CN113938279A - 密钥交换方法、设备和*** - Google Patents
密钥交换方法、设备和*** Download PDFInfo
- Publication number
- CN113938279A CN113938279A CN202111533951.1A CN202111533951A CN113938279A CN 113938279 A CN113938279 A CN 113938279A CN 202111533951 A CN202111533951 A CN 202111533951A CN 113938279 A CN113938279 A CN 113938279A
- Authority
- CN
- China
- Prior art keywords
- information
- equipment
- server
- public key
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请提供一种密钥交换方法、设备和***,该方法包括:终端设备通过运行在内部TEE中的程序生成设备公钥和设备私钥,采集设备信息,基于设备私钥对设备公钥和设备信息进行签名。终端设备向服务器发送包括签名结果、所述设备公钥和所述设备信息的注册信息。服务器根据设备公钥和设备信息确定签名结果通过验签,以及确定设备信息符合检验条件时生成终端设备对应的设备标识,将设备标识和服务器的公钥发送给终端设备。通过该方案,可以实现终端设备与服务器之间的安全的公钥交换。
Description
技术领域
本发明涉及物联网技术领域,尤其涉及一种密钥交换方法、设备和***。
背景技术
物联网(IoT)是新一代信息技术的重要组成部分,也是信息化时代的重要发展阶段。随着物联网的不断发展,安全问题越来越得到广泛的重视。
物联网的设备端和服务端建立通信连接时,需要进行双向认证,以保证双方的通信安全。一种常用的双向认证方式是采用非对称密钥体系认证,此时,需要双方预先交换彼此的公钥。但是,目前很多存量的物联网设备在出厂时设备上并未烧录该终端设备对应的唯一的公私钥对,在需要与服务端进行联网时再生成并向服务端注册自己的公钥。服务端需要对该终端设备上传的信息进行校验,以保证双方信息传输的安全性。
发明内容
本发明实施例提供一种密钥交换方法、设备和***,用以提高终端设备与服务器的公钥交换过程的安全性。
第一方面,本发明实施例提供一种密钥交换方法,应用于目标终端设备,所述方法包括:
通过运行在内部可信环境中的程序生成设备公钥和设备私钥;
通过所述程序采集所述终端设备的设备信息;
通过所述程序,基于所述设备私钥对所述设备公钥和所述设备信息进行签名;
向服务器发送注册信息,所述注册信息中包括签名结果、所述设备公钥和所述设备信息;
接收所述服务器反馈的设备标识和所述服务器的公钥,所述设备标识是所述服务器根据所述设备公钥和所述设备信息确定所述签名结果通过验签,以及确定所述设备信息符合检验条件时生成的,所述设备标识用于唯一性标识所述目标终端设备。
第二方面,本发明实施例提供一种密钥交换装置,应用于目标终端设备,所述装置包括:
处理模块,用于通过运行在内部可信环境中的程序生成设备公钥和设备私钥,通过所述程序采集所述终端设备的设备信息,通过所述程序,基于所述设备私钥对所述设备公钥和所述设备信息进行签名;
发送模块,用于向服务器发送注册信息,所述注册信息中包括签名结果、所述设备公钥和所述设备信息;
接收模块,用于接收所述服务器反馈的设备标识和所述服务器的公钥,所述设备标识是所述服务器根据所述设备公钥和所述设备信息确定所述签名结果通过验签,以及确定所述设备信息符合检验条件时生成的,所述设备标识用于唯一性标识所述目标终端设备。
第三方面,本发明实施例提供一种终端设备,包括:存储器、处理器、通信接口;其中,所述存储器上存储有可执行代码,当所述可执行代码被所述处理器执行时,使所述处理器至少可以实现如第一方面所述的密钥交换方法。
第四方面,本发明实施例提供了一种非暂时性机器可读存储介质,所述非暂时性机器可读存储介质上存储有可执行代码,当所述可执行代码被终端设备的处理器执行时,使所述处理器至少可以实现如第一方面所述的密钥交换方法。
第五方面,本发明实施例提供一种密钥交换方法,应用于服务器,所述方法包括:
接收终端设备发送的注册信息,所述注册信息中包括签名结果、设备公钥和设备信息,所述签名结果是所述终端设备通过运行在内部可信环境中的程序生成所述设备公钥和设备私钥以及采集所述设备信息后,根据所述设备私钥对所述设备公钥和所述设备信息进行签名得到的;
根据所述设备公钥和所述设备信息确定所述签名结果通过验签,以及确定所述设备信息符合检验条件时,生成所述终端设备对应的设备标识,所述设备标识用于唯一性标识所述终端设备;
将所述设备标识和所述服务器的公钥发送至所述终端设备。
第六方面,本发明实施例提供一种密钥交换装置,应用于服务器,所述装置包括:
接收模块,用于接收终端设备发送的注册信息,所述注册信息中包括签名结果、设备公钥和设备信息,所述签名结果是所述终端设备通过运行在内部可信环境中的程序生成所述设备公钥和设备私钥以及采集所述设备信息后,根据所述设备私钥对所述设备公钥和所述设备信息进行签名得到的;
认证模块,用于根据所述设备公钥和所述设备信息确定所述签名结果通过验签,以及确定所述设备信息符合检验条件时,生成所述终端设备对应的设备标识,所述设备标识用于唯一性标识所述终端设备;
发送模块,用于将所述设备标识和所述服务器的公钥发送至所述终端设备。
第七方面,本发明实施例提供一种服务器,包括:存储器、处理器、通信接口;其中,所述存储器上存储有可执行代码,当所述可执行代码被所述处理器执行时,使所述处理器至少可以实现如第五方面所述的密钥交换方法。
第八方面,本发明实施例提供了一种非暂时性机器可读存储介质,所述非暂时性机器可读存储介质上存储有可执行代码,当所述可执行代码被服务器的处理器执行时,使所述处理器至少可以实现如第五方面所述的密钥交换方法。
第九方面,本发明实施例提供了一种密钥交换***,包括:多个终端设备和服务器;
所述多个终端设备中的目标终端设备,用于通过运行在内部可信环境中的程序生成设备公钥和设备私钥,采集设备信息,以及根据所述设备私钥对所述设备公钥和所述设备信息进行签名;向所述服务器发送注册信息,所述注册信息中包括签名结果、所述设备公钥和所述设备信息;接收所述服务器反馈的设备标识和所述服务器的公钥;
所述服务器,用于根据所述设备公钥和所述设备信息确定所述签名结果通过验签,以及确定所述设备信息符合检验条件时,生成所述目标终端设备对应的设备标识,并将所述设备标识和所述服务器的公钥发送至所述目标终端设备,所述设备标识用于唯一性标识所述目标终端设备。
在本发明实施例中,在目标终端设备需要与服务器彼此交换各自的公钥的情形下,在目标终端设备内部构建可信运行环境(Trusted Execution Environment,简称TEE),并在TEE中封装有具有秘钥生成、设备信息采集以及签名计算功能的程序,目标终端设备可以通过TEE中的该程序生成设备公钥和设备私钥,采集设备信息,以及根据设备私钥对设备公钥和采集的设备信息进行签名。之后,目标终端设备可以向服务器发送包括签名结果、设备公钥和设备信息的注册信息。服务器首先基于注册信息中包含的设备公钥和设备信息对签名结果进行验签,如果确定签名结果通过验签,则进一步对收到的设备信息进行检验,如果设备信息符合检验条件,则生成目标终端设备对应的设备标识,并将该设备标识和服务器的公钥发送至目标终端设备,该设备标识用于唯一性标识目标终端设备。
在该方案中,利用TEE来保证设备端公私钥的安全生成及存储,同时在TEE中集成设备信息采集与私有的消息签名逻辑,以保证设备公钥的上传安全,降低设备公钥在上传过程中被成功攻击的风险。另外,设备端上传的注册信息中还包括在TEE中采集的设备信息,服务端对设备端进行安全校验的过程中,还考虑对设备信息的合法性检验,可以进一步提高检验结果的准确性,以保证设备端与服务端的信息交互安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种密钥交换***的示意图;
图2为本发明实施例提供的一种密钥交换方法的交互流程图;
图3为本发明实施例提供的一种密钥交换方法的交互流程图;
图4为本发明实施例提供的一种密钥交换方法的流程图;
图5为本发明实施例提供的一种密钥交换方法的流程图;
图6为本发明实施例提供的一种密钥交换装置的结构示意图;
图7为与图6所示实施例提供的密钥交换装置对应的终端设备的结构示意图;
图8为本发明实施例提供的一种密钥交换装置的结构示意图;
图9为与图8所示实施例提供的密钥交换装置对应的服务器的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合附图对本发明的一些实施方式作详细说明。在各实施例之间不冲突的情况下,下述的实施例及实施例中的特征可以相互组合。另外,下述各方法实施例中的步骤时序仅为一种举例,而非严格限定。
图1为本发明实施例提供的一种密钥交换***的示意图,如图1所示,该***包括多个终端设备和服务器,其中,这多个终端设备中包括由同一厂商生产的同种产品对应的各个终端设备。
其中,产品比如为某款空调,该产品对应的各终端设备即为实际生产出的对应于这款产品的各个空调设备。因此,产品可以作为产品类目、产品型号来理解。
为便于描述,本发明实施例中假设上述多个终端设备对应于同一厂商生成的同一种产品。在物联网应用场景中,这些终端设备在出厂时,并未被分配唯一的设备标识,并且也没有烧录密钥对(设备公钥和设备私钥),因此,在其需要与服务器进行联网时,需要动态地生成自己对应的密钥对,并将自己的设备公钥安全地发送至服务器,以使服务器在校验该设备公钥符合条件时,为相应终端设备生成设备标识,并反馈服务器自己的公钥。这样,终端设备与服务器完成了双方公钥的交换,接下来就可以在后续通信连接过程中,基于对方的公钥完成双向认证。
下面结合图2来示例性说明在公钥交换阶段,终端设备与服务器之间的交互过程。在图2中,仅以多个终端设备中的任一终端设备(称为目标终端设备)为例进行说明。
其中,在目标终端设备中可以预先构建有TEE,目标终端设备中除TEE这个执行环境外,还可以包括富执行环境(Rich Execution Environment,简称REE)。其中,TEE具有独立的操作***,用于存储、处理和保护敏感数据。REE的处理能力较强,但安全性不够。本文中的非可信环境即为REE。
图2为本发明实施例提供的一种密钥交换方法的交互流程图,如图2中所示,该方法包括如下步骤:
200、目标终端设备从服务器申请得到产品密钥和/或产品标识。
该步骤属于前置步骤,通过该步骤的执行,目标终端设备可以从服务器获取为其分配的产品密钥和产品标识。其中,属于同一厂商的同一产品的多个终端设备具有相同的产品标识和产品密钥。其中,产品标识用于标识同一厂商生成的同一种产品,产品密钥可以是非对称密钥中的产品公钥,由服务器生成。
201、目标终端设备通过运行在TEE中的程序生成设备公钥和设备私钥,以及采集设备信息。
202、目标终端设备通过运行在TEE中的程序,利用设备私钥对设备公钥和设备信息进行签名。
本发明实施例中,为保障目标终端设备所生成信息的安全性,其设备公钥和设备私钥的生成过程、设备信息的采集过程以及数字签名过程可以都在其TEE中进行。也就是说,可以预先在TEE中置入用于完成密钥生成、设备信息采集以及数字签名计算的程序(代码),通过调用该程序以完成上述步骤的处理。
本实施例中不对设备公私钥的生成算法进行限定,在生成设备公钥和设备私钥后,设备私钥始终存储在TEE中,避免泄漏。
本实施例中,可选地,通过TEE中的程序所采集的设备信息比如包括一次性密码(One Time Password,简称OTP)以及其对应的生成时间,等等。需要说明的是,在构建TEE时,会分配其独立使用的相关硬件资源,因此,该设备信息可以认为是指该TEE使用的相关硬件设备的属性信息,还可以包括运行过程中动态产生的状态信息或变量信息,变量信息比如为上述OTP等。
采集的设备信息与生成的设备公钥将会被进行数字签名计算,进行数字签名时,是采用设备私钥对设备公钥和设备信息进行签名的。
其中,可选地,可以将设备信息和设备公钥的拼接结果拆分成多段,每段计算出一个摘要(分块摘要),之后,对各段对应的摘要再进行一次摘要算法的计算处理,得到一个最终的摘要(顶层摘要),之后,采用设备私钥对该顶层摘要进行签名处理,得到签名结果。
本实施例中并不会对采用的签名算法、摘要算法以及分块逻辑进行限定,仅强调采用的签名算法、摘要算法以及分块逻辑是置入在TEE中,不会被攻击获取。另外,可以理解的是,采用的签名算法、摘要算法以及分块逻辑服务器端是可见的,以便后续服务器能够进行验签。
如上文所述,在假设多个终端设备是属于同一厂商生产的同一种产品时,该厂商侧可以预先与服务器侧协商出采用的上述算法和分块逻辑,这样,多个终端设备采用的是相同的算法和分块逻辑。
203、目标终端设备通过运行在REE中的程序,向服务器发送注册信息,注册信息中包括签名结果、设备公钥和设备信息。
目标终端设备在TEE中完成密钥对生成、设备信息采集以及数字签名计算后,跳转到REE,以通过REE中的程序向服务器进行注册信息的上传,注册信息中包括签名结果、设备公钥和设备信息。也就是说,TEE中的程序可以将签名结果、设备公钥和设备信息传输给REE中的程序。
如步骤200所述,在目标终端设备已经从服务器获取产品密钥和产品标识后,实际应用中,上述注册信息中还可以包括该产品标识,而且,可选地,注册信息中的设备公钥还可以被该产品密钥加密。
具体地,产品密钥、产品标识可以存储在TEE中也可以存储在REE中。若存储在REE中,则REE中的程序在收到TEE中的程序发送的签名结果、设备公钥和设备信息后,采用产品密钥对该设备公钥加密,以生成包含签名结果、加密后设备公钥、设备信息和产品标识的注册信息。若存储在TEE中,则TEE中的程序在使用产品密钥对设备公钥加密后,将签名结果、加密后设备公钥、设备信息和产品标识发送到REE,由REE中的程序构建包含签名结果、加密后设备公钥、设备信息和产品标识的注册信息。
可以理解的是,如果目标终端设备仅获得服务器分配的产品标识,而未获取产品密钥,则可选地,上述注册信息中可以包括该产品标识。
204、服务器根据设备公钥和设备信息对签名结果进行验签。
205、服务器确定签名结果通过验签时,对设备信息进行检验。
206、服务器在确定设备信息符合检验条件时,生成目标终端设备对应的设备标识。
服务器收到上述注册信息后,从中解析出签名结果、设备公钥、设备信息、产品标识后,基于其中包含的设备公钥和设备信息对签名结果进行验签。
下面简单举例说明签名以及验签的过程:
假设目标终端设备生成的设备公钥表示为公钥K1,设备私钥表示为私钥K2。可以先通过某种数字摘要算法对公钥K1和设备信息进行摘要计算处理,假设得到的摘要为H1,之后,采用私钥K2对摘要H1进行加密得到签名结果C1。目标终端设备将包含有签名结果C1、公钥K1和设备信息的注册信息发送到服务器。服务器采用同样的数字摘要算法对公钥K1和设备信息进行摘要计算处理,假设得到的摘要为H2,之后,服务器用公钥K1对签名结果C1进行解密得到被加密的H1,对比H1与H2,若两者一致,说明签名结果C1通过验签,即验签成功,否则,验签失败。
若验签失败,则说明可能攻击了目标终端设备向服务器上传的注册信息,比如将其中的设备公钥替换成了攻击者的某设备的公钥。
实际应用中,验签成功,说明目标终端设备上传的注册信息没有被篡改,但是还不能完全保证该注册信息的有效性,因为可能还会存在一些其他的不合规行为或攻击行为。比如,目标终端设备重复向服务器进行注册;再比如,签名相关机制被攻击者获得,攻击者将自己的设备公钥以及设备信息上报注册。
因此,本发明实施例中,在服务器验签成功目标终端设备上传的签名结果后,还会对目标终端设备在注册信息中携带的设备信息进行检验,以检验设备信息的合法性。
概括来说,服务器可以获取已注册的与相同产品标识对应的设备信息列表,通过对比该设备信息列表与目标终端设备上传的设备信息,以完成对目标终端设备上传的设备信息的检验。
在实际应用中,可选地,在多个终端设备对应于同一厂商的同一产品的假设情形下,该厂商可以预先将其生产的这多个终端设备各自对应的设备信息上传到服务器中存储,此时,服务器中的上述已注册的设备信息列表即由该厂商预先注册到服务器中存储的该多个终端设备各自对应的设备信息构成。或者,可选地,响应于多个终端设备先后不同时间向服务器触发的注册信息,服务器在基于上述过程验签成功对应的签名结果时,可以将相应注册信息中包含的设备信息与上述产品标识对应地存储在设备信息列表中,即服务器动态收集对应于同一产品标识的各终端设备发送的设备信息,以用于对后续该同一产品标识对应的终端设备上传的设备信息进行检验。
实际上,对应于同一产品标识的各终端设备的设备信息中会有一些共性特征,比如,各终端设备都采用同一型号的网卡、同一厂商生产的同一种容量的存储卡。但是彼此之间也会有差异,比如每个终端设备采用的网卡的设备序列号是不同的,各个终端设备采用的存储卡的序列号标识不同。
基于此,可选地,如果当前的目标终端设备上传的设备信息与同种产品标识对应的设备信息列表中包含的设备信息不匹配,则认为目标终端设备上传的设备信息不通过检验。其中,不匹配比如体现为上述共性特征的不一致性上,比如,已经收集的设备信息中都表示出采用的是厂商A生产的存储卡,但是目标终端设备上传的设备信息中指示的是其采用的是厂商B生产的存储卡。
当服务器确定目标终端设备的签名结果通过验签,以及确定其上传的设备信息通过检验,才认为该目标终端设备是合法的,为其进行设备标识的分配。不同终端设备在服务器中对应的设备标识是不同的。
207、服务器将目标终端设备对应的设备标识以及服务器的公钥发送至目标终端设备。
实际应用中,服务器可以采用上述产品密钥对向目标终端设备发送的该设备标识和服务器的公钥进行加密,加密结果发送至目标终端设备。目标终端设备存储设备标识以及服务器的公钥。
在上述实施例提供的方案中,通过在目标终端设备内的TEE中完成密钥对的生成、设备信息的采集以及数字签名的处理,可以降低这些敏感信息的泄漏风险。另外,通过在注册信息中携带终端设备的设备信息,服务器需要在能够成功验签签名结果以及确定设备信息通过检验时才会将终端设备的设备公钥存储在本地,并为其分配设备标识以及下发自己的公钥,保证了终端设备与服务器公钥交换过程的安全性。
图3为本发明实施例提供的一种密钥交换方法的交互流程图,如图3中所示,该方法包括如下步骤:
300、目标终端设备从服务器申请得到产品密钥和产品标识。
301、目标终端设备通过运行在TEE中的程序生成设备公钥和设备私钥,以及采集第一设备信息。
如上文所述,TEE中的程序仅采集TEE可见的相关设备的属性信息以及在该设备使用过程中产生的动态信息,比如OTP及其生成时间,等等。
302、目标终端设备通过运行在REE中的程序采集的第二设备信息,并将第二设备信息传入TEE。
由于TEE内能够采集的设备信息比较有限,为了能够更加准确而全面地度量设备信息,还可以在REE中进行设备信息的采集,REE中能够采集的设备信息比如包括网卡的属性信息、存储卡的属性信息、控制芯片的属性信息,等等。由于REE的安全性较差,所以,为了避免REE中设备信息的采集逻辑被攻击获取,可以对运行在REE中的该程序进行代码混淆处理,以保护第二设备信息的采集逻辑。简单来说,代码混淆处理可以包括对其中的关键代码、参数进行加密处理,***一些伪代码,等等。
实际应用中,TEE中的程序可以向REE触发请求,以请求REE中的程序采集第二设备信息,REE中的程序采集到第二设备信息后传输给TEE中的该程序。
303、目标终端设备通过运行在TEE中的程序,利用设备私钥对设备公钥和设备信息进行签名。
其中,步骤303中的设备信息包括第一设备信息和第二设备信息。
304、目标终端设备通过运行在REE中的程序,向服务器发送注册信息,注册信息中包括签名结果、设备公钥、设备信息和产品标识。
305、服务器根据设备公钥和设备信息对签名结果进行验签。
306、服务器确定签名结果通过验签时,获取已注册的与产品标识对应的设备信息列表,根据设备信息列表对所述设备信息进行检验。
307、服务器在确定设备信息符合检验条件时,生成目标终端设备对应的设备标识。
308、服务器将目标终端设备对应的设备标识以及服务器的公钥发送至目标终端设备。
之后,目标终端设备存储收到的设备标识以及服务器的公钥。
本实施例中,对数字签名和验签的过程不再赘述。
本实施例中介绍一种可选的设备信息检验过程。
由上述举例可知,实际采集的设备信息中可以包括静态信息和动态信息这两类设备信息,其中,静态信息是指在终端设备使用过程中不会发生变化的设备信息,比如上述举例的网卡、存储卡、控制芯片的属性信息(比如生产厂商、型号、序列号);动态信息是指在终端设备使用过程中会动态变化的设备信息,比如上述举例的OTP及其生成时间,存储卡的读写次数,等等。
有鉴于此,上文所述的设备信息列表有两种情形:
第一,当设备生产厂商预先在服务器中注册其生产的多个终端设备各自对应的设备信息时,其注册的设备信息对应于上述静态信息,比如,设备信息列表中包括如下两条设备信息:由厂商X生产的网卡,网卡序列号为123456;由厂商X生产的网卡,网卡序列号为235678。可以理解的是,由于此时终端设备还没有获取到服务器分配的唯一性设备标识,因此,设备信息列表中并不会包含设备标识。另外,服务器存储上述设备信息列表时,会存储其与产品标识的对应关系,以便基于产品标识确定需要使用的设备信息列表。
第二,当服务器是基于终端设备上传注册信息后统计获得的设备信息列表时,该设备信息列表中存储的设备信息既包括静态信息也包括动态信息。具体地,服务器在首次收到携带有某产品标识的注册信息时,在完成对该注册信息中包含的签名结果的验签后,可以将其中携带的设备信息存储在一个列表中,并将该列表关联上该产品标识。以此类推,假设已经收集到一些设备信息,且这些设备信息中都包含相匹配的静态信息。该匹配性如上文所述,是指静态信息中的共性部分相一致。
针对当前目标终端设备发送的注册信息来说,服务器在确定其中的签名结果通过验签后,进行所携带设备信息的检验,具体检验过程如下:
若在设备信息列表中未查询到与其中的静态信息匹配的表项,则确定目标终端设备不符合检验条件;
若在设备信息列表中查询到与其中的静态信息和动态信息都匹配的表项,且确定目标终端设备不符合检验条件;
若在设备信息列表中查询到与静态信息匹配的表项,且动态信息与该查询到的表项不匹配,且服务器中不存在与设备公钥对应的已分配设备标识,则确定目标终端设备符合检验条件。
执行上述检验过程的前提是,服务器能够动态收集各个终端设备上传的设备信息,即可以收集包含静态信息和动态信息的设备信息。
针对当前目标终端设备来说,在已经收集到的与相同产品标识对应的设备信息列表中查询其中是否存在与其上传的设备信息中的静态信息相匹配的记录(即表项),如果没有查询到,则直接可以确定该目标终端设备无法通过检验,是不合法设备,此时无需进行动态信息的比较。其中,静态信息的匹配如前文所述,是指与相同产品标识对应的其他终端设备具有的共性设备信息,比如存储卡的生产厂商为同一厂商,网卡为同一型号。
当在设备信息列表中查询到与目标终端设备上传的静态信息相匹配的表项时,继续对比该表项中存储的动态信息与目标终端设备上传的动态信息是否匹配,若匹配,则确定目标终端设备不符合检验条件。其中,动态信息的匹配可以是指相一致。因为不同终端设备在实际使用过程中,各自产生的动态设备信息是不会完全一致的,尤其在采集多种动态信息的情形下。所以,如果发现已经收集的设备信息列表中存在与目标终端设备的静态信息和动态信息都匹配的表项时,确定目标终端设备无法通过检验。
但是,若在设备信息列表中查询到与目标终端设备的静态信息匹配的表项,且目标终端设备的动态信息与该查询到的表项不匹配,可以初步认为目标终端设备通过检验,只是,如果定义通过检验后就需要执行设备标识的分配操作,那么此时仍旧不能够最终认定目标终端设备通过了检验。因为实际应用中还会出现终端设备重复注册的情况。
所谓重复注册,是指目标终端设备在T1时刻向服务器发送了注册信息,并收到了服务器为其分配的设备标识,但是该目标终端设备侧可能因为用户误操作等原因导致该设备标识还未烧录好就丢失了,此时,该目标终端设备会在之后的T2时刻重复向服务器发送注册信息。T2时刻目标终端设备的动态信息与T1时刻该目标终端设备的动态信息会发生变化,比如存储卡读写次数增加,比如用于数字签名过程中的OTP参数发生改变,因此,服务器在收到其第二次发送的注册信息,并完成签名结果的验签后,经过上述设备信息列表的对比发现在设备信息列表中查询到了与目标终端设备的静态信息匹配的表项,且目标终端设备的动态信息与该查询到的表项不匹配,此时,服务器进行重复注册的判断。服务器查询设备标识分配结果,该分配结果中存储有设备公钥与设备标识的对应关系。如果发现其中不存在与目标终端设备上传的设备公钥对应的设备标识,则确定目标终端设备符合检验条件,继而为该目标终端设备生成设备标识,并发送给目标终端设备。反之,如果发现其中存在与目标终端设备上传的设备公钥对应的设备标识,则确定目标终端设备此次的注册行为为重复注册,找回为其已经分配的设备标识,并发送给目标终端设备。
综上,基于本发明实施例提供的方案,可以获得如下优势:
1、在TEE中生成设备公私钥对,设备私钥不出TEE,保证了其安全性。
2、终端设备上传设备公钥的过程也是安全的。一方面体现为:与设备公钥一起上传以及进行签名的还包括设备信息,设备信息的采集在TEE中进行,设备信息不易伪造,即攻击者难以获取终端设备采集的设备信息,而且,签名机制在TEE中保护,攻击者也很难将注册信息中的设备公钥替换为其非法设备的公钥。另一方面体现为:同一终端设备上传的重复注册信息,服务器可识别,以避免设备标识的重复生成。因为一个厂商一般会预先在服务器中申请设定数量的设备标识份额(数量与其生产的同一产品的终端设备数量相匹配),服务器仅会为其生成相应数量的设备标识,重复生成会造成配额的浪费。
3、上报的虚拟信息可以被服务器识别。首先,服务器需要对终端设备上传的签名结果进行验签,可防止攻击者只修改设备公钥字段或上传各自其他无关数据的行为。其次,即使签名机制被攻击者获得,攻击者将其非法的公钥及设备信息进行上报,服务器也可以根据其上报的设备信息与真实终端设备(合法设备)的设备信息对比以发现该攻击行为。
图4为本发明实施例提供的一种密钥交换方法的流程图,该方法可以由上述多个终端设备中的任一终端设备执行,如图4所示,该方法包括:
401、通过运行在内部可信环境中的程序生成设备公钥和设备私钥。
402、通过所述程序采集终端设备的设备信息。
403、通过所述程序,基于设备私钥对设备公钥和设备信息进行签名。
404、向服务器发送注册信息,注册信息中包括签名结果、设备公钥和设备信息。
405、接收服务器反馈的设备标识和服务器的公钥,设备标识是服务器根据设备公钥和设备信息确定签名结果通过验签,以及确定设备信息符合检验条件时生成的。
图5为本发明实施例提供的一种密钥交换方法的流程图,该方法可以由上述服务器执行,如图5所示,该方法包括:
501、接收终端设备发送的注册信息,注册信息中包括签名结果、设备公钥和设备信息,签名结果是终端设备通过运行在内部可信环境中的程序生成设备公钥和设备私钥以及采集设备信息后,根据设备私钥对设备公钥和设备信息进行签名得到的。
502、根据设备公钥和设备信息确定签名结果通过验签,以及确定设备信息符合检验条件时,生成终端设备对应的设备标识。
503、将设备标识和服务器的公钥发送至终端设备。
以下将详细描述本发明的一个或多个实施例的密钥交换装置。本领域技术人员可以理解,这些装置均可使用市售的硬件组件通过本方案所教导的步骤进行配置来构成。
图6为本发明实施例提供的一种密钥交换装置的结构示意图,该装置位于终端设备,如图6所示,该装置包括:处理模块11、发送模块12、接收模块13。
处理模块11,用于通过运行在内部可信环境中的程序生成设备公钥和设备私钥,通过所述程序采集所述终端设备的设备信息,通过所述程序,基于所述设备私钥对所述设备公钥和所述设备信息进行签名。
发送模块12,用于向服务器发送注册信息,所述注册信息中包括签名结果、所述设备公钥和所述设备信息。
接收模块13,用于接收所述服务器反馈的设备标识和所述服务器的公钥,所述设备标识是所述服务器根据所述设备公钥和所述设备信息确定所述签名结果通过验签,以及确定所述设备信息符合检验条件时生成的,所述设备标识用于唯一性标识所述目标终端设备。
图6所示装置可以执行前述实施例中目标终端设备执行的步骤,详细的执行过程和技术效果参见前述实施例中的描述,在此不再赘述。
在一个可能的设计中,上述图6所示密钥交换装置的结构可实现为一终端设备。如图7所示,该电子设备可以包括:处理器21、存储器22、通信接口23。其中,存储器22上存储有可执行代码,当所述可执行代码被处理器21执行时,使处理器21至少可以实现如前述实施例中目标终端设备执行的各步骤。
另外,本发明实施例提供了一种非暂时性机器可读存储介质,所述非暂时性机器可读存储介质上存储有可执行代码,当所述可执行代码被终端设备的处理器执行时,使所述处理器至少可以实现如前述实施例中目标终端设备执行的各步骤。
图8为本发明实施例提供的一种密钥交换装置的结构示意图,该装置位于服务器,如图8所示,该装置包括:接收模块31、认证模块32、发送模块33。
接收模块31,用于接收终端设备发送的注册信息,所述注册信息中包括签名结果、设备公钥和设备信息,所述签名结果是所述终端设备通过运行在内部可信环境中的程序生成所述设备公钥和设备私钥以及采集所述设备信息后,根据所述设备私钥对所述设备公钥和所述设备信息进行签名得到的。
认证模块32,用于根据所述设备公钥和所述设备信息确定所述签名结果通过验签,以及确定所述设备信息符合检验条件时,生成所述终端设备对应的设备标识,所述设备标识用于唯一性标识所述终端设备。
发送模块33,用于将所述设备标识和所述服务器的公钥发送至所述终端设备。
图8所示装置可以执行前述实施例中服务器执行的步骤,详细的执行过程和技术效果参见前述实施例中的描述,在此不再赘述。
在一个可能的设计中,上述图8所示密钥交换装置的结构可实现为一服务器。如图9所示,该电子设备可以包括:处理器41、存储器42、通信接口43。其中,存储器42上存储有可执行代码,当所述可执行代码被处理器41执行时,使处理器41至少可以实现如前述实施例中服务器执行的各步骤。
另外,本发明实施例提供了一种非暂时性机器可读存储介质,所述非暂时性机器可读存储介质上存储有可执行代码,当所述可执行代码被服务器的处理器执行时,使所述处理器至少可以实现如前述实施例中服务器执行的各步骤。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的网元可以是或者也可以不是物理上分开的。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助加必需的通用硬件平台的方式来实现,当然也可以通过硬件和软件结合的方式来实现。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以计算机产品的形式体现出来,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (14)
1.一种密钥交换***,其特征在于,包括:多个终端设备和服务器;
所述多个终端设备中的目标终端设备,用于通过运行在内部可信环境中的程序生成设备公钥和设备私钥,采集设备信息,以及根据所述设备私钥对所述设备公钥和所述设备信息进行签名;向所述服务器发送注册信息,所述注册信息中包括签名结果、所述设备公钥和所述设备信息;接收所述服务器反馈的设备标识和所述服务器的公钥;
所述服务器,用于根据所述设备公钥和所述设备信息确定所述签名结果通过验签,以及确定所述设备信息符合检验条件时,生成所述目标终端设备对应的设备标识,并将所述设备标识和所述服务器的公钥发送至所述目标终端设备,所述设备标识用于唯一性标识所述目标终端设备。
2.根据权利要求1所述的***,其特征在于,在采集所述设备信息的过程中,所述目标终端设备用于:通过运行在内部可信环境中的程序采集第一设备信息以及通过运行在内部非可信环境中的程序采集的第二设备信息,将所述第二设备信息传入所述运行在内部可信环境中的程序。
3.根据权利要求2所述的***,其特征在于,所述目标终端设备,还用于对所述运行在内部非可信环境中的程序进行代码混淆处理,以保护所述第二设备信息的采集逻辑。
4.根据权利要求1或2所述的***,其特征在于,所述目标终端设备,还用于从所述服务器获取产品标识和产品密钥,根据所述设备私钥对加密后的设备公钥和所述设备信息进行签名;其中,所述加密后的设备公钥是使用所述产品密钥对所述设备公钥加密得到;所述注册信息中还包括所述产品标识;所述多个终端设备共用所述产品标识和所述产品密钥。
5.根据权利要求4所述的***,其特征在于,在确定所述设备信息是否符合检验条件的过程中,所述服务器用于:获取已注册的与所述产品标识对应的设备信息列表,根据所述设备信息列表,对所述设备信息进行检验。
6.根据权利要求5所述的***,其特征在于,所述设备信息中包括静态信息和动态信息;所述服务器用于:
若在所述设备信息列表中未查询到与所述静态信息匹配的表项,则确定所述目标终端设备不符合检验条件;
若在所述设备信息列表中查询到与所述静态信息和所述动态信息匹配的表项,且确定所述目标终端设备不符合检验条件;
若在所述设备信息列表中查询到与所述静态信息匹配的表项,且所述动态信息与所述表项不匹配,且所述服务器中不存在与所述设备公钥对应的已分配设备标识,则确定所述目标终端设备符合检验条件。
7.根据权利要求6所述的***,其特征在于,所述服务器还用于:若在所述设备信息列表中查询到与所述静态信息匹配的表项,且所述动态信息与所述表项不匹配,且所述服务器中存在与所述设备公钥对应的已分配设备标识,则将所述已分配设备标识反馈给所述目标终端设备。
8.一种密钥交换方法,其特征在于,应用于目标终端设备,包括:
通过运行在内部可信环境中的程序生成设备公钥和设备私钥;
通过所述程序采集所述终端设备的设备信息;
通过所述程序,基于所述设备私钥对所述设备公钥和所述设备信息进行签名;
向服务器发送注册信息,所述注册信息中包括签名结果、所述设备公钥和所述设备信息;
接收所述服务器反馈的设备标识和所述服务器的公钥,所述设备标识是所述服务器根据所述设备公钥和所述设备信息确定所述签名结果通过验签,以及确定所述设备信息符合检验条件时生成的,所述设备标识用于唯一性标识所述目标终端设备。
9.根据权利要求8所述的方法,其特征在于,所述通过所述程序采集所述终端设备的设备信息,包括:
通过所述运行在内部可信环境中的程序采集所述终端设备的第一设备信息;
通过所述运行在内部可信环境中的程序向运行在内部非可信环境中的程序发送信息采集请求,以获取所述运行在内部非可信环境中的程序采集的第二设备信息。
10.根据权利要求9所述的方法,其特征在于,所述向服务器发送注册信息,包括:
通过所述运行在内部可信环境中的程序将所述注册信息发送到所述运行在内部非可信环境中的程序,以通过所述运行在内部非可信环境中的程序向所述服务器发送所述注册信息。
11.一种密钥交换方法,其特征在于,应用于服务器,包括:
接收终端设备发送的注册信息,所述注册信息中包括签名结果、设备公钥和设备信息,所述签名结果是所述终端设备通过运行在内部可信环境中的程序生成所述设备公钥和设备私钥以及采集所述设备信息后,根据所述设备私钥对所述设备公钥和所述设备信息进行签名得到的;
根据所述设备公钥和所述设备信息确定所述签名结果通过验签,以及确定所述设备信息符合检验条件时,生成所述终端设备对应的设备标识,所述设备标识用于唯一性标识所述终端设备;
将所述设备标识和所述服务器的公钥发送至所述终端设备。
12.根据权利要求11所述的方法,其特征在于,所述注册信息中包括产品标识,所述终端设备与其他属于同一类产品的终端设备共用所述产品标识;所述设备信息中包括静态信息和动态信息;所述方法还包括:
获取已注册的与所述产品标识对应的设备信息列表;
若在所述设备信息列表中未查询到与所述静态信息匹配的表项,则确定所述终端设备不合法检验条件;
若在所述设备信息列表中查询到与所述静态信息和所述动态信息匹配的表项,且确定所述终端设备不合法检验条件;
若在所述设备信息列表中查询到与所述静态信息匹配的表项,且所述动态信息与所述表项不匹配,且所述服务器中不存在与所述设备公钥对应的已分配设备标识,则确定所述终端设备合法检验条件。
13.一种终端设备,其特征在于,包括:存储器、处理器、通信接口;其中,所述存储器上存储有可执行代码,当所述可执行代码被所述处理器执行时,使所述处理器执行如权利要求8至10中任一项所述的密钥交换方法。
14.一种服务器,其特征在于,包括:存储器、处理器、通信接口;其中,所述存储器上存储有可执行代码,当所述可执行代码被所述处理器执行时,使所述处理器执行如权利要求11至12中任一项所述的密钥交换方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111533951.1A CN113938279B (zh) | 2021-12-15 | 2021-12-15 | 密钥交换方法、设备和*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111533951.1A CN113938279B (zh) | 2021-12-15 | 2021-12-15 | 密钥交换方法、设备和*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113938279A true CN113938279A (zh) | 2022-01-14 |
| CN113938279B CN113938279B (zh) | 2022-06-14 |
Family
ID=79289085
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111533951.1A Active CN113938279B (zh) | 2021-12-15 | 2021-12-15 | 密钥交换方法、设备和*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113938279B (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105704123A (zh) * | 2016-01-08 | 2016-06-22 | 腾讯科技(深圳)有限公司 | 一种进行业务处理的方法、装置和*** |
| US20170068806A1 (en) * | 2014-02-20 | 2017-03-09 | Friedrich Kisters | Method and device for identifying or authenticating a person and/or an object using dynamic acoustic security information |
| US20170337089A1 (en) * | 2016-05-12 | 2017-11-23 | Skidata Ag | Method for registering devices, in particular conditional access devices or payment or vending machines, on a server of a system which comprises a number of such devices |
| CN109600392A (zh) * | 2019-01-15 | 2019-04-09 | 四川虹微技术有限公司 | 一种防止信息篡改的方法及装置 |
| CN110460609A (zh) * | 2019-08-16 | 2019-11-15 | 江苏恒宝智能***技术有限公司 | 终端应用与安全认证平台的双向认证方法及*** |
| CN110635916A (zh) * | 2019-09-30 | 2019-12-31 | 四川虹微技术有限公司 | 基于tee的安全应用认证方法 |
| CN111464486A (zh) * | 2019-01-22 | 2020-07-28 | 阿里巴巴集团控股有限公司 | 信息交互方法、装置以及计算设备 |
| CN113411190A (zh) * | 2021-08-20 | 2021-09-17 | 北京数业专攻科技有限公司 | 密钥部署、数据通信、密钥交换、安全加固方法及*** |
| US11171964B1 (en) * | 2020-12-23 | 2021-11-09 | Citrix Systems, Inc. | Authentication using device and user identity |
| US20210359847A1 (en) * | 2020-05-13 | 2021-11-18 | Volkswagen Aktiengesellschaft | Exchanging Cryptographic Key Information |
-
2021
- 2021-12-15 CN CN202111533951.1A patent/CN113938279B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170068806A1 (en) * | 2014-02-20 | 2017-03-09 | Friedrich Kisters | Method and device for identifying or authenticating a person and/or an object using dynamic acoustic security information |
| CN105704123A (zh) * | 2016-01-08 | 2016-06-22 | 腾讯科技(深圳)有限公司 | 一种进行业务处理的方法、装置和*** |
| US20170337089A1 (en) * | 2016-05-12 | 2017-11-23 | Skidata Ag | Method for registering devices, in particular conditional access devices or payment or vending machines, on a server of a system which comprises a number of such devices |
| CN109600392A (zh) * | 2019-01-15 | 2019-04-09 | 四川虹微技术有限公司 | 一种防止信息篡改的方法及装置 |
| CN111464486A (zh) * | 2019-01-22 | 2020-07-28 | 阿里巴巴集团控股有限公司 | 信息交互方法、装置以及计算设备 |
| CN110460609A (zh) * | 2019-08-16 | 2019-11-15 | 江苏恒宝智能***技术有限公司 | 终端应用与安全认证平台的双向认证方法及*** |
| CN110635916A (zh) * | 2019-09-30 | 2019-12-31 | 四川虹微技术有限公司 | 基于tee的安全应用认证方法 |
| US20210359847A1 (en) * | 2020-05-13 | 2021-11-18 | Volkswagen Aktiengesellschaft | Exchanging Cryptographic Key Information |
| US11171964B1 (en) * | 2020-12-23 | 2021-11-09 | Citrix Systems, Inc. | Authentication using device and user identity |
| CN113411190A (zh) * | 2021-08-20 | 2021-09-17 | 北京数业专攻科技有限公司 | 密钥部署、数据通信、密钥交换、安全加固方法及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113938279B (zh) | 2022-06-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111429254B (zh) | 一种业务数据处理方法、设备以及可读存储介质 | |
| US11258792B2 (en) | Method, device, system for authenticating an accessing terminal by server, server and computer readable storage medium | |
| CN102271042B (zh) | 数字证书认证方法、***、USB Key设备和服务器 | |
| JP4113274B2 (ja) | 認証装置および方法 | |
| CN106534160A (zh) | 基于区块链的身份认证方法及*** | |
| JP2018501567A (ja) | 装置検証方法及び機器 | |
| CN103685138A (zh) | 移动互联网上的Android平台应用软件的认证方法和*** | |
| CN112311735A (zh) | 可信认证方法,网络设备、***及存储介质 | |
| CN112165382B (zh) | 软件授权方法、装置、授权服务端及终端设备 | |
| US9940446B2 (en) | Anti-piracy protection for software | |
| CN101036340A (zh) | 用于物理令牌的双向纠错 | |
| CN110995446B (zh) | 证据验证方法、装置、服务器及存储介质 | |
| KR102137122B1 (ko) | 보안 체크 방법, 장치, 단말기 및 서버 | |
| CN110381075B (zh) | 基于区块链的设备身份认证方法和装置 | |
| CN101241528A (zh) | 终端接入可信pda的方法和接入*** | |
| CN104636680A (zh) | 维护部件的真实性验证及使用的许可证密钥的提供和获取 | |
| CN113055176B (zh) | 终端认证方法和***、终端设备、p2p验证平台和介质 | |
| CN106789024A (zh) | 一种远程解锁方法、装置和*** | |
| CN110740038A (zh) | 区块链及其通信方法、网关、通信***和存储介质 | |
| CN109981650B (zh) | 区块链中通证的转移方法及*** | |
| CN111327561B (zh) | 认证方法、***、认证服务器和计算机可读存储介质 | |
| CN107026729B (zh) | 用于传输软件的方法和装置 | |
| CN112583594A (zh) | 数据处理方法、采集设备和网关、可信平台及存储介质 | |
| de Moraes et al. | A systematic review of security in the lorawan network protocol | |
| CN113938279B (zh) | 密钥交换方法、设备和*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40065678 Country of ref document: HK |