CN108270554A - 一种终端配对方法及系统 - Google Patents
一种终端配对方法及系统 Download PDFInfo
- Publication number
- CN108270554A CN108270554A CN201611257262.1A CN201611257262A CN108270554A CN 108270554 A CN108270554 A CN 108270554A CN 201611257262 A CN201611257262 A CN 201611257262A CN 108270554 A CN108270554 A CN 108270554A
- Authority
- CN
- China
- Prior art keywords
- terminal
- key
- random factor
- channel
- communication channel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明提供了一种终端配对方法及系统,该方法通过无线安全通道协商如蓝牙等数据通信信道配对前的安全通信参数,解决了现有终端之间在进行数据通信信道的配对时,采用明文方式进行多次安全通信参数的交互及协商存在的不安全的问题,在不影响用户的使用体验同时,通过无线安全通道协商配对前数据通信信道的安全通信参数,保证蓝牙等数据通信信道的安全性,提升了用户使用的方便性和用户体验的满意度。
Description
技术领域
本发明涉及通信领域,尤其涉及一种终端配对方法及系统。
背景技术
随着智能终端的普及,用户往往在多个终端设备之间进行数据传输,在进行数据传输之前,设备之间需要进行配对,例如用户使用智能终端将其从应用服务商获取的应用安装包等数据写入智能数据卡时,智能终端与智能数据卡需要进行配对及安全认证。
在现有技术中,智能终端与智能数据卡在进行数据通信信道的配对时,一般采用明文方式进行多次安全通信参数的交互及协商,这样会对数据通信信道上的通信数据安全产生极大的威胁,即现有采用明文方式进行多次安全通信参数的交互及协商的终端配置方法存在不安全的问题。
发明内容
本发明提供一种终端配对方法及系统,以解决现有终端配对采用明文方式进行多次安全通信参数的交互及协商存在的不安全的问题。
为解决上述技术问题,本发明采用以下技术方案:
一种终端配对方法,包括:
第一终端生成第一随机因子,使用预设的第一校验算法对第一随机因子进行校验,生成第一校验值;根据预置的第一密钥对第一随机因子和第一校验值进行加密,生成第一密文,并通过安全无线通道发送至第二终端;
第二终端使用预置的第二密钥对第一密文解密,获得第一随机因子和第一校验值;使用预设的第二校验算法对第一随机因子进行校验,并与第一校验值进行比较校验;若匹配,则生成第二随机因子,使用预设的第二校验算法对第二随机因子进行校验,生成第二校验值;根据第二密钥对第二随机因子和第二校验值进行加密,生成第二密文,并通过安全无线通道发送至第一终端;
第一终端使用第一密钥对第二密文解密,获得第二随机因子和第二校验值;使用第一校验算法对第二随机因子进行校验,并与第二校验值进行比较校验;若匹配,则使用第一随机因子与第二随机因子的组合,对其数据通信信道的原通信密钥进行不可逆处理及替换,生成新通信密钥;
第二终端使用第二随机因子与第一随机因子的组合,对其数据通信信道的原通信密钥进行不可逆处理及替换,生成新通信密钥;
第一终端与第二终端选择数据通信信道的配对模式,使用新通信密钥进行数据通信信道的通道加密。
进一步地,第一密钥和第二密钥为存储在第一终端及第二终端内的相同密钥或者公私钥对。
进一步地,第一校验算法及第二校验算法为使用相同参数的消息认证码校验算法或者循环校验码校验算法。
进一步地,第一随机因子与第二随机因子的组合为:第一随机因子与第二随机因子按照约定方式生成预设长度的数据。
进一步地,对其数据通信信道的原通信密钥进行不可逆处理包括:使用组合对原通信密钥进行加密,或者使用组合与原通信密钥进行哈希值运算,生成唯一不可逆的数据,作为新通信密钥。
进一步地,在第一终端生成第一随机因子之前,还包括:获取对端二无线通道的设备信息,根据设备信息判断对端是否支持安全配对;若不支持,则第一终端与第二终端选择数据通信信道的配对模式,使用原通信密钥进行数据通信信道的通道加密;若支持,则第一终端与第二终端分别生成新通信密钥、并选择数据通信信道的配对模式,使用新通信密钥进行数据通信信道的通道加密。
进一步地,第一终端与第二终端选择数据通信信道的配对模式,使用新通信密钥进行数据通信信道的通道加密包括:
第一终端使用第一随机因子以及第二随机因子组合对第一终端的临时密钥值进行数据不可逆处理及替换,第二终端利用第二随机因子以及第一随机因子组合对第二终端的临时密钥值值进行数据不可逆处理及替换;
第一终端与第二终端按照低功耗蓝牙协议规定选择配对模式;
第一终端与第二终端将第一随机因子与第二随机因子的组合对短期密钥进行加密处理及替换;
第一终端与第二终端按照低功耗蓝牙协议规定进行短期密钥及长期密钥的交互。
一种终端配对系统,包括:第一终端及第二终端,其中,
第一终端用于生成第一随机因子,使用预设的第一校验算法对第一随机因子进行校验,生成第一校验值;根据预置的第一密钥对第一随机因子和第一校验值进行加密,生成第一密文,并通过安全无线通道发送至第二终端;
第二终端用于使用预置的第二密钥对第一密文解密,获得第一随机因子和第一校验值;使用预设的第二校验算法对第一随机因子进行校验,并与第一校验值进行比较校验;若匹配,则生成第二随机因子,使用预设的第二校验算法对第二随机因子进行校验,生成第二校验值;根据第二密钥对第二随机因子和第二校验值进行加密,生成第二密文,并通过安全无线通道发送至第一终端;
第一终端还用于使用第一密钥对第二密文解密,获得第二随机因子和第二校验值;使用第一校验算法对第二随机因子进行校验,并与第二校验值进行比较校验;若匹配,则使用第一随机因子与第二随机因子的组合,对其数据通信信道的原通信密钥进行不可逆处理及替换,生成新通信密钥;
第二终端还用于使用第二随机因子与第一随机因子的组合,对其数据通信信道的原通信密钥进行不可逆处理及替换,生成新通信密钥;
第一终端与第二终端还用于选择数据通信信道的配对模式,使用新通信密钥进行数据通信信道的通道加密。
进一步地,第一终端及第二终端均为低功耗蓝牙设备。
进一步地,第一终端用于使用第一随机因子以及第二随机因子组合对第一终端的临时密钥值进行数据不可逆处理及替换,第二终端用于利用第二随机因子以及第一随机因子组合对第二终端的临时密钥值进行数据不可逆处理及替换;
第一终端与第二终端用于按照低功耗蓝牙协议规定选择配对模式;
第一终端与第二终端用于将第一随机因子与第二随机因子的组合对短期密钥进行加密处理及替换;
第一终端与第二终端用于按照低功耗蓝牙协议规定进行短期密钥及长期密钥的交互。
进一步地,数据通信信道为蓝牙通道;数据通信信道为限域通信接口、2.4G接口、低功耗局域网Zigbee接口、WiFi接口中的至少一种。
进一步地,第一终端及第二终端还用于:获取对端二无线通道的设备信息,根据设备信息判断对端是否支持安全配对;若不支持,则第一终端与第二终端选择数据通信信道的配对模式,使用原通信密钥进行数据通信信道的通道加密;若支持,则第一终端与第二终端分别生成新通信密钥、并选择数据通信信道的配对模式,使用新通信密钥进行数据通信信道的通道加密。
本发明提供了一种终端配对方法及系统,通过无线安全通道协商如蓝牙等数据通信信道配对前的安全通信参数,解决了现有终端之间在进行数据通信信道的配对时,采用明文方式进行多次安全通信参数的交互及协商存在的不安全的问题,在不影响用户的使用体验同时,通过无线安全通道协商配对前数据通信信道的安全通信参数,保证蓝牙等数据通信信道的安全性,提升了用户使用的方便性和用户体验的满意度。
附图说明
图1为本发明实施例一提供的终端配对系统的示意图;
图2为本发明实施例二提供的终端配对方法的流程图;
图3为本发明实施例三提供的终端配对系统的示意图;
图4为本发明实施例三提供的终端配对方法的流程图;
图5为本发明实施例三涉及的通信协议交互流程图;
图6为本发明实施例三涉及的配对特征交互流程图;
图7为本发明实施例三涉及的配对模式选择流程图。
具体实施方式
本发明的第一终端及第二终端适用于所有的通信设备,包括PC、手机、PAD等。下面通过具体实施方式结合附图对本发明作进一步详细说明。
实施例一:
图1为本发明实施例一提供的终端配对系统的示意图,请参考图1,本实施例提供的终端配对系统,包括:第一终端11及第二终端12,其中,
第一终端11用于生成第一随机因子,使用预设的第一校验算法对第一随机因子进行校验,生成第一校验值;根据预置的第一密钥对第一随机因子和第一校验值进行加密,生成第一密文,并通过安全无线通道发送至第二终端12;在实际应用中,安全无线通道可以在属性上保证安全,例如红外等具备指向性的安全通道,超近通信距离的安全通道,也可以是通过数据加密技术来保证通信的安全性;
第二终端12用于使用预置的第二密钥对第一密文解密,获得第一随机因子和第一校验值;使用预设的第二校验算法对第一随机因子进行校验,并与第一校验值进行比较校验;若匹配,则生成第二随机因子,使用预设的第二校验算法对第二随机因子进行校验,生成第二校验值;根据第二密钥对第二随机因子和第二校验值进行加密,生成第二密文,并通过安全无线通道发送至第一终端11;
第一终端11还用于使用第一密钥对第二密文解密,获得第二随机因子和第二校验值;使用第一校验算法对第二随机因子进行校验,并与第二校验值进行比较校验;若匹配,则使用第一随机因子与第二随机因子的组合,对其数据通信信道的原通信密钥进行不可逆处理及替换,生成新通信密钥;在实际应用中,数据通信信道可以是常规的蓝牙通道,还可以是电信接口等;
第二终端12还用于使用第二随机因子与第一随机因子的组合,对其数据通信信道的原通信密钥进行不可逆处理及替换,生成新通信密钥;
第一终端11与第二终端12还用于选择数据通信信道的配对模式,使用新通信密钥进行数据通信信道的通道加密。
在一实施例中,上述实施例中的第一终端11及第二终端12均为低功耗蓝牙设备。较优的,第一终端为手机等用户手持设备,第二终端为智能卡,如SIM卡、SD卡等刷卡设备等。
在一实施例中,上述实施例中的第一终端用于使用第一随机因子以及第二随机因子组合对第一终端的TK(Temporary Key,临时密钥)值进行数据不可逆处理及替换,第二终端用于利用第二随机因子以及第一随机因子组合对第二终端的TK(Temporary Key)值进行数据不可逆处理及替换;
第一终端与第二终端按照低功耗蓝牙协议规定选择配对模式;
第一终端与第二终端将第一随机因子与第二随机因子的组合对STK(Short TermKey,短期密钥)进行加密处理及替换;
第一终端与第二终端按照低功耗蓝牙协议规定进行STK(Short Term Key)密钥通道加密、LTK(Long Term Key,长期密钥)密钥的交互,完成配对过程。
在一实施例中,上述实施例中的数据通信信道为蓝牙通道,可以支持2.0版本、3.0版本等;数据通信信道为限域通信RCC接口、2.4G无线接口、低功耗局域网Zigbee接口、WiFi接口中的至少一种。
在一实施例中,上述实施例中的第一终端11及第二终端12还用于:获取对端二无线通道的设备信息,根据设备信息判断对端是否支持安全配对;若不支持,则第一终端与第二终端选择数据通信信道的配对模式,使用原通信密钥进行数据通信信道的通道加密;若支持,则第一终端与第二终端分别生成新通信密钥、并选择数据通信信道的配对模式,使用新通信密钥进行数据通信信道的通道加密。在实际应用中,设备信息可以包括设备的软件版本信息以及设备的硬件版本信息,判断对端是否支持安全配对包括为仅判断硬件版本信息是否相同,例如根据硬件版本信息中的设备标识(IMEI)或蓝牙设备商ID等来判断对端设备是否与本端设备属于同一个厂商的设备,若是则认为支持安全配对。在另外一些应用场景下,若为了避免用户降低设备软件版本导致配对失败,还可以对软件版本信息进行判断,若对端设备的软件版本满足一定的要求,如大于蓝牙5.0,则认为可以支持安全配对。
实施例二:
图2为本发明实施例二提供的终端配对方法的流程图,请参考图2,本实施例提供的终端配对方法包括:
S201:第一终端生成第一随机因子,使用预设的第一校验算法对第一随机因子进行校验,生成第一校验值;根据预置的第一密钥对第一随机因子和第一校验值进行加密,生成第一密文,并通过安全无线通道发送至第二终端;
S202:第二终端使用预置的第二密钥对第一密文解密,获得第一随机因子和第一校验值;使用预设的第二校验算法对第一随机因子进行校验,并与第一校验值进行比较校验;若匹配,则生成第二随机因子,使用预设的第二校验算法对第二随机因子进行校验,生成第二校验值;根据第二密钥对第二随机因子和第二校验值进行加密,生成第二密文,并通过安全无线通道发送至第一终端;
S203:第一终端使用第一密钥对第二密文解密,获得第二随机因子和第二校验值;使用第一校验算法对第二随机因子进行校验,并与第二校验值进行比较校验;若匹配,则使用第一随机因子与第二随机因子的组合,对其数据通信信道的原通信密钥进行不可逆处理及替换,生成新通信密钥;
S204:第二终端使用第二随机因子与第一随机因子的组合,对其数据通信信道的原通信密钥进行不可逆处理及替换,生成新通信密钥;
S205:第一终端与第二终端选择数据通信信道的配对模式,使用新通信密钥进行数据通信信道的通道加密。
在一实施例中,上述实施例中的第一密钥和第二密钥为存储在第一终端及第二终端内的一对或者多对相同密钥或者公私钥对。
在一实施例中,上述实施例中的第一校验算法及第二校验算法为使用相同参数的MAC(Message Authentication Code,消息认证码)值校验算法或者CRC(CyclicRedundancy Check,循环校验码)校验算法。
在一实施例中,上述实施例中的第一随机因子与第二随机因子的组合为:第一随机因子与第二随机因子按照约定方式生成预设长度的数据。例如第一随机因子及第二随机因子均为16位字段,例如第一随机因子为10110010,第二随机因子为11000010,然后按照间隔取值的约定方式,生成16字节长度的数据11100010这一个组合。
在一实施例中,上述实施例中的对其数据通信信道的原通信密钥进行不可逆处理包括:使用组合对原通信密钥进行加密,或者使用组合与原通信密钥进行哈希值运算,生成唯一不可逆的数据,作为新通信密钥。
在一实施例中,上述实施例中的方法在第一终端生成第一随机因子之前,还包括:获取对端二无线通道的设备信息,根据设备信息判断对端是否支持安全配对;若不支持,则第一终端与第二终端选择数据通信信道的配对模式,使用原通信密钥进行数据通信信道的通道加密;若支持,则第一终端与第二终端分别生成新通信密钥、并选择数据通信信道的配对模式,使用新通信密钥进行数据通信信道的通道加密。
如图4所示,在一实施例中,上述实施例中的第一终端与第二终端选择数据通信信道的配对模式,使用新通信密钥进行数据通信信道的通道加密包括:
第一终端使用第一随机因子以及第二随机因子组合对第一终端的TK(TemporaryKey,临时密钥)值进行数据不可逆处理及替换,第二终端利用第二随机因子以及第一随机因子组合对第二终端的TK(Temporary Key)值进行数据不可逆处理及替换;
第一终端与第二终端按照低功耗蓝牙协议规定选择配对模式;
第一终端与第二终端将第一随机因子与第二随机因子的组合对STK(Short TermKey,短期密钥)进行加密处理及替换;
第一终端与第二终端按照低功耗蓝牙协议规定进行STK(Short Term Key)密钥通道加密、LTK(Long Term Key,长期密钥)密钥的交互,完成配对过程。
实施例三:
现以终端均为蓝牙设备、数据通信信道为蓝牙信道为例,结合具体应用场景对本发明做进一步的诠释说明。
低功耗蓝牙(BLE)技术是低成本、短距离、可互操作的、鲁棒性非常好的无线通信技术,工作在免许可的2.4GHz ISM射频频段。该通信协议从一开始就设计为超低功耗(ULP)、安全的无线通信技术。当两个低功耗蓝牙设备之间要进行数据交互时,首先需要建立相互之间的连接,且首次建立连接时需要进行配对以建立信任关系。然而,随着低功耗蓝牙技术的应用场景越来越广泛,在配对过程中需要低功耗蓝牙设备双方以明文形式进行多次安全通信参数的交互及协商,这样会对低功耗蓝牙设备间的通信数据安全产生极大的威胁,而目前惯用的解决办法是在低功耗蓝牙协议的应用层上对通信的数据进行加密处理,解决低功耗蓝牙通信数据的安全问题。
本实施例提出一种低功耗蓝牙设备间安全配对方法及系统,通过第三方的无线安全通道协商配对前的安全通信参数,从低功耗蓝牙协议层面解决低功耗蓝牙的通信安全问题。
具体的,如图3所示,本实施例提供的低功耗蓝牙设备间安全配对系统,包括:第一低功耗蓝牙设备与第二低功耗蓝牙设备,其通过低功耗蓝牙通信协议建立蓝牙链路通信连接。第一低功耗蓝牙设备包括第一主控制模块、第一低功耗蓝牙通信模块、第一无线通信模块,第一主控制模块与第一低功耗蓝牙通信模块、第一无线通信模块电连接;第一主控制模块包括算法处理模块、随机数产生模块;
第二低功耗蓝牙设备包括第二主控制模块、第二低功耗蓝牙通信模块、第二无线通信模块,第二主控制模块与第二低功耗蓝牙通信模块、第二无线通信模块电连接;;第二主控制模块包括算法处理模块、随机数产生模块;
第一低功耗蓝牙设备与第二低功耗蓝牙设备通过低功耗蓝牙接口及无线通信接口进行通信。
针对图3所示系统,下面结合图4、图5、图6、图7详细说明本方法在上述系统上的实施流程:
第一低功耗蓝牙设备与第二低功耗蓝牙设备通过低功耗蓝牙协议建立蓝牙链路通信连接;
链路通信连接建立成功以后,通过低功耗蓝牙链路控制命令做设备间的低功耗蓝牙设备信息交互,设备信息包括蓝牙协议版本号及蓝牙协议子版本号等软件版本信息,以及蓝牙设备商ID号及设备标识IMEI等硬件版本信息;
根据此设备信息判断当前通信的低功耗蓝牙设备是否支持安全配对方法,如不支持,则后续低功耗蓝牙设备间的通信交互按低功耗蓝牙协议定义的配对模式进行配对,如支持,则第一低功耗蓝牙设备与第二低功耗蓝牙设备通过无线接口建立无线连接,启动第三通道协商配对前的安全通信参数;
第一低功耗蓝牙设备生成第一随机因子,并利用第一低功耗蓝牙设备第一预置的校验算法对第一随机因子进行校验,获得第一校验值;
第一低功耗蓝牙设备根据第一预置的密钥对第一随机因子和第一校验值进行加密,获得第一密文;
第一低功耗蓝牙设备将第一密文通过无线接口发送至第二低功耗蓝牙设备;第二低功耗蓝牙设备根据第二预置的密钥对接收到的第一密文进行解密得到第一随机因子和第一校验值,同时利用第二预置的校验算法对第一低功耗蓝牙设备的随机因子进行校验同时比较校验的结果与接收到的第一校验值是否匹配;
第二低功耗蓝牙设备在校验值匹配后,生成第二随机因子;第二低功耗蓝牙设备利用第二低功耗蓝牙设备预置的第二校验算法对第二随机因子进行校验,获得第二校验值;
第二低功耗蓝牙设备根据第二预置密钥对第二随机因子和第二校验值进行加密,获得第二密文;
第二低功耗蓝牙设备将第二密文通过无线接口发送至第一低功耗蓝牙设备;第一蓝牙设备利用第一预置的密钥对接收到的第二密文进行解密得到第二随机因子和第二校验值,同时利用第一预置的校验算法对第二随机因子进行校验同时比较校验的结果与接收到的第二校验值是否匹配;
校验值用于确保随机因子的完整性不受篡改;
进一步的,校验算法可以是MAC值校验算法,也可以是CRC校验算法;
第一预置密钥、第二预置密钥可以是内置在低功耗蓝牙设备中的一组或是几组相同的密钥,也可以是一组公私钥对;
第一低功耗蓝牙设备利用第一随机因子以及第二随机因子组合对第一低功耗蓝牙设备端的TK(Temporary Key,临时密钥)值进行数据不可逆处理并将处理后数据赋值给第一低功耗蓝牙设备的TK(Temporary Key),第二蓝牙设备利用第二随机因子以及第一随机因子组合对第二蓝牙设备端的TK(Temporary Key)值进行数据不可逆处理并将处理后数据赋值给第二低功耗蓝牙设备的TK(Temporary Key);
第一随机因子与第二随机因子的组合,其特征在于:可以是由两组数据以约定任何方式生成一组十六字节长度的数据;
数据不可逆处理,其特征在于:通过第一、第二随机因子和TK(TemporaryKey)值产生一组唯一的不可逆变的数据;
进一步,数据不可逆处理可以是加密处理,也可以是第一、第二随机因子与TK(Temporary Key)值做哈希运算处理;
第一低功耗蓝牙设备与第二低功耗蓝牙设备按照低功耗蓝牙协议规定完成后续的配对特征交互、配对模式选择、STK(Short Term Key)密钥通道加密、LTK(Long TermKey)密钥交互等交互,完成配对过程。
在实际应用中,第一低功耗蓝牙设备与第二低功耗蓝牙设备按照低功耗蓝牙协议规定完成后续的配对模式选择;
根据第一随机因子与第二随机因子的组合做密钥KEY,对STK(Short Term Key)进行加密处理并将值赋予STK,即:
STK=e((第一随机因子||第二随机因子,STK));
第一低功耗蓝牙设备与第二低功耗蓝牙设备按照低功耗蓝牙协议规定完成后续的STK(Short Term Key)密钥通道加密、LTK(Long Term Key)密钥交互等交互,完成配对过程。
在实际应用中,无线接口可以是RCC接口、可以是2.4G接口、可以是Zigbee接口、可以是WIFI或是任何做无线传输通信的通信接口。
通过以上实施例的实施可知,本发明提供的方法具备以下有益效果:
本发明提供了一种终端配对方法及系统,通过无线安全通道协商如蓝牙等数据通信信道配对前的安全通信参数,解决了现有终端之间在进行数据通信信道的配对时,采用明文方式进行多次安全通信参数的交互及协商存在的不安全的问题,在不影响用户的使用体验同时,通过无线安全通道协商配对前数据通信信道的安全通信参数,保证蓝牙等数据通信信道的安全性,提升了用户使用的方便性和用户体验的满意度。
以上内容是结合具体的实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (12)
1.一种终端配对方法,其特征在于,包括:
第一终端生成第一随机因子,使用预设的第一校验算法对所述第一随机因子进行校验,生成第一校验值;根据预置的第一密钥对所述第一随机因子和第一校验值进行加密,生成第一密文,并通过安全无线通道发送至第二终端;
所述第二终端使用预置的第二密钥对所述第一密文解密,获得所述第一随机因子和第一校验值;使用预设的第二校验算法对所述第一随机因子进行校验,并与所述第一校验值进行比较校验;若匹配,则生成第二随机因子,使用预设的第二校验算法对所述第二随机因子进行校验,生成第二校验值;根据所述第二密钥对所述第二随机因子和第二校验值进行加密,生成第二密文,并通过所述安全无线通道发送至所述第一终端;
所述第一终端使用所述第一密钥对所述第二密文解密,获得所述第二随机因子和第二校验值;使用所述第一校验算法对所述第二随机因子进行校验,并与所述第二校验值进行比较校验;若匹配,则使用所述第一随机因子与所述第二随机因子的组合,对其数据通信信道的原通信密钥进行不可逆处理及替换,生成新通信密钥;
所述第二终端使用所述第二随机因子与所述第一随机因子的组合,对其数据通信信道的原通信密钥进行不可逆处理及替换,生成新通信密钥;
所述第一终端与第二终端选择所述数据通信信道的配对模式,使用所述新通信密钥进行数据通信信道的通道加密。
2.如权利要求1所述的终端配对方法,其特征在于,所述第一密钥和所述第二密钥为存储在第一终端及第二终端内的相同密钥或者公私钥对。
3.如权利要求1所述的终端配对方法,其特征在于,所述第一校验算法及所述第二校验算法为使用相同参数的消息认证码校验算法或者循环校验码校验算法。
4.如权利要求1所述的终端配对方法,其特征在于,所述第一随机因子与所述第二随机因子的组合为:第一随机因子与第二随机因子按照约定方式生成预设长度的数据。
5.如权利要求1所述的终端配对方法,其特征在于,所述对其数据通信信道的原通信密钥进行不可逆处理包括:使用所述组合对所述原通信密钥进行加密,或者使用所述组合与所述原通信密钥进行哈希值运算,生成唯一不可逆的数据,作为所述新通信密钥。
6.如权利要求1至5任一项所述的终端配对方法,其特征在于,在第一终端生成第一随机因子之前,还包括:获取对端二无线通道的设备信息,根据所述设备信息判断对端是否支持安全配对;若不支持,则所述第一终端与第二终端选择所述数据通信信道的配对模式,使用所述原通信密钥进行数据通信信道的通道加密;若支持,则所述第一终端与第二终端分别生成新通信密钥、并选择所述数据通信信道的配对模式,使用所述新通信密钥进行数据通信信道的通道加密。
7.如权利要求1至5任一项所述的终端配对方法,其特征在于,所述第一终端与第二终端选择数据通信信道的配对模式,使用新通信密钥进行数据通信信道的通道加密包括:
第一终端使用第一随机因子以及第二随机因子组合对第一终端的临时密钥值进行数据不可逆处理及替换,第二终端利用第二随机因子以及第一随机因子组合对第二终端的临时密钥值值进行数据不可逆处理及替换;
第一终端与第二终端按照低功耗蓝牙协议规定选择配对模式;
第一终端与第二终端将第一随机因子与第二随机因子的组合对短期密钥进行加密处理及替换;
第一终端与第二终端按照低功耗蓝牙协议规定进行短期密钥及长期密钥的交互。
8.一种终端配对系统,其特征在于,包括:第一终端及第二终端,其中,
所述第一终端用于生成第一随机因子,使用预设的第一校验算法对所述第一随机因子进行校验,生成第一校验值;根据预置的第一密钥对所述第一随机因子和第一校验值进行加密,生成第一密文,并通过安全无线通道发送至第二终端;
所述第二终端用于使用预置的第二密钥对所述第一密文解密,获得所述第一随机因子和第一校验值;使用预设的第二校验算法对所述第一随机因子进行校验,并与所述第一校验值进行比较校验;若匹配,则生成第二随机因子,使用预设的第二校验算法对所述第二随机因子进行校验,生成第二校验值;根据所述第二密钥对所述第二随机因子和第二校验值进行加密,生成第二密文,并通过所述安全无线通道发送至所述第一终端;
所述第一终端还用于使用所述第一密钥对所述第二密文解密,获得所述第二随机因子和第二校验值;使用所述第一校验算法对所述第二随机因子进行校验,并与所述第二校验值进行比较校验;若匹配,则使用所述第一随机因子与所述第二随机因子的组合,对其数据通信信道的原通信密钥进行不可逆处理及替换,生成新通信密钥;
所述第二终端还用于使用所述第二随机因子与所述第一随机因子的组合,对其数据通信信道的原通信密钥进行不可逆处理及替换,生成新通信密钥;
所述第一终端与第二终端还用于选择所述数据通信信道的配对模式,使用所述新通信密钥进行数据通信信道的通道加密。
9.如权利要求8所述的终端配对系统,其特征在于,所述第一终端及所述第二终端均为低功耗蓝牙设备。
10.如权利要求9所述的终端配对系统,其特征在于,所述第一终端用于使用第一随机因子以及第二随机因子组合对第一终端的临时密钥值进行数据不可逆处理及替换,第二终端用于利用第二随机因子以及第一随机因子组合对第二终端的临时密钥值进行数据不可逆处理及替换;第一终端与第二终端用于按照低功耗蓝牙协议规定选择配对模式;第一终端与第二终端用于将第一随机因子与第二随机因子的组合对短期密钥进行加密处理及替换;第一终端与第二终端用于按照低功耗蓝牙协议规定进行短期密钥密钥通道加密、长期密钥的交互。
11.如权利要求8所述的终端配对系统,其特征在于,所述数据通信信道为蓝牙通道;所述数据通信信道为限域通信接口、2.4G接口、低功耗局域网Zigbee接口、WiFi接口中的至少一种。
12.如权利要求8至11任一项所述的终端配对系统,其特征在于,所述第一终端及所述第二终端还用于:获取对端二无线通道的设备信息,根据所述设备信息判断对端是否支持安全配对;若不支持,则所述第一终端与第二终端选择所述数据通信信道的配对模式,使用所述原通信密钥进行数据通信信道的通道加密;若支持,则所述第一终端与第二终端分别生成新通信密钥、并选择所述数据通信信道的配对模式,使用所述新通信密钥进行数据通信信道的通道加密。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611257262.1A CN108270554B (zh) | 2016-12-30 | 2016-12-30 | 一种终端配对方法及系统 |
| PCT/CN2017/095706 WO2018120836A1 (zh) | 2016-12-30 | 2017-08-02 | 一种终端配对方法、装置及系统、终端及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611257262.1A CN108270554B (zh) | 2016-12-30 | 2016-12-30 | 一种终端配对方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108270554A true CN108270554A (zh) | 2018-07-10 |
| CN108270554B CN108270554B (zh) | 2022-06-10 |
Family
ID=62706972
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611257262.1A Active CN108270554B (zh) | 2016-12-30 | 2016-12-30 | 一种终端配对方法及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN108270554B (zh) |
| WO (1) | WO2018120836A1 (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109451477A (zh) * | 2018-12-18 | 2019-03-08 | 东莞市韵茂电子科技有限公司 | 一种智能设备的蓝牙通讯加密方法 |
| CN110266498A (zh) * | 2019-06-28 | 2019-09-20 | 江苏恒宝智能系统技术有限公司 | 一种不停车汽车安全支付系统及方法 |
| CN111132154A (zh) * | 2019-12-26 | 2020-05-08 | 飞天诚信科技股份有限公司 | 一种协商会话密钥的方法及系统 |
| WO2020151003A1 (zh) * | 2019-01-25 | 2020-07-30 | 华为技术有限公司 | 一种建立蓝牙数据通道的方法及装置 |
| CN111935686A (zh) * | 2020-07-21 | 2020-11-13 | 深圳市创鸿新智能科技有限公司 | 一种智能电能表系统及其无线校表方法 |
| CN111953362A (zh) * | 2020-07-16 | 2020-11-17 | 深圳安吉尔饮水产业集团有限公司 | 一种通信方法、装置、通信收发器及可读存储介质 |
| CN116761167A (zh) * | 2023-08-21 | 2023-09-15 | 北京领创医谷科技发展有限责任公司 | 一种数据加密传输方法、系统、电子设备及存储介质 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117177304A (zh) * | 2022-05-25 | 2023-12-05 | 中国移动通信有限公司研究院 | 协商方法、装置、网络设备及终端 |
| CN117279119B (zh) * | 2023-11-21 | 2024-02-02 | 微泰医疗器械(杭州)股份有限公司 | 用于设备间无线通信的方法和通信装置 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110053558A1 (en) * | 2009-08-31 | 2011-03-03 | Edward Harrison Teague | Securing pairing verification of devices with minimal user interfaces |
| CN102983892A (zh) * | 2012-11-19 | 2013-03-20 | 深圳市文鼎创数据科技有限公司 | 蓝牙配对方法及系统 |
| CN103686713A (zh) * | 2012-09-14 | 2014-03-26 | 通用汽车环球科技运作有限责任公司 | 使移动设备与车辆安全配对的方法和装置 |
| CN104158567A (zh) * | 2014-07-25 | 2014-11-19 | 天地融科技股份有限公司 | 蓝牙设备间的配对方法和系统、数据交互方法和系统 |
| CN104540132A (zh) * | 2015-01-15 | 2015-04-22 | 天地融科技股份有限公司 | 蓝牙设备的通讯方法、移动设备、电子签名设备和服务器 |
| US20150147970A1 (en) * | 2012-06-20 | 2015-05-28 | Poh Beng Tan | Bluetooth pairing system, method, and apparatus |
| CN105407109A (zh) * | 2015-12-25 | 2016-03-16 | 武汉信安珞珈科技有限公司 | 一种蓝牙设备间数据安全传输方法 |
| CN105430605A (zh) * | 2015-12-10 | 2016-03-23 | 飞天诚信科技股份有限公司 | 一种蓝牙主从设备及两者建立安全通道的方法 |
| US20160094990A1 (en) * | 2014-09-26 | 2016-03-31 | Apple Inc. | Enhanced two-factor verification for device pairing |
| CN105933039A (zh) * | 2016-06-24 | 2016-09-07 | 飞天诚信科技股份有限公司 | 一种蓝牙设备及其工作方法 |
| CN108476404A (zh) * | 2016-01-10 | 2018-08-31 | 苹果公司 | 安全设备配对 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4200909B2 (ja) * | 2004-01-29 | 2008-12-24 | 日本電気株式会社 | 乱数生成共有システム、暗号化通信装置及びそれらに用いる乱数生成共有方法 |
| CN105871920A (zh) * | 2016-06-08 | 2016-08-17 | 美的集团股份有限公司 | 终端与云服务器的通讯系统及方法、终端、云服务器 |
-
2016
- 2016-12-30 CN CN201611257262.1A patent/CN108270554B/zh active Active
-
2017
- 2017-08-02 WO PCT/CN2017/095706 patent/WO2018120836A1/zh active Application Filing
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110053558A1 (en) * | 2009-08-31 | 2011-03-03 | Edward Harrison Teague | Securing pairing verification of devices with minimal user interfaces |
| US20150147970A1 (en) * | 2012-06-20 | 2015-05-28 | Poh Beng Tan | Bluetooth pairing system, method, and apparatus |
| CN103686713A (zh) * | 2012-09-14 | 2014-03-26 | 通用汽车环球科技运作有限责任公司 | 使移动设备与车辆安全配对的方法和装置 |
| CN102983892A (zh) * | 2012-11-19 | 2013-03-20 | 深圳市文鼎创数据科技有限公司 | 蓝牙配对方法及系统 |
| CN104158567A (zh) * | 2014-07-25 | 2014-11-19 | 天地融科技股份有限公司 | 蓝牙设备间的配对方法和系统、数据交互方法和系统 |
| US20160094990A1 (en) * | 2014-09-26 | 2016-03-31 | Apple Inc. | Enhanced two-factor verification for device pairing |
| CN104540132A (zh) * | 2015-01-15 | 2015-04-22 | 天地融科技股份有限公司 | 蓝牙设备的通讯方法、移动设备、电子签名设备和服务器 |
| CN105430605A (zh) * | 2015-12-10 | 2016-03-23 | 飞天诚信科技股份有限公司 | 一种蓝牙主从设备及两者建立安全通道的方法 |
| CN105407109A (zh) * | 2015-12-25 | 2016-03-16 | 武汉信安珞珈科技有限公司 | 一种蓝牙设备间数据安全传输方法 |
| CN108476404A (zh) * | 2016-01-10 | 2018-08-31 | 苹果公司 | 安全设备配对 |
| CN105933039A (zh) * | 2016-06-24 | 2016-09-07 | 飞天诚信科技股份有限公司 | 一种蓝牙设备及其工作方法 |
Non-Patent Citations (4)
| Title |
|---|
| LUKAS MALINA ET AL.: ""Usability of pairing-based cryptography on smartphones"", 《2015 38TH INTERNATIONAL CONFERENCE ON TELECOMMUNICATIONS AND SIGNAL PROCESSING (TSP)》, 12 October 2015 (2015-10-12) * |
| SHAHAB MIRZADEH ET AL.: ""Secure Device Pairing: A Survey"", 《IEEE COMMUNICATIONS SURVEYS & TUTORIALS》, vol. 16, no. 1, 18 December 2013 (2013-12-18) * |
| 杨宏立等: "蓝牙技术的安全漏洞及攻击方法分析", 《物联网技术》, no. 10, 20 October 2016 (2016-10-20) * |
| 马捷等: "用NFC技术快速建立蓝牙安全连接问题研究", 《计算机应用与软件》, no. 03, 15 March 2013 (2013-03-15) * |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109451477A (zh) * | 2018-12-18 | 2019-03-08 | 东莞市韵茂电子科技有限公司 | 一种智能设备的蓝牙通讯加密方法 |
| WO2020151003A1 (zh) * | 2019-01-25 | 2020-07-30 | 华为技术有限公司 | 一种建立蓝牙数据通道的方法及装置 |
| US11800337B2 (en) | 2019-01-25 | 2023-10-24 | Huawei Technologies Co., Ltd. | Method and apparatus for establishing Bluetooth data channel |
| CN110266498A (zh) * | 2019-06-28 | 2019-09-20 | 江苏恒宝智能系统技术有限公司 | 一种不停车汽车安全支付系统及方法 |
| CN110266498B (zh) * | 2019-06-28 | 2022-04-08 | 恒宝股份有限公司 | 一种不停车汽车安全支付系统及方法 |
| CN111132154A (zh) * | 2019-12-26 | 2020-05-08 | 飞天诚信科技股份有限公司 | 一种协商会话密钥的方法及系统 |
| CN111953362A (zh) * | 2020-07-16 | 2020-11-17 | 深圳安吉尔饮水产业集团有限公司 | 一种通信方法、装置、通信收发器及可读存储介质 |
| CN111953362B (zh) * | 2020-07-16 | 2022-01-14 | 深圳安吉尔饮水产业集团有限公司 | 一种通信方法、装置、通信收发器及可读存储介质 |
| CN111935686A (zh) * | 2020-07-21 | 2020-11-13 | 深圳市创鸿新智能科技有限公司 | 一种智能电能表系统及其无线校表方法 |
| CN111935686B (zh) * | 2020-07-21 | 2023-09-15 | 深圳市创鸿新智能科技有限公司 | 一种智能电能表系统及其无线校表方法 |
| CN116761167A (zh) * | 2023-08-21 | 2023-09-15 | 北京领创医谷科技发展有限责任公司 | 一种数据加密传输方法、系统、电子设备及存储介质 |
| CN116761167B (zh) * | 2023-08-21 | 2023-11-03 | 北京领创医谷科技发展有限责任公司 | 一种数据加密传输方法、系统、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108270554B (zh) | 2022-06-10 |
| WO2018120836A1 (zh) | 2018-07-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108270554A (zh) | 一种终端配对方法及系统 | |
| CN108366362B (zh) | Mesh网络及其mesh设备安全配网方法 | |
| CN108347417B (zh) | 一种网络认证方法、用户设备、网络认证节点及系统 | |
| CN110177354A (zh) | 一种车辆的无线控制方法及系统 | |
| CN110290525A (zh) | 一种车辆数字钥匙的分享方法及系统、移动终端 | |
| CN105530241B (zh) | 移动智能终端与pos终端的认证方法 | |
| CN103458400B (zh) | 一种语音加密通信系统中的密钥管理方法 | |
| CN104050742A (zh) | 一种智能门以及一种智能门控制方法和系统 | |
| CN103945369A (zh) | 一种通过检查wifi数据包的长度实现wifi设备的上网配置方法 | |
| CN104363250A (zh) | 一种用于设备连接的方法和系统 | |
| CN104660567A (zh) | D2d终端接入认证方法、d2d终端及服务器 | |
| CN102143492B (zh) | Vpn连接建立方法、移动终端、服务器 | |
| CN112672342B (zh) | 数据传输方法、装置、设备、系统和存储介质 | |
| CN105376059A (zh) | 基于电子钥匙进行应用签名的方法和系统 | |
| CN104010276A (zh) | 一种宽带集群系统的组密钥分层管理方法、系统和终端 | |
| WO2016101774A1 (zh) | 无线通信方法、装置及其应用系统和设备 | |
| CN105897784A (zh) | 物联网终端设备加密通信方法和装置 | |
| CN107690667A (zh) | 使用用户终端的用于用户不可否认性的支付系统及其方法 | |
| CN106341815A (zh) | 一种无线连接方法、终端及ap | |
| CN102970680A (zh) | 网络切换方法及装置 | |
| CN108881256A (zh) | 密钥交换方法、装置、水电桩和网络设备 | |
| CN104902473A (zh) | 一种基于cpk标识认证的无线网络接入认证的方法及装置 | |
| CN110312253A (zh) | 一种网络接入方法、装置及系统 | |
| CN103763697A (zh) | 一种无线接入点多密钥支持系统及方法 | |
| CN103841552A (zh) | 一种通过移动终端和读卡器进行空中写卡的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |