CN114554486B - 一种信息安全传输的密钥管理方法及系统 - Google Patents

一种信息安全传输的密钥管理方法及系统 Download PDF

Info

Publication number
CN114554486B
CN114554486B CN202210008072.5A CN202210008072A CN114554486B CN 114554486 B CN114554486 B CN 114554486B CN 202210008072 A CN202210008072 A CN 202210008072A CN 114554486 B CN114554486 B CN 114554486B
Authority
CN
China
Prior art keywords
key
information
information data
data packet
check code
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210008072.5A
Other languages
English (en)
Other versions
CN114554486A (zh
Inventor
张子琪
王东
张佳玉
焦名
李文婷
马卫红
李锐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CRSC Research and Design Institute Group Co Ltd
Original Assignee
CRSC Research and Design Institute Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CRSC Research and Design Institute Group Co Ltd filed Critical CRSC Research and Design Institute Group Co Ltd
Priority to CN202210008072.5A priority Critical patent/CN114554486B/zh
Publication of CN114554486A publication Critical patent/CN114554486A/zh
Application granted granted Critical
Publication of CN114554486B publication Critical patent/CN114554486B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/009Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种信息安全传输的密钥管理方法及系统,其中信息安全传输的解密管理方法包括以下步骤:从发送单元发送的数据包中获取密钥信息数据包密文,并利用公钥进行解密,得到密钥信息数据包明文;根据密钥信息数据包明文中的密钥库信息字段找到接收单元中对应的密钥库;根据密钥信息数据包明文中的密钥索引信息字段找到密钥库中对应的密钥。本发明双密钥的设计使得不法分子暴力破解密钥的可能性大大降低,最大程度上保障了通信的安全性。同时,不需要额外增加设备,缩短了研发周期、减少采购成本。

