CN114513779A - 密钥生成方法和基于该方法的数据处理方法、设备和系统 - Google Patents

密钥生成方法和基于该方法的数据处理方法、设备和系统 Download PDF

Info

Publication number
CN114513779A
CN114513779A CN202111240728.8A CN202111240728A CN114513779A CN 114513779 A CN114513779 A CN 114513779A CN 202111240728 A CN202111240728 A CN 202111240728A CN 114513779 A CN114513779 A CN 114513779A
Authority
CN
China
Prior art keywords
key
initial
training sequence
pilot training
hash value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111240728.8A
Other languages
English (en)
Inventor
徐智劼
朱涛
曾望年
张琦
戚文彬
侯腾
杨阳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Unionpay Co Ltd
Original Assignee
China Unionpay Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Unionpay Co Ltd filed Critical China Unionpay Co Ltd
Priority to CN202111240728.8A priority Critical patent/CN114513779A/zh
Publication of CN114513779A publication Critical patent/CN114513779A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/009Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]

Abstract

本申请涉及信息安全技术,特别涉及基于物理层信道特征的密钥生成方法、利用该方法的数据处理方法以及实施上述方法的客户端设备、物联网系统和计算机可读存储介质。按照本申请一个方面的密钥生成方法包括:A、基于第一设备与第二设备之间进行无线通信的相干时间确定在二者之间发送的导频训练序列;B、由第二设备发送的导频训练序列提取信道特征以生成第一初始密钥,并且向第二设备发送所确定的导频训练序列,以使得第二设备能够利用与生成第一密钥相同的方式生成第二初始密钥;以及C、利用第一设备与第二设备之间的密钥协商机制,由第一初始密钥和第二初始密钥确定第一设备与第二设备共同的密钥。

Description

密钥生成方法和基于该方法的数据处理方法、设备和系统
技术领域
本申请涉及数据处理技术,特别涉及基于物理层信道特征的密钥生成方法、利用该方法的数据处理方法以及实施上述方法的客户端设备、物联网系统和计算机可读存储介质。
背景技术
在停车和充电之类的应用场景中,目前提出的便捷支付方案需将相应的密钥及支付账户相关信息下发到设备侧,由设备侧发起“端到端”的可校验支付,其中终端加密方式通常包括一型一密、一机一密以及一次一密等。上述终端加密方式由于密钥的固定性,信息安全性难以得到保障。
虽然可以采用非对称加密等技术进行会话密钥的协商,但是这需要可靠的第三方公钥认证机构。此外,当采用对称密钥时,协商过程容易遭到非法窃听。
此外,物联网系统具有终端数量众多、使用环境多样性和复杂性突出等特点,这进一步加剧了解决上述信息安全问题的难度,特别是在成本敏感的应用场景下。
发明内容
按照本申请一个方面的密钥生成方法包含下列步骤:
A、基于第一设备与第二设备之间进行无线通信的相干时间确定在二者之间发送的导频训练序列;
B、由所述第二设备发送的所确定的导频训练序列提取信道特征以基于所提取的信道特征生成第一初始密钥,并且向所述第二设备发送所确定的导频训练序列,以使得所述第二设备能够基于从接收到的导频训练序列中提取的信道特征,利用与生成所述第一密钥相同的方式生成第二初始密钥;以及
C、利用所述第一设备与第二设备之间的密钥协商机制,由所述第一初始密钥和第二初始密钥确定所述第一设备与第二设备共同的密钥。
可选地,上述密钥生成方法进一步包括下列步骤:
D、生成所述密钥的第一哈希值并且向所述第二设备发送所生成的第一哈希值;
E、接收由所述第二设备生成的密钥的第二哈希值;
F、通过比较所述第一哈希值与第二哈希值确定所述第一设备与第二设备的密钥的一致性。
可选地,在上述密钥生成方法中,步骤A包括:
A1、接收来自所述第二设备的初始导频训练序列;
A2、根据所述初始导频训练序列的长度确定所述第一设备和第二设备之间的双向探测时间是否小于与所述相干时间有关的阈值;以及
A3、如果所述双向探测时间大于或等于所述相干时间,则指示所述第二设备发送长度减小的初始导频训练序列并再次执行步骤A1和A2,否则,则向所述第二设备发送当前的初始导频训练序列并将当前的初始导频训练序列确定为所述导频训练序列。
可选地,在上述密钥生成方法中,步骤A包括:
A1'、向所述第二设备发送初始导频训练序列;
A2'、如果从所述第二设备接收到指示发送长度减小的初始导频训练序列的消息,则减小当前的初始导频训练序列的长度并且向所述第二设备发送长度减小的初始导频训练序列,否则,则将当前的初始导频训练序列确定为所述导频训练序列。
可选地,在上述密钥生成方法中,所述信道特征包括下列项中的一项或者多项:接收信号强度、信道相位、信道状态信息、信道脉冲响应和信号包络。
可选地,在上述密钥生成方法中,步骤B包括:
B1、生成信道特征值的序列;以及
B2、对所述信道特征值执行量化处理以得到密钥序列作为所述第一初始密钥。
可选地,在上述密钥生成方法中,步骤C包括:
C1、从所述第二设备接收关于候选密钥的信息,所述候选密钥为提取自所述第二初始密钥的序列片段,所述信息指示该序列片段在所述第二初始密钥中的位置;
C2、比较所述第一初始密钥和第二初始密钥中由所述信息指示的位置上的序列片段的一致性;
C3、如果一致,则将候选密钥确定为密钥,否则从所述第一初始密钥的其它位置提取序列片段作为替代的候选密钥并向所述第二设备发送关于该替代的候选密钥的信息。
按照本申请另一个方面的客户端设备包含:
存储器;
处理器;以及
存储在所述存储器上并可在所述处理器上运行的计算机程序,该计算机程序的运行使得:
A、基于所述客户端设备与其它客户端设备之间进行无线通信的相干时间确定在二者之间发送的导频训练序列;
B、由所述客户端设备发送的所确定的导频训练序列提取信道特征以基于所提取的信道特征生成第一初始密钥,并且向其它客户端设备发送所确定的导频训练序列,以使得其它客户端设备能够基于从接收到的导频训练序列中提取的信道特征,利用与生成所述第一密钥相同的方式生成第二初始密钥;以及
C、利用所述客户端设备与其它客户端设备之间的密钥协商机制,由所述第一初始密钥和第二初始密钥确定所述客户端设备与其它客户端设备共同的密钥。
按照本申请另一个方面的在物联网系统中执行数据处理的方法包含下列步骤:
A、利用上述密钥生成方法,生成所述本地接入设备与外部设备共同的密钥,其中,所述本地接入设备和外部设备分别作为所述第一设备和第二设备;
B、所述本地设备生成与密钥相关的检验信息并向所述网关发送该校验信息;
C、所述本地设备向所述网关转发来自所述外部设备的消息;以及
D、所述网关利用检验信息来验证所述消息的合法性和提取所述消息中的业务数据。
可选地,在上述方法中,所述本地接入设备为电子车牌天线或充电桩,所述外部设备为车载终端。
可选地,在上述方法中,所述检验信息包括密钥及其哈希值,所述消息包含利用密钥加密的业务数据和密钥的哈希值,在步骤D中,通过比较所述本地接入设备生成的密钥的哈希值与所述外部设备生成的密钥的哈希值来验证所述数据处理请求的合法性,并且利用所述本地接入设备提供的密钥来解密包含在所述数据处理请求中的业务数据。
按照本申请还有一个方面的物联网系统包含:
至少一个本地接入设备;
与所述本地接入设备耦合的网关;
以及与所述网关耦合的远程服务器,
其中,所述本地接入设备被配置为:1)执行上述密钥生成方法以生成所述本地接入设备与外部设备共同的密钥,其中,所述本地接入设备和外部设备分别作为所述第一设备和第二设备;2)生成与密钥相关的检验信息并向所述网关发送该校验信息;3)向所述网关转发来自所述外部设备的消息;以及
所述网关被配置为利用检验信息来验证所述消息的合法性和提取所述消息中的业务数据,以及向所述远程服务器上传所述业务数据。
按照本申请还有一个方面的计算机可读存储介质,其上存储计算机程序,其中,该程序被处理器执行时实现如上所述的方法。
在本申请的一些实施例中,通过使合法设备或节点在与相干时间相关的时间间隔内完成信道探测与估计来保证双方获得到的信道特征的一致性,从而实现密钥一次一用的使用方式。另一方面,信道特征的高度局域性又能够防止窃听节点获得与合法通信节点相似的信道特征,这大大提高了密钥的安全性。再者,由于无需考虑与固定密钥相关的存储安全性要求,因此节省了软硬件资源,这对于资源受限的物联网设备节点特别有利。
附图说明
本申请的上述和/或其它方面和优点将通过以下结合附图的各个方面的描述变得更加清晰和更容易理解,附图中相同或相似的单元采用相同的标号表示。附图包括:
图1示出了按照本申请一些实施例的用于动态调整导频训练序列的示例性过程。
图2示出了按照本申请一些实施例的用于生成密钥的示例性过程。
图3示出了量化判决规则的一个示例。
图4示出了按照本申请一些实施例的密钥协商的示例性过程。
图5为一种典型的客户端设备的示意框图。
图6为按照本申请的一些实施例的密钥生成方法的流程图。
图7为一种典型的物联网系统的示意图。
图8为按照本申请一些实施例的在物联网系统中执行数据处理的方法的流程图。
图9为按照本申请一些实施例的在物联网系统中执行数据处理的方法的流程图。
具体实施方式
下面参照其中图示了本申请示意性实施例的附图更为全面地说明本申请。但本申请可以按不同形式来实现,而不应解读为仅限于本文给出的各实施例。给出的上述各实施例旨在使本文的披露全面完整,以将本申请的保护范围更为全面地传达给本领域技术人员。
在本说明书中,诸如“包含”和“包括”之类的用语表示除了具有在说明书和权利要求书中有直接和明确表述的单元和步骤以外,本申请的技术方案也不排除具有未被直接或明确表述的其它单元和步骤的情形。
诸如“第一”和“第二”之类的用语并不表示单元在时间、空间、大小等方面的顺序而仅仅是作区分各单元之用。
在本说明书中,设备、客户端设备和节点应广义理解为接入物联网系统的各种端设备,例如位于物联网系统的感知识别层的设备,在车辆应用中其例如可以是电子车牌天线、充电桩、车载终端和支付终端。在以下的描述中,除非特别说明,设备、客户端设备和节点可以互换使用。
在本申请的一些实施例中,节点或设备之间共同密钥的生成基于物理层的信道特征,即,由设备之间进行通信时的物理信道的特征来生成密钥。可选地,密钥生成过程可包括信道估计、候选密钥生成、密钥协商及生成和可选的一致性校验等步骤。示例性地,信道特征包括但不限于下列项中的一项或下列项的各种组合:接收信号强度、信道相位、信道状态信息、信道脉冲响应和信号包络。
在本申请的一些实施例中,设备或节点双方相互发送导频训练序列以用于信道估计。可选地,可基于相干时间和探测间隔因子动态调整训练序列的长度,从而使得双方的信道估计保持高度一致性。
以下借助图1描述一个用于动态调整导频训练序列的示例性过程。如图1所示,在步骤101,节点Alice向节点Bob发送初始导频训练序列。随后在步骤103,节点Bob根据从节点Alice接收到的初始导频训练序列SEQ1确定二者之间通信的当前相干时间Tc,该相干时间与二者通信的频率呈反比。接着在步骤105,节点Bob确定关于双向探测时间的阈值tCE。这里所述的双向探测时间可以是两个节点完成信道探测和估计所需时间之和。示例性地,可以按照下列方式设置阈值tCE
tCE=α×Tc (1)
这里,α为经验参数,其例如可在(0,1]区间内取值。
此后,在步骤107,节点Bob将双向探测时间
Figure BDA0003319125240000061
(可基于设备性能或经验估计或基于实验确定)与阈值tCE进行比较,如果双向探测时间
Figure BDA0003319125240000071
小于阈值tCE,则转至步骤109,将当前的初始导频训练序列确定为导频训练序列并且向节点Alice发送当前的初始导频训练序列以使节点Alice获得信道响应,否则,则转至步骤111,缩短当前的初始导频训练序列的长度。
步骤111之后转入步骤113,在该步骤中,向节点Alice发送长度减小的初始导频训练序列以使节点Alice获得信道响应。
相应地,在步骤115,节点Alice判断接收到的导频训练序列的长度是否被节点Bob调整,如果是长度未作调整的初始导频训练序列,则进入步骤117,确认当前的初始导频训练序列为导频训练序列,如果接收到的是长度减小的初始导频训练序列,则依照节点Bob对接收自节点Alice的初始导频训练序列的方式来处理长度减小的初始导频训练序列。
图1所示的过程可以被迭代执行直到两个设备处均确定双向探测时间小于阈值为止,由此可提高双方获取的物理层信道特征的一致性。
在本申请的一些实施例中,设备或节点基于物理层信道特征生成双方共同的密钥,该密钥可用于加密在设备之间传输的数据。可选地,可以引入密钥协商机制来确保两个设备所生成的密钥的一致性。
以下借助图2描述一个用于生成密钥的示例性过程。在该过程的描述中,以接收信号强度作为信道特征的例子。如图2所示,在步骤201中,设备Alice和Bob利用各自所包含的测量模块测量相干时间内的导频训练序列的接收信号强度(RSS)幅值,从而得到各自的RRS幅值序列SEQ(A)、SEQ(B)。随后在步骤203中,设备Alice和Bob根据预设的量化判决规则来量化RRS幅值序列SEQ(A)、SEQ(B)中的样本值,从而生成相应的初始密钥序列Q(A)、Q(B)。
图3给出了上述量化判决规则的一个示意性的例子,图中的纵轴代表接收信号强度,横轴代表时间。在该示例中,RSS幅值大于量化判决上限的样本值被量化为1,小于量化判决下限的样本值被量化为0,由此形成初始密钥序列Q(A)、Q(B)。
步骤203之后进入步骤205,在该步骤中,借助于设备Alice与Bob之间的密钥协商机制,生成二者共同的密钥。示例性地,可以借助图4所示的连续特征提取算法来完成密钥协商过程。
步骤401:设备Alice在初始密钥序列Q(A)搜索符合设定取值特征的序列片段作为候选密钥并将搜索到的序列片段的位置信息(例如包含该序列片段的中心位置的数组L)例如经公共信道发送给设备Bob。示例性地,可以将连续m个取值在判决门限之上或之下的样本视为符合设定取值特征的序列片段或候选密钥。
步骤403:设备Bob在经公共信道接收到设备Alice发送的位置信息后,确定初始密钥序列Q(B)中的相应位置上的序列片段是否也具有相同的取值特征。若满足条件,进入步骤405,否则,进入步骤407。
步骤405:设备Bob将该序列片段确定为设备Alice与Bob共同的密钥并且向设备Alice返回已将候选密钥确定为共同密钥的确认消息。
步骤407:设备Bob在初始密钥序列Q(B)中另行搜索符合设定取值特征的序列片段或候选密钥并经公共信道向设备Alice发送该更新的位置信息(例如包含另行搜索到的序列片段的中心位置的数组L')。
步骤409:设备Alice在经公共信道接收到更新的位置信息(数组L')后,确定初始密钥序列Q(A)中的相应位置上的序列片段是否也具有相同的取值特征。若满足条件,进入步骤411,否则,进入步骤413。
步骤411:设备Alice将设备Bob在步骤407搜索到的序列片段确定为设备Bob与Alice共同的密钥并且向设备Bob返回已将候选密钥确定为共同密钥的确认消息。
步骤413:设备Alice在初始密钥序列Q(A)中进一步搜索符合设定取值特征的序列片段或候选密钥并经公共信道向设备Bob发送进一步更新的位置信息(例如包含该进一步搜索到的序列片段的中心位置的数组L”)。
步骤413之后图4所示的密钥协商流程将返回步骤403,由此可以通过迭代方式生成共同的密钥。为了区分密钥生成的位置,以KA和KB分别表示在设备Alice和Bob处生成的密钥。
经过上述密钥协商过程而生成的密钥KA和KB偶尔可能会由于双向信道上的差异而导致不一致。为了进一步提高密钥的一致性水平,可选地但非必须地,可以如图2所示地那样,在步骤205之后执行进一步的密码一致性校验过程。具体而言,在步骤207,设备Alice和Bob分别生成密钥KA和KB的哈希值H(KA)和H(KB)并将生成的哈希值发送给对方。随后进入步骤209,设备Alice和Bob接收对方发送的哈希值H(KB)和H(KA)。接着在步骤211中,设备Alice和Bob判断接收到的哈希值与本地生成的哈希值是否匹配,如果匹配,则确认密钥KA和KB通过一致性检验,因此密钥KA(或KB)将被作为共同的密钥以在后续的数据处理操作中使用,否则返回步骤205,继续协商生成共同的密钥。可选地,步骤211之后也可以返回步骤201,重新开始密钥的生成过程。
由于相干时间内的信道响应基本上是相同的,因此合法设备或节点只需在与相干时间相关的时间间隔内完成互相之间的信道探测与估计即可保证双方获得到的信道特征的高度一致性,这能够提高所生成密钥的一致性水平,并且降低了密钥提取的复杂度。此外,由于信道存在的时空唯一性和局域性,当窃听节点与合法通信节点距离超过电磁波长的一半(以Zigbee协议为例,在2.4GHz的通信频率下,该距离阈值λ/2仅为6.25cm)时,将无法获得与合法通信节点相似的信道特征,这大大提高了密钥的安全性。再者,由于共同的密钥是一次性生成和使用的,因此无需考虑与固定密钥相关的存储安全性要求,这对于资源受限的物联网设备节点上来说特别有利。
图5为一种典型的客户端设备的示意框图。图5所示的客户端设备50可以是物联网系统的各种端设备,例如包括但不限于电子车牌天线、充电桩、车载终端和支付终端等。
参见图5,客户端设备50包含通信单元510、存储器520(例如诸如闪存、ROM、硬盘驱动器、磁盘、光盘之类的非易失存储器)、处理器530、存储在存储器520上并可在处理器530上运行的计算机程序540。
通信单元510作为客户端设备与外部设备(例如其它客户端设备或远程服务器)的通信接口,被配置为在客户端设备与外部设备之间建立通信连接。
存储器520存储可由处理器530执行的计算机程序540。处理器530配置为执行计算机程序540以实施本文所描述的各种处理步骤和处理逻辑,例如包括但不限于导频训练序列的确定、信道特征的提取、初始密钥的生成、密钥协商机制的实施和密钥一致性检验等。
图6为按照本申请的一些实施例的密钥生成方法的流程图。
在这些实施例中,示例性地,方法流程中的步骤借助于图5所示的客户端设备来实施。特别是,图6所示的方法流程包括通过运行计算机程序540而执行的下列步骤:
步骤601:基于客户端设备20与其它客户端设备之间进行无线通信的相干时间确定在二者之间发送的导频训练序列。例如可以按照图1所描述的示例性过程确定导频训练序列,其中,客户端设备20可以两个设备(设备Alice和Bob)中的任意一个的身份参与该过程。
步骤603:由其它客户端设备发送的导频训练序列提取信道特征并基于所提取的信道特征生成第一初始密钥,并向其它客户端设备发送导频训练序列以使其以相同的方式生成第二初始密钥。示例性地,可以按照图2和3所描述的方式来生成第一初始密钥和第二初始密钥(即初始密钥序列Q(A)和Q(B)),其中,客户端设备20和其它客户端设备可以是两个设备(设备Alice和Bob)中的任意一个。
步骤605:客户端设备20通过与其它客户端的密钥协商机制,由第一初始密钥和第二初始密钥确定二者共同的密钥。示例性地,可以按照图4所描述的密码协商过程,由第一初始密钥和第二初始密钥(即初始密钥序列Q(A)和Q(B)),其中,客户端设备20可以两个设备(设备Alice和Bob)中的任意一个的身份参与该过程,同样地,其它客户端设备也可以两个设备(设备Alice和Bob)中的任意一个的身份参与该过程。
步骤607:客户端设备20生成共同密钥(例如KA或KB)的哈希值(H(KA)或H(KB))并将生成的哈希值发送给其它客户端设备。
步骤609:客户端设备20接收其它客户端设备发送的哈希值(H(KB)或H(KA))。
步骤611:客户端设备20判断接收到的哈希值与本地生成的哈希值是否匹配,如果匹配,则确认密钥KA和KB通过一致性检验,因此密钥KA(或KB)将被作为共同的密钥,否则返回步骤605,继续协商生成共同的密钥。可选地,步骤611之后也可以返回步骤601,重新开始密钥的生成过程。
按照本申请的另一方面,还提供了一种计算机可读存储介质,其上存储计算机程序,该程序被处理器执行时可实现上面借助图6所述的密钥生成方法所包含的步骤。
图7为一种典型的物联网系统的示意图。
图7所示的物联网系统710包含多个本地接入设备711、与本地接入设备耦合的网关712以及与网关712耦合的远程服务器或物联网平台713。
示例性地,在停车或充电管理应用场景中,本地接入设备711例如可以是电子车牌天线或充电桩等,它们能够与诸如车载终端之类的外部设备720通信。特别是,每个本地接入设备711可被配置为执行如图6所示的密钥生成方法以生成其与邻近的外部设备共有的密钥。此外,每个本地接入设备711还可配置为生成与密钥相关的检验信息并向网关712发送该校验信息,以及向网关712转发来自外部设备720的消息。
网关712可被配置为利用来自于本地接入设备711的检验信息,对外部设备720发送的消息的合法性进行验证,从消息中提取业务数据,以及向远程服务器713上传提取的业务数据。
示例性地,在停车或充电管理应用场景中,网关712被配置为计算账单金额、缓存临时密钥、账单校验以及电子车牌天线或充电桩管理等功能。远程服务器713被配置为管理支付网关和转换支付Token等。此外,参见图7,网关712还与支付平台730相连以向后者上传交易数据。
图8为按照本申请一些实施例的在物联网系统中执行数据处理的方法的流程图。在本实施例中,示例性地,所示方法的应用场景为停车场车辆入场管理,并且该方法利用由图7所示的物联网系统来实施。
步骤801:当车辆到达停车场闸机时,作为外部设备的智能车载终端720将接收到本地接入设备或电子车牌天线711发送的密钥协商请求(例如以广播信号的形式)。
步骤803:电子车牌天线711与智能车载终端720协同工作以生成双方共同的密钥。示例性地,本地接入设备711可通过执行如图6所示的密钥生成方法而与智能车载终端720协同生成共同的密钥K(A)和K(B)(这里“A”代表智能车载终端720,“B”代表电子车牌天线711)。
步骤805:电子车牌天线711将接收自智能车载终端720的关于车辆标识的消息转发至网关712。可选地,关于车辆标识的消息包括利用步骤803中生成的密钥进行加密下列数据项:电子车牌标识ID、时间戳T1和智能车载终端720处生成的密钥K(A)的哈希值H(K(A))。
步骤807:电子车牌天线711将在其处生成的密钥K(B)及其哈希值H(K(B))上送网关712。
步骤809:网关712利用K(B)从关于车辆标识的消息中提取哈希值K(A)并通过将其与K(B)的比较来校验密钥K(A)和K(B)的一致性。可选地,当校验通过时,网关712提取和存储电子车牌标识ID和时间戳T1,并指示闸机开启。或者可选地,网关712利用K(B)提取电子车牌标识ID并判断对应的车辆是否存在欠费等情况,并在无欠费等情况时才存储电子车牌标识ID和时间戳T1并指示闸机开启。
图9为按照本申请一些实施例的在物联网系统中执行数据处理的方法的流程图。在本实施例中,示例性地,所示方法的应用场景为停车场车辆离场支付,并且该方法利用由图7所示的物联网系统来实施。
步骤901:当车辆到达停车场闸机时,作为外部设备的智能车载终端720将接收到本地接入设备或电子车牌天线711发送的密钥协商请求(例如以广播信号的形式)。
步骤903:电子车牌天线711与智能车载终端720协同工作以生成双方共同的密钥。示例性地,本地接入设备711可通过执行如图6所示的密钥生成方法而与智能车载终端720协同生成共同的密钥K'(A)和K'(B)(这里“A”代表智能车载终端720并且“B”代表电子车牌天线711)。
步骤905:电子车牌天线711将接收自智能车载终端720的关于车辆标识的消息转发至网关712。可选地,关于车辆标识的消息包括利用步骤903中生成的密钥进行加密下列数据项:电子车牌标识ID、时间戳T2和智能车载终端720处生成的密钥K'(A)的哈希值H(K'(A))。
步骤907:电子车牌天线711将在其处生成的密钥K'(B)及其哈希值H(K'(B))、天线ID上送网关712。
步骤909:网关712利用K'(B)从关于车辆标识的消息中提取哈希值K'(A)并通过将其与K'(B)的比较来校验密钥K'(A)和K'(B)的一致性。
步骤911:当校验通过时,网关712利用密钥K'(B)提取电子车牌标识ID和时间戳T2,并根据时间戳T1和T2计算相应的停车费用。
步骤913:网关712向远程服务器713为支付报文申请支付Token。示例性地,支付报文可包含电子车牌标识ID、时间戳1、时间戳2、扣款金额等支付信息。
步骤915:网关712向支付平台发起扣款请求。
提供本文中提出的实施例和示例,以便最好地说明按照本技术及其特定应用的实施例,并且由此使本领域的技术人员能够实施和使用本申请。但是,本领域的技术人员将会知道,仅为了便于说明和举例而提供以上描述和示例。所提出的描述不是意在涵盖本申请的各个方面或者将本申请局限于所公开的精确形式。
鉴于以上所述,本公开的范围通过以下权利要求书来确定。

Claims (21)

1.一种密钥生成方法,其特征在于,包含在第一设备处执行的下列步骤:
A、基于第一设备与第二设备之间进行无线通信的相干时间确定在二者之间发送的导频训练序列;
B、由所述第二设备发送的所确定的导频训练序列提取信道特征以基于所提取的信道特征生成第一初始密钥,并且向所述第二设备发送所确定的导频训练序列,以使得所述第二设备能够基于从接收到的导频训练序列中提取的信道特征,利用与生成所述第一密钥相同的方式生成第二初始密钥;以及
C、利用所述第一设备与第二设备之间的密钥协商机制,由所述第一初始密钥和第二初始密钥确定所述第一设备与第二设备共同的密钥。
2.如权利要求1所述的密钥生成方法,其中,进一步包括下列步骤:
D、生成所述密钥的第一哈希值并且向所述第二设备发送所生成的第一哈希值;
E、接收由所述第二设备生成的密钥的第二哈希值;
F、通过比较所述第一哈希值与第二哈希值确定所述第一设备与第二设备的密钥的一致性。
3.如权利要求1或2所述的密钥生成方法,其中,步骤A包括:
A1、接收来自所述第二设备的初始导频训练序列;
A2、根据所述初始导频训练序列的长度确定所述第一设备和第二设备之间的双向探测时间是否小于与所述相干时间有关的阈值;以及
A3、如果所述双向探测时间大于或等于所述相干时间,则指示所述第二设备发送长度减小的初始导频训练序列并再次执行步骤A1和A2,否则,则向所述第二设备发送当前的初始导频训练序列并将当前的初始导频训练序列确定为所述导频训练序列。
4.如权利要求1或2所述的密钥生成方法,其中,步骤A包括:
A1'、向所述第二设备发送初始导频训练序列;
A2'、如果从所述第二设备接收到指示发送长度减小的初始导频训练序列的消息,则减小当前的初始导频训练序列的长度并且向所述第二设备发送长度减小的初始导频训练序列,否则,则将当前的初始导频训练序列确定为所述导频训练序列。
5.如权利要求1或2所述的密钥生成方法,其中,所述信道特征包括下列项中的一项或者多项:接收信号强度、信道相位、信道状态信息、信道脉冲响应和信号包络。
6.如权利要求1或2所述的密钥生成方法,其中,步骤B包括:
B1、生成信道特征值的序列;以及
B2、对所述信道特征值执行量化处理以得到密钥序列作为所述第一初始密钥。
7.如权利要求6所述的密码生成方法,其中,步骤C包括:
C1、从所述第二设备接收关于候选密钥的信息,所述候选密钥为提取自所述第二初始密钥的序列片段,所述信息指示该序列片段在所述第二初始密钥中的位置;
C2、比较所述第一初始密钥和第二初始密钥中由所述信息指示的位置上的序列片段的一致性;
C3、如果一致,则将候选密钥确定为密钥,否则从所述第一初始密钥的其它位置提取序列片段作为替代的候选密钥并向所述第二设备发送关于该替代的候选密钥的信息。
8.一种客户端设备,包含:
存储器;
处理器;以及
存储在所述存储器上并可在所述处理器上运行的计算机程序,该计算机程序的运行使得:
A、基于所述客户端设备与其它客户端设备之间进行无线通信的相干时间确定在二者之间发送的导频训练序列;
B、由所述客户端设备发送的所确定的导频训练序列提取信道特征以基于所提取的信道特征生成第一初始密钥,并且向其它客户端设备发送所确定的导频训练序列,以使得其它客户端设备能够基于从接收到的导频训练序列中提取的信道特征,利用与生成所述第一密钥相同的方式生成第二初始密钥;以及
C、利用所述客户端设备与其它客户端设备之间的密钥协商机制,由所述第一初始密钥和第二初始密钥确定所述客户端设备与其它客户端设备共同的密钥。
9.如权利要求8所述的客户端设备,其中,所述计算机程序的运行还使得:
D、生成所述密钥的第一哈希值并且向其它客户端设备发送所生成的第一哈希值;
E、接收由其它客户端设备生成的密钥的第二哈希值;
F、通过比较所述第一哈希值与第二哈希值确定所述客户端设备与其它的客户端设备的密钥的一致性。
10.如权利要求8所述的客户端设备,其中,所述客户端设备为下列项中的一种:电子车牌天线、充电桩、车载终端和支付终端。
11.如权利要求8-10中任意一项所述的客户端设备,其中,所述计算程序的运行使得步骤A以下列方式实现:
A1、接收来自其它客户端设备的初始导频训练序列;
A2、根据所述初始导频训练序列的长度确定所述客户端设备和其它客户端设备之间的双向探测时间是否小于与所述相干时间有关的阈值;以及
A3、如果所述双向探测时间大于或等于所述相干时间,则指示其它客户端设备发送长度减小的初始导频训练序列并再次执行步骤A1和A2,否则,则向其它客户端设备发送当前的初始导频训练序列并将当前的初始导频训练序列确定为所述导频训练序列。
12.如权利要求8-10中任意一项所述的客户端设备,其中,所述计算机程序的运行使得步骤A以下列方式实现:
A1'、向其它客户端设备发送初始导频训练序列;
A2'、如果从其它客户端设备接收到指示发送长度减小的初始导频训练序列的消息,则减小当前的初始导频训练序列的长度并且向其它客户端设备发送长度减小的初始导频训练序列,否则,则将当前的初始导频训练序列确定为所述导频训练序列。
13.如权利要求8-10中任意一项所述的客户端设备,其中,所述信道特征包括下列项中的一项或者多项:接收信号强度、信道相位、信道状态信息、信道脉冲响应和信号包络。
14.如权利要求8-10中任意一项所述的客户端设备,其中,所述计算机程序的运行使得以下列方式生成第一初始密钥:
B1、生成信道特征值的序列;以及
B2、对所述信道特征值执行量化处理以得到密钥序列作为所述第一初始密钥。
15.如权利要求14所述的客户端设备,其中,所述计算机程序的运行使得以下列方式生成共同的密钥:
C1、从所述第二设备接收关于候选密钥的信息,所述候选密钥为提取自所述第二初始密钥的序列片段,所述信息指示该序列片段在所述第二初始密钥中的位置;
C2、比较所述第一初始密钥和第二初始密钥中由所述信息指示的位置上的序列片段的一致性;
C3、如果一致,则将候选密钥确定为密钥,否则从所述第一初始密钥的其它位置提取序列片段作为替代的候选密钥并向所述第二设备发送关于该替代的候选密钥的信息。
16.一种计算机可读存储介质,其上存储计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1-7中任意一项所述的方法。
17.一种在物联网系统中执行数据处理的方法,所述物联网系统包括至少一个本地接入设备和与所述本地接入设备设备耦合的网关,其特征在于,包含下列步骤:
A、利用如权利要求1-7中任意一项所述的密钥生成方法,生成所述本地接入设备与外部设备共同的密钥,其中,所述本地接入设备和外部设备分别作为所述第一设备和第二设备;
B、所述本地设备生成与密钥相关的检验信息并向所述网关发送该校验信息;
C、所述本地设备向所述网关转发来自所述外部设备的消息;以及
D、所述网关利用检验信息来验证所述消息的合法性和提取所述消息中的业务数据。
18.如权利要求17所述的方法,其中,所述检验信息包括密钥及其哈希值,所述消息包含利用密钥加密的业务数据和密钥的哈希值,在步骤D中,通过比较所述本地接入设备生成的密钥的哈希值与所述外部设备生成的密钥的哈希值来验证所述数据处理请求的合法性,并且利用所述本地接入设备提供的密钥来解密包含在所述数据处理请求中的业务数据。
19.一种物联网系统,包含:
至少一个本地接入设备;
与所述本地接入设备耦合的网关;
以及与所述网关耦合的远程服务器,
其中,所述本地接入设备被配置为:1)执行如权利要求1-7中任意一项所述的密钥生成方法,以生成所述本地接入设备与外部设备共同的密钥,其中,所述本地接入设备和外部设备分别作为所述第一设备和第二设备;2)生成与密钥相关的检验信息并向所述网关发送该校验信息;3)向所述网关转发来自所述外部设备的消息;以及
所述网关被配置为利用检验信息来验证所述消息的合法性和提取所述消息中的业务数据,以及向所述远程服务器上传所述业务数据。
20.如权利要求19所述的物联网系统,其中,所述本地接入设备为电子车牌天线或充电桩,所述外部设备为车载终端。
21.如权利要求19或20所述的物联网系统,其中,所述检验信息包括密钥及其哈希值,所述消息包含利用密钥加密的业务数据和密钥的哈希值,所述网关通过比较所述本地接入设备生成的密钥的哈希值与所述外部设备生成的密钥的哈希值来验证所述数据处理请求的合法性,并且利用所述本地接入设备提供的密钥来解密包含在所述数据处理请求中的业务数据。
CN202111240728.8A 2021-10-25 2021-10-25 密钥生成方法和基于该方法的数据处理方法、设备和系统 Pending CN114513779A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111240728.8A CN114513779A (zh) 2021-10-25 2021-10-25 密钥生成方法和基于该方法的数据处理方法、设备和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111240728.8A CN114513779A (zh) 2021-10-25 2021-10-25 密钥生成方法和基于该方法的数据处理方法、设备和系统

Publications (1)

Publication Number Publication Date
CN114513779A true CN114513779A (zh) 2022-05-17

Family

ID=81547946

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111240728.8A Pending CN114513779A (zh) 2021-10-25 2021-10-25 密钥生成方法和基于该方法的数据处理方法、设备和系统

Country Status (1)

Country Link
CN (1) CN114513779A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114845296A (zh) * 2022-06-28 2022-08-02 北京思凌科半导体技术有限公司 密钥生成方法、装置、介质以及电子设备

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114845296A (zh) * 2022-06-28 2022-08-02 北京思凌科半导体技术有限公司 密钥生成方法、装置、介质以及电子设备
CN114845296B (zh) * 2022-06-28 2022-09-06 北京思凌科半导体技术有限公司 密钥生成方法、装置、介质以及电子设备

Similar Documents

Publication Publication Date Title
EP3726804B1 (en) Device authentication method, service access control method, device, and non-transitory computer-readable recording medium
EP3602991B1 (en) Mechanism for achieving mutual identity verification via one-way application-device channels
US11178127B2 (en) Modifying security state with secured range detection
KR101903620B1 (ko) 블록체인 기반 분산 네트워크에서 피어의 신원을 확인하는 방법 및 이를 이용한 서버
CN111435913B (zh) 一种物联网终端的身份认证方法、装置和存储介质
CN108737323B (zh) 一种数字签名方法、装置及系统
US11228438B2 (en) Security device for providing security function for image, camera device including the same, and system on chip for controlling the camera device
CN110830245B (zh) 基于身份秘密共享和隐式证书的抗量子计算分布式车联网方法及系统
KR20210072321A (ko) 블록체인에 기반하는 암호화 통신 시스템 및 암호화 통신 방법
KR101410764B1 (ko) 중요 정보 원격 삭제 장치 및 방법
CN110121159B (zh) 车联网场景下的轻量级rfid安全认证方法、车联网通信系统
CN111538784A (zh) 一种基于区块链的数字资产交易方法、装置及存储介质
CN113674456B (zh) 开锁方法、装置、电子设备和存储介质
WO2023071751A1 (zh) 一种认证方法和通信装置
KR102103179B1 (ko) 블록체인 오라클에서의 프라이버시 보호를 위한 영지식 증명 시스템 및 그 방법
WO2018076798A1 (zh) 一种传输数据的方法和装置
CN114513779A (zh) 密钥生成方法和基于该方法的数据处理方法、设备和系统
CN109302286B (zh) 一种Fido设备密钥索引的生成方法
CN113115255A (zh) 证书下发、密钥认证、车辆解锁方法、设备及存储介质
CN115868189A (zh) 建立车辆安全通信的方法、车辆、终端及系统
US11178137B2 (en) System for IoT devices communicating with server using a tentative common key
CN106576245B (zh) 用户设备邻近请求认证
CN115297137A (zh) 一种共享单车使用方法、电子设备和存储介质
KR101790121B1 (ko) 전자 기기 인증 방법 및 시스템
WO2024016486A1 (zh) 数据传输方法及装置、设备、计算机可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination