CN110858835B - 通信方法、系统和相关设备以及计算机可读存储介质 - Google Patents
通信方法、系统和相关设备以及计算机可读存储介质 Download PDFInfo
- Publication number
- CN110858835B CN110858835B CN201810970039.4A CN201810970039A CN110858835B CN 110858835 B CN110858835 B CN 110858835B CN 201810970039 A CN201810970039 A CN 201810970039A CN 110858835 B CN110858835 B CN 110858835B
- Authority
- CN
- China
- Prior art keywords
- key
- content
- terminal
- base station
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000006854 communication Effects 0.000 title claims abstract description 108
- 238000004891 communication Methods 0.000 title claims abstract description 107
- 238000000034 method Methods 0.000 title claims abstract description 67
- 230000006870 function Effects 0.000 claims description 35
- 238000012795 verification Methods 0.000 claims description 20
- 238000004590 computer program Methods 0.000 claims description 10
- 230000004044 response Effects 0.000 claims description 5
- 238000010586 diagram Methods 0.000 description 24
- 230000008569 process Effects 0.000 description 9
- 230000006855 networking Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 208000033748 Device issues Diseases 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种通信方法、系统和相关设备以及计算机可读存储介质,涉及信息安全技术领域。通信方法包括:发送终端获取来自网络侧的通道密钥和内容密钥,其中,发送终端获取的通道密钥与接收终端获取的通道密钥相同;发送终端采用内容密钥对数据内容加密,生成内容加密数据;发送终端采用通道密钥对内容密钥加密,生成密钥加密数据;发送终端向接收终端发送内容加密数据和密钥加密数据,以便接收终端采用通道密钥对密钥加密数据进行解密,获得内容密钥,并采用内容密钥对内容加密数据进行解密,获得数据内容。本发明的实施例在实现了安全通信的同时,通过对称加密的方式提高了加解密的速度,从而降低了通信时延。
Description
技术领域
本发明涉及信息安全技术领域,特别涉及一种通信方法、系统和相关设备以及计算机可读存储介质。
背景技术
一些通信对通信的安全性和低时延性的要求比较高。例如,在V2X(Vehicle toeverything,车辆对外界的信息交换)场景下,车辆间的通信需要保证保密性、完整性和可用性,并且需要在低时延的要求中完成身份认证和数据加密。
目前,主要使用CA(Certificate Authority,认证授权)方式,通过非对称密钥加解密数据。
发明内容
发明人经过分析后发现,CA方式加解密速度慢,无法满足低时延场景下的安全通信需求。
本发明实施例所要解决的一个技术问题是:如何降低安全通信过程中的时延。
根据本发明一些实施例的第一个方面,提供一种通信方法,包括:发送终端获取来自网络侧的通道密钥和内容密钥,其中,发送终端获取的通道密钥与接收终端获取的通道密钥相同;发送终端采用内容密钥对数据内容加密,生成内容加密数据;发送终端采用通道密钥对内容密钥加密,生成密钥加密数据;发送终端向接收终端发送内容加密数据和密钥加密数据,以便接收终端采用通道密钥对密钥加密数据进行解密,获得内容密钥,并采用内容密钥对内容加密数据进行解密,获得数据内容。
在一些实施例中,发送终端获取基站下发的通道密钥和内容密钥,基站向覆盖范围内的终端下发的通道密钥相同。
在一些实施例中,基站向覆盖范围内的终端下发的通道密钥包括基站对应的通道密钥和相邻基站对应的通道密钥,发送终端和接收终端位于同一基站的覆盖范围或者相邻基站的覆盖范围。
在一些实施例中,发送终端分别采用获取的每个通道密钥对内容密钥加密,生成多个密钥加密数据。
在一些实施例中,发送终端获取来自网络侧的内容密钥有序组,内容密钥有序组中除首个内容密钥以外的内容密钥是根据上一个内容密钥和散列函数生成的;发送终端采用内容密钥有序组中未使用过的最后一个密钥对数据内容加密。
在一些实施例中,发送终端向多个接收终端发送内容加密数据和密钥加密数据,其中,向不同接收终端发送的内容加密数据是采用不同的内容加密密钥加密的。
在一些实施例中,发送终端和接收终端为车载终端。
在一些实施例中,通信方法还包括:发送终端采用内容密钥对内容加密数据进行签名,生成签名数据;发送终端向接收终端发送内容加密数据、密钥加密数据和签名数据,以便接收终端根据签名对内容数据进行验证。
在一些实施例中,通信方法还包括:接收终端采用通道密钥解密来自发送终端的密钥加密数据,获得内容密钥;接收终端对获得的内容密钥进行验证;响应于验证通过,接收终端采用获得的内容密钥解密内容加密数据,获得数据内容。
在一些实施例中,接收终端对获得的内容密钥进行验证包括:在接收终端在预设时间内首次收到发送终端发送的内容加密数据和密钥加密数据的情况下,接收终端将获得的内容密钥发送给网络侧进行验证;在接收终端在预设时间内并非首次收到发送终端发送的内容加密数据和密钥加密数据的情况下,接收终端基于上一次获得的内容密钥和散列函数验证本次获得的内容密钥,其中,发送终端是采用内容密钥有序组中的密钥加密内容数据的,内容密钥有序组中除首个内容密钥以外的内容密钥是根据上一个内容密钥和散列函数生成的。
在一些实施例中,通信方法还包括:基站向覆盖范围内的终端下发通道密钥和内容密钥,其中,基站的覆盖范围内的每个终端获得的通道密钥相同、获得的内容密钥不同。
在一些实施例中,通信方法还包括:网络侧设备生成每个基站对应的通道密钥;网络侧设备向每个基站下发每个基站对应的通道密钥和每个基站的相邻基站对应的通道密钥。
在一些实施例中,通信方法还包括:网络侧设备为每个终端生成初始内容密钥;网络侧设备根据初始内容密钥和散列函数,生成内容密钥有序组,其中,内容密钥有序组包括多个内容密钥;网络侧设备将终端的内容密钥有序组下发给基站,以便基站将终端的内容密钥有序组下发给终端。
根据本发明一些实施例的第二个方面,提供一种通信终端,包括:密钥获取模块,被配置为获取来自网络侧的通道密钥和内容密钥,其中,密钥获取模块获取的通道密钥与接收终端获取的通道密钥相同;内容加密模块,被配置为采用内容密钥对数据内容加密,生成内容加密数据;密钥加密模块,被配置为采用通道密钥对内容密钥加密,生成密钥加密数据;发送模块,被配置为向接收终端发送内容加密数据和密钥加密数据,以便接收终端采用通道密钥对密钥加密数据进行解密,获得内容密钥,并采用内容密钥对内容加密数据进行解密,获得数据内容。
在一些实施例中,密钥获取模块被配置为获取基站下发的通道密钥和内容密钥,基站向覆盖范围内的终端下发的通道密钥相同。
在一些实施例中,基站向覆盖范围内的终端下发的通道密钥包括基站对应的通道密钥和相邻基站对应的通道密钥,通信终端和接收终端位于同一基站的覆盖范围或者相邻基站的覆盖范围。
在一些实施例中,密钥加密模块进一步被配置为分别采用获取的每个通道密钥对内容密钥加密,生成多个密钥加密数据。
在一些实施例中,密钥获取模块进一步被配置为获取来自网络侧的内容密钥有序组,内容密钥有序组中除首个内容密钥以外的内容密钥是根据上一个内容密钥和散列函数生成的;内容加密模块进一步被配置为采用内容密钥有序组中未使用过的最后一个密钥对数据内容加密。
在一些实施例中,发送模块进一步被配置为向多个接收终端发送内容加密数据和密钥加密数据,其中,向不同接收终端发送的内容加密数据是采用不同的内容加密密钥加密的。
在一些实施例中,通信终端还包括:接收模块,被配置为获取来自发送终端的内容加密数据和密钥加密数据;密钥解密模块,被配置为采用通道密钥解密密钥加密数据,获得内容密钥;内容解密模块,被配置为采用获得的内容密钥解密内容加密数据,获得数据内容。
在一些实施例中,通信终端还包括:密钥验证模块,被配置为对获得的内容密钥进行验证,在接收终端在预设时间内首次收到发送终端发送的内容加密数据和密钥加密数据的情况下,接收终端将获得的内容密钥发送给网络侧进行验证;在接收终端在预设时间内并非首次收到发送终端发送的内容加密数据和密钥加密数据的情况下,接收终端基于上一次获得的内容密钥和散列函数验证本次获得的内容密钥,其中,发送终端是采用内容密钥有序组中的密钥加密内容数据的,内容密钥有序组中除首个内容密钥以外的内容密钥是根据上一个内容密钥和散列函数生成的。
根据本发明一些实施例的第三个方面,提供一种通信系统,包括:前述任意一种通信终端;以及基站,被配置为向覆盖范围内的终端下发通道密钥和内容密钥,其中,基站的覆盖范围内的每个终端获得的通道密钥相同、获得的内容密钥不同。
在一些实施例中,通信系统还包括:网络侧设备,被配置为生成每个基站对应的通道密钥,并向每个基站下发每个基站对应的通道密钥和每个基站的相邻基站对应的通道密钥。
在一些实施例中,网络侧设备进一步被配置为为每个终端生成初始内容密钥,根据初始内容密钥和散列函数生成内容密钥有序组,其中,内容密钥有序组包括多个内容密钥,并且将终端的内容密钥有序组下发给基站,以便基站将终端的内容密钥有序组下发给终端。
根据本发明一些实施例的第四个方面,提供一种通信终端,包括:存储器;以及耦接至存储器的处理器,处理器被配置为基于存储在存储器中的指令,执行前述任意一种通信方法。
根据本发明一些实施例的第五个方面,提供一种计算机可读存储介质,其上存储有计算机程序,其中,该程序被处理器执行时实现前述任意一种通信方法。
上述发明中的一些实施例具有如下优点或有益效果:由于发送终端和接收终端具有相同的通道密钥,从而通信双方可以通过对称加密的方式进行加密和解密以传递内容密钥,进而内容数据也可以通过对称加密的方式进行加密和解密。因此,上述实施例的方法在实现了安全通信的同时,通过对称加密的方式提高了加解密的速度,从而降低了通信时延。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为根据本发明一些实施例的通信方法的流程示意图。
图2为根据本发明另一些实施例的通信方法的流程示意图。
图3A为根据本发明一些实施例的内容数据加密方法的流程示意图。
图3B为根据本发明一些实施例的内容密钥下发方法的流程示意图。
图4A为根据本发明一些实施例的接收终端解密过程的流程示意图。
图4B为根据本发明一些实施例的内容密钥验证方法的流程示意图。
图5为根据本发明一些实施例的车联网通信方法的流程示意图。
图6为根据本发明一些实施例的通信终端的结构示意图。
图7为根据本发明一些实施例的通信系统的结构示意图。
图8为根据本发明另一些实施例的通信终端的结构示意图。
图9为根据本发明又一些实施例的通信终端的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1为根据本发明一些实施例的通信方法的流程示意图。如图1所示,该实施例的通信方法包括步骤S102~S112。
在步骤S102中,发送终端获取来自网络侧的通道密钥和内容密钥,其中,发送终端获取的通道密钥与接收终端获取的通道密钥相同。
本发明的实施例中采用了两种密钥进行加密。内容密钥用于对待发送的数据内容进行加密,通道密钥用于对内容密钥进行加密。
在一些实施例中,发送终端获取的内容密钥是发送终端对应的内容密钥,内容密钥可以有一个或多个。
在一些实施例中,发送终端可以定期获取通道密钥和内容密钥,以便进行密钥的更新。
在步骤S104中,发送终端采用内容密钥对数据内容加密,生成内容加密数据。
在步骤S106中,发送终端采用通道密钥对内容密钥加密,生成密钥加密数据。
在步骤S108中,发送终端向接收终端发送内容加密数据和密钥加密数据。
在一些实施例中,发送终端可以基于与接收终端之间的直连通信接口直接向接收终端发送数据。例如,可以采用PC5接口实现邻近设备的直接通信。PC5接口以LTE(LongTerm Evolution,长期演进)标准中的D2D(Device to Device,设备间)邻近通信服务为基础,可实现高速度、高密度的通信。
在步骤S110中,接收终端采用通道密钥对密钥加密数据进行解密,获得内容密钥。
在步骤S112中,接收终端采用内容密钥对内容加密数据进行解密,获得数据内容。
由于发送终端和接收终端具有相同的通道密钥,从而通信双方可以通过对称加密的方式进行加密和解密以传递内容密钥,进而内容数据也可以通过对称加密的方式进行加密和解密。因此,上述实施例的方法在实现了安全通信的同时,通过对称加密的方式提高了加解密的速度,从而降低了通信时延。
在一些实施例中,发送终端还可以在发送的内容中附上签名。下面参考图2描述本发明通信方法的实施例。
图2为根据本发明另一些实施例的通信方法的流程示意图。如图2所示,该实施例的通信方法包括步骤S202~S216。
在步骤S202中,发送终端获取来自网络侧的通道密钥和内容密钥,其中,发送终端获取的通道密钥与接收终端从网络侧获取的通道密钥相同。
在步骤S204中,发送终端采用内容密钥对数据内容加密,生成内容加密数据。
在步骤S206中,发送终端采用通道密钥对内容密钥加密,生成密钥加密数据。
在步骤S208中,发送终端采用内容密钥对内容加密数据进行签名,生成签名数据。例如,发送终端可以首先计算内容加密数据的摘要,然后采用内容密钥对摘要进行加密,生成签名数据。
在步骤S210中,发送终端向接收终端发送内容加密数据、密钥加密数据和签名数据。
在步骤S212中,接收终端采用通道密钥对密钥加密数据进行解密,获得内容密钥。
在步骤S214中,接收终端采用内容密钥对内容加密数据进行解密,获得数据内容。
在步骤S216中,接收终端根据签名对内容数据进行验证。例如,接收终端可以计算数据内容的摘要,并比较计算出的摘要和采用内容密钥对签名的解密结果是否一致,如果一致则验证通过,如果不一致则验证不通过。
从而,可以校验数据是否被篡改,提高了对数据完整性的保护。
在一些实施例中,可以由基站下发密钥。例如,基站向覆盖范围内的终端下发通道密钥和内容密钥,其中,基站的覆盖范围内的每个终端获得的通道密钥相同、获得的内容密钥不同。此时,同一基站覆盖范围内的终端具有相同的通道密钥,从而这些终端时间可以进行加密通信,并且采用相同的通道密钥进行对称的加解密过程。
本发明的实施例考虑到终端在移动过程中可能发生小区切换、或者收发方分别在相邻基站的边界处等情况,可以令相邻的基站共享通道密钥。在一些实施例中,基站向覆盖范围内的终端下发的通道密钥包括该基站对应的通道密钥和相邻基站对应的通道密钥,发送终端和接收终端位于同一基站的覆盖范围或者相邻基站的覆盖范围。例如,可以由网络侧设备生成每个基站对应的通道密钥,然后向每个基站下发每个基站对应的通道密钥和每个基站的相邻基站对应的通道密钥。
例如,基站A和基站B相邻。基站A的通道密钥为KeyA,基站B的通道密钥为KeyB。基站A和基站B在共享通道密钥后,基站A在下发密钥时同时下发KeyA和KeyB,基站B在下发密钥时也同时下发KeyA和KeyB。从而,基站A覆盖范围内的终端和基站B覆盖范围内的终端可以具有相同的通道密钥,从而可以进行基于对称加密的低时延安全通信。
当发送终端具备多个通道密钥时,可以分别采用获取的每个通道密钥对内容密钥加密,生成多个密钥加密数据。从而,接收终端在收到多个密钥加密数据时,可以逐一使用自己获取的通道密钥进行解密,成功解密后即可获得内容密钥。
在一些实施例中,可以由网络侧设备生成每个基站对应的通道密钥和每个终端对应的内容密钥,然后网络侧设备将生成的密钥下发给基站,以便基站将密钥下发给终端。网络侧设备可以位于基站、也可以位于核心网中。
在一些实施例中,发送终端可以采用一次一密的方法来进行加密通信。例如,基站可以下发给终端内容密钥组,终端每次发送内容数据时都采用未使用过的内容密钥加密,从而可以进一步提升通信的安全性。
在一些实施例中,内容密钥组中的密钥可以是彼此关联的,以便接收终端进行验证。下面参考图3A描述本发明内容数据加密方法的实施例。
图3A为根据本发明一些实施例的内容数据加密方法的流程示意图。如图3A所示,该实施例的内容数据加密方法包括步骤S302~S304。
在步骤S302中,发送终端获取来自网络侧的内容密钥有序组,内容密钥有序组中除首个内容密钥以外的内容密钥是根据上一个内容密钥和散列函数生成的。
在一些实施例中,内容密钥有序组中初始密钥为Key1,以Key1为自变量计算散列函数的函数值得到了Key2,再以Key2为自变量计算散列函数的函数值得到了Key3,以此类推。最后,按照密钥生成的顺序,Key1、Key2、Key3……KeyN组成了内容密钥有序组,N为内容密钥有序组中内容密钥的数量。
在步骤S304中,发送终端采用内容密钥有序组中未使用过的最后一个密钥对数据内容加密。即,内容密钥依次使用KeyN、KeyN-1、KeyN-2……对数据内容进行加密。
由于散列函数具有单向性,基于前一个内容密钥可以生成后一个内容密钥,但是基于后一个内容密钥却无法得到前一个内容密钥。因此,从内容密钥有序组中的最后一个内容密钥开始倒序使用,可以使得每次通信都更换密钥,并且接收终端也无法通过本次通信获得的内容密钥推算出发送终端未使用过的其他内容密钥,提高了通信的安全性。
在一些实施例中,终端获得的内容密钥可以是网络侧设备生成并通过基站下发的。下面参考图3B描述内容密钥下发方法的实施例。
图3B为根据本发明一些实施例的内容密钥下发方法的流程示意图。如图3B所示,该实施例的内容密钥下发方法包括步骤S312~S316。
在步骤S312中,网络侧设备为每个终端生成初始内容密钥。
在步骤S314中,网络侧设备根据初始内容密钥和散列函数,生成内容密钥有序组,其中,内容密钥有序组包括多个内容密钥。
在步骤S316中,网络侧设备将终端的内容密钥有序组下发给基站,以便基站将终端的内容密钥有序组下发给终端。
在一些实施例中,网络侧设备可以定期生成内容密钥并下发给终端。
网络侧设备例如可以是大型密钥生成设备,可以快速生成密钥。密钥的位数可以根据需要设置,例如为128、192、256位等等。网络侧设备可以位于基站、也可以位于核心网中。
在一些实施例中,接收终端可以对接收到的密钥进行验证。下面参考图4A描述本发明接收终端解密过程的实施例。
图4A为根据本发明一些实施例的接收终端解密过程的流程示意图。如图4A所示,该实施例的解密过程包括步骤S402~S406。
在步骤S402中,接收终端采用通道密钥解密来自发送终端的密钥加密数据,获得内容密钥。
在步骤S404中,接收终端对获得的内容密钥进行验证。
在步骤S406中,响应于验证通过,接收终端采用获得的内容密钥解密内容加密数据,获得数据内容。
接收终端例如可以将内容密钥发送到网络侧进行验证,此外,当发送终端采用内容密钥有序组中的密钥进行加密时,接收终端也可以利用散列函数进行验证。下面参考图4B描述本发明内容密钥验证方法。
图4B为根据本发明一些实施例的内容密钥验证方法的流程示意图。如图4所示,该实施例的内容密钥验证方法包括步骤S410~S418。
在步骤S410中,发送终端采用内容密钥有序组中的密钥加密内容数据,并将内容加密数据和密钥加密数据发送给接收终端。内容密钥有序组中除首个内容密钥以外的内容密钥是根据上一个内容密钥和散列函数生成的。
在步骤S412中,接收终端采用通道密钥解密来自发送终端的密钥加密数据,获得内容密钥。
在步骤S414中,接收终端判断当前接收的数据是否是预设时间内首次收到的发送终端发送的内容加密数据和密钥加密数据。如果是,执行步骤S416,否则执行步骤S418。
预设时间可以根据需要设置,例如可以根据密钥更新的周期设置。
在步骤S416中,接收终端将获得的内容密钥发送给网络侧进行验证。接收终端例如可以向网络侧发送内容密钥以及发送终端的信息以便网络侧进行验证。
在步骤S418中,接收终端基于上一次获得的内容密钥和散列函数验证本次获得的内容密钥。例如,接收终端可以将本次获得的内容密钥作为自变量计算散列函数的值,如果计算结果与上一次获得的内容密钥一致,则验证通过。
从而,接收终端可以进行网络侧验证和本地验证,并且在大多数情况下进行本地验证,从而提高了通信的安全性。
本发明的实施例可以应用于多点对多点通信的应用场景。例如,发送终端可以向多个接收终端发送内容加密数据和密钥加密数据,其中,向不同接收终端发送的内容加密数据是采用不同的内容加密密钥加密的。下面以车联网场景为例,描述本发明通信方法的实施例。
图5为根据本发明一些实施例的车联网通信方法的流程示意图。如图5所示,基站A和基站B相邻,基站C和基站A相邻;基站A和基站C共享通道密钥RA、RC,基站A和基站B共享通道密钥RA、RB;车载终端A位于基站A的覆盖范围,车载终端B位于基站B的覆盖范围,车载终端C位于基站C的覆盖范围。该实施例的车联网通信方法包括步骤S502~S522。
在步骤S502中,基站A向终端A下发通道密钥{RA,RB,RC}以及内容密钥有序组{R11,R12,…R1(L-2),R1(L-1),R1L}。
在步骤S504中,基站B向终端B下发通道密钥{RA,RB}以及内容密钥有序组{R21,R22,…R2M}。
在步骤S506中,基站C向终端C下发通道密钥{RA,RC}以及内容密钥有序组{R31,R32,…R3N}。
终端A欲将终端A所在车辆的当前速度发送给周围的车辆,此时可以启动加密流程。
在步骤S508中,终端A分别采用通道密钥RA、RB、RC对内容密钥R1L加密以生成密钥加密数据C11、C12、C13、对内容密钥R1(L-1)加密以生成密钥加密数据C21、C22、C23。
在步骤S510中,终端A采用分别采用内容密钥R1L、R1(L-1)加密当前速度数据,生成内容加密数据X1和X2。
在步骤S512中,终端A采用内容密钥R1L对X1进行签名、生成签名数据S1,采用内容密钥R1(L-1)对X2进行签名、生成签名数据S2。
在步骤S514中,终端A将{C11,C12,C13,X1,S1}发送给终端B,将{C21,C22,C23,X2,S2}发送给终端C。
在步骤S516中,终端B分别采用接收到的通道密钥{RA,RB}对C11、C12、C13尝试进行解密。RA能够成功解密C11、RB能够成功解密C12,二者的解密结果均为内容密钥R1L。
在步骤S518中,终端B对内容密钥R1L进行验证。
在步骤S520中,响应于验证通过,终端B采用内容密钥R1L解密X1,获得终端A的当前速度数据。
在步骤S522中,终端B采用内容密钥R1L对签名S1进行校验。响应于校验通过,终端B确认解密获得的终端A的当前速度数据无误。
终端C的处理流程与终端B的处理流程类似,这里不再赘述。终端B和C在接收到终端A发送的数据的同时,也可能接收到其他终端发送的数据。从而,提高了多点对多点通信过程中的安全性,降低了通信时延。
下面参考图6描述本发明通信终端的实施例。
图6为根据本发明一些实施例的通信终端的结构示意图。如图6所示,该实施例的通信终端600包括:密钥获取模块6100,被配置为获取来自网络侧的通道密钥和内容密钥,其中,密钥获取模块获取的通道密钥与接收终端获取的通道密钥相同;内容加密模块6200,被配置为采用内容密钥对数据内容加密,生成内容加密数据;密钥加密模块6300,被配置为采用通道密钥对内容密钥加密,生成密钥加密数据;发送模块6400,被配置为向接收终端发送内容加密数据和密钥加密数据,以便接收终端采用通道密钥对密钥加密数据进行解密,获得内容密钥,并采用内容密钥对内容加密数据进行解密,获得数据内容。
在一些实施例中,密钥获取模块6100被配置为获取基站下发的通道密钥和内容密钥,基站向覆盖范围内的终端下发的通道密钥相同。
在一些实施例中,基站向覆盖范围内的终端下发的通道密钥包括基站对应的通道密钥和相邻基站对应的通道密钥,通信终端和接收终端位于同一基站的覆盖范围或者相邻基站的覆盖范围。
在一些实施例中,密钥加密模块6300进一步被配置为分别采用获取的每个通道密钥对内容密钥加密,生成多个密钥加密数据。
在一些实施例中,密钥获取模块6100进一步被配置为获取来自网络侧的内容密钥有序组,内容密钥有序组中除首个内容密钥以外的内容密钥是根据上一个内容密钥和散列函数生成的;内容加密模块6200进一步被配置为采用内容密钥有序组中未使用过的最后一个密钥对数据内容加密。
在一些实施例中,发送模块6400进一步被配置为向多个接收终端发送内容加密数据和密钥加密数据,其中,向不同接收终端发送的内容加密数据是采用不同的内容加密密钥加密的。
在一些实施例中,通信终端600还包括:接收模块6500,被配置为获取来自发送终端的内容加密数据和密钥加密数据;密钥解密模块6600,被配置为采用通道密钥解密密钥加密数据,获得内容密钥;内容解密模块6700,被配置为采用获得的内容密钥解密内容加密数据,获得数据内容。
在一些实施例中,通信终端600还包括:密钥验证模块6800,被配置为对获得的内容密钥进行验证,在接收终端在预设时间内首次收到发送终端发送的内容加密数据和密钥加密数据的情况下,接收终端将获得的内容密钥发送给网络侧进行验证;在接收终端在预设时间内并非首次收到发送终端发送的内容加密数据和密钥加密数据的情况下,接收终端基于上一次获得的内容密钥和散列函数验证本次获得的内容密钥,其中,发送终端是采用内容密钥有序组中的密钥加密内容数据的,内容密钥有序组中除首个内容密钥以外的内容密钥是根据上一个内容密钥和散列函数生成的。
下面参考图7描述本发明通信系统的实施例。
图7为根据本发明一些实施例的通信系统的结构示意图。如图7所示,该实施例的通信系统70包括通信终端710和基站720。通信终端710可以有一个或多个,其具体实施方式可以参考图6实施例中的通信终端600。基站720被配置为向覆盖范围内的终端下发通道密钥和内容密钥,其中,基站720的覆盖范围内的每个终端获得的通道密钥相同、获得的内容密钥不同。
在一些实施例中,通信系统70还包括:网络侧设备730,被配置为生成每个基站对应的通道密钥,并向每个基站下发每个基站对应的通道密钥和每个基站的相邻基站对应的通道密钥。
在一些实施例中,网络侧设备730进一步被配置为为每个终端生成初始内容密钥,根据初始内容密钥和散列函数生成内容密钥有序组,其中,内容密钥有序组包括多个内容密钥,并且将终端的内容密钥有序组下发给基站,以便基站将终端的内容密钥有序组下发给终端。
图8为根据本发明另一些实施例的通信终端的结构示意图。如图8所示,该实施例的通信终端80包括:存储器810以及耦接至该存储器810的处理器820,处理器820被配置为基于存储在存储器810中的指令,执行前述任意一个实施例中的通信方法。
其中,存储器810例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(Boot Loader)以及其他程序等。
图9为根据本发明又一些实施例的通信终端的结构示意图。如图9所示,该实施例的通信终端90包括:存储器910以及处理器920,还可以包括输入输出接口930、网络接口940、存储接口950等。这些接口930,940,950以及存储器910和处理器920之间例如可以通过总线960连接。其中,输入输出接口930为显示器、鼠标、键盘、触摸屏等输入输出设备提供连接接口。网络接口940为各种联网设备提供连接接口。存储接口950为SD卡、U盘等外置存储设备提供连接接口。
本发明的实施例还提供一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现前述任意一种通信方法。
本领域内的技术人员应当明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解为可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (21)
1.一种通信方法,包括:
发送终端获取基站下发的通道密钥和内容密钥,其中,发送终端获取的通道密钥与接收终端获取的通道密钥相同,发送终端和接收终端为车载终端、并且所述发送终端和接收终端位于同一基站的覆盖范围或者相邻基站的覆盖范围,基站向覆盖范围内的终端下发的通道密钥相同,并且基站向覆盖范围内的终端下发的通道密钥包括所述基站对应的通道密钥和相邻基站对应的通道密钥;
发送终端采用内容密钥对数据内容加密,生成内容加密数据;
发送终端采用通道密钥对内容密钥加密,生成密钥加密数据;
发送终端向接收终端发送内容加密数据和密钥加密数据,以便接收终端采用通道密钥对密钥加密数据进行解密,获得内容密钥,并采用内容密钥对内容加密数据进行解密,获得数据内容。
2.根据权利要求1所述的通信方法,其中,
发送终端分别采用获取的每个通道密钥对内容密钥加密,生成多个密钥加密数据。
3.根据权利要求1所述的通信方法,其中,
发送终端获取来自网络侧的内容密钥有序组,内容密钥有序组中除首个内容密钥以外的内容密钥是根据上一个内容密钥和散列函数生成的;
发送终端采用内容密钥有序组中未使用过的最后一个密钥对数据内容加密。
4.根据权利要求1所述的通信方法,其中,发送终端向多个接收终端发送内容加密数据和密钥加密数据,其中,向不同接收终端发送的内容加密数据是采用不同的内容加密密钥加密的。
5.根据权利要求1所述的通信方法,
还包括:发送终端采用内容密钥对内容加密数据进行签名,生成签名数据;
发送终端向接收终端发送内容加密数据、密钥加密数据和签名数据,以便接收终端根据签名对内容数据进行验证。
6.根据权利要求1~5中任一项所述的通信方法,还包括:
接收终端采用通道密钥解密来自发送终端的密钥加密数据,获得内容密钥;
接收终端对获得的内容密钥进行验证;
响应于验证通过,接收终端采用获得的内容密钥解密内容加密数据,获得数据内容。
7.根据权利要求6所述的通信方法,其中,所述接收终端对获得的内容密钥进行验证包括:
在接收终端在预设时间内首次收到所述发送终端发送的内容加密数据和密钥加密数据的情况下,接收终端将获得的内容密钥发送给网络侧进行验证;
在接收终端在预设时间内并非首次收到所述发送终端发送的内容加密数据和密钥加密数据的情况下,接收终端基于上一次获得的内容密钥和散列函数验证本次获得的内容密钥,其中,发送终端是采用内容密钥有序组中的密钥加密内容数据的,内容密钥有序组中除首个内容密钥以外的内容密钥是根据上一个内容密钥和散列函数生成的。
8.根据权利要求1~5中任一项所述的通信方法,还包括:
基站向覆盖范围内的终端下发通道密钥和内容密钥,其中,基站的覆盖范围内的每个终端获得的通道密钥相同、获得的内容密钥不同。
9.根据权利要求8所述的通信方法,还包括:
网络侧设备生成每个基站对应的通道密钥;
网络侧设备向每个基站下发所述每个基站对应的通道密钥和所述每个基站的相邻基站对应的通道密钥。
10.根据权利要求8所述的通信方法,还包括:
网络侧设备为每个终端生成初始内容密钥;
网络侧设备根据所述初始内容密钥和散列函数,生成内容密钥有序组,其中,所述内容密钥有序组包括多个内容密钥;
网络侧设备将终端的内容密钥有序组下发给基站,以便基站将终端的内容密钥有序组下发给终端。
11.一种通信终端,包括:
密钥获取模块,被配置为获取基站下发的通道密钥和内容密钥,其中,密钥获取模块获取的通道密钥与接收终端获取的通道密钥相同,发送终端和接收终端为车载终端、并且所述发送终端和接收终端位于同一基站的覆盖范围或者相邻基站的覆盖范围,基站向覆盖范围内的终端下发的通道密钥相同,并且基站向覆盖范围内的终端下发的通道密钥包括所述基站对应的通道密钥和相邻基站对应的通道密钥;
内容加密模块,被配置为采用内容密钥对数据内容加密,生成内容加密数据;
密钥加密模块,被配置为采用通道密钥对内容密钥加密,生成密钥加密数据;
发送模块,被配置为向接收终端发送内容加密数据和密钥加密数据,以便接收终端采用通道密钥对密钥加密数据进行解密,获得内容密钥,并采用内容密钥对内容加密数据进行解密,获得数据内容。
12.根据权利要求11所述的通信终端,其中,所述密钥加密模块进一步被配置为分别采用获取的每个通道密钥对内容密钥加密,生成多个密钥加密数据。
13.根据权利要求11所述的通信终端,其中,
所述密钥获取模块进一步被配置为获取来自网络侧的内容密钥有序组,内容密钥有序组中除首个内容密钥以外的内容密钥是根据上一个内容密钥和散列函数生成的;
所述内容加密模块进一步被配置为采用内容密钥有序组中未使用过的最后一个密钥对数据内容加密。
14.根据权利要求11所述的通信终端,其中,
所述发送模块进一步被配置为向多个接收终端发送内容加密数据和密钥加密数据,其中,向不同接收终端发送的内容加密数据是采用不同的内容加密密钥加密的。
15.根据权利要求11~14中任一项所述的通信终端,还包括:
接收模块,被配置为获取来自发送终端的内容加密数据和密钥加密数据;
密钥解密模块,被配置为采用通道密钥解密来自发送终端的密钥加密数据,获得内容密钥;
内容解密模块,被配置为采用获得的内容密钥解密内容加密数据,获得数据内容。
16.根据权利要求15所述的通信终端,还包括:
密钥验证模块,被配置为对获得的内容密钥进行验证,在接收终端在预设时间内首次收到所述发送终端发送的内容加密数据和密钥加密数据的情况下,接收终端将获得的内容密钥发送给网络侧进行验证;在接收终端在预设时间内并非首次收到所述发送终端发送的内容加密数据和密钥加密数据的情况下,接收终端基于上一次获得的内容密钥和散列函数验证本次获得的内容密钥,其中,发送终端是采用内容密钥有序组中的密钥加密内容数据的,内容密钥有序组中除首个内容密钥以外的内容密钥是根据上一个内容密钥和散列函数生成的。
17.一种通信系统,包括:
权利要求11~16任一项所述的通信终端;以及
基站,被配置为向覆盖范围内的终端下发通道密钥和内容密钥,其中,基站的覆盖范围内的每个终端获得的通道密钥相同、获得的内容密钥不同。
18.根据权利要求17所述的通信系统,还包括:
网络侧设备,被配置为生成每个基站对应的通道密钥,并向每个基站下发所述每个基站对应的通道密钥和所述每个基站的相邻基站对应的通道密钥。
19.根据权利要求18所述的通信系统,其中,所述网络侧设备进一步被配置为为每个终端生成初始内容密钥,根据所述初始内容密钥和散列函数生成内容密钥有序组,其中,所述内容密钥有序组包括多个内容密钥,并且将终端的内容密钥有序组下发给基站,以便基站将终端的内容密钥有序组下发给终端。
20.一种通信终端,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行如权利要求1~10中任一项所述的通信方法。
21.一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现权利要求1~10中任一项所述的通信方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810970039.4A CN110858835B (zh) | 2018-08-24 | 2018-08-24 | 通信方法、系统和相关设备以及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810970039.4A CN110858835B (zh) | 2018-08-24 | 2018-08-24 | 通信方法、系统和相关设备以及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110858835A CN110858835A (zh) | 2020-03-03 |
| CN110858835B true CN110858835B (zh) | 2022-02-18 |
Family
ID=69636254
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810970039.4A Active CN110858835B (zh) | 2018-08-24 | 2018-08-24 | 通信方法、系统和相关设备以及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110858835B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002319933A (ja) * | 2001-04-20 | 2002-10-31 | Sony Corp | 通信システム |
| CN101035255A (zh) * | 2007-04-17 | 2007-09-12 | 华为技术有限公司 | 实现虚拟频道业务的系统、保护方法和服务器 |
| US7995758B1 (en) * | 2004-11-30 | 2011-08-09 | Adobe Systems Incorporated | Family of encryption keys |
| CN103023653A (zh) * | 2012-12-07 | 2013-04-03 | 哈尔滨工业大学深圳研究生院 | 低功耗的物联网安全组通信方法及装置 |
| CN103401678A (zh) * | 2013-07-30 | 2013-11-20 | 成都卫士通信息产业股份有限公司 | 一种保障物联网数据传输安全的方法 |
| CN104486077A (zh) * | 2014-11-20 | 2015-04-01 | 中国科学院信息工程研究所 | 一种VoIP实时数据安全传输的端到端密钥协商方法 |
| CN105959281A (zh) * | 2016-04-29 | 2016-09-21 | 腾讯科技(深圳)有限公司 | 文件加密传输方法和装置 |
| CN107612898A (zh) * | 2017-09-08 | 2018-01-19 | 四川省绵阳太古软件有限公司 | 物联网大数据安全传输与存储方法、系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7039803B2 (en) * | 2001-01-26 | 2006-05-02 | International Business Machines Corporation | Method for broadcast encryption and key revocation of stateless receivers |
-
2018
- 2018-08-24 CN CN201810970039.4A patent/CN110858835B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002319933A (ja) * | 2001-04-20 | 2002-10-31 | Sony Corp | 通信システム |
| US7995758B1 (en) * | 2004-11-30 | 2011-08-09 | Adobe Systems Incorporated | Family of encryption keys |
| CN101035255A (zh) * | 2007-04-17 | 2007-09-12 | 华为技术有限公司 | 实现虚拟频道业务的系统、保护方法和服务器 |
| CN103023653A (zh) * | 2012-12-07 | 2013-04-03 | 哈尔滨工业大学深圳研究生院 | 低功耗的物联网安全组通信方法及装置 |
| CN103401678A (zh) * | 2013-07-30 | 2013-11-20 | 成都卫士通信息产业股份有限公司 | 一种保障物联网数据传输安全的方法 |
| CN104486077A (zh) * | 2014-11-20 | 2015-04-01 | 中国科学院信息工程研究所 | 一种VoIP实时数据安全传输的端到端密钥协商方法 |
| CN105959281A (zh) * | 2016-04-29 | 2016-09-21 | 腾讯科技(深圳)有限公司 | 文件加密传输方法和装置 |
| CN107612898A (zh) * | 2017-09-08 | 2018-01-19 | 四川省绵阳太古软件有限公司 | 物联网大数据安全传输与存储方法、系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110858835A (zh) | 2020-03-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3742696B1 (en) | Identity management method, equipment, communication network, and storage medium | |
| EP3609121B1 (en) | Method and device for managing digital certificate | |
| CN107800539B (zh) | 认证方法、认证装置和认证系统 | |
| CN109428875B (zh) | 基于服务化架构的发现方法及装置 | |
| CN106464485B (zh) | 用于保护在清单文件中输送的内容密钥的系统和方法 | |
| EP2823619B1 (en) | Policy for secure packet transmission using required node paths and cryptographic signatures | |
| CN107358441B (zh) | 支付验证的方法、系统及移动设备和安全认证设备 | |
| CN108650028B (zh) | 基于量子通信网络与真随机数的多次身份认证系统和方法 | |
| CN109905877B (zh) | 通信网络系统的消息验证方法、通信方法和通信网络系统 | |
| EP4258593A1 (en) | Ota update method and apparatus | |
| CN111699706B (zh) | 用于通过蓝牙低能耗连接进行通信的主从系统 | |
| CN108964897B (zh) | 基于群组通信的身份认证系统和方法 | |
| CN109639644B (zh) | 授权验证方法、装置、存储介质和电子设备 | |
| CN101783800A (zh) | 一种嵌入式系统安全通信方法、装置及系统 | |
| CN112449323B (zh) | 一种通信方法、装置和系统 | |
| CN108076016B (zh) | 车载设备之间的认证方法及装置 | |
| CN113114654B (zh) | 一种终端设备接入安全认证方法、装置及系统 | |
| CN108964895B (zh) | 基于群组密钥池和改进Kerberos的User-to-User身份认证系统和方法 | |
| CN112104460A (zh) | 一种非对称动态令牌加、解密算法的方法 | |
| JP6382980B2 (ja) | プリコード化されたパケットのハッシュ処理を使用したセキュアなコンテンツ配信 | |
| WO2022041151A1 (zh) | 设备验证方法、设备和云端 | |
| CN113141333B (zh) | 入网设备的通信方法、设备、服务器、系统及存储介质 | |
| CN106487761B (zh) | 一种消息传输方法和网络设备 | |
| CN110858835B (zh) | 通信方法、系统和相关设备以及计算机可读存储介质 | |
| CN110602075A (zh) | 一种加密访问控制的文件流处理的方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20200303 Assignee: Tianyiyun Technology Co.,Ltd. Assignor: CHINA TELECOM Corp.,Ltd. Contract record no.: X2024110000020 Denomination of invention: Communication methods, systems and related equipment, as well as computer-readable storage media Granted publication date: 20220218 License type: Common License Record date: 20240315 |