一种车载终端与中心平台通信的加密方法技术

本发明专利技术涉及一种车载终端与中心平台通信的加密方法，车载终端与中心平台进行双向认证后，车载终端与中心平台将使用工作密钥WK对交互的业务数据进行加密、解密。本发明专利技术所述的车载终端与中心平台通信的加密方法，通过严格的双向认证机制和数据传输加密，能够大幅度提高车载终端与中心平台数据通信的安全性，保障各方面的信息安全和利益。实施时，在身份认证和业务数据交互两个通信阶段可以分别采用非对称式和对称式密码算法，从而在保证通信安全的前提下，兼顾了通信的效率。

Encryption method for vehicle terminal and central platform communication

The encryption method of the invention relates to a vehicle terminal and the center of communication platform, terminal two-way authentication and center platform, the vehicle terminal and the center platform will use the work key WK for interactive service data encryption and decryption. The encryption method of the vehicle terminal and the center of the communication platform of the invention, through the strict two-way authentication mechanism and data encryption, which can greatly improve the safety of the vehicle terminal and the center platform of data communication, information security and interests in all aspects. When implementing, the asymmetric and symmetric cryptographic algorithms can be used respectively in the two phases of authentication and service data interaction, so as to ensure the communication security, the communication efficiency is taken into account.

【技术实现步骤摘要】
一种车载终端与中心平台通信的加密方法
本专利技术涉及加密通信领域，更具体地说，涉及一种车载终端与中心平台通信的加密方法。
技术介绍
随着车联网技术的兴起，越来越多的车辆安装了带卫星定位、无线通信和车况信息采集等功能的车载终端，国家交通部、公安部等有关部门还出台了一系列标准强制大部分商用车都要安装符合JT/T-794-2011和GB/T-19056-2012标准的车载终端。这些车载终端一方面采集车辆位置信息和车况数据，一方面按照特定的协议，将这些信息通过GPRS等无线通信网络上报给政企的监管服务平台。然而，伴随着如今互联网的高度普及，网络信息安全问题越发凸显，这些数量庞大、遍布全国各地的车载终端日夜不停地采集着位置及车况数据，然后在几乎无任何安全措施的情况下，直接在互联网络上传输明文数据。这些数据很可能会被一些心怀不轨的破坏分子轻易截获并窃取其中的敏感信息，其中包括海量的地理位置和车况数据，这样不但可能导致车辆所有者或车辆制造商的某些敏感信息泄漏，而且还可能给国家安全造成隐患；甚至不法分子还可伪装成中心平台给车载终端下发控制命令，从而导致更严重的安全隐患。目前，绝大部分车载终端未采取安全措施，或者采取了加密措施，但机制上存在漏洞，整体信息安全形势堪忧。例如部标协议虽名义上支持RSA加密，但通信双方是通过一次明文协议交互，交换RSA算法的公钥，事先未进行身份认证，存在较大安全隐患。
技术实现思路
本专利技术的目的在于克服现有技术的不足，提供一种通过严格的双向认证机制和数据传输加密，确保终端与中心平台的通信安全的车载终端与中心平台通信的加密方法。本专利技术的技术方案如下：一种车载终端与中心平台通信的加密方法，车载终端与中心平台进行双向认证后，车载终端与中心平台将使用工作密钥WK对交互的业务数据进行加密、解密。作为优选，车载终端与中心平台的双向认证步骤为：1)载终端向中心平台发送加密的认证请求；2)中心平台接收认证请求后进行解密，验证车载终端是否合法；3)如果车载终端合法，则中心平台向车载终端发送加密的认证应答；4)车载终端接收认证应答后进行解密，验证中心平台是否合法；5)如果中心平台合法，则双向认证完成。作为优选，步骤1)中的认证请求具体为：车载终端生成随机数RAND1，并使用摘要算法生成摘要M1，然后用私钥PrK1对摘要M1和随机数RAND1进行签名，得到签名数据SIG1，车载终端将终端ID、随机数RAND1和签名数据SIG1进行组帧，得到认证请求；其中，成对的公钥PuK1与私钥PrK1与车载终端唯一的终端ID对应。作为优选，步骤2)具体为：从认证请求中取出随机数RAND1和签名数据SIG1，随机数RAND1通过对应的摘要算法生成摘要M1'，并使用与私钥PrK1对应的公钥PuK1对签名数据SIG1进行验签，若验签通过，则车载终端合法；否则，车载终端非法。作为优选，步骤3)中的认证应答具体为：中心平台生成随机数RAND2，并使用摘要算法生成摘要M2，然后用私钥PrK1对摘要M2进行签名，得到签名数据SIG2，中心平台将工作密钥WK与随机数RAND2和签名数据SIG2通过公钥PuK1进行加密组帧后，发送至车载终端，得到认证应答。作为优选，步骤4)具体为：通过与公钥PuK1对应的私钥PrK1对认证应答进行解密，得到工作密钥WK、随机数RAND2和签名数据SIG2，随机数RAND2通过对应的摘要算法生成摘要M2'，并使用与私钥PrK1对应的公钥PuK1对签名数据SIG2进行验签，若验签通过，则中心平台合法；否则，中心平台非法。作为优选，根据预设的规则更新工作密钥WK。作为优选，更新工作密钥WK的规则为：A)如果车载终端与中心平台之间的连接断开，需要重新进行双向认证，并分配新的工作密钥WK；B)当工作密钥WK使用超过预设的时限(本专利技术优选时限为12h)，则更新工作密钥WK，车载终端收到新的工作密钥WK后，新的工作密钥WK即时生效，当前工作密钥WK即时失效。作为优选，步骤B)中，更新工作密钥WK的步骤为：车载终端发起更新请求，然后中心平台生成新的工作密钥WK，并下发至车载终端。作为优选，更新工作密钥WK的过程中，中心平台与车载终端使用当前工作密钥WK进行加密或解密。本专利技术的有益效果如下：本专利技术所述的车载终端与中心平台通信的加密方法，通过严格的双向认证机制和数据传输加密，能够大幅度提高车载终端与中心平台数据通信的安全性，保障各方面的信息安全和利益。实施时，在身份认证和业务数据交互两个通信阶段可以分别采用非对称式和对称式密码算法，从而在保证通信安全的前提下，兼顾了通信的效率。附图说明图1是生成认证请求的示意图；图2是认证车载终端的示意图；图3是生成认证应答的示意图；图4是认证中心平台的示意图。具体实施方式以下结合附图及实施例对本专利技术进行进一步的详细说明。本专利技术为了解决现有技术中，车载终端与中心平台的通信过程中存在的不足与案例隐患，提供一种车载终端与中心平台通信的加密方法，车载终端与中心平台进行双向认证后，车载终端与中心平台将使用工作密钥WK对交互的业务数据进行加密、解密。本专利技术通过严格的双向认证机制和数据传输加密，确保终端与中心通信的安全。中心平台建立密钥分发管理中心(以下简称KDC)，KDC主要作用就是生成并保存密钥对(包含公钥和私钥)，这些密钥对是非对称式算法的密钥对，用于车载终端与中心平台的双向认证；然后KDC将这些密钥对分配给所有车载终端，并记录车载终端唯一的终端ID与密钥对的对应关系。为了提高车载终端招行加密、解密算法的效率，本实施例中，在车载终端内部配有安全加密芯片，使用硬件密码算法引擎实现：生成真随机数、加密、解密、签名、验签、生成摘要等功能。这些算法也可用软件实现，但考虑到车载终端执行算法的效率，优选采用安全芯片的方案，车载终端的密钥对也可以保存在安全芯片中，可防止被非法读取。车载终端与中心平台建立TCP连接后，要先进行双向认证，以使车载终端和中心平台都能相互确认对方的合法身份，再进行后续的业务数据的交互。为了兼顾数据通信的安全性和效率，在下述的实施例中，优选采用组合密码算法的方案，即双向认证的过程中采用非对称式密码算法RSA或SM2，摘要算法采用SHA或SM3，具体业务数据交互则采用处理效率要高得多的对称式密码算法3DES或SM4。其中，RSA、3DES、SHA为国际通用的密码算法，SM2、SM3、SM4为国密算法。车载终端与中心平台的双向认证步骤为：1)载终端向中心平台发送加密的认证请求；2)中心平台接收认证请求后进行解密，验证车载终端是否合法；3)如果车载终端合法，则中心平台向车载终端发送加密的认证应答；4)车载终端接收认证应答后进行解密，验证中心平台是否合法；5)如果中心平台合法，则双向认证完成。具体地，步骤1)中的认证请求具体为：车载终端生成随机数RAND1，并使用摘要算法(SHA或SM3算法)生成摘要M1，然后用私钥PrK1对摘要M1和随机数RAND1进行签名(RSA或SM2算法)，得到签名数据SIG1，车载终端将随机数RAND1和签名数据SIG1进行组帧，得到认证请求。本实施例中，由于车载终端唯一的终端ID与密钥对相对应，终端ID与随机数RAND1和签名数据SIG1进行组帧，得本文档来自技高网...

【技术保护点】
一种车载终端与中心平台通信的加密方法，其特征在于，车载终端与中心平台进行双向认证后，车载终端与中心平台将使用工作密钥WK对交互的业务数据进行加密、解密。

【技术特征摘要】
1.一种车载终端与中心平台通信的加密方法，其特征在于，车载终端与中心平台进行双向认证后，车载终端与中心平台将使用工作密钥WK对交互的业务数据进行加密、解密。2.根据权利要求1所述的车载终端与中心平台通信的加密方法，其特征在于，车载终端与中心平台的双向认证步骤为：1)载终端向中心平台发送加密的认证请求；2)中心平台接收认证请求后进行解密，验证车载终端是否合法；3)如果车载终端合法，则中心平台向车载终端发送加密的认证应答；4)车载终端接收认证应答后进行解密，验证中心平台是否合法；5)如果中心平台合法，则双向认证完成，同时完成WK分配。3.根据权利要求2所述的车载终端与中心平台通信的加密方法，其特征在于，步骤1)中的认证请求具体为：车载终端生成随机数RAND1，并使用摘要算法生成摘要M1，然后用私钥PrK1对摘要M1和随机数RAND1进行签名，得到签名数据SIG1，车载终端将终端ID、随机数RAND1和签名数据SIG1进行组帧，得到认证请求；其中，成对的公钥PuK1与私钥PrK1与车载终端唯一的终端ID对应。4.根据权利要求3所述的车载终端与中心平台通信的加密方法，其特征在于，步骤2)具体为：从认证请求中取出随机数RAND1和签名数据SIG1，随机数RAND1通过对应的摘要算法生成摘要M1'，并使用与私钥PrK1对应的公钥PuK1对签名数据SIG1进行验签，若验签通过，则车载终端合法；否则，车载终端非法。5.根据权利要求2所述的车载终端与中心平台通信的加密方法，其特征在于，步骤3)中的认证应答具体为：中心平台生成随机数RAND...

【专利技术属性】
技术研发人员：黄运峰，温禧，涂岩恺，吕伟煌，
申请(专利权)人：厦门雅迅网络股份有限公司，
类型：发明
国别省市：福建,35