(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111407181.6 (22)申请日 2021.11.24 (71)申请人 杭州安恒信息技 术股份有限公司 地址 310000 浙江省杭州市滨江区西兴街 道联慧街18 8号 (72)发明人 缪晓　范渊　黄进　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 代理人 姚莹丽 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/08(2006.01) (54)发明名称 一种加密通信方法、 系统及存 储介质 (57)摘要 本发明提供一种加密通信方法、 系统及存储 介质， 方法包括： 设备端在触发通信事件时， 与服 务端协商非对称加密算法及密钥对， 并利用非对 称加密算法及密钥对与服务端建立第一安全通 道； 设备端通过第一安全通道与服务端交换证 书； 证书包括设备端的第一证书和服务端的第二 证书； 设备端对第二证书进行验证， 同时服务端 对第一证书进行验证； 在设备端和服务端均确定 对端通过验证后， 设备端通过第一安全通道与服 务端协商对称加密算法和会话密钥； 设备端利用 对称加密算法和会话密钥服务端建立第二安全 通道， 并通过第二安全通道与服务端传输应用数 据； 可通过非对称加密、 证书验证及对称加密相 混合的方式提升物联网设备与服务端之间的通 信安全。 权利要求书2页 说明书9页 附图2页 CN 114039793 A 2022.02.11 CN 114039793 A 1.一种加密通信方法， 其特 征在于， 包括： 设备端在触发通信事件时， 与服务端协商非对称加密算法及密钥对， 并利用所述非对 称加密算法及所述密钥对与所述 服务端建立第一 安全通道； 所述设备端通过所述第 一安全通道与所述服务端交换证书； 所述证书包括所述设备端 的第一证书和所述 服务端的第二证书； 所述设备端对所述第二证书 进行验证， 同时所述 服务端对所述第一证书 进行验证； 在所述设备端和所述服务端均确定对端通过验证后， 所述设备端通过所述第 一安全通 道与所述 服务端协商对称加密算法和会话密钥； 所述设备端利用所述对称加密算法和所述会话密钥所述服务端建立第 二安全通道， 并 通过所述第二 安全通道与所述 服务端传输应用数据。 2.根据权利要求1所述的加密通信方法， 其特征在于， 所述与服务端协商非对称加密算 法及密钥对， 包括： 所述设备端向所述服务端发送握手请求； 所述握手请求中包含所述设备端支持的可选 非对称加密算法； 所述服务端从所述可选非对称加密算法中确定所述非对称加密算法， 并生成所述密钥 对； 所述密钥对 包含公钥和私钥； 所述服务端将所述非对称加密算法和所述公钥发送至所述设备端。 3.根据权利要求2所述的加密通信方法， 其特征在于， 所述设备端通过所述第 一安全通 道与所述 服务端交换证书， 包括： 所述设备端利用所述目标非对称加密算法及所述公钥加密所述第一证书得到第一加 密证书， 并将所述第一加密证书发送至所述 服务端； 所述服务端利用所述目标非对称加密算法及所述私钥加密所述第二证书得到第二加 密证书， 并将所述第二加密证书发送至所述设备端； 所述设备端利用所述公钥对所述第二加密证书 进行解密得到所述第二证书； 所述服务端利用所述私钥对所述第一加密证书 进行解密得到所述第一证书。 4.根据权利要求1所述的加密通信方法， 其特征在于， 所述设备端通过所述第 一安全通 道与所述 服务端协商对称加密算法和会话密钥， 包括： 所述设备端通过所述第 一安全通道向所述服务端发送算法协商请求； 所述算法协商请 求中包含所述设备端支持的可选对称加密算法； 所述服务端从所述可选对称加密算法中确定所述对称加密算法， 并通过所述第 一安全 通道将所述对称加密算法发送至所述设备端； 所述设备端利用预设密钥协商算法及所述第一安全通道与所述服务端协商所述会话 密钥。 5.根据权利要求1至4任一项所述的加密通信方法， 其特征在于， 所述设备端及所述服 务端均设置有用于存 储所述证书的硬件可信单 元， 在设备端触发通信事 件之前， 还 包括： 所述设备端及所述服务端接收证书平台所签发的所述证书， 并将所述证书保存至所述 硬件可信单 元。 6.根据权利要求5所述的加密通信方法， 其特征在于， 所述通过所述第 二安全通道与 所 述服务端传输应用数据， 包括：权　利　要　求　书 1/2 页 2 CN 114039793 A 2所述设备端利用所述设备端的硬件可信单元、 所述对称加密算法及所述会话密钥加密 所述应用数据得到加密应用数据， 并将所述加密应用数据发送至所述 服务端； 所述服务端利用所述服务端的硬件可信单元、 所述对称加密算法及所述会话密钥解密 所述加密应用数据， 得到所述应用数据。 7.一种加密通信系统， 其特 征在于， 包括： 设备端和服 务端， 其中， 所述设备端， 用于在触发通信事件时， 与所述服务端协商非对称加密算法及密钥对， 并 利用所述 非对称加密算法及密钥对与所述服务端建立第一安全通道； 通过所述第一安全通 道与所述服务端交换证书； 所述证书包括所述设备端的第一证书和所述服务端的第二证 书； 对所述第二证书进 行验证； 在所述设备端和所述服务端均确定对端通过验证后， 通过所 述第一安全通道与所述服务端协商对称加密算法和会话密钥； 利用所述对称加密算法和会 话密钥所述服务端建立第二安全通道， 并通过所述第二安全通道与所述服务端传输应用数 据； 所述服务端， 用于与所述设备端协商所述非对称加密算法及所述密钥对， 并利用所述 非对称加密算法及所述密钥对与所述设备端建立所述第一安全通道； 通过所述第一安全通 道与所述设备端交换所述证书； 对所述第一证书进行验证； 在所述设备端和所述服务端均 确定对端通过验证后， 通过所述第一安全通道与所述设备端协商 所述对称加密算法和所述 会话密钥； 利用所述对称加密算法和所述会话密钥所述设备端建立所述第二安全通道， 并 通过所述第二 安全通道与所述设备端传输应用数据。 8.根据权利要求7 所述的加密通信系统， 其特 征在于， 所述设备端， 还用于向所述服务端发送握手请求； 所述握手请求中包含所述设备端支 持的可选非对称加密算法； 接收所述 服务端发送的所述非对称加密算法和公钥； 所述服务端， 还用于从所述可选非对称加密算法中确定所述非对称加密算法， 并生成 所述密钥对； 所述密钥对包含所述公钥和私钥； 将所述非对称加密算法和所述公钥发送至 所述设备端。 9.根据权利要求8所述的加密通信系统， 其特 征在于， 所述设备端， 还用于利用所述目标非对称加密算法及所述公钥加密所述第 一证书得到 第一加密证书， 并将所述第一加密证书发送至所述服务端； 利用所述公钥对所述第二加密 证书进行解密得到所述第二证书； 所述服务端， 还用于利用所述目标非对称加密算法及所述公钥加密所述第 二证书得到 第二加密证书， 并将所述第二加密证书发送至所述设备端； 利用所述私钥对所述第一加密 证书进行解密得到所述第一证书。 10.一种存储介质， 其特征在于， 所述存储介质上存储有计算机程序， 所述计算机程序 被处理器执行时实现如权利要求1至 6任一项所述的加密通信方法的步骤。权　利　要　求　书 2/2 页 3 CN 114039793 A 3