CN108259428B - 一种实现数据传输的系统和方法 - Google Patents
一种实现数据传输的系统和方法 Download PDFInfo
- Publication number
- CN108259428B CN108259428B CN201611244714.2A CN201611244714A CN108259428B CN 108259428 B CN108259428 B CN 108259428B CN 201611244714 A CN201611244714 A CN 201611244714A CN 108259428 B CN108259428 B CN 108259428B
- Authority
- CN
- China
- Prior art keywords
- data
- root key
- background server
- terminal node
- security algorithm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000005540 biological transmission Effects 0.000 title claims abstract description 151
- 238000000034 method Methods 0.000 title claims abstract description 38
- 238000012795 verification Methods 0.000 claims description 52
- 230000006870 function Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 125000004122 cyclic group Chemical group 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/045—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0827—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
本文公布一种实现数据传输的系统和方法,该方法包括:当建立会话后,终端节点经由与自身可以进行数据转发的中间设备与后台服务器协商数据传输密钥;当协商数据传输密钥成功时,终端节点采用第三预设安全算法以及协商后的数据传输密钥对会话中需要传输的数据进行加密处理;终端节点将加密处理后的数据经由与自身可以进行数据收发的中间设备发送给后台服务器。本发明实施例增强了数据传输的安全性。
Description
技术领域
本发明实施例涉及但不限于物联网领域,尤指一种实现数据传输的系统和方法。
背景技术
相关技术中,终端节点(如具有蓝牙低功耗(BLE,Bluetooth Low Energy)功能的设备)、中间设备(如包括手机、IPad在内的移动终端)和后台服务器(如移动终端中的应用对应的后台处理器)之间的数据传输方法大致包括:首先,建立会话后,终端节点将需要传输的数据(明文数据)发送给中间设备(在此步骤之前,终端节点与中间设备可以通过安全管理协议(SMP,Security Manage Protocol)进行配对,配对成功后再传输数据);然后,中间设备使用互联网安全方案对终端节点发送的数据进行加密并将加密后的数据传输给后台服务器,其中,中间设备通过自身中安装的应用将加密后的数据传输给后台服务器;最后,后台服务器对接收到的数据进行解密并处理解密后的数据。
在上述数据传输方法中,数据需要通过中间设备中的应用来转发,外部攻击者可以通过攻击应用(比如开发木马程序等方式)来获取传输的数据,因此,存在传输的数据被窃取的风险。
综上所述,如何增强数据传输的安全性成为亟需解决的问题。
发明内容
本申请提供了一种实现数据传输的系统和方法,能够增强数据传输的安全性。
为了达到本申请目的,本申请提供了一种实现数据传输的系统,包括:终端节点、中间设备和后台服务器;其中,
终端节点,用于当建立会话后,经由与自身可以进行数据转发的中间设备,与后台服务器协商数据传输密钥;当协商数据传输密钥成功时,采用第三预设安全算法以及协商后的数据传输密钥对会话中需要传输的数据进行加密处理;将加密处理后的数据发送给与自身可以进行数据收发的中间设备;
与终端节点可以进行数据收发的中间设备,用于将接收到的来自终端节点发送的加密处理后的数据发送给后台服务器;
后台服务器,用于经由与自身可以进行数据转发的中间设备,与终端节点协商数据传输密钥;接收来自中间设备发送的加密处理后的数据,并根据协商后的数据传输密钥以及第三预设安全算法对接收到的数据进行解密处理。
可选地,所述后台服务器,还用于为所述终端节点分配与所述终端节点对应的预设个数的根密钥组,以及所述根密钥组所包含的每个根密钥对应的根密钥ID;
将所述根密钥组以及所述根密钥组所包含的每个根密钥对应的根密钥ID发送给所述终端节点。
可选地,所述终端节点中用于经由与自身可以进行数据转发的中间设备,与后台服务器协商数据传输密钥包括:
选取预先存储的根密钥以及确定根密钥对应的根密钥身份标识ID;
生成第一随机数;
接收经由与自身可以进行数据转发的中间设备发送的所述后台服务器发送的第二随机数;
根据选取的根密钥、根密钥ID、第一随机数、第一预设安全算法、第二预设安全算法以及接收到的第二随机数,经由与自身可以进行数据转发的中间设备与所述后台服务器协商数据传输密钥。
可选地,所述终端节点中用于根据选取的根密钥、根密钥ID、第一随机数、第一预设安全算法、第二预设安全算法以及接收到的第二随机数,经由与自身可以进行数据转发的中间设备与所述后台服务器协商数据传输密钥包括:
将自身的身份识别信息、所述根密钥ID和所述第一随机数经由与自身可以进行数据转发的中间设备,发送给所述后台服务器;根据所述根密钥、所述第一随机数、所述第一预设安全算法、所述第二预设安全算法以及所述第二随机数,经由与自身可以进行数据转发的中间设备与所述后台服务器进行身份验证;当身份验证成功时,接收经由与自身可以进行数据转发的中间设备转发的所述后台服务器发送包含所述数据传输密钥的信息;采用所述第二预设安全算法对所述包含所述数据传输密钥的信息进行验证;当验证成功时,根据所述根密钥对所述包含所述数据传输密钥的信息进行解密处理以获取所述数据传输密钥,将获得的所述数据传输密钥作为与所述后台服务器协商后的数据传输密钥;相应地,
所述后台服务器中用于与所述终端节点协商数据传输密钥包括:
接收经由与自身可以进行数据转发的中间设转发的来自所述终端节点发送的所述身份识别信息、所述根密钥ID和所述第一随机数;生成所述第二随机数并将生成的所述第二随机数经由与自身可以进行数据转发的中间设备发送给所述终端节点;根据所述根密钥、所述第一随机数、所述第一预设安全算法、所述第二预设安全算法以及所述第二随机数,经由与自身可以进行数据转发的中间设备与所述后台服务器进行身份验证;当身份验证成功时,生成所述数据传输密钥以及包含所述数据传输密钥的信息;将生成的所述数据传输密钥作为与所述终端节点协商后的数据传输密钥;将生成的所述包含所述数据传输密钥的信息发送所述终端节点。
可选地,所述终端节点中用于经由与自身可以进行数据转发的中间设备与所述后台服务器进行身份验证包括:根据所述根密钥、所述根密钥对应的根密钥ID、所述自身的身份识别信息所述第一预设安全算法和所述第二预设安全算法生成第一身份验证信息;将所述第一身份验证信息经由与自身可以进行数据转发的中间设备发送给所述后台服务器;接收并验证来自后台服务器发送的第二身份验证信息;当所述第二身份验证信息验证通过时,生成第三身份验证信息;将所述第三身份验证信息经由与自身可以进行数据转发的中间设备发送给所述后台服务器;相应地,
所述后台服务器中用于经由与自身可以进行数据转发的中间设备与所述终端节点进行身份验证包括:接收并验证经由与自身可以进行数据转发的中间设备转发的来自所述终端节点发送的所述第一身份验证信息;当所述第一身份验证信息验证通过时,生成所述第二身份验证信息;将所述第二身份验证信息经由与自身可以进行数据转发的中间设备发送给所述后台服务器;接收并验证经由与自身可以进行数据转发的中间设备转发的来自所述终端节点发送的所述第三身份验证信息;当所述第三身份验证信息验证通过时,身份验证成功。
可选地,所述第一身份验证信息如公式(1)所示:
UNICID||根密钥ID||R1||IK (1)
其中,UNICID表示所述身份识别信息,R1表示根据所述根密钥和所述第一预设安全算法对所述第一随机数进行加密处理后得到的数据,IK表示采用所述第二预设安全算法对(UNICID||根密钥ID||R1)进行计算得到的数据,||表示串联操作;
所述第二身份验证信息如公式(2)所示:
R2||IK1 (2)
其中,R2表示根据与所述身份识别信息和所述根密钥ID对应的本地存储的根密钥和所述第一预设安全算法对
进行加密处理后得到的数据,IK1表示采用所述第二预设安全算法对R2进行计算得到的数据,
表示异或操作,RNAD1*表示根据与所述身份识别信息和所述根密钥ID对应的本地存储的根密钥和所述第一预设安全算法对R1进行解密处理后得到的数据,RAND2表示所述第二随机数;
所述第三身份验证信息如公式(3)所示:
R3||IK2 (2)
其中,R3表示根据选取的根密钥和所述第一预设安全算法对
进行加密处理后得到的数据,IK2表示采用所述第二预设安全算法对R3进行计算得到的数据,RNAD2*表示根据所述选取的根密钥和所述第一预设安全算法对R2进行解密处理后得到与所述第二随机数对应的数据。
可选地,所述第一身份验证信息验证通过包括:采用所述第二预设安全算法对(UNICID||根密钥ID||R1)进行校验值计算;当计算出的校验值和IK相同时,第一身份验证信息验证通过;
所述第二身份验证信息验证通过包括:采用所述第二预设安全算法对R2进行校验值计算;当计算出的校验值和IK1相同时,第二身份验证信息验证通过;
所述第三身份验证信息验证通过包括:采用所述第二预设安全算法对R3进行校验值计算;当计算出的校验值和IK2相同时,第三身份验证信息验证通过。
可选地,所述后台服务器按照公式(4)生成包含所述数据传输密钥的信息:
R4||IK3 (4)
其中,R4表示根据所述根密钥和所述第一预设安全算法对
进行加密处理后得到的数据,AK表示所述数据传输密钥,IK3表示采用所述第二预设安全算法对R4进行计算得到的数据。
另一方面,本申请还提供了一种实现数据传输的方法,包括:
当建立会话后,终端节点经由与自身可以进行数据转发的中间设备与后台服务器协商数据传输密钥;
当协商数据传输密钥成功时,终端节点采用第三预设安全算法以及协商后的数据传输密钥对会话中需要传输的数据进行加密处理;
终端节点将加密处理后的数据经由与自身可以进行数据收发的中间设备发送给后台服务器。
可选地,该方法之前还包括:所述后台服务器为所述终端节点分配与所述终端节点对应的预设个数的根密钥组,以及所述根密钥组所包含的每个根密钥对应的根密钥ID;
将所述根密钥组以及所述根密钥组所包含的每个根密钥对应的根密钥ID发送给所述终端节点。
可选地,所述终端节点经由与自身可以进行数据转发的中间设备与后台服务器协商数据传输密钥包括:
所述终端节点选取预先存储的根密钥、确定根密钥对应的根密钥身份标识ID以及生成第一随机数;
所述后台服务器生成第二随机数并将生成的第二随机数经由与自身可以进行数据转发的中间设备发送给所述终端节点;
所述终端节点根据选取的根密钥、根密钥ID、第一随机数、第一预设安全算法、第二预设安全算法以及接收到的所述第二随机数,经由与自身可以进行数据转发的中间设备与所述后台服务器协商数据传输密钥。
可选地,所述所述终端节点根据选取的根密钥、根密钥ID、第一随机数、第一预设安全算法、第二预设安全算法以及接收到的所述第二随机数经由与自身可以进行数据转发的中间设备与所述后台服务器协商数据传输密钥包括:
所述终端节点将自身的身份识别信息、所述根密钥ID和所述第一随机数经由与自身可以进行数据转发的中间设备发送给所述后台服务器;
所述后台服务器接收经由与自身可以进行数据转发的中间设备转发的来自所述终端节点发送的所述身份识别信息、所述根密钥ID和所述第一随机数;
所述终端节点与所述后台服务器根据所述根密钥、所述第一随机数、所述第一预设安全算法、所述第二预设安全算法以及所述第二随机数进行身份验证;
当身份验证成功时,所述后台服务器生成所述数据传输密钥以及包含所述数据传输密钥的信息;所述后台服务器将生成的所述数据传输密钥作为与所述终端节点协商后的数据传输密钥;所述后台服务器将生成的所述包含所述数据传输密钥的信息经由与自身可以进行数据转发的中间设备发送给所述终端节点;
所述终端节点接收经由与自身可以进行数据转发的中间设备转发的所述后台服务器发送包含所述数据传输密钥的信息;采用所述第二预设安全算法对所述包含所述数据传输密钥的信息进行验证;当验证成功时,根据所述根密钥对所述包含所述数据传输密钥的信息进行解密处理以获取所述数据传输密钥,将获得的所述数据传输密钥作为与所述后台服务器协商后的数据传输密钥。
可选地,所述终端节点与所述后台服务器进行身份验证包括:
所述终端节点根据所述根密钥、所述根密钥对应的根密钥ID、所述自身的身份识别信息所述第一预设安全算法和所述第二预设安全算法生成第一身份验证信息;将所述第一身份验证信息经由与自身可以进行数据转发的中间设备发送给所述后台服务器;
所述后台服务器接收并验证来自所述终端节点发送的所述第一身份验证信息;当所述第一身份验证信息验证通过时,生成所述第二身份验证信息;所述后台服务器将所述第二身份验证信息经由与自身可以进行数据转发的中间设备发送给所述后台服务器;
所述终端节点接收并验证来自后台服务器发送的第二身份验证信息;当所述第二身份验证信息验证通过时,生成第三身份验证信息;将所述第三身份验证信息经由与自身可以进行数据转发的中间设备发送给所述后台服务器;
所述后台服务器接收并验证来自所述终端节点发送的所述第三身份验证信息;当所述第三身份验证信息验证通过时,身份验证成功。
可选地,所述第一身份验证信息如公式(1)所示:
UNICID||根密钥ID||R1||IK (1)
其中,UNICID表示所述身份识别信息,R1表示根据所述根密钥和所述第一预设安全算法对所述第一随机数进行加密处理后得到的数据,IK表示采用所述第二预设安全算法对(UNICID||根密钥ID||R1)进行计算得到的数据,||表示串联操作;
所述第二身份验证信息如公式(2)所示:
R2||IK1 (2)
其中,R2表示根据与所述身份识别信息和所述根密钥ID对应的本地存储的根密钥和所述第一预设安全算法对
进行加密处理后得到的数据,IK1表示采用所述第二预设安全算法对R2进行计算得到的数据,
表示异或操作,RNAD1*表示根据与所述身份识别信息和所述根密钥ID对应的本地存储的根密钥和所述第一预设安全算法对R1进行解密处理后得到的数据,RAND2表示所述第二随机数;
所述第三身份验证信息如公式(3)所示:
R3||IK2 (2)
其中,R3表示根据选取的根密钥和所述第一预设安全算法对
进行加密处理后得到的数据,IK2表示采用所述第二预设安全算法对R3进行计算得到的数据,RNAD2*表示根据所述选取的根密钥和所述第一预设安全算法对R2进行解密处理后得到与所述第二随机数对应的数据。
可选地,所述第一身份验证信息验证通过包括:采用所述第二预设安全算法对(UNICID||根密钥ID||R1)进行校验值计算;当计算出的校验值和IK相同时,第一身份验证信息验证通过;
所述第二身份验证信息验证通过包括:采用所述第二预设安全算法对R2进行校验值计算;当计算出的校验值和IK1相同时,第二身份验证信息验证通过;
所述第三身份验证信息验证通过包括:采用所述第二预设安全算法对R3进行校验值计算;当计算出的校验值和IK2相同时,第三身份验证信息验证通过。
可选地,所述后台服务器按照公式(4)生成包含所述数据传输密钥的信息:
R4||IK3 (4)
其中,R4表示根据所述根密钥和所述第一预设安全算法对
进行加密处理后得到的数据,AK表示所述数据传输密钥,IK3表示采用所述第二预设安全算法对R4进行计算得到的数据。
本发明实施例包括:当建立会话后,终端节点经由与自身可以进行数据转发的中间设备与后台服务器协商数据传输密钥;当协商数据传输密钥成功时,终端节点采用第三预设安全算法以及协商后的数据传输密钥对会话中需要传输的数据进行加密处理;终端节点将加密处理后的数据经由与自身可以进行数据收发的中间设备发送给后台服务器。本发明实施例增强了数据传输的安全性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实施例实现数据传输的系统的结构示意图;
图2为本申请实施例实现数据传输的方法的流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
图1为本发明实施例实现数据传输的系统的结构示意图,如图1所示,包括:终端节点、中间设备和后台服务器。其中,
终端节点,用于建立会话后,经由与自身可以进行数据转发的中间设备,与后台服务器协商数据传输密钥;当协商数据传输密钥成功时,采用第三预设安全算法以及协商后的数据传输密钥对会话中需要传输的数据进行加密处理;将加密处理后的数据发送给与自身可以进行数据收发的中间设备。
需要说明的是,本发明实施例终端节点将加密后的数据发送给中间设备,从而降低了该传输过程中数据被窃取的风险。
与终端节点可以进行数据收发的中间设备,用于将接收到的来自终端节点发送的加密处理后的数据发送给后台服务器。
后台服务器,用于经由与自身可以进行数据转发的中间设备,与终端节点协商数据传输密钥;接收来自中间设备发送的加密处理后的数据,并根据协商后的数据传输密钥以及第三预设安全算法对接收到的数据进行解密处理。
需要说明的是,后台服务器和终端节点直接传输一切数据均由中间设备进行转发,从而实现了后台服务器和终端节点之间的通信。
其中,本发明实施例后台服务器可以通过随机数生成器生成第二随机数。
可选地,本发明实施例后台服务器,还用于为终端节点分配与终端节点对应的预设个数的根密钥组,以及根密钥组所包含的每个根密钥对应的根密钥ID;
将根密钥组以及根密钥组所包含的每个根密钥对应的根密钥ID发送给终端节点。
其中,本发明实施例预设个数可以是8个。此时,8个根密钥中每个根密钥分别对应的根密钥ID分别是0、1、2、3、4、5、6、7,或者也可以分别是1、2、3、4、5、6、7、8。
其中,本发明实施例终端节点中用于经由与自身可以进行数据转发的中间设备,与后台服务器协商数据传输密钥包括:
选取预先存储的根密钥以及确定根密钥对应的根密钥身份标识ID;
生成第一随机数;
接收经由与自身可以进行数据转发的中间设备转发的后台服务器发送的第二随机数;
根据选取的根密钥、确定的根密钥ID、生成的第一随机数、第一预设安全算法、第二预设安全算法以及接收到的第二随机数,经由与自身可以进行数据转发的中间设备与后台服务器协商数据传输密钥。
其中,本发明实施例终端节点可以通过随机数生成器生成第一随机数。
其中,本发明实施例终端节点中用于根据选取的根密钥、确定的根密钥ID、生成的第一随机数、第一预设安全算法、第二预设安全算法以及接收到的第二随机数,经由与自身可以进行数据转发的中间设备与后台服务器协商数据传输密钥包括:
将自身的身份识别信息、根密钥ID和第一随机数经由与自身可以进行数据转发的中间设备,发送给后台服务器;根据根密钥、第一随机数、第一预设安全算法、第二预设安全算法以及第二随机数,经由与自身可以进行数据转发的中间设备与后台服务器进行身份验证;当身份验证成功时,接收经由与自身可以进行数据转发的中间设备转发的后台服务器发送包含数据传输密钥的信息;采用第二预设安全算法对包含数据传输密钥的信息进行验证;当验证成功时,根据根密钥对包含数据传输密钥的信息进行解密处理以获取数据传输密钥,将获得的数据传输密钥作为与后台服务器协商后的数据传输密钥;相应地,
后台服务器中用于与终端节点协商数据传输密钥包括:
接收经由与自身可以进行数据转发的中间设备转发的来自终端节点发送的身份识别信息、根密钥ID和第一随机数;
生成所述第二随机数并将生成的第二随机数经由与自身可以进行数据转发的中间设备发送给所述终端节点;
根据根密钥、第一随机数、第一预设安全算法、第二预设安全算法以及第二随机数,经由与自身可以进行数据转发的中间设备与后台服务器进行身份验证;当身份验证成功时,生成数据传输密钥以及包含数据传输密钥的信息;将生成的数据传输密钥作为与终端节点协商后的数据传输密钥;将生成的包含数据传输密钥的信息发送终端节点。
其中,本发明实施例终端节点中用于经由与自身可以进行数据转发的中间设备与后台服务器进行身份验证包括:根据根密钥、根密钥对应的根密钥ID、自身的身份识别信息第一预设安全算法和第二预设安全算法生成第一身份验证信息;将第一身份验证信息经由与自身可以进行数据转发的中间设备发送给后台服务器;接收并验证来自后台服务器发送的第二身份验证信息;当第二身份验证信息验证通过时,生成第三身份验证信息;将第三身份验证信息经由与自身可以进行数据转发的中间设备发送给后台服务器;相应地,
后台服务器中用于经由与自身可以进行数据转发的中间设备与终端节点进行身份验证包括:接收并验证经由与自身可以进行数据转发的中间设备转发的来自终端节点发送的第一身份验证信息;当第一身份验证信息验证通过时,生成第二身份验证信息;将第二身份验证信息经由与自身可以进行数据转发的中间设备发送给后台服务器;接收并验证经由与自身可以进行数据转发的中间设备转发的来自终端节点发送的第三身份验证信息;当第三身份验证信息验证通过时,身份验证成功。
可选地,本发明实施例后台服务器包括一台或一台以上后台服务器。
可选地,本发明实施例终端节点包括一个或一个以上终端节点。
其中,一台后台服务器可以与一个或一个以上终端节点之间进行传输数据。
其中,本发明实施例中间设备可以是包括手机或IPad在内的移动终端;本发明实施例后台服务器可以是安装在移动终端中的应用对应的后台处理器;本发明实施例终端节点可以是具有蓝牙低功耗(BLE,Bluetooth Low Energy)功能的设备,例如蓝牙手环。其中,本发明实施例中间设备和终端节点之间通过预先建立的物理连接进行数据的收发,例如可以通过近场通信(NFC,Near Field Communication)或蓝牙进行数据的收发。
其中,本发明实施例第一预设安全算法和第三预设安全算法可以是高级加密标准-电子密码本(AES-ECB);本发明实施例第二安全算法可以是循环冗余检测(CRC,CyclicRedundancy Check)。
其中,本发明实施例第一随机数、第二随机数、根密钥以及终端节点自身的身份识别信息均可以是128比特(bit)。其中,终端节点自身的身份识别信息可以是自身携带的序列号。
其中,本发明实施例第一身份验证信息如公式(1)所示:
UNICID||根密钥ID||R1||IK (1)
其中,UNICID表示身份识别信息,R1表示根据根密钥和第一预设安全算法对第一随机数进行加密处理后得到的数据,IK表示采用第二预设安全算法对(UNICID||根密钥ID||R1)进行计算得到的数据,||表示串联操作。
其中,本发明实施例第二身份验证信息如公式(2)所示:
R2||IK1 (2)
其中,R2表示根据与身份识别信息和根密钥ID对应的本地存储的根密钥和第一预设安全算法对
进行加密处理后得到的数据,IK1表示采用第二预设安全算法对R2进行计算得到的数据,
表示异或操作,RNAD1*表示根据与身份识别信息和根密钥ID对应的本地存储的根密钥和第一预设安全算法对R1进行解密处理后得到的数据,RAND2表示第二随机数。
其中,本发明实施例第三身份验证信息如公式(3)所示:
R3||IK2 (2)
其中,R3表示根据选取的根密钥和第一预设安全算法对
进行加密处理后得到的数据,IK2表示采用第二预设安全算法对R3进行计算得到的数据,RNAD2*表示根据选取的根密钥和第一预设安全算法对R2进行解密处理后得到与第二随机数对应的数据。
其中,本发明实施例第一身份验证信息验证通过包括:采用第二预设安全算法对(UNICID||根密钥ID||R1)进行校验值计算;当计算出的校验值和IK相同时,第一身份验证信息验证通过。
其中,本发明实施例第二身份验证信息验证通过包括:采用第二预设安全算法对R2进行校验值计算;当计算出的校验值和IK1相同时,第二身份验证信息验证通过。
其中,本发明实施例第三身份验证信息验证通过包括:采用第二预设安全算法对R3进行校验值计算;当计算出的校验值和IK2相同时,第三身份验证信息验证通过。
其中,本发明实施例后台服务器按照公式(4)生成包含数据传输密钥的信息:
R4||IK3 (4)
其中,R4表示根据根密钥和第一预设安全算法对
进行加密处理后得到的数据,AK表示数据传输密钥,IK3表示采用第二预设安全算法对R4进行计算得到的数据。
图2为本申请实施例一种实现数据传输的方法的流程图,如图2所示,包括:
步骤201:建立会话后,终端节点经由与自身可以进行数据转发的中间设备与后台服务器协商数据传输密钥。
可选地,本发明实施例方法之前还包括:
后台服务器为终端节点分配与终端节点对应的预设个数的根密钥组,以及根密钥组所包含的每个根密钥对应的根密钥ID;
将根密钥组以及根密钥组所包含的每个根密钥对应的根密钥ID发送给终端节点。
其中,本发明实施例预设个数可以是8个。此时,8个根密钥中每个根密钥分别对应的根密钥ID分别是0、1、2、3、4、5、6、7,或者也可以分别是1、2、3、4、5、6、7、8。
其中,本发明实施例终端节点经由与自身可以进行数据转发的中间设备与后台服务器协商数据传输密钥包括:
终端节点选取预先存储的根密钥、确定根密钥对应的根密钥身份标识ID以及生成第一随机数;
后台服务器生成第二随机数并将生成的第二随机数经由与自身可以进行数据转发的中间设备发送给终端节点;
终端节点根据选取的根密钥、根密钥ID、第一随机数、第一预设安全算法、第二预设安全算法以及接收到的第二随机数,经由与自身可以进行数据转发的中间设备与后台服务器协商数据传输密钥。
其中,本发明实施例终端节点可以通过随机数生成器生成第一随机数。
其中,本发明实施例后台服务器可以通过随机数生成器生成第二随机数。
其中,本发明实施例第一预设安全算法可以是高级加密标准-电子密码本(AES-ECB);本发明实施例第二安全算法可以是循环冗余检测(CRC,Cyclic Redundancy Check)。
其中,本发明实施例终端节点根据选取的根密钥、根密钥ID、第一随机数、第一预设安全算法、第二预设安全算法以及接收到的第二随机数,经由与自身可以进行数据转发的中间设备与后台服务器协商数据传输密钥包括:
终端节点将自身的身份识别信息、根密钥ID和第一随机数经由与自身可以进行数据转发的中间设备发送给后台服务器;
后台服务器接收经由与自身可以进行数据转发的中间设备转发的来自终端节点发送的身份识别信息、根密钥ID和第一随机数;
终端节点与后台服务器根据根密钥、第一随机数、第一预设安全算法、第二预设安全算法以及第二随机数进行身份验证;
当身份验证成功时,后台服务器生成数据传输密钥以及包含数据传输密钥的信息;后台服务器将生成的数据传输密钥作为与终端节点协商后的数据传输密钥;后台服务器将生成的包含数据传输密钥的信息经由与自身可以进行数据转发的中间设备发送给终端节点;
终端节点接收经由与自身可以进行数据转发的中间设备转发的后台服务器发送包含数据传输密钥的信息;采用第二预设安全算法对包含数据传输密钥的信息进行验证;当验证成功时,根据根密钥对包含数据传输密钥的信息进行解密处理以获取数据传输密钥,将获得的数据传输密钥作为与后台服务器协商后的数据传输密钥。
其中,本发明实施例终端节点与后台服务器进行身份验证包括:
终端节点根据根密钥、根密钥对应的根密钥ID、自身的身份识别信息第一预设安全算法和第二预设安全算法生成第一身份验证信息;将第一身份验证信息经由与自身可以进行数据转发的中间设备发送给后台服务器;
后台服务器接收并验证来自终端节点发送的第一身份验证信息;当第一身份验证信息验证通过时,生成第二身份验证信息;后台服务器将第二身份验证信息经由与自身可以进行数据转发的中间设备发送给后台服务器;
终端节点接收并验证来自后台服务器发送的第二身份验证信息;当第二身份验证信息验证通过时,生成第三身份验证信息;将第三身份验证信息经由与自身可以进行数据转发的中间设备发送给后台服务器;
后台服务器接收并验证来自终端节点发送的第三身份验证信息;当第三身份验证信息验证通过时,身份验证成功。
其中,本发明实施例第一身份验证信息如公式(1)所示:
UNICID||根密钥ID||R1||IK (1)
其中,UNICID表示身份识别信息,R1表示根据根密钥和第一预设安全算法对第一随机数进行加密处理后得到的数据,IK表示采用第二预设安全算法对(UNICID||根密钥ID||R1)进行计算得到的数据,||表示串联操作。
其中,本发明实施例第二身份验证信息如公式(2)所示:
R2||IK1 (2)
其中,本发明实施例R2表示根据与身份识别信息和根密钥ID对应的本地存储的根密钥和第一预设安全算法对
进行加密处理后得到的数据,IK1表示采用第二预设安全算法对R2进行计算得到的数据,
表示异或操作,RNAD1*表示根据与身份识别信息和根密钥ID对应的本地存储的根密钥和第一预设安全算法对R1进行解密处理后得到的数据,RAND2表示第二随机数。
第三身份验证信息如公式(3)所示:
R3||IK2 (2)
其中,R3表示根据选取的根密钥和第一预设安全算法对
进行加密处理后得到的数据,IK2表示采用第二预设安全算法对R3进行计算得到的数据,RNAD2*表示根据选取的根密钥和第一预设安全算法对R2进行解密处理后得到与第二随机数对应的数据。
其中,本发明实施例后台服务器按照公式(4)生成包含数据传输密钥的信息:
R4||IK3 (4)
其中,R4表示根据根密钥和第一预设安全算法对
进行加密处理后得到的数据,AK表示数据传输密钥,IK3表示采用第二预设安全算法对R4进行计算得到的数据。
其中,本发明实施例第一身份验证信息验证通过包括:采用第二预设安全算法对(UNICID||根密钥ID||R1)进行校验值计算;当计算出的校验值和IK相同时,第一身份验证信息验证通过。
其中,本发明实施例第二身份验证信息验证通过包括:采用第二预设安全算法对R2进行校验值计算;当计算出的校验值和IK1相同时,第二身份验证信息验证通过。
其中,本发明实施例第三身份验证信息验证通过包括:采用第二预设安全算法对R3进行校验值计算;当计算出的校验值和IK2相同时,第三身份验证信息验证通过。
步骤202:当协商数据传输密钥成功时,采用第三预设安全算法以及协商后的数据传输密钥对会话中需要传输的数据进行加密处理。
其中,本发明实施例第三预设安全算法可以是AES-ECB。
步骤203:将加密处理后的数据经由与自身可以进行数据收发的中间设备发送给后台服务器。
可选地,在步骤202之后,在步骤203之前,本发明实施例方法还包括:采用PKCS7填充方法对加密处理后的数据进行填充;将填充后的数据由与自身可以进行数据收发的中间设备发送给后台服务器。
可选地,本发明实施例后台服务器包括一台或一台以上后台服务器。
可选地,本发明实施例终端节点包括一个或一个以上终端节点。
其中,一台后台服务器可以与一个或一个以上终端节点之间进行传输数据。
其中,本发明实施例中间设备可以是包括手机或IPad在内的移动终端;本发明实施例后台服务器可以是安装在移动终端中的应用对应的后台处理器;本发明实施例终端节点可以是具有蓝牙低功耗(BLE,Bluetooth Low Energy)功能的设备,例如蓝牙手环。其中,本发明实施例中间设备和终端节点之间通过预先建立的物理连接进行数据的收发,例如可以通过近场通信(NFC,Near Field Communication)或蓝牙进行数据的收发。
需要说明的是,中间设备和终端节点之间通过预先建立的物理连接进行数据的收发,从而避免了通过SMP配对产生的耗时过多的问题,从而提升了数据传输的效率。
其中,本发明实施例第一随机数、第二随机数、根密钥以及终端节点自身的身份识别信息均可以是128比特(bit)。其中,终端节点自身的身份识别信息可以是自身携带的序列号。
本发明实施方式中,通过终端节点经由与自身可以进行数据转发的中间设备与后台服务器协商数据传输密钥,将采用第三预设安全算法以及协商后的数据传输密钥加密处理后的数据经由与自身可以进行数据收发的中间设备发送给后台服务器,从而增强了数据传输的安全性。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件(例如处理器)完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,例如通过集成电路来实现其相应功能,也可以采用软件功能模块的形式实现,例如通过处理器执行存储于存储器中的程序/指令来实现其相应功能。本发明不限制于任何特定形式的硬件和软件的结合。
以上仅为本申请的优选实施例,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。
Claims (14)
1.一种实现数据传输的系统,其特征在于,包括:终端节点、中间设备和后台服务器;其中,
终端节点,用于当建立会话后,经由与自身可以进行数据转发的中间设备,与后台服务器协商数据传输密钥;当协商数据传输密钥成功时,采用第三预设安全算法以及协商后的数据传输密钥对会话中需要传输的数据进行加密处理;将加密处理后的数据发送给与自身可以进行数据收发的中间设备;
与终端节点可以进行数据收发的中间设备,用于将接收到的来自终端节点发送的加密处理后的数据发送给后台服务器;
后台服务器,用于经由与自身可以进行数据转发的中间设备,与终端节点协商数据传输密钥;接收来自中间设备发送的加密处理后的数据,并根据协商后的数据传输密钥以及第三预设安全算法对接收到的数据进行解密处理;
其中,所述终端节点中用于经由与自身可以进行数据转发的中间设备,与后台服务器协商数据传输密钥包括:
选取预先存储的根密钥以及确定根密钥对应的根密钥身份标识ID;
生成第一随机数;
接收经由与自身可以进行数据转发的中间设备发送的所述后台服务器发送的第二随机数;
根据选取的根密钥、根密钥ID、第一随机数、第一预设安全算法、第二预设安全算法以及接收到的第二随机数,经由与自身可以进行数据转发的中间设备与所述后台服务器协商数据传输密钥。
2.根据权利要求1所述的系统,其特征在于,所述后台服务器,还用于为所述终端节点分配与所述终端节点对应的预设个数的根密钥组,以及所述根密钥组所包含的每个根密钥对应的根密钥ID;
将所述根密钥组以及所述根密钥组所包含的每个根密钥对应的根密钥ID发送给所述终端节点。
3.根据权利要求1所述的系统,其特征在于,所述终端节点中用于根据选取的根密钥、根密钥ID、第一随机数、第一预设安全算法、第二预设安全算法以及接收到的第二随机数,经由与自身可以进行数据转发的中间设备与所述后台服务器协商数据传输密钥包括:
将自身的身份识别信息、所述根密钥ID和所述第一随机数经由与自身可以进行数据转发的中间设备,发送给所述后台服务器;根据所述根密钥、所述第一随机数、所述第一预设安全算法、所述第二预设安全算法以及所述第二随机数,经由与自身可以进行数据转发的中间设备与所述后台服务器进行身份验证;当身份验证成功时,接收经由与自身可以进行数据转发的中间设备转发的所述后台服务器发送包含所述数据传输密钥的信息;采用所述第二预设安全算法对所述包含所述数据传输密钥的信息进行验证;当验证成功时,根据所述根密钥对所述包含所述数据传输密钥的信息进行解密处理以获取所述数据传输密钥,将获得的所述数据传输密钥作为与所述后台服务器协商后的数据传输密钥;相应地,
所述后台服务器中用于与所述终端节点协商数据传输密钥包括:
接收经由与自身可以进行数据转发的中间设转发的来自所述终端节点发送的所述身份识别信息、所述根密钥ID和所述第一随机数;生成所述第二随机数并将生成的所述第二随机数经由与自身可以进行数据转发的中间设备发送给所述终端节点;根据所述根密钥、所述第一随机数、所述第一预设安全算法、所述第二预设安全算法以及所述第二随机数,经由与自身可以进行数据转发的中间设备与所述后台服务器进行身份验证;当身份验证成功时,生成所述数据传输密钥以及包含所述数据传输密钥的信息;将生成的所述数据传输密钥作为与所述终端节点协商后的数据传输密钥;将生成的所述包含所述数据传输密钥的信息发送所述终端节点。
4.根据权利要求3所述的系统,其特征在于,所述终端节点中用于经由与自身可以进行数据转发的中间设备与所述后台服务器进行身份验证包括:根据所述根密钥、所述根密钥对应的根密钥ID、所述自身的身份识别信息所述第一预设安全算法和所述第二预设安全算法生成第一身份验证信息;将所述第一身份验证信息经由与自身可以进行数据转发的中间设备发送给所述后台服务器;接收并验证来自后台服务器发送的第二身份验证信息;当所述第二身份验证信息验证通过时,生成第三身份验证信息;将所述第三身份验证信息经由与自身可以进行数据转发的中间设备发送给所述后台服务器;相应地,
所述后台服务器中用于经由与自身可以进行数据转发的中间设备与所述终端节点进行身份验证包括:接收并验证经由与自身可以进行数据转发的中间设备转发的来自所述终端节点发送的所述第一身份验证信息;当所述第一身份验证信息验证通过时,生成所述第二身份验证信息;将所述第二身份验证信息经由与自身可以进行数据转发的中间设备发送给所述后台服务器;接收并验证经由与自身可以进行数据转发的中间设备转发的来自所述终端节点发送的所述第三身份验证信息;当所述第三身份验证信息验证通过时,身份验证成功。
5.根据权利要求4所述的系统,其特征在于,所述第一身份验证信息如公式(1)所示:
UNICID||根密钥ID||R1||IK (1)
其中,UNICID表示所述身份识别信息,R1表示根据所述根密钥和所述第一预设安全算法对所述第一随机数进行加密处理后得到的数据,IK表示采用所述第二预设安全算法对(UNICID||根密钥ID||R1)进行计算得到的数据,||表示串联操作;
所述第二身份验证信息如公式(2)所示:
R2||IK1 (2)
其中,R2表示根据与所述身份识别信息和所述根密钥ID对应的本地存储的根密钥和所述第一预设安全算法对
进行加密处理后得到的数据,IK1表示采用所述第二预设安全算法对R2进行计算得到的数据,
表示异或操作,RNAD1*表示根据与所述身份识别信息和所述根密钥ID对应的本地存储的根密钥和所述第一预设安全算法对R1进行解密处理后得到的数据,RAND2表示所述第二随机数;
所述第三身份验证信息如公式(3)所示:
R3||IK2 (3)
其中,R3表示根据选取的根密钥和所述第一预设安全算法对
进行加密处理后得到的数据,IK2表示采用所述第二预设安全算法对R3进行计算得到的数据,RNAD2*表示根据所述选取的根密钥和所述第一预设安全算法对R2进行解密处理后得到与所述第二随机数对应的数据。
6.根据权利要求5所述的系统,其特征在于,
所述第一身份验证信息验证通过包括:采用所述第二预设安全算法对(UNICID||根密钥ID||R1)进行校验值计算;当计算出的校验值和IK相同时,第一身份验证信息验证通过;
所述第二身份验证信息验证通过包括:采用所述第二预设安全算法对R2进行校验值计算;当计算出的校验值和IK1相同时,第二身份验证信息验证通过;
所述第三身份验证信息验证通过包括:采用所述第二预设安全算法对R3进行校验值计算;当计算出的校验值和IK2相同时,第三身份验证信息验证通过。
7.根据权利要求5所述的系统,其特征在于,所述后台服务器按照公式(4)生成包含所述数据传输密钥的信息:
R4||IK3 (4)
其中,R4表示根据所述根密钥和所述第一预设安全算法对
进行加密处理后得到的数据,AK表示所述数据传输密钥,IK3表示采用所述第二预设安全算法对R4进行计算得到的数据。
8.一种实现数据传输的方法,其特征在于,包括:
当建立会话后,终端节点经由与自身可以进行数据转发的中间设备与后台服务器协商数据传输密钥;
当协商数据传输密钥成功时,终端节点采用第三预设安全算法以及协商后的数据传输密钥对会话中需要传输的数据进行加密处理;
终端节点将加密处理后的数据经由与自身可以进行数据收发的中间设备发送给后台服务器;
其中,所述终端节点经由与自身可以进行数据转发的中间设备与后台服务器协商数据传输密钥包括:
所述终端节点选取预先存储的根密钥、确定根密钥对应的根密钥身份标识ID以及生成第一随机数;
所述后台服务器生成第二随机数并将生成的第二随机数经由与自身可以进行数据转发的中间设备发送给所述终端节点;
所述终端节点根据选取的根密钥、根密钥ID、第一随机数、第一预设安全算法、第二预设安全算法以及接收到的所述第二随机数,经由与自身可以进行数据转发的中间设备与所述后台服务器协商数据传输密钥。
9.根据权利要求8所述的方法,其特征在于,该方法之前还包括:所述后台服务器为所述终端节点分配与所述终端节点对应的预设个数的根密钥组,以及所述根密钥组所包含的每个根密钥对应的根密钥ID;
将所述根密钥组以及所述根密钥组所包含的每个根密钥对应的根密钥ID发送给所述终端节点。
10.根据权利要求8所述的方法,其特征在于,所述所述终端节点根据选取的根密钥、根密钥ID、第一随机数、第一预设安全算法、第二预设安全算法以及接收到的所述第二随机数经由与自身可以进行数据转发的中间设备与所述后台服务器协商数据传输密钥包括:
所述终端节点将自身的身份识别信息、所述根密钥ID和所述第一随机数经由与自身可以进行数据转发的中间设备发送给所述后台服务器;
所述后台服务器接收经由与自身可以进行数据转发的中间设备转发的来自所述终端节点发送的所述身份识别信息、所述根密钥ID和所述第一随机数;
所述终端节点与所述后台服务器根据所述根密钥、所述第一随机数、所述第一预设安全算法、所述第二预设安全算法以及所述第二随机数进行身份验证;
当身份验证成功时,所述后台服务器生成所述数据传输密钥以及包含所述数据传输密钥的信息;所述后台服务器将生成的所述数据传输密钥作为与所述终端节点协商后的数据传输密钥;所述后台服务器将生成的所述包含所述数据传输密钥的信息经由与自身可以进行数据转发的中间设备发送给所述终端节点;
所述终端节点接收经由与自身可以进行数据转发的中间设备转发的所述后台服务器发送包含所述数据传输密钥的信息;采用所述第二预设安全算法对所述包含所述数据传输密钥的信息进行验证;当验证成功时,根据所述根密钥对所述包含所述数据传输密钥的信息进行解密处理以获取所述数据传输密钥,将获得的所述数据传输密钥作为与所述后台服务器协商后的数据传输密钥。
11.根据权利要求10所述的方法,其特征在于,所述终端节点与所述后台服务器进行身份验证包括:
所述终端节点根据所述根密钥、所述根密钥对应的根密钥ID、所述自身的身份识别信息所述第一预设安全算法和所述第二预设安全算法生成第一身份验证信息;将所述第一身份验证信息经由与自身可以进行数据转发的中间设备发送给所述后台服务器;
所述后台服务器接收并验证来自所述终端节点发送的所述第一身份验证信息;当所述第一身份验证信息验证通过时,生成第二身份验证信息;所述后台服务器将所述第二身份验证信息经由与自身可以进行数据转发的中间设备发送给所述后台服务器;
所述终端节点接收并验证来自后台服务器发送的第二身份验证信息;当所述第二身份验证信息验证通过时,生成第三身份验证信息;将所述第三身份验证信息经由与自身可以进行数据转发的中间设备发送给所述后台服务器;
所述后台服务器接收并验证来自所述终端节点发送的所述第三身份验证信息;当所述第三身份验证信息验证通过时,身份验证成功。
12.根据权利要求11所述的方法,其特征在于,所述第一身份验证信息如公式(1)所示:
UNICID||根密钥ID||R1||IK (1)
其中,UNICID表示所述身份识别信息,R1表示根据所述根密钥和所述第一预设安全算法对所述第一随机数进行加密处理后得到的数据,IK表示采用所述第二预设安全算法对(UNICID||根密钥ID||R1)进行计算得到的数据,||表示串联操作;
所述第二身份验证信息如公式(2)所示:
R2||IK1 (2)
其中,R2表示根据与所述身份识别信息和所述根密钥ID对应的本地存储的根密钥和所述第一预设安全算法对
进行加密处理后得到的数据,IK1表示采用所述第二预设安全算法对R2进行计算得到的数据,
表示异或操作,RNAD1*表示根据与所述身份识别信息和所述根密钥ID对应的本地存储的根密钥和所述第一预设安全算法对R1进行解密处理后得到的数据,RAND2表示所述第二随机数;
所述第三身份验证信息如公式(3)所示:
R3||IK2 (3)
其中,R3表示根据选取的根密钥和所述第一预设安全算法对
进行加密处理后得到的数据,IK2表示采用所述第二预设安全算法对R3进行计算得到的数据,RNAD2*表示根据所述选取的根密钥和所述第一预设安全算法对R2进行解密处理后得到与所述第二随机数对应的数据。
13.根据权利要求12所述的方法,其特征在于,
所述第一身份验证信息验证通过包括:采用所述第二预设安全算法对(UNICID||根密钥ID||R1)进行校验值计算;当计算出的校验值和IK相同时,第一身份验证信息验证通过;
所述第二身份验证信息验证通过包括:采用所述第二预设安全算法对R2进行校验值计算;当计算出的校验值和IK1相同时,第二身份验证信息验证通过;
所述第三身份验证信息验证通过包括:采用所述第二预设安全算法对R3进行校验值计算;当计算出的校验值和IK2相同时,第三身份验证信息验证通过。
14.根据权利要求12所述的方法,其特征在于,所述后台服务器按照公式(4)生成包含所述数据传输密钥的信息:
R4||IK3 (4)
其中,R4表示根据所述根密钥和所述第一预设安全算法对
进行加密处理后得到的数据,AK表示所述数据传输密钥,IK3表示采用所述第二预设安全算法对R4进行计算得到的数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611244714.2A CN108259428B (zh) | 2016-12-29 | 2016-12-29 | 一种实现数据传输的系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611244714.2A CN108259428B (zh) | 2016-12-29 | 2016-12-29 | 一种实现数据传输的系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108259428A CN108259428A (zh) | 2018-07-06 |
| CN108259428B true CN108259428B (zh) | 2020-10-09 |
Family
ID=62720748
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611244714.2A Active CN108259428B (zh) | 2016-12-29 | 2016-12-29 | 一种实现数据传输的系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108259428B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109660543A (zh) * | 2018-12-26 | 2019-04-19 | 山东浪潮商用系统有限公司 | 一种消息安全机制的实现方法 |
| CN113678490A (zh) * | 2019-04-02 | 2021-11-19 | 上海诺基亚贝尔股份有限公司 | 用于在上行链路中发送后台数据的机制 |
| CN113452757B (zh) * | 2021-06-03 | 2022-03-22 | 深信服科技股份有限公司 | 解密方法、终端设备及计算机可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101800734A (zh) * | 2009-02-09 | 2010-08-11 | 华为技术有限公司 | 一种会话信息交互方法、装置及系统 |
| CN101895879A (zh) * | 2010-07-09 | 2010-11-24 | 杭州师范大学 | 一种无线传感网络的安全通信方法 |
| CN102045210A (zh) * | 2009-10-10 | 2011-05-04 | 中兴通讯股份有限公司 | 一种支持合法监听的端到端会话密钥协商方法和系统 |
| CN102740239A (zh) * | 2011-03-31 | 2012-10-17 | 中兴通讯股份有限公司 | 媒体消息安全传输的方法和系统 |
| WO2013166696A1 (zh) * | 2012-05-11 | 2013-11-14 | 华为技术有限公司 | 数据传输方法、系统及装置 |
-
2016
- 2016-12-29 CN CN201611244714.2A patent/CN108259428B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101800734A (zh) * | 2009-02-09 | 2010-08-11 | 华为技术有限公司 | 一种会话信息交互方法、装置及系统 |
| CN102045210A (zh) * | 2009-10-10 | 2011-05-04 | 中兴通讯股份有限公司 | 一种支持合法监听的端到端会话密钥协商方法和系统 |
| CN101895879A (zh) * | 2010-07-09 | 2010-11-24 | 杭州师范大学 | 一种无线传感网络的安全通信方法 |
| CN102740239A (zh) * | 2011-03-31 | 2012-10-17 | 中兴通讯股份有限公司 | 媒体消息安全传输的方法和系统 |
| WO2013166696A1 (zh) * | 2012-05-11 | 2013-11-14 | 华为技术有限公司 | 数据传输方法、系统及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108259428A (zh) | 2018-07-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105162772B (zh) | 一种物联网设备认证与密钥协商方法和装置 | |
| WO2018040758A1 (zh) | 认证方法、认证装置和认证系统 | |
| JP2019517184A (ja) | 安全なデータ伝送のための方法及びシステム | |
| US8904195B1 (en) | Methods and systems for secure communications between client applications and secure elements in mobile devices | |
| KR101706117B1 (ko) | 휴대용 단말기에서 다른 휴대용 단말기를 인증하는 장치 및 방법 | |
| JP2020530726A (ja) | サプライチェーン資産管理を保護するアプリケーションを有する遠隔サーバへのnfcタグ認証 | |
| CN104158666A (zh) | 实现智能手环与智能移动终端的绑定和认证方法 | |
| CN110635901B (zh) | 用于物联网设备的本地蓝牙动态认证方法和系统 | |
| CN110198295A (zh) | 安全认证方法和装置及存储介质 | |
| JP2010226336A (ja) | 認証方法および認証装置 | |
| KR101297648B1 (ko) | 서버와 디바이스간 인증방법 | |
| CN101378320B (zh) | 一种认证方法和认证系统 | |
| CN108809633B (zh) | 一种身份认证的方法、装置及系统 | |
| CN102664898A (zh) | 一种基于指纹识别的加密传输方法、装置及系统 | |
| CN109309566B (zh) | 一种认证方法、装置、系统、设备及存储介质 | |
| TW201719476A (zh) | 一種在設備之間進行授權的方法和裝置 | |
| CN105119891B (zh) | 一种数据交互方法、机顶盒和服务器 | |
| CN108259428B (zh) | 一种实现数据传输的系统和方法 | |
| CN112398894A (zh) | 车用的安全验证方法及装置 | |
| CN109218251B (zh) | 一种防重放的认证方法及系统 | |
| CN105554008A (zh) | 用户终端、认证服务器、中间服务器、系统和传送方法 | |
| CN105554759A (zh) | 一种鉴权方法和鉴权系统 | |
| CN115868189A (zh) | 建立车辆安全通信的方法、车辆、终端及系统 | |
| CN117675285A (zh) | 一种身份验证方法、芯片及设备 | |
| KR102415628B1 (ko) | Dim을 이용한 드론 인증 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |