CN106788989B - 一种建立安全加密信道的方法及设备 - Google Patents
一种建立安全加密信道的方法及设备 Download PDFInfo
- Publication number
- CN106788989B CN106788989B CN201611086497.9A CN201611086497A CN106788989B CN 106788989 B CN106788989 B CN 106788989B CN 201611086497 A CN201611086497 A CN 201611086497A CN 106788989 B CN106788989 B CN 106788989B
- Authority
- CN
- China
- Prior art keywords
- key
- equipment
- communication channel
- communication
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0847—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving identity based encryption [IBE] schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种建立安全加密信道的方法及设备,以抵御中间人攻击,并降低CA认证的必要性,该方法为,第一设备与第二设备建立第一通信通道;第一设备生成第一密钥和第一标识,第一标识和第一密钥唯一对应;将所述第一密钥拆分为N个部分;将所述第一密钥的X个部分和所述第一标识通过所述第一通信通道发送至第二设备,并将所述第一标识和所述第一密钥的剩余部分通过其他通信通道发送至第二设备,X为小于N的正整数,这样,能够有效避免中间人攻击的问题,大幅提升密钥传输的安全性,而且降低了CA认证的必要性,避免CA认证的繁琐操作。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种建立安全加密信道的方法及设备。
背景技术
目前,利用用户终端操作网上银行、进行电商交易、富媒体(Rich CommunicationSuit,RCS)通讯等场景越来越普遍,公共场所的Wi-Fi网络可能是恶意的,而恶意Wi-Fi网络对网络消息的监听和拦截将非常容易,即使安全Wi-Fi网络或运营商数据网络也存在网络消息被监听、拦截的可能。
例如,某用户登录某电商网站进行网上购物,完成交易的过程中,需要用户输入支付账号、密码等敏感信息,从用户操作的终端,到电商网站服务器或支付服务器间的网络是不可靠的,有可能被黑客监听、拦截,因而泄露账号、密码等信息,导致用户的经济损失。因此,用户终端与服务器之间需要协商得到一个用于加密的秘钥,对通信内容进行加密,目前在实际应用中,存在两种建立安全加密信道的方案,一种方案是采用密钥交换算法得到双方通信的密钥,用于对通信内容加密,这种密钥交换方案无法解决中间人攻击的问题,无法保证通信的安全性;另一种方案是采用公私钥及证书得到双方通信的密钥,用于对通信内容加密,这种方案中,通信的一方需要向权威的证书颁发中心(Certificate Authority,CA)申请证书,这需要支付一定费用,通常证书有一定有效期,需要定期更换,证书更新麻烦。
鉴于上述问题,亟需一种新的建立安全加密信道的方案,既能够抵御中间人攻击,还能够降低CA认证的必要性,以减少费用避免繁琐的问题。
发明内容
本申请实施例提供一种建立安全加密信道的方法及设备,以抵御中间人攻击,并降低CA认证的必要性。
本申请实施例提供的具体技术方案如下:
第一方面,本申请实施例提供一种建立安全加密信道的方法,包括:
第一设备与第二设备建立第一通信通道;
所述第一设备生成第一密钥和第一标识,所述第一标识和所述第一密钥唯一对应;
所述第一设备将所述第一密钥拆分为N个部分,N为大于等于2的正整数;
所述第一设备将所述第一密钥的X个部分和所述第一标识通过所述第一通信通道发送至第二设备,并将所述第一标识和所述第一密钥的剩余部分通过其他通信通道发送至第二设备,X为小于N的正整数。
这样,由于第一设备与第二设备之间建立安全加密信道使用的第一密钥的各个部分可以通过至少两个通信通道进行传输,此时中间人攻击时需要同时监听所有的通信通道,难度大大增加,从而能够有效避免中间人攻击的问题,大幅提升密钥传输的安全性,而且降低了CA认证的必要性,避免CA认证的繁琐操作。
结合第一方面,一种可能的设计中,所述第一设备将所述第一密钥的X个部分和所述第一标识通过所述第一通信通道发送至第二设备,并将所述第一标识和所述第一密钥的剩余部分通过其他通信通道发送至第二设备,包括:
在N为2时,所述第一设备将所述第一密钥的第一部分和所述第一标识通过所述第一通信通道发送至第二设备,并将所述第一标识和所述第一密钥的第二部分通过第二通信通道发送至第二设备,所述第二通信通道与所述第一通信通道不同。
这种设计中,将第一密钥通过2个通信通道传输,此时中间人攻击时需要同时监听该2个通信通道,难度大大增加,使得攻击人可能只掌握部分的通信密钥,从而能够有效避免中间人攻击的问题,同时降低CA认证的必要,更重要的是这种设计方式的实施难度较低,便于推广。
结合第一方面,一种可能的设计中,所述第一设备生成第一密钥包括:
所述第一设备选择第一私钥,利用与所述第二设备协商确定的密钥交换算法对所述第一私钥与所述密钥交换算法的公开内容进行运算得到所述第一密钥。
结合第一方面,一种可能的设计中,所述第一设备将所述第一密钥的第一部分和所述第一标识通过所述第一通信通道发送至第二设备,并将所述第一标识和所述第一密钥的第二部分通过第二通信通道发送至第二设备之后,还包括:
所述第一设备接收所述第二设备发送的第二密钥,所述第二密钥为所述第二设备基于自身选择的第二私钥,利用与所述第一设备协商确定的所述密钥交换算法对所述第二私钥与所述密钥交换算法的公开内容进行运算得到的;
所述第一设备利用所述第一私钥和所述第二密钥运算得到目标密钥;
所述第一设备利用所述目标密钥对发送至所述第二设备的通信内容进行加密。
结合第一方面,一种可能的设计中,所述第一设备将所述第一密钥的第一部分和所述第一标识通过所述第一通信通道发送至第二设备,并将所述第一标识和所述第一密钥的第二部分通过第二通信通道发送至第二设备之前,还包括:
所述第一设备在所述第二设备获取到包括第一公钥、第一私钥的证书后,下载得到所述第一公钥。
结合第一方面,一种可能的设计中,所述第一设备将所述第一密钥的第一部分和所述第一标识通过所述第一通信通道发送至第二设备,并将所述第一标识和所述第一密钥的第二部分通过第二通信通道发送至第二设备,包括:
所述第一设备将所述第一密钥的第一部分和第二部分利用所述第一公钥加密;
所述第一设备将加密后的第一部分和所述第一标识通过所述第一通信通道发送至第二设备,并将所述第一标识和加密后的第二部分通过第二通信通道发送至第二设备。
结合第一方面,一种可能的设计中,所述第一设备将所述第一密钥的第一部分和所述第一标识通过所述第一通信通道发送至第二设备,并将所述第一标识和所述第一密钥的第二部分通过第二通信通道发送至第二设备之后,还包括:
所述第一设备利用所述第一密钥对发送至所述第二设备的通信内容进行加密。
第二方面,本申请实施例一种建立安全加密信道的方法,包括:
第二设备接收第一设备通过不同通信通道发送的部分密钥和对应的唯一标识;
所述第二设备将唯一标识相同的部分密钥拼接成第一密钥;
所述第二设备基于所述第一密钥对通信内容进行加密。
这样,第二设备能够基于部分密钥传输时各自对应的唯一标识,将各部分密钥拼接成完整的第一密钥,保证传输的第一密钥的完整性,从而利用第一密钥实现安全加密,抵御中间人攻击。
结合第二方面,一种可能的设计中,所述第二设备基于所述第一密钥对通信内容进行加密,包括:
所述第二设备基于自身选择的私钥和所述第一密钥运算得到目标密钥;
所述第二设备利用所述目标密钥对发送至所述第一设备的通信内容进行加密。
结合第二方面,一种可能的设计中,所述第二设备将唯一标识相同的部分密钥拼接成第一密钥,包括:
所述第二设备将唯一标识相同的部分密钥利用所述第二设备本地存储的私钥解密后,将所述部分密钥拼接成第一密钥。
结合第二方面,一种可能的设计中,所述第二设备基于所述第一密钥对通信内容进行加密,包括:
所述第二设备利用所述第一密钥对发送至所述第一设备的通信内容进行加密。
第三方面,本申请实施例提供一种建立安全加密信道的设备,包括:
处理单元,用于与对端设备建立第一通信通道;生成第一密钥和第一标识,所述第一标识和所述第一密钥唯一对应;将所述第一密钥拆分为N个部分,N为大于等于2的正整数;
通信单元,用于将所述第一密钥的X个部分和所述第一标识通过所述第一通信通道发送至对端设备,并将所述第一标识和所述第一密钥的剩余部分通过其他通信通道发送至对端设备,X为小于N的正整数。
结合第三方面,一种可能的设计中,所述通信单元具体用于:
在N为2时,将所述第一密钥的第一部分和所述第一标识通过所述第一通信通道发送至对端设备,并将所述第一标识和所述第一密钥的第二部分通过第二通信通道发送至对端设备,所述第二通信通道与所述第一通信通道不同。
结合第三方面,一种可能的设计中,所述处理单元具体用于:
选择第一私钥,利用与所述对端设备协商确定的密钥交换算法对所述第一私钥与所述密钥交换算法的公开内容进行运算得到所述第一密钥。
结合第三方面,一种可能的设计中,所述通信单元将所述第一密钥的第一部分和所述第一标识通过所述第一通信通道发送至对端设备,并将所述第一标识和所述第一密钥的第二部分通过第二通信通道发送至对端设备之后,还用于:
接收所述对端设备发送的第二密钥,所述第二密钥为所述对端设备基于自身选择的第二私钥,利用与所述第一设备协商确定的所述密钥交换算法对所述第二私钥与所述密钥交换算法的公开内容进行运算得到的;
所述处理单元,还用于利用所述第一私钥和所述第二密钥运算得到目标密钥;利用所述目标密钥对发送至所述对端设备的通信内容进行加密。
结合第三方面,一种可能的设计中,所述通信单元将所述第一密钥的第一部分和所述第一标识通过所述第一通信通道发送至对端设备,并将所述第一标识和所述第一密钥的第二部分通过第二通信通道发送至对端设备之前,还用于:
在所述对端设备获取到包括第一公钥、第一私钥的证书后,下载得到所述第一公钥。
结合第三方面,一种可能的设计中,所述通信单元具体用于:
将所述第一密钥的第一部分和第二部分利用所述第一公钥加密;
将加密后的第一部分和所述第一标识通过所述第一通信通道发送至对端设备,并将所述第一标识和加密后的第二部分通过第二通信通道发送至对端设备。
结合第三方面,一种可能的设计中,所述处理单元还用于:
在所述通信单元将所述第一密钥的第一部分和所述第一标识通过所述第一通信通道发送至对端设备,并将所述第一标识和所述第一密钥的第二部分通过第二通信通道发送至对端设备之后,利用所述第一密钥对发送至所述对端设备的通信内容进行加密。
基于同一发明构思,由于该设备解决问题的原理以及有益效果可以参见上述第一方面和第一方面的各可能的实施方式以及所带来的有益效果,因此该装置的实施可以参见方法的实施,重复之处不再赘述。
第四方面,本申请实施例提供一种建立安全加密信道的设备,包括:
通信单元,用于接收对端设备通过不同通信通道发送的部分密钥和对应的唯一标识;
处理单元,用于将唯一标识相同的部分密钥拼接成第一密钥;基于所述第一密钥对通信内容进行加密。
结合第四方面,一种可能的设计中,所述处理单元具体用于:
基于选择的私钥和所述第一密钥运算得到目标密钥;
利用所述目标密钥对发送至所述对端设备的通信内容进行加密。
结合第四方面,一种可能的设计中,所述处理单元具体用于:
将唯一标识相同的部分密钥利用所述第二设备本地存储的私钥解密后,将所述部分密钥拼接成第一密钥。
结合第四方面,一种可能的设计中,所述处理单元具体用于:
利用所述第一密钥对发送至所述对端设备的通信内容进行加密。
基于同一发明构思,由于该设备解决问题的原理以及有益效果可以参见上述第二方面和第二方面的各可能的实施方式以及所带来的有益效果,因此该装置的实施可以参见方法的实施,重复之处不再赘述。
第五方面,本申请实施例提供一种设备,包括:存储器,所述存储器中存储有程序指令;收发器;至少一个处理器,用于执行所述程序指令以实现:与对端设备建立第一通信通道;生成第一密钥和第一标识,所述第一标识和所述第一密钥唯一对应;将所述第一密钥拆分为N个部分,N为大于等于2的正整数;通过所述收发器将所述第一密钥的X个部分和所述第一标识通过所述第一通信通道发送至第二设备,并将所述第一标识和所述第一密钥的剩余部分通过其他通信通道发送至第二设备,X为小于N的正整数。所述处理器调用存储在所述存储器中的指令以实现上述第一方面的方法设计中的方案,由于该设备解决问题的实施方式以及有益效果可以参见上述第一方面和第一方面的各可能的方法的实施方式以及有益效果,因此该设备的实施可以参见上述方法的实施,重复之处不再赘述。
第六方面,本申请实施例提供一种设备,包括:存储器,所述存储器中存储有程序指令;收发器;至少一个处理器,用于执行所述程序指令以实现:通过所述收发器接收对端设备通过不同通信通道发送的部分密钥和对应的唯一标识;将唯一标识相同的部分密钥拼接成第一密钥;基于所述第一密钥对通信内容进行加密。所述处理器调用存储在所述存储器中的指令以实现上述第二方面的方法设计中的方案,由于该设备解决问题的实施方式以及有益效果可以参见上述第二方面和第二方面的各可能的方法的实施方式以及有益效果,因此该设备的实施可以参见上述方法的实施,重复之处不再赘述。
第七方面,本申请实施例提供一种计算机存储介质,所述存储介质为非易失性计算机可读存储介质,所述非易失性计算机可读存储介质存储有至少一个程序,每个所述程序包括上述第一方面方法设计方案所涉及所用的计算机软件指令,所述指令当被具有处理器、存储器和收发器的设备执行时使所述设备执行上述第一方面和第一方面的方法设计。
第八方面,本申请实施例提供一种计算机存储介质,所述存储介质为非易失性计算机可读存储介质,所述非易失性计算机可读存储介质存储有至少一个程序,每个所述程序包括上述第二方面方法设计方案所涉及所用的计算机软件指令,所述指令当被具有处理器、存储器和收发器的设备执行时使所述设备执行上述第二方面和第二方面的方法设计。
附图说明
图1为采用密钥交换算法建立加密通信的流程示意图;
图2为得到通信使用的密钥的过程示意图;
图3为采用公私钥及证书方法建立加密通信的流程示意图;
图4为本申请实施例中的建立安全加密信道的方法流程图;
图5为本申请实施例中一种应用场景下建立安全加密信道的方法流程图;
图6为本申请实施例中另一种应用场景下建立安全加密信道的方法流程图;
图7为本申请实施例中一种建立安全加密信道的设备结构图;
图8为本申请实施例中一种建立安全加密信道的设备结构图;
图9为本申请实施例中一种建立安全加密信道的设备结构图;
图10为本申请实施例中一种建立安全加密信道的设备结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
目前在实际应用中,存在两种建立安全加密信道的方案,
第一种密钥交换方案中A与B采用密钥交换算法建立加密通信的具体流程可参阅图1所示,具体包括以下步骤:
步骤10、A与B建立普通通信通道,例如建立传输控制协议(Transmission ControlProtocol,TCP)链接。
步骤11、A与B协商、交换公开内容,如交换算法,算法所需的公开内容。
步骤12、A选择私钥Xa,需要说明的是,Xa不需要在网上发送,仅保存在A本地。
步骤13、A用交换算法对公开内容与Xa进行运算,得到Ya,将Ya发送给B。
步骤14、B选择私钥Xb,需要说明的是,Xb不需要在网上发送,仅保存在B本地。
步骤15、B用交换算法对公开内容与Xb进行运算,得到Yb,将Yb发送给A。
步骤16、A以Xa、Yb作为参数,运算得到密钥(key)。
步骤17、B以Xb、Ya作为参数,运算得到密钥(key),交换算法可以保证A计算得到的key与B计算得到的key是相同的。
步骤18、A、B双方用key对通信内容进行加密。
针对上述过程,存在被监听、拦截的可能,例如第三方C可以冒充B与A通信,冒充A与B通信,得到通信使用的密钥,从而掌握A、B通信的全部内容,具体如图2所示。
步骤21、C与A协商得到key1。
步骤22、C与B协商得到key2
步骤23、C收到A发的消息时用key1解开得到明文,再用key2加密发给B。
步骤24、C收到B发的消息时用key2解开得到明文,在用key1加密发给A。
由此可知,第一种密钥交换方案无法解决中间人攻击的问题,无法保证通信的安全性。
第二种密钥交换方案中A与B采用公私钥及证书方法建立加密通信的具体流程可参阅图3所示,具体包括以下步骤:
步骤30、B提供自己的身份信息到证书颁发中心(Certificate Authority,CA)申请证书。
步骤31、CA验证B身份后,颁发证书,包含一对公钥、私钥、身份信息以及对B身份的数字签名。
步骤32、B将私钥保存在B本地,公钥、身份信息、签名可以公开下载、传输。
步骤33、A与B建立普通通信通道,例如建立TCP链接。
步骤34、A下载得到B的公钥,以及B的身份信息、签名。
步骤35、A通过签名到CA验证证书确实是CA颁发,如果A信任此CA,则A信任B。
步骤36、A生成随机秘钥key。
步骤37、A将生成的随机秘钥key用B的公钥加密后发送给B。
步骤38、B用私钥解密得到key.
步骤39、A、B加密后续通信内容
需要说明的是,1)上述交互过程仅为关键流程,实际协议还有一些补充细节,如安全套接层(Secure Sockets Layer,SSL)/安全传输层协议(Transport Layer Security,TLS),还有加密算法协商,A、B交换各自生成的随机数,用随机数+key生成实际用于加密通信内容的秘钥等;2)某些场景下,B也可以要求对A的身份进行认证,即A也提供数字证书;3)也可以不借助权威CA,通信一方或双方直接预置对方的公钥;4)也可以省略S35的身份认证过程;5)、证书身份认证也可与前面D-H等秘钥交换算法配合使用。
由此可知,向权威CA申请证书需要支付一定费用;通常证书有一定有效期,需要定期更换,证书/公钥更新麻烦;还需要通信对方信任CA;在预置对方证书或公钥时需要类似的数字签名手段证明软件未被攻击者篡改,存在证书/公钥传递麻烦的问题;若省略证书身份认时则无法避免中间人攻击。
鉴于上述两种建立安全加密信道的方案中存在的问题,本申请实施例提供一种新的建立安全加密信道的方法及设备,既能够抵御中间人攻击,还能够降低CA认证的必要性。其中,方法和装置是基于同一发明构思的,由于方法及装置解决问题的原理相似,因此装置与方法的实施可以相互参见,重复之处不再赘述。
参阅图4所示,本申请实施例提供的建立安全加密信道的方法流程图,具体包括的步骤如下:
步骤41:第一设备与第二设备建立第一通信通道。
实际应用中,第一设备通常为终端设备,第二设备通常为应用服务器,或者,第一设备与第二设备均为终端设备,可选的,第一通信通道为普通通信通道,如TCP链接的通信通道。
步骤42:第一设备生成第一密钥和第一标识,所述第一标识和所述第一密钥唯一对应。
值得一提的是,第一设备生成的第一秘钥一般是字符串形式,可选的,可以采用二进制字符串,八进制字符串或十六进制字符串表示,采用不同加密算法生成的第一密钥的长度不一。
第一设备生成的第一标识是全局唯一标识(Universally Unique Identifier,UUID),通常用数字表示,UUID能够保证对在同一时空中的任何一个第一设备来说都是唯一的。可选的,本申请实施例中的UUID按照开放软件基金会(OSF)制定的标准来计算生成,采用了以太网卡地址、纳秒级时间、芯片标识(ID)码和其他可能的数字。示例性的,UUID由以下几部分的组合:
(1)当前日期和时间,UUID的第一个部分与时间有关,如果第一设备在某一时刻生成一个UUID之后,过几秒之后又生成一个UUID,则第一个部分不同,其余相同。
(2)时钟序列。
(3)全局唯一的IEEE机器识别号,如果第一设备中安装有网卡,从网卡的(MAC)地址获得,如果没有网卡以其他方式获得。
需要说明的是,以上只是一种示例性的UUID的组成部分,也可以采用其他方式进行组合,不具体限定,只要能够保证全局唯一即可。
步骤43:第一设备将所述第一密钥拆分为N个部分,N为大于等于2的正整数。
较佳的,第一设备将所述第一密钥拆分为2个部分,分别是第一部分和第二部分。
具体的,所述第一设备在拆分第一密钥时可以从第一密钥的任意位置拆分,可选的,所述第一设备基于各通信通道的通信长度限制,来拆分第一密钥,或者预先设定各通信通道对应的密钥长度约束条件,按照预设的约束条件对第一密钥进行拆分。
步骤44:第一设备将所述第一密钥的X个部分和所述第一标识通过所述第一通信通道发送至第二设备,并将所述第一标识和所述第一密钥的剩余部分通过其他通信通道发送至第二设备,X为小于N的正整数。
当第一设备将所述第一密钥拆分为2个部分时,第一设备将第一密钥的第一部分和第一标识通过所述第一通信通道发送至第二设备,并将第一标识和第一密钥的第二部分通过第二通信通道发送至第二设备,所述第二通信通道与所述第一通信通道不同。
例1,第一设备生成的第一秘钥用十六进制字符串表示,为82a0359a55871902b04c23f56134d757,共16字节,拆分的两个部分分别是82a0359a55871902b04c23f5和6134d757,将第一部分和第一标识通过第一通信通道发送至第二设备,其中第一部分在前第一标识在后,将第一标识和第二部分通过第二通信通道发送至第二设备,其中第一标识在前第一部分在后。
当第一设备将所述第一密钥拆分为至少3个部分时,第一设备在发送第一密钥的每个部分和第一标识时,还需要发送该部分密钥对应的拆分序号,该拆分序号用于描述该部分密钥在第一密钥中所在的位置关系,从而使第二设备基于该拆分序号和对应的第一标识将各部分密钥进行完整准确的拼接。
例2,同样采用上面例1中的第一密钥82a0359a55871902b04c23f56134d757,第一设备将该密钥拆分为3个部分,分别是82a0359a55871902b0、4c23f5、6134d757,对应的拆分序号分别是(01)、(02)和(03),此时,可以将第一部分、第一标识和对应的拆分序号(01)通过第一通信通道发送至第二设备;将第一标识、第二部分和对应的拆分序号(02)通过第二通信通道发送至第二设备;将第一标识、第三部分和对应的拆分序号(03)通过第三通信通道发送至第二设备,可选的,第一部分、第二部分、第三部分中任意两个部分所采用的通信通道也可以相同,只要不完全相同即可。
步骤45:第二设备接收到第一设备通过不同通信通道发送的部分密钥和对应的唯一标识后,将唯一标识相同的部分密钥拼接成第一密钥。
步骤46:第二设备基于所述第一密钥对发送至第一设备的通信内容进行加密。
由于第一密钥的各个部分可以通过至少两个通信通道进行传输,此时中间人攻击时需要同时监听所有的通信通道,难度大大增加,从而能够有效避免中间人攻击的问题,大幅提升密钥传输的安全性,而且降低了CA认证的必要性,避免CA认证的繁琐操作。
下面通过两个实际应用场景来详细说明4中的方法,这里以将第一密钥拆分为2个部分进行说明
场景一
场景一为用户打开手机应用与应用服务器之间进行在线交易时,采用密钥交换算法建立加密通信的过程,具体流程可参阅图5所示。此时A为安装有应用的手机上,B该应用的应用服务器。
50、A与B建立第一通信通道,如建立TCP链接。
51、A与B协商、交换公开内容,如交换算法,算法所需的公开内容。
52、A随机选择第一私钥Xa,Xa不需要在网上发送,仅保存在A本地,用商定的交换算法对公开内容与Xa进行运算,得到第一密钥Ya,并生成一个全局唯一标识即第一标识,例如为UUID1。
53、A将Ya拆分成两部分,将Ya的第一部分通过步骤50建立的第一通信通道,发送给B,同时携带前面生成的UUID1。
54、A将Ya的第二部分通过第二通信通道发送给B,同时携带前面生成的UUID1,可选的,第二通信通道为短信通道,短信被叫号码即B的号码,此时应用服务器相当于服务提供商(Service Provider,SP),可以通过短信的接收与提交(short message peer topeer,SMPP)/***点对点协议(ChinaMobile Peer to Peer,CMPP)等协议标准与短信网关或短信中心对接,而不需要在应用服务器上安装客户识别模块(SubscriberIdentification Module,SIM)卡,此时B的通信号码可以预置在A的应用软件中,也可以在步骤51中协商确定加密算法时由B告知。
55、短信中心/短信网关依据被叫号码,将短信通过SMPP/CMPP等协议标准转发给B。
56、B接受到Ya的第二部分和Ya的第一部分,通过UUID1将其关联,并拼接成完整的Ya。
57、B随机选择第二私钥Xb,用商定的交换算法对公开内容与Xb进行运算,得到第二密钥Yb,将Yb发送给A。
58、A以Xa、Yb作为参数,运算得到目标密钥(key1)
59、B以Xb、Ya作为参数,运算得到key1
510、A、B双方用key1对通信内容进行加密。
需要说明的是,场景一中,针对的是A将第一密钥拆分为两个部分来详细说明加密流程,在实际应用中,可选的也可以将第一密钥拆分为更多个部分,通过第一通信通道或第二通信通道或其他通信通道发送至B,过程类似,在此不再赘述。
场景二
场景二为用户打开手机应用与应用服务器之间进行在线交易时,采用公私钥及证书方法建立加密通信的过程,具体流程可参阅图6所示。此时A为安装有应用的手机上,B该应用的应用服务器。
60、B向CA申请证书或自己生成证书,证书中包含私钥、公钥、身份信息以及对B身份的签名,将私钥保存在B本地,公钥、身份信息、签名可以公开下载、传输。
61、A与B建立第一通信通道,例如建立如TCP链接。
需要说明的是,步骤60与步骤61的执行顺序不具体限定,可以先执行步骤60再执行步骤61;也可以先执行步骤61再执行步骤60;或者同时执行。
62、A、B双方协商确定加密算法、密码交换算法,A下载得到到公钥、B身份信息、签名。
63、A验证B的身份,实际应用中可以依据实际应用的情况选择是否需要验证B的身份,在不需要验证B的身份时,步骤63可以不执行。
64、A随机生成第一密钥key1,并生成一个全局唯一标识即第一标识,例如UUID1。
65、A将key1拆分成两部分,将第一部分用B的公钥加密后通过第一通信通道,发送给B,同时携带前面生成的UUID1。
66、A将key1的第二部分用B的公钥加密后通过第二通信通道发送给B,同时携带前面生成的UUID1,可选的,第二通信通道为短信通道,短信被叫号码即B的号码,此时应用服务器相当于SP)可以通过短信的SMPP/CMPP等协议标准与短信网关或短信中心对接,而不需要在应用服务器上安装SIM卡,此时B的通信号码可以预置在A的应用软件中,也可以在步骤51中协商确定加密算法时由B告知。
67、短信中心/短信网关依据被叫号码,将短信通过SMPP/CMPP等协议标准转发给B。
68、B接受到Ya的第二部分和Ya的第一部分后,UUID1将其关联,分别用本地私钥解密后,拼接成完整的key1。
69、A、B双方用key1对通信内容加密。
基于上述实施例,如图7所示,为本申请实施例提供的建立安全加密信道的设备结构示意图。该设备700可包括手机、平板电脑、个人数字助理(Personal DigitalAssistant,PDA)、销售终端(Point of Sales,POS)、车载电脑、台式电脑、笔记本、服务器等,可以用于执行图1-图6所示的方法中第一设备或设备A的执行过程,该设备700包括:处理单元710和通信单元711,其中:
处理单元710,用于与对端设备建立第一通信通道;生成第一密钥和第一标识,所述第一标识和所述第一密钥唯一对应;将所述第一密钥拆分为N个部分,N为大于等于2的正整数;
通信单元711,用于将所述第一密钥的X个部分和所述第一标识通过所述第一通信通道发送至对端设备,并将所述第一标识和所述第一密钥的剩余部分通过其他通信通道发送至对端设备,X为小于N的正整数。
可选的,所述通信单元711具体用于:
在N为2时,将所述第一密钥的第一部分和所述第一标识通过所述第一通信通道发送至对端设备,并将所述第一标识和所述第一密钥的第二部分通过第二通信通道发送至对端设备,所述第二通信通道与所述第一通信通道不同。
可选的,所述处理单元710具体用于:
选择第一私钥,利用与所述对端设备协商确定的密钥交换算法对所述第一私钥与所述密钥交换算法的公开内容进行运算得到所述第一密钥。
可选的,所述通信单元711将所述第一密钥的第一部分和所述第一标识通过所述第一通信通道发送至对端设备,并将所述第一标识和所述第一密钥的第二部分通过第二通信通道发送至对端设备之后,还用于:
接收所述对端设备发送的第二密钥,所述第二密钥为所述对端设备基于自身选择的第二私钥,利用与所述第一设备协商确定的所述密钥交换算法对所述第二私钥与所述密钥交换算法的公开内容进行运算得到的;
所述处理单元710,还用于利用所述第一私钥和所述第二密钥运算得到目标密钥;利用所述目标密钥对发送至所述对端设备的通信内容进行加密。
可选的,所述通信单元711将所述第一密钥的第一部分和所述第一标识通过所述第一通信通道发送至对端设备,并将所述第一标识和所述第一密钥的第二部分通过第二通信通道发送至对端设备之前,还用于:
在所述对端设备获取到包括第一公钥、第一私钥的证书后,下载得到所述第一公钥。
可选的,所述通信单元711具体用于:
将所述第一密钥的第一部分和第二部分利用所述第一公钥加密;
将加密后的第一部分和所述第一标识通过所述第一通信通道发送至对端设备,并将所述第一标识和加密后的第二部分通过第二通信通道发送至对端设备。
可选的,所述处理单元710还用于:
在所述通信单元711将所述第一密钥的第一部分和所述第一标识通过所述第一通信通道发送至对端设备,并将所述第一标识和所述第一密钥的第二部分通过第二通信通道发送至对端设备之后,利用所述第一密钥对发送至所述对端设备的通信内容进行加密。
本申请实施例上述涉及的设备700,可以是独立的部件,也可以是集成于其他部件中,例如本发明实施例提供的上述设备700可以是现有通信网络中的终端,也可以是集成于终端内的部件。
需要说明的是,本发明实施例中的设备700的各个单元的功能实现以及交互方式可以进一步参照相关方法实施例的描述,在此不再赘述。
另外,以上各“单元”可以通过特定应用集成电路(application-specificintegrated circuit,ASIC),执行一个或多个软件或固件程序的处理器和存储器,集成逻辑电路,和/或其他可以提供上述功能的器件来实现。
由于该设备700解决问题的实施方式以及有益效果可以参见本发明方法实施例的实施方式以及有益效果,因此该设备700的实施可以参见方法的实施,重复之处不再赘述。
基于相同发明构思,本申请实施例还提供一种设备,如图8所示。该设备800包括存储器801、收发器803以及至少一个处理器802;各部件通过总线连接。
存储器801用于存储计算机可执行程序代码,所述程序代码包括指令;当处理器802执行所述指令时,所述指令使所述设备执行本申请方法实施例的建立安全加密信道的方法中第一设备的执行过程;例如:本申请方法实施例图4中步骤41、42、43、44的方法。由于该设备解决问题的实施方式以及有益效果可以参见上述方法的实施方式以及所带来的有益效果,因此该设备的实施可以参见上述方法的实施,重复之处不再赘述。
基于上述实施例,如图9所示,为本申请实施例提供的建立安全加密信道的设备结构示意图。该设备900可包括手机、平板电脑、PDA、POS、车载电脑、台式电脑、笔记本、服务器等,可以用于执行图1-图6所示的方法中第二设备或设备B的执行过程,该设备900包括:处理单元910和通信单元911,其中:
通信单元911,用于接收对端设备通过不同通信通道发送的部分密钥和对应的唯一标识;
处理单元910,用于将唯一标识相同的部分密钥拼接成第一密钥;基于所述第一密钥对通信内容进行加密。
选的,所述处理单元910具体用于:
基于选择的私钥和所述第一密钥运算得到目标密钥;
利用所述目标密钥对发送至所述对端设备的通信内容进行加密。
可选的,所述处理单元910具体用于:
将唯一标识相同的部分密钥利用所述第二设备本地存储的私钥解密后,将所述部分密钥拼接成第一密钥。
可选的,所述处理单元910具体用于:
利用所述第一密钥对发送至所述对端设备的通信内容进行加密。
本申请实施例上述涉及的设备900,可以是独立的部件,也可以是集成于其他部件中,例如本发明实施例提供的上述设备900可以是现有通信网络中的应用服务器,也可以是集成于所述服务器内的部件。
需要说明的是,本发明实施例中的设备900的各个单元的功能实现以及交互方式可以进一步参照相关方法实施例的描述,在此不再赘述。
另外,以上各“单元”可以通过特定应用集成电路(application-specificintegrated circuit,ASIC),执行一个或多个软件或固件程序的处理器和存储器,集成逻辑电路,和/或其他可以提供上述功能的器件来实现。
由于该设备900解决问题的实施方式以及有益效果可以参见本发明方法实施例的实施方式以及有益效果,因此该设备900的实施可以参见方法的实施,重复之处不再赘述。
基于同一发明构思,本申请实施例还提供一种设备1000,该设备1000用于执行上述图4的建立安全加密信道方法实施例中第二设备的执行过程,如图10所示,该设备1000包括处理器1002、存储器1001、收发器1003,执行本发明方案的程序代码保存在存储器1001中,用于指令处理器1002与所述收发器1003配合执行图4所示的建立安全加密信道的方法。
可以理解的是,本申请实施例上述设备800和设备1000中涉及的处理器可以是一个通用中央处理器(CPU),微处理器,特定应用集成电路application-specificintegrated circuit(ASIC),或一个或多个用于控制本发明方案程序执行的集成电路。
所述收发器可以是能够实现收发功能的实体模块,以便与其他设备或通信网络通信。
存储器,如RAM,保存有操作***和执行本发明方案的程序。操作***是用于控制其他程序运行,管理***资源的程序。存储器可以是只读存储器read-only memory(ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器random accessmemory(RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是磁盘存储器。
这些存储器、收发器可以通过总线与处理器相连接,或者也可以通过专门的连接线分别与处理器连接。
本领域内的技术人员应明白,本申请的实施例可提供为方法、***、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请实施例的精神和范围。这样,倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (18)
1.一种建立安全加密信道的方法,其特征在于,包括:
第一设备与第二设备建立第一通信通道;
所述第一设备生成第一密钥和第一标识,所述第一标识和所述第一密钥唯一对应;具体的,所述第一设备选择第一私钥,利用与所述第二设备协商确定的密钥交换算法对所述第一私钥与所述密钥交换算法的公开内容进行运算得到所述第一密钥;
所述第一设备将所述第一密钥拆分为N个部分,N为大于等于2的正整数;
所述第一设备将所述第一密钥的X个部分和所述第一标识通过所述第一通信通道发送至第二设备,并将所述第一标识和所述第一密钥的剩余部分通过其他通信通道发送至第二设备,X为小于N的正整数。
2.如权利要求1所述的方法,其特征在于,所述第一设备将所述第一密钥的X个部分和所述第一标识通过所述第一通信通道发送至第二设备,并将所述第一标识和所述第一密钥的剩余部分通过其他通信通道发送至第二设备,包括:
在N为2时,所述第一设备将所述第一密钥的第一部分和所述第一标识通过所述第一通信通道发送至第二设备,并将所述第一标识和所述第一密钥的第二部分通过第二通信通道发送至第二设备,所述第二通信通道与所述第一通信通道不同。
3.如权利要求2所述的方法,其特征在于,所述第一设备将所述第一密钥的第一部分和所述第一标识通过所述第一通信通道发送至第二设备,并将所述第一标识和所述第一密钥的第二部分通过第二通信通道发送至第二设备之后,还包括:
所述第一设备接收所述第二设备发送的第二密钥,所述第二密钥为所述第二设备基于自身选择的第二私钥,利用与所述第一设备协商确定的所述密钥交换算法对所述第二私钥与所述密钥交换算法的公开内容进行运算得到的;
所述第一设备利用所述第一私钥和所述第二密钥运算得到目标密钥;
所述第一设备利用所述目标密钥对发送至所述第二设备的通信内容进行加密。
4.如权利要求2所述的方法,其特征在于,所述第一设备将所述第一密钥的第一部分和所述第一标识通过所述第一通信通道发送至第二设备,并将所述第一标识和所述第一密钥的第二部分通过第二通信通道发送至第二设备之前,还包括:
所述第一设备在所述第二设备获取到包括第一公钥、第一私钥的证书后,下载得到所述第一公钥。
5.如权利要求4所述的方法,其特征在于,所述第一设备将所述第一密钥的第一部分和所述第一标识通过所述第一通信通道发送至第二设备,并将所述第一标识和所述第一密钥的第二部分通过第二通信通道发送至第二设备,包括:
所述第一设备将所述第一密钥的第一部分和第二部分利用所述第一公钥加密;
所述第一设备将加密后的第一部分和所述第一标识通过所述第一通信通道发送至第二设备,并将所述第一标识和加密后的第二部分通过第二通信通道发送至第二设备。
6.如权利要求5所述的方法,其特征在于,所述第一设备将所述第一密钥的第一部分和所述第一标识通过所述第一通信通道发送至第二设备,并将所述第一标识和所述第一密钥的第二部分通过第二通信通道发送至第二设备之后,还包括:
所述第一设备利用所述第一密钥对发送至所述第二设备的通信内容进行加密。
7.一种建立安全加密信道的方法,其特征在于,包括:
第二设备接收第一设备通过不同通信通道发送的部分密钥和对应的唯一标识;
所述第二设备将唯一标识相同的部分密钥拼接成第一密钥;
所述第二设备基于所述第一密钥对通信内容进行加密;具体的,所述第二设备基于自身选择的私钥和所述第一密钥运算得到目标密钥;所述第二设备利用所述目标密钥对发送至所述第一设备的通信内容进行加密。
8.如权利要求7所述的方法,其特征在于,所述第二设备将唯一标识相同的部分密钥拼接成第一密钥,包括:
所述第二设备将唯一标识相同的部分密钥利用所述第二设备本地存储的私钥解密后,将所述部分密钥拼接成第一密钥。
9.如权利要求8所述的方法,其特征在于,所述第二设备基于所述第一密钥对通信内容进行加密,包括:
所述第二设备利用所述第一密钥对发送至所述第一设备的通信内容进行加密。
10.一种建立安全加密信道的设备,其特征在于,包括:
处理单元,用于与对端设备建立第一通信通道;生成第一密钥和第一标识,所述第一标识和所述第一密钥唯一对应;将所述第一密钥拆分为N个部分,N为大于等于2的正整数;具体的,选择第一私钥,利用与所述对端设备协商确定的密钥交换算法对所述第一私钥与所述密钥交换算法的公开内容进行运算得到所述第一密钥;
通信单元,用于将所述第一密钥的X个部分和所述第一标识通过所述第一通信通道发送至对端设备,并将所述第一标识和所述第一密钥的剩余部分通过其他通信通道发送至对端设备,X为小于N的正整数。
11.如权利要求10所述的设备,其特征在于,所述通信单元具体用于:
在N为2时,将所述第一密钥的第一部分和所述第一标识通过所述第一通信通道发送至对端设备,并将所述第一标识和所述第一密钥的第二部分通过第二通信通道发送至对端设备,所述第二通信通道与所述第一通信通道不同。
12.如权利要求11所述的设备,其特征在于,所述通信单元将所述第一密钥的第一部分和所述第一标识通过所述第一通信通道发送至对端设备,并将所述第一标识和所述第一密钥的第二部分通过第二通信通道发送至对端设备之后,还用于:
接收所述对端设备发送的第二密钥,所述第二密钥为所述对端设备基于自身选择的第二私钥,利用与第一设备协商确定的所述密钥交换算法对所述第二私钥与所述密钥交换算法的公开内容进行运算得到的;
所述处理单元,还用于利用所述第一私钥和所述第二密钥运算得到目标密钥;利用所述目标密钥对发送至所述对端设备的通信内容进行加密。
13.如权利要求11所述的设备,其特征在于,所述通信单元将所述第一密钥的第一部分和所述第一标识通过所述第一通信通道发送至对端设备,并将所述第一标识和所述第一密钥的第二部分通过第二通信通道发送至对端设备之前,还用于:
在所述对端设备获取到包括第一公钥、第一私钥的证书后,下载得到所述第一公钥。
14.如权利要求13所述的设备,其特征在于,所述通信单元具体用于:
将所述第一密钥的第一部分和第二部分利用所述第一公钥加密;
将加密后的第一部分和所述第一标识通过所述第一通信通道发送至对端设备,并将所述第一标识和加密后的第二部分通过第二通信通道发送至对端设备。
15.如权利要求14所述的设备,其特征在于,所述处理单元还用于:
在所述通信单元将所述第一密钥的第一部分和所述第一标识通过所述第一通信通道发送至对端设备,并将所述第一标识和所述第一密钥的第二部分通过第二通信通道发送至对端设备之后,利用所述第一密钥对发送至所述对端设备的通信内容进行加密。
16.一种建立安全加密信道的设备,其特征在于,包括:
通信单元,用于接收对端设备通过不同通信通道发送的部分密钥和对应的唯一标识;
处理单元,用于将唯一标识相同的部分密钥拼接成第一密钥;基于所述第一密钥对通信内容进行加密;具体的:基于选择的私钥和所述第一密钥运算得到目标密钥;利用所述目标密钥对发送至所述对端设备的通信内容进行加密。
17.如权利要求16所述的设备,其特征在于,所述处理单元具体用于:
将唯一标识相同的部分密钥利用本地存储的私钥解密后,将所述部分密钥拼接成第一密钥。
18.如权利要求17所述的设备,其特征在于,所述处理单元具体用于:
利用所述第一密钥对发送至所述对端设备的通信内容进行加密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611086497.9A CN106788989B (zh) | 2016-11-30 | 2016-11-30 | 一种建立安全加密信道的方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611086497.9A CN106788989B (zh) | 2016-11-30 | 2016-11-30 | 一种建立安全加密信道的方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106788989A CN106788989A (zh) | 2017-05-31 |
| CN106788989B true CN106788989B (zh) | 2020-01-21 |
Family
ID=58914940
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611086497.9A Active CN106788989B (zh) | 2016-11-30 | 2016-11-30 | 一种建立安全加密信道的方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106788989B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107920052B (zh) * | 2017-08-02 | 2020-11-17 | 唐盛(北京)物联技术有限公司 | 一种加密方法及智能装置 |
| EP3439228B1 (de) * | 2017-08-02 | 2020-07-29 | Siemens Aktiengesellschaft | Verfahren und vorrichtungen zum erreichen einer sicherheitsfunktion, insbesondere im umfeld einer geräte- und/oder anlagensteuerung |
| CN109428867B (zh) * | 2017-08-30 | 2020-08-25 | 华为技术有限公司 | 一种报文加解密方法、网路设备及*** |
| WO2019140633A1 (zh) | 2018-01-19 | 2019-07-25 | Oppo广东移动通信有限公司 | 指示用户设备获取密钥的方法、用户设备及网络设备 |
| CN109547471B (zh) * | 2018-12-24 | 2021-10-26 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 网络通信方法和装置 |
| CN110198214B (zh) * | 2019-06-02 | 2022-02-22 | 四川虹微技术有限公司 | 身份标识生成方法、验证方法及装置 |
| CN110198320B (zh) * | 2019-06-03 | 2021-10-26 | 恒宝股份有限公司 | 一种加密信息传输方法和*** |
| CN110098931B (zh) * | 2019-06-05 | 2020-04-24 | 浙江汇信科技有限公司 | 基于可信任“政企联连”平台的数据传输方法 |
| CN113517980B (zh) * | 2020-04-09 | 2023-07-21 | ***通信有限公司研究院 | 一种密钥处理方法、装置和存储介质 |
| CN113132944B (zh) * | 2021-04-22 | 2023-10-20 | 上海银基信息安全技术股份有限公司 | 多通路安全通信方法、装置、车端、设备端及介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1926793A (zh) * | 2004-03-09 | 2007-03-07 | 汤姆逊许可证公司 | 通过多信道授权管理和控制的安全数据传送 |
| US20130311783A1 (en) * | 2011-02-10 | 2013-11-21 | Siemens Aktiengesellschaft | Mobile radio device-operated authentication system using asymmetric encryption |
| CN103458400A (zh) * | 2013-09-05 | 2013-12-18 | 中国科学院数据与通信保护研究教育中心 | 一种语音加密通信***中的密钥管理方法 |
| CN103618609A (zh) * | 2013-09-09 | 2014-03-05 | 南京邮电大学 | 一种云环境下基于属性基加密的及时用户撤销方法 |
| CN103780375A (zh) * | 2012-10-19 | 2014-05-07 | 中国电信股份有限公司 | 数据发送方法和装置、数据接收方法和装置 |
| CN104333455A (zh) * | 2014-11-26 | 2015-02-04 | 肖龙旭 | 一种智能手机保密通信***及方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020146119A1 (en) * | 2001-02-05 | 2002-10-10 | Alexander Liss | Two channel secure communication |
-
2016
- 2016-11-30 CN CN201611086497.9A patent/CN106788989B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1926793A (zh) * | 2004-03-09 | 2007-03-07 | 汤姆逊许可证公司 | 通过多信道授权管理和控制的安全数据传送 |
| US20130311783A1 (en) * | 2011-02-10 | 2013-11-21 | Siemens Aktiengesellschaft | Mobile radio device-operated authentication system using asymmetric encryption |
| CN103780375A (zh) * | 2012-10-19 | 2014-05-07 | 中国电信股份有限公司 | 数据发送方法和装置、数据接收方法和装置 |
| CN103458400A (zh) * | 2013-09-05 | 2013-12-18 | 中国科学院数据与通信保护研究教育中心 | 一种语音加密通信***中的密钥管理方法 |
| CN103618609A (zh) * | 2013-09-09 | 2014-03-05 | 南京邮电大学 | 一种云环境下基于属性基加密的及时用户撤销方法 |
| CN104333455A (zh) * | 2014-11-26 | 2015-02-04 | 肖龙旭 | 一种智能手机保密通信***及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106788989A (zh) | 2017-05-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106788989B (zh) | 一种建立安全加密信道的方法及设备 | |
| CN110380852B (zh) | 双向认证方法及通信*** | |
| CN109309565B (zh) | 一种安全认证的方法及装置 | |
| CN103118027B (zh) | 基于国密算法建立tls通道的方法 | |
| US8291231B2 (en) | Common key setting method, relay apparatus, and program | |
| KR100975685B1 (ko) | 무선 통신을 위한 안전한 부트스트래핑 | |
| CN110971415A (zh) | 一种天地一体化空间信息网络匿名接入认证方法及*** | |
| EP2173055A1 (en) | A method, a system, a client and a server for key negotiating | |
| CN101409619B (zh) | 闪存卡及虚拟专用网密钥交换的实现方法 | |
| US10680835B2 (en) | Secure authentication of remote equipment | |
| CN106941404B (zh) | 密钥保护方法及装置 | |
| CN112351037B (zh) | 用于安全通信的信息处理方法及装置 | |
| CN110800248A (zh) | 用于第一应用和第二应用之间的互相对称认证的方法 | |
| CN110690966B (zh) | 终端与业务服务器连接的方法、***、设备及存储介质 | |
| CN110635901B (zh) | 用于物联网设备的本地蓝牙动态认证方法和*** | |
| AU2020396746B2 (en) | Provisioning method and terminal device | |
| CN111914291A (zh) | 消息处理方法、装置、设备及存储介质 | |
| US11889307B2 (en) | End-to-end security for roaming 5G-NR communications | |
| CN104243452A (zh) | 一种云计算访问控制方法及*** | |
| US20240064011A1 (en) | Identity authentication method and apparatus, device, chip, storage medium, and program | |
| CN113422753B (zh) | 数据处理方法、装置、电子设备及计算机存储介质 | |
| Shojaie et al. | Enhancing EAP-TLS authentication protocol for IEEE 802.11 i | |
| CN114765544A (zh) | 可信执行环境数据离线迁移方法及装置 | |
| CN112995210A (zh) | 一种数据传输方法、装置及电子设备 | |
| CN108702615B (zh) | 保护接口以及用于建立安全通信链路的过程 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |