通信內(nèi)容加密解密方法以及基于cs模式的加密管理方法
【專利摘要】本發(fā)明公開了通信內(nèi)容加密解密方法以及基于CS模式的加密管理方法�,涉及信息安全技術,旨在提供一種使用硬件加密��,提高加密速率的新型加密管理方法���。本發(fā)明技術要點:包括準備步驟�����、管理設備報文封裝步驟�、受控設備報文解封裝步驟����、受控設備報文封裝步驟以及管理設備報文解封裝步驟等����。
【專利說明】通信內(nèi)容加密解密方法以及基于CS模式的加密管理方法
【技術領域】
[0001]本發(fā)明涉及信息安全技術,尤其是一種加密的通信方法����。
【背景技術】
[0002]現(xiàn)有的基于CS模式(custom-servicer)的管理內(nèi)容通常采用明文或軟算法進行加密。
[0003]使用明文通訊管理設備時����,管理內(nèi)容公開��,第三方設備可以從通信網(wǎng)絡上盜取管理內(nèi)容或控制內(nèi)容�,通過復制管理內(nèi)容從而竊取對工控設備的管理權限�,在某些工控設備的管理過程中造成極大的財產(chǎn)及人身安全隱患。
[0004]使用軟算法實現(xiàn)管理加密處理時����,由于一般工控設備CPU的軟加密應用處理能力不強,導致使用軟算法的加密速率比較慢���,使得管理效率大大降低���。
【發(fā)明內(nèi)容】
[0005]本發(fā)明所要解決的技術問題是:針對上述存在的問題,提供一種使用硬件加密����,提高加密速率的新型加密管理方法,實現(xiàn)了一包一密���、數(shù)據(jù)完整性校驗和不可抵賴性處理�。
[0006]本發(fā)明采用的技術方案如下:包括準備步驟����、管理設備報文封裝步驟���、第一類報文傳輸步驟以及受控設備報文解封裝步驟;
所述準備步驟包括:
步驟Rl:管理設備產(chǎn)生公私鑰對����;USBKey產(chǎn)生公私鑰對;
步驟R2:管理設備與USBKey交換各自的公鑰��;在管理設備與USBKey上設置同樣的散列算法�����;
步驟R3:將所述USBKey插接到受控設備上����;管理設備與受控設備建立信號連接��;
所述管理設備報文封裝步驟包括:
步驟SEl:管理設備產(chǎn)生隨機數(shù)TKl ����;
步驟SE2:使用隨機數(shù)TKl作為密鑰TKl對欲發(fā)送給受控設備的管理內(nèi)容加密,形成管理內(nèi)容密文���;使用USBKey公鑰對密鑰TKl加密�,形成通信密鑰密文;
步驟SE3:對所述步驟SE2得到的管理內(nèi)容密文及通信密鑰密文進行散列運算����,得到散列序列;
步驟SE4:使用管理設備的私鑰對SE3生成的散列序列進行簽名�;
步驟SE5:將所述步驟SE2得到的通信密鑰密文、步驟SE2得到的管理內(nèi)容密文及步驟SE4得到的簽名封裝成數(shù)據(jù)包���;
所述第一類報文傳輸步驟將所述數(shù)據(jù)包從管理設備發(fā)送給受控設備�����;
所述受控設備報文解封裝步驟進一步包括管理內(nèi)容解密步驟及驗簽步驟�;其中:
管理內(nèi)容解密步驟包括:
步驟CDl:利用USBKey私鑰解密來自管理設備的通信密鑰密文�����,獲取密鑰TKl ���;
步驟CD2:使用密鑰TKl解密來自管理設備的管理內(nèi)容密文得到管理內(nèi)容�; 驗簽步驟包括:
步驟CVl:對所述來自管理設備的管理內(nèi)容密文與來自管理設備的通信密鑰密文進行散列運算���,得到散列序列�����;
步驟CV2:利用管理設備的公鑰對來自管理設備的簽名進行驗簽���;
步驟CV3:判斷步驟CVl得到的散列序列與步驟CV2驗簽得到的散列序列是否相同����,若相同�����,則表示收到的管理內(nèi)容合法���;否則�,表示收到的管理內(nèi)容非法��。
[0007]優(yōu)選地���,所述步驟SE3包括:先將所述步驟SE2得到的管理內(nèi)容密文及通信密鑰密文進行合并,再對合并后的密文串進行散列運算�,得到散列序列���;所述步驟CVl包括:先將所述來自管理設備的管理內(nèi)容密文與來自管理設備的通信密鑰密文進行合并,再對合并后的密文串進行散列運算��,得到散列序列。
[0008]優(yōu)選地�����,還包括受控設備報文封裝步驟�����、第二類報文傳輸步驟以及管理設備報文解封裝步驟��;
所述受控設備報文封裝步驟包括:
步驟CEl:USBKey產(chǎn)生隨機數(shù)TK2 ����;
步驟CE2:使用隨機數(shù)TK2作為密鑰TK2對欲發(fā)送給管理設備的反饋內(nèi)容加密�,形成反饋內(nèi)容密文�����;使用管理設備公鑰對密鑰TK2加密,形成通信密鑰密文�����;
步驟CE3:對所述步驟CE2得到的反饋內(nèi)容密文及通信密鑰密文進行散列運算��,得到散列序列�;
步驟CE4:使用USBKey私鑰對步驟CE3生成的散列序列進行簽名�����;
步驟CE5:將所述步驟CE2得到的通信密鑰密文、步驟CE2得到的反饋內(nèi)容密文及步驟CE4得到的簽名封裝成數(shù)據(jù)包�����;
所述第二類報文傳輸步驟將所述步驟CE5生成的數(shù)據(jù)包從受控設備發(fā)送給管理設備; 所述管理設備報文解封裝步驟進一步包括反饋內(nèi)容解密步驟及驗簽步驟�����,其中:
反饋內(nèi)容解密步驟包括
步驟SDl:利用管理設備私鑰解密來自受控設備的通信密鑰密文,獲取密鑰TK2 ����;
步驟SD2:使用密鑰TK2解密來自受控設備的反饋內(nèi)容密文得到反饋內(nèi)容�;
驗簽步驟包括:
步驟SVl:對所述來自受控設備的反饋內(nèi)容密文與來自受控設備的通信密鑰密文進行散列運算,得到散列序列�����;
步驟SV2:利用USBKey公鑰對來自受控設備的簽名進行驗簽��;
步驟SV3:判斷步驟SVl得到的散列序列與步驟SV2驗簽得到的散列序列是否相同,若相同���,則表示收到的反饋內(nèi)容合法�����;否則,表示收到的反饋內(nèi)容非法�。
[0009]優(yōu)選地,所述步驟SE3包括:先將所述步驟SE2得到的管理內(nèi)容密文及通信密鑰密文進行合并��,在對合并后的密文串進行散列運算,得到散列序列�����;所述步驟CVl包括:先將所述來自管理設備的管理內(nèi)容密文與來自管理設備的通信密鑰密文進行合并��,再對合并后的密文串進行散列運算����,得到散列序列;所述步驟CE3包括:先將所述步驟CE2得到的反饋內(nèi)容密文及通信密鑰密文進行合并�����,再對合并后的密文串進行散列運算,得到散列序列��;所述步驟SVl包括:先將所述來自受控設備的反饋內(nèi)容密文與來自受控設備的通信密鑰密文進行合并�����,再對合并后的密文串進行散列運算�,得到散列序列�。[0010]本發(fā)明還針對普通的兩個設備之間的通信提出了一種通信內(nèi)容加密與解密方法�����,包括準備步驟����、第一設備報文封裝步驟�����、第一類報文傳輸步驟、第二設備報文解封裝步驟���、第二類報文傳輸步驟以及第一設備報文解封裝步驟:
所述準備步驟包括:
步驟Rl:第一設備產(chǎn)生公私鑰對��;USBKey產(chǎn)生公私鑰對;
步驟R2:第一設備與USBKey交換各自的公鑰�;在第一設備與USBKey上設置同樣的散列算法�;
步驟R3:將所述USBKey插接到第二設備上;第一設備與第二設備建立信號連接;
所述第一設備報文封裝步驟包括:
步驟IEl:第一設備產(chǎn)生隨機數(shù)TKl ��;
步驟1E2:使用隨機數(shù)TKl作為密鑰TKl對欲發(fā)送給第二設備的通信內(nèi)容加密����,形成通信內(nèi)容密文����;使用USBKey公鑰對密鑰TKl加密,形成通信密鑰密文�;
步驟1E3:對所述步驟1E2得到的通信內(nèi)容密文及通信密鑰密文進行散列運算��,得到散列序列��;
步驟1E4:使用第一設備的私鑰對1E3生成的散列序列進行簽名;
步驟1E5:將所述步驟1E2得到的通信密鑰密文�����、步驟1E2得到的通信內(nèi)容密文及步驟1E4得到的簽名封裝成數(shù)據(jù)包;
所述第一類報文傳輸步驟將所述數(shù)據(jù)包從第一設備發(fā)送給第二設備�;
所述第二設備報文解封裝步驟進一步包括通信內(nèi)容解密步驟及驗簽步驟;其中:
通信內(nèi)容解密步驟包括:
步驟2D1:利用USBKey私鑰解密來自第一設備的通信密鑰密文�����,獲取密鑰TKl ;
步驟2D2:使用密鑰TKl解密來自第一設備的通信內(nèi)容密文得到通信內(nèi)容;
驗簽步驟包括:
步驟2V1:對所述來自第一設備的通信內(nèi)容密文與來自第一設備的通信密鑰密文進行散列運算�,得到散列序列����;
步驟2V2:利用第一設備的公鑰對來自第一設備的簽名進行驗簽���;
步驟2V3:判斷步驟2V1得到的散列序列與步驟2V2驗簽得到的散列序列是否相同�����,若相同,則表示收到的通信內(nèi)容合法����;否則,表示收到的通信內(nèi)容非法�;
所述第二設備報文封裝步驟包括:
步驟2E1:USBKey產(chǎn)生隨機數(shù)TK2 ��;
步驟2E2:使用隨機數(shù)TK2作為密鑰TK2對欲發(fā)送給第一設備的通信內(nèi)容加密����,形成通信內(nèi)容密文����;使用第一設備公鑰對密鑰TK2加密,形成通信密鑰密文���;
步驟2E3:對所述步驟2E2得到的通信內(nèi)容密文及通信密鑰密文進行散列運算,得到散列序列����;
步驟2E4:使用USBKey私鑰對2E3生成的散列序列進行簽名;
步驟2E5:將所述步驟2E2得到的通信密鑰密文�����、步驟2E2得到的通信內(nèi)容密文及步驟2E4得到的簽名封裝成數(shù)據(jù)包����;
所述第二類報文傳輸步驟將所述步驟2E5生成的數(shù)據(jù)包從第二設備發(fā)送給第一設備��; 所述第一設備報文解封裝步驟進一步包括通信內(nèi)容解密步驟及驗簽步驟����,其中: 通信內(nèi)容解密步驟包括
步驟IDl:利用第一設備私鑰解密來自第二設備的通信密鑰密文�����,獲取密鑰TK2 ���;
步驟1D2:使用密鑰TK2解密來自第二設備的通信內(nèi)容密文得到通信內(nèi)容;
驗簽步驟包括:
步驟IVl:對所述來自第二設備的通信內(nèi)容密文與來自第二設備的通信密鑰密文進行散列運算�����,得到散列序列���;
步驟1V2:利用USBKey公鑰對來自第二設備的簽名進行驗簽�����;
步驟1V3:判斷步驟IVl得到的散列序列與步驟1V2驗簽得到的散列序列是否相同,若相同�,則表示收到的通信內(nèi)容合法����;否則,表示收到的通信內(nèi)容非法�����。
[0011]綜上所述,由于采用了上述技術方案�����,本發(fā)明的有益效果是:
1.由于采用硬件加密,加解密效率大大提高,降低了對設備運算能力的要求���,有助于降低成本���。
[0012]2.加密管理內(nèi)容的密鑰是在傳送每一個數(shù)據(jù)包錢隨機產(chǎn)生的,因此加密每個管理內(nèi)容的密鑰是不可再現(xiàn)���,即使第三方從通信線路上截獲了管理數(shù)據(jù)包�,也不可能破譯管理內(nèi)容,有效防止了第三方盜竊對受控設備的管理權限��。
[0013]3.引入了數(shù)字簽名及驗簽����,實現(xiàn)了數(shù)據(jù)完整性校驗及不可抵賴性處理,進一步提高了安全性��。
【專利附圖】
【附圖說明】
[0014]本發(fā)明將通過例子并參照附圖的方式說明�,其中:
圖1為管理設備、受控設備及USBKey之間的連接關系示意圖�����。
[0015]圖2本發(fā)明中管理報文封裝格式實施例��,其中:
CertY為受控設備的公鑰
SkeyN為管理設備的私鑰 Ez (D)表示用z對D作加密運算 H(D)對D作散列運算 TK隨機密鑰 Data管理內(nèi)容��。
[0016]圖3為管理設備報文封裝流程圖����。
[0017]圖4為受控設備報文封裝流程圖。
【具體實施方式】
[0018]本說明書中公開的所有特征����,或公開的所有方法或過程中的步驟,除了互相排斥的特征和/或步驟以外�,均可以以任何方式組合。
[0019]本說明書中公開的任一特征����,除非特別敘述,均可被其他等效或具有類似目的的替代特征加以替換����。即,除非特別敘述����,每個特征只是一系列等效或類似特征中的一個例子而已。
[0020]CS模式是指至少兩臺設備,其中一臺為管理設備(servicer),另一臺為受控設備(custom),管理設備與受控設備之間具有信號連接�,兩臺設備相互通信,管理設備用于管理�����、控制受控設備���。為了清楚表達�����,本發(fā)明中將管理設備因為管理工作需要向受控設備發(fā)出的內(nèi)容稱為管理內(nèi)容���,將受控設備因為管理工作需要向管理設備發(fā)出的內(nèi)容稱為反饋內(nèi)容����。
[0021]本發(fā)明公開的加密管理方法第一實施例包括準備步驟��、管理設備報文封裝步驟��、第一類報文傳輸步驟以及受控設備報文解封裝步驟��;
所述準備步驟包括:
步驟Rl:管理設備產(chǎn)生公私鑰對��;USBKey產(chǎn)生公私鑰對����;
步驟R2:管理設備與USBKey交換各自的公鑰;在管理設備與USBKey上設置同樣的散列算法��;
步驟R3:如圖1�����,將所述USBKey插接到受控設備上;管理設備與受控設備建立信號連
接�;
所述管理設備報文封裝步驟如圖3,包括:
步驟SEl:管理設備產(chǎn)生隨機數(shù)TKl ���;
步驟SE2:使用隨機數(shù)TKl作為密鑰TKl對欲發(fā)送給受控設備的管理內(nèi)容加密,形成管理內(nèi)容密文���;使用USBKey公鑰對密鑰TKl加密���,形成通信密鑰密文;
步驟SE3:對所述步驟SE2得到的管理內(nèi)容密文及通信密鑰密文進行散列運算��,得到散列序列��;
步驟SE4:使用管理設備的私鑰對SE3生成的散列序列進行簽名�;
步驟SE5:將所述步驟SE2得到的通信密鑰密文、步驟SE2得到的管理內(nèi)容密文及步驟SE4得到的簽名封裝成數(shù)據(jù)包���,數(shù)據(jù)包格式參見圖2 ���;
所述第一類報文傳輸步驟將所述數(shù)據(jù)包從管理設備發(fā)送給受控設備;
所述受控設備報文解封裝步驟進一步包括管理內(nèi)容解密步驟及驗簽步驟���,如圖4 ;其
中:
管理內(nèi)容解密步驟包括:
步驟CDl:利用USBKey私鑰解密來自管理設備的通信密鑰密文�,獲取密鑰TKl ;
步驟CD2:使用密鑰TKl解密來自管理設備的管理內(nèi)容密文得到管理內(nèi)容�;
驗簽步驟包括:
步驟CVl:對所述來自管理設備的管理內(nèi)容密文與來自管理設備的通信密鑰密文進行散列運算,得到散列序列����;
步驟CV2:利用管理設備的公鑰對來自管理設備的簽名進行驗簽;
步驟CV3:判斷步驟CVl得到的散列序列與步驟CV2驗簽得到的散列序列是否相同�����,若相同����,則表示收到的管理內(nèi)容合法;否則��,表示收到的管理內(nèi)容非法���。
[0022]第一實施例中����,考慮到有些應用情形下�,受控設備向管理設備發(fā)出的反饋信息不是很關鍵���,因此并不要求受控設備向管理設備發(fā)送數(shù)據(jù)包時也要加密保護。
[0023]考慮到�����,受控設備向管理設備發(fā)出的數(shù)據(jù)包也涉及敏感信息����,本發(fā)明第二實施例在第一實施例的基礎上�����,將受控設備發(fā)給管理設備的數(shù)據(jù)包也進行了加密�,加密步驟包括:
受控設備報文封裝步驟、第二類報文傳輸步驟以及管理設備報文解封裝步驟�����;
所述受控設備報文封裝步驟包括: 步驟CEl:USBKey產(chǎn)生隨機數(shù)TK2 ����;
步驟CE2:使用隨機數(shù)TK2作為密鑰TK2對欲發(fā)送給管理設備的反饋內(nèi)容加密,形成反饋內(nèi)容密文���;使用管理設備公鑰對密鑰TK2加密���,形成通信密鑰密文�����;
步驟CE3:對所述步驟CE2得到的反饋內(nèi)容密文及通信密鑰密文進行散列運算����,得到散列序列���;
步驟CE4:使用USBKey私鑰對步驟CE3生成的散列序列進行簽名���;
步驟CE5:將所述步驟CE2得到的通信密鑰密文、步驟CE2得到的反饋內(nèi)容密文及步驟CE4得到的簽名封裝成數(shù)據(jù)包�����;
所述第二類報文傳輸步驟將所述步驟CE5生成的數(shù)據(jù)包從受控設備發(fā)送給管理設備��; 所述管理設備報文解封裝步驟進一步包括反饋內(nèi)容解密步驟及驗簽步驟���,其中:
反饋內(nèi)容解密步驟包括
步驟SDl:利用管理設備私鑰解密來自受控設備的通信密鑰密文��,獲取密鑰TK2 ��;
步驟SD2:使用密鑰TK2解密來自受控設備的反饋內(nèi)容密文得到反饋內(nèi)容�����;
驗簽步驟包括:
步驟SVl:對所述來自受控設備的反饋內(nèi)容密文與來自受控設備的通信密鑰密文進行散列運算�����,得到散列序列�;
步驟SV2:利用USBKey公鑰對來自受控設備的簽名進行驗簽;
步驟SV3:判斷步驟SVl得到的散列序列與步驟SV2驗簽得到的散列序列是否相同��,若相同����,則表示收到的反饋內(nèi)容合法�����;否則�,表示收到的反饋內(nèi)容非法。
[0024]第一、第二實施例中����,在數(shù)字簽名與驗簽時都提及將管理內(nèi)容密文(或反饋內(nèi)容密文)與通信密鑰密文合同再進行散列運算。這里的合并可以是將所述的兩個密文串進行加法運算合并成一個包含兩個密文串的長密文串����。本領域技術人員應該知曉如果封裝報文時,合并的方式是管理內(nèi)容密文串+通信密鑰密文串的形式����,那么解封裝時合并的方式必然也是管理內(nèi)容密文串+通信密鑰密文串的形式。
[0025]在上述實施例中��,解封裝步驟包括管理內(nèi)容解密步驟(或反饋內(nèi)容解密步驟)與驗簽步驟�����,根據(jù)本說明書的教導�����,本領域技術人員完全可以很容易的推定這兩個步驟之間并無時間先后�����,可以先進行管理內(nèi)容解密(或反饋內(nèi)容解密),再進行驗簽�����,也可以顛倒順序�����,當然也可同步進行��。
[0026]本發(fā)明雖然是針對CS模式提出的���,但是根據(jù)說明書教導�����,本領域技術人員可以容易推定本方法同樣適用于任意兩個設備之間的通信加密上����。
[0027]因此���,本發(fā)明的第三實施例是針對普通的兩個設備之間的通信提出的,包括準備步驟��、第一設備報文封裝步驟、第一類報文傳輸步驟���、第二設備報文解封裝步驟��、第二類報文傳輸步驟以及第一設備報文解封裝步驟:
所述準備步驟包括:
步驟Rl:第一設備產(chǎn)生公私鑰對����;USBKey產(chǎn)生公私鑰對�;
步驟R2:第一設備與USBKey交換各自的公鑰;在第一設備與USBKey上設置同樣的散列算法��;
步驟R3:將所述USBKey插接到第二設備上�;第一設備與第二設備建立信號連接;
所述第一設備報文封裝步驟包括: 步驟IEl:第一設備產(chǎn)生隨機數(shù)TKl ����;
步驟1E2:使用隨機數(shù)TKl作為密鑰TKl對欲發(fā)送給第二設備的通信內(nèi)容加密,形成通信內(nèi)容密文���;使用USBKey公鑰對密鑰TKl加密��,形成通信密鑰密文����;
步驟1E3:對所述步驟1E2得到的通信內(nèi)容密文及通信密鑰密文進行散列運算,得到散列序列�����;
步驟1E4:使用第一設備的私鑰對1E3生成的散列序列進行簽名��;
步驟1E5:將所述步驟1E2得到的通信密鑰密文�����、步驟1E2得到的通信內(nèi)容密文及步驟1E4得到的簽名封裝成數(shù)據(jù)包�����;
所述第一類報文傳輸步驟將所述數(shù)據(jù)包從第一設備發(fā)送給第二設備��;
所述第二設備報文解封裝步驟進一步包括通信內(nèi)容解密步驟及驗簽步驟�����;其中:
通信內(nèi)容解密步驟包括:
步驟2D1:利用USBKey私鑰解密來自第一設備的通信密鑰密文��,獲取密鑰TKl �;
步驟2D2:使用密鑰TKl解密來自第一設備的通信內(nèi)容密文得到通信內(nèi)容�����;
驗簽步驟包括:
步驟2V1:對所述來自第一設備的通信內(nèi)容密文與來自第一設備的通信密鑰密文進行散列運算,得到散列序列�����;
步驟2V2:利用第一設備的公鑰對來自第一設備的簽名進行驗簽�����;
步驟2V3:判斷步驟2V1得到的散列序列與步驟2V2驗簽得到的散列序列是否相同�����,若相同���,則表示收到的通信內(nèi)容合法����;否則�,表示收到的通信內(nèi)容非法;
所述第二設備報文封裝步驟包括:
步驟2E1:USBKey產(chǎn)生隨機數(shù)TK2 �����;
步驟2E2:使用隨機數(shù)TK2作為密鑰TK2對欲發(fā)送給第一設備的通信內(nèi)容加密,形成通信內(nèi)容密文���;使用第一設備公鑰對密鑰TK2加密��,形成通信密鑰密文��;
步驟2E3:對所述步驟2E2得到的通信內(nèi)容密文及通信密鑰密文進行散列運算��,得到散列序列���;
步驟2E4:使用USBKey私鑰對2E3生成的散列序列進行簽名;
步驟2E5:將所述步驟2E2得到的通信密鑰密文�����、步驟2E2得到的通信內(nèi)容密文及步驟2E4得到的簽名封裝成數(shù)據(jù)包���;
所述第二類報文傳輸步驟將所述步驟2E5生成的數(shù)據(jù)包從第二設備發(fā)送給第一設備�; 所述第一設備報文解封裝步驟進一步包括通信內(nèi)容解密步驟及驗簽步驟��,其中:
通信內(nèi)容解密步驟包括
步驟IDl:利用第一設備私鑰解密來自第二設備的通信密鑰密文���,獲取密鑰TK2 ����;
步驟1D2:使用密鑰TK2解密來自第二設備的通信內(nèi)容密文得到通信內(nèi)容�;
驗簽步驟包括:
步驟IVl:對所述來自第二設備的通信內(nèi)容密文與來自第二設備的通信密鑰密文進行散列運算,得到散列序列���;
步驟1V2:利用USBKey公鑰對來自第二設備的簽名進行驗簽���;
步驟1V3:判斷步驟IVl得到的散列序列與步驟1V2驗簽得到的散列序列是否相同,若相同�,則表示收到的通信內(nèi)容合法;否則��,表示收到的通信內(nèi)容非法���。[0028]本發(fā)明第四實施例僅涉及到通信內(nèi)容加密方法�����,包括準備步驟與報文封裝步驟: 所述準備步驟包括:
步驟Rl:第一設備產(chǎn)生公私鑰對��;USBKey產(chǎn)生公私鑰對���;
步驟R2:第一設備與USBKey交換各自的公鑰����;在第一設備與USBKey上設置同樣的散列算法����;
步驟R3:將所述USBKey插接到第二設備上;第一設備與第二設備建立信號連接���;
所述報文封裝步驟包括:
步驟IEl:第一設備產(chǎn)生隨機數(shù)TKl �����;
步驟1E2:使用隨機數(shù)TKl作為密鑰TKl對欲發(fā)送給第二設備的通信內(nèi)容加密���,形成通信內(nèi)容密文;使用USBKey公鑰對密鑰TKl加密����,形成通信密鑰密文;
步驟1E3:對所述步驟1E2得到的通信內(nèi)容密文及通信密鑰密文進行散列運算���,得到散列序列����;
步驟1E4:使用第一設備的私鑰對1E3生成的散列序列進行簽名;
步驟1E5:將所述步驟1E2得到的通信密鑰密文��、步驟1E2得到的通信內(nèi)容密文及步驟1E4得到的簽名封裝成數(shù)據(jù)包并發(fā)送給第二設備��。
[0029]本發(fā)明第五實施例為第四實施例對應的通信內(nèi)容解密方法��,運行在對端設備上����,包括準備步驟與報文解封裝步驟:
所述準備步驟包括:
步驟Rl:第一設備產(chǎn)生公私鑰對�����;USBKey產(chǎn)生公私鑰對�����;
步驟R2:第一設備與USBKey交換各自的公鑰��;在第一設備與USBKey上設置同樣的散列算法���;
步驟R3:將所述USBKey插接到第二設備上�����;第一設備與第二設備建立信號連接�; 所述報文解封裝步驟進一步包括通信內(nèi)容解密步驟及驗簽步驟;其中:
通信內(nèi)容解密步驟包括:
步驟2D1:利用USBKey私鑰解密來自第一設備的通信密鑰密文��,獲取密鑰TKl �;
步驟2D2:使用密鑰TKl解密來自第一設備的通信內(nèi)容密文得到通信內(nèi)容;
驗簽步驟包括:
步驟2V1:對所述來自第一設備的通信內(nèi)容密文與來自第一設備的通信密鑰密文進行散列運算�����,得到散列序列����;
步驟2V2:利用第一設備的公鑰對來自第一設備的簽名進行驗簽;
步驟2V3:判斷步驟2V1得到的散列序列與步驟2V2驗簽得到的散列序列是否相同���,若相同�����,則表示收到的通信內(nèi)容合法���;否則�,表示收到的通信內(nèi)容非法����。
[0030]本發(fā)明第六實施例為運行在接插有USBkey的設備上的通信內(nèi)容加密方法,包括準備步驟與報文封裝步驟:
所述準備步驟包括:
步驟Rl:第一設備產(chǎn)生公私鑰對�����;USBKey產(chǎn)生公私鑰對�����;
步驟R2:第一設備與USBKey交換各自的公鑰�;在第一設備與USBKey上設置同樣的散列算法���;
步驟R3:將所述USBKey插接到第二設備上�����;第一設備與第二設備建立信號連接�; 所述報文封裝步驟包括:
步驟2E1:USBKey產(chǎn)生隨機數(shù)TK2 ��;
步驟2E2:使用隨機數(shù)TK2作為密鑰TK2對欲發(fā)送給第一設備的通信內(nèi)容加密��,形成通信內(nèi)容密文;使用第一設備公鑰對密鑰TK2加密����,形成通信密鑰密文;
步驟2E3:對所述步驟2E2得到的通信內(nèi)容密文及通信密鑰密文進行散列運算���,得到散列序列���;
步驟2E4:使用USBKey私鑰對2E3生成的散列序列進行簽名;
步驟2E5:將所述步驟2E2得到的通信密鑰密文���、步驟2E2得到的通信內(nèi)容密文及步驟2E4得到的簽名封裝成數(shù)據(jù)包發(fā)送給第一設備�����。
[0031]本發(fā)明第7實施例為與第六實施例對應的運行在對端設備上的通信內(nèi)容解密方法���,其特征在于,包括準備步驟與報文解封裝步驟:
所述準備步驟包括:
步驟Rl:第一設備產(chǎn)生公私鑰對�����;USBKey產(chǎn)生公私鑰對�����;
步驟R2:第一設備與USBKey交換各自的公鑰;在第一設備與USBKey上設置同樣的散列算法����;
步驟R3:將所述USBKey插接到第二設備上;第一設備與第二設備建立信號連接�; 所述報文解封裝步驟進一步包括通信內(nèi)容解密步驟及驗簽步驟;其中:
通信內(nèi)容解密步驟包括:
步驟IDl:利用第一設備私鑰解密來自第二設備的通信密鑰密文����,獲取密鑰TK2 ;
步驟1D2:使用密鑰TK2解密來自第二設備的通信內(nèi)容密文得到通信內(nèi)容���;
驗簽步驟包括:
步驟IVl:對所述來自第二設備的通信內(nèi)容密文與來自第二設備的通信密鑰密文進行散列運算����,得到散列序列��;
步驟1V2:利用USBKey公鑰對來自第二設備的簽名進行驗簽�����;
步驟1V3:判斷步驟IVl得到的散列序列與步驟1V2驗簽得到的散列序列是否相同���,若相同����,則表示收到的通信內(nèi)容合法����;否則,表示收到的通信內(nèi)容非法��。
[0032]本發(fā)明并不局限于前述的【具體實施方式】�����。本發(fā)明擴展到任何在本說明書中披露的新特征或任何新的組合��,以及披露的任一新的方法或過程的步驟或任何新的組合��。
【權利要求】
1.一種基于CS模式的加密管理方法����,其特征在于,包括準備步驟�����、管理設備報文封裝步驟、第一類報文傳輸步驟以及受控設備報文解封裝步驟��; 所述準備步驟包括: 步驟Rl:管理設備產(chǎn)生公私鑰對�;USBKey產(chǎn)生公私鑰對; 步驟R2:管理設備與USBKey交換各自的公鑰���;在管理設備與USBKey上設置同樣的散列算法�; 步驟R3:將所述USBKey插接到受控設備上�����;管理設備與受控設備建立信號連接�����; 所述管理設備報文封裝步驟包括: 步驟SEl:管理設備產(chǎn)生隨機數(shù)TKl �����; 步驟SE2:使用隨機數(shù)TKl作為密鑰TKl對欲發(fā)送給受控設備的管理內(nèi)容加密����,形成管理內(nèi)容密文�����;使用USBKey公鑰對密鑰TKl加密,形成通信密鑰密文���; 步驟SE3:對所述步驟SE2得到的管理內(nèi)容密文及通信密鑰密文進行散列運算�,得到散列序列�����; 步驟SE4:使用管理設備的私鑰對SE3生成的散列序列進行簽名����; 步驟SE5:將所述步驟SE2得到的通信密鑰密文、步驟SE2得到的管理內(nèi)容密文及步驟SE4得到的簽名封裝成數(shù)據(jù)包�����; 所述第一類報文傳輸步驟將所述數(shù)據(jù)包從管理設備發(fā)送給受控設備����; 所述受控設備報文解封裝步驟進一步包括管理內(nèi)容解密步驟及驗簽步驟;其中: 管理內(nèi)容解密步驟包括: 步驟CDl:利用USBKey私鑰解密來自管理設備的通信密鑰密文����,獲取密鑰TKl �; 步驟CD2:使用密鑰TKl解密來自管理設備的管理內(nèi)容密文得到管理內(nèi)容��; 驗簽步驟包括: 步驟CVl:對所述來自管理設備的管理內(nèi)容密文與來自管理設備的通信密鑰密文進行散列運算�,得到散列序列; 步驟CV2:利用管理設備的公鑰對來自管理設備的簽名進行驗簽�����; 步驟CV3:判斷步驟CVl得到的散列序列與步驟CV2驗簽得到的散列序列是否相同�����,若相同�,則表示收到的管理內(nèi)容合法;否則����,表示收到的管理內(nèi)容非法。
2.根據(jù)權利要求1所述的一種基于CS模式的加密管理方法���,其特征在于���,所述步驟SE3包括:先將所述步驟SE2得到的管理內(nèi)容密文及通信密鑰密文進行合并�,再對合并后的密文串進行散列運算��,得到散列序列����; 所述步驟CVl包括:先將所述來自管理設備的管理內(nèi)容密文與來自管理設備的通信密鑰密文進行合并�����,再對合并后的密文串進行散列運算�,得到散列序列。
3.根據(jù)權利要求1所述的一種基于CS模式的加密管理方法���,其特征在于�����,還包括受控設備報文封裝步驟�、第二類報文傳輸步驟以及管理設備報文解封裝步驟��; 所述受控設備報文封裝步驟包括: 步驟CEl =USBKey產(chǎn)生隨機數(shù)TK2 ����; 步驟CE2:使用隨機數(shù)TK2作為密鑰TK2對欲發(fā)送給管理設備的反饋內(nèi)容加密,形成反饋內(nèi)容密文;使用管理設備公鑰對密鑰TK2加密����,形成通信密鑰密文; 步驟CE3:對所述步驟CE2得到的反饋內(nèi)容密文及通信密鑰密文進行散列運算����,得到散列序列; 步驟CE4:使用USBKey私鑰對步驟CE3生成的散列序列進行簽名�����; 步驟CE5:將所述步驟CE2得到的通信密鑰密文�、步驟CE2得到的反饋內(nèi)容密文及步驟CE4得到的簽名封裝成數(shù)據(jù)包����; 所述第二類報文傳輸步驟將所述步驟CE5生成的數(shù)據(jù)包從受控設備發(fā)送給管理設備; 所述管理設備報文解封裝步驟進一步包括反饋內(nèi)容解密步驟及驗簽步驟�,其中: 反饋內(nèi)容解密步驟包括 步驟SDl:利用管理設備私鑰解密來自受控設備的通信密鑰密文����,獲取密鑰TK2 ����; 步驟SD2:使用密鑰TK2解密來自受控設備的反饋內(nèi)容密文得到反饋內(nèi)容; 驗簽步驟包括: 步驟SVl:對所述來自受控設備的反饋內(nèi)容密文與來自受控設備的通信密鑰密文進行散列運算�,得到散列序列; 步驟SV2:利用USBKey公鑰對來自受控設備的簽名進行驗簽��; 步驟SV3:判斷步驟SVl得到的散列序列與步驟SV2驗簽得到的散列序列是否相同���,若相同�����,則表示收到的反饋內(nèi)容合法����;否則��,表示收到的反饋內(nèi)容非法。
4.根據(jù)權利要求3所述的一種基于CS模式的加密管理方法��,其特征在于����,所述步驟SE3包括:先將所述步驟SE2得到的管理內(nèi)容密文及通信密鑰密文進行合并����,在對合并后的密文串進行散列運算��,得到散列序列����; 所述步驟CVl包括:先將所述來自管理設備的管理內(nèi)容密文與來自管理設備的通信密鑰密文進行合并��,再對合并后的密文串進行散列運算,得到散列序列��; 所述步驟CE3包括:先將所述步驟CE2得到的反饋內(nèi)容密文及通信密鑰密文進行合并�,再對合并后的密文串進行散列運算����,得到散列序列��; 所述步驟SVl包括:先將所述來自受控設備的反饋內(nèi)容密文與來自受控設備的通信密鑰密文進行合并,再對合并后的密文串進行散列運算�,得到散列序列�。
5.一種基于CS模式的管理內(nèi)容加密方法��,其特征在于����,包括準備步驟與管理設備報文封裝步驟: 所述準備步驟包括: 步驟Rl:管理設備產(chǎn)生公私鑰對��;USBKey產(chǎn)生公私鑰對; 步驟R2:管理設備與USBKey交換各自的公鑰���;在管理設備與USBKey上設置同樣的散列算法�; 步驟R3:將所述USBKey插接到受控設備上����;管理設備與受控設備建立信號連接; 所述管理設備報文封裝步驟包括: 步驟SEl:管理設備產(chǎn)生隨機數(shù)TKl ��; 步驟SE2:使用隨機數(shù)TKl作為密鑰TKl對欲發(fā)送給受控設備的管理內(nèi)容加密��,形成管理內(nèi)容密文;使用USBKey公鑰對密鑰TKl加密�,形成通信密鑰密文��; 步驟SE3:對所述步驟SE2得到的管理內(nèi)容密文及通信密鑰密文進行散列運算�,得到散列序列�����; 步驟SE4:使用管理設備的私鑰對SE3生成的散列序列進行簽名; 步驟SE5:將所述步驟SE2得到的通信密鑰密文�、步驟SE2得到的管理內(nèi)容密文及步驟SE4得到的簽名封裝成數(shù)據(jù)包后發(fā)送給受控設備����。
6.一種通信內(nèi)容加密與解密方法��,其特征在于��,包括準備步驟、第一設備報文封裝步驟�����、第一類報文傳輸步驟���、第二設備報文解封裝步驟、第二類報文傳輸步驟以及第一設備報文解封裝步驟: 所述準備步驟包括: 步驟Rl:第一設備產(chǎn)生公私鑰對�;USBKey產(chǎn)生公私鑰對; 步驟R2:第一設備與USBKey交換各自的公鑰�;在第一設備與USBKey上設置同樣的散列算法; 步驟R3:將所述USBKey插接到第二設備上���;第一設備與第二設備建立信號連接���; 所述第一設備報文封裝步驟包括: 步驟IEl:第一設備產(chǎn)生隨機數(shù)TKl ; 步驟1E2:使用隨機數(shù)TKl作為密鑰TKl對欲發(fā)送給第二設備的通信內(nèi)容加密����,形成通信內(nèi)容密文��;使用USBKey公鑰對密鑰TKl加密��,形成通信密鑰密文����; 步驟1E3:對所述步驟1E2得到的通信內(nèi)容密文及通信密鑰密文進行散列運算�����,得到散列序列����; 步驟1E4:使用第一設備的私鑰對1E3生成的散列序列進行簽名; 步驟1E5:將所述步驟1E2得到的通信密鑰密文���、步驟1E2得到的通信內(nèi)容密文及步驟1E4得到的簽名封裝成數(shù)據(jù)包; 所述第一類報文傳輸步驟將所述數(shù)據(jù)包從第一設備發(fā)送給第二設備�; 所述第二設備報文解封裝步驟進一步包括通信內(nèi)容解密步驟及驗簽步驟;其中: 通信內(nèi)容解密步驟包括: 步驟2D1:利用USBKey私鑰解密來自第一設備的通信密鑰密文��,獲取密鑰TKl ; 步驟2D2:使用密鑰TKl解密來自第一設備的通信內(nèi)容密文得到通信內(nèi)容���; 驗簽步驟包括: 步驟2V1:對所述來自第一設備的通信內(nèi)容密文與來自第一設備的通信密鑰密文進行散列運算,得到散列序列�����; 步驟2V2:利用第一設備的公鑰對來自第一設備的簽名進行驗簽�; 步驟2V3:判斷步驟2V1得到的散列序列與步驟2V2驗簽得到的散列序列是否相同�,若相同�����,則表示收到的通信內(nèi)容合法�;否則,表示收到的通信內(nèi)容非法��; 所述第二設備報文封裝步驟包括: 步驟2E1:USBKey產(chǎn)生隨機數(shù)TK2 ���; 步驟2E2:使用隨機數(shù)TK2作為密鑰TK2對欲發(fā)送給第一設備的通信內(nèi)容加密,形成通信內(nèi)容密文���;使用第一設備公鑰對密鑰TK2加密,形成通信密鑰密文���; 步驟2E3:對所述步驟2E2得到的通信內(nèi)容密文及通信密鑰密文進行散列運算,得到散列序列�; 步驟2E4:使用USBKey私鑰對2E3生成的散列序列進行簽名���; 步驟2E5:將所述步驟2E2得到的通信密鑰密文、步驟2E2得到的通信內(nèi)容密文及步驟2E4得到的簽名封裝成數(shù)據(jù)包����; 所述第二類報文傳輸步驟將所述步驟2E5生成的數(shù)據(jù)包從第二設備發(fā)送給第一設備����;所述第一設備報文解封裝步驟進一步包括通信內(nèi)容解密步驟及驗簽步驟�,其中: 通信內(nèi)容解密步驟包括 步驟IDl:利用第一設備私鑰解密來自第二設備的通信密鑰密文����,獲取密鑰TK2 ; 步驟1D2:使用密鑰TK2解密來自第二設備的通信內(nèi)容密文得到通信內(nèi)容�����; 驗簽步驟包括: 步驟IVl:對所述來自第二設備的通信內(nèi)容密文與來自第二設備的通信密鑰密文進行散列運算,得到散列序列���; 步驟1V2:利用USBKey公鑰對來自第二設備的簽名進行驗簽; 步驟1V3:判斷步驟IVl得到的散列序列與步驟1V2驗簽得到的散列序列是否相同�����,若相同��,則表示收到的通信內(nèi)容合法;否則���,表示收到的通信內(nèi)容非法����。
7.一種通信內(nèi)容加密方法,其特征在于�,包括準備步驟與報文封裝步驟: 所述準備步驟包括: 步驟Rl:第一設備產(chǎn)生公私鑰對���;USBKey產(chǎn)生公私鑰對; 步驟R2:第一設備與USBKey交換各自 的公鑰��;在第一設備與USBKey上設置同樣的散列算法�����; 步驟R3:將所述USBKey插接到第二設備上;第一設備與第二設備建立信號連接���; 所述報文封裝步驟包括: 步驟IEl:第一設備產(chǎn)生隨機數(shù)TKl �����; 步驟1E2:使用隨機數(shù)TKl作為密鑰TKl對欲發(fā)送給第二設備的通信內(nèi)容加密���,形成通信內(nèi)容密文;使用USBKey公鑰對密鑰TKl加密����,形成通信密鑰密文��; 步驟1E3:對所述步驟1E2得到的通信內(nèi)容密文及通信密鑰密文進行散列運算��,得到散列序列; 步驟1E4:使用第一設備的私鑰對1E3生成的散列序列進行簽名��; 步驟1E5:將所述步驟1E2得到的通信密鑰密文���、步驟1E2得到的通信內(nèi)容密文及步驟1E4得到的簽名封裝成數(shù)據(jù)包并發(fā)送給第二設備��。
8.一種通信內(nèi)容解密方法��,其特征在于,包括準備步驟與報文解封裝步驟: 所述準備步驟包括: 步驟Rl:第一設備產(chǎn)生公私鑰對��;USBKey產(chǎn)生公私鑰對���; 步驟R2:第一設備與USBKey交換各自的公鑰���;在第一設備與USBKey上設置同樣的散列算法; 步驟R3:將所述USBKey插接到第二設備上���;第一設備與第二設備建立信號連接�����; 所述報文解封裝步驟進一步包括通信內(nèi)容解密步驟及驗簽步驟���;其中: 通信內(nèi)容解密步驟包括: 步驟2D1:利用USBKey私鑰解密來自第一設備的通信密鑰密文,獲取密鑰TKl ��; 步驟2D2:使用密鑰TKl解密來自第一設備的通信內(nèi)容密文得到通信內(nèi)容����; 驗簽步驟包括: 步驟2V1:對所述來自第一設備的通信內(nèi)容密文與來自第一設備的通信密鑰密文進行散列運算,得到散列序列��; 步驟2V2:利用第一設備的公鑰對來自第一設備的簽名進行驗簽;步驟2V3:判斷步驟2V1得到的散列序列與步驟2V2驗簽得到的散列序列是否相同�,若相同,則表示收到的通信內(nèi)容合法��;否則����,表示收到的通信內(nèi)容非法。
9.一種通信內(nèi)容加密方法�,其特征在于,包括準備步驟與報文封裝步驟: 所述準備步驟包括: 步驟Rl:第一設備產(chǎn)生公私鑰對����;USBKey產(chǎn)生公私鑰對; 步驟R2:第一設備與USBKey交換各自的公鑰����;在第一設備與USBKey上設置同樣的散列算法; 步驟R3:將所述USBKey插接到第二設備上����;第一設備與第二設備建立信號連接; 所述報文封裝步驟包括: 步驟2E1:USBKey產(chǎn)生隨機數(shù)TK2 ��; 步驟2E2:使用隨機數(shù)TK2作為密鑰TK2對欲發(fā)送給第一設備的通信內(nèi)容加密,形成通信內(nèi)容密文���;使用第一設備公鑰對密鑰TK2加密���,形成通信密鑰密文; 步驟2E3:對所述步驟2E2得到的通信內(nèi)容密文及通信密鑰密文進行散列運算�,得到散列序列�����; 步驟2E4:使用USBKey私鑰對2E3生成的散列序列進行簽名��; 步驟2E5:將所述步驟2E2得到的通信密鑰密文��、步驟2E2得到的通信內(nèi)容密文及步驟2E4得到的簽名封裝成數(shù)據(jù)包發(fā)送給第一設備���。
10.一種通信內(nèi)容解密方法�,其特征在于�,包括準備步驟與報文解封裝步驟: 所述準備步驟包括: 步驟Rl:第一設備產(chǎn)生公私鑰對;USBKey產(chǎn)生公私鑰對��; 步驟R2:第一設備與USBKey交換各自的公鑰���;在第一設備與USBKey上設置同樣的散列算法����; 步驟R3:將所述USBKey插接到第二設備上;第一設備與第二設備建立信號連接�����; 所述報文解封裝步驟進一步包括通信內(nèi)容解密步驟及驗簽步驟����;其中: 通信內(nèi)容解密步驟包括: 步驟IDl:利用第一設備私鑰解密來自第二設備的通信密鑰密文,獲取密鑰TK2 ���; 步驟1D2:使用密鑰TK2解密來自第二設備的通信內(nèi)容密文得到通信內(nèi)容��; 驗簽步驟包括: 步驟IVl:對所述來自第二設備的通信內(nèi)容密文與來自第二設備的通信密鑰密文進行散列運算�����,得到散列序列��; 步驟1V2:利用USBKey公鑰對來自第二設備的簽名進行驗簽�; 步驟1V3:判斷步驟IVl得到的散列序列與步驟1V2驗簽得到的散列序列是否相同���,若相同����,則表示收到的通信內(nèi)容合法;否則���,表示收到的通信內(nèi)容非法����。
【文檔編號】H04L29/06GK103795549SQ201410070656
【公開日】2014年5月14日 申請日期:2014年2月28日 優(yōu)先權日:2014年2月28日
【發(fā)明者】周強 申請人:成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司