CN116743375A - 一种密钥传输方法、装置、设备及存储介质 - Google Patents
一种密钥传输方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN116743375A CN116743375A CN202310936764.0A CN202310936764A CN116743375A CN 116743375 A CN116743375 A CN 116743375A CN 202310936764 A CN202310936764 A CN 202310936764A CN 116743375 A CN116743375 A CN 116743375A
- Authority
- CN
- China
- Prior art keywords
- server
- terminal
- data
- key
- transmission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000005540 biological transmission Effects 0.000 title claims abstract description 108
- 238000000034 method Methods 0.000 title claims abstract description 43
- 238000005538 encapsulation Methods 0.000 claims abstract description 36
- 238000012795 verification Methods 0.000 claims abstract description 19
- 238000012545 processing Methods 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 5
- 238000010586 diagram Methods 0.000 description 9
- 230000003287 optical effect Effects 0.000 description 3
- VBMOHECZZWVLFJ-GXTUVTBFSA-N (2s)-2-[[(2s)-6-amino-2-[[(2s)-6-amino-2-[[(2s,3r)-2-[[(2s,3r)-2-[[(2s)-6-amino-2-[[(2s)-2-[[(2s)-6-amino-2-[[(2s)-2-[[(2s)-2-[[(2s)-2,6-diaminohexanoyl]amino]-5-(diaminomethylideneamino)pentanoyl]amino]propanoyl]amino]hexanoyl]amino]propanoyl]amino]hexan Chemical compound NC(N)=NCCC[C@@H](C(O)=O)NC(=O)[C@H](CCCCN)NC(=O)[C@H](CCCCN)NC(=O)[C@H]([C@@H](C)O)NC(=O)[C@H]([C@H](O)C)NC(=O)[C@H](CCCCN)NC(=O)[C@H](C)NC(=O)[C@H](CCCCN)NC(=O)[C@H](C)NC(=O)[C@H](CCCN=C(N)N)NC(=O)[C@@H](N)CCCCN VBMOHECZZWVLFJ-GXTUVTBFSA-N 0.000 description 2
- 108010068904 lysyl-arginyl-alanyl-lysyl-alanyl-lysyl-threonyl-threonyl-lysyl-lysyl-arginine Proteins 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种密钥传输方法、装置、设备及存储介质,该方法包括步骤:获取终端发送的信息,其中所述信息包括:随机数和时间信息;根据服务器序列号、传输密钥和传输密钥标识数据,生成服务器的第一封装数据,并对所述服务器的第一封装数据进行加密,得到第一数据块;基于服务器生成的加密密钥,加密得到终端加密密钥,并根据终端发送的信息、服务器的传输密钥标识数据、所述第一数据块和终端加密密钥,生成服务器的第二封装数据,并通过所述第二封装数据,签名得到第二数据块;将所述第二封装数据和第二数据块发送到终端进行验证,确定传输密钥的安全性。本申请能够使的密钥传输更安全和效率更高,并且兼容密钥传输安全级别更高的使用场景。
Description
技术领域
本发明涉及密钥传输技术领域,尤其涉及一种密钥传输方法、装置、设备及存储介质。
背景技术
随着网络信息时代的发展,信息安全是一个不容忽视的问题,保障信息安全少不了密钥的使用及传输。
密钥传输一般涉及两个主体,即发送方和接收方,保障密钥安全必须对彼此身份进行验证。目前主流双向认证采用的是RSA算法,而RSA算法可能存在NSA的预置后门,且运算速度不佳。SM2算法是我国基于ECC椭圆曲线密码理论自主研发设计,具备更加安全、运算速度更快等优点。
在密钥传输中,同时应保证密钥被加密的安全性,传输的数据格式及被传输密钥被加密的方案,尤为重要。目前密钥传输方案中,主要有SSL密钥协商等主流方案,但此类方案,传输密钥本身是通过透明的算法推导出来,缺乏对传输密钥加密保护。
因此,如何对传输密钥加密保护,是目前亟需解决的技术问题。
发明内容
本发明主要目的在于提供一种密钥传输方法、装置、设备及存储介质,能够使的密钥传输更安全和效率更高,并且兼容密钥传输安全级别更高的使用场景。
第一方面,本申请提供了一种密钥传输方法,其中该方法包括步骤:
获取终端发送的信息,其中所述信息包括:随机数和时间信息;
根据服务器序列号、传输密钥和传输密钥标识数据,生成服务器的第一封装数据,并对所述服务器的第一封装数据进行加密,得到第一数据块;
基于服务器生成的加密密钥,加密得到终端加密密钥,并根据终端发送的信息、服务器的传输密钥标识数据、所述第一数据块和终端加密密钥,生成服务器的第二封装数据,并通过所述第二封装数据,签名得到第二数据块;
将所述第二封装数据和第二数据块发送到终端进行验证,以确定传输密钥的安全性。
结合上述第一方面,作为一种可选的实现方式,服务器生成加密密钥Tek;
对所述服务器从加密机中获取服务器序列号、传输密钥Tmk和传输密钥标识数据进行数据封装,生成服务器的第一封装数据BDtmk;
利用所述加密密钥Tek对所述第一封装数据进行加密,得到加密的第一数据块BEtmk。
结合上述第一方面,作为一种可选的实现方式,利用终端证书CAter的公钥对服务器生成的加密密钥Tek进行加密,得到终端加密密钥Etek;
对所述终端发送的随机数、时间信息、服务器未加密的传输密钥标识数据、终端加密密钥和所述第一数据块进行数据封装,得到服务器的第二封装数据。
结合上述第一方面,作为一种可选的实现方式,利用终端证书Caser的公钥验证所述第二数据块是否正确;
将所述第二封装数据中的随机数与终端发送至服务器的随机进行对比判断是否一致;
将所述第二封装数据中的时间信息与终端发送至服务器的时间信息进行对比,判断误差是否在预设时长内;
判断所述第二数据块是否解密成功;
检索服务器序列号是否在白名单中;
对比服务器传输密钥标识数据与所述第一数据块中加密的传输密钥标识数据是否一致;
当所有判断条件均满足时,确定传输密钥安全。
结合上述第一方面,作为一种可选的实现方式,根据服务器和终端预置CA中心颁发的SM2公钥证书CAroot,对终端得到的签发证书和服务器得到的签发证书进行验证;
当验证通过后,终端将含CAter的公钥证书、时间信息、终端序列号并算MAC值发送到服务器以检验真伪;
服务器将含CAser的公钥证书、时间信息、服务器序列号并算MAC值发送到终端以检验真伪。
结合上述第一方面,作为一种可选的实现方式,所述传输密钥标识数据包括:密钥类型、密钥用法、密钥长度、密钥算法类别和密钥版本。
第二方面,本申请提供了一种密钥传输装置,该装置包括:
获取单元,其用于获取终端发送的信息,其中所述信息包括:随机数和时间信息;
加密单元,其用于根据服务器序列号、传输密钥和传输密钥标识数据,生成服务器的第一封装数据,并对所述服务器的第一封装数据进行加密,得到第一数据块;
处理单元,其用于基于服务器生成的加密密钥,加密得到终端加密密钥,并根据终端发送的信息、服务器的传输密钥标识数据、所述第一数据块和终端加密密钥,生成服务器的第二封装数据,并通过所述第二封装数据,签名得到第二数据块;
确定单元,其用于将所述第二封装数据和第二数据块发送到终端进行验证,以确定传输密钥的安全性。
结合上述第二方面,作为一种可选的实现方式,所述确定单元,还用于根据服务器和终端预置CA中心颁发的SM2公钥证书CAroot,对终端得到的签发证书和服务器得到的签发证书进行验证;
当验证通过后,终端将含CAter的公钥证书、时间信息、终端序列号并算MAC值发送到服务器以检验真伪;
服务器将含CAser的公钥证书、时间信息、服务器序列号并算MAC值发送到终端以检验真伪。
第三方面,本申请还提供了一种电子设备,所述电子设备包括:处理器;存储器,所述存储器上存储有计算机可读指令,所述计算机可读指令被所述处理器执行时,实现第一方面任一项所述的方法。
第四方面,本申请还提供了一种计算机可读存储介质,其存储有计算机程序指令,当所述计算机程序指令被计算机执行时,使计算机执行第一方面任一项所述的方法。
本申请提供的一种密钥传输方法、装置、设备及存储介质,该方法包括步骤:获取终端发送的信息,其中所述信息包括:随机数和时间信息;根据服务器序列号、传输密钥和传输密钥标识数据,生成服务器的第一封装数据,并对所述服务器的第一封装数据进行加密,得到第一数据块;基于服务器生成的加密密钥,加密得到终端加密密钥,并根据终端发送的信息、服务器的传输密钥标识数据、所述第一数据块和终端加密密钥,生成服务器的第二封装数据,并通过所述第二封装数据,签名得到第二数据块;将所述第二封装数据和第二数据块发送到终端进行验证,以确定传输密钥的安全性。能够使的密钥传输更安全和效率更高,并且兼容密钥传输安全级别更高的使用场景。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本发明。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并于说明书一起用于解释本发明的原理。
图1为本申请实施例中提供的一种密钥传输方法流程图;
图2为本申请实施例中提供的一种密钥传输装置示意图;
图3为本申请实施例中提供的一种电子设备示意图;
图4为本申请实施例中提供的一种计算机可读程序介质示意图。
具体实施方式
这里将详细地对示例性实施例执行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。附图所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。
以下结合附图对本申请的实施例作进一步详细说明。
参照图1,图1所示为本发明提供的一种密钥传输方法流程图,如图1所示,该方法包括步骤:
步骤S101:获取终端发送的信息,其中所述信息包括:随机数和时间信息。
具体而言,终端发送含随机数、时间等信息发送到服务器,并保存随机数RNDter,需要说明的是,随机数可以理解为由一串数字组成,此处的随机数和时间信息未加密。
一实施例中,获取终端发送的信息之前还需对服务器和终端真伪进行验证,其中具体验证为:根据服务器和终端预置CA中心颁发的SM2公钥证书CAroot,对终端得到的签发证书和服务器得到的签发证书进行验证;当验证通过后,终端将含CAter的公钥证书、时间信息、终端序列号并算MAC值发送到服务器以检验真伪;服务器将含CAser的公钥证书、时间信息、服务器序列号并算MAC值发送到终端以检验真伪。
方便理解举例说明,服务器和终端预置CA中心颁发的SM2公钥证书CAroot(CA中心签发证书的真实性验证基础),终端按照SM2算法,得到公私钥对PUKter和PRKter,并生成PUKter的PKCS#10请求,发送于CA中心进行证书签发,得到证书CAter,并用CAroot验证真伪,服务器按照SM2算法,得到公私钥对PUKser和PRKser,并生成PUKser的PKCS#10请求,发送于CA中心进行证书签发,得到证书CAser,并用CAroot验证真伪。
终端将含CAter公钥证书、时间信息、终端序列号并算MAC值发送到服务器,服务器用CAroot验证真伪,验证成功后保存CAter。服务器将含CAser公钥证书、时间信息、服务器序列号并算MAC值发送到终端,终端用CAroot验证真伪,验证成功后保存CAser。
可以理解的是,该实施例为服务器和终端的相互验证的过程。
需要说明的是,SM2是国家密码管理局发布的椭圆曲线公钥密码算法,SM2为基于ECC的非对称加密算法,CA中心又称CA机构,即证书授权中心(Certificate Authority),或称证书授权机构,作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。
可以理解的是,采用SM2算法使的密钥传输更安全和效率更高,同时对比主流密钥传输方法增加了对传输密钥一层密钥保护,并有时间、随机数、MAC、签名信息进行多层验证,安全级别更高。
步骤S102:根据服务器序列号、传输密钥和传输密钥标识数据,生成服务器的第一封装数据,并对所述服务器的第一封装数据进行加密,得到第一数据块。
具体而言,服务器生成加密密钥Tek;对所述服务器从加密机中获取服务器序列号、传输密钥Tmk和传输密钥标识数据进行数据封装,生成服务器的第一封装数据BDtmk;利用所述加密密钥Tek对所述第一封装数据进行加密,得到加密的第一数据块BEtmk。
方便理解举例说明,服务器生成加密密钥Tek,服务器封装数据BDtmk(第一封装数据)=服务器序列号+传输密钥Tmk+传输密钥标识数据,并用Tek对BDtmk加密得到BEtmk(第一数据块)。需要说明的是封装数据可以理解为服务器序列号+传输密钥Tmk+传输密钥标识数据的数据集合,第二封装数据同理。传输密钥Tmk是服务器从加密机中获取的,传输密钥标识数据是服务器从加密机中获取,包含密钥类型、密钥用法、密钥长度、密钥算法类别、密钥版本。
步骤S103:基于服务器生成的加密密钥,加密得到终端加密密钥,并根据终端发送的信息、服务器的传输密钥标识数据、所述第一数据块和终端加密密钥,生成服务器的第二封装数据,并通过所述第二封装数据,签名得到第二数据块。
具体而言,利用终端证书CAter的公钥对服务器生成的加密密钥Tek进行加密,得到终端加密密钥Etek;对所述终端发送的随机数、时间信息、服务器未加密的传输密钥标识数据、终端加密密钥和所述第一数据块进行数据封装,得到服务器的第二封装数据,此处的随机数、时间信息、终端加密密钥和所述第一数据块为加密数据。
方便理解举例说明,第二封装数据Edata=RNDter+时间信息+传输密钥标识数据+终端加密密钥Etek+第一数据块BEtmk,并用CAser的SM2私钥对第二封装数据Edata签名得到第二数据块Es igndata,也可以理解为Es igndata是Edata数据块的签名信息。发送Edata+Es igndata到终端。其中Caser为终端保存的服务器证书(CA签发的),Etek通过终端CAter公钥加密的Tek,即用终端CAter公钥对Tek加密,得到Etek。
需要说明的是,此处的传输密钥标识数据为未加密的,而BEtmk中的传输密钥标识数据为加密的,有加密和未加密的标识数据,用于比对,即安全考虑,还需说明的是,第一封装数据BDtmk是Edata子集BEtmk的明文数据。
步骤S104:将所述第二封装数据和第二数据块发送到终端进行验证,以确定传输密钥的安全性。
具体而言,利用终端证书Caser的公钥验证所述第二数据块是否正确;将所述第二封装数据中的随机数与终端发送至服务器的随机进行对比判断是否一致;将所述第二封装数据中的时间信息与终端发送至服务器的时间信息进行对比,判断误差是否在预设时长内;判断所述第二数据块是否解密成功;检索服务器序列号是否在白名单中;对比服务器传输密钥标识数据与所述第一数据块中加密的传输密钥标识数据是否一致;当所有判断条件均满足时,确定传输密钥安全。
可以理解的是,当利用终端证书Caser的公钥验证所述第二数据块正确、将所述第二封装数据中的随机数与终端发送至服务器的随机进行对比判断一致、将所述第二封装数据中的时间信息与终端发送至服务器的时间信息进行对比,判断误差在预设时长内、判断所述第二数据块解密成功、检索服务器序列号在白名单中和对比服务器传输密钥标识数据与所述第一数据块中加密的传输密钥标识数据一致时,确定传输密钥安全。即以上判断条件均为是的情况下,确定传输密钥安全,其中预设时间为间隔时间,间隔时间为30s。
一实施例中,终端按照服务器封装数据格式用CAser对接收数据进行验证和解析。并保存解析后的Tmk。
参照图2,图2所示为本发明提供的一种密钥传输装置示意图,如图2所示,该装置包括:
获取单元201:其用于获取终端发送的信息,其中所述信息包括:随机数和时间信息。
加密单元202:其用于根据服务器序列号、传输密钥和传输密钥标识数据,生成服务器的第一封装数据,并对所述服务器的第一封装数据进行加密,得到第一数据块。
处理单元203:其用于基于服务器生成的加密密钥,加密得到终端加密密钥,并根据终端发送的信息、服务器的传输密钥标识数据、所述第一数据块和终端加密密钥,生成服务器的第二封装数据,并通过所述第二封装数据,签名得到第二数据块。
确定单元204:其用于将所述第二封装数据和第二数据块发送到终端进行验证,以确定传输密钥的安全性。
进一步地,一种可能的实施方式中,还包括生成单元,其用于服务器生成加密密钥Tek;
生成单元,还用于对所述服务器从加密机中获取服务器序列号、传输密钥Tmk和传输密钥标识数据进行数据封装,生成服务器的第一封装数据BDtmk;
加密单元,其用于利用所述加密密钥Tek对所述第一封装数据进行加密,得到加密的第一数据块BEtmk。
进一步地,一种可能的实施方式中,加密单元,还用于利用终端证书CAter的公钥对服务器生成的加密密钥Tek进行加密,得到终端加密密钥Etek;
对所述终端发送的随机数、时间信息、服务器未加密的传输密钥标识数据、终端加密密钥和所述第一数据块进行数据封装,得到服务器的第二封装数据。
进一步地,一种可能的实施方式中,确定单元,还用于利用终端证书Caser的公钥验证所述第二数据块是否正确;
将所述第二封装数据中的随机数与终端发送至服务器的随机进行对比判断是否一致;
将所述第二封装数据中的时间信息与终端发送至服务器的时间信息进行对比,判断误差是否在预设时长内;
判断所述第二数据块是否解密成功;
检索服务器序列号是否在白名单中;
对比服务器传输密钥标识数据与所述第一数据块中加密的传输密钥标识数据是否一致;
当所有判断条件均满足时,确定传输密钥安全。
进一步地,一种可能的实施方式中,确定单元,还用于根据服务器和终端预置CA中心颁发的SM2公钥证书CAroot,对终端得到的签发证书和服务器得到的签发证书进行验证;
当验证通过后,终端将含CAter的公钥证书、时间信息、终端序列号并算MAC值发送到服务器以检验真伪;
服务器将含CAser的公钥证书、时间信息、服务器序列号并算MAC值发送到终端以检验真伪。
进一步地,一种可能的实施方式中,确定单元,还用于确定所述传输密钥标识数据包括:密钥类型、密钥用法、密钥长度、密钥算法类别和密钥版本。
下面参照图3来描述根据本发明的这种实施方式的电子设备300。图3显示的电子设备300仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图3所示,电子设备300以通用计算设备的形式表现。电子设备300的组件可以包括但不限于:上述至少一个处理单元310、上述至少一个存储单元320、连接不同系统组件(包括存储单元320和处理单元310)的总线330。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元310执行,使得所述处理单元310执行本说明书上述“实施例方法”部分中描述的根据本发明各种示例性实施方式的步骤。
存储单元320可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)321和/或高速缓存存储单元322,还可以进一步包括只读存储单元(ROM)323。
存储单元320还可以包括具有一组(至少一个)程序模块325的程序/实用工具324,这样的程序模块325包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线330可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备300也可以与一个或多个外部设备(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备300交互的设备通信,和/或与使得该电子设备300能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口350进行。并且,电子设备300还可以通过网络适配器360与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器360通过总线330与电子设备300的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备300使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
根据本公开的方案,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
参考图4所示,描述了根据本发明的实施方式的用于实现上述方法的程序产品400,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
以上所述仅是本申请的具体实施方式,使本领域技术人员能够理解或实现本申请。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。
本发明是参照根据本发明实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
Claims (10)
1.一种密钥传输方法,其特征在于,包括:
获取终端发送的信息,其中所述信息包括:随机数和时间信息;
根据服务器序列号、传输密钥和传输密钥标识数据,生成服务器的第一封装数据,并对所述服务器的第一封装数据进行加密,得到第一数据块;
基于服务器生成的加密密钥,加密得到终端加密密钥,并根据终端发送的信息、服务器的传输密钥标识数据、所述第一数据块和终端加密密钥,生成服务器的第二封装数据,并通过所述第二封装数据,签名得到第二数据块;
将所述第二封装数据和第二数据块发送到终端进行验证,以确定传输密钥的安全性。
2.根据权利要求1所述的方法,其特征在于,所述根据服务器序列号、传输密钥和传输密钥标识数据,生成服务器的第一封装数据,并对所述服务器的第一封装数据进行加密,得到第一数据块,包括:
服务器生成加密密钥Tek;
对所述服务器从加密机中获取服务器序列号、传输密钥Tmk和传输密钥标识数据进行数据封装,生成服务器的第一封装数据BDtmk;
利用所述加密密钥Tek对所述第一封装数据进行加密,得到加密的第一数据块BEtmk。
3.根据权利要求1所述的方法,其特征在于,所述基于服务器生成的加密密钥,加密得到终端加密密钥,并根据终端发送的信息、服务器的传输密钥标识数据、所述第一数据块和终端加密密钥,生成服务器的第二封装数据,包括:
利用终端证书CAter的公钥对服务器生成的加密密钥Tek进行加密,得到终端加密密钥Etek;
对所述终端发送的随机数、时间信息、服务器未加密的传输密钥标识数据、终端加密密钥和所述第一数据块进行数据封装,得到服务器的第二封装数据。
4.根据权利要求1所述的方法,其特征在于,所述将所述第二封装数据和第二数据块发送到终端进行验证,以确定传输密钥的安全性,包括:
利用终端证书Caser的公钥验证所述第二数据块是否正确;
将所述第二封装数据中的随机数与终端发送至服务器的随机进行对比判断是否一致;
将所述第二封装数据中的时间信息与终端发送至服务器的时间信息进行对比,判断误差是否在预设时长内;
判断所述第二数据块是否解密成功;
检索服务器序列号是否在白名单中;
对比服务器传输密钥标识数据与所述第一数据块中加密的传输密钥标识数据是否一致;
当所有判断条件均满足时,确定传输密钥安全。
5.根据权利要求1所述的方法,其特征在于,所述获取终端发送的信息之前,包括:
根据服务器和终端预置CA中心颁发的SM2公钥证书CAroot,对终端得到的签发证书和服务器得到的签发证书进行验证;
当验证通过后,终端将含CAter的公钥证书、时间信息、终端序列号并算MAC值发送到服务器以检验真伪;
服务器将含CAser的公钥证书、时间信息、服务器序列号并算MAC值发送到终端以检验真伪。
6.根据权利要求1所述的方法,其特征在于:
所述传输密钥标识数据包括:密钥类型、密钥用法、密钥长度、密钥算法类别和密钥版本。
7.一种密钥传输装置,其特征在于,包括:
获取单元,其用于获取终端发送的信息,其中所述信息包括:随机数和时间信息;
加密单元,其用于根据服务器序列号、传输密钥和传输密钥标识数据,生成服务器的第一封装数据,并对所述服务器的第一封装数据进行加密,得到第一数据块;
处理单元,其用于基于服务器生成的加密密钥,加密得到终端加密密钥,并根据终端发送的信息、服务器的传输密钥标识数据、所述第一数据块和终端加密密钥,生成服务器的第二封装数据,并通过所述第二封装数据,签名得到第二数据块;
确定单元,其用于将所述第二封装数据和第二数据块发送到终端进行验证,以确定传输密钥的安全性。
8.根据权利要求7所述的装置,其特征在于,
所述确定单元,还用于根据服务器和终端预置CA中心颁发的SM2公钥证书CAroot,对终端得到的签发证书和服务器得到的签发证书进行验证;
当验证通过后,终端将含CAter的公钥证书、时间信息、终端序列号并算MAC值发送到服务器以检验真伪;
服务器将含CAser的公钥证书、时间信息、服务器序列号并算MAC值发送到终端以检验真伪。
9.一种电子设备,其特征在于,所述电子设备,包括:
处理器;
存储器,所述存储器上存储有计算机可读指令,所述计算机可读指令被所述处理器执行时,实现如权利要求1至6任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,其存储有计算机程序指令,当所述计算机程序指令被计算机执行时,使计算机执行根据权利要求1至6中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310936764.0A CN116743375A (zh) | 2023-07-26 | 2023-07-26 | 一种密钥传输方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310936764.0A CN116743375A (zh) | 2023-07-26 | 2023-07-26 | 一种密钥传输方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116743375A true CN116743375A (zh) | 2023-09-12 |
Family
ID=87913641
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310936764.0A Pending CN116743375A (zh) | 2023-07-26 | 2023-07-26 | 一种密钥传输方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116743375A (zh) |
-
2023
- 2023-07-26 CN CN202310936764.0A patent/CN116743375A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3318043B1 (en) | Mutual authentication of confidential communication | |
| CN107210914B (zh) | 用于安全凭证供应的方法 | |
| CN108366069B (zh) | 一种双向认证方法和系统 | |
| CN102111265B (zh) | 一种电力系统采集终端的安全芯片加密方法 | |
| CN101828357B (zh) | 用于证书提供的方法和装置 | |
| CN108924147B (zh) | 通信终端数字证书签发的方法、服务器以及通信终端 | |
| TWI809292B (zh) | 資料的加解密方法、裝置、存儲介質及加密文件 | |
| CN110621014B (zh) | 一种车载设备及其程序升级方法、服务器 | |
| CN103714637A (zh) | 一种传输密钥发送方法及系统、操作终端 | |
| JP5954609B1 (ja) | 電子署名トークンの私有鍵のバックアップ方法およびシステム | |
| CN109067814B (zh) | 媒体数据加密方法、系统、设备及存储介质 | |
| CN104170312A (zh) | 用于使用硬件安全引擎通过网络进行安全通信的方法和设备 | |
| WO2009143749A1 (zh) | 数据加密和解密的方法、装置及通信系统 | |
| CN103036880A (zh) | 网络信息传输方法、设备及系统 | |
| WO2022078367A1 (zh) | 支付密钥的加密和解密方法、支付认证方法及终端设备 | |
| CN109711841B (zh) | 数据交易方法及系统、平台、存储介质 | |
| WO2012072001A1 (zh) | 一种安全发卡方法、发卡设备和系统 | |
| US11088838B2 (en) | Automated authentication of a new network element | |
| CN114697040A (zh) | 一种基于对称密钥的电子签章方法和系统 | |
| CN114037447A (zh) | 离线交易的方法和装置 | |
| KR20140071775A (ko) | 암호키 관리 시스템 및 방법 | |
| CN112448810A (zh) | 一种认证方法以及装置 | |
| CN107070648B (zh) | 一种密钥保护方法及pki系统 | |
| CN112511297B (zh) | 一种密钥对和数字证书的更新方法和系统 | |
| CN116743375A (zh) | 一种密钥传输方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |