1.一种用于建立安全连接的方法,其特征在于,包括:
第一设备通过带外方式安全获得第二设备的第一公钥预算值;其中,所述第一公钥预算值为使用预设算法,基于第二设备的第一密钥交换公钥进行运算得到的值;
第一设备使用获得的第一公钥预算值加密所述第一设备的非对称加密公钥;
第一设备将加密后的非对称加密公钥以及第一设备的第二密钥交换公钥信息发送给第二设备,其中,所述第二密钥交换公钥信息包含所述第一设备的第二密钥交换公钥,所述第二密钥交换公钥用于所述第二设备使用所述第二密钥交换公钥以及所述第二设备的密钥交换私钥生成共享密钥,并利用生成的共享密钥与所述第一设备建立安全连接;
第一设备接收所述第二设备发送的加密的第二设备的第一密钥交换公钥,其中,所述加密的第一密钥交换公钥为所述第二设备使用第二设备的第一公钥预算值解密接收到的加密后的第一设备的非对称加密公钥,并使用解密后的第一设备的非对称加密公钥对第一密钥交换公钥进行加密得到的;
第一设备使用与所述非对称加密公钥对应的非对称加密私钥,对加密的第一密钥交换公钥解密;
第一设备使用预设算法,基于解密得到的第一密钥交换公钥进行运算,得到第二公钥预算值;
第一设备在第一公钥预算值与第二公钥预算值一致时,确定解密后的第一密钥交换公钥正确,使用所述第一设备的密钥交换私钥以及解密后的第一密钥交换公钥生成共享密钥,并利用所述共享密钥与所述第二设备建立安全连接。
2.如权利要求1所述的方法,其特征在于,还包括:
所述第一设备在生成所述共享密钥之后,生成第一验证信息,
其中,所述第一验证信息为所述第一设备使用生成的共享密钥将第一指定信息加密得到的第一加密值,或者,使用生成的共享密钥结合第一指定信息进行哈希运算得到的第一哈希值,或者,使用所述非对称加密私钥加密的第一指定信息生成的签名,所述第一指定信息为所述第一设备和所述第二设备预先约定的信息;
将所述第一验证信息发送给所述第二设备,
其中,所述第一验证信息用于所述第二设备根据接收到的所述第一验证信息验证所述第一设备是否可信。
3.如权利要求1或2所述的方法,其特征在于,还包括:
第一设备接收所述第二设备发送的第二验证信息,
其中,所述第二验证信息为所述第二设备生成共享密钥之后,使用生成的共享密钥对第二指定信息加密后得到的第二加密值,或者,使用生成的共享密钥结合第二指定信息进行哈希运算得到的第二哈希值,所述第二指定信息为所述第一设备和所述第二设备预先约定的信息;
所述第一设备在生成所述共享密钥之后,还包括:
当所述第二验证信息为所述第二加密值时,使用所述第一设备生成的共享密钥解密所述第二加密值;
根据解密后得到的第二指定信息是否正确,确定生成的共享密钥是否可用;
当所述第二验证信息为所述第二哈希值时,使用所述第一设备生成的共享密钥结合所述第二指定信息进行哈希运算;
根据所述第一设备得到的哈希值与所述第二哈希值是否匹配,确定生成的共享密钥是否可用。
4.如权利要求1或2所述的方法,其特征在于,在所述第一设备利用所述共享密钥与所述第二设备建立安全连接之后,还包括:
第一设备通过带外方式安全获得第三设备的公钥预算值;
将获得的第三设备的公钥预算值加密并发送给第二设备,
其中,所述第三设备的公钥预算值用于所述第二设备基于所述第三设备的公钥预算值与所述第三设备建立安全连接。
5.如权利要求1或2所述的方法,其特征在于,在所述第一设备利用所述共享密钥与所述第二设备建立安全连接之后,还包括:
第一设备通过带外方式安全获得第四设备的第三公钥预算值;
使用获得的第三公钥预算值加密所述第一设备的非对称加密公钥;
第一设备将加密后的非对称加密公钥发送给第四设备;
接收所述第四设备发送的加密的第四设备的第三密钥交换公钥,其中,所述加密的第三密钥交换公钥为所述第四设备使用第四设备的第三公钥预算值解密接收到的加密后的非对称加密公钥,并使用解密后的非对称加密公钥对第三密钥交换公钥进行加密得到的;
第一设备使用与所述非对称加密公钥对应的私钥,对加密的第三密钥交换公钥解密;
使用预设算法,基于解密得到的第三密钥交换公钥进行运算,得到第四公钥预算值;
第一设备在第三公钥预算值与第四公钥预算值一致时,确定解密后的第三密钥交换公钥正确,使用所述第一设备的密钥交换私钥以及解密后的第三密钥交换公钥生成共享密钥,并利用所述共享密钥与所述第四设备建立安全连接;
在所述第一设备与所述第二设备建立安全连接之后,以及所述第一设备与所述第四设备建立安全连接之后,还包括:
所述第一设备基于与第二设备生成的共享密钥,以及与第四设备生成的共享密钥,确定用于使所述第二设备和所述第四设备之间建立安全连接的连接信息;
将确定的所述连接信息分别发送给所述第二设备和所述第四设备。
6.如权利要求1或2所述的方法,其特征在于,第一设备的第二密钥交换公钥信息为明文的第一设备的第二密钥交换公钥,或者使用所述第二设备的第一公钥预算值加密的第二密钥交换公钥。
7.一种用于建立安全连接的方法,其特征在于,包括:
第一设备接收第二设备发送的加密的第二设备的非对称加密公钥,其中,所述加密的第二设备的非对称加密公钥为所述第二设备使用通过带外方式安全获得的第一设备的第一公钥预算值加密的;所述第一公钥预算值为使用预设算法,基于第一设备的第一密钥交换公钥进行运算得到的值;
第一设备使用第一设备的第一公钥预算值对接收到的加密后的非对称加密公钥解密,并使用解密后的非对称加密公钥加密第一设备的第一密钥交换公钥;
第一设备将加密后的第一密钥交换公钥发送给所述第二设备,用于所述第二设备使用与所述非对称加密公钥对应的非对称加密私钥,对加密的第一密钥交换公钥解密,并使用解密后的第一密钥交换公钥以及第二设备的密钥交换私钥生成用以与所述第一设备建立安全连接的共享密钥;
第一设备获得第二设备的第二密钥交换公钥;
第一设备使用所述第一设备的密钥交换私钥以及获得的第二密钥交换公钥生成共享密钥,并利用所述共享密钥与所述第二设备建立安全连接。
8.如权利要求7所述的方法,其特征在于,还包括:
第一设备接收所述第二设备发送的第三验证信息,
其中,所述第三验证信息为所述第二设备使用生成的共享密钥将第三指定信息加密得到的第三加密值,或者,为所述第二设备使用生成的共享密钥对第三指定信息进行哈希运算得到的第三哈希值,或者,为所述第二设备使用所述非对称加密私钥加密的第三指定信息生成的签名,所述第三指定信息为所述第一设备和所述第二设备预先约定的信息;
所述第一设备在生成所述共享密钥之后,还包括:
当所述第三验证信息为所述第三加密值时,所述第一设备使用所述第一设备生成的共享密钥解密所述第三加密值;
根据解密后得到的第三指定信息是否正确,确定生成的共享密钥是否可用;
当所述第三验证信息为所述第三哈希值时,所述第一设备使用所述第一设备生成的共享密钥对所述第三指定信息进行哈希运算;
根据所述第一设备得到的哈希值与所述第三哈希值是否匹配,确定生成的共享密钥是否可用;
当所述第三验证信息为所述加密的签名时,所述第一设备使用所述非对称加密公钥对所述加密的签名解密;
根据解密后得到的第三指定信息是否正确,确定所述第二设备是否可信。
9.如权利要求7或8所述的方法,其特征在于,还包括:
所述第一设备在生成所述共享密钥之后,使用生成的共享密钥生成第四验证信息,
其中,所述第四验证信息为所述第一设备使用生成的共享密钥将第四指定信息加密得到的第四加密值,或者,使用生成的共享密钥对第四指定信息进行哈希运算得到的第四哈希值,所述第四指定信息为所述第一设备和所述第二设备预先约定的信息;
将所述第四验证信息发送给所述第二设备,
其中,所述第四验证信息用于所述第二设备根据接收到的所述第四验证信息验证所述第一设备是否可信。
10.如权利要求7或8所述的方法,其特征在于,第一设备获得第二设备的第二密钥交换公钥,具体包括:
接收所述第二设备发送的第二密钥交换公钥信息,其中,所第二密钥交换公钥信息为明文的第二密钥交换公钥,或者使用所述第一设备的公钥预算值加密的第二密钥交换公钥;
当接收到的第二密钥交换公钥信息为加密的第二密钥交换公钥时,使用所述第一设备的公钥预算值将加密的第二密钥交换公钥解密,获得解密后的第二密钥交换公钥。
11.如权利要求7或8所述的方法,其特征在于,在利用所述共享密钥与所述第二设备建立安全连接之后,还包括:
第一设备接收所述第二设备发送的加密后的第三设备的第三公钥预算值;
将接收的加密后的第三公钥预算值解密,使用解密后的第三公钥预算值加密所述第一设备的非对称加密公钥;
第一设备将加密后的非对称加密公钥发送给所述第三设备;
接收所述第三设备发送的加密的第三密钥交换公钥,其中,所述加密的第三密钥交换公钥为所述第三设备使用第三设备的第三公钥预算值解密接收到的加密后的非对称加密公钥,并使用解密后的非对称加密公钥对第三密钥交换公钥进行加密得到的;
第一设备使用与所述非对称加密公钥对应的非对称加密私钥,对加密的第三密钥交换公钥解密;
使用预设算法,基于解密得到的第三密钥交换公钥进行运算,得到第四公钥预算值;
第一设备在第三公钥预算值与第四公钥预算值一致时,确定解密后的第三密钥交换公钥正确,使用所述第一设备的密钥交换私钥以及解密后的第三密钥交换公钥生成共享密钥,并利用所述共享密钥与所述第三设备建立安全连接。
12.一种用于建立安全连接的设备,其特征在于,包括:
获得模块,用于通过带外方式安全获得第二设备的第一公钥预算值;其中,所述第一公钥预算值为使用预设算法,基于第二设备的第一密钥交换公钥进行运算得到的值;
加密模块,用于使用所述获得模块获得的第一公钥预算值加密本设备的非对称加密公钥;
发送模块,用于将所述加密模块加密后的非对称加密公钥以及第一设备的第二密钥交换公钥信息发送给第二设备,其中,所述第二密钥交换公钥信息包含所述第一设备的第二密钥交换公钥,所述第二密钥交换公钥用于所述第二设备使用所述第二密钥交换公钥以及所述第二设备的密钥交换私钥生成共享密钥,并利用生成的共享密钥与所述第一设备建立安全连接;
接收模块,用于接收所述第二设备发送的加密的第二设备的第一密钥交换公钥,其中,所述加密的第一密钥交换公钥为所述第二设备使用第二设备的第一公钥预算值解密接收到的加密后的本设备的非对称加密公钥,并使用解密后的本设备的非对称加密公钥对第一密钥交换公钥进行加密得到的;
解密模块,用于使用与所述非对称加密公钥对应的非对称加密私钥,对所述接收模块接收的加密的第一密钥交换公钥解密;
运算模块,用于使用预设算法,基于所述解密模块解密得到的第一密钥交换公钥进行运算,得到第二公钥预算值;
生成模块,用于在第一公钥预算值与所述运算模块得到的第二公钥预算值一致时,确定解密后的第一密钥交换公钥正确,使用本设备的密钥交换私钥以及解密后的第一密钥交换公钥生成共享密钥,并利用所述共享密钥与所述第二设备建立安全连接。
13.如权利要求12所述的设备,其特征在于,所述生成模块,还用于在生成所述共享密钥之后,生成第一验证信息,其中,所述第一验证信息为所述生成模块使用生成的共享密钥将第一指定信息加密得到的第一加密值,或者,所述生成模块使用生成的共享密钥结合第一指定信息进行哈希运算得到的第一哈希值,或者,所述生成模块使用所述非对称加密私钥加密的第一指定信息生成的签名,所述第一指定信息为本设备和所述第二设备预先约定的信息;
所述发送模块,还用于将所述生成模块生成的所述第一验证信息发送给所述第二设备,其中,所述第一验证信息用于所述第二设备根据接收到的所述第一验证信息验证本设备是否可信。
14.如权利要求12或13所述的设备,其特征在于,所述接收模块,还用于接收所述第二设备发送的第二验证信息,其中,所述第二验证信息为所述第二设备生成共享密钥之后,使用生成的共享密钥对第二指定信息加密后得到的第二加密值,或者,使用生成的共享密钥结合第二指定信息进行哈希运算得到的第二哈希值,所述第二指定信息为本设备和所述第二设备预先约定的信息;
所述解密模块,还用于在生成所述共享密钥之后,当所述接收模块接收的所述第二验证信息为所述第二加密值时,使用所述生成模块生成的共享密钥解密所述第二加密值;以及当所述第二验证信息为所述第二哈希值时,使用所述生成模块生成的共享密钥结合所述第二指定信息进行哈希运算;
所述生成模块,还用于根据所述解密模块解密所述第二加密值后得到的第二指定信息是否正确,确定生成的共享密钥是否可用;以及根据所述解密模块对所述第二指定信息进行哈希运算得到的哈希值与所述第二哈希值是否匹配,确定生成的共享密钥是否可用。
15.如权利要求12或13所述的设备,其特征在于,所述获得模块,还用于在本设备利用所述共享密钥与所述第二设备建立安全连接之后,通过带外方式安全获得第三设备的公钥预算值;
所述发送模块,还用于将所述获得模块获得的第三设备的公钥预算值加密并发送给第二设备,其中,所述第三设备的公钥预算值用于所述第二设备基于所述第三设备的公钥预算值与所述第三设备建立安全连接。
16.如权利要求12或13所述的设备,其特征在于,所述获得模块,还用于在本设备利用所述共享密钥与所述第二设备建立安全连接之后,通过带外方式安全获得第四设备的第三公钥预算值;
所述加密模块,还用于使用所述获得模块获得的第三公钥预算值加密本设备的非对称加密公钥;
所述发送模块,还用于将所述加密模块加密后的非对称加密公钥发送给第四设备;
所述接收模块,还用于接收所述第四设备发送的加密的第四设备的第三密钥交换公钥,其中,所述加密的第三密钥交换公钥为所述第四设备使用第四设备的第三公钥预算值解密接收到的加密后的非对称加密公钥,并使用解密后的非对称加密公钥对第三密钥交换公钥进行加密得到的;
所述解密模块,还用于使用与所述非对称加密公钥对应的私钥,对所述接收模块接收的加密的第三密钥交换公钥解密;
所述运算模块,还用于使用预设算法,基于解密得到的第三密钥交换公钥进行运算,得到第四公钥预算值;
所述生成模块,还用于在第三公钥预算值与所述运算模块得到的第四公钥预算值一致时,确定解密后的第三密钥交换公钥正确,使用本设备的密钥交换私钥以及解密后的第三密钥交换公钥生成共享密钥,并利用所述共享密钥与所述第四设备建立安全连接;以及在本设备与所述第二设备建立安全连接之后,且本设备与所述第四设备建立安全连接之后,基于与第二设备生成的共享密钥,以及与第四设备生成的共享密钥,确定用于使所述第二设备和所述第四设备之间建立安全连接的连接信息;
所述发送模块,还用于将所述生成模块确定的所述连接信息分别发送给所述第二设备和所述第四设备。
17.如权利要求12或13所述的设备,其特征在于,所述发送模块发送的第一设备的第二密钥交换公钥信息为明文的第一设备的第二密钥交换公钥,或者使用所述第二设备的第一公钥预算值加密的第二密钥交换公钥。
18.一种用于建立安全连接的设备,其特征在于,包括:
接收模块,用于接收第二设备发送的加密的第二设备的非对称加密公钥,其中,所述加密的第二设备的非对称加密公钥为所述第二设备使用通过带外方式安全获得的本设备的第一公钥预算值加密的;所述第一公钥预算值为使用预设算法,基于本设备的第一密钥交换公钥进行运算得到的值;
解密模块,用于使用本设备的第一公钥预算值对所述接收模块接收到的加密后的非对称加密公钥解密;
加密模块,用于使用所述解密模块解密后的非对称加密公钥加密本设备的第一密钥交换公钥;
发送模块,用于将所述加密模块加密后的第一密钥交换公钥发送给所述第二设备,用于所述第二设备使用与所述非对称加密公钥对应的非对称加密私钥,对加密的第一密钥交换公钥解密,并使用解密后的第一密钥交换公钥以及第二设备的密钥交换私钥生成用以与本设备建立安全连接的共享密钥;
获得模块,用于获得第二设备的第二密钥交换公钥;
生成模块,用于使用本设备的密钥交换私钥以及所述获得模块获得的第二密钥交换公钥生成共享密钥,并利用所述共享密钥与所述第二设备建立安全连接。
19.如权利要求18所述的设备,其特征在于,所述接收模块,还用于接收所述第二设备发送的第三验证信息,其中,所述第三验证信息为所述第二设备使用生成的共享密钥将第三指定信息加密得到的第三加密值,或者,为所述第二设备使用生成的共享密钥对第三指定信息进行哈希运算得到的第三哈希值,或者,为所述第二设备使用所述非对称加密私钥加密的第三指定信息生成的签名,所述第三指定信息为本设备和所述第二设备预先约定的信息;
所述解密模块,还用于所述生成模块在生成所述共享密钥之后,当所述第三验证信息为所述第三加密值时,使用所述生成模块生成的共享密钥解密所述第三加密值;以及当所述第三验证信息为所述第三哈希值时,使用所述生成模块生成的共享密钥对所述第三指定信息进行哈希运算;以及当所述第三验证信息为所述加密的签名时,使用所述非对称加密公钥对所述加密的签名解密;
所述生成模块,还用于根据所述解密模块解密所述第三加密值后得到的第三指定信息是否正确,确定生成的共享密钥是否可用;以及根据所述解密模块对所述第三指定信息进行哈希运算得到的哈希值与所述第三哈希值是否匹配,确定生成的共享密钥是否可用;以及根据所述解密模块对所述加密的签名解密后得到的第三指定信息是否正确,确定所述第二设备是否可信。
20.如权利要求18或19所述的设备,其特征在于,所述生成模块,还用于在生成所述共享密钥之后,使用生成的共享密钥生成第四验证信息,其中,所述第四验证信息为所述生成模块使用生成的共享密钥将第四指定信息加密得到的第四加密值,或者,所述生成模块使用生成的共享密钥对第四指定信息进行哈希运算得到的第四哈希值,所述第四指定信息为本设备和所述第二设备预先约定的信息;
所述发送模块,还用于将所述生成模块生成的所述第四验证信息发送给所述第二设备,其中,所述第四验证信息用于所述第二设备根据接收到的所述第四验证信息验证本设备是否可信。
21.如权利要求18或19所述的设备,其特征在于,所述获得模块,具体用于接收所述第二设备发送的第二密钥交换公钥信息,其中,所第二密钥交换公钥信息为明文的第二密钥交换公钥,或者使用本设备的公钥预算值加密的第二密钥交换公钥;当接收到的第二密钥交换公钥信息为加密的第二密钥交换公钥时,使用本设备的公钥预算值将加密的第二密钥交换公钥解密,获得解密后的第二密钥交换公钥。
22.如权利要求18或19所述的设备,其特征在于,还包括:运算模块;
所述接收模块,还用于在所述生成模块利用所述共享密钥与所述第二设备建立安全连接之后,接收所述第二设备发送的加密后的第三设备的第三公钥预算值;
所述解密模块,还用于将所述接收模块接收的加密后的第三公钥预算值解密;
所述加密模块,还用于使用所述解密模块解密后的第三公钥预算值加密本设备的非对称加密公钥;
所述发送模块,还用于将加密后的非对称加密公钥发送给所述第三设备;
所述接收模块还用于在所述发送模块将加密后的非对称加密公钥发送给所述第三设备之后,接收所述第三设备发送的加密的第三密钥交换公钥,其中,所述加密的第三密钥交换公钥为所述第三设备使用第三设备的第三公钥预算值解密接收到的加密后的非对称加密公钥,并使用解密后的非对称加密公钥对第三密钥交换公钥进行加密得到的;
所述解密模块还用于使用与所述非对称加密公钥对应的非对称加密私钥,对所述接收模块接收的加密的第三密钥交换公钥解密;
所述运算模块,用于使用预设算法,基于所述解密模块解密得到的第三密钥交换公钥进行运算,得到第四公钥预算值;
所述生成模块,还用于在第三公钥预算值与第四公钥预算值一致时,确定解密后的第三密钥交换公钥正确,使用本设备的密钥交换私钥以及解密后的第三密钥交换公钥生成共享密钥,并利用所述共享密钥与所述第三设备建立安全连接。
23.一种用于建立安全连接的系统,其特征在于,包括:如权利要求12-17任一项所述的设备,以及如权利要求18-22任一项所述的设备。