[发明专利]一种通信链路保护方法及装置

说明书

本发明涉及通信领域，特别涉及一种通信链路保护方法及装置，该装置包括：设备端和调用端，设备端包括：第一生成模块、第一发送模块、第一接收模块、第二椭圆曲线点生成模块、第二链路加密密钥生成模块、第二校验值生成模块、第一判断模块、第一结束模块以及第三校验值生成模块；调用端包括：第二接收模块、第二生成模块、第一椭圆曲线点生成模块、第一链路加密密钥生成模块、第一校验值生成模块、第四校验值生成模块、第二判断模块、第二结束模块以及第二发送模块；该装置在链路加密密钥协商过程中参与了调用端的因子，提高了通信的安全性。

技术领域

本发明涉及通信领域，特别涉及一种通信链路保护方法及装置。

背景技术

目前通信链路保护的方法主要采用数字信封的方式，即设备端预置RSA私钥，调用端预置RSA公钥，设备端生成随机数作为对称密钥通过RSA私钥加密，调用端使用公钥解密后进行后续对称密钥通信。此种方式过于简单，没有调用端的因子参与，存在一定的安全风险。

发明内容

本发明的目的是为了克服现有技术的缺陷，提出一种通信链路保护方法及装置。

一种通信链路保护方法，包括：

步骤S1、设备端产生设备端临时协商私钥和设备端临时协商公钥，并向调用端发送设备端临时协商公钥和设备端公钥；

步骤S2、调用端产生调用端临时协商私钥和调用端临时协商公钥；将调用端临时协商公钥的横坐标值和设备端临时协商公钥的横坐标值分别进行第一预设运算得到第一数据和第二数据，根据第一数据、调用端私钥和调用端临时协商私钥进行第二预设运算得到第三数据，根据第二数据、第三数据、设备端公钥和设备端临时协商公钥进行第三预设运算得到第一椭圆曲线点，根据第一椭圆曲线点、设备端杂凑值和调用端杂凑值通过密钥派生算法生成第一链路加密密钥；

步骤S3、调用端根据第一预设值、第一椭圆曲线点、调用端杂凑值、设备端杂凑值、设备端临时协商公钥以及调用端临时协商公钥进行哈希运算得到第一校验值；并将调用端临时协商公钥、第一校验值和调用端公钥发送给设备端；

步骤S4、设备端将调用端临时协商公钥的横坐标值和设备端临时协商公钥的横坐标值分别进行第一预设运算得到第四数据和第五数据，根据第五数据、设备端私钥和设备端临时协商私钥进行第二预设运算得到第六数据，根据第四数据、第六数据、调用端公钥和调用端临时协商公钥进行第三预设运算得到第二椭圆曲线点，根据第二椭圆曲线点、设备端杂凑值和调用端杂凑值通过密钥派生算法生成第二链路加密密钥；

步骤S5、设备端根据第一预设值、第二椭圆曲线点、设备端杂凑值、调用端杂凑值、设备端临时协商公钥以及调用端临时协商公钥进行哈希运算得到第二校验值，并判断第一校验值和第二校验值是否匹配，是则执行步骤S6，否则设备端协商失败，结束；

步骤S6、设备端根据第二预设值、第二椭圆曲线点、设备端杂凑值、调用端杂凑值、设备端临时协商公钥以及调用端临时协商公钥进行哈希运算得到第三校验值，并将第三校验值发送给调用端；

步骤S7、调用端判断接收到的第三校验值是否与第四校验值匹配，是则向设备端发送两路加密密钥协商成功信息，否则调用端协商失败，结束；

该方法中，步骤S3之后，步骤S7之前还包括：调用端根据第二预设值、第一椭圆曲线点、设备端杂凑值、调用端杂凑值、设备端临时协商公钥以及调用端临时协商公钥进行哈希运算得到第四校验值。

一种通信链路保护装置，包括：设备端和调用端；

设备端包括：

第一生成模块，用于产生设备端临时协商私钥和设备端临时协商公钥；

第一发送模块，用于将设备端临时协商公钥和设备端公钥发送给调用端；