CN114500064B - 一种通信安全验证方法、装置、存储介质及电子设备 - Google Patents
一种通信安全验证方法、装置、存储介质及电子设备 Download PDFInfo
- Publication number
- CN114500064B CN114500064B CN202210115315.5A CN202210115315A CN114500064B CN 114500064 B CN114500064 B CN 114500064B CN 202210115315 A CN202210115315 A CN 202210115315A CN 114500064 B CN114500064 B CN 114500064B
- Authority
- CN
- China
- Prior art keywords
- data
- random number
- check value
- master station
- encrypted data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims abstract description 158
- 238000012795 verification Methods 0.000 title claims abstract description 89
- 238000000034 method Methods 0.000 title claims abstract description 69
- 230000015654 memory Effects 0.000 claims description 25
- 238000012545 processing Methods 0.000 claims description 10
- 238000004364 calculation method Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 101100289995 Caenorhabditis elegans mac-1 gene Proteins 0.000 description 4
- 239000007787 solid Substances 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种通信安全验证方法、装置、存储介质及电子设备,当与所述数据主站建立通信连接时,向所述安全芯片发送加密指令,使得所述安全芯片在接收到所述加密指令时生成一随机数并利用所述安全芯片的密钥对所述随机数进行加密得到加密数据以及利用第一主控密钥计算所述随机数和所述加密数据组合后对应的第一校验值;获取所述随机数、所述加密数据和所述第一校验值并上传至数据主站,使得所述数据主站根据获取到的数据值进行通信通道安全校验。该方法在安全芯片中设置多个安全密钥,不易破解,增加了通信安全;利用安全芯片产生随机数来验证通信通道的安全,验证方法简单且安全;将校验值一起上传至数据主站,保证了数据的完整性。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种通信安全验证方法、装置、存储介质及电子设备。
背景技术
目前,燃气表中燃气方案板使用MCU内的AES模块实现数据加密,这种加密方法需要在MCU内实现代码完成加密算法,密钥信息保存在MCU的片内或片外flash中,密钥泄露风险极大,且燃气表在实际应用中存在数据上行和指令下行两种数据传输场景,这两种场景在传输燃气表的数据时会经过公网,数据易被第三方破解,从而被用于篡改操作,这给燃气表的正常运营带来了极大隐患。
发明内容
有鉴于此,本发明实施例提供了涉及一种通信安全验证方法、装置、存储介质及电子设备,以解决现有技术中密钥泄露风险极大且数据经过公网易被第三方破解的技术问题。
本发明提出的技术方案如下:
本发明实施例第一方面提供一种通信安全验证方法,用于设备中的控制器,所述设备集成有安全芯片,所述安全芯片与所述控制器连接,所述控制器与用于与数据主站通信的通信模块连接;该通信安全验证方法包括:当与所述数据主站建立通信连接时,向所述安全芯片发送加密指令,使得所述安全芯片在接收到所述加密指令时生成一随机数并利用所述安全芯片的密钥对所述随机数进行加密得到加密数据以及利用第一主控密钥计算所述随机数和所述加密数据组合后对应的第一校验值;获取所述随机数、所述加密数据和所述第一校验值;将所述随机数、所述加密数据和所述第一校验值通过通信模块上传至数据主站,使得所述数据主站根据获取到的所述随机数、所述加密数据和所述第一校验值进行通信通道安全校验。
可选地,所述方法还包括:当接收到待传输的业务数据时,控制所述通信模块与所述数据主站建立通信连接;重复所述向所述安全芯片发送加密指令,使得所述安全芯片在接收到所述加密指令时生成一随机数并利用所述安全芯片的密钥对所述随机数进行加密得到加密数据以及利用第一主控密钥计算所述随机数和所述加密数据组合后对应的第一校验值以及所述获取所述随机数、所述加密数据和所述第一校验值的步骤;将所述业务数据、所述随机数、所述加密数据和所述第一校验值通过通信模块上传至数据主站,使得所述数据主站根据获取到的所述随机数、所述加密数据和所述第一校验值进行通信通道安全校验,并在验证通过时保留本次接收到的所述业务数据。
可选地,将所述随机数、所述加密数据和所述第一校验值通过通信模块上传至数据主站,使得所述数据主站根据获取到的所述随机数、所述加密数据和所述第一校验值进行通信通道安全校验之后,所述方法还包括:当所述通信通道安全,根据预设业务密钥对获取到的业务数据进行加密并计算第三校验值;将所述业务数据和所述第三校验值上传至数据主站;当所述通信通道不安全,丢弃所述通信通道。
可选地,将所述业务数据和所述第三校验值上传至数据主站之后,所述方法还包括:根据接收到的断开通信指令响应与所述数据主站的通信断开操作。
可选地,将所述业务数据、所述随机数、所述加密数据和所述第一校验值通过通信模块上传至数据主站,使得所述数据主站根据获取到的所述随机数、所述加密数据和所述第一校验值进行通信通道安全校验之后,所述方法还包括:当验证未通过,丢弃所述通信通道和所述业务数据。
本发明实施例第二方面提供一种通信安全验证方法,用于数据主站,所述数据主站通过设备中的通信模块与设备中的控制器建立通道连接,并预先配置有第二主控密钥,所述设备集成有安全芯片,所述安全芯片预先配置有用于进行数据加密的密钥和第一主控密钥;该通信安全验证方法包括:当接收到所述控制器发送的随机数、加密数据和第一校验值,根据所述第二主控密钥计算所述随机数和所述加密数据组合后对应的第二校验值,其中所述加密数据为利用所述安全芯片的密钥对所述随机数进行加密得到,所述第一校验值为通过第一主控密钥对所述随机数和所述加密数据的组合进行计算后生成,所述第二主控密钥与所述第一主控密钥相同;将所述第二校验值与所述第一校验值进行比对;当比对结果满足要求,则根据与所述公钥对应的私钥对所述加密数据进行解密得到解密数据;将所述解密数据与所述随机数进行比对;当比对结果一致则判定所述通道安全。
本发明实施例第三方面提供一种通信安全验证装置,用于设备中的控制器,所述设备集成有安全芯片,所述安全芯片与所述控制器连接,所述控制器与用于与数据主站通信的通信模块连接;该通信安全验证装置包括:处理模块,用于当与所述数据主站建立通信连接时,向所述安全芯片发送加密指令,使得所述安全芯片在接收到所述加密指令时生成一随机数并利用所述安全芯片的密钥对所述随机数进行加密得到加密数据以及利用第一主控密钥计算所述随机数和所述加密数据组合后对应的第一校验值;获取模块,用于获取所述随机数、所述加密数据和所述第一校验值;校验模块,用于将所述随机数、所述加密数据和所述第一校验值通过通信模块上传至数据主站,使得所述数据主站根据获取到的所述随机数、所述加密数据和所述第一校验值进行通信通道安全校验。
本发明实施例第四方面提供一种通信安全验证装置,用于数据主站,所述数据主站通过设备中的通信模块与设备中的控制器建立通道连接,并预先配置有第二主控密钥,所述设备集成有安全芯片,所述安全芯片预先配置有用于进行数据加密的密钥和第一主控密钥;该通信安全验证装置包括:计算模块,用于当接收到所述控制器发送的随机数、加密数据和第一校验值,根据所述第二主控密钥计算所述随机数和所述加密数据组合后对应的第二校验值,其中所述加密数据为利用所述安全芯片的密钥对所述随机数进行加密得到,所述第一校验值为通过第一主控密钥对所述随机数和所述加密数据的组合进行计算后生成,所述第二主控密钥与所述第一主控密钥相同;第一比对模块,用于将所述第二校验值与所述第一校验值进行比对;解密模块,用于当比对结果满足要求,则根据所述密钥对所述加密数据进行解密得到解密数据;第二比对模块,用于将所述解密数据数与所述随机数进行比对;判定模块,用于当比对结果一致则判定所述通道安全。
本发明实施例第五方面提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行如本发明实施例第一方面及第一方面任一项所述的通信安全验证方法,或者如本发明实施例第二方面所述的通信安全验证方法。
本发明实施例第六方面提供一种电子设备,包括:存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行如本发明实施例第一方面及第一方面任一项所述的通信安全验证方法,或者如本发明实施例第二方面所述的通信安全验证方法。
本发明提供的技术方案,具有如下效果:
本发明实施例提供的通信安全验证方法,用于设备中的控制器,所述设备集成有安全芯片,所述安全芯片与所述控制器连接,所述控制器与用于与数据主站通信的通信模块连接;当与所述数据主站建立通信连接时,向所述安全芯片发送加密指令,使得所述安全芯片在接收到所述加密指令时生成一随机数并利用所述安全芯片的密钥对所述随机数进行加密得到加密数据以及利用第一主控密钥计算所述随机数和所述加密数据组合后对应的第一校验值;获取所述随机数、所述加密数据和所述第一校验值;将所述随机数、所述加密数据和所述第一校验值通过通信模块上传至数据主站,使得所述数据主站根据获取到的所述随机数、所述加密数据和所述第一校验值进行通信通道安全校验。该方法在安全芯片中设置多个安全密钥,不易破解,增加了通信安全;利用安全芯片产生随机数来验证通信通道的安全,验证方法简单且安全;将校验值一起上传至数据主站,保证了数据的完整性。因此,通过实施本发明,保证了传输的数据不会被截获、篡改,实现了传输数据的机密性和完整性。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例提供的通信安全验证设备的框架图;
图2是根据本发明实施例的通信安全验证方法的流程图;
图3是根据本发明实施例的通信安全验证方法的流程图;
图4是根据本发明实施例的通信安全验证装置的结构框图;
图5是根据本发明实施例的通信安全验证装置的结构框图;
图6是根据本发明实施例提供的计算机可读存储介质的结构示意图;
图7是根据本发明实施例提供的电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种通信安全验证方法,用于设备中的控制器,如图1所示,所述设备集成有安全芯片,所述安全芯片与所述控制器连接,所述控制器与用于与数据主站通信的通信模块连接。其中,安全芯片用于保存数据;数据主站表示为集中式收集、存储、处理和发送数据的设备提供运行维护的设施以及相关的服务体系,和设备通过互联网连接,对设备进行监视、维护、控制,实现对远程设备的集中管控;在一实例中,该设备为燃气表,在该安全芯片中保存四部分数据,包括剩余金额、累计气量和报警参数等业务数据;充值、阀控、读写文件以及业务通信等四把私钥;用户公钥(供燃气表中方案板与数据主站协商密钥使用);二级节点信息(包含二级节点的地址,用于数据主站宕机后,寻址新的数据主站)。如图2所示,该方法包括如下步骤:
步骤S101:当与所述数据主站建立通信连接时,向所述安全芯片发送加密指令,使得所述安全芯片在接收到所述加密指令时生成一随机数并利用所述安全芯片的密钥对所述随机数进行加密得到加密数据以及利用第一主控密钥计算所述随机数和所述加密数据组合后对应的第一校验值。具体地,当设备中的控制器与数据主站建立通信连接时,该控制器向安全芯片发送加密指令,安全芯片在接收到该加密指令之后,首先产生一个随机数R,然后使用该安全芯片的密钥对该产生的随机数R进行加密得到16字节的加密数据ENC(R),然后利用安全芯片内部预先配置的第一主控密钥对R+ENC(R)进行计算得到第一校验值(MAC)。其中,在密码学中,MAC表示通信实体双方使用的一种验证机制,保证消息数据完整性的一种工具;使用该安全芯片的密钥进行加密时可以为利用公钥加密或者利用私钥加密两者中的其中一种,本发明不做具体限定,只要满足需求即可。
步骤S102:获取所述随机数、所述加密数据和所述第一校验值。具体地,在计算得到第一校验值(MAC)之后,该控制器获取安全芯片中的随机数R、加密数据ENC(R)以及第一校验值(MAC)。
步骤S103:将所述随机数、所述加密数据和所述第一校验值通过通信模块上传至数据主站,使得所述数据主站根据获取到的所述随机数、所述加密数据和所述第一校验值进行通信通道安全校验。具体地,当控制器获取到安全芯片中的随机数R、加密数据ENC(R)以及第一校验值(MAC)之后,该控制器通过通信模块(如CAT通信模块)将R、ENC(R)和MAC值一起上传至数据主站,然后该数据主站通过这些数据值对该通信通道进行安全校验。
本发明实施例提供的通信安全验证方法,该方法在安全芯片中设置多个安全密钥,不易破解,增加了通信安全;利用安全芯片产生随机数来验证通信通道的安全,验证方法简单且安全;将校验值一起上传至数据主站,保证了数据的完整性。因此,通过实施本发明,保证了传输的数据不会被截获,篡改,实现了传输数据的机密性和完整性。
作为本发明实施例一种可选的实施方式,所述方法还包括:当接收到待传输的业务数据时,控制所述通信模块与所述数据主站建立通信连接;重复所述向所述安全芯片发送加密指令,使得所述安全芯片在接收到所述加密指令时生成一随机数并利用所述安全芯片的密钥对所述随机数进行加密得到加密数据以及利用第一主控密钥计算所述随机数和所述加密数据组合后对应的第一校验值以及所述获取所述随机数、所述加密数据和所述第一校验值的步骤;将所述业务数据、所述随机数、所述加密数据和所述第一校验值通过通信模块上传至数据主站,使得所述数据主站根据获取到的所述随机数、所述加密数据和所述第一校验值进行通信通道安全校验,并在验证通过时保留本次接收到的所述业务数据。
具体地,当控制器接收到待传输的业务数据时,首先控制对应的通信模块与数据主站之间建立通信连接,然后向安全芯片发送加密指令使得该安全芯片完成加密操作和校验值计算,具体的加密方法和计算方法参考步骤S101中的加密方法和计算方法,此处不再赘述。完成加密之后,控制器获取对应的数据值并与接收到的待传输的业务数据一起上传至数据主站,并利用这些数据值在该数据主站中对该通信通道进行安全校验,并在验证通过时在该数据主站中保留该业务数据。
当验证未通过,丢弃所述通信通道和所述业务数据。具体地,当验证未通过,则表明该通信通道不安全,该数据主站接收到的业务数据与该控制器中接收到的待传输的业务数据不一致,即该业务数据在传输过程中被篡改或丢失,因此,丢弃该通信通道和该业务数据。
作为本发明实施例一种可选的实施方式,步骤S103之后,所述方法还包括:当所述通信通道安全,根据预设业务密钥对获取到的业务数据进行加密并计算第三校验值;将所述业务数据和所述第三校验值上传至数据主站;当所述通信通道不安全,丢弃所述通信通道。具体地,当在数据主站中验证得到该通信通道安全时,则根据该控制器中预先配置的业务密钥对该控制器获取的业务数据进行加密并利用对应的第一主控密钥计算得到该业务数据对应的第三校验值,具体的加密方法和计算方法参考步骤S101中的加密方法和计算方法,此处不再赘述。然后将该业务数据和得到的第三校验值一起上传至数据主站,完成通信。相反的,当在数据主站中验证得到该通信通道不安全时,表明该通信通道不可用于业务数据传输,因此直接丢弃该对应的通信通道。其中,利用预设业务密钥对业务数据进行加密时,该业务密钥与业务数据相对应;业务密钥用于保证不同业务数据的安全,而且,每一种业务密钥都分别具备加密密钥和验证密钥,其中,加密密钥用于加密数据以保证业务数据的机密性(加密成密文),验证密钥用于保证业务数据的完整性(防止篡改);第一主控密钥用于保护业务密钥。
在一实例中,当设备为燃气表时,该业务密钥包括充值/扣款、远程阀控、参数读写、更新密钥等。
作为本发明实施例一种可选的实施方式,将该业务数据和第三校验值上传至数据主站之后,当该控制器接收到该数据主站发送的断开通信指令时,响应与该数据主站的通信断开操作。具体地,数据主站为了保证接收到的数据的真实性,可以设置一预设间隔时长,当数据主站在预设间隔时长内未收到数据,即向设备发送断开通信指令。
本发明实施例还提供一种通信安全验证方法,用于数据主站,如图1所示,所述数据主站通过设备中的通信模块与设备中的控制器建立通道连接,并预先配置有第二主控密钥,所述设备集成有安全芯片,所述安全芯片预先配置有用于进行数据加密的密钥和第一主控密钥;如图3所示,该方法包括如下步骤:
步骤S201:当接收到所述控制器发送的随机数、加密数据和第一校验值,根据所述第二主控密钥计算所述随机数和所述加密数据组合后对应的第二校验值,其中所述加密数据为利用所述安全芯片的密钥对所述随机数进行加密得到,所述第一校验值为通过第一主控密钥对所述随机数和所述加密数据的组合进行计算后生成,所述第二主控密钥与所述第一主控密钥相同。具体地,首先利用安全芯片产生一个随机数R,然后使用该安全芯片的公钥对该产生的随机数R进行加密得到16字节的加密数据ENC(R),然后利用安全芯片内部预先配置的第一主控密钥对R+ENC(R)进行计算得到第一校验值(MAC),当数据主站接收到这些数据值时,数据主站利用预先配置的第二主控密钥再次对接收到的随机数进行加密并得到第二校验值(MAC1)。其中第二主控密钥与第一主控密钥为相同的主控密钥,只是配置在不同模块中。
步骤S202:将所述第二校验值与所述第一校验值进行比对。具体地,当在数据主站计算得到第二校验值(MAC1)之后,将该第二校验值与接收到的第一校验值进行比较,用于对该通道进行第一次校验。
步骤S203:当比对结果满足要求,则根据所述密钥对所述加密数据进行解密得到解密数据。具体地,当第二校验值(MAC1)与第一校验值(MAC)相等即满足要求时,则表明该数据主站接收到的数据没有被劫持或篡改,此时还不能完全验证该通道的安全性,还需要再利用该密钥对数据ENC(R)进行解密并得到对应的解密数据。相反的,当第二校验值(MAC1)与第一校验值(MAC)不相等即不满足要求时,则表明该数据主站接收到的数据被劫持或篡改,即该通道是不安全的,此时直接丢弃该通道。其中,使用密钥进行解密时可以为利用公钥解密或者利用私钥解密两者中的其中一种,本发明不做具体限定,只要与步骤S101中加密操作时使用的密钥相对应即可,该密钥预先配置在数据主站中,与安全芯片中的密钥相同。
步骤S204:将所述解密数据与所述随机数进行比对。具体地,在得到解密数据之后,将该解密数据与接收到的随机数进行比对,用于对该通道进行第二次校验。
步骤S205:当比对结果一致则判定所述通道安全。具体地,当解密数据与接收到的随机数一致时,则表明该通道时合法且安全的。相反的,当解密数据与接收到的随机数不一致时,则表明该通道不安全,直接丢弃该通道。
本发明实施例提供的通信安全验证方法,该方法在数据主站中对接收到的数据值进行校验与比对,并根据校验与比对结果验证该通道是否安全,使用一次数据包即完成了数据安全验证,简单且安全。
本发明实施例还提供一种通信安全验证装置,用于设备中的控制器,所述设备集成有安全芯片,所述安全芯片与所述控制器连接,所述控制器与用于与数据主站通信的通信模块连接;如图4所示,该装置包括:
处理模块401,用于当与所述数据主站建立通信连接时,向所述安全芯片发送加密指令,使得所述安全芯片在接收到所述加密指令时生成一随机数并利用所述安全芯片的密钥对所述随机数进行加密得到加密数据以及利用第一主控密钥计算所述随机数和所述加密数据组合后对应的第一校验值;详细内容参见上述方法实施例中步骤S101的相关描述。
获取模块402,用于获取所述随机数、所述加密数据和所述第一校验值;详细内容参见上述方法实施例中步骤S102的相关描述。
校验模块403,用于将所述随机数、所述加密数据和所述第一校验值通过通信模块上传至数据主站,使得所述数据主站根据获取到的所述随机数、所述加密数据和所述第一校验值进行通信通道安全校验;详细内容参见上述方法实施例中步骤S103的相关描述。
本发明实施例提供的通信安全验证装置,该装置在安全芯片中设置多个安全密钥,不易破解,增加了通信安全;利用安全芯片产生随机数来验证通信通道的安全,验证方法简单且安全;将校验值一起上传至数据主站,保证了数据的完整性。因此,通过实施本发明,保证了传输的数据不会被截获,篡改,实现了传输数据的机密性和完整性。
作为本发明实施例一种可选的实施方式,所述装置还包括:控制模块,用于当接收到待传输的业务数据时,控制所述通信模块与所述数据主站建立通信连接;重复处理模块,用于重复所述向所述安全芯片发送加密指令,使得所述安全芯片在接收到所述加密指令时生成一随机数并利用所述安全芯片的密钥对所述随机数进行加密得到加密数据以及利用第一主控密钥计算所述随机数和所述加密数据组合后对应的第一校验值以及所述获取所述随机数、所述加密数据和所述第一校验值的步骤;第一校验模块,用于将所述业务数据、所述随机数、所述加密数据和所述第一校验值通过通信模块上传至数据主站,使得所述数据主站根据获取到的所述随机数、所述加密数据和所述第一校验值进行通信通道安全校验,并在验证通过时保留本次接收到的所述业务数据。
作为本发明实施例一种可选的实施方式,所述装置还包括:加密计算模块,用于当所述通信通道安全,根据预设业务密钥对获取到的业务数据进行加密并计算第三校验值;传输模块,用于将所述业务数据和所述第三校验值上传至数据主站;第一丢弃处理模块,用于当所述通信通道不安全,丢弃所述通信通道。
作为本发明实施例一种可选的实施方式,所述装置还包括:响应模块,用于根据接收到的断开通信指令响应与所述数据主站的通信断开操作。
作为本发明实施例一种可选的实施方式,所述装置还包括:第二丢弃处理模块,用于当验证未通过,丢弃所述通信通道和所述业务数据。
本发明实施例提供的通信安全验证装置的功能描述详细参见上述实施例中通信安全验证方法描述。
本发明实施例还提供一种通信安全验证装置,用于数据主站,所述数据主站通过设备中的通信模块与设备中的控制器建立通道连接,并预先配置有第二主控密钥,所述设备集成有安全芯片,所述安全芯片预先配置有用于进行数据加密的密钥和第一主控密钥;如图5所示,该装置包括:
计算模块501,用于当接收到所述控制器发送的随机数、加密数据和第一校验值,根据所述第二主控密钥计算所述随机数和所述加密数据组合后对应的第二校验值,其中所述加密数据为利用所述安全芯片的密钥对所述随机数进行加密得到,所述第一校验值为通过第一主控密钥对所述随机数和所述加密数据的组合进行计算后生成,所述第二主控密钥与所述第一主控密钥相同;详细内容参见上述方法实施例中步骤S201的相关描述。
第一比对模块502,用于将所述第二校验值与所述第一校验值进行比对;详细内容参见上述方法实施例中步骤S202的相关描述。
解密模块503,用于当比对结果满足要求,则根据所述密钥对所述加密数据进行解密得到解密数据;详细内容参见上述方法实施例中步骤S203的相关描述。
第二比对模块504,用于将所述解密数据数与所述随机数进行比对;详细内容参见上述方法实施例中步骤S204的相关描述。
判定模块505,用于当比对结果一致则判定所述通道安全;详细内容参见上述方法实施例中步骤S205的相关描述。
本发明实施例提供的通信安全验证装置,该装置在数据主站中对接收到的数据值进行校验与比对,并根据校验与比对结果验证该通道是否安全,使用一次数据包即完成了数据安全验证,简单且安全。
本发明实施例提供的通信安全验证装置的功能描述详细参见上述实施例中通信安全验证方法描述。
本发明实施例还提供一种存储介质,如图6所示,其上存储有计算机程序601,该指令被处理器执行时实现上述实施例中通信安全验证方法的步骤。该存储介质上还存储有音视频流数据,特征帧数据、交互请求信令、加密数据以及预设数据大小等。其中,存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(RandomAccess Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;所述存储介质还可以包括上述种类的存储器的组合。
本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(RandomAccessMemory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;所述存储介质还可以包括上述种类的存储器的组合。
本发明实施例还提供了一种电子设备,如图7所示,该电子设备可以包括处理器51和存储器52,其中处理器51和存储器52可以通过总线或者其他方式连接,图7中以通过总线连接为例。
处理器51可以为中央处理器(Central Processing Unit,CPU)。处理器51还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器52作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本发明实施例中的对应的程序指令/模块。处理器51通过运行存储在存储器52中的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现上述方法实施例中的通信安全验证方法。
存储器52可以包括存储程序区和存储数据区,其中,存储程序区可存储操作装置、至少一个功能所需要的应用程序;存储数据区可存储处理器51所创建的数据等。此外,存储器52可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器52可选包括相对于处理器51远程设置的存储器,这些远程存储器可以通过网络连接至处理器51。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
所述一个或者多个模块存储在所述存储器52中,当被所述处理器51执行时,执行如图1-3所示实施例中的通信安全验证方法。
上述电子设备具体细节可以对应参阅图1至图3所示的实施例中对应的相关描述和效果进行理解,此处不再赘述。
虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。
Claims (10)
1.一种通信安全验证方法,用于设备中的控制器,所述设备集成有安全芯片,所述安全芯片与所述控制器连接,所述控制器与用于与数据主站通信的通信模块连接;其特征在于,包括如下步骤:
当与所述数据主站建立通信连接时,向所述安全芯片发送加密指令,使得所述安全芯片在接收到所述加密指令时生成一随机数并利用所述安全芯片的密钥对所述随机数进行加密得到加密数据以及利用第一主控密钥计算所述随机数和所述加密数据组合后对应的第一校验值;
获取所述随机数、所述加密数据和所述第一校验值;
将所述随机数、所述加密数据和所述第一校验值通过通信模块上传至数据主站,使得所述数据主站根据第二主控密钥计算所述随机数和所述加密数据组合后对应的第二校验值,并将所述第二校验值与所述第一校验值进行比对,以及当比对结果满足要求,则根据所述安全芯片的密钥对所述加密数据进行解密得到解密数据,并根据比对结果进行通信通道安全校验,所述第二主控密钥预先配置在所述数据主站中,且所述第二主控密钥与所述第一主控密钥相同。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当接收到待传输的业务数据时,控制所述通信模块与所述数据主站建立通信连接;
重复所述向所述安全芯片发送加密指令,使得所述安全芯片在接收到所述加密指令时生成一随机数并利用所述安全芯片的密钥对所述随机数进行加密得到加密数据以及利用第一主控密钥计算所述随机数和所述加密数据组合后对应的第一校验值以及所述获取所述随机数、所述加密数据和所述第一校验值的步骤;
将所述业务数据、所述随机数、所述加密数据和所述第一校验值通过通信模块上传至数据主站,使得所述数据主站根据获取到的所述随机数、所述加密数据和所述第一校验值进行通信通道安全校验,并在验证通过时保留本次接收到的所述业务数据。
3.根据权利要求1所述的方法,其特征在于,将所述随机数、所述加密数据和所述第一校验值通过通信模块上传至数据主站,使得所述数据主站根据获取到的所述随机数、所述加密数据和所述第一校验值进行通信通道安全校验之后,所述方法还包括:
当所述通信通道安全,根据预设业务密钥对获取到的业务数据进行加密并计算第三校验值;
将所述业务数据和所述第三校验值上传至数据主站;
当所述通信通道不安全,丢弃所述通信通道。
4.根据权利要求3所述的方法,其特征在于,将所述业务数据和所述第三校验值上传至数据主站之后,所述方法还包括:
根据接收到的断开通信指令响应与所述数据主站的通信断开操作。
5.根据权利要求2所述的方法,其特征在于,将所述业务数据、所述随机数、所述加密数据和所述第一校验值通过通信模块上传至数据主站,使得所述数据主站根据获取到的所述随机数、所述加密数据和所述第一校验值进行通信通道安全校验之后,所述方法还包括:
当验证未通过,丢弃所述通信通道和所述业务数据。
6.一种通信安全验证方法,用于数据主站,所述数据主站通过设备中的通信模块与设备中的控制器建立通道连接,并预先配置有第二主控密钥,所述设备集成有安全芯片,所述安全芯片预先配置有用于进行数据加密的密钥和第一主控密钥;其特征在于,包括如下步骤:
当接收到所述控制器发送的随机数、加密数据和第一校验值,根据所述第二主控密钥计算所述随机数和所述加密数据组合后对应的第二校验值,其中所述加密数据为利用所述安全芯片的密钥对所述随机数进行加密得到,所述第一校验值为通过第一主控密钥对所述随机数和所述加密数据的组合进行计算后生成,所述第二主控密钥与所述第一主控密钥相同;
将所述第二校验值与所述第一校验值进行比对;
当比对结果满足要求,则根据所述安全芯片中预先配置的所述密钥对所述加密数据进行解密得到解密数据;
将所述解密数据与所述随机数进行比对;
当比对结果一致则判定所述通道安全。
7.一种通信安全验证装置,用于设备中的控制器,所述设备集成有安全芯片,所述安全芯片与所述控制器连接,所述控制器与用于与数据主站通信的通信模块连接;其特征在于,包括:
处理模块,用于当与所述数据主站建立通信连接时,向所述安全芯片发送加密指令,使得所述安全芯片在接收到所述加密指令时生成一随机数并利用所述安全芯片的密钥对所述随机数进行加密得到加密数据以及利用第一主控密钥计算所述随机数和所述加密数据组合后对应的第一校验值;
获取模块,用于获取所述随机数、所述加密数据和所述第一校验值;
校验模块,用于将所述随机数、所述加密数据和所述第一校验值通过通信模块上传至数据主站,使得所述数据主站根据第二主控密钥计算所述随机数和所述加密数据组合后对应的第二校验值,并将所述第二校验值与所述第一校验值进行比对,以及当比对结果满足要求,则根据密钥对所述加密数据进行解密得到解密数据,并根据比对结果进行通信通道安全校验,所述第二主控密钥预先配置在所述数据主站中,且所述第二主控密钥与所述第一主控密钥相同,所述密钥预先配置在所述安全芯片中。
8.一种通信安全验证装置,用于数据主站,所述数据主站通过设备中的通信模块与设备中的控制器建立通道连接,并预先配置有第二主控密钥,所述设备集成有安全芯片,所述安全芯片预先配置有用于进行数据加密的密钥和第一主控密钥;其特征在于,包括:
计算模块,用于当接收到所述控制器发送的随机数、加密数据和第一校验值,根据所述第二主控密钥计算所述随机数和所述加密数据组合后对应的第二校验值,其中所述加密数据为利用所述安全芯片的密钥对所述随机数进行加密得到,所述第一校验值为通过第一主控密钥对所述随机数和所述加密数据的组合进行计算后生成,所述第二主控密钥与所述第一主控密钥相同;
第一比对模块,用于将所述第二校验值与所述第一校验值进行比对;
解密模块,用于当比对结果满足要求,则根据所述安全芯片中预先配置的所述密钥对所述加密数据进行解密得到解密数据;
第二比对模块,用于将所述解密数据数与所述随机数进行比对;
判定模块,用于当比对结果一致则判定所述通道安全。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行如权利要求1-5任一项所述的通信安全验证方法,或者如权利要求6所述的通信安全验证方法。
10.一种电子设备,其特征在于,包括:存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行如权利要求1-5任一项所述的通信安全验证方法,或者如权利要求6所述的通信安全验证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210115315.5A CN114500064B (zh) | 2022-01-30 | 2022-01-30 | 一种通信安全验证方法、装置、存储介质及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210115315.5A CN114500064B (zh) | 2022-01-30 | 2022-01-30 | 一种通信安全验证方法、装置、存储介质及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114500064A CN114500064A (zh) | 2022-05-13 |
| CN114500064B true CN114500064B (zh) | 2024-01-26 |
Family
ID=81478936
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210115315.5A Active CN114500064B (zh) | 2022-01-30 | 2022-01-30 | 一种通信安全验证方法、装置、存储介质及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114500064B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115086062B (zh) * | 2022-06-30 | 2023-08-11 | 三一电动车科技有限公司 | 远程安全控制方法及系统、装置、车辆 |
| CN118051919B (zh) * | 2024-04-16 | 2024-08-06 | 苏州萨沙迈半导体有限公司 | 数据处理方法、芯片、电子设备以及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7457951B1 (en) * | 1999-05-28 | 2008-11-25 | Hewlett-Packard Development Company, L.P. | Data integrity monitoring in trusted computing entity |
| CN102111265A (zh) * | 2011-01-13 | 2011-06-29 | 中国电力科学研究院 | 一种电力系统采集终端的安全芯片加密方法 |
| CN102547686A (zh) * | 2010-12-07 | 2012-07-04 | 中国电信股份有限公司 | M2m终端安全接入方法及终端、管理平台 |
| CN103679062A (zh) * | 2013-12-23 | 2014-03-26 | 上海贝岭股份有限公司 | 智能电表主控芯片和安全加密方法 |
| CN113472792A (zh) * | 2021-07-01 | 2021-10-01 | 北京玩蟹科技有限公司 | 一种长连接网络通信加密方法及系统 |
| CN113905355A (zh) * | 2020-07-06 | 2022-01-07 | 北京亚华意诺斯新能源科技有限公司 | 一种表具安全防护系统、数据传输方法、表具及服务器 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112637161B (zh) * | 2018-09-12 | 2022-07-08 | 宁德时代新能源科技股份有限公司 | 数据传输方法和存储介质 |
-
2022
- 2022-01-30 CN CN202210115315.5A patent/CN114500064B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7457951B1 (en) * | 1999-05-28 | 2008-11-25 | Hewlett-Packard Development Company, L.P. | Data integrity monitoring in trusted computing entity |
| CN102547686A (zh) * | 2010-12-07 | 2012-07-04 | 中国电信股份有限公司 | M2m终端安全接入方法及终端、管理平台 |
| CN102111265A (zh) * | 2011-01-13 | 2011-06-29 | 中国电力科学研究院 | 一种电力系统采集终端的安全芯片加密方法 |
| CN103679062A (zh) * | 2013-12-23 | 2014-03-26 | 上海贝岭股份有限公司 | 智能电表主控芯片和安全加密方法 |
| CN113905355A (zh) * | 2020-07-06 | 2022-01-07 | 北京亚华意诺斯新能源科技有限公司 | 一种表具安全防护系统、数据传输方法、表具及服务器 |
| CN113472792A (zh) * | 2021-07-01 | 2021-10-01 | 北京玩蟹科技有限公司 | 一种长连接网络通信加密方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 一种可控可信的匿名通信方案;吴振强;周彦伟;乔子芮;;计算机学报(第09期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114500064A (zh) | 2022-05-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9668230B2 (en) | Security integration between a wireless and a wired network using a wireless gateway proxy | |
| CN111556025A (zh) | 基于加密、解密操作的数据传输方法、系统和计算机设备 | |
| CN114500064B (zh) | 一种通信安全验证方法、装置、存储介质及电子设备 | |
| CN106878016A (zh) | 数据发送、接收方法及装置 | |
| EP4258593A1 (en) | Ota update method and apparatus | |
| CN110535641B (zh) | 密钥管理方法和装置、计算机设备和存储介质 | |
| KR101608815B1 (ko) | 폐쇄형 네트워크에서 암복호화 서비스 제공 시스템 및 방법 | |
| CN110753321A (zh) | 一种车载tbox与云服务器的安全通信方法 | |
| CN113542428B (zh) | 车辆数据上传方法、装置、车辆、系统及存储介质 | |
| CN110234102B (zh) | 通信方法和设备 | |
| KR20210128418A (ko) | 리소스 요청 방법, 기기 및 저장매체 | |
| CN104735484A (zh) | 一种播放视频的方法及装置 | |
| CN106131008B (zh) | 视音频监控设备及其安全认证方法、视音频展示设备 | |
| CN109309566A (zh) | 一种认证方法、装置、系统、设备及存储介质 | |
| CN109951276A (zh) | 基于tpm的嵌入式设备远程身份认证方法 | |
| CN113141333B (zh) | 入网设备的通信方法、设备、服务器、系统及存储介质 | |
| CN104243452A (zh) | 一种云计算访问控制方法及系统 | |
| CN102045343B (zh) | 基于数字证书的通讯加密安全控制方法、服务器及系统 | |
| CN108650096A (zh) | 一种工业现场总线控制系统 | |
| CN111224958A (zh) | 一种数据传输方法和系统 | |
| CN113434474A (zh) | 基于联邦学习的流量审计方法、设备、存储介质 | |
| CN106487761B (zh) | 一种消息传输方法和网络设备 | |
| CN112995210B (zh) | 一种数据传输方法、装置及电子设备 | |
| CN115396153A (zh) | 一种数据通信方法、计算机设备及存储介质 | |
| CN111431846B (zh) | 数据传输的方法、装置和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |