CN104796399A - 一种数据加密传输的密钥协商方法 - Google Patents
一种数据加密传输的密钥协商方法 Download PDFInfo
- Publication number
- CN104796399A CN104796399A CN201510007730.9A CN201510007730A CN104796399A CN 104796399 A CN104796399 A CN 104796399A CN 201510007730 A CN201510007730 A CN 201510007730A CN 104796399 A CN104796399 A CN 104796399A
- Authority
- CN
- China
- Prior art keywords
- client
- key
- authentication
- present communications
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明中,通过客户端密钥、服务器密钥、动态密钥相结合的方式生成通信密钥、通过其他距离相近的客户端以近场通信的方式传递动态密钥、通过客户端来传递动态密钥、通过周期性的变更动态密钥,使得通信过程中的数据加密性能更高,保证了数据安全、有效的保证了动态密钥传递过程中的安全性、能保证动态密钥的传递在认证服务器的信任水平之上进行减、轻了认证服务器的负载,有利于认证服务器的平稳运行、使得密钥的使用更加的安全。
Description
技术领域
本发明涉及通信网络安全技术领域,尤其涉及一种数据加密传输的密钥协商方法。
背景技术
随着因特网业务的蓬勃发展和无线网络的广泛应用,移动用户的安全性已经 对于无线系统提出了越来越多的要求:除了设备鉴权、用户鉴权和服务授权等 等,无线用户与接入点(AP)或基站(BS)之间的安全通道的建立,保密信息 的交换,以及BS和鉴权者(Authenticator),鉴权者和鉴权服务器之间的保 密通道,保密信息的交换等等都是以往在专用网络中所不需要考虑而目前需要 得到大量关注的问题了。
现有的解决服务器端、客户端业务交互安全的方案包括静态密钥、动态密钥等方式。
静态密钥一般是在客户端、服务器端放置静态密钥,通信时双方约定采用该密钥进行加解密;动态密钥方式则是开始使用明文传输密钥,在通讯初期双方动态约定密钥,一般是服务端生成,明文传送给客户端,通信时双方约定采用该密钥进行加解密。
现有的静态密钥方式存在容易破解的风险,因为密钥固定,使得密钥被攻击被破解的可能性大大增加,一旦密钥破解,业务就存在被攻击的风险。动态密钥虽然动态变化,但由于初始期明文交互,容易被捕获。
而且,由于认证服务器集中处理所有需要连接业务服务器的客户端的认证请求,造成认证服务器负载太大,运行缓慢,导致用户连接超时。
发明内容
本发明提供了一种数据加密传输的密钥协商方法,其特征在于,认证服务器在鉴权数据库中存储已经鉴权成功了的客户端的识别序列号和地理位置,并以一定的时间周期,生成新的动态密钥,使用当前通信密钥对该新生成的动态密钥进行加密,生成安全报文,并向所有已经鉴权成功了的客户端广播该安全报文,然后将客户端密钥、服务器密钥以及当前动态密钥相结合,生成更新的当前通信密钥;已经鉴权成功了的客户端接收该安全报文,使用当前通信密钥对其进行解密得到该新生成的动态密钥,并将客户端密钥、服务器密钥以及当前动态密钥相结合,生成更新的当前通信密钥,使用当前通信密钥加密/解密数据,与所述业务服务器进行数据传输;所述密钥协商方法包括:
步骤202、向认证服务器申请鉴权的所述第一客户端对所述第一客户端的识别序列号和地理位置以及鉴权所需的身份信息使用客户端密钥进行加密,得到鉴权请求报文,并向认证服务器发送鉴权请求报文;
步骤204、认证服务器使用客户端密钥对所述鉴权请求报文解密,得到所述第一客户端的所述识别序列号和地理位置以及鉴权所需的身份信息,对第一客户端进行鉴权,若鉴权通过,则进入步骤206;若鉴权失败,则向所述第一客户端发送鉴权失败报文,进入步骤232;
步骤206、认证服务器将第一客户端的地理位置与所述鉴权数据库存储的已经鉴权成功了的客户端的地理位置相比较,找到离所述第一客户端最近的第二客户端,并得到两者之间的距离;
步骤208、所述认证服务器将该距离与预设的阈值相比较,判断所述距离是否小于阈值;若是,则进入步骤210;若否,进入步骤220;
步骤210、认证服务器对所述第一客户端和第二客户端的识别序列号使用当前通信密钥进行加密,生成密钥通知请求报文,并发送给所述第二客户端;
步骤212、所述第二客户端接收密钥通知请求报文,用当前通信密钥对其解密,得到第一客户端和第二客户端的识别序列号;
步骤214、所述第二客户端建立与第一客户端之间的近场通信连接,向第一客户端发送当前动态密钥;
步骤216、第一客户端接收该动态密钥,进行存储,并将客户端密钥、服务器密钥以及动态密钥相结合,生成当前通信密钥;
步骤218、所述第一客户端与所述业务服务器间以所述当前通信密钥加密/解密数据,进行数据传输,进入步骤232;
步骤220、所述认证服务器获取所述鉴权数据库中信用等级最高的第三客户端;
步骤222、所述认证服务器对所述第一客户端和第三客户端的识别序列号使用当前通信密钥进行加密,生成密钥通知请求报文,并发送给所述第三客户端;
步骤224、所述第三客户端接收密钥通知请求报文,用当前通信密钥对其解密,得到第一客户端和第三客户端的识别序列号;
步骤226、所述第三客户端对当前动态密钥使用客户端密钥进行加密,生成密钥通知响应报文,并发送给所述第一客户端;
步骤228、第一客户端接收该动态密钥,进行存储,并将客户端密钥、服务器密钥以及动态密钥相结合,生成当前通信密钥;
步骤230、所述第一客户端与所述业务服务器间以所述当前通信密钥加密/解密数据,进行数据传输;
步骤232、密钥协商过程结束。
与现有技术相比,采用本发明的数据加密传输的密钥协商方法,具有以下优点:
1. 本发明中,通过客户端密钥、服务器密钥、动态密钥相结合的方式生成通信密钥,使得通信过程中的数据加密性能更高,保证了数据安全;
2. 本发明中,通过其他距离相近的客户端以近场通信的方式传递动态密钥,有效的保证了动态密钥传递过程中的安全性,而通过信用等级高的客户端来传递密钥,则能保证动态密钥的传递在认证服务器的信任水平之上进行;
3. 本发明中通过客户端来传递动态密钥,减轻了认证服务器的负载,有利于认证服务器的平稳运行;
4. 本发明中通过周期性的变更动态密钥,使得密钥的使用更加的安全。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明网络结构图;
图2为本发明实施例一流程图A;
图3为本发明实施例一流程图B。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下将通过具体实施例和相关附图,对本发明作进一步详细说明。
实施例一
本发明实施例一提供了一种数据加密传输的密钥协商方法,其特征在于,认证服务器在鉴权数据库中存储已经鉴权成功了的客户端的识别序列号和地理位置,并以一定的时间周期,生成新的动态密钥,使用当前通信密钥对该新生成的动态密钥进行加密,生成安全报文,并向所有已经鉴权成功了的客户端广播该安全报文,然后将客户端密钥、服务器密钥以及当前动态密钥相结合,生成更新的当前通信密钥;已经鉴权成功了的客户端接收该安全报文,使用当前通信密钥对其进行解密得到该新生成的动态密钥,并将客户端密钥、服务器密钥以及当前动态密钥相结合,生成更新的当前通信密钥,使用当前通信密钥加密/解密数据,与所述业务服务器进行数据传输;所述密钥协商方法包括:
步骤202、向认证服务器申请鉴权的所述第一客户端对所述第一客户端的识别序列号和地理位置以及鉴权所需的身份信息使用客户端密钥进行加密,得到鉴权请求报文,并向认证服务器发送鉴权请求报文;
步骤204、认证服务器使用客户端密钥对所述鉴权请求报文解密,得到所述第一客户端的所述识别序列号和地理位置以及鉴权所需的身份信息,对第一客户端进行鉴权,若鉴权通过,则进入步骤206;若鉴权失败,则向所述第一客户端发送鉴权失败报文,进入步骤232;
步骤206、认证服务器将第一客户端的地理位置与所述鉴权数据库存储的已经鉴权成功了的客户端的地理位置相比较,找到离所述第一客户端最近的第二客户端,并得到两者之间的距离;
步骤208、所述认证服务器将该距离与预设的阈值相比较,判断所述距离是否小于阈值;若是,则进入步骤210;若否,进入步骤220;
步骤210、认证服务器对所述第一客户端和第二客户端的识别序列号使用当前通信密钥进行加密,生成密钥通知请求报文,并发送给所述第二客户端;
步骤212、所述第二客户端接收密钥通知请求报文,用当前通信密钥对其解密,得到第一客户端和第二客户端的识别序列号;
步骤214、所述第二客户端建立与第一客户端之间的近场通信连接,向第一客户端发送当前动态密钥;
步骤216、第一客户端接收该动态密钥,进行存储,并将客户端密钥、服务器密钥以及动态密钥相结合,生成当前通信密钥;
步骤218、所述第一客户端与所述业务服务器间以所述当前通信密钥加密/解密数据,进行数据传输,进入步骤232;
步骤220、所述认证服务器获取所述鉴权数据库中信用等级最高的第三客户端;
步骤222、所述认证服务器对所述第一客户端和第三客户端的识别序列号使用当前通信密钥进行加密,生成密钥通知请求报文,并发送给所述第三客户端;
步骤224、所述第三客户端接收密钥通知请求报文,用当前通信密钥对其解密,得到第一客户端和第三客户端的识别序列号;
步骤226、所述第三客户端对当前动态密钥使用客户端密钥进行加密,生成密钥通知响应报文,并发送给所述第一客户端;
步骤228、第一客户端接收该动态密钥,进行存储,并将客户端密钥、服务器密钥以及动态密钥相结合,生成当前通信密钥;
步骤230、所述第一客户端与所述业务服务器间以所述当前通信密钥加密/解密数据,进行数据传输;
步骤232、密钥协商过程结束。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
上列较佳实施例,对本发明的目的、技术方案和优点进行了进一步详细说明,所应理解的是,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (1)
1. 一种数据加密传输的密钥协商方法,其特征在于,认证服务器在鉴权数据库中存储已经鉴权成功了的客户端的识别序列号和地理位置,并以一定的时间周期,生成新的动态密钥,使用当前通信密钥对该新生成的动态密钥进行加密,生成安全报文,并向所有已经鉴权成功了的客户端广播该安全报文,然后将客户端密钥、服务器密钥以及当前动态密钥相结合,生成更新的当前通信密钥;已经鉴权成功了的客户端接收该安全报文,使用当前通信密钥对其进行解密得到该新生成的动态密钥,并将客户端密钥、服务器密钥以及当前动态密钥相结合,生成更新的当前通信密钥,使用当前通信密钥加密/解密数据,与所述业务服务器进行数据传输;所述密钥协商方法包括:
步骤202、向认证服务器申请鉴权的所述第一客户端对所述第一客户端的识别序列号和地理位置以及鉴权所需的身份信息使用客户端密钥进行加密,得到鉴权请求报文,并向认证服务器发送鉴权请求报文;
步骤204、认证服务器使用客户端密钥对所述鉴权请求报文解密,得到所述第一客户端的所述识别序列号和地理位置以及鉴权所需的身份信息,对第一客户端进行鉴权,若鉴权通过,则进入步骤206;若鉴权失败,则向所述第一客户端发送鉴权失败报文,进入步骤232;
步骤206、认证服务器将第一客户端的地理位置与所述鉴权数据库存储的已经鉴权成功了的客户端的地理位置相比较,找到离所述第一客户端最近的第二客户端,并得到两者之间的距离;
步骤208、所述认证服务器将该距离与预设的阈值相比较,判断所述距离是否小于阈值;若是,则进入步骤210;若否,进入步骤220;
步骤210、认证服务器对所述第一客户端和第二客户端的识别序列号使用当前通信密钥进行加密,生成密钥通知请求报文,并发送给所述第二客户端;
步骤212、所述第二客户端接收密钥通知请求报文,用当前通信密钥对其解密,得到第一客户端和第二客户端的识别序列号;
步骤214、所述第二客户端建立与第一客户端之间的近场通信连接,向第一客户端发送当前动态密钥;
步骤216、第一客户端接收该动态密钥,进行存储,并将客户端密钥、服务器密钥以及动态密钥相结合,生成当前通信密钥;
步骤218、所述第一客户端与所述业务服务器间以所述当前通信密钥加密/解密数据,进行数据传输,进入步骤232;
步骤220、所述认证服务器获取所述鉴权数据库中信用等级最高的第三客户端;
步骤222、所述认证服务器对所述第一客户端和第三客户端的识别序列号使用当前通信密钥进行加密,生成密钥通知请求报文,并发送给所述第三客户端;
步骤224、所述第三客户端接收密钥通知请求报文,用当前通信密钥对其解密,得到第一客户端和第三客户端的识别序列号;
步骤226、所述第三客户端对当前动态密钥使用客户端密钥进行加密,生成密钥通知响应报文,并发送给所述第一客户端;
步骤228、第一客户端接收该动态密钥,进行存储,并将客户端密钥、服务器密钥以及动态密钥相结合,生成当前通信密钥;
步骤230、所述第一客户端与所述业务服务器间以所述当前通信密钥加密/解密数据,进行数据传输;
步骤232、密钥协商过程结束。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510007730.9A CN104796399B (zh) | 2015-01-08 | 2015-01-08 | 一种数据加密传输的密钥协商方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510007730.9A CN104796399B (zh) | 2015-01-08 | 2015-01-08 | 一种数据加密传输的密钥协商方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104796399A true CN104796399A (zh) | 2015-07-22 |
| CN104796399B CN104796399B (zh) | 2017-09-19 |
Family
ID=53560911
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510007730.9A Active CN104796399B (zh) | 2015-01-08 | 2015-01-08 | 一种数据加密传输的密钥协商方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104796399B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107302519A (zh) * | 2016-04-15 | 2017-10-27 | 北京搜狗科技发展有限公司 | 一种终端设备的身份认证方法、装置和终端设备、服务器 |
| CN107994989A (zh) * | 2017-12-11 | 2018-05-04 | 建荣集成电路科技(珠海)有限公司 | 一种数据加密系统、加密方法、加密芯片及存储装置 |
| CN108495309A (zh) * | 2018-02-06 | 2018-09-04 | 咪咕文化科技有限公司 | 信息处理的方法、电子设备和存储介质 |
| CN110944009A (zh) * | 2019-12-13 | 2020-03-31 | 武汉理工光科股份有限公司 | 一种基于二线制通信的数据动态加密通信方法及系统 |
| CN112770320A (zh) * | 2020-12-27 | 2021-05-07 | 常熟开关制造有限公司(原常熟开关厂) | 一种基于动态密钥的断路器通信方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101119196A (zh) * | 2006-08-03 | 2008-02-06 | 西安电子科技大学 | 一种双向认证方法及系统 |
| CN101895388A (zh) * | 2010-07-07 | 2010-11-24 | 中兴通讯股份有限公司 | 分布式动态密钥管理方法及装置 |
| CN102905258A (zh) * | 2011-07-27 | 2013-01-30 | 中兴通讯股份有限公司 | 自有业务认证方法及系统 |
| CN103391545A (zh) * | 2012-05-07 | 2013-11-13 | 财团法人工业技术研究院 | 装置间通信的认证系统及认证方法 |
-
2015
- 2015-01-08 CN CN201510007730.9A patent/CN104796399B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101119196A (zh) * | 2006-08-03 | 2008-02-06 | 西安电子科技大学 | 一种双向认证方法及系统 |
| CN101895388A (zh) * | 2010-07-07 | 2010-11-24 | 中兴通讯股份有限公司 | 分布式动态密钥管理方法及装置 |
| CN102905258A (zh) * | 2011-07-27 | 2013-01-30 | 中兴通讯股份有限公司 | 自有业务认证方法及系统 |
| CN103391545A (zh) * | 2012-05-07 | 2013-11-13 | 财团法人工业技术研究院 | 装置间通信的认证系统及认证方法 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107302519A (zh) * | 2016-04-15 | 2017-10-27 | 北京搜狗科技发展有限公司 | 一种终端设备的身份认证方法、装置和终端设备、服务器 |
| CN107302519B (zh) * | 2016-04-15 | 2021-11-30 | 北京搜狗智能科技有限公司 | 一种终端设备的身份认证方法、装置和终端设备、服务器 |
| CN107994989A (zh) * | 2017-12-11 | 2018-05-04 | 建荣集成电路科技(珠海)有限公司 | 一种数据加密系统、加密方法、加密芯片及存储装置 |
| CN108495309A (zh) * | 2018-02-06 | 2018-09-04 | 咪咕文化科技有限公司 | 信息处理的方法、电子设备和存储介质 |
| CN110944009A (zh) * | 2019-12-13 | 2020-03-31 | 武汉理工光科股份有限公司 | 一种基于二线制通信的数据动态加密通信方法及系统 |
| CN110944009B (zh) * | 2019-12-13 | 2022-03-18 | 武汉理工光科股份有限公司 | 一种基于二线制通信的数据动态加密通信方法及系统 |
| CN112770320A (zh) * | 2020-12-27 | 2021-05-07 | 常熟开关制造有限公司(原常熟开关厂) | 一种基于动态密钥的断路器通信方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104796399B (zh) | 2017-09-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107358441B (zh) | 支付验证的方法、系统及移动设备和安全认证设备 | |
| CN102142961B (zh) | 一种网关、节点和服务器进行鉴权的方法、装置及系统 | |
| KR101508360B1 (ko) | 데이터 전송 장치 및 방법, 그리고 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체 | |
| CN101783800B (zh) | 一种嵌入式系统安全通信方法、装置及系统 | |
| CN101772024B (zh) | 一种用户身份确定方法及装置和系统 | |
| CN101631305B (zh) | 一种加密方法及系统 | |
| CN103415008A (zh) | 一种加密通信方法和加密通信系统 | |
| CN105323754B (zh) | 一种基于预共享密钥的分布式鉴权方法 | |
| CN104796399A (zh) | 一种数据加密传输的密钥协商方法 | |
| CN105553654A (zh) | 密钥信息查询处理方法和装置、密钥信息管理系统 | |
| CN101895882A (zh) | 一种WiMAX系统中的数据传输方法、系统及装置 | |
| CN105187369B (zh) | 一种数据访问方法及装置 | |
| CN112672342B (zh) | 数据传输方法、装置、设备、系统和存储介质 | |
| CN109729000B (zh) | 一种即时通信方法及装置 | |
| CN102264068B (zh) | 共享密钥协商方法与系统、网络平台及终端 | |
| CN104243452A (zh) | 一种云计算访问控制方法及系统 | |
| CN103973543A (zh) | 即时通信方法及装置 | |
| CN103916834A (zh) | 一种用户独享密钥的短信加密方法和系统 | |
| CN110519222A (zh) | 基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和系统 | |
| CN105828330B (zh) | 一种接入方法及装置 | |
| CN105701390A (zh) | 加密终端远程管理的方法、加密终端及管理器 | |
| KR20130007097A (ko) | 스마트폰 서비스의 보안 시스템 및 보안 방법 | |
| CN103139774B (zh) | 短消息业务处理方法与短消息业务处理系统 | |
| CN107493281A (zh) | 加密通信方法及装置 | |
| CN109801423A (zh) | 一种基于蓝牙的车辆控制方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 100094, Beijing, Haidian District Zhongguancun software park on the two phase, building 15, Zhongxing building, three floor Applicant after: BEIJING SAPLING TECHNOLOGY CO., LTD. Address before: 100084 Beijing city Haidian District Nankou Silicon Valley city 2B-604 Applicant before: BEIJING SAPLING TECHNOLOGY CO., LTD. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |