[发明专利]一种基于国密算法协商临时会话密钥的方法及其系统

权利要求书

1.一种基于国密算法协商临时会话密钥的方法，其特征在于，包括：

终端使用国密算法验证服务器身份的合法性；合法性验证通过后，终端生成终端临时会话密钥；

终端使用国密算法安全传输所述终端临时会话密钥至服务器；

服务器使用国密算法验证终端身份的合法性；合法性验证通过后，服务器使用国密算法获取所述终端临时会话密钥；

服务器生成服务器临时会话密钥，并使用国密算法将其安全传输至终端；

终端使用国密算法获取所述服务器临时会话密钥；

服务器和终端依据所述服务器临时会话密钥以及所述终端临时会话密钥得到临时会话密钥；

所述服务器和终端分别依据所述服务器临时会话密钥以及所述终端临时会话密钥得到临时会话密钥；具体为：

服务器依据其存储的服务器临时会话密钥和终端临时会话密钥生成临时会话密钥，并生成对应的第一验证值；

终端依据其存储的终端临时会话密钥和服务器临时会话密钥得到临时会话密钥；

终端生成与其临时会话密钥对应的第二验证值，并将所述第二验证值发送至服务器；

服务器比较所述第一验证值与接收到的所述第二验证值；

若一致，终端和服务器分别使用各自生成的临时会话密钥加密后续的数据。

2.如权利要求1所述的基于国密算法协商临时会话密钥的方法，其特征在于，所述终端使用国密算法安全传输所述终端临时会话密钥至服务器，具体为：

终端使用国密算法对所述终端临时会话密钥进行加密签名后，将其发送至服务器；

所述服务器使用国密算法获取所述终端临时会话密钥，具体为：

服务器使用国密算法对接收到的加密签名后的终端临时会话密钥进行验签解密后，得到所述终端临时会话密钥。

3.如权利要求1或2所述的基于国密算法协商临时会话密钥的方法，其特征在于，所述服务器生成服务器临时会话密钥，并使用国密算法将其安全传输至终端，具体为：

服务器生成服务器临时会话密钥，并使用国密算法对所述服务器临时会话密钥进行加密签名后，将其发送至终端；

所述终端使用国密算法获取所述服务器临时会话密钥，具体为：

终端使用国密算法对接收到的加密签名后的服务器临时会话密钥进行验签解密后，得到所述服务器临时会话密钥。

4.如权利要求1所述的基于国密算法协商临时会话密钥的方法，其特征在于，还包括：

在终端出厂前，预置SM2根证书、SM2工作证书以及SM2私钥至终端的硬件安全区内，作为终端根证书、终端工作证书和终端私钥；

在服务器中预置SM2根证书、SM2工作证书以及SM2私钥，作为服务器根证书、服务器工作证书和服务器私钥。

5.如权利要求4所述的基于国密算法协商临时会话密钥的方法，其特征在于，所述SM2根证书、SM2工作证书以及SM2私钥通过可信的第三方CA机构或者通过自建的CA中心获取。

6.如权利要求4所述的基于国密算法协商临时会话密钥的方法，其特征在于，所述终端使用国密算法验证服务器身份的合法性；合法性验证通过后，终端生成终端临时会话密钥；具体为：

服务器发送服务器工作证书至终端；

终端使用终端根证书验证接收到的服务器工作证书的合法性；

所述合法性验证通过后，生成终端临时会话密钥。

7.如权利要求6所述的基于国密算法协商临时会话密钥的方法，其特征在于，所述终端使用国密算法安全传输所述终端临时会话密钥至服务器；具体为：

终端通过所述服务器工作证书使用国密算法加密所述终端临时会话密钥，得到加密后终端临时会话密钥，并使用终端私钥对其进行签名，得到终端数据；

终端发送终端工作证书、加密后终端临时会话密钥，以及终端数据至服务器。