一种对称密钥的分发方法、装置、设备及介质与流程

1.本发明涉及信息安全技术领域，尤其涉及一种对称密钥的分发方法、装置、设备及介质。


背景技术：

2.密钥可分为两大类，对称密钥和非对称密钥。对称密钥中的“对称”一词是指加密密钥和解密密钥是相同的；非对称密钥中“非对称”则是指加密密钥和解密密钥不同，通常加密密钥和解密密钥具有特定的数学关系。
3.在通信过程中，为了达到特定的密码功能，发送方一般使用加密密钥对数据进行加密，接收方使用解密密钥对数据进行解密。对于非对称密钥而言，解密密钥通常只由接收方一方保管。
4.对称密钥一般作为会话密钥使用，即使用tls或ike等协议实现密钥的共享，对短期会话通信数据进行加解密保护。由于与非对称密钥对应的非对称密码算法相比，对称密钥对应的对称密码算法加解密速度快优势明显，对称密码非常适用于大数量数据的运算过程；且使用同一对称密钥对业务数据进行加解密，可很好的简化密钥管理难题，在特定场景下具有很好的适用性。但是，对于对称密钥应用场景，由于发送方和接收方需要使用相同的密钥对数据进行加解密，因此在使用对称密钥进行加解密之前需要双方传递实现对称密钥的分发，而在对称密钥进行传递分发的过程容易使对称密钥泄露。


技术实现要素：

5.本发明提供了一种对称密钥的分发方法、装置、设备及介质，以解决现有技术中在对称密钥进行传递分发的过程容易使对称密钥泄露的问题。
6.为了解决上述问题，本发明采用以下技术方案：包括：
7.第一方面，本发明提供了一种对称密钥的分发方法，所述方法应用于根系统，所述根系统为离线的系统，所述根系统与服务系统进行线下数据交互，所述服务系统与业务系统进行线上数据交互，所述根系统中设置有离线的密钥生成设备，所述方法包括：
8.获取服务系统对称密钥以及业务系统对称密钥；其中，所述服务系统对称密钥和所述业务系统对称密钥均由所述密钥生成设备生成；
9.对所述服务系统对称密钥进行数字信封操作以及数字签名操作得到第一文件，并对所述业务系统对称密钥进行数字信封操作以及数字签名操作得到第二文件；
10.将所述第一文件和所述第二文件发送给所述服务系统；其中，所述服务系统对所述第一文件进行数字信封逆操作以及数字签名逆操作得到所述服务系统对称密钥，并对所述第二文件进行数字信封操作以及数字签名操作得到第三文件后，将所述第三文件发送给业务系统；所述业务系统在接收到所述第三文件后，对所述第三文件进行数字信封逆操作以及数字签名逆操作得到所述第二文件，再对所述第二文件进行数字信封逆操作以及数字签名逆操作得到所述业务系统对称密钥。
11.其进一步的技术方案为，所述根系统具有根系统签名私钥，所述根系统具有服务系统的加密证书以及业务系统的加密证书，所述服务系统的加密证书中含有服务系统的加密公钥，所述业务系统的加密证书中含有业务系统的加密公钥，所述对所述服务系统对称密钥进行数字信封操作以及数字签名操作得到第一文件，包括：
12.使用哈希算法对所述服务系统对称密钥进行计算得到所述服务系统对称密钥的哈希值；
13.使用根系统签名私钥对所述服务系统对称密钥的哈希值进行签名得到第一签名文件；
14.生成第一临时会话密钥并使用所述第一临时会话密钥加密所述服务系统对称密钥以及所述第一签名文件得到第一数字签名文件，并使用所述服务系统的加密公钥对所述第一临时会话密钥进行加密得到第一数字信封文件；
15.将所述第一数字签名文件以及所述第一数字信封文件作为第一文件。
16.其进一步的技术方案为，所述对所述业务系统对称密钥进行数字信封操作以及数字签名操作得到第二文件，包括：
17.使用哈希算法对所述业务系统对称密钥进行计算得到所述业务系统对称密钥的哈希值；
18.使用根系统签名私钥对所述业务系统对称密钥的哈希值进行签名得到第二签名文件；
19.生成第二临时会话密钥并使用所述第二临时会话密钥加密所述业务系统对称密钥以及所述第二签名文件得到第二数字签名文件，并使用所述业务系统的加密公钥对所述第二临时会话密钥进行加密得到第二数字信封文件；
20.将所述第二数字签名文件以及所述第二数字信封文件作为第二文件。
21.其进一步的技术方案为，所述服务系统对称密钥以及所述业务系统对称密钥均为需长期安全存储的对称密钥。
22.第二方面，本发明还提供了一种对称密钥的分发方法，所述方法应用于服务系统，所述服务系统与根系统进行线下数据交互，所述服务系统与业务系统进行线上数据交互，所述根系统为离线的系统，所述根系统中设置有离线的密钥生成设备，所述方法包括：
23.接收根系统发送的第一文件和第二文件；其中，所述第一文件为所述根系统对服务系统对称密钥进行数字信封以及数字签名操作得到的，所述第二文件为所述根系统对业务系统对称密钥进行数字信封操作以及数字签名操作得到的，所述服务系统对称密钥和所述业务系统对称密钥均由所述密钥生成设备生成；
24.对所述第一文件进行数字信封逆操作以及数字签名逆操作得到服务系统对称密钥，并对所述第二文件进行数字信封操作以及数字签名操作得到第三文件；
25.将所述第三文件发送给业务系统；其中，所述业务系统在接收到所述第三文件后，对所述第三文件进行数字信封逆操作以及数字签名逆操作得到所述第二文件，再对所述第二文件进行数字信封逆操作以及数字签名逆操作得到业务系统对称密钥。
26.其进一步的技术方案为，所述服务系统具有服务系统解密私钥，所述服务系统具有根系统的签名证书，所述根系统的签名证书中含有根系统的签名公钥，所述对所述第一文件进行数字信封逆操作以及数字签名逆操作得到服务系统对称密钥，包括：
27.获取所述第一文件中的第一数字签名文件以及第一数字信封文件，利用所述服务系统解密私钥对所述第一数字信封文件进行解密，得到第一临时会话密钥；
28.利用所述第一临时会话密钥解密所述第一数字签名文件，得到服务系统对称密钥以及第一签名文件；
29.判断对所述服务系统对称密钥进行计算得到的哈希值与利用所述根系统的签名公钥打开所述第一签名文件得到的哈希值是否一致；
30.若一致，则接收所述服务系统对称密钥。
31.其进一步的技术方案为，所述服务系统具有服务系统签名私钥，所述服务系统具有业务系统的加密证书，所述业务系统的加密证书中含有业务系统的加密公钥，所述对所述第二文件进行数字信封操作以及数字签名操作得到第三文件，包括：
32.使用哈希算法对所述第二文件进行计算得到所述第二文件的哈希值；
33.使用服务系统签名私钥对所述第二文件的哈希值进行签名得到第三签名文件；
34.生成第三临时会话密钥并使用所述第三临时会话密钥加密所述第二文件以及所述第三签名文件得到第三数字签名文件，并使用所述业务系统的加密公钥对所述第三临时会话密钥进行加密得到第三数字信封文件；
35.将所述第三数字签名文件以及所述第三数字信封文件作为第三文件。
36.第三方面，本发明还提供了一种对称密钥的分发装置，包括用于执行如第一方面所述方法的单元，或执行如第二方面所述方法的单元。
37.第四方面，本发明还提供了一种电子设备，包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；
38.存储器，用于存放计算机程序；
39.处理器，用于执行存储器上所存放的程序时，实现第一方面所述的方法的步骤，或者实现第二方面所述的方法的步骤。
40.第五方面，本发明还提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现第一方面所述的方法的步骤，或者实现第二方面所述的方法的步骤。
41.本发明提供的上述技术方案与现有技术相比具有如下优点：
42.本发明提供的一种对称密钥的分发方法、装置、设备及介质，所述方法通过设置所述根系统为离线的系统，所述根系统与服务系统进行线下数据交互，所述根系统中设置有离线的密钥生成设备，使得服务系统对称密钥以及业务系统对称密钥的产生基于离线的根系统，同时服务系统对称密钥的传输以及业务系统对称密钥的第一步传输就采用线下数据交互方式而保证了根系统免疫线上网络攻击从而保证足够的安全性；再通过对所述服务系统对称密钥进行数字信封操作以及数字签名操作得到第一文件后发送给所述服务系统，使得所述服务系统对称密钥经过数字信封操作以及数字签名操作加密保护后传输，并且只有所述服务系统能对所述第一文件进行数字信封逆操作以及数字签名逆操作后经过验证得到所述服务系统对称密钥，从而保证了所述服务系统对称密钥在传递分发的过程足够安全；所述根系统对所述业务系统对称密钥进行数字信封操作以及数字签名操作得到第二文件后，将所述第二文件发送给所述服务系统，所述服务系统对所述第二文件进行数字信封操作以及数字签名操作得到第三文件后将所述第三文件发送给业务系统，使得所述业务系
统对称密钥经过双重数字信封操作以及双重数字签名操作加密保护后传输，并且只有所述业务系统在接收到所述第三文件后能对所述第三文件进行两次数字信封逆操作以及两次数字签名逆操作后经过验证得到所述业务系统对称密钥，从而保证了所述业务系统对称密钥在传递分发的过程足够安全。
附图说明
43.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并与说明书一起用于解释本发明的原理。
44.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
45.图1为本发明实施例1提供的一种对称密钥的分发方法的流程示意图；
46.图2为本发明实施例2提供的一种对称密钥的分发方法的流程示意图；
47.图3为本发明实施例3提供的一种对称密钥的分发装置的结构框图；
48.图4为本发明实施例4提供的一种对称密钥的分发装置的结构框图；
49.图5为本发明实施例5提出的一种电子设备的结构示意图；
50.图6为本发明实施例中提供的一种对称密钥的分发方法中各系统的交互方式示意图。
具体实施方式
51.为了更充分理解本发明的技术内容，下面结合具体实施例对本发明的技术方案进一步介绍和说明，但不局限于此。
52.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
53.应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
54.还应当理解，在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。
55.实施例1
56.参见图1，图1为本发明实施例1提供的一种对称密钥的分发方法的流程示意图。所述方法应用于根系统，所述根系统为离线的系统，所述根系统与服务系统进行线下数据交互，所述服务系统与业务系统进行线上数据交互，所述根系统中设置有离线的密钥生成设备。具体地，如图1所示，该方法包括以下步骤s101-s103。
57.s101,获取服务系统对称密钥以及业务系统对称密钥。
58.具体地，根系统获取由所述离线的密钥生成设备生成的服务系统对称密钥以及业务系统对称密钥，服务系统对称密钥和业务系统对称密钥可以相同。所述服务系统对称密
钥以及所述业务系统对称密钥可为需长期安全存储的对称密钥，同时需多方共享因此传递过程中需进行安全保护。通过设置所述根系统为离线的系统，所述根系统与服务系统进行线下数据交互，并且所述根系统中设置有离线的密钥生成设备(离线的密钥生成设备通常为密码机或随机数生成设备，密码机或随机数生成设备生成的随机数作为密钥使用)，通过使服务系统对称密钥以及业务系统对称密钥的产生基于离线的根系统，同时使服务系统对称密钥的传输以及业务系统对称密钥的第一步传输采用线下数据交互方式而保证了服务系统对称密钥以及业务系统对称密钥在产生以及传输中能够免疫线上网络攻击，相对线上环境实现绝对安全，从而保证足够的安全性。
59.s102,对所述服务系统对称密钥进行数字信封操作以及数字签名操作得到第一文件，并对所述业务系统对称密钥进行数字信封操作以及数字签名操作得到第二文件。
60.具体地，根系统对所述服务系统对称密钥进行数字信封操作以及数字签名操作得到第一文件，并对所述业务系统对称密钥进行数字信封操作以及数字签名操作得到第二文件。根系统对发给服务系统的服务系统对称密钥经过数字信封操作以及数字签名操作加密保护后才传输给所述服务系统，从而使得服务系统对称密钥在发给服务系统的过程中足够安全；并且，发给业务系统的业务系统对称密钥是具有两个发送过程的，第一个发送过程是先经根系统传输给服务系统，第二个发送过程是由服务系统传输给业务系统的，而在第一个发送过程中对业务系统对称密钥经过数字信封操作以及数字签名操作加密保护后才传输给所述服务系统，从而使得业务系统对称密钥在发给业务系统中的第一个过程足够安全。
