一种对称密钥的传输方法及设备技术

本发明专利技术公开了一种对称密钥的传输方法及设备，涉及信息安全领域。本发明专利技术首先在两个终端设备中存储相同的保护密钥，其中一个设备使用保护密钥通过特定方式计算出用于数据加密的第二密钥及一个用于信息鉴别的第一密钥，然后通过第二密钥对要传输的对称密钥进行加密得到密钥块数据域，再使用第一密钥对包括协议头和密钥块数据域在内的整个数据进行MAC计算，将由协议头、密钥块数据域和MAC计算结果组成的密钥块数据传递给另一个设备。另一个设备以同样的方法产生第一密钥及第二密钥，并通过第一密钥完成密钥模块数据完整性的校验，通过校验后，再使用第二密钥还原出明文的被传输对称密钥。

Method and apparatus for transmitting symmetric key

The invention discloses a method and a device for transmitting symmetric keys. The present invention first in two terminal equipment are stored in the same key protection, one of the devices using the protection key by specific means calculated for second key data encryption and one for the first identification of key information, and then through the second key symmetric key to be transmitted encrypted key block data domain, and then MAC the calculation of the whole data including protocol and key block data domain, using the first key, by agreement, head of key block data domain and MAC calculation results of key block data consisting of transfer to another device. Another device generates a first key and the two key in the same way, and complete the verification key module of data integrity through the first key, through a check, and then restore the plaintext is transmitted using a second key symmetric key.

【技术实现步骤摘要】

本专利技术涉及信息安全领域，尤其涉及一种对称密钥的传输方法及设备。
技术介绍
在两个支持对称密钥体系的金融设备之间进行敏感数据交互时，需要对敏感数据进行数据加密及数据完整性校验，这些操作都需要依靠存储在金融设备内部的对称密钥完成。现有技术中，普遍的方法是分别在两个金融设备内部存储相同的固定数据作为对称密钥，但这种使用固定数据作为对称密钥的方式，使得金融设备之间敏感数据的传输存在安全性弱的问题，并且金融设备中的对称密钥的同步更新也是一个困难问题。
技术实现思路
为解决现有技术中存在的问题，本专利技术提出了一种对称密钥的传输方法及设备。实现本专利技术采用的技术方案如下：本专利技术提出的一种对称密钥的传输方法，其中作为对称密钥的发送方的设备的工作流程包括：步骤S1：根据预存的保护密钥计算出第一密钥和第二密钥；步骤S2：使用第二密钥对要传输的对称密钥进行加密得到密钥块数据域，使用第一密钥和预设算法对预设的密钥块头域和所述密钥块数据域进行计算得到密钥块MAC值；步骤S3：根据所述密钥块头域、所述密钥块数据域和所述密钥块MAC值组成密钥块数据并发送给接收方。上述步骤S1具体为：获取预存的保护密钥，将所述保护密钥分别与第一预设值和第二预设值进行异或得到第一密钥和第二密钥。上述步骤S2具体包括：步骤S2-1：将要传输的对称密钥根据预设格式组成待加密数据；步骤S2-2：使用第二密钥对所述待加密数据进行加密得到密钥块数据域；优选的，所述预设格式具体为：对称密钥长度值、对称密钥和填充数据的顺序拼接。步骤S2-3：使用第一密钥和预设算法对由所述预设的密钥块头域和所述密钥块数据域拼接组成的数据进行计算得到密钥块MAC值。优选的，所述预设算法具体为3DES算法，所述3DES算法的初始向量取为所述密钥块头域的部分数据。本专利技术提供了一种对称密钥的传输设备，作为对称密钥的发送方，该设备包括：存储模块、第一计算模块、加密模块、第二计算模块、组成模块和发送模块；所述存储模块，用于存储保护密钥和要传输的对称密钥；所述第一计算模块，用于根据所述存储模块中存储的所述保护密钥计算出第一密钥和第二密钥；所述加密模块，用于使用所述第一计算模块计算出的所述第二密钥对所述存储模块中存储的要传输的对称密钥进行加密得到密钥块数据域；所述第二计算模块，用于使用预设算法和所述第一计算模块计算出的所述第一密钥对预设的密钥块头域和所述加密模块得到的所述密钥块数据域进行计算得到密钥块MAC值；所述组成模块，用于根据所述预设的密钥块头域、所述加密模块加密得到的所述密钥块数据域和所述第二计算模块计算得到的所述密钥块MAC值组成密钥块数据；所述发送模块，用于向接收方发送所述组成模块组成的所述密钥块数据。上述第一计算模块具体包括，获取单元和异或运算单元；所述获取单元，用于从所述存储模块中获取所述保护密钥；所述异或运算单元，用于将所述获取单元获取的保护密钥分别与第一预设值和第二预设值进行异或得到第一密钥和第二密钥。上述加密模块，具体用于将所述存储模块中存储的要的对称密钥根据预设格式组成待加密数据，使用所述第一计算模块计算出的所述第二密钥对所述待加密数据进行加密得到密钥块数据域。本专利技术提供的一种对称密钥的传输方法，其中作为对称密钥的接收方的设备的工作流程包括：步骤S4：接收到发送方发送的密钥块数据，解析所述密钥块数据得到密钥块头域、密钥块数据域和密钥块MAC值；步骤S5：根据预存的保护密钥计算出第一密钥和第二密钥；步骤S6：使用所述第一密钥和预设算法对所述密钥块MAC值进行校验，若校验成功则使用所述第二密钥从所述密钥块数据域中解密出对称密钥并存储，若校验失败则向发送方返回错误码。上述步骤S5具体为：获取预存的保护密钥，将所述保护密钥分别与第一预设值和第二预设值进行异或得到第一密钥和第二密钥。上述步骤S4还包括：判断所述密钥块头域的各个组成字段是否均合法，是则执行步骤S5，否则向发送方返回错误码。上述使用所述第一密钥和预设算法对所述密钥块MAC值进行校验具体包括：步骤S6-1：使用预设算法和第一密钥对所述密钥块头域和密钥块数据域计算得到MAC码；步骤S6-2：比较计算得到的所述MAC码和所述密钥块MAC值是否相同，是则校验成功，否则校验失败。上述使用所述第二密钥从所述密钥块数据域中解密出对称密钥并存储具体为：使用第二密钥解密所述密钥块数据域的数据得到对称密钥长度值和解密数据，根据所述对称密钥长度值从所述解密数据中获取对称密钥并存储。本专利技术提供了一种对称密钥的传输设备，作为对称密钥的接收方，该设备包括：接收模块、存储模块、计算模块、校验模块和解密模块；所述接收模块，用于接收发送方发送的密钥块数据，并解析所述密钥块数据得到密钥块头域、密钥块数据域和密钥块MAC值；所述存储模块，用于存储保护密钥和所述解密模块解密出的对称密钥；所述计算模块，用于根据所述存储模块存储的所述保护密钥计算出第一密钥和第二密钥；所述校验模块，用于使用所述计算模块计算出的第一密钥和预设算法对所述接收模块解析得到的所述密钥块MAC值进行校验，若校验成功则触发解密模块，若校验失败则向发送方返回错误码；所述解密模块，用于使用所述计算模块计算出的所述第二密钥从所述接收模块解析得到的所述密钥块数据域中解密出对称密钥。上述计算模块具体包括，获取单元和异或运算单元；所述获取单元，用于从所述存储模块中获取所述保护密钥；所述异或运算单元，用于将所述获取单元获取的保护密钥分别与第一预设值和第二预设值进行异或得到第一密钥和第二密钥。上述作为接收方的设备，还包括判断模块；所述判断模块，用于判断所述接收模块解析得到的所述密钥块头域的各个组成字段是否均合法，若判断结果为是则触发所述计算模块，否则向发送方返回错误码。上述校验模块具体用于，使用预设算法和所述计算模块计算出的第一密钥对所述接收模块解析得到的所述密钥块头域和密钥块数据域计算得到MAC码，比较计算得到的所述MAC码和所述接收模块解析得到的所述密钥块MAC值是否相同，是则校验成功，否则校验失败。上述解密模块，具体用于使用所述计算模块计算出的第二密钥解密所述接收模块解析得到的所述密钥块数据域中的数据得到对称密钥长度值和解密数据，根据所述对称密钥长度值从所述解密数据中获取对称密钥。本专利技术的有益效果在于：可以安全、灵活地在两个金融设备间进行对称密钥的传输，从而增强了金融设备间敏感信息交互的安全性。附图说明图1是实施例1提供的一种对称密钥的传输方法中主设备对要传输的对称密钥的处理方法流程图；图2是实施例1提供的一种对称密钥的传输方法中从设备获取对称密钥的方法流程图；图3是实施例2提供的一种解析获取对称密钥的方法流程图；图4是实施例3提供的一种对称密钥的传输设备；图5是实施例4提供的一种对称密钥的传输设备。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本专利技术保护的范围。实施例1本实施例提供了一种对称密钥的传输方法，以主设备向从设备传输对称密钥为例进行详细说明，如图1和图2所示，包括以下步骤：步骤A1本文档来自技高网...

【技术保护点】
一种对称密钥的传输方法，其特征在于，包括：步骤S1：根据预存的保护密钥计算出第一密钥和第二密钥；步骤S2：使用第二密钥对要传输的对称密钥进行加密得到密钥块数据域，使用第一密钥和预设算法对预设的密钥块头域和所述密钥块数据域进行计算得到密钥块MAC值；步骤S3：根据所述密钥块头域、所述密钥块数据域和所述密钥块MAC值组成密钥块数据并发送给接收方。

【技术特征摘要】
1.一种对称密钥的传输方法，其特征在于，包括：步骤S1：根据预存的保护密钥计算出第一密钥和第二密钥；步骤S2：使用第二密钥对要传输的对称密钥进行加密得到密钥块数据域，使用第一密钥和预设算法对预设的密钥块头域和所述密钥块数据域进行计算得到密钥块MAC值；步骤S3：根据所述密钥块头域、所述密钥块数据域和所述密钥块MAC值组成密钥块数据并发送给接收方。2.根据权利要求1所述的方法，其特征在于，所述步骤S1具体为：获取预存的保护密钥，将所述保护密钥分别与第一预设值和第二预设值进行异或得到第一密钥和第二密钥。3.根据权利要求1所述的方法，其特征在于，所述步骤S2具体包括：步骤S2-1：将要传输的对称密钥根据预设格式组成待加密数据；步骤S2-2：使用第二密钥对所述待加密数据进行加密得到密钥块数据域；步骤S2-3：使用第一密钥和预设算法对由所述预设的密钥块头域和所述密钥块数据域拼接组成的数据进行计算得到密钥块MAC值。4.根据权利要求3所述的方法，其特征在于，所述方法还包括生成随机数，将生成的所述随机数作为填充数据，所述步骤S2-1中所述预设格式具体为：对称密钥长度值、对称密钥和填充数据的顺序拼接。5.根据权利要求1所述的方法，其特征在于，所述预设算法具体为3DES算法，所述3DES算法的初始向量取为所述密钥块头域的部分数据。6.一种对称密钥的传输设备，其特征在于，包括：存储模块、第一计算模块、加密模块、第二计算模块、组成模块和发送模块；所述存储模块，用于存储保护密钥和要传输的对称密钥；所述第一计算模块，用于根据所述存储模块中存储的所述保护密钥计算出第一密钥和第二密钥；所述加密模块，用于使用所述第一计算模块计算出的所述第二密钥对所述存储模块中存储的要传输的对称密钥进行加密得到密钥块数据域；所述第二计算模块，用于使用预设算法和所述第一计算模块计算出的所述第一密钥对预设的密钥块头域和所述加密模块得到的所述密钥块数据域进行计算得到密钥块MAC值；所述组成模块，用于根据所述预设的密钥块头域、所述加密模块加密得到的所述密钥块数据域和所述第二计算模块计算得到的所述密钥块MAC值组成密钥块数据；所述发送模块，用于向接收方发送所述组成模块组成的所述密钥块数据。7.根据权利要求6所述的设备，其特征在于：所述第一计算模块具体包括，获取单元和异或运算单元；所述获取单元，用于从所述存储模块中获取所述保护密钥；所述异或运算单元，用于将所述获取单元获取的保护密钥分别与第一预设值和第二预设值进行异或得到第一密钥和第二密钥。8.根据权利要求6所述的设备，其特征在于：所述加密模块，具体用于将所述存储模块中存储的要的对称密钥根据预设格式组成待加密数据，使用所述第一计算模块计算出的所述第二密钥对所述待加密数据进行加密得到密钥块数据域。9.根据权利要求8所述的设备，其特征在于：所述加密模块还用于生成随机数，并将生成的所述随机数作为填充数据，所述预设格式具体为：对称密钥长度值、对称密钥和填充数据的顺序拼接。10.根据权利要求6所述的设备，其特征在于，所述预设算法具体为3DES算法，所述3DES算法的初始向量取为所述密钥块头域的部分数据。11.一种对称密钥的传输方法，其特征在于，包括：步骤S4：接收到发送方发送的密钥块数据，解析所述密钥块数据得到密钥块头域、密钥块数据域和密钥块MAC值；步骤S5：根据预存的保护密钥计算出第一密钥和第二密钥；步骤S6：使用所述第一密钥和...

【专利技术属性】
技术研发人员：陆舟，于华章，
申请(专利权)人：飞天诚信科技股份有限公司，
类型：发明
国别省市：北京;11