CN111031047B - 设备通信方法、装置、计算机设备及存储介质 - Google Patents
设备通信方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN111031047B CN111031047B CN201911294614.4A CN201911294614A CN111031047B CN 111031047 B CN111031047 B CN 111031047B CN 201911294614 A CN201911294614 A CN 201911294614A CN 111031047 B CN111031047 B CN 111031047B
- Authority
- CN
- China
- Prior art keywords
- session key
- server
- encrypted
- key
- digital certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
Abstract
本申请公开了一种设备通信方法、装置、计算机设备及存储介质,涉及互联网技术领域,该设备通信方法用于终端设备中,所述终端设备包括安全芯片,所述安全芯片中存储有终端设备的私钥,该方法包括:向服务器发送数字证书;接收所述服务器在对所述数字证书验证通过后发送的采用设备公钥加密的加密会话密钥,所述设备公钥为与所述私钥对应的公钥;通过所述安全芯片根据所述私钥对所述加密会话密钥进行解密,得到会话密钥,并将所述会话密钥存储至所述安全芯片;通过所述安全芯片基于所述会话密钥对向所述服务器发送的通信数据进行加密。本申请实施例提供的设备通信方法,可以有效杜绝通信数据被窃取的情况,提高网络安全性。
Description
技术领域
本申请涉及互联网技术领域,特别是涉及一种设备通信方法、装置、计算机设备及存储介质。
背景技术
为了提高网络安全性,越来越多的企业设置了内部局域网(以下简称为内网)。终端设备接入内网之前,首先需要在内网服务器上进行身份认证,当认证通过后,终端设备才可以接入内网。
现有技术中,终端设备在内网服务器上进行身份认证的过程可以是:内网服务器向认证授权CA(英文:Certificate Authority;简称:CA)中心申请数字证书,然后由内网服务器把从CA中心得到的数字证书给到终端设备中,每次进行身份认证时,终端设备将数字证书发送给内网服务器,内网服务器通过CA中心验证数字证书的有效性,当数字证书有效时,内网服务向终端设备发送验证通过消息,终端设备根据该验证通过消息接入内网。
然而,上述方法中,仅在终端设备接入内网时对终端设备进行身份认证,而当验证通过信息被非法终端拦截后,非法终端可以根据该验证通过消息接入内网,使得内网数据容易被窃取,网络安全性不高。
发明内容
基于此,有必要针对上述存在的内网数据容易被窃取,网络安全性不高的问题,提供一种设备通信方法、装置、计算机设备及存储介质。
第一方面,本申请实施例提供了一种设备通信方法,该方法用于终端设备中,终端设备包括安全芯片,安全芯片中存储有终端设备的私钥,该方法包括:
向服务器发送数字证书;
接收服务器在对数字证书验证通过后发送的采用设备公钥加密的加密会话密钥,设备公钥为与私钥对应的公钥;
通过安全芯片根据私钥对加密会话密钥进行解密,得到会话密钥,并将会话密钥存储至安全芯片;
通过安全芯片基于会话密钥对向服务器发送的通信数据进行加密。
在本申请的一个实施例中,接收服务器发送的加密通信数据,加密通信数据为服务器根据会话密钥对通信数据进行加密后得到的;
通过安全芯片基于会话密钥对加密通信数据进行解密,获取解密后的通信数据。
在本申请的一个实施例中,接收服务器在对数字证书验证通过后发送的采用设备公钥加密的加密会话密钥之前,该方法还包括:
向服务器发送安全芯片的安全编号,安全编号用于指示服务器在根据安全编号对终端设备的合法性验证通过后,采用设备公钥对会话密钥进行加密。
第二方面,本申请实施例提供了一种设备通信方法,该方法包括:
接收终端设备发送的数字证书;
对数字证书进行验证;
当数字证书验证通过后,向终端设备发送加密会话密钥,其中,加密会话密钥是对会话密钥采用设备公钥加密后得到的;加密会话密钥用于指示终端设备通过安全芯片对加密会话密钥进行解密,并通过安全芯片基于解密后得到的会话密钥对通信数据进行加密。
在本申请的一个实施例中,接收终端设备发送的加密通信数据,加密通信数据为终端设备通过安全芯片基于解密后得到的会话密钥对通信数据进行加密得到的;
通过会话密钥对加密通信数据进行解密,获取解密后的通信数据。
在本申请的一个实施例中,向终端设备发送加密会话密钥之前,该方法还包括:
接收终端设备发送的安全编号,安全编号为终端设备上的安全芯片的编号;
根据安全编号获取设备公钥,并根据设备公钥对会话密钥进行加密,得到加密会话密钥。
在本申请的一个实施例中,对数字证书进行验证之前,该方法还包括:
接收终端设备发送的登录信息,登录信息包括终端设备的标识、账户和口令;
对登录信息进行验证,当登录信息验证通过时,对数字证书进行验证。
第三方面,本申请实施例提供了一种设备通信装置,用于终端设备中,终端设备包括安全芯片,安全芯片中存储有终端设备的私钥,该装置包括:
发送模块,用于向服务器发送数字证书;
接收模块,用于接收服务器在对数字证书验证通过后发送的采用设备公钥加密的加密会话密钥,设备公钥为与私钥对应的公钥;
解密模块,用于通过安全芯片根据私钥对加密会话密钥进行解密,得到会话密钥,并将会话密钥存储至安全芯片;
加密模块,用于通过安全芯片基于会话密钥对向服务器发送的通信数据进行加密。
第四方面,本申请实施例提供了一种设备通信装置,该装置包括:
接收模块,用于接收终端设备发送的数字证书;
验证模块,用于对数字证书进行验证;
加密模块,用于当数字证书验证通过后,向终端设备发送加密会话密钥,其中,加密会话密钥是对会话密钥采用设备公钥加密后得到的;加密会话密钥用于指示终端设备通过安全芯片对加密会话密钥进行解密,并通过安全芯片基于解密后得到的会话密钥对通信数据进行加密。
第五方面,提供了一种计算机设备,包括存储器和处理器,该存储器存储有计算机程序,该计算机程序被该处理器执行时实现上述第一方面的方法的步骤,或者该计算机程序被该处理器执行时实现上述第二方面的方法的步骤。
第六方面,提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述第一方面的方法的步骤,或者该程序被处理器执行时实现上述第二方面的方法的步骤。
本申请实施例提供的技术方案带来的有益效果至少包括:
通过向服务器发送数字证书,并接收服务器在对数字证书验证通过后发送的采用设备公钥加密的加密会话密钥,通过安全芯片根据安全芯片中存储的终端设备的私钥对加密会话密钥进行解密,得到会话密钥,并将会话密钥存储至安全芯片中。通过安全芯片基于会话密钥对象服务器发送的通信数据进行加密。由此可知,该设备通信方法中,当终端设备的数字证书验证通过后,终端设备获取的是采用设备公钥加密的加密会话密钥,该加密会话密钥需要基于终端设备上的安全芯片这一硬件才可以进行解密,因此当非法终端拦截了加密会话密钥后,由于非法终端上不具有安全芯片这一硬件,因此无法获取会话密钥。进一步的,终端设备与服务器之间每一次通信时,安全芯片都需要对通信数据采用会话密钥进行加密,这样当非法终端拦截了通信数据时,由于无法通过会话密钥进行解密,因此无法获取通信数据的内容,因此,本申请实施例提供的设备通信方法,可以有效杜绝通信数据被窃取的情况,提高网络安全性。
附图说明
图1为本申请实施例提供的设备通信方法的实施环境的示意图;
图2为本申请实施例提供的一种计算机设备的模块图;
图3为本申请实施例提供的一种设备通信方法的流程图;
图4为本申请实施例提供的另一种设备通信方法的流程图;
图5为本申请实施例提供的一种设备通信方法的流程图;
图6为本申请实施例提供的另一种设备通信方法的流程图;
图7为本申请实施例提供的一种设备通信装置的模块图;
图8为本申请实施例提供的一种设备通信装置的模块图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
网络安全是当前互联网技术领域的重点研究话题,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露。
为了提高网络安全性,越来越多的企业设置了内部局域网(以下简称为内网)。内部局域网设置有内网服务器,需要接入内网的终端设备首先需要在内网服务器中进行备案登记。其中,备案登记的过程可以是:内网服务器向认证授权CA中心申请数字证书,然后由内网服务器把从CA中心得到的数字证书给到进行备案登记的终端设备中。
终端设备需要接入内网时,需要通过内网服务器进行身份认证,每次进行身份认证时,终端设备可以将数字证书发送给内网服务器,内网服务器通过CA中心验证数字证书的有效性,当数字证书有效时,内网服务向终端设备发送验证通过消息,终端设备根据该验证通过消息接入内网。
但是,上述方法中,终端设备仅仅在接入内网时进行身份认证,一旦身份认证通过,就不再进行后续身份验证。这种情况下,当非法终端将验证通过消息拦截后,可以冒用终端设备接入内网,使得内网数据容易被窃取,网络安全性不高。
本申请实施例提供一种设备通信方法、装置、计算机设备及存储介质,可以提高网络安全性。该设备通信方法通过向服务器发送数字证书,并接收服务器在对数字证书验证通过后发送的采用设备公钥加密的加密会话密钥,通过安全芯片根据安全芯片中存储的终端设备的私钥对加密会话密钥进行解密,得到会话密钥,并将会话密钥存储至安全芯片中。通过安全芯片基于会话密钥对象服务器发送的通信数据进行加密。由此可知,本申请实施例中,在对数字证书验证通过后,终端设备可以接收到采用设备公钥加密的加密会话密钥,加密会话密钥需要通过终端设备上的安全芯片基于终端设备的私钥进行解密,这样终端设备可以获取会话密钥,并且终端设备在与服务器进行数据通信时,对于通信数据采用会话密钥进行加密。这样非法终端设备由于无法通过安全芯片基于终端设备的私钥对加密会话密钥进行解密,因此非法终端设备无法获取会话密钥,这样即便非法终端设备拦截了通信数据,也无法获取通信数据的内容,因此可以有效杜绝通信数据被窃取的情况,提高了网络安全性。
下面,将对本申请实施例提供的设备通信方法所涉及到的实施环境进行简要说明。
图1为本申请实施例提供的一种实施环境的示意图,如图1所示,该实施环境可以包括服务器101和多个终端设备102,其中,服务器101可以与每个终端设备102通过有线或者无线的方式进行通信。终端设备102包括客户端和安全芯片,安全芯片中可以存储数字证书、终端设备的私钥,并且安全芯片具有加密和解密功能,即终端设备102发送给服务器101的通信数据需要通过安全芯片进行加密后再发送给服务器101,终端设备102接收到的服务器101发送的通信数据需要通过安全芯片解密后才可以获取数据内容。客户端用于与服务器进行通信,完成登录流程,调用安全芯片进行加密解密等操作。
终端设备102可以向服务器101发送数字证书,服务器101接收到终端设备102发送的数字证书后,对数字证书进行验证,验证通过,则获取会话密钥,采用设备公钥对会话密钥进行加密,得到加密会话密钥,将加密会话密钥发送给终端设备102,终端设备102接收到加密会话密钥后,通过安全芯片对加密会话密钥进行解密,得到会话密钥,然后终端设备102通过安全芯片基于会话密钥对发送给服务器101的通信数据进行加密。
请参考图2,本申请提供的设备通信方法可以应用于如图2所示的计算机设备中,该计算机设备可以是服务器或者终端设备,其内部结构图可以如图2所示,该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种设备通信方法。
图2中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图2中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
请参考图3,其示出了本申请实施例提供的一种设备通信方法的流程图,该设备通信方法可以应用于图1所示的终端设备中,该终端设备包括安全芯片,安全芯片中存储有终端设备的私钥,如图3所示,该设备通信方法可以包括以下步骤:
步骤301、终端设备向服务器发送数字证书。
本申请实施例中,终端设备安全芯片中预先存储有数字证书,当终端设备需要与服务器进行通信时,终端设备的客户端可以从安全芯片中调用安全芯片存储的数字证书,并将数字证书发送给服务器。
步骤302、终端设备接收服务器在对数字证书验证通过后发送的采用设备公钥加密的加密会话密钥。
本申请实施例中,服务器接收到数字证书后,对数字证书进行验证,服务器对数字证书进行验证的过程可以是:
服务器将数字证书发送给CA中心,由CA中心来验证数字证书的有效性。当数字证书有效时,CA中心可以向服务器反馈数字证书有效消息。当数字证书无效时,CA中心可以向服务器反馈数字证书无效消息。
当服务器接收到数字证书无效消息时,即说明数字证书验证不通过。那么,服务器可以向终端设备发送非法接入警告。
当服务器接收到数字证书有效消息时,说明服务器对数字证书验证通过。此时,服务器可以获取会话密钥。可选的,本申请实施例中,会话密钥可以是服务器基于终端设备发送的数字证书生成的,也可以是服务器预先设置好的。然后服务器可以采用设备公钥对会话密钥进行加密,得到加密后的加密会话密钥,并把加密会话密钥发送给终端设备。其中,设备公钥为服务器中预先存储的与终端设备的私钥相对应。
终端设备的客户端接收到该加密会话密钥后,将该加密会话密钥给到安全芯片。
在一种可选的实现方式中,本申请实施例中,终端设备在接收服务器发送的加密会话密钥之前,还可以包括以下内容:
终端设备向服务器发送安全芯片的安全编号。
其中,安全编号用于指示服务器在根据安全编号对终端设备的合法性验证通过后,采用设备公钥对会话密钥进行加密。
可选的,本申请实施例中,安全芯片的安全编号可以是与数字证书一起发送给服务器。
可选的,本申请实施例中,当安全编号为固定编号时,服务器中可以预先记录有每个终端设备的安全芯片的安全编号。服务器可以从预先存储的安全编号中查找到接收到的安全编号时,说明该终端设备上的安全芯片为是合法的,即终端设备是合法的。当服务器判断终端设备合法时,可以采用设备公钥对会话密钥进行加密。
可选的,本申请实施例中,服务器可以根据安全编号获取该安全编号对应的设备公钥,该安全编号对应的设备公钥与终端设备的设备私钥对应。
可选的,本申请实施例中,可以是服务器根据安全编号对终端设备的合法性验证通过后,再对数字证书进行验证,当数字证书验证通过后,服务器根据设备公钥对会话密钥进行加密。
需要说明的是,同一台终端设备,每次接入服务器时,服务器获取的会话密钥是不同的。
需要说明的是,当服务器向终端设备发送加密会话密钥时,说明该终端设备通过了身份认证。本申请实施例中,在终端设备通过了身份认证的基础上,仍需要对终端设备与服务器之间的通信进行持续性的监管,具体的可以如步骤303-步骤304所述。
步骤303、终端设备通过安全芯片根据私钥对加密会话密钥进行解密,得到会话密钥,并将会话密钥存储至安全芯片。
本申请实施例中,终端设备接收到加密会话密钥后,需要对加密会话密钥进行解密,以得到会话密钥。
其中,终端设备对加密会话密钥进行解密的过程可以是:安全芯片基于自身的硬件组件和终端设备的私钥对加密会话密钥进行解密。需要说明的是,该解密过程是基于硬件(安全芯片)实现的,众所周知,基于硬件的加密解密过程,其保密效果更好。
当非法终端设备拦截了加密会话密钥时,由于非法终端设备中不具有安全芯片这一硬件因此无法对加密会话密钥进行解密,这一,非法终端就无法获取会话密钥,因此保证了通信数据的安全。
进一步的,终端设备可以将解密得到的会话密钥存储至安全芯片中,以供后续调用。
步骤304、终端设备通过安全芯片基于会话密钥对向服务器发送的通信数据进行加密。
终端设备需要向服务器发送通信数据时,安全芯片可以调用存储的会话密钥对通信数据进行加密,得到加密通信数据,然后客户端可以将加密通信数据发送给服务器。
当非法终端拦截了加密通信数据时,由于非法终端无法获取会话密钥,无法对加密通信数据进行解密,因此,非法终端无法获取加密通信数据中的数据内容。
本申请实施例中,终端设备与服务器进行通信的过程中,总是采用会话密钥对通信数据进行加密,实现了对终端设备与服务器之间的通信进行持续性的监管的目的。
