CN116208949A - 通信报文的加密传输方法、系统及发送终端、接收终端 - Google Patents
通信报文的加密传输方法、系统及发送终端、接收终端 Download PDFInfo
- Publication number
- CN116208949A CN116208949A CN202310493442.3A CN202310493442A CN116208949A CN 116208949 A CN116208949 A CN 116208949A CN 202310493442 A CN202310493442 A CN 202310493442A CN 116208949 A CN116208949 A CN 116208949A
- Authority
- CN
- China
- Prior art keywords
- receiving terminal
- identification information
- security chip
- terminal
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/009—Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种通信报文的加密传输方法、系统及发送终端、接收终端。该方法应用于发送终端,发送终端内置有第一安全芯片,该方法包括:获取接收终端的标识信息,并通过第一安全芯片生成随机数;根据第一安全芯片存储的第一主密钥和接收终端的标识信息生成第一子密钥,并根据第一子密钥对待传输数据进行加密,获得密文数据;根据第一安全芯片存储的第二子密钥对随机数、密文数据和接收终端的标识信息进行计算,获得第一消息鉴别码;根据接收终端的标识信息、随机数、密文数据和第一消息鉴别码生成通信报文,并将通信报文发送给接收终端。由此,能够在通信成本较高、通信频率很低的场景下,提高通信的效率和安全性。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种通信报文的加密传输方法、系统及发送终端、接收终端。
背景技术
目前,变电站内的无线传感终端与无线汇聚终端之间的通信通常采用微功率无线通信方式,但微功率无线通信方式未设置安全防护机制,因此,在通信过程中存在外部非法侵入的风险。
为了防止信息在传输过程中被非法截取或伪造,在相关的通信报文传输方法中,一般需要通信双方先进行身份认证,确认双方身份合法性后,再进行通信。此方法在通信网络畅通、通信成本较低的情况下较为适用;但是对于通信成本较高、通信频率很低的场景,使用该方法进行通讯的通讯效率较低。
发明内容
本发明旨在至少在一定程度上解决相关技术中的技术问题之一。
为此,本发明的一个目的在于提出一种通信报文的加密传输方法,能够在通信成本较高、通信频率很低的场景下,提高通信的效率和安全性。
本发明的第二个目的在于提出另一种通信报文的加密传输方法。
本发明的第三个目的在于提出一种通信报文的加密传输系统。
本发明的第四个目的在于提出一种发送终端。
本发明的第五个目的在于提出一种接收终端。
本发明的第六个目的在于提出一种计算机可读存储介质。
为达上述目的,本发明第一个实施例提出了一种通信报文的加密传输方法,该方法应用于发送终端,所述发送终端内置有第一安全芯片,所述方法包括:
获取接收终端的标识信息,并通过所述第一安全芯片生成随机数;根据所述第一安全芯片存储的第一主密钥和所述接收终端的标识信息生成第一子密钥,并根据所述第一子密钥对待传输数据进行加密,获得密文数据;根据所述第一安全芯片存储的第二子密钥对所述随机数、所述密文数据和所述接收终端的标识信息进行计算,获得第一消息鉴别码;根据所述接收终端的标识信息、所述随机数、所述密文数据和所述第一消息鉴别码生成通信报文,并将所述通信报文发送给所述接收终端。
本发明实施例的通信报文的加密传输方法,通过获取接收终端的标识信息;通过第一安全芯片存储的第一主密钥和接收终端的标识信息生成第一子密钥,并利用第一子密钥对待传输数据进行加密,获得密文数据;根据第一安全芯片存储的第二子密钥对第一安全芯片生成的随机数、密文数据和接收终端的标识信息进行计算,得到第一消息鉴别码;再根据接收终端的标识信息、随机数、密文数据和第一消息鉴别码生成通信报文,并将通信报文发送给接收终端。由此,通过接收终端的标识信息即可标识接收终端的身份信息,不需要再进行身份认证流程,从而简化了通信流程,提高了通信效率;且用于对待处理数据进行加密的第一子密钥是通过第一主密钥和接收终端的标识信息动态生成的,用第一子密钥加密的通信报文更加安全,从而提高了通信的安全性。
为达上述目的,本发明第二个实施例提出了另一种通信报文的加密传输方法,该方法应用于接收终端,所述接收终端内置有第二安全芯片,所述方法包括:
接收发送终端传输的通信报文,其中,所述通信报文由所述发送终端根据所述接收终端的标识信息、随机数、密文数据和第一消息鉴别码生成,所述第一消息鉴别码由所述发送终端内置的第一安全芯片存储的第二子密钥对所述随机数、所述密文数据和所述接收终端的标识信息进行计算得到,所述密文数据由所述发送终端基于第一子密钥对待传输数据进行加密得到,所述第一子密钥由所述发送终端根据所述第一安全芯片存储的第一主密钥和所述接收终端的标识信息生成;根据所述发送终端的标识信息和所述第二安全芯片存储的第二主密钥生成第三子密钥,并根据所述第三子密钥对所述随机数、所述密文数据和所述接收终端的标识信息进行计算,获得第二消息鉴别码;在确定所述第二消息鉴别码与所述第一消息鉴别码相一致时,根据所述第二安全芯片存储的第四子密钥对所述密文数据进行解密,获得所述待传输数据,其中,所述第四子密钥是管理系统根据第一主密钥和所述接收终端的标识信息生成。
本发明实施例的通信报文的加密传输方法,接收发送终端传输的通信报文,根据发送终端的标识信息和第二安全芯片存储的第二主密钥生成第三子密钥,并根据第三子密钥对随机数、密文数据、接收终端的表示信息进行计算,得到第二消息鉴别码;在确定第二消息鉴别码与第一消息鉴别码相一致时,根据第二安全芯片存储的第四子密钥对密文数据进行解密,获得待传输数据。由此,通过发送终端的标识信息即可标识发送终端的身份信息,接收终端不需要再进行身份认证流程,从而简化了通信流程,提高了通信效率;且用于对待处理数据进行加密的第一子密钥是通过第一主密钥和接收终端的标识信息动态生成的,用第一子密钥加密的通信报文更加安全,从而提高了通信的安全性。
为达上述目的,本发明第三个实施例提出了一种通信报文的加密传输系统,包括发送终端和接收终端,所述发送终端内置有第一安全芯片,所述接收终端内置有第二安全芯片,其中,所述发送终端用于,获取所述接收终端的标识信息,并通过所述第一安全芯片生成随机数,以及根据所述第一安全芯片存储的第一主密钥和所述接收终端的标识信息生成第一子密钥,并根据所述第一子密钥对待传输数据进行加密,获得密文数据;
所述发送终端还用于,根据所述第一安全芯片存储的第二子密钥对所述随机数、所述密文数据和所述接收终端的标识信息进行计算,获得第一消息鉴别码,并根据所述接收终端的标识信息、所述随机数、所述密文数据和所述第一消息鉴别码生成通信报文,以及将所述通信报文发送给所述接收终端;
所述接收终端用于,接收所述发送终端传输的通信报文,并根据所述发送终端的标识信息和所述第二安全芯片存储的第二主密钥生成第三子密钥,以及根据所述第三子密钥对所述随机数、所述密文数据和所述接收终端的标识信息进行计算,获得第二消息鉴别码;
所述接收终端还用于,在确定所述第二消息鉴别码与所述第一消息鉴别码相一致时,根据所述第二安全芯片存储的第四子密钥对所述密文数据进行解密,获得所述待传输数据,其中,所述第四子密钥是管理系统根据第一主密钥和所述接收终端的标识信息生成。
本发明实施例的通信报文的加密传输系统,通过接收终端的标识信息和发送终端的标识信息即可用来标识接收终端和发送终端的身份信息,不需要再进行身份认证流程,从而简化了通信流程,提高了通信效率;且用于对待处理数据进行加密和解密的密钥是通过第一主密钥和接收终端的标识信息动态生成的,因此提高了通信的安全性。
为达上述目的,本发明第四个实施例提出了一种发送终端,包括存储器和处理器,所述存储器上存储有计算机程序,所述处理器执行所述程序时实现如第一方面实施例提出的通信报文的加密传输方法。
为达上述目的,本发明第五个实施例提出了一种接收终端,包括存储器和处理器,所述存储器上存储有计算机程序,所述处理器执行所述程序时实现如第二方面实施例提出的通信报文的加密传输方法。
为达上述目的,本发明第六方面实施例提出了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如根据本发明第一方面实施例的通信报文的加密传输方法,或者,实现如根据本发明第二方面实施例的通信报文的加密传输方法。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
图1是本发明第一个实施例的通信报文的加密传输方法的流程图;
图2是本发明一个具体实施例的通信报文格式的示意图;
图3是本发明第二个实施例的通信报文的加密传输方法的流程图;
图4是本发明一个实施例的通信报文的加密传输系统的方框图;
图5是本发明一个实施例的发送终端的结构框图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
下面参考附图描述本发明实施例的通信报文的加密传输方法、系统及发送终端、接收终端。
图1是本发明第一个实施例的通信报文的加密传输方法的流程图。该方法应用于发送终端,发送终端内置有第一安全芯片,该方法包括以下步骤:
步骤S110:获取接收终端的标识信息,并通过第一安全芯片生成随机数。
需要说明的是,接收终端的标识信息可以为接收终端的设备编号,例如,接收终端的标识信息为设备01。
当发送终端需要向接收终端发送通信报文时,发送终端的第一安全芯片需要先获取接收终端的标识信息。在本实施例中,设置有设备管理系统,在设备管理系统中存储有所有通信设备的设备信息(设备编号、设备参数等),发送终端的第一安全芯片可以从设备管理系统中获取所需的接收终端的设备编号,并将接收终端的设备编号作为接收终端的标识信息。
第一安全芯片还用于生成随机数。第一安全芯片中可以集成随机数生成器,来生成所需的随机数,获得的随机数可以先缓存于第一安全芯片中,并用于后续第一消息鉴别码的生成。
步骤S120:根据第一安全芯片存储的第一主密钥和接收终端的标识信息生成第一子密钥,并根据第一子密钥对待传输数据进行加密,获得密文数据。
需要说明的是,第一安全芯片中可以先预存一些不同功能的密钥,在第一安全芯片需要使用某种功能的密钥时,第一安全芯片可直接调用相应功能的密钥来使用。在本实施例中,发送终端的第一安全芯片中预先存储了第一主密钥,该第一主密钥在后续对待传输数据进行加密时使用。
在一些实施方式中,步骤S120中根据第一安全芯片存储的第一主密钥和接收终端的标识信息生成第一子密钥的方式可以为:根据接收终端的标识信息对第一主密钥进行分散计算,获得第一子密钥。
对第一主密钥进行分散计算,即将第一主密钥与接收终端的标识信息相结合,生成针对本次加密所需的第一子密钥。其中,接收终端的标识信息即为分散因子。得到第一子密钥后,第一安全芯片利用第一子密钥对待传输数据进行加密处理,来得到密文数据。这里,对第一主密钥进行分散计算的计算方式,可以使用已有的密钥分散算法。
由此,在发送终端向接收终端发送通信报文时,发送终端的第一安全芯片通过预存的第一主密钥和获取到的接收终端的标识信息,生成本次加密所需的第一子密钥,并使用生成的第一子密钥对待传输数据进行加密。这样动态生成加密密钥,使每次加密时使用的密钥值均不同,能够有效防止外部设备通过得知的一个密钥,而破解出其他通信终端之间的通信报文;且使用第一安全芯片进行加密时,第一子密钥只在第一安全芯片内部使用,因此,外部设备无法获取第一子密钥,从而最大限度防止了密钥的泄漏,提高了通信数据的安全性。
步骤S130:根据第一安全芯片存储的第二子密钥对随机数、密文数据和接收终端的标识信息进行计算,获得第一消息鉴别码。
在本实施例中,第一安全芯片中还预先存储有第二子密钥。在一些实施方式中,第二子密钥是管理系统根据发送终端的标识信息对第二主密钥进行分散计算得到。
需要说明的是,发送终端的标识信息也可以为发送终端的设备编号,例如,发送终端的标识信息可以为设备02。
此外,由于发送终端的第一安全芯片能够直接得到其自身的标识信息,因此,可以预先利用发送终端的标识信息对第二主密钥进行分散计算,得到第二子密钥,并将第二子密钥存储至第一安全芯片中,当需要获得第一消息鉴别码时,第一安全芯片可以直接调取第二子密钥进行使用。这里对第二主密钥进行分散计算的计算方式,可以使用已有的密钥分散算法。
在通过第一子密钥对待传输数据进行加密处理,得到密文数据后,第一安全芯片再利用第二子密钥对随机数、密文数据和接收终端的标识信息进行计算,获得第一消息鉴别码。
第一消息鉴别码可以为消息鉴别码(Message Authentication Code,MAC),在接收终端接收到通信报文时,接收终端利用第一消息鉴别码确认通信报文是否被篡改。
在一些实施例中,第一消息鉴别码通过MAC计算得到。具体地,可以采用散列消息鉴别码(Hash Message Authentication Code,HMAC)算法来计算得到第一消息鉴别码。作为一个示例,将第二子密钥、随机数、密文数据和接收终端的标识信息作为输入,第一消息鉴别码作为输出,利用哈希函数计算得到第一消息鉴别码。
由于第二子密钥是通过发送终端的标识信息对第二主密钥进行分散得到的,因此第二子密钥可以用于标识发送终端的身份信息,起到了身份认证的作用,而本发明实施例中是利用第二子密钥获得的第一消息鉴别码,同样也带有发送终端的身份信息。由此,本实施例中得到的第一消息鉴别码,不仅可以用于验证数据的完整性,还可以用于身份认证,从而不需要进行身份认证过程,简化了交互过程,进而提高了通信效率。
步骤S140:根据接收终端的标识信息、随机数、密文数据和第一消息鉴别码生成通信报文,并将通信报文发送给接收终端。
第一安全芯片得到第一子密钥加密后的密文数据和第一消息鉴别码后,将接收终端的标识信息、随机数、密文数据和第一消息鉴别码按照预设的报文格式拼接成完整的通信报文,再将通信报文发送给接收终端。
作为一个示例,图2是本发明一个具体实施例的通信报文格式的示意图,如图2所示,通信报文格式包括数据头和数据区,数据头可以包括数据发送方IP、数据接收方IP等,数据区可以包括接收终端的标识信息、随机数、密文数据以及第一消息鉴别码。
图3是本发明第二个实施例的通信报文的加密传输方法的流程图。该方法应用于接收终端,接收终端内置有第二安全芯片,该方法包括以下步骤:
步骤S310:接收发送终端传输的通信报文。
其中,通信报文由发送终端根据接收终端的标识信息、随机数、密文数据和第一消息鉴别码生成,第一消息鉴别码由发送终端内置的第一安全芯片存储的第二子密钥对随机数、密文数据和接收终端的标识信息进行计算得到,密文数据由发送终端基于第一子密钥对待传输数据进行加密得到,第一子密钥由发送终端根据第一安全芯片存储的第一主密钥和接收终端的标识信息生成。通信报文的具体生成过程,可以参考本发明第一个实施例中发送终端生成通信报文的过程,此处不做赘述。
步骤S320:根据发送终端的标识信息和第二安全芯片存储的第二主密钥生成第三子密钥,并根据第三子密钥对随机数、密文数据和接收终端的标识信息进行计算,获得第二消息鉴别码。
在接收终端接收到发送终端传输的通信报文后,接收终端的第二安全芯片需要先验证接收到的通信报文的合法性,再对通信报文中的密文数据进行解密处理。
本实施例中,第二安全芯片中预先存储有第二主密钥,当第二安全芯片需要验证通信报文的合法性时,第二安全芯片再根据发送终端的标识信息和第二主密钥生成第三子密钥,利用第三子密钥验证通信报文的合法性。
在一些实施方式中,根据发送终端的标识信息和第二安全芯片存储的第二主密钥生成第三子密钥的方式可以为:根据发送终端的标识信息对第二安全芯片存储的第二主密钥进行分散计算,获得第三子密钥。
具体地,接收终端的第二安全芯片可以通过通信报文来获取发送终端的标识信息(即设备编号),再使用已有的密钥分散算法,根据发送终端的标识信息对第二主密钥要进行分散计算,来获得第三子密钥。
获得第三子密钥后,根据第三子密钥对随机数、密文数据和接收终端的标识信息进行计算,获得第二消息鉴别码。在一些实施方式中,第二消息鉴别码通过MAC计算得到。在本实施例中,可以采用散列消息鉴别码算法来计算第二消息鉴别码,即将第三子密钥、随机数、密文数据和接收终端的标识信息作为输入,第二消息鉴别码作为输出,利用哈希函数计算得到第二消息鉴别码。
获得第二消息鉴别码后,第二安全芯片通过对比第一消息鉴别码和第二消息鉴别码,来确定该通信报文中的数据是否被篡改以及对发送终端进行身份认证。若第一消息鉴别码和第二消息鉴别码相同,则验证成功。
由于第三子密钥也是根据该发送终端的标识信息对第二主密钥分散得到的,因此,第三子密钥的密钥值与第二子密钥的密钥值相同,从而得到的第一消息鉴别码和第二消息鉴别码也相同。若接收终端通过通信报文获得的发送终端的标识信息与实际发送通信报文的发送终端的标识信息不同,则第三子密钥的密钥值与第二子密钥的密钥值也会不同,进而第一消息鉴别码和第二消息鉴别码也会不同,因此,可以通过此方法对发送通信报文的发送终端进行身份认证。
步骤S330:在确定第二消息鉴别码与第一消息鉴别码相一致时,根据第二安全芯片存储的第四子密钥对密文数据进行解密,获得待传输数据。
其中,第四子密钥是管理系统根据第一主密钥和接收终端的标识信息生成。
第二安全芯片在确定了通信报文的合法性后,第二安全芯片再通过存储的第四子密钥对密文数据进行解密处理,获得上述待传输数据。
在一些实施方式中,第四子密钥由管理系统根据接收终端的标识信息对第一主密钥进行分散计算获得。具体地,由于接收终端的第二安全芯片能够直接得到其自身的标识信息,因此,管理系统可以预先利用接收终端的标识信息对第一主密钥进行分散计算,得到第四子密钥,并将第四子密钥存储至第二安全芯片中,当第二安全芯片需要对密文数据进行解密处理时,第二安全芯片可以直接调取第四子密钥进行使用。这里对第一主密钥进行分散计算的计算方式,可以使用已有的密钥分散算法。
在一些实施方式中,可以将每个通信终端的安全芯片均进行个性化设计,即安全芯片中可以预先存储第一主密钥、第二子密钥、第二主密钥以及第四子密钥。当通信终端作为发送终端时,通过获取的接收终端的标识信息对预先存储的第一主密钥进行分散计算,得到用于对明文数据进行加密处理的第一子密钥;通过预先存储的第二子密钥计算获得第一消息鉴别码。当通信终端作为接收终端时,通过获取的发送终端的标识信息对预先存储的第二主密钥进行分散计算,得到用于计算第二消息鉴别码的第三子密钥;通过预先存储的第四子密钥对密文数据进行解密处理。
由此,安全芯片中存储的加密密钥仅用于加密,解密密钥仅用于解密,并且针对不同的通信设备之间的交互,动态生成不同的加密密钥和解密密钥来进行加密和解密,从而能够防止外部设备通过得到一个密钥,而破解出其他通信终端之间的通信报文,提高了通信报文的安全性。另外,本发明实施例的通信报文的加密传输方法去掉了会话协商过程,直接使用预埋的密钥对通信数据进行加解密,提高了通信效率,且非常适用于低功耗的通信场景。
图4是本发明一个实施例的通信报文的加密传输系统的方框图。如图4所示,该系统包括发送终端和接收终端,发送终端内置有第一安全芯片,接收终端内置有第二安全芯片。
其中,发送终端用于,获取接收终端的标识信息,并通过第一安全芯片生成随机数,以及根据第一安全芯片存储的第一主密钥和接收终端的标识信息生成第一子密钥,并根据第一子密钥对待传输数据进行加密,获得密文数据;
发送终端还用于,根据第一安全芯片存储的第二子密钥对随机数、密文数据和接收终端的标识信息进行计算,获得第一消息鉴别码,并根据接收终端的标识信息、随机数、密文数据和第一消息鉴别码生成通信报文,以及将通信报文发送给接收终端;
接收终端用于,接收发送终端传输的通信报文,并根据发送终端的标识信息和第二安全芯片存储的第二主密钥生成第三子密钥,以及根据第三子密钥对随机数、密文数据和接收终端的标识信息进行计算,获得第二消息鉴别码;
接收终端还用于,在确定第二消息鉴别码与第一消息鉴别码相一致时,根据第二安全芯片存储的第四子密钥对密文数据进行解密,获得待传输数据,其中,第四子密钥是管理系统根据第一主密钥和接收终端的标识信息生成。
由此,通过接收终端的标识信息和发送终端的标识信息即可用来标识接收终端和发送终端的身份信息,不需要再进行身份认证流程,从而简化了通信流程,提高了通信效率;且用于对待处理数据进行加密和解密的密钥是通过第一主密钥和接收终端的标识信息动态生成的,因此提高了通信的安全性。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,所述描述的模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
图5是本发明一个实施例的发送终端的结构框图。发送终端用于执行上述第一种实施例提出的通信报文的加密传输方法。
如图5所示,图5所示的发送终端500包括:处理器501和存储器503。其中,处理器501和存储器503相连,如通过总线502相连。可选地,发送终端500还可以包括收发器504。需要说明的是,实际应用中收发器504不限于一个,该发送终端500的结构并不构成对本发明实施例的限定。
处理器501可以是CPU(Central Processing Unit,中央处理器),通用处理器,DSP(Digital Signal Processor,数据信号处理器),ASIC(Application SpecificIntegrated Circuit,专用集成电路),FPGA(Field Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器501也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等。
总线502可包括一通路,在上述组件之间传送信息。总线502可以是PCI(Peripheral Component Interconnect,外设部件互连标准)总线或EISA(ExtendedIndustry Standard Architecture,扩展工业标准结构)总线等。总线502可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器503可以是ROM(Read Only Memory,只读存储器)或可存储静态信息和指令的其他类型的静态存储设备,RAM(Random Access Memory,随机存取存储器)或可存储信息和指令的其他类型的动态存储设备,也可以是EEPROM(Electrically ErasableProgrammable Read Only Memory,电可擦可编程只读存储器)、CD-ROM(Compact DiscRead Only Memory,只读光盘)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。
存储器503用于存储执行本发明请方案的应用程序代码,并由处理器501来控制执行。处理器501用于执行存储器503中存储的应用程序代码,以实现前述方法实施例所示的内容。
其中,发送终端500包括但不限于:移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图5示出的发送终端500仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
另外,本发明实施例还提供一种接收终端,包括存储器和处理器,所述存储器上存储有计算机程序,所述处理器执行所述程序时实现如上述第二种实施例提出的通信报文的加密传输方法。接收终端的具体结构可以参考发送终端的结构。
需要说明的是,在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”、“顺时针”、“逆时针”、“轴向”、“径向”、“周向”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
在本发明中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或成一体;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通或两个元件的相互作用关系,除非另有明确的限定。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
在本发明中,除非另有明确的规定和限定,第一特征在第二特征“上”或“下”可以是第一和第二特征直接接触,或第一和第二特征通过中间媒介间接接触。而且,第一特征在第二特征“之上”、“上方”和“上面”可是第一特征在第二特征正上方或斜上方,或仅仅表示第一特征水平高度高于第二特征。第一特征在第二特征“之下”、“下方”和“下面”可以是第一特征在第二特征正下方或斜下方,或仅仅表示第一特征水平高度小于第二特征。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (12)
1.一种通信报文的加密传输方法,其特征在于,应用于发送终端,所述发送终端内置有第一安全芯片,所述方法包括:
获取接收终端的标识信息,并通过所述第一安全芯片生成随机数;
根据所述第一安全芯片存储的第一主密钥和所述接收终端的标识信息生成第一子密钥,并根据所述第一子密钥对待传输数据进行加密,获得密文数据;
根据所述第一安全芯片存储的第二子密钥对所述随机数、所述密文数据和所述接收终端的标识信息进行计算,获得第一消息鉴别码;
根据所述接收终端的标识信息、所述随机数、所述密文数据和所述第一消息鉴别码生成通信报文,并将所述通信报文发送给所述接收终端。
2.根据权利要求1所述的通信报文的加密传输方法,其特征在于,根据所述第一安全芯片存储的第一主密钥和所述接收终端的标识信息生成第一子密钥,包括:
根据所述接收终端的标识信息对所述第一主密钥进行分散计算,获得所述第一子密钥。
3.根据权利要求1或2所述的通信报文的加密传输方法,其特征在于,第二子密钥是管理系统根据所述发送终端的标识信息对第二主密钥进行分散计算得到。
4.根据权利要求3所述的通信报文的加密传输方法,其特征在于,所述第一消息鉴别码通过MAC计算得到。
5.一种通信报文的加密传输方法,其特征在于,应用于接收终端,所述接收终端内置有第二安全芯片,所述方法包括:
接收发送终端传输的通信报文,其中,所述通信报文由所述发送终端根据所述接收终端的标识信息、随机数、密文数据和第一消息鉴别码生成,所述第一消息鉴别码由所述发送终端内置的第一安全芯片存储的第二子密钥对所述随机数、所述密文数据和所述接收终端的标识信息进行计算得到,所述密文数据由所述发送终端基于第一子密钥对待传输数据进行加密得到,所述第一子密钥由所述发送终端根据所述第一安全芯片存储的第一主密钥和所述接收终端的标识信息生成;
根据所述发送终端的标识信息和所述第二安全芯片存储的第二主密钥生成第三子密钥,并根据所述第三子密钥对所述随机数、所述密文数据和所述接收终端的标识信息进行计算,获得第二消息鉴别码;
在确定所述第二消息鉴别码与所述第一消息鉴别码相一致时,根据所述第二安全芯片存储的第四子密钥对所述密文数据进行解密,获得所述待传输数据,其中,所述第四子密钥是管理系统根据第一主密钥和所述接收终端的标识信息生成。
6.根据权利要求5所述的通信报文的加密传输方法,其特征在于,根据所述发送终端的标识信息和所述第二安全芯片存储的第二主密钥生成第三子密钥,包括:
根据所述发送终端的标识信息对所述第二安全芯片存储的第二主密钥进行分散计算,获得所述第三子密钥。
7.根据权利要求5或6所述的通信报文的加密传输方法,其特征在于,所述第四子密钥是管理系统根据所述接收终端的标识信息对第一主密钥进行分散计算获得。
8.根据权利要求7所述的通信报文的加密传输方法,其特征在于,所述第二消息鉴别码通过MAC计算得到。
9.一种发送终端,其特征在于,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时,实现如权利要求1-4中任一项所述的通信报文的加密传输方法。
10.一种接收终端,其特征在于,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时,实现如权利要求5-8中任一项所述的通信报文的加密传输方法。
11.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,所述程序被处理器执行时实现如权利要求1-4中任一项所述的通信报文的加密传输方法或者如权利要求5-8中任一项所述的通信报文的加密传输方法。
