本發(fā)明涉及智慧交通，具體涉及一種面向obu自助發(fā)行柜的身份認(rèn)證和密鑰協(xié)商方法和裝置。

背景技術(shù)：

1、obu(on?board?unit，車載單元)自助發(fā)行柜支持用戶現(xiàn)場領(lǐng)取卡簽，節(jié)省分卡、寄送等環(huán)節(jié)，有利于etc發(fā)行業(yè)務(wù)的開展。但在無人監(jiān)管的情況下，發(fā)行柜設(shè)備注冊、卡簽信息寫入以及用戶掃碼取貨、金額圈存、交易記錄查詢等操作環(huán)節(jié)存在注冊信息泄露、卡簽信息惡意篡改等安全風(fēng)險(xiǎn)。為保障系統(tǒng)的正常運(yùn)行，維護(hù)用戶財(cái)產(chǎn)安全與obu發(fā)行單位收益，急需設(shè)計(jì)一種方式實(shí)現(xiàn)對obu自助發(fā)行柜的認(rèn)證和監(jiān)管。

技術(shù)實(shí)現(xiàn)思路

1、鑒于上述問題，提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的面向obu自助發(fā)行柜的身份認(rèn)證和密鑰協(xié)商方法和裝置。

2、根據(jù)本發(fā)明的一個(gè)方面，提供了一種面向obu自助發(fā)行柜的身份認(rèn)證和密鑰協(xié)商方法，所述方法包括：

3、所述發(fā)行柜管理平臺向數(shù)字證書認(rèn)證機(jī)構(gòu)申請數(shù)字證書，得到所述數(shù)字證書后將所述數(shù)字證書和所述發(fā)行柜管理平臺的第一公鑰發(fā)送給所述obu自助發(fā)行柜；

4、所述obu自助發(fā)行柜基于所述第一公鑰加密原始請求數(shù)據(jù)，得到請求數(shù)據(jù)密文，并將所述請求數(shù)據(jù)密文發(fā)送給所述發(fā)行柜管理平臺；

5、所述發(fā)行柜管理平臺使用所述第一公鑰對應(yīng)的第一私鑰解密所述請求數(shù)據(jù)密文，得到所述原始請求數(shù)據(jù)；

6、所述obu自助發(fā)行柜基于國密算法生成非對稱的第二公鑰和第二私鑰，所述發(fā)行柜管理平臺基于國密算法生成非對稱的第三公鑰和第三私鑰，并通過交換協(xié)商的方式分別生成包括雙方隨機(jī)參數(shù)、加密算法及其協(xié)議版本的對稱密鑰；

7、所述發(fā)行柜管理平臺使用所述對稱密鑰對所述原始請求數(shù)據(jù)進(jìn)行加密得到響應(yīng)密文信息，并將所述響應(yīng)密文信息發(fā)送給所述obu自助發(fā)行柜；

8、所述obu自助發(fā)行柜基于所述對稱密鑰對所述響應(yīng)密文信息進(jìn)行解密，得到并確認(rèn)所述原始請求數(shù)據(jù)。

9、在一些實(shí)施方式中，所述發(fā)行柜管理平臺向數(shù)字證書認(rèn)證機(jī)構(gòu)申請數(shù)字證書，得到所述數(shù)字證書后將所述數(shù)字證書和所述發(fā)行柜管理平臺的第一公鑰發(fā)送給所述obu自助發(fā)行柜具體包括：

10、所述發(fā)行柜管理平臺基于國密算法生成非對稱的第一公鑰和第一私鑰；

11、所述發(fā)行柜管理平臺封裝所述第一公鑰和發(fā)行柜管理平臺信息，向數(shù)字證書認(rèn)證機(jī)構(gòu)申請數(shù)字證書；

12、所述發(fā)行柜管理平臺得到所述數(shù)字證書認(rèn)證機(jī)構(gòu)下發(fā)的數(shù)字證書，并將所述數(shù)字證書和所述第一公鑰發(fā)送給所述obu自助發(fā)行柜。

13、在一些實(shí)施方式中，所述發(fā)行柜管理平臺向數(shù)字證書認(rèn)證機(jī)構(gòu)申請數(shù)字證書，得到所述數(shù)字證書后將所述數(shù)字證書和所述發(fā)行柜管理平臺的第一公鑰發(fā)送給所述obu自助發(fā)行柜進(jìn)一步包括：

14、所述obu自助發(fā)行柜內(nèi)置有所述數(shù)字證書的根證書公鑰；

15、所述obu自助發(fā)行柜得到所述數(shù)字證書，使用所述根證書公鑰解密所述數(shù)字證書，并得到所述發(fā)行柜管理平臺的第一公鑰。

16、在一些實(shí)施方式中，通過交換協(xié)商的方式分別生成包括雙方隨機(jī)參數(shù)、加密算法及其協(xié)議版本的對稱密鑰具體包括：

17、所述obu自助發(fā)行柜和所述發(fā)行柜管理平臺交換公鑰，其中，所述obu自助發(fā)行柜得到所述第三公鑰，所述發(fā)行柜管理平臺得到第二公鑰；

18、所述obu自助發(fā)行柜生成第一隨機(jī)數(shù)，并使用所述第三公鑰加密所述第一隨機(jī)數(shù)，得到加密后的第一隨機(jī)數(shù)，并將所述加密后的第一隨機(jī)數(shù)、所述obu自助發(fā)行柜能夠支持的加密算法和協(xié)議版本發(fā)送給所述發(fā)行柜管理平臺；

19、所述發(fā)行柜管理平臺生成第二隨機(jī)數(shù)，并使用第二公鑰加密所述第二隨機(jī)數(shù)，得到加密后的第二隨機(jī)數(shù)，并將所述加密后的第二隨機(jī)數(shù)發(fā)送給所述obu自助發(fā)行柜。

20、在一些實(shí)施方式中，通過交換協(xié)商的方式分別生成包括雙方隨機(jī)參數(shù)、加密算法及其協(xié)議版本的對稱密鑰進(jìn)一步包括：

21、所述obu自助發(fā)行柜得到所述加密后的第二隨機(jī)數(shù)后，使用第二私鑰解密得到第二隨機(jī)數(shù)；

22、所述發(fā)行柜管理平臺得到所述加密后的第一隨機(jī)數(shù)、所述加密算法和協(xié)議版本后，使用第三私鑰解密得到所述第一隨機(jī)數(shù)，并選擇一組加密算法和協(xié)議版本待用；

23、所述發(fā)行柜管理平臺將待用的加密算法和協(xié)議版本組發(fā)送給所述obu自助發(fā)行柜；

24、所述obu自助發(fā)行柜和所述發(fā)行柜管理平臺分別基于所述第一隨機(jī)數(shù)、第二隨機(jī)數(shù)以及待用的加密算法和協(xié)議版本組生成所述對稱密鑰。

25、在一些實(shí)施方式中，所述方法還包括：

26、所述發(fā)行柜管理平臺對所述響應(yīng)密文信息使用第三私鑰進(jìn)行簽名，并使用第二公鑰進(jìn)行加密，得到附屬信息，并將所述附屬信息和所述響應(yīng)信息一起發(fā)送給所述oub自助發(fā)送柜。

27、在一些實(shí)施方式中，所述方法進(jìn)一步包括：

28、所述oub自助發(fā)行柜基于第二私鑰、第三公鑰和對稱密鑰對所述附屬信息進(jìn)行解密得到所述原始請求數(shù)據(jù)，并基于簽名對所述原始請求數(shù)據(jù)的完整性和來源進(jìn)行驗(yàn)證和確認(rèn)。

29、根據(jù)本發(fā)明的另一方面，提供了一種面向obu自助發(fā)行柜的身份認(rèn)證和密鑰協(xié)商裝置，所述裝置包括：

30、證書獲取模塊，適于所述發(fā)行柜管理平臺向數(shù)字證書認(rèn)證機(jī)構(gòu)申請數(shù)字證書，得到所述數(shù)字證書后將所述數(shù)字證書和所述發(fā)行柜管理平臺的第一公鑰發(fā)送給所述obu自助發(fā)行柜；

31、請求發(fā)送模塊，適于所述obu自助發(fā)行柜基于所述第一公鑰加密原始請求數(shù)據(jù)，得到請求數(shù)據(jù)密文，并將所述請求數(shù)據(jù)密文發(fā)送給所述發(fā)行柜管理平臺；

32、請求接收模塊，適于所述發(fā)行柜管理平臺使用所述第一公鑰對應(yīng)的第一私鑰解密所述請求數(shù)據(jù)密文，得到所述原始請求數(shù)據(jù)；

33、密鑰生成模塊，適于所述obu自助發(fā)行柜基于國密算法生成非對稱的第二公鑰和第二私鑰，所述發(fā)行柜管理平臺基于國密算法生成非對稱的第三公鑰和第三私鑰，并通過交換協(xié)商的方式分別生成包括雙方隨機(jī)參數(shù)、加密算法及其協(xié)議版本的對稱密鑰；

34、響應(yīng)發(fā)送模塊，適于所述發(fā)行柜管理平臺使用所述對稱密鑰對所述原始請求數(shù)據(jù)進(jìn)行加密得到響應(yīng)密文信息，并將所述響應(yīng)密文信息發(fā)送給所述obu自助發(fā)行柜；

35、響應(yīng)確認(rèn)模塊，適于所述obu自助發(fā)行柜基于所述對稱密鑰對所述響應(yīng)密文信息進(jìn)行解密，得到并確認(rèn)所述原始請求數(shù)據(jù)。

36、根據(jù)本發(fā)明的又一方面，提供了一種電子設(shè)備，包括：處理器、存儲器、通信接口和通信總線，所述處理器、所述存儲器和所述通信接口通過所述通信總線完成相互間的通信；

37、所述存儲器用于存放至少一可執(zhí)行指令，所述可執(zhí)行指令使所述處理器執(zhí)行上述面向obu自助發(fā)行柜的身份認(rèn)證和密鑰協(xié)商方法對應(yīng)的操作。

38、根據(jù)本發(fā)明的再一方面，提供了一種計(jì)算機(jī)可讀存儲介質(zhì)，所述存儲介質(zhì)中存儲有至少一可執(zhí)行指令，所述可執(zhí)行指令使處理器執(zhí)行如上述面向obu自助發(fā)行柜的身份認(rèn)證和密鑰協(xié)商方法對應(yīng)的操作。

39、根據(jù)本發(fā)明的面向obu自助發(fā)行柜的身份認(rèn)證和密鑰協(xié)商方案，旨在利用數(shù)字證書認(rèn)證機(jī)制，解決obu自助發(fā)行柜管理過程中存在的發(fā)行柜注冊信息泄露、卡簽信息惡意篡改、交易信息泄露問題，通過密鑰對加解密實(shí)現(xiàn)發(fā)行柜obu自助發(fā)行柜與發(fā)行柜管理平臺的身份認(rèn)證、加密通信，保障設(shè)備注冊、自助取貨、obu圈存、交易查詢等業(yè)務(wù)的開展。

40、上述說明僅是本發(fā)明技術(shù)方案的概述，為了能夠更清楚了解本發(fā)明的技術(shù)手段，而可依照說明書的內(nèi)容予以實(shí)施，并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點(diǎn)能夠更明顯易懂，以下特舉本發(fā)明的具體實(shí)施方式。