会话密钥的生成方法、装置、电子设备及可读存储介质

本申请涉及计算机技术领域，具体而言，本申请涉及一种会话密钥的生成方法、装置、电子设备及可读存储介质。

在当前移动应用的通讯场景中，为了保护敏感信息，需要对传输中的敏感信息进行必要的加密保护。多个移动应用需要与多个服务后端进行通信，为了保障通信安全，通常需要进行密钥协商，协商出的密钥用于数据保护。但是，当应用涉及的通信后端渠道较多时，则需要进行多次的密钥协商，效率低且服务端负载较高。

本申请的目的旨在至少能解决上述的技术缺陷之一。本申请所采用的技术方案如下：

第一方面，本申请实施例提供了一种会话密钥的生成方法，该方法包括：

在与终端设备建立会话时，接收终端设备发送的会话密钥申请请求；

基于会话密钥申请请求中携带的随机信息以及设备密钥生成会话密钥，并将会话密钥返回给终端设备。

可选地，基于会话密钥申请请求中携带的随机信息以及设备密钥生成会话密钥，包括：

基于密钥分散算法，通过会话密钥申请请求中携带的随机信息对设备密钥进行密钥分散，得到会话密钥。

可选地，上述方法还包括：

发送设备密钥获取请求，以使密钥管理平台基于设备密钥获取请求中携带的应用包标识以及设备标识，对渠道密钥进行密钥分散，得到设备密钥；

接收密钥管理平台返回的设备密钥。

可选地，渠道密钥是基于渠道标识对根密钥进行密钥分散得到的。

可选地，上述方法还包括：

当接收到终端设备发送的被会话密钥加密后的数据报文时，通过数据报文中携带的随机信息以及设备密钥，对数据报文进行解密。

第二方面，本申请实施例提供了另一种会话密钥的生成方法，该方法包括：

在与服务器建立会话时，向服务器发送会话密钥申请请求，以使服务器基于会话密钥申请请求中携带的随机信息以及设备密钥生成会话密钥；

接收服务器返回的会话密钥。

可选地，随机信息包括随机数以及时间戳。

可选地，上述方法还包括：

通过会话密钥对数据报文进行加密，并将加密后的数据报文以及随机信息发送至服务端。

第三方面，本申请实施例提供了一种会话密钥的生成装置，该装置包括：

会话密钥请求接收模块，用于在与终端设备建立会话时，接收终端设备发送的会话密钥申请请求；

会话密钥返回模块，用于基于会话密钥申请请求中携带的随机信息以及设备密钥生成会话密钥，并将会话密钥返回给终端设备。

可选地，会话密钥返回模块在基于会话密钥申请请求中携带的随机信息以及设备密钥生成会话密钥时，具体用于：

基于密钥分散算法，通过会话密钥申请请求中携带的随机信息对设备密钥进行密钥分散，得到会话密钥。

可选地，上述装置还包括设备密钥获取模块，设备密钥获取模块用于：

发送设备密钥获取请求，以使密钥管理平台基于设备密钥获取请求中携带的应用包标识以及设备标识，对渠道密钥进行密钥分散，得到设备密钥；

接收密钥管理平台返回的设备密钥。

可选地，渠道密钥是基于渠道标识对根密钥进行密钥分散得到的。

可选地，上述装置还包括报文解密模块，报文解密模块用于：

当接收到终端设备发送的被会话密钥加密后的数据报文时，通过数据报文中携带的随机信息以及设备密钥，对数据报文进行解密。

第四方面，本申请实施例提供了另一种会话密钥的生成装置，该装置包括：

会话密钥请求发送模块，用于在与服务器建立会话时，向服务器发送会话密钥申请请求，以使服务器基于会话密钥申请请求中携带的随机信息以及设备密钥生成会话密钥；

会话密钥接收模块，用于接收服务器返回的会话密钥。

可选地，随机信息包括随机数以及时间戳。

可选地，上述装置还包括数据报文发送模块，数据报文发送模块用于：

通过会话密钥对数据报文进行加密，并将加密后的数据报文以及随机信息发送至服务端。

第五方面，本申请实施例提供了一种电子设备，该电子设备包括：处理器和存储器；

存储器，用于存储操作指令；

处理器，用于通过调用操作指令，执行如本申请的第一方面的任一实施方式中所示的会话密钥的生成方法。

第六方面，本申请实施例提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现本申请的第一方面的任一实施方式中所示的会话密钥的生成方法。

本申请实施例提供的技术方案带来的有益效果是：

本申请实施例提供的方案，通过在与终端设备建立会话时，接收终端设备发送的会话密钥申请请求，基于会话密钥申请请求中携带的随机信息以及设备密钥生成会话密钥，并将会话密钥返回给终端设备。基于本方案，能够基于设备密钥以及随机数据自动生成会话密钥，能够替代现有的密钥协商方式，省去了生成多个密钥时需要进行的多次密钥协商过程，提升了处理效率，减少了运算资源的浪费。

为了更清楚地说明本申请实施例中的技术方案，下面将对本申请实施例描述中所需要使用的附图作简单地介绍。

图1为本申请实施例提供的一种会话密钥的生成方法的流程示意图；

图2为本申请实施例提供的一种密钥分散方案的流程示意图；

图3为本申请实施例提供的另一种会话密钥的生成方法的流程示意图；

图4为本申请实施例提供的一种会话密钥的生成装置的结构示意图；

图5为本申请实施例提供的另一种会话密钥的生成装置的结构示意图；

图6为本申请实施例提供的一种电子设备的结构示意图。

下面详细描述本申请的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本申请，而不能解释为对本发明的限制。

本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本申请的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解，当我们称元件被“连接”或“耦接”到另一元件时，它可以直接连接或耦接到其他元件，或者也可以存在中间元件。此外，这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。

为使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施方式作进一步地详细描述。

下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图，对本申请的实施例进行描述。

图1示出了本申请实施例提供的一种会话密钥的生成方法的流程示意图，如图1所示，该方法主要可以包括：

步骤S110：在与终端设备建立会话时，接收终端设备发送的会话密钥申请请求；

步骤S120：基于会话密钥申请请求中携带的随机信息以及设备密钥生成会话密钥。

本申请实施例中，终端设备可以在与服务器建立会话时，向服务器发送会话密钥申请请求，会话密钥申请请求中可以携带随机信息，具体而言，随机信息可以包括随机数以及时间戳。

本申请实施例中，服务器中可以保存有设备密钥，在接收到终端设备的会话密钥申请请求时，基于随机信息生成会话密钥，并将会话密钥返回给终端设备。

基于本申请中实施例提供方案所生成的会话密钥，能够用于终端设备可以对报文数据的加密，并且也为服务器基于设备密钥以及随机信息解密加密后的报文提供了基础，并且在存再多个终端设备的会话密钥需求时，无需分别协商会话密钥。

本申请实施例提供的方法，通过在与终端设备建立会话时，接收终端设备发送的会话密钥申请请求，基于会话密钥申请请求中携带的随机信息以及设备密钥生成会话密钥，并将会话密钥返回给终端设备。基于本方案，能够基于设备密钥以及随机数据自动生成会话密钥，能够替代现有的密钥协商方式，省去了生成多个密钥时需要进行的多次密钥协商过程，提升了处理效率，减少了运算资源的浪费。

本申请实施例的一种可选方式中，基于会话密钥申请请求中携带的随机信息以及设备密钥生成会话密钥，包括：

基于密钥分散算法，通过会话密钥申请请求中携带的随机信息对设备密钥进行密钥分散，得到会话密钥。

本申请实施例中，可以基于密钥分散算法，通过随机信息对设备密钥进行密钥分散，从而得到会话密钥。

本申请实施例的一种可选方式中，上述方法还包括：

发送设备密钥获取请求，以使密钥管理平台基于设备密钥获取请求中携带的应用包标识以及设备标识，对渠道密钥进行密钥分散，得到设备密钥；

接收密钥管理平台返回的设备密钥。

本申请实施例中，服务器可以从密钥管理平台获取设备密钥，密钥管理平台可以基于密钥分散算法，并通过应用包标识以及设备标识，对渠道密钥进行密钥分散，得到设备密钥。

本申请实施例的一种可选方式中，渠道密钥是基于渠道标识对根密钥进行密钥分散得到的。

本申请实施例中，密钥管理平台维护有根密钥，密钥管理平台可以基于密钥分散算法，并通过渠道标识对根密钥进行密钥分散，得到渠道密钥。

本申请实施例的一种可选方式中，上述方法还包括：

当接收到终端设备发送的被会话密钥加密后的数据报文时，通过数据报文中携带的随机信息以及设备密钥，对数据报文进行解密。

本申请实施例中，终端设备在接收到会话密钥后，可以通过会话密钥对数据报文加密，并将加密后的数据报文与随机信息共同发送至服务器，服务器可以根据密钥分散算法，并根据设备密钥以及随机信息，确定出会话密钥，从而对加密后的数据报文进行解密。

作为一个示例，图2中示出了本申请实施例提供的一种密钥分散方案的流程示意图。

如图2中所示，根密钥为Kr，某服务器需要与两个渠道通信，其渠道标识分别为CHl1和CHl2，其应用包标识为P1，服务器标识为M1.则当该服务器发起密钥申请时，上送CHl1和CHl2、P1、M1.密钥管理中心的计算过程如下：

1)使用Kr对CHl1和CHl2进行分散，得到渠道密钥Kch1和Kch2；

2)渠道密钥Kch1对P1进行分散，得到应用密钥Kc1p1；

3)应用密钥Kch2对P1进行分散，得到应用密钥Kc2p1；

4)应用密钥Kc1p1对M1进行分散，得到设备密钥Kc1p1m1；

5)设备密钥Kc2p1对M1进行分散，得到设备密钥K21p1m1；

6)设备密钥Kc1p1m1和K21p1m1下发到服务器缓存中保存；

终端设备的应用程序生成随机数拼接时间戳得到随机信息R。

服务器使用设备密钥Kc1p1m1对R进行分散，得到会话密钥Kc1p1m1r。

服务端器在接收到被会话密钥Kc1p1m1r加密后的数据报文后，可以通过渠道号和包名进行密钥查，得到Kch1p1，然后对设备编号M1及随机数R进行分散，得到会话密钥Kc1p1m1r，使用会话密钥进行数据加解密。

本申请实施例中，针对移动应用需要与多个后端渠道进行通信时的场景下，通过密钥分散的机制加快协商速度，同时保障安全性。

图3示出了本申请实施例提供的另一种会话密钥的生成方法的流程示意图，如图3所示，该方法主要可以包括：

步骤S210：在与服务器建立会话时，向服务器发送会话密钥申请请求，以使服务器基于会话密钥申请请求中携带的随机信息以及设备密钥生成会话密钥；

步骤S220：接收服务器返回的会话密钥。

本申请实施例中，终端设备可以在与服务器建立会话时，向服务器发送会话密钥申请请求，会话密钥申请请求中可以携带随机信息，具体而言，随机信息可以包括随机数以及时间戳。

本申请实施例中，服务器中可以保存有设备密钥，在接收到终端设备的会话密钥申请请求时，基于随机信息生成会话密钥，并将会话密钥返回给终端设备。

基于本申请中实施例提供方案所生成的会话密钥，能够用于终端设备可以对报文数据的加密，并且也为服务器基于设备密钥以及随机信息解密加密后的报文提供了基础，并且在存再多个终端设备的会话密钥需求时，无需分别协商会话密钥。

本申请实施例提供的方法，通过在与服务器建立会话时，向服务器发送会话密钥申请请求，以使服务器基于会话密钥申请请求中携带的随机信息以及设备密钥生成会话密钥，接收服务器返回的会话密钥。基于本方案，能够基于设备密钥以及随机数据自动生成会话密钥，能够替代现有的密钥协商方式，省去了生成多个密钥时需要进行的多次密钥协商过程，提升了处理效率，减少了运算资源的浪费。

本申请实施例的一种可选方式中，上述方法还包括：

通过会话密钥对数据报文进行加密，并将加密后的数据报文以及随机信息发送至服务端。

本申请实施例中，终端设备在接收到会话密钥后，可以通过会话密钥对数据报文加密，并将加密后的数据报文与随机信息共同发送至服务器，服务器可以根据密钥分散算法，并根据设备密钥以及随机信息，确定出会话密钥，从而对加密后的数据报文进行解密。

本申请实施例提供的方案存在如下优势：

1、利用渠道编标识、应用包标识、设备标识等进行多层级的密钥分散，有效隔离不同渠道、应用、设备的密钥体系，杜绝因密钥泄露导致的信息泄露

2、使用随机数拼接时间戳进行会话密钥分散，每次会话的均被单独分配会话密钥。与密钥协商的方案相比，安全等级不降低

3、提前进行部分密钥的分散，大大降低了通讯时的密钥协商代价。特别的，本方案通讯过程中实际不需要密钥协商，应用端直接发起通讯请求，服务端即可以加解密。整个过程客户端和服务端都仅需要连续计算1-2次分散计算，中间无需交互通信，速度快，轻量级。

基于与图1中所示的方法相同的原理，图4示出了本申请实施例提供的一种会话密钥的生成装置的结构示意图，如图4所示，该会话密钥的生成装置30可以包括：

会话密钥请求接收模块310，用于在与终端设备建立会话时，接收终端设备发送的会话密钥申请请求；

会话密钥返回模块320，用于基于会话密钥申请请求中携带的随机信息以及设备密钥生成会话密钥，并将会话密钥返回给终端设备。

本申请实施例提供的装置，通过在与终端设备建立会话时，接收终端设备发送的会话密钥申请请求，基于会话密钥申请请求中携带的随机信息以及设备密钥生成会话密钥，并将会话密钥返回给终端设备。基于本方案，能够基于设备密钥以及随机数据自动生成会话密钥，能够替代现有的密钥协商方式，省去了生成多个密钥时需要进行的多次密钥协商过程，提升了处理效率，减少了运算资源的浪费。

可选地，会话密钥返回模块在基于会话密钥申请请求中携带的随机信息以及设备密钥生成会话密钥时，具体用于：

基于密钥分散算法，通过会话密钥申请请求中携带的随机信息对设备密钥进行密钥分散，得到会话密钥。

可选地，上述装置还包括设备密钥获取模块，设备密钥获取模块用于：

发送设备密钥获取请求，以使密钥管理平台基于设备密钥获取请求中携带的应用包标识以及设备标识，对渠道密钥进行密钥分散，得到设备密钥；

接收密钥管理平台返回的设备密钥。

可选地，渠道密钥是基于渠道标识对根密钥进行密钥分散得到的。

可选地，上述装置还包括报文解密模块，报文解密模块用于：

当接收到终端设备发送的被会话密钥加密后的数据报文时，通过数据报文中携带的随机信息以及设备密钥，对数据报文进行解密。

可以理解的是，本实施例中的会话密钥的生成装置的上述各模块具有实现图1中所示的实施例中的会话密钥的生成方法相应步骤的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。上述模块可以是软件和/或硬件，上述各模块可以单独实现，也可以多个模块集成实现。对于上述会话密钥的生成装置的各模块的功能描述具体可以参见图1中所示实施例中的会话密钥的生成方法的对应描述，在此不再赘述。

基于与图3中所示的方法相同的原理，图5示出了本申请实施例提供的一种会话密钥的生成装置的结构示意图，如图5所示，该会话密钥的生成装置40可以包括：

会话密钥请求发送模块410，用于在与服务器建立会话时，向服务器发送会话密钥申请请求，以使服务器基于会话密钥申请请求中携带的随机信息以及设备密钥生成会话密钥；

会话密钥接收模块420，用于接收服务器返回的会话密钥。

本申请实施例提供的装置，通过在与服务器建立会话时，向服务器发送会话密钥申请请求，以使服务器基于会话密钥申请请求中携带的随机信息以及设备密钥生成会话密钥，接收服务器返回的会话密钥。基于本方案，能够基于设备密钥以及随机数据自动生成会话密钥，能够替代现有的密钥协商方式，省去了生成多个密钥时需要进行的多次密钥协商过程，提升了处理效率，减少了运算资源的浪费。

可选地，随机信息包括随机数以及时间戳。

可选地，上述装置还包括数据报文发送模块，数据报文发送模块用于：

通过会话密钥对数据报文进行加密，并将加密后的数据报文以及随机信息发送至服务端。

可以理解的是，本实施例中的会话密钥的生成装置的上述各模块具有实现图3中所示的实施例中的会话密钥的生成方法相应步骤的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。上述模块可以是软件和/或硬件，上述各模块可以单独实现，也可以多个模块集成实现。对于上述会话密钥的生成装置的各模块的功能描述具体可以参见图3中所示实施例中的会话密钥的生成方法的对应描述，在此不再赘述。

本申请实施例提供了一种电子设备，包括处理器和存储器；

存储器，用于存储操作指令；

处理器，用于通过调用操作指令，执行本申请任一实施方式中所提供的会话密钥的生成方法。

作为一个示例，图6示出了本申请实施例所适用的一种电子设备的结构示意图，如图6所示，该电子设备2000包括：处理器2001和存储器2003。其中，处理器2001和存储器2003相连，如通过总线2002相连。可选的，电子设备2000还可以包括收发器2004。需要说明的是，实际应用中收发器2004不限于一个，该电子设备2000的结构并不构成对本申请实施例的限定。

其中，处理器2001应用于本申请实施例中，用于实现上述方法实施例所示的方法。收发器2004可以包括接收机和发射机，收发器2004应用于本申请实施例中，用于执行时实现本申请实施例的电子设备与其他设备通信的功能。

处理器2001可以是CPU(Central Processing Unit，中央处理器)，通用处理器，DSP(Digital Signal Processor，数据信号处理器)，ASIC(Application SpecificIntegrated Circuit，专用集成电路)，FPGA(Field Programmable Gate Array，现场可编程门阵列)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。处理器2001也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等。

总线2002可包括一通路，在上述组件之间传送信息。总线2002可以是PCI(Peripheral Component Interconnect，外设部件互连标准)总线或EISA(ExtendedIndustry Standard Architecture，扩展工业标准结构)总线等。总线2002可以分为地址总线、数据总线、控制总线等。为便于表示，图6中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

存储器2003可以是ROM(Read Only Memory，只读存储器)或可存储静态信息和指令的其他类型的静态存储设备，RAM(Random Access Memory，随机存取存储器)或者可存储信息和指令的其他类型的动态存储设备，也可以是EEPROM(Electrically ErasableProgrammable Read Only Memory，电可擦可编程只读存储器)、CD-ROM(Compact DiscRead Only Memory，只读光盘)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。

可选的，存储器2003用于存储执行本申请方案的应用程序代码，并由处理器2001来控制执行。处理器2001用于执行存储器2003中存储的应用程序代码，以实现本申请任一实施方式中所提供的会话密钥的生成方法。

本申请实施例提供的电子设备，适用于上述方法任一实施例，在此不再赘述。

本申请实施例提供了一种电子设备，与现有技术相比，通过在与终端设备建立会话时，接收终端设备发送的会话密钥申请请求，基于会话密钥申请请求中携带的随机信息以及设备密钥生成会话密钥，并将会话密钥返回给终端设备。基于本方案，能够基于设备密钥以及随机数据自动生成会话密钥，能够替代现有的密钥协商方式，省去了生成多个密钥时需要进行的多次密钥协商过程，提升了处理效率，减少了运算资源的浪费。

本申请实施例提供了一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，该程序被处理器执行时实现上述方法实施例所示的会话密钥的生成方法。

本申请实施例提供的计算机可读存储介质，适用于上述方法任一实施例，在此不再赘述。

本申请实施例提供了一种计算机可读存储介质，与现有技术相比，通过在与终端设备建立会话时，接收终端设备发送的会话密钥申请请求，基于会话密钥申请请求中携带的随机信息以及设备密钥生成会话密钥，并将会话密钥返回给终端设备。基于本方案，能够基于设备密钥以及随机数据自动生成会话密钥，能够替代现有的密钥协商方式，省去了生成多个密钥时需要进行的多次密钥协商过程，提升了处理效率，减少了运算资源的浪费。

应该理解的是，虽然附图的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，其可以以其他的顺序执行。而且，附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，其执行顺序也不必然是依次进行，而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。

以上所述仅是本发明的部分实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。