本发明专利技术涉及一种基于安全边缘计算的密钥管理通信方法,包括建立一个基于ECC复合定理,用于生成和分发管理边缘计算设备的私钥系统,秘钥矩阵运算存储模块生成私钥矩阵和公钥矩阵;设备将唯一标识码发给秘钥申请分发管理模块;秘钥矩阵运算存储模块以唯一标识为输入通过hash散列算法得到n个小于n的整数值;通信设备通过秘钥申请分发管理模块下载公钥矩阵或在设备中预置公钥矩阵;所有配置操作和过程管理的数据均记录的数据库中,通过与web管理页面模块连接后进行管理及查看本发明专利技术能够提供一种可快速获取对方公钥,实现达到节约公钥交换时间和传输带宽的基于安全边缘计算的密钥管理通信方法。
A key management communication method based on secure edge computing
【技术实现步骤摘要】
一种基于安全边缘计算的密钥管理通信方法
本专利技术涉及物联网安全
,尤其涉及一种基于安全边缘计算的密钥管理通信方法。
技术介绍
边缘计算的场景中,在互联互通时使用非对称加密算法进行通信双方的身份认证,在进行身份认证时需要使用对方的公钥来验证对方的签名,而如何获取和管理对方的公钥则需要特定的公钥获取技术。现有传统的非对称加密算法具有两个秘钥:(1)公钥,是指公开给外部的秘钥,用于通信对方进行验证签名或数据加密;(2)私钥,用户自己持有的秘钥,不公开,需保密存储,用于通信时己方进行数字签名或数据解密。传统的公钥基础设施PKI(PublicKeyInfrastructure)技术方案通过将公钥与公钥所有者等信息制作成数字证书形式的文件。在需要进行身份认证时,设备B通过从证书管理中心下载设备A的数字证书文件,或者设备A在通信时将设备A的数字证书文件发送给设备B,设备B在获得设备A的数字证书后,解析数字证书文件获取设备A的公钥,然后通过公钥进行验证签名或数据加密。该管理方式存在如下缺点问题:(1)需要专门的证书管理机构来生产、管理证书,提供证书下载服务,且要求专门机构具备独立第三方的法律地位,证书中心建设维护成本高;(2)数字证书在应用过程中需要有证书传递过程,证书传递需要一定的网络带宽做为基础,在大范围物联网边缘计算应用领域中证书传递过程会极大的占用网络带宽;(3)在使用证书的过程中,需要验证证书的合法性和解析证书中公钥的步骤,对终端设备的性能要求较高。
技术实现思路
本专利技术目的是为了克服现有技术的不足而提供一种可快速获取对方公钥,而不用通过采用传统需对方发送证书或者从证书管理中心下载对方证书的繁琐流程,可实现达到节约公钥交换时间和传输带宽的基于安全边缘计算的密钥管理通信方法。为便于本技术方案后续的说明表述,对后文中出现的英文缩写或专业术语作如下解释:非对称加密算法ECC是指应用椭圆曲线密码学(英文全称EllipticCurveCryptography)复合定理的加密算法。ECC公私钥对原理:有限域P上的椭圆曲线以(a,b,G,n,p)定义。其中a,b定义三次方程y2≡(x3+ax+b)modp,G为加法群的基点,n是以G为基点的群的阶。假设任意小于n的整数r为私钥,则rG=R为对应公钥。ECC复合定理如下:在同一个椭圆曲线中,ECC算法的公私钥对中,任意多对公、私钥,其私钥之和与公钥之和构成新的公、私钥对。如果,私钥之和为:(r1+r2+…+rm)modn=r,则对应公钥之和为:R1+R2+…+Rm=R;那么,r和R刚好形成新的公、私钥对。因为,R=R1+R2+…+Rm=r1G+r2G+…+rmG=(r1+r2+…+rm)G=rG。hash散列算法是把任意长度的输入(又叫做预映射pre-image)通过散列算法变换成固定长度的输出,该输出就是散列值,简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。为达到上述目的,本专利技术采用了如下技术方案。一种基于安全边缘计算的密钥管理通信方法,包括如下步骤:步骤一:首先,建立一个基于ECC复合定理,用于生成和分发管理边缘计算设备(以下简称设备)的私钥系统,所述私钥系统由四个模块组成,包括秘钥申请分发管理模块、标识码管理模块、秘钥矩阵运算存储模块、web管理页面、数据库;步骤二:秘钥矩阵运算存储模块由带有加密芯片的硬件组成,负责秘钥的初始化,运行时进行运算存储单元随机生成2的n次方个ECC公私钥对,将2的n次方个私钥安全保存到加密芯片中,并将2的n次方个私钥排列为一个nxn的矩阵,名称为私钥矩阵;将2的n次方个公钥返回给秘钥申请分发管理模块,同样排列为一个nxn的矩阵,名称为公钥矩阵;步骤三:对接入所有设备都写入全球唯一的硬件编码,既为设备唯一标识码,设备通过网络连接到秘钥申请分发管理模块进行秘钥申请,设备将唯一标识码发给秘钥申请分发管理模块,秘钥申请分发管理模块将唯一标识发给设备标识码管理模块以跟踪记录当前设备标识的秘钥状态;步骤四:所述秘钥申请分发管理模块将唯一标识发给秘钥矩阵运算存储模块,秘钥矩阵运算存储模块以唯一标识为输入通过hash散列算法得到n个小于n的整数值,本步骤的n值等于所述步骤二中的n值,实现不同的标识能得到不同的n个小于n的整数值组合;秘钥矩阵运算存储模块将得到的n个小于n的整数值作为nxn私钥矩阵的定位坐标,并从矩阵中取出相应的私钥,将取出的n个私钥采用ECC复合定理进行复合从而得出设备的私钥;步骤五:所述秘钥矩阵运算存储模块将复合得出的设备私钥发给秘钥申请分发管理模块,秘钥申请分发管理模块发送给设备,并将私钥状态同步给设备标识码管理模块;步骤六:通信设备通过秘钥申请分发管理模块下载公钥矩阵或在设备中预置公钥矩阵,所述通信设备的数量为多个,包括但不限于A设备、B设备、C设备和D设备;步骤七:所述步骤六中设备与设备之间在进行互联互通时,其中两个设备之间通信时均按如下进行验证,比如设备A通过从秘钥申请分发管理模块中申请得到的设备私钥进行数字签名,并将A的唯一标识发给设备B,设备B通过所述步骤四的同样算法计算得到A的公钥,并用公钥验证A的数字签名;步骤八:所述步骤一到步骤七的所有配置操作和过程管理的数据均记录的数据库中,通过与web管理页面模块连接后进行管理及查看。作为本专利技术的进一步改进,所述步骤二中带有加密芯片的硬件采用USBKey或加密机。作为本专利技术的进一步改进,所述步骤二中公钥表格是公开的,可通过秘钥申请分发管理模块1进行下载或者在开发过程中集成到所需要的软硬件中。作为本专利技术的进一步改进,所述步骤二或步骤四中的n值根据设备需要的秘钥数量进行对应设置,在同一个应用域中只能设定一次。由于上述技术方案的运用,本专利技术的技术方案带来的有益技术效果:本技术方案可快速获取对方公钥,免去了传统需对方发送证书或者从证书管理中心下载对方证书的繁琐流程,在保证安全的前提下也实现了设备间快速通信认证的有益技术效果;本技术方案在向设备分发私钥后,设备之间即可进行两两双向身份认证,而不需要再有中心的支持配合,达到离线实时认证的有益技术效果;本技术方案在通信对方可以通过己方唯一标识即可快速的计算出能验证己方的数字签名的公钥,达到了大大节约对方获取己方公钥所需时间和带宽的有益技术效果。附图说明附图1为本专利技术的整体结构流程示意图。图中:1.秘钥申请分发管理模块;2.标识码管理模块;3.秘钥矩阵运算存储模块;4.web管理页面;5.数据库;101.A设备;102.B设备;103.C设备;104.D设备。具体实施方式下面结合反应路线及具体实施例对本专利技术作进一步的详细说明。如图1所示,一种基于安全边缘计算的密钥管理通信方法,包括如下步骤:步骤一:首先,建立一个基于ECC复合定理,用于生成和分发管理边缘计算设备(以下简称设备)的私钥系统,所述私钥系统由四个本文档来自技高网...
【技术保护点】
1.一种基于安全边缘计算的密钥管理通信方法,其特征在于:包括如下步骤:/n步骤一:首先,建立一个基于ECC复合定理,用于生成和分发管理边缘计算设备(以下简称设备)的私钥系统,所述私钥系统由四个模块组成,包括秘钥申请分发管理模块(1)、标识码管理模块(2)、秘钥矩阵运算存储模块(3)、web管理页面(4)、数据库(5);/n步骤二:秘钥矩阵运算存储模块(3)由带有加密芯片的硬件组成,负责秘钥的初始化,运行时进行运算存储单元随机生成2的n次方个ECC公私钥对,将2的n次方个私钥安全保存到加密芯片中,并将2的n次方个私钥排列为一个n x n的矩阵,名称为私钥矩阵;将2的n次方个公钥返回给秘钥申请分发管理模块(1),同样排列为一个n x n的矩阵,名称为公钥矩阵;/n步骤三:对接入所有设备都写入全球唯一的硬件编码,既为设备唯一标识码,设备通过网络连接到秘钥申请分发管理模块(1)进行秘钥申请,设备将唯一标识码发给秘钥申请分发管理模块(1),秘钥申请分发管理模块(1)将唯一标识发给设备标识码管理模块(2)以跟踪记录当前设备标识的秘钥状态;/n步骤四:所述秘钥申请分发管理模块(1)将唯一标识发给秘钥矩阵运算存储模块(3),秘钥矩阵运算存储模块(3)以唯一标识为输入通过hash散列算法得到n个小于n的整数值,本步骤的n值等于所述步骤二中的n值,实现不同的标识能得到不同的n个小于n的整数值组合;秘钥矩阵运算存储模块(3)将得到的n个小于n的整数值作为n x n私钥矩阵的定位坐标,并从矩阵中取出相应的私钥,将取出的n个私钥采用ECC复合定理进行复合从而得出设备的私钥;/n步骤五:所述秘钥矩阵运算存储模块(3)将复合得出的设备私钥发给秘钥申请分发管理模块(1),秘钥申请分发管理模块(1)发送给设备,并将私钥状态同步给设备标识码管理模块(2);/n步骤六:通信设备通过秘钥申请分发管理模块(1)下载公钥矩阵或在设备中预置公钥矩阵,所述通信设备的数量为多个,包括但不限于A设备、B设备、C设备和D设备;/n步骤七:所述步骤六中设备与设备之间在进行互联互通时,其中两个设备之间通信时均按如下进行验证,比如设备A通过从秘钥申请分发管理模块(1)中申请得到的设备私钥进行数字签名,并将A的唯一标识发给设备B,设备B通过所述步骤四的同样算法计算得到A的公钥,并用公钥验证A的数字签名;/n步骤八:所述步骤一到步骤七的所有配置操作和过程管理的数据均记录的数据库(5)中,通过与web管理页面模块(4)连接后进行管理及查看。/n...
【技术特征摘要】
1.一种基于安全边缘计算的密钥管理通信方法,其特征在于:包括如下步骤:
步骤一:首先,建立一个基于ECC复合定理,用于生成和分发管理边缘计算设备(以下简称设备)的私钥系统,所述私钥系统由四个模块组成,包括秘钥申请分发管理模块(1)、标识码管理模块(2)、秘钥矩阵运算存储模块(3)、web管理页面(4)、数据库(5);
步骤二:秘钥矩阵运算存储模块(3)由带有加密芯片的硬件组成,负责秘钥的初始化,运行时进行运算存储单元随机生成2的n次方个ECC公私钥对,将2的n次方个私钥安全保存到加密芯片中,并将2的n次方个私钥排列为一个nxn的矩阵,名称为私钥矩阵;将2的n次方个公钥返回给秘钥申请分发管理模块(1),同样排列为一个nxn的矩阵,名称为公钥矩阵;
步骤三:对接入所有设备都写入全球唯一的硬件编码,既为设备唯一标识码,设备通过网络连接到秘钥申请分发管理模块(1)进行秘钥申请,设备将唯一标识码发给秘钥申请分发管理模块(1),秘钥申请分发管理模块(1)将唯一标识发给设备标识码管理模块(2)以跟踪记录当前设备标识的秘钥状态;
步骤四:所述秘钥申请分发管理模块(1)将唯一标识发给秘钥矩阵运算存储模块(3),秘钥矩阵运算存储模块(3)以唯一标识为输入通过hash散列算法得到n个小于n的整数值,本步骤的n值等于所述步骤二中的n值,实现不同的标识能得到不同的n个小于n的整数值组合;秘钥矩阵运算存储模块(3)将得到的n个小于n的整数值作为nxn私钥矩阵的定位坐标,并从矩阵中取出相应的私钥,将取出的n个私钥采用ECC复合定...
【专利技术属性】
技术研发人员:邹飞,黄殿辉,
申请(专利权)人:深圳前海智安信息科技有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。