本發明涉及加密技術領域，公開了一種秘鑰協商方法及系統，該方法包括應用業務服務器獲取應用標識碼；應用業務服務器對應用標識碼進行簽名，得到數字簽名；對數字簽名驗簽通過后，加解密服務器依據應用標識碼確定出對應的公鑰并將公鑰發送給應用業務服務器；應用業務服務器對應用標識碼進行簽名，得到秘鑰；應用業務服務器根據公鑰加密秘鑰，并將加密后的秘鑰發送給加解密服務器；加解密服務器通過對應的私鑰對加密后的秘鑰進行解密，得到秘鑰；加解密服務器生成與秘鑰對應的秘鑰標識；加解密服務器將秘鑰標識發送給應用業務服務器。本發明提供的秘鑰協商方法及系統可防止秘鑰泄露，保障系統安全。

技術領域

本發明涉及加密技術領域，具體涉及一種秘鑰協商方法及系統。

背景技術

在企業的各系統中，為了確保數據的安全，常常需要對數據進行加密和解密操作。

目前，在企業的各系統中，加解密方案大多是各系統單獨自行處理，即各系統應用各自使用一套單獨的秘鑰，當需要跨系統解析密文時就需要進行秘鑰的交換，存在秘鑰易泄露的風險，進而出現安全問題。

因此，如何提供一種有效的方案以避免秘鑰泄露，已逐漸成為現有技術中一亟待解決的問題。

發明內容

為了解決現有技術中所存在的秘鑰易泄露的問題，本發明的目的在于提供一種秘鑰協商方法及系統，以避免秘鑰泄露，保障系統安全。

第一方面，本發明提供了一種秘鑰協商方法，包括：

應用業務服務器獲取應用標識碼，所述應用標識碼是加解密服務器為所述應用業務服務器中的應用業務配置的；

所述應用業務服務器對所述應用標識碼進行簽名，得到數字簽名，并將所述數字簽名發送給所述加解密服務器；

在對所述數字簽名驗簽通過后，所述加解密服務器依據所述應用標識碼確定出與所述應用標識碼對應的公鑰并將所述公鑰發送給所述應用業務服務器；

所述應用業務服務器對所述應用標識碼進行簽名，得到秘鑰；

所述應用業務服務器根據所述公鑰加密所述秘鑰，并將加密后的秘鑰發送給所述加解密服務器；

所述加解密服務器通過與所述公鑰對應的私鑰對加密后的秘鑰進行解密，得到所述秘鑰；

所述加解密服務器生成與所述秘鑰對應的秘鑰標識，并存儲所述秘鑰和所述秘鑰標識；

所述加解密服務器將所述秘鑰標識發送給所述應用業務服務器，以便所述應用業務服務器根據所述秘鑰和所述秘鑰標識對待加密明文進行加密。

通過上述的設計，本發明提供的秘鑰協商方法通過應用業務服務器對應用標識碼進行簽名得到數字簽名并發送給加解密服務器，加解密服務器對數字簽名驗簽通過后確定出與應用標識碼對應的公鑰并發送給應用業務服務器，應用服務器對應用標識簽名后得到秘鑰并根據公鑰對秘鑰加密，然后將加密后的秘鑰發送給加解密服務器，加解密服務器通過私鑰解碼出秘鑰并生成與秘鑰對應的秘鑰標識，然后將秘鑰標識發送給應用業務服務，以便應用業務服務器根據秘鑰和秘鑰標識對待加密明文進行加密。在此過程中，秘鑰均是以密文的方式進行傳輸，不會存在秘鑰泄露的風險，從而保障了系統安全。

在一個可能的設計中，所述應用業務服務器獲取應用標識碼，包括：

所述應用業務服務器從與所述應用業務服務器對應的第一緩存中查找與所述應用業務對應的所述應用標識碼；

如果所述第一緩存中不存在所述應用標識碼，則向所述加解密服務器請求所述應用標識碼。

在一個可能的設計中，所述應用業務服務器對所述應用標識碼進行簽名，得到數字簽名，包括：

所述應用業務服務器將所述應用標識碼與當前日期組合后進行簽名，得到所述數字簽名；