一种数据处理方法及其设备技术

本申请实施例公开了一种数据处理方法及其设备，用于数据传输中。本申请实施例方法包括：向第一网络设备发送第一数据包，第一数据包携带密钥协商信息，密钥协商信息用于建立会话密钥，会话密钥用于第一终端设备和目标设备进行安全通信，接收第一网络设备发送的第二数据包，第二数据包包括第一密钥参数，第一密钥参数为第一网络设备根据第一目标参数和第二目标参数生成的，第一目标参数为第一网路设备根据密钥协商函数得到，第二目标参数为第二目标设备根据密钥协商函数得到，第一密钥参数用于生成会话密，根据第一密钥参数生成会话密钥。本申请实施例中，根据第一密钥参数生成会话密钥，提升了数据传输的安全性。提升了数据传输的安全性。提升了数据传输的安全性。

【技术实现步骤摘要】
一种数据处理方法及其设备


[0001]本申请实施例涉及计算机
，具体涉及一种数据处理方法及其设备。

技术介绍

[0002]为了确保端到端的通信安全，通常需要安全的可认证密钥交换协议来协商会话密钥，以为通信数据提供机密性和完整性。
[0003]在基于对称密钥的密钥协商和共享机制下，通常需要一个可信的权威服务器实时参与来协助通信双端建立安全可信的会话密钥。例如客户端和对端客户端进行通信前，会先和权威服务器建立安全通道，并向权威服务器发送会话密钥请求。权威服务器会给客户端和对端客户端发送会话密钥，客户端和对端客户端进而根据该会话密钥进行通信。
[0004]在这个过程中，客户端和对端客户端每次进行通信时，都需要权威服务器发送该会话密钥，若权威服务器被第三方攻破，第三方可以实时获取会话密钥，这样就会影响了通信的安全性。

技术实现思路

[0005]本申请实施例提供了一种数据处理方法及其设备，用于数据传输中。第一终端设备通过在第一数据包中携带密钥协商信息，并根据第一网络设备发送的第一密钥参数生成会话密钥，避免权威服务器直接发送会话密钥，提升了数据传输的安全性。
[0006]本申请第一方面提供了一种数据处理方法。
[0007]第一终端设备向第一网络设备发送第一数据包，第一数据包携带密钥协商信息，密钥协商信息用于建立会话密钥，会话密钥用于第一终端设备和目标设备进行安全通信，第一终端设备接收第一网络设备发送的第二数据包，第二数据包包括第一密钥参数，第一密钥参数为第一网络设备根据第一目标参数和第二目标参数生成的，第一目标参数为第一网路设备根据密钥协商函数得到，第二目标参数为第二目标设备根据密钥协商函数得到，第一密钥参数用于生成会话密钥，第一终端设备根据第一密钥参数生成会话密钥。
[0008]本申请实施例中，第一终端设备通过在第一数据包中携带密钥协商信息，并根据第一网络设备发送的第一密钥参数生成会话密钥，避免权威服务器直接发送会话密钥，提升了数据传输的安全性。
[0009]基于本申请第一方面的实施方式，在一种可能的实现方式中，
[0010]第一终端设备生成第一随机数，第一随机数用于生成会话密钥，第一随机数携带在第一数据包中，第二数据包还包括第二随机数，第二随机数用于生成会话密钥，第二随机数为目标设备生成的，第一终端设备根据第一密钥参数生成会话密钥具体包括：第一终端设备根据第一随机数、第二随机数和第一密钥参数生成会话密钥。
[0011]本申请实施例中，第一终端设备根据第一终端设备生成的第一随机数、目标设备生成的第二随机数，以及第一密钥参数生成会话密钥，由于该会话密钥的生成需要用到多个设备生成的参数，对于非法第三方来说，只攻破其中一个设备很难生成会话密钥，因此进
一步的保证了数据传输的安全性。
[0012]基于本申请第一方面的实施方式，在一种可能的实现方式中，
[0013]第一终端设备根据对称加密算法对第一随机数进行加密，得到第一加密随机数，第一加密随机数携带在第一数据包中，第二随机数为目标设备根据对称加密算法加密的随机数，第一终端设备根据第一随机数、第二随机数和第一密钥参数生成会话密钥具体包括：第一终端设备根据对称解密算法对第二随机数进行解密，得到第二解密随机数，对称解密算法和对称加密算法相对应，所说第一终端设备根据第一随机数、第二解密随机数和第一密钥参数生成会话密钥。
[0014]本申请实施例中，通过对称加密算法加解密第一随机数和第二随机数，相对于非对称的算法那，可以降低终端设备的计算负荷，另外，通过加解密第一随机数和第二随机数，可以进一步的保证数据传输的安全性。
[0015]基于本申请第一方面的实施方式，在一种可能的实现方式中，
[0016]第一终端设备获取第一身份信息和第二身份信息，第一身份信息用于识别第一终端设备，第二身份信息用于识别目标设备，第一终端设备根据第一身份信息和第二身份信息得到第一密钥信息，第一终端设备根据对称加密算法对第一随机数进行加密，得到第一加密随机数具体包括：第一终端设备根据第一密钥信息和对称加密算法对第一随机数进行加密，得到第一加密随机数，第一终端设备根据对称解密算法对第二随机数进行解密，得到第二解密随机数具体包括：第一终端设备根据对称解密算法和第一密钥信息对第二随机数进行解密，得到第二解密随机数。
[0017]本申请实施例中，通过第一终端设备的第一身份信息和目标设备的第二身份信息得到第一密钥信息，并根据该第一密钥信息加解密第一随机数和第二随机数，提升了数据传输的安全性。
[0018]基于本申请第一方面的实施方式，在一种可能的实现方式中，第一身份信息包括第一身份标识和第一有效期参数，第一身份标识用于识别第一终端设备，第一有效期参数用于指示第一身份信息的失效时间，第二身份信息包括第二身份标识和第二有效期参数，第二身份标识用于识别目标设备，第二有效期参数用于指示第二身份信息的失效时间，第一终端设备根据第一身份信息和第二身份信息得到第一密钥信息包括：第一终端设备判断第二有效期参数是否超过预设失效时间，若未超过，则第一终端设备根据第一身份信息和第二身份信息得到第一密钥信息。
[0019]本申请实施例中，通过判断第二有效期是否超过预设失效时间来确定是否要生成第一密钥信息，减少了第一身份信息或者第二身份信息的有效时间，进一步的确保了第一密钥信息的安全性。
[0020]基于本申请第一方面的实施方式，在一种可能的实现方式中，第一终端设备获取第一协同加密密钥，第一密钥参数为第一网络设备根据第一协同加密密钥加密的，方法还包括：第一终端设备根据第一协同加密密钥对第一密钥参数进行解密，得到第一密钥明文参数，第一终端设备根据第一密钥参数生成会话密钥具体包括：第一终端设备根据第一密钥明文参数生成会话密钥。
[0021]本申请实施例中，根据第一协同加密密钥对第一密钥参数进行加解密，提升了数据传输的安全性。
[0022]基于本申请第一方面的实施方式，在一种可能的实现方式中，
[0023]第一终端设备获取第一协同加密密钥包括：第一终端设备接收第二网络设备发送的协同加密密钥种子参数，所述协同加密密钥种子参数为所述第二网络设备生成的，所述第一终端设备根据所述协同加密密钥种子参数得到所述第一协同加密密钥。
[0024]本申请实施例中，通过一个可信任的第二网络设备发送协同加密密钥种子参数，并根据该协同加密密钥种子参数生成第一协同加密密钥，提升了第一协同加密密钥的安全性。
[0025]基于本申请第一方面的实施方式，在一种可能的实现方式中，第二数据包还包括第一认证信息，第一认证信息为目标设备根据第一随机数和第一密钥参数生成的，第一终端设备根据第一密钥参数生成会话密钥具体包括：第一终端设备判断第一认证信息是否被篡改，若否，则第一终端设备根据第一密钥参数生成会话密钥。
[0026]本申请实施例中，通过判断第一认证信息是否被篡改来确定是否生成会话密钥，进一步的保证了会话密钥的安全性。<本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种数据处理方法，其特征在于，包括：第一终端设备向第一网络设备发送第一数据包，所述第一数据包携带密钥协商信息，所述密钥协商信息用于建立会话密钥，所述会话密钥用于所述第一终端设备和所述目标设备进行安全通信；所述第一终端设备接收所述第一网络设备发送的第二数据包，所述第二数据包包括第一密钥参数，所述第一密钥参数为所述第一网络设备根据第一目标参数和第二目标参数生成的，所述第一目标参数为所述第一网路设备根据密钥协商函数得到，所述第二目标参数为所述第二目标设备根据所述密钥协商函数得到，所述第一密钥参数用于生成所述会话密钥；所述第一终端设备根据所述第一密钥参数生成所述会话密钥。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：所述第一终端设备生成第一随机数，所述第一随机数用于生成所述会话密钥，所述第一随机数携带在所述第一数据包中；所述第二数据包还包括第二随机数，所述第二随机数用于生成所述会话密钥，所述第二随机数为所述目标设备生成的，所述第一终端设备根据所述第一密钥参数生成所述会话密钥具体包括：所述第一终端设备根据所述第一随机数、所述第二随机数和所述第一密钥参数生成所述会话密钥。3.根据权利要求2所述的方法，其特征在于，所述方法还包括：所述第一终端设备根据对称加密算法对所述第一随机数进行加密，得到第一加密随机数，所述第一加密随机数携带在所述第一数据包中；所述第二随机数为所述目标设备根据所述对称加密算法加密的随机数，所述第一终端设备根据所述第一随机数、所述第二随机数和所述第一密钥参数生成所述会话密钥具体包括：所述第一终端设备根据对称解密算法对所述第二随机数进行解密，得到第二解密随机数，所述对称解密算法和所述对称加密算法相对应；所说第一终端设备根据所述第一随机数、所述第二解密随机数和所述第一密钥参数生成所述会话密钥。4.根据权利要求3所述的方法，其特征在于，所述方法还包括：所述第一终端设备获取第一身份信息和第二身份信息，所述第一身份信息用于识别所述第一终端设备，所述第二身份信息用于识别所述目标设备；所述第一终端设备根据所述第一身份信息和所述第二身份信息得到第一密钥信息；所述第一终端设备根据对称加密算法对所述第一随机数进行加密，得到第一加密随机数具体包括：所述第一终端设备根据所述第一密钥信息和所述对称加密算法对所述第一随机数进行加密，得到第一加密随机数；所述第一终端设备根据对称解密算法对所述第二随机数进行解密，得到第二解密随机数具体包括：所述第一终端设备根据所述对称解密算法和所述第一密钥信息对所述第二随机数进
行解密，得到第二解密随机数。5.根据权利要求4所述的方法，其特征在于，所述第一身份信息包括第一身份标识和第一有效期参数，所述第一身份标识用于识别所述第一终端设备，所述第一有效期参数用于指示所述第一身份信息的失效时间，所述第二身份信息包括第二身份标识和第二有效期参数，所述第二身份标识用于识别所述目标设备，所述第二有效期参数用于指示所述第二身份信息的失效时间，所述第一终端设备根据所述第一身份信息和所述第二身份信息得到第一密钥信息包括：所述第一终端设备判断所述第二有效期参数是否超过预设失效时间；若未超过，则所述第一终端设备根据所述第一身份信息和所述第二身份信息得到第一密钥信息。6.根据权利要求1至5中任一项所述的方法，其特征在于，所述方法还包括：所述第一终端设备获取第一协同加密密钥；所述第一密钥参数为所述第一网络设备根据所述第一协同加密密钥加密的，所述方法还包括：所述第一终端设备根据所述第一协同加密密钥对所述第一密钥参数进行解密，得到第一密钥明文参数；所述第一终端设备根据所述第一密钥参数生成所述会话密钥具体包括：所述第一终端设备根据所述第一密钥明文参数生成所述会话密钥。7.根据权利要求6所述的方法，其特征在于，所述第一终端设备获取第一协同加密密钥包括：所述第一终端设备接收第二网络设备发送的协同加密密钥种子参数，所述协同加密密钥种子参数为所述第二网络设备生成的；所述第一终端设备根据所述协同加密密钥种子参数得到所述第一协同加密密钥。8.根据权利要求2至7中任一项所述的方法，其特征在于，所述第二数据包还包括第一认证信息，所述第一认证信息为所述目标设备根据所述第一随机数和所述第一密钥参数生成的，所述第一终端设备根据所述第一密钥参数生成所述会话密钥具体包括：所述第一终端设备判断所述第一认证信息是否被篡改；若否，则所述第一终端设备根据所述第一密钥参数生成所述会话密钥。9.根据权利要求8所述的方法，其特征在于，所述第一终端设备判断所述第一认证信息是否被篡改具体包括：所述第一终端设备根据所述第一身份信息、所述第二身份信息和密钥派生函数计算得到第一密钥信息；所述第一终端设备根据所述第一密钥信息、所述第一随机数、所述第一目标参数和所述第二目标参数进行计算得到第二认证信息；所述第一终端设备判断所述第一认证信息和所述第二认证信息是否相同；若是，则所述第一终端设备确定所述第一认证信息未被篡改。10.根据权利要求9所述的方法，其特征在于，所述方法还包括：所述第一终端设备根据所述目标密钥参数、所述第二随机数、所述第一目标参数和所述第二目标参数进行计算得到第三认证信息，所述第三认证信息用于所述目标设备进行所
述会话密钥认证；所述第一终端设备向所述第一网络设备发送所述第三认证信息。11.根据权利要求6至10中任一项所述的方法，其特征在于，所述第一终端设备根据所述第一密钥参数生成所述会话密钥之后，所述方法还包括：所述第一终端设备更新所述第一协同加密密钥，得到第二协同加密密钥，所述第二协同加密密钥用于对第二密钥参数进行解密，所述第二密钥参数为所述第一终端设备在接收到所述第一密钥参数之后接收到的，所述第二密钥参数用于所述第一终端设备与其他设备或所述目标设备建立第二会话密钥。12.根据权利要求11所述的方法，其特征在于，所述第一终端设备更新所述第一协同加密密钥，得到第二协同加密密钥包括：所述第一终端设备根据安全的单向函数对所述第一协同加密密钥进行计算，得到第二协同加密密钥。13.根据权利要求1至12中任一项所述的方法，其特征在于，所述密钥协商信息携带在所述第一数据包的报文头部。14.根据所述权利要求13所述的方法，其特征在于，所述第一数据包还携带第一业务数据，所述第一业务数据为所述第一终端设备生成的。15.根据权利要求2所述的方法，其特征在于，所述第一密钥参数和所述第二随机数携带在所述第二数据包的报文头部，所述第二数据包还携带有第二业务数据，所述第二业务数据为所述目标设备生成的。16.一种数据处理方法，其特征在于，包括：第一网络设备接收第一终端设备发送的第一数据包，所述第一数据包携带密钥协商信息，所述密钥协商信息用于建立会话密钥，所述会话密钥用于所述第一终端设备和所述目标设备进行安全通信；所述第一网络设备在所述第一数据包中添加第一目标参数得到第三数据包，所述第一目标参数为所述第一网络设备根据密钥协商函数得到；所述第一网络设备向所述目标设备发送所述第三数据包；所述第一网络设备接收所述目标设备发送的第四数据包，所述第二数据包包括第二目标参数，所述第二目标参数为所述目标设备根据所述密钥协商函数得到；所述第一网络设备根据所述第一目标参数和所述第二目标参数得到第一密钥参数，所述第一密钥参数用于生成所述会话密钥；所述第一网络设备向所述第一终端设备发送第二数据包，所述第二数据包携带所述第一密钥参数。17.根据权利要求16所述的方法，其特征在于，所述第一数据包中还包括第一随机数，所述第一随机数用于生成所述会话密钥，所述第二数据包中还包括第二随机数，所述第二随机数为所述目标设备生成的，所述第二随机数携带在所述第四数据包中。18.根据权利要求17所述的方法，其特征在于，所述第一随机数为第一加密随机数，所述第一加密随机数为所述第一终端设备根据对称加密算法对所述第一随机数进行加密得到的，所述第二随机数为所述目标设备根据所述对称加密算法加密的随机数。19.根据权利要求18所述的方法，其特征在于，所述第一加密随机数为所述第一终端设
备根据第一密钥信息和所述对称加密算法得到的，所述第一密钥信息为所述第一终端设备根据第一身份信息和第二身份信息得到的，所述第一身份信息用于识别所述第一终端设备，所述第二身份信息用于识别所述目标设备。20.根据权利要求19所述的方法，其特征在于，所述第一身份信息包括第一身份标识和第一有效期参数，所述第一身份标识用于识别所述第一终端设备，所述第一有效期参数用于指示所述第一身份信息的失效时间，所述第二身份信息包括第二身份标识和第二有效期参数，所述第二身份标识用于识别所述目标设备，所述第二有效期参数用于指示所述第二身份信息的失效时间。21.根据权利要求16至20中任一项所述的方法，其特征在于，所述方法还包括：所述第一网络设备获取第一协同加密密钥；所述第一网络设备根据所述第一协同加密密钥对所述第一密钥参数进行加密，加密后的所述第一密钥参数携带在所述第二数据包中。22.根据权利要求21所述的方法，其特征在于，所述第一网络设备获取第一协同加密密钥具体包括：所述第一网络设备接收第二网路设备发送的协同加密密钥种子参数，所述协同加密密钥种子参数为所述第二网络设备生成的；所述第一网络设备根据所述协同加密密钥种子参数得到所述第一协同加密密钥。23.根据权利要求17至22所述的方法，其特征在于，所述第二数据包还包括第一认证信息，所述第一认证信息为所述目标设备根据所述第一随机数和所述第一密钥参数生成的，所述第一认证信息用于所述第一终端设备判断是否生成所述会话密钥。24.根据权利要求23所述的方法，其特征在于，所述方法还包括：所述第一网络设备接收所述第一终端设备发送的第三认证信息，所述第三认证信息为所述第一终端设备根据目标密钥参数、所述第二随机数、所述第一目标参数和所述第二目标参数进行计算得到的，所述目标密钥参数为所述第一终端设备根据所述第一身份信息、所述第二身份信息和密钥派生函数计算得到的，所述第三认证信息用于所述目标设备进行所述会话密钥的认证；所述第一网路设备向所述目标设备发送所述第三认证信息。25.根据权利要求24所述的方法，其特征在于，所述第一网络设备接收所述第一终端设备发送的第三认证信息之后，所述方法还包括：所述第一网络设备更新所述第一协同加密密钥，得到第二协同加密密钥，所述第二协同加密密钥用于对第二密钥参数进行加密，所述第二密钥参数为所述第一网络设备在接收到所述第一密钥参数之后接收到的，所述第二密钥参数用于所述第一终端设备与其他设备进行通信。26.根据权利要求25所述的方法，其特征在于，所述第一网络设备更新所述第一协同加密密钥包括：所述第一网络设备根据安全的单向函数对所述第一协同加密密钥进行计算，得到第二协同加密密钥。27.根据权利要求16至26中任一项所述的方法，其特征在于，所述密钥协商信息携带在所述第一数据包的报文头部。
28.根据权利要求27所述的方法，其特征在于，所述第一数据包还携带第一业务数据，所述第一业务数据为所述第一终端设备生成的。29.根据权利要求17所的方法，其特征在于，所述第一密钥参数和所述第二随机数携带在所述第二数...

【专利技术属性】
技术研发人员：江伟玉，张道德，刘冰洋，杨飞，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：