CN115567195A - 安全通信方法、客户端、服务器、终端和网络侧设备 - Google Patents

安全通信方法、客户端、服务器、终端和网络侧设备 Download PDF

Info

Publication number
CN115567195A
CN115567195A CN202110742687.6A CN202110742687A CN115567195A CN 115567195 A CN115567195 A CN 115567195A CN 202110742687 A CN202110742687 A CN 202110742687A CN 115567195 A CN115567195 A CN 115567195A
Authority
CN
China
Prior art keywords
server
client
public key
key
current
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110742687.6A
Other languages
English (en)
Inventor
周俨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile IoT Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile IoT Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile IoT Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN202110742687.6A priority Critical patent/CN115567195A/zh
Publication of CN115567195A publication Critical patent/CN115567195A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Abstract

本申请提供了一种安全通信方法、客户端、服务器、终端和网络侧设备,涉及通信技术领域。应用于客户端的所述方法包括:获取客户端的私钥、客户端的公钥以及预先存储的服务器的当前公钥,根据所述客户端的私钥和所述服务器的当前公钥生成所述客户端的共享秘密密钥;向所述服务器发送用于请求与所述服务器建立通讯连接的请求报文;其中,所述请求报文包括:所述客户端的公钥、以及根据所述共享秘密密钥加密的客户端的设备有效信息;接收所述服务器解密所述设备有效信息后的响应报文,以建立所述客户端和所述服务器之间的安全通信通道。本申请针对物联网场景直接内置服务器公钥的方案来认证服务器的身份防止中间人攻击,提升了通信的安全性。

Description

安全通信方法、客户端、服务器、终端和网络侧设备
技术领域
本申请涉及通信技术领域,特别涉及一种安全通信方法、客户端、服务器、终端和网络侧设备。
背景技术
随着物联网技术的快速更迭,常见通信模块的运算能力也得到了大幅度的提升。而随着大量的物联网设备接入了互联网之中,各式各样的安全需求也都接踵而至。而诸如远程水电抄表、消防监控等安全要求较高的行业更需要保证通信的机密性、完整性、不可抵赖性和身份可验证。
一方面,现有技术的基于物联网平台的轻量级设备认证及共享密钥协商方法,该方案采用传递服务器公钥的方式无法避免被中间人攻击,无法确保数据的真实性;现有技术的基于窄带物联网(Narrow Band Internet of Things,NB-IoT)的物联网安全通信装置,该方案类似于基于共享密钥(PSK)的方案对于平台的密钥维护是非常繁琐的,并且并没有针对窄带(NB)网络有实际的流程与性能优化。
另一方面,常见的安全传输层协议(TLS)的方案消耗对于部分设备尤其是窄带NB设备是难以承受的。更进一步的PSK+数据包传输层安全协议(Datagram Transport LayerSecurity,DTLS)的方案针对NB网络的网际互连协议(IP)老化后需要重协商问题依然是难以规避的,提前的PSK部署到各个通信模块上也是很繁琐的流程。而由各个厂商自行拟定的加密方案绝大多数从密码学范畴上就无法真正的实现安全可靠。
发明内容
本申请实施例提供一种安全通信方法、客户端、服务器、终端和网络侧设备,以解决现有的物联网签证技术和密钥协商技术大多不满足客户端在NB网络资源等通信环境下受限的问题。
为了解决上述技术问题,本申请采用如下技术方案:
本申请实施例提供一种安全通信方法,应用于客户端,包括:
获取客户端的私钥、客户端的公钥以及预先存储的服务器的当前公钥,根据所述客户端的私钥和所述服务器的当前公钥生成所述客户端的共享秘密密钥;
向所述服务器发送用于请求与所述服务器建立通讯连接的请求报文;其中,所述请求报文包括:所述客户端的公钥、以及根据所述共享秘密密钥加密的客户端的设备有效信息;
接收所述服务器解密所述设备有效信息后的响应报文,以建立所述客户端和所述服务器之间的安全通信通道。
可选的,生成所述客户端的共享秘密密钥,还包括:
获取客户端的第一目标参数;
根据所述客户端的私钥、所述服务器的当前公钥以及所述第一目标参数,生成所述客户端的共享秘密密钥。
可选的,所述响应报文包括:
根据所述服务器的当前公钥相对应的私钥对解析结果进行签名的响应报文;其中,所述解析结果是所述服务器解密所述设备有效信息后的结果。
可选的,接收所述服务器解密所述设备有效信息后的响应报文,以建立所述客户端和所述服务器之间的安全通信通道,包括:
根据所述服务器的当前公钥对所述响应报文进行验证签名;
若验证签名失败,则停止建立所述客户端和所述服务器之间的安全通信通道。
可选的,建立所述客户端和所述服务器之间的安全通信通道之后,还包括:
向所述服务器发送用于询问所述服务器是否需要更新当前公钥的询问请求报文,所述询问请求报文至少包括所述服务器的当前公钥信息;
若所述服务器需要更新所述当前公钥,则接收所述服务器发送的更新当前公钥的响应报文,所述响应报文至少包括所述服务器的新的公钥;
将所述服务器的新的公钥替换所述服务器的当前公钥,并根据所述客户端的私钥和所述服务器的新的公钥生成所述客户端的新的共享秘密密钥,并执行向所述服务器发送用于请求与所述服务器建立通讯连接的请求报文的步骤。
可选的,建立所述客户端和所述服务器之间的安全通信通道之后,还包括:
接收所述服务器发送的更新当前公钥的响应报文,所述响应报文至少包括所述服务器的临时公钥;
将所述服务器的临时公钥替换所述服务器的当前公钥,并根据所述客户端的私钥和所述服务器的临时公钥,并根据所述客户端的私钥和所述服务器的临时公钥生成所述客户端的新的共享秘密密钥,并执行一次向所述服务器发送用于请求与所述服务器建立通讯连接的请求报文的步骤。
本申请实施例还提供一种安全通信方法,应用于服务器,包括:
接收客户端发送的用于请求与所述服务器建立通讯连接的请求报文;其中,所述请求报文包括:客户端的公钥、以及根据所述客户端的共享秘密密钥加密的客户端的设备有效信息;
根据与所述客户端预先存储的服务器的当前公钥相对应的私钥和所述客户端的公钥生成所述服务器的当前共享秘密密钥;
向所述客户端发送响应报文,以建立所述客户端和所述服务器之间的安全通信通道;
其中,所述响应报文包括:根据所述服务器的当前公钥相对应的私钥对解析结果进行签名的响应报文;所述解析结果是所述服务器根据当前共享秘密密钥解密所述设备有效信息后的结果。
可选的,生成所述服务器的当前共享秘密密钥,还包括:
获取所述服务器的第二目标参数;所述第二目标参数是与所述客户端的第一目标参数匹配相对应的;
根据所述客户端的公钥、所述服务器的当前公钥相对应的私钥以及所述第二目标参数,生成所述客户端的当前共享秘密密钥。
可选的,当客户端和服务器采取约束应用协议时,根据当前共享秘密密钥解密所述设备有效信息,包括:
获取所述约束应用协议中的令牌信息;
根据所述当前共享秘密密钥和所述令牌信息,解密所述设备有效信息。
可选的,建立所述客户端和所述服务器之间的安全通信通道之后,还包括:
接收所述客户端发送的询问所述服务器是否需要更新当前公钥的询问请求报文,所述询问请求报文至少包括所述服务器的当前公钥信息;
若所述服务器需要更新所述当前公钥,则向所述客户端发送更新当前公钥的响应报文,所述响应报文至少包括所述服务器的新的公钥。
可选的,建立所述客户端和所述服务器之间的安全通信通道之后,还包括:
向所述客户端发送的更新当前公钥的响应报文,所述响应报文至少包括所述服务器的临时公钥。
本申请实施例还提供一种客户端,包括:
获取模块,用于获取客户端的私钥、客户端的公钥以及预先存储的服务器的当前公钥,根据所述客户端的私钥和所述服务器的当前公钥生成所述客户端的共享秘密密钥;
第一发送模块,用于向所述服务器发送用于请求与所述服务器建立通讯连接的请求报文;其中,所述请求报文包括:所述客户端的公钥、以及根据所述共享秘密密钥加密的客户端的设备有效信息;
建立模块,用于接收所述服务器解密所述设备有效信息后的响应报文,以建立所述客户端和所述服务器之间的安全通信通道。
本申请实施例还提供一种服务器,包括:
接收模块,用于接收客户端发送的用于请求与所述服务器建立通讯连接的请求报文;其中,所述请求报文包括:客户端的公钥、以及根据所述客户端的共享秘密密钥加密的客户端的设备有效信息;
生成模块,用于根据与所述客户端预先存储的服务器的当前公钥相对应的私钥和所述客户端的公钥生成所述服务器的当前共享秘密密钥;
第二发送模块,用于向所述客户端发送响应报文,以建立所述客户端和所述服务器之间的安全通信通道;
其中,所述响应报文包括:根据所述服务器的当前公钥相对应的私钥对解析结果进行签名的响应报文;所述解析结果是所述服务器根据当前共享秘密密钥解密所述设备有效信息后的结果。
本申请实施例还提供一种终端,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现如上任一项所述的安全通信方法的步骤。
本申请实施例还提供一种网络侧设备,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现如上任一项所述的安全通信方法的步骤。
本申请实施例还提供一种可读存储介质,所述可读存储介质上存储有程序,所述程序被处理器执行时实现如上任一项所述的安全通信方法的步骤。
本申请的有益效果是:
上述技术方案中,应用于客户端的所述方法包括:获取客户端的私钥、客户端的公钥以及服务器的当前公钥,根据所述客户端的私钥和预先存储的所述服务器的当前公钥生成所述客户端的共享秘密密钥;这里,直接将所述服务器的当前公钥预先存储在客户端,提升了通信的安全性;向所述服务器发送用于请求与所述服务器建立通讯连接的请求报文;其中,所述请求报文包括:所述客户端的公钥、以及根据所述共享秘密密钥加密的客户端的设备有效信息;这里,将客户端的设备有效信息加密,再通过服务器解密,可以进一步地提升客户端的安全性;接收所述服务器解密所述设备有效信息后的响应报文,以建立所述客户端和所述服务器之间的安全通信通道。本申请实施例整体的提升了数据通信的安全性。
附图说明
图1表示本申请实施例提供的安全通信方法的流程示意图之一;
图2表示本申请实施例提供的安全通信方法的流程示意图之二;
图3表示本申请实施例提供的安全通信系统的结构示意图;
图4表示本申请实施例提供的客户端的结构示意图;
图5表示本申请实施例提供的服务器的结构示意图;
图6表示本申请实施例提供的终端的框图;
图7为本发明实施例提供的网络侧设备的框图。
具体实施方式
为使本申请要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。在下面的描述中,提供诸如具体的配置和组件的特定细节仅仅是为了帮助全面理解本申请的实施例。因此,本领域技术人员应该清楚,可以对这里描述的实施例进行各种改变和修改而不脱离本申请的范围和精神。另外,为了清楚和简洁,省略了对已知功能和构造的描述。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。
在本申请的各种实施例中,应理解,下述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
本申请针对现有的物联网签证技术和密钥协商技术大多不满足客户端在NB网络资源等通信环境下受限的问题,提供一种安全通信方法、客户端、服务器、终端和网络侧设备。
如图1所示,本申请实施例提供一种安全通信方法,应用于客户端,包括:
步骤100,获取客户端的私钥、客户端的公钥以及预先存储的服务器的当前公钥,根据所述客户端的私钥和所述服务器的当前公钥生成所述客户端的共享秘密密钥;
该实施例中,获取客户端的私钥、客户端的公钥,可以通过客户端的通信模块自动生成该客户端的非对称密钥对,即客户端的私钥C0、客户端的公钥C1,这里,获取的存储的服务器的当前公钥S1为厂商预置一可选密钥对中的公钥,即服务器的当前公钥S1可以预先存储在客户端的存储器中,而无需服务器将当前公钥S1发送给客户端,如此可以防止第三方截获到服务器的当前公钥S1,从而提升通信安全性。这里,所述客户端通过客户端的私钥C0与当前公钥S1生成共享秘密密钥KEY0。
步骤200,向所述服务器发送用于请求与所述服务器建立通讯连接的请求报文;其中,所述请求报文包括:所述客户端的公钥、以及根据所述共享秘密密钥加密的客户端的设备有效信息;
该实施例中,根据所述共享秘密密钥KEY0加密客户端的设备有效信息Identity,并将加密后的设备有效信息Identity和所述客户端的公钥C1一起打包为与所述服务器建立通讯连接的请求报文,并发送至服务器。其中,所述设备有效信息Identity包括但不限于:唯一标识码如国际移动设备识别码(IMEI)、产品序列号(SN)等。所述设备有效信息Identity还可以包括服务器端创建的产品信息。
其中,所述设备有效信息Identity的加密可直接采用:使用CBC-MAC计数器(CCM;Counter With CBC-MAC)、伽罗瓦/计数器模式(GCM;Galois/Counter Mode)等使用关联数据进行身份验证加密(AEAD;Authenticated Encryption with associated Data)加密模式,能够同时保证数据机密性和完整性并减轻使用者的负担;所述共享秘密密钥KEY0可作为其密钥输入。
步骤300,接收所述服务器解密所述设备有效信息后的响应报文,以建立所述客户端和所述服务器之间的安全通信通道。
需要说明的是,若服务器在接收到客户端发送的用于请求与服务器建立通信的请求报文后,并同意与之建立通信,则服务器就会发送给客户端同意建立通信的响应报文(此响应报文是采用服务器的当前共享秘密密钥进行加密的),如此即可建立客户端和服务器之间的安全通信通道,客户端和服务器在后续进行通信时,也均采用共享秘密密钥对发送的报文进行加密,并根据共享秘密密钥对接收的报文进行解密。
更进一步,对于NB网络存在IP老化的场景,可以选择取共享密钥KEY0的哈希值作为之后通信的设备标识,该设备标识可放置于报文特定位置以作识别,避免IP或端口改变后的重协商流程。
综上所述,本实施例提供的方法,通过在服务器同意与客户端建立通信时,客户端就可以获取预先存储的服务器的当前公钥,而无需服务器再向客户端发送其当前公钥,解决了现有的通信通道建立方法造成客户端和服务器之间通信信息的完全泄漏,无法保证通信安全性等问题,本发明实施例能够避免第三方的攻击,提升通信的安全性。
本申请针对物联网场景直接内置服务器公钥的方案来认证服务器的身份防止中间人攻击,本申请还增加了客户端的设备有效信息的验证,进一步地保证客户端通信的安全性。另外针对NB网络的IP老化后需要重协商的问题进行了特别的优化。
可选的,所述步骤100中生成所述客户端的共享秘密密钥,还包括:
获取客户端的第一目标参数;
根据所述客户端的私钥、所述服务器的当前公钥以及所述第一目标参数,生成所述客户端的共享秘密密钥。
该实施例中,可以加入第一目标参数生成所述客户端的共享秘密密钥,所述第一目标参数优选为随机数作为生成对话密钥的输入参数;即,客户端通过所述客户端的私钥C0、所述当前公钥S1、以及加入随机数R0生成共享秘密密钥KEY01;这里,将设备有效信息Identity通过KEY01加密后,和客户端的公钥C1、随机数R0一起打包向服务器发起连接请求。
需要说明的是,所述响应报文包括:
根据所述服务器的当前公钥S1相对应的私钥S0对解析结果进行签名的响应报文;其中,所述解析结果是所述服务器解密所述设备有效信息Identity后的结果。这里,通过服务器签名后,使得客户端进行验签,更进一步加强了客户端和服务器之间通信的安全性。
可选的,所述步骤300,包括:
根据所述服务器的当前公钥对所述响应报文进行验证签名;
若验证签名失败,则停止建立所述客户端和所述服务器之间的安全通信通道。
该实施例中,由于所述响应报文是服务器采用所述服务器的当前公钥S1相对应的私钥S0进行签名的,故这里可以根据所述服务器的当前公钥对所述响应报文进行验证签名,若验证签名成功,则建立所述客户端和所述服务器之间的安全通信通道,反之,则停止建立所述客户端和所述服务器之间的安全通信通道,进一步提升了客户端和服务器之间通信的安全性。
可选的,所述步骤300之后,还包括:
步骤310,向所述服务器发送用于询问所述服务器是否需要更新当前公钥的询问请求报文,所述询问请求报文至少包括所述服务器的当前公钥信息;
这里,所述服务器的当前公钥信息可以包括:服务器的当前公钥S1或服务器的当前公钥S1的序列号等信息。序列号可以为当前公钥的序号、代号等。
步骤320,若所述服务器需要更新所述当前公钥,则接收所述服务器发送的更新当前公钥的响应报文,所述响应报文至少包括所述服务器的新的公钥;
需要说明的是,所述服务器的新的公钥可以从与服务器连接的数据密钥库SDB获取的新的密钥对A,并将新的密钥对的公钥S11加入所述响应报文中,用作公钥的更新,在此,通过使用新的密钥对A/B可以保证前向安全性。
步骤330,将所述服务器的新的公钥替换所述服务器的当前公钥,并根据所述客户端的私钥和所述服务器的新的公钥生成所述客户端的新的共享秘密密钥,并执行步骤200和步骤300。
在另一可选实施例中,所述步骤300之后,还包括:
步骤340,接收所述服务器发送的更新当前公钥的响应报文,所述响应报文至少包括所述服务器的临时公钥;
该实施例中,无需向服务器发送询问请求报文,而可以直接接收临时生成另一对新的密钥对B,该密钥对并不被通信双方保存,仅此次通信过程中有效。
步骤350,将所述服务器的临时公钥替换所述服务器的当前公钥,并根据所述客户端的私钥和所述服务器的临时公钥,并根据所述客户端的私钥和所述服务器的临时公钥生成所述客户端的新的共享秘密密钥,并执行步骤200和步骤300。
综上所述,本申请通过预置统一服务器公钥,在连接流程加密有效信息的方案,在极度简化密钥繁杂的部署流程的同时,也免除了平台对不同预置密钥的管理。本申请的极简的连接交互流程,仅需一次连接便可在密码学角度保证通信的机密性、完整性、不可抵赖性和身份验证。
如图2所示,本申请实施例还提供一种安全通信方法,应用于服务器,包括:
步骤400,接收客户端发送的用于请求与所述服务器建立通讯连接的请求报文;其中,所述请求报文包括:客户端的公钥、以及根据所述客户端的共享秘密密钥加密的客户端的设备有效信息;
步骤500,根据与所述客户端预先存储的服务器的当前公钥相对应的私钥和所述客户端的公钥生成所述服务器的当前共享秘密密钥;
这里,根据与所述客户端预先存储的服务器的当前公钥S1相对应的私钥S0与收到的客户端的公钥C0的公钥生成共享秘密密钥KEY1,所述KEY1与所述KEY0是相同的,故可以通过所述KEY1解密设备有效信息Identity。
具体地,可以在服务器端生成一系列的不同密钥对作为平台的数据密钥库SDB;所述服务器可以部署多种加密密钥算法供通信模块可选:RSA512、RSA1024、SECP160K1、SECP384R1、SECT113R1等。
步骤600,向所述客户端发送响应报文,以建立所述客户端和所述服务器之间的安全通信通道;
其中,所述响应报文包括:根据所述服务器的当前公钥相对应的私钥对解析结果进行签名的响应报文;所述解析结果是所述服务器根据当前共享秘密密钥解密所述设备有效信息后的结果。
可选的,所述步骤500中,生成所述服务器的当前共享秘密密钥,还包括:
步骤510,获取所述服务器的第二目标参数;所述第二目标参数是与所述客户端的第一目标参数匹配相对应的;
步骤520,根据所述客户端的公钥、所述服务器的当前公钥相对应的私钥以及所述第二目标参数,生成所述客户端的当前共享秘密密钥。
该实施例中,由于客户端发送了第一目标参数,所述第一目标参数优选为随机数作为生成对话密钥的输入参数,这里,获取的第二目标参数为与第一目标参数的随机数相对应的随机数,步骤520可以生成所述客户端的当前共享秘密密钥KEY1,保证了与客户端通信的一致性。
可选的,所述步骤600之后,还包括:
步骤610,接收所述客户端发送的询问所述服务器是否需要更新当前公钥的询问请求报文,所述询问请求报文至少包括所述服务器的当前公钥信息;
步骤620,若所述服务器需要更新所述当前公钥,则向所述客户端发送更新当前公钥的响应报文,所述响应报文至少包括所述服务器的新的公钥。
综上所述,可以从与服务器连接的数据密钥库SDB获取一对新的密钥对A,并将新的密钥对的公钥S11加入有效信息中,用作公钥的更新;本实施例提供的方法,还可在服务器和客户端建立通信通道过程中,客户端询问服务器是否更新服务器的当前公钥,服务器可以根据询问请求而将更新的公钥发送给客户端,以供客户端对服务器的当前公钥进行更新。这样,服务器可以在和客户端建立通信通道过程中而更新其当前公钥和私钥,从而保证了通信的安全性。
可选的,所述步骤600之后,还包括:
步骤630,向所述客户端发送的更新当前公钥的响应报文,所述响应报文至少包括所述服务器的临时公钥。
该实施例中,可以临时生成一对新的密钥对B,该密钥对并不被通信双方保存,仅此次通信过程中有效,此后,使用新的A/B的私钥,通过使用新的密钥对A/B可以保证前向安全性。
当然,若通信过程中包括:第一目标参数,可以将第一目标参数(随机数0)或第二目标参数(随机数1)、C1公钥、生成的共享密钥KEY1进行通信。
可选的,当客户端和服务器采取约束应用协议时,根据当前共享秘密密钥解密所述设备有效信息,包括:
获取所述约束应用协议中的令牌(TOKEN)信息;
根据所述当前共享秘密密钥和所述令牌信息,解密所述设备有效信息。
该实施例中,在NB网络中出于低消耗的考虑,通常选取基于无连接的传输协议(UDP)的约束应用协议(COAP协议,COAP协议是一种在物联网世界的类web协议)作为方案。特别的,我们可以将COAP协议中的令牌(TOKEN)信息设置为KEY1的哈希值生成的数据,一次有效连接中服务器可据此直接定位到具体的通信设备。一般成熟的COAP方案服务器后台大多基于通信对方的IP和端口来确定设备,采用此方案可避免该问题带来的重新协商开销,提高了客户端和服务器之间的通信效率。
在一具体实施例中,如图3所示,图3表示安全通信系统的结构示意图,包括客户端1、与所述客户端1连接服务器2,以及与所述服务器2连接的数据密钥库(SDB)3。该系统包括中所述客户端1与所述服务器2之间通过NB网络或其他无线网络连接;所述数据密钥库SDB在所述服务器生成一系列的不同算法的密钥,当然,同一算法也可具备多个可选的密钥对备用。
所述客户端1依据自身运算能力的差异选取合适自身的算法在出厂时预置对应的密钥,该密钥是从平台可选密钥库SDB中获取密钥对中的当前公钥S1。该步骤类似于浏览器内置CA根证书,允许同一个产品内置同一个当前公钥S1,在简化对所述客户端1密钥部署的同时,对于安全性能并没有任何影响。所述客户端1在启动后,通过算法生成模块自身的密钥对(C0和C1),该算法必须与内置的平台当前公钥S1采用的生成算法一致。每次启动后,所述客户端1生成的密钥对(C0和C1)都将重新生成。
所述客户端1通过C0、S1、第一目标参数(随机数0)生成可用的临时密钥KEY0。然后通过KEY0加密模块的唯一标识、产品信息等生成设备有效信息Identity。将根据KEY0加密后的Identity发送给平台请求连接。可选的,可以将报文用私钥C1签名,防止被篡改。
所述服务器2接收到连接请求后,从请求报文中获取到与S1的标识后在SDB中查找到对应的私钥S0,通过S0、随机数0和C1生成对应的临时密钥KEY0。然后对Identity解密后获取对应的模块唯一标识、产品信息的等信息进行对应操作,以对应至具体的客户端1。其中,所述服务器2依据第二目标参数(随机数1)、S0和C1生成新的共享密钥KEY1对Identity加密,并使用S0对相关数据进行签名,打包成响应报文发送至所述客户端1。
所述客户端1接收到服务器2的发送的响应报文后,使用S1验签。当然,若所述服务器发送的响应报文包括所述服务器的新的公钥S11,那么接下来的使用S11与服务器进行通信,若所述服务器的新的公钥是临时的,则仅本次连接有效,则还将在下次连接时替换S0密钥。
双方协商好共享密钥KEY1后,客户端1可以与服务器2开始正式的业务交互流程。一般的,在之前的握手连接中采用非对称加密方式,在之后的数据业务中采用加密方式。直接基于对称加密算法与消息认证算法的CCM加密认证模式的方案可确保通信双方的消息隐秘与消息不被篡改,可采用KEY1作为其密钥。
综上所述,服务器响应报文中携带新的更新公钥/临时公钥,保证本次后续流程中的通信具有前向安全性,即便服务器数据库密钥泄露,也能保证历史数据不被破解;通过设计,本申请仅需要一次握手连接便可完成握手流程,能大幅的提升较差通信条件下的连接成功概率。另外通过选取共享密钥的特征值作为token的方案避免了NB网络IP老化情景引起的重协商消耗。
如图4所示,本申请实施例提供一种客户端,包括:
获取模块10,用于获取客户端的私钥、客户端的公钥以及预先存储的服务器的当前公钥,根据所述客户端的私钥和所述服务器的当前公钥生成所述客户端的共享秘密密钥;
第一发送模块20,用于向所述服务器发送用于请求与所述服务器建立通讯连接的请求报文;其中,所述请求报文包括:所述客户端的公钥、以及根据所述共享秘密密钥加密的客户端的设备有效信息;
建立模块30,用于接收所述服务器解密所述设备有效信息后的响应报文,以建立所述客户端和所述服务器之间的安全通信通道。
可选的,所述获取模块10包括:
第一获取单元,用于获取客户端的第一目标参数;
第一生成单元,用于根据所述客户端的私钥、所述服务器的当前公钥以及所述第一目标参数,生成所述客户端的共享秘密密钥。
需要说明的是,所述响应报文包括:
根据所述服务器的当前公钥相对应的私钥对解析结果进行签名的响应报文;其中,所述解析结果是所述服务器解密所述设备有效信息后的结果。
可选的,所述建立模块30,包括:
验证单元,用于根据所述服务器的当前公钥对所述响应报文进行验证签名;
第一处理单元,用于若验证签名失败,则停止建立所述客户端和所述服务器之间的安全通信通道。
可选的,所述客户端还包括:
发送单元,用于向所述服务器发送用于询问所述服务器是否需要更新当前公钥的询问请求报文,所述询问请求报文至少包括所述服务器的当前公钥信息;
第一接收单元,用于若所述服务器需要更新所述当前公钥,则接收所述服务器发送的更新当前公钥的响应报文,所述响应报文至少包括所述服务器的新的公钥;
第二处理单元,用于将所述服务器的新的公钥替换所述服务器的当前公钥,并根据所述客户端的私钥和所述服务器的新的公钥生成所述客户端的新的共享秘密密钥,并执行向所述服务器发送用于请求与所述服务器建立通讯连接的请求报文的步骤。
可选的,所述客户端还包括:
第二接收单元,用于接收所述服务器发送的更新当前公钥的响应报文,所述响应报文至少包括所述服务器的临时公钥;
第三处理单元,用于将所述服务器的临时公钥替换所述服务器的当前公钥,并根据所述客户端的私钥和所述服务器的临时公钥,并根据所述客户端的私钥和所述服务器的临时公钥生成所述客户端的新的共享秘密密钥,并执行一次向所述服务器发送用于请求与所述服务器建立通讯连接的请求报文的步骤。
如图5所示,本申请实施例提供一种服务器,包括:
接收模块40,用于接收客户端发送的用于请求与所述服务器建立通讯连接的请求报文;其中,所述请求报文包括:客户端的公钥、以及根据所述客户端的共享秘密密钥加密的客户端的设备有效信息;
生成模块50,用于根据与所述客户端预先存储的服务器的当前公钥相对应的私钥和所述客户端的公钥生成所述服务器的当前共享秘密密钥;
第二发送模块60,用于向所述客户端发送响应报文,以建立所述客户端和所述服务器之间的安全通信通道;
其中,所述响应报文包括:根据所述服务器的当前公钥相对应的私钥对解析结果进行签名的响应报文;所述解析结果是所述服务器根据当前共享秘密密钥解密所述设备有效信息后的结果。
可选的,所述生成模块50包括:
第二获取单元,用于获取所述服务器的第二目标参数;所述第二目标参数是与所述客户端的第一目标参数匹配相对应的;
第二生成单元,用于根据所述客户端的公钥、所述服务器的当前公钥相对应的私钥以及所述第二目标参数,生成所述客户端的当前共享秘密密钥。
可选的,所述服务器包括:
第二获取模块,用于获取所述约束应用协议中的令牌信息;
解密模块,用于根据所述当前共享秘密密钥和所述令牌信息,解密所述设备有效信息。
可选的,所述服务器还包括:
第二接收模块,用于接收所述客户端发送的询问所述服务器是否需要更新当前公钥的询问请求报文,所述询问请求报文至少包括所述服务器的当前公钥信息;
第三发送模块,用于若所述服务器需要更新所述当前公钥,则向所述客户端发送更新当前公钥的响应报文,所述响应报文至少包括所述服务器的新的公钥。
可选的,所述服务器还包括:
第四发送模块,用于向所述客户端发送的更新当前公钥的响应报文,所述响应报文至少包括所述服务器的临时公钥。
本申请实施例还提供一种终端,如图6所示,包括:处理器601、存储器602及存储在所述存储器602上并可在所述处理器601上运行的程序,所述程序被所述处理器601执行时实现如上任一项所述的安全通信方法的步骤。
可选地,所述终端,还包括收发器603,用于在处理器601的控制下接收和发送数据。
其中,在图6中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器601代表的一个或多个处理器和存储器602代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。收发器603可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。处理器601负责管理总线架构和通常的处理,存储器602可以存储处理器601在执行操作时所使用的数据。
本申请实施例还提供一种网络侧设备,如图7所示,包括:处理器701、存储器702及存储在所述存储器702上并可在所述处理器701上运行的程序,所述程序被所述处理器701执行时实现如上任一项所述的安全通信方法的步骤。
可选地,所述网络侧设备,还包括收发器703,用于在处理器701的控制下接收和发送数据。
其中,在图7中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器701代表的一个或多个处理器和存储器702代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发器703可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。处理器701负责管理总线架构和通常的处理,存储器702可以存储处理器701在执行操作时所使用的数据。
本申请实施例还提供一种可读存储介质,所述可读存储介质上存储有程序,所述程序被处理器执行时实现如上任一项所述的安全通信方法的步骤。
其中,所述处理器为上述实施例中所述的网络侧设备和终端中的处理器。所述可读存储介质,包括计算机可读存储介质,如计算机只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等。
进一步需要说明的是,此说明书中所描述的终端包括但不限于智能手机、平板电脑等,且所描述的许多功能部件都被称为模块,以便更加特别地强调其实现方式的独立性。
本申请实施例中,模块可以用软件实现,以便由各种类型的处理器执行。举例来说,一个标识的可执行代码模块可以包括计算机指令的一个或多个物理或者逻辑块,举例来说,其可以被构建为对象、过程或函数。尽管如此,所标识模块的可执行代码无需物理地位于一起,而是可以包括存储在不同位里上的不同的指令,当这些指令逻辑上结合在一起时,其构成模块并且实现该模块的规定目的。
实际上,可执行代码模块可以是单条指令或者是许多条指令,并且甚至可以分布在多个不同的代码段上,分布在不同程序当中,以及跨越多个存储器设备分布。同样地,操作数据可以在模块内被识别,并且可以依照任何适当的形式实现并且被组织在任何适当类型的数据结构内。所述操作数据可以作为单个数据集被收集,或者可以分布在不同位置上(包括在不同存储设备上),并且至少部分地可以仅作为电子信号存在于系统或网络上。
在模块可以利用软件实现时,考虑到现有硬件工艺的水平,所以可以以软件实现的模块,在不考虑成本的情况下,本领域技术人员都可以搭建对应的硬件电路来实现对应的功能,所述硬件电路包括常规的超大规模集成(VLSI)电路或者门阵列以及诸如逻辑芯片、晶体管之类的现有半导体或者是其它分立的元件。模块还可以用可编程硬件设备,诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等实现。
上述范例性实施例是参考该些附图来描述的,许多不同的形式和实施例是可行而不偏离本申请精神及教示,因此,本申请不应被建构成为在此所提出范例性实施例的限制。更确切地说,这些范例性实施例被提供以使得本申请会是完善又完整,且会将本申请范围传达给那些熟知此项技术的人士。在该些图式中,组件尺寸及相对尺寸也许基于清晰起见而被夸大。在此所使用的术语只是基于描述特定范例性实施例目的,并无意成为限制用。如在此所使用地,除非该内文清楚地另有所指,否则该单数形式“一”、“一个”和“该”是意欲将该些多个形式也纳入。会进一步了解到该些术语“包含”及/或“包括”在使用于本说明书时,表示所述特征、整数、步骤、操作、构件及/或组件的存在,但不排除一或更多其它特征、整数、步骤、操作、构件、组件及/或其族群的存在或增加。除非另有所示,陈述时,一值范围包含该范围的上下限及其间的任何子范围。
以上所述的是本申请的优选实施方式,应当指出对于本技术领域的普通人员来说,在不脱离本申请所述的原理前提下还可以作出若干改进和润饰,这些改进和润饰也在本申请的保护范围内。

Claims (16)

1.一种安全通信方法,其特征在于,应用于客户端,包括:
获取客户端的私钥、客户端的公钥以及预先存储的服务器的当前公钥,根据所述客户端的私钥和所述服务器的当前公钥生成所述客户端的共享秘密密钥;
向所述服务器发送用于请求与所述服务器建立通讯连接的请求报文;其中,所述请求报文包括:所述客户端的公钥、以及根据所述共享秘密密钥加密的客户端的设备有效信息;
接收所述服务器解密所述设备有效信息后的响应报文,以建立所述客户端和所述服务器之间的安全通信通道。
2.根据权利要求1所述的方法,其特征在于,生成所述客户端的共享秘密密钥,还包括:
获取客户端的第一目标参数;
根据所述客户端的私钥、所述服务器的当前公钥以及所述第一目标参数,生成所述客户端的共享秘密密钥。
3.根据权利要求1所述的方法,其特征在于,所述响应报文包括:
根据所述服务器的当前公钥相对应的私钥对解析结果进行签名的响应报文;其中,所述解析结果是所述服务器解密所述设备有效信息后的结果。
4.根据权利要求1所述的方法,其特征在于,接收所述服务器解密所述设备有效信息后的响应报文,以建立所述客户端和所述服务器之间的安全通信通道,包括:
根据所述服务器的当前公钥对所述响应报文进行验证签名;
若验证签名失败,则停止建立所述客户端和所述服务器之间的安全通信通道。
5.根据权利要求1所述的方法,其特征在于,建立所述客户端和所述服务器之间的安全通信通道之后,还包括:
向所述服务器发送用于询问所述服务器是否需要更新当前公钥的询问请求报文,所述询问请求报文至少包括所述服务器的当前公钥信息;
若所述服务器需要更新所述当前公钥,则接收所述服务器发送的更新当前公钥的响应报文,所述响应报文至少包括所述服务器的新的公钥;
将所述服务器的新的公钥替换所述服务器的当前公钥,并根据所述客户端的私钥和所述服务器的新的公钥生成所述客户端的新的共享秘密密钥,并执行向所述服务器发送用于请求与所述服务器建立通讯连接的请求报文的步骤。
6.根据权利要求1所述的方法,其特征在于,建立所述客户端和所述服务器之间的安全通信通道之后,还包括:
接收所述服务器发送的更新当前公钥的响应报文,所述响应报文至少包括所述服务器的临时公钥;
将所述服务器的临时公钥替换所述服务器的当前公钥,并根据所述客户端的私钥和所述服务器的临时公钥,并根据所述客户端的私钥和所述服务器的临时公钥生成所述客户端的新的共享秘密密钥,并执行一次向所述服务器发送用于请求与所述服务器建立通讯连接的请求报文的步骤。
7.一种安全通信方法,其特征在于,应用于服务器,包括:
接收客户端发送的用于请求与所述服务器建立通讯连接的请求报文;其中,所述请求报文包括:客户端的公钥、以及根据所述客户端的共享秘密密钥加密的客户端的设备有效信息;
根据与所述客户端预先存储的服务器的当前公钥相对应的私钥和所述客户端的公钥生成所述服务器的当前共享秘密密钥;
向所述客户端发送响应报文,以建立所述客户端和所述服务器之间的安全通信通道;
其中,所述响应报文包括:根据所述服务器的当前公钥相对应的私钥对解析结果进行签名的响应报文;所述解析结果是所述服务器根据当前共享秘密密钥解密所述设备有效信息后的结果。
8.根据权利要求7所述的方法,其特征在于,生成所述服务器的当前共享秘密密钥,还包括:
获取所述服务器的第二目标参数;所述第二目标参数是与所述客户端的第一目标参数匹配相对应的;
根据所述客户端的公钥、所述服务器的当前公钥相对应的私钥以及所述第二目标参数,生成所述客户端的当前共享秘密密钥。
9.根据权利要求7所述的方法,其特征在于,当客户端和服务器采取约束应用协议时,
根据当前共享秘密密钥解密所述设备有效信息,包括:
获取所述约束应用协议中的令牌信息;
根据所述当前共享秘密密钥和所述令牌信息,解密所述设备有效信息。
10.根据权利要求7所述的方法,其特征在于,建立所述客户端和所述服务器之间的安全通信通道之后,还包括:
接收所述客户端发送的询问所述服务器是否需要更新当前公钥的询问请求报文,所述询问请求报文至少包括所述服务器的当前公钥信息;
若所述服务器需要更新所述当前公钥,则向所述客户端发送更新当前公钥的响应报文,所述响应报文至少包括所述服务器的新的公钥。
11.根据权利要求7所述的方法,其特征在于,建立所述客户端和所述服务器之间的安全通信通道之后,还包括:
向所述客户端发送的更新当前公钥的响应报文,所述响应报文至少包括所述服务器的临时公钥。
12.一种客户端,其特征在于,包括:
获取模块,用于获取客户端的私钥、客户端的公钥以及预先存储的服务器的当前公钥,根据所述客户端的私钥和所述服务器的当前公钥生成所述客户端的共享秘密密钥;
第一发送模块,用于向所述服务器发送用于请求与所述服务器建立通讯连接的请求报文;其中,所述请求报文包括:所述客户端的公钥、以及根据所述共享秘密密钥加密的客户端的设备有效信息;
建立模块,用于接收所述服务器解密所述设备有效信息后的响应报文,以建立所述客户端和所述服务器之间的安全通信通道。
13.一种服务器,其特征在于,包括:
接收模块,用于接收客户端发送的用于请求与所述服务器建立通讯连接的请求报文;其中,所述请求报文包括:客户端的公钥、以及根据所述客户端的共享秘密密钥加密的客户端的设备有效信息;
生成模块,用于根据与所述客户端预先存储的服务器的当前公钥相对应的私钥和所述客户端的公钥生成所述服务器的当前共享秘密密钥;
第二发送模块,用于向所述客户端发送响应报文,以建立所述客户端和所述服务器之间的安全通信通道;
其中,所述响应报文包括:根据所述服务器的当前公钥相对应的私钥对解析结果进行签名的响应报文;所述解析结果是所述服务器根据当前共享秘密密钥解密所述设备有效信息后的结果。
14.一种终端,其特征在于,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现如权利要求1至6中任一项所述的安全通信方法的步骤。
15.一种网络侧设备,其特征在于,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现如权利要求7至11中任一项所述的安全通信方法的步骤。
16.一种可读存储介质,其特征在于,所述可读存储介质上存储有程序,所述程序被处理器执行时实现如权利要求1至6中任一项所述的安全通信方法的步骤或如权利要求7至11中任一项所述的安全通信方法的步骤。
CN202110742687.6A 2021-07-01 2021-07-01 安全通信方法、客户端、服务器、终端和网络侧设备 Pending CN115567195A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110742687.6A CN115567195A (zh) 2021-07-01 2021-07-01 安全通信方法、客户端、服务器、终端和网络侧设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110742687.6A CN115567195A (zh) 2021-07-01 2021-07-01 安全通信方法、客户端、服务器、终端和网络侧设备

Publications (1)

Publication Number Publication Date
CN115567195A true CN115567195A (zh) 2023-01-03

Family

ID=84737706

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110742687.6A Pending CN115567195A (zh) 2021-07-01 2021-07-01 安全通信方法、客户端、服务器、终端和网络侧设备

Country Status (1)

Country Link
CN (1) CN115567195A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117573390A (zh) * 2023-11-20 2024-02-20 航天信息(广东)有限公司 一种数据处理方法、云端、客户端及数据处理系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105141568A (zh) * 2014-05-28 2015-12-09 腾讯科技(深圳)有限公司 安全通信通道建立方法及系统、客户端和服务器
CN105656624A (zh) * 2016-02-29 2016-06-08 浪潮(北京)电子信息产业有限公司 一种客户端、服务器、数据传输方法与系统
CN106603485A (zh) * 2016-10-31 2017-04-26 美的智慧家居科技有限公司 密钥协商方法及装置
CN111079163A (zh) * 2019-12-16 2020-04-28 国网山东省电力公司威海市文登区供电公司 加解密信息系统
US20200211004A1 (en) * 2017-07-27 2020-07-02 Nanyang Technological University Method of performing authentication for a transaction and a system thereof
CN111585749A (zh) * 2016-10-26 2020-08-25 阿里巴巴集团控股有限公司 数据传输方法、装置、系统及设备
CN112118568A (zh) * 2019-06-21 2020-12-22 华为技术有限公司 一种设备身份鉴权的方法及设备

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105141568A (zh) * 2014-05-28 2015-12-09 腾讯科技(深圳)有限公司 安全通信通道建立方法及系统、客户端和服务器
CN105656624A (zh) * 2016-02-29 2016-06-08 浪潮(北京)电子信息产业有限公司 一种客户端、服务器、数据传输方法与系统
CN111585749A (zh) * 2016-10-26 2020-08-25 阿里巴巴集团控股有限公司 数据传输方法、装置、系统及设备
CN106603485A (zh) * 2016-10-31 2017-04-26 美的智慧家居科技有限公司 密钥协商方法及装置
US20200211004A1 (en) * 2017-07-27 2020-07-02 Nanyang Technological University Method of performing authentication for a transaction and a system thereof
CN112118568A (zh) * 2019-06-21 2020-12-22 华为技术有限公司 一种设备身份鉴权的方法及设备
CN111079163A (zh) * 2019-12-16 2020-04-28 国网山东省电力公司威海市文登区供电公司 加解密信息系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117573390A (zh) * 2023-11-20 2024-02-20 航天信息(广东)有限公司 一种数据处理方法、云端、客户端及数据处理系统

Similar Documents

Publication Publication Date Title
US10172000B2 (en) Method and system for managing security keys for user and M2M devices in a wireless communication network environment
US10158991B2 (en) Method and system for managing security keys for user and M2M devices in a wireless communication network environment
CN108650227B (zh) 基于数据报安全传输协议的握手方法及系统
CN110380852B (zh) 双向认证方法及通信系统
CN111052672B (zh) 无证书或预共享对称密钥的安全密钥传输协议
US11303431B2 (en) Method and system for performing SSL handshake
CN106788989B (zh) 一种建立安全加密信道的方法及设备
EP3213488A1 (en) End-to-end service layer authentication
US11736304B2 (en) Secure authentication of remote equipment
KR101688118B1 (ko) 사물인터넷 환경에서의 보안 통신 장치 및 그 방법
KR20010058744A (ko) 통신 프로토콜 운용 방법
CN101170413B (zh) 一种数字证书及其私钥的获得、分发方法及设备
CN104683359A (zh) 一种安全通道建立方法及其数据保护方法和安全通道秘钥更新方法
Li et al. A secure sign-on protocol for smart homes over named data networking
CN113972995B (zh) 一种网络配置方法及装置
CN116132043B (zh) 会话密钥协商方法、装置及设备
CN115567195A (zh) 安全通信方法、客户端、服务器、终端和网络侧设备
CN110855561A (zh) 一种物联网智能网关
CN114707158A (zh) 基于tee的网络通信认证方法以及网络通信认证系统
CN107835196B (zh) 一种基于hdlc的安全通信方法
CN117097487B (zh) 一种利用数字证书认证简化可信执行环境远程认证方法、系统和介质
CN115348578B (zh) 一种接触者追踪方法及装置
WO2001022685A1 (en) Method and arrangement for communications security
CN116017346A (zh) 一种v2x通信方法及系统
CN116761172A (zh) 基于sd-wan的安全网络构建方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination