本申请公开了一种基于无证书的链路保护方法,涉及信息安全领域。本申请的主要技术方案为:终端设备在生产时预置终端公钥标识;用户客户端与终端设备根据所述预置的终端公钥标识协商生成通讯主密钥,使用所述通讯主密钥进行数据通讯。采用本申请的技术方案,不需要管理大量的证书,节省了证书管理的大量消耗,密钥协商效率更高。
【技术实现步骤摘要】
一种基于无证书的链路保护方法
本申请涉及信息安全
,尤其涉及一种基于无证书的链路保护方法。
技术介绍
1976年,Diffie-Hellman提出了公钥密码的新思想,开创了密码学的新时代。使用公钥密码技术可以解决单钥密码体制中最难解决的两个问题:密钥分配和数字签名。在公钥密码体制中,每个用户拥有一对密钥:私钥和公钥,其中私钥由用户秘密保存,公钥可以公开发布,由其他人使用。要安全地使用公钥密码技术,必须让公钥与用户的身份信息关联起来,并具有可验证性和可信性,公钥密码技术的应用需要解决对用户公钥的认证问题。经典的密钥协商方法是建立在基于证书的公钥密码体制上的,基于证书的公钥密码体制(PKI/CA)的链路保护方法,具有以下缺陷:(1)在使用其他用户公钥时,需要设法查找该用户的公钥证书;(2)使用任何公钥前都需要先验证公钥证书的合法性和有效性;(3)CA需要管理大量的证书,包括证书的颁发、存储和撤销等复杂的过程;(4)证书在传输和存储的过程中需要占用大量的网络带宽和存储资源。
技术实现思路
本申请的目的在于提供一种基于无证书的链路保护方法,降低运维成本,简化费用管理方式,方便联合经营和大面积推广应用。为达到上述目的,本申请提供一种基于无证书的链路保护方法,包括:终端设备在生产时预置终端公钥标识;用户客户端与终端设备根据所述预置的终端公钥标识协商生成通讯主密钥,使用所述通讯主密钥进行数据通讯。如上的,其中,终端设备预置终端公钥标识,具体包括如下子步骤:生成第一随机数,根据第一随机数计算得到第一部分公钥;接收客户端生产程序根据第一部分公钥计算生成的终端公钥标识。如上的,其中,根据第一部分公钥计算生成的终端公钥标识,具体包括如下子步骤:生成第二随机数,根据第二随机数和第一部分公钥,计算生成第二部分公钥;根据终端标识、厂商标识、有效期和第二部分公钥拼接得到终端公钥标识。如上的,其中,终端设备还包括预置终端私钥,具体包括如下子步骤:接收客户端生产程序根据第二部分公钥、终端标识和厂商私钥计算生成的第一部分私钥;根据第一部分私钥和第一随机数计算生成终端私钥并存储。如上的,其中,终端设备还包括验证生成的终端私钥和终端公钥标识是否匹配,具体包括如下子步骤:根据终端私钥生成终端公钥,从终端公钥标识中解析出终端标识和第二部分公钥,对终端标识和第二部分公钥进行摘要运算,生成摘要值,判断根据该摘要值、厂商公钥和第二部分公钥计算生成的数据与终端公钥是否相等,若相等,则验证终端私钥和终端公钥标识匹配。如上的,其中,用户客户端生成通讯主密钥,具体包括如下子步骤:终端设备生成第四随机数,根据第四随机数和终端公钥计算生成第二部分私钥并返回给用户客户端;用户客户端生成第三随机数,根据第三随机数和所述第二部分私钥计算生成客户端私钥,根据客户端私钥计算客户端公钥;并根据获取到的终端公钥标识生成终端公钥,根据终端标识、第二部分私钥、终端公钥和客户端公钥生成通讯主密钥。如上的,其中,根据获取到的终端公钥标识生成终端公钥,具体包括如下子步骤:从终端公钥标识中解析出终端标识和第二部分公钥;对终端标识和第二部分公钥进行摘要运算,生成摘要值,根据该摘要值、厂商公钥和第二部分公钥计算生成终端公钥。如上的,其中,用户客户端还包括验证客户端公私密钥对是否匹配,具体包括如下子步骤:用户客户端根据第三随机数计算生成第三部分公钥;终端设备根据第四随机数和第三部分公钥计算生成第四部分公钥;用户客户端对终端标识和终端公钥进行摘要运算,生成第二摘要值;判断根据第二摘要值、终端公钥和第四部分公钥计算生成的数据与生成的客户端公钥是否相等,若相等,则客户端公私密钥对匹配。如上的,其中,终端设备生成通讯主密钥,具体包括如下子步骤:终端设备对终端标识和终端公钥进行摘要运算,生成摘要值;根据该摘要值、终端公钥和第四部分公钥计算生成客户端公钥;根据终端标识、第二部分私钥、终端公钥和客户端公钥生成通讯主密钥。如上的,其中,终端设备生成通讯主密钥之前,还包括如下子步骤:用户客户端使用客户端私钥对第二摘要值进行签名,得到签名结果,将签名结果发送到终端设备;终端设备接收到签名结果后,用生成的客户端公钥对签名结果进行验签,若验签成功,则表示客户端公私密钥对合法,计算生成通讯主密钥。本申请实现的有益效果如下:(1)本专利技术使用公钥标识来认证用户的公钥,公钥标识由用户ID、有效期和用户部分公钥组成,计算用户公钥的过程隐含了对用户公钥的认证。(2)公钥标识相比较证书,数据量小,在使用蓝牙、NFC等无线传输方式的系统中,本专利技术密钥协商效率更高。(3)本专利技术采用基于CLA(无证书认证体制)机制的认证方式,不需要管理大量的证书,节省了证书管理的大量消耗。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。图1为用户客户端与终端设备进行密钥协商的方法流程图;图2为终端设备预置终端公钥标识的具体流程图;图3为用户客户端与终端设备进行密钥协商的具体流程图。具体实施方式下面结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。为了减少证书管理的大量消耗,本申请一种基于无证书的链路保护方法,应用于终端设备与用户客户端组成的系统中;终端设备出厂前,预置终端公钥标识;如图1所示,为保证数据传输的安全性,用户客户端与终端设备在数据通讯前先进行密钥协商,具体为:步骤11:用户客户端与终端设备根据终端公钥标识协商生成通讯主密钥;步骤12:使用所述通讯主密钥进行数据通讯。以下实施例对上述流程作详细描述,其中,实施例一为终端设备预置终端公钥标识的具体流程,实施例二为终端设备与用户客户端进行密钥协商的具体流程。实施例一本申请实施例一详述终端设备在终端厂商生产时预置终端私钥和公钥标识的方法,具体操作如下:在终端厂商中预置一对厂商公私密钥对,厂商公钥与厂商私钥的对应关系为:P=[S]·G……式(1)其中,P为厂商公钥,S为厂商私钥,G为SM2算法椭圆曲线的一个基点。参见图2,终端厂商启动客户端生产程序,客户端生产程序中的多个终端设备依次执行如下操作:步骤21:终端设备生成第一随机数,根据第一随机数计算第一部分公钥,将该终端设备的设备标识和第一部分公钥返回客户端生产程序;终端设备根据第一随机数计算第一部分公钥,具体为:P1=[R1]·G……式(2)其中,R1为生成的第一随机数,将第一随机数存储在终端设备中,优选的,实施例中生成的随机数为32字节,G为SM2算法椭圆曲线的一个基点。步骤22:客户端生产程序生成第二随机数,根据第二随机数和接收到的第一部分公钥,计算生成第二部分公钥;客户端生产程序根据第二随机数和第一部分公钥计算生成第二部分公钥,具体为:P2=P1+[R2]·G=(xP2,yP2)……式(3)其中,P1为接收到的第一部分公钥,R2为生成的第二随机数本文档来自技高网...
【技术保护点】
1.一种基于无证书的链路保护方法,其特征在于,包括:终端设备在生产时预置终端公钥标识;用户客户端与终端设备根据所述预置的终端公钥标识协商生成通讯主密钥,使用所述通讯主密钥进行数据通讯。
【技术特征摘要】
1.一种基于无证书的链路保护方法,其特征在于,包括:终端设备在生产时预置终端公钥标识;用户客户端与终端设备根据所述预置的终端公钥标识协商生成通讯主密钥,使用所述通讯主密钥进行数据通讯。2.如权利要求1所述的基于无证书的链路保护方法,其特征在于,终端设备预置终端公钥标识,具体包括如下子步骤:生成第一随机数,根据第一随机数计算得到第一部分公钥;接收客户端生产程序根据第一部分公钥计算生成的终端公钥标识。3.如权利要求2所述的基于无证书的链路保护方法,其特征在于,根据第一部分公钥计算生成的终端公钥标识,具体包括如下子步骤:生成第二随机数,根据第二随机数和第一部分公钥,计算生成第二部分公钥;根据终端标识、厂商标识、有效期和第二部分公钥拼接得到终端公钥标识。4.如权利要求3所述的基于无证书的链路保护方法,其特征在于,终端设备还包括预置终端私钥,具体包括如下子步骤:接收客户端生产程序根据第二部分公钥、终端标识和厂商私钥计算生成的第一部分私钥;根据第一部分私钥和第一随机数计算生成终端私钥并存储。5.如权利要求4所述的基于无证书的链路保护方法,其特征在于,终端设备还包括验证生成的终端私钥和终端公钥标识是否匹配,具体包括如下子步骤:根据终端私钥生成终端公钥;从终端公钥标识中解析出终端标识和第二部分公钥;对终端标识和第二部分公钥进行摘要运算,生成摘要值,判断根据该摘要值、厂商公钥和第二部分公钥计算生成的数据与终端公钥是否相等,若相等,则验证终端私钥和终端公钥标识匹配。6.如权利要求1所述的基于无证书的链路保护方法,其特征在于,用户客户端生成通讯主密钥,具体包括如下子步骤:终端设备生成第四随机数,根据第四随机数和终端公钥计算生成第二部分私钥并返回给用户客户端;用户客户端生成...
【专利技术属性】
技术研发人员:贺巧龙,李娜,
申请(专利权)人:江苏恒宝智能系统技术有限公司,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。