(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111534398.3 (22)申请日 2021.12.15 (71)申请人 武汉天喻信息产业股份有限公司 地址 430223 湖北省武汉市东湖开发区华 中科技大 学科技园天喻大厦 (72)发明人 桂靖　杨超　董逢华　 (74)专利代理 机构 武汉智权专利代理事务所 (特殊普通 合伙) 42225 代理人 余浩 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/08(2006.01) H04L 9/30(2006.01) H04L 9/32(2006.01) (54)发明名称 一种设备间的安全通信方法及系统 (57)摘要 本发明公开了一种设备间的安全通信方法 及系统， 涉及安全通信领域， 该方法包括基于预 设加密算法生成一对公钥和私钥， 并对生成的公 钥进行证书签发， 签发得到公钥证书和CA证书； 将签发得到的公钥证书和CA 证书， 以及生成的私 钥均发送至待通信的设备； 待通信的设备间基于 接收到的公钥证书、 CA证书和私钥， 进行双向认 证及业务数据交互。 本发明能够 有效保证设备间 数据传输的安全性。 权利要求书2页 说明书6页 附图1页 CN 114070649 A 2022.02.18 CN 114070649 A 1.一种设备间的安全通信方法， 其特 征在于， 具体包括以下步骤： 基于预设加密算法生成一对公钥和私钥， 并对生成的公钥进行证书签发， 签发得到公 钥证书和CA证书； 将签发得到的公钥证书和CA证书， 以及生成的私钥均发送至待通信的设备， 以使待通 信的设备间基于 接收到的公钥证书、 CA证书和私钥， 进行双向认证及业 务数据交 互。 2.如权利要求1所述的一种设备间的安全通信方法， 其特征在于， 所述基于预设加密算 法生成一对公钥和私钥， 并对生成的公钥进 行证书签发， 得到公钥证书和CA证书， 具体步骤 包括： 基于SM2算法生成一对公钥和私钥； 基于CA服务对生成的公钥进行签发， 得到公钥证书和CA证书。 3.如权利要求1所述的一种设备间的安全通信方法， 其特征在于： 所述待通信的设备包 括多个， 且每一个待通信的设备均接收签发得到的公钥证书和CA证书， 以及生成的私钥。 4.如权利要求1所述的一种设备间的安全通信方法， 其特征在于， 所述待通信的设备间 基于接收到的公钥证书、 CA证书和私钥， 进行双向认证及业务数据交互， 其中， 当待通信的 设备包括第一设备和第二设备时， 第一设备和第二设备间进行双向认证的具体步骤 包括： 第一设备生成第 一随机数， 并将生成的第 一随机数和自身接收的公钥证书发送至第 二 设备； 第二设备使用自身接收的CA证书对第一设备发送的公钥证书进行验证， 并待验证通过 后生成第二随机数， 并将生成的第二随机数和自身接收的公钥证书发送至第一设备； 第一设备使用自身接收的CA证书对第二设备发送的公钥证书进行验证， 并待验证通过 后生成第三随机数， 并采用第二设备发送的公钥证书对第三随机数进 行加密得到第一加密 数据后发至第二设备； 第二设备使用自身接收的私钥对第一加密数据进行解密， 得到第三随机数， 并采用设 定加密算法对第一随机数、 第二随机数和第三随机数加密， 得到第二加密数据； 第二设备生成第四随机数， 并使用第 二加密数据对第四随机数进行加密得到第 三加密 数据， 然后将第三加密数据和第四随机数发送至第一设备； 第一设备采用设定加密算法对第一随机数、 第二随机数和第三随机数加密， 得到第二 加密数据， 并使用得到的第二加密数据对第三加密数据进行解密， 得到明文数据； 第一设备判断得到的明文数据和接收的第 四随机数是否一致， 若是， 则表明双 向认证 成功， 并发送双向认证成功消息 至第二设备， 若否， 则表明双向认证失败。 5.如权利要求4所述的一种设备间的安全通信方法， 其特征在于， 所述待通信的设备间 基于接收到的公钥证书、 CA证书和私钥， 进行双向认证及业务数据交互， 其中， 业务数据交 互的具体步骤为： 使用第二加密数据对待通信的设备间的业务数据进行加密， 加密后的业务数据在待通 信的设备间进行传输 。 6.一种设备间的安全通信系统， 其特 征在于， 包括私有CA服 务和产线工具； 所述私有CA服务用于接收产线工具生成的公钥， 并对接收的公钥进行证书签发， 签发 得到公钥证书和CA证书并发送至产线工具； 所述产线工具用于基于预设加密算法生成一对公钥和私钥， 并将生成的公钥发送至私权　利　要　求　书 1/2 页 2 CN 114070649 A 2有CA服务， 以及将生 成的私钥及私有CA 服务发送的公钥证书和CA证书均发送至待通信的设 备， 以使待通信的设备间基于公钥证书、 CA证书和私钥进行双向认证及业 务数据交 互。 7.如权利要求6所述的一种设备间的安全通信系统， 其特 征在于： 所述产线工具包括 openssl模块； 所述openssl模块用于基于SM2算法生成一对公钥和私钥。 8.如权利要求6所述的一种设备间的安全通信系统， 其特 征在于： 所述私有CA服 务包括加密机模块、 证书签发模块、 证书管理模块和证书存 储模块； 所述加密机模块用于对公钥进行证书签发， 签发得到公钥证书和CA证书； 所述证书签发模块用于接收产线工具发送的公钥， 然后驱使加密机模块工作， 以及将 签发得到公钥证书和CA证书发送至产线工具； 所述证书管理模块用于进行公钥证书、 CA证书的查询和修改； 所述证书存 储模块用于对公钥证书和CA证书 进行存储。 9.如权利要求6所述的一种设备间的安全通信系统， 其特征在于， 当待通信的设备包括 第一设备和第二设备时， 第一设备和第二设备间进行双向认证的具体过程包括： 第一设备生成第 一随机数， 并将生成的第 一随机数和自身接收的公钥证书发送至第 二 设备； 第二设备使用自身接收的CA证书对第一设备发送的公钥证书进行验证， 并待验证通过 后生成第二随机数， 并将生成的第二随机数和自身接收的公钥证书发送至第一设备； 第一设备使用自身接收的CA证书对第二设备发送的公钥证书进行验证， 并待验证通过 后生成第三随机数， 并采用第二设备发送的公钥证书对第三随机数进 行加密得到第一加密 数据后发至第二设备； 第二设备使用自身接收的私钥对第一加密数据进行解密， 得到第三随机数， 并采用设 定加密算法对第一随机数、 第二随机数和第三随机数加密， 得到第二加密数据； 第二设备生成第四随机数， 并使用第 二加密数据对第四随机数进行加密得到第 三加密 数据， 然后将第三加密数据和第四随机数发送至第一设备； 第一设备采用设定加密算法对第一随机数、 第二随机数和第三随机数加密， 得到第二 加密数据， 并使用得到的第二加密数据对第三加密数据进行解密， 得到明文数据； 第一设备判断得到的明文数据和接收的第 四随机数是否一致， 若是， 则表明双 向认证 成功， 并发送双向认证成功消息 至第二设备， 若否， 则表明双向认证失败。 10.如权利要求9所述的一种设备间的安全通信系统， 其特征在于， 待通信的设备间进 行业务数据交 互的具体过程 为： 使用第二加密数据对待通信的设备间的业务数据进行加密， 加密后的业务数据在待通 信的设备间进行传输 。权　利　要　求　书 2/2 页 3 CN 114070649 A 3