密钥分发方法、密钥分发装置、通信方法及通信装置与流程

本发明涉及通信，具体涉及一种密钥分发方法、密钥分发装置、通信方法及通信装置。

背景技术：

1、安全切面体系技术架构日趋成熟，在切面服务提供过程中，需要将切面服务部署到公有云上，提供给公有云租户甚至是云下用户进行使用。但是，非法用户可能冒用客户身份来获取云上切面服务，甚至是进行恶意攻击；攻击者也可能冒充服务端，从而对大量的切面客户端和用户进行攻击，造成重大安全问题。

技术实现思路

1、本说明书一个或多个实施例描述了一种密钥分发方法、密钥分发装置、通信方法及通信装置，能够为用户端分发身份凭证，并基于身份凭证实现切面客户端和切面服务端的双向身份认证以及通信密钥协商，从而在安全可靠的环境下进行高效的保密通信。

2、根据第一方面，提供了一种密钥分发方法，适用于密钥分发装置，所述方法包括：

3、获取第三方可信机构分发的至少一个中间证书、所述中间证书对应的私钥及证书链；

4、响应于用户端的密钥申请请求，为所述用户端生成用户公钥和用户私钥；

5、选取所述中间证书，利用该中间证书对应的私钥对所述用户端的用户信息及所述用户公钥进行签名，得到用户端证书；

6、通过第一白盒加密模型对所述用户私钥进行白盒加密，得到私钥密文；

7、将所述中间证书、所述证书链、所述用户端证书和所述私钥密文发送给所述用户端，以使所述用户端根据预先存储的根证书验证所述中间证书和所述证书链，并在验证通过后，采用第二白盒加密模型对所述私钥密文进行解密，得到所述用户私钥，以及基于所述用户端证书获取所述用户公钥；所述第一白盒加密模型与所述第二白盒加密模型相同。

8、作为第一方面所述方法的一种可选实施方式，所述密钥分发装置采用在线或离线方式将所述中间证书、所述证书链、所述用户端证书和所述私钥密文发送给所述用户端。

9、根据第二方面，提供了一种密钥分发装置，包括：

10、非对称密钥生成模块，配置为响应于用户端的密钥申请请求，生成用户公钥和用户私钥；

11、数字证书签发模块，配置为存储第三方可信机构分发的至少一个中间证书、所述中间证书对应的私钥及证书链；以及响应于所述用户公钥生成，选取一个所述私钥对所述用户端的用户信息及所述用户公钥进行签名，得到所述用户端证书；

12、白盒加密模块，配置为响应于所述用户私钥生成，通过第一白盒加密模型对所述用户私钥进行白盒加密，得到私钥密文；

13、数据发送模块，配置为将所述私钥对应的中间证书、所述证书链、所述用户端证书和所述私钥密文发送给所述用户端，以使所述用户端根据预先存储的根证书验证所述中间证书和所述证书链，并在验证通过后，采用第二白盒加密模型对所述私钥密文进行解密，得到所述用户私钥，以及基于所述用户端证书获取所述用户公钥；所述第一白盒加密模型与所述第二白盒加密模型相同。

14、根据第三方面，提供了一种通信方法，适用于切面客户端，所述方法包括：

15、获取第三方可信机构分发的根证书；

16、采用上述密钥分发方法所述的步骤，向密钥分发装置申请获取客户端证书、客户端公钥、客户端私钥和客户端证书链；

17、基于所述根证书、所述客户端证书、所述客户端私钥和所述客户端证书链，与切面服务端进行双向身份认证及通信密钥协商。

18、作为第三方面所述方法的一种可选实施方式，所述双向身份认证具体包括：

19、基于所述客户端私钥，生成第一签名信息；

20、向所述切面服务端发送所述客户端证书、所述客户端证书链和所述第一签名信息作为第一认证数据；

21、获取所述切面服务端在对所述第一认证数据认证通过后发送的第二认证数据，所述第二认证数据包括所述切面服务端的服务端证书、服务端证书链和第二签名信息；

22、基于所述根证书和所述服务端证书中记载的服务端公钥，对所述第二认证数据进行认证，并向所述切面服务端反馈认证结果。

23、进一步地，在一些实施方式中，基于所述客户端私钥生成所述第一签名信息，具体包括：

24、对所述客户端证书和所述客户端证书链进行摘要计算，得到第一摘要信息；

25、用所述客户端私钥对所述第一摘要信息进行签名，得到所述第一签名信息。

26、进一步地，在一些实施方式中，所述第二签名信息由所述切面服务端用服务端私钥对第二摘要信息签名得到；所述第二摘要信息由所述切面服务端对所述服务端证书和服务端证书链进行摘要计算得到。

27、作为第三方面所述方法的一种可选实施方式，所述通信密钥协商具体包括：

28、获取所述切面服务端发送的对称加密密文和对所述对称加密密文的摘要的签名信息；所述对称加密密文由所述切面服务端利用所述客户端公钥对生成的对称密钥和生成所述对称密钥的对称加密算法进行加密得到；

29、在与所述切面服务端进行双向认证后，用所述客户端私钥对所述对称加密密文进行解密，获得所述对称密钥和生成所述对称密钥的对称加密算法；

30、基于所述对称密钥，与所述切面服务端进行保密通信。

31、进一步地，在一些实施方式中，在与所述切面服务端进行双向认证并认证通过之后，在每一次通信之前都与所述切面服务端进行通信密钥协商，并基于本次协商出的对称密钥进行本次保密通信。

32、根据第四方面，提供了一种通信方法，适用于切面服务端，所述方法包括：

33、获取第三方可信机构分发的根证书；

34、采用上述密钥分发方法所述的步骤，向密钥分发装置申请获取服务端证书、服务端公钥、服务端私钥和服务端证书链；

35、基于所述根证书、所述服务端证书、所述服务端私钥和所述服务端证书链，与切面客户端进行双向身份认证及通信密钥协商。

36、作为第四方面所述方法的一种可选实施方式，所述双向身份认证具体包括：

37、获取所述切面客户端发送的第一认证数据，所述第一认证数据包括客户端证书、客户端证书链和所述切面客户端的第一签名信息；

38、基于所述根证书和所述客户端证书中记载的客户端公钥，对所述第一认证数据进行认证，并向所述切面客户端反馈认证结果；

39、在对所述第一认证数据认证通过后，基于所述服务端私钥，生成第二签名信息；

40、向所述切面客户端发送所述服务端证书、所述服务端证书链和所述第二签名信息作为第二认证数据；

41、获取所述切面客户端反馈的认证结果。

42、进一步地，在一些实施方式中，基于所述服务端私钥生成所述第二签名信息，具体包括：

43、对所述服务端证书和所述服务端证书链进行摘要计算，得到第二摘要信息；

44、用所述服务端私钥对所述第二摘要信息进行签名，得到所述第二签名信息。

45、进一步地，在一些实施方式中，所述第一签名信息由所述切面客户端用所述客户端私钥对第一摘要信息进行签名得到；所述第一摘要信息由所述切面客户端对所述客户端证书和所述客户端证书链进行摘要计算得到。

46、作为第四方面所述方法的一种可选实施方式，所述通信密钥协商具体包括：

47、在对所述第一认证数据认证通过后，生成对称密钥；

48、用所述切面客户端的客户端公钥对所述对称密钥和生成所述对称密钥的对称加密算法进行加密，得到对称加密密文；

49、对所述对称加密密文进行摘要，并用所述服务端私钥对摘要信息进行签名，得到签名信息；

50、向所述切面客户端发送所述对称加密密文和所述签名信息，以进行通信密钥协商；

51、在协商完成后，基于所述对称密钥，与所述切面客户端进行保密通信。

52、作为第四方面所述方法的一种可选实施方式，在与所述切面客户端进行双向认证并认证通过之后，在每一次通信之前都与所述切面客户端进行通信密钥协商，并基于本次协商出的对称密钥进行本次保密通信。

53、根据第五方面，提供了一种通信装置，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时执行以下步骤：

54、获取第三方可信机构分发的根证书；

55、采用上述密钥分发方法所述的步骤，向密钥分发装置申请获取客户端证书、客户端公钥、客户端私钥和客户端证书链；

56、基于所述根证书、所述客户端证书、所述客户端私钥和所述客户端证书链，与切面服务端进行双向身份认证及通信密钥协商。

57、根据第六方面，提供了一种通信装置，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时执行以下步骤：

58、获取第三方可信机构分发的根证书；

59、采用上述密钥分发方法所述的步骤，向密钥分发装置申请获取服务端证书、服务端公钥、服务端私钥和服务端证书链；

60、基于所述根证书、所述服务端证书、所述服务端私钥和所述服务端证书链，与切面客户端进行双向身份认证及通信密钥协商。

61、根据第七方面，提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述的密钥分发方法及通信方法。

62、本说明书的一个或多个实施例所提供的密钥分发方法首先从第三方可信机构获取中间证书以给用户端分发身份凭证，可以采用在线或者离线的方式将中间证书、证书链、用户端证书和私钥密文等身份凭证发送给用户端，其中私钥密文的真实内容全程不可见，能够很大程度地保障用户端身份凭证信息的安全性。

63、本说明书的一个或多个实施例所提供的通信方法采用上述密钥分发方法分别为切面服务端和切面客户端获取公私钥对以及身份证书，进而生成第一认证数据和第二认证数据以使切面服务端和切面客户端完成双向身份认证，有效防止恶意攻击，从而安全而高效地实现双方之间的通信密钥协商以及保密通信；此外通信过程中不需要用到数据库和i/o操作，在节约存储成本和时间成本的同时，具备较高的性能。

64、本说明书的一个或多个实施例所提供的密钥分发装置以及通信装置同样具有上述有益效果。