CN105684344B - 一种密钥配置方法和装置 - Google Patents

一种密钥配置方法和装置 Download PDF

Info

Publication number
CN105684344B
CN105684344B CN201380080486.8A CN201380080486A CN105684344B CN 105684344 B CN105684344 B CN 105684344B CN 201380080486 A CN201380080486 A CN 201380080486A CN 105684344 B CN105684344 B CN 105684344B
Authority
CN
China
Prior art keywords
equipment
key
shared key
shared
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201380080486.8A
Other languages
English (en)
Other versions
CN105684344A (zh
Inventor
庞高昆
丁志明
陆苏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Device Co Ltd
Original Assignee
Huawei Device Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Device Co Ltd filed Critical Huawei Device Co Ltd
Publication of CN105684344A publication Critical patent/CN105684344A/zh
Application granted granted Critical
Publication of CN105684344B publication Critical patent/CN105684344B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/062Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/14Direct-mode setup

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提供了一种密钥配置的方法和装置,其中方法包括:第一设备通过安全媒介获取第二设备的公钥;第一设备将用于得到共享密钥的信息发送给第二设备;第二设备利用自身的私钥和用于得到共享密钥的信息得到共享密钥;其中所述第一设备利用所述用于得到共享密钥的信息或者自身的私钥得到所述共享密钥。本发明保证了第二设备的公钥到达第一设备,避免了攻击者冒充第二设备与第一设备建立安全连接,从而使得攻击者无法监听第一设备与第二设备之间的消息,提高了第一设备和第二设备之间交互的安全性。

Description

一种密钥配置方法和装置
技术领域
本发明涉及网络通信技术领域,特别涉及一种密钥配置方法和装置。
背景技术
WiFi(Wireless Fidelity,无线保真)技术从1997年无线局域网标准IEEE(Institute of Electrical and Electronics Engineers,电气和电子工程师协会)802.11发布以来,在拥有众多在业界领先的公司组成的WiFi联盟的大力推动下,同时以其具有的部署快速、使用便利和传输速率高等优势,发展迅猛。WiFi技术现在已经被广泛应用于各个行业,现在的笔记本电脑、PDA(Personal Digital Assistant,掌上电脑)和手机等都支持WiFi技术,WiFi网络的接入点遍布于酒店、咖啡厅、学校和医院等场所,可以说WiFi技术在生活中无所不在。
随着WiFi技术的发展和广泛应用,与之相关的安全技术需求也随之产生,WPS(WiFi Protected Setup,WiFi安全建立)就是为了保证建立WiFi连接时的安全技术之一。WPS主要强调两点:安全和简单,即配置过程要简单,配置后的网络要安全。现有的WPS主要基于密钥交换算法。
目前WPS应用的场景,主要包括以下两种:第一种是作为enrollee(被注册方)的终端与作为registrar(注册器)的AP(Access Point,接入点)之间进行密钥的配置,以便后续终端与AP之间能够基于配置的密钥进行数据交互。第二种是P2P(Peer to Peer,点到点)的认证配置过程,WiFi技术中P2P的研究是为了在没有诸如蜂窝网或热点等基础设施的情况下,终端设备之间也能够通过WiFi功能实现端到端的直接发现,在该场景下,一个终端作为client(客户端),另一个终端作为GO(Group Owner,组长设备),在client和GO之间进行密钥的配置,以便后续client和GO之间能够基于配置的密钥进行数据交互。
现有技术中采用的密钥配置方式主要是基于密钥交换算法,即第一设备和第二设备分别产生一对公私钥,第一设备和第二设备通过空口互相交换公钥,即第一设备将自身公钥通过空口发送给第二设备,第二设备将自身公钥通过空口发送给第一设备,第一设备和第二设备分别利用对方的公钥和自身的私钥分别生成共享密钥,并利用共享密钥进行后续的安全传输。
然而,现有技术中的上述密钥配置方式比较容易受到攻击,攻击者在空口很容易截获设备之间发送的公钥,利用自己的公钥分别与第一设备和第二设备执行上述密钥交换算法,即冒充第二设备与第一设备建立安全连接,并冒充第一设备与第二设备建立安全连接,使得第一设备与第二设备之间发送的消息被攻击者监听到。
发明内容
有鉴于此,本发明实施例提供了一种密钥配置方法和装置,用于提高第一设备和第二设备之间交互的安全性。
第一方面,本发明实施例提供了一种密钥配置的方法,该方法包括:
第一设备通过安全媒介获取第二设备的公钥;
第一设备将用于得到共享密钥的信息发送给第二设备;
以便所述第二设备利用自身的私钥和所述用于得到共享密钥的信息得到共享密钥;
其中所述第一设备利用所述用于得到共享密钥的信息或者自身的私钥得到所述共享密钥。
根据上述第一方面的实现方式,所述第一设备通过安全媒介获取第二设备的公钥包括:
所述第一设备通过扫描识别码的方式、USB的方式或者近场通信NFC的方式从第二设备获取第二设备的公钥。
在第一方面的第一种实现方式中,所述用于得到共享密钥的信息具体为:第一设备生成的密码;
所述第一设备利用所述用于得到共享密钥的信息得到所述共享密钥包括:所述第一设备将所述密码作为共享密钥;
所述第一设备将用于得到共享密钥的信息发送给第二设备包括:所述第一设备利用第二设备的公钥将所述密码进行加密后发送给所述第二设备;
以便所述第二设备利用自身的私钥和所述用于得到共享密钥的信息得到共享密钥包括:以便所述第二设备利用自身的私钥以及用于得到共享密钥的信息生成所述共享密钥包括:所述第二设备利用自身的私钥对所述加密结果进行解密得到所述密码,将所述密码作为共享密钥。
在第一方面的第二种实现方式中,所述用于得到共享密钥的信息具体为:所述第一设备的公钥;
所述第一设备将用于得到共享密钥的信息发送给第二设备包括:所述第一设备利用第二设备的公钥将第一设备的公钥进行加密后,将加密结果发送给第二设备;
以便所述第二设备利用自身的私钥和所述用于得到共享密钥的信息得到共享密钥包括:以便所述第二设备利用自身的私钥对所述加密结果进行解密后,得到所述第一设备的公钥,并且生成密码,将该密码作为共享密钥,利用所述第一设备的公钥将该密码进行加密后,将加密结果发送给所述第一设备;
所述第一设备利用自身的私钥得到所述共享密钥包括:所述第一设备利用自身的私钥对接收到的加密结果进行解密后,将得到的密码作为共享密钥。
在第一方面的第三种实现方式中,第一设备和第二设备预定密钥交换算法;
所述用于得到共享密钥的信息具体为:第一设备的公钥;
所述第一设备利用自身的私钥得到所述共享密钥包括:所述第一设备利用第二设备的公钥和自身的私钥按照所述密钥交换算法生成共享密钥;
以便所述第二设备利用自身的私钥和所述用于得到共享密钥的信息得到共享密钥包括:以便所述第二设备利用第一设备的公钥以及自身的私钥按照所述密钥交换算法生成共享密钥。
根据上述任一种实现方式,所述第一设备和所述第二设备利用所述共享密钥或所述共享密钥的衍生密钥进行安全连接。
根据上述第一方面的第三种实现方式,该方法还包括:
所述第一设备在得到共享密钥后,利用共享密钥或者共享密钥的衍生密钥加密一个密码,将加密结果发送给所述第二设备;以便所述第二设备利用第二设备得到的共享密钥或者共享密钥的衍生密钥对接收到的加密结果进行解密,得到密码;该密码用于第一设备和第二设备的安全连接;或者,
所述第二设备在得到共享密钥后,利用共享密钥或者共享密钥的衍生密钥加密一个密码,将加密结果发送给所述第一设备;所述第一设备利用自身生成的共享密钥对接收到的加密结果进行解密,得到密码;该密码用于第一设备和第二设备之间的安全连接。
根据上述第一方面的第三种实现方式,所述方法还包括:所述第一设备和所述第二设备预定密钥交换算法包括:
所述第一设备和所述第二设备上预先配置有所述密钥交换算法所使用的参数;或者,
所述第一设备和所述第二设备接收第三方的配置设备发送的所述密钥交换算法所使用的参数。
根据上述第一方面的第三种实现方式,所述第一设备将用于得到共享密钥的信息发送给第二设备包括:
所述第一设备利用第二设备的公钥对所述第一设备的公钥进行加密后,将加密结果发送给所述第二设备;
以便所述第二设备对所述加密结果进行解密,得到所述第一设备的公钥。
结合上述任一种实现方式,该方法还包括:
所述第一设备得到共享密钥后,利用共享密钥、共享密钥的衍生密钥或者与第二设备预先约定的明文中的至少一种生成第一验证值,将该第一验证值发送给第二设备;
以便第二设备利用第二设备得到的共享密钥、共享密钥的衍生密钥或者与第一设备预先约定的明文中的至少一种生成第二验证值,将生成的第二验证值与接收到的第一验证值进行比对,如果两者一致,则验证通过,在验证通过的情况下,所述第二设备利用所述共享密钥或共享密钥的衍生密钥与所述与第一设备进行安全连接。
结合上述任一种实现方式,该方法还包括:第一设备接收所述第二设备发送的第一验证值,所述第一验证值是所述第二设备利用共享密钥、共享密钥的衍生密钥或者与第一设备预先约定的明文中的至少一种生成的验证值;
第一设备利用第一设备得到的共享密钥、共享密钥的衍生密钥或者与第二设备预先约定的明文中的至少一种生成第二验证值,将生成的第二验证值与接收到的第一验证值进行比对,如果两者一致,则验证通过,在验证通过的情况下所述第一设备利用所述共享密钥或共享密钥的衍生密钥与所述第二设备进行安全连接。
结合上述任一种实现方式,所述第一设备通过WPS认证过程中的第一消息发送所述用于得到共享密钥的信息;或者,
所述第一设备向所述第二设备发送通知所述第二设备开始WPS认证过程的触发消息,并通过WPS认证过程中的第二消息发送所述用于得到共享密钥的信息;或者,
所述第一设备通过四次握手过程中的第一消息发送所述用于得到共享密钥的信息;或者,
所述第一设备通过通知所述第二设备开始四次握手过程的触发消息发送所述用于得到共享密钥的信息。
第二方面,一种密钥配置的方法,该方法包括:
第二设备通过安全媒介将第二设备的公钥提供给第一设备;
第二设备接收第一设备发送来的用于得到共享密钥的信息;
第二设备利用自身的私钥和所述用于得到共享密钥的信息得到共享密钥;
其中所述第一设备利用所述用于得到共享密钥的信息或者自身的私钥得到所述共享密钥。
第二方面的第一种实现方式中,所述第二设备通过安全媒介将第二设备的公钥提供给第一设备包括:
所述第二设备通过提供识别码供第一设备扫描的方式、USB的方式或者NFC的方式将第二设备的公钥提供给第一设备。
结合第二方面和第二方面的第一种实现方式,所述用于得到共享密钥的信息具体为:第一设备生成的密码;
所述第一设备利用所述用于得到共享密钥的信息得到所述共享密钥包括:所述第一设备将所述密码作为共享密钥;
所述接收第一设备发送来的用于得到共享密钥的信息包括:接收所述第一设备利用第二设备的公钥将所述密码进行加密后发送来的加密结果;
所述利用自身的私钥和所述用于得到共享密钥的信息得到共享密钥包括:所述第二设备利用自身的私钥对所述加密结果进行解密得到所述密码,将所述密码作为共享密钥。
结合第二方面和第二方面的第一种实现方式,所述用于得到共享密钥的信息具体为:所述第一设备的公钥;
所述接收第一设备发送来的用于得到共享密钥的信息包括:接收所述第一设备利用第二设备的公钥将第一设备的公钥进行加密后发送来的加密结果;
所述利用自身的私钥和所述用于得到共享密钥的信息得到共享密钥包括:所述第二设备利用自身的私钥对所述加密结果进行解密后,得到所述第一设备的公钥,并且生成密码,将该密码作为共享密钥,利用所述第一设备的公钥将该密码进行加密后,将加密结果发送给所述第一设备;
所述第一设备利用自身的私钥得到所述共享密钥包括:所述第一设备利用自身的私钥对接收到的加密结果进行解密后,将得到的密码作为共享密钥。
结合第二方面和第二方面的第一种实现方式,所述方法还包括:所述第一设备和所述第二设备预定密钥交换算法;
所述用于得到共享密钥的信息具体为:所述第一设备的公钥;
所述第一设备利用自身的私钥得到所述共享密钥包括:所述第一设备利用第二设备的公钥和自身的私钥按照所述密钥交换算法生成共享密钥;
所述利用自身的私钥和所述用于得到共享密钥的信息得到共享密钥包括:所述第二设备利用所述第一设备的公钥以及自身的私钥按照所述密钥交换算法生成共享密钥。
结合以上实现方式,所述第一设备和所述第二设备利用所述共享密钥或所述共享密钥的衍生密钥进行安全连接。
结合以上实现方式,该方法还包括:
所述第二设备接收所述第一设备在得到共享密钥后利用共享密钥或者共享密钥的衍生密钥加密一个密码所得到的加密结果,利用得到的共享密钥对接收到的加密结果进行解密,得到所述密码;该密码用于第一设备和第二设备的安全连接;或者,
所述第二设备在生成共享密钥后,利用共享密钥或者共享密钥的衍生密钥加密一个密码,将加密结果发送给所述第一设备;以便所述第一设备利用得到的共享密钥对接收到的加密结果进行解密,得到密码;该密码用于第一设备和第二设备之间的安全连接。
结合以上实现方式,所述第一设备和所述第二设备预定密钥交换算法包括:
所述第一设备和所述第二设备上预先配置有所述密钥交换算法所使用的参数;或者,
所述第一设备和所述第二设备接收第三方的配置设备发送的所述密钥交换算法所使用的参数。
结合以上实现方式,所述接收第一设备发送来的用于得到共享密钥的信息包括:
所述第二设备接收所述第一设备利用第二设备的公钥对所述第一设备的公钥进行加密后的加密结果;
对所述加密结果进行解密,得到所述第一设备的公钥。
结合以上实现方式,该方法还包括:
所述第一设备得到共享密钥后,利用共享密钥、共享密钥的衍生密钥或者与第二设备预先约定的明文中的至少一种生成第一验证值,将该第一验证值发送给第二设备;
所述第二设备利用第二设备得到的共享密钥、共享密钥的衍生密钥或者与第一设备预先约定的明文中的至少一种生成第二验证值,将生成的第二验证值与接收到的第一验证值进行比对,如果两者一致,则验证通过,在验证通过的情况下,所述第二设备利用所述共享密钥或共享密钥的衍生密钥与所述第一设备进行安全连接。
结合以上实现方式,所述第二设备得到共享密钥后,利用共享密钥、共享密钥的衍生密钥或者与第一设备预先约定的明文中的至少一种生成第三验证值,将该第三验证值发送给第一设备;
以便所述第一设备利用第一设备得到的共享密钥、共享密钥的衍生密钥或者与第二设备预先约定的明文中的至少一种生成第四验证值,将生成的第四验证值与接收到的第三验证值进行比对,如果两者一致,则验证通过,在验证通过的情况下所述第一设备利用所述共享密钥或共享密钥的衍生密钥与所述第二设备进行安全连接。
结合以上实现方式,所述第二设备通过WPS认证过程中的第一消息接收所述用于得到共享密钥的信息;或者,
所述第二设备接收所述第一设备发送的通知所述第二设备开始WPS认证过程的触发消息,并通过WPS认证过程中的第二消息接收所述用于得到共享密钥的信息;或者,
所述第二设备通过四次握手过程中的第一消息接收所述用于得到共享密钥的信息;或者,
所述第二设备通过通知所述第二设备开始四次握手过程的触发消息接收所述用于得到共享密钥的信息。
第三方面,本发明提供了一种密钥配置的装置,该装置位于第一设备中,该装置包括:
安全获取单元,用于通过安全媒介获取第二设备的公钥;
密钥处理单元,用于将用于得到共享密钥的信息发送给第二设备,以及利用所述用于得到共享密钥的信息或者自身的私钥得到所述共享密钥;
所述用于得到共享密钥的信息供所述第二设备结合自身的私钥得到共享密钥。
根据上述第三方面的实现方式,所述安全获取单元,具体用于通过扫描识别码的方式、USB的方式或者NFC的方式从第二设备获取第二设备的公钥。
在第三方面的第一种实现方式中,所述密钥处理单元包括:
第一密钥生成子单元,用于生成密码,将所述密码作为共享密钥;
第一密钥传输子单元,用于利用所述第二设备的公钥将所述密码进行加密后,将加密结果发送给所述第二设备,以供所述第二设备利用自身的私钥对所述加密结果进行解密得到所述密码并将所述密码作为共享密钥。
在第三方面的第二种实现方式中,所述密钥处理单元包括:
第二密钥传输子单元,用于利用第二设备的公钥将第一设备的公钥进行加密后,将加密结果发送给第二设备;
第二密钥生成子单元,用于接收到第二设备发送的加密结果后,利用自身的私钥对加密结果进行解密,将得到的密码作为共享密钥。
在第二方面的第三种实现方式中,所述密钥处理单元包括:
第三密钥生成子单元,用于利用第二设备的公钥和第一设备的私钥按照所述第一设备和所述第二设备预定的密钥交换算法生成共享密钥;
第三密钥传输子单元,用于将第一设备的公钥发送给所述第二设备,以供所述第二设备利用第一设备的公钥以及自身的私钥按照所述密钥交换算法生成共享密钥。
根据上述第三方面中的任一种实现方式,所述共享密钥或所述共享密钥的衍生密钥用于第一设备与第二设备之间进行的安全连接。
在第三方面的第三种实现方式中,所述第三密钥生成子单元,还用于在得到共享密钥后,利用共享密钥或者共享密钥的衍生密钥加密一个密码;
所述第三密钥传输子单元,还用于将第三密钥生成子单元的加密结果发送给第二设备;或者,
所述第三密钥传输子单元,还用于接收第二设备发送来的加密结果;
所述第三密钥生成子单元,还用于利用得到的共享密钥对所述第三密钥传输子单元接收到的加密结果进行解密,得到密码;
其中,所述密码用于第一设备和第二设备的安全连接。
在第三方面的第三种实现方式中,该装置还包括:参数配置单元,用于存储预先配置的所述密钥交换算法所使用的参数,或者接收并存储第三方的配置设备发送的所述密钥交换算法所使用的参数。
根据上述第三方面中的任一种实现方式,所述安全获取单元,还用于通过安全媒介获取第二设备的地址信息;
所述密钥处理单元,具体用于依据所述第二设备的地址信息将用于得到共享密钥的信息发送给第二设备。
在第三方面的第三种实现方式中,所述第三密钥传输子单元在将第一设备的公钥发送给所述第二设备时,具体用于利用第二设备的公钥对所述第一设备的公钥进行加密后,将加密结果发送给所述第二设备,以供所述第二设备对所述加密结果进行解密后得到所述第一设备的公钥。
根据上述第三方面中的任一种实现方式,该装置还包括:第一验证单元,用于在所述密钥处理单元得到共享密钥后,利用共享密钥、共享密钥的衍生密钥或者与第二设备预先约定的明文中的至少一种生成第一验证值,将该第一验证值发送给第二设备,
以便第二设备利用第二设备得到的共享密钥、共享密钥的衍生密钥或者与第一设备预先约定的明文中的至少一种生成第二验证值,将生成的第二验证值与接收到的第一验证值进行比对,如果两者一致,则验证通过,在验证通过的情况下,所述第二设备利用所述共享密钥或共享密钥的衍生密钥与所述第一设备进行安全连接。
根据上述第三方面中的任一种实现方式,该装置还包括:第二验证单元,用于接收到第二设备发送的第三验证值后,利用所述密钥处理单元生成的共享密钥、共享密钥的衍生密钥或者与第二设备预先约定的明文中的至少一种生成第四验证值,将生成的第四验证值与接收到的第三验证值进行比对,如果两者一致,则验证通过,在验证通过的情况下所述第一设备利用所述共享密钥或共享密钥的衍生密钥与所述第二设备进行安全连接,其中,所述第三验证值为所述第二设备得到共享密钥后,利用所述共享密钥、共享密钥的衍生密钥或者与第一设备预先约定的明文中的至少一种生成的。
根据上述第三方面中的任一种实现方式,所述密钥处理单元,具体用于通过WPS认证过程中的第一消息发送所述用于得到共享密钥的信息;或者,
向所述第二设备发送通知所述第二设备开始WPS认证过程的触发消息,并通过WPS认证过程中的第二消息发送所述用于得到共享密钥的信息;或者,
通过四次握手过程中的第一消息发送所述用于得到共享密钥的信息;或者,
通过通知所述第二设备开始四次握手过程的触发消息发送所述用于得到共享密钥的信息。
第四方面,本发明实施例提供了一种密钥配置的装置,该装置位于第二设备中,该装置包括:
安全发送单元,用于通过安全媒介将第二设备的公钥提供给第一设备;
密钥处理单元,用于利用自身的私钥和第一设备发送来的用于得到共享密钥的信息得到共享密钥;
其中所述第一设备利用所述用于得到共享密钥的信息或者自身的私钥得到所述共享密钥。
根据上述第四方面的实现方式,所述安全发送单元,具体用于通过提供识别码供第一设备扫描的方式、USB的方式或者NFC的方式将第二设备的公钥提供给第一设备。
在第四方面的第一种实现方式中,所述密钥处理单元具体包括:
第一信息传输子单元,用于接收第一设备发送来的利用第二设备的公钥对第一设备生成的密码进行加密所得到的加密结果;
第一密钥生成子单元,用于利用第二设备的私钥对所述加密结果进行解密得到所述密码,将所述密码作为共享密钥。
在第四方面的第二种实现方式中,所述密钥处理单元具体包括:
第二信息传输子单元,用于接收第一设备利用第二设备的公钥将第一设备的公钥进行加密后得到的加密结果;将第二密钥生成子单元得到的加密结果发送给所述第一设备,以便所述第一设备利用自身的私钥对接收到的加密结果进行解密后,将得到的密码作为共享密钥;
第二密钥生成子单元,用于利用自身的私钥对所述第二信息传输子单元接收到的加密结果进行解密,得到所述第一设备的公钥,并且生成密码,将该密码作为共享密钥,利用所述第一设备的公钥将该密码进行加密后得到加密结果。
在第四方面的第三种实现方式中,所述密钥处理单元具体包括:
第三信息传输子单元,用于接收所述第一设备发送来的第一设备的公钥;
第三密钥生成子单元,用于利用第一设备的公钥以及自身的私钥按照所述第一设备和所述第二设备预定的密钥交换算法生成共享密钥。
根据上述第三方面的任一种实现方式,所述共享密钥用于第一设备和第二设备之间的安全连接。
根据第四方面的第三种实现方式,所述第三信息传输子单元,还用于接收第一设备在利用第二设备的公钥和自身的私钥按照所述密钥交换算法生成共享密钥后,利用共享密钥或者共享密钥的衍生密钥加密一个密码得到的加密结果;所述第三密钥生成子单元,还用于利用得到的共享密钥对所述第三信息传输子单元接收到的加密结果进行解密,得到所述密码,其中,所述密钥用于第一设备和第二设备之间的安全连接;或者,
所述第三密钥生成子单元,还用于在得到共享密钥后,利用共享密钥或者共享密钥的衍生密钥加密一个密码得到加密结果;所述第三信息传输子单元,还用于将所述第三密钥生成子单元生成的加密结果发送给第一设备,以便所述第一设备在利用第二设备的公钥和自身的私钥按照所述密钥交换算法生成共享密钥后,对接收到的加密结果进行解密,得到所述密码,其中,所述密钥用于第一设备和第二设备之间的安全连接。
根据第四方面的第三种实现方式,该装置还包括:参数配置单元,用于存储预先配置的所述密钥交换算法所使用的参数,或者接收并存储第三方的配置设备发送的所述密钥交换算法所使用的参数。
根据第四方面的第三种实现方式,所述第三信息传输子单元,具体用于接收第一设备发送来的利用第二设备的公钥对第一设备的公钥进行加密后的加密结果,对该加密结果进行解密,得到所述第一设备的公钥。
在上述第三方面的任一种实现方式中,该装置还包括:第一验证单元,用于如果接收到第一设备发送的第一验证值,则利用所述密钥处理单元得到的共享密钥、该共享密钥的衍生密钥或者与第一设备预先约定的明文中的至少一种生成第二验证值,将生成的第二验证值与接收到的第一验证值进行比对,如果两者一致,则验证通过,在验证通过的情况下,所述第二设备利用所述共享密钥或共享密钥的衍生密钥与第一设备进行安全连接。
在上述第四方面的任一种实现方式中,该装置还包括:
第二验证单元,用于在所述密钥处理单元得到共享密钥后,利用共享密钥、共享密钥的衍生密钥或者与第一设备预先约定的明文中的至少一种生成第三验证值,将该第三验证值发送给第一设备;
以便所述第一设备利用第一设备得到的共享密钥、共享密钥的衍生密钥或者与第二设备预先约定的明文中的至少一种生成第四验证值,将生成的第四验证值与接收到的第三验证值进行比对,如果两者一致,则验证通过,在验证通过的情况下所述第一设备利用所述共享密钥或共享密钥的衍生密钥与所述第二设备进行安全连接。
在上述第四方面的任一种实现方式中,所述密钥处理单元,具体用于通过WPS认证过程中的第一消息获取所述用于得到共享密钥的信息;或者,
通过WPS认证过程中的第二消息获取所述用于得到共享密钥的信息;或者,
通过四次握手过程中的第一消息获取所述用于得到共享密钥的信息;或者,
通过通知所述第二设备开始四次握手过程的触发消息获取所述用于得到共享密钥的信息。
由以上技术方案可以看出,在本发明中第一设备通过安全媒介获取第二设备的公钥,保证了第二设备的公钥到达第一设备,第一设备就能够根据第二设备的公钥生成共享密钥,避免了攻击者冒充第二设备与第一设备建立安全连接,从而使得攻击者无法监听第一设备与第二设备之间的消息,提高了第一设备和第二设备之间交互的安全性。
附图说明
图1为本发明实施例一提供的密钥配置方法的流程示意图;
图2为本发明实施例二提供的密钥配置方法的流程示意图;
图3为本发明实施例三提供的密钥配置方法的流程示意图;
图4为本发明实施例四提供的密钥配置方法的流程示意图;
图5为本发明实施例五提供的密钥配置方法的流程示意图;
图6为本发明实施例六提供的密钥配置方法的流程示意图;
图7为本发明实施例七提供的密钥配置方法的流程示意图;
图8为本发明实施例提供的一种位于第一设备中的密钥配置装置的结构示意图;
图9为本发明实施例提供的第二种位于第一设备中的密钥配置装置的结构示意图;
图10为本发明实施例提供的第三种位于第一设备中的密钥配置装置的结构示意图;
图11为本发明实施例提供的一种位于第二设备中的密钥配置装置的结构示意图;
图12为本发明实施例提供的第二种位于第二设备中的密钥配置装置的结构示意图;
图13为本发明实施例提供的第三种位于第二设备中的密钥配置装置的结构示意图;
图14为本发明实施例提供的第一设备的硬件结构示意图;
图15为本发明实施例提供的第二设备的硬件结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
本发明的核心思想包括,第一设备通过安全媒介获取第二设备的公钥,将用于得到共享密钥的信息发送给第二设备;第二设备利用所述用于得到共享密钥的信息和自身的私钥得到共享密钥;其中所述第一设备利用所述用于得到共享密钥的信息或者自身的私钥得到所述共享密钥。
本发明可以采用密钥交换的方式进行共享密钥的配置,也可以不采用密钥交换的方式进行共享密钥的配置。下面分别通过几个具体的实施例对本发明提供的方法进行详细描述。
实施例一、
在本实施例中,采用的是密钥交换的方式进行共享密钥的配置,第一设备和第二设备预定密钥交换算法,密钥交换算法是后续第一设备和第二设备在生成共享密钥时所采用的算法,可以采用但不限于:D-H算法、RSA算法或EIGamal算法等,根据不同的密钥交换算法,预先共享的参数有所不同。
共享密钥交换算法所使用的参数的方式可以包括但不限于以下两种:第一种方式:预先在第一设备和第二设备上配置密钥交换算法所使用的参数;第二种方式:通过第三方的设备将密钥交换算法所使用的参数发送给第一设备和第二设备。
在本发明的各实施例中均以D-H算法为例,第一设备和第二设备预先共享参数g和P,预先在第一设备和第二设备上共享参数g和P,其中P是素数,g是P的原根。另外,在第一设备和第二设备都具有各自的公钥和私钥,第一设备上的公钥和私钥分别为PkeyA和keyA,第二设备上的公钥和私钥分别为PkeyB和keyB。本发明后续实施例二至五中均存在上述配置,不再一一赘述。
图1为本发明实施例一提供的密钥配置方法的流程示意图,如图1所示,该流程可以包括以下步骤:
步骤101:第一设备通过安全媒介获取第二设备的公钥PkeyB。
本步骤中所述的安全媒介是能够保证第二设备的公钥PkeyB能够到达第一设备而不被中间的攻击者截取的媒介,可以包括但不限于以下几种:通过扫描识别码的方式,通过USB(Universal Serial Bus,通用串行总线)的方式或者通过NFC(Near FieldCommunication,近场通信)的方式。
其中图1中以扫描识别码的方式为例,第一设备扫描第二设备的识别码,该识别码可以是诸如二维码、条形码等,在识别码中包含有第二设备的公钥PkeyB,还可以包含第二设备的设备信息,主要是地址信息,还可以包括但不限于以下设备信息:UUID(UniversallyUnique Identifier,通用唯一识别码)、制造商、序列号、设备能力、信道信息等。其中信道信息可以帮助第一设备通过Wifi网络快速发现第二设备,从而加快步骤103的执行效率。设备能力指的是该设备支持的算法、认证方法、设备角色信息、设备类型信息等,其中设备角色信息是指该设备在注册时充当的角色,可以是enrollee、registrar、client或GO等。设备类型信息可以是无线终端(诸如Wifi终端、蓝牙终端、Zigbee终端等诸如手机、电脑、传感器等)、接入点(在Wifi网络中是AP,蓝牙网络中可以是蓝牙网关、Zigbee网络中可以是物联网网关等)、传感器节点、中心节点等。
步骤102:第一设备利用第二设备的公钥PkeyB和自身的私钥keyA生成共享密钥DHkeyA。
在此第一设备按照预先与第二设备共享的密钥交换算法来产生共享密钥DHkey,以D-H算法为例,第一设备的公钥PkeyA为:
PkeyA=(g^keyA)mod(P),其中keyA为第一设备的私钥,为随机数。
第二设备的公钥PkeyB为:
PkeyB=(g^keyB)mod(P),keyB为第二设备的私钥,也是随机数。
利用PkeyA和keyA生成的共享密钥DHkeyA为:
DHkeyA=((PkeyB)^keyA)mod(P)。
步骤103:第一设备依据第二设备的设备信息(即第二设备的地址信息)将自身的公钥PkeyA发送给第二设备。
可选地,可以利用第二设备的公钥PkeyB将第一设备的公钥PkeyA进行加密,将加密结果发送给第二设备,这样可以提高安全性。
利用公钥加密可以分为两种方式:
第一种加密方式:如果公钥是用于非对称加密的公钥,则可以直接用于加密,需要使用对应的私钥进行解密。
第二种加密方式:加密时采用公钥的部分信息,或者基于公钥衍生的信息作为对称密钥进行加密,解密时要采用对称密钥来解密。公钥是用于密钥交换的公钥或者用于非对称加密的公钥。
后续的加密和解密过程可以根据具体情况采用上述两种加密方式中的其中一种。此处加密采用的是第二种加密方式。
更进一步地,第一设备还可以利用生成的共享密钥DHkeyA、DHkeyA的衍生密钥以及明文(该明文与第二设备预先约定)中的至少一种生成验证值,将该验证值发送给第二设备,以供第二设备进行验证。生成验证值的方式与第二设备预先约定,例如采用生成hash(哈希)值的方式。
上述的明文可以采用但不限于:第二设备的公钥PkeyB,预先与第二设备共享的参数,从第二设备获取的设备信息所包含的参数(例如第二设备生成的现场值nonce),第一设备发送给第二设备的消息中的部分内容,等等。另外,本发明实施例并不限于衍生密钥的生成方式,只要第一设备和第二设备预先约定衍生密钥的生成方式即可。
举个例子,第一设备可以对第二设备的公钥PkeyB进行哈希后得到hash值,将该hash值作为验证值发送给第二设备。再举个例子,第一设备可以将共享密钥DHkeyA结合一个与第二设备共享的参数生成验证值后发送给第二设备。
步骤104:第二设备接收到第一设备的公钥PkeyA,利用PkeyA和自身的私钥keyB生成共享密钥DHkeyB。
在本步骤之前,如果第一设备发送给第二设备的是加密结果,则第二设备首先对该加密结果进行解密,得到第一设备的公钥PkeyA。这里第二设备生成的公私钥(PkeyB,keyB)的方式能够保证用公钥PkeyB加密的结果能够解密,该方式是现有技术,在此不再赘述。
同样以D-H算法为例,第二设备生成的共享密钥DHkeyB为:
DHkeyB=((PkeyA)^keyB)mod(P)
由D-H算法可知,DHkeyA=DHkeyB。
如果第二设备接收到第一设备发送的验证值,则同样利用生成的共享密钥DHkeyB、DHkeyB的衍生密钥和明文(该明文与第一设备预先约定)中的至少一种生成验证值,将生成的验证值与收到的验证值进行比对,如果一致,则验证通过,第二设备后续可以采用该共享密钥DHkeyB与第一设备进行交互。
更进一步地,第二设备可以利用生成的共享密钥DHkeyB、DHkeyB的衍生密钥和明文(该明文与第一设备预先约定)中的至少一种生成验证值,将该验证值发送给第一设备。第一设备接收到该验证值后,同样利用自身生成的共享密钥DHkeyA、DHkeyA的衍生密钥和明文(该明文与第二设备预先约定)中的至少一种生成验证值,将该验证值与接收到的验证值进行比对,如果一致,则验证通过,第一设备后续可以采用该共享密钥DHkeyA与第二设备进行交互。
实施例一提供的密钥配置方式可以很好的应用于WPS认证流程和四次握手流程中,下面分别通过实施例二和实施例三对应用于WPS认证流程进行详细描述,通过实施例四和实施例五对应用于四次握手流程中的过程进行详细描述。
实施例二、
本实施例中以密钥配置应用于WPS认证流程为例,假设第一设备在WPS认证过程中角色为registrar,第二设备为enrollee,或者第一设备为GO,第二设备为client,鉴于WPS认证的要求,M1消息必须从enrollee或client发出。基于此,本发明实施例二提供的密钥配置方法流程如图2所示,包括以下步骤:
步骤201同步骤101。
步骤202同步骤102。
步骤203:第一设备向第二设备发送触发消息。
该触发消息用于通知第二设备开始进行密钥配置,该触发消息可以包含在其他消息中发送,诸如包含在发现消息或者广播消息中,例如如果第一设备为AP,则可以通过广播消息发送,如果第一设备为无线终端,则可以通过发现消息发送。
步骤204:第二设备向第一设备发送M1消息。
该M1消息中包含版本号、第二设备生成的现场值Nonce2,第二设备的设备信息。
另外,第二设备还可以发送利用自身的公钥PkeyB生成的验证值,例如PkeyB的hash值,供第一设备进行验证。如果第一设备接收到验证值,则首先利用第二设备的公钥PkeyB生成验证值,将生成的验证值与接收到的验证值进行比较,如果一致,则验证通过,执行步骤205。
步骤205:第一设备利用DHkeyA、第二设备的现场值Nonce2以及第一设备生成的现场值Nonce1生成衍生密钥。
在此除了利用DHkeyA之外,并不限于第一设备生成衍生密钥的方式和参数,只要采用与第二设备约定的方式即可。为了最大限度地适应现有WPS认证过程,可以利用共享密钥DHkeyA、第二设备的现场值Nonce2以及第一设备生成的现场值Nonce1来生成衍生密钥,具体可以采用如下方式:
KDK=HMAC-SHA-256DHKey A(Nonce2||EnrolleeMAC||Nonce1),即KDK是DHKey A与Nonce2,第二设备的MAC地址以及Nonce1的hash结果。
AuthKey||KeyWrapKey||EMSK=kdf(KDK,“Wi-Fi Easy and Secure KeyDerivation”,640),即AuthKey,KeyWrapKey,EMSK是KDK结合字符串“Wi-Fi Easy andSecure Key Derivation”进行迭代产生的640bit的密钥,AuthKey取其中256bit,KeyWrapKey取其中128bit,EMSK取其中256bit。KDK、AuthKey、KeyWrapKey和EMSK都可以作为共享密钥的衍生密钥。
步骤206:第一设备向第二设备发送M2消息,该M2消息包含第一设备的公钥PkeyA、Nonce1和Nonce2。
另外,第一设备还可以利用M1消息、M2消息结合Authkey生成验证值,例如生成hash值,供第二设备进行验证。如果该验证值通过M2消息发送,那么生成验证值的M2消息为不包含该验证值时的M2消息。
步骤207:第二设备利用第一设备的公钥PkeyA和自己的私钥keyB生成共享密钥DHkeyB,并利用DHkeyB、Nonce1和Nonce2生成衍生密钥。
在此生成衍生密钥的方式可以参考步骤205中的描述。
第二设备如果接收到验证值,则同样利用M1消息、M2消息(不包含验证值的M2消息)结合计算得到的衍生密钥Authkey生成验证值,将生成的验证值与接收到的验证值进行比较,如果一致,则验证通过,第二设备后续可以采用该共享密钥DHkeyB与第一设备进行交互。
第二设备还可以进一步利用自己生成的Authkey、M2消息以及完成消息生成验证值,将该验证值通过完成消息发送给第一设备进行验证,生成验证值所利用的完成消息为不包含验证值的完成消息。第一设备接收到验证值后,利用自己生成的Authkey、M2消息以及完成消息生成验证值,将自己生成的验证值与接收到的验证值进行对比,如果一致,则验证通过,第一设备后续可以采用该共享密钥DHkeyB或共享密钥的衍生密钥与第二设备进行交互。
另外,在该实施例中,第一设备在步骤201中获取第二设备的公钥的同时,还可以获得第二设备的现场值Nonce2,这样第二设备在向第一设备发送的M1消息中就可以不再携带Nonce2,这种情况下,步骤205就可以在步骤202之后执行。
实施例三、
本实施例中仍以密钥配置应用于WPS认证流程为例,与实施例二不同的是,本实施例中假设第一设备在WPS认证过程中角色为enrollee,第二设备为registrar,鉴于WPS认证的要求,M1消息必须从enrollee发出。基于此,本发明实施例三提供的密钥配置方法流程如图3所示,包括以下步骤:
步骤301同步骤101。
步骤302同步骤102。
步骤303:第一设备向第二设备发送M1消息,该M1消息中至少包括第一设备的公钥PkeyA和第一设备生成的现场值Nonce1。还可以包含版本号、第一设备的设备信息等。
步骤304:第二设备利用第一设备的公钥PkeyA和自身的私钥keyB生成共享密钥DHkeyB,并利用DHkeyB、第二设备的现场值Nonce2以及第一设备生成的现场值Nonce1生成衍生密钥。
生成衍生密钥的方式与实施例二中描述的相同,在此不再赘述。
步骤305:第二设备向第一设备发送M2消息,该M2消息包含Nonce2和Nonce1。
另外,第二设备还可以利用M1消息、M2消息结合Authkey生成验证值,例如生成hash值,供第一设备进行验证。如果该验证值通过M2消息发送,那么生成验证值的M2消息为不包含该验证值时的M2消息。
步骤306:第一设备利用DHkeyA、Nonce2和Nonce1生成衍生密钥。
如果第一设备接收到验证值,同样利用M1消息、M2消息(不包含验证值的M2消息)结合计算得到的衍生密钥Authkey生成验证值,将生成的验证值与接收到的验证值进行比较,如果一致,则验证通过,第一设备后续可以采用该共享密钥DHkeyB与第二设备进行交互。
第一设备还可以进一步利用自己生成的Authkey、M2消息以及完成消息生成验证值,将该验证值通过完成消息发送给第二设备进行验证,生成验证值所利用的完成消息为不包含验证值的完成消息。第二设备接收到验证值后,利用自己生成的Authkey、M2消息以及完成消息生成验证值,将自己生成的验证值与接收到的验证值进行对比,如果一致,则验证通过,第二设备后续可以采用该共享密钥DHkeyB或者共享密钥的衍生密钥与第一设备进行交互。
另外,在本实施例中,第一设备在步骤301中获取第二设备的公钥的同时,还可以获得第二设备的现场值Nonce2,这样第二设备在向第一设备发送的M2消息中就可以不再携带Nonce2,这种情况下步骤306就可以在步骤302之后执行。
实施例四、
本实施例中以密钥配置应用于四次握手流程为例,假设第一设备在四次握手过程中角色为Authenticator(认证方),第二设备作为supplicant(申请方),四次握手流程中M1消息必须由Authenticator发送,基于此,本发明实施例四提供的密钥配置方法流程如图4所示,包括以下步骤:
步骤401同步骤101。
步骤402同步骤102。
步骤403:第一设备向第二设备发送M1消息,该M1消息包含自身的公钥PkeyA和自身产生的随机数ANonce(AP随机值)。
步骤404:第二设备利用PkeyA和自身的私钥keyB生成共享密钥DHkeyB,并且利用自身产生的随机数SNonce(站点随机值)以及DHkeyB和ANonce生成PTK(PairwiseTransient Key,成对临时密钥)。
在生成PTK时,也可以利用SNonce、ANonce以及DHkeyB的衍生密钥,具体生成PTK的方式可以采用现有方式,在此不加以限制。
步骤405:第二设备向第一设备发送M2消息,该M2消息中包含SNonce以及该M2消息的MIC(Message Integrity Code,消息完整性编码)。
其中M2消息的MIC可以是DHkeyB或者DHkeyB的衍生密钥结合M2消息的hash值,或者PTK的衍生密钥结合M2消息的hash值,主要用于进行消息的完整性校验。
步骤406:第一设备利用DHkeyA以及该M2消息生成MIC,利用生成的MIC验证接收到的MIC,如果一致,则利用SNonce、ANonce以及DHkeyA(或者DHkeyA的验证密钥)生成PTK。
如果该MIC在步骤405中是利用DHkeyB的衍生密钥结合M2消息生成的,那么在此步骤406中就利用DHkeyA的衍生密钥和M2消息生成MIC;如果该MIC在步骤405中是利用PTK的衍生密钥结合M2消息生成的,那么在此步骤406中就先可以生成PTK,利用PTK的衍生密钥和M2消息生成MIC,然后利用生成的MIC对接收到的MIC进行验证。当然,无论哪种情况也可以都生成PTK后再生成MIC进行验证。
步骤407:第一设备利用PTK加密信任状,将加密的信任状以及M3消息的MIC值发送给第二设备。
该MIC值是利用DHkeyA和M3消息进行hash后生成的。
步骤408:第二设备利用DHkeyB和M3消息生成MIC值,利用生成的MIC值对接收到的MIC进行验证,如果验证通过,利用自身生成的PTK解密获得信任状。
步骤409:第二设备发送M4消息以及该消息的MIC给第一设备进行确认。
至此就完成了第一设备和第二设备之间的四次握手,实际上在步骤404就已经完成了共享密钥的共享,第一设备和第二设备就能够利用共享密钥或共享密钥的衍生密钥进行后续交互,后续的步骤405和步骤409是四次握手的固有流程,只是在交互过程中利用了共享密钥。
实施例五、
本实施例中仍以密钥配置应用于四次握手流程为例,假设第一设备在四次握手过程中角色为supplicant,第二设备作为Authenticator,四次握手流程中M1消息必须由Authenticator发送,基于此,本发明实施例五提供的密钥配置方法流程如图5所示,包括以下步骤:
步骤501同步骤401。
步骤502同步骤402。
步骤503:第一设备向第二设备发送触发消息,该触发消息中包含第一设备的公钥PkeyA,通知第二设备开始四次握手过程。
步骤504:第二设备利用PkeyA和自身的私钥keyB生成共享密钥。
步骤505:第二设备向第一设备发送M1消息,该M1消息包含第二设备产生的随机数ANonce。
步骤506:第一设备利用ANonce和自己产生的SNonce、DHkeyA产生PTK。
步骤507:第一设备将SNonce以及M2消息的MIC通过M2消息发送给第二设备。
M2消息的MIC可以是DHkeyA或者DHkeyA的衍生密钥结合M2消息的hash值,或者PTK的衍生消息结合M2消息的hash值,主要用于进行消息的完整性校验。
步骤508:第二设备利用DHkeyB以及该M2消息生成MIC,利用生成的MIC验证接收到的MIC,如果一致,则利用ANonce、SNonce和DHkeyB生成PTK。
如果步骤507中利用DHkeyA的衍生密钥结合M2消息生成MIC,则在步骤508中利用DHkeyB的衍生密钥结合M2消息生成MIC,然后进行验证。如果步骤507中利用PTK的衍生密钥结合M2消息生成MIC,则在步骤508中先生成PTK,再利用PTK的衍生密钥和M2消息生成MIC,然后进行验证。当然,无论哪种情况也可以都生成PTK后再生成MIC进行验证。
步骤509:第二设备利用PTK加密信任状,将加密的信任状以及M3消息的MIC值发送给第一设备。M3消息的MIC值是利用DHkeyB和M3消息生成的。
步骤510:第一设备利用DHkeyA和M3消息生成MIC值,利用生成的MIC值对接收到的MIC进行验证,如果验证通过,利用自身生成的PTK解密获得信任状。
步骤511:第一设备发送M4消息以及该消息的MIC给第二设备进行确认。
至此就完成了第一设备和第二设备之间的四次握手,实际上在步骤504就已经完成了共享密钥的共享,第一设备和第二设备就能够利用共享密钥进行后续交互,后续的步骤505和步骤511是四次握手的固有流程,只是在交互过程中利用了共享密钥。
在上述实施例一至实施例五所述的各流程中,除了第一设备和第二设备利用共享密钥进行后续交互过程之外,在双方都产生共享密钥之后,可以由一方利用生成的共享密钥或者共享密钥的衍生密钥加密一个密码发送给另一方,其中该密码可以是信任状或者会话密钥等,可以是随机生成的,也可以是按照某个算法生成的,在此不加以限制。另一方利用自身生成的共享密钥或者共享密钥的衍生密钥进行解密得到密码,双方可以利用该密码或者该密码的衍生密钥进行后续交互过程。
实施例六、
本实施例不采用密钥交换的方式进行密钥配置,在本实施例中第一设备和第二设备分别存在一对公私钥,即第一设备上有公钥PkeyA和私钥keyA,第二设备上有公钥PkeyB和私钥keyB,公私钥的产生方式在此不具体限制,特征是,利用公钥PkeyA进行加密的结果能够采用私钥keyA进行解密,利用公钥PkeyB进行加密的结果能够采用私钥keyB进行解密。图6为本发明实施例六提供的密钥配置方法的流程示意图,如图6所示,该方法包括以下步骤:
步骤601同步骤101。
如果第一设备是registrar、AP、GO或者中心节点,那么按照步骤602至步骤604的流程执行。
步骤602:第一设备利用第二设备的公钥PkeyB加密一个密码,将加密结果发送给第二设备。其中该密码可以是信任状或者会话密钥等,可以是随机生成的,也可以是按照某个算法生成的,在此不加以限制。
本步骤中的加密方式可以采用实施例一中所述的第一种加密方式。
更进一步地,第一设备可以利用第二设备的公钥PkeyB生成一个验证值,例如生成PkeyB的hash值发送给第二设备,第二设备接收到验证值后,首先利用自身的公钥PkeyB生成验证值,将生成的验证值与接收到的验证值进行比对,如果一致,则确定验证通过,继续执行步骤603。
步骤603:第二设备利用自己的私钥keyB对加密结果进行解密,得到密码。
步骤604:第一设备和第二设备利用上述的密码或者该密码的衍生密钥进行后续的交互。
该实施例中是以第一设备是registrar、AP、GO或者中心节点为例的,如果第二设备是registrar、AP、GO或者中心节点,则按照实施例七中所示的流程执行。
实施例七、
图7为本发明实施例七提供的密钥配置方法的流程示意图,如图7所示,该方法包括:
步骤701同步骤101。
步骤702:第一设备向第二设备发送自身的公钥PkeyA。
在此,为了提高安全性,第一设备可以利用第二设备的公钥PkeyB加密PkeyA后发送给第二设备,第二设备利用自身的私钥keyB进行解密后得到PkeyA。
此处的加密可以采用实施例一中所述的第一种加密方式。
步骤703:第二设备利用第一设备的公钥PkeyA加密一个密码,将加密结果发送给第一设备。其中该密码可以是信任状或者会话密钥等,可以是随机生成的,也可以是按照某个算法生成的,在此不加以限制。
此处的加密可以采用实施例一中所述的第一种加密方式。
在此第二设备可以利用第一设备的公钥PkeyA生成一个验证值,例如生成PkeyA的hash值发送给第一设备,第一设备接收到验证值后首先利用自身的公钥PkeyA生成验证值,将生成的验证值与接收到的验证值进行比对,如果一致,则确定验证通过,继续执行步骤704。
步骤704:第一设备利用自己的私钥keyA对加密结果进行解密,得到密码。
步骤705:第一设备和第二设备利用上述的密码或者密码的衍生密钥进行后续的交互。
如果第一设备和第二设备的角色或类型是一致的,例如都是无线终端设备,或者都是enrollee等,那么无论采用实施例六还是实施例七中的方式均可。
在实施例六中用于得到共享密钥的信息就是第一设备生成的密码,实施例七中用于得到共享密钥的信息就是第一设备的公钥。
需要说明的是,上述实施例六和实施例七中所示的方式同样可以适用于WPS认证流程或四次握手流程,仅需将WPS认证流程中或四次握手流程中涉及到的共享密钥替换为实施例六或实施例七中的密码即可,在此不再赘述。
以上是对本发明所提供的方法进行的详细描述,在由第一设备和第二设备构成的***中,下面分别对第一设备和第二设备进行详细描述。图8为本发明实施例提供的密钥配置装置的结构图,该密钥配置装置位于第一设备中,主要包括:安全获取单元10和密钥处理单元20。
其中安全获取单元10用于通过安全媒介获取第二设备的公钥。
具体地,安全获取单元10可以通过但不限于扫描识别码的方式、USB的方式或者NFC的方式从第二设备获取第二设备的公钥。以扫描识别码的方式为例,安全获取单元10扫描第二设备的识别码,该识别码可以是诸如二维码、条形码等,在识别码中包含有第二设备的公钥PkeyB,还可以包含第二设备的设备信息,主要是地址信息,还可以包括但不限于以下设备信息:UUID、制造商、序列号、设备能力、信道信息等。设备能力指的是该设备支持的算法、认证方法、设备角色信息、设备类型信息等,其中设备角色信息是指该设备在注册时充当的角色,可以是enrollee、registrar、client或GO等。设备类型信息可以是无线终端(诸如Wifi终端、蓝牙终端、Zigbee终端等)、接入点(在Wifi网络中是AP,蓝牙网络中可以是蓝牙网关、Zigbee网络中可以是物联网网关等)、传感器节点、中心节点等。
密钥处理单元20用于将用于得到共享密钥的信息发送给第二设备;以及利用所述用于得到共享密钥的信息或者自身的私钥得到所述共享密钥。
这样第二设备就能够结合自身的私钥和用于得到共享密钥的信息得到共享密钥。
第一设备和第二设备可以采用密钥交换的方式进行共享密钥的配置,也可以不采用密钥交换的方式进行共享密钥的配置,因此,对应的密钥处理单元20可以采用以下两种方式实现:
第一种实现方式:不采用密钥交换的方式,这种方式对应于上述方法实施例六和七中所描述的内容,此时密钥处理单元20的结构可以存在两种:
结构1)如图8中所示,可以包括:第一密钥生成子单元81和第一密钥传输子单元82。
其中第一密钥生成子单元81用于生成密码,将密码作为共享密钥。其中该密码可以是信任状或者会话密钥等,可以是随机生成的,也可以是按照某个算法生成的,在此不加以限制。
第一密钥传输子单元82用于利用第二设备的公钥将密码进行加密后,将加密结果发送给第二设备,以供第二设备利用自身的私钥对加密结果进行解密得到密码并将密码作为共享密钥。
结构2)如图9中所示,可以包括:第二密钥传输子单元83和第三密钥传输子单元84。
第二密钥传输子单元83用于利用第二设备的公钥将第一设备的公钥进行加密后,将加密结果发送给第二设备。
这样第二设备在接收到该解密结果后,利用自身的私钥对该加密结果进行解密后得到第一设备的公钥,生成一个密码,将该密码作为共享密钥,然后利用第一设备的公钥对该密码进行加密后,将该加密结果发送给第一设备。
这样,第二密钥生成子单元84接收到第二设备发送的加密结果后,利用自身的私钥对加密结果进行解密,将得到的密码作为共享密钥。
第二种实现方式:采用密钥交换的方式。第一设备和第二设备预定密钥交换算法,此时密钥处理单元20的结构如图10中所示包括:第三密钥生成子单元91和第三密钥传输子单元92。
第三密钥生成子单元91用于利用第二设备的公钥和第一设备的私钥按照密钥交换算法生成共享密钥。本发明实施例中共享密钥算法可以采用但不限于:D-H算法、RSA算法或EIGamal算法等,以D-H算法为例,共享密钥DHKeyA=((PkeyB)^keyA)mod(P),其中PkeyB为第二设备的公钥,keyA为第一设备的私钥,P为预先共享的密钥交换算法所使用的参数。
第三密钥传输子单元92用于将第一设备的公钥发送给第二设备,以供第二设备利用第一设备的公钥以及自身的私钥按照密钥交换算法生成共享密钥。类似地,共享密钥DHkeyB=((PkeyA)^keyB)mod(P),PkeyA为第一设备的公钥,keyB为第二设备的私钥,由D-H算法可知,DHkeyA=DHkeyB。
在该种方式中,该装置还可以进一步包括参数配置单元30,用于存储预先配置的密钥交换算法所使用的参数,或者接收并存储第三方的配置设备发送的密钥交换算法所使用的参数。也就是说,密钥交换算法所使用的参数可以采用两种方式预先共享,第一种是采用预先配置的方式,即静态配置的方式,第二种是采用由第三方的配置设备发送的方式。
第一设备和第二设备除了采用共享密钥进行安全交互之外,在该第二种实现方式中,第三密钥生成子单元92还可以用于在生成共享密钥后,利用共享密钥或者共享密钥的衍生密钥加密一个密码,第三密钥传输子单元91还用于将第三密钥生成子单元92的加密结果发送给第二设备,供第二设备利用自身生成的共享密钥进行解密后得到该密码。这种情况下,第一设备和第二设备可以利用该密码进行后续安全连接,这里的密码可以是信任状或会话密钥等。或者,
由第二设备利用自身生成的共享密钥加密一个密码,将该密码发送给第一设备。此时上述的第三密钥传输子单元91接收第二设备发送来的加密结果。第三密钥生成子单元92利用生成的共享密钥对第三密钥传输子单元91接收到的加密结果进行解密,得到密码(这种情况图中未示出)。这种情况下,第一设备和第二设备可以利用该密码进行后续安全连接,这里的密码可以是信任状或会话密钥等。
另外,在该第二种实现方式中,为了提高交互的安全性,第二密钥传输子单元92在将第一设备的公钥发送给第二设备时,可以利用第二设备的公钥对第一设备的公钥进行加密后,将加密结果发送给第二设备,以供第二设备对加密结果进行解密后得到第一设备的公钥。上述第二种实现方式对应于实施例一中所描述的内容。
基于以上两种实现方式,由于安全获取单元10能够通过安全媒介获取第二设备的设备信息,该设备信息中可以包含第二设备的地址信息,密钥处理单元20就可以依据第二设备的地址信息将用于得到共享密钥的信息发送给第二设备。
基于以上两种实现方式,该装置还可以进一步包括第一验证单元40,用于在密钥处理单元20生成共享密钥后,利用共享密钥、共享密钥的衍生密钥或者与第二设备预先约定的明文中的至少一种生成验证值,将该验证值发送给第二设备。
第二设备收到该验证值后,利用自己生成的共享密钥、共享密钥的衍生密钥或者与第一设备预先约定的明文中的至少一种生成验证值,将生成的验证值与接收到的验证值进行比对,如果一致,则确定验证通过,第二设备后续可以采用共享密钥与第一设备进行交互。
基于以上两种实现方式,由于第一设备也可能接收到第二设备发送的验证值,因此该装置还可以进一步包括第二验证单元50,用于接收到第二设备发送的验证值后,利用密钥处理单元20生成的共享密钥、共享密钥的衍生密钥或者与第二设备预先约定的明文中的至少一种生成验证值,将生成的验证值与接收到的验证值进行比对,如果一致,则验证通过,第一设备后续可以采用共享密钥或者共享密钥的衍生密钥与第二设备进行交互。
上述的密钥配置方式可以很好的应用于WPS认证过程和四次握手过程中,当应用于WPS认证过程时,密钥处理单元20可以通过WPS认证过程中的第一个消息(即M1消息)发送用于得到共享密钥的信息;或者,由第一设备向第二设备发送通知第二设备开始WPS认证过程的触发消息,密钥处理单元20通过WPS认证过程中的第二个消息(即M2消息)发送用于得到共享密钥的信息。具体参见实施例二和实施例三中所描述的内容。
当应用于四次握手过程中时,密钥处理单元20可以通过四次握手过程中的第一个消息(即M1消息)发送用于得到共享密钥的信息;或者,通过通知第二设备开始四次握手过程的触发消息发送用于得到共享密钥的信息。具体参见实施例四和实施例五所描述的内容。
在WPS认证过程和四次握手过程中,具体通过哪个消息发送用于得到共享密钥的信息与第一设备的角色有关,具体参见实施例二至实施例五中所描述的内容,在此不再赘述。
图11为本发明实施例提供的密钥配置装置的结构示意图,该密钥配置装置位于第二设备中,如图11所示,该装置包括:安全发送单元01和密钥处理单元02。
其中安全发送单元01用于通过安全媒介将第二设备的公钥提供给第一设备。具体地,安全发送单元01可以通过提供识别码供第一设备扫描的方式、USB的方式或者NFC的方式将第二设备的公钥提供给第一设备。以提供识别码供第一设备扫描的方式为例,在第二设备上设置有识别码,该识别码可以是诸如二维码、条形码等,在识别码中包含有第二设备的公钥PkeyB,还可以包含第二设备的设备信息,主要是地址信息,还可以包括但不限于以下设备信息:UUID、制造商、序列号、设备能力、信道信息等。设备能力指的是该设备支持的算法、认证方法、设备角色信息、设备类型信息等,其中设备角色信息是指该设备在注册时充当的角色,可以是enrollee、registrar、client或GO等。设备类型信息可以是无线终端(诸如Wifi终端、蓝牙终端、Zigbee终端等)、接入点(在Wifi网络中是AP,蓝牙网络中可以是蓝牙网关、Zigbee网络中可以是物联网网关等)、传感器节点、中心节点等。
密钥处理单元02用于利用自身的私钥和第一设备发送来的用于得到共享密钥的信息得到共享密钥。
根据第一设备发送用于得到共享密钥的信息的方式,密钥处理单元02可以采用以下两种方式实现:
第一种实现方式:不采用密钥交换的方式,此时密钥处理单元02的结构可以采用以下两种:
结构1)如图11中所示,可以包括:第一信息传输子单元11和第一密钥生成子单元12。
其中第一信息传输子单元11用于接收第一设备利用第二设备的公钥对第一设备生成的密码进行加密所得到的加密结果。第一密钥生成子单元12用于利用第二设备的私钥对加密结果进行解密得到密码,将密码作为共享密钥。上述第一种实现方式对应于实施例六所描述的内容。
结构2)如图12所示,可以包括:第二信息传输子单元31和第二密钥生成子单元32。
其中,第二信息传输子单元31接收第一设备利用第二设备的公钥将第一设备的公钥进行加密后得到的加密结果;将第二密钥生成子单元32得到的加密结果发送给所述第一设备,以便第一设备利用自身的私钥对接收到的加密结果进行解密后,将得到的密码作为共享密钥。
第二密钥生成子单元32,用于利用自身的私钥对所述第二信息传输子单元接收到的加密结果进行解密,得到所述第一设备的公钥,并且生成密码,将该密码作为共享密钥,利用所述第一设备的公钥将该密码进行加密后得到加密结果。
第二种实现方式,采用密钥交换的方式,这种方式下第一设备和第二设备预定密钥交换算法,此时用于得到共享密钥的信息为第一设备的公钥,这种方式下密钥处理单元02的结构如图13中所示具体包括:第三信息传输子单元21和第三密钥生成子单元22。
其中第三信息传输子单元21用于接收第一设备发送来的第一设备的公钥,第三密钥生成子单元22用于利用第一设备的公钥以及自身的私钥按照密钥交换算法生成共享密钥。本发明实施例中共享密钥算法可以采用但不限于:D-H算法、RSA算法或EIGamal算法等,以D-H算法为例,共享密钥DHKeyB=((PkeyA)^keyB)mod(P),其中PkeyA为第一设备的公钥,keyB为第二设备的私钥,P为预先共享的密钥交换算法所使用的参数。
该种方式中,该装置还可以进一步包括:参数配置单元03用于存储预先配置的密钥交换算法所使用的参数,或者接收并存储第三方的配置设备发送的密钥交换算法所使用的参数。也就是说,密钥交换算法所使用的参数可以采用两种方式预先共享,第一种是采用预先配置的方式,即静态配置的方式,第二种是采用由第三方的配置设备发送的方式。
第一设备和第二设备除了采用上述的共享密钥进行后续安全连接之外,在第二种实现方式下,第三信息传输子单元21在接收第一设备在利用第二设备的公钥和自身的私钥按照所述密钥交换算法生成共享密钥后,可以进一步利用共享密钥或者共享密钥的衍生密钥加密一个密码得到的加密结果;第三密钥生成子单元22利用自身生成的共享密钥对第三信息传输子单元21接收到的加密结果进行解密,得到密码。后续第一设备和第二设备可以采用该密码进行安全交互,这里的密码可以是信任状或会话密钥等。
或者,第三密钥生成子单元22在生成共享密钥后,利用共享密钥或者共享密钥的衍生密钥加密一个密码得到加密结果。第三信息传输子单元21将所述第三密钥生成子单元22生成的加密结果发送给第一设备;供第一设备利用共享密钥进行解密后得到该密码(该种情况图中未示出),后续第一设备和第二设备可以采用该密码进行安全交互,这里的密码可以是信任状或会话密钥等。
另外,在该第二种实现方式中,为了提高交互的安全性,第三信息传输子单元21还用于接收第一设备发送来的利用第二设备的公钥对第一设备的公钥进行加密后的加密结果,对该加密结果进行解密,得到第一设备的公钥。上述第二种方式对应于实施例一中所描述的内容。
基于以上两种实现方式,该装置还可以进一步包括:第一验证单元04,用于如果接收到第一设备发送的验证值,则利用密钥处理单元02生成的共享密钥、该共享密钥的衍生密钥或者与第一设备预先约定的明文中的至少一种生成验证值,将生成的验证值与接收到的验证值进行比对,如果一致,则验证通过,第二设备后续可以采用共享密钥或者共享密钥的衍生密钥与第一设备进行交互。
基于以上两种实现方式,由于第二设备也可能向第一设备发送验证值,因此该装置还可以进一步包括:第二验证单元05,用于在密钥处理单元02生成共享密钥后,利用共享密钥、共享密钥的衍生密钥或者与第一设备预先约定的明文中的至少一种生成验证值,将该验证值发送给第一设备。
上述的密钥配置方式可以很好的应用于WPS认证过程和四次握手过程中,当应用于WPS认证过程时,密钥处理单元02可以通过WPS认证过程中的第一个消息获取用于得到共享密钥的信息;或者,通过WPS认证过程中的第二个消息获取用于得到共享密钥的信息。具体参见实施例二和实施例三中所描述的内容。
当应用于四次握手过程中时,密钥处理单元02可以通过四次握手过程中的第一个消息获取用于得到共享密钥的信息;或者,通过通知第二设备开始四次握手过程的触发消息获取用于得到共享密钥的信息。具体参见实施例四和实施例五所描述的内容。
上述的第一设备和第二设备可以是诸如个人计算机、笔记本电脑、无线电话、个人数字处理(PDA)、传感器节点、AP等。需要说明的是,本发明所提供的方法和装置并不限于WiFi网络,可以用于任意的诸如蓝牙、Zigbee等无线网络,甚至可以应用于有线网络中的密钥配置。
上述的第一设备如图14所示包括:处理器、存储器和通信总线,所述处理器通过通信总线与存储器连接,所述存储器中保存有实现密钥配置方法的指令,进一步地,所述第一设备还包括通信接口,通过通信接口与其他设备通信连接。
当处理器调取存储器中实现密钥配置方法的指令时,可以执行如下步骤:
通过安全媒介获取第二设备的公钥;
将用于得到共享密钥的信息发送给第二设备,以便所述第二设备利用自身的私钥和所述用于得到共享密钥的信息得到共享密钥;
利用所述用于得到共享密钥的信息或者自身的私钥得到所述共享密钥。
当处理器调取存储器中实现密钥配置方法的指令时,可以执行前述方法实施例中第一设备所执行的步骤,具体可参考前述方法实施例,在此不再赘述。
另外,上述的第二设备如图15所示,包括:处理器、存储器和通信总线,所述处理器通过通信总线与存储器连接,所述存储器中保存有实现密钥配置方法的指令,进一步地,所述第二设备还包括通信接口,通过通信接口与其他设备通信连接。
当处理器调取存储器中实现密钥配置方法的指令时,可以执行如下步骤:
通过安全媒介将第二设备的公钥提供给第一设备;
接收第一设备发送来的用于得到共享密钥的信息;
利用自身的私钥和所述用于得到共享密钥的信息得到共享密钥;
其中所述第一设备利用所述用于得到共享密钥的信息或者自身的私钥得到所述共享密钥。
当处理器调取存储器中实现密钥配置方法的指令时,可以执行前述方法实施例中第二设备所执行的步骤,具体可参考前述方法实施例,在此不再赘述。
本发明所描述的设备在架构上都包含一些基本组件,如总线、处理***、存储***、一个或多个输入/输出***、和通信接口等。总线可以包括一个或多个导线,用来实现设备中各组件之间的通信。处理***包括各类型的用来执行指令、处理进程或线程的处理器或微处理器。存储***可以包括存储动态信息的随机访问存储器(RAM)等动态存储器,和存储静态信息的只读存储器(ROM)等静态存储器,以及包括磁或光学记录介质与相应驱动的大容量存储器。输入***供用户输入信息到服务器或终端设备,如键盘、鼠标、手写笔、声音识别***、或生物测定***等,如果是无头设备,则可以不包含人机交互功能的输入***。输出***可以包括用来输出信息的显示器、打印机、扬声器、指示灯等。通信接口用来使服务器或终端设备与其它***或***进行通信。通信接口之间可通过有线连接、无线连接、或光连接连接到网络中。
各设备上均包含有用来管理***资源、控制其它程序运行的操作***软件,以及用来实现特定功能的应用软件。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。

Claims (24)

1.一种密钥配置的方法,其特征在于,该方法包括:
第一设备通过安全媒介获取第二设备的公钥;
第一设备将用于得到共享密钥的信息发送给第二设备;
以便所述第二设备利用所述第二设备的私钥和所述用于得到共享密钥的信息得到共享密钥;
其中所述第一设备利用所述第一设备的私钥得到所述共享密钥;
其中,所述第一设备通过安全媒介获取第二设备的公钥包括:
所述第一设备通过扫描识别码的方式、通用串行总线USB的方式或者近场通信NFC的方式从第二设备获取第二设备的公钥;
所述用于得到共享密钥的信息具体为:所述第一设备的公钥;
所述第一设备利用所述第一设备的私钥得到所述共享密钥包括:所述第一设备利用第二设备的公钥和所述第一设备的私钥按照密钥交换算法生成共享密钥;
所述以便所述第二设备利用所述第二设备的私钥和所述用于得到共享密钥的信息得到共享密钥包括:以便所述第二设备利用所述第一设备的公钥以及所述第二设备的私钥按照所述密钥交换算法生成共享密钥;
所述第一设备在得到共享密钥后,利用共享密钥或者共享密钥的衍生密钥加密一个密码,将加密结果发送给所述第二设备;以便所述第二设备利用第二设备得到的共享密钥或者共享密钥的衍生密钥对接收到的加密结果进行解密,得到所述密码;该密码用于第一设备和第二设备的安全连接;或者,
所述第二设备在得到共享密钥后,利用共享密钥或者共享密钥的衍生密钥加密一个密码,将加密结果发送给所述第一设备;所述第一设备利用得到的共享密钥对接收到的加密结果进行解密,得到密码;该密码用于第一设备和第二设备之间的安全连接。
2.根据权利要求1所述的方法,其特征在于,该方法还包括:所述第一设备和所述第二设备预定密钥交换算法;
所述第一设备和所述第二设备预定密钥交换算法包括:
所述第一设备和所述第二设备上预先配置有所述密钥交换算法所使用的参数;或者,
所述第一设备和所述第二设备接收第三方的配置设备发送的所述密钥交换算法所使用的参数。
3.根据权利要求1所述的方法,其特征在于,所述第一设备将用于得到共享密钥的信息发送给第二设备包括:
所述第一设备利用第二设备的公钥对所述第一设备的公钥进行加密后,将加密结果发送给所述第二设备;
以便所述第二设备对所述加密结果进行解密,得到所述第一设备的公钥。
4.根据权利要求1-3任一所述的方法,其特征在于,该方法还包括:
所述第一设备得到共享密钥后,利用共享密钥、共享密钥的衍生密钥或者与第二设备预先约定的明文中的至少一种生成第一验证值,将该第一验证值发送给第二设备;
以便第二设备利用所述第二设备得到的共享密钥、共享密钥的衍生密钥或者与第一设备预先约定的明文中的至少一种生成第二验证值,将生成的第二验证值与接收到的第一验证值进行比对,如果两者一致,则验证通过,在验证通过的情况下,所述第二设备利用所述共享密钥或共享密钥的衍生密钥与所述第一设备进行安全连接。
5.根据权利要求1-3任一所述的方法,其特征在于,该方法还包括:
第一设备接收所述第二设备发送的第一验证值,所述第一验证值是所述第二设备利用共享密钥、共享密钥的衍生密钥或者与第一设备预先约定的明文中的至少一种生成的验证值;
第一设备利用所述第一设备得到的共享密钥、共享密钥的衍生密钥或者与第二设备预先约定的明文中的至少一种生成第二验证值,将生成的第二验证值与接收到的第一验证值进行比对,如果两者一致,则验证通过,在验证通过的情况下,所述第一设备利用所述共享密钥或共享密钥的衍生密钥与所述第二设备进行安全连接。
6.根据权利要求1-3任一所述的方法,其特征在于,所述第一设备通过无线保真安全建立WPS认证过程中的第一消息发送所述用于得到共享密钥的信息;或者,
所述第一设备向所述第二设备发送通知所述第二设备开始WPS认证过程的触发消息,并通过WPS认证过程中的第二消息发送所述用于得到共享密钥的信息;或者,
所述第一设备通过四次握手过程中的第一消息发送所述用于得到共享密钥的信息;或者,
所述第一设备通过通知所述第二设备开始四次握手过程的触发消息发送所述用于得到共享密钥的信息。
7.一种密钥配置的方法,其特征在于,该方法包括:
第二设备通过安全媒介将第二设备的公钥提供给第一设备;
第二设备接收第一设备发送来的用于得到共享密钥的信息;
第二设备利用所述第二设备的私钥和所述用于得到共享密钥的信息得到共享密钥;
其中所述第一设备利用所述第一设备的私钥得到所述共享密钥;
其中,所述第二设备通过安全媒介将第二设备的公钥提供给第一设备包括:
所述第二设备通过提供识别码供第一设备扫描的方式、通用串行总线USB的方式或者近场通信NFC的方式将第二设备的公钥提供给第一设备;
所述用于得到共享密钥的信息具体为:所述第一设备的公钥;
所述第一设备利用所述第一设备的私钥得到所述共享密钥包括:所述第一设备利用第二设备的公钥和所述第一设备的私钥按照密钥交换算法生成共享密钥;
所述利用所述第二设备的私钥和所述用于得到共享密钥的信息得到共享密钥包括:所述第二设备利用所述第一设备的公钥以及所述第二设备的私钥按照所述密钥交换算法生成共享密钥;
所述第二设备接收所述第一设备在得到共享密钥后利用共享密钥或者共享密钥的衍生密钥加密一个密码所得到的加密结果,利用得到的共享密钥对接收到的加密结果进行解密,得到所述密码;该密码用于第一设备和第二设备的安全连接;或者,
所述第二设备在生成共享密钥后,利用共享密钥或者共享密钥的衍生密钥加密一个密码,将加密结果发送给所述第一设备;以便所述第一设备利用得到的共享密钥对接收到的加密结果进行解密,得到密码;该密码用于第一设备和第二设备之间的安全连接。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:所述第一设备和所述第二设备预定密钥交换算法;
所述第一设备和所述第二设备预定密钥交换算法包括:
所述第一设备和所述第二设备上预先配置有所述密钥交换算法所使用的参数;或者,
所述第一设备和所述第二设备接收第三方的配置设备发送的所述密钥交换算法所使用的参数。
9.根据权利要求7所述的方法,其特征在于,所述接收第一设备发送来的用于得到共享密钥的信息包括:
所述第二设备接收所述第一设备利用第二设备的公钥对所述第一设备的公钥进行加密后的加密结果;
对所述加密结果进行解密,得到所述第一设备的公钥。
10.根据权利要求7-9任一所述的方法,其特征在于,该方法还包括:
所述第一设备得到共享密钥后,利用共享密钥、共享密钥的衍生密钥或者与第二设备预先约定的明文中的至少一种生成第一验证值,将该第一验证值发送给第二设备;
所述第二设备利用第二设备得到的共享密钥、共享密钥的衍生密钥或者与第一设备预先约定的明文中的至少一种生成第二验证值,将生成的第二验证值与接收到的第一验证值进行比对,如果两者一致,则验证通过,在验证通过的情况下,所述第二设备利用所述共享密钥或共享密钥的衍生密钥与所述第一设备进行安全连接。
11.根据权利要求7-9任一所述的方法,其特征在于,该方法还包括:所述第二设备得到共享密钥后,利用共享密钥、共享密钥的衍生密钥或者与第一设备预先约定的明文中的至少一种生成第三验证值,将该第三验证值发送给第一设备;
以便所述第一设备利用第一设备得到的共享密钥、共享密钥的衍生密钥或者与第二设备预先约定的明文中的至少一种生成第四验证值,将生成的第四验证值与接收到的第三验证值进行比对,如果两者一致,则验证通过,在验证通过的情况下所述第一设备利用所述共享密钥或共享密钥的衍生密钥与所述第二设备进行安全连接。
12.根据权利要求7-9任一所述的方法,其特征在于,所述第二设备通过WPS认证过程中的第一消息接收所述用于得到共享密钥的信息;或者,
所述第二设备接收所述第一设备发送的通知所述第二设备开始WPS认证过程的触发消息,并通过WPS认证过程中的第二消息接收所述用于得到共享密钥的信息;或者,
所述第二设备通过四次握手过程中的第一消息接收所述用于得到共享密钥的信息;或者,
所述第二设备通过通知所述第二设备开始四次握手过程的触发消息接收所述用于得到共享密钥的信息。
13.一种密钥配置的装置,该装置位于第一设备中,其特征在于,该装置包括:
安全获取单元,用于通过安全媒介获取第二设备的公钥;
密钥处理单元,用于将用于得到共享密钥的信息发送给第二设备,以及利用所述第一设备的私钥得到所述共享密钥;
所述用于得到共享密钥的信息供所述第二设备结合所述第二设备的私钥得到共享密钥;
所述安全获取单元,具体用于通过扫描识别码的方式、通用串行总线USB的方式或者近场通信NFC的方式从第二设备获取第二设备的公钥;
所述密钥处理单元包括:
第三密钥生成子单元,用于利用第二设备的公钥和第一设备的私钥按照所述第一设备和所述第二设备预定的密钥交换算法生成共享密钥;
第三密钥传输子单元,用于将第一设备的公钥发送给所述第二设备,以供所述第二设备利用第一设备的公钥以及所述第二设备的私钥按照所述密钥交换算法生成共享密钥;
所述第三密钥生成子单元,还用于在得到共享密钥后,利用共享密钥或者共享密钥的衍生密钥加密一个密码;
所述第三密钥传输子单元,还用于将第三密钥生成子单元的加密结果发送给第二设备,其中,所述密码用于第一设备和第二设备的安全连接;或者,
所述第三密钥传输子单元,还用于接收第二设备在得到共享密钥后,利用共享密钥或者共享密钥的衍生密钥加密一个密码后发送来的加密结果;
所述第三密钥生成子单元,还用于利用得到的共享密钥对所述第三密钥传输子单元接收到的加密结果进行解密,得到所述密码,其中,所述密码用于第一设备和第二设备的安全连接。
14.根据权利要求13所述的装置,其特征在于,该装置还包括:参数配置单元,用于存储预先配置的所述密钥交换算法所使用的参数,或者接收并存储第三方的配置设备发送的所述密钥交换算法所使用的参数。
15.根据权利要求13所述的装置,其特征在于,所述第三密钥传输子单元在将第一设备的公钥发送给所述第二设备时,具体用于利用第二设备的公钥对所述第一设备的公钥进行加密后,将加密结果发送给所述第二设备,以供所述第二设备对所述加密结果进行解密后得到所述第一设备的公钥。
16.根据权利要求13-15任一所述的装置,其特征在于,该装置还包括:第一验证单元,用于在所述密钥处理单元得到共享密钥后,利用共享密钥、共享密钥的衍生密钥或者与第二设备预先约定的明文中的至少一种生成第一验证值,将该第一验证值发送给第二设备;
以便第二设备利用第二设备得到的共享密钥、共享密钥的衍生密钥或者与第一设备预先约定的明文中的至少一种生成第二验证值,将生成的第二验证值与接收到的第一验证值进行比对,如果两者一致,则验证通过,在验证通过的情况下,所述第二设备利用所述共享密钥或共享密钥的衍生密钥与所述第一设备进行安全连接。
17.根据权利要求13-15任一所述的装置,其特征在于,该装置还包括:第二验证单元,用于接收到第二设备发送的第三验证值后,利用所述密钥处理单元得到的共享密钥、共享密钥的衍生密钥或者与第二设备预先约定的明文中的至少一种生成第四验证值,将生成的第四验证值与接收到的第三验证值进行比对,如果两者一致,则验证通过,在验证通过的情况下所述第一设备利用所述共享密钥或共享密钥的衍生密钥与所述第二设备进行安全连接,其中,所述第三验证值为所述第二设备得到共享密钥后,利用所述共享密钥、共享密钥的衍生密钥或者与第一设备预先约定的明文中的至少一种生成的。
18.根据权利要求13-15任一所述的装置,其特征在于,所述密钥处理单元,具体用于通过WPS认证过程中的第一消息发送所述用于得到共享密钥的信息;或者,
向所述第二设备发送通知所述第二设备开始WPS认证过程的触发消息,并通过WPS认证过程中的第二消息发送所述用于得到共享密钥的信息;或者,
通过四次握手过程中的第一消息发送所述用于得到共享密钥的信息;或者,
通过通知所述第二设备开始四次握手过程的触发消息发送所述用于得到共享密钥的信息。
19.一种密钥配置的装置,该装置位于第二设备中,其特征在于,该装置包括:
安全发送单元,用于通过安全媒介将第二设备的公钥提供给第一设备;
密钥处理单元,用于利用所述第二设备的私钥和第一设备发送来的用于得到共享密钥的信息得到共享密钥;
其中所述第一设备利用所述第一设备的私钥得到所述共享密钥;
所述安全发送单元,具体用于通过提供识别码供第一设备扫描的方式、通用串行总线USB的方式或者近场通信NFC的方式将第二设备的公钥提供给第一设备;
所述密钥处理单元具体包括:
第三信息传输子单元,用于接收所述第一设备发送来的第一设备的公钥;
第三密钥生成子单元,用于利用第一设备的公钥以及所述第二设备的私钥按照所述第一设备和所述第二设备预定的密钥交换算法生成共享密钥;
所述第三信息传输子单元,还用于接收第一设备在利用第二设备的公钥和所述第一设备的私钥按照所述密钥交换算法生成共享密钥后,利用共享密钥或者共享密钥的衍生密钥加密一个密码得到的加密结果;所述第三密钥生成子单元,还用于利用得到的共享密钥对所述第三信息传输子单元接收到的加密结果进行解密,得到所述密码,其中,所述密钥用于第一设备和第二设备之间的安全连接;或者,
所述第三密钥生成子单元,还用于在得到共享密钥后,利用共享密钥或者共享密钥的衍生密钥加密一个密码得到加密结果;所述第三信息传输子单元,还用于将所述第三密钥生成子单元生成的加密结果发送给第一设备,以便所述第一设备在利用第二设备的公钥和所述第一设备的私钥按照所述密钥交换算法生成共享密钥后,对接收到的加密结果进行解密,得到所述密码,其中,所述密钥用于第一设备和第二设备之间的安全连接。
20.根据权利要求19所述的装置,其特征在于,该装置还包括:参数配置单元,用于存储预先配置的所述密钥交换算法所使用的参数,或者接收并存储第三方的配置设备发送的所述密钥交换算法所使用的参数。
21.根据权利要求19所述的装置,其特征在于,所述第三信息传输子单元,具体用于接收第一设备发送来的利用第二设备的公钥对第一设备的公钥进行加密后的加密结果,对该加密结果进行解密,得到所述第一设备的公钥。
22.根据权利要求19-21任一所述的装置,其特征在于,该装置还包括:第一验证单元,用于如果接收到第一设备发送的第一验证值,则利用所述密钥处理单元得到的共享密钥、该共享密钥的衍生密钥或者与第一设备预先约定的明文中的至少一种生成第二验证值,将生成的第二验证值与接收到的第一验证值进行比对,如果两者一致,则验证通过,在验证通过的情况下,所述第二设备利用所述共享密钥或共享密钥的衍生密钥与第一设备进行安全连接。
23.根据权利要求19-21任一所述的装置,其特征在于,该装置还包括:
第二验证单元,用于在所述密钥处理单元得到共享密钥后,利用共享密钥、共享密钥的衍生密钥或者与第一设备预先约定的明文中的至少一种生成第三验证值,将该第三验证值发送给第一设备;
以便所述第一设备利用第一设备得到的共享密钥、共享密钥的衍生密钥或者与第二设备预先约定的明文中的至少一种生成第四验证值,将生成的第四验证值与接收到的第三验证值进行比对,如果两者一致,则验证通过,在验证通过的情况下所述第一设备利用所述共享密钥或共享密钥的衍生密钥与所述第二设备进行安全连接。
24.根据权利要求19-21任一所述的装置,其特征在于,所述密钥处理单元,具体用于通过WPS认证过程中的第一消息获取所述用于得到共享密钥的信息;或者,
通过WPS认证过程中的第二消息获取所述用于得到共享密钥的信息;或者,
通过四次握手过程中的第一消息获取所述用于得到共享密钥的信息;或者,
通过通知所述第二设备开始四次握手过程的触发消息获取所述用于得到共享密钥的信息。
CN201380080486.8A 2013-10-28 2013-10-28 一种密钥配置方法和装置 Active CN105684344B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2013/086063 WO2015061941A1 (zh) 2013-10-28 2013-10-28 一种密钥配置方法和装置

Publications (2)

Publication Number Publication Date
CN105684344A CN105684344A (zh) 2016-06-15
CN105684344B true CN105684344B (zh) 2019-06-11

Family

ID=53003076

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201380080486.8A Active CN105684344B (zh) 2013-10-28 2013-10-28 一种密钥配置方法和装置

Country Status (4)

Country Link
US (1) US10003966B2 (zh)
EP (1) EP3051744B1 (zh)
CN (1) CN105684344B (zh)
WO (1) WO2015061941A1 (zh)

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11695804B2 (en) 2014-07-24 2023-07-04 Entropie Communications, LLC Method and apparatus for MoCA network with protected set-up
US9819698B2 (en) * 2014-07-24 2017-11-14 Maxlinear, Inc. Method and apparatus for MoCA network with protected set-up
US10009359B2 (en) * 2015-06-09 2018-06-26 Intel Corporation System, apparatus and method for transferring ownership of a device from manufacturer to user using an embedded resource
JP6727292B2 (ja) * 2015-08-24 2020-07-22 華為技術有限公司Huawei Technologies Co.,Ltd. セキュリティ認証方法、構成方法、および関連デバイス
US10462109B2 (en) * 2016-06-12 2019-10-29 Apple Inc. Secure transfer of a data object between user devices
CN106097515A (zh) * 2016-06-23 2016-11-09 武汉市国扬科技有限公司 一种智能锁虚拟锁芯更换方法
FR3054056B1 (fr) * 2016-07-13 2018-06-29 Safran Identity & Security Procede de mise en relation securisee d'un premier dispositif avec un deuxieme dispositif
JP6746427B2 (ja) * 2016-08-10 2020-08-26 キヤノン株式会社 通信装置、通信方法、及びプログラム
WO2018151778A1 (en) * 2016-11-03 2018-08-23 Resmed Limited Secure networked respiratory therapy systems
TW201826136A (zh) * 2017-01-13 2018-07-16 致伸科技股份有限公司 藍芽配對系統及藍芽配對系統的操作方法
EP3379789A1 (en) * 2017-03-20 2018-09-26 Koninklijke Philips N.V. Mutual authentication system
WO2018200824A1 (en) * 2017-04-28 2018-11-01 University Of North Dakota Lightweight key exchange protocol
US10482252B2 (en) * 2017-09-18 2019-11-19 Nxp B.V. Method for protecting the confidentiality and integrity of firmware for an Internet of Things device
US11171775B2 (en) * 2017-12-14 2021-11-09 Mastercard International Incorporated Method and system for device level authentication in electronic transactions
CN109996260B (zh) * 2018-01-02 2021-01-15 ***通信有限公司研究院 配置***、客户端设备、嵌入式设备配置方法及存储介质
CN108366057A (zh) * 2018-02-06 2018-08-03 武汉斗鱼网络科技有限公司 一种数据处理方法、客户端及电子设备
CN108241517B (zh) * 2018-02-23 2021-02-02 武汉斗鱼网络科技有限公司 一种软件升级方法、客户端及电子设备
CN108830994A (zh) * 2018-06-23 2018-11-16 辽宁工程技术大学 一种基于云商务区块链的高安全性酒店入住***
KR20200086800A (ko) * 2019-01-10 2020-07-20 삼성전자주식회사 전자 장치, 전자 장치 제어방법 및 네트워크 시스템
EP3716567A1 (de) * 2019-03-28 2020-09-30 Tecpharma Licensing AG Sichere kommunikationsverbindung zwischen medizinischen geräten einer datenmanagementvorrichtung
CN109995527B (zh) * 2019-04-12 2022-10-28 四川巨微集成电路有限公司 秘钥交互方法、装置、上位机、下位机和存储介质
CN112241527B (zh) * 2020-12-15 2021-04-27 杭州海康威视数字技术股份有限公司 物联网终端设备的密钥生成方法、***及电子设备
CN112367170B (zh) * 2021-01-12 2021-08-24 四川新网银行股份有限公司 基于多方安全计算的数据隐匿查询安全共享***及方法
CN112699352B (zh) * 2021-03-23 2021-06-18 中国信息通信研究院 可信数据采集终端身份验证方法、计算机存储介质及电子设备
KR102430219B1 (ko) * 2021-09-15 2022-08-05 삼성전자주식회사 스토리지 장치, 스토리지 장치의 키 생성 방법 및 스토리지 장치의 인증 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101114901A (zh) * 2006-07-26 2008-01-30 联想(北京)有限公司 非接触式无线数据传输的安全认证***、设备及方法
CN101459506A (zh) * 2007-12-14 2009-06-17 华为技术有限公司 密钥协商方法、用于密钥协商的***、客户端及服务器
CN101499908A (zh) * 2009-03-20 2009-08-05 四川长虹电器股份有限公司 一种身份认证及共享密钥产生方法

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7181014B1 (en) * 1999-09-10 2007-02-20 Cisco Technology, Inc. Processing method for key exchange among broadcast or multicast groups that provides a more efficient substitute for Diffie-Hellman key exchange
KR100520116B1 (ko) * 2003-05-16 2005-10-10 삼성전자주식회사 모바일 애드 혹 상의 암호화를 위한 노드간 키 분배 방법및 이를 이용한 네트워크 장치
CN1832397B (zh) 2005-11-28 2010-09-29 四川长虹电器股份有限公司 电子设备接口间基于公钥证书的认证密钥协商和更新方法
CN101094062B (zh) 2006-06-21 2011-03-23 普天信息技术研究院有限公司 利用存储卡实现数字内容安全分发和使用的方法
US8452017B2 (en) * 2007-12-21 2013-05-28 Research In Motion Limited Methods and systems for secure channel initialization transaction security based on a low entropy shared secret
US8156334B2 (en) 2008-08-12 2012-04-10 Texas Instruments Incorporated Public key out-of-band transfer for mutual authentication
US20100199095A1 (en) * 2009-01-30 2010-08-05 Texas Instruments Inc. Password-Authenticated Association Based on Public Key Scrambling
US8230231B2 (en) * 2009-04-14 2012-07-24 Microsoft Corporation One time password key ring for mobile computing device
US20120314865A1 (en) * 2011-06-07 2012-12-13 Broadcom Corporation NFC Communications Device for Setting Up Encrypted Email Communication
US9288228B2 (en) * 2011-08-05 2016-03-15 Nokia Technologies Oy Method, apparatus, and computer program product for connection setup in device-to-device communication
KR20140027596A (ko) * 2012-07-24 2014-03-07 삼성전자주식회사 메모리 시스템 및 메모리 시스템에서의 암호화 방법
US9124386B2 (en) * 2012-09-28 2015-09-01 Saurabh Dadu System, device, and method for securing voice authentication and end-to-end speech interaction
US10078524B2 (en) 2013-03-01 2018-09-18 Hewlett Packard Enterprise Development Lp Secure configuration of a headless networking device

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101114901A (zh) * 2006-07-26 2008-01-30 联想(北京)有限公司 非接触式无线数据传输的安全认证***、设备及方法
CN101459506A (zh) * 2007-12-14 2009-06-17 华为技术有限公司 密钥协商方法、用于密钥协商的***、客户端及服务器
CN101499908A (zh) * 2009-03-20 2009-08-05 四川长虹电器股份有限公司 一种身份认证及共享密钥产生方法

Also Published As

Publication number Publication date
US10003966B2 (en) 2018-06-19
US20160242030A1 (en) 2016-08-18
EP3051744A1 (en) 2016-08-03
WO2015061941A1 (zh) 2015-05-07
CN105684344A (zh) 2016-06-15
EP3051744B1 (en) 2019-01-02
EP3051744A4 (en) 2016-10-12

Similar Documents

Publication Publication Date Title
CN105684344B (zh) 一种密钥配置方法和装置
CN105723648B (zh) 一种密钥配置方法、***和装置
US10305684B2 (en) Secure connection method for network device, related apparatus, and system
JP7389103B2 (ja) 追跡に対するプライバシーを維持しながら無線セキュアリンクを確立する方法および装置
CN109479049B (zh) 用于密钥供应委托的***、设备和方法
CN106031120B (zh) 密钥管理
WO2014180296A1 (zh) 一种设备之间建立连接的方法、配置设备和无线设备
US10097524B2 (en) Network configuration method, and related apparatus and system
CN107800539A (zh) 认证方法、认证装置和认证***
CN102957584B (zh) 家庭网络设备的管理方法、控制设备和家庭网络设备
US11375369B2 (en) Message authentication method and communication method of communication network system, and communication network system
CN110087240B (zh) 基于wpa2-psk模式的无线网络安全数据传输方法及***
CN104754581A (zh) 一种基于公钥密码体制的lte无线网络的安全认证方法
CN112737774B (zh) 网络会议中的数据传输方法、装置及存储介质
CN107682152B (zh) 一种基于对称密码的群组密钥协商方法
CN109075973A (zh) 一种使用基于id的密码术进行网络和服务统一认证的方法
CN111416712B (zh) 基于多个移动设备的量子保密通信身份认证***及方法
CN105141629A (zh) 一种基于WPA/WPA2 PSK多密码提升公用Wi-Fi网络安全性的方法
CN109309566A (zh) 一种认证方法、装置、***、设备及存储介质
US9356931B2 (en) Methods and apparatuses for secure end to end communication
WO2016187850A1 (zh) 无线通信网络中设备配置的方法、装置及***
WO2018201429A1 (zh) 蓝牙通信方法、装置及其应用***和设备
CN117729056A (zh) 一种设备身份认证方法和***

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right

Effective date of registration: 20171030

Address after: Metro Songshan Lake high tech Industrial Development Zone, Guangdong Province, Dongguan City Road 523808 No. 2 South Factory (1) project B2 -5 production workshop

Applicant after: HUAWEI terminal (Dongguan) Co., Ltd.

Address before: 518100 Longgang District, Guangdong, Bantian HUAWEI base B District, building 2, building No.

Applicant before: Huawei Device Co., Ltd.

TA01 Transfer of patent application right
CB02 Change of applicant information

Address after: 523808 Southern Factory Building (Phase I) Project B2 Production Plant-5, New Town Avenue, Songshan Lake High-tech Industrial Development Zone, Dongguan City, Guangdong Province

Applicant after: Huawei Device Co., Ltd.

Address before: 523808 Southern Factory Building (Phase I) Project B2 Production Plant-5, New Town Avenue, Songshan Lake High-tech Industrial Development Zone, Dongguan City, Guangdong Province

Applicant before: HUAWEI terminal (Dongguan) Co., Ltd.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant