配置的方法、配置的装置及设备转让专利
申请号 : CN201480080297.5
文献号 : CN106471831B
文献日 : 2019-11-29
发明人 : 李小仙 , 方平
申请人 : 华为技术有限公司
摘要 :
本发明公开了一种配置的方法、配置的装置及设备,涉及信息技术领域,可以提高设备进行配置的成功率。所述方法包括:首先配置设备与第二设备进行带外通信,获得第二设备带外密钥,并将第二设备带外密钥发送给第一设备,以使得第一设备根据第二设备带外密钥生成加密密钥,然后第一设备向第二设备发送根据加密密钥加密后的第一签名验证密钥,并接收第二设备发送的第二网络密钥,最后第一设备根据第一签名生成密钥,对第二网络密钥进行签名,得到第一签名信息,并向第二设备发送根据加密密钥加密后的第一连接信息,第一连接信息包括第一签名信息及第二网络密钥。本发明适用于对设备进行配置。
权利要求 :
1.一种配置的方法,应用于配置系统中,所述配置系统包括第一设备、第二设备及配置设备,其特征在于,所述配置设备与所述第一设备之间进行带内通信,所述配置设备与所述第二设备之间进行带外通信;所述方法包括:所述第一设备接收所述配置设备发送的第二设备带外密钥,所述第二设备带外密钥由所述配置设备通过与所述第二设备之间进行带外通信获得;
所述第一设备根据所述第二设备带外密钥,生成加密密钥,所述加密密钥用于对第一设备向第二设备发送的信息进行加密;
所述第一设备生成第一签名生成密钥及第一签名验证密钥,所述第一签名生成密钥用于所述第一设备进行签名,所述第一签名验证密钥用于对所述第一设备签名的信息进行解密,所述第一签名生成密钥与所述第一签名验证密钥之间互相对应;
所述第一设备接收所述第二设备发送的第二网络密钥,所述第二网络密钥由所述第二设备生成,所述第二网络密钥用于所述第一设备生成共享密钥;
所述第一设备利用第一签名生成密钥对所述第二网络密钥进行签名,得到第一签名信息;
所述第一设备向所述第二设备发送加密后的第一连接信息,所述第一连接信息包括所述第一签名信息及所述第二网络密钥,所述加密后的第一连接信息由所述第一设备利用第一密钥对所述第一连接信息进行加密得到,所述第一密钥由所述第一设备根据所述加密密钥得到,以使得所述第二设备获取并向所述第一设备发送所述第一连接信息,所述第一连接信息用于所述第一设备确定所述第二设备是否合法。
2.根据权利要求1所述的配置的方法,其特征在于,所述第一设备接收所述配置设备发送的第二设备带外密钥之前,还包括:所述第一设备接收所述配置设备发送的第二签名验证密钥,所述第二签名验证密钥由所述配置设备生成,所述第二签名验证密钥用于对所述配置设备签名的信息进行解密;
所述第一设备生成第一网络密钥,所述第一网络密钥用于所述第二设备生成共享密钥;
所述第一设备将所述第一网络密钥发送给所述配置设备,以使得所述配置设备至少根据所述第一网络密钥,生成并向所述第一设备发送第二连接信息。
3.根据权利要求2所述的配置的方法,其特征在于,所述第一设备将所述第一网络密钥发送给所述配置设备之后,还包括:所述第一设备接收所述配置设备发送的所述第二连接信息,所述第二连接信息包括第二签名信息及所述第一网络密钥,所述第二签名信息由所述配置设备利用第二签名生成密钥对所述第一网络密钥进行签名得到,所述第二签名生成密钥由所述配置设备生成,所述第二签名生成密钥用于所述配置设备进行签名,所述第二签名生成密钥与所述第二签名验证密钥之间互相对应。
4.根据权利要求3所述的配置的方法,其特征在于,所述第一设备向所述第二设备发送加密后的第一连接信息之后,还包括:所述第一设备发送第二消息,所述第二消息携带有所述第二连接信息,所述第二连接信息包括所述第二签名信息,所述第二签名信息包括所述第一网络密钥,以使得所述第二设备接收所述第一设备发送的第二消息,根据所述第二消息携带的所述第二签名信息,确定所述第一设备是否合法,并至少根据所述第二签名信息中的所述第一网络密钥生成第二共享密钥,所述第二共享密钥为所述第一设备与所述第二设备之间的预先密钥,所述预先密钥用于所述第一设备与所述第二设备之间进行握手认证。
5.根据权利要求3或4所述的配置的方法,其特征在于,所述方法还包括:
所述第一设备生成第三网络密钥,所述第三网络密钥用于所述第二设备生成共享密钥;
所述第一设备将所述第三网络密钥发送给所述配置设备;
所述第一设备接收所述配置设备发送的第三连接信息,所述第三连接信息包括第三签名信息及所述第三网络密钥,所述第三签名信息由所述配置设备利用所述第二签名生成密钥对所述第三网络密钥进行签名得到;
所述第一设备向所述第二设备发送第三消息,所述第三消息携带有所述第三连接信息,以使得所述第二设备获取所述第三网络密钥,并至少根据所述第三网络密钥生成新的第二共享密钥,所述新的第二共享密钥为所述第一设备与所述第二设备之间的预先密钥,所述预先密钥用于所述第一设备与所述第二设备之间进行握手认证。
6.根据权利要求4所述的配置的方法,其特征在于,所述方法还包括:
所述第一设备向所述第二设备发送加密后的第二签名验证密钥,所述加密后的第二签名验证密钥由所述第一设备利用第二密钥对所述第二签名验证密钥进行加密得到,所述第二密钥由所述第一设备根据所述加密密钥得到,以使得所述第二设备接收所述第二签名验证密钥,并根据所述第二签名验证密钥,以及所述第二消息携带的所述第二签名信息,确定所述第一设备合法。
7.根据权利要求2所述的配置的方法,其特征在于,所述第一设备向所述第二设备发送加密后的第一连接信息之后,还包括:所述第一设备接收所述第二设备发送的第一消息,所述第一消息携带有所述第一连接信息;
所述第一设备根据所述第一消息携带的所述第一签名信息,确定所述第二设备合法。
8.根据权利要求7所述的配置的方法,其特征在于,所述第一设备根据所述第一消息携带的所述第一签名信息,确定所述第二设备合法,具体包括:所述第一设备根据所述第一消息携带的所述第一签名信息,确定签名得到所述第一签名信息的设备为可信设备,所述可信设备包括所述第一设备或者所述配置设备。
9.根据权利要求7所述的配置的方法,其特征在于,所述第一设备根据所述第一消息携带的所述第一签名信息,确定所述第二设备合法,具体包括:所述第一设备利用所述第一签名验证密钥,对所述第一签名信息进行解密,得到解密结果;
所述第一设备将所述解密结果,与所述第一连接信息包括的所述第二网络密钥进行比对;
若所述解密结果与所述第二网络密钥匹配,则所述第一设备确定所述第二设备合法。
10.根据权利要求7至9任一所述的配置的方法,其特征在于,所述第一设备根据所述第一消息携带的所述第一签名信息,确定所述第二设备合法之后,还包括:若确定所述第二设备合法,则所述第一设备至少根据所述第二网络密钥,生成第一共享密钥,所述第一共享密钥为所述第一设备与所述第二设备之间的预先密钥,所述预先密钥用于所述第一设备与所述第二设备之间进行握手认证。
11.根据权利要求10所述的配置的方法,其特征在于,所述第一设备至少根据所述第二网络密钥,生成第一共享密钥,具体包括:所述第一设备按照迪菲赫尔曼DH密钥生成算法,根据所述第一网络密钥对应的私钥,以及所述第二网络密钥,生成DH共享密钥,并将所述DH共享密钥,或者由所述DH共享密钥衍生得到的密钥,作为所述第一共享密钥;或者,所述第一设备按照基于椭圆曲线密码体制的的迪菲赫尔曼ECDH密钥生成算法,根据所述第一网络密钥对应的私钥,以及所述第二网络密钥,生成ECDH共享密钥,并将所述ECDH共享密钥,或者由所述ECDH共享密钥衍生得到的密钥,作为所述第一共享密钥。
12.根据权利要求1所述的配置的方法,其特征在于,所述第一设备接收所述配置设备发送的第二设备带外密钥之后,还包括:所述第一设备确定所述第二设备是否存储有所述第二设备带外密钥对应的私钥;
若所述第二设备存储有所述第二设备带外密钥对应的私钥,则所述第一设备确定所述第二设备合法。
13.一种配置的方法,应用于配置系统中,所述配置系统包括第一设备、第二设备、配置设备及第三设备,其特征在于,所述配置设备与所述第一设备之间进行带内通信,所述配置设备与所述第二设备之间进行带外通信,所述配置设备与所述第三设备之间进行带内通信,所述第一设备已配置所述第二设备;所述方法包括:所述第三设备接收所述配置设备发送的第一签名验证密钥及第一网络密钥,所述第一签名验证密钥由所述第一设备生成并发送给所述配置设备,所述第一签名验证密钥用于对所述第一设备签名的信息进行解密,所述第一网络密钥由所述第一设备生成并发送给所述配置设备,所述第一网络密钥用于所述第二设备生成共享密钥;
所述第三设备接收所述第二设备发送的第一消息,所述第一消息携带有第一连接信息,所述第一连接信息包括第一签名信息及对端网络密钥,所述第一签名信息由所述第一设备利用第一签名生成密钥对第二网络密钥进行签名得到,所述第一签名生成密钥由所述第一设备生成,所述第一签名生成密钥用于所述第一设备进行签名,所述第一签名生成密钥与所述第一签名验证密钥之间互相对应,所述第二网络密钥由所述第二设备生成,所述第二网络密钥用于所述第一设备或所述第三设备生成共享密钥;
所述第三设备根据所述第一网络密钥,确定所述对端网络密钥是否合法;
若所述对端网络密钥合法,则所述第三设备根据所述第一签名信息,确定所述第二设备是否合法。
14.根据权利要求13所述的配置的方法,其特征在于,所述第三设备根据所述第一网络密钥,确定所述对端网络密钥是否合法,具体包括:所述第三设备确定所述对端网络密钥是否为信任的网络密钥,所述信任的网络密钥包括所述第一网络密钥。
15.根据权利要求13所述的配置的方法,其特征在于,所述第一连接信息还包括第二网络密钥;
所述第三设备根据所述第一签名信息,确定所述第二设备是否合法,具体包括:
所述第三设备利用所述第一签名验证密钥,对所述第一签名信息进行解密,得到解密结果;
所述第三设备将所述解密结果,与所述第二网络密钥进行比对;
若所述解密结果与所述第二网络密钥匹配,则所述第三设备确定所述第二设备合法。
16.根据权利要求15所述的配置的方法,其特征在于,所述第三设备确定所述第二设备合法之后,还包括:所述第三设备至少根据所述第二网络密钥,生成第三共享密钥,所述第三共享密钥为所述第三设备与所述第二设备之间进行握手认证的预先密钥。
17.根据权利要求16所述的配置的方法,其特征在于,所述第三设备至少根据所述第二网络密钥,生成第三共享密钥,具体包括:所述第三设备按照迪菲赫尔曼DH密钥生成算法,根据第四网络密钥对应的私钥,以及所述第二网络密钥,生成DH共享密钥,并将所述DH共享密钥,或者由所述DH共享密钥衍生得到的密钥,作为所述第三共享密钥,所述第四网络密钥用于所述第二设备生成共享密钥;或者,所述第三设备按照基于椭圆曲线密码体制的的迪菲赫尔曼ECDH密钥生成算法,根据所述第四网络密钥对应的私钥,以及所述第二网络密钥,生成ECDH共享密钥,并将所述ECDH共享密钥,或者由所述ECDH共享密钥衍生得到的密钥,作为所述第三共享密钥。
18.根据权利要求13所述的配置的方法,其特征在于,所述方法还包括:
所述第三设备生成第四网络密钥,所述第四网络密钥用于所述第二设备生成共享密钥;
所述第三设备将所述第四网络密钥发送给所述配置设备。
19.根据权利要求18所述的配置的方法,其特征在于,所述第三设备将所述第四网络密钥发送给所述配置设备之后,还包括:所述第三设备接收所述配置设备发送的第四连接信息,所述第四连接信息包括第四签名信息及所述第四网络密钥,所述第四签名信息由所述配置设备利用第二签名生成密钥对所述第四网络密钥进行签名得到,所述第二签名生成密钥及第二签名验证密钥由所述配置设备生成,所述第二签名生成密钥用于所述配置设备进行签名,所述第二签名验证密钥用于对所述配置设备签名的信息进行解密,所述第二签名生成密钥与所述第二签名验证密钥之间互相对应。
20.根据权利要求19所述的配置的方法,其特征在于,所述第三设备接收所述配置设备发送的第四连接信息之后,还包括:所述第三设备向所述第二设备发送第四消息,所述第四消息携带有所述第四连接信息,所述第四连接信息包括所述第四签名信息,以使得所述第二设备接收所述第三设备发送的第四消息,并根据所述第四消息携带的所述第四签名信息,以及所述第二签名验证密钥,确定所述第三设备是否合法,所述第二签名验证密钥由所述第一设备配置第二设备时,发送给第二设备。
21.一种配置的装置,用于第一设备,所述第一设备位于配置系统,所述配置系统包括第一设备、第二设备及配置设备,其特征在于,所述配置设备与所述第一设备之间进行带内通信,所述配置设备与所述第二设备之间进行带外通信;所述装置包括:接收单元,用于接收所述配置设备发送的第二设备带外密钥,所述第二设备带外密钥由所述配置设备通过与所述第二设备之间进行带外通信获得;
生成单元,用于根据所述接收单元接收的所述第二设备带外密钥,生成加密密钥,所述加密密钥用于对第一设备向第二设备发送的信息进行加密;
所述生成单元,还用于生成第一签名生成密钥及第一签名验证密钥,所述第一签名生成密钥用于所述第一设备进行签名,所述第一签名验证密钥用于对所述第一设备签名的信息进行解密,所述第一签名生成密钥与所述第一签名验证密钥之间互相对应;
所述接收单元,还用于接收所述第二设备发送的第二网络密钥,所述第二网络密钥由所述第二设备生成,所述第二网络密钥用于所述第一设备生成共享密钥;
签名单元,用于利用第一签名生成密钥对所述接收单元接收的所述第二网络密钥进行签名,得到第一签名信息;
发送单元,用于向所述第二设备发送加密后的第一连接信息,所述第一连接信息包括所述签名单元签名得到的所述第一签名信息及所述第二网络密钥,所述加密后的第一连接信息由所述第一设备利用第一密钥对所述第一连接信息进行加密得到,所述第一密钥由所述第一设备根据所述生成单元生成的所述加密密钥得到,以使得所述第二设备获取并向所述第一设备发送所述第一连接信息,所述第一连接信息用于所述第一设备确定所述第二设备是否合法。
22.根据权利要求21所述的配置的装置,其特征在于,
所述接收单元,还用于在所述接收单元接收所述第二设备带外密钥之前,接收所述配置设备发送的第二签名验证密钥,所述第二签名验证密钥由所述配置设备生成,所述第二签名验证密钥用于对所述配置设备签名的信息进行解密;
所述生成单元,还用于生成第一网络密钥,所述第一网络密钥用于所述第二设备生成共享密钥;
所述发送单元,还用于将所述生成单元生成的所述第一网络密钥发送给所述配置设备,以使得所述配置设备至少根据所述第一网络密钥,生成并向所述第一设备发送第二连接信息。
23.根据权利要求22所述的配置的装置,其特征在于,
所述接收单元,还用于在所述发送单元发送所述第一网络密钥后,接收所述配置设备发送的所述第二连接信息,所述第二连接信息包括第二签名信息及所述第一网络密钥,所述第二签名信息由所述配置设备利用第二签名生成密钥对所述第一网络密钥进行签名得到,所述第二签名生成密钥由所述配置设备生成,所述第二签名生成密钥用于所述配置设备进行签名,所述第二签名生成密钥与所述第二签名验证密钥之间互相对应。
24.根据权利要求23所述的配置的装置,其特征在于,
所述发送单元,还用于发送第二消息,所述第二消息携带有所述第二连接信息,所述第二连接信息包括所述第二签名信息,所述第二签名信息包括所述第一网络密钥,以使得所述第二设备接收所述第一设备发送的第二消息,根据所述第二消息携带的所述第二签名信息,确定所述第一设备是否合法,并至少根据所述第二签名信息中的所述第一网络密钥生成第二共享密钥,所述第二共享密钥为所述第一设备与所述第二设备之间的预先密钥,所述预先密钥用于所述第一设备与所述第二设备之间进行握手认证。
25.根据权利要求23或24所述的配置的装置,其特征在于,
所述生成单元,还用于生成第三网络密钥,所述第三网络密钥用于所述第二设备生成共享密钥;
所述发送单元,还用于将所述第三网络密钥发送给所述配置设备;
所述接收单元,还用于接收所述配置设备发送的第三连接信息,所述第三连接信息包括第三签名信息及所述第三网络密钥,所述第三签名信息由所述配置设备利用所述第二签名生成密钥对所述第三网络密钥进行签名得到;
所述发送单元,还用于向所述第二设备发送第三消息,所述第三消息携带有所述第三连接信息,以使得所述第二设备获取所述第三网络密钥,并至少根据所述第三网络密钥生成新的第二共享密钥,所述新的第二共享密钥为所述第一设备与所述第二设备之间的预先密钥,所述预先密钥用于所述第一设备与所述第二设备之间进行握手认证。
26.根据权利要求24所述的配置的装置,其特征在于,
所述发送单元,还用于向所述第二设备发送加密后的第二签名验证密钥,所述加密后的第二签名验证密钥由所述第一设备利用第二密钥对所述第二签名验证密钥进行加密得到,所述第二密钥由所述第一设备根据所述加密密钥得到,以使得所述第二设备接收所述第二签名验证密钥,并根据所述第二签名验证密钥,以及所述第二消息携带的所述第二签名信息,确定所述第一设备合法。
27.根据权利要求22所述的配置的装置,其特征在于,
所述接收单元,还用于接收所述第二设备发送的第一消息,所述第一消息携带有所述第一连接信息;
所述装置还包括:确定单元;
所述确定单元,用于根据所述第一消息携带的所述第一签名信息,确定所述第二设备合法。
28.根据权利要求27所述的配置的装置,其特征在于,
所述确定单元,具体用于根据所述第一消息携带的所述第一签名信息,确定签名得到所述第一签名信息的设备是否为可信设备,所述可信设备为所述第一设备或者所述配置设备。
29.根据权利要求27所述的配置的装置,其特征在于,所述装置还包括:解密单元、比对单元;
所述解密单元,用于利用所述第一签名验证密钥,对所述第一签名信息进行解密,得到解密结果;
所述比对单元,用于将所述解密单元解密得到的所述解密结果,与所述第一连接信息包括的所述第二网络密钥进行比对;
所述确定单元,具体用于当所述比对单元比对所述解密结果与所述第二网络密钥匹配时,确定所述第二设备合法。
30.根据权利要求27至29任一所述的配置的装置,其特征在于,
所述生成单元,还用于当所述确定单元确定所述第二设备合法时,至少根据所述第二网络密钥,生成第一共享密钥,所述第一共享密钥为所述第一设备与所述第二设备之间的预先密钥,所述预先密钥用于所述第一设备与所述第二设备之间进行握手认证。
31.根据权利要求30所述的配置的装置,其特征在于,
所述生成单元,具体用于按照迪菲赫尔曼DH密钥生成算法,根据所述第一网络密钥对应的私钥,以及所述第二网络密钥,生成DH共享密钥,并将所述DH共享密钥,或者由所述DH共享密钥衍生得到的密钥,作为所述第一共享密钥;
所述生成单元,具体还用于按照基于椭圆曲线密码体制的的迪菲赫尔曼ECDH密钥生成算法,根据所述第一网络密钥对应的私钥,以及所述第二网络密钥,生成ECDH共享密钥,并将所述ECDH共享密钥,或者由所述ECDH共享密钥衍生得到的密钥,作为所述第一共享密钥。
32.根据权利要求27所述的配置的装置,其特征在于,
所述确定单元,还用于确定所述第二设备是否存储有所述第二设备带外密钥对应的私钥;
所述确定单元,还用于当所述第二设备存储有所述第二设备带外密钥对应的私钥时,确定所述第二设备合法。
33.一种配置的装置,用于第三设备,所述第三设备位于配置系统,所述配置系统包括第一设备、第二设备、配置设备及第三设备,其特征在于,所述配置设备与所述第一设备之间进行带内通信,所述配置设备与所述第二设备之间进行带外通信,所述配置设备与所述第三设备之间进行带内通信,所述第一设备已配置所述第二设备;所述装置包括:接收单元,用于接收所述配置设备发送的第一签名验证密钥及第一网络密钥,所述第一签名验证密钥由所述第一设备生成并发送给所述配置设备,所述第一签名验证密钥用于对所述第一设备签名的信息进行解密,所述第一网络密钥由所述第一设备生成并发送给所述配置设备,所述第一网络密钥用于所述第二设备生成共享密钥;
所述接收单元,还用于接收所述第二设备发送的第一消息,所述第一消息携带有第一连接信息,所述第一连接信息包括第一签名信息及对端网络密钥,所述第一签名信息由所述第一设备利用第一签名生成密钥对第二网络密钥进行签名得到,所述第一签名生成密钥由所述第一设备生成,所述第一签名生成密钥用于所述第一设备进行签名,所述第一签名生成密钥与所述第一签名验证密钥之间互相对应,所述第二网络密钥由所述第二设备生成,所述第二网络密钥用于所述第一设备或所述第三设备生成共享密钥;
确定单元,用于根据所述接收单元接收的所述第一网络密钥,确定所述对端网络密钥是否合法;
所述确定单元,还用于当所述对端网络密钥合法时,根据所述接收单元接收的所述第一签名信息,确定所述第二设备是否合法。
34.根据权利要求33所述的配置的装置,其特征在于,
所述确定单元,具体用于确定所述对端网络密钥是否为信任的网络密钥,所述信任的网络密钥包括所述第一网络密钥。
35.根据权利要求33所述的配置的装置,其特征在于,
所述接收单元接收的所述第一连接信息还包括第二网络密钥;
所述装置还包括:解密单元、比对单元;
所述解密单元,用于利用所述第一签名验证密钥,对所述第一签名信息进行解密,得到解密结果;
所述比对单元,用于将所述解密单元解密得到的所述解密结果,与所述第二网络密钥进行比对;
所述确定单元,具体用于当所述比对单元比对所述解密结果与所述第二网络密钥匹配时,确定所述第二设备合法。
36.根据权利要求35所述的配置的装置,其特征在于,所述装置还包括:生成单元;
所述生成单元,用于至少根据所述接收单元接收的所述第二网络密钥,生成第三共享密钥,所述第三共享密钥为所述第三设备与所述第二设备之间进行握手认证的预先密钥。
37.根据权利要求36所述的配置的装置,其特征在于,
所述生成单元,具体包括按照迪菲赫尔曼DH密钥生成算法,根据第四网络密钥对应的私钥,以及所述第二网络密钥,生成DH共享密钥,并将所述DH共享密钥,或者由所述DH共享密钥衍生得到的密钥,作为所述第三共享密钥,所述第四网络密钥用于所述第二设备生成共享密钥;或者,所述生成单元,具体包括按照基于椭圆曲线密码体制的的迪菲赫尔曼ECDH密钥生成算法,根据所述第四网络密钥对应的私钥,以及所述第二网络密钥,生成ECDH共享密钥,并将所述ECDH共享密钥,或者由所述ECDH共享密钥衍生得到的密钥,作为所述第三共享密钥。
38.根据权利要求36所述的配置的装置,其特征在于,
所述生成单元,还用于生成第四网络密钥,所述第四网络密钥用于所述第二设备生成共享密钥;
所述装置还包括:发送单元;
所述发送单元,用于将所述生成单元生成的所述第四网络密钥发送给所述配置设备。
39.根据权利要求38所述的配置的装置,其特征在于,
所述接收单元,还用于接收所述配置设备发送的第四连接信息,所述第四连接信息包括第四签名信息及所述第四网络密钥,所述第四签名信息由所述配置设备利用第二签名生成密钥对所述第四网络密钥进行签名得到,所述第二签名生成密钥及第二签名验证密钥由所述配置设备生成,所述第二签名生成密钥用于所述配置设备进行签名,所述第二签名验证密钥用于对所述配置设备签名的信息进行解密,所述第二签名生成密钥与所述第二签名验证密钥之间互相对应。
40.根据权利要求39所述的配置的装置,其特征在于,
所述发送单元,还用于向所述第二设备发送第四消息,所述第四消息携带有所述第四连接信息,所述第四连接信息包括所述第四签名信息,以使得所述第二设备接收所述第三设备发送的第四消息,并根据所述第四消息携带的所述第四签名信息,以及所述第二签名验证密钥,确定所述第三设备是否合法,所述第二签名验证密钥由所述第一设备配置第二设备时,发送给第二设备。
41.一种设备,所述设备为第一设备,所述第一设备位于配置系统,所述配置系统包括第一设备、第二设备及配置设备,其特征在于,所述配置设备与所述第一设备之间进行带内通信,所述配置设备与所述第二设备之间进行带外通信;所述第一设备包括:接收器,用于接收所述配置设备发送的第二设备带外密钥,所述第二设备带外密钥由所述配置设备通过与所述第二设备之间进行带外通信获得;
处理器,用于根据所述接收器接收的所述第二设备带外密钥,生成加密密钥,所述加密密钥用于对第一设备向第二设备发送的信息进行加密;
所述处理器,还用于生成第一签名生成密钥及第一签名验证密钥,所述第一签名生成密钥用于所述第一设备进行签名,所述第一签名验证密钥用于对所述第一设备签名的信息进行解密,所述第一签名生成密钥与所述第一签名验证密钥之间互相对应;
所述接收器,还用于接收所述第二设备发送的第二网络密钥,所述第二网络密钥由所述第二设备生成,所述第二网络密钥用于所述第一设备生成共享密钥;
所述处理器,还用于利用第一签名生成密钥对所述接收器接收的所述第二网络密钥进行签名,得到第一签名信息;
发送器,用于向所述第二设备发送加密后的第一连接信息,所述第一连接信息包括所述处理器签名得到的所述第一签名信息及所述第二网络密钥,所述加密后的第一连接信息由所述第一设备利用第一密钥对所述第一连接信息进行加密得到,所述第一密钥由所述第一设备根据所述处理器生成的所述加密密钥得到,以使得所述第二设备获取并向所述第一设备发送所述第一连接信息,所述第一连接信息用于所述第一设备确定所述第二设备是否合法。
42.根据权利要求41所述的第一设备,其特征在于,
所述接收器,还用于在所述接收器接收所述第二设备带外密钥之前,接收所述配置设备发送的第二签名验证密钥,所述第二签名验证密钥由所述配置设备生成,所述第二签名验证密钥用于对所述配置设备签名的信息进行解密;
所述处理器,还用于生成第一网络密钥,所述第一网络密钥用于所述第二设备生成共享密钥;
所述发送器,还用于将所述处理器生成的所述第一网络密钥发送给所述配置设备,以使得所述配置设备至少根据所述第一网络密钥,生成并向所述第一设备发送第二连接信息。
43.根据权利要求42所述的第一设备,其特征在于,
所述接收器,还用于在所述发送器发送所述第一网络密钥后,接收所述配置设备发送的所述第二连接信息,所述第二连接信息包括第二签名信息及所述第一网络密钥,所述第二签名信息由所述配置设备利用第二签名生成密钥对所述第一网络密钥进行签名得到,所述第二签名生成密钥由所述配置设备生成,所述第二签名生成密钥用于所述配置设备进行签名,所述第二签名生成密钥与所述第二签名验证密钥之间互相对应。
44.根据权利要求43所述的第一设备,其特征在于,
所述发送器,还用于发送第二消息,所述第二消息携带有所述第二连接信息,所述第二连接信息包括所述第二签名信息,所述第二签名信息包括所述第一网络密钥,以使得所述第二设备接收所述第一设备发送的第二消息,根据所述第二消息携带的所述第二签名信息,确定所述第一设备是否合法,并至少根据所述第二签名信息中的所述第一网络密钥生成第二共享密钥,所述第二共享密钥为所述第一设备与所述第二设备之间的预先密钥,所述预先密钥用于所述第一设备与所述第二设备之间进行握手认证。
45.根据权利要求43或44所述的第一设备,其特征在于,
所述处理器,还用于生成第三网络密钥,所述第三网络密钥用于所述第二设备生成共享密钥;
所述发送器,还用于将所述第三网络密钥发送给所述配置设备;
所述接收器,还用于接收所述配置设备发送的第三连接信息,所述第三连接信息包括第三签名信息及所述第三网络密钥,所述第三签名信息由所述配置设备利用所述第二签名生成密钥对所述第三网络密钥进行签名得到;
所述发送器,还用于向所述第二设备发送第三消息,所述第三消息携带有所述第三连接信息,以使得所述第二设备获取所述第三网络密钥,并至少根据所述第三网络密钥生成新的第二共享密钥,所述新的第二共享密钥为所述第一设备与所述第二设备之间的预先密钥,所述预先密钥用于所述第一设备与所述第二设备之间进行握手认证。
46.根据权利要求44所述的第一设备,其特征在于,
所述发送器,还用于向所述第二设备发送加密后的第二签名验证密钥,所述加密后的第二签名验证密钥由所述第一设备利用第二密钥对所述第二签名验证密钥进行加密得到,所述第二密钥由所述第一设备根据所述加密密钥得到,以使得所述第二设备接收所述第二签名验证密钥,并根据所述第二签名验证密钥,以及所述第二消息携带的所述第二签名信息,确定所述第一设备合法。
47.根据权利要求42所述的第一设备,其特征在于,
所述接收器,还用于接收所述第二设备发送的第一消息,所述第一消息携带有所述第一连接信息;
所述处理器,还用于根据所述第一消息携带的所述第一签名信息,确定所述第二设备合法。
48.根据权利要求47所述的第一设备,其特征在于,
所述处理器,具体用于根据所述第一消息携带的所述第一签名信息,确定签名得到所述第一签名信息的设备是否为可信设备,所述可信设备为所述第一设备或者所述配置设备。
49.根据权利要求47所述的第一设备,其特征在于,
所述处理器,还用于利用所述第一签名验证密钥,对所述第一签名信息进行解密,得到解密结果;
所述处理器,还用于将所述解密结果,与所述第一连接信息包括的所述第二网络密钥进行比对;
所述处理器,具体用于当所述解密结果与所述第二网络密钥匹配时,确定所述第二设备合法。
50.根据权利要求47至49任一所述的第一设备,其特征在于,
所述处理器,还用于当确定所述第二设备合法时,至少根据所述第二网络密钥,生成第一共享密钥,所述第一共享密钥为所述第一设备与所述第二设备之间的预先密钥,所述预先密钥用于所述第一设备与所述第二设备之间进行握手认证。
51.根据权利要求50所述的第一设备,其特征在于,
所述处理器,具体用于按照迪菲赫尔曼DH密钥生成算法,根据所述第一网络密钥对应的私钥,以及所述第二网络密钥,生成DH共享密钥,并将所述DH共享密钥,或者由所述DH共享密钥衍生得到的密钥,作为所述第一共享密钥;
所述处理器,具体还用于按照基于椭圆曲线密码体制的的迪菲赫尔曼ECDH密钥生成算法,根据所述第一网络密钥对应的私钥,以及所述第二网络密钥,生成ECDH共享密钥,并将所述ECDH共享密钥,或者由所述ECDH共享密钥衍生得到的密钥,作为所述第一共享密钥。
52.根据权利要求41所述的第一设备,其特征在于,
所述处理器,还用于确定所述第二设备是否存储有所述第二设备带外密钥对应的私钥;
所述处理器,还用于当所述第二设备存储有所述第二设备带外密钥对应的私钥时,确定所述第二设备合法。
53.一种设备,所述设备为第三设备,所述第三设备位于配置系统,所述配置系统包括第一设备、第二设备、配置设备及第三设备,其特征在于,所述配置设备与所述第一设备之间进行带内通信,所述配置设备与所述第二设备之间进行带外通信,所述配置设备与所述第三设备之间进行带内通信,所述第一设备已配置所述第二设备;所述第三设备包括:接收器,用于接收所述配置设备发送的第一签名验证密钥及第一网络密钥,所述第一签名验证密钥由所述第一设备生成并发送给所述配置设备,所述第一签名验证密钥用于对所述第一设备签名的信息进行解密,所述第一网络密钥由所述第一设备生成并发送给所述配置设备,所述第一网络密钥用于所述第二设备生成共享密钥;
所述接收器,还用于接收所述第二设备发送的第一消息,所述第一消息携带有第一连接信息,所述第一连接信息包括第一签名信息及对端网络密钥,所述第一签名信息由所述第一设备利用第一签名生成密钥对第二网络密钥进行签名得到,所述第一签名生成密钥由所述第一设备生成,所述第一签名生成密钥用于所述第一设备进行签名,所述第一签名生成密钥与所述第一签名验证密钥之间互相对应,所述第二网络密钥由所述第二设备生成,所述第二网络密钥用于所述第一设备或所述第三设备生成共享密钥;
处理器,用于根据所述接收器接收的所述第一网络密钥,确定所述对端网络密钥是否合法;
所述处理器,还用于当所述对端网络密钥合法时,根据所述接收器接收的所述第一签名信息,确定所述第二设备是否合法。
54.根据权利要求53所述的第三设备,其特征在于,
所述处理器,具体用于确定所述对端网络密钥是否为信任的网络密钥,所述信任的网络密钥包括所述第一网络密钥。
55.根据权利要求53所述的第三设备,其特征在于,
所述接收器接收的所述第一连接信息还包括第二网络密钥;
所述处理器,还用于利用所述第一签名验证密钥,对所述第一签名信息进行解密,得到解密结果;
所述处理器,还用于将解密得到的所述解密结果,与所述第二网络密钥进行比对;
所述处理器,具体用于当所述解密结果与所述第二网络密钥匹配时,确定所述第二设备合法。
56.根据权利要求55所述的第三设备,其特征在于,
所述处理器,还用于至少根据所述接收器接收的所述第二网络密钥,生成第三共享密钥,所述第三共享密钥为所述第三设备与所述第二设备之间进行握手认证的预先密钥。
57.根据权利要求56所述的第三设备,其特征在于,
所述处理器,具体包括按照迪菲赫尔曼DH密钥生成算法,根据第四网络密钥对应的私钥,以及所述第二网络密钥,生成DH共享密钥,并将所述DH共享密钥,或者由所述DH共享密钥衍生得到的密钥,作为所述第三共享密钥,所述第四网络密钥用于所述第二设备生成共享密;或者所述处理器,具体包括按照基于椭圆曲线密码体制的的迪菲赫尔曼ECDH密钥生成算法,根据所述第四网络密钥对应的私钥,以及所述第二网络密钥,生成ECDH共享密钥,并将所述ECDH共享密钥,或者由所述ECDH共享密钥衍生得到的密钥,作为所述第三共享密钥。
58.根据权利要求53所述的第三设备,其特征在于,
所述处理器,还用于生成第四网络密钥,所述第四网络密钥用于所述第二设备生成共享密钥;
所述第三设备还包括:发送器;
所述发送器,用于将所述处理器生成的所述第四网络密钥发送给所述配置设备。
59.根据权利要求58所述的第三设备,其特征在于,
所述接收器,还用于接收所述配置设备发送的第四连接信息,所述第四连接信息包括第四签名信息及所述第四网络密钥,所述第四签名信息由所述配置设备利用第二签名生成密钥对所述第四网络密钥进行签名得到,所述第二签名生成密钥及第二签名验证密钥由所述配置设备生成,所述第二签名生成密钥用于所述配置设备进行签名,所述第二签名验证密钥用于对所述配置设备签名的信息进行解密,所述第二签名生成密钥与所述第二签名验证密钥之间互相对应。
60.根据权利要求59所述的第三设备,其特征在于,
所述发送器,还用于向所述第二设备发送第四消息,所述第四消息携带有所述第四连接信息,所述第四连接信息包括所述第四签名信息,以使得所述第二设备接收所述第三设备发送的第四消息,并根据所述第四消息携带的所述第四签名信息,以及所述第二签名验证密钥,确定所述第三设备是否合法,所述第二签名验证密钥由所述第一设备配置第二设备时,发送给第二设备。
说明书 :
配置的方法、配置的装置及设备
技术领域
[0001] 本发明涉及无线通信领域,特别涉及一种配置的方法、配置的装置及设备。
背景技术
[0002] 随着无线通信技术的迅速发展,无线网络连接配置的简便性和安全性也越来越受到用户的关注。一般地,为设备配置无线网络连接的过程比较复杂,如需要用户手动输入密码等,不仅繁琐还欠缺安全性。
[0003] 目前,一种配置的方法,首先配置设备与第一设备之间进行交互,获取第一设备的相关信息,并将自身的相关信息发送给第一设备,实现对第一设备的配置;然后配置设备与第二设备之间进行交互,获取第二设备的相关信息,并将自身的相关信息发送给第二设备,实现对第二设备的配置;最后由配置设备配置的第一设备,以及由配置设备配置的第二设备之间,进行无线通信,从而避免了用户手动输入密码等较为复杂的过程。
[0004] 然而,当配置设备分别对第一设备及第二设备进行配置时,若配置设备与某一设备之间不能进行带内通信,例如,某一设备不支持带内通信,或者配置设备与某一设备支持的带内通信模式不匹配,则上述配置过程无法完成,从而导致为设备进行配置的成功率较低。
发明内容
[0005] 本发明提供一种配置的方法、配置的装置及设备,可以提高设备进行配置的成功率。
[0006] 本发明采用的技术方案为:
[0007] 第一方面,本发明提供一种配置的方法,应用于配置系统中,所述配置系统包括第一设备、第二设备及配置设备,所述配置设备与所述第一设备之间进行带内通信,所述配置设备与所述第二设备之间进行带外通信;所述方法包括:
[0008] 所述第一设备接收所述配置设备发送的第二设备带外密钥,所述第二设备带外密钥由所述配置设备通过与所述第二设备之间进行带外通信获得;
[0009] 所述第一设备根据所述第二设备带外密钥,生成加密密钥,所述加密密钥用于对第一设备向第二设备发送的信息进行加密;
[0010] 所述第一设备生成第一签名生成密钥及第一签名验证密钥,所述第一签名生成密钥用于所述第一设备进行签名,所述第一签名验证密钥用于对所述第一设备签名的信息进行解密,所述第一签名生成密钥与所述第一签名验证密钥之间互相对应;
[0011] 所述第一设备接收所述第二设备发送的第二网络密钥,所述第二网络密钥由所述第二设备生成,所述第二网络密钥用于所述第一设备生成共享密钥;
[0012] 所述第一设备利用第一签名生成密钥对所述第二网络密钥进行签名,得到第一签名信息;
[0013] 所述第一设备向所述第二设备发送加密后的第一连接信息,所述第一连接信息包括所述第一签名信息及所述第二网络密钥,所述加密后的第一连接信息由所述第一设备利用第一密钥对所述第一连接信息进行加密得到,所述第一密钥由所述第一设备根据所述加密密钥得到,以使得所述第二设备获取并向所述第一设备发送所述第一连接信息,所述第一连接信息用于所述第一设备确定所述第二设备是否合法。
[0014] 结合第一方面,在第一方面的第一种可能的实现方式中,所述第一设备接收所述配置设备发送的第二设备带外密钥之前,还包括:
[0015] 所述第一设备接收所述配置设备发送的第二签名验证密钥,所述第二签名验证密钥由所述配置设备生成,所述第二签名验证密钥用于对所述配置设备签名的信息进行解密;
[0016] 所述第一设备生成第一网络密钥,所述第一网络密钥用于所述第二设备生成共享密钥;
[0017] 所述第一设备将所述第一网络密钥发送给所述配置设备,以使得所述配置设备至少根据所述第一网络密钥,生成并向所述第一设备发送第二连接信息。
[0018] 结合第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述第一设备将所述第一网络密钥发送给所述配置设备之后,还包括:
[0019] 所述第一设备接收所述配置设备发送的所述第二连接信息,所述第二连接信息包括第二签名信息及所述第一网络密钥,所述第二签名信息由所述配置设备利用第二签名生成密钥对所述第一网络密钥进行签名得到,所述第二签名生成密钥由所述配置设备生成,所述第二签名生成密钥用于所述配置设备进行签名,所述第二签名生成密钥与所述第二签名验证密钥之间互相对应。
[0020] 结合第一方面的第二种可能的实现方式,在第一方面的第三种可能的实现方式中,所述第一设备向所述第二设备发送加密后的第一连接信息之后,还包括:
[0021] 所述第一设备发送第二消息,所述第二消息携带有所述第二连接信息,所述第二连接信息包括所述第二签名信息,所述第二签名信息包括所述第一网络密钥,以使得所述第二设备接收所述第一设备发送的第二消息,根据所述第二消息携带的所述第二签名信息,确定所述第一设备是否合法,并至少根据所述第二签名信息中的所述第一网络密钥生成第二共享密钥,所述第二共享密钥为所述第一设备与所述第二设备之间的预先密钥,所述预先密钥用于所述第一设备与所述第二设备之间进行握手认证。
[0022] 结合第一方面的第二种可能的实现方式,或者第一方面的第三种可能的实现方式,在第一方面的第四种可能的实现方式中,所述方法还包括:
[0023] 所述第一设备生成第三网络密钥,所述第三网络密钥用于所述第二设备生成共享密钥;
[0024] 所述第一设备将所述第三网络密钥发送给所述配置设备;
[0025] 所述第一设备接收所述配置设备发送的第三连接信息,所述第三连接信息包括第三签名信息及所述第三网络密钥,所述第三签名信息由所述配置设备利用所述第二签名生成密钥对所述第三网络密钥进行签名得到;
[0026] 所述第一设备向所述第二设备发送第三消息,所述第三消息携带有所述第三连接信息,以使得所述第二设备获取所述第三网络密钥,并至少根据所述第三网络密钥生成新的第二共享密钥,所述新的第二共享密钥为所述第一设备与所述第二设备之间的预先密钥,所述预先密钥用于所述第一设备与所述第二设备之间进行握手认证。
[0027] 结合第一方面的第三种可能的实现方式,在第一方面的第五种可能的实现方式中,所述方法还包括:
[0028] 所述第一设备向所述第二设备发送加密后的第二签名验证密钥,所述加密后的第二签名验证密钥由所述第一设备利用第二密钥对所述第二签名验证密钥进行加密得到,所述第二密钥由所述第一设备根据所述加密密钥得到,以使得所述第二设备接收所述第二签名验证密钥,并根据所述第二签名验证密钥,以及所述第二消息携带的所述第二签名信息,确定所述第一设备合法。
[0029] 结合第一方面的第一种可能的实现方式,在第一方面的第六种可能的实现方式中,所述第一设备向所述第二设备发送加密后的第一连接信息之后,还包括:
[0030] 所述第一设备接收所述第二设备发送的第一消息,所述第一消息携带有所述第一连接信息;
[0031] 所述第一设备根据所述第一消息携带的所述第一签名信息,确定所述第二设备合法。
[0032] 结合第一方面的第六种可能的实现方式,在第一方面的第七种可能的实现方式中,所述第一设备根据所述第一消息携带的所述第一签名信息,确定所述第二设备合法,具体包括:
[0033] 所述第一设备根据所述第一消息携带的所述第一签名信息,确定签名得到所述第一签名信息的设备为可信设备,所述可信设备包括所述第一设备或者所述配置设备。
[0034] 结合第一方面的第六种可能的实现方式,在第一方面的第八种可能的实现方式中,所述第一设备根据所述第一消息携带的所述第一签名信息,确定所述第二设备合法,具体包括:
[0035] 所述第一设备利用所述第一签名验证密钥,对所述第一签名信息进行解密,得到解密结果;
[0036] 所述第一设备将所述解密结果,与所述第一连接信息包括的所述第二网络密钥进行比对;
[0037] 若所述解密结果与所述第二网络密钥匹配,则所述第一设备确定所述第二设备合法。
[0038] 结合第一方面的第六种可能的实现方式,或者第一方面的第七种可能的实现方式,或者第一方面的第八种可能的实现方式,在第一方面的第九种可能的实现方式中,所述第一设备根据所述第一消息携带的所述第一签名信息,确定所述第二设备合法之后,还包括:
[0039] 若确定所述第二设备合法,则所述第一设备至少根据所述第二网络密钥,生成第一共享密钥,所述第一共享密钥为所述第一设备与所述第二设备之间的预先密钥,所述预先密钥用于所述第一设备与所述第二设备之间进行握手认证。
[0040] 结合第一方面的第九种可能的实现方式,在第一方面的第十种可能的实现方式中,所述第一设备至少根据所述第二网络密钥,生成第一共享密钥,具体包括:
[0041] 所述第一设备按照迪菲赫尔曼DH密钥生成算法,根据所述第一网络密钥对应的私钥,以及所述第二网络密钥,生成DH共享密钥,并将所述DH共享密钥,或者由所述DH共享密钥衍生得到的密钥,作为所述第一共享密钥;或者,
[0042] 所述第一设备按照基于椭圆曲线密码体制的的迪菲赫尔曼ECDH密钥生成算法,根据所述第一网络密钥对应的私钥,以及所述第二网络密钥,生成ECDH共享密钥,并将所述ECDH共享密钥,或者由所述ECDH共享密钥衍生得到的密钥,作为所述第一共享密钥。
[0043] 结合第一方面,在第一方面的第十一种可能的实现方式中,所述第一设备接收所述配置设备发送的第二设备带外密钥之后,还包括:
[0044] 所述第一设备确定所述第二设备是否存储有所述第二设备带外密钥对应的私钥;
[0045] 若所述第二设备存储有所述第二设备带外密钥对应的私钥,则所述第一设备确定所述第二设备合法。
[0046] 第二方面,本发明提供一种配置的装置,用于第一设备,所述第一设备位于配置系统,所述配置系统包括第一设备、第二设备及配置设备,所述配置设备与所述第一设备之间进行带内通信,所述配置设备与所述第二设备之间进行带外通信;所述装置包括:
[0047] 接收单元,用于接收所述配置设备发送的第二设备带外密钥,所述第二设备带外密钥由所述配置设备通过与所述第二设备之间进行带外通信获得;
[0048] 生成单元,用于根据所述接收单元接收的所述第二设备带外密钥,生成加密密钥,所述加密密钥用于对第一设备向第二设备发送的信息进行加密;
[0049] 所述生成单元,还用于生成第一签名生成密钥及第一签名验证密钥,所述第一签名生成密钥用于所述第一设备进行签名,所述第一签名验证密钥用于对所述第一设备签名的信息进行解密,所述第一签名生成密钥与所述第一签名验证密钥之间互相对应;
[0050] 所述接收单元,还用于接收所述第二设备发送的第二网络密钥,所述第二网络密钥由所述第二设备生成,所述第二网络密钥用于所述第一设备生成共享密钥;
[0051] 签名单元,用于利用第一签名生成密钥对所述接收单元接收的所述第二网络密钥进行签名,得到第一签名信息;
[0052] 发送单元,用于向所述第二设备发送加密后的第一连接信息,所述第一连接信息包括所述签名单元签名得到的所述第一签名信息及所述第二网络密钥,所述加密后的第一连接信息由所述第一设备利用第一密钥对所述第一连接信息进行加密得到,所述第一密钥由所述第一设备根据所述生成单元生成的所述加密密钥得到,以使得所述第二设备获取并向所述第一设备发送所述第一连接信息,所述第一连接信息用于所述第一设备确定所述第二设备是否合法。
[0053] 结合第二方面,在第二方面的第一种可能的实现方式中,
[0054] 所述接收单元,还用于在所述接收单元接收所述第二设备带外密钥之前,接收所述配置设备发送的第二签名验证密钥,所述第二签名验证密钥由所述配置设备生成,所述第二签名验证密钥用于对所述配置设备签名的信息进行解密;
[0055] 所述生成单元,还用于生成第一网络密钥,所述第一网络密钥用于所述第二设备生成共享密钥;
[0056] 所述发送单元,还用于将所述生成单元生成的所述第一网络密钥发送给所述配置设备,以使得所述配置设备至少根据所述第一网络密钥,生成并向所述第一设备发送第二连接信息。
[0057] 结合第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,
[0058] 所述接收单元,还用于在所述发送单元发送所述第一网络密钥后,接收所述配置设备发送的所述第二连接信息,所述第二连接信息包括第二签名信息及所述第一网络密钥,所述第二签名信息由所述配置设备利用第二签名生成密钥对所述第一网络密钥进行签名得到,所述第二签名生成密钥由所述配置设备生成,所述第二签名生成密钥用于所述配置设备进行签名,所述第二签名生成密钥与所述第二签名验证密钥之间互相对应。
[0059] 结合第二方面的第二种可能的实现方式,在第二方面的第三种可能的实现方式中,
[0060] 所述发送单元,还用于发送加密后的第二消息,所述第二消息携带有所述第二连接信息,所述第二连接信息包括所述第二签名信息,所述第二签名信息包括所述第一网络密钥,以使得所述第二设备接收所述第一设备发送的第二消息,根据所述第二消息携带的所述第二签名信息,确定所述第一设备是否合法,并至少根据所述第二签名信息中的所述第一网络密钥生成第二共享密钥,所述第二共享密钥为所述第一设备与所述第二设备之间的预先密钥,所述预先密钥用于所述第一设备与所述第二设备之间进行握手认证。
[0061] 结合第二方面的第二种可能的实现方式,或者第二方面的第三种可能的实现方式,在第二方面的第四种可能的实现方式中,
[0062] 所述生成单元,还用于生成第三网络密钥,所述第三网络密钥用于所述第二设备生成共享密钥;
[0063] 所述发送单元,还用于将所述第三网络密钥发送给所述配置设备;
[0064] 所述接收单元,还用于接收所述配置设备发送的第三连接信息,所述第三连接信息包括第三签名信息及所述第三网络密钥,所述第三签名信息由所述配置设备利用所述第二签名生成密钥对所述第三网络密钥进行签名得到;
[0065] 所述发送单元,还用于向所述第二设备发送第三消息,所述第三消息携带有所述第三连接信息,以使得所述第二设备获取所述第三网络密钥,并至少根据所述第三网络密钥生成新的第二共享密钥,所述新的第二共享密钥为所述第一设备与所述第二设备之间的预先密钥,所述预先密钥用于所述第一设备与所述第二设备之间进行握手认证。
[0066] 结合第二方面的第三种可能的实现方式,在第二方面的第五种可能的实现方式中,
[0067] 所述发送单元,还用于向所述第二设备发送加密后的第二签名验证密钥,所述加密后的第二签名验证密钥由所述第一设备利用第二密钥对所述第二签名验证密钥进行加密得到,所述第二密钥由所述第一设备根据所述加密密钥得到,以使得所述第二设备接收所述第二签名验证密钥,并根据所述第二签名验证密钥,以及所述第二消息携带的所述第二签名信息,确定所述第一设备合法。
[0068] 结合第二方面的第一种可能的实现方式,在第二方面的第六种可能的实现方式中,
[0069] 所述接收单元,还用于接收所述第二设备发送的第一消息,所述第一消息携带有所述第一连接信息;
[0070] 所述装置还包括:确定单元;
[0071] 所述确定单元,用于根据所述第一消息携带的所述第一签名信息,确定所述第二设备合法。
[0072] 结合第二方面的第六种可能的实现方式,在第二方面的第七种可能的实现方式中,
[0073] 所述确定单元,具体用于根据所述第一消息携带的所述第一签名信息,确定签名得到所述第一签名信息的设备是否为可信设备,所述可信设备为所述第一设备或者所述配置设备。
[0074] 结合第二方面的第六种可能的实现方式,在第二方面的第八种可能的实现方式中,所述装置还包括:解密单元、比对单元;
[0075] 所述解密单元,用于利用所述第一签名验证密钥,对所述第一签名信息进行解密,得到解密结果;
[0076] 所述比对单元,用于将所述解密单元解密得到的所述解密结果,与所述第一连接信息包括的所述第二网络密钥进行比对;
[0077] 所述确定单元,具体用于当所述比对单元比对所述解密结果与所述第二网络密钥匹配时,确定所述第二设备合法。
[0078] 结合第二方面的第六种可能的实现方式,或者第二方面的第七种可能的实现方式,或者第二方面的第八种可能的实现方式,在第二方面的第九种可能的实现方式中,[0079] 所述生成单元,还用于当所述确定单元确定所述第二设备合法时,至少根据所述第二网络密钥,生成第一共享密钥,所述第一共享密钥为所述第一设备与所述第二设备之间的预先密钥,所述预先密钥用于所述第一设备与所述第二设备之间进行握手认证。
[0080] 结合第二方面的第九种可能的实现方式,在第二方面的第十种可能的实现方式中,
[0081] 所述生成单元,具体用于按照迪菲赫尔曼DH密钥生成算法,根据所述第一网络密钥对应的私钥,以及所述第二网络密钥,生成DH共享密钥,并将所述DH共享密钥,或者由所述DH共享密钥衍生得到的密钥,作为所述第一共享密钥;
[0082] 所述生成单元,具体还用于按照基于椭圆曲线密码体制的的迪菲赫尔曼ECDH密钥生成算法,根据所述第一网络密钥对应的私钥,以及所述第二网络密钥,生成ECDH共享密钥,并将所述ECDH共享密钥,或者由所述ECDH共享密钥衍生得到的密钥,作为所述第一共享密钥。
[0083] 结合第二方面,在第二方面的第十一种可能的实现方式中,
[0084] 所述确定单元,还用于确定所述第二设备是否存储有所述第二设备带外密钥对应的私钥;
[0085] 所述确定单元,还用于当所述第二设备存储有所述第二设备带外密钥对应的私钥时,确定所述第二设备合法。
[0086] 第三方面,本发明提供一种设备,所述设备为第一设备,所述第一设备位于配置系统,所述配置系统包括第一设备、第二设备及配置设备,所述配置设备与所述第一设备之间进行带内通信,所述配置设备与所述第二设备之间进行带外通信;所述第一设备包括:
[0087] 接收器,用于接收所述配置设备发送的第二设备带外密钥,所述第二设备带外密钥由所述配置设备通过与所述第二设备之间进行带外通信获得;
[0088] 处理器,用于根据所述接收器接收的所述第二设备带外密钥,生成加密密钥,所述加密密钥用于对第一设备向第二设备发送的信息进行加密;
[0089] 所述处理器,还用于生成第一签名生成密钥及第一签名验证密钥,所述第一签名生成密钥用于所述第一设备进行签名,所述第一签名验证密钥用于对所述第一设备签名的信息进行解密,所述第一签名生成密钥与所述第一签名验证密钥之间互相对应;
[0090] 所述接收器,还用于接收所述第二设备发送的第二网络密钥,所述第二网络密钥由所述第二设备生成,所述第二网络密钥用于所述第一设备生成共享密钥;
[0091] 所述处理器,还用于利用第一签名生成密钥对所述接收器接收的所述第二网络密钥进行签名,得到第一签名信息;
[0092] 发送器,用于向所述第二设备发送加密后的第一连接信息,所述第一连接信息包括所述处理器签名得到的所述第一签名信息及所述第二网络密钥,所述加密后的第一连接信息由所述第一设备利用第一密钥对所述第一连接信息进行加密得到,所述第一密钥由所述第一设备根据所述处理器生成的所述加密密钥得到,以使得所述第二设备获取并向所述第一设备发送所述第一连接信息,所述第一连接信息用于所述第一设备确定所述第二设备是否合法。
[0093] 结合第三方面,在第三方面的第一种可能的实现方式中,
[0094] 所述接收器,还用于在所述接收器接收所述第二设备带外密钥之前,接收所述配置设备发送的第二签名验证密钥,所述第二签名验证密钥由所述配置设备生成,所述第二签名验证密钥用于对所述配置设备签名的信息进行解密;
[0095] 所述处理器,还用于生成第一网络密钥,所述第一网络密钥用于所述第二设备生成共享密钥;
[0096] 所述发送器,还用于将所述处理器生成的所述第一网络密钥发送给所述配置设备,以使得所述配置设备至少根据所述第一网络密钥,生成并向所述第一设备发送第二连接信息。
[0097] 结合第三方面的第一种可能的实现方式,在第三方面的第二种可能的实现方式中,
[0098] 所述接收器,还用于在所述发送器发送所述第一网络密钥后,接收所述配置设备发送的所述第二连接信息,所述第二连接信息包括第二签名信息及所述第一网络密钥,所述第二签名信息由所述配置设备利用第二签名生成密钥对所述第一网络密钥进行签名得到,所述第二签名生成密钥由所述配置设备生成,所述第二签名生成密钥用于所述配置设备进行签名,所述第二签名生成密钥与所述第二签名验证密钥之间互相对应。
[0099] 结合第三方面的第二种可能的实现方式,在第三方面的第三种可能的实现方式中,
[0100] 所述发送器,还用于向所述第二设备发送加密后的第二消息,所述第二消息携带有所述第二连接信息,所述第二连接信息包括所述第二签名信息,所述第二签名信息包括所述第一网络密钥,所述加密后的第二消息由所述第一设备利用第四密钥对所述第二消息进行加密得到,所述第四密钥由所述第一设备根据所述加密密钥得到,以使得所述第二设备接收所述第一设备发送的第二消息,根据所述第二消息携带的所述第二签名信息,确定所述第一设备是否合法,并至少根据所述第二签名信息中的所述第一网络密钥生成第二共享密钥,所述第二共享密钥为所述第一设备与所述第二设备之间的预先密钥,所述预先密钥用于所述第一设备与所述第二设备之间进行握手认证。
[0101] 结合第三方面的第二种可能的实现方式,或者第三方面的第三种可能的实现方式,在第三方面的第四种可能的实现方式中,
[0102] 所述处理器,还用于生成第三网络密钥,所述第三网络密钥用于所述第二设备生成共享密钥;
[0103] 所述发送器,还用于将所述第三网络密钥发送给所述配置设备;
[0104] 所述接收器,还用于接收所述配置设备发送的第三连接信息,所述第三连接信息包括第三签名信息及所述第三网络密钥,所述第三签名信息由所述配置设备利用所述第二签名生成密钥对所述第三网络密钥进行签名得到;
[0105] 所述发送器,还用于向所述第二设备发送第三消息,所述第三消息携带有所述第三连接信息,以使得所述第二设备获取所述第三网络密钥,并至少根据所述第三网络密钥生成新的第二共享密钥,所述新的第二共享密钥为所述第一设备与所述第二设备之间的预先密钥,所述预先密钥用于所述第一设备与所述第二设备之间进行握手认证。
[0106] 结合第三方面的第三种可能的实现方式,在第三方面的第五种可能的实现方式中,
[0107] 所述发送器,还用于向所述第二设备发送加密后的第二签名验证密钥,所述加密后的第二签名验证密钥由所述第一设备利用第二密钥对所述第二签名验证密钥进行加密得到,所述第二密钥由所述第一设备根据所述加密密钥得到,以使得所述第二设备接收所述第二签名验证密钥,并根据所述第二签名验证密钥,以及所述第二消息携带的所述第二签名信息,确定所述第一设备合法。
[0108] 结合第三方面的第一种可能的实现方式,在第三方面的第六种可能的实现方式中,
[0109] 所述接收器,还用于接收所述第二设备发送的第一消息,所述第一消息携带有所述第一连接信息;
[0110] 所述处理器,还用于根据所述第一消息携带的所述第一签名信息,确定所述第二设备合法。
[0111] 结合第三方面的第六种可能的实现方式,在第三方面的第七种可能的实现方式中,
[0112] 所述处理器,具体用于根据所述第一消息携带的所述第一签名信息,确定签名得到所述第一签名信息的设备是否为可信设备,所述可信设备为所述第一设备或者所述配置设备。
[0113] 结合第三方面的第六种可能的实现方式,在第三方面的第八种可能的实现方式中,
[0114] 所述处理器,还用于利用所述第一签名验证密钥,对所述第一签名信息进行解密,得到解密结果;
[0115] 所述处理器,还用于将所述解密结果,与所述第一连接信息包括的所述第二网络密钥进行比对;
[0116] 所述处理器,具体用于当所述解密结果与所述第二网络密钥匹配时,确定所述第二设备合法。
[0117] 结合第三方面的第六种可能的实现方式,或者第三方面的第七种可能的实现方式,或者第三方面的第八种可能的实现方式,在第三方面的第九种可能的实现方式中,[0118] 所述处理器,还用于当确定所述第二设备合法时,至少根据所述第二网络密钥,生成第一共享密钥,所述第一共享密钥为所述第一设备与所述第二设备之间的预先密钥,所述预先密钥用于所述第一设备与所述第二设备之间进行握手认证。
[0119] 结合第三方面的第九种可能的实现方式,在第三方面的第十种可能的实现方式中,
[0120] 所述处理器,具体用于按照迪菲赫尔曼DH密钥生成算法,根据所述第一网络密钥对应的私钥,以及所述第二网络密钥,生成DH共享密钥,并将所述DH共享密钥,或者由所述DH共享密钥衍生得到的密钥,作为所述第一共享密钥;
[0121] 所述处理器,具体还用于按照基于椭圆曲线密码体制的的迪菲赫尔曼ECDH密钥生成算法,根据所述第一网络密钥对应的私钥,以及所述第二网络密钥,生成ECDH共享密钥,并将所述ECDH共享密钥,或者由所述ECDH共享密钥衍生得到的密钥,作为所述第一共享密钥。
[0122] 结合第三方面,在第三方面的第十一种可能的实现方式中,
[0123] 所述处理器,还用于确定所述第二设备是否存储有所述第二设备带外密钥对应的私钥;
[0124] 所述处理器,还用于当所述第二设备存储有所述第二设备带外密钥对应的私钥时,确定所述第二设备合法。
[0125] 第四方面,本发明提供一种配置的方法,应用于配置系统中,所述配置系统包括第一设备、第二设备、配置设备及第三设备,所述配置设备与所述第一设备之间进行带内通信,所述配置设备与所述第二设备之间进行带外通信,所述配置设备与所述第三设备之间进行带内通信,所述第一设备已配置所述第二设备;所述方法包括:
[0126] 所述第三设备接收所述配置设备发送的第一签名验证密钥及第一网络密钥,所述第一签名验证密钥由所述第一设备生成并发送给所述配置设备,所述第一签名验证密钥用于对所述第一设备签名的信息进行解密,所述第一网络密钥由所述第一设备生成并发送给所述配置设备,所述第一网络密钥用于所述第二设备生成共享密钥;
[0127] 所述第三设备接收所述第二设备发送的第一消息,所述第一消息携带有第一连接信息,所述第一连接信息包括第一签名信息及对端网络密钥,所述第一签名信息由所述第一设备利用第一签名生成密钥对第二网络密钥进行签名得到,所述第一签名生成密钥由所述第一设备生成,所述第一签名生成密钥用于所述第一设备进行签名,所述第一签名生成密钥与所述第一签名验证密钥之间互相对应,所述第二网络密钥由所述第二设备生成,所述第二网络密钥用于所述第一设备或所述第三设备生成共享密钥;
[0128] 所述第三设备根据所述第一网络密钥,确定所述对端网络密钥是否合法;
[0129] 若所述对端网络密钥合法,则所述第三设备根据所述第一签名信息,确定所述第二设备是否合法。
[0130] 结合第四方面,在第四方面的第一种可能的实现方式中,所述第三设备根据所述第一网络密钥,确定所述对端网络密钥是否合法,具体包括:
[0131] 所述第三设备确定所述对端网络密钥是否为信任的网络密钥,所述信任的网络密钥包括所述第一网络密钥。
[0132] 结合第四方面,在第四方面的第二种可能的实现方式中,所述第一连接信息还包括第二网络密钥;
[0133] 所述第三设备根据所述第一签名信息,确定所述第二设备是否合法,具体包括:
[0134] 所述第三设备利用所述第一签名验证密钥,对所述第一签名信息进行解密,得到解密结果;
[0135] 所述第三设备将所述解密结果,与所述第二网络密钥进行比对;
[0136] 若所述解密结果与所述第二网络密钥匹配,则所述第三设备确定所述第二设备合法。
[0137] 结合第四方面的第二种可能的实现方式,在第四方面的第三种可能的实现方式中,所述第三设备确定所述第二设备合法之后,还包括:
[0138] 所述第三设备至少根据所述第二网络密钥,生成第三共享密钥,所述第三共享密钥为所述第三设备与所述第二设备之间进行握手认证的预先密钥。
[0139] 结合第四方面的第三种可能的实现方式,在第四方面的第四种可能的实现方式中,所述第三设备至少根据所述第二网络密钥,生成第三共享密钥,具体包括:
[0140] 所述第三设备按照迪菲赫尔曼DH密钥生成算法,根据第四网络密钥对应的私钥,以及所述第二网络密钥,生成DH共享密钥,并将所述DH共享密钥,或者由所述DH共享密钥衍生得到的密钥,作为所述第三共享密钥,所述第四网络密钥用于所述第二设备生成共享密钥;或者,
[0141] 所述第三设备按照基于椭圆曲线密码体制的的迪菲赫尔曼ECDH密钥生成算法,根据所述第四网络密钥对应的私钥,以及所述第二网络密钥,生成ECDH共享密钥,并将所述ECDH共享密钥,或者由所述ECDH共享密钥衍生得到的密钥,作为所述第三共享密钥。
[0142] 结合第四方面,在第四方面的第五种可能的实现方式中,所述方法还包括:
[0143] 所述第三设备生成第四网络密钥,所述第四网络密钥用于所述第二设备生成共享密钥;
[0144] 所述第三设备将所述第四网络密钥发送给所述配置设备。
[0145] 结合第四方面的第五种可能的实现方式,在第四方面的第六种可能的实现方式中,所述第三设备将所述第四网络密钥发送给所述配置设备之后,还包括:
[0146] 所述第三设备接收所述配置设备发送的第四连接信息,所述第四连接信息包括第四签名信息及所述第四网络密钥,所述第四签名信息由所述配置设备利用第二签名生成密钥对所述第四网络密钥进行签名得到,所述第二签名生成密钥及第二签名验证密钥由所述配置设备生成,所述第二签名生成密钥用于所述配置设备进行签名,所述第二签名验证密钥用于对所述配置设备签名的信息进行解密,所述第二签名生成密钥与所述第二签名验证密钥之间互相对应。
[0147] 结合第四方面的第六种可能的实现方式,在第四方面的第七种可能的实现方式中,所述第三设备接收所述配置设备发送的第四连接信息之后,还包括:
[0148] 所述第三设备向所述第二设备发送第四消息,所述第四消息携带有所述第四连接信息,所述第四连接信息包括所述第四签名信息,以使得所述第二设备接收所述第三设备发送的第四消息,并根据所述第四消息携带的所述第四签名信息,以及所述第二签名验证密钥,确定所述第三设备是否合法,所述第二签名验证密钥由所述第一设备配置第二设备时,发送给第二设备。
[0149] 第五方面,本发明提供一种配置的装置,用于第三设备,所述第三设备位于配置系统,所述配置系统包括第一设备、第二设备、配置设备及第三设备,所述配置设备与所述第一设备之间进行带内通信,所述配置设备与所述第二设备之间进行带外通信,所述配置设备与所述第三设备之间进行带内通信,所述第一设备已配置所述第二设备;所述装置包括:
[0150] 接收单元,用于接收所述配置设备发送的第一签名验证密钥及第一网络密钥,所述第一签名验证密钥由所述第一设备生成并发送给所述配置设备,所述第一签名验证密钥用于对所述第一设备签名的信息进行解密,所述第一网络密钥由所述第一设备生成并发送给所述配置设备,所述第一网络密钥用于所述第二设备生成共享密钥;
[0151] 所述接收单元,还用于接收所述第二设备发送的第一消息,所述第一消息携带有第一连接信息,所述第一连接信息包括第一签名信息及对端网络密钥,所述第一签名信息由所述第一设备利用第一签名生成密钥对第二网络密钥进行签名得到,所述第一签名生成密钥由所述第一设备生成,所述第一签名生成密钥用于所述第一设备进行签名,所述第一签名生成密钥与所述第一签名验证密钥之间互相对应,所述第二网络密钥由所述第二设备生成,所述第二网络密钥用于所述第一设备或所述第三设备生成共享密钥;
[0152] 确定单元,用于根据所述接收单元接收的所述第一网络密钥,确定所述对端网络密钥是否合法;
[0153] 所述确定单元,还用于当所述对端网络密钥合法时,根据所述接收单元接收的所述第一签名信息,确定所述第二设备是否合法。
[0154] 结合第五方面,在第五方面的第一种可能的实现方式中,
[0155] 所述确定单元,具体用于确定所述对端网络密钥是否为信任的网络密钥,所述信任的网络密钥包括所述第一网络密钥。
[0156] 结合第五方面,在第五方面的第二种可能的实现方式中,
[0157] 所述接收单元接收的所述第一连接信息还包括第二网络密钥;
[0158] 所述装置还包括:解密单元、比对单元;
[0159] 所述解密单元,用于利用所述第一签名验证密钥,对所述第一签名信息进行解密,得到解密结果;
[0160] 所述比对单元,用于将所述解密单元解密得到的所述解密结果,与所述第二网络密钥进行比对;
[0161] 所述确定单元,具体用于当所述比对单元比对所述解密结果与所述第二网络密钥匹配时,确定所述第二设备合法。
[0162] 结合第五方面的第二种可能的实现方式,在第五方面的第三种可能的实现方式中,所述装置还包括:生成单元;
[0163] 所述生成单元,用于至少根据所述接收单元接收的所述第二网络密钥,生成第三共享密钥,所述第三共享密钥为所述第三设备与所述第二设备之间进行握手认证的预先密钥。
[0164] 结合第五方面的第三种可能的实现方式,在第五方面的第四种可能的实现方式中,
[0165] 所述生成单元,具体包括按照迪菲赫尔曼DH密钥生成算法,根据第四网络密钥对应的私钥,以及所述第二网络密钥,生成DH共享密钥,并将所述DH共享密钥,或者由所述DH共享密钥衍生得到的密钥,作为所述第三共享密钥,所述第四网络密钥用于所述第二设备生成共享密钥;或者,
[0166] 所述生成单元,具体包括按照基于椭圆曲线密码体制的的迪菲赫尔曼ECDH密钥生成算法,根据所述第四网络密钥对应的私钥,以及所述第二网络密钥,生成ECDH共享密钥,并将所述ECDH共享密钥,或者由所述ECDH共享密钥衍生得到的密钥,作为所述第三共享密钥。
[0167] 结合第五方面,在第五方面的第五种可能的实现方式中,
[0168] 所述生成单元,还用于生成第四网络密钥,所述第四网络密钥用于所述第二设备生成共享密钥;
[0169] 所述装置还包括:发送单元;
[0170] 所述发送单元,用于将所述生成单元生成的所述第四网络密钥发送给所述配置设备。
[0171] 结合第五方面的第五种可能的实现方式,在第五方面的第六种可能的实现方式中,
[0172] 所述接收单元,还用于接收所述配置设备发送的第四连接信息,所述第四连接信息包括第四签名信息及所述第四网络密钥,所述第四签名信息由所述配置设备利用第二签名生成密钥对所述第四网络密钥进行签名得到,所述第二签名生成密钥及第二签名验证密钥由所述配置设备生成,所述第二签名生成密钥用于所述配置设备进行签名,所述第二签名验证密钥用于对所述配置设备签名的信息进行解密,所述第二签名生成密钥与所述第二签名验证密钥之间互相对应。
[0173] 结合第五方面的第六种可能的实现方式,在第五方面的第七种可能的实现方式中,
[0174] 所述发送单元,还用于向所述第二设备发送第四消息,所述第四消息携带有所述第四连接信息,所述第四连接信息包括所述第四签名信息,以使得所述第二设备接收所述第三设备发送的第四消息,并根据所述第四消息携带的所述第四签名信息,以及所述第二签名验证密钥,确定所述第三设备是否合法,所述第二签名验证密钥由所述第一设备配置第二设备时,发送给第二设备。
[0175] 第六方面,本发明提供一种设备,所述设备为第三设备,所述第三设备位于配置系统,所述配置系统包括第一设备、第二设备、配置设备及第三设备,其特征在于,所述配置设备与所述第一设备之间进行带内通信,所述配置设备与所述第二设备之间进行带外通信,所述配置设备与所述第三设备之间进行带内通信,所述第一设备已配置所述第二设备;所述第三设备包括:
[0176] 接收器,用于接收所述配置设备发送的第一签名验证密钥及第一网络密钥,所述第一签名验证密钥由所述第一设备生成并发送给所述配置设备,所述第一签名验证密钥用于对所述第一设备签名的信息进行解密,所述第一网络密钥由所述第一设备生成并发送给所述配置设备,所述第一网络密钥用于所述第二设备生成共享密钥;
[0177] 所述接收器,还用于接收所述第二设备发送的第一消息,所述第一消息携带有第一连接信息,所述第一连接信息包括第一签名信息及对端网络密钥,所述第一签名信息由所述第一设备利用第一签名生成密钥对第二网络密钥进行签名得到,所述第一签名生成密钥由所述第一设备生成,所述第一签名生成密钥用于所述第一设备进行签名,所述第一签名生成密钥与所述第一签名验证密钥之间互相对应,所述第二网络密钥由所述第二设备生成,所述第二网络密钥用于所述第一设备或所述第三设备生成共享密钥;
[0178] 处理器,用于根据所述接收器接收的所述第一网络密钥,确定所述对端网络密钥是否合法;
[0179] 所述处理器,还用于当所述对端网络密钥合法时,根据所述接收器接收的所述第一签名信息,确定所述第二设备是否合法。
[0180] 结合第六方面,在第六方面的第一种可能的实现方式中,
[0181] 所述处理器,具体用于确定所述对端网络密钥是否为信任的网络密钥,所述信任的网络密钥包括所述第一网络密钥。
[0182] 结合第六方面,在第六方面的第二种可能的实现方式中,
[0183] 所述接收器接收的所述第一连接信息还包括第二网络密钥;
[0184] 所述处理器,还用于利用所述第一签名验证密钥,对所述第一签名信息进行解密,得到解密结果;
[0185] 所述处理器,还用于将解密得到的所述解密结果,与所述第二网络密钥进行比对;
[0186] 所述处理器,具体用于当所述解密结果与所述第二网络密钥匹配时,确定所述第二设备合法。
[0187] 结合第六方面的第二种可能的实现方式,在第六方面的第三种可能的实现方式中,
[0188] 所述处理器,用于至少根据所述接收器接收的所述第二网络密钥,生成第三共享密钥,所述第三共享密钥为所述第三设备与所述第二设备之间进行握手认证的预先密钥。
[0189] 结合第六方面的第三种可能的实现方式,在第六方面的第四种可能的实现方式中,
[0190] 所述处理器,具体包括按照迪菲赫尔曼DH密钥生成算法,根据第四网络密钥对应的私钥,以及所述第二网络密钥,生成DH共享密钥,并将所述DH共享密钥,或者由所述DH共享密钥衍生得到的密钥,作为所述第三共享密钥,所述第四网络密钥用于所述第二设备生成共享密;或者
[0191] 所述处理器,具体包括按照基于椭圆曲线密码体制的的迪菲赫尔曼ECDH密钥生成算法,根据所述第四网络密钥对应的私钥,以及所述第二网络密钥,生成ECDH共享密钥,并将所述ECDH共享密钥,或者由所述ECDH共享密钥衍生得到的密钥,作为所述第三共享密钥。
[0192] 结合第六方面,在第六方面的第五种可能的实现方式中,
[0193] 所述处理器,还用于生成第四网络密钥,所述第四网络密钥用于所述第二设备生成共享密钥;
[0194] 所述第三设备还包括:发送器;
[0195] 所述发送器,用于将所述处理器生成的所述第四网络密钥发送给所述配置设备。
[0196] 结合第六方面的第五种可能的实现方式,在第六方面的第六种可能的实现方式中,
[0197] 所述接收器,还用于接收所述配置设备发送的第四连接信息,所述第四连接信息包括第四签名信息及所述第四网络密钥,所述第四签名信息由所述配置设备利用第二签名生成密钥对所述第四网络密钥进行签名得到,所述第二签名生成密钥及第二签名验证密钥由所述配置设备生成,所述第二签名生成密钥用于所述配置设备进行签名,所述第二签名验证密钥用于对所述配置设备签名的信息进行解密,所述第二签名生成密钥与所述第二签名验证密钥之间互相对应。
[0198] 结合第六方面的第六种可能的实现方式,在第六方面的第七种可能的实现方式中,
[0199] 所述发送器,还用于向所述第二设备发送第四消息,所述第四消息携带有所述第四连接信息,所述第四连接信息包括所述第四签名信息,以使得所述第二设备接收所述第三设备发送的第四消息,并根据所述第四消息携带的所述第四签名信息,以及所述第二签名验证密钥,确定所述第三设备是否合法,所述第二签名验证密钥由所述第一设备配置第二设备时,发送给第二设备。
[0200] 本发明提供的配置的方法、配置的装置及设备,首先配置设备与第二设备进行带外通信,获得第二设备带外密钥,并将第二设备带外密钥发送给第一设备,以使得第一设备根据第二设备带外密钥生成加密密钥,然后第一设备生成第一签名生成密钥及第一签名验证密钥,并接收第二设备发送的第二网络密钥,最后第一设备根据第一签名生成密钥,对第二网络密钥进行签名,得到第一签名信息,并向第二设备发送根据加密密钥加密后的第一连接信息,第一连接信息包括第一签名信息及第二网络密钥。与目前通过配置设备分别对第一设备及第二设备进行配置相比,本发明通过配置设备与第二设备之间进行带外通信,获得第二设备带外密钥,并将该第二设备带外密钥发送给第一设备,能够使得第一设备与第二设备之间进行通信,从而可以实现第一设备对第二设备进行配置,即当配置设备与第二设备之间不能进行带内通信时,例如,某一设备不支持带内通信,或者配置设备与某一设备支持的带内通信模式不匹配,可以由第一设备对第二设备进行配置,进而可以提高设备进行配置的成功率。
[0201] 本发明提供的配置的方法、配置的装置及设备,当第一设备已配置第二设备时,首先配置设备向第三设备发送第一签名验证密钥及第一网络密钥,第一签名验证密钥及第一网络密钥由第一设备生成并发送给配置设备,然后第二设备向第三设备发送携带有第一连接信息的第一消息,第一连接信息包括第一签名信息及对端网络密钥,最后第三设备根据第一网络密钥,确定对端网络密钥是否合法,若对端网络密钥合法,则第三设备根据第一签名信息,确定第二设备是否合法。与目前通过配置设备分别对第一设备及第二设备进行配置相比,本发明通过第一设备根据第二设备带外密钥对第二设备进行配置,该第二设备带外密钥由配置设备与第二设备之间进行带外通信获得,并且配置设备向第三设备发送第一签名验证密钥及第一网络密钥,第二设备向第三设备发送第一连接信息,能够实现第三设备根据第一网络密钥,确定第一连接信息中的对端网络密钥是否合法,并根据第一签名验证密钥,确定第一连接信息中的第一签名信息是否合法,从而可以将第一设备已配置的第二设备,配置给第三设备,即实现第三设备配置第二设备,进而可以提高设备进行配置的成功率。
附图说明
[0202] 为了更清楚地说明本发明或现有技术中的技术方案,下面将对本发明或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
[0203] 图1为本发明实施例中配置系统的系统架构示意图;
[0204] 图2为本发明实施例中配置的方法流程图;
[0205] 图3为本发明实施例中另一种配置的方法流程图;
[0206] 图4为本发明实施例中另一种配置系统的系统架构示意图;
[0207] 图5为本发明实施例中另一种配置的方法流程图;
[0208] 图6为本发明实施例中另一种配置的方法流程图;
[0209] 图7为本发明实施例中配置的装置结构示意图;
[0210] 图8为本发明实施例中另一种配置的装置结构示意图;
[0211] 图9为本发明实施例中第一设备的结构示意图;
[0212] 图10为本发明实施例中另一种配置的装置结构示意图;
[0213] 图11为本发明实施例中另一种配置的装置结构示意图;
[0214] 图12为本发明实施例中第三设备的结构示意图。
具体实施方式
[0215] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
[0216] 本发明实施例提供的技术方案,应用于配置系统中,本发明的系统架构如图1所示,该配置系统包括第一设备、第二设备及配置设备。其中,配置设备与第一设备之间可以进行带内通信,配置设备与第二设备之间可以进行带外通信。
[0217] 本发明实施例提供一种配置的方法,能够提高设备进行配置的成功率,如图2所示,所述方法包括:
[0218] 201、第一设备接收配置设备发送的第二设备带外密钥。
[0219] 其中,第二设备带外密钥由配置设备通过与第二设备之间进行带外通信获得。
[0220] 对于本发明实施例,第一设备支持带内通信,可以与配置设备之间进行带内通信,也可以与第二设备之间进行带内通信。在本发明实施例中,第一设备具体可以为:无线接入点(英文全称:Access Point,英文缩写:AP)、智能终端、可穿戴设备或智能家居设备等。其中,智能终端包括手机、手机平板、平板及电脑等,可穿戴设备包括智能眼镜、智能手表、智能手环、智能戒指、智能项链、智能鞋子、智能帽子、智能头盔、智能衣服及智能护膝等,智能家居包括智能电视、智能音响、智能冰箱、智能洗衣机、智能空调、智能灯具、智能窗帘及智能报警器等。
[0221] 对于本发明实施例,配置设备用于对设备进行配置,或者协助设备对其他设备进行配置。在本发明实施例中,配置设备可以为外部配置设备,也可以为内部配置设备,本发明实施例不做限定。其中,外部配置设备可以为具有丰富UI及较强大的计算能力的无线设备,例如,外部配置设备可以为智能手机、智能平板、智能眼镜或智能手表等,也可以为安装有相关应用程序单元的其他设备;内部配置设备也可以为一套应用程序模块,集成在硬件单元内,并可以通过该硬件单元提供的UI与其他设备进行交互,例如,内部配置设备可以为集成在无线AP中的配置单元,此时,该配置单元可以通过无线AP的输入模块实现配置过程中的输入,通过无线AP的输出模块实现配置过程中的输出,即认为配置单元的输入模块为无线AP的输入模块,配置单元的输出模块为无线AP的输出模块。
[0222] 对于本发明实施例,带内通信是指通信距离相对较长的通信方式,带外通信是指通信距离相对较短的通信方式。具体地,带内通信可以为:蓝牙、蓝牙低功耗、无线保真(英文全称:Wireless Fidelity,英文缩写:Wi-Fi)、ZigBee(基于IEEE802.15.4标准的低功耗局域网协议)、超宽带(英文全称:Ultra Wide Band,英文缩写:UWB)或无线千兆比特(英文全称:Wireless Gigabit,英文缩写:WiGig)等;带外通信可以为:射频识别(英文全称:Radio Frequency Identification,英文缩写:RFID)、近场通信(英文全称:Near Field Communication,英文缩写:NFC)、红外、激光、超声波、电容屏短距传输、光学识别或声学识别等。
[0223] 例如,当配置设备与第二设备之间进行带外通信的方式为光学识别时,首先第二设备提供一个包含第二设备带外密钥的二维码;然后配置设备通过自身的摄像头模块扫描该二维码,并进行解码获得验证信息材料;最后配置设备根据该验证信息材料获取验证信息,并发送给第一设备,或者,配置设备直接将该验证信息材料发送给第一设备,以使得第一设备根据该验证信息材料获取验证信息。
[0224] 再例如,当配置设备与第二设备之间进行带外通信的方式为声学识别时,首先第二设备通过自身的声学模块播放验证信息材料,然后配置设备收听该验证信息材料;最后配置设备根据该验证信息材料获取验证信息,并发送给第一设备,或者,配置设备直接将该验证信息材料发送给第一设备,以使得第一设备根据该验证信息材料获取验证信息。
[0225] 对于本发明实施例,带外通信与带内通信均为相对概念,并不限于上述对带外通信及带内通信的举例,其他任何相对距离较短的通信方式均可以认为是带外通信,相对距离较长的通信方式均可以认为是带内通信,例如,蓝牙相对于Wi-Fi的通信距离较短,因此,当Wi-Fi作为带内通信时,蓝牙可以作为带外通信。
[0226] 需要说明的是,本发明实施例不限于上述配置设备与第二设备之间进行带外通信,其他任何可以实现配置设备与第二设备之间进行通信的方式,均适用本发明实施例,例如,配置设备与第二设备之间可以进行带内通信。
[0227] 对于本发明实施例,验证信息材料与验证信息之间,可以通过特定的编解码方式进行互相转换,也可以为相同的信息,本发明实施例不做限定。其中,当验证信息材料与验证信息之间需要进行互相转换时,可以直接通过base64/32/16(64/32/16进制)编码方式,实现互相转换;也可以首先通过base64/32/16进行编码,然后通过抽象语法标记(英文全称:Abstract Syntax Notation One,英文缩写:ASN.1)编码方式,实现互相转换。
[0228] 可选地,步骤201之后,还可以包括:第一设备确定第二设备带外密钥是否合法。
[0229] 可选地,第一设备可以通过确定第二设备是否存储有第二设备带外密钥对应的私钥,从而确定第二设备带外密钥是否合法。具体地,若第二设备存储有第二设备带外密钥对应的私钥,则第一设备确定第二设备合法。其中,第二设备带外密钥对应的私钥与第二设备带外密钥之间互相对应。
[0230] 对于本发明实施例,当第二设备带外密钥对应的私钥与第二设备带外密钥之间为非对称密钥时,第二设备带外密钥对应的私钥为私钥,第二设备带外密钥为公钥;或者,当第二设备带外密钥对应的私钥与第二设备带外密钥之间为对称密钥时,第二设备带外密钥对应的私钥与第二设备带外密钥相同。
[0231] 202、第一设备根据第二设备带外密钥,生成加密密钥。
[0232] 对于本发明实施例,第二设备带外密钥可以为对称密钥,也可以为非对称密钥,本发明实施例不做限定。
[0233] 可选地,当第二设备带外密钥为对称密钥时,第一设备可以直接将该第二设备带外密钥,作为加密密钥。
[0234] 可替换地,当第二设备带外密钥为非对称密钥时,第一设备首先生成一对非对称的临时密钥,分别为第一设备临时私钥及第一设备临时公钥,然后根据第一设备临时私钥及第二设备带外密钥,生成加密密钥。
[0235] 对于本发明实施例,第一设备生成第一设备临时私钥及第一设备临时公钥后,可以将第一设备临时公钥发送给第二设备,以使得第二设备获取第一设备临时公钥,并根据该第一设备临时公钥,及本地存储的第二设备带外密钥对应的私钥,生成第二加密密钥。其中,第二加密密钥用于对第一设备加密后的信息进行解密。
[0236] 需要说明的是,本领域技术人员能够理解,第一设备根据第一设备临时私钥及第二设备带外密钥生成的加密密钥,与第二设备根据第一设备临时公钥及第二设备带外密钥对应的私钥生成的第二加密密钥相同。
[0237] 对于本发明实施例,加密密钥用于对第一设备向第二设备发送的信息进行加密。
[0238] 具体地,第一设备可以直接根据加密密钥,对需要发送给第二设备的信息进行加密;第一设备也可以首先对加密密钥进行转换,得到转换后的加密密钥,然后根据转换后的加密密钥,对需要发送给第二设备的信息进行加密。
[0239] 对于本发明实施例,第一设备对加密密钥进行转换的方式,可以为直接通过base64/32/16编码方式,对加密密钥进行转换,得到转换后的加密密钥;也可以首先通过base64/32/16进行编码,然后通过ASN.1编码方式,对加密密钥进行转换,得到转换后的加密密钥。
[0240] 对于本发明实施例,当第一设备根据转换后的加密密钥,对需要发送给第二设备的信息进行加密时,第二设备按照转换后的第二加密密钥,对第一设备加密后的信息进行解密。具体地,第二设备首先按照与第一设备同样的转换方式,将第二加密密钥进行转换,得到转换后的第二加密密钥,然后按照转换后的第二加密密钥,对第一设备加密后的信息进行解密。
[0241] 203、第一设备生成第一签名生成密钥及第一签名验证密钥。
[0242] 其中,第一签名生成密钥及第一签名验证密钥由第一设备生成,第一签名生成密钥用于第一设备进行签名,第一签名验证密钥用于对第一设备签名的信息进行解密,第一签名生成密钥与第一签名验证密钥之间互相对应。
[0243] 可选地,步骤203之后,还可以包括:第一设备向第二设备发送加密后的第一签名验证密钥。其中,加密后的第一签名验证密钥由第一设备利用第三密钥对第一签名验证密钥进行加密得到,第三密钥由第一设备根据加密密钥得到。
[0244] 对于本发明实施例,第一设备可以直接将加密密钥作为第三密钥,并根据该第三密钥对第一签名验证密钥进行加密,得到加密后的第一签名验证密钥;第一设备也可以首先对加密密钥进行转换,得到转换后的加密密钥,作为第三密钥,并根据该第三密钥对第一签名验证密钥进行加密,得到加密后的第一签名验证密钥。
[0245] 对于本发明实施例,第一设备生成一对签名密钥,分别为第一签名验证密钥及第一签名生成密钥。其中,第一签名验证密钥用于发送给其他设备,以使得其他设备可以通过该第一签名验证密钥,对第一设备签名的信息进行解密;第一签名生成密钥用于第一设备进行签名。
[0246] 对于本发明实施例,当第一签名生成密钥与第一签名验证密钥之间为非对称密钥时,第一签名生成密钥为对应的私钥,第一签名验证密钥为对应的公钥;或者,当第一签名生成密钥与第一签名验证密钥之间为对称密钥时,第一签名生成密钥与第一签名验证密钥相同。
[0247] 204、第一设备接收第二设备发送的第二网络密钥。
[0248] 其中,第二网络密钥由第二设备生成,第二网络密钥用于第一设备生成共享密钥。
[0249] 需要说明的是,本发明实施例不限于上述第一设备根据第二网络密钥生成共享密钥,其他任何可以与第二设备进行通信的设备,均可以根据第二网络密钥生成共享密钥。
[0250] 对于本发明实施例,第二网络密钥可以为对称密钥,也可以为非对称密钥,本发明实施例不做限定。在本发明实施例中,当第二网络密钥为非对称密钥时,第二网络密钥可以为迪菲赫尔曼(英文全称:Diffie-Hellman,英文缩写:DH)公钥;也可以为基于椭圆曲线密码体制(英文全称:Elliptic Curve Cryptosystems,英文缩写:ECC)的迪菲赫尔曼(英文缩写:ECDH)公钥;还可以为ECDH公钥的X坐标或Y坐标。
[0251] 对于本发明实施例,第二网络密钥还可以为对密钥进行进一步编码得到的结果。例如,第二网络密钥为对DH密钥直接通过base64/32/16进行编码得到的结果,还可以为对DH密钥首先通过base64/32/16进行编码,然后通过ASN.1进行编码得到的结果,还可以为对ECDH密钥的X坐标直接通过base64/32/16进行编码得到的结果,还可以为对ECDH密钥的Y坐标首先通过base64/32/16进行编码,然后通过ASN.1进行编码得到的结果。
[0252] 205、第一设备利用第一签名生成密钥对第二网络密钥进行签名,得到第一签名信息。
[0253] 其中,第一签名生成密钥由第一设备生成,第一签名生成密钥用于第一设备进行签名,第一签名生成密钥与第一签名验证密钥之间互相对应。
[0254] 206、第一设备向第二设备发送加密后的第一连接信息。
[0255] 其中,第一连接信息包括第一签名信息及第二网络密钥,加密后的第一连接信息由第一设备利用第一密钥对第一连接信息进行加密得到,第一密钥由第一设备根据加密密钥得到。
[0256] 对于本发明实施例,第一设备可以直接将加密密钥作为第一密钥,并根据该第一密钥对第一连接信息进行加密,得到加密后的第一签名验证密钥;第一设备也可以首先对加密密钥进行转换,得到转换后的加密密钥,作为第一密钥,并根据该第一密钥对第一连接信息进行加密,得到加密后的第一签名验证密钥。
[0257] 对于本发明实施例,连接信息具体可以包括:网络标识信息、对端网络密钥信息、待配置网络密钥信息、配置设备标识信息及配置设备的签名信息。
[0258] 进一步地,通过第一设备向第二设备发送第一连接信息,以使得第二设备获取并向第一设备发送第一连接信息,第一连接信息用于第一设备确定第二设备是否合法。
[0259] 本发明实施例提供的配置的方法,首先配置设备与第二设备进行带外通信,获得第二设备带外密钥,并将第二设备带外密钥发送给第一设备,以使得第一设备根据第二设备带外密钥生成加密密钥,然后第一设备生成第一签名生成密钥及第一签名验证密钥,并接收第二设备发送的第二网络密钥,最后第一设备根据第一签名生成密钥,对第二网络密钥进行签名,得到第一签名信息,并向第二设备发送根据加密密钥加密后的第一连接信息,第一连接信息包括第一签名信息及第二网络密钥。与目前通过配置设备分别对第一设备及第二设备进行配置相比,本发明实施例通过配置设备与第二设备之间进行带外通信,获得第二设备带外密钥,并将该第二设备带外密钥发送给第一设备,能够使得第一设备与第二设备之间进行通信,从而可以实现第一设备对第二设备进行配置,即当配置设备与第二设备之间不能进行带内通信时,例如,某一设备不支持带内通信,或者配置设备与某一设备支持的带内通信模式不匹配,可以由第一设备对第二设备进行配置,进而可以提高设备进行配置的成功率。
[0260] 作为对图2所示方法的具体说明,本发明实施例提供另一种配置的方法,如图3所示,所述方法包括:
[0261] 301、第一设备接收配置设备发送的第二签名验证密钥。
[0262] 对于本发明实施例,第一设备支持带内通信,可以与配置设备之间进行带内通信,也可以与第二设备之间进行带内通信。在本发明实施例中,第一设备具体可以为:无线AP、智能终端、可穿戴设备或智能家居设备等。其中,智能终端包括手机、手机平板、平板及电脑等,可穿戴设备包括智能眼镜、智能手表、智能手环、智能戒指、智能项链、智能鞋子、智能帽子、智能头盔、智能衣服及智能护膝等,智能家居包括智能电视、智能音响、智能冰箱、智能洗衣机、智能空调、智能灯具、智能窗帘及智能报警器等。
[0263] 对于本发明实施例,配置设备用于对设备进行配置,或者协助设备对其他设备进行配置。在本发明实施例中,配置设备可以为外部配置设备,也可以为内部配置设备,本发明实施例不做限定。其中,外部配置设备可以为具有丰富用户界面(英文全称:User Interface,英文缩写:UI)及较强大的计算能力的无线设备,例如,外部配置设备可以为智能手机、智能平板、智能眼镜或智能手表等,也可以为安装有相关应用程序单元的其他设备;内部配置设备也可以为一套应用程序模块,集成在硬件单元内,并可以通过该硬件单元提供的UI与其他设备进行交互,例如,内部配置设备可以为集成在无线AP中的配置单元,该配置单元可以通过无线AP的输入单元实现配置过程中的输入,通过无线AP的输出单元实现配置过程中的输出。
[0264] 其中,第二签名验证密钥由配置设备生成,第二签名验证密钥用于对配置设备签名的信息进行解密。在本发明实施例中,配置设备生成一对签名密钥,分别为第二签名验证密钥及第二签名生成密钥。其中,第二签名验证密钥用于发送给其他设备,以使得其他设备可以通过该第二签名验证密钥,对第二设备签名的信息进行解密;第二签名生成密钥用于配置设备进行签名。
[0265] 对于本发明实施例,第二签名验证密钥可以用C-sign-key1来指代,第二签名生成密钥可以用C-sign-key2来指代。在本发明实施例中,A用于标识第一设备,B用于标识第二设备,C用于标识配置设备,sign用于表示签名(Signature),key用于表示密钥,key1用于表示验证密钥,key2用于表示生成密钥,net用于表示网络(network),pub用于表示公共(public),priv用于表示私有(private)。
[0266] 需要说明的是,本发明实施例不限于上述对各设备的标识方式,及对各密钥的标识方式,其他任何可以用于标识设备或密钥的方式,均适用本发明实施例。
[0267] 302、第一设备生成第一网络密钥。
[0268] 其中,第一网络密钥用于第二设备生成共享密钥。在本发明实施例中,第一网络密钥可以用A-net-pub来指代。
[0269] 需要说明的是,本发明实施例不限于上述第二设备根据第一网络密钥生成共享密钥,其他任何可以与第一设备进行通信的设备,均可以根据第一网络密钥生成共享密钥。
[0270] 对于本发明实施例,第一网络密钥可以为对称密钥,也可以为非对称密钥,本发明实施例不做限定。在本发明实施例中,当第一网络密钥为非对称密钥时,第一网络密钥可以为DH;也可以为ECDH公钥;还可以为ECDH公钥的X坐标或Y坐标。
[0271] 对于本发明实施例,第一网络密钥还可以为对密钥进行进一步编码得到的结果。例如,第一网络密钥为对DH密钥直接通过base64/32/16进行编码得到的结果,还可以为对DH密钥首先通过base64/32/16进行编码,然后通过ASN.1进行编码得到的结果,还可以为对ECDH密钥的X坐标直接通过base64/32/16进行编码得到的结果,还可以为对ECDH密钥的Y坐标首先通过base64/32/16进行编码,然后通过ASN.1进行编码得到的结果。
[0272] 303、第一设备将第一网络密钥发送给配置设备。
[0273] 进一步地,通过第一设备将第一网络密钥发送给配置设备,以使得配置设备至少根据第一网络密钥,生成并向第一设备发送第二连接信息。
[0274] 304、第一设备接收配置设备发送的第二连接信息。
[0275] 其中,第二连接信息包括第二签名信息及第一网络密钥,第二签名信息由配置设备利用第二签名生成密钥对第一网络密钥进行签名得到,第二签名生成密钥由配置设备生成,第二签名生成密钥用于配置设备进行签名,第二签名生成密钥与第二签名验证密钥之间互相对应。在本发明实施例中,第二连接信息可以用Connector2来指代,第二签名信息可以用signature2来指代。
[0276] 对于本发明实施例,当第二签名生成密钥与第二签名验证密钥之间为非对称密钥时,第二签名生成密钥为对应的私钥,第二签名验证密钥为对应的公钥;或者,当第二签名生成密钥与第二签名验证密钥之间为对称密钥时,第二签名生成密钥与第二签名验证密钥相同。
[0277] 对于本发明实施例,连接信息具体可以包括:网络标识、对端网络密钥、待配置网络密钥、配置设备标识及配置设备的签名。在本发明实施例中,连接信息的具体表现形式可以为:
[0278]
[0279] 其中,netID用于表示待配置设备被配置加入或被配置创建的网络的网络标识;PeerKey用于表示待配置设备被配置连接的的对端设备的网络密钥。在本发明实施例中,当PeerKey为Wildcard(通配符)时,表示待配置设备可以与网络中的所有设备连接。
[0280] 对于本发明实施例,配置设备构造的第二连接信息具体可以为:
[0281]
[0282] 其中,服务集标识符(英文全称:Service Set Identifier,英文缩写:SSID)为网络标识,当第一设备为无线AP时,netID为该无线AP的SSID;wildcard为通配符,当peerKey为wildcard时,表示第一设备可以与网络中的所有设备连接;C-id为配置设备的标识信息。
[0283] 对于本发明实施例,配置设备可以按照数字签名算法(英文全称:Digital Signature Algorithm,英文缩写:DSA)、椭圆曲线数字签名算法(英文全称:Elliptic Curve Digital Signature Algorithm,英文缩写:ECDSA)或RSA(Rivest-Shamir-Adleman)等签名算法,根据C-sign-key2,对A-net-pub进行签名,得到signature2。
[0284] 对于本发明实施例,配置设备还可以按照DSA、ECDSA或RSA等签名算法,根据C-sign-key2,对A-net-pub以及其他项,进行签名,得到signature2。其中,其他项可以为SSID、wildcard及C-id中的任一项或者任意组合。
[0285] 对于本发明实施例,配置设备还可以首先将C-sign-key2进行转换,然后按照DSA、ECDSA或RSA等签名算法,根据转换后的C-sign-key2,对A-net-pub,或者A-net-pub以及其他项,进行签名,得到signature2。
[0286] 对于本发明实施例,当配置设备通过与第二设备进行带外通信,获取到第二设备带外密钥时,可以构造对应的连接信息,并发送给第一设备,以使得第一设备获取第二设备带外密钥。此时,配置设备构造的连接信息具体可以为:
[0287]
[0288] 其中,Connector2’的peerKey为B-id-pub,即第二设备带外密钥。
[0289] 需要说明的是,本发明实施例不限于上述配置设备通过Connector2’,向第一设备发送第二设备带外密钥的方式,其他任何能够实现配置设备向第一设备发送第二设备带外密钥的方式,均适用本发明实施例。
[0290] 例如,配置设备可以直接对第二设备带外密钥进行加密,并将加密后的第二设备带外密钥发送给第一设备。具体地,配置设备可以在发送给第一设备的消息中,携带指示信息,该指示信息用于第一设备指示消息中携带有第二设备带外密钥,以使得第一设备接收第二设备带外密钥,并执行相应流程。
[0291] 305、第一设备接收配置设备发送的第二设备带外密钥。
[0292] 其中,第二设备带外密钥由配置设备通过与第二设备之间进行带外通信获得。在本发明实施例中,第二设备带外密钥可以用B-id-pub来指代。
[0293] 对于本发明实施例,带外通信是指通信距离相对较短的通信方式,带内通信是指通信距离相对较长的通信方式。具体地,带内通信可以为:蓝牙、蓝牙低功耗、Wi-Fi、ZigBee、UWB、WiGig等;带外通信可以为:RFID、NFC、红外、激光、超声波、电容屏传输、光学识别或声学识别等。
[0294] 例如,当配置设备与第二设备之间进行带外通信的方式为光学识别时,首先第二设备提供一个包含第二设备带外密钥的二维码;然后配置设备通过自身的摄像头模块扫描该二维码,并进行解码获得验证信息材料;最后配置设备根据该验证信息材料获取验证信息,并发送给第一设备,或者,配置设备直接将该验证信息材料发送给第一设备,以使得第一设备根据该验证信息材料获取验证信息。
[0295] 再例如,当配置设备与第二设备之间进行带外通信的方式为声学识别时,首先第二设备通过自身的声学模块播放验证信息材料,然后配置设备收听该验证信息材料;最后配置设备根据该验证信息材料获取验证信息,并发送给第一设备,或者,配置设备直接将该验证信息材料发送给第一设备,以使得第一设备根据该验证信息材料获取验证信息。
[0296] 对于本发明实施例,验证信息材料与验证信息之间,可以通过特定的编解码方式进行互相转换,也可以为相同的信息,本发明实施例不做限定。其中,当验证信息材料与验证信息之间需要进行互相转换时,可以直接通过base64/32/16编码方式,实现互相转换;也可以首先通过base64/32/16进行编码,然后通过ASN.1编码方式,实现互相转换。
[0297] 对于本发明实施例,第二设备带外密钥可以为DH公钥,也可以为ECDH公钥,还可以为ECDH公钥的X坐标或Y坐标,还可以为ECDH公钥的X坐标或Y坐标。
[0298] 对于本发明实施例,第二设备带外密钥还可以为对公钥进行进一步编码得到的结果。例如,第二设备带外密钥可以为对DH公钥直接通过base64/32/16进行编码得到的结果,还可以为对DH公钥首先通过base64/32/16进行编码,然后通过ASN.1进行编码得到的结果,还可以为对ECDH公钥的X坐标直接通过base64/32/16进行编码得到的结果,还可以为对ECDH公钥的Y坐标首先通过base64/32/16进行编码,然后通过ASN.1进行编码得到的结果。
[0299] 可选地,步骤305之后,还可以包括:第一设备确定第二设备带外密钥是否合法。
[0300] 具体地,第一设备确定第二设备是否存储有第二设备带外密钥对应的私钥,若第二设备存储有第二设备带外密钥对应的私钥,则第一设备确定第二设备合法第二设备带外密钥对应的私钥与第二设备带外密钥之间互相对应。在本发明实施例中,第二设备带外密钥对应的私钥可以用B-id-priv来指代。
[0301] 对于本发明实施例,当第二设备带外密钥对应的私钥与第二设备带外密钥之间为非对称密钥时,第二设备带外密钥对应的私钥为私钥,第二设备带外密钥为公钥;或者,当第二设备带外密钥对应的私钥与第二设备带外密钥之间为对称密钥时,第二设备带外密钥对应的私钥与第二设备带外密钥相同。
[0302] 306、第一设备根据第二设备带外密钥,生成加密密钥。
[0303] 对于本发明实施例,第二设备带外密钥可以为对称密钥,也可以为非对称密钥,本发明实施例不做限定。
[0304] 可选地,当第二设备带外密钥为对称密钥时,第一设备可以直接将该第二设备带外密钥,作为加密密钥。
[0305] 可替换地,当第二设备带外密钥为非对称密钥时,第一设备首先生成一对非对称的临时密钥,分别为第一设备临时私钥及第一设备临时公钥,然后根据第一设备临时私钥及第二设备带外密钥,生成加密密钥。
[0306] 对于本发明实施例,第一设备生成第一设备临时私钥及第一设备临时公钥后,可以将第一设备临时公钥发送给第二设备,以使得第二设备获取第一设备临时公钥,并根据该第一设备临时公钥,及本地存储的第二设备带外密钥对应的私钥,生成第二加密密钥。其中,第二加密密钥用于对第一设备加密后的信息进行解密。
[0307] 需要说明的是,本领域技术人员能够理解,第一设备根据第一设备临时私钥及第二设备带外密钥生成的加密密钥,与第二设备根据第一设备临时公钥及第二设备带外密钥对应的私钥生成的第二加密密钥相同。
[0308] 对于本发明实施例,加密密钥用于对第一设备向第二设备发送的信息进行加密。
[0309] 具体地,第一设备可以直接根据加密密钥,对需要发送给第二设备的信息进行加密;第一设备也可以首先对加密密钥进行转换,得到转换后的加密密钥,然后根据转换后的加密密钥,对需要发送给第二设备的信息进行加密。
[0310] 对于本发明实施例,第一设备对加密密钥进行转换的方式,可以为直接通过base64/32/16编码方式,对加密密钥进行转换,得到转换后的加密密钥;也可以首先通过base64/32/16进行编码,然后通过ASN.1编码方式,对加密密钥进行转换,得到转换后的加密密钥。
[0311] 对于本发明实施例,当第一设备根据转换后的加密密钥,对需要发送给第二设备的信息进行加密时,第二设备按照转换后的第二加密密钥,对第一设备加密后的信息进行解密。具体地,第二设备首先按照与第一设备同样的转换方式,将第二加密密钥进行转换,得到转换后的第二加密密钥,然后按照转换后的第二加密密钥,对第一设备加密后的信息进行解密。
[0312] 307、第一设备生成第一签名生成密钥及第一签名验证密钥。
[0313] 其中,第一签名生成密钥及第一签名验证密钥由第一设备生成,第一签名生成密钥用于第一设备进行签名,第一签名验证密钥用于对第一设备签名的信息进行解密,第一签名生成密钥与第一签名验证密钥之间互相对应。
[0314] 可选地,步骤307之后,还可以包括:第一设备向第二设备发送加密后的第一签名验证密钥。其中,加密后的第一签名验证密钥由第一设备利用第三密钥对第一签名验证密钥进行加密得到,第三密钥由第一设备根据加密密钥得到。
[0315] 对于本发明实施例,第一设备可以直接将加密密钥作为第三密钥,并根据该第三密钥对第一签名验证密钥进行加密,得到加密后的第一签名验证密钥;第一设备也可以首先对加密密钥进行转换,得到转换后的加密密钥,作为第三密钥,并根据该第三密钥对第一签名验证密钥进行加密,得到加密后的第一签名验证密钥。
[0316] 对于本发明实施例,第一设备生成一对签名密钥,分别为第一签名验证密钥及第一签名生成密钥。其中,第一签名验证密钥用于发送给其他设备,以使得其他设备可以通过该第一签名验证密钥,对第一设备签名的信息进行解密;第一签名生成密钥用于第一设备进行签名。在本发明实施例中,第一签名验证密钥可以用A-sign-key1来指代,第一签名生成密钥可以用A-sign-key2来指代。
[0317] 对于本发明实施例,当第一签名生成密钥与第一签名验证密钥之间为非对称密钥时,第一签名生成密钥为对应的私钥,第一签名验证密钥为对应的公钥;或者,当第一签名生成密钥与第一签名验证密钥之间为对称密钥时,第一签名生成密钥与第一签名验证密钥相同。
[0318] 可选地,步骤307之后,还可以包括:第一设备向第二设备发送加密后的第二签名验证密钥。其中,加密后的第二签名验证密钥由第一设备利用第二密钥对第二签名验证密钥进行加密得到,第二密钥由第一设备根据加密密钥得到。
[0319] 对于本发明实施例,第一设备可以直接将加密密钥作为第二密钥,并根据该第二密钥对第二签名验证密钥进行加密,得到加密后的第一签名验证密钥;第一设备也可以首先对加密密钥进行转换,得到转换后的加密密钥,作为第二密钥,并根据该第二密钥对第二签名验证密钥进行加密,得到加密后的第一签名验证密钥。
[0320] 需要说明的是,第一设备根据加密密钥得到的第二密钥,与第一设备根据加密密钥得到的第三密钥之间,可以相同,也可以不同,本发明实施例不做限定。
[0321] 进一步地,通过第一设备向第二设备发送第二签名验证密钥,以使得第二设备接收第二签名验证密钥,并根据第二签名验证密钥,以及第二消息携带的第二签名信息,确定第一设备合法。
[0322] 308、第一设备接收第二设备发送的第二网络密钥。
[0323] 其中,第二网络密钥由第二设备生成,第二网络密钥用于第一设备生成共享密钥。在本发明实施例中,第二网络密钥可以用B-net-pub来指代。
[0324] 需要说明的是,本发明实施例不限于上述第一设备根据第二网络密钥生成共享密钥,其他任何可以与第二设备进行通信的设备,均可以根据第二网络密钥生成共享密钥。
[0325] 对于本发明实施例,第二网络密钥可以为对称密钥,也可以为非对称密钥,本发明实施例不做限定。在本发明实施例中,当第二网络密钥为非对称密钥时,第二网络密钥可以为DH公钥;也可以为ECDH公钥;还可以为ECDH公钥的X坐标或Y坐标。
[0326] 对于本发明实施例,第二网络密钥还可以为对密钥进行进一步编码得到的结果。例如,第二网络密钥为对DH密钥直接通过base64/32/16进行编码得到的结果,还可以为对DH密钥首先通过base64/32/16进行编码,然后通过ASN.1进行编码得到的结果,还可以为对ECDH密钥的X坐标直接通过base64/32/16进行编码得到的结果,还可以为对ECDH密钥的Y坐标首先通过base64/32/16进行编码,然后通过ASN.1进行编码得到的结果。
[0327] 309、第一设备利用第一签名生成密钥对第二网络密钥进行签名,得到第一签名信息。
[0328] 其中,第一签名生成密钥由第一设备生成,第一签名生成密钥用于第一设备进行签名,第一签名生成密钥与第一签名验证密钥之间互相对应。
[0329] 对于本发明实施例,第一签名信息可以用signature1来指代。具体地,配置设备可以按照DSA、ECDSA或RSA等签名算法,根据A-sign-key2,对B-net-pub进行签名,得到signature1。
[0330] 310、第一设备向第二设备发送加密后的第一连接信息。
[0331] 其中,第一连接信息包括第一签名信息及第二网络密钥,加密后的第一连接信息由第一设备利用第一密钥对第一连接信息进行加密得到,第一密钥由第一设备根据加密密钥得到。在本发明实施例中,第一连接信息可以用Connector1来指代。
[0332] 对于本发明实施例,第一设备可以直接将加密密钥作为第一密钥,并根据该第一密钥对第一连接信息进行加密,得到加密后的第一签名验证密钥;第一设备也可以首先对加密密钥进行转换,得到转换后的加密密钥,作为第一密钥,并根据该第一密钥对第一连接信息进行加密,得到加密后的第一签名验证密钥。
[0333] 需要说明的是,第一设备根据加密密钥得到的第一密钥,与第一设备根据加密密钥得到的第三密钥之间,或者与第一设备根据加密密钥得到的第二密钥之间,可以相同,也可以不同,本发明实施例不做限定。
[0334] 进一步地,通过第一设备向第二设备发送加密后的第一连接信息,以使得第二设备获取并向第一设备发送第一连接信息。其中,第一连接信息用于第一设备确定第二设备是否合法。
[0335] 对于本发明实施例,第一设备构造的第一连接信息具体可以为:
[0336]
[0337] 进一步地,通过第一设备向第二设备发送第一连接信息,以使得第二设备获取第一连接信息中的第一网络密钥,并根据第一网络密钥生成第二共享密钥。其中,第二共享密钥为第二设备与第一设备之间进行握手认证的预先密钥。
[0338] 可选地,第二设备可以按照DH密钥生成算法,根据第二网络密钥对应的私钥,以及第一网络密钥,生成DH共享密钥,并将DH共享密钥,或者由DH共享密钥衍生得到的密钥,作为第二共享密钥。在本发明实施例中,第二共享密钥可以为DH(B-net-priv,A-net-pub)。其中,第二网络密钥对应的私钥可以用B-net-priv来指代。
[0339] 可替换地,第二设备还可以按照ECDH密钥生成算法,根据第二网络密钥对应的私钥,以及第一网络密钥,生成ECDH共享密钥,并将ECDH共享密钥,或者由ECDH共享密钥衍生得到的密钥,作为第二共享密钥。在本发明实施例中,第二共享密钥可以为ECDH(B-net-priv,A-net-pub)。
[0340] 311、第一设备接收第二设备发送的第一消息。
[0341] 其中,第一消息携带有第一连接信息。在本发明实施例中,第一消息可以用M1来指代。
[0342] 对于本发明实施例,第二设备将第一连接信息携带在第一消息中,发送给第一设备,以使得第一设备根据第一消息携带的第一签名信息,确定第二设备是否合法。
[0343] 312、第一设备根据第一消息携带的第一签名信息,确定第二设备合法。
[0344] 可选地,步骤312可以为,第一设备根据第一消息携带的第一签名信息,确定签名得到第一签名信息的设备为可信设备。其中,可信设备包括第一设备或者配置设备。
[0345] 可替换地,步骤312还可以为,第一设备首先利用第一签名验证密钥,对第一签名信息进行解密,得到解密结果,然后将解密结果,与第一连接信息包括的第二网络密钥进行比对,若解密结果与第二网络密钥匹配,则第一设备确定第二设备合法。
[0346] 对于本发明实施例,解密结果与第二网络密钥匹配,是指解密结果与第二网络密钥相同;或者,对解密结果进行转换后,与第二网络密钥相同;或者,对第二网络密钥进行转换后,与解密结果相同;或者,转换后的解密结果,与转换后的第二网络密钥相同。
[0347] 对于本发明实施例,对解密结果或者第二网络密钥转换的方式,可以为直接通过base64/32/16编码方式,对解密结果或者第二网络密钥进行转换;也可以为首先通过base64/32/16进行编码,然后通过ASN.1编码方式,对解密结果或者第二网络密钥进行转换。
[0348] 对于本发明实施例,第一签名信息还可以由第一设备根据第一签名生成密钥,对第一连接信息中的待配置网络密钥及其他项,进行签名得到。其中,其他项为第一连接信息中的网络标识、对端网络密钥及配置设备标识中的任一项或者任意组合。此时,解密结果与第二网络密钥匹配,是指第二网络密钥及其他项,与解密结果相同;或者,对第二网络密钥及其他项进行转换后,与解密结果相同;或者,对解密结果进行转换后,与第二网络密钥及其他项相同;或者,转换后的第二网络密钥及其他项,与转换后的解密结果相同。
[0349] 例如,当signature1由第一设备根据A-sign-key2,对B-net-pub、SSID、A-net-pub及A-id进行签名得到时,第一设备根据A-sign-key1,对signature1进行解密,得到解密结果,该解密结果与B-net-pub、SSID、A-net-pub及A-id相同;或者,转换后的解密结果,与B-net-pub、SSID、A-net-pub及A-id相同;或者,解密结果,与转换后的B-net-pub、SSID、A-net-pub及A-id相同;或者,转换后的解密结果,与转换后的B-net-pub、SSID、A-net-pub及A-id相同。具体地,若转换方式为哈希转换,当signature1由第一设备根据A-sign-key2,对B-net-pub、SSID、A-net-pub及A-id进行哈希后进行签名得到时,第一设备根据A-sign-key1,对signature1进行解密,得到解密结果,该解密结果与对B-net-pub、SSID、A-net-pub及A-id进行哈希后的结果相同。
[0350] 对于本发明实施例,第一设备接收到的第一消息携带的第一连接信息具体可以为:
[0351]
[0352] 可选地,第一设备验证Connector1的具体过程可以为:首先,第一设备验证Connector1中的netID,是否与Connector2中的netID匹配,若匹配则继续验证Connector1,若不匹配则放弃验证,在本发明实施例中,Connector1中的netID与Connector2中的netID均为SSID,二者匹配;然后,第一设备验证Connector1中的peerKey是否为自身生成的网络密钥或wildcard,若匹配则继续验证Connector1,若不匹配则放弃验证,在本发明实施例中,Connector1中的peerKey为自身生成的网络密钥,故而peerKey匹配;其次,第一设备验证Connector1中的introducer是否为信任设备,若是则继续验证Connector1,若不是则放弃验证,在本发明实施例中,Connector1中的introducer为A-id,即自身的标识信息,故而为信任设备;最后,第一设备根据A-sign-key1,验证signature1是否合法,若合法则确定Connector1合法,若不合法则放弃验证,在本发明实施例中,signature1由第一设备根据A-sign-key2进行签名得到,故而signature1合法,因此,第一设备确定Connector1合法,即第一设备确定第二设备合法。
[0353] 313、若确定第二设备合法,则第一设备至少根据第二网络密钥,生成第一共享密钥。
[0354] 其中,第一共享密钥为第一设备与第二设备之间的预先密钥,预先密钥用于第一设备与第二设备之间进行握手认证。
[0355] 对于本发明实施例,第一设备可以首先根据预先密钥,生成预共享密钥(英文全称:Pre-Shared Key,英文缩写:PSK),或者成对主密钥(英文全称:Pairwise Master Key,英文缩写:PMK),然后根据该PSK或PMK,与第二设备之间进行握手认证。
[0356] 可选地,第一设备可以按照DH密钥生成算法,根据第一网络密钥对应的私钥,以及第二网络密钥,生成DH共享密钥,并将DH共享密钥,或者由DH共享密钥衍生得到的密钥,作为第一共享密钥。在本发明实施例中,第一共享密钥可以为DH(A-net-priv,B-net-pub)。其中,第一网络密钥对应的私钥可以用A-net-priv来指代。
[0357] 可替换地,第一设备还可以按照ECDH密钥生成算法,根据第一网络密钥对应的私钥,以及第二网络密钥,生成ECDH共享密钥,并将ECDH共享密钥,或者由ECDH共享密钥衍生得到的密钥,作为第一共享密钥。在本发明实施例中,第一共享密钥可以为ECDH(A-net-priv,B-net-pub)。
[0358] 需要说明的是,本领域技术人员能够理解,第一设备根据第一网络密钥对应的私钥以及第二网络密钥生成的第一共享密钥,与第二设备根据第二网络密钥对应的私钥以及第一网络密钥生成的第二共享密钥相同。
[0359] 对于本发明实施例,通过第一设备生成的第一共享密钥,与第二设备生成的第二共享密钥相同,能够实现第一设备与第二设备之间的握手认证。
[0360] 314、第一设备发送第二消息。
[0361] 其中,第二消息携带有第二连接信息,第二连接信息包括第二签名信息。在本发明实施例中,第二消息可以用M2来指代。
[0362] 对于本发明实施例,步骤314可以为:第一设备发送加密后的第二消息。其中,加密后的第二消息由第一设备利用第四密钥对第二消息进行加密得到,第四密钥由第一设备根据加密密钥得到。
[0363] 对于本发明实施例,第一设备可以直接将加密密钥作为第四密钥,并根据该第四密钥对第二消息进行加密,得到加密后的第二消息;第一设备也可以首先对加密密钥进行转换,得到转换后的加密密钥,作为第四密钥,并根据该第四密钥对第二消息进行加密,得到加密后的第二消息。
[0364] 需要说明的是,第一设备根据加密密钥得到的第四密钥,与第一设备根据加密密钥得到的第三密钥之间,或者与第一设备根据加密密钥得到的第二密钥之间,或者与第一设备根据加密密钥得到的第一密钥之间,可以相同,也可以不同,本发明实施例不做限定。
[0365] 进一步地,通过第一设备向第二设备发送第二消息,以使得第二设备接收第一设备发送的第二消息,并根据第二消息携带的第二签名信息,确定第一设备是否合法。
[0366] 对于本发明实施例,第二设备接收到的第二消息携带的第二连接信息具体可以为:
[0367]
[0368] 可选地,第二设备验证Connector2的具体过程可以为:首先,第二设备验证Connector2中的netID,是否与Connector1中的netID匹配,若匹配则继续验证Connector1,若不匹配则放弃验证,在本发明实施例中,Connector2中的netID与Connector1中的netID均为SSID,二者匹配;然后,第二设备验证Connector2中的peerKey是否为自身生成的网络密钥或wildcard,若匹配则继续验证Connector2,若不匹配则放弃验证,在本发明实施例中,Connector2中的peerKey为wildcard,故而peerKey匹配;其次,第二设备验证Connector2中的introducer是否为信任设备,若是则继续验证Connector2,若不是则放弃验证,在本发明实施例中,Connector2中的introducer为C-id,即配置设备的标识信息,故而为信任设备;最后,第二设备根据C-sign-key1,验证signature2是否合法,若合法则确定Connector2合法,若不合法则放弃验证,在本发明实施例中,signature2由配置设备根据C-sign-key2进行签名得到,故而signature2合法,因此,第二设备确定Connector2合法,即第二设备确定第一设备合法。
[0369] 对于本发明实施例,第二设备根据C-sign-key1验证signature2是否合法具体可以为:第二设备首先根据第二签名验证密钥,对第二签名信息进行解密,得到解密结果,然后将解密结果,与第二连接信息包括的第一网络密钥进行比对,若解密结果与第一网络密钥匹配,则第二设备确定第一设备合法。
[0370] 对于本发明实施例,解密结果与第一网络密钥匹配,是指解密结果与第一网络密钥相同;或者,对解密结果进行转换后,与第一网络密钥相同;或者,对第一网络密钥进行转换后,与解密结果相同;或者,转换后的解密结果,与转换后的第一网络密钥相同。
[0371] 对于本发明实施例,对解密结果或者第一网络密钥转换的方式,可以为直接通过base64/32/16编码方式,对解密结果或者第一网络密钥进行转换;也可以为首先通过base64/32/16进行编码,然后通过ASN.1编码方式,对解密结果或者第一网络密钥进行转换。
[0372] 对于本发明实施例,第二签名信息还可以由配置设备根据第二签名生成密钥,对第二连接信息中的待配置网络密钥及其他项,进行签名得到。其中,其他项为第二连接信息中的网络标识、对端网络密钥及配置设备标识中的任一项或者任意组合。此时,解密结果与第一网络密钥匹配,是指第一网络密钥及其他项,与解密结果相同;或者,对第一网络密钥及其他项进行转换后,与解密结果相同;或者,对解密结果进行转换后,与第一网络密钥及其他项相同;或者,转换后的第一网络密钥及其他项,与转换后的解密结果相同。
[0373] 例如,当signature2由配置设备根据C-sign-key2,对A-net-pub、SSID、wildcard及C-id进行签名得到时,第二设备根据C-sign-key1,对signature2进行解密,得到解密结果,该解密结果与A-net-pub、SSID、wildcard及C-id相同;或者,转换后的解密结果,与A-net-pub、SSID、wildcard及C-id相同;或者,解密结果,与转换后的A-net-pub、SSID、wildcard及C-id相同;或者,转换后的解密结果,与转换后的A-net-pub、SSID、wildcard及C-id相同。具体地,若转换方式为哈希转换,当signature2由配置设备根据C-sign-key2,对A-net-pub、SSID、wildcard及A-id进行哈希后进行签名得到时,第二设备根据C-sign-key1,对signature2进行解密,得到解密结果,该解密结果与对A-net-pub、SSID、wildcard及A-id进行哈希后的结果相同。
[0374] 对于本发明实施例,若第二设备确定第一设备合法,则第二设备获取第二连接信息中的第一网络密钥,并根据第一网络密钥生成第二共享密钥。
[0375] 对于本发明实施例,当第一设备需要对第一网络密钥进行更新时,可以执行下述步骤315至318。
[0376] 315、第一设备生成第三网络密钥。
[0377] 其中,第三网络密钥用于第二设备生成共享密钥。在本发明实施例中,第三网络密钥可以用A-net-pub’来指代。
[0378] 需要说明的是,本发明实施例不限于上述第二设备根据第三网络密钥生成共享密钥,其他任何可以与第一设备进行通信的设备,均可以根据第一网络密钥生成共享密钥。
[0379] 对于本发明实施例,第三网络密钥可以为对称密钥,也可以为非对称密钥,本发明实施例不做限定。在本发明实施例中,当第三网络密钥为非对称密钥时,第三网络密钥可以为DH公钥;也可以为ECDH公钥;还可以为ECDH公钥的X坐标或Y坐标。
[0380] 对于本发明实施例,第二网络密钥还可以为对密钥进行进一步编码得到的结果。例如,第二网络密钥为对DH密钥直接通过base64/32/16进行编码得到的结果,还可以为对DH密钥首先通过base64/32/16进行编码,然后通过ASN.1进行编码得到的结果,还可以为对ECDH密钥的X坐标直接通过base64/32/16进行编码得到的结果,还可以为对ECDH密钥的Y坐标首先通过base64/32/16进行编码,然后通过ASN.1进行编码得到的结果。
[0381] 对于本发明实施例,第三网络密钥为第一设备重新生成的网络密钥。在本发明实施例中,第一设备完成对第二设备的配置后,可以按照预置周期更新自身的网络密钥,并将更新后的网络密钥发送给第二设备,从而可以提高第一设备与第二设备之间的共享密钥的安全性。
[0382] 对于本发明实施例,步骤315之后,还可以包括:第一设备根据第二网络密钥,生成新的第一共享密钥。其中,新的第一共享密钥为第一设备与第二设备之间再次进行握手认证的预先密钥。
[0383] 可选地,第一设备可以按照DH密钥生成算法,根据第三网络密钥对应的私钥,以及第二网络密钥,生成DH共享密钥,并将DH共享密钥,或者由DH共享密钥衍生得到的密钥,作为新的第一共享密钥。在本发明实施例中,新的第一共享密钥可以为DH(A-net-priv’,B-net-pub)。
[0384] 可替换地,第一设备还可以按照ECDH密钥生成算法,根据第三网络密钥对应的私钥,以及第二网络密钥,生成ECDH共享密钥,并将ECDH共享密钥,或者由ECDH共享密钥衍生得到的密钥,作为新的第一共享密钥。在本发明实施例中,新的第一共享密钥可以为ECDH(A-net-priv’,B-net-pub)。
[0385] 316、第一设备将第三网络密钥发送给配置设备。
[0386] 进一步地,通过第一设备将第三网络密钥发送给配置设备,以使得配置设备根据第三网络密钥重新构造第三连接信息,并将第三连接信息发送给第一设备。
[0387] 317、第一设备接收配置设备发送的第三连接信息。
[0388] 其中,第三连接信息包括第三签名信息及第三网络密钥,第三签名信息由配置设备利用第二签名生成密钥对第三网络密钥进行签名得到。在本发明实施例中,第三连接信息可以用Connector3来指代,第三签名信息可以用signature3来指代,第三网络密钥可以用A-net-pub’来指代。
[0389] 具体地,配置设备可以按照DSA、ECDSA或RSA等签名算法,根据C-sign-key2,对A-net-pub’进行签名,得到signature3。
[0390] 对于本发明实施例,配置设备构造的第三连接信息具体可以为:
[0391]
[0392] 其中,Connector3中的netKey为A-net-pub’,Connector3中的signature3为对A-net-pub’进行签名得到的。
[0393] 318、第一设备向第二设备发送第三消息。
[0394] 其中,第三消息携带有第三连接信息。在本发明实施例中,第三消息可以用M3来指代。
[0395] 进一步地,通过第一设备向第二设备发送第三消息,以使得第二设备获取第三网络密钥,并至少根据第三网络密钥生成新的第二共享密钥,新的第二共享密钥为第一设备与第二设备之间的预先密钥,预先密钥用于第一设备与第二设备之间进行握手认证。
[0396] 对于本发明实施例,第二设备接收到的第三消息携带的第三连接信息具体可以为:
[0397]
[0398]
[0399] 可选地,第二设备验证Connector3的具体过程可以为:首先,第二设备验证Connector3中的netID,是否与Connector1中的netID匹配,若匹配则继续验证Connector1,若不匹配则放弃验证,在本发明实施例中,Connector3中的netID与Connector1中的netID均为SSID,二者匹配;然后,第二设备验证Connector3中的peerKey是否为自身生成的网络密钥或wildcard,若匹配则继续验证Connector3,若不匹配则放弃验证,在本发明实施例中,Connector3中的peerKey为wildcard,故而peerKey匹配;其次,第二设备验证Connector3中的introducer是否为信任设备,若是则继续验证Connector3,若不是则放弃验证,在本发明实施例中,Connector3中的introducer为C-id,即配置设备的标识信息,故而为信任设备;最后,第二设备根据C-sign-key1,验证signature3是否合法,若合法则确定Connector3合法,若不合法则放弃验证,在本发明实施例中,signature3由配置设备根据C-sign-key2进行签名得到,故而signature3合法,因此,第二设备确定Connector3合法,即第二设备确定第一设备合法。
[0400] 对于本发明实施例,若第二设备确定Connector3合法,并且Connector3中的netKey与Connector1中的netKey不同,则第二设备认为Connector3中的netKey为第一设备更新后的网络密钥,并且根据A-net-pub’,重新生成共享密钥。
[0401] 对于本发明实施例,第二设备根据第三网络密钥生成新的第二共享密钥。其中,新的第二共享密钥为第二设备与第一设备之间再次进行握手认证的预先密钥。
[0402] 可选地,第二设备可以按照DH密钥生成算法,根据第二网络密钥对应的私钥,以及第三网络密钥,生成DH共享密钥,并将DH共享密钥,或者由DH共享密钥衍生得到的密钥,作为新的第二共享密钥。在本发明实施例中,新的第二共享密钥可以为DH(B-net-priv,A-net-pub’)。
[0403] 可替换地,第二设备还可以按照ECDH密钥生成算法,根据第二网络密钥对应的私钥,以及第三网络密钥,生成ECDH共享密钥,并将ECDH共享密钥,或者由ECDH共享密钥衍生得到的密钥,作为新的第二共享密钥。在本发明实施例中,新的第二共享密钥可以为ECDH(B-net-priv,A-net-pub’)。
[0404] 需要说明的是,本领域技术人员能够理解,第一设备根据第三网络密钥对应的私钥以及第二网络密钥生成的新的第一共享密钥,与第二设备根据第二网络密钥对应的私钥以及第三网络密钥生成的新的第二共享密钥相同。
[0405] 对于本发明实施例,通过第一设备生成的新的第一共享密钥,与第二设备生成的新的第二共享密钥相同,能够实现第一设备与第二设备之间的再次握手认证。
[0406] 需要说明的是,在本发明实施例中,步骤315至步骤318为可选步骤。
[0407] 本发明实施例提供的配置的方法,首先配置设备与第二设备进行带外通信,获得第二设备带外密钥,并将第二设备带外密钥发送给第一设备,以使得第一设备根据第二设备带外密钥生成加密密钥,然后第一设备生成第一签名生成密钥及第一签名验证密钥,并接收第二设备发送的第二网络密钥,最后第一设备根据第一签名生成密钥,对第二网络密钥进行签名,得到第一签名信息,并向第二设备发送根据加密密钥加密后的第一连接信息,第一连接信息包括第一签名信息及第二网络密钥。与目前通过配置设备分别对第一设备及第二设备进行配置相比,本发明实施例通过配置设备与第二设备之间进行带外通信,获得第二设备带外密钥,并将该第二设备带外密钥发送给第一设备,能够使得第一设备与第二设备之间进行通信,从而可以实现第一设备对第二设备进行配置,即当配置设备与第二设备之间不能进行带内通信时,例如,某一设备不支持带内通信,或者配置设备与某一设备支持的带内通信模式不匹配,可以由第一设备对第二设备进行配置,进而可以提高设备进行配置的成功率。
[0408] 本发明实施例提供的技术方案,应用于配置系统中,本发明的系统架构如图4所示,该配置系统包括第一设备、第二设备、配置设备及第三设备,配置设备与第一设备之间进行带内通信,配置设备与第二设备之间进行带外通信,配置设备与第三设备之间进行带内通信,第一设备已配置第二设备。
[0409] 本发明实施例提供一种配置的方法,能够提高设备进行配置的成功率,如图5所示,所述方法包括:
[0410] 501、第三设备接收配置设备发送的第一签名验证密钥及第一网络密钥。
[0411] 对于本发明实施例,第三设备支持带内通信,可以与配置设备之间进行带内通信,也可以与第二设备之间进行带内通信。在本发明实施例中,第三设备具体可以为:无线AP、智能终端、可穿戴设备或智能家居设备等。其中,智能终端包括手机、手机平板、平板及电脑等,可穿戴设备包括智能眼镜、智能手表、智能手环、智能戒指、智能项链、智能鞋子、智能帽子、智能头盔、智能衣服及智能护膝等,智能家居包括智能电视、智能音响、智能冰箱、智能洗衣机、智能空调、智能灯具、智能窗帘及智能报警器等。
[0412] 对于本发明实施例,配置设备用于对设备进行配置,或者协助设备对其他设备进行配置。在本发明实施例中,配置设备可以为外部配置设备,也可以为内部配置设备,本发明实施例不做限定。其中,外部配置设备可以为具有丰富UI及较强大的计算能力的无线设备,例如,外部配置设备可以为智能手机、智能平板、智能眼镜或智能手表等,也可以为安装有相关应用程序单元的其他设备;内部配置设备也可以为一套应用程序模块,集成在硬件单元内,并可以通过该硬件单元提供的UI与其他设备进行交互,例如,内部配置设备可以为集成在无线AP中的配置单元,该配置单元可以通过无线AP的输入单元实现配置过程中的输入,通过无线AP的输出单元实现配置过程中的输出。
[0413] 对于本发明实施例,第一设备已配置第二设备。具体地,首先配置设备通过与第二设备之间进行带外通信,获取第二设备带外密钥,并发送给第一设备;然后第一设备与第二设备之间进行带内通信,实现第一设备配置第二设备。
[0414] 对于本发明实施例,带外通信是指通信距离相对较短的通信方式,带内通信是指通信距离相对较长的通信方式。具体地,带内通信可以为:蓝牙、蓝牙低功耗、Wi-Fi、ZigBee、UWB、WiGig等;带外通信可以为:RFID、NFC、红外、激光、超声波、电容屏短距传输、光学识别或声学识别等。
[0415] 例如,当配置设备与第二设备之间进行带外通信的方式为光学识别时,首先第二设备提供一个包含第二设备带外密钥的二维码;然后配置设备通过自身的摄像头模块扫描该二维码,并进行解码获得验证信息材料;最后配置设备根据该验证信息材料获取验证信息,并发送给第一设备,或者,配置设备直接将该验证信息材料发送给第一设备,以使得第一设备根据该验证信息材料获取验证信息。
[0416] 再例如,当配置设备与第二设备之间进行带外通信的方式为声学识别时,首先第二设备通过自身的声学模块播放验证信息材料,然后配置设备收听该验证信息材料;最后配置设备根据该验证信息材料获取验证信息,并发送给第一设备,或者,配置设备直接将该验证信息材料发送给第一设备,以使得第一设备根据该验证信息材料获取验证信息。
[0417] 需要说明的是,本发明实施例不限于上述配置设备与第二设备之间进行带外通信,其他任何可以实现配置设备与第二设备之间进行通信的方式,均适用本发明实施例,例如,配置设备与第二设备之间可以进行带内通信。
[0418] 对于本发明实施例,验证信息材料与验证信息之间,可以通过特定的编解码方式进行互相转换,也可以为相同的信息,本发明实施例不做限定。其中,当验证信息材料与验证信息之间需要进行互相转换时,可以直接通过base64/32/16编码方式,实现互相转换;也可以首先通过base64/32/16进行编码,然后通过ASN.1编码方式,实现互相转换。
[0419] 对于本发明实施例,第一签名验证密钥由第一设备生成并发送给配置设备,第一签名验证密钥用于对第一设备签名的信息进行解密,第一网络密钥由第一设备生成并发送给所述配置设备,第一网络密钥用于第二设备生成共享密钥。
[0420] 需要说明的是,本发明实施例不限于上述第二设备根据第一网络密钥生成共享密钥,其他任何可以与第一设备进行通信的设备,均可以根据第一网络密钥生成共享密钥。
[0421] 对于本发明实施例,第一网络密钥可以为对称密钥,也可以为非对称密钥,本发明实施例不做限定。在本发明实施例中,当第一网络密钥为非对称密钥时,第二网络密钥可以为DH公钥;也可以为ECDH公钥;还可以为ECDH公钥的X坐标或Y坐标。
[0422] 对于本发明实施例,第二网络密钥还可以为对密钥进行进一步编码得到的结果。例如,第二网络密钥为对DH密钥直接通过base64/32/16进行编码得到的结果,还可以为对DH密钥首先通过base64/32/16进行编码,然后通过ASN.1进行编码得到的结果,还可以为对ECDH密钥的X坐标直接通过base64/32/16进行编码得到的结果,还可以为对ECDH密钥的Y坐标首先通过base64/32/16进行编码,然后通过ASN.1进行编码得到的结果。
[0423] 502、第三设备接收第二设备发送的第一消息。
[0424] 其中,第一消息携带有第一连接信息,第一连接信息包括第一签名信息及对端网络密钥,第一签名信息由第一设备利用第一签名生成密钥对第二网络密钥进行签名得到,第一签名生成密钥由第一设备生成,第一签名生成密钥用于第一设备进行签名,第一签名生成密钥与第一签名验证密钥之间互相对应,第二网络密钥由第二设备生成,第二网络密钥用于第一设备或第三设备生成共享密钥。
[0425] 需要说明的是,本发明实施例不限于上述第一设备或第三设备根据第二网络密钥生成共享密钥,其他任何可以与第二设备进行通信的设备,均可以根据第二网络密钥生成共享密钥。
[0426] 503、第三设备根据第一网络密钥,确定对端网络密钥是否合法。
[0427] 其中,第四网络密钥由第三设备生成。
[0428] 具体地,第三设备可以确定对端网络密钥是否为信任网络密钥,从而确定对端网络密钥是否合法。其中,信任网络密钥为第一网络密钥或第四网络密钥。
[0429] 对于本发明实施例,当第一设备已配置第二设备时,信任网络密钥为第一网络密钥;或者,当第三设备配置第二设备时,信任网络密钥为第四网络密钥。
[0430] 504、若对端网络密钥合法,则第三设备根据第一签名信息,确定第二设备是否合法。
[0431] 对于本发明实施例,第一连接信息还可以包括第二网络密钥。
[0432] 具体地,第三设备可以根据第一签名验证密钥,对第一签名信息进行解密,得到解密结果,并将解密结果,与第二网络密钥进行比对,若解密结果与第二网络密钥匹配,则第三设备确定第二设备合法。
[0433] 本发明实施例提供的配置的方法,当第一设备已配置第二设备时,首先配置设备向第三设备发送第一签名验证密钥及第一网络密钥,第一签名验证密钥及第一网络密钥由第一设备生成并发送给配置设备,然后第二设备向第三设备发送携带有第一连接信息的第一消息,第一连接信息包括第一签名信息及对端网络密钥,最后第三设备根据第一网络密钥,确定对端网络密钥是否合法,若对端网络密钥合法,则第三设备根据第一签名信息,确定第二设备是否合法。与目前通过配置设备分别对第一设备及第二设备进行配置相比,本发明实施例通过第一设备根据第二设备带外密钥对第二设备进行配置,该第二设备带外密钥由配置设备与第二设备之间进行带外通信获得,并且配置设备向第三设备发送第一签名验证密钥及第一网络密钥,第二设备向第三设备发送第一连接信息,能够实现第三设备根据第一网络密钥,确定第一连接信息中的对端网络密钥是否合法,并根据第一签名验证密钥,确定第一连接信息中的第一签名信息是否合法,从而可以将第一设备已配置的第二设备,配置给第三设备,即实现第三设备配置第二设备,进而可以提高设备进行配置的成功率。
[0434] 作为对图5所示方法的具体说明,本发明实施例提供另一种配置的方法,如图6所示,所述方法包括:
[0435] 601、第三设备接收配置设备发送的第一签名验证密钥及第一网络密钥。
[0436] 对于本发明实施例,第三设备支持带内通信,可以与配置设备之间进行带内通信,也可以与第二设备之间进行带内通信。在本发明实施例中,第三设备具体可以为:无线AP、智能终端、可穿戴设备或智能家居设备等。其中,智能终端包括手机、手机平板、平板及电脑等,可穿戴设备包括智能眼镜、智能手表、智能手环、智能戒指、智能项链、智能鞋子、智能帽子、智能头盔、智能衣服及智能护膝等,智能家居包括智能电视、智能音响、智能冰箱、智能洗衣机、智能空调、智能灯具、智能窗帘及智能报警器等。
[0437] 对于本发明实施例,配置设备用于对设备进行配置,或者协助设备对其他设备进行配置。在本发明实施例中,配置设备可以为外部配置设备,也可以为内部配置设备,本发明实施例不做限定。其中,外部配置设备可以为具有丰富UI及较强大的计算能力的无线设备,例如,外部配置设备可以为智能手机、智能平板、智能眼镜或智能手表等,也可以为安装有相关应用程序单元的其他设备;内部配置设备也可以为一套应用程序模块,集成在硬件单元内,并可以通过该硬件单元提供的UI与其他设备进行交互,例如,内部配置设备可以为集成在无线AP中的配置单元,该配置单元可以通过无线AP的输入单元实现配置过程中的输入,通过无线AP的输出单元实现配置过程中的输出。
[0438] 对于本发明实施例,第一设备已配置第二设备。具体地,首先配置设备通过与第二设备之间进行带外通信,获取第二设备带外密钥,并发送给第一设备;然后第一设备与第二设备之间进行带内通信,实现第一设备配置第二设备。
[0439] 对于本发明实施例,带外通信是指通信距离相对较短的通信方式,带内通信是指通信距离相对较长的通信方式。具体地,带内通信可以为:蓝牙、蓝牙低功耗、Wi-Fi、ZigBee、UWB、WiGig等;带外通信可以为:RFID、NFC、红外、激光、超声波、电容屏短距传输、光学识别或声学识别等。
[0440] 例如,当配置设备与第二设备之间进行带外通信的方式为光学识别时,首先第二设备提供一个包含第二设备带外密钥的二维码;然后配置设备通过自身的摄像头模块扫描该二维码,并进行解码获得验证信息材料;最后配置设备根据该验证信息材料获取验证信息,并发送给第一设备,或者,配置设备直接将该验证信息材料发送给第一设备,以使得第一设备根据该验证信息材料获取验证信息。
[0441] 再例如,当配置设备与第二设备之间进行带外通信的方式为声学识别时,首先第二设备通过自身的声学模块播放验证信息材料,然后配置设备收听该验证信息材料;最后配置设备根据该验证信息材料获取验证信息,并发送给第一设备,或者,配置设备直接将该验证信息材料发送给第一设备,以使得第一设备根据该验证信息材料获取验证信息。
[0442] 需要说明的是,本发明实施例不限于上述配置设备与第二设备之间进行带外通信,其他任何可以实现配置设备与第二设备之间进行通信的方式,均适用本发明实施例,例如,配置设备与第二设备之间可以进行带内通信。
[0443] 对于本发明实施例,验证信息材料与验证信息之间,可以通过特定的编解码方式进行互相转换,也可以为相同的信息,本发明实施例不做限定。其中,当验证信息材料与验证信息之间需要进行互相转换时,可以直接通过base64/32/16编码方式,实现互相转换;也可以首先通过base64/32/16进行编码,然后通过ASN.1编码方式,实现互相转换。
[0444] 其中,第一签名验证密钥由第一设备生成并发送给配置设备,第一签名验证密钥用于对第一设备签名的信息进行解密,第一网络密钥由第一设备生成并发送给配置设备,第一网络密钥用于第二设备生成共享密钥。
[0445] 需要说明的是,本发明实施例不限于上述第二设备根据第一网络密钥生成共享密钥,其他任何可以与第一设备进行通信的设备,均可以根据第一网络密钥生成共享密钥。
[0446] 对于本发明实施例,第一签名验证密钥可以用A-sign-key1来指代,第一网络密钥可以用A-net-pub来指代。在本发明实施例中,A用于标识第一设备,B用于标识第二设备,C用于标识配置设备,D用于标识第三设备,sign用于表示签名(Signature),key用于表示密钥,key1用于表示验证密钥,key2用于表示生成密钥,net用于表示网络(network),pub用于表示公共(public),priv用于表示私有(private)。
[0447] 需要说明的是,本发明实施例不限于上述对各设备的标识方式,及对各密钥的标识方式,其他任何可以用于标识设备或密钥的方式,均适用本发明实施例。
[0448] 对于本发明实施例,第一设备生成一对签名密钥,分别为第一签名验证密钥及第一签名生成密钥。其中,第一签名验证密钥用于发送给其他设备,以使得其他设备可以通过该第一签名验证密钥,对第一设备签名的信息进行解密;第一签名生成密钥用于配置设备进行签名。
[0449] 对于本发明实施例,第一网络密钥可以为对称密钥,也可以为非对称密钥,本发明实施例不做限定。在本发明实施例中,当第一网络密钥为非对称密钥时,第一网络密钥可以为DH公钥;也可以为ECDH公钥;还可以为ECDH公钥的X坐标或Y坐标。
[0450] 对于本发明实施例,第一网络密钥还可以为对密钥进行进一步编码得到的结果。例如,第一网络密钥为对DH密钥直接通过base64/32/16进行编码得到的结果,还可以为对DH密钥首先通过base64/32/16进行编码,然后通过ASN.1进行编码得到的结果,还可以为对ECDH密钥的X坐标直接通过base64/32/16进行编码得到的结果,还可以为对ECDH密钥的Y坐标首先通过base64/32/16进行编码,然后通过ASN.1进行编码得到的结果。
[0451] 602、第三设备生成第四网络密钥。
[0452] 其中,第四网络密钥用于第二设备生成共享密钥。在本发明实施例中,第四网络密钥可以用D-net-pub来指代。
[0453] 需要说明的是,本发明实施例不限于上述第二设备根据第四网络密钥生成共享密钥,其他任何可以与第三设备进行通信的设备,均可以根据第四网络密钥生成共享密钥。
[0454] 603、第三设备将第四网络密钥发送给配置设备。
[0455] 604、第三设备接收配置设备发送的第四连接信息。
[0456] 其中,第四连接信息包括第四签名信息及第四网络密钥,第四签名信息由配置设备利用第二签名生成密钥对第四网络密钥进行签名得到,第二签名生成密钥及第二签名验证密钥由配置设备生成,第二签名生成密钥用于配置设备进行签名,第二签名验证密钥用于对配置设备签名的信息进行解密,第二签名生成密钥与第二签名验证密钥之间互相对应。在本发明实施例中,第四连接信息可以用Connector4来指代,第四签名信息可以用signature4来指代,第二签名验证密钥可以用C-sign-key1来指代,第二签名生成密钥可以用C-sign-key2来指代。
[0457] 对于本发明实施例,配置设备生成一对签名密钥,分别为第二签名验证密钥及第二签名生成密钥。其中,第二签名验证密钥用于发送给其他设备,以使得其他设备可以通过该第二签名验证密钥,对第二设备签名的信息进行解密;第二签名生成密钥用于配置设备进行签名。
[0458] 对于本发明实施例,当第二签名生成密钥与第二签名验证密钥之间为非对称密钥时,第二签名生成密钥为对应的私钥,第二签名验证密钥为对应的公钥;或者,当第二签名生成密钥与第二签名验证密钥之间为对称密钥时,第二签名生成密钥与第二签名验证密钥相同。
[0459] 对于本发明实施例,连接信息具体可以包括:网络标识信息、对端网络密钥信息、待配置网络密钥信息、配置设备标识信息及配置设备的签名信息。在本发明实施例中,连接信息的具体表现形式可以为:
[0460]
[0461] 其中,netID用于表示待配置设备被配置加入或被配置创建的网络的网络标识;PeerKey用于表示待配置设备被配置连接的的对端设备的网络密钥。在本发明实施例中,当PeerKey为Wildcard(通配符)时,表示待配置设备可以与网络中的所有设备连接。
[0462] 对于本发明实施例,配置设备构造的第四连接信息具体可以为:
[0463]
[0464] 其中,SSID为网络标识,当第一设备为无线AP时,netID为该无线AP的SSID;wildcard为通配符,当peerKey为wildcard时,表示第一设备可以与网络中的所有设备连接;C-id为配置设备的标识信息。
[0465] 具体地,配置设备可以按照DSA、ECDSA或RSA等签名算法,根据C-sign-key2,对D-net-pub进行签名,得到signature4。
[0466] 对于本发明实施例,配置设备还可以按照DSA、ECDSA或RSA等签名算法,根据C-sign-key2,对D-net-pub以及其他项,进行签名,得到signature4。其中,其他项可以为SSID、wildcard及C-id中的任一项或者任意组合。
[0467] 对于本发明实施例,配置设备还可以首先将C-sign-key2进行转换,然后按照DSA、ECDSA或RSA等签名算法,根据转换后的C-sign-key2,对A-net-pub,或者A-net-pub以及其他项,进行签名,得到signature4。
[0468] 605、第三设备向第二设备发送第四消息。
[0469] 其中,第四消息携带有第四连接信息,第四连接信息包括第四签名信息。在本发明实施例中,第四消息可以用M4来指代。
[0470] 进一步地,通过第三设备向第二设备发送第四消息,以使得第二设备接收第三设备发送的第四消息,并根据第四消息携带的第四签名信息,以及第二签名验证密钥,确定第三设备是否合法,第二签名验证密钥由第一设备配置第二设备时,发送给第二设备。
[0471] 对于本发明实施例,第二设备接收到的第四消息携带的第四连接信息具体可以为:
[0472]
[0473] 可选地,第二设备验证Connector4的具体过程可以为:首先,第二设备验证Connector4中的netID,是否与Connector1中的netID匹配,若匹配则继续验证Connector1,若不匹配则放弃验证,在本发明实施例中,Connector4中的netID与Connector1中的netID均为SSID,二者匹配;然后,第二设备验证Connector4中的peerKey是否为自身生成的网络密钥或wildcard,若匹配则继续验证Connector4,若不匹配则放弃验证,在本发明实施例中,Connector4中的peerKey为wildcard,故而peerKey匹配;其次,第二设备验证Connector4中的introducer是否为信任设备,若是则继续验证Connector4,若不是则放弃验证,在本发明实施例中,Connector4中的introducer为C-id,即配置设备的标识信息,故而为信任设备;最后,第二设备根据C-sign-key1,验证signature4是否合法,若合法则确定Connector4合法,若不合法则放弃验证,在本发明实施例中,signature2由配置设备根据C-sign-key2进行签名得到,故而signature4合法,因此,第二设备确定Connector4合法,即第二设备确定第一设备合法。
[0474] 对于本发明实施例,第二设备根据C-sign-key1验证signature4是否合法具体可以为:第二设备首先根据第二签名验证密钥,对第四签名信息进行解密,得到解密结果,然后将解密结果,与第四连接信息包括的第四网络密钥进行比对,若解密结果与第四网络密钥匹配,则第二设备确定第三设备合法。
[0475] 对于本发明实施例,解密结果与第四网络密钥匹配,是指解密结果与第四网络密钥相同;或者,对解密结果进行转换后,与第四网络密钥相同;或者,对第四网络密钥进行转换后,与解密结果相同;或者,转换后的解密结果,与转换后的第四网络密钥相同。
[0476] 对于本发明实施例,对解密结果或者第四网络密钥转换的方式,可以为直接通过base64/32/16编码方式,对解密结果或者第四网络密钥进行转换;也可以为首先通过base64/32/16进行编码,然后通过ASN.1编码方式,对解密结果或者第四网络密钥进行转换。
[0477] 对于本发明实施例,第四签名信息还可以由配置设备根据第二签名生成密钥,对第四连接信息中的待配置网络密钥及其他项,进行签名得到。其中,其他项为第四连接信息中的网络标识、对端网络密钥及配置设备标识中的任一项或者任意组合。此时,解密结果与第四网络密钥匹配,是指第四网络密钥及其他项,与解密结果相同;或者,对第四网络密钥及其他项进行转换后,与解密结果相同;或者,对解密结果进行转换后,与第四网络密钥及其他项相同;或者,转换后的第四网络密钥及其他项,与转换后的解密结果相同。
[0478] 例如,当signature4由配置设备根据C-sign-key2,对D-net-pub、SSID、wildcard及C-id进行签名得到时,第二设备根据C-sign-key1,对signature4进行解密,得到解密结果,该解密结果与D-net-pub、SSID、wildcard及C-id相同;或者,转换后的解密结果,与D-net-pub、SSID、wildcard及C-id相同;或者,解密结果,与转换后的D-net-pub、SSID、wildcard及C-id相同;或者,转换后的解密结果,与转换后的D-net-pub、SSID、wildcard及C-id相同。具体地,若转换方式为哈希转换,当signature4由配置设备根据C-sign-key2,对D-net-pub、SSID、wildcard及C-id进行哈希后进行签名得到时,第二设备根据C-sign-key1,对signature4进行解密,得到解密结果,该解密结果与对D-net-pub、SSID、wildcard及C-id进行哈希后的结果相同。
[0479] 对于本发明实施例,若第二设备确定Connector4合法,并且Connector4中的netKey与Connector1中的netKey不同,则第二设备认为Connector4中的netKey为更新后的网络密钥,并且根据D-net-pub,重新生成共享密钥。
[0480] 对于本发明实施例,第二设备根据第四网络密钥生成第四共享密钥。其中,第四共享密钥为第三设备与第一设备之间进行握手认证的预先密钥。
[0481] 可选地,第二设备可以按照DH密钥生成算法,根据第二网络密钥对应的私钥,以及第四网络密钥,生成DH共享密钥,并将DH共享密钥,或者由DH共享密钥衍生得到的密钥,作为第四共享密钥。在本发明实施例中,第四共享密钥可以为DH(B-net-priv,D-net-pub)。
[0482] 可替换地,第二设备还可以按照ECDH密钥生成算法,根据第二网络密钥对应的私钥,以及第四网络密钥,生成ECDH共享密钥,并将ECDH共享密钥,或者由ECDH共享密钥衍生得到的密钥,作为第四共享密钥。在本发明实施例中,第四共享密钥可以为ECDH(B-net-priv,D-net-pub)。
[0483] 606、第三设备接收第二设备发送的第一消息。
[0484] 其中,第一消息携带有第一连接信息,第一连接信息包括第一签名信息及对端网络密钥,第一签名信息由第一设备利用第一签名生成密钥对第二网络密钥进行签名得到,第一签名生成密钥由第一设备生成,第一签名生成密钥用于第一设备进行签名,第一签名生成密钥与第一签名验证密钥之间互相对应,第二网络密钥由第二设备生成,第二网络密钥用于第一设备或第三设备生成共享密钥。在本发明实施例中,第一消息可以用M1来指代,第一连接信息可以用Connector1来指代,第一签名信息可以用signature1来指代,第二网络密钥可以用B-net-pub来指代。
[0485] 对于本发明实施例,第一设备构造的第一连接信息具体可以为:
[0486]
[0487] 可选地,步骤606之后,还可以包括:首先,第三设备验证Connector1中的netID,是否与Connector4中的netID匹配,若匹配则继续验证Connector1,若不匹配则放弃验证,在本发明实施例中,Connector1中的netID与Connector4中的netID均为SSID,二者匹配。
[0488] 607、第三设备根据第一网络密钥,确定对端网络密钥是否合法。
[0489] 可选地,步骤607可以为,第三设备确定对端网络密钥是否为信任的网络密钥。其中,信任的网络密钥包括第一网络密钥或第四网络密钥。具体地,当第一设备已配置第二设备时,信任网络密钥为第一网络密钥;或者,当第三设备配置第二设备时,信任网络密钥为第四网络密钥。
[0490] 具体地,第三设备验证Connector1中的peerKey是否为A-net-pub或D-net-pub或wildcard,若匹配则继续验证Connector1,若不匹配则放弃验证,在本发明实施例中,Connector1中的peerKey为A-net-pub,故而peerKey匹配。
[0491] 可选地,步骤607之后,还可以包括:第三设备验证Connector1中的introducer是否为信任设备,若是则继续验证Connector1,若不是则放弃验证,在本发明实施例中,Connector1中的introducer为A-id,即自身的标识信息,故而为信任设备。
[0492] 608、第三设备利用第一签名验证密钥,对第一签名信息进行解密,得到解密结果。
[0493] 具体地,第三设备根据A-sign-key1,验证signature1是否合法,若合法则确定Connector1合法,若不合法则放弃验证,在本发明实施例中,signature1由第一设备根据A-sign-key2进行签名得到,故而signature1合法,因此,第三设备确定Connector1合法,即第三设备确定第二设备合法。
[0494] 对于本发明实施例,当第一签名生成密钥与第一签名验证密钥之间为非对称密钥时,第一签名生成密钥为对应的私钥,第一签名验证密钥为对应的公钥;或者,当第一签名生成密钥与第一签名验证密钥之间为对称密钥时,第一签名生成密钥与第一签名验证密钥相同。
[0495] 609、第三设备将解密结果,与第二网络密钥进行比对。
[0496] 对于本发明实施例,第一连接信息还可以包括第二网络密钥。
[0497] 610、若解密结果与第二网络密钥匹配,则第三设备确定第二设备合法。
[0498] 对于本发明实施例,解密结果与第二网络密钥匹配,是指解密结果与第二网络密钥相同;或者,对解密结果进行转换后,与第二网络密钥相同;或者,对第二网络密钥进行转换后,与解密结果相同;或者,转换后的解密结果,与转换后的第二网络密钥相同。
[0499] 对于本发明实施例,对解密结果或者第二网络密钥转换的方式,可以为直接通过base64/32/16编码方式,对解密结果或者第二网络密钥进行转换;也可以为首先通过base64/32/16进行编码,然后通过ASN.1编码方式,对解密结果或者第二网络密钥进行转换。
[0500] 对于本发明实施例,第一签名信息还可以由第一设备根据第一签名生成密钥,对第一连接信息中的待配置网络密钥及其他项,进行签名得到。其中,其他项为第一连接信息中的网络标识、对端网络密钥及配置设备标识中的任一项或者任意组合。此时,解密结果与第二网络密钥匹配,是指第二网络密钥及其他项,与解密结果相同;或者,对第二网络密钥及其他项进行转换后,与解密结果相同;或者,对解密结果进行转换后,与第二网络密钥及其他项相同;或者,转换后的第二网络密钥及其他项,与转换后的解密结果相同。
[0501] 例如,当signature1由第一设备根据A-sign-key2,对B-net-pub、SSID、A-net-pub及A-id进行签名得到时,第三设备根据A-sign-key1,对signature1进行解密,得到解密结果,该解密结果与B-net-pub、SSID、A-net-pub及A-id相同;或者,转换后的解密结果,与B-net-pub、SSID、A-net-pub及A-id相同;或者,解密结果,与转换后的B-net-pub、SSID、A-net-pub及A-id相同;或者,转换后的解密结果,与转换后的B-net-pub、SSID、A-net-pub及A-id相同。具体地,若转换方式为哈希转换,当signature1由第一设备根据A-sign-key2,对B-net-pub、SSID、A-net-pub及A-id进行哈希后进行签名得到时,第一设备根据A-sign-key1,对signature1进行解密,得到解密结果,该解密结果与对B-net-pub、SSID、A-net-pub及A-id进行哈希后的结果相同。
[0502] 611、第三设备至少根据第二网络密钥,生成第三共享密钥。
[0503] 其中,第三共享密钥为第三设备与第二设备之间进行握手认证的预先密钥。
[0504] 可选地,第三设备按照迪菲赫尔曼DH密钥生成算法,根据第四网络密钥对应的私钥,以及第二网络密钥,生成DH共享密钥,并将DH共享密钥,或者由DH共享密钥衍生得到的密钥,作为第三共享密钥。其中,第四网络密钥用于第二设备生成共享密钥。在本发明实施例中,第三共享密钥可以为DH(D-net-priv,B-net-pub)。其中,第四网络密钥对应的私钥可以为D-net-priv。
[0505] 需要说明的是,本发明实施例不限于上述第二设备根据第四网络密钥生成共享密钥,其他任何可以与第三设备进行通信的设备,均可以根据第四网络密钥生成共享密钥。
[0506] 可替换地,第三设备按照基于椭圆曲线密码体制的的迪菲赫尔曼ECDH密钥生成算法,根据第四网络密钥对应的私钥,以及第二网络密钥,生成ECDH共享密钥,并将ECDH共享密钥,或者由ECDH共享密钥衍生得到的密钥,作为第三共享密钥。在本发明实施例中,第三共享密钥可以为ECDH(D-net-priv,B-net-pub)。
[0507] 需要说明的是,本领域技术人员能够理解,第三设备根据第四网络密钥对应的私钥以及第二网络密钥生成的第三共享密钥,与第二设备根据第二网络密钥对应的私钥以及第四网络密钥生成的第四共享密钥相同。
[0508] 对于本发明实施例,通过第三设备生成的第三共享密钥,与第二设备生成的第四共享密钥相同,能够实现第三设备与第二设备之间的握手认证。
[0509] 本发明实施例提供的配置的方法,当第一设备已配置第二设备时,首先配置设备向第三设备发送第一签名验证密钥及第一网络密钥,第一签名验证密钥及第一网络密钥由第一设备生成并发送给配置设备,然后第二设备向第三设备发送携带有第一连接信息的第一消息,第一连接信息包括第一签名信息及对端网络密钥,最后第三设备根据第一网络密钥,确定对端网络密钥是否合法,若对端网络密钥合法,则第三设备根据第一签名信息,确定第二设备是否合法。与目前通过配置设备分别对第一设备及第二设备进行配置相比,本发明实施例通过第一设备根据第二设备带外密钥对第二设备进行配置,该第二设备带外密钥由配置设备与第二设备之间进行带外通信获得,并且配置设备向第三设备发送第一签名验证密钥及第一网络密钥,第二设备向第三设备发送第一连接信息,能够实现第三设备根据第一网络密钥,确定第一连接信息中的对端网络密钥是否合法,并根据第一签名验证密钥,确定第一连接信息中的第一签名信息是否合法,从而可以将第一设备已配置的第二设备,配置给第三设备,即实现第三设备配置第二设备,进而可以提高设备进行配置的成功率。
[0510] 进一步地,作为对图2及图3所示方法的实现,本发明实施例还提供了一种配置的装置,该装置可以位于第一设备,第一设备位于配置系统,配置系统包括第一设备、第二设备及配置设备,配置设备与第一设备之间进行带内通信,配置设备与第二设备之间进行带外通信,该装置可以用于对第二设备进行配置,如图7所示,所述装置包括:接收单元71、生成单元72、发送单元73、签名单元74。
[0511] 接收单元71,用于接收配置设备发送的第二设备带外密钥。
[0512] 其中,第二设备带外密钥由配置设备通过与第二设备之间进行带外通信获得。
[0513] 生成单元72,用于根据接收单元71接收的第二设备带外密钥,生成加密密钥。
[0514] 其中,加密密钥用于对第一设备向第二设备发送的信息进行加密。
[0515] 生成单元72,还用于生成第一签名生成密钥及第一签名验证密钥。
[0516] 其中,第一签名生成密钥及第一签名验证密钥由第一设备生成,第一签名生成密钥用于第一设备进行签名,第一签名验证密钥用于对第一设备签名的信息进行解密,第一签名生成密钥与第一签名验证密钥之间互相对应。
[0517] 接收单元71,还用于接收第二设备发送的第二网络密钥。
[0518] 其中,第二网络密钥由第二设备生成,第二网络密钥用于第一设备生成共享密钥。
[0519] 签名单元74,用于利用第一签名生成密钥对接收单元71接收的第二网络密钥进行签名,得到第一签名信息。
[0520] 其中,第一签名生成密钥由第一设备生成,第一签名生成密钥用于第一设备进行签名,第一签名生成密钥与第一签名验证密钥之间互相对应。
[0521] 发送单元73,用于向第二设备发送加密后的第一连接信息。
[0522] 其中,第一连接信息包括签名单元74签名得到的第一签名信息及第二网络密钥,加密后的第一连接信息由第一设备利用第一密钥对第一连接信息进行加密得到,第一密钥由第一设备根据生成单元72生成的加密密钥得到,以使得第二设备获取并向第一设备发送第一连接信息,第一连接信息用于第一设备确定第二设备是否合法。
[0523] 进一步地,以使得第二设备获取第一连接信息。
[0524] 接收单元71,还用于在接收单元71接收第二设备带外密钥之前,接收配置设备发送的第二签名验证密钥。
[0525] 其中,第二签名验证密钥由配置设备生成,第二签名验证密钥用于对配置设备签名的信息进行解密。
[0526] 生成单元72,还用于生成第一网络密钥。
[0527] 其中,第一网络密钥用于第二设备生成共享密钥。
[0528] 发送单元73,还用于将生成单元72生成的第一网络密钥发送给配置设备。
[0529] 进一步地,以使得配置设备至少根据第一网络密钥,生成并向第一设备发送第二连接信息。
[0530] 接收单元71,还用于在发送单元73发送第一网络密钥后,接收配置设备发送的第二连接信息。
[0531] 其中,第二连接信息包括第二签名信息及第一网络密钥,第二签名信息由配置设备利用第二签名生成密钥对第一网络密钥进行签名得到,第二签名生成密钥由配置设备生成,第二签名生成密钥用于配置设备进行签名,第二签名生成密钥与第二签名验证密钥之间互相对应。
[0532] 对于本发明实施例,当第二签名生成密钥与第二签名验证密钥之间为非对称密钥时,第二签名生成密钥为对应的私钥,第二签名验证密钥为对应的公钥。或者,当第二签名生成密钥与第二签名验证密钥之间为对称密钥时,第二签名生成密钥与第二签名验证密钥相同。
[0533] 发送单元73,还用于发送第二消息。
[0534] 其中,第二消息携带有第二连接信息,第二连接信息包括第二签名信息。
[0535] 进一步地,以使得第二设备接收第一设备发送的第二消息,并根据第二消息携带的第二签名信息,确定第一设备是否合法,并至少根据第二签名信息中的第一网络密钥生成第二共享密钥,第二共享密钥为第一设备与第二设备之间的预先密钥,预先密钥用于第一设备与第二设备之间进行握手认证。
[0536] 生成单元72,还用于生成第三网络密钥。
[0537] 其中,第三网络密钥用于第二设备生成共享密钥。
[0538] 发送单元73,还用于将第三网络密钥发送给配置设备。
[0539] 接收单元71,还用于接收配置设备发送的第三连接信息。
[0540] 其中,第三连接信息包括第三签名信息及第三网络密钥,第三签名信息由配置设备利用第二签名生成密钥对第三网络密钥进行签名得到。
[0541] 发送单元73,还用于向第二设备发送加密后的第三消息。
[0542] 其中,加密后的第二签名验证密钥由第一设备根据加密密钥得到,第三消息携带有第三连接信息。
[0543] 进一步地,以使得第二设备获取第三网络密钥,并至少根据第三网络密钥生成新的第二共享密钥,新的第二共享密钥为第一设备与第二设备之间的预先密钥,预先密钥用于第一设备与第二设备之间进行握手认证。
[0544] 对于本发明实施例,当第一签名生成密钥与第一签名验证密钥之间为非对称密钥时,第一签名生成密钥为对应的私钥,第一签名验证密钥为对应的公钥;或者,当第一签名生成密钥与第一签名验证密钥之间为对称密钥时,第一签名生成密钥与第一签名验证密钥相同。
[0545] 发送单元73,还用于向第二设备发送加密后的第二签名验证密钥。
[0546] 其中,加密后的第二签名验证密钥由第一设备利用第二密钥对第二签名验证密钥进行加密得到,第二密钥由第一设备根据加密密钥得到。
[0547] 进一步地,以使得第二设备接收第二签名验证密钥,并根据第二签名验证密钥,以及第二消息携带的第二签名信息,确定第一设备合法。
[0548] 接收单元71,还用于接收第二设备发送的第一消息。
[0549] 进一步地,如图8所示,所述装置还可以包括:确定单元81。
[0550] 其中,第一消息携带有第一连接信息。
[0551] 确定单元81,用于根据第一消息携带的第一签名信息,确定第二设备合法。
[0552] 确定单元81,具体用于根据第一消息携带的第一签名信息,确定签名得到第一签名信息的设备是否为可信设备。
[0553] 其中,可信设备为第一设备或者配置设备。
[0554] 可选地,所述装置还包括:解密单元82、比对单元83。
[0555] 解密单元82,用于利用第一签名验证密钥,对第一签名信息进行解密,得到解密结果。
[0556] 比对单元83,用于将解密单元82解密得到的解密结果,与第一连接信息包括的第二网络密钥进行比对。
[0557] 确定单元81,具体用于当比对单元83比对解密结果与第二网络密钥匹配时,确定第二设备合法。
[0558] 生成单元72,还用于当确定单元81确定第二设备合法时,至少根据第二网络密钥,生成第一共享密钥。
[0559] 其中,第一共享密钥为第一设备与第二设备之间的预先密钥,预先密钥用于第一设备与第二设备之间进行握手认证。
[0560] 生成单元72,具体用于按照迪菲赫尔曼DH密钥生成算法,根据第一网络密钥对应的私钥,以及第二网络密钥,生成DH共享密钥,并将DH共享密钥,或者由DH共享密钥衍生得到的密钥,作为第一共享密钥。
[0561] 生成单元72,具体还用于按照基于椭圆曲线密码体制的的迪菲赫尔曼ECDH密钥生成算法,根据第一网络密钥对应的私钥,以及第二网络密钥,生成ECDH共享密钥,并将ECDH共享密钥,或者由ECDH共享密钥衍生得到的密钥,作为第一共享密钥。
[0562] 确定单元81,还用于确定第二设备是否存储有第二设备带外密钥对应的私钥。
[0563] 其中,第二设备带外密钥对应的私钥与第二设备带外密钥之间互相对应。
[0564] 对于本发明实施例,当第二设备带外密钥对应的私钥与第二设备带外密钥之间为非对称密钥时,第二设备带外密钥对应的私钥为私钥,第二设备带外密钥为公钥。或者,当第二设备带外密钥对应的私钥与第二设备带外密钥之间为对称密钥时,第二设备带外密钥对应的私钥与第二设备带外密钥相同。
[0565] 确定单元81,还用于当第二设备存储有第二设备带外密钥对应的私钥时,确定第二设备合法。
[0566] 本发明实施例提供的配置的装置,首先配置设备与第二设备进行带外通信,获得第二设备带外密钥,并将第二设备带外密钥发送给第一设备,然后第一设备生成第一签名生成密钥及第一签名验证密钥,并接收第二设备发送的第二设备生成的第二网络密钥,最后第一设备根据第一设备生成的第一签名生成密钥,对第二网络密钥进行签名,得到第一签名信息,并向第二设备发送包括第一签名信息及第二网络密钥的第一连接信息。与目前通过配置设备分别对第一设备及第二设备进行配置相比,本发明实施例通过配置设备与第二设备之间进行带外通信,获得第二设备带外密钥,并将该第二设备带外密钥发送给第一设备,能够使得第一设备与第二设备之间进行通信,从而可以实现第一设备对第二设备进行配置,即当配置设备与第二设备之间不能进行带内通信时,例如,某一设备不支持带内通信,或者配置设备与某一设备支持的带内通信模式不匹配,可以由第一设备对第二设备进行配置,进而可以提高设备进行配置的成功率。
[0567] 需要说明的是,本发明实施例中提供的配置的装置中各单元所对应的其他相应描述,可以参考图2及图3中的对应描述,在此不再赘述。
[0568] 再进一步地,本发明实施例还提供了一种设备,所述设备为第一设备,所述第一设备位于配置系统,配置系统包括第一设备、第二设备及配置设备,配置设备与第一设备之间进行带内通信,配置设备与第二设备之间进行带外通信,如图9所示,所述第一设备包括:接收器91、处理器92、发送器93。
[0569] 接收器91,用于接收配置设备发送的第二设备带外密钥。
[0570] 其中,第二设备带外密钥由配置设备通过与第二设备之间进行带外通信获得。
[0571] 处理器92,用于根据接收器91接收的第二设备带外密钥,生成加密密钥。
[0572] 其中,加密密钥用于对第一设备向第二设备发送的信息进行加密。
[0573] 处理器92,还用于生成第一签名生成密钥及第一签名验证密钥.
[0574] 其中,第一签名生成密钥及第一签名验证密钥由第一设备生成,第一签名生成密钥用于第一设备进行签名,第一签名验证密钥用于对第一设备签名的信息进行解密,第一签名生成密钥与第一签名验证密钥之间互相对应。
[0575] 接收器91,还用于接收第二设备发送的第二网络密钥。
[0576] 其中,第二网络密钥由第二设备生成,第二网络密钥用于第一设备生成共享密钥。
[0577] 处理器92,还用于利用第一签名生成密钥对接收器91接收的第二网络密钥进行签名,得到第一签名信息。
[0578] 其中,第一签名生成密钥由第一设备生成,第一签名生成密钥用于第一设备进行签名,第一签名生成密钥与第一签名验证密钥之间互相对应。
[0579] 发送器93,用于向第二设备发送加密后的第一连接信息。
[0580] 其中,第一连接信息包括处理器92签名得到的第一签名信息及第二网络密钥,加密后的第一连接信息由第一设备利用第一密钥对第一连接信息进行加密得到,第一密钥由第一设备根据处理器92生成的加密密钥得到。
[0581] 进一步地,以使得第二设备获取并向第一设备发送第一连接信息,第一连接信息用于第一设备确定第二设备是否合法。
[0582] 接收器91,还用于在接收器91接收第二设备带外密钥之前,接收配置设备发送的第二签名验证密钥。
[0583] 其中,第二签名验证密钥由配置设备生成,第二签名验证密钥用于对配置设备签名的信息进行解密。
[0584] 处理器92,还用于生成第一网络密钥。
[0585] 其中,第一网络密钥用于第二设备生成共享密钥。
[0586] 需要说明的是,第一设备中的处理器92可以为一个或多个,本发明实施例以一个为例进行说明,其他实施例可以参考此处进行理解。
[0587] 发送器93,还用于将处理器92生成的第一网络密钥发送给配置设备。
[0588] 进一步地,以使得配置设备至少根据第一网络密钥,生成并向第一设备发送第二连接信息。
[0589] 接收器91,还用于在发送器93发送第一网络密钥后,接收配置设备发送的第二连接信息。
[0590] 其中,第二连接信息包括第二签名信息及第一网络密钥,第二签名信息由配置设备利用第二签名生成密钥对第一网络密钥进行签名得到,第二签名生成密钥由配置设备生成,第二签名生成密钥用于配置设备进行签名,第二签名生成密钥与第二签名验证密钥之间互相对应。
[0591] 对于本发明实施例,当第二签名生成密钥与第二签名验证密钥之间为非对称密钥时,第二签名生成密钥为对应的私钥,第二签名验证密钥为对应的公钥;或者,当第二签名生成密钥与第二签名验证密钥之间为对称密钥时,第二签名生成密钥与第二签名验证密钥相同。
[0592] 发送器93,还用于发送第二消息。
[0593] 其中,第二消息携带有第二连接信息,第二连接信息包括第二签名信息。
[0594] 进一步地,以使得第二设备接收第一设备发送的第二消息,根据第二消息携带的第二签名信息,确定第一设备是否合法,并至少根据第二签名信息中的第一网络密钥生成第二共享密钥,第二共享密钥为第一设备与第二设备之间的预先密钥,预先密钥用于第一设备与第二设备之间进行握手认证。
[0595] 处理器92,还用于生成第三网络密钥。
[0596] 其中,第三网络密钥用于第二设备生成共享密钥。
[0597] 发送器93,还用于将第三网络密钥发送给配置设备。
[0598] 接收器91,还用于接收配置设备发送的第三连接信息。
[0599] 其中,第三连接信息包括第三签名信息及第三网络密钥,第三签名信息由配置设备利用第二签名生成密钥对第三网络密钥进行签名得到。
[0600] 发送器93,还用于向第二设备发送第三消息。
[0601] 其中,第三消息携带有第三连接信息。
[0602] 进一步地,以使得第二设备获取第三网络密钥,并至少根据第三网络密钥生成新的第二共享密钥,新的第二共享密钥为第一设备与第二设备之间的预先密钥,预先密钥用于第一设备与第二设备之间进行握手认证。
[0603] 对于本发明实施例,当第一签名生成密钥与第一签名验证密钥之间为非对称密钥时,第一签名生成密钥为对应的私钥,第一签名验证密钥为对应的公钥;或者,当第一签名生成密钥与第一签名验证密钥之间为对称密钥时,第一签名生成密钥与第一签名验证密钥相同。
[0604] 发送器93,还用于向第二设备发送加密后的第二签名验证密钥。
[0605] 其中,加密后的第二签名验证密钥由第一设备利用第二密钥对第二签名验证密钥进行加密得到,第二密钥由第一设备根据加密密钥得到。
[0606] 进一步地,以使得第二设备接收第二签名验证密钥,并根据第二签名验证密钥,以及第二消息携带的第二签名信息,确定第一设备合法。
[0607] 接收器91,还用于接收第二设备发送的第一消息。
[0608] 其中,第一消息携带有第一连接信息。
[0609] 处理器92,还用于根据第一消息携带的第一签名信息,确定第二设备合法。
[0610] 处理器92,具体用于根据第一消息携带的第一签名信息,确定签名得到第一签名信息的设备是否为可信设备。
[0611] 其中,可信设备为第一设备或者配置设备。
[0612] 处理器92,还用于利用第一签名验证密钥,对第一签名信息进行解密,得到解密结果。
[0613] 处理器92,还用于将解密结果,与第一连接信息包括的第二网络密钥进行比对。
[0614] 处理器92,具体用于当解密结果与第二网络密钥匹配时,确定第二设备合法。
[0615] 处理器92,还用于当确定第二设备合法时,利用根据第二网络密钥,生成第一共享密钥。
[0616] 其中,第一共享密钥为第一设备与第二设备之间的预先密钥,预先密钥用于第一设备与第二设备之间进行握手认证。
[0617] 处理器92,还用于按照迪菲赫尔曼DH密钥生成算法,根据第一网络密钥对应的私钥,以及第二网络密钥,生成DH共享密钥,并将DH共享密钥,或者由DH共享密钥衍生得到的密钥,作为第一共享密钥。
[0618] 处理器92,还用于按照基于椭圆曲线密码体制的的迪菲赫尔曼ECDH密钥生成算法,根据第一网络密钥对应的私钥,以及第二网络密钥,生成ECDH共享密钥,并将ECDH共享密钥,或者由ECDH共享密钥衍生得到的密钥,作为第一共享密钥。
[0619] 处理器92,具体用于确定第二设备是否存储有第二设备带外密钥对应的私钥。
[0620] 其中,第二设备带外密钥对应的私钥与第二设备带外密钥之间互相对应。
[0621] 对于本发明实施例,当第二设备带外密钥对应的私钥与第二设备带外密钥之间为非对称密钥时,第二设备带外密钥对应的私钥为私钥,第二设备带外密钥为公钥;或者,当第二设备带外密钥对应的私钥与第二设备带外密钥之间为对称密钥时,第二设备带外密钥对应的私钥与第二设备带外密钥相同。
[0622] 处理器92,具体还用于当第二设备存储有第二设备带外密钥对应的私钥时,确定第二设备合法。
[0623] 本发明实施例提供的设备,具体为第一设备,首先配置设备与第二设备进行带外通信,获得第二设备带外密钥,并将第二设备带外密钥发送给第一设备,以使得第一设备根据第二设备带外密钥生成加密密钥,然后第一设备生成第一签名生成密钥及第一签名验证密钥,并接收第二设备发送的第二网络密钥,最后第一设备根据第一签名生成密钥,对第二网络密钥进行签名,得到第一签名信息,并向第二设备发送根据加密密钥加密后的第一连接信息,第一连接信息包括第一签名信息及第二网络密钥。与目前通过配置设备分别对第一设备及第二设备进行配置相比,本发明实施例通过配置设备与第二设备之间进行带外通信,获得第二设备带外密钥,并将该第二设备带外密钥发送给第一设备,能够使得第一设备与第二设备之间进行通信,从而可以实现第一设备对第二设备进行配置,即当配置设备与第二设备之间不能进行带内通信时,例如,某一设备不支持带内通信,或者配置设备与某一设备支持的带内通信模式不匹配,可以由第一设备对第二设备进行配置,进而可以提高设备进行配置的成功率。
[0624] 需要说明的是,本发明实施例中提供的第一设备中各器件所对应的其他相应描述,可以参考图2或图3中的对应描述,在此不再赘述。
[0625] 进一步地,作为对图5及图6所示方法的实现,本发明实施例还提供了一种配置的装置,该装置可以位于第三设备,第三设备位于配置系统,配置系统包括第一设备、第二设备、配置设备及第三设备,配置设备与第一设备之间进行带内通信,配置设备与第二设备之间进行带外通信,配置设备与第三设备之间进行带内通信,第一设备已配置第二设备,该装置可以用于对第二设备进行配置,如图10所示,所述装置包括:接收单元101、确定单元102。
[0626] 接收单元101,用于接收配置设备发送的第一签名验证密钥及第一网络密钥。
[0627] 其中,第一签名验证密钥由第一设备生成并发送给配置设备,第一签名验证密钥用于对第一设备签名的信息进行解密,第一网络密钥由第一设备生成并发送给配置设备,第一网络密钥用于第二设备生成共享密钥。
[0628] 接收单元101,还用于接收第二设备发送的第一消息,第一消息携带有第一连接信息,第一连接信息包括第一签名信息及对端网络密钥,第一签名信息由第一设备利用第一签名生成密钥对第二网络密钥进行签名得到,第一签名生成密钥由第一设备生成,第一签名生成密钥用于第一设备进行签名,第一签名生成密钥与第一签名验证密钥之间互相对应,第二网络密钥由第二设备生成,第二网络密钥用于第一设备或第三设备生成共享密钥。
[0629] 确定单元102,用于根据接收单元101接收的第一网络密钥,确定对端网络密钥是否合法。
[0630] 确定单元102,还用于当对端网络密钥合法时,根据接收单元101接收的第一签名信息,确定第二设备是否合法。
[0631] 确定单元102,具体用于确定对端网络密钥是否为信任的网络密钥。
[0632] 其中,信任的网络密钥包括第一网络密钥。
[0633] 接收单元101接收的第一连接信息还包括第二网络密钥。
[0634] 进一步地,如图11所示,所述装置还包括:解密单元111、比对单元112。
[0635] 解密单元111,用于利用第一签名验证密钥,对第一签名信息进行解密,得到解密结果。
[0636] 比对单元112,用于将解密单元111解密得到的解密结果,与第二网络密钥进行比对。
[0637] 确定单元102,具体用于当比对单元112比对解密结果与第二网络密钥匹配时,确定第二设备合法。
[0638] 可选地,所述装置还包括:生成单元113。
[0639] 生成单元113,用于至少根据接收单元101接收的第二网络密钥,生成第三共享密钥。
[0640] 其中,第三共享密钥为第三设备与第二设备之间进行握手认证的预先密钥。
[0641] 生成单元113,具体包括按照迪菲赫尔曼DH密钥生成算法,根据第四网络密钥对应的私钥,以及第二网络密钥,生成DH共享密钥,并将DH共享密钥,或者由DH共享密钥衍生得到的密钥,作为第三共享密钥,第四网络密钥用于第二设备生成共享密钥。或者,[0642] 生成单元113,具体包括按照基于椭圆曲线密码体制的的迪菲赫尔曼ECDH密钥生成算法,根据第四网络密钥对应的私钥,以及第二网络密钥,生成ECDH共享密钥,并将ECDH共享密钥,或者由ECDH共享密钥衍生得到的密钥,作为第三共享密钥。
[0643] 生成单元113,还用于生成第四网络密钥。
[0644] 其中,第四网络密钥用于第二设备生成共享密钥。
[0645] 可选地,所述装置还包括:发送单元114。
[0646] 发送单元114,用于将生成单元113生成的第四网络密钥发送给配置设备。
[0647] 接收单元101,还用于接收配置设备发送的第四连接信息。
[0648] 其中,第四连接信息包括第四签名信息及第四网络密钥,第四签名信息由配置设备利用第二签名生成密钥对第四网络密钥进行签名得到,第二签名生成密钥及第二签名验证密钥由配置设备生成,第二签名生成密钥用于配置设备进行签名,第二签名验证密钥用于对配置设备签名的信息进行解密,第二签名生成密钥与第二签名验证密钥之间互相对应。
[0649] 对于本发明实施例,当第二签名生成密钥与第二签名验证密钥之间为非对称密钥时,第二签名生成密钥为对应的私钥,第二签名验证密钥为对应的公钥;或者,当第二签名生成密钥与第二签名验证密钥之间为对称密钥时,第二签名生成密钥与第二签名验证密钥相同。
[0650] 发送单元114,还用于向第二设备发送第四消息。
[0651] 其中,第四消息携带有第四连接信息,第四连接信息包括第四签名信息。
[0652] 进一步地,以使得第二设备接收第三设备发送的第四消息,并根据第四消息携带的第四签名信息,以及第二签名验证密钥,确定第三设备是否合法,第二签名验证密钥由第一设备配置第二设备时,发送给第二设备。
[0653] 对于本发明实施例,当第一签名生成密钥与第一签名验证密钥之间为非对称密钥时,第一签名生成密钥为对应的私钥,第一签名验证密钥为对应的公钥;或者,当第一签名生成密钥与第一签名验证密钥之间为对称密钥时,第一签名生成密钥与第一签名验证密钥相同。
[0654] 本发明实施例提供的配置的装置,当第一设备已配置第二设备时,首先配置设备向第三设备发送第一签名验证密钥及第一网络密钥,第一签名验证密钥及第一网络密钥由第一设备生成并发送给配置设备,然后第二设备向第三设备发送携带有第一连接信息的第一消息,第一连接信息包括第一签名信息及对端网络密钥,最后第三设备根据第一网络密钥,确定对端网络密钥是否合法,若对端网络密钥合法,则第三设备根据第一签名信息,确定第二设备是否合法。与目前通过配置设备分别对第一设备及第二设备进行配置相比,本发明实施例通过第一设备根据第二设备带外密钥对第二设备进行配置,该第二设备带外密钥由配置设备与第二设备之间进行带外通信获得,并且配置设备向第三设备发送第一签名验证密钥及第一网络密钥,第二设备向第三设备发送第一连接信息,能够实现第三设备根据第一网络密钥,确定第一连接信息中的对端网络密钥是否合法,并根据第一签名验证密钥,确定第一连接信息中的第一签名信息是否合法,从而可以将第一设备已配置的第二设备,配置给第三设备,即实现第三设备配置第二设备,进而可以提高设备进行配置的成功率。
[0655] 需要说明的是,本发明实施例中提供的配置的装置中各单元所对应的其他相应描述,可以参考图5及图6中的对应描述,在此不再赘述。
[0656] 再进一步地,本发明实施例还提供了一种设备,所述设备为第三设备,所述第三设备位于配置系统,配置系统包括第一设备、第二设备、配置设备及第三设备,配置设备与第一设备之间进行带内通信,配置设备与第二设备之间进行带外通信,配置设备与第三设备之间进行带内通信,第一设备已配置第二设备,如图12所示,所述第三设备包括:接收器121、处理器122、发送器123。
[0657] 接收器121,用于接收配置设备发送的第一签名验证密钥及第一网络密钥。
[0658] 其中,第一签名验证密钥由第一设备生成并发送给配置设备,第一签名验证密钥用于对第一设备签名的信息进行解密,第一网络密钥由第一设备生成并发送给配置设备,第一网络密钥用于第二设备生成共享密钥。
[0659] 接收器121,还用于接收第二设备发送的第一消息。
[0660] 其中,第一消息携带有第一连接信息,第一连接信息包括第一签名信息及对端网络密钥,第一签名信息由第一设备利用第一签名生成密钥对第二网络密钥进行签名得到,第一签名生成密钥由第一设备生成,第一签名生成密钥用于第一设备进行签名,第一签名生成密钥与第一签名验证密钥之间互相对应,第二网络密钥由第二设备生成,第二网络密钥用于第一设备或第三设备生成共享密钥。
[0661] 处理器122,用于根据接收器121接收的第一网络密钥,确定对端网络密钥是否合法。
[0662] 需要说明的是,第三设备中的处理器122可以为一个或多个,本发明实施例以一个为例进行说明,其他实施例可以参考此处进行理解。
[0663] 处理器122,还用于当对端网络密钥合法时,根据接收器121接收的第一签名信息,确定第二设备是否合法。
[0664] 处理器122,具体用于确定对端网络密钥是否为信任的网络密钥。
[0665] 其中,信任的网络密钥包括第一网络密钥。
[0666] 接收器121接收的第一连接信息还包括第二网络密钥。
[0667] 处理器122,还用于利用第一签名验证密钥,对第一签名信息进行解密,得到解密结果。
[0668] 处理器122,还用于将解密得到的解密结果,与第二网络密钥进行比对。
[0669] 处理器122,具体用于解密结果与第二网络密钥匹配时,确定第二设备合法。
[0670] 处理器122,还用于至少根据接收器121接收的第二网络密钥,生成第三共享密钥。
[0671] 其中,第三共享密钥为第三设备与第二设备之间进行握手认证的预先密钥。
[0672] 处理器122,具体包括按照迪菲赫尔曼DH密钥生成算法,根据第四网络密钥对应的私钥,以及第二网络密钥,生成DH共享密钥,并将DH共享密钥,或者由DH共享密钥衍生得到的密钥,作为第三共享密钥,第四网络密钥用于所述第二设备生成共享密。或者,[0673] 处理器122,具体包括按照基于椭圆曲线密码体制的的迪菲赫尔曼ECDH密钥生成算法,根据第四网络密钥对应的私钥,以及第二网络密钥,生成ECDH共享密钥,并将ECDH共享密钥,或者由ECDH共享密钥衍生得到的密钥,作为第三共享密钥。
[0674] 处理器122,还用于生成第四网络密钥,第四网络密钥用于第二设备生成共享密钥。
[0675] 发送器123,用于将处理器122生成的第四网络密钥发送给配置设备。
[0676] 接收器121,还用于接收配置设备发送的第四连接信息。
[0677] 其中,第四连接信息包括第四签名信息及第四网络密钥,第四签名信息由配置设备利用第二签名生成密钥对第四网络密钥进行签名得到,第二签名生成密钥及第二签名验证密钥由配置设备生成,第二签名生成密钥用于配置设备进行签名,第二签名验证密钥用于对配置设备签名的信息进行解密,第二签名生成密钥与第二签名验证密钥之间互相对应。
[0678] 对于本发明实施例,当第二签名生成密钥与第二签名验证密钥之间为非对称密钥时,第二签名生成密钥为对应的私钥,第二签名验证密钥为对应的公钥;或者,当第二签名生成密钥与第二签名验证密钥之间为对称密钥时,第二签名生成密钥与第二签名验证密钥相同。
[0679] 发送器123,还用于向第二设备发送第四消息。
[0680] 其中,第四消息携带有第四连接信息,第四连接信息包括第四签名信息。
[0681] 进一步地,以使得第二设备接收第三设备发送的第四消息,并根据第四消息携带的第四签名信息,以及第二签名验证密钥,确定第三设备是否合法,第二签名验证密钥由第一设备配置第二设备时,发送给第二设备。
[0682] 对于本发明实施例,当第一签名生成密钥与第一签名验证密钥之间为非对称密钥时,第一签名生成密钥为对应的私钥,第一签名验证密钥为对应的公钥;或者,当第一签名生成密钥与第一签名验证密钥之间为对称密钥时,第一签名生成密钥与第一签名验证密钥相同。
[0683] 本发明实施例提供的设备,具体为第三设备,当第一设备已配置第二设备时,首先配置设备向第三设备发送第一签名验证密钥及第一网络密钥,第一签名验证密钥及第一网络密钥由第一设备生成并发送给配置设备,然后第二设备向第三设备发送携带有第一连接信息的第一消息,第一连接信息包括第一签名信息及对端网络密钥,最后第三设备根据第一网络密钥,确定对端网络密钥是否合法,若对端网络密钥合法,则第三设备根据第一签名信息,确定第二设备是否合法。与目前通过配置设备分别对第一设备及第二设备进行配置相比,本发明实施例通过第一设备根据第二设备带外密钥对第二设备进行配置,该第二设备带外密钥由配置设备与第二设备之间进行带外通信获得,并且配置设备向第三设备发送第一签名验证密钥及第一网络密钥,第二设备向第三设备发送第一连接信息,能够实现第三设备根据第一网络密钥,确定第一连接信息中的对端网络密钥是否合法,并根据第一签名验证密钥,确定第一连接信息中的第一签名信息是否合法,从而可以将第一设备已配置的第二设备,配置给第三设备,即实现第三设备配置第二设备,进而可以提高设备进行配置的成功率。
[0684] 需要说明的是,本发明实施例中提供的第三设备中各器件所对应的其他相应描述,可以参考图5或图6中的对应描述,在此不再赘述。
[0685] 本发明实施例提供的配置的方法、配置的装置及设备,可以适用于对设备进行配置,但不仅限于此。
[0686] 本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
[0687] 以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。