CN110351080A - 一种密钥交换方法和装置 - Google Patents
一种密钥交换方法和装置 Download PDFInfo
- Publication number
- CN110351080A CN110351080A CN201910626503.2A CN201910626503A CN110351080A CN 110351080 A CN110351080 A CN 110351080A CN 201910626503 A CN201910626503 A CN 201910626503A CN 110351080 A CN110351080 A CN 110351080A
- Authority
- CN
- China
- Prior art keywords
- key
- view
- depending
- networking
- streaming media
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
Abstract
本发明实施例提供了一种密钥交换方法和装置,应用于视联网客户端,视联网客户端通过视联网核心服务器与视联网流媒体服务器通信连接;包括:所述视联网客户端向所述视联网流媒体服务器发送建立连接请求;其中,所述建立连接请求包括第一公开数;接收所述视联网流媒体服务器针对所述建立连接请求返回的请求应答消息;其中,所述请求应答消息包括第二公开数;根据所述第二公开数,生成第一密钥;采用所述第一密钥,对待传输的视联网协议数据进行加密,得到加密数据,并发送至所述视联网流媒体服务器,实现了密钥在视联网环境中的安全交换,并利用密钥对数据进行加密,提高了视联网协议数据传输时的安全性,有效防止数据泄露。
Description
技术领域
本发明涉及视联网技术领域,特别是涉及一种密钥交换方法和装置。
背景技术
随着科技的发展,视联网技术得到了越来越广泛的应用,如高清视频会议、视频监控、电视邮件、个性录制等,视联网技术为生活娱乐以及办公带来了极大的便利。
在视联网中,视联网终端通过明文方式进行数据传输,即采用未加密的数据在各个视联网终端中进行传输,虽然通信的视联网终端可以协商在加密数据和解密数据时使用的密钥,对未加密的数据进行加密以提高数据安全,然而,在交换密钥时,会产生密匙在传输过程中泄露的风险,安全性较低。
发明内容
鉴于上述问题,提出了本发明以便提供克服上述问题或者至少部分地解决上述问题的一种密钥交换方法和装置,包括:
一种密钥交换方法,应用于视联网客户端,所述视联网客户端通过视联网核心服务器与视联网流媒体服务器通信连接;
所述方法包括:
所述视联网客户端向所述视联网流媒体服务器发送建立连接请求;其中,所述建立连接请求包括第一公开数;
所述视联网客户端接收所述视联网流媒体服务器针对所述建立连接请求返回的请求应答消息;其中,所述请求应答消息包括第二公开数;
所述视联网客户端根据所述第二公开数,生成第一密钥;
所述视联网客户端采用所述第一密钥,对待传输的视联网协议数据进行加密,得到加密数据,并发送至所述视联网流媒体服务器;其中,所述视联网流媒体服务器用于根据所述第一公开数,生成第二密钥,并采用所述第二密钥,对所述加密数据进行解密。
可选地,所述第一公开数采用如下方式生成:
所述视联网客户端生成第一随机数;
所述视联网客户端结合所述第一随机数和预设参数,生成第一公开数。
可选地,所述根据所述第二公开数,生成第一密钥的步骤包括:
所述视联网客户端结合所述第二公开数、所述第一随机数以及所述预设参数,生成第一密钥。
可选地,所述采用所述第一密钥,对待传输的视联网协议数据进行加密,得到加密数据的步骤包括:
获取预设加密函数,并将所述第一密钥设置为预设加密函数的参数;
采用所述预设加密函数,对待传输的视联网协议数据进行加密,得到加密数据。
一种密钥交换方法,应用于视联网流媒体服务器,所述视联网流媒体服务器通过视联网核心服务器与视联网客户端通信连接;
所述方法包括:
所述视联网流媒体服务器接收所述视联网客户端发送的建立连接请求;其中,所述建立连接请求包括第一公开数;
所述视联网流媒体服务器针对所述建立连接请求返回请求应答消息至所述视联网客户端;其中,所述请求应答消息包括第二公开数;
所述视联网流媒体服务器根据所述第一公开数,生成第二密钥;
所述视联网流媒体服务器接收所述视联网客户端发送的加密数据,并采用所述第二密钥,对所述加密数据进行解密;其中,所述视联网客户端用于根据所述第二公开数,生成第一密钥,并采用所述第一密钥,对待传输的视联网协议数据进行加密,得到加密数据。
一种密钥交换装置,应用于视联网客户端,所述视联网客户端通过视联网核心服务器与视联网流媒体服务器通信连接;
所述装置包括:
建立连接请求发送模块,用于向所述视联网流媒体服务器发送建立连接请求;其中,所述建立连接请求包括第一公开数;
请求应答消息接收模块,用于接收所述视联网流媒体服务器针对所述建立连接请求返回的请求应答消息;其中,所述请求应答消息包括第二公开数;
第一密钥生成模块,用于根据所述第二公开数,生成第一密钥;
加密数据生成模块,用于采用所述第一密钥,对待传输的视联网协议数据进行加密,得到加密数据,并发送至所述视联网流媒体服务器;其中,所述视联网流媒体服务器用于根据所述第一公开数,生成第二密钥,并采用所述第二密钥,对所述加密数据进行解密。
可选地,所述装置还包括:
第一随机数生成模块,用于生成第一随机数;
第一公开数生成模块,用于结合所述第一随机数和预设参数,生成第一公开数。
可选地,所述第一密钥生成模块包括:
第一密钥计算模块,用于结合所述第二公开数、所述第一随机数以及所述预设参数,生成第一密钥。
可选地,所述加密数据生成模块包括:
加密函数获取子模块,用于获取预设加密函数,并将所述第一密钥设置为预设加密函数的参数;
加密函数加密子模块,用于采用所述预设加密函数,对待传输的视联网协议数据进行加密,得到加密数据。
一种密钥交换装置,应用于视联网流媒体服务器,所述视联网流媒体服务器通过视联网核心服务器与视联网客户端通信连接;
所述装置包括:
建立连接请求接收模块,用于接收所述视联网客户端发送的建立连接请求;其中,所述建立连接请求包括第一公开数;
请求应答消息返回模块,用于针对所述建立连接请求返回请求应答消息至所述视联网客户端;其中,所述请求应答消息包括第二公开数;
第二密钥生成模块,用于根据所述第一公开数,生成第二密钥;
加密数据解密模块,用于接收所述视联网客户端发送的加密数据,并采用所述第二密钥,对所述加密数据进行解密;其中,所述视联网客户端用于根据所述第二公开数,生成第一密钥,并采用所述第一密钥,对待传输的视联网协议数据进行加密,得到加密数据。
本发明实施例具有以下优点:
在本申请实施例中,通过向视联网流媒体服务器发送建立连接请求,接收视联网流媒体服务器针对建立连接请求返回的请求应答消息,其中,请求应答消息包括第二公开数,并根据第二公开数,生成第一密钥,采用第一密钥,对待传输的视联网协议数据进行加密,得到加密数据,并发送至视联网流媒体服务器,实现了密钥在视联网环境中的安全交换,并利用密钥对数据进行加密,提高了视联网协议数据传输时的安全性,有效防止数据泄露。
附图说明
为了更清楚地说明本发明的技术方案,下面将对本发明的描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种视联网的组网示意图;
图2是本发明一实施例提供的一种节点服务器的硬件结构示意图;
图3是本发明一实施例提供的一种接入交换机的硬件结构示意图;
图4是本发明一实施例提供的一种以太网协转网关的硬件结构示意图;
图5是本发明一实施例提供的一种密钥交换方法的步骤流程图;
图6是本发明一实施例提供的视联网终端连接示意图;
图7是本发明一实施例提供的另一种密钥交换方法的步骤流程图;
图8是本发明一实施例提供的一种密钥交换装置的结构框图;
图9是本发明一实施例提供的另一种密钥交换装置的结构框图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
视联网是网络发展的重要里程碑,是一个实时网络,能够实现高清视频实时传输,将众多互联网应用推向高清视频化,高清面对面。
视联网采用实时高清视频交换技术,可以在一个网络平台上将所需的服务,如高清视频会议、视频监控、智能化监控分析、应急指挥、数字广播电视、延时电视、网络教学、现场直播、VOD点播、电视邮件、个性录制(PVR)、内网(自办)频道、智能化视频播控、信息发布等数十种视频、语音、图片、文字、通讯、数据等服务全部整合在一个系统平台,通过电视或电脑实现高清品质视频播放。
为使本领域技术人员更好地理解本发明实施例,以下对视联网进行介绍:
视联网所应用的部分技术如下所述:
网络技术(Network Technology)
视联网的网络技术创新改良了传统以太网(Ethernet),以面对网络上潜在的巨大视频流量。不同于单纯的网络分组包交换(Packet Switching)或网络电路交换(CircuitSwitching),视联网技术采用Packet Switching满足Streaming需求。视联网技术具备分组交换的灵活、简单和低价,同时具备电路交换的品质和安全保证,实现了全网交换式虚拟电路,以及数据格式的无缝连接。
交换技术(Switching Technology)
视联网采用以太网的异步和包交换两个优点,在全兼容的前提下消除了以太网缺陷,具备全网端到端无缝连接,直通用户终端,直接承载IP数据包。用户数据在全网范围内不需任何格式转换。视联网是以太网的更高级形态,是一个实时交换平台,能够实现目前互联网无法实现的全网大规模高清视频实时传输,将众多网络视频应用推向高清化、统一化。
服务器技术(Server Technology)
视联网和统一视频平台上的服务器技术不同于传统意义上的服务器,它的流媒体传输是建立在面向连接的基础上,其数据处理能力与流量、通讯时间无关,单个网络层就能够包含信令及数据传输。对于语音和视频业务来说,视联网和统一视频平台流媒体处理的复杂度比数据处理简单许多,效率比传统服务器大大提高了百倍以上。
储存器技术(Storage Technology)
统一视频平台的超高速储存器技术为了适应超大容量和超大流量的媒体内容而采用了最先进的实时操作系统,将服务器指令中的节目信息映射到具体的硬盘空间,媒体内容不再经过服务器,瞬间直接送达到用户终端,用户等待一般时间小于0.2秒。最优化的扇区分布大大减少了硬盘磁头寻道的机械运动,资源消耗仅占同等级IP互联网的20%,但产生大于传统硬盘阵列3倍的并发流量,综合效率提升10倍以上。
网络安全技术(Network Security Technology)
视联网的结构性设计通过每次服务单独许可制、设备与用户数据完全隔离等方式从结构上彻底根除了困扰互联网的网络安全问题,一般不需要杀毒程序、防火墙,杜绝了黑客与病毒的攻击,为用户提供结构性的无忧安全网络。
服务创新技术(Service Innovation Technology)
统一视频平台将业务与传输融合在一起,不论是单个用户、私网用户还是一个网络的总合,都不过是一次自动连接。用户终端、机顶盒或PC直接连到统一视频平台,获得丰富多彩的各种形态的多媒体视频服务。统一视频平台采用“菜谱式”配表模式来替代传统的复杂应用编程,可以使用非常少的代码即可实现复杂的应用,实现“无限量”的新业务创新。
视联网的组网如下所述:
视联网是一种集中控制的网络结构,该网络可以是树型网、星型网、环状网等等类型,但在此基础上网络中需要有集中控制节点来控制整个网络。
如图1所示,视联网分为接入网和城域网两部分。
接入网部分的设备主要可以分为3类:节点服务器,接入交换机,终端(包括各种机顶盒、编码板、存储器等)。节点服务器与接入交换机相连,接入交换机可以与多个终端相连,并可以连接以太网。
其中,节点服务器是接入网中起集中控制功能的节点,可控制接入交换机和终端。节点服务器可直接与接入交换机相连,也可以直接与终端相连。
类似的,城域网部分的设备也可以分为3类:城域服务器,节点交换机,节点服务器。城域服务器与节点交换机相连,节点交换机可以与多个节点服务器相连。
其中,节点服务器即为接入网部分的节点服务器,即节点服务器既属于接入网部分,又属于城域网部分。
城域服务器是城域网中起集中控制功能的节点,可控制节点交换机和节点服务器。城域服务器可直接连接节点交换机,也可直接连接节点服务器。
由此可见,整个视联网络是一种分层集中控制的网络结构,而节点服务器和城域服务器下控制的网络可以是树型、星型、环状等各种结构。
形象地称,接入网部分可以组成统一视频平台(虚线圈中部分),多个统一视频平台可以组成视联网;每个统一视频平台可以通过城域以及广域视联网互联互通。
1、视联网设备分类
1.1本发明实施例的视联网中的设备主要可以分为3类:服务器,交换机(包括以太网协转网关),终端(包括各种机顶盒,编码板,存储器等)。视联网整体上可以分为城域网(或者国家网、全球网等)和接入网。
1.2其中接入网部分的设备主要可以分为3类:节点服务器,接入交换机(包括以太网协转网关),终端(包括各种机顶盒,编码板,存储器等)。
各接入网设备的具体硬件结构为:
节点服务器:
如图2所示,主要包括网络接口模块201、交换引擎模块202、CPU模块203、磁盘阵列模块204;
其中,网络接口模块201,CPU模块203、磁盘阵列模块204进来的包均进入交换引擎模块202;交换引擎模块202对进来的包进行查地址表205的操作,从而获得包的导向信息;并根据包的导向信息把该包存入对应的包缓存器206的队列;如果包缓存器206的队列接近满,则丢弃;交换引擎模202轮询所有包缓存器队列,如果满足以下条件进行转发:1)该端口发送缓存未满;2)该队列包计数器大于零。磁盘阵列模块204主要实现对硬盘的控制,包括对硬盘的初始化、读写等操作;CPU模块203主要负责与接入交换机、终端(图中未示出)之间的协议处理,对地址表205(包括下行协议包地址表、上行协议包地址表、数据包地址表)的配置,以及,对磁盘阵列模块204的配置。
接入交换机:
如图3所示,主要包括网络接口模块(下行网络接口模块301、上行网络接口模块302)、交换引擎模块303和CPU模块304;
其中,下行网络接口模块301进来的包(上行数据)进入包检测模块305;包检测模块305检测包的目地地址(DA)、源地址(SA)、数据包类型及包长度是否符合要求,如果符合,则分配相应的流标识符(stream-id),并进入交换引擎模块303,否则丢弃;上行网络接口模块302进来的包(下行数据)进入交换引擎模块303;CPU模块304进来的数据包进入交换引擎模块303;交换引擎模块303对进来的包进行查地址表306的操作,从而获得包的导向信息;如果进入交换引擎模块303的包是下行网络接口往上行网络接口去的,则结合流标识符(stream-id)把该包存入对应的包缓存器307的队列;如果该包缓存器307的队列接近满,则丢弃;如果进入交换引擎模块303的包不是下行网络接口往上行网络接口去的,则根据包的导向信息,把该数据包存入对应的包缓存器307的队列;如果该包缓存器307的队列接近满,则丢弃。
交换引擎模块303轮询所有包缓存器队列,在本发明实施例中分两种情形:
如果该队列是下行网络接口往上行网络接口去的,则满足以下条件进行转发:1)该端口发送缓存未满;2)该队列包计数器大于零;3)获得码率控制模块产生的令牌;
如果该队列不是下行网络接口往上行网络接口去的,则满足以下条件进行转发:1)该端口发送缓存未满;2)该队列包计数器大于零。
码率控制模块308是由CPU模块304来配置的,在可编程的间隔内对所有下行网络接口往上行网络接口去的包缓存器队列产生令牌,用以控制上行转发的码率。
CPU模块304主要负责与节点服务器之间的协议处理,对地址表306的配置,以及,对码率控制模块308的配置。
以太网协转网关:
如图4所示,主要包括网络接口模块(下行网络接口模块401、上行网络接口模块402)、交换引擎模块403、CPU模块404、包检测模块405、码率控制模块408、地址表406、包缓存器407和MAC添加模块409、MAC删除模块410。
其中,下行网络接口模块401进来的数据包进入包检测模块405;包检测模块405检测数据包的以太网MAC DA、以太网MAC SA、以太网length or frame type、视联网目地地址DA、视联网源地址SA、视联网数据包类型及包长度是否符合要求,如果符合则分配相应的流标识符(stream-id);然后,由MAC删除模块410减去MAC DA、MAC SA、length or frame type(2byte),并进入相应的接收缓存,否则丢弃;
下行网络接口模块401检测该端口的发送缓存,如果有包则根据包的视联网目地地址DA获知对应的终端的以太网MAC DA,添加终端的以太网MAC DA、以太网协转网关的MACSA、以太网length or frame type,并发送。
以太网协转网关中其他模块的功能与接入交换机类似。
终端:
主要包括网络接口模块、业务处理模块和CPU模块;例如,机顶盒主要包括网络接口模块、视音频编解码引擎模块、CPU模块;编码板主要包括网络接口模块、视音频编码引擎模块、CPU模块;存储器主要包括网络接口模块、CPU模块和磁盘阵列模块。
1.3城域网部分的设备主要可以分为2类:节点服务器,节点交换机,城域服务器。其中,节点交换机主要包括网络接口模块、交换引擎模块和CPU模块;城域服务器主要包括网络接口模块、交换引擎模块和CPU模块构成。
2、视联网数据包定义
2.1接入网数据包定义
接入网的数据包主要包括以下几部分:目的地址(DA)、源地址(SA)、保留字节、payload(PDU)、CRC。
如下表所示,接入网的数据包主要包括以下几部分:
| DA | SA | Reserved | Payload | CRC |
其中:
目的地址(DA)由8个字节(byte)组成,第一个字节表示数据包的类型(例如各种协议包、组播数据包、单播数据包等),最多有256种可能,第二字节到第六字节为城域网地址,第七、第八字节为接入网地址;
源地址(SA)也是由8个字节(byte)组成,定义与目的地址(DA)相同;
保留字节由2个字节组成;
payload部分根据不同的数据报的类型有不同的长度,如果是各种协议包的话是64个字节,如果是单组播数据包话是32+1024=1056个字节,当然并不仅仅限于以上2种;
CRC有4个字节组成,其计算方法遵循标准的以太网CRC算法。
2.2城域网数据包定义
城域网的拓扑是图型,两个设备之间可能有2种、甚至2种以上的连接,即节点交换机和节点服务器、节点交换机和节点交换机、节点交换机和节点服务器之间都可能超过2种连接。但是,城域网设备的城域网地址却是唯一的,为了精确描述城域网设备之间的连接关系,在本发明实施例中引入参数:标签,来唯一描述一个城域网设备。
本说明书中标签的定义和MPLS(Multi-Protocol Label Switch,多协议标签交换)的标签的定义类似,假设设备A和设备B之间有两个连接,那么数据包从设备A到设备B就有2个标签,数据包从设备B到设备A也有2个标签。标签分入标签、出标签,假设数据包进入设备A的标签(入标签)是0x0000,这个数据包离开设备A时的标签(出标签)可能就变成了0x0001。城域网的入网流程是集中控制下的入网过程,也就意味着城域网的地址分配、标签分配都是由城域服务器主导的,节点交换机、节点服务器都是被动的执行而已,这一点与MPLS的标签分配是不同的,MPLS的标签分配是交换机、服务器互相协商的结果。
如下表所示,城域网的数据包主要包括以下几部分:
| DA | SA | Reserved | 标签 | Payload | CRC |
即目的地址(DA)、源地址(SA)、保留字节(Reserved)、标签、payload(PDU)、CRC。其中,标签的格式可以参考如下定义:标签是32bit,其中高16bit保留,只用低16bit,它的位置是在数据包的保留字节和payload之间。
参照图5,示出了本发明一实施例提供的一种密钥交换方法的步骤流程图,可以应用于视联网客户端,视联网客户端可以通过视联网核心服务器,与视联网流媒体服务器通信连接。
具体的,可以包括如下步骤:
步骤501,所述视联网客户端向所述视联网流媒体服务器发送建立连接请求;
其中,建立连接请求可以包括第一公开数,例如,第一公开数可以是一个位数为1024位的正整数。
当视联网客户端与视联网流媒体服务器建立视联网内的通信连接以进行数据交互前,视联网客户端可以通过视联网核心服务器,向视联网流媒体服务器发送一个建立连接请求。
为了提高视联网客户端与视联网流媒体服务器成功建立连接、进行数据传输时的安全,视联网客户端可以对发送至视联网流媒体服务器的视联网协议数据进行加密,在此过程中,视联网客户端和视联网流媒体服务器可以使用相同的密钥,以使视联网客户端加密的数据可以被视联网流媒体服务器解密。
在实际应用中,视联网客户端使用的密钥可以利用第一公开数生成,视联网客户端在向视联网流媒体服务器发送建立连接请求时,可以在建立连接请求中添加第一公开数,随建立连接请求发送至视联网流媒体服务器。
在本申请一实施例中,第一公开数可以采用如下方式生成:所述视联网客户端生成第一随机数;所述视联网客户端结合所述第一随机数和,生成第一公开数。
作为一示例,第一随机数可以是由视联网客户端随机生成的一个1024位长的正整数,预设参数可以是在视联网中预先设置的参数p和g,p可以是一个1024位长的正整数,g可以等于2,或者,可以令g为p的原根,利用该关系为g和p赋值。
在实际中,预设参数p和g可以是全局公开参数,即可以被视联网内任意一终端获取,也可以仅对视联网客户端和视联网流媒体服务器公开。在向视联网流媒体服务器发送建立连接请求前,视联网客户端可以随机生成第一随机数x1,并结合预设参数p、g以及公式y1=g^x1%p,得到一个1024位长的第一公开数y1。
步骤502,所述视联网客户端接收所述视联网流媒体服务器针对所述建立连接请求返回的请求应答消息;
其中,请求应答消息可以包括第二公开数,例如,第二公开书可以是由视联网流媒体服务器生成的一个1024位长的正整数。
在视联网客户端通过视联网核心服务器将建立连接请求发送至视联网流媒体服务器后,视联网流媒体服务器可以从建立连接请求中获取第一公开数。
响应于该建立连接请求,视联网流媒体服务器可以获取预设参数p和g,随机生成任意一个1024位长的数作为第二随机数x2,根据y2=g^x2%p计算得到第二公开数y2,并将该第二公开数携带在请求应答消息中,通过视联网核心服务器将请求应答消息返回至视联网客户端。
步骤503,所述视联网客户端根据所述第二公开数,生成第一密钥;
在接收到视联网流媒体服务器发送的请求应答消息后,视联网客户端可以从请求应答消息中获取第二公开数,并采用第二公开数进行计算,生成第一密钥。
具体的,步骤503可以包括如下子步骤:所述视联网客户端结合所述第二公开数、所述第一随机数以及所述预设参数,生成第一密钥。
在获取第二公开数y2后,视联网客户端可以结合之前获取的预设参数p和第一随机数x1,代入公式K1=y2^x1%p,得到运算结果,并将该运算结果确定为第一密钥。
步骤504,所述视联网客户端采用所述第一密钥,对待传输的视联网协议数据进行加密,得到加密数据,并发送至所述视联网流媒体服务器;
在采用第二公开数、第一随机数以及预设参数p和g计算得到第一密钥后,视联网客户端段可以利用第一密钥,对将要发送给视联网流媒体的视联网协议数据进行加密,生成加密数据,然后通过视联网核心服务器将加密数据发送至视联网流媒体服务器。
在本申请一实施例中,视联网流媒体服务器可以根据第一公开数,生成第二密钥,并采用第二密钥,对加密数据进行解密。
例如,在接收到建立连接请求后,视联网流媒体服务器可以根据第一公开数y1、第二随机数x2,以及预设参数p,采用公式K2=y1^x2%p,预先生成第二密钥,通过数学运算规则推导可以知道,视联网客户端生成的第一密钥的数值与视联网流媒体服务器生成的第二密钥的数值相等,即视联网客户端和视联网流媒体服务器拥有相同的密钥。
基于此,在视联网流媒体服务器获取到采用第一密钥进行加密的加密数据后,可以利用与第一密钥相同的第二密钥,对加密数据进行解密。
在本申请一实施例中,采用所述第一密钥,对待传输的视联网协议数据进行加密,得到加密数据的步骤可以包括如下子步骤:
获取预设加密函数,并将所述第一密钥设置为预设加密函数的参数;采用所述预设加密函数,对待传输的视联网协议数据进行加密,得到加密数据。
具体的,可以预先在视联网的数据库中存储多种对称加密函数,例如,AES(Advanced Encryption Standard,高级加密标准)加密算法、DES(Data EncryptionStandard,数据加密标准)加密算法等,在加密函数中,可以具有一个或多个可变参数,同一个加密函数在代入不同的参数后,即使是对同一数据进行加密,也可以得到不同的加密结果。
在生成第一密钥后,视联网客户端可以进一步从数据库中获取对称加密函数,并将第一密钥设定为一参数,代入到预设加密函数中,并采用该预设加密函数对待传输的视联网协议数据进行加密,以得到加密数据。
在一示例中,如图6中,在视联网客户端通过视联网核心服务器与视联网流媒体服务器连接时,视联网监控资源服务器可以连接至视联网核心服务器,以使视联网客户端、视联网流媒体服务器以及视联网监控资源服务器采用如上所述的密钥交换方式,进行多个视联网终端之间的密钥交换和数据传输。
在实际应用中,当用户准备使用视联网客户端与视联网流媒体服务器进行数据传输时,用户可以点击操作按键,以通知视联网客户端在通信时,对视联网协议数据加密再传输至视联网流媒体服务器,并且,在传输加密数据的过程中,视联网客户端与视联网流媒体服务器共享一个相同密钥,采用对称加密函数对数据进行加密或解密。
响应于用户操作,视联网客户端可以与视联网流媒体服务器进行密钥交换。视联网客户端可以先获取参数g和参数p,并随机生成第一随机数x1,并根据公式y1=g^x1%p计算第一公开数y1,然后可以将第一公开书添加至建立连接请求中,一起发送至视联网流媒体服务器。
视联网流媒体服务器接收建立连接请求后,从中获取第一公开数,可以得知视联网客户端拟在成功建立通信连接后,将采用密钥对数据进行加密,响应于该包含第一公开数的请求,视联网流媒体服务器可以获取相同的参数g和参数p,随机生成一个1024位长的第二随机数x2,并根据公式y2=g^x2%p,计算出第二公开数y2,并将第二公开数y2添加至请求应答消息中,通过视联网核心服务器发送至视联网客户端。同时,视联网流媒体服务器可以利用之前获取的第一公开数y1,根据公式K2=y1^x2%p计算出第二密钥K2。
相应的,视联网客户端在接收到第二公开数y2后,可以根据公式K1=y2^x1%p,生成第一密钥K1。根据数学关系和运算规则可以推导出K2=y1^x2%p=y2^x1%p=K1,即视联网客户端和视联网流媒体服务器获取了相同的密钥。
视联网客户端在确定第一密钥后,可以从数据库中选取加密函数,如AES加密函数,并将加密函数中的可变参数替换为第一密钥的数值,采用以第一密钥作为参数的加密函数对视联网协议数据进行加密,将加密后的加密数据通过视联网核心服务器发送至视联网流媒体服务器。
由于视联网流媒体服务器拥有与视联网客户端第一密钥相同的第二密钥,在获取加密数据后,视联网流媒体服务器可以利用第二密钥对加密数据进行解密,获取未加密前视联网协议数据。
在本申请实施例中,通过向视联网流媒体服务器发送建立连接请求,接收视联网流媒体服务器针对建立连接请求返回的请求应答消息,其中,请求应答消息包括第二公开数,并根据第二公开数,生成第一密钥,采用第一密钥,对待传输的视联网协议数据进行加密,得到加密数据,并发送至视联网流媒体服务器,实现了密钥在开放网络环境中的安全交换,并利用密钥对数据进行加密,提高了视联网协议数据传输时的安全性,有效防止数据泄露。
参照图7,示出了本发明一实施例提供的一种密钥交换方法的步骤流程图,应用于视联网流媒体服务器,其中,视联网流媒体服务器可以通过视联网核心服务器与视联网客户端通信连接。
具体的,可以包括如下步骤:
步骤701,所述视联网流媒体服务器接收所述视联网客户端发送的建立连接请求;其中,所述建立连接请求包括第一公开数;
步骤702,所述视联网流媒体服务器针对所述建立连接请求返回请求应答消息至所述视联网客户端;其中,所述请求应答消息包括第二公开数;
步骤703,所述视联网流媒体服务器根据所述第一公开数,生成第二密钥;
步骤704,所述视联网流媒体服务器接收所述视联网客户端发送的加密数据,并采用所述第二密钥,对所述加密数据进行解密;其中,所述视联网客户端用于根据所述第二公开数,生成第一密钥,并采用所述第一密钥,对待传输的视联网协议数据进行加密,得到加密数据。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
参照图8,示出了本发明一实施例提供的一种密钥交换装置的结构框图,应用于视联网客户端,视联网客户端可以通过视联网核心服务器与视联网流媒体服务器通信连接。
具体的,可以包括如下模块:
建立连接请求发送模块801,用于向所述视联网流媒体服务器发送建立连接请求;其中,所述建立连接请求包括第一公开数;
请求应答消息接收模块802,用于接收所述视联网流媒体服务器针对所述建立连接请求返回的请求应答消息;其中,所述请求应答消息包括第二公开数;
第一密钥生成模块803,用于根据所述第二公开数,生成第一密钥;
加密数据生成模块804,用于采用所述第一密钥,对待传输的视联网协议数据进行加密,得到加密数据,并发送至所述视联网流媒体服务器;其中,所述视联网流媒体服务器用于根据所述第一公开数,生成第二密钥,并采用所述第二密钥,对所述加密数据进行解密。
在本申请一实施例中,所述装置还包括:
第一随机数生成模块,用于生成第一随机数;
第一公开数生成模块,用于结合所述第一随机数和预设参数,生成第一公开数。
在本申请一实施例中,第一密钥生成模块803包括:
第一密钥计算模块,用于结合所述第二公开数、所述第一随机数以及所述预设参数,生成第一密钥。
在本申请一实施例中,加密数据生成模块804包括:
加密函数获取子模块,用于获取预设加密函数,并将所述第一密钥设置为预设加密函数的参数;
加密函数加密子模块,用于采用所述预设加密函数,对待传输的视联网协议数据进行加密,得到加密数据。
参照图9,示出了本发明一实施例提供的另一种密钥交换装置的结构框图,应用于视联网流媒体服务器,视联网流媒体服务器可以通过视联网核心服务器与视联网客户端通信连接。
具体的,可以包括如下模块:
建立连接请求接收模块901,用于接收所述视联网客户端发送的建立连接请求;其中,所述建立连接请求包括第一公开数;
请求应答消息返回模块902,用于针对所述建立连接请求返回请求应答消息至所述视联网客户端;其中,所述请求应答消息包括第二公开数;
第二密钥生成模块903,用于根据所述第一公开数,生成第二密钥;
加密数据解密模块904,用于接收所述视联网客户端发送的加密数据,并采用所述第二密钥,对所述加密数据进行解密;其中,所述视联网客户端用于根据所述第二公开数,生成第一密钥,并采用所述第一密钥,对待传输的视联网协议数据进行加密,得到加密数据。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本发明一实施例还提供了电子设备,可以包括处理器、存储器及存储在存储器上并能够在处理器上运行的计算机程序,计算机程序被处理器执行时实现如上密钥交换方法的步骤。
本发明一实施例还提供了计算机可读存储介质,计算机可读存储介质上存储计算机程序,计算机程序被处理器执行时实现如上密钥交换方法的步骤。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本发明所提供的一种密钥交换方法和装置,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种密钥交换方法,其特征在于,应用于视联网客户端,所述视联网客户端通过视联网核心服务器与视联网流媒体服务器通信连接;
所述方法包括:
所述视联网客户端向所述视联网流媒体服务器发送建立连接请求;其中,所述建立连接请求包括第一公开数;
所述视联网客户端接收所述视联网流媒体服务器针对所述建立连接请求返回的请求应答消息;其中,所述请求应答消息包括第二公开数;
所述视联网客户端根据所述第二公开数,生成第一密钥;
所述视联网客户端采用所述第一密钥,对待传输的视联网协议数据进行加密,得到加密数据,并发送至所述视联网流媒体服务器;其中,所述视联网流媒体服务器用于根据所述第一公开数,生成第二密钥,并采用所述第二密钥,对所述加密数据进行解密。
2.根据权利要求1所述的方法,其特征在于,所述第一公开数采用如下方式生成:
所述视联网客户端生成第一随机数;
所述视联网客户端结合所述第一随机数和预设参数,生成第一公开数。
3.根据权利要求2所述的方法,其特征在于,所述根据所述第二公开数,生成第一密钥的步骤包括:
所述视联网客户端结合所述第二公开数、所述第一随机数以及所述预设参数,生成第一密钥。
4.根据权利要求1所述的方法,其特征在于,所述采用所述第一密钥,对待传输的视联网协议数据进行加密,得到加密数据的步骤包括:
获取预设加密函数,并将所述第一密钥设置为预设加密函数的参数;
采用所述预设加密函数,对待传输的视联网协议数据进行加密,得到加密数据。
5.一种密钥交换方法,其特征在于,应用于视联网流媒体服务器,所述视联网流媒体服务器通过视联网核心服务器与视联网客户端通信连接;
所述方法包括:
所述视联网流媒体服务器接收所述视联网客户端发送的建立连接请求;其中,所述建立连接请求包括第一公开数;
所述视联网流媒体服务器针对所述建立连接请求返回请求应答消息至所述视联网客户端;其中,所述请求应答消息包括第二公开数;
所述视联网流媒体服务器根据所述第一公开数,生成第二密钥;
所述视联网流媒体服务器接收所述视联网客户端发送的加密数据,并采用所述第二密钥,对所述加密数据进行解密;其中,所述视联网客户端用于根据所述第二公开数,生成第一密钥,并采用所述第一密钥,对待传输的视联网协议数据进行加密,得到加密数据。
6.一种密钥交换装置,其特征在于,应用于视联网客户端,所述视联网客户端通过视联网核心服务器与视联网流媒体服务器通信连接;
所述装置包括:
建立连接请求发送模块,用于向所述视联网流媒体服务器发送建立连接请求;其中,所述建立连接请求包括第一公开数;
请求应答消息接收模块,用于接收所述视联网流媒体服务器针对所述建立连接请求返回的请求应答消息;其中,所述请求应答消息包括第二公开数;
第一密钥生成模块,用于根据所述第二公开数,生成第一密钥;
加密数据生成模块,用于采用所述第一密钥,对待传输的视联网协议数据进行加密,得到加密数据,并发送至所述视联网流媒体服务器;其中,所述视联网流媒体服务器用于根据所述第一公开数,生成第二密钥,并采用所述第二密钥,对所述加密数据进行解密。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第一随机数生成模块,用于生成第一随机数;
第一公开数生成模块,用于结合所述第一随机数和预设参数,生成第一公开数。
8.根据权利要求7所述的装置,其特征在于,所述第一密钥生成模块包括:
第一密钥计算模块,用于结合所述第二公开数、所述第一随机数以及所述预设参数,生成第一密钥。
9.根据权利要求6所述的装置,其特征在于,所述加密数据生成模块包括:
加密函数获取子模块,用于获取预设加密函数,并将所述第一密钥设置为预设加密函数的参数;
加密函数加密子模块,用于采用所述预设加密函数,对待传输的视联网协议数据进行加密,得到加密数据。
10.一种密钥交换装置,其特征在于,应用于视联网流媒体服务器,所述视联网流媒体服务器通过视联网核心服务器与视联网客户端通信连接;
所述装置包括:
建立连接请求接收模块,用于接收所述视联网客户端发送的建立连接请求;其中,所述建立连接请求包括第一公开数;
请求应答消息返回模块,用于针对所述建立连接请求返回请求应答消息至所述视联网客户端;其中,所述请求应答消息包括第二公开数;
第二密钥生成模块,用于根据所述第一公开数,生成第二密钥;
加密数据解密模块,用于接收所述视联网客户端发送的加密数据,并采用所述第二密钥,对所述加密数据进行解密;其中,所述视联网客户端用于根据所述第二公开数,生成第一密钥,并采用所述第一密钥,对待传输的视联网协议数据进行加密,得到加密数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910626503.2A CN110351080A (zh) | 2019-07-11 | 2019-07-11 | 一种密钥交换方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910626503.2A CN110351080A (zh) | 2019-07-11 | 2019-07-11 | 一种密钥交换方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110351080A true CN110351080A (zh) | 2019-10-18 |
Family
ID=68175668
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910626503.2A Withdrawn CN110351080A (zh) | 2019-07-11 | 2019-07-11 | 一种密钥交换方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110351080A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112383392A (zh) * | 2020-11-13 | 2021-02-19 | 随锐科技集团股份有限公司 | 一种视频会议轮换加密方法、设备及计算机可读存储介质 |
| CN114499913A (zh) * | 2020-10-26 | 2022-05-13 | 华为技术有限公司 | 加密报文的检测方法及防护设备 |
-
2019
- 2019-07-11 CN CN201910626503.2A patent/CN110351080A/zh not_active Withdrawn
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114499913A (zh) * | 2020-10-26 | 2022-05-13 | 华为技术有限公司 | 加密报文的检测方法及防护设备 |
| CN114499913B (zh) * | 2020-10-26 | 2022-12-06 | 华为技术有限公司 | 加密报文的检测方法及防护设备 |
| CN112383392A (zh) * | 2020-11-13 | 2021-02-19 | 随锐科技集团股份有限公司 | 一种视频会议轮换加密方法、设备及计算机可读存储介质 |
| CN112383392B (zh) * | 2020-11-13 | 2024-03-15 | 随锐科技集团股份有限公司 | 一种视频会议轮换加密方法、设备及计算机可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109120962A (zh) | 软件终端连接视联网的方法和装置 | |
| CN108632238A (zh) | 一种权限控制的方法和装置 | |
| CN107888401B (zh) | 一种实时监控视联网终端cpu利用率的方法和系统 | |
| CN108965224A (zh) | 一种视频点播的方法和装置 | |
| CN108880926A (zh) | 一种服务器监控的方法和装置 | |
| CN109151058A (zh) | 一种数据传输方法和装置 | |
| CN109769123A (zh) | 一种视联网数据的处理方法及系统 | |
| CN108243343B (zh) | 一种基于视联网的点位分布统计方法及其服务器 | |
| CN109862014A (zh) | 一种视联网数据的处理方法及装置 | |
| CN109462594A (zh) | 一种基于视联网的数据处理方法及系统 | |
| CN109889779A (zh) | 一种报文乱序的处理方法和装置 | |
| CN110062195A (zh) | 一种视频会议接入方法及系统 | |
| CN110505430A (zh) | 一种会议控制的方法和装置 | |
| CN110049346A (zh) | 一种视频直播的方法和系统 | |
| CN109068148A (zh) | 一种视频处理的方法和装置 | |
| CN110351080A (zh) | 一种密钥交换方法和装置 | |
| CN108965941A (zh) | 一种数据获取方法和视联网管理系统 | |
| CN108989850A (zh) | 一种视频播放控制方法及控制系统 | |
| CN110493193A (zh) | 数据传输方法和装置 | |
| CN110445759A (zh) | 一种电子白板共享方法和装置 | |
| CN110149497A (zh) | 一种视联网数据传输方法、装置、系统及可读存储介质 | |
| CN110266577A (zh) | 一种隧道建立方法和视联网系统 | |
| CN110351573A (zh) | 虚拟礼物赠送方法、系统及装置 | |
| CN110121075A (zh) | 一种手术直播方法和装置 | |
| CN109617766A (zh) | 一种心跳处理方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20191018 |
|
| WW01 | Invention patent application withdrawn after publication |