[发明专利]一种适于物联网通信环境的密钥在线协商方法及系统

权利要求书

1.一种适于物联网通信环境的密钥在线协商方法，其特征在于，包括以下步骤：

步骤一、服务端通过注册端口对客户端发生的连接请求进行监听，所述客户端预置有所述服务端的数字证书；

步骤二、身份明确的服务端接收客户端发送的信息结构体，所述信息结构体包含所述客户端的身份信息和通道连接协商信息；

步骤三、当服务端接收到所述信息结构体后，服务端使用预置的客户端数字证书或者注册客户端ID进行客户端的身份确认；

步骤四、服务端将确认通道连接协商信息反馈给客户端，当服务端反馈的通道连接协商信息被客户端接收后，确立所述客户端与所述服务端之间的安全通信通道；

所述服务端和客户端预定义有一致的对称密钥算法；

使用对端公钥进行通信数据加密和验签，使用本端私钥进行通信数据解密和签名；

所述对称密钥的生成来源包括：

a)使用服务端和客户端的随机数进行异或的结果作为对称密钥；

b)使用客户端的随机数生成对称密钥；

所述对称密钥的传递方式包括：

c)以加密对称密钥方式传递；

d)以加密随机数方式传递后，再合成对称密钥；

服务端和客户端之间采用双向数字证书的认证模式，认证过程中传递单随机数和传递对称密钥；

客户端预置服务端的数字证书，并预定义密钥算法，服务端预置客户端的数字证书或多个客户端的数字证书组，并预定义同样的密钥算法；

客户端产生随机数R1，客户端采用服务端公钥加密随机数R1得到密文C1，对密文C1签名得到S1，客户端向服务端发送连接请求包，连接请求包包含密文C1、密文C1签名得到的S1及客户端的ID；

服务端接收客户端的连接请求包，根据客户端ID选择对应客户端的数字证书，验证签名S1，通过则执行下一步，否则断开TCP，流程结束；

服务端对密文C1解密得到随机数R1，同时服务端产生随机数R2，随机数R2和随机数R1异或处理产生对称密钥K，用客户端的公钥加密对称密钥K得到密文C2，对密文C2签名得到S2；

服务端向客户端发送连接确认包，连接确认包包含密文C2和密文C2签名得到的S2；客户端接收服务端发送的连接确认包，对S2进行验证，通过则执行下一步，否则断开TCP，流程结束，验证通过后对密文C2解密得到对称密钥K，至此完成客户端和服务端的握手。

2.根据权利要求1所述的一种适于物联网通信环境的密钥在线协商方法，其特征在于，所述服务端与客户端之间的身份认证采用的模式为：客户端使用预置的服务端数字证书对服务端进行身份认证，服务端数字证书统一；服务端使用预置的客户端数字证书对客户端进行身份认证。

3.根据权利要求1所述的一种适于物联网通信环境的密钥在线协商方法，其特征在于，所述服务端与客户端之间的身份认证采用的模式为：客户端使用预置的服务端的数字证书对服务端进行身份认证，服务端数字证书统一；

服务端使用客户端注册的身份信息ID认证客户端，服务端预置客户端数字证书；注册客户端身份信息ID在预先注册服务端时得到且与服务端预置的客户端数字证书存在一对一的对应关系。

4.根据权利要求1所述的一种适于物联网通信环境的密钥在线协商方法，其特征在于，所述服务端与客户端之间的身份认证采用的模式为：客户端预置服务端数字证书对服务端进行身份认证，服务端数字证书统一；

服务端使用客户端注册的身份信息ID认证客户端，客户端身份信息ID在预先注册服务端时得到。

5.根据权利要求1所述的一种适于物联网通信环境的密钥在线协商方法，其特征在于，当客户端与服务端加密通信完毕后，客户端退出，双方销毁本次通信的密钥信息。