采用公钥保护可变机械认证密码的无线加密装置及方法

本发明涉及无线加密通信领域，具体涉及采用公钥保护可变机械认证密码的无线加密装置。

古典密码(受限制算法)基于算法的保密性，因此无法进行标准化，基于人员流动性，此密码需要频繁更新，可操作性非常差。现代密码算法公开，可以进行标准化，可以硬件化，产品化。安全性依赖于密钥空间的大小及密钥的安全性。

现在密码学主要以RSA为代表的非对称加密算法及以AES为代表的对称加密算法，通过非对称加密算法与对称加密算法相结合保证密钥的安全性。

非对称加密通常在加密和解密过程中使用两个非对称的密码，分别称为公钥和私钥。非对称密钥对具有两个特点：一是用其中一个密钥(公钥用于加密、私钥用于签名)加密信息后，只有另一个对应的密钥(私钥解密、公钥验签)才能解开。二是公钥可向其他人公开，私钥则保密，其他人无法通过该公钥推算出相应的私钥。

对称加密就是指，加密和解密使用同一个密钥的加密方式。发送方使用密钥将明文数据加密成密文，然后发送出去，接收方收到密文后，使用同一个密钥将密文解密成明文读取。由于对称加密的加密和解密使用的是同一个密钥，所以对称加密的安全性就不仅仅取决于加密算法本身的强度，更取决于密钥是否被安全的保管，因此加密者如何把密钥安全的传递到解密者手里，就成了对称加密面临的关键问题。

现行网络中通行的HTTPS技术通过引入CA权威授权机构这样一个大家共同认可的机构来保证密钥交换过程中的合法性。但是CA授权模式不适合工业现场的密钥交换，为每个请求数据的客户端签发CA证书并不现实，并且不易操作。

本发明的目的在于提供采用公钥保护可变机械认证密码的无线加密装置，以解决现有技术中工业现场的密钥交换不易实现的问题，实现采用公钥保护可变机械认证密码，最终通过对称加密算法进行通信的目的。

本发明通过下述技术方案实现：

采用公钥保护可变机械认证密码的无线加密装置，包括相互进行无线通信的无线加密通信装置、客户端；

所述无线加密通信装置包括数据接口区、认证密码设置端子、算法加密模块、处理计算模块；

所述数据接口区用于开放给其他设备进行写入操作；

所述认证密码设置端子用于通过机械方式设置认证密码；

所述算法加密模块通过硬件保存不可导出的私钥，还用于向客户端分发公钥、并对认证密码、传输内容进行加密和解密；

所述处理计算模块用于客户端的认证、各个模块调度、数据加密传输管理及通信进程管理；

所述客户端用于向无线加密通信装置发送“申请连接消息”，所述“申请连接消息”通过从无线加密通信装置获取的公钥进行加密；并在认证通过后，从无线加密装置获取加密信息并解密。

本发明提出了一种采用公钥保护可变机械认证密码的无线加密装置，采用公钥体系保证密钥交换过程中的密钥安全性，同时采用机械可变密码保证了认证过程中的合法性检查，通信过程则使用对称加密方法保障通信的效率。具体过程为无线加密通信装置上，通过算法加密模块内置了不可导出的私钥，私钥对应的公钥公布给需要与之进行通信的设备，即客户端，同时无线加密通信装置上设计了认证密码设置端子，即机械端子，用于设置客户端连接无线加密装置时的认证密码；当需要进行无线加密通信时，由获取公钥的客户端，将“认证密码”与“随机交换密码”通过公钥进行加密之后，将“申请连接消息”发给无线加密装置；无线加密装置收到消息后通过私钥解密后与本身设置的认证密码进行比对，认证成功之后，接收客户端传来的“随机交换密码”，并允许客户端建立连接，启动独占模式，只有认证密码被改变才允许新连接的申请。然后无线加密通信装置将“随机交换密码”通过私钥进行签名后发给客户端，客户端使用公钥对签过名的“随机交换密码”密文与实际的“随机交换密码”进行验签，若验签通过，无线加密通信装置与客户端通过双方皆认可的“随机交换密码”使用对称加密算法进行通信。

进一步的，所述无线加密通信装置与客户端之间通过无线通信模块进行通信。无线通信模块可采用市场上成熟的无线通信协议，比如WIFI、蓝牙、ZIGBEE等无线通信协议。

进一步的，所述算法加密模块为非对称算法加密芯片。非对称算法加密芯片通过硬件保存不可导出的私钥，用于加过密的认证密码的解密。

进一步的，所述非对称算法加密芯片为硬件加密芯片，可以是各种非对称加密算法的硬件实现，如RSA加密芯片。RSA加密芯片，其从硬件上实现RSA国际标准算法，RSA密钥对存储在芯片中，只有经过授权认证的用户才能获取RSA密钥对的操作权限，其中RSA密钥对要么在芯片内部产生，要么是用户通过密钥恢复的手段从外部输入的，其中RSA私钥部分在任何情况下都不会以明文形式输入或输出；同时为保护密钥池中RSA私钥的安全性，一般芯片中的RSA实现方案加入了防侧信道攻击的技术措施。

采用公钥保护可变机械认证密码的无线加密方法，包括以下步骤：

S1、无线加密通信装置将公钥Pbk分发给需要与之进行连接通信的客户端；

S2、通过认证密码设置端子设置无线加密通信装置的认证密码code，将无线加密装置上电，等待客户端的连接；

S3、客户端发送“申请连接消息”：通过获取的公钥pbk将“认证密码”code与“随机交换密钥”ek使用非对称算法加密后，附加在“申请连接消息”ConnectInfo内，发送给无线加密装置；设公钥加密的函数为f1，则：ConnectInfo＝f1(pbk,code,ek)；

S4、无线加密通信装置接收到“申请连接消息”后，通过算法加密模块进行解密得到ConnectInfoW；设私钥解密的函数为f2，则有如下：ConnectInfoW＝f2(Connectinfo,prk)；其中prk为私钥；

S5、算法加密模块从ConnectInfoW获取“待认证密码”，与步骤S2设置的“认证密码”进行对比，得到对比结果rsult；设获取“待认证密码”函数为f3，则有Result＝f3(ConnectInfoW)；

S6、如果“待认证密码”与“认证密码”code不一致，即Result≠code，则向客户端发送“认证失败”的信息；

如果“待认证密码”与“认证密码”code一致，即Result＝code，，则无线加密通信装置通过ConnectInfoW获取随机交换密钥ek，并通过私钥签名得到ekSigned，将ekSigned附加到“认证成功”的消息中发送给客户端；设获取随机交换密钥的函数为f4，使用私钥签名的函数为f5，则有ekSigned＝f5(f4(ConnectInfoW),prk)；

S7、客户端收到“认证成功”的消息后，使用无线加密通信装置的公钥对ekSigned与ek进行验签，设验签的函数为f6、验签结果为Result2，则有Result2＝f6(ekSigned,ek,pbk)；

S8、若Result2验签失败，则客户端拒绝该随机交换密钥ek，排查周边是否有伪造的无线加密通信装置，排除后从步骤S1重新开始；

若Result2验签成功，则无线加密通信装置与客户端建立加密通信连接，并使用当次的随机交换密钥ek通过对称加密算法进行通信。

进一步的，步骤S4中，解密得到ConnectInfoW后，将尝试认证次数count加1；若步骤S6中“待认证密码”与“认证密码”code不一致，且尝试认证次数count大于或等于3，则无线加密通信装置进入自锁状态，只能通过拨动认证密码设置端子的机械端子改变认证密码或重新上电才可以解锁，并允许客户端进行连接；若尝试认证次数小于3次，则向客户端发送“认证失败”的信息。

进一步的，步骤S6结束后，若客户端收到的是“认证失败”的信息，则重复步骤S3-S5，直到收到“认证成功”的消息后进入步骤S7。

进一步的，步骤S8中通过对称加密算法进行通信的方法为：

S9、客户端向无线加密装置发送“数据请求”，无线加密装置的处理计算模块从数据接口区读出数据，通过随机交换密钥ek使用对称加密算法加密后，将密文dataEncrypted发给客户端，设待传输的数据为data，对称加密算法的函数为f7，则有，dataEncrypted＝f7(ek,data)；

S10、客户端收到dataEncrypted，通过ek使用对称加密算法解密后得到真正的数据dataRaw，设解密的函数为f8，则有dataRaw＝f8(dataEncrypted,ek)。

本发明与现有技术相比，具有如下的优点和有益效果：

本发明采用公钥保护可变机械认证密码的无线加密装置及方法，可广泛应用于不适合使用有线进行数据采集的现场设备，通过本发明的无线加密通信装置及方法可以很方便地进行集成，并保障数据从采集设备到客户端无线传输过程中的身份认证及数据传输安全性。

此处所说明的附图用来提供对本发明实施例的进一步理解，构成本申请的一部分，并不构成对本发明实施例的限定。在附图中：

图1为本发明具体实施例中无线加密通信装置的结构示意图。

附图中标记及对应的零部件名称：

1-数据接口区，2-认证密码设置端子，3-算法加密模块，4-处理计算模块，5-无线通信模块。

为使本发明的目的、技术方案和优点更加清楚明白，下面结合实施例和附图，对本发明作进一步的详细说明，本发明的示意性实施方式及其说明仅用于解释本发明，并不作为对本发明的限定。

实施例1：

采用公钥保护可变机械认证密码的无线加密装置，包括无线加密通信装置、客户端两大部分。

其中，无线加密通信装置由以下六部分组成：

a、数据接口区，开放给其他设备进行写入操作，比如一个测量设备将获得的数据定时写入该数据区；

优选的，通过485协议进行开放，其他设备可通过485协议与装置进行通信，将采集的数据定时写入装置。

b、认证密码设置端子，由至少10个以上开关量端子组成，比如1、3端子向上，其余向下，则认证密码为二进制101；

本实施例中优选的由10个拨码开关组成，向上为1，向下为0，默认为0，如1、3端子向上，其余向下，则认证密码为二进制1010000000。认证密码设置：首先通过拨码开关设置认证密码，随后按下设置按键，处理计算芯片读取拨码开关的开关量，从而获得认证密码值。

c、算法加密模块，采用低功耗RSA/ECC算法加密芯片LKT4201N，通过硬件保存不可导出的私钥，用于加过密的认证密码的解密。LKT4201N从硬件上实现RSA国际标准算法，RSA密钥对存储在芯片中，只有经过授权认证的用户才能获取RSA密钥对的操作权限，其中RSA密钥对可在芯片内部产生，也可以是用户通过密钥恢复的手段从外部输入的，其中RSA私钥部分在任何情况下都不会以明文形式输入或输出；同时为保护密钥池中RSA私钥的安全性，LKT4201N加入了防侧信道攻击的技术措施，具有金属屏蔽防护层，自带了多种检测传感器，一旦芯片检测到非法探测，将启动内部的自毁功能，是全球最高安全等级智能卡芯片之一。

优选的，算法加密模块为非对称算法加密芯片，通过硬件保存不可导出的私钥，用于加过密的认证密码的解密。以RSA加密芯片为例，其从硬件上实现RSA国际标准算法，RSA密钥对存储在芯片中，只有经过授权认证的用户才能获取RSA密钥对的操作权限，其中RSA密钥对要么在芯片内部产生，要么是用户通过密钥恢复的手段从外部输入的，其中RSA私钥部分在任何情况下都不会以明文形式输入或输出；同时为保护密钥池中RSA私钥的安全性，一般芯片中的RSA实现方案加入了防侧信道攻击的技术措施。

d、处理计算模块，用于客户端的认证、各个模块调度、数据加密传输管理及会话等进程的管理；

优选的，处理计算模块采用STM32F429IGT6芯片，180M主频，外部扩展64MSDRAMIS42S16400J，通过JTAG下载程序，基于Keil平台编程，可使用java,c,c++等编程语言，用于客户端的认证、各个模块调度、数据加密传输管理及会话等进程的管理。

e、装置无线发射接收通信芯片，通常分为发射模块与接收模块，用于将数据转成无线信号通过发射模块发送出去，并通过接收模块接收其它发射模块发送的信号，该芯片可采用市场上成熟的无线通信协议，比如WIFI、蓝牙、ZIGBEE等无线通信协议。

优选的，装置无线通信模块采用CC2530，支持ZigBee协议，有效通信距离100m，用于将数据转成无线信号通过发射模块发送出去，并通过接收模块接收其它发射模块发送的信号客户端无线发射接收通信芯片同上。

根据上述对无线加密通信装置的定义：设定装置的公钥为pbk，私钥为prk，设置过的认证密码为code，随机交换密钥ek。

具体工作流程如下：

1、无线加密通信装置将公钥Pbk，分发给需要与之进行连接通信的客户端；

2、通过拨动认证密码设置端子改变认证密码code，将无线加密装置上电，等待客户端的连接

3、客户端发送“申请连接消息”，通过获取的公钥pbk将“认证密码”code与“随机交换密钥”ek使用RSA非对称算法加密后，附加在“申请连接消息”ConnectInfo，发送给无线加密装置。假定公钥加密的函数为f1，则有如下：ConnectInfo＝f1(pbk，code，ek).

4、无线加密通信装置接收到“申请连接消息”后，通过RSA加密芯片进行解密得到ConnectInfoW，并将尝试认证次数count加1；设私钥解密的函数为f2，则有如下：

ConnectInfoW＝f2(connectinfo，prk)；

5、从ConnectInfoW获取“待认证密码”与之前设置的“认证密码”进行对比，得到对比结果rsult，设获取“待认证密码”函数为f3，则有Result＝f3(ConnectInfoW)＝＝code；

6、如果“待认证密码”与“认证密码”code不一致，且尝试认证次数count大于等于3次，无线加密通信装置进入自锁状态，只能通过拨动认证密码设置端子改变认证密码或重新上电才可以解锁，并允许客户端进行连接；若尝试认证次数小于3次，向客户端发送重新发送“认证失败”的消息；

7、若一致，则无线加密通信装置通过ConnectInfoW获取随机交换密钥ek，并通过私钥签名得到ekSigned，将ekSigned附加到“认证成功”的消息中发送给客户端。设获取随机交换密钥的函数为f4，使用私钥签名的函数为f5，则有ekSigned＝f5(f4(ConnectInfoW)，prk)；

8、若客户端收到的“认证失败”的消息后，重复3-5直到收到“认证成功”的消息；

9、客户端收到“认证成功”的消息后，使用无线加密通信装置的公钥对ekSigned与ek进行验签，设验签的函数为f6，验签结果为Result2，则有Result2＝f6(ekSigned，ek，pbk)；

10、若Result2验签失败，则客户端拒绝该随机交换密钥ek，排查周边是否有伪造的无线加密通信装置，排除后从步骤1重新开始。

11、若Result2验签成功，则无线加密通信装置与客户端建立加密通信连接，并使用当次的随机交换密钥ek通过对称加密算法进行通信。

12、客户端向无线加密装置发送“数据请求”，无线加密装置处理计算芯片从数据接口区读出数据，通过随机交换密钥ek使用对称加密算法加密后，将密文dataEncrypted发给客户端，设待传输的数据为data，对称加密算法的函数为f7，则有，dataEncrypted＝f7(ek，data)；

13、客户端收到dataEncrypted通过ek使用对称加密算法解密后得到真正的数据dataRaw后进行相应的计算处理，设解密的函数为f8，则有dataRaw＝f8(dataEncrypted，ek)。

本实施例采用了公钥体系保证了认证密码、随机交换密码在无线通信交换过程中的保密性，采用可变的机械式端子设置认证密码保证了客户端的合法性。本实施例可广泛应用于不适合使用有线进行数据采集的现场设备，通过本实施例的无线加密通信装置可以很方便地进行集成，并保障数据从采集设备到客户端无线传输过程中的身份认证及数据传输安全性。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。