[发明专利]密码模块加解密方法、装置、电子设备及计算机存储介质

权利要求书

1.一种密码模块加解密方法，其特征在于，包括：

通过所述密码模块的调用接口接收客户端发送的待处理数据；

基于保存的会话密钥对所述待处理数据进行处理，得到处理结果，所述会话密钥包括加密密钥或解密密钥；

通过所述调用接口传输所述处理结果至所述客户端，并禁止传输所述会话密钥至所述客户端；

所述通过所述密码模块的调用接口接收客户端发送的待处理数据之前，还包括：

获取公钥、私钥、数字证书、证书签发公钥；

基于所述公钥、所述私钥、所述数字证书、所述证书签发公钥生成所述会话密钥；

所述基于所述公钥、所述私钥、所述数字证书、所述证书签发公钥生成所述会话密钥，包括：

发送所述密码模块的公钥、所述密码模块的数字证书至另一密码模块；并接收所述另一密码模块的公钥、所述另一密码模块的数字证书；

基于所述密码模块的证书签发公钥验证所述另一密码模块的数字证书，若验证通过，并且所述另一密码模块基于所述另一密码模块的证书签发公钥验证所述密码模块的数字证书通过，则生成第一随机数；

基于所述另一密码模块的公钥对所述第一随机数进行加密，得到加密第一随机数，发送所述加密第一随机数至所述另一密码模块；

接收所述另一密码模块发送的加密第二随机数，所述加密第二随机数包括所述另一密码模块基于所述密码模块的公钥对生成的第二随机数进行加密得到的随机数；

基于所述密码模块的私钥对所述加密第二随机数进行解密，得到所述第二随机数；

对所述第一随机数和所述第二随机数进行异或运算，得到所述会话密钥。

2.根据权利要求1所述的方法，其特征在于，所述通过所述密码模块的调用接口接收客户端发送的待处理数据之前，还包括：

获取公钥及对应的私钥；

接收加密后的加密会话密钥，所述加密会话密钥包括基于非对称密码算法，使用所述公钥对所述会话密钥加密后得到的密钥；

基于所述非对称密码算法，使用所述私钥对所述加密会话密钥进行解密，得到所述会话密钥。

3.根据权利要求2所述的方法，其特征在于，所述获取公钥及对应的私钥，包括：

接收通过离线注入方式或安全通道写入方式传输的所述公钥及对应的所述私钥。

4.根据权利要求1所述的方法，其特征在于，所述获取公钥、私钥、数字证书、证书签发公钥，包括：

生成所述公钥及所述私钥；

发送所述公钥至密码管理系统；

接收所述密码管理系统基于所述公钥签发的所述数字证书；

接收通过离线注入方式或安全通道写入方式传输的所述证书签发公钥。

5.根据权利要求1至4任一项所述的方法，其特征在于，还包括：

采用对称密码算法，基于预先接收的通过离线注入方式或安全通道写入方式传输的对称密钥，对所述会话密钥进行加密，得到第一会话密钥；

传输所述第一会话密钥至所述密码模块的管理模块，以使所述管理模块对所述会话密钥进行备份或监听。

6.根据权利要求1至4任一项所述的方法，其特征在于，还包括：

采用非对称密码算法，基于预先接收的通过离线注入方式或安全通道写入方式传输的加密公钥，对所述会话密钥进行加密，得到第二会话密钥；

传输所述第二会话密钥至所述密码模块的管理模块，以使所述管理模块对所述会话密钥进行备份或监听。