[发明专利]一种密钥协商方法、装置及设备

说明书

本申请公开了一种密钥协商方法、装置及设备，方法包括：第一阶段协商和第二阶段协商；第一阶段协商中，发起方通过安全联盟载荷与响应方协商，得到第一密码算法；然后发起方和响应方通过采用第一密码算法以及双方交互，得到双方进行通信的工作密钥；第二阶段协商中，发起方将第一杂凑载荷发送至响应方，使得响应方返回第二杂凑载荷；发起方根据第二杂凑载荷计算第一会话密钥，同时发送验证杂凑载荷至响应方，使得响应方计算第二会话密钥，同时，判断验证杂凑载荷与第一杂凑载荷是否一致。本申请解决了现有技术计算密钥过程复杂导致通信双方之间协商耗时较长的同时安全性较差的技术问题。

技术领域

本申请涉及数据安全技术领域，尤其涉及一种密钥协商方法、装置及设备。

背景技术

密钥协商是一种密钥建立技术，系统中的两个或多个参与方共同提供信息，各自推导出一个任何一方不能预先确定结果的共享密钥，特别是随着通信环境的日益复杂、信息技术的不断发展和计算能力的不断提高，通信环境中的攻击手段也不断发展，使得很多密钥协商方法都存在不同程度的挑战。

现有技术计算密钥过程复杂，导致通信双方之间的协商耗时较长，且存在密钥安全性较差，易造成业务数据信息被泄露或恶意篡改的问题。

发明内容

本申请提供了一种密钥协商方法、装置及设备，用于解决现有技术计算密钥过程复杂导致通信双方之间的协商耗时较长的同时安全性也较差的技术问题。

有鉴于此，本申请第一方面提供了一种密钥协商方法，包括：第一阶段协商和第二阶段协商；

所述第一阶段协商包括：

A1：发起方通过安全联盟载荷与响应方协商，得到第一密码算法，所述安全联盟载荷包括相关密码算法建议；

A2：所述发起方将采用所述第一密码算法计算得到的发起方密钥标识和发起方证书发送至所述响应方，使得所述响应方将采用所述第一密码算法计算得到的响应方密钥标识返回至所述发起方，并计算出所述发起方和所述响应方进行通信的第一工作密钥；

A3：所述发起方根据所述响应方密钥标识计算所述发起方和所述响应方进行通信的第二工作密钥；

所述第二阶段协商包括：

S1：所述发起方将第一杂凑载荷发送至所述响应方，使得所述响应方返回第二杂凑载荷，所述第一杂凑载荷包括所述第二工作密钥、发起方身份验证标识、发起方nonce和第一安全联盟，所述第二杂凑载荷包括所述第二工作密钥、响应方身份验证标识、响应方nonce和第二安全联盟；

S2：所述发起方根据所述第二杂凑载荷计算第一会话密钥，同时发送验证杂凑载荷至所述响应方，使得所述响应方计算第二会话密钥，同时，判断所述验证杂凑载荷与所述第一杂凑载荷是否一致。

优选地，所述第一密码算法包括至少一种密码算法。

优选地，所述发起方将采用所述第一密码算法计算得到的发起方密钥标识和发起方证书发送至所述响应方，使得所述响应方通过密钥管理系统验证所述发起方证书的准确性。

优选地，步骤A3之后还包括：

A4：所述发起方将采用第二密码算法计算得到的验证交换数据通过第三密码算法加密后发送至所述响应方，使得所述响应方将作出解析、验证后的结果发送至所述发起方。

优选地，步骤A1之前还包括：

A0：所述发起方检测所述响应方是否支持NAT-T，使得所述响应方根据接收到的检测结果调整端口类型。

本申请第二方面提供了一种密钥协商装置，包括：第一阶段协商模块和第二阶段协商模块；

所述第一阶段协商模块包括：