【技术实现步骤摘要】
一种密钥分配部署方法和系统
本申请涉及通信安全
,尤其涉及一种密钥分配部署方法和系统。
技术介绍
如图1所示,现有生物识别系统一般可分为两个部分:生物传感器设备和主机设备,这二者一般情况通过USB、SPI等通信总线建立通信。更高级别的生物识别系统中,为了保护用户的生物信息,在图1的基础上增设了相关防护环境,如图2所示。其中安全协议保护生物传感器设备和主机设备安全模式之间数据传输的安全性,安全模式用于保护用户数据处理过程环境的安全性。现有技术中,安全协议,如安全传输层协议等,一般情况下有两种类型,基于非对称密码的安全协议和基于对称密码系统的安全协议。方法一,基于非对称密码的安全协议,需要在设备生产过程中预置可信认证授权(CA,CertificateAuthority)颁发的设备证书,比如向生物传感器设备颁发生物传感器设备证书,向主机设备颁发主机证书,证书相互关系如图3所示。在生产过程中,生物传感器设备和主机设备向CA请求证书,再把从CA获取到的CA证书和设备证书分别预置到生物传感器设备和主机设备中。该方法中利用公钥体系建立相互信任的架构,生物传感器设备和主机设备对于证书的解析需要耗费大量的时间和空间。验证证书的过程、随后的会话协商过程也需耗费大量的时间和空间。以上都要求双方具备强大的运算能力或硬件密码加速模块,这些都会导致成本上升。方法二,基于对称密码系统的安全协议,需要将相同的密钥信息在工厂产线分别写入到生物传感器设备和主机设备中,该密钥信息用作双方的认证凭据。生产过程中 ...
【技术保护点】
1.一种密钥分配部署方法,其特征在于,所述方法包括:/n第一设备生成第一密钥对,所述第一密钥对包括第一公钥和第一私钥,产线签名服务器对所述第一公钥签名并生成第一签名值,返回第一消息至所述第一设备,所述第一消息至少包括所述第一签名值;/n第二设备生成第二密钥对,所述第二密钥对包括第二公钥和第二私钥,所述产线签名服务器对所述第二公钥签名并生成第二签名值,返回第二消息至所述第二设备,所述第二消息至少包括所述第二签名值;/n所述第一设备和所述第二设备利用所述第一消息和所述第二消息进行协商共享密钥,所述共享密钥用于在所述第一设备和所述第二设备之间进行通信。/n
【技术特征摘要】
1.一种密钥分配部署方法,其特征在于,所述方法包括:
第一设备生成第一密钥对,所述第一密钥对包括第一公钥和第一私钥,产线签名服务器对所述第一公钥签名并生成第一签名值,返回第一消息至所述第一设备,所述第一消息至少包括所述第一签名值;
第二设备生成第二密钥对,所述第二密钥对包括第二公钥和第二私钥,所述产线签名服务器对所述第二公钥签名并生成第二签名值,返回第二消息至所述第二设备,所述第二消息至少包括所述第二签名值;
所述第一设备和所述第二设备利用所述第一消息和所述第二消息进行协商共享密钥,所述共享密钥用于在所述第一设备和所述第二设备之间进行通信。
2.根据权利要求1所述的方法,其特征在于,第一设备生成第一密钥对之前包括:
根签名服务器生成根密钥对,所述根密钥对包括根公钥和根私钥;
所述产线签名服务器生成产线签名密钥对,所述产线签名密钥对包括产线签名公钥和产线签名私钥,所述产线签名服务器发送签名请求和所述产线签名公钥,所述根签名服务器接收所述产线签名服务器的所述签名请求和所述产线签名公钥,所述根签名服务器的所述根私钥对所述产线签名公钥签名并生成第三签名值,返回所述根公钥、产线签名公钥以及第三签名值至所述产线签名服务器。
3.根据权利要求2所述的方法,其特征在于,第一设备生成第一密钥对,所述第一密钥对包括第一公钥和第一私钥,产线签名服务器对所述第一公钥签名并生成第一签名值,返回第一消息至所述第一设备,所述第一消息至少包括所述第一签名值,包括:
所述第一设备生成所述第一密钥对,所述第一设备发送签名请求和所述第一公钥,所述产线签名服务器接收所述第一设备的所述签名请求和所述第一公钥,所述产线签名服务器的所述产线签名私钥对所述第一公钥签名,生成第一签名值,返回第一消息至所述第一设备,所述第一消息还包括所述根公钥、产线签名公钥、第三签名值以及第一公钥。
4.根据权利要求2所述的方法,其特征在于,第二设备生成第二密钥对,所述第二密钥对包括第二公钥和第二私钥,所述产线签名服务器对第二公钥签名并生成第二签名值,返回第二消息至第二设备,所述第二消息至少包括第二签名值,包括:
所述第二设备生成所述第二密钥对,所述第二设备发送签名请求和所述第二公钥,所述产线签名服务器接收所述第二设备的所述签名请求和所述第二公钥,所述产线签名服务器的所述产线签名私钥对所述第二公钥签名,生成第二签名值,返回第二消息至所述第二设备,所述第二消息还包括所述根公钥、产线签名公钥、第三签名值以及第二公钥。
5.根据权利要求1-4中任意一项所述的方法,其特征在于,所述第一设备和所述第二设备利用所述第一消息和第二消息进行协商共享密钥,所述共享密钥用于在所述第一设备和所述第二设备之间进行通信包括:
所述第一设备发起连接并生成第一随机数,将所述第一消息发送至所述第二设备;
所述第二设备接收所述第一设备的所述第一消息,验证所述第一消息的合法性,若所述第一消息合法,则生成第二随机数和共享密钥,...
【专利技术属性】
技术研发人员:孔维国,孙文彬,王兵,
申请(专利权)人:深圳市汇顶科技股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。