需要说明的是,当终端设备与服务器之间保持通信时,在通信过程中采用的会话密钥是不会发生变化的。而当终端设备从服务器中退出,然后再次登录后,终端设备再次与服务器之间通信的会话密钥与上一次通信时的会话密钥不相同。
当终端设备与服务器断开链接时,安全芯片中存储的会话密钥自动失效,且可以自动删除。
本申请实施例提供的设备通信方法,通过向服务器发送数字证书,并接收服务器在对数字证书验证通过后发送的采用设备公钥加密的加密会话密钥,通过安全芯片根据安全芯片中存储的终端设备的私钥对加密会话密钥进行解密,得到会话密钥,并将会话密钥存储至安全芯片中。通过安全芯片基于会话密钥对象服务器发送的通信数据进行加密。该设备通信方法中,当终端设备的数字证书验证通过后,终端设备获取的是采用设备公钥加密的加密会话密钥,该加密会话密钥需要基于终端设备上的安全芯片这一硬件才可以进行解密,因此当非法终端拦截了加密会话密钥后,由于非法终端上不具有安全芯片这一硬件,因此无法获取会话密钥。进一步的,终端设备与服务器之间每一次通信时,安全芯片都需要对通信数据采用会话密钥进行加密,这样当非法终端拦截了通信数据时,由于无法通过会话密钥进行解密,因此无法获取通信数据的内容,因此,本申请实施例提供的设备通信方法,可以有效杜绝通信数据被窃取的情况,提高网络安全性。
请参考图4,其示出了本申请实施例提供的一种设备通信方法的流程图,该设备通信方法可以应用于图1所示的终端设备中,如图4所示,该设备通信方法可以包括以下步骤:
步骤401、终端设备接收服务器发送的加密通信数据。
其中,加密通信数据为服务器根据会话密钥对通信数据进行加密后得到的。
可选的,本申请实施例中,在终端设备与服务器进行通信时,服务器向终端设备发送的通信数据之前,可以基于会话密钥对通信数据进行加密,得到加密通信数据,并将加密通信数据发送给终端设备。
终端设备的客户端可以接收到服务器发送的加密通信数据,并将加密通信数据给到安全芯片进行解密。
步骤402、终端设备根据安全芯片基于会话密钥对加密通信数据进行解密,获取解密后的通信数据。
本申请实施例中,安全芯片可以调用步骤303中存储的会话密钥对加密通信数据进行解密,以获取解密后的通信数据。
请参考图5,其示出了本申请实施例提供的一种设备通信方法的流程图,该设备通信方法可以应用于图1所示的服务器中,如图5所示,该设备通信方法可以包括以下步骤:
步骤501、服务器接收终端设备发送的数字证书。
步骤502、服务器对数字证书进行验证。
服务器对数字证书进行验证的过程可以是:服务器将数字证书发送给CA中心,由CA中心来验证数字证书的有效性。当数字证书有效时,CA中心可以向服务器反馈数字证书有效消息。当数字证书无效时,CA中心可以向服务器反馈数字证书无效消息。
当服务器接收到数字证书无效消息时,即说明数字证书验证不通过。当服务器接收到数字证书有效消息时,说明服务器对数字证书验证通过。
在一种可选的实现方式中,服务器对数字正在进行验证之前,还可以包括以下内容:
服务器还可以接收终端设备发送的登录信息,登录信息可以包括终端设备标识、账户和口令。
服务器对登录信息进行验证,当登录信息验证通过时,再对数字证书进行验证。
步骤503、当数字证书验证通过后,服务器向终端设备发送加密会话密钥。
其中,加密会话密钥是对会话密钥采用设备公钥加密后得到的。加密会话密钥用于指示终端设备通过安全芯片对加密会话密钥进行解密,并通过安全芯片基于解密后得到的会话密钥对通信数据进行加密。
本申请实施例中,服务器中预先存储有会话密钥。可选的,服务器与多个终端设备进行通信时的会话密钥可以是相同的。
可选的,服务器与每个终端设备进行通信时的会话密钥可以是不同的。
可选的,本申请实施例中,设备公钥可以是服务器上固定设置的公钥,设备公钥与多个终端设备的私钥的关系可以是一对多。可选的,设备公钥与多个终端设备的私钥的关系还可以是一对一。
在一种可选的实现方式中,本申请实施例中,在服务器向终端设备发送加密会话密钥之前,该方法还包括:
服务器接收终端设备发送的安全编号。
其中,安全编号是终端设备的安全芯片的编号。
服务器根据安全编号获取设备公钥,并根据设备公钥对会话密钥进行加密,得到加密会话密钥。
服务器可以根据安全编号对终端设备的合法性进行验证,当终端设备合法时,服务器还可以根据安全编号获取设备公钥,然后根据设备公钥对会话密钥进行加密,得到加密会话密钥。
请参考图6,其示出了本申请实施例提供的一种设备通信方法的流程图,该设备通信方法可以应用于图1所示的服务器中,如图6所示,该设备通信方法可以包括以下步骤:
步骤601、服务器接收终端设备发送的加密通信数据。
终端设备与服务器进行通信时,终端设备可以基于安全芯片中存储的会话密钥对通信数据进行加密,得到加密通信数据,然后终端设备的客户端可以将将加密通信数据发送给服务器。
服务器可以接收到该加密通信数据。
步骤602、服务器通过会话密钥对加密通信数据进行解密,获取解密后的通信数据。
服务器可以根据发送该加密通信数据的终端设备对应的会话密钥对加密通信数据进行解密,得到解密后的通信数据。
请参考图7,其示出了本申请实施例提供的一种设备通信装置的框图,该设备通信装置可以配置在图1所示实施环境的终端设备中,该终端设备包括安全芯片,安全芯片中存储有终端设备的私钥。如图7所示,该设备通信装置可以包括发送模块701、接收模块702、解密模块703和加密模块704。
发送模块701,用于向服务器发送数字证书;
接收模块702,用于接收服务器在对数字证书验证通过后发送的采用设备公钥加密的加密会话密钥,设备公钥为与私钥对应的公钥;
解密模块703,用于通过安全芯片根据私钥对加密会话密钥进行解密,得到会话密钥,并将会话密钥存储至安全芯片;
加密模块704,用于通过安全芯片基于会话密钥对向服务器发送的通信数据进行加密。
在本申请的一个实施例中,接收模块702还用于接收服务器发送的加密通信数据,加密通信数据为服务器根据会话密钥对通信数据进行加密后得到的;解密模块703还用于通过安全芯片基于会话密钥对加密通信数据进行解密,获取解密后的通信数据。
在本申请的一个实施例中,发送模块701还用于向服务器发送安全芯片的安全编号,安全编号用于指示服务器在根据安全编号对终端设备的合法性验证通过后,采用设备公钥对会话密钥进行加密。
关于设备通信装置的具体限定可以参见上文中对于设备通信方法的限定,在此不再赘述。上述设备通信装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
请参考图8,其示出了本申请实施例提供的一种设备通信装置的框图,该设备通信装置可以配置在图1所示实施环境的服务器中。如图7所示,该设备通信装置可以包括接收模块801、验证模块802和加密模块803。
接收模块801,用于接收终端设备发送的数字证书;
验证模块802,用于对数字证书进行验证;
加密模块803,用于当数字证书验证通过后,向终端设备发送加密会话密钥,其中,加密会话密钥是对会话密钥采用设备公钥加密后得到的;加密会话密钥用于指示终端设备通过安全芯片对加密会话密钥进行解密,并通过安全芯片基于解密后得到的会话密钥对通信数据进行加密。
在本申请的一个实施例中,接收模块801还用于接收终端设备发送的加密通信数据,加密通信数据为终端设备通过安全芯片基于解密后得到的会话密钥对通信数据进行加密得到的;通过会话密钥对加密通信数据进行解密,获取解密后的通信数据。
在本申请的一个实施例中,接收模块801还用于接收终端设备发送的安全编号,安全编号为终端设备上的安全芯片的编号;加密模块803还用于根据安全编号获取设备公钥,并根据设备公钥对会话密钥进行加密,得到加密会话密钥。
在本申请的一个实施例中,接收模块801还用于接收终端设备发送的登录信息,登录信息包括终端设备的标识、账户和口令;验证模块802还用于对登录信息进行验证,当登录信息验证通过时,对数字证书进行验证。
关于设备通信装置的具体限定可以参见上文中对于设备通信方法的限定,在此不再赘述。上述设备通信装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在本申请的一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器存储有计算机程序,处理器执行计算机程序时实现以下步骤:
向服务器发送数字证书;接收服务器在对数字证书验证通过后发送的采用设备公钥加密的加密会话密钥,设备公钥为与私钥对应的公钥;通过安全芯片根据私钥对加密会话密钥进行解密,得到会话密钥,并将会话密钥存储至安全芯片;通过安全芯片基于会话密钥对向服务器发送的通信数据进行加密。
在本申请的一个实施例中,处理器执行计算机程序时还实现以下步骤:接收服务器发送的加密通信数据,加密通信数据为服务器根据会话密钥对通信数据进行加密后得到的;通过安全芯片基于会话密钥对加密通信数据进行解密,获取解密后的通信数据。
在本申请的一个实施例中,处理器执行计算机程序时还实现以下步骤:向服务器发送安全芯片的安全编号,安全编号用于指示服务器在根据安全编号对终端设备的合法性验证通过后,采用设备公钥对会话密钥进行加密。
本申请实施例提供的计算机设备,其实现原理和技术效果与上述方法实施例类似,在此不再赘述。
在本申请的一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器存储有计算机程序,处理器执行计算机程序时实现以下步骤:
接收终端设备发送的数字证书;对数字证书进行验证;当数字证书验证通过后,向终端设备发送加密会话密钥,其中,加密会话密钥是对会话密钥采用设备公钥加密后得到的;加密会话密钥用于指示终端设备通过安全芯片对加密会话密钥进行解密,并通过安全芯片基于解密后得到的会话密钥对通信数据进行加密。
在本申请的一个实施例中,处理器执行计算机程序时还实现以下步骤:接收终端设备发送的加密通信数据,加密通信数据为终端设备通过安全芯片基于解密后得到的会话密钥对通信数据进行加密得到的;通过会话密钥对加密通信数据进行解密,获取解密后的通信数据。
在本申请的一个实施例中,处理器执行计算机程序时还实现以下步骤:接收终端设备发送的安全编号,安全编号为终端设备上的安全芯片的编号;根据安全编号获取设备公钥,并根据设备公钥对会话密钥进行加密,得到加密会话密钥。
在本申请的一个实施例中,处理器执行计算机程序时还实现以下步骤:接收终端设备发送的登录信息,登录信息包括终端设备的标识、账户和口令;对登录信息进行验证,当登录信息验证通过时,对数字证书进行验证。
本申请实施例提供的计算机设备,其实现原理和技术效果与上述方法实施例类似,在此不再赘述。
在本申请的一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
向服务器发送数字证书;接收服务器在对数字证书验证通过后发送的采用设备公钥加密的加密会话密钥,设备公钥为与私钥对应的公钥;通过安全芯片根据私钥对加密会话密钥进行解密,得到会话密钥,并将会话密钥存储至安全芯片;通过安全芯片基于会话密钥对向服务器发送的通信数据进行加密。
在本申请的一个实施例中,计算机程序被处理器执行时还实现以下步骤:接收服务器发送的加密通信数据,加密通信数据为服务器根据会话密钥对通信数据进行加密后得到的;通过安全芯片基于会话密钥对加密通信数据进行解密,获取解密后的通信数据。
在本申请的一个实施例中,计算机程序被处理器执行时还实现以下步骤:向服务器发送安全芯片的安全编号,安全编号用于指示服务器在根据安全编号对终端设备的合法性验证通过后,采用设备公钥对会话密钥进行加密。
本申请实施例提供的计算机可读存储介质,其实现原理和技术效果与上述方法实施例类似,在此不再赘述。
在本申请的一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
接收终端设备发送的数字证书;对数字证书进行验证;当数字证书验证通过后,向终端设备发送加密会话密钥,其中,加密会话密钥是对会话密钥采用设备公钥加密后得到的;加密会话密钥用于指示终端设备通过安全芯片对加密会话密钥进行解密,并通过安全芯片基于解密后得到的会话密钥对通信数据进行加密。
在本申请的一个实施例中,计算机程序被处理器执行时还实现以下步骤:接收终端设备发送的加密通信数据,加密通信数据为终端设备通过安全芯片基于解密后得到的会话密钥对通信数据进行加密得到的;通过会话密钥对加密通信数据进行解密,获取解密后的通信数据。
在本申请的一个实施例中,计算机程序被处理器执行时还实现以下步骤:接收终端设备发送的安全编号,安全编号为终端设备上的安全芯片的编号;根据安全编号获取设备公钥,并根据设备公钥对会话密钥进行加密,得到加密会话密钥。
在本申请的一个实施例中,计算机程序被处理器执行时还实现以下步骤:接收终端设备发送的登录信息,登录信息包括终端设备的标识、账户和口令;对登录信息进行验证,当登录信息验证通过时,对数字证书进行验证。
本申请实施例提供的计算机可读存储介质,其实现原理和技术效果与上述方法实施例类似,在此不再赘述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (9)
1.一种设备通信方法,其特征在于,用于终端设备中,所述终端设备包括安全芯片,所述安全芯片中存储有终端设备的私钥,所述方法包括:
向服务器发送数字证书;向所述服务器发送所述安全芯片的安全编号,所述安全编号用于指示所述服务器在根据所述安全编号对所述终端设备的合法性验证通过后,采用所述设备公钥对会话密钥进行加密;所述会话密钥是所述服务器基于所述数字证书生成的,且所述会话密钥在所述终端每次接入时是不同的;
接收所述服务器在对所述数字证书验证通过后发送的采用设备公钥加密的加密会话密钥,所述设备公钥为与所述私钥对应的公钥;
通过所述安全芯片根据所述私钥对所述加密会话密钥进行解密,得到会话密钥,并将所述会话密钥存储至所述安全芯片;若所述终端与所述服务器之间保持通信,所述会话密钥不发生改变;若所述终端与所述服务器之间断开通信连接,所述安全芯片中存储的所述会话密钥自动失效,且自动删除,且在所述终端与所述服务器之间恢复通信连接后接收所述服务器所发送的新加密会话密钥,并通过所述安全芯片根据所述私钥对所述新加密会话密钥进行解密,得到新会话密钥;
通过所述安全芯片基于所述会话密钥对向所述服务器发送的通信数据进行加密。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收所述服务器发送的加密通信数据,所述加密通信数据为所述服务器根据所述会话密钥对通信数据进行加密后得到的;
通过所述安全芯片基于所述会话密钥对所述加密通信数据进行解密,获取解密后的通信数据。
3.一种设备通信方法,其特征在于,所述方法包括:
接收所述终端设备发送的安全编号,所述安全编号为所述终端设备上的安全芯片的编号;
根据所述安全编号获取所述设备公钥,并根据所述设备公钥对会话密钥进行加密,得到所述加密会话密钥;所述会话密钥是基于所述数字证书生成的,且所述会话密钥在所述终端每次接入时是不同的;
接收终端设备发送的数字证书;
对所述数字证书进行验证;
当所述数字证书验证通过后,向所述终端设备发送加密会话密钥,其中,所述加密会话密钥是对会话密钥采用设备公钥加密后得到的;所述加密会话密钥用于指示所述终端设备通过安全芯片对所述加密会话密钥进行解密,并通过所述安全芯片基于解密后得到的会话密钥对通信数据进行加密。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
接收所述终端设备发送的加密通信数据,所述加密通信数据为所述终端设备通过所述安全芯片基于解密后得到的会话密钥对通信数据进行加密得到的;
通过所述会话密钥对所述加密通信数据进行解密,获取解密后的通信数据。
5.根据权利要求3所述的方法,其特征在于,所述对所述数字证书进行验证之前,所述方法还包括:
接收所述终端设备发送的登录信息,所述登录信息包括所述终端设备的标识、账户和口令;
对所述登录信息进行验证,当所述登录信息验证通过时,对所述数字证书进行验证。
6.一种设备通信装置,其特征在于,用于终端设备中,所述终端设备包括安全芯片,所述安全芯片中存储有终端设备的私钥,所述装置包括:
发送模块,用于向服务器发送数字证书;向所述服务器发送所述安全芯片的安全编号,所述安全编号用于指示所述服务器在根据所述安全编号对所述终端设备的合法性验证通过后,采用所述设备公钥对所述会话密钥进行加密;所述会话密钥是所述服务器基于所述数字证书生成的,且所述会话密钥在所述终端每次接入时是不同的;
接收模块,用于接收所述服务器在对所述数字证书验证通过后发送的采用设备公钥加密的加密会话密钥,所述设备公钥为与所述私钥对应的公钥;
解密模块,用于通过所述安全芯片根据所述私钥对所述加密会话密钥进行解密,得到会话密钥,并将所述会话密钥存储至所述安全芯片;若所述终端与所述服务器之间保持通信,所述会话密钥不发生改变;若所述终端与所述服务器之间断开通信连接,所述安全芯片中存储的所述会话密钥自动失效,且自动删除,且在所述终端与所述服务器之间恢复通信连接后接收所述服务器所发送的新加密会话密钥,并通过所述安全芯片根据所述私钥对所述新加密会话密钥进行解密,得到新会话密钥;
加密模块,用于通过所述安全芯片基于所述会话密钥对向所述服务器发送的通信数据进行加密。
7.一种设备通信装置,其特征在于,所述装置包括:
接收模块,用于接收所述终端设备发送的安全编号,所述安全编号为所述终端设备上的安全芯片的编号;根据所述安全编号获取所述设备公钥,并根据所述设备公钥对会话密钥进行加密,得到所述加密会话密钥;所述会话密钥是基于所述数字证书生成的,且所述会话密钥在所述终端每次接入时是不同的;接收终端设备发送的数字证书;
验证模块,用于对所述数字证书进行验证;
加密模块,用于当所述数字证书验证通过后,向所述终端设备发送加密会话密钥,其中,所述加密会话密钥是对会话密钥采用设备公钥加密后得到的;所述加密会话密钥用于指示所述终端设备通过安全芯片对所述加密会话密钥进行解密,并通过所述安全芯片基于解密后得到的会话密钥对通信数据进行加密。
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至2中任一项所述的方法的步骤,或者,所述处理器执行所述计算机程序时实现权利要求3至5中任一项所述的方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至2中任一项所述的方法的步骤,或者,所述计算机程序被处理器执行时实现权利要求3至5中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911294614.4A CN111031047B (zh) | 2019-12-16 | 2019-12-16 | 设备通信方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911294614.4A CN111031047B (zh) | 2019-12-16 | 2019-12-16 | 设备通信方法、装置、计算机设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111031047A CN111031047A (zh) | 2020-04-17 |
| CN111031047B true CN111031047B (zh) | 2022-08-12 |
Family
ID=70209489
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911294614.4A Active CN111031047B (zh) | 2019-12-16 | 2019-12-16 | 设备通信方法、装置、计算机设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111031047B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112350922A (zh) * | 2020-10-16 | 2021-02-09 | 卓尔智联(武汉)研究院有限公司 | 一种邮件处理的方法、装置、服务器及存储介质 |
| CN112491933A (zh) * | 2020-12-25 | 2021-03-12 | 四川虹微技术有限公司 | 一种局域网加密通信方法和存储介质 |
| CN112989370B (zh) * | 2021-02-09 | 2023-06-30 | 腾讯科技(深圳)有限公司 | 密钥灌装方法、系统、装置、设备以及存储介质 |
| CN113138809A (zh) * | 2021-04-30 | 2021-07-20 | 广东天波信息技术股份有限公司 | 一种终端的工作模式安全切换方法及系统 |
| CN114222292A (zh) * | 2021-12-28 | 2022-03-22 | 展讯通信(上海)有限公司 | 加密通话方法、系统、存储介质及终端 |
| CN115174145B (zh) * | 2022-05-30 | 2023-12-19 | 青岛海尔科技有限公司 | 设备控制方法及边缘网关设备 |
| CN115001716B (zh) * | 2022-08-02 | 2022-12-06 | 长沙朗源电子科技有限公司 | 教育一体机的网络数据处理方法、系统和教育一体机 |
| CN116975884A (zh) * | 2023-06-30 | 2023-10-31 | 萍乡逗花科技有限公司 | 一种数据安全存储方法及装置 |
| CN117640261A (zh) * | 2024-01-26 | 2024-03-01 | 宁德时代新能源科技股份有限公司 | 数据传输方法、数据中转装置、数据管理设备及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101183938A (zh) * | 2007-10-22 | 2008-05-21 | 华中科技大学 | 一种无线网络安全传输方法、系统及设备 |
| CN106453330A (zh) * | 2016-10-18 | 2017-02-22 | 深圳市金立通信设备有限公司 | 一种身份认证的方法和系统 |
| CN107317677A (zh) * | 2017-05-25 | 2017-11-03 | 苏州科达科技股份有限公司 | 密钥存储及设备身份认证方法、装置 |
| CN110190964A (zh) * | 2019-05-16 | 2019-08-30 | 苏州科达科技股份有限公司 | 身份认证方法及电子设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102444239B1 (ko) * | 2016-01-21 | 2022-09-16 | 삼성전자주식회사 | 보안 칩, 어플리케이션 프로세서, 보안 칩을 포함하는 디바이스 및 그 동작방법 |
-
2019
- 2019-12-16 CN CN201911294614.4A patent/CN111031047B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101183938A (zh) * | 2007-10-22 | 2008-05-21 | 华中科技大学 | 一种无线网络安全传输方法、系统及设备 |
| CN106453330A (zh) * | 2016-10-18 | 2017-02-22 | 深圳市金立通信设备有限公司 | 一种身份认证的方法和系统 |
| CN107317677A (zh) * | 2017-05-25 | 2017-11-03 | 苏州科达科技股份有限公司 | 密钥存储及设备身份认证方法、装置 |
| CN110190964A (zh) * | 2019-05-16 | 2019-08-30 | 苏州科达科技股份有限公司 | 身份认证方法及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111031047A (zh) | 2020-04-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111031047B (zh) | 设备通信方法、装置、计算机设备及存储介质 | |
| CN108768664B (zh) | 密钥管理方法、装置、系统、存储介质和计算机设备 | |
| EP3723399A1 (en) | Identity verification method and apparatus | |
| CN106612180B (zh) | 实现会话标识同步的方法及装置 | |
| CN109361669B (zh) | 通信设备的身份认证方法、装置和设备 | |
| CN108111497B (zh) | 摄像机与服务器相互认证方法和装置 | |
| CN107317677B (zh) | 密钥存储及设备身份认证方法、装置 | |
| CN107733636B (zh) | 认证方法以及认证系统 | |
| CN109347813B (zh) | 物联网设备登录方法、系统、计算机设备和存储介质 | |
| CN111107073B (zh) | 应用自动登录方法、装置、计算机设备和存储介质 | |
| CN110505055B (zh) | 基于非对称密钥池对和密钥卡的外网接入身份认证方法和系统 | |
| CN111552935A (zh) | 一种区块链数据授权访问方法及装置 | |
| CN113239363A (zh) | 固件更新方法、装置、设备、可读存储介质及存储器系统 | |
| CN113438205B (zh) | 区块链数据访问控制方法、节点以及系统 | |
| CN109218334B (zh) | 数据处理方法、装置、接入控制设备、认证服务器及系统 | |
| KR102591826B1 (ko) | Puf를 이용한 인증서 기반 디바이스 인증 장치 및 방법 | |
| CN114143108A (zh) | 一种会话加密方法、装置、设备及存储介质 | |
| CN110493177B (zh) | 基于非对称密钥池对和序列号的量子通信服务站aka密钥协商方法和系统 | |
| CN112272089B (zh) | 云主机登录方法、装置、设备及计算机可读存储介质 | |
| CN113316149A (zh) | 身份安全认证方法、装置、系统、无线接入点及介质 | |
| CN104901967A (zh) | 信任设备的注册方法 | |
| CN110971610A (zh) | 控制系统身份验证方法、装置、计算机设备和存储介质 | |
| CN105100030B (zh) | 访问控制方法、系统和装置 | |
| US20230023665A1 (en) | Privacy information transmission method, apparatus, computer device and computer-readable medium | |
| CN114039748A (zh) | 身份验证方法、系统、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |