一種電子海圖的數(shù)據(jù)保護方法
【專利摘要】本發(fā)明涉及一種電子海圖的數(shù)據(jù)保護方法�����,策略管理者SA向設備制造商OEM簽發(fā)OEM數(shù)字證書和頒發(fā)身份標識M_ID��;設備制造商OEM和數(shù)據(jù)服務商DS之間的建立連接����,數(shù)據(jù)服務方DS獲得設備制造商OEM的公鑰M_PKEY,獲得數(shù)據(jù)服務方DS的公鑰;設備制造商OEM為數(shù)據(jù)客戶端頒發(fā)硬件標示符HW_ID����,并制作用戶許可證;數(shù)據(jù)客戶端將用戶許可證通過數(shù)據(jù)服務方DS的公鑰進行加密后遞交數(shù)據(jù)服務方DS��;數(shù)據(jù)服務方DS利用自己的私鑰解密用戶許可證��,根據(jù)獲得的M_ID查找對應的設備制造商OEM的公鑰M_PKEY��,用公鑰M_PKEY解密用戶許可證中硬件標識符HW_ID部分�,從而得到數(shù)據(jù)客戶端的硬件標識符HW_ID�����,通過硬件標識符HW_ID加密單元密鑰,為數(shù)據(jù)客戶端生成單元許可����,從而向數(shù)據(jù)客戶端提供電子海圖數(shù)據(jù)服務。
【專利說明】一種電子海圖的數(shù)據(jù)保護方法
【技術領域】
[0001 ] 本發(fā)明涉及一種電子海圖的數(shù)據(jù)保護方法��。
【背景技術】
[0002]隨著航海技術現(xiàn)代化程度的日益提高和計算機技術的逐漸成熟�����,ECDIS在航海中得到了廣泛應用����。由于ENC(電子海圖)數(shù)據(jù)是ECDIS平臺顯示的基礎,所以確保ENC數(shù)據(jù)的時效性以及安全性成為ECDIS在應用過程中的首要問題����。數(shù)據(jù)服務方為了確保發(fā)送給用戶數(shù)據(jù)的安全性和完整性,都采取了相應的保護措施���,但由于這些措施各不相同���,降低了ENC數(shù)據(jù)的更新速度,影響了船舶航行安全��,為了解決這個問題,國際海道測量組織(IHO)制定了保護ENC數(shù)據(jù)的國際標準即S63數(shù)據(jù)保護標準���,該標準是基于密碼技術的數(shù)據(jù)安全服務����。數(shù)據(jù)安全服務是一系列的機制�,過程以及其他的控制措施,它們的實施有助于減少有關數(shù)據(jù)丟失或損害的風險�����。該標準不僅能保護ENC數(shù)據(jù)生產(chǎn)商的利益和合法權益��,而且能夠大大的提高航海安全�����。
[0003]IHO S63數(shù)據(jù)保護策略規(guī)定了各方參與者在對ENC基礎圖元和更新圖元進行保護的時候�����,應具備的職責和功能�����,從保密性�、完整性、可認證性和不可否認性四個方面�����,提高了對于ENC的傳播以及使用的安全性���。整個S63數(shù)據(jù)保護方案的組成和工作流程���,如圖1所
/Jn ο
[0004]方案的流程分析:
[0005](I)策略管理者(Schema Administrator, SA)由 IHO 的 IHB(Internat1nalHydrographic Bureau,國際海道測量局)擔任,是整個保護策略的最高層權威機構�����,負責整個保護策略的維護和協(xié)調��,認證并為所有的數(shù)據(jù)服務方頒發(fā)證書����,認證并為所有的設備制造商頒發(fā)標識(M_ID)和密鑰(M_KEY)。
[0006](2)數(shù)據(jù)服務方(Data Server, DS)由各國或地方的海事局擔任����,由SA認證并持有SA頒發(fā)的證書�,負責海道測量和ENC制作工作�����,數(shù)據(jù)服務方從數(shù)據(jù)客戶方獲得用戶許可����,解密獲取HW_ID用來加密單元密鑰為數(shù)據(jù)客戶方生成單位許可,向數(shù)據(jù)客戶提供ENC服務�����。
[0007](3)設備制造商(Original Equipment Manufacturer, OEM)是 ENC 系統(tǒng)設備的生成廠商���,由SA認證���,管理員SA提供給各制造商唯一的制造商密鑰M_KEY和標識符M_ID,同時制造商必須在其軟件里安裝唯一的硬件標識符HW_ID來唯一識別出每個最終用戶�����,即在軟件系統(tǒng)中提供安全機制�,向數(shù)據(jù)客戶提供ENC系統(tǒng)設備和應用許可。
[0008](4)數(shù)據(jù)客戶方(Data Client, DC)是ECS或ECDIS的使用方���,向OEM購買ENC系統(tǒng)設備和應用許可證書����,通過應用許可向DS申請ENC服務�����。
[0009]從上述的流程分析中可知��,M_ID用于公開標識設備制造商OEM的身份�����,M_KEY用于加密硬件標示符HW_ID并在解密時有標識身份的作用�����,M_ID和M_KEY均由管理員SA創(chuàng)建并記錄���?��?v觀整個保護方案,管理員SA,數(shù)據(jù)服務方DS�,設備制造商0ΕΜ���,均能得到M_KEY的明文信息,如果M_KEY從其中任何一方泄漏���,攻擊者就可以利用M_KEY偽造用戶許可證�����,從數(shù)據(jù)服務方處騙取加密的ENC數(shù)據(jù)��,由于SA采用公鑰密碼體制��,這樣攻擊者就可以利用SA的公鑰順利的獲得ENC明文數(shù)據(jù)�����,使得方案面臨著授權侵犯�����,竊聽�,信息泄露�,否認等安全威脅。另外如果有惡意攻擊者,利用M_KEY頻繁的向特定的數(shù)據(jù)服務方發(fā)送用戶許可證����,將會造成了數(shù)據(jù)服務方系統(tǒng)的阻塞,從而使得合法的數(shù)據(jù)客戶方無法獲取ENC服務����,對數(shù)據(jù)保護方案造成重放攻擊和拒絕服務攻擊���。在這些情況之下���,整個數(shù)據(jù)保護方案也就從理論上失效了,所以說M_KEY是整個IHO S-63數(shù)據(jù)保護方案中的關鍵安全因素���。
【發(fā)明內(nèi)容】
[0010]本發(fā)明目的在于提供一種電子海圖的數(shù)據(jù)保護方法���,能夠在不可靠的數(shù)據(jù)存儲和網(wǎng)絡通信上實現(xiàn)設備制造商OEM密鑰的安全保護,有效提高了 IHO S63數(shù)據(jù)保護策略的安全性��。
[0011]實現(xiàn)本發(fā)明目的技術方案:
[0012]一種電子海圖的數(shù)據(jù)保護方法����,基于IHO S63電子海圖數(shù)據(jù)保護策略,包括策略管理者SA、數(shù)據(jù)服務方DS��、設備制造商OEM和數(shù)據(jù)客戶端�����,其特征在于:
[0013]步驟1:策略管理者SA向設備制造商OEM簽發(fā)OEM數(shù)字證書和頒發(fā)身份標識M_ID ��;
[0014]步驟2:設備制造商OEM向數(shù)據(jù)服務方DS遞交自己的OEM數(shù)字證書和身份標識M_ID,數(shù)據(jù)服務方DS利用策略管理者SA的公鑰解密OEM數(shù)字證書����,獲得設備制造商OEM的公鑰M_PKEY ;數(shù)據(jù)服務方DS向設備制造商OEM發(fā)送自己的DS數(shù)字證書,設備制造商OEM利用策略管理者SA的公鑰解密DS數(shù)字證書�����,獲得數(shù)據(jù)服務方DS的公鑰�;
[0015]步驟3:設備制造商OEM為數(shù)據(jù)客戶端頒發(fā)硬件標示符HW_ID,并制作用戶許可證��;數(shù)據(jù)客戶端將用戶許可證通過數(shù)據(jù)服務方DS的公鑰進行加密后遞交數(shù)據(jù)服務方DS ;數(shù)據(jù)服務方DS利用自己的私鑰解密用戶許可證���,根據(jù)獲得的M_ID查找對應的設備制造商OEM的公鑰M_PKEY��,用公鑰M_PKEY解密用戶許可證中硬件標識符HW_ID部分����,得到數(shù)據(jù)客戶端的硬件標識符HW_ID,數(shù)據(jù)服務方DS通過硬件標識符HW_ID加密單元密鑰�,為數(shù)據(jù)客戶端生成單元許可,從而向數(shù)據(jù)客戶端提供電子海圖數(shù)據(jù)服務����。
[0016]步驟I中,策略管理者SA向設備制造商OEM簽發(fā)OEM數(shù)字證書通過如下方法實現(xiàn)����,
[0017]設備制造商OEM向策略管理者SA遞交自簽名密鑰SSK ;策略管理者SA首先驗證設備制造商OEM遞交的自簽名密鑰SSK是否正確���,然后通過如下步驟簽發(fā)OEM數(shù)字證書:
[0018]步驟1.1:剔除自簽名密鑰中的R和S部分�,包括說明標題和內(nèi)容���,剩下的稱為公鑰文件���;
[0019]步驟1.2:使用SHA-1安全散列算法求取公鑰文件的哈希值;
[0020]步驟1.3:將策略管理者SA的私鑰����、步驟2中獲得的公鑰文件的哈希值和一隨機的字符串作為參數(shù)傳遞給DSA數(shù)字簽名算法,DSA的數(shù)字簽名算法會產(chǎn)生數(shù)字簽名R和S ;
[0021]步驟1.4:將數(shù)字簽名的R和S部分寫在公鑰文件中公鑰的前面。
[0022]策略管理者SA為設備制造商OEM簽發(fā)完OEM數(shù)字證書后���,還要用自己的公鑰驗證自己對設備制造商的簽名是否正確���。
[0023]步驟3中,用戶許可證通過如下方法制作���,
[0024]步驟3.1:用Blowfish加密算法將設備制造商OEM的公鑰M_SKEY作為密鑰對硬件標示符HW_ID加密����;
[0025]步驟3.2:將加密后的結果轉換為十六進制表示�;
[0026]步驟3.3:用CRC32循環(huán)校驗方法求取步驟2.2結果的哈希值,即校驗和����;
[0027]步驟3.4:將校驗和轉換為十六進制表示并附加在步驟2.2中求取的結果后;
[0028]步驟3.5:將設備制造商OEM的身份標識M_ID轉換為十六進制表示�,并附加在步驟3.4中求取的結果后,得到用戶許可證����。
[0029]本發(fā)明具有的有益效果:
[0030]本發(fā)明結合非對稱加密技術的加密模型和認證模型以及數(shù)字證書技術,增加通信協(xié)議等管理機制��,在不可靠的數(shù)據(jù)存儲和網(wǎng)絡通信上實現(xiàn)設備制造商OEM密鑰的安全保護,從而提高了 IHO S63數(shù)據(jù)保護方案的安全性�����。在安全保密中��,可通過密鑰加密技術和管理機制來保證網(wǎng)絡信息的安全���。加密技術主要分為對稱加密和非對稱加密��。對稱加密的加密密鑰和解密密鑰是一樣的���,非對稱加密算法需要兩個密鑰,公開密鑰和私有密鑰�,包含兩種模型��,加密模型和認證模型����,如圖2、圖3所示��。本發(fā)明通過非對稱加密技術的兩種模型�,改變設備制造商OEM的對稱加密���,可以實現(xiàn)OEM密鑰的保護。伴隨而來的問題����,就是設備制造商OEM公鑰的傳輸問題。由于IHO S63數(shù)據(jù)保護方案中OEM和DS的不唯一性��,需要公開所有的設備制造商OEM的公鑰���,則不便于SA對于方案的管理����,而且數(shù)據(jù)服務方也必須根據(jù)設備制造商OEM的變動時時進行更新��,本發(fā)明可通過采用數(shù)字證書技術來實現(xiàn)避免公開設備制造商OEM公鑰�。數(shù)字證書是數(shù)據(jù)保護方案中各方身份信息的一系列數(shù)據(jù),它是由策略管理者SA發(fā)行����,方案參與者可以在網(wǎng)上用它來相互識別對方身份。SA可以采用數(shù)據(jù)服務方的數(shù)字證書方式����,給OEM頒發(fā)數(shù)字證書�。
[0031]本發(fā)明設備制造商OEM的密鑰由對稱式變?yōu)閷ΨQ式和非對稱式相結合的方式���,減少了密鑰泄露的攻擊點�����,增強了密鑰攻擊的難度��,從而提高了密鑰保護的安全系數(shù)���。本發(fā)明通過設備制造商OEM的數(shù)字證書,實現(xiàn)設備制造商身份的標示�����,使得數(shù)據(jù)服務方對于設備制造商身份的認證更加可靠����。本發(fā)明從方案參與者的角度�,按照四個模塊進行分析,使得在改變OEM密鑰管理方式從而極大提高數(shù)據(jù)保護方案整體的安全性能的同時�����,不會影響整體方案的設計規(guī)劃。
【專利附圖】
【附圖說明】
[0032]圖1是原方案的方案流程圖���;
[0033]圖2是公鑰密碼體制的加密模型圖�����;
[0034]圖3是公鑰密碼體制的認證模型圖��;
[0035]圖4是本發(fā)明改進之后的方案流程圖�;
[0036]圖5是本發(fā)明改進之后策略管理者的職能圖���;
[0037]圖6是本發(fā)明改進之后數(shù)據(jù)服務方的職能圖���;
[0038]圖7是本發(fā)明改進之后設備制造商的職能圖;
[0039]圖8是本發(fā)明改進之后的策略管理者頒發(fā)的SA證書���;
[0040]圖9是本發(fā)明改進之后的策略管理者SA處理數(shù)據(jù)服務方的申請流程圖����;
[0041]圖10是本發(fā)明改進之后的策略管理者SA設備制造商的申請流程圖�;
[0042]圖11是本發(fā)明改進之后方案的數(shù)據(jù)服務方和設備制造商的連接建立過程圖;
[0043]圖12是ENC單元許可文件的解析流程圖�����;
[0044]圖13是ENC單元文件的解密流程圖。
【具體實施方式】
[0045]如圖4所示�,數(shù)據(jù)保護方案的參與者包括四種:
[0046]策略管理者SA:
[0047]數(shù)據(jù)保護方案的管理員SA僅有一個,由國際海道測量局(IHB)擔當���,全權負責此方案的維護和協(xié)調�����。SA負責維護頂層加密密鑰���,用于操作完整的數(shù)據(jù)保護方案。管理員SA的主要職能為:控制數(shù)據(jù)保護方案中的成員資格�����,確保參與者按照既定程序操作�,維護頂層密鑰,發(fā)放證書����,維護文檔等�����。管理員SA是IHO S63數(shù)據(jù)保護方案中最為關鍵的一方,也是有權發(fā)行證書的唯一實體�,如圖5所示。
[0048]數(shù)據(jù)服務方DS:
[0049]數(shù)據(jù)保護方案的數(shù)據(jù)服務方DS有多個����,海道測量局和區(qū)域電子海圖協(xié)調中心(RENC)是典型的數(shù)據(jù)服務方,數(shù)據(jù)服務方負責按照數(shù)據(jù)保護方案的既定程序對ENC信息進行加密和簽名�,數(shù)據(jù)服務方從數(shù)據(jù)客戶方獲得用戶許可,解密獲取HW_ID用來加密單元密鑰為數(shù)據(jù)客戶方生成單位許可����,如圖6所示。
[0050]設備制造商OEM:
[0051]數(shù)據(jù)保護方案的設備制造商OEM有多個���,OEM負責制造電子海圖設備�,同時構建相應的軟件程序(通過S63提供的測試數(shù)據(jù)來兼容標準)來支持該數(shù)據(jù)保護方案�。制造商必須在其軟件里安裝唯一的硬件標識符HW_ID來唯一識別出每個最終用戶,即在軟件系統(tǒng)中提供安全機制�����,如圖7所示。
[0052]數(shù)據(jù)客戶方:
[0053]在S63數(shù)據(jù)保護方案中�,數(shù)據(jù)客戶端有多個,指的就是ECDIS用戶終端���,數(shù)據(jù)客戶端是電子海圖信息的最終使用者���。數(shù)據(jù)客戶端憑借設備制造商為其提供的用戶權證UserPermit向數(shù)據(jù)服務方申請數(shù)據(jù),設備制造商負責制造出符合S63數(shù)據(jù)保護方案標準的設備終端負責驗證數(shù)字簽名����、解密解壓縮電子海圖數(shù)據(jù)等等。
[0054]如圖4所示�,本發(fā)明電子海圖的數(shù)據(jù)保護方法具體實現(xiàn)如下:
[0055]步驟一:策略管理者SA向設備制造商OEM簽發(fā)OEM數(shù)字證書和頒發(fā)身份標識M_ID。
[0056]1.策略管理者SA頒布SA證書
[0057]策略管理者擁有最高級別的公鑰私鑰對����,其中私鑰用于對數(shù)據(jù)服務方和設備制造商的自簽名密鑰進行簽名,公鑰用于驗證對于數(shù)據(jù)服務方和設備制造商的簽名���。策略管理者會在IHO的官方網(wǎng)站上公布自己的數(shù)字證書文件����,IHO的數(shù)字證書符合X509v3標準并以ΙΗ0.CRT作為名稱����。另外�,和IHO的數(shù)字證書一起公布的還有txt格式的策略管理者的公鑰���。當策略管理者的數(shù)字證書過期或者是策略管理者的私鑰泄密的時候,策略管理者會及時在網(wǎng)站上發(fā)布新的數(shù)字證書和txt格式的公鑰���,數(shù)據(jù)服務方和設備制造商應及時通知數(shù)據(jù)客戶端����,如圖8所示��。
[0058]2.策略管理者SA處理數(shù)據(jù)服務方的申請
[0059]設備制造商OEM通過遞交OEM申請表格�����,以及申請系統(tǒng)管理員指定的海道組織對其開發(fā)的EPS系統(tǒng)進行審核�����,測試���,如果審核符合S63標準的要求�,則通過審核。當數(shù)據(jù)服務方向策略管理者申請加入S63數(shù)據(jù)保護方案的時候�,會向方案管理者遞交自簽名密鑰,方案管理者在為數(shù)據(jù)服務方簽發(fā)數(shù)字證書前首先要確認數(shù)據(jù)服務方的自簽名密鑰是否正確��,并且用數(shù)據(jù)服務方的公鑰驗證數(shù)據(jù)服務方對自己的簽名���,具體的方法為:
[0060](I)提取出自簽名密鑰中的R和S部分����,包括說明標題和內(nèi)容��,剩下的稱為公鑰文件����;
[0061](2)使用SHA-1安全散列算法求取公鑰文件的哈希值
[0062](3)將簽名R和S公鑰文件和公鑰文件的哈希值作為參數(shù)傳遞給DSA數(shù)字簽名算法。
[0063]若數(shù)據(jù)服務方提交的自簽名密鑰通過了方案管理者的驗證之后����,策略管理者便會為數(shù)據(jù)服務方簽名,具體的方法為:
[0064](I)剔除自簽名密鑰中的R和S部分���,包括說明標題和內(nèi)容��,剩下的稱為公鑰文件��;
[0065](2)使用SHA-1安全散列算法求取公鑰文件的哈希值
[0066](3)將策略管理者的私鑰���,公鑰文件的哈希值和一隨機的字符串作為參數(shù)傳遞給DSA數(shù)字簽名算法�����,DSA的數(shù)字簽名算法會產(chǎn)生數(shù)字簽名R和S��。
[0067](4)將數(shù)字簽名的R和S部分寫在公鑰文件中公鑰的前面。
[0068]策略管理者為數(shù)據(jù)服務方簽發(fā)完證書后還要用自己的公鑰驗證自己對數(shù)據(jù)服務方的簽名是否正確�,再確認無誤之后再將簽發(fā)的證書頒發(fā)給數(shù)據(jù)服務方。(見附圖9)���。
[0069]3.策略管理者SA處理設備制造商的申請
[0070]當設備制造商向策略管理者申請加入S63數(shù)據(jù)保護方案的時候�����,會向方案管理者遞交自簽名密鑰�����,方案管理者在位設備制造商簽發(fā)證書前首先要確認設備制造商的自簽名密鑰是否正確��,并且用設備制造商的公鑰驗證設備制造商對自己的簽名�,具體的方法為:
[0071](I)提取出自簽名密鑰中的R和S部分,包括說明標題和內(nèi)容�����,剩下的稱為公鑰文件����;
[0072](2)使用SHA-1安全散列算法求取公鑰文件的哈希值
[0073](3)將簽名R和S,公鑰文件和公鑰文件的哈希值作為參數(shù)傳遞給DSA數(shù)字簽名算法���。
[0074]若設備制造商提交的自簽名密鑰通過了方案管理者的驗證之后����,策略管理者變會為設備制造商簽名�,具體的方法為:
[0075](I)剔除自簽名密鑰中的R和S部分,包括說明標題和內(nèi)容��,剩下的稱為公鑰文件��;
[0076](2)使用SHA-1安全散列算法求取公鑰文件的哈希值
[0077](3)將策略管理者的私鑰�����,公鑰文件的哈希值和一隨機的字符串作為參數(shù)傳遞給DSA數(shù)字簽名算法��,DSA的數(shù)字簽名算法會產(chǎn)生數(shù)字簽名R和S。
[0078](4)將數(shù)字簽名的R和S部分寫在公鑰文件中公鑰的前面��。
[0079]策略管理者為設備制造商簽發(fā)完證書后還要用自己的公鑰驗證自己對設備制造商的簽名是否正確���,再確認無誤之后再將簽發(fā)的證書以及M_ID頒發(fā)給設備制造商�,如圖10所示�。
[0080]步驟二:設備制造商OEM向數(shù)據(jù)服務方DS遞交自己的OEM數(shù)字證書和身份標識M_ID,數(shù)據(jù)服務方DS利用策略管理者SA的公鑰解密OEM數(shù)字證書,獲得設備制造商OEM的公鑰M_PKEY ;數(shù)據(jù)服務方DS向設備制造商OEM發(fā)送自己的DS數(shù)字證書����,設備制造商OEM利用策略管理者SA的公鑰解密DS數(shù)字證書��,獲得數(shù)據(jù)服務方DS的公鑰��。
[0081]1.數(shù)據(jù)服務方DS創(chuàng)建自簽名密鑰SSK
[0082]數(shù)據(jù)服務方創(chuàng)建自簽名密鑰SSK��,并提交給管理員SA以獲得數(shù)據(jù)服務方證書���,數(shù)據(jù)服務方創(chuàng)建自身的密鑰對����,并將公鑰和對公鑰的簽名樣本結合在自簽名密鑰SSK中�,寫成ASCII文本格式:
[0083]
【權利要求】
1.一種電子海圖的數(shù)據(jù)保護方法����,基于IHO S63電子海圖數(shù)據(jù)保護策略�,包括策略管理者SA、數(shù)據(jù)服務方DS��、設備制造商OEM和數(shù)據(jù)客戶方DC��,其特征在于:步驟1:策略管理者SA向設備制造商OEM簽發(fā)OEM數(shù)字證書和頒發(fā)身份標識M_ID ���;步驟2:設備制造商OEM向數(shù)據(jù)服務方DS遞交自己的OEM數(shù)字證書和身份標識M_ID�,數(shù)據(jù)服務方DS利用策略管理者SA的公鑰解密OEM數(shù)字證書��,獲得設備制造商OEM的公鑰M_PKEY ;數(shù)據(jù)服務方DS向設備制造商OEM發(fā)送自己的DS數(shù)字證書�����,設備制造商OEM利用策略管理者SA的公鑰解密DS數(shù)字證書����,獲得數(shù)據(jù)服務方DS的公鑰; 步驟3:設備制造商OEM為數(shù)據(jù)客戶端頒發(fā)硬件標示符HW_ID��,并制作用戶許可證;數(shù)據(jù)客戶端將用戶許可證通過數(shù)據(jù)服務方DS的公鑰進行加密后遞交數(shù)據(jù)服務方DS ;數(shù)據(jù)服務方DS利用自己的私鑰解密用戶許可證�����,根據(jù)獲得的M_ID查找對應的設備制造商OEM的公鑰M_PKEY���,用公鑰M_PKEY解密用戶許可證中硬件標識符HW_ID部分��,得到數(shù)據(jù)客戶端的硬件標識符HW_ID�,數(shù)據(jù)服務方DS通過硬件標識符HW_ID加密單元密鑰��,為數(shù)據(jù)客戶端生成單元許可�����,從而向數(shù)據(jù)客戶端提供電子海圖數(shù)據(jù)服務���。
2.根據(jù)權利要求1所述的電子海圖的數(shù)據(jù)保護方法,其特征在于:步驟I中����,策略管理者SA向設備制造商OEM簽發(fā)OEM數(shù)字證書,通過如下方法實現(xiàn)��, 設備制造商OEM向策略管理者SA遞交自簽名密鑰SSK ;策略管理者SA首先驗證設備制造商OEM遞交的自簽名密鑰SSK是否正確��,然后通過如下步驟簽發(fā)OEM數(shù)字證書: 步驟1.1:剔除自簽名密鑰中的R和S部分,包括說明標題和內(nèi)容��,剩下的稱為公鑰文件���; 步驟1.2:使用SHA-1安全散列算法求取公鑰文件的哈希值�����; 步驟1.3:將策略管理者SA的私鑰�、步驟2中獲得的公鑰文件的哈希值和一隨機的字符串作為參數(shù)傳遞給DSA數(shù)字簽名算法�����,DSA的數(shù)字簽名算法會產(chǎn)生數(shù)字簽名R和S ; 步驟1.4:將數(shù)字簽名的R和S部分寫在公鑰文件中公鑰的前面�。 策略管理者SA為設備制造商OEM簽發(fā)完OEM數(shù)字證書后,還要用自己的公鑰驗證自己對設備制造商的簽名是否正確��。
3.根據(jù)權利要求2所述的電子海圖的數(shù)據(jù)保護方法����,其特征在于:步驟3中,用戶許可證通過如下方法制作��, 步驟3.1:用Blowfish加密算法將設備制造商OEM的公鑰M_SKEY作為密鑰對硬件標示符HW_ID加密; 步驟3.2:將加密后的結果轉換為十六進制表示�; 步驟3.3:用CRC32循環(huán)校驗方法求取步驟2.2結果的哈希值,即校驗和�����; 步驟3.4:將校驗和轉換為十六進制表示并附加在步驟2.2中求取的結果后�����; 步驟3.5:將設備制造商OEM的身份標識M_ID轉換為十六進制表示���,并附加在步驟2.4中求取的結果后�����,得到用戶許可證����。
【文檔編號】H04L9/32GK104135368SQ201410234812
【公開日】2014年11月5日 申請日期:2014年5月30日 優(yōu)先權日:2014年5月30日
【發(fā)明者】李剛, 宋凱, 趙玉新, 劉利強, 劉廠, 張振興 申請人:哈爾濱工程大學