一种安全探测系统及方法

本发明涉及密码学，尤其涉及一种安全探测系统及方法。

背景技术：

1、传统的无线射频识别(rfid)技术，利用无线电射频信号识别特定物体并读写相关数据，在读写过程中不需要系统与指定物体建立机械或光学接触，而且rfid成本极低，广泛应用在工业场景中。但是，由于数据在空中传输，数据的机密性、完整性难以保证，经典的非轻量级加密方式，需要使用额外的供电系统，在物流管理、工业制造、航空包裹管理、文件追踪、图书馆管理、生物特征识别、运动计时、门禁管理、交通控制等领域受到限制。

技术实现思路

1、本发明所要解决的技术问题在于，提供一种安全探测系统及方法，能够克服现有技术的不足，通过混合密码的方式保证存储信息的机密性、完整性以及与电子安全标识模块传输信息的机密性。

2、为了解决上述技术问题，本发明实施例第一方面公开了一种安全探测系统，所述系统包括：安全探测模块、安全标识模块和上位机；

3、所述安全探测模块与所述安全标识模块、所述上位机进行信息交互；

4、所述安全探测模块包括：安全探测模块密码处理单元、电源单元、总线隔离单元、通道选择单元、协议转换单元、通信接口单元和天线单元；

5、所述安全探测模块密码处理单元与所述电源单元、所述天线单元、所述总线隔离单元信息交互；所述总线隔离单元与所述通道选择单元信息交互；所述协议转换单元与所述通道选择单元、所述通信接口单元信息交互；

6、所述安全探测模块密码处理单元用于对安全标识模块进行数据管理；

7、所述电源单元用于为所述安全探测模块密码处理单元供电；

8、所述总线隔离单元用于保护所述安全探测模块密码处理单元和所述通道选择单元；

9、所述通道选择单元用于进行通道选择；

10、所述协议转换单元用于进行协议转换；

11、所述通信接口单元包括can接口、rj45以太网接口、rs232接口和ttl接口，用于进行信号转换；

12、所述安全标识模块为有源rfid安全标识模块，包括mcu中央控制单元、微波收发信机、电池、安全标识模块密码处理单元和天线。

13、作为一种可选的实施方法，本发明实施例第一方面中，所述安全探测模块密码处理单元，用于对安全标识模块进行数据管理，得到加密数据信息；

14、所述安全探测模块密码处理单元，用于将所述加密数据信息发送至天线单元；

15、所述天线单元，用于将所述加密数据信息发射出去。

16、作为一种可选的实施方法，本发明实施例第一方面中，所述天线单元包括射频接口芯片；

17、所述安全探测模块密码处理单元包括安全芯片；

18、所述安全探测模块，用于利用所述射频接口芯片和所述安全芯片与上位机进行安全通信；

19、所述安全探测模块密码处理单元，用于与所述射频接口芯片进行spi通信。

20、本发明实施例第二方面公开了一种安全探测方法，所述方法包括：

21、s1，利用第一认证模型，对安全探测模块和上位机之间进行双向认证；

22、s2，利用第二认证模型，对安全探测模块和安全标识模块之间进行双向认证；

23、s3，双向认证通过后，所述安全探测模块和所述安全标识模块进行数据交互；

24、所述数据交互包括盘点、读取数据和写入数据；

25、s4，利用对称密钥管理模型，对所述安全探测模块读取的数据进行加密管理，得到加密数据信息；

26、s5，将所述加密数据信息发送至天线单元；

27、s6，利用所述天线单元将所述加密数据信息发送出去。

28、作为一种可选的实施方法，本发明实施例第二方面中，所述利用第二认证模型，对安全探测模块和安全标识模块之间进行双向认证，包括：

29、s21，利用所述安全探测模块对所述安全标识模块进行实体鉴别，得到第一实体鉴别信息；

30、s22，利用所述安全标识模块，向所述安全探测模块发送所述第一实体鉴别信息；

31、s23，利用所述安全探测模块，对所述第一实体鉴别信息进行处理，得到第二实体鉴别信息；

32、s24，利用所述安全探测模块，将所述第二实体鉴别信息发送至所述安全标识模块；

33、s25，利用所述安全标识模块，对所述第二实体鉴别信息进行处理，得到实体鉴别结果，实现安全探测模块和安全标识模块之间的双向认证。

34、作为一种可选的实施方法，本发明实施例第二方面中，所述利用所述安全探测模块对所述安全标识模块进行实体鉴别，得到第一实体鉴别信息，包括：

35、s211，利用所述安全探测模块，向所述安全探测模块密码处理单元申请第一随机数；

36、s212，所述安全探测模块密码处理单元返回所述第一随机数；

37、s213，所述安全探测模块向所述安全标识模块发送鉴别请求和所述第一随机数；

38、s214，所述安全标识模块将所述第一随机数发送至所述安全标识模块密码处理单元；

39、s215，所述安全标识模块密码处理单元生成第二随机数和鉴别请求应答；

40、所述第二随机数和鉴别请求应答构成第一实体鉴别信息。

41、作为一种可选的实施方法，本发明实施例第二方面中，所述利用所述安全探测模块，对所述第一实体鉴别信息进行处理，得到第二实体鉴别信息，包括

42、s231，所述安全探测模块，将所述第一实体鉴别信息发送至所述安全探测模块密码处理单元；

43、s232，所述安全探测模块密码处理单元，对所述第一实体鉴别信息进行鉴别，得到第一鉴别结果和32位消息校验码；

44、所述第一鉴别结果和32位消息校验码构成第二实体鉴别信息。

45、作为一种可选的实施方法，本发明实施例第二方面中，所述利用所述安全标识模块，对所述第二实体鉴别信息进行处理，得到实体鉴别结果，实现安全探测模块和安全标识模块之间的双向认证，包括：

46、s251，利用所述安全标识模块，将所述第二实体鉴别信息发送至所述安全标识模块密码处理单元；

47、s252，所述安全标识模块密码处理单元，对所述第二实体鉴别信息进行处理，得到实体鉴别结果；

48、s253，所述安全标识模块，将所述实体鉴别结果发送至所述安全探测模块，实现安全探测模块和安全标识模块之间的双向认证。

49、作为一种可选的实施方法，本发明实施例第二方面中，所述利用对称密钥管理模型，对所述安全探测模块读取的数据进行加密管理，得到加密数据信息，包括：

50、s41，利用所述安全探测模块，获取所述安全标识模块的安全参数；

51、所述安全标识模块的安全参数包括安全标识模块的安全能力和基密钥索引；

52、s42，所述安全探测模块，根据获取的基密钥索引和安全探测模块保存的基密钥，导出与安全标识模块对应的共享密钥psk；

53、s43，所述安全探测模块和所述安全标识模块，根据所述共享密钥psk导出完整性校验密钥和加密密钥，对认证过程中的鉴别码进行完整性校验和数据加密；

54、s44，认证完成后，所述安全探测模块和所述安全标识模块根据所述共享密钥psk和rid,tid,rnr和rnt导出会话密钥，对所述安全探测模块读取的数据进行加密管理，得到加密数据信息。

55、与现有技术相比，本发明实施例具有以下有益效果：

56、本发明设计一种安全探测系统及方法，包括安全探测模块、安全标识模块和上位机；所述安全探测模块与所述安全标识模块、所述上位机进行信息交互；所述安全探测模块包括：安全探测模块密码处理单元、电源单元、总线隔离单元、通道选择单元、协议转换单元、通信接口单元和天线单元；所述安全标识模块为有源rfid安全标识模块，包括mcu中央控制单元、微波收发信机、电池、安全标识模块密码处理单元和天线。通过本发明的技术方案，能够用于典型应用场景下物联网终端的安全防护，为终端模块和接入点提供双向安全接入认证功能，提供传输数据加密保护功能，提供终端权限访问控制功能。本发明通过混合密码的方式保证存储信息的机密性、完整性以及与安全标识模块传输信息的机密性。