一种加密通信方法、终端、设备、云端设备及介质与流程

本发明涉及互联网技术领域，尤其涉及一种加密通信方法、终端、设备、云端设备及介质。

背景技术：

智能设备(intelligentdevice)是指任何一种具有计算处理能力的设备、器械或者机器。当计算机技术变得越来越先进，越来越廉价时，就能够构筑各种类型的设备，除了个人和掌上电脑，还有许多智能设备，包括医学器械，地质设备和家用器具等。

智能设备通常具备连接网络的功能，并可通过智能终端上安装的app进行查询、绑定及管理等操作。

移动端app要实现对智能设备的管理和操作，需要通过网络进行通信。通过网络建立的通信方式称之为大循环通信，通过局域网建立的通信方式称之为小循环通信。

在同一局域网环境中的场景下，客户端app与智能设备需要进行直接通信，如果对这种直接通信的数据不做加密处理，将会产生信息泄露的安全问题。

现有的技术实现中，对通信加密所使用的密钥管理方式主要有两种：一种是预共享密钥，即事先分发存储固定的加密密钥。这种方式的密钥是固定的，不能更新密钥，不能抵御密钥泄露的风险；二是协商密钥，即在通信前通过特定协议(如diffie-helman)确定加密密钥。这种方式密钥是临时协商获得但双方交互确定密钥的过程对性能影响较大。在局域网的小循环通信中，智能设备和移动端app之间的通信数据加密所使用的密钥都是双方事先或现场协商确定。如果出现密钥泄露或协商过程中被窃听等攻击，则难以保证通信的安全性。

技术实现要素：

为了解决上述技术问题，本发明提供一种加密通信方法、终端、设备、云端设备及介质。

本发明提供的应用于终端的加密通信方法，包括：

与设备建立通信连接；

向云端设备发送密钥请求，密钥请求中携带设备的标识；

从云端设备接收密钥，此密钥是云端设备为设备生成的密钥；

使用密钥与设备进行加密通信。

上述应用于终端的加密通信方法还具有以下特点：

向云端设备发送密钥请求之前，方法还包括：将用户的标识与设备绑定，并将用户的标识和设备的绑定关系发送至云端设备；

密钥请求中携带在终端登录的用户的标识；

密钥是云端设备验证用户的标识和设备具有绑定关系后发送的设备的密钥。

上述应用于终端的加密通信方法还具有以下特点：

与设备建议通信连接之前，此方法还包括：搜索设备，从搜索到的设备中选择需建立通信连接的至少一设备。

本发明提供的应用于设备的加密通信方法包括：

与终端建立通信连接；

向云端设备发送密钥请求；

从云端设备接收密钥；

使用密钥与终端进行加密通信。

上述应用于设备的加密通信方法还具有以下特点：

向云端设备发送密钥请求包括：向云端设备发送携带密钥更新标识的密钥请求；

从云端设备接收密钥包括：从云端设备接收云端设备根据密钥更新标识更新后的密钥。

本发明提供的应用于云端设备的加密通信方法，包括：

接收设备的密钥请求；

根据设备的密钥请求确定设备的密钥，将设备的密钥发送至设备；

接收终端的密钥请求，从终端的密钥请求中解析出设备的标识，根据设备的标识确定设备的密钥，将设备的密钥发送至终端。

上述应用于云端设备的加密通信方法还具有以下特点：

接收的终端密钥请求中还包括用户标识；

接收终端的密钥请求后，此方法还包括：验证用户和设备是否具有绑定关系，在验证用户和设备具有绑定关系后，将设备的密钥发送至终端。

上述应用于云端设备的加密通信方法还具有以下特点：

接收设备的密钥请求后，此方法还包括：

确定密钥请求中是否携带有强制密钥更新标识；

在密钥请求中携带有强制密钥更新标识时，更新设备的密钥，得到更新后的密钥；

确定设备的密钥包括：将更新后的密钥作为设备的密钥。

上述应用于云端设备的加密通信方法还具有以下特点：

接收设备的密钥请求后，此方法还包括：

确定密钥请求中是否携带有非强制密钥更新标识；

在密钥请求中携带有非强制密钥更新标识时，确定设备的密钥的最近更新时间，在最近更新时间距当前时间的时长大于预设时长时，更新的密钥，得到更新后的密钥；

确定设备的密钥包括：在最近更新时间距当前时间的时长大于或等于预设时长时，将更新后的密钥作为设备的密钥；在最近更新时间距当前时间的时长小于预设时长时，将已记录的设备的密钥作为设备的密钥。

本发明提供的加密通信终端包括：

第一连接模块，用于与设备建立通信连接；

第一发送模块，用于向云端设备发送密钥请求，密钥请求中携带设备的标识；

第一接收模块，用于从云端设备接收密钥，密钥是云端设备为设备生成的密钥；

第一通信模块，用于使用密钥与设备进行加密通信。

本发明提供的加密通信设备包括：

第二连接模块，用于与终端建立通信连接；

第三发送模块，用于向云端设备发送密钥请求；

第二接收模块，用于从云端设备接收密钥；

第二通信模块，用于使用密钥与终端进行加密通信。

本发明提供的加密通信云端设备包括：

第四接收模块，用于接收设备的密钥请求；

第一确定模块，用于确定设备的密钥；

第四发送模块，用于将设备的密钥发送至设备；

第五接收模块，用于接收终端的密钥请求；

第二确定模块，用于从密钥请求中解析出设备的标识，根据设备的标识确定设备的密钥；

第五发送模块，用于将第二确定模块确定出的设备的密钥发送至终端。

本发明提供的计算机可读存储介质存储有计算机程序，此程序被处理器执行时实现上述方法的步骤。

本发明提供的计算机设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行此程序时实现上述方法的步骤。

本发明基于云端密钥管理分发机制来管理设备和终端之间通信所使用的密钥，实现了密钥快速分发和更新，保持终端和设备进行局域网小循环通信时通过广域网大循环方式从云端获取密钥，有效地避免了密钥管理不善所带来的通信加密措施失效的安全风险。

附图说明

构成本发明的一部分的附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是实施例一中以终端主体的加密通信方法的流程图；

图2是实施例一中终端的结构图；

图3是实施例二中以设备主体的加密通信方法的流程图；

图4是实施例二中设备的结构图；

图5是实施例三中以云端设备为主体的加密通信方法的流程图；

图6是实施例三中云端设备的结构图；

图7是具体实施例中加密通信方法的流程图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

实施例一

如图1所示，以终端主体的加密通信方法包括：

步骤101，与设备建立通信连接；

步骤102，向云端设备发送密钥请求，密钥请求中携带上述设备的标识；

步骤103，从云端设备接收密钥，此密钥是云端设备为上述设备生成的密钥；

步骤104，使用上述密钥与上述设备进行加密通信。

其中，

向云端设备发送密钥请求之前，此方法还包括：将用户的标识与上述设备绑定，并将上述用户的标识和上述设备的绑定关系发送至云端设备。步骤102中密钥请求中携带在终端登录的用户的标识。步骤103中的密钥是云端设备验证用户的标识和设备具有绑定关系后发送的设备的密钥。

步骤101之前还包括：搜索设备，从搜索到的设备中选择需建立通信连接的至少一设备。

如图2所示，加密通信终端，包括：

第一连接模块，用于与设备建立通信连接；

第一发送模块，用于向云端设备发送密钥请求，密钥请求中携带设备的标识；

第一接收模块，用于从云端设备接收密钥，密钥是云端设备为设备生成的密钥；

第一通信模块，用于使用密钥与设备进行加密通信。

其中，

此终端还包括绑定模块和第二发送模块。

绑定模块，用于将用户的标识与设备绑定；

第二发送模块，用于将用户的标识和设备的绑定关系发送至云端设备；

上述密钥请求中携带在终端登录的用户的标识。上述密钥是云端设备验证用户的标识和设备具有绑定关系后发送的设备的密钥。

此终端还包括搜索模块和选择模块。

搜索模块，用于搜索设备；

选择模块，用于从搜索到的设备中选择需建立通信连接的至少一设备。

实施例二

如图3所示，以设备主体的加密通信方法包括：

步骤301，与终端建立通信连接；

步骤302，向云端设备发送密钥请求；

步骤303，从云端设备接收密钥；

步骤304，使用密钥与终端进行加密通信。

其中，

步骤302中，向云端设备发送密钥请求包括：向云端设备发送携带密钥

更新标识的密钥请求。

步骤302中密钥请求还可以包括强制密钥更新标识或非强制密钥更新标识。

步骤303中，云端设备接收密钥包括：从云端设备接收云端设备根据密钥更新标识更新后的密钥。

如图4所示，加密通信设备，包括：

第二连接模块，用于与终端建立通信连接；

第三发送模块，用于向云端设备发送密钥请求；

第二接收模块，用于从云端设备接收密钥；

第二通信模块，用于使用密钥与终端进行加密通信。

其中，

第三发送模块包括第四发送模块，用于向云端设备发送携带密钥更新标识的密钥请求；

第二接收模块包括第三接收模块，用于从云端设备接收云端设备根据密钥更新标识更新后的密钥。

实施例三

如图5所示，以云端设备为主体的加密通信方法包括：

步骤501，接收设备的密钥请求；

步骤502，根据上述设备的密钥请求确定上述设备的密钥，将上述设备的密钥发送至上述设备；

步骤503，接收终端的密钥请求，从终端的密钥请求中解析出设备的标识，根据此设备的标识确定此设备的密钥，将此设备的密钥发送至上述终端。

其中，

步骤501中接收的终端密钥请求中还包括用户标识；

步骤502中接收终端的密钥请求后，还包括：验证用户和设备是否具有绑定关系，在验证用户和设备具有绑定关系后，将设备的密钥发送至终端。

云端设备在更新设备的密钥时，采用以下方式中的至少一种：

方式一

步骤501接收设备的密钥请求后，此方法还包括：确定密钥请求中是否携带有强制密钥更新标识；在密钥请求中携带有强制密钥更新标识时，更新设备的密钥，得到更新后的密钥。

步骤502中确定设备的密钥包括：将更新后的密钥作为设备的密钥。

方式二

步骤501接收设备的密钥请求后，此方法还包括：确定密钥请求中是否携带有非强制密钥更新标识；在密钥请求中携带有非强制密钥更新标识时，确定设备的密钥的最近更新时间，在最近更新时间距当前时间的时长大于预设时长时，更新的密钥，得到更新后的密钥。

步骤502中确定设备的密钥包括：在最近更新时间距当前时间的时长大于或等于预设时长时，将更新后的密钥作为设备的密钥；在最近更新时间距当前时间的时长小于预设时长时，将已记录的设备的密钥作为设备的密钥。

如图6所示，加密通信云端设备包括：

第四接收模块，用于接收设备的密钥请求；

第一确定模块，用于根据上述设备的密钥请求确定设备的密钥；

第四发送模块，用于将设备的密钥发送至设备；

第五接收模块，用于接收终端的密钥请求；

第二确定模块，用于从上述终端的密钥请求中解析出设备的标识，根据设备的标识确定设备的密钥；

第五发送模块，用于将第二确定模块确定出的设备的密钥发送至终端。

其中，

设备的密钥请求中还包括用户标识。

云端设备还包括验证模块，用于验证用户和设备是否具有绑定关系。第五发送模块还用于在用户和设备具有绑定关系时，将设备的密钥发送至终端。

云端设备还包括：

第三确定模块，用于在第四接收模块接收设备的密钥请求后，确定密钥请求中是否携带有强制密钥更新标识；

第一更新模块，用于在密钥请求中携带有强制密钥更新标识时，更新设备的密钥，得到更新后的设备的密钥；

第一确定模块，用于将第一更新模块确定的更新后的设备的密钥作为设备的密钥。

云端设备还包括：

第四确定模块，用于在第四接收模块接收设备的密钥请求后，确定密钥请求中是否携带有非强制密钥更新标识；

第二更新模块，用于在密钥请求中携带有非强制密钥更新标识时，确定设备的密钥的最近更新时间，在最近更新时间距当前时间的时长大于预设时长时，更新的密钥，得到更新后的设备的密钥；

第二确定模块，用于在最近更新时间距当前时间的时长大于或等于预设时长时，将更新后的密钥作为设备的密钥；在最近更新时间距当前时间的时长小于预设时长时，将已记录的设备的密钥作为设备的密钥。

本发明提供的计算机可读存储介质存储有计算机程序，此程序被处理器执行时实现上述方法的步骤。

本发明提供的计算机设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行此程序时实现上述方法的步骤。

具体实施例

通过终端将用户和设备的绑定关系发送至云端设备，或者，云端设备存储有用户和设备的绑定关系。

如图7所示，终端和设备进行加密通信的方法包括：

步骤1，终端通过局域网搜索设备，从搜索到的设备中选择一设备，获取此设备的标识。

步骤2，终端向设备发送通信请求。

步骤3，设备收到通信请求，验证在终端上登录的用户的身份，验证成功后，向终端发送通信响应。

步骤4，设备使用https协议向云端设备发送密钥请求。

步骤5，云端设备验证智能设备成功后，将设备的密钥发送至此设备。

在步骤4和5中，云端设备从设备接收到的密钥请求中携带有强制密钥更新标识时，更新设备的密钥，将更新后的密钥发送至设备。从设备接收到的密钥请求中未携带有强制密钥更新标识或携带非强制密钥更新标识时，确定设备的密钥的最近更新时间，在最近更新时间距当前时间的时长大于或等于预设时长时，更新此设备的密钥，将更新后的密钥发送至设备；在最近更新时间距当前时间的时长小于预设时长时，将已记录的设备的原密钥发送至设备。

步骤6，终端使用https协议向云端设备发送密钥请求，此密钥请求中携带设备的标识。终端将用户的标识与设备绑定，并将此用户的标识和设备的绑定关系发送至云端设备。

步骤7，云端设备验证此用户的标识和设备具有绑定关系后，将此设备的密钥发送至终端。

步骤8，终端和设备使用从云端设备接收到的密钥进行加密通信。

在此方法中，终端上用户解除与设备的绑定时，通知云端设备此用户和此设备的绑定关系解除，云端设备更新此设备的密钥，并下发至此设备。

本发明基于云端密钥管理分发机制来管理设备和终端之间通信所使用的密钥，实现了密钥快速分发和更新，保持终端和设备进行局域网小循环通信时通过广域网大循环方式从云端获取密钥，有效地避免了密钥管理不善所带来的通信加密措施失效的安全风险。

上面描述的内容可以单独地或者以各种方式组合起来实施，而这些变型方式都在本发明的保护范围之内。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现，相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括……”限定的要素，并不排除在包括所述要素的物品或者设备中还存在另外的相同要素。

以上实施例仅用以说明本发明的技术方案而非限制，仅仅参照较佳实施例对本发明进行了详细说明。本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的精神和范围，均应涵盖在本发明的权利要求范围当中。