CN107046466A - 一种在线密钥交换方法及*** - Google Patents
一种在线密钥交换方法及*** Download PDFInfo
- Publication number
- CN107046466A CN107046466A CN201710330882.1A CN201710330882A CN107046466A CN 107046466 A CN107046466 A CN 107046466A CN 201710330882 A CN201710330882 A CN 201710330882A CN 107046466 A CN107046466 A CN 107046466A
- Authority
- CN
- China
- Prior art keywords
- key
- transaction
- client
- service end
- exchange
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种在线密钥交换方法及***。该方法主要包括:客户端和服务端进行初始化,分别得到交换密钥;客户端和服务端进行首次交易时,交易发起者产生交易密钥;交换密钥对所述交易密钥进行加密,并发给交易接收者;交易发起者和所述交易接收者通过所述交换密钥对所述交易密钥解密,并确认所述交易密钥合法性。通过本发明公开的方法可以解决现有技术中密钥更换频率低,加密过程安全级别低的问题。
Description
技术领域
本发明涉及互联网领域,尤其涉及一种在线密钥交换方法。本发明同时还涉及一种在线密钥交换***。
背景技术
密钥是一种参数,它是在明文转换为密文或将密文转换为明文的算法中输入的参数。密钥分为对称密钥与非对称密钥。现在的社会越来越多的使用互联网进行企业的交易行为,而为了保障交易的隐私性和身份确权,在交易中经常会用到各种加密算法,而密钥则是加解密中的必要参数,需要用户慎重保管。
然而不管是使用对称算法还是非对称算法,用户持有的私钥很难进行有效的安全更新,一些证书直接使用很长(如99年)的有效期,从而降低了相关加密过程的安全级别。
发明内容
为了克服现有技术的不足,本发明的目的在于提供一种在线密钥交换方法,用以解决现有技术中密钥更换频率低,加密过程安全级别低的问题。
本发明的目的采用以下技术方案实现:
所述客户端和服务端进行初始化,分别得到交换密钥;
所述客户端和服务端进行首次交易时,交易发起者产生交易密钥;
所述交换密钥对所述交易密钥进行加密,并发给交易接收者;
所述交易发起者和所述交易接收者通过所述交换密钥对所述交易密钥解密,并确认所述交易密钥合法性。
优选的,所述客户端和服务端进行初始化,分别得到交换密钥,具体包括:
所述客户端和服务端进行初始化时,CA***产生数个零散值,分配给所述客户端和服务端;
所述客户端和服务端分别对所述数个零散值进行合成,分别得到交换密钥,并通过本地加密主密钥进行加密。
优选的,CA***产生数个零散值,分配给所述客户端和服务端,具体包括:
CA***产生三个零散值,每个零散值分别分配给所述客户端的三个管理人员和所述服务端的三个管理人员。
优选的,所述服务端和客户端分别对所述数个零散值进行合成具体包括:
所述客户端的三个管理人员对所述零散值输入到所述客户端中,所述客户端根据合成算法,得到交换密钥;
所述服务端的三个管理人员对所述零散值输入到所述服务端中,所述服务端根据合成算法,得到与所述客户端一致的交换密钥。
优选的,在所述交易发起者和所述交易接受者通过所述交换密钥对所述交易密钥解密,并确认所述交易密钥合法后还包括:
所述交易发起者和所述交易接收者通过交易密钥对所述交易内容进行加密,并根据规则定时更新所述交易密钥。
同时本发明还提供了一种在线密钥交换***,包括互联网中的客户端和服务端,其中:
所述客户端和服务端均包括存储器,用于存储程序指令;
所述客户端和服务端均包括处理器,用于执行所述程序指令,以执行以下步骤:
所述客户端和服务端进行初始化,分别得到交换密钥;
所述客户端和服务端进行首次交易时,交易发起者产生交易密钥;
所述交换密钥对所述交易密钥进行加密,并发给交易接收者;
所述交易发起者和所述交易接收者通过所述交换密钥对所述交易密钥解密,并确认所述交易密钥合法性。
优选的,所述客户端和服务端进行初始化,分别得到交换密钥,具体包括:
所述客户端和服务端进行初始化时,CA***产生数个零散值,分配给所述客户端和服务端;
所述客户端和服务端分别对所述数个零散值进行合成,分别得到交换密钥,并通过本地加密主密钥进行加密。
优选的,CA***产生数个零散值,分配给所述客户端和服务端,具体包括:
CA***产生三个零散值,每个零散值分别分配给所述客户端的三个管理人员和所述服务端的三个管理人员。
优选的,所述服务端和客户端分别对所述数个零散值进行合成具体包括:
所述客户端的三个管理人员对所述零散值输入到所述客户端中,所述客户端根据合成算法,得到交换密钥;
所述服务端的三个管理人员对所述零散值输入到所述服务端中,所述服务端根据合成算法,得到与所述客户端一致的交换密钥。
优选的,在所述交易发起者和所述交易接受者通过所述交换密钥对所述交易密钥解密,并确认所述交易密钥合法后还包括:
所述交易发起者和所述交易接收者通过交易密钥对所述交易内容进行加密,并根据规则定时更新所述交易密钥。
相比现有技术,本发明的有益效果在于:解决现有技术中密钥更换频率低,加密过程安全级别低的问题。
附图说明
图1为本发明提出一种在线密钥交换方法的流程示意图;
图2为本发明提出一种在线密钥交换的***结构图。
具体实施方式
下面,结合附图以及具体实施方式,对本发明做进一步描述:
如图1所示,为本申请提出的一种在线密钥交换方法的流程示意图,具体地,本申请技术方案包括如下步骤:
S101,客户端和服务端进行初始化,分别得到交换密钥。
在本发明实施例中,客户端和服务端均有本地加密主密钥,该本地加密主密钥随机生成,只保存在加密模块的保护区域内,只能用于内部计算,不能对外读取。
CA***是指CA中心又称CA机构,即证书授权中心(CertificateAuthority),或称证书授权机构,作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。在SET交易中,CA不仅对持卡人、商户发放证书,还要对获款的银行、网关发放证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书,因此是安全电子交易的核心环节。
在该步骤中,所述客户端和服务端进行初始化时,CA***产生三个零散值,每个零散值分别分配给所述客户端的三个管理人员和所述服务端的三个管理人员。
客户端的三个管理人员拿到零散值后,分别把零散值输入到客户端中,客户端根据合成算法,合成得到交换密钥。
服务端的三个管理人员拿到零散值后,分别把零散值输入到服务端中,服务端根据合成算法,合成得到交换密钥。服务端和客户端通过本地加密主密钥进行加密,存储在外的是加密后密文。
客户端和服务端的交换密钥是一致的。
S102,客户端和服务端进行首次交易时,交易发起者产生交易密钥。
客户端和服务端进行第一次交易时,由交易发起方产生交易密钥。
S103,交换密钥对交易密钥进行加密,并发给交易接收者
客户端和服务端进行第一次交易时,由交易发起方产生交易密钥,然后使用交换密钥对交易密钥进行加密,先发给交易接收方。
S104,交易发起者和交易接收者通过交换密钥对交易密钥解密,并确认交易密钥合法性。
所述交易发起者和所述交易接收者通过所述交换密钥对所述交易密钥解密,并确认所述交易密钥合法性。
在确认交易密钥合法性后,交易发起者和所述交易接收者通过交易密钥对所述交易内容进行加密,并根据规则定时更新所述交易密钥。比如交易双方通过一定的策略,比如经过一天、经过1万笔交易等,重新产生新的交易密钥。在本发明实施例中,实际交易密钥是动态产生的,外部攻击者难于截获。并且交易密钥短时间就进行切换,极大的提高了交易的安全级别。
在此方法中,静态的交换密钥以密文保存,即使数据库被泄漏,外部攻击者也无法获得真实的交换密钥。
在此方法中,静态的交换密钥使用方式如下:
1.交换密钥产生后是多分量,由多人保管,增强安全性。
2.交换密钥分量的合成方式是私有方式,分量在合成后无意义。
3.交换密钥通过本地加密主密钥进行加密后再保存,对外看到的是密文。
4.加密模块在进行计算时,通过本地加密主密钥将密文状态的交换密钥还原回明文状态,该过程只在加密模块中发生,无法被读取。
为达到以上技术目的,本发明还提出了一种在线密钥交换***,如图2所示,该***包括:
互联网中的客户端和服务端,客户端和服务端均包括存储器,用于存储程序指令;
所述客户端和服务端均包括处理器,用于执行所述程序指令,以执行以下步骤:
客户端和所述服务端进行初始化,分别得到交换密钥;
客户端和所述服务端进行首次交易时,交易发起者产生交易密钥;
交换密钥对所述交易密钥进行加密,并发给交易接收者;
交易发起者和所述交易接收者通过所述交换密钥对所述交易密钥解密,并确认所述交易密钥合法性。
其中,所述客户端和服务端进行初始化,分别得到交换密钥,具体包括:
所述客户端和服务端进行初始化时,CA***产生数个零散值,分配给所述客户端和服务端;
所述客户端和服务端分别对所述数个零散值进行合成,分别得到交换密钥,并通过本地加密主密钥进行加密。
其中,CA***产生数个零散值,分配给所述客户端和服务端,具体包括:
CA***产生三个零散值,每个零散值分别分配给所述客户端的三个管理人员和所述服务端的三个管理人员。
所述服务端和客户端分别对所述数个零散值进行合成具体包括:
所述客户端的三个管理人员对所述零散值输入到所述客户端中,所述客户端根据合成算法,得到交换密钥;
所述服务端的三个管理人员对所述零散值输入到所述服务端中,所述服务端根据合成算法,得到与所述客户端一致的交换密钥。
在所述交易发起者和所述交易接受者通过所述交换密钥对所述交易密钥解密,并确认所述交易密钥合法后还包括:
所述交易发起者和所述交易接收者通过交易密钥对所述交易内容进行加密,并根据规则定时更新所述交易密钥。
对本领域的技术人员来说,可根据以上描述的技术方案以及构思,做出其它各种相应的改变以及形变,而所有的这些改变以及形变都应该属于本发明权利要求的保护范围之内。
Claims (10)
1.一种在线密钥交换方法,应用于互联网中的客户端和服务端,其特征在于,包括:
所述客户端和服务端进行初始化,分别得到交换密钥;
所述客户端和服务端进行首次交易时,交易发起者产生交易密钥;
所述交换密钥对所述交易密钥进行加密,并发给交易接收者;
所述交易发起者和所述交易接收者通过所述交换密钥对所述交易密钥解密,并确认所述交易密钥合法性。
2.根据权利要求1所述的方法,其特征在于,所述客户端和服务端进行初始化,分别得到交换密钥,具体包括:
所述客户端和服务端进行初始化时,CA***产生数个零散值,分配给所述客户端和服务端;
所述客户端和服务端分别对所述数个零散值进行合成,分别得到交换密钥,并通过本地加密主密钥进行加密。
3.根据权利要求2所述的方法,其特征在于,CA***产生数个零散值,分配给所述客户端和服务端,具体包括:
CA***产生三个零散值,每个零散值分别分配给所述客户端的三个管理人员和所述服务端的三个管理人员。
4.根据权利要求3所述的方法,其特征在于,所述服务端和客户端分别对所述数个零散值进行合成具体包括:
所述客户端的三个管理人员对所述零散值输入到所述客户端中,所述客户端根据合成算法,得到交换密钥;
所述服务端的三个管理人员对所述零散值输入到所述服务端中,所述服务端根据合成算法,得到与所述客户端一致的交换密钥。
5.根据权利要求1所述的方法,其特征在于在所述交易发起者和所述交易接受者通过所述交换密钥对所述交易密钥解密,并确认所述交易密钥合法后还包括:
所述交易发起者和所述交易接收者通过交易密钥对所述交易内容进行加密,并根据规则定时更新所述交易密钥。
6.一种在线密钥交换***,包括互联网中的客户端和服务端,其特征在于:
所述客户端和服务端均包括存储器,用于存储程序指令;
所述客户端和服务端均包括处理器,用于执行所述程序指令,以执行以下步骤:
所述客户端和所述服务端进行初始化,分别得到交换密钥;
所述客户端和所述服务端进行首次交易时,交易发起者产生交易密钥;
所述交换密钥对所述交易密钥进行加密,并发给交易接收者;
所述交易发起者和所述交易接收者通过所述交换密钥对所述交易密钥解密,并确认所述交易密钥合法性。
7.根据权利要求6所述的***,其特征在于所述客户端和服务端进行初始化,分别得到交换密钥,具体包括:
所述客户端和服务端进行初始化时,CA***产生数个零散值,分配给所述客户端和服务端;
所述客户端和服务端分别对所述数个零散值进行合成,分别得到交换密钥,并通过本地加密主密钥进行加密。
8.根据权利要求7所述的***,其特征在于,CA***产生数个零散值,分配给所述客户端和服务端,
具体包括:CA***产生三个零散值,每个零散值分别分配给所述客户端的三个管理人员和所述服务端的三个管理人员。
9.根据权利要求8所述的***,其特征在于所述服务端和客户端分别对所述数个零散值进行合成具体包括:
所述客户端的三个管理人员对所述零散值输入到所述客户端中,所述客户端根据合成算法,得到交换密钥;
所述服务端的三个管理人员对所述零散值输入到所述服务端中,所述服务端根据合成算法,得到与所述客户端一致的交换密钥。
10.根据权利要求6所述的***,其特征在于在所述交易发起者和所述交易接受者通过所述交换密钥对所述交易密钥解密,并确认所述交易密钥合法后还包括:
所述交易发起者和所述交易接收者通过交易密钥对所述交易内容进行加密,并根据规则定时更新所述交易密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710330882.1A CN107046466A (zh) | 2017-05-11 | 2017-05-11 | 一种在线密钥交换方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710330882.1A CN107046466A (zh) | 2017-05-11 | 2017-05-11 | 一种在线密钥交换方法及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107046466A true CN107046466A (zh) | 2017-08-15 |
Family
ID=59545985
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710330882.1A Pending CN107046466A (zh) | 2017-05-11 | 2017-05-11 | 一种在线密钥交换方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107046466A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108322442A (zh) * | 2017-12-29 | 2018-07-24 | 广州雅广信息科技有限公司 | 一种专线加密认证*** |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1392743A (zh) * | 2001-06-15 | 2003-01-22 | 格姆普拉斯公司 | 在远处给通信***的手机载入密钥的方法 |
| CN101467385A (zh) * | 2006-06-08 | 2009-06-24 | 松下电器产业株式会社 | 数据存储装置、管理服务器、集成电路、数据更新***、家电设备、数据更新方法、解密方法、以及加密/解密密钥生成方法 |
| CN203120166U (zh) * | 2013-01-17 | 2013-08-07 | 北京印天网真科技有限公司 | 安全卡设备 |
| CN104348610A (zh) * | 2013-07-31 | 2015-02-11 | ***股份有限公司 | 基于云pos交易敏感数据的安全传输方法和*** |
-
2017
- 2017-05-11 CN CN201710330882.1A patent/CN107046466A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1392743A (zh) * | 2001-06-15 | 2003-01-22 | 格姆普拉斯公司 | 在远处给通信***的手机载入密钥的方法 |
| CN101467385A (zh) * | 2006-06-08 | 2009-06-24 | 松下电器产业株式会社 | 数据存储装置、管理服务器、集成电路、数据更新***、家电设备、数据更新方法、解密方法、以及加密/解密密钥生成方法 |
| CN203120166U (zh) * | 2013-01-17 | 2013-08-07 | 北京印天网真科技有限公司 | 安全卡设备 |
| CN104348610A (zh) * | 2013-07-31 | 2015-02-11 | ***股份有限公司 | 基于云pos交易敏感数据的安全传输方法和*** |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108322442A (zh) * | 2017-12-29 | 2018-07-24 | 广州雅广信息科技有限公司 | 一种专线加密认证*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Yu et al. | A blockchain-based shamir’s threshold cryptography scheme for data protection in industrial internet of things settings | |
| US11201743B2 (en) | Methods for secure credential provisioning | |
| CN108781161B (zh) | 用于控制和分发数字内容的区块链实现的方法 | |
| CN103714634B (zh) | 一种安全下载终端主密钥的方法及*** | |
| CN107769922B (zh) | 区块链安全管理***及方法 | |
| WO2019080933A1 (zh) | 一种区块链交易隐私保护方法及*** | |
| CN109840771A (zh) | 一种基于同态加密的区块链隐私保护***及其方法 | |
| CN102377788B (zh) | 单点登录***及其单点登录方法 | |
| CN1831865B (zh) | 一种基于cpk的电子银行安全认证***和方法 | |
| CN109067539A (zh) | 联盟链交易方法、设备及计算机可读存储介质 | |
| CN106797311A (zh) | 用于安全密码生成的方法 | |
| CN102769623B (zh) | 基于数字证书和生物识别信息进行双重认证的方法 | |
| CN114580029A (zh) | 一种区块链数字资产隐私保护方法、装置、设备及存储介质 | |
| CN104125199A (zh) | 一种基于属性的匿名认证方法及*** | |
| CN105871923A (zh) | 信息处理方法、信息记录节点及参与节点 | |
| CN102546173A (zh) | 基于证书的数字签名***及签名方法 | |
| CN108712259A (zh) | 基于身份的可代理上传数据的云存储高效审计方法 | |
| Gulati et al. | Self-sovereign dynamic digital identities based on blockchain technology | |
| CN116703593A (zh) | 基于区块链的电子保函业务监管审批方法及*** | |
| Gorog et al. | Solving global cybersecurity problems by connecting trust using blockchain | |
| Sekhar et al. | Secure lightweight mobile payment protocol using symmetric key techniques | |
| Thammarat et al. | A secure fair exchange for SMS‐based mobile payment protocols based on symmetric encryption algorithms with formal verification | |
| CN109039599A (zh) | 支持盲密钥发行的属性基加解密方法及加解密*** | |
| CN111523892B (zh) | 一种区块链的跨链交易方法及装置 | |
| CN107046466A (zh) | 一种在线密钥交换方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170815 |
|
| RJ01 | Rejection of invention patent application after publication |