CN106487761A - 一种消息传输方法和网络设备 - Google Patents
一种消息传输方法和网络设备 Download PDFInfo
- Publication number
- CN106487761A CN106487761A CN201510543931.0A CN201510543931A CN106487761A CN 106487761 A CN106487761 A CN 106487761A CN 201510543931 A CN201510543931 A CN 201510543931A CN 106487761 A CN106487761 A CN 106487761A
- Authority
- CN
- China
- Prior art keywords
- terminal
- message
- network equipment
- user group
- encryption key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Telephone Function (AREA)
Abstract
本发明实施例涉及通信技术领域,尤其涉及一种消息传输方法和网络设备,用以提高用户组内的各个终端之间传输信息的安全性。本发明实施例中,网络设备可使用网络设备的解密密钥对第一消息解密得出原始消息,之后网络设备从第一终端所属的第一用户组中确定N个第二终端和每个第二终端的加密密钥,并使用每个第二终端的加密密钥对原始消息进行加密,分别发送给每个第二终端。由于该第一用户组中存在至少两个第二终端分别对应的加密密钥不同。因此,即使一个第二终端泄露了该第二终端的解密密钥,仿冒者也无法基于泄露的解密其它终端的信息,提高了信息传输安全性。
Description
技术领域
本发明实施例涉及通信技术领域,尤其涉及一种消息传输方法和网络设备。
背景技术
随着通信技术的不断发展,当今社会已经步入信息化时代,越来越多的信息通过网络进行传递和分享,信息安全问题也随之而来。针对这一问题,现有技术中通常使用非对称加密方式来提升信息传输的安全性。
在点到点通信过程中,比如,两个终端之间发送短信、即时信息等,发送端通常使用接收端的公钥对原始消息进行加密,并将加密后的信息发送给接收端,接收端使用接收端的私钥对接收到的信息进行解密,即可获得原始消息。该过程中接收端的公钥可对外公开,以使其它终端使用该公钥进行加密,而私钥则可唯一保存在该接收端上,用于对接收到的使用公钥加密的信息进行解密,从而提高信息传输过程的安全性。
为了进一步实现信息分享的便捷性,多个终端之间还可建立用户组,一个用户组中可包括多个终端,该用户组中的任一终端可将信息分享至该用户组中的所有终端。现有技术中为了提高用户组的终端之间的信息传输的安全性,为用户组内的所有终端仅设置一套公钥和私钥,用户组内的终端之间传输信息时,均使用该公钥进行加密,该用户组中的其它终端均可使用该私钥对接收到的信息进行解密。
上述方案中,由于仅为用户组内的所有终端设置一套公钥和私钥,该用户组内的不同终端均使用相同的私钥对接收到的信息进行解密,因此,一旦该用户组中某个终端的秘钥泄露,则仿冒者可以以该用户组内任一终端的身份接收并解密该用户组内的信息,信息传输安全性不高。
发明内容
本发明实施例提供一种消息传输方法和网络设备,用以提高用户组内的各个终端之间传输信息的安全性。
第一方面,提供一种消息传输方法,包括:
网络设备接收第一终端发送的第一消息,第一消息是第一终端使用网络设备的加密密钥对原始消息进行加密之后得到的;
网络设备使用网络设备的解密密钥对第一消息进行解密,得到原始消息;
网络设备确定待接收第一消息的N个第二终端,第一终端和N个第二终端属于第一用户组,且N个第二终端中的至少两个第二终端分别对应的加密密钥不同;
网络设备获取N个第二终端在第一用户组中分别对应的N个加密密钥;
网络设备使用获取的N个加密密钥分别对原始消息进行加密,得到N个第二消息;
网络设备将N个第二消息分别发送给对应的N个第二终端;
N大于或等于2。
结合第一方面,在第一方面的第一种可能的实现方式中,网络设备确定待接收第一消息的N个第二终端,具体包括:
网络设备根据第一消息中携带的第一终端所属的第一用户组的标识,确定出第一终端所属的第一用户组;
网络设备将确定出的第一用户组包括的所有终端中除第一终端之外的其它终端,确定为待接收第一终端发送的第一消息的N个第二终端。
结合第一方面,在第一方面的第二种可能的实现方式中,网络设备确定待接收第一消息的N个第二终端,具体包括:
网络设备根据第一消息中携带的第一终端所属的第一用户组的标识,确定出第一终端所属的第一用户组;
网络设备根据第一消息中携带的待接收第一消息的N个终端标识,从确定的第一用户组中确定与N个终端标识分别对应的N个第二终端。
结合第一方面的第二种可能的实现方式,在第一方面的第三种可能的实现方式中,还包括:
网络设备确定第一用户组中的第三终端;第三终端为第一用户组中除第一终端和N个第二终端之外的其它终端;网络设备使用与第三终端对应的加密密钥不同的加密密钥,对得到的原始消息进行加密,得到第三消息,并将第三消息发送给第三终端。
结合第一方面至第一方面的第三种可能的实现方式中任一种可能的实现方式,在第一方面的第四种可能的实现方式中,网络设备获取N个第二终端在第一用户组中分别对应的N个加密密钥,包括:
网络设备根据每个第二终端的标识,生成每个第二终端在第一用户组中分别对应的加密密钥;
网络设备将N个第二消息分别发送给对应的N个第二终端之前,还包括:
网络设备根据每个第二终端的标识,生成每个第二终端分别对应的解密密钥,并
将生成的解密密钥分别发送给对应的第二终端。
结合第一方面至第一方面的第四种可能的实现方式中任一种可能的实现方式,在第一方面的第五种可能的实现方式中,网络设备接收第一终端发送的第一消息之前,还包括:
网络设备获取网络设备的加密密钥和网络设备的解密密钥;
网络设备向第一终端发送网络设备的加密密钥,用于第一终端对原始消息进行加密得到第一消息。
结合第一方面至第一方面的第五种可能的实现方式的任一种可能的实现方式中,在第一方面的第六种可能的实现方式中,第一用户组包括第四终端,第四终端还属于第二用户组,第四终端在第一用户组中的加密密钥和第四终端在第二用户组中的加密密钥相同;
其中,第四终端为第一用户组包括的所有终端中的任一终端。
第二方面,提供一种网络设备,包括:
接收单元,用于接收第一终端发送的第一消息,第一消息是第一终端使用网络设备的加密密钥对原始消息进行加密之后得到的;
解密单元,用于使用网络设备的解密密钥对第一消息进行解密,得到原始消息;
确定单元,用于确定待接收第一消息的N个第二终端;第一终端和N个第二终端属于第一用户组,且N个第二终端中的至少两个第二终端分别对应的加密密钥不同;N大于或等于2;
处理单元,用于获取N个第二终端在第一用户组中分别对应的N个加密密钥,使用获取的N个加密密钥分别对原始消息进行加密,得到N个第二消息;
发送单元,用于将N个第二消息分别发送给对应的N个第二终端。
结合第二方面,在第二方面的第一种可能的实现方式中,确定单元在确定待接收所述第一消息的N个第二终端时,具体用于:
根据第一消息中携带的第一终端所属的第一用户组的标识,确定出第一终端所属的第一用户组;
将确定出的第一用户组包括的所有终端中除第一终端之外的其它终端,确定为待接收第一终端发送的第一消息的N个第二终端。
结合第二方面,在第二方面的第二种可能的实现方式中,确定单元在确定待接收所述第一消息的N个第二终端时,具体用于:
根据第一消息中携带的第一终端所属的第一用户组的标识,确定出第一终端所属的第一用户组;
根据第一消息中携带的待接收第一消息的N个终端标识,从确定的第一用户组中确定与N个终端标识分别对应的N个第二终端。
结合第二方面的第二种可能的实现方式,在第二方面的第三种可能的实现方式中,确定单元,还用于:
确定第一用户组中的第三终端;第三终端为第一用户组中除第一终端和N个第二终端之外的其它终端;
处理单元,还用于:
使用与第三终端对应的加密密钥不同的加密密钥,对得到的原始消息进行加密,得到第三消息;
发送单元,还用于:
将第三消息发送给第三终端。
结合第二方面至第二方面的第三种可能的实现方式的任一种可能的实现方式中,在第二方面的第四种可能的实现方式中,处理单元在获取所述N个第二终端在所述第一用户组中分别对应的N个加密密钥时,具体用于:
根据每个第二终端的标识,生成每个第二终端在第一用户组中分别对应的加密密钥;
根据每个第二终端的标识,生成每个第二终端分别对应的解密密钥;
发送单元,还用于:
将生成的解密密钥分别发送给对应的第二终端。
结合第二方面至第二方面的第四种可能的实现方式的任一种可能的实现方式中,在第二方面的第五种可能的实现方式中,处理单元,还用于:
在所述接收单元接收第一终端发送的第一消息之前,获取网络设备的加密密钥和网络设备的解密密钥;
发送单元,还用于:
向第一终端发送网络设备的加密密钥,用于第一终端对原始消息进行加密得到第一消息。
结合第二方面至第二方面的第五种可能的实现方式的任一种可能的实现方式中,在第二方面的第六种可能的实现方式中,第一用户组包括第四终端,第四终端还属于第二用户组,第四终端在第一用户组中的加密密钥和第四终端在第二用户组中的加密密钥相同;
其中,第四终端为第一用户组包括的所有终端中的任一终端。
第三方面,提供一种网络设备,包括:
接收机,用于接收第一终端发送的第一消息,第一消息是第一终端使用网络设备的加密密钥对原始消息进行加密之后得到的;
处理器,用于使用网络设备的解密密钥对第一消息进行解密,得到原始消息,确定待接收第一消息的N个第二终端,获取N个第二终端在第一用户组中分别对应的N个加密密钥,使用获取的N个加密密钥分别对原始消息进行加密,得到N个第二消息;第一终端和N个第二终端属于第一用户组,且N个第二终端中的至少两个第二终端分别对应的加密密钥不同;N大于或等于2;
发送机,用于将N个第二消息分别发送给对应的N个第二终端。
结合第三方面,在第三方面的第一种可能的实现方式中,处理器在确定待接收所述第一消息的N个第二终端时,具体用于:
根据第一消息中携带的第一终端所属的第一用户组的标识,确定出第一终端所属的第一用户组;
将确定出的第一用户组包括的所有终端中除第一终端之外的其它终端,确定为待接收第一终端发送的第一消息的N个第二终端。
结合第三方面,在第三方面的第二种可能的实现方式中,处理器在确定待接收所述第一消息的N个第二终端时,具体用于:
根据第一消息中携带的第一终端所属的第一用户组的标识,确定出第一终端所属的第一用户组;
根据第一消息中携带的待接收第一消息的N个终端标识,从确定的第一用户组中确定与N个终端标识分别对应的N个第二终端。
结合第三方面的第二种可能的实现方式,在第三方面的第三种可能的实现方式中,处理器,还用于:
确定第一用户组中的第三终端;第三终端为第一用户组中除第一终端和N个第二终端之外的其它终端;
使用与第三终端对应的加密密钥不同的加密密钥,对得到的原始消息进行加密,得到第三消息;
发送机,还用于:
将第三消息发送给第三终端。
结合第三方面至第三方面的第三种可能的实现方式的任一种可能的实现方式中,在第三方面的第四种可能的实现方式中,处理器在获取所述N个第二终端在所述第一用户组中分别对应的N个加密密钥时,具体用于:
根据每个第二终端的标识,生成每个第二终端在第一用户组中分别对应的加密密钥;
根据每个第二终端的标识,生成每个第二终端分别对应的解密密钥;
发送机,还用于:
将生成的解密密钥分别发送给对应的第二终端。
结合第三方面至第三方面的第四种可能的实现方式的任一种可能的实现方式中,在第三方面的第五种可能的实现方式中,处理器,还用于:
在所述接收机接收第一终端发送的第一消息之前,获取网络设备的加密密钥和网络设备的解密密钥;
发送机,还用于:
向第一终端发送网络设备的加密密钥,用于第一终端对原始消息进行加密得到第一消息。
结合第三方面至第三方面的第五种可能的实现方式的任一种可能的实现方式中,在第三方面的第六种可能的实现方式中,第一用户组包括第四终端,第四终端还属于第二用户组,第四终端在第一用户组中的加密密钥和第四终端在第二用户组中的加密密钥相同;其中,所述第四终端为所述第一用户组包括的所有终端中的任一终端。
本发明实施例中,网络设备可使用网络设备的解密密钥对第一消息解密得出原始消息,之后网络设备从第一终端所属的第一用户组中确定N个第二终端,以及每个第二终端的加密密钥,并使用每个第二终端的加密密钥对原始消息进行加密,并分别发送给每个第二终端,进而可使每个第二终端使用该第二终端的解密密钥对接收到的信息进行解密,由于该第一用户组中存在至少两个第二终端分别对应的加密密钥不同,即该第一用户组中存在至少两个第二终端分别对应的解密密钥不同。因此,即使一个第二终端泄露了该第二终端的解密密钥,仿冒者也无法基于泄露的解密其它终端的信息,提高了信息传输安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例提供的一种消息传输的***架构示意图;
图2a为本发明实施例提供的网络设备侧实现的一种消息传输的方法示意图;
图2b为本发明实施例提供的网络设备侧实现的另一种消息传输的方法示意图;
图3为本发明实施例提供的一种网络设备的结构示意图;
图4为本发明实施例提供的另一种网络设备的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及有益效果更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,本发明实施例适用的***架构示意图。该***架构中包括网络设备101,网络设备101通过网络109与多个终端连接。该***架构还包括至少一个用户组,每个用户组可包括至少两个终端。每个终端可分属于多个不同的用户组中。比如,图1中所示的,本发明实施例适用的***架构包括第一用户组102和第二用户组103,第一用户组102中包括终端104、终端105、终端106,第二用户组103中包括终端104、终端105、终端107、终端108。终端104和终端105同时属于第一用户组102和第二用户组103。
网络设备中存储有用户组与终端标识的对应关系信息。也就是说,网络设备根据用户组与终端标识的对应关系确定出任一终端所属的用户组,也可确定出任一用户组所包括的所有终端。任一终端可将信息分享至该终端所属的任一用户组中,也就是说,任一终端可将信息发送给该终端所属的任一用户组所包括的所有其它终端,或者该用户组中的部分终端,以此提高信息分享速度。
用户组的创建方式可有多种。比如用户组的创建者可发送创建用户组请求至网络设备,创建请求中携带用户组中各个终端的标识,网络设备可依据该创建用户组请求创建用户组。后期对该用户组的维护,以及该用户组中终端的增减均属现有技术,在此不在赘述。
终端104、终端105、终端106、终端107和终端108等终端可为手机终端、PC终端、平板终端等通信终端。
基于图1所示的***架构,图2a示出了本发明实施例提供的网络设备侧实现的一种消息传输方法,包括以下步骤:
步骤201,网络设备接收第一终端发送的第一消息,第一消息是第一终端使用网络设备的加密密钥对原始消息进行加密之后得到的;原始消息可为第一终端获取的、且需要发送的未进行加密的消息;原始消息中可包括具体的第一终端与其它终端之间的通话内容,比如,短信内容和即时消息内容;
步骤202,网络设备使用网络设备的解密密钥对第一消息进行解密,得到原始消息;
步骤203,网络设备确定待接收第一消息的N个第二终端,第一终端和N个第二终端属于第一用户组,且N个第二终端中的至少两个第二终端分别对应的加密密钥不同;N大于或等于2;
步骤204,网络设备获取N个第二终端在第一用户组中分别对应的N个加密密钥;
步骤205,网络设备使用获取的N个加密密钥分别对原始消息进行加密,得到N个第二消息;
步骤206,网络设备将N个第二消息分别发送给对应的N个第二终端。
为了更清楚的介绍上述流程,图2b示出了本发明实施例提供的网络设备侧实现的一种消息传输方法的流程示意图,如图2b所示,第一用户组302包括第一终端303,以及N个第二终端,分别为第二终端304、第二终端305、…、第二终端306。第一终端303获取原始消息,使用网络设备的加密密钥对原始消息进行加密之后得到第一消息,第一终端303向网络设备301发送第一消息。
网络设备301接收第一终端303发送的第一消息,第一消息中携带第一终端所属的第一用户组的标识;网络设备使用网络设备的解密密钥对第一消息进行解密,得到原始消息,并根据第一用户组的标识确定出第一终端所属的第一用户组。网络设备301从第一用户组包括的所有终端中确定待接收第一消息的N个第二终端,第一终端和N个第二终端属于第一用户组,且该第一用户组中存在至少两个第二终端分别对应的加密密钥不同。如图2b所示,第二终端304、第二终端305、…、第二终端306中,第二终端304的加密密钥与第二终端305的加密密钥不同。一种优选的实施方式为,第一用户组包括的所有终端中任两个终端的加密密钥均不同,从而提高信息传输的安全性。
网络设备301获取N个第二终端在第一用户组中分别对应的N个加密密钥,使用获取的N个加密密钥分别对原始消息进行加密,得到N个第二消息,将N个第二消息分别发送给对应的N个第二终端。具体来说,网络设备301获取在第一用户中的第二终端304的加密密钥、第二终端305的加密密钥、…、第二终端306的加密密钥,使用第二终端304的加密密钥对原始消息进行加密,得到第二消息1,并将第二消息1发送给第二终端304,第二终端304使用第二终端304的解密密钥对第二消息1进行解密,得到原始消息。使用第二终端305的加密密钥对原始消息进行加密,得到第二消息2,并将第二消息2发送给第二终端305,第二终端305使用第二终端305的解密密钥对第二消息2进行解密,得到原始消息。使用第二终端306的加密密钥对原始消息进行加密,得到第二消息N,并将第二消息N发送给第二终端306,第二终端306使用第二终端306的解密密钥对第二消息N进行解密,得到原始消息。
由于该第一用户组中存在至少两个第二终端分别对应的加密密钥不同,即该第一用户组中存在至少两个第二终端分别对应的解密密钥不同。因此,即使一个第二终端泄露了该第二终端的解密密钥,仿冒者也无法基于泄露的解密其它终端的信息,提高了信息传输安全性。
本发明实施例适用于第一用户组中的第一终端将消息发送至第一用户组包括的一个或多个第二终端,提高第一用户组内各个终端之间信息分享速度。
本发明实施例中的第一终端、第二终端、第三终端仅仅用于区分第一用户组中的不同终端,本发明实施例中的第一终端可为第一用户组内任一终端,第二终端为第一终端所属的第一用户组所包括的除第一终端之外的任一终端,第三终端为第一用户组包括的所有终端中除第一终端和第二终端之外的任一终端。本发明实施例中的第一用户组包括第四终端,第四终端为第一用户组包括的所有终端中的任一终端,比如,第四终端可为第一终端,或者第四终端可为第二终端等。
优选地,本发明实施例中的第四终端还属于第二用户组,具体来说,第四终端可属于一个第二用户组,或者可属于多个第二用户组。具体实施中,第四终端所属的每一个用户组均对应一个加密密钥和一个解密密钥。第四终端一个加密密钥与一个解密密钥相匹配,当第四终端在不同的用户组下的加密密钥不同时,第四终端在不同的用户组下的解密密钥也不同。一种实现方式为,第四终端在所属的第一用户组的加密密钥和第四终端在所属的所有第二用户组中的任两个用户组对应的加密密钥均不同。为了提高密钥的可管理性,简化密钥的复杂度,第四终端在第一用户组中的加密密钥和第四终端在至少一个第二用户组中的加密密钥相同。或者,一种优选的实现方式为,第四终端在第一用户组中的加密密钥和该第四终端在所有第二用户组中对应的加密密钥均相同。
举例来说,第四终端同时属于用户组A、用户组B、用户组C。第四终端在用户组A中的加密密钥、第四终端在用户组B中的加密密钥、第四终端在用户组C中的加密密钥中任两个加密密钥均不相同,此时,第四终端在用户组A中的解密密钥、第四终端在用户组B中的解密密钥、第四终端在用户组C中的解密密钥中任两个解密密钥均不相同。或者,第四终端在用户组A中的加密密钥和第四终端在用户组B中的加密密钥相同,第二终端在用户组A中的加密密钥和第四终端在用户组C中的加密密钥不同,此时,第四终端在用户组A中的解密密钥和第四终端在用户组B中的解密密钥相同,第二终端在用户组A中的解密密钥和第四终端在用户组C中的解密密钥不同。或者,优选地方式,第四终端在用户组A中的加密密钥、第四终端在用户组B中的加密密钥、第四终端在用户组C中的加密密钥均相同,此时,第四终端在用户组A中的解密密钥、第四终端在用户组B中的解密密钥、第四终端在用户组C中的解密密钥均相同。
本发明实施例中网络设备、第一终端或者第二终端的密钥形式可使用非对称密钥,也可使用对称密钥、或者其它密钥形式。
当密钥形式为非对称密钥时,也就是说,网络设备和用户组包括的任一终端的加密密钥为公钥,网络设备和用户组包括的任一终端的解密密钥为私钥;此种形式下,即使信息传输过程中被第三方拦截,信息内容泄漏的风险也非常低,此种形式安全系数较高。
当密钥形式为对称密钥时,也就是说,网络设备加密密钥与解密密钥相同,用户组包括的任一终端的加密密钥与解密密钥相同。该种形式也可达到用户组内信息传输私密性的基本要求,但是若信息传输过程中被第三方拦截,则信息内容泄露的风险较高,安全系数较低。
上述步骤201中,第一终端使用网络设备的加密密钥对原始消息进行加密之前,第一终端获取网络设备的加密密钥有多种方式,本发明实施例中提供以下“方式a1、方式a2、方式a3、方式a4”几种可选的实施方式:
方式a1,网络设备与第一终端在会话前通过协商的方式建立网络设备的加密密钥和解密密钥。此时,第一终端在第一终端的存储设备中存储该网络设备的加密密钥,当第一终端需要使用网络设备的加密密钥对原始消息进行加密时,可从第一终端的存储设备中获取该预先存储的网络设备的加密密钥。网络设备在该网络设备的存储设备中存储该网络设备的解密密钥,当网络设备接收到第一消息时,可从该网络设备的存储设备中获取网络设备的解密密钥进行解密。
方式a2,网络设备为该网络设备分配加密密钥和解密密钥。网络设备获取网络设备的加密密钥和网络设备的解密密钥之后,网络设备在该网络设备的存储设备上存储该网络设备的解密密钥,以使网络设备对接收到的第一消息进行解密。另一方面,网络设备通过通知的方式将网络设备的加密密钥预先发送给第一终端,或者网络设备在接收到第一终端发送的请求消息之后,触发网络设备将网络设备的加密密钥发送给第一终端,以使第一终端对原始消息进行加密得到第一消息。
方式a3,密钥生成设备为该网络设备分配加密密钥和解密密钥。密钥生成设备向该网络设备发送该网络设备的解密密钥,或者密钥生成设备在接收到网络设备发送的请求消息之后向该网络设备发送该网络设备的解密密钥,以使网络设备对接收到的第一消息进行解密。另一方面,密钥生成设备通过通知的方式将网络设备的加密密钥预先发送给第一终端,或者密钥生成设备在接收到第一终端发送的请求消息之后,密钥生成设备将网络设备的加密密钥发送给第一终端,以使第一终端对原始消息进行加密得到第一消息。
方式a4,网络设备或者其它密钥生成设备根据网络设备的标识,结合预设的算法规则,生成网络设备的解密密钥,网络设备、其它密钥生成设备或者第一终端根据网络设备的标识,结合预设的算法规则,生成网络设备的解密密钥。预设的算法规则可自行定义,根据不同的网络设备标识对应计算得出的网络设备加密密钥均不相同,根据不同的网络设备标识计算出的网络设备解密密钥也均不相同。密钥生成设备或者本发明实施例中的网络设备可预先根据网络设备的标识生成网络设备的加密密钥和解密密钥,并将网络设备的解密密钥存储于网络设备中,将网络设备的加密密钥发送给该第一终端,以使该第一终端进行预先存储。当第一终端需要使用网络设备的加密密钥对原始消息进行加密时,可从第一终端的存储设备中获取该预先存储的网络设备的加密密钥,也可在第一终端发送第一消息时,再根据网络设备的标识,结合预设的算法规则生成该网络设备的加密密钥。
上述步骤204中,网络设备获取第二终端对应的加密密钥可由多种方式,本发明实施例提供以下“方式b1、方式b2、方式b3、方式b4、方式b5”几种可选的实施方式:
方式b1,网络设备与每个第二终端在会话前通过协商的方式建立该第二终端的加密密钥和解密密钥。此时,网络设备可在网络设备的存储设备中存储每个第二终端的加密密钥,以使网络设备使用第二终端的加密密钥对原始消息进行加密。另一方面,第二终端预先保存该第二终端的解密密钥,以使第二终端使用该第二终端的解密密钥对接收到的第二消息进行解密。
方式b2,通过网络设备为每个第二终端分配加密密钥和解密密钥。此时,网络设备可在网络设备的存储设备中存储每个第二终端的加密密钥,以使网络设备使用第二终端的加密密钥对原始消息进行加密。另一方面,网络设备可通过通知的方式预先将各个第二终端的解密密钥发送给各个第二终端。或者,网络设备向第二终端发送第二消息时,将该第二终端的解密密钥发送给该第二终端。另一种实现方式为,第二终端在接收到第二消息之前或者在接收到第二消息之后,通过向网络设备发送请求消息的方式,从网络设备中获取该第二终端的解密密钥,以使第二终端使用该第二终端的解密密钥对接收到的第二消息进行解密。
方式b3,通过密钥生成设备为每个第二终端分配加密密钥和解密密钥。此时,密钥生成设备可通过通知的方式预先发送该网络设备各个第二终端的加密密钥,或者,网络设备可通过向该密钥生成设备发送请求消息的方式,从密钥生成设备中获取各个第二终端的加密密钥,进而在网络设备的存储设备中存储每个第二终端的加密密钥,以使网络设备使用第二终端的加密密钥对原始消息进行加密。另一方面,密钥生成设备可通过通知的方式预先将各个第二终端的解密密钥发送给各个第二终端。或者,第二终端在接收到第二消息之前或者在接收到第二消息之后,通过向密钥生成设备发送请求消息的方式,从密钥生成设备中获取该第二终端的解密密钥,以使第二终端使用该第二终端的解密密钥对接收到的第二消息进行解密。
方式b4,网络设备根据每个第二终端的标识,结合预设的算法规则,生成第二终端的加密密钥,网络设备或者第二终端根据第二终端的标识,结合预设的算法规则,生成第二终端的解密密钥。预设的算法规则可自行定义,根据不同的第二终端标识对应计算得出的第二终端加密密钥均不相同,根据不同的第二终端标识计算出的第二终端解密密钥也均不相同。具体来说,网络设备可预先根据每个第二终端的标识,生成每个第二终端分别对应的加密密钥,并对每个第二终端的加密密钥进行保存,或者,网络设备在确定待接收第一终端发送的第一消息的N个第二终端之后,再根据每个第二终端的标识,生成每个第二终端分别对应的加密密钥,以使网络设备使用第二终端的加密密钥对原始消息进行加密。另一方面,网络设备根据每个第二终端的标识,生成每个第二终端分别对应的解密密钥,并将生成的解密密钥分别发送给对应的第二终端。或者第二终端在接收到第二消息之前或接收到第二消息之后,通过向网络设备发送请求消息的方式获取网络设备根据该第二终端的标识所生成的第二终端的解密密钥,以使第二终端使用该第二终端的解密密钥对接收到的第二消息进行解密。另一种实现方式为,第二终端在接收到到第二消息之前或接收到第二消息之后,第二终端根据该第二终端的标识生成该第二终端的解密密钥,以使第二终端使用该第二终端的解密密钥对接收到的第二消息进行解密。
方式b5,密钥生成设备根据每个第二终端的标识,结合上述预设的算法规则,生成第二终端的加密密钥和解密密钥。具体来说,密钥生成设备可预先根据每个第二终端的标识,生成每个第二终端分别对应的加密密钥,并将每个第二终端的加密密钥通过通知的方式发送给网络设备,以使网络设备对每个第二终端的加密密钥进行保存,或者,网络设备通过向密钥生成设备发送请求消息的方式获取每个第二终端分别对应的加密密钥,以使网络设备使用第二终端的加密密钥对原始消息进行加密。另一方面,密钥生成设备根据每个第二终端的标识,生成每个第二终端分别对应的解密密钥,并将生成的解密密钥分别发送给对应的第二终端。或者第二终端在接收到第二消息之前或接收到第二消息之后,通过向密钥生成设备发送请求消息的方式获取网络设备根据该第二终端的标识所生成的第二终端的解密密钥,以使第二终端使用该第二终端的解密密钥对接收到的第二消息进行解密。
进一步,本发明实施例中第一终端使用网络设备的加密密钥对原始消息进行加密,得到第一消息,第一消息携带有加密指示信息,用于使网络设备根据该加密指示信息确定出该信息为加密信息,从而使网络设备使用网络设备的解密密钥对接收到的第一消息进行解密。类似的,网络设备使用第二终端的加密密钥对原始消息进行加密,得到第二消息,第二消息携带有加密指示信息,用于使第二终端根据该加密指示信息确定出该信息为加密信息,从而使第二终端使用该第二终端的解密密钥对接收到的第二消息进行解密。
另一种实现方式中,加密指示消息还能指示出第二消息所使用的加密密钥所属的用户组。举例来说,当第二终端属于第一用户组,且属于第二用户组,且第二终端在第一用户组中的加密密钥与第二用户组中的加密密钥不同,此时第二消息中的加密指示信息还能够指示出该网络设备使用第二终端的第一用户组中的加密密钥对原始消息进行加密,得到第二消息,以使该第二终端使用该第二终端在第一用户组中的解密密钥进行解密。
加密指示信息的形式可为多种,在此仅示例性列举几种,比如,在信息中添加加密标识头、在信息中添加加密信息完整性校验标识、在信息中添加加密后的信息密文、在信息中添加其它类型的标识等。
本发明实施例中,第一终端可将原始消息分享给该第一用户组内的所有其它终端,也可将原始消息分享给该第一用户组内的部分终端,具体实现方式可以为如下内容中方式c1至方式c3中的任意一种:
方式c1,第一终端将原始消息分享给该第一用户组内的除第一终端之外的所有其它终端,也就是说第一用户组中除第一终端之外的所有终端均为第二终端,每个第二终端均能接收到第二消息,并从第二消息中正确解密出原始消息。
具体来说,第一消息中携带第一终端所属的第一用户组的标识,网络设备根据第一消息中携带的第一终端所属的第一用户组的标识,确定出第一终端所属的第一用户组,网络设备将确定出的第一用户组包括的所有终端中除第一终端之外的其它终端,确定为待接收第一终端发送的第一消息的N个第二终端。也就是说,此种情况下,第一用户组包括一个第一终端和N个第二终端。网络设备进一步确定出该N个第二终端中每个第二终端对应的第二终端加密密钥。
网络设备将该第一消息先解密得到原始消息,之后将该原始消息分别使用每个第二终端对应的第二终端加密密钥进行加密,并分别将加密后的原始消息发送给对应的第二终端,从而使每个第二终端使用各自的第二终端解密密钥对该信息进行解密以得到原始消息。由于每个第二终端可单独保存该第二终端解密密钥,且该第一用户组中存在至少两个第二终端分别对应的加密密钥不同。因此,即使一个第二终端泄露了该第二终端的解密密钥,仿冒者也无法基于泄露的解密其它终端的信息,提高了信息传输安全性。
一种可选的实现方式为,第一用户组包括的所有终端中任意两个终端对应的加密密钥不同。本领域技术人员可知,不同的第二终端的加密密钥不同时,该不同的第二终端的解密密钥也不同。
方式c2,第一终端将第二信息发送给该第一用户组内的部分第二终端。第一消息中携带的第一终端所属的第一用户组的标识,以及待接收第一消息的N个终端标识。此时,网络设备根据第一消息中携带的第一终端所属的第一用户组的标识,确定出第一终端所属的第一用户组;网络设备根据第一消息中携带的待接收第一消息的N个终端标识,从确定的第一用户组中确定与N个终端标识分别对应的N个第二终端。
具体来说,第一用户组包括一个第一终端和M个第二终端,M为大于N的正整数。网络设备根据第一消息中携带的待接收第一消息的N个终端标识,从确定的第一用户组中包括的M个第二终端中确定与N个终端标识分别对应的N个第二终端。网络设备将第一消息先解密得到原始消息,之后将该原始消息分别使用该N个第二终端对应的第二终端加密密钥进行加密,得到第二消息,并分别将第二消息发送给对应的N个第二终端,从而使N个第二终端使用该第二终端解密密钥对该信息进行解密以得到原始消息。如此,可实现第一终端仅向该第一用户组的部分终端分享原始消息的目的。
方式c3,上述方式c2中,第一用户组包括M个第二终端,第一消息中携带N个终端标识,网络设备从第一用户组包括的M个第二终端中确定出该N个终端标识对应的N个第二终端,则第一用户组中除第一终端,N个第二终端之外,还包括(M-N)个第三终端,即第三终端为第一用户组中除第一终端和N个第二终端之外的其它终端。网络设备确定第一用户组中的第三终端;网络设备使用与第三终端对应的加密密钥不同的加密密钥,对得到的原始消息进行加密,得到第三消息,并将第三消息发送给第三终端。第三消息用于使该第三终端无法使用该第三终端解密密钥成功解密以得到原始消息。也就是说,当第一终端向第一用户组内的部分终端,即第二终端分享原始消息时,该第一用户组内的第三终端可以接收到一条消息,但是第三终端无法正确解密该消息,即,第三终端无法获取原始消息。具体来说,与该第三终端加密密钥不同的加密密钥可为除该第三终端之外的其余终端的加密密钥,比如,可为任一第二终端的加密密钥,也可为其它未被分配、未被使用的特殊加密密钥。
下面举一具体例子对上述内容进行详细介绍:
第一用户组的标识为003,该第一用户组包括四个终端,分别为终端A、终端B、终端C、终端D。
场景一
终端A作为第一终端,终端A需要将一条原始消息共享给该第一用户组内所有其它终端,即终端A需要将原始消息共享给终端B、终端C和终端D,终端B、终端C和终端D作为多个第二终端。终端A使用网络设备的加密密钥对原始消息进行加密,得到第一消息,并发送第一消息给网络设备,第一消息中包括第一用户组标识003,网络设备接收到该第一消息,使用网络设备解密密钥对第一消息进行解密,并获取原始消息。网络设备确定出第一用户组标识003对应的其它终端B、终端C和终端D的标识,以及终端B的加密密钥、终端C的加密密钥、终端D的加密密钥。网络设备使用终端B的加密密钥对原始消息进行加密之后得到第二消息B,并将该第二消息B发送给终端B,终端B使用终端B的解密密钥对接收到的第二消息B进行解密,终端B得到原始消息;网络设备使用终端C的加密密钥对原始消息进行加密之后得到第二消息C,并将该第二消息C发送给终端C,终端C使用终端C的解密密钥对接收到的第二消息C进行解密,终端C得到原始消息;网络设备使用终端D的加密密钥对原始消息进行加密之后得到第二消息D,并将该第二消息D发送给终端D,终端D使用终端D的解密密钥对接收到的第二消息D进行解密,终端D得到原始消息。
场景二
终端A作为第一终端,终端A需要将一条原始消息共享给该第一用户组内的第二终端终端B和第二终端终端C。终端A使用网络设备的加密密钥对原始消息进行加密,得到第一消息,并发送第一消息给网络设备,第一消息中包括第一用户组标识003,以及终端B的标识和终端C的标识。网络设备接收到该第一消息,使用网络设备解密密钥对第一消息进行解密,并获取原始消息。网络设备确定出第一用户组标识003,并从第一用户组标识003对应的第一用户组中确定终端B和终端C,以及终端B的加密密钥、终端C的加密密钥,终端B和终端C为第二终端。网络设备使用终端B的加密密钥对原始消息进行加密之后得到第二消息B,并将第二消息B发送给终端B,终端B使用终端B的解密密钥对接收到的第二消息B进行解密,终端B得到原始消息;网络设备使用终端C的加密密钥对原始消息进行加密之后得到第二消息C,并将第二消息C发送给终端C,终端C使用终端C的解密密钥对接收到的第二消息C进行解密,终端C得到原始消息;网络设备不对终端D发送任何消息。
场景三
终端A作为第一终端,终端A需要将一条原始消息共享给该第一用户组内的第二终端终端B和第二终端终端C。终端A使用网络设备的加密密钥对原始消息进行加密,得到第一消息,并发送第一消息给网络设备,第一消息中包括第一用户组标识003,以及终端B的标识和终端C的标识。网络设备接收到该第一消息,使用网络设备解密密钥对第一消息进行解密,并获取原始消息。网络设备确定出第一用户组标识003,并从第一用户组标识003对应的第一用户组中确定终端B和终端C,以及终端B的加密密钥、终端C的加密密钥,终端B和终端C为第二终端。网络设备使用终端B的加密密钥对原始消息进行加密之后得到第二消息B,并将第二消息B发送给终端B,终端B使用终端B的解密密钥对接收到的第二消息B进行解密,终端B得到原始消息;网络设备使用终端C的加密密钥对原始消息进行加密之后得到第二消息C,并将第二消息C发送给终端C,终端C使用终端C的解密密钥对接收到的第二消息C进行解密,终端C得到原始消息。
网络设备进一步从第一用户组标识003对应第一用户组中确定出除终端A和终端B、终端C之外的终端D,终端D为第三终端,网络设备获取终端D的加密密钥,并使用与终端D的加密密钥不同的加密密钥对原始消息进行加密之后得到第三消息,并将该第三消息发送给终端D,终端D使用解密密钥对接收到的第三消息进行解密时,终端D无法正确解密出原始消息,从而使得终端终端D虽然也接收到了一条消息,但是无法解析出该消息的内容,最终实现只将信息呈现给终端终端B和终端终端C。
从上述内容可以看出:网络设备可使用网络设备的解密密钥对第一消息解密得出原始消息,之后网络设备从第一终端所属的第一用户组中确定N个第二终端,以及每个第二终端的加密密钥,并使用每个第二终端的加密密钥对原始消息进行加密,并分别发送给每个第二终端,进而可使每个第二终端使用该第二终端的解密密钥对接收到的信息进行解密,由于该第一用户组中存在至少两个第二终端分别对应的加密密钥不同,即该第一用户组中存在至少两个第二终端分别对应的解密密钥不同。因此,即使一个第二终端泄露了该第二终端的解密密钥,仿冒者也无法基于泄露的解密其它终端的信息,提高了信息传输安全性。
图3示例性示出了一种网络设备结构示意图。
基于相同构思,本发明实施例提供一种网络设备结构示意图,用于执行上述流程,如图3所示,网络设备包括接收单元401、解密单元402、确定单元403、处理单元404、发送单元405:
接收单元401,用于接收第一终端发送的第一消息,第一消息是第一终端使用网络设备的加密密钥对原始消息进行加密之后得到的;
解密单元402,用于使用网络设备的解密密钥对第一消息进行解密,得到原始消息;
确定单元403,用于确定待接收第一消息的N个第二终端;第一终端和N个第二终端属于第一用户组,且N个第二终端中的至少两个第二终端分别对应的加密密钥不同;N大于或等于2;
处理单元404,用于获取N个第二终端在第一用户组中分别对应的N个加密密钥,使用获取的N个加密密钥分别对原始消息进行加密,得到N个第二消息;
发送单元405,用于将N个第二消息分别发送给对应的N个第二终端。
优选地,确定单元403在确定待接收所述第一消息的N个第二终端时,具体用于:
根据第一消息中携带的第一终端所属的第一用户组的标识,确定出第一终端所属的第一用户组;
将确定出的第一用户组包括的所有终端中除第一终端之外的其它终端,确定为待接收第一终端发送的第一消息的N个第二终端。
优选地,确定单元403在确定待接收所述第一消息的N个第二终端时,具体用于:
根据第一消息中携带的第一终端所属的第一用户组的标识,确定出第一终端所属的第一用户组;
根据第一消息中携带的待接收第一消息的N个终端标识,从确定的第一用户组中确定与N个终端标识分别对应的N个第二终端。
优选地,确定单元403,还用于:
确定第一用户组中的第三终端;第三终端为第一用户组中除第一终端和N个第二终端之外的其它终端;
处理单元404,还用于:
使用与第三终端对应的加密密钥不同的加密密钥,对得到的原始消息进行加密,得到第三消息;
发送单元405,还用于:
将第三消息发送给第三终端。
优选地,处理单元404在获取所述N个第二终端在所述第一用户组中分别对应的N个加密密钥时,具体用于:
根据每个第二终端的标识,生成每个第二终端在第一用户组中分别对应的加密密钥;
根据每个第二终端的标识,生成每个第二终端分别对应的解密密钥;
发送单元405,还用于:
将生成的解密密钥分别发送给对应的第二终端。
优选地,处理单元404,还用于:
在所述接收单元接收第一终端发送的第一消息之前,获取网络设备的加密密钥和网络设备的解密密钥;
发送单元405,还用于:
向第一终端发送网络设备的加密密钥,用于第一终端对原始消息进行加密得到第一消息。
优选地,第一用户组包括第四终端,第四终端还属于第二用户组,第四终端在第一用户组中的加密密钥和第四终端在第二用户组中的加密密钥相同;
其中,第四终端为第一用户组包括的所有终端中的任一终端。
从上述内容可以看出:网络设备可使用网络设备的解密密钥对第一消息解密得出原始消息,之后网络设备从第一终端所属的第一用户组中确定N个第二终端,以及每个第二终端的加密密钥,并使用每个第二终端的加密密钥对原始消息进行加密,并分别发送给每个第二终端,进而可使每个第二终端使用该第二终端的解密密钥对接收到的信息进行解密,由于该第一用户组中存在至少两个第二终端分别对应的加密密钥不同,即该第一用户组中存在至少两个第二终端分别对应的解密密钥不同。因此,即使一个第二终端泄露了该第二终端的解密密钥,仿冒者也无法基于泄露的解密其它终端的信息,提高了信息传输安全性。
图4示例性示出了另一种网络设备结构示意图。
基于相同构思,本发明实施例提供另一种网络设备结构示意图,用于执行上述方法流程,如图4所示,包括:
接收机501,用于在处理器504的控制下接收第一终端发送的第一消息,第一消息是第一终端使用网络设备的加密密钥对原始消息进行加密之后得到的;
处理器504,用于使用网络设备的解密密钥对第一消息进行解密,得到原始消息,确定待接收第一消息的N个第二终端,获取N个第二终端在第一用户组中分别对应的N个加密密钥,使用获取的N个加密密钥分别对原始消息进行加密,得到N个第二消息;第一终端和N个第二终端属于第一用户组,且N个第二终端中的至少两个第二终端分别对应的加密密钥不同;N大于或等于2;
发送机506,用于在处理器504的控制下将N个第二消息分别发送给对应的N个第二终端;
存储器505,用于存储信息和数据。
优选地,处理器504在确定待接收所述第一消息的N个第二终端时,具体用于:
根据第一消息中携带的第一终端所属的第一用户组的标识,确定出第一终端所属的第一用户组;
将确定出的第一用户组包括的所有终端中除第一终端之外的其它终端,确定为待接收第一终端发送的第一消息的N个第二终端。
优选地,处理器504在确定待接收所述第一消息的N个第二终端时,具体用于:
根据第一消息中携带的第一终端所属的第一用户组的标识,确定出第一终端所属的第一用户组;
根据第一消息中携带的待接收第一消息的N个终端标识,从确定的第一用户组中确定与N个终端标识分别对应的N个第二终端。
优选地,处理器504,还用于:
确定第一用户组中的第三终端;第三终端为第一用户组中除第一终端和N个第二终端之外的其它终端;
使用与第三终端对应的加密密钥不同的加密密钥,对得到的原始消息进行加密,得到第三消息;
所述发送机506,还用于:
将第三消息发送给第三终端。
优选地,处理器504在获取所述N个第二终端在所述第一用户组中分别对应的N个加密密钥时,具体用于:
根据每个第二终端的标识,生成每个第二终端在第一用户组中分别对应的加密密钥;
根据每个第二终端的标识,生成每个第二终端分别对应的解密密钥;
所述发送机506,还用于:
将生成的解密密钥分别发送给对应的第二终端。
优选地,处理器504,还用于:
在所述接收机接收第一终端发送的第一消息之前,获取网络设备的加密密钥和网络设备的解密密钥;
发送机506,还用于:
向第一终端发送网络设备的加密密钥,用于第一终端对原始消息进行加密得到第一消息。
优选地,第一用户组包括第四终端,第四终端还属于第二用户组,第四终端在第一用户组中的加密密钥和第四终端在第二用户组中的加密密钥相同;
其中,第四终端为第一用户组包括的所有终端中的任一终端。
在图4中,总线架构(用总线500来代表),总线500可以包括任意数量的互联的总线和桥,总线500将包括由处理器504代表的一个或多个处理器和存储器505代表的存储器的各种电路链接在一起。总线500还可以将诸如***设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口503在总线500和接收机501和发送机506之间提供接口。接收机501和发送机506可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。经处理器504处理的数据通过天线502在无线介质上进行传输,进一步,天线502还接收数据并将数据传送给处理器504。
处理器504负责管理总线500和通常的处理,还可以提供各种功能,包括定时,***接口,电压调节、电源管理以及其他控制功能。而存储器505可以被用于存储处理器504在执行操作时所使用的数据。
可选的,处理器504可以是CPU(中央处埋器)、ASIC(Application SpecificIntegrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或CPLD(Complex Programmable Logic Device,复杂可编程逻辑器件)。
从上述内容可以看出:网络设备可使用网络设备的解密密钥对第一消息解密得出原始消息,之后网络设备从第一终端所属的第一用户组中确定N个第二终端,以及每个第二终端的加密密钥,并使用每个第二终端的加密密钥对原始消息进行加密,并分别发送给每个第二终端,进而可使每个第二终端使用该第二终端的解密密钥对接收到的信息进行解密,由于该第一用户组中存在至少两个第二终端分别对应的加密密钥不同,即该第一用户组中存在至少两个第二终端分别对应的解密密钥不同。因此,即使一个第二终端泄露了该第二终端的解密密钥,仿冒者也无法基于泄露的解密其它终端的信息,提高了信息传输安全性。
本领域内的技术人员应明白,本发明的实施例可提供为方法、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (21)
1.一种消息传输方法,其特征在于,包括:
网络设备接收第一终端发送的第一消息,所述第一消息是所述第一终端使用所述网络设备的加密密钥对原始消息进行加密之后得到的;
所述网络设备使用所述网络设备的解密密钥对所述第一消息进行解密,得到所述原始消息;
所述网络设备确定待接收所述第一消息的N个第二终端,所述第一终端和所述N个第二终端属于第一用户组,且所述N个第二终端中的至少两个所述第二终端分别对应的加密密钥不同;
所述网络设备获取所述N个第二终端在所述第一用户组中分别对应的N个加密密钥;
所述网络设备使用获取的所述N个加密密钥分别对所述原始消息进行加密,得到N个第二消息;
所述网络设备将所述N个第二消息分别发送给对应的所述N个第二终端;
所述N大于或等于2。
2.如权利要求1所述的方法,其特征在于,所述网络设备确定待接收所述第一消息的N个第二终端,具体包括:
所述网络设备根据所述第一消息中携带的所述第一终端所属的所述第一用户组的标识,确定出所述第一终端所属的所述第一用户组;
所述网络设备将确定出的所述第一用户组包括的所有终端中除所述第一终端之外的其它终端,确定为待接收所述第一终端发送的所述第一消息的所述N个第二终端。
3.如权利要求1所述的方法,其特征在于,所述网络设备确定待接收所述第一消息的N个第二终端,具体包括:
所述网络设备根据所述第一消息中携带的所述第一终端所属的所述第一用户组的标识,确定出所述第一终端所属的所述第一用户组;
所述网络设备根据所述第一消息中携带的待接收所述第一消息的N个终端标识,从确定的所述第一用户组中确定与所述N个终端标识分别对应的所述N个第二终端。
4.如权利要求3所述的方法,其特征在于,还包括:
所述网络设备确定所述第一用户组中的第三终端;所述第三终端为所述第一用户组中除所述第一终端和所述N个第二终端之外的其它终端;所述网络设备使用与所述第三终端对应的加密密钥不同的加密密钥,对得到的所述原始消息进行加密,得到第三消息,并将所述第三消息发送给所述第三终端。
5.如权利要求1至4任一权利要求所述的方法,其特征在于,所述网络设备获取所述N个第二终端在所述第一用户组中分别对应的N个加密密钥,包括:
所述网络设备根据每个所述第二终端的标识,生成每个所述第二终端在所述第一用户组中分别对应的加密密钥;
所述网络设备将所述N个第二消息分别发送给对应的所述N个第二终端之前,还包括:
所述网络设备根据每个所述第二终端的标识,生成每个所述第二终端分别对应的解密密钥,并
将生成的所述解密密钥分别发送给对应的所述第二终端。
6.如权利要求1至5任一权利要求所述的方法,其特征在于,所述网络设备接收第一终端发送的第一消息之前,还包括:
所述网络设备获取所述网络设备的加密密钥和所述网络设备的解密密钥;
所述网络设备向所述第一终端发送所述网络设备的加密密钥,用于所述第一终端对所述原始消息进行加密得到所述第一消息。
7.如权利要求1至6任一权利要求所述的方法,其特征在于,所述第一用户组包括第四终端,所述第四终端还属于第二用户组,所述第四终端在所述第一用户组中的加密密钥和所述第四终端在所述第二用户组中的加密密钥相同;
其中,所述第四终端为所述第一用户组包括的所有终端中的任一终端。
8.一种网络设备,其特征在于,包括:
接收单元,用于接收第一终端发送的第一消息,所述第一消息是所述第一终端使用所述网络设备的加密密钥对原始消息进行加密之后得到的;
解密单元,用于使用所述网络设备的解密密钥对所述第一消息进行解密,得到所述原始消息;
确定单元,用于确定待接收所述第一消息的N个第二终端;所述第一终端和所述N个第二终端属于所述第一用户组,且所述N个第二终端中的至少两个所述第二终端分别对应的加密密钥不同;所述N大于或等于2;
处理单元,用于获取所述N个第二终端在第一用户组中分别对应的N个加密密钥,使用获取的所述N个加密密钥分别对所述原始消息进行加密,得到N个第二消息;
发送单元,用于将所述N个第二消息分别发送给对应的所述N个第二终端。
9.如权利要求8所述的网络设备,其特征在于,所述确定单元在确定待接收所述第一消息的N个第二终端时,具体用于:
根据所述第一消息中携带的所述第一终端所属的所述第一用户组的标识,确定出所述第一终端所属的所述第一用户组;
将确定出的所述第一用户组包括的所有终端中除所述第一终端之外的其它终端,确定为待接收所述第一终端发送的所述第一消息的所述N个第二终端。
10.如权利要求8所述的网络设备,其特征在于,所述确定单元在确定待接收所述第一消息的N个第二终端时,具体用于:
根据所述第一消息中携带的所述第一终端所属的所述第一用户组的标识,确定出所述第一终端所属的所述第一用户组;
根据所述第一消息中携带的待接收所述第一消息的N个终端标识,从确定的所述第一用户组中确定与所述N个终端标识分别对应的所述N个第二终端。
11.如权利要求10所述的网络设备,其特征在于,所述确定单元,还用于:
确定所述第一用户组中的第三终端;所述第三终端为所述第一用户组中除所述第一终端和所述N个第二终端之外的其它终端;
所述处理单元,还用于:使用与所述第三终端对应的加密密钥不同的加密密钥,对得到的所述原始消息进行加密,得到第三消息;
所述发送单元,还用于:将所述第三消息发送给所述第三终端。
12.如权利要求8至11任一权利要求所述的网络设备,其特征在于,
所述处理单元在获取所述N个第二终端在所述第一用户组中分别对应的N个加密密钥时,具体用于:根据每个所述第二终端的标识,生成每个所述第二终端在所述第一用户组中分别对应的加密密钥;根据每个所述第二终端的标识,生成每个所述第二终端分别对应的解密密钥;
所述发送单元,还用于:将生成的所述解密密钥分别发送给对应的所述第二终端。
13.如权利要求8至12任一权利要求所述的网络设备,其特征在于,
所述处理单元,还用于:在所述接收单元接收第一终端发送的第一消息之前,获取所述网络设备的加密密钥和所述网络设备的解密密钥;
所述发送单元,还用于:向所述第一终端发送所述网络设备的加密密钥,用于所述第一终端对所述原始消息进行加密得到所述第一消息。
14.如权利要求8至13任一权利要求所述的网络设备,其特征在于,所述第一用户组包括第四终端,所述第四终端还属于第二用户组,所述第四终端在所述第一用户组中的加密密钥和所述第四终端在所述第二用户组中的加密密钥相同;
其中,所述第四终端为所述第一用户组包括的所有终端中的任一终端。
15.一种网络设备,其特征在于,包括:
接收机,用于接收第一终端发送的第一消息,所述第一消息是所述第一终端使用所述网络设备的加密密钥对原始消息进行加密之后得到的;
处理器,用于使用所述网络设备的解密密钥对所述第一消息进行解密,得到所述原始消息,确定待接收所述第一消息的N个第二终端,获取所述N个第二终端在第一用户组中分别对应的N个加密密钥,使用获取的所述N个加密密钥分别对所述原始消息进行加密,得到N个第二消息;所述第一终端和所述N个第二终端属于所述第一用户组,且所述N个第二终端中的至少两个所述第二终端分别对应的加密密钥不同;所述N大于或等于2;
发送机,用于将所述N个第二消息分别发送给对应的所述N个第二终端。
16.如权利要求15所述的网络设备,其特征在于,所述处理器在确定待接收所述第一消息的N个第二终端时,具体用于:
根据所述第一消息中携带的所述第一终端所属的所述第一用户组的标识,确定出所述第一终端所属的所述第一用户组;
将确定出的所述第一用户组包括的所有终端中除所述第一终端之外的其它终端,确定为待接收所述第一终端发送的所述第一消息的所述N个第二终端。
17.如权利要求15所述的网络设备,其特征在于,所述处理器在确定待接收所述第一消息的N个第二终端时,具体用于:
根据所述第一消息中携带的所述第一终端所属的所述第一用户组的标识,确定出所述第一终端所属的所述第一用户组;
根据所述第一消息中携带的待接收所述第一消息的N个终端标识,从确定的所述第一用户组中确定与所述N个终端标识分别对应的所述N个第二终端。
18.如权利要求17所述的网络设备,其特征在于,
所述处理器,还用于:确定所述第一用户组中的第三终端;所述第三终端为所述第一用户组中除所述第一终端和所述N个第二终端之外的其它终端;使用与所述第三终端对应的加密密钥不同的加密密钥,对得到的所述原始消息进行加密,得到第三消息;
所述发送机,还用于:将所述第三消息发送给所述第三终端。
19.如权利要求15至18任一权利要求所述的网络设备,其特征在于,
所述处理器在获取所述N个第二终端在所述第一用户组中分别对应的N个加密密钥时,具体用于:根据每个所述第二终端的标识,生成每个所述第二终端在所述第一用户组中分别对应的加密密钥;根据每个所述第二终端的标识,生成每个所述第二终端分别对应的解密密钥;
所述发送机,还用于:将生成的所述解密密钥分别发送给对应的所述第二终端。
20.如权利要求15至19任一权利要求所述的网络设备,其特征在于,
所述处理器,还用于:在所述接收机接收第一终端发送的第一消息之前,获取所述网络设备的加密密钥和所述网络设备的解密密钥;
所述发送机,还用于:向所述第一终端发送所述网络设备的加密密钥,用于所述第一终端对所述原始消息进行加密得到所述第一消息。
21.如权利要求15至20任一权利要求所述的网络设备,其特征在于,所述第一用户组包括第四终端,所述第四终端还属于第二用户组,所述第四终端在所述第一用户组中的加密密钥和所述第四终端在所述第二用户组中的加密密钥相同;
其中,所述第四终端为所述第一用户组包括的所有终端中的任一终端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510543931.0A CN106487761B (zh) | 2015-08-28 | 2015-08-28 | 一种消息传输方法和网络设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510543931.0A CN106487761B (zh) | 2015-08-28 | 2015-08-28 | 一种消息传输方法和网络设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106487761A true CN106487761A (zh) | 2017-03-08 |
| CN106487761B CN106487761B (zh) | 2020-03-10 |
Family
ID=58235350
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510543931.0A Active CN106487761B (zh) | 2015-08-28 | 2015-08-28 | 一种消息传输方法和网络设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106487761B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109525612A (zh) * | 2019-01-15 | 2019-03-26 | 北京云中融信网络科技有限公司 | 多端消息加密传输方法及*** |
| CN110198523A (zh) * | 2019-07-18 | 2019-09-03 | 中国联合网络通信集团有限公司 | 群组中消息加密密钥的分发方法及*** |
| CN112235331A (zh) * | 2019-07-15 | 2021-01-15 | ***通信有限公司研究院 | 一种数据传输处理方法及设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001033361A1 (en) * | 1999-11-01 | 2001-05-10 | Mangosoft Corporation | Internet-based shared file service with native pc client access and semantics |
| CN1596521A (zh) * | 2001-11-30 | 2005-03-16 | 国际商业机器公司 | 基于秘密和/或个人信息的信息内容分发 |
| US6978367B1 (en) * | 1999-10-21 | 2005-12-20 | International Business Machines Corporation | Selective data encryption using style sheet processing for decryption by a client proxy |
| CN101022333A (zh) * | 2007-02-01 | 2007-08-22 | 华为技术有限公司 | 组密钥控制报文的分发***、方法和装置 |
| CN101938481A (zh) * | 2010-09-06 | 2011-01-05 | 华南理工大学 | 基于数字证书的文件加密和分发方法 |
| CN102420821A (zh) * | 2011-11-28 | 2012-04-18 | 飞天诚信科技股份有限公司 | 一种提高文件传输安全性的方法和*** |
| CN104168320A (zh) * | 2014-08-19 | 2014-11-26 | 三星电子(中国)研发中心 | 一种用户数据分享的方法和*** |
-
2015
- 2015-08-28 CN CN201510543931.0A patent/CN106487761B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6978367B1 (en) * | 1999-10-21 | 2005-12-20 | International Business Machines Corporation | Selective data encryption using style sheet processing for decryption by a client proxy |
| WO2001033361A1 (en) * | 1999-11-01 | 2001-05-10 | Mangosoft Corporation | Internet-based shared file service with native pc client access and semantics |
| CN1596521A (zh) * | 2001-11-30 | 2005-03-16 | 国际商业机器公司 | 基于秘密和/或个人信息的信息内容分发 |
| CN101022333A (zh) * | 2007-02-01 | 2007-08-22 | 华为技术有限公司 | 组密钥控制报文的分发***、方法和装置 |
| CN101938481A (zh) * | 2010-09-06 | 2011-01-05 | 华南理工大学 | 基于数字证书的文件加密和分发方法 |
| CN102420821A (zh) * | 2011-11-28 | 2012-04-18 | 飞天诚信科技股份有限公司 | 一种提高文件传输安全性的方法和*** |
| CN104168320A (zh) * | 2014-08-19 | 2014-11-26 | 三星电子(中国)研发中心 | 一种用户数据分享的方法和*** |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109525612A (zh) * | 2019-01-15 | 2019-03-26 | 北京云中融信网络科技有限公司 | 多端消息加密传输方法及*** |
| CN109525612B (zh) * | 2019-01-15 | 2021-06-04 | 北京云中融信网络科技有限公司 | 多端消息加密传输方法及*** |
| CN112235331A (zh) * | 2019-07-15 | 2021-01-15 | ***通信有限公司研究院 | 一种数据传输处理方法及设备 |
| CN112235331B (zh) * | 2019-07-15 | 2023-05-09 | ***通信有限公司研究院 | 一种数据传输处理方法及设备 |
| CN110198523A (zh) * | 2019-07-18 | 2019-09-03 | 中国联合网络通信集团有限公司 | 群组中消息加密密钥的分发方法及*** |
| CN110198523B (zh) * | 2019-07-18 | 2022-04-15 | 中国联合网络通信集团有限公司 | 群组中消息加密密钥的分发方法及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106487761B (zh) | 2020-03-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105684344B (zh) | 一种密钥配置方法和装置 | |
| CN106788977A (zh) | 低功耗蓝牙设备通讯加密方法及*** | |
| CN103391541B (zh) | 无线设备的配置方法及装置、*** | |
| CN105530241B (zh) | 移动智能终端与pos终端的认证方法 | |
| CN108599925A (zh) | 一种基于量子通信网络的改进型aka身份认证***和方法 | |
| CN103986583A (zh) | 一种动态加密方法及其加密通信*** | |
| CN103986723B (zh) | 一种保密通信控制、保密通信方法及装置 | |
| CN103458400A (zh) | 一种语音加密通信***中的密钥管理方法 | |
| CN108989309A (zh) | 基于窄带物联网的加密通信方法及其加密通信装置 | |
| CN102420642B (zh) | 蓝牙设备及其通信方法 | |
| CN104901803A (zh) | 一种基于cpk标识认证技术的数据交互安全保护方法 | |
| CN109600725A (zh) | 一种基于sm9算法的短信加密方法 | |
| CN103297230B (zh) | 信息加解密方法、装置及*** | |
| CN105306212B (zh) | 一种身份隐藏且强安全的签密方法 | |
| CN112087302A (zh) | 一种非对称动态令牌加、解密算法的装置 | |
| CN105099671B (zh) | 一种身份隐藏且非延展安全的认证密钥协商方法 | |
| CN107249002B (zh) | 一种提高智能电能表安全性的方法、***及装置 | |
| CN103458401B (zh) | 一种语音加密通信***及通信方法 | |
| CN106487761A (zh) | 一种消息传输方法和网络设备 | |
| CN106161224A (zh) | 数据交换方法、装置及设备 | |
| CN105162592B (zh) | 一种认证可穿戴设备的方法及*** | |
| CN104065669B (zh) | 一种空间网络加密方法 | |
| CN101515853B (zh) | 信息终端及其信息安全装置 | |
| CN103916851A (zh) | 一种安全认证的方法、设备及*** | |
| CN106899545B (zh) | 一种终端安全通信的***和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 523808 Southern Factory Building (Phase I) Project B2 Production Plant-5, New Town Avenue, Songshan Lake High-tech Industrial Development Zone, Dongguan City, Guangdong Province Applicant after: Huawei Device Co., Ltd. Address before: 523808 Southern Factory Building (Phase I) Project B2 Production Plant-5, New Town Avenue, Songshan Lake High-tech Industrial Development Zone, Dongguan City, Guangdong Province Applicant before: HUAWEI terminal (Dongguan) Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |