【技术实现步骤摘要】
一种对称密钥的分发方法、装置、设备及介质
[0001]本专利技术涉及信息安全
,尤其涉及一种对称密钥的分发方法、装置、设备及介质。
技术介绍
[0002]密钥可分为两大类,对称密钥和非对称密钥。对称密钥中的“对称”一词是指加密密钥和解密密钥是相同的;非对称密钥中“非对称”则是指加密密钥和解密密钥不同,通常加密密钥和解密密钥具有特定的数学关系。
[0003]在通信过程中,为了达到特定的密码功能,发送方一般使用加密密钥对数据进行加密,接收方使用解密密钥对数据进行解密。对于非对称密钥而言,解密密钥通常只由接收方一方保管。
[0004]对称密钥一般作为会话密钥使用,即使用TLS或IKE等协议实现密钥的共享,对短期会话通信数据进行加解密保护。由于与非对称密钥对应的非对称密码算法相比,对称密钥对应的对称密码算法加解密速度快优势明显,对称密码非常适用于大数量数据的运算过程;且使用同一对称密钥对业务数据进行加解密,可很好的简化密钥管理难题,在特定场景下具有很好的适用性。但是,对于对称密钥应用场景,由于发送方和接收方需要使用相同的密钥对数据进行加解密,因此在使用对称密钥进行加解密之前需要双方传递实现对称密钥的分发,而在对称密钥进行传递分发的过程容易使对称密钥泄露。
技术实现思路
[0005]本专利技术提供了一种对称密钥的分发方法、装置、设备及介质,以解决现有技术中在对称密钥进行传递分发的过程容易使对称密钥泄露的问题。
[0006]为了解决上述问题,本专利技术采用以下技术方案:包括:>[0007]第一方面,本专利技术提供了一种对称密钥的分发方法,所述方法应用于根系统,所述根系统为离线的系统,所述根系统与服务系统进行线下数据交互,所述服务系统与业务系统进行线上数据交互,所述根系统中设置有离线的密钥生成设备,所述方法包括:
[0008]获取服务系统对称密钥以及业务系统对称密钥;其中,所述服务系统对称密钥和所述业务系统对称密钥均由所述密钥生成设备生成;
[0009]对所述服务系统对称密钥进行数字信封操作以及数字签名操作得到第一文件,并对所述业务系统对称密钥进行数字信封操作以及数字签名操作得到第二文件;
[0010]将所述第一文件和所述第二文件发送给所述服务系统;其中,所述服务系统对所述第一文件进行数字信封逆操作以及数字签名逆操作得到所述服务系统对称密钥,并对所述第二文件进行数字信封操作以及数字签名操作得到第三文件后,将所述第三文件发送给业务系统;所述业务系统在接收到所述第三文件后,对所述第三文件进行数字信封逆操作以及数字签名逆操作得到所述第二文件,再对所述第二文件进行数字信封逆操作以及数字签名逆操作得到所述业务系统对称密钥。
[0011]其进一步的技术方案为,所述根系统具有根系统签名私钥,所述根系统具有服务系统的加密证书以及业务系统的加密证书,所述服务系统的加密证书中含有服务系统的加密公钥,所述业务系统的加密证书中含有业务系统的加密公钥,所述对所述服务系统对称密钥进行数字信封操作以及数字签名操作得到第一文件,包括:
[0012]使用哈希算法对所述服务系统对称密钥进行计算得到所述服务系统对称密钥的哈希值;
[0013]使用根系统签名私钥对所述服务系统对称密钥的哈希值进行签名得到第一签名文件;
[0014]生成第一临时会话密钥并使用所述第一临时会话密钥加密所述服务系统对称密钥以及所述第一签名文件得到第一数字签名文件,并使用所述服务系统的加密公钥对所述第一临时会话密钥进行加密得到第一数字信封文件;
[0015]将所述第一数字签名文件以及所述第一数字信封文件作为第一文件。
[0016]其进一步的技术方案为,所述对所述业务系统对称密钥进行数字信封操作以及数字签名操作得到第二文件,包括:
[0017]使用哈希算法对所述业务系统对称密钥进行计算得到所述业务系统对称密钥的哈希值;
[0018]使用根系统签名私钥对所述业务系统对称密钥的哈希值进行签名得到第二签名文件;
[0019]生成第二临时会话密钥并使用所述第二临时会话密钥加密所述业务系统对称密钥以及所述第二签名文件得到第二数字签名文件,并使用所述业务系统的加密公钥对所述第二临时会话密钥进行加密得到第二数字信封文件;
[0020]将所述第二数字签名文件以及所述第二数字信封文件作为第二文件。
[0021]其进一步的技术方案为,所述服务系统对称密钥以及所述业务系统对称密钥均为需长期安全存储的对称密钥。
[0022]第二方面,本专利技术还提供了一种对称密钥的分发方法,所述方法应用于服务系统,所述服务系统与根系统进行线下数据交互,所述服务系统与业务系统进行线上数据交互,所述根系统为离线的系统,所述根系统中设置有离线的密钥生成设备,所述方法包括:
[0023]接收根系统发送的第一文件和第二文件;其中,所述第一文件为所述根系统对服务系统对称密钥进行数字信封以及数字签名操作得到的,所述第二文件为所述根系统对业务系统对称密钥进行数字信封操作以及数字签名操作得到的,所述服务系统对称密钥和所述业务系统对称密钥均由所述密钥生成设备生成;
[0024]对所述第一文件进行数字信封逆操作以及数字签名逆操作得到服务系统对称密钥,并对所述第二文件进行数字信封操作以及数字签名操作得到第三文件;
[0025]将所述第三文件发送给业务系统;其中,所述业务系统在接收到所述第三文件后,对所述第三文件进行数字信封逆操作以及数字签名逆操作得到所述第二文件,再对所述第二文件进行数字信封逆操作以及数字签名逆操作得到业务系统对称密钥。
[0026]其进一步的技术方案为,所述服务系统具有服务系统解密私钥,所述服务系统具有根系统的签名证书,所述根系统的签名证书中含有根系统的签名公钥,所述对所述第一文件进行数字信封逆操作以及数字签名逆操作得到服务系统对称密钥,包括:
[0027]获取所述第一文件中的第一数字签名文件以及第一数字信封文件,利用所述服务系统解密私钥对所述第一数字信封文件进行解密,得到第一临时会话密钥;
[0028]利用所述第一临时会话密钥解密所述第一数字签名文件,得到服务系统对称密钥以及第一签名文件;
[0029]判断对所述服务系统对称密钥进行计算得到的哈希值与利用所述根系统的签名公钥打开所述第一签名文件得到的哈希值是否一致;
[0030]若一致,则接收所述服务系统对称密钥。
[0031]其进一步的技术方案为,所述服务系统具有服务系统签名私钥,所述服务系统具有业务系统的加密证书,所述业务系统的加密证书中含有业务系统的加密公钥,所述对所述第二文件进行数字信封操作以及数字签名操作得到第三文件,包括:
[0032]使用哈希算法对所述第二文件进行计算得到所述第二文件的哈希值;
[0033]使用服务系统签名私钥对所述第二文件的哈希值进行签名得到第三签名文件;
[0034]生成第三临时会话密钥并使用所述第三临时会话密钥加密所述第二文件以及所述第三签名本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种对称密钥的分发方法,其特征在于,所述方法应用于根系统,所述根系统为离线的系统,所述根系统与服务系统进行线下数据交互,所述服务系统与业务系统进行线上数据交互,所述根系统中设置有离线的密钥生成设备,所述方法包括:获取服务系统对称密钥以及业务系统对称密钥;其中,所述服务系统对称密钥和所述业务系统对称密钥均由所述密钥生成设备生成;对所述服务系统对称密钥进行数字信封操作以及数字签名操作得到第一文件,并对所述业务系统对称密钥进行数字信封操作以及数字签名操作得到第二文件;将所述第一文件和所述第二文件发送给所述服务系统;其中,所述服务系统对所述第一文件进行数字信封逆操作以及数字签名逆操作得到所述服务系统对称密钥,并对所述第二文件进行数字信封操作以及数字签名操作得到第三文件后,将所述第三文件发送给业务系统;所述业务系统在接收到所述第三文件后,对所述第三文件进行数字信封逆操作以及数字签名逆操作得到所述第二文件,再对所述第二文件进行数字信封逆操作以及数字签名逆操作得到所述业务系统对称密钥。2.根据权利要求1所述的对称密钥的分发方法,其特征在于,所述根系统具有根系统签名私钥,所述根系统具有服务系统的加密证书以及业务系统的加密证书,所述服务系统的加密证书中含有服务系统的加密公钥,所述业务系统的加密证书中含有业务系统的加密公钥,所述对所述服务系统对称密钥进行数字信封操作以及数字签名操作得到第一文件,包括:使用哈希算法对所述服务系统对称密钥进行计算得到所述服务系统对称密钥的哈希值;使用根系统签名私钥对所述服务系统对称密钥的哈希值进行签名得到第一签名文件;生成第一临时会话密钥并使用所述第一临时会话密钥加密所述服务系统对称密钥以及所述第一签名文件得到第一数字签名文件,并使用所述服务系统的加密公钥对所述第一临时会话密钥进行加密得到第一数字信封文件;将所述第一数字签名文件以及所述第一数字信封文件作为第一文件。3.根据权利要求2所述的对称密钥的分发方法,其特征在于,所述对所述业务系统对称密钥进行数字信封操作以及数字签名操作得到第二文件,包括:使用哈希算法对所述业务系统对称密钥进行计算得到所述业务系统对称密钥的哈希值;使用根系统签名私钥对所述业务系统对称密钥的哈希值进行签名得到第二签名文件;生成第二临时会话密钥并使用所述第二临时会话密钥加密所述业务系统对称密钥以及所述第二签名文件得到第二数字签名文件,并使用所述业务系统的加密公钥对所述第二临时会话密钥进行加密得到第二数字信封文件;将所述第二数字签名文件以及所述第二数字信封文件作为第二文件。4.根据权利要求1所述的对称密钥的分发方法,其特征在于,所述服务系统对称密钥以及所述业务系统对称密钥均为需长期安全存储的对称密钥。5.一种对称密钥的分发方法,其特征在于,所述方法应用于服务系统,所述服务系统与根系统进行线下数据交互,所述服务系统与业务系统进行线上数据交互,所述根系统为离线的系统,所述根系统中设置有离线的...
【专利技术属性】
技术研发人员:宗瑞,
申请(专利权)人:微位深圳网络科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。