一种密钥配置方法、系统和装置制造方法及图纸

本发明专利技术提供了一种密钥配置方法、系统和装置，其中方法包括：所述配置设备获取第二设备的公钥，将所述第二设备的公钥发送给第一设备；所述第一设备生成第一共享密钥，利用第二设备的公钥将用于得到第一共享密钥的信息发送给第二设备；或者所述第一设备利用第二设备的公钥生成第一共享密钥，将用于得到第一共享密钥的信息发送给第二设备；所述第二设备利用自身的私钥以及用于得到第一共享密钥的信息生成所述第一共享密钥，所述第一共享密钥用于所述第一设备和所述第二设备之间的安全连接。通过本发明专利技术能够提高第一设备和第二设备之间交互的安全性。

【技术实现步骤摘要】
【国外来华专利技术】一种密钥配置方法、系统和装置
本专利技术涉及网络通信
，特别涉及一种密钥配置方法、系统和装置。
技术介绍
WiFi(WirelessFidelity，无线保真)技术从1997年无线局域网标准IEEE802.11发布以来，在拥有众多在业界领先的公司组成的WiFi联盟的大力推动下，同时以其具有的部署快速、使用便利和传输速率高等优势，发展迅猛。WiFi技术现在已经被广泛应用于各个行业，现在的笔记本电脑、PDA(PersonalDigitalAssistant，掌上电脑)和手机等都支持WiFi技术，WiFi网络的接入点遍布于酒店、咖啡厅、学校和医院等场所，可以说WiFi技术在生活中无所不在。随着WiFi技术的发展和广泛应用，与之相关的安全技术需求也随之产生，WPA(Wi-FiProtectedAccess，WiFi安全接入)是WiFi中使用的安全技术，它需要用户设置Credential(信任状，包括帐号名、密码)以及WPA相关的其它参数，例如加密算法等等，但当用户不理解这些参数的含义时，因此就不懂如何设置这些参数，从而阻碍了WPA安全技术的应用，这就会导致用户因为不懂如何设置WPA参数而选择在没有安全机制保护的情况下使用网络。WPS(WiFiProtectedSetup，Wifi安全建立)就是为了帮助用户设置信任状的技术。WPS主要强调两点：安全和简单，即配置过程要简单，配置后的网络要安全。现有的WPS主要基于密钥交换算法防止偷听、字典攻击等某些攻击行为。目前WPS应用的场景，主要包括以下两种：第一种是作为enrollee(被注册方)的终端与作为registrar(注册器)的WiFi网络的AP(AccessPoint，接入点)之间进行信任状的配置，以便后续终端与AP之间能够基于信任状进行认证以建立安全的连接。第二种是P2P(PeertoPeer，点到点)场景中的认证配置过程，WiFi技术中P2P的研究是为了在没有诸如蜂窝网或热点等基础设施的情况下，终端设备之间也能够通过WiFi功能实现端到端的直接发现，在该场景下，一个终端作为client(客户端)，另一个终端作为GO(GroupOwner，组长设备)，在client和GO之间进行密钥的配置，以便后续client和GO之间能够基于配置的密钥进行数据交互。WiFi技术逐步应用于诸如智能电网、传感器网络、医疗网络等新领域，大量WiFi设备属于无头设备(HeadlessDevices)，所谓无头设备就是没有显示屏幕、没有键盘、没有近场通信等人机接口的设备，对于这些无头设备之间的连接就需要一个第三方的配置设备来实现，例如通过配置设备将AP和机顶盒连接起来，或者通过配置设备将传感器和传感器连接起来等等。对于这种基于第三方的配置设备的帮助在两个设备之间进行的密钥配置现有技术中采用如下方式：如图1中所示，配置设备扫描第一设备上的二维码，获取二维码中包含的第一设备的密码信息，并且扫描第二设备上的二维码，获取二维码中包含的第二设备的密码信息；配置设备基于第一设备的密码信息与第一设备执行WPS交互过程，并生成密钥key1，利用第一设备的密码信息对key1进行加密后发送给第一设备；以及配置设备基于第二设备的密码信息与第二设备执行WPS交互过程，并生成密钥key2，利用第二设备的密码信息对key2进行加密后发送给第二设备。之后，第一设备和第二设备就基于key1和key2进行安全连接，即基于key1和key2进行交互。然而，上述方式中由于第一设备和第二设备的密码信息处于公开状态，易于被非法获取，即任何第三方的设备都能够获取到并生成密钥后发送给第一设备和第二设备，这样就很容易对第一设备和第二设备之间的交互进行偷听，安全性较差。
技术实现思路
有鉴于此，本专利技术实施例提供了一种基于第三方配置设备的密钥配置方法、系统和装置，以便于提高第一设备和第二设备之间交互的安全性。第一方面，本专利技术实施例提供了一种密钥配置方法，所述密钥配置方法包括：第一设备接收配置设备在获取到第二设备的公钥后发送的第二设备的公钥；利用所述第二设备的公钥将用于得到第一共享密钥的信息发送给所述第二设备，或者所述第一设备利用所述第二设备的公钥生成第一共享密钥，将用于得到所述第一共享密钥的信息发送给所述第二设备；以便所述第二设备利用自身的私钥以及所述用于得到第一共享密钥的信息生成所述第一共享密钥，所述第一共享密钥用于所述第一设备和所述第二设备之间的安全连接。结合第一方面，在第一种可能的实现方式中，所述第一设备利用第二设备的公钥将用于得到第一共享密钥的信息发送给第二设备包括：所述第一设备生成密码，将所述密码作为第一共享密钥，利用所述第二设备的公钥将所述密码进行加密得到加密结果，将所述加密结果发送给所述第二设备；以便所述第二设备利用自身的私钥以及用于得到第一共享密钥的信息生成所述第一共享密钥包括：以便所述第二设备利用自身的私钥对所述加密结果进行解密得到所述密码，将所述密码作为第一共享密钥；或者，所述第一设备生成第一共享密钥，利用第二设备的公钥将用于得到第一共享密钥的信息发送给第二设备包括：所述第一设备生成密码，利用所述第二设备的公钥将所述密码进行加密得到加密结果，将所述加密结果发送给所述第二设备，利用密钥衍生算法对所述密码生成衍生密钥，将该衍生密钥作为第一共享密钥；以便所述第二设备利用自身的私钥以及用于得到第一共享密钥的信息生成所述第一共享密钥包括：以便所述第二设备利用自身的私钥对所述加密结果进行解密得到所述密码，利用所述密钥衍生算法对所述密码生成衍生密钥，将该衍生密钥作为所述第一共享密钥。结合第一方面，在第二种可能的实现方式中，所述第一设备生成第一共享密钥，利用第二设备的公钥将用于得到第一共享密钥的信息发送给第二设备包括：所述第一设备生成随机值，利用第一设备与第二设备约定的信息和该随机值生成第一共享密钥，利用第二设备的公钥对该随机值进行加密后，将加密结果发送给第二设备；以便所述第二设备利用自身的私钥以及用于得到第一共享密钥的信息生成所述第一共享密钥包括：以便所述第二设备利用自身的私钥对所述加密结果进行解密得到所述随机值，利用所述第一设备与第二设备约定的信息和所述随机值生成所述第一共享密钥。结合第一方面，在第三种可能的实现方式中，利用所述第二设备的公钥将用于得到所述第一共享密钥的信息发送给所述第二设备包括：所述第一设备利用第二设备的公钥将第一设备的公钥进行加密后，将加密结果发送给第二设备；以便所述第二设备利用自身的私钥以及所述用于得到第一共享密钥的信息生成所述第一共享密钥包括：以便所述第二设备利用自身的私钥对所述加密结果进行解密后，得到所述第一设备的公钥，并且生成密码，将该密码作为所述第一共享密钥；该方法还包括：第一设备接收所述第二设备利用所述第一设备的公钥将该密码进行加密后的加密结果，利用自身的私钥对接收到的加密结果进行解密后，将得到的密码作为所述第一共享密钥。结合第一方面，在第四种可能的实现方式中，该方法还包括：所述第一设备和所述第二设备预定密钥交换算法；所述第一设备利用第二设备的公钥生成第一共享密钥，将用于得到第一共享密钥的信息发送给第二设备包括：所述第一设备利用第二设备的公钥和自身的私钥按照所述密钥交换本文档来自技高网...

【技术保护点】
PCT国内申请，权利要求书已公开。

【技术特征摘要】
【国外来华专利技术】1.一种密钥配置方法，其特征在于，所述密钥配置方法包括：第一设备接收配置设备在获取到第二设备的公钥后发送的第二设备的公钥；所述第一设备利用所述第二设备的公钥和自身的私钥按照所述第一设备和所述第二设备预定的密钥交换算法生成第一共享密钥，并将所述第一设备的公钥发送给所述第二设备；以便所述第二设备利用自身的私钥以及所述第一设备的公钥按照所述密钥交换算法生成所述第一共享密钥；所述第一设备在生成第一共享密钥后，生成信任状，并利用第一共享密钥或第一共享密钥的衍生密钥对信任状进行加密后，将加密结果发送给所述第二设备；以便所述第二设备利用生成的第一共享密钥或者第一共享密钥的衍生密钥对加密结果进行解密得到所述信任状，所述信任状用于所述第一设备和所述第二设备之间的安全连接；或者，所述第一设备利用生成的第一共享密钥或者第一共享密钥的衍生密钥对所述第二设备发送的信任状的加密结果进行解密得到所述信任状，所述信任状的加密结果为所述第二设备在生成第一共享密钥后，生成信任状，并利用第一共享密钥或第一共享密钥的衍生密钥对所述信任状进行加密后得到，所述信任状用于所述第一设备和所述第二设备之间的安全连接。2.根据权利要求1所述的方法，其特征在于，所述密钥交换算法为D-H算法。3.根据权利要求1-2任一所述的方法，其特征在于，所述第一设备和所述第二设备之间预定的密钥交换算法通过如下方式获得：所述第一设备和所述第二设备上预先配置有所述密钥交换算法所使用的参数；或者，通过所述配置设备将所述密钥交换算法所使用的参数发送给所述第一设备和所述第二设备。4.根据权利要求1-2任一权项所述的方法，其特征在于，所述第一设备接收配置设备在获取到第二设备的公钥后发送的第二设备的公钥具体为：所述第一设备与所述配置设备建立安全连接以生成第二共享密钥；所述第一设备接收所述配置设备在获取到第二设备的公钥后发送的加密结果，所述加密结果为所述配置设备利用所述第二共享密钥加密的所述第二设备的公钥；该方法还包括：所述第一设备利用所述第二共享密钥对接收到的所述加密结果进行解密后，得到所述第二设备的公钥。5.根据权利要求4所述的方法，其特征在于，所述第一设备与所述配置设备建立安全连接以生成第二共享密钥包括：所述第一设备与所述配置设备通过无线保真安全建立WPS交互方式共享信任状，将所述信任状作为所述第二共享密钥；或者，所述第一设备接收所述配置设备发送的所述配置设备的公钥，所述第一设备利用所述配置设备的公钥和自身的私钥按照所述预定的密钥交换算法生成所述第二共享密钥，以便所述配置设备获取到所述第一设备的公钥后，利用所述第一设备的公钥和自身的私钥按照所述预定的密钥交换算法生成所述第二共享密钥。6.根据权利要求1-2任一所述的方法，其特征在于，在所述第一设备得到所述第二设备的公钥之后，所述方法还包括：所述第一设备生成新的公钥和新的私钥；所述第一设备发送给所述第二设备的第一设备的公钥为所述新的公钥；所述第二设备在生成所述第一共享密钥时利用的第一设备的公钥为所述新的公钥；所述第一设备在生成所述第一共享密钥时利用的自身的私钥为所述新的私钥。7.根据权利要求1-2任一权项所述的方法，其特征在于，所述第一设备是被注册方enrollee，所述第二设备是registrar，或者所述第一设备是客户端client，所述第二设备是GO，或者所述第一设备是无线终端，所述第二设备是接入点，或者所述第一设备是中心节点，所述第二设备是传感器节点。8.根据权利要求1-2任一权项所述的方法，其特征在于，所述配置设备通过扫描二维码、通用串行总线USB或者近场通信的方式从所述第一设备或者第二设备获取信息。9.根据权利要求1-2任一权项所述的方法，其特征在于，该方法还包括：所述第一设备利用所述第二设备的公钥生成验证值，将所述验证值发送给所述第二设备；以便所述第二设备在生成所述第一共享密钥之前，利用自身的公钥对接收到的验证值进行验证，在验证通过的情况下，执行生成所述第一共享密钥的步骤。10.一种密钥配置方法，其特征在于，所述密钥配置方法包括：配置设备获取第二设备的公钥，将所述第二设备的公钥发送给第一设备；以便所述第一设备利用第二设备的公钥和自身的私钥按照所述第一设备和所述第二设备预定的密钥交换算法生成第一共享密钥，并将所述第一设备的公钥发送给所述第二设备；以便所述第二设备利用自身的私钥以及所述第一设备的公钥按照所述密钥交换算法生成所述第一共享密钥；所述第一设备在生成第一共享密钥后，生成信任状，并利用第一共享密钥或第一共享密钥的衍生密钥对信任状进行加密后，将加密结果发送给所述第二设备；以便所述第二设备利用生成的第一共享密钥或者第一共享密钥的衍生密钥对加密结果进行解密得到所述信任状，所述信任状用于所述第一设备和所述第二设备之间的安全连接；或者，所述第一设备利用生成的第一共享密钥或者第一共享密钥的衍生密钥对所述第二设备发送的信任状的加密结果进行解密得到所述信任状，所述信任状的加密结果为所述第二设备在生成第一共享密钥后，生成信任状，并利用第一共享密钥或第一共享密钥的衍生密钥对所述信任状进行加密后得到，所述信任状用于所述第一设备和所述第二设备之间的安全连接。11.根据权利要求10所述的方法，其特征在于，所述密钥交换算法为D-H算法。12.根据权利要求10-11任一所述的方法，其特征在于，所述第一设备和所述第二设备预定的密钥交换算法通过如下方式获得：所述第一设备和所述第二设备上预先配置有所述密钥交换算法所使用的参数；或者，所述配置设备将所述密钥交换算法所使用的参数发送给所述第一设备和所述第二设备。13.根据权利要求10-11任一权项所述的方法，该方法还包括：所述配置设备与所述第一设备建立安全连接以生成第二共享密钥；将所述第二设备的公钥发送给第一设备包括：所述配置设备利用所述第二共享密钥将所述第二设备的公钥进行加密后，将加密结果发送给所述第一设备；以便所述第一设备利用所述第二共享密钥对接收到的加密结果进行解密后，得到所述第二设备的公钥。14.根据权利要求13所述的方法，其特征在于，所述配置设备与所述第一设备建立安全连接以生成第二共享密钥包括：所述配置设备与所述第一设备通过WPS交互方式共享信任状，将所述信任状作为所述第二共享密钥；或者，所述配置设备将自身的公钥发送给所述第一设备，所述配置设备和所述第一设备分别利用对方的公钥和自身的私钥按照所述预定的密钥交换算法生成所述第二共享密钥。15.根据权利要求10-11任一权项所述的方法，其特征在于，所述第一设备是被注册方enrollee，所述第二设备是registrar，或者所述第一设备是客户端client，所述第二设备是GO，或者所述第一设备是无线终端，所述第二设备是接入点，或者所述第一设备是中心节点，所述第二设备是传感器节点。16.根据权利要求10-11任一权项所述的方法，其特征在于，所述配置设备通过扫描二维码、通用串行总线USB或者近场通信的方式从所述第一设备或者第二设备获取信息。17.一种密钥配置方法，其特征在于，该方法包括：第二设备向配置设备提供第二设备的公钥，以便所述配置设备将所述第二设备的公钥发送给第一设备；所述第二设备接收所述第一设备在利用第二设备的公钥和自身的私钥按照所述第一设备和所述第二设备预定的密钥交换算法生成的第一共享密钥后，发送来的所述第一设备的公钥；所述第二设备利用自身的私钥以及所述第一设备的公钥按照所述密钥交换算法生成所述第一共享密钥；所述第二设备接收第一设备发送的加密结果，该加密结果是所述第一设备在生成第一共享密钥后，生成信任状，并利用第一共享密钥或第一共享密钥的衍生密钥对信任状进行加密后得到的；所述第二设备利用生成的第一共享密钥或者第一共享密钥的衍生密钥对加密结果进行解密得到所述信任状，所述信任状用于所述第一设备和所述第二设备之间的安全连接；或者，所述第二设备在生成第一共享密钥后，生成信任状，并利用第一共享密钥或第一共享密钥的衍生密钥对信任状进行加密后，将加密结果发送给所述第一设备；以便所述第一设备利用生成的第一共享密钥或者第一共享密钥的衍生密钥对该加密结果进行解密得到所述信任状，所述信任状用于所述第一设备和所述第二设备之间的安全连接。18.根据权利要求17所述的方法，其特征在于，所述密钥交换算法为D-H算法。19.根据权利要求17-18任一所述的方法，其特征在于，所述第二设备和所述第一设备预定的密钥交换算法通过如下方式获得：所述第二设备和所述第一设备上预先配置有所述密钥交换算法所使用的参数；或者，所述第二设备和所述第一设备接收所述配置设备...

【专利技术属性】
技术研发人员：庞高昆，丁志明，
申请(专利权)人：华为终端有限公司，
类型：发明
国别省市：广东;44