61.在一实施例中，所述根系统具有根系统签名私钥，所述根系统具有服务系统的加密证书以及业务系统的加密证书，所述服务系统的加密证书中含有服务系统的加密公钥，所述业务系统的加密证书中含有业务系统的加密公钥，所述对所述服务系统对称密钥进行数字信封操作以及数字签名操作得到第一文件，包括：
62.使用哈希算法对所述服务系统对称密钥进行计算得到所述服务系统对称密钥的哈希值；
63.使用根系统签名私钥对所述服务系统对称密钥的哈希值进行签名得到第一签名文件；
64.生成第一临时会话密钥并使用所述第一临时会话密钥加密所述服务系统对称密钥以及所述第一签名文件得到第一数字签名文件，并使用所述服务系统的加密公钥对所述第一临时会话密钥进行加密得到第一数字信封文件；
65.将所述第一数字签名文件以及所述第一数字信封文件作为第一文件。
66.具体地，各系统均拥有其他系统的签名证书和加密证书，签名证书中有签名公钥，加密证书中有加密公钥。第一临时会话密钥是临时生成的会话密钥。根系统使用哈希算法对所述服务系统对称密钥进行计算得到所述服务系统对称密钥的哈希值，并使用根系统签名私钥对所述服务系统对称密钥的哈希值进行签名得到第一签名文件，从而完成数字签名操作；根系统生成第一临时会话密钥并使用所述第一临时会话密钥加密所述服务系统对称密钥以及所述第一签名文件得到第一数字签名文件，并在使用所述服务系统的加密公钥对所述第一临时会话密钥进行加密得到第一数字信封文件后，将所述第一数字签名文件以及所述第一数字信封文件作为第一文件发送给所述服务系统，从而完成数字信封操作。
67.在一实施例中，所述对所述业务系统对称密钥进行数字信封操作以及数字签名操作得到第二文件，包括：
68.使用哈希算法对所述业务系统对称密钥进行计算得到所述业务系统对称密钥的哈希值；
69.使用根系统签名私钥对所述业务系统对称密钥的哈希值进行签名得到第二签名文件；
70.生成第二临时会话密钥并使用所述第二临时会话密钥加密所述业务系统对称密钥以及所述第二签名文件得到第二数字签名文件，并使用所述业务系统的加密公钥对所述第二临时会话密钥进行加密得到第二数字信封文件；
71.将所述第二数字签名文件以及所述第二数字信封文件作为第二文件。
72.具体地，第二临时会话密钥是临时生成的会话密钥。发给业务系统的业务系统对称密钥是具有两个发送过程的，第一个发送过程是先经根系统传输给服务系统，第二个发送过程是由服务系统传输给业务系统的，两个发送过程都经过数字信封操作以及数字签名操作。第一个发送过程中的数字信封操作以及数字签名操作为：根系统使用哈希算法对所述业务系统对称密钥进行计算得到所述业务系统对称密钥的哈希值，并使用根系统签名私钥对所述业务系统对称密钥的哈希值进行签名得到第二签名文件，从而完成第一个发送过程中的数字签名操作；根系统生成第二临时会话密钥并使用所述第二临时会话密钥加密所述业务系统对称密钥以及所述第二签名文件得到第二数字签名文件，并在使用所述业务系统的加密公钥对所述第二临时会话密钥进行加密得到第二数字信封文件后，将所述第二数字签名文件以及所述第二数字信封文件作为第二文件发送给所述服务系统，从而完成第一个发送过程中的数字信封操作。
73.s103，将所述第一文件和所述第二文件发送给所述服务系统。
74.具体地，根系统将所述第一文件和所述第二文件发送给所述服务系统。其中，当服务系统在接收到所述第一文件后，所述服务系统对所述第一文件进行数字信封逆操作以及数字签名逆操作得到所述服务系统对称密钥，具体通过数字信封逆操作获得所述服务系统对称密钥，并通过数字签名逆操作去验证所述服务系统对称密钥是否为根系统发给服务系统的，验证通过则接收所述服务系统对称密钥，从而保证服务系统对称密钥在接收过程的安全性；同时，发给业务系统的业务系统对称密钥是具有两个发送过程的，第一个发送过程是先经根系统传输给服务系统，第二个发送过程是由服务系统传输给业务系统的，第二个发送过程具体由服务系统对所述第二文件进行数字信封操作以及数字签名操作得到第三文件后，将所述第三文件发送给业务系统；所述业务系统在接收到所述第三文件后，对所述第三文件进行数字信封逆操作以及数字签名逆操作得到所述第二文件，再对所述第二文件进行数字信封逆操作以及数字签名逆操作得到所述业务系统对称密钥，因此所述业务系统在接收到所述第三文件后进行两次数字信封逆操作以及两次数字签名逆操作后经过对所述业务系统对称密钥验证才决定是否接收所述业务系统对称密钥，从而保证了所述业务系统对称密钥在接收过程的安全性。
75.具体而言，所述方法通过设置所述根系统为离线的系统，所述根系统与服务系统进行线下数据交互，所述根系统中设置有离线的密钥生成设备，使得服务系统对称密钥以及业务系统对称密钥的产生基于离线的根系统，同时服务系统对称密钥的传输以及业务系
统对称密钥的第一步传输就采用线下数据交互方式而保证了根系统免疫线上网络攻击从而保证足够的安全性；再通过对所述服务系统对称密钥进行数字信封操作以及数字签名操作得到第一文件后发送给所述服务系统，使得所述服务系统对称密钥经过数字信封操作以及数字签名操作加密保护后传输，并且只有所述服务系统能对所述第一文件进行数字信封逆操作以及数字签名逆操作后经过验证得到所述服务系统对称密钥，从而保证了所述服务系统对称密钥在传递分发的过程足够安全；所述根系统对所述业务系统对称密钥进行数字信封操作以及数字签名操作得到第二文件后，将所述第二文件发送给所述服务系统，所述服务系统对所述第二文件进行数字信封操作以及数字签名操作得到第三文件后将所述第三文件发送给业务系统，使得所述业务系统对称密钥经过双重数字信封操作以及双重数字签名操作加密保护后传输，并且只有所述业务系统在接收到所述第三文件后能对所述第三文件进行两次数字信封逆操作以及两次数字签名逆操作后经过验证得到所述业务系统对称密钥，从而保证了所述业务系统对称密钥在传递分发的过程足够安全。
76.实施例2
77.参见图2，图2为本发明实施例2提供的一种对称密钥的分发方法的流程示意图。所述方法应用于服务系统，所述服务系统与根系统进行线下数据交互，所述服务系统与业务系统进行线上数据交互，所述根系统为离线的系统，所述根系统中设置有离线的密钥生成设备。具体地，如图2所示，该方法包括以下步骤s201-s203。
78.s201，接收根系统发送的第一文件和第二文件。
79.具体地，服务系统接收根系统发送的第一文件和第二文件。所述第一文件为所述根系统对服务系统对称密钥进行数字信封以及数字签名操作得到的，所述第二文件为所述根系统对业务系统对称密钥进行数字信封操作以及数字签名操作得到的，所述服务系统对称密钥和所述业务系统对称密钥均由所述离线的密钥生成设备生成。
80.s202，对所述第一文件进行数字信封逆操作以及数字签名逆操作得到服务系统对称密钥，并对所述第二文件进行数字信封操作以及数字签名操作得到第三文件。
81.具体地，服务系统对所述第一文件进行数字信封逆操作以及数字签名逆操作得到服务系统对称密钥，并对所述第二文件进行数字信封操作以及数字签名操作得到第三文件。
82.在一实施例中，所述服务系统具有服务系统解密私钥，所述服务系统具有根系统的签名证书，所述根系统的签名证书中含有根系统的签名公钥，所述对所述第一文件进行数字信封逆操作以及数字签名逆操作得到服务系统对称密钥，包括：
83.获取所述第一文件中的第一数字签名文件以及第一数字信封文件，利用所述服务系统解密私钥对所述第一数字信封文件进行解密，得到第一临时会话密钥；
84.利用所述第一临时会话密钥解密所述第一数字签名文件，得到服务系统对称密钥以及第一签名文件；
85.判断对所述服务系统对称密钥进行计算得到的哈希值与利用所述根系统的签名公钥打开所述第一签名文件得到的哈希值是否一致；
86.若一致，则接收所述服务系统对称密钥。
87.具体地，所述服务系统获取所述第一文件中的第一数字签名文件以及第一数字信封文件，利用所述服务系统解密私钥对所述第一数字信封文件进行解密，得到第一临时会
话密钥后，利用所述第一临时会话密钥解密所述第一数字签名文件，得到服务系统对称密钥以及第一签名文件，从而完成数字信封逆操作；所述服务系统对所述服务系统对称密钥进行计算得到一个哈希值，同时所述服务系统利用所述根系统的签名公钥打开所述第一签名文件得到一个哈希值后，所述服务系统再判断这两个哈希值是否一致，若一致，所述服务系统则接收所述服务系统对称密钥，从而完成数字签名逆操作。
88.在一实施例中，所述服务系统具有服务系统签名私钥，所述服务系统具有业务系统的加密证书，所述业务系统的加密证书中含有业务系统的加密公钥，所述对所述第二文件进行数字信封操作以及数字签名操作得到第三文件，包括：
89.使用哈希算法对所述第二文件进行计算得到所述第二文件的哈希值；
90.使用服务系统签名私钥对所述第二文件的哈希值进行签名得到第三签名文件；
91.生成第三临时会话密钥并使用所述第三临时会话密钥加密所述第二文件以及所述第三签名文件得到第三数字签名文件，并使用所述业务系统的加密公钥对所述第三临时会话密钥进行加密得到第三数字信封文件；
92.将所述第三数字签名文件以及所述第三数字信封文件作为第三文件。
93.具体地，发给业务系统的业务系统对称密钥是具有两个发送过程的，第一个发送过程是先经根系统传输给服务系统，第二个发送过程是由服务系统传输给业务系统的，两个发送过程都经过数字信封操作以及数字签名操作。第二个发送过程中的数字签名操作为：所述服务系统使用哈希算法对所述第二文件进行计算得到所述第二文件的哈希值，再使用服务系统签名私钥对所述第二文件的哈希值进行签名得到第三签名文件。第二个发送过程中的数字信封操作为：所述服务系统生成第三临时会话密钥并使用所述第三临时会话密钥加密所述第二文件以及所述第三签名文件得到第三数字签名文件，并使用所述业务系统的加密公钥对所述第三临时会话密钥进行加密得到第三数字信封文件后，将所述第三数字签名文件以及所述第三数字信封文件作为第三文件发送给业务系统。
94.s203，将所述第三文件发送给业务系统。
95.具体地，服务系统将所述第三文件发送给业务系统。其中，所述业务系统在接收到所述第三文件后，对所述第三文件进行数字信封逆操作以及数字签名逆操作得到所述第二文件，再对所述第二文件进行数字信封逆操作以及数字签名逆操作得到业务系统对称密钥。
96.本发明中的系统包含以下几个部分：根系统，服务系统，若干业务系统；根系统具有离线的密钥生成设备，为保证根系统免疫线上网络攻击，根系统设置为离线系统；服务系统与根系统进行数据交互，且服务系统是唯一与根系统具有数据交互权限的系统；业务系统与服务系统进行交互，获取服务系统下发的密钥信息并进行安全存储；服务系统与业务系统可进行线上通信，使用共享的密钥对通信数据进行加密；业务系统之间也可使用共享的密钥进行数据加密交互。其中，根系统、服务系统以及若干业务系统的交互方式如图6，服务系统对称密钥和业务系统对称密钥可以相同，不同业务系统之间可以使用分发的密钥进行线上交互。
97.前置条件：各系统具有自己的签名证书和加密证书；各系统使用自己的签名证书对应的签名私钥对数据进行签名操作，并使用接收方系统的加密证书中加密公钥对数据进行加密，接收方系统使用加密证书对应的解密私钥对数据进行解密，使用发送方系统的签
名证书中签名公钥对签名信息进行验证；其中，服务系统可以部署在根系统内部作为根系统的服务模块，也可与根系统独立，此时根系统为线下系统，只与服务系统在线下场景进行数据交互。
98.以下为对称密钥的整个分发过程的例子：
99.步骤1：根系统中的离线的密钥生成设备生成密钥mk。
100.步骤2：根系统对mk使用数字信封 数字签名机制进行加密保护；根系统对服务系统发送的数据，包含：(1)服务系统的mk文件；(2)业务系统的mk文件；其中(1)中数字信封 数字签名机制基于根系统的签名私钥gsk和服务系统的加密公钥fek实现；(2)中数字信封 数字签名机制基于根系统的签名私钥和业务系统的加密公钥实现(业务系统可有多个，例如：业务系统有两个，则对应的根系统的签名私钥和业务系统的加密公钥的组合有两个，为gsk yek1和gsk yek2。
101.步骤3：服务系统接收到根系统下发的mk文件；
102.(1)针对服务系统的mk文件，其基于服务系统自己的解密私钥和根系统的签名公钥进行解密和签名验证，验证通过后得到mk的明文，将mk明文导入服务系统密码设备安全保存；
103.(2)针对根系统交由服务系统转发的各业务系统的mk文件，服务系统对每一个文件进行如下操作：
104.首先，将mk文件作为受保护的数据信息，进行数字信封和数字签名操作，其中操作过程基于服务系统的签名私钥和业务系统的加密公钥；
105.然后服务系统将加密后的mk文件传递给各业务系统。
106.步骤4：业务系统接收到服务系统下发的数据后，首先针对服务系统在步骤3中的(2)中的数字信封 数字签名机制进行解密验签名，得到根系统给服务系统发送的业务系统mk文件；针对该文件，再基于根系统的签名公钥和业务系统的解密私钥进行解密验签操作，验证通过后得到mk明文，将mk明文导入密码设备安全保存。
107.后续服务系统与业务系统以及业务系统与业务系统之间的数据交互，可基于mk进行加密完成数据加密保护。特定场景举例：多用户的业务场景，为实现用户管理，通常为用户生成唯一性的用户id。用户id信息属于企业机密信息，但是id信息需要在企业不同分支机构或系统中共享。例如：业务服务系统负责为用户提供不同用户购买的特定功能，其需要根据id信息进行不同服务功能的授权；计费系统则需要根据不同id用户的购买信息进行计费，例如：在用户的购买时限到期后进行计费；那在除根系统外的不同系统之间需要进行id共享时，前置在不同系统间实现的密钥mk的分发后，便可使用密钥mk对不同id单独加密后在不同系统间进行加密分发。
108.实施例3
109.参见图3，本发明实施例提供了一种对称密钥的分发装置400的结构示意图。对应于以上实施例1提供的对称密钥的分发方法。该对称密钥的分发装置400包括用于执行上述实施例1提供的对称密钥的分发方法的单元，该对称密钥的分发装置400可以被配置于根系统。该对称密钥的分发装置400包括第一获取单元401、第一操作单元402、第一发送单元403。
110.第一获取单元401，用于获取服务系统对称密钥以及业务系统对称密钥；其中，所
述服务系统对称密钥和所述业务系统对称密钥均由所述离线的密钥生成设备生成。
111.第一操作单元402，用于对所述服务系统对称密钥进行数字信封操作以及数字签名操作得到第一文件，并对所述业务系统对称密钥进行数字信封操作以及数字签名操作得到第二文件。
112.第一发送单元403，用于将所述第一文件和所述第二文件发送给所述服务系统；其中，所述服务系统对所述第一文件进行数字信封逆操作以及数字签名逆操作得到所述服务系统对称密钥，并对所述第二文件进行数字信封操作以及数字签名操作得到第三文件后，将所述第三文件发送给业务系统；所述业务系统在接收到所述第三文件后，对所述第三文件进行数字信封逆操作以及数字签名逆操作得到所述第二文件，再对所述第二文件进行数字信封逆操作以及数字签名逆操作得到所述业务系统对称密钥。
113.在一实施例中，所述根系统具有根系统签名私钥，所述根系统具有服务系统的加密证书以及业务系统的加密证书，所述服务系统的加密证书中含有服务系统的加密公钥，所述业务系统的加密证书中含有业务系统的加密公钥，所述对所述服务系统对称密钥进行数字信封操作以及数字签名操作得到第一文件，包括：
114.使用哈希算法对所述服务系统对称密钥进行计算得到所述服务系统对称密钥的哈希值；
115.使用根系统签名私钥对所述服务系统对称密钥的哈希值进行签名得到第一签名文件；
116.生成第一临时会话密钥并使用所述第一临时会话密钥加密所述服务系统对称密钥以及所述第一签名文件得到第一数字签名文件，并使用所述服务系统的加密公钥对所述第一临时会话密钥进行加密得到第一数字信封文件；
117.将所述第一数字签名文件以及所述第一数字信封文件作为第一文件。
118.在一实施例中，所述对所述业务系统对称密钥进行数字信封操作以及数字签名操作得到第二文件，包括：
119.使用哈希算法对所述业务系统对称密钥进行计算得到所述业务系统对称密钥的哈希值；
120.使用根系统签名私钥对所述业务系统对称密钥的哈希值进行签名得到第二签名文件；
121.生成第二临时会话密钥并使用所述第二临时会话密钥加密所述业务系统对称密钥以及所述第二签名文件得到第二数字签名文件，并使用所述业务系统的加密公钥对所述第二临时会话密钥进行加密得到第二数字信封文件；
122.将所述第二数字签名文件以及所述第二数字信封文件作为第二文件。
123.在一实施例中，所述服务系统对称密钥以及所述业务系统对称密钥均为需长期安全存储的对称密钥。
124.实施例4
125.参见图4，本发明实施例提供了一种对称密钥的分发装置500的结构示意图。对应于以上实施例2提供的对称密钥的分发方法。该对称密钥的分发装置500包括用于执行上述实施例2提供的对称密钥的分发方法的单元，该对称密钥的分发装置500应用于服务系统。该对称密钥的分发装置500包括第一接收单元501、第一逆操作及操作单元502、第二发送单
元503。
126.第一接收单元501，用于接收根系统发送的第一文件和第二文件；其中，所述第一文件为所述根系统对服务系统对称密钥进行数字信封以及数字签名操作得到的，所述第二文件为所述根系统对业务系统对称密钥进行数字信封操作以及数字签名操作得到的，所述服务系统对称密钥和所述业务系统对称密钥均由所述离线的密钥生成设备生成。
127.第一逆操作及操作单元502，用于对所述第一文件进行数字信封逆操作以及数字签名逆操作得到服务系统对称密钥，并对所述第二文件进行数字信封操作以及数字签名操作得到第三文件。
128.第二发送单元503，用于将所述第三文件发送给业务系统；其中，所述业务系统在接收到所述第三文件后，对所述第三文件进行数字信封逆操作以及数字签名逆操作得到所述第二文件，再对所述第二文件进行数字信封逆操作以及数字签名逆操作得到业务系统对称密钥。
129.在一实施例中，所述服务系统具有服务系统解密私钥，所述服务系统具有根系统的签名证书，所述根系统的签名证书中含有根系统的签名公钥，所述对所述第一文件进行数字信封逆操作以及数字签名逆操作得到服务系统对称密钥，包括：
130.获取所述第一文件中的第一数字签名文件以及第一数字信封文件，利用所述服务系统解密私钥对所述第一数字信封文件进行解密，得到第一临时会话密钥；
131.利用所述第一临时会话密钥解密所述第一数字签名文件，得到服务系统对称密钥以及第一签名文件；
132.判断对所述服务系统对称密钥进行计算得到的哈希值与利用所述根系统的签名公钥打开所述第一签名文件得到的哈希值是否一致；
133.若一致，则接收所述服务系统对称密钥。
134.在一实施例中，所述服务系统具有服务系统签名私钥，所述服务系统具有业务系统的加密证书，所述业务系统的加密证书中含有业务系统的加密公钥，所述对所述第二文件进行数字信封操作以及数字签名操作得到第三文件，包括：
135.使用哈希算法对所述第二文件进行计算得到所述第二文件的哈希值；
136.使用服务系统签名私钥对所述第二文件的哈希值进行签名得到第三签名文件；
137.生成第三临时会话密钥并使用所述第三临时会话密钥加密所述第二文件以及所述第三签名文件得到第三数字签名文件，并使用所述业务系统的加密公钥对所述第三临时会话密钥进行加密得到第三数字信封文件；
138.将所述第三数字签名文件以及所述第三数字信封文件作为第三文件。
139.实施例5
140.参见图5，本发明实施例还提供了一种电子设备，包括处理器111、通信接口112、存储器113和通信总线114，其中，处理器111，通信接口112，存储器113通过通信总线114完成相互间的通信。
141.存储器113，用于存放计算机程序；
142.处理器111，用于执行存储器113上所存放的程序，实现如前述任意一个方法实施例提供的对称密钥的分发方法。
143.本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，所述
计算机程序被处理器111执行时实现如前述任意一个方法实施例提供的对称密钥的分发方法的步骤。
144.需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
145.以上所述仅是本发明的具体实施方式，使本领域技术人员能够理解或实现本发明。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所发明的原理和新颖特点相一致的最宽的范围。