本發(fā)明涉及密碼安全，尤其涉及一種密鑰協(xié)商方法、裝置、電子設(shè)備及存儲(chǔ)介質(zhì)。

背景技術(shù)：

1、tlcp（transport?layer?cryptography?protocol，傳輸層密碼協(xié)議）技術(shù)的關(guān)鍵點(diǎn)在于雙向身份認(rèn)證和密鑰協(xié)商。在傳統(tǒng)的tlcp建聯(lián)過(guò)程中，當(dāng)客戶端和服務(wù)端需要進(jìn)行安全建聯(lián)時(shí)，客戶端需要先獲取服務(wù)端提供的用于身份認(rèn)證的認(rèn)證證書(shū)和用于密鑰交換的加密證書(shū)。

2、但是，使用數(shù)字證書(shū)進(jìn)行信息加解密和身份認(rèn)證，效率低且存儲(chǔ)量較大，并且使用復(fù)雜的雙線性對(duì)運(yùn)算，運(yùn)算較為復(fù)雜，部署、管理以及使用的過(guò)程都較為繁瑣，不適用于大型復(fù)雜、用戶數(shù)量眾多且分布廣泛的應(yīng)用場(chǎng)景。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明提供了一種密鑰協(xié)商方法、裝置、電子設(shè)備及存儲(chǔ)介質(zhì)，在tlcp建聯(lián)過(guò)程中，無(wú)需使用數(shù)字證書(shū)，提高了密鑰協(xié)商效率，降低了存儲(chǔ)量，簡(jiǎn)化了運(yùn)算過(guò)程，容易部署、管理簡(jiǎn)單且使用方便，特別適用于大型復(fù)雜、用戶數(shù)量眾多且分布廣泛的應(yīng)用場(chǎng)景，適合于客戶端和服務(wù)端建聯(lián)的大型應(yīng)用場(chǎng)景。

2、根據(jù)本發(fā)明的一方面，提供了一種密鑰協(xié)商方法，所述方法包括：

3、通過(guò)服務(wù)端，接收客戶端隨機(jī)數(shù)和客戶端標(biāo)識(shí)，獲取服務(wù)端隨機(jī)數(shù)、服務(wù)端標(biāo)識(shí)、服務(wù)端加密公私鑰對(duì)和kgc主公鑰，向客戶端反饋服務(wù)端隨機(jī)數(shù)、服務(wù)端標(biāo)識(shí)和kgc主公鑰；

4、通過(guò)所述客戶端，接收所述服務(wù)端反饋的所述服務(wù)端隨機(jī)數(shù)、所述服務(wù)端標(biāo)識(shí)和所述kgc主公鑰，獲取客戶端加密公私鑰對(duì)，采用所述kgc主公鑰和所述客戶端標(biāo)識(shí)，對(duì)所述客戶端加密公私鑰對(duì)進(jìn)行校驗(yàn)，并在所述客戶端加密公私鑰對(duì)校驗(yàn)通過(guò)之后，向所述服務(wù)端反饋客戶端校驗(yàn)通過(guò)結(jié)果；

5、通過(guò)所述服務(wù)端，接收所述客戶端校驗(yàn)通過(guò)結(jié)果，向所述客戶端發(fā)送服務(wù)端加密公鑰；

6、通過(guò)所述客戶端，接收所述服務(wù)端加密公鑰，向所述服務(wù)端發(fā)送客戶端加密公鑰；

7、通過(guò)所述服務(wù)端，基于所述客戶端隨機(jī)數(shù)、所述客戶端標(biāo)識(shí)、所述客戶端加密公鑰、所述服務(wù)端隨機(jī)數(shù)、所述服務(wù)端標(biāo)識(shí)、所述服務(wù)端加密公私鑰對(duì)和所述kgc主公鑰，計(jì)算所述服務(wù)端與所述客戶端之間進(jìn)行會(huì)話建聯(lián)的第一會(huì)話秘鑰；

8、通過(guò)所述客戶端，基于所述服務(wù)端隨機(jī)數(shù)、所述服務(wù)端標(biāo)識(shí)、所述服務(wù)端加密公鑰、所述客戶端隨機(jī)數(shù)、所述客戶端標(biāo)識(shí)、所述客戶端加密公私鑰對(duì)和所述kgc主公鑰，計(jì)算所述客戶端與所述服務(wù)端之間進(jìn)行會(huì)話建聯(lián)的第二會(huì)話秘鑰，以使所述客戶端和所述服務(wù)端基于所述第一會(huì)話秘鑰和所述第二會(huì)話秘鑰進(jìn)行數(shù)據(jù)加密數(shù)據(jù)傳輸。

9、根據(jù)本發(fā)明的另一方面，提供了一種密鑰協(xié)商裝置，所述系統(tǒng)包括：客戶端和服務(wù)端；

10、所述服務(wù)端，用于接收客戶端隨機(jī)數(shù)和客戶端標(biāo)識(shí)，獲取服務(wù)端隨機(jī)數(shù)、服務(wù)端標(biāo)識(shí)、服務(wù)端加密公私鑰對(duì)和kgc主公鑰，向客戶端反饋服務(wù)端隨機(jī)數(shù)、服務(wù)端標(biāo)識(shí)和kgc主公鑰；

11、所述客戶端，用于接收所述服務(wù)端反饋的所述服務(wù)端隨機(jī)數(shù)、所述服務(wù)端標(biāo)識(shí)和所述kgc主公鑰，獲取客戶端加密公私鑰對(duì)，采用所述kgc主公鑰和所述客戶端標(biāo)識(shí)，對(duì)所述客戶端加密公私鑰對(duì)進(jìn)行校驗(yàn)，并在所述客戶端加密公私鑰對(duì)校驗(yàn)通過(guò)之后，向所述服務(wù)端反饋客戶端校驗(yàn)通過(guò)結(jié)果；

12、所述服務(wù)端，用于接收所述客戶端校驗(yàn)通過(guò)結(jié)果，向所述客戶端發(fā)送服務(wù)端加密公鑰；

13、所述客戶端，用于接收所述服務(wù)端加密公鑰，向所述服務(wù)端發(fā)送客戶端加密公鑰；

14、所述服務(wù)端，用于基于所述客戶端隨機(jī)數(shù)、所述客戶端標(biāo)識(shí)、所述客戶端加密公鑰、所述服務(wù)端隨機(jī)數(shù)、所述服務(wù)端標(biāo)識(shí)、所述服務(wù)端加密公私鑰對(duì)和所述kgc主公鑰，計(jì)算所述服務(wù)端與所述客戶端之間進(jìn)行會(huì)話建聯(lián)的第一會(huì)話秘鑰；

15、所述客戶端，用于基于所述服務(wù)端隨機(jī)數(shù)、所述服務(wù)端標(biāo)識(shí)、所述服務(wù)端加密公鑰、所述客戶端隨機(jī)數(shù)、所述客戶端標(biāo)識(shí)、所述客戶端加密公私鑰對(duì)和所述kgc主公鑰，計(jì)算所述客戶端與所述服務(wù)端之間進(jìn)行會(huì)話建聯(lián)的第二會(huì)話秘鑰，以使所述客戶端和所述服務(wù)端基于所述第一會(huì)話秘鑰和所述第二會(huì)話秘鑰進(jìn)行數(shù)據(jù)加密數(shù)據(jù)傳輸。

16、根據(jù)本發(fā)明的另一方面，提供了一種電子設(shè)備，所述電子設(shè)備包括：

17、至少一個(gè)處理器；以及

18、與所述至少一個(gè)處理器通信連接的存儲(chǔ)器；其中，

19、所述存儲(chǔ)器存儲(chǔ)有可被所述至少一個(gè)處理器執(zhí)行的計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被所述至少一個(gè)處理器執(zhí)行，以使所述至少一個(gè)處理器能夠執(zhí)行本發(fā)明任一實(shí)施例所述的密鑰協(xié)商方法。

20、根據(jù)本發(fā)明的另一方面，提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)存儲(chǔ)有計(jì)算機(jī)指令，所述計(jì)算機(jī)指令用于使處理器執(zhí)行時(shí)實(shí)現(xiàn)本發(fā)明任一實(shí)施例所述的密鑰協(xié)商方法。

21、根據(jù)本發(fā)明的另一方面，提供了一種計(jì)算機(jī)程序產(chǎn)品，所述計(jì)算機(jī)程序產(chǎn)品包括計(jì)算機(jī)程序，所述計(jì)算機(jī)程序在被處理器執(zhí)行時(shí)實(shí)現(xiàn)本發(fā)明任一實(shí)施例所述的密鑰協(xié)商方法。

22、本發(fā)明實(shí)施例的技術(shù)方案，通過(guò)服務(wù)端，接收客戶端隨機(jī)數(shù)和客戶端標(biāo)識(shí)，獲取服務(wù)端隨機(jī)數(shù)、服務(wù)端標(biāo)識(shí)、服務(wù)端加密公私鑰對(duì)和kgc主公鑰，向客戶端反饋服務(wù)端隨機(jī)數(shù)、服務(wù)端標(biāo)識(shí)和kgc主公鑰；通過(guò)客戶端，接收服務(wù)端反饋的服務(wù)端隨機(jī)數(shù)、服務(wù)端標(biāo)識(shí)和kgc主公鑰，獲取客戶端加密公私鑰對(duì)，采用kgc主公鑰和客戶端標(biāo)識(shí)，對(duì)客戶端加密公私鑰對(duì)進(jìn)行校驗(yàn)，并在客戶端加密公私鑰對(duì)校驗(yàn)通過(guò)之后，向服務(wù)端反饋客戶端校驗(yàn)通過(guò)結(jié)果；通過(guò)服務(wù)端，接收客戶端校驗(yàn)通過(guò)結(jié)果，向客戶端發(fā)送服務(wù)端加密公鑰；通過(guò)客戶端，接收服務(wù)端加密公鑰，向服務(wù)端發(fā)送客戶端加密公鑰；通過(guò)服務(wù)端，基于客戶端隨機(jī)數(shù)、客戶端標(biāo)識(shí)、客戶端加密公鑰、服務(wù)端隨機(jī)數(shù)、服務(wù)端標(biāo)識(shí)、服務(wù)端加密公私鑰對(duì)和kgc主公鑰，計(jì)算服務(wù)端與客戶端之間進(jìn)行會(huì)話建聯(lián)的第一會(huì)話秘鑰；通過(guò)客戶端，基于服務(wù)端隨機(jī)數(shù)、服務(wù)端標(biāo)識(shí)、服務(wù)端加密公鑰、客戶端隨機(jī)數(shù)、客戶端標(biāo)識(shí)、客戶端加密公私鑰對(duì)和kgc主公鑰，計(jì)算客戶端與服務(wù)端之間進(jìn)行會(huì)話建聯(lián)的第二會(huì)話秘鑰，以使客戶端和服務(wù)端基于第一會(huì)話秘鑰和第二會(huì)話秘鑰進(jìn)行數(shù)據(jù)加密數(shù)據(jù)傳輸，在tlcp建聯(lián)過(guò)程中，無(wú)需使用數(shù)字證書(shū)，提高了密鑰協(xié)商效率，降低了存儲(chǔ)量，簡(jiǎn)化了運(yùn)算過(guò)程，容易部署、管理簡(jiǎn)單且使用方便，特別適用于大型復(fù)雜、用戶數(shù)量眾多且分布廣泛的應(yīng)用場(chǎng)景，適合于客戶端和服務(wù)端建聯(lián)的大型應(yīng)用場(chǎng)景。

23、應(yīng)當(dāng)理解，本部分所描述的內(nèi)容并非旨在標(biāo)識(shí)本發(fā)明的實(shí)施例的關(guān)鍵或重要特征，也不用于限制本發(fā)明的范圍。本發(fā)明的其它特征將通過(guò)以下的說(shuō)明書(shū)而變得容易理解。

技術(shù)特征：

1.一種密鑰協(xié)商方法，其特征在于，所述方法包括：

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，在所述通過(guò)所述客戶端，接收所述服務(wù)端反饋的所述服務(wù)端隨機(jī)數(shù)、所述服務(wù)端標(biāo)識(shí)和所述kgc主公鑰，獲取客戶端加密公私鑰對(duì)，并采用所述kgc主公鑰和所述客戶端標(biāo)識(shí)，對(duì)所述客戶端加密公私鑰對(duì)進(jìn)行校驗(yàn)之前，還包括：

3.根據(jù)權(quán)利要求2所述的方法，其特征在于，在所述通過(guò)服務(wù)端，接收客戶端隨機(jī)數(shù)和客戶端標(biāo)識(shí)，獲取服務(wù)端隨機(jī)數(shù)、服務(wù)端標(biāo)識(shí)、服務(wù)端加密公私鑰對(duì)和kgc主公鑰，向客戶端反饋服務(wù)端隨機(jī)數(shù)、服務(wù)端標(biāo)識(shí)和kgc主公鑰之前，還包括：

4.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述通過(guò)所述客戶端，接收所述服務(wù)端反饋的所述服務(wù)端隨機(jī)數(shù)、所述服務(wù)端標(biāo)識(shí)和所述kgc主公鑰，獲取客戶端加密公私鑰對(duì)，采用所述kgc主公鑰和所述客戶端標(biāo)識(shí)，對(duì)所述客戶端加密公私鑰對(duì)進(jìn)行校驗(yàn)，包括：

5.根據(jù)權(quán)利要求1所述的方法，其特征在于，在所述通過(guò)所述客戶端，基于所述服務(wù)端隨機(jī)數(shù)、所述服務(wù)端標(biāo)識(shí)、所述服務(wù)端加密公鑰、所述客戶端隨機(jī)數(shù)、所述客戶端標(biāo)識(shí)、所述客戶端加密公私鑰對(duì)和所述kgc主公鑰，計(jì)算所述客戶端與所述服務(wù)端之間進(jìn)行會(huì)話建聯(lián)的第二會(huì)話秘鑰之后，還包括：

6.根據(jù)權(quán)利要求5所述的方法，其特征在于，在所述通過(guò)所述服務(wù)端，基于所述客戶端隨機(jī)數(shù)、所述客戶端標(biāo)識(shí)、所述客戶端加密公鑰、所述服務(wù)端隨機(jī)數(shù)、所述服務(wù)端標(biāo)識(shí)、所述服務(wù)端加密公私鑰對(duì)和所述kgc主公鑰，計(jì)算所述服務(wù)端與所述客戶端之間進(jìn)行會(huì)話建聯(lián)的第一會(huì)話秘鑰之后，包括：

7.一種密鑰協(xié)商系統(tǒng)，其特征在于，所述系統(tǒng)包括：客戶端和服務(wù)端；

8.一種電子設(shè)備，其特征在于，所述電子設(shè)備包括：

9.一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其特征在于，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)存儲(chǔ)有計(jì)算機(jī)指令，所述計(jì)算機(jī)指令用于使處理器執(zhí)行時(shí)實(shí)現(xiàn)權(quán)利要求1-6中任一項(xiàng)所述的密鑰協(xié)商方法。

10.一種計(jì)算機(jī)程序產(chǎn)品，其特征在于，所述計(jì)算機(jī)程序產(chǎn)品包括計(jì)算機(jī)程序，所述計(jì)算機(jī)程序在被處理器執(zhí)行時(shí)實(shí)現(xiàn)根據(jù)權(quán)利要求1-6中任一項(xiàng)所述的密鑰協(xié)商方法。

技術(shù)總結(jié)
本發(fā)明公開(kāi)了一種密鑰協(xié)商方法、裝置、電子設(shè)備及存儲(chǔ)介質(zhì)，涉及密碼安全技術(shù)領(lǐng)域。該方法包括：通過(guò)客戶端，采用KGC主公鑰和客戶端標(biāo)識(shí)，校驗(yàn)客戶端加密公私鑰對(duì)，在客戶端加密公私鑰對(duì)校驗(yàn)通過(guò)之后，通過(guò)服務(wù)端，基于客戶端隨機(jī)數(shù)、客戶端標(biāo)識(shí)、客戶端加密公鑰、服務(wù)端隨機(jī)數(shù)、服務(wù)端標(biāo)識(shí)、服務(wù)端加密公私鑰對(duì)和KGC主公鑰，計(jì)算第一會(huì)話秘鑰；通過(guò)客戶端，基于服務(wù)端隨機(jī)數(shù)、服務(wù)端標(biāo)識(shí)、服務(wù)端加密公鑰、客戶端隨機(jī)數(shù)、客戶端標(biāo)識(shí)、客戶端加密公私鑰對(duì)和KGC主公鑰，計(jì)算第二會(huì)話秘鑰，以使客戶端和服務(wù)端基于第一會(huì)話秘鑰和第二會(huì)話秘鑰進(jìn)行數(shù)據(jù)加密傳輸。本發(fā)明實(shí)施例的技術(shù)方案無(wú)需使用數(shù)字證書(shū)，適用大型復(fù)雜、用戶眾多且分布廣泛的場(chǎng)景。

技術(shù)研發(fā)人員：周佳倩,毛海生,李鵬,聶宗旭,孫馬秋
受保護(hù)的技術(shù)使用者：北京密碼云芯科技有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/12/19