Description

一种信息安全传输的密钥管理方法及系统
技术领域
本发明属于信息传输领域,特别涉及一种信息安全传输的密钥管理方法及系统。
背景技术
在CTCS列控系统中,地面设备编制无线应答器报文消息并进行加密处理,通过无线通信设备将此信息发送给车载设备,保证了信息传输的安全性。但相较于传统的有线传输方式,无线通信设备依托电磁波进行信息传输,这种传输介质的开放性,就导致其更容易被截取,也更容易受到干扰。对于列控系统来说,一旦密钥被破解,将会对列车的行车安全造成极大的影响。
现有的密钥管理技术为车载与地面使用同一固定密钥,可以实现列车运行安全信息的加密传输,但在列车的实际运行过程中,很难防范一些不可控因素导致密钥泄露,从而影响信息传输的可靠性,甚至可能引发大规模的交通事故。因此需要不定时的对密钥进行更换,在现在技术中,通常依靠增加额外设备,使用动态密钥的方式来解决上述问题,极大的增加了成本。而在传统的静态密钥管理方法中,需要人工更换车站密钥。列车在多个车站间运行,需要沿途的车站均使用同一密钥,否则无法完成信息的加解密工作。但由于车站过多,在全国范围内同时更换所有车站的密钥,是一件无法完成的事情。
发明内容
针对上述问题,本发明采用的技术方案是:一种信息安全传输的解密管理方法,包括以下步骤:
从发送单元发送的数据包中获取密钥信息数据包密文,并利用公钥进行解密,得到密钥信息数据包明文;
根据密钥信息数据包明文中的密钥库信息字段找到接收单元中对应的密钥库;
根据密钥信息数据包明文中的密钥索引信息字段找到密钥库中对应的密钥。
可选地,密钥库的数量不少于2个,且每个数据库分别对应有密钥库ID和密钥库版本号。
可选地,密钥信息数据包明文包括密钥库ID字段和密钥库版本号字段;在找到接收单元中对应的密钥库的步骤中,具体为:
根据密钥信息数据包明文中的密钥库ID字段找到接收单元中对应的密钥库;
将找到的接收单元中密钥库的密钥库版本号和密钥信息数据包明文中的密钥库版本号字段进行比对;
若比对结果一致,则根据密钥信息数据包明文中的密钥索引信息字段找到密钥库中对应的密钥。
可选地,密钥信息数据包明文还包括密钥信息校验码字段和私钥校验码字段。
可选地,在根据密钥信息数据包明文中的密钥库信息字段找到接收单元中对应的密钥库的步骤之前,还包括以下步骤:
对密钥信息数据包明文中用于计算密钥信息校验码的对应字段进行计算,得到密钥信息校验码计算值;
对密钥信息数据包明文中的密钥信息校验码字段进行解析,得到密钥信息校验码;
将密钥信息校验码计算值与密钥信息校验码进行比对;
若比对结果一致,则根据密钥信息数据包明文中的密钥库信息字段找到接收单元中对应的密钥库。
可选地,在根据密钥信息数据包明文中的密钥索引信息字段找到密钥库中对应的密钥的步骤之后,还包括以下步骤:
对获取到的密钥库中的密钥进行计算,得到私钥校验码计算值;
对密钥信息数据包明文中的私钥校验码字段进行解析,得到私钥校验码;
将私钥校验码计算值与私钥校验码进行比对;
若比对结果一致,则将找到的密钥作为私钥,对发送单元发送的加密信息数据包进行解密。
可选地,密钥信息校验码和私钥校验码均为信息组校验码。
可选地,若比对结果不一致,则进入故障导向安全侧,接收单元发送报警信息。
以及,一种信息安全传输的解密管理系统,包括:
第一解密模块,用于从发送单元发送的数据包中获取密钥信息数据包,并利用公钥进行解密,得到密钥信息数据包明文;
密钥库获取模块,用于根据密钥信息数据包明文中的密钥库信息字段找到接收单元中对应的密钥库;
密钥索引模块,用于根据密钥信息数据包明文中的密钥索引信息字段找到密钥库中对应的密钥。
可选地,密钥库的数量不少于2个,且每个数据库分别对应有密钥库ID和密钥库版本号。
可选地,密钥信息数据包明文包括密钥库ID字段和密钥库版本号字段;在密钥库获取模块找到接收单元中对应的密钥库时,具体为:
根据密钥信息数据包明文中的密钥库ID字段找到接收单元中对应的密钥库;
将找到的接收单元中密钥库的密钥库版本号和密钥信息数据包明文中的密钥库版本号字段进行比对;
若比对结果一致,则根据密钥信息数据包明文中的密钥索引信息字段找到密钥库中对应的密钥。
可选地,密钥信息数据包明文还包括密钥信息校验码字段和私钥校验码字段。
可选地,所述解密管理系统还包括:
第一计算模块,用于对密钥信息数据包明文中用于计算密钥信息校验码的对应字段进行计算,得到密钥信息校验码计算值;
第一解析模块,用于对密钥信息数据包明文中的密钥信息校验码字段进行解析,得到密钥信息校验码;
密钥信息校验模块,用于将密钥信息校验码计算值与密钥信息校验码进行比对;若比对结果一致,则通过密钥库获取模块根据密钥信息数据包明文中的密钥库信息字段找到接收单元中对应的密钥库。
可选地,所述解密管理系统还包括:
第二计算模块,用于对获取到的密钥库中的密钥进行计算,得到私钥校验码计算值;
第二解析模块,用于对密钥信息数据包明文中的私钥校验码字段进行解析,得到私钥校验码;
私钥校验模块,用于将私钥校验码计算值与私钥校验码进行比对;
第二解密模块,用于在私钥校验模块的比对结果一致时,将找到的密钥作为私钥对发送单元发送的加密信息数据包进行解密。
以及,一种信息安全传输的加密管理方法,包括以下步骤:
从发送单元的密钥库中选择私钥,并利用选择的私钥对待加密信息数据包进行加密;
获取存有私钥的密钥库的密钥库信息以及用于在密钥库中索引找到私钥的密钥索引信息;
根据密钥库信息和密钥索引信息组装密钥信息数据包,形成密钥信息数据包明文;
利用公钥对密钥信息数据包明文进行加密,形成密钥信息数据包密文。
可选地,密钥库的数量不少于2个,且每个数据库分别对应有密钥库ID和密钥库版本号。
可选地,密钥库信息包括密钥库ID和密钥库版本号;
在获取存有私钥的密钥库的密钥库信息的步骤中,包括获取密钥库ID和密钥库版本号。
可选地,在对密钥信息数据包明文进行加密的步骤之前,还包括以下步骤:
根据私钥计算私钥校验码;
将私钥校验码作为密钥信息数据包中的字段组装密钥信息数据包。
可选地,在对密钥信息数据包明文进行加密的步骤之前,还包括以下步骤:
计算待组装的密钥信息数据包的密钥信息校验码;
将密钥信息校验码作为密钥信息数据包中的字段组装密钥信息数据包。
以及,一种信息安全传输的加密管理系统,包括:
第一加密模块,用于利用从发送单元的密钥库中选择的私钥对待加密信息数据包进行加密;
信息获取模块,用于获取存有私钥的密钥库的密钥库信息以及用于在密钥库中索引找到私钥的密钥索引信息;
数据包组装模块,用于根据密钥库信息和密钥索引信息组装密钥信息数据包,形成密钥信息数据包明文;
第二加密模块,用于利用公钥对密钥信息数据包明文进行加密,形成密钥信息数据包密文。
可选地,密钥库的数量不少于2个,且每个数据库分别对应有密钥库ID和密钥库版本号。
可选地,所述信息获取模块获取的密钥库信息包括密钥库ID和密钥库版本号。
可选地,所述加密管理系统还包括:
私钥校验码计算模块,用于根据私钥计算私钥校验码,并将私钥校验码作为密钥信息数据包中的字段组装密钥信息数据包。
可选地,所述加密管理系统还包括:
密钥信息校验码计算模块,用于计算待组装的密钥信息数据包的密钥信息校验码,并将密钥信息校验码作为密钥信息数据包中的字段组装密钥信息数据包。
本发明由于采用上述技术方案,使其具有以下有益效果:双密钥的设计使得不法分子暴力破解密钥的可能性大大降低,最大程度上保障了通信的安全性。同时,不需要额外增加设备,缩短了研发周期、减少采购成本。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所指出的结构来实现和获得。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了根据本发明实施例中车载单元双密钥库设计示意图;
图2示出了根据本发明实施例的加密管理流程图;
图3示出了根据本发明实施例的车地密钥交互流程图;
图4示出了根据本发明实施例的解密管理中私钥获取流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地说明,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例应用于轨道交通领域,发送单元和接收单元分别对应地面设备和车载单元。采用双密钥设计,区分公钥和私钥。其中,公钥用于对地面设备发送的数据包中的密钥信息数据包进行加解密操作,私钥用于对地面设备发送的其他加密信息数据包进行加解密操作。
如图2示出的加密管理流程图,本发明实施例的面向轨道交通信息安全传输的加密管理方法包括以下步骤:
S11:从发送单元的密钥库中选择私钥,并利用选择的私钥对待加密信息数据包进行加密。
在本技术方案中,对于每一个车站地面设备来说,密钥库只有一个,但是对于所有车站来说,是允许存在多个密钥库的,即两个不同的车站(如车站A和车站B)之间可以存在不同的密钥库,但车载单元上必须兼容车站A和车站B的密钥库,因此车载单元上存在多个密钥库。在本实施例中,车载单元中存在两个密钥库,因此地面设备之间可在该两个密钥库之间任意选择,保证了密钥更换的灵活性与安全性。
S12:获取存有私钥的密钥库的密钥库信息以及用于在密钥库中索引找到私钥的密钥索引信息。
其中,密钥库信息包括密钥库ID、密钥库版本号,且在本实施例中,密钥库ID、密钥索引信息和密钥库版本号统称为私钥三元组信息。
S13:根据私钥计算私钥校验码。
S14:计算待组装的密钥信息数据包的密钥信息校验码。
在步骤S13和步骤S14中,私钥校验码和密钥信息校验码均采用BCC校验码(BlockCheck Character/信息组校验码,又称异或校验法),指将所有数据与一个指定初值依次异或,最终得到的结果即为校验值,接收方收到数据后,重新计算一次异或检验码,用于校验收到数据的完整性。
例如,对于数据a1,a2,a3,......,an来说,若初值为a0,则通过BCC异或校验法得到的校验值Vbcc有:
即,在步骤S13和步骤S14中,在私钥以及待组装的密钥信息数据包中选择合适的数据进行异或运算得到私钥校验码和密钥信息校验码。
例如:若私钥为0x12,0x34,0x56,0x78,0x90,0xAB,0xCD,0xEF;
则计算的私钥BCC校验码为0x11。计算过程为:将私钥的十六进制转换为二进制,例0x12=00010010,0x34=00110100,然后对二进制按位进行运算,至此完成一次异或运算,之后再用上一次运算的结果0x26与0x56进行异或运算,以此类推直至结束,得到最终结果00010001,即0x11。
在本实施例中,选用密钥库ID、密钥索引信息、密钥库版本号和私钥BBC校验码这四个字段的数据进行依次异或运算,得到的值作为密钥信息校验码,用于在后续解密过程中对密钥信息进行校验。
S15:将密钥库ID、密钥索引信息、密钥库版本号、私钥BCC校验码、密钥信息BCC校验码作为字段组装密钥信息数据包,形成密钥信息数据包明文。
S16:利用公钥对密钥信息数据包明文进行加密,形成密钥信息数据包密文。
密钥信息数据包明文的格式具体如下表1所示:
序号 字段 长度 说明
1 密钥库ID 1字节 密钥库标识码(0~255)
2 密钥索引 1字节 目标密钥在密钥库中的索引(0~255)
3 密钥库版本号 3字节 密钥库版本号VA.B.C
4 私钥BCC校验码 1字节 本站密钥计算得出的BCC校验码
5 密钥信息BCC校验码 1字节 前四个字段计算得出的BCC校验码
表1
S17:将加密信息数据包和密钥信息数据包密文打包成由地面设备发送至车载单元的一个数据包。
根据上述步骤完成信息的加密工作,以进行信息的安全传输。且在本方案中,可在密钥库中选择不同的密钥作为私钥对待加密信息数据包进行加密处理,更大程度上的保证了密钥更换的灵活性与安全性,从而可在列车正常运行的同时完成了密钥的更换,短时间内可以完成全国范围内密钥更换的难点。且不同站点之间密钥的更换是相对独立的,不互相影响,允许列控系统在较长的一段时间内完成一轮密钥更换。
对应于上述加密管理方法的实施例,结合图3示出的车地密钥交互流程图,本发明实施例的面向轨道交通信息安全传输的解密管理方法包括以下步骤:
判断车载单元与地面设备是否是第一次建立连接。
若是,则获取私钥并调用;
若不是,则使用此前第一次建立连接时获取的私钥对地面设备发送的数据包中的加密信息数据包进行解密。
如图4示出的解密管理中私钥获取流程图,其中,获取私钥包括以下步骤:
S21:从地面设备发送的数据包中获取密钥信息数据包密文,并利用公钥进行解密,得到密钥信息数据包明文。
其中,密钥信息数据包明文包括密钥库ID字段、密钥索引信息字段、密钥库版本号字段、私钥校验码字段以及密钥信息校验码字段。
且在本实施例中,私钥校验码和密钥信息校验码均采用BCC校验码(Block CheckCharacter/信息组校验码,又称异或校验法),指将所有数据与一个指定初值依次异或,最终得到的结果即为校验值,接收方收到数据后,重新计算一次异或检验码,用于校验收到数据的完整性。
例如,对于数据a1,a2,a3,……,an来说,若初值为a0,则通过BCC异或校验法得到的校验值Vbcc有:
密钥信息数据包明文的格式具体如下表2所示:
序号 字段 长度 说明
1 密钥库ID 1字节 密钥库标识码(0~255)
2 密钥索引 1字节 目标密钥在密钥库中的索引(0~255)
3 密钥库版本号 3字节 密钥库版本号VA.B.C
4 私钥BCC校验码 1字节 本站密钥计算得出的BCC校验码
5 密钥信息BCC校验码 1字节 前四个字段计算得出的BCC校验码
表2
S22:对得到的密钥信息数据包明文进行校验,具体为:
S221:对密钥信息数据包明文中用于计算密钥信息校验码的对应字段(即上表中的前四个序号的字段)进行计算,得到密钥信息BCC校验码计算值;
S222:对密钥信息数据包明文中的密钥信息BCC校验码字段进行解析,得到密钥信息BCC校验码;
S223:将密钥信息BCC校验码计算值与密钥信息BCC校验码进行比对;
若比对结果一致,则执行步骤S23;
若比对结果不一致,则执行步骤S26。
S23:根据密钥信息数据包明文中的密钥库信息字段找到车载单元中对应的密钥库。
密钥库的数量不少于2个,因此可以兼容跨密钥库的密钥更换,且每个数据库分别对应有密钥库ID和密钥库版本号,如图1示出的车载单元双密钥库设计示意图,在本实施例中,采用双密钥库设计。
由于密钥信息数据包中仅含有可以唯一标识某一密钥库中某条密钥的信息,而不包含密钥本身,即使不法分子暴力穷举了公钥,正确解密了密钥信息数据包,采用双密钥库设计,由于密钥库的多变性,也难以获取到其他数据包的加密密钥。因此,可以在很大程度上减少密钥泄露引发的行车危害。采用双保险设定,能够更好的防范恶意攻击,保证信息传输的安全性。
在执行步骤S23时,具体包括以下几个步骤:
S231:根据密钥信息数据包明文中的密钥库ID字段找到车载单元中对应的密钥库;
S232:将找到的车载单元中密钥库的密钥库版本号和密钥信息数据包明文中的密钥库版本号字段进行比对;
若比对结果一致,则执行步骤S24;
若比对结果不一致,则执行步骤S26。
S24:根据密钥信息数据包明文中的密钥索引信息字段找到密钥库中对应的密钥A,例如为密钥库(ID:A,版本号:VA.B.C)中的密钥1。
S25:对得到的密钥A进行校验,具体为:
S251:对获取到的密钥库中的密钥进行计算,得到私钥BCC校验码计算值;
S252:对密钥信息数据包明文中的私钥BCC校验码字段进行解析,得到私钥BCC校验码;
S253:将私钥BCC校验码计算值与私钥BCC校验码进行比对;
若比对结果一致,则将找到的密钥A作为私钥,对地面设备发送的其他加密信息数据包进行解密;
若比对结果不一致,则执行步骤S26。
S26:列车导向故障安全侧,车载单元发送报警信息。
基于上述加密管理方法的实施例,进一步提供一种信息安全传输的加密管理系统的实施例,包括:
第一加密模块,用于利用从发送单元的密钥库中选择的私钥对待加密信息数据包进行加密。
信息获取模块,用于获取存有私钥的密钥库的密钥库信息以及用于在密钥库中索引找到私钥的密钥索引信息;其中,密钥库信息包括密钥库ID和密钥库版本号。
数据包组装模块,用于根据密钥库信息和密钥索引信息组装密钥信息数据包,形成密钥信息数据包明文。
私钥校验码计算模块,用于根据私钥计算私钥校验码,并将私钥校验码作为密钥信息数据包中的字段组装密钥信息数据包。
密钥信息校验码计算模块,用于计算待组装的密钥信息数据包的密钥信息校验码,并将密钥信息校验码作为密钥信息数据包中的字段组装密钥信息数据包。
第二加密模块,用于利用公钥对密钥信息数据包明文进行加密,形成密钥信息数据包密文。
上述结构模块间的具体执行步骤如本发明实施例的加密管理方法,在此不再多加赘述。
基于上述解密管理方法的实施例,进一步提供一种信息安全传输的解密管理系统的实施例,包括:
第一解密模块,用于从发送单元发送的数据包中获取密钥信息数据包,并利用公钥进行解密,得到密钥信息数据包明文。
密钥库获取模块,用于根据密钥信息数据包明文中的密钥库信息字段找到接收单元中对应的密钥库;密钥库获取模块在运行时具体如下:根据密钥信息数据包明文中的密钥库ID字段找到接收单元中对应的密钥库;将找到的接收单元中密钥库的密钥库版本号和密钥信息数据包明文中的密钥库版本号字段进行比对;若比对结果一致,则根据密钥信息数据包明文中的密钥索引信息字段找到密钥库中对应的密钥。
第一校验单元,包括:第一计算模块,用于对密钥信息数据包明文中对应密钥信息校验码的字段进行计算,得到密钥信息校验码计算值;第一解析模块,用于对密钥信息数据包明文中的密钥信息校验码字段进行解析,得到密钥信息校验码;密钥信息校验模块,用于将密钥信息校验码计算值与密钥信息校验码进行比对;若比对结果一致,则通过密钥库获取模块根据密钥信息数据包明文中的密钥库信息字段找到接收单元中对应的密钥库。
密钥索引模块,用于根据密钥信息数据包明文中的密钥索引信息字段找到密钥库中对应的密钥。
第二校验单元,包括:第二计算模块,用于对获取到的密钥库中的密钥进行计算,得到私钥校验码计算值;第二解析模块,用于对密钥信息数据包明文中的私钥校验码字段进行解析,得到私钥校验码;私钥校验模块,用于将私钥校验码计算值与私钥校验码进行比对。
第二解密模块,用于在私钥校验模块的比对结果一致时,将找到的密钥作为私钥对发送单元发送的加密信息数据包进行解密。
以上所述仅是本发明的较佳实施例而已,并非对本发明做任何形式上的限制,虽然本发明已以较佳实施例揭露如上,然而并非用以限定本发明,任何熟悉本专业的技术人员,在不脱离本发明技术方案的范围内,当可利用上述揭示的技术内容作出些许更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属于本发明技术方案的范围内。

Claims (8)

1.一种信息安全传输的解密管理方法,其特征在于,包括以下步骤:
从发送单元发送的数据包中获取密钥信息数据包密文,并利用公钥进行解密,得到密钥信息数据包明文;
其中,密钥信息数据包明文包括密钥库ID字段和密钥库版本号字段,密钥库的数量不少于2个,且每个数据库分别对应有密钥库ID和密钥库版本号;
根据密钥信息数据包明文中的密钥库信息字段找到接收单元中对应的密钥库;
根据密钥信息数据包明文中的密钥索引信息字段找到密钥库中对应的密钥;
在找到接收单元中对应的密钥库的步骤中,具体为:
根据密钥信息数据包明文中的密钥库ID字段找到接收单元中对应的密钥库;
将找到的接收单元中密钥库的密钥库版本号和密钥信息数据包明文中的密钥库版本号字段进行比对;
若比对结果一致,则根据密钥信息数据包明文中的密钥索引信息字段找到密钥库中对应的密钥;
密钥信息数据包明文还包括密钥信息校验码字段和私钥校验码字段;
在根据密钥信息数据包明文中的密钥库信息字段找到接收单元中对应的密钥库的步骤之前,还包括以下步骤:
对密钥信息数据包明文中用于计算密钥信息校验码的对应字段进行计算,得到密钥信息校验码计算值;
对密钥信息数据包明文中的密钥信息校验码字段进行解析,得到密钥信息校验码;
将密钥信息校验码计算值与密钥信息校验码进行比对;
若比对结果一致,则根据密钥信息数据包明文中的密钥库信息字段找到接收单元中对应的密钥库。
2.如权利要求1所述的信息安全传输的解密管理方法,其特征在于,在根据密钥信息数据包明文中的密钥索引信息字段找到密钥库中对应的密钥的步骤之后,还包括以下步骤:
对获取到的密钥库中的密钥进行计算,得到私钥校验码计算值;
对密钥信息数据包明文中的私钥校验码字段进行解析,得到私钥校验码;
将私钥校验码计算值与私钥校验码进行比对;
若比对结果一致,则将找到的密钥作为私钥,对发送单元发送的加密信息数据包进行解密。
3.如权利要求2所述的信息安全传输的解密管理方法,其特征在于,密钥信息校验码和私钥校验码均为信息组校验码。
4.如权利要求1至3中任一项所述的信息安全传输的解密管理方法,其特征在于,若比对结果不一致,则进入故障导向安全侧,接收单元发送报警信息。
5.一种信息安全传输的解密管理系统,其特征在于,包括:
第一解密模块,用于从发送单元发送的数据包中获取密钥信息数据包,并利用公钥进行解密,得到密钥信息数据包明文;
其中,密钥信息数据包明文包括密钥库ID字段和密钥库版本号字段,
密钥库的数量不少于2个,且每个数据库分别对应有密钥库ID和密钥库版本号;
密钥库获取模块,用于根据密钥信息数据包明文中的密钥库信息字段找到接收单元中对应的密钥库;
在密钥库获取模块找到接收单元中对应的密钥库时,具体为:
根据密钥信息数据包明文中的密钥库ID字段找到接收单元中对应的密钥库;
将找到的接收单元中密钥库的密钥库版本号和密钥信息数据包明文中的密钥库版本号字段进行比对;
若比对结果一致,则根据密钥信息数据包明文中的密钥索引信息字段找到密钥库中对应的密钥;
密钥信息数据包明文还包括密钥信息校验码字段和私钥校验码字段;
密钥索引模块,用于根据密钥信息数据包明文中的密钥索引信息字段找到密钥库中对应的密钥;
在根据密钥信息数据包明文中的密钥库信息字段找到接收单元中对应的密钥库的步骤之前,还包括以下步骤:
对密钥信息数据包明文中用于计算密钥信息校验码的对应字段进行计算,得到密钥信息校验码计算值;
对密钥信息数据包明文中的密钥信息校验码字段进行解析,得到密钥信息校验码;
将密钥信息校验码计算值与密钥信息校验码进行比对;
若比对结果一致,则根据密钥信息数据包明文中的密钥库信息字段找到接收单元中对应的密钥库。
6.如权利要求5所述的信息安全传输的解密管理系统,其特征在于,所述解密管理系统还包括:
第二计算模块,用于对获取到的密钥库中的密钥进行计算,得到私钥校验码计算值;
第二解析模块,用于对密钥信息数据包明文中的私钥校验码字段进行解析,得到私钥校验码;
私钥校验模块,用于将私钥校验码计算值与私钥校验码进行比对;
第二解密模块,用于在私钥校验模块的比对结果一致时,将找到的密钥作为私钥对发送单元发送的加密信息数据包进行解密。
7.一种信息安全传输的加密管理方法,其特征在于,包括以下步骤:
从发送单元的密钥库中选择私钥,并利用选择的私钥对待加密信息数据包进行加密;
其中,密钥库的数量不少于2个,且每个数据库分别对应有密钥库ID和密钥库版本号;
获取存有私钥的密钥库的密钥库信息以及用于在密钥库中索引找到私钥的密钥索引信息;
其中,密钥库信息包括密钥库ID和密钥库版本号;
在获取存有私钥的密钥库的密钥库信息的步骤中,包括获取密钥库ID和密钥库版本号;
根据密钥库信息和密钥索引信息组装密钥信息数据包,形成密钥信息数据包明文;
利用公钥对密钥信息数据包明文进行加密,形成密钥信息数据包密文;
在对密钥信息数据包明文进行加密的步骤之前,还包括以下步骤:
根据私钥计算私钥校验码;
将私钥校验码作为密钥信息数据包中的字段组装密钥信息数据包;
计算待组装的密钥信息数据包的密钥信息校验码;
将密钥信息校验码作为密钥信息数据包中的字段组装密钥信息数据包。
8.一种信息安全传输的加密管理系统,其特征在于,包括:
第一加密模块,用于利用从发送单元的密钥库中选择的私钥对待加密信息数据包进行加密;
其中,密钥库的数量不少于2个,且每个数据库分别对应有密钥库ID和密钥库版本号;
信息获取模块,用于获取存有私钥的密钥库的密钥库信息以及用于在密钥库中索引找到私钥的密钥索引信息;
其中,所述信息获取模块获取的密钥库信息包括密钥库ID和密钥库版本号;
数据包组装模块,用于根据密钥库信息和密钥索引信息组装密钥信息数据包,形成密钥信息数据包明文;
第二加密模块,用于利用公钥对密钥信息数据包明文进行加密,形成密钥信息数据包密文;
私钥校验码计算模块,用于在对密钥信息数据包明文进行加密的步骤之前,
根据私钥计算私钥校验码,并将私钥校验码作为密钥信息数据包中的字段组装密钥信息数据包;
密钥信息校验码计算模块,用于在对密钥信息数据包明文进行加密的步骤之前,
计算待组装的密钥信息数据包的密钥信息校验码,并将密钥信息校验码作为密钥信息数据包中的字段组装密钥信息数据包。
CN202210008072.5A 2022-01-06 2022-01-06 一种信息安全传输的密钥管理方法及系统 Active CN114554486B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210008072.5A CN114554486B (zh) 2022-01-06 2022-01-06 一种信息安全传输的密钥管理方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210008072.5A CN114554486B (zh) 2022-01-06 2022-01-06 一种信息安全传输的密钥管理方法及系统

Publications (2)

Publication Number Publication Date
CN114554486A CN114554486A (zh) 2022-05-27
CN114554486B true CN114554486B (zh) 2024-04-30

Family

ID=81670585

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210008072.5A Active CN114554486B (zh) 2022-01-06 2022-01-06 一种信息安全传输的密钥管理方法及系统

Country Status (1)

Country Link
CN (1) CN114554486B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115277049B (zh) * 2022-06-01 2023-11-17 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) 数据发送方法、数据接收方法及网络设备
CN115277050B (zh) * 2022-06-01 2023-11-17 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) 数据发送方法、数据接收方法及网络设备
CN115988488B (zh) * 2023-03-21 2023-06-30 北京全路通信信号研究设计院集团有限公司 一种在线集中更新车载密钥的方法及装置
CN116017440B (zh) * 2023-03-27 2023-06-02 北京全路通信信号研究设计院集团有限公司 一种密钥获取方法、装置、设备及存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009027380A1 (de) * 2007-08-27 2009-03-05 Siemens Aktiengesellschaft Verfahren zum etcs-online-schlüsselmanagement
CN104202158A (zh) * 2014-09-22 2014-12-10 浪潮电子信息产业股份有限公司 一种基于云计算的数据对称和非对称混合加解密方法
CN104363091A (zh) * 2014-12-01 2015-02-18 国家计算机网络与信息安全管理中心 一种自动检索密钥和选择算法的加解密方法
CN107968707A (zh) * 2017-10-20 2018-04-27 北京全路通信信号研究设计院集团有限公司 一种用于对密钥进行分类存储的方法及系统
CN111148073A (zh) * 2020-04-03 2020-05-12 北京全路通信信号研究设计院集团有限公司 一种车地通信传输信息的密钥管理方法及系统
CN111698088A (zh) * 2020-05-28 2020-09-22 平安科技(深圳)有限公司 密钥轮换方法、装置、电子设备及介质
CN113709733A (zh) * 2021-07-16 2021-11-26 中国铁道科学研究院集团有限公司通信信号研究所 一种应用于安全列尾设备的密钥分配方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009027380A1 (de) * 2007-08-27 2009-03-05 Siemens Aktiengesellschaft Verfahren zum etcs-online-schlüsselmanagement
CN104202158A (zh) * 2014-09-22 2014-12-10 浪潮电子信息产业股份有限公司 一种基于云计算的数据对称和非对称混合加解密方法
CN104363091A (zh) * 2014-12-01 2015-02-18 国家计算机网络与信息安全管理中心 一种自动检索密钥和选择算法的加解密方法
CN107968707A (zh) * 2017-10-20 2018-04-27 北京全路通信信号研究设计院集团有限公司 一种用于对密钥进行分类存储的方法及系统
CN111148073A (zh) * 2020-04-03 2020-05-12 北京全路通信信号研究设计院集团有限公司 一种车地通信传输信息的密钥管理方法及系统
CN111698088A (zh) * 2020-05-28 2020-09-22 平安科技(深圳)有限公司 密钥轮换方法、装置、电子设备及介质
CN113709733A (zh) * 2021-07-16 2021-11-26 中国铁道科学研究院集团有限公司通信信号研究所 一种应用于安全列尾设备的密钥分配方法

Also Published As

Publication number Publication date
CN114554486A (zh) 2022-05-27

Similar Documents

Publication Publication Date Title
CN114554486B (zh) 一种信息安全传输的密钥管理方法及系统
CN109462836B (zh) 融合区块链共识机制的车联网恶意节点检测系统及方法
CN107770182B (zh) 家庭网关的数据存储方法及家庭网关
CN110635893B (zh) 一种车载以太网信息安全防护方法
Lopez et al. Cyber security analysis of the European train control system
CN111131313B (zh) 智能网联汽车更换ecu的安全保障方法及系统
CN101176329B (zh) 通信协议和电子通信系统--特别是认证控制系统--及相应的方法
CN107846395A (zh) 车载联网
CN111049803A (zh) 基于车载can总线通讯系统数据加密及平台安全访问的方法
CN106506149B (zh) 一种tbox终端和tsp平台之间密钥生成方法以及系统
RU2002111551A (ru) Способ и устройство для шифрования передач в системе связи
CN111148073B (zh) 一种车地通信传输信息的密钥管理方法及系统
CN109714170B (zh) 一种联盟链中数据隔离方法及相应的联盟链系统
CN108809637A (zh) 基于混合密码的lte-r车-地通信非接入层认证密钥协商方法
CN111163109B (zh) 区块链去中心式节点防仿冒方法
CN111277978A (zh) 基于秘密共享和联盟链的车联网系统及方法
US20120198539A1 (en) Service Access Method, System and Device Based on WLAN Access Authentication
CN112565265A (zh) 物联网终端设备间的认证方法、认证系统及通讯方法
CN115665138A (zh) 一种汽车ota升级系统及方法
CN113596777A (zh) 一种基于区块链的智能网联汽车匿名身份认证系统及方法
CN111343606A (zh) 一种列车数据的安全保护方法及装置
Almazroi et al. FC-LSR: Fog Computing-Based Lightweight Sybil Resistant Scheme in 5G-Enabled Vehicular Networks
Arsuaga et al. A framework for vulnerability detection in European train control railway communications
CN115134125A (zh) 一种基于数据路由网关的数据采集与监控方法
CN111049640B (zh) 基于硬件指纹和aes加解密算法的物联网鉴权认证方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant