密钥分发方法、装置、电子设备和存储介质与流程

本发明涉及数据处理，特别是涉及一种密钥分发方法、一种密钥分发装置、一种电子设备以及一种计算机可读存储介质。

背景技术：

1、密码设备是具有某种密码功能或能完成某种密码工作任务的设备的统称。密码设备可以是链路密码机，也可以是网路密码机，链路密码机是基于通信链路进行加密，网络密码机是基于ip(internet protocol，网际互连协议)地址或视联网地址进行加密。

2、现有网络中的密码设备，主要通过隧道加密、网络加密的方式对通道进行保护，即通道中所有业务、所有数据采用同一种密钥进行加解密。密码设备在无法获得业务标识的情况下，密码设备无法针对业务进行单独加密，无法针对不同业务使用不同密钥，安全性较差。

技术实现思路

1、鉴于上述问题，提出了本发明实施例以便提供一种克服上述问题或者至少部分地解决上述问题的一种密钥分发方法、相应的一种密钥分发装置、一种电子设备以及一种计算机可读存储介质。

2、为了解决上述问题，本发明实施例公开了一种密钥分发方法，应用于密码设备，所述方法包括：

3、接收目标终端发出的使用第一安全通道密钥加密的密钥信息；其中，所述密钥信息为使用所述目标终端对应的公钥加密的业务密钥，所述密钥信息是服务器使用第二安全通道密钥加密后发送给所述目标终端的，所述业务密钥是预先为目标业务生成的密钥；

4、使用所述第一安全通道密钥解密，得到所述密钥信息；

5、使用所述目标终端对应的私钥，对所述密钥信息进行解密，得到所述目标终端对应的业务密钥；其中，所述私钥及其对应的所述公钥是预先为所述目标终端产生的。

6、可选地，在所述接收目标终端发出的使用第一安全通道密钥加密的密钥信息之前，所述方法还包括：

7、生成所述密码设备和目标终端之间的所述第一安全通道密钥；

8、接收所述目标终端发出的使用所述第一安全通道密钥加密的终端唯一标识；

9、针对注册在所述密码设备的所述目标终端，产生所述私钥及其对应的所述公钥，安全存储所述终端唯一标识和对应的所述私钥，并将使用所述第一安全通道密钥加密的所述公钥发送给所述目标终端，以供所述目标终端将所述公钥和所述终端唯一标识使用第二安全通道密钥加密后传输给服务器。

10、可选地，在所述使用所述目标终端对应的私钥，对所述密钥信息进行解密，得到所述目标终端对应的业务密钥之后，所述方法还包括：

11、接收目标数据；

12、在所述目标数据以所述目标终端为发送方时，根据所述目标终端对应的业务密钥，对所述目标数据进行加密，或者在所述目标数据以所述目标终端为接收方时，根据所述目标终端对应的业务密钥，对所述目标数据进行解密。

13、本发明实施例还公开了一种密钥分发方法，应用于服务器，所述方法包括：

14、接收目标业务的发起指令；

15、根据所述发起指令，确定参与所述目标业务的目标终端；

16、为所述目标业务申请业务密钥，得到密钥信息；

17、将使用第二安全通道密钥加密的所述密钥信息发送给所述目标终端，以供所述目标终端解密得到所述密钥信息后，使用第一安全通道密钥加密所述密钥信息后发送给密码设备；其中，所述密钥信息为使用所述目标终端对应的公钥加密的业务密钥。

18、可选地，所述为所述目标业务申请业务密钥，得到密钥信息包括：

19、将使用第三安全通道密钥加密的密钥申请信息发送给密钥管理系统；所述密钥申请信息包括所述目标业务的业务标识和所述目标终端对应的公钥；

20、接收所述密钥管理系统发出的使用所述第三安全通道密钥加密的密钥信息；

21、对使用所述第三安全通道密钥加密的密钥信息进行解密，得到所述密钥信息。

22、本发明实施例还公开了一种密钥分发方法，应用于密钥管理系统，所述方法包括：

23、接收使用第三安全通道密钥加密的密钥申请信息；其中，所述密钥申请信息包括目标业务的业务标识和目标终端对应的公钥；

24、为所述目标业务生成业务密钥；

25、将使用所述第三安全通道密钥加密的密钥信息发送给服务器，以便所述服务器解密得到所述密钥信息后，使用第二安全通道密钥加密所述密钥信息后，发送给所述目标终端，所述目标终端解密得到所述密钥信息后，使用第一安全通道密钥加密所述密钥信息后，发送给密码设备；其中，所述密钥信息为使用所述目标终端对应的公钥加密的业务密钥。

26、本发明实施例还公开了一种密钥分发装置，应用于密码设备，所述装置包括：

27、信息接收模块，用于接收目标终端发出的使用第一安全通道密钥加密的密钥信息；其中，所述密钥信息为使用所述目标终端对应的公钥加密的业务密钥，所述密钥信息是服务器使用第二安全通道密钥加密后发送给所述目标终端的，所述业务密钥是预先为目标业务生成的密钥；

28、第一解密模块，用于使用所述第一安全通道密钥解密，得到所述密钥信息；

29、第二解密模块，用于使用所述目标终端对应的私钥，对所述密钥信息进行解密，得到所述目标终端对应的业务密钥；其中，所述私钥及其对应的所述公钥是预先为所述目标终端产生的。

30、可选地，所述装置还包括：

31、密钥生成模块，用于在所述接收目标终端发出的使用第一安全通道密钥加密的密钥信息之前，生成所述密码设备和目标终端之间的所述第一安全通道密钥；

32、标识接收模块，用于接收所述目标终端发出的使用所述第一安全通道密钥加密的终端唯一标识；

33、发送模块，用于针对注册在所述密码设备的所述目标终端，产生所述私钥及其对应的所述公钥，安全存储所述终端唯一标识和对应的所述私钥，并将使用所述第一安全通道密钥加密的所述公钥发送给所述目标终端，以供所述目标终端将所述公钥和所述终端唯一标识使用第二安全通道密钥加密后传输给服务器。

34、可选地，所述装置还包括：

35、数据接收模块，用于在所述使用所述目标终端对应的私钥，对所述密钥信息进行解密，得到所述目标终端对应的业务密钥之后，接收目标数据；

36、加解密模块，用于在所述目标数据以所述目标终端为发送方时，根据所述目标终端对应的业务密钥，对所述目标数据进行加密，或者在所述目标数据以所述目标终端为接收方时，根据所述目标终端对应的业务密钥，对所述目标数据进行解密。

37、本发明实施例还公开了一种密钥分发装置，应用于服务器，所述装置包括：

38、指令接收模块，用于接收目标业务的发起指令；

39、终端确定模块，用于根据所述发起指令，确定参与所述目标业务的目标终端；

40、密钥申请模块，用于为所述目标业务申请业务密钥，得到密钥信息；

41、信息发送模块，用于将使用第二安全通道密钥加密的所述密钥信息发送给所述目标终端，以供所述目标终端解密得到所述密钥信息后，使用第一安全通道密钥加密所述密钥信息后发送给密码设备；其中，所述密钥信息为使用所述目标终端对应的公钥加密的业务密钥。

42、可选地，所述密钥申请模块包括：

43、信息发送子模块，用于将使用第三安全通道密钥加密的密钥申请信息发送给密钥管理系统；所述密钥申请信息包括所述目标业务的业务标识和所述目标终端对应的公钥；

44、信息接收子模块，用于接收所述密钥管理系统发出的使用所述第三安全通道密钥加密的密钥信息；

45、解密子模块，用于对使用所述第三安全通道密钥加密的密钥信息进行解密，得到所述密钥信息。

46、本发明实施例还公开了一种密钥分发装置，应用于密钥管理系统，所述装置包括：

47、信息接收模块，用于接收使用第三安全通道密钥加密的密钥申请信息；其中，所述密钥申请信息包括目标业务的业务标识和目标终端对应的公钥；

48、密钥生成模块，用于为所述目标业务生成业务密钥；

49、信息发送模块，用于将使用所述第三安全通道密钥加密的密钥信息发送给服务器，以便所述服务器解密得到所述密钥信息后，使用第二安全通道密钥加密所述密钥信息后，发送给所述目标终端，所述目标终端解密得到所述密钥信息后，使用第一安全通道密钥加密所述密钥信息后，发送给密码设备；其中，所述密钥信息为使用所述目标终端对应的公钥加密的业务密钥。

50、本发明实施例还公开了一种电子设备，包括：

51、一个或多个处理器；和

52、其上存储有指令的一个或多个机器可读介质，当由所述一个或多个处理器执行时，使得所述装置执行如上所述任一项所述的密钥分发方法。

53、本发明实施例还公开了一种计算机可读存储介质，其存储的计算机程序使得处理器执行如上所述任一项所述的密钥分发方法。

54、依据本发明实施例，通过接收目标终端发出的使用第一安全通道密钥加密的密钥信息；其中，所述密钥信息为使用所述目标终端对应的公钥加密的业务密钥，所述密钥信息是服务器使用第二安全通道密钥加密后发送给所述目标终端的，所述业务密钥是预先为目标业务生成的密钥，使用所述第一安全通道密钥解密，得到所述密钥信息，使用所述目标终端对应的私钥，对所述密钥信息进行解密，得到所述目标终端对应的业务密钥；其中，所述私钥及其对应的所述公钥是预先为所述目标终端产生的，使得目标终端对应的业务密钥安全的分发给了密码设备，密码设备在无法获得目标业务的业务标识的情况下，可以针对目标业务进行单独加密，实现了针对不同业务使用不同密钥，提高了数据传输的安全性。