CN103118363A - 一种互传秘密信息的方法、系统、终端设备及平台设备 - Google Patents
一种互传秘密信息的方法、系统、终端设备及平台设备 Download PDFInfo
- Publication number
- CN103118363A CN103118363A CN201110363828XA CN201110363828A CN103118363A CN 103118363 A CN103118363 A CN 103118363A CN 201110363828X A CN201110363828X A CN 201110363828XA CN 201110363828 A CN201110363828 A CN 201110363828A CN 103118363 A CN103118363 A CN 103118363A
- Authority
- CN
- China
- Prior art keywords
- key
- secret information
- platform
- terminal
- session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种互传秘密信息的方法、系统、终端设备及平台设备。终端使用预置的第一加密密钥对第一秘密信息加密后通过第一通道发送给平台。平台解密后获得第一秘密信息。之后,双方用第一秘密信息和相同的密钥算法各自计算第二密钥用于第二秘密信息的加密和解密,并通过不同于第一通道的第二通道传输加密后的第二秘密信息,双方共享第二秘密信息。由于使用两种不同的通道相结合的方式传输加密后的信息,提高了通信的安全性。双方之间需要共享的第一秘密信息和第二秘密信息均以密文的方式在两种通道上进行传输,防止了窃听攻击的威胁。第二密钥由双方以第一秘密信息作为种子密钥的方式各自计算获得,简化了密钥分发的过程。
Description
技术领域
本发明涉及无线通信领域,特别涉及一种互传秘密信息的方法、系统、终端设备及平台设备。
背景技术
随着通信网络技术的发展,一种新的通信网络技术机器对机器(Machine to Machine,M2M)通信被提出。M2M技术主要是针对众多不具备复杂计算处理和联网通信功能的普通机器设备而提出,例如,工业设备、仪器仪表、家电和车辆等,其目标是使简单的机器设备也具备联网和通信的能力。从广义上来讲,“M”可以是机器(Machine),也可以是人(Man),因此,M2M技术从广义上泛指机器与人、机器与机器之间能够互联的技术。这项技术目前已经应用到设备控制、公共交通系统、远程设备维护、远程医疗等众多领域。M2M技术的广泛应用和市场潜力使得该项技术受到通信业界越来越多的关注。
M2M网络中主要包括M2M终端、M2M平台和M2M应用三个部分。通常,M2M终端和M2M平台之间通过无线网络进行互连和通信,无线网络通信所带来的一些缺陷,例如,通信内容被窃听或是合法用户身份被假冒等安全问题对M2M技术带来了威胁,尤其对于像金融服务、安全监控、能源数据采集等对安全性要求较高的领域。
在现有的一些方案中,M2M终端和M2M平台之间通常是通过单一的通信信道进行密钥协商或密钥分发。在单一的通信信道上使用密钥协商的方案中,M2M终端和M2M平台之间使用诸如因特网密钥交互(Internet Key Exchange,IKE)协议等复杂的密钥管理协议用于协商或管理密钥,然而,在终端上实现复杂的密钥管理协议提高了终端设备的复杂性。在一些不使用密钥协商的方案中,M2M平台通过明文的方式将密钥分发给M2M终端,密钥在无线通信信道上容易被窃听导致泄漏,使得合法终端容易被假冒。
发明内容
本发明的发明人发现上述现有技术中存在M2M终端和M2M平台之间秘密信息传输的安全问题,提出了一种新的技术方案。
本发明的一个目的是提供一种互传秘密信息的方法、系统、终端设备及平台设备。
根据本发明的第一方面,提供了一种在终端与平台之间传输秘密信息的方法,该方法包括:
所述终端使用预置的第一加密密钥对第一秘密信息进行加密,将加密后的第一秘密信息通过第一通道发送至所述平台;
所述平台使用与所述第一加密密钥对应的第一解密密钥,对通过所述第一通道接收到的所述加密后的第一秘密信息进行解密,获得所述第一秘密信息;
所述平台和所述终端各自执行预设的相同密钥算法,以基于所述第一秘密信息得到第二密钥;
所述平台使用所述第二密钥对第二秘密信息进行加密;
所述平台将加密后的第二秘密信息通过与第一通道不同的第二通道发送给所述终端;
所述终端使用所述第二密钥对通过所述第二通道接收到的所述加密后的第二秘密信息进行解密,获得所述第二秘密信息。
优选地,所述第一通道为移动通信网络分组数据业务通道,所述第二通道为移动通信网络短信或彩信通道;或者
所述第一通道为移动通信网络短信或彩信通道,所述第二通道为移动通信网络分组数据业务通道。
优选地,所述第一加密密钥为所述平台的公钥,所述第一解密密钥为与所述平台的公钥所对应的私钥;或者
所述第一加密密钥与所述第一解密密钥相同。
优选地,所述第二秘密信息为接入密钥,该方法还包括:
所述终端使用所述接入密钥来计算待发送的报文摘要;
所述平台接收到所述报文摘要后,验证所述报文摘要中是否含有所述接入密钥,
或者
所述第二秘密信息为会话密钥,
该方法还包括:
所述终端和所述平台在后续的会话交互中,使用所述会话密钥对所述会话交互的消息进行加密和解密,
或者
所述第二秘密信息为会话密钥的种子密钥,该方法还包括:
所述终端和所述平台通过所述会话密钥的种子密钥和预定的会话密钥算法分别计算会话密钥,所述终端和所述平台在后续的会话交互中,使用所述会话密钥对所述会话交互的消息进行加密和解密。
优选地,所述第一秘密信息为所述终端产生的随机数。
根本发明的第二个方面,提供了一种与平台互传秘密信息的终端方法,该终端方法包括:
使用预置的第一加密密钥对第一秘密信息进行加密,将所述加密后的第一秘密信息通过第一通道发送至所述平台;
执行预设的密钥算法,以基于所述第一秘密信息获得第二密钥;
使用所述第二密钥对通过第二通道接收到的所述平台使用第二密钥加密后的第二秘密信息进行解密,获得所述第二秘密信息。
优选地,所述第二秘密信息为接入密钥,该方法还包括:使用所述接入密钥来计算待发送的报文摘要;或者
所述第二秘密信息为会话密钥,所述终端在后续与所述平台的会话交互中,使用所述会话密钥对所述会话交互的消息进行加密和解密;或者
所述第二秘密信息为会话密钥的种子密钥,该方法还包括:
所述终端通过所述会话密钥的种子密钥和预定的会话密钥算法分别计算会话密钥,并在后续与所述平台的会话交互中,使用所述会话密钥对所述会话交互的消息进行加密和解密。
优选地,所述第一秘密信息为所述终端产生的随机数。
根据本发明的第三个方面,提供了一种与终端互传秘密信息的平台方法,该平台方法包括:
使用第一解密密钥对通过第一通道从所述终端接收的使用第一加密密钥加密后的第一秘密信息进行解密,获得所述第一秘密信息,其中,所述第一加密密钥与所述第一解密密钥对应;
执行预设的密钥算法,以基于所述第一秘密信息得到第二密钥;
使用所述第二密钥对第二秘密信息进行加密;
通过与第一通道不同的第二通道将加密后的第二秘密信息发送给所述终端。
优选地,所述第二秘密信息为接入密钥,该方法还包括:接收所述终端使用所述接入密钥计算的报文摘要,验证所述报文摘要中是否含有所述接入密钥;或者
所述第二秘密信息为会话密钥,该方法还包括:在后续与所述终端的会话交互中,使用所述会话密钥对所述会话交互的消息进行加密和解密;或者
所述第二秘密信息为会话密钥的种子密钥,该方法还包括:通过所述会话密钥的种子密钥和预定的会话密钥算法计算会话密钥,在后续与所述终端的会话交互中,使用所述会话密钥对所述会话交互的消息进行加密和解密。
根据本发明的第四个方面,提供了一种与平台互传秘密信息的终端设备,该终端包括:
第一加密模块,用于使用预置的第一加密密钥对第一秘密信息进行加密,并将加密后的第一秘密信息通过第一通道发送至所述平台;
第一密钥计算模块,用于执行预设的密钥算法,以基于所述第一秘密信息获得第二密钥;
第二解密模块,用于使用所述第二密钥对通过第二通道从所述平台接收到的使用第二密钥加密后的第二秘密信息进行解密,获得所述第二秘密信息。
优选地,该终端设备还包括,
随机数产生模块,用于产生随机数,
所述第一秘密信息为所述随机数。
优选地,所述第二秘密信息为接入密钥,所述终端设备还包括:
报文摘要计算模块,用于在获得所述接入密钥后,使用所述接入密钥来计算待发送的报文摘要;或者
所述第二秘密信息为会话密钥,所述终端设备还包括:
会话加解密模块,用于在后续与所述平台的会话交互中,使用所述会话密钥对所述会话交互的消息进行加密和解密;或者
所述第二秘密信息为会话密钥的种子密钥,所述终端设备还包括:会话密钥计算模块,用于在所述终端获得所述会话密钥的种子密钥后,通过所述会话密钥的种子密钥和预定的会话密钥算法计算会话密钥,在后续与所述平台的会话交互中,使用所述会话密钥对所述会话交互的消息进行加密和解密。
根据本发明的第五个方面,提供了一种与终端互传秘密信息的平台设备,该平台设备包括:
第一解密模块,用于使用第一解密密钥,对通过第一通道从所述终端接收的使用第一加密密钥加密后的第一秘密信息进行解密,获得所述第一秘密信息,其中所述第一加密密钥与所述第一解密密钥对应;
第二密钥计算模块,用于执行预设的密钥算法,以基于所述第一秘密信息得到第二密钥;
第二加密模块,用于使用所述第二密钥对第二秘密信息进行加密;
第二通道发送模块,用于通过与第一通道不同的第二通道将加密后的第二秘密信息发送给所述终端。
根据本发明的第六个方面,提供了一种在终端与平台之间传输秘密信息的系统,该系统包括终端设备和平台设备,
所述终端设备包括:
第一加密模块,用于使用预置的第一加密密钥对第一秘密信息进行加密,并将加密后的第一秘密信息通过第一通道发送至所述平台;
第一密钥计算模块,用于执行预设的密钥算法,以基于所述第一秘密信息获得第二密钥;
第二解密模块,用于使用所述第二密钥对通过第二通道从所述平台接收到的使用第二密钥加密后的第二秘密信息进行解密,获得所述第二秘密信息;
所述平台设备包括:
第一解密模块,用于使用与第一加密密钥对应的第一解密密钥,对通过第一通道从所述终端接收的使用所述第一加密密钥加密后的第一秘密信息进行解密,获得所述第一秘密信息;
第二密钥计算模块,用于执行所述预设的密钥算法,以基于所述第一秘密信息计算得到第二密钥;
第二加密模块,用于使用所述第二密钥对第二秘密信息进行加密;
第二通道发送模块,用于通过与第一通道不同的第二通道将加密后的第二秘密信息发送给所述终端。
在本发明中,终端和平台之间首先使用预置的第一加密密钥和与之对应的第一解密密钥对第一秘密信息进行加密和解密,并通过第一通道传输加密后的第一秘密信息,使得终端和平台之间能够各自获得第一秘密信息,并在此基础上以第一秘密信息作为种子密钥各自计算出第二密钥。之后,终端和平台之间使用第二密钥对第二秘密信息进行加密和解密,并通过第二通道传输加密后的第二秘密信息,以达到终端和平台之间共享第二秘密信息。由于终端与平台之间使用两种不同通道相结合的方式进行传输秘密信息,因此,对于单独在其中任何一个通道上进行窃听,都不能获取第二秘密信息,从而提高了终端和平台之间通信的安全性。同时,双方之间需要共享的第一秘密信息和第二秘密信息分别由第一加密密钥和第二密钥加密后,以密文的方式在不同的第一通道和第二通道上传输,从而防止了窃听攻击的威胁。另外,用于加密和解密第二秘密信息的第二密钥是由双方以第一秘密信息作为种子密钥的方式各自计算获得,避免了使用复杂的密钥协商协议进行密钥的协商和分发。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
附图说明
构成说明书的一部分的附图描述了本发明的实施例,并且连同说明书一起用于解释本发明的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本发明,其中:
图1示出应用本发明实施例的网络结构示意图;
图2示出本发明在终端与平台之间传输秘密信息方法实施例的流程示意图;
图3示出本发明与平台互传秘密信息的终端方法实施例的流程示意图;
图4示出本发明与终端互传秘密信息的平台方法实施例的流程示意图;
图5示出本发明与平台互传秘密信息的终端设备实施例的结构示意图;
图6示出本发明与终端互传秘密信息的平台设备实施例的结构示意图;
图7示出本发明在终端与平台之间传输秘密信息的系统实施例的结构示意图。
具体实施方式
现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
本发明提供的技术方案采用的主要技术思路是:终端使用预置的第一加密密钥对第一秘密信息加密后通过第一通道向平台传输加密信息。平台设备通过与第一加密密钥对应的第一解密密钥进行解密后获得第一秘密信息。之后,双方分别以第一秘密信息作为种子密钥各自计算第二密钥用于第二秘密信息的加密和解密。平台设备通过第二通道传输加密后的第二秘密信息,终端通过使用第二密钥解密加密后的第二秘密信息,以达到双方共享第二秘密信息。
图1示出应用本发明实施例的网络结构示意图。参见图1所示,M2M技术主要由M2M终端101、M2M平台102和M2M应用103这三个部分组成。
M2M终端101具有通信网络的互连功能,并且完成信息的采集,例如从各种设备和机器获取数据,并通过通信网络向M2M平台102传送。
M2M平台102负责对M2M终端101的集中控制,包括接入控制和M2M终端101获取的数据向应用转发的控制等。M2M平台可以以一个或多个具有网络互联功能的服务器来实现。
M2M应用103根据不同的应用需求,将M2M平台102传来的数据进行处理和加工,并将结果根据需要进行呈现或异常情况的报告等。
以下实施例以M2M终端(以下简称终端)和M2M平台(以下简称平台)为例描述本发明提供的在终端和平台之间传输秘密信息的方法、系统和设备的实施例。但本领域技术人员应该明白,本发明的方法、系统和设备也适用于类似需要进行秘密信息传输的其他系统、终端设备和平台设备。
终端与平台之间传输秘密信息的方法
参考图2所示,该图为本发明终端与平台之间传输秘密信息方法实施例的流程示意图,下面详细介绍该方法实施例的步骤。
步骤201,终端使用预置的第一加密密钥对第一秘密信息进行加密,将加密后的第一秘密信息通过第一通道发送至平台。
终端使第一加密密钥对第一秘密信息进行加密,具体加密的方法可以是基于私钥密码体制的私钥密码算法。
根据私钥密码体制中加密密钥和解密密钥相同的特定。第一加密密钥与其相对应的第一解密密钥是相同的。私钥密码体制的安全性在于对密钥的保密,若终端预置的第一加密密钥被非法用户获得,非法用户将可以解密加密后的第一秘密信息,并能够生成第二密钥解密获得后续的第二秘密信息,进而在后续的交互中冒充合法终端。由于在私钥密钥体制中,各个终端预置的第一加密密钥各不相同,对应地,平台需要存储与各个终端第一加密密钥对应的第一解密密钥,增加了平台对密钥管理和存储的要求。
因此,一种更优选的实施例是使用基于公钥密码体制的公钥密码算法对第一密码信息进行加密。基于公钥密码体制下的第一加密密钥可以是平台的公钥,第一解密密钥则是与该平台公钥所对应的私钥。平台的公钥是可以公开的,获得平台的公钥并不能计算出平台公钥对应的私钥。因此,即使获得了平台的公钥,也不能对加密后的第一秘密信息正确解密。若基于公钥密码体制,则各个终端预置的平台公钥可以是相同的,对于平台来说,解密用的平台私钥也可以只有一个,简化平台对密钥的管理。
预置第一加密密钥的方法可以使用本领域技术人员公知的方法,例如,在终端使用之前对其进行初始化设置,将第一加密密钥预置到终端中。若采用私钥密码体制,对终端进行初始化时对不同的终端可能需要设置不同的第一加密密钥。若采用公钥秘密体制,例如第一加密密钥都为平台的公钥,则可以对所有的终端统一设置平台的公钥,这使得对终端初始化的过程更为方便。
第一秘密信息可以是平台在对终端进行初始化时预置的秘密信息。一种优选的实施方式是第一秘密信息是终端生成的随机数,由于在后续与平台的交互过程中,第一秘密信息将作为种子密钥用于生成第二加密密钥,因此,由终端在每一次与平台的交互时生成随机数作为种子密钥,其他非法用户不能提前获得第一秘密信息,从而也无法获得第二加密密钥。
终端使用预置的第一加密密钥对第一秘密信息进行加密后,将加密后的第一秘密信息通过第一通道发送至平台。即使非法用户通过窃听第一通道获取了加密后的第一加密密钥消息,在没有第一解密密钥的情况下,也无法进行解密,从而无法获得第一秘密信息。
进一步地,在步骤201中,终端在发送加密后的第一秘密信息的同时,还可以向平台发送其他的参数,用于平台对终端进一步的校验。
步骤202,平台使用与第一加密密钥对应的第一解密密钥,对通过第一通道接收到的加密后的第一秘密信息进行解密,获得第一秘密信息。
平台通过第一通道接收到加密后的第一秘密信息后,使用与第一加密密钥对应的第一解密密钥对接收到的信息进行解密,从而获得第一秘密信息。
如前所述,若基于私钥密码体制,则平台使用的第一解密密钥与第一加密密钥相同。若基于公钥秘密体制,第一加密密钥为公钥,则平台使用的第一解密密钥是第一加密密钥相对应的私钥,例如平台的私钥。
若在步骤201中,终端在发送加密后的第一秘密信息的同时,还向平台发送其他的参数用于平台对终端进一步的校验,则平台还需要对其他的参数进行校验。平台在完成其他终端参数的校验之后,可以相终端返回应答成功的响应消息。
步骤203,平台和终端各自执行预设的相同密钥算法,以基于第一秘密信息得到第二密钥。
平台在步骤202中获得了第一秘密信息后,平台和终端均持有了第一秘密信息。平台和终端可以将第一秘密信息作为种子密钥,使用预设的相同的密钥算法各自计算第二密钥。
由于第二密钥是由终端和平台分别计算得出,因此,在不需要采取额外的密钥分发步骤来传送第二密钥的情况下,实现了终端和平台之间共享第二密钥。与前面一种实施例相对应,若第一秘密信息是由各终端在步骤202中单独生成的随机数,终端以其自己生成的随机数作为第一秘密信息计算出第二密钥,从而使得各个终端之间也无法获知其他终端的第二密钥。
步骤204,平台使用第二密钥对第二秘密信息进行加密。
平台使用第二密钥对第二秘密信息进行加密。由于平台和终端均获得相同的第二密钥,因此,平台对第二秘密信息的加密算法可以采用私钥密码算法进行加密。
步骤205,平台将加密后的第二秘密信息通过与第一通道不同的第二通道发送给终端。
平台将加密后的第二秘密信息通过第二通道发送给终端。发送加密后的第一秘密信息的第一通道和发送加密后的第二秘密信息的第二通道是不同的两种通信网络。
对于M2M技术来说,目前常用的通信网络从通信距离上划分包括:广域网,例如移动通信网络、卫星通信网络等;局域网,包括无线局域网等;以及个域网,例如传感器网络等。因此,只有在终端和平台之间能够实现通信的两种不同的通信网络均可以用作第一通道和第二通道,包括但不限于上述列举的通信网络。例如,第一通道可以是移动通信网络分组数据业务通道,第二通道可以是移动通信网络短信或彩信通道,或者第一通道可以是移动通信网络短信或彩信通道,第二通道可以是移动通信网络分组数据业务通道。
以第一通道为移动通信网络分组数据业务通道,第二通道为移动通信网络短信或彩信通道为例,具体来说,移动通信网络可以是通用分组无线服务(General Packet Radio Service,GPRS)、宽带码分多址(Wideband Code Division Multiple Access,WCDMA)中的任意一种,或者是码分多址(Code Division Multiple Access,CDMA)网络,包括CDMA 1X以及CDMA 1X EV DO(Evolution DataOnly)中的任意一种。这些移动通信网络均可以提供分组数据业务服务。终端和平台以移动通信网络分组数据业务通道作为第一通道。终端和平台之间采用移动通信网络短信或彩信通道作为第二通道传输加密后的第二秘密信息时,由于平台记录有合法终端的用户标识信息,举例来说,当移动通信网络是CDMA 1X时,平台记录有合法用户的用户标识模块(User Identification Module,UIM)所包含的移动电话号码(Mobile Directory Number,MDN),当平台通过移动通信网络短信或彩信通道向终端发送加密后的,平台向该MDN号码通过短信或彩信发送加密后的第二秘密信息,只有合法的终端才能接收到加密后的第二秘密信息。
步骤206,终端使用第二密钥对通过第二通道接收到的加密后的第二秘密信息进行解密,获得第二秘密信息。
终端通过第二通道接收到加密后的第二秘密信息后,使用步骤203中所描述的第二密钥对接收到的加密后的第二秘密信息进行解密,获得第二秘密信息。
由于终端与平台之间使用两种不同通道相结合的方式进行传输秘密信息,对于单独在其中一个通道上的窃听都不能获取秘密信息,从而提高了终端和平台之间通信的安全性。例如,非法用户通过窃听第一通道获取了加密后的第一加密密钥消息,在没有第一解密密钥的情况下,也无法解密以获得第一秘密信息。即使非法用户成功伪造了加密后的第一秘密消息发送给平台,平台在后续发送使用第二密钥加密的第二秘密信息时,将通过第二通道以终端MDN为目的地址进行发送,非法用户也不能接收到该加密后的第二秘密信息。又或者即使非法用户截取了该加密后的第二秘密信息,在没有第二密钥的情况下,也不能解密获得第二秘密信息。
第二秘密信息所包含的内容可以有多种。例如,第二秘密信息可以为接入密钥。平台将接入密钥用第二密钥加密后发送给终端,终端使用第二密钥解密后获得接入密钥,之后,终端使用接入密钥来计算待发送的报文摘要。具体计算报文摘要的方法可以是将接入密钥和报文消息一起作为报文摘要计算的输入,计算出报文摘要值,并发送给平台。平台接收到报文摘要后,用自己的第二秘密信息和报文消息一起再计算报文摘要,验证接收到的报文摘要中是否包括正确的接入密钥。根据报文摘要计算方法的特点,当输入信息发生变换时,报文摘要将发生改变。因此,当终端发生的报文摘要中使用的接入密钥不正确时,平台计算的报文摘要和接收到的报文摘要将不同,从而对报文摘要的验证不能通过,该终端可能不是合法的用户,因为该终端未持有正确的接入密钥。因此,在报文摘要可以用来验证报文数据完整性的同时,还可以以第二秘密信息为接入密钥,用来验证终端的合法身份,因为只有合法的终端才具有正确的接入密钥,任何使用非法接入密码的报文都会被丢弃,从而保证了终端的安全接入。
对于其它一些应用,第二秘密信息还可以为会话密钥。终端和平台在后续的会话交互中,使用该会话密钥对会话交互中发送的消息进行加密,以密文的形式发送,对应地,接收方使用该会话密钥对密文进行解密,从而使得在终端和平台之间的交互的消息都已密文的形式在通信信道传输,提高了通信的保密性。
另外,第二秘密信息还可以为会话密钥的种子密钥,终端获得会话密钥的种子密钥后,终端和平台通过会话密钥的种子密钥和预定的会话密钥算法分别计算会话密钥,终端和平台在后续的会话交互中,使用会话密钥对会话交互的消息进行加密和解密。以第二秘密信息为种子密钥计算会话密钥的方法与前述以第一秘密信息为种子密钥计算第二密钥的方法类似,具体计算第二密钥的算法可以相同,也可以不同。
终端方法
根据上述互传秘密信息的方法,本发明还提供一种与平台之间互传秘密信息的终端方法。参考图3所示,该方法包括:
步骤301,使用预置的第一加密密钥对第一秘密信息进行加密,将加密后的第一秘密信息通过第一通道发送至平台。第一秘密信息可以是终端产生的随机数。
步骤302,执行预设的密钥算法,以基于第一秘密信息获得第二密钥。
步骤303,使用第二密钥对通过第二通道从平台接收到的使用第二密钥加密后的第二秘密信息进行解密,获得第二秘密信息。
第二秘密信息所包含的内容可以有多种。第二秘密信息可以为接入密钥,终端获得该接入密钥后,该方法还包括:使用接入密钥来计算待发送的报文摘要。
第二秘密信息可以为会话密钥,终端在后续与平台的会话交互中,使用该会话密钥对会话交互的消息进行加密和解密。
第二秘密信息还可以为会话密钥的种子密钥,终端获得该会话密钥的种子密钥后,终端通过会话密钥的种子密钥和预定的会话密钥算法计算会话密钥,并在后续与平台的会话交互中,使用该会话密钥对会话交互的消息进行加密和解密。
平台方法
根据前述互传秘密信息的方法,本发明还提供一种与终端之间互传秘密信息的平台方法。参考图4所示,该方法包括:
步骤401,使用第一解密密钥对通过第一通道从终端接收的使用第一加密密钥加密后的第一秘密信息进行解密,获得第一秘密信息,其中,第一加密密钥与第一解密密钥对应。
步骤402,执行预设的密钥算法,以基于第一秘密信息得到第二密钥。
步骤403,使用第二密钥对第二秘密信息进行加密。
步骤404,通过第二通道将加密后的第二秘密信息发送给终端。
第二秘密信息可以为接入密钥,该平台接收终端使用接入密钥计算的报文摘要,验证报文摘要中是否含有接入密钥。
第二秘密信息可以为会话密钥,在后续与终端的会话交互中,平台还可以使用会话密钥对会话交互的消息进行加密和解密。
第二秘密信息还可以为会话密钥的种子密钥,平台通过会话密钥的种子密钥和预定的会话密钥算法计算会话密钥,在后续与终端的会话交互中,使用会话密钥对会话交互的消息进行加密和解密。
终端设备
参考图5所示,本发明所提供的与平台互传秘密信息的终端设备500包括第一加密模块501、第一密钥计算模块502和第二解密模块503。
第一加密模块501用于使用预置的第一加密密钥对第一秘密信息进行加密,并将加密后的第一秘密信息通过第一通道发送至平台。
第一密钥计算模块502用于执行预设的密钥算法,以基于第一秘密信息获得第二密钥。
第二解密模块503用于使用第二密钥对通过第二通道从平台接收到的使用第二密钥加密后的第二秘密信息进行解密,获得第二秘密信息。
进一步地,该终端设备还可以包括随机数产生模块,用于产生随机数,第一秘密信息为该随机数模块产生的随机数。
在另一种该终端设备的实施例中,第二秘密信息可以为接入密钥,终端设备还包括:报文摘要计算模块,用于在获得接入密钥后,使用接入密钥来计算待发送的报文摘要。
在另一种该终端设备的实施例中,第二秘密信息可以为会话密钥,终端设备还包括:会话加解密模块,用于在后续与平台的会话交互中,使用会话密钥对会话交互的消息进行加密和解密。
在另一种该终端设备的实施例中,第二秘密信息可以为会话密钥的种子密钥,终端设备还包括:会话密钥计算模块,用于在终端获得会话密钥的种子密钥后,通过会话密钥的种子密钥和预定的会话密钥算法计算会话密钥,在后续与平台的会话交互中,使用会话密钥对会话交互的消息进行加密和解密。
平台设备
参考图6所示,本发明所提供的与终端互传秘密信息的平台设备600包括第一解密模块601、第二密钥计算模块602、第二加密模块603和第二通道发送模块604。
第一解密模块601用于使用第一解密密钥,对通过第一通道从终端接收的使用第一加密密钥加密后的第一秘密信息进行解密,获得第一秘密信息,其中第一加密密钥与第一解密密钥对应。
第二密钥计算模块602用于执行预设的密钥算法,以基于第一秘密信息得到第二密钥。
第二加密模块603用于使用第二密钥对第二秘密信息进行加密。
第二通道发送模块604用于通过第二通道将加密后的第二秘密信息发送给终端。
终端与平台之间传输秘密信息的系统
参考图7所示,本发明所提供的在终端与平台之间传输秘密信息的系统700,包括终端设备710和平台设备720。
终端设备710包括第一加密模块711、第一密钥计算模块712和第二解密模块713。
第一加密模块711用于使用预置的第一加密密钥对第一秘密信息进行加密,并将加密后的第一秘密信息通过第一通道发送至平台。
第一密钥计算模块712用于执行预设的密钥算法,以基于第一秘密信息获得第二密钥。
第二解密模块713用于使用第二密钥对通过第二通道从平台接收到的使用第二密钥加密后的第二秘密信息进行解密,获得第二秘密信息。
平台设备720包括第一解密模块721、第二密钥计算模块722、第二加密模块723和第二通道发送模块724。
第一解密模块721用于使用与第一加密密钥对应的第一解密密钥,对通过第一通道从终端接收的使用第一加密密钥加密后的第一秘密信息进行解密,获得第一秘密信息。
第二密钥计算模块722用于执行预设的密钥算法,以基于第一秘密信息计算得到第二密钥。
第二加密模块723用于使用第二密钥对第二秘密信息进行加密。
第二通道发送模块724用于通过第二通道将加密后的第二秘密信息发送给终端。
至此,已经详细描述了根据本发明的一种互传秘密信息的方法、系统、终端设备及平台设备。为了避免遮蔽本发明的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
可能以许多方式来实现本发明的方法、系统和设备。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法和系统。用于所述方法的步骤的上述顺序仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
虽然已经通过示例对本发明的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本发明的范围。本领域的技术人员应该理解,可在不脱离本发明的范围和精神的情况下,对以上实施例进行修改。本发明的范围由所附权利要求来限定。
Claims (15)
1.一种在终端与平台之间传输秘密信息的方法,其特征在于,包括:
所述终端使用预置的第一加密密钥对第一秘密信息进行加密,将加密后的第一秘密信息通过第一通道发送至所述平台;
所述平台使用与所述第一加密密钥对应的第一解密密钥,对通过所述第一通道接收到的所述加密后的第一秘密信息进行解密,获得所述第一秘密信息;
所述平台和所述终端各自执行预设的相同密钥算法,以基于所述第一秘密信息得到第二密钥;
所述平台使用所述第二密钥对第二秘密信息进行加密;
所述平台将加密后的第二秘密信息通过与第一通道不同的第二通道发送给所述终端;
所述终端使用所述第二密钥对通过所述第二通道接收到的所述加密后的第二秘密信息进行解密,获得所述第二秘密信息。
2.根据权利要求1所述的方法,其特征在于,
所述第一通道为移动通信网络分组数据业务通道,所述第二通道为移动通信网络短信或彩信通道;或者
所述第一通道为移动通信网络短信或彩信通道,所述第二通道为移动通信网络分组数据业务通道。
3.根据权利要求1或2所述的方法,其特征在于,
所述第一加密密钥为所述平台的公钥,所述第一解密密钥为与所述平台的公钥所对应的私钥;或者
所述第一加密密钥与所述第一解密密钥相同。
4.根据权利要求3所述的方法,其特征在于,
所述第二秘密信息为接入密钥,该方法还包括:
所述终端使用所述接入密钥来计算待发送的报文摘要;
所述平台接收到所述报文摘要后,验证所述报文摘要中是否含有所述接入密钥,
或者
所述第二秘密信息为会话密钥,该方法还包括:
所述终端和所述平台在后续的会话交互中,使用所述会话密钥对所述会话交互的消息进行加密和解密,
或者
所述第二秘密信息为会话密钥的种子密钥,该方法还包括:
所述终端和所述平台通过所述会话密钥的种子密钥和预定的会话密钥算法分别计算会话密钥,所述终端和所述平台在后续的会话交互中,使用所述会话密钥对所述会话交互的消息进行加密和解密。
5.根据权利要求1所述的方法,其特征在于,所述第一秘密信息为所述终端产生的随机数。
6.一种与平台互传秘密信息的终端方法,其特征在于,包括:
使用预置的第一加密密钥对第一秘密信息进行加密,将加密后的第一秘密信息通过第一通道发送至所述平台;
执行预设的密钥算法,以基于所述第一秘密信息获得第二密钥;
使用所述第二密钥对通过第二通道从所述平台接收到的使用第二密钥加密后的第二秘密信息进行解密,获得所述第二秘密信息。
7.根据权利要求6所述的方法,其特征在于,
所述第二秘密信息为接入密钥,该方法还包括:使用所述接入密钥来计算待发送的报文摘要;或者
所述第二秘密信息为会话密钥,该方法还包括:所述终端在后续与所述平台的会话交互中,使用所述会话密钥对所述会话交互的消息进行加密和解密;或者
所述第二秘密信息为会话密钥的种子密钥,该方法还包括:所述终端通过所述会话密钥的种子密钥和预定的会话密钥算法分别计算会话密钥,并在后续与所述平台的会话交互中,使用所述会话密钥对所述会话交互的消息进行加密和解密。
8.根据权利要求6所述的方法,其特征在于,所述第一秘密信息为所述终端产生的随机数。
9.一种与终端互传秘密信息的平台方法,其特征在于,包括:
使用第一解密密钥对通过第一通道从所述终端接收的使用第一加密密钥加密后的第一秘密信息进行解密,获得所述第一秘密信息,其中,所述第一加密密钥与所述第一解密密钥对应;
执行预设的密钥算法,以基于所述第一秘密信息得到第二密钥;
使用所述第二密钥对第二秘密信息进行加密;
通过与第一通道不同的第二通道将加密后的第二秘密信息发送给所述终端。
10.根据权利要求9所述的方法,其特征在于,
所述第二秘密信息为接入密钥,该方法还包括:接收所述终端使用所述接入密钥计算的报文摘要,验证所述报文摘要中是否含有所述接入密钥;或者
所述第二秘密信息为会话密钥,该方法还包括:在后续与所述终端的会话交互中,使用所述会话密钥对所述会话交互的消息进行加密和解密;或者
所述第二秘密信息为会话密钥的种子密钥,该方法还包括:通过所述会话密钥的种子密钥和预定的会话密钥算法计算会话密钥,在后续与所述终端的会话交互中,使用所述会话密钥对所述会话交互的消息进行加密和解密。
11.一种与平台互传秘密信息的终端设备,其特征在于,包括:
第一加密模块,用于使用预置的第一加密密钥对第一秘密信息进行加密,并将加密后的第一秘密信息通过第一通道发送至所述平台;
第一密钥计算模块,用于执行预设的密钥算法,以基于所述第一秘密信息获得第二密钥;
第二解密模块,用于使用所述第二密钥对通过第二通道从所述平台接收到的使用第二密钥加密后的第二秘密信息进行解密,获得所述第二秘密信息。
12.根据权利要求11所述的终端设备,其特征在于,还包括,
随机数产生模块,用于产生随机数,
所述第一秘密信息为所述随机数。
13.根据权利要求11所述的终端设备,其特征在于,
所述第二秘密信息为接入密钥,所述终端设备还包括:报文摘要计算模块,用于在获得所述接入密钥后,使用所述接入密钥来计算待发送的报文摘要;或者
所述第二秘密信息为会话密钥,所述终端设备还包括:会话加解密模块,用于在后续与所述平台的会话交互中,使用所述会话密钥对所述会话交互的消息进行加密和解密;或者
所述第二秘密信息为会话密钥的种子密钥,所述终端设备还包括:会话密钥计算模块,用于在所述终端获得所述会话密钥的种子密钥后,通过所述会话密钥的种子密钥和预定的会话密钥算法计算会话密钥,在后续与所述平台的会话交互中,使用所述会话密钥对所述会话交互的消息进行加密和解密。
14.一种与终端互传秘密信息的平台设备,其特征在于,包括:
第一解密模块,用于使用第一解密密钥,对通过第一通道从所述终端接收的使用第一加密密钥加密后的第一秘密信息进行解密,获得所述第一秘密信息,其中所述第一加密密钥与所述第一解密密钥对应;
第二密钥计算模块,用于执行预设的密钥算法,以基于所述第一秘密信息得到第二密钥;
第二加密模块,用于使用所述第二密钥对第二秘密信息进行加密;
第二通道发送模块,用于通过与第一通道不同的第二通道将加密后的第二秘密信息发送给所述终端。
15.一种在终端与平台之间传输秘密信息的系统,包括所述终端和所述平台,
所述终端包括:
第一加密模块,用于使用预置的第一加密密钥对第一秘密信息进行加密,并将加密后的第一秘密信息通过第一通道发送至所述平台;
第一密钥计算模块,用于执行预设的密钥算法,以基于所述第一秘密信息获得第二密钥;
第二解密模块,用于使用所述第二密钥对通过第二通道从所述平台接收到的使用第二密钥加密后的第二秘密信息进行解密,获得所述第二秘密信息;
所述平台包括:
第一解密模块,用于使用与第一加密密钥对应的第一解密密钥,对通过第一通道从所述终端接收的使用所述第一加密密钥加密后的第一秘密信息进行解密,获得所述第一秘密信息;
第二密钥计算模块,用于执行所述预设的密钥算法,以基于所述第一秘密信息计算得到第二密钥;
第二加密模块,用于使用所述第二密钥对第二秘密信息进行加密;
第二通道发送模块,用于通过与第一通道不同的第二通道将加密后的第二秘密信息发送给所述终端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110363828.XA CN103118363B (zh) | 2011-11-17 | 2011-11-17 | 一种互传秘密信息的方法、系统、终端设备及平台设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110363828.XA CN103118363B (zh) | 2011-11-17 | 2011-11-17 | 一种互传秘密信息的方法、系统、终端设备及平台设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103118363A true CN103118363A (zh) | 2013-05-22 |
| CN103118363B CN103118363B (zh) | 2016-07-27 |
Family
ID=48416606
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110363828.XA Active CN103118363B (zh) | 2011-11-17 | 2011-11-17 | 一种互传秘密信息的方法、系统、终端设备及平台设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103118363B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104079403A (zh) * | 2014-06-25 | 2014-10-01 | 无锡市崇安区科技创业服务中心 | 一种密码密钥分配系统 |
| CN104756440A (zh) * | 2013-08-28 | 2015-07-01 | 华为技术有限公司 | 分发密钥的方法、m2m平台及m2m终端 |
| WO2015149669A1 (zh) * | 2014-04-03 | 2015-10-08 | 国家电网公司 | 一种可信的网络攻击过滤装置及网络攻击过滤方法 |
| CN105022965A (zh) * | 2015-07-14 | 2015-11-04 | 广东欧珀移动通信有限公司 | 一种数据加密方法及装置 |
| CN105591740A (zh) * | 2014-10-20 | 2016-05-18 | 中国电信股份有限公司 | 一种信息发送设备、接收设备、传输设备及方法 |
| CN105636025A (zh) * | 2015-07-08 | 2016-06-01 | 宇龙计算机通信科技(深圳)有限公司 | 一种安全传输数据的方法及系统 |
| CN107995210A (zh) * | 2017-12-19 | 2018-05-04 | 芯盾(北京)信息技术有限公司 | 密钥和密文通过不同传输域传输的语音加密通信方法 |
| CN110324143A (zh) * | 2019-05-24 | 2019-10-11 | 平安科技(深圳)有限公司 | 数据传输方法、电子设备及存储介质 |
| CN111132166A (zh) * | 2019-12-30 | 2020-05-08 | 江苏全链通信息科技有限公司 | 5g通信双通道接入方法、设备及存储介质 |
| CN112272174A (zh) * | 2020-10-22 | 2021-01-26 | 北京海泰方圆科技股份有限公司 | 加密数据传输方法、装置、设备及计算机存储介质 |
| WO2022133904A1 (zh) * | 2020-12-24 | 2022-06-30 | 京东方科技集团股份有限公司 | 交互认证方法、装置及系统、计算机设备及可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006106393A2 (en) * | 2005-04-04 | 2006-10-12 | Nokia Corporation | Access management in a wireless local area network |
| CN101771659A (zh) * | 2008-11-20 | 2010-07-07 | 华为终端有限公司 | 一种安全切换配置方法、系统和设备 |
| CN101917270A (zh) * | 2010-08-03 | 2010-12-15 | 中国科学院软件研究所 | 一种基于对称密码的弱认证和密钥协商方法 |
-
2011
- 2011-11-17 CN CN201110363828.XA patent/CN103118363B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006106393A2 (en) * | 2005-04-04 | 2006-10-12 | Nokia Corporation | Access management in a wireless local area network |
| CN101771659A (zh) * | 2008-11-20 | 2010-07-07 | 华为终端有限公司 | 一种安全切换配置方法、系统和设备 |
| CN101917270A (zh) * | 2010-08-03 | 2010-12-15 | 中国科学院软件研究所 | 一种基于对称密码的弱认证和密钥协商方法 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104756440A (zh) * | 2013-08-28 | 2015-07-01 | 华为技术有限公司 | 分发密钥的方法、m2m平台及m2m终端 |
| WO2015149669A1 (zh) * | 2014-04-03 | 2015-10-08 | 国家电网公司 | 一种可信的网络攻击过滤装置及网络攻击过滤方法 |
| CN104079403A (zh) * | 2014-06-25 | 2014-10-01 | 无锡市崇安区科技创业服务中心 | 一种密码密钥分配系统 |
| CN105591740A (zh) * | 2014-10-20 | 2016-05-18 | 中国电信股份有限公司 | 一种信息发送设备、接收设备、传输设备及方法 |
| CN105636025A (zh) * | 2015-07-08 | 2016-06-01 | 宇龙计算机通信科技(深圳)有限公司 | 一种安全传输数据的方法及系统 |
| CN105022965A (zh) * | 2015-07-14 | 2015-11-04 | 广东欧珀移动通信有限公司 | 一种数据加密方法及装置 |
| CN107995210A (zh) * | 2017-12-19 | 2018-05-04 | 芯盾(北京)信息技术有限公司 | 密钥和密文通过不同传输域传输的语音加密通信方法 |
| CN110324143A (zh) * | 2019-05-24 | 2019-10-11 | 平安科技(深圳)有限公司 | 数据传输方法、电子设备及存储介质 |
| CN110324143B (zh) * | 2019-05-24 | 2022-03-11 | 平安科技(深圳)有限公司 | 数据传输方法、电子设备及存储介质 |
| CN111132166A (zh) * | 2019-12-30 | 2020-05-08 | 江苏全链通信息科技有限公司 | 5g通信双通道接入方法、设备及存储介质 |
| CN112272174A (zh) * | 2020-10-22 | 2021-01-26 | 北京海泰方圆科技股份有限公司 | 加密数据传输方法、装置、设备及计算机存储介质 |
| WO2022133904A1 (zh) * | 2020-12-24 | 2022-06-30 | 京东方科技集团股份有限公司 | 交互认证方法、装置及系统、计算机设备及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103118363B (zh) | 2016-07-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103118363B (zh) | 一种互传秘密信息的方法、系统、终端设备及平台设备 | |
| US9008312B2 (en) | System and method of creating and sending broadcast and multicast data | |
| CN102065016B (zh) | 报文发送和接收方法及装置、报文处理方法及系统 | |
| CN111756529B (zh) | 一种量子会话密钥分发方法及系统 | |
| CN105163309B (zh) | 一种基于组合密码的无线传感器网络安全通信的方法 | |
| CN103338215A (zh) | 基于国密算法建立tls通道的方法 | |
| CN101540669A (zh) | 一种无线移动通信网络的密钥分发和信息保护方法 | |
| CN104901935A (zh) | 一种基于cpk的双向认证及数据交互安全保护方法 | |
| CN101969638A (zh) | 一种移动通信中对imsi进行保护的方法 | |
| CN112491550B (zh) | 一种基于车联网的移动终端设备可信认证方法及系统 | |
| CN111756528B (zh) | 一种量子会话密钥分发方法、装置及通信架构 | |
| CN104901803A (zh) | 一种基于cpk标识认证技术的数据交互安全保护方法 | |
| CN111416712B (zh) | 基于多个移动设备的量子保密通信身份认证系统及方法 | |
| Niu et al. | A novel user authentication scheme with anonymity for wireless communications | |
| CN112351037A (zh) | 用于安全通信的信息处理方法及装置 | |
| Nikooghadam et al. | A provably secure ECC-based roaming authentication scheme for global mobility networks | |
| KR101704540B1 (ko) | M2m 환경의 다중 디바이스 데이터 공유를 위한 그룹키 관리 방법 | |
| CN107104888B (zh) | 一种安全的即时通信方法 | |
| CN102739660B (zh) | 一种单点登录系统的密钥交换方法 | |
| CN106209384B (zh) | 使用安全机制的客户终端与充电装置的通信认证方法 | |
| KR100456624B1 (ko) | 이동 통신망에서의 인증 및 키 합의 방법 | |
| CN116388995A (zh) | 一种基于puf的轻量级智能电网认证方法 | |
| CN113676330B (zh) | 一种基于二级密钥的数字证书申请系统及方法 | |
| CN112019553B (zh) | 一种基于ibe/ibbe数据共享方法 | |
| CN111526131B (zh) | 基于秘密共享和量子通信服务站的抗量子计算的电子公文传输方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |