CN108156112B - 数据加密方法、电子设备及网络侧设备 - Google Patents
数据加密方法、电子设备及网络侧设备 Download PDFInfo
- Publication number
- CN108156112B CN108156112B CN201611096712.3A CN201611096712A CN108156112B CN 108156112 B CN108156112 B CN 108156112B CN 201611096712 A CN201611096712 A CN 201611096712A CN 108156112 B CN108156112 B CN 108156112B
- Authority
- CN
- China
- Prior art keywords
- key
- session key
- root
- session
- kdc
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/161—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
- H04L69/162—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields involving adaptations of sockets based mechanisms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明提供一种数据加密方法、电子设备及网络侧设备,其中,数据加密方法包括:接收密钥管理分配中心KDC发送的第二会话密钥,第二会话密钥由KDC将第一会话密钥加密得到;根据根密钥解密第二会话密钥得到第一会话密钥,根密钥与电子设备唯一对应,根密钥存储在电子设备中,根密钥为电子设备注册时KDC为电子设备分配;根据第一会话密钥对电子设备的数据进行处理。本发明提供的数据加密方法、电子设备及网络侧设备,通过电子设备中存储的与电子设备唯一对应的根密钥为第一会话密钥进行加密以保障第一会话密钥的安全性,从而提高了通信的安全性。
Description
技术领域
本发明涉及通信技术,尤其涉及一种数据加密方法、电子设备及网络侧设备。
背景技术
随着通信技术的发展,人们对通信的安全性能的要求也更加严格。例如:在通信过程中需要对通信的内容进行加密,以保障通信的安全,保障通信内容不被他人窃取。
现有技术中,每次通信前,由密钥分配中心(key distribution center,简称:KDC)向通信的发送端和接收端发送本次通信数据加密的密钥,发送端利用密钥对通信数据进行加密后发送,接收端利用密钥对接收到的加密数据进行解密后才能得到通信数据,从而保障了通信的安全。
采用现有技术,若通信数据的密钥泄漏或被截获,则会影响通信数据加密的性能,降低通信的安全性。
发明内容
本发明提供一种数据加密方法、电子设备及网络侧设备,提高了通信的安全性。
本发明提供一种数据加密方法,包括:
接收密钥管理分配中心KDC发送的第二会话密钥,所述第二会话密钥由所述KDC将第一会话密钥加密得到;
根据根密钥解密所述第二会话密钥得到所述第一会话密钥,所述根密钥与电子设备唯一对应,所述根密钥存储在所述电子设备中,所述根密钥为所述电子设备注册时所述KDC为所述电子设备分配;
根据所述第一会话密钥对所述电子设备的数据进行处理。
在本发明一实施例中,所述第二会话密钥由所述KDC根据第一业务密钥将所述第一会话密钥加密得到;
所述接收KDC发送的第二会话密钥之前还包括:
接收所述KDC发送的第二业务密钥,所述第二业务密钥由所述KDC根据所述根密钥将所述第一业务密钥加密得到;
所述根据根密钥解密所述第二会话密钥得到所述第一会话密钥包括:
根据所述根密钥解密所述第二业务密钥得到所述第一业务密钥;
根据所述第一业务密钥解密所述第二会话密钥得到所述第一会话密钥。
在本发明一实施例中,所述电子设备将所述根密钥、所述第一业务密钥、所述第二业务密钥、所述第一会话密钥和所述第二会话密钥存储在所述电子设备的可信执行环境操作***TeeOS中;
所述根据根密钥解密所述第二会话密钥得到所述第一会话密钥包括:
在所述TeeOS中根据根密钥解密所述第二会话密钥得到所述第一会话密钥。
在本发明一实施例中,所述根据所述第一会话密钥对数据进行处理包括:
通过所述第一会话密钥加密第一数据得到第二数据;
发送所述第二数据;
所述接收密钥管理分配中心KDC发送的第二会话密钥之前,还包括:
向所述KDC发送数据加密请求。
在本发明一实施例中,所述根据所述第一会话密钥对数据进行处理包括:
接收第二数据;
通过所述第一会话密钥解密第二数据得到第一数据。
在本发明一实施例中,所述根密钥为非对称加密密钥,所述KDC生成所述根密钥的公钥和所述根密钥的私钥后,所述KDC保存所述根密钥的公钥,所述KDC向所述电子设备发送所述根密钥的私钥;
所述根据根密钥解密所述第二会话密钥得到所述第一会话密钥包括:
根据根密钥的私钥解密所述第二会话密钥得到所述第一会话密钥。
在本发明一实施例中,所述KDS和所述电子设备之间通过安全套接层SSL通信。
本发明提供一种数据加密方法,包括:
加密第一会话密钥得到第二会话密钥;
向电子设备发送第二会话密钥,以使所述电子设备根据根密钥解密所述第二会话密钥得到所述第一会话密钥,所述根密钥与电子设备唯一对应,所述根密钥存储在所述电子设备中,所述根密钥为所述电子设备注册时密钥管理分配中心KDC为所述电子设备分配,并使所述电子设备根据所述第一会话密钥对数据进行处理。
在本发明一实施例中,所述加密第一会话密钥得到第二会话密钥包括:
根据第一业务密钥加密所述第一会话密钥得到所述第二会话密钥;
所述加密第一会话密钥得到第二会话密钥之前,还包括:
根据所述电子设备的根密钥加密所述第一业务密钥得到第二业务密钥;
所述加密第一会话密钥得到第二会话密钥之后,还包括:
向所述电子设备发送所述第二业务密钥。
在本发明一实施例中,所述根密钥为非对称加密密钥,所述KDC生成所述根密钥的公钥和所述根密钥的私钥后,所述KDC保存所述根密钥的公钥,所述KDC向所述电子设备发送所述根密钥的私钥;
所述根据所述电子设备的根密钥加密所述第一业务密钥得到第二业务密钥包括:
根据所述电子设备的根密钥的公钥加密所述第一业务密钥得到第二业务密钥。
本发明提供一种电子设备,包括:
接收模块,所述接收模块用于接收密钥管理分配中心KDC发送的第二会话密钥,所述第二会话密钥由所述KDC将第一会话密钥加密得到;
解密模块,所述处理模块用于根据根密钥解密所述第二会话密钥得到所述第一会话密钥,所述根密钥与电子设备唯一对应,所述根密钥存储在所述电子设备中,所述根密钥为所述电子设备注册时所述KDC为所述电子设备分配;
处理模块,所述处理模块用于根据所述第一会话密钥对所述电子设备的数据进行处理。
在本发明一实施例中,所述第二会话密钥由所述KDC根据第一业务密钥将所述第一会话密钥加密得到;
所述接收模块还用于接收所述KDC发送的第二业务密钥,所述第二业务密钥由所述KDC根据所述根密钥将所述第一业务密钥加密得到;
所述解密模块具体用于:
根据所述根密钥解密所述第二业务密钥得到所述第一业务密钥;
根据所述第一业务密钥解密所述第二会话密钥得到所述第一会话密钥。
在本发明一实施例中,所述电子设备将所述根密钥、所述第一业务密钥、所述第二业务密钥、所述第一会话密钥和所述第二会话密钥存储在所述电子设备的可信执行环境操作***TeeOS中;
所述解密模块具体用于在所述TeeOS中根据根密钥解密所述第二会话密钥得到所述第一会话密钥。
在本发明一实施例中,所述处理模块具体用于:
通过所述第一会话密钥加密第一数据得到第二数据;
发送所述第二数据;
所述电子设备还包括:发送模块,所述发送模块用于向所述KDC发送数据加密请求。
在本发明一实施例中,所述根密钥为非对称加密密钥,所述KDC生成所述根密钥的公钥和所述根密钥的私钥后,所述KDC保存所述根密钥的公钥,所述KDC向所述电子设备发送所述根密钥的私钥;
所述解密模块具体用于根据根密钥的私钥解密所述第二会话密钥得到所述第一会话密钥。
在本发明一实施例中,所述处理模块具体用于:
接收第二数据;
通过所述第一会话密钥解密第二数据得到第一数据。
在本发明一实施例中,所述KDS和所述电子设备之间通过安全套接层SSL通信。
本发明提供一种网络侧设备,包括:
加密模块,所述加密模块用于加密第一会话密钥得到第二会话密钥;
发送模块,所述发送模块用于向电子设备发送第二会话密钥,以使所述电子设备根据根密钥解密所述第二会话密钥得到所述第一会话密钥,所述根密钥与电子设备唯一对应,所述根密钥存储在所述电子设备中,所述根密钥为所述电子设备注册时密钥管理分配中心KDC为所述电子设备分配,并使所述电子设备根据所述第一会话密钥对数据进行处理。
在本发明一实施例中,所述加密模块具体用于根据第一业务密钥加密所述第一会话密钥得到所述第二会话密钥;
所述加密模块还用于根据所述电子设备的根密钥加密所述第一业务密钥得到第二业务密钥;
所述发送模块还用于向所述电子设备发送所述第二业务密钥。
在本发明一实施例中,所述根密钥为非对称加密密钥,所述KDC生成所述根密钥的公钥和所述根密钥的私钥后,所述KDC保存所述根密钥的公钥,所述KDC向所述电子设备发送所述根密钥的私钥;
所述加密模块具体用于根据所述电子设备的根密钥的公钥加密所述第一业务密钥得到第二业务密钥。
本发明提供一种数据加密方法、电子设备及网络侧设备,其中,数据加密方法包括:接收密钥管理分配中心KDC发送的第二会话密钥,第二会话密钥由KDC将第一会话密钥加密得到;根据根密钥解密第二会话密钥得到第一会话密钥,根密钥与电子设备唯一对应,根密钥存储在电子设备中,根密钥为电子设备注册时KDC为电子设备分配;根据第一会话密钥对电子设备的数据进行处理。本发明提供的数据加密方法、电子设备及网络侧设备,通过电子设备中存储的与电子设备唯一对应的根密钥为第一会话密钥进行加密以保障第一会话密钥的安全性,从而提高了通信的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明数据加密方法实施例一的流程示意图;
图2为本发明数据加密方法实施例二的流程示意图;
图3为本发明数据加密方法实施例三的流程示意图;
图4为本发明数据加密方法实施例四的流程示意图;
图5为本发明数据加密方法实施例五的流程示意图;
图6为本发明数据加密方法实施例六的流程示意图;
图7为本发明电子设备实施例一的结构示意图;
图8为本发明电子设备实施例二的结构示意图;
图9为本发明网络侧设备实施例的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
下面以具体地实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
图1为本发明数据加密方法实施例一的流程示意图。本实施例数据加密方法的执行主体为能够接入通信网络具有通信功能的电子设备,如:移动终端、平板电脑和笔记本电脑等。如图1所示,本实施例数据加密方法包括如下步骤:
S101:接收密钥分配中心(key distribution center,简称:KDC)发送的第二会话密钥,第二会话密钥由KDC将第一会话密钥加密得到。
具体地,电子设备为了实现通信数据加密,需要由KDC分配第一会话密钥对电子设备的数据进行加密,由于第一会话密钥为对称密钥,因此作为发送数据方的电子设备通过第一会话密钥对数据进行加密后发送至接收数据方的电子设备,接收数据的电子设备通过第一会话密钥对加密数据进行解密,得到原始数据从而实现数据加密通信。在S101中,KDC为电子设备分配第一会话密钥后不直接发送至电子设备,而是将第一会话密钥加密为第二会话密钥,电子设备以第二会话密钥的形式接收第一会话密钥。
S102:根据根密钥解密第二会话密钥得到第一会话密钥,根密钥与电子设备唯一对应,根密钥存储在电子设备中,根密钥为电子设备注册时KDC为电子设备分配。
电子设备接收到S101中KDC发送的第二会话密钥后,为了得到用于加密数据的第一会话密钥,根据根密钥解密第二会话密钥以得到第一会话密钥。其中,根密钥与电子设备唯一对应,根密钥存储在电子设备中,根密钥为电子设备注册时KDC为电子设备分配。
其中,电子设备注册时指电子设备在接入网络第一次使用业务时,例如:移动设备中***用于接入网络的客户识别模块(Subscriber Identification Module,简称:SIM)卡第一次接入SIM卡所属运营商网络时,电子设备可主动向KDC申请根密钥,也可以由KDC主动为电子设备分配根密钥。可选地,根密钥存储在电子设备的可信执行环境操作***(Trusted Execution Environment,简称:TeeOS)中。
具体地,根密钥是KDC为电子设备分配,由于根密钥与电子设备唯一对应,可以由KDC为电子设备分配唯一的根密钥,也可以使用电子设备的国际移动设备身份码(International Mobile Equipment Identity,简称:IMEI)和国际移动用户识别码(International Mobile Subscriber Identification Number,简称:IMSI)等能够区分电子设备身份的编码作为根密钥。
S103:根据第一会话密钥对电子设备的数据进行处理。
经过S101和S102后,电子设备得到了由KDC分配的用于加密数据的第一会话密钥,则电子设备根据第一会话密钥对电子设备的数据进行处理,处理方式包括:若电子设备为数据发送端,则通过第一会话密钥对数据进行加密,若电子设备为数据接收端,则通过第一会话密钥对数据进行解密,S103中对此不作限定。可选地,本步骤在电子设备的TeeOS中执行。
本实施例提供一种数据加密方法,其中,接收密钥管理分配中心KDC发送的第二会话密钥,第二会话密钥由KDC将第一会话密钥加密得到;根据根密钥解密第二会话密钥得到第一会话密钥,根密钥与电子设备唯一对应,根密钥存储在电子设备中,根密钥为电子设备注册时KDC为电子设备分配;根据第一会话密钥对电子设备的数据进行处理。本实施例提供的数据加密方法,通过电子设备中存储的与电子设备唯一对应的根密钥为第一会话密钥进行加密以保障第一会话密钥的安全性,从而提高了通信的安全性。
图2为本发明数据加密方法实施例二的流程示意图。如图2所示,在图1所示实施例一的基础上,本实施例数据加密方法包括如下步骤:
S201:接收KDC发送的第二业务密钥,第二业务密钥由KDC根据根密钥将第一业务密钥加密得到。
具体地,第一业务密钥为KDC为电子设备不同的业务分配的密钥,不同的业务采用不同的密钥以在数据加密时对不同的业务进行区分,第一业务密钥的具体加密形式本步骤中不作限定。电子设备接收KDC发送的第二业务密钥,其中KDC为电子设备分配第一业务密钥后不直接发送至电子设备,而是将第一业务密钥加密为第二业务密钥,电子设备以第二业务密钥的形式接收第一业务密钥。
S202:接收KDC发送的第二会话密钥,第二会话密钥由KDC根据第一业务密钥将第一会话密钥加密得到。
具体地,电子设备为了实现通信数据加密,需要由KDC分配第一会话密钥对电子设备的数据进行加密,由于第一会话密钥为对称密钥,因此作为发送数据方的电子设备通过第一会话密钥对数据进行加密后发送至接收数据方的电子设备,接收数据的电子设备通过第一会话密钥对加密数据进行解密,得到原始数据从而实现数据加密通信。在本步骤中,KDC为电子设备分配第一会话密钥后不直接发送至电子设备,而是将第一会话密钥通过第一业务密钥加密为第二会话密钥,第一业务密钥为S201中KDC为电子设备分配,电子设备以第二会话密钥的形式接收第一会话密钥。
S203:根据根密钥解密第二业务密钥得到第一业务密钥。
电子设备接收到S201中KDC发送的第二业务密钥后,为了得到用于加密第一会话密钥的第一业务密钥,根据根密钥解密第二业务密钥以得到第一业务密钥。其中,根密钥与电子设备唯一对应,根密钥存储在电子设备中,根密钥为电子设备注册时KDC为电子设备分配。可选地,本步骤在电子设备的TeeOS中执行。
S204:根据第一业务密钥解密第二会话密钥得到第一会话密钥。
具体地,电子设备利用S203中得到的第一业务密钥,解密第二会话密钥得到第一会话密钥,其中,第二会话密钥为KDC根据第一业务密钥将第一会话密钥加密得到。可选地,本步骤在电子设备的TeeOS中执行。
S205:根据第一会话密钥对电子设备的数据进行处理。
本步骤的原理和具体实现方式同S103,不再赘述。
可选地,在上述实施例二中,电子设备将根密钥、第一业务密钥、第二业务密钥、第一会话密钥和第二会话密钥存储在电子设备的可信执行环境操作***TeeOS中。则S203包括:在TeeOS中根据根密钥解密第二会话密钥得到第一会话密钥,S204包括:在TeeOS中根据第一业务密钥解密第二会话密钥得到第一会话密钥。即,电子设备均在TeeOS中进行所有加密和解密的步骤。
图3为本发明数据加密方法实施例三的流程示意图。如图3示,在图2所示实施例二的基础上,本实施例的执行主体为发送数据的电子设备,本实施例数据加密方法包括如下步骤:
S301:向KDC发送数据加密请求。
具体地,当第一电子设备需要向第二电子设备发送数据时,第一电子设备和第二电子设备之间连接建立好之后,由第一电子设备向KDC发送数据加密请求,以请求用于加密数据的第一会话密钥。
特殊地,当第一电子设备和第二电子设备之间发送的数据为语音通话数据时,第一电子设备为主叫设备,第二电子设备为被叫设备,即由主叫设备向KDC发送数据加密请求。
S302:接收KDC发送的第二业务密钥,第二业务密钥由KDC根据根密钥将第一业务密钥加密得到。
本步骤的原理和具体实现方式同S201,不再赘述。
S303:接收KDC发送的第二会话密钥,第二会话密钥由KDC根据第一业务密钥将第一会话密钥加密得到。
本步骤的原理和具体实现方式同S202,不再赘述。
S304:根据根密钥解密第二业务密钥得到第一业务密钥。
本步骤的原理和具体实现方式同S203,不再赘述。
S305:根据第一业务密钥解密第二会话密钥得到第一会话密钥
本步骤的原理和具体实现方式同S204,不再赘述。
S306:通过第一会话密钥加密第一数据得到第二数据。
具体地,电子设备利用S304至S305的多级解密得到的第一会话密钥加密电子设备待发送的第一数据得到第二数据。可选地,本步骤在电子设备的TeeOS中执行。
S307:发送第二数据。
具体地,电子设备以加密的第二数据的形式,发送第一数据。其发送方式可以是直接发送至接收端的电子设备,或者发送至运营商网络再通过运营商网络发送至其他电子设备。
图4为本发明数据加密方法实施例四的流程示意图。如图4示,在图2所示实施例二的基础上,本实施例的执行主体为接收数据的电子设备,本实施例数据加密方法包括如下步骤:
S401:接收KDC发送的第二业务密钥,第二业务密钥由KDC根据根密钥将第一业务密钥加密得到。
本步骤的原理和具体实现方式同S201,不再赘述。
S402:接收KDC发送的第二会话密钥,第二会话密钥由KDC根据第一业务密钥将第一会话密钥加密得到。
本步骤的原理和具体实现方式同S202,不再赘述。
S403:根据根密钥解密第二业务密钥得到第一业务密钥。
本步骤的原理和具体实现方式同S203,不再赘述。
S404:根据第一业务密钥解密第二会话密钥得到第一会话密钥。
本步骤的原理和具体实现方式同S204,不再赘述。
S405:接收第二数据。
具体地,电子设备接收第二数据,其中第二数据为经过第一会话密钥加密的第一数据。
S406:通过第一会话密钥解密第二数据得到第一数据。
具体地,电子设备利用S403至S404的多级解密得到的第一会话密钥解密电子设备接收到的第二数据得到第一数据。可选地,本步骤在电子设备的TeeOS中执行。
可选地,根密钥为非对称加密密钥。则KDC生成的根密钥包括公钥和私钥,KDC生成根密钥的公钥和根密钥的私钥后,KDC保存根密钥的公钥,KDC向电子设备发送根密钥的私钥。则S203包括:根据根密钥的私钥解密第二会话密钥得到第一会话密钥。
具体地,根密钥的公钥和私钥为互相配对的密钥,一个用于加密时,则另一个相应地用于解密。在本实施例中,KDC用根密钥的公钥加密第一业务密钥得到第二业务密钥,则电子设备用根密钥的私钥解密第二业务密钥得到第一业务密钥。
可选地,在上述实施例中,KDS和电子设备之间通过安全套接层(Secure SocketsLayer,简称:SSL)通信,以保证电子设备和KDS通信之间的安全性。
图5为本发明数据加密方法实施例五的流程示意图。本实施例的执行主体为网络侧设备中的KDC。如图5示,本实施例数据加密方法包括如下步骤:
S501:加密第一会话密钥得到第二会话密钥。
具体地,网络侧设备为了实现电子设备的通信数据加密,由KDC向电子设备分配第一会话密钥对电子设备的数据进行加密。在S501中KDC为电子设备分配第一会话密钥后不直接发送至电子设备,而是将第一会话密钥加密为第二会话密钥。可选地,本步骤在电子设备的TeeOS中执行。
S502:向电子设备发送第二会话密钥,以使电子设备根据根密钥解密第二会话密钥得到第一会话密钥,根密钥与电子设备唯一对应,根密钥存储在电子设备中,根密钥为电子设备注册时密钥管理分配中心KDC为电子设备分配,并使电子设备根据第一会话密钥对数据进行处理。
具体地,KDC以S501中加密的第二会话密钥的方式向电子设备发送第一会话密钥。以使电子设备接收到第二会话密钥后,为了得到用于加密数据的第一会话密钥,根据根密钥解密第二会话密钥以得到第一会话密钥。其中,根密钥与电子设备唯一对应,根密钥存储在电子设备中,根密钥为电子设备注册时KDC为电子设备分配。
其中,电子设备注册时指电子设备在接入网络第一次使用业务时,例如:移动设备中***用于接入SIM卡第一次接入SIM卡所属运营商网络时,电子设备可主动向KDC申请根密钥,也可以由KDC主动为电子设备分配根密钥。可选地,根密钥存储在电子设备的TeeOS中。
具体地,根密钥是KDC为电子设备分配,由于根密钥与电子设备唯一对应,可以由KDC为电子设备分配唯一的根密钥,也可以使用电子设备的IMEI和IMSI等能够区分电子设备身份的编码作为根密钥。
图6为本发明数据加密方法实施例六的流程示意图。如图6示,在图5所示实施例一的基础上,本实施例数据加密方法包括如下步骤:
S601:根据电子设备的根密钥加密第一业务密钥得到第二业务密钥。
具体地,第一业务密钥为KDC为电子设备不同的业务分配的密钥,不同的业务采用不同的密钥以在数据加密时对不同的业务进行区分,第一业务密钥的具体加密形式本步骤中不作限定。其中KDC为电子设备分配第一业务密钥后不直接发送至电子设备,而是将第一业务密钥根据电子设备的根密钥加密为第二业务密钥。
S602:根据第一业务密钥加密第一会话密钥得到第二会话密钥。
在本步骤中,KDC为电子设备分配第一会话密钥后不直接发送至电子设备,而是将第一会话密钥通过第一业务密钥加密为第二会话密钥,第一业务密钥为S601中KDC为电子设备分配。
S603:向电子设备发送第二业务密钥。
具体地,向电子设备以第二业务密钥的形式发送第一业务密钥。
S604:向电子设备发送第二会话密钥。
具体地,KDC向电子设备以第二会话密钥的形式发送第一会话密钥。
可选地,根密钥为非对称加密密钥。则KDC生成的根密钥包括公钥和私钥,KDC生成根密钥的公钥和根密钥的私钥后,KDC保存根密钥的公钥,KDC向电子设备发送根密钥的私钥。则S601包括:根据电子设备的根密钥的公钥加密第一业务密钥得到第二业务密钥。
具体地,根密钥的公钥和私钥为互相配对的密钥,一个用于加密时,则另一个相应地用于解密。在本实施例中,KDC用根密钥的公钥加密第一业务密钥得到第二业务密钥,则电子设备用根密钥的私钥解密第二业务密钥得到第一业务密钥。
图7为本发明电子设备实施例一的结构示意图。如图7所示,本实施例电子设备包括:接收模块701,、解密模块702和处理模块703。其中,接收模块用于接收密钥管理分配中心KDC发送的第二会话密钥,第二会话密钥由KDC将第一会话密钥加密得到,解密模块702用于根据根密钥解密第二会话密钥得到第一会话密钥,根密钥与电子设备唯一对应,根密钥存储在电子设备中,根密钥为电子设备注册时KDC为电子设备分配。处理模块703用于根据第一会话密钥对电子设备的数据进行处理。
本实施例的装置对应地可用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
进一步地,在上述实施例中,第二会话密钥由KDC根据第一业务密钥将第一会话密钥加密得到,则接收模块701还用于接收KDC发送的第二业务密钥,第二业务密钥由KDC根据根密钥将第一业务密钥加密得到。解密模块具体用于根据根密钥解密第二业务密钥得到第一业务密钥,根据第一业务密钥解密第二会话密钥得到第一会话密钥。
本实施例的装置对应地可用于执行图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
可选地,在上述实施例中,电子设备将根密钥、第一业务密钥、第二业务密钥、第一会话密钥和第二会话密钥存储在电子设备的可信执行环境操作***TeeOS中,则解密模块702具体用于在TeeOS中根据根密钥解密第二会话密钥得到第一会话密钥。
可选地,在上述实施例中,处理模块703具体地用于,接收第二数据,通过第一会话密钥解密第二数据得到第一数据。
本实施例的装置对应地可用于执行图4所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图8为本发明电子设备实施例二的结构示意图。如图8所示,本实施例电子设备在图7所示的实施例一的基础上,包括:接收模块701,、解密模块702、处理模块703和发送模块801。其中,处理模块703具体用于通过第一会话密钥加密第一数据得到第二数据,发送第二数据。发送模块801用于向KDC发送数据加密请求。
本实施例的装置对应地可用于执行图3所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
进一步地,在上述实施例中,根密钥为非对称加密密钥,KDC生成根密钥的公钥和根密钥的私钥后,KDC保存根密钥的公钥,KDC向电子设备发送根密钥的私钥。解密模块702具体用于根据根密钥的私钥解密第二会话密钥得到第一会话密钥。
可选地,在上述实施例中,KDS和电子设备之间通过安全套接层SSL通信,以保证电子设备和KDS通信之间的安全性。
图9为本发明网络侧设备实施例的结构示意图。如图9所示,本实施例电子设备包括:加密模块901和发送模块902。其中,加密模块901用于加密第一会话密钥得到第二会话密钥。发送模块902用于向电子设备发送第二会话密钥,以使电子设备根据根密钥解密第二会话密钥得到第一会话密钥,根密钥与电子设备唯一对应,根密钥存储在电子设备中,根密钥为电子设备注册时密钥管理分配中心KDC为电子设备分配,并使电子设备根据第一会话密钥对数据进行处理。
本实施例的装置对应地可用于执行图5所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
进一步地,在上述实施例中,加密模块901具体用于根据第一业务密钥加密第一会话密钥得到第二会话密钥,加密模块901还用于根据电子设备的根密钥加密第一业务密钥得到第二业务密钥。发送模块902还用于向电子设备发送第二业务密钥。
本实施例的装置对应地可用于执行图6所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
可选地,在上述实施例中,根密钥为非对称加密密钥,KDC生成根密钥的公钥和根密钥的私钥后,KDC保存根密钥的公钥,KDC向电子设备发送根密钥的私钥,则加密模块901具体用于根据电子设备的根密钥的公钥加密第一业务密钥得到第二业务密钥。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (16)
1.一种数据加密方法,其特征在于,包括:
接收密钥管理分配中心KDC发送的第二会话密钥,所述第二会话密钥由所述KDC将第一会话密钥加密得到;
根据根密钥解密所述第二会话密钥得到所述第一会话密钥,所述根密钥与电子设备唯一对应,所述根密钥存储在所述电子设备中,所述根密钥为所述电子设备注册时所述KDC为所述电子设备分配;
根据所述第一会话密钥对所述电子设备的数据进行处理;
所述第二会话密钥由所述KDC根据第一业务密钥将所述第一会话密钥加密得到;
所述接收KDC发送的第二会话密钥之前还包括:
接收所述KDC发送的第二业务密钥,所述第二业务密钥由所述KDC根据所述根密钥将所述第一业务密钥加密得到;
所述根据根密钥解密所述第二会话密钥得到所述第一会话密钥包括:
根据所述根密钥解密所述第二业务密钥得到所述第一业务密钥;
根据所述第一业务密钥解密所述第二会话密钥得到所述第一会话密钥。
2.根据权利要求1所述的方法,其特征在于,所述电子设备将所述根密钥、所述第一业务密钥、所述第二业务密钥、所述第一会话密钥和所述第二会话密钥存储在所述电子设备的可信执行环境操作***TeeOS中;
所述根据根密钥解密所述第二会话密钥得到所述第一会话密钥包括:
在所述TeeOS中根据根密钥解密所述第二会话密钥得到所述第一会话密钥。
3.根据权利要求2所述的方法,其特征在于,
所述根据所述第一会话密钥对数据进行处理包括:
通过所述第一会话密钥加密第一数据得到第二数据;
发送所述第二数据;
所述接收密钥管理分配中心KDC发送的第二会话密钥之前,还包括:
向所述KDC发送数据加密请求。
4.根据权利要求2所述的方法,其特征在于,所述根据所述第一会话密钥对数据进行处理包括:
接收第二数据;
通过所述第一会话密钥解密第二数据得到第一数据。
5.根据权利要求3或4所述的方法,其特征在于,
所述根密钥为非对称加密密钥,所述KDC生成所述根密钥的公钥和所述根密钥的私钥后,所述KDC保存所述根密钥的公钥,所述KDC向所述电子设备发送所述根密钥的私钥;
所述根据根密钥解密所述第二会话密钥得到所述第一会话密钥包括:
根据根密钥的私钥解密所述第二会话密钥得到所述第一会话密钥。
6.根据权利要求5所述的方法,其特征在于,
所述KDC 和所述电子设备之间通过安全套接层SSL通信。
7.一种数据加密方法,其特征在于,包括:
加密第一会话密钥得到第二会话密钥;
向电子设备发送第二会话密钥,以使所述电子设备根据根密钥解密所述第二会话密钥得到所述第一会话密钥,所述根密钥与电子设备唯一对应,所述根密钥存储在所述电子设备中,所述根密钥为所述电子设备注册时密钥管理分配中心KDC为所述电子设备分配,并使所述电子设备根据所述第一会话密钥对数据进行处理;
所述加密第一会话密钥得到第二会话密钥包括:
根据第一业务密钥加密所述第一会话密钥得到所述第二会话密钥;
所述加密第一会话密钥得到第二会话密钥之前,还包括:
根据所述电子设备的根密钥加密所述第一业务密钥得到第二业务密钥;
所述加密第一会话密钥得到第二会话密钥之后,还包括:
向所述电子设备发送所述第二业务密钥。
8.根据权利要求7所述的方法,其特征在于,
所述根密钥为非对称加密密钥,所述KDC生成所述根密钥的公钥和所述根密钥的私钥后,所述KDC保存所述根密钥的公钥,所述KDC向所述电子设备发送所述根密钥的私钥;
所述根据所述电子设备的根密钥加密所述第一业务密钥得到第二业务密钥包括:
根据所述电子设备的根密钥的公钥加密所述第一业务密钥得到第二业务密钥。
9.一种电子设备,其特征在于,包括:
接收模块,所述接收模块用于接收密钥管理分配中心KDC发送的第二会话密钥,所述第二会话密钥由所述KDC将第一会话密钥加密得到;
解密模块,所述解密 模块用于根据根密钥解密所述第二会话密钥得到所述第一会话密钥,所述根密钥与电子设备唯一对应,所述根密钥存储在所述电子设备中,所述根密钥为所述电子设备注册时所述KDC为所述电子设备分配;
处理模块,所述处理模块用于根据所述第一会话密钥对所述电子设备的数据进行处理;
所述第二会话密钥由所述KDC根据第一业务密钥将所述第一会话密钥加密得到;
所述接收模块还用于接收所述KDC发送的第二业务密钥,所述第二业务密钥由所述KDC根据所述根密钥将所述第一业务密钥加密得到;
所述解密模块具体用于:
根据所述根密钥解密所述第二业务密钥得到所述第一业务密钥;
根据所述第一业务密钥解密所述第二会话密钥得到所述第一会话密钥。
10.根据权利要求9所述的电子设备,其特征在于,所述电子设备将所述根密钥、所述第一业务密钥、所述第二业务密钥、所述第一会话密钥和所述第二会话密钥存储在所述电子设备的可信执行环境操作***TeeOS中;
所述解密模块具体用于在所述TeeOS中根据根密钥解密所述第二会话密钥得到所述第一会话密钥。
11.根据权利要求10所述的电子设备,其特征在于,所述处理模块具体用于:
通过所述第一会话密钥加密第一数据得到第二数据;
发送所述第二数据;
所述电子设备还包括:发送模块,所述发送模块用于向所述KDC发送数据加密请求。
12.根据权利要求10所述的电子设备,其特征在于,所述处理模块具体用于:
接收第二数据;
通过所述第一会话密钥解密第二数据得到第一数据。
13.根据权利要求11或12所述的电子设备,其特征在于,
所述根密钥为非对称加密密钥,所述KDC生成所述根密钥的公钥和所述根密钥的私钥后,所述KDC保存所述根密钥的公钥,所述KDC向所述电子设备发送所述根密钥的私钥;
所述解密模块具体用于根据根密钥的私钥解密所述第二会话密钥得到所述第一会话密钥。
14.根据权利要求13所述的电子设备,其特征在于,
所述KDC 和所述电子设备之间通过安全套接层SSL通信。
15.一种网络侧设备,其特征在于,包括:
加密模块,所述加密模块用于加密第一会话密钥得到第二会话密钥;
发送模块,所述发送模块用于向电子设备发送第二会话密钥,以使所述电子设备根据根密钥解密所述第二会话密钥得到所述第一会话密钥,所述根密钥与电子设备唯一对应,所述根密钥存储在所述电子设备中,所述根密钥为所述电子设备注册时密钥管理分配中心KDC为所述电子设备分配,并使所述电子设备根据所述第一会话密钥对数据进行处理;
所述加密模块具体用于根据第一业务密钥加密所述第一会话密钥得到所述第二会话密钥;
所述加密模块还用于根据所述电子设备的根密钥加密所述第一业务密钥得到第二业务密钥;
所述发送模块还用于向所述电子设备发送所述第二业务密钥。
16.根据权利要求15所述的网络侧设备,其特征在于,所述根密钥为非对称加密密钥,所述KDC生成所述根密钥的公钥和所述根密钥的私钥后,所述KDC保存所述根密钥的公钥,所述KDC向所述电子设备发送所述根密钥的私钥;
所述加密模块具体用于根据所述电子设备的根密钥的公钥加密所述第一业务密钥得到第二业务密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611096712.3A CN108156112B (zh) | 2016-12-02 | 2016-12-02 | 数据加密方法、电子设备及网络侧设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611096712.3A CN108156112B (zh) | 2016-12-02 | 2016-12-02 | 数据加密方法、电子设备及网络侧设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108156112A CN108156112A (zh) | 2018-06-12 |
| CN108156112B true CN108156112B (zh) | 2021-06-22 |
Family
ID=62470414
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611096712.3A Active CN108156112B (zh) | 2016-12-02 | 2016-12-02 | 数据加密方法、电子设备及网络侧设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108156112B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112422487A (zh) * | 2019-08-23 | 2021-02-26 | 北京小米移动软件有限公司 | 数据传输方法、装置、***及计算机可读存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1389042A (zh) * | 2000-06-15 | 2003-01-01 | 索尼公司 | 使用了加密密钥组的信息处理***及方法 |
| US7366900B2 (en) * | 1997-02-12 | 2008-04-29 | Verizon Laboratories, Inc. | Platform-neutral system and method for providing secure remote operations over an insecure computer network |
| CN101282211A (zh) * | 2008-05-09 | 2008-10-08 | 西安西电捷通无线网络通信有限公司 | 一种密钥分配方法 |
| CN101364866A (zh) * | 2008-09-24 | 2009-02-11 | 西安西电捷通无线网络通信有限公司 | 一种基于多个密钥分配中心的实体密话建立***及其方法 |
| CN101867898A (zh) * | 2010-07-02 | 2010-10-20 | 中国电信股份有限公司 | 一种短信加密通信***、方法及密钥中心 |
| CN105792190A (zh) * | 2014-12-25 | 2016-07-20 | 成都鼎桥通信技术有限公司 | 通信***中的数据加解密和传输方法 |
-
2016
- 2016-12-02 CN CN201611096712.3A patent/CN108156112B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7366900B2 (en) * | 1997-02-12 | 2008-04-29 | Verizon Laboratories, Inc. | Platform-neutral system and method for providing secure remote operations over an insecure computer network |
| CN1389042A (zh) * | 2000-06-15 | 2003-01-01 | 索尼公司 | 使用了加密密钥组的信息处理***及方法 |
| CN101282211A (zh) * | 2008-05-09 | 2008-10-08 | 西安西电捷通无线网络通信有限公司 | 一种密钥分配方法 |
| CN101364866A (zh) * | 2008-09-24 | 2009-02-11 | 西安西电捷通无线网络通信有限公司 | 一种基于多个密钥分配中心的实体密话建立***及其方法 |
| CN101867898A (zh) * | 2010-07-02 | 2010-10-20 | 中国电信股份有限公司 | 一种短信加密通信***、方法及密钥中心 |
| CN105792190A (zh) * | 2014-12-25 | 2016-07-20 | 成都鼎桥通信技术有限公司 | 通信***中的数据加解密和传输方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108156112A (zh) | 2018-06-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3422629B1 (en) | Method, apparatus and system for encryption key distribution and authentication | |
| JP6641029B2 (ja) | キー配信および認証方法およびシステム、ならびに装置 | |
| CN101340443B (zh) | 一种通信网络中会话密钥协商方法、***和服务器 | |
| WO2017114123A1 (zh) | 一种密钥配置方法及密钥管理中心、网元 | |
| CN105634737B (zh) | 一种数据传输方法、终端及其*** | |
| EP1835688A1 (en) | SIM based authentication | |
| CN101102186B (zh) | 通用鉴权框架推送业务实现方法 | |
| CN101635924B (zh) | 一种cdma端到端加密通信***及其密钥分发方法 | |
| CN103986723B (zh) | 一种保密通信控制、保密通信方法及装置 | |
| CN103458400A (zh) | 一种语音加密通信***中的密钥管理方法 | |
| CN103036880A (zh) | 网络信息传输方法、设备及*** | |
| KR20100087023A (ko) | 단대단 암호화 통신 | |
| US10237731B2 (en) | Communication system with PKI key pair for mobile terminal | |
| CN105142134A (zh) | 参数获取以及参数传输方法和装置 | |
| CN104917718A (zh) | 一种移动终端用户快速与应用服务器认证的方法及终端 | |
| US9479334B2 (en) | Method, system, and terminal for communication between cluster system encryption terminal and encryption module | |
| CN114630290A (zh) | 语音加密通话的密钥协商方法、装置、设备及存储介质 | |
| CN103997405A (zh) | 一种密钥生成方法及装置 | |
| CN112822021B (zh) | 一种密钥管理方法和相关装置 | |
| CN108156112B (zh) | 数据加密方法、电子设备及网络侧设备 | |
| CN110830240B (zh) | 一种终端与服务器的通信方法和装置 | |
| KR101329789B1 (ko) | 모바일 디바이스의 데이터베이스 암호화 방법 | |
| CN112054905B (zh) | 一种移动终端的安全通信方法及*** | |
| WO2016176902A1 (zh) | 一种终端认证方法、管理终端及申请终端 | |
| CN109155913B (zh) | 网络连接方法、安全节点的确定方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |