| CN102118387A (zh) | 无线通信装置与服务器之间的数据安全事务的系统和方法 | |
| CN108090370B (zh) | 基于索引的即时通信加密方法和系统 | |
| KR102619383B1 (ko) | 에폭 키 교환을 이용한 종단간 이중 래칫 암호화 | |
| KR20200002891A (ko) | 카운터 기반의 암호 시스템들에서 개선된 인증형 암호화를 위한 방법들 및 시스템들 | |
| CN110880972A (zh) | 一种基于安全多方计算的区块链密钥管理系统 | |
| CN105792190B (zh) | 通信系统中的数据加解密和传输方法 | |
| US11917061B2 (en) | Decentralized and/or hybrid decentralized secure cryptographic key storage method | |
| CN113285959A (zh) | 一种邮件加密方法、解密方法及加解密系统 | |
| CN112911588A (zh) | 一种轻量级的窄带物联网安全传输方法和系统 | |
| CN106850584B (zh) | 一种面向客户/服务器网络的匿名认证方法 | |
| Raad et al. | Secure data in lorawan network by adaptive method of elliptic-curve cryptography | |
| CN113132980B (zh) | 应用于北斗导航系统的密钥管理系统方法和装置 | |
| CN117318941B (zh) | 基于车内网的预置密钥分发方法、系统、终端及存储介质 | |
| CN113132083A (zh) | 应用于北斗导航系统的安全认证系统、方法和装置 | |
| CN112054905B (zh) | 一种移动终端的安全通信方法及系统 | |
| CN115150076A (zh) | 一种基于量子随机数的加密系统及方法 | |
| KR102304831B1 (ko) | 순열그룹 기반의 암호화 기술을 적용한 암호화시스템 및 방법 | |
| CN113795023A (zh) | 一种基于混沌序列和分组加密的蓝牙数据传输加密方法 | |
| Zahednejad et al. | A novel and efficient privacy preserving TETRA authentication protocol | |
| Weber | Designing a hybrid attribute-based encryption scheme supporting dynamic attributes | |
| CN112187460A (zh) | 一种面向主从网络的根密钥隐藏对称加密算法 | |
| CN114553420B (zh) | 基于量子密钥的数字信封封装方法及数据保密通信网络 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |