CN118300781A - 一种会话密钥的生成方法 - Google Patents
一种会话密钥的生成方法 Download PDFInfo
- Publication number
- CN118300781A CN118300781A CN202410361940.7A CN202410361940A CN118300781A CN 118300781 A CN118300781 A CN 118300781A CN 202410361940 A CN202410361940 A CN 202410361940A CN 118300781 A CN118300781 A CN 118300781A
- Authority
- CN
- China
- Prior art keywords
- key
- generating
- encryption
- session
- session key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 64
- 238000012546 transfer Methods 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 6
- 230000006854 communication Effects 0.000 abstract description 38
- 238000004891 communication Methods 0.000 abstract description 30
- 230000005540 biological transmission Effects 0.000 abstract description 13
- 238000003860 storage Methods 0.000 description 15
- 238000013478 data encryption standard Methods 0.000 description 8
- 239000007789 gas Substances 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 238000007726 management method Methods 0.000 description 6
- 238000012544 monitoring process Methods 0.000 description 5
- 238000012795 verification Methods 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 4
- 230000001105 regulatory effect Effects 0.000 description 4
- 241001441724 Tetraodontidae Species 0.000 description 3
- 238000010276 construction Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000011156 evaluation Methods 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 101000759879 Homo sapiens Tetraspanin-10 Proteins 0.000 description 2
- 102100024990 Tetraspanin-10 Human genes 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000002737 fuel gas Substances 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 238000005272 metallurgy Methods 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 239000003208 petroleum Substances 0.000 description 2
- 238000004886 process control Methods 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 239000000126 substance Substances 0.000 description 2
- 238000003466 welding Methods 0.000 description 2
- 241000283084 Balaenoptera musculus Species 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本申请实施例提供一种会话密钥的生成方法,能够解决油气管道行业中数据传输的安全性差的技术问题。接收加密套件集合和第一随机数;加密套件集合为客户端支持的加密套件;第一随机数为客户端发送的根据会话需求随机生成的数字;根据加密套件集合,通过预设优先级,确认匹配加密套件;根据匹配加密套件,发送会话标识、服务端证书和第二随机数;会话标识、服务端证书和第二随机数用于客户端生成加密对称密钥;接收加密对称密钥;根据私钥,对加密对称密钥解密。这样,使用会话密钥可以增加通信的安全性,提高油气管道行业中数据传输的安全性,通信过程中不易遭遇窃听。以及,通信过程中能够确认通信方的身份,能够确认报文完整性。
Description
技术领域
本申请涉及数据传输技术领域,尤其涉及一种会话密钥的生成方法。
背景技术
在油气管道行业中,为了提高生产效率和管理水平,以及保障生产过程的安全和稳定,需要对运行设备进行监视和控制。比如,为了监视和控制调压站,需要对调压站的运行设备进行数据采集、设备控制、测量、参数调节以及各类信号报警等操作,以实现调压站的综合自动化建设。这些监视和控制操作涉及到的数据,将会通过内外部通讯的方式实现传输。
为了保证调压站的安全运行,需要保证数据的安全传输。因而,提高油气管道行业中数据传输的安全性成为亟待解决的问题。
发明内容
本申请实施例提供一种会话密钥的生成方法,能够解决油气管道行业中数据传输的安全性差的技术问题。
为达到上述目的,本申请的实施例采用如下技术方案:
第一方面,本申请实施例提供一种会话密钥的生成方法,该会话密钥的生成方法包括:接收加密套件集合和第一随机数;加密套件集合为客户端支持的加密套件;第一随机数为客户端发送的根据会话需求随机生成的数字;根据加密套件集合,通过预设优先级,确认匹配加密套件;根据匹配加密套件,发送会话标识、服务端证书和第二随机数;会话标识、服务端证书和第二随机数用于客户端生成加密对称密钥;接收加密对称密钥;根据私钥,对加密对称密钥解密。
基于上述对本申请实施例提供的会话密钥的生成方法的描述,可知,该会话密钥的生成方法包括接收加密套件集合和第一随机数。加密套件集合为客户端支持的加密套件。第一随机数为客户端发送的根据会话需求随机生成的数字。根据加密套件集合,通过预设优先级,确认匹配加密套件。根据匹配加密套件,发送会话标识、服务端证书和第二随机数。会话标识、服务端证书和第二随机数用于客户端生成加密对称密钥。接收加密对称密钥。根据私钥,对加密对称密钥解密。这样,使用会话密钥可以增加通信的安全性,提高油气管道行业中数据传输的安全性,通信过程中不易遭遇窃听。
以及,通信过程中能够确认通信方的身份,能够确认报文完整性。
在第一方面可行的实现方式中,在执行根据加密套件集合,通过预设优先级,确认匹配加密套件的步骤时,会话密钥的生成方法还包括:根据安全级别、兼容性、性能影响指标,得到预设优先级。
在第一方面可行的实现方式中,在执行接收加密套件集合和第一随机数的步骤时;以及,在执行接收加密对称密钥的步骤时,会话密钥的生成方法还包括:根据超文本传输协议,接收加密套件集合和第一随机数;根据超文本传输协议,接收加密对称密钥。
使用超文本传输协议(HTTP)协议,可以在通信过程中进行数据加密,以防止窃听和未经授权的访问。通过实现验证通信方身份,可以防止伪装攻击。通过实现验证报文完整性,可以防止数据在传输过程中被篡改。
在第一方面可行的实现方式中,在执行根据私钥,对加密对称密钥解密的步骤时,会话密钥的生成方法还包括:导入私钥;根据加密算法,匹配私钥和加密对称密钥;以及,解密私钥和加密对称密钥,得到原始解密密钥;根据原始解密密钥,检验解密结果。
在第一方面可行的实现方式中,在执行根据私钥,对加密对称密钥解密的步骤之后,会话密钥的生成方法还包括:设置共享密钥;根据共享密钥,接收或发送待传输数据。
在第一方面可行的实现方式中,在执行设置共享密钥的步骤时,会话密钥的生成方法还包括:根据密钥交换协议,确定共享密钥;存储共享密钥。
在第一方面可行的实现方式中,在执行根据共享密钥,接收或发送待传输数据的步骤时,会话密钥的生成方法还包括:根据对称加密算法,通过共享密钥,对待传输数据进行解密或加密。
在第一方面可行的实现方式中,在执行根据共享密钥,接收或发送待传输数据的步骤时,会话密钥的生成方法还包括:根据数字签名或数字证书,验证身份信息。
第二方面,本申请实施例提供一种会话密钥的生成系统,该会话密钥的生成系统包括:至少一个处理器;与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行第一方面提供的方法。
会话密钥的生成系统通过执行第一方面提供的方法,接收加密套件集合和第一随机数。加密套件集合为客户端支持的加密套件。第一随机数为客户端发送的根据会话需求随机生成的数字。根据加密套件集合,通过预设优先级,确认匹配加密套件。根据匹配加密套件,发送会话标识、服务端证书和第二随机数。会话标识、服务端证书和第二随机数用于客户端生成加密对称密钥。接收加密对称密钥。根据私钥,对加密对称密钥解密。这样,使用会话密钥可以增加通信的安全性,提高油气管道行业中数据传输的安全性,通信过程中不易遭遇窃听。以及,通信过程中能够确认通信方的身份,能够确认报文完整性。
第三方面,本申请实施例提供一种计算机可读介质,其上存储有计算机程序指令,计算机程序指令可被处理器执行以实现如第一方面提供的方法。
计算机可读介质中的计算机程序指令通过实现第一方面提供的方法,接收加密套件集合和第一随机数。加密套件集合为客户端支持的加密套件。第一随机数为客户端发送的根据会话需求随机生成的数字。根据加密套件集合,通过预设优先级,确认匹配加密套件。根据匹配加密套件,发送会话标识、服务端证书和第二随机数。会话标识、服务端证书和第二随机数用于客户端生成加密对称密钥。接收加密对称密钥。根据私钥,对加密对称密钥解密。这样,使用会话密钥可以增加通信的安全性,提高油气管道行业中数据传输的安全性,通信过程中不易遭遇窃听。以及,通信过程中能够确认通信方的身份,能够确认报文完整性。
附图说明
图1为本申请实施例提供的一种会话密钥的生成系统的结构示意图;
图2为本申请实施例提供的一种会话密钥的生成方法的流程示意图;
图3为本申请实施例提供的一种会话密钥的生成方法的流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行描述。其中,在本发明实施例的描述中,除非另有说明,“多个”是指两个或多于两个。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。
另外,为了便于清楚描述本发明实施例的技术方案,在本发明的实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定,并且“第一”、“第二”等字样也并不限定一定不同。同时,在本发明实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本发明实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念,便于理解。
以下对本申请的原理和特征进行描述,所举实例只用于解释本申请,并非用于限定本申请的范围。
本申请实施例提供一种会话密钥的生成方法,适用于油气管道、电力、冶金、石油、化工、燃气、铁路等领域的数据采集与监视控制以及过程控制等诸多领域。
本申请实施例提供一种会话密钥的生成系统,能够执行本申请实施例提供的会话密钥的生成方法。图1为本申请实施例提供的一种会话密钥的生成系统的结构示意图。
如图1所示,该会话密钥的生成系统001包括至少一个处理器011与所述至少一个处理器通信连接的存储器012;其中,存储器012存储有可被所述至少一个处理器011执行的指令,指令被所述至少一个处理器011执行,以使所述至少一个处理器011能够执行本申请实施例提供的会话密钥的生成方法。
图2为本申请实施例提供的一种会话密钥的生成方法的次流程示意图。如图2所示,在一些实施例中,该会话密钥的生成方法包括以下步骤:
S1,接收加密套件集合和第一随机数。
加密套件集合,为客户端支持的加密套件。在一些实施例中,客户端支持的加密套件有多个。多个加密套件均被接收。
第一随机数,为客户端发送的根据会话需求随机生成的数字,用于生成会话密钥。在一些实施例中,第一随机数的生成,响应于客户端的会话需求。每当客户端产生一个会话需求,就生成一个第一随机数。
在一些实施例中,监控与数据采集系统(supervisory control and dataacquisition system,SCADA)接收来自客户端的加密套件集合和第一随机数。SCADA系统是一种数据采集与监视控制系统,它以计算机为基础,可以应用于油气管道、电力、冶金、石油、化工、燃气、铁路等领域的数据采集与监视控制以及过程控制等诸多领域。SCADA系统可以在远动系统中对现场的运行设备进行监视和控制,实现数据采集、设备控制、测量、参数调节以及各类信号报警等各项功能。在一种实现方式中,SCADA系统包括远程终端单元(RTU)和馈线终端单元(FTU)。在一种实现方式中,SCADA系统包括组态软件和数据传输链路。示例性的,数据传输链路包括数传电台、GPRS等。
在一些实施例中,SCADA系统中的通信种类包括内部通信、与I/0设备通信、和外界通信。
在一些实施例中,根据超文本传输协议(HTTP),接收加密套件集合和第一随机数。使用超文本传输协议协议,可以在通信过程中进行数据加密,以防止窃听和未经授权的访问。通过实现验证通信方身份,可以防止伪装攻击。通过实现验证报文完整性,可以防止数据在传输过程中被篡改。
S2,根据加密套件集合,通过预设优先级,确认匹配加密套件。
在一些实施例中,设置预设优先级时,可以通过不同的优先级评价标准综合评价加密套件,得到加密套件的评价顺序结果。比如,优先级评价标准可以包括安全性级别、兼容性、性能影响指标、密钥管理方法、客户端硬件需求、支持文档或测试性能中的至少一个。这样,可以在客户端支持的多个加密套件中,匹配选择最优的匹配加密套件,确保所选的加密套件能够满足系统的需求并提供适当的安全保障。
下面对优先级评价标准的可行的实现方式分别进行说明。
安全性级别,即SCADA所需的安全性级别。安全性级别与数据的机密性、完整性和可用性等方面相关。安全性级别越高,加密套件的加密算法更强大、密钥长度更长,优先级高。
兼容性,即客户端提供的加密套件和SCADA的版本配置之间的兼容性。若客户端提供的加密套件和SCADA的版本配置之间兼容,则兼容性好,优先级高。若客户端提供的加密套件和SCADA的版本配置之间不兼容,则兼容性差。可以理解的是,若兼容性差,可以升级或更改SCADA的系统配置。
在一些实施例中,SCADA支持的加密套件包括安全套接层(secure socketslayer,SSL)、传输层安全(transport layer security,TLS)、里维斯特-沙米尔-阿德曼公钥加密算法(Rivest-Shamir-Adleman,RSA)、数据加密标准(data encryption standard,DES)、三重数据加密标准(triple data encryption standard,3DES)、国际数据加密算法International Data Encryption Algorithm(IDEA)、蓝鲸算法(Blowfish)。
SSL或TLS,用于在互联网上建立安全通信的加密协议,可以保护在客户端和服务器之间传输的数据的机密性和完整性。
RSA,一种非对称加密算法,使用公钥和私钥来加密和解密数据,通常用于数字签名和密钥交换。
AES,一种对称加密算法,使用相同的密钥来加密和解密数据。AES支持多种密钥长度,包括128位、192位和256位。
DES,一种较早的对称加密算法,使用56位密钥来加密数据。其密钥长度较短。
3DES,一种使用168位密钥的对称加密算法,通过应用三个DES加密算法来增加安全性。
IDEA,一种对称加密算法,使用128位密钥来加密数据。
Blowfish,一种对称加密算法,使用可变长度的密钥来加密数据。Blowfish是一种强大的加密算法,适用于各种数据安全性需求。
性能影响指标,即加密套件对SCADA的影响。性能和效率越好的加密套件,性能影响指标越好,优先级高。
密钥管理方法,包括密钥的管理和分发方法。比如,对称加密算法的加密套件,密钥需要实现的安全存储和定期更换。以及,保护密钥免受未经授权的访问。
客户端硬件需求,即客户端设备具备针对加密套件的特定硬件支持。在一些实施例中,特定硬件包括处理器或专用加密芯片等。客户端设备的硬件能力及其对SCADA系统性能的影响,使得客户端硬件需求越低,优先级越高。
支持文档,即加密套件的支持和维护文档。文档包括参考资料、加密套件支持的详细信息、使用指南和已知问题等。在一些实施例中,支持和维护文档的的种类越多,优先级越高。可以理解的是,加密套件的支持和维护文档可以是加密套件提供商提供的。
测试性能,即加密套件在实际环境中的正确性和可靠性。在一些情境中,实际环境包括实验室或实际运行环境。测试和验证加密套件在实际环境中进行加密和解密的正确性和可靠性。正确性和可靠性越好的加密套件,优先级越高。
S3,根据匹配加密套件,发送会话标识、服务端证书和第二随机数。
会话标识、服务端证书和第二随机数,用于客户端生成加密对称密钥。在一些实施例中,SCADA发送会话标识、服务端证书和第二随机数至客户端。客户端接收会话标识、服务端证书和第二随机数后,先对服务端证书进行检查。如果通过检查,则生成一个对称密钥,用证书的公钥加密后将其发送给SCADA系统。否则,会发出警告。
其中,服务端证书,为数字证书。数字证书包括但是不限于以下信息:有效期、密钥用法(KU)、扩展密钥用法(EKU)、主题或主体备用名称、证书认证机构(CA)签名。
在一些实施例中,根据HTTP协议,发送会话标识、服务端证书和第二随机数。
在一种实现方式中,对服务端证书进行检查时,该会话密钥的生成方法还包括以下步骤:
S301,检查证书的有效期,客户端检查证书的有效期,确保证书在当前时间范围内有效。
S302,检查证书的密钥用法(KU)和扩展密钥用法(EKU),客户端检查证书的密钥用法和扩展密钥用法,确保其适用于所需的加密操作。
S303,检查证书的主题或主体备用名称(SAN),客户端检查证书的主题或主体备用名称,以确保其与所需的域名或IP地址相匹配。
S304,检查证书的CA签名,客户端检查证书是否由可信的证书认证机构(CA)签名,以确保证书的有效性和可信度。
S305,检查证书链的构建,客户端检查构建的证书链是否正确,包括每个CA证书的有效性、有效期、密钥用法、路径长度限制、名字约束检查、策略约束检查以及是否已经被注销等。
S306,进行在线证书状态协议(online certificate status protocol,OCSP)或轻量级目录访问协议(Iightweight directory access protocol,LDAP)查询,基于Client-Server模式的证书验证协议,客户端可以构建证书链并验证,再到OCSP服务器检查证书的注销状态,或者将证书的主题信息提交到LDAP去查询,如果能查询到且匹配成功,则表示此证书有效。
通过执行步骤S301至步骤S306,客户端可以对SCADA系统提供的数字证书进行检验,确保其有效性、可信度和适用性。
S4,接收加密对称密钥。
在一些实施例中,SCADA系统接收客户端发送的加密对称密钥。在一种实现方式中,加密对称密钥通过安全通道进行传输。示例性的,使用SSL/TLS协议进行加密通信。
在一些实施例中,根据HTTP协议,接收加密对称密钥。
S5,根据私钥,对加密对称密钥解密。
图3为本申请实施例提供的一种会话密钥的生成方法的流程示意图。如图3所示,在一些实施例中,执行步骤S5时,该会话密钥的生成方法还包括以下步骤:
S51,导入私钥。
在一些实施例中,SCADA系统导入预设私钥。预设私钥是SCADA系统自身的私钥,私钥是用于解密客户端密钥的唯一密钥。在一些实施例中,预设私钥可以在系统初始化或配置时完成。
S52,根据加密算法,匹配所述私钥和所述加密对称密钥。以及,解密所述私钥和所述加密对称密钥,得到原始解密密钥。
在一些实施例中,SCADA系统使用预设私钥,对接收到的客户端密钥进行解密。私钥与客户端密钥通过加密算法进行匹配和解密,从而得到原始的客户端密钥。
S53,根据原始解密密钥,检验解密结果。
在一种实现方式中,根据原始解密密钥,与客户端通信。若能够通信成功,则解密结果正确。
在一种实现方式中,根据原始解密密钥,验证解密后的数据是否符合预期。若解密后的数据符合预期,则解密结果正确。
通过执行步骤S53,在解密完成后,SCADA系统验证解密得到的原始解密密钥是否与原始客户端密钥匹配,确保能够通信成功。如果解密结果正确,即解密成功,SCADA系统可以使用解密得到的密钥,进行后续的加密通信或数据交换。
私钥的管理和存储非常重要,私钥的泄露可能导致安全漏洞。在一些实施例中,保护私钥的安全性的安全措施包括使用安全的密钥存储设备或加密文件系统来存储私钥。解密过程随着所使用的加密算法和系统配置变化。
本申请实施例提供的会话密钥的生成方法,通过使用会话密钥可以增加通信的安全性,因为每次通信都会生成一个新的密钥,使得攻击者难以破解。
使用会话密钥时,SCADA系统可以通过验证密钥的正确性来确认通信方的身份,从而防止伪装攻击,使用会话密钥时,SCADA系统可以在发送和接收数据时使用该密钥进行加密和解密,以确保数据的完整性。基于HTTP协议的SCADA系统产生会话密钥可以提高系统的安全性、防止伪装攻击、保证数据完整性、提高通信效率并方便实现远程访问。
在一些实施例中,执行步骤S5之后,该会话密钥的生成方法还包括以下步骤:
S6,设置共享密钥。
在一些实施例中,执行步骤S6时,该会话密钥的生成方法还包括以下步骤:
S601,根据密钥交换协议,确定共享密钥。
在一些实施例中,根据密钥交换协议,客户端和SCADA系统进行密钥协商,以确定共享密钥,确保密钥在通信过程中不会被窃取或拦截。在一种实现方式中,密钥交换协议可以是迪菲-赫尔曼(Diffie-Hellman)密钥交换协议。
S602,存储共享密钥。
在一些实施例中,客户端和SCADA系统将该密钥存储在安全的密钥存储设备或加密文件系统中。这样,确保密钥的安全性,避免密钥泄露,进而避免通信内容被破解或篡改。
S7,根据所述共享密钥,接收或发送待传输数据。
在一些实施例中,执行步骤S7时,该会话密钥的生成方法还包括以下步骤:
S71,根据对称加密算法,通过共享密钥,对待传输数据进行解密或加密。
在一种实现方式中,SCADA系统接收待传输数据时,根据对称加密算法,对待传输数据进行解密。
在另一种实现方式中,SCADA系统发送待传输数据时,根据对称加密算法,对待传输数据进行加密。
对称加密算法,可以是AES。这样,使用共享密钥进行加密和解密操作。
这样,当客户端和SCADA系统需要进行通信时,它们将使用协商好的共享密钥对通信内容(比如待传输数据)进行加密和解密。
S701,根据数字签名或数字证书,验证身份信息。
为了确保通信双方的身份真实性,可以在通信过程中使用数字签名或数字证书来进行身份验证。客户端和SCADA系统可以验证对方的数字证书,以确保它们正在与预期的实体进行通信。
为了保护密钥的安全性,客户端和SCADA系统需要采取适当的措施来保护密钥存储设备或加密文件系统,例如使用强密码或硬件加密模块来保护密钥的安全性。需要注意的是,具体的实现方式可能因所使用的加密算法、系统配置和安全要求而有所不同。
这样,通过执行步骤S6和步骤S7,得到客户端的密钥之后,客户端和SCADA系统端能够用相同的密钥进行通信。
基于同一申请构思,本申请实施例中还提供了一种会话密钥的生成系统,所述会话密钥的生成系统对应的方法可以是前述实施例中的会话密钥的生成方法,并且其解决问题的原理与该方法相似。本申请实施例提供的所述会话密钥的生成系统包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行前述本申请的多个实施例的方法和/或技术方案。
针对高钢级管道自动焊焊接接头,通过研究会话密钥的生成技术,为新建管道环焊缝性能优化提供依据、降低环焊缝失效概率,基于施工期的焊接数据为在役管道环焊缝完整性管理提供直接技术支撑。
本申请另一实施例还提供了一种计算机可读存储介质,其上存储有计算机程序指令,所述计算机程序指令可被处理器执行以实现前述本申请的任意一个或多个实施例的方法和/或技术方案。
具体来说,本实施例可以采用一个或多个计算机可读介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括一一但不限于——无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本申请操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言-诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言-诸如”C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)——连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的次流程图或框图示出了按照本申请各种实施例的设备、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,次流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或次流程图中的每个方框、以及框图和/或次流程图中的方框的组合,可以用执行规定的功能或操作的专用的针对硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或页面组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一个计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
Claims (10)
1.一种会话密钥的生成方法,其特征在于,包括:
接收加密套件集合和第一随机数;所述加密套件集合为客户端支持的加密套件;所述第一随机数为所述客户端发送的根据会话需求随机生成的数字;
根据所述加密套件集合,通过预设优先级,确认匹配加密套件;
根据所述匹配加密套件,发送会话标识、服务端证书和第二随机数;所述会话标识、所述服务端证书和所述第二随机数用于所述客户端生成加密对称密钥;
接收所述加密对称密钥;
根据私钥,对所述加密对称密钥解密。
2.根据权利要求1所述的会话密钥的生成方法,其特征在于,在执行所述根据所述加密套件集合,通过预设优先级,确认匹配加密套件的步骤时,所述会话密钥的生成方法还包括:
根据安全级别、兼容性、性能影响指标,得到所述预设优先级。
3.根据权利要求1或2所述的会话密钥的生成方法,其特征在于,在执行所述接收加密套件集合和第一随机数的步骤时;以及,在执行所述接收所述加密对称密钥的步骤时,所述会话密钥的生成方法还包括:
根据超文本传输协议,接收所述加密套件集合和所述第一随机数;
根据超文本传输协议,接收所述加密对称密钥。
4.根据权利要求1或2所述的会话密钥的生成方法,其特征在于,在执行所述根据私钥,对所述加密对称密钥解密的步骤时,所述会话密钥的生成方法还包括:
导入所述私钥;
根据加密算法,匹配所述私钥和所述加密对称密钥;以及,解密所述私钥和所述加密对称密钥,得到原始解密密钥;
根据所述原始解密密钥,检验解密结果。
5.根据权利要求1或2所述的会话密钥的生成方法,其特征在于,在执行所述根据私钥,对所述加密对称密钥解密的步骤之后,所述会话密钥的生成方法还包括:
设置共享密钥;
根据所述共享密钥,接收或发送待传输数据。
6.根据权利要求5所述的会话密钥的生成方法,其特征在于,在执行所述设置共享密钥的步骤时,所述会话密钥的生成方法还包括:
根据密钥交换协议,确定所述共享密钥;
存储所述共享密钥。
7.根据权利要求5所述的会话密钥的生成方法,其特征在于,在执行所述根据所述共享密钥,接收或发送待传输数据的步骤时,所述会话密钥的生成方法还包括:
根据对称加密算法,通过所述共享密钥,对所述待传输数据进行解密或加密。
8.根据权利要求5所述的会话密钥的生成方法,其特征在于,在执行所述根据所述共享密钥,接收或发送待传输数据的步骤时,所述会话密钥的生成方法还包括:
根据数字签名或数字证书,验证身份信息。
9.一种会话密钥的生成系统,其特征在于,包括:
至少一个处理器;
与所述至少一个处理器通信连接的存储器;
其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1至8中任一项所述的方法。
10.一种计算机可读介质,其上存储有计算机程序指令,所述计算机程序指令可被处理器执行以实现如权利要求1至8中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410361940.7A CN118300781A (zh) | 2024-03-27 | 2024-03-27 | 一种会话密钥的生成方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410361940.7A CN118300781A (zh) | 2024-03-27 | 2024-03-27 | 一种会话密钥的生成方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN118300781A true CN118300781A (zh) | 2024-07-05 |
Family
ID=91679486
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410361940.7A Pending CN118300781A (zh) | 2024-03-27 | 2024-03-27 | 一种会话密钥的生成方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN118300781A (zh) |
-
2024
- 2024-03-27 CN CN202410361940.7A patent/CN118300781A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102577229B (zh) | 在一个往返行程中的密钥认证 | |
| EP3257227B1 (en) | Confidential communication management | |
| CN107810617B (zh) | 机密认证和供应 | |
| CN110519309B (zh) | 数据传输方法、装置、终端、服务器及存储介质 | |
| CN110598422A (zh) | 一种基于移动数字证书的可信身份验证系统及方法 | |
| CN112702318A (zh) | 一种通讯加密方法、解密方法、客户端及服务端 | |
| CN109257328B (zh) | 一种现场运维数据的安全交互方法及装置 | |
| CN103684766A (zh) | 一种终端用户的私钥保护方法和系统 | |
| CN105072125A (zh) | 一种http通信系统及方法 | |
| CN114143082B (zh) | 一种加密通信方法、系统及装置 | |
| CN112713995A (zh) | 一种用于物联网终端的动态通信密钥分发方法及装置 | |
| CN117081815A (zh) | 数据安全传输的方法、装置、计算机设备及存储介质 | |
| CN110611679A (zh) | 一种数据传输方法、装置、设备及系统 | |
| CN109981667B (zh) | 一种用户数据传输方法和装置 | |
| CN113886781B (zh) | 基于区块链的多重认证加密方法、系统、电子设备及介质 | |
| CN118300781A (zh) | 一种会话密钥的生成方法 | |
| CN116232632A (zh) | 移动端sslvpn安全隧道应用方法及系统 | |
| CN116318637A (zh) | 设备安全入网通信的方法和系统 | |
| CN114553557A (zh) | 密钥调用方法、装置、计算机设备和存储介质 | |
| US11153288B2 (en) | System and method for monitoring leakage of internal information by analyzing encrypted traffic | |
| CN112260831A (zh) | 一种基于动态密钥的安全认证方法 | |
| CN118300905B (zh) | 基于保密认证模式的密文传输方法、装置、设备及介质 | |
| CN115550006B (zh) | 基于云控平台信任确权的云控平台自适应安全防护方法 | |
| TWI847922B (zh) | IoT安全模組之雙層金鑰控管架構設定系統及其方法 | |
| CN111885055B (zh) | 一种通信方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |