TWI724091B - 金鑰產生方法及裝置 - Google Patents

金鑰產生方法及裝置 Download PDF

Info

Publication number
TWI724091B
TWI724091B TW106101933A TW106101933A TWI724091B TW I724091 B TWI724091 B TW I724091B TW 106101933 A TW106101933 A TW 106101933A TW 106101933 A TW106101933 A TW 106101933A TW I724091 B TWI724091 B TW I724091B
Authority
TW
Taiwan
Prior art keywords
key
factor
encryption
key factor
encrypted
Prior art date
Application number
TW106101933A
Other languages
English (en)
Other versions
TW201828641A (zh
Inventor
安勍
付穎芳
Original Assignee
香港商阿里巴巴集團服務有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 香港商阿里巴巴集團服務有限公司 filed Critical 香港商阿里巴巴集團服務有限公司
Priority to TW106101933A priority Critical patent/TWI724091B/zh
Publication of TW201828641A publication Critical patent/TW201828641A/zh
Application granted granted Critical
Publication of TWI724091B publication Critical patent/TWI724091B/zh

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申請提供一種金鑰產生方法及裝置,該金鑰產生方法包括:採用初始金鑰對第一設備產生的第一金鑰因子進行加密並透過第一安全通道發送給第二設備,其中,初始金鑰為第一設備與第二設備之間預設的金鑰;透過第一安全通道接收經過初始金鑰加密的第二金鑰因子,其中,第二金鑰因子由第二設備產生;對透過第一安全通道接收到的經過初始金鑰加密的第二金鑰因子進行解密,得到第二金鑰因子;根據第一金鑰因子、第二金鑰因子產生第一設備與第二設備的共享金鑰。在本發明的技術方案可以使閘道設備無法獲取第一設備與第二設備協商的共享金鑰,確保資料在第一設備與第二設備之間更加安全的傳輸,進一步降低資料在傳輸過程中被非法截獲的風險。

