[发明专利]秘钥协商方法及装置

权利要求书

1.一种秘钥协商方法，应用于客户端，其特征在于，所述方法包括：

向服务端发送认证请求，所述认证请求至少携带已利用服务端公钥加密的客户端私钥和客户端签名，以使所述服务端利用服务端私钥对该认证请求进行解密得到客户端私钥和客户端签名并在利用客户端公钥对所述客户端签名验签通过后依据所述服务端私钥、解密得到的客户端私钥得到共享会话秘钥，以利用该共享会话秘钥对待发送至所述客户端的报文进行加密并向所述客户端返回应答消息，所述应答消息至少携带已利用客户端公钥加密的服务端私钥和服务端签名；

利用客户端私钥对所述应答消息进行解密得到服务端私钥和服务端签名；

利用服务端公钥对所述服务端签名进行验签；

如果验签通过，则依据所述客户端私钥、解密得到的服务端私钥得到共享会话秘钥，以利用该共享会话秘钥对待发送至服务端的报文进行加密；

所述认证请求和所述应答消息采用简单对象访问协议SOAP消息格式，所述认证请求和所述应答消息各自携带的内容封装在对应的SOAP消息头部。

2.根据权利要求1所述的方法，其特征在于，所述认证请求还携带已利用服务端公钥加密的时间戳，以使所述服务端利用服务端私钥对该认证请求进行解密得到时间戳并在检查出该时间戳满足设定条件时向所述客户端返回应答消息，所述时间戳表示所述客户端私钥的生成时间。

3.根据权利要求1所述的方法，其特征在于，所述客户端签名通过以下方式得到：

利用客户端私钥对客户端标识、服务端标识，以及随机数进行加签，得到客户端签名。

4.根据权利要求1所述的方法，其特征在于，所述依据客户端私钥、解密得到的服务端私钥得到共享会话秘钥，包括：

将客户端私钥、解密得到的服务端私钥作为参数代入设定的秘钥生成算法，得到共享会话秘钥。

5.一种秘钥协商方法，应用于服务端，其特征在于，所述方法包括：

接收客户端发送的认证请求，所述认证请求至少携带已利用服务端公钥加密的客户端私钥和客户端签名；

利用服务端私钥对该认证请求进行解密得到客户端私钥和客户端签名；

利用客户端公钥对所述客户端签名进行验签；

如果验签通过，则依据所述服务端私钥、解密得到的客户端私钥得到共享会话秘钥，以利用该共享会话秘钥对待发送至所述客户端的报文进行加密，并向所述客户端返回应答消息，所述应答消息至少携带已利用客户端公钥加密的服务端私钥和服务端签名，以使所述客户端利用客户端私钥对该应答消息进行解密得到服务端私钥和服务端签名并在利用服务端公钥对所述服务端签名验签通过后依据所述客户端私钥、解密得到的服务端私钥得到共享会话秘钥，以利用该共享会话秘钥对待发送至服务端的报文进行加密；所述认证请求和所述应答消息采用简单对象访问协议SOAP消息格式，所述认证请求和所述应答消息各自携带的内容封装在对应的SOAP消息头部。

6.根据权利要求5所述的方法，其特征在于，所述应答消息还携带已利用客户端公钥加密的时间戳，以使所述客户端利用客户端私钥对该应答消息进行解密得到时间戳并在检查出该时间戳满足设定条件时依据所述客户端私钥、解密得到的服务端私钥得到共享会话秘钥，所述时间戳表示所述服务端私钥的生成时间。

7.根据权利要求5所述的方法，其特征在于，所述服务端签名通过以下方式得到：

利用服务端私钥对客户端标识、服务端标识，以及服务端产生的随机数进行加签，得到服务端签名。

8.根据权利要求5所述的方法，其特征在于，所述依据服务端私钥、解密得到的客户端私钥得到共享会话秘钥，包括：

将服务端私钥、解密得到的客户端私钥作为参数代入设定的秘钥生成算法，得到共享会话秘钥。