CN114793184B - 一种基于第三方密钥管理节点的安全芯片通信方法及装置 - Google Patents
一种基于第三方密钥管理节点的安全芯片通信方法及装置 Download PDFInfo
- Publication number
- CN114793184B CN114793184B CN202210708111.2A CN202210708111A CN114793184B CN 114793184 B CN114793184 B CN 114793184B CN 202210708111 A CN202210708111 A CN 202210708111A CN 114793184 B CN114793184 B CN 114793184B
- Authority
- CN
- China
- Prior art keywords
- signature
- node
- information
- internet
- vehicles
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/84—Vehicles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Medical Informatics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Theoretical Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
本申请实施例公开了一种基于第三方密钥管理节点的安全芯片通信方法及装置。本申请实施例提供的技术方案,通过第三方密钥管理节点生成私钥信息和对应的公钥信息,根据第二节点标识将公钥信息配置至服务节点,并通过设定随机化处理数据处理私钥信息,得到密钥处理信息,将密钥处理信息发送至车联网节点;车联网节点基于设定的解随机化处理数据处理密钥处理信息,得到对应的私钥信息,解随机化处理数据预先对应随机化处理数据配置;车联网节点基于私钥信息解密服务节点发送的加密数据,加密数据通过公钥信息进行加密。采用上述技术手段,可以提升通信密钥信息的破解难度,保障通信密钥信息配置的安全性,进而提升数据传输的安全性。
Description
技术领域
本申请实施例涉及通信技术领域,尤其涉及一种基于第三方密钥管理节点的安全芯片通信方法及装置。
背景技术
目前,在车联网络应用场景中进行业务数据交互时,由于数据内容可能涉及用户的个人信息、隐私信息等,因此在进行业务数据交互过程中,通常都会对待传输数据进行加密,以避免数据泄露,给用户造成不必要的损失。传统的车联网数据传输方法一般都是由发送端采用接收端提供的密钥信息进行数据加密,然后在数据接收端处设置相应的解密密钥,使用解密密钥对接收到的加密数据进行解密,以此实现数据的安全传输。
但是,这种数据传输方式较为简单,一旦接收端的密钥信息泄露或者被破解,就容易导致车联网业务数据内容被窃取,给用户带来不必要的损失,甚至影响用户车联网络业务的正常使用。
发明内容
本申请实施例提供一种基于第三方密钥管理节点的安全芯片通信方法及装置,提升通信密钥信息的破解难度,提升数据传输的安全性,解决现有车联网络密钥信息容易被破解导致数据泄露的技术问题。
在第一方面,本申请实施例提供了一种基于第三方密钥管理节点的安全芯片通信方法,包括:
车联网节点发送密钥请求至第三方密钥管理节点,所述密钥请求包含所述车联网节点的第一节点标识和对应服务节点的第二节点标识;
所述第三方密钥管理节点响应于所述密钥请求,基于所述第一节点标识进行所述车联网节点的身份认证,并在认证通过后,生成私钥信息和对应的公钥信息,根据所述第二节点标识将所述公钥信息配置至所述服务节点,并通过设定随机化处理数据处理所述私钥信息,得到密钥处理信息,将所述密钥处理信息发送至所述车联网节点;
所述车联网节点基于设定的解随机化处理数据处理所述密钥处理信息,得到对应的所述私钥信息,所述解随机化处理数据预先对应所述随机化处理数据配置;
所述车联网节点和所述服务节点进行双向签名认证,并在双向签名认证后,基于所述私钥信息解密所述服务节点发送的加密数据,所述加密数据通过所述公钥信息进行加密。
进一步地,所述车联网节点和所述服务节点进行双向签名认证,包括:
所述车联网节点和所述服务节点基于对应的签名运算数据进行签名运算生成数字签名,并使用相应的签名证书对生成的数字签名进行验签运算,在所述车联网节点和所述服务节点的验签运算通过后,完成双向签名认证。
进一步地,所述通过设定随机化处理数据处理所述私钥信息,包括:
以预定义的原始随机化种子作为输入样本,将所述输入样本循环输入预先构建的n级线性反馈移位寄存器,基于所述n级线性反馈移位寄存器和所述输入样本对所述私钥信息的逐个数据比特位进行随机化处理,并迭代调整所述输入样本。
进一步地,所述车联网节点基于设定的解随机化处理数据处理所述密钥处理信息,包括:
所述车联网节点基于所述n级线性反馈移位寄存器对应的n阶计算多项式对所述密钥处理信息的各个数据比特位进行解随机化处理。
在第二方面,本申请实施例提供了一种基于第三方密钥管理节点的安全芯片通信装置,包括:
请求模块,用于通过车联网节点发送密钥请求至第三方密钥管理节点,所述密钥请求包含所述车联网节点的第一节点标识和对应服务节点的第二节点标识;
配置模块,用于通过所述第三方密钥管理节点响应于所述密钥请求,基于所述第一节点标识进行所述车联网节点的身份认证,并在认证通过后,生成私钥信息和对应的公钥信息,根据所述第二节点标识将所述公钥信息配置至所述服务节点,并通过设定随机化处理数据处理所述私钥信息,得到密钥处理信息,将所述密钥处理信息发送至所述车联网节点;
处理模块,用于通过所述车联网节点基于设定的解随机化处理数据处理所述密钥处理信息,得到对应的所述私钥信息,所述解随机化处理数据预先对应所述随机化处理数据配置;
解密模块,用于通过所述车联网节点和所述服务节点进行双向签名认证,并在双向签名认证后,基于所述私钥信息解密所述服务节点发送的加密数据,所述加密数据通过所述公钥信息进行加密。
进一步地,所述解密模块具体用于通过所述车联网节点和所述服务节点基于对应的签名运算数据进行签名运算生成数字签名,并使用相应的签名证书对生成的数字签名进行验签运算,在所述车联网节点和所述服务节点的验签运算通过后,完成双向签名认证。
进一步地,所述配置模块具体用于以预定义的原始随机化种子作为输入样本,将所述输入样本循环输入预先构建的n级线性反馈移位寄存器,基于所述n级线性反馈移位寄存器和所述输入样本对所述私钥信息的逐个数据比特位进行随机化处理,并迭代调整所述输入样本。
进一步地,所述处理模块具体用于通过所述车联网节点基于所述n级线性反馈移位寄存器对应的n阶计算多项式对所述密钥处理信息的各个数据比特位进行解随机化处理。
在第三方面,本申请实施例提供了一种电子设备,包括:
存储器以及一个或多个处理器;
所述存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如第一方面所述的基于第三方密钥管理节点的安全芯片通信方法。
在第四方面,本申请实施例提供了一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行如第一方面所述的基于第三方密钥管理节点的安全芯片通信方法。
本申请实施例通过车联网节点发送密钥请求至第三方密钥管理节点,密钥请求包含车联网节点的第一节点标识和对应服务节点的第二节点标识;第三方密钥管理节点响应于密钥请求,基于第一节点标识进行车联网节点的身份认证,并在认证通过后,生成私钥信息和对应的公钥信息,根据第二节点标识将公钥信息配置至服务节点,并通过设定随机化处理数据处理私钥信息,得到密钥处理信息,将密钥处理信息发送至车联网节点;车联网节点基于设定的解随机化处理数据处理密钥处理信息,得到对应的私钥信息,解随机化处理数据预先对应随机化处理数据配置;车联网节点和服务节点进行双向签名认证,并在双向签名认证后,基于私钥信息解密服务节点发送的加密数据,加密数据通过公钥信息进行加密。采用上述技术手段,通过第三方密钥管理节点进行通信密钥信息配置,并在配置私钥信息时,结合随机化处理算法处理私钥信息,以此可以提升通信密钥信息的破解难度,保障通信密钥信息配置的安全性,进而提升数据传输的安全性。
附图说明
图1是本申请实施例一提供的一种基于第三方密钥管理节点的安全芯片通信方法的流程图;
图2是本申请实施例一中的车联网节点与服务节点的连接结构示意图;
图3是本申请实施例一中的密钥信息配置示意图;
图4是本申请实施例一中的双向签名认证流程示意图;
图5是本申请实施例二提供的一种基于第三方密钥管理节点的安全芯片通信装置的结构示意图;
图6是本申请实施例三提供的一种电子设备的结构示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面结合附图对本申请具体实施例作进一步的详细描述。可以理解的是,此处所描述的具体实施例仅仅用于解释本申请,而非对本申请的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本申请相关的部分而非全部内容。在更加详细地讨论示例性实施例之前应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作(或步骤)描述成顺序的处理,但是其中的许多操作可以被并行地、并发地或者同时实施。此外,各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。
实施例一:
图1给出了本申请实施例一提供的一种基于第三方密钥管理节点的安全芯片通信方法的流程图,本实施例中提供的基于第三方密钥管理节点的安全芯片通信方法可以由车联网业务服务系统执行,该车联网业务服务系统可以通过软件和/或硬件的方式实现,该车联网业务服务系统可以是两个或多个物理实体构成。
下述以该车联网业务服务系统为执行基于第三方密钥管理节点的安全芯片通信方法的主体为例,进行描述。参照图1,该基于第三方密钥管理节点的安全芯片通信方法具体包括:
S110、车联网节点发送密钥请求至第三方密钥管理节点,所述密钥请求包含所述车联网节点的第一节点标识和对应服务节点的第二节点标识。
S120、所述第三方密钥管理节点响应于所述密钥请求,基于所述第一节点标识进行所述车联网节点的身份认证,并在认证通过后,生成私钥信息和对应的公钥信息,根据所述第二节点标识将所述公钥信息配置至所述服务节点,并通过设定随机化处理数据处理所述私钥信息,得到密钥处理信息,将所述密钥处理信息发送至所述车联网节点。
S130、所述车联网节点基于设定的解随机化处理数据处理所述密钥处理信息,得到对应的所述私钥信息,所述解随机化处理数据预先对应所述随机化处理数据配置。
S140、所述车联网节点和所述服务节点进行双向签名认证,并在双向签名认证后,基于所述私钥信息解密所述服务节点发送的加密数据,所述加密数据通过所述公钥信息进行加密。
本申请实施例的基于第三方密钥管理节点的安全芯片通信方法,旨在通过第三方密钥管理节点进行车联网节点与服务节点通信密钥信息的配置,以提升通信密钥信息的破解难度,保障通信密钥信息配置的安全性,进而提升数据传输的安全性。
具体地,参照图2,提供本申请实施例一种车联网业务服务系统的结构示意图,该车联网业务服务系统包括多个车联网节点11和服务节点12,各个车联网节点11通过与服务节点12进行双向签名认证,以在签名认证通过后,进行业务数据交互,使车联网节点11使用服务节点12提供的服务。车联网节点可以是车辆的车机、中控,用户终端等需要连接车联网络使用相关服务的节点。以车辆的车机为例,在连接车联网络获取相关导航信息之前,通过本申请实施例的基于双向签名认证的安全芯片通信方法,进行车机与服务节点的双向签名认证,并在认证之后,开始使用服务节点提供的导航服务。而在车联网节点与服务节点进行业务数据交互过程中,需要使用相应的通信密钥信息加密业务数据,以避免业务数据被窃取或者篡改,保障车联网节点正常使用服务节点提供的业务服务。
基于此,本申请实施例在车联网节点连接服务节点进行业务数据交互之前,通过第三方密钥管理节点配置车联网节点与服务节点的通信密钥信息,以保障后续业务数据交互的安全性。
参照图3,在进行密钥信息配置时,11车联网节点发送密钥请求至第三方密钥管理节点13,已通过第三方密钥管理节点13进行通信密钥信息配置。并将配置好的私钥信息发送至车联网节点11,将公钥信息配置至服务节点12。其中,该密钥请求包含了当前车联网节点的第一节点标识和待建立业务通信链路的服务节点的第二节点标识。第三方密钥管理节点基于该第一节点标识首先进车联网节点的身份认证。在此之前,第三方密钥管理节点获取车联网业务服务系统中各个已经创建账户的车联网节点的节点标识,构建身份认证信息表。后续在基于第一节点标识进行车联网节点的身份认证时,通过第一节点标识查询身份信息表。若身份信息表中存在与第一节点标识相同的节点标识,则表示该车联网节点的身份合法。反之,则认为当前车联网节点的身份不合法,第三方密钥管理节点会忽略该密钥请求,当前车联网节点的身份认证不通过。
进一步地,在确定车联网节点的身份合法,身份认证通过后,第三方密钥管理节点响应该密钥请求,生成私钥信息和公钥信息。第三方密钥管理节点维护一个密钥信息池,密钥信息池中存储待使用的非对称密钥对(包含私钥信息和对应的公钥信息)。在处理密钥请求时,从密钥信息池提取一个非对称密钥对,以进行通信密钥信息的配置。需要说明的是,为了避免提取后的非对称密钥对被其他节点复用,导致密钥信息泄露的情况。第三方密钥管理节点会在配置完当前车联网节点与服务节点的通信密钥信息之后,从密钥信息池中删除对应的非对称密钥对。可选地,为了减少通信密钥信息生成的复杂度,本申请实施例的第三方密钥管理节点还在车联网节点注销系统服务账号时,回收其对应的非对称密钥对,以复用非对称密钥对,优化非对称密钥对的管理效果。
基于该私钥信息和公钥信息,第三方密钥管理节点将公钥信息配置至服务节点,后续服务节点在与车联网节点进行业务数据交互时,使用该公钥信息进行业务数据解密。另一方面,第三方密钥管理节点将私钥信息进行随机化处理,并将以此生成的密钥处理信息配置至车辆网节点,以此完成私钥信息的配置。
在使用设定随机化处理数据处理私钥信息时,根据随机化处理数据提供的随机化处理算法,第三方密钥管理节点以预定义的原始随机化种子作为输入样本,将所述输入样本循环输入预先构建的n级线性反馈移位寄存器,基于所述n级线性反馈移位寄存器和所述输入样本对所述私钥信息的逐个数据比特位进行随机化处理,并迭代调整所述输入样本。
其中,根据私钥信息的数据量,将私钥信息切分为多个数据分片。每个数据分片的标准数据量是固定的。对于不满足标准数据量的部分私钥信息,则独立作为一个数据分片,以此完成数据的切分。本申请实施例通过切分数据分片,可以实现数据的分布式传输,避免单一数据包过大影响数据传输效率,同时也便于信息的随机化处理。进一步地,基于各个数据分片,本申请实施例逐一对数据分片进行随机化处理。其中,利用随机化处理算法对数据分片进行随机化处理。随机化处理算法使用了随机函数,且随机函数的返回值直接或者间接的影响了算法的执行流程或执行结果。就是将算法的某一步或某几步置于运气的控制之下,即该算法在运行的过程中的某一步或某几步涉及一个随机决策,或者说其中的一个决策依赖于某种随机事件。本申请实施例根据实际数据传输需求,可以适应性选择各种不同的随机化处理算法,对具体的随机化处理算法不做固定限制,在此不多赘述。
下面,提供本申请实施例随机化处理数据分片的一种实施方式。其中,通过定义各个所述数据分片的原始随机化种子,基于所述原始随机化种子对所述数据分片进行随机化处理。通过定义一个n级线性反馈移位寄存器,将各个原始随机化种子输入n级线性反馈移位寄存器中,以计算数据分片上各个数据比特位随机化处理后的值。
在此之前,需要预先定义与n级线性反馈移位寄存器对应的n阶计算多项式,并预先定义原始随机化种子。在随机化处理数据分片时,首先将将原始随机化种子作为n级线性反馈移位寄存器的原始输入样本,输入到n级线性反馈移位寄存器。在n级线性反馈移位寄存器中,基于n阶计算多项式,对原始随机化种子的至少一个特定比特位进行异或操作,生成一个输出比特位。需要说明的是,本申请对原始随机化种子的具体值、以及计算多项式的具体形式并不限制,可以由用户自由设定,只需满足计算多项式的阶数与线性反馈移位寄存器的阶数相同即可。计算多项式的最高阶数代表最小随机化长度。
示例性地,对于16级线性反馈移位寄存器,由用户自由设定的16阶计算多项式可以为“X16+X7+X2+1”。当然,16阶计算多项式也可以为“X16+X12+X6+X5+X4”等。设定计算多项式的主要目的在于:通过计算多项式的除最高指数的其余各个指数,可以确定原始随机化种子中需要进行异或操作的比特位数。例如,如果计算多项式设定为“X16+X7+X2+1”,原始随机化种子为“0x79E5”。在将原始随机化种子输入到线性反馈移位寄存器中各个比特位之后,选取线性反馈移位寄存器中第1个比特位、第3个比特位和第8个比特位的数据,然后对所选取的数据进行异或操作,得到一个输出比特位。如若第1个比特位、第3个比特位和第8个比特位的数据分别为1、1、1,在对这三个“1”进行异或操作后,得到的输出比特位为“0”。
进一步地,将输出的比特位与数据分片中的一个数据比特位再进行异或操作,得到一个随机数据比特位;同时,原始输入样本在n级线性反馈移位寄存器中向最高有效比特位MSB移一个比特位,输出比特位反馈到原始输入样本的最低有效比特位,从而得到一个新的随机化种子。例如,当输出比特位为0后,比特位0与需要随机化的数据比特位进行异或操作。如果需要随机化的数据比特位为1,则异或操作结果为1,即随机数据比特位为1。然后,原始输入样本在线性反馈移位寄存器中向最高有效比特位MSB移一个比特位,输出比特位1反馈到原始输入样本的最低有效比特位,从而得到一个新的随机化种子。
之后,以新的随机化种子替换原始随机化种子,对数据分片中新的数据比特位重复执行上述随机化处理步骤,得到新的随机数据比特位。以此类推,逐个数据分片,逐一对数据分片上各个数据比特位进行随机化处理,即可完成私钥信息的随机化处理,得到对应的密钥处理信息。
例如,如果数据分片为8个,则需要设定8个随机化种子。对于每一个数据分片,均重复上述数据随机化处理步骤,直到处理完所有的数据比特位,完成数据随机化处理。需要说明的是,根据实际数据处理需求,可以适应性设定随机化处理过程中使用到的计算多项式、数据分片数量及随机化种子。由于数据在传输过程中即进行了随机化处理操作,以此即使盗取密钥处理信息,由于其无法知道用户设定的数据分片数量、随机化处理时使用的计算多项式以及用户设置的原始随机化种子。因此无法解随机化得出原始的私钥信息,使得密钥信息的配置过程更加安全可靠性,避免密钥信息配置过程中被轻易窃取,进而影响后续业务数据传输的情况。
完成上述私钥信息的随机化处理后,第三方密钥管理节点将以此生成的密钥处理信息配置至车联网节点。对应车联网节点一端,则通过解随机化处理数据对密钥处理信息进行解随机化处理,还原得到私钥信息。其中,解随机化处理数据提供了对应的解随机处理算法,通过解随机处理算法,车联网节点基于所述n级线性反馈移位寄存器对应的n阶计算多项式对所述密钥处理信息的各个数据比特位进行解随机化处理。
解随机化处理过程为随机化处理的逆操作,在此之前,车联网节点同样需要配置相应的n级计算多项式、多个原始随机化种子,以用于信息的解随机化处理。其中,对于需要进行解随机化的密钥处理信息中的各个数据分片,基于设定的n阶计算多项式,首先将原始随机化种子的若干个特定比特位进行异或操作,生成一个输出比特位。然后将该输出比特位与数据分片中的相应比特位进行异或操作,即生成原始数据(即原始数据分片)中的一个相应的数据比特位。循环对数据分片中的各个比特位进行上述操作,即可解随机化得到原始的数据分片。之后,对于解随机化处理还原得到的各个数据分片,需要将各个数据分片合并为对应的私钥信息。
完成通行密钥信息配置之后,车联网节点与服务节点进行业务数据通信之前,还需要进行双向签名认证,以避免伪基站介入,影响业务的正常处理。其中,所述车联网节点和所述服务节点基于对应的签名运算数据进行签名运算生成数字签名,并使用相应的签名证书对生成的数字签名进行验签运算,在所述车联网节点和所述服务节点的验签运算通过后,完成双向签名认证。
具体地,参照图4,在车联网节点与服务节点进行双向签名认证时,通过车联网节点与服务节点的安全芯片预先配置的双向签名认证算法执行双向签名认证流程。其中,当车联网节点需要接入车辆网络使用相关业务服务时,首先由车联网节点发送签名认证请求至所述服务节点,接收所述服务节点响应于所述签名认证请求而返回的所述第一签名运算数据和第二签名证书。第一签名运算数据用于进行车联网节点的签名运算,以生成对应的第一数字签名。第二签名证书用于车联网节点对服务节点生成的第二数字签名进行验签运算。
第一签名运算数据包括服务节点的第二节点标识和预设随机数信息,其中,第二节点标识用于标识该服务节点,其可以是服务节点的设备标识、设备唯一ID和/或服务节点安全芯片的算法标识等。预设随机数信息为服务节点生成的用于进行通信双方生成数字签名的随机数。根据实际的签名运算需要,预设随机数信息可以是服务节点生成的,也可以包含车联网节点和服务节点提供两者提供的不同随机数。本申请实施例通过获取服务节点的第二节点标识和随机数以进行车联网节点的签名运算,以此生成的数字签名包含服务节点的提供的相关签名运算数据,避免数字签名被轻易篡改,导致通信链路被篡改的情况。
进一步地,车联网节点基于接收到的第一签名运算数据和第二签名证书,首先使用第一签名运算数据进行签名运算,生成第一数字签名。在进行签名运算时,车联网节点基于预存的第一签名信息表确定匹配当前车联网节点和服务节点的第一签名信息,对所述第一签名运算数据和第一签名信息进行杂凑运算,生成第一杂凑值;使用所述第一签名私钥对所述第一杂凑值进行签名运算,生成所述第一数字签名。
签名信息表在设备出厂时是空的,无任何数据,当设备A和设备B进行双向签名认证时,且设备A第一次对设备B签名时,会生成一个设备A的ID(即节点标识)、设备B的ID和签名信息值的字段,并将该字段写入签名信息表中。其中,签名信息即该次签名运算生成的签名经过摘要运算得到的值。
则在车联网节点进行签名运算时,首先查询自身预存的第一签名信息表,判断第一签名信息表是否存在匹配车联网节点和服务节点的第一签名信息,若存在,则将第一签名信息记录后进入下一运算步骤。否则,车联网节点将设置一个出厂默认值作为第一签名信息。之后,使用上述第一签名运算数据和该第一签名信息进行杂凑运算,定义生成的杂凑值为第一杂凑值。杂凑运算是将任意长度的数据映射成一个长度较短且固定长度值的运算,该运算具有不可逆性。基于该第一杂凑值,使用车联网节点的第一签名私钥进行签名运算,进而生成第一数字签名。需要说明的是,本申请实施例对具体的杂凑运算、签名运算和验签运算方式不做固定限制,在此不多赘述。
此外,车联网节点还将生成的第一数字签名进行杂凑运算,生成新的第一签名值,然后再次判断签名信息表中是否已存在对应的签名值,若存在,则用新生成的签名值替换已存在第一签名信息,否则将签名值作为第一签名信息,以及第一节点标识和第二节点标识记载进第一签名信息表。
基于已生成的第一数字签名,车联网节点将第一数字签名、第一节点标识和第一签名证书发送至服务节点。以用于服务节点的第一数字签名验证和自身数字签名的生成。
进一步地,基于接收到的第一数字签名、第一节点标识和第一签名证书,服务节点依此进行第一数字签名的验签运算,并在验签通过后执行自身第二数字签名的生成流程。
其中,所述服务节点基于预存的第一验签信息表确定匹配当前车联网节点和服务节点的第一验签信息,使用所述第一签名运算数据和所述第一验签信息进行杂凑运算,生成第二杂凑值;使用所述第一签名证书对所述第二杂凑值和所述第一数字签名进行验签运算。
并基于预存的第二签名信息表确定匹配当前车联网节点和服务节点的第二签名信息,对所述第二签名运算数据和第二签名信息进行杂凑运算,生成第三杂凑值;使用所述第二签名私钥对所述第三杂凑值进行签名运算,生成所述第二数字签名。
其中,验签信息表在设备出厂时是空的,无任何数据。当设备A和设备B进行双向认证,且设备B第一次对设备A验签成功后,才会生成一个包含设备A的ID(即节点标识),设备B的ID和验签信息的字段,并将该字段写入验签信息表。其中,验签信息即设备A传给设备B的数字签名经过摘要运算得到的值。
具体地,服务节点在进行验签运算时,首先判断自身预存的第一验签信息表中是否存在匹配当前车联网节点和服务节点的第一验签信息,若存在,则直接记录该第一验签信息并进入下一运算步骤。否则服务节点将设置一个出厂默认值作为第一验签信息;之后,对第一签名运算数据和该第一验签信息进行杂凑运算,生成第二杂凑值。采用车联网节点的第一签名证书提供的公钥对第二杂凑值和第一数字签名进行验签运算,若验签成功,则进一步进行自身数字签名的生成,否则结束服务节点的验签运算过程,当前车联网节点和服务节点的双向签名认证失败。
此外,服务节点还判断第一验签信息表中是否存在对应车联网节点和服务节点的签名摘要值,若存在,则更新签名摘要值为第一验签信息;若不存在,则对第一数字签名进行杂凑运算生成新的第一签名信息,同时将新的第一签名信息以及第一节点标识和第二节点标识记载进第一验签信息表中。
进一步地,完成验签运算后,服务节点在进行自身第二数字签名生成时,首先判断服务节点中的第二签名信息表是否是存在匹配车联网节点和服务节点的第二签名信息,若存在,则将已存在的第二签名信息记录后进入下一运算步骤;否则,服务节点将设置一个出厂默认值作为第二验签信息。之后,使用上述第二签名运算数据和该第二验签信息进行杂凑运算,定义生成的杂凑值为第三杂凑值。基于该第三杂凑值,使用服务节点的第二签名私钥进行签名运算,进而生成第二数字签名。
此外,服务节点还将生成的第二数字签名进行杂凑运算,生成新的第二签名值,然后再次判断第二签名信息表中是否已存在对应的签名值,若存在,则用新生成的签名值替换已存在第二签名信息,否则将签名值作为第二签名信息,以及第一节点标识和第二节点标识记载进第二签名信息表。
最终,服务节点将生成的第二数字签名返回至车联网节点后,基于预存的第二验签信息表确定匹配当前车联网节点和服务节点的第二验签信息,使用所述第二签名运算数据和所述第二验签信息进行杂凑运算,生成第四杂凑值;使用所述第二签名证书对所述第四杂凑值和所述第二数字签名进行验签运算。
具体地,车联网节点在进行验签运算时,首先判断自身预存的第二验签信息表中是否存在匹配当前车联网节点和服务节点的第二验签信息,若存在,则直接记录该第二验签信息并进入下一运算步骤。否则车联网节点将设置一个出厂默认值作为第二验签信息;之后,对第二签名运算数据和该第二验签信息进行杂凑运算,生成第四杂凑值。采用服务节点的第二签名证书提供的公钥对第四杂凑值和第二数字签名进行验签运算,若验签成功,则完成双向签名认证,否则结束车联网节点的验签运算过程,当前车联网节点和服务节点的双向签名认证失败。
此外,车联网节点还判断第二验签信息表中是否存在对应车联网节点和服务接的的签名摘要值,若存在,则更新签名摘要值为第二验签信息;若不存在,则对第二数字签名进行杂凑运算生成新的第二验签信息,同时将新的第二验签信息以及第一节点标识和第二节点标识记载进第二验签信息表中。
需要说明的是,对于签名信息表和验签信息表而言,在设备出厂时都是属于空白的,只有当第一次认证成功后,才会将节点标识和生成的签名信息记载进签名信息表中;此时,在第一次认证时,会采用设备的出厂默认值进行计算。由于该出厂默认值是在设备出厂时通过安全方式配置进去的,因此其他厂商并不知晓该出厂默认值。不同的厂商设备在进行验证时不会产生相同的签名摘要值,从而保证设备签名认证的排他性。
通过上述双向签名认证方法,由于每个设备在认证过程中存储了下次认证双方所需的签名信息和验签信息,并且认证双方第一次使用的签名信息和验签信息具备外部不可知性,因此可以确保实施签名认证的设备是唯一的,保证了设备厂商的不可替换性,进而提升车联网节点双向签名认证的安全性。
完成双向签名认证之后,车联网节点在与服务节点进行业务数据交互时,即可使用要私钥信息解密服务节点传输的、使用公钥信息加密的业务数据。可以理解的是,由于通信密钥信息由第三方密钥管理节点结合了随机化处理数据进行配置,因此增大了密钥信息破解的难度。同时也缓解了服务节点的数据处理压力,提升密钥信息的管理效率。
在一个实施例中,所述第三方管理节点基于设定时间间隔周期性更新所述公钥信息至所述服务节点,并将对应的私钥信息更新至所述车联网节点。第三方管理节点周期性在密钥信息池中提取新的非对称密钥对并更新至车联网节点和服务节点。密钥信息的更新流程参照上述密钥信息配置流程,在此不多赘述。
通过周期性更新通信密钥信息,可以增加密钥信息破解的难度,进一步提升业务数据通信的安全性。
上述,通过车联网节点发送密钥请求至第三方密钥管理节点,密钥请求包含车联网节点的第一节点标识和对应服务节点的第二节点标识;第三方密钥管理节点响应于密钥请求,基于第一节点标识进行车联网节点的身份认证,并在认证通过后,生成私钥信息和对应的公钥信息,根据第二节点标识将公钥信息配置至服务节点,并通过设定随机化处理数据处理私钥信息,得到密钥处理信息,将密钥处理信息发送至车联网节点;车联网节点基于设定的解随机化处理数据处理密钥处理信息,得到对应的私钥信息,解随机化处理数据预先对应随机化处理数据配置;车联网节点和服务节点进行双向签名认证,并在双向签名认证后,基于私钥信息解密服务节点发送的加密数据,加密数据通过公钥信息进行加密。采用上述技术手段,通过第三方密钥管理节点进行通信密钥信息配置,并在配置私钥信息时,结合随机化处理算法处理私钥信息,以此可以提升通信密钥信息的破解难度,保障通信密钥信息配置的安全性,进而提升数据传输的安全性。
实施例二:
在上述实施例的基础上,图5为本申请实施例二提供的一种基于第三方密钥管理节点的安全芯片通信装置的结构示意图。参考图5,本实施例提供的基于第三方密钥管理节点的安全芯片通信装置具体包括:请求模块21、配置模块22、处理模块23和解密模块24。
其中,请求模块21用于通过车联网节点发送密钥请求至第三方密钥管理节点,所述密钥请求包含所述车联网节点的第一节点标识和对应服务节点的第二节点标识;
配置模块22用于通过所述第三方密钥管理节点响应于所述密钥请求,基于所述第一节点标识进行所述车联网节点的身份认证,并在认证通过后,生成私钥信息和对应的公钥信息,根据所述第二节点标识将所述公钥信息配置至所述服务节点,并通过设定随机化处理数据处理所述私钥信息,得到密钥处理信息,将所述密钥处理信息发送至所述车联网节点;
处理模块23用于通过所述车联网节点基于设定的解随机化处理数据处理所述密钥处理信息,得到对应的所述私钥信息,所述解随机化处理数据预先对应所述随机化处理数据配置;
解密模块24用于通过所述车联网节点和所述服务节点进行双向签名认证,并在双向签名认证后,基于所述私钥信息解密所述服务节点发送的加密数据,所述加密数据通过所述公钥信息进行加密。
具体地,配置模块22具体用于以预定义的原始随机化种子作为输入样本,将所述输入样本循环输入预先构建的n级线性反馈移位寄存器,基于所述n级线性反馈移位寄存器和所述输入样本对所述私钥信息的逐个数据比特位进行随机化处理,并迭代调整所述输入样本。
处理模块23具体用于通过所述车联网节点基于所述n级线性反馈移位寄存器对应的n阶计算多项式对所述密钥处理信息的各个数据比特位进行解随机化处理。
解密模块24具体用于通过所述车联网节点和所述服务节点基于对应的签名运算数据进行签名运算生成数字签名,并使用相应的签名证书对生成的数字签名进行验签运算,在所述车联网节点和所述服务节点的验签运算通过后,完成双向签名认证。
上述,通过车联网节点发送密钥请求至第三方密钥管理节点,密钥请求包含车联网节点的第一节点标识和对应服务节点的第二节点标识;第三方密钥管理节点响应于密钥请求,基于第一节点标识进行车联网节点的身份认证,并在认证通过后,生成私钥信息和对应的公钥信息,根据第二节点标识将公钥信息配置至服务节点,并通过设定随机化处理数据处理私钥信息,得到密钥处理信息,将密钥处理信息发送至车联网节点;车联网节点基于设定的解随机化处理数据处理密钥处理信息,得到对应的私钥信息,解随机化处理数据预先对应随机化处理数据配置;车联网节点和服务节点进行双向签名认证,并在双向签名认证后,基于私钥信息解密服务节点发送的加密数据,加密数据通过公钥信息进行加密。采用上述技术手段,通过第三方密钥管理节点进行通信密钥信息配置,并在配置私钥信息时,结合随机化处理算法处理私钥信息,以此可以提升通信密钥信息的破解难度,保障通信密钥信息配置的安全性,进而提升数据传输的安全性。
本申请实施例二提供的基于第三方密钥管理节点的安全芯片通信装置可以用于执行上述实施例一提供的基于第三方密钥管理节点的安全芯片通信方法,具备相应的功能和有益效果。
实施例三:
本申请实施例三提供了一种电子设备,参照图6,该电子设备包括:处理器31、存储器32、通信模块33、输入装置34及输出装置35。该电子设备中处理器的数量可以是一个或者多个,该电子设备中的存储器的数量可以是一个或者多个。该电子设备的处理器、存储器、通信模块、输入装置及输出装置可以通过总线或者其他方式连接。
存储器32作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本申请任意实施例所述的基于第三方密钥管理节点的安全芯片通信方法对应的程序指令/模块(例如,基于第三方密钥管理节点的安全芯片通信装置中的请求模块、配置模块、处理模块和解密模块)。存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据设备的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器可进一步包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
通信模块33用于进行数据传输。
处理器31通过运行存储在存储器中的软件程序、指令以及模块,从而执行设备的各种功能应用以及数据处理,即实现上述的基于第三方密钥管理节点的安全芯片通信方法。
输入装置34可用于接收输入的数字或字符信息,以及产生与设备的用户设置以及功能控制有关的键信号输入。输出装置35可包括显示屏等显示设备。
上述提供的电子设备可用于执行上述实施例一提供的基于第三方密钥管理节点的安全芯片通信方法,具备相应的功能和有益效果。
实施例四:
本申请实施例还提供一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行一种基于第三方密钥管理节点的安全芯片通信方法,该基于第三方密钥管理节点的安全芯片通信方法包括:车联网节点发送密钥请求至第三方密钥管理节点,所述密钥请求包含所述车联网节点的第一节点标识和对应服务节点的第二节点标识;所述第三方密钥管理节点响应于所述密钥请求,基于所述第一节点标识进行所述车联网节点的身份认证,并在认证通过后,生成私钥信息和对应的公钥信息,根据所述第二节点标识将所述公钥信息配置至所述服务节点,并通过设定随机化处理数据处理所述私钥信息,得到密钥处理信息,将所述密钥处理信息发送至所述车联网节点;所述车联网节点基于设定的解随机化处理数据处理所述密钥处理信息,得到对应的所述私钥信息,所述解随机化处理数据预先对应所述随机化处理数据配置;
所述车联网节点和所述服务节点进行双向签名认证,并在双向签名认证后,基于所述私钥信息解密所述服务节点发送的加密数据,所述加密数据通过所述公钥信息进行加密。
存储介质——任何的各种类型的存储器设备或存储设备。术语“存储介质”旨在包括:安装介质,例如CD-ROM、软盘或磁带装置;计算机系统存储器或随机存取存储器,诸如DRAM、DDR RAM、SRAM、EDO RAM,兰巴斯(Rambus)RAM等;非易失性存储器,诸如闪存、磁介质(例如硬盘或光存储);寄存器或其它相似类型的存储器元件等。存储介质可以还包括其它类型的存储器或其组合。另外,存储介质可以位于程序在其中被执行的第一计算机系统中,或者可以位于不同的第二计算机系统中,第二计算机系统通过网络(诸如因特网)连接到第一计算机系统。第二计算机系统可以提供程序指令给第一计算机用于执行。术语“存储介质”可以包括驻留在不同位置中(例如在通过网络连接的不同计算机系统中)的两个或更多存储介质。存储介质可以存储可由一个或多个处理器执行的程序指令(例如具体实现为计算机程序)。
当然,本申请实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的基于第三方密钥管理节点的安全芯片通信方法,还可以执行本申请任意实施例所提供的基于第三方密钥管理节点的安全芯片通信方法中的相关操作。
上述实施例中提供的基于第三方密钥管理节点的安全芯片通信装置、存储介质及电子设备可执行本申请任意实施例所提供的基于第三方密钥管理节点的安全芯片通信方法,未在上述实施例中详尽描述的技术细节,可参见本申请任意实施例所提供的基于第三方密钥管理节点的安全芯片通信方法。
上述仅为本申请的较佳实施例及所运用的技术原理。本申请不限于这里所述的特定实施例,对本领域技术人员来说能够进行的各种明显变化、重新调整及替代均不会脱离本申请的保护范围。因此,虽然通过以上实施例对本申请进行了较为详细的说明,但是本申请不仅仅限于以上实施例,在不脱离本申请构思的情况下,还可以包括更多其他等效实施例,而本申请的范围由权利要求的范围决定。
Claims (4)
1.一种基于第三方密钥管理节点的安全芯片通信方法,其特征在于,包括:
车联网节点发送密钥请求至第三方密钥管理节点,所述密钥请求包含所述车联网节点的第一节点标识和对应服务节点的第二节点标识;
所述第三方密钥管理节点响应于所述密钥请求,基于所述第一节点标识进行所述车联网节点的身份认证,并在认证通过后,生成私钥信息和对应的公钥信息,根据所述第二节点标识将所述公钥信息配置至所述服务节点,并通过设定随机化处理数据处理所述私钥信息,得到密钥处理信息,将所述密钥处理信息发送至所述车联网节点;
所述车联网节点基于设定的解随机化处理数据处理所述密钥处理信息,得到对应的所述私钥信息,所述解随机化处理数据预先对应所述随机化处理数据配置;
所述车联网节点和所述服务节点进行双向签名认证,并在双向签名认证后,基于所述私钥信息解密所述服务节点发送的加密数据,所述加密数据通过所述公钥信息进行加密;
所述车联网节点和所述服务节点进行双向签名认证,包括:
所述车联网节点和所述服务节点基于对应的签名运算数据进行签名运算生成数字签名,并使用相应的签名证书对生成的数字签名进行验签运算,在所述车联网节点和所述服务节点的验签运算通过后,完成双向签名认证;
其中,所述车联网节点使用第一签名私钥对第一签名运算数据进行签名运算,生成第一数字签名,将所述第一数字签名、所述车联网节点的第一节点标识和第一签名证书发送至所述服务节点,所述第一签名运算数据包括所述服务节点的第二节点标识和预设随机数信息;接收所述服务节点返回的第二数字签名,其中,通过所述服务节点基于所述第一数字签名使用所述第一签名证书进行验签运算,并在验签运算通过后,使用第二签名私钥对第二签名运算数据进行签名运算,生成所述第二数字签名,将所述第二数字签名发送至所述车联网节点,所述第二签名运算数据包括所述第一节点标识和所述预设随机数信息;所述车联网节点基于所述第二数字签名使用所述服务节点的第二签名证书进行验签运算;
所述车联网节点使用第一签名私钥对第一签名运算数据进行签名运算,生成第一数字签名,包括:
基于预存的第一签名信息表确定匹配所述车联网节点和服务节点的第一签名信息,对所述第一签名运算数据和第一签名信息进行杂凑运算,生成第一杂凑值;
使用所述第一签名私钥对所述第一杂凑值进行签名运算,生成所述第一数字签名;
通过所述服务节点基于所述第一数字签名使用所述第一签名证书进行验签运算,并在验签运算通过后,使用第二签名私钥对第二签名运算数据进行签名运算,生成所述第二数字签名,包括:
所述服务节点基于预存的第一验签信息表确定匹配所述车联网节点和服务节点的第一验签信息,使用所述第一签名运算数据和所述第一验签信息进行杂凑运算,生成第二杂凑值;
使用所述第一签名证书对所述第二杂凑值和所述第一数字签名进行验签运算;
在验签运算通过后,所述服务节点基于预存的第二签名信息表确定匹配所述车联网节点和服务节点的第二签名信息,对所述第二签名运算数据和第二签名信息进行杂凑运算,生成第三杂凑值;
使用所述第二签名私钥对所述第三杂凑值进行签名运算,生成所述第二数字签名;
所述车联网节点基于所述第二数字签名使用所述服务节点的第二签名证书进行验签运算,包括:
基于预存的第二验签信息表确定匹配所述车联网节点和服务节点的第二验签信息,使用所述第二签名运算数据和所述第二验签信息进行杂凑运算,生成第四杂凑值;
使用所述第二签名证书对所述第四杂凑值和所述第二数字签名进行验签运算;
所述通过设定随机化处理数据处理所述私钥信息,包括:
以预定义的原始随机化种子作为输入样本,将所述输入样本循环输入预先构建的n级线性反馈移位寄存器,基于所述n级线性反馈移位寄存器和所述输入样本对所述私钥信息的逐个数据比特位进行随机化处理,并迭代调整所述输入样本;
所述车联网节点基于设定的解随机化处理数据处理所述密钥处理信息,包括:
所述车联网节点基于所述n级线性反馈移位寄存器对应的n阶计算多项式对所述密钥处理信息的各个数据比特位进行解随机化处理。
2.一种基于第三方密钥管理节点的安全芯片通信装置,其特征在于,包括:
请求模块,用于通过车联网节点发送密钥请求至第三方密钥管理节点,所述密钥请求包含所述车联网节点的第一节点标识和对应服务节点的第二节点标识;
配置模块,用于通过所述第三方密钥管理节点响应于所述密钥请求,基于所述第一节点标识进行所述车联网节点的身份认证,并在认证通过后,生成私钥信息和对应的公钥信息,根据所述第二节点标识将所述公钥信息配置至所述服务节点,并通过设定随机化处理数据处理所述私钥信息,得到密钥处理信息,将所述密钥处理信息发送至所述车联网节点;
处理模块,用于通过所述车联网节点基于设定的解随机化处理数据处理所述密钥处理信息,得到对应的所述私钥信息,所述解随机化处理数据预先对应所述随机化处理数据配置;
解密模块,用于通过所述车联网节点和所述服务节点进行双向签名认证,并在双向签名认证后,基于所述私钥信息解密所述服务节点发送的加密数据,所述加密数据通过所述公钥信息进行加密;
所述解密模块具体用于通过所述车联网节点和所述服务节点基于对应的签名运算数据进行签名运算生成数字签名,并使用相应的签名证书对生成的数字签名进行验签运算,在所述车联网节点和所述服务节点的验签运算通过后,完成双向签名认证;
其中,所述车联网节点使用第一签名私钥对第一签名运算数据进行签名运算,生成第一数字签名,将所述第一数字签名、所述车联网节点的第一节点标识和第一签名证书发送至所述服务节点,所述第一签名运算数据包括所述服务节点的第二节点标识和预设随机数信息;接收所述服务节点返回的第二数字签名,其中,通过所述服务节点基于所述第一数字签名使用所述第一签名证书进行验签运算,并在验签运算通过后,使用第二签名私钥对第二签名运算数据进行签名运算,生成所述第二数字签名,将所述第二数字签名发送至所述车联网节点,所述第二签名运算数据包括所述第一节点标识和所述预设随机数信息;所述车联网节点基于所述第二数字签名使用所述服务节点的第二签名证书进行验签运算;
所述车联网节点使用第一签名私钥对第一签名运算数据进行签名运算,生成第一数字签名,包括:
基于预存的第一签名信息表确定匹配所述车联网节点和服务节点的第一签名信息,对所述第一签名运算数据和第一签名信息进行杂凑运算,生成第一杂凑值;
使用所述第一签名私钥对所述第一杂凑值进行签名运算,生成所述第一数字签名;
通过所述服务节点基于所述第一数字签名使用所述第一签名证书进行验签运算,并在验签运算通过后,使用第二签名私钥对第二签名运算数据进行签名运算,生成所述第二数字签名,包括:
所述服务节点基于预存的第一验签信息表确定匹配所述车联网节点和服务节点的第一验签信息,使用所述第一签名运算数据和所述第一验签信息进行杂凑运算,生成第二杂凑值;
使用所述第一签名证书对所述第二杂凑值和所述第一数字签名进行验签运算;
在验签运算通过后,所述服务节点基于预存的第二签名信息表确定匹配所述车联网节点和服务节点的第二签名信息,对所述第二签名运算数据和第二签名信息进行杂凑运算,生成第三杂凑值;
使用所述第二签名私钥对所述第三杂凑值进行签名运算,生成所述第二数字签名;
所述车联网节点基于所述第二数字签名使用所述服务节点的第二签名证书进行验签运算,包括:
基于预存的第二验签信息表确定匹配所述车联网节点和服务节点的第二验签信息,使用所述第二签名运算数据和所述第二验签信息进行杂凑运算,生成第四杂凑值;
使用所述第二签名证书对所述第四杂凑值和所述第二数字签名进行验签运算;
所述配置模块具体用于以预定义的原始随机化种子作为输入样本,将所述输入样本循环输入预先构建的n级线性反馈移位寄存器,基于所述n级线性反馈移位寄存器和所述输入样本对所述私钥信息的逐个数据比特位进行随机化处理,并迭代调整所述输入样本;
所述处理模块具体用于通过所述车联网节点基于所述n级线性反馈移位寄存器对应的n阶计算多项式对所述密钥处理信息的各个数据比特位进行解随机化处理。
3.一种电子设备,其特征在于,包括:
存储器以及一个或多个处理器;
所述存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1所述的基于第三方密钥管理节点的安全芯片通信方法。
4.一种包含计算机可执行指令的存储介质,其特征在于,所述计算机可执行指令在由计算机处理器执行时用于执行如权利要求1所述的基于第三方密钥管理节点的安全芯片通信方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210708111.2A CN114793184B (zh) | 2022-06-22 | 2022-06-22 | 一种基于第三方密钥管理节点的安全芯片通信方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210708111.2A CN114793184B (zh) | 2022-06-22 | 2022-06-22 | 一种基于第三方密钥管理节点的安全芯片通信方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114793184A CN114793184A (zh) | 2022-07-26 |
| CN114793184B true CN114793184B (zh) | 2022-11-08 |
Family
ID=82463487
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210708111.2A Active CN114793184B (zh) | 2022-06-22 | 2022-06-22 | 一种基于第三方密钥管理节点的安全芯片通信方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114793184B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115085925B (zh) * | 2022-08-19 | 2022-12-20 | 广州万协通信息技术有限公司 | 密钥信息组合加密的安全芯片处理方法及装置 |
| CN115834054B (zh) * | 2022-11-23 | 2023-11-14 | 北京海泰方圆科技股份有限公司 | 一种多级密钥级数管理方法及装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104063672A (zh) * | 2013-03-23 | 2014-09-24 | 北京万协通信息技术有限公司 | 数据安全存储方法 |
| CN112187450A (zh) * | 2020-08-19 | 2021-01-05 | 如般量子科技有限公司 | 密钥管理通信的方法、装置、设备及存储介质 |
| CN112673590A (zh) * | 2019-08-16 | 2021-04-16 | 华为技术有限公司 | 一种在车联网设备之间进行数据传输的方法及设备 |
| CN112866240A (zh) * | 2021-01-15 | 2021-05-28 | 北京盛和信科技股份有限公司 | 一种车联网的安全通信方法和设备 |
| CN114339745A (zh) * | 2021-12-28 | 2022-04-12 | 中国电信股份有限公司 | 密钥分发方法、系统和相关设备 |
| CN114640867A (zh) * | 2022-05-20 | 2022-06-17 | 广州万协通信息技术有限公司 | 一种基于视频流认证的视频数据处理方法及装置 |
| CN114650188A (zh) * | 2022-05-20 | 2022-06-21 | 广州万协通信息技术有限公司 | 一种基于代理节点的数据安全传输方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112291190B (zh) * | 2020-07-28 | 2022-10-14 | 国网思极网安科技(北京)有限公司 | 一种身份认证方法、终端及服务器 |
| CN111953705B (zh) * | 2020-08-20 | 2022-08-23 | 全球能源互联网研究院有限公司 | 物联网身份认证方法、装置及电力物联网身份认证系统 |
-
2022
- 2022-06-22 CN CN202210708111.2A patent/CN114793184B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104063672A (zh) * | 2013-03-23 | 2014-09-24 | 北京万协通信息技术有限公司 | 数据安全存储方法 |
| CN112673590A (zh) * | 2019-08-16 | 2021-04-16 | 华为技术有限公司 | 一种在车联网设备之间进行数据传输的方法及设备 |
| CN112187450A (zh) * | 2020-08-19 | 2021-01-05 | 如般量子科技有限公司 | 密钥管理通信的方法、装置、设备及存储介质 |
| CN112866240A (zh) * | 2021-01-15 | 2021-05-28 | 北京盛和信科技股份有限公司 | 一种车联网的安全通信方法和设备 |
| CN114339745A (zh) * | 2021-12-28 | 2022-04-12 | 中国电信股份有限公司 | 密钥分发方法、系统和相关设备 |
| CN114640867A (zh) * | 2022-05-20 | 2022-06-17 | 广州万协通信息技术有限公司 | 一种基于视频流认证的视频数据处理方法及装置 |
| CN114650188A (zh) * | 2022-05-20 | 2022-06-21 | 广州万协通信息技术有限公司 | 一种基于代理节点的数据安全传输方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114793184A (zh) | 2022-07-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110519260B (zh) | 一种信息处理方法及信息处理装置 | |
| EP3318043B1 (en) | Mutual authentication of confidential communication | |
| CN114793184B (zh) | 一种基于第三方密钥管理节点的安全芯片通信方法及装置 | |
| US20130129087A1 (en) | Secure Key Generation | |
| CN107317677B (zh) | 密钥存储及设备身份认证方法、装置 | |
| US9165148B2 (en) | Generating secure device secret key | |
| JP2012186635A (ja) | 車両ネットワークシステム | |
| CN110868291B (zh) | 一种数据加密传输方法、装置、系统及存储介质 | |
| CN114637987A (zh) | 基于平台验证的安全芯片固件下载方法及系统 | |
| CN114640867A (zh) | 一种基于视频流认证的视频数据处理方法及装置 | |
| CN109088729B (zh) | 一种密钥存储方法及装置 | |
| CN114513345A (zh) | 信息传输系统以及使用者装置与信息安全硬件模块 | |
| CN110636503B (zh) | 数据加密方法、装置、设备及计算机可读存储介质 | |
| CN110266478B (zh) | 一种信息处理方法、电子设备 | |
| CN114553557B (zh) | 密钥调用方法、装置、计算机设备和存储介质 | |
| CN114338091B (zh) | 数据传输方法、装置、电子设备及存储介质 | |
| CN107241341B (zh) | 访问控制方法及装置 | |
| WO2018054144A1 (zh) | 对称密钥动态生成方法、装置、设备及系统 | |
| US11570008B2 (en) | Pseudonym credential configuration method and apparatus | |
| CN114785532A (zh) | 一种基于双向签名认证的安全芯片通信方法及装置 | |
| CN111431846B (zh) | 数据传输的方法、装置和系统 | |
| KR101974411B1 (ko) | 차량 내 보안 통신 지원 장치 및 그 동작 방법 | |
| EP3185504A1 (en) | Security management system for securing a communication between a remote server and an electronic device | |
| EP3361670B1 (en) | Multi-ttp-based method and device for verifying validity of identity of entity | |
| CN111865891A (zh) | 一种数据传输方法、用户端、电子设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |