本發明公開了一種密鑰生成方法及裝置，所述方法包括：向服務器發送第一隨機數據；接收所述服務器反饋的第二隨機數據、服務器數字證書、第一數字簽名，其中所述第一數字簽名是所述服務器利用服務器私鑰對所述第一隨機數據進行簽名而得到的簽名信息；利用所述服務器數字證書驗證所述第一數字簽名是否正確；當所述第一數字簽名正確時，利用用戶端私鑰對所述第二隨機數據進行簽名得到第二數字簽名；向所述服務器發送第三隨機數據、第二數字簽名、用戶端數字證書；當接收到所述服務器發送的對稱密鑰生成通知時，根據所述第一隨機數據、第二隨機數據和第三隨機數據生成密鑰。

技術領域

本發明涉及數據通訊安全領域，具體涉及密鑰生成方法及裝置。

背景技術

為了提高通信安全性，終端之間的過程通常會應用加密技術。加密系統是由明文、密文、算法和密鑰組成的。發送方通過加密設備或加密算法，用加密密鑰將數據加密后發送出去，接收方在收到密文后，用解密密鑰將密文解密，恢復為明文。在傳輸過程中，即使密文被非法分子偷竊獲取，得到的也只是無法識別的密文，從而起到數據保密的作用。

密鑰是加密系統中的重要組成部分，它是由數字、字母或特殊符號組成的字符串，用于控制數據加密、解密的過程。現有的加密系統中，密鑰通常是由參與通信的其中一方(例如服務器)單方面生成的，然后將密鑰發送給其他終端，使其能夠解密密文。現有的密鑰內容固定，且在發送的過程中容易被攔截、復制和破解，由此可見現有的密鑰生成方式安全性較低。

發明內容

本發明要解決的是現有的密鑰生成方式安全性低的問題。

有鑒于此，本發明提供了一種密鑰生成方法，包括：向服務器發送第一隨機數據；接收所述服務器反饋的第二隨機數據、服務器數字證書、第一數字簽名，其中所述第一數字簽名是所述服務器利用服務器私鑰對所述第一隨機數據進行簽名而得到的簽名信息；利用所述服務器數字證書驗證所述第一數字簽名是否正確；當所述第一數字簽名正確時，利用用戶端私鑰對所述第二隨機數據進行簽名得到第二數字簽名；向所述服務器發送第三隨機數據、第二數字簽名、用戶端數字證書；當接收到所述服務器發送的對稱密鑰生成通知時，根據所述第一隨機數據、第二隨機數據和第三隨機數據生成密鑰。

優選地，在所述接收所述服務器反饋的第二隨機數據、服務器數字證書、第一數字簽名的步驟之前，還包括：

向所述服務器發送所述用戶端支持的加密算法信息；

接收所述服務器反饋的對數據加密時所采用的加密算法信息；

根據所述加密算法信息確定所述服務器所采用的加密算法及相應的解密算法；

所述接收所述服務器反饋的第二隨機數據包括：

接收所述服務器發送的利用所述加密算法和所述服務器私鑰加密的第二隨機數據；

利用所述解密算法和所述服務器數字證書中的公鑰對所述加密的第二隨機數據進行解密得到所述第二隨機數據。

優選地，所述向所述服務器發送所述第三隨機數據包括：

利用所述加密算法和所述服務器數字證書中的公鑰對所述第三隨機數據進行加密；

向所述服務器發送加密后的所述第三隨機數據。

優選地，所述根據所述第一隨機數據、第二隨機數據和第三隨機數據生成密鑰包括：

以所述第一隨機數據、第二隨機數據和第三隨機數據為種子生成用于數據通信的密鑰；

根據所述用于數據通信的密鑰生成用于消息認證的密鑰。