Description

金鑰產生方法及裝置
本申請關於網路安全技術領域,尤其關於一種金鑰產生方法及裝置。
為了確保資料在終端設備與閘道設備之間、閘道設備與公網伺服器之間的安全傳輸,通常會在終端設備與閘道設備之間、閘道設備與公網伺服器分別建立安全傳輸通道,閘道設備將資料從一個安全通道轉發至另一個安全通道,從而實現資料轉發的功能,而閘道設備在轉發資料的過程中,需要用與終端設備的共享金鑰解密經過終端設備加密的資料,再用與伺服器的共享金鑰加密後轉發給伺服器,因此閘道設備會存在洩露資料資訊的風險。
有鑑於此,本申請提供一種新的技術方案,可以使閘道設備無法獲取到兩設備之間的共享金鑰,從而降低資料在網路傳輸過程中被非法截獲的風險。
為實現上述目的,本申請提供技術方案如下: 根據本申請的第一方面,提出了一種金鑰產生方法,應用在第一設備上,包括:採用初始金鑰對所述第一設備產生的第一金鑰因子進行加密並透過第一安全通道發送給第二設備,其中,所述初始金鑰為所述第一設備與所述第二設備之間預設的金鑰;透過所述第一安全通道接收經過所述初始金鑰加密的第二金鑰因子,其中,所述第二金鑰因子由所述第二設備產生;對透過所述第一安全通道接收到的經過所述初始金鑰加密的所述第二金鑰因子進行解密,得到所述第二金鑰因子;根據所述第一金鑰因子、所述第二金鑰因子產生所述第一設備與第二設備的共享金鑰。
根據本申請的第二方面,提出了一種金鑰產生方法,應用在第二設備上,包括:透過第二安全通道接收來自第一設備的經過初始金鑰加密的第一金鑰因子,其中,所述初始金鑰為所述第一設備與所述第二設備之間預設的金鑰;對經過所述初始金鑰加密的所述第一金鑰因子進行解密,得到所述第一加密因子;根據所述第一金鑰因子、所述第二設備產生的第二金鑰因子產生所述第一設備與第二設備的共享金鑰。
根據本申請的協力廠商面,提出了一種金鑰產生裝 置,應用在第一設備上,包括:第一加密模組,用於採用初始金鑰對所述第一設備產生的第一金鑰因子進行加密並透過第一安全通道發送給第二設備,其中,所述初始金鑰為所述第一設備與所述第二設備之間預設的金鑰;第一接收模組,用於透過所述第一安全通道接收經過所述初始金鑰加密的第二金鑰因子,其中,所述第二金鑰因子由所述第二設備產生;第一解密模組,用於對透過所述第一接收模組透過所述第一安全通道接收到的經過所述初始金鑰加密的所述第二金鑰因子進行解密,得到所述第二金鑰因子;第一金鑰產生模組,用於根據所述第一金鑰因子、所述第一解密模組解密得到的所述第二金鑰因子產生所述第一設備與第二設備的共享金鑰。
根據本申請的第四方面,提出了一種金鑰產生裝置,應用在第二設備上,包括:第三接收模組,用於透過第二安全通道接收來自第一設備的經過初始金鑰加密的第一金鑰因子,其中,所述初始金鑰為所述第一設備與所述第二設備之間預設的金鑰;第三解密模組,用於對經過所述初始金鑰加密的所述第一金鑰因子進行解密,得到所述第一加密因子;第二金鑰產生模組,用於根據所述第一金鑰因子、所述第二設備產生的第二金鑰因子產生所述第一設備與第二設備的共享金鑰。
由以上技術方案可見,由於第一金鑰因子與第二金鑰因子在閘道設備的轉發過程中都經過初始金鑰加密,而初始金鑰為第一設備與第二設備之間預設的金鑰,因此閘道設備並不能獲知第一金鑰因子與第二金鑰因子;透過第一金鑰因子與第二金鑰因子產生第一設備與第二設備之間的共享金鑰,可以實現最終協商的共享金鑰只對第一設備和第二設備可知,閘道設備仍無法獲取協商的共享金鑰,因此可以確保資料在第一設備與第二設備之間更加安全的傳輸,進一步降低資料在傳輸過程中被非法截獲的風險。
101‧‧‧步驟
102‧‧‧步驟
103‧‧‧步驟
104‧‧‧步驟
201‧‧‧步驟
202‧‧‧步驟
203‧‧‧步驟
204‧‧‧步驟
205‧‧‧步驟
301‧‧‧步驟
302‧‧‧步驟
303‧‧‧步驟
401‧‧‧步驟
402‧‧‧步驟
403‧‧‧步驟
404‧‧‧步驟
501‧‧‧步驟
502‧‧‧步驟
503‧‧‧步驟
601‧‧‧步驟
602‧‧‧步驟
701‧‧‧步驟
702‧‧‧步驟
703‧‧‧步驟
704‧‧‧步驟
705‧‧‧步驟
1201‧‧‧第一加密模組
12011‧‧‧第一因子產生單元
12012‧‧‧第一加密單元
12013‧‧‧第二加密單元
1202‧‧‧第一接收模組
1203‧‧‧第一解密模組
12031‧‧‧第一解密單元
12032‧‧‧第二加密單元
1204‧‧‧第一金鑰產生模組
12041‧‧‧第一確定單元
12042‧‧‧第一因子產生單元
1205‧‧‧第一確定模組
1206‧‧‧第二確定模組
1207‧‧‧第一更換模組
1208‧‧‧第三確定模組
1209‧‧‧資料加密模組
1210‧‧‧第二接收模組
1211‧‧‧第二解密模組
1401‧‧‧第三接收模組
1402‧‧‧第三解密模組
1403‧‧‧第二金鑰產生模組
1404‧‧‧第二加密模組
1405‧‧‧第一發送模組
1406‧‧‧第三確定模組
1407‧‧‧第四確定模組
1408‧‧‧第二更換模組
1409‧‧‧第四接收模組
1410‧‧‧第四解密模組
1411‧‧‧響應資料產生模組
1412‧‧‧第三加密模組
1413‧‧‧第二發送模組
圖1示出了根據本發明的一示例性實施例一的金鑰產生方法的流程示意圖;圖2示出了根據本發明的一示例性實施例二的金鑰產生方法的流程示意圖;圖3示出了根據本發明的一示例性實施例三的金鑰產生方法的流程示意圖;圖4示出了根據本發明的一示例性實施例四的金鑰產生方法的流程示意圖;圖5示出了根據本發明的一示例性實施例五的金鑰產生方法的流程示意圖;圖6示出了根據本發明的一示例性實施例六的金鑰產生方法的流程示意圖;圖7示出了根據本發明的一示例性實施例七的金鑰產 生方法的流程示意圖;圖8示出了根據本發明的一示例性實施例所適用的終端設備與伺服器之間金鑰協商的信令示意圖;圖9示出了根據本發明的一示例性實施例所適用的終端設備與伺服器之間進行資料傳輸的信令示意圖;圖10示出了根據本發明的一示例性實施例的終端設備的結構示意圖;圖11示出了根據本發明的一示例性實施例的伺服器的結構示意圖;圖12示出了根據本發明的一示例性實施例的金鑰產生裝置的結構示意圖;圖13示出了根據本發明的又一示例性實施例的金鑰產生裝置的結構示意圖;圖14示出了根據本發明的再一示例性實施例的金鑰產生裝置的結構示意圖;圖15示出了根據本發明的另一示例性實施例的金鑰產生裝置的結構示意圖。
這裡將詳細地對示例性實施例進行說明,其示例表示在圖式中。下面的描述涉及圖式時,除非另有表示,不同圖式中的相同數字表示相同或相似的要素。以下示例性實施例中所描述的實施方式並不代表與本申請相一致的所有實施方式。相反,它們僅是與如所附申請專利範圍中所詳 述的、本申請的一些方面相一致的裝置和方法的例子。
在本申請使用的術語是僅僅出於描述特定實施例的目的,而非旨在限制本申請。在本申請和所附申請專利範圍中所使用的單數形式的“一種”、“所述”和“該”也旨在包括多數形式,除非上下文清楚地表示其他含義。還應當理解,本文中使用的術語“及/或”是指並包含一個或多個相關聯的列出專案的任何或所有可能組合。
應當理解,儘管在本申請可能採用術語第一、第二、第三等來描述各種資訊,但這些資訊不應限於這些術語。這些術語僅用來將同一類型的資訊彼此區分開。例如,在不脫離本申請範圍的情況下,第一資訊也可以被稱為第二資訊,類似地,第二資訊也可以被稱為第一資訊。取決於語境,如在此所使用的詞語“如果”可以被解釋成為“在......時”或“當......時”或“響應於確定”。
為對本申請進行進一步說明,提供下列實施例:根據本申請一個實施例,由於第一金鑰因子與第二金鑰因子在閘道設備的轉發過程中都經過初始金鑰加密,而初始金鑰為第一設備與第二設備之間預設的金鑰,因此閘道設備並不能獲知第一金鑰因子與第二金鑰因子;透過第一金鑰因子與第二金鑰因子產生第一設備與第二設備之間的共享金鑰,可以實現最終協商的共享金鑰只對第一設備和第二設備可知,閘道設備仍無法獲取協商的共享金鑰,因此可以確保資料在第一設備與第二設備之間更加安全的傳輸,進一步降低資料在傳輸過程中被非法截獲的風險。
圖1示出了根據本發明的一示例性實施例一的金鑰產生方法的流程示意圖;在一實施例中,第一設備可以為終端設備,第二設備可以為伺服器,可替換地,第一設備可以為伺服器,第二設備可以為終端設備,本實施例以應用在終端設備上為例進行示例性說明,如圖1所示,金鑰產生方法包括如下步驟:步驟101,採用初始金鑰對第一設備產生的第一金鑰因子進行加密並透過第一安全通道發送給第二設備,其中,初始金鑰為第一設備與第二設備之間預設的金鑰;步驟102,透過第一安全通道接收經過初始金鑰加密的第二金鑰因子,其中,第二金鑰因子由第二設備產生;步驟103,對透過第一安全通道接收到的經過初始金鑰加密的第二金鑰因子進行解密,得到第二金鑰因子;步驟104,根據第一金鑰因子、第二金鑰因子產生第一設備與第二設備的共享金鑰。
在步驟101中,在一實施例中,初始金鑰Kbasic可以在第一設備投入使用前,第二設備預先將Kbasic頒發給第一設備,可以透過硬體寫入的方式頒發給第一設備。在一實施例中,第一設備與第二設備之間透過閘道設備轉發相關資料資訊,其中,第一安全通道可以由第一設備與閘道設備協商建立,並透過第一安全通道傳輸相關資料資訊,第二安全通道可以由伺服器與閘道設備協商建立,並透過第二安全通道傳輸相關資料資訊。所屬技術領域中具有通常知識者可以理解的是,第一安全通道和第二安全通道的 建立過程可以參見現有技術的相關描述,例如,可以採用安全通訊端層(Secure Socket Layer,簡稱SSL)、安全傳輸層協議(Transport Layer Security,簡稱TLS)的金鑰協商機制。
在一實施例中,在第一設備需要向第二設備發起金鑰協商流程時,透過偽隨機函數產生第一金鑰因子,採用初始金鑰對第一金鑰因子進行加密,得到第一次加密後的第一金鑰因子,採用第一安全通道的第一加密金鑰對第一次加密後的第一金鑰因子進行加密,得到第二次加密後的第一金鑰因子。透過對第一金鑰因子進行雙重加密,可以使第一金鑰因子在閘道設備處不可知,避免第一金鑰因子在閘道設備側被非法截獲的風險。
在步驟103中,採用第一加密金鑰對經過雙重加密的第二金鑰因子進行解密,得到第一次解密後的第二金鑰因子,採用初始金鑰對第一次解密後的第二金鑰因子進行解密,得到第二金鑰因子。由於第二金鑰因子在第二設備處已經進行了雙重加密,因此第二金鑰因子在閘道設備處不可知,避免第二金鑰因子在閘道設備側被非法截獲的風險。
在步驟104中如何根據第一金鑰因子、第二金鑰因子產生第一設備與第二設備的共享金鑰的詳細描述參見下述描述,在此先不詳述。
由上述描述可知,由於第一金鑰因子與第二金鑰因子在閘道設備的轉發過程中都經過初始金鑰加密,而初始金 鑰為第一設備與第二設備之間預設的金鑰,因此閘道設備並不能獲知第一金鑰因子與第二金鑰因子;透過第一金鑰因子與第二金鑰因子產生第一設備與第二設備之間的共享金鑰,可以實現最終協商的共享金鑰只對第一設備和第二設備可知,閘道設備仍無法獲取協商的共享金鑰,因此可以確保資料在第一設備與第二設備之間更加安全的傳輸,進一步降低資料在傳輸過程中被非法截獲的風險。
圖2示出了根據本發明的一示例性實施例二的金鑰產生方法的流程示意圖,本實施例以上述圖1所示實施例中的步驟105中如何透過第一金鑰因子和第二金鑰因子產生第一設備與第二設備之間的共享金鑰為例進行示例性說明,如圖2所示,金鑰產生方法包括如下步驟:步驟201,確定第一設備與第二設備之間共享的初始金鑰和第一設備的設備標識;步驟202,將初始金鑰、設備標識、第一金鑰因子、第二金鑰因子依次連接,得到組合字串;步驟203,將組合字串切分為長度相等的兩個子字串;步驟204,對兩個子字串分別進行散列運算,得到兩個散列結果;步驟205,將兩個散列結果以位進行異或運算,得到第一設備與第二設備的共享金鑰。
在第一設備透過上述圖1所示實施例中的步驟104得到第二金鑰因子後,第一設備具有了第一金鑰因子p和第 二金鑰因子q。第一設備可以將第一金鑰因子和第二金鑰因子作為輸入,利用共享金鑰的產生演算法,得到金鑰KAC。其中,金鑰產生演算法如下:KAC=KeyGenerate(Kbasic,“Shared Key”,p,q);其中,Kbasic為初始金鑰,Shared Key為第一設備的設備標識,該設備標識可以為第一設備的設備序號,也可以為MAC位址,或者上述二者的組合,等等,只要能夠使第二設備能夠透過設備標識對第一設備與其它設備進行區分即可。
此外,在透過函數KeyGenerate產生共享金鑰的過程中,可以將第一加密金鑰Kbasic對應的字串,“Shared Key”,p,q依次連接,得到組合字串,將組合字串利用函數KeyGenerate產生共享金鑰KAC
在一實施例中,函數KeyGenerate所實現的過程具體可以為:將輸入的組合字串切分為長度相等的兩個子字串(如果組合字串的長度為奇數,則在組合字串的最後一位補1),之後對兩個子字串分別進行散列運算(例如,MD5),將得到的兩個計算結果以位進行異或運算,得到的結果即是共享金鑰KAC
以MD5為例進行示例性說明,由於MD5可以將任意長度的輸入轉化為128位長度的結果,因此共享金鑰KAC的長度為128位,簡化了共享金鑰計算的複雜度。由於共享金鑰KAC的計算採用MD5,計算量對於計算能力受限 的第一設備而言可以承受。
本實施例中,透過第一金鑰因子、第二金鑰因子、初始金鑰和第一設備的設備標識產生共享金鑰KAC,因此實現了在第一設備與第二設備之間是透過安全協商並共享該共享金鑰KAC,且該共享金鑰KAC對作為中間節點的閘道設備不可知,因此可以確保第一設備可以利用該共享金鑰KAC對發送至第二設備的資料進行加密,確保資料在網路傳輸過程中的安全性。
圖3示出了根據本發明的一示例性實施例三的金鑰產生方法的流程示意圖,在上述實施例的基礎上,如圖3所示,金鑰產生方法包括如下步驟:步驟301,確定第一設備與第二設備的共享金鑰的更換週期;步驟302,根據更換週期重新確定第一加密因子和第二加密因子;步驟303,根據重新確定的第一加密因子和第二加密因子更換第一設備與第二設備的共享金鑰。
在一實施例中,第一設備與第二設備可以約定共享金鑰KAC的更換週期,當共享金鑰KAC使用了更換週期對應的時長後,第一設備與第二設備之間重新發起產生共享金鑰KAC的流程,從而可以進一步保證共享金鑰KAC的及資料在網路傳輸過程中的安全性,進一步降低該共享金鑰KAC被破解的可能。
圖4示出了根據本發明的一示例性實施例四的金鑰產 生方法的流程示意圖,在上述圖1所示實施例產生共享金鑰後,可以透過共享金鑰對第一設備待傳輸的資料加密,並傳輸給第二設備,如圖4所示,對待傳輸的資料進行加密並傳輸的過程包括如下步驟:步驟401,確定第一設備需要向第二設備發送的待傳輸的資料;步驟402,採用共享金鑰對待傳輸的資料進行加密,並透過第一安全通道發送給第二設備;步驟403,透過第一安全通過接收第二設備在接收到待傳輸的資料產生的響應資料,響應資料已經經過共享金鑰加密;步驟404,採用共享金鑰對經過共享金鑰加密的響應資料進行解密,得到響應資料。
在步驟401中,待傳輸的資料可以為第一設備上的感測器獲取到的物聯網資料。
步驟402和步驟403中的第一安全通道的相關描述可以參見上述圖1所示實施例的相關描述,在此不再詳述。
在步驟404中,在透過第一安全通道接收到經過共享金鑰加密的響應資料時,可以先透過第一安全通道的第一加密金鑰對經過共享金鑰加密的響應資料進行解密,然後透過共享金鑰對響應資料進行第二次解密,從而得到原始的響應資料。
本實施例中,由於待傳輸的資料在閘道設備的轉發過程中都經過共享金鑰加密,而共享金鑰為第一設備與第二 設備之間共同協商的金鑰,因此閘道設備並不能獲知共享金鑰,因此可以確保待傳輸的資料在第一設備與第二設備之間更加安全的傳輸,進一步降低資料在傳輸過程中被非法截獲的風險。
圖5示出了根據本發明的一示例性實施例五的金鑰產生方法的流程示意圖,本實施例中,第一設備可以為終端設備,第二設備可以為伺服器,本實施例可以應用在第二設備上,如圖5所示,金鑰產生方法包括如下步驟:步驟501,透過第二安全通道接收來自第一設備的經過初始金鑰加密的第一金鑰因子,其中,初始金鑰為第一設備與第二設備之間預設的金鑰;步驟502,對經過初始金鑰加密的第一金鑰因子進行解密,得到第一加密因子;步驟503,根據第一金鑰因子、第二設備產生的第二金鑰因子產生第一設備與第二設備的共享金鑰。
步驟501中的第二安全通道的相關描述請參見上述圖1所示實施例的相關描述,在此不再詳述。
在步驟502中,在透過第二安全通道接收到經過初始金鑰加密的第一金鑰因子後,可以先透過第二安全通道的第二加密金鑰對經過初始金鑰加密的第一金鑰因子進行解密,然後透過初始金鑰對第一金鑰因子進行第二次解密,從而得到原始的第一金鑰因子。
步驟503中如何根據第一金鑰因子、第二金鑰因子產生第一設備與第二設備的共享金鑰的詳細描述可以參見上 述圖2所示實施例的描述,在此不再詳述。
由上述描述可知,由於第一金鑰因子與第二金鑰因子在閘道設備的轉發過程中都經過初始金鑰加密,而初始金鑰為第一設備與第二設備之間預設的金鑰,因此閘道設備並不能獲知第一金鑰因子與第二金鑰因子;透過第一金鑰因子與第二金鑰因子產生第一設備與第二設備之間的共享金鑰,可以實現最終協商的共享金鑰只對第一設備和第二設備可知,閘道設備仍無法獲取協商的共享金鑰,因此可以確保資料在第一設備與第二設備之間更加安全的傳輸,進一步降低資料在傳輸過程中被非法截獲的風險。
圖6示出了根據本發明的一示例性實施例六的金鑰產生方法的流程示意圖,如圖6所示,金鑰產生方法包括如下步驟:步驟601,採用初始金鑰對第二設備產生的第二金鑰因子進行加密;步驟602,透過第二安全通道將經過初始金鑰加密後的第二金鑰因子發送給第一設備。
本實施例中,採用第二安全通道的第二加密金鑰對經過初始金鑰加密後的第二金鑰因子進行第二次加密,從而可以使在發送至第一設備的過程中經由閘道設備轉發時第二金鑰因子對閘道設備是可不知的,避免第二金鑰因子在閘道設備側被非法截獲的風險。
圖7示出了根據本發明的一示例性實施例七的金鑰產生方法的流程示意圖,如圖7所示,金鑰產生方法包括如 下步驟:步驟701,透過第二安全通道接收來自第一設備的經過共享金鑰加密的待傳輸的資料;步驟702,採用共享金鑰對待傳輸的資料進行解密;步驟703,在接收到待傳輸的資料後,產生響應資料;步驟704,透過共享金鑰對響應資料進行加密;步驟705,透過第二安全通道向第一設備發送經過共享金鑰加密的響應資料。
步驟701中的第二安全通道的相關描述可以參見上述圖1所示實施例的相關描述,在此不再詳述。
在步驟704中,在透過第二安全通道接收到來自第一設備的待傳輸的資料後,透過共享金鑰對待傳輸的資料經過共享金鑰解密後得到原始的資料,在需要對第一設備做出響應時,可以先透過第二安全通道的第二加密金鑰對經過共享金鑰加密的響應資料進行加密,從而使閘道設備在轉發響應資料的過程中不能夠獲取到原始的響應資料。
本實施例中,由於待傳輸的資料在閘道設備的轉發過程中都經過共享金鑰加密,而共享金鑰為第一設備與第二設備之間共同協商的金鑰,因此閘道設備並不能獲知共享金鑰,因此可以確保待傳輸的資料在第一設備與第二設備之間更加安全的傳輸,進一步降低資料在傳輸過程中被非法截獲的風險。
透過上述實施例,可以基於第一設備和第二設備之間 預置的初始金鑰,在各自對應的本地透過金鑰產生演算法產生共享金鑰,最後利用共享金鑰對待傳輸的資料進行加密,從而可以使閘道設備在網路中轉發資料時無法查看到原始的資料,從而達到了安全傳輸資料的目的。
圖8示出了根據本發明的一示例性實施例所適用的終端設備與伺服器之間金鑰協商的信令示意圖,以第一設備為終端設備,第二設備為伺服器為例進行示例性說明,其中,終端設備在接入到網路前,伺服器需要預先為終端設備頒發初始金鑰(Kbasic),可以透過硬體寫入等方式頒發給終端設備,如圖8所示,終端設備和伺服器之間進行金鑰協商包括如下步驟:步驟801,終端設備與閘道設備協商第一安全通道的第一加密金鑰(KAB),並建立終端設備與閘道設備之間的第一安全通道。該第一安全通道的建立方法可以參見現有技術的相關描述。
步驟802,閘道設備與伺服器協商第二安全通道的第二加密金鑰(KBC),並建立第二安全通道。與上述步驟801類似,第二安全通道的建立過程可以參見現有技術的相關描述,同樣可以採用SSL、TLS的金鑰協商機制。所屬技術領域中具有通常知識者可以理解的是,步驟801和步驟802的順序可以互換,可以根據實際執行的需求設定執行順序。
步驟803,終端設備準備發起與伺服器的金鑰協商流程,終端設備產生第一金鑰因子(p),該第一金鑰因子 用於產生終端設備與伺服器的共享金鑰。同時,利用初始金鑰(Kbasic)加密第一金鑰因子,得到Kbasic(p),再採用第一加密金鑰KAB加密,得到KAB[Kbasic(p)]。
步驟804,終端設備透過第一安全通道向閘道設備發送經過雙重加密的第一金鑰因子KAB[Kbasic(p)]。
步驟805,閘道設備在接收到經過雙重加密的第一金鑰因子KAB[Kbasic(p)]後,採用第一安全通道的第一加密金鑰KAB對經過雙重加密的第一金鑰因子KAB[Kbasic(p)]進行解密,得到Kbasic(p),之後再採用第二安全通道的第三加密金鑰KBC進行加密,得到雙重加密的KBC[Kbasic(p)]。
步驟806,將經過初始金鑰和第二加密金鑰雙重加密的第一金鑰因子KBC[Kbasic(p)]透過第二安全通道發送給伺服器。
步驟807,伺服器接收到經過雙重加密的第一金鑰因子後,採用第二安全通道的第二加密金鑰KBC對經過雙重加密的第一金鑰因子進行解密,得到Kbasic(p),之後利用初始金鑰Kbasic對Kbasic(p)進行解密,得到第一金鑰因子p。
步驟808,伺服器透過偽隨機函數產生第二金鑰因子(q),該第二金鑰因子q將與第一金鑰因子p共同作為參數產生共享金鑰KAC
步驟809,伺服器採用初始金鑰Kbasic加密第二加密因子q,得到Kbasic(q),再採用第二加密金鑰KBC對 Kbasic(q)加密,得到KBC[Kbasic(q)]。
步驟810,伺服器透過第二安全通道向閘道設備發送經過雙重加密的第二金鑰因子KBC[Kbasic(q)]。
步驟811,閘道設備接收到經過雙重加密的第二金鑰因子KBC[Kbasic(q)]後,採用第二安全通道的第二加密金鑰KBC對經過雙重加密的第二加密因子進行解密,得到Kbasic(q),之後利用第一安全通道的第一加密金鑰KAB進行加密,得到KAB[Kbasic(q)],之後將經過雙重加密的第二加密因子透過第一安全通道發送至終端設備。
步驟812,終端設備接收到該經過雙重加密的第二加密因子後,採用第一安全通道的第一加密金鑰KAB對經過雙重加密的第二加密因子進行解密,得到Kbasic(q),之後利用第一加密金鑰Kbasic對第一次解密後的Kbasic(q)進行二次解密,得到第二金鑰因子q。
步驟813,終端設備與伺服器均共享了第一金鑰因子p和第二金鑰因子q,終端設備與伺服器均將第一金鑰因子和第二金鑰因子作為輸入,採用金鑰產生演算法,得到終端設備和伺服器之間的共享金鑰KAC。其中,金鑰產生演算法的詳細描述可以參見上述圖2所示實施例的相關描述,在此不再詳述。
本實施例中,由此實現了共享金鑰KAC在終端設備與公網伺服器間的安全協商和共享,且該共享金鑰對作為中間節點的閘道設備不可知,之後終端設備可以利用該共享金鑰,對發往公網伺服器的物聯網資料進行加密,從而保 證了資料傳輸的安全性。
為了進一步保證共享金鑰及資料傳輸的安全性,終端設備可以與伺服器之間週期性地進行金鑰協商流程來更換共享金鑰KAC,從而可以進一步降低該共享金鑰被破解的可能。
圖9示出了根據本發明的一示例性實施例一的資料傳輸方法的流程示意圖,在透過上述圖8所示實施例產生共享秘鑰後,終端設備如果需要向伺服器發送物聯網資料(data),如圖9所示,資料傳輸方法包括如下步驟:步驟901,使用共享金鑰KAC對物聯網資料進行一次加密,得到密文KAC(data),之後使用第一安全通道的第一加密金鑰KAB二次加密,得到密文KAB[KAC(data)]。
步驟902,終端設備透過第一安全通道向閘道設備發送密文KAB[KAC(data)]。
步驟903,閘道設備收到密文KAB[KAC(data)]後,使用第一安全金鑰KAB解密,得到KAC(data),然後使用第二加密金鑰KBC進行加密,得到密文KBC[KAC(data)]。
步驟904,閘道設備透過第二安全通道向伺服器發送密文KBC[KAC(data)]。
步驟905,伺服器接收到經過雙重加密的密文KBC[KAC(data)]後,使用第二加密金鑰KBC解密,得到KAC(data),然後使用共享金鑰KAC解密,得到原始的 物聯網資料data。
步驟906,伺服器在得到原始的物聯網資料後,產生響應資料(res),利用共享金鑰KAC對響應資料加密,得到密文KAC(res),再使用第二加密金鑰KBC進行二次加密,得到KBC[KAC(res)]。
步驟907,伺服器透過第二安全通道向閘道設備發送經過雙重加密的密文KBC[KAC(res)]。
步驟908,閘道設備收到經過雙重加密的密文KBC[KAC(res)]後,使用第二加密金鑰KBC解密,得到KAC(res),然後使用第一加密金鑰KAB進行加密,得到密文KAB[KAC(res)]。
步驟909,閘道設備透過第一安全通道向終端設備發送經過雙重加密的密文KAB[KAC(res)]。
步驟910,終端設備接收到經過雙重加密的密文KAB[KAC(res]後,使用第一加密金鑰KAB解密,得到KAC(res),然後使用共享金鑰KAC解密,得到原始的響應資料(res)。
本實施例中,實現了終端設備透過中間節點的閘道設備與伺服器間的跨網域的金鑰協商與共享,共享金鑰對閘道設備不可知,確保了物聯網資料在終端設備與伺服器間的端到端的安全傳輸;此外,除了保證終端設備與閘道設備間的資料安全傳輸和閘道設備與公網伺服器間的資料安全傳輸,資料在傳輸路徑上的閘道設備內的轉發過程也受到安全保護,即使閘道設備被非法入侵,經由閘道設備轉 發的物聯網資料也依然由於被共享金鑰加密而受到保護,避免物聯網資料被非法截取。
對應於上述的金鑰產生方法,本申請還提出了圖10所示的根據本申請的一示例性實施例的終端設備的示意結構圖。請參考圖10,在硬體層面,該網路服務器包括處理器、內部匯流排、網路介面、記憶體以及非易失性記憶體,當然還可能包括其他業務所需要的硬體。處理器從非易失性記憶體中讀取對應的電腦程式到記憶體中然後運行,在邏輯層面上形成金鑰產生裝置。當然,除了軟體實現方式之外,本申請並不排除其他實現方式,比如邏輯裝置抑或軟硬體結合的方式等等,也就是說以下處理流程的執行主體並不限定於各個邏輯單元,也可以是硬體或邏輯裝置。
對應於上述的金鑰產生方法,本申請還提出了圖11所示的根據本申請的一示例性實施例的伺服器的示意結構圖。請參考圖11,在硬體層面,該網路服務器包括處理器、內部匯流排、網路介面、記憶體以及非易失性記憶體,當然還可能包括其他業務所需要的硬體。處理器從非易失性記憶體中讀取對應的電腦程式到記憶體中然後運行,在邏輯層面上形成金鑰產生裝置。當然,除了軟體實現方式之外,本申請並不排除其他實現方式,比如邏輯裝置抑或軟硬體結合的方式等等,也就是說以下處理流程的執行主體並不限定於各個邏輯單元,也可以是硬體或邏輯裝置。
圖12示出了根據本發明的一示例性實施例的金鑰產生裝置的結構示意圖;如圖12所示,該金鑰產生裝置可以包括:第一加密模組1201、第一接收模組1202、第一解密模組1203、第一金鑰產生模組1204。其中:第一加密模組1201,用於採用初始金鑰對第一設備產生的第一金鑰因子進行加密並透過第一安全通道發送給第二設備,其中,初始金鑰為第一設備與第二設備之間預設的金鑰;第一接收模組1202,用於透過第一安全通道接收經過初始金鑰加密的第二金鑰因子,其中,第二金鑰因子由第二設備產生;第一解密模組1203,用於對透過第一接收模組1202透過第一安全通道接收到的經過初始金鑰加密的第二金鑰因子進行解密,得到第二金鑰因子;第一金鑰產生模組1204,用於根據第一金鑰因子、第一解密模組1203解密得到的第二金鑰因子產生第一設備與第二設備的共享金鑰。
圖13示出了根據本發明的又一示例性實施例的金鑰產生裝置的結構示意圖;如圖13所示,在上述圖12所示實施例的基礎上,第一加密模組1201可包括:第一因子產生單元12011,用於在第一設備需要向第二設備發起金鑰協商流程時,透過偽隨機函數產生第一金鑰因子;第一加密單元12012,用於採用初始金鑰對第一因子 產生單元12011產生的第一金鑰因子進行加密,得到第一次加密後的第一金鑰因子;第二加密單元12013,用於採用第一安全通道的第一加密金鑰對第一加密單元12012第一次加密後的第一金鑰因子進行加密,得到第二次加密後的第一金鑰因子。
在一實施例中,第一解密模組1203包括:第一解密單元12031,用於採用第一加密金鑰對經過雙重加密的第二金鑰因子進行解密,得到第一次解密後的第二金鑰因子;第二加密單元12032,用於採用初始金鑰對第一解密單元12031第一次解密後的第二金鑰因子進行解密,得到第二金鑰因子。
在一實施例中,第一金鑰產生模組1204可包括:第一確定單元12041,用於確定第一設備與第二設備之間共享的第一加密金鑰和第一設備的設備標識;第一因子產生單元12042,用於根據第一加密金鑰、第一確定單元12041確定的設備標識、第一金鑰因子、第一解密模組1203得到的第二金鑰因子產生第一設備與第二設備的共享金鑰。
在一實施例中,第一因子產生單元具體用於:將第一加密金鑰、設備標識、第一金鑰因子、第二金鑰因子依次連接,得到組合字串;將組合字串切分為長度相等的兩個子字串;對兩個子字串分別進行散列運算,得到兩個散列結 果;將兩個散列結果以位進行異或運算,得到第一設備與第二設備的共享金鑰。
在一實施例中,裝置還可包括:第一確定模組1205,用於確定第一設備與第二設備的共享金鑰的更換週期;第二確定模組1206,用於根據第一確定模組1205確定的更換週期重新確定第一加密因子和第二加密因子;第一更換模組1207,用於根據第二確定模組1206重新確定的第一加密因子和第二加密因子更換第一設備與第二設備的共享金鑰。
在一實施例中,裝置還可包括:第三確定模組1208,用於確定第一設備需要向第二設備發送的待傳輸的資料;資料加密模組1209,用於採用共享金鑰對第三確定模組1208確定的待傳輸的資料進行加密,並透過第一安全通道發送給第二設備。
在一實施例中,裝置還可包括:第二接收模組1210,用於透過第一安全通過接收第二設備在接收到待傳輸的資料產生的響應資料,響應資料已經經過共享金鑰加密;第二解密模組1211,用於採用共享金鑰對經過共享金鑰加密的響應資料進行解密,得到響應資料。
圖14示出了根據本發明的再一示例性實施例的金鑰 產生裝置的結構示意圖;如圖14所示,該金鑰產生裝置可以包括:第三接收模組1401、第三解密模組1402、第二金鑰產生模組1403。其中:第三接收模組1401,用於透過第二安全通道接收來自第一設備的經過初始金鑰加密的第一金鑰因子,其中,初始金鑰為第一設備與第二設備之間預設的金鑰;第三解密模組1402,用於對經過初始金鑰加密的第一金鑰因子進行解密,得到第一加密因子;第二金鑰產生模組1403,用於根據第一金鑰因子、第二設備產生的第二金鑰因子產生第一設備與第二設備的共享金鑰。
圖15示出了根據本發明的另一示例性實施例的金鑰產生裝置的結構示意圖;如圖15所示,在上述圖14所示實施例的基礎上,第二金鑰產生模組1403具體用於:將第一加密金鑰、第一設備的設備標識、第一金鑰因子、第二金鑰因子依次連接,得到組合字串;將組合字串切分為長度相等的兩個子字串;對兩個子字串分別進行散列運算,得到兩個散列結果;將兩個散列結果以位進行異或運算,得到第一設備與第二設備的共享金鑰。
在一實施例中,裝置還可包括:第二加密模組1404,用於採用初始金鑰對第二設備產生的第二金鑰因子進行加密; 第一發送模組1405,用於透過第二安全通道將經過初始金鑰加密後的第二金鑰因子發送給第一設備。
在一實施例中,裝置還可包括:第三確定模組1406,用於確定第一設備與第二設備的共享金鑰的更換週期;第四確定模組1407,用於根據更換週期重新確定第一加密因子和第二加密因子;第二更換模組1408,用於根據重新確定的第一加密因子和第二加密因子更換第一設備與第二設備的共享金鑰。
在一實施例中,裝置還可包括:第四接收模組1409,用於透過第二安全通道接收來自第一設備的經過共享金鑰加密的待傳輸的資料;第四解密模組1410,用於採用共享金鑰對待傳輸的資料進行解密。
在一實施例中,裝置還可包括:響應資料產生模組1411,用於在接收到待傳輸的資料後,產生響應資料;第三加密模組1412,用於透過共享金鑰對響應資料進行加密;第二發送模組1413,用於透過第二安全通道向第一設備發送經過共享金鑰加密的響應資料。
上述實施例可見,由於第一金鑰因子與第二金鑰因子在閘道設備的轉發過程中都經過初始金鑰加密,而初始金 鑰為第一設備與第二設備之間預設的金鑰,因此閘道設備並不能獲知第一金鑰因子與第二金鑰因子;透過第一金鑰因子與第二金鑰因子產生第一設備與第二設備之間的共享金鑰,可以實現最終協商的共享金鑰只對第一設備和第二設備可知,閘道設備仍無法獲取協商的共享金鑰,因此可以確保資料在第一設備與第二設備之間更加安全的傳輸,進一步降低資料在傳輸過程中被非法截獲的風險。
所屬技術領域中具有通常知識者在考慮說明書及實踐這裡揭露的發明後,將容易想到本申請的其它實施方案。本申請旨在涵蓋本申請的任何變型、用途或者適應性變化,這些變型、用途或者適應性變化遵循本申請的一般性原理並包括本申請未揭露的本技術領域中的通常知識或慣用技術手段。說明書和實施例僅被視為示例性的,本申請的真正範圍和精神由下面的申請專利範圍指出。
還需要說明的是,術語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含,從而使得包括一系列要素的過程、方法、商品或者設備不僅包括那些要素,而且還包括沒有明確列出的其他要素,或者是還包括為這種過程、方法、商品或者設備所固有的要素。在沒有更多限制的情況下,由語句“包括一個......”限定的要素,並不排除在包括所述要素的過程、方法、商品或者設備中還存在另外的相同要素。
以上所述僅為本申請的較佳實施例而已,並不用以限制本申請,凡在本申請的精神和原則之內,所做的任何修 改、等同替換、改進等,均應包含在本申請保護的範圍之內。

Claims (28)

  1. 一種金鑰產生方法,應用在第一設備上,所述方法包括:採用初始金鑰對所述第一設備產生的第一金鑰因子進行加密並透過第一安全通道發送給第二設備,其中,所述初始金鑰為所述第一設備與所述第二設備之間預設的金鑰;透過所述第一安全通道接收經過所述初始金鑰加密的第二金鑰因子,其中,所述第二金鑰因子由所述第二設備產生;對透過所述第一安全通道接收到的經過所述初始金鑰加密的所述第二金鑰因子進行解密,得到所述第二金鑰因子;根據所述第一金鑰因子、所述第二金鑰因子產生所述第一設備與第二設備的共享金鑰,其中,所述第一安全通道由所述第一設備與閘道設備協商建立,所述第一金鑰因子與所述第二金鑰因子在所述閘道設備的轉發過程中都經過所述初始金鑰加密。
  2. 根據申請專利範圍第1項所述的方法,其中,所述採用初始金鑰對所述第一設備產生的第一金鑰因子進行加密,包括:在所述第一設備需要向第二設備發起金鑰協商流程時,透過偽隨機函數產生第一金鑰因子;採用初始金鑰對所述第一金鑰因子進行加密,得到第 一次加密後的所述第一金鑰因子;採用第一安全通道的第一加密金鑰對所述第一次加密後的所述第一金鑰因子進行加密,得到第二次加密後的所述第一金鑰因子。
  3. 根據申請專利範圍第1項所述的方法,其中,所述對透過所述第一安全通道接收到的經過所述第一加密金鑰加密的所述第二金鑰因子進行解密,包括:採用所述第一加密金鑰對經過雙重加密的所述第二金鑰因子進行解密,得到第一次解密後的所述第二金鑰因子;採用所述初始金鑰對所述第一次解密後的所述第二金鑰因子進行解密,得到所述第二金鑰因子。
  4. 根據申請專利範圍第1項所述的方法,其中,所述根據所述第一金鑰因子、所述第二金鑰因子產生所述第一設備與第二設備的共享金鑰,包括:確定所述第一設備與所述第二設備之間共享的初始金鑰和所述第一設備的設備標識;根據所述初始金鑰、所述設備標識、所述第一金鑰因子、所述第二金鑰因子產生所述第一設備與第二設備的共享金鑰。
  5. 根據申請專利範圍第4項所述的方法,其中,所述根據所述設備標識、所述第一加密金鑰、所述第一金鑰因子、所述第二金鑰因子產生所述第一設備與第二設備的共享金鑰,包括: 將所述第一加密金鑰、所述設備標識、所述第一金鑰因子、所述第二金鑰因子依次連接,得到組合字串;將所述組合字串切分為長度相等的兩個子字串;對所述兩個子字串分別進行散列運算,得到兩個散列結果;將所述兩個散列結果以位進行異或運算,得到所述第一設備與第二設備的共享金鑰。
  6. 根據申請專利範圍第1項所述的方法,其中,所述方法還包括:確定所述第一設備與所述第二設備的共享金鑰的更換週期;根據所述更換週期重新確定所述第一加密因子和所述第二加密因子;根據重新確定的所述第一加密因子和所述第二加密因子更換所述第一設備與所述第二設備的共享金鑰。
  7. 根據申請專利範圍第1至6項中任一項所述的方法,其中,所述方法還包括:確定所述第一設備需要向所述第二設備發送的待傳輸的資料;採用所述共享金鑰對所述待傳輸的資料進行加密,並透過所述第一安全通道發送給所述第二設備。
  8. 根據申請專利範圍第7項所述的方法,其中,所述方法還包括:透過所述第一安全通道接收所述第二設備在接收到所 述待傳輸的資料產生的響應資料,所述響應資料已經經過所述共享金鑰加密;採用所述共享金鑰對所述經過所述共享金鑰加密的所述響應資料進行解密,得到所述響應資料。
  9. 一種金鑰產生方法,應用在第二設備上,所述方法包括:透過第二安全通道接收來自第一設備的經過初始金鑰加密的第一金鑰因子,其中,所述初始金鑰為所述第一設備與所述第二設備之間預設的金鑰;對經過所述初始金鑰加密的所述第一金鑰因子進行解密,得到所述第一加密因子;根據所述第一金鑰因子、所述第二設備產生的第二金鑰因子產生所述第一設備與第二設備的共享金鑰,其中,所述第二安全通道由所述第二設備與閘道設備協商建立,所述第一金鑰因子與所述第二金鑰因子在所述閘道設備的轉發過程中都經過所述初始金鑰加密。
  10. 根據申請專利範圍第9項所述的方法,其中,所述根據所述第一金鑰因子、所述第二設備產生的第二金鑰因子產生所述第一設備與第二設備的共享金鑰,包括:將所述第一加密金鑰、所述第一設備的設備標識、所述第一金鑰因子、所述第二金鑰因子依次連接,得到組合字串;將所述組合字串切分為長度相等的兩個子字串;對所述兩個子字串分別進行散列運算,得到兩個散列 結果;將所述兩個散列結果以位進行異或運算,得到所述第一設備與第二設備的共享金鑰。
  11. 根據申請專利範圍第9項所述的方法,其中,所述方法還包括:採用所述初始金鑰對所述第二設備產生的第二金鑰因子進行加密;透過所述第二安全通道將所述經過所述初始金鑰加密後的所述第二金鑰因子發送給所述第一設備。
  12. 根據申請專利範圍第9項所述的方法,其中,所述方法還包括:確定所述第一設備與所述第二設備的共享金鑰的更換週期;根據所述更換週期重新確定所述第一加密因子和所述第二加密因子;根據重新確定的所述第一加密因子和所述第二加密因子更換所述第一設備與所述第二設備的共享金鑰。
  13. 根據申請專利範圍第9至12項中任一項所述的方法,其中,所述方法還包括:透過第二安全通道接收來自所述第一設備的經過所述共享金鑰加密的待傳輸的資料;採用所述共享金鑰對所述待傳輸的資料進行解密。
  14. 根據申請專利範圍第13項所述的方法,其中,所述方法還包括: 在接收到所述待傳輸的資料後,產生響應資料;透過所述共享金鑰對所述響應資料進行加密;透過所述第二安全通道向所述第一設備發送經過所述共享金鑰加密的響應資料。
  15. 一種金鑰產生裝置,應用在第一設備上,所述裝置包括:第一加密模組,用於採用初始金鑰對所述第一設備產生的第一金鑰因子進行加密並透過第一安全通道發送給第二設備,其中,所述初始金鑰為所述第一設備與所述第二設備之間預設的金鑰;第一接收模組,用於透過所述第一安全通道接收經過所述初始金鑰加密的第二金鑰因子,其中,所述第二金鑰因子由所述第二設備產生;第一解密模組,用於對透過所述第一接收模組透過所述第一安全通道接收到的經過所述初始金鑰加密的所述第二金鑰因子進行解密,得到所述第二金鑰因子;第一金鑰產生模組,用於根據所述第一金鑰因子、所述第一解密模組解密得到的所述第二金鑰因子產生所述第一設備與第二設備的共享金鑰,其中,所述第一安全通道由所述第一設備與閘道設備協商建立,所述第一金鑰因子與所述第二金鑰因子在所述閘道設備的轉發過程中都經過所述初始金鑰加密。
  16. 根據申請專利範圍第15項所述的裝置,其中,所述第一加密模組包括: 第一因子產生單元,用於在所述第一設備需要向第二設備發起金鑰協商流程時,透過偽隨機函數產生第一金鑰因子;第一加密單元,用於採用初始金鑰對所述第一因子產生單元產生的所述第一金鑰因子進行加密,得到第一次加密後的所述第一金鑰因子;第二加密單元,用於採用第一安全通道的第一加密金鑰對所述第一加密單元第一次加密後的所述第一金鑰因子進行加密,得到第二次加密後的所述第一金鑰因子。
  17. 根據申請專利範圍第15項所述的裝置,其中,所述第一解密模組包括:第一解密單元,用於採用所述第一加密金鑰對經過雙重加密的所述第二金鑰因子進行解密,得到第一次解密後的所述第二金鑰因子;第二加密單元,用於採用所述初始金鑰對所述第一解密單元第一次解密後的所述第二金鑰因子進行解密,得到所述第二金鑰因子。
  18. 根據申請專利範圍第15項所述的裝置,其中,所述第一金鑰產生模組包括:第一確定單元,用於確定所述第一設備與所述第二設備之間共享的第一加密金鑰和所述第一設備的設備標識;第一因子產生單元,用於根據所述第一加密金鑰、所述第一確定單元確定的所述設備標識、所述第一金鑰因子、所述第一解密模組得到的所述第二金鑰因子產生所述 第一設備與第二設備的共享金鑰。
  19. 根據申請專利範圍第18項所述的裝置,其中,所述第一因子產生單元具體用於:將所述第一加密金鑰、所述設備標識、所述第一金鑰因子、所述第二金鑰因子依次連接,得到組合字串;將所述組合字串切分為長度相等的兩個子字串;對所述兩個子字串分別進行散列運算,得到兩個散列結果;將所述兩個散列結果以位進行異或運算,得到所述第一設備與第二設備的共享金鑰。
  20. 根據申請專利範圍第15項所述的裝置,其中,所述裝置還包括:第一確定模組,用於確定所述第一設備與所述第二設備的共享金鑰的更換週期;第二確定模組,用於根據所述第一確定模組確定的所述更換週期重新確定所述第一加密因子和所述第二加密因子;第一更換模組,用於根據所述第二確定模組重新確定的所述第一加密因子和所述第二加密因子更換所述第一設備與所述第二設備的共享金鑰。
  21. 根據申請專利範圍第15至20項中任一項所述的裝置,其中,所述裝置還包括:第三確定模組,用於確定所述第一設備需要向所述第二設備發送的待傳輸的資料; 資料加密模組,用於採用所述共享金鑰對所述第三確定模組確定的所述待傳輸的資料進行加密,並透過所述第一安全通道發送給所述第二設備。
  22. 根據申請專利範圍第21項所述的裝置,其中,所述裝置還包括:第二接收模組,用於透過所述第一安全通道接收所述第二設備在接收到所述待傳輸的資料產生的響應資料,所述響應資料已經經過所述共享金鑰加密;第二解密模組,用於採用所述共享金鑰對所述經過所述共享金鑰加密的所述響應資料進行解密,得到所述響應資料。
  23. 一種金鑰產生裝置,應用在第二設備上,所述裝置包括:第三接收模組,用於透過第二安全通道接收來自第一設備的經過初始金鑰加密的第一金鑰因子,其中,所述初始金鑰為所述第一設備與所述第二設備之間預設的金鑰;第三解密模組,用於對經過所述初始金鑰加密的所述第一金鑰因子進行解密,得到所述第一加密因子;第二金鑰產生模組,用於根據所述第一金鑰因子、所述第二設備產生的第二金鑰因子產生所述第一設備與第二設備的共享金鑰,其中,所述第二安全通道由所述第二設備與閘道設備協商建立,所述第一金鑰因子與所述第二金鑰因子在所述閘道設備的轉發過程中都經過所述初始金鑰加密。
  24. 根據申請專利範圍第23項所述的裝置,其中,所述第二金鑰產生模組具體用於:將所述第一加密金鑰、所述第一設備的設備標識、所述第一金鑰因子、所述第二金鑰因子依次連接,得到組合字串;將所述組合字串切分為長度相等的兩個子字串;對所述兩個子字串分別進行散列運算,得到兩個散列結果;將所述兩個散列結果以位進行異或運算,得到所述第一設備與第二設備的共享金鑰。
  25. 根據申請專利範圍第24項所述的裝置,其中,所述裝置還包括:第二加密模組,用於採用所述初始金鑰對所述第二設備產生的第二金鑰因子進行加密;第一發送模組,用於透過所述第二安全通道將所述經過所述初始金鑰加密後的所述第二金鑰因子發送給所述第一設備。
  26. 根據申請專利範圍第25項所述的裝置,其中,所述裝置還包括:第三確定模組,用於確定所述第一設備與所述第二設備的共享金鑰的更換週期;第四確定模組,用於根據所述更換週期重新確定所述第一加密因子和所述第二加密因子;第二更換模組,用於根據重新確定的所述第一加密因 子和所述第二加密因子更換所述第一設備與所述第二設備的共享金鑰。
  27. 根據申請專利範圍第23至26項中任一項所述的裝置,其中,所述裝置還包括:第四接收模組,用於透過第二安全通道接收來自所述第一設備的經過所述共享金鑰加密的待傳輸的資料;第四解密模組,用於採用所述共享金鑰對所述待傳輸的資料進行解密。
  28. 根據申請專利範圍第27項所述的裝置,其中,所述裝置還包括:響應資料產生模組,用於在接收到所述待傳輸的資料後,產生響應資料;第三加密模組,用於透過所述共享金鑰對所述響應資料進行加密;第二發送模組,用於透過所述第二安全通道向所述第一設備發送經過所述共享金鑰加密的響應資料。
TW106101933A 2017-01-19 2017-01-19 金鑰產生方法及裝置 TWI724091B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
TW106101933A TWI724091B (zh) 2017-01-19 2017-01-19 金鑰產生方法及裝置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW106101933A TWI724091B (zh) 2017-01-19 2017-01-19 金鑰產生方法及裝置

Publications (2)

Publication Number Publication Date
TW201828641A TW201828641A (zh) 2018-08-01
TWI724091B true TWI724091B (zh) 2021-04-11

Family

ID=63960105

Family Applications (1)

Application Number Title Priority Date Filing Date
TW106101933A TWI724091B (zh) 2017-01-19 2017-01-19 金鑰產生方法及裝置

Country Status (1)

Country Link
TW (1) TWI724091B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200275274A1 (en) * 2019-02-26 2020-08-27 Samsung Electronics Co., Ltd. Electronic device and method for storing user identification information

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103209075A (zh) * 2013-03-15 2013-07-17 南京易司拓电力科技股份有限公司 一种密码交换方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103209075A (zh) * 2013-03-15 2013-07-17 南京易司拓电力科技股份有限公司 一种密码交换方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200275274A1 (en) * 2019-02-26 2020-08-27 Samsung Electronics Co., Ltd. Electronic device and method for storing user identification information
US11496900B2 (en) * 2019-02-26 2022-11-08 Samsung Electronics Co., Ltd. Electronic device and method for storing user identification information

Also Published As

Publication number Publication date
TW201828641A (zh) 2018-08-01

Similar Documents

Publication Publication Date Title
US11463243B2 (en) Key generation method and apparatus using double encryption
US20210385201A1 (en) Systems and methods for secure multi-party communications using aproxy
TWI683566B (zh) 量子密鑰輸出方法、儲存一致性驗證方法、裝置及系統
US11533297B2 (en) Secure communication channel with token renewal mechanism
US9338150B2 (en) Content-centric networking
JP6138333B2 (ja) 鍵回復攻撃を妨害する対抗手段としての送信機および受信機のペアリングのためのマスタ鍵暗号化関数
CN109428867B (zh) 一种报文加解密方法、网路设备及系统
US10263965B2 (en) Encrypted CCNx
CN101478548B (zh) 数据传输的加密和完整性校验方法
EP3476078B1 (en) Systems and methods for authenticating communications using a single message exchange and symmetric key
CN104219041A (zh) 一种适用于移动互联网的数据传输加密方法
US20150229621A1 (en) One-time-pad data encryption in communication channels
US10291600B2 (en) Synchronizing secure session keys
KR101608815B1 (ko) 폐쇄형 네트워크에서 암복호화 서비스 제공 시스템 및 방법
TWI760546B (zh) 用於高安全性高速資料加密及傳輸的電腦實施系統與方法
US20080037775A1 (en) Verifiable generation of weak symmetric keys for strong algorithms
Olumide et al. A hybrid encryption model for secure cloud computing
CN115622772A (zh) 一种金融业务服务的金融数据传输方法及应用网关
US10015208B2 (en) Single proxies in secure communication using service function chaining
CN113609522B (zh) 数据授权及数据访问方法和装置
TWI724091B (zh) 金鑰產生方法及裝置
TWI804179B (zh) 量子安全金鑰交換方案
US11343089B2 (en) Cryptography system and method