CN116939599B - 一种面向低性能设备的高速加密通信方法及装置 - Google Patents
一种面向低性能设备的高速加密通信方法及装置 Download PDFInfo
- Publication number
- CN116939599B CN116939599B CN202311046928.9A CN202311046928A CN116939599B CN 116939599 B CN116939599 B CN 116939599B CN 202311046928 A CN202311046928 A CN 202311046928A CN 116939599 B CN116939599 B CN 116939599B
- Authority
- CN
- China
- Prior art keywords
- codebook
- session
- server
- client
- identity verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims abstract description 50
- 238000000034 method Methods 0.000 title claims abstract description 23
- 238000012795 verification Methods 0.000 claims abstract description 111
- 230000004044 response Effects 0.000 claims abstract description 87
- 238000012545 processing Methods 0.000 claims description 20
- 238000004422 calculation algorithm Methods 0.000 claims description 19
- 238000004364 calculation method Methods 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 8
- 230000000694 effects Effects 0.000 claims description 4
- 230000006870 function Effects 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 description 9
- 230000005540 biological transmission Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- QVFWZNCVPCJQOP-UHFFFAOYSA-N chloralodol Chemical compound CC(O)(C)CC(C)OC(O)C(Cl)(Cl)Cl QVFWZNCVPCJQOP-UHFFFAOYSA-N 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000000739 chaotic effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000000135 prohibitive effect Effects 0.000 description 1
- 229920006395 saturated elastomer Polymers 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种面向低性能设备的高速加密通信方法及装置,该方法包括客户端和服务端分别内置初始密码本,用于加密和解密初始身份验证请求,客户端发送身份验证请求至服务端,服务端接收身份验证请求,并根据内置初始密码本解密身份验证请求包,判断是否为客户端的身份验证请求,服务端发送身份验证响应至客户端,客户端接收身份验证响应,并根据内置初始密码本解密身份验证请响应包,判断是否为服务端的身份验证响应和验证短语,客户端动态生成会话密码本;客户端向服务端发送会话密码本更新请求,服务端接收会话密码本更新请求,更新或创建服务端的会话密码本,并向客户端发送会话密码本更新响应,客户端接收会话密码本更新响应,开始正常通信。
Description
技术领域
本发明涉及物联网安全技术领域,尤其涉及一种面向低性能设备的高速加密通信方法。
背景技术
随着物联网技术和互联网技术的日益发展,勒索病毒、工控安全、产线作业都面领着极大的威胁。而物联网生态系统的主要特征之一是安全性。在物联网生态系统的整个流程中,敏感信息通过连接组件从端点传递到分析层。在设计物联网系统时,我们需要遵守适当的安全、安保措施和防火墙,以防止数据被滥用和操纵,破坏物联网生态系统的任何组件最终都会导致整个管道的失败。
在物联网领域,低功耗系统的实现至关重要,因为随着物联网节点的指数级增加,物联网设备注定要更多地分布在边缘处,在靠近用户的边缘端,注定是一个资源有限的环境。实际上,物联网设备通常存储能力基本只有几十MB甚至几MB,CPU频率低,系统千差万别,网络情况不稳定,移动网络网络资费贵,需要尽量减少开销和稳定。在以上这样苛刻的场景下很多加密技术上都望而却步,因此在低性能设备进行高速加密通信,保障设备数据传输过程不被篡改,成为当前物联网领域亟需解决的关键问题。
发明内容
本发明的主要目的在于提出一种面向低性能设备的高速加密通信方法,旨在解决如何如何在低性能设备上进行高速加密通信。
本发明中的低性能设备,泛指CPU处理性能和存储空间有限的计算机设备,在应用至物联网安全技术领域时,低性能设备特指基于低功耗技术设计的CPU处理性能和存储空间有限的物联网设备,其使用BLE、ZigBee、LoRa和NB-IoT等通信技术在低功耗下提供可靠的连接,并且能量收集技术可以从环境中收集能量,以供物联网设备使用。如网关、工业机器人、监控摄像头,以及通过4G、WIFI、蓝牙等连接网络的工业网关、智能音箱、智能家居等。
为实现上述目的,本发明提供的一种面向低性能设备的高速加密通信方法,该方法包括以下步骤:
S1.客户端和服务端分别内置初始密码本,用于加密和解密初始身份验证请求;其中,所述客户端为低性能设备;
S2.客户端发送身份验证请求至服务端,其中,该身份验证请求通过初始密码本加密整个请求报文信息和验证短语作为客户端身份凭证提供给服务端验证;
S3.服务端接收身份验证请求,并根据内置初始密码本解密身份验证请求包,判断是否为客户端的身份验证请求,如果是则执行步骤S4,否则执行步骤S5;
S4.服务端发送身份验证响应至客户端,其中,该身份验证响应通过初始密码本加密整个响应报文信息作为服务端身份凭证提供给客户端验证,然后执行步骤6;
S5.服务端无法识别身份验证请求,身份验证失败,结束处理;
S6.客户端接收身份验证响应,并根据内置初始密码本解密身份验证请响应包,判断是否为服务端的身份验证响应和验证短语,如果是则执行步骤S7,否则执行步骤S8;
S7.客户端动态生成会话密码本,所述会话密码本用于加密会话数据;客户端向服务端发送会话密码本更新请求,然后执行步骤9;
S8.客户端无法识别身份验证响应,身份验证失败,结束处理;
S9.服务端接收会话密码本更新请求,更新或创建服务端的会话密码本,并向客户端发送会话密码本更新响应,然后执行步骤10;
S10.客户端接收会话密码本更新响应,开始正常通信;
S11.客户端周期性生成新的会话密码本,重复步骤S7。
步骤S1中客户端和服务端内置初始密码本,对初始通信请求和响应进行加密传输,所述初始密码本和会话密码本使用不同的算法,所述初始密码本采用真随机数或者安全强度更高的算法生成,所述会话密码本采用伪随机数随机生成;所述身份验证请求为Challenge身份验证请求,验证短语为初始密码本的SHA256哈希摘要。
步骤S7中由客户端周期性生成会话密码本,且针对每个TCP会话生成的不同的会话密码本;客户端生成会话密码本,在低性能设备分布式集群中,每个客户端负责生成各自的会话密码本。
步骤S11中建立的加密通信会话,周期性由客户端生成会话密码本进行通信;对于已建立的会话,会话密码本周期性更新,更新频率通过设置或者协商确定,保障会话前向安全和后向安全。
另一方面,本发明还提供一种面向低性能设备的高速加密通信装置,该装置包括客户端和服务端;其中:
所述客户端为低性能设备,包括:客户端密码本模块,包括初始密码本和会话密码本,所述初始密码本用于加密和解密初始身份验证请求,所述会话密码本用于加密会话数据;客户端身份验证请求模块,用于发送身份验证请求至服务端,其中,该身份验证请求通过初始密码本加密整个请求报文信息和验证短语作为客户端身份凭证提供给服务端验证;客户端身份验证响应模块,用于接收身份验证响应,并根据内置初始密码本解密身份验证请响应包,判断是否为服务端的身份验证响应和验证短语,如果无法识别身份验证响应,身份验证失败,结束处理;密码更新模块,用于动态生成会话密码本,所述会话密码本用于加密会话数据;客户端向服务端发送会话密码本更新请求,接收会话密码本更新响应,开始正常通信,并周期性生成新的会话密码本;
所述服务端包括,服务端密码本模块,包括初始密码本和会话密码本,所述初始密码本用于加密和解密初始身份验证请求,所述会话密码本用于加密会话数据;服务端身份接收模块,用于接收身份验证请求,并根据内置初始密码本解密身份验证请求包,判断是否为客户端的身份验证请求,如果无法识别身份验证请求,身份验证失败,结束处理;服务端身份响应模块,用于发送身份验证响应至客户端,其中,该身份验证响应通过初始密码本加密整个响应报文信息作为服务端身份凭证提供给客户端验证;服务端密码本更新模块,用于接收会话密码本更新请求,更新或创建服务端的会话密码本,并向客户端发送会话密码本更新响应。
所述客户端和服务端内置初始密码本,对初始通信请求和响应进行加密传输,所述初始密码本和会话密码本使用不同的算法,所述初始密码本采用真随机数或者安全强度更高的算法生成,所述会话密码本采用伪随机数随机生成;所述身份验证请求为Challenge身份验证请求,验证短语为初始密码本的SHA256哈希摘要。
由客户端周期性生成会话密码本,且针对每个TCP会话生成的不同的会话密码本;客户端生成会话密码本,在低性能设备分布式集群中,每个客户端负责生成各自的会话密码本。
建立的加密通信会话,周期性由客户端生成会话密码本进行通信;对于已建立的会话,会话密码本周期性更新,更新频率通过设置或者协商确定,保障会话前向安全和后向安全。
另一方面,本发明还提供一种面向低性能设备的高速加密通信设备,包括存储器,用于存储计算机可执行指令或计算机程序;处理器,用于执行所述存储器中存储的计算机可执行指令或者计算机程序时,实现所述的面向低性能设备的高速加密通信方法。
另一方面,本发明还提供一种计算机可读存储介质,存储有计算机可执行指令或者计算机程序,其特征在于,所述计算机可执行指令或者计算机程序被处理器执行时实现所述的面向低性能设备的高速加密通信方法。
本发明的有益效果包括:(1)在低性能设备上,可以在没有硬件加密模块的情况下,简化通信协商流程和密码本生成算法,2-RTT内便可完成身份验证和会话密码本协商,握手协商通信数据量极低,降低了硬件成本,提升了通信数据的加密速度。(2)通过采用C/S架构,由客户端按TCP会话周期性生成会话密码本,同时已建立的会话周期性的更新会话密码本,既提高了会话安全性,也降低了服务端CPU的计算压力。
附图说明
图1为本发明的方法流程图。
具体实施方式
本发明中的低性能设备,泛指CPU处理性能和存储空间有限的计算机设备,在应用至物联网安全技术领域时,低性能设备特指基于低功耗技术设计的CPU处理性能和存储空间有限的物联网设备,其使用BLE、ZigBee、LoRa和NB-IoT等通信技术在低功耗下提供可靠的连接,并且能量收集技术可以从环境中收集能量,以供物联网设备使用。如网关、工业机器人、监控摄像头,以及通过4G、WIFI、蓝牙等连接网络的工业网关、智能音箱、智能家居等。
本发明提供的一种面向低性能设备的高速加密通信方法,该方法包括以下步骤:
S1.客户端和服务端分别内置初始密码本,用于加密和解密初始身份验证请求;其中,所述客户端为低性能设备;
S2.客户端发送身份验证请求至服务端,其中,该身份验证请求通过初始密码本加密整个请求报文信息和验证短语作为客户端身份凭证提供给服务端验证;
S3.服务端接收身份验证请求,并根据内置初始密码本解密身份验证请求包,判断是否为客户端的身份验证请求,如果是则执行步骤S4,否则执行步骤S5;
S4.服务端发送身份验证响应至客户端,其中,该身份验证响应通过初始密码本加密整个响应报文信息作为服务端身份凭证提供给客户端验证,然后执行步骤6;
S5.服务端无法识别身份验证请求,身份验证失败,结束处理;
S6.客户端接收身份验证响应,并根据内置初始密码本解密身份验证请响应包,判断是否为服务端的身份验证响应和验证短语,如果是则执行步骤S7,否则执行步骤S8;
S7.客户端动态生成会话密码本,所述会话密码本用于加密会话数据;客户端向服务端发送会话密码本更新请求,然后执行步骤9;
S8.客户端无法识别身份验证响应,身份验证失败,结束处理;
S9.服务端接收会话密码本更新请求,更新或创建服务端的会话密码本,并向客户端发送会话密码本更新响应,然后执行步骤10;
S10.客户端接收会话密码本更新响应,开始正常通信;
S11.客户端周期性生成新的会话密码本,重复步骤S7。
步骤S1中客户端和服务端内置初始密码本,对初始通信请求和响应进行加密传输,所述初始密码本和会话密码本使用不同的算法,所述初始密码本采用真随机数或者安全强度更高的算法生成,所述会话密码本采用伪随机数随机生成;所述身份验证请求为Challenge身份验证请求,验证短语为初始密码本的SHA256哈希摘要。上述步骤中,所述客户端为低性能设备,如CPU处理性能和存储空间有限的网关、工业机器人、监控摄像头、工业网关、智能音箱、智能家居设备,也可以是部署在低性能设备上的程序;上述步骤中,所述服务端无特别限制,包括所有具有固定的IP地址,为网络用户提供服务的节点,可以是硬件设备或软件服务;上述客户端与服务端构成C/S网络架构。
步骤S7中由客户端周期性生成会话密码本,且针对每个TCP会话生成的不同的会话密码本;客户端生成会话密码本,在低性能设备分布式集群中,每个客户端负责生成各自的会话密码本。
步骤S11中建立的加密通信会话,周期性由客户端生成会话密码本进行通信;对于已建立的会话,会话密码本周期性更新,更新频率通过设置或者协商确定,保障会话前向安全和后向安全。
在物理学中,熵(entropy)是一个描述系统混乱程度的物理量,熵越大说明系统越无序、越混乱,不确定性越大。在Linux内核中采用熵来描述数据的随机性。为了能产生足够高效随机数,Linux系统维护了一个专门用于收集噪声的熵池(entropy pool),熵池的信息来自外界的熵信息,如:设备驱动的噪音,鼠标点击的声音,设备风扇运作的噪音。将这些噪声收集起来被用于产生真正的随机数。如果熵池中没有足够的噪音资源,就需要等待熵池的收集。只要设备的物理混乱程度越大,熵增就越快,熵池的信息越饱和,随机性的效率就越高。
/dev/random 是 Linux/Unix操作系统中的一个设备文件,用来作为随机数发生器/伪随机数发生器。它允许程序访问来自设备驱动程序或其它来源的背景噪声,Linux是第一个以背景噪声产生真正的随机数的实现。这种设计使得/dev/random是真正的随机数发生器,提供了最大可能的随机数据熵。因为它是真正以熵池的背景噪音为种子产生随机数,所以在调用时可能会有堵塞,需要等待熵池有足够多的熵信息。另外一种 /dev/urandom ,它是非阻塞的发生器,它会重复使用熵池中的信息产生伪随机数。这种随机数的生成一般运用在密钥强度要求不是太高的地方。
初始密码本使用的/dev/random是一个随机数生成器设备文件,用于生成高质量的随机数,它通过收集系统上的环境噪声(包括硬件噪声,磁盘活动等)来产生随机数。由于它只在系统上有足够的环境噪声时才能生成随机数,因此/dev/random生成的随机数是高质量的。
会话密码本采用/dev/urandom作为随机种子生成的随机数列表。dev/urandom是一个随机数发生器设备,它会根据需要从熵池中获取足够的随机性数据,并进行伪随机数的生成。如果熵池中的随机性数据不足,它会使用伪随机算法填充输出。/dev/urandom不会阻塞,它会从熵池中获取随机性数据并生成伪随机数,即使熵池中的随机性数据耗尽,它也会使用伪随机算法继续产生输出。
低性能设备客户端和服务端内置初始密码本,所述初始密码本用于对初始通信请求和响应进行加密传输;所述初始密码本的大小为256Byte或者512Byte;所述初始密码本采用/dev/random作为随机种子生成的随机数列表,通过收集系统上的硬件噪声、磁盘活动来产生高质量的随机数;所述会话密码本会话密码本采用/dev/urandom作为随机种子生成的随机数列表,根据需要从熵池中获取足够的随机性数据,并进行伪随机数的生成,如果熵池中的随机性数据不足,使用伪随机算法填充输出;
由客户端动态生成会话密码本,且针对每个TCP会话生成的不同的会话密码本独立加解密,基于C/S架构的客户端和服务端会存在多个TCP会话,每个TCP会话的会话密码本相互独立,互不影响,TCP会话的数据在加密过程中,对明文数据包进行逐字节查表加密,得到密文;TCP会话的数据在解密过程中,对密文数据包进行逐字节查表加密,得到明文,整个加解密过程中均试用简单计算的方式,协商阶段通信带宽占用少,对硬件诸如CPU、内存和网络等依赖较低。
所述低性能设备客户端和低性能设备服务端建立加密通信会话,周期性由低性能设备客户端生成新的会话密码本进行通信,对于单个TCP会话,新的会话密码本更新过程中,由旧的会话密码本对通信数据进行加密,将新会话密码本传输到低性能设备客户端服务端后,低性能设备客户端和低性能设备服务端接下来的通信数据均采用新的会话密码本进行通信,并设置旧的会话密码本完全失效,通过这种方式完成新旧会话密码本更替;通过内置初始密码本和周期性更新会话密码本更新的方式,全流程密文传输,在提升加密通信速度的同时,通信加密强度也适用低性能设备通信场景;
Challenge身份验证的过程如下:1) 客户端向服务器发出认证请求;
2) 认证服务器从用户数据库中查询用户是否是合法的用户,若不是,则不做进一步的处理;
3) 认证服务器内部产生一个随机数,作为Challenge,发送给用户;
4) 客户端将口令和随机数合并,使用单向Hash函数 ( 例如MD5算法 ) 生成一个字节串作为Response响应;
5) 认证服务器将Response与自己的计算结果比较,如两者相同,则通过一次认证,反之认证失败;6) 认证服务器通知客户端认证成功或失败。
另一方面,本发明还提供一种面向低性能设备的高速加密通信装置,该装置包括客户端和服务端;其中:
所述客户端为低性能设备,包括:客户端密码本模块,包括初始密码本和会话密码本,所述初始密码本用于加密和解密初始身份验证请求,所述会话密码本用于加密会话数据;客户端身份验证请求模块,用于发送身份验证请求至服务端,其中,该身份验证请求通过初始密码本加密整个请求报文信息和验证短语作为客户端身份凭证提供给服务端验证;客户端身份验证响应模块,用于接收身份验证响应,并根据内置初始密码本解密身份验证请响应包,判断是否为服务端的身份验证响应和验证短语,如果无法识别身份验证响应,身份验证失败,结束处理;密码更新模块,用于动态生成会话密码本,所述会话密码本用于加密会话数据;客户端向服务端发送会话密码本更新请求,接收会话密码本更新响应,开始正常通信,并周期性生成新的会话密码本;
所述服务端包括,服务端密码本模块,包括初始密码本和会话密码本,所述初始密码本用于加密和解密初始身份验证请求,所述会话密码本用于加密会话数据;服务端身份接收模块,用于接收身份验证请求,并根据内置初始密码本解密身份验证请求包,判断是否为客户端的身份验证请求,如果无法识别身份验证请求,身份验证失败,结束处理;服务端身份响应模块,用于发送身份验证响应至客户端,其中,该身份验证响应通过初始密码本加密整个响应报文信息作为服务端身份凭证提供给客户端验证;服务端密码本更新模块,用于接收会话密码本更新请求,更新或创建服务端的会话密码本,并向客户端发送会话密码本更新响应。
所述客户端和服务端内置初始密码本,对初始通信请求和响应进行加密传输,所述初始密码本和会话密码本使用不同的算法,所述初始密码本采用真随机数或者安全强度更高的算法生成,所述会话密码本采用伪随机数随机生成;所述身份验证请求为Challenge身份验证请求,验证短语初始密码本的SHA256哈希摘要。
由客户端周期性生成会话密码本,且针对每个TCP会话生成的不同的会话密码本;客户端生成会话密码本,在低性能设备分布式集群中,每个客户端负责生成各自的会话密码本。
建立的加密通信会话,周期性由客户端生成会话密码本进行通信;对于已建立的会话,会话密码本周期性更新,更新频率通过设置或者协商确定,保障会话前向安全和后向安全。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。
Claims (4)
1.一种面向低性能设备的加密通信方法,包括:
S1.客户端和服务端分别内置初始密码本,用于加密和解密身份验证请求;其中,所述客户端为低性能设备;
S2.客户端发送身份验证请求至服务端,其中,该身份验证请求通过初始密码本加密整个请求报文信息和验证短语作为客户端身份凭证提供给服务端验证;
S3.服务端接收身份验证请求,并根据内置初始密码本解密身份验证请求,判断是否为客户端的身份验证请求,如果是则执行步骤S4,否则执行步骤S5;
S4.服务端发送身份验证响应至客户端,其中,该身份验证响应通过初始密码本加密整个响应报文信息作为服务端身份凭证提供给客户端验证,然后执行步骤6;
S5.服务端无法识别身份验证请求,身份验证失败,结束处理;
S6.客户端接收身份验证响应,并根据内置初始密码本解密身份验证响应,判断是否为服务端的身份验证响应和验证短语,如果是则执行步骤S7,否则执行步骤S8;
S7.客户端动态生成会话密码本,所述会话密码本用于加密会话数据;客户端向服务端发送会话密码本更新请求,然后执行步骤9;
S8.客户端无法识别身份验证响应,身份验证失败,结束处理;
S9.服务端接收会话密码本更新请求,更新或创建服务端的会话密码本,并向客户端发送会话密码本更新响应,然后执行步骤10;
S10.客户端接收会话密码本更新响应,开始正常通信;
S11.客户端周期性生成新的会话密码本,重复步骤S7;
步骤S1中客户端和服务端内置初始密码本,对身份验证请求和身份验证响应进行加密传输,所述初始密码本和会话密码本使用不同的算法生成,所述初始密码本采用真随机数或者安全强度更高的算法生成,所述会话密码本采用伪随机数随机生成;所述身份验证请求为Challenge身份验证请求,验证短语为初始密码本的SHA256哈希摘要;
步骤S11中由客户端周期性生成新的会话密码本,且针对每个TCP会话生成的不同的会话密码本;在低性能设备分布式集群中,每个客户端负责生成各自的会话密码本;
步骤S10中建立的加密通信会话,会话密码本周期性更新,更新频率通过设置或者协商确定,保障会话前向安全和后向安全;
所述初始密码本的大小为256Byte或者512Byte;所述初始密码本采用/dev/random作为随机种子生成的随机数列表,通过收集系统上的硬件噪声、磁盘活动来产生高质量的随机数;
所述会话密码本采用/dev/urandom作为随机种子生成的随机数列表,根据需要从熵池中获取随机性数据,并进行伪随机数的生成,如果熵池中的随机性数据不足,使用伪随机算法填充输出;
所述Challenge身份验证的过程如下:1) 客户端向服务端发出身份验证请求;2) 服务端从用户数据库中查询用户是否是合法的用户,若不是,则不做进一步的处理;3) 服务端内部产生一个随机数,作为Challenge,发送给用户;4) 客户端将口令和随机数合并,使用单向Hash函数生成一个字节串作为Response响应;5) 服务端将Response与自己的计算结果比较,如两者相同,则通过一次认证,反之认证失败;6) 服务端通知客户端认证成功或失败。
2.一种面向低性能设备的加密通信装置,该装置包括客户端和服务端;其中:
所述客户端为低性能设备,包括:客户端密码本模块,包括初始密码本和会话密码本,所述初始密码本用于加密和解密身份验证请求,所述会话密码本用于加密会话数据;客户端身份验证请求模块,用于发送身份验证请求至服务端,其中,该身份验证请求通过初始密码本加密整个请求报文信息和验证短语作为客户端身份凭证提供给服务端验证;客户端身份验证响应模块,用于接收身份验证响应,并根据内置初始密码本解密身份验证响应,判断是否为服务端的身份验证响应和验证短语,如果无法识别身份验证响应,身份验证失败,结束处理;密码更新模块,用于动态生成会话密码本;客户端向服务端发送会话密码本更新请求,接收会话密码本更新响应,开始正常通信,并周期性生成新的会话密码本;
所述服务端包括,服务端密码本模块,包括初始密码本和会话密码本,所述初始密码本用于加密和解密身份验证请求,所述会话密码本用于加密会话数据;服务端身份接收模块,用于接收身份验证请求,并根据内置初始密码本解密身份验证请求,判断是否为客户端的身份验证请求,如果无法识别身份验证请求,身份验证失败,结束处理;服务端身份响应模块,用于发送身份验证响应至客户端,其中,该身份验证响应通过初始密码本加密整个响应报文信息作为服务端身份凭证提供给客户端验证;服务端密码本更新模块,用于接收会话密码本更新请求,更新或创建服务端的会话密码本,并向客户端发送会话密码本更新响应;
所述客户端和服务端内置初始密码本,对身份验证请求和身份验证响应进行加密传输,所述初始密码本和会话密码本使用不同的算法生成,所述初始密码本采用真随机数或者安全强度更高的算法生成,所述会话密码本采用伪随机数随机生成;所述身份验证请求为Challenge身份验证请求,验证短语为初始密码本的SHA256哈希摘要;
由客户端周期性生成会话密码本,且针对每个TCP会话生成的不同的会话密码本;在低性能设备分布式集群中,每个客户端负责生成各自的会话密码本;
建立的加密通信会话,会话密码本周期性更新,更新频率通过设置或者协商确定,保障会话前向安全和后向安全;
所述初始密码本的大小为256Byte或者512Byte;所述初始密码本采用/dev/random作为随机种子生成的随机数列表,通过收集系统上的硬件噪声、磁盘活动来产生高质量的随机数;
所述会话密码本采用/dev/urandom作为随机种子生成的随机数列表,根据需要从熵池中获取随机性数据,并进行伪随机数的生成,如果熵池中的随机性数据不足,使用伪随机算法填充输出;
所述Challenge身份验证的过程如下:1) 客户端向服务端发出身份验证请求;2) 服务端从用户数据库中查询用户是否是合法的用户,若不是,则不做进一步的处理;3) 服务端内部产生一个随机数,作为Challenge,发送给用户;4) 客户端将口令和随机数合并,使用单向Hash函数生成一个字节串作为Response响应;5) 服务端将Response与自己的计算结果比较,如两者相同,则通过一次认证,反之认证失败;6) 服务端通知客户端认证成功或失败。
3.一种低性能设备,包括存储器,用于存储计算机程序;处理器,用于执行所述存储器中存储的计算机程序时,实现权利要求1所述的面向低性能设备的加密通信方法。
4.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1所述的面向低性能设备的加密通信方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311046928.9A CN116939599B (zh) | 2023-08-20 | 2023-08-20 | 一种面向低性能设备的高速加密通信方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311046928.9A CN116939599B (zh) | 2023-08-20 | 2023-08-20 | 一种面向低性能设备的高速加密通信方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116939599A CN116939599A (zh) | 2023-10-24 |
| CN116939599B true CN116939599B (zh) | 2024-06-07 |
Family
ID=88382653
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311046928.9A Active CN116939599B (zh) | 2023-08-20 | 2023-08-20 | 一种面向低性能设备的高速加密通信方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116939599B (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0915590A2 (en) * | 1997-11-10 | 1999-05-12 | Unwired Planet, Inc. | Method and system for secure lightweight transactions in wireless data networks |
| CN105307165A (zh) * | 2015-10-10 | 2016-02-03 | 中国民生银行股份有限公司 | 基于移动应用的通信方法、服务端和客户端 |
| CN108989309A (zh) * | 2018-07-16 | 2018-12-11 | 苏州大学张家港工业技术研究院 | 基于窄带物联网的加密通信方法及其加密通信装置 |
| CN110839240A (zh) * | 2018-08-17 | 2020-02-25 | 阿里巴巴集团控股有限公司 | 一种建立连接的方法及装置 |
| CN111464301A (zh) * | 2020-04-28 | 2020-07-28 | 郑州信大捷安信息技术股份有限公司 | 一种密钥管理方法及系统 |
| CN113132087A (zh) * | 2019-12-30 | 2021-07-16 | 国民技术股份有限公司 | 物联网、身份认证及保密通信方法、芯片、设备及介质 |
| CN113259096A (zh) * | 2021-04-27 | 2021-08-13 | 江南信安(北京)科技有限公司 | 一种适于物联网通信环境的密钥在线协商方法及系统 |
| CN114448624A (zh) * | 2022-01-27 | 2022-05-06 | 华南师范大学 | 基于白盒密码服务的透明化物联网安全传输方法及装置 |
| CN114679287A (zh) * | 2020-12-24 | 2022-06-28 | 美的集团股份有限公司 | 数据处理方法、系统、电子设备及存储介质 |
| WO2022143156A1 (zh) * | 2020-12-30 | 2022-07-07 | 华为技术有限公司 | 一种加密通话方法、装置、终端及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3408992A1 (en) * | 2016-01-26 | 2018-12-05 | Google LLC | Secure connections for low-power devices |
-
2023
- 2023-08-20 CN CN202311046928.9A patent/CN116939599B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0915590A2 (en) * | 1997-11-10 | 1999-05-12 | Unwired Planet, Inc. | Method and system for secure lightweight transactions in wireless data networks |
| CN105307165A (zh) * | 2015-10-10 | 2016-02-03 | 中国民生银行股份有限公司 | 基于移动应用的通信方法、服务端和客户端 |
| CN108989309A (zh) * | 2018-07-16 | 2018-12-11 | 苏州大学张家港工业技术研究院 | 基于窄带物联网的加密通信方法及其加密通信装置 |
| CN110839240A (zh) * | 2018-08-17 | 2020-02-25 | 阿里巴巴集团控股有限公司 | 一种建立连接的方法及装置 |
| CN113132087A (zh) * | 2019-12-30 | 2021-07-16 | 国民技术股份有限公司 | 物联网、身份认证及保密通信方法、芯片、设备及介质 |
| CN111464301A (zh) * | 2020-04-28 | 2020-07-28 | 郑州信大捷安信息技术股份有限公司 | 一种密钥管理方法及系统 |
| CN114679287A (zh) * | 2020-12-24 | 2022-06-28 | 美的集团股份有限公司 | 数据处理方法、系统、电子设备及存储介质 |
| WO2022143156A1 (zh) * | 2020-12-30 | 2022-07-07 | 华为技术有限公司 | 一种加密通话方法、装置、终端及存储介质 |
| CN113259096A (zh) * | 2021-04-27 | 2021-08-13 | 江南信安(北京)科技有限公司 | 一种适于物联网通信环境的密钥在线协商方法及系统 |
| CN114448624A (zh) * | 2022-01-27 | 2022-05-06 | 华南师范大学 | 基于白盒密码服务的透明化物联网安全传输方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116939599A (zh) | 2023-10-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11323247B2 (en) | Methods and systems for secure data communication | |
| US6154543A (en) | Public key cryptosystem with roaming user capability | |
| CN110289952B (zh) | 一种量子数据链保密终端及保密通信网络 | |
| CA3073549A1 (en) | Methods and systems for secure data communication | |
| Calabretta et al. | A token-based protocol for securing MQTT communications | |
| US20150089230A1 (en) | Random number distribution | |
| Senthilkumar et al. | Asymmetric Key Blum-Goldwasser Cryptography for Cloud Services Communication Security | |
| US11606193B2 (en) | Distributed session resumption | |
| Liu et al. | An iterative hierarchical key exchange scheme for secure scheduling of big data applications in cloud computing | |
| JP2020532177A (ja) | データの高度なセキュリティ、高速暗号化および、伝送のためのコンピュータ実装システムおよび方法 | |
| Tawalbeh et al. | Efficient and secure software-defined mobile cloud computing infrastructure | |
| CN111953487B (zh) | 一种密钥管理系统 | |
| Noguchi et al. | A secure secret key-sharing system for resource-constrained IoT devices using MQTT | |
| CN116939599B (zh) | 一种面向低性能设备的高速加密通信方法及装置 | |
| CN117093869A (zh) | 一种安全的模型复用方法及系统 | |
| US20220345298A1 (en) | Systems and methods for providing signatureless, confidential and authentication of data during handshake for classical and quantum computing environments | |
| Peng et al. | A secure publish/subscribe protocol for Internet of Things using identity-based cryptography | |
| Blumenthal et al. | Key derivation for network management applications | |
| CN115459913A (zh) | 一种基于量子密钥云平台的链路透明加密方法及系统 | |
| CN113922956A (zh) | 基于量子密钥的物联网数据交互方法、系统、设备及介质 | |
| CN113132980A (zh) | 应用于北斗导航系统的密钥管理系统方法和装置 | |
| Faisal et al. | Graphene: a secure cloud communication architecture | |
| Jeevitha et al. | Data Storage Security and Privacy in Cloud Computing | |
| Belej et al. | The features of security of transfer and storage data for the Internet of Things in Cloud Database | |
| Kozlovičs et al. | Quantum Key Distribution as a Service and Its Injection into TLS |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant |