CN111756535A - 通信密钥的协商方法、装置、存储介质及电子设备 - Google Patents

通信密钥的协商方法、装置、存储介质及电子设备 Download PDF

Info

Publication number
CN111756535A
CN111756535A CN202010622055.1A CN202010622055A CN111756535A CN 111756535 A CN111756535 A CN 111756535A CN 202010622055 A CN202010622055 A CN 202010622055A CN 111756535 A CN111756535 A CN 111756535A
Authority
CN
China
Prior art keywords
terminal
key
encryption key
communication
current
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010622055.1A
Other languages
English (en)
Inventor
安晓江
蒋红宇
胡伯良
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Haitai Fangyuan High Technology Co Ltd
Original Assignee
Beijing Haitai Fangyuan High Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Haitai Fangyuan High Technology Co Ltd filed Critical Beijing Haitai Fangyuan High Technology Co Ltd
Priority to CN202010622055.1A priority Critical patent/CN111756535A/zh
Publication of CN111756535A publication Critical patent/CN111756535A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本申请公开了一种通信密钥的协商方法、装置、存储介质及电子设备。该方法中第一终端采用从中间服务器获取的已建立通信连接的第二终端的公钥加密第一加密密钥,得到前期验证密钥;通过中间服务器向第二终端发送所述前期验证密钥;通过中间服务器接收第二终端发送的当前验证密钥,根据第一加密密钥和当前验证密钥,获取与第二终端通信的通信密钥,其中,第二终端的当前加密密钥与第二终端的第二加密密钥相同。该方法保证了通信数据的安全性。

Description

通信密钥的协商方法、装置、存储介质及电子设备
技术领域
本申请涉及信息安全技术领域,尤其涉及一种通信密钥的协商方法、装置、存储介质及电子设备。
背景技术
随着通信技术的快速发展,越来越多的关键性服务和高价值数据被迁移到了云端服务器。用户隐私的保护和防止敏感信息的泄露成为云计算新的挑战。云安全也因此成为学术界和工业界关注的一个焦点。在各种通信系统中,如何实现用户之间交互信息的保护,保证通信内容的安全和保密是需要重点考虑的。现有的技术方案中,基于服务端的端到端数据加密,一般都是各自与服务端协商密钥,然后根据自己协商的密钥对待发送的通信数据进行加密后发给服务端,然后服务端转加密,即用该端的解密密钥进行解密后,再用与对端协商的密钥进行加密,之后发给对端。若服务端被攻破,则两端协商的密钥都会被攻击者掌握,从而导致两端传输的通信数据泄露。
发明内容
本申请实施例提供一种通信密钥的协商方法、装置、存储介质及电子设备,解决了现有技术存在的上述问题,以提高了通信数据的安全性。
第一方面,提供了一种通信密钥的协商方法,该方法可以包括:
第一终端采用从中间服务器获取已建立通信连接的第二终端的公钥,对第一加密密钥进行加密,得到前期验证密钥;所述中间服务器为分别与所述第一终端和所述第二终端通信的服务器;所述第二终端的公钥是所述中间服务器在所述第二终端的注册阶段获取的;
通过所述中间服务器向所述第二终端发送所述前期验证密钥;
通过所述中间服务器接收所述第二终端发送的当前验证密钥,所述当前验证密钥是所述第二终端根据自身的第二加密密钥和所述前期验证密钥获取的;
根据所述第一加密密钥和所述当前验证密钥,获取与所述第二终端通信的通信密钥,其中,所述第二终端的当前加密密钥与所述第二终端的第二加密密钥相同。
在一个可选的实现中,所述当前验证密钥包括第一验证密钥和第二验证密钥;其中,所述第一验证密钥和第二验证密钥是所述第二终端根据自身的第二加密密钥和根据所述前期验证密钥获取的所述第一加密密钥得到的。
在一个可选的实现中,根据所述第一加密密钥和所述当前验证密钥,获取与所述第二终端通信的通信密钥,包括:
采用所述第一加密密钥解密所述第一验证密钥,得到所述第二终端的当前加密密钥;
采用所述第二终端的当前加密密钥解密所述第二验证密钥,得到所述第一终端的当前加密密钥;
检测得到的所述第一终端的当前加密密钥与所述第一加密密钥是否相同;
若相同,则根据所述第一加密密钥和所述第二终端的当前加密密钥,获取与所述第二终端通信的通信密钥。
在一个可选的实现中,根据所述第一加密密钥和所述第二终端的当前加密密钥,获取与所述第二终端通信的通信密钥,包括:
根据预设的密钥协商指令,对所述第一加密密钥和所述第二终端的当前加密密钥进行密钥拼装,获取与所述第二终端通信的通信密钥。
在一个可选的实现中,获取与所述第二终端通信的通信密钥之后,所述方法还包括:
采用初始通信密钥,对与所述第二终端通信的通信密钥进行加密,得到当前通信密钥;所述初始通信密钥为所述第一终端与所述第一终端所在终端集合中的第三终端通信的密钥;
通过所述中间服务器向所述第三终端发送所述当前通信密钥,以使所述第三终端根据所述初始通信密钥解密所述当前通信密钥得到与所述第二终端通信的通信密钥。
第二方面,提供了一种通信密钥的协商方法,该方法可以包括:
第二终端采用所述第二终端的私钥,对已建立通信连接的第一终端通过中间服务器发送的前期验证密钥进行解密,得到所述第一终端的第一加密密钥;所述中间服务器为分别与所述第一终端和所述第二终端通信的服务器;所述前期验证密钥为所述第一终端采用从所述中间服务器获取的所述第二终端的公钥对自身的第一加密密钥进行加密得到的;所述第二终端的公钥是所述中间服务器在所述第二终端的注册阶段获取的;
根据所述第一终端的第一加密密钥、自身的第二加密密钥和所述前期验证密钥,获取当前验证密钥;
通过所述中间服务器向所述第一终端发送所述当前验证密钥,以使所述第一终端根据所述当前验证密钥和自身的第一加密密钥,获取与所述第二终端通信的通信密钥。
在一个可选的实现中,所述当前验证密钥包括第一验证密钥和第二验证密钥;
根据所述第一终端的第一加密密钥、自身的第二加密密钥和所述前期验证密钥,获取当前验证密钥,包括:
采用得到的第一加密密钥,对所述第二加密密钥进行加密,得到第一验证密钥,以及采用第二加密密钥,对得到的第一加密密钥进行加密,得到第二验证密钥。
第三方面,提供了一种通信密钥的协商装置,该装置可以包括:加密单元、发送单元、接收单元和获取单元;
所述加密单元,用于采用从中间服务器获取已建立通信连接的第二终端的公钥,对第一加密密钥进行加密,得到前期验证密钥;所述中间服务器为分别与所述第一终端和所述第二终端通信的服务器;所述第二终端的公钥是所述中间服务器在所述第二终端的注册阶段获取的;
所述发送单元,用于通过所述中间服务器向所述第二终端发送所述前期验证密钥;
所述接收单元,用于通过所述中间服务器接收所述第二终端发送的当前验证密钥,所述当前验证密钥是所述第二终端根据自身的第二加密密钥和所述前期验证密钥获取的;
所述获取单元,用于根据所述第一加密密钥和所述当前验证密钥,获取与所述第二终端通信的通信密钥,其中,所述第二终端的当前加密密钥与所述第二终端的第二加密密钥相同。
在一个可选的实现中,所述当前验证密钥包括第一验证密钥和第二验证密钥;其中,所述第一验证密钥和第二验证密钥是所述第二终端根据自身的第二加密密钥和根据所述前期验证密钥获取的所述第一加密密钥得到的。
在一个可选的实现中,所述装置还包括检测单元;
所述获取单元,具体用于采用所述第一加密密钥解密所述第一验证密钥,得到所述第二终端的当前加密密钥;
以及,采用所述第二终端的当前加密密钥解密所述第二验证密钥,得到所述第一终端的当前加密密钥。
所述检测单元,用于检测得到的所述第一终端的当前加密密钥与所述第一加密密钥是否相同;
所述获取单元,还用于若相同,则根据所述第一加密密钥和所述第二终端的当前加密密钥,获取与所述第二终端通信的通信密钥。
在一个可选的实现中,所述获取单元,还具体用于根据预设的密钥协商指令,对所述第一加密密钥和所述第二终端的当前加密密钥进行密钥拼装,获取与所述第二终端通信的通信密钥。
在一个可选的实现中,所述加密单元,还用于采用初始通信密钥,对与所述第二终端通信的通信密钥进行加密,得到当前通信密钥;所述初始通信密钥为所述第一终端与所述第一终端所在终端集合中的第三终端通信的密钥;
所述发送单元,还用于通过所述中间服务器向所述第三终端发送所述当前通信密钥,以使所述第三终端根据所述初始通信密钥解密所述当前通信密钥得到与所述第二终端通信的通信密钥。
第四方面,提供了一种通信密钥的协商装置,该装置可以包括:解密单元、获取单元和发送单元;
所述解密单元,用于采用所述第二终端的私钥,对已建立通信连接的第一终端通过中间服务器发送的前期验证密钥进行解密,得到所述第一终端的第一加密密钥;所述中间服务器为分别与所述第一终端和所述第二终端通信的服务器;所述前期验证密钥为所述第一终端采用从所述中间服务器获取的所述第二终端的公钥对自身的第一加密密钥进行加密得到的;所述第二终端的公钥是所述中间服务器在所述第二终端的注册阶段获取的;
所述获取单元,用于根据所述第一终端的第一加密密钥、自身的第二加密密钥和所述前期验证密钥,获取当前验证密钥;
所述发送单元,用于通过所述中间服务器向所述第一终端发送所述当前验证密钥,以使所述第一终端根据所述当前验证密钥和自身的第一加密密钥,获取与所述第二终端通信的通信密钥。
在一个可选的实现中,所述当前验证密钥包括第一验证密钥和第二验证密钥;
所述获取单元,具体用于采用得到的第一加密密钥,对第二加密密钥进行加密,得到第一验证密钥,以及采用第二加密密钥,对得到的第一加密密钥进行加密,得到第二验证密钥。
第五方面,提供了一种电子设备,该电子设备包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述第一方面中任一所述的方法步骤或上述第二方面中任一项上所述的方法步骤。
第六方面,提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面中任一所述的方法步骤或上述第二方面中任一所述的方法步骤。
本发明实施例提供的通信密钥的协商方法中第一终端采用从中间服务器获取的已建立通信连接的第二终端的公钥,对第一加密密钥进行加密,得到前期验证密钥;通过中间服务器向第二终端发送所述前期验证密钥;通过中间服务器接收第二终端发送的当前验证密钥,当前验证密钥是第二终端根据自身的第二加密密钥和前期验证密钥获取的;根据第一加密密钥和当前验证密钥,获取与第二终端通信的通信密钥,其中,第二终端的当前加密密钥与第二终端的第二加密密钥相同。该协商方法是两终端间的协商,在两者协商出通信密钥后,将通信密钥存储在各自的存储器中,即中间服务器不获取通信密钥,避免了中间服务器被攻击时导致的通信数据的泄漏情况,从而保证了通信数据的安全性。
附图说明
图1为本发明实施例提供的一种应用通信密钥的协商方法的系统架构示意图;
图2为本发明实施例提供的一种通信密钥的协商方法的流程示意图;
图3为本发明实施例提供的一种通信密钥的协商装置的结构示意图;
图4为本发明实施例提供的另一种通信密钥的协商装置的结构示意图;
图5为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,并不是全部的实施例。基于本申请实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本发明实施例提供的通信密钥的协商方法可以应用图1所示的系统架构中,该系统可以包括至少一个终端和中间服务器。
中间服务器可以是应用服务器和云服务器,终端可以是移动电话、智能电话、笔记本电脑、数字广播接收器、个人数字助理(PDA)、平板电脑(PAD)等用户设备(UserEquipment,UE)、手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备、移动台(Mobile station,MS)、移动终端(Mobile Terminal)等。该终端具备经无线接入网(Radio Access Network,RAN)与一个或多个核心网进行通信的能力。
中间服务器分别与至少一个终端中的每个终端存在通信连接。至少一个终端中的终端之间存在通信连接。其中,至少一个终端在向中间服务器进行注册时将自身的公钥上传至中间服务器,以进行存储。
以下结合说明书附图对本申请的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明,并且在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
图2为本发明实施例提供的一种通信密钥的协商方法的流程示意图。该方法可以包括:
步骤210、第一终端从中间服务器获取已建立通信连接的第二终端的公钥。
第一终端A可以向中间服务器发送公钥获取请求,公钥获取请求可以包括第二终端B的终端标识;之后中间服务器获取与第二终端B的终端标识对应的公钥KPUB,并发送至第一终端A。
步骤220、第一终端采用获取的第二终端的公钥,对第一加密密钥进行加密,得到前期验证密钥。
第一加密密钥RKA可以是第一终端A随机生成的随机密钥,如随机数,也可以是自定义的加密密钥,本发明实施例在此不做限定。
第一终端A采用第二终端B的公钥KPUB,对第一加密密钥RKA进行加密,得到前期验证密钥ERKA,可以使第二终端B间接获取第一终端A的第一加密密钥RKA
例如,前期验证密钥可以表示为:ERKA—>KPUB[RKA],其中,[]表示加密操作。
步骤230、第一终端通过中间服务器向第二终端发送前期验证密钥。
步骤240、第二终端采用自身的私钥,对前期验证密钥进行解密,得到第一加密密钥。
第二终端B采用第二终端B的私钥KPRB,对前期验证密钥ERKA—>KPUB[RKA]进行解密,得到第一终端A的第一加密密钥RKA
步骤250、第二终端根据第一终端的第一加密密钥、自身的第二加密密钥和前期验证密钥,获取当前验证密钥。
其中,当前验证密钥包括第一验证密钥和第二验证密钥。
第二终端采用得到的第一加密密钥,对自身的第二加密密钥进行加密,得到第一验证密钥,以及采用第二加密密钥对得到的第一加密密钥进行加密,得到第二验证密钥。
具体的,采用第一加密密钥RKA,对第二加密密钥RKB进行加密,得到第一验证密钥可以表示为:ERKAB—>RKA[RKB];
采用第二加密密钥RKB,对得到的第一加密密钥RKA进行加密,得到第二验证密钥可以表示为:ERKBA—>RKB[RKA]。
可选地,第二加密密钥RKB可以是第二终端B随机生成的随机密钥,如随机数,也可以是自定义的加密密钥,本发明实施例在此不做限定。
步骤260、第二终端通过中间服务器向第一终端发送当前验证密钥。
当前验证密钥包括第一验证密钥和第二验证密钥。
步骤270、第一终端根据第一加密密钥和当前验证密钥,获取与第二终端通信的通信密钥。
第一终端采用第一加密密钥解密第一验证密钥,得到第二终端B的当前加密密钥;并采用第二终端的当前加密密钥解密第二验证密钥,得到第一终端A的当前加密密钥。
具体的,第一终端A按照先处理第一验证密钥解密,再处理第二验证密钥解密的顺序,先对第一验证密钥解密,再对第二验证密钥解密,解密出的第一终端A的当前加密密钥RKA’。
为了提高准确性,将解密出的第一终端A的当前加密密钥RKA’与第一终端A的第一加密密钥RKA进行比较;
若得到的第一终端A的当前加密密钥RKA’与第一加密密钥RKA相同,则根据第一加密密钥RKA和第二终端B的当前加密密钥RKB’,获取与第二终端B通信的通信密钥KK2。
其中,第二终端B的当前加密密钥RKB’与第二终端B的第二加密密钥RKB相同。
若得到的第一终端A的当前加密密钥RKA’与第一加密密钥RKA不相同,则结束本次协商流程。
可见,本发明上述实施例将第一终端与第二终端协商的通信密钥存储在各自的存储器中,中间服务器不存储通信密钥,即使中间服务器存储了通信数据,但因为没有通信密钥,避免了中间服务器被攻击时导致的通信数据的泄漏情况,从而保证了通信数据的安全性。
进一步的,第一终端A采用与第二终端B通信的通信密钥KK2,对待发送的通信数据进行加密,得到加密后的通信数据;之后通过所述中间服务器向第二终端B发送加密后的通信数据。
第二终端B根据相同的预设的密钥协商指令,对第一加密密钥RKA和第二加密密钥进行密钥拼装,获取与第一终端A通信的通信密钥KK2,之后采用通信密钥对第一终端A发送的加密后的通信数据进行解密,得到解密后的通信数据。
本发明上述实施例可以获取到第一终端与第二终端之间的通信密钥,实现两个终端间的数据通信。而对于第一终端所属的终端群组中的第三终端如何与第二终端进行数据通信,需要第一终端与第三终端进行通信密钥的二次协商。其中,第三终端为终端群组中除第一终端之外的其他终端。
在终端群组中第一终端与第三终端协商过的通信密钥为初始通信密钥KK1,即第一终端与第三终端通过初始通信密钥KK1进行数据通信。
第一终端采用初始通信密钥KK1,对与第二终端通信的通信密钥KK2进行加密,得到当前通信密钥KK3;
第一终端通过中间服务器向第三终端发送当前通信密钥KK3;
第三终端根据初始通信密钥KK1,对当前通信密钥KK3进行解密,得到与第二终端通信的通信密钥KK2。
由此,第一终端、第二终端和第三终端组成了新的终端群组,且使用通信密钥KK2作为数据通信的通信密钥。
可见,待传数据通信的两个终端在进行数据通信时,不需要两方都在线,一方不在线时,通信数据可以存放在中间服务器,由于通信数据使用的是对端的加密密钥加密,只有对端才能解开,所以不需要担心中间服务器获取到通信密钥,从而保证后续的传输的加密的通信数据只有对端或者群组内的成员才能解密,从而保证了通信数据的安全传输。
本发明实施例提供的通信密钥的协商方法中第一终端采用从中间服务器获取已建立通信连接的第二终端的公钥,对第一加密密钥进行加密,得到前期验证密钥;通过中间服务器向第二终端发送前期验证密钥,以及接收第二终端发送的当前验证密钥,当前验证密钥是第二终端根据自身的第二加密密钥和前期验证密钥获取的;根据第一加密密钥和当前验证密钥,获取第一终端的当前加密密钥和第二终端的当前加密密钥;根据第一加密密钥和第二终端的当前加密密钥,获取与第二终端通信的通信密钥,第二终端的当前加密密钥与第二终端的第二加密密钥相同。该协商方法是两终端间的协商,在两者协商出通信密钥后,将通信密钥存储在各自的存储器中,即中间服务器不获取通信密钥,避免了中间服务器被攻击时导致的通信数据的泄漏情况,从而保证了通信数据的安全性。
与上述方法对应的,本发明实施例还提供一种通信密钥的协商装置,如图3所示,该通信密钥的协商装置包括:加密单元310、发送单元320、接收单元330和获取单元340;
加密单元310,用于采用从中间服务器获取已建立通信连接的第二终端的公钥,对第一加密密钥进行加密,得到前期验证密钥;所述中间服务器为分别与所述第一终端和所述第二终端通信的服务器;所述第二终端的公钥是所述中间服务器在所述第二终端的注册阶段获取的;
发送单元320,用于通过所述中间服务器向所述第二终端发送所述前期验证密钥;
接收单元330,用于通过所述中间服务器接收所述第二终端发送的当前验证密钥,所述当前验证密钥是所述第二终端根据自身的第二加密密钥和所述前期验证密钥获取的;
获取单元340,用于根据所述第一加密密钥和所述当前验证密钥,获取与所述第二终端通信的通信密钥,其中,所述第二终端的当前加密密钥与所述第二终端的第二加密密钥相同。
在一个可选的实现中,所述装置还包括检测单元350;
获取单元340,具体用于采用所述第一加密密钥解密所述第一验证密钥,得到所述第二终端的当前加密密钥;
以及,采用所述第二终端的当前加密密钥解密所述第二验证密钥,得到所述第一终端的当前加密密钥。
检测单元350,用于检测得到的所述第一终端的当前加密密钥与所述第一加密密钥是否相同;
获取单元340,还用于若相同,则根据所述第一加密密钥和所述第二终端的当前加密密钥,获取与所述第二终端通信的通信密钥。
在一个可选的实现中,获取单元340,还具体用于根据预设的密钥协商指令,对所述第一加密密钥和所述第二终端的当前加密密钥进行密钥拼装,获取与所述第二终端通信的通信密钥。
在一个可选的实现中,加密单元310,还用于采用初始通信密钥,对与所述第二终端通信的通信密钥进行加密,得到当前通信密钥;所述初始通信密钥为所述第一终端与所述第一终端所在终端集合中的第三终端通信的密钥;
发送单元320,还用于通过所述中间服务器向所述第三终端发送所述当前通信密钥,以使所述第三终端根据所述初始通信密钥解密所述当前通信密钥得到与所述第二终端通信的通信密钥。
本发明上述实施例提供的通信密钥的协商装置的各功能单元的功能,可以通过上述各方法步骤来实现,因此,本发明实施例提供的通信密钥的协商装置中的各个单元的具体工作过程和有益效果,在此不复赘述。
与上述方法对应的,本发明实施例还提供另一种通信密钥的协商装置,如图4所示,该通信密钥的协商装置包括:解密单元410、获取单420元和发送单元430;
解密单元410,用于采用所述第二终端的私钥,对已建立通信连接的第一终端通过中间服务器发送的前期验证密钥进行解密,得到所述第一终端的第一加密密钥;所述中间服务器为分别与所述第一终端和所述第二终端通信的服务器;所述前期验证密钥为所述第一终端采用从所述中间服务器获取的所述第二终端的公钥对自身的第一加密密钥进行加密得到的;所述第二终端的公钥是所述中间服务器在所述第二终端的注册阶段获取的;
获取单元420,用于根据所述第一终端的第一加密密钥、自身的第二加密密钥和所述前期验证密钥,获取当前验证密钥;
发送单元430,用于通过所述中间服务器向所述第一终端发送所述当前验证密钥,以使所述第一终端根据所述当前验证密钥和自身的第一加密密钥,获取与所述第二终端通信的通信密钥。
在一个可选的实现中,所述当前验证密钥包括第一验证密钥和第二验证密钥;
获取单元420,具体用于采用得到的第一加密密钥,对第二加密密钥进行加密,得到第一验证密钥,以及采用第二加密密钥,对得到的第一加密密钥进行加密,得到第二验证密钥。
本发明上述实施例提供的通信密钥的协商装置的各功能单元的功能,可以通过上述各方法步骤来实现,因此,本发明实施例提供的通信密钥的协商装置中的各个单元的具体工作过程和有益效果,在此不复赘述。
本发明实施例还提供了一种电子设备,如图5所示,包括处理器510、通信接口520、存储器530和通信总线540,其中,处理器510,通信接口520,存储器530通过通信总线540完成相互间的通信。
存储器530,用于存放计算机程序;
处理器510,用于执行存储器530上所存放的程序时,实现如下步骤:
采用从中间服务器获取已建立通信连接的第二终端的公钥,对第一加密密钥进行加密,得到前期验证密钥;所述中间服务器为分别与所述第一终端和所述第二终端通信的服务器;所述第二终端的公钥是所述中间服务器在所述第二终端的注册阶段获取的;
通过所述中间服务器向所述第二终端发送所述前期验证密钥;
通过所述中间服务器接收所述第二终端发送的当前验证密钥,所述当前验证密钥是所述第二终端根据自身的第二加密密钥和所述前期验证密钥获取的;
根据所述第一加密密钥和所述当前验证密钥,获取与所述第二终端通信的通信密钥,其中,所述第二终端的当前加密密钥与所述第二终端的第二加密密钥相同。
在一个可选的实现中,所述当前验证密钥包括第一验证密钥和第二验证密钥;其中,所述第一验证密钥和第二验证密钥是所述第二终端根据自身的第二加密密钥和根据所述前期验证密钥获取的所述第一加密密钥得到的。
在一个可选的实现中,根据所述第一加密密钥和所述当前验证密钥,获取与所述第二终端通信的通信密钥,包括:
采用所述第一加密密钥解密所述第一验证密钥,得到所述第二终端的当前加密密钥;
采用所述第二终端的当前加密密钥解密所述第二验证密钥,得到所述第一终端的当前加密密钥;
检测得到的所述第一终端的当前加密密钥与所述第一加密密钥是否相同;
若相同,则根据所述第一加密密钥和所述第二终端的当前加密密钥,获取与所述第二终端通信的通信密钥。
在一个可选的实现中,根据所述第一加密密钥和所述第二终端的当前加密密钥,获取与所述第二终端通信的通信密钥,包括:
根据预设的密钥协商指令,对所述第一加密密钥和所述第二终端的当前加密密钥进行密钥拼装,获取与所述第二终端通信的通信密钥。
在一个可选的实现中,获取与所述第二终端通信的通信密钥之后,所述方法还包括:
采用初始通信密钥,对与所述第二终端通信的通信密钥进行加密,得到当前通信密钥;所述初始通信密钥为所述第一终端与所述第一终端所在终端集合中的第三终端通信的密钥;
通过所述中间服务器向所述第三终端发送所述当前通信密钥,以使所述第三终端根据所述初始通信密钥解密所述当前通信密钥得到与所述第二终端通信的通信密钥。
或,实现如下步骤:
采用所述第二终端的私钥,对已建立通信连接的第一终端通过中间服务器发送的前期验证密钥进行解密,得到所述第一终端的第一加密密钥;所述中间服务器为分别与所述第一终端和所述第二终端通信的服务器;所述前期验证密钥为所述第一终端采用从所述中间服务器获取的所述第二终端的公钥对自身的第一加密密钥进行加密得到的;所述第二终端的公钥是所述中间服务器在所述第二终端的注册阶段获取的;
根据所述第一终端的第一加密密钥、自身的第二加密密钥和所述前期验证密钥,获取当前验证密钥;
通过所述中间服务器向所述第一终端发送所述当前验证密钥,以使所述第一终端根据所述当前验证密钥和自身的第一加密密钥,获取与所述第二终端通信的通信密钥。
在一个可选的实现中,所述当前验证密钥包括第一验证密钥和第二验证密钥;
根据所述第一终端的第一加密密钥、自身的第二加密密钥和所述前期验证密钥,获取当前验证密钥,包括:
采用得到的第一加密密钥,对所述第二加密密钥进行加密,得到第一验证密钥,以及采用第二加密密钥,对得到的第一加密密钥进行加密,得到第二验证密钥。
上述提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
由于上述实施例中电子设备的各器件解决问题的实施方式以及有益效果可以参见图2所示的实施例中的各步骤来实现,因此,本发明实施例提供的电子设备的具体工作过程和有益效果,在此不复赘述。
在本发明提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的通信密钥的协商方法。
在本发明提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的通信密钥的协商方法。
本领域内的技术人员应明白,本申请实施例中的实施例可提供为方法、系统、或计算机程序产品。因此,本申请实施例中可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例中可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请实施例中是参照根据本申请实施例中实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请实施例中的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请实施例中范围的所有变更和修改。
显然,本领域的技术人员可以对本申请实施例中实施例进行各种改动和变型而不脱离本申请实施例中实施例的精神和范围。这样,倘若本申请实施例中实施例的这些修改和变型属于本申请实施例中权利要求及其等同技术的范围之内,则本申请实施例中也意图包含这些改动和变型在内。

Claims (10)

1.一种通信密钥的协商方法,其特征在于,所述方法包括:
第一终端采用从中间服务器获取已建立通信连接的第二终端的公钥,对第一加密密钥进行加密,得到前期验证密钥;所述中间服务器为分别与所述第一终端和所述第二终端通信的服务器;所述第二终端的公钥是所述中间服务器在所述第二终端的注册阶段获取的;
通过所述中间服务器向所述第二终端发送所述前期验证密钥;
通过所述中间服务器接收所述第二终端发送的当前验证密钥,所述当前验证密钥是所述第二终端根据自身的第二加密密钥和所述前期验证密钥获取的;
根据所述第一加密密钥和所述当前验证密钥,获取与所述第二终端通信的通信密钥,其中,所述第二终端的当前加密密钥与所述第二终端的第二加密密钥相同。
2.如权利要求1所述的方法,其特征在于,所述当前验证密钥包括第一验证密钥和第二验证密钥;其中,所述第一验证密钥和第二验证密钥是所述第二终端根据自身的第二加密密钥和根据所述前期验证密钥获取的所述第一加密密钥得到的。
3.如权利要求2所述的方法,其特征在于,根据所述第一加密密钥和所述当前验证密钥,获取与所述第二终端通信的通信密钥,包括:
采用所述第一加密密钥解密所述第一验证密钥,得到所述第二终端的当前加密密钥;
采用所述第二终端的当前加密密钥解密所述第二验证密钥,得到所述第一终端的当前加密密钥;
检测得到的所述第一终端的当前加密密钥与所述第一加密密钥是否相同;
若相同,则根据所述第一加密密钥和所述第二终端的当前加密密钥,获取与所述第二终端通信的通信密钥。
4.如权利要求3所述的方法,其特征在于,根据所述第一加密密钥和所述第二终端的当前加密密钥,获取与所述第二终端通信的通信密钥,包括:
根据预设的密钥协商指令,对所述第一加密密钥和所述第二终端的当前加密密钥进行密钥拼装,获取与所述第二终端通信的通信密钥。
5.一种通信密钥的协商方法,其特征在于,所述方法包括:
第二终端采用所述第二终端的私钥,对已建立通信连接的第一终端通过中间服务器发送的前期验证密钥进行解密,得到所述第一终端的第一加密密钥;所述中间服务器为分别与所述第一终端和所述第二终端通信的服务器;所述前期验证密钥为所述第一终端采用从所述中间服务器获取的所述第二终端的公钥对自身的第一加密密钥进行加密得到的;所述第二终端的公钥是所述中间服务器在所述第二终端的注册阶段获取的;
根据所述第一终端的第一加密密钥、自身的第二加密密钥和所述前期验证密钥,获取当前验证密钥;
通过所述中间服务器向所述第一终端发送所述当前验证密钥,以使所述第一终端根据所述当前验证密钥和自身的第一加密密钥,获取与所述第二终端通信的通信密钥。
6.如权利要求5所述的方法,其特征在于,所述当前验证密钥包括第一验证密钥和第二验证密钥;
根据所述第一终端的第一加密密钥、自身的第二加密密钥和所述前期验证密钥,获取当前验证密钥,包括:
采用得到的第一加密密钥,对所述第二加密密钥进行加密,得到第一验证密钥,以及采用第二加密密钥,对得到的第一加密密钥进行加密,得到第二验证密钥。
7.一种通信密钥的协商装置,其特征在于,所述装置包括:加密单元、发送单元、接收单元和获取单元;
所述加密单元,用于采用从中间服务器获取已建立通信连接的第二终端的公钥,对第一加密密钥进行加密,得到前期验证密钥;所述中间服务器为分别与所述第一终端和所述第二终端通信的服务器;所述第二终端的公钥是所述中间服务器在所述第二终端的注册阶段获取的;
所述发送单元,用于通过所述中间服务器向所述第二终端发送所述前期验证密钥;
所述接收单元,用于通过所述中间服务器接收所述第二终端发送的当前验证密钥,所述当前验证密钥是所述第二终端根据自身的第二加密密钥和所述前期验证密钥获取的;
所述获取单元,用于根据所述第一加密密钥和所述当前验证密钥,获取与所述第二终端通信的通信密钥,其中,所述第二终端的当前加密密钥与所述第二终端的第二加密密钥相同。
8.一种通信密钥的协商装置,其特征在于,所述装置包括:解密单元、获取单元和发送单元;
所述解密单元,用于采用所述第二终端的私钥,对已建立通信连接的第一终端通过中间服务器发送的前期验证密钥进行解密,得到所述第一终端的第一加密密钥;所述中间服务器为分别与所述第一终端和所述第二终端通信的服务器;所述前期验证密钥为所述第一终端采用从所述中间服务器获取的所述第二终端的公钥对自身的第一加密密钥进行加密得到的;所述第二终端的公钥是所述中间服务器在所述第二终端的注册阶段获取的;
所述获取单元,用于根据所述第一终端的第一加密密钥、自身的第二加密密钥和所述前期验证密钥,获取当前验证密钥;
所述发送单元,用于通过所述中间服务器向所述第一终端发送所述当前验证密钥,以使所述第一终端根据所述当前验证密钥和自身的第一加密密钥,获取与所述第二终端通信的通信密钥。
9.一种电子设备,其特征在于,所述电子设备包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存储的程序时,实现权利要求1-4任一所述的方法步骤或实现权利要求5-6任一所述的方法步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-4任一所述的方法步骤或实现权利要求5-6任一所述的方法步骤。
CN202010622055.1A 2020-06-30 2020-06-30 通信密钥的协商方法、装置、存储介质及电子设备 Pending CN111756535A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010622055.1A CN111756535A (zh) 2020-06-30 2020-06-30 通信密钥的协商方法、装置、存储介质及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010622055.1A CN111756535A (zh) 2020-06-30 2020-06-30 通信密钥的协商方法、装置、存储介质及电子设备

Publications (1)

Publication Number Publication Date
CN111756535A true CN111756535A (zh) 2020-10-09

Family

ID=72680274

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010622055.1A Pending CN111756535A (zh) 2020-06-30 2020-06-30 通信密钥的协商方法、装置、存储介质及电子设备

Country Status (1)

Country Link
CN (1) CN111756535A (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1934821A (zh) * 2004-03-22 2007-03-21 三星电子株式会社 装置和便携式存储器之间的认证
CN107040373A (zh) * 2016-01-15 2017-08-11 富士通株式会社 相互认证方法及认证设备
US10009325B1 (en) * 2017-12-07 2018-06-26 Karamba Security End-to-end communication security
CN109039628A (zh) * 2018-11-02 2018-12-18 美的集团股份有限公司 密钥协商方法、云服务器、设备、存储介质以及系统
CN110690967A (zh) * 2019-12-11 2020-01-14 杭州字节信息技术有限公司 一种不依赖于服务端安全的即时通信密钥确立方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1934821A (zh) * 2004-03-22 2007-03-21 三星电子株式会社 装置和便携式存储器之间的认证
CN107040373A (zh) * 2016-01-15 2017-08-11 富士通株式会社 相互认证方法及认证设备
US10009325B1 (en) * 2017-12-07 2018-06-26 Karamba Security End-to-end communication security
CN109039628A (zh) * 2018-11-02 2018-12-18 美的集团股份有限公司 密钥协商方法、云服务器、设备、存储介质以及系统
CN110690967A (zh) * 2019-12-11 2020-01-14 杭州字节信息技术有限公司 一种不依赖于服务端安全的即时通信密钥确立方法

Similar Documents

Publication Publication Date Title
CN107438230B (zh) 安全无线测距
CN112202772B (zh) 一种授权管理方法、装置、电子设备及介质
US9197420B2 (en) Using information in a digital certificate to authenticate a network of a wireless access point
CN103401678A (zh) 一种保障物联网数据传输安全的方法
US20070254614A1 (en) Secure wireless connections using ssid fields
CN105553951A (zh) 数据传输方法和装置
CN111131300B (zh) 通信方法、终端及服务器
WO2017035899A1 (zh) 一种数据安全处理方法、装置和系统
CN106778285B (zh) 用于对设备进行升级的方法、装置
CN107454590A (zh) 一种数据加密方法、解密方法及无线路由器
CN109309566B (zh) 一种认证方法、装置、系统、设备及存储介质
CN113806772A (zh) 基于区块链的信息加密传输方法及装置
CN107896223A (zh) 一种数据处理方法及系统、数据采集系统及数据接收系统
CN112822177B (zh) 数据传输方法、装置、设备和存储介质
CN109194701B (zh) 一种数据处理方法及装置
CN105791258A (zh) 一种数据传输方法、终端及开放平台
CN104796262B (zh) 数据加密方法及终端系统
CN106161224B (zh) 数据交换方法、装置及设备
WO2017040124A1 (en) System and method for detection of cloned devices
CN114095277A (zh) 配电网安全通信方法、安全接入设备及可读存储介质
CN108322464B (zh) 一种密钥验证方法及设备
CN110572825A (zh) 一种可穿戴设备认证装置及认证加密方法
CN106487761B (zh) 一种消息传输方法和网络设备
CN112712354A (zh) 一种数字货币钱包与数字货币服务器的交互方法
CN114554485B (zh) 异步会话密钥协商和应用方法、系统、电子设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20201009