[发明专利]智能终端与服务端建立安全通道的方法

说明书

本发明提供一种智能终端与服务端建立安全通道的方法，属于通信安全技术领域。所述方法包括：智能终端与服务端进行链路会话协商生成链路会话密钥；利用所述链路会话密钥对智能终端与服务端的认证数据进行加密/解密，在所述智能终端与所述服务端之间建立多级别的安全通道。本发明在安全通道建立之前进行链路会话协商生成链路会话密钥，在安全通道建立过程中通过链路会话密钥对服务端与智能终端的双向认证数据进行加密，提高智能终端与服务端之间数据交互的安全性。

技术领域

本发明涉及通信安全技术领域，具体地涉及一种智能终端与服务端建立安全通道的方法。

背景技术

在用电信息化采集、配电自动化相关领域，例如采集器、集中器、用电终端、配电终端等终端设备逐渐实现高度集成智能化。终端智能化提升了系统运行的便利性，同时也引入更多的安全隐患。在主站(服务端)与终端的通信过程中，终端到主站系统的上行数据以及主站系统到终端的下行命令都有可能被第三方窃取甚至篡改，从而引发信息泄露，严重威胁系统的正常运行。

目前，智能终端与服务端的安全通信方法主要采用加密传输的方式，其中一种，例如智能终端与服务端通过链路会话密钥协商生成会话密钥，利用会话密钥加密数据，但会话密钥通常是对称密钥，密钥的管理和分发非常困难，一旦密钥泄露或被窃取，将面临数据泄露、通信内容被模拟篡改等风险；另一种，例如在智能终端和服务端配置安全通信模块，通过两端的安全通信模块实现通信数据的加密和解密，但安全通信模块的密钥固定不变或者随机性不高，没有严格的认证机制，密码容易被破解或被篡改，安全级别不高。

发明内容

本发明的目的是提供一种智能终端与服务端建立安全通道的方法，以提高智能终端与服务端之间通信的安全性。

为了实现上述目的，本发明提供一种智能终端与服务端建立安全通道的方法，所述方法包括：

智能终端与服务端进行链路会话协商生成链路会话密钥；

利用所述链路会话密钥对智能终端与服务端的认证数据进行加密/解密，在所述智能终端与所述服务端之间建立多级别的安全通道。

进一步地，所述在所述智能终端与所述服务端之间建立多级别的安全通道，包括：

在所述智能终端与所述服务端之间建立基于对称算法或非对称算法的多级别的安全通道。

进一步地，所述在所述智能终端与所述服务端之间建立基于对称算法的多级别的安全通道，包括：

所述服务端生成加密会话密钥和MAC会话密钥，采用SM1算法，利用初始化密钥加密所述加密会话密钥、所述MAC会话密钥以及安全级别数据后组成初始化数据包，利用所述链路会话密钥对所述初始化数据包进行加密得到初始化加密数据，将所述初始化加密数据发送至所述智能终端；

所述智能终端利用所述链路会话密钥解密所述服务端发送的所述初始化加密数据得到所述初始化数据包，利用初始化密钥解密所述初始化数据包得到所述加密会话密钥、所述MAC会话密钥以及所述安全级别数据；确定所述加密会话密钥、所述MAC会话密钥以及所述安全级别数据的格式是否正确，若正确，则确定初始化协商成功，将初始化协商结果返回至所述服务端；

所述服务端生成随机数组成APDU命令，利用所述链路会话密钥对所述随机数组成的APDU命令进行加密得到随机数加密数据，将所述随机数加密数据发送至所述智能终端；

所述智能终端利用所述链路会话密钥解密所述服务端发送的所述随机数加密数据得到所述随机数，利用加密密钥初始值加密所述随机数、所述加密会话密钥以及所述MAC会话密钥得到第一认证加密数据，并将所述第一认证加密数据返回至所述服务端；