CN106487749A - 密钥生成方法及装置 - Google Patents

密钥生成方法及装置 Download PDF

Info

Publication number
CN106487749A
CN106487749A CN201510531892.2A CN201510531892A CN106487749A CN 106487749 A CN106487749 A CN 106487749A CN 201510531892 A CN201510531892 A CN 201510531892A CN 106487749 A CN106487749 A CN 106487749A
Authority
CN
China
Prior art keywords
key
equipment
factor
encryption
shared
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510531892.2A
Other languages
English (en)
Other versions
CN106487749B (zh
Inventor
安勍
付颖芳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority to CN201510531892.2A priority Critical patent/CN106487749B/zh
Priority to JP2018508212A priority patent/JP2018529271A/ja
Priority to PCT/CN2016/095522 priority patent/WO2017032242A1/zh
Priority to US15/752,743 priority patent/US10693634B2/en
Publication of CN106487749A publication Critical patent/CN106487749A/zh
Priority to US16/901,261 priority patent/US11463243B2/en
Application granted granted Critical
Publication of CN106487749B publication Critical patent/CN106487749B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0478Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/062Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种密钥生成方法及装置,该密钥生成方法包括:采用初始密钥对第一设备生成的第一密钥因子进行加密并通过第一安全通道发送给第二设备,其中,初始密钥为第一设备与第二设备之间预设的密钥;通过第一安全通道接收经过初始密钥加密的第二密钥因子,其中,第二密钥因子由第二设备生成;对通过第一安全通道接收到的经过初始密钥加密的第二密钥因子进行解密,得到第二密钥因子;根据第一密钥因子、第二密钥因子生成第一设备与第二设备的共享密钥。在本发明的技术方案可以使网关设备无法获取第一设备与第二设备协商的共享密钥,确保数据在第一设备与第二设备之间更加安全的传输,进一步降低数据在传输过程中被非法截获的风险。

Description

密钥生成方法及装置
技术领域
本申请涉及网络安全技术领域,尤其涉及一种密钥生成方法及装置。
背景技术
为了确保数据在终端设备与网关设备之间、网关设备与公网服务器之间的安全传输,通常会在终端设备与网关设备之间、网关设备与公网服务器分别建立安全传输通道,网关设备将数据从一个安全通道转发至另一个安全通道,从而实现数据转发的功能,而网关设备在转发数据的过程中,需要用与终端设备的共享密钥解密经过终端设备加密的数据,再用与服务器的共享密钥加密后转发给服务器,因此网关设备会存在泄露数据信息的风险。
发明内容
有鉴于此,本申请提供一种新的技术方案,可以使网关设备无法获取到两设备之间的共享密钥,从而降低数据在网络传输过程中被非法截获的风险。
为实现上述目的,本申请提供技术方案如下:
根据本申请的第一方面,提出了一种密钥生成方法,应用在第一设备上,包括:
采用初始密钥对所述第一设备生成的第一密钥因子进行加密并通过第一安全通道发送给第二设备,其中,所述初始密钥为所述第一设备与所述第二设备之间预设的密钥;
通过所述第一安全通道接收经过所述初始密钥加密的第二密钥因子,其中,所述第二密钥因子由所述第二设备生成;
对通过所述第一安全通道接收到的经过所述初始密钥加密的所述第二密钥因子进行解密,得到所述第二密钥因子;
根据所述第一密钥因子、所述第二密钥因子生成所述第一设备与第二设备的共享密钥。
根据本申请的第二方面,提出了一种密钥生成方法,应用在第二设备上,包括:
通过第二安全通道接收来自第一设备的经过初始密钥加密的第一密钥因子,其中,所述初始密钥为所述第一设备与所述第二设备之间预设的密钥;
对经过所述初始密钥加密的所述第一密钥因子进行解密,得到所述第一加密因子;
根据所述第一密钥因子、所述第二设备生成的第二密钥因子生成所述第一设备与第二设备的共享密钥。
根据本申请的第三方面,提出了一种密钥生成装置,应用在第一设备上,包括:
第一加密模块,用于采用初始密钥对所述第一设备生成的第一密钥因子进行加密并通过第一安全通道发送给第二设备,其中,所述初始密钥为所述第一设备与所述第二设备之间预设的密钥;
第一接收模块,用于通过所述第一安全通道接收经过所述初始密钥加密的第二密钥因子,其中,所述第二密钥因子由所述第二设备生成;
第一解密模块,用于对通过所述第一接收模块通过所述第一安全通道接收到的经过所述初始密钥加密的所述第二密钥因子进行解密,得到所述第二密钥因子;
第一密钥生成模块,用于根据所述第一密钥因子、所述第一解密模块解密得到的所述第二密钥因子生成所述第一设备与第二设备的共享密钥。
根据本申请的第四方面,提出了一种密钥生成装置,应用在第二设备上,包括:
第三接收模块,用于通过第二安全通道接收来自第一设备的经过初始密钥加密的第一密钥因子,其中,所述初始密钥为所述第一设备与所述第二设备之间预设的密钥;
第三解密模块,用于对经过所述初始密钥加密的所述第一密钥因子进行解密,得到所述第一加密因子;
第二密钥生成模块,用于根据所述第一密钥因子、所述第二设备生成的第二密钥因子生成所述第一设备与第二设备的共享密钥。
由以上技术方案可见,由于第一密钥因子与第二密钥因子在网关设备的转发过程中都经过初始密钥加密,而初始密钥为第一设备与第二设备之间预设的密钥,因此网关设备并不能获知第一密钥因子与第二密钥因子;通过第一密钥因子与第二密钥因子生成第一设备与第二设备之间的共享密钥,可以实现最终协商的共享密钥只对第一设备和第二设备可知,网关设备仍无法获取协商的共享密钥,因此可以确保数据在第一设备与第二设备之间更加安全的传输,进一步降低数据在传输过程中被非法截获的风险。
附图说明
图1示出了根据本发明的一示例性实施例一的密钥生成方法的流程示意图;
图2示出了根据本发明的一示例性实施例二的密钥生成方法的流程示意图;
图3示出了根据本发明的一示例性实施例三的密钥生成方法的流程示意图;
图4示出了根据本发明的一示例性实施例四的密钥生成方法的流程示意图;
图5示出了根据本发明的一示例性实施例五的密钥生成方法的流程示意图;
图6示出了根据本发明的一示例性实施例六的密钥生成方法的流程示意图;
图7示出了根据本发明的一示例性实施例七的密钥生成方法的流程示意图;
图8示出了根据本发明的一示例性实施例所适用的终端设备与服务器之间密钥协商的信令示意图;
图9示出了根据本发明的一示例性实施例所适用的终端设备与服务器之间进行数据传输的信令示意图;
图10示出了根据本发明的一示例性实施例的终端设备的结构示意图;
图11示出了根据本发明的一示例性实施例的服务器的结构示意图;
图12示出了根据本发明的一示例性实施例的密钥生成装置的结构示意图;
图13示出了根据本发明的又一示例性实施例的密钥生成装置的结构示意图;
图14示出了根据本发明的再一示例性实施例的密钥生成装置的结构示意图;
图15示出了根据本发明的另一示例性实施例的密钥生成装置的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
为对本申请进行进一步说明,提供下列实施例:
根据本申请一个实施例,由于第一密钥因子与第二密钥因子在网关设备的转发过程中都经过初始密钥加密,而初始密钥为第一设备与第二设备之间预设的密钥,因此网关设备并不能获知第一密钥因子与第二密钥因子;通过第一密钥因子与第二密钥因子生成第一设备与第二设备之间的共享密钥,可以实现最终协商的共享密钥只对第一设备和第二设备可知,网关设备仍无法获取协商的共享密钥,因此可以确保数据在第一设备与第二设备之间更加安全的传输,进一步降低数据在传输过程中被非法截获的风险。
图1示出了根据本发明的一示例性实施例一的密钥生成方法的流程示意图;在一实施例中,第一设备可以为终端设备,第二设备可以为服务器,可替换地,第一设备可以为服务器,第二设备可以为终端设备,本实施例以应用在终端设备上为例进行示例性说明,如图1所示,密钥生成方法包括如下步骤:
步骤101,采用初始密钥对第一设备生成的第一密钥因子进行加密并通过第一安全通道发送给第二设备,其中,初始密钥为第一设备与第二设备之间预设的密钥;
步骤102,通过第一安全通道接收经过初始密钥加密的第二密钥因子,其中,第二密钥因子由第二设备生成;
步骤103,对通过第一安全通道接收到的经过初始密钥加密的第二密钥因子进行解密,得到第二密钥因子;
步骤104,根据第一密钥因子、第二密钥因子生成第一设备与第二设备的共享密钥。
在步骤101中,在一实施例中,初始密钥Kbasic可以在第一设备投入使用前,第二设备预先将Kbasic颁发给第一设备,可以通过硬件写入的方式颁发给第一设备。在一实施例中,第一设备与第二设备之间通过网关设备转发相关数据信息,其中,第一安全通道可以由第一设备与网关设备协商建立,并通过第一安全通道传输相关数据信息,第二安全通道可以由服务器与网关设备协商建立,并通过第二安全通道传输相关数据信息。本领域技术人员可以理解的是,第一安全通道和第二安全通道的建立过程可以参见现有技术的相关描述,例如,可以采用安全套接字层(Secure Socket Layer,简称SSL)、安全传输层协议(Transport Layer Security,简称TLS)的密钥协商机制。
在一实施例中,在第一设备需要向第二设备发起密钥协商流程时,通过伪随机函数生成第一密钥因子,采用初始密钥对第一密钥因子进行加密,得到第一次加密后的第一密钥因子,采用第一安全通道的第一加密密钥对第一次加密后的第一密钥因子进行加密,得到第二次加密后的第一密钥因子。通过对第一密钥因子进行双重加密,可以使第一密钥因子在网关设备处不可知,避免第一密钥因子在网关设备侧被非法截获的风险。
在步骤103中,采用第一加密密钥对经过双重加密的第二密钥因子进行解密,得到第一次解密后的第二密钥因子,采用初始密钥对第一次解密后的第二密钥因子进行解密,得到第二密钥因子。由于第二密钥因子在第二设备处已经进行了双重加密,因此第二密钥因子在网关设备处不可知,避免第二密钥因子在网关设备侧被非法截获的风险。
在步骤104中如何根据第一密钥因子、第二密钥因子生成第一设备与第二设备的共享密钥的详细描述参见下述描述,在此先不详述。
由上述描述可知,由于第一密钥因子与第二密钥因子在网关设备的转发过程中都经过初始密钥加密,而初始密钥为第一设备与第二设备之间预设的密钥,因此网关设备并不能获知第一密钥因子与第二密钥因子;通过第一密钥因子与第二密钥因子生成第一设备与第二设备之间的共享密钥,可以实现最终协商的共享密钥只对第一设备和第二设备可知,网关设备仍无法获取协商的共享密钥,因此可以确保数据在第一设备与第二设备之间更加安全的传输,进一步降低数据在传输过程中被非法截获的风险。
图2示出了根据本发明的一示例性实施例二的密钥生成方法的流程示意图,本实施例以上述图1所示实施例中的步骤105中如何通过第一密钥因子和第二密钥因子生成第一设备与第二设备之间的共享密钥为例进行示例性说明,如图2所示,密钥生成方法包括如下步骤:
步骤201,确定第一设备与第二设备之间共享的初始密钥和第一设备的设备标识;
步骤202,将初始密钥、设备标识、第一密钥因子、第二密钥因子依次连接,得到组合字串;
步骤203,将组合字串切分为长度相等的两个子字串;
步骤204,对两个子字串分别进行散列运算,得到两个散列结果;
步骤205,将两个散列结果以位进行异或运算,得到第一设备与第二设备的共享密钥。
在第一设备通过上述图1所示实施例中的步骤104得到第二密钥因子后,第一设备具有了第一密钥因子p和第二密钥因子q。第一设备可以将第一密钥因子和第二密钥因子作为输入,利用共享密钥的生成算法,得到密钥KAC。其中,密钥生成算法如下:
KAC=KeyGenerate(Kbasic,“Shared Key”,p,q);
其中,Kbasic为初始密钥,Shared Key为第一设备的设备标识,该设备标识可以为第一设备的设备序列号,也可以为MAC地址,或者上述二者的组合,等等,只要能够使第二设备能够通过设备标识对第一设备与其它设备进行区分即可。
此外,在通过函数KeyGenerate生成共享密钥的过程中,可以将第一加密密钥Kbasic对应的字串,“Shared Key”,p,q依次连接,得到组合字串,将组合字串利用函数KeyGenerate生成共享密钥KAC
在一实施例中,函数KeyGenerate所实现的过程具体可以为:将输入的组合字串切分为长度相等的两个子字串(如果组合字串的长度为奇数,则在组合字串的最后一位补1),之后对两个子字串分别进行散列运算(例如,MD5),将得到的两个计算结果以位进行异或运算,得到的结果即是共享密钥KAC
以MD5为例进行示例性说明,由于MD5可以将任意长度的输入转化为128位长度的结果,因此共享密钥KAC的长度为128位,简化了共享密钥计算的复杂度。由于共享密钥KAC的计算采用MD5,计算量对于计算能力受限的第一设备而言可以承受。
本实施例中,通过第一密钥因子、第二密钥因子、初始密钥和第一设备的设备标识生成共享密钥KAC,因此实现了在第一设备与第二设备之间是通过安全协商并共享该共享密钥KAC,且该共享密钥KAC对作为中间节点的网关设备不可知,因此可以确保第一设备可以利用该共享密钥KAC对发送至第二设备的数据进行加密,确保数据在网络传输过程中的安全性。
图3示出了根据本发明的一示例性实施例三的密钥生成方法的流程示意图,在上述实施例的基础上,如图3所示,密钥生成方法包括如下步骤:
步骤301,确定第一设备与第二设备的共享密钥的更换周期;
步骤302,根据更换周期重新确定第一加密因子和第二加密因子;
步骤303,根据重新确定的第一加密因子和第二加密因子更换第一设备与第二设备的共享密钥。
在一实施例中,第一设备与第二设备可以约定共享密钥KAC的更换周期,当共享密钥KAC使用了更换周期对应的时长后,第一设备与第二设备之间重新发起生成共享密钥KAC的流程,从而可以进一步保证共享密钥KAC的及数据在网络传输过程中的安全性,进一步降低该共享密钥KAC被破解的可能。
图4示出了根据本发明的一示例性实施例四的密钥生成方法的流程示意图,在上述图1所示实施例生成共享密钥后,可以通过共享密钥对第一设备待传输的数据加密,并传输给第二设备,如图4所示,对待传输的数据进行加密并传输的过程包括如下步骤:
步骤401,确定第一设备需要向第二设备发送的待传输的数据;
步骤402,采用共享密钥对待传输的数据进行加密,并通过第一安全通道发送给第二设备;
步骤403,通过第一安全通过接收第二设备在接收到待传输的数据生成的响应数据,响应数据已经经过共享密钥加密;
步骤404,采用共享密钥对经过共享密钥加密的响应数据进行解密,得到响应数据。
在步骤401中,待传输的数据可以为第一设备上的传感器获取到的物联网数据。
步骤402和步骤403中的第一安全通道的相关描述可以参见上述图1所示实施例的相关描述,在此不再详述。
在步骤404中,在通过第一安全通道接收到经过共享密钥加密的响应数据时,可以先通过第一安全通道的第一加密密钥对经过共享密钥加密的响应数据进行解密,然后通过共享密钥对响应数据进行第二次解密,从而得到原始的响应数据。
本实施例中,由于待传输的数据在网关设备的转发过程中都经过共享密钥加密,而共享密钥为第一设备与第二设备之间共同协商的密钥,因此网关设备并不能获知共享密钥,因此可以确保待传输的数据在第一设备与第二设备之间更加安全的传输,进一步降低数据在传输过程中被非法截获的风险。
图5示出了根据本发明的一示例性实施例五的密钥生成方法的流程示意图,本实施例中,第一设备可以为终端设备,第二设备可以为服务器,本实施例可以应用在第二设备上,如图5所示,密钥生成方法包括如下步骤:
步骤501,通过第二安全通道接收来自第一设备的经过初始密钥加密的第一密钥因子,其中,初始密钥为第一设备与第二设备之间预设的密钥;
步骤502,对经过初始密钥加密的第一密钥因子进行解密,得到第一加密因子;
步骤503,根据第一密钥因子、第二设备生成的第二密钥因子生成第一设备与第二设备的共享密钥。
步骤501中的第二安全通道的相关描述请参见上述图1所示实施例的相关描述,在此不再详述。
在步骤502中,在通过第二安全通道接收到经过初始密钥加密的第一密钥因子后,可以先通过第二安全通道的第二加密密钥对经过初始密钥加密的第一密钥因子进行解密,然后通过初始密钥对第一密钥因子进行第二次解密,从而得到原始的第一密钥因子。
步骤503中如何根据第一密钥因子、第二密钥因子生成第一设备与第二设备的共享密钥的详细描述可以参见上述图2所示实施例的描述,在此不再详述。
由上述描述可知,由于第一密钥因子与第二密钥因子在网关设备的转发过程中都经过初始密钥加密,而初始密钥为第一设备与第二设备之间预设的密钥,因此网关设备并不能获知第一密钥因子与第二密钥因子;通过第一密钥因子与第二密钥因子生成第一设备与第二设备之间的共享密钥,可以实现最终协商的共享密钥只对第一设备和第二设备可知,网关设备仍无法获取协商的共享密钥,因此可以确保数据在第一设备与第二设备之间更加安全的传输,进一步降低数据在传输过程中被非法截获的风险。
图6示出了根据本发明的一示例性实施例六的密钥生成方法的流程示意图,如图6所示,密钥生成方法包括如下步骤:
步骤601,采用初始密钥对第二设备生成的第二密钥因子进行加密;
步骤602,通过第二安全通道将经过初始密钥加密后的第二密钥因子发送给第一设备。
本实施例中,采用第二安全通道的第二加密密钥对经过初始密钥加密后的第二密钥因子进行第二次加密,从而可以使在发送至第一设备的过程中经由网关设备转发时第二密钥因子对网关设备是可不知的,避免第二密钥因子在网关设备侧被非法截获的风险。
图7示出了根据本发明的一示例性实施例七的密钥生成方法的流程示意图,如图7所示,密钥生成方法包括如下步骤:
步骤701,通过第二安全通道接收来自第一设备的经过共享密钥加密的待传输的数据;
步骤702,采用共享密钥对待传输的数据进行解密;
步骤703,在接收到待传输的数据后,生成响应数据;
步骤704,通过共享密钥对响应数据进行加密;
步骤705,通过第二安全通道向第一设备发送经过共享密钥加密的响应数据。
步骤701中的第二安全通道的相关描述可以参见上述图1所示实施例的相关描述,在此不再详述。
在步骤704中,在通过第二安全通道接收到来自第一设备的待传输的数据后,通过共享密钥对待传输的数据经过共享密钥解密后得到原始的数据,在需要对第一设备做出响应时,可以先通过第二安全通道的第二加密密钥对经过共享密钥加密的响应数据进行加密,从而使网关设备在转发响应数据的过程中不能够获取到原始的响应数据。
本实施例中,由于待传输的数据在网关设备的转发过程中都经过共享密钥加密,而共享密钥为第一设备与第二设备之间共同协商的密钥,因此网关设备并不能获知共享密钥,因此可以确保待传输的数据在第一设备与第二设备之间更加安全的传输,进一步降低数据在传输过程中被非法截获的风险。
通过上述实施例,可以基于第一设备和第二设备之间预置的初始密钥,在各自对应的本地通过密钥生成算法生成共享密钥,最后利用共享密钥对待传输的数据进行加密,从而可以使网关设备在网络中转发数据时无法查看到原始的数据,从而达到了安全传输数据的目的。
图8示出了根据本发明的一示例性实施例所适用的终端设备与服务器之间密钥协商的信令示意图,以第一设备为终端设备,第二设备为服务器为例进行示例性说明,其中,终端设备在接入到网络前,服务器需要预先为终端设备颁发初始密钥(Kbasic),可以通过硬件写入等方式颁发给终端设备,如图8所示,终端设备和服务器之间进行密钥协商包括如下步骤:
步骤801,终端设备与网关设备协商第一安全通道的第一加密密钥(KAB),并建立终端设备与网关设备之间的第一安全通道。该第一安全通道的建立方法可以参见现有技术的相关描述。
步骤802,网关设备与服务器协商第二安全通道的第二加密密钥(KBC),并建立第二安全通道。与上述步骤801类似,第二安全通道的建立过程可以参见现有技术的相关描述,同样可以采用SSL、TLS的密钥协商机制。本领域技术人员可以理解的是,步骤801和步骤802的顺序可以互换,可以根据实际执行的需求设定执行顺序。
步骤803,终端设备准备发起与服务器的密钥协商流程,终端设备生成第一密钥因子(p),该第一密钥因子用于生成终端设备与服务器的共享密钥。同时,利用初始密钥(Kbasic)加密第一密钥因子,得到Kbasic(p),再采用第一加密密钥KAB加密,得到KAB[Kbasic(p)]。
步骤804,终端设备通过第一安全通道向网关设备发送经过双重加密的第一密钥因子KAB[Kbasic(p)]。
步骤805,网关设备在接收到经过双重加密的第一密钥因子KAB[Kbasic(p)]后,采用第一安全通道的第一加密密钥KAB对经过双重加密的第一密钥因子KAB[Kbasic(p)]进行解密,得到Kbasic(p),之后再采用第二安全通道的第三加密密钥KBC进行加密,得到双重加密的KBC[Kbasic(p)]。
步骤806,将经过初始密钥和第二加密密钥双重加密的第一密钥因子KBC[Kbasic(p)]通过第二安全通道发送给服务器。
步骤807,服务器接收到经过双重加密的第一密钥因子后,采用第二安全通道的第二加密密钥KBC对经过双重加密的第一密钥因子进行解密,得到Kbasic(p),之后利用初始密钥Kbasic对Kbasic(p)进行解密,得到第一密钥因子p。
步骤808,服务器通过伪随机函数生成第二密钥因子(q),该第二密钥因子q将与第一密钥因子p共同作为参数生成共享密钥KAC
步骤809,服务器采用初始密钥Kbasic加密第二加密因子q,得到Kbasic(q),再采用第二加密密钥KBC对Kbasic(q)加密,得到KBC[Kbasic(q)]。
步骤810,服务器通过第二安全通道向网关设备发送经过双重加密的第二密钥因子KBC[Kbasic(q)]。
步骤811,网关设备接收到经过双重加密的第二密钥因子KBC[Kbasic(q)]后,采用第二安全通道的第二加密密钥KBC对经过双重加密的第二加密因子进行解密,得到Kbasic(q),之后利用第一安全通道的第一加密密钥KAB进行加密,得到KAB[Kbasic(q)],之后将经过双重加密的第二加密因子通过第一安全通道发送至终端设备。
步骤812,终端设备接收到该经过双重加密的第二加密因子后,采用第一安全通道的第一加密密钥KAB对经过双重加密的第二加密因子进行解密,得到Kbasic(q),之后利用第一加密密钥Kbasic对第一次解密后的Kbasic(q)进行二次解密,得到第二密钥因子q。
步骤813,终端设备与服务器均共享了第一密钥因子p和第二密钥因子q,终端设备与服务器均将第一密钥因子和第二密钥因子作为输入,采用密钥生成算法,得到终端设备和服务器之间的共享密钥KAC。其中,密钥生成算法的详细描述可以参见上述图2所示实施例的相关描述,在此不再详述。
本实施例中,由此实现了共享密钥KAC在终端设备与公网服务器间的安全协商和共享,且该共享密钥对作为中间节点的网关设备不可知,之后终端设备可以利用该共享密钥,对发往公网服务器的物联网数据进行加密,从而保证了数据传输的安全性。
为了进一步保证共享密钥及数据传输的安全性,终端设备可以与服务器之间周期性地进行密钥协商流程来更换共享密钥KAC,从而可以进一步降低该共享密钥被破解的可能。
图9示出了根据本发明的一示例性实施例一的数据传输方法的流程示意图,在通过上述图8所示实施例生成共享秘钥后,终端设备如果需要向服务器发送物联网数据(data),如图9所示,数据传输方法包括如下步骤:
步骤901,使用共享密钥KAC对物联网数据进行一次加密,得到密文KAC(data),之后使用第一安全通道的第一加密密钥KAB二次加密,得到密文KAB[KAC(data)]。
步骤902,终端设备通过第一安全通道向网关设备发送密文KAB[KAC(data)]。
步骤903,网关设备收到密文KAB[KAC(data)]后,使用第一安全密钥KAB解密,得到KAC(data),然后使用第二加密密钥KBC进行加密,得到密文KBC[KAC(data)]。
步骤904,网关设备通过第二安全通道向服务器发送密文KBC[KAC(data)]。
步骤905,服务器接收到经过双重加密的密文KBC[KAC(data)]后,使用第二加密密钥KBC解密,得到KAC(data),然后使用共享密钥KAC解密,得到原始的物联网数据data。
步骤906,服务器在得到原始的物联网数据后,生成响应数据(res),利用共享密钥KAC对响应数据加密,得到密文KAC(res),再使用第二加密密钥KBC进行二次加密,得到KBC[KAC(res)]。
步骤907,服务器通过第二安全通道向网关设备发送经过双重加密的密文KBC[KAC(res)]。
步骤908,网关设备收到经过双重加密的密文KBC[KAC(res)]后,使用第二加密密钥KBC解密,得到KAC(res),然后使用第一加密密钥KAB进行加密,得到密文KAB[KAC(res)]。
步骤909,网关设备通过第一安全通道向终端设备发送经过双重加密的密文KAB[KAC(res)]。
步骤910,终端设备接收到经过双重加密的密文KAB[KAC(res]后,使用第一加密密钥KAB解密,得到KAC(res),然后使用共享密钥KAC解密,得到原始的响应数据(res)。
本实施例中,实现了终端设备通过中间节点的网关设备与服务器间的跨网域的密钥协商与共享,共享密钥对网关设备不可知,确保了物联网数据在终端设备与服务器间的端到端的安全传输;此外,除了保证终端设备与网关设备间的数据安全传输和网关设备与公网服务器间的数据安全传输,数据在传输路径上的网关设备内的转发过程也受到安全保护,即使网关设备被非法入侵,经由网关设备转发的物联网数据也依然由于被共享密钥加密而受到保护,避免物联网数据被非法截取。
对应于上述的密钥生成方法,本申请还提出了图10所示的根据本申请的一示例性实施例的终端设备的示意结构图。请参考图10,在硬件层面,该网络服务器包括处理器、内部总线、网络接口、内存以及非易失性存储器,当然还可能包括其他业务所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上形成密钥生成装置。当然,除了软件实现方式之外,本申请并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
对应于上述的密钥生成方法,本申请还提出了图11所示的根据本申请的一示例性实施例的服务器的示意结构图。请参考图11,在硬件层面,该网络服务器包括处理器、内部总线、网络接口、内存以及非易失性存储器,当然还可能包括其他业务所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上形成密钥生成装置。当然,除了软件实现方式之外,本申请并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
图12示出了根据本发明的一示例性实施例的密钥生成装置的结构示意图;如图12所示,该密钥生成装置可以包括:第一加密模块1201、第一接收模块1202、第一解密模块1203、第一密钥生成模块1204。其中:
第一加密模块1201,用于采用初始密钥对第一设备生成的第一密钥因子进行加密并通过第一安全通道发送给第二设备,其中,初始密钥为第一设备与第二设备之间预设的密钥;
第一接收模块1202,用于通过第一安全通道接收经过初始密钥加密的第二密钥因子,其中,第二密钥因子由第二设备生成;
第一解密模块1203,用于对通过第一接收模块1202通过第一安全通道接收到的经过初始密钥加密的第二密钥因子进行解密,得到第二密钥因子;
第一密钥生成模块1204,用于根据第一密钥因子、第一解密模块1203解密得到的第二密钥因子生成第一设备与第二设备的共享密钥。
图13示出了根据本发明的又一示例性实施例的密钥生成装置的结构示意图;如图13所示,在上述图12所示实施例的基础上,第一加密模块1201可包括:
第一因子生成单元12011,用于在第一设备需要向第二设备发起密钥协商流程时,通过伪随机函数生成第一密钥因子;
第一加密单元12012,用于采用初始密钥对第一因子生成单元12011生成的第一密钥因子进行加密,得到第一次加密后的第一密钥因子;
第二加密单元12013,用于采用第一安全通道的第一加密密钥对第一加密单元12012第一次加密后的第一密钥因子进行加密,得到第二次加密后的第一密钥因子。
在一实施例中,第一解密模块1203包括:
第一解密单元12031,用于采用第一加密密钥对经过双重加密的第二密钥因子进行解密,得到第一次解密后的第二密钥因子;
第二加密单元12032,用于采用初始密钥对第一解密单元12031第一次解密后的第二密钥因子进行解密,得到第二密钥因子。
在一实施例中,第一密钥生成模块1204可包括:
第一确定单元12041,用于确定第一设备与第二设备之间共享的第一加密密钥和第一设备的设备标识;
第一因子生成单元12042,用于根据第一加密密钥、第一确定单元12041确定的设备标识、第一密钥因子、第一解密模块1203得到的第二密钥因子生成第一设备与第二设备的共享密钥。
在一实施例中,第一因子生成单元具体用于:
将第一加密密钥、设备标识、第一密钥因子、第二密钥因子依次连接,得到组合字串;
将组合字串切分为长度相等的两个子字串;
对两个子字串分别进行散列运算,得到两个散列结果;
将两个散列结果以位进行异或运算,得到第一设备与第二设备的共享密钥。
在一实施例中,装置还可包括:
第一确定模块1205,用于确定第一设备与第二设备的共享密钥的更换周期;
第二确定模块1206,用于根据第一确定模块1205确定的更换周期重新确定第一加密因子和第二加密因子;
第一更换模块1207,用于根据第二确定模块1206重新确定的第一加密因子和第二加密因子更换第一设备与第二设备的共享密钥。
在一实施例中,装置还可包括:
第三确定模块1208,用于确定第一设备需要向第二设备发送的待传输的数据;
数据加密模块1209,用于采用共享密钥对第三确定模块1208确定的待传输的数据进行加密,并通过第一安全通道发送给第二设备。
在一实施例中,装置还可包括:
第二接收模块1210,用于通过第一安全通过接收第二设备在接收到待传输的数据生成的响应数据,响应数据已经经过共享密钥加密;
第二解密模块1211,用于采用共享密钥对经过共享密钥加密的响应数据进行解密,得到响应数据。
图14示出了根据本发明的再一示例性实施例的密钥生成装置的结构示意图;如图14所示,该密钥生成装置可以包括:第三接收模块1401、第三解密模块1402、第二密钥生成模块1403。其中:
第三接收模块1401,用于通过第二安全通道接收来自第一设备的经过初始密钥加密的第一密钥因子,其中,初始密钥为第一设备与第二设备之间预设的密钥;
第三解密模块1402,用于对经过初始密钥加密的第一密钥因子进行解密,得到第一加密因子;
第二密钥生成模块1403,用于根据第一密钥因子、第二设备生成的第二密钥因子生成第一设备与第二设备的共享密钥
图15示出了根据本发明的另一示例性实施例的密钥生成装置的结构示意图;如图15所示,在上述图14所示实施例的基础上,第二密钥生成模块1403具体用于:
将第一加密密钥、第一设备的设备标识、第一密钥因子、第二密钥因子依次连接,得到组合字串;
将组合字串切分为长度相等的两个子字串;
对两个子字串分别进行散列运算,得到两个散列结果;
将两个散列结果以位进行异或运算,得到第一设备与第二设备的共享密钥。
在一实施例中,装置还可包括:
第二加密模块1404,用于采用初始密钥对第二设备生成的第二密钥因子进行加密;
第一发送模块1405,用于通过第二安全通道将经过初始密钥加密后的第二密钥因子发送给第一设备。
在一实施例中,装置还可包括:
第三确定模块1406,用于确定第一设备与第二设备的共享密钥的更换周期;
第四确定模块1407,用于根据更换周期重新确定第一加密因子和第二加密因子;
第二更换模块1408,用于根据重新确定的第一加密因子和第二加密因子更换第一设备与第二设备的共享密钥。
在一实施例中,装置还可包括:
第四接收模块1409,用于通过第二安全通道接收来自第一设备的经过共享密钥加密的待传输的数据;
第四解密模块1410,用于采用共享密钥对待传输的数据进行解密。
在一实施例中,装置还可包括:
响应数据生成模块1411,用于在接收到待传输的数据后,生成响应数据;
第三加密模块1412,用于通过共享密钥对响应数据进行加密;
第二发送模块1413,用于通过第二安全通道向第一设备发送经过共享密钥加密的响应数据。
上述实施例可见,由于第一密钥因子与第二密钥因子在网关设备的转发过程中都经过初始密钥加密,而初始密钥为第一设备与第二设备之间预设的密钥,因此网关设备并不能获知第一密钥因子与第二密钥因子;通过第一密钥因子与第二密钥因子生成第一设备与第二设备之间的共享密钥,可以实现最终协商的共享密钥只对第一设备和第二设备可知,网关设备仍无法获取协商的共享密钥,因此可以确保数据在第一设备与第二设备之间更加安全的传输,进一步降低数据在传输过程中被非法截获的风险。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求指出。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (28)

1.一种密钥生成方法,应用在第一设备上,其特征在于,所述方法包括:
采用初始密钥对所述第一设备生成的第一密钥因子进行加密并通过第一安全通道发送给第二设备,其中,所述初始密钥为所述第一设备与所述第二设备之间预设的密钥;
通过所述第一安全通道接收经过所述初始密钥加密的第二密钥因子,其中,所述第二密钥因子由所述第二设备生成;
对通过所述第一安全通道接收到的经过所述初始密钥加密的所述第二密钥因子进行解密,得到所述第二密钥因子;
根据所述第一密钥因子、所述第二密钥因子生成所述第一设备与第二设备的共享密钥。
2.根据权利要求1所述的方法,其特征在于,所述采用初始密钥对所述第一设备生成的第一密钥因子进行加密,包括:
在所述第一设备需要向第二设备发起密钥协商流程时,通过伪随机函数生成第一密钥因子;
采用初始密钥对所述第一密钥因子进行加密,得到第一次加密后的所述第一密钥因子;
采用第一安全通道的第一加密密钥对所述第一次加密后的所述第一密钥因子进行加密,得到第二次加密后的所述第一密钥因子。
3.根据权利要求1所述的方法,其特征在于,所述对通过所述第一安全通道接收到的经过所述第一加密密钥加密的所述第二密钥因子进行解密,包括:
采用所述第一加密密钥对经过双重加密的所述第二密钥因子进行解密,得到第一次解密后的所述第二密钥因子;
采用所述初始密钥对所述第一次解密后的所述第二密钥因子进行解密,得到所述第二密钥因子。
4.根据权利要求1所述的方法,其特征在于,所述根据所述第一密钥因子、所述第二密钥因子生成所述第一设备与第二设备的共享密钥,包括:
确定所述第一设备与所述第二设备之间共享的初始密钥和所述第一设备的设备标识;
根据所述初始密钥、所述设备标识、所述第一密钥因子、所述第二密钥因子生成所述第一设备与第二设备的共享密钥。
5.根据权利要求4所述的方法,其特征在于,所述根据所述设备标识、所述第一加密密钥、所述第一密钥因子、所述第二密钥因子生成所述第一设备与第二设备的共享密钥,包括:
将所述第一加密密钥、所述设备标识、所述第一密钥因子、所述第二密钥因子依次连接,得到组合字串;
将所述组合字串切分为长度相等的两个子字串;
对所述两个子字串分别进行散列运算,得到两个散列结果;
将所述两个散列结果以位进行异或运算,得到所述第一设备与第二设备的共享密钥。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
确定所述第一设备与所述第二设备的共享密钥的更换周期;
根据所述更换周期重新确定所述第一加密因子和所述第二加密因子;
根据重新确定的所述第一加密因子和所述第二加密因子更换所述第一设备与所述第二设备的共享密钥。
7.根据权利要求1-6任一所述的方法,其特征在于,所述方法还包括:
确定所述第一设备需要向所述第二设备发送的待传输的数据;
采用所述共享密钥对所述待传输的数据进行加密,并通过所述第一安全通道发送给所述第二设备。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
通过所述第一安全通过接收所述第二设备在接收到所述待传输的数据生成的响应数据,所述响应数据已经经过所述共享密钥加密;
采用所述共享密钥对所述经过所述共享密钥加密的所述响应数据进行解密,得到所述响应数据。
9.一种密钥生成方法,应用在第二设备上,其特征在于,所述方法包括:
通过第二安全通道接收来自第一设备的经过初始密钥加密的第一密钥因子,其中,所述初始密钥为所述第一设备与所述第二设备之间预设的密钥;
对经过所述初始密钥加密的所述第一密钥因子进行解密,得到所述第一加密因子;
根据所述第一密钥因子、所述第二设备生成的第二密钥因子生成所述第一设备与第二设备的共享密钥。
10.根据权利要求9所述的方法,其特征在于,所述根据所述第一密钥因子、所述第二设备生成的第二密钥因子生成所述第一设备与第二设备的共享密钥,包括:
将所述第一加密密钥、所述第一设备的设备标识、所述第一密钥因子、所述第二密钥因子依次连接,得到组合字串;
将所述组合字串切分为长度相等的两个子字串;
对所述两个子字串分别进行散列运算,得到两个散列结果;
将所述两个散列结果以位进行异或运算,得到所述第一设备与第二设备的共享密钥。
11.根据权利要求9所述的方法,其特征在于,所述方法还包括:
采用所述初始密钥对所述第二设备生成的第二密钥因子进行加密;
通过所述第二安全通道将所述经过所述初始密钥加密后的所述第二密钥因子发送给所述第一设备。
12.根据权利要求9所述的方法,其特征在于,所述方法还包括:
确定所述第一设备与所述第二设备的共享密钥的更换周期;
根据所述更换周期重新确定所述第一加密因子和所述第二加密因子;
根据重新确定的所述第一加密因子和所述第二加密因子更换所述第一设备与所述第二设备的共享密钥。
13.根据权利要求9-12任一所述的方法,其特征在于,所述方法还包括:
通过第二安全通道接收来自所述第一设备的经过所述共享密钥加密的待传输的数据;
采用所述共享密钥对所述待传输的数据进行解密。
14.根据权利要求13所述的方法,其特征在于,所述方法还包括:
在接收到所述待传输的数据后,生成响应数据;
通过所述共享密钥对所述响应数据进行加密;
通过所述第二安全通道向所述第一设备发送经过所述共享密钥加密的响应数据。
15.一种密钥生成装置,应用在第一设备上,其特征在于,所述装置包括:
第一加密模块,用于采用初始密钥对所述第一设备生成的第一密钥因子进行加密并通过第一安全通道发送给第二设备,其中,所述初始密钥为所述第一设备与所述第二设备之间预设的密钥;
第一接收模块,用于通过所述第一安全通道接收经过所述初始密钥加密的第二密钥因子,其中,所述第二密钥因子由所述第二设备生成;
第一解密模块,用于对通过所述第一接收模块通过所述第一安全通道接收到的经过所述初始密钥加密的所述第二密钥因子进行解密,得到所述第二密钥因子;
第一密钥生成模块,用于根据所述第一密钥因子、所述第一解密模块解密得到的所述第二密钥因子生成所述第一设备与第二设备的共享密钥。
16.根据权利要求15所述的装置,其特征在于,所述第一加密模块包括:
第一因子生成单元,用于在所述第一设备需要向第二设备发起密钥协商流程时,通过伪随机函数生成第一密钥因子;
第一加密单元,用于采用初始密钥对所述第一因子生成单元生成的所述第一密钥因子进行加密,得到第一次加密后的所述第一密钥因子;
第二加密单元,用于采用第一安全通道的第一加密密钥对所述第一加密单元第一次加密后的所述第一密钥因子进行加密,得到第二次加密后的所述第一密钥因子。
17.根据权利要求15所述的装置,其特征在于,所述第一解密模块包括:
第一解密单元,用于采用所述第一加密密钥对经过双重加密的所述第二密钥因子进行解密,得到第一次解密后的所述第二密钥因子;
第二加密单元,用于采用所述初始密钥对所述第一解密单元第一次解密后的所述第二密钥因子进行解密,得到所述第二密钥因子。
18.根据权利要求15所述的装置,其特征在于,所述第一密钥生成模块包括:
第一确定单元,用于确定所述第一设备与所述第二设备之间共享的第一加密密钥和所述第一设备的设备标识;
第一因子生成单元,用于根据所述第一加密密钥、所述第一确定单元确定的所述设备标识、所述第一密钥因子、所述第一解密模块得到的所述第二密钥因子生成所述第一设备与第二设备的共享密钥。
19.根据权利要求18所述的装置,其特征在于,所述第一因子生成单元具体用于:
将所述第一加密密钥、所述设备标识、所述第一密钥因子、所述第二密钥因子依次连接,得到组合字串;
将所述组合字串切分为长度相等的两个子字串;
对所述两个子字串分别进行散列运算,得到两个散列结果;
将所述两个散列结果以位进行异或运算,得到所述第一设备与第二设备的共享密钥。
20.根据权利要求15所述的装置,其特征在于,所述装置还包括:
第一确定模块,用于确定所述第一设备与所述第二设备的共享密钥的更换周期;
第二确定模块,用于根据所述第一确定模块确定的所述更换周期重新确定所述第一加密因子和所述第二加密因子;
第一更换模块,用于根据所述第二确定模块重新确定的所述第一加密因子和所述第二加密因子更换所述第一设备与所述第二设备的共享密钥。
21.根据权利要求15-20任一所述的装置,其特征在于,所述装置还包括:
第三确定模块,用于确定所述第一设备需要向所述第二设备发送的待传输的数据;
数据加密模块,用于采用所述共享密钥对所述第三确定模块确定的所述待传输的数据进行加密,并通过所述第一安全通道发送给所述第二设备。
22.根据权利要求21所述的装置,其特征在于,所述装置还包括:
第二接收模块,用于通过所述第一安全通过接收所述第二设备在接收到所述待传输的数据生成的响应数据,所述响应数据已经经过所述共享密钥加密;
第二解密模块,用于采用所述共享密钥对所述经过所述共享密钥加密的所述响应数据进行解密,得到所述响应数据。
23.一种密钥生成装置,应用在第二设备上,其特征在于,所述装置包括:
第三接收模块,用于通过第二安全通道接收来自第一设备的经过初始密钥加密的第一密钥因子,其中,所述初始密钥为所述第一设备与所述第二设备之间预设的密钥;
第三解密模块,用于对经过所述初始密钥加密的所述第一密钥因子进行解密,得到所述第一加密因子;
第二密钥生成模块,用于根据所述第一密钥因子、所述第二设备生成的第二密钥因子生成所述第一设备与第二设备的共享密钥。
24.根据权利要求23所述的装置,其特征在于,所述第二密钥生成模块具体用于:
将所述第一加密密钥、所述第一设备的设备标识、所述第一密钥因子、所述第二密钥因子依次连接,得到组合字串;
将所述组合字串切分为长度相等的两个子字串;
对所述两个子字串分别进行散列运算,得到两个散列结果;
将所述两个散列结果以位进行异或运算,得到所述第一设备与第二设备的共享密钥。
25.根据权利要求24所述的装置,其特征在于,所述装置还包括:
第二加密模块,用于采用所述初始密钥对所述第二设备生成的第二密钥因子进行加密;
第一发送模块,用于通过所述第二安全通道将所述经过所述初始密钥加密后的所述第二密钥因子发送给所述第一设备。
26.根据权利要求25所述的装置,其特征在于,所述装置还包括:
第三确定模块,用于确定所述第一设备与所述第二设备的共享密钥的更换周期;
第四确定模块,用于根据所述更换周期重新确定所述第一加密因子和所述第二加密因子;
第二更换模块,用于根据重新确定的所述第一加密因子和所述第二加密因子更换所述第一设备与所述第二设备的共享密钥。
27.根据权利要求23-26任一所述的装置,其特征在于,所述装置还包括:
第四接收模块,用于通过第二安全通道接收来自所述第一设备的经过所述共享密钥加密的待传输的数据;
第四解密模块,用于采用所述共享密钥对所述待传输的数据进行解密。
28.根据权利要求27所述的装置,其特征在于,所述装置还包括:
响应数据生成模块,用于在接收到所述待传输的数据后,生成响应数据;
第三加密模块,用于通过所述共享密钥对所述响应数据进行加密;
第二发送模块,用于通过所述第二安全通道向所述第一设备发送经过所述共享密钥加密的响应数据。
CN201510531892.2A 2015-08-26 2015-08-26 密钥生成方法及装置 Active CN106487749B (zh)

Priority Applications (5)

Application Number Priority Date Filing Date Title
CN201510531892.2A CN106487749B (zh) 2015-08-26 2015-08-26 密钥生成方法及装置
JP2018508212A JP2018529271A (ja) 2015-08-26 2016-08-16 二重暗号化を用いたキー生成方法および装置
PCT/CN2016/095522 WO2017032242A1 (zh) 2015-08-26 2016-08-16 密钥生成方法及装置
US15/752,743 US10693634B2 (en) 2015-08-26 2016-08-16 Key generation method and apparatus using double encryption
US16/901,261 US11463243B2 (en) 2015-08-26 2020-06-15 Key generation method and apparatus using double encryption

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510531892.2A CN106487749B (zh) 2015-08-26 2015-08-26 密钥生成方法及装置

Publications (2)

Publication Number Publication Date
CN106487749A true CN106487749A (zh) 2017-03-08
CN106487749B CN106487749B (zh) 2021-02-19

Family

ID=58099579

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510531892.2A Active CN106487749B (zh) 2015-08-26 2015-08-26 密钥生成方法及装置

Country Status (4)

Country Link
US (2) US10693634B2 (zh)
JP (1) JP2018529271A (zh)
CN (1) CN106487749B (zh)
WO (1) WO2017032242A1 (zh)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107808284A (zh) * 2017-11-17 2018-03-16 上海瀚银信息技术有限公司 一种基于pos机***的支付方法
CN108243181A (zh) * 2017-10-09 2018-07-03 北京车和家信息技术有限公司 一种车联网终端、数据加密方法及车联网服务器
CN108667598A (zh) * 2018-04-28 2018-10-16 克洛斯比尔有限公司 用于实现安全密钥交换的设备和方法及安全密钥交换方法
CN108924161A (zh) * 2018-08-13 2018-11-30 南京敞视信息科技有限公司 一种交易数据加密通信方法及***
CN109151015A (zh) * 2018-08-13 2019-01-04 南京敞视信息科技有限公司 一种交易信息安全推送方法
CN109302285A (zh) * 2018-10-25 2019-02-01 安徽问天量子科技股份有限公司 一种IPv6网络节点数据安全传输方法
CN112564901A (zh) * 2020-12-08 2021-03-26 浙江三维万易联科技有限公司 密钥的生成方法和***、存储介质及电子装置
CN112769759A (zh) * 2020-12-22 2021-05-07 北京深思数盾科技股份有限公司 信息处理方法、信息网关、服务器及介质
US20210173950A1 (en) * 2019-12-06 2021-06-10 TEEware Co., Ltd. Data sharing between trusted execution environments
CN115426111A (zh) * 2022-06-13 2022-12-02 中国第一汽车股份有限公司 一种数据加密方法、装置、电子设备及存储介质

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2625820B1 (en) * 2010-10-08 2021-06-02 Brian Lee Moffat Private data sharing system
CN107666383B (zh) * 2016-07-29 2021-06-18 阿里巴巴集团控股有限公司 基于https协议的报文处理方法以及装置
US10691837B1 (en) * 2017-06-02 2020-06-23 Apple Inc. Multi-user storage volume encryption via secure enclave
US10999265B2 (en) * 2017-11-15 2021-05-04 Team One International Holding Pte Ltd. Method and system for deploying wireless IoT sensor nodes
US11627132B2 (en) * 2018-06-13 2023-04-11 International Business Machines Corporation Key-based cross domain registration and authorization
CN109379333B (zh) * 2018-09-10 2021-04-13 安徽师范大学 基于网络层的安全传输方法
CN109617696B (zh) * 2019-01-03 2022-08-19 北京城市网邻信息技术有限公司 一种数据加密、数据解密的方法和装置
CN111193797B (zh) * 2019-12-30 2022-10-11 海尔优家智能科技(北京)有限公司 具有可信计算架构的物联网操作***的信息处理方法
US11343094B2 (en) 2020-01-13 2022-05-24 i2Chain, Inc. Methods and systems for encrypting shared information through its lifecycle
CN112260823B (zh) * 2020-09-16 2022-08-09 浙江大华技术股份有限公司 数据传输方法、智能终端和计算机可读存储介质
CN113536355B (zh) * 2021-07-29 2024-06-28 中国工商银行股份有限公司 会话密钥的生成方法及装置
CN114244630B (zh) * 2022-02-15 2022-06-03 北京指掌易科技有限公司 一种通信方法、装置、设备以及存储介质
KR102663891B1 (ko) * 2022-04-28 2024-05-03 주식회사 씨브이네트 이중보안 특성을 가지는 스마트홈 시스템 및 그의 통신방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103209075A (zh) * 2013-03-15 2013-07-17 南京易司拓电力科技股份有限公司 一种密码交换方法

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5206905A (en) 1989-05-15 1993-04-27 Dallas Semiconductor Corp. Password protected device using incorrect passwords as seed values for pseudo-random number generator for outputting random data to thwart unauthorized accesses
US5226137A (en) 1989-05-15 1993-07-06 Dallas Semiconductor Corp. Electronic key with multiple password protected sub-keys using address and translation to implement a block data move between public and protected sub-keys
US6182216B1 (en) 1997-09-17 2001-01-30 Frank C. Luyster Block cipher method
US7013389B1 (en) 1999-09-29 2006-03-14 Cisco Technology, Inc. Method and apparatus for creating a secure communication channel among multiple event service nodes
US7103185B1 (en) 1999-12-22 2006-09-05 Cisco Technology, Inc. Method and apparatus for distributing and updating private keys of multicast group managers using directory replication
US7069435B2 (en) 2000-12-19 2006-06-27 Tricipher, Inc. System and method for authentication in a crypto-system utilizing symmetric and asymmetric crypto-keys
US6970562B2 (en) 2000-12-19 2005-11-29 Tricipher, Inc. System and method for crypto-key generation and use in cryptosystem
US7065642B2 (en) 2000-12-19 2006-06-20 Tricipher, Inc. System and method for generation and use of asymmetric crypto-keys each having a public portion and multiple private portions
US7222231B2 (en) 2001-04-19 2007-05-22 Hewlett-Packard Development Company, L.P. Data security for distributed file systems
US7477748B2 (en) * 2002-03-18 2009-01-13 Colin Martin Schmidt Session key distribution methods using a hierarchy of key servers
US7680758B2 (en) 2004-09-30 2010-03-16 Citrix Systems, Inc. Method and apparatus for isolating execution of software applications
US8050405B2 (en) * 2005-09-30 2011-11-01 Sony Ericsson Mobile Communications Ab Shared key encryption using long keypads
US20130227286A1 (en) * 2006-04-25 2013-08-29 Andre Jacques Brisson Dynamic Identity Verification and Authentication, Dynamic Distributed Key Infrastructures, Dynamic Distributed Key Systems and Method for Identity Management, Authentication Servers, Data Security and Preventing Man-in-the-Middle Attacks, Side Channel Attacks, Botnet Attacks, and Credit Card and Financial Transaction Fraud, Mitigating Biometric False Positives and False Negatives, and Controlling Life of Accessible Data in the Cloud
US8619982B2 (en) 2006-10-11 2013-12-31 Bassilic Technologies Llc Method and system for secure distribution of selected content to be protected on an appliance specific basis
US8719954B2 (en) 2006-10-11 2014-05-06 Bassilic Technologies Llc Method and system for secure distribution of selected content to be protected on an appliance-specific basis with definable permitted associated usage rights for the selected content
US20080092239A1 (en) 2006-10-11 2008-04-17 David H. Sitrick Method and system for secure distribution of selected content to be protected
US8837738B2 (en) * 2011-04-08 2014-09-16 Arizona Board Of Regents On Behalf Of Arizona State University Methods, systems, and apparatuses for optimal group key management for secure multicast communication
CN104170312B (zh) * 2011-12-15 2018-05-22 英特尔公司 用于使用硬件安全引擎通过网络进行安全通信的方法和设备
CN104753682B (zh) * 2015-04-03 2019-05-14 北京奇虎科技有限公司 一种会话秘钥的生成***及方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103209075A (zh) * 2013-03-15 2013-07-17 南京易司拓电力科技股份有限公司 一种密码交换方法

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108243181A (zh) * 2017-10-09 2018-07-03 北京车和家信息技术有限公司 一种车联网终端、数据加密方法及车联网服务器
CN107808284A (zh) * 2017-11-17 2018-03-16 上海瀚银信息技术有限公司 一种基于pos机***的支付方法
CN108667598A (zh) * 2018-04-28 2018-10-16 克洛斯比尔有限公司 用于实现安全密钥交换的设备和方法及安全密钥交换方法
CN108667598B (zh) * 2018-04-28 2021-10-15 克洛斯比尔有限公司 用于实现安全密钥交换的设备和方法及安全密钥交换方法
CN109151015B (zh) * 2018-08-13 2021-10-08 南京敞视信息科技有限公司 一种交易信息安全推送方法
CN109151015A (zh) * 2018-08-13 2019-01-04 南京敞视信息科技有限公司 一种交易信息安全推送方法
CN108924161A (zh) * 2018-08-13 2018-11-30 南京敞视信息科技有限公司 一种交易数据加密通信方法及***
CN109302285A (zh) * 2018-10-25 2019-02-01 安徽问天量子科技股份有限公司 一种IPv6网络节点数据安全传输方法
US20210173950A1 (en) * 2019-12-06 2021-06-10 TEEware Co., Ltd. Data sharing between trusted execution environments
CN112564901A (zh) * 2020-12-08 2021-03-26 浙江三维万易联科技有限公司 密钥的生成方法和***、存储介质及电子装置
CN112564901B (zh) * 2020-12-08 2023-08-25 三维通信股份有限公司 密钥的生成方法和***、存储介质及电子装置
CN112769759A (zh) * 2020-12-22 2021-05-07 北京深思数盾科技股份有限公司 信息处理方法、信息网关、服务器及介质
CN115426111A (zh) * 2022-06-13 2022-12-02 中国第一汽车股份有限公司 一种数据加密方法、装置、电子设备及存储介质

Also Published As

Publication number Publication date
CN106487749B (zh) 2021-02-19
US10693634B2 (en) 2020-06-23
US20200313865A1 (en) 2020-10-01
US20180241549A1 (en) 2018-08-23
JP2018529271A (ja) 2018-10-04
US11463243B2 (en) 2022-10-04
WO2017032242A1 (zh) 2017-03-02

Similar Documents

Publication Publication Date Title
CN106487749A (zh) 密钥生成方法及装置
CN104219228B (zh) 一种用户注册、用户识别方法及***
JP6417036B2 (ja) 事前共有鍵に基づくエンティティ認証方法及び装置
CN105553951A (zh) 数据传输方法和装置
WO2016065321A1 (en) Secure communication channel with token renewal mechanism
CN105162772A (zh) 一种物联网设备认证与密钥协商方法和装置
JPH0338131A (ja) コンピュータ回路網において暗号化されたキーをデータパケット内のキー識別子として使用する方法
Mueller et al. Plug-and-secure communication for CAN
CN104025506A (zh) 通信***中的消息认证方法及通信***
CN106850191B (zh) 分布式存储***通信协议的加密、解密方法及装置
KR101608815B1 (ko) 폐쇄형 네트워크에서 암복호화 서비스 제공 시스템 및 방법
Musa et al. Secure security model implementation for security services and related attacks base on end-to-end, application layer and data link layer security
CN105262586B (zh) 汽车防盗设备的密钥分配方法及装置
CN106209916A (zh) 工业自动化生产业务数据传输加解密方法及***
Cui et al. Lightweight encryption and authentication for controller area network of autonomous vehicles
CN114679270B (zh) 一种基于隐私计算的数据跨域加解密方法
CN108965279A (zh) 数据处理方法、装置、终端设备及计算机可读存储介质
CN210955077U (zh) 一种基于国密算法和puf的总线加解密装置
CN107276996A (zh) 一种日志文件的传输方法及***
KR101359789B1 (ko) Scada 통신 네트워크의 보안 시스템 및 방법
CN105871858A (zh) 一种保证数据安全的方法及***
CN106257859A (zh) 一种密码使用方法
Erondu et al. An encryption and decryption model for data security using vigenere with advanced encryption standard
CN107534552A (zh) 交易完整性密钥的分发和验证
KR101224383B1 (ko) 디바이스들 사이에서의 보안 통신 방법

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 1234924

Country of ref document: HK

GR01 Patent grant
GR01 Patent grant