本發明涉及通信領域，特別涉及一種通信鏈路保護方法及裝置，該裝置包括：設備端和調用端，設備端包括：第一生成模塊、第一發送模塊、第一接收模塊、第二橢圓曲線點生成模塊、第二鏈路加密密鑰生成模塊、第二校驗值生成模塊、第一判斷模塊、第一結束模塊以及第三校驗值生成模塊；調用端包括：第二接收模塊、第二生成模塊、第一橢圓曲線點生成模塊、第一鏈路加密密鑰生成模塊、第一校驗值生成模塊、第四校驗值生成模塊、第二判斷模塊、第二結束模塊以及第二發送模塊；該裝置在鏈路加密密鑰協商過程中參與了調用端的因子，提高了通信的安全性。

技術領域

本發明涉及通信領域，特別涉及一種通信鏈路保護方法及裝置。

背景技術

目前通信鏈路保護的方法主要采用數字信封的方式，即設備端預置RSA私鑰，調用端預置RSA公鑰，設備端生成隨機數作為對稱密鑰通過RSA私鑰加密，調用端使用公鑰解密后進行后續對稱密鑰通信。此種方式過于簡單，沒有調用端的因子參與，存在一定的安全風險。

發明內容

本發明的目的是為了克服現有技術的缺陷，提出一種通信鏈路保護方法及裝置。

一種通信鏈路保護方法，包括：

步驟S1、設備端產生設備端臨時協商私鑰和設備端臨時協商公鑰，并向調用端發送設備端臨時協商公鑰和設備端公鑰；

步驟S2、調用端產生調用端臨時協商私鑰和調用端臨時協商公鑰；將調用端臨時協商公鑰的橫坐標值和設備端臨時協商公鑰的橫坐標值分別進行第一預設運算得到第一數據和第二數據，根據第一數據、調用端私鑰和調用端臨時協商私鑰進行第二預設運算得到第三數據，根據第二數據、第三數據、設備端公鑰和設備端臨時協商公鑰進行第三預設運算得到第一橢圓曲線點，根據第一橢圓曲線點、設備端雜湊值和調用端雜湊值通過密鑰派生算法生成第一鏈路加密密鑰；

步驟S3、調用端根據第一預設值、第一橢圓曲線點、調用端雜湊值、設備端雜湊值、設備端臨時協商公鑰以及調用端臨時協商公鑰進行哈希運算得到第一校驗值；并將調用端臨時協商公鑰、第一校驗值和調用端公鑰發送給設備端；

步驟S4、設備端將調用端臨時協商公鑰的橫坐標值和設備端臨時協商公鑰的橫坐標值分別進行第一預設運算得到第四數據和第五數據，根據第五數據、設備端私鑰和設備端臨時協商私鑰進行第二預設運算得到第六數據，根據第四數據、第六數據、調用端公鑰和調用端臨時協商公鑰進行第三預設運算得到第二橢圓曲線點，根據第二橢圓曲線點、設備端雜湊值和調用端雜湊值通過密鑰派生算法生成第二鏈路加密密鑰；

步驟S5、設備端根據第一預設值、第二橢圓曲線點、設備端雜湊值、調用端雜湊值、設備端臨時協商公鑰以及調用端臨時協商公鑰進行哈希運算得到第二校驗值，并判斷第一校驗值和第二校驗值是否匹配，是則執行步驟S6，否則設備端協商失敗，結束；

步驟S6、設備端根據第二預設值、第二橢圓曲線點、設備端雜湊值、調用端雜湊值、設備端臨時協商公鑰以及調用端臨時協商公鑰進行哈希運算得到第三校驗值，并將第三校驗值發送給調用端；

步驟S7、調用端判斷接收到的第三校驗值是否與第四校驗值匹配，是則向設備端發送兩路加密密鑰協商成功信息，否則調用端協商失敗，結束；

該方法中，步驟S3之后，步驟S7之前還包括：調用端根據第二預設值、第一橢圓曲線點、設備端雜湊值、調用端雜湊值、設備端臨時協商公鑰以及調用端臨時協商公鑰進行哈希運算得到第四校驗值。

一種通信鏈路保護裝置，包括：設備端和調用端；

設備端包括：

第一生成模塊，用于產生設備端臨時協商私鑰和設備端臨時協商公鑰；

第一發送模塊，用于將設備端臨時協商公鑰和設備端公鑰發送給調用端；