本发明专利技术提供一种密钥协商方法及系统,该方法包括:根据请求端设备发送的密钥请求中携带的第一签名信息对请求端设备进行身份验证;若通过身份验证,则生成共享密钥,并根据共享密钥生成第二签名信息;获取请求端设备的公钥,根据请求端设备的公钥对第二签名信息进行加密并将密文信息发送到请求端设备,请求端设备根据自身私钥对密文信息进行解密得到第二签名信息,并根据第二签名信息对接收端设备进行身份验证,若通过身份验证,则通过共享密钥对请求端设备的身份信息进行加密并将密文信息返回接收端设备,接收端设备采用共享密钥对接收到的密文信息进行解密。本发明专利技术能同时完成密钥协商和双方身份认证,在保证密钥安全的同时,保证协商效率。保证协商效率。保证协商效率。
【技术实现步骤摘要】
密钥协商方法及系统
[0001]本专利技术涉及通信
,尤其涉及一种密钥协商方法及系统。
技术介绍
[0002]随着通信技术的发展,信息网络环境日益复杂,通信环境中的设备之间信息交互越来越多。在通信过程中,通信的参与方保证通信信息安全,也越来越重要。通信双方建立一个共享密钥(Key),真正通信时使用共享密钥通信,是保证信息安全的前提。
[0003]密钥协商(Key Agreement)是建立共享密钥的基本方式,密钥协商分为两种方案,第一种是隐式密钥方案,该方案以明文形式交互参数信息,然后通信双方基于参数计算得到共同的密钥,密钥信息不在通信链路上传输。第二种是显式密钥方案,该方案中密钥在一侧产生,以密文形式发送到另外一端。
[0004]但是对于一些特殊的应用场景,例如,在一些嵌入式设备启动场景中,设备处于信息孤岛状态,当第一次与外部主机连接时,如何识别外部主机的身份并与外部主机完成密钥协商建立共享Key,是当前亟待解决的技术问题。现有技术中提出了一种能够在完成密钥协商的同时,也会完成双方身份验证的方案,但是双方身份验证的基础必须是通信双方彼此共享一段秘密信息。
技术实现思路
[0005]鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的密钥协商方法及系统。
[0006]本专利技术的一个方面,提供了一种密钥协商方法,所述方法包括:接收端设备接收到请求端设备发送的密钥请求时,根据密钥请求中携带的第一签名信息对请求端设备进行身份验证;若请求端设备通过身份验证,则接收端设备生成共享密钥,并根据共享密钥生成第二签名信息;接收端设备获取请求端设备的第一公钥,根据请求端设备的第一公钥对所述第二签名信息进行加密并将得到的密文信息发送到请求端设备,以供请求端设备根据自身私钥对密文信息进行解密得到第二签名信息,并根据所述第二签名信息对接收端设备进行身份验证,若接收端设备通过身份验证,则从第二签名信息中提取共享密钥,使用共享密钥对请求端设备自身的第一身份信息进行加密并将得到的密文信息返回接收端设备;接收端设备采用共享密钥对接收到的密文信息进行解密,若解密并校验成功则完成密钥协商。
[0007]进一步地,所述第一签名信息包括请求端设备的第一身份信息和第一签名值,所述第一签名值是请求端设备采用自身的私钥对第一身份信息签名后得到的签名值。
[0008]进一步地,所述根据密钥请求中携带的第一签名信息对请求端设备进行身份验证包括:
接收端设备查询预设的请求端设备公钥信息表,以获取与所述第一身份信息匹配的请求端设备的第一公钥;接收端设备根据所述第一公钥对所述第一签名值进行验证,若验证通过,则请求端设备通过身份验证。
[0009]进一步地,所述接收端设备查询预设的请求端设备公钥信息表,以获取与所述第一身份信息匹配的请求端设备的第一公钥,包括:接收端设备根据所述第一身份信息查询预设的请求端设备公钥信息表,所述请求端设备公钥信息表中包括有设备公钥与设备身份信息之间的对应关系;或接收端设备计算所述第一身份信息的Hash值,根据所述第一身份信息的Hash值查询预设的请求端设备公钥信息表,所述请求端设备公钥信息表中包括有设备公钥与设备身份信息的Hash值之间的对应关系。
[0010]进一步地,所述接收端设备生成共享密钥,并根据共享密钥生成第二签名信息,包括:接收端设备生成随机数,将所述随机数作为共享密钥;接收端设备采用自身的私钥对接收端设备的第二身份信息和共享密钥的组合数据进行签名后得到的第二签名值;将所述第二身份信息、共享密钥和第二签名值进行组合,生成第二签名信息。
[0011]进一步地,所述请求端设备根据所述第二签名信息对接收端设备进行身份验证,包括:请求端设备查询预设的接收端设备公钥信息表,以获取与所述第二身份信息匹配的接收端设备的第二公钥;请求端设备根据所述第二公钥对所述第二签名信息进行完整性验证,若验证通过,则接收端设备通过身份验证。
[0012]进一步地,所述请求端设备查询预设的接收端设备公钥信息表,以获取与所述第二身份信息匹配的接收端设备的第二公钥,包括:请求端设备根据所述第二身份信息查询预设的接收端设备公钥信息表,所述接收端设备公钥信息表中包括有设备公钥与设备身份信息之间的对应关系;或请求端设备计算所述第二身份信息的Hash值,根据所述第二身份信息的Hash值查询预设的接收端设备公钥信息表,所述接收端设备公钥信息表中包括有设备公钥与设备身份信息的Hash值之间的对应关系。
[0013]进一步地,所述请求端设备使用共享密钥对请求端设备自身的第一身份信息进行加密并将得到的密文信息返回接收端设备,包括:请求端设备使用共享密钥对第一身份信息和共享密钥的组合数据进行加密,并将得到的密文信息发送到接收端设备;或请求端设备计算第一身份信息和共享密钥的组合数据的Hash值;使用共享密钥对组合数据的Hash值进行加密,并将得到的密文信息发送到接收端设备。
[0014]进一步地,所述接收端设备采用共享密钥对接收到的密文信息进行解密,若解密并校验成功则完成密钥协商,包括:接收端设备采用共享密钥对接收到的密文信息进行解密;
若解密成功,则验证解密后的数据是否为请求端设备的第一身份信息和共享密钥的组合数据,或请求端设备的第一身份信息和共享密钥的组合数据的Hash值;若验证成功,则判定请求端设备接收到所述共享密钥,完成密钥协商。
[0015]本专利技术的另一方面,还提供了一种密钥协商系统,所述系统包括请求端设备和接收端设备,所述请求端设备和接收端设备采用如上所述密钥协商方法实现密钥协商。
[0016]本专利技术实施例提供的密钥协商方法及系统,无需通信双方共享一段秘密信息,只需要经过两次密文数据交换就能同时完成密钥协商和双方身份认证。在保证密钥安全的同时,也保证了协商效率,达到与隐式密钥协商方案相同的效果。
[0017]上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。
附图说明
[0018]通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:图1为本专利技术实施例提供的密钥协商方法的流程图;图2为本专利技术实施例提供的密钥协商方法的整体交互流程框图。
具体实施方式
[0019]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
[0020]本
技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种密钥协商方法,其特征在于,所述方法包括:接收端设备接收到请求端设备发送的密钥请求时,根据密钥请求中携带的第一签名信息对请求端设备进行身份验证;若请求端设备通过身份验证,则接收端设备生成共享密钥,并根据共享密钥生成第二签名信息;接收端设备获取请求端设备的第一公钥,根据请求端设备的第一公钥对所述第二签名信息进行加密并将得到的密文信息发送到请求端设备,以供请求端设备根据自身私钥对密文信息进行解密得到第二签名信息,并根据所述第二签名信息对接收端设备进行身份验证,若接收端设备通过身份验证,则从第二签名信息中提取共享密钥,使用共享密钥对请求端设备自身的第一身份信息进行加密并将得到的密文信息返回接收端设备;接收端设备采用共享密钥对接收到的密文信息进行解密,若解密并校验成功则完成密钥协商。2.根据权利要求1所述的方法,其特征在于,所述第一签名信息包括请求端设备的第一身份信息和第一签名值,所述第一签名值是请求端设备采用自身的私钥对第一身份信息签名后得到的签名值。3.根据权利要求2所述的方法,其特征在于,所述根据密钥请求中携带的第一签名信息对请求端设备进行身份验证包括:接收端设备查询预设的请求端设备公钥信息表,以获取与所述第一身份信息匹配的请求端设备的第一公钥;接收端设备根据所述第一公钥对所述第一签名值进行验证,若验证通过,则请求端设备通过身份验证。4.根据权利要求3所述的方法,其特征在于,所述接收端设备查询预设的请求端设备公钥信息表,以获取与所述第一身份信息匹配的请求端设备的第一公钥,包括:接收端设备根据所述第一身份信息查询预设的请求端设备公钥信息表,所述请求端设备公钥信息表中包括有设备公钥与设备身份信息之间的对应关系;或接收端设备计算所述第一身份信息的Hash值,根据所述第一身份信息的Hash值查询预设的请求端设备公钥信息表,所述请求端设备公钥信息表中包括有设备公钥与设备身份信息的Hash值之间的对应关系。5.根据权利要求1所述的方法,其特征在于,所述接收端设备生成共享密钥,并根据共享密钥生成第二签名信息,包括:接收端设备生成随机数,将所述随机数作为共享密钥;接收端设备采用自身的私钥对接收端设备的第二身份信息和共享密钥的组合数据...
【专利技术属性】
技术研发人员:赵连讯,薛红军,
申请(专利权)人:北京得瑞领新科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。