CN112737774A - 网络会议中的数据传输方法、装置及存储介质 - Google Patents
网络会议中的数据传输方法、装置及存储介质 Download PDFInfo
- Publication number
- CN112737774A CN112737774A CN202011579002.2A CN202011579002A CN112737774A CN 112737774 A CN112737774 A CN 112737774A CN 202011579002 A CN202011579002 A CN 202011579002A CN 112737774 A CN112737774 A CN 112737774A
- Authority
- CN
- China
- Prior art keywords
- key
- channel
- shared
- data transmission
- signaling
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请涉及一种网络会议中的数据传输方法、装置及存储介质,属于通信技术领域,该方法包括:基于密钥对信息与第二设备进行密钥协商,以使第二设备获取到第一设备生成的共享密钥,密钥对信息是对第一设备和/或第二设备进行身份认证通过后获取到的;数据传输通道生成数据传输通道对应的通道密钥组;使用共享密钥对通道密钥组进行加密,得到加密密钥组;将加密密钥组携带在预设信令的密钥字段中并发送至第二设备,第二设备使用共享密钥对密钥字段进行解密,得到通道密钥组;第一设备和第二设备使用通道密钥组进行数据加密传输;可以解决网络会议过程中的数据传输过程不安全的问题;提高数据传输的安全性。
Description
【技术领域】
本申请涉及一种网络会议中的数据传输方法、装置及存储介质,属于通信技术领域。
【背景技术】
网络会议是指以网络为媒介的多媒体会议平台,用户可突破时间地域的限制,通过互联网实现实时交流。网络会议可以为视频会议、语音会议等。
典型的网络会议中,通常基于H.235协议实现数据的加密传输。H.235协议规定网络会议中的各个设备基于密钥交换(Diffie–Hellman key exchange,DH)算法协商得到密钥。
然而,DH算法没有提供身份认证功能,此时,加入网络会议的任意一个设备均可以按照H.235协议使用DH算法协商得到密钥,网络会议容易受到中间人攻击,网络会议的安全性不高。
【发明内容】
本申请提供了一种网络会议中的数据传输方法、装置及存储介质,可以解决使用DH算法进行密钥协商获取共享密钥时,由于DH算法不具有身份认证功能,导致网络会议过程中传输的数据容易被第三方获取,数据传输过程不安全的问题。本申请提供如下技术方案:
第一方面,提供一种网络会议中的数据传输方法,用于第一设备中,所述方法包括:
在与第二设备进行网络呼叫时,生成共享密钥;
基于密钥对信息与所述第二设备进行密钥协商,以使所述第二设备获取到所述共享密钥;所述密钥对信息是对所述第一设备和/或所述第二设备进行身份认证通过后获取到的;
生成数据传输通道对应的通道密钥组;
使用所述共享密钥对所述通道密钥组进行加密,得到加密密钥组;
将所述加密密钥组携带在预设信令的密钥字段中,所述预设信令配置有所述密钥字段;
将所述预设信令发送至所述第二设备,以供所述第二设备在接收到所述预设信令后,使用所述共享密钥对所述密钥字段进行解密,得到所述通道密钥组,并使用所述通道密钥组与所述第一设备进行数据加密传输;
使用所述通道密钥组与所述第二设备进行数据加密传输。
可选地,所述基于密钥对信息与所述第二设备进行密钥协商,包括:
基于所述密钥对信息中的第一密钥对所述共享密钥进行加密,得到加密共享密钥,所述第一密钥在身份认证过程中存储在所述第一设备中;
将所述加密共享密钥发送至所述第二设备,以使所述第二设备基于所述密钥对信息中的第二密钥对所述加密共享密钥进行解密,得到所述共享密钥,其中,所述第二密钥在身份认证过程中存储所述第二设备中。
可选地,所述基于所述密钥对信息中的第一密钥对所述共享密钥进行加密,得到加密共享密钥之前,还包括:
获取所述第二设备发送的加密密钥信息,所述加密密钥信息是所述第二设备使用所述第二密钥对本地密钥加密后得到的信息,所述本地密钥是所述第二设备在所述网络呼叫过程中生成的;
使用所述第一密钥对所述加密密钥信息进行解密,得到所述本地密钥;
所述基于所述密钥对信息中的第一密钥对所述共享密钥进行加密,得到加密共享密钥,包括:
使用所述第一密钥对所述共享密钥进行加密,得到中间加密数据;
使用所述本地密钥对所述中间加密数据进行加密,得到所述加密共享密钥。
可选地,所述预设信令包括通道开启信令;所述通道开启信令用于为所述第二设备指示当前所述第一设备开启的数据传输通道;
所述将所述加密密钥组携带在预设信令的密钥字段中,包括:
将所述加密密钥组携带在所述通道开启信令的密钥字段中。
可选地,所述预设信令包括通道开启信令的反馈信令;所述反馈信令用于指示所述第一设备接收所述通道开启信令成功;
所述将所述加密密钥组携带在预设信令的密钥字段中,包括:
在接收到所述第二设备发送的通道开启信令成功时,将所述加密密钥组携带在所述反馈信令的密钥字段中。
可选地,所述基于密钥对信息与所述第二设备进行密钥协商,以使所述第二设备获取到所述共享密钥之后,还包括:
与所述第二设备进行主从协商,确定所述第一设备为所述网络会议的主设备、所述第二设备为所述网络会议的从设备;所述网络会议以所述主设备生成的通道密钥组对媒体数据进行加解密。
可选地,所述数据传输通道的数量为至少一个,所述通道密钥组包括每个数据传输通道对应的通道密钥。
可选地,所述在与第二设备进行网络呼叫时,生成共享密钥之前,还包括:
向认证设备发送第一身份信息,所述第一身份信息用于供所述认证设备对所述第一设备进行身份认证;
在所述认证设备对所述第一身份信息认证通过后,获取所述密钥对信息。
可选地,所述认证设备包括所述第二设备;
所述向认证设备发送第一身份信息,包括:
向所述第二设备发送数字证书;以使所述第二设备对所述数字证书进行验证,并在验证通过后获取所述数字证书中的第二密钥;
所述在所述认证设备对所述第一身份信息认证通过后,获取所述密钥对信息,包括:
将所述数字证书对应的第一密钥存储在所述第一设备中。
可选地,所述认证设备包括量子终端,所述量子终端与所述第一设备基于量子通信网络通信相连;
所述向认证设备发送第一身份信息,包括:
向所述量子终端发送身份标识;以使所述量子终端对所述身份标识进行验证,并在验证通过后向所述第一设备发送认证通过通知;
所述在所述认证设备对所述第一身份信息认证通过后,获取所述密钥对信息,包括:
在接收到所述认证通过通知时,向所述量子终端发送密钥请求,以使所述量子终端基于所述密钥请求分配所述密钥对信息,将所述密钥对信息中的第一密钥发送至所述第一设备、将所述密钥对信息中的第二密钥发送至所述第二设备;
接收所述量子终端发送的所述第一密钥。
第二方面,提供一种网络会议中的数据传输方法,用于第二设备中,所述方法包括:
在与第一设备进行网络呼叫时,基于密钥对信息与所述第一设备进行密钥协商,得到所述第一设备生成的共享密钥;所述密钥对信息是对所述第一设备和/或所述第二设备进行身份认证通过后获取到的;
接收所述第一设备发送的预设信令;其中,所述预设信令配置有密钥字段,所述密钥字段携带有加密密钥组,所述加密密钥组是所述第一设备使用所述共享密钥对数据传输通道对应的通道密钥组进行加密得到的;
使用所述共享密钥对所述密钥字段进行解密,得到所述通道密钥组;
使用所述通道密钥组与所述第一设备进行数据加密传输。
可选地,所述基于密钥对信息与所述第二设备进行密钥协商,包括:
接收加密共享密钥;所述加密共享密钥是所述第一设备基于所述密钥对信息中的第一密钥对所述共享密钥进行加密得到的;所述第一密钥在身份认证过程中存储在所述第一设备中;
基于所述密钥对信息中的第二密钥对所述加密共享密钥进行解密,得到所述共享密钥;其中,所述第二密钥在身份认证过程中存储所述第二设备中。
可选地,所述接收加密共享密钥之前,还包括:
在所述网络呼叫过程中,生成本地密钥;
使用所述第二密钥对本地密钥加密,得到加密密钥信息;
将所述加密密钥信息发送至所述第一设备,以使所述第一设备使用所述第一密钥对所述加密密钥信息进行解密,得到所述本地密钥;再使用所述第一密钥对所述共享密钥进行加密,得到中间加密数据;使用所述本地密钥对所述中间加密数据进行加密,得到所述加密共享密钥;
所述基于所述密钥对信息中的第二密钥对所述加密共享密钥进行解密,得到所述共享密钥,包括:
使用所述本地密钥对所述加密共享密钥进行解密,得到所述中间加密数据;
使用所述第二密钥对所述中间加密数据进行解密,得到所述共享密钥。
可选地,所述在与第一设备进行网络呼叫时,基于密钥对信息与所述第一设备进行密钥协商,得到所述第一设备生成的共享密钥之前,还包括:
向认证设备发送第二身份信息,所述第二身份信息用于供所述认证设备对所述第二设备进行身份认证;
在所述认证设备对所述第二身份信息认证通过后,获取所述密钥对信息。
第三方面,提供一种网络会议中的数据传输装置,所述装置包括处理器和存储器;所述存储器中存储有程序,所述程序由所述处理器加载并执行以实现第一方面提供的网络会议中的数据传输方法;或者,实现第二方面提供的网络会议中的数据传输方法。
第四方面,提供一种计算机可读存储介质,所述存储介质中存储有程序,所述程序被处理器执行时用于实现第一方面提供的网络会议中的数据传输方法;或者,实现第二方面提供的网络会议中的数据传输方法。
本申请的有益效果至少包括:通过基于密钥对信息与第二设备进行密钥协商,以使第二设备获取到第一设备生成的共享密钥;生成数据传输通道对应的通道密钥组;使用共享密钥对通道密钥组进行加密,得到加密密钥组;将加密密钥组携带在预设信令的密钥字段中,预设信令配置有密钥字段;将预设信令发送至第二设备,以供第二设备在接收到预设信令后,使用共享密钥对密钥字段进行解密,得到通道密钥组,并使用通道密钥组与第一设备进行数据加密传输;使用通道密钥组与第二设备进行数据加密传输;可以解决使用DH算法进行密钥协商获取共享密钥时,由于DH算法不具有身份认证功能,导致网络会议过程中传输的数据容易被第三方获取,数据传输过程不安全的问题;由于密钥对信息是对第一设备和/或第二设备进行身份认证通过后获取到的;这样,可以保证获取到共享密钥的设备是身份认证通过后的设备。共享密钥不会被第三方获取,从而保证经共享密钥加密后的数据不会被第三方获取,提高数据传输的安全性。
具体地,第一设备和第二设备使用的通话协议原始定义有用于实现数据加密传输的预设协议。其中,预设协议是指用于实现数据加密传输的安全协议,该预设协议定义有密钥协商信令,该密钥协商信令用于指示通信双方协商密钥的密钥协商算法,该密钥协商信令指示的密钥协商算法不具有身份认证功能。本申请中,对通话协议进行了改进,使得通话协议不再使用预设协议来规定共享密钥的协商过程,而是规定使用密钥对信息进行密钥协商以获取共享密钥;其中,密钥对信息是对第一设备和/或第二设备进行身份认证通过后获取到的,这样,可以实现获取到共享密钥的设备是身份认证通过后的设备,提高数据传输的安全性。
另外,通过在共享密钥的传输过程中进行至少两次加密,可以提高共享密钥传输过程的安全性。
另外,通过生成多个数据传输通道对应的通道密钥组,每个数据传输通道对应通道密钥组中的一个通道密钥,使得不同数据传输通道使用不同的通道密钥,增加了多个数据传输通道密钥被破解的难度,提高数据传输的安全性。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,并可依照说明书的内容予以实施,以下以本申请的较佳实施例并配合附图详细说明如后。
【附图说明】
图1是本申请一个实施例提供的网络会议中的数据传输系统的结构示意图;
图2是本申请一个实施例提供的网络会议中的数据传输方法的流程图;
图3是本申请一个实施例提供的共享密钥的密钥协商过程的流程图;
图4是本申请一个实施例提供的传输预设信令的流程图;
图5是本申请另一个实施例提供的传输预设信令的流程图;
图6是本申请一个实施例提供的网络会议中的数据传输装置的框图;
图7是本申请又一个实施例提供的网络会议中的数据传输装置的框图;
图8是本申请再一个实施例提供的网络会议中的数据传输装置的框图。
【具体实施方式】
下面结合附图和实施例,对本申请的具体实施方式作进一步详细描述。以下实施例用于说明本申请,但不用来限制本申请的范围。
传统的网络会议基于H.235协议实现数据的加密传输。其中,H.235协议为基于H.323系统的安全性和通信(Security for H.323 based systems and communications)。H.235是H.3体系系列中的有关安全方面的一种标准,主要为基于H.323、H.225.0、H.245以及H.460的体系提供安全程序。H.235可以应用于点对点会议和多点会议。
H.235标准使用多种算法来处理验证与私密问题,比如:使用Diffie-Hellman(DH)密钥交换算法实现共享密钥的交换。然而,这些算法不会关注进行密钥协商的通信设备的身份,无法对设备身份进行验证。
以DH密钥交换算法的密钥交换原理为例,假设密钥交换的双方包括设备1和设备2,基于DH密钥交换算法的过程至少包括以下几个步骤:
步骤1,在进行密钥协商时,设备1生成私钥a,设备2生成私钥b;设备a和设备b中共享DH参数(p,g),假设p=23,g=5;
步骤2,设备1选择使用私钥a计算出公钥A=g∧a mod p,将公钥A发送给设备2;其中,mod为求余函数;
本示例中,假设a=4,则A=54mod 23=4。
步骤3,设备2选择使用私钥b计算出公钥B=g∧b mod p,将公钥B发送给设备1;
本示例中,假设b=3,则B=53mod 23=10。
步骤4,设备1计算出共享密钥s=B∧a mod p;
本示例中,s=104mod 23=18。
步骤5,设备2计算共享密钥s=A∧b mod p;
本示例中,s=43mod 23=18。
步骤4和步骤4可以同时或者不同时执行,本实施例不对步骤4和5之间的执行顺序作限定。
此时,可以实现设备1和设备2共享同一个密钥(s=18)。
根据上述过程可知,建立会话连接的任意两个通信设备之间均可以基于DH算法进行密钥协商,得到相同的共享密钥。上述算法不具有对设备身份进行认证的功能,数据的加密传输过程容易被第三方获取,数据传输过程的安全性不高。
基于上述问题,本申请提供一种网络会议中的数据传输系统、方法、装置和存储介质。本申请通过使用身份认证通过后获取到的密钥对信息进行密钥协商,以获取共享密钥,从而保证获取到共享密钥的设备是身份认证通过后的设备,这样,共享密钥不会被第三方获取,从而保证经共享密钥加密后的数据不会被第三方获取,提高数据传输的安全性。
本申请中,网络会议可以为视频会议或者语音会议,网络会议的建立场景可以为点对点会议或者为多点会议,本实施例不对网络会议的实现场景作限定。
图1是本申请一个实施例提供的网络会议中的数据传输系统的结构示意图,如图1所示,该系统至少包括:第一设备110和第二设备120。
第一设备110和第二设备120用于基于通话协议建立网络会议。
可选地,网络会议可以实现为点对点会议或者多点会议。
对于点对点会议,第一设备110和第二设备120可以均为会议终端,比如:手机、笔记本、台式机、平板电脑等,本实施例不对会议终端的类型作限定。
对于多点会议,第一设备110可以为多点控制单元(Multi Control Unit,MCU),或者为安装有MCU的设备;第二设备120可以为用户终端,本实施例不对第一设备110和第二设备120的设备类型作限定。
可选地,通话协议用于规定完成网络会议的通信方式。比如:寻找被叫方的方式、建立应答的方式、按照彼此的数据处理能力发送数据的方式、数据传输方式、和数据加密方式等,本实施例不对通话协议的协议内容作限定。
本实施例中,通话协议原始定义有用于实现数据加密传输的预设协议。其中,预设协议是指用于实现数据加密传输的安全协议,该预设协议定义有密钥协商信令,该密钥协商信令用于指示通信双方协商密钥的密钥协商算法,该密钥协商信令指示的密钥协商算法不具有身份认证功能。
比如:通话协议为H.323协议,预设协议为H.235协议,该H.235协议定义的DH密钥交换算法不具有身份认证功能。需要补充说明的是,本示例仅以通话协议为H.323协议、预设协议为H.235协议为例进行说明,在实际实现时,通话协议和预设协议也可以为其它协议,本实施例不对通话协议和预设协议的实现方式作限定。
本实施例中,对通话协议进行了改进,通话协议不再使用预设协议来规定共享密钥的协商过程,而是规定使用密钥对信息进行密钥协商以获取共享密钥;其中,密钥对信息是对第一设备和/或第二设备进行身份认证通过后获取到的,这样,可以保证获取到共享密钥的设备是身份认证通过后的设备。共享密钥不会被第三方获取,从而保证经共享密钥加密后的数据不会被第三方获取,提高数据传输的安全性。
可选地,对第一设备和第二设备中的哪一个设备进行身份认证可以是基于用户需求确定的,或者是通话协议规定的。
需要补充说明的是,本申请中,身份认证通过后的设备均是用户期望(或者说是允许)加入网络会议的设备,即不是第三方设备。
可选地,共享密钥用于加密网络会议传输过程中使用的通道密钥,该通道密钥用于对数据进行加解密。相应地,通话协议规定有预设信令,该预设信令配置有密钥字段,密钥字段用于传输基于共享密钥加密后的通道密钥,以使第一设备和第二设备获取到通道密钥,以使第一设备和第二设备之间实现数据加密传输。
以通话协议为H.323协议为例,预设信令为通道开启信令openlogocalchannel,相应地,密钥字段为openlogocalchannel中的Encryptionsync下的h235key字段。或者,预设信令为通道开启信令的反馈信令openlogocalchannel ack,相应地,密钥字段为openlogocalchannel ack中的Encryptionsync下的h235key字段。在通话协议规定使用预设协议进行数据加密传输时,密钥字段(如h235key字段)中的加密后的通道密钥使用预设协议规定的密钥协商算法(如DH算法)协商得到的共享密钥加密,由于预设协议规定的密钥协商算法不具有身份认证功能,因此,第三方设备可以获取到共享密钥,并使用共享密钥对加密后的通道密钥进行解密,得到通道密钥,此时,数据加密传输过程的安全性较低。
而本实施例中,密钥字段中的加密后的通道密钥使用基于密钥对信息协商得到的共享密钥加密,密钥对信息只有经过身份认证的设备才能够获取到,因此,第三方设备无法获取共享密钥,从而无法获取通道密钥,提高数据加密传输的安全性。
在一个示例中,第一设备110用于在与第二设备120进行网络呼叫时,生成共享密钥;基于密钥对信息与第二设备进行密钥协商,以使第二设备获取到共享密钥;相应地,第二设备120用于在与第一设备进行网络呼叫时,基于密钥对信息与第一设备进行密钥协商,得到第一设备生成的共享密钥。
之后,第一设备110还用于生成数据传输通道对应的通道密钥组;使用共享密钥对通道密钥组进行加密,得到加密密钥组;将加密密钥组携带在预设信令的密钥字段中;将预设信令发送至第二设备;并使用通道密钥组与第二设备进行数据加密传输。
其中,数据传输通道包括但不限于数据发送通道和/或数据接收通道。数据发送通道用于向第二设备发送数据;数据接收通道用于接收第二设备发送的数据。可选地,数据发送通道的数量为至少一个,不同的数据发送通道对应不同的数据类型;数据接收通道的数量为至少一个,不同的数据接收通道对应不同的数据类型。
通道密钥组包括每个数据传输通道对应的通道密钥。通道密钥与数据传输通道一一对应。
其中,生成数据传输通道对应的通道密钥组的时机在发送预设信令之前。
在一个示例中,第一设备生成通道密钥组的时机为:在未确定出开启的数据传输通道的数量和类型时生成,比如:在密钥协商完成后立即生成通道密钥组。此时,通道密钥组包括各个类型的数据传输通道对应的通道密钥。
比如:数据传输通道包括数据发送通道和数据接收通道,数据发送通道包括1个音频接收通道、1个视频接收通道、1个双流接收通道、1个文件发送通道和1个远端摄像机的控制(Far End Camera Control,FECC)接收通道;数据接收通道包括1个音频发送通道、1个视频发送通道、1个双流发送通道、1个文件接收通道和1个FECC发送通道。此时,通道密钥组包括10个通道密钥{K1、K2、K3、K4…K10}。每个通道密钥对应一个数据传输通道。
其中,音频发送通道和音频接收通道对应音频类型的多媒体数据、视频发送通道和视频接收通道对应视频类型的多媒体数据、双流发送通道和双流接收通道对应音频类型和视频类型的多媒体数据、文件发送通道和文件接收通道对应文本类型的多媒体数据(比如:演示文稿、文本文件等数据)、FECC发送通道和FECC接收通道对应用于传输FECC的数据。在其它实施例中,数据传输通道可以为更少或更多的类型,本实施例不对数据传输通道的类型和数量作限定。
另外,上述示例中以各个类型的数据传输通道的数量为一个为例进行说明,在实际实现时,不同类型的数据传输通道的数量可以为多个,相应地,通道密钥组包括每个数据传输通道对应的通道密钥。
在另一个示例中,第一设备在确定出开启的数据传输通道的数量和类型时生成,此时,还未发送预设信令。比如:在密钥协商完成后,需要内部确定向第二设备开启的数据传输通道的数量和类型,确定出后生成通道密钥组。此时,通道密钥组包括确定出的数据传输通道对应的通道密钥。在其他示例中,第一设备还可以在发送预设信令之前的其它时机生成通道密钥组,本实施例不对生成通道密钥组的时机作限定。
相应地,第二设备120还用于接收第一设备发送的预设信令;使用共享密钥对预设信令中的密钥字段进行解密,得到通道密钥组;使用通道密钥组与第一设备进行数据加密传输。
图1中以第一设备110的数量为1个、第二设备120的数量为3个进行说明,在实际实现时,第一设备110和第二设备120的数量可以为一个或多个,本实施例不对第一设备110和第二设备120的数量作限定。
本实施例中,通过对第一设备110和第二设备120原始使用的通话协议进行改进,使得通话协议不再使用预设协议来规定共享密钥的协商过程,而是规定使用密钥对信息进行密钥协商以获取共享密钥;其中,密钥对信息是对第一设备和/或第二设备进行身份认证通过后获取到的,这样,可以保证获取到共享密钥的设备是身份认证通过后的设备。共享密钥不会被第三方获取,从而保证经共享密钥加密后的数据不会被第三方获取,提高数据传输的安全性。
下面对本申请提供的网络会议中的数据传输方法进行介绍。
图2是本申请一个实施例提供的网络会议中的数据传输方法的流程图,本实施例以该方法应用于图1所示的网络会议中的数据传输系统中为例进行说明。该方法至少包括以下几个步骤:
步骤201,第一设备在与第二设备进行网络呼叫时,生成共享密钥。
第一设备与第二设备进行的网络呼叫可以是第一设备发起的对第二设备的呼叫,此时,第一设备为主叫端,第二设备为被叫端;或者是第二设备发起的对第一设备的呼叫,此时,第一设备为被叫端,第二设备为主叫端。
第一设备生成共享密钥的方式包括但不限于:基于随机生成算法生成共享密钥;或者,对随机生成的字符串进行哈希运算,得到共享密钥,本实施例不对共享密钥的生成方式作限定。
步骤202,第一设备和第二设备之间基于密钥对信息与第二设备进行密钥协商,以使第二设备获取到共享密钥;密钥对信息是对第一设备和/或第二设备进行身份认证通过后获取到的。
第一设备基于密钥对信息与第二设备进行密钥协商,以使第二设备获取到共享密钥;相应地,第二设备在与第一设备进行网络呼叫时,基于密钥对信息与第一设备进行密钥协商,得到第一设备生成的共享密钥。
密钥对信息包括第一密钥和第二密钥。其中,第一密钥和第二密钥可以为一对非对称密钥,或者,第一密钥和第二密钥为同一密钥,本实施例不对第一密钥和第二密钥的实现方式作限定。
由于密钥对信息是在对第一设备和/或第二设备进行身份认证通过后获取到的,因此,在生成共享密钥之前,还需要对第一设备和/或第二设备进行身份认证;并在身份认证通过后获取密钥对信息。
在对第一设备进行身份认证时,在步骤201之前,还包括:第一设备向认证设备发送第一身份信息,第一身份信息用于供认证设备对第一设备进行身份认证;在认证设备对第一身份信息认证通过后,第一设备获取密钥对信息。
本实施例中,根据认证设备的不同,身份认证的方式也有所不同。可选地,认证设备包括但不限于以下几种方式:
第一种:认证设备包括第二设备。此时,向认证设备发送第一身份信息,包括:向第二设备发送第一设备中的数字证书;以使第二设备对第一设备中的数字证书进行验证,并在验证通过后获取第一设备中的数字证书中的第二密钥。相应地,在认证设备对第一身份信息认证通过后,获取密钥对信息,包括:将第一设备中的数字证书对应的第一密钥存储在第一设备中。由此可知,密钥对信息中的第一密钥存储在第一设备中、第二密钥存储在第二设备中。
在一个示例中,第一设备中的数字证书对应的私钥为第一密钥,第一设备中的数字证书中携带的公钥为第二密钥。
数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证,各个设备可以在网上用它来识别对方的身份。因此,数字证书又称为数字标识。第一设备中的数字证书可以是第一设备预先从证书授权中心(Certificate Authority,CA)获取到的,或者是其它设备发送的,或者是从存储介质中读取的,本实施例不对数字证书的获取方式作限定。
第二设备对数字证书进行验证包括但不限于:对第一设备中的数字证书有效性、第一设备中的数字证书中的签名和/或第一设备中的数字证书的完整性进行验证,本实施例不对第二设备对数字证书进行验证的方式作限定。
第二种:认证设备包括量子终端,量子终端与第一设备基于量子通信网络通信相连。此时,向认证设备发送第一身份信息,包括:向量子终端发送第一设备的身份标识;以使量子终端对身份标识进行验证,并在验证通过后向第一设备发送认证通过通知。相应地,在认证设备对第一身份信息认证通过后,获取密钥对信息,包括:在接收到认证通过通知时,向量子终端发送密钥请求,以使量子终端基于密钥请求分配密钥对信息,将密钥对信息中的第一密钥发送至第一设备、将密钥对信息中的第二密钥发送至第二设备;接收量子终端发送的第一密钥。由此可知,密钥对信息中的第一密钥存储在第一设备中、第二密钥存储在第二设备中。
可选地,量子终端预先注册有允许参加网络会议的各个设备的身份标识,量子终端在接收到第一设备发送的身份标识后,将该身份标识与已注册的身份标识进行比较;在已注册的身份标识包括第一设备发送的身份标识时,对第一设备的身份认证通过;在已注册的身份标识不包括第一设备发送的身份标识时,对第一设备的身份认证不通过。
其中,身份标识包括但不限于:设备号、媒体存取控制位址(Media AccessControl Address,MAC地址)等,本实施例不对身份标识的实现方式作限定。
可选地,量子终端可以同时发送第一密钥和第二密钥;或者,也可以基于第一设备的获取请求发送第一密钥、基于第二设备的获取请求发送第二密钥,本实施例不对量子终端发送第一密钥和第二密钥的时机作限定。
在对第二设备进行身份认证时,在步骤201之前,还包括:第二设备向认证设备发送第二身份信息,第二身份信息用于供认证设备对第二设备进行身份认证;在认证设备对第二身份信息认证通过后,获取密钥对信息。
本实施例中,根据认证设备的不同,身份认证的方式也有所不同。可选地,认证设备包括但不限于以下几种方式:
第一种:认证设备包括第一设备。此时,向认证设备发送第二身份信息,包括:向第一设备发送第二设备中的数字证书;以使第一设备对该数字证书进行验证,并在验证通过后获取第二设备中的数字证书中的第一密钥。相应地,在认证设备对第二身份信息认证通过后,获取密钥对信息,包括:将第二设备中的数字证书对应的第二密钥存储在第二设备中。由此可知,密钥对信息中的第一密钥存储在第一设备中、第二密钥存储在第二设备中。
在一个示例中,第二设备中的数字证书对应的私钥为第二密钥,第二设备中的数字证书中携带的公钥为第一密钥。第二设备中的数字证书与第一设备中的数字证书不同。
第一设备对数字证书进行验证包括但不限于:对第二设备中的数字证书有效性、第二设备中的数字证书中的签名和/或第二设备中的数字证书的完整性进行验证,本实施例不对第一设备对数字证书进行验证的方式作限定。
第二种:认证设备包括量子终端,量子终端与第二设备基于量子通信网络通信相连。此时,向认证设备发送第二身份信息,包括:向量子终端发送第二设备的身份标识;以使量子终端对该身份标识进行验证,并在验证通过后向第二设备发送认证通过通知。相应地,在认证设备对第二身份信息认证通过后,获取密钥对信息,包括:在接收到认证通过通知时,向量子终端发送密钥请求,以使量子终端基于密钥请求分配密钥对信息,将密钥对信息中的第一密钥发送至第一设备、将密钥对信息中的第二密钥发送至第二设备;第二设备接收量子终端发送的第二密钥。由此可知,密钥对信息中的第一密钥存储在第一设备中、第二密钥存储在第二设备中。
可选地,量子终端预先注册有允许参加网络会议的各个设备的身份标识,量子终端在接收到第二设备发送的身份标识后,将该身份标识与已注册的身份标识进行比较;在已注册的身份标识包括第二设备发送的身份标识时,对第二设备的身份认证通过;在已注册的身份标识不包括第二设备发送的身份标识时,对第二设备的身份认证不通过。
需要补充说明的是,身份认证的方式还可以为其它方式,本实施例在此不再一一列举。
在获取到密钥对信息后,第一设备和第二设备之间基于密钥对信息与第二设备进行密钥协商,以使第二设备获取到共享密钥,包括:第一设备基于密钥对信息中的第一密钥对共享密钥进行加密,得到加密共享密钥;第一设备将加密共享密钥发送至第二设备。
相应地,第二设备接收加密共享密钥;基于密钥对信息中的第二密钥对加密共享密钥进行解密,得到共享密钥。
其中,加密共享密钥是第一设备基于密钥对信息中的第一密钥对共享密钥进行加密得到的;第一密钥在身份认证过程中存储在第一设备中。
根据上述身份认证的过程可知,第一密钥在身份认证过程中存储在第一设备中;第二密钥在身份认证过程中存储第二设备中。
在第一密钥和第二密钥是一对非对称密钥时,第一设备基于非对称加密算法使用第一密钥对共享密钥进行加密,相应地,第二设备基于同样的非对称加密算法使用第二密钥对加密共享密钥进行解密,得到共享密钥。
其中,非对称加密算法包括但不限于:RSA(Rivest-Shamir-Adleman)加密算法、数字签名算法(Digital Signature Algorithm,DSA)、或者椭圆曲线密码编码学(EllipticCurves Cryptography,ECC)等,本实施例不对非对称加密算法的类型作限定。
在第一密钥和第二密钥是对称密钥时,第一设备基于对称加密算法使用第一密钥对共享密钥进行加密,相应地,第二设备基于同样的对称加密算法使用第二密钥对加密共享密钥进行解密,得到共享密钥。
其中,对称加密算法包括但不限于:高级加密标准(Advanced EncryptionStandard,AES)、数据加密标准(Data Encryption Standard,DES)、或者国家加密码算法SM4等,本实施例不对对称加密算法的类型作限定。
可选地,第一设备基于密钥对信息中的第一密钥对共享密钥进行加密时,可以仅使用第一密钥对共享密钥进行加密;或者,还可以结合其它密钥对共享密钥进行至少两次加密,以提高加密共享密钥的安全性。
本实施例中,以第一设备使用第二设备在网络呼叫过程中生成的本地密钥和第一密钥对共享密钥进行加密为例进行说明。此时,第二设备在接收加密共享密钥之前,还包括:在网络呼叫过程中,生成本地密钥;使用第二密钥对本地密钥加密,得到加密密钥信息;将加密密钥信息发送至第一设备。
相应地,第一设备在基于密钥对信息中的第一密钥对共享密钥进行加密,得到加密共享密钥之前,还包括:获取第二设备发送的加密密钥信息;使用第一密钥对加密密钥信息进行解密,得到本地密钥。
在第一设备获取到本地密钥后,第一设备基于密钥对信息中的第一密钥对共享密钥进行加密,得到加密共享密钥,包括:使用第一密钥对共享密钥进行加密,得到中间加密数据;使用本地密钥对中间加密数据进行加密,得到加密共享密钥。
相应地,第二设备基于密钥对信息中的第二密钥对加密共享密钥进行解密,得到共享密钥,包括:使用本地密钥对加密共享密钥进行解密,得到中间加密数据;使用第二密钥对中间加密数据进行解密,得到共享密钥。
第二设备生成本地密钥的方式包括但不限于:基于随机生成算法生成本地密钥;或者,对随机生成的字符串进行哈希运算,得到本地密钥,本实施例不对本地密钥的生成方式作限定。
第一设备使用本地密钥基于对称加密算法对中间加密数据进行加密,得到加密共享密钥;对应地,第二设备使用本地密钥基于同样的对称加密算法对加密共享密钥进行解密,得到中间加密数据。
为了更好地理解本实施例提供的共享密钥协商过程,本实施例以身份认证过程为第二设备(认证设备)对第一设备的身份进行认证,且认证方式为使用数字证书进行身份认证为例进行说明。参考图3,共享密钥的密钥协商过程至少包括步骤31-39:
步骤31,在网络会议开始前,第一设备与第二设备之间基于传输控制协议(Transmission Control Protocol,TCP)建立通信连接;
步骤32,第二设备向第一设备发送证书获取请求;
步骤33,第一设备接收到证书获取请求后,向第二设备发送第一设备中的数字证书,该数字证书对应的第一密钥存储在第一设备中;
步骤34,第二设备接收第一设备发送的数字证书,并对该数字证书进行验证;在验证通过后,将数字证书中第二密钥存储在本地;
步骤35,在网络会议呼叫过程中,第一设备生成共享密钥,第二设备生成本地密钥;
网络会议的呼叫过程可以是第一设备发起的对第二设备的呼叫,此时,第一设备为主叫端,第二设备为被叫端;或者是第二设备发起的对第一设备的呼叫,此时,第一设备为被叫端,第二设备为主叫端。
另外,本实施例不对第一设备生成共享密钥和第二设备生成本地密钥的先后顺序作限定。
步骤36,第二设备使用第二密钥对本地密钥进行加密,得到加密密钥信息;将加密密钥信息发送至第一设备;
步骤37,第一设备使用第一密钥对加密密钥信息进行解密,得到本地密钥;
步骤38,第一设备使用第一密钥对共享密钥进行加密,得到中间加密数据;使用本地密钥对中间加密数据进行加密,得到加密共享密钥;将加密共享密钥发送至第二设备;
步骤39,第二设备使用本地密钥对加密共享密钥进行解密,得到中间加密数据;使用第二密钥对中间加密数据进行解密,得到共享密钥。
需要补充说明的是,由于第二设备生成的本地密钥也可以被第一设备和第二设备共享,因此,在其它实施例中,第二设备生成的本地密钥也可以作为共享密钥使用,本实施例不对本地密钥的作用作限定。
步骤203,生成数据传输通道对应的通道密钥组。
第一设备和第二设备完成共享密钥的交换后,建立网络会议。此时,第一设备可以向第二设备开启数据传输通道。可选地,数据传输通道的数量为至少一个。
其中,数据传输通道包括但不限于数据发送通道和/或数据接收通道。数据发送通道用于向第二设备发送数据;数据接收通道用于接收第二设备发送的数据。可选地,数据发送通道的数量为至少一个,不同的数据发送通道对应不同的数据类型;数据接收通道的数量为至少一个,不同的数据接收通道对应不同的数据类型。
通道密钥组包括每个数据传输通道对应的通道密钥。通道密钥与数据传输通道一一对应。
其中,生成数据传输通道对应的通道密钥组的时机在发送预设信令之前。
在一个示例中,第一设备生成通道密钥组的时机为:在未确定出开启的数据传输通道的数量和类型时生成,比如:在密钥协商完成后立即生成通道密钥组。此时,通道密钥组包括各个类型的数据传输通道对应的通道密钥。
比如:第一设备向第二设备提供的各个数据传输通道包括数据发送通道和数据接收通道,其中,数据发送通道包括1个音频接收通道、1个视频接收通道、2个双流接收通道、1个文件发送通道和1个FECC接收通道;数据接收通道包括1个音频发送通道、1个视频发送通道、2个双流发送通道、1个文件接收通道和1个FECC发送通道。此时,通道密钥组包括12个通道密钥{K1、K2、K3、K4…K12}。每个通道密钥对应一个数据传输通道。
另外,在实际实现时,不同类型的数据传输通道的数量可以为一个或多个,相应地,通道密钥组包括每个数据传输通道对应的通道密钥。
在另一个示例中,第一设备在确定出开启的数据传输通道的数量和类型时生成,此时,还未发送预设信令。比如:在密钥协商完成后,需要内部确定向第二设备开启的数据传输通道的数量和类型,确定出后生成通道密钥组。此时,通道密钥组包括确定出的数据传输通道对应的通道密钥。
在其他示例中,第一设备还可以在发送预设信令之前的其它时机生成通道密钥组,本实施例不对生成通道密钥组的时机作限定。
另外,每次网络会议过程中,第一设备都会生成一组通道密钥组Kmg={Km1,Km2,…Kmn},通道密钥组中的每个通道密钥对应一个数据传输通道。
可选地,在网络会议过程中,第二设备也可以向第一设备开启数据传输通道,并生成对应的通道密钥组存储在本地。在第二设备在网络会议中的功能更新为第一设备的功能时,可以实现使用该第二设备中的通道密钥组进行数据加密传输,此时,通道密钥组的传输过程和数据加密传输过程与第一设备的描述相同,本实施例在此不再赘述。
步骤204,第一设备使用共享密钥对通道密钥组进行加密,得到加密密钥组。
第一设备使用共享密钥基于对称加密算法对通道密钥组进行加密,得到加密密钥组。
步骤205,第一设备将加密密钥组携带在预设信令的密钥字段中,该预设信令配置有密钥字段。
预设信令是通话协议中原始规定的信令,通话协议是第一设备和第二设备建立网络会议的协议,比如:H.323协议。
在一个示例中,预设信令包括通道开启信令;该通道开启信令用于为第二设备指示当前第一设备开启的数据传输通道。此时,第一设备将加密密钥组携带在预设信令的密钥字段中,包括:将加密密钥组携带在通道开启信令的密钥字段中。
比如:通道开启信令为openlogocalchannel,密钥字段为openlogocalchannel中Encryptionsync下的h235key字段。
在又一个示例中,预设信令包括通道开启信令的反馈信令;反馈信令用于指示第一设备接收通道开启信令成功。此时,将加密密钥组携带在预设信令的密钥字段中,包括:在接收到第二设备发送的通道开启信令成功时,将加密密钥组携带在反馈信令的密钥字段中。
其中,接收第二设备发送的通道开启信令成功包括:接收到第二设备发送的通道开启信令,且该通道开启信令能够被成功解析。
比如:通道开启信令的反馈信令为openlogocalchannel ack,密钥字段为openlogocalchannel ack中Encryptionsync下的h235key字段。
在其它实施例中,预设信令也可以为其它配置有密钥字段的信令,本实施例不对预设信令的实现方式作限定。
步骤206,第一设备将预设信令发送至第二设备。
预设信令用于供第二设备在接收到预设信令后,使用共享密钥对密钥字段进行解密,得到通道密钥组,并使用通道密钥组与第一设备进行数据加密传输。
预设信令的发送时机基于预设信令的功能确定,比如:预设信令用于指示当前第一设备开启的数据传输通道,则预设信令在第一设备确定出待开启的数据传输通道之后发送;又比如:预设信令用于指示第一设备接收通道开启信令成功,则预设信令在接收到通道开启信令成功、且成功解析后发送。
可选地,由于在网络会议过程中,网络会议以主设备生成的通道密钥组对媒体数据进行加解密,本实施例中,以生成通道密钥组的第一设备为网络会议中的主设备为例进行说明。此时,在第一设备基于密钥对信息与第二设备进行密钥协商,以使第二设备获取到共享密钥之后,还包括:与第二设备进行主从协商,确定第一设备为网络会议的主设备、第二设备为网络会议的从设备。
第一设备和第二设备使用的通话协议中规定有主从协商过程,对于多点会议场景,主从协商过程通常为指定MCU为主设备(第一设备),接入MCU的各个会议终端为从设备(第二设备);对于点对点会议场景,主从协商过程可以指定发起呼叫的一端为主设备,被叫端为从设备;或者,随机选择一个设备作为主设备,另一个设备作为从设备,本实施例不对主从协商的方式作限定。
主从协商过程通常在共享密钥协商完成之后、第一设备和第二设备开启数据传输通道之前进行。
步骤207,第二设备接收第一设备发送的预设信令。
其中,预设信令配置有密钥字段,密钥字段携带有加密密钥组,加密密钥组是第一设备使用共享密钥对数据传输通道对应的通道密钥组进行加密得到的。
在一个示例中,预设信令包括通道开启信令。此时,第二设备接收第一设备发送的预设信令,包括:接收通道开启信令。在接收通道开启信令成功、且对通道开启信令解析成功时,生成通道开启信令的反馈信令,并将该反馈信令发送至第一设备。
此时,信令传输过程参考图4所示的步骤,该过程至少包括步骤41-43:
步骤41,第一设备在确定出向第二设备开启的数据传输通道后,生成通道开启信令,并将该通道开启信令发送至第二设备,该通道开启信令中的密钥字段包括加密密钥组;
步骤42,第二设备成功接收通道开启信令后,向第一设备发送通道开启信令的反馈信令。
步骤43,第一设备接收到反馈信令后,确定数据传输通道开启成功。
第一设备在数据传输通道开启成功后,使用该数据传输通道对应的通道密钥与第二设备之间进行数据的加密传输。
在又一个示例中,预设信令包括通道开启信令的反馈信令;反馈信令用于指示第一设备接收通道开启信令成功。此时,第二设备接收第一设备发送的预设信令之前,包括:在开启数据传输通道后,向第一设备发送通道开启信令。
此时,信令传输过程参考图5所示的步骤,该过程至少包括步骤51-53:
步骤51,第二设备在确定出向第一设备开启的数据传输通道后,生成通道开启信令,并将通道开启信令发送至第一设备;
步骤52,第一设备成功接收通道开启信令后,向第二设备发送通道开启信令的反馈信令,该反馈信令中的密钥字段包括加密密钥组。
步骤53,第二设备接收到反馈信令后,确定数据传输通道开启成功。
第二设备在数据传输通道开启成功后,使用该数据传输通道对应的通道密钥与第一设备之间进行数据的加密传输。
步骤208,第二设备使用共享密钥对密钥字段进行解密,得到通道密钥组。
第二设备使用共享密钥基于对称加密算法对密钥字段中的加密密钥组进行解密,得到通道密钥组。
步骤209,第一设备和第二设备之间使用通道密钥组进行数据加密传输。
第一设备使用通道密钥组与第二设备进行数据加密传输;相应地,第二设备使用通道密钥组与第一设备进行数据加密传输。
具体地,对于第一设备开启的每个数据传输通道,使用通道密钥组中与该数据传输通道对应的通道密钥对该数据传输通道对应的数据进行加解密。
综上所述,本实施例提供的网络会议中的数据传输方法,通过基于密钥对信息与第二设备进行密钥协商,以使第二设备获取到第一设备生成的共享密钥;生成数据传输通道对应的通道密钥组;使用共享密钥对通道密钥组进行加密,得到加密密钥组;将加密密钥组携带在预设信令的密钥字段中,预设信令配置有密钥字段;将预设信令发送至第二设备,以供第二设备在接收到预设信令后,使用共享密钥对密钥字段进行解密,得到通道密钥组,并使用通道密钥组与第一设备进行数据加密传输;使用通道密钥组与第二设备进行数据加密传输;可以解决使用DH算法进行密钥协商获取共享密钥时,由于DH算法不具有身份认证功能,导致网络会议过程中传输的数据容易被第三方获取,数据传输过程不安全的问题;由于密钥对信息是对第一设备和/或第二设备进行身份认证通过后获取到的;这样,可以保证获取到共享密钥的设备是身份认证通过后的设备。共享密钥不会被第三方获取,从而保证经共享密钥加密后的数据不会被第三方获取,提高数据传输的安全性。
另外,通过在共享密钥的传输过程中进行至少两次加密,可以提高共享密钥传输过程的安全性。
另外,通过生成多个数据传输通道对应的通道密钥组,每个数据传输通道对应通道密钥组中的一个通道密钥,使得不同数据传输通道使用不同的通道密钥,增加了多个数据传输通道密钥被破解的难度,提高数据传输的安全性。
可选地,步骤201-206和209可单独实现为第一设备侧的方法实施例;步骤202、207-209可单独实现为第二设备侧的方法实施例。
图6是本申请一个实施例提供的网络会议中的数据传输装置的框图,本实施例以该装置应用于图1所示的网络会议中的第一设备110为例进行说明。该装置至少包括以下几个模块:第一生成模块610、密钥协商模块620、第二生成模块630、密钥加密模块640、信令生成模块650、信令发送模块660和数据传输模块670。
第一生成模块610,用于在与第二设备进行网络呼叫时,生成共享密钥;
密钥协商模块620,用于基于密钥对信息与所述第二设备进行密钥协商,以使所述第二设备获取到所述共享密钥;所述密钥对信息是对所述第一设备和/或所述第二设备进行身份认证通过后获取到的;
第二生成模块630,用于生成所述数据传输通道对应的通道密钥组;
密钥加密模块640,用于使用所述共享密钥对所述通道密钥组进行加密,得到加密密钥组;
信令生成模块650,用于将所述加密密钥组携带在预设信令的密钥字段中,所述预设信令配置有所述密钥字段;
信令发送模块660,用于将所述预设信令发送至所述第二设备,以供所述第二设备在接收到所述预设信令后,使用所述共享密钥对所述密钥字段进行解密,得到所述通道密钥组,并使用所述通道密钥组与所述第一设备进行数据加密传输;
数据传输模块670,用于使用所述通道密钥组与所述第二设备进行数据加密传输。
相关细节参考上述方法实施例。
图7是本申请一个实施例提供的网络会议中的数据传输装置的框图,本实施例以该装置应用于图1所示的网络会议中的第二设备120为例进行说明。该装置至少包括以下几个模块:密钥协商模块710、信令接收模块720、信令解析模块730和数据传输模块740。
密钥协商模块710,用于在与第一设备进行网络呼叫时,基于密钥对信息与所述第一设备进行密钥协商,得到所述第一设备生成的共享密钥;所述密钥对信息是对所述第一设备和/或所述第二设备进行身份认证通过后获取到的;
信令接收模块720,用于接收所述第一设备发送的预设信令;其中,所述预设信令配置有密钥字段,所述密钥字段携带有加密密钥组,所述加密密钥组是所述第一设备使用所述共享密钥对数据传输通道对应的通道密钥组进行加密得到的;
信令解析模块730,用于使用所述共享密钥对所述密钥字段进行解密,得到所述通道密钥组;
数据传输模块740,用于使用所述通道密钥组与所述第一设备进行数据加密传输。
相关细节参考上述方法实施例。
需要说明的是:上述实施例中提供的网络会议中的数据传输装置在进行网络会议中的数据传输时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将网络会议中的数据传输装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的网络会议中的数据传输装置与网络会议中的数据传输方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图8是本申请一个实施例提供的网络会议中的数据传输装置的框图,该装置可以是图1所示的网络会议中的数据传输系统中的第一设备110或者第二设备120。该装置至少包括处理器801和存储器802。
处理器801可以包括一个或多个处理核心,比如:4核心处理器、8核心处理器等。处理器801可以采用DSP(Digital Signal Processing,数字信号处理)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)、PLA(Programmable Logic Array,可编程逻辑阵列)中的至少一种硬件形式来实现。处理器801也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称CPU(Central ProcessingUnit,中央处理器);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器801可以在集成有GPU(Graphics Processing Unit,图像处理器),GPU用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中,处理器801还可以包括AI(Artificial Intelligence,人工智能)处理器,该AI处理器用于处理有关机器学习的计算操作。
存储器802可以包括一个或多个计算机可读存储介质,该计算机可读存储介质可以是非暂态的。存储器802还可包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。在一些实施例中,存储器802中的非暂态的计算机可读存储介质用于存储至少一个指令,该至少一个指令用于被处理器801所执行以实现本申请中方法实施例提供的网络会议中的数据传输方法。
在一些实施例中,网络会议中的数据传输装置还可选包括有:外围设备接口和至少一个外围设备。处理器801、存储器802和外围设备接口之间可以通过总线或信号线相连。各个外围设备可以通过总线、信号线或电路板与外围设备接口相连。示意性地,外围设备包括但不限于:射频电路、触摸显示屏、音频电路、和电源等。
当然,网络会议中的数据传输装置还可以包括更少或更多的组件,本实施例对此不作限定。
可选地,本申请还提供有一种计算机可读存储介质,所述计算机可读存储介质中存储有程序,所述程序由处理器加载并执行以实现上述方法实施例的网络会议中的数据传输方法。
可选地,本申请还提供有一种计算机产品,该计算机产品包括计算机可读存储介质,所述计算机可读存储介质中存储有程序,所述程序由处理器加载并执行以实现上述方法实施例的网络会议中的数据传输方法。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (11)
1.一种网络会议中的数据传输方法,其特征在于,用于第一设备中,所述方法包括:
在与第二设备进行网络呼叫时,生成共享密钥;
基于密钥对信息与所述第二设备进行密钥协商,以使所述第二设备获取到所述共享密钥;所述密钥对信息是对所述第一设备和/或所述第二设备进行身份认证通过后获取到的;
数据传输通道生成数据传输通道对应的通道密钥组;
使用所述共享密钥对所述通道密钥组进行加密,得到加密密钥组;
将所述加密密钥组携带在预设信令的密钥字段中,所述预设信令配置有所述密钥字段;
将所述预设信令发送至所述第二设备,以供所述第二设备在接收到所述预设信令后,使用所述共享密钥对所述密钥字段进行解密,得到所述通道密钥组,并使用所述通道密钥组与所述第一设备进行数据加密传输;
使用所述通道密钥组与所述第二设备进行数据加密传输。
2.根据权利要求1所述的方法,其特征在于,所述基于密钥对信息与所述第二设备进行密钥协商,包括:
基于所述密钥对信息中的第一密钥对所述共享密钥进行加密,得到加密共享密钥,所述第一密钥在身份认证过程中存储在所述第一设备中;
将所述加密共享密钥发送至所述第二设备,以使所述第二设备基于所述密钥对信息中的第二密钥对所述加密共享密钥进行解密,得到所述共享密钥,其中,所述第二密钥在身份认证过程中存储所述第二设备中。
3.根据权利要求2所述的方法,其特征在于,
所述基于所述密钥对信息中的第一密钥对所述共享密钥进行加密,得到加密共享密钥之前,还包括:
获取所述第二设备发送的加密密钥信息,所述加密密钥信息是所述第二设备使用所述第二密钥对本地密钥加密后得到的信息,所述本地密钥是所述第二设备在所述网络呼叫过程中生成的;
使用所述第一密钥对所述加密密钥信息进行解密,得到所述本地密钥;
所述基于所述密钥对信息中的第一密钥对所述共享密钥进行加密,得到加密共享密钥,包括:
使用所述第一密钥对所述共享密钥进行加密,得到中间加密数据;
使用所述本地密钥对所述中间加密数据进行加密,得到所述加密共享密钥。
4.根据权利要求1所述的方法,其特征在于,
所述预设信令包括通道开启信令;所述通道开启信令用于为所述第二设备指示当前所述第一设备开启的数据传输通道;所述将所述加密密钥组携带在预设信令的密钥字段中,包括:将所述加密密钥组携带在所述通道开启信令的密钥字段中;
所述预设信令包括通道开启信令的反馈信令;所述反馈信令用于指示所述第一设备接收所述通道开启信令成功;所述将所述加密密钥组携带在预设信令的密钥字段中,包括:在接收到所述第二设备发送的通道开启信令成功时,将所述加密密钥组携带在所述反馈信令的密钥字段中。
5.根据权利要求1至4任一所述的方法,其特征在于,所述基于密钥对信息与所述第二设备进行密钥协商,以使所述第二设备获取到所述共享密钥之后,还包括:
与所述第二设备进行主从协商,确定所述第一设备为所述网络会议的主设备、所述第二设备为所述网络会议的从设备;所述网络会议以所述主设备生成的通道密钥组对媒体数据进行加解密。
6.根据权利要求1至4任一所述的方法,其特征在于,所述数据传输通道的数量为至少一个,所述通道密钥组包括每个数据传输通道对应的通道密钥。
7.一种网络会议中的数据传输方法,其特征在于,用于第二设备中,所述方法包括:
在与第一设备进行网络呼叫时,基于密钥对信息与所述第一设备进行密钥协商,得到所述第一设备生成的共享密钥;所述密钥对信息是对所述第一设备和/或所述第二设备进行身份认证通过后获取到的;
接收所述第一设备发送的预设信令;其中,所述预设信令配置有密钥字段,所述密钥字段携带有加密密钥组,所述加密密钥组是所述第一设备使用所述共享密钥对数据传输通道对应的通道密钥组进行加密得到的;
使用所述共享密钥对所述密钥字段进行解密,得到所述通道密钥组;
使用所述通道密钥组与所述第一设备进行数据加密传输。
8.根据权利要求7所述的方法,其特征在于,所述基于密钥对信息与所述第二设备进行密钥协商,包括:
接收加密共享密钥;所述加密共享密钥是所述第一设备基于所述密钥对信息中的第一密钥对所述共享密钥进行加密得到的;所述第一密钥在身份认证过程中存储在所述第一设备中;
基于所述密钥对信息中的第二密钥对所述加密共享密钥进行解密,得到所述共享密钥;其中,所述第二密钥在身份认证过程中存储所述第二设备中。
9.根据权利要求8所述的方法,其特征在于,
所述接收加密共享密钥之前,还包括:
在所述网络呼叫过程中,生成本地密钥;
使用所述第二密钥对本地密钥加密,得到加密密钥信息;
将所述加密密钥信息发送至所述第一设备,以使所述第一设备使用所述第一密钥对所述加密密钥信息进行解密,得到所述本地密钥;再使用所述第一密钥对所述共享密钥进行加密,得到中间加密数据;使用所述本地密钥对所述中间加密数据进行加密,得到所述加密共享密钥;
所述基于所述密钥对信息中的第二密钥对所述加密共享密钥进行解密,得到所述共享密钥,包括:
使用所述本地密钥对所述加密共享密钥进行解密,得到所述中间加密数据;
使用所述第二密钥对所述中间加密数据进行解密,得到所述共享密。
10.一种网络会议中的数据传输装置,其特征在于,所述装置包括处理器和存储器;所述存储器中存储有程序,所述程序由所述处理器加载并执行以实现如权利要求1至6任一项所述的网络会议中的数据传输方法;或者,实现如权利要求7至9任一项所述的网络会议中的数据传输方法。
11.一种计算机可读存储介质,其特征在于,所述存储介质中存储有程序,所述程序被处理器执行时用于实现如权利要求1至6任一项所述的网络会议中的数据传输方法;或者,实现如权利要求7至9任一项所述的网络会议中的数据传输方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011579002.2A CN112737774B (zh) | 2020-12-28 | 2020-12-28 | 网络会议中的数据传输方法、装置及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011579002.2A CN112737774B (zh) | 2020-12-28 | 2020-12-28 | 网络会议中的数据传输方法、装置及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112737774A true CN112737774A (zh) | 2021-04-30 |
CN112737774B CN112737774B (zh) | 2023-04-07 |
Family
ID=75607285
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011579002.2A Active CN112737774B (zh) | 2020-12-28 | 2020-12-28 | 网络会议中的数据传输方法、装置及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112737774B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113452690A (zh) * | 2021-06-24 | 2021-09-28 | 广东电网有限责任公司计量中心 | 一种电网数据传输方法、装置、系统和介质 |
CN114244513A (zh) * | 2021-12-31 | 2022-03-25 | 日晷科技(上海)有限公司 | 密钥协商方法、设备及存储介质 |
CN114338176A (zh) * | 2021-12-29 | 2022-04-12 | 支付宝(杭州)信息技术有限公司 | 数据传输的方法、装置以及网卡 |
CN116545774A (zh) * | 2023-07-05 | 2023-08-04 | 四川西盾科技有限公司 | 一种音视频会议安全保密方法及系统 |
WO2024065469A1 (zh) * | 2022-09-29 | 2024-04-04 | 北京小米移动软件有限公司 | 一种直连链路建立方法、设备及存储介质 |
WO2024077857A1 (zh) * | 2022-10-11 | 2024-04-18 | 深圳数字电视国家工程实验室股份有限公司 | 数据传输方法和装置、设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010069102A1 (zh) * | 2008-12-16 | 2010-06-24 | 中兴通讯股份有限公司 | 移动终端及其密钥传输、解密方法、保密通信的实现方法 |
CN104980928A (zh) * | 2014-04-03 | 2015-10-14 | 华为终端有限公司 | 一种用于建立安全连接的方法、设备及系统 |
CN108777678A (zh) * | 2018-05-18 | 2018-11-09 | 北京邮电大学 | 一种网络密钥交互系统、装置及方法 |
CN111510288A (zh) * | 2020-04-09 | 2020-08-07 | 北京奇艺世纪科技有限公司 | 密钥管理方法、电子设备及存储介质 |
-
2020
- 2020-12-28 CN CN202011579002.2A patent/CN112737774B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010069102A1 (zh) * | 2008-12-16 | 2010-06-24 | 中兴通讯股份有限公司 | 移动终端及其密钥传输、解密方法、保密通信的实现方法 |
CN104980928A (zh) * | 2014-04-03 | 2015-10-14 | 华为终端有限公司 | 一种用于建立安全连接的方法、设备及系统 |
CN108777678A (zh) * | 2018-05-18 | 2018-11-09 | 北京邮电大学 | 一种网络密钥交互系统、装置及方法 |
CN111510288A (zh) * | 2020-04-09 | 2020-08-07 | 北京奇艺世纪科技有限公司 | 密钥管理方法、电子设备及存储介质 |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113452690A (zh) * | 2021-06-24 | 2021-09-28 | 广东电网有限责任公司计量中心 | 一种电网数据传输方法、装置、系统和介质 |
CN113452690B (zh) * | 2021-06-24 | 2022-05-03 | 广东电网有限责任公司计量中心 | 一种电网数据传输方法、装置、系统和介质 |
CN114338176A (zh) * | 2021-12-29 | 2022-04-12 | 支付宝(杭州)信息技术有限公司 | 数据传输的方法、装置以及网卡 |
CN114244513A (zh) * | 2021-12-31 | 2022-03-25 | 日晷科技(上海)有限公司 | 密钥协商方法、设备及存储介质 |
CN114244513B (zh) * | 2021-12-31 | 2024-02-09 | 日晷科技(上海)有限公司 | 密钥协商方法、设备及存储介质 |
WO2024065469A1 (zh) * | 2022-09-29 | 2024-04-04 | 北京小米移动软件有限公司 | 一种直连链路建立方法、设备及存储介质 |
WO2024077857A1 (zh) * | 2022-10-11 | 2024-04-18 | 深圳数字电视国家工程实验室股份有限公司 | 数据传输方法和装置、设备及存储介质 |
CN116545774A (zh) * | 2023-07-05 | 2023-08-04 | 四川西盾科技有限公司 | 一种音视频会议安全保密方法及系统 |
CN116545774B (zh) * | 2023-07-05 | 2023-09-15 | 四川西盾科技有限公司 | 一种音视频会议安全保密方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN112737774B (zh) | 2023-04-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112737774B (zh) | 网络会议中的数据传输方法、装置及存储介质 | |
CN105684344B (zh) | 一种密钥配置方法和装置 | |
CN109309569B (zh) | 基于sm2算法的协同签名的方法、装置及存储介质 | |
CN108199835B (zh) | 一种多方联合私钥解密方法 | |
CN110958209B (zh) | 基于共享密钥的双向认证方法及系统、终端 | |
CN111049647B (zh) | 一种基于属性门限的非对称群组密钥协商方法 | |
WO2010124482A1 (zh) | Ip多媒体子系统中实现安全分叉呼叫会话的方法及系统 | |
CN111654481B (zh) | 一种身份认证方法、装置和存储介质 | |
CN107682152B (zh) | 一种基于对称密码的群组密钥协商方法 | |
CN109889763B (zh) | 会议电视系统的呼叫建立方法、装置及存储介质 | |
WO2020042023A1 (zh) | 一种即时通信的数据加密方法及装置 | |
CN114173328A (zh) | 密钥交换方法、装置、电子设备 | |
CN111953489A (zh) | 基于sm2算法的发电单元采集业务的密钥交换设备及方法 | |
CN108337089B (zh) | 信令传输加密、解密方法、装置及终端 | |
CN114244513B (zh) | 密钥协商方法、设备及存储介质 | |
CN114050897B (zh) | 一种基于sm9的异步密钥协商方法及装置 | |
US20230188330A1 (en) | System and method for identity-based key agreement for secure communication | |
CN115459918A (zh) | 一种身份认证方法和装置 | |
CN114417309A (zh) | 一种双向身份验证方法、装置、设备及存储介质 | |
EP3624393B1 (en) | Key distribution system and method, key generation device, representative user terminal, server device, user terminal and program | |
CN112422275A (zh) | Uart通信中的秘钥协商方法、系统、设备及计算机存储介质 | |
TWI751433B (zh) | 安全通訊金鑰協商方法 | |
CN114640440B (zh) | 一种分布式门限签名的方法和装置 | |
CN111615107B (zh) | 一种数据交互方法、终端及系统 | |
TWI761243B (zh) | 群組即時通訊的加密系統和加密方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |