一种认证密钥配置方法、设备、系统及存储介质技术方案

本申请实施例提供一种认证密钥配置方法、设备、系统及存储介质。本申请实施例中，设备端可在安全通信连接过程中，自动触发服务端为设备端生成并下发认证密钥，或者自主生成认证密钥并上报至服务端，从而可实现认证密钥在设备端及服务端中的按需配置，设备端和服务端可基于认证密钥建立安全通信连接。据此，本实施例中，不再需要在产线中进行密钥烧制，而可实现在安全通信连接建立过程中按需配置认证密钥，这可有效降低对产线的影响。

【技术实现步骤摘要】
一种认证密钥配置方法、设备、系统及存储介质
本申请涉及网络安全
，尤其涉及一种认证密钥配置方法、设备、系统及存储介质。
技术介绍
为了保证通信数据的安全，通信双方通常需要进行链路双向认证，以建立安全传输通道，如TLS、SSL等。认证密钥是建立安全传输通道的基础，为此，需要在生产阶段通过密钥烧录操作将认证密钥预置到设备中，以实现在通信双方中预置认证密钥。然而，密钥烧录操作对产线的安全环境要求较高，而且，由于不同的设备端需要烧制不同的认证密钥，因此，密钥烧录应用程序需要适配不同的认证密钥，这导致产线改造次数过多，流程复杂，产线成本不断攀高。据此，亟需一种更便捷的认证密钥配置方案。
技术实现思路
本申请的多个方面提供一种认证密钥配置方法、设备、系统及存储介质，以更加便捷地在设备端中配置认证密钥，从而降低对产线的影响。本申请实施例提供一种认证密钥配置方法，适应于设备端，包括：获取认证密钥特定值，所述认证密钥特定值指示本地不存在建立安全通信连接所需的认证密钥；根据所述设备端的设备指纹和产品密钥，生成设备认证信息；将所述认证密钥特定值和所述设备认证信息封装到第一报文中；向服务端发送所述第一报文，以请求所述服务端为所述设备端生成并下发所述认证密钥；接收所述服务端为所述设备端生成并下发的所述认证密钥并保存在本地，以基于所述认证密钥与所述服务端建立安全通信连接。本申请实施例还提供一种认证密钥配置方法，适用于服务端，包括：接收设备端发送的第一报文，所述第一报文中携带有所述设备端的认证密钥特定值和设备认证信息，所述认证密钥特定值指示所述设备端的本地不存在建立安全通信连接所需的认证密钥；基于所述认证密钥特定值的触发，根据所述设备认证信息，对所述设备端进行身份认证，并在所述设备端通过身份认证的情况下，为所述设备端生成认证密钥；将所述认证密钥加密下发至所述设备端。本申请实施例还提供一种认证密钥配置方法，适用于设备端，包括：创建安全通信连接所需的认证密钥；根据所述设备端的设备指纹和认证密钥，生成设备认证信息；将所述设备认证信息和经加密后的所述认证密钥封装到第一报文中；将所述第一报文发送至所述服务端，以将所述认证密钥上报至所述服务端。本申请实施例还提供一种认证密钥配置方法，适用于服务端，包括：接收所述设备端发送的第一报文，所述第一报文中包含设备认证信息和经加密的所述认证密钥；根据所述设备认证信息对所述设备端进行身份认证，所述设备认证信息为所述设备端根据其设备指纹和所述认证密钥而生成的；若所述设备端通过身份认证，保存所述设备端上报的所述认证密钥，以基于所述认证密钥与所述设备端建立安全通信连接。本申请实施例还提供一种网络系统，包括设备端和服务端；所述设备端用于获取认证密钥特定值，所述认证密钥特定值指示本地不存在建立安全通信连接所需的认证密钥；根据所述设备端的设备指纹和产品密钥，生成设备认证信息；将所述认证密钥特定值和所述设备认证信息封装到所述第一报文中；向服务端发送所述第一报文；接收所述服务端下发的认证密钥并保存在本地，以基于所述认证密钥与所述服务端建立安全通信连接；所述服务端用于在根据所述第一报文，为所述设备端生成认证密钥，并加密下发至所述设备端。本申请实施例还提供一种设备端，包括存储器、处理器和通信组件；所述存储器用于存储一条或多条计算机指令；所述处理器与所述存储器和所述通信组件耦合，用于执行所述一条或多条计算机指令，以用于：获取认证密钥特定值，所述认证密钥特定值指示本地不存在建立安全通信连接所需的认证密钥；根据所述设备端的设备指纹和产品密钥，生成设备认证信息；将所述认证密钥特定值和所述设备认证信息封装到第一报文中；通过所述通信组件向服务端发送所述第一报文，以请求所述服务端为所述设备端生成并下发所述认证密钥；通过所述通信组件接收所述服务端为所述设备端生成并下发的所述认证密钥并保存在本地，以基于所述认证密钥与所述服务端建立安全通信连接。本申请实施例还提供一种服务端，包括存储器、处理器和通信组件；所述存储器用于存储一条或多条计算机指令；所述处理器与所述存储器和所述通信组件耦合，用于执行所述一条或多条计算机指令，以用于：通过所述通信组件接收设备端发送的第一报文，所述第一报文中携带有所述设备端的认证密钥特定值和设备认证信息，所述认证密钥特定值指示所述设备端的本地不存在建立安全通信连接所需的认证密钥；基于所述认证密钥特定值的触发，根据所述设备认证信息，对所述设备端进行身份认证，并在所述设备端通过身份认证的情况下，为所述设备端生成认证密钥；通过所述通信组件将所述认证密钥加密下发至所述设备端。本申请实施例还提供一种网络系统，包括设备端和服务端；所述设备端用于创建安全通信连接所需的认证密钥；根据所述设备端的设备指纹和所述认证密钥，生成设备认证信息；将所述设备认证信息和经加密后的所述认证密钥封装到第一报文中；将所述第一报文发送至所述服务端；所述服务端用于在接收到所述设备端上报的所述第一报文的情况下，对所述设备端进行身份认证，并在所述设备端通过身份认证的情况下，保存所述设备端上报的所述认证密钥，以基于所述认证密钥与所述设备端建立安全通信连接。本申请实施例还提供一种设备端，包括存储器、处理器和通信组件；所述存储器用于存储一条或多条计算机指令；所述处理器与所述存储器和所述通信组件耦合，用于执行所述一条或多条计算机指令，以用于：创建安全通信连接所需的认证密钥；根据所述设备端的设备指纹和认证密钥，生成设备认证信息；将所述设备认证信息和经加密后的所述认证密钥封装到第一报文中；通过所述通信组件将所述第一报文发送至所述服务端，以将所述认证密钥上报至所述服务端。本申请实施例还提供一种服务端，包括存储器、处理器和通信组件；所述存储器用于存储一条或多条计算机指令；所述处理器与所述存储器和所述通信组件耦合，用于执行所述一条或多条计算机指令，以用于：通过所述通信组件接收所述设备端发送的第一报文，所述第一报文中包含设备认证信息和经加密的所述认证密钥；根据所述设备认证信息对所述设备端进行身份认证，所述设备认证信息为所述设备端根据其设备指纹和所述认证密钥而生成的；若所述设备端通过身份认证，保存所述设备端上报的所述认证密钥，以基于所述认证密钥与所述设备端建立安全通信连接。本申请实施例还提供一种存储计算机指令的计算机可读存储介质，当所述计算机指令被一个或多个处理器执行时，致使所述一个或多个处理器执行前述的认证密钥配置方法。在本申请实施例中，设备端可在安全通信连接过程中，自动触发服务端为设备端生成并下发认证密钥，从而可实现认证密钥在设备端及服务端中的按需配置，设备端和服本文档来自技高网...

【技术保护点】
1.一种认证密钥配置方法，适应于设备端，其特征在于，包括：/n获取认证密钥特定值，所述认证密钥特定值指示本地不存在建立安全通信连接所需的认证密钥；/n根据所述设备端的设备指纹和产品密钥，生成设备认证信息；/n将所述认证密钥特定值和所述设备认证信息封装到第一报文中；/n向服务端发送所述第一报文，以请求所述服务端为所述设备端生成并下发所述认证密钥；/n接收所述服务端为所述设备端生成并下发的所述认证密钥并保存在本地，以基于所述认证密钥与所述服务端建立安全通信连接。/n

【技术特征摘要】
1.一种认证密钥配置方法，适应于设备端，其特征在于，包括：
获取认证密钥特定值，所述认证密钥特定值指示本地不存在建立安全通信连接所需的认证密钥；
根据所述设备端的设备指纹和产品密钥，生成设备认证信息；
将所述认证密钥特定值和所述设备认证信息封装到第一报文中；
向服务端发送所述第一报文，以请求所述服务端为所述设备端生成并下发所述认证密钥；
接收所述服务端为所述设备端生成并下发的所述认证密钥并保存在本地，以基于所述认证密钥与所述服务端建立安全通信连接。


2.根据权利要求1所述的方法，其特征在于，在获取认证密钥特定值之前，所述方法还包括：
响应于建立安全通信连接的触发，判断本地是否存在安全通信连接所需的所述认证密钥；
若确定本地不存在所述认证密钥，执行所述获取认证密钥特定值的操作。


3.根据权利要求1所述的方法，其特征在于，根据所述设备端的设备指纹和产品密钥，生成设备认证信息，包括：
基于所述设备指纹生成基准摘要；
根据所述产品密钥对所述设备指纹进行加密；
根据所述基准摘要和经所述产品密钥加密后的设备指纹，生成所述设备认证信息，以供所述服务端对所述设备端进行身份认证。


4.根据权利要求3所述的方法，其特征在于，所述设备认证信息还包括：经所述产品密钥加密后的会话密钥，用于供服务端在下发所述认证密钥时对所述认证密钥进行加密。


5.根据权利要求3所述的方法，其特征在于，所述设备认证信息还包括：产品密钥标识，以供所述服务端获取所述产品密钥以对所述设备端进行身份认证。


6.根据权利要求1～5任一项所述的方法，其特征在于，还包括：
接收所述服务端为所述设备端生成的认证密钥标识；
基于所述认证密钥标识及所述认证密钥，与所述服务端建立安全通信连接。


7.一种认证密钥配置方法，适用于服务端，其特征在于，包括：
接收设备端发送的第一报文，所述第一报文中携带有所述设备端的认证密钥特定值和设备认证信息，所述认证密钥特定值指示所述设备端的本地不存在建立安全通信连接所需的认证密钥；
基于所述认证密钥特定值的触发，根据所述设备认证信息，对所述设备端进行身份认证，并在所述设备端通过身份认证的情况下，为所述设备端生成认证密钥；
将所述认证密钥加密下发至所述设备端。


8.根据权利要求7所述的方法，其特征在于，所述设备认证信息中包含基准摘要和经所述设备端的产品密钥加密后的所述设备端的设备指纹，所述基准摘要为所述设备端根据其设备指纹而生成的；所述根据所述设备认证信息，对所述设备端进行身份认证，包括：
获取所述设备端的产品密钥；
基于所述设备端的产品密钥，解密出所述设备端的设备指纹；
按照与所述设备端约定的摘要生成规则，基于解密出的设备指纹生成认证摘要；
根据所述认证摘要与所述基准摘要，对所述设备端进行身份认证。


9.根据权利要求7所述的方法，其特征在于，所述设备认证信息中还包含经所述设备端的产品密钥加密后的会话密钥，所述将所述认证密钥加密下发至所述设备端，包括：
获取所述设备端的产品密钥；
基于所述设备端的产品密钥，解密出所述会话密钥；
基于所述会话密钥，将所述认证密钥加密下发至所述设备端。


10.根据权利要求8或9所述的方法，其特征在于，所述设备认证信息中还包含所述设备端的产品密钥标识，所述获取所述设备端的产品密钥，包括：
从产品密钥集中，查找与所述产品密钥标识对应的目标产品密钥，将所述目标产品密钥确定为所述设备端的产品密钥。


11.根据权利要求7-10任一项所述的方法，其特征在于，还包括：
若所述设备端通过身份认证，为所述设备端生成认证密钥标识；
将所述认证密钥标识加密传输至所述设备端；
基于为所述设备端生成的所述认证密钥标识及所述认证密钥，与所述设备端建立安全通信连接。


12.一种认证密钥配置方法，适用于设备端，其特征在于，包括：
创建安全通信连接所需的认证密钥；
根据所述设备端的设备指纹和认证密钥，生成设备认证信息；
将所述设备认证信息和经加密后的所述认证密钥封装到第一报文中；
将所述第一报文发送至所述服务端，以将所述认证密钥上报至所述服务端。


13.根据权利要求12所述的方法，其特征在于，在创建安全通信连接所需的认证密钥之前，包括：
响应于建立安全通信连接的触发，判断本地是否存在安全通信连接所需的所述认证密钥；
若确定本地不存在所述认证密钥，执行所述创建安全通信连接所需的认证密钥的操作。


14.根据权利要求13所述的方法，其特征在于，所述根据所述设备端的设备指纹和认证密钥，生成设备认证信息，包括：
基于所述设备指纹生成基准摘要；
根据所述认证密钥对所述设备指纹进行加密；
根据所述基准摘要和经所述认证密钥加密后的设备指纹，生成所述设备认证信息，以供所述服务端对所述设备端进行身份认证。


15.根据权利要求14所述的方法，其特征在于，所述第一报文中的认证密钥经会话密钥加密；所述设备认证信息还包含经所述产品密钥加密后的会话密钥，用于供服务端解密出所述认证密钥以对所述设备端进行身份认证。


16.根据权利要求15所述的方法，其特征在于，所述设备认证信息中还包含产品密钥标识，用于供所述服务端获取所述产品密钥以解密出所述会话密钥。


17.根据权利要求12-16所述的方法，其特征在于，还包括：
接收所述服务端为所述设备端生成的认证密钥标识；
基于所述认证密钥标识及所述认证密钥，与所述服务端建立安全通信连接。


18.一种认证密钥配置方法，适用于服务端，其特征在于，包括：
接收所述设备端发送的第一报文，所述第一报文中包含设备认证信息和经加密的所述认证密钥；
...

【专利技术属性】
技术研发人员：王雪松，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛;KY