本申請提供一種秘鑰協商方法及裝置，方法包括：客戶端向服務端發送認證請求，以使服務端利用服務端私鑰對該認證請求進行解密得到客戶端私鑰和客戶端簽名并在利用客戶端公鑰對所述客戶端簽名驗簽通過后依據服務端私鑰、解密得到的客戶端私鑰得到共享會話秘鑰，以利用該共享會話秘鑰對待發送至客戶端的報文進行加密并向客戶端返回應答消息；利用客戶端私鑰對應答消息進行解密得到服務端私鑰和服務端簽名；利用服務端公鑰對所述服務端簽名進行驗簽；如果驗簽通過，則依據客戶端私鑰、解密得到的服務端私鑰得到共享會話秘鑰，以利用該共享會話秘鑰對待發送至服務端的報文進行加密。應用該方法，可以實現客戶端與服務端安全地進行秘鑰協商。

技術領域

本申請涉及網絡安全技術領域，尤其涉及一種秘鑰協商方法及裝置。

背景技術

隨著計算機網絡的廣泛應用，網絡安全問題日益突出，而身份認證是網絡安全中的一個基本問題。

現有技術中，為了實現身份認證，提出基于X.509證書的挑戰應答協議和Kerbero網絡認證協議。其中，客戶端基于X.509證書的挑戰應答協議進行身份認證時，不僅需要提供證書，還必須提供自己擁有相應私鑰的證據，同時服務端需保存自己產生的隨機數，因此，服務必須設計為有狀態的。然而，現行的SOAP(Simple?Object?Access?Protocol，簡單對象訪問協議)雖然可以實現使服務維持狀態信息，但需付出很大代價，也極易出錯，同時上述挑戰應答協議只支持單向身份認證，不支持秘鑰協商?？蛻舳嘶贙erbero網絡認證協議進行身份認證時，由于認證過程中并不涉及數字簽名，因而Kerbero網絡認證協議無法提供不可否認機制。

發明內容

有鑒于此，本申請提供一種秘鑰協商方法及裝置，以解決現有技術中無法安全實現客戶端與服務端進行秘鑰協商的問題。

具體地，本申請是通過如下技術方案實現的：

根據本申請實施例的第一方面，提供一種秘鑰協商方法，應用于客戶端，所述方法包括：

向服務端發送認證請求，所述認證請求至少攜帶已利用服務端公鑰加密的客戶端私鑰和客戶端簽名，以使所述服務端利用服務端私鑰對該認證請求進行解密得到客戶端私鑰和客戶端簽名并在利用客戶端公鑰對所述客戶端簽名驗簽通過后依據所述服務端私鑰、解密得到的客戶端私鑰得到共享會話秘鑰，以利用該共享會話秘鑰對待發送至客戶端的報文進行加密并向所述客戶端返回應答消息，所述應答消息至少攜帶已利用客戶端公鑰加密的服務端私鑰和服務端簽名；

利用客戶端私鑰對所述應答消息進行解密得到服務端私鑰和服務端簽名；

利用服務端公鑰對所述服務端簽名進行驗簽；

如果驗簽通過，則依據所述客戶端私鑰、解密得到的服務端私鑰得到共享會話秘鑰，以利用該共享會話秘鑰對待發送至服務端的報文進行加密。

根據本申請實施例的第二方面，提供一種秘鑰協商方法，應用于服務端，所述方法包括：

接收客戶端發送的認證請求，所述認證請求至少攜帶已利用服務端公鑰加密的客戶端私鑰和客戶端簽名；

利用服務端私鑰對該認證請求進行解密得到客戶端私鑰和客戶端簽名；

利用客戶端公鑰對所述客戶端簽名進行驗簽；

如果驗簽通過，則依據所述服務端私鑰、解密得到的客戶端私鑰得到共享會話秘鑰，以利用該共享會話秘鑰對待發送至客戶端的報文進行加密，并向所述客戶端返回應答消息，所述應答消息至少攜帶已利用客戶端公鑰加密的服務端私鑰和服務端簽名，以使所述客戶端利用客戶端私鑰對該應答消息進行解密得到服務端私鑰和服務端簽名并在利用服務端公鑰對所述服務端簽名驗簽通過后依據所述客戶端私鑰、解密得到的服務端私鑰得到共享會話秘鑰，以利用該共享會話秘鑰對待發送至服務端的報文進行加密。