异步会话密钥协商和应用方法、系统、电子设备及介质技术方案

本发明专利技术公开了一种异步会话密钥协商和应用方法、系统、电子设备及介质，通过会话密钥的协商和使用在不同的进程/线程中分开进行，敏感数据加密传输进程直接调用异步进程中协商好的会话密钥对敏感进行加密操作，能够有效解决阻塞主进程的问题；同时，通过使用会话密钥加密敏感信息，一次一密，能够有效解决密钥易泄漏或被窃取的问题。泄漏或被窃取的问题。泄漏或被窃取的问题。

【技术实现步骤摘要】
异步会话密钥协商和应用方法、系统、电子设备及介质


[0001]本专利技术涉及信息安全
，特别涉及一种异步会话密钥协商和应用方法、系统、电子设备及介质。

技术介绍

[0002]随着移动互联网时代的到来，手机成为人们日常生活中必备的工具之一。手机购物、手机办公、手机银行、手机游戏等多样化的APP应用给人们的生活的带来了极大的便利。各种手机APP在与后台业务系统通信的信息中，包含大量的敏感信息，如用户身份信息、隐私信息、支付信息、计费信息等，为防止这些敏感信息被恶意窃取或篡改，保障业务安全，需要对通信信息进行加密保护。
[0003]目前，对APP与后台业务系统通信信息进行加密保护的方法，主要有以下两大类：
[0004]一类是，在传输敏感信息前，先采用安全协议协商会话密钥，然后使用会话密钥加密传输后续的通信信息。如采用HTTPS/TLS协议或一些私有会话密钥协商协议来对通信信息进行加密保护；
[0005]二类是，通信双方提前线下协商好加密密钥，并将其预置到代码中，通信时直接使用该密钥加密保护通信内容。
[0006]在上述通信信息加密保护方法中，主要存在以下缺点：
[0007]一是，在上述第一类方法中，会话密钥协商和信息加密传输两个步骤在同一进程中顺序执行，在传输敏感信息前必须先临时协商会话密钥，这就增加了通信时间开销，且一旦会话密钥协商过程出现异常，则会阻塞主进程，导致后续的加密通信过程无法继续。
[0008]二是，在上述第二类方法中，使用提前线下协商好的一个密钥来加密保护全部的通信信息，一旦该密钥泄漏或被恶意窃取，则整个安全体系崩溃，存在极大的安全隐患。

技术实现思路

[0009]本专利技术旨在至少解决现有技术中存在的技术问题。为此，本专利技术提出一种异步会话密钥协商和应用方法、系统、电子设备及介质，能够有效解决协商会话密钥会增加通信时间开销，可能阻塞主进程的问题，以及有效解决线下提前协商的密钥存在的易泄漏或被窃取的问题。
[0010]第一方面，本专利技术实施例提供一种异步会话密钥协商和应用方法，包括以下步骤：
[0011]S1：接收来自应用程序的申请会话密钥的第一请求信息；
[0012]S2：检查本地的所述会话密钥，若本地存在有效的所述会话密钥，执行S3，若本地有效的所述会话密钥的数量小于预设阈值，执行S4；
[0013]S3：发送有效的所述会话密钥给所述应用程序，以使所述应用程序使用所述会话密钥加密向服务端发送的通信消息，并在将所述会话密钥发送给所述应用程序后，将所述会话密钥销毁；
[0014]S4：与所述服务端进行异步会话密钥协商，从所述服务器中获取所述会话密钥，并
将所述会话密钥存储在本地。
[0015]根据本专利技术的一些实施例，所述与所述服务端进行异步会话密钥协商，从所述服务器中获取所述会话密钥，包括：生成会话密钥协商请求，并使用数字证书对所述会话密钥协商请求进行数字签名，得到第一签名值；生成协商所述会话密钥的第二请求信息，其中，所述第二请求信息携带用户账号、设备ID、协商所述会话密钥的数量以及所述第一签名值；向所述服务端发送所述第二请求信息，以使所述服务端验证通过所述第一签名值后，根据所述第二请求信息生成对应数量的所述会话密钥，并将所述会话密钥以及所述用户账号、设备ID以及所述会话密钥的对应关系安全存储在本地，以及使用用户证书公钥加密所述会话密钥，生成携带所述会话密钥的响应信息，并使用系统证书对所述响应信息进行数字签名，得到第二签名值；接收来自所述服务端的所述响应信息和所述第二签名值，验证通过所述第二签名值后，解析所述响应消息，获取协商的所述会话密钥的密文，并使用用户证书私钥解密所述会话密钥的密文，得到所述会话密钥的明文，然后安全加密存储所述会话密钥。
[0016]根据本专利技术的一些实施例，在接收来自应用程序的申请获取会话密钥的第一请求信息之前，还包括：接收所述应用程序申请所述数字证书的第三请求信息，其中，所述第三请求信息携带用户账号；接收并解析所述第三请求信息，得到所述用户账号；生成公钥和私钥，向所述服务端发送申请所述数字证书的第四请求信息，以使所述服务端向CA中心申请所述数字证书，其中，所述第四请求信息携带所述公钥和所述用户账号，所述用户账号用于所述CA中心验证用户信息，所述公钥用于所述CA中心生成所述数字证书；接收所述服务端返回的所述数字证书，并将所述私钥和所述数字证书存储在本地。
[0017]第二方面，本专利技术实施例提供一种异步会话密钥协商和应用系统，包括
[0018]应用程序，用于向安全SDK发送申请会话密钥的第一请求信息，以及向服务端使用所述会话密钥加密向服务端发送的通信消息；
[0019]安全SDK，用于检查本地的所述会话密钥，若本地存在有效的所述会话密钥，发送有效的所述会话密钥给所述应用程序，并在将所述会话密钥发送给所述应用程序后，将所述会话密钥销毁；若本地有效的所述会话密钥的数量小于预设阈值，与所述服务端进行异步会话密钥协商；
[0020]服务端，用于与所述安全SDK进行异步会话密钥协商后，将所述会话密钥返回给所述安全SDK，以及使用所述会话密钥解密所述通信消息。
[0021]根据本专利技术的一些实施例，所述异步会话密钥协商和应用系统还包括：CA中心，用于生成所述数字证书。
[0022]根据本专利技术的一些实施例，所述服务端包括：第一证书管理模块，用于向所述CA中心申请所述数字证书；异步会话密钥管理模块，用于与所述安全SDK进行异步会话密钥协商后，将所述会话密钥返回给所述安全SDK；业务模块，用于接收所述应用程序的所述通信消息，并使用所述会话密钥解密所述通信消息。
[0023]根据本专利技术的一些实施例，所述安全SDK包括：第二证书管理模块，用于向所述第一证书管理模块申请数字证书；会话密钥管理模块，用于检查本地的所述会话密钥，若本地存在有效的所述会话密钥，发送所述会话密钥给所述应用程序，并在将所述会话密钥发送给所述应用程序后，将所述会话密钥销毁；若本地有效的所述会话密钥的数量小于预设阈值，与所述服务端进行异步会话密钥协商；软件安全模块，用于加密存储所述会话密钥。
[0024]本专利技术实施例一种异步会话密钥协商和应用方法，通过会话密钥的协商和使用在不同的进程/线程中分开进行，敏感数据加密传输进程直接调用异步进程中协商好的会话密钥对敏感进行加密操作，能够有效解决现有技术方案中“协商会话密钥会增加通信时间开销，且可能阻塞主进程”的问题；同时，通过使用会话密钥加密敏感信息，一次一密，能够有效解决线下提前协商的密钥存在的“易泄漏或被窃取”的问题。
[0025]第三方面，本专利技术实施例还提供一种电子设备，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现：
[0026]如第一方面所述的异步会话密钥协商和应用方法。
[0027]第四方面，本专利技术实施例还提供一种计算机可读存储介质，存储有计算机可执行指令，所述本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种异步会话密钥协商和应用方法，其特征在于，包括以下步骤：S1：接收来自应用程序的申请会话密钥的第一请求信息；S2：检查本地的所述会话密钥，若本地存在有效的所述会话密钥，执行S3，若本地有效的所述会话密钥的数量小于预设阈值，执行S4；S3：发送有效的所述会话密钥给所述应用程序，以使所述应用程序使用所述会话密钥加密向服务端发送的通信消息，并在将所述会话密钥发送给所述应用程序后，将所述会话密钥销毁；S4：与所述服务端进行异步会话密钥协商，从所述服务器中获取所述会话密钥，并将所述会话密钥存储在本地。2.根据权利要求1所述的异步会话密钥协商和应用方法，其特征在于，所述与所述服务端进行异步会话密钥协商，从所述服务器中获取所述会话密钥，包括：生成会话密钥协商请求，并使用数字证书对所述会话密钥协商请求进行数字签名，得到第一签名值；生成协商所述会话密钥的第二请求信息，其中，所述第二请求信息携带用户账号、设备ID、协商所述会话密钥的数量以及所述第一签名值；向所述服务端发送所述第二请求信息，以使所述服务端验证通过所述第一签名值后，根据所述第二请求信息生成对应数量的所述会话密钥，并将所述会话密钥以及所述用户账号、所述设备ID以及所述会话密钥的对应关系安全存储在本地，以及使用用户证书公钥加密所述会话密钥，生成携带所述会话密钥的响应信息，并使用系统证书对所述响应信息进行数字签名，得到第二签名值；接收来自所述服务端的所述响应信息和所述第二签名值，验证通过所述第二签名值后，解析所述响应消息，获取协商的所述会话密钥的密文，并使用用户证书私钥解密所述会话密钥的密文，得到所述会话密钥的明文，然后安全加密存储所述会话密钥。3.根据权利要求2所述的异步会话密钥协商和应用方法，其特征在于，在接收来自应用程序的申请获取会话密钥的第一请求信息之前，还包括：接收所述应用程序申请所述数字证书的第三请求信息，其中，所述第三请求信息携带用户账号；接收并解析所述第三请求信息，得到所述用户账号；生成公钥和私钥，向所述服务端发送申请所述数字证书的第四请求信息，以使所述服务端向CA中心申请所述数字证书，其中，所述第四请求信息携带所述公钥和所述用户账号，所述用户账号用于所述CA中心验证用户信息，...

【专利技术属性】
技术研发人员：陈松林，王巍，霍要峰，徐冬芳，
申请(专利权)人：卓望数码技术深圳有限公司，
类型：发明
国别省市：