【技术实现步骤摘要】
一种用于建立安全连接的方法、设备及系统
本专利技术涉及移动通信
,尤其涉及一种用于建立安全连接的方法、设备及系统。
技术介绍
WiFi保护设置(WPS,Wi-FiProtectedSetup)是由无线保真(WiFi,WirelessFidelity)联盟组织实施的认证项目,主要致力于简化无线局域网(WLAN,WirelessLocalAreaNetwork)安装及安全性能的配置工作。在传统方式下,用户新建一个无线网络时,必须在接入点手动设置安全密钥,然后在客户端验证密钥以阻止攻击者盗用WiFi资源。这整个过程需要用户具备WiFi设备的背景知识和修改必要配置的能力。WPS能帮助用户安全配置网络名(如:服务集标识(SSID,ServiceSetIdentifier))、配置强大的Wifi保护接入(WPA,WifiProtectedAccess)数据编码及认证功能,用户只需输入个人信息码(PIN,PersonIdentifierNumber)即能安全地连入WLAN。这大大简化了无线安全设置的操作。但是,在WPS认证过程中,PIN码成为网络设备间获得接入的唯一要求,也就是说,如果攻击者获得了PIN码,就可以接入无线网络盗用WiFi资源了。现有技术中,WPS的配置过程主要可以包括如下步骤:步骤1:路由器和终端采用明文相互交换各自的DH(Diffie-Hellman)公钥;步骤2:路由器使用自身的DH私钥以及终端的DH公钥生成共享密钥DHKey,终端使用自身的DH私钥以及路由器的DH公钥生成共享密钥DHKey;步骤3:路由器根据自身生成的DHKey生成该DHKe ...
【技术保护点】
一种用于建立安全连接的方法,其特征在于,包括:第一设备通过带外方式安全获得第二设备的第一公钥预算值;其中,所述第一公钥预算值为使用预设算法,基于第二设备的第一密钥交换公钥进行运算得到的值;第一设备使用获得的第一公钥预算值加密所述第一设备的非对称加密公钥;第一设备将加密后的非对称加密公钥以及第一设备的第二密钥交换公钥信息发送给第二设备,其中,所述第二密钥交换公钥信息包含所述第一设备的第二密钥交换公钥,所述第二密钥交换公钥用于所述第二设备使用所述第二密钥交换公钥以及所述第二设备的密钥交换私钥生成共享密钥,并利用生成的共享密钥与所述第一设备建立安全连接;第一设备接收所述第二设备发送的加密的第二设备的第一密钥交换公钥,其中,所述加密的第一密钥交换公钥为所述第二设备使用第二设备的第一公钥预算值解密接收到的加密后的第一设备的非对称加密公钥,并使用解密后的第一设备的非对称加密公钥对第一密钥交换公钥进行加密得到的;第一设备使用与所述非对称加密公钥对应的非对称加密私钥,对加密的第一密钥交换公钥解密;第一设备使用预设算法,基于解密得到的第一密钥交换公钥进行运算,得到第二公钥预算值;第一设备在第一公钥预算值 ...
【技术特征摘要】
1.一种用于建立安全连接的方法,其特征在于,包括:第一设备通过带外方式安全获得第二设备的第一公钥预算值;其中,所述第一公钥预算值为使用预设算法,基于第二设备的第一密钥交换公钥进行运算得到的值;第一设备使用获得的第一公钥预算值加密所述第一设备的非对称加密公钥;第一设备将加密后的非对称加密公钥以及第一设备的第二密钥交换公钥信息发送给第二设备,其中,所述第二密钥交换公钥信息包含所述第一设备的第二密钥交换公钥,所述第二密钥交换公钥用于所述第二设备使用所述第二密钥交换公钥以及所述第二设备的密钥交换私钥生成共享密钥,并利用生成的共享密钥与所述第一设备建立安全连接;第一设备接收所述第二设备发送的加密的第二设备的第一密钥交换公钥,其中,所述加密的第一密钥交换公钥为所述第二设备使用第二设备的第一公钥预算值解密接收到的加密后的第一设备的非对称加密公钥,并使用解密后的第一设备的非对称加密公钥对第一密钥交换公钥进行加密得到的;第一设备使用与所述非对称加密公钥对应的非对称加密私钥,对加密的第一密钥交换公钥解密;第一设备使用预设算法,基于解密得到的第一密钥交换公钥进行运算,得到第二公钥预算值;第一设备在第一公钥预算值与第二公钥预算值一致时,确定解密后的第一密钥交换公钥正确,使用所述第一设备的密钥交换私钥以及解密后的第一密钥交换公钥生成共享密钥,并利用所述共享密钥与所述第二设备建立安全连接。2.如权利要求1所述的方法,其特征在于,还包括:所述第一设备在生成所述共享密钥之后,生成第一验证信息,其中,所述第一验证信息为所述第一设备使用生成的共享密钥将第一指定信息加密得到的第一加密值,或者,使用生成的共享密钥结合第一指定信息进行哈希运算得到的第一哈希值,或者,使用所述非对称加密私钥加密的第一指定信息生成的签名,所述第一指定信息为所述第一设备和所述第二设备预先约定的信息;将所述第一验证信息发送给所述第二设备,其中,所述第一验证信息用于所述第二设备根据接收到的所述第一验证信息验证所述第一设备是否可信。3.如权利要求1或2所述的方法,其特征在于,还包括:第一设备接收所述第二设备发送的第二验证信息,其中,所述第二验证信息为所述第二设备生成共享密钥之后,使用生成的共享密钥对第二指定信息加密后得到的第二加密值,或者,使用生成的共享密钥结合第二指定信息进行哈希运算得到的第二哈希值,所述第二指定信息为所述第一设备和所述第二设备预先约定的信息;所述第一设备在生成所述共享密钥之后,还包括:当所述第二验证信息为所述第二加密值时,使用所述第一设备生成的共享密钥解密所述第二加密值;根据解密后得到的第二指定信息是否正确,确定生成的共享密钥是否可用;当所述第二验证信息为所述第二哈希值时,使用所述第一设备生成的共享密钥结合所述第二指定信息进行哈希运算;根据所述第一设备得到的哈希值与所述第二哈希值是否匹配,确定生成的共享密钥是否可用。4.如权利要求1或2所述的方法,其特征在于,在所述第一设备利用所述共享密钥与所述第二设备建立安全连接之后,还包括:第一设备通过带外方式安全获得第三设备的公钥预算值;将获得的第三设备的公钥预算值加密并发送给第二设备,其中,所述第三设备的公钥预算值用于所述第二设备基于所述第三设备的公钥预算值与所述第三设备建立安全连接。5.如权利要求1或2所述的方法,其特征在于,在所述第一设备利用所述共享密钥与所述第二设备建立安全连接之后,还包括:第一设备通过带外方式安全获得第四设备的第三公钥预算值;使用获得的第三公钥预算值加密所述第一设备的非对称加密公钥;第一设备将加密后的非对称加密公钥发送给第四设备;接收所述第四设备发送的加密的第四设备的第三密钥交换公钥,其中,所述加密的第三密钥交换公钥为所述第四设备使用第四设备的第三公钥预算值解密接收到的加密后的非对称加密公钥,并使用解密后的非对称加密公钥对第三密钥交换公钥进行加密得到的;第一设备使用与所述非对称加密公钥对应的私钥,对加密的第三密钥交换公钥解密;使用预设算法,基于解密得到的第三密钥交换公钥进行运算,得到第四公钥预算值;第一设备在第三公钥预算值与第四公钥预算值一致时,确定解密后的第三密钥交换公钥正确,使用所述第一设备的密钥交换私钥以及解密后的第三密钥交换公钥生成共享密钥,并利用所述共享密钥与所述第四设备建立安全连接;在所述第一设备与所述第二设备建立安全连接之后,以及所述第一设备与所述第四设备建立安全连接之后,还包括:所述第一设备基于与第二设备生成的共享密钥,以及与第四设备生成的共享密钥,确定用于使所述第二设备和所述第四设备之间建立安全连接的连接信息;将确定的所述连接信息分别发送给所述第二设备和所述第四设备。6.如权利要求1或2所述的方法,其特征在于,第一设备的第二密钥交换公钥信息为明文的第一设备的第二密钥交换公钥,或者使用所述第二设备的第一公钥预算值加密的第二密钥交换公钥。7.一种用于建立安全连接的方法,其特征在于,包括:第一设备接收第二设备发送的加密的第二设备的非对称加密公钥,其中,所述加密的第二设备的非对称加密公钥为所述第二设备使用通过带外方式安全获得的第一设备的第一公钥预算值加密的;所述第一公钥预算值为使用预设算法,基于第一设备的第一密钥交换公钥进行运算得到的值;第一设备使用第一设备的第一公钥预算值对接收到的加密后的非对称加密公钥解密,并使用解密后的非对称加密公钥加密第一设备的第一密钥交换公钥;第一设备将加密后的第一密钥交换公钥发送给所述第二设备,用于所述第二设备使用与所述非对称加密公钥对应的非对称加密私钥,对加密的第一密钥交换公钥解密,并使用解密后的第一密钥交换公钥以及第二设备的密钥交换私钥生成用以与所述第一设备建立安全连接的共享密钥;第一设备获得第二设备的第二密钥交换公钥;第一设备使用所述第一设备的密钥交换私钥以及获得的第二密钥交换公钥生成共享密钥,并利用所述共享密钥与所述第二设备建立安全连接。8.如权利要求7所述的方法,其特征在于,还包括:第一设备接收所述第二设备发送的第三验证信息,其中,所述第三验证信息为所述第二设备使用生成的共享密钥将第三指定信息加密得到的第三加密值,或者,为所述第二设备使用生成的共享密钥对第三指定信息进行哈希运算得到的第三哈希值,或者,为所述第二设备使用所述非对称加密私钥加密的第三指定信息生成的签名,所述第三指定信息为所述第一设备和所述第二设备预先约定的信息;所述第一设备在生成所述共享密钥之后,还包括:当所述第三验证信息为所述第三加密值时,所述第一设备使用所述第一设备生成的共享密钥解密所述第三加密值;根据解密后得到的第三指定信息是否正确,确定生成的共享密钥是否可用;当所述第三验证信息为所述第三哈希值时,所述第一设备使用所述第一设备生成的共享密钥对所述第三指定信息进行哈希运算;根据所述第一设备得到的哈希值与所述第三哈希值是否匹配,确定生成的共享密钥是否可用;当所述第三验证信息为所述加密的签名时,所述第一设备使用所述非对称加密公钥对所述加密的签名解密;根据解密后得到的第三指定信息是否正确,确定所述第二设备是否可信。9.如权利要求7或8所述的方法,其特征在于,还包括:所述第一设备在生成所述共享密钥之后,使用生成的共享密钥生成第四验证信息,其中,所述第四验证信息为所述第一设备使用生成的共享密钥将第四指定信息加密得到的第四加密值,或者,使用生成的共享密钥对第四指定信息进行哈希运算得到的第四哈希值,所述第四指定信息为所述第一设备和所述第二设备预先约定的信息;将所述第四验证信息发送给所述第二设备,其中,所述第四验证信息用于所述第二设备根据接收到的所述第四验证信息验证所述第一设备是否可信。10.如权利要求7或8所述的方法,其特征在于,第一设备获得第二设备的第二密钥交换公钥,具体包括:接收所述第二设备发送的第二密钥交换公钥信息,其中,所第二密钥交换公钥信息为明文的第二密钥交换公钥,或者使用所述第一设备的公钥预算值加密的第二密钥交换公钥;当接收到的第二密钥交换公钥信息为加密的第二密钥交换公钥时,使用所述第一设备的公钥预算值将加密的第二密钥交换公钥解密,获得解密后的第二密钥交换公钥。11.如权利要求7或8所述的方法,其特征在于,在利用所述共享密钥与所述第二设备建立安全连接之后,还包括:第一设备接收所述第二设备发送的加密后的第三设备的第三公钥预算值;将接收的加密后的第三公钥预算值解密,使用解密后的第三公钥预算值加密所述第一设备的非对称加密公钥;第一设备将加密后的非对称加密公钥发送给所述第三设备;接收所述第三设备发送的加密的第三密钥交换公钥,其中,所述加密的第三密钥交换公钥为所述第三设备使用第三设备的第三公钥预算值解密接收到的加密后的非对称加密公钥,并使用解密后的非对称加密公钥对第三密钥交换公钥进行加密得到的;第一设备使用与所述非对称加密公钥对应的非对称加密私钥,对加密的第三密钥交换公钥解密;使用预设算法,基于解密得到的第三密钥交换公钥进行运算,得到第四公钥预算值;第一设备在第三公钥预算值与第四公钥预算值一致时,确定解密后的第三密钥交换公钥正确,使用所述第一设备的密钥交换私钥以及解密后的第三密钥交换公钥生成共享密钥,并利用所述共享密钥与所述第三设备建立安全连接。12.一种用于建立安全连接的设备,其特征在于,包括:获得模块,用于通过带外方式安全获得第二设备的第一公钥预算值;其中,所述第一公钥预算值为使用预设算法,基于第二设备的第一密钥交换公钥进行运算得到的值;加密模块,用于使用所述获得模块获得的第一公钥预算值加密本设备的非对称加密公钥;发送模块,用于将所述加密模块加密后的非对称加密公钥以及第一设备的第二密钥交换公钥信息发送给第二设备,其中,所述第二密钥交换公钥信息包含所述第一设备的第二密钥交换公钥,所述第二密钥交换公钥用于所述第二设备使用所述第二密钥交换公钥以及所述第二...
【专利技术属性】
技术研发人员:庞高昆,丁志明,
申请(专利权)人:华为终端有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。