本發(fā)明涉及智慧交通,具體涉及一種面向obu自助發(fā)行柜的身份認(rèn)證和密鑰協(xié)商方法和裝置。
背景技術(shù):
1、obu(on?board?unit,車載單元)自助發(fā)行柜支持用戶現(xiàn)場領(lǐng)取卡簽,節(jié)省分卡、寄送等環(huán)節(jié),有利于etc發(fā)行業(yè)務(wù)的開展。但在無人監(jiān)管的情況下,發(fā)行柜設(shè)備注冊、卡簽信息寫入以及用戶掃碼取貨、金額圈存、交易記錄查詢等操作環(huán)節(jié)存在注冊信息泄露、卡簽信息惡意篡改等安全風(fēng)險(xiǎn)。為保障系統(tǒng)的正常運(yùn)行,維護(hù)用戶財(cái)產(chǎn)安全與obu發(fā)行單位收益,急需設(shè)計(jì)一種方式實(shí)現(xiàn)對obu自助發(fā)行柜的認(rèn)證和監(jiān)管。
技術(shù)實(shí)現(xiàn)思路
1、鑒于上述問題,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的面向obu自助發(fā)行柜的身份認(rèn)證和密鑰協(xié)商方法和裝置。
2、根據(jù)本發(fā)明的一個(gè)方面,提供了一種面向obu自助發(fā)行柜的身份認(rèn)證和密鑰協(xié)商方法,所述方法包括:
3、所述發(fā)行柜管理平臺向數(shù)字證書認(rèn)證機(jī)構(gòu)申請數(shù)字證書,得到所述數(shù)字證書后將所述數(shù)字證書和所述發(fā)行柜管理平臺的第一公鑰發(fā)送給所述obu自助發(fā)行柜;
4、所述obu自助發(fā)行柜基于所述第一公鑰加密原始請求數(shù)據(jù),得到請求數(shù)據(jù)密文,并將所述請求數(shù)據(jù)密文發(fā)送給所述發(fā)行柜管理平臺;
5、所述發(fā)行柜管理平臺使用所述第一公鑰對應(yīng)的第一私鑰解密所述請求數(shù)據(jù)密文,得到所述原始請求數(shù)據(jù);
6、所述obu自助發(fā)行柜基于國密算法生成非對稱的第二公鑰和第二私鑰,所述發(fā)行柜管理平臺基于國密算法生成非對稱的第三公鑰和第三私鑰,并通過交換協(xié)商的方式分別生成包括雙方隨機(jī)參數(shù)、加密算法及其協(xié)議版本的對稱密鑰;
7、所述發(fā)行柜管理平臺使用所述對稱密鑰對所述原始請求數(shù)據(jù)進(jìn)行加密得到響應(yīng)密文信息,并將所述響應(yīng)密文信息發(fā)送給所述obu自助發(fā)行柜;
8、所述obu自助發(fā)行柜基于所述對稱密鑰對所述響應(yīng)密文信息進(jìn)行解密,得到并確認(rèn)所述原始請求數(shù)據(jù)。
9、在一些實(shí)施方式中,所述發(fā)行柜管理平臺向數(shù)字證書認(rèn)證機(jī)構(gòu)申請數(shù)字證書,得到所述數(shù)字證書后將所述數(shù)字證書和所述發(fā)行柜管理平臺的第一公鑰發(fā)送給所述obu自助發(fā)行柜具體包括:
10、所述發(fā)行柜管理平臺基于國密算法生成非對稱的第一公鑰和第一私鑰;
11、所述發(fā)行柜管理平臺封裝所述第一公鑰和發(fā)行柜管理平臺信息,向數(shù)字證書認(rèn)證機(jī)構(gòu)申請數(shù)字證書;
12、所述發(fā)行柜管理平臺得到所述數(shù)字證書認(rèn)證機(jī)構(gòu)下發(fā)的數(shù)字證書,并將所述數(shù)字證書和所述第一公鑰發(fā)送給所述obu自助發(fā)行柜。
13、在一些實(shí)施方式中,所述發(fā)行柜管理平臺向數(shù)字證書認(rèn)證機(jī)構(gòu)申請數(shù)字證書,得到所述數(shù)字證書后將所述數(shù)字證書和所述發(fā)行柜管理平臺的第一公鑰發(fā)送給所述obu自助發(fā)行柜進(jìn)一步包括:
14、所述obu自助發(fā)行柜內(nèi)置有所述數(shù)字證書的根證書公鑰;
15、所述obu自助發(fā)行柜得到所述數(shù)字證書,使用所述根證書公鑰解密所述數(shù)字證書,并得到所述發(fā)行柜管理平臺的第一公鑰。
16、在一些實(shí)施方式中,通過交換協(xié)商的方式分別生成包括雙方隨機(jī)參數(shù)、加密算法及其協(xié)議版本的對稱密鑰具體包括:
17、所述obu自助發(fā)行柜和所述發(fā)行柜管理平臺交換公鑰,其中,所述obu自助發(fā)行柜得到所述第三公鑰,所述發(fā)行柜管理平臺得到第二公鑰;
18、所述obu自助發(fā)行柜生成第一隨機(jī)數(shù),并使用所述第三公鑰加密所述第一隨機(jī)數(shù),得到加密后的第一隨機(jī)數(shù),并將所述加密后的第一隨機(jī)數(shù)、所述obu自助發(fā)行柜能夠支持的加密算法和協(xié)議版本發(fā)送給所述發(fā)行柜管理平臺;
19、所述發(fā)行柜管理平臺生成第二隨機(jī)數(shù),并使用第二公鑰加密所述第二隨機(jī)數(shù),得到加密后的第二隨機(jī)數(shù),并將所述加密后的第二隨機(jī)數(shù)發(fā)送給所述obu自助發(fā)行柜。
20、在一些實(shí)施方式中,通過交換協(xié)商的方式分別生成包括雙方隨機(jī)參數(shù)、加密算法及其協(xié)議版本的對稱密鑰進(jìn)一步包括:
21、所述obu自助發(fā)行柜得到所述加密后的第二隨機(jī)數(shù)后,使用第二私鑰解密得到第二隨機(jī)數(shù);
22、所述發(fā)行柜管理平臺得到所述加密后的第一隨機(jī)數(shù)、所述加密算法和協(xié)議版本后,使用第三私鑰解密得到所述第一隨機(jī)數(shù),并選擇一組加密算法和協(xié)議版本待用;
23、所述發(fā)行柜管理平臺將待用的加密算法和協(xié)議版本組發(fā)送給所述obu自助發(fā)行柜;
24、所述obu自助發(fā)行柜和所述發(fā)行柜管理平臺分別基于所述第一隨機(jī)數(shù)、第二隨機(jī)數(shù)以及待用的加密算法和協(xié)議版本組生成所述對稱密鑰。
25、在一些實(shí)施方式中,所述方法還包括:
26、所述發(fā)行柜管理平臺對所述響應(yīng)密文信息使用第三私鑰進(jìn)行簽名,并使用第二公鑰進(jìn)行加密,得到附屬信息,并將所述附屬信息和所述響應(yīng)信息一起發(fā)送給所述oub自助發(fā)送柜。
27、在一些實(shí)施方式中,所述方法進(jìn)一步包括:
28、所述oub自助發(fā)行柜基于第二私鑰、第三公鑰和對稱密鑰對所述附屬信息進(jìn)行解密得到所述原始請求數(shù)據(jù),并基于簽名對所述原始請求數(shù)據(jù)的完整性和來源進(jìn)行驗(yàn)證和確認(rèn)。
29、根據(jù)本發(fā)明的另一方面,提供了一種面向obu自助發(fā)行柜的身份認(rèn)證和密鑰協(xié)商裝置,所述裝置包括:
30、證書獲取模塊,適于所述發(fā)行柜管理平臺向數(shù)字證書認(rèn)證機(jī)構(gòu)申請數(shù)字證書,得到所述數(shù)字證書后將所述數(shù)字證書和所述發(fā)行柜管理平臺的第一公鑰發(fā)送給所述obu自助發(fā)行柜;
31、請求發(fā)送模塊,適于所述obu自助發(fā)行柜基于所述第一公鑰加密原始請求數(shù)據(jù),得到請求數(shù)據(jù)密文,并將所述請求數(shù)據(jù)密文發(fā)送給所述發(fā)行柜管理平臺;
32、請求接收模塊,適于所述發(fā)行柜管理平臺使用所述第一公鑰對應(yīng)的第一私鑰解密所述請求數(shù)據(jù)密文,得到所述原始請求數(shù)據(jù);
33、密鑰生成模塊,適于所述obu自助發(fā)行柜基于國密算法生成非對稱的第二公鑰和第二私鑰,所述發(fā)行柜管理平臺基于國密算法生成非對稱的第三公鑰和第三私鑰,并通過交換協(xié)商的方式分別生成包括雙方隨機(jī)參數(shù)、加密算法及其協(xié)議版本的對稱密鑰;
34、響應(yīng)發(fā)送模塊,適于所述發(fā)行柜管理平臺使用所述對稱密鑰對所述原始請求數(shù)據(jù)進(jìn)行加密得到響應(yīng)密文信息,并將所述響應(yīng)密文信息發(fā)送給所述obu自助發(fā)行柜;
35、響應(yīng)確認(rèn)模塊,適于所述obu自助發(fā)行柜基于所述對稱密鑰對所述響應(yīng)密文信息進(jìn)行解密,得到并確認(rèn)所述原始請求數(shù)據(jù)。
36、根據(jù)本發(fā)明的又一方面,提供了一種電子設(shè)備,包括:處理器、存儲器、通信接口和通信總線,所述處理器、所述存儲器和所述通信接口通過所述通信總線完成相互間的通信;
37、所述存儲器用于存放至少一可執(zhí)行指令,所述可執(zhí)行指令使所述處理器執(zhí)行上述面向obu自助發(fā)行柜的身份認(rèn)證和密鑰協(xié)商方法對應(yīng)的操作。
38、根據(jù)本發(fā)明的再一方面,提供了一種計(jì)算機(jī)可讀存儲介質(zhì),所述存儲介質(zhì)中存儲有至少一可執(zhí)行指令,所述可執(zhí)行指令使處理器執(zhí)行如上述面向obu自助發(fā)行柜的身份認(rèn)證和密鑰協(xié)商方法對應(yīng)的操作。
39、根據(jù)本發(fā)明的面向obu自助發(fā)行柜的身份認(rèn)證和密鑰協(xié)商方案,旨在利用數(shù)字證書認(rèn)證機(jī)制,解決obu自助發(fā)行柜管理過程中存在的發(fā)行柜注冊信息泄露、卡簽信息惡意篡改、交易信息泄露問題,通過密鑰對加解密實(shí)現(xiàn)發(fā)行柜obu自助發(fā)行柜與發(fā)行柜管理平臺的身份認(rèn)證、加密通信,保障設(shè)備注冊、自助取貨、obu圈存、交易查詢等業(yè)務(wù)的開展。
40、上述說明僅是本發(fā)明技術(shù)方案的概述,為了能夠更清楚了解本發(fā)明的技術(shù)手段,而可依照說明書的內(nèi)容予以實(shí)施,并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點(diǎn)能夠更明顯易懂,以下特舉本發(fā)明的具體實(shí)施方式。