12.一种通信报文的加密传输系统,其特征在于,包括发送终端和接收终端,所述发送终端内置有第一安全芯片,所述接收终端内置有第二安全芯片,其中,
所述发送终端用于,获取所述接收终端的标识信息,并通过所述第一安全芯片生成随机数,以及根据所述第一安全芯片存储的第一主密钥和所述接收终端的标识信息生成第一子密钥,并根据所述第一子密钥对待传输数据进行加密,获得密文数据;
所述发送终端还用于,根据所述第一安全芯片存储的第二子密钥对所述随机数、所述密文数据和所述接收终端的标识信息进行计算,获得第一消息鉴别码,并根据所述接收终端的标识信息、所述随机数、所述密文数据和所述第一消息鉴别码生成通信报文,以及将所述通信报文发送给所述接收终端;
所述接收终端用于,接收所述发送终端传输的通信报文,并根据所述发送终端的标识信息和所述第二安全芯片存储的第二主密钥生成第三子密钥,以及根据所述第三子密钥对所述随机数、所述密文数据和所述接收终端的标识信息进行计算,获得第二消息鉴别码;
所述接收终端还用于,在确定所述第二消息鉴别码与所述第一消息鉴别码相一致时,根据所述第二安全芯片存储的第四子密钥对所述密文数据进行解密,获得所述待传输数据,其中,所述第四子密钥是管理系统根据第一主密钥和所述接收终端的标识信息生成。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310493442.3A CN116208949B (zh) | 2023-05-05 | 2023-05-05 | 通信报文的加密传输方法、系统及发送终端、接收终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310493442.3A CN116208949B (zh) | 2023-05-05 | 2023-05-05 | 通信报文的加密传输方法、系统及发送终端、接收终端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116208949A true CN116208949A (zh) | 2023-06-02 |
| CN116208949B CN116208949B (zh) | 2023-07-25 |
Family
ID=86513330
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310493442.3A Active CN116208949B (zh) | 2023-05-05 | 2023-05-05 | 通信报文的加密传输方法、系统及发送终端、接收终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116208949B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018076365A1 (zh) * | 2016-10-31 | 2018-05-03 | 美的智慧家居科技有限公司 | 密钥协商方法及装置 |
| WO2020177768A1 (zh) * | 2019-03-07 | 2020-09-10 | 华为技术有限公司 | 一种网络验证方法、装置及系统 |
| CN112118223A (zh) * | 2020-08-11 | 2020-12-22 | 北京智芯微电子科技有限公司 | 主站与终端的认证方法、主站、终端及存储介质 |
| CN112118568A (zh) * | 2019-06-21 | 2020-12-22 | 华为技术有限公司 | 一种设备身份鉴权的方法及设备 |
| CN113489585A (zh) * | 2021-07-02 | 2021-10-08 | 北京明朝万达科技股份有限公司 | 终端设备的身份认证方法、系统、存储介质、电子设备 |
| CN114697122A (zh) * | 2022-04-08 | 2022-07-01 | 中国电信股份有限公司 | 数据传输方法、装置、电子设备及存储介质 |
| CN114884659A (zh) * | 2022-07-08 | 2022-08-09 | 北京智芯微电子科技有限公司 | 密钥协商方法、网关、终端设备、存储介质 |
-
2023
- 2023-05-05 CN CN202310493442.3A patent/CN116208949B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018076365A1 (zh) * | 2016-10-31 | 2018-05-03 | 美的智慧家居科技有限公司 | 密钥协商方法及装置 |
| WO2020177768A1 (zh) * | 2019-03-07 | 2020-09-10 | 华为技术有限公司 | 一种网络验证方法、装置及系统 |
| CN112118568A (zh) * | 2019-06-21 | 2020-12-22 | 华为技术有限公司 | 一种设备身份鉴权的方法及设备 |
| CN112118223A (zh) * | 2020-08-11 | 2020-12-22 | 北京智芯微电子科技有限公司 | 主站与终端的认证方法、主站、终端及存储介质 |
| CN113489585A (zh) * | 2021-07-02 | 2021-10-08 | 北京明朝万达科技股份有限公司 | 终端设备的身份认证方法、系统、存储介质、电子设备 |
| CN114697122A (zh) * | 2022-04-08 | 2022-07-01 | 中国电信股份有限公司 | 数据传输方法、装置、电子设备及存储介质 |
| CN114884659A (zh) * | 2022-07-08 | 2022-08-09 | 北京智芯微电子科技有限公司 | 密钥协商方法、网关、终端设备、存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116208949B (zh) | 2023-07-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107645725B (zh) | 网络配置方法及系统、路由设备和入网设备 | |
| CN111869249B (zh) | 针对中间人攻击的安全ble just works配对方法 | |
| US7953391B2 (en) | Method for inclusive authentication and management of service provider, terminal and user identity module, and system and terminal device using the method | |
| CN106330857B (zh) | 具有证书的客户端设备及相关方法 | |
| CN111556025A (zh) | 基于加密、解密操作的数据传输方法、系统和计算机设备 | |
| CN112118223B (zh) | 主站与终端的认证方法、主站、终端及存储介质 | |
| CN109873819B (zh) | 一种防止非法访问服务器的方法及系统 | |
| CN111246474B (zh) | 一种基站认证方法及装置 | |
| CN105187369B (zh) | 一种数据访问方法及装置 | |
| CN114599030A (zh) | 车辆及其远程控制方法和存储介质及终端设备 | |
| CN104243452A (zh) | 一种云计算访问控制方法及系统 | |
| CN113312655A (zh) | 基于重定向的文件传输方法、电子设备及可读存储介质 | |
| CN114884659A (zh) | 密钥协商方法、网关、终端设备、存储介质 | |
| CN115022868A (zh) | 卫星终端实体认证方法、系统及存储介质 | |
| WO2022135391A1 (zh) | 身份鉴别方法、装置、存储介质、程序、及程序产品 | |
| CN115022850A (zh) | 一种d2d通信的认证方法、装置、系统、电子设备及介质 | |
| CN114696999A (zh) | 一种身份鉴别方法和装置 | |
| CN115499199B (zh) | 车辆的安全通信方法、装置、车辆及存储介质 | |
| CN116208949B (zh) | 通信报文的加密传输方法、系统及发送终端、接收终端 | |
| CN107241341B (zh) | 访问控制方法及装置 | |
| WO2022135388A1 (zh) | 身份鉴别方法、装置、设备、芯片、存储介质及程序 | |
| US20240064006A1 (en) | Identity authentication method and apparatus, storage medium, program, and program product | |
| KR101256114B1 (ko) | 다수의 mac검증서버에 의한 메시지인증코드 검증 방법 및 시스템 | |
| CN111918292B (zh) | 一种接入方法及装置 | |
| CN110536030B (zh) | 视频彩铃的传输方法、系统、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |