CN116866001A - 基于密钥管理系统的终端设备接入网关的方法和装置 - Google Patents

基于密钥管理系统的终端设备接入网关的方法和装置 Download PDF

Info

Publication number
CN116866001A
CN116866001A CN202310675330.XA CN202310675330A CN116866001A CN 116866001 A CN116866001 A CN 116866001A CN 202310675330 A CN202310675330 A CN 202310675330A CN 116866001 A CN116866001 A CN 116866001A
Authority
CN
China
Prior art keywords
key
gateway
terminal equipment
request message
random number
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310675330.XA
Other languages
English (en)
Inventor
王家勇
汪林峰
卫记民
王海峰
居唯越
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xintong Digital Intelligence Quantum Technology Co ltd
Original Assignee
Xintong Digital Intelligence Quantum Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xintong Digital Intelligence Quantum Technology Co ltd filed Critical Xintong Digital Intelligence Quantum Technology Co ltd
Priority to CN202310675330.XA priority Critical patent/CN116866001A/zh
Publication of CN116866001A publication Critical patent/CN116866001A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种基于密钥管理系统的终端设备接入网关的方法和装置。该方法包括:网关根据终端设备发送的第一请求消息,生成用于获取终端设备的公钥的第二请求消息;密钥管理系统根据接收的第二请求消息,获取终端设备的公钥和预设的终端密钥,根据预设的网关密钥加密终端设备的公钥得到第一密钥信息并发送至网关;网关根据预设网关密钥对第一密钥信息进行解密得到终端设备的公钥,并通过网关的公钥对终端设备的公钥进行加密并发送给终端设备;在本方法中,网关从密钥管理系统获取终端设备的公钥,并根据获取的公钥对自身公钥进行加密发送到终端设备。终端和网关之间进行公钥交换的过程是加密、可信的,可以避免公钥被拦截和篡改的几率。

Description

基于密钥管理系统的终端设备接入网关的方法和装置
技术领域
本申请涉及通信技术,尤其涉及一种基于密钥管理系统的终端设备接入网关的方法和装置。
背景技术
公司局域网是现代企业通信和数据传输的关键基础设施之一。在一个公司内部,各种终端设备需要相互连接和交换信息,而局域网提供了这种便捷的内部通信环境。
在公司局域网中,终端设备和网关之间的通信需要进行身份验证和密钥交换。通常,这种认证过程是通过协议进行的,如安全套接层(Secure Socket Layer,简称:SSL)协议。在这种情况下,终端设备和网关之间的公钥交换是确保安全连接的重要步骤。然而,公钥交换过程中存在风险,因为攻击者可能会拦截和篡改交换的公钥,从而破坏连接的安全性。
因此,如何保证局域网内终端设备和网关之间的通信安全性是亟待解决的问题。
发明内容
本申请提供一种基于密钥管理系统的终端设备接入网关的方法和装置,用以解决终端设备和网关之间通信安全性的问题。
第一方面,本申请提供一种基于密钥管理系统的终端设备接入网关的方法,应用于网关,包括:
接收终端设备发送的第一请求消息,所述第一请求消息用于请求与所述网关之间建立通信通道,所述第一请求消息包括所述终端设备的标识;
根据所述第一请求消息,生成用于获取所述终端设备的公钥的第二请求消息,并将所述第二请求消息通过预设的网关密钥加密,得到加密后的第二请求消息,所述第二请求消息包括所述终端设备的标识以及所述网关的IP;
将所述加密后的第二请求消息发送至密钥管理系统;
接收所述密钥管理系统返回的第一密钥信息和第二密钥信息,其中所述第一密钥信息包括采用预设的网关密钥加密的所述终端设备的公钥,所述第二密钥信息包括采用预设的终端密钥加密的所述终端设备的公钥;
根据所述网关密钥对所述第一密钥信息进行解密得到所述终端设备的公钥;
获取所述网关的公钥,并将所述网关的公钥通过所述终端设备的公钥进行加密,得到第三密钥信息;
将所述第二密钥信息和所述第三密钥信息发送给所述终端设备。
可选的,所述方法还包括:
接收所述终端设备发送的第三请求消息,所述第三请求消息包括采用所述网关的公钥加密后的随机数A以及所述终端设备的私钥对所述随机数A的签名信息;
根据所述网关的私钥对所述第三请求消息中加密后的随机数A进行解密,得到随机数A;
获取随机数B;
根据所述随机数A,所述随机数B,所述网关的私钥,所述终端设备的公钥,获取会话密钥K;
将签名和加密后的随机数B和随机数A发送至所述终端设备。
可选,所述获取随机数B,包括:
接收所述密钥管理系统发送的采用所述网关密钥加密后的量子随机数B;
对所述加密后的量子随机数B进行解密,得到量子随机数B,所述随机数B为所述量子随机数B;
或者,
随机生成所述量子随机数B。
第二方面,本申请提供一种基于密钥管理系统的终端设备接入网关的方法,应用于密钥管理系统,所述方法包括:
接收网关发送的采用预设的网关密钥加密的第二请求消息,所述第二请求消息用于获取终端设备的公钥,所述第二请求消息中包括所述终端设备的标识和所述网关的IP;
根据所述终端设备的标识,从预设的终端设备配置表中获取所述终端设备的公钥和预设的终端密钥;
根据预设的网关密钥加密所述终端设备的公钥得到所述第一密钥信息,并根据所述终端密钥加密所述终端设备的公钥得到所述二密钥信息;
根据所述网关的IP,将所述第一密钥信息和所述第二密钥信息发送至所述网关。
可选的,所述方法还包括:
获取所述网关所属公司内全部的终端设备数据,其中,所述终端设备数据包括每个终端设备的标识、每个终端设备的公钥和预设的每个终端设备的密钥;
根据所述终端设备数据对所述终端设备配置表进行配置更新。
可选的,所述方法还包括:
生成量子随机数B;
将所述量子随机数采用所述网关密钥进行加密,并将加密后的量子随机数B发送至所述网关。
第三方面,本申请还提供一种基于密钥管理系统的终端设备接入网关的方法,应用于终端设备,所述方法包括:
响应于用户操作,向网关发送第一请求消息,所述第一请求消息用于请求与所述网关之间建立通信通道,所述第一请求消息包括所述终端设备的标识;
接收所述网关返回的第二密钥信息和第三密钥信息,所述第二密钥信息包括采用预设的终端密钥加密的所述终端设备的公钥,所述第三密钥信息包括采用所述终端设备的公钥加密的所述网关的公钥;
对所述第二密钥信息和所述第三密钥信息分别进行解密,得到所述终端设备的公钥和所述网关的公钥。
可选的,所述方法还包括:
生成随机数A;
向所述网关发送第三请求消息,所述第三请求消息包括采用所述网关的公钥加密后的所述随机数A以及所述终端设备的私钥对所述随机数A的签名信息;
接收所述网关发送的签名和加密后的随机数B和随机数A;
根据所述随机数A,所述随机数B,所述网关的公钥,所述终端设备的私钥,获取会话密钥K。
第四方面,本申请还提供一种终端设备接入网关的装置,所述装置包括:
接收模块,用于接收终端设备发送的第一请求消息,所述第一请求消息用于请求与所述网关之间建立通信通道,所述第一请求消息包括所述终端设备的标识;
生成模块,用于根据所述第一请求消息,生成用于获取所述终端设备的公钥的第二请求消息,并将所述第二请求消息通过预设的网关密钥加密,得到加密后的第二请求消息,所述第二请求消息包括所述终端设备的标识以及所述网关的IP;
发送模块,用于将所述加密后的第二请求消息发送至密钥管理系统;
所述接收模块,还用于接收所述密钥管理系统返回的第一密钥信息和第二密钥信息,其中所述第一密钥信息包括采用预设的网关密钥加密的所述终端设备的公钥,所述第二密钥信息包括采用预设的终端密钥加密的所述终端设备的公钥;
解密模块,用于根据所述网关密钥对所述第一密钥信息进行解密得到所述终端设备的公钥;
加密模块,用于获取所述网关的公钥,并将所述网关的公钥通过所述终端设备的公钥进行加密,得到第三密钥信息;
所述发送模块,还用于将所述第二密钥信息和所述第三密钥信息发送给所述终端设备。
第五方面,本申请还提供一种基于密钥管理系统的终端设备接入网关的装置,所述装置包括:
接收模块,用于接收网关发送的采用预设的网关密钥加密的第二请求消息,所述第二请求消息用于获取终端设备的公钥,所述第二请求消息中包括所述终端设备的标识和所述网关的IP;
获取模块,用于根据所述终端设备的标识,从预设的终端设备配置表中获取所述终端设备的公钥和预设的终端密钥;
加密模块,用于根据预设的网关密钥加密所述终端设备的公钥得到所述第一密钥信息,并根据所述终端密钥加密所述终端设备的公钥得到所述第二密钥信息;
发送模块,用于根据所述网关的IP,将所述第一密钥信息和所述第二密钥信息发送至所述网关。
第六方面,本申请提供一种基于密钥管理系统的终端设备接入网关的装置,所述装置包括:
发送模块,用于响应于用户操作,向网关发送第一请求消息,所述第一请求消息用于请求与所述网关之间建立通信通道,所述第一请求消息包括所述终端设备的标识;
接收模块,用于接收所述网关返回的第二密钥信息和第三密钥信息,所述第二密钥信息包括采用预设的终端密钥加密的所述终端设备的公钥,所述第三密钥信息包括采用所述终端设备的公钥加密的所述网关的公钥;
解密模块,用于对所述第二密钥信息和所述第三密钥信息分别进行解密,得到所述终端设备的公钥和所述网关的公钥。
第七方面,本申请还提供一种电子设备,包括:
处理器,与所述处理器通信连接的存储器,以及与其他设备交互的通信接口;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现如第一方面至第三方面任一项所述的基于密钥管理系统的终端设备接入网关的方法。
第八方面,本申请还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如第一方面至第三方面任一项所述的基于密钥管理系统的终端设备接入网关的方法。
本申请提供的一种基于密钥管理系统的终端设备接入网关的方法和装置,该方法包括:终端设备向网关发送第一请求消息;网关根据第一请求消息,生成用于获取终端设备的公钥的加密的第二请求消息;将加密后的第二请求消息发送至密钥管理系统;密钥管理系统根据第二请求消息,从预设的终端设备配置表中获取终端设备的公钥和预设的终端密钥;根据预设的网关密钥加密终端设备的公钥得到第一密钥信息,并根据预设的终端密钥加密终端设备的公钥得到第二密钥信息;将第一密钥信息和第二密钥信息发送至网关;网关根据预设网关密钥对第一密钥信息进行解密得到终端设备的公钥;网关通过网关的公钥对终端设备的公钥进行加密,得到第三密钥信息;将第二密钥信息和第三密钥信息发送给终端设备;终端设备对第二密钥信息和第三密钥信息分别进行解密,得到终端设备的公钥和网关的公钥。在这种方法中,网关从密钥管理系统获取终端设备的公钥,并根据获取的公钥对自身公钥进行加密发送到终端设备。终端和网关之间进行公钥交换的过程是加密的,可以避免公钥被拦截和篡改的几率。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请实施例提供的一种可能的应用场景示意图;
图2为本申请实施例提供的一种基于密钥管理系统的终端设备接入网关的方法实施例一的流程示意图;
图3为本申请实施例提供的一种基于密钥管理系统的终端设备接入网关的方法实施例二的流程示意图;
图4为本申请实施例提供的一种基于密钥管理系统的终端设备接入网关的方法实施例三的流程示意图;
图5为本申请实施例提供的一种基于密钥管理系统的终端设备接入网关的装置实施例一的结构示意图;
图6为本申请实施例提供的一种基于密钥管理系统的终端设备接入网关的装置实施例二的结构示意图;
图7为本申请实施例提供的一种基于密钥管理系统的终端设备接入网关的装置实施例三的结构示意图;
图8为本申请提供的一种电子设备的结构示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
首先对本申请所涉及的名词进行解释:
随机数:普通随机数通常是通过确定性算法或物理过程的不可预测性生成的,例如使用伪随机数生成器(Pseudo Random Number Generator,简称:PRNG)算法。随机数计算过程生成一系列随机的数值。虽然伪随机数序列在短期内看起来是随机的,但在长期运行中,它们会出现周期性或重复性。
量子随机数:是指通过利用量子物理现象生成的随机数。传统的随机数生成方法基于确定性算法或物理过程的不可预测性,而量子随机数利用了量子力学中的不确定性来实现更强的随机性;由于量子力学的本质,测量结果具有真正的随机性,不受预测或重复性;由于测量结果是不可预测的,因此无法通过计算或观测量子系统的状态来推断出随机数的值。
局域网(Local Area Network,LAN)是指在一个相对较小的地理范围内,例如家庭、办公室、校园或企业内部,通过通信设备互相连接起来的计算机网络。它提供了内部员工之间的高效通信和数据交换平台,支持业务流程的顺畅运行。局域网还提供了对外部网络(如互联网)的接入,使得企业能够与客户、合作伙伴和供应商进行安全可靠的远程通信。
在局域网中,网关的角色是非常重要的,它连接了局域网和外部网络,负责数据包的转发和路由。通过认证和通信机制,设备可以安全地与网关进行交互,从而实现与外部网络的连接和通信。
在现有的局域网中,终端设备和网关之间通常使用密码进行身份认证。这种方式需要用户输入用户名和密码进行验证,以确保只有合法用户才能访问网络资源。然而,密码认证存在一些缺点。首先,密码容易被猜测、泄露或遗忘,从而导致安全漏洞。其次,密码认证对用户来说是繁琐的,需要记住多个不同的密码,容易造成密码的弱化或重复使用。此外,密码认证没有提供抵御中间人攻击的保护,即在通过加密协议进行公钥交换过程中可能会被截获并篡改,从而导致密钥安全性的风险。
为了解决这一问题,可以通过使用CA(Certificate Authority)认证机构来生成和管理数字证书,数字证书中包含了终端设备和网关的公钥。终端设备和网关可以向密钥管理系统发送请求,获取相应的数字证书,从而确保了公钥的安全性和真实性。通过数字证书认证,可以有效防止中间人攻击和篡改,提供更高级别的安全保护。
然而,使用CA认证需要建立和管理一个完善的公钥基础设施(Public KeyInfrastructure,简称:PKI)系统,包括设置和维护认证服务器、颁发和管理数字证书、密钥的存储和更新等,增加了部署和管理的复杂性。在使用CA认证的情况下,如果某个设备的证书被吊销或过期,必须及时更新并重新颁发证书,并且在通信过程中传输和验证数字证书,增加了通信的开销和延迟。
鉴于上述问题,发明人在对本领域研究过程中发现,通过建立一个公司系统和公司内局域网设备可信的密钥管理系统,通过这个系统可以实现终端设备和网关公钥的安全交换,保障通信安全,并且认证过程不再需要用户名和密码验证,简化局域网内用户上网的流程。基于此,本申请提供一种基于密钥管理系统的终端设备接入网关的方法和装置。
需要说明的是,密钥管理系统可以位于公司局域网之外,也可以位于公司局域网内。
图1为本申请实施例提供的一种可能的应用场景示意图,如图1所示,局域网内,至少一个终端设备接入至少一个网关,通过网关访问外部网络,其中终端设备可以是手机、电脑、打印机、智能可穿戴设备等,网关设备可以是路由器,交换机,代理服务器等。
下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本申请的实施例进行描述。
图2为本申请实施例提供的一种基于密钥管理系统的终端设备接入网关的方法实施例一的流程示意图,如图2所示,该方法包括:
S101、终端设备响应于用户操作,向网关发送第一请求消息。
相应的,网关接收终端设备发送的第一请求消息。
在本步骤中,用户使用终端设备通过有线连接或者无线连接的方式连接到局域网网络。当连接到局域网网络时,终端设备自动将自身的终端设备的标识和其他必要请求信息组装成第一请求消息,第一请求消息用于与网关之间建立通信通道。其中,终端设备的标识可以是媒体访问控制地址(Media Access Control Address,简称:MAC地址),也可以是个人身份识别码(Personal identification number,简称:PIN),设备的唯一标识(Identity document,简称:ID)等,其他必要请求信息包括通信需求,网际互连协议(Internet Protocol,简称:IP)地址,通信协议信息,安全参数等。终端设备将第一请求消息发送到网关。
S102、根据第一请求消息,生成用于获取终端设备的公钥的第二请求消息,并将第二请求消息通过预设的网关密钥加密,得到加密后的第二请求消息。
在本步骤中,网关接收终端设备发送的第一请求消息,需要验证终端设备的身份并和终端设备交换公钥用于后续会话。因此,网关根据第一请求消息中的终端设备的标识和自身网关的标识生成第二请求消息,第二请求消息用于验证终端设备的身份和获取终端设备的公钥。生成的第二请求消息经预设密钥加密,得到加密后的第二请求消息,发送到密钥管理系统。
其中,网关的标识可以是网关IP,也可以是网关设备ID。而预设密钥是网关和密钥管理系统预先协商并设置好的,存储在网关的安全存储区域中。
在一种可能的实现方式中,预设密钥的设置可能使用安全的密钥交换协议,例如Diffie-Hellman密钥交换。通过这种协议,网关可以与密钥管理系统协商和生成一个共享的预设密钥。
S103、将加密后的第二请求消息发送至密钥管理系统。
相应的,密钥管理系统接收网关发送的采用预设的网关密钥加密的第二请求消息。
S104、根据终端设备的标识,从预设的终端设备配置表中获取终端设备的公钥和预设的终端密钥。
在本步骤中,密钥管理系统接收加密后的第二请求消息,采用预设网关密钥对第二请求消息进行解密,获取终端设备的标识和网关标识。
根据终端设备的标识从预先配置的身份验证表中查询该终端设备当前是否具备联网资格。预先配置的身份验证表中存储有多个终端设备的联网资格期限日期。
若终端设备的标识不具备联网资格,则返回不具备联网资格的消息至网关,网关发送联网失败消息至用户的终端设备,用于指示用户的终端设备不具备联网资格。
若终端设备的标识具备联网资格,则从预设的终端设备配置表中获取终端设备的公钥和预设的终端密钥。预设的终端设备配置表中包括预先配置每个终端设备标识及对应的公钥和预设的终端密钥,其中,终端设备的公钥用于发送给网关使用,预设的终端密钥用于终端设备校验。
S105、根据预设的网关密钥加密终端设备的公钥得到第一密钥信息,并根据预设的终端密钥加密终端设备的公钥得到第二密钥信息。
在本步骤中,为保证终端设备的密钥发送至网关安全性,使用预设的网关密钥加密终端设备的公钥,得到第一密钥信息。并使用预设的终端密钥加密终端设备的公钥,得到第二密钥信息。
在一种可能的实现方式中,密钥管理系统位于局域网外,使用预设的网关密钥加密进终端设备的公钥和使用预设的终端密钥加密终端设备的公钥。通过预设的对称密钥的方式,相比于局域网外非对称密钥加密的方式,在密钥传输过程中可以防止因量子计算攻击而引起的密钥泄露。
在一种可能的实现方式中,密钥管理系统位于局域网内,局域网的通信渠道是可以信任的,更加安全,增加密钥传递的安全性。
S106、根据网关的IP,将第一密钥信息和第二密钥信息发送至网关。
相应的,网关接收密钥管理系统返回的第一密钥信息和第二密钥信息。
可选的,根据第二请求消息中的网关标识中的IP确定网关的IP地址。
可选的,根据第二请求消息中的网关的ID从预设的网关地址表中确定网关的IP地址。
S107、根据网关密钥对第一密钥信息进行解密得到终端设备的公钥。
S108、获取网关的公钥,并将网关的公钥通过终端设备的公钥进行加密,得到第三密钥信息。
在本步骤中,网关获取预先存储在网关中的自身的公钥,网关根据终端设备的公钥对网关自身的公钥进行加密得到第三密钥信息。
在一种可能的实现方式中,从网关的密钥存储区域中直接读取公钥数据。
在一种可能的实现方式中,通过网关管理界面或配置接口提供的应用程序编程接口(Application Programming Interface,简称:API)获取公钥数据。
在一种可能的实现方式中,在密钥生成过程中将公钥输出到指定位置,例如配置文件,使用时从该位置读取公钥数据。
S109、将第二密钥信息和第三密钥信息发送给终端设备。
相应的,终端设备接收网关返回的第二密钥信息和第三密钥信息。
S110、对第二密钥信息和第三密钥信息分别进行解密,得到终端设备的公钥和网关的公钥。
在本步骤中,终端设备采用预设的终端密钥对第二密钥信息进行解密,得到终端公钥信息,与自身的终端公钥信息进行校验比对,确定第二密钥信息的正确性。终端设备采用终端私钥对第三密钥消息进行解密,得到网关公钥。
可选的,若终端公钥校验结果结果不一致,则返回获取终端公钥有误消息至网关,网关转发至密钥管理系统,密钥管理系统对该终端设备标识对应的终端公钥进行检查,并更新预设的终端设备配置表。
本申请实施例提供一种基于密钥管理系统的终端设备接入网关的方法,终端设备向网关发送第一请求消息;网关根据第一请求消息,生成用于获取终端设备的公钥的加密的第二请求消息;将加密后的第二请求消息发送至密钥管理系统;密钥管理系统根据第二请求消息,从预设的终端设备配置表中获取终端设备的公钥和预设的终端密钥;根据预设的网关密钥加密终端设备的公钥得到第一密钥信息,并根据预设的终端密钥加密终端设备的公钥得到第二密钥信息;将第一密钥信息和第二密钥信息发送至网关;网关根据预设网关密钥对第一密钥信息进行解密得到终端设备的公钥;网关通过网关的公钥对终端设备的公钥进行加密,得到第三密钥信息;将第二密钥信息和第三密钥信息发送给终端设备;终端设备对第二密钥信息和第三密钥信息分别进行解密,得到终端设备的公钥和网关的公钥。网关从密钥管理系统获取终端设备的公钥,并根据获取的公钥对自身公钥进行加密发送到终端设备,通过这种方法终端和网关之间进行公钥交换的过程是加密的,可以避免公钥被拦截和篡改的几率。
在终端设备和网关交换公钥之后,终端设备和网关之间可以进行加密的通信。
为防止密钥长时间使用过程中被拦截和破解的可能性,每次会话通过临时生成的会话密钥进行通信,增加接入网关的安全性。在上述实施例一基础上,对会话密钥的生成进行详细介绍。
图3为本申请实施例提供的一种基于密钥管理系统的终端设备接入网关的方法实施例二的流程示意图,如图3所示,该方法包括:
S201、生成随机数A。
在本步骤中,为获取会话密钥,终端设备需要生成一个随机数与网关的随机数进行处理。终端设备利用自身硬件或软件获取生成随机数的种子值,种子值包括系统时钟、鼠标移动、键盘输入、MAC地址等。
终端设备根据种子值使用伪随机数生成算法(PRNG)得到的结果作为随机数A。这个随机数可以是一个数字、字节序列或其他形式,具体格式在此不做限定。
示例性的,获取终端设备的MAC地址,并将其转换为二进制格式,进一步的对二进制的MAC地址进行哈希运算处理,或者将二进制的MAC地址与时间戳进行异或操作,得到处理后的二进制数据。将处理后的二进制数据即种子值,输入到线性同余生成器(Linearcongruential generator,简称:LGG)中,设定参数,即可得到随机数A。
S202、向网关发送第三请求消息。
相应的,网关接收终端设备发送的第三请求消息。
在本步骤中,终端设备根据生成的随机数A,使用上述实施例获取的网关的公钥对随机数A进行加密。并且使用终端设备的私钥对随机数A进行签名,将上述网关公钥加密后的随机数A以及终端设备的私钥对随机数A的签名信息生成第三请求消息发送至网关。
S203、根据网关的私钥对第三请求消息中加密后的随机数A进行解密,得到随机数A。
在本步骤中,网关接收到第三请求消息后,根据网关公钥对第三请求消息进行解密,并根据请求头信息中的终端设备标识获取终端设备的公钥,对随机数A进行验签。
S204、获取随机数B。
在本步骤中,验签成功后,网关需要获取随机数B与接收的随机数A进行异或得到临时的会话密钥。
在一种可能的实现方式中,网关随机生成量子随机数B,与终端设备生成随机数A的过程类似,在此不做赘述。
在另一种可能的实现方式中,网关使用网络随机数生成器从互联网上获取随机数B。若需要从互联网获取,则需要保证通信安全性,具体的,可以使用多个不同的随机源,并将他们的输出进行混合。
在另一种可能的实现方式中,接收密钥管理系统发送的采用网关密钥加密后的量子随机数B。若接收密钥管理系统发送的量子随机数B,则还包括步骤S2041-S2043。
S2041、生成量子随机数B。
在本步骤中,密钥管理系统接收到网关发送的获取量子随机数B的请求消息或者在收到第二请求消息时,生成量子随机数B。
具体的,量子随机数生成器(True Random Number Generator,简称:TRNG)接口集成在密钥管理系统中,密钥管理系统可以调用量子随机数生成器的接口,以获取量子随机数。这些接口可以包括指定所需的随机数位数、调用量子随机数生成算法等。
可选的,网关发送的获取量子随机数B的请求消息或者第二请求消息中包括量子随机数位数,密钥管理系统可以根据量子随机数位数,在接口中指定生成的量子随机数位数。或者将得到的量子随机数进行截断或者扩展得到量子随机数B。
示例性的,从较长的量子随机数中从头截取需要的位数作为量子随机数B。
又一示例性的,若量子随机数位数不满足需要,则可以通过多个量子随机数组合得到量子随机数B。
需要说明的是,TRNG利用量子现象(例如光子的量子态或量子纠缠)来产生随机的测量结果。TRNG生成的随机数是基于物理过程的不确定性,而不是依赖于确定性的算法。
S2042、将量子随机数采用网关密钥进行加密,并将加密后的量子随机数B发送至网关。
在本步骤中,为保证量子随机数传输的安全性,使用网关预设密钥对量子随机数进行加密,并发送到网关。
若密钥管理系统位于公司局域网之外,通过预设的密钥对量子随机数和上述实施例中的第一密钥和第二密钥进行加密,这种预设的密钥加密是一种对称密钥加密,相比于非对称加密的方式,可以有效防止密钥传递过程中遭受的量子计算攻击。
S2043、对加密后的量子随机数B进行解密,得到量子随机数B。
网关接收加密的量子随机数,并根据预设密钥对量子随机数B进行解密。
S205、根据随机数A,随机数B,网关的私钥,终端设备的公钥,获取会话密钥K。
在一种可能的实现方式中,网关根据随机数A和随机数B进行异或得到临时会话密钥K。网关使用网关的私钥对随机B进行签名,并且使用终端公钥对随机数A和随机数B进行加密。
在一种可能的实现方式中,网关使用密钥派生函数(Key Derivation Function,简称:KDF)根据随机数A和随机数B生成会话密钥。KDF可以结合随机数A、随机数B和其他附加信息,例如盐(salt)或其他密钥材料(网关密钥、终端设备密钥),以生成强大的会话密钥。其中,盐是一个随机的、公开的、不保密的值,用于增加派生密钥的唯一性和安全。
示例性的:
随机数A:0x68F92A1B、随机数B:0x42C75E9、网关私钥:0x1F4A6D3B9E8C7F50、终端设备公钥:0x9B27E4A8F36D7C21。
将随机数A、随机数B和其他附加信息进行处理:将这些值按照一定的顺序进行组合。例如,将随机数A和随机数B连接起来,然后将网关的私钥和终端设备的公钥附加到连接后的值中。则组合后为:0x68F92A1B42C75E9F1F4A6D3B9E8C7F509B27E4A8F36D7C21。也可以将随机数A和随机数B异或后,再将网关私钥和终端设备公钥附加到异或值之后。
选择适当的密钥派生函数(如HKDF、PBKDF2等)以及适当的参数,对组合后数据进行密钥派生。密钥派生函数将执行多次迭代和其他转换操作,以生成派生密钥,最终得到会话密钥。
S206、将签名和加密后的随机数B和随机数A发送至终端设备。
相应的,终端设备接收网关发送的签名和加密后的随机数B和随机数A。
S207、根据随机数A,随机数B,网关的公钥,终端设备的私钥,获取会话密钥K。
在本步骤中,终端设备根据终端设备的私钥对签名和加密后的随机数B和随机数A进行解密,并使用网关的公钥对随机数B进行验签,验签通过后,比较从网关获取的随机数A和终端设备自身的随机数A是否一致,若随机数A一致,则将随机数A和随机数B进行处理,得到会话密钥K。
在一种可能的实现方式中,根据随机数A和随机数B进行异或得到临时会话密钥K。
在另一种可能的实现方式中,使用密钥派生函数KDF根据随机数A和随机数B生成会话密钥,具体生成方式如步骤S206中网关使用KDF生成会话密钥相似,在此不做赘述。需要说明的是,终端设备和网关采用的KDF算法和附加信息需要一致,保证网关和终端设备两者之间会话密钥一致性。
可选的,若随机数A不一致,则在终端设备显示提示消息,提示用户网络不安全。
本申请实施例提供一种基于密钥管理系统的终端设备接入网关的方法,终端设备生成随机数A,采用网关公钥加密后发送至网关;网关接收到加密后随机数A,使用网关私钥对随机数A进行解密,并获取随机数B,其中,随机数B可以从密钥管理系统获取的一种量子随机数;根据随机数A和随机数B获取会话密钥。通过本方法,每次会话通过临时生成的会话密钥进行通信,增加接入网关的安全性,并且采用量子随机数和随机数的异或生成会话密钥,可以有效防止重放攻击。
在上述实施例一和实施例二基础上,对密钥管理系统如何管理接入网关的终端设备进行详细介绍。
图4为本申请实施例提供的一种基于密钥管理系统的终端设备接入网关的方法实施例三的流程示意图,如图4所示,该方法包括:
S301、终端设备响应于用户操作,向网关发送第一请求消息。
相应的,网关接收终端设备发送的第一请求消息。
S302、根据第一请求消息,生成用于获取终端设备的公钥的第二请求消息,并将第二请求消息通过预设的网关密钥加密,得到加密后的第二请求消息。
S303、将加密后的第二请求消息发送至密钥管理系统。
相应的,密钥管理系统接收网关发送的采用预设的网关密钥加密的第二请求消息。
S304、根据终端设备的标识,从预设的终端设备配置表中获取该终端设备数据。
步骤S301-S304与步骤S101-S104相似,在此不做赘述。
S305、发送获取终端设备数据的请求。
在本步骤中,密钥管理系统从预设的终端设备配置表中没有查找该终端设备数据,终端设备数据包括设备标识及终端设备公钥、预置密钥等。该终端设备可能是新加入的,因此需要获取全部的终端数据对终端设备配置表进行更新。
一个公司内可能含有多个网关,不同的网关可能对应不同的厂区、分公司等。在一些情况下,不同厂区、分公司的网络认证是不通用的,即A分公司认证后,在B分公司仍不可上网,因此需要获取网关所属分公司内全部的终端设备数据。
生成获取终端设备数据的请求,并根据第二请求消息中的网关标识发送至网关所属分公司系统所在的服务器。
可选的,密钥管理系统与公司系统(例如,人力资源系统,办公自动化系统)进行集成,以便能够直接访问和获取终端设备信息。这可以通过提供API接口或者直接与公司系统数据库进行连接来实现。
可选的,密钥管理系统还可以通过公司系统获取网关的设备信息。
可选的,密钥管理系统在公司系统局域网之外,通过公司系统通过数据专线对接外部的密钥管理系统。
S306、查找并返回终端设备数据。
在本步骤中,公司系统接收密钥管理系统发送的获取终端设备数据的请求,在系统内查找由部门人员维护的所有的终端设备数据,生成响应消息返回至密钥管理系统。
需要说明的是,当用户的某一个终端设备需要联网时,需要在公司系统内申请,并提供终端设备标识和联网使用的终端设备的公钥信息,公司系统申请通过后自动为终端设备配置预设密钥。
S307、根据终端设备数据对终端设备配置表进行配置更新。
S308、根据终端设备的标识,从更新的终端设备配置表中查找该终端设备数据。
在本步骤中,根据终端设备标识从更新后的终端设备配置表中再次查找终端设备,若仍为查找到该终端设备,则表示该设备不具备联网资格,则生成联网验证失败的响应消息。
若验证成功,则执行步骤S105。
S309、发送联网验证失败的响应消息至网关。
S310、发送联网验证失败的响应消息至终端设备。
在本步骤中,网关将验证失败的响应消息转发至终端设备。
本实施例提供一种基于密钥管理系统的终端设备接入网关的方法,密钥管理系统在对终端设备身份进行验证时,若没有验证成功,则通过网关所属公司的系统获取全部的终端设备数据,根据获取的终端设备数据对终端设备配置表进行配置更新。根据配置更新后的终端设备配置表再次对终端设备身份进行验证。通过这种方法,可以保证在用户在更改终端设备后仍可以接入网关。
图5为本申请实施例提供的一种基于密钥管理系统的终端设备接入网关的装置实施例一的结构示意图,如图5所示,该装置500包括:
接收模块511,用于接收终端设备发送的第一请求消息,所述第一请求消息用于请求与所述网关之间建立通信通道,所述第一请求消息包括所述终端设备的标识;
生成模块512,用于根据所述第一请求消息,生成用于获取所述终端设备的公钥的第二请求消息,并将所述第二请求消息通过预设的网关密钥加密,得到加密后的第二请求消息,所述第二请求消息包括所述终端设备的标识以及所述网关的IP;
发送模块513,用于将所述加密后的第二请求消息发送至密钥管理系统;
所述接收模块511,还用于接收所述密钥管理系统返回的第一密钥信息和第二密钥信息,其中所述第一密钥信息包括采用预设的网关密钥加密的所述终端设备的公钥,所述第二密钥信息包括采用预设的终端密钥加密的所述终端设备的公钥;
解密模块514,用于根据所述网关密钥对所述第一密钥信息进行解密得到所述终端设备的公钥;
加密模块515,用于获取所述网关的公钥,并将所述网关的公钥通过所述终端设备的公钥进行加密,得到第三密钥信息;
所述发送模块513,还用于将所述第二密钥信息和所述第三密钥信息发送给所述终端设备。
可选的,所述接收模块511,还用于接收所述终端设备发送的第三请求消息,所述第三请求消息包括采用所述网关的公钥加密后的随机数A以及所述终端设备的私钥对所述随机数A的签名信息;
可选的,所述解密模块514,还用于根据所述网关的私钥对所述第三请求消息中加密后的随机数A进行解密,得到随机数A;
可选的,所述装置还包括:
获取模块516,用于获取随机数B;
会话密钥生成模块517,用于根据所述随机数A,所述随机数B,所述网关的私钥,所述终端设备的公钥,获取会话密钥K;
所述发送模块513,还用于将签名和加密后的随机数B和随机数A发送至所述终端设备。
所述获取模块516具体用于:
接收所述密钥管理系统发送的采用所述网关密钥加密后的量子随机数B;
对所述加密后的量子随机数B进行解密,得到量子随机数B,所述随机数B为所述量子随机数B;
或者,
随机生成所述量子随机数B。
本实施例提供的基于密钥管理系统的终端设备接入网关的装置,用于执行上述任一方法实施例网关侧的技术方案,其实现原理和技术效果类似,在此不做赘述。
图6为本申请实施例提供的一种基于密钥管理系统的终端设备接入网关的装置实施例二的结构示意图,如图6所示,该装置600包括:
接收模块611,用于接收网关发送的采用预设的网关密钥加密的第二请求消息,所述第二请求消息用于获取终端设备的公钥,所述第二请求消息中包括所述终端设备的标识和所述网关的IP;
获取模块612,用于根据所述终端设备的标识,从预设的终端设备配置表中获取所述终端设备的公钥和预设的终端密钥;
加密模块613,用于根据预设的网关密钥加密所述终端设备的公钥得到所述第一密钥信息,并根据所述终端密钥加密所述终端设备的公钥得到所述二密钥信息;
发送模块614,用于根据所述网关的IP,将所述第一密钥信息和所述第二密钥信息发送至所述网关。
可选的,所述装置还包括:
所述获取模块612,还用于获取所述网关所属公司内全部的终端设备数据,其中,所述终端设备数据包括每个终端设备的标识、每个终端设备的公钥和预设的每个终端设备的密钥;
配置更新模块615,用于根据所述终端设备数据对所述终端设备配置表进行配置更新。
可选的,所述装置还包括:
量子随机数模块616,用于生成量子随机数B;
所述加密模块613,用于将所述量子随机数采用所述网关密钥进行加密,并将加密后的量子随机数B发送至所述网关。
本实施例提供的基于密钥管理系统的终端设备接入网关的装置,用于执行上述任一方法实施例密钥管理系统侧的技术方案,其实现原理和技术效果类似,在此不做赘述。
图7为本申请实施例提供的一种基于密钥管理系统的终端设备接入网关的装置实施例三的结构示意图,如图7所示,该装置700包括:
发送模块711,用于响应于用户操作,向网关发送第一请求消息,所述第一请求消息用于请求与所述网关之间建立通信通道,所述第一请求消息包括所述终端设备的标识;
接收模块712,用于接收所述网关返回的第二密钥信息和第三密钥信息,所述第二密钥信息包括采用预设的终端密钥加密的所述终端设备的公钥,所述第三密钥信息包括采用所述终端设备的公钥加密的所述网关的公钥;
解密模块713,用于对所述第二密钥信息和所述第三密钥信息分别进行解密,得到所述终端设备的公钥和所述网关的公钥。
可选的,所述装置还包括:
随机数生成模块714,用于生成随机数A;
所述发送模块711,还用于向所述网关发送第三请求消息,所述第三请求消息包括采用所述网关的公钥加密后的所述随机数A以及所述终端设备的私钥对所述随机数A的签名信息;
所述接收模块712,还用于接收所述网关发送的签名和加密后的随机数B和随机数A;
密钥生成模块715,用于根据所述随机数A,所述随机数B,所述网关的公钥,所述终端设备的私钥,获取会话密钥K。
本实施例提供的基于密钥管理系统的终端设备接入网关的装置,用于执行上述任一方法实施例终端设备侧的技术方案,其实现原理和技术效果类似,在此不做赘述。
图8为本申请提供的一种电子设备的结构示意图,如图8所示,该电子设备800包括:
处理器811,与所述处理器通信连接的存储器812,以及与其他设备交互的通信接口813;
所述存储器812存储计算机执行指令;
所述处理器811执行所述存储器存储的计算机执行指令,以实现上述任一方法实施例所述的基于密钥管理系统的终端设备接入网关的方法。
可选的,该电子设备800的上述各个器件之间可以通过系统总线连接。
存储器812可以是单独的存储单元,也可以是集成在处理器811中的存储单元。处理器811的数量为一个或者多个。
应理解,处理器811可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
系统总线可以是外设部件互连标准(peripheral component interconnect,PCI)总线或扩展工业标准结构(extended industry standard architecture,EISA)总线等。系统总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。存储器可能包括随机存取存储器(randomaccess memory,RAM),也可能还包括非易失性存储器(non-volatile memory,NVM),例如至少一个磁盘存储器。
实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一可读取存储器中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储器(存储介质)包括:只读存储器(read-only memory,ROM)、RAM、快闪存储器、硬盘、固态硬盘、磁带(magnetic tape)、软盘(floppy disk)、光盘(optical disc)及其任意组合。
本申请还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如前述方法实施例中任一项所述的基于密钥管理系统的终端设备接入网关的方法。
上述的计算机可读存储介质,上述可读存储介质可以是由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器,电可擦除可编程只读存储器,可擦除可编程只读存储器,可编程只读存储器,只读存储器,磁存储器,快闪存储器,磁盘或光盘。可读存储介质可以是通用或专用计算机能够存取的任何可用介质。
本申请实施例还提供一种计算机程序产品,该计算机程序产品包括计算机程序,该计算机程序存储在计算机可读存储介质中,至少一个处理器可以从该计算机可读存储介质中读取该计算机程序,至少一个处理器执行计算机程序时可实现前述任一方法实施例所述的基于密钥管理系统的终端设备接入网关的方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求书指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求书来限制。

Claims (13)

1.一种基于密钥管理系统的终端设备接入网关的方法,其特征在于,应用于网关,所述方法包括:
接收终端设备发送的第一请求消息,所述第一请求消息用于请求与所述网关之间建立通信通道,所述第一请求消息包括所述终端设备的标识;
根据所述第一请求消息,生成用于获取所述终端设备的公钥的第二请求消息,并将所述第二请求消息通过预设的网关密钥加密,得到加密后的第二请求消息,所述第二请求消息包括所述终端设备的标识以及所述网关的标识IP;
将所述加密后的第二请求消息发送至密钥管理系统;
接收所述密钥管理系统返回的第一密钥信息和第二密钥信息,其中所述第一密钥信息包括采用预设的网关密钥加密的所述终端设备的公钥,所述第二密钥信息包括采用预设的终端密钥加密的所述终端设备的公钥;
根据所述网关密钥对所述第一密钥信息进行解密得到所述终端设备的公钥;
获取所述网关的公钥,并将所述网关的公钥通过所述终端设备的公钥进行加密,得到第三密钥信息;
将所述第二密钥信息和所述第三密钥信息发送给所述终端设备。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收所述终端设备发送的第三请求消息,所述第三请求消息包括采用所述网关的公钥加密后的随机数A以及所述终端设备的私钥对所述随机数A的签名信息;
根据所述网关的私钥对所述第三请求消息中加密后的随机数A进行解密,得到随机数A;
获取随机数B;
根据所述随机数A,所述随机数B,所述网关的私钥,所述终端设备的公钥,获取会话密钥K;
将签名和加密后的随机数B和随机数A发送至所述终端设备。
3.根据权利要求2所述的方法,其特征在于,所述获取随机数B,包括:
接收所述密钥管理系统发送的采用所述网关密钥加密后的量子随机数B;
对所述加密后的量子随机数B进行解密,得到量子随机数B,所述随机数B为所述量子随机数B;
或者,
随机生成所述量子随机数B。
4.一种基于密钥管理系统的终端设备接入网关的方法,其特征在于,应用于密钥管理系统,所述方法包括:
接收网关发送的采用预设的网关密钥加密的第二请求消息,所述第二请求消息用于获取终端设备的公钥,所述第二请求消息中包括所述终端设备的标识和所述网关的标识IP;
根据所述终端设备的标识,从预设的终端设备配置表中获取所述终端设备的公钥和预设的终端密钥;
根据预设的网关密钥加密所述终端设备的公钥得到第一密钥信息,并根据所述终端密钥加密所述终端设备的公钥得到所述第二密钥信息;
根据所述网关的IP,将所述第一密钥信息和所述第二密钥信息发送至所述网关。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
获取所述网关所属公司内全部的终端设备数据,其中,所述终端设备数据包括每个终端设备的标识、每个终端设备的公钥和预设的每个终端设备的密钥;
根据所述终端设备数据对所述终端设备配置表进行配置更新。
6.根据权利要求4或5所述的方法,其特征在于,所述方法还包括:
生成量子随机数B;
将所述量子随机数采用所述网关密钥进行加密,并将加密后的量子随机数B发送至所述网关。
7.一种基于密钥管理系统的终端设备接入网关的方法,其特征在于,应用于终端设备,所述方法包括:
响应于用户操作,向网关发送第一请求消息,所述第一请求消息用于请求与所述网关之间建立通信通道,所述第一请求消息包括所述终端设备的标识;
接收所述网关返回的第二密钥信息和第三密钥信息,所述第二密钥信息包括采用预设的终端密钥加密的所述终端设备的公钥,所述第三密钥信息包括采用所述终端设备的公钥加密的所述网关的公钥;
对所述第二密钥信息和所述第三密钥信息分别进行解密,得到所述终端设备的公钥和所述网关的公钥。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
生成随机数A;
向所述网关发送第三请求消息,所述第三请求消息包括采用所述网关的公钥加密后的所述随机数A以及所述终端设备的私钥对所述随机数A的签名信息;
接收所述网关发送的签名和加密后的随机数B和随机数A;
根据所述随机数A,所述随机数B,所述网关的公钥,所述终端设备的私钥,获取会话密钥K。
9.一种基于密钥管理系统的终端设备接入网关的装置,其特征在于,所述装置包括:
接收模块,用于接收终端设备发送的第一请求消息,所述第一请求消息用于请求与所述网关之间建立通信通道,所述第一请求消息包括所述终端设备的标识;
生成模块,用于根据所述第一请求消息,生成用于获取所述终端设备的公钥的第二请求消息,并将所述第二请求消息通过预设的网关密钥加密,得到加密后的第二请求消息,所述第二请求消息包括所述终端设备的标识以及所述网关的标识IP;
发送模块,用于将所述加密后的第二请求消息发送至密钥管理系统;
所述接收模块,还用于接收所述密钥管理系统返回的第一密钥信息和第二密钥信息,其中所述第一密钥信息包括采用预设的网关密钥加密的所述终端设备的公钥,所述第二密钥信息包括采用预设的终端密钥加密的所述终端设备的公钥;
解密模块,用于根据所述网关密钥对所述第一密钥信息进行解密得到所述终端设备的公钥;
加密模块,用于获取所述网关的公钥,并将所述网关的公钥通过所述终端设备的公钥进行加密,得到第三密钥信息;
所述发送模块,还用于将所述第二密钥信息和所述第三密钥信息发送给所述终端设备。
10.一种基于密钥管理系统的终端设备接入网关的装置,其特征在于,所述装置包括:
接收模块,用于接收网关发送的采用预设的网关密钥加密的第二请求消息,所述第二请求消息用于获取终端设备的公钥,所述第二请求消息中包括所述终端设备的标识和所述网关的标识IP;
获取模块,用于根据所述终端设备的标识,从预设的终端设备配置表中获取所述终端设备的公钥和预设的终端密钥;
加密模块,用于根据预设的网关密钥加密所述终端设备的公钥得到第一密钥信息,并根据所述终端密钥加密所述终端设备的公钥得到所述第二密钥信息;
发送模块,用于根据所述网关的IP,将所述第一密钥信息和所述第二密钥信息发送至所述网关。
11.一种基于密钥管理系统的终端设备接入网关的装置,其特征在于,所述装置包括:
发送模块,用于响应于用户操作,向网关发送第一请求消息,所述第一请求消息用于请求与所述网关之间建立通信通道,所述第一请求消息包括所述终端设备的标识;
接收模块,用于接收所述网关返回的第二密钥信息和第三密钥信息,所述第二密钥信息包括采用预设的终端密钥加密的所述终端设备的公钥,所述第三密钥信息包括采用所述终端设备的公钥加密的所述网关的公钥;
解密模块,用于对所述第二密钥信息和所述第三密钥信息分别进行解密,得到所述终端设备的公钥和所述网关的公钥。
12.一种电子设备,其特征在于,包括:
处理器,与所述处理器通信连接的存储器,以及与其他设备交互的通信接口;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现如权利要求1至8任一项所述的基于密钥管理系统的终端设备接入网关的方法。
13.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1至8任一项所述的基于密钥管理系统的终端设备接入网关的方法。
CN202310675330.XA 2023-06-07 2023-06-07 基于密钥管理系统的终端设备接入网关的方法和装置 Pending CN116866001A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310675330.XA CN116866001A (zh) 2023-06-07 2023-06-07 基于密钥管理系统的终端设备接入网关的方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310675330.XA CN116866001A (zh) 2023-06-07 2023-06-07 基于密钥管理系统的终端设备接入网关的方法和装置

Publications (1)

Publication Number Publication Date
CN116866001A true CN116866001A (zh) 2023-10-10

Family

ID=88229432

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310675330.XA Pending CN116866001A (zh) 2023-06-07 2023-06-07 基于密钥管理系统的终端设备接入网关的方法和装置

Country Status (1)

Country Link
CN (1) CN116866001A (zh)

Similar Documents

Publication Publication Date Title
US11271730B2 (en) Systems and methods for deployment, management and use of dynamic cipher key systems
JP6547079B1 (ja) 登録・認可方法、装置及びシステム
US20200358764A1 (en) System and method for generating symmetric key to implement media access control security check
WO2017185999A1 (zh) 密钥分发、认证方法,装置及系统
CN112425136B (zh) 采用多方计算(mpc)的物联网安全性
US20060212928A1 (en) Method and apparatus to secure AAA protocol messages
CN108650028B (zh) 基于量子通信网络与真随机数的多次身份认证系统和方法
US20210167963A1 (en) Decentralised Authentication
Li et al. A secure sign-on protocol for smart homes over named data networking
KR20150135032A (ko) Puf를 이용한 비밀키 업데이트 시스템 및 방법
CN112165386B (zh) 一种基于ecdsa的数据加密方法及系统
CN113411187A (zh) 身份认证方法和系统、存储介质及处理器
WO2015178597A1 (ko) Puf를 이용한 비밀키 업데이트 시스템 및 방법
JP4794970B2 (ja) 秘密情報の保護方法及び通信装置
CN111934888B (zh) 一种改进软件定义网络的安全通信系统
KR20190040443A (ko) 스마트미터의 보안 세션 생성 장치 및 방법
CN115473655B (zh) 接入网络的终端认证方法、装置及存储介质
CN111181730A (zh) 用户身份生成及更新方法和装置、存储介质和节点设备
CN103856463A (zh) 基于密钥交换协议的轻量目录访问协议实现方法和装置
JP2001111538A (ja) 通信システムとその方法、通信装置およびicカード
JP2005175992A (ja) 証明書配布システムおよび証明書配布方法
JP2009065226A (ja) 認証付鍵交換システム、認証付鍵交換方法およびプログラム
CN113918971A (zh) 基于区块链的消息传输方法、装置、设备及可读存储介质
CN116866001A (zh) 基于密钥管理系统的终端设备接入网关的方法和装置
Hoffmann et al. A puf-based secure bootstrap protocol for cyber-physical system networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination