基于安全数字证书的嵌入式终端间会话握手的实现方法技术

本发明专利技术公开了一种基于安全数字证书的嵌入式终端间会话握手的实现方法，首先由会话请求终端将对相关会话请求数据进行数字签名，组织会话报文1发送到目的终端，发起会话请求，目的终端验证会话报文1请求终端证书及签名的合法性后，组织新的会话报文2返回给请求终端，之后由请求终端生成预主会话密钥，得到最终会话密钥，并根据预主会话密钥组织新的会话报文3发送到目的终端，最后目的终端根据会话报文3计算得到预主会话密钥，生成最终会话密钥，完成会话密钥的协商。通过该方法实现了会话请求方不受限制的嵌入式终端间的通信会话的建立，且通过数字签名和验证的方式保证了通信流程的安全。

【技术实现步骤摘要】
基于安全数字证书的嵌入式终端间会话握手的实现方法
本专利技术涉及终端会话的安全验证
，具体涉及一种基于安全数字证书的嵌入式终端间会话握手的实现方法。
技术介绍
数字证书也叫电子证书,或简称证书，在很多场合下,数字证书、电子证书和证书都是X.509公钥证书的同义词，它符合ITU－TX.509V3标准。证书是随PKI的形成而新发展起来的安全机制，它实现身份的鉴别与识别（认证）、完整性、保密性及不可否认性安全服务（安全需求）；数字证书是电子商务中各实体的网上身份的证明，它证明实体所声明的身份与其公钥的匹配关系，使得实体身份与证书上的公钥相绑定；从公钥管理的机制来讲，数字证书是公钥体制密钥管理的媒介，即在公钥体制中，公钥的分发、传送是靠证书机制来实现的。所以有时也将数字证书称为公钥证书；数字证书是一种权威性的电子文档，它是由具有权威性、可信任性及公正性的第三方机构（CA）所颁发。数字证书是各类实体(持卡人/个人、商户/企业、网关/银行等)在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方证书的有效性，从而解决相互间的信任问题。简单的说，数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。身份验证机构的数字签名可以确保证书信息的真实性。在网络上，信息在由源主机到达目的主机的传输过程中会经过其他计算机。一般情况下，中间的计算机不会监听路过的信息。但在访问网上银行或者进行信用卡交易时，网络上的信息有可能被非法分子监听，从而导致个人隐私的泄露。由于Internet和Internet体系结构存在一些安全漏洞，总会有某些人能够截获并替换用户发出的原始信息。随着电子商务的不断发展，人们对信息安全的要求也越来越高，于是Netscape（网景）公司提出了SSL（ServerSocketLayer）协议，旨在达到在开发网络（Internet）上安全、保密地传输信息的目的，这种协议在Web上获得了广泛的应用。SSL安全协议主要提供三方面的服务：认证用户和服务器,使得它们能够确信数据将被发送到正确的客户机和服务器上；加密数据以隐藏被传送的数据；维护数据的完整性,确保数据在传输过程中不被改变。但是，在SSL交互流程中，交互的发起方总是由客户端向服务器发出服务请求，即发起会话的终端是受限制的。此外，，SSL协议交互只是TCP/IP网络协议中的一部分,目前在内存有限的嵌入式网络终端中的交互会话流程中还没有将安全数字证书应用到嵌入式网络终端中的交互会话流程中的案例，嵌入式终端间交互，都是根据不同的需求来开发指定的，并没有一个标准。
技术实现思路
针对现有技术中存在的缺陷，本专利技术的目的在于提供一种基于安全数字证书的嵌入式终端间会话握手的实现方法，通过该方法实现了内存有限的嵌入式终端的通信会话。为实现上述目的，本专利技术采用的技术方案如下：一种基于安全数字证书的嵌入式终端间会话握手的实现方法，包括以下步骤：（1）会话请求终端组织会话报文1发送到目的终端，发起会话请求；所述的会话报文1包括请求终端的终端证书、会话密文EKS1和会话报文1的数字签名S1；（2）目的终端接收会话报文1，验证请求终端的终端证书和数字签名S1合法性，并组织新的会话报文2返回给请求终端；所述的会话报文2包括目的终端的终端证书、会话密文EKS2和会话报文2的数字签名S2；（3）请求终端接收会话报文2，验证目的终端的终端证书和数字签名的合法性，生成预主会话密钥R3，得到最终会话密钥，并根据预主会话密钥组织新的会话报文3发送到目的终端；（4）目的终端接收会话报文3，并根据会话报文3计算得到预主会话密钥R3，生成最终会话密钥。进一步，如上所述的一种基于安全数字证书的嵌入式终端间会话握手的实现方法，步骤（1）中，组织会话报文1的具体方式为：（1-1）请求终端生成会话数据R1，对会话数据R1进行加密得到会话密文EKS1；（1-2）请求终端对其SSL版本号、终端证书和会话数据R1进行数字签名形成签名S1;（1-3）将请求终端的SSL版本号、终端证书、会话密文EKS1与签名S1组成会话报文1。进一步，如上所述的一种基于安全数字证书的嵌入式终端间会话握手的实现方法，步骤（2）中，组织会话报文2的具体方式为：（2-1）目的终端解密接收到的会话密文EKS1得到会话数据R1；（2-2）目的终端生成会话数据R2，并对会话数据R2进行加密得到会话密文EKS2；（2-3）目的终端对其SSL版本号、终端证书、会话数据R2和会话数据R1进行数字签名形成签名S2；（2-4）将目的终端的SSL版本号、终端证书、会话密文EKS2与签名S2组成会话报文2。进一步，如上所述的一种基于安全数字证书的嵌入式终端间会话握手的实现方法，所述的请求终端和目的终端为嵌入式网络终端，请求终端为客户端，目的终端为服务器端或客户端。进一步，如上所述的一种基于安全数字证书的嵌入式终端间会话握手的实现方法，所述的SSL版本号包括SSL协议的版本和采用的加密算法。进一步，如上所述的一种基于安全数字证书的嵌入式终端间会话握手的实现方法，请求终端和目的终端均使用其终端中预埋的对称加密密钥对会话数据进行加密得到会话密文。进一步，如上所述的一种基于安全数字证书的嵌入式终端间会话握手的实现方法，步骤（2）中，目的终端验证请求终端证书和签名S1的合法性的具体方式为：目的终端接收到会话报文1后，通过CA证书链验证请求终端证书的合法性；使用预埋的对称加密密钥解密会话密文EKS1，得到会话数据R1；使用请求终端的公钥验证签名S1的合法性。进一步，如上所述的一种基于安全数字证书的嵌入式终端间会话握手的实现方法，终端证书的有效状态包括有效和无效两种状态；如果证书的有效状态为有效，则继续进行下一步，如果证书的有效状态为无效，则接收报文的终端返回发送报文的终端错误提示信息，会话结束；验证签名的合法性时，如果签名合法，则继续进行下一步；如果签名不合法，则接收报文的终端返回发送报文的终端错误提示信息，会话结束。进一步，如上所述的一种基于安全数字证书的嵌入式终端间会话握手的实现方法，步骤（3）中，请求终端组织新的会话报文3的具体方式为：请求终端生成预主会话密钥R3，对R3使用目的终端的公钥加密得到会话密文M1，将会话密文M1和目的终端的证书有效状态进行数字签名得到签名S3，签名S3作为会话报文3。进一步，如上所述的一种基于安全数字证书的嵌入式终端间会话握手的实现方法，步骤（4）中，目的终端根据会话报文3计算生成最终会话密钥的具体方式为：目的终端接收会话报文3，使用请求终端的公钥解密得到会话报文3得到密文M1，使用目的终端的公钥解密密文M1得到预主会话密钥R3，根据预主会话密钥，生成最终会话密钥。再进一步，如上所述的一种基于安全数字证书的嵌入式终端间会话握手的实现方法，所述的最终会话密钥是通过对预主会话密钥R3、请求终端会话数据R1、目的终端会话数据R2和计数值C的组合进行Hash计算过得到的，计算公式为：最终的会话密钥KCV=Hash（预主会话密钥R3+请求终端会话数据R1+目的终端会话数据R2+C）；计数值C随着会话建立流程加1。更进一步，如上所述的一种基于安全数字证书的嵌入式终端间会话握手的实现方法，请本文档来自技高网...

【技术保护点】
一种基于安全数字证书的嵌入式终端间会话握手的实现方法，包括以下步骤：（1）会话请求终端组织会话报文1发送到目的终端，发起会话请求；所述的会话报文1包括请求终端的终端证书、会话密文EKS1和会话报文1的数字签名S1；（2）目的终端接收会话报文1，验证请求终端的终端证书和数字签名S1合法性，并组织新的会话报文2返回给请求终端；所述的会话报文2包括目的终端的终端证书、会话密文EKS2和会话报文2的数字签名S2；（3）请求终端接收会话报文2，验证目的终端的终端证书和数字签名的合法性，生成预主会话密钥R3，得到最终会话密钥，并根据预主会话密钥组织新的会话报文3发送到目的终端；（4）目的终端接收会话报文3，并根据会话报文3计算得到预主会话密钥R3，生成最终会话密钥。

【技术特征摘要】
1.一种基于安全数字证书的嵌入式终端间会话握手的实现方法，包括以下步骤：(1)会话请求终端组织会话报文1发送到目的终端，发起会话请求；所述的会话报文1包括请求终端的终端证书、会话密文EKS1和会话报文1的数字签名S1；组织会话报文1的具体方式为：(1-1)请求终端生成会话数据R1，对会话数据R1进行加密得到会话密文EKS1；(1-2)请求终端对其SSL版本号、终端证书和会话数据R1进行数字签名形成签名S1；(1-3)将请求终端的SSL版本号、终端证书、会话密文EKS1与签名S1组成会话报文1；(2)目的终端接收会话报文1，验证请求终端的终端证书和数字签名S1合法性，并组织新的会话报文2返回给请求终端；所述的会话报文2包括目的终端的终端证书、会话密文EKS2和会话报文2的数字签名S2；目的终端验证请求终端证书和签名S1的合法性的具体方式为：目的终端接收到会话报文1后，通过CA证书链验证请求终端证书的合法性；使用预埋的对称加密密钥解密会话密文EKS1，得到会话数据R1；使用请求终端的公钥验证签名S1的合法性，将验证获得的请求终端的SSL版本号、终端证书和会话数据R1的相关签名数据与会话报文1中的对应数据进行验证比对，如果一致则说明签名合法，反之不合法；(3)请求终端接收会话报文2，验证目的终端的终端证书和数字签名的合法性，生成预主会话密钥R3，得到最终会话密钥，并根据预主会话密钥组织新的会话报文3发送到目的终端；所述的最终会话密钥是通过对预主会话密钥R3、请求终端会话数据R1、目的终端会话数据R2和计数值C的组合进行Hash计算过得到的，计算公式为：最终的会话密钥KCV＝Hash(预主会话密钥R3+请求终端会话数据R1+目的终端会话数据R2+C)；计数值C随着会话建立流程加1；(4)目的终端接收会话报文3，并根据会话报文3计算得到预主会话密钥R3，生成最终会话密钥。2.如权利要求1所述的一种基于安全数字证书的嵌入式终端间会话握手的实现方法，其特征在于：步骤(2)中，组织会话报文2的具体方式为：(2-1)目的终端解密接收到的会话密文EKS1得到会话数据R1；(2-2)目的终端生成会话数据R2，并对会话数据R2进行加密得到会话密文EKS2；(2-3...

【专利技术属性】
技术研发人员：王强，孙婉丽，臧宏伟，
申请(专利权)人：北京握奇数据系统有限公司，
类型：发明
国别省市：北京;11