【技术实现步骤摘要】
一种数据处理方法及其设备
[0001]本申请实施例涉及计算机
,具体涉及一种数据处理方法及其设备。
技术介绍
[0002]为了确保端到端的通信安全,通常需要安全的可认证密钥交换协议来协商会话密钥,以为通信数据提供机密性和完整性。
[0003]在基于对称密钥的密钥协商和共享机制下,通常需要一个可信的权威服务器实时参与来协助通信双端建立安全可信的会话密钥。例如客户端和对端客户端进行通信前,会先和权威服务器建立安全通道,并向权威服务器发送会话密钥请求。权威服务器会给客户端和对端客户端发送会话密钥,客户端和对端客户端进而根据该会话密钥进行通信。
[0004]在这个过程中,客户端和对端客户端每次进行通信时,都需要权威服务器发送该会话密钥,若权威服务器被第三方攻破,第三方可以实时获取会话密钥,这样就会影响了通信的安全性。
技术实现思路
[0005]本申请实施例提供了一种数据处理方法及其设备,用于数据传输中。第一终端设备通过在第一数据包中携带密钥协商信息,并根据第一网络设备发送的第一密钥参数生成会话密钥,避免权威服务器直接发送会话密钥,提升了数据传输的安全性。
[0006]本申请第一方面提供了一种数据处理方法。
[0007]第一终端设备向第一网络设备发送第一数据包,第一数据包携带密钥协商信息,密钥协商信息用于建立会话密钥,会话密钥用于第一终端设备和目标设备进行安全通信,第一终端设备接收第一网络设备发送的第二数据包,第二数据包包括第一密钥参数,第一密钥参数为第一网络设备根据第一目 ...
【技术保护点】
【技术特征摘要】
1.一种数据处理方法,其特征在于,包括:第一终端设备向第一网络设备发送第一数据包,所述第一数据包携带密钥协商信息,所述密钥协商信息用于建立会话密钥,所述会话密钥用于所述第一终端设备和所述目标设备进行安全通信;所述第一终端设备接收所述第一网络设备发送的第二数据包,所述第二数据包包括第一密钥参数,所述第一密钥参数为所述第一网络设备根据第一目标参数和第二目标参数生成的,所述第一目标参数为所述第一网路设备根据密钥协商函数得到,所述第二目标参数为所述第二目标设备根据所述密钥协商函数得到,所述第一密钥参数用于生成所述会话密钥;所述第一终端设备根据所述第一密钥参数生成所述会话密钥。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:所述第一终端设备生成第一随机数,所述第一随机数用于生成所述会话密钥,所述第一随机数携带在所述第一数据包中;所述第二数据包还包括第二随机数,所述第二随机数用于生成所述会话密钥,所述第二随机数为所述目标设备生成的,所述第一终端设备根据所述第一密钥参数生成所述会话密钥具体包括:所述第一终端设备根据所述第一随机数、所述第二随机数和所述第一密钥参数生成所述会话密钥。3.根据权利要求2所述的方法,其特征在于,所述方法还包括:所述第一终端设备根据对称加密算法对所述第一随机数进行加密,得到第一加密随机数,所述第一加密随机数携带在所述第一数据包中;所述第二随机数为所述目标设备根据所述对称加密算法加密的随机数,所述第一终端设备根据所述第一随机数、所述第二随机数和所述第一密钥参数生成所述会话密钥具体包括:所述第一终端设备根据对称解密算法对所述第二随机数进行解密,得到第二解密随机数,所述对称解密算法和所述对称加密算法相对应;所说第一终端设备根据所述第一随机数、所述第二解密随机数和所述第一密钥参数生成所述会话密钥。4.根据权利要求3所述的方法,其特征在于,所述方法还包括:所述第一终端设备获取第一身份信息和第二身份信息,所述第一身份信息用于识别所述第一终端设备,所述第二身份信息用于识别所述目标设备;所述第一终端设备根据所述第一身份信息和所述第二身份信息得到第一密钥信息;所述第一终端设备根据对称加密算法对所述第一随机数进行加密,得到第一加密随机数具体包括:所述第一终端设备根据所述第一密钥信息和所述对称加密算法对所述第一随机数进行加密,得到第一加密随机数;所述第一终端设备根据对称解密算法对所述第二随机数进行解密,得到第二解密随机数具体包括:所述第一终端设备根据所述对称解密算法和所述第一密钥信息对所述第二随机数进
行解密,得到第二解密随机数。5.根据权利要求4所述的方法,其特征在于,所述第一身份信息包括第一身份标识和第一有效期参数,所述第一身份标识用于识别所述第一终端设备,所述第一有效期参数用于指示所述第一身份信息的失效时间,所述第二身份信息包括第二身份标识和第二有效期参数,所述第二身份标识用于识别所述目标设备,所述第二有效期参数用于指示所述第二身份信息的失效时间,所述第一终端设备根据所述第一身份信息和所述第二身份信息得到第一密钥信息包括:所述第一终端设备判断所述第二有效期参数是否超过预设失效时间;若未超过,则所述第一终端设备根据所述第一身份信息和所述第二身份信息得到第一密钥信息。6.根据权利要求1至5中任一项所述的方法,其特征在于,所述方法还包括:所述第一终端设备获取第一协同加密密钥;所述第一密钥参数为所述第一网络设备根据所述第一协同加密密钥加密的,所述方法还包括:所述第一终端设备根据所述第一协同加密密钥对所述第一密钥参数进行解密,得到第一密钥明文参数;所述第一终端设备根据所述第一密钥参数生成所述会话密钥具体包括:所述第一终端设备根据所述第一密钥明文参数生成所述会话密钥。7.根据权利要求6所述的方法,其特征在于,所述第一终端设备获取第一协同加密密钥包括:所述第一终端设备接收第二网络设备发送的协同加密密钥种子参数,所述协同加密密钥种子参数为所述第二网络设备生成的;所述第一终端设备根据所述协同加密密钥种子参数得到所述第一协同加密密钥。8.根据权利要求2至7中任一项所述的方法,其特征在于,所述第二数据包还包括第一认证信息,所述第一认证信息为所述目标设备根据所述第一随机数和所述第一密钥参数生成的,所述第一终端设备根据所述第一密钥参数生成所述会话密钥具体包括:所述第一终端设备判断所述第一认证信息是否被篡改;若否,则所述第一终端设备根据所述第一密钥参数生成所述会话密钥。9.根据权利要求8所述的方法,其特征在于,所述第一终端设备判断所述第一认证信息是否被篡改具体包括:所述第一终端设备根据所述第一身份信息、所述第二身份信息和密钥派生函数计算得到第一密钥信息;所述第一终端设备根据所述第一密钥信息、所述第一随机数、所述第一目标参数和所述第二目标参数进行计算得到第二认证信息;所述第一终端设备判断所述第一认证信息和所述第二认证信息是否相同;若是,则所述第一终端设备确定所述第一认证信息未被篡改。10.根据权利要求9所述的方法,其特征在于,所述方法还包括:所述第一终端设备根据所述目标密钥参数、所述第二随机数、所述第一目标参数和所述第二目标参数进行计算得到第三认证信息,所述第三认证信息用于所述目标设备进行所
述会话密钥认证;所述第一终端设备向所述第一网络设备发送所述第三认证信息。11.根据权利要求6至10中任一项所述的方法,其特征在于,所述第一终端设备根据所述第一密钥参数生成所述会话密钥之后,所述方法还包括:所述第一终端设备更新所述第一协同加密密钥,得到第二协同加密密钥,所述第二协同加密密钥用于对第二密钥参数进行解密,所述第二密钥参数为所述第一终端设备在接收到所述第一密钥参数之后接收到的,所述第二密钥参数用于所述第一终端设备与其他设备或所述目标设备建立第二会话密钥。12.根据权利要求11所述的方法,其特征在于,所述第一终端设备更新所述第一协同加密密钥,得到第二协同加密密钥包括:所述第一终端设备根据安全的单向函数对所述第一协同加密密钥进行计算,得到第二协同加密密钥。13.根据权利要求1至12中任一项所述的方法,其特征在于,所述密钥协商信息携带在所述第一数据包的报文头部。14.根据所述权利要求13所述的方法,其特征在于,所述第一数据包还携带第一业务数据,所述第一业务数据为所述第一终端设备生成的。15.根据权利要求2所述的方法,其特征在于,所述第一密钥参数和所述第二随机数携带在所述第二数据包的报文头部,所述第二数据包还携带有第二业务数据,所述第二业务数据为所述目标设备生成的。16.一种数据处理方法,其特征在于,包括:第一网络设备接收第一终端设备发送的第一数据包,所述第一数据包携带密钥协商信息,所述密钥协商信息用于建立会话密钥,所述会话密钥用于所述第一终端设备和所述目标设备进行安全通信;所述第一网络设备在所述第一数据包中添加第一目标参数得到第三数据包,所述第一目标参数为所述第一网络设备根据密钥协商函数得到;所述第一网络设备向所述目标设备发送所述第三数据包;所述第一网络设备接收所述目标设备发送的第四数据包,所述第二数据包包括第二目标参数,所述第二目标参数为所述目标设备根据所述密钥协商函数得到;所述第一网络设备根据所述第一目标参数和所述第二目标参数得到第一密钥参数,所述第一密钥参数用于生成所述会话密钥;所述第一网络设备向所述第一终端设备发送第二数据包,所述第二数据包携带所述第一密钥参数。17.根据权利要求16所述的方法,其特征在于,所述第一数据包中还包括第一随机数,所述第一随机数用于生成所述会话密钥,所述第二数据包中还包括第二随机数,所述第二随机数为所述目标设备生成的,所述第二随机数携带在所述第四数据包中。18.根据权利要求17所述的方法,其特征在于,所述第一随机数为第一加密随机数,所述第一加密随机数为所述第一终端设备根据对称加密算法对所述第一随机数进行加密得到的,所述第二随机数为所述目标设备根据所述对称加密算法加密的随机数。19.根据权利要求18所述的方法,其特征在于,所述第一加密随机数为所述第一终端设
备根据第一密钥信息和所述对称加密算法得到的,所述第一密钥信息为所述第一终端设备根据第一身份信息和第二身份信息得到的,所述第一身份信息用于识别所述第一终端设备,所述第二身份信息用于识别所述目标设备。20.根据权利要求19所述的方法,其特征在于,所述第一身份信息包括第一身份标识和第一有效期参数,所述第一身份标识用于识别所述第一终端设备,所述第一有效期参数用于指示所述第一身份信息的失效时间,所述第二身份信息包括第二身份标识和第二有效期参数,所述第二身份标识用于识别所述目标设备,所述第二有效期参数用于指示所述第二身份信息的失效时间。21.根据权利要求16至20中任一项所述的方法,其特征在于,所述方法还包括:所述第一网络设备获取第一协同加密密钥;所述第一网络设备根据所述第一协同加密密钥对所述第一密钥参数进行加密,加密后的所述第一密钥参数携带在所述第二数据包中。22.根据权利要求21所述的方法,其特征在于,所述第一网络设备获取第一协同加密密钥具体包括:所述第一网络设备接收第二网路设备发送的协同加密密钥种子参数,所述协同加密密钥种子参数为所述第二网络设备生成的;所述第一网络设备根据所述协同加密密钥种子参数得到所述第一协同加密密钥。23.根据权利要求17至22所述的方法,其特征在于,所述第二数据包还包括第一认证信息,所述第一认证信息为所述目标设备根据所述第一随机数和所述第一密钥参数生成的,所述第一认证信息用于所述第一终端设备判断是否生成所述会话密钥。24.根据权利要求23所述的方法,其特征在于,所述方法还包括:所述第一网络设备接收所述第一终端设备发送的第三认证信息,所述第三认证信息为所述第一终端设备根据目标密钥参数、所述第二随机数、所述第一目标参数和所述第二目标参数进行计算得到的,所述目标密钥参数为所述第一终端设备根据所述第一身份信息、所述第二身份信息和密钥派生函数计算得到的,所述第三认证信息用于所述目标设备进行所述会话密钥的认证;所述第一网路设备向所述目标设备发送所述第三认证信息。25.根据权利要求24所述的方法,其特征在于,所述第一网络设备接收所述第一终端设备发送的第三认证信息之后,所述方法还包括:所述第一网络设备更新所述第一协同加密密钥,得到第二协同加密密钥,所述第二协同加密密钥用于对第二密钥参数进行加密,所述第二密钥参数为所述第一网络设备在接收到所述第一密钥参数之后接收到的,所述第二密钥参数用于所述第一终端设备与其他设备进行通信。26.根据权利要求25所述的方法,其特征在于,所述第一网络设备更新所述第一协同加密密钥包括:所述第一网络设备根据安全的单向函数对所述第一协同加密密钥进行计算,得到第二协同加密密钥。27.根据权利要求16至26中任一项所述的方法,其特征在于,所述密钥协商信息携带在所述第一数据包的报文头部。
28.根据权利要求27所述的方法,其特征在于,所述第一数据包还携带第一业务数据,所述第一业务数据为所述第一终端设备生成的。29.根据权利要求17所的方法,其特征在于,所述第一密钥参数和所述第二随机数携带在所述第二数...
【专利技术属性】
技术研发人员:江伟玉,张道德,刘冰洋,杨飞,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。