CN112187460A - 一种面向主从网络的根密钥隐藏对称加密算法 - Google Patents

一种面向主从网络的根密钥隐藏对称加密算法 Download PDF

Info

Publication number
CN112187460A
CN112187460A CN202011161828.7A CN202011161828A CN112187460A CN 112187460 A CN112187460 A CN 112187460A CN 202011161828 A CN202011161828 A CN 202011161828A CN 112187460 A CN112187460 A CN 112187460A
Authority
CN
China
Prior art keywords
key
equipment
root
fulcrum
root key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011161828.7A
Other languages
English (en)
Inventor
庞文俊
陈继
孙磊
吴潇
伊晓强
李小超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qingchuang Wangyu Hefei Technology Co ltd
Original Assignee
Qingchuang Wangyu Hefei Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qingchuang Wangyu Hefei Technology Co ltd filed Critical Qingchuang Wangyu Hefei Technology Co ltd
Priority to CN202011161828.7A priority Critical patent/CN112187460A/zh
Publication of CN112187460A publication Critical patent/CN112187460A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种面向主从网络的根密钥隐藏对称加密算法,涉及对称加密算法技术领域,根密钥RK存储于根端,先将根密钥RK与不同支点的设备ID组合生成不同的设备密钥K,再将生成的设备密钥K通过离线方式存入对应支点;根端和支点均使用设备密钥K对传输信息进行加密、解密操作。本发明无需使用计算量大和交互多的数字信封技术进行密钥协商,能够很好地支持功耗敏感型设备以及不支持数字证书的设备的数据加密需求;支点设备中仅存放隐藏根密钥的设备密钥,即便某支点被入侵也不会暴露根密钥,造成的不良影响也仅限于该支点,能够有效避免系统性风险。

Description

一种面向主从网络的根密钥隐藏对称加密算法
技术领域
本发明涉及对称加密算法技术领域,具体是一种面向主从网络的根密钥隐藏对称加密算法。
背景技术
对称加密算法是应用较早的加密算法。在对称加密算法中,发信方将明文和密钥一起加密处理成密文发送出去;收信方收到密文后,使用同一密钥对密文进行解密处理,获得明文。整个流程中,加密、解密均使用同一密钥,这就要求收信方事先获知密钥。
在物联网迅速普及的时代,结合具体应用出现了各式各样的网络结构。图1展示了一种网络结构,在该网络结构中,根端与支点之间存在信息传输,而支点之间不存在信息传输,暂且将根端理解为主设备,支点理解为从设备,将该网络结构称之为主从网络。通常,支点位于物联网感知层。
对称加密算法的优点在于加解密的高速度和使用长密钥时的难破解性,但是其安全性取决于密钥的保存情况。例如,企业中存在多个持有密钥的职员,存在某位职员无意识泄漏密钥的可能性,并且一旦某位职员使用的密钥被入侵者截获,入侵者便可以任意获取该密钥加密的所有文档。如果整个企业共用同一密钥,那么企业内所有文档的保密性都将丧失。为了避免密钥泄漏,产生了数字信封技术。在数字信封技术中,发信方将对称密钥用收信方的公开密钥来加密(数字信封),将加密后的对称密钥和密文一起发送给接收方;收信方通过私有密钥打开数字信封,得到对称密钥,然后使用对称密钥解开密文。
数字信封技术的安全性相对较高,但是并非适用于所有应用场景,例如物联网感知层存在大量功耗敏感型或不支持数字信封通讯的设备,数字信封交互过程中大量的消息交互以及加解密运算是此类设备不能承受的,并且此类设备又处在非常不安全的网络位置,容易遭受大量攻击,密钥泄漏风险较大。与此同时,设备厂家众多、设备种类众多,根密钥存储在此类设备中的泄漏风险也极大。
发明内容
针对上述技术问题,本发明提供一种面向主从网络的根密钥隐藏对称加密算法,大大降低根密钥泄漏的风险,提高对称加密算法的安全性。
本发明保护一种面向主从网络的根密钥隐藏对称加密算法,根密钥RK存储于根端,先将根密钥RK与不同支点的设备ID组合生成不同的设备密钥K,再将生成的设备密钥K通过离线方式存入对应支点;根端和支点均使用设备密钥K对传输信息进行加密、解密操作。
进一步的,设备密钥K的生成方法包括以下步骤:
步骤A1,对设备ID进行散列运算,得到数据块hID=hash1{sID};
步骤A2,将根密钥RK与数据块hID拼接,组成数据块k={RK+hID};
步骤A3,对数据块k进行散列运算,得到设备密钥K=hash2{k}。
进一步的,根端作为发信方,支点作为收信方的加密、解密操作包括以下步骤:
步骤B1,发信根端结合收信支点的设备ID和根密钥RK,生成针对该收信支点的设备密钥K,使用设备密钥K对明文D进行加密,得到密文M;
步骤B2,收信支点使用内部存储的设备密钥K对密文M进行解密,得到明文D。
进一步的,支点作为发信方,根端作为收信方的加密、解密操作包括以下步骤:
步骤C1,发信支点使用设备密钥K对明文D进行加密,得到临时密文m;对自身设备ID进行散列运算,得到数据块hID=hash1{sID};将数据块hID和临时密文m拼接,形成最终密文M={hID+m};
步骤C2,收信根端根据发信支点的设备ID或其散列运算得到数据块hID,拆分密文M,得到临时密文m;收信根端结合发信支点的设备ID和根密钥RK,生成针对该发信支点的设备密钥K,使用设备密钥K对临时密文m进行解密,得到明文D。
本发明还保护一种使用上述根密钥隐藏对称加密算法实现信息加密传输的物联网络。
本发明无需使用计算量大和交互多的数字信封技术进行密钥协商,能够很好地支持功耗敏感型设备以及不支持数字证书的设备的数据加密需求;支点设备中仅存放隐藏根密钥的设备密钥,即便某支点被入侵也不会暴露根密钥,造成的不良影响也仅限于该支点,能够有效避免系统性风险;由于设备密钥与设备ID绑定,伴随而来的好处就是,密钥即身份,使得根端判断密文的真实来源。
附图说明
图1为主从物联网络结构;
图2为设备密钥K算法示意图;
图3为根端加密示意图;
图4为支点解密示意图;
图5为支点加密示意图;
图6为根端解密示意图。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步详细的说明。本发明的实施例是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显而易见的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
实施例1
一种面向主从网络的根密钥隐藏对称加密算法,根密钥RK存储于根端,先将根密钥RK与不同支点的设备ID组合生成不同的设备密钥K,再将生成的设备密钥K通过离线方式存入对应支点;根端和支点均使用设备密钥K对传输信息进行加密、解密操作。
设备密钥K具有以下特点:1、包含设备ID特征,可用于身份识别;2、生成后通过离线方式存入对应支点,不在根端与支点之间传输,避免被入侵者截获。
网络内支点的设备ID可以是预先存储在根端以及后期根据需要添加至根端,并与支点存在一一对应关系,便于根端进行身份识别;也可以是由支点设备某种固有特征经过某种既定算法得到,在信息传输过程中,根端根据发信支点即可通过运算获知其对应的设备ID。
具体的,在本实施例中,参照图2,设备密钥K的生成方法包括以下步骤:1、对设备ID进行散列运算,得到数据块hID=hash1{sID};2、将根密钥RK与数据块hID拼接,组成数据块k={RK+hID};3、对数据块k进行散列运算,得到设备密钥K=hash2{k}。
设备密钥K仅存储于各自支点中,根端解密时需要根据自身存储的根密钥RK和发信支点的设备ID,运算出该发信支点对应的设备密钥K,生成方法同上。
下面对根端与支点之间的信息传输加密、解密操作的具体步骤进行阐述:
一、根端作为发信方,支点作为收信方的加密、解密操作包括以下步骤:
1、发信根端结合收信支点的设备ID和根密钥RK,生成针对该收信支点的设备密钥K,使用设备密钥K对明文D进行加密,得到密文M,如图3所示;
2、收信支点使用内部存储的设备密钥K对密文M进行解密,得到明文D,如图4所示。
二、支点作为发信方,根端作为收信方的加密、解密操作包括以下步骤:
1、发信支点使用设备密钥K对明文D进行加密,得到临时密文m;对自身设备ID进行散列运算,得到数据块hID=hash1{sID};将数据块hID和临时密文m拼接,形成最终密文M={hID+m},如图5所示;
2、收信根端根据发信支点的设备ID或其散列运算得到数据块hID,拆分密文M,得到临时密文m;收信根端结合发信支点的设备ID和根密钥RK,生成针对该发信支点的设备密钥K,使用设备密钥K对临时密文m进行解密,得到明文D,如图6所示。
hash1、hash2均代表散列运算,具体算法不限,可以结合实际应用进行选择。
从根端与支点之间的信息传输加密、解密过程可以看出,根密钥RK始终存储于根端,设备密钥K始终存储于各自支点当中,极大降低了在传输中过程中被入侵者截获的可能性。即使位于物联网感知层的某支点的设备密钥不幸被盗取,也不会波及网络内的其他支点的数据。从另一方面来说,即使入侵者获取了设备密钥,在其未获知设备ID的情况下,也只能获取根端向支点发送的信息,而无法获取支点向根端发送的数据。
显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域及相关领域的普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都应属于本发明保护的范围。

Claims (5)

1.一种面向主从网络的根密钥隐藏对称加密算法,其特征在于,根密钥RK存储于根端,先将根密钥RK与不同支点的设备ID组合生成不同的设备密钥K,再将生成的设备密钥K通过离线方式存入对应支点;根端和支点均使用设备密钥K对传输信息进行加密、解密操作。
2.根据权利要求1所述的面向主从网络的根密钥隐藏对称加密算法,其特征在于,设备密钥K的生成方法包括以下步骤:
步骤A1,对设备ID进行散列运算,得到数据块hID=hash1{sID};
步骤A2,将根密钥RK与数据块hID拼接,组成数据块k={RK+hID};
步骤A3,对数据块k进行散列运算,得到设备密钥K=hash2{k}。
3.根据权利要求2所述的面向主从网络的根密钥隐藏对称加密算法,其特征在于,根端作为发信方,支点作为收信方的加密、解密操作包括以下步骤:
步骤B1,发信根端结合收信支点的设备ID和根密钥RK,生成针对该收信支点的设备密钥K,使用设备密钥K对明文D进行加密,得到密文M;
步骤B2,收信支点使用内部存储的设备密钥K对密文M进行解密,得到明文D。
4.根据权利要求2所述的面向主从网络的根密钥隐藏对称加密算法,其特征在于,支点作为发信方,根端作为收信方的加密、解密操作包括以下步骤:
步骤C1,发信支点使用设备密钥K对明文D进行加密,得到临时密文m;对自身设备ID进行散列运算,得到数据块hID=hash1{sID};将数据块hID和临时密文m拼接,形成最终密文M={hID+m};
步骤C2,收信根端根据发信支点的设备ID或其散列运算得到数据块hID,拆分密文M,得到临时密文m;收信根端结合发信支点的设备ID和根密钥RK,生成针对该发信支点的设备密钥K,使用设备密钥K对临时密文m进行解密,得到明文D。
5.一种使用权利要求1-4任意一项所述的根密钥隐藏对称加密算法实现信息加密传输的物联网络。
CN202011161828.7A 2020-10-27 2020-10-27 一种面向主从网络的根密钥隐藏对称加密算法 Pending CN112187460A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011161828.7A CN112187460A (zh) 2020-10-27 2020-10-27 一种面向主从网络的根密钥隐藏对称加密算法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011161828.7A CN112187460A (zh) 2020-10-27 2020-10-27 一种面向主从网络的根密钥隐藏对称加密算法

Publications (1)

Publication Number Publication Date
CN112187460A true CN112187460A (zh) 2021-01-05

Family

ID=73922234

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011161828.7A Pending CN112187460A (zh) 2020-10-27 2020-10-27 一种面向主从网络的根密钥隐藏对称加密算法

Country Status (1)

Country Link
CN (1) CN112187460A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113541948A (zh) * 2021-09-17 2021-10-22 深圳佳力拓科技有限公司 一种基于缺位密钥的数字电视节目播放方法和装置

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170033926A1 (en) * 2015-07-31 2017-02-02 Alibaba Group Holding Limited Authentication method, device and system for quantum key distribution process
CN108418679A (zh) * 2017-02-10 2018-08-17 阿里巴巴集团控股有限公司 一种多数据中心下处理密钥的方法、装置及电子设备
CN108880800A (zh) * 2018-07-03 2018-11-23 北京智芯微电子科技有限公司 基于量子保密通信的配用电通信系统及方法
CN109150512A (zh) * 2018-08-22 2019-01-04 网宿科技股份有限公司 一种数据加密、解密方法、系统及数据加密、解密装置
CN110098939A (zh) * 2019-05-07 2019-08-06 浙江中控技术股份有限公司 消息认证方法及装置
CN111181714A (zh) * 2019-11-20 2020-05-19 航天信息股份有限公司 密码生成及认证方法、装置、电子设备及介质
CN111586076A (zh) * 2020-05-26 2020-08-25 清华大学 基于混合密码的遥控遥测信息防篡改加解密方法和系统
CN111786778A (zh) * 2020-06-12 2020-10-16 视联动力信息技术股份有限公司 一种密钥更新的方法和装置

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170033926A1 (en) * 2015-07-31 2017-02-02 Alibaba Group Holding Limited Authentication method, device and system for quantum key distribution process
CN108418679A (zh) * 2017-02-10 2018-08-17 阿里巴巴集团控股有限公司 一种多数据中心下处理密钥的方法、装置及电子设备
CN108880800A (zh) * 2018-07-03 2018-11-23 北京智芯微电子科技有限公司 基于量子保密通信的配用电通信系统及方法
CN109150512A (zh) * 2018-08-22 2019-01-04 网宿科技股份有限公司 一种数据加密、解密方法、系统及数据加密、解密装置
CN110098939A (zh) * 2019-05-07 2019-08-06 浙江中控技术股份有限公司 消息认证方法及装置
CN111181714A (zh) * 2019-11-20 2020-05-19 航天信息股份有限公司 密码生成及认证方法、装置、电子设备及介质
CN111586076A (zh) * 2020-05-26 2020-08-25 清华大学 基于混合密码的遥控遥测信息防篡改加解密方法和系统
CN111786778A (zh) * 2020-06-12 2020-10-16 视联动力信息技术股份有限公司 一种密钥更新的方法和装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113541948A (zh) * 2021-09-17 2021-10-22 深圳佳力拓科技有限公司 一种基于缺位密钥的数字电视节目播放方法和装置
CN113541948B (zh) * 2021-09-17 2021-12-21 深圳佳力拓科技有限公司 一种基于缺位密钥的数字电视节目播放方法和装置

Similar Documents

Publication Publication Date Title
US11496298B2 (en) Many-to-many symmetric cryptographic system and method
US20220158832A1 (en) Systems and Methods for Deployment, Management and Use of Dynamic Cipher Key Systems
JP2019533384A (ja) データ伝送方法、装置およびシステム
US20020087862A1 (en) Trusted intermediary
EP3476078B1 (en) Systems and methods for authenticating communications using a single message exchange and symmetric key
AU2003202511A1 (en) Methods for authenticating potential members invited to join a group
US20030208677A1 (en) Methods for iteratively deriving security keys for communications sessions
US11438316B2 (en) Sharing encrypted items with participants verification
Rege et al. Bluetooth communication using hybrid encryption algorithm based on AES and RSA
JP2020532177A (ja) データの高度なセキュリティ、高速暗号化および、伝送のためのコンピュータ実装システムおよび方法
CA3056814A1 (en) Symmetric cryptographic method and system and applications thereof
CN112738133A (zh) 一种rsa认证方法
US10764260B2 (en) Distributed processing of a product on the basis of centrally encrypted stored data
US20220045848A1 (en) Password security hardware module
CN112187460A (zh) 一种面向主从网络的根密钥隐藏对称加密算法
Barukab et al. Secure communication using symmetric and asymmetric cryptographic techniques
JP2009065226A (ja) 認証付鍵交換システム、認証付鍵交換方法およびプログラム
JP3327368B2 (ja) 利用者パスワード認証方法
CN105791301A (zh) 一种面向多用户组群信密分离的密钥分发管理方法
CN114553420B (zh) 基于量子密钥的数字信封封装方法及数据保密通信网络
US11811924B1 (en) System and method of securing a server using elliptic curve cryptography
US20240214187A1 (en) System and Method of Creating Symmetric Keys Using Elliptic Curve Cryptography
JP2001244924A (ja) 情報暗号化方式
Patgiri et al. SecretStore: A Secrecy as a Service model to enable the Cloud Storage to store user's secret data
US20070076880A1 (en) Secure digital transmission

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination