本申請公開了一種密鑰協商方法及裝置。其中，該方法包括：生成第一隨機數，應用云端服務器的第一公鑰對第一隨機數和終端設備的標識信息進行加密生成第一密文；向云端服務器發送包括第一密文和終端設備的第二公鑰的密鑰協商請求；接收云端服務器驗證終端設備合法后，應用第二公鑰對包括第一隨機數的會話密鑰加密后發送的包括第二密文的密鑰協商響應；應用第二私鑰對第二密文進行解密，在獲得第一隨機數時應用會話密鑰對預先與云端服務器協商的第一字符串進行加密，向云端服務器發送包括第三密文的密鑰確認響應。該方法可以完成終端設備和云端服務器的雙向身份認證，并建立可靠性的安全連接，降低了成本，其提高了數據傳輸的安全性且效率高。

技術領域

本申請涉及信息安全技術領域，尤其涉及一種密鑰協商方法及裝置。

背景技術

通常，SSL(Secure Sockets Layer，安全套接層)作為一種為網絡通信提供安全及數據完整性的安全協議，常被用于終端設備在與相關服務器通信時，對通信雙方身份的確認，以及為了避免數據的泄漏對通信數據的加密等。

然而，上述使用SSL協議進行安全服務的方式中，由于SSL內存占用率大，多數終端設備無法運行SSL，且SSL在進行服務的過程中，需借助第三方CA公司，操作過于復雜。以及只能對服務器進行身份認證，無法對終端設備進行身份認證，安全性低。

發明內容

本申請的目的旨在至少在一定程度上解決上述的技術問題之一。

為此，本申請的第一個目的在于提出一種密鑰協商方法，該方法可以完成終端設備和云端服務器的雙向身份認證，并建立可靠性的安全連接，降低了成本，其提高了數據傳輸的安全性且效率高。

本申請的第二個目的在于提出另一種密鑰協商方法。

本申請的第三個目的在于提出一種密鑰協商裝置。

本申請的第四個目的在于提出另一種密鑰協商裝置。

為了實現上述目的，本申請第一方面實施例提出了一種密鑰協商方法，包括以下步驟：生成第一隨機數，應用云端服務器的第一公鑰對所述第一隨機數和終端設備的標識信息進行加密生成第一密文；向所述云端服務器發送密鑰協商請求，其中，所述密鑰協商請求包括：所述第一密文和所述終端設備的第二公鑰，以便所述云端服務器應用所述第一私鑰解密所述第一密文后，根據所述標識信息和所述第二公鑰驗證所述終端設備的合法性；接收所述云端服務器驗證所述終端設備合法后，應用所述第二公鑰對會話密鑰加密后發送的包括第二密文的密鑰協商響應，其中，所述會話密鑰包括所述第一隨機數；應用所述第二私鑰對所述第二密文進行解密，如果獲得所述第一隨機數，則應用所述會話密鑰對預先與所述云端服務器協商的第一字符串進行加密，向所述云端服務器發送包括所述第三密文的密鑰確認響應，以供所述云端服務器應用所述會話密鑰對所述第三密文進行解密處理，并根據解密結果中是否包含所述第一字符串確定密鑰協商是否成功。

本申請實施例的密鑰協商方法，通過終端設備將加密的第一密文發送至云端服務器，以通過云端服務器對其進行解密并根據標識信息和第二公鑰驗證終端設備的合法性，并對解密得到數據進行再一次的加密，同時發送給終端設備，然后在終端設備接收到該第二密文之后對其進行解密，以驗證身份。由此，可以完成終端設備和云端服務器的雙向身份認證，并建立可靠性的安全連接，降低了成本，其提高了數據傳輸的安全性且效率高。

另外，本申請實施例的密鑰協商方法，，還具有如下附加的技術特征：

在本申請的一個實施例中，所述標識信息為所述終端設備的MAC地址；所述密鑰協商請求中還包括：所述第一密文的哈希值，以便所述云端服務器應用所述第一私鑰解密所述第一密文后，根據所述MAC地址、所述哈希值和所述第二公鑰驗證所述終端設備的合法性。