CN114070649A - 一种设备间的安全通信方法及系统 - Google Patents
一种设备间的安全通信方法及系统 Download PDFInfo
- Publication number
- CN114070649A CN114070649A CN202111534398.3A CN202111534398A CN114070649A CN 114070649 A CN114070649 A CN 114070649A CN 202111534398 A CN202111534398 A CN 202111534398A CN 114070649 A CN114070649 A CN 114070649A
- Authority
- CN
- China
- Prior art keywords
- certificate
- equipment
- public key
- random number
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Mathematical Physics (AREA)
- Pure & Applied Mathematics (AREA)
- Physics & Mathematics (AREA)
- Mathematical Optimization (AREA)
- Mathematical Analysis (AREA)
- General Physics & Mathematics (AREA)
- Algebra (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种设备间的安全通信方法及系统,涉及安全通信领域,该方法包括基于预设加密算法生成一对公钥和私钥,并对生成的公钥进行证书签发,签发得到公钥证书和CA证书;将签发得到的公钥证书和CA证书,以及生成的私钥均发送至待通信的设备;待通信的设备间基于接收到的公钥证书、CA证书和私钥,进行双向认证及业务数据交互。本发明能够有效保证设备间数据传输的安全性。
Description
技术领域
本发明涉及安全通信领域,具体涉及一种设备间的安全通信方法及系统。
背景技术
随着物联网时代的到来,各种物联网设备均需要服务器进行通信,此时,通信的安全性显得尤为重要,因此便产生了设备间安全通信的需求。
传统的安全通信主要是保护设备和服务器之间的通信数据,对于设备之间的通信安全却很少涉及,设备之间一般直接通过TCP(Transmission Control Protocol,传输控制协议)或者串口进行通信,在通信通道上没有进行安全保护,可以直接在通道上获取得到明文数据,从而使得设备之间的通信安全无法得到保障。
发明内容
针对现有技术中存在的缺陷,本发明的目的在于提供一种设备间的安全通信方法及系统,能够有效保证设备间数据传输的安全性。
为达到以上目的,本发明提供的一种设备间的安全通信方法,具体包括以下步骤:
基于预设加密算法生成一对公钥和私钥,并对生成的公钥进行证书签发,签发得到公钥证书和CA证书;
将签发得到的公钥证书和CA证书,以及生成的私钥均发送至待通信的设备,以使待通信的设备间基于接收到的公钥证书、CA证书和私钥,进行双向认证及业务数据交互。
在上述技术方案的基础上,所述基于预设加密算法生成一对公钥和私钥,并对生成的公钥进行证书签发,得到公钥证书和CA证书,具体步骤包括:
基于SM2算法生成一对公钥和私钥;
基于CA服务对生成的公钥进行签发,得到公钥证书和CA证书。
在上述技术方案的基础上,所述待通信的设备包括多个,且每一个待通信的设备均接收签发得到的公钥证书和CA证书,以及生成的私钥。
在上述技术方案的基础上,所述待通信的设备间基于接收到的公钥证书、CA证书和私钥,进行双向认证及业务数据交互,其中,当待通信的设备包括第一设备和第二设备时,第一设备和第二设备间进行双向认证的具体步骤包括:
第一设备生成第一随机数,并将生成的第一随机数和自身接收的公钥证书发送至第二设备;
第二设备使用自身接收的CA证书对第一设备发送的公钥证书进行验证,并待验证通过后生成第二随机数,并将生成的第二随机数和自身接收的公钥证书发送至第一设备;
第一设备使用自身接收的CA证书对第二设备发送的公钥证书进行验证,并待验证通过后生成第三随机数,并采用第二设备发送的公钥证书对第三随机数进行加密得到第一加密数据后发至第二设备;
第二设备使用自身接收的私钥对第一加密数据进行解密,得到第三随机数,并采用设定加密算法对第一随机数、第二随机数和第三随机数加密,得到第二加密数据;
第二设备生成第四随机数,并使用第二加密数据对第四随机数进行加密得到第三加密数据,然后将第三加密数据和第四随机数发送至第一设备;
第一设备采用设定加密算法对第一随机数、第二随机数和第三随机数加密,得到第二加密数据,并使用得到的第二加密数据对第三加密数据进行解密,得到明文数据;
第一设备判断得到的明文数据和接收的第四随机数是否一致,若是,则表明双向认证成功,并发送双向认证成功消息至第二设备,若否,则表明双向认证失败。
在上述技术方案的基础上,所述待通信的设备间基于接收到的公钥证书、CA证书和私钥,进行双向认证及业务数据交互,其中,业务数据交互的具体步骤为:
使用第二加密数据对待通信的设备间的业务数据进行加密,加密后的业务数据在待通信的设备间进行传输。
本发明提供的一种设备间的安全通信系统,包括私有CA服务和产线工具;
所述私有CA服务用于接收产线工具生成的公钥,并对接收的公钥进行证书签发,签发得到公钥证书和CA证书并发送至产线工具;
所述产线工具用于基于预设加密算法生成一对公钥和私钥,并将生成的公钥发送至私有CA服务,以及将生成的私钥及私有CA服务发送的公钥证书和CA证书均发送至待通信的设备,以使待通信的设备间基于公钥证书、CA证书和私钥进行双向认证及业务数据交互。
在上述技术方案的基础上,
所述产线工具包括openssl模块;
所述openssl模块用于基于SM2算法生成一对公钥和私钥。
在上述技术方案的基础上,
所述私有CA服务包括加密机模块、证书签发模块、证书管理模块和证书存储模块;
所述加密机模块用于对公钥进行证书签发,签发得到公钥证书和CA证书;
所述证书签发模块用于接收产线工具发送的公钥,然后驱使加密机模块工作,以及将签发得到公钥证书和CA证书发送至产线工具;
所述证书管理模块用于进行公钥证书、CA证书的查询和修改;
所述证书存储模块用于对公钥证书和CA证书进行存储。
在上述技术方案的基础上,当待通信的设备包括第一设备和第二设备时,第一设备和第二设备间进行双向认证的具体过程包括:
第一设备生成第一随机数,并将生成的第一随机数和自身接收的公钥证书发送至第二设备;
第二设备使用自身接收的CA证书对第一设备发送的公钥证书进行验证,并待验证通过后生成第二随机数,并将生成的第二随机数和自身接收的公钥证书发送至第一设备;
第一设备使用自身接收的CA证书对第二设备发送的公钥证书进行验证,并待验证通过后生成第三随机数,并采用第二设备发送的公钥证书对第三随机数进行加密得到第一加密数据后发至第二设备;
第二设备使用自身接收的私钥对第一加密数据进行解密,得到第三随机数,并采用设定加密算法对第一随机数、第二随机数和第三随机数加密,得到第二加密数据;
第二设备生成第四随机数,并使用第二加密数据对第四随机数进行加密得到第三加密数据,然后将第三加密数据和第四随机数发送至第一设备;
第一设备采用设定加密算法对第一随机数、第二随机数和第三随机数加密,得到第二加密数据,并使用得到的第二加密数据对第三加密数据进行解密,得到明文数据;
第一设备判断得到的明文数据和接收的第四随机数是否一致,若是,则表明双向认证成功,并发送双向认证成功消息至第二设备,若否,则表明双向认证失败。
在上述技术方案的基础上,待通信的设备间进行业务数据交互的具体过程为:
使用第二加密数据对待通信的设备间的业务数据进行加密,加密后的业务数据在待通信的设备间进行传输。
与现有技术相比,本发明的优点在于:基于预设加密算法生成一对公钥和私钥,并对生成的公钥进行证书签发,签发得到公钥证书和CA证书,然后将签发得到的公钥证书和CA证书,以及生成的私钥均发送至待通信的设备,然后待通信的设备间基于接收到的公钥证书、CA证书和私钥,进行双向认证及业务数据交互,即待通信的设备进行双向认证通过后才会进行业务数据交互,且待通信的设备的业务数据交互以加密形式进行,有效保证设备间数据传输的安全性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中一种设备间的安全通信方法的流程图;
图2为本发明实施例中一种设备间的安全通信系统的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请的一部分实施例,而不是全部的实施例。
参见图1所示,本发明实施例提供的一种设备间的安全通信方法,用于实现同一级别的设备间的业务数据安全交互,具体包括以下步骤:
S1:基于预设加密算法生成一对公钥和私钥,并对生成的公钥进行证书签发,签发得到公钥证书和CA(Certification Authority,证书签发机构)证书;该步骤具体包括:
S101:基于SM2算法生成一对公钥和私钥;SM2算法为一种椭圆曲线公钥密码算法。
S102:基于CA服务对生成的公钥进行签发,得到公钥证书和CA证书。
即首先生成公私密钥对,然后将其中的公钥进行证书签发,从而得到公钥证书和CA证书。
S2:将签发得到的公钥证书和CA证书,以及生成的私钥均发送至待通信的设备;本发明实施例中,待通信的设备包括多个,且每一个待通信的设备均接收签发得到的公钥证书和CA证书,以及生成的私钥。即将公钥证书、CA证书和私钥发送至每一个待通信的设备。
具体的,通过串口将公钥证书、CA证书和私钥发送给设备,设备接收公钥证书、CA证书和私钥,并将接收的公钥证书、CA证书和私钥存储在自身的Flash(闪存)上。
S3:待通信的设备间基于接收到的公钥证书、CA证书和私钥,进行双向认证及业务数据交互。
待通信的设备间基于公钥证书、CA证书和私钥进行类TLS(Transport LayerSecurity,传输层安全性协议)的双向认证,待认证通过后,才在加密管道内进行真实的业务数据交互,即待通信的设备间以加密方式进行业务数据传输。
本发明实施例中,待通信的设备间基于接收到的公钥证书、CA证书和私钥,进行双向认证及业务数据交互,其中,当待通信的设备包括第一设备和第二设备时,第一设备和第二设备间进行双向认证的具体步骤包括:
S301:第一设备生成第一随机数,并将生成的第一随机数和自身接收的公钥证书发送至第二设备;需要说明的是,本发明实施例中的设备自身接收是指在进行双向认证前,设备接收到的公钥证书、CA证书和私钥。
S302:第二设备使用自身接收的CA证书对第一设备发送的公钥证书进行验证,并待验证通过后生成第二随机数,并将生成的第二随机数和自身接收的公钥证书发送至第一设备;
S303:第一设备使用自身接收的CA证书对第二设备发送的公钥证书进行验证,并待验证通过后生成第三随机数,并采用第二设备发送的公钥证书对第三随机数进行加密得到第一加密数据后发至第二设备;
S304:第二设备使用自身接收的私钥对第一加密数据进行解密,得到第三随机数,并采用设定加密算法对第一随机数、第二随机数和第三随机数加密,得到第二加密数据;
需要说明的是,设定加密算法可以为SM4算法(一种对称加密算法),将第三随机数作为密钥,对第一随机数和第二随机数进行加密,得到第二加密数据。
S305:第二设备生成第四随机数,并使用第二加密数据对第四随机数进行加密得到第三加密数据,然后将第三加密数据和第四随机数发送至第一设备;
S306:第一设备采用设定加密算法对第一随机数、第二随机数和第三随机数加密,得到第二加密数据,并使用得到的第二加密数据对第三加密数据进行解密,得到明文数据;即第一设备采用相同的加密算法对第一随机数、第二随机数和第三随机数加密,得到第二加密数据,然后使用得到的第二加密数据对第三加密数据进行解密,得到明文数据。
S307:第一设备判断得到的明文数据和接收的第四随机数是否一致,若是,则表明双向认证成功,并发送双向认证成功消息至第二设备,若否,则表明双向认证失败。
本发明实施例中,待通信的设备间基于接收到的公钥证书、CA证书和私钥,进行双向认证及业务数据交互,其中,业务数据交互的具体步骤为:使用第二加密数据对待通信的设备间的业务数据进行加密,加密后的业务数据在待通信的设备间进行传输。
例如,第一设备需要发送业务数据A至第二设备,则第一设备将第二加密数据作为会话密钥对业务数据A进行加密,然后将加密后的数据发送至第二设备,第二设备接收到加密数据后使用第二加密数据进行解密,得到业务数据A。以加密的形式进行设备间数据的传输,有效保证设备间数据传输的安全性。
本发明实施例的设备间的安全通信方法,基于预设加密算法生成一对公钥和私钥,并对生成的公钥进行证书签发,签发得到公钥证书和CA证书,然后将签发得到的公钥证书和CA证书,以及生成的私钥均发送至待通信的设备,然后待通信的设备间基于接收到的公钥证书、CA证书和私钥,进行双向认证及业务数据交互,即待通信的设备进行双向认证通过后才会进行业务数据交互,且待通信的设备的业务数据交互以加密形式进行,有效保证设备间数据传输的安全性。
参见图2所示,本发明实施例提供的一种设备间的安全通信系统,包括私有CA服务和产线工具。
私有CA服务用于接收产线工具生成的公钥,并对接收的公钥进行证书签发,签发得到公钥证书和CA证书并发送至产线工具;产线工具用于基于预设加密算法生成一对公钥和私钥,并将生成的公钥发送至私有CA服务,以及将生成的私钥及私有CA服务发送的公钥证书和CA证书均发送至待通信的设备,以使待通信的设备间基于公钥证书、CA证书和私钥进行双向认证及业务数据交互。
在一种可能的实施方式中,为了进一步提高安全性,也可以在设备中设置安全芯片,由安全芯片基于SM2算法生成一对公钥和私钥,将生成的私钥存储在安全芯片中,生成的公钥发送给产线工具,由产线工具将公钥发送给私有CA服务,私有CA服务对接收的公钥进行证书签发,签发得到公钥证书和CA证书并发送给安全芯片,由安全芯片对公钥证书和CA证书进行存储。
本发明实施例中,待通信的设备间在相互通信时,可以是串口通信,也可以是网络通信,通信之前先进行类TLS双向认证,认证通过之后才可以在加密管道内进行真实的业务数据交互。
本发明实施例中,产线工具包括openssl模块,openssl模块用于基于SM2算法生成一对公钥和私钥。具体的,openssl模块中的openssl可以为V1.1.1版本,其负者进行公钥和私钥的生成,并将生成的公钥发送给私有CA服务进行公钥证书和CA证书的生成。
本发明实施例中,私有CA服务包括加密机模块、证书签发模块、证书管理模块和证书存储模块;加密机模块用于对公钥进行证书签发,签发得到公钥证书和CA证书;证书签发模块用于接收产线工具发送的公钥,然后驱使加密机模块工作,以及将签发得到公钥证书和CA证书发送至产线工具;证书管理模块用于进行公钥证书、CA证书的查询和修改;证书存储模块用于对公钥证书和CA证书进行存储。
本发明实施例中,当待通信的设备包括第一设备和第二设备时,第一设备和第二设备间进行双向认证的具体过程包括:
第一设备生成第一随机数,并将生成的第一随机数和自身接收的公钥证书发送至第二设备;
第二设备使用自身接收的CA证书对第一设备发送的公钥证书进行验证,并待验证通过后生成第二随机数,并将生成的第二随机数和自身接收的公钥证书发送至第一设备;
第一设备使用自身接收的CA证书对第二设备发送的公钥证书进行验证,并待验证通过后生成第三随机数,并采用第二设备发送的公钥证书对第三随机数进行加密得到第一加密数据后发至第二设备;
第二设备使用自身接收的私钥对第一加密数据进行解密,得到第三随机数,并采用设定加密算法对第一随机数、第二随机数和第三随机数加密,得到第二加密数据;
第二设备生成第四随机数,并使用第二加密数据对第四随机数进行加密得到第三加密数据,然后将第三加密数据和第四随机数发送至第一设备;
第一设备采用设定加密算法对第一随机数、第二随机数和第三随机数加密,得到第二加密数据,并使用得到的第二加密数据对第三加密数据进行解密,得到明文数据;
第一设备判断得到的明文数据和接收的第四随机数是否一致,若是,则表明双向认证成功,并发送双向认证成功消息至第二设备,若否,则表明双向认证失败。
本发明实施例中,待通信的设备间进行业务数据交互的具体过程为:使用第二加密数据对待通信的设备间的业务数据进行加密,加密后的业务数据在待通信的设备间进行传输。例如,第一设备需要发送业务数据A至第二设备,则第一设备将第二加密数据作为会话密钥对业务数据A进行加密,然后将加密后的数据发送至第二设备,第二设备接收到加密数据后使用第二加密数据进行解密,得到业务数据A,以加密的形式进行设备间数据的传输,有效保证设备间数据传输的安全性。
以上所述仅是本申请的具体实施方式,使本领域技术人员能够理解或实现本申请。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。
本发明是参照根据本发明实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
Claims (10)
1.一种设备间的安全通信方法,其特征在于,具体包括以下步骤:
基于预设加密算法生成一对公钥和私钥,并对生成的公钥进行证书签发,签发得到公钥证书和CA证书;
将签发得到的公钥证书和CA证书,以及生成的私钥均发送至待通信的设备,以使待通信的设备间基于接收到的公钥证书、CA证书和私钥,进行双向认证及业务数据交互。
2.如权利要求1所述的一种设备间的安全通信方法,其特征在于,所述基于预设加密算法生成一对公钥和私钥,并对生成的公钥进行证书签发,得到公钥证书和CA证书,具体步骤包括:
基于SM2算法生成一对公钥和私钥;
基于CA服务对生成的公钥进行签发,得到公钥证书和CA证书。
3.如权利要求1所述的一种设备间的安全通信方法,其特征在于:所述待通信的设备包括多个,且每一个待通信的设备均接收签发得到的公钥证书和CA证书,以及生成的私钥。
4.如权利要求1所述的一种设备间的安全通信方法,其特征在于,所述待通信的设备间基于接收到的公钥证书、CA证书和私钥,进行双向认证及业务数据交互,其中,当待通信的设备包括第一设备和第二设备时,第一设备和第二设备间进行双向认证的具体步骤包括:
第一设备生成第一随机数,并将生成的第一随机数和自身接收的公钥证书发送至第二设备;
第二设备使用自身接收的CA证书对第一设备发送的公钥证书进行验证,并待验证通过后生成第二随机数,并将生成的第二随机数和自身接收的公钥证书发送至第一设备;
第一设备使用自身接收的CA证书对第二设备发送的公钥证书进行验证,并待验证通过后生成第三随机数,并采用第二设备发送的公钥证书对第三随机数进行加密得到第一加密数据后发至第二设备;
第二设备使用自身接收的私钥对第一加密数据进行解密,得到第三随机数,并采用设定加密算法对第一随机数、第二随机数和第三随机数加密,得到第二加密数据;
第二设备生成第四随机数,并使用第二加密数据对第四随机数进行加密得到第三加密数据,然后将第三加密数据和第四随机数发送至第一设备;
第一设备采用设定加密算法对第一随机数、第二随机数和第三随机数加密,得到第二加密数据,并使用得到的第二加密数据对第三加密数据进行解密,得到明文数据;
第一设备判断得到的明文数据和接收的第四随机数是否一致,若是,则表明双向认证成功,并发送双向认证成功消息至第二设备,若否,则表明双向认证失败。
5.如权利要求4所述的一种设备间的安全通信方法,其特征在于,所述待通信的设备间基于接收到的公钥证书、CA证书和私钥,进行双向认证及业务数据交互,其中,业务数据交互的具体步骤为:
使用第二加密数据对待通信的设备间的业务数据进行加密,加密后的业务数据在待通信的设备间进行传输。
6.一种设备间的安全通信系统,其特征在于,包括私有CA服务和产线工具;
所述私有CA服务用于接收产线工具生成的公钥,并对接收的公钥进行证书签发,签发得到公钥证书和CA证书并发送至产线工具;
所述产线工具用于基于预设加密算法生成一对公钥和私钥,并将生成的公钥发送至私有CA服务,以及将生成的私钥及私有CA服务发送的公钥证书和CA证书均发送至待通信的设备,以使待通信的设备间基于公钥证书、CA证书和私钥进行双向认证及业务数据交互。
7.如权利要求6所述的一种设备间的安全通信系统,其特征在于:
所述产线工具包括openssl模块;
所述openssl模块用于基于SM2算法生成一对公钥和私钥。
8.如权利要求6所述的一种设备间的安全通信系统,其特征在于:
所述私有CA服务包括加密机模块、证书签发模块、证书管理模块和证书存储模块;
所述加密机模块用于对公钥进行证书签发,签发得到公钥证书和CA证书;
所述证书签发模块用于接收产线工具发送的公钥,然后驱使加密机模块工作,以及将签发得到公钥证书和CA证书发送至产线工具;
所述证书管理模块用于进行公钥证书、CA证书的查询和修改;
所述证书存储模块用于对公钥证书和CA证书进行存储。
9.如权利要求6所述的一种设备间的安全通信系统,其特征在于,当待通信的设备包括第一设备和第二设备时,第一设备和第二设备间进行双向认证的具体过程包括:
第一设备生成第一随机数,并将生成的第一随机数和自身接收的公钥证书发送至第二设备;
第二设备使用自身接收的CA证书对第一设备发送的公钥证书进行验证,并待验证通过后生成第二随机数,并将生成的第二随机数和自身接收的公钥证书发送至第一设备;
第一设备使用自身接收的CA证书对第二设备发送的公钥证书进行验证,并待验证通过后生成第三随机数,并采用第二设备发送的公钥证书对第三随机数进行加密得到第一加密数据后发至第二设备;
第二设备使用自身接收的私钥对第一加密数据进行解密,得到第三随机数,并采用设定加密算法对第一随机数、第二随机数和第三随机数加密,得到第二加密数据;
第二设备生成第四随机数,并使用第二加密数据对第四随机数进行加密得到第三加密数据,然后将第三加密数据和第四随机数发送至第一设备;
第一设备采用设定加密算法对第一随机数、第二随机数和第三随机数加密,得到第二加密数据,并使用得到的第二加密数据对第三加密数据进行解密,得到明文数据;
第一设备判断得到的明文数据和接收的第四随机数是否一致,若是,则表明双向认证成功,并发送双向认证成功消息至第二设备,若否,则表明双向认证失败。
10.如权利要求9所述的一种设备间的安全通信系统,其特征在于,待通信的设备间进行业务数据交互的具体过程为:
使用第二加密数据对待通信的设备间的业务数据进行加密,加密后的业务数据在待通信的设备间进行传输。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111534398.3A CN114070649A (zh) | 2021-12-15 | 2021-12-15 | 一种设备间的安全通信方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111534398.3A CN114070649A (zh) | 2021-12-15 | 2021-12-15 | 一种设备间的安全通信方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114070649A true CN114070649A (zh) | 2022-02-18 |
Family
ID=80229535
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111534398.3A Pending CN114070649A (zh) | 2021-12-15 | 2021-12-15 | 一种设备间的安全通信方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114070649A (zh) |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1832400A (zh) * | 2005-11-14 | 2006-09-13 | 北京浦奥得数码技术有限公司 | 内容保护系统以及方法 |
CN101483518A (zh) * | 2009-02-20 | 2009-07-15 | 北京天威诚信电子商务服务有限公司 | 一种用户数字证书私钥管理方法和系统 |
CN102571338A (zh) * | 2010-12-23 | 2012-07-11 | 北京时代凌宇科技有限公司 | 一种基于pki技术的物联网认证方法及系统 |
KR101484744B1 (ko) * | 2013-12-20 | 2015-01-21 | 고려대학교 산학협력단 | 사용자 인증서의 개인키 유출 탐지 방법 및 시스템 |
CN105530253A (zh) * | 2015-12-17 | 2016-04-27 | 河南大学 | 基于CA证书的Restful架构下的无线传感器网络接入认证方法 |
CN107171805A (zh) * | 2017-05-17 | 2017-09-15 | 济南浪潮高新科技投资发展有限公司 | 一种物联网终端数字证书签发系统和方法 |
US20170279785A1 (en) * | 2016-03-25 | 2017-09-28 | Ca, Inc. | Synchronized issuance of public x.509 digital certificates |
CN109379387A (zh) * | 2018-12-14 | 2019-02-22 | 成都三零嘉微电子有限公司 | 一种物联网设备间的安全认证和数据通信系统 |
CN111193748A (zh) * | 2020-01-06 | 2020-05-22 | 惠州市德赛西威汽车电子股份有限公司 | 一种交互式密钥安全认证方法及系统 |
WO2020223319A1 (en) * | 2019-05-01 | 2020-11-05 | Nix John A | Distributed eap-tls authentication for wireless networks with concealed subscriber identities |
CN112350826A (zh) * | 2021-01-08 | 2021-02-09 | 浙江中控技术股份有限公司 | 一种工业控制系统数字证书签发管理方法和加密通信方法 |
CN113596046A (zh) * | 2021-08-03 | 2021-11-02 | 中电金信软件有限公司 | 一种双向认证方法及装置 |
CN113595985A (zh) * | 2021-06-30 | 2021-11-02 | 江西海盾信联科技有限责任公司 | 一种基于国密算法安全芯片的物联网安全云平台实现方法 |
-
2021
- 2021-12-15 CN CN202111534398.3A patent/CN114070649A/zh active Pending
Patent Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1832400A (zh) * | 2005-11-14 | 2006-09-13 | 北京浦奥得数码技术有限公司 | 内容保护系统以及方法 |
CN101483518A (zh) * | 2009-02-20 | 2009-07-15 | 北京天威诚信电子商务服务有限公司 | 一种用户数字证书私钥管理方法和系统 |
CN102571338A (zh) * | 2010-12-23 | 2012-07-11 | 北京时代凌宇科技有限公司 | 一种基于pki技术的物联网认证方法及系统 |
KR101484744B1 (ko) * | 2013-12-20 | 2015-01-21 | 고려대학교 산학협력단 | 사용자 인증서의 개인키 유출 탐지 방법 및 시스템 |
CN105530253A (zh) * | 2015-12-17 | 2016-04-27 | 河南大学 | 基于CA证书的Restful架构下的无线传感器网络接入认证方法 |
US20170279785A1 (en) * | 2016-03-25 | 2017-09-28 | Ca, Inc. | Synchronized issuance of public x.509 digital certificates |
CN107171805A (zh) * | 2017-05-17 | 2017-09-15 | 济南浪潮高新科技投资发展有限公司 | 一种物联网终端数字证书签发系统和方法 |
CN109379387A (zh) * | 2018-12-14 | 2019-02-22 | 成都三零嘉微电子有限公司 | 一种物联网设备间的安全认证和数据通信系统 |
WO2020223319A1 (en) * | 2019-05-01 | 2020-11-05 | Nix John A | Distributed eap-tls authentication for wireless networks with concealed subscriber identities |
US20220248221A1 (en) * | 2019-05-01 | 2022-08-04 | John A. Nix | Distributed EAP-TLS Authentication for Wireless Networks with Concealed User Identities |
CN111193748A (zh) * | 2020-01-06 | 2020-05-22 | 惠州市德赛西威汽车电子股份有限公司 | 一种交互式密钥安全认证方法及系统 |
CN112350826A (zh) * | 2021-01-08 | 2021-02-09 | 浙江中控技术股份有限公司 | 一种工业控制系统数字证书签发管理方法和加密通信方法 |
CN113595985A (zh) * | 2021-06-30 | 2021-11-02 | 江西海盾信联科技有限责任公司 | 一种基于国密算法安全芯片的物联网安全云平台实现方法 |
CN113596046A (zh) * | 2021-08-03 | 2021-11-02 | 中电金信软件有限公司 | 一种双向认证方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112887338B (zh) | 一种基于ibc标识密码的身份认证方法和系统 | |
CN110380852B (zh) | 双向认证方法及通信系统 | |
TWI636373B (zh) | Method and device for authorizing between devices | |
CN105790938A (zh) | 基于可信执行环境的安全单元密钥生成系统及方法 | |
CN103036880A (zh) | 网络信息传输方法、设备及系统 | |
CN109005184A (zh) | 文件加密方法及装置、存储介质、终端 | |
CN110635901A (zh) | 用于物联网设备的本地蓝牙动态认证方法和系统 | |
CN107635227A (zh) | 一种群组消息加密方法及装置 | |
CN114650173A (zh) | 一种加密通讯方法及系统 | |
CN114500064B (zh) | 一种通信安全验证方法、装置、存储介质及电子设备 | |
CN110611679A (zh) | 一种数据传输方法、装置、设备及系统 | |
CN110611681A (zh) | 一种加密方法及装置、存储介质 | |
US12010247B2 (en) | Implementation of a butterfly key expansion scheme | |
CN113141333B (zh) | 入网设备的通信方法、设备、服务器、系统及存储介质 | |
US11570008B2 (en) | Pseudonym credential configuration method and apparatus | |
CN113572612B (zh) | 一种国密sm9算法私钥分发方法、用户终端和密钥生成中心 | |
CN112055071B (zh) | 一种基于5g的工业控制安全通信系统及方法 | |
CN114070649A (zh) | 一种设备间的安全通信方法及系统 | |
CN110365482B (zh) | 一种数据通信方法和装置 | |
CN113905359A (zh) | 一种银行外设的蓝牙安全通讯方法、装置、设备和介质 | |
CN113783879A (zh) | 载具控制方法、系统、载具、设备及介质 | |
CN113392413A (zh) | 一种数据安全存储方法、装置、系统和存储介质 | |
CN113364756B (zh) | 一种智能电子设备数据传输方法、装置、系统及介质 | |
CN115412252B (zh) | 一种数据传输方法、传输发起端及传输接收端 | |
CN114900292B (zh) | 一种预计算系统、预计算数据处理方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |