CN113259096A - 一种适于物联网通信环境的密钥在线协商方法及系统 - Google Patents
一种适于物联网通信环境的密钥在线协商方法及系统 Download PDFInfo
- Publication number
- CN113259096A CN113259096A CN202110461793.7A CN202110461793A CN113259096A CN 113259096 A CN113259096 A CN 113259096A CN 202110461793 A CN202110461793 A CN 202110461793A CN 113259096 A CN113259096 A CN 113259096A
- Authority
- CN
- China
- Prior art keywords
- client
- server
- information
- key
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000006854 communication Effects 0.000 title claims abstract description 96
- 238000004891 communication Methods 0.000 title claims abstract description 91
- 238000000034 method Methods 0.000 title claims abstract description 63
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 23
- 230000005540 biological transmission Effects 0.000 claims abstract description 14
- 238000012790 confirmation Methods 0.000 claims description 32
- 238000012544 monitoring process Methods 0.000 claims description 11
- 230000008569 process Effects 0.000 description 17
- 238000012795 verification Methods 0.000 description 5
- 230000002457 bidirectional effect Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000009977 dual effect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002035 prolonged effect Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种适于物联网通信环境的密钥在线协商方法及系统,服务端通过注册端口对客户端发生的连接请求进行监听,客户端预置有服务端的数字证书;身份明确的服务端接收客户端发送的信息结构体,信息结构体包含客户端的身份信息和通道连接协商信息;当服务端接收到信息结构体后,服务端使用预置的客户端数字证书或者注册客户端ID进行客户端的身份确认;服务端将确认通道连接协商信息反馈给客户端,当服务端反馈的通道连接协商信息被客户端接收后,确立客户端与服务端之间的安全通信通道。本发明取消扩展信息传递;直接指定算法,不再进行算法协商;不再进行证书内容的传递,减少TLS协议握手阶段通信次数,提高了物联网通信中加密密钥的协商效率。
Description
技术领域
本发明涉及物联网通信技术领域,具体涉及一种适于物联网通信环境的密钥在线协商方法及系统。
背景技术
目前,全球各国都在加大投入以推动发展物联网产业,随着物联网设备和基础设施的成本降低,物联网产业规模急速普及和增长,应用领域也广泛拓展,尤其在电力、交通、安防等相关领域的应用成效显著,并推动了整个信息产业数字化的发展。物联网产业大都应用在企业甚至国家的基础设施中,随着物联网设备的普及,也意味着其安全性需要更加重视。物联网和互联网通信比较重要的区别是物联网设备之间通信数据小、但是要求响应速度。传输层安全(Transport Layer Security,TLS)标准为网络通信提供安全及数据完整性的一种安全协议,TLS在传输层对网络连接进行加密。
传统技术中,互联网通信均采用TLS协议来解决密钥协商和数据加密,由于互联网是开放环境,通信双方都是未知身份,这为协议的设计带来了很大的难度。而且,协议还必须能够经受所有匪夷所思的攻击,这使得SSL/TLS协议变得异常复杂,需要通信双方多次通信且数据包含内容较多,同时物联网设备大多情况下性能无法与普通PC或者智能终端性能相比,且物联网的控制信号等传输信息均要求快速响应,所以标准TLS协议无法很好的适应特定环境下的物联网应用,完全采用TLS协议来完成密钥协商和数据加密,显得比较笨重。因此亟需一种适于物联网通信环境的密钥在线协商方法及系统。
发明内容
为此,本发明提供一种适于物联网通信环境的密钥在线协商方法及系统,以解决物联网通信中加密密钥的协商效率低,应对客户端计算处理能力弱、通信时延长等问题。
为了实现上述目的,本发明提供如下技术方案:一种适于物联网通信环境的密钥在线协商方法,包括以下步骤:
步骤一、服务端通过注册端口对客户端发生的连接请求进行监听,所述客户端预置有所述服务端的数字证书;
步骤二、身份明确的服务端接收客户端发送的信息结构体,所述信息结构体包含所述客户端的身份信息和通道连接协商信息;
步骤三、当服务端接收到所述信息结构体后,服务端使用预置的客户端数字证书或者注册客户端ID进行客户端的身份确认;
步骤四、服务端将确认通道连接协商信息反馈给客户端,当服务端反馈的通道连接协商信息被客户端接收后,确立所述客户端与所述服务端之间的安全通信通道。
作为适于物联网通信环境的密钥在线协商方法的优选方案,所述服务端与客户端之间的身份认证采用的模式为:客户端使用预置的服务端数字证书对服务端进行身份认证,服务端数字证书统一;服务端使用预置的客户端数字证书对客户端进行身份认证。
作为适于物联网通信环境的密钥在线协商方法的优选方案,所述服务端与客户端之间的身份认证采用的模式为:客户端使用预置的服务端的数字证书对服务端进行身份认证,服务端数字证书统一;
服务端使用客户端注册的身份信息ID认证客户端,服务端预置客户端数字证书;注册客户端身份信息ID在预先注册服务端时得到且与服务端预置的客户端数字证书存在一对一的对应关系。
作为适于物联网通信环境的密钥在线协商方法的优选方案,所述服务端与客户端之间的身份认证采用的模式为:客户端预置服务端数字证书对服务端进行身份认证,服务端数字证书统一;
服务端使用客户端注册的身份信息ID认证客户端,客户端身份信息ID在预先注册服务端时得到。
作为适于物联网通信环境的密钥在线协商方法的优选方案,所述服务端和客户端预定义有一致的对称密钥算法;
使用对端公钥进行通信数据加密和验签,使用本端私钥进行通信数据解密和签名。
作为适于物联网通信环境的密钥在线协商方法的优选方案,所述对称密钥的生成来源包括:
a)使用服务端和客户端的随机数进行异或的结果作为对称密钥;
b)使用客户端的随机数生成对称密钥。
作为适于物联网通信环境的密钥在线协商方法的优选方案,所述对称密钥的传递方式包括:
c)以加密对称密钥方式传递;
d)以加密随机数方式传递后,再合成对称密钥。
作为适于物联网通信环境的密钥在线协商方法的优选方案,当客户端与服务端加密通信完毕后,客户端退出,双方销毁本次通信的密钥信息。
本发明还提供一种适于物联网通信环境的密钥在线协商方法,包括以下步骤:
步骤一、客户端向服务端发送连接请求,所述连接请求由服务端的注册端口进行监听,所述客户端预置有所述服务端的数字证书;
步骤二、客户端发送信息结构体给身份明确的服务端,所述信息结构体包含所述客户端的身份信息和通道连接协商信息;
步骤三、当客户端发送的所述信息结构体被服务端接收后,服务端使用预置的客户端数字证书或者注册客户端ID进行客户端的身份确认;
步骤四、客户端接收服务端发送的确认通道连接协商信息后,确立所述客户端与所述服务端之间的安全通信通道。
本发明又提供一种适于物联网通信环境的密钥在线协商系统,包括:
连接请求监听模块,用于服务端通过注册端口对客户端发生的连接请求进行监听,所述客户端预置有所述服务端的数字证书;
信息结构体传递模块,用于身份明确的服务端接收客户端发送的信息结构体,所述信息结构体包含所述客户端的身份信息和通道连接协商信息;
身份确认模块,用于当服务端接收到所述信息结构体后,服务端使用预置的客户端数字证书或者注册客户端ID进行客户端的身份确认;
安全通信通道建立模块,用于服务端将确认通道连接协商信息反馈给客户端,当服务端反馈的通道连接协商信息被客户端接收后,确立所述客户端与所述服务端之间的安全通信通道。
本发明具有如下优点:服务端通过注册端口对客户端发生的连接请求进行监听,客户端预置有服务端的数字证书;身份明确的服务端接收客户端发送的信息结构体,信息结构体包含客户端的身份信息和通道连接协商信息;当服务端接收到信息结构体后,服务端使用预置的客户端数字证书或者注册客户端ID进行客户端的身份确认;服务端将确认通道连接协商信息反馈给客户端,当服务端反馈的通道连接协商信息被客户端接收后,确立客户端与服务端之间的安全通信通道。本发明取消扩展信息传递;直接指定算法,不再进行算法协商;不再进行证书内容的传递,减少TLS协议握手阶段通信次数,将四次通信变为两次通信,提高了物联网通信中加密密钥的协商效率,应对客户端计算处理能力强,通信速度快。
附图说明
为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引伸获得其它的实施附图。
本说明书所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定本发明可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本发明所能产生的功效及所能达成的目的下,均应仍落在本发明所揭示的技术内容能涵盖的范围内。
图1为本发明实施例1提供的适于物联网通信环境的密钥在线协商方法流程示意图;
图2为本发明实施例1提供的适于物联网通信环境的密钥在线协商方法握手阶段中双向证书认证传递单随机数和对称密钥通信过程;
图3为本发明实施例1提供的适于物联网通信环境的密钥在线协商方法握手阶段中双向证书认证传递双随机数通信过程;
图4为本发明实施例1提供的适于物联网通信环境的密钥在线协商方法双向证书认证传递单随机数通信过程;
图5为本发明实施例1提供的适于物联网通信环境的密钥在线协商方法单向服务端证书认证传递单随机数通信过程;
图6为本发明实施例1提供的适于物联网通信环境的密钥在线协商方法单向服务端证书认证传递双随机数通信过程;
图7为本发明实施例2提供的适于物联网通信环境的密钥在线协商系统示意图。
具体实施方式
以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
参见图1,提供一种适于物联网通信环境的密钥在线协商方法,从服务端的一侧出发,包括以下步骤:
S11、服务端通过注册端口对客户端发生的连接请求进行监听,所述客户端预置有所述服务端的数字证书;
S12、身份明确的服务端接收客户端发送的信息结构体,所述信息结构体包含所述客户端的身份信息和通道连接协商信息;
S13、当服务端接收到所述信息结构体后,服务端使用预置的客户端数字证书或者注册客户端ID进行客户端的身份确认;
S14、服务端将确认通道连接协商信息反馈给客户端,当服务端反馈的通道连接协商信息被客户端接收后,确立所述客户端与所述服务端之间的安全通信通道。
当从客户端的一侧出发,适于物联网通信环境的密钥在线协商方法包括以下步骤:
S21、客户端向服务端发送连接请求,所述连接请求由服务端的注册端口进行监听,所述客户端预置有所述服务端的数字证书;
S22、客户端发送信息结构体给身份明确的服务端,所述信息结构体包含所述客户端的身份信息和通道连接协商信息;
S23、当客户端发送的所述信息结构体被服务端接收后,服务端使用预置的客户端数字证书或者注册客户端ID进行客户端的身份确认;
S24、客户端接收服务端发送的确认通道连接协商信息后,确立所述客户端与所述服务端之间的安全通信通道。
参见图2,适于物联网通信环境的密钥在线协商方法的一个实施例中,服务端和客户端之间采用双向数字证书的认证模式,认证过程中传递单随机数和传递对称密钥。
具体的,客户端预置服务端的数字证书,并预定义密钥算法,服务端预置客户端的数字证书(或多个客户端的数字证书组),并预定义同样的密钥算法。客户端产生随机数R1,客户端采用服务端公钥加密随机数R1得到密文C1,对密文C1签名得到S1,客户端向服务端发送连接请求包,连接请求包包含密文C1、密文C1签名得到的S1及客户端的ID。服务端接收客户端的连接请求包,根据客户端ID选择对应客户端的数字证书,验证签名S1,通过则执行下一步,否则断开TCP,流程结束。服务端对密文C1解密得到随机数R1,同时服务端产生随机数R2,随机数R2和随机数R1异或处理产生对称密钥K,用客户端的公钥加密对称密钥K得到密文C2,对密文C2签名得到S2。服务端向客户端发送连接确认包,连接确认包包含密文C2和密文C2签名得到的S2。客户端接收服务端发送的连接确认包,对S2进行验证,通过则执行下一步,否则断开TCP,流程结束,验证通过后对密文C2解密得到对称密钥K,至此完成客户端和服务端的握手。
参见图3,适于物联网通信环境的密钥在线协商方法的一个实施例中,服务端和客户端之间采用双向数字证书的认证模式,认证过程中传递双随机数。
具体的,客户端预置服务端的数字证书,并预定义密钥算法,服务端预置客户端的数字证书(或多个客户端的数字证书组),并预定义同样的密钥算法。客户端产生随机数R1,客户端采用服务端公钥加密随机数R1得到密文C1,对密文C1签名得到S1,客户端向服务端发送连接请求包,连接请求包包含会话ID、密文C1、密文C1签名得到的S1及客户端的ID。服务端接收客户端的连接请求包,根据客户端ID选择对应客户端的数字证书,验证签名S1,通过则执行下一步,否则断开TCP,流程结束。服务端对密文C1解密得到随机数R1,同时服务端产生随机数R2,随机数R2和随机数R1组合产生对称密钥K,用客户端的公钥加密随机数R2得到密文C2,对密文C2签名得到S2。服务端向客户端发送连接确认包,连接确认包包含密文C2和密文C2签名得到的S2。客户端接收服务端发送的连接确认包,对S2进行验证,通过则执行下一步,否则断开TCP,流程结束,验证通过后对密文C2解密得到随机数R2,随机数R2和随机数R1组合产生对称密钥K,至此完成客户端和服务端的握手。
参见图4,适于物联网通信环境的密钥在线协商方法的一个实施例中,服务端和客户端之间采用双向数字证书的认证模式,认证过程中传递单随机数。
具体的,客户端预置服务端的数字证书,并预定义密钥算法,服务端预置客户端的数字证书(或多个客户端的数字证书组),并预定义同样的密钥算法。客户端产生随机数R1,客户端采用服务端公钥加密随机数R1得到密文C1,对密文C1签名得到S1,客户端向服务端发送连接请求包,连接请求包包含密文C1、密文C1签名得到的S1及客户端的ID。服务端接收客户端的连接请求包,根据客户端ID选择对应客户端的数字证书,验证签名S1,通过则执行下一步,否则断开TCP,流程结束。服务端用客户端的公钥加密随机数R1得到密文C2,对密文C2签名得到S2,以随机数R1生成对称密钥K。服务端向客户端发送连接确认包,连接确认包包含密文C2和密文C2签名得到的S2。客户端接收服务端发送的连接确认包,对S2进行验证,通过则执行下一步,否则断开TCP,流程结束,验证通过后以随机数R1产生对称密钥K,至此完成客户端和服务端的握手。
参见图5,适于物联网通信环境的密钥在线协商方法的一个实施例中,服务端和客户端之间采用单向服务端数字证书认证模式,认证过程中传递单随机数。
具体的,客户端预置服务端的数字证书,并预定义密钥算法,服务端预置注册客户端ID(或多个注册客户端的ID组),并预定义同样的密钥算法。客户端产生随机数R1,客户端采用服务端公钥加密随机数R1得到密文C1,客户端向服务端发送连接请求包,连接请求包包含密文C1及客户端的ID。服务端接收客户端的连接请求包,验证客户端ID有效,通过则执行下一步,否则断开TCP,流程结束。服务端对密文C1解密得到随机数R1,采用随机数R1按照预定义的算法生成对称密钥K,对密文C1签名得到S2,然后服务端向客户端发送连接确认包,连接确认包包含密文C1和密文C1签名得到的S2。客户端接收服务端发送的连接确认包,对S2进行验证,通过则执行下一步,否则断开TCP,流程结束,验证通过后以随机数R1按照预定义的算法生成对称密钥K,至此完成客户端和服务端的握手。
参见图6,适于物联网通信环境的密钥在线协商方法的一个实施例中,服务端和客户端之间采用单向服务端数字证书认证模式,认证过程中传递双随机数。
具体的,客户端预置服务端的数字证书,并预定义密钥算法,服务端预置客户端ID(或多个客户端的ID组),并预定义同样的密钥算法。客户端产生随机数R1,客户端采用服务端公钥加密随机数R1得到密文C1,客户端向服务端发送连接请求包,连接请求包包含密文C1及客户端的ID。服务端接收客户端的连接请求包,验证客户端ID有效,通过则执行下一步,否则断开TCP,流程结束。服务端对密文C1解密得到随机数R1,采用随机数R1按照预定义的算法生成对称密钥K,服务端产生随机数R2,对R2签名得到S2,然后服务端向客户端发送连接确认包,连接确认包包含R2和R2签名得到的S2。客户端接收服务端发送的连接确认包,对S2进行验证,通过则执行下一步,否则断开TCP,流程结束,验证通过后以随机数R1按照预定义的算法生成对称密钥K,至此完成客户端和服务端的握手。
另外,图2、3、4、5、6实现方式的演变均是为了保护重要信息对称密钥以及生成对称密钥的随机数不被泄露的目的,除此之外的其他演变方式不足以完全满足此项要求。另外,图5和6应用于不能为客户端颁发证书的特殊环境情况下。
需要强调的是,上述实施例中涉及的密钥解密、加密、产生随机数等均采用现有的成熟算法。
适于物联网通信环境的密钥在线协商方法的一个实施例中,当客户端与服务端加密通信完毕后,客户端退出,双方销毁本次通信的密钥信息。
实施例2
参见图7,本发明实施例2又提供一种适于物联网通信环境的密钥在线协商系统,包括:
连接请求监听模块1,用于服务端通过注册端口对客户端发生的连接请求进行监听,所述客户端预置有所述服务端的数字证书;
信息结构体传递模块2,用于身份明确的服务端接收客户端发送的信息结构体,所述信息结构体包含所述客户端的身份信息和通道连接协商信息;
身份确认模块3,用于当服务端接收到所述信息结构体后,服务端使用预置的客户端数字证书或者注册客户端ID进行客户端的身份确认;
安全通信通道建立模块4,用于服务端将确认通道连接协商信息反馈给客户端,当服务端反馈的通道连接协商信息被客户端接收后,确立所述客户端与所述服务端之间的安全通信通道。
需要说明的是,上述装置各模块/单元之间的信息交互、执行过程等内容,由于与本申请实施例1中的方法实施例基于同一构思,其带来的技术效果与本申请方法实施例相同,具体内容可参见本申请前述所示的方法实施例中的叙述,此处不再赘述。
综上所述,本发明服务端通过注册端口对客户端发生的连接请求进行监听,客户端预置有服务端的数字证书;身份明确的服务端接收客户端发送的信息结构体,信息结构体包含客户端的身份信息和通道连接协商信息;当服务端接收到信息结构体后,服务端使用预置的客户端数字证书或者注册客户端ID进行客户端的身份确认;服务端将确认通道连接协商信息反馈给客户端,当服务端反馈的通道连接协商信息被客户端接收后,确立客户端与服务端之间的安全通信通道。本发明取消扩展信息传递;直接指定算法,不再进行算法协商;不再进行证书内容的传递,减少TLS协议握手阶段通信次数,将四次通信变为两次通信,提高了物联网通信中加密密钥的协商效率,应对客户端计算处理能力强,通信速度快。
实施例3
本发明实施例3提供一种计算机可读存储介质,所述计算机可读存储介质中存储适于物联网通信环境的密钥在线协商方法的程序代码,所述程序代码包括用于执行实施例1或其任意可能实现方式的适于物联网通信环境的密钥在线协商方法的指令。
计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(SolidStateDisk、SSD))等。
实施例4
本发明实施例4提供一种电子设备,所述电子设备包括处理器,所述处理器与存储介质耦合,当所述处理器执行存储介质中的指令时,使得所述电子设备执行实施例1或其任意可能实现方式的适于物联网通信环境的密钥在线协商方法。
具体的,处理器可以通过硬件来实现也可以通过软件来实现,当通过硬件实现时,该处理器可以是逻辑电路、集成电路等;当通过软件来实现时,该处理器可以是一个通用处理器,通过读取存储器中存储的软件代码来实现,该存储器可以集成在处理器中,可以位于所述处理器之外,独立存在。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。
显然,本领域的技术人员应该明白,上述的本发明的各单元或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。
Claims (10)
1.一种适于物联网通信环境的密钥在线协商方法,其特征在于,包括以下步骤:
步骤一、服务端通过注册端口对客户端发生的连接请求进行监听,所述客户端预置有所述服务端的数字证书;
步骤二、身份明确的服务端接收客户端发送的信息结构体,所述信息结构体包含所述客户端的身份信息和通道连接协商信息;
步骤三、当服务端接收到所述信息结构体后,服务端使用预置的客户端数字证书或者注册客户端ID进行客户端的身份确认;
步骤四、服务端将确认通道连接协商信息反馈给客户端,当服务端反馈的通道连接协商信息被客户端接收后,确立所述客户端与所述服务端之间的安全通信通道。
2.根据权利要求1所述的一种适于物联网通信环境的密钥在线协商方法,其特征在于,所述服务端与客户端之间的身份认证采用的模式为:客户端使用预置的服务端数字证书对服务端进行身份认证,服务端数字证书统一;服务端使用预置的客户端数字证书对客户端进行身份认证。
3.根据权利要求1所述的一种适于物联网通信环境的密钥在线协商方法,其特征在于,所述服务端与客户端之间的身份认证采用的模式为:客户端使用预置的服务端的数字证书对服务端进行身份认证,服务端数字证书统一;
服务端使用客户端注册的身份信息ID认证客户端,服务端预置客户端数字证书;注册客户端身份信息ID在预先注册服务端时得到且与服务端预置的客户端数字证书存在一对一的对应关系。
4.根据权利要求1所述的一种适于物联网通信环境的密钥在线协商方法,其特征在于,所述服务端与客户端之间的身份认证采用的模式为:客户端预置服务端数字证书对服务端进行身份认证,服务端数字证书统一;
服务端使用客户端注册的身份信息ID认证客户端,客户端身份信息ID在预先注册服务端时得到。
5.根据权利要求1所述的一种适于物联网通信环境的密钥在线协商方法,其特征在于,所述服务端和客户端预定义有一致的对称密钥算法;
使用对端公钥进行通信数据加密和验签,使用本端私钥进行通信数据解密和签名。
6.根据权利要求5所述的一种适于物联网通信环境的密钥在线协商方法,其特征在于,所述对称密钥的生成来源包括:
a)使用服务端和客户端的随机数进行异或的结果作为对称密钥;
b)使用客户端的随机数生成对称密钥。
7.根据权利要求5所述的一种适于物联网通信环境的密钥在线协商方法,其特征在于,所述对称密钥的传递方式包括:
c)以加密对称密钥方式传递;
d)以加密随机数方式传递后,再合成对称密钥。
8.根据权利要求1所述的一种适于物联网通信环境的密钥在线协商方法,其特征在于,当客户端与服务端加密通信完毕后,客户端退出,双方销毁本次通信的密钥信息。
9.一种适于物联网通信环境的密钥在线协商方法,其特征在于,包括以下步骤:
步骤一、客户端向服务端发送连接请求,所述连接请求由服务端的注册端口进行监听,所述客户端预置有所述服务端的数字证书;
步骤二、客户端发送信息结构体给身份明确的服务端,所述信息结构体包含所述客户端的身份信息和通道连接协商信息;
步骤三、当客户端发送的所述信息结构体被服务端接收后,服务端使用预置的客户端数字证书或者注册客户端ID进行客户端的身份确认;
步骤四、客户端接收服务端发送的确认通道连接协商信息后,确立所述客户端与所述服务端之间的安全通信通道。
10.一种适于物联网通信环境的密钥在线协商系统,其特征在于,包括:
连接请求监听模块,用于服务端通过注册端口对客户端发生的连接请求进行监听,所述客户端预置有所述服务端的数字证书;
信息结构体传递模块,用于身份明确的服务端接收客户端发送的信息结构体,所述信息结构体包含所述客户端的身份信息和通道连接协商信息;
身份确认模块,用于当服务端接收到所述信息结构体后,服务端使用预置的客户端数字证书或者注册客户端ID进行客户端的身份确认;
安全通信通道建立模块,用于服务端将确认通道连接协商信息反馈给客户端,当服务端反馈的通道连接协商信息被客户端接收后,确立所述客户端与所述服务端之间的安全通信通道。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110461793.7A CN113259096B (zh) | 2021-04-27 | 2021-04-27 | 一种适于物联网通信环境的密钥在线协商方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110461793.7A CN113259096B (zh) | 2021-04-27 | 2021-04-27 | 一种适于物联网通信环境的密钥在线协商方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113259096A true CN113259096A (zh) | 2021-08-13 |
| CN113259096B CN113259096B (zh) | 2021-11-12 |
Family
ID=77222023
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110461793.7A Active CN113259096B (zh) | 2021-04-27 | 2021-04-27 | 一种适于物联网通信环境的密钥在线协商方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113259096B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230308867A1 (en) * | 2021-06-09 | 2023-09-28 | T-Mobile Usa, Inc. | Determining and ameliorating wireless telecommunication network functionalities that are impaired when using end-to-end encryption |
| CN116939599A (zh) * | 2023-08-20 | 2023-10-24 | 敦和安全科技(武汉)有限公司 | 一种面向低性能设备的高速加密通信方法及装置 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103905384A (zh) * | 2012-12-26 | 2014-07-02 | 北京握奇数据系统有限公司 | 基于安全数字证书的嵌入式终端间会话握手的实现方法 |
| WO2016053184A1 (en) * | 2014-10-02 | 2016-04-07 | Huawei International Pte. Ltd. | Key generation method and device |
| US20160182459A1 (en) * | 2014-12-18 | 2016-06-23 | Afero, Inc. | System and method for securely connecting network devices |
| CN109412790A (zh) * | 2018-10-26 | 2019-03-01 | 重庆邮电大学 | 一种面向物联网的用户认证与密钥协商系统及方法 |
| CN109756893A (zh) * | 2019-01-25 | 2019-05-14 | 黑龙江大学 | 一种基于混沌映射的群智感知物联网匿名用户认证方法 |
| CN110708170A (zh) * | 2019-12-13 | 2020-01-17 | 腾讯科技(深圳)有限公司 | 一种数据处理方法、装置以及计算机可读存储介质 |
| CN110870281A (zh) * | 2017-07-04 | 2020-03-06 | 三星电子株式会社 | 由esim终端和服务器讨论数字证书的方法和装置 |
| CN111585976A (zh) * | 2020-04-09 | 2020-08-25 | 北京理工大学 | 通信方法、装置、存储介质和电子设备 |
| CN111614621A (zh) * | 2020-04-20 | 2020-09-01 | 深圳奇迹智慧网络有限公司 | 物联网通信方法和系统 |
| CN111935712A (zh) * | 2020-07-31 | 2020-11-13 | 深圳市燃气集团股份有限公司 | 一种基于NB-IoT通信的数据传输方法、系统及介质 |
| EP3745639A1 (en) * | 2018-02-12 | 2020-12-02 | Huawei Technologies Co., Ltd. | Method and apparatus for obtaining device identification |
| CN112039918A (zh) * | 2020-09-10 | 2020-12-04 | 四川长虹电器股份有限公司 | 一种基于标识密码算法的物联网可信认证方法 |
-
2021
- 2021-04-27 CN CN202110461793.7A patent/CN113259096B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103905384A (zh) * | 2012-12-26 | 2014-07-02 | 北京握奇数据系统有限公司 | 基于安全数字证书的嵌入式终端间会话握手的实现方法 |
| WO2016053184A1 (en) * | 2014-10-02 | 2016-04-07 | Huawei International Pte. Ltd. | Key generation method and device |
| US20160182459A1 (en) * | 2014-12-18 | 2016-06-23 | Afero, Inc. | System and method for securely connecting network devices |
| CN110870281A (zh) * | 2017-07-04 | 2020-03-06 | 三星电子株式会社 | 由esim终端和服务器讨论数字证书的方法和装置 |
| EP3745639A1 (en) * | 2018-02-12 | 2020-12-02 | Huawei Technologies Co., Ltd. | Method and apparatus for obtaining device identification |
| CN109412790A (zh) * | 2018-10-26 | 2019-03-01 | 重庆邮电大学 | 一种面向物联网的用户认证与密钥协商系统及方法 |
| CN109756893A (zh) * | 2019-01-25 | 2019-05-14 | 黑龙江大学 | 一种基于混沌映射的群智感知物联网匿名用户认证方法 |
| CN110708170A (zh) * | 2019-12-13 | 2020-01-17 | 腾讯科技(深圳)有限公司 | 一种数据处理方法、装置以及计算机可读存储介质 |
| CN111585976A (zh) * | 2020-04-09 | 2020-08-25 | 北京理工大学 | 通信方法、装置、存储介质和电子设备 |
| CN111614621A (zh) * | 2020-04-20 | 2020-09-01 | 深圳奇迹智慧网络有限公司 | 物联网通信方法和系统 |
| CN111935712A (zh) * | 2020-07-31 | 2020-11-13 | 深圳市燃气集团股份有限公司 | 一种基于NB-IoT通信的数据传输方法、系统及介质 |
| CN112039918A (zh) * | 2020-09-10 | 2020-12-04 | 四川长虹电器股份有限公司 | 一种基于标识密码算法的物联网可信认证方法 |
Non-Patent Citations (2)
| Title |
|---|
| GUY LESHEM: "Probability Based Keys Sharing for IOT Security", 《IEEE》 * |
| 梅沁: "基于NB-IoT的电力物联网安全技术研究", 《电力信息与通信技术》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230308867A1 (en) * | 2021-06-09 | 2023-09-28 | T-Mobile Usa, Inc. | Determining and ameliorating wireless telecommunication network functionalities that are impaired when using end-to-end encryption |
| US12015912B2 (en) * | 2021-06-09 | 2024-06-18 | T-Mobile Usa, Inc. | Determining and ameliorating wireless telecommunication network functionalities that are impaired when using end-to-end encryption |
| CN116939599A (zh) * | 2023-08-20 | 2023-10-24 | 敦和安全科技(武汉)有限公司 | 一种面向低性能设备的高速加密通信方法及装置 |
| CN116939599B (zh) * | 2023-08-20 | 2024-06-07 | 敦和安全科技(武汉)有限公司 | 一种面向低性能设备的高速加密通信方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113259096B (zh) | 2021-11-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12047362B2 (en) | Systems and methods for secure multi-party communications using a proxy | |
| CN108390851B (zh) | 一种用于工业设备的安全远程控制系统及方法 | |
| CN111416807B (zh) | 数据获取方法、装置及存储介质 | |
| US9565180B2 (en) | Exchange of digital certificates in a client-proxy-server network configuration | |
| US10680835B2 (en) | Secure authentication of remote equipment | |
| US11323433B2 (en) | Digital credential management method and device | |
| CN113259096B (zh) | 一种适于物联网通信环境的密钥在线协商方法及系统 | |
| CN113225352B (zh) | 一种数据传输方法、装置、电子设备及存储介质 | |
| WO2020078225A1 (zh) | 一种密钥下载方法、客户端、密码设备及终端设备 | |
| CN110839240B (zh) | 一种建立连接的方法及装置 | |
| CN103905384A (zh) | 基于安全数字证书的嵌入式终端间会话握手的实现方法 | |
| WO2023071751A1 (zh) | 一种认证方法和通信装置 | |
| WO2023174038A1 (zh) | 数据传输方法及相关设备 | |
| CN113411187A (zh) | 身份认证方法和系统、存储介质及处理器 | |
| CN114422256B (zh) | 一种基于ssal/ssl协议的高性能安全接入方法及装置 | |
| CN113905359B (zh) | 一种银行外设的蓝牙安全通讯方法、装置、设备和介质 | |
| CN117097487B (zh) | 一种利用数字证书认证简化可信执行环境远程认证方法、系统和介质 | |
| CN113596004B (zh) | 多方安全计算中的身份认证方法和装置 | |
| CN112055071B (zh) | 一种基于5g的工业控制安全通信系统及方法 | |
| CN112787819B (zh) | 一种工业控制安全通信系统及通信方法 | |
| CN116318637A (zh) | 设备安全入网通信的方法和系统 | |
| CN113539523A (zh) | 一种基于国产商用密码算法的物联网设备身份认证方法 | |
| CN117201112B (zh) | 基于全节点零信任网关的数据访问处理方法及系统 | |
| WO2024139095A1 (zh) | 基于对称密钥的数据加密方法、数据解密方法、装置和存储介质和电子设备 | |
| He et al. | A new security authentication method for master station and terminal |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CB03 | Change of inventor or designer information |
Inventor after: Ma Na Inventor before: Bai Jinlong Inventor before: Hou Yudong Inventor before: Cai Pengli |
|
| CB03 | Change of inventor or designer information |