CN114448644A - 基于对称算法的数字证书实现方法、装置、设备及介质 - Google Patents
基于对称算法的数字证书实现方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN114448644A CN114448644A CN202210209667.7A CN202210209667A CN114448644A CN 114448644 A CN114448644 A CN 114448644A CN 202210209667 A CN202210209667 A CN 202210209667A CN 114448644 A CN114448644 A CN 114448644A
- Authority
- CN
- China
- Prior art keywords
- key
- private key
- user
- digital
- public key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004422 calculation algorithm Methods 0.000 title claims abstract description 53
- 238000000034 method Methods 0.000 title claims abstract description 47
- 230000006854 communication Effects 0.000 claims abstract description 28
- 238000004891 communication Methods 0.000 claims abstract description 28
- 238000004590 computer program Methods 0.000 claims description 6
- 238000005516 engineering process Methods 0.000 abstract description 10
- 230000006870 function Effects 0.000 abstract description 10
- 238000012795 verification Methods 0.000 abstract description 7
- 230000005540 biological transmission Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 230000007175 bidirectional communication Effects 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000013478 data encryption standard Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000007429 general method Methods 0.000 description 1
- 230000002427 irreversible effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000010363 phase shift Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请涉及数字钥匙技术领域,特别涉及一种基于对称算法的数字证书实现方法、装置、设备及介质,其中,方法包括:接收用户发送的身份信息和公钥信息;根据公钥信息识别用户的身份标识,并根据身份信息计算用户的私钥,其中,私钥为基于对称算法的密钥;根据白名单队列验证私钥是否有效,并在验证有效之后,基于身份标识和私钥生成临时会话密钥,并利用临时会话密钥进行用户与车辆之间的双向通信。由此,通过为对称密钥及相关的用户身份信息签发的基于对称算法的数字证书,实现了传统公钥证书的功能,解决了相关技术中计算所需算力资源较高、耗费云端存储资源较多、身份验证时间较长的问题,大大提高了运算的效率。
Description
技术领域
本申请涉及数字钥匙技术领域,特别涉及一种基于对称算法的数字证书实现方法、装置、设备及介质。
背景技术
数字钥匙使消费者能够轻松和自信地使用他们的移动设备访问车辆。除了强大的能力和方便,它还提供了更好的安全和隐私保护,且具有足够的鲁棒性。其中,数字钥匙的安全架构如果将加密密钥类型作为划分的标准,则可以划分为对称加密系统和非对称加密系统。对称加密系统在实际应用中,网络数据传输的发送方与接收方使用相同的单一密钥对相关信息加解密,具备加密速度快与算法简单等优势,以DES(Data EncryptionStandard,数据加密标准)、AES(Advanced Encryption Standard,高级加密标准)为最典型的对称加密算法,但对称加密算法难以实现数字签名与身份认证等操作,同时在网络传输中密钥的管理成为一大难点。RSA(Rivest Shamir Adleman,RSA加密算法)、ECC(EllipticCurve Cryptography,椭圆加密算法)属干非对称加密系统中应用广泛的公钥加密算法,具有不需要秘密的通道来传输秘密通信所需要的密钥和高安全性的优点,但其执行加密与解密的速度较慢,效率偏低,难以承担大量数据的加密。
相关技术中,数字钥匙领域非对称身份验证机制是PKI(Public KeyInfrastructure,公钥基础设施)在车辆领域的一种应用,通过在用户端生成基于非对称加密的私钥,并安全保存到用户端,将对应的公钥和相应身份信息发送到CA(CertificateAuthority,证书颁发机构)进行签名,生成对应的公钥证书,然后将公钥证书保存到用户端。在和车辆通信时,双方交换公钥证书,通过对证书的非对称算法方式验签,来进行相互的身份验证。
然而,相关技术中的方法存在以下缺点:(1)用户端需要非对称加解密算法的支持,计算所需算力资源较高;(2)云端的KDC(Key Distribution Center,密钥分发中心)需要保存的公钥数据会随着用户数量直线上升,耗费的云端存储资源较多;(3)数字钥匙(证书)的撤销复杂,需要OCSP(Online Certificate Status Protocol,在线证书状态协议)或CRL(Certificate Revocation List,证书吊销列表)服务的支持,并且容易随着用户量的增长出现性能瓶颈;(4)需要车辆端支持非对称算法,所需算力较高,身份认证的过程时间较长。
发明内容
本申请提供一种基于对称算法的数字证书实现方法、装置、设备及介质,解决了相关技术中计算所需算力资源较高、耗费云端存储资源较多、身份验证时间较长的问题,大大提高了运算的效率。
本申请第一方面实施例提供一种基于对称算法的数字证书实现方法,包括以下步骤:
接收用户发送的身份信息和公钥信息;
根据所述公钥信息识别所述用户的身份标识,并根据所述身份信息计算所述用户的私钥,其中,所述私钥为基于对称算法的密钥;以及
根据白名单队列验证所述私钥是否有效,并在验证有效之后,基于所述身份标识和所述私钥生成临时会话密钥,并利用所述临时会话密钥进行用户与车辆之间的双向通信。
可选地,在根据所述白名单队列验证所述私钥是否有效之前,还包括:
基于T-Box的接收信道,接收数字钥匙公钥及相应的序号,生成所述白名单队列。
可选地,所述数字钥匙公钥由所述用户的数字签名和Hash运算生成。
可选地,上述的基于对称算法的数字证书实现方法,还包括:
接收撤销公钥的序号和空公钥;
基于所述撤销的数字钥匙公钥的序号从所述白名单队列中撤销所述撤销公钥,并填补所述空公钥。
可选地,在基于所述身份标识和所述私钥生成所述临时会话密钥之前,还包括:
发送证书签发请求;
接收基于所述证书签发请求生成的下载密钥和下载证书;
基于所述下载密钥和下载证书生成密钥及加密信息。
本申请第二方面实施例提供一种基于对称算法的数字证书实现装置,包括:
第一接收模块,用于接收用户发送的身份信息和公钥信息;
计算模块,用于根据所述公钥信息识别所述用户的身份标识,并根据所述身份信息计算所述用户的私钥,其中,所述私钥为基于对称算法的密钥,;以及
通信模块,用于根据白名单队列验证所述私钥是否有效,并在验证有效之后,基于所述身份标识和所述私钥生成临时会话密钥,并利用所述临时会话密钥进行用户与车辆之间的双向通信。
可选地,在根据所述白名单队列验证所述私钥是否有效之前,所述通信模块,还用于:
基于T-Box的接收信道,接收数字钥匙公钥及相应的序号,生成所述白名单队列。
可选地,所述数字钥匙公钥由所述用户的数字签名和Hash运算生成。
可选地,还包括:
第二接收模块,用于接收撤销公钥的序号和空公钥;
处理模块,用于基于所述撤销的数字钥匙公钥的序号从所述白名单队列中撤销所述撤销公钥,并填补所述空公钥。
可选地,在基于所述身份标识和所述私钥生成所述临时会话密钥之前,所述通信模块,还用于:
发送证书签发请求;
接收基于所述证书签发请求生成的下载密钥和下载证书;
基于所述下载密钥和下载证书生成密钥及加密信息。
本申请第三方面实施例提供一种电子设备,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序,以实现如上述实施例所述的基于对称算法的数字证书实现方法。
本申请第四方面实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行如上述实施例所述的基于对称算法的数字证书实现方法。
由此,可以接收用户发送的身份信息和公钥信息,并根据公钥信息识别用户的身份标识,并根据身份信息计算用户的私钥,并根据白名单队列验证私钥是否有效,并在验证有效之后,基于身份标识和私钥生成临时会话密钥,并利用临时会话密钥进行用户与车辆之间的双向通信。由此,通过为对称密钥及相关的用户身份信息签发的基于对称算法的数字证书,实现了传统公钥证书的功能,解决了相关技术中计算所需算力资源较高、耗费云端存储资源较多、身份验证时间较长的问题,大大提高了运算的效率。
本申请附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本申请的实践了解到。
附图说明
本申请上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为根据本申请实施例提供的一种基于对称算法的数字证书实现方法的流程图;
图2为根据本申请一个实施例的移动端、KDC和车端交互的示意图;
图3为根据本申请一个实施例的云端部分数据传输的流程图;
图4为根据本申请一个实施例的车端部分数据传输的流程图;
图5为根据本申请一个实施例的移动端部分数据传输的流程图;
图6为根据本申请实施例的基于对称算法的数字证书实现装置的示例图;
图7为根据本申请实施例的电子设备的示例图。
具体实施方式
下面详细描述本申请的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本申请,而不能理解为对本申请的限制。
下面参考附图描述本申请实施例的基于对称算法的数字证书实现方法、装置、设备及介质。针对上述背景技术中心提到的相关技术中计算所需算力资源较高、耗费云端存储资源较多、身份验证时间较长的问题,本申请提供了一种基于对称算法的数字证书实现方法,在该方法中,可以接收用户发送的身份信息和公钥信息,并根据公钥信息识别用户的身份标识,并根据身份信息计算用户的私钥,并根据白名单队列验证私钥是否有效,并在验证有效之后,基于身份标识和私钥生成临时会话密钥,并利用临时会话密钥进行用户与车辆之间的双向通信。由此,通过为对称密钥及相关的用户身份信息签发的基于对称算法的数字证书,实现了传统公钥证书的功能,解决了相关技术中计算所需算力资源较高、耗费云端存储资源较多、身份验证时间较长的问题,大大提高了运算的效率。
具体而言,图1为本申请实施例所提供的一种基于对称算法的数字证书实现方法的流程示意图。
如图1所示,该基于对称算法的数字证书实现方法包括以下步骤:
在步骤S101中,接收用户发送的身份信息和公钥信息。
在步骤S102中,根据公钥信息识别用户的身份标识,并根据身份信息计算用户的私钥,其中,私钥为基于对称算法的密钥。
可选地,在一些实施例中,数字钥匙公钥由用户的数字签名和Hash运算生成。
其中,身份信息可以为数字钥匙证书,数字钥匙证书的生成方法将在下文进行详细阐述
具体而言,本申请实施例的车端可以接收用户通过移动端发送的数字钥匙证书和公钥信息,车端可以根据数字钥匙证书计算出车端私钥。其中,计算出车端私钥的方法可以采用相关技术中的计算方法,为避免冗余,在此不做详细赘述。
需要说明的是,在生成数字钥匙证书时,移动端可以根据用户的属性(如手机号和车辆的VIN码(Vehicle Identification Number,车辆识别号码)),加上数字钥匙的关键属性(如起止时间和用户权限),生成CSR(Certificate Signing Request,证书请求信息);移动端可以通过第一信道(如移动端4G/5G)将证书请求信息上传至云端密钥分配中心(CloudKDC),CSR内容不加密,但会利用服务器的session_key机制验证用户的身份信息。KDC根据车型根密钥(rootKey)和CSR生成相应数字钥匙私钥,与相关技术中的私钥不同的,它是对称加密算法的密钥,是通过根密钥对CSR相关证书项进行Hash运算得到,而不是非对称加密体系的传统私钥。
进一步地,KDC对数字钥匙的私钥进行Hash运算,取得相应的指纹信息,利用数字钥匙验签的私钥进行非对称的签名,生成数据钥匙相应的公钥,同时称做数字钥匙白名单。KDC对数字钥匙私钥以PSK(pre-shared key,共享密钥)机制加密,数字钥匙公钥不加密,通过第一信道(如移动端4G/5G)下发到移动端。移动端解密数字钥匙私钥,将其安全保存;接收数字钥匙的公钥并保存。
在步骤S103中,根据白名单队列验证私钥是否有效,并在验证有效之后,基于身份标识和私钥生成临时会话密钥,并利用临时会话密钥进行用户与车辆之间的双向通信。
可选地,在一些实施例中,在根据白名单队列验证私钥是否有效之前,还包括:基于T-Box的接收信道,接收数字钥匙公钥及相应的序号,生成白名单队列。
具体而言,KDC可以预先通过第二信道(如TBox4G/5G APN(Access Point Name,接入点))将数字钥匙公钥及相应的序号发送给车端数字钥匙认证系统,车端将公钥(白名单)安全保存至相应序号的白名单队列中。
进一步地,本申请实施例可以根据车端的白名单队列验证上述步骤S102中计算出的私钥是否有效,如果验证有效的话,则身份认证通过,车端和移动端可以在BLE(BluetoohLow Energy,蓝牙低能耗技术)上利用数字钥匙的私钥做为预共享密钥生成临时会话密钥,进行安全的双向通信。
可选地,在一些实施例中,在基于身份标识和私钥生成临时会话密钥之前,还包括:发送证书签发请求;接收基于证书签发请求生成的下载密钥和下载证书;基于下载密钥和下载证书生成密钥及加密信息。
具体而言,本申请实施例的移动端可以发送证书签发请求至KDC,KDC可以基于证书签发请求生成下载密钥和下载证书,并发送至移动端移动端可以基于下载密钥和下载证书生成密钥及加密信息,并发送至车端。
综上,本申请实施例可以通过移动端将用户身份信息及相应的随机数发送给KDC,KDC利用根密钥和签名私钥生成用户的私钥和公钥信息,和一般的方法不同的是用户私钥是基于对称算法的密钥,并不是相关技术中的非对称算法的密钥。私钥信息利用PSK方式进行加密,用户解密后将私钥安全保存。公钥信息可以通过第二信道(TBox的4G/5G通路)以白名单方式下载到车辆上。用户与车辆通信时,将身份信息和公钥信息(可选)发送给车辆,车辆通过公钥可以验证用户身份,通过用户身份信息可以计算出用户的私钥,以PSK方式实现对称方式的加密认证。
进一步地,在一些实施例中,上述的基于对称算法的数字证书实现方法,还包括:接收撤销公钥的序号和空公钥;基于撤销的数字钥匙公钥的序号从白名单队列中撤销撤销公钥,并填补空公钥。
应当理解的是,KDC通过第二信道(TBox4G/5G APN)将要撤销的数字钥匙公钥的序号和一个空的数字钥匙公钥发送给车端的数字钥匙认证系统,车端在白名单列表中找不到对应私钥的相应公钥信息,身份认证失败,表明钥匙己撤销成功。
为使得本领域技术人员进一步了解本申请实施例的基于对称算法的数字证书实现方法,下面结合具体实施例进行详细阐述。
如图2所示,图2为本申请一个实施例的移动端、KDC和车端交互的示意图。其中,移动端可以为Phone移动端2,车端可以为Vehicle车端设备Tbox3、白名单4。
具体而言,Phone移动端2发送证书签发请求5至Cloud KDC云端密钥分配中心1,Cloud KDC云端密钥分配中心1处采用对称加密的方式利用对CSR证书请求信息进行Hash运算生成私钥6,并利用Hash运算其不可逆的特性加以数字签名生成含有白名单的公钥7;同时,Cloud KDC云端密钥分配中心1通过第一信道移动端4G/5G下载之前生成的私钥及证书8至Phone移动端2;与此同时,Cloud KDC云端密钥分配中心1利用第二信道TBox4G/5G APN下载证书9至Vehicle车端设备Tbox3;移动端2通过第三信道BLE将数字钥匙证书及加密信息发送至Vehicle车端设备Tbox3,于Vehicle车端设备Tbox3处进行验证证书及解密信息12并根据该数字钥匙证书重构私钥11;之后,返回加密session13至Phone移动端2;此时的移动端生成会话密钥14,车端生成会话密钥15,并由此实现双向的对称加密通信16。
进一步地,如图3所示,图3为本申请一个实施例的云端部分数据传输的流程图,包括以下步骤:
S301,接收来自移动端发送的证书签发请求。
S302,采用对称加密方式将跟密钥通过Hash运算生成私钥。
S303,以数字签名+Hash运算的方式生成含有白名单的公钥。
S304,通过第一通道下载之前生成的私钥及证书至移动端。
S305,通过第二信道下载证书至车端设备Tbox。
进一步地,如图4所示,图4为本申请一个实施例的车端部分数据传输的流程图,包括以下步骤:
S401,接收来自云端部分的证书和白名单。
S402,接收来自移动端的部分证书和加密信息。
S403,验证证书及解密信息并重构私钥。
S404,返回session至移动端并生成会话密钥。
S405,实现与移动端的对称加密通信。
进一步地,如图5所示,图5为本申请一个实施例的移动端部分数据传输的流程图,包括以下步骤:
S501,向云端发送证书签发请求。
S502,接收来自云端下载的私钥及证书。
S503,发送密钥及加密信息至车端设备Tbox。
S504,接收来自车端设备Tbox的session并生成会话密钥。
S505,实现与车端的对称加密通信。
由此,在有数字钥匙证书存在的情况下,由于只能由云端签出相应的证书,完美地解决了数字钥匙的不可否认性;并且本申请采用第二信道(TBox4G/5G APN)下发相应的证书的方法,由于TBox通道的及时下发,有效解决了钥匙撤销的及时性问题。
根据本申请实施例提出的基于对称算法的数字证书实现方法,可以接收用户发送的身份信息和公钥信息,并根据公钥信息识别用户的身份标识,并根据身份信息计算用户的私钥,并根据白名单队列验证私钥是否有效,并在验证有效之后,基于身份标识和私钥生成临时会话密钥,并利用临时会话密钥进行用户与车辆之间的双向通信。由此,通过为对称密钥及相关的用户身份信息签发的基于对称算法的数字证书,实现了传统公钥证书的功能,解决了相关技术中计算所需算力资源较高、耗费云端存储资源较多、身份验证时间较长的问题,大大提高了运算的效率。
其次参照附图描述根据本申请实施例提出的基于对称算法的数字证书实现装置。
图6是本申请实施例的基于对称算法的数字证书实现装置的方框示意图。
如图6所示,该基于对称算法的数字证书实现装置10包括:第一接收模块100、计算模块200和通信模块300。
其中,第一接收模块100用于接收用户发送的身份信息和公钥信息;
计算模块200用于根据公钥信息识别用户的身份标识,并根据身份信息计算用户的私钥,其中,私钥为基于对称算法的密钥,;以及
通信模块300用于根据白名单队列验证私钥是否有效,并在验证有效之后,基于身份标识和私钥生成临时会话密钥,并利用临时会话密钥进行用户与车辆之间的双向通信。
可选地,在根据白名单队列验证私钥是否有效之前,通信模块300还用于:
基于T-Box的接收信道,接收数字钥匙公钥及相应的序号,生成白名单队列。
可选地,数字钥匙公钥由用户的数字签名和Hash运算生成。
可选地,还包括:
第二接收模块,用于接收撤销公钥的序号和空公钥;
处理模块,用于基于撤销的数字钥匙公钥的序号从白名单队列中撤销撤销公钥,并填补空公钥。
可选地,在基于身份标识和私钥生成临时会话密钥之前,通信模块300还用于:
发送证书签发请求;
接收基于证书签发请求生成的下载密钥和下载证书;
基于下载密钥和下载证书生成密钥及加密信息。
需要说明的是,前述对基于对称算法的数字证书实现方法实施例的解释说明也适用于该实施例的基于对称算法的数字证书实现装置,此处不再赘述。
根据本申请实施例提出的基于对称算法的数字证书实现装置,可以接收用户发送的身份信息和公钥信息,并根据公钥信息识别用户的身份标识,并根据身份信息计算用户的私钥,并根据白名单队列验证私钥是否有效,并在验证有效之后,基于身份标识和私钥生成临时会话密钥,并利用临时会话密钥进行用户与车辆之间的双向通信。由此,通过为对称密钥及相关的用户身份信息签发的基于对称算法的数字证书,实现了传统公钥证书的功能,解决了相关技术中计算所需算力资源较高、耗费云端存储资源较多、身份验证时间较长的问题,大大提高了运算的效率。
图7为本申请实施例提供的电子设备的结构示意图。该电子设备可以包括:
存储器701、处理器702及存储在存储器701上并可在处理器702上运行的计算机程序。
处理器702执行程序时实现上述实施例中提供的基于对称算法的数字证书实现方法。
进一步地,电子设备还包括:
通信接口703,用于存储器701和处理器702之间的通信。
存储器701,用于存放可在处理器702上运行的计算机程序。
存储器701可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
如果存储器701、处理器702和通信接口703独立实现,则通信接口703、存储器701和处理器702可以通过总线相互连接并完成相互间的通信。总线可以是工业标准体系结构(Industry Standard Architecture,简称为ISA)总线、外部设备互连(PeripheralComponent,简称为PCI)总线或扩展工业标准体系结构(Extended Industry StandardArchitecture,简称为EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,图7中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
可选地,在具体实现上,如果存储器701、处理器702及通信接口703,集成在一块芯片上实现,则存储器701、处理器702及通信接口703可以通过内部接口完成相互间的通信。
处理器702可能是一个中央处理器(Central Processing Unit,简称为CPU),或者是特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者是被配置成实施本申请实施例的一个或多个集成电路。
本实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上的基于对称算法的数字证书实现方法。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或N个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本申请的描述中,“N个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更N个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本申请的实施例所属技术领域的技术人员所理解。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或N个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,N个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。如,如果用硬件来实现和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本申请各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。尽管上面已经示出和描述了本申请的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本申请的限制,本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (10)
1.一种基于对称算法的数字证书实现方法,其特征在于,包括以下步骤:
接收用户发送的身份信息和公钥信息;
根据所述公钥信息识别所述用户的身份标识,并根据所述身份信息计算所述用户的私钥,其中,所述私钥为基于对称算法的密钥;以及
根据白名单队列验证所述私钥是否有效,并在验证有效之后,基于所述身份标识和所述私钥生成临时会话密钥,并利用所述临时会话密钥进行用户与车辆之间的双向通信。
2.根据权利要求1所述的方法,其特征在于,在根据所述白名单队列验证所述私钥是否有效之前,还包括:
基于T-Box的接收信道,接收数字钥匙公钥及相应的序号,生成所述白名单队列。
3.根据权利要求2所述的方法,其特征在于,所述数字钥匙公钥由所述用户的数字签名和Hash运算生成。
4.根据权利要求1或2所述的方法,其特征在于,还包括:
接收撤销公钥的序号和空公钥;
基于所述撤销的数字钥匙公钥的序号从所述白名单队列中撤销所述撤销公钥,并填补所述空公钥。
5.根据权利要求1所述的方法,其特征在于,在基于所述身份标识和所述私钥生成所述临时会话密钥之前,还包括:
发送证书签发请求;
接收基于所述证书签发请求生成的下载密钥和下载证书;
基于所述下载密钥和下载证书生成密钥及加密信息。
6.一种基于对称算法的数字证书实现装置,其特征在于,包括:
第一接收模块,用于接收用户发送的身份信息和公钥信息;
计算模块,用于根据所述公钥信息识别所述用户的身份标识,并根据所述身份信息计算所述用户的私钥,其中,所述私钥为基于对称算法的密钥,;以及
通信模块,用于根据白名单队列验证所述私钥是否有效,并在验证有效之后,基于所述身份标识和所述私钥生成临时会话密钥,并利用所述临时会话密钥进行用户与车辆之间的双向通信。
7.根据权利要求6所述的装置,其特征在于,在根据所述白名单队列验证所述私钥是否有效之前,所述通信模块,还用于:
基于T-Box的接收信道,接收数字钥匙公钥及相应的序号,生成所述白名单队列。
8.根据权利要求2所述的方法,其特征在于,所述数字钥匙公钥由所述用户的数字签名和Hash运算生成。
9.一种电子设备,其特征在于,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序,以实现如权利要求1-5任一项所述的基于对称算法的数字证书实现方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行,以用于实现如权利要求1-5任一项所述的基于对称算法的数字证书实现方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210209667.7A CN114448644B (zh) | 2022-03-04 | 2022-03-04 | 基于对称算法的数字证书实现方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210209667.7A CN114448644B (zh) | 2022-03-04 | 2022-03-04 | 基于对称算法的数字证书实现方法、装置、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114448644A true CN114448644A (zh) | 2022-05-06 |
| CN114448644B CN114448644B (zh) | 2024-06-04 |
Family
ID=81360035
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210209667.7A Active CN114448644B (zh) | 2022-03-04 | 2022-03-04 | 基于对称算法的数字证书实现方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114448644B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114821867A (zh) * | 2022-06-08 | 2022-07-29 | 润芯微科技(江苏)有限公司 | 基于mcu及无线通信模组实现数字钥匙的方法及系统 |
| CN117082520A (zh) * | 2023-10-13 | 2023-11-17 | 武汉信安珞珈科技有限公司 | 数字证书处理方法、装置、电子设备及存储介质 |
| WO2024138547A1 (zh) * | 2022-12-29 | 2024-07-04 | 华为技术有限公司 | 车载设备的升级方法及设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101594228A (zh) * | 2009-07-02 | 2009-12-02 | 西安电子科技大学 | 证书公钥系统与身份公钥系统之间的认证加密方法 |
| CN108347417A (zh) * | 2017-01-24 | 2018-07-31 | 华为技术有限公司 | 一种网络认证方法、用户设备、网络认证节点及系统 |
| CN110086608A (zh) * | 2019-03-21 | 2019-08-02 | 深圳壹账通智能科技有限公司 | 用户认证方法、装置、计算机设备及计算机可读存储介质 |
| CN110598422A (zh) * | 2019-08-01 | 2019-12-20 | 浙江葫芦娃网络集团有限公司 | 一种基于移动数字证书的可信身份验证系统及方法 |
| CN111342955A (zh) * | 2018-12-19 | 2020-06-26 | 北京沃东天骏信息技术有限公司 | 一种通信方法及其设备、计算机存储介质 |
| US20210367767A1 (en) * | 2020-05-21 | 2021-11-25 | Marvell Asia Pte. Ltd. | Methods and systems for secure network communication |
| CN113852632A (zh) * | 2021-09-24 | 2021-12-28 | 北京明朝万达科技股份有限公司 | 基于sm9算法的车辆身份认证方法、系统、装置及存储介质 |
-
2022
- 2022-03-04 CN CN202210209667.7A patent/CN114448644B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101594228A (zh) * | 2009-07-02 | 2009-12-02 | 西安电子科技大学 | 证书公钥系统与身份公钥系统之间的认证加密方法 |
| CN108347417A (zh) * | 2017-01-24 | 2018-07-31 | 华为技术有限公司 | 一种网络认证方法、用户设备、网络认证节点及系统 |
| CN111342955A (zh) * | 2018-12-19 | 2020-06-26 | 北京沃东天骏信息技术有限公司 | 一种通信方法及其设备、计算机存储介质 |
| CN110086608A (zh) * | 2019-03-21 | 2019-08-02 | 深圳壹账通智能科技有限公司 | 用户认证方法、装置、计算机设备及计算机可读存储介质 |
| CN110598422A (zh) * | 2019-08-01 | 2019-12-20 | 浙江葫芦娃网络集团有限公司 | 一种基于移动数字证书的可信身份验证系统及方法 |
| US20210367767A1 (en) * | 2020-05-21 | 2021-11-25 | Marvell Asia Pte. Ltd. | Methods and systems for secure network communication |
| CN113852632A (zh) * | 2021-09-24 | 2021-12-28 | 北京明朝万达科技股份有限公司 | 基于sm9算法的车辆身份认证方法、系统、装置及存储介质 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114821867A (zh) * | 2022-06-08 | 2022-07-29 | 润芯微科技(江苏)有限公司 | 基于mcu及无线通信模组实现数字钥匙的方法及系统 |
| WO2024138547A1 (zh) * | 2022-12-29 | 2024-07-04 | 华为技术有限公司 | 车载设备的升级方法及设备 |
| CN117082520A (zh) * | 2023-10-13 | 2023-11-17 | 武汉信安珞珈科技有限公司 | 数字证书处理方法、装置、电子设备及存储介质 |
| CN117082520B (zh) * | 2023-10-13 | 2024-01-09 | 武汉信安珞珈科技有限公司 | 数字证书处理方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114448644B (zh) | 2024-06-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112491846B (zh) | 一种跨链的区块链通信方法及装置 | |
| CN114448644B (zh) | 基于对称算法的数字证书实现方法、装置、设备及介质 | |
| WO2019083440A2 (zh) | 一种车载设备升级方法及相关设备 | |
| CN112913189B (zh) | 一种ota升级方法及装置 | |
| US9698984B2 (en) | Re-encrypted data verification program, re-encryption apparatus and re-encryption system | |
| CN112015455B (zh) | 固件升级方法、装置、电子设备和存储介质 | |
| US11870891B2 (en) | Certificateless public key encryption using pairings | |
| CN109800588B (zh) | 条码动态加密方法及装置、条码动态解密方法及装置 | |
| CN112104453B (zh) | 一种基于数字证书的抗量子计算数字签名系统及签名方法 | |
| CN111130777B (zh) | 一种用于短效证书的签发管理方法和系统 | |
| US9813386B2 (en) | Cooperation service providing system and server apparatus | |
| CN106972924B (zh) | 加密、解密、电子签章、验证签章的方法及装置 | |
| CN111264045B (zh) | 基于异构身份的交互系统及方法 | |
| KR101516114B1 (ko) | 인증서 기반 프록시 재암호화 방법 및 이를 위한 시스템 | |
| Ravi et al. | Authentication protocol for secure automotive systems: Benchmarking post-quantum cryptography | |
| KR102266654B1 (ko) | Mqtt-sn 프로토콜의 보안을 위한 mqtt-sn 보안 관리 방법 및 시스템 | |
| CN117435226B (zh) | 车载电子控制单元的数据刷写方法、设备及存储介质 | |
| CN113079511A (zh) | 车辆之间信息共享的方法、设备、车辆和存储介质 | |
| WO2015008623A1 (ja) | 鍵保管装置、鍵保管方法、及びそのプログラム | |
| EP3970316A1 (en) | Implementation of a butterfly key expansion scheme | |
| CN114285580B (zh) | 一种从无证书到公钥基础设施的在线离线签密方法 | |
| CN113206745B (zh) | 一种数字证书管理方法和装置 | |
| JP7377495B2 (ja) | 暗号システム及び方法 | |
| CN118282778B (zh) | 多元算力底座中算力节点的密钥管理方法、数据传输方法及系统 | |
| CN111835508B (zh) | 一种密钥分配部署方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |