CN109245885A - 密钥协商方法、设备、存储介质以及系统 - Google Patents
密钥协商方法、设备、存储介质以及系统 Download PDFInfo
- Publication number
- CN109245885A CN109245885A CN201811301521.5A CN201811301521A CN109245885A CN 109245885 A CN109245885 A CN 109245885A CN 201811301521 A CN201811301521 A CN 201811301521A CN 109245885 A CN109245885 A CN 109245885A
- Authority
- CN
- China
- Prior art keywords
- key
- net equipment
- distribution net
- public key
- distribution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Abstract
本发明公开了一种密钥协商方法,包括以下步骤:已配网设备在发现未配网设备时,则生成第一随机数,并将所述第一随机数发送至所述未配网设备;所述已配网设备在接收到所述密钥协商请求报文时,根据所述密钥协商请求报文获取所述未配网设备公钥以及所述密文数据;通过所述未配网设备公钥对所述密文数据进行解密得到第二随机数;在所述第二随机数与所述第一随机数一致时,则所述已配网设备与所述未配网设备进行密钥协商。本发明还公开了一种设备、计算机可读存储介质以及密钥协商系统。本发明实现未配网设备自动连接网络,从而提高了家居设备的通信安全性。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种密钥协商方法、已配网设备、未配网设备、计算机可读存储介质以及密钥协商系统。
背景技术
随着信息技术的不断发展,智能设备广泛应用于生活中。在新设备配网时,一般是已配网设备直接广播密钥,并将配网信息发送至新设备,以使新设备加入网络。但是已配网设备一般不对新设备的合法性进行校验,这存在一定的风险。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种密钥协商方法、设备、计算机可读存储介质以及密钥协商系统,旨在实现已配网设备自动搜索未配网设备,并在验证未配网设备合法后,将配网信息加密后发送至未配网设备,实现未配网设备自动连接网络,从而提高了家居设备的通信安全性。
为实现上述目的,本发明提供一种密钥协商方法,所述密钥协商方法包括以下步骤:
已配网设备在发现未配网设备时,则生成第一随机数,并将所述第一随机数发送至所述未配网设备,其中,所述未配网设备在接收到所述第一随机数时,利用未配网设备私钥对所述第一随机数进行加密得到密文数据,并根据所述密文数据以及未配网设备公钥生成密钥协商请求报文并发送至所述已配网设备;
所述已配网设备在接收到所述密钥协商请求报文时,根据所述密钥协商请求报文获取所述未配网设备公钥以及所述密文数据;
通过所述未配网设备公钥对所述密文数据进行解密得到第二随机数;
在所述第二随机数与所述第一随机数一致时,则所述已配网设备与所述未配网设备进行密钥协商。
优选地,所述根据所述密钥协商请求报文获取所述未配网设备公钥的步骤包括:
所述已配网设备从所述密钥协商请求报文中提取未配网设备公钥证书以及根公钥索引;
根据所述根公钥索引从所述未配网设备公钥证书中提取所述未配网设备公钥。
优选地,所述根据所述根公钥索引从所述未配网设备公钥证书中提取所述未配网设备公钥的步骤之前,还包括:
对所述未配网设备公钥证书中的预设信息进行哈希运算,得到第二哈希值,所述预设信息包括证书格式、证书序列号、哈希算法标识、未配网设备公钥算法标识以及所述未配网设备公钥中的至少一个;
在所述第二哈希值与所述未配网设备公钥证书中的第一哈希值一致时,则执行所述根据所述根公钥索引从所述未配网设备公钥证书中提取所述未配网设备公钥的步骤。
优选地,所述对所述未配网设备公钥证书中的预设信息进行哈希运算的步骤之前,还包括:
利用预设服务器公钥解密所述设备公钥证书中的签名结果,得到第三哈希值,其中,所述签名结果为云服务器利用预设服务器私钥对所述第一哈希值进行加密得到;
在所述第三哈希值与所述第一哈希值一致时,执行所述对所述未配网设备公钥证书中的预设信息进行哈希运算的步骤。
优选地,所述已配网设备与所述未配网设备进行密钥协商的步骤包括:
所述已配网设备根据所述未配网设备公钥以及已配网设备私钥生成并保存第一会话密钥;
将已配网设备公钥返回至所述未配网设备,以供所述未配网设备在接收到所述已配网设备公钥时,根据所述已配网设备公钥以及未配网设备私钥生成并保存第二会话密钥,其中,所述第二会话密钥与所述第一会话密钥为所述已配网设备与所述未配网设备之间的会话密钥。
优选地,所述已配网设备根据所述未配网设备公钥以及已配网设备私钥生成并保存第一会话密钥的步骤包括:
将所述未配网设备公钥与所述已配网设备私钥进行拼接,得到拼接结果;
将所述拼接结果作为所述第一会话密钥。
优选地,所述已配网设备根据所述未配网设备公钥以及已配网设备私钥生成并保存第一会话密钥的步骤之后,还包括:
根据预设算法对所述第一会话密钥加密生成第一密钥校验值;
将所述已配网设备公钥以及所述第一密钥校验值返回至所述未配网设备,其中,所述未配网设备在接收到所述已配网设备公钥以及所述第一密钥校验值时,根据所述已配网设备公钥以及所述未配网设备私钥生成第二会话密钥,并根据所述预设算法对所述第二会话密钥加密生成第二密钥校验值,在所述第二密钥校验值与所述第一密钥校验值一致时,保存所述第二会话密钥,所述第二会话密钥与所述第一会话密钥为所述已配网设备与所述未配网设备之间的会话密钥。
优选地,所述根据预设算法对所述第一会话密钥加密生成第一密钥校验值的步骤包括:
根据所述第一会话密钥对预定字节进行加密,得到加密结果;
将所述加密结果的预设字节作为所述第一密钥校验值。
优选地,所述将所述已配网设备公钥以及所述第一密钥校验值返回至所述未配网设备的步骤之后,还包括:
所述已配网设备在接收到所述未配网设备返回的密钥协商确认信息时,利用所述会话密钥解密所述密钥协商确认信息得到解密结果;
在所述解密结果中包含预设字段时,则利用所述第一会话密钥加密配网信息,并将加密后的配网信息发送至所述未配网设备,以供所述未配网设备进行配网。
优选地,所述根据预设算法对所述第一会话密钥加密生成第一密钥校验值的步骤之后,还包括:
将已配网设备公钥证书以及所述第一密钥校验值返回至所述未配网设备,其中,所述未配网设备在接收到所述已配网设备公钥证书以及所述第一密钥校验值时,对所述已配网设备公钥证书进行验签,并在验签通过后,从所述已配网设备公钥证书中提取所述已配网设备公钥,根据所述已配网设备公钥以及所述未配网设备私钥生成第二会话密钥,并根据所述预设算法对所述第二会话密钥加密生成第二密钥校验值,在所述第二密钥校验值与所述第一密钥校验值一致时,保存所述第二会话密钥,所述第二会话密钥与所述第一会话密钥为所述已配网设备与所述未配网设备之间的会话密钥。
优选地,所述通过所述未配网设备公钥对所述密文数据进行解密得到第二随机数的步骤之后,还包括:
在所述第二随机数与所述第一随机数不一致时,则断开所述已配网设备与所述未配网设备之间的连接。
为实现上述目的,本发明还提供一种密钥协商方法,所述密钥协商方法包括以下步骤:
未配网设备在接收到已配网设备发送的第一随机数时,利用未配网设备私钥对所述第一随机数进行加密得到密文数据,并根据所述密文数据以及未配网设备公钥生成密钥协商请求报文并发送至所述已配网设备,其中,所述已配网设备在接收到所述密钥协商请求报文时,根据所述密钥协商请求报文获取所述未配网设备公钥以及所述密文数据,通过所述未配网设备公钥对所述密文数据进行解密得到第二随机数,并在所述第二随机数与所述第一随机数一致时,则所述未配网设备与所述已配网设备进行密钥协商。
优选地,所述未配网设备与所述已配网设备进行密钥协商的步骤包括:
所述未配网设备在接收到所述已配网设备公钥时,根据所述已配网设备公钥以及未配网设备私钥生成并保存第二会话密钥,所述第二会话密钥与第一会话密钥为所述已配网设备与所述未配网设备之间的会话密钥,其中,所述已配网设备根据所述未配网设备公钥以及已配网设备私钥生成并保存所述第一会话密钥,并将所述已配网设备公钥返回至所述未配网设备。
优选地,所述根据所述已配网设备公钥以及未配网设备私钥生成并保存第二会话密钥的步骤包括:
将所述已配网设备公钥与所述未配网设备私钥进行拼接,得到拼接结果;
将所述拼接结果作为所述第二会话密钥。
优选地,所述第二会话密钥与第一会话密钥为所述已配网设备与所述未配网设备之间的会话密钥的步骤之后,还包括:
所述未配网设备在接收到所述已配网设备公钥以及第一密钥校验值时,根据所述已配网设备公钥以及所述未配网设备私钥生成第二会话密钥,并根据预设算法对所述第二会话密钥加密生成第二密钥校验值,在所述第二密钥校验值与所述第一密钥校验值一致时,保存所述第二会话密钥,所述第二会话密钥与所述第一会话密钥为所述已配网设备与所述未配网设备之间的会话密钥,其中,所述已配网设备根据所述预设算法对所述第一会话密钥加密生成第一密钥校验值,并将所述已配网设备公钥以及所述第一密钥校验值返回至所述未配网设备。
优选地,所述根据预设算法对所述第二会话密钥加密生成第二密钥校验值的步骤包括:
根据所述第二会话密钥对预定字节进行加密,得到加密结果;
将所述加密结果的预设字节作为所述第二密钥校验值。
优选地,所述第二会话密钥与所述第一会话密钥为所述已配网设备与所述未配网设备之间的会话密钥的步骤之后,还包括:
所述未配网设备利用所述第二会话密钥对预设字段进行加密,得到密钥协商确认信息;
将所述密钥协商确认信息发送至所述已配网设备,以供所述已配网设备在接收到所述密钥协商确认信息时,利用所述第一会话密钥解密所述密钥协商确认信息得到解密结果,在所述解密结果中包含所述预设字段时,则利用所述第一会话密钥加密配网信息,并将加密后的配网信息发送至所述未配网设备。
优选地,所述第二会话密钥与第一会话密钥为所述已配网设备与所述未配网设备之间的会话密钥的步骤之后,还包括:
所述未配网设备在接收到已配网设备公钥证书以及所述第一密钥校验值时,从所述已配网设备公钥证书中提取所述已配网设备公钥,根据所述已配网设备公钥以及所述未配网设备私钥生成第二会话密钥,并根据所述预设算法对所述第二会话密钥加密生成第二密钥校验值,在所述第二密钥校验值与所述第一密钥校验值一致时,保存所述第二会话密钥,所述第二会话密钥与所述第一会话密钥为所述已配网设备与所述未配网设备之间的会话密钥,其中,所述已配网设备根据所述预设算法对所述第一会话密钥加密生成第一密钥校验值,并将所述已配网设备公钥证书以及所述第一密钥校验值返回至所述未配网设备。
优选地,所述从所述已配网设备公钥证书中提取所述已配网设备公钥的步骤之前,还包括:
对所述已配网设备公钥证书中的预设信息进行哈希运算,得到第五哈希值,所述预设信息包括证书格式、证书序列号、哈希算法标识、已配网设备公钥算法标识以及所述已配网设备公钥中的至少一个;
在所述第五哈希值与所述已配网设备公钥证书中的第四哈希值一致时,则执行所述从所述已配网设备公钥证书中提取所述已配网设备公钥的步骤。
优选地,所述对所述已配网设备公钥证书中的预设信息进行哈希运算的步骤之前,还包括:
利用预设服务器公钥解密所述已配网设备公钥证书中的签名结果,得到第六哈希值,其中,所述签名结果为云服务器利用预设服务器私钥对所述第一哈希值进行加密得到;
在所述第六哈希值与所述第四哈希值一致时,执行所述对所述已配网设备公钥证书中的预设信息进行哈希运算的步骤。
为实现上述目的,本发明还提供一种已配网设备,所述已配网设备包括:
存储器、处理器及存储在所述存储器上并可在所述处理器上运行的密钥协商程序,所述密钥协商程序被所述处理器执行时实现上述密钥协商方法的步骤。
为实现上述目的,本发明还提供一种未配网设备,所述未配网设备包括:
存储器、处理器及存储在所述存储器上并可在所述处理器上运行的密钥协商程序,所述密钥协商程序被所述处理器执行时实现上述密钥协商方法的步骤。
为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有密钥协商程序,所述密钥协商程序被处理器执行时实现上述密钥协商方法的步骤。
为实现上述目的,本发明还提供一种密钥协商系统,所述密钥协商系统包括上述已配网设备,以及上述未配网设备。
本发明提供的密钥协商方法、已配网设备、未配网设备、计算机可读存储介质以及密钥协商系统,已配网设备在发现未配网设备时,则生成第一随机数,并将第一随机数发送至未配网设备,并在接收到密钥协商请求报文时,根据密钥协商请求报文获取未配网设备公钥以及密文数据,通过未配网设备公钥对密文数据进行解密得到第二随机数,在第二随机数与第一随机数一致时,则已配网设备与未配网设备进行密钥协商。本发明实现已配网设备自动搜索未配网设备,并在验证未配网设备合法后,将配网信息加密后发送至未配网设备,实现未配网设备自动连接网络,从而提高了家居设备的通信安全性。
附图说明
图1为本发明实施例方案涉及的终端的硬件运行环境示意图;
图2为本发明密钥协商方法第一实施例的流程示意图;
图3为本发明密钥协商方法第二实施例的流程示意图;
图4为本发明密钥协商方法第三实施例的流程示意图;
图5为本发明密钥协商方法第四实施例的流程示意图;
图6为本发明密钥协商方法第五实施例的流程示意图;
图7为本发明密钥协商方法第六实施例的流程示意图;
图8为本发明密钥协商方法第七实施例的流程示意图;
图9为本发明密钥协商方法第八实施例的流程示意图;
图10为本发明密钥协商方法第九实施例的流程示意图;
图11为本发明密钥协商方法第十实施例的流程示意图;
图12为本发明密钥协商方法第十一实施例的流程示意图;
图13为本发明密钥协商方法第十二实施例的流程示意图;
图14为本发明密钥协商方法第十三实施例的流程示意图;
图15为本发明密钥协商方法第十四实施例的流程示意图;
图16为本发明密钥协商方法第十五实施例的流程示意图;
图17为本发明密钥协商方法第十六实施例的流程示意图;
图18为本发明密钥协商方法第十七实施例的流程示意图;
图19为本发明密钥协商方法第十八实施例的流程示意图;
图20为本发明密钥协商方法第十九实施例的流程示意图;
图21为本发明密钥协商方法第二十实施例的流程示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明提供一种密钥协商方法,本发明实现已配网设备自动搜索未配网设备,并在验证未配网设备合法后,将配网信息加密后发送至未配网设备,实现未配网设备自动连接网络,从而提高了家居设备的通信安全性。
如图1所示,图1是本发明实施例方案涉及的终端的硬件运行环境示意图。
本发明实施例终端可以是智能设备,比如空调器、空气调节器、电饭煲、智能门锁等。
如图1所示,该实施例终端可以包括:处理器1001,例如CPU,存储器1002,通信总线1003。其中,通信总线1003用于实现该服务器中各组成部件之间的连接通信。存储器1002可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1002可选的还可以是独立于前述处理器1001的存储装置。
如图1所示,作为一种计算机存储介质的存储器1002中可以包括密钥协商程序。
在图1所示的实施例终端中,处理器1001可以用于调用存储器1002中存储的密钥协商程序,并执行以下操作:
已配网设备在发现未配网设备时,则生成第一随机数,并将所述第一随机数发送至所述未配网设备,其中,所述未配网设备在接收到所述第一随机数时,利用未配网设备私钥对所述第一随机数进行加密得到密文数据,并根据所述密文数据以及未配网设备公钥生成密钥协商请求报文并发送至所述已配网设备;
所述已配网设备在接收到所述密钥协商请求报文时,根据所述密钥协商请求报文获取所述未配网设备公钥以及所述密文数据;
通过所述未配网设备公钥对所述密文数据进行解密得到第二随机数;
在所述第二随机数与所述第一随机数一致时,则所述已配网设备与所述未配网设备进行密钥协商。
进一步地,处理器1001可以调用存储器1002中存储的密钥协商程序,还执行以下操作:
所述已配网设备从所述密钥协商请求报文中提取未配网设备公钥证书以及根公钥索引;
根据所述根公钥索引从所述未配网设备公钥证书中提取所述未配网设备公钥。
进一步地,处理器1001可以调用存储器1002中存储的密钥协商程序,还执行以下操作:
对所述未配网设备公钥证书中的预设信息进行哈希运算,得到第二哈希值,所述预设信息包括证书格式、证书序列号、哈希算法标识、未配网设备公钥算法标识以及所述未配网设备公钥中的至少一个;
在所述第二哈希值与所述未配网设备公钥证书中的第一哈希值一致时,则执行所述根据所述根公钥索引从所述未配网设备公钥证书中提取所述未配网设备公钥的步骤。
进一步地,处理器1001可以调用存储器1002中存储的密钥协商程序,还执行以下操作:
利用预设服务器公钥解密所述设备公钥证书中的签名结果,得到第三哈希值,其中,所述签名结果为云服务器利用预设服务器私钥对所述第一哈希值进行加密得到;
在所述第三哈希值与所述第一哈希值一致时,执行所述对所述未配网设备公钥证书中的预设信息进行哈希运算的步骤。
进一步地,处理器1001可以调用存储器1002中存储的密钥协商程序,还执行以下操作:
所述已配网设备根据所述未配网设备公钥以及已配网设备私钥生成并保存第一会话密钥;
将已配网设备公钥返回至所述未配网设备,以供所述未配网设备在接收到所述已配网设备公钥时,根据所述已配网设备公钥以及未配网设备私钥生成并保存第二会话密钥,其中,所述第二会话密钥与所述第一会话密钥为所述已配网设备与所述未配网设备之间的会话密钥。
进一步地,处理器1001可以调用存储器1002中存储的密钥协商程序,还执行以下操作:
将所述未配网设备公钥与所述已配网设备私钥进行拼接,得到拼接结果;
将所述拼接结果作为所述第一会话密钥。
进一步地,处理器1001可以调用存储器1002中存储的密钥协商程序,还执行以下操作:
根据预设算法对所述第一会话密钥加密生成第一密钥校验值;
将所述已配网设备公钥以及所述第一密钥校验值返回至所述未配网设备,其中,所述未配网设备在接收到所述已配网设备公钥以及所述第一密钥校验值时,根据所述已配网设备公钥以及所述未配网设备私钥生成第二会话密钥,并根据所述预设算法对所述第二会话密钥加密生成第二密钥校验值,在所述第二密钥校验值与所述第一密钥校验值一致时,保存所述第二会话密钥,所述第二会话密钥与所述第一会话密钥为所述已配网设备与所述未配网设备之间的会话密钥。
进一步地,处理器1001可以调用存储器1002中存储的密钥协商程序,还执行以下操作:
根据所述第一会话密钥对预定字节进行加密,得到加密结果;
将所述加密结果的预设字节作为所述第一密钥校验值。
进一步地,处理器1001可以调用存储器1002中存储的密钥协商程序,还执行以下操作:
所述已配网设备在接收到所述未配网设备返回的密钥协商确认信息时,利用所述会话密钥解密所述密钥协商确认信息得到解密结果;
在所述解密结果中包含预设字段时,则利用所述第一会话密钥加密配网信息,并将加密后的配网信息发送至所述未配网设备,以供所述未配网设备进行配网。
进一步地,处理器1001可以调用存储器1002中存储的密钥协商程序,还执行以下操作:
将已配网设备公钥证书以及所述第一密钥校验值返回至所述未配网设备,其中,所述未配网设备在接收到所述已配网设备公钥证书以及所述第一密钥校验值时,对所述已配网设备公钥证书进行验签,并在验签通过后,从所述已配网设备公钥证书中提取所述已配网设备公钥,根据所述已配网设备公钥以及所述未配网设备私钥生成第二会话密钥,并根据所述预设算法对所述第二会话密钥加密生成第二密钥校验值,在所述第二密钥校验值与所述第一密钥校验值一致时,保存所述第二会话密钥,所述第二会话密钥与所述第一会话密钥为所述已配网设备与所述未配网设备之间的会话密钥。
进一步地,处理器1001可以调用存储器1002中存储的密钥协商程序,还执行以下操作:
在所述第二随机数与所述第一随机数不一致时,则断开所述已配网设备与所述未配网设备之间的连接。
进一步地,处理器1001可以调用存储器1002中存储的密钥协商程序,还执行以下操作:
未配网设备在接收到已配网设备发送的第一随机数时,利用未配网设备私钥对所述第一随机数进行加密得到密文数据,并根据所述密文数据以及未配网设备公钥生成密钥协商请求报文并发送至所述已配网设备,其中,所述已配网设备在接收到所述密钥协商请求报文时,根据所述密钥协商请求报文获取所述未配网设备公钥以及所述密文数据,通过所述未配网设备公钥对所述密文数据进行解密得到第二随机数,并在所述第二随机数与所述第一随机数一致时,则所述未配网设备与所述已配网设备进行密钥协商。
进一步地,处理器1001可以调用存储器1002中存储的密钥协商程序,还执行以下操作:
所述未配网设备在接收到所述已配网设备公钥时,根据所述已配网设备公钥以及未配网设备私钥生成并保存第二会话密钥,所述第二会话密钥与第一会话密钥为所述已配网设备与所述未配网设备之间的会话密钥,其中,所述已配网设备根据所述未配网设备公钥以及已配网设备私钥生成并保存所述第一会话密钥,并将所述已配网设备公钥返回至所述未配网设备。
进一步地,处理器1001可以调用存储器1002中存储的密钥协商程序,还执行以下操作:
将所述已配网设备公钥与所述未配网设备私钥进行拼接,得到拼接结果;
将所述拼接结果作为所述第二会话密钥。
进一步地,处理器1001可以调用存储器1002中存储的密钥协商程序,还执行以下操作:
所述未配网设备在接收到所述已配网设备公钥以及第一密钥校验值时,根据所述已配网设备公钥以及所述未配网设备私钥生成第二会话密钥,并根据预设算法对所述第二会话密钥加密生成第二密钥校验值,在所述第二密钥校验值与所述第一密钥校验值一致时,保存所述第二会话密钥,所述第二会话密钥与所述第一会话密钥为所述已配网设备与所述未配网设备之间的会话密钥,其中,所述已配网设备根据所述预设算法对所述第一会话密钥加密生成第一密钥校验值,并将所述已配网设备公钥以及所述第一密钥校验值返回至所述未配网设备。
进一步地,处理器1001可以调用存储器1002中存储的密钥协商程序,还执行以下操作:
根据所述第二会话密钥对预定字节进行加密,得到加密结果;
将所述加密结果的预设字节作为所述第二密钥校验值。
进一步地,处理器1001可以调用存储器1002中存储的密钥协商程序,还执行以下操作:
所述未配网设备利用所述第二会话密钥对预设字段进行加密,得到密钥协商确认信息;
将所述密钥协商确认信息发送至所述已配网设备,以供所述已配网设备在接收到所述密钥协商确认信息时,利用所述第一会话密钥解密所述密钥协商确认信息得到解密结果,在所述解密结果中包含所述预设字段时,则利用所述第一会话密钥加密配网信息,并将加密后的配网信息发送至所述未配网设备。
进一步地,处理器1001可以调用存储器1002中存储的密钥协商程序,还执行以下操作:
所述未配网设备在接收到已配网设备公钥证书以及所述第一密钥校验值时,从所述已配网设备公钥证书中提取所述已配网设备公钥,根据所述已配网设备公钥以及所述未配网设备私钥生成第二会话密钥,并根据所述预设算法对所述第二会话密钥加密生成第二密钥校验值,在所述第二密钥校验值与所述第一密钥校验值一致时,保存所述第二会话密钥,所述第二会话密钥与所述第一会话密钥为所述已配网设备与所述未配网设备之间的会话密钥,其中,所述已配网设备根据所述预设算法对所述第一会话密钥加密生成第一密钥校验值,并将所述已配网设备公钥证书以及所述第一密钥校验值返回至所述未配网设备。
进一步地,处理器1001可以调用存储器1002中存储的密钥协商程序,还执行以下操作:
对所述已配网设备公钥证书中的预设信息进行哈希运算,得到第五哈希值,所述预设信息包括证书格式、证书序列号、哈希算法标识、已配网设备公钥算法标识以及所述已配网设备公钥中的至少一个;
在所述第五哈希值与所述已配网设备公钥证书中的第四哈希值一致时,则执行所述从所述已配网设备公钥证书中提取所述已配网设备公钥的步骤。
进一步地,处理器1001可以调用存储器1002中存储的密钥协商程序,还执行以下操作:
利用预设服务器公钥解密所述已配网设备公钥证书中的签名结果,得到第六哈希值,其中,所述签名结果为云服务器利用预设服务器私钥对所述第一哈希值进行加密得到;
在所述第六哈希值与所述第四哈希值一致时,执行所述对所述已配网设备公钥证书中的预设信息进行哈希运算的步骤。
参照图2,在第一实施例中,所述密钥协商方法包括:
步骤S10、已配网设备在发现未配网设备时,则生成第一随机数,并将所述第一随机数发送至所述未配网设备,其中,所述未配网设备在接收到所述第一随机数时,利用未配网设备私钥对所述第一随机数进行加密得到密文数据,并根据所述密文数据以及未配网设备公钥生成密钥协商请求报文并发送至所述已配网设备;
本实施例中,执行主体为已配网设备。已配网设备可以是空调器、空气调节器、洗衣机、电饭煲、智能门锁等多种智能设备,终端中的APP可以通过云服务器与设备进行通信,即用户可以通过APP发送指令,以控制智能设备。在局域网环境下,已配网设备可以通过WiFi模块搜索预设范围内已通电的未配网设备,首先检验未配网设备的合法性,在未配网设备合法时,则与未配网设备协商会话密钥,并通过协商的会话密钥将配网信息发送至未配网设备,使得未配网设备自动连接局域网。
已配网设备对未配网设备的合法性进行验签。首先,已配网设备发现未配网设备后,生成第一随机数发送至未配网设备,让未配网设备向已配网设备发起配网请求。未配网设备在接收到第一随机数时,利用未配网设备私钥对第一随机数进行签名,得到密文数据,并根据密文数据、未配网设备公钥生成密钥协商请求报文返回至已配网设备。
步骤S20、所述已配网设备在接收到所述密钥协商请求报文时,根据所述密钥协商请求报文获取所述未配网设备公钥以及所述密文数据;
需要说明的是,密钥协商请求报文由未配网设备生成,并发送至已配网设备,以向已配网设备发起密钥协商请求。其中,密钥协商请求报文中可以包括未配网设备公钥、密文数据等,也可以包括根公钥索引、未配网设备公钥证书、密文数据等,即未配网设备公钥可以是未配网设备生成,也可以从未配网设备公钥证书中提取。其中,未配网设备公钥证书可以通过解密预设服务器得到,预设服务器可以是License服务器。已配网设备对未配网设备公钥证书中的签名结果进行验签,在验签通过时,通过根公钥索引来提取未配网设备公钥证书中的公钥。该种方式增加了证书的随机性。
步骤S30、通过所述未配网设备公钥对所述密文数据进行解密得到第二随机数;
步骤S40、在所述第二随机数与所述第一随机数一致时,则所述已配网设备与所述未配网设备进行密钥协商。
本实施例中,已配网设备在接收到密钥协商请求报文时,获取密钥协商请求报文中的未配网设备公钥以及密文数据,通过未配网设备公钥解密密文数据得到第二随机数,并将第二随机数与第一随机数进行比较,在第二随机数与第一随机数一致时,则判定未配网设备合法,已配网设备与未配网设备进行密钥协商。
需要说明的是,判定未配网已配网设备是否合法的方法不限于以上所述,可根据实际情况进行设置。比如云服务器对第一随机数进行哈希运算加密得到第四哈希值,并通过第一预设密钥对第四哈希值进行签名得到哈希密文,将哈希密文以及第四哈希值返回至未配网设备,未配网设备根据哈希密文以及第四哈希值生成密钥协商请求报文并发送至已配网设备。已配网设备通过第二预设密钥对哈希密文进行解密运算得到第五哈希值,在第五哈希值与第四哈希值一致时,则判定未配网设备合法,已配网设备与未配网设备进行密钥协商。其中,哈希算法可以是SHA256算法或者MD5算法。其中,第一预设密钥可以是云服务器私钥,第二预设密钥可以是云服务器公钥。
在第一实施例中,已配网设备在发现未配网设备时,则生成第一随机数,并将第一随机数发送至未配网设备,并在接收到密钥协商请求报文时,根据密钥协商请求报文获取未配网设备公钥以及密文数据,通过未配网设备公钥对密文数据进行解密得到第二随机数,在第二随机数与第一随机数一致时,则已配网设备与未配网设备进行密钥协商。这样,实现已配网设备自动搜索未配网设备,并在验证未配网设备合法后,将配网信息加密后发送至未配网设备,实现未配网设备自动连接网络,从而提高了家居设备的通信安全性。
在第二实施例中,如图3所示,在上述图2所示的实施例基础上,所述根据所述密钥协商请求报文获取所述未配网设备公钥的步骤包括:
步骤S111、所述已配网设备从所述密钥协商请求报文中提取未配网设备公钥证书以及根公钥索引;
步骤S112、根据所述根公钥索引从所述未配网设备公钥证书中提取所述未配网设备公钥。
本实施例中,密钥协商请求报文由未配网设备生成,并发送至已配网设备,以向已配网设备发起密钥协商请求。其中,密钥协商请求报文中可以包括未配网设备公钥、密文数据等,也可以包括根公钥索引、未配网设备公钥证书、密文数据等。
未配网设备公钥可以是未配网设备生成,也可以从未配网设备公钥证书中提取,其中,未配网设备公钥证书可以通过解密预设服务器得到。已配网设备对未配网设备公钥证书中的签名结果进行验签,在验签通过时,通过根公钥索引来提取未配网设备公钥证书中的公钥。该种方式增加了证书的随机性,需要说明的是,预设服务器可以是License服务器。
其中,密文数据为未配网设备在获取到第一随机数后,利用未配网设备私钥对第一随机数进行加密得到的。未配网设备将密文数据发送至已配网设备,已配网设备根据密文数据确认未配网设备的合法性。
在第二实施例中,已配网设备从密钥协商请求报文中提取设备公钥证书以及根公钥索引,并根据根公钥索引从未配网设备证书中提取未配网设备公钥。这样,增加了证书的随机性,进一步提高了家居设备的通信安全性。
在第三实施例中,如图4所示,在上述图2至图3任一项所示的实施例基础上,所述根据所述根公钥索引从所述未配网设备公钥证书中提取所述未配网设备公钥的步骤之前,还包括:
步骤S113、对所述未配网设备公钥证书中的预设信息进行哈希运算,得到第二哈希值,所述预设信息包括证书格式、证书序列号、哈希算法标识、未配网设备公钥算法标识以及所述未配网设备公钥中的至少一个;
步骤S114、判断所述第二哈希值与所述设备公钥证书中的第一哈希值是否一致;
步骤S115、在所述第二哈希值与所述未配网设备公钥证书中的第一哈希值一致时,则执行所述根据所述根公钥索引从所述未配网设备公钥证书中提取所述未配网设备公钥的步骤。
本实施例中,在从未配网设备公钥证书中提取未配网设备公钥之前,已配网设备对未配网设备公钥证书进行验证。具体地,未配网设备公钥证书中包括证书格式、证书序列号、哈希算法标识、未配网设备公钥算法标识、未配网设备公钥、签名结果以及第一哈希值,其中,签名结果为预设服务器利用预设服务器私钥对第一哈希值进行签名得到的,第一哈希值是预设服务器对预设信息进行哈希运算得到的,预设信息包括证书格式、证书序列号、哈希算法标识、未配网设备公钥算法标识以及未配网设备公钥。
已配网设备对未配网设备公钥证书中的预设信息进行哈希运算得到第二哈希值,在第二哈希值与第一哈希值一致时,则判定未配网设备公钥证书合法,则从未配网设备公钥证书中提取未配网设备公钥。
在第三实施例中,已配网设备对未配网设备公钥证书中的预设信息进行哈希计算,得到第二哈希值,并在第二哈希值与未配网设备公钥证书中的第一哈希值一致时,则从未配网设备公钥证书中提取未配网设备公钥。这样,保证了证书的合法性。
在第四实施例中,如图5所示,在上述图2至图4任一项所示的实施例基础上,所述对所述未配网设备公钥证书中的预设信息进行哈希运算的步骤之前,还包括:
步骤S116、利用预设服务器公钥解密所述设备公钥证书中的签名结果,得到第三哈希值,其中,所述签名结果为云服务器利用预设服务器私钥对所述第一哈希值进行加密得到;
步骤S117、判断所述第三哈希值与所述第一哈希值是否一致;
步骤S118、在所述第三哈希值与所述第一哈希值一致时,执行所述对所述未配网设备公钥证书中的预设信息进行哈希运算的步骤。
本实施例中,在从未配网设备公钥证书中提取未配网设备公钥之前,已配网设备对未配网设备公钥证书进行验证。具体地,未配网设备公钥证书中包括证书格式、证书序列号、哈希算法标识、未配网设备公钥算法标识、未配网设备公钥、签名结果以及第一哈希值,其中,签名结果为预设服务器利用预设服务器私钥对第一哈希值进行签名得到的,第一哈希值是预设服务器对预设信息进行哈希运算得到的,预设信息包括证书格式、证书序列号、哈希算法标识、未配网设备公钥算法标识以及未配网设备公钥。
已配网设备利用预设服务器公钥解密未配网设备公钥证书中的签名结果,得到第三哈希值,在第三哈希值与第一哈希值一致时,已配网设备对未配网设备公钥证书中的预设信息进行哈希运算得到第二哈希值,在第二哈希值与第一哈希值一致时,则判定证书合法,则从未配网设备公钥证书中提取未配网设备公钥。需要说明的是,预设服务器可以是License服务器。
在第四实施例中,已配网设备解密未配网设备公钥证书中的签名结果,得到第三哈希值,在第三哈希值与设备公钥证书中的第一哈希值一致时,则对未配网设备公钥证书中的预设信息进行哈希运算。这样,进一步保证了证书的合法性。
在第五实施例中,如图6所示,在上述图2至图5任一项所示的实施例基础上,所述已配网设备与所述未配网设备进行密钥协商的步骤包括:
步骤S131、所述已配网设备根据所述未配网设备公钥以及已配网设备私钥生成并保存第一会话密钥;
步骤S132、将已配网设备公钥返回至所述未配网设备,以供所述未配网设备在接收到所述已配网设备公钥时,根据所述已配网设备公钥以及未配网设备私钥生成并保存第二会话密钥,其中,所述第二会话密钥与所述第一会话密钥为所述已配网设备与所述未配网设备之间的会话密钥。
本实施例中,已配网设备利用已配网设备私钥对未配网设备公钥进行计算得到第一会话密钥,优选地,使用已配网设备私钥通过ECDH算法对未配网设备公钥计算得到第一会话密钥。已配网设备将已配网设备公钥返回至未配网设备,以供未配网设备利用未配网设备私钥对已配网设备公钥进行计算得到第二会话密钥,优选地,使用未配网设备私钥通过ECDH算法对已配网设备公钥计算得到第二会话密钥。
需要说明的是,由于ECDH算法的特性,第一会话密钥与第二会话密钥是一致的,因此第一会话密钥与第二会话密钥为已配网设备与未配网设备之间的会话密钥。第一会话密钥以及第二会话密钥的生成方式不限于ECDH算法,也可以是其它算法,比如ECC算法、RSA算法、ECDSA算法等,本发明不做具体限定。
在第五实施例中,已配网设备根据密钥协商请求报文获取未配网设备公钥,根据未配网设备公钥以及已配网设备私钥生成并保存第一会话密钥,并将已配网设备公钥返回至未配网设备,以供未配网设备根据已配网设备公钥以及未配网设备私钥生成并保存第二会话密钥。这样,提高了家居设备的通信安全性。
在第六实施例中,如图7所示,在上述图2至图6任一项所示的实施例基础上,所述已配网设备根据所述未配网设备公钥以及已配网设备私钥生成并保存第一会话密钥的步骤包括:
步骤S1311、将所述未配网设备公钥与所述已配网设备私钥进行拼接,得到拼接结果;
步骤S1312、将所述拼接结果作为所述第一会话密钥。
本实施例中,已配网设备利用已配网设备私钥对未配网设备公钥进行计算得到第一会话密钥,优选地,使用已配网设备私钥通过ECDH算法对未配网设备公钥计算得到第一会话密钥。需要说明的是,第一会话密钥的生成方式不限于ECDH算法,也可以是其它算法,比如ECC算法、RSA算法、ECDSA算法等,本发明不做具体限定。
在第六实施例中,将未配网设备公钥与已配网设备私钥的拼接结果作为第一会话密钥,这样,保证了未配网设备与已配网设备之间通信的安全性。
在第七实施例中,如图8所示,在上述图2至图7任一项所示的实施例基础上,所述已配网设备根据所述未配网设备公钥以及已配网设备私钥生成并保存第一会话密钥的步骤之后,还包括:
步骤S133、根据预设算法对所述第一会话密钥加密生成第一密钥校验值;
步骤S134、将所述已配网设备公钥以及所述第一密钥校验值返回至所述未配网设备,其中,所述未配网设备在接收到所述已配网设备公钥以及所述第一密钥校验值时,根据所述已配网设备公钥以及所述未配网设备私钥生成第二会话密钥,并根据所述预设算法对所述第二会话密钥加密生成第二密钥校验值,在所述第二密钥校验值与所述第一密钥校验值一致时,保存所述第二会话密钥,所述第二会话密钥与所述第一会话密钥为所述已配网设备与所述未配网设备之间的会话密钥。
本实施例中,未配网设备生成未配网设备公钥以及未配网设备私钥,其中,未配网设备公钥以及未配网设备私钥可以是临时密钥对。根据未配网设备公钥、未配网设备公钥有效期标识以及密文数据生成密钥协商请求报文发送至已配网设备。已配网设备在接收到密钥协商请求报文时,通过预设服务器密钥对密文数据进行解密得到第二随机数,并将第二随机数与第一随机数进行比对,在第二随机数与第一随机数一致时,则判定未配网设备合法。已配网设备利用已配网设备私钥对未配网设备公钥进行计算得到第一会话密钥,使用已配网设备私钥通过ECDH算法对未配网设备公钥计算得到第一会话密钥。
已配网设备根据预设算法对第一会话密钥加密生成第一密钥校验值,其中,第一预设校验值用于校验会话密钥。优选地,根据预设算法对第一会话密钥加密生成第一密钥校验值的步骤可以是:根据第一会话密钥对预定字节进行加密,得到加密结果,并将加密结果的预设字节作为第一密钥校验值。当然,也可以有其它方式,比如利用密钥加密第一会话密钥,将加密结果作为第一密钥校验值等,本发明不作具体限定。
已配网设备将已配网设备公钥以及第一密钥校验值返回至未配网设备,以供未配网设备利用未配网设备私钥对已配网设备公钥进行计算得到第二会话密钥,并根据预设算法对第二会话密钥加密生成第二密钥校验值,在第二密钥校验值与第一密钥校验值一致时,保存第二会话密钥。优选地,使用未配网设备私钥通过ECDH算法对已配网设备公钥计算得到第二会话密钥。根据预设算法对第二会话密钥加密生成第二密钥校验值的步骤可以是:根据第二会话密钥对预定字节进行加密,得到加密结果,并将加密结果的预设字节作为第二密钥校验值。
需要说明的是,由于ECDH算法的特性,第一会话密钥与第二会话密钥是一致的,因此第一会话密钥与第二会话密钥为已配网设备与未配网设备之间的会话密钥。第一会话密钥以及第二会话密钥的生成方式不限于ECDH算法,也可以是其它算法,比如ECC算法、RSA算法、ECDSA算法等,本发明不做具体限定。
需要说明的是,会话密钥也可以利用其它方式进行校验,本发明不做具体限定。比如,根据SHA256算法对第一会话密钥进行运算得到第一摘要信息,未配网设备根据SHA256算法对第二会话密钥进行运算得到第二摘要信息,在第二摘要信息与第一摘要信息一致时,则第一会话密钥与第二会话密钥为已配网设备与未配网设备之间的会话密钥。
在第七实施例中,利用第一密钥校验值以及第二密钥校验值校验会话密钥,这样,进一步加强了未配网设备与已配网设备之间密钥协商的安全性。
在第八实施例中,如图9所示,在上述图2至图8任一项所示的实施例基础上,所述根据预设算法对所述第一会话密钥加密生成第一密钥校验值的步骤包括:
步骤S1331、根据所述第一会话密钥对预定字节进行加密,得到加密结果;
步骤S1332、将所述加密结果的预设字节作为所述第一密钥校验值。
本实施例中,已配网设备根据预设算法对第一会话密钥加密生成第一密钥校验值,其中,第一预设校验值用于校验会话密钥。优选地,根据预设算法对第一会话密钥加密生成第一密钥校验值的步骤可以是:根据第一会话密钥对预定字节进行加密,得到加密结果,并将加密结果的预设字节作为第一密钥校验值。需要说明的是,预定字节可以是16字节,预设字节可以是前三字节。
需要说明的是,也可用其它方式校验会话密钥,本发明不做具体限定。比如,根据SHA256算法对第一会话密钥进行运算得到第一摘要信息,终端根据SHA256算法对第二会话密钥进行运算得到第二摘要信息,在第二摘要信息与第一摘要信息一致时,则第一会话密钥与第二会话密钥为未配网设备与已配网设备之间的会话密钥。
在第八实施例中,根据第一会话密钥对预定字节进行加密得到加密结果,并将加密结果的预设字节作为第一密钥校验值。这样,保证了未配网设备与已配网设备之间密钥协商的安全性。
在第九实施例中,参照图10,在上述图2至图9任一项所示的实施例基础上,所述将所述已配网设备公钥以及所述第一密钥校验值返回至所述未配网设备的步骤之后,还包括:
步骤S135、所述已配网设备在接收到所述未配网设备返回的密钥协商确认信息时,利用所述会话密钥解密所述密钥协商确认信息得到解密结果;
步骤S136、在所述解密结果中包含预设字段时,则利用所述第一会话密钥加密配网信息,并将加密后的配网信息发送至所述未配网设备,以供所述未配网设备进行配网。
本实施例中,未配网设备利用会话密钥对预设字段进行加密,或者未配网设备利用会话密钥对预设字段和随机数进行加密,得到密钥协商确认信息,并将密钥协商确认信息发送至已配网设备,以供已配网设备在接收到密钥协商确认信息时,利用会话密钥解密密钥协商确认信息得到解密结果,在解密结果中包含预设字段时,则发送加密后的配网信息至未配网设备。其中,预设字段可以是“OK”等字符。
需要说明的是,配网信息可以包括SSID、口令和用户ID等。已配网设备通过会话密钥对配网信息进行加密,未配网设备在接收到加密后的配网信息时,通过会话密钥解密得到配网信息,并根据配网信息自动连接局域网。
在第九实施例中,已配网设备在接收到未配网设备返回的密钥协商确认信息时,利用会话密钥解密密钥协商确认信息得到解密结果,在解密结果中包含预设字段时,则发送加密后的配网信息至未配网设备。这样,实现未配网设备自动连接局域网。
参照图11,在第十实施例中,在上述图2至图10任一项所示的实施例基础上,所述根据预设算法对所述第一会话密钥加密生成第一密钥校验值的步骤之后,还包括:
步骤S137、将已配网设备公钥证书以及所述第一密钥校验值返回至所述未配网设备,其中,所述未配网设备在接收到所述已配网设备公钥证书以及所述第一密钥校验值时,对所述已配网设备公钥证书进行验签,并在验签通过后,从所述已配网设备公钥证书中提取所述已配网设备公钥,根据所述已配网设备公钥以及所述未配网设备私钥生成第二会话密钥,并根据所述预设算法对所述第二会话密钥加密生成第二密钥校验值,在所述第二密钥校验值与所述第一密钥校验值一致时,保存所述第二会话密钥,所述第二会话密钥与所述第一会话密钥为所述已配网设备与所述未配网设备之间的会话密钥。
本实施例中,已配网设备公钥可以是已配网设备生成,也可以从已配网设备公钥证书中提取,其中,已配网设备公钥证书可以通过解密预设服务器得到。未配网设备对已配网设备公钥证书中的签名结果进行验签,在验签通过时,通过根公钥索引来提取已配网设备公钥证书中的公钥。该种方式增加了证书的随机性。需要说明的是,预设服务器可以是License服务器。
在从已配网设备公钥证书中提取已配网设备公钥之前,未配网设备对已配网设备公钥证书进行验证。具体地,已配网设备公钥证书中包括证书格式、证书序列号、哈希算法标识、已配网设备公钥算法标识、已配网设备公钥、签名结果以及第四哈希值,其中,签名结果为预设服务器利用预设服务器私钥对第四哈希值进行签名得到的,第四哈希值是预设服务器对预设信息进行哈希运算得到的,预设信息包括证书格式、证书序列号、哈希算法标识、已配网设备公钥算法标识以及已配网设备公钥。
未配网设备利用预设服务器公钥解密已配网设备公钥证书中的签名结果,得到第六哈希值,在第六哈希值与第四哈希值一致时,未配网设备对已配网设备证书中的预设信息进行哈希运算得到第五哈希值,在第五哈希值与第四哈希值一致时,则判定证书合法,则从已配网设备证书中提取已配网设备公钥。
在第十实施例中,未配网设备从已配网设备公钥证书中提取已配网设备公钥,这样,实现已配网设备与未配网设备之间的证书互验,加强了未配网设备与已配网设备之间密钥协商的安全性。
在第十一实施例中,如图12所示,在上述图2至图11任一项所示的实施例基础上,所述通过所述未配网设备公钥对所述密文数据进行解密得到第二随机数的步骤之后,还包括:
步骤S14、在所述第二随机数与所述第一随机数不一致时,则断开所述已配网设备与所述未配网设备之间的连接。
在第十一实施例中,在第二随机数与第一随机数不一致时,则判定该未配网设备不合法,因此断开已配网设备与未配网设备之间的连接。这样,保证了已配网设备与未配网设备之间的安全通信。
本发明还提供一种密钥协商方法,如图13所示,在第十二实施例中,所述密钥协商方法包括:
步骤S20、未配网设备在接收到已配网设备发送的第一随机数时,利用未配网设备私钥对所述第一随机数进行加密得到密文数据,并根据所述密文数据以及未配网设备公钥生成密钥协商请求报文并发送至所述已配网设备,其中,所述已配网设备在接收到所述密钥协商请求报文时,根据所述密钥协商请求报文获取所述未配网设备公钥以及所述密文数据,通过所述未配网设备公钥对所述密文数据进行解密得到第二随机数,并在所述第二随机数与所述第一随机数一致时,则所述未配网设备与所述已配网设备进行密钥协商。
本实施例中,执行主体为未配网设备。未配网设备可以是空调器、空气调节器、洗衣机、电饭煲、智能门锁等多种智能设备,终端中的APP可以通过云服务器与设备进行通信,即用户可以通过APP发送指令,以控制智能设备。在局域网环境下,已配网设备可以通过WiFi模块搜索预设范围内已通电的未配网设备,首先检验未配网设备的合法性,在未配网设备合法时,则与未配网设备协商会话密钥,并通过协商的会话密钥将配网信息发送至未配网设备,使得未配网设备自动连接局域网。
已配网设备对未配网设备的合法性进行验签。首先,已配网设备发现未配网设备后,生成第一随机数发送至未配网设备,让未配网设备向已配网设备发起配网请求。未配网设备在接收到第一随机数时,利用未配网设备私钥对第一随机数进行签名,得到密文数据,并根据密文数据、未配网设备公钥生成密钥协商请求报文返回至已配网设备。
需要说明的是,密钥协商请求报文由未配网设备生成,并发送至已配网设备,以向已配网设备发起密钥协商请求。其中,密钥协商请求报文中可以包括未配网设备公钥、密文数据等,也可以包括根公钥索引、未配网设备公钥证书、密文数据等,即未配网设备公钥可以是未配网设备生成,也可以从未配网设备公钥证书中提取。其中,未配网设备公钥证书可以通过解密预设服务器得到,预设服务器可以是License服务器。已配网设备对未配网设备公钥证书中的签名结果进行验签,在验签通过时,通过根公钥索引来提取未配网设备公钥证书中的公钥。该种方式增加了证书的随机性。
本实施例中,已配网设备在接收到密钥协商请求报文时,获取密钥协商请求报文中的未配网设备公钥以及密文数据,通过未配网设备公钥解密密文数据得到第二随机数,并将第二随机数与第一随机数进行比较,在第二随机数与第一随机数一致时,则判定未配网设备合法,已配网设备与未配网设备进行密钥协商。
需要说明的是,判定未配网已配网设备是否合法的方法不限于以上所述,可根据实际情况进行设置。比如云服务器对第一随机数进行哈希运算加密得到第四哈希值,并通过第一预设密钥对第四哈希值进行签名得到哈希密文,将哈希密文以及第四哈希值返回至未配网设备,未配网设备根据哈希密文以及第四哈希值生成密钥协商请求报文并发送至已配网设备。已配网设备通过第二预设密钥对哈希密文进行解密运算得到第五哈希值,在第五哈希值与第四哈希值一致时,则判定未配网设备合法,已配网设备与未配网设备进行密钥协商。其中,哈希算法可以是SHA256算法或者MD5算法。其中,第一预设密钥可以是云服务器私钥,第二预设密钥可以是云服务器公钥。
在第十二实施例中,已配网设备在发现未配网设备时,则生成第一随机数,并将第一随机数发送至未配网设备,并在接收到密钥协商请求报文时,根据密钥协商请求报文获取未配网设备公钥以及密文数据,通过未配网设备公钥对密文数据进行解密得到第二随机数,在第二随机数与第一随机数一致时,则已配网设备与未配网设备进行密钥协商。这样,实现已配网设备自动搜索未配网设备,并在验证未配网设备合法后,将配网信息加密后发送至未配网设备,实现未配网设备自动连接网络,从而提高了家居设备的通信安全性。
在第十三实施例中,如图14所示,在上述图13所示的实施例基础上,所述未配网设备与所述已配网设备进行密钥协商的步骤包括:
步骤S201、所述未配网设备在接收到所述已配网设备公钥时,根据所述已配网设备公钥以及未配网设备私钥生成并保存第二会话密钥,所述第二会话密钥与第一会话密钥为所述已配网设备与所述未配网设备之间的会话密钥,其中,所述已配网设备根据所述未配网设备公钥以及已配网设备私钥生成并保存所述第一会话密钥,并将所述已配网设备公钥返回至所述未配网设备。
本实施例中,已配网设备利用已配网设备私钥对未配网设备公钥进行计算得到第一会话密钥,优选地,使用已配网设备私钥通过ECDH算法对未配网设备公钥计算得到第二会话密钥。已配网设备将已配网设备公钥返回至未配网设备,以供未配网设备利用未配网设备私钥对已配网设备公钥进行计算得到第二会话密钥,优选地,使用未配网设备私钥通过ECDH算法对已配网设备公钥计算得到第二会话密钥。
需要说明的是,由于ECDH算法的特性,第一会话密钥与第二会话密钥是一致的,因此第一会话密钥与第二会话密钥为已配网设备与未配网设备之间的会话密钥。第一会话密钥以及第二会话密钥的生成方式不限于ECDH算法,也可以是其它算法,比如ECC算法、RSA算法、ECDSA算法等,本发明不做具体限定。
在第十三实施例中,已配网设备根据密钥协商请求报文获取未配网设备公钥,根据未配网设备公钥以及已配网设备私钥生成并保存第一会话密钥,并将已配网设备公钥返回至未配网设备,以供未配网设备根据已配网设备公钥以及未配网设备私钥生成并保存第二会话密钥。这样,提高了家居设备的通信安全性。
在第十四实施例中,如图15所示,在上述图13至图14任一项所示的实施例基础上,所述根据所述已配网设备公钥以及未配网设备私钥生成并保存第二会话密钥的步骤包括:
步骤S2011、将所述已配网设备公钥与所述未配网设备私钥进行拼接,得到拼接结果;
步骤S2012、将所述拼接结果作为所述第二会话密钥。
本实施例中,未配网设备利用未配网设备私钥对已配网设备公钥进行计算得到第二会话密钥,优选地,使用未配网设备私钥通过ECDH算法对已配网设备公钥计算得到第二会话密钥。需要说明的是,第二会话密钥的生成方式不限于ECDH算法,也可以是其它算法,比如ECC算法、RSA算法、ECDSA算法等,本发明不做具体限定。
在第十四实施例中,将已配网设备公钥与未配网设备私钥的拼接结果作为第二会话密钥,这样,保证了未配网设备与已配网设备之间通信的安全性。
在第十五实施例中,如图16所示,在上述图13至图15任一项所示的实施例基础上,所述第二会话密钥与第一会话密钥为所述已配网设备与所述未配网设备之间的会话密钥的步骤之后,还包括:
步骤S202、所述未配网设备在接收到所述已配网设备公钥以及第一密钥校验值时,根据所述已配网设备公钥以及所述未配网设备私钥生成第二会话密钥,并根据预设算法对所述第二会话密钥加密生成第二密钥校验值,在所述第二密钥校验值与所述第一密钥校验值一致时,保存所述第二会话密钥,所述第二会话密钥与所述第一会话密钥为所述已配网设备与所述未配网设备之间的会话密钥,其中,所述已配网设备根据所述预设算法对所述第一会话密钥加密生成第一密钥校验值,并将所述已配网设备公钥以及所述第一密钥校验值返回至所述未配网设备。
本实施例中,未配网设备生成未配网设备公钥以及未配网设备私钥,其中,未配网设备公钥以及未配网设备私钥可以是临时密钥对。根据未配网设备公钥、未配网设备公钥有效期标识以及密文数据生成密钥协商请求报文发送至已配网设备。已配网设备在接收到密钥协商请求报文时,通过预设服务器密钥对密文数据进行解密得到第二随机数,并将第二随机数与第一随机数进行比对,在第二随机数与第一随机数一致时,则判定未配网设备合法。已配网设备利用已配网设备私钥对未配网设备公钥进行计算得到第一会话密钥,使用已配网设备私钥通过ECDH算法对未配网设备公钥计算得到第一会话密钥。
已配网设备根据预设算法对第一会话密钥加密生成第一密钥校验值,其中,第一预设校验值用于校验会话密钥。优选地,根据预设算法对第一会话密钥加密生成第一密钥校验值的步骤可以是:根据第一会话密钥对预定字节进行加密,得到加密结果,并将加密结果的预设字节作为第一密钥校验值。当然,也可以有其它方式,比如利用密钥加密第一会话密钥,将加密结果作为第一密钥校验值等,本发明不作具体限定。
已配网设备将已配网设备公钥以及第一密钥校验值返回至未配网设备,以供未配网设备利用未配网设备私钥对已配网设备公钥进行计算得到第二会话密钥,并根据预设算法对第二会话密钥加密生成第二密钥校验值,在第二密钥校验值与第一密钥校验值一致时,保存第二会话密钥。优选地,使用未配网设备私钥通过ECDH算法对已配网设备公钥计算得到第二会话密钥。根据预设算法对第二会话密钥加密生成第二密钥校验值的步骤可以是:根据第二会话密钥对预定字节进行加密,得到加密结果,并将加密结果的预设字节作为第二密钥校验值。
需要说明的是,由于ECDH算法的特性,第一会话密钥与第二会话密钥是一致的,因此第一会话密钥与第二会话密钥为已配网设备与未配网设备之间的会话密钥。第一会话密钥以及第二会话密钥的生成方式不限于ECDH算法,也可以是其它算法,比如ECC算法、RSA算法、ECDSA算法等,本发明不做具体限定。
需要说明的是,会话密钥也可以利用其它方式进行校验,本发明不做具体限定。比如,根据SHA256算法对第一会话密钥进行运算得到第一摘要信息,未配网设备根据SHA256算法对第二会话密钥进行运算得到第二摘要信息,在第二摘要信息与第一摘要信息一致时,则第一会话密钥与第二会话密钥为已配网设备与未配网设备之间的会话密钥。
在第十五实施例中,利用第一密钥校验值以及第二密钥校验值校验会话密钥,这样,进一步加强了未配网设备与已配网设备之间密钥协商的安全性。
在第十六实施例中,如图17所示,在上述图13至图16任一项所示的实施例基础上,所述根据预设算法对所述第二会话密钥加密生成第二密钥校验值的步骤包括:
步骤S2021、根据所述第二会话密钥对预定字节进行加密,得到加密结果;
步骤S2022、将所述加密结果的预设字节作为所述第二密钥校验值。
本实施例中,未配网设备根据预设算法对第二会话密钥加密生成第二密钥校验值,其中,第二预设校验值用于校验会话密钥。优选地,根据预设算法对第二会话密钥加密生成第二密钥校验值的步骤可以是:根据第二会话密钥对预定字节进行加密,得到加密结果,并将加密结果的预设字节作为第二密钥校验值。需要说明的是,预定字节可以是16字节,预设字节可以是前三字节。
需要说明的是,也可用其它方式校验会话密钥,本发明不做具体限定。比如,根据SHA256算法对第一会话密钥进行运算得到第一摘要信息,终端根据SHA256算法对第二会话密钥进行运算得到第二摘要信息,在第二摘要信息与第一摘要信息一致时,则第一会话密钥与第二会话密钥为未配网设备与已配网设备之间的会话密钥。
在第十六实施例中,根据第二会话密钥对预定字节进行加密得到加密结果,并将加密结果的预设字节作为第二密钥校验值。这样,保证了未配网设备与已配网设备之间密钥协商的安全性。
在第十七实施例中,如图18所示,在上述图13至图17任一项所示的实施例基础上,所述第二会话密钥与所述第一会话密钥为所述已配网设备与所述未配网设备之间的会话密钥的步骤之后,还包括:
步骤S203、所述未配网设备利用所述第二会话密钥对预设字段进行加密,得到密钥协商确认信息;
步骤S204、将所述密钥协商确认信息发送至所述已配网设备,以供所述已配网设备在接收到所述密钥协商确认信息时,利用所述第一会话密钥解密所述密钥协商确认信息得到解密结果,在所述解密结果中包含所述预设字段时,则利用所述第一会话密钥加密配网信息,并将加密后的配网信息发送至所述未配网设备。
本实施例中,未配网设备利用会话密钥对预设字段进行加密,或者未配网设备利用会话密钥对预设字段和随机数进行加密,得到密钥协商确认信息,并将密钥协商确认信息发送至已配网设备,以供已配网设备在接收到密钥协商确认信息时,利用会话密钥解密密钥协商确认信息得到解密结果,在解密结果中包含预设字段时,则发送加密后的配网信息至未配网设备。其中,预设字段可以是“OK”等字符。
需要说明的是,配网信息可以包括SSID、口令和用户ID等。已配网设备通过会话密钥对配网信息进行加密,未配网设备在接收到加密后的配网信息时,通过会话密钥解密得到配网信息,并根据配网信息自动连接局域网。
在第十七实施例中,已配网设备在接收到未配网设备返回的密钥协商确认信息时,利用会话密钥解密密钥协商确认信息得到解密结果,在解密结果中包含预设字段时,则发送加密后的配网信息至未配网设备。这样,实现未配网设备自动连接局域网。
在第十八实施例中,如图19所示,在上述图13至图18任一项所示的实施例基础上,所述第二会话密钥与第一会话密钥为所述已配网设备与所述未配网设备之间的会话密钥的步骤之后,还包括:
步骤S205、所述未配网设备在接收到已配网设备公钥证书以及所述第一密钥校验值时,从所述已配网设备公钥证书中提取所述已配网设备公钥,根据所述已配网设备公钥以及所述未配网设备私钥生成第二会话密钥,并根据所述预设算法对所述第二会话密钥加密生成第二密钥校验值,在所述第二密钥校验值与所述第一密钥校验值一致时,保存所述第二会话密钥,所述第二会话密钥与所述第一会话密钥为所述已配网设备与所述未配网设备之间的会话密钥,其中,所述已配网设备根据所述预设算法对所述第一会话密钥加密生成第一密钥校验值,并将所述已配网设备公钥证书以及所述第一密钥校验值返回至所述未配网设备。
本实施例中,已配网设备公钥可以是已配网设备生成,也可以从已配网设备公钥证书中提取,其中,已配网设备公钥证书可以通过解密预设服务器得到。未配网设备对已配网设备公钥证书中的签名结果进行验签,在验签通过时,通过根公钥索引来提取已配网设备公钥证书中的公钥。该种方式增加了证书的随机性。需要说明的是,预设服务器可以是License服务器。
在从已配网设备公钥证书中提取已配网设备公钥之前,未配网设备对已配网设备公钥证书进行验证。具体地,已配网设备公钥证书中包括证书格式、证书序列号、哈希算法标识、已配网设备公钥算法标识、已配网设备公钥、签名结果以及第四哈希值,其中,签名结果为预设服务器利用预设服务器私钥对第四哈希值进行签名得到的,第四哈希值是预设服务器对预设信息进行哈希运算得到的,预设信息包括证书格式、证书序列号、哈希算法标识、已配网设备公钥算法标识以及已配网设备公钥。
未配网设备利用预设服务器公钥解密已配网设备公钥证书中的签名结果,得到第六哈希值,在第六哈希值与第四哈希值一致时,未配网设备对已配网设备证书中的预设信息进行哈希运算得到第五哈希值,在第五哈希值与第四哈希值一致时,则判定证书合法,则从已配网设备证书中提取已配网设备公钥。
在第十八实施例中,未配网设备从已配网设备公钥证书中提取已配网设备公钥,这样,实现已配网设备与未配网设备之间的证书互验,加强了未配网设备与已配网设备之间密钥协商的安全性。
在第十九实施例中,如图20所示,在上述图13至图19任一项所示的实施例基础上,所述从所述已配网设备公钥证书中提取所述已配网设备公钥的步骤之前,还包括:
步骤S206、对所述已配网设备公钥证书中的预设信息进行哈希运算,得到第五哈希值,所述预设信息包括证书格式、证书序列号、哈希算法标识、已配网设备公钥算法标识以及所述已配网设备公钥中的至少一个;
步骤S207、判断所述第五哈希值与所述设备公钥证书中的第四哈希值是否一致;
步骤S208、在所述第五哈希值与所述已配网设备公钥证书中的第四哈希值一致时,则执行所述从所述已配网设备公钥证书中提取所述已配网设备公钥的步骤。
在从已配网设备公钥证书中提取已配网设备公钥之前,未配网设备对已配网设备公钥证书进行验证。具体地,已配网设备公钥证书中包括证书格式、证书序列号、哈希算法标识、已配网设备公钥算法标识、已配网设备公钥、签名结果以及第四哈希值,其中,签名结果为预设服务器利用预设服务器私钥对第四哈希值进行签名得到的,第四哈希值是预设服务器对预设信息进行哈希运算得到的,预设信息包括证书格式、证书序列号、哈希算法标识、已配网设备公钥算法标识以及已配网设备公钥。
未配网设备对已配网设备证书中的预设信息进行哈希运算得到第五哈希值,在第五哈希值与第四哈希值一致时,则判定未配网设备公钥证书合法,则从未配网设备公钥证书中提取未配网设备公钥。
在第十九实施例中,已配网设备对未配网设备公钥证书中的预设信息进行哈希计算,得到第二哈希值,并在第二哈希值与未配网设备公钥证书中的第一哈希值一致时,则从未配网设备公钥证书中提取未配网设备公钥。这样,保证了证书的合法性。
在第二十实施例中,如图21所示,在上述图13至图20任一项所示的实施例基础上,所述对所述已配网设备公钥证书中的预设信息进行哈希运算的步骤之前,还包括:
步骤S209、利用预设服务器公钥解密所述已配网设备公钥证书中的签名结果,得到第六哈希值,其中,所述签名结果为云服务器利用预设服务器私钥对所述第四哈希值进行加密得到;
步骤S210、判断所述第六哈希值与所述第四哈希值是否一致;
步骤S211、在所述第六哈希值与所述第四哈希值一致时,执行所述对所述已配网设备公钥证书中的预设信息进行哈希运算的步骤。
在从已配网设备公钥证书中提取已配网设备公钥之前,未配网设备对已配网设备公钥证书进行验证。具体地,已配网设备公钥证书中包括证书格式、证书序列号、哈希算法标识、已配网设备公钥算法标识、已配网设备公钥、签名结果以及第四哈希值,其中,签名结果为预设服务器利用预设服务器私钥对第四哈希值进行签名得到的,第四哈希值是预设服务器对预设信息进行哈希运算得到的,预设信息包括证书格式、证书序列号、哈希算法标识、已配网设备公钥算法标识以及已配网设备公钥。
未配网设备利用预设服务器公钥解密已配网设备公钥证书中的签名结果,得到第六哈希值,在第六哈希值与第四哈希值一致时,未配网设备对已配网设备证书中的预设信息进行哈希运算得到第五哈希值,在第五哈希值与第四哈希值一致时,则判定证书合法,则从已配网设备证书中提取已配网设备公钥。需要说明的是,预设服务器可以是License服务器。
在第二十实施例中,未配网设备解密已配网设备公钥证书中的签名结果,得到第六哈希值,在第六哈希值与已配网设备公钥证书中的第四哈希值一致时,则对已配网设备公钥证书中的预设信息进行哈希运算。这样,进一步保证了证书的合法性。
此外,本发明还提出一种已配网设备,所述已配网设备包括存储器、处理器及存储在存储器上并可在处理器上运行的密钥协商程序,所述处理器执行如上述已配网设备为执行主体下的所述密钥协商方法的步骤。
此外,本发明还提出一种未配网设备,所述未配网设备包括存储器、处理器及存储在存储器上并可在处理器上运行的密钥协商程序,所述处理器执行如上述未配网设备为执行主体下的所述密钥协商方法的步骤。
此外,本发明还提出一种计算机可读存储介质,所述计算机可读存储介质包括密钥协商程序,所述密钥协商程序被处理器执行时实现如以上实施例所述的密钥协商方法的步骤。
此外,本发明还提出一种密钥协商系统,所述密钥协商系统包括上述已配网设备,以及上述未配网设备。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台(可以是电视机,手机,计算机,服务器,空调器,或者网络等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (24)
1.一种密钥协商方法,其特征在于,所述密钥协商方法包括以下步骤:
已配网设备在发现未配网设备时,则生成第一随机数,并将所述第一随机数发送至所述未配网设备,其中,所述未配网设备在接收到所述第一随机数时,利用未配网设备私钥对所述第一随机数进行加密得到密文数据,并根据所述密文数据以及未配网设备公钥生成密钥协商请求报文并发送至所述已配网设备;
所述已配网设备在接收到所述密钥协商请求报文时,根据所述密钥协商请求报文获取所述未配网设备公钥以及所述密文数据;
通过所述未配网设备公钥对所述密文数据进行解密得到第二随机数;
在所述第二随机数与所述第一随机数一致时,则所述已配网设备与所述未配网设备进行密钥协商。
2.如权利要求1所述的密钥协商方法,其特征在于,所述根据所述密钥协商请求报文获取所述未配网设备公钥的步骤包括:
所述已配网设备从所述密钥协商请求报文中提取未配网设备公钥证书以及根公钥索引;
根据所述根公钥索引从所述未配网设备公钥证书中提取所述未配网设备公钥。
3.如权利要求2所述的密钥协商方法,其特征在于,所述根据所述根公钥索引从所述未配网设备公钥证书中提取所述未配网设备公钥的步骤之前,还包括:
对所述未配网设备公钥证书中的预设信息进行哈希运算,得到第二哈希值,所述预设信息包括证书格式、证书序列号、哈希算法标识、未配网设备公钥算法标识以及所述未配网设备公钥中的至少一个;
在所述第二哈希值与所述未配网设备公钥证书中的第一哈希值一致时,则执行所述根据所述根公钥索引从所述未配网设备公钥证书中提取所述未配网设备公钥的步骤。
4.如权利要求3所述的密钥协商方法,其特征在于,所述对所述未配网设备公钥证书中的预设信息进行哈希运算的步骤之前,还包括:
利用预设服务器公钥解密所述设备公钥证书中的签名结果,得到第三哈希值,其中,所述签名结果为云服务器利用预设服务器私钥对所述第一哈希值进行加密得到;
在所述第三哈希值与所述第一哈希值一致时,执行所述对所述未配网设备公钥证书中的预设信息进行哈希运算的步骤。
5.如权利要求1所述的密钥协商方法,其特征在于,所述已配网设备与所述未配网设备进行密钥协商的步骤包括:
所述已配网设备根据所述未配网设备公钥以及已配网设备私钥生成并保存第一会话密钥;
将已配网设备公钥返回至所述未配网设备,以供所述未配网设备在接收到所述已配网设备公钥时,根据所述已配网设备公钥以及未配网设备私钥生成并保存第二会话密钥,其中,所述第二会话密钥与所述第一会话密钥为所述已配网设备与所述未配网设备之间的会话密钥。
6.如权利要求5所述的密钥协商方法,其特征在于,所述已配网设备根据所述未配网设备公钥以及已配网设备私钥生成并保存第一会话密钥的步骤包括:
将所述未配网设备公钥与所述已配网设备私钥进行拼接,得到拼接结果;
将所述拼接结果作为所述第一会话密钥。
7.如权利要求5所述的密钥协商方法,其特征在于,所述已配网设备根据所述未配网设备公钥以及已配网设备私钥生成并保存第一会话密钥的步骤之后,还包括:
根据预设算法对所述第一会话密钥加密生成第一密钥校验值;
将所述已配网设备公钥以及所述第一密钥校验值返回至所述未配网设备,其中,所述未配网设备在接收到所述已配网设备公钥以及所述第一密钥校验值时,根据所述已配网设备公钥以及所述未配网设备私钥生成第二会话密钥,并根据所述预设算法对所述第二会话密钥加密生成第二密钥校验值,在所述第二密钥校验值与所述第一密钥校验值一致时,保存所述第二会话密钥,所述第二会话密钥与所述第一会话密钥为所述已配网设备与所述未配网设备之间的会话密钥。
8.如权利要求7所述的密钥协商方法,其特征在于,所述根据预设算法对所述第一会话密钥加密生成第一密钥校验值的步骤包括:
根据所述第一会话密钥对预定字节进行加密,得到加密结果;
将所述加密结果的预设字节作为所述第一密钥校验值。
9.如权利要求7所述的密钥协商方法,其特征在于,所述将所述已配网设备公钥以及所述第一密钥校验值返回至所述未配网设备的步骤之后,还包括:
所述已配网设备在接收到所述未配网设备返回的密钥协商确认信息时,利用所述会话密钥解密所述密钥协商确认信息得到解密结果;
在所述解密结果中包含预设字段时,则利用所述第一会话密钥加密配网信息,并将加密后的配网信息发送至所述未配网设备,以供所述未配网设备进行配网。
10.如权利要求7所述的密钥协商方法,其特征在于,所述根据预设算法对所述第一会话密钥加密生成第一密钥校验值的步骤之后,还包括:
将已配网设备公钥证书以及所述第一密钥校验值返回至所述未配网设备,其中,所述未配网设备在接收到所述已配网设备公钥证书以及所述第一密钥校验值时,对所述已配网设备公钥证书进行验签,并在验签通过后,从所述已配网设备公钥证书中提取所述已配网设备公钥,根据所述已配网设备公钥以及所述未配网设备私钥生成第二会话密钥,并根据所述预设算法对所述第二会话密钥加密生成第二密钥校验值,在所述第二密钥校验值与所述第一密钥校验值一致时,保存所述第二会话密钥,所述第二会话密钥与所述第一会话密钥为所述已配网设备与所述未配网设备之间的会话密钥。
11.如权利要求1所述的密钥协商方法,其特征在于,所述通过所述未配网设备公钥对所述密文数据进行解密得到第二随机数的步骤之后,还包括:
在所述第二随机数与所述第一随机数不一致时,则断开所述已配网设备与所述未配网设备之间的连接。
12.一种密钥协商方法,其特征在于,所述密钥协商方法包括以下步骤:
未配网设备在接收到已配网设备发送的第一随机数时,利用未配网设备私钥对所述第一随机数进行加密得到密文数据,并根据所述密文数据以及未配网设备公钥生成密钥协商请求报文并发送至所述已配网设备,其中,所述已配网设备在接收到所述密钥协商请求报文时,根据所述密钥协商请求报文获取所述未配网设备公钥以及所述密文数据,通过所述未配网设备公钥对所述密文数据进行解密得到第二随机数,并在所述第二随机数与所述第一随机数一致时,则所述未配网设备与所述已配网设备进行密钥协商。
13.如权利要求12所述的密钥协商方法,其特征在于,所述未配网设备与所述已配网设备进行密钥协商的步骤包括:
所述未配网设备在接收到所述已配网设备公钥时,根据所述已配网设备公钥以及未配网设备私钥生成并保存第二会话密钥,所述第二会话密钥与第一会话密钥为所述已配网设备与所述未配网设备之间的会话密钥,其中,所述已配网设备根据所述未配网设备公钥以及已配网设备私钥生成并保存所述第一会话密钥,并将所述已配网设备公钥返回至所述未配网设备。
14.如权利要求13所述的密钥协商方法,其特征在于,所述根据所述已配网设备公钥以及未配网设备私钥生成并保存第二会话密钥的步骤包括:
将所述已配网设备公钥与所述未配网设备私钥进行拼接,得到拼接结果;
将所述拼接结果作为所述第二会话密钥。
15.如权利要求13所述的密钥协商方法,其特征在于,所述第二会话密钥与第一会话密钥为所述已配网设备与所述未配网设备之间的会话密钥的步骤之后,还包括:
所述未配网设备在接收到所述已配网设备公钥以及第一密钥校验值时,根据所述已配网设备公钥以及所述未配网设备私钥生成第二会话密钥,并根据预设算法对所述第二会话密钥加密生成第二密钥校验值,在所述第二密钥校验值与所述第一密钥校验值一致时,保存所述第二会话密钥,所述第二会话密钥与所述第一会话密钥为所述已配网设备与所述未配网设备之间的会话密钥,其中,所述已配网设备根据所述预设算法对所述第一会话密钥加密生成第一密钥校验值,并将所述已配网设备公钥以及所述第一密钥校验值返回至所述未配网设备。
16.如权利要求15所述的密钥协商方法,其特征在于,所述根据预设算法对所述第二会话密钥加密生成第二密钥校验值的步骤包括:
根据所述第二会话密钥对预定字节进行加密,得到加密结果;
将所述加密结果的预设字节作为所述第二密钥校验值。
17.如权利要求15所述的密钥协商方法,其特征在于,所述第二会话密钥与所述第一会话密钥为所述已配网设备与所述未配网设备之间的会话密钥的步骤之后,还包括:
所述未配网设备利用所述第二会话密钥对预设字段进行加密,得到密钥协商确认信息;
将所述密钥协商确认信息发送至所述已配网设备,以供所述已配网设备在接收到所述密钥协商确认信息时,利用所述第一会话密钥解密所述密钥协商确认信息得到解密结果,在所述解密结果中包含所述预设字段时,则利用所述第一会话密钥加密配网信息,并将加密后的配网信息发送至所述未配网设备。
18.如权利要求13所述的密钥协商方法,其特征在于,所述第二会话密钥与第一会话密钥为所述已配网设备与所述未配网设备之间的会话密钥的步骤之后,还包括:
所述未配网设备在接收到已配网设备公钥证书以及所述第一密钥校验值时,从所述已配网设备公钥证书中提取所述已配网设备公钥,根据所述已配网设备公钥以及所述未配网设备私钥生成第二会话密钥,并根据所述预设算法对所述第二会话密钥加密生成第二密钥校验值,在所述第二密钥校验值与所述第一密钥校验值一致时,保存所述第二会话密钥,所述第二会话密钥与所述第一会话密钥为所述已配网设备与所述未配网设备之间的会话密钥,其中,所述已配网设备根据所述预设算法对所述第一会话密钥加密生成第一密钥校验值,并将所述已配网设备公钥证书以及所述第一密钥校验值返回至所述未配网设备。
19.如权利要求18所述的密钥协商方法,其特征在于,所述从所述已配网设备公钥证书中提取所述已配网设备公钥的步骤之前,还包括:
对所述已配网设备公钥证书中的预设信息进行哈希运算,得到第五哈希值,所述预设信息包括证书格式、证书序列号、哈希算法标识、已配网设备公钥算法标识以及所述已配网设备公钥中的至少一个;
在所述第五哈希值与所述已配网设备公钥证书中的第四哈希值一致时,则执行所述从所述已配网设备公钥证书中提取所述已配网设备公钥的步骤。
20.如权利要求19所述的密钥协商方法,其特征在于,所述对所述已配网设备公钥证书中的预设信息进行哈希运算的步骤之前,还包括:
利用预设服务器公钥解密所述已配网设备公钥证书中的签名结果,得到第六哈希值,其中,所述签名结果为云服务器利用预设服务器私钥对所述第一哈希值进行加密得到;
在所述第六哈希值与所述第四哈希值一致时,执行所述对所述已配网设备公钥证书中的预设信息进行哈希运算的步骤。
21.一种已配网设备,其特征在于,所述云服务器包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的密钥协商程序,所述密钥协商程序被所述处理器执行时实现如权利要求1至11中任一项所述的密钥协商方法的步骤。
22.一种未配网设备,其特征在于,所述设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的密钥协商程序,所述密钥协商程序被所述处理器执行时实现如权利要求12至20中任一项所述的密钥协商方法的步骤。
23.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有密钥协商程序,所述密钥协商程序被处理器执行时实现如权利要求1至20中任一项所述的密钥协商方法的步骤。
24.一种密钥协商系统,其特征在于,所述密钥协商系统包括如权利要求21中所述的已配网设备,以及如权利要求22中所述的未配网设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811301521.5A CN109245885A (zh) | 2018-11-02 | 2018-11-02 | 密钥协商方法、设备、存储介质以及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811301521.5A CN109245885A (zh) | 2018-11-02 | 2018-11-02 | 密钥协商方法、设备、存储介质以及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109245885A true CN109245885A (zh) | 2019-01-18 |
Family
ID=65076508
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811301521.5A Pending CN109245885A (zh) | 2018-11-02 | 2018-11-02 | 密钥协商方法、设备、存储介质以及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109245885A (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110138772A (zh) * | 2019-05-13 | 2019-08-16 | 上海英恒电子有限公司 | 一种通信方法、装置、系统、设备和存储介质 |
CN110300396A (zh) * | 2019-05-27 | 2019-10-01 | 苏宁智能终端有限公司 | 智能设备的wifi配网方法、装置及终端 |
CN110958308A (zh) * | 2019-11-22 | 2020-04-03 | 青岛海尔科技有限公司 | 一种用于配网的方法和物联设备、接入设备 |
CN112040485A (zh) * | 2020-11-02 | 2020-12-04 | 杭州涂鸦信息技术有限公司 | 局域网密钥协商方法、系统和计算机可读存储介质 |
CN112492609A (zh) * | 2020-12-07 | 2021-03-12 | 广州大学 | 一种基于Wi-Fi信号波动的IoT设备安全自动配对方法及装置 |
CN114793178A (zh) * | 2022-05-07 | 2022-07-26 | 北京百度网讯科技有限公司 | 配网方法和装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102480713A (zh) * | 2010-11-25 | 2012-05-30 | 中国移动通信集团河南有限公司 | 一种汇聚节点与移动通信网络间的通信方法、系统及装置 |
EP2903204A1 (en) * | 2014-02-03 | 2015-08-05 | Tata Consultancy Services Limited | A computer implemented system and method for lightweight authentication on datagram transport for internet of things |
CN105847002A (zh) * | 2016-06-06 | 2016-08-10 | 北京京东尚科信息技术有限公司 | 多方通信中共享密钥的方法 |
US20160234020A1 (en) * | 2013-09-10 | 2016-08-11 | M2M And Lot Technologies, Llc | Key Derivation for a Module Using an Embedded Universal Integrated Circuit Card |
-
2018
- 2018-11-02 CN CN201811301521.5A patent/CN109245885A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102480713A (zh) * | 2010-11-25 | 2012-05-30 | 中国移动通信集团河南有限公司 | 一种汇聚节点与移动通信网络间的通信方法、系统及装置 |
US20160234020A1 (en) * | 2013-09-10 | 2016-08-11 | M2M And Lot Technologies, Llc | Key Derivation for a Module Using an Embedded Universal Integrated Circuit Card |
EP2903204A1 (en) * | 2014-02-03 | 2015-08-05 | Tata Consultancy Services Limited | A computer implemented system and method for lightweight authentication on datagram transport for internet of things |
CN105847002A (zh) * | 2016-06-06 | 2016-08-10 | 北京京东尚科信息技术有限公司 | 多方通信中共享密钥的方法 |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110138772A (zh) * | 2019-05-13 | 2019-08-16 | 上海英恒电子有限公司 | 一种通信方法、装置、系统、设备和存储介质 |
CN110300396A (zh) * | 2019-05-27 | 2019-10-01 | 苏宁智能终端有限公司 | 智能设备的wifi配网方法、装置及终端 |
CN110958308A (zh) * | 2019-11-22 | 2020-04-03 | 青岛海尔科技有限公司 | 一种用于配网的方法和物联设备、接入设备 |
CN110958308B (zh) * | 2019-11-22 | 2022-08-02 | 青岛海尔科技有限公司 | 一种用于配网的方法和物联设备、接入设备 |
CN112040485A (zh) * | 2020-11-02 | 2020-12-04 | 杭州涂鸦信息技术有限公司 | 局域网密钥协商方法、系统和计算机可读存储介质 |
CN112492609A (zh) * | 2020-12-07 | 2021-03-12 | 广州大学 | 一种基于Wi-Fi信号波动的IoT设备安全自动配对方法及装置 |
CN112492609B (zh) * | 2020-12-07 | 2021-05-18 | 广州大学 | 一种基于Wi-Fi信号波动的IoT设备安全自动配对方法及装置 |
CN114793178A (zh) * | 2022-05-07 | 2022-07-26 | 北京百度网讯科技有限公司 | 配网方法和装置 |
CN114793178B (zh) * | 2022-05-07 | 2023-02-17 | 北京百度网讯科技有限公司 | 配网方法、装置、设备和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109005028A (zh) | 密钥协商方法、云服务器、设备、存储介质以及系统 | |
CN109120649A (zh) | 密钥协商方法、云服务器、设备、存储介质以及系统 | |
CN109245885A (zh) | 密钥协商方法、设备、存储介质以及系统 | |
CN109039628A (zh) | 密钥协商方法、云服务器、设备、存储介质以及系统 | |
CN109040149A (zh) | 密钥协商方法、云服务器、设备、存储介质以及系统 | |
CN109150835B (zh) | 云端数据存取的方法、装置、设备及计算机可读存储介质 | |
CN103888251B (zh) | 一种云环境中虚拟机可信保障的方法 | |
CN110177354A (zh) | 一种车辆的无线控制方法及系统 | |
CN103685323B (zh) | 一种基于智能云电视网关的智能家居安全组网实现方法 | |
CN106375287B (zh) | 新能源汽车的充电方法 | |
CN109802825A (zh) | 一种数据加密、解密的方法、系统及终端设备 | |
CN109150526A (zh) | 密钥协商方法、设备、终端、存储介质以及系统 | |
CN105162599B (zh) | 一种数据传输系统及其传输方法 | |
CN110198295A (zh) | 安全认证方法和装置及存储介质 | |
CN106161350B (zh) | 一种管理应用标识的方法及装置 | |
CN109039657A (zh) | 密钥协商方法、设备、终端、存储介质以及系统 | |
CN106797317A (zh) | 安全共享密钥共享系统及方法 | |
CN104468126B (zh) | 一种安全通信系统及方法 | |
CN109039627A (zh) | 密钥协商方法、设备、存储介质以及系统 | |
CN105227537A (zh) | 用户身份认证方法、终端和服务端 | |
JP2012530311A5 (zh) | ||
CN105429945B (zh) | 一种数据传输的方法、装置及系统 | |
CN109257170A (zh) | 密钥协商方法、设备、终端、存储介质以及系统 | |
CN106817346B (zh) | 一种数据传输方法、装置及电子设备 | |
CN110113745A (zh) | 车载设备的验证方法、服务器、车载设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190118 |
|
RJ01 | Rejection of invention patent application after publication |