本發(fā)明涉及智慧交通，具體涉及一種面向obu自助發(fā)行柜的身份認(rèn)證和密鑰協(xié)商方法和裝置。

背景技術(shù)：

1、obu(on?board?unit，車(chē)載單元)自助發(fā)行柜支持用戶(hù)現(xiàn)場(chǎng)領(lǐng)取卡簽，節(jié)省分卡、寄送等環(huán)節(jié)，有利于etc發(fā)行業(yè)務(wù)的開(kāi)展。但在無(wú)人監(jiān)管的情況下，發(fā)行柜設(shè)備注冊(cè)、卡簽信息寫(xiě)入以及用戶(hù)掃碼取貨、金額圈存、交易記錄查詢(xún)等操作環(huán)節(jié)存在注冊(cè)信息泄露、卡簽信息惡意篡改等安全風(fēng)險(xiǎn)。為保障系統(tǒng)的正常運(yùn)行，維護(hù)用戶(hù)財(cái)產(chǎn)安全與obu發(fā)行單位收益，急需設(shè)計(jì)一種方式實(shí)現(xiàn)對(duì)obu自助發(fā)行柜的認(rèn)證和監(jiān)管。

技術(shù)實(shí)現(xiàn)思路

1、鑒于上述問(wèn)題，提出了本發(fā)明以便提供一種克服上述問(wèn)題或者至少部分地解決上述問(wèn)題的面向obu自助發(fā)行柜的身份認(rèn)證和密鑰協(xié)商方法和裝置。

2、根據(jù)本發(fā)明的一個(gè)方面，提供了一種面向obu自助發(fā)行柜的身份認(rèn)證和密鑰協(xié)商方法，所述方法包括：

3、所述發(fā)行柜管理平臺(tái)向數(shù)字證書(shū)認(rèn)證機(jī)構(gòu)申請(qǐng)數(shù)字證書(shū)，得到所述數(shù)字證書(shū)后將所述數(shù)字證書(shū)和所述發(fā)行柜管理平臺(tái)的第一公鑰發(fā)送給所述obu自助發(fā)行柜；

4、所述obu自助發(fā)行柜基于所述第一公鑰加密原始請(qǐng)求數(shù)據(jù)，得到請(qǐng)求數(shù)據(jù)密文，并將所述請(qǐng)求數(shù)據(jù)密文發(fā)送給所述發(fā)行柜管理平臺(tái)；

5、所述發(fā)行柜管理平臺(tái)使用所述第一公鑰對(duì)應(yīng)的第一私鑰解密所述請(qǐng)求數(shù)據(jù)密文，得到所述原始請(qǐng)求數(shù)據(jù)；

6、所述obu自助發(fā)行柜基于國(guó)密算法生成非對(duì)稱(chēng)的第二公鑰和第二私鑰，所述發(fā)行柜管理平臺(tái)基于國(guó)密算法生成非對(duì)稱(chēng)的第三公鑰和第三私鑰，并通過(guò)交換協(xié)商的方式分別生成包括雙方隨機(jī)參數(shù)、加密算法及其協(xié)議版本的對(duì)稱(chēng)密鑰；

7、所述發(fā)行柜管理平臺(tái)使用所述對(duì)稱(chēng)密鑰對(duì)所述原始請(qǐng)求數(shù)據(jù)進(jìn)行加密得到響應(yīng)密文信息，并將所述響應(yīng)密文信息發(fā)送給所述obu自助發(fā)行柜；

8、所述obu自助發(fā)行柜基于所述對(duì)稱(chēng)密鑰對(duì)所述響應(yīng)密文信息進(jìn)行解密，得到并確認(rèn)所述原始請(qǐng)求數(shù)據(jù)。

9、在一些實(shí)施方式中，所述發(fā)行柜管理平臺(tái)向數(shù)字證書(shū)認(rèn)證機(jī)構(gòu)申請(qǐng)數(shù)字證書(shū)，得到所述數(shù)字證書(shū)后將所述數(shù)字證書(shū)和所述發(fā)行柜管理平臺(tái)的第一公鑰發(fā)送給所述obu自助發(fā)行柜具體包括：

10、所述發(fā)行柜管理平臺(tái)基于國(guó)密算法生成非對(duì)稱(chēng)的第一公鑰和第一私鑰；

11、所述發(fā)行柜管理平臺(tái)封裝所述第一公鑰和發(fā)行柜管理平臺(tái)信息，向數(shù)字證書(shū)認(rèn)證機(jī)構(gòu)申請(qǐng)數(shù)字證書(shū)；

12、所述發(fā)行柜管理平臺(tái)得到所述數(shù)字證書(shū)認(rèn)證機(jī)構(gòu)下發(fā)的數(shù)字證書(shū)，并將所述數(shù)字證書(shū)和所述第一公鑰發(fā)送給所述obu自助發(fā)行柜。

13、在一些實(shí)施方式中，所述發(fā)行柜管理平臺(tái)向數(shù)字證書(shū)認(rèn)證機(jī)構(gòu)申請(qǐng)數(shù)字證書(shū)，得到所述數(shù)字證書(shū)后將所述數(shù)字證書(shū)和所述發(fā)行柜管理平臺(tái)的第一公鑰發(fā)送給所述obu自助發(fā)行柜進(jìn)一步包括：

14、所述obu自助發(fā)行柜內(nèi)置有所述數(shù)字證書(shū)的根證書(shū)公鑰；

15、所述obu自助發(fā)行柜得到所述數(shù)字證書(shū)，使用所述根證書(shū)公鑰解密所述數(shù)字證書(shū)，并得到所述發(fā)行柜管理平臺(tái)的第一公鑰。

16、在一些實(shí)施方式中，通過(guò)交換協(xié)商的方式分別生成包括雙方隨機(jī)參數(shù)、加密算法及其協(xié)議版本的對(duì)稱(chēng)密鑰具體包括：

17、所述obu自助發(fā)行柜和所述發(fā)行柜管理平臺(tái)交換公鑰，其中，所述obu自助發(fā)行柜得到所述第三公鑰，所述發(fā)行柜管理平臺(tái)得到第二公鑰；

18、所述obu自助發(fā)行柜生成第一隨機(jī)數(shù)，并使用所述第三公鑰加密所述第一隨機(jī)數(shù)，得到加密后的第一隨機(jī)數(shù)，并將所述加密后的第一隨機(jī)數(shù)、所述obu自助發(fā)行柜能夠支持的加密算法和協(xié)議版本發(fā)送給所述發(fā)行柜管理平臺(tái)；

19、所述發(fā)行柜管理平臺(tái)生成第二隨機(jī)數(shù)，并使用第二公鑰加密所述第二隨機(jī)數(shù)，得到加密后的第二隨機(jī)數(shù)，并將所述加密后的第二隨機(jī)數(shù)發(fā)送給所述obu自助發(fā)行柜。

20、在一些實(shí)施方式中，通過(guò)交換協(xié)商的方式分別生成包括雙方隨機(jī)參數(shù)、加密算法及其協(xié)議版本的對(duì)稱(chēng)密鑰進(jìn)一步包括：

21、所述obu自助發(fā)行柜得到所述加密后的第二隨機(jī)數(shù)后，使用第二私鑰解密得到第二隨機(jī)數(shù)；

22、所述發(fā)行柜管理平臺(tái)得到所述加密后的第一隨機(jī)數(shù)、所述加密算法和協(xié)議版本后，使用第三私鑰解密得到所述第一隨機(jī)數(shù)，并選擇一組加密算法和協(xié)議版本待用；

23、所述發(fā)行柜管理平臺(tái)將待用的加密算法和協(xié)議版本組發(fā)送給所述obu自助發(fā)行柜；

24、所述obu自助發(fā)行柜和所述發(fā)行柜管理平臺(tái)分別基于所述第一隨機(jī)數(shù)、第二隨機(jī)數(shù)以及待用的加密算法和協(xié)議版本組生成所述對(duì)稱(chēng)密鑰。

25、在一些實(shí)施方式中，所述方法還包括：

26、所述發(fā)行柜管理平臺(tái)對(duì)所述響應(yīng)密文信息使用第三私鑰進(jìn)行簽名，并使用第二公鑰進(jìn)行加密，得到附屬信息，并將所述附屬信息和所述響應(yīng)信息一起發(fā)送給所述oub自助發(fā)送柜。

27、在一些實(shí)施方式中，所述方法進(jìn)一步包括：

28、所述oub自助發(fā)行柜基于第二私鑰、第三公鑰和對(duì)稱(chēng)密鑰對(duì)所述附屬信息進(jìn)行解密得到所述原始請(qǐng)求數(shù)據(jù)，并基于簽名對(duì)所述原始請(qǐng)求數(shù)據(jù)的完整性和來(lái)源進(jìn)行驗(yàn)證和確認(rèn)。

29、根據(jù)本發(fā)明的另一方面，提供了一種面向obu自助發(fā)行柜的身份認(rèn)證和密鑰協(xié)商裝置，所述裝置包括：

30、證書(shū)獲取模塊，適于所述發(fā)行柜管理平臺(tái)向數(shù)字證書(shū)認(rèn)證機(jī)構(gòu)申請(qǐng)數(shù)字證書(shū)，得到所述數(shù)字證書(shū)后將所述數(shù)字證書(shū)和所述發(fā)行柜管理平臺(tái)的第一公鑰發(fā)送給所述obu自助發(fā)行柜；

31、請(qǐng)求發(fā)送模塊，適于所述obu自助發(fā)行柜基于所述第一公鑰加密原始請(qǐng)求數(shù)據(jù)，得到請(qǐng)求數(shù)據(jù)密文，并將所述請(qǐng)求數(shù)據(jù)密文發(fā)送給所述發(fā)行柜管理平臺(tái)；

32、請(qǐng)求接收模塊，適于所述發(fā)行柜管理平臺(tái)使用所述第一公鑰對(duì)應(yīng)的第一私鑰解密所述請(qǐng)求數(shù)據(jù)密文，得到所述原始請(qǐng)求數(shù)據(jù)；

33、密鑰生成模塊，適于所述obu自助發(fā)行柜基于國(guó)密算法生成非對(duì)稱(chēng)的第二公鑰和第二私鑰，所述發(fā)行柜管理平臺(tái)基于國(guó)密算法生成非對(duì)稱(chēng)的第三公鑰和第三私鑰，并通過(guò)交換協(xié)商的方式分別生成包括雙方隨機(jī)參數(shù)、加密算法及其協(xié)議版本的對(duì)稱(chēng)密鑰；

34、響應(yīng)發(fā)送模塊，適于所述發(fā)行柜管理平臺(tái)使用所述對(duì)稱(chēng)密鑰對(duì)所述原始請(qǐng)求數(shù)據(jù)進(jìn)行加密得到響應(yīng)密文信息，并將所述響應(yīng)密文信息發(fā)送給所述obu自助發(fā)行柜；

35、響應(yīng)確認(rèn)模塊，適于所述obu自助發(fā)行柜基于所述對(duì)稱(chēng)密鑰對(duì)所述響應(yīng)密文信息進(jìn)行解密，得到并確認(rèn)所述原始請(qǐng)求數(shù)據(jù)。

36、根據(jù)本發(fā)明的又一方面，提供了一種電子設(shè)備，包括：處理器、存儲(chǔ)器、通信接口和通信總線，所述處理器、所述存儲(chǔ)器和所述通信接口通過(guò)所述通信總線完成相互間的通信；

37、所述存儲(chǔ)器用于存放至少一可執(zhí)行指令，所述可執(zhí)行指令使所述處理器執(zhí)行上述面向obu自助發(fā)行柜的身份認(rèn)證和密鑰協(xié)商方法對(duì)應(yīng)的操作。

38、根據(jù)本發(fā)明的再一方面，提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述存儲(chǔ)介質(zhì)中存儲(chǔ)有至少一可執(zhí)行指令，所述可執(zhí)行指令使處理器執(zhí)行如上述面向obu自助發(fā)行柜的身份認(rèn)證和密鑰協(xié)商方法對(duì)應(yīng)的操作。

39、根據(jù)本發(fā)明的面向obu自助發(fā)行柜的身份認(rèn)證和密鑰協(xié)商方案，旨在利用數(shù)字證書(shū)認(rèn)證機(jī)制，解決obu自助發(fā)行柜管理過(guò)程中存在的發(fā)行柜注冊(cè)信息泄露、卡簽信息惡意篡改、交易信息泄露問(wèn)題，通過(guò)密鑰對(duì)加解密實(shí)現(xiàn)發(fā)行柜obu自助發(fā)行柜與發(fā)行柜管理平臺(tái)的身份認(rèn)證、加密通信，保障設(shè)備注冊(cè)、自助取貨、obu圈存、交易查詢(xún)等業(yè)務(wù)的開(kāi)展。

40、上述說(shuō)明僅是本發(fā)明技術(shù)方案的概述，為了能夠更清楚了解本發(fā)明的技術(shù)手段，而可依照說(shuō)明書(shū)的內(nèi)容予以實(shí)施，并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點(diǎn)能夠更明顯易懂，以下特舉本發(fā)明的具體實(shí)施方式。