一种密码协商处理方法和装置与流程

本发明涉及数据安全，尤其涉及一种密码协商处理方法和装置。

背景技术：

1、密码协商一直是困扰工业界实施密码工程的重要问题之一，其原因是密码原语具有不兼容以及不可互操作性。同样是实现数字签名、数字信封、密钥交换等功能，如果客户端和服务端之间所使用的底层算法代数结构不一致，或是客户端和服务端之间使用了相同的算法代数结构但选取了不同的参数，都会导致客户端和服务端之间无法互通，从而导致密码功能无法正确运行。

2、目前最常使用的密码协商是通信双方在正式进行密码运算之前，通过新增握手过程，从而就双方使用的密码原语达成一致。该方法的缺点是增加了密码运算双方的通信开销。在商业应用中，通信开销的增加会导致通信吞吐率的下降，从而导致成本的增加。如果可以避免重复开销，即可降低成本，提升通信效率。

技术实现思路

1、有鉴于此，本发明实施例提供一种密码协商处理方法和装置，至少能够解决现有技术中握手导致的通信开销增加的现象。

2、为实现上述目的，根据本发明实施例的一个方面，提供了一种应用于客户端的密码协商处理方法，包括：响应于后量子密码算法集成完成操作，根据当前所有后量子密码算法和算法参数清单，生成注册请求并发送至策略中心；接收策略中心返回的密码协商策略；其中，策略中心调用处理规则，从当前所有后量子密码算法和算法参数清单中，确定客户端密码协商使用的后量子密码算法和算法参数，以生成密码协商策略并同步至服务端；根据客户端的标识，生成密码协商请求并发送至服务端，使得服务端查询客户端当前使用的密码协商策略，以建立与客户端的加密信息交互通道；其中，在密码协商策略数量为多个的情况下，根据当前网络状态从中确定目标密码协商策略，将目标密码协商策略的策略标识加入密码协商请求的消息头中。

3、可选地，在所述生成密码协商请求并发送至服务端之后，所述方法还包括：接收服务端返回的待更新策略状态信息以及拒绝交易信息；从服务端或策略中心获取新密码协商策略；或重新根据当前所有后量子密码算法和算法参数清单，生成注册请求并发送至策略中心，以获取策略中心返回的新密码协商策略。

4、可选地，所述方法还包括：响应于对注销密码协商策略选项的点击操作，发送注销请求至策略中心，使得策略中心从客户端与算法路线参数映射表中对客户端打标注销状态，并将客户端注销信息推送至服务端，使得服务端在客户端与算法路线参数映射表中对客户端打标注销状态；以及在发送密码协商请求给服务端的情况下，接收服务端返回的注销状态信息和拒绝交易信息。

5、为实现上述目的，根据本发明实施例的一个方面，提供了一种应用于服务端的密码协商处理方法，包括：接收客户端的密码协商请求，解析密码协商请求的消息头；其中，请求中包括客户端的标识；响应于从本地客户端与算法路线参数映射表中，查询不存在所述标识，确定客户端首次访问，从策略中心拉取与所述标识对应的客户端信息，以更新本地客户端与算法路线参数映射表；其中，策略中心通过处理规则确定密码协商策略，密码协商策略包括后量子密码算法和算法参数；在消息头中不包括策略标识的情况下，从所述本地客户端与算法路线参数映射表中，获取与所述标识对应的密码协商策略，以通过密码协商策略建立与客户端之间的加密信息交互通道；在消息头中包括策略标识的情况下，从所述本地客户端与算法路线参数映射表中，获取与所述标识和所述策略标识对应的密码协商策略，以通过密码协商策略建立与客户端之间的加密信息交互通道。

6、可选地，所述方法还包括：所述本地客户端与算法路线参数映射表位于中间层；其中，所述中间层位于服务端的应用层和密码层之间，应用层用于接收客户端的密码协商请求，密码层用于集成后量子密码算法。

7、可选地，所述方法还包括：接收策略中心推送的待更新策略客户端列表；其中，策略中心响应于后台对处理规则、策略参数、策略中的一种的更改操作，确定待更新密码协商策略的客户端，以生成待更新策略客户端列表；根据待更新策略客户端列表，从本地客户端与算法路线参数映射表中确定相应客户端，并对确定的客户端打标待更新策略状态；在收到客户端的密码协商请求的情况下，响应于检测到客户端打标待更新策略状态，返回待更新策略状态信息给客户端，并拒绝本次交易，使得客户端重新发起注册请求给策略中心，以重新确定新密码协商策略。

8、可选地，所述方法还包括：接收策略中心推送的待更新策略客户端列表和每个客户端的新密码协商策略；其中，策略中心响应于后台对处理规则、策略参数、策略中的一种的更改操作，重新确定客户端的新密码协商策略，并生成待更新策略客户端列表；根据待更新策略客户端列表，从本地客户端与算法路线参数映射表中确定相应客户端，对每个客户端更新密码协商策略，并对确定的客户端打标待更新策略状态；在收到客户端的密码协商请求的情况下，响应于检测到客户端打标待更新策略状态，返回待更新策略状态信息给客户端，并拒绝本次交易，使得客户端从服务端或策略中心请求获取新密码协商策略。

9、可选地，所述方法还包括：接收策略中心发送的待注销策略客户端列表；其中，策略中心根据客户端的注销请求或者后台对客户端策略的注销操作，从客户端与算法路线参数映射表中对客户端打标注销状态，并生成待注销策略客户端列表推送至服务端；根据待注销策略客户端列表，从本地客户端与算法路线参数映射表中确定相应客户端，并对确定的客户端打标注销状态；在收到客户端的密码协商请求的情况下，响应于检测到客户端打标注销状态，返回注销状态信息给客户端，并拒绝本次交易。

10、为实现上述目的，根据本发明实施例的另一方面，提供了一种应用于客户端的密码协商处理装置，包括：注册模块，用于响应于后量子密码算法集成完成操作，根据当前所有后量子密码算法和算法参数清单，生成注册请求并发送至策略中心；接收模块，用于接收策略中心返回的密码协商策略；其中，策略中心调用处理规则，从当前所有后量子密码算法和算法参数清单中，确定客户端密码协商使用的后量子密码算法和算法参数，以生成密码协商策略并同步至服务端；请求模块，用于根据客户端的标识，生成密码协商请求并发送至服务端，使得服务端查询客户端当前使用的密码协商策略，以建立与客户端的加密信息交互通道；其中，在密码协商策略数量为多个的情况下，根据当前网络状态从中确定目标密码协商策略，将目标密码协商策略的策略标识加入密码协商请求的消息头中。

11、可选地，所述装置还包括策略更新模块，用于：接收服务端返回的待更新策略状态信息以及拒绝交易信息；从服务端或策略中心获取新密码协商策略；或重新根据当前所有后量子密码算法和算法参数清单，生成注册请求并发送至策略中心，以获取策略中心返回的新密码协商策略。

12、可选地，所述装置还包括策略注销模块，用于：响应于对注销密码协商策略选项的点击操作，发送注销请求至策略中心，使得策略中心从客户端与算法路线参数映射表中对客户端打标注销状态，并将客户端注销信息推送至服务端，使得服务端在客户端与算法路线参数映射表中对客户端打标注销状态；以及在发送密码协商请求给服务端的情况下，接收服务端返回的注销状态信息和拒绝交易信息。

13、为实现上述目的，根据本发明实施例的另一方面，提供了一种应用于服务端的密码协商处理装置，包括：接收模块，用于接收客户端的密码协商请求，解析密码协商请求的消息头；其中，请求中包括客户端的标识；同步模块，用于响应于从本地客户端与算法路线参数映射表中，查询不存在所述标识，确定客户端首次访问，从策略中心拉取与所述标识对应的客户端信息，以更新本地客户端与算法路线参数映射表；其中，策略中心通过处理规则确定密码协商策略，密码协商策略包括后量子密码算法和算法参数；通道模块，用于在消息头中不包括策略标识的情况下，从所述本地客户端与算法路线参数映射表中，获取与所述标识对应的密码协商策略，以通过密码协商策略建立与客户端之间的加密信息交互通道；在消息头中包括策略标识的情况下，从所述本地客户端与算法路线参数映射表中，获取与所述标识和所述策略标识对应的密码协商策略，以通过密码协商策略建立与客户端之间的加密信息交互通道。

14、可选地，所述装置还包括：所述本地客户端与算法路线参数映射表位于中间层；其中，所述中间层位于服务端的应用层和密码层之间，应用层用于接收客户端的密码协商请求，密码层用于集成后量子密码算法。

15、可选地，所述装置还包括第一策略更新模块，用于：接收策略中心推送的待更新策略客户端列表；其中，策略中心响应于后台对处理规则、策略参数、策略中的一种的更改操作，确定待更新密码协商策略的客户端，以生成待更新策略客户端列表；根据待更新策略客户端列表，从本地客户端与算法路线参数映射表中确定相应客户端，并对确定的客户端打标待更新策略状态；在收到客户端的密码协商请求的情况下，响应于检测到客户端打标待更新策略状态，返回待更新策略状态信息给客户端，并拒绝本次交易，使得客户端重新发起注册请求给策略中心，以重新确定新密码协商策略。

16、可选地，所述装置还包括第二策略更新模块，用于：接收策略中心推送的待更新策略客户端列表和每个客户端的新密码协商策略；其中，策略中心响应于后台对处理规则、策略参数、策略中的一种的更改操作，重新确定客户端的新密码协商策略，并生成待更新策略客户端列表；根据待更新策略客户端列表，从本地客户端与算法路线参数映射表中确定相应客户端，对每个客户端更新密码协商策略，并对确定的客户端打标待更新策略状态；在收到客户端的密码协商请求的情况下，响应于检测到客户端打标待更新策略状态，返回待更新策略状态信息给客户端，并拒绝本次交易，使得客户端从服务端或策略中心请求获取新密码协商策略。

17、可选地，所述装置还包括策略注销模块，用于：接收策略中心发送的待注销策略客户端列表；其中，策略中心根据客户端的注销请求或者后台对客户端策略的注销操作，从客户端与算法路线参数映射表中对客户端打标注销状态，并生成待注销策略客户端列表推送至服务端；根据待注销策略客户端列表，从本地客户端与算法路线参数映射表中确定相应客户端，并对确定的客户端打标注销状态；在收到客户端的密码协商请求的情况下，响应于检测到客户端打标注销状态，返回注销状态信息给客户端，并拒绝本次交易。

18、为实现上述目的，根据本发明实施例的再一方面，提供了一种密码协商处理电子设备。

19、本发明实施例的电子设备包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现上述任一所述的密码协商处理方法。

20、为实现上述目的，根据本发明实施例的再一方面，提供了一种计算机可读介质，其上存储有计算机程序，所述程序被处理器执行时实现上述任一所述的密码协商处理方法。

21、为实现上述目的，根据本发明实施例的又一个方面，提供了一种计算程序产品。本发明实施例的一种计算程序产品，包括计算机程序，所述程序被处理器执行时实现本发明实施例提供的密码协商处理方法。

22、根据本发明所述提供的方案，上述发明中的一个实施例具有如下优点或有益效果：对传统握手方式密码协商方案做出改进，针对客户/服务端结构的特殊模式，提出通过策略中心来管理客户端与服务端之间的密码协商策略，将传统握手方式中每次建立会话都需要进行密码协商的重复通信开销，简化为客户端与策略中心的一次通信开销，且该通信开销是可以在业务开展前完成的，以此极大地减少了密码协商的通信开销，降低实际生产环境的成本。

23、上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。