CN108449346B

CN108449346B - 一种密钥生成客户端

Info

Publication number: CN108449346B
Application number: CN201810241948.4A
Authority: CN
Inventors: 田健生; 杨秩
Original assignee: Beijing Kexin Huatai Technology Co ltd
Current assignee: Beijing Kexin Huatai Technology Co ltd
Priority date: 2018-03-22
Filing date: 2018-03-22
Publication date: 2021-07-27
Anticipated expiration: 2038-03-22
Also published as: CN108449346A

Abstract

本发明涉及一种密钥生成客户端，包括连接请求模块、应答模块、密钥请求模块和密钥计算模块，其中：所述连接请求模块用于向另一个密钥生成客户端发送连接请求；所述应答模块由于在接收到连接请求后，发送应答消息；所述密钥请求模块用于向服务器请求密钥；所述密钥计算模块用于根据服务器返回的消息计算密钥。

Description

一种密钥生成客户端

【技术领域】

本发明属于密钥生成领域，尤其涉及一种密钥生成客户端。

【背景技术】

密钥是一种参数，它是在明文转换为密文或将密文转换为明文的算法中输入的参数。密钥分为对称密钥与非对称密钥。在现代计算机中，为了保证安全性，常常使用密钥对用户的信息进行加密，这就需要生成密钥。如何安全、可信、快速地生成密钥，是现代计算机中的一个重要课题。

【发明内容】

为了解决现有技术中的上述问题，本发明提供了一种密钥生成客户端。

本发明采用的技术方案具体如下：

一种密钥生成客户端，包括连接请求模块、应答模块、密钥请求模块和密钥计算模块，其中：

所述连接请求模块用于向另一个密钥生成客户端发送连接请求；

所述应答模块由于在接收到连接请求后，发送应答消息；

所述密钥请求模块用于向服务器请求密钥；

所述密钥计算模块用于根据服务器返回的消息计算密钥。

进一步地，所述密钥生成客户端还包括通信模块，用于与服务器和其他客户端进行通信。

进一步地，所述连接请求中包括随机的连接码和请求码。

进一步地，所述应答消息用于告知对方收到了连接请求。

进一步地，所述密钥生成客户端事先在服务器进行注册。

本发明的有益效果为：在不降低安全性的情况下，相对现有技术，本发明的方法更加简单可靠，降低了实现的复杂性，对计算能力要求低，可以应用于不同计算能力的设备。

【附图说明】

此处所说明的附图是用来提供对本发明的进一步理解，构成本申请的一部分，但并不构成对本发明的不当限定，在附图中：

图1是本发明密钥生成过程所涉及的三方；

图2是本发明密钥生成客户端的逻辑结构图。

【具体实施方式】

下面将结合附图以及具体实施例来详细说明本发明，其中的示意性实施例以及说明仅用来解释本发明，但并不作为对本发明的限定。

本发明的密钥生成客户端在运用时，逻辑上可以分成两方：密钥请求方和密钥接收方。在服务器的协助下，密钥请求方和密钥生成方之间生成密钥。

所述密钥请求方和接收方是网络上需要进行加密通信的双方。所述密钥请求方是发起所述加密通信的一方，并由所述密钥请求方发起密钥的生成过程。所述密钥接收方法是接受加密通信的一方，并配合所述密钥请求方发起的密钥生成过程。所述密钥生成客户端包括连接请求模块、应答模块、密钥请求模块和密钥计算模块。此外，所述密钥生成客户端还包括通信模块，用于与服务器和其他客户端进行通信。

所述服务器是一个中立的可信第三方，其用于在事先为需要生成密钥的各方进行注册，并为各方分别提供一个随机生成的秘密信息。例如，A到所述服务器进行注册，服务器对A的身份进行认证后，随机生成一个秘密信息Secret，优选的，为了保证足够的安全，Secret是不少于1024位的二进制数。该秘密信息提供给A，由A和服务器分别保存。

基于上述三方结构，下面对本发明生成密钥的过程进行详细说明：

(1)密钥请求方通过连接请求模块向密钥接收方发起连接请求，在连接请求中携带了一个连接码LA和请求码ID；所述连接码LA和请求码ID都是由请求模块随机生成的一个数字。

为了安全考虑，所述连接码的位数应当足够长，优选的，连接码应当与上述秘密信息Secret一样，不少于1024位。

(2)密钥接收方在收到连接请求后，由应答模块随机生成一个连接码LB，然后应答模块向密钥请求方发送一个应答消息。

与连接码LA一样，连接码LB的位数也应当足够长，优选情况下，LB与LA的位数相同。但是，LB并不包括在应答消息中，该应答消息只是告知密钥请求方，密钥接收方收到了请求，并准备好生成密钥。

(3)密钥请求方在收到应答消息后，密钥请求方的密钥请求模块向服务器发送一个密钥请求消息KeyRequestA，所述KeyRequestA中包括连接码LA、请求码ID和哈希结果HA，其中HA＝Hash(SecretA⊕LA)}。

密钥接收方也通过自身的密钥请求模块同时向服务器发送另一个密钥请求消息KeyRequestB，所述KeyRequestB包括请求码ID、LC和哈希结果HB。

其中LC＝LA⊕LB，HB＝Hash(SecretB⊕LA⊕LB)。

其中，SecretA是密钥请求方在服务器注册时获得的秘密信息，SecretB是密钥接收方在服务器注册时获得的秘密信息。Hash是一个哈希函数，其可以使用本领域中任意一种公知的哈希算法。

密钥请求方和密钥接收方的哈希计算中都包括了其自身随机生成的数字，这样可以避免被中间人获取指定的哈希结果，保证了安全性。

(4)服务器在接收到上述两个密钥请求消息后，首先基于请求码ID确定这两个密钥请求消息是来自一对密钥请求方和接收方；然后分别对两个密钥请求消息中的哈希结果进行验证，如果有一个验证不通过，则服务器忽略这两个密钥请求消息，方法结束；如果验证都通过，则继续后续步骤。

具体验证过程是：

对于KeyRequestA，服务器自行计算Hash(SecretA⊕LA)(由于服务器事先保存了SerectA，所以服务器可以计算该Hash)，判断计算结果与HA是否相等，如果不相等，则验证不通过，否则验证通过。

对于KeyRequestB，服务器自行计算Hash(SecretB⊕LA⊕LB)，判断计算结果与HB是否相等，如果不相等，则验证不通过，否则验证通过。

(5)服务器随机生成一个密钥Key，分别计算KA和KB，即：

KA＝Key⊕SecretA，KB＝Key⊕SecretB

然后服务器将KA发送给密钥请求方，将KB发送给密钥接收方。

(6)密钥请求方接收到KA后，由其密钥计算模块计算出Key，即Key＝KA⊕SecretA；

密钥接收方接收到KB后，也通过其密钥计算模块计算Key＝KB⊕SecretB。

至此，密钥请求方和密钥接收方都各自获得了共同的密钥Key，从而可以基于该密钥进行加密通信等操作。

从以上过程可以看出，整个个密钥生成过程只涉及异或计算，计算过程简单，因此对密钥请求方和密钥接收方的计算能力要求很低，因此即使这两方都是计算机能力较低的设备，也可以完成密钥生成过程。并且，每一次的密钥生成过程都依赖于双方生成的连接码，并且需要可信的服务器居中验证，服务器分别验证了双方的身份后，生成密钥，因此整个过程具有足够的安全性，并且在后期可以追溯生成密钥的双方身份。

以上所述仅是本发明的较佳实施方式，故凡依本发明专利申请范围所述的构造、特征及原理所做的等效变化或修饰，均包括于本发明专利申请范围内。

Claims

1.一种密钥生成客户端，其特征在于，密钥生成客户端在运用时，逻辑上可以分成两方：密钥请求方和密钥接收方，所述密钥请求方和接收方是网络上需要进行加密通信的双方；所述密钥请求方是发起所述加密通信的一方，并由所述密钥请求方发起密钥的生成过程；所述密钥接收方法是接受加密通信的一方，并配合所述密钥请求方发起的密钥生成过程；

密钥生成客户端包括连接请求模块、应答模块、密钥请求模块和密钥计算模块，其中：

所述应答模块用于在接收到连接请求后，发送应答消息；

所述密钥请求模块用于向服务器请求密钥；

所述密钥计算模块用于根据服务器返回的消息计算密钥；

其中，生成密钥的过程包括：

(1)密钥请求方通过连接请求模块向密钥接收方发起连接请求，该连接请求中携带了一个连接码LA和请求码ID；所述连接码LA和请求码ID均由连接请求模块随机生成的一个数字；

所述连接码不少于1024位；

(2)密钥接收方在收到连接请求后，应答模块随机生成一个连接码LB，然后应答模块向密钥请求方发送一个应答消息；

连接码LB的位数与LA的位数相同；

(3)密钥请求方收到应答消息后，密钥请求方的密钥请求模块向服务器发送一个密钥请求消息KeyRequestA，所述KeyRequestA中包括连接码LA、请求码ID和哈希结果HA，其中HA＝Hash(SecretA⊕LA)；

密钥接收方也通过自身的密钥请求模块同时向服务器发送另一个密钥请求消息KeyRequestB，所述KeyRequestB包括请求码ID、LC和哈希结果HB；

其中LC＝LA⊕LB，HB＝Hash(SecretB⊕LA⊕LB)；

其中，SecretA是密钥请求方在服务器注册时获得的秘密信息，SecretB是密钥接收方在服务器注册时获得的秘密信息；Hash是一个哈希函数；

(4)服务器在接收到上述两个密钥请求消息后，首先基于请求码ID确定这两个密钥请求消息是来自一对密钥请求方和接收方；然后分别对两个密钥请求消息中的哈希结果进行验证，如果有一个验证不通过，则服务器忽略这两个密钥请求消息，方法结束；如果验证都通过，则继续后续步骤；

该验证过程是：

对于KeyRequestA，由保存了SerectA的服务器自行计算Hash(SecretA⊕LA)，判断计算结果与HA是否相等，如果不相等，则验证不通过，否则验证通过；

对于KeyRequestB，服务器自行计算Hash(SecretB⊕LA⊕LB)，判断计算结果与HB是否相等，如果不相等，则验证不通过，否则验证通过；

(5)服务器随机生成一个密钥Key，分别计算KA和KB，该计算包括：

KA＝Key⊕SecretA，KB＝Key⊕SecretB；

然后服务器将KA发送给密钥请求方，将KB发送给密钥接收方；

(6)密钥请求方接收到KA后，由其密钥计算模块计算出Key，或Key＝KA⊕SecretA；

密钥接收方接收到KB后，也通过其密钥计算模块计算Key＝KB⊕SecretB；

至此，密钥请求方和密钥接收方都各自获得了共同的密钥Key，从而实现了基于该密钥进行的加密通信操作。