安全通信方法、客户端、服务器、终端和网络侧设备技术

本申请提供了一种安全通信方法、客户端、服务器、终端和网络侧设备，涉及通信技术领域。应用于客户端的所述方法包括：获取客户端的私钥、客户端的公钥以及预先存储的服务器的当前公钥，根据所述客户端的私钥和所述服务器的当前公钥生成所述客户端的共享秘密密钥；向所述服务器发送用于请求与所述服务器建立通讯连接的请求报文；其中，所述请求报文包括：所述客户端的公钥、以及根据所述共享秘密密钥加密的客户端的设备有效信息；接收所述服务器解密所述设备有效信息后的响应报文，以建立所述客户端和所述服务器之间的安全通信通道。本申请针对物联网场景直接内置服务器公钥的方案来认证服务器的身份防止中间人攻击，提升了通信的安全性。安全性。安全性。

【技术实现步骤摘要】
安全通信方法、客户端、服务器、终端和网络侧设备


[0001]本申请涉及通信
，特别涉及一种安全通信方法、客户端、服务器、终端和网络侧设备。

技术介绍

[0002]随着物联网技术的快速更迭，常见通信模块的运算能力也得到了大幅度的提升。而随着大量的物联网设备接入了互联网之中，各式各样的安全需求也都接踵而至。而诸如远程水电抄表、消防监控等安全要求较高的行业更需要保证通信的机密性、完整性、不可抵赖性和身份可验证。
[0003]一方面，现有技术的基于物联网平台的轻量级设备认证及共享密钥协商方法，该方案采用传递服务器公钥的方式无法避免被中间人攻击，无法确保数据的真实性；现有技术的基于窄带物联网(Narrow Band Internet of Things，NB
‑
IoT)的物联网安全通信装置，该方案类似于基于共享密钥(PSK)的方案对于平台的密钥维护是非常繁琐的，并且并没有针对窄带(NB)网络有实际的流程与性能优化。
[0004]另一方面，常见的安全传输层协议(TLS)的方案消耗对于部分设备尤其是窄带NB设备是难以承受的。更进一步的PSK+数据包传输层安全协议(Datagram Transport Layer Security，DTLS)的方案针对NB网络的网际互连协议(IP)老化后需要重协商问题依然是难以规避的，提前的PSK部署到各个通信模块上也是很繁琐的流程。而由各个厂商自行拟定的加密方案绝大多数从密码学范畴上就无法真正的实现安全可靠。

技术实现思路

[0005]本申请实施例提供一种安全通信方法、客户端、服务器、终端和网络侧设备，以解决现有的物联网签证技术和密钥协商技术大多不满足客户端在NB网络资源等通信环境下受限的问题。
[0006]为了解决上述技术问题，本申请采用如下技术方案：
[0007]本申请实施例提供一种安全通信方法，应用于客户端，包括：
[0008]获取客户端的私钥、客户端的公钥以及预先存储的服务器的当前公钥，根据所述客户端的私钥和所述服务器的当前公钥生成所述客户端的共享秘密密钥；
[0009]向所述服务器发送用于请求与所述服务器建立通讯连接的请求报文；其中，所述请求报文包括：所述客户端的公钥、以及根据所述共享秘密密钥加密的客户端的设备有效信息；
[0010]接收所述服务器解密所述设备有效信息后的响应报文，以建立所述客户端和所述服务器之间的安全通信通道。
[0011]可选的，生成所述客户端的共享秘密密钥，还包括：
[0012]获取客户端的第一目标参数；
[0013]根据所述客户端的私钥、所述服务器的当前公钥以及所述第一目标参数，生成所
述客户端的共享秘密密钥。
[0014]可选的，所述响应报文包括：
[0015]根据所述服务器的当前公钥相对应的私钥对解析结果进行签名的响应报文；其中，所述解析结果是所述服务器解密所述设备有效信息后的结果。
[0016]可选的，接收所述服务器解密所述设备有效信息后的响应报文，以建立所述客户端和所述服务器之间的安全通信通道，包括：
[0017]根据所述服务器的当前公钥对所述响应报文进行验证签名；
[0018]若验证签名失败，则停止建立所述客户端和所述服务器之间的安全通信通道。
[0019]可选的，建立所述客户端和所述服务器之间的安全通信通道之后，还包括：
[0020]向所述服务器发送用于询问所述服务器是否需要更新当前公钥的询问请求报文，所述询问请求报文至少包括所述服务器的当前公钥信息；
[0021]若所述服务器需要更新所述当前公钥，则接收所述服务器发送的更新当前公钥的响应报文，所述响应报文至少包括所述服务器的新的公钥；
[0022]将所述服务器的新的公钥替换所述服务器的当前公钥，并根据所述客户端的私钥和所述服务器的新的公钥生成所述客户端的新的共享秘密密钥，并执行向所述服务器发送用于请求与所述服务器建立通讯连接的请求报文的步骤。
[0023]可选的，建立所述客户端和所述服务器之间的安全通信通道之后，还包括：
[0024]接收所述服务器发送的更新当前公钥的响应报文，所述响应报文至少包括所述服务器的临时公钥；
[0025]将所述服务器的临时公钥替换所述服务器的当前公钥，并根据所述客户端的私钥和所述服务器的临时公钥，并根据所述客户端的私钥和所述服务器的临时公钥生成所述客户端的新的共享秘密密钥，并执行一次向所述服务器发送用于请求与所述服务器建立通讯连接的请求报文的步骤。
[0026]本申请实施例还提供一种安全通信方法，应用于服务器，包括：
[0027]接收客户端发送的用于请求与所述服务器建立通讯连接的请求报文；其中，所述请求报文包括：客户端的公钥、以及根据所述客户端的共享秘密密钥加密的客户端的设备有效信息；
[0028]根据与所述客户端预先存储的服务器的当前公钥相对应的私钥和所述客户端的公钥生成所述服务器的当前共享秘密密钥；
[0029]向所述客户端发送响应报文，以建立所述客户端和所述服务器之间的安全通信通道；
[0030]其中，所述响应报文包括：根据所述服务器的当前公钥相对应的私钥对解析结果进行签名的响应报文；所述解析结果是所述服务器根据当前共享秘密密钥解密所述设备有效信息后的结果。
[0031]可选的，生成所述服务器的当前共享秘密密钥，还包括：
[0032]获取所述服务器的第二目标参数；所述第二目标参数是与所述客户端的第一目标参数匹配相对应的；
[0033]根据所述客户端的公钥、所述服务器的当前公钥相对应的私钥以及所述第二目标参数，生成所述客户端的当前共享秘密密钥。
[0034]可选的，当客户端和服务器采取约束应用协议时，根据当前共享秘密密钥解密所述设备有效信息，包括：
[0035]获取所述约束应用协议中的令牌信息；
[0036]根据所述当前共享秘密密钥和所述令牌信息，解密所述设备有效信息。
[0037]可选的，建立所述客户端和所述服务器之间的安全通信通道之后，还包括：
[0038]接收所述客户端发送的询问所述服务器是否需要更新当前公钥的询问请求报文，所述询问请求报文至少包括所述服务器的当前公钥信息；
[0039]若所述服务器需要更新所述当前公钥，则向所述客户端发送更新当前公钥的响应报文，所述响应报文至少包括所述服务器的新的公钥。
[0040]可选的，建立所述客户端和所述服务器之间的安全通信通道之后，还包括：
[0041]向所述客户端发送的更新当前公钥的响应报文，所述响应报文至少包括所述服务器的临时公钥。
[0042]本申请实施例还提供一种客户端，包括：
[0043]获取模块，用于获取客户端的私钥、客户端的公钥以及预先存储的服务器的当前公钥，根据所述客户端的私钥和所述服务器的当前公钥生成所述客户端的共享秘密密钥；
[0044]第一发送模块，用于向所述服务本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种安全通信方法，其特征在于，应用于客户端，包括：获取客户端的私钥、客户端的公钥以及预先存储的服务器的当前公钥，根据所述客户端的私钥和所述服务器的当前公钥生成所述客户端的共享秘密密钥；向所述服务器发送用于请求与所述服务器建立通讯连接的请求报文；其中，所述请求报文包括：所述客户端的公钥、以及根据所述共享秘密密钥加密的客户端的设备有效信息；接收所述服务器解密所述设备有效信息后的响应报文，以建立所述客户端和所述服务器之间的安全通信通道。2.根据权利要求1所述的方法，其特征在于，生成所述客户端的共享秘密密钥，还包括：获取客户端的第一目标参数；根据所述客户端的私钥、所述服务器的当前公钥以及所述第一目标参数，生成所述客户端的共享秘密密钥。3.根据权利要求1所述的方法，其特征在于，所述响应报文包括：根据所述服务器的当前公钥相对应的私钥对解析结果进行签名的响应报文；其中，所述解析结果是所述服务器解密所述设备有效信息后的结果。4.根据权利要求1所述的方法，其特征在于，接收所述服务器解密所述设备有效信息后的响应报文，以建立所述客户端和所述服务器之间的安全通信通道，包括：根据所述服务器的当前公钥对所述响应报文进行验证签名；若验证签名失败，则停止建立所述客户端和所述服务器之间的安全通信通道。5.根据权利要求1所述的方法，其特征在于，建立所述客户端和所述服务器之间的安全通信通道之后，还包括：向所述服务器发送用于询问所述服务器是否需要更新当前公钥的询问请求报文，所述询问请求报文至少包括所述服务器的当前公钥信息；若所述服务器需要更新所述当前公钥，则接收所述服务器发送的更新当前公钥的响应报文，所述响应报文至少包括所述服务器的新的公钥；将所述服务器的新的公钥替换所述服务器的当前公钥，并根据所述客户端的私钥和所述服务器的新的公钥生成所述客户端的新的共享秘密密钥，并执行向所述服务器发送用于请求与所述服务器建立通讯连接的请求报文的步骤。6.根据权利要求1所述的方法，其特征在于，建立所述客户端和所述服务器之间的安全通信通道之后，还包括：接收所述服务器发送的更新当前公钥的响应报文，所述响应报文至少包括所述服务器的临时公钥；将所述服务器的临时公钥替换所述服务器的当前公钥，并根据所述客户端的私钥和所述服务器的临时公钥，并根据所述客户端的私钥和所述服务器的临时公钥生成所述客户端的新的共享秘密密钥，并执行一次向所述服务器发送用于请求与所述服务器建立通讯连接的请求报文的步骤。7.一种安全通信方法，其特征在于，应用于服务器，包括：接收客户端发送的用于请求与所述服务器建立通讯连接的请求报文；其中，所述请求报文包括：客户端的公钥、以及根据所述客户端的共享秘密密钥加密的客户端的设备有效信息；
根据与所述客户端预先存储的服务器的当前公钥相对应的私钥和所述客户端的公钥生成所述服务器的当前共享秘密密钥；向所述客户端发送响应报文，以建立所述客户端和所述服务器之间的安全通信通道；其中，所述响应报文包括：根据所述服务器的当前公钥相对应的私钥对解析结果进行签名的响应报文；所述解析结果是所述服务器根据当前共享秘密密钥解密所述设备有效信息后的结果。8.根据权利要求...

【专利技术属性】
技术研发人员：周俨，
申请(专利权)人：中国移动通信集团有限公司，
类型：发明
国别省市：