CN112118210A - 一种认证密钥配置方法、设备、系统及存储介质 - Google Patents
一种认证密钥配置方法、设备、系统及存储介质 Download PDFInfo
- Publication number
- CN112118210A CN112118210A CN201910537966.1A CN201910537966A CN112118210A CN 112118210 A CN112118210 A CN 112118210A CN 201910537966 A CN201910537966 A CN 201910537966A CN 112118210 A CN112118210 A CN 112118210A
- Authority
- CN
- China
- Prior art keywords
- authentication
- equipment
- key
- authentication key
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请实施例提供一种认证密钥配置方法、设备、系统及存储介质。本申请实施例中,设备端可在安全通信连接过程中,自动触发服务端为设备端生成并下发认证密钥,或者自主生成认证密钥并上报至服务端,从而可实现认证密钥在设备端及服务端中的按需配置,设备端和服务端可基于认证密钥建立安全通信连接。据此,本实施例中,不再需要在产线中进行密钥烧制,而可实现在安全通信连接建立过程中按需配置认证密钥,这可有效降低对产线的影响。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种认证密钥配置方法、设备、系统及存储介质。
背景技术
为了保证通信数据的安全,通信双方通常需要进行链路双向认证,以建立安全传输通道,如TLS、SSL等。
认证密钥是建立安全传输通道的基础,为此,需要在生产阶段通过密钥烧录操作将认证密钥预置到设备中,以实现在通信双方中预置认证密钥。然而,密钥烧录操作对产线的安全环境要求较高,而且,由于不同的设备端需要烧制不同的认证密钥,因此,密钥烧录应用程序需要适配不同的认证密钥,这导致产线改造次数过多,流程复杂,产线成本不断攀高。
据此,亟需一种更便捷的认证密钥配置方案。
发明内容
本申请的多个方面提供一种认证密钥配置方法、设备、系统及存储介质,以更加便捷地在设备端中配置认证密钥,从而降低对产线的影响。
本申请实施例提供一种认证密钥配置方法,适应于设备端,包括:
获取认证密钥特定值,所述认证密钥特定值指示本地不存在建立安全通信连接所需的认证密钥;
根据所述设备端的设备指纹和产品密钥,生成设备认证信息;
将所述认证密钥特定值和所述设备认证信息封装到第一报文中;
向服务端发送所述第一报文,以请求所述服务端为所述设备端生成并下发所述认证密钥;
接收所述服务端为所述设备端生成并下发的所述认证密钥并保存在本地,以基于所述认证密钥与所述服务端建立安全通信连接。
本申请实施例还提供一种认证密钥配置方法,适用于服务端,包括:
接收设备端发送的第一报文,所述第一报文中携带有所述设备端的认证密钥特定值和设备认证信息,所述认证密钥特定值指示所述设备端的本地不存在建立安全通信连接所需的认证密钥;
基于所述认证密钥特定值的触发,根据所述设备认证信息,对所述设备端进行身份认证,并在所述设备端通过身份认证的情况下,为所述设备端生成认证密钥;
将所述认证密钥加密下发至所述设备端。
本申请实施例还提供一种认证密钥配置方法,适用于设备端,包括:
创建安全通信连接所需的认证密钥;
根据所述设备端的设备指纹和认证密钥,生成设备认证信息;
将所述设备认证信息和经加密后的所述认证密钥封装到第一报文中;
将所述第一报文发送至所述服务端,以将所述认证密钥上报至所述服务端。
本申请实施例还提供一种认证密钥配置方法,适用于服务端,包括:
接收所述设备端发送的第一报文,所述第一报文中包含设备认证信息和经加密的所述认证密钥;
根据所述设备认证信息对所述设备端进行身份认证,所述设备认证信息为所述设备端根据其设备指纹和所述认证密钥而生成的;
若所述设备端通过身份认证,保存所述设备端上报的所述认证密钥,以基于所述认证密钥与所述设备端建立安全通信连接。
本申请实施例还提供一种网络系统,包括设备端和服务端;
所述设备端用于获取认证密钥特定值,所述认证密钥特定值指示本地不存在建立安全通信连接所需的认证密钥;根据所述设备端的设备指纹和产品密钥,生成设备认证信息;将所述认证密钥特定值和所述设备认证信息封装到所述第一报文中;向服务端发送所述第一报文;接收所述服务端下发的认证密钥并保存在本地,以基于所述认证密钥与所述服务端建立安全通信连接;
所述服务端用于在根据所述第一报文,为所述设备端生成认证密钥,并加密下发至所述设备端。
本申请实施例还提供一种设备端,包括存储器、处理器和通信组件;
所述存储器用于存储一条或多条计算机指令;
所述处理器与所述存储器和所述通信组件耦合,用于执行所述一条或多条计算机指令,以用于:
获取认证密钥特定值,所述认证密钥特定值指示本地不存在建立安全通信连接所需的认证密钥;
根据所述设备端的设备指纹和产品密钥,生成设备认证信息;
将所述认证密钥特定值和所述设备认证信息封装到第一报文中;
通过所述通信组件向服务端发送所述第一报文,以请求所述服务端为所述设备端生成并下发所述认证密钥;
通过所述通信组件接收所述服务端为所述设备端生成并下发的所述认证密钥并保存在本地,以基于所述认证密钥与所述服务端建立安全通信连接。
本申请实施例还提供一种服务端,包括存储器、处理器和通信组件;
所述存储器用于存储一条或多条计算机指令;
所述处理器与所述存储器和所述通信组件耦合,用于执行所述一条或多条计算机指令,以用于:
通过所述通信组件接收设备端发送的第一报文,所述第一报文中携带有所述设备端的认证密钥特定值和设备认证信息,所述认证密钥特定值指示所述设备端的本地不存在建立安全通信连接所需的认证密钥;
基于所述认证密钥特定值的触发,根据所述设备认证信息,对所述设备端进行身份认证,并在所述设备端通过身份认证的情况下,为所述设备端生成认证密钥;
通过所述通信组件将所述认证密钥加密下发至所述设备端。
本申请实施例还提供一种网络系统,包括设备端和服务端;
所述设备端用于创建安全通信连接所需的认证密钥;根据所述设备端的设备指纹和所述认证密钥,生成设备认证信息;将所述设备认证信息和经加密后的所述认证密钥封装到第一报文中;将所述第一报文发送至所述服务端;
所述服务端用于在接收到所述设备端上报的所述第一报文的情况下,对所述设备端进行身份认证,并在所述设备端通过身份认证的情况下,保存所述设备端上报的所述认证密钥,以基于所述认证密钥与所述设备端建立安全通信连接。
本申请实施例还提供一种设备端,包括存储器、处理器和通信组件;
所述存储器用于存储一条或多条计算机指令;
所述处理器与所述存储器和所述通信组件耦合,用于执行所述一条或多条计算机指令,以用于:
创建安全通信连接所需的认证密钥;
根据所述设备端的设备指纹和认证密钥,生成设备认证信息;
将所述设备认证信息和经加密后的所述认证密钥封装到第一报文中;
通过所述通信组件将所述第一报文发送至所述服务端,以将所述认证密钥上报至所述服务端。
本申请实施例还提供一种服务端,包括存储器、处理器和通信组件;
所述存储器用于存储一条或多条计算机指令;
所述处理器与所述存储器和所述通信组件耦合,用于执行所述一条或多条计算机指令,以用于:
通过所述通信组件接收所述设备端发送的第一报文,所述第一报文中包含设备认证信息和经加密的所述认证密钥;
根据所述设备认证信息对所述设备端进行身份认证,所述设备认证信息为所述设备端根据其设备指纹和所述认证密钥而生成的;
若所述设备端通过身份认证,保存所述设备端上报的所述认证密钥,以基于所述认证密钥与所述设备端建立安全通信连接。
本申请实施例还提供一种存储计算机指令的计算机可读存储介质,当所述计算机指令被一个或多个处理器执行时,致使所述一个或多个处理器执行前述的认证密钥配置方法。
在本申请实施例中,设备端可在安全通信连接过程中,自动触发服务端为设备端生成并下发认证密钥,从而可实现认证密钥在设备端及服务端中的按需配置,设备端和服务端可基于认证密钥建立安全通信连接。据此,本实施例中,不再需要在产线中进行密钥烧制,而可实现在安全通信连接建立过程中按需配置认证密钥,这可有效降低对产线的影响。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请一实施例提供的一种网络系统的结构示意图;
图2为一示例性应用场景下设备端和服务端之间交互过程示意图;
图3为本申请另一实施例提供的一种认证密钥配置方法的流程示意图;
图4为本申请又一实施例提供的另一种认证密钥配置方法的流程示意图;
图5为本申请又一实施例提供的一种设备端的结构示意图;
图6为本申请又一实施例提供的一种服务端的结构示意图;
图7为本申请又一实施例提供的另一种网络系统的结构示意图;
图8为一示例性应用场景下设备端和服务端之间交互过程示意图;
图9为本申请又一实施例提供的又一种认证密钥配置方法的流程示意图;
图10为本申请又一实施例提供的又一种认证密钥配置方法的流程示意图;
图11为本申请又一实施例提供的另一种设备端的结构示意图;
图12为本申请又一实施例提供的另一种服务端的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
目前,通常采用密钥烧录的方式预置认证密钥,然而这种方式对产线的影响过大,成本高。为了改善现有技术存在的问题,在本申请的一些实施例中:设备端可在其本地不存在建立安全通信连接所需的认证密钥的情况下,在安全通信连接过程中,自动触发服务端为设备端生成并下发认证密钥,从而可实现认证密钥在设备端及服务端中的按需配置,设备端和服务端可基于认证密钥建立安全通信连接。据此,本实施例中,不再需要在产线中进行密钥烧制,而可实现在安全通信连接建立过程中按需配置认证密钥,这可有效降低对产线的影响。
以下结合附图,详细说明本申请各实施例提供的技术方案。
图1为本申请一实施例提供的网络系统的结构示意图。如图1所示,该系统包括:设备端10和服务端11。
本实施例提供的网络系统可应用于各种网络通信场景中,以保证网络通信的安全。在网络通信领域中,为了保证两个通信实体之间的通信安全,通信实体之间通常需要进行双向认证,以建立安全通信连接。其中,认证密钥是进行双向认证的基础,本实施例旨在提供一种便捷、高效且安全的认证密钥配置方案,以实现在两个通信实体中配置认证密钥,为双向认证提供基础。
在物理实现上,设备端10可以是个人电脑、智能手机、平板电脑等计算设备。服务端11可以是常规服务器、云服务器、云主机、虚拟中心等服务器设备。其中,服务器设备的构成主要包括处理器、硬盘、内存、系统总线等,和通用的计算机架构类似。当然,本实施例中设备端10和服务端11还是可采用其它物理实现形式,在此并不作限定。另外,本实施例中,服务端11可服务多个设备端10,并为多个设备端10下发认证密钥。本文中,将以其中一个设备端10为例,阐述认证密钥的配置方案。
在实际应用中,设备端10中可运行安全通信连接的管理应用程序,基于该管理应用程序,设备端10可执行本实施例中的相关处理动作。在设备端10中,具有安全通信连接需求的应用程序可调用该管理应用程序,以实现安全通信。对于具有安全通信连接需求的应用程序来说,对该管理应用程序的相关功能是无感知的,因此,本实施例提供的方案可避免对设备端10中上层应用程序的影响。另外,该管理应用程序具备通用性,不同设备、不同产品可通用该管理应用程序,因此,无需为适配不同产品或设备而多次开发管理应用程序,这使得本实施例提供的认证密钥配置方案具备高通用性,可满足不同场景的需求。
在服务端11中也可运行安全通信连接的管理应用程序,基于其上的管理应用程序,服务端11可执行本实施例中的相关处理动作。本实施例中,设备端10和服务端11上各自运行的管理应用程序之间可基于安全传输层协议TLS(Transport Layer Security)实现本实施例中的相关处理动作,以保证双方通信数据的私密性和完整性。
基于此,对设备端10来说,可获取认证密钥特定值,认证密钥特定值指示本地不存在建立安全通信连接所需的认证密钥;根据设备端的设备指纹和产品密钥,生成设备认证信息;将认证密钥特定值和设备认证信息封装到第一报文中;向服务端发送第一报文,以请求服务端为设备端生成并下发认证密钥。
设备端10中可预置以认证密钥特定值,该认证密钥特定值用于指示本地不存在认证密钥。例如,可将认证密钥特定值设定为FF…FF,设备端10可将预置的认证密钥特定值作为第一报文的扩展字段。当然,本实施例中并不限于该认证密钥特定值的实现方式。
其中,设备指纹是指可用于唯一标识出设备端10的设备特征或设备标识。例如,设备指纹可以是设备端10的固件信息等。不同设备端10的设备指纹不同。产品密钥则可在生产阶段配置在设备端10中,也可通过其它方式配置在设备端10中。产品密钥用于标识设备端10所属的产品。属于同一产品的不同设备端10中配置的产品密钥相同。
为避免设备端10中认证密钥的重复配置,本实施例中,设备端10还在获取认证密钥特定值之前,响应于建立安全通信连接的触发,判断本地是否存在建立安全通信连接所需的认证密钥;若确定本地不存在认证密钥,则执行获取认证密钥特定值的操作。
正如上文提及的,设备端10中可能存在多个具有安全通信连接需求的应用程序,在某个应用程序上发生安全通信连接需求的情况下,该应用程序可发起对前述管理应用程序的调用,据此将产生建立安全通信连接的触发。当然,本实施例中建立安全通信连接的触发不仅可来自于设备端10上的各上层应用程序,还可来自其它触发者,在此不作限定。据此,本实施例中,认证密钥配置过程的触发时机为按需配置,也即是根据设备端10上实际发生的安全通信连接需求触发配置过程。
基于此,本实施例中,设备端10可在其上发生安全通信连接需求的情况下,判断其本地是否已经配置有认证密钥,若其本地未配置认证密钥,则触发服务端11为其生成并下发认证密钥;若其本地已配置有认证密钥,则无需再执行认证密钥配置过程,而直接基于已有的认证密钥,与服务端11建立安全通信连接。这样,可在设备端10上首次发生安全通信连接需求,也即是首次发生需要使用认证密钥的事件的情况下,实现为设备端10配置认证密钥,该认证密钥可用于后续的安全通信连接。
对服务端11来说,可接收设备端10发送的第一报文;若第一报文中携带有设备端的认证密钥特定值和设备认证信息,基于认证密钥特定值的触发,根据设备认证信息,对设备端10进行身份认证,并在设备端10通过身份认证的情况下,为设备端10生成认证密钥;将认证密钥加密下发至设备端10。
服务端11接收到设备端10发送的第一报文的情况下,可解析第一报文以确定第一报文中是否携带认证密钥特定值。例如,服务端11可判断第一报文的扩展字段中是否存在认证密钥特定值。若服务端11确定第一报文中携带认证密钥特定值,则可确认需要为设备端10下发认证密钥。
据此,服务端11可为设备端10生成认证密钥。本实施例中并不限定认证密钥的生成规则,服务端11可随机为设备端10生成认证密钥,当然,也可根据其它密钥生成规则生成该认证密钥。
另外,服务端11还可为设备端10生成认证密钥标识,认证密钥标识用于唯一标识设备端10的认证密钥。本实施例中,服务端11可为不同的设备端10生成认证密钥及认证密钥标识,其中,不同设备端10的认证密钥标识各不相同,服务端11可根据认证密钥标识准确地确定出其管理的各设备端10对应的认证密钥。
基于认证密钥标识,在设备端10和服务端11之间后续的双向认证过程中,可通过交换认证密钥标识避免认证密钥的暴露,从而提高安全性。当然,本实施例中,并不限于采用认证密钥标识这种实现方式,本实施例中,也可采用其它实现方式来避免认证密钥的暴露,在此不再穷举。
服务端11可将为设备端10生成的认证密钥加密下发至设备端10,另外,服务端11还可将为设备端10生成的认证密钥标识也加密下发至设备端10。而服务端11自身也将保存其为设备端10生成的认证密钥及认证密钥标识,以供双向认证过程使用。
对设备端10来说,在接收到服务端11下发高的认证密钥的情况下,可将认证密钥保存至其本地。针对本次安全通信连接需求,可基于服务端11下发的认证密钥继续进行双向认证过程。针对设备端10上后续的安全通信连接需求,则可基于设备端10已保存的该认证密钥进行双向认证过程。另外,设备端10还可保存服务端11为其下发的认证密钥标识,并在双向认证过程中使用该认证密钥标识,当然,这不是必须的。
本实施例中,设备端10可在安全通信连接过程中,自动触发服务端11为设备端10生成并下发认证密钥,从而可实现认证密钥在设备端10及服务端11中的按需配置,设备端10和服务端11可基于认证密钥建立安全通信连接。据此,本实施例中,不再需要在产线中进行密钥烧制,而可实现在安全通信连接建立过程中按需配置认证密钥,这可有效降低对产线的影响。
在上述或下述实施例中,至少可采用以下实现方式实现服务端11对设备端10的身份认证:
设备端10可基于设备指纹生成基准摘要;根据产品密钥对设备指纹进行加密;根据基准摘要和经产品密钥加密后的设备指纹,生成设备认证信息,以供服务端11对设备端10进行身份认证。
相应地,对服务端11来说,可获取设备端10的产品密钥;基于设备端10的产品密钥,解密出设备端10的设备指纹;按照与设备端10约定的摘要生成规则,基于解密出的设备指纹生成认证摘要;根据认证摘要与基准摘要,对设备端10进行身份认证。
在本实施例中,设备端10和服务端11之间可约定摘要生成规则,基于设备端10的设备指纹,设备端10和服务端11可分别生成摘要,服务端11可根据两者所生成摘要的一致性对设备端10进行身份认证。若认证摘要与基准摘要一致,服务端11可确定设备端10通过身份认证;而若认证摘要与基准摘要不一致,服务器可确定设备端10未通过身份认证,第一报文可能遭到恶意篡改。
另外,在本实施例中,设备端10还可将产品密钥标识携带在设备认证信息中。服务端11可基于产品密钥标识,从预置的产品密钥集中获取到设备端10对应的产品密钥。据此,基于产品密钥标识,设备端10与服务端11之间通过传输产品密钥标识而避免产品密钥的暴露,从而保证产品密钥的安全性。其中,服务端11中预置有不同产品的产品密钥标识与产品密钥之间的对应关系。另外,不同产品的产品密钥标识不同。
当然,本实施例中,服务端11对设备端10进行身份认证的实现方式并不限于此,本实施例还可采用其它实现方式实现服务端11对设备端10的身份认证,例如,身份证书认证等等。
在上述或下述实施例中,设备端10还可在设备认证信息中携带经产品密钥加密后的会话密钥。对服务端11来说,可从设备认证信息中获取到会话密钥,并可基于该会话密钥加密认证密钥,以实现认证密钥的加密下发。
其中,本实施例中并不限定设备端10中会话密钥的生成规则,设备端10可随机生成该会话密钥,也可按照预置规则生成该会话密钥。
服务端11则可首先获取到设备端10的产品密钥,基于设备端10的产品密钥,解密出会话密钥;基于会话密钥,将认证密钥加密下发至设备端10。
本实施例中,经产品密钥加密该会话密钥可有效保证会话密钥的安全性,进而保证认证密钥传输过程的安全性。
另外,本实施例中,服务端11还可利用该会话密钥,将为设备端10生成的认证密钥标识加密下发至设备端10,以保证认证密钥标识的安全性。
在上述或下述实施例中,设备端10和服务端11之间可基于服务端11为设备端10下发的认证密钥及认证密钥标识,进行双向认证,以建立安全通信连接。
本实施例中,设备端10可基于认证密钥和设备指纹,生成设备认证信息;将认证密钥标识和设备认证信息封装在第二报文中,并将第二报文发送至服务端11。此时生成的设备认证信息与前述的认证密钥配置过程中的设备认证信息不同。在实际应用中,此时,设备端10可利用认证密钥对设备指纹进行加密,并基于经认证密钥加密后的设备指纹生成该设备认证信息。
而对于服务端11来说,在接收到设备端10发送的第二报文时,可基于第二报文中的设备认证信息对设备端10进行身份认证。
在一种示例性实现方式中,设备端10可采用根据设备指纹创建基础摘要,并在设备认证信息中携带基准摘要的方式,供服务端11进行身份认证。而服务端11可根据第二报文中的认证密钥标识,查找设备端10对应的认证密钥,并根据查找到的认证密钥解密出设备端10的设备指纹,基于设备指纹生成认证摘要;根据认证摘要和基准摘要,对设备端10进行身份认证。该过程与前述实施例中服务端11对设备端10的身份认证过程之间具有相似性,具体的细节可参考前述实施例中的相关描述,在此不再赘述。
至此,可实现服务端11对设备端10的身份认证;
服务端11在确定设备端10通过身份认证的情况下,可利用设备端10的认证密钥加密用于后续会话密钥协商的随机数,并将此携带在认证报文中发送至设备端10,设备端10可基于认证报文对服务端11进行身份认证。可选地,在此过程中,也可采用摘要的形式进行服务端11的身份认证,当然也可采用身份证书等形式,在此不作限定。
至此,设备端10和服务端11之间可基于认证密钥实现双向认证,进而建立起安全通信连接。
以下将以设备端和服务端之间按照TLS建立安全通信连接作为示例性应用场景,对本申请的技术方案进行示例性说明。其中,图2为该示例性应用场景下设备端和服务端之间交互过程示意图。
参考图2,TLS设备端中的TLS客户端(对应于前述实施例中的管理应用程序)在确定TLS设备端的本地不存在认证密钥时,向TLS服务端发送报文ClientHello-1,报文ClientHello-1中携带认证密钥特定值FF…FF以及基于产品密钥及设备指纹生成的设备认证信息AuthCode-C-1。TLS服务端根据设备认证信息AuthCode-C-1对TLS设备端进行身份认证,并在TLS设备端通过身份认证时,基于认证密钥特定值的触发为TLS设备端生成认证密钥Key Secret及认证密钥标识Key ID。TLS服务端向TLS设备端发送报文Hello VerifyRequest,并在报文Hello Verify Request携带认证密钥Key Secret及认证密钥标识KeyID。TLS设备端从报文Hello Verify Request中获取认证密钥Key Secret及认证密钥标识Key ID并保存至本地。
TLS设备端继续向TLS服务端发送报文ClientHello-2,报文ClientHello-2中携带认证密钥标识Key ID以及基于认证密钥及设备指纹生成的设备认证信息AuthCode-C-2。TLS服务端根据设备认证信息AuthCode-C-2对TLS设备端进行身份认证,并在TLS设备端通过身份认证时,向TLS设备端发送报文Server Hello,并在报文Server Hello中携带基于TLS设备端的认证密钥生成的设备认证信息AuthCode-S。TLS设备端可根据设备认证信息AuthCode-S对TLS服务端进行身份认证.
至此,可完成TLS设备端和TLS服务端中认证密钥的配置,并基于认证密钥完成两者之间的双向认证,从而在两者之间建立起安全通信连接。
图3为本申请另一实施例提供的一种认证密钥配置方法的流程示意图。如图3所示,该方法适用于网络系统中的设备端,该方法包括:
300、获取认证密钥特定值,认证密钥特定值指示本地不存在建立安全通信连接所需的认证密钥;
301、根据设备端的设备指纹和产品密钥,生成设备认证信息;
302、将认证密钥特定值和设备认证信息封装到第一报文中;
303、向服务端发送第一报文,以请求服务端为设备端生成并下发认证密钥;
304、接收服务端为设备端生成并下发的认证密钥并保存在本地,以基于认证密钥与服务端建立安全通信连接。
在一可选实施例中,步骤获取认证密钥特定值之前,该方法还包括:
响应于建立安全通信连接的触发,判断本地是否存在安全通信连接所需的认证密钥;
若确定本地不存在认证密钥,执行获取认证密钥特定值的操作。
在一可选实施例中,步骤根据设备端的设备指纹和产品密钥,生成设备认证信息,包括:
基于设备指纹生成基准摘要;
根据产品密钥对设备指纹进行加密;
根据基准摘要和经产品密钥加密后的设备指纹,生成设备认证信息,以供服务端对设备端进行身份认证。
在一可选实施例中,设备认证信息还包括:经产品密钥加密后的会话密钥,用于供服务端在下发认证密钥时对认证密钥进行加密。
在一可选实施例中,设备认证信息还包括:产品密钥标识,以供服务端获取产品密钥以对设备端进行身份认证。
在一可选实施例中,该方法还包括:
接收服务端为设备端生成的认证密钥标识;
基于认证密钥标识及认证密钥,与服务端建立安全通信连接。
值得说明的是,上述认证密钥配置方法的各实施例中涉及到的技术细节可参考前述网络系统的各实施例中对设备端的相关描述,为节省篇幅,在此不再赘述,但这不应造成本申请保护范围的损失。
图4为本申请另一实施例提供的另一种认证密钥配置方法的流程示意图。如图4所示,该方法适用于网络系统中的服务端,该方法包括:
400、接收设备端发送的第一报文,第一报文中携带有设备端的认证密钥特定值和设备认证信息,认证密钥特定值指示设备端的本地不存在建立安全通信连接所需的认证密钥;
401、基于认证密钥特定值的触发,根据设备认证信息,对设备端进行身份认证,并在设备端通过身份认证的情况下,为设备端生成认证密钥;
402、将认证密钥加密下发至设备端。
在一可选实施例中,设备认证信息中包含基准摘要和经设备端的产品密钥加密后的设备端的设备指纹,基准摘要为设备端根据其设备指纹而生成的;步骤根据设备认证信息,对设备端进行身份认证,包括
获取设备端的产品密钥;
基于设备端的产品密钥,解密出设备端的设备指纹;
按照与设备端约定的摘要生成规则,基于解密出的设备指纹生成认证摘要;
根据认证摘要与基准摘要,对设备端进行身份认证。
在一可选实施例中,设备认证信息中还包含经设备端的产品密钥加密后的会话密钥,步骤将认证密钥加密下发至设备端,包括:
获取设备端的产品密钥;
基于设备端的产品密钥,解密出会话密钥;
基于会话密钥,将认证密钥加密下发至设备端。
在一可选实施例中,设备认证信息中还包含设备端的产品密钥标识,步骤获取设备端的产品密钥,包括:
从产品密钥集中,查找与产品密钥标识对应的目标产品密钥,将目标产品密钥确定为设备端的产品密钥。
在一可选实施例中,该方法还包括:
若第一报文中携带有认证密钥请求信息,为设备端生成认证密钥标识;
将认证密钥标识加密传输至设备端;
基于为设备端生成的认证密钥标识及认证密钥,与设备端建立安全通信连接。
值得说明的是,上述认证密钥配置方法的各实施例中涉及到的技术细节可参考前述网络系统的各实施例中对服务端的相关描述,为节省篇幅,在此不再赘述,但这不应造成本申请保护范围的损失。
图5为本申请又一实施例提供的一种设备端的结构示意图。如图5所示,该设备端包括:存储器50、处理器51以及通信组件52。
存储器50,用于存储计算机程序,并可被配置为存储其它各种数据以支持在设备端上的操作。这些数据的示例包括用于在设备端上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。
处理器51,与存储器50及通信组件52耦合,用于执行存储器中的计算机程序,以用于:
获取认证密钥特定值,认证密钥特定值指示本地不存在建立安全通信连接所需的认证密钥;
根据设备端的设备指纹和产品密钥,生成设备认证信息;
将认证密钥特定值和设备认证信息封装到第一报文中;
通过通信组件52向服务端发送第一报文,以请求服务端为设备端生成并下发认证密钥;
通过通信组件52接收服务端为设备端生成并下发的认证密钥并保存在本地,以基于认证密钥与服务端建立安全通信连接。
在一可选实施例中,处理器51在获取认证密钥特定值之前,还用于:
响应于建立安全通信连接的触发,判断本地是否存在安全通信连接所需的认证密钥;
若确定本地不存在认证密钥,执行获取认证密钥特定值的操作。
在一可选实施例中,处理器51在根据设备端的设备指纹和产品密钥,生成设备认证信息时,用于:
基于设备指纹生成基准摘要;
根据产品密钥对设备指纹进行加密;
根据基准摘要和经产品密钥加密后的设备指纹,生成设备认证信息,以供服务端对设备端进行身份认证。
在一可选实施例中,设备认证信息还包括:经产品密钥加密后的会话密钥,用于供服务端在下发认证密钥时对认证密钥进行加密。
在一可选实施例中,设备认证信息还包括:产品密钥标识,以供服务端获取产品密钥以对设备端进行身份认证。
在一可选实施例中,处理器51还用于:
接收服务端为设备端生成的认证密钥标识;
基于认证密钥标识及认证密钥,与服务端建立安全通信连接。
进一步,如图5所示,该设备端还包括:显示器53、电源组件54、音频组件55等其它组件。图5中仅示意性给出部分组件,并不意味着设备端只包括图5所示组件。
值得说明的是,上述设备端的各实施例中涉及到的技术细节可参考前述网络系统的各实施例中对设备端的相关描述,为节省篇幅,在此不再赘述,但这不应造成本申请保护范围的损失。
相应地,本申请实施例还提供一种存储有计算机程序的计算机可读存储介质,计算机程序被执行时能够实现上述方法实施例中可由设备端执行的各步骤。
图6为本申请又一实施例提供的一种服务端的结构示意图。如图6所示,该设备端包括:存储器60、处理器61以及通信组件62。
存储器60,用于存储计算机程序,并可被配置为存储其它各种数据以支持在服务端上的操作。这些数据的示例包括用于在服务端上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。
处理器61,与存储器及通信组件62耦合,用于执行存储器中的计算机程序,以用于:
通过通信组件62接收设备端发送的第一报文,第一报文中携带有设备端的认证密钥特定值和设备认证信息,认证密钥特定值指示设备端的本地不存在建立安全通信连接所需的认证密钥;
基于认证密钥特定值的触发,根据设备认证信息,对设备端进行身份认证,并在设备端通过身份认证的情况下,为设备端生成认证密钥;
通过通信组件62将认证密钥加密下发至设备端。
在一可选实施例中,设备认证信息中包含基准摘要和经设备端的产品密钥加密后的设备端的设备指纹,基准摘要为设备端根据其设备指纹而生成的;处理器61在根据设备认证信息,对设备端进行身份认证时,用于:
获取设备端的产品密钥;
基于设备端的产品密钥,解密出设备端的设备指纹;
按照与设备端约定的摘要生成规则,基于解密出的设备指纹生成认证摘要;
根据认证摘要与基准摘要,对设备端进行身份认证。
在一可选实施例中,设备认证信息中还包含经设备端的产品密钥加密后的会话密钥,处理器61在将认证密钥加密下发至设备端时,用于:
获取设备端的产品密钥;
基于设备端的产品密钥,解密出会话密钥;
基于会话密钥,将认证密钥加密下发至设备端。
在一可选实施例中,设备认证信息中还包含设备端的产品密钥标识,处理器61在获取设备端的产品密钥时,用于:
从产品密钥集中,查找与产品密钥标识对应的目标产品密钥,将目标产品密钥确定为设备端的产品密钥。
在一可选实施例中,处理器61还用于:
若第一报文中携带有认证密钥请求信息,为设备端生成认证密钥标识;
将认证密钥标识加密传输至设备端;
基于为设备端生成的认证密钥标识及认证密钥,与设备端建立安全通信连接。
进一步,如图6所示,该服务端还包括:电源组件63等其它组件。图6中仅示意性给出部分组件,并不意味着服务端只包括图6所示组件。
值得说明的是,上述服务端的各实施例中涉及到的技术细节可参考前述网络系统的各实施例中对服务端的相关描述,为节省篇幅,在此不再赘述,但这不应造成本申请保护范围的损失。
相应地,本申请实施例还提供一种存储有计算机程序的计算机可读存储介质,计算机程序被执行时能够实现上述方法实施例中可由服务端执行的各步骤。
图7为本申请又一实施例提供的另一种网络系统的结构示意图。如图7所示,该网络系统包括:设备端20和服务端21。
本实施例提供的网络系统可应用于各种网络通信场景中,以保证网络通信的安全。
在物理实现上,设备端20可以是个人电脑、智能手机、平板电脑等计算设备。服务端21可以是常规服务器、云服务器、云主机、虚拟中心等服务器设备。其中,服务器设备的构成主要包括处理器、硬盘、内存、系统总线等,和通用的计算机架构类似。当然,本实施例中设备端20和服务端21还是可采用其它物理实现形式,在此并不作限定。另外,本实施例中,服务端21可服务多个设备端20,并为多个设备端20下发认证密钥。本文中,将以其中一个设备端20为例,阐述认证密钥的配置方案。
在实际应用中,设备端20中可运行安全通信连接的管理应用程序,基于该管理应用程序,设备端20可执行本实施例中的相关处理动作。在设备端20中,具有安全通信连接需求的应用程序可调用该管理应用程序,以实现安全通信。对于具有安全通信连接需求的应用程序来说,对该管理应用程序的相关功能是无感知的,因此,本实施例提供的方案可避免对设备端20中上层应用程序的影响。另外,该管理应用程序具备通用性,不同设备、不同产品可通用该管理应用程序,因此,无需为适配不同产品或设备而多次开发管理应用程序,这使得本实施例提供的认证密钥配置方案具备高通用性,可满足不同场景的需求。
在服务端21中也可运行安全通信连接的管理应用程序,基于其上的管理应用程序,服务端21可执行本实施例中的相关处理动作。本实施例中,设备端20和服务端21上各自运行的管理应用程序之间可基于安全传输层协议TLS(Transport Layer Security)实现本实施例中的相关处理动作,以保证双方通信数据的私密性和完整性。
基于此,对设备端20来说,可创建安全通信连接所需的认证密钥;根据设备端的设备指纹和认证密钥,生成设备认证信息;将设备认证信息和经加密后的认证密钥封装到第一报文中;将第一报文发送至服务端,以将认证密钥上报至服务端。
其中,设备指纹是指可用于唯一标识出设备端20的设备特征或设备标识。例如,设备指纹可以是设备端20的固件信息等。不同设备端20的设备指纹不同。
本实施例中,设备端20可自主创建认证密钥,并将认证密钥上报至服务器端。其中,设备端20可随机生成认证密钥,当然,也可根据其它密钥生成规则生成该认证密钥,本实施例对此不作限定。
基于设备端20自主创建的认证密钥,设备端20可根据其设备指纹和认证密钥,生成设备认证信息,以供服务端21对设备端20进行身份认证,设备端20可将设备认证信息和经加密后的认证密钥封装到第一报文中发送给服务端21。在一些实际应用中,设备端20可将设备认证信息和经加密后的认证密钥作为第一报文的扩展字段,当然,本实施例并不限于此。
为避免设备端20中认证密钥的重复配置,本实施例中,设备端20可在创建认证密钥之前,响应于建立安全通信连接的触发,判断本地是否存在建立安全通信连接所需的认证密钥;若确定本地不存在认证密钥,则执行创建认证密钥的操作。
正如上文提及的,设备端20中可能存在多个具有安全通信连接需求的应用程序,在某个应用程序上发生安全通信连接需求的情况下,该应用程序可发起对前述管理应用程序的调用,据此将产生建立安全通信连接的触发。当然,本实施例中建立安全通信连接的触发不仅可来自于设备端20上的各上层应用程序,还可来自其它触发者,在此不作限定。据此,本实施例中,认证密钥配置过程的触发时机为按需配置,也即是根据设备端20上实际发生的安全通信连接需求触发配置过程。
据此,本实施例中,设备端20可在其上发生安全通信连接需求的情况下,判断其本地是否已经配置有认证密钥,若其本地未配置认证密钥,则可自主生成认证密钥,并上报至服务端21,以完成认证密钥配置;若其本地已配置有认证密钥,则无需再执行认证密钥配置过程,而直接基于已有的认证密钥,与服务端21建立安全通信连接。这样,可在设备端20上首次发生安全通信连接需求,也即是首次发生需要使用认证密钥的事件的情况下,实现认证密钥在设备端20和服务端21中的配置,该认证密钥可用于后续的安全通信连接。
对服务端21来说,在接收到设备端20发送的第一报文的情况下,可解析出第一报文中的认证密钥和设备认证信息,并根据设备认证信息对设备端20进行身份认证,在设备端20通过身份认证的情况下,保存该认证密钥作为设备端20对应的认证密钥。
本实施例中,至少可采用以下实现方式实现服务端21对设备端20进行的身份认证。
设备端20可基于设备指纹生成基准摘要;根据认证密钥对设备指纹进行加密;根据基准摘要和经认证密钥加密后的设备指纹,生成设备认证信息,以供服务端21对设备端20进行身份认证。
相应地,对服务端21来说,从第一报文中解密出认证密钥;基于认证密钥,解密出设备端20的设备指纹;按照与设备端20约定的摘要生成规则,基于解密出的设备指纹生成认证摘要;根据认证摘要与基准摘要,对设备端20进行身份认证。
其中,设备端20和服务端21之间可约定摘要生成规则,基于设备端20的设备指纹,设备端20和服务端21可分别生成摘要,服务端21可根据两者所生成摘要的一致性对设备端20进行身份认证。若认证摘要与基准摘要一致,服务端21可确定设备端20通过身份认证;而若认证摘要与基准摘要不一致,服务器可确定设备端20未通过身份认证,第一报文可能遭到恶意篡改。
另外,为了保证认证密钥的安全性,设备端20可创建用于传输认证密钥的会话密钥。其中,本实施例中并不限定设备端20中会话密钥的生成规则,设备端20可随机生成该会话密钥,也可按照预置规则生成该会话密钥。
设备端20可利用其产品密钥加密该会话密钥,并利用该会话密钥加密其自主生成的认证密钥,据此,设备端20可将经加密后的认证密钥封装在第一报文中,例如,经加密后的认证密钥可作为第一报文的一个扩展字段。
其中,产品密钥则可在生产阶段配置在设备端20中,也可通过其它方式配置在设备端20中。产品密钥用于标识设备端20所属的产品。属于同一产品的不同设备端20中配置的产品密钥相同。
相应地,服务端21可获取设备端20的产品密钥,基于产品密钥解密出会话密钥,在基于会话密钥解密出认证密钥,以获取到认证密钥以及基于认证密钥解密出设备指纹并对设备端20进行身份认证。
设备端20还可将其产品密钥标识封装在第一报文中,例如,可携带在设备认证信息中。服务端21可基于产品密钥标识,从预置的产品密钥集中获取到设备端20对应的产品密钥,进而解密出认证密钥。据此,基于产品密钥标识,设备端20与服务端21之间通过传输产品密钥标识而避免产品密钥的暴露,从而保证产品密钥的安全性。其中,服务端21中预置有不同产品的产品密钥标识与产品密钥之间的对应关系。另外,不同产品的产品密钥标识不同。
当然,本实施例中,服务端21对设备端20进行身份认证的实现方式并不限于此,本实施例还可采用其它实现方式实现服务端21对设备端20的身份认证,例如,身份证书认证等等。
可选地,服务端21在确定设备端20通过身份认证的情况下,可向设备端20返回认证报文,以供设备端20确定其自主生成的认证密钥已被设备端20保存。而设备端20则可将其自主生成的认证密钥保存在本地,作为其与服务端21后续进行双向认证的基础。当然,如果设备端20获知服务端21未保存其上报的认证密钥,则可重新进行上报。
本实施例中,设备端20可在安全通信连接过程中,自主生成认证密钥,并上报至服务端21。从而可实现认证密钥在设备端20及服务端21中的按需配置,设备端20和服务端21可基于认证密钥建立安全通信连接。据此,本实施例中,可实现在安全通信连接建立过程中按需配置认证密钥,不再需要在产线中进行密钥烧制,这可有效降低对产线的影响。
在上述或下述实施例中,服务端21还可在确定设备端20通过身份认证的情况下,为设备端20生成认证密钥标识。认证密钥标识用于唯一标识设备端20的认证密钥。本实施例中,服务端21可为不同的设备端20生成认证密钥标识,其中,不同设备端20的认证密钥标识各不相同,服务端21可根据认证密钥标识准确地确定出其管理的各设备端20对应的认证密钥。
基于认证密钥标识,在设备端20和服务端21之间后续的双向认证过程中,可通过交换认证密钥标识避免认证密钥的暴露,从而提高安全性。当然,本实施例中,并不限于采用认证密钥标识这种实现方式,本实施例中,也可采用其它实现方式来避免认证密钥的暴露,在此不再穷举。
服务端21可将为设备端20生成的认证密钥标识加密下发至设备端20。而服务端21自身也将保存其为设备端20生成的认证密钥标识,以供双向认证过程使用。在实际应用中,服务端21可利用其中前述实施例中提及的第一报文中解密出的会话密钥,加密认证密钥标识,以将认证密钥标识加密下发至设备端20。另外,经加密的认证密钥标识可携带在前述服务端21向设备端20发送的认证报文中。
设备端20在接收到服务端21下发的认证密钥标识的情况下,可将认证密钥标识保存在本地,并在双向认证过程中使用该认证密钥标识,当然,这不是必须的。
在上述或下述实施例中,设备端20和服务端21之间可基于设备端20自主生成的认证密钥及服务端21为设备端20下发的认证密钥标识,进行双向认证,以建立安全通信连接。
本实施例中,设备端20可基于认证密钥和设备指纹,生成设备认证信息;将认证密钥标识和设备认证信息封装在第二报文中,并将第二报文发送至服务端21。在实际应用中,此时,设备端20可利用认证密钥对设备指纹进行加密,并基于经认证密钥加密后的设备指纹生成该设备认证信息。
而对于服务端21来说,在接收到设备端20发送的第二报文时,可基于第二报文中的设备认证信息对设备端20进行身份认证。
在一种示例性实现方式中,设备端20可采用根据设备指纹创建基础摘要,并在设备认证信息中携带基准摘要的方式,供服务端21进行身份认证。而服务端21可根据第二报文中的认证密钥标识,查找设备端20对应的认证密钥,并根据查找到的认证密钥解密出设备端20的设备指纹,基于设备指纹生成认证摘要;根据认证摘要和基准摘要,对设备端20进行身份认证。该过程与前述实施例中服务端21对设备端20的身份认证过程之间具有相似性,具体的细节可参考前述实施例中的相关描述,在此不再赘述。
至此,可实现服务端21对设备端20的身份认证;
服务端21在确定设备端20通过身份认证的情况下,可利用设备端20的认证密钥加密用于后续会话密钥协商的随机数,并将此携带在认证报文中发送至设备端20,设备端20可基于认证报文对服务端21进行身份认证。可选地,在此过程中,也可采用摘要的形式进行服务端21的身份认证,当然也可采用身份证书等形式,在此不作限定。
至此,设备端20和服务端21之间可基于认证密钥实现双向认证,进而建立起安全通信连接。
以下将以设备端和服务端之间按照TLS建立安全通信连接作为示例性应用场景,对本申请的技术方案进行示例性说明。其中,图8为该示例性应用场景下设备端和服务端之间交互过程示意图。
参考图8,TLS设备端中的TLS客户端(对应于前述实施例中的管理应用程序)在确定TLS设备端的本地不存在认证密钥时,TLS设备端自主生成认证密钥Key Secret,并向TLS服务端发送报文ClientHello-1,报文ClientHello-1中携带认证密钥Key Secret以及基于认证密钥及设备指纹生成的设备认证信息AuthCode-C-1。TLS服务端根据设备认证信息AuthCode-C-1对TLS设备端进行身份认证,并在TLS设备端通过身份认证时,为TLS设备端生成认证密钥标识Key ID。TLS服务端向TLS设备端发送报文Hello Verify Request,并在报文Hello Verify Request携带认证密钥标识Key ID。TLS设备端从报文Hello VerifyRequest中获取认证密钥标识Key ID并保存至本地。
TLS设备端继续向TLS服务端发送报文ClientHello-2,报文ClientHello-2中携带认证密钥标识Key ID以及基于认证密钥及设备指纹生成的设备认证信息AuthCode-C-2。TLS服务端根据设备认证信息AuthCode-C-2对TLS设备端进行身份认证,并在TLS设备端通过身份认证时,向TLS设备端发送报文Server Hello,并在报文Server Hello中携带基于TLS设备端的认证密钥生成的设备认证信息AuthCode-S。TLS设备端可根据设备认证信息AuthCode-S对TLS服务端进行身份认证.
至此,可完成TLS设备端和TLS服务端中认证密钥的配置,并基于认证密钥完成两者之间的双向认证,从而在两者之间建立起安全通信连接。
图9为本申请又一实施例提供的又一种认证密钥配置方法的流程示意图,如图9所示,该方法适应于网络系统中的设备端,该方法包括:
900、创建安全通信连接所需的认证密钥;
901、根据设备端的设备指纹和认证密钥,生成设备认证信息;
902、将设备认证信息和经加密后的认证密钥封装到第一报文中;
903、将第一报文发送至服务端,以将认证密钥上报至服务端。
在一可选实施例中,步骤900之前,包括:
响应于建立安全通信连接的触发,判断本地是否存在安全通信连接所需的认证密钥;
若确定本地不存在认证密钥,执行步骤900。
在一可选实施例中,步骤901,包括:
基于设备指纹生成基准摘要;
根据认证密钥对设备指纹进行加密;
根据基准摘要和经认证密钥加密后的设备指纹,生成设备认证信息,以供服务端对设备端进行身份认证。
在一可选实施例中,第一报文中的认证密钥经会话密钥加密;设备认证信息还包含经产品密钥加密后的会话密钥,用于供服务端解密出认证密钥以对设备端进行身份认证。
在一可选实施例中,设备认证信息中还包含产品密钥标识,用于供服务端获取产品密钥以解密出会话密钥。
在一可选实施例中,该方法还包括:
接收服务端为设备端生成的认证密钥标识;
基于认证密钥标识及认证密钥,与服务端建立安全通信连接。
值得说明的是,上述认证密钥配置方法的各实施例中涉及到的技术细节可参考前述网络系统的各实施例中对设备端的相关描述,为节省篇幅,在此不再赘述,但这不应造成本申请保护范围的损失。
图10为本申请又一实施例提供的又一种认证密钥配置方法的流程示意图。如图10所示,该方法包括:
100、接收设备端发送的第一报文,第一报文中包含设备认证信息和经加密的认证密钥;
101、根据设备认证信息对设备端进行身份认证,设备认证信息为设备端根据其设备指纹和认证密钥而生成的;
102、若设备端通过身份认证,保存设备端上报的认证密钥,以基于认证密钥与设备端建立安全通信连接。
在一可选实施例中,设备认证信息中包含基准摘要和经认证密钥加密后的设备端的设备指纹,基准摘要为设备端根据其设备指纹而生成的;步骤根据设备认证信息对设备端进行身份认证,包括
从第一报文中获取认证密钥;
基于认证密钥,解密出设备端的设备指纹;
按照与设备端约定的摘要生成规则,基于解密出的设备指纹生成认证摘要;
根据认证摘要与基准摘要,对设备端进行身份认证。
在一可选实施例中,设备认证信息中还包括经设备端的产品密钥加密的会话密钥;第一报文中的认证密钥经会话密钥加密;步骤从第一报文中获取认证密钥,包括:
获取设备端的产品密钥;
基于设备端的产品密钥,解密出会话密钥;
基于解密出的会话密钥,解密出认证密钥。
在一可选实施例中,设备认证信息中还包含设备端的产品密钥标识,步骤获取设备端的产品密钥,包括:
从产品密钥集中,查找与产品密钥标识对应的目标产品密钥,将目标产品密钥确定为设备端的产品密钥。
在一可选实施例中,该方法还包括:
若设备端通过身份认证,为设备端生成认证密钥标识;
将认证密钥标识加密传输至设备端;
基于设备端上报的认证密钥及为设备端生成的认证密钥标识,与设备端建立安全通信连接。
值得说明的是,上述认证密钥配置方法的各实施例中涉及到的技术细节可参考前述网络系统的各实施例中对服务端的相关描述,为节省篇幅,在此不再赘述,但这不应造成本申请保护范围的损失。
图11为本申请又一实施例提供的另一种设备端的结构示意图。如图11所示,该设备端包括:存储器110、处理器111以及通信组件112。
存储器110,用于存储计算机程序,并可被配置为存储其它各种数据以支持在设备端上的操作。这些数据的示例包括用于在设备端上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。
处理器111,与存储器110及通信组件112耦合,用于执行存储器中的计算机程序,以用于:
创建安全通信连接所需的认证密钥;
根据设备端的设备指纹和认证密钥,生成设备认证信息;
将设备认证信息和经加密后的认证密钥封装到第一报文中;
通过通信组件112将第一报文发送至服务端,以将认证密钥上报至服务端。在一可选实施例中,处理器111在创建安全通信连接所需的认证密钥之前,用于:
响应于建立安全通信连接的触发,判断本地是否存在安全通信连接所需的认证密钥;
若确定本地不存在认证密钥,执行创建安全通信连接所需的认证密钥的操作。
在一可选实施例中,处理器111在根据设备端的设备指纹和认证密钥,生成设备认证信息时,用于:
基于设备指纹生成基准摘要;
根据认证密钥对设备指纹进行加密;
根据基准摘要和经认证密钥加密后的设备指纹,生成设备认证信息,以供服务端对设备端进行身份认证。
在一可选实施例中,第一报文中的认证密钥经会话密钥加密;设备认证信息还包含经产品密钥加密后的会话密钥,用于供服务端解密出认证密钥以对设备端进行身份认证。
在一可选实施例中,设备认证信息中还包含产品密钥标识,用于供服务端获取产品密钥以解密出会话密钥。
在一可选实施例中,处理器111还用于:
接收服务端为设备端生成的认证密钥标识;
基于认证密钥标识及认证密钥,与服务端建立安全通信连接。
进一步,如图11所示,该设备端还包括:显示器113、电源组件114、音频组件115等其它组件。图11中仅示意性给出部分组件,并不意味着设备端只包括图11所示组件。
值得说明的是,上述设备端的各实施例中涉及到的技术细节可参考前述网络系统的各实施例中对设备端的相关描述,为节省篇幅,在此不再赘述,但这不应造成本申请保护范围的损失。
相应地,本申请实施例还提供一种存储有计算机程序的计算机可读存储介质,计算机程序被执行时能够实现上述方法实施例中可由设备端执行的各步骤。
图12为本申请又一实施例提供的一种服务端的结构示意图。如图6所示,该设备端包括:存储器120、处理器121以及通信组件122。
存储器120,用于存储计算机程序,并可被配置为存储其它各种数据以支持在服务端上的操作。这些数据的示例包括用于在服务端上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。
处理器121,与存储器120及通信组件122耦合,用于执行存储器中的计算机程序,以用于:
在通过通信组件122接收设备端发送的第一报文,第一报文中包含设备认证信息和经加密的认证密钥;
根据设备认证信息对设备端进行身份认证,设备认证信息为设备端根据其设备指纹和认证密钥而生成的;
若设备端通过身份认证,保存设备端上报的认证密钥,以基于认证密钥与设备端建立安全通信连接。
在一可选实施例中,设备认证信息中包含基准摘要和经认证密钥加密后的设备端的设备指纹,基准摘要为设备端根据其设备指纹而生成的;处理器121在根据设备认证信息对设备端进行身份认证时,用于:
从第一报文中获取认证密钥;
基于认证密钥,解密出设备端的设备指纹;
按照与设备端约定的摘要生成规则,基于解密出的设备指纹生成认证摘要;
根据认证摘要与基准摘要,对设备端进行身份认证。
在一可选实施例中,设备认证信息中还包括经设备端的产品密钥加密的会话密钥;第一报文中的认证密钥经会话密钥加密;处理器121在从第一报文中获取认证密钥时,用于:
获取设备端的产品密钥;
基于设备端的产品密钥,解密出会话密钥;
基于解密出的会话密钥,解密出认证密钥。
在一可选实施例中,设备认证信息中还包含设备端的产品密钥标识,处理器121在获取设备端的产品密钥时,用于:
从产品密钥集中,查找与产品密钥标识对应的目标产品密钥,将目标产品密钥确定为设备端的产品密钥。
在一可选实施例中,处理器121还用于:
若设备端通过身份认证,为设备端生成认证密钥标识;
将认证密钥标识加密传输至设备端;
基于设备端上报的认证密钥及为设备端生成的认证密钥标识,与设备端建立安全通信连接。
进一步,如图12所示,该服务端还包括:电源组件123等其它组件。图12中仅示意性给出部分组件,并不意味着服务端只包括图12所示组件。
值得说明的是,上述服务端的各实施例中涉及到的技术细节可参考前述网络系统的各实施例中对服务端的相关描述,为节省篇幅,在此不再赘述,但这不应造成本申请保护范围的损失。
相应地,本申请实施例还提供一种存储有计算机程序的计算机可读存储介质,计算机程序被执行时能够实现上述方法实施例中可由服务端执行的各步骤。
其中,图5、6、11和12中的存储器,可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
其中,图5、6、11和12中的通信组件,被配置为便于通信组件所在设备和其他设备之间有线或无线方式的通信。通信组件所在设备可以接入基于通信标准的无线网络,如WiFi,2G或3G,或它们的组合。在一个示例性实施例中,通信组件经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,所述通信组件可基于近场通信(NFC)技术、射频识别(RFID)技术、红外数据协会(IrDA)技术、超宽带(UWB)技术、蓝牙(BT)技术或其它技术来实现,以促进短程通信。
其中,图5和11中的显示器包括屏幕,其屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与所述触摸或滑动操作相关的持续时间和压力。
其中,图5、6、11和12中的电源组件,为电源组件所在设备的各种组件提供电力。电源组件可以包括电源管理系统,一个或多个电源,及其他与为电源组件所在设备生成、管理和分配电力相关联的组件。
其中,图5和11中的音频组件,可被配置为输出和/或输入音频信号。例如,音频组件包括一个麦克风(MIC),当音频组件所在设备处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器或经由通信组件发送。在一些实施例中,音频组件还包括一个扬声器,用于输出音频信号。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (29)
1.一种认证密钥配置方法,适应于设备端,其特征在于,包括:
获取认证密钥特定值,所述认证密钥特定值指示本地不存在建立安全通信连接所需的认证密钥;
根据所述设备端的设备指纹和产品密钥,生成设备认证信息;
将所述认证密钥特定值和所述设备认证信息封装到第一报文中;
向服务端发送所述第一报文,以请求所述服务端为所述设备端生成并下发所述认证密钥;
接收所述服务端为所述设备端生成并下发的所述认证密钥并保存在本地,以基于所述认证密钥与所述服务端建立安全通信连接。
2.根据权利要求1所述的方法,其特征在于,在获取认证密钥特定值之前,所述方法还包括:
响应于建立安全通信连接的触发,判断本地是否存在安全通信连接所需的所述认证密钥;
若确定本地不存在所述认证密钥,执行所述获取认证密钥特定值的操作。
3.根据权利要求1所述的方法,其特征在于,根据所述设备端的设备指纹和产品密钥,生成设备认证信息,包括:
基于所述设备指纹生成基准摘要;
根据所述产品密钥对所述设备指纹进行加密;
根据所述基准摘要和经所述产品密钥加密后的设备指纹,生成所述设备认证信息,以供所述服务端对所述设备端进行身份认证。
4.根据权利要求3所述的方法,其特征在于,所述设备认证信息还包括:经所述产品密钥加密后的会话密钥,用于供服务端在下发所述认证密钥时对所述认证密钥进行加密。
5.根据权利要求3所述的方法,其特征在于,所述设备认证信息还包括:产品密钥标识,以供所述服务端获取所述产品密钥以对所述设备端进行身份认证。
6.根据权利要求1~5任一项所述的方法,其特征在于,还包括:
接收所述服务端为所述设备端生成的认证密钥标识;
基于所述认证密钥标识及所述认证密钥,与所述服务端建立安全通信连接。
7.一种认证密钥配置方法,适用于服务端,其特征在于,包括:
接收设备端发送的第一报文,所述第一报文中携带有所述设备端的认证密钥特定值和设备认证信息,所述认证密钥特定值指示所述设备端的本地不存在建立安全通信连接所需的认证密钥;
基于所述认证密钥特定值的触发,根据所述设备认证信息,对所述设备端进行身份认证,并在所述设备端通过身份认证的情况下,为所述设备端生成认证密钥;
将所述认证密钥加密下发至所述设备端。
8.根据权利要求7所述的方法,其特征在于,所述设备认证信息中包含基准摘要和经所述设备端的产品密钥加密后的所述设备端的设备指纹,所述基准摘要为所述设备端根据其设备指纹而生成的;所述根据所述设备认证信息,对所述设备端进行身份认证,包括:
获取所述设备端的产品密钥;
基于所述设备端的产品密钥,解密出所述设备端的设备指纹;
按照与所述设备端约定的摘要生成规则,基于解密出的设备指纹生成认证摘要;
根据所述认证摘要与所述基准摘要,对所述设备端进行身份认证。
9.根据权利要求7所述的方法,其特征在于,所述设备认证信息中还包含经所述设备端的产品密钥加密后的会话密钥,所述将所述认证密钥加密下发至所述设备端,包括:
获取所述设备端的产品密钥;
基于所述设备端的产品密钥,解密出所述会话密钥;
基于所述会话密钥,将所述认证密钥加密下发至所述设备端。
10.根据权利要求8或9所述的方法,其特征在于,所述设备认证信息中还包含所述设备端的产品密钥标识,所述获取所述设备端的产品密钥,包括:
从产品密钥集中,查找与所述产品密钥标识对应的目标产品密钥,将所述目标产品密钥确定为所述设备端的产品密钥。
11.根据权利要求7-10任一项所述的方法,其特征在于,还包括:
若所述设备端通过身份认证,为所述设备端生成认证密钥标识;
将所述认证密钥标识加密传输至所述设备端;
基于为所述设备端生成的所述认证密钥标识及所述认证密钥,与所述设备端建立安全通信连接。
12.一种认证密钥配置方法,适用于设备端,其特征在于,包括:
创建安全通信连接所需的认证密钥;
根据所述设备端的设备指纹和认证密钥,生成设备认证信息;
将所述设备认证信息和经加密后的所述认证密钥封装到第一报文中;
将所述第一报文发送至所述服务端,以将所述认证密钥上报至所述服务端。
13.根据权利要求12所述的方法,其特征在于,在创建安全通信连接所需的认证密钥之前,包括:
响应于建立安全通信连接的触发,判断本地是否存在安全通信连接所需的所述认证密钥;
若确定本地不存在所述认证密钥,执行所述创建安全通信连接所需的认证密钥的操作。
14.根据权利要求13所述的方法,其特征在于,所述根据所述设备端的设备指纹和认证密钥,生成设备认证信息,包括:
基于所述设备指纹生成基准摘要;
根据所述认证密钥对所述设备指纹进行加密;
根据所述基准摘要和经所述认证密钥加密后的设备指纹,生成所述设备认证信息,以供所述服务端对所述设备端进行身份认证。
15.根据权利要求14所述的方法,其特征在于,所述第一报文中的认证密钥经会话密钥加密;所述设备认证信息还包含经所述产品密钥加密后的会话密钥,用于供服务端解密出所述认证密钥以对所述设备端进行身份认证。
16.根据权利要求15所述的方法,其特征在于,所述设备认证信息中还包含产品密钥标识,用于供所述服务端获取所述产品密钥以解密出所述会话密钥。
17.根据权利要求12-16所述的方法,其特征在于,还包括:
接收所述服务端为所述设备端生成的认证密钥标识;
基于所述认证密钥标识及所述认证密钥,与所述服务端建立安全通信连接。
18.一种认证密钥配置方法,适用于服务端,其特征在于,包括:
接收所述设备端发送的第一报文,所述第一报文中包含设备认证信息和经加密的所述认证密钥;
根据所述设备认证信息对所述设备端进行身份认证,所述设备认证信息为所述设备端根据其设备指纹和所述认证密钥而生成的;
若所述设备端通过身份认证,保存所述设备端上报的所述认证密钥,以基于所述认证密钥与所述设备端建立安全通信连接。
19.根据权利要求18所述的方法,其特征在于,所述设备认证信息中包含基准摘要和经所述认证密钥加密后的所述设备端的设备指纹,所述基准摘要为所述设备端根据其设备指纹而生成的;所述根据所述设备认证信息对所述设备端进行身份认证,包括:
从所述第一报文中获取所述认证密钥;
基于所述认证密钥,解密出所述设备端的设备指纹;
按照与所述设备端约定的摘要生成规则,基于解密出的设备指纹生成认证摘要;
根据所述认证摘要与所述基准摘要,对所述设备端进行身份认证。
20.根据权利要求19所述的方法,其特征在于,所述设备认证信息中还包括经所述设备端的产品密钥加密的会话密钥;所述第一报文中的认证密钥经所述会话密钥加密;所述从所述第一报文中获取所述认证密钥,包括:
获取所述设备端的产品密钥;
基于所述设备端的产品密钥,解密出所述会话密钥;
基于解密出的会话密钥,解密出所述认证密钥。
21.根据权利要求20所述的方法,其特征在于,所述设备认证信息中还包含所述设备端的产品密钥标识,所述获取所述设备端的产品密钥,包括:
从产品密钥集中,查找与所述产品密钥标识对应的目标产品密钥,将所述目标产品密钥确定为所述设备端的产品密钥。
22.根据权利要求18-21所述的方法,其特征在于,还包括:
若所述设备端通过身份认证,为所述设备端生成认证密钥标识;
将所述认证密钥标识加密传输至所述设备端;
基于所述设备端上报的所述认证密钥及为所述设备端生成的所述认证密钥标识,与所述设备端建立安全通信连接。
23.一种网络系统,其特征在于,包括设备端和服务端;
所述设备端用于获取认证密钥特定值,所述认证密钥特定值指示本地不存在建立安全通信连接所需的认证密钥;根据所述设备端的设备指纹和产品密钥,生成设备认证信息;将所述认证密钥特定值和所述设备认证信息封装到所述第一报文中;向服务端发送所述第一报文;接收所述服务端下发的认证密钥并保存在本地,以基于所述认证密钥与所述服务端建立安全通信连接;
所述服务端用于在根据所述第一报文,为所述设备端生成认证密钥,并加密下发至所述设备端。
24.一种设备端,其特征在于,包括存储器、处理器和通信组件;
所述存储器用于存储一条或多条计算机指令;
所述处理器与所述存储器和所述通信组件耦合,用于执行所述一条或多条计算机指令,以用于:
获取认证密钥特定值,所述认证密钥特定值指示本地不存在建立安全通信连接所需的认证密钥;
根据所述设备端的设备指纹和产品密钥,生成设备认证信息;
将所述认证密钥特定值和所述设备认证信息封装到第一报文中;
通过所述通信组件向服务端发送所述第一报文,以请求所述服务端为所述设备端生成并下发所述认证密钥;
通过所述通信组件接收所述服务端为所述设备端生成并下发的所述认证密钥并保存在本地,以基于所述认证密钥与所述服务端建立安全通信连接。
25.一种服务端,其特征在于,包括存储器、处理器和通信组件;
所述存储器用于存储一条或多条计算机指令;
所述处理器与所述存储器和所述通信组件耦合,用于执行所述一条或多条计算机指令,以用于:
通过所述通信组件接收设备端发送的第一报文,所述第一报文中携带有所述设备端的认证密钥特定值和设备认证信息,所述认证密钥特定值指示所述设备端的本地不存在建立安全通信连接所需的认证密钥;
基于所述认证密钥特定值的触发,根据所述设备认证信息,对所述设备端进行身份认证,并在所述设备端通过身份认证的情况下,为所述设备端生成认证密钥;
通过所述通信组件将所述认证密钥加密下发至所述设备端。
26.一种网络系统,其特征在于,包括设备端和服务端;
所述设备端用于创建安全通信连接所需的认证密钥;根据所述设备端的设备指纹和所述认证密钥,生成设备认证信息;将所述设备认证信息和经加密后的所述认证密钥封装到第一报文中;将所述第一报文发送至所述服务端;
所述服务端用于在接收到所述设备端上报的所述第一报文的情况下,对所述设备端进行身份认证,并在所述设备端通过身份认证的情况下,保存所述设备端上报的所述认证密钥,以基于所述认证密钥与所述设备端建立安全通信连接。
27.一种设备端,其特征在于,包括存储器、处理器和通信组件;
所述存储器用于存储一条或多条计算机指令;
所述处理器与所述存储器和所述通信组件耦合,用于执行所述一条或多条计算机指令,以用于:
创建安全通信连接所需的认证密钥;
根据所述设备端的设备指纹和认证密钥,生成设备认证信息;
将所述设备认证信息和经加密后的所述认证密钥封装到第一报文中;
通过所述通信组件将所述第一报文发送至所述服务端,以将所述认证密钥上报至所述服务端。
28.一种服务端,其特征在于,包括存储器、处理器和通信组件;
所述存储器用于存储一条或多条计算机指令;
所述处理器与所述存储器和所述通信组件耦合,用于执行所述一条或多条计算机指令,以用于:
通过所述通信组件接收所述设备端发送的第一报文,所述第一报文中包含设备认证信息和经加密的所述认证密钥;
根据所述设备认证信息对所述设备端进行身份认证,所述设备认证信息为所述设备端根据其设备指纹和所述认证密钥而生成的;
若所述设备端通过身份认证,保存所述设备端上报的所述认证密钥,以基于所述认证密钥与所述设备端建立安全通信连接。
29.一种存储计算机指令的计算机可读存储介质,其特征在于,当所述计算机指令被一个或多个处理器执行时,致使所述一个或多个处理器执行权利要求1-22任一项所述的认证密钥配置方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910537966.1A CN112118210B (zh) | 2019-06-20 | 2019-06-20 | 一种认证密钥配置方法、设备、系统及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910537966.1A CN112118210B (zh) | 2019-06-20 | 2019-06-20 | 一种认证密钥配置方法、设备、系统及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112118210A true CN112118210A (zh) | 2020-12-22 |
CN112118210B CN112118210B (zh) | 2023-09-01 |
Family
ID=73795901
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910537966.1A Active CN112118210B (zh) | 2019-06-20 | 2019-06-20 | 一种认证密钥配置方法、设备、系统及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112118210B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113872989A (zh) * | 2021-10-19 | 2021-12-31 | 南方电网数字电网研究院有限公司 | 基于ssl协议的认证方法、装置、计算机设备和存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004112788A (ja) * | 2002-08-28 | 2004-04-08 | Matsushita Electric Ind Co Ltd | 鍵配信装置、端末装置、記録媒体及び鍵配信システム |
CN104539420A (zh) * | 2014-12-15 | 2015-04-22 | 南京中新赛克科技有限责任公司 | 一种通用的智能硬件的安全密钥管理方法 |
CN107113171A (zh) * | 2015-12-10 | 2017-08-29 | 深圳市大疆创新科技有限公司 | 安全通信系统、方法及装置 |
WO2018076365A1 (zh) * | 2016-10-31 | 2018-05-03 | 美的智慧家居科技有限公司 | 密钥协商方法及装置 |
CN108323230A (zh) * | 2018-02-06 | 2018-07-24 | 福建联迪商用设备有限公司 | 一种传输密钥的方法、接收终端和分发终端 |
CN108768628A (zh) * | 2018-05-11 | 2018-11-06 | 星络科技有限公司 | 设备端加密方法、装置、系统和网关 |
-
2019
- 2019-06-20 CN CN201910537966.1A patent/CN112118210B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004112788A (ja) * | 2002-08-28 | 2004-04-08 | Matsushita Electric Ind Co Ltd | 鍵配信装置、端末装置、記録媒体及び鍵配信システム |
CN104539420A (zh) * | 2014-12-15 | 2015-04-22 | 南京中新赛克科技有限责任公司 | 一种通用的智能硬件的安全密钥管理方法 |
CN107113171A (zh) * | 2015-12-10 | 2017-08-29 | 深圳市大疆创新科技有限公司 | 安全通信系统、方法及装置 |
WO2018076365A1 (zh) * | 2016-10-31 | 2018-05-03 | 美的智慧家居科技有限公司 | 密钥协商方法及装置 |
CN108323230A (zh) * | 2018-02-06 | 2018-07-24 | 福建联迪商用设备有限公司 | 一种传输密钥的方法、接收终端和分发终端 |
CN108768628A (zh) * | 2018-05-11 | 2018-11-06 | 星络科技有限公司 | 设备端加密方法、装置、系统和网关 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113872989A (zh) * | 2021-10-19 | 2021-12-31 | 南方电网数字电网研究院有限公司 | 基于ssl协议的认证方法、装置、计算机设备和存储介质 |
CN113872989B (zh) * | 2021-10-19 | 2023-12-05 | 南方电网数字平台科技(广东)有限公司 | 基于ssl协议的认证方法、装置、计算机设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN112118210B (zh) | 2023-09-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11509485B2 (en) | Identity authentication method and system, and computing device | |
US20160269176A1 (en) | Key Configuration Method, System, and Apparatus | |
CN111510919B (zh) | 网络配置方法、装置、设备和系统 | |
EP3255832A1 (en) | Dynamic encryption method, terminal and server | |
KR102536948B1 (ko) | Ssp의 번들을 관리하는 방법 및 장치 | |
KR102657876B1 (ko) | Ssp 단말과 서버가 디지털 인증서를 협의하는 방법 및 장치 | |
CN111901285B (zh) | 一种可信验证方法、系统、设备及存储介质 | |
CN113507358B (zh) | 通信系统、认证方法、电子设备及存储介质 | |
CN111897621A (zh) | 一种虚拟机迁移方法、装置、设备、系统及存储介质 | |
CN109587113A (zh) | 一种设备关联方法、设备及存储介质 | |
CN112118210B (zh) | 一种认证密钥配置方法、设备、系统及存储介质 | |
TW202123051A (zh) | 安全認證方法、裝置及電子設備 | |
CN115118426A (zh) | 区块链系统的数据处理方法、装置、设备及存储介质 | |
US11950320B2 (en) | Apparatus and methods for linkage of or profile transfer between devices | |
US20220174490A1 (en) | System, method, storage medium and equipment for mobile network access | |
US20220095095A1 (en) | Method and apparatus for moving profiles with different versions during device change | |
CN107277935B (zh) | 蓝牙通信方法、装置及其应用系统和设备 | |
CN115208555A (zh) | 网关协商方法、设备及存储介质 | |
KR20200102902A (ko) | SSP 단말의 번들 다운로드 과정과 eSIM 프로파일 다운로드 과정 호환 연동 방법 | |
TWI656771B (zh) | Bluetooth communication method, device and device thereof | |
CN115118427A (zh) | 区块链系统的数据传输方法、装置、设备以及存储介质 | |
US20230336998A1 (en) | Safe mode configuration method, device and system, and computer-readable storage medium | |
CN115118425A (zh) | 区块处理方法、装置、设备及存储介质 | |
WO2018201429A1 (zh) | 蓝牙通信方法、装置及其应用系统和设备 | |
CN115174088A (zh) | 区块链系统、区块链系统的数据处理方法及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |