获取密钥的方法、装置和系统制造方法及图纸

本发明专利技术公开了一种获取密钥的方法、装置和系统。其中，该方法包括：认证服务器接收密钥服务器同步的安全数据集，其中，密钥服务器同步给认证服务器的安全数据集一并同步存储至设备，安全数据集至少包括：协商密钥和加密算法；认证服务器基于安全数据集与设备进行安全通信，在安全通信的过程中，基于安全数据集计算生成会话密钥，其中，会话密钥用于设备与认证服务器之间进行应用数据的加密传输。本发明专利技术解决了的物联网场景下，设备端和云端服务器之间协商会话密钥的握手阶段，由于采用预置密钥参与会话密钥生成，导致密钥被破解概率增大，认证过程安全性差的技术问题。

Methods, devices and systems for obtaining key

【技术实现步骤摘要】
获取密钥的方法、装置和系统
本专利技术涉及数据处理领域，具体而言，涉及一种获取密钥的方法、装置和系统。
技术介绍
传统的互联网模型中，常通过HTTP+TLS来实现安全通信。在标准TLS协议中，通信双方在协商会话密钥的握手阶段，有部分消息内容是需要加密的，因此为了克服会话密钥的难题，往往在握手阶段选用非对称密钥加密算法，例如RSA加密算法，RSA加密算法会通过发送数字证书和验证数字签名来实现对方的认证。在传统互联网和移动互联网模型中，由于端的计算资源充裕，上述方案是可行的。但是在物联网时代，由于设备端计算资源(CPU,内存，网络带宽)受限，并且通常需要设备端和云端双向认证，通过发放证书来认证的方案往往体验较差，甚至不可行。即使采用现有的PSK(pre-sharedkey，共享密钥)算法，其握手交互流程依然较复杂，并且由于预置密钥参与会话密钥生成，导致密钥被破解概率增大，以及缺乏双向身份认证，导致流量易被攻击，依然难以满足物联网场景需求。针对的物联网场景下，设备端和云端服务器之间协商会话密钥的握手阶段，由于采用预置密钥参与会话密钥生本文档来自技高网...

【技术保护点】
1.一种获取密钥的方法，包括：/n认证服务器接收密钥服务器同步的安全数据集，其中，所述密钥服务器同步给所述认证服务器的所述安全数据集一并同步存储至设备，所述安全数据集至少包括：协商密钥和加密算法；/n所述认证服务器基于所述安全数据集与所述设备进行安全通信，在所述安全通信的过程中，基于所述安全数据集计算生成会话密钥，其中，所述会话密钥用于所述设备与所述认证服务器之间进行应用数据的加密传输。/n

【技术特征摘要】
1.一种获取密钥的方法，包括：
认证服务器接收密钥服务器同步的安全数据集，其中，所述密钥服务器同步给所述认证服务器的所述安全数据集一并同步存储至设备，所述安全数据集至少包括：协商密钥和加密算法；
所述认证服务器基于所述安全数据集与所述设备进行安全通信，在所述安全通信的过程中，基于所述安全数据集计算生成会话密钥，其中，所述会话密钥用于所述设备与所述认证服务器之间进行应用数据的加密传输。


2.根据权利要求1所述的方法，其中，所述安全数据集由所述密钥服务器通过局域网发送至所述认证服务器。


3.根据权利要求1所述的方法，其中，所述密钥服务器中存储有多个安全数据集，认证服务器接收密钥服务器同步的安全数据集，包括：
所述认证服务器接收所述密钥服务器发送的多个安全数据集，
所述认证服务器根据第一预设规则，确定第一安全数据索引；
所述认证服务器根据所述第一安全数据索引，从所述多个安全数据集中查找所述安全数据集。


4.根据权利要求3所述的方法，其中，在所述认证服务器基于所述安全数据集与所述设备进行安全通信，在所述安全通信的过程中，基于所述安全数据集计算生成会话密钥之后，所述方法还包括：
所述认证服务器接收所述密钥服务器同步的第二安全数据索引，其中，所述密钥服务器基于动态选择策略，根据第二预设规则确定所述第二安全数据索引，所述动态选择策略包括如下至少之一：定时选择、周期性选择和发生预定事件时选择；
所述认证服务器根据所述第二安全数据索引确定更新后的安全数据集，其中，所述更新后的安全数据集中包括更新后的协商密钥和更新加密算法；
所述认证服务器将所述更新后的安全数据集同步至所述设备；
所述认证服务器基于所述更新后的安全数据集与所述设备进行安全通信，在所述安全通信的过程中，基于所述更新后的安全数据集计算生成更新后的会话密钥。


5.根据权利要求4所述的方法，其中，
在所述认证服务器确定所述更新后的安全数据集的预设时间内，所述认证服务器同时支持所述安全数据集和所述更新后的安全数据集；
在所述认证服务器确定所述更新后的安全数据集的预设时间之后，所述认证服务器仅支持所述更新后的数据集。


6.根据权利要求4所述的方法，其中，所述认证服务器将所述更新后的安全数据集同步至所述设备，包括：
所述认证服务器通过所述密钥服务器将所述更新后的安全数据集同步至所述设备，其中，如果对所述设备同步失败，则所述密钥服务器使用所述安全数据集重新对所述认证服务器进行同步。


7.根据权利要求1至6中任意一项所述的方法，其中，所述认证服务器基于所述安全数据集与所述设备进行安全通信，在所述安全通信的过程中，基于所述安全数据集计算生成会话密钥，包括：
所述认证服务器接收所述设备发送的加密信息，其中，所述加密信息中至少包括：所述设备的设备标识、所述设备生成的第一随机数、使用所述协商密钥和所述加密算法对所述第一随机数进行加密的得到的第一消息认证码和预设的加密套件集；
所述认证服务器根据所述安全数据集验证所述第一随机数和所述第一消息认证码；
如果验证成功，所述认证服务器生成第二随机数和安全因子；
所述认证服务器使用所述第一随机数、所述第二随机数和所述安全因子生成所述会话密钥。


8.根据权利要求7所述的方法，其中，在所述认证服务器基于所述安全数据集与所述设备进行安全通信，在所述安全通信的过程中，基于所述安全数据集计算生成会话密钥之后，所述方法还包括：
所述认证服务器使用所述安全数据集对所述安全因子进行加密，得到加密安全因子；
所述认证服务器使用所述安全数据集对所述第二随机数进行加密，得到第二消息认证码；
所述认证服务器向所述设备返回所述加密信息的响应数据，其中，所述响应数据至少包括：所述第二随机数、所述第二消息认证码、所述加密安全因子和加密套件集；
其中，所述设备接收到所述响应数据后，使用所述安全数据集对所述第二随机数和所述第二消息认证码进行验证，使用所述安全数据集解密加密安全因子得到所述安全因子，并根据所述第一随机数、所述第二随机数和所述安全因子生成所述会话密钥。


9.一种获取密钥的方法，包括：
设备接收密钥服务器同步的安全数据集，其中，所述密钥服务器同步给所述设备的所述安全数据集一并同步至认证服务器，所述安全数据集至少包括：协商密钥和加密算法；
所述设备基于所述安全数据集与所述认证服务器进行安全通信，在所述安全通信的过程中，基于所述安全数...

【专利技术属性】
技术研发人员：韩华伟，张祥勇，吕建文，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛;KY