CN111600903A - 一种通信方法、系统、设备及可读存储介质 - Google Patents

一种通信方法、系统、设备及可读存储介质 Download PDF

Info

Publication number
CN111600903A
CN111600903A CN202010470870.0A CN202010470870A CN111600903A CN 111600903 A CN111600903 A CN 111600903A CN 202010470870 A CN202010470870 A CN 202010470870A CN 111600903 A CN111600903 A CN 111600903A
Authority
CN
China
Prior art keywords
key
communication
ciphertext
identity
parameter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010470870.0A
Other languages
English (en)
Inventor
许鑫
吴保锡
刘刚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
IEIT Systems Co Ltd
Original Assignee
Inspur Electronic Information Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inspur Electronic Information Industry Co Ltd filed Critical Inspur Electronic Information Industry Co Ltd
Priority to CN202010470870.0A priority Critical patent/CN111600903A/zh
Publication of CN111600903A publication Critical patent/CN111600903A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请公开了一种通信方法、系统、设备及可读存储介质。在本申请中,数据中心中的第一设备和第二设备均由设备身份认证中心进行了身份认证,并为其签发了公钥证书和相应的身份密钥证书,因此提高了数据中心的安全性。在第一设备和第二设备通信之前,二者进行了相互的身份认证,故而可确保即将要通信的双方设备的身份安全性。在第一设备和第二设备相互进行身份认证通过后,二者交换通信密钥,因此可利用对方的通信密钥加密传输信息进行发送,从而使得数据在传输过程中保持加密状态,提高了通信数据的安全性。相应地,本申请提供的一种通信系统、设备及可读存储介质,也同样具有上述技术效果。

Description

一种通信方法、系统、设备及可读存储介质
技术领域
本申请涉及计算机技术领域,特别涉及一种通信方法、系统、设备及可读存储介质。
背景技术
随着云计算的兴起,核心计算资源由分散式向集中式发展,即核心计算任务在一个或多个数据中心(如公有云)中完成,例如:租户租赁公有云中的计算资源、存储资源和网络资源等来运行业务系统、存放业务数据。因此数据中心的安全性至关重要。
数据中心中的资源多是采用池化的方式管理,如计算池、存储池等。这意味着一台虚拟机运行时需要的资源(如虚拟存储、虚拟网卡、虚拟CPU等)可以运行在不同的设备中,因此数据中心中各个设备之间存在频繁的数据交互。
为保证数据中心中的各个设备之间通信的安全性,可以在软件层面实现的通信双方通道的加密,比如使用开源的Openssl实现。但是,由于软件层面的通信通道加密与设备身份无关,因此软件层面的通信通道加密机制无法保障数据中心中的每个设备的身份安全性,故而会降低数据中心的安全性以及通信数据的安全性。
因此,如何提高数据中心的安全性以及通信数据的安全性,是本领域技术人员需要解决的问题。
发明内容
有鉴于此,本申请的目的在于提供一种通信方法、系统、设备及可读存储介质,以提高数据中心的安全性以及通信数据的安全性。其具体方案如下:
第一方面,本申请提供了一种通信方法,包括:
数据中心中的第一设备发送认证请求至第二设备,以使第二设备发送自身的第二身份密钥证书至第一设备;第二设备为数据中心中除第一设备以外的其他设备;
第一设备利用预先存储的公钥证书验证第二身份密钥证书通过后,存储第二身份密钥证书,并发送自身的第一身份密钥证书至第二设备,以使第二设备利用预先存储的公钥证书验证第一身份密钥证书通过后,存储第一身份密钥证书;
第一设备和第二设备互相获取对方的通信密钥;
第一设备或第二设备利用对方的通信密钥加密目标信息,获得信息密文,并将信息密文发送至对方,以使对方利用自身的通信密钥解密信息密文,获得目标信息;
其中,公钥证书、第一身份密钥证书和第二身份密钥证书由设备身份认证中心签发给第一设备和第二设备。
优选地,第一设备和第二设备互相获取对方的通信密钥,包括:
第二设备利用自身中的可信根创建第二通信密钥并存储,发送第二密文至第一设备,第二密文为第二通信密钥中的第二公钥的密文;
第一设备解密第二密文,获得第二公钥并存储,利用自身中的可信根创建第一通信密钥并存储,发送第一密文至第二设备,以使第二设备解密第一密文,获得第一公钥并存储;第一密文为第一通信密钥中的第一公钥的密文。
优选地,第一设备和第二设备互相获取对方的通信密钥,包括:
第二设备利用自身中的可信根创建第二密钥参数并存储,发送第二密钥参数的第二密文至第一设备;
第一设备解密第二密文,获得第二密钥参数并存储,利用自身中的可信根创建第一密钥参数并存储,发送第一密钥参数的第一密文至第二设备,以使第二设备解密第一密文,获得第一密钥参数并存储;
第一设备或第二设备根据第一密钥参数和第二密钥参数生成第二通信密钥和第一通信密钥。
优选地,还包括:
第一设备处理目标信息,获得处理结果,利用第二通信密钥加密处理结果,获得结果密文,将结果密文发送至第二设备,以使第二设备利用第二通信密钥解密结果密文,获得处理结果;
第二设备处理目标信息,获得处理结果,利用第一通信密钥加密处理结果,获得结果密文,将结果密文发送至第一设备,以使第一设备或第二设备利用第一通信密钥解密结果密文,获得处理结果。
优选地,第二设备利用自身中的可信根创建第二密钥参数并存储,发送第二密钥参数的第二密文至第一设备,包括:
第二设备利用自身中的可信根生成第二密钥参数并存储,第二密钥参数包括:第二随机数、素数、素数的原根以及第二目标参数,利用公钥证书中的公钥加密第二密钥参数,获得第二密文,将第二密文发送至第一设备;
其中,第二随机数、素数、原根以及第二目标参数之间的关系为:Ya=gamodp,Ya为第二目标参数,g为原根,a为第二随机数,p为素数。
优选地,第一设备利用自身中的可信根创建第一密钥参数并存储,发送第一密钥参数的第一密文至第二设备,包括:
第一设备利用自身中的可信根创建第一密钥参数,第一密钥参数包括:第一随机数和第一目标参数,利用公钥证书中的公钥加密第一密钥参数,获得第一密文,将第一密文发送至第二设备;
其中,第一随机数、第一目标参数、素数以及原根之间的关系为:Yb=gbmodp,Yb为第一目标参数,b为第一随机数,g为原根,p为素数。
优选地,第一设备或第二设备按照目标公式生成第一通信密钥和第二通信密钥;目标公式为:
Figure BDA0002514259210000031
其中,Kb为第一通信密钥,Ka为第二通信密钥,Yb为第一目标参数,Ya为第二目标参数,b为第一随机数,a为第二随机数,g为原根,p为素数。
优选地,还包括:
若第一设备和第二设备通信结束,则第一设备和第二设备删除对方的通信密钥和身份密钥证书。
优选地,设备身份认证中心给数据中心中的所有设备签发有公钥证书和设备身份密钥对应的身份密钥证书。
第二方面,本申请提供了一种通信系统,包括:数据中心中的第一设备和第二设备,第二设备为数据中心中除第一设备以外的其他设备,其中:
第一设备,用于发送认证请求至第二设备,以使第二设备发送自身的第二身份密钥证书至第一设备;
第一设备,用于利用预先存储的公钥证书验证第二身份密钥证书通过后,存储第二身份密钥证书,并发送自身的第一身份密钥证书至第二设备,以使第二设备利用预先存储的公钥证书验证第一身份密钥证书通过后,存储第一身份密钥证书;
第一设备和第二设备互相获取对方的通信密钥;
第一设备或第二设备,用于利用对方的通信密钥加密目标信息,获得信息密文,并将信息密文发送至对方,以使对方利用自身的通信密钥解密信息密文,获得目标信息;
其中,公钥证书、第一身份密钥证书和第二身份密钥证书由设备身份认证中心签发给第一设备和第二设备。
第三方面,本申请提供了一种通信设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序,以实现前述公开的通信方法。
第四方面,本申请提供了一种可读存储介质,用于保存计算机程序,其中,计算机程序被处理器执行时实现前述公开的通信方法。
通过以上方案可知,本申请提供了一种通信方法,包括:数据中心中的第一设备发送认证请求至第二设备,以使第二设备发送自身的第二身份密钥证书至第一设备;第二设备为数据中心中除第一设备以外的其他设备;第一设备利用预先存储的公钥证书验证第二身份密钥证书通过后,存储第二身份密钥证书,并发送自身的第一身份密钥证书至第二设备,以使第二设备利用预先存储的公钥证书验证第一身份密钥证书通过后,存储第一身份密钥证书;第一设备和第二设备互相获取对方的通信密钥;第一设备或第二设备利用对方的通信密钥加密目标信息,获得信息密文,并将信息密文发送至对方,以使对方利用自身的通信密钥解密信息密文,获得目标信息;其中,公钥证书、第一身份密钥证书和第二身份密钥证书由设备身份认证中心签发给第一设备和第二设备。
可见,在本申请提供的通信方法中,数据中心中的第一设备和第二设备均由设备身份认证中心进行了身份认证,并为其签发了公钥证书和相应的身份密钥证书,因此第一设备和第二设备的身份安全性得到了保障,也提高了数据中心的安全性。在第一设备和第二设备通信之前,二者进行了相互的身份认证,即第一设备利用预先存储的公钥证书验证第二身份密钥证书,第二设备利用预先存储的公钥证书验证第一身份密钥证书,故而可再次确保即将要通信的第一设备和第二设备的身份安全性。在第一设备和第二设备相互进行身份认证通过后,二者交换通信密钥,因此可利用对方的通信密钥加密传输信息进行发送,从而使得数据在传输过程中保持加密状态,提高了通信数据的安全性。
相应地,本申请提供的一种通信系统、设备及可读存储介质,也同样具有上述技术效果。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的第一种通信方法流程图;
图2为本申请公开的第二种通信方法流程图;
图3为本申请公开的CA认证设备身份的流程图;
图4为本申请公开的设备结构图;
图5为本申请公开的CA认证设备的结构图;
图6为本申请公开的设备互相认证的流程图;
图7为本申请公开的设备互相认证的结构图;
图8为本申请公开的交换通信密钥的流程图;
图9为本申请公开的交换通信密钥的结构图;
图10为本申请公开的一种通信设备示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
目前,软件层面的通信通道加密机制无法保障数据中心中的每个设备的身份安全性,故而会降低数据中心的安全性以及通信数据的安全性。为此,本申请提供了一种通信方案,能够提高数据中心的安全性以及通信数据的安全性。
参见图1所示,本申请实施例公开了第一种通信方法,包括:
S101、数据中心中的第一设备发送认证请求至第二设备,以使第二设备发送自身的第二身份密钥证书至第一设备;第二设备为数据中心中除第一设备以外的其他设备。
S102、第一设备利用预先存储的公钥证书验证第二身份密钥证书通过后,存储第二身份密钥证书,并发送自身的第一身份密钥证书至第二设备,以使第二设备利用预先存储的公钥证书验证第一身份密钥证书通过后,存储第一身份密钥证书。
S103、第一设备和第二设备互相获取对方的通信密钥。
第一设备和第二设备相互完成身份认证后,建立二者之间的加密通道。其中,加密通道使用的密钥可以有两种形式,一种采用可信根生成的密钥,另一种采用软件(如OpenSSL)生成的密钥。前者的密钥安全性更高,因为可信根中的密钥,外界只能使用,但无法获取密钥信息。后者的密钥使用起来加解密效率更高,因为使用软件算法,加解密操作都在内存中进行。因此第一设备和第二设备互相获取对方的通信密钥至少包括两种具体实施方式。
在一种具体实施方式中,第一设备和第二设备采用可信根生成的密钥,故第一设备和第二设备互相获取对方的通信密钥,包括:第二设备利用自身中的可信根创建第二通信密钥并存储,发送第二密文至第一设备,第二密文为第二通信密钥中的第二公钥的密文;第一设备解密第二密文,获得第二公钥并存储,利用自身中的可信根创建第一通信密钥并存储,发送第一密文至第二设备,以使第二设备解密第一密文,获得第一公钥并存储;第一密文为第一通信密钥中的第一公钥的密文。也就是第一设备和第二设备互相交换了各自通信密钥中的公钥。
在另一种具体实施方式中,第一设备和第二设备采用软件(如Open SSL)生成的密钥,故第一设备和第二设备互相获取对方的通信密钥,包括:第二设备利用自身中的可信根创建第二密钥参数并存储,发送第二密钥参数的第二密文至第一设备;第一设备解密第二密文,获得第二密钥参数并存储,利用自身中的可信根创建第一密钥参数并存储,发送第一密钥参数的第一密文至第二设备,以使第二设备解密第一密文,获得第一密钥参数并存储;第一设备或第二设备根据第一密钥参数和第二密钥参数生成第二通信密钥和第一通信密钥。也就是第一设备和第二设备互相交换了密钥参数,二者都可以生成双方的通信密钥。
在一种具体实施方式中,第二设备利用自身中的可信根创建第二密钥参数并存储,发送第二密钥参数的第二密文至第一设备,包括:第二设备利用自身中的可信根生成第二密钥参数并存储,第二密钥参数包括:第二随机数、素数、素数的原根以及第二目标参数,利用公钥证书中的公钥加密第二密钥参数,获得第二密文,将第二密文发送至第一设备;其中,第二随机数、素数、原根以及第二目标参数之间的关系为:Ya=gamodp,Ya为第二目标参数,g为原根,a为第二随机数,p为素数。
在一种具体实施方式中,第一设备利用自身中的可信根创建第一密钥参数并存储,发送第一密钥参数的第一密文至第二设备,包括:第一设备利用自身中的可信根创建第一密钥参数,第一密钥参数包括:第一随机数和第一目标参数,利用公钥证书中的公钥加密第一密钥参数,获得第一密文,将第一密文发送至第二设备;其中,第一随机数、第一目标参数、素数以及原根之间的关系为:Yb=gbmodp,Yb为第一目标参数,b为第一随机数,g为原根,p为素数。
在一种具体实施方式中,第一设备或第二设备按照目标公式生成第一通信密钥和第二通信密钥;目标公式为:
Figure BDA0002514259210000081
其中,Kb为第一通信密钥,Ka为第二通信密钥,Yb为第一目标参数,Ya为第二目标参数,b为第一随机数,a为第二随机数,g为原根,p为素数。
S104、第一设备或第二设备利用对方的通信密钥加密目标信息,获得信息密文,并将信息密文发送至对方,以使对方利用自身的通信密钥解密信息密文,获得目标信息。
其中,公钥证书、第一身份密钥证书和第二身份密钥证书由设备身份认证中心签发给第一设备和第二设备。设备身份认证中心给数据中心中的所有设备签发有公钥证书和设备身份密钥对应的身份密钥证书。
在一种具体实施方式中,还包括:
第一设备处理目标信息,获得处理结果,利用第二通信密钥加密处理结果,获得结果密文,将结果密文发送至第二设备,以使第二设备利用第二通信密钥解密结果密文,获得处理结果;
第二设备处理目标信息,获得处理结果,利用第一通信密钥加密处理结果,获得结果密文,将结果密文发送至第一设备,以使第一设备或第二设备利用第一通信密钥解密结果密文,获得处理结果。
在一种具体实施方式中,若第一设备和第二设备通信结束,则第一设备和第二设备删除对方的通信密钥和身份密钥证书。一个可信根中,除了身份密钥,每次创建的密钥都是不一样的,所以通信一次创建一次,用完就释放,可以提高安全性。
可见,在本申请实施例中,数据中心中的第一设备和第二设备均由设备身份认证中心进行了身份认证,并为其签发了公钥证书和相应的身份密钥证书,因此第一设备和第二设备的身份安全性得到了保障,也提高了数据中心的安全性。在第一设备和第二设备通信之前,二者进行了相互的身份认证,即第一设备利用预先存储的公钥证书验证第二身份密钥证书,第二设备利用预先存储的公钥证书验证第一身份密钥证书,故而可再次确保即将要通信的第一设备和第二设备的身份安全性。在第一设备和第二设备相互进行身份认证通过后,二者交换通信密钥,因此可利用对方的通信密钥加密传输信息进行发送,从而使得数据在传输过程中保持加密状态,提高通信数据的安全性。
参见图2所示,本申请实施例公开了第二种通信方法,包括:
S201、设备身份认证中心认证设备身份。
请参见图3,S201具体包括:
A、设备向设备身份认证中心请求身份密钥证书:设备将自身身份密钥的公钥发送至设备身份认证中心(Certificate Authority,CA),设备身份认证中心为其签发身份密钥证书(Identity Certificate,IDC)和公钥证书(Certificate Authority Certificate,CAC)。其中,身份密钥证书由CA的私钥签名设备的公钥生成,故IDC中包括设备的公钥。公钥证书中包括CA的公钥,因此公钥证书可用于验证身份密钥证书,即用公钥证书中的公钥验证身份密钥证书。
B、验证设备请求的公钥证书:设备将CA为其签发的IDC和CAC存储在自身中的可信根中,通过TPM2_NvRead指令读取可信根中的CAC,若读取的CAC与CA中记录的相应CAC相同,则CAC验证通过。
C、验证设备请求的身份密钥证书:通过TPM2_NvRead指令读取可信根中的IDC和CAC,用CAC验证IDC,若验证通过,则IDC无误。
其中,可信根(如TPM2.0)是设备中的硬件芯片,设置初始状态时,可信根中无信息。设备自身的身份密钥、IDC和CAC均存储在可信根的非易失空间中。设备中的可信根存储CAC可以提高后续设备间互相认证的效率。设备内置CAC后,每次设备间的认证只需读取设备中的CAC即可,无需向CA申请CAC。
其中,设备自身的身份密钥(Identity Key,IDK)包括公钥和私钥。公钥用于去CA请求IDC和CAC,私钥自己留存。
需要说明的是,由同一个CA验证过身份的不同设备中存储的CAC相同。由CA验证过身份的各个设备的结构图可参见图4。在图4中,OS(Operating System)为操作系统,HW(Hardware)为设备硬件,TPM(Trusted Platform Module,可信平台模块)指国外的可信根规范。
具体的,CA认证设备的结构图可参见图5,图5中的CA证书指CAC。
S202、设备接入数据中心,与数据中心中的任一个需要通信的设备进行互相认证。
请参见图6,假设接入数据中心的设备A要与数据中心中的原有设备B进行通信,其中,设备B的IDC简写为IDC_B,设备A的IDC简写为IDC_A,那么S202具体包括:
A、设备A向设备B发起认证请求,设备B获取该请求后,将自身的IDC_B发送给设备A。
B、设备A读取自身可信根中的CAC,使用其中的公钥验签IDC_B,验签通过,则意味着设备B是经过身份认证的设备,随后,设备A将自身的IDC_A发送给设备B。
C、设备B读取自身可信根中的CAC,使用其中的公钥验签IDC_A,验签通过,则意味着设备A是经过身份认证的设备。
此时设备B可以直接发起通信密钥交换流程,也可以给设备A返回身份认证流程已完成的通知消息,让设备A发起通信密钥交换流程。
具体的,不同设备互相认证的结构图可参见图7。
S203、相互完成认证的两个设备交换通信密钥,进行数据通信。
请参见图8,通信密钥交换流程如下:
A、设备A利用自身可信根创建通信密钥(包括公钥Key_A1和私钥Key_A2),使用IDC_B中的公钥(即设备B的身份密钥的公钥)加密Key_A1,将密文传输给设备B。通信密钥可通过TPM2_Create指令创建。通过TPM2_ReadPublic可获取该密钥的公钥Key_A1。TPM2_ReadPublic是TPM2.0读取公钥的命令,是TPM2.0标准定义的。TPM2_Create是TPM2.0创建密钥的命令,是TPM2.0标准定义的。
B、设备B用自己的身份密钥的私钥解密收到的密文,得到Key_A1,并利用可信根创建通信密钥(包括公钥Key_B1和私钥Key_B2),使用IDC_A中的公钥(即设备A的身份密钥的公钥)加密Key_B1,将密文传输给设备A。可以通过PM2_LoadExternal加载Key_A1至设备B的可信根(如TPM2.0芯片)中。
C、设备A自己的身份密钥的私钥解密收到的密文,得到Key_B1。
若设备A向设备B发送信息,则设备A使用Key_B1加密数据,设备B收到密文后,使用Key_B2解密。若设备B向设备A发送信息,则设备B使用Key_A1加密数据,设备A收到密文后,使用Key_A2解密。其中,发送方使用TPM2_RSAEncrypt指令发送,接收方使用TPM2_RSADecrypt指令接收。
具体的,不同设备交换通信密钥的结构图可参见图9。
可见,本实施例先让设备在通信前相互验证各自的身份,确保通信的双方是由数据中心认证的设备,认证通过后,创建通信会话,基于双方的身份信息加密通信数据,提高了设备间传输数据的安全性。
下面对本申请实施例提供的一种通信系统进行介绍,下文描述的一种通信系统与上文描述的一种通信方法可以相互参照。
本申请实施例公开了一种通信系统,包括:数据中心中的第一设备和第二设备,第二设备为数据中心中除第一设备以外的其他设备,其中:
第一设备,用于发送认证请求至第二设备,以使第二设备发送自身的第二身份密钥证书至第一设备;
第一设备,用于利用预先存储的公钥证书验证第二身份密钥证书通过后,存储第二身份密钥证书,并发送自身的第一身份密钥证书至第二设备,以使第二设备利用预先存储的公钥证书验证第一身份密钥证书通过后,存储第一身份密钥证书;
第一设备和第二设备互相获取对方的通信密钥;
第一设备或第二设备,用于利用对方的通信密钥加密目标信息,获得信息密文,并将信息密文发送至对方,以使对方利用自身的通信密钥解密信息密文,获得目标信息;
其中,公钥证书、第一身份密钥证书和第二身份密钥证书由设备身份认证中心签发给第一设备和第二设备。
在一种具体实施方式中,具体的:
第二设备利用自身中的可信根创建第二通信密钥并存储,发送第二密文至第一设备,第二密文为第二通信密钥中的第二公钥的密文;
第一设备解密第二密文,获得第二公钥并存储,利用自身中的可信根创建第一通信密钥并存储,发送第一密文至第二设备,以使第二设备解密第一密文,获得第一公钥并存储;第一密文为第一通信密钥中的第一公钥的密文。
在一种具体实施方式中,具体的:
第二设备利用自身中的可信根创建第二密钥参数并存储,发送第二密钥参数的第二密文至第一设备;
第一设备解密第二密文,获得第二密钥参数并存储,利用自身中的可信根创建第一密钥参数并存储,发送第一密钥参数的第一密文至第二设备,以使第二设备解密第一密文,获得第一密钥参数并存储;
第一设备或第二设备根据第一密钥参数和第二密钥参数生成第二通信密钥和第一通信密钥。
在一种具体实施方式中,还包括:
第一设备处理目标信息,获得处理结果,利用第二通信密钥加密处理结果,获得结果密文,将结果密文发送至第二设备,以使第二设备利用第二通信密钥解密结果密文,获得处理结果;
第二设备处理目标信息,获得处理结果,利用第一通信密钥加密处理结果,获得结果密文,将结果密文发送至第一设备,以使第一设备或第二设备利用第一通信密钥解密结果密文,获得处理结果。
在一种具体实施方式中,具体的:
第二设备利用自身中的可信根生成第二密钥参数并存储,第二密钥参数包括:第二随机数、素数、素数的原根以及第二目标参数,利用公钥证书中的公钥加密第二密钥参数,获得第二密文,将第二密文发送至第一设备;
其中,第二随机数、素数、原根以及第二目标参数之间的关系为:Ya=gamodp,Ya为第二目标参数,g为原根,a为第二随机数,p为素数。
在一种具体实施方式中,第一设备利用自身中的可信根创建第一密钥参数并存储,发送第一密钥参数的第一密文至第二设备,包括:
第一设备利用自身中的可信根创建第一密钥参数,第一密钥参数包括:第一随机数和第一目标参数,利用公钥证书中的公钥加密第一密钥参数,获得第一密文,将第一密文发送至第二设备;
其中,第一随机数、第一目标参数、素数以及原根之间的关系为:Yb=gbmodp,Yb为第一目标参数,b为第一随机数,g为原根,p为素数。
在一种具体实施方式中,第一设备或第二设备按照目标公式生成第一通信密钥和第二通信密钥;目标公式为:
Figure BDA0002514259210000131
其中,Kb为第一通信密钥,Ka为第二通信密钥,Yb为第一目标参数,Ya为第二目标参数,b为第一随机数,a为第二随机数,g为原根,p为素数。
在一种具体实施方式中,还包括:
若第一设备和第二设备通信结束,则第一设备和第二设备删除对方的通信密钥和身份密钥证书。
在一种具体实施方式中,设备身份认证中心给数据中心中的所有设备签发有公钥证书和设备身份密钥对应的身份密钥证书。
其中,关于本实施例中各个模块、单元更加具体的工作过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
可见,在两个设备通信前,设备先相互验证各自的身份,确保通信的双方是由数据中心认证的设备,认证通过后,创建通信会话,基于双方的身份信息加密通信数据,提高了设备间传输数据的安全性。
下面对本申请实施例提供的一种通信设备进行介绍,下文描述的一种通信设备与上文描述的一种通信方法及系统可以相互参照。
参见图10所示,本申请实施例公开了一种通信设备,包括:
存储器1001,用于保存计算机程序;
处理器1002,用于执行所述计算机程序,以实现上述任意实施例公开的方法。
下面对本申请实施例提供的一种可读存储介质进行介绍,下文描述的一种可读存储介质与上文描述的一种通信方法、系统及设备可以相互参照。
一种可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述实施例公开的通信方法。关于该方法的具体步骤可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本申请涉及的“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法或设备固有的其它步骤或单元。
需要说明的是,在本申请中涉及“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外,各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本申请要求的保护范围之内。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的可读存储介质中。
本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。

Claims (10)

1.一种通信方法,其特征在于,包括:
数据中心中的第一设备发送认证请求至第二设备,以使所述第二设备发送自身的第二身份密钥证书至所述第一设备;所述第二设备为所述数据中心中除所述第一设备以外的其他设备;
所述第一设备利用预先存储的公钥证书验证所述第二身份密钥证书通过后,存储所述第二身份密钥证书,并发送自身的第一身份密钥证书至所述第二设备,以使所述第二设备利用预先存储的所述公钥证书验证所述第一身份密钥证书通过后,存储所述第一身份密钥证书;
所述第一设备和所述第二设备互相获取对方的通信密钥;
所述第一设备或所述第二设备利用对方的通信密钥加密目标信息,获得信息密文,并将所述信息密文发送至对方,以使对方利用自身的通信密钥解密所述信息密文,获得所述目标信息;
其中,所述公钥证书、所述第一身份密钥证书和所述第二身份密钥证书由设备身份认证中心签发给所述第一设备和所述第二设备。
2.根据权利要求1所述的通信方法,其特征在于,所述第一设备和所述第二设备互相获取对方的通信密钥,包括:
所述第二设备利用自身中的可信根创建第二通信密钥并存储,发送第二密文至所述第一设备,所述第二密文为所述第二通信密钥中的第二公钥的密文;
所述第一设备解密所述第二密文,获得所述第二公钥并存储,利用自身中的可信根创建第一通信密钥并存储,发送第一密文至所述第二设备,以使所述第二设备解密所述第一密文,获得第一公钥并存储;所述第一密文为所述第一通信密钥中的第一公钥的密文。
3.根据权利要求1所述的通信方法,其特征在于,所述第一设备和所述第二设备互相获取对方的通信密钥,包括:
所述第二设备利用自身中的可信根创建第二密钥参数并存储,发送所述第二密钥参数的第二密文至所述第一设备;
所述第一设备解密所述第二密文,获得所述第二密钥参数并存储,利用自身中的可信根创建第一密钥参数并存储,发送所述第一密钥参数的第一密文至所述第二设备,以使所述第二设备解密所述第一密文,获得所述第一密钥参数并存储;
所述第一设备或所述第二设备根据所述第一密钥参数和所述第二密钥参数生成所述第二通信密钥和所述第一通信密钥。
4.根据权利要求3所述的通信方法,其特征在于,所述第二设备利用自身中的可信根创建第二密钥参数并存储,发送所述第二密钥参数的第二密文至所述第一设备,包括:
所述第二设备利用自身中的可信根生成所述第二密钥参数并存储,所述第二密钥参数包括:第二随机数、素数、素数的原根以及第二目标参数,利用所述公钥证书中的公钥加密所述第二密钥参数,获得所述第二密文,将所述第二密文发送至所述第一设备;
其中,所述第二随机数、所述素数、所述原根以及所述第二目标参数之间的关系为:Ya=gamodp,Ya为所述第二目标参数,g为所述原根,a为所述第二随机数,p为所述素数。
5.根据权利要求4所述的通信方法,其特征在于,所述第一设备利用自身中的可信根创建第一密钥参数并存储,发送所述第一密钥参数的第一密文至所述第二设备,包括:
所述第一设备利用自身中的可信根创建所述第一密钥参数,所述第一密钥参数包括:第一随机数和第一目标参数,利用所述公钥证书中的公钥加密所述第一密钥参数,获得所述第一密文,将所述第一密文发送至所述第二设备;
其中,所述第一随机数、所述第一目标参数、所述素数以及所述原根之间的关系为:Yb=gbmodp,Yb为所述第一目标参数,b为所述第一随机数,g为所述原根,p为所述素数。
6.根据权利要求5所述的通信方法,其特征在于,所述第一设备或所述第二设备按照目标公式生成所述第一通信密钥和所述第二通信密钥;所述目标公式为:
Figure FDA0002514259200000031
其中,Kb为所述第一通信密钥,Ka为所述第二通信密钥,Yb为所述第一目标参数,Ya为所述第二目标参数,b为所述第一随机数,a为所述第二随机数,g为所述原根,p为所述素数。
7.根据权利要求1-6任意一项所述的通信方法,其特征在于,还包括:
若所述第一设备和所述第二设备通信结束,则所述第一设备和所述第二设备删除对方的通信密钥和身份密钥证书。
8.一种通信系统,其特征在于,包括:所述数据中心中的第一设备和第二设备,所述第二设备为所述数据中心中除所述第一设备以外的其他设备,其中:
所述第一设备,用于发送认证请求至所述第二设备,以使所述第二设备发送自身的第二身份密钥证书至所述第一设备;
所述第一设备,用于利用预先存储的公钥证书验证所述第二身份密钥证书通过后,存储所述第二身份密钥证书,并发送自身的第一身份密钥证书至所述第二设备,以使所述第二设备利用预先存储的所述公钥证书验证所述第一身份密钥证书通过后,存储所述第一身份密钥证书;
所述第一设备和所述第二设备互相获取对方的通信密钥;
所述第一设备或所述第二设备,用于利用对方的通信密钥加密目标信息,获得信息密文,并将所述信息密文发送至对方,以使对方利用自身的通信密钥解密所述信息密文,获得所述目标信息;
其中,所述公钥证书、所述第一身份密钥证书和所述第二身份密钥证书由设备身份认证中心签发给所述第一设备和所述第二设备。
9.一种通信设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序,以实现如权利要求1至7任一项所述的通信方法。
10.一种可读存储介质,其特征在于,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的通信方法。
CN202010470870.0A 2020-05-28 2020-05-28 一种通信方法、系统、设备及可读存储介质 Pending CN111600903A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010470870.0A CN111600903A (zh) 2020-05-28 2020-05-28 一种通信方法、系统、设备及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010470870.0A CN111600903A (zh) 2020-05-28 2020-05-28 一种通信方法、系统、设备及可读存储介质

Publications (1)

Publication Number Publication Date
CN111600903A true CN111600903A (zh) 2020-08-28

Family

ID=72184226

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010470870.0A Pending CN111600903A (zh) 2020-05-28 2020-05-28 一种通信方法、系统、设备及可读存储介质

Country Status (1)

Country Link
CN (1) CN111600903A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113392413A (zh) * 2021-05-26 2021-09-14 亿次网联(杭州)科技有限公司 一种数据安全存储方法、装置、系统和存储介质
CN114491471A (zh) * 2022-04-08 2022-05-13 季华实验室 基于数据流的工业任务执行系统及方法
CN117714066A (zh) * 2023-12-11 2024-03-15 大唐高鸿信安(浙江)信息科技有限公司 密钥处理方法、装置及可读存储介质
CN117834252A (zh) * 2023-12-29 2024-04-05 福建联迪商用设备有限公司 分布式设备的无感认证方法及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010050990A1 (en) * 1997-02-19 2001-12-13 Frank Wells Sudia Method for initiating a stream-oriented encrypted communication
WO2004032413A1 (en) * 2002-09-24 2004-04-15 Laboratories For Information Technology A method of generating private keys
CN102882685A (zh) * 2012-09-27 2013-01-16 东莞宇龙通信科技有限公司 身份认证系统及其方法
CN105792193A (zh) * 2016-02-26 2016-07-20 东南大学常州研究院 基于iOS操作系统的移动终端语音端到端加密方法
CN106452736A (zh) * 2016-08-12 2017-02-22 数安时代科技股份有限公司 密钥协商方法和系统
CN107529167A (zh) * 2016-06-21 2017-12-29 普天信息技术有限公司 一种认证方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010050990A1 (en) * 1997-02-19 2001-12-13 Frank Wells Sudia Method for initiating a stream-oriented encrypted communication
WO2004032413A1 (en) * 2002-09-24 2004-04-15 Laboratories For Information Technology A method of generating private keys
CN102882685A (zh) * 2012-09-27 2013-01-16 东莞宇龙通信科技有限公司 身份认证系统及其方法
CN105792193A (zh) * 2016-02-26 2016-07-20 东南大学常州研究院 基于iOS操作系统的移动终端语音端到端加密方法
CN107529167A (zh) * 2016-06-21 2017-12-29 普天信息技术有限公司 一种认证方法
CN106452736A (zh) * 2016-08-12 2017-02-22 数安时代科技股份有限公司 密钥协商方法和系统

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113392413A (zh) * 2021-05-26 2021-09-14 亿次网联(杭州)科技有限公司 一种数据安全存储方法、装置、系统和存储介质
CN114491471A (zh) * 2022-04-08 2022-05-13 季华实验室 基于数据流的工业任务执行系统及方法
CN117714066A (zh) * 2023-12-11 2024-03-15 大唐高鸿信安(浙江)信息科技有限公司 密钥处理方法、装置及可读存储介质
CN117714066B (zh) * 2023-12-11 2024-05-28 大唐高鸿信安(浙江)信息科技有限公司 密钥处理方法、装置及可读存储介质
CN117834252A (zh) * 2023-12-29 2024-04-05 福建联迪商用设备有限公司 分布式设备的无感认证方法及系统

Similar Documents

Publication Publication Date Title
US12225115B2 (en) Secure shared key establishment for peer to peer communications
CN111416807B (zh) 数据获取方法、装置及存储介质
CN110677240B (zh) 通过证书签发提供高可用计算服务的方法、装置及介质
CN107959567B (zh) 数据存储方法、数据获取方法、装置及系统
US9887838B2 (en) Method and device for secure communications over a network using a hardware security engine
US7688975B2 (en) Method and apparatus for dynamic generation of symmetric encryption keys and exchange of dynamic symmetric key infrastructure
US7526649B2 (en) Session key exchange
CN108737106B (zh) 区块链系统上用户验证方法、装置、终端设备及存储介质
CN111654367B (zh) 密码运算、创建工作密钥的方法、密码服务平台及设备
WO2021036183A1 (zh) 通过证书签发进行多方安全计算的方法及装置
CN102025503B (zh) 一种集群环境下数据安全实现方法和一种高安全性的集群
CN111917710A (zh) Pci-e密码卡及其密钥保护方法、计算机可读存储介质
CN110932850B (zh) 通信加密方法及系统
CN111600903A (zh) 一种通信方法、系统、设备及可读存储介质
CN110912685B (zh) 建立受保护通信信道
EP4554142A1 (en) Securely generating and multi-party sharing of a root of trust in a clustered cryptosystem
CN119276505B (zh) 身份认证方法、终端设备、身份认证系统及存储介质
CN114244502A (zh) 基于sm9算法的签名密钥生成方法、装置和计算机设备
CN115801232A (zh) 一种私钥保护方法、装置、设备及存储介质
CN114039753B (zh) 一种访问控制方法、装置、存储介质及电子设备
CN115442136A (zh) 应用系统访问方法及装置
WO2021082222A1 (zh) 通信方法、存储方法、运算方法及装置
JP2026505009A (ja) データの暗号化および復号化のための非カストディアル技術
CN107248997B (zh) 多服务器环境下基于智能卡的认证方法
CN116599719A (zh) 一种用户登录认证方法、装置、设备、存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20200828