基于证书的端到端密钥交换方法技术

本发明专利技术公开了一种基于证书的端到端密钥交换方法，包括：步骤一、终端I获取终端II的公钥，具体过程如下：A1、终端I将其公钥加密后提交至服务端；A2、服务端将终端I加密后的公钥解密，并由数字证书认证中心制作终端I的用户证书，服务端存储终端I的用户证书；A3、终端I生成与终端II进行密钥交换的请求消息；A4、服务端将终端I的用户证书下发给终端II，终端II同意密钥交换请求后，服务端将终端II的用户证书下发给终端I；A5、终端I从终端II的用户证书中解析出终端II的公钥并保存。同理，终端II获取终端I的公钥。本发明专利技术简化了密钥交换流程，防止注册过程中的中间人攻击和重放攻击，提升了公钥的安全性。

An end to end key exchange method based on certificate

This invention discloses an end to end key exchange method based on certificate, including: Step 1, the terminal I obtains the public key of terminal II. The specific process is as follows: A1, terminal I encrypts its public key to the server; A2, server decrypts the public key of terminal I after the terminal, and makes terminal I by digital certificate authentication center. The user certificate, the user certificate of the server storage terminal I; the A3, the terminal I to generate the request message of the key exchange with the terminal II; A4, the server sends the terminal I to the terminal II, the terminal II agrees to the key exchange request, the server sends the terminal II's user certificate to the terminal I; A5, terminal I from terminal use The public key of the terminal II is parsed and saved in the household certificate. In the same way, the terminal II gets the public key of the terminal I. The invention simplifies the key exchange process, prevents middleman attacks and replay attacks in the registration process, and improves the security of the public key.

【技术实现步骤摘要】
基于证书的端到端密钥交换方法
本专利技术涉及信息
，具体是一种基于证书的端到端密钥交换方法。
技术介绍
端到端设备要实现加密通信，需要提前交换加密密钥，目前大部分方案是使用特定的注密设备，在使用现场为设备进行密钥导入，这种方案成本高，并且使用不方便。少部分的端到端设备密钥通过网络交换，但缺少安全防护手段，极易遭到中间人攻击和重放攻击。
技术实现思路
本专利技术的一个目的是解决至少上述问题，并提供至少后面将说明的优点。本专利技术还有一个目的是提供一种基于证书的端到端密钥交换方法，其简化了密钥交换流程，提高了密钥交换的效率，缩短双方的等待时间，防止注册过程中的中间人攻击和重放攻击，确保了公钥的安全性。为了实现根据本专利技术的这些目的和其它优点，提供了一种基于证书的端到端密钥交换方法，包括：步骤一、终端I获取终端II的公钥，具体过程如下：A1、终端I在注册时产生公私钥对，并对公钥加密后提交至服务端；A2、服务端将终端I加密后的公钥解密并提交解密后的公钥至数字证书认证中心，数字证书认证中心制作终端I的用户证书并传输至服务端，服务端存储终端I的用户证书；A3、终端I生成与终端II进行密钥交换的请求消息，并用终端I的私钥对请求消息进行数字签名后发送至服务端；A4、服务端用终端I的公钥对数字签名验签成功后将终端I的用户证书下发给终端II，同时向终端II推送密钥交换的请求信息，终端II同意交换后，服务端将终端II的用户证书下发给终端I；A5、终端I用预制的数字证书认证中心的根证书从终端II的用户证书中解析出终端II的公钥并保存。优选的是，还包括：步骤二、终端II获取终端I的公钥，具体过程如下：B1、终端II在注册时产生公私钥对，并对公钥加密后提交至服务端；B2、服务端将终端II加密后的公钥解密并提交解密后的公钥至数字证书认证中心，数字证书认证中心制作终端II的用户证书并传输至服务端，服务端存储终端II的用户证书；B3、终端II生成与终端I进行密钥交换的请求消息，并用终端II的私钥对请求消息进行数字签名后发送至服务端；B4、服务端用终端II的公钥对数字签名验签成功后将终端II的用户证书下发给终端I，同时向终端I推送密钥交换的请求信息，终端I同意交换后，服务端将终端I的用户证书下发给终端II；B5、终端II用预制的数字证书认证中心的根证书从终端I的用户证书中解析出终端I的公钥并保存，至此完成密钥交换。优选的是，还包括：步骤三、通过终端I和终端II交换信息，具体为：C1、在终端I上输入的信息通过终端I内保存的终端II的公钥进行加密发送给终端II，终端II利用自己的私钥对收到的信息进行解密，呈现信息明文；C2、在终端II上输入的信息通过终端II内保存的终端I的公钥进行加密发送给终端I，终端I利用自己的私钥对收到的信息进行解密，呈现信息明文，至此完成信息的交换。优选的是，终端I和终端II交换信息之前，需要分别对终端I和终端II上注册时的身份进行登录认证，注册时的身份为手机号码，具体为：在终端I上注册手机号码后，登录时，终端I向服务端提交该手机号码以及终端I的设备ID信息，服务端验证终端I提交的该手机号码以及设备ID信息，若一致，则允许登录，终端II上的登录认证原理与终端I一致。优选的是，步骤A1中，终端I从与之通信连接的扩展加密硬件中调用RSA算法接口生成公私钥对，私钥保存在该扩展加密硬件中，公钥加密的具体过程为：终端I预制有基础密钥，终端I注册手机号码时向服务端提交手机号码以及终端I的设备ID信息，服务端向终端I下发短信验证码，并将终端I的设备ID信息与手机号码绑定，终端I接收到短信验证码后，利用短信验证码对基础密钥进行分散，得到第一临时密钥，然后利用第一临时密钥将终端I的公钥进行加密，并将加密后的公钥提交给服务端。优选的是，步骤A2中，服务端将终端I加密后的公钥解密的具体过程为：服务端预制有基础密钥，服务端接收到加密的公钥后，利用下发给终端I的短信验证码对基础密钥进行分散，得到第二临时密钥，用第二临时密钥对终端I提交的加密后的公钥进行解密。优选的是，所述扩展加密硬件为内置有安全芯片的SIM贴膜卡。本专利技术至少包括以下有益效果：本专利技术中进行密钥交换的对象是终端I和终端II的公钥，利用交换后的公钥对后续终端I和终端II互相发送的信息进行加密，以便于交换后的信息能被收到方用自己的私钥解密，以看到信息明文。本专利技术的终端I和终端II、服务端、数字证书认证中心均为网络连接，将终端I和终端II的用户证书存放在服务端，终端I和终端II进行密钥交换时才将各自的用户证书下发到对方，与传统的使用密钥加注机现场进行加密的操作相比，简化了密钥交换流程，提高了密钥交换的效率，缩短双方的等待时间。本专利技术中用户在终端I和终端II上注册时产生的公钥是经过加密后分别由终端I和终端II发送给服务端，用短信验证码来对基础密钥进行分散，得到第一临时密钥，对公钥进行加密，再通过网络传输至服务端，防止注册过程中的中间人攻击和重放攻击，确保了公钥的安全性。本专利技术的其它优点、目标和特征将部分通过下面的说明体现，部分还将通过对本专利技术的研究和实践而为本领域的技术人员所理解。具体实施方式下面结合实施例对本专利技术做进一步的详细说明，以令本领域技术人员参照说明书文字能够据以实施。应当理解，本文所使用的诸如“具有”、“包含”以及“包括”术语并不配出一个或多个其它元件或其组合的存在或添加。一种基于证书的端到端密钥交换方法，此处的密钥指代的是公钥，即终端I获取终端II的公钥，终端II同步获取终端I的公钥，以下以终端I为例详述，包括：步骤一、终端I获取终端II的公钥，具体过程如下：A1、用户X在终端I上注册时产生公私钥对，即包括公钥和私钥，此处的公私钥对不与终端I同步出厂，仅在用户X在终端I上的客户端或APP或其他应用进行注册时产生，且获得的公私钥对与用户X注册时所用的注册账号唯一对应，终端I将该公钥加密后提交至服务端，此处的服务端是与该客户端或APP或其他应用云同步的后台云端；A2、服务端将终端I加密后的公钥解密并提交解密后的公钥至数字证书认证中心，此处的数字证书认证中心是与服务端网络连接，实现信息传输，数字证书认证中心与服务端均为后台运行的云端，共同服务于终端I和终端II之间进行公钥的交换，数字证书认证中心制作终端I的用户证书并传输至服务端，服务端存储终端I的用户证书；A3、终端I生成与终端II进行密钥交换的请求消息，并用终端I的私钥对请求消息进行数字签名后发送至服务端；A4、服务端用终端I的公钥对数字签名验签成功后将终端I的用户证书下发给终端II，同时向终端II推送密钥交换的请求信息，终端II同意交换后，服务端将终端II的用户证书下发给终端I；此处，终端II的用户证书已经保存在服务端，且终端II的用户证书的制作过程原理与终端I一样；A5、终端I用预制的数字证书认证中心的根证书从终端II的用户证书中解析出终端II的公钥并保存。此处数字证书认证中心的根证书是唯一的，仅用于解析来自于终端II的用户证书，从而获得终端II公钥。终端II获取终端I的公钥的原理与终端I获取终端II的公钥的原理一致。本专利技术中进行密钥交换的对象是终端I和终端II的公钥，利用交换后的公钥对后续终端I和终端II互相发送的信息本文档来自技高网...

【技术保护点】
1.一种基于证书的端到端密钥交换方法，其特征在于，包括：步骤一、终端I获取终端II的公钥，具体过程如下：A1、终端I在注册时产生公私钥对，并对公钥加密后提交至服务端；A2、服务端将终端I加密后的公钥解密并提交解密后的公钥至数字证书认证中心，数字证书认证中心制作终端I的用户证书并传输至服务端，服务端存储终端I的用户证书；A3、终端I生成与终端II进行密钥交换的请求消息，并用终端I的私钥对请求消息进行数字签名后发送至服务端；A4、服务端用终端I的公钥对数字签名验签成功后将终端I的用户证书下发给终端II，同时向终端II推送密钥交换的请求信息，终端II同意交换后，服务端将终端II的用户证书下发给终端I；A5、终端I用预制的数字证书认证中心的根证书从终端II的用户证书中解析出终端II的公钥并保存。

【技术特征摘要】
1.一种基于证书的端到端密钥交换方法，其特征在于，包括：步骤一、终端I获取终端II的公钥，具体过程如下：A1、终端I在注册时产生公私钥对，并对公钥加密后提交至服务端；A2、服务端将终端I加密后的公钥解密并提交解密后的公钥至数字证书认证中心，数字证书认证中心制作终端I的用户证书并传输至服务端，服务端存储终端I的用户证书；A3、终端I生成与终端II进行密钥交换的请求消息，并用终端I的私钥对请求消息进行数字签名后发送至服务端；A4、服务端用终端I的公钥对数字签名验签成功后将终端I的用户证书下发给终端II，同时向终端II推送密钥交换的请求信息，终端II同意交换后，服务端将终端II的用户证书下发给终端I；A5、终端I用预制的数字证书认证中心的根证书从终端II的用户证书中解析出终端II的公钥并保存。2.如权利要求1所述的基于证书的端到端密钥交换方法，其特征在于，还包括：步骤二、终端II获取终端I的公钥，具体过程如下：B1、终端II在注册时产生公私钥对，并对公钥加密后提交至服务端；B2、服务端将终端II加密后的公钥解密并提交解密后的公钥至数字证书认证中心，数字证书认证中心制作终端II的用户证书并传输至服务端，服务端存储终端II的用户证书；B3、终端II生成与终端I进行密钥交换的请求消息，并用终端II的私钥对请求消息进行数字签名后发送至服务端；B4、服务端用终端II的公钥对数字签名验签成功后将终端II的用户证书下发给终端I，同时向终端I推送密钥交换的请求信息，终端I同意交换后，服务端将终端I的用户证书下发给终端II；B5、终端II用预制的数字证书认证中心的根证书从终端I的用户证书中解析出终端I的公钥并保存，至此完成密钥交换。3.如权利要求1所述的基于证书的端到端密钥交换方法，其特征在于，还包括：步骤三、通过终端I和终端II交换信息，具体为：C1、在终端...

【专利技术属性】
技术研发人员：王靖，姚明月，罗东平，庞潼川，杨成功，
申请(专利权)人：芯盾网安北京科技发展有限公司，
类型：发明
国别省市：北京,11