專利名稱:一種數(shù)據(jù)傳輸方法及設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無線通信安全領(lǐng)域����,尤其涉及一種用于嵌入式設(shè)備之間進(jìn)行數(shù)據(jù)傳輸
的方法及設(shè)備。
背景技術(shù):
當(dāng)前嵌入式設(shè)備在人們的日常生活中發(fā)揮著越來越重要的作用����,特別是手機(jī)等設(shè) 備,除了一些基本功能外�����,甚至擔(dān)當(dāng)了一些筆記本電腦的功能,如在手機(jī)上處理一些商業(yè)業(yè) 務(wù)���。但是,由于無線鏈路傳輸數(shù)據(jù)時安全上的脆弱性��,信道易被竊聽��,嚴(yán)重影響了無線鏈路 數(shù)據(jù)傳輸?shù)陌踩?���,?shù)據(jù)機(jī)密性得不到保證,限制了嵌入式設(shè)備的應(yīng)用�����。如何安全����、高效地 建立無線鏈路安全通信成為嵌入式設(shè)備應(yīng)用領(lǐng)域關(guān)注的焦點之一。 目前一般采用對數(shù)據(jù)加密的方法來對數(shù)據(jù)進(jìn)行保護(hù)�����,對數(shù)據(jù)加密的方法包括公 鑰加密算法和對稱加密算法�。而嵌入式設(shè)備通常采用對稱加密算法對待發(fā)送數(shù)據(jù)進(jìn)行加 密,即利用對稱密鑰形式的主加密密鑰對待發(fā)送數(shù)據(jù)進(jìn)行加密。但是��,對稱加密算法運算開 銷小���,相對地加密強(qiáng)度也較小��,易被攻擊者破譯���。而公鑰加密算法雖然具有加密強(qiáng)度大的特 點,但對于嵌入式設(shè)備(如手機(jī))這樣計算能力較弱的終端而言��,運算開銷太大��,不適合加 /解密大批量數(shù)據(jù)(如文件)���。
發(fā)明內(nèi)容
為了解決如何在計算能力較弱的終端之間傳輸數(shù)據(jù)的過程中保護(hù)用來加密數(shù)據(jù) 的主加密密鑰的問題�,本發(fā)明提供了一種數(shù)據(jù)傳輸方法��,用于在第一設(shè)備和第二設(shè)備之間 傳輸數(shù)據(jù)����,包括以下步驟 第一設(shè)備建立與第二設(shè)備的安全連接,以產(chǎn)生一初始非對稱密鑰對�����,以及將加密 后的所述初始非對稱密鑰對中的初始解密密鑰發(fā)送給所述第二設(shè)備; 所述第一設(shè)備每次向所述第二設(shè)備傳輸數(shù)據(jù)前�,生成一個非對稱密鑰對和對稱密 鑰體制的主加密密鑰;所述非對稱密鑰對包括加密密鑰和解密密鑰����;
所述第一設(shè)備利用所述主加密密鑰加密待傳輸數(shù)據(jù)�; 所述第一設(shè)備利用上次傳輸過程中產(chǎn)生的加密密鑰加密本次產(chǎn)生的解密密鑰和 主加密密鑰; 所述第一設(shè)備將加密后的本次產(chǎn)生的解密密鑰�����、加密后的本次產(chǎn)生的主加密密鑰 和加密后的待傳輸數(shù)據(jù)傳輸給所述第二設(shè)備���。 所述第一設(shè)備建立與第二設(shè)備的安全連接的步驟具體包括
所述第一設(shè)備向所述第二設(shè)備發(fā)起連接請求����;
所述第一設(shè)備接收所述第二設(shè)備返回的連接響應(yīng)���; 所述第一設(shè)備接收所述連接響應(yīng)后���,通過密鑰協(xié)商的方式與所述第二設(shè)備共享對 稱密鑰體制的第一密鑰; 所述第一設(shè)備生成所述初始非對稱密鑰對;
所述第一設(shè)備利用所述第一密鑰加密所述初始解密密鑰���,并發(fā)送給所述第二設(shè) 備��。 所述密鑰協(xié)商的方式為D-H協(xié)商��。 所述第一設(shè)備每次生成的所述主加密密鑰相同或不相同����。 所述得到所述第一設(shè)備本次產(chǎn)生的解密密鑰和主加密密鑰的步驟之后進(jìn)一步包 括步驟 所述第二設(shè)備利用上次傳輸過程中得到的解密密鑰解密�,得到所述第一設(shè)備本次 產(chǎn)生的解密密鑰和主加密密鑰; 所述第二設(shè)備利用所述第一設(shè)備本次產(chǎn)生的主加密密鑰解密所述加密后的待傳 輸數(shù)據(jù)����。 本發(fā)明還提供了一種數(shù)據(jù)傳輸設(shè)備,為第一設(shè)備���,用于與第二設(shè)備之間進(jìn)行數(shù)據(jù) 的傳輸����,包括 安全連接建立模塊���,用于建立與所述第二設(shè)備的安全連接����,以產(chǎn)生一初始非對稱 密鑰對,以及將加密后的所述初始非對稱密鑰對中的初始解密密鑰發(fā)送給所述第二設(shè)備��;
密鑰生成模塊�,用于在每次向所述第二設(shè)備傳輸數(shù)據(jù)前,生成一個非對稱密鑰對 和對稱密鑰體制的主加密密鑰����;所述非對稱密鑰對包括加密密鑰和解密密鑰���;
第一加密模塊���,用于利用所述主加密密鑰加密待傳輸數(shù)據(jù); 第二加密模塊����,用于利用上次數(shù)據(jù)傳輸時產(chǎn)生的加密密鑰加密本次產(chǎn)生的解密密 鑰和主加密密鑰; 發(fā)送模塊�,用于將加密后的本次產(chǎn)生的解密密鑰、加密后的本次產(chǎn)生的主加密密 鑰和加密后的待傳輸數(shù)據(jù)傳輸給所述第二設(shè)備����,使所述第二設(shè)備利用上次傳輸過程中得到 的解密密鑰解密�����,得到所述本次產(chǎn)生的解密密鑰和主加密密鑰�,以及利用所述第一設(shè)備本 次產(chǎn)生的主加密密鑰解密所述加密后的待傳輸數(shù)據(jù)�����。
所述安全連接建立模塊進(jìn)一步包括 連接請求發(fā)起單元�,用于向所述第二設(shè)備發(fā)起連接請求�;
接收單元,用于接收所述第二設(shè)備返回的連接響應(yīng)���; 第一密鑰生成單元����,用于在所述接收單元接收所述連接響應(yīng)后,通過密鑰協(xié)商的
方式與所述第二設(shè)備共享對稱密鑰體制的第一密鑰��; 初始非對稱密鑰對生成單元���,用于生成初始非對稱密鑰對����; 加密單元,用于利用所述第一密鑰加密所述初始解密密鑰�����; 發(fā)送單元�����,用于將加密后的所述初始解密密鑰發(fā)送給所述第二設(shè)備����。 所述密鑰協(xié)商的方式為D-H協(xié)商。 所述第一設(shè)備每次生成的所述主加密密鑰相同或不相同�����。
與現(xiàn)有技術(shù)相比���,本發(fā)明具有以下有益效果 本發(fā)明對待發(fā)送數(shù)據(jù)采用對稱形式的主加密密鑰進(jìn)行加密,而對主加密密鑰采用 非對稱密鑰進(jìn)行加密��,這樣要解密非對稱密鑰需要進(jìn)行大量的運算���,從而使非對稱密鑰不 易被破解�。并且,本發(fā)明的主加密密鑰還可以在每次傳輸過程中更新成與上次不同的密鑰�, 這樣,即使信道被竊聽�,攻擊者也無法根據(jù)竊聽內(nèi)容獲得下次通信使用的主加密密鑰,進(jìn)而 保證下次數(shù)據(jù)傳輸?shù)陌踩浴?br>
圖1為本發(fā)明的數(shù)據(jù)傳輸方法應(yīng)用場景示意圖�����;
圖2為本發(fā)明的數(shù)據(jù)傳輸方法流程圖��;
圖3為本發(fā)明的初始步驟的具體流程圖�����;
圖4為本發(fā)明的具體實施方式
流程圖���;
圖5為本發(fā)明的數(shù)據(jù)傳輸設(shè)備結(jié)構(gòu)示意圖��。
具體實施例方式
本發(fā)明結(jié)合公鑰加密體制和對稱加密體制的特點提出一種設(shè)備間數(shù)據(jù)傳輸方法����, 采用非對稱密鑰保護(hù)每次通信中的主加密密鑰(對稱密鑰形式)�����,并且每次通信過程中更 新主加密密鑰。這樣即使信道被竊聽��,攻擊者也無法根據(jù)竊聽內(nèi)容獲得下次通信使用的主 加密密鑰�,進(jìn)而保證下次數(shù)據(jù)傳輸?shù)陌踩浴?下面結(jié)合附圖對本發(fā)明的具體實施方式
作進(jìn)一步詳細(xì)說明。 本發(fā)明實施例使用非對稱密鑰(Prv(Private Key,私鑰)��,Pub (Public Key,公 鑰))對MEK(Master Encryption Key�����,主加密密鑰)進(jìn)行保護(hù)���,以嵌入式設(shè)備手機(jī)為例�����,本 發(fā)明的數(shù)據(jù)傳輸方法應(yīng)用場景示意圖參考圖1所示�����。 手機(jī)A向手機(jī)B發(fā)起并建立連接。手機(jī)A向手機(jī)B發(fā)送數(shù)據(jù)包Data時���,先采用主 加密密鑰MEK-1對數(shù)據(jù)包Data進(jìn)行加密���,將密文EMEK—工(Data)(對數(shù)據(jù)Data采用主加密密 鑰MEK進(jìn)行對稱加密)發(fā)送給手機(jī)B�。手機(jī)B收到Emu (Data)后進(jìn)行解密���,得到明文Data�����。 手機(jī)A發(fā)送下一個數(shù)據(jù)包時����,用新的主加密密鑰MEK-2 (未示出)對數(shù)據(jù)Data進(jìn)行加密�����,將 密文EMEK—2 (Data)發(fā)送給手機(jī)B�。手機(jī)B收到EMEK—2 (Data)后進(jìn)行解密,得到明文Data���。每 一次用主加密密鑰對數(shù)據(jù)加密后�����,還采用非對稱密鑰對主加密密鑰進(jìn)行加密���,因此��,手機(jī)B 首先要解密出主加密密鑰��,才能用主加密密鑰解密出數(shù)據(jù)��。手機(jī)A加密以及手機(jī)B解密的 具體方法將在下文中詳細(xì)描述����。 在手機(jī)B收到手機(jī)A發(fā)送的數(shù)據(jù)后�,如果要回復(fù)手機(jī)A,也通過手機(jī)A向手機(jī)B發(fā)送 數(shù)據(jù)的類似方法來回復(fù)手機(jī)A���,手機(jī)B第一次回復(fù)時��,采用主加密密鑰MEK-l'對數(shù)據(jù)加密�����, 將密文Em^�����, (Data)發(fā)送給手機(jī)A�。手機(jī)B第2次回復(fù)手機(jī)A時����,采用主加密密碼MEK-2' 對數(shù)據(jù)加密,將密文E^—2�����, (Data)發(fā)送給手機(jī)A��。手機(jī)B第n次回復(fù)手機(jī)A時�����,采用主加密 密碼MEK-n'對數(shù)據(jù)加密����,將密文E^—n, (Data)發(fā)送給手機(jī)A�����。手機(jī)B向手機(jī)A發(fā)送數(shù)據(jù)時�����, 可以在現(xiàn)有連接基礎(chǔ)上直接發(fā)送,也可以結(jié)束現(xiàn)有連接�����,然后重新建立與手機(jī)A的連接后 再向手機(jī)A發(fā)送�,如果是重新建立與手機(jī)A的連接后再向手機(jī)A發(fā)送,則手機(jī)B先采用主 加密密鑰MEK-m對數(shù)據(jù)包Data進(jìn)行加密����,將密文EMEK—m (Data)發(fā)送給手機(jī)A。手機(jī)A收到 E^—m(Data)后進(jìn)行解密�,得到明文Data。手機(jī)A回復(fù)時�����,采用主加密密鑰MEK-m'對數(shù)據(jù)加 密�����,將密文E皿—m�, (Data)發(fā)送給手機(jī)B。 手機(jī)B向手機(jī)A發(fā)送數(shù)據(jù)的具體傳輸過程將在下文中進(jìn)行詳細(xì)描述�。
整個數(shù)據(jù)傳輸過程的關(guān)鍵在于手機(jī)B如何安全的得到每次解密所需的主加密密 鑰MEK�����。手機(jī)A在主加密密鑰MEK的傳輸前對其使用私鑰加密,手機(jī)B收到后使用上次傳輸 時保存的公鑰對其解密��,得到明文形式的本次傳輸主密鑰明文���。圖2為本發(fā)明的數(shù)據(jù)傳輸
6方法流程圖���,包括 步驟l,第一設(shè)備建立與第二設(shè)備的安全連接����,以產(chǎn)生一初始非對稱密鑰對,以及 將加密后的初始非對稱密鑰對中的初始解密密鑰發(fā)送給第二設(shè)備���; 初始非對稱密鑰對包括一個共鑰和一個私鑰����,可以利用其中任何一個作為初始解 密密鑰�����。 步驟2,第一設(shè)備每次向第二設(shè)備傳輸數(shù)據(jù)前�,生成一個非對稱密鑰對和對稱密鑰 體制的主加密密鑰;非對稱密鑰對包括加密密鑰和解密密鑰�����;
步驟3�����,第一設(shè)備利用主加密密鑰加密待傳輸數(shù)據(jù)����; 步驟4,第一設(shè)備利用上次傳輸過程中產(chǎn)生的加密密鑰加密本次產(chǎn)生的解密密鑰 和主加密密鑰����; 本發(fā)明的傳輸過程包括兩種過程,一種是建立安全連接過程中傳輸初始解密密鑰 的過程�,另一種是建立起安全連接后進(jìn)行數(shù)據(jù)傳輸?shù)倪^程。 步驟5��,第一設(shè)備將加密后的本次產(chǎn)生的解密密鑰����、加密后的本次產(chǎn)生的主加密密 鑰和加密后的待傳輸數(shù)據(jù)傳輸給所述第二設(shè)備�,使第二設(shè)備利用上次傳輸過程中得到的解 密密鑰解密�����,得到第一設(shè)備本次產(chǎn)生的解密密鑰和主加密密鑰���。 步驟6,第二設(shè)備利用第一設(shè)備本次產(chǎn)生的主加密密鑰解密所述加密后的待傳輸 數(shù)據(jù)����。 參考圖3,圖3為本發(fā)明的初始步驟的具體流程圖����,第一設(shè)備建立與第二設(shè)備的安 全連接的步驟具體叉包括 步驟ll,第一設(shè)備向第二設(shè)備發(fā)起連接請求��;
步驟12���,第一設(shè)備接收第二設(shè)備返回的連接響應(yīng)��; 步驟13�����,第一設(shè)備接收連接響應(yīng)后���,通過密鑰協(xié)商的方式與第二設(shè)備共享對稱密 鑰體制的第一密鑰���; 密鑰協(xié)商的方式可以為D-H協(xié)商等方式。
步驟14���,第一設(shè)備生成初始非對稱密鑰對����; 步驟15�,第一設(shè)備利用第一密鑰加密初始解密密鑰,并發(fā)送給第二設(shè)備����。 進(jìn)一步,第一設(shè)備每次生成的主加密密鑰可以相同�����,也可以不相同���,在每次生成的
主加密密鑰不相同的情況下���,即使信道被竊聽�����,攻擊者也無法根據(jù)竊聽內(nèi)容獲得下次通信
使用的主加密密鑰����,進(jìn)而保證下次數(shù)據(jù)傳輸?shù)陌踩浴?下面通過數(shù)據(jù)在手機(jī)A與手機(jī)B之間傳輸?shù)木唧w的實施例來說明本發(fā)明的數(shù)據(jù)傳
輸?shù)募用?解密過程��。參考圖4�����,圖4為本發(fā)明的具體實施方式
流程圖 傳輸過程分為安全連接建立�、數(shù)據(jù)安全傳輸兩個過程�����。假定手機(jī)A向手機(jī)B發(fā)起
傳輸前的連接請求����,并要求向手機(jī)B傳輸數(shù)據(jù)。 1.安全連接建立過程(初始步驟) 安全連接建立的步驟如下 手機(jī)A向手機(jī)B發(fā)起連接請求��; 手機(jī)A接收手機(jī)B返回的連接響應(yīng); 手機(jī)A接收連接響應(yīng)后��,通過D-H協(xié)商的方式與手機(jī)B共享第一密鑰DHKey ;
手機(jī)A本地生成初始非對稱密鑰對(Pub-1 ��, Prv-1);
手機(jī)A利用DHKey加密初始解密密鑰Pub_l���,并將加密后的Pub_l (即 EDffifey (Pub-1))發(fā)送給手機(jī)B�����。 通過以上步驟建立安全連接并完成安全握手后��,手機(jī)B獲得初始解密密鑰Pub-l�。 2.數(shù)據(jù)安全傳輸過程 (1)手機(jī)A向手機(jī)B第一次傳輸數(shù)據(jù) 步驟如下 手機(jī)A本地生成密鑰對(Pub-2�����, Prv-2)和主加密密鑰MEK-l ���。 使用主加密密鑰MEK-1對本次待發(fā)送數(shù)據(jù)Data進(jìn)行加密�,即E^—工(Data)�����。 使用私鑰Prv-1對MEK-1和Pub_2進(jìn)行加密,即EP —: (MEK-1)和EP —: (Pub_2)����。 手機(jī)A向手機(jī)B發(fā)送EMEK—! (Data) 、 EP —: (MEK-1)和EP —: (Pub_2)�����。 至此��,手機(jī)A第一次發(fā)送完畢���,準(zhǔn)備下次發(fā)送����。 手機(jī)B接收到EMEK—! (Data) �����、EP —: (MEK-1)和EP —: (Pub_2)后�,使用上次傳輸遺留的 Pub-1解密EP —! (MEK-1)和EP —! (Pub-2)����,得到明文MEK-1和Pub_2����。 Pub_2存儲在本地��,留 作下次使用���。使用MEK-1解密(Data)��,得到明文Data�。
至此�����,手機(jī)B第一次接收完畢���。 [OOSe] (2)手機(jī)A向手機(jī)B第2次傳輸數(shù)據(jù)
步驟如下 手機(jī)A本地生成密鑰對(Pub-3�, Prv-3)和主加密密鑰MEK_2�����。 使用主加密密鑰MEK-2對本次待發(fā)送數(shù)據(jù)Data進(jìn)行加密���,即E^—2 (Data)�����。 使用私鑰Prv-2對MEK2和Pub_3進(jìn)行加密����,即EP —2 (MEK-2)和EP —2 (Pub_3)。 手機(jī)A向手機(jī)B發(fā)送EMEK—2 (Data) ��、 EP —2 (MEK-2)和EP —2 (Pub_3)��。 至此��,手機(jī)A第二次發(fā)送完畢���,準(zhǔn)備下次發(fā)送�����。 手機(jī)B接收到EMEK—2 (Data) 、EP —2 (MEK-2)和EP —2 (Pub_3)后�����,使用上次傳輸遺留的 Pub-2解密EP —2 (MEK-2)和EP —2 (Pub_3),得到明文MEK-2和Pub_3��。 Pub_3存儲在本地�����,留 作下次使用���。使用MEK-2解密EMEK—2 (Data)�,得到明文Data�。
(3)手機(jī)A向手機(jī)B第n次傳輸數(shù)據(jù)第n-l次傳輸后,手機(jī)A持有(Pub-n�, Prv-n),手機(jī)B拷有Pub-n����。 為表述方便,令X = n-l��, Y = n���, Z = n+l�����。手機(jī)A向手機(jī)B第n次傳輸數(shù)據(jù)的步
驟如下 手機(jī)A本地生成密鑰對(Pub-Z���, Prv-Z)和主加密密鑰MEK-Y��。 使用主加密密鑰MEK-Y對數(shù)據(jù)Data進(jìn)行加密�,即E^—Y (Data)��。 使用私鑰Prv-Y對MEK-Y和Pub-Z進(jìn)行加密�����,即EP —Y (MEK-Y)和EP —Y (Pub-Z)�����。 手機(jī)A向手機(jī)B發(fā)送EMEK—y (Data) ���、 EPrv—Y (MEK-Y)和EPrv—Y (Pub-Z)����。 至此����,手機(jī)A第n次發(fā)送完畢,準(zhǔn)備下次發(fā)送�。 手機(jī)B接收到EMEK—"Data) 、EP —Y(MEK-Y)和EP —Y(Pub_Z)后��,使用上次傳輸遺留的 Pub-Y解密EP —y (MEK-Y)和EP —y (Pub-Z)�,得到明文MEK-Y和Pub-Z。 Pub-Z存儲在本地��,留 作下次使用���。使用MEK-Y解密EMEK—y(Data)�,得到明文Data����。
至此,手機(jī)B第n次接收完畢�����。
(4)手機(jī)B向手機(jī)A傳輸數(shù)據(jù)
8
當(dāng)手機(jī)A向手機(jī)B第n次發(fā)送數(shù)據(jù)后�,如果手機(jī)B要向手機(jī)A傳輸數(shù)據(jù),可采用以 下三種方式��。 方式一 結(jié)束本次連接�,重新發(fā)起安全連接�����。步驟與(1)相同�����。 這種方式適用于數(shù)據(jù)量較大時的大規(guī)模數(shù)據(jù)發(fā)送����,是最安全的一種方式��。 方式二 采用解密后的MEK-Y直接加密數(shù)據(jù)后發(fā)送����。 這種發(fā)送方式中,主加密密鑰MEK-Y不更新�����,使用的是手機(jī)A第n次發(fā)送使用的主 加密密鑰對數(shù)據(jù)進(jìn)行加密��。 方式三采用與(2)類似的處理過程�����,這種方式采用的是介于方式一和二之間的 折中的方式,在手機(jī)A第n次發(fā)送完數(shù)據(jù)后����,不結(jié)束與手機(jī)A的連接�,而是直接向手機(jī)A發(fā) 送數(shù)據(jù),步驟如下手機(jī)B本地生成密鑰對(Pub-R����, Prv-R)和主加密密鑰MEK-S。 使用主加密密鑰MEK-S對數(shù)據(jù)Data進(jìn)行加密�����,即E^—s (Data)���。 使用公鑰Pub-Z對MEK-S和Pub-R進(jìn)行加密��,即Ep^—z (MEK-S)和Ep^—z (Pub-R)�����。 手機(jī)B向手機(jī)A發(fā)送EMEK—s (Data) ��、 E險z (MEK-S)和E險z (Pub-R)��。 至此����,手機(jī)B發(fā)送完畢。手機(jī)A接收到EMEK—s (Data) �����、EPub—z (MEK-S)和E絳z (Pub-R)后��,使用上次傳輸遺留的
Prv-Z解密EPub—z (MEK-S)和Ep^—z (Pub-R)���,得到明文MEK-S和Pub-R���。 Pub-R存儲在本地,留
作下次使用��。使用MEK-S解密EMEK—s (Data)�,得到明文Data。 至此�����,手機(jī)A接收完畢。 傳輸過程數(shù)據(jù)包結(jié)構(gòu)定義如下
4字節(jié)���。
IdentifyCodeType Length
AttributeLengthValue
AttributeLengthValue
Identify域1字節(jié)���,數(shù)據(jù)傳輸協(xié)議標(biāo)識符。 Code域 1字節(jié)�,請求、響應(yīng)及保留位����。 Type域 l字節(jié)����,表明數(shù)據(jù)包類型。 Length域4字節(jié)���,數(shù)據(jù)包長度����。
ALV(Attribute-Length-Value��,屬性-長度-值)組��,屬性字段1字節(jié),長度字段 每個協(xié)議數(shù)據(jù)包可能有若干個ALV��。 數(shù)據(jù)包各域及字段具體定義如下
1. 安全連接類
Type = Connection 安全連接
Attribute =M D-H協(xié)商中共享值M
=X D-H協(xié)商中共享值X
=ModA D-H協(xié)商值
2. 數(shù)據(jù)傳輸類
9
Type = Transfer Attribute = GENMEK
= EMEK = EPUB = EDATA
數(shù)據(jù)傳輸
是否新生成了MEK
MEK密文
公
鑰密文
數(shù)據(jù)密文 本發(fā)明還提供了一種數(shù)據(jù)傳輸設(shè)備����,參考圖5,圖5為本發(fā)明的數(shù)據(jù)傳輸設(shè)備結(jié)構(gòu)
示意圖�,本發(fā)明的數(shù)據(jù)傳輸設(shè)備為第一設(shè)備,用于與第二設(shè)備之間進(jìn)行數(shù)據(jù)的傳輸�����,包括 安全連接建立模塊�����,用于建立與第二設(shè)備的安全連接��,以產(chǎn)生一初始非對稱密鑰
對�,以及將加密后的初始非對稱密鑰對中的初始解密密鑰發(fā)送給第二設(shè)備; 初始非對稱密鑰對包括一個共鑰和一個私鑰�,可以利用其中任何一個作為初始解
密密鑰。 密鑰生成模塊����,用于在每次向第二設(shè)備傳輸數(shù)據(jù)前���,生成一個非對稱密鑰對和對 稱密鑰體制的主加密密鑰;所述非對稱密鑰對包括加密密鑰和解密密鑰�;
第一加密模塊,用于利用主加密密鑰加密待傳輸數(shù)據(jù)�; 第二加密模塊,用于利用上次數(shù)據(jù)傳輸時產(chǎn)生的加密密鑰加密本次產(chǎn)生的解密密 鑰和主加密密鑰��; 發(fā)送模塊��,用于將加密后的待傳輸數(shù)據(jù)����、本次產(chǎn)生的解密密鑰和主加密密鑰傳輸 給第二設(shè)備���,使第二設(shè)備利用上次傳輸過程中得到的解密密鑰解密���,得到本次產(chǎn)生的解密 密鑰和主加密密鑰,以及利用第一設(shè)備本次產(chǎn)生的主加密密鑰解密所述加密后的待傳輸數(shù) 據(jù)���。 其中�����,安全連接建立模塊進(jìn)一步包括 連接請求發(fā)起單元���,用于向二設(shè)備發(fā)起連接請求�����; 接收單元���,用于接收第二設(shè)備返回的連接響應(yīng); 第一密鑰生成單元���,用于在接收單元接收連接響應(yīng)后�,通過密鑰協(xié)商的方式與第
二設(shè)備共享對稱密鑰體制的第一密鑰�����; 密鑰協(xié)商的方式可以為D-H協(xié)商等方式�。 初始非對稱密鑰對生成單元,用于生成初始非對稱密鑰對���; 加密單元���,用于利用第一密鑰加密初始解密密鑰���; 發(fā)送單元,用于將加密后的初始解密密鑰發(fā)送給第二設(shè)備����。 每個模塊以及每個單元的具體實施過程可以參考上文所述的步驟1 5以及步驟 11 15,在此不再贅述��。 本發(fā)明的數(shù)據(jù)傳輸方法不僅適用于嵌入式設(shè)備���,例如手機(jī)�����,實際上�����,只要是計算能 力較弱的無線終端設(shè)備,例如��,采用紅外線�����、藍(lán)牙等無線方式進(jìn)行通信的設(shè)備都適用于本發(fā) 明的方法。 以上所述僅是本發(fā)明的優(yōu)選實施方式����,應(yīng)當(dāng)指出,對于本技術(shù)領(lǐng)域的普通技術(shù)人 員來說��,在不脫離本發(fā)明原理的前提下���,還可以作出若干改進(jìn)和潤飾���,這些改進(jìn)和潤飾也應(yīng) 視為本發(fā)明的保護(hù)范圍。
權(quán)利要求
一種數(shù)據(jù)傳輸方法�,用于在第一設(shè)備和第二設(shè)備之間傳輸數(shù)據(jù),其特征在于�����,包括以下步驟第一設(shè)備建立與第二設(shè)備的安全連接�����,以產(chǎn)生一初始非對稱密鑰對����,以及將加密后的所述初始非對稱密鑰對中的初始解密密鑰發(fā)送給所述第二設(shè)備��;所述第一設(shè)備每次向所述第二設(shè)備傳輸數(shù)據(jù)前��,生成一個非對稱密鑰對和對稱密鑰體制的主加密密鑰����;所述非對稱密鑰對包括加密密鑰和解密密鑰���;所述第一設(shè)備利用所述主加密密鑰加密待傳輸數(shù)據(jù)����;所述第一設(shè)備利用上次傳輸過程中產(chǎn)生的加密密鑰加密本次產(chǎn)生的解密密鑰和主加密密鑰�����;所述第一設(shè)備將加密后的本次產(chǎn)生的解密密鑰�、加密后的本次產(chǎn)生的主加密密鑰和加密后的待傳輸數(shù)據(jù)傳輸給所述第二設(shè)備。
2. 如權(quán)利要求1所述的數(shù)據(jù)傳輸方法���,其特征在于,所述第一設(shè)備建立與第二設(shè)備的 安全連接的步驟具體包括所述第一設(shè)備向所述第二設(shè)備發(fā)起連接請求����; 所述第一設(shè)備接收所述第二設(shè)備返回的連接響應(yīng)��;所述第一設(shè)備接收所述連接響應(yīng)后����,通過密鑰協(xié)商的方式與所述第二設(shè)備共享對稱密 鑰體制的第一密鑰�����;所述第一設(shè)備生成所述初始非對稱密鑰對����;所述第一設(shè)備利用所述第一密鑰加密所述初始解密密鑰,并發(fā)送給所述第二設(shè)備����。
3. 如權(quán)利要求2所述的數(shù)據(jù)傳輸方法,其特征在于����,所述密鑰協(xié)商的方式為D-H協(xié)商。
4. 如權(quán)利要求1所述的數(shù)據(jù)傳輸方法�,其特征在于,所述第一設(shè)備每次生成的所述主 加密密鑰相同或不相同��。
5. 如權(quán)利要求1所述的數(shù)據(jù)傳輸方法,其特征在于�����,所述得到所述第一設(shè)備本次產(chǎn)生 的解密密鑰和主加密密鑰的步驟之后進(jìn)一步包括步驟所述第二設(shè)備利用上次傳輸過程中得到的解密密鑰解密����,得到所述第一設(shè)備本次產(chǎn)生 的解密密鑰和主加密密鑰;所述第二設(shè)備利用所述第一設(shè)備本次產(chǎn)生的主加密密鑰解密所述加密后的待傳輸數(shù)據(jù)����。
6. —種數(shù)據(jù)傳輸設(shè)備,為第一設(shè)備���,用于與第二設(shè)備之間進(jìn)行數(shù)據(jù)的傳輸��,其特征在 于�����,包括安全連接建立模塊����,用于建立與所述第二設(shè)備的安全連接�,以產(chǎn)生一初始非對稱密鑰 對���,以及將加密后的所述初始非對稱密鑰對中的初始解密密鑰發(fā)送給所述第二設(shè)備�����;密鑰生成模塊���,用于在每次向所述第二設(shè)備傳輸數(shù)據(jù)前����,生成一個非對稱密鑰對和對 稱密鑰體制的主加密密鑰��;所述非對稱密鑰對包括加密密鑰和解密密鑰�����;第一加密模塊����,用于利用所述主加密密鑰加密待傳輸數(shù)據(jù);第二加密模塊�,用于利用上次數(shù)據(jù)傳輸時產(chǎn)生的加密密鑰加密本次產(chǎn)生的解密密鑰和 主加密密鑰;發(fā)送模塊�,用于將加密后的本次產(chǎn)生的解密密鑰�����、加密后的本次產(chǎn)生的主加密密鑰和 加密后的待傳輸數(shù)據(jù)傳輸給所述第二設(shè)備����,使所述第二設(shè)備利用上次傳輸過程中得到的解密密鑰解密��,得到所述本次產(chǎn)生的解密密鑰和主加密密鑰��,以及利用所述第一設(shè)備本次產(chǎn) 生的主加密密鑰解密所述加密后的待傳輸數(shù)據(jù)�。
7. 如權(quán)利要求6所述的設(shè)備,其特征在于���,所述安全連接建立模塊進(jìn)一步包括 連接請求發(fā)起單元����,用于向所述第二設(shè)備發(fā)起連接請求��; 接收單元�����,用于接收所述第二設(shè)備返回的連接響應(yīng)���;第一密鑰生成單元�,用于在所述接收單元接收所述連接響應(yīng)后,通過密鑰協(xié)商的方式 與所述第二設(shè)備共享對稱密鑰體制的第一密鑰���;初始非對稱密鑰對生成單元,用于生成初始非對稱密鑰對���; 加密單元���,用于利用所述第一密鑰加密所述初始解密密鑰; 發(fā)送單元�����,用于將加密后的所述初始解密密鑰發(fā)送給所述第二設(shè)備�����。
8. 如權(quán)利要求7所述的設(shè)備�����,其特征在于�����,所述密鑰協(xié)商的方式為D-H協(xié)商。
9. 如權(quán)利要求6所述的設(shè)備��,其特征在于�,所述第一設(shè)備每次生成的所述主加密密鑰 相同或不相同。
全文摘要
本發(fā)明提供了一種數(shù)據(jù)傳輸方法及設(shè)備����,其中,數(shù)據(jù)傳輸方法用于在第一設(shè)備和第二設(shè)備之間傳輸數(shù)據(jù)�,包括第一設(shè)備建立與第二設(shè)備的安全連接;第一設(shè)備每次向第二設(shè)備傳輸數(shù)據(jù)前��,生成一個非對稱密鑰對和對稱密鑰體制的主加密密鑰����;非對稱密鑰對包括加密密鑰和解密密鑰;第一設(shè)備利用主加密密鑰加密待傳輸數(shù)據(jù)��;第一設(shè)備利用上次傳輸過程中產(chǎn)生的加密密鑰加密本次產(chǎn)生的解密密鑰和主加密密鑰�����;第一設(shè)備將加密后的本次產(chǎn)生的解密密鑰����、加密后的本次產(chǎn)生的主加密密鑰和加密后的待傳輸數(shù)據(jù)傳輸給第二設(shè)備�。本發(fā)明對待發(fā)送數(shù)據(jù)采用對稱形式的主加密密鑰進(jìn)行加密�,對主加密密鑰采用非對稱密鑰進(jìn)行加密,從而使非對稱密鑰不易被破解����。
文檔編號H04W12/04GK101707767SQ20091023655
公開日2010年5月12日 申請日期2009年10月26日 優(yōu)先權(quán)日2009年10月26日
發(fā)明者尹文冠 申請人:中興通訊股份有限公司