CN104393989A - 一种密钥协商方法及装置 - Google Patents
一种密钥协商方法及装置 Download PDFInfo
- Publication number
- CN104393989A CN104393989A CN201410601416.9A CN201410601416A CN104393989A CN 104393989 A CN104393989 A CN 104393989A CN 201410601416 A CN201410601416 A CN 201410601416A CN 104393989 A CN104393989 A CN 104393989A
- Authority
- CN
- China
- Prior art keywords
- key
- clouds
- terminal
- communication
- seed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例公开了一种密钥协商方法及装置,所述方法包括:终端生成密钥种子;所述终端根据所述密钥种子确定本次通信的第一通信密钥;所述终端将所述密钥种子发送给云端,以便于所述云端根据所述密钥种子确定本次通信的第二通信密钥。本发明实施例中,由于加密所使用的密钥种子由终端生成,然后将该密钥种子告知云端,以便于终端和云端均根据该密钥种子生成对应的通信密钥,即通过一次交互就可以确定通信密钥,减少密钥协商的交互次数,降低了密钥计算的复杂度和通信开销。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种密钥协商方法及装置。
背景技术
随着通信网络技术的发展,目前的网络协议中,终端与云端要通过三次交互才能完成密钥协商,其过程为:
首先,终端向云端发起接入请求,云端根据所述接入请求产生用于本次通信的密钥种子R1;根据密钥种子R1计算出对应的会话密钥(SKC,Session key Cryptographic);然后,云端将该密钥种子R1发送给终端,终端利用预置的私钥对接收到的密钥种子R1进行计算,得到密钥(KC,key Cryptographic);其次,云端生成一个验证随机数,并使用SKC对该验证随机数进行加密,生成第一密文CT1;然后,将验证随机数发送给终端;该终端使用利用KC对该验证随机数进行加密,得到第二密文CT2,并将CT2发送给云端;最后,云端比较接收到CT2与自身计算出的CT1是否相等,如果相等,则说明密钥协商成功,允许该终端接入;否则,说明密钥协商失败,不允许该终端接入,之后,向终端反馈密钥协商结果,该结果可能是密钥协商成功,也可能是密钥协商失败。
由此可知,本发明的发明人在对现有技术的研究和实践过程中发现,现有的密钥协商过程需要进行三次交互,数据流量大,交互时间长,增加了密钥计算的复杂度和通信开销。
发明内容
本发明实施例中提供了一种密钥协商方法及装置,以解决现有技术中由于密钥协商交互次数多,协商过程长导致密钥计算的复杂度和通信开销增加的技术问题。
为了解决上述技术问题,本发明实施例公开了如下技术方案:
第一方面提供了一种密钥协商方法,所述方法包括:
终端生成密钥种子;
所述终端根据所述密钥种子确定本次通信的第一通信密钥;
所述终端将所述密钥种子发送给云端,以便于所述云端根据所述密钥种子确定本次通信的第二通信密钥。
可选的,所述方法还包括:
在所述终端向云端发起接入请求时,将所述密钥种子发送给云端;
接收所述云端发送的响应所述接入请求的应答。
可选的,所述终端根据所述密钥种子确定本次通信的第一通信密钥,包括:
所述终端使用预置的私钥对所述密钥种子进行计算,得到本次通信的第一通信密钥。
可选的,所述云端根据所述密钥种子确定本次通信的第二通信密钥,包括:
所述云端验证所述终端的合法性,如果所述终端合法,则所述云端查询存储的对应关系表,得到与所述终端对应的私钥;
所述云端利用与所述终端对应的私钥对所述密钥种子进行计算,得到本次通信的第二通信密钥。
可选的,所述方法还包括:
所述终端使用所述第一通信密钥对待发送的第一报文进行加密,并将加密后的所述第一报文发送给所述云端,以便于所述云端使用所述第二通信密钥对加密后的所述第一报文进行解密;或者
所述终端接收所述云端发送的第二报文,所述第二报文为使用第二通信密钥加密后的报文;并使用所述第一通信密钥对所述第二报文进行解密。
第二方便,本发明实施例还提供了一种密钥协商方法,所述方法包括:
云端接收终端发送的密钥种子;所述密钥种子由所述终端生成;
所述云端根据所述密钥种子确定本次通信的第二通信密钥。
可选的,所述方法还包括:
在所述云端接收到所述终端发送的接入请求时,接收到所述终端发送的所述密钥种子;
所述云端向所述终端发送响应所述接入请求的应答。
可选的,所述云端根据所述密钥种子和所述标识计算出本次会话的第二通信密钥,包括:
所述云端验证所述终端的合法性,如果所述终端合法,则所述云端查询存储的对应关系表,得到与所述终端对应的私钥;
所述云端利用与所述终端对应的私钥对所述密钥种子进行计算,得到本次通信的第二通信密钥。
第三方面,本发明实施例还提供一种密钥协商装置,包括:
生成单元,用于生成密钥种子;
确定单元,用于根据所述密钥种子确定本次通信的第一通信密钥;
发送单元,用于将所述密钥种子发送给云端,以便于所述云端根据所述密钥种子确定本次通信的第二通信密钥。
可选的,所述发送单元,还用于在向云端发送接入请求时,将所述密钥种子发送给所述云端;
所述装置还包括:
接收单元,用于接收所述云端发送的响应所述接入请求的应答。
可选的,所述确定单元,具体用于利用预置的私钥对所述密钥种子进行计算,得到本次通信的第一通信密钥。
第四方便,本发明实施例还提供一种密钥协商装置,包括:
接收单元,用于接收终端发送的接入请求,所述密钥种子由所述终端生成;
确定单元,用于根据所述密钥种子确定本次通信的第二通信密钥。
可选的,所述接收单元,还用于接收到所述终端发送的接入请求时,接收到所述终端发送的所述密钥种子;
所述装置还包括:发送单元,用于向所述终端发送响应所述接入请求的应答。
可选的,所述确定单元包括:
验证单元,用于验证所述终端的合法性;
查询单元,用于在所述验证单元验证所述终端合法时,查询存储的对应关系表,得到与所述终端对应的私钥;
计算单元,用于利用与所述终端对应的私钥对所述密钥种子进行计算,得到本次通信的第二通信密钥。
由上述技术方案可知,本发明实施例中,由于加密所使用的密钥种子由终端生成,然后将该密钥种子告知云端,以便于终端和云端均根据该密钥种子生成对应的通信密钥,即通过一次交互就可以确定通信密钥,减少密钥协商的交互次数,降低了密钥计算的复杂度和通信开销。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种密钥协商方法的流程图;
图2为本发明实施例提供的一种密钥协商方法的另一流程图;
图3为本发明实施例提供的一种密钥协商方法的另一流程图;
图4为本发明实施例提供的一种密钥协商方法的另一流程图;
图5为本发明实施例提供的一种密钥协商装置的结构示意图;
图6为本发明实施例提供的一种密钥协商装置的另一结构示意图;
图7为本发明实施例提供的一种密钥协商装置的另一结构示意图;
图8为本发明实施例提供的一种密钥协商装置的另一结构示意图;
图9为本发明实施例提供的一种密钥协商装置的另一结构示意图;
图10为本发明实施例提供的一种终端的结构示意图;
图11为本发明实施例提供的一种云端的结构示意图;
图12为本发明实施例提供的一种密钥协商方法的应用实例图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本发明实施例中可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本发明实施例范围的情况下,第一信息也可以被称为第二信息,不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
请参阅1,图1为本发明实施例提供的一种密钥协商方法的流程图。所述方法包括:
步骤101:终端生成密钥种子;
该步骤中,当终端要发起接入请求前,随机生成密钥种子,其中,密钥种子,可以是一个字符串,比如十六进制的字符串等;也可以是一串数字,本实施例不作限制。
步骤102:所述终端根据所述密钥种子确定本次通信的第一通信密钥;
该步骤中,终端可以使用预置的私钥对所述密钥种子进行计算,得到本次通信的第一通信密钥。其计算的过程对于本领域技术人员来说,已是熟知技术,在此不再赘述。
其中,所述私钥是预先存储在该终端上的,或者预置在该终端上的。
步骤103:所述终端将所述密钥种子发送给云端,以便于所述云端根据所述密钥种子确定本次通信的第二通信密钥。也就是说,所述第二通信密钥,是云端在验证该终端为合法的终端后,通过存储的对应关系表得到与该终端对应的私钥,然后根据该私钥以及密钥种子计算得到的通信密钥。
需要说明的是,步骤102和步骤103在实际应用中不分先后顺序,也可以同时执行,本实施例不作限制。也就是说,在终端生成密钥种子后,可以先向云端发送所述密钥种子,然后在根据该密钥种子确定本次通信的第一通信密钥;当然,也可以是,终端先根据该密钥种子确定本次通信的第一通信密钥,然后再向云端发送所述密钥种子;或者是在根据该密钥种子确定本次通信的第一通信密钥的同时,该终端向云端发送所述密钥种子。
该实施例中,云端在接收到所述密钥种子后,先验证该终端是否合法,如果该终端合法,则查询自身维护的对应关系表(即各个终端的标识与对应的私钥的对应关系表),得到与该终端对应的私钥,然后,利用该私钥对所述密钥种子进行计算,得到本次通信的第二通信密钥。如果不合法,则拒绝本次密钥协商。
其中,利用私钥对所述密钥种子进行计算的过程,对于本领域技术人员来说,已是熟知技术,在此不再赘述。
本发明实施例中,由于加密所使用的密钥种子由终端生成,然后将该密钥种子告知云端,以便于终端和云端均根据该密钥种子生成对应的通信密钥,即通过一次交互就可以确定通信密钥,减少密钥协商的交互次数,降低了密钥计算的复杂度和通信开销。
可选的,在另一种实施例中,该实施例与上述实施例区别在于:在所述终端向云端发起接入请求时,将所述密钥种子发送给云端,即所述接入请求中包括密钥种子,所述云端接收该接入请求后,向该终端发送接收到所述密钥种子的应答,具体如图2所示,图2为本发明实施例提供的一种密钥协商方法的另一流程图,具体包括:
步骤201:同步骤101;
步骤202;同步骤102;
步骤203:所述终端向云端发送接入请求,所述接入请求包括密钥种子,以便于所述云端根据所述密钥种子确定本次通信的第二通信密钥;
该步骤也就是说,在所述终端向云端发起接入请求时,将所述密钥种子发送给云端。
需要说明的是,步骤202和步骤203在实际应用中不分先后顺序,也可以同时执行,本实施例不作限制。也就是说,在终端生成密钥种子后,可以在向云端发起接入请求时,将该密钥种子发送给云端,然后在根据该密钥种子确定本次通信的第一通信密钥;当然,也可以是,在终端根据该密钥种子确定本次通信的第一通信密钥的同时,该终端向云端发起所述接入请求。
步骤204:所述终端接收所述云端发送的响应所述接入请求的应答。
该步骤中,在云端接收到终端发送的接入请求后,可以向该终端发送已接收到密钥种子的应答;也可以在根据所述密钥种子确定本次通信的第二通信密钥后,再向该终端发送已接收到密钥种子的应答。或者,二者同时执行,本实施例不作限制。
本发明实施例中,由于加密所使用的密钥种子由终端生成,然后在发起接入请求时将该密钥种子告知云端,以便于终端和云端均根据该密钥种子生成对应的通信密钥,即通过一次交互就可以确定通信密钥,减少密钥协商的交互次数,降低了密钥计算的复杂度和通信开销。
可选的,在另一实施例中,该实施例在上述实施例的基础上,在通信密钥协商成功后,所述方法还包括:
所述终端使用所述第一通信密钥对待发送的第一报文进行加密,并将加密后的所述第一报文发送给所述云端,以便于所述云端使用所述第二通信密钥对加密后的所述第一报文进行解密;或者,所述接收所述云端发送的第二报文,所述第二报文为使用第二通信密钥加密后的报文;并使用第一通信密钥对所述第二报文进行解密。
比如,如果终端使用第一通信密钥能对接收的云端发送的报文进行解密,则说明该第一通信密钥正确,否则,说明该第一通信密钥不正确,需要重新进行密钥协商;需要重新进行密钥协商,其密钥协商的过程详见上述实施例,在此不再赘述。
相应的,如果云端使用第二通信密钥能对接收的终端发送的报文进行解密,则说明该第二通信密钥正确,否则,说明该第二通信密钥不正确;需要重新进行密钥协商,其密钥协商的过程详见上述实施例,在此不再赘述。
本发明实施例中,在终端和云端分别生成对应本次通话的通话密钥后,在后续的通信过程中,直接验证该终端和云端分别生成的通信密钥是否正确,减少了在密钥协商时密钥正确性的验证过程,同时也降低了密钥计算的复杂度和通信开销。
还请参阅图3,图3为本发明实施例提供的一种密钥协商方法的另一流程图,所述方法包括:
步骤301:云端接收终端发送的密钥种子,所述密钥种子由所述终端生成;
步骤302:所述云端根据所述密钥种子确定本次通信的第二通信密钥。
该步骤中,当云端接收到该终端发送的密钥种子时,先验证该终端的合法性,如果该终端合法,则查询自身维护的对应关系表,得到与该终端对应的私钥,然后,利用该私钥对所述密钥种子进行计算,得到本次通信的第二通信密钥。如果不合法,则拒绝该终端接入。为了相应上述实施例,该实施例中将根据密钥种子计算得到的密钥称也为第二通信密钥。当然,在实际应用中,根据密钥种子计算得到的密钥称也可以称为第一通信密钥,本实施不作限制。
其中,利用私钥对所述密钥种子进行计算的过程,对于本领域技术人员来说,已是熟知技术,在此不再赘述。
其中,云端维护的对应关系表包括:一个或多个终端标识,以及每个终端标识对应的私钥。其中,对应关系表中存储的与终端标识对应的私要,也就是终端预置或预先存储的私钥。
可选的,在另一实施例中,如果有新终端增加时,需要将该新终端的标识,以及与该新终端对应的私钥,添加到所述对应关系表中。
本发明实施例中,云端在接收到终端发送的密钥种子后,云端和终端均根据该密钥种子生成对应的通信密钥,即通过一次交互就可以确定通信密钥,减少密钥协商的交互次数,降低了密钥计算的复杂度和通信开销。
还请参阅图4,图4为本发明实施例提供的一种密钥协商方法的另一流程图,所述方法包括:
步骤401:云端接收终端发送的接入请求,所述接入请求包括:所述终端生成的密钥种子;
也就是说,在所述云端接收到所述终端发送的接入请求时,接收到所述终端发送的所述密钥种子。
当然,该接入请求中,还可以适应性包括其他参数,本实施例不作限制。
步骤402:与步骤302同;
步骤403:所述云端向所述终端发送包括响应所述接入请求的应答。
该步骤中,在云端接收到终端发送的接入请求后,可以向该终端发送已接收到密钥种子的应答,也可以步骤402执行后,即在根据所述密钥种子确定本次通信的第二通信密钥后,再向该终端发送已接收到密钥种子的应答。或者,步骤402和步骤403同时执行,本实施例不作限制。
本发明实施例中,云端在接收到终端发送的密钥种子后,云端和终端均根据该密钥种子生成对应的通信密钥,即通过一次交互就可以确定通信密钥,减少密钥协商的交互次数,降低了密钥计算的复杂度和通信开销。
可选的,在另一实施例中,该实施例在上述实施例的基础上,在通信密钥协商成功后,所述方法还包括:
所述云端使用所述第二通信密钥对待发送的第一报文进行加密,并将加密后的所述第一报文发送给所述终端,以便于所述终端使用所述第一通信密钥对加密后的所述第一报文进行解密;或者,所述接收所述终端发送的第二报文,所述第二报文为使用第一通信密钥加密后的报文;并使用第二通信密钥对所述第二报文进行解密。
本发明实施例中,在后续的通信过程中,直接验证该终端和云端生成的对应通信密钥是否正确,减少了在密钥协商时密钥正确性的验证过程,降低了密钥计算的复杂度和通信开销。
基于上述方法的实现过程,本发明实施例还提供一种密钥协商装置,其结构示意图如图5所示,所述装置包括:生成单元51,确定单元52和发送单元53,其中,
所述生成单元51,用于生成密钥种子;
所述确定单元52,用于根据所述密钥种子确定本次通信的第一通信密钥;
所述发送单元53,用于将所述密钥种子发送给云端,以便于所述云端根据所述密钥种子确定本次通信的第二通信密钥。
可选的,所述装置还包括,接收单元61,其结构示意图如图6所示,其中,
所述发送单元53,还用于在向云端发送接入请求时,将所述密钥种子发送给所述云端;
所述接收单元61,用于接收所述云端发送的响应所述接入请求的应答。
可选的,所述装置可以集成在终端上,也可以独立部署,本实施例不作限制。
所述装置中各个单元的功能和作用详见上述方法中对应步骤的实现过程,在此不再赘述。
本发明实施例中,由密钥协商装置生成密钥种子,然后将该密钥种子告知云端,以便于其与云端均根据该密钥种子生成对应的通信密钥,即通过一次交互就可以确定通信密钥,减少密钥协商的交互次数,降低了密钥计算的复杂度和通信开销。
还请参阅图7,为本发明实施例提供的一种密钥协商装置的另一结果示意图,所述装置包括:接收单元71和确定单元72,其中,
所述接收单元71,用于接收终端发送的密钥种子,所述密钥种子由所述终端生成;
所述确定单元72,用于根据所述密钥种子确定本次通信的第二通信密钥
可选的,所述装置还可以发送单元81,其结构示意图如图8所示,其中,
所述接收单元71,还用于在接收到所述终端发送的接入请求时,接收到所述终端发送的所述密钥种子;
所述发送单元81,用于向所述终端发送响应所述接入请求的应答。
可选的,在另一实施例中,该实施例在上述实施例的基础上,所述确定单元72包括:验证单元91,查询单元92和计算单元93,其结构示意如如图9所示,其中,
所述验证单元91,用于验证所述终端的合法性;
所述查询单元92,用于在所述验证单元91验证所述终端合法时,查询存储的对应关系表,得到与所述终端对应的私钥;
所述计算单元93,用于利用与所述终端对应的私钥对所述密钥种子进行计算,得到本次通信的第二通信密钥。
其中,该实施例中,如果验证单元91验证该终端不合法,或者查询单元92没有查询到与该终端的标识对应的私钥时,则拒绝该终端接入。
可选的,所述装置可以集成在云端上,也可以独立部署,本实施例不作限制。
所述装置中各个单元的功能和作用详见上述方法中对应步骤的实现过程,在此不再赘述。
本发明实施例中,密钥协商装置在接收到终端发送的密钥种子后,其与终端均根据该密钥种子生成对应的通信密钥,即通过一次交互就可以确定通信密钥,减少密钥协商的交互次数,降低了密钥计算的复杂度和通信开销。
为了便于本领域技术人员的理解,线面以具体的应用实例来说明。
还请参阅图10,图10为本发明实施例提供的一种终端,其结构示意图如图6所示,所述终端10包括:处理器111和收发器112,其中,
所述处理器111,用于生成密钥种子,并根据所述密钥种子确定本次通信的第一通信密钥;
所述收发器112,用于将所述密钥种子发送给云端,以便于所述云端根据所述密钥种子确定本次通信的第二通信密钥。
可选的,所述收发器112,还用于在所述终端向云端发起接入请求时,将所述密钥种子发送给云端,以便于所述云端根据所述密钥种子确定本次通信的第二通信密钥;以及接收所述云端发送的响应所述接入请求的应答。
可选的,所述处理器111根据所述密钥种子确定本次通信的第一通信密钥,包括:所述处理器111使用预置的私钥对所述密钥种子进行计算,得到本次通信的第一通信密钥。
可选的,所述处理器111,还用于使用所述第一通信密钥对待发送的第一报文进行加密,所述收发器112,还用于将所述处理器111将加密后的所述第一报文发送给所述云端,以便于所述云端使用所述第二通信密钥对加密后的所述第一报文进行解密;或者
所述收发器112,还用于接收所述云端发送的第二报文,所述第二报文为使用第二通信密钥加密后的报文;
所述处理器111使用所述第一通信密钥对所述收发器接收到的所述第二报文进行解密。
还请参阅图11,图11为本发明实施例提供的一种云端的结构示意图,所述云端12包括:收发器121和处理器122,其中,
所述收发器121,用于接收终端发送的密钥种子,所述密钥种子由所述终端生成;
所述处理器122,用于根据所述密钥种子确定本次通信的第二通信密钥。
可选的,所述收发器121,在所述云端接收到所述终端发送的接入请求时,接收到所述终端发送的所述密钥种子;以及向所述终端发送响应所述接入请求的应答。
可选的,所述处理器122根据所述密钥种子确定本次通信的第二通信密钥,包括:所述处理器122验证所述终端的合法性,如果所述终端合法,则所述处理器122查询存储的对应关系表,如果得到与所述终端对应的私钥;则利用与所述终端对应的私钥对所述密钥种子进行计算,得到本次通信的第二通信密钥。
相应的,所述收发器121,还用于在所述处理器122验证所述终端的不合法,或者从对应关系表中没有查询到与所述终端对应的私钥时,则向该终端发送拒绝该终端接入的响应。
还请参阅图12,图12为本发明实施例提供的一种密钥协商方法的应用实例图,所述方法包括:
步骤131:终端在发起接入请求前,生成密钥种子;
步骤132:终端根据所述密钥种子确定本次通信的第一通信密钥;
步骤133:终端向云端发送接入请求,所述接入请求包括:密钥种子;当然,还可以包括所述终端的标识等。
本实施例已发送接入请求中携带密钥种子为例,在实际应用中并不限于此。
其中,步骤132和步骤133在具体实现时,在时间上没有先后顺序,也可以同时执行,本实施例不作限制。
步骤134:云端在接收到所述接入请求后,云端根据所述接入请求中的密钥种子确定本次通信的第二通信密钥;
其中,确定本次通信的第二通信密钥的过程,包括:
所述云端先验证所述终端是否合法,如果所述终端合法,则所述云端查询存储的对应关系表,得到与所述终端对应的私钥;然后,利用与所述终端对应的私钥对所述密钥种子进行计算,得到本次通信的第二通信密钥;如果所述云端查询存储的对应关系表,没有得到与所述终端对应的私钥,则拒绝所述终端接入;如果所述终端不合法,则拒绝该终端接入。
步骤135:云端向所述终端发送响应所述接入请求的应答;
也就是说,云端在接收到密钥种子中,告知终端,已接收到该密钥种子。
可选的,所述方法还可以包括:
步骤136:终端与云端在后续通信中,分别使用第一通信密钥和第二通信密钥对报文进行加解密处理。
也就是说,所述终端使用所述第一通信密钥对待发送的第一报文进行加密,并将加密后的所述第一报文发送给所述云端,所述云端使用所述第二通信密钥能对加密后的所述第一报文进行解密;则说明通信密钥正确;或者
所述云端使用所述第二通信密钥对待发送的第二报文进行加密,并将加密后的所述第二报文发送给所述终端,所述终端使用所述第一通信密钥能对加密后的所述第二报文进行解密,则说明密钥正确。
相反的,如果在后续通信中,云端或终端对接收到的报文不能成功解密,则说明通信密钥错误,需要重新进行密钥协商。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述的本发明实施方式,并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (13)
1.一种密钥协商方法,其特征在于,包括:
终端生成密钥种子;
所述终端根据所述密钥种子确定本次通信的第一通信密钥;
所述终端将所述密钥种子发送给云端,以便于所述云端根据所述密钥种子确定本次通信的第二通信密钥。
2.根据权利要求1所述的方法,其特征在于,还包括:
在所述终端向云端发起接入请求时,将所述密钥种子发送给所述云端;
所述终端接收所述云端发送的响应所述接入请求的应答。
3.根据权利要求1或2所述的方法,其特征在于,所述终端根据所述密钥种子确定本次通信的第一通信密钥,包括:
所述终端使用预置的私钥对所述密钥种子进行计算,得到本次通信的第一通信密钥。
4.根据权利要求1或2所述的方法,其特征在于,所述云端根据所述密钥种子确定本次通信的第二通信密钥,包括:
所述云端验证所述终端的合法性,如果所述终端合法,则所述云端查询存储的对应关系表,得到与所述终端对应的私钥;
所述云端利用与所述终端对应的私钥对所述密钥种子进行计算,得到本次通信的第二通信密钥。
5.一种密钥协商方法,其特征在于,包括:
云端接收终端发送的密钥种子,所述密钥种子由所述终端生成;
所述云端根据所述密钥种子确定本次通信的第二通信密钥。
6.根据权利要求5所述的方法,其特征在于,还包括:
所述云端在接收到所述终端发送的接入请求时,接收到所述终端发送的所述密钥种子;
所述云端向所述终端发送响应所述接入请求的应答。
7.根据权利要求5或6所述的方法,其特征在于,所述云端根据所述密钥种子计算本次会话的第二通信密钥,包括:
所述云端验证所述终端的合法性,如果所述终端合法,则所述云端查询存储的对应关系表,得到与所述终端对应的私钥;
所述云端利用与所述终端对应的私钥对所述密钥种子进行计算,得到本次通信的第二通信密钥。
8.一种密钥协商装置,其特征在于,包括:
生成单元,用于生成密钥种子;
确定单元,用于根据所述密钥种子确定本次通信的第一通信密钥;
发送单元,用于将所述密钥种子发送给云端,以便于所述云端根据所述密钥种子确定本次通信的第二通信密钥。
9.根据权利要求8所述的装置,其特征在于,
所述发送单元,还用于在向所述云端发送接入请求时,将所述密钥种子发送给所述云端;
所述装置还包括:
接收单元,用于接收所述云端发送的响应所述接入请求的应答。
10.根据权利要求8或9所述的装置,其特征在于,所述确定单元,具体用于利用预置的私钥对所述密钥种子进行计算,得到本次通信的第一通信密钥。
11.一种密钥协商装置,其特征在于,包括:
接收单元,用于接收终端发送的密钥种子,所述密钥种子由所述终端生成;
确定单元,用于根据所述密钥种子确定本次通信的第二通信密钥。
12.根据权利要求11所述的装置,其特征在于,
所述接收单元,还用于在接收所述终端发送的接入请求时,接收到所述终端发送的所述密钥种子;
所述装置还包括:
发送单元,用于向所述终端发送响应所述接入请求的应答。
13.根据权利要求11或12所述的装置,其特征在于,所述确定单元包括:
验证单元,用于验证所述终端的合法性;
查询单元,用于在所述验证单元验证所述终端合法时,查询存储的对应关系表,得到与所述终端对应的私钥;
计算单元,用于利用与所述终端对应的私钥对所述密钥种子进行计算,得到本次通信的第二通信密钥。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410601416.9A CN104393989A (zh) | 2014-10-30 | 2014-10-30 | 一种密钥协商方法及装置 |
| HK15108009.5A HK1207495A1 (zh) | 2014-10-30 | 2015-08-18 | 種密鑰協商方法及裝置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410601416.9A CN104393989A (zh) | 2014-10-30 | 2014-10-30 | 一种密钥协商方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104393989A true CN104393989A (zh) | 2015-03-04 |
Family
ID=52611826
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410601416.9A Pending CN104393989A (zh) | 2014-10-30 | 2014-10-30 | 一种密钥协商方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN104393989A (zh) |
| HK (1) | HK1207495A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106209369A (zh) * | 2016-07-01 | 2016-12-07 | 中国人民解放军国防科学技术大学 | 基于身份密码系统的单交互认证密钥协商协议 |
| CN107124409A (zh) * | 2017-04-25 | 2017-09-01 | 新华三技术有限公司 | 一种接入认证方法及装置 |
| CN109688135A (zh) * | 2018-12-27 | 2019-04-26 | 东软集团股份有限公司 | 车载控制器的数据传输方法、车载控制器及可读存储介质 |
| CN113472728A (zh) * | 2020-03-31 | 2021-10-01 | 阿里巴巴集团控股有限公司 | 一种通信方法和装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001056222A1 (fr) * | 2000-01-31 | 2001-08-02 | France Telecom | Procede de communication avec sequestre et recuperation de cle de chiffrement |
| JP2008160214A (ja) * | 2006-12-20 | 2008-07-10 | Olympus Imaging Corp | 通信端末装置及び通信方法 |
| CN101562520A (zh) * | 2009-05-21 | 2009-10-21 | 普天信息技术研究院有限公司 | 业务密钥分发方法及系统、密钥分发方法 |
| CN101998193A (zh) * | 2009-08-25 | 2011-03-30 | 中兴通讯股份有限公司 | 无源光网络的密钥保护方法和系统 |
| CN103067158A (zh) * | 2012-12-27 | 2013-04-24 | 华为技术有限公司 | 加密解密方法、终端设备、网关设备及密钥管理系统 |
-
2014
- 2014-10-30 CN CN201410601416.9A patent/CN104393989A/zh active Pending
-
2015
- 2015-08-18 HK HK15108009.5A patent/HK1207495A1/zh unknown
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001056222A1 (fr) * | 2000-01-31 | 2001-08-02 | France Telecom | Procede de communication avec sequestre et recuperation de cle de chiffrement |
| JP2008160214A (ja) * | 2006-12-20 | 2008-07-10 | Olympus Imaging Corp | 通信端末装置及び通信方法 |
| CN101562520A (zh) * | 2009-05-21 | 2009-10-21 | 普天信息技术研究院有限公司 | 业务密钥分发方法及系统、密钥分发方法 |
| CN101998193A (zh) * | 2009-08-25 | 2011-03-30 | 中兴通讯股份有限公司 | 无源光网络的密钥保护方法和系统 |
| CN103067158A (zh) * | 2012-12-27 | 2013-04-24 | 华为技术有限公司 | 加密解密方法、终端设备、网关设备及密钥管理系统 |
Non-Patent Citations (2)
| Title |
|---|
| 冯福伟,李瑛,徐冠宁,杜丽萍,赵桂芬: "基于集群架构的物联网身份认证系统", 《计算机应用》 * |
| 王兴,丁宏,李欣: "基于配对的无线网快速密钥协商协议", 《计算机工程与应用》 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106209369A (zh) * | 2016-07-01 | 2016-12-07 | 中国人民解放军国防科学技术大学 | 基于身份密码系统的单交互认证密钥协商协议 |
| CN106209369B (zh) * | 2016-07-01 | 2019-04-12 | 中国人民解放军国防科学技术大学 | 一种基于身份密码系统的通信方法 |
| CN107124409A (zh) * | 2017-04-25 | 2017-09-01 | 新华三技术有限公司 | 一种接入认证方法及装置 |
| CN107124409B (zh) * | 2017-04-25 | 2021-05-14 | 新华三技术有限公司 | 一种接入认证方法及装置 |
| CN109688135A (zh) * | 2018-12-27 | 2019-04-26 | 东软集团股份有限公司 | 车载控制器的数据传输方法、车载控制器及可读存储介质 |
| CN113472728A (zh) * | 2020-03-31 | 2021-10-01 | 阿里巴巴集团控股有限公司 | 一种通信方法和装置 |
| CN113472728B (zh) * | 2020-03-31 | 2022-05-27 | 阿里巴巴集团控股有限公司 | 一种通信方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| HK1207495A1 (zh) | 2016-01-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105162772B (zh) | 一种物联网设备认证与密钥协商方法和装置 | |
| CN110890962B (zh) | 认证密钥协商方法、装置、存储介质及设备 | |
| CN103118027B (zh) | 基于国密算法建立tls通道的方法 | |
| CN106788989B (zh) | 一种建立安全加密信道的方法及设备 | |
| CN110635901B (zh) | 用于物联网设备的本地蓝牙动态认证方法和系统 | |
| JP2020080530A (ja) | データ処理方法、装置、端末及びアクセスポイントコンピュータ | |
| CN108347404B (zh) | 一种身份认证方法及装置 | |
| CN104219217B (zh) | 安全关联协商方法、设备和系统 | |
| CN106878016A (zh) | 数据发送、接收方法及装置 | |
| CN108075890A (zh) | 数据发送端、数据接收端、数据传输方法及系统 | |
| CN105307165A (zh) | 基于移动应用的通信方法、服务端和客户端 | |
| CN111756529B (zh) | 一种量子会话密钥分发方法及系统 | |
| CN105577377A (zh) | 带密钥协商的基于身份的认证方法和系统 | |
| CN105141426B (zh) | 工控设备安全认证方法、服务器和客户端 | |
| CN111756528B (zh) | 一种量子会话密钥分发方法、装置及通信架构 | |
| US20240072996A1 (en) | System and method for key establishment | |
| CN105763318A (zh) | 一种预共享密钥获取、分配方法及装置 | |
| CN111865582A (zh) | 基于零知识证明的私钥离线存储方法、系统及存储介质 | |
| CN104393989A (zh) | 一种密钥协商方法及装置 | |
| CN117118763B (zh) | 用于数据传输的方法及装置、系统 | |
| CN116204914A (zh) | 一种可信隐私计算方法、装置、设备及存储介质 | |
| CN104243452A (zh) | 一种云计算访问控制方法及系统 | |
| CN105554008A (zh) | 用户终端、认证服务器、中间服务器、系统和传送方法 | |
| CN105591748A (zh) | 一种认证方法和装置 | |
| CN111181730A (zh) | 用户身份生成及更新方法和装置、存储介质和节点设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20150914 Address after: 300480, 429, building 4, building 16, eco eco Science Park, No. 2018 eco Avenue, Tianjin, Tianjin, China Applicant after: Tianjin Taiyue Xiaoman Technology Co. Ltd. Address before: 100107 Beijing city Haidian District wanquanzhuang Road No. 28 Wanliu new building block A Room 601 Applicant before: Beijing Shenzhou Taiyue Software Co., Ltd. |
|
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1207495 Country of ref document: HK |
|
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150304 |
|
| RJ01 | Rejection of invention patent application after publication | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: WD Ref document number: 1207495 Country of ref document: HK |