密钥分发方法技术

本说明书一个或多个实施例公开了一种密钥分发方法，适用于密钥分发装置，包括：获取第三方可信机构分发的至少一个中间证书

【技术实现步骤摘要】
密钥分发方法、密钥分发装置、通信方法及通信装置


[0001]本专利技术涉及通信
，具体涉及一种密钥分发方法
、
密钥分发装置
、
通信方法及通信装置
。

技术介绍

[0002]安全切面体系技术架构日趋成熟，在切面服务提供过程中，需要将切面服务部署到公有云上，提供给公有云租户甚至是云下用户进行使用
。
但是，非法用户可能冒用客户身份来获取云上切面服务，甚至是进行恶意攻击；攻击者也可能冒充服务端，从而对大量的切面客户端和用户进行攻击，造成重大安全问题
。

技术实现思路

[0003]本说明书一个或多个实施例描述了一种密钥分发方法
、
密钥分发装置
、
通信方法及通信装置，能够为用户端分发身份凭证，并基于身份凭证实现切面客户端和切面服务端的双向身份认证以及通信密钥协商，从而在安全可靠的环境下进行高效的保密通信
。
[0004]根据第一方面，提供了一种密钥分发方法，适用于密钥分发装置，所述方法包括：
[0005]获取第三方可信机构分发的至少一个中间证书
、
所述中间证书对应的私钥及证书链；
[0006]响应于用户端的密钥申请请求，为所述用户端生成用户公钥和用户私钥；
[0007]选取所述中间证书，利用该中间证书对应的私钥对所述用户端的用户信息及所述用户公钥进行签名，得到用户端证书；
[0008]通过第一白盒加密模型对所述用户私钥进行白盒加密，得到私钥密文；
[0009]将所述中间证书
、
所述证书链
、
所述用户端证书和所述私钥密文发送给所述用户端，以使所述用户端根据预先存储的根证书验证所述中间证书和所述证书链，并在验证通过后，采用第二白盒加密模型对所述私钥密文进行解密，得到所述用户私钥，以及基于所述用户端证书获取所述用户公钥；所述第一白盒加密模型与所述第二白盒加密模型相同
。
[0010]作为第一方面所述方法的一种可选实施方式，所述密钥分发装置采用在线或离线方式将所述中间证书
、
所述证书链
、
所述用户端证书和所述私钥密文发送给所述用户端
。
[0011]根据第二方面，提供了一种密钥分发装置，包括：
[0012]非对称密钥生成模块，配置为响应于用户端的密钥申请请求，生成用户公钥和用户私钥；
[0013]数字证书签发模块，配置为存储第三方可信机构分发的至少一个中间证书
、
所述中间证书对应的私钥及证书链；以及响应于所述用户公钥生成，选取一个所述私钥对所述用户端的用户信息及所述用户公钥进行签名，得到所述用户端证书；
[0014]白盒加密模块，配置为响应于所述用户私钥生成，通过第一白盒加密模型对所述用户私钥进行白盒加密，得到私钥密文；
[0015]数据发送模块，配置为将所述私钥对应的中间证书
、
所述证书链
、
所述用户端证书
和所述私钥密文发送给所述用户端，以使所述用户端根据预先存储的根证书验证所述中间证书和所述证书链，并在验证通过后，采用第二白盒加密模型对所述私钥密文进行解密，得到所述用户私钥，以及基于所述用户端证书获取所述用户公钥；所述第一白盒加密模型与所述第二白盒加密模型相同
。
[0016]根据第三方面，提供了一种通信方法，适用于切面客户端，所述方法包括：
[0017]获取第三方可信机构分发的根证书；
[0018]采用上述密钥分发方法所述的步骤，向密钥分发装置申请获取客户端证书
、
客户端公钥
、
客户端私钥和客户端证书链；
[0019]基于所述根证书
、
所述客户端证书
、
所述客户端私钥和所述客户端证书链，与切面服务端进行双向身份认证及通信密钥协商
。
[0020]作为第三方面所述方法的一种可选实施方式，所述双向身份认证具体包括：
[0021]基于所述客户端私钥，生成第一签名信息；
[0022]向所述切面服务端发送所述客户端证书
、
所述客户端证书链和所述第一签名信息作为第一认证数据；
[0023]获取所述切面服务端在对所述第一认证数据认证通过后发送的第二认证数据，所述第二认证数据包括所述切面服务端的服务端证书
、
服务端证书链和第二签名信息；
[0024]基于所述根证书和所述服务端证书中记载的服务端公钥，对所述第二认证数据进行认证，并向所述切面服务端反馈认证结果
。
[0025]进一步地，在一些实施方式中，基于所述客户端私钥生成所述第一签名信息，具体包括：
[0026]对所述客户端证书和所述客户端证书链进行摘要计算，得到第一摘要信息；
[0027]用所述客户端私钥对所述第一摘要信息进行签名，得到所述第一签名信息
。
[0028]进一步地，在一些实施方式中，所述第二签名信息由所述切面服务端用服务端私钥对第二摘要信息签名得到；所述第二摘要信息由所述切面服务端对所述服务端证书和服务端证书链进行摘要计算得到
。
[0029]作为第三方面所述方法的一种可选实施方式，所述通信密钥协商具体包括：
[0030]获取所述切面服务端发送的对称加密密文和对所述对称加密密文的摘要的签名信息；所述对称加密密文由所述切面服务端利用所述客户端公钥对生成的对称密钥和生成所述对称密钥的对称加密算法进行加密得到；
[0031]在与所述切面服务端进行双向认证后，用所述客户端私钥对所述对称加密密文进行解密，获得所述对称密钥和生成所述对称密钥的对称加密算法；
[0032]基于所述对称密钥，与所述切面服务端进行保密通信
。
[0033]进一步地，在一些实施方式中，在与所述切面服务端进行双向认证并认证通过之后，在每一次通信之前都与所述切面服务端进行通信密钥协商，并基于本次协商出的对称密钥进行本次保密通信
。
[0034]根据第四方面，提供了一种通信方法，适用于切面服务端，所述方法包括：
[0035]获取第三方可信机构分发的根证书；
[0036]采用上述密钥分发方法所述的步骤，向密钥分发装置申请获取服务端证书
、
服务端公钥
、
服务端私钥和服务端证书链；
[0037]基于所述根证书
、
所述服务端证书
、
所述服务端私钥和所述服务端证书链，与切面客户端进行双向身份认证及通信密钥协商
。
[0038]作为第四方面所述方法的一种可选实施方式，所述双向身份认证具体包括：
[0039]获取所述切面客户端发送的第一认证数据，所述第一认证数据包括客户端证书
、
客户端证书链和所述切面客户端的第一签名信息；
本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种密钥分发方法，适用于密钥分发装置，所述方法包括：获取第三方可信机构分发的至少一个中间证书
、
所述中间证书对应的私钥及证书链；响应于用户端的密钥申请请求，为所述用户端生成用户公钥和用户私钥；选取所述中间证书，利用该中间证书对应的私钥对所述用户端的用户信息及所述用户公钥进行签名，得到用户端证书；通过第一白盒加密模型对所述用户私钥进行白盒加密，得到私钥密文；将所述中间证书
、
所述证书链
、
所述用户端证书和所述私钥密文发送给所述用户端，以使所述用户端根据预先存储的根证书验证所述中间证书和所述证书链，并在验证通过后，采用第二白盒加密模型对所述私钥密文进行解密，得到所述用户私钥，以及基于所述用户端证书获取所述用户公钥；所述第一白盒加密模型与所述第二白盒加密模型相同
。2.
如权利要求1所述的方法，所述密钥分发装置采用在线或离线方式将所述中间证书
、
所述证书链
、
所述用户端证书和所述私钥密文发送给所述用户端
。3.
一种密钥分发装置，包括：非对称密钥生成模块，配置为响应于用户端的密钥申请请求，生成用户公钥和用户私钥；数字证书签发模块，配置为存储第三方可信机构分发的至少一个中间证书
、
所述中间证书对应的私钥及证书链；以及响应于所述用户公钥生成，选取一个所述私钥对所述用户端的用户信息及所述用户公钥进行签名，得到所述用户端证书；白盒加密模块，配置为响应于所述用户私钥生成，通过第一白盒加密模型对所述用户私钥进行白盒加密，得到私钥密文；数据发送模块，配置为将所述私钥对应的中间证书
、
所述证书链
、
所述用户端证书和所述私钥密文发送给所述用户端，以使所述用户端根据预先存储的根证书验证所述中间证书和所述证书链，并在验证通过后，采用第二白盒加密模型对所述私钥密文进行解密，得到所述用户私钥，以及基于所述用户端证书获取所述用户公钥；所述第一白盒加密模型与所述第二白盒加密模型相同
。4.
一种通信方法，适用于切面客户端，所述方法包括：获取第三方可信机构分发的根证书；采用权利要求1或2所述的方法，向密钥分发装置申请获取客户端证书
、
客户端公钥
、
客户端私钥和客户端证书链；基于所述根证书
、
所述客户端证书
、
所述客户端私钥和所述客户端证书链，与切面服务端进行双向身份认证及通信密钥协商
。5.
如权利要求4所述的方法，所述双向身份认证具体包括：基于所述客户端私钥，生成第一签名信息；向所述切面服务端发送所述客户端证书
、
所述客户端证书链和所述第一签名信息作为第一认证数据；获取所述切面服务端在对所述第一认证数据认证通过后发送的第二认证数据，所述第二认证数据包括所述切面服务端的服务端证书
、
服务端证书链和第二签名信息；基于所述根证书和所述服务端证书中记载的服务端公钥，对所述第二认证数据进行认证，并向所述切面服务端反馈认证结果
。
6.
如权利要求5所述的方法，基于所述客户端私钥生成所述第一签名信息，具体包括：对所述客户端证书和所述客户端证书链进行摘要计算，得到第一摘要信息；用所述客户端私钥对所述第一摘要信息进行签名，得到所述第一签名信息
。7.
如权利要求5所述的方法，所述第二签名信息由所述切面服务端用服务端私钥对第二摘要信息签名得到；所述第二摘要信息由所述切面服务端对所述服务端证书和服务端证书链进行摘要计算得到
。8.
如权利要求4所述的方法，所述通信密钥协商具体包括：获取所述切面服务端发送的对称加密密文和对所述对称加密密文的摘要的签名信息；所述对称加密密文由所述切面服务端利用所述客户端公钥对生成的对称密钥和生成所述对称密钥的对称加密算法进行加密得到；在与所述切面服务端进行双向认证后，用所述客户端私钥对所述对称加密密文进行解密，获得所述对称密钥和生成所述...

【专利技术属性】
技术研发人员：张锐，
申请(专利权)人：支付宝杭州信息技术有限公司，
类型：发明
国别省市：