(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111544402.4 (22)申请日 2021.12.16 (71)申请人 北京天融信网络安全技 术有限公司 地址 100085 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 李建国　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 于彬 (51)Int.Cl. H04W 4/30(2018.01) H04L 67/12(2022.01) H04W 12/069(2021.01)H04L 9/40(2022.01) H04L 9/32(2006.01) H04L 9/08(2006.01) G16Y 30/10(2020.01) (54)发明名称 共享密钥的通信方法、 系统及存 储介质 (57)摘要 本申请提供一种共享密钥的通信方法、 系统 及存储介质， 其中， 所述共享密钥的通信方法包 括： 所述物联网信任锚设备建立与所述受限物联 网设备的信任关系； 所述服务器与所述物联网信 任锚设备通信连接， 并通过所述物联网信任锚设 备获取用于访问所述受限物联网设备的第一临 时共享密钥和链接随机数； 所述服务器基于所述 第一临时共 享密钥和所述链 接随机数、 PSK_D TLS 协议， 建立与所述受限物联网设备之间的通信连 接。 本申请能够降低在基于对称密钥实现端到端 的安全连接过程中， 对受限物联网设备的内存和 ROM的占用率、 提高密钥的安全性、 降低受限物联 网设备的性能要求。 权利要求书2页 说明书10页 附图1页 CN 114302356 A 2022.04.08 CN 114302356 A 1.一种基于共享密钥的通信方法， 其特征在于， 所述方法应用所述基于共享密钥的通 信系统， 所述系统包括受限物联网设备、 物联网信任 锚设备、 服 务器， 所述方法包括： 所述物联网信任 锚设备建立与所述受限物联网设备的信任关系； 所述服务器与 所述物联网信任锚设备通信连接， 并通过所述物联网信任锚设备获取用 于访问所述受限物联网设备的第一临时共享密钥和链接随机数； 所述服务器基于所述第一临时共享密钥和所述链接随机数、 PSK_DTLS协议， 建立与所 述受限物联网设备之间的通信连接 。 2.如权利要求1所述的方法， 其特征在于， 所述物联网信任锚设备建立与所述受限物联 网设备的信任关系， 包括： 所述受限物联网设备存 储主对称密钥； 所述物联网信任锚设备生成用于存储所述受限物联网设备的信 息的第一数据表， 所述 受限物联网的信息包括主对称密钥和所述受限物联网设备的ID、 所述受限物联网设备的IP 地址； 所述物联网信任 锚设备响应 证书部署指令， 以存 储证书信息； 所述物联网信任锚设备生成第 二数据表， 所述第 二数据表用于存储允许访问所述受限 物联网设备的服 务器权限信息 。 3.如权利要求2所述的方法， 其特征在于， 所述服务器权限信 息包括可访问的服务器的 ID、 访问账号、 访问密码、 和所述 服务器允许访问的所述受限物联网设 设备的ID。 4.如权利要求2所述的方法， 其特征在于， 所述服务器与 所述物联网信任锚设备通信连 接， 并通过所述物联网信任锚设备获取用于访问所述受限物 联网设备的第一临时共享密钥 和链接随机数， 包括： 所述服务器与所述物联网信任 锚设备建立TLS安全连接； 所述服务器和所述物联网信任 锚设备基于所述证书信息和证书机制进行相互认证； 当所述服务器认证通过和所述物联网信任锚设备认证通过后， 所述服务器向所述物联 网信任锚设备发送密钥获取请求， 所述密钥获取请求携带所述服务器的ID和所述受限物联 网设备的ID； 所述物联网信任锚设备基于所述服务器的ID和所述第二数据表确定所述服务器是否 有访问所述受限物联网设备的权限； 当所述服务器有访问所述受限物联网设备的权限时， 所述物联网信任锚设备基于所述 第一数据表读取 所述受限物联网设备的序列号； 所述物联网信任锚设备基于所述受限物联网设备的序列号、 预设密钥导出算法的编 号、 所述物联网信任锚设备的ID、 所述服务器的身份信息、 所述受限物联网设备的ID和预设 密钥长度生成所述第一临时共享密钥和所述链接随机数； 所述物联网信任锚设备将所述第一临时共享密钥和所述链接随机数发送给所述服务 器； 所述服务器基于所述受限物联网设备的ID， 保存所述第 一临时共享密钥和所述链接随 机数。 5.如权利要求 4所述的方法， 其特 征在于， 受限物联网设备的序列号的初始值 为0； 以及， 在所述物联网信任锚设备将所述第 一临时共享密钥和所述链接随机数发送给所权　利　要　求　书 1/2 页 2 CN 114302356 A 2述服务器之后， 所述方法还 包括： 所述物联网信任 锚设备更新所述受限物联网设备的序列号。 6.如权利要求5所述的方法， 其特征在于， 所述物联网信任锚设备基于所述受限物联网 设备的序列号、 预设密钥导出算法的编号、 所述物联网信任锚设备的ID、 所述服务器的身份 信息、 所述受限物联网设备的ID和预设密钥长度生成所述第一临 时共享密钥和所述链接随 机数， 包括： 基于BASE64编码器对所述受限物联网设备的序列号、 预设密钥导出算法的编 号、 所述物联网信任锚设备的ID、 所述服务器的身份信息、 所述受限物联网设备的ID和预设 密钥长度进行编码， 生成所述链接随机数； 基于BASE 64解码器对所述链接随机数进行解码， 得到所述第一临时共享密钥的ID； 所述物联网信任锚设备将所述第一临时共享密钥的ID、 所述主对称密钥作为所述 SHA256算法的输入参数， 并通过 所述SHA256算法得到所述第一临时共享密钥。 7.如权利要求6所述的方法， 其特征在于， 所述服务器基于所述第 一临时共享密钥和所 述链接随机数、 P SK_DTLS协议， 建立与所述受限物联网设备之间的通信连接， 包括： 所述服务器向所述受限物联网设备发送认证请求， 所述认证请求携带所述链接随机 数； 所述受限物联网设备基于所述链接随机数和所述主对称密钥生成第 二临时共享密钥， 所述第二临时共享密钥与所述第一临时共享密钥为对称密钥； 所述基于所述第 二临时共享密钥与 所述第一临时共享密钥， 建立与 所述受限物联网设 备之间的通信连接 。 8.如权利要求7所述的方法， 其特征在于， 在所述服务器向所述受限物联网设备发送认 证请求之后， 所述受限物联网设备基于所述链接随机数和所述主对称密钥生成第二临时共 享密钥之前， 所述方法还 包括： 所述受限物联网设备验证所述链接随机数的长度是否在预设长度范围内； 当所述链接随机数的长度在预设长度范围内时， 所述受限物联网设备基于Base64解码 器对所述链接随机数进行解码， 并得到解码信息； 所述受限物联网设备判断所述 解码信息的长度是否等于预设长度阈值； 当所述解码信 息的长度等于所述预设长度阈值 时， 所述受限物联网设备将所述解码信 息与所述受限物联网设备的信息进行比较， 以验证所述 解码信息是否正确； 当所述解码信 息验证正确时， 执行所述受限物联网设备基于所述链接随机数和所述主 对称密钥生成第二临时共享密钥。 9.一种基于共享密钥的通信系统， 其特征在于， 所述基于共享密钥的通信系统， 所述系 统包括受限物联网设备、 物联网信任锚设备、 服务器， 其中所述服务器通过如权利要求1 ‑8 任一项所述的方法， 建立与所述受限物联网设备的通信连接 。 10.一种存储介质， 其特征在于， 所述存储介质存储有计算机指令， 所述计算机指令被 调用时， 用于执 行如权利要求1 ‑8任一项所述的基于共享密钥的通信方法。权　利　要　求　书 2/2 页 3 CN 114302356 A 3