局域网密钥协商方法、系统和计算机可读存储介质与流程

本申请涉及智能家居领域，特别是涉及一种局域网密钥协商方法、系统和计算机可读存储介质。

背景技术：

随着智能设备不断普及，给大家的生活带来了很多便利，但是安全问题越来越严重。加密是开放网络环境下安全通信的主要手段，密钥协商是加密过程中用户之间共享密钥的基本技术，它能够使多个用户通过不安全信道协商生成共享的会话密钥。产生的会话密钥可以为后续的通信过程提供保密、认证或完整性检验等安全服务。

目前己有许多认证密钥协商协议，其中应用最广泛的局域网密钥协商协议是椭圆曲线迪菲-赫尔曼秘钥交换（ellipticcurvediffie–hellmankeyexchange，ecdh）。但是由于ecdh密钥交换协议不验证公钥发送者的身份，因此无法阻止中间人攻击。如果有中间人截获了app的公钥，就可以替换为他自己的公钥，并将其发送给智能设备。中间人还可以截获智能硬件的公钥，替换为他自己的公钥，并将其发送给移动终端app。这样，中间人就可以轻松地对app与智能设备之间发送的任何消息进行解密。然后中间人就可以修改内容，用新的密钥对内容进行加密，发给智能设备。因此目前的局域网密钥协商协议在移动终端app和智能设备进行局域网通信的时候有被中间人攻击和重放的危险，造成隐私安全数据泄露，需要设计一个更加安全的密钥协商算法机制。

技术实现要素：

本申请提供一种局域网密钥协商方法、系统和计算机可读存储介质，以至少解决相关技术中的密钥协商协议难以防止中间人攻击，从而造成信息泄露的问题。

第一方面，本申请实施例提供了一种局域网密钥协商方法，应用于移动终端，所述方法包括：

根据智能设备的标识，从云端获取所述智能设备的局域网通信密钥，其中，所述智能设备携带有云端下发的与智能设备标识唯一对应的局域网通信密钥；

生成第一随机数，并利用所述局域网通信密钥对所述第一随机数进行加密得到第一数据；

将所述第一数据发送至所述智能设备，以触发所述智能设备通过自身的局域网通信密钥对所述第一数据进行解密得到第一解密结果，并触发所述智能设备通过所述局域网通信密钥对所述第一解密结果和自身生成的第二随机数进行加密得到第二数据；

接收所述智能设备发送的第二数据，并通过所述局域网通信密钥对所述第二数据进行解密，得到第二解密结果；

根据所述第二解密结果和所述第一随机数确定所述智能设备是否可信；

若可信，则根据所述第一随机数和所述第二随机数协商出会话密钥。

在其中一些实施例中，在所述通过云端获取与智能设备的局域网通信密钥之前，所述方法还包括：

在所述智能设备生产阶段，写入一个从云端分配的局域网通信密钥，所述局域网通信密钥与所述智能设备标识唯一对应。

在其中一些实施例中，所述根据智能设备的标识，从云端获取智能设备的局域网通信密钥包括：

所述移动终端发送需要连接路由器的服务集标识、密码以及自定义信息编码至所述智能设备，以在所述智能设备接收后找到对应的路由器并连接完成配网过程；

所述移动终端激活所述智能设备后，获取所述智能设备的标识；

根据所述智能设备的标识，从云端获取所述智能设备的局域网通信密钥。

在其中一些实施例中，利用所述局域网通信密钥，通过aes-256加密算法对所述第一随机数进行加密，得到所述第一数据。

在其中一些实施例中，所述根据所述第二解密结果和所述第一随机数确定所述智能设备是否可信包括：

判断所述第二解密结果中是否包括与所述第一随机数相同的数据；

若所述第二解密结果包括所述第一随机数，则确定所述智能设备可信。

在其中一些实施例中，所述根据所述第一随机数和所述第二随机数协商出会话密钥包括：

通过第二加密算法对所述第一随机数和所述第二随机数进行加密，得到所述会话密钥，并发送至所述智能设备；

接收所述智能设备发送的响应信息，完成密钥协商过程。

第二方面，本申请实施例提供了一种局域网密钥协商方法，应用于智能设备，所述方法包括：

接收移动终端发送的第一数据，所述第一数据通过局域网通信密钥对所述移动终端自身生成的第一随机数进行加密得到；所述局域网通信密钥是所述移动终端根据所述智能设备的标识从云端获取得到的；

利用自身携带的所述局域网通信密钥对所述第一数据进行解密得到第一解密结果，并生成第二随机数；并通过自身携带的所述局域网通信密钥对所述第一解密结果和所述第二随机数进行加密得到第二数据，并发送至所述移动终端；

接收所述移动终端发送的会话密钥，所述会话密钥是所述移动终端在验证所述智能设备可信后，通过所述第一随机数和所述第二随机数运算得到；

向所述移动终端发送响应数据，以响应所述移动终端的协商请求，完成密钥协商。

第三方面，本申请实施例提供了一种局域网密钥协商方法，所述方法包括：

智能设备与移动终端完成配网；

所述移动终端激活所述智能设备，并根据所述智能设备的标识，从云端获取所述智能设备的局域网通信密钥；所述局域网通信密钥为在所述智能设备生产阶段云端分配的局域网通信密钥，所述局域网通信密钥与所述智能设备标识唯一对应；

所述移动终端生成第一随机数，并根据所述智能设备的标识从云端获取所述局域网通信密钥，利用所述局域网通信密钥对所述第一随机数进行加密得到第一数据；

所述移动终端将所述第一数据发送至所述智能设备；

所述智能设备通过自身的局域网通信密钥对所述第一数据进行解密得到第一解密结果，并通过所述局域网通信密钥对所述第一解密结果和自身生成的第二随机数进行加密得到第二数据；

所述移动终端接收所述智能设备发送的第二数据，并通过所述局域网通信密钥对所述第二数据进行解密，得到第二解密结果；

所述智能设备根据所述第二解密结果和所述第一随机数确定所述智能设备是否可信；

若可信，则所述移动终端和所述智能设备根据所述第一随机数以及所述第二随机数协商出会话密钥。

第四方面，本申请实施例提供了一种局域网密钥协商系统，所述系统包括：移动终端、云端、智能设备；其中：

所述云端用于在所述智能设备生产阶段，分配一个与所述智能设备唯一对应的局域网通信密钥；

移动终端被配置为激活所述智能设备，并根据智能设备的标识，从云端获取所述智能设备的局域网通信密钥；

所述移动终端还被配置为生成第一随机数，并利用所述局域网通信密钥对所述第一随机数进行加密得到第一数据，并将所述第一数据发送至所述智能设备；

所述智能设备被配置为通过自身的局域网通信密钥对所述第一数据进行解密得到第一解密结果，并通过所述局域网通信密钥对所述第一解密结果和自身生成的第二随机数进行加密得到第二数据；

所述移动终端还被配置为接收所述智能设备发送的第二数据，并通过所述局域网通信密钥对所述第二数据进行解密，得到第二解密结果；根据所述第二解密结果和所述第一随机数确定所述智能设备是否可信；若可信，则根据所述第一随机数以及所述第二随机数协商出会话密钥。

第五方面，本申请实施例提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上述第一方面所述的局域网密钥协商方法。

相比于相关技术，本申请实施例提供的局域网密钥协商方法，包括根据智能设备的标识，从云端获取智能设备的局域网通信密钥，其中，所述智能设备携带有云端下发的与智能设备标识唯一对应的局域网通信密钥；生成第一随机数，并利用所述局域网通信密钥对所述第一随机数进行加密得到第一数据；将所述第一数据发送至所述智能设备，以触发所述智能设备通过自身的局域网通信密钥对所述第一数据进行解密得到第一解密结果，并触发所述智能设备通过所述局域网通信密钥对所述第一解密结果和自身生成的第二随机数进行加密得到第二数据；接收所述智能设备发送的第二数据，并通过所述局域网通信密钥对所述第二数据进行解密，得到第二解密结果；根据所述第二解密结果和所述第一随机数确定所述智能设备是否可信；若可信，则根据所述第一随机数和所述第二随机数协商出会话密钥，解决了相关技术中的密钥协商协议难以防止中间人攻击，从而造成信息泄露的问题。

本申请的一个或多个实施例的细节在以下附图和描述中提出，以使本申请的其他特征、目的和优点更加简明易懂。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为一个实施例中提供的应用于移动终端的局域网密钥协商方法的流程图；

图2为一个实施例中提供的传统的局域网密钥协商方法的流程图；

图3为一个实施例中提供的应用于智能设备的局域网密钥协商方法的流程图；

图4为一个实施例中提供的应用于系统的局域网密钥协商方法的流程图；

图5为一个实施例中提供的局域网密钥协商方法的交互示意图；

图6为一个实施例中提供的局域网密钥协商装置的结构框图；

图7为一个实施例中计算机设备的内部结构图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行描述和说明。应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。基于本申请提供的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。

显而易见地，下面描述中的附图仅仅是本申请的一些示例或实施例，对于本领域的普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图将本申请应用于其他类似情景。此外，还可以理解的是，虽然这种开发过程中所作出的努力可能是复杂并且冗长的，然而对于与本申请公开的内容相关的本领域的普通技术人员而言，在本申请揭露的技术内容的基础上进行的一些设计，制造或者生产等变更只是常规的技术手段，不应当理解为本申请公开的内容不充分。

在本申请中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是，本申请所描述的实施例在不冲突的情况下，可以与其它实施例相结合。

除非另作定义，本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制，可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形，意图在于覆盖不排他的包含；例如包含了一系列步骤或模块（单元）的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可以还包括没有列出的步骤或单元，或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电气的连接，不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，“a和/或b”可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象，不代表针对对象的特定排序。

本申请描述的各种技术可应用于智能家居，如智能门锁、智能台灯、防丢器等。

图1为一个实施例提供的局域网密钥协商方法的流程图，应用于移动终端，移动终端具体可以是移动终端内安装的app，以下均以app进行说明。如图1所示，该方法包括步骤110至步骤160；其中：

步骤110，根据智能设备的标识，从云端获取智能设备的局域网通信密钥，其中，智能设备携带有云端下发的与智能设备标识唯一对应的局域网通信密钥。

步骤120，生成第一随机数，并利用局域网通信密钥对第一随机数进行加密得到第一数据。

步骤130，将第一数据发送至智能设备，以触发智能设备通过自身的局域网通信密钥对第一数据进行解密得到第一解密结果，并触发智能设备通过局域网通信密钥对第一解密结果和自身生成的第二随机数进行加密得到第二数据。

步骤140，接收智能设备发送的第二数据，并通过局域网通信密钥对第二数据进行解密，得到第二解密结果。

步骤150，根据第二解密结果和第一随机数确定智能设备是否可信。

步骤160，若可信，则根据第一随机数和第二随机数协商出会话密钥。

传统地，采用的局域网密钥协商机制是利用ecdh，主要是用来在一个不安全的通道中建立起安全的共有加密资料，一般来说交换的都是私钥，这个密钥一般作为对称加密的密钥而被双方在后续数据传输中使用。ecdh是建立在这样一个前提之上的：给定椭圆曲线上的一个点p，一个整数k，求q=kp很容易；但是通过q，p求解k很难。ecdh密钥协商流程如图2所示。

app和智能设备要在一条不安全的线路上交换秘钥，交换的秘钥不能被中间人知晓。首先，app和智能设备完成配网，双方约定使用ecdh秘钥交换算法。这个时候双方也知道了ecdh算法里的一个大素数p，这个p可以看做是一个算法中的常量。p的位数决定了攻击者破解的难度。还有一个整数g，用来辅助整个秘钥交换过程，g不用很大，一般是2或者5，双方知道g和p之后就开始了ecdh交换秘钥的过程了。app知道了共用参数p和g，生成私有整数a作为私钥，app利用p，g，a通过公式g^amodp=a生成a作为公钥传递。智能设备通过链路收到app发来的p，g，a，知道了app的公钥a。这个时候智能设备也生成自己的私钥b，然后通过公式g^bmodp=b生成自己公钥b。在发送公钥b前，智能设备通过a^bmodp=k生成k作为公共秘钥，但是并不发送给app，只通过链路发送b。app收到智能设备发来的公钥b以后，同样通过b^amodp=k生成公共秘钥k，这样app和智能设备就通过不传递私钥a和b完成了对公共秘钥k的协商。

但是，由于ecdh密钥交换协议并不验证公钥发送者的身份，因此无法阻止中间人攻击。如果有中间人截获了app的公钥，就可以替换为他自己的公钥，并将其发送给智能设备。中间人还可以截获智能设备的公钥，替换为他自己的公钥，并将其发送给app。这样，中间人就可以轻松地对app与智能设备之间发送的任何消息进行解密。然后中间人就可以修改内容，用新的密钥对内容进行加密发给智能设备，从而容易造成信息泄露，信息传输不安全。

与现有技术相比，本申请提供的局域网密钥协商方法，通过在智能设备生产阶段，写入一个从云端分配的局域网通信密钥，局域网通信密钥与智能设备标识唯一对应，一机一密，不同的智能设备会分配不同的密钥。在app将智能设备激活后，会去云端获取此智能设备的局域网通信密钥，在局域网通信的时候利用该局域网通信密钥进行密钥协商，因为中间人无法获取局域网通信密钥，所以就无法伪造代理，从而可以阻止中间人攻击，提高数据传输的安全性。

在其中一些实施例中，通过云端获取智能设备的局域网通信密钥包括：

移动终端发送需要连接路由器的服务集标识、密码以及自定义信息编码至智能设备，以在智能设备接收后找到对应的路由器并连接完成配网过程；移动终端激活智能设备，并从云端获取智能设备的局域网通信密钥。

配网是用来解决物联网设备的连网需求的，主要通过某种方式把路由器的服务集标识（servicesetidentifier，ssid）和密码告知智能设备中的无线模块，然后智能设备可以根据收到的ssid和密码连接指定的路由器。

移动终端可以通过广播的方式来发送配网信息，例如移动终端可以对广播报文的长度字段编码以进行数据传递，智能设备在接收到广播报文之后对广播数据进行解码获得配网信息。或者，移动终端也可以通过组播的方式来发送配网信息，例如移动终端可以设置一组组播地址，将配网信息编码在组播地址之后的数据位中，然后通过组播包发送，使得智能设备可以对组播包进行解码获得配网信息；本申请对配网信息的发送及接收方式不做限定。

在移动终端激活智能设备后，根据智能设备的标识，从云端获取智能设备的局域网通信密钥。移动终端与智能设备激活绑定后，移动终端根据智能设备的标识向云端发送数据请求，请求获取该标识对应智能设备的局域网通信密钥。云端在接收到该请求后，查询存储的数据中是否有该智能设备的标识，若有，则将对应的局域网通信密钥下发至移动终端。

在其中一些实施例中，利用所述局域网通信密钥，通过aes-256加密算法对所述第一随机数进行加密，得到所述第一数据。

高级加密标准（advancedencryptionstandard，aes）加密函数为对称加密算法。设aes加密函数为e，则c=e（k，p），其中p为明文，k为密钥，c为密文。也就是说，把明文p和密钥k作为加密函数的参数输入，则加密函数e会输出密文c。采用aes加密方式，安全可靠，可以实现快速加密的目的，且保证网络通信的安全性，具有良好的应用前景。

aes加密算法使用128、192或256位密钥，并且用128位数据块分组对数据进行加密。aes对不同密钥大小的命名方式为aes-x，其中x是密钥大小。本申请中，采用aes-256加密算法，从而可以提升安全可靠性。可以理解的是，也可以采用aes-128加密算法或aes-192加密算法。

在其中一些实施例中，根据第二解密结果和第一随机数确定智能设备是否可信包括：

判断第二解密结果中是否包括与第一随机数相同的数据；

若第二解密结果包括第一随机数和第二随机数，则确定智能设备可信。

第二解密结果是移动终端根据从云端获取到的密钥对智能设备发送的第二数据进行解密得到的。理论上，如果发送方即智能设备可信，则第一解密结果应为第一随机数，那么第二数据为根据智能设备自身的局域网通信密钥对第一随机数和第二随机数进行加密得到。移动终端从云端获取到的局域网通信密钥为该智能设备对应的密钥，则根据该密钥对第二数据进行解密得到的解密结果应为第一随机数和第二随机数。因此，通过判断移动终端的解密结果，可以判定智能设备是否可信，若可信，则进一步根据第一随机数和第二随机数协商出会话密钥。通过从云端得到的局域网通信密钥验证智能设备是否可信，然后再进行后续的密钥协商，可以防止在移动终端和智能设备进行局域网通信的时候出现被中间人攻击和重放的危险，造成隐私安全数据泄露的问题，提高了密钥协商算法的安全性。

在其中一些实施例中，根据第一随机数和第二随机数协商出会话密钥包括：

通过第二加密算法对第一随机数和第二随机数进行加密，得到会话密钥，并发送至智能设备；

接收智能设备发送的响应信息，完成密钥协商过程。

在一实施例中，可以通过第一随机数^第二随机数协商出后面通信的会话密钥。

在协商出会话密钥后，智能设备向移动终端发送响应信息，以使移动终端可以知晓密钥协商完成，从而开始与智能设备进行通信。

本申请还提供了一种局域网密钥协商方法，应用于智能设备，如图3所示，方法包括步骤310至步骤340；其中：

步骤310，接收移动终端发送的第一数据，第一数据通过局域网通信密钥对移动终端自身生成的第一随机数进行加密得到；局域网通信密钥是移动终端根据智能设备的标识从云端获取得到的；

步骤320，利用自身携带的局域网通信密钥对第一数据进行解密得到第一解密结果，并生成第二随机数，通过自身携带的局域网通信密钥对第一解密结果和第二随机数进行加密得到第二数据，并发送至移动终端；

步骤330，接收移动终端发送的会话密钥，会话密钥是移动终端在验证智能设备可信后，通过第一随机数和第二随机数运算得到；

步骤340，向移动终端发送响应数据，以响应移动终端的协商请求，完成密钥协商。

本申请还提供了一种局域网密钥协商方法，如图4所示，方法包括步骤410至步骤480；其中：

步骤410，移动终端和智能设备完成配网；

步骤420，移动终端激活智能设备，并根据智能设备的标识，从云端获取智能设备的局域网通信密钥；局域网通信密钥为在智能设备生产阶段云端分配的局域网通信密钥，局域网通信密钥与智能设备标识唯一对应；

步骤430，移动终端生成第一随机数，并利用局域网通信密钥对第一随机数进行加密得到第一数据；

步骤440，移动终端将第一数据发送至智能设备；

步骤450，智能设备通过自身的局域网通信密钥对第一数据进行解密得到第一解密结果，并通过局域网通信密钥对第一解密结果和自身生成的第二随机数进行加密得到第二数据；

步骤460，移动终端接收智能设备发送的第二数据，并通过局域网通信密钥对第二数据进行解密，得到第二解密结果；

步骤470，智能设备根据第二解密结果和第一随机数确定智能设备是否可信；

步骤480，若可信，则移动终端和智能设备根据第一随机数以及第二随机数协商出会话密钥。

具体交互过程如图5所示。

1、智能设备在生产的时候会写入一个从云端分配的密钥，一机一密，不同的固件会分配不同的密钥；

2、app把智能设备激活后，会去云端获取此智能设备的localkey密钥；

3、app端在进行局域网密钥协商的时候，先生成一个16位的随机数randa，通过aes256encrypt(localkey,randa）对randa进行加密；

4、将加密后的randa发送给智能设备，智能设备通过localkey进行解密出randa，然后生成randb，通过aes256密钥为localkey对randa和randb进行加密，发送给app端；

5、app端通过localkey解密出randa和randb，对照本地的randa，如果相同，就认为数据可信，然后通过randa^randb协商出后面通信的密钥。

本实施例提供的方法，通过在智能设备生产的时候会写入一个从云端分配的密钥，一机一密，不同的智能设备会分配不同的密钥，app把智能设备入激活后，会去云端获取此智能设备的localkey密钥，在局域网通信的时候利用localkey进行密钥协商，因为中间人不知道localkey，所以就无法伪造代理，从而可以有效防止在app和智能设备在进行局域网通信的时候容易被进行中间人攻击，造成隐私安全数据泄露的问题，提高了通信的安全性。

应该理解的是，虽然图1、图3和图4的流程图中的各个步骤按照箭头的触发依次显示，但是这些步骤并不是必然按照箭头触发的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图1、图3和图4中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。

本申请还提供了一种局域网密钥协商系统，如图6所示，系统包括：移动终端610、云端620、智能设备630；其中：

云端620用于在智能设备生产阶段，分配一个与智能设备唯一对应的局域网通信密钥；

移动终端610被配置为激活智能设备，并根据智能设备的标识，从云端获取智能设备的局域网通信密钥；

移动终端610还被配置为生成第一随机数，并利用局域网通信密钥对第一随机数进行加密得到第一数据，并将第一数据发送至智能设备630；

智能设备630被配置为通过自身的局域网通信密钥对第一数据进行解密得到第一解密结果，并通过局域网通信密钥对第一解密结果和自身生成的第二随机数进行加密得到第二数据；

移动终端610还被配置为接收智能设备630发送的第二数据，并通过局域网通信密钥对第二数据进行解密，得到第二解密结果；根据第二解密结果和第一随机数确定智能设备是否可信；若可信，则根据第一随机数以及第二随机数协商出会话密钥。

本实施例提供的方法，通过在智能设备生产的时候会写入一个从云端分配的密钥，一机一密，不同的智能设备会分配不同的密钥，移动终端app把智能设备入激活后，会去云端获取此智能设备的局域网通信密钥，在局域网通信的时候利用该局域网通信密钥进行后续的密钥协商。由于局域网通信密钥是从云端获取的，且在交互过程中并不传输局域网通信密钥，因此中间人无法获取到该局域网通信密钥，所以就无法伪造代理，从而可以有效防止在app和智能设备在进行局域网通信的时候容易被进行中间人攻击，造成隐私安全数据泄露的问题，提高了通信的安全性。

另外，结合图1描述的本申请实施例局域网通信密钥协商方法可以由计算机设备来实现。图7为根据本申请实施例的计算机设备的硬件结构示意图。

计算机设备可以包括处理器71以及存储有计算机程序指令的存储器72。

具体地，上述处理器71可以包括中央处理器（cpu），或者特定集成电路（applicationspecificintegratedcircuit，简称为asic），或者可以被配置成实施本申请实施例的一个或多个集成电路。

其中，存储器72可以包括用于数据或指令的大容量存储器。举例来说而非限制，存储器72可包括硬盘驱动器（harddiskdrive，简称为hdd）、软盘驱动器、固态驱动器（solidstatedrive，简称为ssd）、闪存、光盘、磁光盘、磁带或通用串行总线（universalserialbus，简称为usb）驱动器或者两个或更多个以上这些的组合。在合适的情况下，存储器72可包括可移除或不可移除（或固定）的介质。在合适的情况下，存储器72可在数据处理装置的内部或外部。在特定实施例中，存储器72是非易失性（non-volatile）存储器。在特定实施例中，存储器72包括只读存储器（read-onlymemory，简称为rom）和随机存取存储器（randomaccessmemory，简称为ram）。在合适的情况下，该rom可以是掩模编程的rom、可编程rom（programmableread-onlymemory，简称为prom）、可擦除prom（erasableprogrammableread-onlymemory，简称为eprom）、电可擦除prom（electricallyerasableprogrammableread-onlymemory，简称为eeprom）、电可改写rom（electricallyalterableread-onlymemory，简称为earom）或闪存（flash）或者两个或更多个以上这些的组合。在合适的情况下，该ram可以是静态随机存取存储器（staticrandom-accessmemory，简称为sram）或动态随机存取存储器（dynamicrandomaccessmemory，简称为dram），其中，dram可以是快速页模式动态随机存取存储器（fastpagemodedynamicrandomaccessmemory，简称为fpmdram）、扩展数据输出动态随机存取存储器（extendeddateoutdynamicrandomaccessmemory，简称为edodram）、同步动态随机存取内存（synchronousdynamicrandom-accessmemory，简称sdram）等。

存储器72可以用来存储或者缓存需要处理和/或通信使用的各种数据文件，以及处理器72所执行的可能的计算机程序指令。

处理器71通过读取并执行存储器72中存储的计算机程序指令，以实现上述实施例中的任意一种局域网通信密钥协商方法。

在其中一些实施例中，计算机设备还可包括通信接口73和总线70。其中，如图7所示，处理器71、存储器72、通信接口73通过总线70连接并完成相互间的通信。

通信接口73用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。通信端口73还可以实现与其他部件例如：外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。

总线70包括硬件、软件或两者，将计算机设备的部件彼此耦接在一起。总线70包括但不限于以下至少之一：数据总线（databus）、地址总线（addressbus）、控制总线（controlbus）、扩展总线（expansionbus）、局部总线（localbus）。举例来说而非限制，总线70可包括图形加速接口（acceleratedgraphicsport，简称为agp）或其他图形总线、增强工业标准架构（extendedindustrystandardarchitecture，简称为eisa）总线、前端总线（frontsidebus，简称为fsb）、超传输（hypertransport，简称为ht）互连、工业标准架构（industrystandardarchitecture，简称为isa）总线、无线带宽（infiniband）互连、低引脚数（lowpincount，简称为lpc）总线、存储器总线、微信道架构（microchannelarchitecture，简称为mca）总线、外围组件互连（peripheralcomponentinterconnect，简称为pci）总线、pci-express（pci-x）总线、串行高级技术附件（serialadvancedtechnologyattachment，简称为sata）总线、视频电子标准协会局部（videoelectronicsstandardsassociationlocalbus，简称为vlb）总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下，总线70可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线，但本申请考虑任何合适的总线或互连。

该计算机设备可以基于获取到的程序指令，执行本申请实施例中的局域网通信密钥协商方法，从而实现结合图1描述的局域网通信密钥协商方法。

另外，结合上述实施例中的局域网通信密钥协商方法，本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令；该计算机程序指令被处理器执行时实现上述实施例中的任意一种局域网通信密钥协商方法。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对申请专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。