CN112787977B - 安全传输方法和系统 - Google Patents

安全传输方法和系统 Download PDF

Info

Publication number
CN112787977B
CN112787977B CN201911078883.7A CN201911078883A CN112787977B CN 112787977 B CN112787977 B CN 112787977B CN 201911078883 A CN201911078883 A CN 201911078883A CN 112787977 B CN112787977 B CN 112787977B
Authority
CN
China
Prior art keywords
internet
key
information
things
user terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911078883.7A
Other languages
English (en)
Other versions
CN112787977A (zh
Inventor
张亦刚
阮涛
崇静
幸宇
阎国臣
常宏涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN201911078883.7A priority Critical patent/CN112787977B/zh
Publication of CN112787977A publication Critical patent/CN112787977A/zh
Application granted granted Critical
Publication of CN112787977B publication Critical patent/CN112787977B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Telephonic Communication Services (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本公开提供一种安全传输方法和系统。在安全传输系统中,物联网设备和用户终端分别通过利用身份识别卡在物联网认证平台完成安全认证,物联网认证平台建立物联网设备和用户终端的绑定关系,物联网设备利用身份识别卡和用户终端进行密钥协商以确定会话密钥,物联网设备和用户终端利用会话密钥实现安全通信。本公开在无需对物联网设备进行硬件改造的情况下实现物联网设备的安全数据传输。

Description

安全传输方法和系统
技术领域
本公开涉及安全领域,特别涉及一种安全传输方法和系统。
背景技术
目前,在物联网设备的认证以及加密数据传输方式中,包括基于纯软件方式实现的认证和加密,以及基于安全单元SE的认证和数据加密传输。其中软件加密是指认证以及加密过程完全依赖软件实现,存在着安全性差,容易破解,密钥不安全的特点。基于SE的加密安全性高,但需要专用的SE芯片,芯片需要安装在物联网设备上,涉及到设备的物理改造,成本较高,且实施困难。
此外,在物联网设备与人的交互过程中,即设备到用户终端应用APP的端到端相互认证和加密数据传输过程中,密钥和数据必须经过中间的网络平台。网络平台往往有能力看到中间过程中传输的数据,这给用户带来了安全隐患。
发明内容
本公开提供一种在无需对物联网设备进行硬件改造的情况下实现物联网设备安全数据传输的方案。
根据本公开实施例的第一方面,提供一种安全传输方法,包括:物联网设备和用户终端分别通过利用身份识别卡在物联网认证平台完成安全认证;物联网认证平台建立物联网设备和用户终端的绑定关系;物联网设备利用身份识别卡和用户终端进行密钥协商以确定会话密钥;物联网设备和用户终端利用会话密钥实现安全通信。
在一些实施例中,物联网设备利用身份识别卡和用户终端进行密钥协商以确定会话密钥包括:物联网设备中的身份识别卡利用预设的安全密钥分散出第一密钥;物联网设备从物联网认证平台获取用户终端的公钥;物联网设备利用用户终端的公钥对第一密钥进行加密,以得到第一信息,并将第一信息发送给用户终端;用户终端利用自身私钥对第一信息进行解密,以得到第一密钥,以便物联网设备和用户终端将第一密钥作为会话密钥。
在一些实施例中,物联网设备利用身份识别卡和用户终端进行密钥协商以确定会话密钥包括:物联网认证平台生成参数P和G,其中参数P为大质数,G为P的生成元G;将参数P和G分别发送给物联网设备和用户终端;物联网设备中的身份识别卡生成第一随机数A,1≤A≤P-2,用户终端中的身份识别卡生成第二随机数B,1≤B≤P-2;物联网设备利用第一随机数A、参数P和G计算出第二信息,第二信息为GAmod P,并将第二信息发送给用户终端;用户终端利用第二随机数B、参数P和G计算出第三信息,第三信息为GB mod P,并将第三信息发送给物联网设备;物联网设备利用第一随机数A和参数P对第三信息进行处理以得到第四信息,第四信息为(GB mod P)A mod P,并将第四信息作为会话密钥;用户终端利用第二随机数B和参数P对第二信息进行处理以得到第五信息,第五信息为(GA mod P)B mod P,并将第五信息作为会话密钥。
在一些实施例中,物联网设备通过利用身份识别卡在物联网认证平台完成安全认证包括:物联网设备中的身份识别卡利用预设的安全密钥,并根据预设参数分散出第二密钥,并利用第二密钥生成第一认证信息;物联网设备将第一认证信息和预设参数发送给物联网认证平台;物联网认证平台利用自身预设的安全密钥,根据接收到的预设参数分散出第三密钥,并利用第三密钥生成第二认证信息;物联网认证平台在第二认证信息和第一认证信息相同的情况下,验证物联网设备的身份合法。
在一些实施例中,用户终端通过利用身份识别卡在物联网认证平台完成安全认证包括:用户终端中的身份识别卡利用预设的安全密钥,并根据预设参数分散出第四密钥,并利用第四密钥生成第三认证信息;用户终端将第三认证信息和预设参数发送给物联网认证平台;物联网认证平台利用自身预设的安全密钥,根据接收到的预设参数分散出第五密钥,并利用第五密钥生成第四认证信息;物联网认证平台在第四认证信息和第三认证信息相同的情况下,验证用户终端的身份合法。
在一些实施例中,上述方法还包括:物联网认证平台根据各密钥分量持有者注入的密钥分量生成安全密钥,并将安全密钥存储在本地;卡商产线侧设备根据各密钥分量持有者注入的密钥分量生成安全密钥,并将安全密钥灌装到指定的身份识别卡中,其中身份识别卡安装在物联网设备或用户终端中。
根据本公开实施例的第二方面,提供一种安全传输系统,包括:物联网设备,被配置为通过利用身份识别卡在物联网认证平台完成安全认证;利用身份识别卡和用户终端进行密钥协商以确定会话密钥,利用会话密钥与用户终端实现安全通信;用户终端,被配置为通过利用身份识别卡在物联网认证平台完成安全认证;和物联网设备进行密钥协商以确定会话密钥,利用会话密钥与物联网设备实现安全通信;物联网认证平台,被配置为建立物联网设备和用户终端的绑定关系。
在一些实施例中,物联网设备中的身份识别卡被配置为利用预设的安全密钥分散出第一密钥;物联网设备被配置为从物联网认证平台获取用户终端的公钥;利用用户终端的公钥对第一密钥进行加密,以得到第一信息,并将第一信息发送给用户终端;用户终端被配置为利用自身私钥对第一信息进行解密,以得到第一密钥,以便物联网设备和用户终端将第一密钥作为会话密钥。
在一些实施例中,物联网认证平台被配置为生成参数P和G,其中参数P为大质数,G为P的生成元G,并将参数P和G分别发送给物联网设备和用户终端;物联网设备中的身份识别卡被配置为生成第一随机数A,1≤A≤P-2;用户终端中的身份识别卡被配置为生成第二随机数B,1≤B≤P-2;物联网设备被配置为利用第一随机数A、参数P和G计算出第二信息,第二信息为GAmod P,并将第二信息发送给用户终端;利用第一随机数A和参数P对用户终端发送的第三信息进行处理以得到第四信息,第四信息为(GB mod P)A mod P,并将第四信息作为会话密钥;用户终端被配置为利用第二随机数B、参数P和G计算出第三信息,第三信息为GB mod P,并将第三信息发送给物联网设备;利用第二随机数B和参数P对第二信息进行处理以得到第五信息,第五信息为(GAmod P)B mod P,并将第五信息作为会话密钥。
在一些实施例中,物联网设备中的身份识别卡被配置为利用预设的安全密钥,并根据预设参数分散出第二密钥,并利用第二密钥生成第一认证信息;物联网设备被配置为将第一认证信息和预设参数发送给物联网认证平台;物联网认证平台被配置为利用自身预设的安全密钥,根据接收到的预设参数分散出第三密钥,并利用第三密钥生成第二认证信息,在第二认证信息和第一认证信息相同的情况下,验证物联网设备的身份合法。
在一些实施例中,用户终端中的身份识别卡被配置为利用预设的安全密钥,并根据预设参数分散出第四密钥,并利用第四密钥生成第三认证信息;用户终端被配置为将第三认证信息和预设参数发送给物联网认证平台;物联网认证平台被配置为利用自身预设的安全密钥,根据接收到的预设参数分散出第五密钥,并利用第五密钥生成第四认证信息,在第四认证信息和第三认证信息相同的情况下,验证用户终端的身份合法。
在一些实施例中,上述系统还包括:卡商产线侧设备,被配置为根据各密钥分量持有者注入的密钥分量生成安全密钥,并将安全密钥灌装到指定的身份识别卡中,其中身份识别卡安装在物联网设备或用户终端中;物联网认证平台被配置为根据各密钥分量持有者注入的密钥分量生成安全密钥,并将安全密钥存储在本地。
根据本公开实施例的第三方面,提供一种计算机可读存储介质,其中,计算机可读存储介质存储有计算机指令,指令被处理器执行时实现如上述任一实施例涉及的方法。
通过以下参照附图对本公开的示例性实施例的详细描述,本公开的其它特征及其优点将会变得清楚。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开一个实施例的安全传输方法的流程示意图;
图2为本公开一个实施例的密钥协商的流程示意图;
图3为本公开另一个实施例的密钥协商的流程示意图;
图4为本公开一个实施例的物联网设备认证的流程示意图;
图5为本公开一个实施例的用户终端认证的流程示意图;
图6为本公开一个实施例的密钥灌装的流程示意图;
图7为本公开一个实施例的安全传输系统的结构示意图;
图8为本公开另一个实施例的安全传输系统的结构示意图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1为本公开一个实施例的安全传输方法的流程示意图。
在步骤101,物联网设备和用户终端分别通过利用身份识别卡在物联网认证平台完成安全认证。
在步骤102,物联网认证平台建立物联网设备和用户终端的绑定关系。
在一些实施例中,绑定关系可由用户指定。物联网认证平台通过操作界面,以便用户进行绑定操作。绑定可以是一对一,即一台用户终端绑定一台物联网设备,由此用户终端可与该物联网设备进行交互。绑定也可以是一对多,即一台用户终端同时绑定多台物联网设备,从而用户终端可分别与这些所绑定的物联网设备进行交互。
在步骤103,物联网设备利用身份识别卡和用户终端进行密钥协商以确定会话密钥。
在一些实施例中,在用户终端具有非对称密钥的情况下,物联网设备利用用户终端的公钥来传输会话密钥。
图2为本公开一个实施例的密钥协商的流程示意图。
在步骤200,用户终端将自身的公钥发送给物联网认证平台。
用户终端会将自身的公钥上报给物联网认证平台,同时将私钥存储在本地。
在步骤201,物联网设备中的身份识别卡利用预设的安全密钥分散出第一密钥。
在步骤202,物联网设备从物联网认证平台获取用户终端的公钥。
在步骤203,物联网设备利用用户终端的公钥对第一密钥进行加密,以得到第一信息。
在步骤204,物联网设备将第一信息发送给用户终端。
在步骤205,用户终端利用自身私钥对第一信息进行解密,以得到第一密钥。
由此,物联网设备和用户终端将第一密钥作为会话密钥。
在一些实施例中,物联网设备和用户终端通过信息交互,各自计算出会话密钥。
图3为本公开另一个实施例的密钥协商的流程示意图。
在步骤301,物联网认证平台生成参数P和G,其中参数P为大质数,G为P的生成元G。
在步骤302a,物联网认证平台将参数P和G发送给物联网设备。
在步骤302b,物联网认证平台将参数P和G发送给用户终端。
在步骤303a,物联网设备中的身份识别卡生成第一随机数A,1≤A≤P-2。该第一随机数A只存在于物联网设备的身份识别卡中。
在步骤303b,用户终端中的身份识别卡生成第二随机数B,1≤B≤P-2。该第二随机数B只存在于用户终端的身份识别卡中。
在步骤304a,物联网设备利用第一随机数A、参数P和G计算出第二信息,第二信息为GA mod P。
在步骤304b,用户终端利用第二随机数B、参数P和G计算出第三信息,第三信息为GB mod P。
在步骤305a,物联网设备将第二信息发送给用户终端。
在步骤305b,用户终端将第三信息发送给物联网设备。
在步骤306a,物联网设备利用第一随机数A和参数P对第三信息进行处理以得到第四信息,第四信息为(GB mod P)Amod P。物联网设备将第四信息作为会话密钥。
在步骤306b,用户终端利用第二随机数B和参数P对第二信息进行处理以得到第五信息,第五信息为(GA mod P)B mod P,并将第五信息作为会话密钥。
这里需要说明的是,第四信息(GB mod P)A mod P=GA×B mod P。此外,第五信息(GAmod P)B mod P=GB×A mod P。即第四信息和第五信息相同。因此,物联网设备和用户终端通过密钥协商以获得会话密钥。由于在密钥协商过程中,并不会传输会话密钥本身,因此恶意第三方通过物联网认证平台无法截获会话密钥。
返回图1。在步骤104,物联网设备和用户终端利用会话密钥实现安全通信。
在一些实施例中,物联网设备通过利用身份识别卡在物联网认证平台完成安全认证的步骤如图4所示。
在步骤401,物联网设备中的身份识别卡利用预设的安全密钥,并根据预设参数分散出第二密钥。
在步骤402,物联网设备中的身份识别卡利用第二密钥生成第一认证信息。
在步骤403,物联网设备将第一认证信息和预设参数发送给物联网认证平台。
在步骤404,物联网认证平台利用自身预设的安全密钥,根据接收到的预设参数分散出第三密钥。
在步骤405,物联网认证平台利用第三密钥生成第二认证信息。
在步骤406,物联网认证平台在第二认证信息和第一认证信息相同的情况下,验证物联网设备的身份合法。
在一些实施例中,用户终端通过利用身份识别卡在物联网认证平台完成安全认证的步骤如图5所示。
在步骤501,用户终端中的身份识别卡利用预设的安全密钥,并根据预设参数分散出第四密钥。
在步骤502,用户终端中的身份识别卡利用第四密钥生成第三认证信息。
在步骤503,用户终端将第三认证信息和预设参数发送给物联网认证平台。
在步骤504,物联网认证平台利用自身预设的安全密钥,根据接收到的预设参数分散出第五密钥。
在步骤505,物联网认证平台利用第五密钥生成第四认证信息。
在步骤506,物联网认证平台在第四认证信息和第三认证信息相同的情况下,验证用户终端的身份合法。
例如,在身份识别卡(例如SIM卡)中设有Cos操作系统。安装有该身份识别卡的装置(物联网设备或用户终端)在与物联网认证平台(例如,中国电信的CTPASS平台)的过程中,具体执行以下步骤。
1、卡片Cos根据APDU(Application Protocol Data Unit,应用协议数据单元)命令得到ICCID。
2、卡片Cos使用随机数发生器产生4字节随机数。
3、卡片Cos产生4字节响应计数器值并本地保存,后续使用每次该值加1。
4、通过将ICCID、随机数、上行计数器、卡片预置密钥拼装后,使用SHA-1分散后取后128位得到会话密钥SK1。
5、卡片对待加密数据进行3DES加密(密钥:SK1)。在计算MAC值(密钥:SK1)后返回本次处理结果。
6、装置把加密后的数据以及MAC值上传到CTPASS平台,同时携带ICCID,随机数,计数器等参数。
7、CTPASS平台收到ICCID,随机数,计数器后,将ICCID、随机数、上行计数器、平台保存的卡片预置密钥的拷贝拼装后,使用SHA-1分散后取后128位得到会话密钥SK1。
8、CTPASS平台先用会话密钥计算MAC值(密钥:SK1),确认一致后,证明了装置的合法身份。
这里还需要说明的是,身份识别卡和物联网认证平台上的安全密钥可预先灌装。
图6为本公开一个实施例的密钥灌装的流程示意图。
在步骤601a,各密钥分量持有者将具有的密钥分量注入物联网认证平台。
在步骤601b,各密钥分量持有者将具有的密钥分量注入卡商产线侧设备。
例如,若共有3个密钥分量持有者,则这3个密钥分量持有者将所持有的密钥分量注入物联网认证平台和卡商产线侧设备。
在步骤602a,物联网认证平台根据各密钥分量持有者注入的密钥分量生成安全密钥,并将安全密钥存储在本地。
在步骤602b,卡商产线侧设备根据各密钥分量持有者注入的密钥分量生成安全密钥。
在步骤603,卡商产线侧设备将安全密钥灌装到指定的身份识别卡中。由此身份识别卡可安装在物联网设备或用户终端中。
图7为本公开一个实施例的安全传输系统的结构示意图。如图7所示,安全传输系统包括物联网设备71、用户终端72和物联网认证平台73。
物联网设备71被配置为通过利用身份识别卡在物联网认证平台完成安全认证;利用身份识别卡和用户终端进行密钥协商以确定会话密钥,利用会话密钥与用户终端实现安全通信。
用户终端72被配置为通过利用身份识别卡在物联网认证平台完成安全认证;和物联网设备进行密钥协商以确定会话密钥,利用会话密钥与物联网设备实现安全通信。
物联网认证平台73被配置为建立物联网设备和用户终端的绑定关系。
在一些实施例中,在用户终端具有非对称密钥的情况下,物联网设备利用用户终端的公钥来传输会话密钥。
例如,物联网设备71中的身份识别卡被配置为利用预设的安全密钥分散出第一密钥。物联网设备71被配置为从物联网认证平台获取用户终端的公钥;利用用户终端的公钥对第一密钥进行加密,以得到第一信息,并将第一信息发送给用户终端72。用户终端72被配置为利用自身私钥对第一信息进行解密,以得到第一密钥,以便物联网设备和用户终端将第一密钥作为会话密钥。
在一些实施例中,物联网设备和用户终端通过信息交互,各自计算出会话密钥。
例如,物联网认证平台73被配置为生成参数P和G,其中参数P为大质数,G为P的生成元G,并将参数P和G分别发送给物联网设备和用户终端。物联网设备71中的身份识别卡被配置为生成第一随机数A,1≤A≤P-2。用户终端72中的身份识别卡被配置为生成第二随机数B,1≤B≤P-2。物联网设备71被配置为利用第一随机数A、参数P和G计算出第二信息,第二信息为GA mod P,并将第二信息发送给用户终端;利用第一随机数A和参数P对用户终端发送的第三信息进行处理以得到第四信息,第四信息为(GB mod P)Amod P,并将第四信息作为会话密钥。用户终端72被配置为利用第二随机数B、参数P和G计算出第三信息,第三信息为GB mod P,并将第三信息发送给物联网设备;利用第二随机数B和参数P对第二信息进行处理以得到第五信息,第五信息为(GAmod P)B mod P,并将第五信息作为会话密钥。
这里需要说明的是,第四信息(GB mod P)Amod P=GA×B mod P。此外,第五信息(GAmod P)B mod P=GB×A mod P。即第四信息和第五信息相同。因此,物联网设备和用户终端通过密钥协商以获得会话密钥。由于在密钥协商过程中,并不会传输会话密钥本身,因此恶意第三方通过物联网认证平台无法截获会话密钥。
在一些实施例中,物联网设备71中的身份识别卡被配置为利用预设的安全密钥,并根据预设参数分散出第二密钥,并利用第二密钥生成第一认证信息。物联网设备71被配置为将第一认证信息和预设参数发送给物联网认证平台73。物联网认证平台73被配置为利用自身预设的安全密钥,根据接收到的预设参数分散出第三密钥,并利用第三密钥生成第二认证信息,在第二认证信息和第一认证信息相同的情况下,验证物联网设备的身份合法。
在一些实施例中,用户终端72中的身份识别卡被配置为利用预设的安全密钥,并根据预设参数分散出第四密钥,并利用第四密钥生成第三认证信息。用户终端72被配置为将第三认证信息和预设参数发送给物联网认证平台73。物联网认证平台73被配置为利用自身预设的安全密钥,根据接收到的预设参数分散出第五密钥,并利用第五密钥生成第四认证信息,在第四认证信息和第三认证信息相同的情况下,验证用户终端的身份合法。
图8为本公开另一个实施例的安全传输系统的结构示意图。图8与图7的不同之处在于,在图8所示实施例中,系统还包括卡商产线侧设备74。
物联网认证平台73被配置为根据各密钥分量持有者注入的密钥分量生成安全密钥,并将安全密钥存储在本地。
卡商产线侧设备74被配置为根据各密钥分量持有者注入的密钥分量生成安全密钥,并将安全密钥灌装到指定的身份识别卡中,其中身份识别卡安装在物联网设备71或用户终端72中。
本公开还提供一种计算机可读存储介质。计算机可读存储介质存储有计算机指令,指令被处理器执行时实现如图1中任一实施例涉及的方法。
通过实施本公开,能够得到以下有益效果:
1、在诸如SIM卡的身份识别卡内实现了基于安全芯片的加密,同时又不需要对物联网设备进行硬件上的改造,只需要升级设备的固件版本即可。同时,具有抗物理攻击,抗电磁攻击,物理方法产生真随机数等重要特性。
2、针对诸如SIM卡的身份识别卡的密钥灌装,具有高度的标准化的特点,可由运营商统一灌装,可以解决物联网设备类型型号过于分散,从而密钥灌装困难,或者实现密码学算法困难的问题。
3、认证和加密分离,平台使用初始时灌装的密钥分别完成对物联网设备的认证,对用户终端的认证,建立物联网设备和用户终端的绑定关系,然后在设备和手机之间,进行数据加密会话密钥的交换,而这个过程中,物联网认证平台无法破解加密会话密钥,也就无法获取传输的加密的数据,为用户提供更加安全的端到端的传输方式。既减轻了用户的开发负担,又打消了客户对密钥保存的疑虑。
至此,已经详细描述了本公开的实施例。为了避免遮蔽本公开的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
虽然已经通过示例对本公开的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本公开的范围。本领域的技术人员应该理解,可在不脱离本公开的范围和精神的情况下,对以上实施例进行修改或者对部分技术特征进行等同替换。本公开的范围由所附权利要求来限定。

Claims (11)

1.一种安全传输方法,包括:
物联网设备和用户终端分别通过利用身份识别卡在物联网认证平台完成安全认证;
物联网认证平台建立物联网设备和用户终端的绑定关系;
物联网设备利用身份识别卡和用户终端进行密钥协商以确定会话密钥;
物联网设备和用户终端利用会话密钥实现安全通信;
其中,物联网设备利用身份识别卡和用户终端进行密钥协商以确定会话密钥包括:
物联网认证平台生成参数P和G,其中参数P为大质数,G为P的生成元G;
将参数P和G分别发送给物联网设备和用户终端;
物联网设备中的身份识别卡生成第一随机数A,1≤A≤P-2,用户终端中的身份识别卡生成第二随机数B,1≤B≤P-2;
物联网设备利用第一随机数A、参数P和G计算出第二信息,第二信息为GAmod P,并将第二信息发送给用户终端;
用户终端利用第二随机数B、参数P和G计算出第三信息,第三信息为GB mod P,并将第三信息发送给物联网设备;
物联网设备利用第一随机数A和参数P对第三信息进行处理以得到第四信息,第四信息为(GB mod P)A mod P,并将第四信息作为会话密钥;
用户终端利用第二随机数B和参数P对第二信息进行处理以得到第五信息,第五信息为(GAmod P)B mod P,并将第五信息作为会话密钥。
2.根据权利要求1所述的方法,其中,物联网设备利用身份识别卡和用户终端进行密钥协商以确定会话密钥包括:
物联网设备中的身份识别卡利用预设的安全密钥分散出第一密钥;
物联网设备从物联网认证平台获取用户终端的公钥;
物联网设备利用用户终端的公钥对第一密钥进行加密,以得到第一信息,并将第一信息发送给用户终端;
用户终端利用自身私钥对第一信息进行解密,以得到第一密钥,以便物联网设备和用户终端将第一密钥作为会话密钥。
3.根据权利要求1所述的方法,其中,物联网设备通过利用身份识别卡在物联网认证平台完成安全认证包括:
物联网设备中的身份识别卡利用预设的安全密钥,并根据预设参数分散出第二密钥,并利用第二密钥生成第一认证信息;
物联网设备将第一认证信息和预设参数发送给物联网认证平台;
物联网认证平台利用自身预设的安全密钥,根据接收到的预设参数分散出第三密钥,并利用第三密钥生成第二认证信息;
物联网认证平台在第二认证信息和第一认证信息相同的情况下,验证物联网设备的身份合法。
4.根据权利要求1所述的方法,其中,用户终端通过利用身份识别卡在物联网认证平台完成安全认证包括:
用户终端中的身份识别卡利用预设的安全密钥,并根据预设参数分散出第四密钥,并利用第四密钥生成第三认证信息;
用户终端将第三认证信息和预设参数发送给物联网认证平台;
物联网认证平台利用自身预设的安全密钥,根据接收到的预设参数分散出第五密钥,并利用第五密钥生成第四认证信息;
物联网认证平台在第四认证信息和第三认证信息相同的情况下,验证用户终端的身份合法。
5.根据权利要求1-4中任一项所述的方法,还包括:
物联网认证平台根据各密钥分量持有者注入的密钥分量生成安全密钥,并将安全密钥存储在本地;
卡商产线侧设备根据各密钥分量持有者注入的密钥分量生成安全密钥,并将安全密钥灌装到指定的身份识别卡中,其中身份识别卡安装在物联网设备或用户终端中。
6.一种安全传输系统,包括:
物联网设备,被配置为通过利用身份识别卡在物联网认证平台完成安全认证;利用身份识别卡和用户终端进行密钥协商以确定会话密钥,利用会话密钥与用户终端实现安全通信;
用户终端,被配置为通过利用身份识别卡在物联网认证平台完成安全认证;和物联网设备进行密钥协商以确定会话密钥,利用会话密钥与物联网设备实现安全通信;
物联网认证平台,被配置为建立物联网设备和用户终端的绑定关系;
其中,物联网认证平台被配置为生成参数P和G,其中参数P为大质数,G为P的生成元G,并将参数P和G分别发送给物联网设备和用户终端;
物联网设备中的身份识别卡被配置为生成第一随机数A,1≤A≤P-2;
用户终端中的身份识别卡被配置为生成第二随机数B,1≤B≤P-2;
物联网设备被配置为利用第一随机数A、参数P和G计算出第二信息,第二信息为GA modP,并将第二信息发送给用户终端;利用第一随机数A和参数P对用户终端发送的第三信息进行处理以得到第四信息,第四信息为(GB mod P)Amod P,并将第四信息作为会话密钥;
用户终端被配置为利用第二随机数B、参数P和G计算出第三信息,第三信息为GB mod P,并将第三信息发送给物联网设备;利用第二随机数B和参数P对第二信息进行处理以得到第五信息,第五信息为(GAmod P)B mod P,并将第五信息作为会话密钥。
7.根据权利要求6所述的系统,其中:
物联网设备中的身份识别卡被配置为利用预设的安全密钥分散出第一密钥;
物联网设备被配置为从物联网认证平台获取用户终端的公钥;利用用户终端的公钥对第一密钥进行加密,以得到第一信息,并将第一信息发送给用户终端;
用户终端被配置为利用自身私钥对第一信息进行解密,以得到第一密钥,以便物联网设备和用户终端将第一密钥作为会话密钥。
8.根据权利要求6所述的系统,其中:
物联网设备中的身份识别卡被配置为利用预设的安全密钥,并根据预设参数分散出第二密钥,并利用第二密钥生成第一认证信息;
物联网设备被配置为将第一认证信息和预设参数发送给物联网认证平台;
物联网认证平台被配置为利用自身预设的安全密钥,根据接收到的预设参数分散出第三密钥,并利用第三密钥生成第二认证信息,在第二认证信息和第一认证信息相同的情况下,验证物联网设备的身份合法。
9.根据权利要求6所述的系统,其中:
用户终端中的身份识别卡被配置为利用预设的安全密钥,并根据预设参数分散出第四密钥,并利用第四密钥生成第三认证信息;
用户终端被配置为将第三认证信息和预设参数发送给物联网认证平台;
物联网认证平台被配置为利用自身预设的安全密钥,根据接收到的预设参数分散出第五密钥,并利用第五密钥生成第四认证信息,在第四认证信息和第三认证信息相同的情况下,验证用户终端的身份合法。
10.根据权利要求6-9中任一项所述的系统,还包括:
卡商产线侧设备,被配置为根据各密钥分量持有者注入的密钥分量生成安全密钥,并将安全密钥灌装到指定的身份识别卡中,其中身份识别卡安装在物联网设备或用户终端中;
物联网认证平台被配置为根据各密钥分量持有者注入的密钥分量生成安全密钥,并将安全密钥存储在本地。
11.一种计算机可读存储介质,其中,计算机可读存储介质存储有计算机指令,指令被处理器执行时实现如权利要求1-5中任一项所述的方法。
CN201911078883.7A 2019-11-07 2019-11-07 安全传输方法和系统 Active CN112787977B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911078883.7A CN112787977B (zh) 2019-11-07 2019-11-07 安全传输方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911078883.7A CN112787977B (zh) 2019-11-07 2019-11-07 安全传输方法和系统

Publications (2)

Publication Number Publication Date
CN112787977A CN112787977A (zh) 2021-05-11
CN112787977B true CN112787977B (zh) 2022-11-11

Family

ID=75747713

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911078883.7A Active CN112787977B (zh) 2019-11-07 2019-11-07 安全传输方法和系统

Country Status (1)

Country Link
CN (1) CN112787977B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103747443A (zh) * 2013-11-29 2014-04-23 厦门盛华电子科技有限公司 一种基于手机用户识别卡多安全域装置及其鉴权方法
WO2015135398A1 (zh) * 2014-03-12 2015-09-17 天地融科技股份有限公司 一种基于协商密钥的数据处理方法
CN107277061A (zh) * 2017-08-08 2017-10-20 四川长虹电器股份有限公司 基于iot设备的端云安全通信方法
CN108881304A (zh) * 2018-07-27 2018-11-23 江苏恒宝智能系统技术有限公司 一种对物联网设备进行安全管理的方法及系统
CN110336788A (zh) * 2019-05-27 2019-10-15 北京折叠未来科技有限公司 一种物联网设备与移动终端的数据安全交互方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103747443A (zh) * 2013-11-29 2014-04-23 厦门盛华电子科技有限公司 一种基于手机用户识别卡多安全域装置及其鉴权方法
WO2015135398A1 (zh) * 2014-03-12 2015-09-17 天地融科技股份有限公司 一种基于协商密钥的数据处理方法
CN107277061A (zh) * 2017-08-08 2017-10-20 四川长虹电器股份有限公司 基于iot设备的端云安全通信方法
CN108881304A (zh) * 2018-07-27 2018-11-23 江苏恒宝智能系统技术有限公司 一种对物联网设备进行安全管理的方法及系统
CN110336788A (zh) * 2019-05-27 2019-10-15 北京折叠未来科技有限公司 一种物联网设备与移动终端的数据安全交互方法

Also Published As

Publication number Publication date
CN112787977A (zh) 2021-05-11

Similar Documents

Publication Publication Date Title
CN106161402B (zh) 基于云环境的加密机密钥注入系统、方法及装置
CN107317674B (zh) 密钥分发、认证方法,装置及系统
CN107317789B (zh) 密钥分发、认证方法,装置及系统
CN103118027B (zh) 基于国密算法建立tls通道的方法
CN111052672B (zh) 无证书或预共享对称密钥的安全密钥传输协议
CN102595404B (zh) 用于存储和执行访问控制客户端的方法及装置
CN105791272A (zh) 一种物联网中的安全通信方法及装置
CN106788989B (zh) 一种建立安全加密信道的方法及设备
CN109756447A (zh) 一种安全认证方法及相关设备
CN104660602A (zh) 一种量子密钥传输控制方法及系统
CN105577377B (zh) 带密钥协商的基于身份的认证方法和系统
CN106571915A (zh) 一种终端主密钥的设置方法和装置
CN113612605A (zh) 使用对称密码技术增强mqtt协议身份认证方法、系统和设备
WO2014067543A1 (en) Method and apparatus for securing a connection in a communications network
CN111756530B (zh) 量子服务移动引擎系统、网络架构及相关设备
CN112672342B (zh) 数据传输方法、装置、设备、系统和存储介质
CN111756528B (zh) 一种量子会话密钥分发方法、装置及通信架构
CN104901803A (zh) 一种基于cpk标识认证技术的数据交互安全保护方法
CN105142134A (zh) 参数获取以及参数传输方法和装置
CN108259486B (zh) 基于证书的端到端密钥交换方法
WO2017091987A1 (zh) 一种终端间的安全交互方法及装置
CN105763566A (zh) 一种客户端与服务器之间的通信方法
CN103139737A (zh) 密钥协商方法及装置、短信二次确认方法、系统及设备
CN102739660B (zh) 一种单点登录系统的密钥交换方法
CN112787977B (zh) 安全传输方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant