发明内容
本发明实施例提供一种信息配置方法,可以降低用户操作难度,提高用户的体验。
本发明实施例第一方面提供一种信息配置方法,应用于与接入附件设备、待配置终端通信的接入设备中,并且所述接入设备与所述接入附件设备共享第一密钥,所述待配置终端与所述接入附件设备通过密钥交换算法协商生成第二密钥,所述方法包括:
向待配置终端发送使用所述第一密钥加密的接入设备侧的密钥交换信息,以使所述待配置终端向所述接入附件设备发送使用所述第一密钥加密的接入设备侧的密钥交换信息和使用所述第二密钥加密的待配置终端侧的密钥交换信息;
获取与所述待配置终端的共享密钥;
向所述待配置终端发送使用所述共享密钥加密的配置信息,以使所述待配置终端在获取到与所述接入设备的所述共享密钥后使用所述配置信息与所述接入设备建立安全连接。
结合第一方面,在第一种可能的实现方式中,所述获取与所述待配置终端的共享密钥,具体包括:
接收所述待配置终端发送的使用所述第一密钥加密的待配置终端侧的密钥交换信息,其中所述使用所述第一密钥加密的待配置终端侧的密钥交换信息为所述接入附件设备解密所述使用第一密钥加密的接入设备侧的密钥交换信息和所述使用第二密钥加密的待配置终端侧的密钥交换信息后,向所述待配置终端发送的使用所述第一密钥加密的待配置终端侧的密钥交换信息;根据所述接入设备侧的密钥交换信息和所述使用所述第一密钥加密的待配置终端侧的密钥交换信息计算得到所述共享密钥;
所述待配置终端具体通过接收所述接入附件设备解密所述使用第一密钥加密的接入设备侧的密钥交换信息和所述使用第二密钥加密的待配置终端侧的密钥交换信息后,发送的使用第二密钥加密的接入设备侧的密钥交换信息,并根据所述待配置终端侧的密钥交换信息和所述使用第二密钥加密的接入设备侧的密钥交换信息获取到与所述接入设备的所述共享密钥。
结合第一方面,在第二种可能的实现方式中,所述获取与所述待配置终端的共享密钥,具体包括:
接收所述待配置终端发送的使用第一密钥加密的共享密钥,所述使用第一密钥加密的共享密钥为所述接入附件设备对计算得到的共享密钥使用第一密钥加密后发送给所述待配置终端的;
所述待配置终端具体通过接收所述接入附件设备发送来的使用第二密钥加密的共享密钥获取到与所述接入设备的所述共享密钥;
其中,所述共享密钥为所述接入附件设备通过解密所述使用第一密钥加密的接入设备侧的密钥交换信息和所述使用第二密钥加密的待配置终端侧的密钥交换信息后,根据接入设备侧的密钥交换信息和待配置终端侧的密钥交换信息计算得到的共享密钥。
结合第一方面、第一方面第一种或者第二种可能的实现方式,在第三种可能的实现方式中,所述接入设备与所述接入附件设备之间通过有线方式通信,所述待配置终端与所述接入附件设备之间通过近距离方式通信或者有线方式通信。
本发明实施例第二方面提供一种信息配置方法,应用于与接入设备、接入附件设备通信的待配置终端中,并且所述接入设备与所述接入附件设备共享第一密钥,所述待配置终端与所述接入附件设备通过密钥交换算法协商生成第二密钥,所述方法包括:
接收所述接入设备发送的使用第一密钥加密的接入设备侧的密钥交换信息;
向所述接入附件设备发送所述使用第一密钥加密的接入设备侧的密钥交换信息和使用第二密钥加密的待配置终端侧的密钥交换信息;
获取与所述接入设备的共享密钥;
在所述接入设备获取到与所述待配置终端的所述共享密钥后,接收所述接入设备发送的使用所述共享密钥加密的配置信息;
根据所述配置信息与所述接入设备建立安全连接。
结合第二方面,在第一种可能的实现方式中,所述获取与所述接入设备的共享密钥,具体包括:
接收所述接入附件设备在解密所述使用第一密钥加密的接入设备侧的密钥交换信息和所述使用第二密钥加密的待配置终端侧的密钥交换信息后发送来的使用第一密钥加密的待配置终端侧的密钥交换信息和使用第二密钥加密的接入设备侧的密钥交换信息,根据所述使用第二密钥加密的接入设备侧的密钥交换信息和待配置终端侧的密钥交换信息计算得到所述共享密钥;
所述在所述接入设备获取到与所述待配置终端的共享密钥后,接收所述接入设备发送的使用所述共享密钥加密的配置信息具体为:
向所述接入设备发送所述使用第一密钥加密的待配置终端侧的密钥交换信息,使所述接入设备根据所述接入设备侧的密钥交换信息和所述使用第一密钥加密的待配置终端侧的密钥交换信息计算得到所述共享密钥,接收所述接入设备发送的使用所述共享密钥加密的配置信息。
结合第二方面,在第二种可能的实现方式中,所述获取与所述接入设备的共享密钥,具体包括:
接收所述接入附件设备发送的使用第一密钥加密的共享密钥和使用第二密钥加密的所述共享密钥,其中,所述共享密钥为所述接入附件设备通过解密所述使用第一密钥加密的接入设备侧的密钥交换信息和所述使用第二密钥加密的待配置终端侧的密钥交换信息后,根据接入设备侧的密钥交换信息和待配置终端侧的密钥交换信息计算得到的共享密钥;
所述在所述接入设备获取到与所述待配置终端的共享密钥后,接收所述接入设备发送的使用所述共享密钥加密的配置信息具体为:
向所述接入设备发送所述使用第一密钥加密的所述共享密钥,以使所述接入设备获取到与所述待配置终端的所述共享密钥,接收所述接入设备发送的使用所述共享密钥加密的配置信息。
结合第二方面、第二方面第一种或者第二种可能的实现方式,在第三种可能的实现方式中,所述接入设备与所述接入附件设备之间通过有线方式通信,所述待配置终端与所述接入附件设备之间通过近距离方式通信或者有线方式通信。
本发明实施例第三方面提供一种信息配置方法,应用于与接入设备、待配置终端通信的接入附件设备中,所述方法包括:
与所述接入设备共享第一密钥,以使所述接入设备向所述待配置终端发送使用所述第一密钥加密的接入设备侧的密钥交换信息;
与所述待配置终端通过密钥交换算法协商生成第二密钥;
接收并解密所述待配置终端发送的所述使用所述第一密钥加密的接入设备侧的密钥交换信息和使用所述第二密钥加密的待配置终端侧的密钥交换信息;
向所述待配置终端发送分别使用所述第一密钥和所述第二密钥加密的所述接入设备与所述待配置终端的共享密钥,或者使用第一密钥加密的待配置终端侧的密钥交换信息和使用第二密钥加密的接入设备侧的密钥交换信息,以使所述待配置终端和所述接入设备获取所述接入设备与所述待配置终端的共享密钥,并用所述共享密钥传递配置信息,进而建立安全连接。
结合第三方面,在第一种可能的实现方式中,所述向所述待配置终端发送所述接入设备与所述待配置终端的共享密钥的步骤之前,还包括:
根据所述接入设备侧的密钥交换信息和待配置终端侧的密钥交换信息计算得到所述接入设备与所述待配置终端的共享密钥。
结合第三方面,在第二种可能的实现方式中,所述向所述待配置终端发送使用第一密钥加密的待配置终端侧的密钥交换信息和使用第二密钥加密的接入设备侧的密钥交换信息,以使所述待配置终端和所述接入设备获取所述接入设备与所述待配置终端的共享密钥,具体包括:
向所述待配置终端发送使用第一密钥加密的待配置终端侧的密钥交换信息和使用第二密钥加密的接入设备侧的密钥交换信息,以使所述待配置终端将所述使用第一密钥加密的待配置终端侧的密钥交换信息转发给所述接入设备,从而使所述待配置终端和所述接入设备分别根据所述接入设备侧的密钥交换信息和待配置终端侧的密钥交换信息计算得到所述接入设备和待配置终端的共享密钥。
结合第三方面、第三方面第一种或者第二种可能的实现方式,在第三种可能的实现方式中,所述接入设备与所述接入附件设备之间通过有线方式通信,所述待配置终端与所述接入附件设备之间通过近距离方式通信或者有线方式通信。
本发明实施例第四方面提供一种接入设备,与接入附件设备和待配置终端通信连接,并且所述接入设备与所述接入附件设备共享第一密钥,所述待配置终端与所述接入附件设备通过密钥交换算法协商生成第二密钥,所述接入设备包括:
第一发送单元,用于向待配置终端发送使用第一密钥加密的接入设备侧的密钥交换信息,以使所述待配置终端向所述接入附件设备发送使用第一密钥加密的接入设备侧的密钥交换信息和使用第二密钥加密的待配置终端侧的密钥交换信息;
第一获取单元,用于获取与所述待配置终端的共享密钥;
所述第一发送单元,还用于在所述第一获取单元获取所述共享密钥后,向所述待配置终端发送使用所述共享密钥加密的配置信息,以使所述待配置终端在获取到与所述接入设备的所述共享密钥后使用所述配置信息与所述接入设备建立安全连接。
结合第四方面,在第一种可能的实现方式中,
所述第一获取单元,具体用于接收所述待配置终端发送的使用所述第一密钥加密的待配置终端侧的密钥交换信息,其中所述使用所述第一密钥加密的待配置终端侧的密钥交换信息为所述接入附件设备解密所述使用第一密钥加密的接入设备侧的密钥交换信息和所述使用第二密钥加密的待配置终端侧的密钥交换信息后,向所述待配置终端发送的使用所述第一密钥加密的待配置终端侧的密钥交换信息;根据所述接入设备侧的密钥交换信息和所述使用所述第一密钥加密的待配置终端侧的密钥交换信息计算得到所述共享密钥;
所述待配置终端具体通过接收所述接入附件设备解密所述使用第一密钥加密的接入设备侧的密钥交换信息和所述使用第二密钥加密的待配置终端侧的密钥交换信息后,发送的使用第二密钥加密的接入设备侧的密钥交换信息,并根据所述待配置终端侧的密钥交换信息和所述使用第二密钥加密的接入设备侧的密钥交换信息获取到与所述接入设备的所述共享密钥。
结合第四方面,在第二种可能的实现方式中,
所述第一获取单元,具体用于接收所述待配置终端发送的使用第一密钥加密的共享密钥,所述使用第一密钥加密的共享密钥为所述接入附件设备对计算得到的共享密钥使用第一密钥加密后发送给所述待配置终端的;
所述待配置终端具体通过接收所述接入附件设备发送来的使用第二密钥加密的共享密钥获取到与所述接入设备的所述共享密钥;
其中,所述共享密钥为所述接入附件设备通过解密所述使用第一密钥加密的接入设备侧的密钥交换信息和所述使用第二密钥加密的待配置终端侧的密钥交换信息后,根据接入设备侧的密钥交换信息和待配置终端侧的密钥交换信息计算得到的共享密钥。
结合第四方面、第四方面第一种或者第二种可能的实现方式,在第三种可能的实现方式中,所述接入设备与所述接入附件设备之间通过有线方式通信,所述待配置终端与所述接入附件设备之间通过近距离方式通信或者有线方式通信。
本发明实施例第五方面提供一种待配置终端,与接入设备和接入附件设备通信连接,并且所述接入设备与所述接入附件设备共享第一密钥,所述待配置终端与所述接入附件设备通过密钥交换算法协商生成第二密钥,所述待配置终端包括:
第一接收单元,用于接收所述接入设备发送的使用第一密钥加密的接入设备侧的密钥交换信息;
第二发送单元,用于向所述接入附件设备发送所述第一接收单元接收到的使用第一密钥加密的接入设备侧的密钥交换信息,和,使用第二密钥加密的待配置终端侧的密钥交换信息;
第二获取单元,用于获取与所述接入设备的共享密钥;
所述第一接收单元,还用于在所述接入设备获取到与所述待配置终端的所述共享密钥后,接收所述接入设备发送的使用所述共享密钥加密的配置信息;
连接建立单元,用于使用第二获取单元获取的所述共享密钥解密所述第一接收单元接收到的使用所述共享密钥加密的配置信息,并使用所述配置信息与所述接入设备建立安全连接。
结合第五方面,在第一种可能的实现方式中,
所述第二获取单元,具体用于接收所述接入附件设备在解密所述使用第一密钥加密的接入设备侧的密钥交换信息和所述使用第二密钥加密的待配置终端侧的密钥交换信息后发送来的使用第一密钥加密的待配置终端侧的密钥交换信息和使用第二密钥加密的接入设备侧的密钥交换信息,根据所述使用第二密钥加密的接入设备侧的密钥交换信息和待配置终端侧的密钥交换信息计算得到所述共享密钥;
所述第二发送单元,还用于向所述接入设备发送所述第二获取单元接收到的所述使用第一密钥加密的待配置终端侧的密钥交换信息,以使所述接入设备根据所述接入设备侧的密钥交换信息和所述使用第一密钥加密的待配置终端侧的密钥交换信息计算得到所述共享密钥。
结合第五方面,在第二种可能的实现方式中,
所述第二获取单元,具体用于接收所述接入附件设备发送的使用第一密钥加密的共享密钥和使用第二密钥加密的所述共享密钥,其中,所述共享密钥为所述接入附件设备通过解密所述使用第一密钥加密的接入设备侧的密钥交换信息和所述使用第二密钥加密的待配置终端侧的密钥交换信息后,根据接入设备侧的密钥交换信息和待配置终端侧的密钥交换信息计算得到的共享密钥;
所述第二发送单元,还用于向所述接入设备发送所述第二获取单元接收到的所述使用第一密钥加密的所述共享密钥,以使所述接入设备获取到与所述待配置终端的所述共享密钥。
结合第五方面、第五方面第一种或者第二种可能的实现方式,在第三种可能的实现方式中,
所述接入设备与所述接入附件设备之间通过有线方式通信,所述待配置终端与所述接入附件设备之间通过近距离方式通信或者有线方式通信。
本发明实施例第六方面提供一种接入附件设备,与接入设备和待配置终端通信连接,所述接入附件设备包括:
密钥生成单元,用于与所述接入设备共享第一密钥,以使所述接入设备向所述待配置终端发送使用所述第一密钥加密的接入设备侧的密钥交换信息,并与所述待配置终端通过密钥交换算法协商生成第二密钥;
第二接收单元,用于接收所述待配置终端发送的使用所述第一密钥加密的接入设备侧的密钥交换信息和使用所述第二密钥加密的待配置终端侧的密钥交换信息;
解密单元,用于使用所述密钥生成单元生成的第一密钥和第二密钥解密所述第二接收单元接收到的待配置终端发送的使用所述第一密钥加密的接入设备侧的密钥交换信息和使用所述第二密钥加密的待配置终端侧的密钥交换信息;
加密单元,用于在所述解密单元解密后,使用第一密钥加密待配置终端侧的密钥交换信息和使用第二密钥加密接入设备侧的密钥交换信息;
第三发送单元,用于向所述待配置终端发送所述接入设备与所述待配置终端的共享密钥或者所述加密单元使用第一密钥加密的待配置终端侧的密钥交换信息和使用第二密钥加密的接入设备侧的密钥交换信息,以使所述待配置终端和所述接入设备获取所述接入设备与所述待配置终端的共享密钥,并用所述共享密钥传递配置信息,进而建立安全连接。
结合第六方面,在第一种可能的实现方式中,所述接入附件设备,还包括:计算单元,
所述计算单元,用于根据所述解密单元解密出的接入设备侧的密钥交换信息和待配置终端侧的密钥交换信息计算得到所述接入设备与所述待配置终端的共享密钥。
结合第六方面,在第二种可能的实现方式中,
所述第三发送单元,具体用于向所述待配置终端发送使用第一密钥加密的待配置终端侧的密钥交换信息和使用第二密钥加密的接入设备侧的密钥交换信息,以使所述待配置终端将所述使用第一密钥加密的待配置终端侧的密钥交换信息转发给所述接入设备,从而使所述待配置终端和所述接入设备分别根据所述接入设备侧的密钥交换信息和待配置终端侧的密钥交换信息计算得到所述接入设备和待配置终端的共享密钥。
结合第六方面、第六方面第一种或者第二种可能的实现方式,在第三种可能的实现方式中,所述接入设备与所述接入附件设备之间通过有线方式通信,所述待配置终端与所述接入附件设备之间通过近距离方式通信或者有线方式通信。
本发明实施例第七方面提供一种信息配置系统,包括:接入设备、接入附件设备和待配置终端,所述接入设备、接入附件设备和待配置终端之间通信连接,
所述接入设备为上述技术方案所述的接入设备,所述待配置终端为上述技术方案所述的待配置终端,所述接入附件设备为上述技术方案所述的接入附件设备。
结合第七方面,在第一种可能的实现方式中,所述接入设备与所述接入附件设备通过有线方式通信。
结合第七方面或者第七方面第一种可能的实现方式,在第二种可能的实现方式中,所述接入附件设备与所述待配置终端通过近距离无线方式或有线方式通信。
本发明实施例提供的信息配置方法,接入设备与接入附件设备共享第一密钥,待配置终端与接入附件设备通过密钥交换算法协商生成第二密钥,接入设备与待配置终端通过接入附件设备获取两者的共享密钥,接入设备使用该共享密钥加密配置信息,待配置终端使用该使用共享密钥加密的配置信息与接入设备建立连接。该共享密钥为接入附件设备通过解密使用第一密钥加密的接入设备侧的密钥交换信息和使用第二密钥加密的待配置终端侧的密钥交换信息后,待配置终端、接入附件设备或者接入设备根据接入设备侧的密钥交换信息和待配置终端侧的密钥交换信息计算得到的共享密钥。这种完全由设备之间的互相交互来完成建立连接的方案,与现有技术中的人工手动输入PIN的方式进行入网信息配置相比,不需要用户进行手动输入,降低了用户的操作难度,提高了用户体验。
具体实施方式
本发明实施例提供一种信息配置方法,可以降低用户操作难度,提高网络安全性。以下分别进行详细说明。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例中的接入设备可以为路由器、调制解调器、待配置终端可以为手机、电脑、无线打印机等终端,接入附件设备可以为具有通信功能的智能卡,本发明中的待配置终端也可以具有接入设备的功能,接入设备也可以具有待配置终端的功能。
以下本发明多个实施例中的接入设备、接入附件设备和待配置终端通信连接,所述接入设备与所述接入附件设备可以通过有线方式通信,所述接入附件设备与所述待配置终端可以通过近距离无线方式或有线方式通信,所述接入设备与所述待配置终端可以通过无线方式通信;所述有线方式通信可以为通过通用串行总线(USB,Universal Serial BUS)方式通信,所述近距离无线方式通信可以为近场通信(NFC,Near field communication)方式通信,所述无线方式通信可以为通过无线保真(WirelessFidelity,WiFi)方式通信。所述接入设备与所述接入附件设备通过有线方式通信,可以防止中间人攻击,同时防止接入设备和接入附件设备的传输数据被攻击者偷听,并防止攻击者向接入附件设备写入篡改信息。所述接入附件设备与所述待配置终端可以采用近距离无线方式通信如NFC通信,或降低了功率使得只能在很近距离如1米范围内通信的WiFi通信方式来进行通信,由于两个设备在很近的距离内交换消息难以被中间人攻击,可以提高安全性。
参阅图1,应用于与接入附件设备、待配置终端通信的接入设备中,所述接入设备与所述接入附件设备共享第一密钥,所述待配置终端与所述接入附件设备通过密钥交换算法协商生成第二密钥,本发明实施例提供的信息配置方法的另一实施例包括:
101、接入设备向待配置终端发送使用所述第一密钥加密的接入设备侧的密钥交换信息,以使所述待配置终端向所述接入附件设备发送使用所述第一密钥加密的接入设备侧的密钥交换信息和使用所述第二密钥加密的待配置终端侧的密钥交换信息。
接入附件设备持有第一密钥和第二密钥,可做为实现接入设备和待配置终端互相信任的中间设备。
接入设备侧的密钥交换信息可以为一个随机数,待配置终端侧的密钥交换信息可以为另一个随机数;
接入设备侧的密钥交换信息可以为一个随机数和接入设备的地址信息,待配置终端侧的密钥交换信息可以为另一随机数和待配置终端的地址信息;
接入设备侧的密钥交换信息可以为接入设备的一个证书,待配置终端侧的密钥交换信息可以为终端设备的一个证书;
接入设备侧的密钥交换信息可以为接入设备的密钥交换算法的公钥,待配置终端侧的密钥交换信息可以为待配置终端的密钥交换算法公钥。
102、接入设备获取与所述待配置终端的共享密钥。
接入设备获取所述共享密钥可以由两种方案来实现:
第一种为:接入设备接收待配置终端发送来的使用所述第一密钥加密的待配置终端侧的密钥交换信息,然后根据所述接入设备侧的密钥交换信息和使用所述第一密钥加密的待配置终端侧的密钥交换信息计算得到所述共享密钥。
第二种为:接入设备接收待配置终端发送来的使用所述第一密钥加密的共享密钥,从而获得所述共享密钥。
其中所述使用所述第一密钥加密的待配置终端侧的密钥交换信息为所述接入附件设备解密所述使用第一密钥加密的接入设备侧的密钥交换信息和所述使用第二密钥加密的待配置终端侧的密钥交换信息后,向所述待配置终端发送的使用所述第一密钥加密的待配置终端侧的密钥交换信息。
其中,所述共享密钥为所述接入附件设备通过解密所述使用第一密钥加密的接入设备侧的密钥交换信息和所述使用第二密钥加密的待配置终端侧的密钥交换信息后,根据接入设备侧的密钥交换信息和待配置终端侧的密钥交换信息计算得到的共享密钥。
103、接入设备向所述待配置终端发送使用所述共享密钥加密的配置信息,以使所述待配置终端在获取到与所述接入设备的所述共享密钥后使用所述配置信息与所述接入设备建立安全连接。
本发明实施例中,应用于与接入附件设备、待配置终端通信的接入设备中,并且所述接入设备与所述接入附件设备共享第一密钥,所述待配置终端与所述接入附件设备通过密钥交换算法协商生成第二密钥,所述方法包括:向待配置终端发送使用所述第一密钥加密的接入设备侧的密钥交换信息,以使所述待配置终端向所述接入附件设备发送使用所述第一密钥加密的接入设备侧的密钥交换信息和使用所述第二密钥加密的待配置终端侧的密钥交换信息;获取与所述待配置终端的共享密钥;向所述待配置终端发送使用所述共享密钥加密的配置信息,以使所述待配置终端在获取到与所述接入设备的所述共享密钥后使用所述配置信息与所述接入设备建立安全连接。本发明实施例提供的这种完全由设备之间的互相交互来完成入网信息配置及建立连接的方案,与现有技术中的人工手动输入PIN的方式进行入网信息配置相比,不需要用户进行手动输入,降低了用户的操作难度,提高了用户体验;现有技术中由于PIN很短,仅由8位数字组成,很容易被暴力攻击破解,所以网络安全性低,本发明实施例中接入附件设备同时持有与接入设备共享的第一密钥和与待配置终端共享的第二密钥,所以本发明实施例可基于接入附件设备进行可信的密钥交换,从而使接入设备和待配置终端都分别获取与对方的共享密钥,接入设备使用该共享密钥加密配置信息,并发送给待配置终端,进而待配置终端根据该配置信息与接入设备建立安全连接,进一步提高了网络的安全性。
进一步地,所述接入设备与所述接入附件设备共享第一密钥,可以在所述接入设备接收到所述待配置终端的配置请求后发生。
可选地,在上述图1对应的实施例的基础上,本发明实施例提供的信息配置方法的另一实施例中,
所述获取与所述待配置终端的共享密钥,具体可以包括:
接收所述待配置终端发送的使用所述第一密钥加密的待配置终端侧的密钥交换信息,其中所述使用所述第一密钥加密的待配置终端侧的密钥交换信息为所述接入附件设备解密所述使用第一密钥加密的接入设备侧的密钥交换信息和所述使用第二密钥加密的待配置终端侧的密钥交换信息后,向所述待配置终端发送的使用所述第一密钥加密的待配置终端侧的密钥交换信息;根据所述接入设备侧的密钥交换信息和所述使用所述第一密钥加密的待配置终端侧的密钥交换信息计算得到所述共享密钥;
所述待配置终端具体通过接收所述接入附件设备解密所述使用第一密钥加密的接入设备侧的密钥交换信息和所述使用第二密钥加密的待配置终端侧的密钥交换信息后,发送的使用第二密钥加密的接入设备侧的密钥交换信息,并根据所述待配置终端侧的密钥交换信息和所述使用第二密钥加密的接入设备侧的密钥交换信息获取到与所述接入设备的所述共享密钥。
可选地,在上述图1对应的实施例的基础上,本发明实施例提供的信息配置方法的另一实施例中,
所述获取与所述待配置终端的共享密钥,具体可以包括:
接收所述待配置终端发送的使用第一密钥加密的共享密钥,所述使用第一密钥加密的共享密钥为所述接入附件设备对计算得到的共享密钥使用第一密钥加密后发送给所述待配置终端的;
所述待配置终端具体通过接收所述接入附件设备发送来的使用第二密钥加密的共享密钥获取到与所述接入设备的所述共享密钥;
其中,所述共享密钥为所述接入附件设备通过解密所述使用第一密钥加密的接入设备侧的密钥交换信息和所述使用第二密钥加密的待配置终端侧的密钥交换信息后,根据接入设备侧的密钥交换信息和待配置终端侧的密钥交换信息计算得到的共享密钥。
参阅图2,应用于与接入设备、接入附件设备通信的待配置终端中,并且所述接入设备与所述接入附件设备共享第一密钥,所述待配置终端与所述接入附件设备通过密钥交换算法协商生成第二密钥,本发明实施例提供的信息配置方法的另一实施例包括:
201、待配置终端接收所述接入设备发送的使用第一密钥加密的接入设备侧的密钥交换信息。
202、待配置终端向所述接入附件设备发送所述使用第一密钥加密的接入设备侧的密钥交换信息和使用第二密钥加密的待配置终端侧的密钥交换信息。
因待配置终端只持有第二密钥,因此待配置终端不能读取第一密钥加密的接入设备侧的密钥交换信息,在计算共享密钥时,需要根据接入设备侧的密钥交换信息和待配置终端侧的密钥交换信息计算,所以,待配置终端要将使用第一密钥加密的接入设备侧的密钥交换信息和使用第二密钥加密的待配置终端侧的密钥交换信息发送给接入附件设备进行解密,进行交换加密,也就是使接入附件设备解密后,使用第一密钥加密待配置终端侧的密钥交换信息,使用第二密钥加密接入设备侧的密钥交换信息,从而使得待配置终端和接入设备都能获取到对方的密钥交换信息,进行共享密钥的计算,也可以由接入附件设备直接计算出共享密钥,将共享密钥分别使用第一密钥和第二密钥加密后发送给待配置终端,待配置终端再将使用第一密钥加密的共享密钥发送给接入设备,进而实现安全配置。
203、待配置终端获取与所述接入设备的共享密钥。
待配置终端获取所述共享密钥可以有两种方案:
第一种为:接收接入设备发送来的使用第一密钥加密的待配置终端侧的密钥交换信息和使用第二密钥加密的接入设备侧的密钥交换信息,然后根据所述待配置终端侧的密钥交换信息和使用第二密钥加密的接入设备侧的密钥交换信息计算得到所述共享密钥。
第二种为:接收所述接入附件设备发送来的使用第二密钥加密的共享密钥。
其中,所述共享密钥为所述接入附件设备通过解密所述使用第一密钥加密的接入设备侧的密钥交换信息和所述使用第二密钥加密的待配置终端侧的密钥交换信息后,根据接入设备侧的密钥交换信息和待配置终端侧的密钥交换信息计算得到的共享密钥;
204、待配置终端在所述接入设备获取到与所述待配置终端的所述共享密钥后,接收所述接入设备发送的使用所述共享密钥加密的配置信息。
205、待配置终端根据所述配置信息与所述接入设备建立安全连接。
本发明实施例中,应用于与接入设备、接入附件设备通信的待配置终端中,并且所述接入设备与所述接入附件设备共享第一密钥,所述待配置终端与所述接入附件设备通过密钥交换算法协商生成第二密钥,所述方法包括:接收所述接入设备发送的使用第一密钥加密的接入设备侧的密钥交换信息;向所述接入附件设备发送所述使用第一密钥加密的接入设备侧的密钥交换信息和使用第二密钥加密的待配置终端侧的密钥交换信息;获取与所述接入设备的共享密钥;在所述接入设备获取到与所述待配置终端的所述共享密钥后,接收所述接入设备发送的使用所述共享密钥加密的配置信息;根据所述配置信息与所述接入设备建立安全连接。本发明实施例提供的这种完全由设备之间的互相交互来完成入网信息配置及建立连接的方案,与现有技术中的人工手动输入PIN的方式进行入网信息配置相比,不需要用户进行手动输入,降低了用户的操作难度,提高了用户体验;现有技术中由于PIN很短,仅由8位数字组成,很容易被暴力攻击破解,所以网络安全性低,本发明实施例中接入附件设备同时持有与接入设备共享的第一密钥和与待配置终端共享的第二密钥,所以本发明实施例可基于接入附件设备进行可信的密钥交换,从而使接入设备和待配置终端都分别获取与对方的共享密钥,接入设备使用该共享密钥加密配置信息,并发送给待配置终端,进而待配置终端根据该配置信息与接入设备建立安全连接,进一步提高了网络的安全性。
进一步地,所述接入设备与所述接入附件设备共享第一密钥,可以在所述待配置终端向所述接入设备发送配置请求,并且所述接入设备接收到所述待配置终端的配置请求后发生。
可选地,在上述图2对应的实施例的基础上,本发明实施例提供的信息配置方法的另一实施例中,
所述获取与所述接入设备的共享密钥,具体可以包括:
接收所述接入附件设备在解密所述使用第一密钥加密的接入设备侧的密钥交换信息和所述使用第二密钥加密的待配置终端侧的密钥交换信息后发送来的使用第一密钥加密的待配置终端侧的密钥交换信息和使用第二密钥加密的接入设备侧的密钥交换信息,根据所述使用第二密钥加密的接入设备侧的密钥交换信息和待配置终端侧的密钥交换信息计算得到所述共享密钥;
所述在所述接入设备获取到与所述待配置终端的共享密钥后,接收所述接入设备发送的使用所述共享密钥加密的配置信息具体可以为:
向所述接入设备发送所述使用第一密钥加密的待配置终端侧的密钥交换信息,使所述接入设备根据所述接入设备侧的密钥交换信息和所述使用第一密钥加密的待配置终端侧的密钥交换信息计算得到所述共享密钥,接收所述接入设备发送的使用所述共享密钥加密的配置信息。
可选地,在上述图2对应的实施例的基础上,本发明实施例提供的信息配置方法的另一实施例中,
所述获取与所述接入设备的共享密钥,具体可以包括:
接收所述接入附件设备发送的使用第一密钥加密的共享密钥和使用第二密钥加密的所述共享密钥,其中,所述共享密钥为所述接入附件设备通过解密所述使用第一密钥加密的接入设备侧的密钥交换信息和所述使用第二密钥加密的待配置终端侧的密钥交换信息后,根据接入设备侧的密钥交换信息和待配置终端侧的密钥交换信息计算得到的共享密钥;
所述在所述接入设备获取到与所述待配置终端的共享密钥后,接收所述接入设备发送的使用所述共享密钥加密的配置信息具体可以为:
向所述接入设备发送所述使用第一密钥加密的所述共享密钥,以使所述接入设备获取到与所述待配置终端的所述共享密钥,接收所述接入设备发送的使用所述共享密钥加密的配置信息。
参阅图3,应用于与接入设备、待配置终端通信的接入附件设备中,本发明实施例提供的信息配置方法的另一实施例包括:
301、接入附件设备与所述接入设备共享第一密钥,以使所述接入设备向所述待配置终端发送使用所述第一密钥加密的接入设备侧的密钥交换信息。
302、接入附件设备与所述待配置终端通过密钥交换算法协商生成第二密钥。
303、接入附件设备接收并解密所述待配置终端发送的所述使用所述第一密钥加密的接入设备侧的密钥交换信息和使用所述第二密钥加密的待配置终端侧的密钥交换信息。
因接入附件设备持有第一密钥和第二密钥,所以所述接入附件设备可以将使用第一密钥加密的接入设备侧的密钥交换信息和使用第二密钥加密的待配置终端侧的密钥交换信息解密并重新进行交换加密。也就是使接入附件设备解密所述使用第一密钥加密的接入设备侧的密钥交换信息和使用第二密钥加密的待配置终端侧的密钥交换信息后,使用第一密钥加密待配置终端侧的密钥交换信息,使用第二密钥加密接入设备侧的密钥交换信息,并向待配置终端发送所述使用第一密钥加密待配置终端侧的密钥交换信息和使用第二密钥加密接入设备侧的密钥交换信息,从而使待配置终端可以根据待配置侧的密钥交换信息和使用第二密钥加密接入设备侧的密钥交换信息计算得到所述共享密钥,当接入设备从待配置终端处接收到使用第一密钥加密待配置终端侧的密钥交换信息后,也可以使用接入设备侧的密钥交换信息和使用第一密钥加密待配置终端侧的密钥交换信息计算得到所述共享密钥。接入附件设备也可以在解密所述使用第一密钥加密的接入设备侧的密钥交换信息和使用第二密钥加密的待配置终端侧的密钥交换信息后,直接计算出共享密钥,将共享密钥分别使用第一密钥和第二密钥加密后发送给待配置终端,待配置终端再将使用第一密钥加密的共享密钥发送给接入设备,进而实现安全配置,即接入设备通过所述共享密钥向所述待配置终端传递配置信息,使得所述待配置终端通过所述配置信息与所述接入设备建立安全连接;或者,在直接计算出共享密钥后,将共享密钥分别使用第一密钥和第二密钥加密后分别发送给接入设备和待配置终端,进而使接入设备和待配置终端实现安全配置。
304、接入附件设备向所述待配置终端发送分别使用所述第一密钥和所述第二密钥加密的所述接入设备与所述待配置终端的共享密钥或者使用第一密钥加密的待配置终端侧的密钥交换信息和使用第二密钥加密的接入设备侧的密钥交换信息,以使所述待配置终端和所述接入设备获取所述接入设备与所述待配置终端的共享密钥,并用所述共享密钥传递配置信息,进而建立安全连接。
若通过所述接入附件设备直接计算出共享密钥,则接入附件设备向所述待配置终端发送分别使用第一密钥和第二密钥加密的共享密钥,使得待配置终端再将使用第一密钥加密的共享密钥发送给接入设备,以使所述待配置终端和所述接入设备获取共享密钥,进而实现安全配置;或者,接入附件设备将共享密钥分别使用第一密钥和第二密钥加密后分别发送给接入设备和待配置终端,以使所述待配置终端和所述接入设备获取共享密钥,进而使接入设备和待配置终端实现安全配置。
本发明实施例中,应用于与接入设备、待配置终端通信的接入附件设备中,所述方法包括:与所述接入设备共享第一密钥,以使所述接入设备向所述待配置终端发送使用所述第一密钥加密的接入设备侧的密钥交换信息;与所述待配置终端通过密钥交换算法协商生成第二密钥;接收并解密所述待配置终端发送的所述使用所述第一密钥加密的接入设备侧的密钥交换信息和使用所述第二密钥加密的待配置终端侧的密钥交换信息;向所述待配置终端发送分别使用所述第一密钥和所述第二密钥加密的所述接入设备与所述待配置终端的共享密钥或者使用第一密钥加密的待配置终端侧的密钥交换信息和使用第二密钥加密的接入设备侧的密钥交换信息,以使所述待配置终端和所述接入设备获取所述接入设备与所述待配置终端的共享密钥,并用所述共享密钥传递配置信息,进而建立安全连接。本发明实施例提供的这种完全由设备之间的互相交互来完成入网信息配置及建立连接的方案,与现有技术中的人工手动输入PIN的方式进行入网信息配置相比,不需要用户进行手动输入,降低了用户的操作难度,提高了用户体验;现有技术中由于PIN很短,仅由8位数字组成,很容易被暴力攻击破解,所以网络安全性低,本发明实施例中接入附件设备同时持有与接入设备共享的第一密钥和与待配置终端共享的第二密钥,所以本发明实施例可基于接入附件设备进行可信的密钥交换,从而使接入设备和待配置终端都分别获取与对方的共享密钥,接入设备使用该共享密钥加密配置信息,并发送给待配置终端,进而待配置终端根据该配置信息与接入设备建立安全连接,进一步提高了网络的安全性。
进一步地,所述接入设备与所述接入附件设备共享第一密钥,可以在所述接入设备接收到所述待配置终端的配置请求后发生。
可选地,在上述图3对应的实施例的基础上,本发明实施例提供的信息配置方法的另一实施例中,
所述向所述待配置终端发送所述接入设备与所述待配置终端的共享密钥的步骤之前,还包括:
根据所述接入设备侧的密钥交换信息和待配置终端侧的密钥交换信息计算得到所述接入设备与所述待配置终端的共享密钥。
可选地,在上述图3对应的实施例或图3对应的可选实施例的基础上,本发明实施例提供的信息配置方法的另一实施例中,
所述向所述待配置终端发送使用第一密钥加密的待配置终端侧的密钥交换信息和使用第二密钥加密的接入设备侧的密钥交换信息,以使所述待配置终端和所述接入设备获取所述接入设备与所述待配置终端的共享密钥,具体可以包括:
向所述待配置终端发送使用第一密钥加密的待配置终端侧的密钥交换信息和使用第二密钥加密的接入设备侧的密钥交换信息,以使所述待配置终端将所述使用第一密钥加密的待配置终端侧的密钥交换信息转发给所述接入设备,从而使所述待配置终端和所述接入设备分别根据所述接入设备侧的密钥交换信息和待配置终端侧的密钥交换信息计算得到所述接入设备和待配置终端的共享密钥。
为了便于理解,下面以几个具体的应用场景为例,详细说明本发明实施例中信息配置方法的具体过程:
下面结合图4详细描述本发明实施例中另一实施例的信息配置的具体过程:
S100、接入设备与接入附件设备共享第一密钥。
如第一密钥为Ka。该第一密钥的共享方式可以是出厂时就存储在接入设备与接入附件设备中的密钥。此时的第一密钥是静态设置的。这种情况的接入附件设备和接入设备总是配对出现,即一个接入附件设备对应一个接入设备。这种情况下可以不需要接入设备向接入附件设备传递第一密钥的过程。如果第一密钥不是出厂时存储在接入附件设备中,也可以由接入设备通过通用串行总线(Universal Serial BUS,USB)等有线方式传递给接入附件设备,此时的第一密钥可以是动态设置的,总是在接入附件设备插到接入设备的USB或其它有线方式上时由接入设备传递更新的第一密钥。这种更新第一密钥的步骤不一定是在启动对待配置终端的配置过程时发生的,可以在接入附件设备插回接入设备的时刻进行。
也可以将接入附件设备通过USB等有线方式连接到接入设备,亦即接入附件设备插在接入设备上时,理解为接入设备处于禁止配置新设备状态,而接入附件设备与接入设备断开有线连接,亦即接入附件设备未插在接入设备上时,理解为接入设备处于可配置新设备状态。
S105、接入设备向待配置终端发送使用第一密钥加密的接入设备侧的密钥交换信息。
如:接入设备侧的密钥交换信息为Na,使用第一密钥加密的接入设备侧的密钥交换信息为Ka(Na)。
实际上,可选地,在步骤S105之前,还可以包括待配置终端向接入设备请求配置信息的可选步骤。
S110、待配置终端与接入附件设备通过密钥交换算法协商生成第二密钥。
如第二密钥为Kb。第二密钥可以采用密钥交换算法,如:Diffie-Hellman,即DH密钥交换协议,公钥加密算法(如:Ron Rivest、Adi Shamirh、LenAdleman,RSA)协议或椭圆曲线加密EIGamal协议等协商生成第二密钥。待配置终端和接入附件设备可以采用近距离无线方式通信如NFC通信,或降低了功率使得只能在很近距离如1米范围内通信的WiFi通信方式来进行通信,也可以采用有线方式通信。由于两个设备在很近的距离内交换消息难以被中间人攻击,因此待配置终端与接入附件设备在近距离无线通信方式下通过密钥交换算法协商生成第二密钥的过程被认为是安全的。若采用有线方式通信,可以防止传输数据被攻击者偷听和中间人攻击,提高安全性。
S115、待配置终端向所述接入附件设备发送所述使用第一密钥加密的接入设备侧的密钥交换信息和使用第二密钥加密的待配置终端侧的密钥交换信息。
如所述使用第一密钥加密的接入设备侧的密钥交换信息为Ka(Na),待配置终端侧的密钥交换信息为Nb,使用第二密钥加密的待配置终端侧的密钥交换信息为Kb(Nb)。Ka(Na)的意思是使用Ka对Na进行加密,即Na的密文,Kb(Nb)同理类推。
Na和Nb可以为如下任一种:
Na可以为一个随机数,Nb可以为另一个随机数;
Na可以为一个随机数和接入设备的地址信息,Nb可以为另一随机数和待配置终端的地址信息;
Na可以为接入设备的一个证书,Nb可以为终端设备的一个证书;
Na可以为接入设备的DH算法的公钥,Nb可以为待配置终端的DH算法公钥。
如此等等,本领域技术人员可以理解Na和Nb可表示数据的各种情况,这里不一一举例。
S120、接入附件设备解密所述使用第一密钥加密的接入设备侧的密钥交换信息和所述使用第二密钥加密的待配置终端侧的密钥交换信息,执行步骤S120后,可执行步骤S125,也可以执行步骤S130。
S125、接入附件设备使用第一密钥加密所述待配置终端侧的密钥交换信息,使用第二密钥加密所述接入设备侧的密钥交换信息。
S130、接入附件设备根据所述接入设备侧的密钥交换信息和所述待配置终端侧的密钥交换信息计算共享密钥。
S135、接入附件设备向待配置终端发送所述使用第一密钥加密的待配置终端侧的密钥交换信息和所述使用第二密钥加密的接入设备侧的密钥交换信息,或者,接入附件设备向待配置终端发送使用第一密钥加密的共享密钥和使用第二密钥加密的共享密钥。
当上面执行的是步骤S125时,S135中发送的是使用第一密钥加密的待配置终端侧的密钥交换信息和使用第二密钥加密的接入设备侧的密钥交换信息。
当上面执行的是步骤S130时,S135中发送的是使用第一密钥加密的共享密钥和使用第二密钥加密的共享密钥。
S140、待配置终端向接入设备发送所述使用第一密钥加密的待配置终端侧的密钥交换信息或者所述使用第一密钥加密的共享密钥。
当步骤S135中发送的是使用第一密钥加密的待配置终端侧的密钥交换信息和使用第二密钥加密的接入设备侧的密钥交换信息时,步骤S540中待配置终端向接入设备发送所述使用第一密钥加密的待配置终端侧的密钥交换信息。
当步骤S135中发送的是使用第一密钥加密的共享密钥和使用第二密钥加密的共享密钥时,步骤S140中待配置终端向接入设备发送所述使用第一密钥加密的共享密钥。
在本发明实施例的另一实施例中,步骤S135和S140可以用如下步骤来替换:接入附件设备向待配置终端发送所述使用第二密钥加密的接入设备侧的密钥交换信息,接入附件设备向所述接入设备发送所述使用第一密钥加密的待配置终端侧的密钥交换信息。
在本发明实施例的另一实施例中,步骤S135和S140也可以用如下步骤来替换:接入附件设备向待配置终端发送使用第二密钥加密的共享密钥,接入附件设备向所述接入设备发送使用第一密钥加密的共享密钥。这种情况下,步骤S145与S150可以不执行。
S145、待配置终端根据所述接入设备侧的密钥交换信息和待配置终端侧的密钥交换信息计算得到所述共享密钥。
当步骤S135中发送的是使用第一密钥加密的待配置终端侧的密钥交换信息和使用第二密钥加密的接入设备侧的密钥交换信息时,执行步骤545。
当步骤S135中发送的是使用第一密钥加密的共享密钥和使用第二密钥加密的共享密钥时,步骤S145可以不执行。
S150、接入设备根据所述接入设备侧的密钥交换信息和待配置终端侧的密钥交换信息计算得到所述共享密钥。
当步骤S135中发送的是使用第一密钥加密的待配置终端侧的密钥交换信息和使用第二密钥加密的接入设备侧的密钥交换信息时,执行步骤S550。
当步骤S135中发送的是使用第一密钥加密的共享密钥和使用第二密钥加密的共享密钥时,步骤S150可以不执行。
其中,步骤S145与S150的先后顺序可以不受限制,均在本发明实施例的保护范围内。
S155、接入设备向待配置终端发送使用共享密钥加密的配置信息。
其中,所述共享密钥可以为接入设备根据接入设备侧的密钥交换信息和接收到的使用第一密钥加密的待配置终端侧的密钥交换信息计算得到的共享密钥。
也可以是,所述共享密钥为所述接入附件设备通过解密所述使用第一密钥加密的接入设备侧的密钥交换信息和所述使用第二密钥加密的待配置终端侧的密钥交换信息后,根据接入设备侧的密钥交换信息和待配置终端侧的密钥交换信息计算得到的共享密钥;然后,通过待配置终端发送给接入设备的共享密钥。
S160、待配置终端使用配置信息与接入设备建立安全连接。
以上所说的接入设备侧的密钥交换信息Na可以包含一个随机数,相应的待配置终端侧的密钥交换信息Nb包含另一个随机数,则接入设备与待配置终端的共享密钥Kab在这两个随机数基础上计算得到。或者,Na可以包含一个随机数和接入设备的地址信息,相应地Nb包含另一随机数和待配置终端的地址信息,Kab在两个随机数和双方的地址信息基础上计算得到。或者,Na可以包含接入设备的一个证书,相应地Nb包含终端设备的一个证书,Kab在双方的证书的基础上计算得到。或者,Na可以包含接入设备的DH算法的公钥,相应地Nb包含待配置终端的DH算法公钥,这里的,待配置终端的DH算法公钥、待配置终端和接入附件设备使用DH算法生成Kb时使用的公钥、都可以是同一个密钥,也可以是不同的密钥。Kab在待配置终端和接入附件设备双方的DH公钥和自己的DH私钥基础上计算得到,这个计算Kab的方法实际上是在一个安全的管道内做一个DH交换。简单地说,计算Kab可以采用以下任一信息或其组合:接入设备和待配置终端的随机数(现场值)、地址、DH公钥和计算方自己的对应私钥、证书。例如,在使用DH算法产生Kab时可以同时使用双方的随机数和/或地址信息参与计算Kab。在有些生成Kab的方法中,例如当接入设备和待配置终端采用DH算法产生Kab时,接入附件设备无法替它们计算Kab,只能由待配置终端和接入设备分别获得对方的交换信息后自己计算Kab。
本发明实施例中接入附件设备同时持有与接入设备共享的第一密钥和与待配置终端共享的第二密钥,所以本发明实施例可基于接入附件设备进行可信的密钥交换,从而使接入设备和待配置终端都分别获取与对方的共享密钥,接入设备使用该共享密钥加密配置信息,并发送给待配置终端,进而待配置终端根据该配置信息与接入设备建立安全连接,进一步提高了网络的安全性。
参阅图5,本发明实施例提供的接入设备与接入附件设备和待配置终端通信连接,并且所述接入设备与所述接入附件设备共享第一密钥,所述待配置终端与所述接入附件设备通过密钥交换算法协商生成第二密钥,本发明实施例提供的接入设备的另一实施例包括:
第一发送单元711,用于向待配置终端发送使用第一密钥加密的接入设备侧的密钥交换信息,以使所述待配置终端向所述接入附件设备发送使用第一密钥加密的接入设备侧的密钥交换信息和使用第二密钥加密的待配置终端侧的密钥交换信息;
第一获取单元712,用于获取与所述待配置终端的共享密钥;
所述第一发送单元711,还用于在所述第一获取单元712获取所述共享密钥后,向所述待配置终端发送使用所述共享密钥加密的配置信息,以使所述待配置终端在获取到与所述接入设备的所述共享密钥后使用所述配置信息与所述接入设备建立安全连接。
本发明实施例中,第一发送单元711向待配置终端发送使用第一密钥加密的接入设备侧的密钥交换信息,以使所述待配置终端向所述接入附件设备发送使用第一密钥加密的接入设备侧的密钥交换信息和使用第二密钥加密的待配置终端侧的密钥交换信息;第一获取单元712获取与所述待配置终端的共享密钥;所述第一发送单元711在所述第一获取单元712获取所述共享密钥后,向所述待配置终端发送使用所述共享密钥加密的配置信息,以使所述待配置终端在获取到与所述接入设备的所述共享密钥后使用所述配置信息与所述接入设备建立安全连接。与现有技术相比,本发明实施例提供的接入设备降低了入网信息配置的用户操作难度,提高了网络安全性。
在上述图5对应的实施例的基础上,本发明实施例提供的接入设备的另一实施例中,
所述第一获取单元712,具体用于接收所述待配置终端发送的使用所述第一密钥加密的待配置终端侧的密钥交换信息,其中所述使用所述第一密钥加密的待配置终端侧的密钥交换信息为所述接入附件设备解密所述使用第一密钥加密的接入设备侧的密钥交换信息和所述使用第二密钥加密的待配置终端侧的密钥交换信息后,向所述待配置终端发送的使用所述第一密钥加密的待配置终端侧的密钥交换信息;根据所述接入设备侧的密钥交换信息和所述使用所述第一密钥加密的待配置终端侧的密钥交换信息计算得到所述共享密钥;
所述待配置终端具体通过接收所述接入附件设备解密所述使用第一密钥加密的接入设备侧的密钥交换信息和所述使用第二密钥加密的待配置终端侧的密钥交换信息后,发送的使用第二密钥加密的接入设备侧的密钥交换信息,并根据所述待配置终端侧的密钥交换信息和所述使用第二密钥加密的接入设备侧的密钥交换信息获取到与所述接入设备的所述共享密钥。
在上述图5对应的实施例的基础上,本发明实施例提供的接入设备的另一实施例中,
所述第一获取单元712,具体用于接收所述待配置终端发送的使用第一密钥加密的共享密钥,所述使用第一密钥加密的共享密钥为所述接入附件设备对计算得到的共享密钥使用第一密钥加密后发送给所述待配置终端的;
所述待配置终端具体通过接收所述接入附件设备发送来的使用第二密钥加密的共享密钥获取到与所述接入设备的所述共享密钥;
其中,所述共享密钥为所述接入附件设备通过解密所述使用第一密钥加密的接入设备侧的密钥交换信息和所述使用第二密钥加密的待配置终端侧的密钥交换信息后,根据接入设备侧的密钥交换信息和待配置终端侧的密钥交换信息计算得到的共享密钥。
参阅图6,本发明实施例提供的待配置终端与接入设备和接入附件设备通信连接,并且所述接入设备与所述接入附件设备共享第一密钥,所述待配置终端与所述接入附件设备通过密钥交换算法协商生成第二密钥,本发明实施例提供的待配置终端的一实施例包括:
第一接收单元811,用于接收所述接入设备发送的使用第一密钥加密的接入设备侧的密钥交换信息;
第二发送单元812,用于向所述接入附件设备发送所述第一接收单元811接收到的使用第一密钥加密的接入设备侧的密钥交换信息,和,使用第二密钥加密的待配置终端侧的密钥交换信息;
第二获取单元813,用于获取与所述接入设备的共享密钥;
所述第一接收单元811,还用于在所述接入设备获取到与所述待配置终端的所述共享密钥后,接收所述接入设备发送的使用所述共享密钥加密的配置信息;
连接建立单元814,用于使用第二获取单元813获取的所述共享密钥解密所述第一接收单元811接收到的使用所述共享密钥加密的配置信息,并使用所述配置信息与所述接入设备建立安全连接。
本发明实施例中,第一接收单元811接收所述接入设备发送的使用第一密钥加密的接入设备侧的密钥交换信息;第二发送单元812向所述接入附件设备发送所述使用第一密钥加密的接入设备侧的密钥交换信息和使用第二密钥加密的待配置终端侧的密钥交换信息;第二获取单元813获取与所述接入设备的共享密钥;所述第一接收单元811在所述接入设备获取到与所述待配置终端的所述共享密钥后,接收所述接入设备发送的使用所述共享密钥加密的配置信息;连接建立单元814使用第二获取单元813获取的所述共享密钥解密所述第一接收单元811接收到的使用所述共享密钥加密的配置信息,并使用所述配置信息与所述接入设备建立安全连接。与现有技术相比,本发明实施例提供的待配置终端降低了入网信息配置的用户操作难度,提高了网络安全性。
在上述图6对应的实施例的基础上,参阅图7,本发明实施例提供的待配置终端的另一实施例中,
所述第二获取单元813,具体用于接收所述接入附件设备在解密所述使用第一密钥加密的接入设备侧的密钥交换信息和所述使用第二密钥加密的待配置终端侧的密钥交换信息后发送来的使用第一密钥加密的待配置终端侧的密钥交换信息和使用第二密钥加密的接入设备侧的密钥交换信息,根据所述使用第二密钥加密的接入设备侧的密钥交换信息和待配置终端侧的密钥交换信息计算得到所述共享密钥;
所述第二发送单元812,还用于向所述接入设备发送所述第二获取单元813接收到的所述使用第一密钥加密的待配置终端侧的密钥交换信息,以使所述接入设备根据所述接入设备侧的密钥交换信息和所述使用第一密钥加密的待配置终端侧的密钥交换信息计算得到所述共享密钥。
在上述图6对应的实施例的基础上,参阅图8,本发明实施例提供的待配置终端的另一实施例中,
所述第二获取单元813,具体用于接收所述接入附件设备发送的使用第一密钥加密的共享密钥和使用第二密钥加密的所述共享密钥,其中,所述共享密钥为所述接入附件设备通过解密所述使用第一密钥加密的接入设备侧的密钥交换信息和所述使用第二密钥加密的待配置终端侧的密钥交换信息后,根据接入设备侧的密钥交换信息和待配置终端侧的密钥交换信息计算得到的共享密钥;
所述第二发送单元812,还用于向所述接入设备发送所述第二获取单元813接收到的所述使用第一密钥加密的所述共享密钥,以使所述接入设备获取到与所述待配置终端的所述共享密钥。
参阅图9,本发明实施例提供的接入附件设备与接入设备和待配置终端通信连接,本发明实施例提供的接入附件设备的另一实施例包括:
密钥生成单元911,用于与所述接入设备共享第一密钥,以使所述接入设备向所述待配置终端发送使用所述第一密钥加密的接入设备侧的密钥交换信息,并与所述待配置终端协商生成通过密钥交换算法协商生成第二密钥;
第二接收单元912,用于接收所述待配置终端发送的使用所述第一密钥加密的接入设备侧的密钥交换信息和使用所述第二密钥加密的待配置终端侧的密钥交换信息;
解密单元913,用于使用所述密钥生成单元911生成的第一密钥和第二密钥解密所述第二接收单元912接收到的待配置终端发送的使用所述第一密钥加密的接入设备侧的密钥交换信息和使用所述第二密钥加密的待配置终端侧的密钥交换信息;
加密单元914,用于在所述解密单元913解密后,使用第一密钥加密待配置终端侧的密钥交换信息和使用第二密钥加密接入设备侧的密钥交换信息;
第三发送单元915,用于向所述待配置终端发送所述接入设备与所述待配置终端的共享密钥或者所述加密单元914使用第一密钥加密的待配置终端侧的密钥交换信息和使用第二密钥加密的接入设备侧的密钥交换信息,以使所述待配置终端和所述接入设备获取所述接入设备与所述待配置终端的共享密钥,并用所述共享密钥传递配置信息,进而建立安全连接。
本发明实施例中,密钥生成单元911与所述接入设备共享第一密钥,以使所述接入设备向所述待配置终端发送使用所述第一密钥加密的接入设备侧的密钥交换信息,并与所述待配置终端通过密钥交换算法协商生成协商生成第二密钥;第二接收单元912接收所述待配置终端发送的使用所述第一密钥加密的接入设备侧的密钥交换信息和使用所述第二密钥加密的待配置终端侧的密钥交换信息;解密单元913使用所述密钥生成单元911生成的第一密钥和第二密钥解密所述第二接收单元912接收到的待配置终端发送的使用所述第一密钥加密的接入设备侧的密钥交换信息和使用所述第二密钥加密的待配置终端侧的密钥交换信息;加密单元914在所述解密单元913解密后,使用第一密钥加密待配置终端侧的密钥交换信息和使用第二密钥加密接入设备侧的密钥交换信息;第三发送单元915向所述待配置终端发送所述接入设备与所述待配置终端的共享密钥或者所述加密单元914使用第一密钥加密的待配置终端侧的密钥交换信息和使用第二密钥加密的接入设备侧的密钥交换信息,以使所述待配置终端和所述接入设备获取所述接入设备与所述待配置终端的共享密钥,并用所述共享密钥传递配置信息,进而建立安全连接。与现有技术相比,本发明实施例提供的接入附件设备降低了入网信息配置的用户操作难度,提高了网络安全性。
在上述图9对应的实施例的基础上,参阅图10,本发明实施例提供的接入附件设备的另一实施例还包括:计算单元916,
所述计算单元916,用于根据所述解密单元914解密出的接入设备侧的密钥交换信息和待配置终端侧的密钥交换信息计算得到所述接入设备与所述待配置终端的共享密钥。
在上述图9对应的实施例的基础上,本发明实施例提供的接入附件设备的另一实施例中,
所述第三发送单元915,具体用于向所述待配置终端发送使用第一密钥加密的待配置终端侧的密钥交换信息和使用第二密钥加密的接入设备侧的密钥交换信息,以使所述待配置终端将所述使用第一密钥加密的待配置终端侧的密钥交换信息转发给所述接入设备,从而使所述待配置终端和所述接入设备分别根据所述接入设备侧的密钥交换信息和待配置终端侧的密钥交换信息计算得到所述接入设备和待配置终端的共享密钥。
参阅图11,本发明实施例提供的接入设备与接入附件设备和待配置终端通信连接,并且所述接入设备与所述接入附件设备共享第一密钥,所述待配置终端与所述接入附件设备通过密钥交换算法协商生成第二密钥;
本发明实施例提供的接入设备的一实施例包括:第一输入装置740、第一输出装置750、第一存储器760和第一处理器770(第一处理器770可以为一个或多个,图11以一个为例);
第一输入装置740、第一输出装置750、第一存储器760和第一处理器770可以通过总线或者其他方式连接;
所述第一输出装置750用于向待配置终端发送使用所述第一密钥加密的接入设备侧的密钥交换信息,以使所述待配置终端向所述接入附件设备发送使用所述第一密钥加密的接入设备侧的密钥交换信息和使用所述第二密钥加密的待配置终端侧的密钥交换信息;
所述第一处理器770用于获取与所述待配置终端的共享密钥;
所述第一输出装置750向所述待配置终端发送使用所述共享密钥加密的配置信息,以使所述待配置终端在获取到与所述接入设备的所述共享密钥后使用所述配置信息与所述接入设备建立安全连接。
在本发明的一些实施例中,所述第一输入装置740用于接收所述待配置终端发送的使用所述第一密钥加密的待配置终端侧的密钥交换信息,其中所述使用所述第一密钥加密的待配置终端侧的密钥交换信息为所述接入附件设备解密所述使用第一密钥加密的接入设备侧的密钥交换信息和所述使用第二密钥加密的待配置终端侧的密钥交换信息后,向所述待配置终端发送的使用所述第一密钥加密的待配置终端侧的密钥交换信息;所述第一处理器770用于根据所述接入设备侧的密钥交换信息和所述使用所述第一密钥加密的待配置终端侧的密钥交换信息计算得到所述共享密钥;
所述待配置终端具体通过接收所述接入附件设备解密所述使用第一密钥加密的接入设备侧的密钥交换信息和所述使用第二密钥加密的待配置终端侧的密钥交换信息后,发送的使用第二密钥加密的接入设备侧的密钥交换信息,并根据所述待配置终端侧的密钥交换信息和所述使用第二密钥加密的接入设备侧的密钥交换信息获取到与所述接入设备的所述共享密钥。
在本发明的一些实施例中,所述第一输入装置740用于接收所述待配置终端发送的使用第一密钥加密的共享密钥,所述使用第一密钥加密的共享密钥为所述接入附件设备对计算得到的共享密钥使用第一密钥加密后发送给所述待配置终端的;
所述待配置终端具体通过接收所述接入附件设备发送来的使用第二密钥加密的共享密钥获取到与所述接入设备的所述共享密钥;
其中,所述共享密钥为所述接入附件设备通过解密所述使用第一密钥加密的接入设备侧的密钥交换信息和所述使用第二密钥加密的待配置终端侧的密钥交换信息后,根据接入设备侧的密钥交换信息和待配置终端侧的密钥交换信息计算得到的共享密钥。
参阅图12,本发明实施例提供的待配置终端与接入设备和接入附件设备通信连接,并且所述接入设备与所述接入附件设备共享第一密钥,所述待配置终端与所述接入附件设备通过密钥交换算法协商生成第二密钥;
本发明实施例提供的待配置终端的一实施例包括:第二输入装置840、第二输出装置850、第二存储器860和第二处理器870(第二处理器870可以为一个或多个,图12以一个为例);
第二输入装置840、第二输出装置850、第二存储器860和第二处理器870可以通过总线或者其他方式连接;
所述第二输入装置840用于接收所述接入设备发送的使用第一密钥加密的接入设备侧的密钥交换信息;
所述第二输出装置850用于向所述接入附件设备发送所述使用第一密钥加密的接入设备侧的密钥交换信息和使用第二密钥加密的待配置终端侧的密钥交换信息;
所述第二处理器870用于获取与所述接入设备的共享密钥;
所述第二输入装置840用于在所述接入设备获取到与所述待配置终端的所述共享密钥后,接收所述接入设备发送的使用所述共享密钥加密的配置信息;
所述第二处理器870用于根据所述配置信息与所述接入设备建立安全连接。
在本发明的一些实施例中,所述第二输入装置840接收所述接入附件设备在解密所述使用第一密钥加密的接入设备侧的密钥交换信息和所述使用第二密钥加密的待配置终端侧的密钥交换信息后发送来的使用第一密钥加密的待配置终端侧的密钥交换信息和使用第二密钥加密的接入设备侧的密钥交换信息,所述第二处理器870用于根据所述使用第二密钥加密的接入设备侧的密钥交换信息和待配置终端侧的密钥交换信息计算得到所述共享密钥;
所述第二输出装置850用于向所述接入设备发送所述使用第一密钥加密的待配置终端侧的密钥交换信息,使所述接入设备根据所述接入设备侧的密钥交换信息和所述使用第一密钥加密的待配置终端侧的密钥交换信息计算得到所述共享密钥,所述第二输入装置840用于接收所述接入设备发送的使用所述共享密钥加密的配置信息。
在本发明的一些实施例中,所述第二输入装置840用于接收所述接入附件设备发送的使用第一密钥加密的共享密钥和使用第二密钥加密的所述共享密钥,其中,所述共享密钥为所述接入附件设备通过解密所述使用第一密钥加密的接入设备侧的密钥交换信息和所述使用第二密钥加密的待配置终端侧的密钥交换信息后,根据接入设备侧的密钥交换信息和待配置终端侧的密钥交换信息计算得到的共享密钥;
所述第二输出装置850用于向所述接入设备发送所述使用第一密钥加密的所述共享密钥,以使所述接入设备获取到与所述待配置终端的所述共享密钥,接收所述接入设备发送的使用所述共享密钥加密的配置信息。
参阅图13,本发明实施例提供的接入附件设备与接入设备和待配置终端通信连接,本发明实施例提供的接入附件设备的一实施例包括:第三输入装置940、第三输出装置950、第三存储器960和第三处理器970(第三处理器970可以为一个或多个,图13以一个为例);
第三输入装置940、第三输出装置950、第三存储器960和第三处理器970可以通过总线或者其他方式连接;
所述第三处理器970用于与所述接入设备共享第一密钥,以使所述接入设备向所述待配置终端发送使用所述第一密钥加密的接入设备侧的密钥交换信息;与所述待配置终端通过密钥交换算法协商生成第二密钥;
所述第三输入装置940用于接收所述待配置终端发送的所述使用所述第一密钥加密的接入设备侧的密钥交换信息和使用所述第二密钥加密的待配置终端侧的密钥交换信息,所述第三处理器970用于解密所述待配置终端发送的所述使用所述第一密钥加密的接入设备侧的密钥交换信息和使用所述第二密钥加密的待配置终端侧的密钥交换信息;
所述第三输出装置950用于向所述待配置终端发送分别使用所述第一密钥和所述第二密钥加密的所述接入设备与所述待配置终端的共享密钥或者使用第一密钥加密的待配置终端侧的密钥交换信息和使用第二密钥加密的接入设备侧的密钥交换信息,以使所述待配置终端和所述接入设备获取所述接入设备与所述待配置终端的共享密钥,并用所述共享密钥传递配置信息,进而建立安全连接。
在本发明的一些实施例中,所述第三处理器970还用于根据所述接入设备侧的密钥交换信息和待配置终端侧的密钥交换信息计算得到所述接入设备与所述待配置终端的共享密钥。
在本发明的一些实施例中,所述第三输出装置950用于向所述待配置终端发送使用第一密钥加密的待配置终端侧的密钥交换信息和使用第二密钥加密的接入设备侧的密钥交换信息,以使所述待配置终端将所述使用第一密钥加密的待配置终端侧的密钥交换信息转发给所述接入设备,从而使所述待配置终端和所述接入设备分别根据所述接入设备侧的密钥交换信息和待配置终端侧的密钥交换信息计算得到所述接入设备和待配置终端的共享密钥。
参阅图14,本发明实施例提供的信息配置系统的另一实施例包括:接入设备70、接入附件设备90和待配置终端80,所述接入设备70、接入附件设备90和待配置终端80之间通信连接,并且所述接入设备与所述接入附件设备共享第一密钥,所述待配置终端与所述接入附件设备通过密钥交换算法协商生成第二密钥;
所述接入设备70,用于向待配置终端发送使用所述第一密钥加密的接入设备侧的密钥交换信息,以使所述待配置终端向所述接入附件设备发送使用所述第一密钥加密的接入设备侧的密钥交换信息和使用所述第二密钥加密的待配置终端侧的密钥交换信息;获取与所述待配置终端的共享密钥;向所述待配置终端发送使用所述共享密钥加密的配置信息,以使所述待配置终端在获取到与所述接入设备的所述共享密钥后使用所述配置信息与所述接入设备建立安全连接。
所述待配置终端80,用于接收所述接入设备发送的使用第一密钥加密的接入设备侧的密钥交换信息;向所述接入附件设备发送所述使用第一密钥加密的接入设备侧的密钥交换信息和使用第二密钥加密的待配置终端侧的密钥交换信息;获取与所述接入设备的共享密钥;在所述接入设备获取到与所述待配置终端的所述共享密钥后,接收所述接入设备发送的使用所述共享密钥加密的配置信息;根据所述配置信息与所述接入设备建立安全连接。
所述接入附件设备90,用于与所述接入设备共享第一密钥,以使所述接入设备向所述待配置终端发送使用所述第一密钥加密的接入设备侧的密钥交换信息;与所述待配置终端协商生成第二密钥;接收并解密所述待配置终端发送的所述使用所述第一密钥加密的接入设备侧的密钥交换信息和使用所述第二密钥加密的待配置终端侧的密钥交换信息;向所述待配置终端发送分别使用所述第一密钥和所述第二密钥加密的所述接入设备与所述待配置终端的共享密钥或者使用第一密钥加密的待配置终端侧的密钥交换信息和使用第二密钥加密的接入设备侧的密钥交换信息,以使所述待配置终端和所述接入设备获取所述接入设备与所述待配置终端的共享密钥,并用所述共享密钥传递配置信息,进而建立安全连接。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:ROM、RAM、磁盘或光盘等。
以上对本发明实施例所提供的信息配置方法、设备以及系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。