本申請(qǐng)公開(kāi)了一種密鑰協(xié)商方法、設(shè)備及計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，屬于物聯(lián)網(wǎng)技術(shù)領(lǐng)域，該方法包括：向PCA發(fā)送客戶端的身份信息和密鑰計(jì)算參數(shù)；接收PCA基于該身份信息和密鑰計(jì)算參數(shù)返回的共享密鑰和匿名身份信息，基于共享密鑰和匿名身份信息向服務(wù)器發(fā)送第一密鑰協(xié)商消息，該第一密鑰協(xié)商消息用于服務(wù)器獲取會(huì)話密鑰；接收服務(wù)器發(fā)送的第二密鑰協(xié)商消息，根據(jù)第二密鑰協(xié)商消息獲取會(huì)話密鑰。該方法能夠通過(guò)PCA獲取客戶端的共享密鑰與匿名身份信息，減少了服務(wù)器的計(jì)算消耗，且服務(wù)器不會(huì)接收到客戶端的身份信息，實(shí)現(xiàn)了客戶端對(duì)服務(wù)器的完全匿名，提高了網(wǎng)絡(luò)的安全性。

技術(shù)領(lǐng)域

本申請(qǐng)涉及物聯(lián)網(wǎng)技術(shù)領(lǐng)域，特別涉及一種密鑰協(xié)商方法、設(shè)備及計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。

背景技術(shù)

物聯(lián)網(wǎng)(Internet of Things，IOT)是一個(gè)基于互聯(lián)網(wǎng)、傳統(tǒng)電信網(wǎng)等信息承載體，讓所有能夠被獨(dú)立尋址的普通物理對(duì)象實(shí)現(xiàn)互聯(lián)互通的網(wǎng)絡(luò)。隨著通信技術(shù)的發(fā)展，物聯(lián)網(wǎng)設(shè)備承擔(dān)著更加重要和私密性的數(shù)據(jù)傳輸業(yè)務(wù)，其安全性亟需得到保障。因此，為了保證物聯(lián)網(wǎng)系統(tǒng)的可靠性和保密性，可通過(guò)使用密鑰協(xié)商協(xié)議(Key Agreement Protocols，KAP)為通信雙方或多方協(xié)商出共享的會(huì)話密鑰，為后續(xù)的通信會(huì)話提供保密、認(rèn)證或者完整性等安全服務(wù)。

相關(guān)技術(shù)中，通常是由通信雙方(例如客戶端與服務(wù)器)交互完成基于身份信息的身份認(rèn)證與計(jì)算密鑰等密鑰協(xié)商操作。但是，由于物聯(lián)網(wǎng)環(huán)境下設(shè)備數(shù)量巨大以及設(shè)備資源受限的情況，相關(guān)技術(shù)中的密鑰協(xié)商方法會(huì)造成繁重的計(jì)算消耗。并且，由于客戶端需要將真實(shí)的身份信息發(fā)送給服務(wù)器，通過(guò)服務(wù)器獲取匿名身份信息，可能導(dǎo)致客戶端用戶身份的暴露，降低網(wǎng)絡(luò)的安全性。

發(fā)明內(nèi)容

本申請(qǐng)?zhí)峁┝艘环N密鑰協(xié)商方法、設(shè)備及計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，能夠解決相關(guān)技術(shù)中的問(wèn)題。

第一方面，提供一種密鑰協(xié)商方法，所述方法包括：

向PCA(Personal Certification Authority，個(gè)人認(rèn)證機(jī)構(gòu))發(fā)送客戶端的身份信息和密鑰計(jì)算參數(shù)，所述身份信息和所述密鑰計(jì)算參數(shù)用于所述PCA獲取并返回所述客戶端的共享密鑰和匿名身份信息；

接收所述PCA返回的所述共享密鑰和所述匿名身份信息，基于所述共享密鑰和所述匿名身份信息向服務(wù)器發(fā)送第一密鑰協(xié)商消息，所述第一密鑰協(xié)商消息用于所述服務(wù)器獲取會(huì)話密鑰；

接收所述服務(wù)器發(fā)送的第二密鑰協(xié)商消息，根據(jù)所述第二密鑰協(xié)商消息獲取所述會(huì)話密鑰。

在一種可能的實(shí)施方式中，所述基于所述共享密鑰和所述匿名身份信息向服務(wù)器發(fā)送第一密鑰協(xié)商消息，包括：

接收所述PCA發(fā)送的基礎(chǔ)參數(shù)與第三單向散列函數(shù)，所述第三單向散列函數(shù)用于將輸入消息生成散列值；

獲取第一私鑰，基于所述第一私鑰和所述基礎(chǔ)參數(shù)獲取第一公鑰；

基于所述匿名身份信息、所述密鑰計(jì)算參數(shù)、所述共享密鑰、所述第一公鑰以及所述第三單向散列函數(shù)獲取消息摘要密鑰；

基于所述匿名身份信息、所述第一公鑰和第一消息認(rèn)證碼獲取所述第一密鑰協(xié)商消息，所述第一消息認(rèn)證碼通過(guò)所述消息摘要密鑰加密得到，所述第一密鑰協(xié)商消息包括所述匿名身份信息、所述第一公鑰和所述第一消息認(rèn)證碼；

向所述服務(wù)器發(fā)送所述第一密鑰協(xié)商消息。

在一種可能的實(shí)施方式中，所述第二密鑰協(xié)商消息包括第二公鑰和第二消息認(rèn)證碼，所述第二消息認(rèn)證碼通過(guò)所述消息摘要密鑰加密得到；

所述根據(jù)所述第二密鑰協(xié)商消息獲取所述會(huì)話密鑰，包括：

根據(jù)所述消息摘要密鑰檢驗(yàn)所述第二密鑰協(xié)商消息的完整性；