本發(fā)明涉及互聯(lián)網(wǎng)領(lǐng)域，尤其涉及一種在線密鑰交換方法。本發(fā)明同時還涉及一種在線密鑰交換系統(tǒng)。

背景技術(shù)：

密鑰是一種參數(shù)，它是在明文轉(zhuǎn)換為密文或?qū)⒚芪霓D(zhuǎn)換為明文的算法中輸入的參數(shù)。密鑰分為對稱密鑰與非對稱密鑰?，F(xiàn)在的社會越來越多的使用互聯(lián)網(wǎng)進行企業(yè)的交易行為，而為了保障交易的隱私性和身份確權(quán)，在交易中經(jīng)常會用到各種加密算法，而密鑰則是加解密中的必要參數(shù)，需要用戶慎重保管。

然而不管是使用對稱算法還是非對稱算法，用戶持有的私鑰很難進行有效的安全更新，一些證書直接使用很長(如99年)的有效期，從而降低了相關(guān)加密過程的安全級別。

技術(shù)實現(xiàn)要素：

為了克服現(xiàn)有技術(shù)的不足，本發(fā)明的目的在于提供一種在線密鑰交換方法，用以解決現(xiàn)有技術(shù)中密鑰更換頻率低，加密過程安全級別低的問題。

本發(fā)明的目的采用以下技術(shù)方案實現(xiàn)：

所述客戶端和服務(wù)端進行初始化，分別得到交換密鑰；

所述客戶端和服務(wù)端進行首次交易時，交易發(fā)起者產(chǎn)生交易密鑰；

所述交換密鑰對所述交易密鑰進行加密，并發(fā)給交易接收者；

所述交易發(fā)起者和所述交易接收者通過所述交換密鑰對所述交易密鑰解密，并確認所述交易密鑰合法性。

優(yōu)選的，所述客戶端和服務(wù)端進行初始化，分別得到交換密鑰，具體包括：

所述客戶端和服務(wù)端進行初始化時，ca系統(tǒng)產(chǎn)生數(shù)個零散值，分配給所述客戶端和服務(wù)端；

所述客戶端和服務(wù)端分別對所述數(shù)個零散值進行合成，分別得到交換密鑰，并通過本地加密主密鑰進行加密。

優(yōu)選的，ca系統(tǒng)產(chǎn)生數(shù)個零散值，分配給所述客戶端和服務(wù)端，具體包括：

ca系統(tǒng)產(chǎn)生三個零散值，每個零散值分別分配給所述客戶端的三個管理人員和所述服務(wù)端的三個管理人員。

優(yōu)選的，所述服務(wù)端和客戶端分別對所述數(shù)個零散值進行合成具體包括：

所述客戶端的三個管理人員對所述零散值輸入到所述客戶端中，所述客戶端根據(jù)合成算法，得到交換密鑰；

所述服務(wù)端的三個管理人員對所述零散值輸入到所述服務(wù)端中，所述服務(wù)端根據(jù)合成算法，得到與所述客戶端一致的交換密鑰。

優(yōu)選的，在所述交易發(fā)起者和所述交易接受者通過所述交換密鑰對所述交易密鑰解密，并確認所述交易密鑰合法后還包括：

所述交易發(fā)起者和所述交易接收者通過交易密鑰對所述交易內(nèi)容進行加密，并根據(jù)規(guī)則定時更新所述交易密鑰。

同時本發(fā)明還提供了一種在線密鑰交換系統(tǒng)，包括互聯(lián)網(wǎng)中的客戶端和服務(wù)端，其中：

所述客戶端和服務(wù)端均包括存儲器，用于存儲程序指令；

所述客戶端和服務(wù)端均包括處理器，用于執(zhí)行所述程序指令，以執(zhí)行以下步驟：

所述客戶端和服務(wù)端進行初始化，分別得到交換密鑰；

所述客戶端和服務(wù)端進行首次交易時，交易發(fā)起者產(chǎn)生交易密鑰；

所述交換密鑰對所述交易密鑰進行加密，并發(fā)給交易接收者；

所述交易發(fā)起者和所述交易接收者通過所述交換密鑰對所述交易密鑰解密，并確認所述交易密鑰合法性。

優(yōu)選的，所述客戶端和服務(wù)端進行初始化，分別得到交換密鑰，具體包括：

所述客戶端和服務(wù)端進行初始化時，ca系統(tǒng)產(chǎn)生數(shù)個零散值，分配給所述客戶端和服務(wù)端；

所述客戶端和服務(wù)端分別對所述數(shù)個零散值進行合成，分別得到交換密鑰，并通過本地加密主密鑰進行加密。

優(yōu)選的，ca系統(tǒng)產(chǎn)生數(shù)個零散值，分配給所述客戶端和服務(wù)端，具體包括：

ca系統(tǒng)產(chǎn)生三個零散值，每個零散值分別分配給所述客戶端的三個管理人員和所述服務(wù)端的三個管理人員。

優(yōu)選的，所述服務(wù)端和客戶端分別對所述數(shù)個零散值進行合成具體包括：

所述客戶端的三個管理人員對所述零散值輸入到所述客戶端中，所述客戶端根據(jù)合成算法，得到交換密鑰；

所述服務(wù)端的三個管理人員對所述零散值輸入到所述服務(wù)端中，所述服務(wù)端根據(jù)合成算法，得到與所述客戶端一致的交換密鑰。

優(yōu)選的，在所述交易發(fā)起者和所述交易接受者通過所述交換密鑰對所述交易密鑰解密，并確認所述交易密鑰合法后還包括：

所述交易發(fā)起者和所述交易接收者通過交易密鑰對所述交易內(nèi)容進行加密，并根據(jù)規(guī)則定時更新所述交易密鑰。

相比現(xiàn)有技術(shù)，本發(fā)明的有益效果在于：解決現(xiàn)有技術(shù)中密鑰更換頻率低，加密過程安全級別低的問題。

附圖說明

圖1為本發(fā)明提出一種在線密鑰交換方法的流程示意圖；

圖2為本發(fā)明提出一種在線密鑰交換的系統(tǒng)結(jié)構(gòu)圖。

具體實施方式

下面，結(jié)合附圖以及具體實施方式，對本發(fā)明做進一步描述：

如圖1所示，為本申請?zhí)岢龅囊环N在線密鑰交換方法的流程示意圖，具體地，本申請技術(shù)方案包括如下步驟：

s101，客戶端和服務(wù)端進行初始化，分別得到交換密鑰。

在本發(fā)明實施例中，客戶端和服務(wù)端均有本地加密主密鑰，該本地加密主密鑰隨機生成，只保存在加密模塊的保護區(qū)域內(nèi)，只能用于內(nèi)部計算，不能對外讀取。

ca系統(tǒng)是指ca中心又稱ca機構(gòu)，即證書授權(quán)中心(certificateauthority)，或稱證書授權(quán)機構(gòu)，作為電子商務(wù)交易中受信任的第三方，承擔(dān)公鑰體系中公鑰的合法性檢驗的責(zé)任。ca中心為每個使用公開密鑰的用戶發(fā)放一個數(shù)字證書，數(shù)字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。ca機構(gòu)的數(shù)字簽名使得攻擊者不能偽造和篡改證書。在set交易中，ca不僅對持卡人、商戶發(fā)放證書，還要對獲款的銀行、網(wǎng)關(guān)發(fā)放證書。它負責(zé)產(chǎn)生、分配并管理所有參與網(wǎng)上交易的個體所需的數(shù)字證書，因此是安全電子交易的核心環(huán)節(jié)。

在該步驟中，所述客戶端和服務(wù)端進行初始化時，ca系統(tǒng)產(chǎn)生三個零散值，每個零散值分別分配給所述客戶端的三個管理人員和所述服務(wù)端的三個管理人員。

客戶端的三個管理人員拿到零散值后，分別把零散值輸入到客戶端中，客戶端根據(jù)合成算法，合成得到交換密鑰。

服務(wù)端的三個管理人員拿到零散值后，分別把零散值輸入到服務(wù)端中，服務(wù)端根據(jù)合成算法，合成得到交換密鑰。服務(wù)端和客戶端通過本地加密主密鑰進行加密，存儲在外的是加密后密文。

客戶端和服務(wù)端的交換密鑰是一致的。

s102，客戶端和服務(wù)端進行首次交易時，交易發(fā)起者產(chǎn)生交易密鑰。

客戶端和服務(wù)端進行第一次交易時，由交易發(fā)起方產(chǎn)生交易密鑰。

s103,交換密鑰對交易密鑰進行加密，并發(fā)給交易接收者

客戶端和服務(wù)端進行第一次交易時，由交易發(fā)起方產(chǎn)生交易密鑰，然后使用交換密鑰對交易密鑰進行加密，先發(fā)給交易接收方。

s104，交易發(fā)起者和交易接收者通過交換密鑰對交易密鑰解密，并確認交易密鑰合法性。

所述交易發(fā)起者和所述交易接收者通過所述交換密鑰對所述交易密鑰解密，并確認所述交易密鑰合法性。

在確認交易密鑰合法性后，交易發(fā)起者和所述交易接收者通過交易密鑰對所述交易內(nèi)容進行加密，并根據(jù)規(guī)則定時更新所述交易密鑰。比如交易雙方通過一定的策略，比如經(jīng)過一天、經(jīng)過1萬筆交易等，重新產(chǎn)生新的交易密鑰。在本發(fā)明實施例中，實際交易密鑰是動態(tài)產(chǎn)生的，外部攻擊者難于截獲。并且交易密鑰短時間就進行切換，極大的提高了交易的安全級別。

在此方法中，靜態(tài)的交換密鑰以密文保存，即使數(shù)據(jù)庫被泄漏，外部攻擊者也無法獲得真實的交換密鑰。

在此方法中，靜態(tài)的交換密鑰使用方式如下：

1.交換密鑰產(chǎn)生后是多分量，由多人保管，增強安全性。

2.交換密鑰分量的合成方式是私有方式，分量在合成后無意義。

3.交換密鑰通過本地加密主密鑰進行加密后再保存，對外看到的是密文。

4.加密模塊在進行計算時，通過本地加密主密鑰將密文狀態(tài)的交換密鑰還原回明文狀態(tài)，該過程只在加密模塊中發(fā)生，無法被讀取。

為達到以上技術(shù)目的，本發(fā)明還提出了一種在線密鑰交換系統(tǒng)，如圖2所示，該系統(tǒng)包括：

互聯(lián)網(wǎng)中的客戶端和服務(wù)端，客戶端和服務(wù)端均包括存儲器，用于存儲程序指令；

所述客戶端和服務(wù)端均包括處理器，用于執(zhí)行所述程序指令，以執(zhí)行以下步驟：

客戶端和所述服務(wù)端進行初始化，分別得到交換密鑰；

客戶端和所述服務(wù)端進行首次交易時，交易發(fā)起者產(chǎn)生交易密鑰；

交換密鑰對所述交易密鑰進行加密，并發(fā)給交易接收者；

交易發(fā)起者和所述交易接收者通過所述交換密鑰對所述交易密鑰解密，并確認所述交易密鑰合法性。

其中，所述客戶端和服務(wù)端進行初始化，分別得到交換密鑰，具體包括：

所述客戶端和服務(wù)端進行初始化時，ca系統(tǒng)產(chǎn)生數(shù)個零散值，分配給所述客戶端和服務(wù)端；

所述客戶端和服務(wù)端分別對所述數(shù)個零散值進行合成，分別得到交換密鑰，并通過本地加密主密鑰進行加密。

其中，ca系統(tǒng)產(chǎn)生數(shù)個零散值，分配給所述客戶端和服務(wù)端，具體包括：

ca系統(tǒng)產(chǎn)生三個零散值，每個零散值分別分配給所述客戶端的三個管理人員和所述服務(wù)端的三個管理人員。

所述服務(wù)端和客戶端分別對所述數(shù)個零散值進行合成具體包括：

所述客戶端的三個管理人員對所述零散值輸入到所述客戶端中，所述客戶端根據(jù)合成算法，得到交換密鑰；

所述服務(wù)端的三個管理人員對所述零散值輸入到所述服務(wù)端中，所述服務(wù)端根據(jù)合成算法，得到與所述客戶端一致的交換密鑰。

在所述交易發(fā)起者和所述交易接受者通過所述交換密鑰對所述交易密鑰解密，并確認所述交易密鑰合法后還包括：

所述交易發(fā)起者和所述交易接收者通過交易密鑰對所述交易內(nèi)容進行加密，并根據(jù)規(guī)則定時更新所述交易密鑰。

對本領(lǐng)域的技術(shù)人員來說，可根據(jù)以上描述的技術(shù)方案以及構(gòu)思，做出其它各種相應(yīng)的改變以及形變，而所有的這些改變以及形變都應(yīng)該屬于本發(fā)明權(quán)利要求的保護范圍之內(nèi)。