集中式网络中的数据加密传输方法、设备、网关
技术领域
本发明属于集中式的智能家庭网络领域,具体涉及集中式网络系统中的数据加密传输方法、设备、网关。
背景技术
图1是现有技术中的一种集中式的智能家庭网络的架构示意图。如图1所示,家电设备连接到网关,并向网关注册自身所提供的服务。设备间的所有通信均通过网关来完成。例如,设备A向设备B发送数据(可以是设备A调用设备B所提供的接口对设备B进行操作或是设备A发送一条状态消息给设备B),都是设备A先将数据(调用指令或状态)发送给网关,网关再将数据发送到设备B。故网关对所有注册的设备可以进行统一管理。
网关连接到云平台,实现云平台与家庭网络的交互。交互模式分为两种:一种是网关记录家电设备的通信信息,上传到云平台;另一种是网关接收云平台的指令,下发到家电设备。
设备之间的通信数据在网络上传输,存在泄露出去的风险。对于一些用户比较敏感的数据,需要确保在网络内传输的安全性,这通常是采用加密技术来实现的。一般的情况下,数据在发送端加密,在接收端解密,网络中传输加密后的密文。
例如,设备A与设备B进行安全通信,有以下几种实现方案:
⑴网关与每台家电设备共享一对密钥。该密钥可以通过预置或会话协商的方式产生。设备A与网关共享密钥对Ka。设备B与网关共享密钥对Kb。设备A将发送给设备B的数据通过Ka加密,发送给网关。网关用Ka解密数据,得到数据明文。一方面,网关会将数据明文记录下来,定期上传云平台。另一方面,网关会用Kb加密数据,将加密后的数据发送给设备B。设备B收到数据后,用Kb解密,得到数据明文。在这种通信方式中,在网关产生了数据明文,而且网关向云平台上传的是数据明文,上传过程中数据存在泄露风险,数据传输不安全。
⑵任意两台设备之间共享密钥。假设设备A与设备B共享密钥Kab。设备A将发送给设备B的数据用Kab加密,发送给网关。网关将密文数据发送给设备B。设备B用Kab解密数据,得到数据明文。在这种通信方式中,网关得到的是密文数据,网关向云平台上传的也是以Kab加密的密文数据,云平台无法解密,或者需要额外设计其他机制来确保云平台获取共享密钥Kab以及能够识别上传的数据是设备A与设备B之间传输的数据,从而增加了云平台的处理工作理,云平台无法及时便利地获取家电设备的通信信息。而且如果设备数量较多时,将产生大量的共享密钥,对云平台选择正确的解密密钥也带来困难,从而不利于云平台解密上传的数据。
集中式家庭网络需要引入数据加密机制以实现安全通信。同时,网关作为集中式管理设备也要连接云服务,将设备数据上报云或者接收云下发的指令。因此,设备与网关之间形成的家庭内网络,以及网关和云之间形成的家庭外网络,都需要通过对数据加密防止关键数据泄漏。这就要求数据在传输过程中始终以密文形式出现,明文只出现在发送设备、接收设备及云端。并且要有利于云平台便利地解密上传数据,减轻云平台的处理负担。
发明内容
本发明实施例提供一种集中式网络系统中的数据加密传输方法、设备、网关,以在集中式管理网络中引入更为可靠的数据加密机制,在传输过程中不出现明文,实现端到端安全,并且使云平台能够方便地解密上传数据。
为达上述目的,一方面,本发明实施例提供了一种集中式网络系统中的数据加密传输方法,所述方法包括:
从密钥管理服务器获取家庭组密钥;
从网关获取第一会话密钥;
根据所述家庭组密钥和所述第一会话密钥生成数据加密密钥;
利用所述数据加密密钥对待发送的数据进行加密;
将加密后的数据发送到所述网关,以使所述网关接收加密数据,利用所述第一会话密钥对所述加密数据进行解密,得到以家庭组密钥加密的密文数据,利用第二会话密钥对所述密文数据再次进行加密,将加密后的数据发送至第二设备。
为达上述目的,另一方面,本发明实施例提供了一种集中式网络系统中的数据加密传输方法,所述方法包括:
从网关获取第一会话密钥;
将所述第一会话密钥发送至密钥管理服务器;
接收所述密钥管理服务器返回的由所述第一会话密钥和家庭组密钥生成的数据加密密钥;
利用所述数据加密密钥对待发送的数据进行加密;
将加密后的数据发送到所述网关,以使所述网关接收加密数据,利用所述第一会话密钥对所述加密数据进行解密,得到以家庭组密钥加密的密文数据,利用第二会话密钥对所述密文数据再次进行加密,将加密后的数据发送至第二设备。
为达上述目的,又一方面,本发明实施例提供了一种集中式网络系统中的数据加密传输方法,所述方法包括:
为第一设备生成第一会话密钥,并发送至所述第一设备;
为第二设备生成第二会话密钥,并发送至所述第二设备;
接收所述第一设备发送的加密数据;
利用所述第一会话密钥对所述加密数据进行解密,得到以家庭组密钥加密的密文数据;
利用所述第二会话密钥对所述密文数据再次进行加密;
将加密后的数据发送至所述第二设备。
为达上述目的,本发明实施例提供了一种集中式网络系统中的设备,所述设备包括:
第一获取单元,用于从密钥管理服务器获取家庭组密钥;
第二获取单元,用于从网关获取第一会话密钥;
密钥生成单元,用于根据所述家庭组密钥和所述第一会话密钥生成数据加密密钥;
加密处理单元,用于利用所述数据加密密钥对待发送的数据进行加密;
数据发送单元,用于将加密后的数据发送到所述网关,以使所述网关接收加密数据,利用所述第一会话密钥对所述加密数据进行解密,得到以家庭组密钥加密的密文数据,利用第二会话密钥对所述密文数据再次进行加密,将加密后的数据发送至第二设备。
为达上述目的,本发明实施例提供了另一种集中式网络系统中的设备,所述设备包括:
第一获取单元,用于从网关获取第一会话密钥;
第二获取单元,用于将所述第一会话密钥发送至密钥管理服务器,并接收所述密钥管理服务器返回的由所述第一会话密钥和家庭组密钥生成的数据加密密钥;
加密处理单元,用于利用所述数据加密密钥对待发送的数据进行加密;
数据发送单元,用于将加密后的数据发送到所述网关,以使所述网关接收加密数据,利用所述第一会话密钥对所述加密数据进行解密,得到以家庭组密钥加密的密文数据,利用第二会话密钥对所述密文数据再次进行加密,将加密后的数据发送至第二设备。
为达上述目的,本发明实施例提供了一种集中式网络系统中的网关,所述网关包括:
会话密钥分发单元,用于为第一设备生成第一会话密钥,并发送至所述第一设备;以及为第二设备生成第二会话密钥,并发送至所述第二设备;
数据接收单元,用于接收所述第一设备发送的加密数据;
解密处理单元,用于利用所述第一会话密钥对所述加密数据进行解密,得到以家庭组密钥加密的密文数据;
加密处理单元,用于利用所述第二会话密钥对所述密文数据再次进行加密;
数据发送单元,将加密后的数据发送至所述第二设备。
上述技术方案的有益技术效果在于:
本发明在集中式家庭网络中,为家电设备间数据交互和云平台对于家庭网络的管理提供了一套数据加密传输方法。采用本发明的方法,在传输过程中不出现明文,实现了端到端安全。在上述技术方案中,网关将密文数据上传云平台,云平台访问密钥管理服务器以获取家庭组密钥,用家庭组密钥解密上传的密文数据得到明文数据,因此云平台的解密过程更加方便且处理负担更小。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是现有技术中的一种集中式的智能家庭网络的架构示意图;
图2是本发明实施例的集中式网络系统中的数据加密传输系统的结构示意图;
图3是本发明实施例一的一种集中式网络系统中的数据加密传输方法的流程图;
图4是本发明实施例二的一种集中式网络系统中的数据加密传输方法的流程图;
图5是本发明实施例三的一种集中式网络系统中的数据加密传输方法的流程图;
图6是本发明实施例四的集中式网络系统中的数据加密传输方法的一种信令交互流程图;
图7是本发明实施例五的集中式网络系统中的数据加密传输方法的另一种信令交互流程图;
图8是本发明实施例六的一种集中式网络系统中的设备的功能框图;
图9是本发明实施例七的一种集中式网络系统中的设备的功能框图;
图10是本发明实施例八的一种集中式网络系统中的网关的功能框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例在一个集中式管理网络中,发送/接收设备采用家庭组密钥与会话密钥相结合产生加密密钥,对数据加/解密。网关收到发送设备加密的数据后,用会话密钥解密,记录解密的结果,再用接收设备的会话密钥加密,发送给接收设备。
本发明实施例针对集中式家庭网络中的设备间通信安全问题,提出了一种更为可靠的数据加密方案。在一个实施例中,家电设备从密钥管理服务器获取统一的家庭组密钥,用家庭组密钥和网关共享会话密钥产生数据加密密钥,用数据加密密钥加密或解密数据。网关收到设备发来的加密数据后,用会话密钥解密数据,记录解密后的数据,再用与目标设备的共享会话密钥加密该数据,将数据发送给目标设备。
在一个集中式家庭网络中,家电设备连接到网关,通过网关互相通信。如图2所示,家电设备A、家电设备B和家电设备C都连接到家庭网关,与家庭网关共同组成了家庭内部网络。家庭网关连接到云服务平台,通过家庭网关,家电设备可以上报数据到云平台,或者接收云平台下发的指令,形成了家庭外部网络。家庭内部网络和家庭外部网络结合在一起,组成了智慧家庭系统。
网络中还可以存在一个密钥管理服务器。该服务器能够产生密钥,将密钥分配给网络中的设备,并且管理密钥的更新和回收。
实施例一
本实施例一提供一种集中式网络系统中的数据加密传输方法,该方法执行主体是集中式网络系统中的设备,参阅图3,其包括如下步骤:
步骤301:设备从密钥管理服务器获取家庭组密钥;
步骤302:设备从网关获取会话密钥;
步骤303:设备根据家庭组密钥和会话密钥生成数据加密密钥;
步骤304:设备利用数据加密密钥对待发送的数据进行加密;
步骤305:设备将加密后的数据发送到网关。
进一步地,该方法还可包括如下步骤:接收网关发送的密文数据;利用数据加密密钥对密文数据进行解密。
较佳地,步骤303具体可包括如下步骤:将家庭组密钥和会话密钥进行异或处理以生成数据加密密钥。
本实施例一为家电设备间数据交互和云平台对于家庭网络的管理提供了一套数据加密传输方法,采用本发明的方法,在传输过程中不出现明文,实现了端到端安全。另外,网关将密文数据上传云平台,云平台访问密钥管理服务器以获取家庭组密钥,用家庭组密钥解密上传的密文数据得到明文数据,因此云平台的解密过程更加方便且处理负担更小。
实施例二
本实施例二提供另一种集中式网络系统中的数据加密传输方法,该方法执行主体是集中式网络系统中的设备,参阅图4,其包括如下步骤:
步骤401:从网关获取会话密钥;
步骤402:将会话密钥发送至密钥管理服务器;
步骤403:接收密钥管理服务器返回的由会话密钥和家庭组密钥生成的数据加密密钥;
步骤404:利用数据加密密钥对待发送的数据进行加密;
步骤405:将加密后的数据发送到网关。
进一步地,该方法还可包括如下步骤:接收网关发送的密文数据;利用数据加密密钥对密文数据进行解密。
本实施例二在具有实施例一的优点的基础上,家庭组密钥定期更新所花费的代价更低。
实施例三
本实施例三提供另一种集中式网络系统中的数据加密传输方法,该方法执行主体是集中式网络系统中的网关,参阅图5,其包括如下步骤:
步骤501:为第一设备生成第一会话密钥,并发送至第一设备;
步骤502:为第二设备生成第二会话密钥,并发送至第二设备;
步骤503:接收第一设备发送的加密数据;
步骤504:利用第一会话密钥对加密数据进行解密,得到以家庭组密钥加密的密文数据;
步骤505:利用第二会话密钥对密文数据再次进行加密;
步骤506:将加密后的数据发送至第二设备。
进一步地,在步骤504后,该方法还可包括如下步骤:记录所述以家庭组密钥加密的密文数据,并且上传云服务器。
本实施例三为家电设备间数据交互和网关对于家庭网络的管理提供了一套数据加密传输方法,采用本发明的方法,在传输过程中不出现明文,实现了端到端安全。
实施例四
前述实施例一至三的方法,分别从不同角度或侧面进行了描述,下面通过具体的信令交互流程图,从整体角度来更为详细地全面描述前述实施例一至三的方法。
参阅图6示出的设备A向设备B发送数据的加密操作流程图,其包括如下步骤:
密钥产生过程:
1.设备A、设备B从密钥管理服务器获取家庭组密钥Kc;
2.设备A连接网关,设备与网关产生会话密钥Ks;
设备B连接网关,设备与网关产生会话密钥Ks’;
3.设备A用密钥Kc、Ks产生数据加密密钥Ksc;设备B用密钥Kc、Ks’产生数据加密密钥Ks’c;
数据加密传输过程:
4.设备A用Ksc加密数据m,得到密文Ksc(m);
5.设备A将加密后的数据Ksc(m)发送到网关;
6.网关用会话密钥Ks解密得到Kc(m);
7.网关记录Kc(m);
8.网关用Ks’加密得到Ks’c(m);
9.网关将Ks’c(m)发送给设备B;
10.设备B用密钥Ks’c解密Ks’c(m)得到明文m。
另一种情况,家庭组密钥Kc也可以不分配给家电设备,而是存储在密钥管理服务器中。此时,数据加密密钥由密钥存储服务器负责产生,并分发给相应的设备,如图7所示,包括如下步骤:
密钥产生过程:
1.设备A连接网关,设备与网关产生会话密钥Ks;
设备B连接网关,设备与网关产生会话密钥Ks’;
2.设备A将会话密钥Ks发送给密钥管理服务器;设备B将会话密钥Ks’发送给密钥管理服务器;
3.密钥管理服务器用家庭组密钥Kc与Ks产生加密密钥Ksc,发送给设备A;
密钥管理服务器用家庭组密钥Kc与Ks’产生加密密钥Ks’c,发送给设备B;
4.数据加密过程同第一实施例
图7所示的实施例与图6所示实施例相比,家庭组密钥定期更新所花费的代价更低,同时,由于需要设备向密钥管理服务器上传会话密钥并接收密钥管理服务器下发的数据加密密钥,因此,在会话密钥更新较频繁时,花费的代价更高。
为实现上述方法,加密算法需满足以下条件:
Ks(Kc(m))=Ksc(m)
Ks(Ksc(m))=Kc(m)
实施例五
以下举例说明一种可能的应用场景如下:
在一个家庭网络中,家庭网关作为家庭中心管理设备,组建了家电网络。家电设备能够通过家庭网关进行通信。同时,家庭网关连接云服务平台,将家庭网络中各设备之间的交互数据上报云平台。家庭内监控设备、用户智能终端等都连接并注册到网关。网关连接一密钥管理服务器。密钥管理服务器保存有家庭组密钥Kc=0101010100。与网关连接的家电设备和云服务器都能够访问密钥管理服务器。
监控设备与网关协商,产生会话密钥Ks,以随机数表示为1010101010,由监控设备与网关分别保存。同样地,智能终端与网关产生会话密钥Ks’=1001011001,由智能终端与网关分别保存。
监控设备能够监控家庭温度、湿度等数据并以视频方式记录家庭状况。用户通过智能终端调用监控设备查看监控信息。监控设备需要把记录的数据通过网关发送到智能终端。对于用户来说,监控设备记录的视频内容涉及到用户隐私,不能泄露,因此需要对视频数据加密传输。假设视频数据m二进制表示为1001000010。
①监控设备将会话密钥Ks上传到密钥管理服务器。密钥管理服务器将Ks与Kc异或,产生数据加密密钥Ksc:
Ksc=Ks⊕Kc=1010101010⊕0101010100=1111111110
②密钥管理服务器将密钥Ksc返回监控设备。监控设备用加密密钥Ksc加密视频数据m,采用流加密的方式,加密算法为异或运算,得到密文Ksc(m):
Ksc(m)=Ksc⊕m=1111111110⊕1001000010=0110111100
③监控设备将温度、湿度等数据以及加密后的视频数据发送到网关。网关用与监控设备的会话密钥Ks解密视频数据,得到Kc(m):
Kc(m)=Ks⊕Ksc(m)=1010101010⊕0110111100=1100010110
④网关记录温度、湿度等数据以及视频数据Kc(m)。之后,使用与智能终端的会话密钥Ks’加密Kc(m),得到Ks’c(m):
Ks’c(m)=Ks’⊕Kc(m)=1001011001⊕1100010110=0101001111
⑤网关将温度、湿度等数据以及视频数据Ks’c(m)发送给智能终端。智能终端将会话密钥Ks’上传到密钥管理服务器。密钥管理服务器将Ks’与Kc异或,产生数据加密密钥Ks’c:
Ks’c=Ks’⊕Kc=1001011001⊕0101010100=1100001101
⑥密钥管理服务器将密钥Ks’c返回智能终端。智能终端用Ks’c解密视频数据,得到明文m:
m=Ks’c⊕Ks’c(m)=1100001101⊕0101001111=1001000010
⑦智能终端将温度、湿度等数据以及解密后的视频数据呈献给用户。
⑧网关将记录的监控设备发送给智能终端的温度、湿度等数据以及视频数据Kc(m)信息上报到云服务器。
⑨云服务器由密钥管理服务器获得家庭组密钥Kc,用Kc解密视频数据Kc(m)得到m:
m=Kc⊕Kc(m)=0101010100⊕1100010110=1001000010
云服务器保存上报的该条记录。
本发明实施例的优点在于:
本发明在集中式家庭网络中,为家电设备间数据交互和云平台对于家庭网络的管理提供了一套数据加密传输方法。
1、采用本发明的方法,在传输过程中不出现明文,实现了端到端安全;
2、网关记录业务数据,以密文存储并传输到云端,在云端解密出明文,网关不存储明文,避免网关遭攻击而泄漏数据的风险。
实施例六
本实施例提供一种集中式网络系统中的设备,参阅图8,该设备包括:
第一获取单元,用于从密钥管理服务器获取家庭组密钥;
第二获取单元,用于从网关获取会话密钥;
密钥生成单元,用于根据家庭组密钥和会话密钥生成数据加密密钥;
加密处理单元,用于利用数据加密密钥对待发送的数据进行加密;
数据发送单元,用于将加密后的数据发送到网关。
进一步地,该设备还可包括:数据接收单元,用于接收网关发送的密文数据;以及解密处理单元,用于利用数据加密密钥对密文数据进行解密。
具体实施时,密钥生成单元,可以具体用于将家庭组密钥和会话密钥进行异或处理以生成数据加密密钥。
实施例七
本实施例提供另一种集中式网络系统中的设备,参阅图9,该设备包括:
第一获取单元,用于从网关获取会话密钥;
第二获取单元,用于将会话密钥发送至密钥管理服务器,并接收密钥管理服务器返回的由会话密钥和家庭组密钥生成的数据加密密钥;
加密处理单元,用于利用数据加密密钥对待发送的数据进行加密;
数据发送单元,用于将加密后的数据发送到网关。
进一步地,该设备还可包括:数据接收单元,用于接收网关发送的密文数据;以及解密处理单元,用于利用数据加密密钥对密文数据进行解密。
实施例八
本实施例提供一种集中式网络系统中的网关,参阅图10,该网关包括:
会话密钥分发单元,用于为第一设备生成第一会话密钥,并发送至第一设备;以及为第二设备生成第二会话密钥,并发送至第二设备;
数据接收单元,用于接收第一设备发送的加密数据;
解密处理单元,用于利用第一会话密钥对加密数据进行解密,得到以家庭组密钥加密的密文数据;
加密处理单元,用于利用第二会话密钥对密文数再次据进行加密;
数据发送单元,将加密后的数据发送至第二设备。
进一步地,网关还可包括:记录单元,用于记录以家庭组密钥加密的密文数据,并且上传云服务器。
本发明实施例的优点在于:本发明在集中式家庭网络中,为家电设备间数据交互和云平台对于家庭网络的管理提供了一套数据加密传输方法。采用本发明的方法,在传输过程中不出现明文,实现了端到端安全;网关记录业务数据,以密文存储并传输到云端,在云端解密出明文,网关不存储明文,避免网关遭攻击而泄漏数据的风险。
本领域技术人员还可以了解到本发明实施例列出的各种说明性逻辑块(illustrative logical block),单元,和步骤可以通过电子硬件、电脑软件,或两者的结合进行实现。为清楚展示硬件和软件的可替换性(interchangeability),上述的各种说明性部件(illustrative components),单元和步骤已经通用地描述了它们的功能。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用,可以使用各种方法实现所述的功能,但这种实现不应被理解为超出本发明实施例保护的范围。
本发明实施例中所描述的各种说明性的逻辑块,或单元都可以通过通用处理器,数字信号处理器,专用集成电路(ASIC),现场可编程门阵列或其它可编程逻辑装置,离散门或晶体管逻辑,离散硬件部件,或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器,可选地,该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现,例如数字信号处理器和微处理器,多个微处理器,一个或多个微处理器联合一个数字信号处理器核,或任何其它类似的配置来实现。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。