[发明专利]秘钥协商方法及系统

说明书

本发明涉及加密技术领域，公开了一种秘钥协商方法及系统，该方法包括应用业务服务器获取应用标识码；应用业务服务器对应用标识码进行签名，得到数字签名；对数字签名验签通过后，加解密服务器依据应用标识码确定出对应的公钥并将公钥发送给应用业务服务器；应用业务服务器对应用标识码进行签名，得到秘钥；应用业务服务器根据公钥加密秘钥，并将加密后的秘钥发送给加解密服务器；加解密服务器通过对应的私钥对加密后的秘钥进行解密，得到秘钥；加解密服务器生成与秘钥对应的秘钥标识；加解密服务器将秘钥标识发送给应用业务服务器。本发明提供的秘钥协商方法及系统可防止秘钥泄露，保障系统安全。

技术领域

本发明涉及加密技术领域，具体涉及一种秘钥协商方法及系统。

背景技术

在企业的各系统中，为了确保数据的安全，常常需要对数据进行加密和解密操作。

目前，在企业的各系统中，加解密方案大多是各系统单独自行处理，即各系统应用各自使用一套单独的秘钥，当需要跨系统解析密文时就需要进行秘钥的交换，存在秘钥易泄露的风险，进而出现安全问题。

因此，如何提供一种有效的方案以避免秘钥泄露，已逐渐成为现有技术中一亟待解决的问题。

发明内容

为了解决现有技术中所存在的秘钥易泄露的问题，本发明的目的在于提供一种秘钥协商方法及系统，以避免秘钥泄露，保障系统安全。

第一方面，本发明提供了一种秘钥协商方法，包括：

应用业务服务器获取应用标识码，所述应用标识码是加解密服务器为所述应用业务服务器中的应用业务配置的；

所述应用业务服务器对所述应用标识码进行签名，得到数字签名，并将所述数字签名发送给所述加解密服务器；

在对所述数字签名验签通过后，所述加解密服务器依据所述应用标识码确定出与所述应用标识码对应的公钥并将所述公钥发送给所述应用业务服务器；

所述应用业务服务器对所述应用标识码进行签名，得到秘钥；

所述应用业务服务器根据所述公钥加密所述秘钥，并将加密后的秘钥发送给所述加解密服务器；

所述加解密服务器通过与所述公钥对应的私钥对加密后的秘钥进行解密，得到所述秘钥；

所述加解密服务器生成与所述秘钥对应的秘钥标识，并存储所述秘钥和所述秘钥标识；

所述加解密服务器将所述秘钥标识发送给所述应用业务服务器，以便所述应用业务服务器根据所述秘钥和所述秘钥标识对待加密明文进行加密。

通过上述的设计，本发明提供的秘钥协商方法通过应用业务服务器对应用标识码进行签名得到数字签名并发送给加解密服务器，加解密服务器对数字签名验签通过后确定出与应用标识码对应的公钥并发送给应用业务服务器，应用服务器对应用标识签名后得到秘钥并根据公钥对秘钥加密，然后将加密后的秘钥发送给加解密服务器，加解密服务器通过私钥解码出秘钥并生成与秘钥对应的秘钥标识，然后将秘钥标识发送给应用业务服务，以便应用业务服务器根据秘钥和秘钥标识对待加密明文进行加密。在此过程中，秘钥均是以密文的方式进行传输，不会存在秘钥泄露的风险，从而保障了系统安全。

在一个可能的设计中，所述应用业务服务器获取应用标识码，包括：

所述应用业务服务器从与所述应用业务服务器对应的第一缓存中查找与所述应用业务对应的所述应用标识码；

如果所述第一缓存中不存在所述应用标识码，则向所述加解密服务器请求所述应用标识码。

在一个可能的设计中，所述应用业务服务器对所述应用标识码进行签名，得到数字签名，包括：

所述应用业务服务器将所述应用标识码与当前日期组合后进行签名，得到所述数字签名；