一种密钥协商方法、装置、设备及存储介质制造方法及图纸

本申请公开了一种密钥协商方法、装置、设备及存储介质，方法包括：S1：判断客户端与云平台之间是否创建有第一安全通道，若否，则执行步骤S2，若是，则执行步骤S3，第一安全通道为客户端与云平台之间首次创建安全通道时得到的安全通道；S2：根据云平台加密公钥、当前时间戳和第一客户端随机数创建第一安全通道，并在创建第一安全通道的同时进行身份认证和第一密钥协商；S3：基于预置会话密钥，在第二安全通道上进行第二密钥协商，其中，预置会话密钥为第一安全通道对应的会话密钥，第二安全通道为客户端与云平台之间除第一安全通道以外的安全通道。本申请能够解决现有客户端与云平台的多次交互协商导致交互效率低且较为耗时的技术问题。

【技术实现步骤摘要】
一种密钥协商方法、装置、设备及存储介质
本申请涉及密钥协商
，尤其涉及一种密钥协商方法、装置、设备及存储介质。
技术介绍
云计算是由分布式计算、并行处理、网格计算发展来的，是一种新兴的商业计算模型。云计算平台厂商通过建立网络服务器集群，向客户提供在线软件服务、硬件租借、数据存储、计算分析等不同类型的服务。近几年，随着虚拟化、边缘计算、人工智能、容器和区块链技术的高速发展，云计算平台凭借响应快速、部署方便灵活、高可用性、高性价比等自身优势，在网络服务中得以广泛应用。云计算的应用规模大、牵涉范围广，若发生安全事件，较传统计算模式会造成更严重的后果和更广泛的影响。在云平台面临的诸多安全威胁中，数据泄露已成为主要的威胁。数据传输过程中发生数据泄露是该威胁的典型场景。当前主要的防护手段是通过传输层安全协议(SSL/TLS)加密数据，然而SSL/TLS协议却不断爆出安全漏洞，比如老版本的SSL协议被公认在完整性校验、密钥协商过程中有重大缺陷；比如针对其压缩机制的CRIME漏洞，针对CBC块加密模式的BEAST漏洞等等。其次，使用现有传输层安全协议密钥协商时，客户端与服务器之间需经过多次交互协商，最终生成传输保护用的共享密钥，这个过程非常耗时和低效。最后，SSL/TLS协议的密钥协商往往采用的是单向鉴权，即协商时只需要客户端认证服务器，而服务器对接入的客户端缺乏强制性的身份认证手段。
技术实现思路
本申请提供了一种密钥协商方法、装置、设备及存储介质，用于解决现有客户端与云平台的多次交互协商导致交互效率低且较为耗时的技术问题。有鉴于此，本申请第一方面提供了一种密钥协商方法，包括：S1：判断客户端与云平台之间是否创建有第一安全通道，若否，则执行步骤S2，若是，则执行步骤S3，所述第一安全通道为客户端与云平台之间首次创建安全通道时得到的安全通道；S2：根据云平台加密公钥、当前时间戳和第一客户端随机数创建所述第一安全通道，并在创建所述第一安全通道的同时进行身份认证和第一密钥协商；S3：基于预置会话密钥，在第二安全通道上进行第二密钥协商，其中，所述预置会话密钥为所述第一安全通道对应的会话密钥，所述第二安全通道为客户端与云平台之间除所述第一安全通道以外的安全通道。优选地，所述步骤S2，包括：通过客户端将第一客户端随机数通过云平台加密公钥加密成第一客户端随机数密文，对当前时间戳进行签名，得到时间签名，并将所述第一客户端随机数密文、所述当前时间戳、所述时间签名和客户端证书发送至云平台认证，所述客户端证书包括客户端签名证书和加密证书；在云平台接收到客户端的认证请求报文后，根据所述所述当前时间戳、所述时间签名和客户端证书进行客户端身份验证；通过云平台采用加密私钥将所述第一客户端随机数密文解密为第一解密随机数，并采用所述第一解密随机数将第一云平台随机数加密为第一云平台随机数密文；通过云平台对第一云平台会话唯一标识、所述第一解密随机数和所述第一云平台随机数进行签名，得到第一云平台签名值，并将所述第一云平台会话唯一标识、所述第一云平台随机数密文和所述第一云平台签名值发送至客户端；通过客户端采用所述第一客户端随机数对所述第一云平台随机数密文进行解密，得到第二解密随机数，并采用预置云平台签名证书验证所述第一云平台签名值，完成云平台认证协商。优选地，所述步骤S3，包括：通过客户端根据预置会话密钥将第二客户端随机数加密成第二客户端随机数密文，将第一云平台会话唯一标识和所述第二客户端随机数进行签名，得到客户端签名值，并将所述第一云平台会话唯一标识、所述第二客户端随机数密文、所述客户端签名值和客户端签名证书通过第二安全通道发送至云平台进行协商请求；通过云平台根据所述第一云平台会话唯一标识得到的所述预置会话密钥将所述第二客户端随机数密文解密为第三解密随机数，并采用所述第三解密随机数将第二云平台随机数加密为第二云平台随机数密文；在所述客户端签名值验证通过后，通过云平台对第二云平台会话唯一标识、所述第三解密随机数和所述第二云平台随机数进行签名，得到第二云平台签名值，并将所述第二云平台会话唯一标识、所述第二云平台随机数密文和所述第二云平台签名值通过所述第二安全通道发送至客户端；通过客户端采用所述第二客户端随机数对所述第二云平台随机数密文进行解密，得到第四解密随机数，并采用预置云平台签名证书验证所述第二云平台签名值，完成云平台的第二密钥协商。优选地，所述第一密钥协商与所述第二密钥协商均采用对称加密算法进行加密处理。本申请第二方面提供了一种密钥协商装置，包括：判断模块，用于判断客户端与云平台之间是否创建有第一安全通道，若否，则触发认证协商模块，若是，则触发密钥协商模块，所述第一安全通道为客户端与云平台之间首次创建安全通道时得到的安全通道；认证协商模块，用于根据云平台加密公钥、当前时间戳和第一客户端随机数创建所述第一安全通道，并在创建所述第一安全通道的同时进行身份认证和第一密钥协商；密钥协商模块，用于基于预置会话密钥，在第二安全通道上进行第二密钥协商，其中，所述预置会话密钥为所述第一安全通道对应的会话密钥，所述第二安全通道为客户端与云平台之间除所述第一安全通道以外的安全通道。优选地，所述认证协商模块，包括：认证请求子模块，用于通过客户端将第一客户端随机数通过云平台加密公钥加密成第一客户端随机数密文，对当前时间戳进行签名，得到时间签名，并将所述第一客户端随机数密文、所述当前时间戳、所述时间签名和客户端证书发送至云平台认证，所述客户端证书包括客户端签名证书和加密证书；身份认证子模块，用于在云平台接收到客户端的认证请求报文后，根据所述所述当前时间戳、所述时间签名和客户端证书进行客户端身份验证；第一密钥加密子模块，用于通过云平台采用加密私钥将所述第一客户端随机数密文解密为第一解密随机数，并采用所述第一解密随机数将第一云平台随机数加密为第一云平台随机数密文；第一签名验证子模块，用于通过云平台对第一云平台会话唯一标识、所述第一解密随机数和所述第一云平台随机数进行签名，得到第一云平台签名值，并将所述第一云平台会话唯一标识、所述第一云平台随机数密文和所述第一云平台签名值发送至客户端；认证协商子模块，用于通过客户端采用所述第一客户端随机数对所述第一云平台随机数密文进行解密，得到第二解密随机数，并采用预置云平台签名证书验证所述第一云平台签名值，完成云平台认证协商。优选地，所述密钥协商模块，包括：协商请求子模块，用于通过客户端根据预置会话密钥将第二客户端随机数加密成第二客户端随机数密文，将第一云平台会话唯一标识和所述第二客户端随机数进行签名，得到客户端签名值，并将所述第一云平台会话唯一标识、所述第二客户端随机数密文、所述客户端签名值和客户端签名证书通过第二安全通道发送至云平台进行协商请求；第二密钥加密子模块，用于通过云平台根据所述第一云平台会话唯一标识得到的所述预置会话密钥本文档来自技高网...

【技术保护点】
1.一种密钥协商方法，其特征在于，包括：/nS1：判断客户端与云平台之间是否创建有第一安全通道，若否，则执行步骤S2，若是，则执行步骤S3，所述第一安全通道为客户端与云平台之间首次创建安全通道时得到的安全通道；/nS2：根据云平台加密公钥、当前时间戳和第一客户端随机数创建所述第一安全通道，并在创建所述第一安全通道的同时进行身份认证和第一密钥协商；/nS3：基于预置会话密钥，在第二安全通道上进行第二密钥协商，其中，所述预置会话密钥为所述第一安全通道对应的会话密钥，所述第二安全通道为客户端与云平台之间除所述第一安全通道以外的安全通道。/n

【技术特征摘要】
1.一种密钥协商方法，其特征在于，包括：
S1：判断客户端与云平台之间是否创建有第一安全通道，若否，则执行步骤S2，若是，则执行步骤S3，所述第一安全通道为客户端与云平台之间首次创建安全通道时得到的安全通道；
S2：根据云平台加密公钥、当前时间戳和第一客户端随机数创建所述第一安全通道，并在创建所述第一安全通道的同时进行身份认证和第一密钥协商；
S3：基于预置会话密钥，在第二安全通道上进行第二密钥协商，其中，所述预置会话密钥为所述第一安全通道对应的会话密钥，所述第二安全通道为客户端与云平台之间除所述第一安全通道以外的安全通道。


2.根据权利要求1所述的密钥协商方法，其特征在于，所述步骤S2，包括：
通过客户端将第一客户端随机数通过云平台加密公钥加密成第一客户端随机数密文，对当前时间戳进行签名，得到时间签名，并将所述第一客户端随机数密文、所述当前时间戳、所述时间签名和客户端证书发送至云平台认证，所述客户端证书包括客户端签名证书和加密证书；
在云平台接收到客户端的认证请求报文后，根据所述所述当前时间戳、所述时间签名和客户端证书进行客户端身份验证；
通过云平台采用加密私钥将所述第一客户端随机数密文解密为第一解密随机数，并采用所述第一解密随机数将第一云平台随机数加密为第一云平台随机数密文；
通过云平台对第一云平台会话唯一标识、所述第一解密随机数和所述第一云平台随机数进行签名，得到第一云平台签名值，并将所述第一云平台会话唯一标识、所述第一云平台随机数密文和所述第一云平台签名值发送至客户端；
通过客户端采用所述第一客户端随机数对所述第一云平台随机数密文进行解密，得到第二解密随机数，并采用预置云平台签名证书验证所述第一云平台签名值，完成云平台认证协商。


3.根据权利要求1所述的密钥协商方法，其特征在于，所述步骤S3，包括：
通过客户端根据预置会话密钥将第二客户端随机数加密成第二客户端随机数密文，将第一云平台会话唯一标识和所述第二客户端随机数进行签名，得到客户端签名值，并将所述第一云平台会话唯一标识、所述第二客户端随机数密文、所述客户端签名值和客户端签名证书通过第二安全通道发送至云平台进行协商请求；
通过云平台根据所述第一云平台会话唯一标识得到的所述预置会话密钥将所述第二客户端随机数密文解密为第三解密随机数，并采用所述第三解密随机数将第二云平台随机数加密为第二云平台随机数密文；
在所述客户端签名值验证通过后，通过云平台对第二云平台会话唯一标识、所述第三解密随机数和所述第二云平台随机数进行签名，得到第二云平台签名值，并将所述第二云平台会话唯一标识、所述第二云平台随机数密文和所述第二云平台签名值通过所述第二安全通道发送至客户端；
通过客户端采用所述第二客户端随机数对所述第二云平台随机数密文进行解密，得到第四解密随机数，并采用预置云平台签名证书验证所述第二云平台签名值，完成云平台的第二密钥协商。


4.根据权利要求1所述的密钥协商方法，其特征在于，所述第一密钥协商与所述第二密钥协商均采用对称加密算法进行加密处理。


5.一种密钥协商装置，其特征在于，包括：
判断模块，用于判断客户端与云平台之间是否创建有第一安全通道，若否，则触发认证协商模块，若是，则触发密钥协商模块，所述第一安全通道为客户端与云平台之间首次创建安全通道时得到的安全通道；
认证协商模块，用于根据云平台加密公钥、当前时间戳和第一客户端随机数创建所述第一...

【专利技术属性】
技术研发人员：伍晓泉，胡春潮，尤毅，曾杰，
申请(专利权)人：广东电网有限责任公司电力科学研究院，
类型：发明
国别省市：广东;44