CN115250180A - 数据的加密、解密方法及装置 - Google Patents

数据的加密、解密方法及装置 Download PDF

Info

Publication number
CN115250180A
CN115250180A CN202110470566.0A CN202110470566A CN115250180A CN 115250180 A CN115250180 A CN 115250180A CN 202110470566 A CN202110470566 A CN 202110470566A CN 115250180 A CN115250180 A CN 115250180A
Authority
CN
China
Prior art keywords
terminal
network equipment
data
equipment
identity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110470566.0A
Other languages
English (en)
Inventor
许阳
徐伟杰
曹进
马如慧
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Oppo Mobile Telecommunications Corp Ltd
Original Assignee
Guangdong Oppo Mobile Telecommunications Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Oppo Mobile Telecommunications Corp Ltd filed Critical Guangdong Oppo Mobile Telecommunications Corp Ltd
Priority to CN202110470566.0A priority Critical patent/CN115250180A/zh
Priority to PCT/CN2022/073721 priority patent/WO2022227739A1/zh
Publication of CN115250180A publication Critical patent/CN115250180A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提供了一种数据的加密方法,包括:终端设备根据网络设备配置的私钥中的签名信息进行验证;其中,所述签名信息是根据所述网络设备的身份标识,所述网络设备的时间戳确定的;在验证成功的情况下,终端设备根据所述网络设备预配置的公钥对数据进行加密,并发送至所述网络设备。

Description

数据的加密、解密方法及装置
技术领域
本发明涉及通信领域,具体而言,涉及一种数据的加密、解密方法及装置。
背景技术
万物互融是5G/6G通信的终极愿景。在无线通信技术的不断演进与助力下,物联网(Internet Of Things)技术飞速发展。如3GPP组织推动发展的MTC/eMTC,NB-IoT系列标准成为5G massive MTC技术的候选技术标准。这些技术标准有望在智能家居,智慧城市,智慧工厂、远程监测、智慧交通等人们生产与生活的方方面面发挥巨大作用。
现有的MTC/eMTC,NB-IoT终端的成本较低,价格便宜、支持超低功耗、支持深广大覆盖场景等技术优势。因此有利于物联网技术的发展初期的快速普及。
MTC、NB-IoT等通信技术作为5G时代使能万物互融的技术基础,实现了低功耗、低成本、大连接的物联网通信。由于保证通信时的安全问题,是目前亟待解决的一个问题。
发明内容
本发明实施例提供了一种数据的加密、解密方法及装置。
根据本发明的一个实施例,提供了一种数据的加密方法,包括:终端设备根据网络设备配置的私钥中的签名信息进行验证;其中,所述签名信息是根据所述网络设备的身份标识,所述网络设备的时间戳确定的;在验证成功的情况下,终端设备根据所述网络设备预配置的公钥对数据进行加密,并发送至所述网络设备。
其中,所述签名信息还包括:终端设备的身份标识。
根据本发明的另一个实施例,提供了一种数据的解密方法,包括:网络设备在私钥中添加签名信息并发送至终端设备;其中所述签名信息包括:所述网络设备的身份标识,所述网络设备的时间戳;所述网络设备接收终端设备根据公钥加密的数据;所述网络设备根据所述私钥对所述加密的数据进行解密。
其中,所述签名信息还包括:终端设备的身份标识。
根据本发明的另一个实施例,提供了一种数据的加密装置,其特征在于,包括:验证模块,用于根据网络设备配置的私钥中的签名信息进行验证;其中,所述签名信息是根据所述网络设备的身份标识,所述网络设备的时间戳确定的;加密模块,用于在验证成功的情况下,根据所述网络设备预配置的公钥对数据进行加密,并发送至所述网络设备。
根据本发明的另一个实施例,提供了一种数据的解密模块,其特征在于,包括:发送模块,用于在私钥中添加签名信息并发送至终端设备;其中所述签名信息包括:所述网络设备的身份标识,所述网络设备的时间戳;接收模块,用于接收所述终端设备根据公钥加密的数据;解密模块,用于根据所述私钥对所述加密的数据进行解密。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的零功耗通信的原理图;
图2是根据本发明实施例的一种基于公钥密码学方案的认证与数据上传流程的流程图;
图3是根据本发明实施例的一种对称密码学方案的单个终端认证与数据上传流程的流程图;
图4是根据本发明实施例的一种对称密码学方案的多个终端认证与数据上传流程的流程图;
图5是根据本发明实施例的一种基于公钥密码学方案的认证与数据上传流程的流程图;
图6是根据本发明实施例的一种对称密码学方案的多个终端认证与数据上传流程的流程图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
近年来,零功耗通信技术发展快速,其中零功耗通信的关键技术包括能量采集和反向散射通信以及低功耗计算,图1是根据本发明实施例的零功耗通信的原理图。如图1所示,一个典型的零功耗通信系统包括读写器和零功耗设备。读写器发射无线电波,用于向零功耗设备提供能量。安装在零功耗设备的能量采集模块可以采集空间中的无线电波携带的能量(图1中所示为读写器发射的无线电波),用于驱动零功耗设备的低功耗计算模块和实现反向散射通信。零功耗设备获得能量后,可以接收读写器的控制命令并基于控制信令基于后向散射的方式向读写器发送数据。所发送的数据可以来自于零功耗设备自身存储的数据(如身份标识或预先写入的信息,如商品的生产日期、品牌、生产厂家等)。零功耗设备也可以加载各类传感器,从而基于零功耗机制将各类传感器采集的数据上报。可见,零功耗设备自身不需要电池,同时采用低功耗计算模块可实现简单的信号解调,解码或编码,调制等简单的运算工作,因此零功耗模块仅需要极简的硬件设计,使得零功耗设备成本很低、体积很小。
根据本发明的一个实施例,提供了一种数据的加密方法,包括:终端设备根据网络设备配置的私钥中的签名信息进行验证;其中,所述签名信息是根据所述网络设备的身份标识,所述网络设备的时间戳确定的;在验证成功的情况下,终端设备根据所述网络设备预配置的公钥对数据进行加密,并发送至所述网络设备。
其中,所述签名信息还包括:终端设备的身份标识。
根据本发明的另一个实施例,提供了一种数据的解密方法,包括:网络设备在私钥中添加签名信息并发送至终端设备;其中所述签名信息包括:所述网络设备的身份标识,所述网络设备的时间戳;所述网络设备接收终端设备根据公钥加密的数据;所述网络设备根据所述私钥对所述加密的数据进行解密。
其中,所述签名信息还包括:终端设备的身份标识。
根据本发明的另一个实施例,提供了一种数据的加密装置,其特征在于,包括:验证模块,用于根据网络设备配置的私钥中的签名信息进行验证;其中,所述签名信息是根据所述网络设备的身份标识,所述网络设备的时间戳确定的;加密模块,用于在验证成功的情况下,备根据所述网络设备预配置的公钥对数据进行加密,并发送至所述网络设备。
根据本发明的另一个实施例,提供了一种数据的解密模块,其特征在于,包括:发送模块,用于在私钥中添加签名信息并发送至终端设备;其中所述签名信息包括:所述网络设备的身份标识,所述网络设备的时间戳;接收模块,用于接收所述终端设备根据公钥加密的数据;解密模块,用于根据所述私钥对所述加密的数据进行解密。
下述方案中,终端设备的身份标识为IDi,网络设备的身份标识为IDgNB。
其中,IDi由两部分组成,终端归属企业标识以及终端在该归属区域内的唯一标识。终端归属企业标识代表的是该终端所属的企业实体。
IDgNB由两部分组成:企业标识和企业内实体标识。企业标识代表的是该基站所属的企业实体,而企业内实体标识,代表的则是该基站在该企业内的网络设备的唯一标识。
在初始配置过程当中,终端设备会被预配置或者获取网络设备的身份标识IDgNB和公钥pkgNB。
技术方案1:网络设备在下行请求消息中携带终端标识
具体实施例一:基于公钥密码学方案的认证与数据上传流程
图2是根据本发明实施例的一种基于公钥密码学方案的认证与数据上传流程的流程图。如图2所示,具体实施例一至少通过如下的方式实现:
步骤1:网络设备根据终端设备的身份标识,网络设备的身份标识,网络设备的时间戳生成签名,并添加在私钥中。
步骤2:网络设备向终端设备发送网络设备的身份标识,私钥以及网络设备的时间戳发送至终端设备。
步骤3:终端设备验证网络设备的时间戳;
步骤4:在验证成功的情况下,终端设备采用网络设备的公钥或者接收的签名验证;
步骤5:在验证成功的情况下,终端设备采用网络设备的公钥加密数据,并将加密后的数据发送至终端设备。
步骤6:网络设备根据私钥对接收的数据进行解密。
需要说明的是,网络设备包括:接入网设备,例如基站。也可以包括其他网络节点。例如核心网设备。此外,在应用到端到端通信的情况下,网络设备可以先将秘钥信息发送至目标终端,由目标终端转发至当前终端。
具体而言,数据请求信息可以通过网络设备的单播信息,组播消息,或者广播消息发送至终端设备。具体承载方式包括但不限于:无线链路控制RRC信令,下行控制信息DCI。
需要说明的是,终端设备可以是零功耗的终端设备,也可以是低功耗的终端设备。
例如,当基站想向某些终端获取传感内容时,基站利用其私钥对消息添加签名,比如Sign(skgNB,h(IDgNB,IDi,TgNB))。然后,将IDgNB,Sign(skgNB,h(IDgNB,IDi,TgNB)),TgNB中的一个或多个发送给终端,其中IDi为终端标识(可以包含一个或多个终端的标识),TgNB可以为当前基站侧时间戳。
终端收到消息后,可以验证时间戳TgNB是否在正常范围内。如果在,则终端利用基站公钥pkgNB验证签名的有效性,比如VerifySign(pkgNB,Sign(skgNB,h(IDgNB,IDi,TgNB)))。或者也可以直接验证签名。验证成功后,终端采用基站的公钥加密数据C=Enc(pkgNB,Msg),并且将加密的数据上报至基站。其中Msg中可包含该终端标识以及需上传的消息内容等。
基站利用私钥解密获得Msg=Dec(skgNB,C)。
此方案中签名算法Sign()和验签算法VerifySign()并没有指定特定的算法,可利用RSA签密算法(X509证书中用到的算法)或者ESDSA算法(区块链中用到的算法)。Enc()和Dec()算法为公钥密码学算法,可采用RSA等加密算法。
上述方案可以确保基站的合法性以及上传数据的机密性。
具体实施例二:基于对称密码学方案的单个终端认证与数据上传流程。
图3是根据本发明实施例的一种对称密码学方案的单个终端认证与数据上传流程的流程图。如图3所示,具体实施例二至少通过如下的方式实现:
步骤1:网络设备通过搜索的方式或者终端设备的密钥和序列号,并生成第一随机数。
步骤2:网络设备根据终端设备的密钥和第一随机数生成第一临时密钥;
其中,临时密钥至少包括:加密秘钥,完整性秘钥以及匿名秘钥
步骤3:网络设备根据终端设备的身份标识,网络设备的身份标识,终端设备的密钥以及序列号生成第一消息验证码;
步骤4:网络设备根据终端设备的身份标识,网络设备的身份标识,第一消息验证码,随机数,匿名密钥以及网络设备的序列号确定第一密钥信息;
步骤5:终端设备在接收到第一密钥信息后,根据终端设备的密钥和第一随机数生成第二临时密钥,以获取网络设备的序列号;
步骤6:在确定网络设备的网络设备的序列号与终端设备的序列号满足预设条件的情况下,终端设备根据终端设备的身份标识,网络设备的身份标识,终端设备的密钥以及序列号生成第一消息验证码,并进行验证;
步骤7:终端设备根据终端设备的身份标识,网络设备的身份标识,终端设备的密钥以及随机数计算第二消息验证码;
步骤8:终端设备对数据进行加密或者密文;
步骤9:终端设备向网络设备发送密文和第二消息验证码;
步骤10:终端设备根据第二消息验证码对密文进行解密,以获取数据。
需要说明的是,网络设备包括:接入网设备,例如基站。也可以包括其他网络节点。例如核心网设备。此外,在应用到端到端通信的情况下,网络设备可以先将秘钥信息发送至目标终端,由目标终端转发至当前终端。
具体而言,数据请求信息可以通过网络设备的单播信息,组播消息,或者广播消息发送至终端设备。具体承载方式包括但不限于:无线链路控制RRC信令,下行控制信息DCI。
需要说明的是,终端设备可以是零功耗的终端设备,也可以是低功耗的终端设备。
例如,当基站想向某终端i获取传感内容时,基站在本地数据库搜索某终端IDi的密钥Ki以及序列号SQNgNB,产生一个随机数RAND,计算TKi=KDF(Ki,RAND)=CKi|(加密秘钥)|IKi(完整性)||Aki(匿名秘钥),计算MAC(消息验证码)=h1(IDi,IDgNB,IKi,SQNgNB)。最后,基站将
Figure BDA0003045216720000081
发送给终端i。随后,基站计算SQNgNB=SQNgNB+1。
终端i接收到后,同样计算TKi=KDF(Ki,RAND)=CKi||IKi||AKi,解密获得SQNgNB,检查SQNgNB和SQNUE的差值是否在正常范围内。如果检查通过,终端验证MAC=h1(IDi,IDgNB,IKi,SQNgNB)以及计算RES=h2(IDi,IDgNB,IKi,RAND),SQNUE=SQNgNB+1,采用对称密码学算法加密上传数据Msg获得Ci=ECKi(Msg)。最后,终端将(RES,Ci)发送给基站。
基站验证RES的有效性,如果有效则解密Ci获得Msg。
上述方案可以确保基站和终端双向合法性以及上传数据的机密性。
具体实施例三:基于对称密码学方案的多个终端认证与数据上传流程。
图4是根据本发明实施例的一种对称密码学方案的多个终端认证与数据上传流程的流程图。如图4所示,具体实施例三至少通过如下的方式实现:
具体而言,具体实施例三至少通过如下的方式实现:
步骤1:网络设备向终端设备发送数据请求消息,其中,所述数据请求消息包括:终端设备的身份标识的列表,网络设备的身份标识和第二随机数。
其中,第二随机数是网络设备新生成的随机数。
步骤2:终端设备接收数据请求消息,并确定终端设备是否在所述数据请求消息中的列表;
步骤3:在终端在所述数据请求消息中的列表时,终端设备确定网络设备的身份标识的有效性;
步骤4:网络设备的身份标识有效的情况下,所述终端设备根据终端设备的秘钥以及第二随机数计算临时秘钥,以及生成第三随机数。
步骤5:终端设备根据终端设备的身份标识,网络设备的身份标识,终端设备的密钥,第二随机数以及第三随机数生成第三消息验证码;
步骤6:终端设备将终端设备的身份标识,第三消息验证码以及第三随机数发送至网络设备;
步骤4:网络设备根据终端设备的身份标识对终端设备的密钥进行检索;
步骤5:网络设备根据终端设备的密钥,第三随机数确定临时密钥;
其中,临时秘钥包括加密秘钥以及完整性秘钥;
步骤6:网络设备根据终端设备的身份标识,网络设备的身份标识,终端设备的密钥以及序列号生成第三消息验证码,并进行验证;
步骤7:在验证通过的情况下,网络设备根据终端设备的身份标识,网络设备的身份标识,终端设备的密钥,第二随机数以及第三随机数计算第四消息验证码;
步骤8:网络设备将第四验证码发送至终端设备;
步骤9:终端设备对第四消息验证码进行验证,并在验证通过的情况下,对数据进行加密,以获得密文;
步骤9:终端设备向网络设备发送密文;
步骤10:终端设备对密文进行解密,以获取数据。
需要说明的是,网络设备包括:接入网设备,例如基站。也可以包括其他网络节点。例如核心网设备。此外,在应用到端到端通信的情况下,网络设备可以先将秘钥信息发送至目标终端,由目标终端转发至当前终端。
具体而言,数据请求信息可以通过网络设备的单播信息,组播消息,或者广播消息发送至终端设备。具体承载方式包括但不限于:无线链路控制RRC信令,下行控制信息DCI。
需要说明的是,终端设备可以是零功耗的终端设备,也可以是低功耗的终端设备。
例如,当基站想向某些终端,例如IDi,获取传感内容时,基站广播请求数据上传通知消息(IDgNB,IDi,RAND1),其中RAND1是基站新生成的随机数。
收到上传通知后,若通知列表有终端IDi,则该终端检查IDgNB的有效性,检查通过后,计算TKi=KDF(Ki,RAND1)=CKi||IKi,生成一个随机数RAND2,计算MAC=h1(IDi,IDgNB,IKi,RAND1||RAND2)。最后,终端将(IDi,MAC,RAND2)发送给基站。
基站接收到后,根据终端标识IDi本地检索其长期共享密钥Ki,计算TKi=KDF(Ki,RAND1)=CKi||IKi,验证MAC=h1(IDi,IDgNB,IKi,RAND1||RAND2)。验证通过后,基站计算RES=h2(IDi,IDgNB,IKi,RAND1||RAND2)并将RES(消息验证码)发回终端。
终端验证RES的有效性,验证通过后,采用对称加密算法加密需上传的数据Msg获得Ci=ECKi(Msg)并将Ci(密文)发送给基站。
基站解密获得Msg。
上述方案可以确保基站和终端双向合法性以及上传数据的机密性。技术方案2:网络设备不知道终端标识。
具体实施例四:基于公钥密码学方案的认证与数据上传流程
图5是根据本发明实施例的一种基于公钥密码学方案的认证与数据上传流程的流程图。如图5所示,具体实施例四至少通过如下的方式实现:
步骤1:网络设备根据网络设备的身份标识,网络设备的时间戳生成签名,并添加在私钥中。
步骤2:网络设备向终端设备发送网络设备的身份标识,私钥以及网络设备的时间戳发送至终端设备。
步骤3:终端设备验证网络设备的时间戳;
步骤4:在验证成功的情况下,终端设备采用网络设备的公钥或者接收的签名验证;
步骤5:在验证成功的情况下,终端设备采用网络设备的公钥加密数据,并将加密后的数据发送至终端设备。
步骤6:网络设备根据私钥对接收的数据进行解密。
需要说明的是,网络设备包括:接入网设备,例如基站。也可以包括其他网络节点。例如核心网设备。此外,在应用到端到端通信的情况下,网络设备可以先将秘钥信息发送至目标终端,由目标终端转发至当前终端。
具体而言,数据请求信息可以通过网络设备的单播信息,组播消息,或者广播消息发送至终端设备。具体承载方式包括但不限于:无线链路控制RRC信令,下行控制信息DCI。
需要说明的是,终端设备可以是零功耗的终端设备,也可以是低功耗的终端设备。
例如,
当基站想获取传感内容时,基站利用其私钥签名消息Sign(skgNB,h(IDgNB,TgNB)),随后,基站广播(IDgNB,Sign(skgNB,h(IDgNB,TgNB)),TgNB),其中TgNB为当前基站侧时间戳。
终端收到消息后,可以首先验证时间戳TgNB是否在正常范围内,或者不验证时间戳信息。终端利用基站公钥pkgNB验证签名的有效性VerifySign(pkgNB,Sign(skgNB,h(IDgNB,TgNB)))。验证成功后,终端采用基站的公钥加密数据C=Enc(pkgNB,Msg),并且将密文数据上报至基站,其中Msg中可包含该终端标识等信息。
基站利用私钥解密获得Msg=Dec(skgNB,C)。
此方案中签名算法Sign()和验签算法VerifySign()并没有指定特定的算法,可利用RSA签密算法(X509证书中用到的算法)或者ESDSA算法(区块链中用到的算法)。Enc()和Dec()算法为公钥密码学算法,可采用RSA等加密算法。
上述方案可以确保基站的合法性以及上传数据的机密性。
具体实施例五:基于对称密码学方案的多个终端认证与数据上传流程
图6是根据本发明实施例的一种对称密码学方案的多个终端认证与数据上传流程的流程图。如图6所示,具体实施例五至少通过如下的方式实现:
步骤1:网络设备向终端设备发送数据请求消息,其中,所述数据请求消息包括:网络设备的身份标识和第二随机数。
其中,第二随机数是网络设备新生成的随机数。
步骤2:终端设备接收数据请求消息,并确定网络设备的身份标识的有效性;
步骤3:网络设备的身份标识有效的情况下,所述终端设备根据终端设备的秘钥以及第二随机数计算临时秘钥,以及生成第三随机数。
步骤4:终端设备根据终端设备的身份标识,网络设备的身份标识,终端设备的密钥,第二随机数以及第三随机数生成第三消息验证码;
步骤5:终端设备将终端设备的身份标识,第三消息验证码以及第三随机数发送至网络设备;
步骤6:网络设备根据终端设备的身份标识对终端设备的密钥进行检索;
步骤7:网络设备根据终端设备的密钥,第三随机数确定临时密钥;
其中,临时秘钥包括加密秘钥以及完整性秘钥;
步骤8:网络设备根据终端设备的身份标识,网络设备的身份标识,终端设备的密钥以及序列号生成第三消息验证码,并进行验证;
步骤9:在验证通过的情况下,网络设备根据终端设备的身份标识,网络设备的身份标识,终端设备的密钥,第二随机数以及第三随机数计算第四消息验证码;
步骤10:网络设备将第四验证码发送至终端设备;
步骤11:终端设备对第四消息验证码进行验证,并在验证通过的情况下,对数据进行加密,以获得密文;
步骤12:终端设备向网络设备发送密文;
步骤13:终端设备对密文进行解密,以获取数据。
需要说明的是,网络设备包括:接入网设备,例如基站。也可以包括其他网络节点。例如核心网设备。此外,在应用到端到端通信的情况下,网络设备可以先将秘钥信息发送至目标终端,由目标终端转发至当前终端。
具体而言,数据请求信息可以通过网络设备的单播信息,组播消息,或者广播消息发送至终端设备。具体承载方式包括但不限于:无线链路控制RRC信令,下行控制信息DCI。
需要说明的是,终端设备可以是零功耗的终端设备,也可以是低功耗的终端设备。
例如,当基站想获取传感内容时,基站广播请求数据上传通知消息(IDgNB,RAND1),其中RAND1是基站新生成的随机数。
收到上传通知后,各个终端检查IDgNB的有效性,检查通过后,计算TKi=KDF(Ki,RAND1)=CKi||IKi,生成一个随机数RAND2,计算MAC=h1(IDi,IDgNB,IKi,RAND1||RAND2)。最后,终端将(IDi,MAC,RAND2)发送给基站。
基站接收到后,根据终端标识IDi本地检索其长期共享密钥Ki,计算TKi=KDF(Ki,RAND1)=CKi||IKi,验证MAC=h1(IDi,IDgNB,IKi,RAND1||RAND2)。验证通过后,基站计算RES=h2(IDi,IDgNB,IKi,RAND1||RAND2)并将RES发回终端。
终端验证RES的有效性,验证通过后,采用对称加密算法加密需上传的数据Msg获得Ci=ECKi(Msg)并将Ci发送给基站。
基站解密获得Msg。
上述方案可以确保基站和终端双向合法性以及上传数据的机密性。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (6)

1.一种数据的加密方法,其特征在于,包括:
终端设备根据网络设备配置的私钥中的签名信息进行验证;其中,所述签名信息是根据所述网络设备的身份标识,所述网络设备的时间戳确定的;
在验证成功的情况下,所述终端设备根据所述网络设备预配置的公钥对数据进行加密,并发送至所述网络设备。
2.根据权利要求1所述的方法,其特征在于,所述签名信息还包括:所述终端设备的身份标识。
3.一种数据的解密方法,其特征在于,包括:
网络设备在私钥中添加签名信息并发送至终端设备;其中所述签名信息包括:所述网络设备的身份标识,所述网络设备的时间戳;
所述网络设备接收所述终端设备根据公钥加密的数据;
所述网络设备根据所述私钥对所述加密的数据进行解密。
4.根据权利要求1所述的方法,其特征在于,所述签名信息还包括:所述终端设备的身份标识。
5.一种数据的加密装置,其特征在于,包括:
验证模块,用于根据网络设备配置的私钥中的签名信息进行验证;其中,所述签名信息是根据所述网络设备的身份标识,所述网络设备的时间戳确定的;
加密模块,用于在验证成功的情况下,根据所述网络设备预配置的公钥对数据进行加密,并发送至所述网络设备。
6.一种数据的解密模块,其特征在于,包括:
发送模块,用于在私钥中添加签名信息并发送至终端设备;其中所述签名信息包括:所述网络设备的身份标识,所述网络设备的时间戳;
接收模块,用于接收所述终端设备根据公钥加密的数据;
解密模块,用于根据所述私钥对所述加密的数据进行解密。
CN202110470566.0A 2021-04-28 2021-04-28 数据的加密、解密方法及装置 Pending CN115250180A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202110470566.0A CN115250180A (zh) 2021-04-28 2021-04-28 数据的加密、解密方法及装置
PCT/CN2022/073721 WO2022227739A1 (zh) 2021-04-28 2022-01-25 数据的加密方法、解密方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110470566.0A CN115250180A (zh) 2021-04-28 2021-04-28 数据的加密、解密方法及装置

Publications (1)

Publication Number Publication Date
CN115250180A true CN115250180A (zh) 2022-10-28

Family

ID=83696388

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110470566.0A Pending CN115250180A (zh) 2021-04-28 2021-04-28 数据的加密、解密方法及装置

Country Status (2)

Country Link
CN (1) CN115250180A (zh)
WO (1) WO2022227739A1 (zh)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6613909B2 (ja) * 2016-01-15 2019-12-04 富士通株式会社 相互認証方法、認証装置および認証プログラム
LU93024B1 (de) * 2016-04-11 2017-11-08 Phoenix Contact Gmbh & Co Kg Intellectual Property Licenses & Standards Verfahren und Anordnung zum Aufbauen einer sicheren Kommunikation zwischen einer ersten Netzwerkeinrichtung (Initiator) und einer zweiten Netzwerkeinrichtung (Responder)
CN107579999A (zh) * 2017-10-17 2018-01-12 山东渔翁信息技术股份有限公司 数据来源设备的认证方法、装置和网络设备
CN109729523B (zh) * 2017-10-31 2021-02-23 华为技术有限公司 一种终端联网认证的方法和装置
CN107733645B (zh) * 2017-11-28 2021-03-19 苏州朗捷通智能科技有限公司 加密通信认证方法和系统

Also Published As

Publication number Publication date
WO2022227739A1 (zh) 2022-11-03

Similar Documents

Publication Publication Date Title
JP6812571B2 (ja) V2x通信装置、及びそのデータ通信方法
Liu et al. PPTM: A privacy-preserving trust management scheme for emergency message dissemination in space–air–ground-integrated vehicular networks
EP2727283B1 (en) Apparatus, method and system for creating and maintaining multicast data encryption key in machine to machine communication system
EP3520363B1 (en) Apparatuses and methods for providing and managing security information in communication system
US10862684B2 (en) Method and apparatus for providing service on basis of identifier of user equipment
US11368841B2 (en) Network access authentication method and device
US8438388B2 (en) Method and apparatus for distributing certificate revocation lists (CRLs) to nodes in an ad hoc network
US20140007207A1 (en) Method and device for generating local interface key
CN104247369A (zh) 用于使设备标识符变模糊的方法和设备
KR20120055683A (ko) 표현들의 소유권을 유도, 통신 및/또는 검증하기 위한 방법들 및 장치
CN105493438A (zh) 用于社交联网中对信任的匿名认证的方法和装置
CN102137397A (zh) 机器类型通信中基于共享群密钥的认证方法
JP2013157693A (ja) 暗号通信システム、通信装置、鍵配布装置、暗号通信方法
JP2012227672A (ja) 車車/路車間通信システム
CN103299661A (zh) 用于对等无线通信网络的增强系统接入控制的方法和装置
CN111787533A (zh) 加密方法、切片管理方法、终端及接入和移动性管理实体
Wang et al. A practical authentication framework for VANETs
US8752126B2 (en) Method for enhancing the security of the multicast or broadcast system
CN101616407B (zh) 预认证的方法和认证系统
Wu et al. RSU-based message authentication for vehicular ad-hoc networks
CN102316450A (zh) M2m通信的基于组的认证方法及其设备
WO2021139552A1 (zh) 一种校验中继用户设备的方法及装置
CN103929313A (zh) 智能用电网络频道分配与双层授权的方法
CN111107550A (zh) 5g终端设备双通道接入注册方法、设备及存储介质
CN115250180A (zh) 数据的加密、解密方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination