[发明专利]密钥部署、数据通信、密钥交换、安全加固方法及系统

说明书

本发明提供了一种密钥部署、数据通信、密钥交换、安全加固方法及系统，其中，该密钥部署方法包括：由终端设备生成终端专属公钥和相应的终端专属私钥；由终端设备根据其终端部署公钥加密终端专属公钥和终端设备识别号，得到注册信息密文；由终端设备向其安全服务器网络地址对应的安全服务器发送注册信息密文；由安全服务器接收注册信息密文并利用其终端部署私钥解密注册信息密文；由安全服务器将注册信息明文中和安全服务器中的终端设备识别号进行比对，若一致，则登记终端专属公钥；由安全服务器利用其安全服务器私钥对注册信息签发证书，并将安全服务器公钥和证书返回至终端设备。通过上述方案能够为设备密钥的预置提供可信的密钥保护措施。

技术领域

本发明涉及数据安全与信息安全领域技术领域，尤其涉及一种密钥部署、数据通信、密钥交换、安全加固方法及系统。

背景技术

随着信息时代快速发展，除了传统的电脑、个人手持设备需要接入互联网，还有大量的物联网设备需要通过有线网络或是无线网络，并经由出口路由器接入互联网，如用于工业互联网的智能电表、智能水表，用于智能家居控制的空调遥控、WiFi开关、温湿度光照传感器等。

由于开发设计或是软件漏洞，很多传统联网设备上的应用软件或是终端APP（应用程序）的网络服务并没有进行加密，而且设备性能有所限，所以联网设备的很多数据都是以明文的方式进行网络传输。随着联网设备的不断增多，也会有越来越多的联网设备面临着软件漏洞、恶意软件等攻击。

针对联网设备的数据暴露风险与网络攻击风险，有必要进行数据通信的安全加密和网络日志审计，以保证应用终端的数据安全与信息安全。

为保证网络中的数据传输安全，通常可在链路层或是应用层对数据进行加密，应用层加密需要网络应用开发过程应用加密方案，对于已经部署的设备升级更新加密方案涉及开发和更新的成本和周期。在链路层则可通过新增链路层加密设备或是方案，对于网络应用则完全无感。通常来说，通过虚拟私有网络 (Virtual Private Network，VPN)可实现链路层数据点对点加密，而建立VPN除了需要部署私有网络设备，还会发生设备网络环境变化，需要对网络环境和网络路由进行重新配置，部署运维成本较高。

另外，可以通过网络加密终端设备对联网设备之间的数据进行加密。但是，由于网络加密终端设备通常需要委托原始设备生产厂商进行设计与生产制造，并在生产制造完成后设备应完成预置密钥，所以很多设备如物联网设备上很难进行固件更新或是可靠的安全防护。

为保证设备内置密钥的安全可靠，设备密钥的预置应当有可信的密钥保护措施。

发明内容

有鉴于此，本发明提供了一种密钥部署、数据通信、密钥交换、安全加固方法及系统，以为设备密钥的预置提供可信的密钥保护措施。

为了达到上述目的，本发明采用以下方案实现：

根据本发明实施例的第一方面，提供了一种网络安全加固系统的初始密钥部署方法，网络安全加固系统包括网络安全服务器和终端设备，所述初始密钥部署方法包括：

由终端设备通过其中内置的密钥生成算法生成终端专属公钥和相应的终端专属私钥；其中，终端设备中预置有包括安全服务器识别号、安全服务器IP地址、安全服务器端口号、终端设备识别号及终端部署公钥的终端预置信息，终端预置信息不包括对应于终端部署公钥的终端部署私钥；

由终端设备利用其中预置的终端部署公钥加密终端专属公钥和终端设备中预置的终端设备识别号，得到注册信息密文；其中，终端专属公钥和终端专属私钥的密钥对是利用终端设备内置硬件生成；

由终端设备向其中预置的安全服务器IP地址和安全服务器端口号对应的安全服务器发送注册信息密文，以申请证书；