[发明专利]一种基于无证书的链路保护方法

权利要求书

1.一种基于无证书的链路保护方法，其特征在于，包括：

终端设备在生产时预置终端公钥标识；

用户客户端与终端设备根据预置的终端公钥标识协商生成通讯主密钥，使用所述通讯主密钥进行数据通讯；

其中，根据所述预置的终端公钥标识协商生成通讯主密钥，具体包括如下子步骤：

用户客户端向终端设备发送获取终端公钥标识的指令，获取终端公钥标识，根据终端公钥标识计算终端公钥；用户客户端生成第三随机数，根据第三随机数计算生成第三部分公钥，将第三部分公钥发送至终端设备；

终端设备接收到第三部分公钥后，生成第四随机数，根据第四随机数和第三部分公钥计算生成第四部分公钥；终端设备对终端标识和终端公钥进行摘要运算，根据计算得到的第二摘要值、第四随机数和终端私钥计算生成第二部分私钥，使用第三部分公钥对第二部分私钥进行加密，将加密结果和第四部分公钥返回用户客户端；

用户客户端使用第三部分公钥对加密结果进行解密，得到第二部分私钥，根据第二部分私钥和第三随机数生成客户端私钥，并根据客户端私钥计算生成客户端公钥；用户客户端根据终端标识、第二部分私钥、终端公钥和客户端公钥生成通讯主密钥，并使用客户端私钥对第二摘要值进行签名，将签名结果发送至终端设备；

终端设备接收到签名结果后，计算客户端公钥，并根据生成的客户端公钥对签名结果进行验签，若验签通过，则根据终端标识、第二部分私钥、终端公钥和客户端公钥生成通讯主密钥，否则返回错误响应。

2.如权利要求1所述的基于无证书的链路保护方法，其特征在于，终端设备预置终端公钥标识，具体包括如下子步骤：

生成第一随机数，根据第一随机数计算得到第一部分公钥；

接收客户端生产程序根据第一部分公钥计算生成的终端公钥标识。

3.如权利要求2所述的基于无证书的链路保护方法，其特征在于，根据第一部分公钥计算生成的终端公钥标识，具体包括如下子步骤：

生成第二随机数，根据第二随机数和第一部分公钥，计算生成第二部分公钥；

根据终端标识、厂商标识、有效期和第二部分公钥拼接得到终端公钥标识。

4.如权利要求3所述的基于无证书的链路保护方法，其特征在于，终端设备还包括预置终端私钥，具体包括如下子步骤：

接收客户端生产程序根据第二部分公钥、终端标识和厂商私钥计算生成的第一部分私钥；

根据第一部分私钥和第一随机数计算生成终端私钥并存储。

5.如权利要求4所述的基于无证书的链路保护方法，其特征在于，终端设备还包括验证生成的终端私钥和终端公钥标识是否匹配，具体包括如下子步骤：

根据终端私钥生成终端公钥；

从终端公钥标识中解析出终端标识和第二部分公钥；

对终端标识和第二部分公钥进行摘要运算，生成摘要值，判断根据该摘要值、厂商公钥和第二部分公钥计算生成的数据与终端公钥是否相等，若相等，则验证终端私钥和终端公钥标识匹配。

6.如权利要求1所述的基于无证书的链路保护方法，其特征在于，根据获取到的终端公钥标识生成终端公钥，具体包括如下子步骤：

从终端公钥标识中解析出终端标识和第二部分公钥；

对终端标识和第二部分公钥进行摘要运算，生成摘要值，根据该摘要值、厂商公钥和第二部分公钥计算生成终端公钥。

7.如权利要求1所述的基于无证书的链路保护方法，其特征在于，终端设备生成通讯主密钥之前，还包括如下子步骤：

用户客户端使用客户端私钥对第二摘要值进行签名，得到签名结果，将签名结果发送至终端设备；

终端设备接收到签名结果后，用生成的客户端公钥对签名结果进行验签，若验签成功，则表示生成的客户端公私密钥对合法，计算生成通讯主密钥。