一種鏈路會話密鑰協(xié)商方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全技術(shù)領(lǐng)域，尤其涉及一種鏈路會話密鑰協(xié)商方法及裝置。
【背景技術(shù)】
[0002]隨著電子信息科技的快速發(fā)展，通過互聯(lián)網(wǎng)進行的網(wǎng)絡(luò)通信(如網(wǎng)絡(luò)交易、系統(tǒng)登陸等)日漸普及，由于互聯(lián)網(wǎng)的虛擬特性，一些不法分子利用病毒、木馬或其他惡意程序很容易截獲互聯(lián)網(wǎng)中傳輸?shù)男畔?。為了防止信息被非法截取，通信雙方首先通過協(xié)商生成一個會話密鑰，將所傳輸?shù)男畔⑼ㄟ^會話密鑰加密。現(xiàn)有技術(shù)中普遍使用的密鑰協(xié)商方法是通信雙方中的一方生成一個隨機數(shù)，然后將該隨機數(shù)發(fā)送給另一方，從而保證通信雙方共用一個隨機數(shù)作為會話密鑰，對傳輸?shù)男畔⑦M行加解密，這種協(xié)商方式最為簡單，但是會話密鑰也最容易被非法截取。

【發(fā)明內(nèi)容】

[0003]為解決上述現(xiàn)有技術(shù)中存在的技術(shù)問題，本發(fā)明提供了一種鏈路會話密鑰協(xié)商方法及裝置。
[0004]本發(fā)明采用的技術(shù)方案如下:一種鏈路會話密鑰協(xié)商方法，包括:
[0005]步驟S1:當智能密鑰設(shè)備接收到上位機發(fā)來的獲取公鑰數(shù)據(jù)的請求時，向所述上位機返回第二公鑰；
[0006]步驟S2:當智能密鑰設(shè)備接收到上位機發(fā)來的獲取鏈路會話密鑰的請求時，使用第二私鑰從所述獲取鏈路會話密鑰的請求中解密出第二預(yù)置數(shù)據(jù)；
[0007]步驟S3:所述智能密鑰設(shè)備比較所述第二預(yù)置數(shù)據(jù)與設(shè)備中的第一預(yù)置數(shù)據(jù)是否一致，若一致則所述智能密鑰設(shè)備生成隨機數(shù)，根據(jù)所述隨機數(shù)與預(yù)設(shè)數(shù)據(jù)組成鏈路會話密鑰，并向所述上位機返回所述隨機數(shù)，執(zhí)行步驟S4;否則所述智能密鑰設(shè)備向所述上位機返回錯誤信息，結(jié)束；
[0008]步驟S4:當智能密鑰設(shè)備接收到上位機發(fā)來的通信請求時，使用所述鏈路會話密鑰解密所述通信請求，并根據(jù)解密結(jié)果執(zhí)行相應(yīng)操作，生成操作結(jié)果，使用所述鏈路會話密鑰對所述操作結(jié)果進行加密后返回給上位機，結(jié)束。
[0009]上述步驟SI具體包括，當智能密鑰設(shè)備接收到上位機發(fā)來的第一獲取公鑰數(shù)據(jù)指令時，向上位機返回一部分第二公鑰數(shù)據(jù)，當智能密鑰設(shè)備接收到上位機發(fā)來的第二獲取公鑰數(shù)據(jù)指令時，向上位機返回另一部分第二公鑰數(shù)據(jù);所述第二公鑰由所述一部分第二公鑰數(shù)據(jù)和所述另一部分第二公鑰數(shù)據(jù)拼接組成。
[0010]上述步驟SI還包括，上位機根據(jù)第一APDU數(shù)據(jù)組成第一獲取公鑰數(shù)據(jù)指令，并向所述智能密鑰設(shè)備發(fā)送所述第一獲取公鑰數(shù)據(jù)指令;上位機根據(jù)第二 APDU數(shù)據(jù)組成第二獲取公鑰數(shù)據(jù)指令，并向所述智能密鑰設(shè)備發(fā)送所述第二獲取公鑰數(shù)據(jù)指令。
[0011]上述當智能密鑰設(shè)備接收到上位機發(fā)來的第一獲取公鑰數(shù)據(jù)指令時，向上位機返回一部分第二公鑰數(shù)據(jù)具體包括:當智能密鑰設(shè)備接收到上位機發(fā)來的第一獲取公鑰數(shù)據(jù)指令時，對第二公鑰的第一部分數(shù)據(jù)和第二部分數(shù)據(jù)分別執(zhí)行數(shù)據(jù)填充得到第一填充數(shù)據(jù)和第二填充數(shù)據(jù)，使用第一公鑰對第一填充數(shù)據(jù)和第二填充數(shù)據(jù)分別執(zhí)行加密運算得到第一密文數(shù)據(jù)和第二密文數(shù)據(jù)，將第一密文數(shù)據(jù)與部分第二密文數(shù)據(jù)進行數(shù)據(jù)拼接得到第一響應(yīng)數(shù)據(jù)，設(shè)備對所述第一響應(yīng)數(shù)據(jù)執(zhí)行指令編碼得到第一響應(yīng)指令，向上位機返回所述第一響應(yīng)指令。
[0012]上述當智能密鑰設(shè)備接收到上位機發(fā)來的第二獲取公鑰數(shù)據(jù)指令時，向上位機返回另一部分第二公鑰數(shù)據(jù)具體包括:當智能密鑰設(shè)備接收到上位機發(fā)來的第二獲取公鑰數(shù)據(jù)指令時，取剩余的第二密文數(shù)據(jù)得到第二響應(yīng)數(shù)據(jù)，對所述第二響應(yīng)數(shù)據(jù)執(zhí)行指令編碼得到第二響應(yīng)指令，向上位機返回所述第二響應(yīng)指令。
[0013]上述步驟S2具體包括，當所述智能密鑰設(shè)備接收到上位機發(fā)來的獲取鏈路會話密鑰指令時，使用第二私鑰對所述獲取鏈路會話密鑰指令的數(shù)據(jù)域數(shù)據(jù)執(zhí)行解密運算，并對解密得到的數(shù)據(jù)執(zhí)行解碼操作得到第二預(yù)置數(shù)據(jù)。
[0014]上述步驟S2之前包括，上位機使用第二公鑰對第二預(yù)置數(shù)據(jù)執(zhí)行加密運算得到第三APDU數(shù)據(jù)，根據(jù)第三APDU數(shù)據(jù)組成獲取鏈路會話密鑰指令，并向所述智能密鑰設(shè)備發(fā)送所述獲取鏈路會話密鑰指令。
[0015]上述步驟S3中所述根據(jù)所述隨機數(shù)與預(yù)設(shè)數(shù)據(jù)組成鏈路會話密鑰，并向所述上位機返回所述隨機數(shù)具體包括:智能密鑰設(shè)備將所述隨機數(shù)與當前協(xié)商密鑰次數(shù)值拼接，對拼接后得到的數(shù)據(jù)執(zhí)行數(shù)據(jù)填充得到第三填充數(shù)據(jù)，使用第一公鑰對第三填充數(shù)據(jù)執(zhí)行加密運算得到第三響應(yīng)數(shù)據(jù)，對第三響應(yīng)數(shù)據(jù)執(zhí)行指令編碼得到第三響應(yīng)指令，向所述上位機返回包含所述隨機數(shù)的第三響應(yīng)指令。
[0016]本發(fā)明公開的一種鏈路會話密鑰協(xié)商裝置，包括第一收發(fā)模塊、第二收發(fā)模塊、第一操作模塊、判斷模塊、隨機數(shù)生成模塊和第二操作模塊；
[0017]所述第一收發(fā)模塊，用于接收上位機發(fā)來的獲取公鑰數(shù)據(jù)的請求，以及向所述上位機返回第二公鑰；
[0018]所述第二收發(fā)模塊，用于接收上位機發(fā)來的獲取鏈路會話密鑰的請求，觸發(fā)第一操作模塊工作，以及將隨機數(shù)生成模塊生成的隨機數(shù)返回給上位機，或者是向上位機返回錯誤信息；
[0019]所述第一操作模塊，用于使用第二私鑰從所述第二收發(fā)模塊接收到的所述獲取鏈路會話密鑰的請求中解密出第二預(yù)置數(shù)據(jù)，并觸發(fā)所述判斷模塊工作；用于根據(jù)所述隨機數(shù)生成模塊生成的隨機數(shù)與預(yù)設(shè)數(shù)據(jù)組成鏈路會話密鑰；
[0020]所述判斷模塊，用于比較所述第一操作模塊解密出的所述第二預(yù)置數(shù)據(jù)與設(shè)備中的第一預(yù)置數(shù)據(jù)是否一致，若一致則觸發(fā)隨機數(shù)生成模塊工作，否則觸發(fā)第二收發(fā)模塊工作；
[0021 ]所述隨機數(shù)生成模塊，用于生成隨機數(shù)；
[0022]所述第二操作模塊，用于接收上位機發(fā)來的通信請求，以及使用所述第一操作模塊組成的所述鏈路會話密鑰解密所述通信請求，并根據(jù)解密結(jié)果執(zhí)行相應(yīng)操作，生成操作結(jié)果，使用所述鏈路會話密鑰對所述操作結(jié)果進行加密后返回給上位機。
[0023]上述第一收發(fā)模塊，具體用于當接收到上位機發(fā)送的第一獲取公鑰數(shù)據(jù)指令時，向所述上位機返回一部分第二公鑰數(shù)據(jù)；以及用于當接收到上位機發(fā)送的第二獲取公鑰數(shù)據(jù)指令時，向上位機返回另一部分第二公鑰數(shù)據(jù);所述第二公鑰由所述一部分第二公鑰數(shù)據(jù)和所述另一部分第二公鑰數(shù)據(jù)拼接組成。
[0024]本發(fā)明中與所述裝置連接的上位機包括第一發(fā)送模塊和第二發(fā)送模塊；
[0025]所述第一發(fā)送模塊，用于根據(jù)第一APDU數(shù)據(jù)組成第一獲取公鑰數(shù)據(jù)指令，并向所述裝置發(fā)送所述第一獲取公鑰數(shù)據(jù)指令；
[0026]所述第二發(fā)送模塊，用于根據(jù)第二APDU數(shù)據(jù)組成第二獲取公鑰數(shù)據(jù)指令，并向所述裝置發(fā)送所述第二獲取公鑰數(shù)據(jù)指令。
[0027]上述裝置還包括第三操作模塊；
[0028]所述第一收發(fā)模塊，具體用于當接收到上位機發(fā)來的第一獲取公鑰數(shù)據(jù)指令時，觸發(fā)所述第三操作模塊工作，以及向上位機返回所述第三操作模塊操作得到的第一響應(yīng)指令；
[0029]所述第三操作模塊，用于對第二公鑰的第一部分數(shù)據(jù)和第二部分數(shù)據(jù)分別執(zhí)行數(shù)據(jù)填充得到第一填充數(shù)據(jù)和第二填充數(shù)據(jù)，使用第一公鑰對第一填充數(shù)據(jù)和第二填充數(shù)據(jù)分別執(zhí)行加密運算得到第一密文數(shù)據(jù)和第二密文數(shù)據(jù)，將第一密文數(shù)據(jù)與部分第二密文數(shù)據(jù)進行數(shù)據(jù)拼接得到第一響應(yīng)數(shù)據(jù)，設(shè)備對所述第一響應(yīng)數(shù)據(jù)執(zhí)行指令編碼得到第一響應(yīng)指令。
[0030]上述裝置還包括第四操作模塊；
[0031]所述第一收發(fā)模塊，還用于當接收到上位機發(fā)來的第二獲取公鑰數(shù)據(jù)指令時，觸發(fā)所述第四操作模塊工作，以及向上位機返回所述第四操作模塊操作得到的第二響應(yīng)指令；
[0032]所述第四操作模塊，用于取剩余的第二密文數(shù)據(jù)得到第二響應(yīng)數(shù)據(jù)，對所述第二響應(yīng)數(shù)據(jù)執(zhí)行指令編碼得到第二響應(yīng)指令。
[0033]本發(fā)明中上述第二收發(fā)模塊，具體用于當接收到上位機發(fā)來的獲取鏈路會話密鑰指令時，觸發(fā)所述第一操作模塊工作，以及將隨機數(shù)生成模塊生成的隨機數(shù)返回給上位機，或者是向上位機返回錯誤狀態(tài)碼；
[0034]所述第一操作模塊，具體用于使用第二私鑰對所述獲取鏈路會話密鑰指令的數(shù)據(jù)域數(shù)據(jù)執(zhí)行解密運算，并對解密得到的數(shù)據(jù)執(zhí)行解碼操作得到第二預(yù)置數(shù)據(jù)，并觸發(fā)判斷模塊工作；用于根據(jù)隨機數(shù)生成模塊生成的隨機數(shù)與預(yù)設(shè)數(shù)據(jù)組成鏈路會話密鑰。
[0035]本發(fā)明中與所述裝置連接的上位機包括指令處理模塊；
[0036]所述指令處理模塊，用于使用從所述裝置獲取的第二公鑰對第二預(yù)置數(shù)據(jù)執(zhí)行加密運算得到第三APDU數(shù)據(jù)，根據(jù)第三APDU數(shù)據(jù)組成獲取鏈路會話密鑰指令，并向所述裝置發(fā)送所述獲取鏈路會話密鑰指令。
[0037]本發(fā)明中，上述第二收發(fā)模塊，具體用于接收上位機發(fā)來的獲取鏈路會話密鑰指令，觸發(fā)第一操作模塊工作，以及將所述第一操作模塊操作得到的第三響應(yīng)指令返回給上位機，或者是向上位機返回錯誤狀態(tài)碼；
[0038]上述第一操作模塊，具體用于使用第二私鑰從所述第二收發(fā)模塊接收到的所述獲取鏈路會話密鑰指令中解密出第二預(yù)置數(shù)據(jù)，并觸發(fā)判斷模塊工作；用于將所述隨機數(shù)生成模塊生成的隨機數(shù)與當前協(xié)商密鑰次數(shù)值拼接，對拼接后得到的數(shù)據(jù)執(zhí)行數(shù)據(jù)填充得到第三填充數(shù)據(jù)，使用第一公鑰對第三填充數(shù)據(jù)執(zhí)行加密運算得到第三響應(yīng)數(shù)據(jù)，對第三響應(yīng)數(shù)據(jù)執(zhí)行指令編碼得到第三響應(yīng)指令。
[0039]本發(fā)明的有益效果是:本發(fā)明提出的協(xié)商生成鏈路會話密鑰的協(xié)商模式復(fù)雜，使協(xié)商生成的鏈路會話密鑰不易被惡意程序破解、抗攻擊能力比較強，通信中傳輸?shù)男畔⑼ㄟ^鏈路會話密鑰加密后很難被非法截取。
【附圖說明】
[0040]圖1和圖2是本發(fā)明實施例1提供的一種鏈路會話密鑰協(xié)商方法的流程圖；
[0041 ]圖3和圖4是本發(fā)明實施例2提供的一種鏈路會話密鑰協(xié)商方法的流程圖；