CN107370751B - 一种在智能设备通信中会话密钥更新方法 - Google Patents
一种在智能设备通信中会话密钥更新方法 Download PDFInfo
- Publication number
- CN107370751B CN107370751B CN201710712624.XA CN201710712624A CN107370751B CN 107370751 B CN107370751 B CN 107370751B CN 201710712624 A CN201710712624 A CN 201710712624A CN 107370751 B CN107370751 B CN 107370751B
- Authority
- CN
- China
- Prior art keywords
- session key
- cloud server
- intelligent equipment
- intelligent
- sessionkey
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0631—Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种在智能设备通信中会话密钥更新方法,包括以下步骤:智能设备上电;生成第一个会话密钥SessionKey_1,同时智能设备开始计时并生成第二个会话密钥SessionKey_2;智能设备计时到设定时间后上报云端服务器消息帧;云端服务器向智能设备回复响应帧,智能设备用第二个会话密钥SessionKey_2替换第一个会话密钥SessionKey_1;完成会话密钥更新,同时智能设备重新开始计时并生成第三个会话密钥SessionKey_3,开始新的会话密钥更新周期,本发明将会每小时更新一次会话密钥,使得设备就算长时间不断电,也能保持会话密钥的不断改变,减小了会话密钥被破解后导致的持续损失。
Description
技术领域
本发明涉及物联网智能设备与云端服务器在进行数据通信时会话密钥的更新,具体讲是一种在智能设备通信中会话密钥更新方法。
背景技术
应用数据:指的是云端服务器与智能设备之间的控制指令、状态指令等数据内容。
会话:指的是智能设备与云端服务器之间进行应用数据交互的过程。
会话密钥:能够使云端服务器确认是与哪个智能设备进行会话,并且对会话中的数据进行安全加密。
建立会话:在智能设备与云端服务器能够进行会话前,需要生成会话密钥,再进行智能设备与云端服务器之间的通讯。这个生成会话密钥的过程叫做建立会话。
为了保证物联网智能设备与云端服务器之间数据传输的安全性,一般都会通过建立会话,产生会话密钥,来对通讯中的数据进行加解密。但是目前很多会话密钥只会在设备通电后建立一次,后续不会再改变,直到设备重新通电。这个机制虽然有产生会话密钥,但是它只产生一次会话密钥,如果设备长时间不断电,该会话密钥就会长时间保持不变,增加了该会话密钥被破解的安全性风险。
发明内容
本发明介绍是一种在智能设备通信中会话密钥更新方法,该方法将会每小时更新一次会话密钥,使得设备就算长时间不断电,也能保持会话密钥的不断改变,减小了会话密钥被破解后导致的持续损失,增加了设备会话密钥被破解的时间成本,从而增加了智能设备的安全性。
本发明的技术方案:一种在智能设备通信中会话密钥更新方法,包括以下步骤:
智能设备上电,上电后的智能设备连上路由并与云端服务器建立连接;
智能设备与云端服务器建立连接后进入设备鉴权阶段,生成第一个会话密钥SessionKey_1,同时智能设备开始计时并生成第二个会话密钥SessionKey_2;
智能设备与云端服务器完成设备鉴权后,智能设备与云端服务器使用第一个会话密钥SessionKey_1进行加解密消息的交互传输;
智能设备计时到设定时间后上报云端服务器已准备好第二个会话密钥SessionKey_2的消息帧;
云端服务器向智能设备回复响应帧,智能设备用第二个会话密钥SessionKey_2替换第一个会话密钥SessionKey_1;
智能设备与云端服务器使用第二个会话密钥SessionKey_2进行加解密消息的交互传输,完成会话密钥更新,同时智能设备重新开始计时并生成第三个会话密钥SessionKey_3,开始新的会话密钥更新周期。
所述智能设备与云端服务器鉴权方法为:智能设备通过安全算法与云端服务器进行协商,产生出第一个会话密钥SessionKey_1,智能设备利用该会话密钥进行消息加解密与服务器交互协商鉴权。
所述智能设备与云端服务器进行协商所采用的安全算法为AES256算法;
所述智能设备将生成第一个会话密钥SessionKey_1保存在变量curSessionKey内,所述第一个会话密钥SessionKey_1的组成为智能设备生成的128Byte长度的随机数R1和云端服务器产生的128Byte长度的R2相加。
所述第二个会话密钥SessionKey_2保存在字符串变量preSessionKey内,第二个会话密钥SessionKey_2的整体长度是256Byte。
所述智能设备上报云端服务器消息帧的内容为:帧头0xAA0xAA,控制区标识repoNewSessionKey,数据区preSessionKey,云端服务器收到消息帧,并判断消息帧的控制区标识为repoNewSessionKey,云端服务器将消息帧的数据区preSessionKey保存,并向智能设备回复响应帧,响应帧的内容为:帧头0xAA 0xAA,控制区标识Ack,数据区标识newSessionKeyReady,智能设备收到响应帧并判断响应帧的数据区标识newSessionKeyReady,变量curSessionKey内容被preSessionKey覆盖,完成会话密钥更新。
所述R1的内容为字符串“AnyLinksSessionKey”+110Byte的随机大小写字母和数字组成,R2为128Byte的随机的大小写字母和数字。
第二个会话密钥SessionKey_2内容为字符串“AnyLinksSessionKey”+238Byte的随机大小写字母和数字。
所述智能设备计时时间为1小时。
本发明的技术效果:在智能设备通信中会话密钥更新方法将会每小时更新一次会话密钥,使得智能设备就算长时间不断电,也能保持会话密钥的不断改变,减小了会话密钥被破解后导致的持续损失,增加了设备会话密钥被破解的时间成本,从而增加了智能设备的安全性。
附图说明
图1是目前市场上智能设备网络拓扑结构示意图;
图2是本发明云端和智能设备端的运行流程示意图;
图3是本发明会话密钥更新方法流程图。
具体实施方式
下面详细描述本申请的实施例,所述实施例的示例在附图中示出,下面通过参考附图描述的实施例是示例性的,旨在用于解释本申请,而不能理解为对本申请的限制。
如图1所示,目前市场上智能设备网络拓扑如图1所示。智能设备网络互联系统基本分为云端服务器、手机APP和智能网络设备三大部分。云端服务器主要用于处理些大数据服务和进行对智能设备的管理工作;手机APP主要负责人机交互;智能设备主要负责实际的执行功能。因此在这三大部分之间会进行大量的数据交互动作,而目前这些数据的交互大部分都是基于互联网TCP/IP协议。因此针对与互联网的黑客破坏动作也适用于物联网系统。因此安全性也是物联网中的一个重要课题。
在图1的智能设备网络拓扑中,安全系统的部署也分层三大块,手机APP和云端之间的安全系统,手机APP与智能设备间的局域网通信安全系统,云端与智能设备间的消息通讯安全系统。本发明属于云端与智能设备间的消息通讯安全系统。
在云端和智能设备端的运行流程主要如图2所示。智能设备上电后首先会进入配网模式,配网模式使得设备能够连上路由并与云端服务器建立连接,在该阶段还没有嵌入安全系统,为物理连接和建立TCP/IP连接阶段。与云端服务器建立连接后进入设备鉴权阶段,该阶段就会嵌入安全系统,设备会首先通过安全算法与云端服务器进行协商,产生出第一个会话密钥,后续利用该会话密钥进行消息加解密与服务器交互协商鉴权,再进入正常工作阶段,此时消息的交互传输都使用会话密钥进行加解密,并且在该阶段会定时更新会话密钥。
会话密钥的更新方法流程如图3所示,其发生在设备鉴权之后。
步骤一,在智能设备与云端鉴权时,会产生第一个会话密钥SessionKey_1,智能设备端将SessionKey_1保存在变量curSessionKey内。由于正常工作阶段时对消息的加解密使用的是AES256算法,因此会话密钥的长度为256个Byte。会话密钥SessionKey_1的组成为智能设备端生成的128Byte长度的随机数R1和云端服务器产生的128Byte长度的R2相加。其中R1的内容为字符串“AnyLinksSessionKey”+110Byte的随机大小写字母和数字组成,R2为128Byte的随机的大小写字母和数字。在生成SessionKey_1后,设备与云端开始鉴权,并进入步骤二;
步骤二,智能设备端定时器开始计时1小时,并生成第二个会话密钥SessionKey_2保存在字符串变量preSessionKey内。SessionKey_2的整体长度仍是256Byte,内容为字符串“AnyLinksSessionKey”+238Byte的随机大小写字母和数字。在定时的1小时内,设备与服务器的消息交互都是使用SessionKey_1来进行AES256的加解密。在1小时定时结束后,进入步骤三;
步骤三,当设备1小时定时结束时,设备将主动向服务器上报repoNewSessionKey帧。repoNewSessionKey帧的内容为,帧头0xAA0xAA,控制区标识repoNewSessionKey,数据区preSessionKey。云端服务器收到消息帧,并判断为repoNewSessionKey帧,就将帧内容preSessionKey保存,并向智能设备端回复newSessionKeyReady帧。newSessionKeyReady帧内容为,帧头0xAA 0xAA,控制区标识Ack,数据区标识newSessionKeyReady组成。在该步骤的数据交互中,消息的加解密仍然使用的是SessionKey_1。智能设备端收到响应帧newSessionKeyReady,变量curSessionKey内容被preSessionKey覆盖。并生成SessionKey_3,SessionKey_3的内容组成与SessionKey_2的内容组成一致,被保存在变量preSessionKey中。并重新开始1小时计时。再进入步骤四;
步骤四,此时新的会话密钥更新已经完成,智能设备端与云端的消息交互将用新的SessionKey_2进行加解密。开始新的会话密钥更新周期。
整个会话密钥更新执行过程就完成。
尽管上面已经示出和描述了本申请的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本申请的限制,本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (5)
1.一种在智能设备通信中会话密钥更新方法,其特征在于,包括以下步骤:
智能设备上电,上电后的智能设备连上路由并与云端服务器建立连接;
智能设备与云端服务器建立连接后进入设备鉴权阶段,生成第一个会话密钥SessionKey_1,同时智能设备开始计时并生成第二个会话密钥SessionKey_2;
智能设备与云端服务器完成设备鉴权后,智能设备与云端服务器使用第一个会话密钥SessionKey_1进行加解密消息的交互传输;
智能设备计时到设定时间后上报云端服务器已准备好第二个会话密钥SessionKey_2的消息帧;
云端服务器向智能设备回复响应帧,智能设备用第二个会话密钥SessionKey_2替换第一个会话密钥SessionKey_1;
智能设备与云端服务器使用第二个会话密钥SessionKey_2进行加解密消息的交互传输,完成会话密钥更新,同时智能设备重新开始计时并生成第三个会话密钥SessionKey_3,开始新的会话密钥更新周期;
所述智能设备与云端服务器鉴权方法为:智能设备通过安全算法与云端服务器进行协商,产生出第一个会话密钥SessionKey_1,智能设备利用该会话密钥进行消息加解密与服务器交互协商鉴权;
所述智能设备与云端服务器进行协商所采用的安全算法为AES256算法;
所述智能设备将生成第一个会话密钥SessionKey_1保存在变量curSessionKey内,所述第一个会话密钥SessionKey_1的组成为智能设备生成的128Byte长度的随机数R1和云端服务器产生的128Byte长度的R2相加;
所述第二个会话密钥SessionKey_2保存在字符串变量preSessionKey内,第二个会话密钥SessionKey_2的整体长度是256Byte。
2.根据权利要求1所述的一种在智能设备通信中会话密钥更新方法,其特征在于,所述智能设备上报云端服务器消息帧的内容为:帧头0xAA 0xAA,控制区标识repoNewSessionKey,数据区preSessionKey,云端服务器收到消息帧,并判断消息帧的控制区标识为repoNewSessionKey,云端服务器将消息帧的数据区preSessionKey保存,并向智能设备回复响应帧,响应帧的内容为:帧头0xAA 0xAA,控制区标识Ack,数据区标识newSessionKeyReady,智能设备收到响应帧并判断响应帧的数据区标识newSessionKeyReady,变量curSessionKey内容被preSessionKey覆盖,完成会话密钥更新。
3.根据权利要求1所述的一种在智能设备通信中会话密钥更新方法,其特征在于,所述R1的内容为字符串“AnyLinksSessionKey”+110Byte的随机大小写字母和数字组成,R2为128Byte的随机的大小写字母和数字。
4.根据权利要求1所述的一种在智能设备通信中会话密钥更新方法,其特征在于,第二个会话密钥SessionKey_2内容为字符串“AnyLinksSessionKey”+238Byte的随机大小写字母和数字。
5.根据权利要求1所述的一种在智能设备通信中会话密钥更新方法,其特征在于,所述智能设备计时时间为1小时。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710712624.XA CN107370751B (zh) | 2017-08-18 | 2017-08-18 | 一种在智能设备通信中会话密钥更新方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710712624.XA CN107370751B (zh) | 2017-08-18 | 2017-08-18 | 一种在智能设备通信中会话密钥更新方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107370751A CN107370751A (zh) | 2017-11-21 |
CN107370751B true CN107370751B (zh) | 2020-10-16 |
Family
ID=60309983
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710712624.XA Active CN107370751B (zh) | 2017-08-18 | 2017-08-18 | 一种在智能设备通信中会话密钥更新方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107370751B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108494722A (zh) * | 2018-01-23 | 2018-09-04 | 国网浙江省电力有限公司电力科学研究院 | 智能变电站通信报文完整性保护方法 |
CN110830239B (zh) * | 2018-08-07 | 2023-02-28 | 阿里巴巴集团控股有限公司 | 一种密钥更新方法、装置及系统 |
CN111901098B (zh) * | 2019-05-06 | 2023-03-24 | 杭州海康威视数字技术股份有限公司 | 管理密钥的方法、系统及可读存储介质 |
CN113243097B (zh) * | 2019-06-28 | 2023-06-13 | Oppo广东移动通信有限公司 | 一种设备绑定方法、云端服务器、第一设备 |
CN112448935A (zh) * | 2019-09-03 | 2021-03-05 | 华为技术有限公司 | 建立网络连接的方法及电子设备 |
CN111988143B (zh) * | 2020-08-28 | 2024-03-01 | 百度时代网络技术(北京)有限公司 | 密钥更新方法、装置、设备以及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103166919A (zh) * | 2011-12-13 | 2013-06-19 | 中国移动通信集团黑龙江有限公司 | 一种物联网信息传输的方法和系统 |
CN103841082A (zh) * | 2012-11-22 | 2014-06-04 | 中国电信股份有限公司 | 安全能力协商方法和系统、业务服务器、用户终端 |
CN105610783A (zh) * | 2015-11-05 | 2016-05-25 | 珠海格力电器股份有限公司 | 一种数据传输方法及物联网系统 |
CN106656923A (zh) * | 2015-10-30 | 2017-05-10 | 阿里巴巴集团控股有限公司 | 一种设备关联方法、秘钥更新方法及装置 |
-
2017
- 2017-08-18 CN CN201710712624.XA patent/CN107370751B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103166919A (zh) * | 2011-12-13 | 2013-06-19 | 中国移动通信集团黑龙江有限公司 | 一种物联网信息传输的方法和系统 |
CN103841082A (zh) * | 2012-11-22 | 2014-06-04 | 中国电信股份有限公司 | 安全能力协商方法和系统、业务服务器、用户终端 |
CN106656923A (zh) * | 2015-10-30 | 2017-05-10 | 阿里巴巴集团控股有限公司 | 一种设备关联方法、秘钥更新方法及装置 |
CN105610783A (zh) * | 2015-11-05 | 2016-05-25 | 珠海格力电器股份有限公司 | 一种数据传输方法及物联网系统 |
Also Published As
Publication number | Publication date |
---|---|
CN107370751A (zh) | 2017-11-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107370751B (zh) | 一种在智能设备通信中会话密钥更新方法 | |
CN110636062B (zh) | 设备的安全交互控制方法、装置、电子设备及存储介质 | |
EP2858393B1 (en) | Subscription manager secure routing device switching method and device | |
CN103051628B (zh) | 基于服务器获取认证令牌的方法及系统 | |
US10841106B1 (en) | Combined authentication and encryption | |
EP2912815B1 (en) | Method and apparatus for securing a connection in a communications network | |
EP2506491B1 (en) | Encryption information transmission terminal | |
CN109698746B (zh) | 基于主密钥协商生成绑定设备的子密钥的方法和系统 | |
CN104683359A (zh) | 一种安全通道建立方法及其数据保护方法和安全通道秘钥更新方法 | |
CN108809645A (zh) | 密钥协商的方法、装置及配电自动化系统 | |
CN103458400A (zh) | 一种语音加密通信系统中的密钥管理方法 | |
CN102857479A (zh) | 网络通讯的加密方法和系统 | |
CN103780609A (zh) | 一种云数据的处理方法、装置和云数据安全网关 | |
CN112672342B (zh) | 数据传输方法、装置、设备、系统和存储介质 | |
CN114221822B (zh) | 配网方法、网关设备以及计算机可读存储介质 | |
CN112383917B (zh) | 一种基于商密算法的北斗安全通信方法和系统 | |
CN104022867A (zh) | 一种issu软重启预处理方法及设备 | |
CN110601825A (zh) | 密文的处理方法及装置、存储介质、电子装置 | |
CN108206738B (zh) | 一种量子密钥输出方法及系统 | |
CN115632779A (zh) | 一种基于配电网的量子加密通信方法及系统 | |
CN112019552B (zh) | 一种物联网安全通信方法 | |
CN103973687A (zh) | Ip安全联盟维护方法及装置 | |
CN107181739B (zh) | 数据安全交互方法及装置 | |
CN108924161A (zh) | 一种交易数据加密通信方法及系统 | |
CN106209384B (zh) | 使用安全机制的客户终端与充电装置的通信认证方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |