CN114039793B - 一种加密通信方法、系统及存储介质 - Google Patents

一种加密通信方法、系统及存储介质 Download PDF

Info

Publication number
CN114039793B
CN114039793B CN202111407181.6A CN202111407181A CN114039793B CN 114039793 B CN114039793 B CN 114039793B CN 202111407181 A CN202111407181 A CN 202111407181A CN 114039793 B CN114039793 B CN 114039793B
Authority
CN
China
Prior art keywords
certificate
server
encryption algorithm
secure channel
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111407181.6A
Other languages
English (en)
Other versions
CN114039793A (zh
Inventor
缪晓
范渊
黄进
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN202111407181.6A priority Critical patent/CN114039793B/zh
Publication of CN114039793A publication Critical patent/CN114039793A/zh
Application granted granted Critical
Publication of CN114039793B publication Critical patent/CN114039793B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种加密通信方法、系统及存储介质,方法包括:设备端在触发通信事件时,与服务端协商非对称加密算法及密钥对,并利用非对称加密算法及密钥对与服务端建立第一安全通道;设备端通过第一安全通道与服务端交换证书;证书包括设备端的第一证书和服务端的第二证书;设备端对第二证书进行验证,同时服务端对第一证书进行验证;在设备端和服务端均确定对端通过验证后,设备端通过第一安全通道与服务端协商对称加密算法和会话密钥;设备端利用对称加密算法和会话密钥服务端建立第二安全通道,并通过第二安全通道与服务端传输应用数据;可通过非对称加密、证书验证及对称加密相混合的方式提升物联网设备与服务端之间的通信安全。

Description

一种加密通信方法、系统及存储介质
技术领域
本发明涉及物联网领域,特别涉及一种加密通信方法、系统及存储介质。
背景技术
近几年随着物联网的快速发展,很多物联网设备应用而生,大量投入使用,带来了很多便捷。但是相应的信息安全将变得尤为突出,网络攻击在未来将成为常态,每个物联网参与方都应针对性地部署防护措施。物联网节点设备无人值守,并且有可能是动态的,所以如何对物联网设备进行远程信息上送和业务配置就成了难题。
相关技术中,物联网设备在与服务端进行数据通信时,通常使用对称加密算法或非对称加密算法及预存的密钥进行加密通信。然而,预存的密钥容易泄露,进而容易威胁物联网设备及服务端之间的通信安全;此外,由于物联网设备及服务端并不会相互确认身份,进而导致简单的密钥更新机制也难以保障物联网设备及服务端之间的通信安全。
发明内容
本发明的目的是提供一种加密通信方法、系统及存储介质,可通过非对称加密、证书验证及对称加密相混合的方式提升物联网设备与服务端之间的通信安全。
为解决上述技术问题,本发明提供一种加密通信方法,包括:
设备端在触发通信事件时,与服务端协商非对称加密算法及密钥对,并利用所述非对称加密算法及所述密钥对与所述服务端建立第一安全通道;
所述设备端通过所述第一安全通道与所述服务端交换证书;所述证书包括所述设备端的第一证书和所述服务端的第二证书;
所述设备端对所述第二证书进行验证,同时所述服务端对所述第一证书进行验证;
在所述设备端和所述服务端均确定对端通过验证后,所述设备端通过所述第一安全通道与所述服务端协商对称加密算法和会话密钥;
所述设备端利用所述对称加密算法和所述会话密钥所述服务端建立第二安全通道,并通过所述第二安全通道与所述服务端传输应用数据。
可选地,所述与服务端协商非对称加密算法及密钥对,包括:
所述设备端向所述服务端发送握手请求;所述握手请求中包含所述设备端支持的可选非对称加密算法;
所述服务端从所述可选非对称加密算法中确定所述非对称加密算法,并生成所述密钥对;所述密钥对包含公钥和私钥;
所述服务端将所述非对称加密算法和所述公钥发送至所述设备端。
可选地,所述设备端通过所述第一安全通道与所述服务端交换证书,包括:
所述设备端利用所述目标非对称加密算法及所述公钥加密所述第一证书得到第一加密证书,并将所述第一加密证书发送至所述服务端;
所述服务端利用所述目标非对称加密算法及所述私钥加密所述第二证书得到第二加密证书,并将所述第二加密证书发送至所述设备端;
所述设备端利用所述公钥对所述第二加密证书进行解密得到所述第二证书;
所述服务端利用所述私钥对所述第一加密证书进行解密得到所述第一证书。
可选地,所述设备端通过所述第一安全通道与所述服务端协商对称加密算法和会话密钥,包括:
所述设备端通过所述第一安全通道向所述服务端发送算法协商请求;所述算法协商请求中包含所述设备端支持的可选对称加密算法;
所述服务端从所述可选对称加密算法中确定所述对称加密算法,并通过所述第一安全通道将所述对称加密算法发送至所述设备端;
所述设备端利用预设密钥协商算法及所述第一安全通道与所述服务端协商所述会话密钥。
可选地,所述设备端及所述服务端均设置有用于存储所述证书的硬件可信单元,在设备端触发通信事件之前,还包括:
所述设备端及所述服务端接收证书平台所签发的所述证书,并将所述证书保存至所述硬件可信单元。
可选地,所述通过所述第二安全通道与所述服务端传输应用数据,包括:
所述设备端利用所述设备端的硬件可信单元、所述对称加密算法及所述会话密钥加密所述应用数据得到加密应用数据,并将所述加密应用数据发送至所述服务端;
所述服务端利用所述服务端的硬件可信单元、所述对称加密算法及所述会话密钥解密所述加密应用数据,得到所述应用数据。
本发明还提供一种加密通信系统,包括:设备端和服务端,其中,
所述设备端,用于在触发通信事件时,与所述服务端协商非对称加密算法及密钥对,并利用所述非对称加密算法及密钥对与所述服务端建立第一安全通道;通过所述第一安全通道与所述服务端交换证书;所述证书包括所述设备端的第一证书和所述服务端的第二证书;对所述第二证书进行验证;在所述设备端和所述服务端均确定对端通过验证后,通过所述第一安全通道与所述服务端协商对称加密算法和会话密钥;利用所述对称加密算法和会话密钥所述服务端建立第二安全通道,并通过所述第二安全通道与所述服务端传输应用数据;
所述服务端,用于与所述设备端协商所述非对称加密算法及所述密钥对,并利用所述非对称加密算法及所述密钥对与所述设备端建立所述第一安全通道;通过所述第一安全通道与所述设备端交换所述证书;对所述第一证书进行验证;在所述设备端和所述服务端均确定对端通过验证后,通过所述第一安全通道与所述设备端协商所述对称加密算法和所述会话密钥;利用所述对称加密算法和所述会话密钥所述设备端建立所述第二安全通道,并通过所述第二安全通道与所述设备端传输应用数据。
可选地,
所述设备端,还用于向所述服务端发送握手请求;所述握手请求中包含所述设备端支持的可选非对称加密算法;接收所述服务端发送的所述非对称加密算法和公钥;
所述服务端,还用于从所述可选非对称加密算法中确定所述非对称加密算法,并生成所述密钥对;所述密钥对包含所述公钥和私钥;将所述非对称加密算法和所述公钥发送至所述设备端。
可选地,
所述设备端,还用于利用所述目标非对称加密算法及所述公钥加密所述第一证书得到第一加密证书,并将所述第一加密证书发送至所述服务端;利用所述公钥对所述第二加密证书进行解密得到所述第二证书;
所述服务端,还用于利用所述目标非对称加密算法及所述公钥加密所述第二证书得到第二加密证书,并将所述第二加密证书发送至所述设备端;利用所述私钥对所述第一加密证书进行解密得到所述第一证书。
本发明还提供一种存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述所述的加密通信方法的步骤。
本发明提供一种加密通信方法,包括:设备端在触发通信事件时,与服务端协商非对称加密算法及密钥对,并利用所述非对称加密算法及所述密钥对与所述服务端建立第一安全通道;所述设备端通过所述第一安全通道与所述服务端交换证书;所述证书包括所述设备端的第一证书和所述服务端的第二证书;所述设备端对所述第二证书进行验证,同时所述服务端对所述第一证书进行验证;在所述设备端和所述服务端均确定对端通过验证后,所述设备端通过所述第一安全通道与所述服务端协商对称加密算法和会话密钥;所述设备端利用所述对称加密算法和所述会话密钥所述服务端建立第二安全通道,并通过所述第二安全通道与所述服务端传输应用数据。
可见,本发明通过非对称加密、证书验证及对称加密相混合的方式提升物联网设备与服务端之间的通信安全。首先,设备端在于服务端建立通信之处,会与服务端先协商非对称加密算法及密钥对,并利用该算法及密钥对于服务端建立第一安全通道,其中非对称加密算法可确保加密两端在未知的网络环境中交换密钥信息并建立安全可靠的安全通道;在建立第一安全通道后,设备端与服务端将交换证书,并对对端的证书进行验证,其中证书中包含身份信息,便于设备端与服务端验证对方的身份,能够避免某端恶意伪造身份对另一端带来的威胁;最后,在验证完毕后,设备端与服务端将通过第一安全通道协商对称加密算法和会话密钥,并利用该算法和会话密钥建立用于传输应用数据的建立第二安全通道。由于在每次触发通信事件时,设备端都需要与服务器端重新校验身份及协商会话密钥,因此能够避免相关技术中由密钥泄露及缺少身份验证机制为物联网设备及服务端带来的通信风险,进而可有效提升两端之间的通信安全程度。本发明还提供一种加密通信系统及存储介质,具有上述有益效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例所提供的一种加密通信方法的流程图;
图2为本发明实施例所提供的另一种加密通信方法的流程图;
图3a为本发明实施例所提供的一种加密通信系统的结构框图;
图3b为本发明实施例所提供的另一种加密通信系统的结构框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
相关技术中,物联网设备在与服务端进行数据通信时,通常使用对称加密算法或非对称加密算法及预存的密钥进行加密通信。然而,预存的密钥容易泄露,进而容易威胁物联网设备及服务端之间的通信安全;此外,由于物联网设备及服务端并不会相互确认身份,进而导致简单的密钥更新机制也难以保障物联网设备及服务端之间的通信安全。有鉴于此,本发明提供一种加密通信方法,可通过非对称加密、证书验证及对称加密相混合的方式提升物联网设备与服务端之间的通信安全。请参考图1,图1为本发明实施例所提供的一种加密通信方法的流程图,该方法可以包括:
S101、设备端在触发通信事件时,与服务端协商非对称加密算法及密钥对,并利用非对称加密算法及密钥对与服务端建立第一安全通道。
在本发明实施例中,设备端每次在与服务端建立通信时,首先需要与服务端建立第一安全通道,该通道是设备端及服务端交换身份验证信息及协商会话通道建立参数(后文称会话通道为第二安全通道)的数据通路。考虑到第一安全通道的建立环境为未知且不安全的网络环境,而非对称加密算法能够在未知网络环境中建立可靠的安全通道,因此本发明实施例中的设备端及服务端将采用非对称加密算法构建第一安全通道。本发明实施例并不限定具体的非对称加密算法,例如可以为RSA算法、国密算法、椭圆算法等,可根据实际应用需求进行设定。
进一步,非对称加密算法通常使用由公钥和私钥组成的密钥对进行加密和解密,其中密钥对生成方掌握私钥,并将公钥发送至另一方,对于私钥加密的数据只能采用公钥解密,而对于公钥加密的数据只能采用私钥解密。需要说明的是,本发明实施例并不限定密钥对生成方是设备端还是服务器端,可根据实际应用需求进行选择。为便于管理,在本发明实施例中,密钥对生成方可以是服务器端。
进一步,可以理解的是,发起协商的一方需要将其支持的可选非对称加密算法发送至另一方进行选择。本发明实施例并不限定协商发起方是设备端还是服务端,可根据实际应用需求进行选择。为便于管理,在本发明实施例中,非对称加密算法的协商发起方可以为设备端。
在一种可能的情况中,与服务端协商非对称加密算法及密钥对,可以包括:
步骤11:设备端向服务端发送握手请求;握手请求中包含设备端支持的可选非对称加密算法;
步骤12:服务端从可选非对称加密算法中确定非对称加密算法,并生成密钥对;密钥对包含公钥和私钥;
步骤13:服务端将非对称加密算法和公钥发送至设备端。
需要说明的是,本发明实施例并不限定可选非对称加密算法的数量,可以为一个也可以为多个,可根据实际应用需求进行选择。本发明实施例也不限定握手请求的具体形式,可根据实际应用需求进行设定,只要该请求中能够包含设备端支持的可选非对称加算法即可。为方便设置,在本发明实施例中,握手请求可以为TLS握手请求(Transport LayerSecurity,安全传输层协议)。本发明实施例也不限定密钥对的生成方式,可参考非对称加密算法的相关技术。
S102、设备端通过第一安全通道与服务端交换证书;证书包括设备端的第一证书和服务端的第二证书。
在建立第一安全通道后,本发明实施例中的设备端及服务端将对对方进行身份确认,这是为了避免第三方对任一端的恶意伪装对另一端带来的安全威胁。在本发明实施例中,设备端及服务端均预先设置有证书,其中证书中包含有持有端的身份信息,即用于上述所提及的身份确认。需要说明的是,本发明实施例并不限定证书的类型,例如可以为509证书等,可根据实际应用需求进行设定。为避免证书泄露,设备端及服务端将通过第一安全通道传输证书信息。具体的,设备端将利用非对称加密的公钥加密设备端的第一证书,并将加密后的第一证书发送至至服务端,而服务端则利用非对称加密的私钥对第一证书进行解密;同样,服务端将利用非对称加密的私钥加密服务端的第二证书,并将加密后的第二证书发送至至设备端,而设备端则利用非对称加密的公钥对第二证书进行解密。
在一种可能的情况中,设备端通过第一安全通道与服务端交换证书,可以包括:
步骤21:设备端利用目标非对称加密算法及公钥加密第一证书得到第一加密证书,并将第一加密证书发送至服务端;
步骤22:服务端利用目标非对称加密算法及私钥加密第二证书得到第二加密证书,并将第二加密证书发送至设备端;
步骤23:设备端利用公钥对第二加密证书进行解密得到第二证书;
步骤24:服务端利用私钥对第一加密证书进行解密得到第一证书。
进一步,证书通常由证书平台进行签发。本发明实施例并不限定签发证书的具体过程,可参考证书的相关技术。
S103、设备端对第二证书进行验证,同时服务端对第一证书进行验证。
需要说明的是,本发明实施例并不限定证书验证方式,该方式与证书的类型有关,可根据实际选用的证书参考对应的技术内容。当然,若设备端或服务端任一端确定对方并未通过验证,则会退出通信建立过程。
S104在设备端和服务端均确定对端通过验证后,设备端通过第一安全通道与服务端协商对称加密算法和会话密钥。
考虑到非对称加密算法所构建的第一安全通道是在不安全的网络环境中构建的,为了进一步提升设备端和服务端之间的通信安全等级,在本发明实施例中,两端将进一步建立以对称加密算法为基础的的第二安全通道。因此,在设备端及服务端均确定对端通过验证后,还需进一步协商对称加密算法及该算法所对应的会话密钥。为保障协商过程安全可靠,对对称加密算法和会话密钥的协商将通过第一安全通道进行。
进一步,与对非对称加密算法的协商类似,对称加密算法的协商发起方同样需要将其支持的可选对称加密算法发送至另一端进行选择。需要说明的是,本发明实施例并不限定由设备端和服务端哪一端作为协商发起方,可根据实际应用需求进行设定。为便于管理,在本发明实施例中,对称加密算法的协商发起方可以是设备端。
进一步,本发明实施例并不限定会话密钥是由设备端和服务端中某一端进行生成,还是由两端进行协商计算生成。当某端统一生成能保障会话密钥安全时,会话密钥可由设备端和服务端中某一端生成;当需要提升会话密钥的安全性,避免直接在网络信道中传输会话密钥时,会话密钥可由两端协商计算生成。在本发明实施例中,为提升会话密钥的安全性,会话密钥可由两端协商计算生成。具体的,会话密钥可由两端利用密钥协商算法协商计算生成。本发明实施例并不限定具体的密钥协商算法,例如可以为Diffie-Hellman算法等,可根据实际应用需求进行选择。
在一种可能的情况中,设备端通过第一安全通道与服务端协商对称加密算法和会话密钥,可以包括:
步骤31:设备端通过第一安全通道向服务端发送算法协商请求;算法协商请求中包含设备端支持的可选对称加密算法;
步骤32:服务端从可选对称加密算法中确定对称加密算法,并通过第一安全通道将对称加密算法发送至设备端;
步骤33:设备端利用预设密钥协商算法及第一安全通道与服务端协商会话密钥。
S105、设备端利用对称加密算法和会话密钥服务端建立第二安全通道,并通过第二安全通道与服务端传输应用数据。
在创建第二安全通道后,设备端和服务端即可利用该通道传输应用数据。具体的,应用数据发送方将利用会话密钥和对称加密算法加密应用数据,而接受方则利用会话密钥和对称加密算法解密应用数据。具体的加密过程及解密过程可参考对称加密算法的相关技术。
基于上述实施例,本发明通过非对称加密、证书验证及对称加密相混合的方式提升物联网设备与服务端之间的通信安全。首先,设备端在于服务端建立通信之处,会与服务端先协商非对称加密算法及密钥对,并利用该算法及密钥对于服务端建立第一安全通道,其中非对称加密算法可确保加密两端在未知的网络环境中交换密钥信息并建立安全可靠的安全通道;在建立第一安全通道后,设备端与服务端将交换证书,并对对端的证书进行验证,其中证书中包含身份信息,便于设备端与服务端验证对方的身份,能够避免某端恶意伪造身份对另一端带来的威胁;最后,在验证完毕后,设备端与服务端将通过第一安全通道协商对称加密算法和会话密钥,并利用该算法和会话密钥建立用于传输应用数据的建立第二安全通道。由于在每次触发通信事件时,设备端都需要与服务器端重新校验身份及协商会话密钥,因此能够避免相关技术中由密钥泄露及缺少身份验证机制为物联网设备及服务端带来的通信风险,进而可有效提升两端之间的通信安全程度。
基于上述实施例,为了进一步提升设备端及服务端对证书的保存能力及加解密性能,还可在两端都设置专门用于保存证书及加解密的硬件可信单元,下面对硬件可信单元保存证书及进行加解密的过程进行介绍。
在一种可能的情况中,设备端及服务端均设置有用于存储证书的硬件可信单元,在设备端触发通信事件之前,还可以包括:
步骤41:设备端及服务端接收证书平台所签发的证书,并将证书保存至硬件可信单元。
在本发明实施例中,证书平台用于为设备端及服务端进行证书签发,而两端将利用硬件可信单元进行存储。存储的方式可以为普通存储或烧录,可根据实际应用需求进行设定。由于该单元采用硬件实现,因此能够有效提升证书存储的安全性。需要说明的是,本发明实施例并不限定具体的硬件可信单元,可参考可信任平台模块的相关技术。本发明实施例也不限定证书平台签发证书的具体过程,可参考证书的相关技术。可以理解的是,在签发过程中,可能还需要对设备端及服务端进行身份验证,具体的身份验证过程也可参考证书的相关技术。
在一种可能的情况中,通过第二安全通道与服务端传输应用数据,可以包括:
步骤51:设备端利用设备端的硬件可信单元、对称加密算法及会话密钥加密应用数据得到加密应用数据,并将加密应用数据发送至服务端;
步骤52:服务端利用服务端的硬件可信单元、对称加密算法及会话密钥解密加密应用数据,得到应用数据。
在本发明实施例中,硬件可信单元还可用于加密和解密,能够提升设备端及服务端的加解密性能及安全性。可以理解的是,若服务端需要向设备端发送应用数据,则加解密过程与上述过程相反。
基于上述实施例,本发明还可在设备端和服务端设置专用的硬件可信单元,以提升两端对对证书的保存能力以及加解密性能和加解密安全性。
下面基于具体的流程图介绍上述加密通信过程。请参考图2,图2为本发明实施例所提供的另一种加密通信方法的流程图。该方案包括:
(1)物联网终端节点向服务端平台发起握手请求,发送终端支持的加密方式给平台,平台收到终端请求后确定要使用的非对称加密算法和通讯需要使用的公钥发送给客户端。(2)设备端节点和服务端交换彼此预置在可信单元的证书,并进行验证。(3)设备端节点和服务端进行协商后期通讯所需要的对称算法和密钥。(4)设备端节点用可信单元和对称密钥加密数据发送给服务端,服务端使用可信单元和对称密钥解密数据。
下面对本发明实施例提供的加密通信系统及存储介质进行介绍,下文描述的加密通信系统及存储介质与上文描述的加密通信方法可相互对应参照。
请参考图3a,图3a为本发明实施例所提供的一种加密通信系统的结构框图,该系统可以包括:设备端301和服务端302,其中,
设备端301,用于在触发通信事件时,与所述服务端302协商非对称加密算法及密钥对,并利用非对称加密算法及密钥对与服务端302建立第一安全通道;通过第一安全通道与服务端302交换证书;证书包括设备端301的第一证书和服务端302的第二证书;对第二证书进行验证;在设备端301和服务端302均确定对端通过验证后,通过第一安全通道与服务端302协商对称加密算法和会话密钥;利用对称加密算法和会话密钥服务端302建立第二安全通道,并通过第二安全通道与服务端302传输应用数据;
服务端302,用于与设备端301协商非对称加密算法及密钥对,并利用非对称加密算法及密钥对与设备端301建立第一安全通道;通过第一安全通道与设备端301交换证书;对第一证书进行验证;在设备端301和服务端302均确定对端通过验证后,通过第一安全通道与设备端301协商对称加密算法和会话密钥;利用对称加密算法和会话密钥设备端301建立第二安全通道,并通过第二安全通道与设备端301传输应用数据。
可选地,
设备端301,还可以用于向服务端302发送握手请求;握手请求中包含设备端301支持的可选非对称加密算法;接收服务端302发送的非对称加密算法和公钥
服务端302,还可以用于从可选非对称加密算法中确定非对称加密算法,并生成密钥对;密钥对包含公钥和私钥;将非对称加密算法和公钥发送至设备端301。
可选地,
设备端301,还用于利用目标非对称加密算法及公钥加密第一证书得到第一加密证书,并将第一加密证书发送至服务端302;利用公钥对第二加密证书进行解密得到第二证书;
服务端302,还用于利用目标非对称加密算法及公钥加密第二证书得到第二加密证书,并将第二加密证书发送至设备端301;利用私钥对第一加密证书进行解密得到第一证书。
可选地,
设备端301,还可以用于通过第一安全通道向服务端302发送算法协商请求;算法协商请求中包含设备端301支持的可选对称加密算法;利用预设密钥协商算法及第一安全通道与服务端302协商会话密钥。
服务端302,还可以用于从可选对称加密算法中确定对称加密算法,并通过第一安全通道将对称加密算法发送至设备端301;利用预设密钥协商算法及第一安全通道与设备端301协商会话密钥。
可选地,请参考图3b,图3b为本发明实施例所提供的另一种加密通信系统的结构框图,该系统还可以包括证书平台303,设备端301及服务端302均设置有用于存储证书的硬件可信单元,其中,
证书平台303,用于为设备端301及服务端302签发证书;
设备端301及服务端302,还可以用于接收证书平台所签发的证书,并将证书保存至硬件可信单元。
可选地,
设备端301,还可以用于利用设备端301的硬件可信单元、对称加密算法及会话密钥加密应用数据得到加密应用数据,并将加密应用数据发送至服务端302;
服务端302,还可以用于利用服务端302的硬件可信单元、对称加密算法及会话密钥解密加密应用数据,得到应用数据。
当然,该系统还可依照证书签发过程设置验证服务端身份的认证平台,均可按照实际应用需求进行设置,本发明对此不做限定。
本发明实施例还提供一种存储介质,存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述任意实施例的加密通信方法的步骤。
由于存储介质部分的实施例与加密通信方法部分的实施例相互对应,因此存储介质部分的实施例请参见加密通信方法部分的实施例的描述,这里暂不赘述。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本发明所提供的一种加密通信方法、系统及存储介质进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。

Claims (5)

1.一种加密通信方法,其特征在于,包括:
设备端在触发通信事件时,与服务端协商非对称加密算法及密钥对,并利用所述非对称加密算法及所述密钥对与所述服务端建立第一安全通道;
所述设备端通过所述第一安全通道与所述服务端交换证书;所述证书包括所述设备端的第一证书和所述服务端的第二证书;
所述设备端对所述第二证书进行验证,同时所述服务端对所述第一证书进行验证;
在所述设备端和所述服务端均确定对端通过验证后,所述设备端通过所述第一安全通道与所述服务端协商对称加密算法和会话密钥;
所述设备端利用所述对称加密算法和所述会话密钥与所述服务端建立第二安全通道,并通过所述第二安全通道与所述服务端传输应用数据;
其中,所述设备端及所述服务端均设置有用于存储所述证书的硬件可信单元,在设备端触发通信事件之前,还包括:
所述设备端及所述服务端接收证书平台所签发的所述证书,并将所述证书保存至所述硬件可信单元;
其中,所述通过所述第二安全通道与所述服务端传输应用数据,包括:
所述设备端利用所述设备端的硬件可信单元、所述对称加密算法及所述会话密钥加密所述应用数据得到加密应用数据,并将所述加密应用数据发送至所述服务端;
所述服务端利用所述服务端的硬件可信单元、所述对称加密算法及所述会话密钥解密所述加密应用数据,得到所述应用数据;
其中,所述与服务端协商非对称加密算法及密钥对,包括:
所述设备端向所述服务端发送握手请求;所述握手请求中包含所述设备端支持的可选非对称加密算法;
所述服务端从所述可选非对称加密算法中确定所述非对称加密算法,并生成所述密钥对;所述密钥对包含公钥和私钥;
所述服务端将所述非对称加密算法和所述公钥发送至所述设备端;
其中,所述设备端通过所述第一安全通道与所述服务端协商对称加密算法和会话密钥,包括:
所述设备端通过所述第一安全通道向所述服务端发送算法协商请求;所述算法协商请求中包含所述设备端支持的可选对称加密算法;
所述服务端从所述可选对称加密算法中确定所述对称加密算法,并通过所述第一安全通道将所述对称加密算法发送至所述设备端;
所述设备端利用预设密钥协商算法及所述第一安全通道与所述服务端协商所述会话密钥。
2.根据权利要求1所述的加密通信方法,其特征在于,所述设备端通过所述第一安全通道与所述服务端交换证书,包括:
所述设备端利用所述非对称加密算法及所述公钥加密所述第一证书得到第一加密证书,并将所述第一加密证书发送至所述服务端;
所述服务端利用所述非对称加密算法及所述私钥加密所述第二证书得到第二加密证书,并将所述第二加密证书发送至所述设备端;
所述设备端利用所述公钥对所述第二加密证书进行解密得到所述第二证书;
所述服务端利用所述私钥对所述第一加密证书进行解密得到所述第一证书。
3.一种加密通信系统,其特征在于,包括:设备端和服务端,其中,
所述设备端,用于在触发通信事件时,与所述服务端协商非对称加密算法及密钥对,并利用所述非对称加密算法及密钥对与所述服务端建立第一安全通道;通过所述第一安全通道与所述服务端交换证书;所述证书包括所述设备端的第一证书和所述服务端的第二证书;对所述第二证书进行验证;在所述设备端和所述服务端均确定对端通过验证后,通过所述第一安全通道与所述服务端协商对称加密算法和会话密钥;利用所述对称加密算法和会话密钥与所述服务端建立第二安全通道,并通过所述第二安全通道与所述服务端传输应用数据;
所述服务端,用于与所述设备端协商所述非对称加密算法及所述密钥对,并利用所述非对称加密算法及所述密钥对与所述设备端建立所述第一安全通道;通过所述第一安全通道与所述设备端交换所述证书;对所述第一证书进行验证;在所述设备端和所述服务端均确定对端通过验证后,通过所述第一安全通道与所述设备端协商所述对称加密算法和所述会话密钥;利用所述对称加密算法和所述会话密钥与所述设备端建立所述第二安全通道,并通过所述第二安全通道与所述设备端传输应用数据;
其中,所述系统还可以包括证书平台,所述设备端及所述服务端均设置有用于存储所述证书的硬件可信单元,其中,
所述证书平台,用于为设备端及服务端签发证书;
所述设备端及所述服务端,还用于接收所述证书平台所签发的所述证书,并将所述证书保存至所述硬件可信单元;
设备端,还用于利用所述设备端的硬件可信单元、对称加密算法及会话密钥加密所述应用数据得到加密应用数据,并将所述加密应用数据发送至所述服务端;
服务端,还用于利用所述服务端的硬件可信单元、对称加密算法及会话密钥解密所述加密应用数据,得到所述应用数据;
所述设备端,还用于向所述服务端发送握手请求;所述握手请求中包含所述设备端支持的可选非对称加密算法;接收所述服务端发送的所述非对称加密算法和公钥;
所述服务端,还用于从所述可选非对称加密算法中确定所述非对称加密算法,并生成所述密钥对;所述密钥对包含所述公钥和私钥;将所述非对称加密算法和所述公钥发送至所述设备端;
所述设备端,还用于通过所述第一安全通道向所述服务端发送算法协商请求;所述算法协商请求中包含所述设备端支持的可选对称加密算法;利用预设密钥协商算法及所述第一安全通道与所述服务端协商所述会话密钥;
所述服务端,还用于从所述可选对称加密算法中确定所述对称加密算法,并通过所述第一安全通道将所述对称加密算法发送至所述设备端;利用预设密钥协商算法及所述第一安全通道与所述设备端协商所述会话密钥。
4.根据权利要求3所述的加密通信系统,其特征在于,
所述设备端,还用于利用所述非对称加密算法及所述公钥加密所述第一证书得到第一加密证书,并将所述第一加密证书发送至所述服务端;利用所述公钥对所述第二加密证书进行解密得到所述第二证书;
所述服务端,还用于利用所述非对称加密算法及所述公钥加密所述第二证书得到第二加密证书,并将所述第二加密证书发送至所述设备端;利用所述私钥对所述第一加密证书进行解密得到所述第一证书。
5.一种存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1或2所述的加密通信方法的步骤。
CN202111407181.6A 2021-11-24 2021-11-24 一种加密通信方法、系统及存储介质 Active CN114039793B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111407181.6A CN114039793B (zh) 2021-11-24 2021-11-24 一种加密通信方法、系统及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111407181.6A CN114039793B (zh) 2021-11-24 2021-11-24 一种加密通信方法、系统及存储介质

Publications (2)

Publication Number Publication Date
CN114039793A CN114039793A (zh) 2022-02-11
CN114039793B true CN114039793B (zh) 2023-04-07

Family

ID=80145409

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111407181.6A Active CN114039793B (zh) 2021-11-24 2021-11-24 一种加密通信方法、系统及存储介质

Country Status (1)

Country Link
CN (1) CN114039793B (zh)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150350894A1 (en) * 2014-05-29 2015-12-03 Entersekt, LLC Method and System for Establishing a Secure Communication Channel
CN104683359B (zh) * 2015-03-27 2017-11-21 成都三零瑞通移动通信有限公司 一种安全通道建立方法及其数据保护方法和安全通道秘钥更新方法
CN110048850A (zh) * 2019-03-26 2019-07-23 重庆邮电大学 一种基于改进ssl/tls协议的车联网数据安全传输技术
CN111510426A (zh) * 2020-03-06 2020-08-07 珠海格力电器股份有限公司 物联网配网加密方法、装置、系统、电子设备及存储介质
CN113612852A (zh) * 2021-08-11 2021-11-05 山东爱德邦智能科技有限公司 一种基于车载终端的通信方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN114039793A (zh) 2022-02-11

Similar Documents

Publication Publication Date Title
CN110380852B (zh) 双向认证方法及通信系统
CN107040369B (zh) 数据传输方法、装置及系统
CN109728909B (zh) 基于USBKey的身份认证方法和系统
EP2173055A1 (en) A method, a system, a client and a server for key negotiating
CN108429620B (zh) 安全连接的建立方法、系统、以及客户端和服务端
US20020025046A1 (en) Controlled proxy secure end to end communication
CN107040513B (zh) 一种可信访问认证处理方法、用户终端和服务端
CN111756529B (zh) 一种量子会话密钥分发方法及系统
CN103763356A (zh) 一种安全套接层连接的建立方法、装置及系统
CN109861813B (zh) 基于非对称密钥池的抗量子计算https通信方法和系统
CN112714053B (zh) 通信连接方法及装置
CN110635901B (zh) 用于物联网设备的本地蓝牙动态认证方法和系统
CN102164033A (zh) 防止服务被攻击的方法、设备及系统
CN112637136A (zh) 加密通信方法及系统
KR20100050846A (ko) 키 교환 시스템 및 방법
CN110493272B (zh) 使用多重密钥的通信方法和通信系统
CN111756528B (zh) 一种量子会话密钥分发方法、装置及通信架构
CN104243452A (zh) 一种云计算访问控制方法及系统
CN110611679A (zh) 一种数据传输方法、装置、设备及系统
CN109995723B (zh) 一种域名解析系统dns信息交互的方法、装置及系统
KR20090012013A (ko) 커버로스를 이용한 상호 인증 방법 및 그 시스템
CN114760046A (zh) 一种身份鉴别方法和装置
CN114039793B (zh) 一种加密通信方法、系统及存储介质
CN115766119A (zh) 通信方法、装置、通信系统及存储介质
KR20040013966A (ko) 이동 통신망에서의 인증 및 키 합의 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant