[发明专利]一种用于建立安全连接的方法、设备及系统

权利要求书

1.一种用于建立安全连接的方法，其特征在于，包括：

第一设备通过带外方式安全获得第二设备的第一公钥预算值；其中，所述第一公钥预算值为使用预设算法，基于第二设备的第一密钥交换公钥进行运算得到的值；

第一设备使用获得的第一公钥预算值加密所述第一设备的非对称加密公钥；

第一设备将加密后的非对称加密公钥以及第一设备的第二密钥交换公钥信息发送给第二设备，其中，所述第二密钥交换公钥信息包含所述第一设备的第二密钥交换公钥，所述第二密钥交换公钥用于所述第二设备使用所述第二密钥交换公钥以及所述第二设备的密钥交换私钥生成共享密钥，并利用生成的共享密钥与所述第一设备建立安全连接；

第一设备接收所述第二设备发送的加密的第二设备的第一密钥交换公钥，其中，所述加密的第一密钥交换公钥为所述第二设备使用第二设备的第一公钥预算值解密接收到的加密后的第一设备的非对称加密公钥，并使用解密后的第一设备的非对称加密公钥对第一密钥交换公钥进行加密得到的；

第一设备使用与所述非对称加密公钥对应的非对称加密私钥，对加密的第一密钥交换公钥解密；

第一设备使用预设算法，基于解密得到的第一密钥交换公钥进行运算，得到第二公钥预算值；

第一设备在第一公钥预算值与第二公钥预算值一致时，确定解密后的第一密钥交换公钥正确，使用所述第一设备的密钥交换私钥以及解密后的第一密钥交换公钥生成共享密钥，并利用所述共享密钥与所述第二设备建立安全连接。

2.如权利要求1所述的方法，其特征在于，还包括：

所述第一设备在生成所述共享密钥之后，生成第一验证信息，

其中，所述第一验证信息为所述第一设备使用生成的共享密钥将第一指定信息加密得到的第一加密值，或者，使用生成的共享密钥结合第一指定信息进行哈希运算得到的第一哈希值，或者，使用所述非对称加密私钥加密的第一指定信息生成的签名，所述第一指定信息为所述第一设备和所述第二设备预先约定的信息；

将所述第一验证信息发送给所述第二设备，

其中，所述第一验证信息用于所述第二设备根据接收到的所述第一验证信息验证所述第一设备是否可信。

3.如权利要求1或2所述的方法，其特征在于，还包括：

第一设备接收所述第二设备发送的第二验证信息，

其中，所述第二验证信息为所述第二设备生成共享密钥之后，使用生成的共享密钥对第二指定信息加密后得到的第二加密值，或者，使用生成的共享密钥结合第二指定信息进行哈希运算得到的第二哈希值，所述第二指定信息为所述第一设备和所述第二设备预先约定的信息；

所述第一设备在生成所述共享密钥之后，还包括：

当所述第二验证信息为所述第二加密值时，使用所述第一设备生成的共享密钥解密所述第二加密值；

根据解密后得到的第二指定信息是否正确，确定生成的共享密钥是否可用；

当所述第二验证信息为所述第二哈希值时，使用所述第一设备生成的共享密钥结合所述第二指定信息进行哈希运算；

根据所述第一设备得到的哈希值与所述第二哈希值是否匹配，确定生成的共享密钥是否可用。

4.如权利要求1或2所述的方法，其特征在于，在所述第一设备利用所述共享密钥与所述第二设备建立安全连接之后，还包括：

第一设备通过带外方式安全获得第三设备的公钥预算值；

将获得的第三设备的公钥预算值加密并发送给第二设备，

其中，所述第三设备的公钥预算值用于所述第二设备基于所述第三设备的公钥预算值与所述第三设备建立安全连接。