CN114554486A - 一种信息安全传输的密钥管理方法及系统 - Google Patents
一种信息安全传输的密钥管理方法及系统 Download PDFInfo
- Publication number
- CN114554486A CN114554486A CN202210008072.5A CN202210008072A CN114554486A CN 114554486 A CN114554486 A CN 114554486A CN 202210008072 A CN202210008072 A CN 202210008072A CN 114554486 A CN114554486 A CN 114554486A
- Authority
- CN
- China
- Prior art keywords
- key
- information
- data packet
- check code
- information data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000007726 management method Methods 0.000 title claims abstract description 55
- 230000005540 biological transmission Effects 0.000 title claims abstract description 44
- 238000004364 calculation method Methods 0.000 claims description 16
- 238000000034 method Methods 0.000 claims description 16
- 238000004458 analytical method Methods 0.000 claims description 6
- 238000012795 verification Methods 0.000 claims description 5
- 238000013461 design Methods 0.000 abstract description 7
- 238000004891 communication Methods 0.000 abstract description 4
- 238000012827 research and development Methods 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 4
- 229910002056 binary alloy Inorganic materials 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- ONUFESLQCSAYKA-UHFFFAOYSA-N iprodione Chemical compound O=C1N(C(=O)NC(C)C)CC(=O)N1C1=CC(Cl)=CC(Cl)=C1 ONUFESLQCSAYKA-UHFFFAOYSA-N 0.000 description 2
- 206010039203 Road traffic accident Diseases 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/009—Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/84—Vehicles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种信息安全传输的密钥管理方法及系统,其中信息安全传输的解密管理方法包括以下步骤:从发送单元发送的数据包中获取密钥信息数据包密文,并利用公钥进行解密,得到密钥信息数据包明文;根据密钥信息数据包明文中的密钥库信息字段找到接收单元中对应的密钥库;根据密钥信息数据包明文中的密钥索引信息字段找到密钥库中对应的密钥。本发明双密钥的设计使得不法分子暴力破解密钥的可能性大大降低,最大程度上保障了通信的安全性。同时,不需要额外增加设备,缩短了研发周期、减少采购成本。
Description
技术领域
本发明属于信息传输领域,特别涉及一种信息安全传输的密钥管理方法及系统。
背景技术
在CTCS列控系统中,地面设备编制无线应答器报文消息并进行加密处理,通过无线通信设备将此信息发送给车载设备,保证了信息传输的安全性。但相较于传统的有线传输方式,无线通信设备依托电磁波进行信息传输,这种传输介质的开放性,就导致其更容易被截取,也更容易受到干扰。对于列控系统来说,一旦密钥被破解,将会对列车的行车安全造成极大的影响。
现有的密钥管理技术为车载与地面使用同一固定密钥,可以实现列车运行安全信息的加密传输,但在列车的实际运行过程中,很难防范一些不可控因素导致密钥泄露,从而影响信息传输的可靠性,甚至可能引发大规模的交通事故。因此需要不定时的对密钥进行更换,在现在技术中,通常依靠增加额外设备,使用动态密钥的方式来解决上述问题,极大的增加了成本。而在传统的静态密钥管理方法中,需要人工更换车站密钥。列车在多个车站间运行,需要沿途的车站均使用同一密钥,否则无法完成信息的加解密工作。但由于车站过多,在全国范围内同时更换所有车站的密钥,是一件无法完成的事情。
发明内容
针对上述问题,本发明采用的技术方案是:一种信息安全传输的解密管理方法,包括以下步骤:
从发送单元发送的数据包中获取密钥信息数据包密文,并利用公钥进行解密,得到密钥信息数据包明文;
根据密钥信息数据包明文中的密钥库信息字段找到接收单元中对应的密钥库;
根据密钥信息数据包明文中的密钥索引信息字段找到密钥库中对应的密钥。
可选地,密钥库的数量不少于2个,且每个数据库分别对应有密钥库ID和密钥库版本号。
可选地,密钥信息数据包明文包括密钥库ID字段和密钥库版本号字段;在找到接收单元中对应的密钥库的步骤中,具体为:
根据密钥信息数据包明文中的密钥库ID字段找到接收单元中对应的密钥库;
将找到的接收单元中密钥库的密钥库版本号和密钥信息数据包明文中的密钥库版本号字段进行比对;
若比对结果一致,则根据密钥信息数据包明文中的密钥索引信息字段找到密钥库中对应的密钥。
可选地,密钥信息数据包明文还包括密钥信息校验码字段和私钥校验码字段。
可选地,在根据密钥信息数据包明文中的密钥库信息字段找到接收单元中对应的密钥库的步骤之前,还包括以下步骤:
对密钥信息数据包明文中用于计算密钥信息校验码的对应字段进行计算,得到密钥信息校验码计算值;
对密钥信息数据包明文中的密钥信息校验码字段进行解析,得到密钥信息校验码;
将密钥信息校验码计算值与密钥信息校验码进行比对;
若比对结果一致,则根据密钥信息数据包明文中的密钥库信息字段找到接收单元中对应的密钥库。
可选地,在根据密钥信息数据包明文中的密钥索引信息字段找到密钥库中对应的密钥的步骤之后,还包括以下步骤:
对获取到的密钥库中的密钥进行计算,得到私钥校验码计算值;
对密钥信息数据包明文中的私钥校验码字段进行解析,得到私钥校验码;
将私钥校验码计算值与私钥校验码进行比对;
若比对结果一致,则将找到的密钥作为私钥,对发送单元发送的加密信息数据包进行解密。
可选地,密钥信息校验码和私钥校验码均为信息组校验码。
可选地,若比对结果不一致,则进入故障导向安全侧,接收单元发送报警信息。
以及,一种信息安全传输的解密管理系统,包括:
第一解密模块,用于从发送单元发送的数据包中获取密钥信息数据包,并利用公钥进行解密,得到密钥信息数据包明文;
密钥库获取模块,用于根据密钥信息数据包明文中的密钥库信息字段找到接收单元中对应的密钥库;
密钥索引模块,用于根据密钥信息数据包明文中的密钥索引信息字段找到密钥库中对应的密钥。
可选地,密钥库的数量不少于2个,且每个数据库分别对应有密钥库ID和密钥库版本号。
可选地,密钥信息数据包明文包括密钥库ID字段和密钥库版本号字段;在密钥库获取模块找到接收单元中对应的密钥库时,具体为:
根据密钥信息数据包明文中的密钥库ID字段找到接收单元中对应的密钥库;
将找到的接收单元中密钥库的密钥库版本号和密钥信息数据包明文中的密钥库版本号字段进行比对;
若比对结果一致,则根据密钥信息数据包明文中的密钥索引信息字段找到密钥库中对应的密钥。
可选地,密钥信息数据包明文还包括密钥信息校验码字段和私钥校验码字段。
可选地,所述解密管理系统还包括:
第一计算模块,用于对密钥信息数据包明文中用于计算密钥信息校验码的对应字段进行计算,得到密钥信息校验码计算值;
第一解析模块,用于对密钥信息数据包明文中的密钥信息校验码字段进行解析,得到密钥信息校验码;
密钥信息校验模块,用于将密钥信息校验码计算值与密钥信息校验码进行比对;若比对结果一致,则通过密钥库获取模块根据密钥信息数据包明文中的密钥库信息字段找到接收单元中对应的密钥库。
可选地,所述解密管理系统还包括:
第二计算模块,用于对获取到的密钥库中的密钥进行计算,得到私钥校验码计算值;
第二解析模块,用于对密钥信息数据包明文中的私钥校验码字段进行解析,得到私钥校验码;
私钥校验模块,用于将私钥校验码计算值与私钥校验码进行比对;
第二解密模块,用于在私钥校验模块的比对结果一致时,将找到的密钥作为私钥对发送单元发送的加密信息数据包进行解密。
以及,一种信息安全传输的加密管理方法,包括以下步骤:
从发送单元的密钥库中选择私钥,并利用选择的私钥对待加密信息数据包进行加密;
获取存有私钥的密钥库的密钥库信息以及用于在密钥库中索引找到私钥的密钥索引信息;
根据密钥库信息和密钥索引信息组装密钥信息数据包,形成密钥信息数据包明文;
利用公钥对密钥信息数据包明文进行加密,形成密钥信息数据包密文。
可选地,密钥库的数量不少于2个,且每个数据库分别对应有密钥库ID和密钥库版本号。
可选地,密钥库信息包括密钥库ID和密钥库版本号;
在获取存有私钥的密钥库的密钥库信息的步骤中,包括获取密钥库ID和密钥库版本号。
可选地,在对密钥信息数据包明文进行加密的步骤之前,还包括以下步骤:
根据私钥计算私钥校验码;
将私钥校验码作为密钥信息数据包中的字段组装密钥信息数据包。
可选地,在对密钥信息数据包明文进行加密的步骤之前,还包括以下步骤:
计算待组装的密钥信息数据包的密钥信息校验码;
将密钥信息校验码作为密钥信息数据包中的字段组装密钥信息数据包。
以及,一种信息安全传输的加密管理系统,包括:
第一加密模块,用于利用从发送单元的密钥库中选择的私钥对待加密信息数据包进行加密;
信息获取模块,用于获取存有私钥的密钥库的密钥库信息以及用于在密钥库中索引找到私钥的密钥索引信息;
数据包组装模块,用于根据密钥库信息和密钥索引信息组装密钥信息数据包,形成密钥信息数据包明文;
第二加密模块,用于利用公钥对密钥信息数据包明文进行加密,形成密钥信息数据包密文。
可选地,密钥库的数量不少于2个,且每个数据库分别对应有密钥库ID和密钥库版本号。
可选地,所述信息获取模块获取的密钥库信息包括密钥库ID和密钥库版本号。
可选地,所述加密管理系统还包括:
私钥校验码计算模块,用于根据私钥计算私钥校验码,并将私钥校验码作为密钥信息数据包中的字段组装密钥信息数据包。
可选地,所述加密管理系统还包括:
密钥信息校验码计算模块,用于计算待组装的密钥信息数据包的密钥信息校验码,并将密钥信息校验码作为密钥信息数据包中的字段组装密钥信息数据包。
本发明由于采用上述技术方案,使其具有以下有益效果:双密钥的设计使得不法分子暴力破解密钥的可能性大大降低,最大程度上保障了通信的安全性。同时,不需要额外增加设备,缩短了研发周期、减少采购成本。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所指出的结构来实现和获得。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了根据本发明实施例中车载单元双密钥库设计示意图;
图2示出了根据本发明实施例的加密管理流程图;
图3示出了根据本发明实施例的车地密钥交互流程图;
图4示出了根据本发明实施例的解密管理中私钥获取流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地说明,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例应用于轨道交通领域,发送单元和接收单元分别对应地面设备和车载单元。采用双密钥设计,区分公钥和私钥。其中,公钥用于对地面设备发送的数据包中的密钥信息数据包进行加解密操作,私钥用于对地面设备发送的其他加密信息数据包进行加解密操作。
如图2示出的加密管理流程图,本发明实施例的面向轨道交通信息安全传输的加密管理方法包括以下步骤:
S11:从发送单元的密钥库中选择私钥,并利用选择的私钥对待加密信息数据包进行加密。
在本技术方案中,对于每一个车站地面设备来说,密钥库只有一个,但是对于所有车站来说,是允许存在多个密钥库的,即两个不同的车站(如车站A和车站B)之间可以存在不同的密钥库,但车载单元上必须兼容车站A和车站B的密钥库,因此车载单元上存在多个密钥库。在本实施例中,车载单元中存在两个密钥库,因此地面设备之间可在该两个密钥库之间任意选择,保证了密钥更换的灵活性与安全性。
S12:获取存有私钥的密钥库的密钥库信息以及用于在密钥库中索引找到私钥的密钥索引信息。
其中,密钥库信息包括密钥库ID、密钥库版本号,且在本实施例中,密钥库ID、密钥索引信息和密钥库版本号统称为私钥三元组信息。
S13:根据私钥计算私钥校验码。
S14:计算待组装的密钥信息数据包的密钥信息校验码。
在步骤S13和步骤S14中,私钥校验码和密钥信息校验码均采用BCC校验码(BlockCheck Character/信息组校验码,又称异或校验法),指将所有数据与一个指定初值依次异或,最终得到的结果即为校验值,接收方收到数据后,重新计算一次异或检验码,用于校验收到数据的完整性。
例如,对于数据a1,a2,a3,......,an来说,若初值为a0,则通过BCC异或校验法得到的校验值Vbcc有:
即,在步骤S13和步骤S14中,在私钥以及待组装的密钥信息数据包中选择合适的数据进行异或运算得到私钥校验码和密钥信息校验码。
例如:若私钥为0x12,0x34,0x56,0x78,0x90,0xAB,0xCD,0xEF;
则计算的私钥BCC校验码为0x11。计算过程为:将私钥的十六进制转换为二进制,例0x12=00010010,0x34=00110100,然后对二进制按位进行运算,至此完成一次异或运算,之后再用上一次运算的结果0x26与0x56进行异或运算,以此类推直至结束,得到最终结果00010001,即0x11。
在本实施例中,选用密钥库ID、密钥索引信息、密钥库版本号和私钥BBC校验码这四个字段的数据进行依次异或运算,得到的值作为密钥信息校验码,用于在后续解密过程中对密钥信息进行校验。
S15:将密钥库ID、密钥索引信息、密钥库版本号、私钥BCC校验码、密钥信息BCC校验码作为字段组装密钥信息数据包,形成密钥信息数据包明文。
S16:利用公钥对密钥信息数据包明文进行加密,形成密钥信息数据包密文。
密钥信息数据包明文的格式具体如下表1所示:
序号 | 字段 | 长度 | 说明 |
1 | 密钥库ID | 1字节 | 密钥库标识码(0~255) |
2 | 密钥索引 | 1字节 | 目标密钥在密钥库中的索引(0~255) |
3 | 密钥库版本号 | 3字节 | 密钥库版本号VA.B.C |
4 | 私钥BCC校验码 | 1字节 | 本站密钥计算得出的BCC校验码 |
5 | 密钥信息BCC校验码 | 1字节 | 前四个字段计算得出的BCC校验码 |
表1
S17:将加密信息数据包和密钥信息数据包密文打包成由地面设备发送至车载单元的一个数据包。
根据上述步骤完成信息的加密工作,以进行信息的安全传输。且在本方案中,可在密钥库中选择不同的密钥作为私钥对待加密信息数据包进行加密处理,更大程度上的保证了密钥更换的灵活性与安全性,从而可在列车正常运行的同时完成了密钥的更换,短时间内可以完成全国范围内密钥更换的难点。且不同站点之间密钥的更换是相对独立的,不互相影响,允许列控系统在较长的一段时间内完成一轮密钥更换。
对应于上述加密管理方法的实施例,结合图3示出的车地密钥交互流程图,本发明实施例的面向轨道交通信息安全传输的解密管理方法包括以下步骤:
判断车载单元与地面设备是否是第一次建立连接。
若是,则获取私钥并调用;
若不是,则使用此前第一次建立连接时获取的私钥对地面设备发送的数据包中的加密信息数据包进行解密。
如图4示出的解密管理中私钥获取流程图,其中,获取私钥包括以下步骤:
S21:从地面设备发送的数据包中获取密钥信息数据包密文,并利用公钥进行解密,得到密钥信息数据包明文。
其中,密钥信息数据包明文包括密钥库ID字段、密钥索引信息字段、密钥库版本号字段、私钥校验码字段以及密钥信息校验码字段。
且在本实施例中,私钥校验码和密钥信息校验码均采用BCC校验码(Block CheckCharacter/信息组校验码,又称异或校验法),指将所有数据与一个指定初值依次异或,最终得到的结果即为校验值,接收方收到数据后,重新计算一次异或检验码,用于校验收到数据的完整性。
例如,对于数据a1,a2,a3,……,an来说,若初值为a0,则通过BCC异或校验法得到的校验值Vbcc有:
密钥信息数据包明文的格式具体如下表2所示:
序号 | 字段 | 长度 | 说明 |
1 | 密钥库ID | 1字节 | 密钥库标识码(0~255) |
2 | 密钥索引 | 1字节 | 目标密钥在密钥库中的索引(0~255) |
3 | 密钥库版本号 | 3字节 | 密钥库版本号VA.B.C |
4 | 私钥BCC校验码 | 1字节 | 本站密钥计算得出的BCC校验码 |
5 | 密钥信息BCC校验码 | 1字节 | 前四个字段计算得出的BCC校验码 |
表2
S22:对得到的密钥信息数据包明文进行校验,具体为:
S221:对密钥信息数据包明文中用于计算密钥信息校验码的对应字段(即上表中的前四个序号的字段)进行计算,得到密钥信息BCC校验码计算值;
S222:对密钥信息数据包明文中的密钥信息BCC校验码字段进行解析,得到密钥信息BCC校验码;
S223:将密钥信息BCC校验码计算值与密钥信息BCC校验码进行比对;
若比对结果一致,则执行步骤S23;
若比对结果不一致,则执行步骤S26。
S23:根据密钥信息数据包明文中的密钥库信息字段找到车载单元中对应的密钥库。
密钥库的数量不少于2个,因此可以兼容跨密钥库的密钥更换,且每个数据库分别对应有密钥库ID和密钥库版本号,如图1示出的车载单元双密钥库设计示意图,在本实施例中,采用双密钥库设计。
由于密钥信息数据包中仅含有可以唯一标识某一密钥库中某条密钥的信息,而不包含密钥本身,即使不法分子暴力穷举了公钥,正确解密了密钥信息数据包,采用双密钥库设计,由于密钥库的多变性,也难以获取到其他数据包的加密密钥。因此,可以在很大程度上减少密钥泄露引发的行车危害。采用双保险设定,能够更好的防范恶意攻击,保证信息传输的安全性。
在执行步骤S23时,具体包括以下几个步骤:
S231:根据密钥信息数据包明文中的密钥库ID字段找到车载单元中对应的密钥库;
S232:将找到的车载单元中密钥库的密钥库版本号和密钥信息数据包明文中的密钥库版本号字段进行比对;
若比对结果一致,则执行步骤S24;
若比对结果不一致,则执行步骤S26。
S24:根据密钥信息数据包明文中的密钥索引信息字段找到密钥库中对应的密钥A,例如为密钥库(ID:A,版本号:VA.B.C)中的密钥1。
S25:对得到的密钥A进行校验,具体为:
S251:对获取到的密钥库中的密钥进行计算,得到私钥BCC校验码计算值;
S252:对密钥信息数据包明文中的私钥BCC校验码字段进行解析,得到私钥BCC校验码;
S253:将私钥BCC校验码计算值与私钥BCC校验码进行比对;
若比对结果一致,则将找到的密钥A作为私钥,对地面设备发送的其他加密信息数据包进行解密;
若比对结果不一致,则执行步骤S26。
S26:列车导向故障安全侧,车载单元发送报警信息。
基于上述加密管理方法的实施例,进一步提供一种信息安全传输的加密管理系统的实施例,包括:
第一加密模块,用于利用从发送单元的密钥库中选择的私钥对待加密信息数据包进行加密。
信息获取模块,用于获取存有私钥的密钥库的密钥库信息以及用于在密钥库中索引找到私钥的密钥索引信息;其中,密钥库信息包括密钥库ID和密钥库版本号。
数据包组装模块,用于根据密钥库信息和密钥索引信息组装密钥信息数据包,形成密钥信息数据包明文。
私钥校验码计算模块,用于根据私钥计算私钥校验码,并将私钥校验码作为密钥信息数据包中的字段组装密钥信息数据包。
密钥信息校验码计算模块,用于计算待组装的密钥信息数据包的密钥信息校验码,并将密钥信息校验码作为密钥信息数据包中的字段组装密钥信息数据包。
第二加密模块,用于利用公钥对密钥信息数据包明文进行加密,形成密钥信息数据包密文。
上述结构模块间的具体执行步骤如本发明实施例的加密管理方法,在此不再多加赘述。
基于上述解密管理方法的实施例,进一步提供一种信息安全传输的解密管理系统的实施例,包括:
第一解密模块,用于从发送单元发送的数据包中获取密钥信息数据包,并利用公钥进行解密,得到密钥信息数据包明文。
密钥库获取模块,用于根据密钥信息数据包明文中的密钥库信息字段找到接收单元中对应的密钥库;密钥库获取模块在运行时具体如下:根据密钥信息数据包明文中的密钥库ID字段找到接收单元中对应的密钥库;将找到的接收单元中密钥库的密钥库版本号和密钥信息数据包明文中的密钥库版本号字段进行比对;若比对结果一致,则根据密钥信息数据包明文中的密钥索引信息字段找到密钥库中对应的密钥。
第一校验单元,包括:第一计算模块,用于对密钥信息数据包明文中对应密钥信息校验码的字段进行计算,得到密钥信息校验码计算值;第一解析模块,用于对密钥信息数据包明文中的密钥信息校验码字段进行解析,得到密钥信息校验码;密钥信息校验模块,用于将密钥信息校验码计算值与密钥信息校验码进行比对;若比对结果一致,则通过密钥库获取模块根据密钥信息数据包明文中的密钥库信息字段找到接收单元中对应的密钥库。
密钥索引模块,用于根据密钥信息数据包明文中的密钥索引信息字段找到密钥库中对应的密钥。
第二校验单元,包括:第二计算模块,用于对获取到的密钥库中的密钥进行计算,得到私钥校验码计算值;第二解析模块,用于对密钥信息数据包明文中的私钥校验码字段进行解析,得到私钥校验码;私钥校验模块,用于将私钥校验码计算值与私钥校验码进行比对。
第二解密模块,用于在私钥校验模块的比对结果一致时,将找到的密钥作为私钥对发送单元发送的加密信息数据包进行解密。
以上所述仅是本发明的较佳实施例而已,并非对本发明做任何形式上的限制,虽然本发明已以较佳实施例揭露如上,然而并非用以限定本发明,任何熟悉本专业的技术人员,在不脱离本发明技术方案的范围内,当可利用上述揭示的技术内容作出些许更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属于本发明技术方案的范围内。
Claims (24)
1.一种信息安全传输的解密管理方法,其特征在于,包括以下步骤:
从发送单元发送的数据包中获取密钥信息数据包密文,并利用公钥进行解密,得到密钥信息数据包明文;
根据密钥信息数据包明文中的密钥库信息字段找到接收单元中对应的密钥库;
根据密钥信息数据包明文中的密钥索引信息字段找到密钥库中对应的密钥。
2.如权利要求1所述的信息安全传输的解密管理方法,其特征在于,密钥库的数量不少于2个,且每个数据库分别对应有密钥库ID和密钥库版本号。
3.如权利要求2所述的信息安全传输的解密管理方法,其特征在于,密钥信息数据包明文包括密钥库ID字段和密钥库版本号字段;在找到接收单元中对应的密钥库的步骤中,具体为:
根据密钥信息数据包明文中的密钥库ID字段找到接收单元中对应的密钥库;
将找到的接收单元中密钥库的密钥库版本号和密钥信息数据包明文中的密钥库版本号字段进行比对;
若比对结果一致,则根据密钥信息数据包明文中的密钥索引信息字段找到密钥库中对应的密钥。
4.如权利要求1所述的信息安全传输的解密管理方法,其特征在于,密钥信息数据包明文还包括密钥信息校验码字段和私钥校验码字段。
5.如权利要求4所述的信息安全传输的解密管理方法,其特征在于,在根据密钥信息数据包明文中的密钥库信息字段找到接收单元中对应的密钥库的步骤之前,还包括以下步骤:
对密钥信息数据包明文中用于计算密钥信息校验码的对应字段进行计算,得到密钥信息校验码计算值;
对密钥信息数据包明文中的密钥信息校验码字段进行解析,得到密钥信息校验码;
将密钥信息校验码计算值与密钥信息校验码进行比对;
若比对结果一致,则根据密钥信息数据包明文中的密钥库信息字段找到接收单元中对应的密钥库。
6.如权利要求4所述的信息安全传输的解密管理方法,其特征在于,在根据密钥信息数据包明文中的密钥索引信息字段找到密钥库中对应的密钥的步骤之后,还包括以下步骤:
对获取到的密钥库中的密钥进行计算,得到私钥校验码计算值;
对密钥信息数据包明文中的私钥校验码字段进行解析,得到私钥校验码;
将私钥校验码计算值与私钥校验码进行比对;
若比对结果一致,则将找到的密钥作为私钥,对发送单元发送的加密信息数据包进行解密。
7.如权利要求4所述的信息安全传输的解密管理方法,其特征在于,密钥信息校验码和私钥校验码均为信息组校验码。
8.如权利要求3、5、6任一项所述的信息安全传输的解密管理方法,其特征在于,若比对结果不一致,则进入故障导向安全侧,接收单元发送报警信息。
9.一种信息安全传输的解密管理系统,其特征在于,包括:
第一解密模块,用于从发送单元发送的数据包中获取密钥信息数据包,并利用公钥进行解密,得到密钥信息数据包明文;
密钥库获取模块,用于根据密钥信息数据包明文中的密钥库信息字段找到接收单元中对应的密钥库;
密钥索引模块,用于根据密钥信息数据包明文中的密钥索引信息字段找到密钥库中对应的密钥。
10.如权利要求9所述的信息安全传输的解密管理系统,其特征在于,密钥库的数量不少于2个,且每个数据库分别对应有密钥库ID和密钥库版本号。
11.如权利要求10所述的信息安全传输的解密管理系统,其特征在于,密钥信息数据包明文包括密钥库ID字段和密钥库版本号字段;在密钥库获取模块找到接收单元中对应的密钥库时,具体为:
根据密钥信息数据包明文中的密钥库ID字段找到接收单元中对应的密钥库;
将找到的接收单元中密钥库的密钥库版本号和密钥信息数据包明文中的密钥库版本号字段进行比对;
若比对结果一致,则根据密钥信息数据包明文中的密钥索引信息字段找到密钥库中对应的密钥。
12.如权利要求9至11任一项所述的信息安全传输的解密管理系统,其特征在于,密钥信息数据包明文还包括密钥信息校验码字段和私钥校验码字段。
13.如权利要求12所述的信息安全传输的解密管理系统,其特征在于,所述解密管理系统还包括:
第一计算模块,用于对密钥信息数据包明文中用于计算密钥信息校验码的对应字段进行计算,得到密钥信息校验码计算值;
第一解析模块,用于对密钥信息数据包明文中的密钥信息校验码字段进行解析,得到密钥信息校验码;
密钥信息校验模块,用于将密钥信息校验码计算值与密钥信息校验码进行比对;若比对结果一致,则通过密钥库获取模块根据密钥信息数据包明文中的密钥库信息字段找到接收单元中对应的密钥库。
14.如权利要求12所述的信息安全传输的解密管理系统,其特征在于,所述解密管理系统还包括:
第二计算模块,用于对获取到的密钥库中的密钥进行计算,得到私钥校验码计算值;
第二解析模块,用于对密钥信息数据包明文中的私钥校验码字段进行解析,得到私钥校验码;
私钥校验模块,用于将私钥校验码计算值与私钥校验码进行比对;
第二解密模块,用于在私钥校验模块的比对结果一致时,将找到的密钥作为私钥对发送单元发送的加密信息数据包进行解密。
15.一种信息安全传输的加密管理方法,其特征在于,包括以下步骤:
从发送单元的密钥库中选择私钥,并利用选择的私钥对待加密信息数据包进行加密;
获取存有私钥的密钥库的密钥库信息以及用于在密钥库中索引找到私钥的密钥索引信息;
根据密钥库信息和密钥索引信息组装密钥信息数据包,形成密钥信息数据包明文;
利用公钥对密钥信息数据包明文进行加密,形成密钥信息数据包密文。
16.如权利要求15所述的信息安全传输的加密管理方法,其特征在于,密钥库的数量不少于2个,且每个数据库分别对应有密钥库ID和密钥库版本号。
17.如权利要求15所述的信息安全传输的加密管理方法,其特征在于,密钥库信息包括密钥库ID和密钥库版本号;
在获取存有私钥的密钥库的密钥库信息的步骤中,包括获取密钥库ID和密钥库版本号。
18.如权利要求15至17任一项所述的信息安全传输的加密管理方法,其特征在于,在对密钥信息数据包明文进行加密的步骤之前,还包括以下步骤:
根据私钥计算私钥校验码;
将私钥校验码作为密钥信息数据包中的字段组装密钥信息数据包。
19.如权利要求15至17任一项所述的信息安全传输的加密管理方法,其特征在于,在对密钥信息数据包明文进行加密的步骤之前,还包括以下步骤:
计算待组装的密钥信息数据包的密钥信息校验码;
将密钥信息校验码作为密钥信息数据包中的字段组装密钥信息数据包。
20.一种信息安全传输的加密管理系统,其特征在于,包括:
第一加密模块,用于利用从发送单元的密钥库中选择的私钥对待加密信息数据包进行加密;
信息获取模块,用于获取存有私钥的密钥库的密钥库信息以及用于在密钥库中索引找到私钥的密钥索引信息;
数据包组装模块,用于根据密钥库信息和密钥索引信息组装密钥信息数据包,形成密钥信息数据包明文;
第二加密模块,用于利用公钥对密钥信息数据包明文进行加密,形成密钥信息数据包密文。
21.如权利要求20所述的信息安全传输的加密管理系统,其特征在于,密钥库的数量不少于2个,且每个数据库分别对应有密钥库ID和密钥库版本号。
22.如权利要求20所述的信息安全传输的加密管理系统,其特征在于,所述信息获取模块获取的密钥库信息包括密钥库ID和密钥库版本号。
23.如权利要求20至22任一项所述的信息安全传输的加密管理系统,其特征在于,所述加密管理系统还包括:
私钥校验码计算模块,用于根据私钥计算私钥校验码,并将私钥校验码作为密钥信息数据包中的字段组装密钥信息数据包。
24.如权利要求20至22任一项所述的信息安全传输的加密管理系统,其特征在于,所述加密管理系统还包括:
密钥信息校验码计算模块,用于计算待组装的密钥信息数据包的密钥信息校验码,并将密钥信息校验码作为密钥信息数据包中的字段组装密钥信息数据包。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210008072.5A CN114554486B (zh) | 2022-01-06 | 2022-01-06 | 一种信息安全传输的密钥管理方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210008072.5A CN114554486B (zh) | 2022-01-06 | 2022-01-06 | 一种信息安全传输的密钥管理方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114554486A true CN114554486A (zh) | 2022-05-27 |
CN114554486B CN114554486B (zh) | 2024-04-30 |
Family
ID=81670585
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210008072.5A Active CN114554486B (zh) | 2022-01-06 | 2022-01-06 | 一种信息安全传输的密钥管理方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114554486B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115277050A (zh) * | 2022-06-01 | 2022-11-01 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 数据发送方法、数据接收方法及网络设备 |
CN115277049A (zh) * | 2022-06-01 | 2022-11-01 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 数据发送方法、数据接收方法及网络设备 |
CN115988488A (zh) * | 2023-03-21 | 2023-04-18 | 北京全路通信信号研究设计院集团有限公司 | 一种在线集中更新车载密钥的方法及装置 |
CN116017440A (zh) * | 2023-03-27 | 2023-04-25 | 北京全路通信信号研究设计院集团有限公司 | 一种密钥获取方法、装置、设备及存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009027380A1 (de) * | 2007-08-27 | 2009-03-05 | Siemens Aktiengesellschaft | Verfahren zum etcs-online-schlüsselmanagement |
CN104202158A (zh) * | 2014-09-22 | 2014-12-10 | 浪潮电子信息产业股份有限公司 | 一种基于云计算的数据对称和非对称混合加解密方法 |
CN104363091A (zh) * | 2014-12-01 | 2015-02-18 | 国家计算机网络与信息安全管理中心 | 一种自动检索密钥和选择算法的加解密方法 |
CN107968707A (zh) * | 2017-10-20 | 2018-04-27 | 北京全路通信信号研究设计院集团有限公司 | 一种用于对密钥进行分类存储的方法及系统 |
CN111148073A (zh) * | 2020-04-03 | 2020-05-12 | 北京全路通信信号研究设计院集团有限公司 | 一种车地通信传输信息的密钥管理方法及系统 |
CN111698088A (zh) * | 2020-05-28 | 2020-09-22 | 平安科技(深圳)有限公司 | 密钥轮换方法、装置、电子设备及介质 |
CN113709733A (zh) * | 2021-07-16 | 2021-11-26 | 中国铁道科学研究院集团有限公司通信信号研究所 | 一种应用于安全列尾设备的密钥分配方法 |
-
2022
- 2022-01-06 CN CN202210008072.5A patent/CN114554486B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009027380A1 (de) * | 2007-08-27 | 2009-03-05 | Siemens Aktiengesellschaft | Verfahren zum etcs-online-schlüsselmanagement |
CN104202158A (zh) * | 2014-09-22 | 2014-12-10 | 浪潮电子信息产业股份有限公司 | 一种基于云计算的数据对称和非对称混合加解密方法 |
CN104363091A (zh) * | 2014-12-01 | 2015-02-18 | 国家计算机网络与信息安全管理中心 | 一种自动检索密钥和选择算法的加解密方法 |
CN107968707A (zh) * | 2017-10-20 | 2018-04-27 | 北京全路通信信号研究设计院集团有限公司 | 一种用于对密钥进行分类存储的方法及系统 |
CN111148073A (zh) * | 2020-04-03 | 2020-05-12 | 北京全路通信信号研究设计院集团有限公司 | 一种车地通信传输信息的密钥管理方法及系统 |
CN111698088A (zh) * | 2020-05-28 | 2020-09-22 | 平安科技(深圳)有限公司 | 密钥轮换方法、装置、电子设备及介质 |
CN113709733A (zh) * | 2021-07-16 | 2021-11-26 | 中国铁道科学研究院集团有限公司通信信号研究所 | 一种应用于安全列尾设备的密钥分配方法 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115277050A (zh) * | 2022-06-01 | 2022-11-01 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 数据发送方法、数据接收方法及网络设备 |
CN115277049A (zh) * | 2022-06-01 | 2022-11-01 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 数据发送方法、数据接收方法及网络设备 |
CN115277049B (zh) * | 2022-06-01 | 2023-11-17 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 数据发送方法、数据接收方法及网络设备 |
CN115277050B (zh) * | 2022-06-01 | 2023-11-17 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 数据发送方法、数据接收方法及网络设备 |
CN115988488A (zh) * | 2023-03-21 | 2023-04-18 | 北京全路通信信号研究设计院集团有限公司 | 一种在线集中更新车载密钥的方法及装置 |
CN116017440A (zh) * | 2023-03-27 | 2023-04-25 | 北京全路通信信号研究设计院集团有限公司 | 一种密钥获取方法、装置、设备及存储介质 |
CN116017440B (zh) * | 2023-03-27 | 2023-06-02 | 北京全路通信信号研究设计院集团有限公司 | 一种密钥获取方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN114554486B (zh) | 2024-04-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114554486B (zh) | 一种信息安全传输的密钥管理方法及系统 | |
CN112150147A (zh) | 一种基于区块链的数据安全存储系统 | |
CN101176329B (zh) | 通信协议和电子通信系统--特别是认证控制系统--及相应的方法 | |
Lopez et al. | Cyber security analysis of the European train control system | |
CN101136748B (zh) | 一种身份认证方法及系统 | |
US7587590B2 (en) | Encrypted communication apparatus | |
CN101645899B (zh) | 基于对称加密算法的双向认证方法及系统 | |
RU2002111551A (ru) | Способ и устройство для шифрования передач в системе связи | |
CN106506149B (zh) | 一种tbox终端和tsp平台之间密钥生成方法以及系统 | |
CN110635893A (zh) | 一种车载以太网信息安全防护方法 | |
CN106572106A (zh) | 一种tbox终端和tsp平台之间报文传输的方法 | |
CN106973056A (zh) | 一种面向对象的安全芯片及其加密方法 | |
CN107911354B (zh) | 一种复合并行数据加密方法 | |
CN112332975A (zh) | 物联网设备安全通信方法及系统 | |
CN112020038A (zh) | 一种适用于轨道交通移动应用的国产加密终端 | |
CN113965930A (zh) | 一种基于量子密钥的工业互联网主动标识解析方法及其系统 | |
CN111343606A (zh) | 一种列车数据的安全保护方法及装置 | |
US7933597B2 (en) | Method of registering a network, and mobile station and communication system using the same | |
CN110995671A (zh) | 一种通信方法及系统 | |
CN109995531A (zh) | 基于国产密码及扩频信息保护的北斗二代系统抗欺骗方法 | |
CN115278620A (zh) | 基于随机重排分块矩阵加密的射频识别数据安全认证方法及系统 | |
CN111049640B (zh) | 基于硬件指纹和aes加解密算法的物联网鉴权认证方法 | |
CN114173303A (zh) | Ctcs-3级列控系统车地会话密钥生成方法和系统 | |
CN101174945A (zh) | 一种用于验证push消息及其发送方身份的方法 | |
US9071964B2 (en) | Method and apparatus for authenticating a digital certificate status and authorization credentials |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |