CN106465104A - 密钥共享方法和装置 - Google Patents
密钥共享方法和装置 Download PDFInfo
- Publication number
- CN106465104A CN106465104A CN201580033221.1A CN201580033221A CN106465104A CN 106465104 A CN106465104 A CN 106465104A CN 201580033221 A CN201580033221 A CN 201580033221A CN 106465104 A CN106465104 A CN 106465104A
- Authority
- CN
- China
- Prior art keywords
- key
- information
- shared
- relevant
- communication means
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Telephone Function (AREA)
Abstract
公开了一种密钥共享方法,该方法由共享密钥的第一装置执行,所述方法包括:基于预设的信道排名信息来确定用于在第一装置与第二装置之间交换密钥的通信方法;通过使用所确定的通信方法从第二装置接收第二装置的密钥;以及验证第二装置的已接收密钥。
Description
技术领域
一个或多个实施方案涉及一种共享装置的密钥的方法,更具体地,涉及一种用于在装置之间共享密钥的方法和装置。
背景技术
近年来,内容被频繁地共享,使用装置进行的语音/视频呼叫已变成通用的通信方法。然而,此类通信方法具有弱安全性。尽管如此,由于对保护装置用户的个人信息的需求逐渐增加,所以正开发用于装置之间的通信的加密方法。
图1a说明了通用秘密密钥共享系统10。在通用秘密密钥共享系统10中,装置接收由服务器分配的秘密密钥,并通过使用从服务器接收到的秘密密钥来加密数据。然而,在通用秘密密钥共享系统10中,服务器将相同的秘密密钥提供到数个装置,因此安全性是脆弱的。
图1b说明了通用公开密钥共享系统20。在通用公开密钥共享系统10中,装置交换公开密钥并通过使用所交换的公开密钥来加密数据。然而,为了在装置之间安全交换公开密钥,每个装置需要具有证书,且需要单独地交换所述证书。又,当不具有证书的装置交换公开密钥时,所述装置易受中间人(MITM)攻击。
可使用一种通过某种应用来交换在装置之间通信所需的密钥的方法,但用户难以根据情况来确定合适的通信方法。
发明内容
技术问题
一个或多个实施方案包括一种安全共享密钥的方法。
技术方案
一个或多个实施方案包括一种基于可靠性关系的装置密钥共享方法。
附图说明
图1a和图1b是通用的密钥共享系统的图式。
图2说明根据实施方案的用于描述装置之间的密钥交换的系统。
图3是根据实施方案的密钥交换方法的流程图。
图4是根据实施方案的用于交换密钥的装置的框图。
图5说明根据实施方案的用于描述密钥共享方法的系统。
图6是根据实施方案的密钥共享方法的流程图。
图7是根据实施方案的用于共享密钥的装置的框图。
图8是根据实施方案的密钥交换和密钥共享方法的详细流程图。
图9是根据实施方案的密钥交换方法的详细流程图。
图10是根据实施方案的密钥交换方法的详细流程图。
图11是根据实施方案的密钥共享方法的详细流程图。
图12是根据实施方案的装置的详细框图。
图13是根据实施方案的用于描述关于密钥的共享信息的表。
图14说明根据实施方案的确定通信方法的方法的示例。
图15说明根据实施方案的密钥验证方法的示例。
图16说明根据实施方案的密钥验证方法的示例。
图17是根据实施方案的密钥交换和密钥共享方法的详细流程图。
图18是根据实施方案的装置的详细框图。
图19说明根据实施方案的用于描述装置之间的密钥交换和共享方法的系统。
图20是根据实施方案的用于描述共享历史信息和关于密钥的可靠性水平信息的表。
具体实施方式
最佳模式
根据一个或多个实施方案,提供由第一装置执行的一种共享密钥的方法,所述方法包括:基于预设的信道排名信息来确定用于在第一装置与第二装置之间交换密钥的通信方法;通过使用所确定的通信方法从第二装置接收第二装置的密钥;以及验证第二装置的已接收密钥。
对第二装置的已接收密钥的验证可包括:基于所确定的通信方法来确定第二装置的密钥的验证方法;以及根据所确定的验证方法来验证第二装置的密钥。
当所确定的通信方法是短程通信方法时,对第二装置的密钥的验证可包括:输出用于验证第二装置的密钥的短验证字符串(SAS);以及选择性地接收与所输出的SAS相关的用户输入。
当所确定的通信方法是远程通信方法时,对第二装置的密钥的验证可包括:经由短消息服务(SMS)来接收第二装置的密钥的散列值;通过使用散列函数来计算第二装置的已接收密钥的散列值;以及比较所计算的散列值与经由SMS所接收的散列值。
预设的信道排名信息可包括与通信信道的优先级有关的信息,所述优先级是基于第一装置的偏好信息、与第一装置与第二装置之间的距离有关的信息和在第一装置与第二装置之间建立的信道信息中的至少之一来确定的。
对通信方法的确定可进一步包括:根据所确定的通信方法来设定关于第二装置的通信信道,对第二装置的密钥的接收可包括:通过所设定的通信信道来接收第二装置的密钥;以及通过所设定的通信信道将第一装置的密钥发送到第二装置。
所述方法可进一步包括:基于第二装置的密钥来生成用于与第二装置通信的主密钥。
所述方法可进一步包括:将针对第三装置的密钥的请求发送到第二装置;从第二装置接收第三装置的密钥和与第三装置的密钥有关的共享信息;更新与第三装置的密钥有关的共享信息;以及存储第三装置的密钥和与第三装置的密钥有关的共享信息。
所述方法可进一步包括:从第二装置接收针对第三装置的密钥的请求;更新与第三装置的密钥有关的共享信息;以及发送第三装置的密钥和与第三装置的密钥有关的共享信息。
所述方法可进一步包括:基于验证的结果来存储第二装置的密钥。
所述方法可进一步包括:生成与第二装置的密钥有关的共享信息;以及存储与第二装置的密钥有关的共享信息。
与第二装置的密钥有关的共享信息可包括共享历史信息,所述共享历史信息包括与共享第三装置的密钥的装置有关的信息和与第三装置的密钥的共享次序有关的信息。
根据一个或多个实施方案,提供由第一装置执行的一种共享密钥的方法,所述方法包括:针对第三装置的密钥来请求第二装置;从第二装置接收第三装置的密钥和与第三装置的密钥有关的共享信息;以及存储第三装置的已接收密钥和与第三装置的密钥有关的已接收共享信息。
与第三装置的密钥有关的共享信息可包括共享历史信息,所述共享历史信息包括与共享第三装置的密钥的装置有关的信息和与第三装置的密钥的共享次序有关的信息。
与第三装置的密钥有关的共享信息可包括第三装置的密钥的有效日期信息、第三装置的密钥的散列值信息和第三装置的信息中的至少之一。
所述方法可进一步包括:更新与第三装置的已接收密钥有关的共享历史信息;以及存储与第三装置的密钥有关的共享历史信息。
所述方法可进一步包括:从第四装置接收针对第三装置的密钥的请求;更新与第三装置的密钥有关的共享历史信息;存储第三装置的密钥和与第三装置的密钥有关的共享历史信息;以及将第三装置的已接收密钥和与第三装置的密钥有关的已更新的共享历史信息发送到第四装置。
所述方法可进一步包括:通过使用第三装置的已接收密钥来加密数据;以及将已加密数据发送到第三装置。
对第三装置的已接收密钥和与第三装置的密钥有关的已接收共享信息的存储可包括:映射第三装置的用户信息和与第三装置的密钥有关的共享信息。
第三装置可包括多个装置,第三装置的密钥可包括与所述多个装置的密钥分别对应的密钥。
根据一个或多个实施方案,计算机可读记录媒体具有记录于其上的程序,所述程序在由计算机执行时执行所述方法。
根据一个或多个实施方案,提供一种与第二装置共享密钥的第一装置,所述第一装置包括:通信方法确定器,其被配置成基于预设的信道排名信息来确定用于在第一装置与第二装置之间交换密钥的通信方法;发送器,其被配置成通过使用所确定的通信方法将第一装置的密钥发送到第二装置;接收器,其被配置成通过使用所确定的通信方法从第二装置接收第二装置的密钥;以及验证器,其被配置成验证第二装置的已接收密钥。
验证器可进一步被配置成:基于所确定的通信方法来确定第二装置的密钥的验证方法;以及根据所确定的验证方法来验证第二装置的密钥。
第一装置可进一步包括输出单元,其中,当所确定的通信方法是短程通信方法时,验证器可进一步被配置成将输出单元控制为:输出用于验证第二装置的密钥的短验证字符串(SAS);以及选择性地接收与所输出的SAS相关的用户输入。
当所确定的通信方法是远程通信方法时,验证器可进一步被配置成:经由短消息服务(SMS)通过接收器来接收第二装置的密钥的散列值;通过使用散列函数来计算第二装置的已接收密钥的散列值;以及比较所计算的散列值与经由SMS所接收的散列值。
预设的信道排名信息可包括与通信信道的优先级有关的信息,所述优先级是基于第一装置的偏好信息、与第一装置与第二装置之间的距离有关的信息和在第一装置与第二装置之间建立的信道信息中的至少之一来确定的。
通信方法确定器可根据所确定的通信方法来设定关于第二装置的通信信道,发送器可通过所设定的通信信道将第一装置的密钥发送到第二装置。
验证器可基于第一装置的密钥和第二装置的密钥中的至少之一来生成用于与第二装置通信的主密钥。
第一装置可进一步包括密钥管理器和密钥存储单元,其中发送器可将针对第三装置的密钥的请求发送到第二装置,接收器可从第二装置接收第三装置的密钥和与第三装置的密钥有关的共享信息,密钥管理器可更新与第三装置的密钥有关的共享信息,密钥存储单元可存储第三装置的密钥和与第三装置的密钥有关的共享信息。
第一装置可进一步包括密钥管理器,其中接收器从第二装置接收针对第三装置的密钥的请求,密钥管理器更新与第三装置的密钥有关的共享信息,发送器可发送第三装置的密钥和与第三装置的密钥有关的共享信息。
第一装置可进一步包括密钥存储单元,其中所述密钥存储单元基于验证的结果来存储第二装置的密钥。
第一装置可进一步包括密钥管理器和密钥存储单元,其中所述密钥管理器可生成与第二装置的密钥有关的共享信息,所述密钥存储单元可存储与第二装置的密钥有关的共享信息。
与第二装置的密钥有关的共享信息可包括共享历史信息,所述共享历史信息包括与共享第三装置的密钥的装置有关的信息和与第三装置的密钥的共享次序有关的信息。
根据一个或多个实施方案,提供一种与第二装置共享密钥的第一装置,所述第一装置包括:发送器,其被配置成针对第三装置的密钥来请求第二装置;接收器,其被配置成从第二装置接收第三装置的密钥和与第三装置的密钥有关的共享信息;以及密钥存储单元,其被配置成存储第三装置的已接收密钥和与第三装置的密钥有关的已接收共享信息。
与第三装置的密钥有关的共享信息可包括共享历史信息,所述共享历史信息包括与共享第三装置的密钥的装置有关的信息和与第三装置的密钥的共享次序有关的信息。
与第三装置的密钥有关的共享信息可包括第三装置的密钥的有效日期信息、第三装置的密钥的散列值信息和第三装置的信息中的至少之一。
第一装置可进一步包括密钥管理器,其中所述密钥管理器可被配置成更新与第三装置的密钥有关的共享历史信息,密钥存储单元可被配置成存储与第三装置的密钥有关的共享历史信息。
第一装置可进一步包括密钥管理器,其中接收器可被配置成从第四装置接收针对第三装置的密钥的请求,密钥管理器可被配置成更新与第三装置的密钥有关的共享历史信息,密钥存储单元可被配置成存储第三装置的密钥和与第三装置的密钥有关的共享历史信息,发送器可被配置成将第三装置的已接收密钥和与第三装置的密钥有关的已更新的共享历史信息发送到第四装置。
第一装置可进一步包括加密器,其中所述加密器可通过使用第三装置的已接收密钥来加密数据,发送器可将已加密数据发送到第三装置。
密钥存储单元可包括信息映射单元,所述信息映射单元被配置成映射第三装置的用户信息和与第三装置的密钥有关的共享信息。
第三装置可包括多个装置,第三装置的密钥可包括与所述多个装置的密钥分别对应的密钥。
本发明的模式
本文中使用的所有术语(包括描述性或技术性术语)应解释为具有对于本领域普通技术人员显而易见的含义。然而,所述术语可根据本领域普通技术人员的意图、判例或新技术的出现而具有不同含义。又,一些术语可由申请人任意选择,在这种情况下,将在本发明的详细描述中来详细描述所选术语的含义。因此,本文中所使用的术语不得不基于所述术语的含义连同贯穿说明书的描述来定义。
在说明书中,当一区域“连接”到另一个区域时,所述区域可不仅被“直接连接”,而且可经由其间的另一个装置被“电连接”。又,当零件“包括(include/comprise)”元件时,除非存在与之相反的特定描述,否则所述零件可进一步包括其他元件(不排除其他元件)。在以下描述中,诸如“单元”和“模块”的术语指示用于处理至少一个功能或操作的单元,其中单元和块可体现为硬件或软件或通过组合硬件与软件来体现。
在说明书中,装置的示例可为个人计算机(PC)、蜂窝电话、智能电话、电视机(TV)、平板PC、膝上型计算机、个人数字助理(PDA)、便携式多媒体播放器(PMP)、导航装置、MP3播放器和数字相机,但并不限于此而是可包括各种装置。
在说明书中,装置的密钥可包括公开密钥(非对称密钥),另外包括秘密密钥(对称密钥)。装置的密钥可为用于装置之间的加密通信的数据,可通过存储在所述装置中的密钥计算算法来生成。密钥计算算法的示例可包括各种算法,诸如高级加密标准(AES)、消息-摘要算法5(MD5)和椭圆曲线Diffie-Hellman(ECDH),但并不限于此。由于密钥计算算法对本领域普通技术人员是众所周知的,所以本文中不提供其细节。
在说明书中,密钥交换可以是第一装置与第二装置交换第一装置的密钥和第二装置的密钥中至少之一的过程。换句话说,密钥交换可以是在两个装置之间交换所述两个装置的密钥的过程。
在说明书中,密钥共享可以是第一装置与第二装置不仅交换第一装置的密钥和第二装置的密钥而且交换第三装置的密钥的过程。换句话说,可交换除两个装置以外的另一个装置的密钥。此处,密钥共享可包括密钥交换的概念。
在说明书中,短程通信方法可以是仅当两个装置在预定范围内通信才有可能的通信方法,且可以是(例如)蓝牙或近场通信(NFC),但并不限于此。
在说明书中,远程通信方法可以是通信有可能无关于两个装置之间的距离的通信方法。例如,根据远程通信方法,即使当两个装置之间的距离等于或高于预定距离时,两个装置仍可通过中继设备(诸如,存取点(AP))来彼此通信。远距离通信方法的示例可包括使用蜂窝网络的通信方法(诸如,短消息服务(SMS)或电话呼叫),但并不限于此。
图2说明根据实施方案的用于描述装置之间的密钥交换的系统。
根据实施方案,第一装置101可与第二装置102通信。当与第二装置102通信时,第一装置101可加密然后发送数据。
根据实施方案,第二装置102加密并发送数据到第一装置101所需的信息是第一装置的密钥。换句话说,第一装置的密钥可以是另一个装置(诸如,第二装置)加密并发送数据到第一装置所需的信息。和第一装置的密钥一样,第二装置的密钥可以是另一个装置(诸如,第一装置)加密并发送数据到第二装置所需的信息。
根据实施方案,第一装置101可从第二装置102接收第二装置的密钥。此处,第一装置101还可将第一装置的密钥发送到第二装置102。
根据实施方案,第一装置101可确定与第二装置102及用于第一装置101与第二装置之间的密钥交换的通信方法。根据实施方案,通信方法的示例可包括远程通信方法和短程通信方法。
根据实施方案,第一装置101可基于预设的信道排名信息来确定与第二装置102的通信方法。根据实施方案,预设的信道排名信息可包括与通信信道的优先级有关的信息,所述优先级是基于第一装置101的偏好信息、关于第一装置101与第二装置之间距离的信息和在第一装置101与第二装置102之间所建立的信道信息中的至少之一来确定的。
换句话说,根据实施方案的信道排名信息是用于确定适合于各种情况的通信信道和通信方法的准则信息,且第一装置101可根据信道排名信息来确定与第二装置102的通信方法。根据实施方案,第一装置101可确定验证从第二装置102接收到的第二装置的密钥的方法。根据实施方案,第一装置101可基于所确定的用于与第二装置102进行密钥交换的通信方法来确定验证方法。
根据实施方案,第一装置101可验证第二装置的已接收密钥,并基于验证的结果来存储第二装置的密钥。
又,根据实施方案,第一装置101可从第二装置102接收第三装置的密钥。换句话说,当第二装置102存储第三装置(未示出)的密钥时,第一装置101可针对第三装置的密钥来请求第二装置102。换句话说,第一装置101可请求和接收存储在第二装置102中的另一个装置的密钥。
根据实施方案,当第一装置101接收到另一个装置的密钥(诸如,第三装置的密钥)时,第一装置101可接收与第三装置的密钥有关的共享信息。第一装置101可基于包括在与第三装置的密钥有关的共享信息中的共享历史信息来确定第三装置的密钥的可靠性。
又,根据实施方案,第一装置101可通过使用从第二装置102接收到的第三装置的密钥来与第三装置通信。换句话说,通过从第二装置102接收第三装置的密钥,第一装置101可执行与第三装置的加密通信而不必与第三装置直接交换密钥,如下文将参考图5详细描述。
根据实施方案,通过选择适合于装置的情况的通信方法,提供了一种安全共享密钥的方法,因此当需要安全共享实际内容时有可能在某个时间点使用共享密钥实现加密。又,根据实施方案,可提供密钥或算法,使得根据由第一装置101执行的每个应用来执行加密/解密。另外,根据实施方案,第一装置101和第二装置102可使用公共参数信息以简化协商过程和降低通信开销。又,可通过在装置之间使用点对点通信方法来执行装置的密钥交换,而不必使用验证服务器。
图3是根据实施方案的密钥交换方法的流程图。
在操作301中,第一装置可基于预设的信道排名信息来确定用于在第一装置与第二装置之间进行密钥交换的通信方法。
根据实施方案,信道排名信息可包括与通信信道之间的优先级有关的信息,所述优先级是基于第一装置的偏好信息、关于第一装置与第二装置之间距离的信息和在第一装置与第二装置之间建立的信道信息中的至少一者来确定的。
根据实施方案,第一装置的偏好信息是与第一装置首选的通信方法有关的偏好信息,可包括与第一装置的用户预设的通信方法的优先级有关的信息。又,可通过在密钥交换期间的用户输入来确定信道排名信息。
换句话说,根据实施方案的信道排名信息是用于确定适合于各种情况的通信信道的准则信息,第一装置可根据信道排名信息来确定与第二装置通信的方法。例如,第一装置可存储信道排名信息,所述信道排名信息设定成首先基于用户输入来确定通信方法,作为二级计划,基于第一装置与第二装置之间的距离来确定通信方法。又,第一装置可存储信道排名信息,所述信道排名信息设定成使得当存在第一装置与第二装置之间预设的通信信道时使用预设的通信方法。
例如,当第二装置是在第一装置的预定距离内时,第一装置可选择短程通信方法,当第二装置不在第一装置的预定距离内时,第一装置可选择远程通信方法。此处,第一装置可基于距离来选择各种短程通信方法中之一,可基于第一装置的用户的输入通过设定通信方法的偏好来确定通信方法的优先级,或可通过在执行密钥交换时接收用户的输入来确定通信方法。换句话说,第一装置可确定最适合于第一装置的情况和条件的通信方法。
根据实施方案,第一装置可根据所确定的通信方法来设定与第二装置的通信信道。例如,当第一装置将蓝牙通信方法确定为与第二装置的密钥交换方法时,第一装置可根据与第二装置的蓝牙通信方法来设定通信信道。通过所设定的通信信道,第一装置可将第一装置的密钥发送到第二装置,或可从第二装置接收第二装置的密钥。
另外,第一装置可根据由第二装置所作的协商来确定用于在第一装置与第二装置之间进行密钥交换的通信方法。
在操作303中,第一装置可通过使用所确定的通信方法从第二装置接收第二装置的密钥。
根据实施方案,第一装置可根据在操作301中所确定的通信方法从第二装置接收第二装置的密钥。例如,第一装置可通过近场通信(NFC)方法来接收第二装置的密钥,或可通过使用短消息服务(SMS)来接收第二装置的密钥或第二装置的密钥的散列值。又,第一装置可通过网络(诸如,Wi-Fi)来接收第二装置的密钥。
另外,根据实施方案,第一装置可将第一装置的密钥发送到第二装置。换句话说,当在第一装置与第二装置之间进行通信所需的密钥的数目是1时,第一装置和第二装置中之一可生成并提供密钥,但是当用于加密待从第一装置发送到第二装置的数据所需的密钥与用于加密待从第二装置发送到第一装置的数据所需的密钥不同时,第一装置与第二装置两者可生成密钥并交换所述密钥。
在操作305中,第一装置可验证第二装置的已接收密钥。
根据实施方案,第一装置可确定第二装置的已接收密钥是否准确。
例如,第一装置可基于第二装置的已接收密钥来输出短验证字符串(SAS)。又,第二装置还可基于第二装置的密钥来输出SAS。由于存储在第二装置中的第二装置的密钥是准确的,所以从第二装置输出的SAS与从第一装置输出的SAS相同,第一装置可验证第二装置的已接收密钥是准确的。
根据实施方案,第一装置可基于在操作301中所确定的通信方法来确定验证方法。例如,当第一装置通过远程通信方法从第二装置接收第二装置的密钥时,第一装置可通过使用蜂窝网络的SMS来接收第二装置的密钥的散列值。第一装置可通过使用散列函数来计算在操作303中接收的第二装置的密钥的散列值,比较所计算的散列值与已接收的散列值以验证第二装置的已接收密钥。
根据实施方案,SMS是通过使用蜂窝网络的控制数据格式来发送有限消息的方法,且是可靠的,因为黑客攻击的风险极低。因此,第一装置可通过比较第二装置的密钥或第二装置的密钥的散列值(其经由SMS来接收)与第二装置的密钥(其通过使用数据通信来接收)来验证第二装置的密钥。另外,根据实施方案,第一装置可输出第二装置的密钥的值(其经由SMS来接收)和第二装置的密钥的所计算的散列值,且可接收与输出结果相关的用户输入。
根据实施方案,当第一装置确定通过使用短程通信方法从第二装置接收第二装置的密钥时,第一装置可基于在操作303中接收的第二装置的密钥来输出SAS。第二装置也可基于第二装置的密钥来输出SAS。
根据实施方案,由于使用短程通信方法的第一装置和第二装置在预定范围内,所以第一装置的用户或第二装置的用户可比较从第一装置和第二装置输出的SAS以执行验证。另外,第一装置可选择性地接收与所输出的SAS相关的用户输入。
根据实施方案,第一装置可基于验证的结果来存储第二装置的已接收密钥。又,第一装置可生成与第二装置的已接收密钥有关的共享信息。
根据实施方案,共享信息可包括与共享装置的密钥的装置有关的信息、共享历史信息、所述装置的密钥的有效日期信息、所述装置的密钥的散列值信息、与所述装置有关的信息和与所述装置的用户有关的信息中的至少之一。
根据实施方案,与共享装置的密钥的装置有关的信息可包括与哪个装置存储所述装置的密钥有关的信息。例如,与共享第二装置的密钥的装置有关的信息可包括与存储有第二装置的密钥的装置有关的信息。
根据实施方案,与装置的密钥有关的共享历史信息可包括与装置的密钥的共享次序有关的信息。换句话说,共享历史信息可包括与提供装置的密钥的流程有关的信息。例如,与第三装置的密钥有关的共享历史信息可包括指示第三装置的密钥已通过第四装置和第二装置提供到第一装置的信息。
又,根据实施方案,第一装置可基于第二装置的密钥来生成用于与第二装置通信的主密钥。根据实施方案,主密钥可以是用于加密和解密第一装置与第二装置之间的所有类型通信的密钥。
另外,根据实施方案,第一装置可将针对第三装置的密钥的请求发送到第二装置。换句话说,根据实施方案,第一装置可请求存储在第二装置中的另一个装置的密钥,并从第二装置接收第三装置的密钥和第三装置的共享信息。
根据实施方案,第一装置可存储第三装置的已接收密钥,并更新第三装置的共享信息。根据实施方案,对共享信息的更新可指示将细节添加到共享历史信息或修正关于第三装置或关于第三装置密钥的信息的操作,所述信息存储在第一装置中。又,第一装置可存储第三装置的密钥和关于第三装置密钥的共享信息。
根据实施方案,当第一装置存储第三装置的密钥时,第一装置可从第二装置接收针对第三装置的密钥的请求。换句话说,第一装置可从第二装置接收针对存储在第一装置中的另一个装置的密钥的请求,并将第三装置的密钥和关于第三装置密钥的共享信息发送到第二装置。又,在发送共享信息之前,第一装置可更新关于第三装置密钥的共享信息,并将关于第三装置密钥的已更新共享信息和第三装置的密钥提供到第二装置。
图4是根据实施方案的用于交换密钥的装置的框图。
根据实施方案,用于交换密钥的装置101(其示于图4中)可以是图2中所示的第一装置101。第一装置101可包括通信方法确定器401、发送器403、接收器405和验证器407。另外,第一装置101可包括控制器400。
根据实施方案,通信方法确定器401可基于预设的信道排名信息来确定通信方法。换句话说,通信方法确定器401可确定用于与第二装置进行密钥交换的通信方法。信道排名信息是用于确定通信方法的优先级的准则信息,且对应于参考图2所描述的细节。
根据实施方案,通信方法确定器401可根据所确定的通信方法来执行信道设定。
根据实施方案,发送器403可通过使用由通信方法确定器401所确定的通信方法来将第一装置的密钥发送到第二装置。例如,当通信方法确定器401从短程通信方法当中选择蓝牙通信方法并设定与第二装置的蓝牙通信信道时,发送器403可通过蓝牙通信信道将第一装置的密钥发送到第二装置。
又,根据实施方案,发送器403可将针对第三装置的密钥的请求发送到第二装置。换句话说,发送器403可发送针对另一个装置的密钥(其存储在第二装置中)的请求。接收器405可从第二装置接收另一个装置的密钥和关于另一个装置密钥的共享信息。
根据实施方案,接收器405可通过使用由通信方法确定器401所确定的通信方法来接收第二装置的密钥。例如,当通信方法确定器401从短程通信方法当中选择NFC方法并设定NFC信道时,接收器405可通过NFC信道从第二装置接收第二装置的密钥。
又,根据实施方案,接收器405可从第二装置接收针对第三装置的密钥的请求。换句话说,接收器405可接收针对另一个装置的密钥(其存储在第一装置101中)的请求。第一装置101可通过发送器403将另一个装置的密钥(其存储在第一装置中)发送到第二装置。又,第一装置101可发送关于另一个装置的密钥的共享信息。
根据实施方案,验证器407可验证由接收器405接收的第二装置的密钥。又,验证器407可基于由通信方法确定器401所确定的通信方法来确定第二装置的验证方法。
根据实施方案,当通信方法确定器401选择短程通信方法时,验证器407可将输出单元(未示出)控制为输出用于验证第二装置的密钥的SAS。根据实施方案,SAS可基于第二装置的密钥来生成,且可包括图像、文本和视频中的至少之一。验证器407可选择性地接收关于所输出SAS的用户输入。换句话说,验证器407可从第一装置的用户接收关于基于SAS所接收的第二装置的密钥是否准确的输入。
又,根据实施方案,当通信方法确定器401选择远程通信方法时,验证器407可通过接收器405经由SMS来接收第二装置的密钥的散列值,并通过使用存储在装置中的散列函数来计算第二装置的已接收密钥的散列值。又,验证器407可比较所计算的散列值与经由SMS所接收的散列值,以确定已接收的第二装置的密钥是否准确。
根据实施方案,散列函数可从第二装置来接收,或可预先存储在第一装置中,散列函数的算法不受限制。
又,根据实施方案,验证器407可基于第一装置的密钥和第二装置的密钥中的至少之一来生成用于在第一装置与第二装置之间进行通信的主密钥。根据实施方案,主密钥可为用于加密和解密第一装置与第二装置之间的所有类型通信的密钥。
又,根据实施方案,第一装置101可基于验证器407的验证结果来存储已接收的第二装置的密钥。又,第一装置101可生成并存储关于第二装置密钥的共享信息。上文已描述了所述共享信息。
另外,根据实施方案,第一装置101可更新关于已接收的第二装置密钥或关于另一个装置的密钥的共享信息。换句话说,第一装置101可更新共享信息中的共享历史信息、有效日期信息等。
根据实施方案,第一装置101可包括控制器400。通常,控制器可控制第一装置101的整体操作。又,根据实施方案,控制器40可包括操作单元(诸如,中央控制设备)或可包括于另一个元件中,但并不限于此。
图5说明根据实施方案的用于描述密钥共享方法的系统。
根据实施方案,第一装置101可与第二装置102交换密钥。又,第二装置102可与第三装置103交换密钥。
根据实施方案,当第二装置102与第三装置103交换密钥且因此存储第三装置的密钥时,第一装置102可请求存储在第三装置103中的第三装置的密钥。换句话说,第二装置102可与第一装置101共享存储在第二装置102中的另一个装置的密钥。
根据实施方案,第二装置102可存储多个装置的密钥。换句话说,当第二装置102存储从多个装置接收到的所述多个装置的密钥时,第二装置102可将所述多个装置的密钥提供到第一装置101。
根据实施方案,第一装置101可通过使用从第二装置102接收的、第三装置的密钥来执行与第三装置103的加密通信。换句话说,根据实施方案,第一装置101可通过使用从第二装置102接收的、第三装置的密钥来执行与第三装置103的加密通信,而不必与第三装置103直接交换密钥。此处,第一装置101可与第三装置103直接交换密钥。
根据实施方案,第一装置101可接收关于第三装置密钥的共享信息。关于第三装置密钥的共享信息可包括关于共享第三装置密钥的装置的共享信息。换句话说,共享信息可包括用于识别存储第三装置密钥的装置的信息。又,关于第三装置密钥的共享信息可包括共享历史信息,所述共享历史信息包括关于第三装置密钥的共享次序的信息。关于第三装置密钥的共享历史信息可包括与第三装置密钥通过哪个装置到达第一装置有关的信息。另外,关于第三装置密钥的共享信息可包括第三装置密钥的有效日期信息、第三装置密钥的散列值信息、用于识别第三装置密钥的密钥识别(ID)信息、第三装置的用户信息和第三装置的信息中的至少之一。
根据实施方案,第一装置可基于关于第三装置密钥的共享历史信息来确定关于第三装置密钥的可靠性水平。根据实施方案,密钥的可靠性水平是根据共享信息和所述共享信息中的共享历史信息中的至少之一所确定的关于深度的信息,且可指示密钥的可靠程度。
例如,当通过不可由第一装置识别的另一个装置将第三装置的密钥发送到第一装置时,第一装置可确定第三装置的密钥的可靠性水平是较低的。因此,第一装置可确定每个装置的密钥的可靠性水平,而且第一装置还可设定成排除或不存储通过某个装置或不可由第一装置识别的装置所接收的装置密钥。另外,第一装置可设定成排除或不存储通过至少一定数目的装置所接收的装置的密钥。又,第一装置可将关于可靠性水平的信息存储在共享信息中,或独立于共享信息而存储。下文将参考图20来描述关于可靠性水平的细节。
根据实施方案,第一装置可管理已接收的第二装置密钥或已接收的第三装置密钥。例如,第一装置可将存储在第一装置中密钥与另一个装置或用户信息进行映射,并存储所映射的信息。又,第一装置可管理装置的密钥连同存储在第一装置中的地址簿或电话簿信息。根据实施方案,对装置的密钥的管理可包括更新、备份或更新密钥,且可包括存储、备份和更新关于装置密钥的共享信息,但并不限于此。
图6是根据实施方案的密钥共享方法的流程图。
在操作601中,第一装置可针对第三装置的密钥来请求第二装置。
根据实施方案,第一装置可针对存储在第二装置中的另一个装置的密钥来请求第二装置。
又,根据实施方案,第一装置可通过连接在第一装置与第二装置之间的通信信道将请求发送到第二装置,且可加密所述请求。换句话说,如参考图3所描述,第一装置可设定与第二装置的通信信道、与第二装置交换密钥、基于已接收的第二装置密钥来加密针对第三装置密钥的请求和将请求发送到第二装置。
在操作603中,第一装置可从第二装置接收第三装置的密钥和关于第三装置密钥的共享信息。
根据实施方案,关于第三装置密钥的共享信息可包括共享历史信息(其为关于第三装置密钥的共享次序的信息)、第三装置的密钥的有效日期信息、第三装置的密钥的散列值信息、第三装置的信息和第三装置的用户信息中的至少之一。
又,根据实施方案,第一装置可更新关于已接收的第三装置密钥的共享信息。例如,第一装置可更新第三装置的信息、第三装置的用户信息、第三装置密钥的有效日期信息、散列值信息、关于第三装置密钥的信息或第三装置的共享历史信息,所述信息存储在第一装置中。
在操作605中,第一装置可存储已接收的第三装置密钥和已接收的关于第三装置密钥的共享信息。
又,根据实施方案,第一装置可更新关于第三装置密钥的共享信息,并存储已更新的关于第三装置密钥的共享信息。
根据实施方案,第三装置可包括多个装置。换句话说,第一装置不仅针对仅一个装置的密钥来请求第二装置并从第二装置接收密钥,而且针对多个装置的密钥来请求第二装置并从第二装置接收密钥。
另外,根据实施方案,第一装置可通过使用第三装置的密钥来加密数据,并将已加密数据发送到第三装置。换句话说,根据实施方案,第一装置可执行加密通信,而不必从第三装置直接接收密钥。
又,根据实施方案,第一装置可将第三装置的用户信息与已接收的第三装置密钥和关于第三装置密钥的共享信息进行映射,并存储所映射的信息。换句话说,在映射第三装置的共享信息与用户信息之后,第一装置可存储关于第三装置密钥的共享信息,所述信息存储在第一装置中。
又,根据实施方案,第一装置可从第四装置接收针对第三装置密钥的请求。根据实施方案,第一装置可更新关于第三装置密钥的共享历史信息,并将已更新的共享历史信息发送到第四装置。换句话说,第一装置可从第四装置接收针对存储在第一装置中的另一个装置的密钥的请求。
图7是根据实施方案的用于共享密钥的装置的框图。
用于共享密钥的装置可以是图1或图5的第一装置101。
根据实施方案,第一装置101可包括发送器403、接收器405和密钥存储单元409。
根据实施方案,发送器403可将针对第三装置的密钥的请求发送到第二装置。换句话说,发送器403可请求存储在第二装置中的另一个装置的密钥。
根据实施方案,发送器403可通过连接在第一装置与第二装置之间的通信信道来发送针对第三装置的密钥的请求。又,可加密并发送针对第三装置的密钥的请求。
根据实施方案,接收器405可从第二装置接收第三装置的密钥和关于第三装置密钥的共享信息。
根据实施方案,关于第三装置密钥的共享信息可包括共享历史信息(其为关于第三装置密钥的共享次序的信息)、第三装置的密钥的有效日期信息、第三装置的密钥的散列值信息、第三装置的信息和第三装置的用户信息中的至少之一。
根据实施方案,第一装置101可更新与已接收的第三装置的密钥有关的共享信息,如上文参考图6所描述。
根据实施方案,密钥存储单元409可存储已接收的第三装置密钥和与已接收的第三装置密钥有关的共享信息。又,根据实施方案,密钥存储单元409可将第三装置的密钥和与第三装置的密钥有关的共享信息与第三装置的用户信息进行映射并存储。
根据实施方案,第一装置101可通过使用第三装置的密钥来加密数据,并通过发送器403将已加密数据发送到第三装置。换句话说,根据实施方案,第一装置可执行与第三装置的加密通信,而不必从第三装置直接接收密钥。
又,根据实施方案,接收器405可从第四装置接收针对第三装置的密钥的请求。根据实施方案,第一装置可更新与第三装置的密钥有关的共享历史信息,发送器403可将第三装置的密钥和与第三装置的密钥有关的共享历史信息发送到第四装置(未示出)。换句话说,接收器405可从第四装置接收针对存储在第一装置中的另一个装置的密钥的请求。
根据实施方案,第一装置101可包括控制器400。通常,控制器可控制第一装置101的整体操作。又,根据实施方案,控制器400可包括操作单元(诸如,中央控制设备)且可包括于另一个元件中,但并不限于此。
图8是根据实施方案的密钥交换和密钥共享方法的详细流程图。
在操作801中,第一装置可基于预设的信道排名信息来确定用于在第一装置与第二装置之间进行密钥交换的通信方法。由于操作801对应于操作301,所以不再次提供其细节。
在操作803中,第一装置可通过使用由第一装置所确定的通信方法将第一装置的密钥发送到第二装置。换句话说,通过使用由第一装置所确定的通信方法,第一装置可从第二装置接收第二装置的密钥,或可将第一装置的密钥发送到第二装置。
在操作805中,第一装置可通过使用所确定的通信方法从第二装置接收第二装置的密钥,此对应于图3的操作303。
在操作807中,第一装置可验证已接收的第二装置密钥,此对应于图3的操作305。
在操作809中,第一装置可将针对第三装置的密钥的请求发送到第二装置。
根据实施方案,除了第二装置的密钥,第一装置可针对存储在第二装置中的另一个装置的密钥连同第三装置的密钥来请求第二装置。
在操作811中,第一装置可从第二装置接收第三装置的密钥和关于第三装置密钥的共享信息。
根据实施方案,第一装置可通过使用在操作801中所确定的通信方法从第二装置接收第三装置的密钥和关于第三装置密钥的共享信息。
又,根据实施方案,第二装置可通过使用在操作803中接收的第一装置的密钥来加密并发送第三装置的密钥和关于第三装置密钥的共享信息到第一装置。
在操作813中,第一装置可更新关于第三装置密钥的共享信息。
根据实施方案,第一装置可在接收到第三装置的密钥之后更新关于第三装置密钥的共享信息,或可在将第三装置的密钥发送到另一个装置之前更新关于第三装置密钥的共享信息。
在操作815中,第一装置可存储第三装置的密钥和关于第三装置密钥的共享信息。
根据实施方案,第一装置可映射并存储第三装置的密钥和关于第三装置密钥的共享信息,或映射并存储第三装置的密钥、关于第三装置密钥的共享信息、第三装置的信息和第三装置的用户信息。
另外,根据实施方案,关于第三装置密钥的共享信息可包括在第三装置的密钥中,或独立于第三装置的密钥而存在。第三装置的密钥和关于第三装置密钥的共享信息可包括ID信息,以与另一个装置的密钥或另一个装置的密钥的共享信息区分开。
图9是根据实施方案的密钥交换方法的详细流程图。
在操作901中,第一装置可基于预设的信道排名信息将短程通信方法确定为用于在第一装置与第二装置之间进行密钥交换的通信方法。
例如,第一装置可包括信道排名信息,所述信道排名信息设定成使得当第二装置位于第一装置的预定范围内时短程通信方法具有高于远程通信方法的优先级。可替代地,第一装置可从第一装置的用户接收选择通信方法的输入,或可通过与第二装置协商来选择与第二装置的通信方法。
根据实施方案,短程通信方法的示例可包括使用各种协议的通信方法,诸如蓝牙和NFC。
又,根据实施方案,第一装置可执行用于根据在操作901中所确定的短程通信方法来设定信道的程序。
在操作903中,第一装置可通过使用所确定的短程通信方法从第二装置接收第二装置的密钥。又,第一装置可将第一装置的密钥发送到第二装置。又,第一装置可不仅接收第二装置的密钥,而且接收关于第二装置密钥的共享信息,或第一装置可接收第二装置的密钥并生成关于第二装置密钥的共享信息。
在操作905中,第一装置可输出用于验证第二装置的密钥的SAS。
根据实施方案,由于在操作901中所确定的通信方法并非为加密通信方法,所以第一装置可执行验证过程以确定已接收的第二装置密钥是否准确。根据实施方案,第一装置可基于在操作901中所确定的通信方法来确定验证第二装置密钥的方法。
例如,当使用短程通信方法时,显然第二装置位于第一装置的预定范围内,第一装置可使用SAS来选择验证方法。
根据实施方案,第一装置可基于第二装置的密钥来确定SAS,并输出所确定的SAS。换句话说,第一装置可通过预定算法根据第二装置的密钥来计算或提取SAS,或可通过根据第二装置的密钥计算或提取的值来输出预定图像、文本或视频。
此处,根据实施方案,即使当第一装置选择短程通信方法时,第一装置仍可使用SMS来选择验证方法。又,第二装置的密钥或关于第二装置的密钥的共享信息可包括用于确定验证方法的信息,且第一装置可基于包括在第二装置的密钥或关于第二装置的密钥的共享信息中的用于确定验证方法的信息来选择用于第二装置的密钥的验证方法。
另外,根据实施方案,可根据第一装置中预设的信息或基于用户的选择来确定根据通信方法的验证方法。
在操作907中,第一装置可选择性地接收与所输出的SAS相关的用户输入。
根据实施方案,第二装置可基于由第二装置所发送的第二装置的密钥来输出SAS。由于第一装置的用户可确定输出到第二装置的SAS与输出到第一装置的SAS是否相同,所以第一装置可接收与由第一装置输出的SAS相关的用户输入。换句话说,第一装置可接收与第二装置的密钥是否准确有关的输入。
可替代地,第一装置可从第二装置接收关于由第二装置输出的SAS的信息,因此可确定第二装置的密钥是否准确而不必接收用户输入。
图10是根据实施方案的密钥交换方法的详细流程图。
在操作1001中,第一装置可基于预设的信道排名信息将远程通信方法确定为用于在第一装置与第二装置之间进行密钥交换的通信方法。
例如,第一装置可包括信道排名信息,所述信道排名信息设定成使得当第二装置并非位于第一装置的预定范围内时不管距离如何都可通信的远程通信方法具有较高优先级。可替代地,第一装置可从第一装置的用户接收选择通信方法的输入,或可通过与第二装置协商来选择与第二装置的通信方法。
根据实施方案,远程通信方法的示例可包括使用各种协议的通信方法,诸如使用蜂窝网络的SMS和数据通信以及诸如Wi-Fi的网络。
又,根据实施方案,第一装置可执行用于根据在操作1001中所确定的远程通信方法来设定信道的程序。
在操作1003中,第一装置可通过使用所确定的远程通信方法从第二装置接收第二装置的密钥。又,第一装置可将第一装置的密钥发送到第二装置。又,第一装置可不仅接收第二装置的密钥,而且接收关于第二装置密钥的共享信息,或第一装置可接收第二装置的密钥并生成关于第二装置密钥的共享信息。
在操作1005中,第一装置可经由SMS来接收第二装置的密钥的散列值。又,第一装置可经由SMS将第一装置的密钥的散列值发送到第二装置。
根据实施方案,由于在操作1001中所确定的通信方法并非加密方法,所以第一装置可执行验证过程以确定第二装置的已接收密钥是否准确。根据实施方案,第一装置可基于在操作901中所确定的通信方法来确定验证第二装置的密钥的方法。
根据实施方案,在操作1003中,第一装置可经由蜂窝网络通过使用通用数据通信方法来接收第二装置的密钥。在操作1005中,第一装置可经由SMS来接收第二装置的密钥的散列值。由于SMS是通过使用在发送/接收网络的控制信息时所使用的通信方法来交换的,所以SMS可不同于用于在操作1003中接收第二装置的密钥的通用数据通信方法。
在操作1007中,第一装置可通过使用散列函数来计算在操作1003中接收的第二装置的散列值。
根据实施方案,第一装置和第二装置可使用相同的散列函数。因此,当第二装置的密钥相同时,由第一装置所计算的第二装置的密钥的散列值与由第二装置所计算的第二装置的密钥的散列值可能相同。
在操作1009中,第一装置可比较所计算的散列值与经由SMS所接收的散列值。
换句话说,当由第一装置基于在操作1003中接收的第二装置的密钥所计算的散列值与在操作1005中经由SMS所接收的第二装置的密钥的散列值相同时,第一装置可确定第二装置的密钥是准确的。又,第一装置可输出所计算的第二装置的密钥的散列值和经由SMS从第二装置接收到的第二装置密钥的散列值,并选择性地接收基于输出的结果的用户输入。
图11是根据实施方案的密钥共享方法的详细流程图。
在操作1101中,第一装置可针对第三装置的密钥来请求第二装置。操作1101对应于图6的操作601。
在操作1103中,第一装置可从第二装置接收第三装置的密钥和关于第三装置密钥的共享信息。操作1103对应于图6的操作603。
在操作1105中,第一装置可存储第三装置的已接收密钥和关于第三装置密钥的已接收共享信息。另外,根据实施方案,第一装置可确定上述验证方法以存储第三装置的密钥,并执行验证。操作1105对应于图6的操作605。
在操作1107中,第一装置可通过使用第三装置的密钥来加密数据。
根据实施方案,第一装置可通过使用第三装置的密钥来加密待发送到第三装置的数据。
在操作1109中,第一装置可将已加密数据发送到第三装置。
换句话说,根据实施方案,第一装置可通过接收存储在第二装置中的、第三装置的密钥来执行与第三装置的加密通信,而不必从第三装置直接接收第三装置的密钥。
图12是根据实施方案的装置的详细框图。
根据实施方案,用于执行密钥共享和密钥交换的第一装置101可包括通信方法确定器401、发送器403、接收器405、验证器407、密钥存储单元409、密钥管理器411和控制器400。
根据实施方案,通信方法确定器401可基于预设的信道排名信息来确定用于与第二装置进行密钥交换的通信方法,如上文参考图4所描述。
根据实施方案,发送器403可将第一装置的密钥、关于第一装置密钥的共享信息、存储在第一装置中的另一个装置的密钥、存储在第一装置中与另一个装置密钥有关的共享信息以及数据中的至少之一发送到第二装置。
又,根据实施方案,发送器403可针对第二装置的密钥、与第二装置的密钥有关的共享信息、存储在第二装置中的另一个装置的密钥和存储在第二装置中与另一个装置的密钥有关的共享信息来请求第二装置。发送器403的这些操作可对应于参考图4和图7所描述的细节。
根据实施方案,接收器405可从第二装置接收第二装置的密钥、与第二装置的密钥有关的共享信息、存储在第二装置中的另一个装置的密钥、存储在第二装置中与另一个装置的密钥有关的共享信息以及数据中的至少之一。
又,根据实施方案,接收器405可从第二装置接收针对以下各者的请求:第一装置的密钥、与第一装置的密钥有关的共享信息、存储在第一装置中的另一个装置的密钥和存储在第一装置中与另一个装置的密钥有关的共享信息。接收器405的这些操作可对应于参考图4和图7所描述的细节。
根据实施方案,验证器407可确定用于从第二装置接收到的密钥的验证方法,并执行验证。验证器407的这些操作可对应于参考图4所描述的细节。
根据实施方案,密钥存储单元409可存储已接收的装置密钥(第二装置的密钥或另一个装置的密钥)。又,密钥存储单元409可存储已接收的与装置的密钥有关的共享信息(关于第二装置密钥的共享信息或关于另一个装置密钥的共享信息)。密钥存储单元409的这些操作可对应于参考图7所描述的细节。
根据实施方案,密钥管理器411可生成或更新与存储在第一装置中的装置的密钥有关的共享信息。
根据实施方案,密钥管理器411可生成与接收器405接收的第二装置的密钥有关的共享信息。又,密钥管理器411可生成与第一装置的密钥有关的共享信息,所述共享信息将提供到第二装置。另外,密钥管理器411可更新与从第二装置接收的第三装置的密钥有关的共享信息。
例如,密钥管理器411可将第一装置101添加到第二装置的密钥的共享历史信息。换句话说,可添加指示第二装置的密钥从第二装置被发送到第一装置的信息。另外,当第一装置将第二装置的密钥发送到第三装置时,密钥管理器411可更新第二装置的密钥的共享历史信息以包括指示第二装置的密钥通过第一装置而从第二装置被提供到第三装置的信息。
另外,密钥管理器411可备份或丢弃装置的密钥,所述密钥存储在第一装置中。
又,根据实施方案,密钥管理器411可基于共享历史信息来确定存储在第一装置中的至少一个装置的密钥的可靠性。例如,当第一装置存储指示第四装置是不可识别的装置或具有较低可靠性的信息时,第一装置可基于与装置的密钥有关的共享历史信息来确定通过第四装置接收的装置的密钥的可靠性是较低的。
换句话说,根据实施方案,第一装置的用户可通过直接参考共享历史信息来确定每个装置的密钥的可靠性,且可根据可靠性信息或从外部源接收的每个装置的用户设定来设定用于第一装置的密钥管理的策略信息,使得不接收或丢弃通过未知的装置或通过具有较低可靠性的装置所接收的装置的密钥。因此,密钥管理器411可管理存储在第一装置中或由第一装置接收的至少一个装置的密钥。
图13是根据实施方案的用于描述关于密钥的共享信息的表。
示于图13中的与装置的密钥有关的共享信息可以是存储在第一装置中与装置的密钥的共享信息。又,根据实施方案,与装置的密钥有关的共享信息可存储为如图13中所示的列表形式。
如上文所描述,与装置的密钥有关的共享信息可包括装置的信息、与装置的用户有关的信息和共享历史信息中的至少之一,并且可进一步包括与装置的密钥有关的有效日期信息和装置的密钥的散列值中的至少之一。又,共享信息可被映射到装置的密钥值并与其一起存储。
根据实施方案,装置和用户信息字段1301包括与装置的用户有关的信息和与装置有关的信息。参考图13,第二装置由Alice使用,第三装置由Bob使用,第四装置由Angela使用。另外,当将识别符(诸如,电话号码或互联网协议(IP)地址)指派给装置时,所述识别符也可包括在装置和用户信息字段中。
根据实施方案,装置密钥值字段1303可包括指示装置的整个密钥的信息。另外,装置密钥值字段还可包括装置的散列值以及装置的密钥。
根据实施方案,共享历史信息字段1305可包括用于识别装置的密钥的共享次序和共享所述装置的密钥的装置的信息。参考图13,第二装置的密钥从第二装置被发送到第一装置,第三装置的密钥通过第四装置和第二装置被发送到第一装置。
根据实施方案,第一装置可基于共享历史信息来确定存储在第一装置中的至少一个装置的密钥的可靠性。例如,当第一装置存储指示第四装置是不可识别的装置或具有较低可靠性的信息时,第一装置可基于与装置的密钥有关的共享历史信息来确定通过第四装置接收的装置的密钥的可靠性较低。
图14说明根据实施方案的确定通信方法的方法示例。
图14说明确定用于在第一装置与第二装置之间进行密钥交换的通信方法的方法示例。
根据实施方案,第一装置101可基于预设的信道排名信息来选择用于与第二装置102进行密钥交换的通信方法。
图13示出了存储在第一装置101中的预设的信道排名信息包括指示基于用户输入来确定通信方法的信息的情况。因此,在图13中,第一装置101可基于用户输入来确定通信方法。
参考图14,第一装置101接收选择NFC方法的用户输入1401。如上文所描述,第一装置101可通过与第二装置102协商来确定通信方法。因此,第二装置102也可从用户接收选择通信方法的用户输入。参考图14,第二装置也可接收选择NFC方法的用户输入1403。
又,当根据由第一装置101接收的用户输入所确定的通信方法与根据由第二装置102接收的用户输入所确定的通信方法彼此不同时,第一装置101或第二装置102可输出通知或接收以下确认的消息:将通过使用根据第一装置101与第二装置102之间的距离所确定的通信方法来执行密钥交换程序,以及通过使用所确定的通信方法来执行密钥交换程序。
图15说明根据实施方案的密钥验证方法的示例。
根据实施方案,当第一装置101与第二装置102之间的密钥交换使用短程通信时,第一装置101可将根据SAS的验证方法用作从第二装置102接收到的第二装置的密钥的验证方法。
参考图15,由第一装置101输出的图像是SAS,且可以是基于从第二装置接收到的第二装置的密钥所确定的SAS。由第二装置102输出的图像也是SAS,且可以是基于被发送到第一装置的第二装置的密钥所确定的SAS。
根据实施方案,SAS可为如图15中所示的图像,但可替代地为图像、文本和视频中至少之一,或图像、文本和视频中至少两者的组合。
根据实施方案,第二装置102可将与基于第二装置的密钥所确定的SAS有关的信息发送到第一装置,第一装置101可比较从第二装置102接收到的SAS信息与由第一装置101确定的SAS信息,以验证第二装置的密钥。
又,根据实施方案,第一装置101可选择性地从用户接收根据验证结果的输入。换句话说,第一装置101可通过从用户接收与以下确定的结果有关的输入来完成验证:通过用肉眼比较由第二装置102输出的SAS与由第一装置101输出的SAS,确定由第一装置101接收的第二装置的密钥是否准确。
另外,根据实施方案,第一装置101或第二装置102可输出第一装置的密钥或第二装置的密钥的验证结果。
图16说明根据实施方案的密钥验证方法的示例。
根据实施方案,当第一装置101与第二装置102之间的密钥交换使用远程通信时,第一装置101可将根据SMS的验证方法用作从第二装置102接收到的第二装置的密钥的验证方法。
如上文所描述,第一装置101可经由SMS从第二装置102接收第二装置的密钥的散列值1601。又,第一装置101可通过使用通用数据通信方法从第二装置接收第二装置的密钥1602。
根据实施方案,第一装置101可通过使用散列函数来计算第二装置的密钥1602的散列值,并基于计算结果来输出通知消息1603,所述通知消息输出验证结果。
此处,根据实施方案,第二装置102也可按相同的方式来验证从第一装置101接收到的第一装置的密钥。
图17是根据实施方案的密钥交换和密钥共享方法的详细流程图。
在操作1701中,第一装置101可确定密钥交换方法。换句话说,第一装置101可确定用于与第二装置102交换装置的密钥的通信方法。根据实施方案的通信方法包括短程通信方法与远程通信方法两者,且并不受限制。如上文所描述,可通过与第二装置协商来确定密钥交换方法。
在操作1703中,第一装置101和第二装置102可根据在操作1701中所确定的通信方法来设定通信信道。
在操作1705中,第一装置101和第二装置可通过使用所设定的通信信道来交换第一装置和第二装置的密钥。另外,第一装置101和第二装置102不仅可交换装置的密钥,而且可交换与装置的密钥有关的共享信息。
在操作1707中,第一装置101可更新与在操作1705中接收的第二装置的密钥有关的共享信息。此处,第一装置101可生成与第二装置的密钥有关的共享信息。
在操作1709中,第一装置101可针对第三装置的密钥来请求第二装置。
在操作1711中,第一装置101可从第二装置接收第三装置的密钥。此处,第一装置101也可从第二装置接收与第三装置的密钥有关的共享信息。
在操作1713中,第一装置101可通过使用在操作1711中接收的第三装置的密钥来加密数据,并将已加密数据发送到第三装置103。
在操作1715中,第一装置101可从第四装置104接收针对第二装置的密钥的请求。换句话说,第一装置101可从第四装置104接收针对存储在第一装置中的另一个装置的密钥的请求。
在操作1717中,第一装置101可将第二装置的密钥和与第二装置的密钥有关的共享信息发送到第四装置104。
图18是根据实施方案的装置的详细框图。
根据实施方案,第一装置101可包括通信方法确定器401、发送器403、接收器405、验证器407、密钥存储单元409、密钥管理器411、加密器/解密器1801、用户接口单元1803、协议/策略管理器1805、感测单元1807、输出单元1809、通信模块1811和存储器1813。
根据实施方案,第一装置可为移动装置(诸如,蜂窝电话、智能电话、PMP、平板PC、MP3播放器或导航装置)或家庭装置(诸如,PC、膝上型计算机、TV、监控器或冰箱),但并不限于此。
根据实施方案,由于通信方法确定器401、发送器403、接收器405、验证器407、密钥存储单元409和密钥管理器411对应于图12中所描述的各者,所以不再次提供其细节。
根据实施方案,加密器/解密器1801可通过使用装置的密钥来加密数据,以及解密所接收的加密数据。根据实施方案,由加密器/解密器1801使用的装置的密钥可包括如上文所描述的公开密钥、秘密密钥、对称密钥和非对称密钥中的所有。
根据实施方案,用户接口单元1803从用户接收输入,可包括(例如)键盘、触控板、触控屏、鼠标、轨迹球、电子笔等等,但用户接口单元1803并不限于此。
根据实施方案,协议/策略管理器1805可管理与装置的通信有关的协议以及管理与装置的密钥有关的策略。根据实施方案,与装置的密钥有关的策略可包括根据装置密钥的可靠性的装置密钥的管理策略、根据有效日期的装置密钥的管理策略等等,且并不限于此。
根据实施方案,感测单元1807可包括各种传感器,诸如全球定位系统(GPS)、加速度传感器、接近传感器、压力传感器和照度传感器。另外,感测单元1807可基于从外部装置(诸如,服务器)接收到的信息来检测第一装置的状态和第一装置中所生成的事件。
根据实施方案,输出单元1809输出音频信号、视频信号或振动信号,且可包括显示单元(诸如,屏幕)、音频输出单元(诸如,扬声器)和振动马达。
根据实施方案,输出单元1809可输出所确定的通信方法、与所确定的验证方法有关的信息、关于验证结果的信息、装置的密钥和于装置的密钥有关的共享信息,但并不限于此。
根据实施方案,通信模块1811可包括短程通信模块1821和远程通信模块1831。通信模块1811可以是根据通信方法确定器401的控制通过使用发送器403和接收器405来与另一个装置通信的单元。
图19说明根据实施方案的用于描述装置之间的密钥交换和共享方法的系统。
根据实施方案,第一装置101和第二装置102可交换密钥。又,第一装置101可与第三装置103交换密钥。又,第二装置102可与第四装置104交换密钥,且第三装置103可与第五装置105交换密钥。另外,第五装置105可与第四装置104交换密钥。
如上文所描述,第一装置101至第五装置105可经由密钥交换来存储另一个装置的密钥。又,第一装置101至第五装置105可通过其间的密钥交换过程来共享另一个装置的密钥。换句话说,由于第三装置103与第五装置105交换密钥,所以第三装置103存储第五装置105的密钥,且可与第一装置101共享第五装置105的密钥。如果第三装置103从第五装置105接收第四装置104的密钥,那么第三装置103也可与第一装置101共享第四装置104的密钥。换句话说,第三装置103可存储多个装置中每个装置的密钥,并且可与另一个装置(例如,第一装置101)共享存储在第三装置103中的所述多个装置的密钥。
根据实施方案,第一装置101可通过使用第五装置105的密钥和第四装置104的密钥来执行加密通信,所述两个密钥是从第三装置103接收的。换句话说,根据实施方案,第一装置101可通过使用从第三装置103接收的第四装置104或第五装置105的密钥来执行与第四装置104或第五装置105的加密通信,而不必与第四装置104或第五装置105直接交换密钥。然而,显然,第一装置101也可与第四装置104或第五装置105直接交换密钥。
又,根据实施方案,第五装置101可选择并存储由第三装置103共享的多个密钥(第四装置的密钥和第五装置的密钥)中的至少之一。
另外,根据实施方案,第一装置101可从第三装置103接收与第四装置104或第五装置105的密钥有关的共享信息。第一装置101的这些对应于图1至图18中所描述的细节。
另外,第一装置101可基于共享历史信息来确定第三装置103、第四装置104和第五装置105的密钥的可靠性水平。此处,第一装置101可从第三装置103接收与第三装置103确定的第四装置104和第五装置105的密钥的可靠性水平有关的信息,且可基于从第三装置103接收到的关于可靠性水平的信息来确定第四装置104和第五装置105的密钥的可靠性水平。
另外,根据实施方案,第一装置101可管理已接收的至少一个装置的密钥,如上文所描述。
图20是根据实施方案的用于描述存储在第一装置中的、关于密钥的共享历史信息和可靠性水平信息的表。
根据实施方案,第一装置可存储与装置的密钥有关的共享信息,与装置的密钥有关的共享信息可包括装置和用户信息字段2001、密钥ID信息字段2003、有效日期信息字段2005和共享历史信息字段2007。另外,第一装置可存储可靠性水平信息字段2009。此处,可靠性水平信息字段2009可包括在共享信息中。
另外,共享信息可进一步包括与共享装置的密钥的装置有关的信息、装置的密钥的散列值信息等,且并不限于此。又,图20的共享信息是图13的共享信息的另一个示例,且可根据用户设定或装置设定如图13或图20中所示来存储共享信息。又,仅可存储图13或图20的共享信息中所示的一些信息。
根据实施方案,可以列表的形式来存储与装置的密钥有关的信息,如图20中所示。又,与装置的密钥有关的共享信息可被映射到装置的密钥值并与其一起存储。
根据实施方案,装置和用户信息字段2001可包括关于装置用户的信息和关于装置的信息。由于其细节对应于上文所描述的细节,所以不再次提供其细节。
根据实施方案,密钥ID信息字段2003可包括与用于识别密钥的ID有关的信息。
根据实施方案,有效日期信息字段2005可包括与所存储的密钥的有效日期有关的信息。根据实施方案,有效日期可以是在接收到密钥之后的预定时间段、可由装置的用户来设定或可由验证代理来设定,但并不限于此。
根据实施方案,共享历史信息字段2007可包括用于识别装置的密钥的共享次序和识别共享所述装置的密钥的装置的信息。其细节对应于上文所描述的细节。
根据实施方案,可靠性水平信息字段2009可包括与密钥的可靠性水平有关的信息,所述可靠性水平由第一装置基于与密钥有关的共享历史信息来确定。此处,第一装置可不仅基于共享历史信息而且基于完整的共享信息来确定关于可靠性水平的信息。
参考图19和图20,第一装置从第二装置直接接收第二装置的密钥。因此,可将可靠性水平确定为0。换句话说,由于第一装置接收第二装置的密钥使得密钥不通过任何其他装置,所以第一装置可将第二装置的密钥确定为具有最高可靠性。第一装置可按与第二装置的密钥相同的方式来确定第三装置的密钥。根据实施方案,当指示可靠性水平的数字较高时,可靠性较低。此处,相反的情况是可能的。
然而,第一装置并不与第五装置直接交换密钥,而是从第三装置接收第五装置的密钥。因此,可靠性水平可为1。换句话说,由于第一装置通过第三装置来接收第五装置的密钥,所以第一装置可确定第五装置的密钥具有低于直接接收的密钥的可靠性。
另外,第一装置通过两条路径来接收第四装置的密钥。参考图19和图20,第一装置从第二装置接收第四装置的密钥和通过第三装置从第五装置接收第四装置的密钥。第一装置可根据接收路径用不同方式来确定可靠性水平,但当可靠性水平不同时,第一装置可将最高的可靠性水平确定为密钥的可靠性水平。可替代地,第一装置可将不同可靠性水平的平均值确定为密钥的可靠性水平。确定通过若干条路径接收的装置密钥的可靠性水平的方法可根据基于用户输入的装置设定而变化。
又,根据实施方案,当通过若干条路径来接收装置的密钥时,第一装置可比较已接收密钥以确定已接收密钥是否为正常的。
根据实施方案,可基于共享信息来确定可靠性水平。换句话说,可基于装置密钥所通过的装置的数目来确定可靠性水平。又,根据已接收密钥是否为用户装置的密钥或交换密钥的装置先前是否已交换过密钥,可基于存储在第一装置中的地址簿信息来确定可靠性水平。
例如,即使当装置的密钥是通过两个装置来接收时,如果该装置之前已直接发送过密钥,那么仍可将可靠性水平确定为2。当装置被存储在地址簿中但从未直接交换密钥时,可将可靠性水平确定为3,并且当装置未被存储在地址簿中时,可将可靠性水平确定为4。此处,可基于与之前是否已通过另一个装置接收密钥至少一次有关的信息而非直接交换密钥的历史来确定可靠性水平。
换句话说,根据实施方案,确定可靠性水平的准则可根据基于用户输入的装置设定而变化。
另外,根据实施方案,第一装置可根据所确定的可靠性水平既不接收也不存储装置的密钥。换句话说,第一装置可首先仅接收与预定装置的密钥有关的共享信息以确定可靠性水平,基于所确定的可靠性水平而不接收预定装置的密钥。此处,第一装置可接收装置的密钥和与装置的密钥有关的共享信息,基于包括在已接收共享信息中的共享历史信息来确定可靠性水平,并确定是否存储装置的密钥。
根据实施方案,存储器1813可包括操作为嵌入于装置中的主存储器或辅助存储器的任何类型的存储器,诸如随机存取存储器(RAM)、快闪存储器、硬盘或固态硬盘(SSD)。
本文中所描述的装置可包括处理器、用于存储程序数据及执行其的存储器、永久性存储装置(诸如,磁盘驱动器)、用于处理与外部装置的通信的通信端口和用户接口装置(包括显示器、键盘等)。当涉及到软件模块时,这些软件模块可作为可执行于处理器上的程序指令或计算机可读代码而存储在计算机可读媒体上,诸如只读存储器(ROM)、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光学数据存储装置。计算机可读记录媒体还可以分布在网络联接的计算机系统上使得计算机可读代码是以分布的方式来存储和执行的。该媒体可以由计算机读取、存储在存储器中及由处理器执行。
本文中援引的所有参考(包括公开、专利申请和专利)通过引用结合于本文中达到同一程度,就好像每个参考被个别地和特定地指示为通过引用结合于本文中且在本文中完整地阐述一般。
出于促进理解本公开原理的目的,已参考附图中所说明的优选实施方案,且已使用特定的语言来描述这些实施方案。然而,此特定语言并非旨在限制本公开的范围,本公开应解释为涵盖本领域普通技术人员通常想到的所有实施方案。
可就功能块部件和各种处理步骤来描述本公开。可通过任何数目的被配置成执行指定功能的硬件和/或软件部件来实现此类功能块。例如,本公开可采用各种集成电路部件(例如,存储器元件、处理元件、逻辑元件、查找表等等),所述集成电路部件可在一个或多个微处理器或其他控制装置的控制下实施多种功能。类似地,在使用软件编程或软件元件来实现本公开的元件的情况下,可使用任何编程或脚本语言(诸如,C、C++、Java、汇编程序等等)来实现本公开,其中使用数据结构、对象、进程、例程或其他编程元素的任何组合来实现各种算法。可在执行于一个或多个处理器上的算法中实现功能的各方面。此外,本公开可采用任何数目种常规技术来进行电子设备配置、信号处理和/或控制、数据处理等等。词语“机构”和“元件”被广泛使用且并不限于机械或物理实施方案,而是可以包括结合处理器的软件例程等。
本文中示出和描述的特定实现是本公开的说明性示例,并非旨在以任何方式另行限制本公开的范围。出于简洁起见,可未详细描述常规电子设备、控制系统、软件开发和系统(及系统的个别操作部件中的部件)的其他功能方面。此外,在所呈现的各种图中示出的连接线路或连接器旨在表示各种元件之间的例示性功能关系和/或物理或逻辑联接。应注意,实际装置中可存在许多替代性或额外的功能关系、物理连接或逻辑连接。此外,除非元件被特定地描述为“重要的”或“关键的”,否则没有项目或部件对于本公开的实践是至关重要的。
术语“一(a/an)”和“所述(the)”及类似指涉物在描述本公开的上下文中(尤其是在所附权利要求的上下文中)的使用将被解释为涵盖单数与复数两者。此外,除非本文中另有指示,否则对本文中的数值范围的叙述仅仅旨在充当个别地引用在所述范围内的每个单独值的速记方法,且每个单独值被结合于说明书中,就好像其在本文中被个别地叙述一般。最后,除非本文中另有指示或与上下文明显矛盾,否则可以以任何合适的次序来执行本文中所描述的所有方法的步骤。除非另有要求,否则对本文中所提供的任何和所有示例或例示性语言(例如,“诸如”)的使用仅旨在更好地阐明本公开而并不对本公开的范围造成限制。在不脱离本公开的精神和范围的情况下,许多修改和调适将容易为本领域普通技术人员所显而易见。
Claims (25)
1.一种由第一装置执行的共享密钥的方法,所述方法包括:
基于预设的信道排名信息来确定用于在所述第一装置与第二装置之间交换密钥的通信方法;
通过使用所确定的通信方法从所述第二装置接收所述第二装置的密钥;以及
验证已接收的所述第二装置的密钥。
2.根据权利要求1所述的方法,其中验证已接收的所述第二装置的密钥包括:
基于所确定的通信方法来确定所述第二装置的密钥的验证方法;以及
根据所确定的验证方法来验证所述第二装置的密钥。
3.根据权利要求2所述的方法,其中,当所确定的通信方法是短程通信方法时,验证所述第二装置的密钥包括:
输出用于验证所述第二装置的密钥的短验证字符串(SAS);以及
选择性地接收与所输出的SAS相关的用户输入。
4.根据权利要求2所述的方法,其中,当所确定的通信方法是远程通信方法时,验证所述第二装置的密钥包括:
经由短消息服务(SMS)来接收所述第二装置的密钥的散列值;
通过使用散列函数来计算已接收的所述第二装置的密钥的散列值;以及
比较所计算的散列值与经由所述SMS所接收的散列值。
5.根据权利要求1所述的方法,其中所述预设的信道排名信息包括与通信信道的优先级有关的信息,所述优先级基于以下至少之一而确定:所述第一装置的偏好信息;与所述第一装置与所述第二装置之间的距离有关的信息;以及在所述第一装置与所述第二装置之间建立的信道信息。
6.根据权利要求1所述的方法,其中确定通信方法进一步包括:根据所确定的通信方法来设定关于所述第二装置的通信信道,以及
接收所述第二装置的密钥包括:
通过所设定的通信信道来接收所述第二装置的密钥;以及
通过所设定的通信信道将所述第一装置的密钥发送到所述第二装置。
7.根据权利要求1所述的方法,进一步包括:
将针对第三装置的密钥的请求发送到所述第二装置;
从所述第二装置接收所述第三装置的密钥和与所述第三装置的密钥有关的共享信息;
更新与所述第三装置的密钥有关的共享信息;以及
存储所述第三装置的密钥和与所述第三装置的密钥有关的共享信息。
8.根据权利要求1所述的方法,进一步包括:
从所述第二装置接收针对第三装置的密钥的请求;
更新与所述第三装置的密钥有关的共享信息;以及
发送所述第三装置的密钥和与所述第三装置的密钥有关的共享信息。
9.根据权利要求1所述的方法,进一步包括:
生成与所述第二装置的密钥有关的共享信息;以及
存储与所述第二装置的密钥有关的共享信息。
10.根据权利要求9所述的方法,其中与所述第二装置的密钥有关的共享信息包括共享历史信息,所述共享历史信息包括与共享第三装置的密钥的装置有关的信息和与所述第三装置的密钥的共享次序有关的信息。
11.一种由第一装置执行的共享密钥的方法,所述方法包括:
针对第三装置的密钥来请求第二装置;
从所述第二装置接收所述第三装置的密钥和与所述第三装置的密钥有关的共享信息;以及
存储已接收的所述第三装置的密钥和已接收的与所述第三装置的密钥有关的共享信息。
12.根据权利要求11所述的方法,其中与所述第三装置的密钥有关的共享信息包括共享历史信息,所述共享历史信息包括与共享所述第三装置的密钥的装置有关的信息和与所述第三装置的密钥的共享次序有关的信息。
13.根据权利要求12所述的方法,其中与所述第三装置的密钥有关的共享信息包括以下至少之一:所述第三装置的密钥的有效日期信息;所述第三装置的密钥的散列值信息;以及所述第三装置的信息。
14.根据权利要求12所述的方法,进一步包括:
从第四装置接收针对所述第三装置的密钥的请求;
更新与所述第三装置的密钥有关的共享历史信息;
存储所述第三装置的密钥和与所述第三装置的密钥有关的共享历史信息;以及
将已接收的所述第三装置的密钥和已更新的与所述第三装置的密钥有关的共享历史信息发送到所述第四装置。
15.根据权利要求11所述的方法,进一步包括:
通过使用已接收的所述第三装置的密钥来加密数据;以及
将已加密数据发送到所述第三装置。
16.根据权利要求11所述的方法,其中存储已接收的所述第三装置的密钥和已接收的与所述第三装置的密钥有关的共享信息包括:映射所述第三装置的用户信息和与所述第三装置的密钥有关的共享信息。
17.一种与第二装置共享密钥的第一装置,所述第一装置包括:
通信方法确定器,被配置成基于预设的信道排名信息来确定用于在所述第一装置与所述第二装置之间交换密钥的通信方法;
发送器,被配置成通过使用所确定的通信方法将所述第一装置的密钥发送到所述第二装置;
接收器,被配置成通过使用所确定的通信方法从所述第二装置接收所述第二装置的密钥;以及
验证器,被配置成验证已接收的所述第二装置的密钥。
18.根据权利要求17所述的第一装置,其中所述验证器被进一步配置成:基于所确定的通信方法来确定所述第二装置的密钥的验证方法;以及根据所确定的验证方法来验证所述第二装置的密钥。
19.根据权利要求18所述的第一装置,进一步包括输出单元,
其中,当所确定的通信方法是短程通信方法时,所述验证器进一步被配置成将所述输出单元控制为:输出用于验证所述第二装置的密钥的短验证字符串(SAS);以及选择性地接收与所输出的SAS相关的用户输入。
20.根据权利要求18所述的第一装置,其中,当所确定的通信方法是远程通信方法时,所述验证器被进一步配置成:经由短消息服务(SMS)通过所述接收器来接收所述第二装置的密钥的散列值;通过使用散列函数来计算已接收的所述第二装置的密钥的散列值;以及比较所计算的散列值与经由所述SMS接收的散列值。
21.根据权利要求17所述的第一装置,进一步包括密钥存储单元,其中所述密钥存储单元基于所述验证的结果来存储所述第二装置的密钥。
22.一种与第二装置共享密钥的第一装置,所述第一装置包括:
发送器,被配置成针对第三装置的密钥来请求所述第二装置;
接收器,被配置成从所述第二装置接收所述第三装置的密钥和与所述第三装置的密钥有关的共享信息;以及
密钥存储单元,被配置成存储已接收的所述第三装置的密钥和已接收的与所述第三装置的密钥有关的共享信息。
23.根据权利要求22所述的第一装置,其中与所述第三装置的密钥有关的共享信息包括共享历史信息,所述共享历史信息包括与共享所述第三装置的密钥的装置有关的信息和与所述第三装置的密钥的共享次序有关的信息。
24.根据权利要求23所述的第一装置,进一步包括密钥管理器,
其中所述密钥管理器被配置成更新与所述第三装置的密钥有关的共享历史信息,以及
所述密钥存储单元被配置成存储与所述第三装置的密钥有关的共享历史信息。
25.根据权利要求23所述的第一装置,进一步包括密钥管理器,
其中所述接收器被配置成从第四装置接收针对所述第三装置的密钥的请求,
所述密钥管理器被配置成更新与所述第三装置的密钥有关的共享历史信息,
所述密钥存储单元被配置成存储所述第三装置的密钥和与所述第三装置的密钥有关的共享历史信息,以及
所述发送器被配置成将已接收的所述第三装置的密钥和已更新的与所述第三装置的密钥有关的共享历史信息发送到所述第四装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2014-0074508 | 2014-06-18 | ||
| KR1020140074508A KR102125562B1 (ko) | 2014-06-18 | 2014-06-18 | 키 공유 방법 및 장치 |
| PCT/KR2015/006104 WO2015194836A1 (ko) | 2014-06-18 | 2015-06-17 | 키 공유 방법 및 장치 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106465104A true CN106465104A (zh) | 2017-02-22 |
| CN106465104B CN106465104B (zh) | 2020-07-14 |
Family
ID=54935763
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580033221.1A Expired - Fee Related CN106465104B (zh) | 2014-06-18 | 2015-06-17 | 密钥共享方法和装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10419927B2 (zh) |
| EP (1) | EP3160175B1 (zh) |
| KR (1) | KR102125562B1 (zh) |
| CN (1) | CN106465104B (zh) |
| WO (1) | WO2015194836A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220021522A1 (en) * | 2020-07-20 | 2022-01-20 | Fujitsu Limited | Storage medium, relay device, and communication method |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9614845B2 (en) | 2015-04-15 | 2017-04-04 | Early Warning Services, Llc | Anonymous authentication and remote wireless token access |
| US10084782B2 (en) | 2015-09-21 | 2018-09-25 | Early Warning Services, Llc | Authenticator centralization and protection |
| WO2018098590A1 (en) | 2016-12-01 | 2018-06-07 | Royal Bank Of Canada | System and method for message recipient verification |
| US10521793B2 (en) | 2017-01-12 | 2019-12-31 | BBPOS Limited | System and method to protect privacy of personal-identification-number entry on consumer mobile device and computing apparatus |
| FR3080209B1 (fr) * | 2018-04-17 | 2020-04-24 | Systemes Et Technologies Identification (Stid) | Procede de controle d’acces securise avec modes de fonctionnement courte portee et moyenne ou longue portee |
| US10805803B1 (en) | 2019-04-03 | 2020-10-13 | Genfintech, Inc. | Systems and methods for mobile peer-to-peer content sharing |
| US20210204116A1 (en) | 2019-12-31 | 2021-07-01 | Payfone, Inc. | Identity verification platform |
| CN111328051B (zh) * | 2020-02-25 | 2023-08-29 | 上海银基信息安全技术股份有限公司 | 数字钥匙分享方法、装置、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030093663A1 (en) * | 2001-11-09 | 2003-05-15 | Walker Jesse R. | Technique to bootstrap cryptographic keys between devices |
| US20080075291A1 (en) * | 2006-09-21 | 2008-03-27 | International Business Machines Corporation | Managing device keys in cryptographic communication |
| CN102422659A (zh) * | 2009-05-07 | 2012-04-18 | 诺基亚公司 | 用于在无线网络中使用化名的方法和装置 |
| CN102842084A (zh) * | 2011-03-30 | 2012-12-26 | 赛乐得公司 | 使用不支持的交易标识符类型来促进交易 |
Family Cites Families (39)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| NO314530B1 (no) * | 2000-02-25 | 2003-03-31 | Ericsson Telefon Ab L M | Trådlös reservering, innsjekking, tilgangskontroll, utsjekking og betaling |
| FI111788B (fi) | 2001-01-04 | 2003-09-15 | Nokia Corp | Menetelmä yksityisyyden tuottamiseksi tietoliikenneverkossa |
| WO2002102009A2 (en) | 2001-06-12 | 2002-12-19 | Research In Motion Limited | Method for processing encoded messages for exchange with a mobile data communication device |
| JP3926792B2 (ja) | 2001-06-12 | 2007-06-06 | リサーチ イン モーション リミテッド | モバイルデータ通信デバイスと交換するためのセキュアなeメールを圧縮するシステムおよび方法 |
| BRPI0211093B1 (pt) | 2001-07-10 | 2016-09-06 | Blackberry Ltd | sistema e método para efetuar o cache de chave de mensagem segura em um dispositivo de comunicação móvel |
| EP1343286A1 (en) * | 2002-03-04 | 2003-09-10 | BRITISH TELECOMMUNICATIONS public limited company | Lightweight authentication of information |
| US8645422B2 (en) | 2002-08-12 | 2014-02-04 | Kenneth D. Pool | Method for controlling access to informational objects |
| US7272716B2 (en) | 2002-08-30 | 2007-09-18 | Sap Aktiengesellschaft | Enterprise secure messaging architecture |
| EP1636950A1 (en) * | 2003-06-06 | 2006-03-22 | Philips Intellectual Property & Standards GmbH | Method of controlling wireless data transmission by switching between short-range and long-range radio technologies |
| US7701858B2 (en) * | 2003-07-17 | 2010-04-20 | Sensicast Systems | Method and apparatus for wireless communication in a mesh network |
| US20050086477A1 (en) | 2003-10-16 | 2005-04-21 | Taiwan Semiconductor Manufacturing Co. | Integrate PGP and Lotus Notes to encrypt / decrypt email |
| US8788492B2 (en) | 2004-03-15 | 2014-07-22 | Yahoo!, Inc. | Search system and methods with integration of user annotations from a trust network |
| WO2005091553A1 (en) * | 2004-03-22 | 2005-09-29 | Nokia Corporation | Secure data transfer |
| WO2005107129A1 (en) | 2004-04-30 | 2005-11-10 | Research In Motion Limited | System and method for obtaining certificate status of subkeys |
| JP4670270B2 (ja) * | 2004-06-28 | 2011-04-13 | ソニー株式会社 | 通信システム及び通信装置 |
| US20060218629A1 (en) | 2005-03-22 | 2006-09-28 | Sbc Knowledge Ventures, Lp | System and method of tracking single sign-on sessions |
| US7793103B2 (en) * | 2006-08-15 | 2010-09-07 | Motorola, Inc. | Ad-hoc network key management |
| KR20080029766A (ko) * | 2006-09-29 | 2008-04-03 | 엘지전자 주식회사 | 장치간 인증 방법 및 인증을 위한 단말 |
| KR101366243B1 (ko) * | 2006-12-04 | 2014-02-20 | 삼성전자주식회사 | 인증을 통한 데이터 전송 방법 및 그 장치 |
| WO2008136639A1 (en) | 2007-05-07 | 2008-11-13 | Lg Electronics Inc. | Method and system for secure communication |
| US8498223B2 (en) | 2007-08-16 | 2013-07-30 | Sierra Wireless, Inc. | Systems and methods for providing emergency service trust in packet data networks |
| US20090228294A1 (en) | 2008-03-10 | 2009-09-10 | Assertid Inc. | Method and system for on-line identification assertion |
| WO2009132668A1 (en) | 2008-04-30 | 2009-11-05 | Nec Europe, Ltd. | Method and system for verifying the identity of a communication partner |
| US8543091B2 (en) * | 2008-06-06 | 2013-09-24 | Ebay Inc. | Secure short message service (SMS) communications |
| WO2009157131A1 (ja) * | 2008-06-23 | 2009-12-30 | パナソニック株式会社 | 鍵移動装置 |
| KR20100050846A (ko) * | 2008-11-06 | 2010-05-14 | 삼성전자주식회사 | 키 교환 시스템 및 방법 |
| US20110246370A1 (en) | 2010-03-31 | 2011-10-06 | Sellerbid, Inc. | Facilitating transactions using unsupported transaction identifier types |
| US8577318B2 (en) * | 2010-05-19 | 2013-11-05 | Plantronics, Inc. | Communications system density and range improvement by signal-strength-directed channel class selection with weighting for minimum capacity consumption |
| CN103221985B (zh) | 2010-09-24 | 2017-10-20 | Xped控股股份有限公司 | 遥控和遥控系统 |
| KR101853813B1 (ko) | 2011-04-22 | 2018-05-03 | 삼성전자주식회사 | 디바이스들간의 보안 연결 생성 방법 및 그 장치 |
| US20130218768A1 (en) | 2012-02-21 | 2013-08-22 | Mike Leber | Systems and Methods for Facilitating Secured Financial Transactions |
| US20130311694A1 (en) * | 2012-05-21 | 2013-11-21 | Qualcomm Incorporated | Devices and methods for facilitating direct pairing in a wireless docking system |
| US8707454B1 (en) * | 2012-07-16 | 2014-04-22 | Wickr Inc. | Multi party messaging |
| WO2014016864A1 (ja) * | 2012-07-23 | 2014-01-30 | 富士通株式会社 | ノードおよび通信方法 |
| US10051521B2 (en) | 2012-11-27 | 2018-08-14 | Qualcomm Incorporated | Fast association and address continuity for handoff between unmanaged access points |
| US20140315490A1 (en) * | 2013-04-23 | 2014-10-23 | Robbin Hughes | Enhancing efficiency of communication terminals using radio communication |
| JP6146725B2 (ja) * | 2013-07-12 | 2017-06-14 | パナソニックIpマネジメント株式会社 | 暗号通信装置、暗号通信方法およびそのコンピュータプログラム |
| US9509670B2 (en) * | 2014-08-19 | 2016-11-29 | Google Technology Holdings LLC | System and method for managing secure communications in an Ad-Hoc network |
| US10080185B2 (en) * | 2015-04-10 | 2018-09-18 | Qualcomm Incorporated | Method and apparatus for securing structured proximity service codes for restricted discovery |
-
2014
- 2014-06-18 KR KR1020140074508A patent/KR102125562B1/ko active IP Right Grant
-
2015
- 2015-06-17 US US15/319,537 patent/US10419927B2/en not_active Expired - Fee Related
- 2015-06-17 CN CN201580033221.1A patent/CN106465104B/zh not_active Expired - Fee Related
- 2015-06-17 EP EP15809381.5A patent/EP3160175B1/en not_active Not-in-force
- 2015-06-17 WO PCT/KR2015/006104 patent/WO2015194836A1/ko active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030093663A1 (en) * | 2001-11-09 | 2003-05-15 | Walker Jesse R. | Technique to bootstrap cryptographic keys between devices |
| US20080075291A1 (en) * | 2006-09-21 | 2008-03-27 | International Business Machines Corporation | Managing device keys in cryptographic communication |
| CN102422659A (zh) * | 2009-05-07 | 2012-04-18 | 诺基亚公司 | 用于在无线网络中使用化名的方法和装置 |
| CN102842084A (zh) * | 2011-03-30 | 2012-12-26 | 赛乐得公司 | 使用不支持的交易标识符类型来促进交易 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220021522A1 (en) * | 2020-07-20 | 2022-01-20 | Fujitsu Limited | Storage medium, relay device, and communication method |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3160175A1 (en) | 2017-04-26 |
| US20170150349A1 (en) | 2017-05-25 |
| KR20150145108A (ko) | 2015-12-29 |
| EP3160175B1 (en) | 2021-03-24 |
| WO2015194836A1 (ko) | 2015-12-23 |
| KR102125562B1 (ko) | 2020-06-22 |
| US10419927B2 (en) | 2019-09-17 |
| EP3160175A4 (en) | 2018-01-24 |
| CN106465104B (zh) | 2020-07-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106465104A (zh) | 密钥共享方法和装置 | |
| US20220417230A1 (en) | Managing credentials of multiple users on an electronic device | |
| US11687920B2 (en) | Facilitating a fund transfer between user accounts | |
| US20210004454A1 (en) | Proof of affinity to a secure event for frictionless credential management | |
| CA2911637C (en) | Systems and methods for secure communication | |
| CN106161359B (zh) | 认证用户的方法及装置、注册可穿戴设备的方法及装置 | |
| CN111133720B (zh) | 在设备之间安全地通信的方法和设备 | |
| EP3255832A1 (en) | Dynamic encryption method, terminal and server | |
| CN104917807B (zh) | 资源转移方法、装置和系统 | |
| CN109067528A (zh) | 密码运算、创建工作密钥的方法、密码服务平台及设备 | |
| CN108683674A (zh) | 门锁通信的验证方法、装置、终端及计算机可读存储介质 | |
| CN110138744A (zh) | 更换通信号码的方法、装置、系统、计算机设备及存储介质 | |
| CN109347625A (zh) | 密码运算、创建工作密钥的方法、密码服务平台及设备 | |
| CN107404472A (zh) | 用户发起的加密密钥的迁移 | |
| CN110266474A (zh) | 密钥发送方法、装置及系统 | |
| KR20200065939A (ko) | 블록체인 및 스마트 컨트랙트 기반 인증서 상태 관리 장치 및 방법 | |
| CN109831311A (zh) | 一种服务器验证方法、系统、用户终端及可读存储介质 | |
| CN109815747A (zh) | 基于区块链的离线审计方法、电子装置及可读存储介质 | |
| CN113365264A (zh) | 一种区块链无线网络数据传输方法、装置及系统 | |
| CN115037451B (zh) | 数据保护方法及电子设备 | |
| CN111526509A (zh) | 一种卡数据处理方法及装置 | |
| CN111062025B (zh) | 应用数据处理方法及相关装置 | |
| KR20200065941A (ko) | 사용자 인증에 기초한 암호 키 제공 장치 및 방법 | |
| KR20180022050A (ko) | 거래인증 방법 및 시스템 | |
| KR20180004631A (ko) | 이중 채널 기반 거래인증 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20200714 |