CN117439734A - 密钥管理方法、装置、设备及存储介质 - Google Patents

密钥管理方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN117439734A
CN117439734A CN202210837670.3A CN202210837670A CN117439734A CN 117439734 A CN117439734 A CN 117439734A CN 202210837670 A CN202210837670 A CN 202210837670A CN 117439734 A CN117439734 A CN 117439734A
Authority
CN
China
Prior art keywords
key
sent
message
receiving
quantum
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210837670.3A
Other languages
English (en)
Inventor
田野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Communications Ltd Research Institute
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Communications Ltd Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Communications Ltd Research Institute filed Critical China Mobile Communications Group Co Ltd
Priority to CN202210837670.3A priority Critical patent/CN117439734A/zh
Priority to PCT/CN2023/107243 priority patent/WO2024012529A1/zh
Publication of CN117439734A publication Critical patent/CN117439734A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请公开了密钥管理方法、装置、设备及存储介质,其中,方法包括:第一设备接收第二设备发送的第一消息;执行与第一消息相关的操作,并获得以下中的至少一种:第一密钥、第二密钥以及第三密钥;将第一密钥、第二密钥以及第三密钥中的至少一个发送给第二设备。

Description

密钥管理方法、装置、设备及存储介质
技术领域
本申请涉及通信技术领域,尤其涉及一种密钥管理方法、装置、设备及存储介质。
背景技术
密钥技术是目前通信领域中为了保护传输内容的安全常用的技术手段,包括对称密钥、非对称密钥等。可以理解的是,密钥具有时效性,需要不断的更新才能确保密钥的新鲜,以保证通信的安全。但目前密钥更新的方式较为复杂,因此如何能够及时有效、简单地进行密钥更新是当下亟待解决的问题。
发明内容
为解决相关技术问题,本申请实施例提供一种密钥管理方法、装置、设备及存储介质。
本申请实施例的技术方案是这样实现的:
本申请实施例提供了一种密钥管理方法,应用于第一设备,包括:
接收第二设备发送的第一消息;
执行与第一消息相关的操作,并获得以下中的至少一种:第一密钥、第二密钥以及第三密钥;
将第一密钥、第二密钥以及第三密钥中的至少一个发送给第二设备。
本申请实施例还提供了一种密钥管理方法,应用于第二设备,包括:
向第一设备发送的第一消息;
接收第一设备发送的第一密钥、第二密钥以及第三密钥中的至少一个密钥。
本申请实施例还提供了一种密钥管理方法,应用于第三设备,包括:
接收第一设备和/或第二设备发送的第一密钥、第二密钥以及第三密钥中的至少一个密钥。
本申请实施例还提供了一种密钥管理装置,包括:
第一接收单元,用于接收第二设备发送的第一消息;
执行单元,用于执行与第一消息相关的操作,并获得以下中的至少一种:第一密钥、第二密钥以及第三密钥;
第一发送单元,用于将第一密钥、第二密钥以及第三密钥中的至少一个发送给第二设备。
本申请实施例还提供了一种密钥管理装置,包括:
第二发送单元,用于向第一设备发送的第一消息;
接收第一设备发送的第一密钥、第二密钥以及第三密钥中的至少一个密钥。
本申请实施例还提供了一种密钥管理装置,包括:
第二接收单元,用于接收第一设备和/或第二设备发送的第一密钥、第二密钥以及第三密钥中的至少一个密钥。
本申请实施例还提供了一种第一设备,包括:第一处理器及第一通信接口;其中,
所述第一通信接口,用于接收第二设备发送的第一消息;
所述第一处理器,用于执行与第一消息相关的操作,并获得以下中的至少一种:第一密钥、第二密钥以及第三密钥;
所述第一通信接口,还用于将第一密钥、第二密钥以及第三密钥中的至少一个发送给第二设备。
本申请实施例还提供了一种第二设备,包括:第二处理器及第二通信接口;其中,
所述第二通信接口,用于向第一设备发送的第一消息;以及接收第一设备发送的第一密钥、第二密钥以及第三密钥中的至少一个密钥。
本申请实施例还提供了一种第三设备,包括:第三处理器及第三通信接口;其中,
所述第三通信接口,用于接收第一设备和/或第二设备发送的第一密钥、第二密钥以及第三密钥中的至少一个密钥。
本申请实施例还提供了一种第一设备,包括:第一处理器和用于存储能够在处理器上运行的计算机程序的第一存储器,
其中,所述第一处理器用于运行所述计算机程序时,执行上述第一设备侧任一方法的步骤。
本申请实施例还提供了一种第二设备,包括:第二处理器和用于存储能够在处理器上运行的计算机程序的第二存储器,
其中,所述第二处理器用于运行所述计算机程序时,执行上述第二设备侧任一方法的步骤。
本申请实施例还提供了一种第三设备,包括:第三处理器和用于存储能够在处理器上运行的计算机程序的第三存储器,
其中,所述第三处理器用于运行所述计算机程序时,执行上述第三设备侧任一方法的步骤。
本申请实施例还提供了一种存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述第一设备侧任一方法的步骤,或者实现上述第二设备侧任一方法的步骤,或者实现上述第三设备侧任一方法的步骤。
本申请实施例提供的密钥管理方法、装置、设备及存储介质中,第一设备接收第二设备发送的第一消息;执行与第一消息相关的操作,并获得以下中的至少一种:第一密钥、第二密钥以及第三密钥;将第一密钥、第二密钥以及第三密钥中的至少一个发送给第二设备。基于上述方案,第一设备在执行第一消息相关操作的同时,为第二设备生成密钥,从而在无需第二设备增加安全介质的存储空间的同时,能够及时补充新的密钥,低成本并高效地保证了第二设备始终预置充足的密钥。
附图说明
图1为本申请实施例一种密钥管理方法流程示意图;
图2为本申请实施例另一种密钥管理方法流程示意图;
图3为本申请实施例第三种密钥管理方法流程示意图;
图4为本申请应用实施例一种密钥管理方法交互流程示意图;
图5为本申请应用实施例另一种密钥管理方法交互流程示意图;
图6为本申请实施例一种密钥管理装置结构示意图;
图7为本申请实施例另一种密钥管理装置结构示意图;
图8为本申请实施例第三种密钥管理装置结构示意图;
图9为本申请实施例第一设备结构示意图;
图10为本申请实施例第二设备结构示意图;
图11为本申请实施例第三设备结构示意图。
具体实施方式
目前密钥更新的方式较为复杂:一般来说,各个通信设备会存储一定量的密钥,用于与对端进行安全通信或用于本地信息安全存储。由于密钥具有时效性,且设备预先存储的一定量密钥随着使用会逐渐被消耗,因此需要定期或不定期地进行密钥更新。然而,现有的密钥更新方式需要设置额外的密钥更新流程,且密钥更新的流程本身也需要消耗预先存储的密钥,因此增加了设备密钥更新的成本以及信息交互的开销。
对于普通密钥而言,现有密钥更新技术的成本较高,对于量子密钥而言,该问题尤为突出。
量子密钥是指:基于量子力学基本原理,通过量子随机数发生器产生的量子密钥,或者,通过量子密钥分发(QKD,Quantum Key Distribution)网络协商生成的量子密钥具有内禀随机性和不可复制性,因此,量子密钥比物理噪声源、伪随机等传统方式产生的密钥更加安全,难以被攻击者破解。相比于传统密钥,在保密通信系统中使用量子密钥能够确保密钥的安全性,提高系统的整体安全水平。
在量子保密通信系统中,参与通信的多方设备需要通过协商获取一致的量子密钥,用于对用户之间传递的数据信息进行加密保护,防止攻击者对信息内容发起非法窃听、篡改、重放等攻击,造成信息泄露。由于终端设备一般不具备产生量子密钥的能力,因此,量子密钥通信由量子密钥管理中心产生,再分发给终端设备使用。通常,量子密钥管理中心采用离线灌装的方式将量子对称密钥置于终端设备的安全介质和/或安全存储空间之中,终端可使用预置的量子对称密钥来安全接入量子密钥管理中心,并实现安全通信。例如,基于预置的量子对称密钥实现设备身份认证、消息加密、完整性保护、源认证等。
为了确保终端与量子密钥管理中心通信时的信息安全,预置的量子对称密钥是一次性的,使用完毕后即被销毁。因此,每一次安全通信都将消耗一个预置的量子对称密钥,直至终端侧预置的量子对称密钥消耗殆尽。为了满足用户长期或频繁的量子保密通信应用需求,终端设备需要能够预先存储大量的量子对称密钥。然而,终端设备本地安全介质的存储空间有限,一次灌装所能容纳的量子对称密钥数量有限,若要扩大终端设备安全介质的存储空间,实现量子对称密钥的大量存储,会导致终端成本数量级的增加。如果终端设备预置的量子对称密钥的数量有限,又会迫使用户需要频繁前往量子密钥服务站点为终端离线加注量子对称密钥,降低了用户的应用体验。
基于此,本申请各实施例中,第一设备接收第二设备发送的第一消息;执行与第一消息相关的操作,并获得以下中的至少一种:第一密钥、第二密钥以及第三密钥;将第一密钥、第二密钥以及第三密钥中的至少一个发送给第二设备。基于上述方案,第一设备在执行第一消息相关操作的同时,为第二设备生成密钥,从而在无需第二设备增加安全介质的存储空间的同时,能够及时补充新的密钥,低成本并高效地保证了第二设备始终预置充足的密钥。
下面结合附图及实施例对本申请再作进一步详细的描述。
本申请实施例提供了一种密钥管理方法,应用于第一设备,参照图1,该方法包括:
步骤101:接收第二设备发送的第一消息。
这里,第一设备可以是密钥管理中心,也可以是QKD网络的密钥管理器(KM,KeyManager)。实际应用时,第一设备可以为统一的安全服务平台、密钥管理系统或密钥管理中心等,用于为多种不同业务提供统一的密钥管理服务;也可以为某种具体业务的密钥管理平台、密钥管理系统、密钥管理中心或密钥管理服务器,例如,第一设备可以为长期演进语音承载(VoLTE,Voice over Long-Term Evolution)加密通话业务的密钥管理平台,用于专门为VoLTE加密通话业务提供密钥管理服务,可以为加密消息业务的密钥管理平台,用于专门为短消息、第五代移动通信技术(5G,5th Generation Mobile CommunicationTechnology)消息、融合通信(RCS,Rich Communication Suite)消息、即时消息等消息通信业务提供密钥管理服务。
实际应用时,第一设备也可以称为密码安全服务中心、密码服务中心、安全服务中心或安全中心等。
需要说明的是,本申请实施例不仅适用于传统网络和/或系统使用普通密钥的场景,还可以适用于量子密钥的场景。容易理解地,在本申请实施例应用于量子密钥场景时,“密钥”可以进一步理解为“量子密钥”,“密码安全服务中心”可以进一步理解为“量子密码安全服务中心”,“密码服务中心”可以进一步理解为“量子密码服务中心”,“安全服务中心”可以进一步理解为“量子安全服务中心”,“安全中心”可以进一步理解为“量子安全中心”,诸如此类,不再赘述。
第二设备可以为终端设备,也可以为其他设备。例如,加密网关、加密路由器、加密交换机等。可以是移动设备也可以是固定设备,可以是有线设备也可以是无线设备。
第一消息可以为通信交互过程中的请求消息,例如查询请求、访问请求、更新请求、删除请求、接入请求、认证请求、鉴权请求、业务请求、密钥请求等,第一消息还可以为通信交互过程中的通知、响应、应答等其他消息。以上仅为举例,本申请实施例对第一消息的形式不做任何限定。
步骤102:执行与第一消息相关的操作,并获得以下中的至少一种:第一密钥、第二密钥以及第三密钥。
步骤103:将第一密钥、第二密钥以及第三密钥中的至少一个发送给第二设备。
这里,第一设备执行与第一消息相关的操作,可以理解为:当第一消息为请求消息时,第一设备执行相应的请求对应的操作。例如,第一消息用于请求查询信息1,那么第一设备执行对于信息1的查询操作;又例如,第一消息用于请求接入认证,那么第一设备执行对接入端的认证,包括第一设备对接入端进行认证,或者请求其他设备对接入端进行认证;当第一消息为通知消息时,第一设备执行相应的通知对应的操作。例如,第一设备存储相应的通知所告知的信息内容,或不进行操作,或向对端设备发送关于通知的确认响应等。当第一消息为响应消息或应答消息时,第一设备执行相应的响应或应答对应的操作。例如,第一设备向第二设备发送消息1,第二设备回复关于消息1的响应或应答,第一设备对该响应或应答进行处理,比如判断响应或应答的内容是否正确,再例如存储响应或应答的信息内容,再例如对响应或应答不做处理等。
在步骤102中,并不限定“执行与第一消息相关的操作”与“获得以下中的至少一种:第一密钥、第二密钥以及第三密钥”之间执行的时间先后关系,而应理解为在接收到第一消息之后,第一设备要执行与第一消息相关的操作,以及还要获得对应的密钥。
这里,第一密钥可以由第一设备生成,也可以由第一设备从其他设备处获得,或者,也可以是由第一设备从其他设备处获得中间密钥或随机数,再给过第一设备的处理,得到第一密钥。
实际应用时,第一密钥可以是QKD网络提供的量子密钥,也可以是量子随机数发生器产生的量子随机数或量子密钥,也可以是物理噪声源产生的普通密钥,也可以是伪随机数发生器产生的普通密钥等。第一密钥可以是对称密钥,也可以是非对称密钥。当第一密钥为对称密钥时,第一设备除了要向第二设备发送第一密钥,还需要将第一密钥保存在本地,实现密钥共享。当第一密钥为非对称密钥时,第一密钥可以是公钥和/或私钥。
在一实施例中,第一密钥用于第一设备与第二设备之间的安全通信,或用于第二设备的本地信息的安全存储。
这里,第一设备与第二设备之间的安全通信,可以理解为直接使用第一密钥对第一设备与第二设备之间交互的信息进行安全保护,或直接使用第一密钥对第一设备与第二设备双方进行身份认证,也可以理解为使用第一密钥进一步衍生出其他密钥,用于对第一设备与第二设备交互的信息进行安全保护,或用于第一设备与第二设备双方进行身份认证。其中,安全保护包括加密和/或完整性保护等。
第二设备的本地信息的安全存储,可以理解为直接使用第一密钥或利用第一密钥衍生出的其他密钥,对第二设备的本地信息进行安全存储,例如加密和/或完整性保护等。
在一实施例中,将第一密钥发送给第二设备,包括:
将利用第四密钥进行安全保护后的第一密钥发送给第二设备。
其中,第四密钥为第一设备与第二设备的共享密钥。
这里,第四密钥可以理解为第一设备与第二设备的共享密钥,例如对第一消息进行安全保护的密钥等。
在一实施例中,获得第一密钥,包括:
获得第一密钥及对应的第一标识;
将第一密钥发送给第二设备,包括:
将第一密钥和/或对应的第一标识发送给第二设备。
在一实施例中,所述方法还包括:
存储第一密钥和/或对应的第一标识。
在一实施例中,第二密钥用于第一设备与第三设备之间进行安全通信,或用于第三设备的本地信息的安全存储。
这里,第一设备与第三设备之间的安全通信,可以理解为直接使用第二密钥对第一设备与第三设备之间交互的信息进行安全保护,或直接使用第二密钥对第一设备与第三设备双方进行身份认证,也可以理解为使用第二密钥进一步衍生出其他密钥,用于对第一设备与第三设备交互的信息进行安全保护,或用于第一设备与第三设备双方进行身份认证。其中,安全保护包括加密和/或完整性保护等。
实际应用时,第二密钥可以是QKD网络提供的量子密钥,也可以是量子随机数发生器产生的量子随机数或量子密钥,也可以是物理噪声源产生的普通密钥,也可以是伪随机数发生器产生的普通密钥等。第二密钥可以是对称密钥,也可以是非对称密钥。当第二密钥为对称密钥时,第一设备除了要向第三设备发送第二密钥,还需要将第二密钥保存在本地,实现密钥共享。当第二密钥为非对称密钥时,第二密钥可以是公钥和/或私钥。
第三设备可以为终端设备,也可以为其他设备。例如,加密网关、加密路由器、加密交换机等。可以是移动设备也可以是固定设备,可以是有线设备也可以是无线设备。
第三设备的本地信息的安全存储,可以理解为直接使用第二密钥或利用第二密钥衍生出的其他密钥,对第三设备的本地信息进行安全存储,例如加密和/或完整性保护等。
在一实施例中,将第二密钥发送给第二设备,包括:
将利用第五密钥进行安全保护后的第二密钥发送给第二设备。
其中,第五密钥为第一设备与第三设备的共享密钥。
这里,第五密钥可以理解为第一设备与第三设备共享的密钥,因此,即使第二设备获得了第二密钥,但由于第二密钥是由第五密钥加密的,而第二设备无法获知第五密钥,因此保证了第二密钥传输的安全性。
在一实施例中,所述方法还包括:
向第三设备发送第二密钥。
在一实施例中,所述向第三设备发送第二密钥,包括:
将利用第五密钥进行安全保护后的第二密钥发送给第三设备。
其中,第五密钥为第一设备与第三设备的共享密钥。
在一实施例中,获得第二密钥,包括:
获得第二密钥及对应的第二标识;
将第二密钥发送给第二设备和/或第三设备,包括:
将第二密钥和/或对应的第二标识发送给第二设备和/或第三设备。
在一实施例中,所述方法还包括:
存储第二密钥和/或对应的第二标识。
在一实施例中,第三密钥用于第二设备与第三设备之间进行安全通信。
这里,第二设备与第三设备之间的安全通信,可以理解为直接使用第三密钥对第二设备与第三设备之间交互的信息进行安全保护,或直接使用第三密钥对第二设备与第三设备双方进行身份认证,也可以理解为使用第三密钥进一步衍生出其他密钥,用于对第二设备与第三设备交互的信息进行安全保护,或用于第二设备与第三设备双方进行身份认证。其中,安全保护包括加密和/或完整性保护等。
在一实施例中,将第三密钥发送给第二设备,包括:
将利用第四密钥和第五密钥分别进行安全保护后的第三密钥发送给第二设备。
其中,第四密钥为第一设备与第二设备的共享密钥,第五密钥为第一设备与第三设备的共享密钥。
这里,利用第四密钥和第五密钥分别对所述第三密钥进行安全保护,也就是,利用第四密钥对第三密钥进行安全保护得到第一信息,利用第五密钥对第三密钥进行安全保护得到第二信息,将第一和第二信息都发给第二设备,第二设备接收到之后可以利用共享的第四密钥对第一信息进行解密,获得第三密钥。同时第二设备将第二信息传输给第三设备。第三设备接收到第二信息后,可以利用共享的第五密钥对第二信息进行解密,从而获得第三密钥。
在一实施例中,所述方法还包括:
向第三设备发送第三密钥。
在一实施例中,所述向第三设备发送第三密钥,包括:
将利用第五密钥进行安全保护后的第三密钥发送给第三设备。
其中,第五密钥为第一设备与第三设备的共享密钥。
在一实施例中,获得第三密钥,包括:
获得第三密钥及对应的第三标识;
将第三密钥发送给第二设备和/或第三设备,包括:
将第三密钥和/或对应的第三标识发送给第二设备和/或第三设备。
实际应用时,第三密钥可以是QKD网络提供的量子密钥,也可以是量子随机数发生器产生的量子随机数或量子密钥,也可以是物理噪声源产生的普通密钥,也可以是伪随机数发生器产生的普通密钥等。第三密钥可以是对称密钥,也可以是非对称密钥。
在一实施例中,所述方法还包括:
存储第三密钥和/或对应的第三标识。
在一实施例中,第一设备发送的消息中携带时间戳。
这里,在第一设备发送的消息中携带时间戳,该时间戳用于防止消息重放攻击,进一步地,在量子密钥管理相关消息中携带时间戳,可抵御攻击者对于量子密钥的重放攻击。
需要说明的是,这里,第一设备发送的消息,包括但不限于第一设备用于将第一密钥、第二密钥以及第三密钥中的至少一个发送给第二设备和/或第三设备的消息。第一设备发送的消息可以包括:由第一设备发出的、用于第一设备与第二设备、第三设备和/或其他设备之间进行交互的所有消息或部分消息。
相应地,本申请实施例还提供了一种密钥管理方法,应用于第二设备,参照图2,该方法包括:
步骤201:向第一设备发送的第一消息。
步骤202:接收第一设备发送的第一密钥、第二密钥以及第三密钥中的至少一个密钥。
在一实施例中,第一密钥用于第一设备与第二设备之间的安全通信,或用于第二设备的本地信息的安全存储。
在一实施例中,接收第一设备发送的第一密钥,包括:
接收第一设备发送的、利用第四密钥进行安全保护后的第一密钥;其中,第四密钥为第一设备与第二设备的共享密钥;
利用第四密钥对安全保护后的第一密钥进行解密。
在一实施例中,接收第一设备发送的第一密钥,包括:
接收并存储第一密钥和/或对应的第一标识。
在一实施例中,第二密钥用于第一设备与第三设备之间进行安全通信,或用于第三设备的本地信息的安全存储。
在一实施例中,接收第一设备发送的第二密钥,包括:
接收第一设备发送的、利用第五密钥进行安全保护后的第二密钥;其中,第五密钥为第一设备与第三设备的共享密钥;
将利用第五密钥进行安全保护后的第二密钥发送给第三设备。
在一实施例中,所述方法还包括:
将第二密钥和/或对应的第二标识发送给第三设备。
在一实施例中,第三密钥用于第二设备与第三设备之间进行安全通信。
在一实施例中,接收第一设备发送的第三密钥,包括:
接收第一设备发送的、利用第四密钥和第五密钥分别进行安全保护后的第三密钥;
利用第四密钥对经第四密钥保护后的第三密钥进行解密;
将经第五密钥保护后的第三密钥发送给第三设备;其中,
第四密钥为第一设备与第二设备的共享密钥,第五密钥为第一设备与第三设备的共享密钥。
在一实施例中,接收第三密钥,包括:
接收并存储第三密钥和/或对应的第三标识。
在一实施例中,第二设备发送的消息中携带时间戳。
这里,在第二设备发送的消息中携带时间戳,该时间戳用于防止消息重放攻击,进一步地,在量子密钥管理相关消息中携带时间戳,可抵御攻击者对于量子密钥的重放攻击。
需要说明的是,这里,第二设备发送的消息,包括但不限于第二设备向第一设备和/或第三设备发送的第一消息。第二设备发送的消息可以包括:由第二设备发出的、用于第二设备与第一设备、第三设备和/或其他设备之间进行交互的所有消息或部分消息。
相应地,本申请实施例还提供了一种密钥管理方法,应用于第三设备,参照图3,该方法包括:
步骤301:接收第一设备和/或第二设备发送的第二密钥以及第三密钥中的至少一个密钥。
这里,第二密钥以及第三密钥可以由第三设备从同一个设备中接收,例如,都从第一设备接收或都从第二设备接收,也可以由第三设备从不同设备接收,例如从第一设备接收第二密钥,从第二设备接收第三密钥。
在一实施例中,第二密钥用于第一设备与第三设备之间进行安全通信,或用于第三设备的本地信息的安全存储。
在一实施例中,接收第一设备和/或第二设备发送的第二密钥,包括:
接收第一设备和/或第二设备发送的、利用第五密钥进行安全保护后的第二密钥。
其中,第五密钥为第一设备与第三设备的共享密钥。
在一实施例中,接收第二密钥,包括:
接收并存储第二密钥和/或对应的第二标识。
在一实施例中,第三密钥用于第二设备与第三设备之间进行安全通信。
在一实施例中,接收第二设备发送的第三密钥,包括:
接收第二设备发送的、经第五密钥安全保护的第三密钥;
利用第五密钥对经第五密钥安全保护的第三密钥进行解密。
其中,所述第五密钥为第一设备与第三设备的共享密钥。
在一实施例中,接收第一设备发送的第三密钥,包括:
接收第一设备发送的、经第五密钥安全保护的第三密钥;
利用第五密钥对经第五密钥安全保护的第三密钥进行解密。
其中,所述第五密钥为第一设备与第三设备的共享密钥。
在一实施例中,接收第三密钥,包括:
接收并存储第三密钥和/或对应的第三标识。
在一实施例中,所述方法还包括:
向第一设备发送第二消息;其中,
所述第二消息用于表示返回密钥接收的结果。
在一实施例中,第三设备发送的消息中携带时间戳。
这里,在第三设备发送的消息中携带时间戳,该时间戳用于防止消息重放攻击,进一步地,在量子密钥管理相关消息中携带时间戳,可抵御攻击者对于量子密钥的重放攻击。
需要说明的是,这里,第三设备发送的消息,包括但不限于:由第三设备发出的、用于第三设备与第一设备、第二设备和/或其他设备之间进行交互的所有消息或部分消息。
结合上文实施例,第一设备在执行第一消息相关操作的同时,为第二设备生成密钥,也就是说,第一设备在接收到第一消息之后,认为与第二设备进行第一消息相关的通信会消耗密钥,或者第一设备在接收到第一消息后发现第二设备在一段时间内未更新密钥,进而在执行第一消息相关操作的同时,为第二设备补充新的密钥,从而在无需第二设备增加安全介质的存储空间的前提下,低成本并高效地保证了第二设备始终预置充足的密钥。
此外,凡是在终端使用本地存储的(量子)对称密钥/(量子)非对称密钥与(量子)密钥管理中心进行安全交互的任何场景,都可使用本申请实施例方案实现普通或量子对称/非对称密钥的随用补充。(这里的(量子)表示量子是可能的场景,举例来说,(量子)对称密钥可以理解为:普通对称密钥或量子对称密钥,后续的括号所表示的含义相同,不再赘述)。例如,在终端接入(量子)密钥管理中心,基于(量子)对称密钥进行身份认证、建立安全通道的过程中,在终端访问(量子)密钥管理中心,基于(量子)对称密钥建立的安全通道进行号码绑定、业务鉴权/授权、(量子)密钥更新、(量子)密钥销毁、业务状态变更的过程中,均可使用本申请实施例方案实现(量子)对称密钥的随用补充。实际应用时,在与终端共享的(量子)对称密钥被使用消耗的情况下,例如,终端接入(量子)密钥中心时进行身份认证的情况下,在终端与(量子)密钥中心对交互的消息进行安全保护的情况下,(量子)密钥中心在对终端的相关消息进行业务处理的同时,还产生新的(量子)对称密钥,并使用旧的(量子)对称密钥对新的(量子)对称密钥进行安全保护,之后,将经过安全保护的新的(量子)对称密钥提供给终端。终端使用旧的(量子)对称密钥对接收到的新的(量子)对称密钥进行解密和/或完整性保护校验,并在解密和/或完整性保护校验成功后将新的(量子)对称密钥安全存储,从而及时地补充了终端本地的(量子)对称密钥。可选地,终端可以向(量子)密钥中心返回消息,以确认新的(量子)对称密钥接收的结果(例如接收成功或者接收失败);或者不返回任何消息,表明(量子)对称密钥接收失败。这样,(量子)密钥中心可以在终端接收成功的情况下销毁旧的(量子)对称密钥,而新的(量子)对称密钥存储于(量子)密钥中心和终端本地的密钥池中,待后续有需要时使用。
为了进一步对本申请实施例方案进行解释说明,给出以下应用实施例,需要说明的是,以下均使用量子对称密钥来进行举例说明,不难理解的是,下述多个实施例所示例的方法也可以应用于普通对称密钥、普通非对称密钥或量子非对称密钥。
图4示出了本申请应用实施例提供的终端A发起号码绑定业务的交互流程示意图,参照图4,该交互流程包括:
步骤1:当需要与量子密钥管理中心交互,将手机号码与密码卡和/或密码资源相互绑定时,终端A向量子密钥管理中心发送业务请求消息。
其中,为了确保消息传输的安全性,终端A从本地预配置的量子对称密钥池中选取一个有效的量子对称密钥KA,并使用KA或者基于KA衍生得到的对称密钥KA’,对业务请求消息的全部或部分信息内容进行加密和/或完整性保护。
业务请求消息中携带终端A的标识、手机号码绑定的业务类型、以及用于对消息进行完整性保护的哈希运算消息认证码(HMAC,Hash-based Message AuthenticationCode),可选地,还携带KA的密钥标识KID_A、时间戳或序列号等信息,用于防止消息重放。
步骤2:量子密钥管理中心根据终端标识及密钥标识进行查询,获取与终端A之间通过预配置方式共享的量子对称密钥KA,并使用KA或者基于KA衍生得到的对称密钥KA’,对业务请求消息进行完整性保护校验及解密。之后,对于终端A请求的号码绑定业务进行处理。
与此同时,量子密钥管理中心为主被叫终端A生成新的量子对称密钥KA_new,对应分配新的密钥标识KID_A_new。其中,量子对称密钥通过量子随机数发生器产生。
步骤3:量子密钥管理中心向终端A返回业务响应消息,其中携带业务相关信息、新产生的量子对称密钥KA_new,可选地,还携带新的密钥标识KID_A_new、时间戳或序列号等信息。业务响应消息的全部或部分信息内容使用KA或者基于KA衍生得到的对称密钥KA’进行加密和/或完整性保护。
步骤4:终端A使用KA或者基于KA衍生得到的对称密钥KA’对业务响应消息进行校验并解密,完成业务相关处理。同时,获取量子密钥管理中心产生的新的量子对称密钥KA_new,可选地,终端A还获取对应的密钥标识KID_A_new,并将获取到的新的量子对称密钥KA_new和/或对应的密钥标识KID_A_new安全存储,从而使预共享的量子对称密钥得到补充。此外,如果业务响应消息中没有携带密钥标识KID_A_new,终端A需要根据事先与量子密钥管理中心约定的方式产生相应的密钥标识KID_A_new。
可选地,步骤5:终端A向量子密钥管理中心返回消息,其中携带密钥标识KID_A_new,用于确认量子密钥KA_new已成功接收,可选地,消息中还携带时间戳或序列号等信息。该消息可基于KA或者基于KA衍生得到的对称密钥KA’进行安全保护。之后,终端A和量子密钥管理中心将使用过的KA销毁。此外,如果不执行步骤5,那么量子密钥管理中心在步骤3之后,终端A在步骤4之后将使用过的KA销毁。
图5示出了本申请应用实施例提供的终端A发起号码绑定业务的交互流程示意图,参照图5,该交互流程包括:
步骤1:用户拨打加密电话时,主叫终端A发起加密电话呼叫请求。
步骤2:主叫终端A及被叫终端B通过应用服务器(AS,Application Server)进行呼叫接续。
其中,对于基于IP的语音传输(VoIP,Voice over Internet Protocol)的加密电话业务,AS是负责实现电话业务功能的会话初始协议(SIP,Session initializationProtocol)服务器;对于基于VoLTE或新空口承载语音(VoNR,Voice over New Radio)或固定电话的加密电话业务,AS是IP多媒体子系统(IMS,IP Multimedia Subsystem,)系统负责电话业务的服务器,例如VoLTE AS。
步骤3:在呼叫接续的过程中,主叫终端A同步向量子密钥管理中心发送密钥请求消息,为本次加密电话呼叫申请获取量子会话密钥,用于对用户的语音信息进行加密保护。请求消息中携带主叫终端A及被叫终端B的标识、可选地,还携带会话标识、时间戳或者序列号等信息。其中,时间戳或者序列号信息用于防止消息重放。
为了确保密钥请求消息的安全性,主叫终端A从本地获取一个未使用过的预配置的量子对称密钥KA,并使用KA或者基于KA衍生得到的对称密钥KA’对请求消息的全部或部分信息内容进行加密和/或完整性保护。
步骤4:接收到密钥请求消息之后,量子密钥管理中心根据主叫终端标识及密钥标识,查询获取与主叫终端A之间通过预配置方式共享的量子对称密钥KA,并使用KA或者基于KA衍生得到的对称密钥KA’对密钥请求消息进行完整性保护校验及解密。之后,如果密钥请求消息中携带时间戳或者序列号,则根据时间戳或者序列号验证密钥请求消息的新鲜性。
密钥请求消息的完整性及新鲜性验证通过后,量子密钥管理中心根据被叫终端标识查询,获取一个与被叫终端B之间通过预配置方式共享的量子对称密钥KB以及KB对应的密钥标识KID_B。同时,量子密钥管理中心为本次呼叫产生量子会话密钥,为主叫终端A及被叫终端B分别生成新的量子对称密钥KA_new和KB_new,对应分配新的密钥标识KID_A_new和KID_B_new。这里量子会话密钥以及新的量子对称密钥通过量子随机数发生器产生。
步骤5:量子密钥管理中心组建密钥响应消息,向主叫终端A及被叫终端B提供本次呼叫所使用的会话密钥Ks,生成的新的量子对称密钥KA_new和KB_new,可选地,还提供新的密钥标识KID_A_new和KID_B_new及其他相关信息。若量子密钥管理中心在密钥响应消息中不传输KID_A_new和KID_B_new,则主叫终端A和被叫终端B在接收到KA_new和KB_new之后,应采用事先与量子密钥管理中心约定的某种方法,为量子密钥同步分配新的KID_A_new和KID_B_new,从而保持与量子密钥管理中心的同步。
对于主叫终端A,量子密钥管理中心向主叫终端A提供:量子会话密钥Ks、密钥标识KID_A、主被叫终端标识、新的量子对称密钥KA_new,可选地,还提供会话标识和/或新的密钥标识KID_A_new和/或时间戳或者序列号等信息。为了防止消息内容被窃听、篡改,确保传输过程的安全性,量子密钥管理中心应使用KA或者基于KA衍生得到的对称密钥KA’,对Ks,以及,可选地,KA_new、KID_A_new等相关信息进行加密和/或完整性保护,获得完整性保护的验证结果,如HMACA
同理,对于被叫终端B,量子密钥管理中心向B提供:量子会话密钥Ks、密钥标识KID_B、主被叫终端标识、新的量子对称密钥KB_new,可选地,还提供会话标识和/或新的密钥标识KID_B_new和/或时间戳或者序列号等信息。为了防止此部分消息内容被窃听、篡改,确保传输过程的安全性,量子密钥管理中心使用KB或者基于KB衍生得到的对称密钥KB’,对Ks,以及,可选地,对KB_new、KID_B_new等相关信息进行加密和/或完整性保护,获得完整性保护的验证结果,如HMACB
之后,量子密钥管理中心通过密钥响应消息将新生成的量子对称密钥,以及,可选地,密钥标识等信息发送给主叫终端A。响应消息包括:Msg_A、HMACA、Msg_B、HMACB等。这里,Msg_A包含经过安全保护后的KA_new、KID_A_new、Ks、时间戳或者序列号等相关信息,Msg_B包含经过安全保护后的KB_new、KID_B_new、Ks、时间戳或者序列号等相关信息。
步骤6:主叫终端A使用KA或者基于KA衍生得到的对称密钥KA’解密Msg_A,获取量子密钥管理中心产生的新的量子对称密钥KA_new,以及可选地,获取密钥标识KID_A_new、Ks、时间戳或者序列号等相关信息,并将有关的量子密钥安全存储,从而使预共享的量子对称密钥得到补充。如果Msg_A中包含时间戳或者序列号,主叫终端A可验证密钥响应消息Msg_A的新鲜性。
可选地,步骤7:主叫终端A向量子密钥管理中心返回消息,其中携带KID_A_new,可选地,还携带时间戳或者序列号等信息,用于确认KA_new已成功接收。该消息可基于KA或者KA’进行安全保护。之后,主叫终端A和量子密钥管理中心将使用过的KA销毁。
此外,如果不执行步骤7,那么量子密钥管理中心在步骤5之后,主叫终端A在步骤6之后将使用过的KA销毁。
步骤8:主叫终端A向被叫终端B发送会话密钥,消息中携带量子密钥管理中心向被叫被叫终端B提供的相关信息,包括Msg_B、HMACB等。
步骤9:被叫终端B使用KB或者基于KB衍生得到的对称密钥KB’解密Msg_B,获取量子密钥管理中心产生的新的量子对称密钥KB_new和Ks,可选地,还获取密钥标识KID_B_new、时间戳或者序列号等相关信息,并将有关的量子密钥安全存储,从而使预共享的量子对称密钥得到补充。如果Msg_B中包含时间戳或者序列号,被叫终端B可验证密钥响应消息Msg_B的新鲜性。
可选地,步骤10:被叫终端B向量子密钥管理中心返回消息,其中携带KID_B_new,可选地,还携带时间戳或者序列号等信息,用于确认KB_new已成功接收。该消息可基于KB或者KB’进行安全保护。之后,被叫终端B和量子密钥管理中心将使用过的KB销毁。
此外,如果不执行步骤10,那么量子密钥管理中心在步骤5之后,被叫终端B在步骤9之后将使用过的KB销毁。
步骤11:被叫终端B返回会话密钥确认消息,向主叫终端A确认量子会话密钥Ks已成功接收。
步骤12:主叫终端A确认被叫终端B已成功获取量子会话密钥Ks。
步骤13:主叫终端A与被叫终端B使用Ks对用户之间交互的话音信息进行加密保护,开始加密通话。通话结束后,主被叫终端将本次使用的量子会话密钥Ks销毁。
基于上文各实施例,需要说明,首先,本申请实施例可应用于加密语音和/或视频电话、加密短消息、加密即时消息、加密语音和/或视频、加密对讲消息、加密邮件等各种基于量子密钥的保密通信业务。上文仅以量子加密语音电话业务为例进行说明。这里所述的量子密钥管理中心,可以是指统一的量子密钥管理平台,为多种不同业务提供统一的密管服务,也可以是某种具体业务的密钥管理平台,例如,量子VoLTE加密通话业务的密管平台,专为量子VoLTE加密通话业务提供密钥管理服务。
其次,量子密钥管理中心与终端之间共享的量子对称密钥,起到对保密通信业务过程中终端与量子密钥管理中心间交互的相关信息(如,会话标识、量子会话密钥Ks、新的量子对称密钥KA_new和/或KB_new、密钥标识KID_A_new/KID_B_new等)进行加密、完整性保护、源认证等安全保护的作用,因此该共享对称密钥也可称为基础密钥、工作密钥、密钥保护密钥、认证密钥或者接入密钥等等。
再次,本申请实施例除了适用于两个终端参与的保密通信业务之外,还可适用于多个终端开展的保密通信业务,满足保密多方通话、保密语音和/或视频会议、保密群组消息、保密多方对讲等业务应用的需要。此时,量子密钥管理中心应基于当前正在使用的、与每一终端分别共享的量子对称密钥对新产生的量子对称密钥,可选地,新分配的量子密钥标识及相关信息,做加密保护,之后通过发起密钥请求的终端将加密保护后的新的量子对称密钥及相关信息发送给各个终端。可以统一发送,也可以分别发送。随后,各终端解密获取新产生的量子对称密钥。
本申请实施例通过量子对称密钥的随用补充,无需扩大设备的安全介质的存储空间,就能够使本地量子对称密钥存储数量较少的设备满足用户长期或频繁的量子保密通信业务使用的需要,适用于安全介质存储空间较小的设备,可降低设备成本。进一步地,在量子密钥管理相关消息中采用时间戳或序列号的机制,可抵御攻击者对于量子密钥的重放攻击。
为了实现本申请实施例的方法,本申请实施例还提供了一种密钥管理装置,设置在第一设备上,如图6所示,该装置包括:
第一接收单元601,用于接收第二设备发送的第一消息;
执行单元602,用于执行与第一消息相关的操作,并获得以下中的至少一种:第一密钥、第二密钥以及第三密钥;
第一发送单元603,用于将第一密钥、第二密钥以及第三密钥中的至少一个发送给第二设备。
其中,在一实施例中,第一密钥用于第一设备与第二设备之间的安全通信,或用于第二设备的本地信息的安全存储。
在一实施例中,第一发送单元603将第一密钥发送给第二设备,包括:
将利用第四密钥进行安全保护后的第一密钥发送给第二设备;其中,
第四密钥为第一设备与第二设备的共享密钥。
在一实施例中,执行单元602获得第一密钥,包括:
获得第一密钥及对应的第一标识;
第一发送单元603将第一密钥发送给第二设备,包括:
将第一密钥和/或对应的第一标识发送给第二设备。
在一实施例中,所述装置还包括:
第一存储单元,用于存储第一密钥和/或对应的第一标识。
在一实施例中,第二密钥用于第一设备与第三设备之间进行安全通信,或用于第三设备的本地信息的安全存储。
在一实施例中,第一发送单元603将第二密钥发送给第二设备,包括:
将利用第五密钥进行安全保护后的第二密钥发送给第二设备;其中,
第五密钥为第一设备与第三设备的共享密钥。
在一实施例中,所述方法还包括:
第三发送单元,用于向第三设备发送第二密钥。
在一实施例中,所述第三发送单元向第三设备发送第二密钥,包括:
将利用第五密钥进行安全保护后的第二密钥发送给第三设备;其中,
第五密钥为第一设备与第三设备的共享密钥。
在一实施例中,执行单元602获得第二密钥,包括:
获得第二密钥及对应的第二标识;
第一发送单元603将第二密钥发送给第二设备和/或第三设备,包括:
将第二密钥和/或对应的第二标识发送给第二设备和/或第三设备。
在一实施例中,所述装置还包括:
第二存储单元,用于存储第二密钥和/或对应的第二标识。
在一实施例中,第三密钥用于第二设备与第三设备之间进行安全通信。
在一实施例中,第一发送单元603将第三密钥发送给第二设备,包括:
将利用第四密钥和第五密钥分别进行安全保护后的第三密钥发送给第二设备;其中,
第四密钥为第一设备与第二设备的共享密钥,第五密钥为第一设备与第三设备的共享密钥。
在一实施例中,所述装置还包括:
第四发送单元,用于向第三设备发送第三密钥。
在一实施例中,所述第四发送单元向第三设备发送第三密钥,包括:
将利用第五密钥进行安全保护后的第三密钥发送给第三设备;其中,
第五密钥为第一设备与第三设备的共享密钥。
在一实施例中,执行单元602获得第三密钥,包括:
获得第三密钥及对应的第三标识;
第一发送单元603将第三密钥发送给第二设备和/或第三设备,包括:
将第三密钥和/或对应的第三标识发送给第二设备和/或第三设备。
在一实施例中,所述装置还包括:
第三存储单元,用于存储第三密钥和/或对应的第三标识。
在一实施例中,第一设备发送的消息中携带时间戳。
实际应用时,所述第一发送单元601、第一接收单元603、第三发送单元及第四发送单元可由密钥管理装置中的通信接口实现;所述执行单元602、第一存储单元、第二存储单元及第三存储单元可由密钥管理装置中的处理器实现。
为了实现本申请实施例的方法,本申请实施例还提供了一种密钥管理装置,设置在第二设备上,如图7所示,该装置包括:
第二发送单元701,用于向第一设备发送的第一消息;
第二接收单元702,用于接收第一设备发送的第一密钥、第二密钥以及第三密钥中的至少一个密钥。
其中,在一实施例中,第一密钥用于第一设备与第二设备之间的安全通信,或用于第二设备的本地信息的安全存储。
在一实施例中,第二接收单元702接收第一设备发送的第一密钥,包括:
接收第一设备发送的、利用第四密钥进行安全保护后的第一密钥;其中,第四密钥为第一设备与第二设备的共享密钥;
利用第四密钥对安全保护后的第一密钥进行解密。
在一实施例中,第二接收单元702接收第一设备发送的第一密钥,包括:
接收并存储第一密钥和/或对应的第一标识。
在一实施例中,第二密钥用于第一设备与第三设备之间进行安全通信,或用于第三设备的本地信息的安全存储。
在一实施例中,第二接收单元702接收第一设备发送的第二密钥,包括:
接收第一设备发送的、利用第五密钥进行安全保护后的第二密钥;其中,第五密钥为第一设备与第三设备的共享密钥;
将利用第五密钥进行安全保护后的第二密钥发送给第三设备。
在一实施例中,所述装置还包括:
第五发送单元,用于将第二密钥和/或对应的第二标识发送给第三设备。
在一实施例中,第三密钥用于第二设备与第三设备之间进行安全通信。
在一实施例中,第二接收单元702接收第一设备发送的第三密钥,包括:
接收第一设备发送的、利用第四密钥和第五密钥分别进行安全保护后的第三密钥;
利用第四密钥对经第四密钥保护后的第三密钥进行解密;
将经第五密钥保护后的第三密钥发送给第三设备;其中,
第四密钥为第一设备与第二设备的共享密钥,第五密钥为第一设备与第三设备的共享密钥。
在一实施例中,第二接收单元702接收第三密钥,包括:
接收并存储第三密钥和/或对应的第三标识。
在一实施例中,第二设备发送的消息中携带时间戳。
实际应用时,所述第二发送单元701、第二接收单元702和第五发送单元可由密钥管理装置中的通信接口实现。
为了实现本申请实施例的方法,本申请实施例还提供了一种密钥管理装置,设置在第三设备上,如图8所示,该装置包括:
第三接收单元801,用于接收第一设备和/或第二设备发送的第一密钥、第二密钥以及第三密钥中的至少一个密钥。
其中,在一实施例中,第二密钥用于第一设备与第三设备之间进行安全通信,或用于第三设备的本地信息的安全存储。
在一实施例中,第三接收单元801接收第一设备和/或第二设备发送的第二密钥,包括:
接收第一设备和/或第二设备发送的、利用第五密钥进行安全保护后的第二密钥;其中,
第五密钥为第一设备与第三设备的共享密钥。
在一实施例中,第三接收单元801接收第二密钥,包括:
接收并存储第二密钥和/或对应的第二标识。
在一实施例中,第三密钥用于第二设备与第三设备之间进行安全通信。
在一实施例中,第三接收单元801接收第二设备发送的第三密钥,包括:
接收第二设备发送的、经第五密钥安全保护的第三密钥;
利用第五密钥对经第五密钥安全保护的第三密钥进行解密;其中,
所述第五密钥为第一设备与第三设备的共享密钥。
在一实施例中,第三接收单元801接收第一设备发送的第三密钥,包括:
接收第一设备发送的、经第五密钥安全保护的第三密钥;
利用第五密钥对经第五密钥安全保护的第三密钥进行解密;其中,
所述第五密钥为第一设备与第三设备的共享密钥。
在一实施例中,第三接收单元801接收第三密钥,包括:
接收并存储第三密钥和/或对应的第三标识。
在一实施例中,所述装置还包括:
第六发送单元,用于向第一设备发送第二消息;其中,
所述第二消息用于返回密钥接收的结果。
在一实施例中,第三设备发送的消息中携带时间戳。
实际应用时,所述第三接收单元803及第六发送单元可由密钥管理装置中的通信接口实现。
需要说明的是:上述实施例提供的由密钥管理装置在进行由密钥管理时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将装置的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的由密钥管理装置与由密钥管理方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
基于上述程序模块的硬件实现,且为了实现本申请实施例第一设备侧的方法,本申请实施例还提供了一种第一设备,如图9所示,第一设备900包括:
第一通信接口901,能够与其他网络节点进行信息交互;
第一处理器902,与所述第一通信接口901连接,以实现与其他网络节点进行信息交互,用于运行计算机程序时,执行上述第一设备侧一个或多个技术方案提供的方法。而所述计算机程序存储在第一存储器903上。
具体地,所述第一通信接口901,用于接收第二设备发送的第一消息;
所述第一处理器902,用于执行与第一消息相关的操作,并获得以下中的至少一种:第一密钥、第二密钥以及第三密钥;
所述第一通信接口901,还用于将第一密钥、第二密钥以及第三密钥中的至少一个发送给第二设备。
其中,在一实施例中,第一密钥用于第一设备与第二设备之间的安全通信,或用于第二设备的本地信息的安全存储。
在一实施例中,所述第一通信接口901,用于将利用第四密钥进行安全保护后的第一密钥发送给第二设备;其中,
第四密钥为第一设备与第二设备的共享密钥。
在一实施例中,所述第一处理器902,用于获得第一密钥及对应的第一标识;
所述第一通信接口901,用于将第一密钥和/或对应的第一标识发送给第二设备。
在一实施例中,所述第一处理器902,还用于存储第一密钥和/或对应的第一标识。
在一实施例中,第二密钥用于第一设备与第三设备之间进行安全通信,或用于第三设备的本地信息的安全存储。
在一实施例中,所述第一通信接口901,用于将利用第五密钥进行安全保护后的第二密钥发送给第二设备;其中,
第五密钥为第一设备与第三设备的共享密钥。
在一实施例中,所述第一通信接口901,还用于向第三设备发送第二密钥。
在一实施例中,所述第一通信接口901,用于将利用第五密钥进行安全保护后的第二密钥发送给第三设备;其中,
第五密钥为第一设备与第三设备的共享密钥。
在一实施例中,所述第一处理器902,用于获得第二密钥及对应的第二标识;
所述第一通信接口901,用于将第二密钥和/或对应的第二标识发送给第二设备和/或第三设备。
在一实施例中,所述第一处理器902,还用于存储第二密钥和/或对应的第二标识。
在一实施例中,第三密钥用于第二设备与第三设备之间进行安全通信。
在一实施例中,所述第一通信接口901,用于将利用第四密钥和第五密钥分别进行安全保护后的第三密钥发送给第二设备;其中,
第四密钥为第一设备与第二设备的共享密钥,第五密钥为第一设备与第三设备的共享密钥。
在一实施例中,所述第一通信接口901,还用于向第三设备发送第三密钥。
在一实施例中,所述第一通信接口901,用于将利用第五密钥进行安全保护后的第三密钥发送给第三设备;其中,
第五密钥为第一设备与第三设备的共享密钥。
在一实施例中,所述第一处理器902,用于获得第三密钥及对应的第三标识;
所述第一通信接口901,用于将第三密钥和/或对应的第三标识发送给第二设备和/或第三设备。
在一实施例中,所述第一处理器902,还用于存储第三密钥和/或对应的第三标识。
在一实施例中,第一设备发送的消息中携带时间戳。
需要说明的是:第一处理器902和第一通信接口901的具体处理过程可参照上述方法理解。
当然,实际应用时,第一设备900中的各个组件通过总线系统904耦合在一起。可理解,总线系统904用于实现这些组件之间的连接通信。总线系统904除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图9中将各种总线都标为总线系统904。
本申请实施例中的第一存储器903用于存储各种类型的数据以支持第一设备900的操作。这些数据的示例包括:用于在第一设备900上操作的任何计算机程序。
上述本申请实施例揭示的方法可以应用于所述第一处理器902中,或者由所述第一处理器902实现。所述第一处理器902可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过所述第一处理器902中的硬件的集成逻辑电路或者软件形式的指令完成。上述的所述第一处理器902可以是通用处理器、数字信号处理器(DSP,Digital Signal Processor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。所述第一处理器902可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于第一存储器903,所述第一处理器902读取第一存储器903中的信息,结合其硬件完成前述方法的步骤。
在示例性实施例中,第一设备900可以被一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,ProgrammableLogic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、现场可编程门阵列(FPGA,Field-Programmable Gate Array)、通用处理器、控制器、微控制器(MCU,Micro Controller Unit)、微处理器(Microprocessor)、或者其他电子元件实现,用于执行前述方法。
基于上述程序模块的硬件实现,且为了实现本申请实施例第二设备侧的方法,本申请实施例还提供了一种第二设备,如图10所示,该第二设备1000包括:
第二通信接口1001,能够与其他网络节点进行信息交互;
第二处理器1002,与所述第二通信接口1001连接,以实现与其他网络节点进行信息交互,用于运行计算机程序时,执行上述第二设备侧一个或多个技术方案提供的方法。而所述计算机程序存储在第二存储器1003上。
具体地,所述第二通信接口1001,用于向第一设备发送的第一消息;以及接收第一设备发送的第一密钥、第二密钥以及第三密钥中的至少一个密钥。
其中,在一实施例中,第一密钥用于第一设备与第二设备之间的安全通信,或用于第二设备的本地信息的安全存储。
在一实施例中,所述第二通信接口1001用于接收第一设备发送的、利用第四密钥进行安全保护后的第一密钥;其中,第四密钥为第一设备与第二设备的共享密钥;
所述第二处理器1002,用于利用第四密钥对安全保护后的第一密钥进行解密。
在一实施例中,所述第二通信接口1001,用于接收第一密钥和/或对应的第一标识;
所述第二处理器1002,用于存储第一密钥和/或对应的第一标识。
在一实施例中,第二密钥用于第一设备与第三设备之间进行安全通信,或用于第三设备的本地信息的安全存储。
在一实施例中,所述第二通信接口1001,用于接收第一设备发送的、利用第五密钥进行安全保护后的第二密钥;其中,第五密钥为第一设备与第三设备的共享密钥;将利用第五密钥进行安全保护后的第二密钥发送给第三设备。
在一实施例中,所述第二通信接口1001,还用于将第二密钥和/或对应的第二标识发送给第三设备。
在一实施例中,第三密钥用于第二设备与第三设备之间进行安全通信。
在一实施例中,所述第二通信接口1001,用于接收第一设备发送的、利用第四密钥和第五密钥分别进行安全保护后的第三密钥;
第二处理器1002,还用于利用第四密钥对经第四密钥保护后的第三密钥进行解密;
所述第二通信接口1001,用于将经第五密钥保护后的第三密钥发送给第三设备;其中,
第四密钥为第一设备与第二设备的共享密钥,第五密钥为第一设备与第三设备的共享密钥。
在一实施例中,所述第二通信接口1001,用于接收并存储第三密钥和/或对应的第三标识。
在一实施例中,第二设备发送的消息中携带时间戳。
需要说明的是:第二处理器1002和第二通信接口1001的具体处理过程可参照上述方法理解。
当然,实际应用时,第二设备1000中的各个组件通过总线系统1004耦合在一起。可理解,总线系统1004用于实现这些组件之间的连接通信。总线系统1004除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图10中将各种总线都标为总线系统1004。
本申请实施例中的第二存储器1003用于存储各种类型的数据以支持第二设备1000操作。这些数据的示例包括:用于在第二设备1000上操作的任何计算机程序。
上述本申请实施例揭示的方法可以应用于所述第二处理器1002中,或者由所述第二处理器1002实现。所述第二处理器1002可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过所述第二处理器1002中的硬件的集成逻辑电路或者软件形式的指令完成。上述的所述第二处理器1002可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。所述第二处理器1002可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于第二存储器1003,所述第二处理器1002读取第二存储器1003中的信息,结合其硬件完成前述方法的步骤。
在示例性实施例中,第二设备1000可以被一个或多个ASIC、DSP、PLD、CPLD、FPGA、通用处理器、控制器、MCU、Microprocessor、或其他电子元件实现,用于执行前述方法。
基于上述程序模块的硬件实现,且为了实现本申请实施例第三设备侧的方法,本申请实施例还提供了一种第三设备,如图11所示,该第三设备1100包括:
第三通信接口1101,能够与其他网络节点进行信息交互;
第三处理器1102,与所述第三通信接口1101连接,以实现与其他网络节点进行信息交互,用于运行计算机程序时,执行上述第三设备侧一个或多个技术方案提供的方法。而所述计算机程序存储在第三存储器1103上。
具体地,所述第三通信接口1101,用于接收第一设备和/或第二设备发送的第一密钥、第二密钥以及第三密钥中的至少一个密钥。
其中,在一实施例中,第二密钥用于第一设备与第三设备之间进行安全通信,或用于第三设备的本地信息的安全存储。
在一实施例中,第三通信接口1101,用于接接收第一设备和/或第二设备发送的、利用第五密钥进行安全保护后的第二密钥;其中,
第五密钥为第一设备与第三设备的共享密钥。
在一实施例中,第三通信接口1101,用于接收并存储第二密钥和/或对应的第二标识。
在一实施例中,第三密钥用于第二设备与第三设备之间进行安全通信。
在一实施例中,第三通信接口1101,用于接收第二设备发送的、经第五密钥安全保护的第三密钥;
第三处理器1102,用于利用第五密钥对经第五密钥安全保护的第三密钥进行解密;其中,
所述第五密钥为第一设备与第三设备的共享密钥。
在一实施例中,第三通信接口1101,用于接收第一设备发送的、经第五密钥安全保护的第三密钥;
第三处理器1102,用于利用第五密钥对经第五密钥安全保护的第三密钥进行解密;其中,
所述第五密钥为第一设备与第三设备的共享密钥。
在一实施例中,第三通信接口1101,用于接收第三密钥和/或对应的第三标识;
第三处理器1102,用于存储第三密钥和/或对应的第三标识。
在一实施例中,第三通信接口1101,还用于向第一设备发送第二消息;其中,
所述第二消息用于返回密钥接收的结果。
在一实施例中,第三设备发送的消息中携带时间戳。
当然,实际应用时,第三设备1100中的各个组件通过总线系统1104耦合在一起。可理解,总线系统1104用于实现这些组件之间的连接通信。总线系统1104除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图11中将各种总线都标为总线系统1104。
本申请实施例中的第三存储器1103用于存储各种类型的数据以支持第三设备1100操作。这些数据的示例包括:用于在第三设备1100上操作的任何计算机程序。
上述本申请实施例揭示的方法可以应用于所述第三处理器1102中,或者由所述第三处理器1102实现。所述第三处理器1102可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过所述第三处理器1102中的硬件的集成逻辑电路或者软件形式的指令完成。上述的所述第三处理器1102可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。所述第三处理器1102可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于第三存储器1103,所述第三处理器1102读取第三存储器1103中的信息,结合其硬件完成前述方法的步骤。
在示例性实施例中,第三设备1100可以被一个或多个ASIC、DSP、PLD、CPLD、FPGA、通用处理器、控制器、MCU、Microprocessor、或其他电子元件实现,用于执行前述方法。
可以理解,本申请实施例的存储器(第一存储器903、第二存储器1003、第三存储器1103)可以是易失性存储器或者非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,ErasableProgrammable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,ElectricallyErasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagneticrandom access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random Access Memory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,SynchronousStatic Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random AccessMemory)、同步动态随机存取存储器(SDRAM,Synchronous Dynamic Random AccessMemory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data RateSynchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本申请实施例描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
在示例性实施例中,本申请实施例还提供了一种存储介质,即计算机存储介质,具体为计算机可读存储介质,例如包括存储计算机程序的第一存储器903,上述计算机程序可由第一设备900的第一处理器902执行,以完成前述第一设备侧方法所述步骤。再比如包括存储计算机程序的第二存储器1003,上述计算机程序可由第二设备1000的第二处理器1002执行,以完成前述第二设备侧方法所述步骤。再比如包括存储计算机程序的第三存储器1103,上述计算机程序可由第三设备1100的第三处理器1102执行,以完成前述第三设备侧方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。
需要说明的是:“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中术语“至少一种”表示多个中的任意一种或多种中的至少两种的任意组合,例如,包括A、B、C中的至少一种,可以表示包括从A、B和C构成的集合中选择的任意一个或多个元素。
另外,本申请实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
以上所述,仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。

Claims (49)

1.一种密钥管理方法,应用于第一设备,其特征在于,包括:
接收第二设备发送的第一消息;
执行与第一消息相关的操作,并获得以下中的至少一种:第一密钥、第二密钥以及第三密钥;
将第一密钥、第二密钥以及第三密钥中的至少一个发送给第二设备。
2.根据权利要求1所述的方法,其特征在于,第一密钥用于第一设备与第二设备之间的安全通信,或用于第二设备的本地信息的安全存储。
3.根据权利要求1所述的方法,其特征在于,将第一密钥发送给第二设备,包括:
将利用第四密钥进行安全保护后的第一密钥发送给第二设备;其中,
第四密钥为第一设备与第二设备的共享密钥。
4.根据权利要求1所述的方法,其特征在于,获得第一密钥,包括:
获得第一密钥及对应的第一标识;
将第一密钥发送给第二设备,包括:
将第一密钥和/或对应的第一标识发送给第二设备。
5.根据权利要求1或4所述的方法,其特征在于,所述方法还包括:
存储第一密钥和/或对应的第一标识。
6.根据权利要求1所述的方法,其特征在于,第二密钥用于第一设备与第三设备之间进行安全通信,或用于第三设备的本地信息的安全存储。
7.根据权利要求6所述的方法,其特征在于,将第二密钥发送给第二设备,包括:
将利用第五密钥进行安全保护后的第二密钥发送给第二设备;其中,
第五密钥为第一设备与第三设备的共享密钥。
8.根据权利要求6所述的方法,其特征在于,所述方法还包括:
向第三设备发送第二密钥。
9.根据权利要求8所述的方法,其特征在于,所述向第三设备发送第二密钥,包括:
将利用第五密钥进行安全保护后的第二密钥发送给第三设备;其中,
第五密钥为第一设备与第三设备的共享密钥。
10.根据权利要求6-9任一项所述的方法,其特征在于,获得第二密钥,包括:
获得第二密钥及对应的第二标识;
将第二密钥发送给第二设备和/或第三设备,包括:
将第二密钥和/或对应的第二标识发送给第二设备和/或第三设备。
11.根据权利要求6或10所述的方法,其特征在于,所述方法还包括:
存储第二密钥和/或对应的第二标识。
12.根据权利要求1所述的方法,其特征在于,第三密钥用于第二设备与第三设备之间进行安全通信。
13.根据权利要求12所述的方法,其特征在于,将第三密钥发送给第二设备,包括:
将利用第四密钥和第五密钥分别进行安全保护后的第三密钥发送给第二设备;其中,
第四密钥为第一设备与第二设备的共享密钥,第五密钥为第一设备与第三设备的共享密钥。
14.根据权利要求12所述的方法,其特征在于,所述方法还包括:
向第三设备发送第三密钥。
15.根据权利要求14所述的方法,其特征在于,所述向第三设备发送第三密钥,包括:
将利用第五密钥进行安全保护后的第三密钥发送给第三设备;其中,
第五密钥为第一设备与第三设备的共享密钥。
16.根据权利要求12-15任一项所述的方法,其特征在于,获得第三密钥,包括:
获得第三密钥及对应的第三标识;
将第三密钥发送给第二设备和/或第三设备,包括:
将第三密钥和/或对应的第三标识发送给第二设备和/或第三设备。
17.根据权利要求12或16所述的方法,其特征在于,所述方法还包括:
存储第三密钥和/或对应的第三标识。
18.根据权利要求1至17任一项所述的方法,其特征在于,第一设备发送的消息中携带时间戳。
19.一种密钥管理方法,应用于第二设备,其特征在于,包括:
向第一设备发送的第一消息;
接收第一设备发送的第一密钥、第二密钥以及第三密钥中的至少一个密钥。
20.根据权利要求19所述的方法,其特征在于,第一密钥用于第一设备与第二设备之间的安全通信,或用于第二设备的本地信息的安全存储。
21.根据权利要求19或20所述的方法,其特征在于,接收第一设备发送的第一密钥,包括:
接收第一设备发送的、利用第四密钥进行安全保护后的第一密钥;其中,第四密钥为第一设备与第二设备的共享密钥;
利用第四密钥对安全保护后的第一密钥进行解密。
22.根据权利要求19所述的方法,其特征在于,接收第一设备发送的第一密钥,包括:
接收并存储第一密钥和/或对应的第一标识。
23.根据权利要求19所述的方法,其特征在于,第二密钥用于第一设备与第三设备之间进行安全通信,或用于第三设备的本地信息的安全存储。
24.根据权利要求23所述的方法,其特征在于,接收第一设备发送的第二密钥,包括:
接收第一设备发送的、利用第五密钥进行安全保护后的第二密钥;其中,第五密钥为第一设备与第三设备的共享密钥;
将利用第五密钥进行安全保护后的第二密钥发送给第三设备。
25.根据权利要求23或24所述的方法,其特征在于,所述方法还包括:
将第二密钥和/或对应的第二标识发送给第三设备。
26.根据权利要求19所述的方法,其特征在于,第三密钥用于第二设备与第三设备之间进行安全通信。
27.根据权利要求26所述的方法,其特征在于,接收第一设备发送的第三密钥,包括:
接收第一设备发送的、利用第四密钥和第五密钥分别进行安全保护后的第三密钥;
利用第四密钥对经第四密钥保护后的第三密钥进行解密;
将经第五密钥保护后的第三密钥发送给第三设备;其中,
第四密钥为第一设备与第二设备的共享密钥,第五密钥为第一设备与第三设备的共享密钥。
28.根据权利要求26或27所述的方法,其特征在于,接收第一设备发送的第三密钥,包括:
接收并存储第三密钥和/或对应的第三标识。
29.根据权利要求19至28任一项所述的方法,其特征在于,第二设备发送的消息中携带时间戳。
30.一种密钥管理方法,应用于第三设备,其特征在于,包括:
接收第一设备和/或第二设备发送的第二密钥以及第三密钥中的至少一个密钥。
31.根据权利要求30所述的方法,其特征在于,第二密钥用于第一设备与第三设备之间进行安全通信,或用于第三设备的本地信息的安全存储。
32.根据权利要求30或31所述的方法,其特征在于,接收第一设备和/或第二设备发送的第二密钥,包括:
接收第一设备和/或第二设备发送的、利用第五密钥进行安全保护后的第二密钥;其中,
第五密钥为第一设备与第三设备的共享密钥。
33.根据权利要求30-32任一项所述的方法,其特征在于,接收第二密钥,包括:
接收并存储第二密钥和/或对应的第二标识。
34.根据权利要求30所述的方法,其特征在于,第三密钥用于第二设备与第三设备之间进行安全通信。
35.根据权利要求34所述的方法,其特征在于,接收第二设备发送的第三密钥,包括:
接收第二设备发送的、经第五密钥安全保护的第三密钥;
利用第五密钥对经第五密钥安全保护的第三密钥进行解密;其中,
所述第五密钥为第一设备与第三设备的共享密钥。
36.根据权利要求30所述的方法,其特征在于,接收第一设备发送的第三密钥,包括:
接收第一设备发送的、经第五密钥安全保护的第三密钥;
利用第五密钥对经第五密钥安全保护的第三密钥进行解密;其中,
所述第五密钥为第一设备与第三设备的共享密钥。
37.根据权利要求30-36任一项所述的方法,其特征在于,接收第一设备和/或第二设备发送的第三密钥,包括:
接收并存储第三密钥和/或对应的第三标识。
38.根据权利要求30所述的方法,其特征在于,所述方法还包括:
向第一设备发送第二消息;其中,
所述第二消息用于返回密钥接收的结果。
39.根据权利要求30-38任一所述的方法,其特征在于,第三设备发送的消息中携带时间戳。
40.一种密钥管理装置,其特征在于,包括:
第一接收单元,用于接收第二设备发送的第一消息;
执行单元,用于执行与第一消息相关的操作,并获得以下中的至少一种:第一密钥、第二密钥以及第三密钥;
第一发送单元,用于将第一密钥、第二密钥以及第三密钥中的至少一个发送给第二设备。
41.一种密钥管理装置,其特征在于,包括:
第二发送单元,用于向第一设备发送的第一消息;
第二接收单元,用于接收第一设备发送的第一密钥、第二密钥以及第三密钥中的至少一个密钥。
42.一种密钥管理装置,其特征在于,包括:
第三接收单元,用于接收第一设备和/或第二设备发送的第一密钥、第二密钥以及第三密钥中的至少一个密钥。
43.一种第一设备,其特征在于,包括:第一处理器及第一通信接口;其中,
所述第一通信接口,用于接收第二设备发送的第一消息;
所述第一处理器,用于执行与第一消息相关的操作,并获得以下中的至少一种:第一密钥、第二密钥以及第三密钥;
所述第一通信接口,还用于将第一密钥、第二密钥以及第三密钥中的至少一个发送给第二设备。
44.一种第二设备,其特征在于,包括:第二处理器及第二通信接口;其中,
所述第二通信接口,用于向第一设备发送的第一消息;以及接收第一设备发送的第一密钥、第二密钥以及第三密钥中的至少一个密钥。
45.一种第三设备,其特征在于,包括:第三处理器及第三通信接口;其中,
所述第三通信接口,用于接收第一设备和/或第二设备发送的第一密钥、第二密钥以及第三密钥中的至少一个密钥。
46.一种第一设备,其特征在于,包括:第一处理器和用于存储能够在处理器上运行的计算机程序的第一存储器,
其中,所述第一处理器用于运行所述计算机程序时,执行权利要求1至18任一项所述方法的步骤。
47.一种第二设备,其特征在于,包括:第二处理器和用于存储能够在处理器上运行的计算机程序的第二存储器,
其中,所述第二处理器用于运行所述计算机程序时,执行权利要求19至29任一项所述方法的步骤。
48.一种第三设备,其特征在于,包括:第三处理器和用于存储能够在处理器上运行的计算机程序的第三存储器,
其中,所述第三处理器用于运行所述计算机程序时,执行权利要求30至39任一项所述方法的步骤。
49.一种存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至18任一项所述方法的步骤,或者实现权利要求19至29任一项所述方法的步骤,或者实现权利要求30至39任一项所述方法的步骤。
CN202210837670.3A 2022-07-15 2022-07-15 密钥管理方法、装置、设备及存储介质 Pending CN117439734A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202210837670.3A CN117439734A (zh) 2022-07-15 2022-07-15 密钥管理方法、装置、设备及存储介质
PCT/CN2023/107243 WO2024012529A1 (zh) 2022-07-15 2023-07-13 密钥管理方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210837670.3A CN117439734A (zh) 2022-07-15 2022-07-15 密钥管理方法、装置、设备及存储介质

Publications (1)

Publication Number Publication Date
CN117439734A true CN117439734A (zh) 2024-01-23

Family

ID=89535632

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210837670.3A Pending CN117439734A (zh) 2022-07-15 2022-07-15 密钥管理方法、装置、设备及存储介质

Country Status (2)

Country Link
CN (1) CN117439734A (zh)
WO (1) WO2024012529A1 (zh)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3148152A1 (en) * 2015-09-22 2017-03-29 BAE Systems PLC Cryptographic key distribution
CN108847928B (zh) * 2018-04-26 2021-04-06 如般量子科技有限公司 基于群组型量子密钥卡实现信息加解密传输的通信系统和通信方法
CN109787763A (zh) * 2019-03-05 2019-05-21 山东鲁能软件技术有限公司 一种基于量子密钥的移动通信认证方法、系统、终端及存储介质
CN112512038B (zh) * 2020-11-19 2022-11-29 中国建设银行股份有限公司 会话密钥的生成方法、装置、电子设备及可读存储介质
CN114553418A (zh) * 2022-03-24 2022-05-27 中国电信股份有限公司 业务方法、装置、系统和终端

Also Published As

Publication number Publication date
WO2024012529A1 (zh) 2024-01-18

Similar Documents

Publication Publication Date Title
US20190068591A1 (en) Key Distribution And Authentication Method And System, And Apparatus
CN106063183B (zh) 用于云辅助密码学的方法和装置
US9253178B2 (en) Method and apparatus for authenticating a communication device
KR100961087B1 (ko) 콘텍스트 한정된 공유 비밀
CN111327583B (zh) 一种身份认证方法、智能设备及认证服务器
CN111030814B (zh) 秘钥协商方法及装置
EP1835688A1 (en) SIM based authentication
US8875236B2 (en) Security in communication networks
CN108111497A (zh) 摄像机与服务器相互认证方法和装置
CN102231725B (zh) 一种动态主机配置协议报文的认证方法、设备及系统
CN113497778A (zh) 一种数据的传输方法和装置
CN104836784A (zh) 一种信息处理方法、客户端和服务器
CN113382002B (zh) 数据请求方法、请求应答方法、数据通信系统及存储介质
WO2023241176A1 (zh) 通信方法、装置、设备、存储介质及程序产品
CN108353279A (zh) 一种认证方法和认证系统
CN115473655B (zh) 接入网络的终端认证方法、装置及存储介质
CN115022868A (zh) 卫星终端实体认证方法、系统及存储介质
CN115334497A (zh) 卫星终端密钥分发方法、装置及系统
CN104243452A (zh) 一种云计算访问控制方法及系统
WO2024041498A1 (zh) 一种保密通信处理方法、第一终端及存储介质
CN110417722B (zh) 一种业务数据通信方法、通信设备及存储介质
CN111836260B (zh) 一种认证信息处理方法、终端和网络设备
CN114338091B (zh) 数据传输方法、装置、电子设备及存储介质
CN111181730A (zh) 用户身份生成及更新方法和装置、存储介质和节点设备
CN112906032B (zh) 基于cp-abe与区块链的文件安全传输方法、系统及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination