CN105814859A - 一种网络配置方法、相关装置及系统 - Google Patents

一种网络配置方法、相关装置及系统 Download PDF

Info

Publication number
CN105814859A
CN105814859A CN201380081351.3A CN201380081351A CN105814859A CN 105814859 A CN105814859 A CN 105814859A CN 201380081351 A CN201380081351 A CN 201380081351A CN 105814859 A CN105814859 A CN 105814859A
Authority
CN
China
Prior art keywords
equipment
key
public key
information
exchange
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201380081351.3A
Other languages
English (en)
Other versions
CN105814859B (zh
Inventor
李小仙
丁志明
庞高昆
陆苏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Device Co Ltd
Original Assignee
Huawei Device Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Device Co Ltd filed Critical Huawei Device Co Ltd
Publication of CN105814859A publication Critical patent/CN105814859A/zh
Application granted granted Critical
Publication of CN105814859B publication Critical patent/CN105814859B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/34Signalling channels for network management communication
    • H04L41/344Out-of-band transfers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0806Configuration setting for initial configuration or provisioning, e.g. plug-and-play
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3215Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/062Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Abstract

本发明实施例公开一种网络配置方法,包括:通过带外方式获取第二设备公钥运算值,第二设备公钥运算值为将第二设备用于执行密钥交换的公钥进行预设算法的运算而得到的结果;根据第一设备用于执行密钥交换的公钥生成第一设备公钥信息,将第一设备公钥信息发送给第二设备,以使第二设备根据第一设备公钥信息获取第一设备的公钥;获取第二设备发送的用于执行密钥交换的第二设备公钥副本;对第二设备公钥副本进行预设算法的运算,得到第二设备公钥运算值副本;当第二设备公钥运算值副本与第二设备公钥运算值匹配后,根据第一设备用于执行密钥交换的私钥和获取的第二设备公钥副本生成第一交换密钥,以用于处理第一设备和第二设备之间的配置信息。采用本发明,简化网络配置流程。

Description

一种网络配置方法、 相关装置及系统 技术领域
本发明涉及通信领域, 尤其涉及一种网络配置方法、 相关装置及系统。 背景技术
无线保真(Wireless Fidelity, Wi-Fi )是一种广泛应用的无线通信技术, 具有部署快速、使用便利和传输速率高等优势, 被广泛应用于各个行业, Wi-Fi 网络的接入点遍布于酒店、 咖啡厅、 学校和医院等场所, 可以说 Wi-Fi在生活 中无所不在。
尽管 Wi-Fi网络越来越流行, 但是由于 Wi-Fi网络设置复杂, 设备商依然 要投入大量的支持成本来帮助用户建立 Wi-Fi 网络以及解决使用过程中的问 题。 在那些成功设置了无线网络的用户中, 依然有 60%-70%的用户没有配置 任何的安全参数, 网络 4艮受容易遭到攻击。 为了解决用户在使用无线网络时的 困惑, Wi-Fi联盟推出了 Wi-Fi安全设置( Wi-Fi Protected Setup, WPS )规范, 又称 Wi-Fi简单配置( Wi-Fi Simple Configuration, WSC ), 旨在简化用户在设 置 WLAN ( Wireless Local Area Network, 无线局域网 ) 时的操作, 让那些对 无线设置和安全没有太多了解的用户也可以简单方便地设置安全的 WLAN, 可以方便地向网络中添加设备。
WPS的主要应用场景为: 1. 初始 WLAN设置,指用一配置设备为一个新 的 AP建立 WLAN; 2. WLAN建立后 , 向该 WLAN增添新的设备。
WPS标准提出了三种配置方式,即个人身份识别码( Personal Identification Number, PIN )方式、 按钮控制 ( Push Button Control, PBC )方式、 近巨离通 信(Near Field Communication, NFC )方式。 PIN方式即用户在注册器上输入 待配置设备的 PIN码; PBC方式即用户在注册器和待配置设备上几乎同时按 下按钮; NFC方式则有三种方式: 1 ,通过 NFC直接传配置信息; 2,通过 NFC 向配置设备传输待配置设备的密码; 3 , 通过 NFC进行 connection handover, 双方交换 Diffie-Hellman ( DH )公钥的 hash值。 然而, PIN方式需要人为输入 PIN码, 比较繁瑣且安全性不高, PBC方式 虽然操作简单但无法抵抗主动攻击, NFC方式要求设备必须都具有 NFC接口, 普适性较低。 此外, WPS采用 M1-M8 8条消息来进行验证, 消息繁多复杂, 对终端的处理能力要求也较高, 配置效率低下; 而且需要配置的双方设备的带 外信道(即除 Wi-Fi信道以外的其它信道)宽带有限, 在配置过程中交互消息 繁多复杂, 或者交互消息内容过大, 同样也将导致配置效率低下。 发明内容
本发明实施例所要解决的技术问题在于,提供一种网络配置方法、相关装 置及系统, 简化了网络配置流程, 并提高了配置的安全性, 大大提高了用户的 配置体验。
第一方面, 本发明实施例提供了一种网络配置方法, 包括:
通过带外方式获取第二设备公钥运算值,所述第二设备公钥运算值为将所 述第二设备用于执行密钥交换的公钥进行预设算法的运算而得到的结果;
根据第一设备用于执行密钥交换的公钥生成第一设备公钥信息,将所述第 一设备公钥信息发送给所述第二设备,以使所述第二设备根据所述第一设备公 钥信息获取第一设备的公钥;
获取所述第二设备发送的用于执行密钥交换的第二设备公钥副本; 对所述第二设备公钥副本进行所述预设算法的运算,得到第二设备公钥运 算值副本; 当所述第二设备公钥运算值副本与所述第二设备公钥运算值匹配 后,根据第一设备用于执行密钥交换的私钥和获取的第二设备公钥副本生成第 一交换密钥, 以用于处理第一设备和第二设备之间的配置信息。
结合第一方面,在第一种可能的实现方式中, 所述根据第一设备用于执行 密钥交换的公钥生成第一设备公钥信息之前还包括:
通过带外方式获取第二设备密钥信息。
结合第一方面的第一种可能的实现方式,在第二种可能的实现方式中, 所 述根据第一设备用于执行密钥交换的公钥生成第一设备公钥信息包括:
利用所述第二设备密钥信息作为对称加密密钥,对所述第一设备用于执行 密钥交换的公钥进行对称加密运算, 生成第一设备公钥信息。 结合第一方面, 或者第一方面的第一种可能的实现方式,在第三种可能的 实现方式中,所述根据第一设备用于执行密钥交换的公钥生成第一设备公钥信 息包括:
利用所述第二设备公钥运算值作为对称加密密钥 ,对所述第一设备用于执 行密钥交换的公钥进行对称加密运算, 生成第一设备公钥信息。
结合第一方面的第三种可能的实现方式,在第四种可能的实现方式中, 所 述获取所述第二设备发送的用于执行密钥交换的第二设备公钥副本包括: 接收所述第二设备发送的第二设备公钥信息,所述第二设备公钥信息为所 述第二设备利用第一设备公钥运算值作为对称加密密钥对第二设备的公钥进 行对称加密运算而得到的信息;利用第一设备的第一设备公钥运算值副本解密 所述第二设备公钥信息,得到第二设备公钥副本; 所述第一设备公钥运算值为 所述第二设备将获得的第一设备的公钥进行预设算法的运算而得到的结果;所 述第一设备公钥运算值副本为将自身的公钥进行预设算法的运算而得到的结 果; 或者
接收所述第二设备发送的第二设备公钥信息;当第一设备通过带外方式获 取了第二设备密钥信息时,所述第二设备公钥信息为所述第二设备利用自身的 第二设备密钥信息作为对称加密密钥对第二设备的公钥进行对称加密运算而 得到的信息;利用第一设备获取的第二设备密钥信息解密所述第二设备公钥信 息, 得到第二设备公钥副本。
结合第一方面, 或者第一方面的第一种可能的实现方式, 或者第一方面的 第二种可能的实现方式, 或者第一方面的第三种可能的实现方式, 或者第一方 面的第四种可能的实现方式,在第五种可能的实现方式中, 所述根据第一设备 用于执行密钥交换的私钥和获取的第二设备公钥副本生成第一交换密钥,以用 于处理第一设备和第二设备之间的配置信息包括:
将所述第二设备公钥副本与第一设备用于执行密钥交换的私钥进行运算 得到第一交换密钥;
以所述第一交换密钥为加密密钥, 加密配置信息后发送给所述第二设备。 结合第一方面, 或者第一方面的第一种可能的实现方式, 或者第一方面的 第二种可能的实现方式, 或者第一方面的第三种可能的实现方式, 或者第一方 面的第四种可能的实现方式,在第六种可能的实现方式中, 所述根据第一设备 用于执行密钥交换的私钥和获取的第二设备公钥副本生成第一交换密钥,以用 于处理第一设备和第二设备之间的配置信息包括:
接收所述第二设备发送的配置信息;所述第二设备发送的配置信息为利用 第二交换密钥作为加密密钥加密的配置信息;所述第二交换密钥为所述第二设 备将得到的第一设备的公钥与自身第二设备的私钥进行运算得到的结果; 将所述第二设备公钥副本与第一设备用于执行密钥交换的私钥进行运算 得到第一交换密钥;
以所述第一交换密钥解密接收到的所述配置信息。
结合第一方面, 或者第一方面的第一种可能的实现方式, 或者第一方面的 第二种可能的实现方式, 或者第一方面的第三种可能的实现方式, 或者第一方 面的第四种可能的实现方式,在第七种可能的实现方式中, 所述根据第一设备 用于执行密钥交换的私钥和获取的第二设备公钥副本生成第一交换密钥,以用 于处理第一设备和第二设备之间的配置信息包括:
将所述第二设备公钥副本与第一设备用于执行密钥交换的私钥进行运算 得到第一交换密钥;
以所述第一交换密钥为加密密钥,加密第三设备公钥运算值; 所述第三设 备公钥运算值为将所述第三设备用于执行密钥交换的公钥进行预设算法的运 算而得到的结果;
将加密后的第三设备公钥运算值发送给所述第二设备;以使所述第二设备 能安全获取所述第三设备公钥运算值,并利用所述第三设备公钥运算值与所述 第三设备进行密钥交换, 并完成最终的配置过程。
结合第一方面, 或者第一方面的第一种可能的实现方式, 或者第一方面的 第二种可能的实现方式, 或者第一方面的第三种可能的实现方式, 或者第一方 面的第四种可能的实现方式,在第八种可能的实现方式中, 所述根据第一设备 用于执行密钥交换的私钥和获取的第二设备公钥副本生成第一交换密钥,以用 于处理第一设备和第二设备之间的配置信息包括:
将所述第二设备公钥副本与第一设备用于执行密钥交换的私钥进行运算 得到第一交换密钥; 基于所述第一交换密钥生成用于保护第一设备与第二设备之间业务数据 传输的会话密钥。
结合第一方面, 或者第一方面的第一种可能的实现方式, 或者第一方面的 第二种可能的实现方式, 或者第一方面的第三种可能的实现方式, 或者第一方 面的第四种可能的实现方式,在第九种可能的实现方式中, 所述根据第一设备 用于执行密钥交换的私钥和获取的第二设备公钥副本生成第一交换密钥,以用 于处理第一设备和第二设备之间的配置信息包括:
将所述第二设备公钥副本与第一设备用于执行密钥交换的私钥进行运算 得到第一交换密钥;
基于所述第一交换密钥生成进行四步握手过程时的主密钥。
结合第一方面的第五种可能的实现方式,在第十种可能的实现方式中, 所 述方法还包括:
以第一交换密钥或第一交换密钥的衍生密钥作为哈希消息认证码运算的 输入密钥,对加密后的配置信息进行哈希消息认证运算, 并向第二设备发送进 行哈希消息认证运算后的信息。
结合第一方面的第六种可能的实现方式, 在第十一种可能的实现方式中, 所述以所述第一交换密钥解密接收到的所述配置信息后还包括:
生成配置确认信息,并以第一交换密钥或第一交换密钥的衍生密钥作为哈 希消息认证码运算的输入密钥, 对所述配置确认信息进行哈希消息认证运算, 并向第二设备发送进行哈希消息认证运算后的信息。
结合第一方面的第七种可能的实现方式, 在第十二种可能的实现方式中, 所述方法还包括:
以第一交换密钥或第一交换密钥的衍生密钥作为哈希消息认证码运算的 输入密钥,对加密后的第三设备公钥运算值进行哈希消息认证运算, 并向第二 设备发送进行哈希消息认证运算后的信息。
第二方面, 本发明实施例提供了一种网络配置方法, 包括:
将第二设备用于执行密钥交换的公钥进行预设算法的运算得到第二设备 公钥运算值, 以供第一设备通过带外方式获取;
接收所述第一设备发送的第一设备公钥信息,并根据所述第一设备公钥信 息获取第一设备的公钥;所述第一设备公钥信息为所述第一设备根据用于执行 密钥交换的公钥生成的信息;
向所述第一设备发送第二设备公钥信息;以使所述第一设备根据所述第二 设备公钥信息获取第二设备用于执行密钥交换的第二设备公钥副本;
根据第二设备用于执行密钥交换的私钥和获取的第一设备公钥生成第二 交换密钥, 以用于处理第一设备和第二设备之间的配置信息。
结合第二方面,在第一种可能的实现方式中, 所述接收所述第一设备发送 的第一设备公钥信息之前还包括:
生成第二设备密钥信息, 以供第一设备通过带外方式获取。
结合第二方面的第一种可能的实现方式,在第二种可能的实现方式中,接 收的所述第一设备公钥信息为所述第一设备利用所述第二设备密钥信息作为 对称加密密钥对所述第一设备用于执行密钥交换的公钥进行对称加密运算而 得到的信息;
所述根据所述第一设备公钥信息获取第一设备的公钥包括:
利用第二设备的第二设备密钥信息解密所述第一设备公钥信息,得到第一 设备的公钥。
结合第二方面, 或者第二方面的第一种可能的实现方式,在第三种可能的 实现方式中 ,接收的所述第一设备公钥信息为所述第一设备利用所述第二设备 公钥运算值作为对称加密密钥对所述第一设备用于执行密钥交换的公钥进行 对称加密运算而得到的信息;
所述根据所述第一设备公钥信息获取第一设备的公钥包括:
利用第二设备的第二设备公钥运算值解密所述第一设备公钥信息,得到第 一设备的公钥。
结合第二方面的第三种可能的实现方式,在第四种可能的实现方式中, 所 述第二设备公钥信息为所述第二设备利用第一设备公钥运算值作为对称加密 密钥对第二设备的公钥进行对称加密运算而得到的信息;所述第一设备公钥运 算值为所述第二设备将获得的第一设备的公钥进行预设算法的运算而得到的 结果; 或者
当第一设备通过带外方式获取了第二设备密钥信息时,所述第二设备公钥 信息为所述第二设备利用自身的第二设备密钥信息作为对称加密密钥对第二 设备的公钥进行对称加密运算而得到的信息。
结合第二方面, 或者第二方面的第一种可能的实现方式, 或者第二方面的 第二种可能的实现方式, 或者第二方面的第三种可能的实现方式, 或者第二方 面的第四种可能的实现方式,在第五种可能的实现方式中, 所述根据第二设备 用于执行密钥交换的私钥和获取的第一设备公钥生成第二交换密钥,以用于处 理第一设备和第二设备之间的配置信息包括:
接收所述第一设备发送的配置信息;所述配置信息为第一设备以第一交换 密钥为加密密钥进行加密后的配置信息,所述第一交换密钥为所述第一设备以 所述第二设备公钥副本与第一设备的私钥进行运算而得到的结果;将第二设备 用于执行密钥交换的私钥和获取的第一设备公钥进行运算得到第二交换密钥, 以所述第二交换密钥解密接收到的所述配置信息; 或者
将第二设备用于执行密钥交换的私钥和获取的第一设备公钥进行运算得 到第二交换密钥; 以所述第二交换密钥为加密密钥,加密配置信息后发送给所 述第一设备。
结合第二方面, 或者第二方面的第一种可能的实现方式, 或者第二方面的 第二种可能的实现方式, 或者第二方面的第三种可能的实现方式, 或者第二方 面的第四种可能的实现方式,在第六种可能的实现方式中, 所述根据第二设备 用于执行密钥交换的私钥和获取的第一设备公钥生成第二交换密钥,以用于处 理第一设备和第二设备之间的配置信息包括:
接收所述第一设备发送的加密后的第三设备公钥运算值;将第二设备用于 执行密钥交换的私钥和获取的第一设备公钥进行运算得到第二交换密钥,以所 述第二交换密钥解密所述第三设备公钥运算值,并利用所述第三设备公钥运算 值与所述第三设备进行密钥交换, 并完成最终的配置过程;
所述加密后的第三设备公钥运算值为所述第一设备以所述第一交换密钥 为加密密钥对第三设备公钥运算值进行加密而得到的结果;所述第一交换密钥 为所述第一设备以所述第二设备公钥副本与第一设备的私钥进行运算而得到 的结果;所述第三设备公钥运算值为将所述第三设备用于执行密钥交换的公钥 进行预设算法的运算而得到的结果。 结合第二方面的第五种可能的实现方式,在第七种可能的实现方式中, 所 述方法还包括:
接收第一设备发送的经过哈希消息认证运算后的信息,以第二交换密钥或 第二交换密钥的衍生密钥作为哈希消息认证码运算的解密密钥,对接收到的所 述经过哈希消息认证运算后的信息进行解密验证。
第三方面, 本发明实施例提供了一种网络配置装置, 包括:
第一获取模块, 用于通过带外方式获取第二设备公钥运算值, 所述第二设 备公钥运算值为将所述第二设备用于执行密钥交换的公钥进行预设算法的运 算而得到的结果;
第一设备公钥信息生成模块,用于根据第一设备用于执行密钥交换的公钥 生成第一设备公钥信息;
第一发送模块, 用于将所述第一设备公钥信息发送给所述第二设备, 以使 所述第二设备根据所述第一设备公钥信息获取第一设备的公钥;
第二设备公钥副本获取模块,用于获取所述第二设备发送的用于执行密钥 交换的第二设备公钥副本;
第一配置模块, 用于对所述第二设备公钥副本进行所述预设算法的运算, 得到第二设备公钥运算值副本;当所述第二设备公钥运算值副本与所述第二设 备公钥运算值匹配后,根据第一设备用于执行密钥交换的私钥和获取的第二设 备公钥副本生成第一交换密钥 ,以用于处理第一设备和第二设备之间的配置信 息。
结合第三方面, 在第一种可能的实现方式中, 所述装置还包括: 第二获取模块, 用于通过带外方式获取第二设备密钥信息。
结合第三方面的第一种可能的实现方式,在第二种可能的实现方式中, 所 述第一设备公钥信息生成模块包括:
第一加密单元, 用于利用所述第二设备密钥信息作为对称加密密钥,对所 述第一设备用于执行密钥交换的公钥进行对称加密运算,生成第一设备公钥信 结合第三方面, 或者第三方面的第一种可能的实现方式,在第三种可能的 实现方式中, 所述第一设备公钥信息生成模块包括: 第二加密单元, 用于利用所述第二设备公钥运算值作为对称加密密钥,对 所述第一设备用于执行密钥交换的公钥进行对称加密运算,生成第一设备公钥 信息。
结合第三方面的第三种可能的实现方式,在第四种可能的实现方式中, 所 述第二设备公钥副本获取模块包括:
第一接收单元和第一解密得到单元,其中, 所述第一接收单元用于接收所 述第二设备发送的第二设备公钥信息,所述第二设备公钥信息为所述第二设备 利用第一设备公钥运算值作为对称加密密钥对第二设备的公钥进行对称加密 运算而得到的信息;所述第一解密得到单元用于利用第一设备的第一设备公钥 运算值副本解密所述第二设备公钥信息,得到第二设备公钥副本; 所述第一设 备公钥运算值为所述第二设备将获得的第一设备的公钥进行预设算法的运算 而得到的结果;所述第一设备公钥运算值副本为将自身的公钥进行预设算法的 运算而得到的结果; 和 /或
第二接收单元和第二解密得到单元,其中, 所述第二接收单元用于接收所 述第二设备发送的第二设备公钥信息;当第一设备通过带外方式获取了第二设 备密钥信息时,所述第二设备公钥信息为所述第二设备利用自身的第二设备密 钥信息作为对称加密密钥对第二设备的公钥进行对称加密运算而得到的信息; 所述第二解密得到单元用于利用第一设备获取的第二设备密钥信息解密所述 第二设备公钥信息, 得到第二设备公钥副本。
结合第三方面, 或者第三方面的第一种可能的实现方式, 或者第三方面的 第二种可能的实现方式, 或者第三方面的第三种可能的实现方式, 或者第三方 面的第四种可能的实现方式,在第五种可能的实现方式中, 所述第一配置模块 包括:
第一运算单元,用于将所述第二设备公钥副本与第一设备用于执行密钥交 换的私钥进行运算得到第一交换密钥;
配置信息加密单元, 用于以所述第一交换密钥为加密密钥,加密配置信息 后发送给所述第二设备。
结合第三方面, 或者第三方面的第一种可能的实现方式, 或者第三方面的 第二种可能的实现方式, 或者第三方面的第三种可能的实现方式, 或者第三方 面的第四种可能的实现方式,在第六种可能的实现方式中, 所述第一配置模块 包括:
配置信息接收单元, 用于接收所述第二设备发送的配置信息; 所述第二设 备发送的配置信息为利用第二交换密钥作为加密密钥加密的配置信息;所述第 二交换密钥为所述第二设备将得到的第一设备的公钥与自身第二设备的私钥 进行运算得到的结果;
第二运算单元,用于将所述第二设备公钥副本与第一设备用于执行密钥交 换的私钥进行运算得到第一交换密钥;
解密单元, 用于以所述第一交换密钥解密接收到的所述配置信息。
结合第三方面, 或者第三方面的第一种可能的实现方式, 或者第三方面的 第二种可能的实现方式, 或者第三方面的第三种可能的实现方式, 或者第三方 面的第四种可能的实现方式,在第七种可能的实现方式中, 所述第一配置模块 包括:
第三运算单元,将所述第二设备公钥副本与第一设备用于执行密钥交换的 私钥进行运算得到第一交换密钥;
公钥运算值加密单元, 用于以所述第一交换密钥为加密密钥,加密第三设 备公钥运算值;所述第三设备公钥运算值为将所述第三设备用于执行密钥交换 的公钥进行预设算法的运算而得到的结果;
发送单元, 用于将加密后的第三设备公钥运算值发送给所述第二设备; 以 使所述第二设备能安全获取所述第三设备公钥运算值,并利用所述第三设备公 钥运算值与所述第三设备进行密钥交换, 并完成最终的配置过程。
结合第三方面, 或者第三方面的第一种可能的实现方式, 或者第三方面的 第二种可能的实现方式, 或者第三方面的第三种可能的实现方式, 或者第三方 面的第四种可能的实现方式,在第八种可能的实现方式中, 所述第一配置模块 包括:
第四运算单元,用于将所述第二设备公钥副本与第一设备用于执行密钥交 换的私钥进行运算得到第一交换密钥;
会话密钥生成单元,用于基于所述第一交换密钥生成用于保护第一设备与 第二设备之间业务数据传输的会话密钥。 结合第三方面, 或者第三方面的第一种可能的实现方式, 或者第三方面的 第二种可能的实现方式, 或者第三方面的第三种可能的实现方式, 或者第三方 面的第四种可能的实现方式,在第九种可能的实现方式中, 所述第一配置模块 包括:
第五运算单元,用于将所述第二设备公钥副本与第一设备用于执行密钥交 换的私钥进行运算得到第一交换密钥;
主密钥生成单元,用于基于所述第一交换密钥生成进行四步握手过程时的 主密钥。
结合第三方面的第五种可能的实现方式,在第十种可能的实现方式中, 所 述装置还包括:
第一哈希运算模块,用于以第一交换密钥或第一交换密钥的衍生密钥作为 哈希消息认证码运算的输入密钥, 对加密后的配置信息进行哈希消息认证运 算, 并向第二设备发送进行哈希消息认证运算后的信息。
结合第三方面的第六种可能的实现方式, 在第十一种可能的实现方式中, 所述装置还包括:
第二哈希运算模块, 用于当所述解密单元解密接收到的所述配置信息后, 生成配置确认信息,并以第一交换密钥或第一交换密钥的衍生密钥作为哈希消 息认证码运算的输入密钥,对所述配置确认信息进行哈希消息认证运算, 并向 第二设备发送进行哈希消息认证运算后的信息。
结合第三方面的第七种可能的实现方式, 在第十二种可能的实现方式中, 所述装置还包括:
第三哈希运算模块,用于以第一交换密钥或第一交换密钥的衍生密钥作为 哈希消息认证码运算的输入密钥,对加密后的第三设备公钥运算值进行哈希消 息认证运算, 并向第二设备发送进行哈希消息认证运算后的信息。
第四方面, 本发明实施例提供了一种网络配置装置, 包括:
第二设备公钥运算值生成模块,用于将第二设备用于执行密钥交换的公钥 进行预设算法的运算得到第二设备公钥运算值,以供第一设备通过带外方式获 取;
接收获取模块, 用于接收所述第一设备发送的第一设备公钥信息, 并根据 所述第一设备公钥信息获取第一设备的公钥;所述第一设备公钥信息为所述第 一设备根据用于执行密钥交换的公钥生成的信息;
第二设备公钥信息发送模块, 用于向所述第一设备发送第二设备公钥信 息;以使所述第一设备根据所述第二设备公钥信息获取第二设备用于执行密钥 交换的第二设备公钥副本;
第二配置模块,用于根据第二设备用于执行密钥交换的私钥和获取的第一 设备公钥生成第二交换密钥, 以用于处理第一设备和第二设备之间的配置信 结合第四方面, 在第一种可能的实现方式中, 所述网络配置设备还包括: 随机密钥生成模块, 用于生成第二设备密钥信息, 以供第一设备通过带外 方式获取。
结合第四方面的第一种可能的实现方式,在第二种可能的实现方式中, 所 述接收获取模块接收的所述第一设备公钥信息为所述第一设备利用所述第二 设备密钥信息作为对称加密密钥对所述第一设备用于执行密钥交换的公钥进 行对称加密运算而得到的信息;
所述接收获取模块包括:
第一解密单元,用于利用第二设备的第二设备密钥信息解密所述第一设备 公钥信息, 得到第一设备的公钥。
结合第四方面, 或者第四方面的第一种可能的实现方式,在第三种可能的 实现方式中,所述接收获取模块接收的所述第一设备公钥信息为所述第一设备 利用所述第二设备公钥运算值作为对称加密密钥对所述第一设备用于执行密 钥交换的公钥进行对称加密运算而得到的信息;
所述接收获取模块包括:
第二解密单元,用于利用第二设备的第二设备公钥运算值解密所述第一设 备公钥信息, 得到第一设备的公钥。
结合第四方面的第三种可能的实现方式,在第四种可能的实现方式中, 所 述网络配置设备还包括:
公钥信息第一生成模块,用于利用第一设备公钥运算值作为对称加密密钥 对第二设备的公钥进行对称加密运算而得到第二设备公钥信息;所述第一设备 公钥运算值为所述第二设备将获得的第一设备的公钥进行预设算法的运算而 得到的结果; 或者
公钥信息第二生成模块,用于当第一设备通过带外方式获取了第二设备密 钥信息时,利用自身的第二设备密钥信息对第二设备的公钥进行对称加密而得 到第二设备公钥信息。
结合第四方面, 或者第四方面的第一种可能的实现方式, 或者第四方面的 第二种可能的实现方式, 或者第四方面的第三种可能的实现方式, 或者第四方 面的第四种可能的实现方式,在第五种可能的实现方式中, 所述第二配置模块 还包括:
配置信息接收解密单元, 用于接收所述第一设备发送的配置信息; 所述配 置信息为第一设备以第一交换密钥为加密密钥进行加密后的配置信息,所述第 一交换密钥为所述第一设备以所述第二设备公钥副本与第一设备的私钥进行 运算而得到的结果;将第二设备用于执行密钥交换的私钥和获取的第一设备公 钥进行运算得到第二交换密钥 ,以所述第二交换密钥解密接收到的所述配置信 息; 和 /或
配置信息发送单元,用于将所述第一设备的公钥与第二设备用于执行密钥 交换的私钥进行运算得到第二交换密钥; 以所述第二交换密钥为加密密钥,加 密配置信息后发送给所述第一设备。
结合第四方面, 或者第四方面的第一种可能的实现方式, 或者第四方面的 第二种可能的实现方式, 或者第四方面的第三种可能的实现方式, 或者第四方 面的第四种可能的实现方式,在第六种可能的实现方式中, 所述第二配置模块 包括:
第三设备公钥运算值接收解密单元,用于接收所述第一设备发送的加密后 的第三设备公钥运算值,将第二设备用于执行密钥交换的私钥和获取的第一设 备公钥进行运算得到第二交换密钥,以所述第二交换密钥解密所述第三设备公 钥运算值;所述加密后的第三设备公钥运算值为所述第一设备以所述第一交换 密钥为加密密钥对第三设备公钥运算值进行加密而得到的结果;所述第一交换 密钥为所述第一设备以所述第二设备公钥副本与第一设备的私钥进行运算而 得到的结果;所述第三设备公钥运算值为将所述第三设备用于执行密钥交换的 公钥进行预设算法的运算而得到的结果;
配置子单元,用于利用所述第三设备公钥运算值与所述第三设备进行密钥 交换, 并完成最终的配置过程。
结合第四方面的第五种可能的实现方式,在第七种可能的实现方式中, 所 述网络配置设备还包括:
哈希运算验证模块,用于接收第一设备发送的经过哈希消息认证运算后的 信息,以第二交换密钥或第二交换密钥的衍生密钥作为哈希消息认证码运算的 解密密钥, 对接收到的所述经过哈希消息认证运算后的信息进行解密验证。
第五方面, 本发明实施例提供了一种网络设备, 包括: 输入装置、 输出装 置、 存储器和处理器;
其中, 所述存储器用于存储程序代码, 所述处理器用于调用所述存储器存 储的程序代码执行如下步骤:
由所述输入装置通过带外方式获取第二设备公钥运算值,所述第二设备公 钥运算值为将所述第二设备用于执行密钥交换的公钥进行预设算法的运算而 得到的结果; 根据第一设备用于执行密钥交换的公钥生成第一设备公钥信息, 通过所述输出装置将所述第一设备公钥信息发送给所述第二设备,以使所述第 二设备根据所述第一设备公钥信息获取第一设备的公钥;通过所述输入装置获 取所述第二设备发送的用于执行密钥交换的第二设备公钥副本;对所述第二设 备公钥副本进行所述预设算法的运算,得到第二设备公钥运算值副本; 当所述 第二设备公钥运算值副本与所述第二设备公钥运算值匹配后,根据第一设备用 于执行密钥交换的私钥和获取的第二设备公钥副本生成第一交换密钥,以用于 处理第一设备和第二设备之间的配置信息。
结合第五方面,在第一种可能的实现方式中, 所述处理器根据第一设备用 于执行密钥交换的公钥生成第一设备公钥信息之前还执行:
由所述输入装置通过带外方式获取第二设备密钥信息。
结合第五方面的第一种可能的实现方式,在第二种可能的实现方式中, 所 述处理器根据第一设备用于执行密钥交换的公钥生成第一设备公钥信息包括: 利用所述第二设备密钥信息作为对称加密密钥,对所述第一设备用于执行 密钥交换的公钥进行对称加密运算, 生成第一设备公钥信息。 结合第五方面, 或者第五方面的第一种可能的实现方式,在第三种可能的 实现方式中,所述处理器根据第一设备用于执行密钥交换的公钥生成第一设备 公钥信息包括:
利用所述第二设备公钥运算值作为对称加密密钥 ,对所述第一设备用于执 行密钥交换的公钥进行对称加密运算, 生成第一设备公钥信息。
结合第五方面的第三种可能的实现方式,在第四种可能的实现方式中, 所 述处理器通过所述输入装置获取所述第二设备发送的用于执行密钥交换的第 二设备公钥副本包括:
通过所述输入装置接收所述第二设备发送的第二设备公钥信息,所述第二 设备公钥信息为所述第二设备利用第一设备公钥运算值作为对称加密密钥对 第二设备的公钥进行对称加密运算而得到的信息;利用第一设备的第一设备公 钥运算值副本解密所述第二设备公钥信息,得到第二设备公钥副本; 所述第一 设备公钥运算值为所述第二设备将获得的第一设备的公钥进行预设算法的运 算而得到的结果;所述第一设备公钥运算值副本为将自身的公钥进行预设算法 的运算而得到的结果; 或者
通过所述输入装置接收所述第二设备发送的第二设备公钥信息;当第一设 备通过带外方式获取了第二设备密钥信息时,所述第二设备公钥信息为所述第 二设备利用自身的第二设备密钥信息作为对称加密密钥对第二设备的公钥进 行对称加密运算而得到的信息;利用第一设备获取的第二设备密钥信息解密所 述第二设备公钥信息, 得到第二设备公钥副本。
结合第五方面, 或者第五方面的第一种可能的实现方式, 或者第五方面的 第二种可能的实现方式, 或者第五方面的第三种可能的实现方式, 或者第五方 面的第四种可能的实现方式,在第五种可能的实现方式中, 所述处理器根据第 一设备用于执行密钥交换的私钥和获取的第二设备公钥副本生成第一交换密 钥, 以用于处理第一设备和第二设备之间的配置信息包括:
将所述第二设备公钥副本与第一设备用于执行密钥交换的私钥进行运算 得到第一交换密钥; 以所述第一交换密钥为加密密钥,加密配置信息后发送给 所述第二设备。
结合第五方面, 或者第五方面的第一种可能的实现方式, 或者第五方面的 第二种可能的实现方式, 或者第五方面的第三种可能的实现方式, 或者第五方 面的第四种可能的实现方式,在第六种可能的实现方式中, 所述处理器根据第 一设备用于执行密钥交换的私钥和获取的第二设备公钥副本生成第一交换密 钥, 以用于处理第一设备和第二设备之间的配置信息包括:
通过所述输入装置接收所述第二设备发送的配置信息;所述第二设备发送 的配置信息为利用第二交换密钥作为加密密钥加密的配置信息;所述第二交换 密钥为所述第二设备将得到的第一设备的公钥与自身第二设备的私钥进行运 算得到的结果;将所述第二设备公钥副本与第一设备用于执行密钥交换的私钥 进行运算得到第一交换密钥; 以所述第一交换密钥解密接收到的所述配置信 结合第五方面, 或者第五方面的第一种可能的实现方式, 或者第五方面的 第二种可能的实现方式, 或者第五方面的第三种可能的实现方式, 或者第五方 面的第四种可能的实现方式,在第七种可能的实现方式中, 所述处理器根据第 一设备用于执行密钥交换的私钥和获取的第二设备公钥副本生成第一交换密 钥, 以用于处理第一设备和第二设备之间的配置信息包括:
将所述第二设备公钥副本与第一设备用于执行密钥交换的私钥进行运算 得到第一交换密钥; 以所述第一交换密钥为加密密钥,加密第三设备公钥运算 值;所述第三设备公钥运算值为将所述第三设备用于执行密钥交换的公钥进行 预设算法的运算而得到的结果;将加密后的第三设备公钥运算值发送给所述第 二设备; 以使所述第二设备能安全获取所述第三设备公钥运算值, 并利用所述 第三设备公钥运算值与所述第三设备进行密钥交换, 并完成最终的配置过程。
结合第五方面, 或者第五方面的第一种可能的实现方式, 或者第五方面的 第二种可能的实现方式, 或者第五方面的第三种可能的实现方式, 或者第五方 面的第四种可能的实现方式,在第八种可能的实现方式中, 所述处理器根据第 一设备用于执行密钥交换的私钥和获取的第二设备公钥副本生成第一交换密 钥, 以用于处理第一设备和第二设备之间的配置信息包括:
将所述第二设备公钥副本与第一设备用于执行密钥交换的私钥进行运算 得到第一交换密钥;基于所述第一交换密钥生成用于保护第一设备与第二设备 之间业务数据传输的会话密钥。 结合第五方面, 或者第五方面的第一种可能的实现方式, 或者第五方面的 第二种可能的实现方式, 或者第五方面的第三种可能的实现方式, 或者第五方 面的第四种可能的实现方式,在第九种可能的实现方式中, 所述处理器根据第 一设备用于执行密钥交换的私钥和获取的第二设备公钥副本生成第一交换密 钥, 以用于处理第一设备和第二设备之间的配置信息包括:
将所述第二设备公钥副本与第一设备用于执行密钥交换的私钥进行运算 得到第一交换密钥; 基于所述第一交换密钥生成进行四步握手过程时的主密 钥。
结合第五方面的第五种可能的实现方式,在第十种可能的实现方式中, 所 述处理器以所述第一交换密钥解密接收到的所述配置信息后还执行:
以第一交换密钥或第一交换密钥的衍生密钥作为哈希消息认证码运算的 输入密钥,对加密后的配置信息进行哈希消息认证运算,通过所述输出装置并 向第二设备发送进行哈希消息认证运算后的信息。
结合第五方面的第六种可能的实现方式, 在第十一种可能的实现方式中, 所述处理器还执行:
生成配置确认信息,并以第一交换密钥或第一交换密钥的衍生密钥作为哈 希消息认证码运算的输入密钥, 对所述配置确认信息进行哈希消息认证运算, 通过所述输出装置并向第二设备发送进行哈希消息认证运算后的信息。
结合第五方面的第七种可能的实现方式, 在第十二种可能的实现方式中, 所述处理器还执行:
以第一交换密钥或第一交换密钥的衍生密钥作为哈希消息认证码运算的 输入密钥,对加密后的第三设备公钥运算值进行哈希消息认证运算, 并通过所 述输出装置向第二设备发送进行哈希消息认证运算后的信息。
第六方面, 本发明实施例提供了一种网络设备, 包括: 输入装置、 输出装 置、 存储器和处理器;
其中, 所述存储器用于存储程序代码, 所述处理器用于调用所述存储器存 储的程序代码执行如下步骤:
将第二设备用于执行密钥交换的公钥进行预设算法的运算得到第二设备 公钥运算值, 以供第一设备通过带外方式获取; 通过所述输入装置接收所述第 一设备发送的第一设备公钥信息,并根据所述第一设备公钥信息获取第一设备 的公钥;所述第一设备公钥信息为所述第一设备根据用于执行密钥交换的公钥 生成的信息; 通过所述输出装置向所述第一设备发送第二设备公钥信息; 以使 所述第一设备根据所述第二设备公钥信息获取第二设备用于执行密钥交换的 第二设备公钥副本;根据第二设备用于执行密钥交换的私钥和获取的第一设备 公钥生成第二交换密钥, 以用于处理第一设备和第二设备之间的配置信息。
结合第六方面,在第一种可能的实现方式中, 所述处理器通过所述输入装 置接收所述第一设备发送的第一设备公钥信息之前还包括:
生成第二设备密钥信息, 以供第一设备通过带外方式获取。
结合第六方面的第一种可能的实现方式,在第二种可能的实现方式中, 所 述处理器通过所述输入装置接收的所述第一设备公钥信息为所述第一设备利 用所述第二设备密钥信息作为对称加密密钥对所述第一设备用于执行密钥交 换的公钥进行对称加密运算而得到的信息;
所述处理器根据所述第一设备公钥信息获取第一设备的公钥包括:利用第 二设备的第二设备密钥信息解密所述第一设备公钥信息, 得到第一设备的公 钥。
结合第六方面, 或者第六方面的第一种可能的实现方式,在第三种可能的 实现方式中,通过所述输入装置接收的所述第一设备公钥信息为所述第一设备 利用所述第二设备公钥运算值作为对称加密密钥对所述第一设备用于执行密 钥交换的公钥进行对称加密运算而得到的信息;
所述处理器根据所述第一设备公钥信息获取第一设备的公钥包括: 利用第二设备的第二设备公钥运算值解密所述第一设备公钥信息,得到第 一设备的公钥。
结合第六方面的第三种可能的实现方式,在第四种可能的实现方式中, 所 述第二设备公钥信息为所述处理器利用第一设备公钥运算值对第二设备的公 钥进行对称加密而得到的信息;所述第一设备公钥运算值为所述处理器将获得 的第一设备的公钥进行预设算法的运算而得到的结果; 或者
当第一设备通过带外方式获取了第二设备密钥信息时,所述第二设备公钥 信息为所述处理器利用自身的第二设备密钥信息对第二设备的公钥进行对称 加密而得到的信息。
结合第六方面, 或者第六方面的第一种可能的实现方式, 或者第六方面的 第二种可能的实现方式, 或者第六方面的第三种可能的实现方式, 或者第六方 面的第四种可能的实现方式,在第五种可能的实现方式中, 所述处理器根据第 二设备用于执行密钥交换的私钥和获取的第一设备公钥生成第二交换密钥,以 用于处理第一设备和第二设备之间的配置信息包括:
通过所述输入装置接收所述第一设备发送的配置信息;所述配置信息为第 一设备以第一交换密钥为加密密钥进行加密后的配置信息,所述第一交换密钥 为所述第一设备以所述第二设备公钥副本与第一设备的私钥进行运算而得到 的结果;将第二设备用于执行密钥交换的私钥和获取的第一设备公钥进行运算 得到第二交换密钥, 以所述第二交换密钥解密接收到的所述配置信息; 或者 将第二设备用于执行密钥交换的私钥和获取的第一设备公钥进行运算得 到第二交换密钥; 以所述第二交换密钥为加密密钥,加密配置信息后通过所述 输出装置发送给所述第一设备。
结合第六方面, 或者第六方面的第一种可能的实现方式, 或者第六方面的 第二种可能的实现方式, 或者第六方面的第三种可能的实现方式, 或者第六方 面的第四种可能的实现方式,在第六种可能的实现方式中, 所述处理器根据第 二设备用于执行密钥交换的私钥和获取的第一设备公钥生成第二交换密钥,以 用于处理第一设备和第二设备之间的配置信息包括:
通过所述输入装置接收所述第一设备发送的加密后的第三设备公钥运算 值;将第二设备用于执行密钥交换的私钥和获取的第一设备公钥进行运算得到 第二交换密钥, 以所述第二交换密钥解密所述第三设备公钥运算值, 并利用所 述第三设备公钥运算值与所述第三设备进行密钥交换, 并完成最终的配置过 程;所述加密后的第三设备公钥运算值为所述第一设备以所述第一交换密钥为 加密密钥对第三设备公钥运算值进行加密而得到的结果;所述第一交换密钥为 所述第一设备以所述第二设备公钥副本与第一设备的私钥进行运算而得到的 结果;所述第三设备公钥运算值为将所述第三设备用于执行密钥交换的公钥进 行预设算法的运算而得到的结果。
结合第六方面的第五种可能的实现方式,在第七种可能的实现方式中, 所 述处理器还执行:
通过所述输入装置接收第一设备发送的经过哈希消息认证运算后的信息, 以第二交换密钥或第二交换密钥的衍生密钥作为哈希消息认证码运算的解密 密钥,对通过所述输入装置接收到的所述经过哈希消息认证运算后的信息进行 解密验证。
第七方面, 本发明实施例提供了一种网络配置系统, 包括第一设备和第二 设备, 其中
所述第一设备为第五方面, 或者第五方面的第一种可能的实现方式, 或者 第五方面的第二种可能的实现方式, 或者第五方面的第三种可能的实现方式, 或者第五方面的第四种可能的实现方式,或者第五方面的第五种可能的实现方 式, 或者第五方面的第六种可能的实现方式, 或者第五方面的第七种可能的实 现方式, 或者第五方面的第八种可能的实现方式, 或者第五方面的第九种可能 的实现方式, 或者第五方面的第十种可能的实现方式中, 或者第五方面的第十 一种可能的实现方式中,或者第五方面的第十二种可能的实现方式中的网络设 备;
所述第二设备为第六方面, 或者第六方面的第一种可能的实现方式, 或者 第六方面的第二种可能的实现方式, 或者第六方面的第三种可能的实现方式, 或者第六方面的第四种可能的实现方式,或者第六方面的第五种可能的实现方 式, 或者第六方面的第六种可能的实现方式, 或者第六方面的第七种可能的实 现方式中的网络设备。
通过实施本发明实施例,对公钥进行运算得到公钥运算值, 以公钥运算值 作为加密密钥来加密密钥交换的公钥, 可大大提高配置过程的安全性; 在配置 过程的交互信息中用公钥运算值替代公钥, 可以减少交互信息的内容,提高配 置双方设备的带外信道利用率, 并可以通过扫描多维码的配置方式完成配置, 解决了现有技术中 PIN方式比较繁瑣且安全性不高, PBC方式安全性不足, 以及 NFC普适性较低的问题, 而且与对公钥进行多维码编码相比, 大大减少 了多维码编码内容,降低了多维码的显示、扫描以及解码的要求,并适用性高, 配置效率得到了很大的提高, 大大提升了用户的配置体验。 附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施 例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地, 下面描述 中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付 出创造性劳动的前提下, 还可以根据这些附图获得其他的附图。
图 1是本发明提供的网络配置方法的第一实施例的流程示意图; 图 2是本发明提供的网络配置方法的第二实施例的流程示意图; 图 3是本发明提供的网络配置方法的第三实施例的流程示意图; 图 4是本发明提供的网络配置方法的第四实施例的流程示意图; 图 5是本发明提供的网络配置方法的第五实施例的流程示意图; 图 6是本发明的网络配置装置的第一实施例的结构示意图;
图 7是本发明的网络配置装置的第二实施例的结构示意图;
图 8是本发明的网络配置装置的第三实施例的结构示意图;
图 9是本发明实施例的第二设备公钥副本获取模块的结构示意图; 图 10是本发明第一配置模块的第一实施例的结构示意图;
图 11是本发明第一配置模块的第二实施例的结构示意图;
图 12是本发明第一配置模块的第三实施例的结构示意图;
图 13是本发明第一配置模块的第四实施例的结构示意图;
图 14是本发明第一配置模块的第五实施例的结构示意图;
图 15是本发明的网络配置设备的第一实施例的结构示意图;
图 16是本发明的网络配置设备的第二实施例的结构示意图;
图 17是本发明的接收获取模块的第一实施例的结构示意图;
图 18是本发明的接收获取模块的第二实施例的结构示意图;
图 19是本发明的网络配置设备的第三实施例的结构示意图;
图 20是本发明的第二配置模块的第一实施例的结构示意图;
图 21是本发明的第二配置模块的第二实施例的结构示意图;
图 22是本发明的网络设备的第一实施例的结构示意图;
图 23是本发明的网络设备的第二实施例的结构示意图;
图 24是本发明实施例的网络配置系统的结构示意图。 具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清 楚、 完整地描述, 显然, 所描述的实施例仅仅是本发明一部分实施例, 而不是 全部的实施例。基于本发明中的实施例, 本领域普通技术人员在没有作出创造 性劳动前提下所获得的所有其他实施例, 都属于本发明保护的范围。
参见图 1 , 是本发明提供的网络配置方法的第一实施例的流程示意图, 该 方法包括:
步骤 S100: 通过带外方式获取第二设备公钥运算值, 所述第二设备公钥 运算值为将所述第二设备用于执行密钥交换的公钥进行预设算法的运算而得 到的结果;
具体地,第一设备与第二设备进行网络配置,例如,第一设备为智能手机, 第二终端与智能平板,通过网络配置过程后使得第一设备与第二设备拥有共享 密钥信息; 或者, 第一设备为无线接入点的配置器设备, 第二设备为要接入无 线接入点的无线终端,通过网络配置后, 第一设备向第二设备发放接入无线接 入点的信任状信息,如四步握手的主密钥等认证材料。 第二设备持有自己的公 私钥对,第二设备将自身的公钥进行预设算法的运算后可得到第二设备公钥运 算值; 该预设算法包括但不限于散列算法, 散列算法可以为安全散列算法
( Secure Hash Algorithm, SHA )-256, SHA-224,信息摘要算法第五版( Message Digest Algorithm, MD5 )等, 但不以此为限。
本发明实施例以 SHA-256为例进行说明, SHA-256输出 256bit的杂凑值, 该杂凑值可以直接作为公钥的运算值, 其运算示例如下:
公钥 PKey的运算值=SHA-256(PKey);
或者可以对该输出进行截取,如截取前 128位或后 128位作为公钥的运算 值, 其运算示例如下:
公钥 PKey的运算值= SHA-256(PKey)的前 128位
又或者, 将设备的信息也加入进去进行运算, 设备信息包括 MAC地址, 设备类型等, 运算示例如下:
公钥 PKey的运算值=811八-256 ( PKey I IM AC_address I Idevice type ) 又或者, 当设备不受 UI功能限制时, 在运算公钥的运算值之前可以通过 获得另一设备的设备信息, 将另一设备的设备信息加入运算, 设备信息包括
MAC地址, 设备类型等, 运算示例如下:
公钥 PKey的运算值=811八-256 ( PKeyll 对方的 MAC_address )
此外,设备的公钥的运算值也可以通过其他方式得到,如通过直接截取公 钥 PKey的若干位得到。 运算示例如下:
公钥 PKey的运算值= PKey的前 128位
步骤 S100中, 第一设备可以通过多种带外方式来获取第二设备公钥运算 值, 包括但不限于如下 3种获取方式:
a、 第二设备将得到的公钥运算值(可以假设该供第一设备获取的第二设 备公钥运算值为带外第二公钥运算值)编码于多维码, 第一设备以扫描等方式 获得多维码后解码得到第二设备公钥运算值。根据设备能力的不同, 多维码可 以为静态多维码, 如标签打印的多维码, 在制造出厂时被贴在设备上; 或动态 多维码,如由第二设备动态生成多维码显示于屏幕上; 多维码码制可以为任何 可以识读的一维条码、 二维条码码制, 例如通用产品代码 ( Universal Product Code, UPC ), 快速响应码( Quick Response Code, QR Code )等。 本发明并 不以此为限。 第一设备具备多维码获取和识别功能, 以获得多维码并将多维码 解码得到第二设备公钥运算值。
b、 第一设备以近距离无线通信方式获得带外第二公钥运算值。 例如, 第 一设备通过 NFC接口获得带外第二公钥运算值,具体地可以通过 NFC主动模 式或 NFC被动模式获得。 或是, 第二设备通过其他无线低功率通信, 如低功 率蓝牙或低功率 Wi-Fi等方式,将带外第二公钥运算值在报文中发送给第一设 备。
c、 第一设备通过接收人机交互界面的输入而获得带外第二公钥运算值, 如接收用户通过键盘输入的带外第二公钥运算值, 或者接收从 USB接口输入 的带外第二公钥运算值。
步骤 S102: 根据第一设备用于执行密钥交换的公钥生成第一设备公钥信 息, 将所述第一设备公钥信息发送给所述第二设备;
具体地,该第一设备公钥信息可以为对用于执行密钥交换的公钥进行加密 等处理后得到的信息, 那么第二设备得到该第一设备公钥信息后, 进行相对应 的解密等处理后得到第一设备用于执行密钥交换的公钥。
步骤 S104: 获取所述第二设备发送的用于执行密钥交换的第二设备公钥 副本;
步骤 S106: 对所述第二设备公钥副本进行所述预设算法的运算, 得到第 二设备公钥运算值副本;当所述第二设备公钥运算值副本与所述第二设备公钥 运算值匹配后,根据第一设备用于执行密钥交换的私钥和获取的第二设备公钥 副本生成第一交换密钥, 以用于处理第一设备和第二设备之间的配置信息。
具体地, 第一设备对第二设备的公钥副本进行运算的算法可参考步骤 S100 中描述的运算算法, 这里不再赘述。 第一设备将运算后的第二设备公钥 运算值副本与步骤 S100中获得的第二设备公钥运算值进行对比,若两者相等, 则表明判断匹配成功,确认了接收到的消息为第二设备发送而来的消息, 因此 可以进一步进行配置,根据第一设备用于执行密钥交换的私钥和获取的第二设 备公钥副本生成第一交换密钥 ,以用于处理第一设备和第二设备之间的配置信 进一步地, 本发明实施例中的步骤 S102之前还可以包括: 通过带外方式 获取第二设备密钥信息。 即可以在步骤 S100通过带外方式获取第二设备公钥 运算值的同时, 获取第二设备密钥信息; 具体地:
该第二设备密钥信息包括但不限于由第二设备随机生成,或者在生产过程 中配置到第二设备中, 又或者由用户配置到第二设备中, 然后由带外方式提供 给第一设备。
为了便于更好地实施本发明实施例的上述方案,下面结合图 2示出的本发 明提供的网络配置方法的第二实施例的流程示意图,以第二设备端来描述配置 过程, 该方法包括:
步骤 S200: 将第二设备用于执行密钥交换的公钥进行预设算法的运算得 到第二设备公钥运算值, 以供第一设备通过带外方式获取;
具体地, 第二设备持有自身的公私钥对, 即第二设备私钥 (假设为 Key 第二设备 )和第二设备公钥 (假设为 PKey第二设备 ); 第二设备将自身的公 钥进行的运算算法可参考图 1实施例中的步骤 S100描述的运算算法, 这里不 再赘述; 可以理解的, 本发明实施例中的第二设备公钥运算值(假设为 PKey 第二设备运算值 )还可以是通过上述算法运算得出的公钥运算衍生值 (假设为 Pkey第二设备运算衍生值), 其衍生方式包括但不限于对公钥运算后的值进行 散列、 移位、 反转等衍生运算。
步骤 S202: 接收所述第一设备发送的第一设备公钥信息, 并根据所述第 一设备公钥信息获取第一设备的公钥;所述第一设备公钥信息为所述第一设备 根据用于执行密钥交换的公钥生成的信息;
步骤 S204: 向所述第一设备发送第二设备公钥信息; 以使所述第一设备 根据所述第二设备公钥信息获取第二设备用于执行密钥交换的第二设备公钥 副本;根据第二设备用于执行密钥交换的私钥和获取的第一设备公钥生成第二 交换密钥, 以用于处理第一设备和第二设备之间的配置信息。
并对所述第二设备公钥副本进行所述预设算法的运算,得到第二设备公钥 运算值副本;当所述第二设备公钥运算值副本与所述第二设备公钥运算值匹配 后, 所述第一设备接受接收到的第二设备发送的配置信息, 或者生成配置信息 发送给所述第二设备。
具体地, 该第二设备公钥信息可以直接为第二设备的公钥, 即第一设备接 收到该第二设备公钥信息后直接得到了第二设备的公钥副本;也可以为对第二 设备的公钥经过加密等处理后的信息,那么第一设备接收到该第二设备公钥信 息后进行相应的解密等处理,得到第二设备的公钥副本, 并对所述第二设备公 钥副本进行所述预设算法的运算,得到第二设备公钥运算值副本; 当所述第二 设备公钥运算值副本与所述第二设备公钥运算值匹配后,根据第一设备用于执 行密钥交换的私钥和获取的第二设备公钥副本生成第一交换密钥,以用于处理 第一设备和第二设备之间的配置信息。 下面结合图 3 示出的本发明提供的网络配置方法的第三实施例的流程示 意图, 进一步说明本发明实施方案:
步骤 S300: 第二设备将第二设备用于执行密钥交换的公钥进行预设算法 的运算得到第二设备公钥运算值, 以供第一设备通过带外方式获取;
具体地, 第二设备持有自身的公私钥对, 即第二设备私钥 (假设为 Key 第二设备 )和第二设备公钥 (假设为 PKey第二设备 ); 第二设备将自身的公 钥进行的运算算法可参考图 1实施例中的步骤 S100描述的运算算法, 这里不 再赘述; 可以理解的, 本发明实施例中的第二设备公钥运算值(假设为 PKey 第二设备运算值 )还可以是通过上述算法运算得出的公钥运算衍生值 (假设为 Pkey第二设备运算衍生值), 其衍生方式包括但不限于对公钥运算后的值进行 散列、 移位、 反转等衍生运算。
步骤 S302: 第一设备通过带外方式获取第二设备公钥运算值和第二设备 密钥信息;
具体地, 获取方式可以为图 1实施例中步骤 S100描述的方式, 这里不再 赘述。
步骤 S304: 第一设备利用所述第二设备密钥信息作为对称加密密钥, 对 所述第一设备用于执行密钥交换的公钥进行对称加密运算,生成第一设备公钥 信息;
步骤 S306: 将第一设备公钥信息发送给所述第二设备;
步骤 S308: 第二设备利用第二设备的第二设备密钥信息解密所述第一设 备公钥信息, 得到第一设备的公钥;
步骤 S310: 向第一设备发送用于执行密钥交换的第二设备公钥副本; 步骤 S312: 第一设备把接收到的第二设备公钥副本进行所述预设算法的 运算, 得到第二设备公钥运算值副本;
可理解的, 第一设备对第二设备公钥副本进行运算的算法可以参考图 1 实施例中步骤 S100描述的运算算法, 这里不再赘述;
步骤 S314: 第一设备判断所述第二设备公钥运算值副本与所述第二设备 公钥运算值是否匹配;
具体地, 第一设备将运算后的第二设备公钥运算值副本与步骤 S302中获 得的第二设备公钥运算值进行对比, 若两者相等, 则表明判断匹配成功, 确认 了接收到的消息为第二设备发送而来的消息, 执行步骤 S316, 进一步进行配 置; 否则执行步骤 S318, 终止配置过程。
步骤 S316: 根据第一设备用于执行密钥交换的私钥和获取的第二设备公 钥副本生成第一交换密钥, 以用于处理第一设备和第二设备之间的配置信息; 步骤 S318: 终止配置过程。
下面结合图 4 示出的本发明提供的网络配置方法的第四实施例的流程示 意图, 进一步说明本发明实施方案:
步骤 S400: 第二设备将第二设备用于执行密钥交换的公钥进行预设算法 的运算得到第二设备公钥运算值, 以供第一设备通过带外方式获取;
具体地, 可以参考图 3实施例中的步骤 S300, 这里不再赘述。
步骤 S402: 第一设备通过带外方式获取第二设备公钥运算值和第二设备 密钥信息;
具体地, 获取方式可以为图 1实施例中步骤 S100描述的方式, 这里不再 赘述。
步骤 S404: 第一设备利用所述第二设备公钥运算值作为对称加密密钥, 对所述第一设备用于执行密钥交换的公钥进行对称加密运算,生成第一设备公 钥信息;
步骤 S406: 将第一设备公钥信息发送给所述第二设备;
步骤 S408: 第二设备利用第二设备的第二设备公钥运算值解密所述第一 设备公钥信息, 得到第一设备的公钥;
步骤 S410: 第二设备利用自身的第二设备密钥信息作为对称加密密钥对 用于执行密钥交换的第二设备公钥副本进行对称加密运算后得到第二设备公 钥信息, 发送给第一设备;
步骤 S412: 第一设备接收该第二设备公钥信息后, 利用步骤 S402获得的 第二设备密钥信息进行解密得到第二设备公钥副本,并将第二设备公钥副本进 行所述预设算法的运算, 得到第二设备公钥运算值副本;
可理解的, 第一设备对第二设备公钥副本进行运算的算法可以参考图 1 实施例中步骤 S100描述的运算算法, 这里不再赘述;
步骤 S414: 第一设备判断所述第二设备公钥运算值副本与所述第二设备 公钥运算值是否匹配;
具体地, 第一设备将运算后的第二设备公钥运算值副本与步骤 S402中获 得的第二设备公钥运算值进行对比, 若两者相等, 则表明判断匹配成功, 确认 了接收到的消息为第二设备发送而来的消息, 执行步骤 S416, 进一步进行配 置; 否则执行步骤 S418, 终止配置过程。
步骤 S416: 根据第二设备用于执行密钥交换的私钥和获取的第一设备公 钥生成第二交换密钥, 以用于处理第一设备和第二设备之间的配置信息;
步骤 S418: 终止配置过程。 需要说明的是, 本发明实施例可以不涉及第二设备密钥信息来实现, 具体 如图 5示出的本发明提供的网络配置方法的第五实施例的流程示意图,进一步 说明本发明实施方案:
步骤 S500: 第二设备将第二设备用于执行密钥交换的公钥进行预设算法 的运算得到第二设备公钥运算值, 以供第一设备通过带外方式获取;
步骤 S502: 第一设备通过带外方式获取第二设备公钥运算值;
具体地, 获取方式可以为图 1实施例中步骤 S100描述的方式, 这里不再 赘述。
步骤 S504: 第一设备利用所述第二设备公钥运算值作为对称加密密钥, 对所述第一设备用于执行密钥交换的公钥进行对称加密运算,生成第一设备公 钥信息;
步骤 S506: 将所述第一设备公钥信息发送给所述第二设备;
步骤 S508: 第二设备利用第二设备的第二设备公钥运算值解密所述第一 设备公钥信息, 得到第一设备的公钥;
步骤 S510: 第二设备利用第一设备公钥运算值作为对称加密密钥对第二 设备的公钥进行对称加密运算而得到第二设备公钥信息, 发送给第一设备; 具体地,第二设备将解密得到的第一设备的公钥进行运算得出第一设备公 钥运算值,其中运算的算法可以参考图 1实施例中步骤 S100描述的运算算法, 这里不再赘述;
步骤 S512: 第一设备接收该第二设备公钥信息后, 利用第一设备的第一 设备公钥运算值副本解密所述第二设备公钥信息,得到第二设备公钥副本, 并 将所述第二设备公钥副本进行预设算法的运算而得到第二设备公钥运算值副 本;
具体地,第一设备将自身的公钥进行预设算法的运算而得到第一设备公钥 运算值副本, 然后利用该第一设备公钥运算值副本解密所述第二设备公钥信 息, 得到第二设备公钥副本; 可理解的, 预设的运算算法可以参考图 1实施例 中步骤 S100描述的运算算法, 这里不再赘述;
步骤 S514: 第一设备判断所述第二设备公钥运算值副本与所述第二设备 公钥运算值是否匹配;
具体地, 第一设备将运算后的第二设备公钥运算值副本与步骤 S502中获 得的第二设备公钥运算值进行对比, 若两者相等, 则表明判断匹配成功, 确认 了接收到的消息为第二设备发送而来的消息, 执行步骤 S516, 进一步进行配 置; 否则执行步骤 S518, 终止配置过程。
步骤 S516: 根据第二设备用于执行密钥交换的私钥和获取的第一设备公 钥生成第二交换密钥, 以用于处理第一设备和第二设备之间的配置信息; 步骤 S518: 终止配置过程。 进一步地, 本发明实施例中步骤 S316、 S416和 S516中根据第二设备用 于执行密钥交换的私钥和获取的第一设备公钥生成第二交换密钥,以用于处理 第一设备和第二设备之间的配置信息的步骤, 具体可以包括: 由第一设备生成 配置信息发送给第二设备, 也可以由第二设备生成配置信息发送给第一设备。 具体地:
当第一设备生成配置信息发送给第二设备时, 可以包括: 将所述第二设备 公钥副本与第一设备用于执行密钥交换的私钥进行运算得到第一交换密钥;以 所述第一交换密钥为加密密钥, 加密配置信息后发送给所述第二设备。
可以理解的, 第一设备生成第一交换密钥可以利用 Diffie-Hellman ( DH ) 密钥交换算法进行,计算方式可以为: 第一交换密钥 =第二设备公钥副本 Λ第一 设备私钥; 但本发明实施例不限于用 DH密钥交换算法来进行运算。
再进一步地, 本发明实施例中在步骤 S316、 S416和 S516之前、 或者在 步骤 S316、 S416和 S516之后、 或者与步骤 S316、 S416和 S516同时还可以 包括:第一设备以第一交换密钥或第一交换密钥的衍生密钥作为哈希消息认证 码( Hash-based Message Authentication Code, HMAC )运算的输入密钥, 对力口 密后的配置信息进行 HMAC运算,并向第二设备发送进行 HMAC运算后的信 息; 以使第二设备接收到经过 HMAC运算后的信息后, 以第二交换密钥或第 二交换密钥的衍生密钥作为 HMAC运算的解密密钥, 对接收到的所述经过 HMAC运算后的信息进行解密验证, 验证消息是否被墓改。
当第二设备生成配置信息发送给第一设备时,第一设备接受接收到的第二 设备发送的配置信息可以包括:
接收所述第二设备发送的配置信息;所述第二设备发送的配置信息为利用 第二交换密钥作为加密密钥加密的配置信息;所述第二交换密钥为所述第二设 备将得到的第一设备的公钥与自身第二设备的私钥进行运算得到的结果;将所 述第二设备公钥副本与第一设备用于执行密钥交换的私钥进行运算得到第一 交换密钥; 以所述第一交换密钥解密接收到的所述配置信息。
可以理解的, 第二设备生成第二交换密钥可以利用 Diffie-Hellman ( DH ) 密钥交换算法进行,计算方式可以为: 第二交换密钥 =第一设备公钥 第二设备 私钥; 但本发明实施例不限于用 DH密钥交换算法来进行运算。
再进一步地,本发明实施例中在第一设备以所述第一交换密钥解密接收到 的所述配置信息后还可以包括: 第一设备生成配置确认信息, 并以第一交换密 钥或第一交换密钥的衍生密钥作为 HMAC运算的输入密钥, 对所述配置确认 信息进行 HMAC运算, 并向第二设备发送进行 HMAC运算后的信息; 以使第 二设备接收到经过 HMAC运算后的信息后, 以第二交换密钥或第二交换密钥 的衍生密钥作为 HMAC运算的解密密钥,对接收到的所述经过 HMAC运算后 的信息进行解密验证, 验证消息是否被墓改。
需要说明的是, 第二设备接收到第一设备发送的配置信息后,根据不同的 应用场景, 可以通过以下方式建立第一设备与第二设备之间的网络:
( 1 )、 当第一设备与第二设备为点对点网络( Peer to Peer, P2P )连接时, 第一设备发送的配置信息包括第一设备与第二设备连接的信任状,用于第一设 备与第二设备在连接过程中进行四步握手过程中的验证过程,验证成功后, 第 一设备与第二设备建立 Ρ2Ρ连接;
( 2 ) 当第一设备为终端, 第二设备为支持 802.11协议的接入点 (Access Point, AP ) 时, 第一设备发送的配置信息包括第一设备与第二设备连接的信 任状, 用于第一设备与第二设备在连接过程中进行四步握手过程中的验证过 程, 验证成功后, 第一设备与第二设备建立连接, 第一设备加入第二设备所在 的网络;
( 3 )当第一设备为 AP, 第二设备为终端时, 第一设备可由外部设备获得 第二设备公钥运算值,第一设备发送的配置信息包括第一设备与第二设备连接 的信任状,用于第一设备与第二设备在连接过程中进行四步握手过程中的验证 过程, 验证成功后, 第一设备与第二设备建立连接, 第二设备加入第一设备所 在的网络。
可理解的是, 配置信息可以由第一设备或第二设备发起, 本实施例仅以第 一设备发放配置信息为例。 当由第二设备发放配置信息时, 第二设备同样可以 通过第二交换密钥或其衍生密钥加密配置信息,可以同上述的发送自己公钥的 消息(即第二消息)一起过去, 也可以等待第一设备发送触发消息后, 向第一 设备发送配置信息。本发明实施例中的配置信息可以为包含信任状的信息或配 置信息为包含认证密钥的信息。 再进一步地, 在一些配置场景下, 两设备均为 UI受限设备时, 一设备无 法安全获得另一设备的公钥运算值,那么此时, 需要通过第三方的设备来协助 配置连接该两个待配置连接的设备; 具体地:
假设上述图 1至图 5实施例中的第一设备为第三方的设备,那么第一设备 生成配置信息发送给第二设备时, 可以包括:
将所述第二设备公钥副本与第一设备的私钥进行运算得到第一交换密钥; 以所述第一交换密钥为加密密钥,加密第三设备公钥运算值; 所述第三设备公 钥运算值为将所述第三设备用于执行密钥交换的公钥进行预设算法的运算而 得到的结果; 将加密后的第三设备公钥运算值发送给所述第二设备; 以使所述 第二设备能安全获取所述第三设备公钥运算值,并利用所述第三设备公钥运算 值与所述第三设备进行密钥交换, 并完成最终的配置过程。
再进一步地, 本发明实施例还可以包括: 第一设备以第一交换密钥或第一 交换密钥的衍生密钥作为 HMAC运算的输入密钥, 对加密后的第三设备公钥 运算值进行 HMAC运算, 并向第二设备发送进行 HMAC运算后的信息。 以使 第二设备接收到经过 HMAC运算后的信息后, 以第二交换密钥或第二交换密 钥的衍生密钥作为 HMAC运算的解密密钥,对接收到的所述经过 HMAC运算 后的信息进行解密验证, 验证消息是否被墓改。
再进一步地, 在一些配置场景下, 该第三方设备还可以通过本发明图 1 至图 5任一实施例, 分别与该两个待配置设备进行网络配置连接交互, 并分别 发放连接或配置的验证信息; 具体地, 通过本发明图 1至图 5任一实施例, 第 三方设备分别与两个待配置设备进行发现、 鉴权、 关联及安全密钥交换后, 该 第三方设备分别向两个待配置设备发送配置信息。配置信息为该两个待配置设 备用于四步握手验证的信息,或两个待配置设备用于再次进行配置过程的验证 信息。
还需要说明的是, 第一设备通过带外方式获取第二设备的信息, 比如通过 扫描多维码来获取第二设备的信息,除了获取到第二设备公钥运算值和第二设 备密钥信息外,还可以获取到第二设备的设备信息,如 MAC地址、设备类型, 以及优先信道等;
再进一步地, 本发明实施例中的步骤 S316、 步骤 S416和步骤 S516还可 以具体为:将所述第二设备公钥副本与第一设备用于执行密钥交换的私钥进行 运算得到第一交换密钥;基于所述第一交换密钥生成用于保护第一设备与第二 设备之间业务数据传输的会话密钥。 即, 第一设备与第二设备可以无需进行四 步握手过程,将该第一交换密钥作为加密数据的会话密钥, 以保护双方设备之 间业务数据的安全传输。
本发明实施例中的步骤 S316、 步骤 S416和步骤 S516还可以具体为: 将 所述第二设备公钥副本与第一设备用于执行密钥交换的私钥进行运算得到第 一交换密钥; 基于所述第一交换密钥生成进行四步握手过程时的主密钥。 即, 第一设备可以在进行四步握手的过程中, 把该第一交换密钥作为主密钥 ( pairwise master key, PMK ), 通过 PMK生成会话密钥保护数据传输。
可以理解的, 本发明实施例中的对称算法包括但不限于 AES(Advanced Encryption Standard,高级加密标准)。通常, AES加密算法的加密密钥为 128位, 192位或 256位, 本发明实施例中, 可以选取 128位长度。 同时, 为进一步保 证消息完整性, 可以对交互的消息进行完整性校验运算, 以确认消息是否被墓 改。
可以理解的, 本发明实施例中通过 HMAC-SHA-256运算得出的是 256位 的消息摘要, 可选地, 本发明实施例可以但不限于取前 64位作为当前消息的 消息摘要, 带在当前消息中, 用于给对方设备接收后进行消息完整性校验, 以 确认消息是否被墓改。
实施本发明实施例,通过对公钥进行运算得到公钥运算值, 以公钥运算值 或者预设的密钥信息作为加密密钥来加密密钥交换的公钥,可大大提高配置过 程的安全性; 在配置过程的交互信息中用公钥运算值替代公钥,可以减少交互 信息的内容,提高配置双方设备的带外信道利用率, 并可以通过扫描多维码的 配置方式完成配置,解决了现有技术中 PIN方式比较繁瑣且安全性不高, PBC 方式安全性不足, 以及 NFC普适性较低的问题, 而且与对公钥进行多维码编 码相比, 大大减少了多维码编码内容, 降低了多维码的显示、 扫描以及解码的 要求,并适用性高,配置效率得到了很大的提高,大大提升了用户的配置体验。 为了便于更好地实施本发明实施例的上述方案,本发明还提供了用于配合 实施上述方案的相关装置。下面结合图 6示出的本发明的网络配置装置的第一 实施例的结构示意图, 进行详细说明:
网络配置装置 60包括: 第一获取模块 600、 第一设备公钥信息生成模块 602、第一发送模块 604、第二设备公钥副本获取模块 606和第一配置模块 608, 其中
第一获取模块 600用于通过带外方式获取第二设备公钥运算值,所述第二 设备公钥运算值为将所述第二设备用于执行密钥交换的公钥进行预设算法的 运算而得到的结果;
第一设备公钥信息生成模块 602 用于根据第一设备用于执行密钥交换的 公钥生成第一设备公钥信息;
第一发送模块 604用于将所述第一设备公钥信息发送给所述第二设备,以 使所述第二设备根据所述第一设备公钥信息获取第一设备的公钥;
第二设备公钥副本获取模块 606 用于获取所述第二设备发送的用于执行 密钥交换的第二设备公钥副本;
第一配置模块 608 用于对所述第二设备公钥副本进行所述预设算法的运 算,得到第二设备公钥运算值副本; 当所述第二设备公钥运算值副本与所述第 二设备公钥运算值匹配后,根据第一设备用于执行密钥交换的私钥和获取的第 二设备公钥副本生成第一交换密钥 ,以用于处理第一设备和第二设备之间的配 置信息。
进一步地,结合图 7示出的本发明的网络配置装置的第二实施例的结构示 意图, 网络配置装置 60包括第一获取模块 600、 第一设备公钥信息生成模块 602、第一发送模块 604、第二设备公钥副本获取模块 606和第一配置模块 608 外, 还可以包括第二获取模块 6010, 其中
第二获取模块 6010用于通过带外方式获取第二设备密钥信息;
第一设备公钥信息生成模块 602还可以包括第一加密单元 6020, 用于利 用所述第二设备密钥信息作为对称加密密钥,对所述第一设备用于执行密钥交 换的公钥进行对称加密运算, 生成第一设备公钥信息;
再进一步地,结合图 8示出的本发明的网络配置装置的第三实施例的结构 示意图, 网络配置装置 60 中的第一设备公钥信息生成模块 602还可以包括第 二加密单元 6022, 用于利用所述第二设备公钥运算值作为对称加密密钥, 对 所述第一设备用于执行密钥交换的公钥进行对称加密运算,生成第一设备公钥 信息。
再进一步地,如图 9示出的本发明实施例的第二设备公钥副本获取模块的 结构示意图, 第二设备公钥副本获取模块 606还可以包括第一接收单元 6060 和第一解密得到单元 6062, 和 /或第二接收单元 6064 和第二解密得到单元 6066, 本发明实施例中以都包含第一接收单元 6060、第一解密得到单元 6062、 第二接收单元 6064和第二解密得到单元 6066为例进行说明, 其中
第一接收单元 6060用于接收所述第二设备发送的第二设备公钥信息, 所 述第二设备公钥信息为所述第二设备利用第一设备公钥运算值作为对称加密 密钥对第二设备的公钥进行对称加密运算而得到的信息;
第一解密得到单元 6062用于利用第一设备的第一设备公钥运算值副本解 密所述第二设备公钥信息,得到第二设备公钥副本; 所述第一设备公钥运算值 为所述第二设备将获得的第一设备的公钥进行预设算法的运算而得到的结果; 所述第一设备公钥运算值副本为将自身的公钥进行预设算法的运算而得到的 结果;
第二接收单元 6064用于接收所述第二设备发送的第二设备公钥信息; 当 第一设备通过带外方式获取了第二设备密钥信息时,所述第二设备公钥信息为 所述第二设备利用自身的第二设备密钥信息作为对称加密密钥对第二设备的 公钥进行对称加密运算而得到的信息;
第二解密得到单元 6066用于利用第一设备获取的第二设备密钥信息解密 所述第二设备公钥信息, 得到第二设备公钥副本。
再进一步地, 如图 10示出的本发明第一配置模块的第一实施例的结构示 意图, 第一配置模块 608可以包括: 第一运算单元 6080和配置信息加密单元 6082, 其中
第一运算单元 6080用于将所述第二设备公钥副本与第一设备的私钥进行 运算得到第一交换密钥;
配置信息加密单元 6082用于以所述第一交换密钥为加密密钥, 加密配置 信息后发送给所述第二设备。
再进一步地, 如图 11示出的本发明第一配置模块的第二实施例的结构示 意图, 第一配置模块 608可以包括: 配置信息接收单元 6084、 第二运算单元 6086和解密单元 6088, 其中
配置信息接收单元 6084用于接收所述第二设备发送的配置信息; 所述第 二设备发送的配置信息为利用第二交换密钥作为加密密钥加密的配置信息;所 述第二交换密钥为所述第二设备将得到的第一设备的公钥与自身第二设备的 私钥进行运算得到的结果;
第二运算单元 6086用于将所述第二设备公钥副本与第一设备用于执行密 钥交换的私钥进行运算得到第一交换密钥;
解密单元 6088用于以所述第一交换密钥解密接收到的所述配置信息。 再进一步地, 如图 12示出的本发明第一配置模块的第三实施例的结构示 意图, 第一配置模块 608可以包括: 第三运算单元 60810、 公钥运算值加密单 元 60812和发送单元 60814, 其中 第三运算单元 60810将所述第二设备公钥副本与第一设备用于执行密钥 交换的私钥进行运算得到第一交换密钥;
公钥运算值加密单元 60812用于以所述第一交换密钥为加密密钥,加密第 三设备公钥运算值;所述第三设备公钥运算值为将所述第三设备用于执行密钥 交换的公钥进行预设算法的运算而得到的结果;
发送单元 60814 用于将加密后的第三设备公钥运算值发送给所述第二设 备; 以使所述第二设备能安全获取所述第三设备公钥运算值, 并利用所述第三 设备公钥运算值与所述第三设备进行密钥交换, 并完成最终的配置过程。
再进一步地, 如图 13示出的本发明第一配置模块的第四实施例的结构示 意图, 第一配置模块 608可以包括: 第四运算单元 60816和会话密钥生成单元 60818, 其中
第四运算单元 60816 用于将所述第二设备公钥副本与第一设备用于执行 密钥交换的私钥进行运算得到第一交换密钥;
会话密钥生成单元 60818 用于基于所述第一交换密钥生成用于保护第一 设备与第二设备之间业务数据传输的会话密钥。
再进一步地, 如图 14示出的本发明第一配置模块的第五实施例的结构示 意图, 第一配置模块 608可以包括: 第五运算单元 60820和主密钥生成单元 60822, 其中
第五运算单元 60820 用于将所述第二设备公钥副本与第一设备用于执行 密钥交换的私钥进行运算得到第一交换密钥;
主密钥生成单元 60822 用于基于所述第一交换密钥生成进行四步握手过 程时的主密钥。
再进一步地, 网络配置装置 60还可以包括: 第一哈希运算模块, 用于以 第一交换密钥或第一交换密钥的衍生密钥作为哈希消息认证码运算的输入密 钥,对加密后的配置信息进行哈希消息认证运算, 并向第二设备发送进行哈希 消息认证运算后的信息。
再进一步地, 网络配置装置 60还可以包括: 第二哈希运算模块, 用于当 解密单元 6088解密接收到的所述配置信息后, 生成配置确认信息, 并以第一 交换密钥或第一交换密钥的衍生密钥作为哈希消息认证码运算的输入密钥,对 所述配置确认信息进行哈希消息认证运算,并向第二设备发送进行哈希消息认 证运算后的信息。
再进一步地, 网络配置装置 60还可以包括: 第三哈希运算模块, 用于以 第一交换密钥或第一交换密钥的衍生密钥作为哈希消息认证码运算的输入密 钥,对加密后的第三设备公钥运算值进行哈希消息认证运算, 并向第二设备发 送进行哈希消息认证运算后的信息。
需要说明的是, 本发明实施例中的网络配置装置 60中各功能模块的功能 可根据上述方法实施例中的方法具体实现, 即, 具体可以参考上述图 1至图 5 中第一设备的方法项实施例, 这里不再赘述。 为了便于更好地实施本发明实施例的上述方案,本发明还提供了用于配合 实施上述方案的相关装置。 下面结合图 15示出的本发明的网络配置设备的第 一实施例的结构示意图 , 进行详细说明:
网络配置设备 150包括: 第二设备公钥运算值生成模块 1500、 接收获取 模块 1502、 第二设备公钥信息发送模块 1504和第二配置模块 1506, 其中 第二设备公钥运算值生成模块 1500用于将第二设备用于执行密钥交换的 公钥进行预设算法的运算得到第二设备公钥运算值,以供第一设备通过带外方 式获取;
接收获取模块 1502用于接收所述第一设备发送的第一设备公钥信息, 并 根据所述第一设备公钥信息获取第一设备的公钥;所述第一设备公钥信息为所 述第一设备根据用于执行密钥交换的公钥生成的信息;
第二设备公钥信息发送模块 1504用于向所述第一设备发送第二设备公钥 信息;以使所述第一设备根据所述第二设备公钥信息获取第二设备用于执行密 钥交换的第二设备公钥副本;
第二配置模块 1506用于根据第二设备用于执行密钥交换的私钥和获取的 第一设备公钥生成第二交换密钥 ,以用于处理第一设备和第二设备之间的配置 信息。
进一步地, 如图 16示出的本发明的网络配置设备的第二实施例的结构示 意图, 网络配置设备 150包括第二设备公钥运算值生成模块 1500、 接收获取 模块 1502、 第二设备公钥信息发送模块 1504和第二配置模块 1506外, 还可 以包括随机密钥生成模块 1508, 用于生成第二设备密钥信息, 以供第一设备 通过带外方式获取。
进一步地, 如图 17示出的本发明的接收获取模块的第一实施例的结构示 意图, 接收获取模块 1502可以包括第一解密单元 15020, 具体地:
接收获取模块 1502接收的所述第一设备公钥信息为所述第一设备利用所 述第二设备密钥信息作为对称加密密钥对所述第一设备用于执行密钥交换的 公钥进行对称加密运算而得到的信息;第一解密单元 15020用于利用第二设备 的第二设备密钥信息解密所述第一设备公钥信息, 得到第一设备的公钥; 进一步地, 如图 18示出的本发明的接收获取模块的第二实施例的结构示 意图: 接收获取模块 1502可以包括第二解密单元 15022, 其中
接收获取模块 1502接收的所述第一设备公钥信息为所述第一设备利用所 述第二设备公钥运算值作为对称加密密钥对所述第一设备用于执行密钥交换 的公钥进行对称加密运算而得到的信息;第二解密单元 15022用于利用第二设 备的第二设备公钥运算值解密所述第一设备公钥信息, 得到第一设备的公钥。
进一步地, 如图 19示出的本发明的网络配置设备的第三实施例的结构示 意图, 网络配置设备 150包括第二设备公钥运算值生成模块 1500、 接收获取 模块 1502、第二设备公钥信息发送模块 1504、第二配置模块 1506和随机密钥 生成模块 1508外, 还可以包括公钥信息第一生成模块 15010和公钥信息第二 生成模块 15012, 其中
公钥信息第一生成模块 15010 用于利用第一设备公钥运算值作为对称加 密密钥对第二设备的公钥进行对称加密运算而得到第二设备公钥信息;所述第 一设备公钥运算值为所述第二设备将获得的第一设备的公钥进行预设算法的 运算而得到的结果; 或者
公钥信息第二生成模块 15012 用于当第一设备通过带外方式获取了第二 设备密钥信息时,利用自身的第二设备密钥信息对第二设备的公钥进行对称加 密而得到第二设备公钥信息。
进一步地, 如图 20示出的本发明的第二配置模块的第一实施例的结构示 意图, 第二配置模块 1506包括配置信息接收解密单元 15060和 /或配置信息发 送单元 15062, 图中以都包含为例进行说明, 其中
配置信息接收解密单元 15060用于接收所述第一设备发送的配置信息;所 述配置信息为第一设备以第一交换密钥为加密密钥进行加密后的配置信息 ,所 述第一交换密钥为所述第一设备以所述第二设备公钥副本与第一设备的私钥 进行运算而得到的结果;将第二设备用于执行密钥交换的私钥和获取的第一设 备公钥进行运算得到第二交换密钥 ,以所述第二交换密钥解密接收到的所述配 置信息; 和 /或
配置信息发送单元 15062用于将所述第一设备的公钥与第二设备用于执 行密钥交换的私钥进行运算得到第二交换密钥;以所述第二交换密钥为加密密 钥, 加密配置信息后发送给所述第一设备。
进一步地, 如图 21示出的本发明的第二配置模块的第二实施例的结构示 意图, 第二配置模块 1506包括第三设备公钥运算值接收解密单元 15064和配 置子单元 15066, 其中
第三设备公钥运算值接收解密单元 15064用于接收所述第一设备发送的 加密后的第三设备公钥运算值,将第二设备用于执行密钥交换的私钥和获取的 第一设备公钥进行运算得到第二交换密钥 ,以所述第二交换密钥解密所述第三 设备公钥运算值;所述加密后的第三设备公钥运算值为所述第一设备以所述第 一交换密钥为加密密钥对第三设备公钥运算值进行加密而得到的结果;所述第 一交换密钥为所述第一设备以所述第二设备公钥副本与第一设备的私钥进行 运算而得到的结果;所述第三设备公钥运算值为将所述第三设备用于执行密钥 交换的公钥进行预设算法的运算而得到的结果;
配置子单元 15066 用于利用所述第三设备公钥运算值与所述第三设备进 行密钥交换, 并完成最终的配置过程。
再进一步地, 本发明实施例的网络配置设备 150还可以包括: 哈希运算验 证模块, 用于接收第一设备发送的经过哈希消息认证运算后的信息, 以第二交 换密钥或第二交换密钥的衍生密钥作为哈希消息认证码运算的解密密钥,对接 收到的所述经过哈希消息认证运算后的信息进行解密验证。
需要说明的是,本发明实施例中的网络配置设备 150中各功能模块的功能 可根据上述方法实施例中的方法具体实现, 即, 具体可以参考上述图 1至图 5 中第二设备的方法项实施例, 这里不再赘述。 为了便于更好地实施本发明实施例的上述方案,本发明还提供了用于配合 实施上述方案的相关设备。 下面结合图 22示出的本发明的网络设备的第一实 施例的结构示意图 , 进行详细说明:
网络设备 220包括: 输入装置 2200、 输出装置 2202、 存储器 2204和处理 器 2206 (网络设备中的处理器 2206的数量可以一个或多个, 图 22中以一个 处理器为例)。 在本发明的一些实施例中, 输入装置 2200、 输出装置 2202、 存 储器 2204和处理器 2206可通过总线或者其它方式连接, 其中, 图 22中以通 过总线连接为例。
其中,存储器 2204用于存储程序代码,处理器 2206用于调用存储器 2204 存储的程序代码执行如下步骤:
由输入装置 2200通过带外方式获取第二设备公钥运算值, 所述第二设备 公钥运算值为将所述第二设备用于执行密钥交换的公钥进行预设算法的运算 而得到的结果; 根据第一设备用于执行密钥交换的公钥生成第一设备公钥信 息, 通过输出装置 2202将所述第一设备公钥信息发送给所述第二设备, 以使 所述第二设备根据所述第一设备公钥信息获取第一设备的公钥;通过输入装置 2200 获取所述第二设备发送的用于执行密钥交换的第二设备公钥副本; 对所 述第二设备公钥副本进行所述预设算法的运算, 得到第二设备公钥运算值副 本; 当所述第二设备公钥运算值副本与所述第二设备公钥运算值匹配后,根据 第一设备用于执行密钥交换的私钥和获取的第二设备公钥副本生成第一交换 密钥, 以用于处理第一设备和第二设备之间的配置信息。
具体地, 处理器 2206根据第一设备用于执行密钥交换的公钥生成第一设 备公钥信息之前还执行:
由输入装置 2200通过带外方式获取第二设备密钥信息。
再具体地, 处理器 2206根据第一设备用于执行密钥交换的公钥生成第一 设备公钥信息包括:
利用所述第二设备密钥信息作为对称加密密钥,对所述第一设备用于执行 密钥交换的公钥进行对称加密运算, 生成第一设备公钥信息。 再具体地, 处理器 2206根据第一设备用于执行密钥交换的公钥生成第一 设备公钥信息包括:
利用所述第二设备公钥运算值作为对称加密密钥 ,对所述第一设备用于执 行密钥交换的公钥进行对称加密运算, 生成第一设备公钥信息。
再具体地,处理器 2206通过输入装置 2200获取所述第二设备发送的用于 执行密钥交换的第二设备公钥副本包括:
通过输入装置 2200接收所述第二设备发送的第二设备公钥信息, 所述第 二设备公钥信息为所述第二设备利用第一设备公钥运算值作为对称加密密钥 对第二设备的公钥进行对称加密运算而得到的信息;利用第一设备的第一设备 公钥运算值副本解密所述第二设备公钥信息,得到第二设备公钥副本; 所述第 一设备公钥运算值为所述第二设备将获得的第一设备的公钥进行预设算法的 运算而得到的结果;所述第一设备公钥运算值副本为将自身的公钥进行预设算 法的运算而得到的结果; 或者
通过输入装置 2200接收所述第二设备发送的第二设备公钥信息; 当第一 设备通过带外方式获取了第二设备密钥信息时,所述第二设备公钥信息为所述 第二设备利用自身的第二设备密钥信息作为对称加密密钥对第二设备的公钥 进行对称加密运算而得到的信息;利用第一设备获取的第二设备密钥信息解密 所述第二设备公钥信息, 得到第二设备公钥副本。
再具体地, 处理器 2206根据第一设备用于执行密钥交换的私钥和获取的 第二设备公钥副本生成第一交换密钥 ,以用于处理第一设备和第二设备之间的 配置信息包括:
将所述第二设备公钥副本与第一设备用于执行密钥交换的私钥进行运算 得到第一交换密钥; 以所述第一交换密钥为加密密钥,加密配置信息后发送给 所述第二设备。
再具体地, 处理器 2206根据第一设备用于执行密钥交换的私钥和获取的 第二设备公钥副本生成第一交换密钥 ,以用于处理第一设备和第二设备之间的 配置信息包括:
通过输入装置 2200接收所述第二设备发送的配置信息; 所述第二设备发 送的配置信息为利用第二交换密钥作为加密密钥加密的配置信息;所述第二交 换密钥为所述第二设备将得到的第一设备的公钥与自身第二设备的私钥进行 运算得到的结果;将所述第二设备公钥副本与第一设备用于执行密钥交换的私 钥进行运算得到第一交换密钥;以所述第一交换密钥解密接收到的所述配置信 再具体地, 处理器 2206根据第一设备用于执行密钥交换的私钥和获取的 第二设备公钥副本生成第一交换密钥 ,以用于处理第一设备和第二设备之间的 配置信息包括:
将所述第二设备公钥副本与第一设备用于执行密钥交换的私钥进行运算 得到第一交换密钥; 以所述第一交换密钥为加密密钥,加密第三设备公钥运算 值;所述第三设备公钥运算值为将所述第三设备用于执行密钥交换的公钥进行 预设算法的运算而得到的结果;将加密后的第三设备公钥运算值发送给所述第 二设备; 以使所述第二设备能安全获取所述第三设备公钥运算值, 并利用所述 第三设备公钥运算值与所述第三设备进行密钥交换, 并完成最终的配置过程。
再具体地, 处理器 2206根据第一设备用于执行密钥交换的私钥和获取的 第二设备公钥副本生成第一交换密钥 ,以用于处理第一设备和第二设备之间的 配置信息包括:
将所述第二设备公钥副本与第一设备用于执行密钥交换的私钥进行运算 得到第一交换密钥;基于所述第一交换密钥生成用于保护第一设备与第二设备 之间业务数据传输的会话密钥。
再具体地, 处理器 2206根据第一设备用于执行密钥交换的私钥和获取的 第二设备公钥副本生成第一交换密钥 ,以用于处理第一设备和第二设备之间的 配置信息包括:
将所述第二设备公钥副本与第一设备用于执行密钥交换的私钥进行运算 得到第一交换密钥; 基于所述第一交换密钥生成进行四步握手过程时的主密 钥。
再具体地, 处理器 2206以所述第一交换密钥解密接收到的所述配置信息 后还执行:
以第一交换密钥或第一交换密钥的衍生密钥作为哈希消息认证码运算的 输入密钥, 对加密后的配置信息进行哈希消息认证运算, 通过输出装置 2202 并向第二设备发送进行哈希消息认证运算后的信息。
再具体地, 处理器 2206还执行:
生成配置确认信息,并以第一交换密钥或第一交换密钥的衍生密钥作为哈 希消息认证码运算的输入密钥, 对所述配置确认信息进行哈希消息认证运算, 通过输出装置 2202并向第二设备发送进行哈希消息认证运算后的信息。
再具体地, 处理器 2206还执行:
以第一交换密钥或第一交换密钥的衍生密钥作为哈希消息认证码运算的 输入密钥,对加密后的第三设备公钥运算值进行哈希消息认证运算, 并通过输 出装置 2202向第二设备发送进行哈希消息认证运算后的信息。
本发明实施例的网络设备 220例如可以是网管设备、 路由器、 传送节点、 智能移动终端或其它网络设备。
可理解的是,网络设备 220中各功能模块的功能可根据上述方法实施例中 的方法具体实现, 即, 具体可以参考上述图 1至图 5中第一设备的方法项实施 例, 这里不再赘述。 为了便于更好地实施本发明实施例的上述方案,本发明还提供了用于配合 实施上述方案的相关设备。 下面结合图 23示出的本发明的网络设备的第二实 施例的结构示意图 , 进行详细说明:
网络设备 230包括: 输入装置 2300、 输出装置 2302、 存储器 2304和处理 器 2306 (网络设备中的处理器 2306的数量可以一个或多个, 图 23中以一个 处理器为例)。 在本发明的一些实施例中, 输入装置 2300、 输出装置 2302、 存 储器 2304和处理器 2306可通过总线或者其它方式连接, 其中, 图 23中以通 过总线连接为例。
其中,存储器 2304用于存储程序代码,处理器 2306用于调用存储器 2304 存储的程序代码执行如下步骤:
将第二设备用于执行密钥交换的公钥进行预设算法的运算得到第二设备 公钥运算值, 以供第一设备通过带外方式获取; 通过输入装置 2300接收所述 第一设备发送的第一设备公钥信息 ,并根据所述第一设备公钥信息获取第一设 备的公钥;所述第一设备公钥信息为所述第一设备根据用于执行密钥交换的公 钥生成的信息; 通过输出装置 2302向所述第一设备发送第二设备公钥信息; 以使所述第一设备根据所述第二设备公钥信息获取第二设备用于执行密钥交 换的第二设备公钥副本;根据第二设备用于执行密钥交换的私钥和获取的第一 设备公钥生成第二交换密钥, 以用于处理第一设备和第二设备之间的配置信 再具体地,处理器 2306通过输入装置 2300接收所述第一设备发送的第一 设备公钥信息之前还包括:
生成第二设备密钥信息, 以供第一设备通过带外方式获取。
再具体地,处理器 2306通过输入装置 2300接收的所述第一设备公钥信息 为所述第一设备利用所述第二设备密钥信息作为对称加密密钥对所述第一设 备用于执行密钥交换的公钥进行对称加密运算而得到的信息;
处理器 2306根据所述第一设备公钥信息获取第一设备的公钥包括: 利用 第二设备的第二设备密钥信息解密所述第一设备公钥信息,得到第一设备的公 钥。
再具体地,处理器 2306通过输入装置 2300接收的所述第一设备公钥信息 为所述第一设备利用所述第二设备密钥信息作为对称加密密钥对所述第一设 备用于执行密钥交换的公钥进行对称加密运算而得到的信息;
处理器 2306根据所述第一设备公钥信息获取第一设备的公钥包括: 利用 第二设备的第二设备密钥信息解密所述第一设备公钥信息,得到第一设备的公 钥。
再具体地, 所述第二设备公钥信息为处理器 2306利用第一设备公钥运算 值对第二设备的公钥进行对称加密而得到的信息;所述第一设备公钥运算值为 处理器 2306将获得的第一设备的公钥进行预设算法的运算而得到的结果; 或 者
当第一设备通过带外方式获取了第二设备密钥信息时,所述第二设备公钥 信息为处理器 2306利用自身的第二设备密钥信息对第二设备的公钥进行对称 加密而得到的信息。
再具体地, 处理器 2306根据第二设备用于执行密钥交换的私钥和获取的 第一设备公钥生成第二交换密钥 ,以用于处理第一设备和第二设备之间的配置 信息包括:
通过输入装置 2300接收所述第一设备发送的配置信息; 所述配置信息为 第一设备以第一交换密钥为加密密钥进行加密后的配置信息,所述第一交换密 钥为所述第一设备以所述第二设备公钥副本与第一设备的私钥进行运算而得 到的结果;将第二设备用于执行密钥交换的私钥和获取的第一设备公钥进行运 算得到第二交换密钥, 以所述第二交换密钥解密接收到的所述配置信息; 或者 将第二设备用于执行密钥交换的私钥和获取的第一设备公钥进行运算得 到第二交换密钥; 以所述第二交换密钥为加密密钥,加密配置信息后通过输出 装置 2302发送给所述第一设备。
再具体地, 处理器 2306根据第二设备用于执行密钥交换的私钥和获取的 第一设备公钥生成第二交换密钥 ,以用于处理第一设备和第二设备之间的配置 信息包括:
通过输入装置 2300接收所述第一设备发送的加密后的第三设备公钥运算 值;将第二设备用于执行密钥交换的私钥和获取的第一设备公钥进行运算得到 第二交换密钥, 以所述第二交换密钥解密所述第三设备公钥运算值, 并利用所 述第三设备公钥运算值与所述第三设备进行密钥交换, 并完成最终的配置过 程;所述加密后的第三设备公钥运算值为所述第一设备以所述第一交换密钥为 加密密钥对第三设备公钥运算值进行加密而得到的结果;所述第一交换密钥为 所述第一设备以所述第二设备公钥副本与第一设备的私钥进行运算而得到的 结果;所述第三设备公钥运算值为将所述第三设备用于执行密钥交换的公钥进 行预设算法的运算而得到的结果。
再具体地, 处理器 2306还执行:
通过输入装置 2300接收第一设备发送的经过哈希消息认证运算后的信 息,以第二交换密钥或第二交换密钥的衍生密钥作为哈希消息认证码运算的解 密密钥, 对通过输入装置 2300接收到的所述经过哈希消息认证运算后的信息 进行解密验证。
本发明实施例的网络设备 230例如可以是网管设备、 路由器、 传送节点、 智能移动终端或其它网络设备。
可理解的是,网络设备 230中各功能模块的功能可根据上述方法实施例中 的方法具体实现, 即, 具体可以参考上述图 1至图 5中第二设备的方法项实施 例, 这里不再赘述。 为了便于更好地实施本发明实施例的上述方案,本发明还提供了用于配合 实施上述方案的相关系统。 下面结合图 24示出的本发明实施例的网络配置系 统的结构示意图, 进行详细说明:
网络配置系统 240包括第一设备 2400和第二设备 2402, 其中,
第一设备 2400参考上述图 22实施例中的网络设备 220, 这里不再赘述; 第二设备 2402参考上述图 23实施例中的网络设备 230, 这里不再赘述。 需要说明的是, 在一些配置场景下, 两设备均为 UI受限设备时, 一设备 无法安全获得另一设备的公钥运算值, 那么此时, 需要通过第三方的设备来协 助配置连接该两个待配置连接的设备; 即, 网络配置系统 240还可以包括第三 设备, 其中第一设备 2400为第三方设备, 第二设备 2402和第三设备可以均为 UI受限设备, 需要通过第一设备 2400来协助配置连接, 详细配置连接方式可 参考上述方法实施例中的实现方式, 这里不再赘述。
综上所述, 实施本发明实施例, 通过对公钥进行运算得到公钥运算值, 以 公钥运算值或者预设的密钥信息作为加密密钥来加密密钥交换的公钥,可大大 提高配置过程的安全性; 在配置过程的交互信息中用公钥运算值替代公钥, 可 以减少交互信息的内容,提高配置双方设备的带外信道利用率, 并可以通过扫 描多维码的配置方式完成配置,解决了现有技术中 PIN方式比较繁瑣且安全性 不高, PBC方式安全性不足, 以及 NFC普适性较低的问题, 而且与对公钥进 行多维码编码相比, 大大减少了多维码编码内容, 降低了多维码的显示、 扫描 以及解码的要求, 并适用性高, 配置效率得到了很大的提高, 大大提升了用户 的配置体验。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程, 是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算 机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。 其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory, ROM )或随机存储记忆体(Random Access Memory, RAM )等。 以上所揭露的仅为本发明一种较佳实施例而已,当然不能以此来限定本发 明之权利范围,本领域普通技术人员可以理解实现上述实施例的全部或部分流 程, 并依本发明权利要求所作的等同变化, 仍属于发明所涵盖的范围。

Claims (1)

  1. 权 利 要 求
    1、 一种网络配置方法, 其特征在于, 包括:
    通过带外方式获取第二设备公钥运算值,所述第二设备公钥运算值为将所 述第二设备用于执行密钥交换的公钥进行预设算法的运算而得到的结果; 根据第一设备用于执行密钥交换的公钥生成第一设备公钥信息,将所述第 一设备公钥信息发送给所述第二设备,以使所述第二设备根据所述第一设备公 钥信息获取第一设备的公钥;
    获取所述第二设备发送的用于执行密钥交换的第二设备公钥副本; 对所述第二设备公钥副本进行所述预设算法的运算,得到第二设备公钥运 算值副本; 当所述第二设备公钥运算值副本与所述第二设备公钥运算值匹配 后,根据第一设备用于执行密钥交换的私钥和获取的第二设备公钥副本生成第 一交换密钥, 以用于处理第一设备和第二设备之间的配置信息。
    2、 如权利要求 1所述的方法, 其特征在于, 所述根据第一设备用于执行 密钥交换的公钥生成第一设备公钥信息之前还包括:
    通过带外方式获取第二设备密钥信息。
    3、 如权利要求 2所述的方法, 其特征在于, 所述根据第一设备用于执行 密钥交换的公钥生成第一设备公钥信息包括:
    利用所述第二设备密钥信息作为对称加密密钥,对所述第一设备用于执行 密钥交换的公钥进行对称加密运算, 生成第一设备公钥信息。
    4、 如权利要求 1或 2所述的方法, 其特征在于, 所述根据第一设备用于 执行密钥交换的公钥生成第一设备公钥信息包括:
    利用所述第二设备公钥运算值作为对称加密密钥 ,对所述第一设备用于执 行密钥交换的公钥进行对称加密运算, 生成第一设备公钥信息。
    5、 如权利要求 4所述的方法, 其特征在于, 所述获取所述第二设备发送 的用于执行密钥交换的第二设备公钥副本包括:
    接收所述第二设备发送的第二设备公钥信息,所述第二设备公钥信息为所 述第二设备利用第一设备公钥运算值作为对称加密密钥对第二设备的公钥进 行对称加密运算而得到的信息;利用第一设备的第一设备公钥运算值副本解密 所述第二设备公钥信息,得到第二设备公钥副本; 所述第一设备公钥运算值为 所述第二设备将获得的第一设备的公钥进行预设算法的运算而得到的结果;所 述第一设备公钥运算值副本为将自身的公钥进行预设算法的运算而得到的结 果; 或者
    接收所述第二设备发送的第二设备公钥信息;当第一设备通过带外方式获 取了第二设备密钥信息时,所述第二设备公钥信息为所述第二设备利用自身的 第二设备密钥信息作为对称加密密钥对第二设备的公钥进行对称加密运算而 得到的信息;利用第一设备获取的第二设备密钥信息解密所述第二设备公钥信 息, 得到第二设备公钥副本。
    6、 如权利要求 1-5任一项所述的方法, 其特征在于, 所述根据第一设备 用于执行密钥交换的私钥和获取的第二设备公钥副本生成第一交换密钥,以用 于处理第一设备和第二设备之间的配置信息包括:
    将所述第二设备公钥副本与第一设备用于执行密钥交换的私钥进行运算 得到第一交换密钥;
    以所述第一交换密钥为加密密钥, 加密配置信息后发送给所述第二设备。
    7、 如权利要求 1-5任一项所述的方法, 其特征在于, 所述根据第一设备 用于执行密钥交换的私钥和获取的第二设备公钥副本生成第一交换密钥,以用 于处理第一设备和第二设备之间的配置信息包括:
    接收所述第二设备发送的配置信息;所述第二设备发送的配置信息为利用 第二交换密钥作为加密密钥加密的配置信息;所述第二交换密钥为所述第二设 备将得到的第一设备的公钥与自身第二设备的私钥进行运算得到的结果; 将所述第二设备公钥副本与第一设备用于执行密钥交换的私钥进行运算 得到第一交换密钥; 以所述第一交换密钥解密接收到的所述配置信息。
    8、 如权利要求 1-5任一项所述的方法, 其特征在于, 所述根据第一设备 用于执行密钥交换的私钥和获取的第二设备公钥副本生成第一交换密钥,以用 于处理第一设备和第二设备之间的配置信息包括:
    将所述第二设备公钥副本与第一设备用于执行密钥交换的私钥进行运算 得到第一交换密钥;
    以所述第一交换密钥为加密密钥,加密第三设备公钥运算值; 所述第三设 备公钥运算值为将所述第三设备用于执行密钥交换的公钥进行预设算法的运 算而得到的结果;
    将加密后的第三设备公钥运算值发送给所述第二设备;以使所述第二设备 能安全获取所述第三设备公钥运算值,并利用所述第三设备公钥运算值与所述 第三设备进行密钥交换, 并完成最终的配置过程。
    9、 如权利要求 1-5任一项所述的方法, 其特征在于, 所述根据第一设备 用于执行密钥交换的私钥和获取的第二设备公钥副本生成第一交换密钥,以用 于处理第一设备和第二设备之间的配置信息包括:
    将所述第二设备公钥副本与第一设备用于执行密钥交换的私钥进行运算 得到第一交换密钥;
    基于所述第一交换密钥生成用于保护第一设备与第二设备之间业务数据 传输的会话密钥。
    10、 如权利要求 1-5任一项所述的方法, 其特征在于, 所述根据第一设备 用于执行密钥交换的私钥和获取的第二设备公钥副本生成第一交换密钥,以用 于处理第一设备和第二设备之间的配置信息包括:
    将所述第二设备公钥副本与第一设备用于执行密钥交换的私钥进行运算 得到第一交换密钥;
    基于所述第一交换密钥生成进行四步握手过程时的主密钥。 11、 如权利要求 6所述的方法, 其特征在于, 所述方法还包括: 以第一交换密钥或第一交换密钥的衍生密钥作为哈希消息认证码运算的 输入密钥,对加密后的配置信息进行哈希消息认证运算, 并向第二设备发送进 行哈希消息认证运算后的信息。
    12、 如权利要求 7所述的方法, 其特征在于, 所述以所述第一交换密钥解 密接收到的所述配置信息后还包括:
    生成配置确认信息,并以第一交换密钥或第一交换密钥的衍生密钥作为哈 希消息认证码运算的输入密钥, 对所述配置确认信息进行哈希消息认证运算, 并向第二设备发送进行哈希消息认证运算后的信息。
    13、 如权利要求 8所述的方法, 其特征在于, 所述方法还包括: 以第一交换密钥或第一交换密钥的衍生密钥作为哈希消息认证码运算的 输入密钥,对加密后的第三设备公钥运算值进行哈希消息认证运算, 并向第二 设备发送进行哈希消息认证运算后的信息。
    14、 一种网络配置方法, 其特征在于, 包括:
    将第二设备用于执行密钥交换的公钥进行预设算法的运算得到第二设备 公钥运算值, 以供第一设备通过带外方式获取;
    接收所述第一设备发送的第一设备公钥信息,并根据所述第一设备公钥信 息获取第一设备的公钥;所述第一设备公钥信息为所述第一设备根据用于执行 密钥交换的公钥生成的信息;
    向所述第一设备发送第二设备公钥信息;以使所述第一设备根据所述第二 设备公钥信息获取第二设备用于执行密钥交换的第二设备公钥副本;
    根据第二设备用于执行密钥交换的私钥和获取的第一设备公钥生成第二 交换密钥, 以用于处理第一设备和第二设备之间的配置信息。
    15、 如权利要求 14所述的方法, 其特征在于, 所述接收所述第一设备发 送的第一设备公钥信息之前还包括: 生成第二设备密钥信息, 以供第一设备通过带外方式获取。
    16、 如权利要求 15所述的方法, 其特征在于, 接收的所述第一设备公钥 信息为所述第一设备利用所述第二设备密钥信息作为对称加密密钥对所述第 一设备用于执行密钥交换的公钥进行对称加密运算而得到的信息;
    所述根据所述第一设备公钥信息获取第一设备的公钥包括:
    利用第二设备的第二设备密钥信息解密所述第一设备公钥信息,得到第一 设备的公钥。
    17、 如权利要求 14或 15所述的方法, 其特征在于, 接收的所述第一设备 公钥信息为所述第一设备利用所述第二设备公钥运算值作为对称加密密钥对 所述第一设备用于执行密钥交换的公钥进行对称加密运算而得到的信息; 所述根据所述第一设备公钥信息获取第一设备的公钥包括:
    利用第二设备的第二设备公钥运算值解密所述第一设备公钥信息,得到第 一设备的公钥。
    18、 如权利要求 17所述的方法, 其特征在于, 所述第二设备公钥信息为 所述第二设备利用第一设备公钥运算值作为对称加密密钥对第二设备的公钥 进行对称加密运算而得到的信息;所述第一设备公钥运算值为所述第二设备将 获得的第一设备的公钥进行预设算法的运算而得到的结果; 或者
    当第一设备通过带外方式获取了第二设备密钥信息时,所述第二设备公钥 信息为所述第二设备利用自身的第二设备密钥信息作为对称加密密钥对第二 设备的公钥进行对称加密运算而得到的信息。
    19、 如权利要求 14-18任一项所述的方法, 其特征在于, 所述根据第二设 备用于执行密钥交换的私钥和获取的第一设备公钥生成第二交换密钥,以用于 处理第一设备和第二设备之间的配置信息包括:
    接收所述第一设备发送的配置信息;所述配置信息为第一设备以第一交换 密钥为加密密钥进行加密后的配置信息,所述第一交换密钥为所述第一设备以 所述第二设备公钥副本与第一设备的私钥进行运算而得到的结果;将第二设备 用于执行密钥交换的私钥和获取的第一设备公钥进行运算得到第二交换密钥, 以所述第二交换密钥解密接收到的所述配置信息; 或者
    将第二设备用于执行密钥交换的私钥和获取的第一设备公钥进行运算得 到第二交换密钥; 以所述第二交换密钥为加密密钥,加密配置信息后发送给所 述第一设备。
    20、 如权利要求 14-18任一项所述的方法, 其特征在于, 所述根据第二设 备用于执行密钥交换的私钥和获取的第一设备公钥生成第二交换密钥,以用于 处理第一设备和第二设备之间的配置信息包括:
    接收所述第一设备发送的加密后的第三设备公钥运算值;将第二设备用于 执行密钥交换的私钥和获取的第一设备公钥进行运算得到第二交换密钥,以所 述第二交换密钥解密所述第三设备公钥运算值,并利用所述第三设备公钥运算 值与所述第三设备进行密钥交换, 并完成最终的配置过程;
    所述加密后的第三设备公钥运算值为所述第一设备以所述第一交换密钥 为加密密钥对第三设备公钥运算值进行加密而得到的结果;所述第一交换密钥 为所述第一设备以所述第二设备公钥副本与第一设备的私钥进行运算而得到 的结果;所述第三设备公钥运算值为将所述第三设备用于执行密钥交换的公钥 进行预设算法的运算而得到的结果。
    21、 如权利要求 19或 20所述的方法, 其特征在于, 所述方法还包括: 接收第一设备发送的经过哈希消息认证运算后的信息,以第二交换密钥或 第二交换密钥的衍生密钥作为哈希消息认证码运算的解密密钥,对接收到的所 述经过哈希消 , 认证运算后的信息进行解密验证。
    22、 一种网络配置装置, 其特征在于, 包括:
    第一获取模块, 用于通过带外方式获取第二设备公钥运算值, 所述第二设 备公钥运算值为将所述第二设备用于执行密钥交换的公钥进行预设算法的运 算而得到的结果; 第一设备公钥信息生成模块,用于根据第一设备用于执行密钥交换的公钥 生成第一设备公钥信息;
    第一发送模块, 用于将所述第一设备公钥信息发送给所述第二设备, 以使 所述第二设备根据所述第一设备公钥信息获取第一设备的公钥;
    第二设备公钥副本获取模块,用于获取所述第二设备发送的用于执行密钥 交换的第二设备公钥副本;
    第一配置模块, 用于对所述第二设备公钥副本进行所述预设算法的运算, 得到第二设备公钥运算值副本;当所述第二设备公钥运算值副本与所述第二设 备公钥运算值匹配后,根据第一设备用于执行密钥交换的私钥和获取的第二设 备公钥副本生成第一交换密钥 ,以用于处理第一设备和第二设备之间的配置信 自
    23、 如权利要求 22所述的装置, 其特征在于, 所述装置还包括: 第二获取模块, 用于通过带外方式获取第二设备密钥信息。
    24、 如权利要求 23所述的装置, 其特征在于, 所述第一设备公钥信息生 成模块包括:
    第一加密单元, 用于利用所述第二设备密钥信息作为对称加密密钥,对所 述第一设备用于执行密钥交换的公钥进行对称加密运算,生成第一设备公钥信 自
    25、 如权利要求 22或 23所述的装置, 其特征在于, 所述第一设备公钥信 息生成模块包括:
    第二加密单元, 用于利用所述第二设备公钥运算值作为对称加密密钥,对 所述第一设备用于执行密钥交换的公钥进行对称加密运算,生成第一设备公钥 信息。
    26、 如权利要求 25所述的装置, 其特征在于, 所述第二设备公钥副本获 取模块包括: 第一接收单元和第一解密得到单元,其中, 所述第一接收单元用于接收所 述第二设备发送的第二设备公钥信息,所述第二设备公钥信息为所述第二设备 利用第一设备公钥运算值作为对称加密密钥对第二设备的公钥进行对称加密 运算而得到的信息;所述第一解密得到单元用于利用第一设备的第一设备公钥 运算值副本解密所述第二设备公钥信息,得到第二设备公钥副本; 所述第一设 备公钥运算值为所述第二设备将获得的第一设备的公钥进行预设算法的运算 而得到的结果;所述第一设备公钥运算值副本为将自身的公钥进行预设算法的 运算而得到的结果; 和 /或
    第二接收单元和第二解密得到单元,其中, 所述第二接收单元用于接收所 述第二设备发送的第二设备公钥信息;当第一设备通过带外方式获取了第二设 备密钥信息时,所述第二设备公钥信息为所述第二设备利用自身的第二设备密 钥信息作为对称加密密钥对第二设备的公钥进行对称加密运算而得到的信息; 所述第二解密得到单元用于利用第一设备获取的第二设备密钥信息解密所述 第二设备公钥信息, 得到第二设备公钥副本。
    27、 如权利要求 22-26任一项所述的装置, 其特征在于, 所述第一配置模 块包括:
    第一运算单元,用于将所述第二设备公钥副本与第一设备用于执行密钥交 换的私钥进行运算得到第一交换密钥;
    配置信息加密单元, 用于以所述第一交换密钥为加密密钥,加密配置信息 后发送给所述第二设备。
    28、 如权利要求 22-26任一项所述的装置, 其特征在于, 所述第一配置模 块包括:
    配置信息接收单元, 用于接收所述第二设备发送的配置信息; 所述第二设 备发送的配置信息为利用第二交换密钥作为加密密钥加密的配置信息;所述第 二交换密钥为所述第二设备将得到的第一设备的公钥与自身第二设备的私钥 进行运算得到的结果;
    第二运算单元,用于将所述第二设备公钥副本与第一设备用于执行密钥交 换的私钥进行运算得到第一交换密钥;
    解密单元, 用于以所述第一交换密钥解密接收到的所述配置信息。
    29、 如权利要求 22-26任一项所述的装置, 其特征在于, 所述第一配置模 块包括:
    第三运算单元,将所述第二设备公钥副本与第一设备用于执行密钥交换的 私钥进行运算得到第一交换密钥;
    公钥运算值加密单元, 用于以所述第一交换密钥为加密密钥,加密第三设 备公钥运算值;所述第三设备公钥运算值为将所述第三设备用于执行密钥交换 的公钥进行预设算法的运算而得到的结果;
    发送单元, 用于将加密后的第三设备公钥运算值发送给所述第二设备; 以 使所述第二设备能安全获取所述第三设备公钥运算值,并利用所述第三设备公 钥运算值与所述第三设备进行密钥交换, 并完成最终的配置过程。
    30、 如权利要求 22-26任一项所述的装置, 其特征在于, 所述第一配置模 块包括:
    第四运算单元,用于将所述第二设备公钥副本与第一设备用于执行密钥交 换的私钥进行运算得到第一交换密钥;
    会话密钥生成单元,用于基于所述第一交换密钥生成用于保护第一设备与 第二设备之间业务数据传输的会话密钥。
    31、 如权利要求 22-26任一项所述的装置, 其特征在于, 所述第一配置模 块包括:
    第五运算单元,用于将所述第二设备公钥副本与第一设备用于执行密钥交 换的私钥进行运算得到第一交换密钥;
    主密钥生成单元,用于基于所述第一交换密钥生成进行四步握手过程时的 主密钥。
    32、 如权利要求 27所述的装置, 其特征在于, 所述装置还包括: 第一哈希运算模块,用于以第一交换密钥或第一交换密钥的衍生密钥作为 哈希消息认证码运算的输入密钥, 对加密后的配置信息进行哈希消息认证运 算, 并向第二设备发送进行哈希消息认证运算后的信息。
    33、 如权利要求 28所述的装置, 其特征在于, 所述装置还包括: 第二哈希运算模块, 用于当所述解密单元解密接收到的所述配置信息后, 生成配置确认信息,并以第一交换密钥或第一交换密钥的衍生密钥作为哈希消 息认证码运算的输入密钥,对所述配置确认信息进行哈希消息认证运算, 并向 第二设备发送进行哈希消息认证运算后的信息。
    34、 如权利要求 29所述的装置, 其特征在于, 所述装置还包括: 第三哈希运算模块,用于以第一交换密钥或第一交换密钥的衍生密钥作为 哈希消息认证码运算的输入密钥,对加密后的第三设备公钥运算值进行哈希消 息认证运算, 并向第二设备发送进行哈希消息认证运算后的信息。
    35、 一种网络配置设备, 其特征在于, 包括:
    第二设备公钥运算值生成模块,用于将第二设备用于执行密钥交换的公钥 进行预设算法的运算得到第二设备公钥运算值,以供第一设备通过带外方式获 取;
    接收获取模块, 用于接收所述第一设备发送的第一设备公钥信息, 并根据 所述第一设备公钥信息获取第一设备的公钥;所述第一设备公钥信息为所述第 一设备根据用于执行密钥交换的公钥生成的信息;
    第二设备公钥信息发送模块, 用于向所述第一设备发送第二设备公钥信 息;以使所述第一设备根据所述第二设备公钥信息获取第二设备用于执行密钥 交换的第二设备公钥副本;
    第二配置模块,用于根据第二设备用于执行密钥交换的私钥和获取的第一 设备公钥生成第二交换密钥, 以用于处理第一设备和第二设备之间的配置信 自 36、 如权利要求 35所述的网络配置设备, 其特征在于, 所述网络配置设 备还包括:
    随机密钥生成模块, 用于生成第二设备密钥信息, 以供第一设备通过带外 方式获取。
    37、 如权利要求 36所述的网络配置设备, 其特征在于, 所述接收获取模 块接收的所述第一设备公钥信息为所述第一设备利用所述第二设备密钥信息 作为对称加密密钥对所述第一设备用于执行密钥交换的公钥进行对称加密运 算而得到的信息;
    所述接收获取模块包括:
    第一解密单元,用于利用第二设备的第二设备密钥信息解密所述第一设备 公钥信息, 得到第一设备的公钥。
    38、 如权利要求 35或 36所述的网络配置设备, 其特征在于, 所述接收获 取模块接收的所述第一设备公钥信息为所述第一设备利用所述第二设备公钥 运算值作为对称加密密钥对所述第一设备用于执行密钥交换的公钥进行对称 加密运算而得到的信息;
    所述接收获取模块包括:
    第二解密单元,用于利用第二设备的第二设备公钥运算值解密所述第一设 备公钥信息, 得到第一设备的公钥。
    39、 如权利要求 38所述的网络配置设备, 其特征在于, 所述网络配置设 备还包括:
    公钥信息第一生成模块,用于利用第一设备公钥运算值作为对称加密密钥 对第二设备的公钥进行对称加密运算而得到第二设备公钥信息;所述第一设备 公钥运算值为所述第二设备将获得的第一设备的公钥进行预设算法的运算而 得到的结果; 或者
    公钥信息第二生成模块,用于当第一设备通过带外方式获取了第二设备密 钥信息时,利用自身的第二设备密钥信息对第二设备的公钥进行对称加密而得 到第二设备公钥信息。
    40、 如权利要求 35-39任一项所述的网络配置设备, 其特征在于, 所述第 二配置模块还包括:
    配置信息接收解密单元, 用于接收所述第一设备发送的配置信息; 所述配 置信息为第一设备以第一交换密钥为加密密钥进行加密后的配置信息,所述第 一交换密钥为所述第一设备以所述第二设备公钥副本与第一设备的私钥进行 运算而得到的结果;将第二设备用于执行密钥交换的私钥和获取的第一设备公 钥进行运算得到第二交换密钥,以所述第二交换密钥解密接收到的所述配置信 息; 和 /或
    配置信息发送单元,用于将所述第一设备的公钥与第二设备用于执行密钥 交换的私钥进行运算得到第二交换密钥; 以所述第二交换密钥为加密密钥,加 密配置信息后发送给所述第一设备。
    41、 如权利要求 35-39任一项所述的网络配置设备, 其特征在于, 所述第 二配置模块包括:
    第三设备公钥运算值接收解密单元,用于接收所述第一设备发送的加密后 的第三设备公钥运算值,将第二设备用于执行密钥交换的私钥和获取的第一设 备公钥进行运算得到第二交换密钥,以所述第二交换密钥解密所述第三设备公 钥运算值;所述加密后的第三设备公钥运算值为所述第一设备以所述第一交换 密钥为加密密钥对第三设备公钥运算值进行加密而得到的结果;所述第一交换 密钥为所述第一设备以所述第二设备公钥副本与第一设备的私钥进行运算而 得到的结果;所述第三设备公钥运算值为将所述第三设备用于执行密钥交换的 公钥进行预设算法的运算而得到的结果;
    配置子单元,用于利用所述第三设备公钥运算值与所述第三设备进行密钥 交换, 并完成最终的配置过程。
    42、 如权利要求 40或 41所述的网络配置设备, 其特征在于, 所述网络配 置设备还包括: 哈希运算验证模块,用于接收第一设备发送的经过哈希消息认证运算后的 信息,以第二交换密钥或第二交换密钥的衍生密钥作为哈希消息认证码运算的 解密密钥, 对接收到的所述经过哈希消息认证运算后的信息进行解密验证。
    43、 一种网络设备, 其特征在于, 包括: 输入装置、 输出装置、 存储器和 处理器;
    其中, 所述存储器用于存储程序代码, 所述处理器用于调用所述存储器存 储的程序代码执行如下步骤:
    由所述输入装置通过带外方式获取第二设备公钥运算值,所述第二设备公 钥运算值为将所述第二设备用于执行密钥交换的公钥进行预设算法的运算而 得到的结果; 根据第一设备用于执行密钥交换的公钥生成第一设备公钥信息, 通过所述输出装置将所述第一设备公钥信息发送给所述第二设备,以使所述第 二设备根据所述第一设备公钥信息获取第一设备的公钥;通过所述输入装置获 取所述第二设备发送的用于执行密钥交换的第二设备公钥副本;对所述第二设 备公钥副本进行所述预设算法的运算,得到第二设备公钥运算值副本; 当所述 第二设备公钥运算值副本与所述第二设备公钥运算值匹配后,根据第一设备用 于执行密钥交换的私钥和获取的第二设备公钥副本生成第一交换密钥,以用于 处理第一设备和第二设备之间的配置信息。
    44、 如权利要求 43所述的网络设备, 其特征在于, 所述处理器根据第一 设备用于执行密钥交换的公钥生成第一设备公钥信息之前还执行:
    由所述输入装置通过带外方式获取第二设备密钥信息。
    45、 如权利要求 44所述的网络设备, 其特征在于, 所述处理器根据第一 设备用于执行密钥交换的公钥生成第一设备公钥信息包括:
    利用所述第二设备密钥信息作为对称加密密钥,对所述第一设备用于执行 密钥交换的公钥进行对称加密运算, 生成第一设备公钥信息。
    46、 如权利要求 43或 44所述的网络设备, 其特征在于, 所述处理器根据 第一设备用于执行密钥交换的公钥生成第一设备公钥信息包括:
    利用所述第二设备公钥运算值作为对称加密密钥 ,对所述第一设备用于执 行密钥交换的公钥进行对称加密运算, 生成第一设备公钥信息。
    47、 如权利要求 46所述的网络设备, 其特征在于, 所述处理器通过所述 输入装置获取所述第二设备发送的用于执行密钥交换的第二设备公钥副本包 括:
    通过所述输入装置接收所述第二设备发送的第二设备公钥信息,所述第二 设备公钥信息为所述第二设备利用第一设备公钥运算值作为对称加密密钥对 第二设备的公钥进行对称加密运算而得到的信息;利用第一设备的第一设备公 钥运算值副本解密所述第二设备公钥信息,得到第二设备公钥副本; 所述第一 设备公钥运算值为所述第二设备将获得的第一设备的公钥进行预设算法的运 算而得到的结果;所述第一设备公钥运算值副本为将自身的公钥进行预设算法 的运算而得到的结果; 或者
    通过所述输入装置接收所述第二设备发送的第二设备公钥信息;当第一设 备通过带外方式获取了第二设备密钥信息时,所述第二设备公钥信息为所述第 二设备利用自身的第二设备密钥信息作为对称加密密钥对第二设备的公钥进 行对称加密运算而得到的信息;利用第一设备获取的第二设备密钥信息解密所 述第二设备公钥信息, 得到第二设备公钥副本。
    48、 如权利要求 43-47任一项所述的网络设备, 其特征在于, 所述处理器 根据第一设备用于执行密钥交换的私钥和获取的第二设备公钥副本生成第一 交换密钥, 以用于处理第一设备和第二设备之间的配置信息包括:
    将所述第二设备公钥副本与第一设备用于执行密钥交换的私钥进行运算 得到第一交换密钥; 以所述第一交换密钥为加密密钥,加密配置信息后发送给 所述第二设备。
    49、 如权利要求 43-47任一项所述的网络设备, 其特征在于, 所述处理器 根据第一设备用于执行密钥交换的私钥和获取的第二设备公钥副本生成第一 交换密钥, 以用于处理第一设备和第二设备之间的配置信息包括: 通过所述输入装置接收所述第二设备发送的配置信息;所述第二设备发送 的配置信息为利用第二交换密钥作为加密密钥加密的配置信息;所述第二交换 密钥为所述第二设备将得到的第一设备的公钥与自身第二设备的私钥进行运 算得到的结果;将所述第二设备公钥副本与第一设备用于执行密钥交换的私钥 进行运算得到第一交换密钥; 以所述第一交换密钥解密接收到的所述配置信 自
    50、 如权利要求 43-47任一项所述的网络设备, 其特征在于, 所述处理器 根据第一设备用于执行密钥交换的私钥和获取的第二设备公钥副本生成第一 交换密钥, 以用于处理第一设备和第二设备之间的配置信息包括:
    将所述第二设备公钥副本与第一设备用于执行密钥交换的私钥进行运算 得到第一交换密钥; 以所述第一交换密钥为加密密钥,加密第三设备公钥运算 值;所述第三设备公钥运算值为将所述第三设备用于执行密钥交换的公钥进行 预设算法的运算而得到的结果;将加密后的第三设备公钥运算值发送给所述第 二设备; 以使所述第二设备能安全获取所述第三设备公钥运算值, 并利用所述 第三设备公钥运算值与所述第三设备进行密钥交换, 并完成最终的配置过程。
    51、 如权利要求 43-47任一项所述的网络设备, 其特征在于, 所述处理器 根据第一设备用于执行密钥交换的私钥和获取的第二设备公钥副本生成第一 交换密钥, 以用于处理第一设备和第二设备之间的配置信息包括:
    将所述第二设备公钥副本与第一设备用于执行密钥交换的私钥进行运算 得到第一交换密钥;基于所述第一交换密钥生成用于保护第一设备与第二设备 之间业务数据传输的会话密钥。
    52、 如权利要求 43-47任一项所述的网络设备, 其特征在于, 所述处理器 根据第一设备用于执行密钥交换的私钥和获取的第二设备公钥副本生成第一 交换密钥, 以用于处理第一设备和第二设备之间的配置信息包括:
    将所述第二设备公钥副本与第一设备用于执行密钥交换的私钥进行运算 得到第一交换密钥; 基于所述第一交换密钥生成进行四步握手过程时的主密 钥。
    53、 如权利要求 48所述的网络设备, 其特征在于, 所述处理器以所述第 一交换密钥解密接收到的所述配置信息后还执行:
    以第一交换密钥或第一交换密钥的衍生密钥作为哈希消息认证码运算的 输入密钥,对加密后的配置信息进行哈希消息认证运算,通过所述输出装置并 向第二设备发送进行哈希消息认证运算后的信息。
    54、 如权利要求 49所述的网络设备, 其特征在于, 所述处理器还执行: 生成配置确认信息,并以第一交换密钥或第一交换密钥的衍生密钥作为哈 希消息认证码运算的输入密钥, 对所述配置确认信息进行哈希消息认证运算, 通过所述输出装置并向第二设备发送进行哈希消息认证运算后的信息。
    55、 如权利要求 50所述的网络设备, 其特征在于, 所述处理器还执行: 以第一交换密钥或第一交换密钥的衍生密钥作为哈希消息认证码运算的 输入密钥,对加密后的第三设备公钥运算值进行哈希消息认证运算, 并通过所 述输出装置向第二设备发送进行哈希消息认证运算后的信息。
    56、 一种网络设备, 其特征在于, 包括: 输入装置、 输出装置、 存储器和 处理器;
    其中, 所述存储器用于存储程序代码, 所述处理器用于调用所述存储器存 储的程序代码执行如下步骤:
    将第二设备用于执行密钥交换的公钥进行预设算法的运算得到第二设备 公钥运算值, 以供第一设备通过带外方式获取; 通过所述输入装置接收所述第 一设备发送的第一设备公钥信息,并根据所述第一设备公钥信息获取第一设备 的公钥;所述第一设备公钥信息为所述第一设备根据用于执行密钥交换的公钥 生成的信息; 通过所述输出装置向所述第一设备发送第二设备公钥信息; 以使 所述第一设备根据所述第二设备公钥信息获取第二设备用于执行密钥交换的 第二设备公钥副本;根据第二设备用于执行密钥交换的私钥和获取的第一设备 公钥生成第二交换密钥, 以用于处理第一设备和第二设备之间的配置信息。
    57、 如权利要求 56所述的网络设备, 其特征在于, 所述处理器通过所述 输入装置接收所述第一设备发送的第一设备公钥信息之前还包括:
    生成第二设备密钥信息, 以供第一设备通过带外方式获取。
    58、 如权利要求 57所述的网络设备, 其特征在于, 所述处理器通过所述 输入装置接收的所述第一设备公钥信息为所述第一设备利用所述第二设备密 钥信息作为对称加密密钥对所述第一设备用于执行密钥交换的公钥进行对称 加密运算而得到的信息;
    所述处理器根据所述第一设备公钥信息获取第一设备的公钥包括:利用第 二设备的第二设备密钥信息解密所述第一设备公钥信息, 得到第一设备的公 钥。
    59、 如权利要求 56或 57所述的网络设备, 其特征在于, 通过所述输入装 置接收的所述第一设备公钥信息为所述第一设备利用所述第二设备公钥运算 值作为对称加密密钥对所述第一设备用于执行密钥交换的公钥进行对称加密 运算而得到的信息;
    所述处理器根据所述第一设备公钥信息获取第一设备的公钥包括: 利用第二设备的第二设备公钥运算值解密所述第一设备公钥信息,得到第 一设备的公钥。
    60、 如权利要求 59所述的网络设备, 其特征在于, 所述第二设备公钥信 息为所述处理器利用第一设备公钥运算值对第二设备的公钥进行对称加密而 得到的信息;所述第一设备公钥运算值为所述处理器将获得的第一设备的公钥 进行预设算法的运算而得到的结果; 或者
    当第一设备通过带外方式获取了第二设备密钥信息时,所述第二设备公钥 信息为所述处理器利用自身的第二设备密钥信息对第二设备的公钥进行对称 加密而得到的信息。
    61、 如权利要求 56-60任一项所述的网络设备, 其特征在于, 所述处理器 根据第二设备用于执行密钥交换的私钥和获取的第一设备公钥生成第二交换 密钥, 以用于处理第一设备和第二设备之间的配置信息包括:
    通过所述输入装置接收所述第一设备发送的配置信息;所述配置信息为第 一设备以第一交换密钥为加密密钥进行加密后的配置信息,所述第一交换密钥 为所述第一设备以所述第二设备公钥副本与第一设备的私钥进行运算而得到 的结果;将第二设备用于执行密钥交换的私钥和获取的第一设备公钥进行运算 得到第二交换密钥, 以所述第二交换密钥解密接收到的所述配置信息; 或者 将第二设备用于执行密钥交换的私钥和获取的第一设备公钥进行运算得 到第二交换密钥; 以所述第二交换密钥为加密密钥,加密配置信息后通过所述 输出装置发送给所述第一设备。
    62、 如权利要求 56-60任一项所述的网络设备, 其特征在于, 所述处理器 根据第二设备用于执行密钥交换的私钥和获取的第一设备公钥生成第二交换 密钥, 以用于处理第一设备和第二设备之间的配置信息包括:
    通过所述输入装置接收所述第一设备发送的加密后的第三设备公钥运算 值;将第二设备用于执行密钥交换的私钥和获取的第一设备公钥进行运算得到 第二交换密钥, 以所述第二交换密钥解密所述第三设备公钥运算值, 并利用所 述第三设备公钥运算值与所述第三设备进行密钥交换, 并完成最终的配置过 程;所述加密后的第三设备公钥运算值为所述第一设备以所述第一交换密钥为 加密密钥对第三设备公钥运算值进行加密而得到的结果;所述第一交换密钥为 所述第一设备以所述第二设备公钥副本与第一设备的私钥进行运算而得到的 结果;所述第三设备公钥运算值为将所述第三设备用于执行密钥交换的公钥进 行预设算法的运算而得到的结果。
    63、 如权利要求 61或 62所述的方法, 其特征在于, 所述处理器还执行: 通过所述输入装置接收第一设备发送的经过哈希消息认证运算后的信息, 以第二交换密钥或第二交换密钥的衍生密钥作为哈希消息认证码运算的解密 密钥,对通过所述输入装置接收到的所述经过哈希消息认证运算后的信息进行 解密验证。
    64、 一种网络配置系统, 其特征在于, 包括第一设备和第二设备, 其中 所述第一设备如权利要求 43-55任一项所述的网络设备;
    所述第二设备如权利要求 56-63任一项所述的网络设备。
CN201380081351.3A 2013-12-31 2013-12-31 一种网络配置方法、相关装置及系统 Active CN105814859B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2013/091236 WO2015100675A1 (zh) 2013-12-31 2013-12-31 一种网络配置方法、相关装置及系统

Publications (2)

Publication Number Publication Date
CN105814859A true CN105814859A (zh) 2016-07-27
CN105814859B CN105814859B (zh) 2019-04-19

Family

ID=53493011

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201380081351.3A Active CN105814859B (zh) 2013-12-31 2013-12-31 一种网络配置方法、相关装置及系统

Country Status (4)

Country Link
US (1) US10097524B2 (zh)
EP (1) EP3068091B1 (zh)
CN (1) CN105814859B (zh)
WO (1) WO2015100675A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109890029A (zh) * 2019-01-29 2019-06-14 珠海迈科智能科技股份有限公司 一种智能无线设备的自动配网方法

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10231123B2 (en) * 2015-12-07 2019-03-12 GM Global Technology Operations LLC Bluetooth low energy (BLE) communication between a mobile device and a vehicle
US11170094B2 (en) * 2016-01-27 2021-11-09 Secret Double Octopus Ltd. System and method for securing a communication channel
US10097948B2 (en) * 2016-03-31 2018-10-09 Intel Corporation Point-and-connect bluetooth pairing
US10917767B2 (en) 2016-03-31 2021-02-09 Intel Corporation IOT device selection
US10505909B2 (en) 2016-12-21 2019-12-10 Intel Corporation Dual physical channel secure connection
US10984136B2 (en) * 2017-04-21 2021-04-20 Micron Technology, Inc. Secure memory device with unique identifier for authentication
US10630467B1 (en) * 2019-01-04 2020-04-21 Blue Ridge Networks, Inc. Methods and apparatus for quantum-resistant network communication
CN110493234B (zh) * 2019-08-23 2021-08-03 中国工商银行股份有限公司 证书处理方法、证书处理装置和电子设备

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020169953A1 (en) * 2001-05-10 2002-11-14 Moharram Omayma E. Content provider secure and tracable portal
EP1569382A1 (en) * 2004-02-27 2005-08-31 Microsoft Corporation Method and system for authenticating a device by transferring its public key out-of-band
US20070104322A1 (en) * 2003-11-13 2007-05-10 Yong Ding Digital signature method based on braid groups conjugacy and verify method thereof
CN101083530A (zh) * 2007-07-13 2007-12-05 北京工业大学 利用短消息实现的移动实体间的认证与密钥协商方法
CN101150849A (zh) * 2006-09-18 2008-03-26 华为技术有限公司 生成绑定管理密钥的方法、系统、移动节点及通信节点
CN101667913A (zh) * 2009-09-18 2010-03-10 重庆邮电大学 基于对称加密的认证加密方法及加密系统
US20100333186A1 (en) * 2005-12-13 2010-12-30 Microsoft Corporation Two-way authentication using a combined code
CN102195930A (zh) * 2010-03-02 2011-09-21 华为技术有限公司 设备间安全接入方法和通信设备

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7142674B2 (en) 2002-06-18 2006-11-28 Intel Corporation Method of confirming a secure key exchange
US8406735B2 (en) * 2008-06-24 2013-03-26 Stmicroelectronics S.R.L. Method for pairing electronic equipment in a wireless network system
US8881294B2 (en) * 2011-02-18 2014-11-04 Honeywell International Inc. Methods and systems for securely uploading files onto aircraft
US9288228B2 (en) * 2011-08-05 2016-03-15 Nokia Technologies Oy Method, apparatus, and computer program product for connection setup in device-to-device communication
CN104704769B (zh) * 2012-10-15 2018-07-27 皇家飞利浦有限公司 无线通信系统

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020169953A1 (en) * 2001-05-10 2002-11-14 Moharram Omayma E. Content provider secure and tracable portal
US20070104322A1 (en) * 2003-11-13 2007-05-10 Yong Ding Digital signature method based on braid groups conjugacy and verify method thereof
EP1569382A1 (en) * 2004-02-27 2005-08-31 Microsoft Corporation Method and system for authenticating a device by transferring its public key out-of-band
US20100333186A1 (en) * 2005-12-13 2010-12-30 Microsoft Corporation Two-way authentication using a combined code
CN101150849A (zh) * 2006-09-18 2008-03-26 华为技术有限公司 生成绑定管理密钥的方法、系统、移动节点及通信节点
CN101083530A (zh) * 2007-07-13 2007-12-05 北京工业大学 利用短消息实现的移动实体间的认证与密钥协商方法
CN101667913A (zh) * 2009-09-18 2010-03-10 重庆邮电大学 基于对称加密的认证加密方法及加密系统
CN102195930A (zh) * 2010-03-02 2011-09-21 华为技术有限公司 设备间安全接入方法和通信设备

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109890029A (zh) * 2019-01-29 2019-06-14 珠海迈科智能科技股份有限公司 一种智能无线设备的自动配网方法

Also Published As

Publication number Publication date
US10097524B2 (en) 2018-10-09
EP3068091B1 (en) 2020-04-01
EP3068091A1 (en) 2016-09-14
EP3068091A4 (en) 2016-12-14
US20170006004A1 (en) 2017-01-05
WO2015100675A1 (zh) 2015-07-09
CN105814859B (zh) 2019-04-19

Similar Documents

Publication Publication Date Title
CN105814859A (zh) 一种网络配置方法、相关装置及系统
USRE49876E1 (en) Secure configuration of a headless networking device
CN105850168B (zh) 一种网络设备安全连接方法、相关装置及系统
CN105684344B (zh) 一种密钥配置方法和装置
JP6218841B2 (ja) ワイヤレス通信システム
ES2662071T3 (es) Procedimiento y aparato para la autenticación mutua
WO2015149723A1 (zh) 一种用于建立安全连接的方法、设备及系统
US8787572B1 (en) Enhanced association for access points
Liu et al. A novel asymmetric three-party based authentication scheme in wearable devices environment
CN109863770A (zh) 用于设备设定协议(dpp)的配置器密钥包
EP4254861A1 (en) Secure access method and device
US20070055877A1 (en) Security in a communication network
EP3661241B1 (en) Method and device for protecting privacy
US20100042838A1 (en) Public Key Out-of-Band Transfer for Mutual Authentication
WO2014180296A1 (zh) 一种设备之间建立连接的方法、配置设备和无线设备
WO2014101578A1 (zh) 数字电视终端的通信配对方法、终端以及系统
TW201725921A (zh) 用於安全通信之網路系統
CN105009618A (zh) 一种配置无线终端的方法、设备及系统
JP2007506329A (ja) Wlanセキュリティを向上させる方法
WO2021109668A1 (zh) 一种安全认证方法、装置及电子设备
US20230052917A1 (en) Pairing method applied to short-range communication system and wireless device
WO2021083349A1 (zh) 一种基于安全芯片的安全认证方法与系统、安全芯片及可读存储介质
JP2005323149A (ja) 無線通信システム
KR20060027311A (ko) 통신망에서의 보안성
WO2022109941A1 (zh) 应用于WiFi的安全认证的方法和装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20171106

Address after: Metro Songshan Lake high tech Industrial Development Zone, Guangdong Province, Dongguan City Road 523808 No. 2 South Factory (1) project B2 -5 production workshop

Applicant after: HUAWEI terminal (Dongguan) Co., Ltd.

Address before: 518129 Longgang District, Guangdong, Bantian HUAWEI base B District, building 2, building No.

Applicant before: Huawei Device Co., Ltd.

GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: 523808 Southern Factory Building (Phase I) Project B2 Production Plant-5, New Town Avenue, Songshan Lake High-tech Industrial Development Zone, Dongguan City, Guangdong Province

Patentee after: Huawei Device Co., Ltd.

Address before: 523808 Southern Factory Building (Phase I) Project B2 Production Plant-5, New Town Avenue, Songshan Lake High-tech Industrial Development Zone, Dongguan City, Guangdong Province

Patentee before: HUAWEI terminal (Dongguan) Co., Ltd.