CN114531225B - 端到端通信加密方法、装置、存储介质及终端设备 - Google Patents
端到端通信加密方法、装置、存储介质及终端设备 Download PDFInfo
- Publication number
- CN114531225B CN114531225B CN202011205007.9A CN202011205007A CN114531225B CN 114531225 B CN114531225 B CN 114531225B CN 202011205007 A CN202011205007 A CN 202011205007A CN 114531225 B CN114531225 B CN 114531225B
- Authority
- CN
- China
- Prior art keywords
- gateway
- user
- key
- communication
- public key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims abstract description 143
- 238000000034 method Methods 0.000 title claims abstract description 54
- 238000012795 verification Methods 0.000 claims description 25
- 230000005540 biological transmission Effects 0.000 claims description 15
- 230000000875 corresponding effect Effects 0.000 description 13
- 230000006870 function Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000002457 bidirectional effect Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种端到端通信加密方法、存储介质及终端设备,方法包括:用户端接收网关设备发送的第一协商信息,第一协商信息包括网关设备配置的网关公钥;用户端基于网关公钥以及自身所配置的用户私钥,确定用户端对应的用户共享密钥;用户端基于用户共享密钥对待传输的通信数据加密,并将加密后的通信数据发送至网关设备。通过用户端与网关设备之间协商生成共享密钥,并对用户端与网关设备进行双向认证,用户端利用共享密钥对待传输的通信数据进行加密,实现用户端与网关设备之间端对端的加密通信。由于,加密密钥是这两端直接协商生成的,因此他们的通信数据并不能被用户端和网关设备以外的设备解析。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种端到端通信加密方法、装置、存储介质及终端设备。
背景技术
现有的智能家居系统一般采用家居设备与云端平台的加密认证,用户和云端平台的加密认证,云端平台的密钥对于所有设备或者同一类设备都是同一个。因此存在如果云端平台发生安全事故,会波及很多用户和设备的缺陷。
因此,如何提高智能家居系统通信的安全性是亟需解决的问题。
发明内容
鉴于上述现有技术的不足,本发明的目的在于提供一种端到端通信加密方法、装置、存储介质及终端设备,旨在解决现有的智能家居系统通信安全性不高的问题。
本发明实施例第一方面,提供了一种端到端通信加密方法,应用于通信系统中的用户端,通信系统还包括网关设备,方法包括:
接收网关设备发送的第一协商信息,第一协商信息包括网关设备配置的网关公钥;
基于网关公钥以及自身所配置的用户私钥,确定用户端对应的用户共享密钥;
基于用户共享密钥对待传输的通信数据加密,并将加密后的通信数据发送至网关设备。
本发明实施例第二方面,提供了一种端到端通信加密方法,应用于通信系统中的网关设备,通信系统还包括用户端,方法包括:
接收用户端发送的第一协商信息,第一协商信息包括用户端配置的用户公钥;
基于用户公钥以及自身所配置的网关私钥,确定网关设备对应的网关共享密钥;
基于网关共享密钥对待传输的通信数据加密,并将加密后的通信数据发送至用户端。
本发明实施例第三方面,提供了一种端到端通信加密的装置,应用于通信系统中的用户端,通信系统还包括网关设备,装置包括:
接收单元,用于接收网关设备发送的第一协商信息,第一协商信息包括网关设备配置的网关公钥;
确定单元,用于基于网关公钥以及自身所配置的用户私钥,确定用户端对应的用户共享密钥;
加密单元,用于基于用户共享密钥对待传输的通信数据加密,并将加密后的通信数据发送至网关设备。
本发明实施例第四方面,提供了一种端到端通信加密的装置,应用于通信系统中的网关设备,通信系统还包括用户端,装置包括:
接收单元,用于接收用户端发送的第一协商信息,第一协商信息包括用户端配置的用户公钥;
确定单元,基于用户公钥以及自身所配置的网关私钥,确定网关设备对应的网关共享密钥;
加密单元,基于网关共享密钥对待传输的通信数据加密,并将加密后的通信数据发送至用户端。
本发明实施例第五方面,提供了一种计算机可读存储介质,计算机可读存储介质存储有端到端通信加密程序,端到端通信加密程序被处理器执行,以实现上述的端到端通信加密方法中的步骤。
本发明实施例第六方面提供了一种终端设备,终端设备包括处理器、存储器以及存储在存储器中并可在处理器上执行的端到端加密程序,处理器执行端到端通信加密程序时实现上述的端到端通信加密方法中的步骤。
有益效果:本发明提供一种端到端通信加密方法,通过用户端与网关设备之间协商生成共享密钥,用户端利用共享密钥对传输的通信数据进行加密,实现用户端与网关设备之间端对端的加密通信。由于,用户端与网关设备的加密密钥是这两端直接协商生成的,因此他们的通信数据并不能被用户端和网关设备以外的设备解析,提高了通信信息的安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员而言,在不符创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有的家居系统与用户终端之间的通信架构图;
图2为本发明实施例提供的一种端到端通信加密方法流程图;
图3为本发明实施例提供的用户端与网关设备双向认证流程图;
图4为本发明实施例提供的家居系统与用户终端之间的通信架构图;
图5为本发明实施例提供的另一家居系统与用户终端之间的通信架构图;
图6为本发明实施例提供的终端设备结构原理图。
具体实施方式
为了便于理解本发明,下面将参照相关附图对本发明进行更全面的描述。附图中给出了本发明的较佳实施方式。但是,本发明可以以许多不同的形式来实现,并不限于本文所描述的实施方式。相反地,提供这些实施方式的目的是使对本发明的公开内容理解的更加透彻全面。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施方式的目的,不是旨在于限制本发明。
如图1所示,现有的家居系统与用户终端之间的通信,多采用用户终端与云端平台建立加密认证连接,家居系统与云端平台建立加密认证连接,用户通过手中的移动设备(如智能手机、IPD等手持终端)发送控制家居系统中的家居设备的指令到云端服务器,云端服务器对接收到的控制指令进行分析,并将分析结果转发至设备端,设备端根据接收到的控制指令进行相应的动作。
举例来说,用户不在家希望通过手机开启家中的空调,此时,用户可以通过手机上的应用软件,发送空调开机指令,空调开机指令被云端服务器接收到,云端对开机指令进行解析,从中得出开机指令所对应的空调所在的家居网关地址,将开机指令发送至对应的家居网关,由家居网关将开机指令发送至空调,实现对空调的远程开启。
由于,用户的数据是被云端服务器解析的,且一台云端服务器面对众多设备,一旦云端服务器出现安全问题,如出现系统漏洞或被非法侵入,则众多用户的信息极易被窃取。
基于此,本发明提供一种能够解决上述技术问题的方案,其详细内容将在后续实施例中得以阐述。
请参阅图2,图2为本发明实施例提供的一种端到端通信加密方法流程图。本实施例所提供的一种端到端通信加密的方法,可应用于通信系统中,其中,通信系统包括用户端和网关设备。
下面将以用户端与智能家居系统网关设备为例,对本发明所提供的端到端通信加密方法进行详细说明,其中,智能家居系统网关设备(智能家居网关G)作为智能家居系统的控制中枢,负责连接集中家庭中各个设备(如智能电视机、智能空调、智能冰箱等等),以此组成一个相对封闭的智能家居系统,智能家居网关G负责家庭设备数据的分析处理,控制指令的下发,场景以及自动化的一系列的业务。整个智能家居系统通过智能家居网关G对外提供服务,以便用户不在家的时候可以和家居系统进行交互。
通常情况下,用户端和网关设备所处的家庭网络存在两种情形:如图4所示的情形一,该情形是指用户家庭网络具有公网IP,此时,用户端可以直接通过公网IP同家居网关G进行加密通信C0。
举例来说,用户家里装有电信、移动或联通宽带网络,用户向相应的网络运营商申请开通公网IP,公网IP开通后,家庭网络中的智能家居网关G能直接被处于该网络中的其他设备(通过认证的)直接访问,不需要经过其他的代理服务器(云端服务器)。由于用户端和智能家居网关G的加密密钥是这两端直接协商生成的,因此他们的通信数据并不能被用户端和智能家居网关以外的设备解析。
如图5所示的情形二,该情形是指用户家庭网络不具有公网IP,这时用户终端先和云端服务器建立加密传输通路C1,家居网关G也和云端服务器建立加密传输通路C2,然后用户终端通过云端桥接直接和家居网关G建立加密传输通路C3。可以看出用户端和网关之间的通信是经过两次加密的。同理,由于用户端和智能家居网关G的加密密钥是这两端直接协商生成的,因此他们的通信数据并不能被用户端和智能家居网关以外的设备解析。
在本实施例提供的方法中执行主体为用户端,其具体步骤如下:
S10、接收网关设备发送的第一协商信息,第一协商信息包括网关设备配置的网关公钥。
具体来说,网关设备Gateway可以通过Diffie-Hellman函数Curve25519生成网关公钥和网关私钥(g.publicKey、g.privateKey),将其中的网关公钥(g.publicKey)作为第一协商信息发送至用户端。用户端可以通过获取到的网关公钥对网关设备发送的加密信息进行解密。
在本实施例中,Curve25519是目前Diffie-Hellman函数中水平比较高的函数,适用于广泛的场景。Curve25519是一个椭圆曲线提供128位安全性,设计用于椭圆曲线Diffie-Hellman(ECDH)密钥协商方案。
进一步,给定一个用户的32字节密钥,curve25519计算该用户的32字节公钥。给定该用户的32字节密钥和另一个用户的32字节公钥,curve25519计算一个32字节的共享密钥提供给这两个用户使用。然后可以使用这个密钥对两个用户进行身份验证和信息加密。通过利用Curve25519生成密钥,可以提高密钥的可靠性。
S20、基于网关公钥以及自身所配置的用户私钥,确定用户端对应的用户共享密钥。
具体来说,首先用户端通过Diffie-Hellman函数Curve25519生成用户公钥和用户私钥(u.publicKey,u.privateKey)。用户端将用户私钥同获取到的网关设备发送的网关公钥保存为用户共享密钥。容易理解的是,用户共享密钥记为sharedKey=curve25519(u.privateKey,g,publicKey)。用户共享密钥与用户端相对应。也即是说,用户端可以用该用户共享密钥对要发送的通信数据进行加密。
在本实施例的一种实施方式中,用户端可以将用户公钥(u.privateKey)发送给网关设备,网关设备将用户公钥(u.privateKey)同自身所持有的网关私钥保存为网关共享密钥,即shareKey=curve25519(g.privateKey,u.publicKey)。容易理解的是,该网关共享密钥是与网关设备相对应的,也即是说网关设备可以利用该网关共享密钥,对发送给用户端的通信数据进行加密、对接收到的加密数据进行解密。
S30、基于用户共享密钥对待传输的通信数据加密,并将加密后的通信数据发送至网关设备。
具体来说,用户端在持有了用户共享密钥的情况下,当需要同网关设备进行通信时,用户端可以由用户共享密钥,通过AEAD(authenticated encryption with associateddata)关联数据认证加密算法ChaCha20-Poly1305对要传输的通信数据进行加密传输至网关设备。容易理解的是,由于用户端使用的用户共享密钥中包括了网关设备的网关公钥,因此,当网关设备接收到由用户端发送来的加密数据时,可以利用其自身所持有的网关私钥来进行解密。从中可以看出,用户端通过用户共享密钥加密待传输的通信数据以及网关设备接收到加密后的通信数据后,解密时所用的网关私钥,其中的密钥,均是用户端与网关设备直接协商生成的,因此他们之间的通信数据是不能容易地被其他设备所解析的。
如图3所示,在本实施例的一种实施方式中,在用户端持有了用户共享密钥后,在进行加密信息传输之前,还包括用户端与网关设备之间的认证过程,其中,认证过程步骤如下:
S21、接收由网关设备用网关共享密钥加密发送的第一数字签名,利用自身所配置的网关的证书公钥对第一数字签名进行用户端校验。
具体来说,网关设备Gateway和用户端User都持有在注册时由数字签名算法ED25519签发的一机一密证书,其中,网关设备的一机一密证书为{g.id,g.cert.publicKey,g.cert.privateKey},用户端的一机一密证书为{u.id,u.cert.publicKey,u.cert.privateKey},当网关设备和用户端绑定之后,用户端保存网关设备的网关ID地址(g.id)和证书公钥(g.cert.publicKey),而网关设备则保存用户的用户ID地址(u.id)和证书公钥(u.cert.publicKey)。也即是说,通过建立绑定关系,用户端保存有网关设备的ID地址,证书公钥,而网关则保存用户端的ID地址,证书公钥。网关设备和用户端分别保存对方的ID地址及证书公钥,可以便于后续的身份认证。
在本实施例中,在用户端和网关设备生成共享密钥及建立绑定后,网关设备通过所持有的证书私钥(g.cert.privateKey)对用户端的公钥(u.publicKey)、用户的ID地址(u.id)、网关的公钥(g.publicKey)进行数字签名,得到的数字签名即为第一数字签名。网关设备将第一数字签名用网关共享密钥加密后发送至用户端。用户端在接收到第一数字签名后,用自身所持有的网关的证书公钥(g.cert.publicKey)对其进行用户端校验,其中,进行的用户端校验,指的是在用户端对网关设备的身份进行验证。
S22、当用户端校验通过后,用户端向网关设备发送用用户共享密钥加密的第二数字签名,以使得网关设备对第二数字签名进行网关端校验。
具体来说,用户端校验通过后,用户端通过所持有的证书私钥(u.cert.privateKey)对网关的公钥(g.publicKey)、网关的(g.id)、用户的公钥(u.publicKey)进行数字签名,得到的数字签名即为第二数字签名。用户端将第二数字签名用用户共享密钥加密后发送至网关设备。网关设备在接收到第二数字签名后,用自身所持有的用户端的证书公钥(u.cert.publicKey)对其进行网关端校验,其中,进行的网关端校验,指的是在网关设备对用户的身份进行验证。需要说明的是,本实施例中所描述的是用户端先对网关设备进行身份校验,校验通过后,再由网关设备对用户端的身份进行校验。当然,也是可以由网关设备先对用户端进行身份校验,校验通过后,再由用户端对网关设备的身份进行校验。
S23、接收网关设备返回的网关端校验结果,当网关端校验结果为校验通过时,用户端触发基于网关共享密钥对待传输的通信数据进行加密的操作。
在本实施例中,通过用户端对家庭网络中的智能网关设备(绑定的)认证以及智能网关设备对用户端进行认证(即进行双向认证),确认对方不存在伪造身份的情况,从而可以提高通信信息的安全性。
基于上述的端到端通信加密方法,本发明还提供一种端到端通信加密的装置,应用于通信系统中的用户端,通信系统还包括网关设备,装置包括:
接收单元,用于接收网关设备发送的第一协商信息,第一协商信息包括网关设备配置的网关公钥;
确定单元,用于基于网关公钥以及自身所配置的用户私钥,确定用户端对应的用户共享密钥;
加密单元,用于基于用户共享密钥对待传输的通信数据加密,并将加密后的通信数据发送至网关设备。
基于上述的端到端通信加密方法,本发明还提供另一种端到端通信加密的装置,应用于通信系统中的网关设备,通信系统还包括用户端,装置包括:
接收单元,用于接收用户端发送的第一协商信息,第一协商信息包括用户端配置的用户公钥;
确定单元,基于用户公钥以及自身所配置的网关私钥,确定网关设备对应的网关共享密钥;
加密单元,基于网关共享密钥对待传输的通信数据加密,并将加密后的通信数据发送至用户端。
基于上述的端到端通信加密方法,本发明还提供一种计算机可读存储介质,计算机可读存储介质存储有一个或多个程序,一个或者多个程序可被一个或者多个处理器执行,以实现上述实施例的端到端通信加密方法中的步骤。
基于上述的端到端通信加密方法,本发明还提供一种终端设备,如图6所示,其包括至少一个处理器(processor)30以及存储器(memory)31,还可以包括通信接口(CommunicationsInterface)32和总线33。其中,处理器30、存储器31和通信接口32可以通过总线33完成相互间的通信。通信接口32可以传输信息。处理器30可以调用存储器31中的逻辑指令,以执行上述实施例中的方法。此外,上述的存储器31中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个可读取存储介质中。存储器31作为一种可读存储介质,可设置为存储软件程序,如本发明实施例中的方法对应的程序指令或模块。处理器30通过运行存储在存储器31中的软件程序、指令或模块,从而执行功能应用以及数据处理,即实现上述实施例中的方法。存储器31可包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器31可以包括高速随机存取存储器,还可以包括非易失性存储器。例如,U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等多种可以存储程序代码的介质,也可以是暂态存储介质。此外,上述存储介质以及终端中的多条指令处理器加载并执行的具体过程在上述方法中已经详细说明,在这里就不再一一陈述。
综上,本发明提供一种端到端通信加密方法、存储介质及终端设备。应用于通信系统中的用户端,通信系统包括用户端以及网关设备,方法包括:接收网关设备发送的第一协商信息,第一协商信息包括网关设备配置的网关公钥;基于网关公钥以及自身所配置的用户私钥,确定用户端对应的用户共享密钥;基于用户共享密钥对待传输的通信数据加密,并将加密后的通信数据发送至网关设备。通过用户端与网关设备之间协商生成共享密钥,并对用户端与网关设备进行双向认证,用户端利用共享密钥对待传输的通信数据进行加密,实现用户端与网关设备之间端对端的加密通信。由于,用户端与网关设备的加密密钥是这两端直接协商生成的,因此他们的通信数据并不能被用户端和网关设备以外的设备解析,提高了通信信息的安全性。
应当理解的是,本发明的应用不限于上述的举例,对本领域普通技术人员来说,可以根据上述说明加以改进或变换,所有这些改进和变换都应属于本发明所附权利要求的保护范围。
Claims (14)
1.一种端到端通信加密方法,其特征在于,应用于通信系统中的用户端,所述通信系统还包括网关设备,所述方法包括:
接收所述网关设备发送的第一协商信息,所述第一协商信息包括所述网关设备配置的网关公钥;
基于所述网关公钥以及自身所配置的用户私钥,确定所述用户端对应的用户共享密钥;
基于所述用户共享密钥对待传输的通信数据加密,并将加密后的通信数据发送至所述网关设备;
所述基于所述用户共享密钥对待传输的通信数据加密,包括:
基于所述用户共享密钥,通过关联数据认证加密算法对待传输的通信数据进行加密;
所述网关设备为智能家居系统网关设备,作为智能家居系统的控制中枢,负责连接集中家庭中各个设备;
所述通信系统还包括云端服务器,所述通信系统不具有公网IP,用户终端先和云端服务器建立加密传输通路,家居网关也和云端服务器建立加密传输通路,然后用户终端通过云端桥接直接和家居网关建立加密传输通路。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
向所述网关设备发送携带有自身所配置的用户公钥的第二协商信息,以使得所述网关设备基于所述用户公钥以及自身所配置的网关私钥确定所述网关设备对应的网关共享密钥。
3.如权利要求2所述的方法,其特征在于,所述基于所述用户共享密钥对待传输的通信数据加密之前,所述方法还包括:
接收由所述网关设备用所述网关共享密钥加密发送的第一数字签名,利用自身所配置的所述网关的证书公钥对所述第一数字签名进行用户端校验;
当用户端校验通过后,向所述网关设备发送用所述用户共享密钥加密的第二数字签名,以使得所述网关设备对所述第二数字签名进行网关端校验;
接收所述网关设备返回的网关端校验结果,当网关端校验结果为校验通过时,触发基于所述用户共享密钥对待传输的通信数据进行加密的操作。
4.如权利要求3所述的方法,其特征在于,所述第一数字签名包括网关设备自身所配置的证书私钥,所述用户公钥、用户端ID地址及所述网关公钥。
5.如权利要求3所述的方法,其特征在于,所述第二数字签名包括所述用户端的证书私钥,所述网关公钥、网关设备ID地址及所述用户公钥。
6.一种端到端通信加密方法,其特征在于,应用于通信系统中的网关设备,所述通信系统还包括用户端,所述方法包括:
接收所述用户端发送的第一协商信息,所述第一协商信息包括所述用户端配置的用户公钥;
基于所述用户公钥以及自身所配置的网关私钥,确定所述网关设备对应的网关共享密钥;
基于所述网关共享密钥对待传输的通信数据加密,并将加密后的通信数据发送至所述用户端;
所述基于所述网关共享密钥对待传输的通信数据加密,包括:
基于所述网关共享密钥,通过关联数据认证加密算法对待传输的通信数据进行加密;
所述网关设备为智能家居系统网关设备,作为智能家居系统的控制中枢,负责连接集中家庭中各个设备;
所述通信系统还包括云端服务器,所述通信系统不具有公网IP,用户终端先和云端服务器建立加密传输通路,家居网关也和云端服务器建立加密传输通路,然后用户终端通过云端桥接直接和家居网关建立加密传输通路。
7.如权利要求6所述的方法,其特征在于,所述方法还包括:
向所述用户端发送携带有自身所配置的网关公钥的第二协商信息,以使得所述用户端基于所述网关公钥以及自身所配置的用户私钥确定所述用户端对应的用户共享密钥。
8.如权利要求7所述的方法,其特征在于,所述基于所述网关共享密钥对待传输的通信数据加密之前,所述方法还包括:
接收由所述用户端用所述用户共享密钥加密发送的第一数字签名,利用自身所配置的所述用户端的证书公钥对所接收到的所述第一数字签名进行网关端校验;
当网关端校验通过后,向所述用户端发送用所述网关共享密钥加密的第二数字签名,以使得所述用户端对所述第二数字签名进行用户端校验;
接收所述用户端返回的用户端校验结果,当用户端校验结果为校验通过时,触发基于所述网关共享密钥对待传输的通信数据进行加密的操作。
9.如权利要求8所述的方法,其特征在于,所述第一数字签名包括所述用户端的证书私钥,所述网关公钥、网关设备ID地址及所述用户公钥。
10.如权利要求8所述的方法,其特征在于,所述第二数字签名包括网关设备自身所配置的证书私钥,所述用户公钥、用户端ID地址及所述网关公钥。
11.一种端到端通信加密的装置,其特征在于,应用于通信系统中的用户端,所述通信系统还包括网关设备,所述装置包括:
接收单元,用于接收所述网关设备发送的第一协商信息,所述第一协商信息包括所述网关设备配置的网关公钥;
确定单元,用于基于所述网关公钥以及自身所配置的用户私钥,确定所述用户端对应的用户共享密钥;
加密单元,用于基于所述用户共享密钥对待传输的通信数据加密,并将加密后的通信数据发送至所述网关设备;
所述基于所述用户共享密钥对待传输的通信数据加密,包括:
基于所述用户共享密钥,通过关联数据认证加密算法对待传输的通信数据进行加密;
所述网关设备为智能家居系统网关设备,作为智能家居系统的控制中枢,负责连接集中家庭中各个设备;
所述通信系统还包括云端服务器,所述通信系统不具有公网IP,用户终端先和云端服务器建立加密传输通路,家居网关也和云端服务器建立加密传输通路,然后用户终端通过云端桥接直接和家居网关建立加密传输通路。
12.一种端到端通信加密的装置,其特征在于,应用于通信系统中的网关设备,所述通信系统还包括用户端,所述装置包括:
接收单元,用于接收所述用户端发送的第一协商信息,所述第一协商信息包括所述用户端配置的用户公钥;
确定单元,基于所述用户公钥以及自身所配置的网关私钥,确定所述网关设备对应的网关共享密钥;
加密单元,基于所述网关共享密钥对待传输的通信数据加密,并将加密后的通信数据发送至所述用户端;
所述基于所述网关共享密钥对待传输的通信数据加密,包括:
基于所述网关共享密钥,通过关联数据认证加密算法对待传输的通信数据进行加密;
所述网关设备为智能家居系统网关设备,作为智能家居系统的控制中枢,负责连接集中家庭中各个设备;
所述通信系统还包括云端服务器,所述通信系统不具有公网IP,用户终端先和云端服务器建立加密传输通路,家居网关也和云端服务器建立加密传输通路,然后用户终端通过云端桥接直接和家居网关建立加密传输通路。
13.一种计算机可读存储介质,其特征在于,所述计算机可读存储介
质存储有端到端通信加密程序,所述端到端通信加密程序被处理器执行时,以实现如权利要求1-5任意一项所述的端到端通信加密方法中的步骤,和/或以实现如权利要求6-11任意一项所述的端到端通信加密方法中的步骤。
14.一种终端设备,其特征在于,所述终端设备包括处理器、存储器以及存储在所述存储器中并可在所述处理器上执行的端到端通信加密程序,所述处理器执行所述端到端通信加密程序时实现如权利要求1-5任意一项所述的端到端通信加密方法中的步骤,和/或以实现如权利要求6-11任意一项所述的端到端通信加密方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011205007.9A CN114531225B (zh) | 2020-11-02 | 2020-11-02 | 端到端通信加密方法、装置、存储介质及终端设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011205007.9A CN114531225B (zh) | 2020-11-02 | 2020-11-02 | 端到端通信加密方法、装置、存储介质及终端设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114531225A CN114531225A (zh) | 2022-05-24 |
| CN114531225B true CN114531225B (zh) | 2024-09-17 |
Family
ID=81619511
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011205007.9A Active CN114531225B (zh) | 2020-11-02 | 2020-11-02 | 端到端通信加密方法、装置、存储介质及终端设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114531225B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115348015A (zh) * | 2022-08-18 | 2022-11-15 | 中国电信股份有限公司 | 安全接入方法及装置、计算机可读存储介质、电子设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104980928A (zh) * | 2014-04-03 | 2015-10-14 | 华为终端有限公司 | 一种用于建立安全连接的方法、设备及系统 |
| CN109039657A (zh) * | 2018-11-02 | 2018-12-18 | 美的集团股份有限公司 | 密钥协商方法、设备、终端、存储介质以及系统 |
| CN111585749A (zh) * | 2016-10-26 | 2020-08-25 | 阿里巴巴集团控股有限公司 | 数据传输方法、装置、系统及设备 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8918648B2 (en) * | 2010-02-25 | 2014-12-23 | Certicom Corp. | Digital signature and key agreement schemes |
| CN104038931B (zh) * | 2014-05-23 | 2017-09-12 | 国家电网公司 | 基于lte网络的配用电通信系统及其通信方法 |
| CN107689864B (zh) * | 2016-08-04 | 2020-02-14 | 华为技术有限公司 | 一种认证方法,服务器,终端以及网关 |
| CN109560933B (zh) * | 2018-10-12 | 2022-04-08 | 蚂蚁蓉信(成都)网络科技有限公司 | 基于数字证书的认证方法及系统、存储介质、电子设备 |
| CN111464486B (zh) * | 2019-01-22 | 2023-04-07 | 阿里巴巴集团控股有限公司 | 信息交互方法、装置以及计算设备 |
| CN110808991B (zh) * | 2019-11-08 | 2020-10-09 | 北京金茂绿建科技有限公司 | 一种安全通信连接的方法、系统、电子设备及存储介质 |
| CN110896348B (zh) * | 2019-11-26 | 2022-04-01 | 飞天诚信科技股份有限公司 | 一种密钥协商的方法及系统 |
| CN111030814B (zh) * | 2019-12-25 | 2023-04-25 | 杭州迪普科技股份有限公司 | 秘钥协商方法及装置 |
| CN111510294A (zh) * | 2020-05-07 | 2020-08-07 | 与众科技(天津)有限公司 | 一种利用密钥提升办公系统安全性的方法 |
-
2020
- 2020-11-02 CN CN202011205007.9A patent/CN114531225B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104980928A (zh) * | 2014-04-03 | 2015-10-14 | 华为终端有限公司 | 一种用于建立安全连接的方法、设备及系统 |
| CN111585749A (zh) * | 2016-10-26 | 2020-08-25 | 阿里巴巴集团控股有限公司 | 数据传输方法、装置、系统及设备 |
| CN109039657A (zh) * | 2018-11-02 | 2018-12-18 | 美的集团股份有限公司 | 密钥协商方法、设备、终端、存储介质以及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114531225A (zh) | 2022-05-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110380852B (zh) | 双向认证方法及通信系统 | |
| CN108390851B (zh) | 一种用于工业设备的安全远程控制系统及方法 | |
| CN107040513B (zh) | 一种可信访问认证处理方法、用户终端和服务端 | |
| CN110177354A (zh) | 一种车辆的无线控制方法及系统 | |
| CN110299996B (zh) | 认证方法、设备及系统 | |
| CN102572817B (zh) | 实现移动通信保密的方法和智能存储卡 | |
| CN110062382B (zh) | 一种身份验证方法、客户端、中继设备及服务器 | |
| KR20120047972A (ko) | 암호화 정보를 교섭하기 위한 방법, 장치 및 네트워크 시스템 | |
| CN113612605A (zh) | 使用对称密码技术增强mqtt协议身份认证方法、系统和设备 | |
| CN107094156B (zh) | 一种基于p2p模式的安全通信方法及系统 | |
| US9998287B2 (en) | Secure authentication of remote equipment | |
| CN112566119A (zh) | 终端认证方法、装置、计算机设备及存储介质 | |
| CN112311543B (zh) | Gba的密钥生成方法、终端和naf网元 | |
| CN112468305B (zh) | 物联网安全认证方法及设备 | |
| KR20110083886A (ko) | 휴대용 단말기에서 다른 휴대용 단말기를 인증하는 장치 및 방법 | |
| CN112672342B (zh) | 数据传输方法、装置、设备、系统和存储介质 | |
| CN114221822B (zh) | 配网方法、网关设备以及计算机可读存储介质 | |
| WO2023241176A1 (zh) | 通信方法、装置、设备、存储介质及程序产品 | |
| US10671717B2 (en) | Communication device, communication method and computer program | |
| CN114765534A (zh) | 基于国密标识密码算法的私钥分发系统 | |
| CN104243452A (zh) | 一种云计算访问控制方法及系统 | |
| CN110690969A (zh) | 一种多方协同完成双向ssl/tls认证的方法和系统 | |
| CN114531225B (zh) | 端到端通信加密方法、装置、存储介质及终端设备 | |
| CN111357305A (zh) | 可移动平台的通信方法、设备、系统及存储介质 | |
| CN105554759A (zh) | 一种鉴权方法和鉴权系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |