[发明专利]支持身份鉴权的蓝牙配对方法、安全芯片及蓝牙模块

说明书

本发明涉及安全技术领域，其实施例提供一种支持身份鉴权的蓝牙配对方法、安全芯片及蓝牙模块。其中支持身份鉴权的蓝牙配对方法，所述配对方法基于标识密码算法的密钥交换协议，包括：获取对端蓝牙模块的身份标识；根据获取的身份标识和本端蓝牙模块的身份标识生成交换数据；根据所述交换数据生成协商密钥；确认所述协商密钥被认证成功；将所述协商密钥作为本端蓝牙模块与对端蓝牙模块配对过程中的配对密钥；其中，所述生成交换数据、所述生成协商密钥和认证协商密钥的步骤均基于所述标识密码算法的密钥交换协议。本发明提供的实施方式提升了蓝牙模块配对过程中的安全性和自主性。

技术领域

本发明涉及安全技术领域，具体地涉及一种支持身份鉴权的蓝牙配对方法、一种安全芯片以及一种集成控制器的蓝牙模块。

背景技术

蓝牙技术是一种工作在2.4GHz ISM免授权频段的短距离无线个人局域网(WPAN)技术，目前广泛应用于各类个人智能设备，可实现固定设备、移动设备之间的数据交换功能。

蓝牙安全的应用场景设定为两个互不信任的蓝牙设备，在操作人员的操作下，可以快速、简单的建立连接，连接通道可以防止中间人攻击、防止空口报文被窃听和篡改。蓝牙安全机制包括五个不同的安全特性，配对、绑定、设备鉴权、加密和完整性保护。在蓝牙协议栈中，与蓝牙安全强相关的模块为SM(安全管理)和链路层。其中SM负责配对、绑定和鉴权的流程管理，并在上述流程中生成一系列的过程密钥；链路层负责接收SM的指令，按照SM的指令和密钥进行数据的加解密、完整性保护的封装操作。

蓝牙安全的应用场景设定为两个互不信任的蓝牙设备，在操作人员的操作下，可以快速、简单的建立连接，连接通道可以防止中间人攻击、防止空口报文被窃听和篡改。蓝牙协议的设计场景为个人域无线网络，蓝牙标准的配对方式均需要存在一个操作人员，可以同时对两个配对设备进行观察、输入操作或者触碰操作(带外NFC)。操作人员需要凭自己的判断和操作进行配对的选择和确认。这种依靠操作人员的场景和相应的安全机制，与工业物联网场景及安全需求存在较大的偏差，工业物联网终端需要确认对端蓝牙是合法的终端后，才允许对端终端通过蓝牙进行连接。

目前工业物联网终端存在大量的近场通讯需求，非常适用于蓝牙通信。但是蓝牙协议无法完全满足工业物联网终端对蓝牙接入身份鉴权的需求。

发明内容

本发明实施例的目的是提供一种支持身份鉴权的蓝牙配对方法、安全芯片及蓝牙模块。

为了实现上述目的，本发明第一方面提供一种支持身份鉴权的蓝牙配对方法，所述配对方法基于标识密码算法的密钥交换协议，包括：

获取对端蓝牙模块的身份标识；根据获取的身份标识和本端蓝牙模块的身份标识生成交换数据；根据所述交换数据生成协商密钥；确认所述协商密钥被认证成功；将所述协商密钥作为本端蓝牙模块与对端蓝牙模块配对过程中的配对密钥；其中，所述生成交换数据、所述生成协商密钥和认证协商密钥的步骤均基于所述标识密码算法的密钥交换协议。

优选的，所述身份标识为MAC地址。

优选的，所述标识密码算法包括：身份加密算法、身份公钥算法和SM9算法中的一者。

优选的，所述标识密码算法的密钥交换协议集成于安全芯片中。

优选的，在获取对端蓝牙模块的身份标识之前，所述配对方法还包括：根据本端蓝牙模块的身份标识进行密钥初始化。

优选的，所述根据本端蓝牙模块的身份标识进行密钥初始化，包括：采用标识密码算法的密钥管理服务器，以所述本端蓝牙模块的身份标识作为对应的安全芯片的身份标识，对所述安全芯片进行密钥初始化。

优选的，所述确认所述协商密钥被认证成功，包括：根据所述标识密码算法的密钥交换协议中的确认协商密钥的步骤生成确认结果；若所述确认结果为相等，则确认所述协商密钥被认证成功。