一种用于密钥传递的方法及系统与流程

本发明涉及安全通信的，尤其涉及一种用于密钥传递的方法及系统。

背景技术：

1、随着网络和信息系统的发展，对于不同网络或系统间进行安全信息交换的需求越来越大。一般来说，要在不同网络间进行安全交换，需要预先共享一定的密钥或安全凭据。但是，在实际操作中，预先共享密钥并不实际，在密钥交换的过程中，通信双方需要共享一个密钥，而这个密钥必须在不被非授权方获知的情况下进行传递，这种方法容易受到中间人攻击和密码破解等。

2、为了克服这些问题，一种新的密钥传递的系统及方法变得越来越迫切，例如专利cn109309567a一种传递密钥的方法及系统，通过发送端采用第一密钥加密终端密钥，并将所述第一密钥发送至接收端，从而将第一密钥和终端密钥进行关联，解决了多机一密的问题，提高了安全性，并利用数字签名技术，保证了密钥文件的完整性和不可抵赖性，且密钥文件中同时包括了密文数据和签名数据，不仅可以公开传递密钥文件，还可防止传递过程中密钥文件被篡改，但是该密钥传递方法应用范围较窄，缺乏灵活性，并且不具有团队共享的功能。

技术实现思路

1、本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊，而这种简化或省略不能用于限制本发明的范围。

2、鉴于上述密钥传递中存在问题，提出了本发明，本发明解决的技术问题是：现有的传递密钥方法和系统应用范围较窄，不具有灵活性，并且无法安全地实现密钥的团队共享，同样不具有便利性。

3、为解决上述技术问题，第一方面，本发明提供了一种用于密钥传递的方法，应用于密钥传递的系统，所述方法包括：申请主体上传私钥和下载私钥，其中所述申请主体上传私钥包括：客户端使用对称加密算法和签名将申请主体的私钥加密成密文并上传；所述服务端对所述申请主体进行身份认证；使用所述对称加密算法和签名对所述密文进行解密并验证，若验证通过则将所述私钥存储到内存中；申请主体下载私钥包括：所述客户端发送下载私钥请求和待下载私钥主体的身份唯一标识；所述服务端对所述请求主体进行身份认证，并通过所述待下载私钥主体的身份唯一标识检索所述内存中的私钥；若能在所述内存中检索到私钥，则使用所述对称加密算法和签名对所述私钥进行加密并返回给客户端；所述客户端解密所述加密私钥，完成私钥的下载。

4、作为本发明所述的用于密钥传递的方法的一种优选方案，其中：所述上传加密成密文的私钥和发送下载私钥请求时均需携带主体认证信息，通过匹配所述主体认证信息进行身份认证。

5、作为本发明所述的用于密钥传递的方法的一种优选方案，其中：所述匹配主体认证信息的方法为：对请求头数据进行提取和解析，如果所述请求头数据中的主体认证信息无法被提取和解析，则身份认证不通过，服务端不对当前请求进行处理；反之，如果所述请求头数据中的主体认证信息可以被提取和解析，则身份认证通过，服务端可以对当前请求进行处理。

6、作为本发明所述的用于密钥传递的方法的一种优选方案，其中：所述主体认证信息在请求头数据中的表示为key-value的类型，key为自定义的标识字段stoken，value为服务端加密组合后分发的字符串。

7、作为本发明所述的用于密钥传递的方法的一种优选方案，其中：所述客户端将私钥加密成的密文上传后，所述服务端可校验客户端上传的密钥准确性，校验方法为：所述服务端使用所述客户端的公钥对数据进行加密，使用所述客户端上传的密钥解密。

8、作为本发明所述的用于密钥传递的方法的一种优选方案，其中：所述客户端加解密私钥使用的签名均由所述服务端生成和分发。

9、作为本发明所述的用于密钥传递的方法的一种优选方案，其中：当所述上传密钥的申请主体为团队主体时，团队主体可通过上传共享密钥，使得所有团队成员都可以安全地访问所述密钥。

10、第二方面，提供了一种用于密钥传递的系统，所述系统包括：服务端和客户端，二者均包括处理器、网络模块以及存储器，所述处理器和所述存储器通过所述网络模块通信，所述处理器从所述存储器中读取计算机程序并运行；

11、其中，服务端中的处理器包括认证模块、检索加密模块和解密验证模块，客户端中的处理器包括加密模块和解密模块；所述认证模块用于根据主体认证信息进行身份认证；所述检索加密模块利用待下载私钥主体的身份唯一标识在存储器中检索私钥，如果检索到，则使用对称加密算法和签名对私钥密文进行加密；所述解密验证模块利用对称加密算法和签名对私钥密文进行解密和验证所述加密模块利用对称加密算法和签名对私钥进行加密；所述解密模块用于对所述检索后得到的加密私钥进行解密。

12、本发明的有益效果：本发明采用了一种基于公私钥的密钥交换方式，具有更高的安全性避免在密钥传递的过程中受到中间人攻击和密码破解等安全问题的影响；并且本发明的密钥传递方法，实现方式简单，能够适用于不同的通信场景和应用场景，在降低成本的情况下还具有很强的灵活性；另外该密钥系统团体成员可以共享密钥，具有团队团体共享的优势。

技术特征：

1.一种用于密钥传递的方法，其特征在于，应用于密钥传递的系统：所述方法包括：申请主体上传私钥和下载私钥，

2.如权利要求1所述的用于密钥传递的方法，其特征在于：所述上传加密成密文的私钥和发送下载私钥请求时均需携带主体认证信息，通过匹配所述主体认证信息进行身份认证。

3.如权利要求2所述的用于密钥传递的方法，其特征在于：所述匹配主体认证信息的方法为：对请求头数据进行提取和解析，

4.如权利要求3所述的用于密钥传递的方法，其特征在于：所述主体认证信息在请求头数据中的表示为key-value的类型，

5.如权利要求1所述的用于密钥传递的方法，其特征在于：所述客户端将私钥加密成的密文上传后，所述服务端可校验客户端上传的密钥准确性，其方法为：

6.如权利要求1所述的用于密钥传递的方法，其特征在于：所述客户端加解密私钥使用的签名均由所述服务端生成和分发。

7.如权利要求1~4任一所述的用于密钥传递的方法，其特征在于：当所述上传密钥的申请主体为团队主体时，团队主体可通过上传共享密钥，使得所有团队成员都可以安全地访问所述密钥。

8.一种用于密钥传递的系统，包括服务端和客户端，其特征在于：所述服务端和客户端均包括处理器、网络模块以及存储器，

9.如权利要求8所述的用于密钥传递的系统，其特征在于：服务端中的处理器包括认证模块、检索加密模块和解密验证模块，客户端中的处理器包括加密模块和解密模块；

技术总结本发明公开了一种用于密钥传递的方法及系统，将密钥传递分为上传和下载私钥两个部分，其中上传私钥包括：客户端使用对称加密算法和签名将申请主体的私钥加密并上传，服务端通过身份认证后对密文进行解密并验证，将验证通过的私钥存储到内存中；下载私钥包括：客户端发送下载私钥请求并携带待下载私钥主体的身份唯一标识，服务端通过身份认证后通过上述的身份唯一标识检索内存中的私钥，若检索到，则使用对称加密算法和签名对私钥进行加密，客户端解密并下载私钥。该方法具有更高的安全性，避免在密钥传递的过程中受到安全问题的影响；实现方式简单，在降低成本的同时还具有很强的灵活性；另外团体成员可以共享密钥，具有团体共享的优势。技术研发人员：郑建良,臧福日,陆遥受保护的技术使用者：广西伯汉科技有限公司技术研发日：技术公布日：2024/8/1