本發(fā)明涉及密碼安全，尤其涉及一種密鑰協(xié)商方法、裝置、電子設(shè)備及存儲介質(zhì)。

背景技術(shù)：

1、tlcp（transport?layer?cryptography?protocol，傳輸層密碼協(xié)議）技術(shù)的關(guān)鍵點(diǎn)在于雙向身份認(rèn)證和密鑰協(xié)商。在傳統(tǒng)的tlcp建聯(lián)過程中，當(dāng)客戶端和服務(wù)端需要進(jìn)行安全建聯(lián)時(shí)，客戶端需要先獲取服務(wù)端提供的用于身份認(rèn)證的認(rèn)證證書和用于密鑰交換的加密證書。

2、但是，使用數(shù)字證書進(jìn)行信息加解密和身份認(rèn)證，效率低且存儲量較大，并且使用復(fù)雜的雙線性對運(yùn)算，運(yùn)算較為復(fù)雜，部署、管理以及使用的過程都較為繁瑣，不適用于大型復(fù)雜、用戶數(shù)量眾多且分布廣泛的應(yīng)用場景。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明提供了一種密鑰協(xié)商方法、裝置、電子設(shè)備及存儲介質(zhì)，在tlcp建聯(lián)過程中，無需使用數(shù)字證書，提高了密鑰協(xié)商效率，降低了存儲量，簡化了運(yùn)算過程，容易部署、管理簡單且使用方便，特別適用于大型復(fù)雜、用戶數(shù)量眾多且分布廣泛的應(yīng)用場景，適合于客戶端和服務(wù)端建聯(lián)的大型應(yīng)用場景。

2、根據(jù)本發(fā)明的一方面，提供了一種密鑰協(xié)商方法，所述方法包括：

3、通過服務(wù)端，接收客戶端隨機(jī)數(shù)和客戶端標(biāo)識，獲取服務(wù)端隨機(jī)數(shù)、服務(wù)端標(biāo)識、服務(wù)端加密公私鑰對和kgc主公鑰，向客戶端反饋服務(wù)端隨機(jī)數(shù)、服務(wù)端標(biāo)識和kgc主公鑰；

4、通過所述客戶端，接收所述服務(wù)端反饋的所述服務(wù)端隨機(jī)數(shù)、所述服務(wù)端標(biāo)識和所述kgc主公鑰，獲取客戶端加密公私鑰對，采用所述kgc主公鑰和所述客戶端標(biāo)識，對所述客戶端加密公私鑰對進(jìn)行校驗(yàn)，并在所述客戶端加密公私鑰對校驗(yàn)通過之后，向所述服務(wù)端反饋客戶端校驗(yàn)通過結(jié)果；

5、通過所述服務(wù)端，接收所述客戶端校驗(yàn)通過結(jié)果，向所述客戶端發(fā)送服務(wù)端加密公鑰；

6、通過所述客戶端，接收所述服務(wù)端加密公鑰，向所述服務(wù)端發(fā)送客戶端加密公鑰；

7、通過所述服務(wù)端，基于所述客戶端隨機(jī)數(shù)、所述客戶端標(biāo)識、所述客戶端加密公鑰、所述服務(wù)端隨機(jī)數(shù)、所述服務(wù)端標(biāo)識、所述服務(wù)端加密公私鑰對和所述kgc主公鑰，計(jì)算所述服務(wù)端與所述客戶端之間進(jìn)行會話建聯(lián)的第一會話秘鑰；

8、通過所述客戶端，基于所述服務(wù)端隨機(jī)數(shù)、所述服務(wù)端標(biāo)識、所述服務(wù)端加密公鑰、所述客戶端隨機(jī)數(shù)、所述客戶端標(biāo)識、所述客戶端加密公私鑰對和所述kgc主公鑰，計(jì)算所述客戶端與所述服務(wù)端之間進(jìn)行會話建聯(lián)的第二會話秘鑰，以使所述客戶端和所述服務(wù)端基于所述第一會話秘鑰和所述第二會話秘鑰進(jìn)行數(shù)據(jù)加密數(shù)據(jù)傳輸。

9、根據(jù)本發(fā)明的另一方面，提供了一種密鑰協(xié)商裝置，所述系統(tǒng)包括：客戶端和服務(wù)端；

10、所述服務(wù)端，用于接收客戶端隨機(jī)數(shù)和客戶端標(biāo)識，獲取服務(wù)端隨機(jī)數(shù)、服務(wù)端標(biāo)識、服務(wù)端加密公私鑰對和kgc主公鑰，向客戶端反饋服務(wù)端隨機(jī)數(shù)、服務(wù)端標(biāo)識和kgc主公鑰；

11、所述客戶端，用于接收所述服務(wù)端反饋的所述服務(wù)端隨機(jī)數(shù)、所述服務(wù)端標(biāo)識和所述kgc主公鑰，獲取客戶端加密公私鑰對，采用所述kgc主公鑰和所述客戶端標(biāo)識，對所述客戶端加密公私鑰對進(jìn)行校驗(yàn)，并在所述客戶端加密公私鑰對校驗(yàn)通過之后，向所述服務(wù)端反饋客戶端校驗(yàn)通過結(jié)果；

12、所述服務(wù)端，用于接收所述客戶端校驗(yàn)通過結(jié)果，向所述客戶端發(fā)送服務(wù)端加密公鑰；

13、所述客戶端，用于接收所述服務(wù)端加密公鑰，向所述服務(wù)端發(fā)送客戶端加密公鑰；

14、所述服務(wù)端，用于基于所述客戶端隨機(jī)數(shù)、所述客戶端標(biāo)識、所述客戶端加密公鑰、所述服務(wù)端隨機(jī)數(shù)、所述服務(wù)端標(biāo)識、所述服務(wù)端加密公私鑰對和所述kgc主公鑰，計(jì)算所述服務(wù)端與所述客戶端之間進(jìn)行會話建聯(lián)的第一會話秘鑰；

15、所述客戶端，用于基于所述服務(wù)端隨機(jī)數(shù)、所述服務(wù)端標(biāo)識、所述服務(wù)端加密公鑰、所述客戶端隨機(jī)數(shù)、所述客戶端標(biāo)識、所述客戶端加密公私鑰對和所述kgc主公鑰，計(jì)算所述客戶端與所述服務(wù)端之間進(jìn)行會話建聯(lián)的第二會話秘鑰，以使所述客戶端和所述服務(wù)端基于所述第一會話秘鑰和所述第二會話秘鑰進(jìn)行數(shù)據(jù)加密數(shù)據(jù)傳輸。

16、根據(jù)本發(fā)明的另一方面，提供了一種電子設(shè)備，所述電子設(shè)備包括：

17、至少一個(gè)處理器；以及

18、與所述至少一個(gè)處理器通信連接的存儲器；其中，

19、所述存儲器存儲有可被所述至少一個(gè)處理器執(zhí)行的計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被所述至少一個(gè)處理器執(zhí)行，以使所述至少一個(gè)處理器能夠執(zhí)行本發(fā)明任一實(shí)施例所述的密鑰協(xié)商方法。

20、根據(jù)本發(fā)明的另一方面，提供了一種計(jì)算機(jī)可讀存儲介質(zhì)，所述計(jì)算機(jī)可讀存儲介質(zhì)存儲有計(jì)算機(jī)指令，所述計(jì)算機(jī)指令用于使處理器執(zhí)行時(shí)實(shí)現(xiàn)本發(fā)明任一實(shí)施例所述的密鑰協(xié)商方法。

21、根據(jù)本發(fā)明的另一方面，提供了一種計(jì)算機(jī)程序產(chǎn)品，所述計(jì)算機(jī)程序產(chǎn)品包括計(jì)算機(jī)程序，所述計(jì)算機(jī)程序在被處理器執(zhí)行時(shí)實(shí)現(xiàn)本發(fā)明任一實(shí)施例所述的密鑰協(xié)商方法。

22、本發(fā)明實(shí)施例的技術(shù)方案，通過服務(wù)端，接收客戶端隨機(jī)數(shù)和客戶端標(biāo)識，獲取服務(wù)端隨機(jī)數(shù)、服務(wù)端標(biāo)識、服務(wù)端加密公私鑰對和kgc主公鑰，向客戶端反饋服務(wù)端隨機(jī)數(shù)、服務(wù)端標(biāo)識和kgc主公鑰；通過客戶端，接收服務(wù)端反饋的服務(wù)端隨機(jī)數(shù)、服務(wù)端標(biāo)識和kgc主公鑰，獲取客戶端加密公私鑰對，采用kgc主公鑰和客戶端標(biāo)識，對客戶端加密公私鑰對進(jìn)行校驗(yàn)，并在客戶端加密公私鑰對校驗(yàn)通過之后，向服務(wù)端反饋客戶端校驗(yàn)通過結(jié)果；通過服務(wù)端，接收客戶端校驗(yàn)通過結(jié)果，向客戶端發(fā)送服務(wù)端加密公鑰；通過客戶端，接收服務(wù)端加密公鑰，向服務(wù)端發(fā)送客戶端加密公鑰；通過服務(wù)端，基于客戶端隨機(jī)數(shù)、客戶端標(biāo)識、客戶端加密公鑰、服務(wù)端隨機(jī)數(shù)、服務(wù)端標(biāo)識、服務(wù)端加密公私鑰對和kgc主公鑰，計(jì)算服務(wù)端與客戶端之間進(jìn)行會話建聯(lián)的第一會話秘鑰；通過客戶端，基于服務(wù)端隨機(jī)數(shù)、服務(wù)端標(biāo)識、服務(wù)端加密公鑰、客戶端隨機(jī)數(shù)、客戶端標(biāo)識、客戶端加密公私鑰對和kgc主公鑰，計(jì)算客戶端與服務(wù)端之間進(jìn)行會話建聯(lián)的第二會話秘鑰，以使客戶端和服務(wù)端基于第一會話秘鑰和第二會話秘鑰進(jìn)行數(shù)據(jù)加密數(shù)據(jù)傳輸，在tlcp建聯(lián)過程中，無需使用數(shù)字證書，提高了密鑰協(xié)商效率，降低了存儲量，簡化了運(yùn)算過程，容易部署、管理簡單且使用方便，特別適用于大型復(fù)雜、用戶數(shù)量眾多且分布廣泛的應(yīng)用場景，適合于客戶端和服務(wù)端建聯(lián)的大型應(yīng)用場景。

23、應(yīng)當(dāng)理解，本部分所描述的內(nèi)容并非旨在標(biāo)識本發(fā)明的實(shí)施例的關(guān)鍵或重要特征，也不用于限制本發(fā)明的范圍。本發(fā)明的其它特征將通過以下的說明書而變得容易理解。

技術(shù)特征：

1.一種密鑰協(xié)商方法，其特征在于，所述方法包括：

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，在所述通過所述客戶端，接收所述服務(wù)端反饋的所述服務(wù)端隨機(jī)數(shù)、所述服務(wù)端標(biāo)識和所述kgc主公鑰，獲取客戶端加密公私鑰對，并采用所述kgc主公鑰和所述客戶端標(biāo)識，對所述客戶端加密公私鑰對進(jìn)行校驗(yàn)之前，還包括：

3.根據(jù)權(quán)利要求2所述的方法，其特征在于，在所述通過服務(wù)端，接收客戶端隨機(jī)數(shù)和客戶端標(biāo)識，獲取服務(wù)端隨機(jī)數(shù)、服務(wù)端標(biāo)識、服務(wù)端加密公私鑰對和kgc主公鑰，向客戶端反饋服務(wù)端隨機(jī)數(shù)、服務(wù)端標(biāo)識和kgc主公鑰之前，還包括：

4.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述通過所述客戶端，接收所述服務(wù)端反饋的所述服務(wù)端隨機(jī)數(shù)、所述服務(wù)端標(biāo)識和所述kgc主公鑰，獲取客戶端加密公私鑰對，采用所述kgc主公鑰和所述客戶端標(biāo)識，對所述客戶端加密公私鑰對進(jìn)行校驗(yàn)，包括：

5.根據(jù)權(quán)利要求1所述的方法，其特征在于，在所述通過所述客戶端，基于所述服務(wù)端隨機(jī)數(shù)、所述服務(wù)端標(biāo)識、所述服務(wù)端加密公鑰、所述客戶端隨機(jī)數(shù)、所述客戶端標(biāo)識、所述客戶端加密公私鑰對和所述kgc主公鑰，計(jì)算所述客戶端與所述服務(wù)端之間進(jìn)行會話建聯(lián)的第二會話秘鑰之后，還包括：

6.根據(jù)權(quán)利要求5所述的方法，其特征在于，在所述通過所述服務(wù)端，基于所述客戶端隨機(jī)數(shù)、所述客戶端標(biāo)識、所述客戶端加密公鑰、所述服務(wù)端隨機(jī)數(shù)、所述服務(wù)端標(biāo)識、所述服務(wù)端加密公私鑰對和所述kgc主公鑰，計(jì)算所述服務(wù)端與所述客戶端之間進(jìn)行會話建聯(lián)的第一會話秘鑰之后，包括：

7.一種密鑰協(xié)商系統(tǒng)，其特征在于，所述系統(tǒng)包括：客戶端和服務(wù)端；

8.一種電子設(shè)備，其特征在于，所述電子設(shè)備包括：

9.一種計(jì)算機(jī)可讀存儲介質(zhì)，其特征在于，所述計(jì)算機(jī)可讀存儲介質(zhì)存儲有計(jì)算機(jī)指令，所述計(jì)算機(jī)指令用于使處理器執(zhí)行時(shí)實(shí)現(xiàn)權(quán)利要求1-6中任一項(xiàng)所述的密鑰協(xié)商方法。

10.一種計(jì)算機(jī)程序產(chǎn)品，其特征在于，所述計(jì)算機(jī)程序產(chǎn)品包括計(jì)算機(jī)程序，所述計(jì)算機(jī)程序在被處理器執(zhí)行時(shí)實(shí)現(xiàn)根據(jù)權(quán)利要求1-6中任一項(xiàng)所述的密鑰協(xié)商方法。

技術(shù)總結(jié)
本發(fā)明公開了一種密鑰協(xié)商方法、裝置、電子設(shè)備及存儲介質(zhì)，涉及密碼安全技術(shù)領(lǐng)域。該方法包括：通過客戶端，采用KGC主公鑰和客戶端標(biāo)識，校驗(yàn)客戶端加密公私鑰對，在客戶端加密公私鑰對校驗(yàn)通過之后，通過服務(wù)端，基于客戶端隨機(jī)數(shù)、客戶端標(biāo)識、客戶端加密公鑰、服務(wù)端隨機(jī)數(shù)、服務(wù)端標(biāo)識、服務(wù)端加密公私鑰對和KGC主公鑰，計(jì)算第一會話秘鑰；通過客戶端，基于服務(wù)端隨機(jī)數(shù)、服務(wù)端標(biāo)識、服務(wù)端加密公鑰、客戶端隨機(jī)數(shù)、客戶端標(biāo)識、客戶端加密公私鑰對和KGC主公鑰，計(jì)算第二會話秘鑰，以使客戶端和服務(wù)端基于第一會話秘鑰和第二會話秘鑰進(jìn)行數(shù)據(jù)加密傳輸。本發(fā)明實(shí)施例的技術(shù)方案無需使用數(shù)字證書，適用大型復(fù)雜、用戶眾多且分布廣泛的場景。

技術(shù)研發(fā)人員：周佳倩,毛海生,李鵬,聶宗旭,孫馬秋
受保護(hù)的技術(shù)使用者：北京密碼云芯科技有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/12/19