(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111489020.6 (22)申请日 2021.12.08 (71)申请人 中国建设银行股份有限公司 地址 100033 北京市西城区金融大街25号 (72)发明人 唐晓东　李爱宏　闫党军　 上官淑婷　刘迪　 (74)专利代理 机构 北京同达信恒知识产权代理 有限公司 1 1291 代理人 彭燕 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/146(2022.01) G06F 21/60(2013.01) (54)发明名称 一种会话加密方法、 装置、 设备及存 储介质 (57)摘要 本申请实施例提供了一种会话加密方法、 装 置、 设备及存储介质， 涉及加密技术领域， 该方法 包括： 客户端采用工作密钥对请求报文进行加 密， 获得加密请求报文。 客户端发送加密请求报 文和会话标识至服务端， 服务端基于会话标识获 得工作密钥， 采用工作密钥对加密请求报文进行 解密， 获得请求报文， 并根据请求报文获取对应 的响应报文， 采用工作密钥对响应报文进行加 密， 获得加密响应报文， 并发送加密响应报文至 客户端。 客户端采用工作密钥对加密响应报文进 行解密， 获得响应报文。 由于工作密钥是由服务 端针对每次会话生成并下发至客户端的， 因此， 客户端并不需要对工作密钥进行存储， 避免了客 户端被攻击时， 客户端存储的工作密钥泄露给攻 击者的问题。 权利要求书4页 说明书14页 附图7页 CN 114143108 A 2022.03.04 CN 114143108 A 1.一种会话加密方法， 应用于客户端， 其特 征在于， 包括： 采用工作密钥对请求报文进行加密， 获得加密请求报文， 所述工作密钥是服务端针对 当前会话 生成的， 且与会话标识对应； 发送所述加密请求报文和所述会话标识至所述服务端， 以使所述服务端基于所述会话 标识获得所述工作密钥， 采用所述工作密钥对所述加密请求报文进行解密， 获得所述请求 报文， 并根据所述请求报文获取对应的响应报文， 采用所述工作密钥对所述响应报文进行 加密， 获得加密响应报文； 接收所述服务端发送的所述加密 响应报文， 并采用所述工作密钥对所述加密 响应报文 进行解密， 获得 所述响应报文。 2.如权利要求1所述的方法， 其特征在于， 所述采用工作密钥对请求报文进行加密， 获 得加密请求报文之前， 还 包括： 接收所述服务端发送的第 一传输密钥和所述会话标识， 所述第 一传输密钥是所述服务 端对所述工作密钥进行加密获得的； 对所述第一传输密钥进行解密， 获得 所述工作密钥。 3.如权利要求2所述的方法， 其特征在于， 所述第 一传输密钥是所述服务端对所述工作 密钥进行加密获得的， 包括： 所述第一传输密钥是 所述服务端采用服 务端私钥对所述工作密钥进行加密获得的； 所述对所述第一传输密钥进行解密， 获得 所述工作密钥， 包括： 采用服务端公钥， 对所述第一传输密钥进行解密， 获得 所述工作密钥。 4.如权利要求2所述的方法， 其特征在于， 所述接收所述服务端发送的第 一传输密钥和 所述会话标识之前， 还 包括： 采用服务端公钥对待验证信息进行加密， 获得待验证加密信息； 发送所述待验证加密信 息至所述服务端， 以使所述服务端采用服务端私钥对待验证加 密信息进行解密， 获得所述待验证信息， 并对所述待验证信息进行验证， 在验证通过后， 为 所述客户端分配所述会话标识。 5.如权利要求4所述的方法， 其特征在于， 所述发送待验证加密信息至所述服务端， 包 括： 生成第二传输密钥， 并采用所述服务端公钥对所述第二传输密钥进行加密， 获得第一 临时密钥； 发送所述待验证加密信 息和所述第 一临时密钥至所述服务端， 以使所述服务端采用所 述服务端私钥， 对所述第一临时密钥进行解密， 获得第二传输密钥。 6.如权利要求5所述的方法， 其特征在于， 所述第 一传输密钥是所述服务端对所述工作 密钥进行加密获得的， 包括： 所述第一传输密钥是 所述服务端采用所述第二传输密钥对工作密钥进行加密获得的； 所述对所述第一传输密钥进行解密， 获得 所述工作密钥， 包括： 采用所述第二传输密钥， 对所述第一传输密钥进行解密， 获得 所述工作密钥。 7.如权利要求4至6任一所述的方法， 其特征在于， 所述工作密钥是服务端针对当前会 话生成的， 且与会话标识对应， 包括： 所述工作密钥是所述服务端基于当前会话的第二临时密钥和所述待验证加密信息生权　利　要　求　书 1/4 页 2 CN 114143108 A 2成的， 且所述第二临时密钥和所述会话标识对应保存。 8.一种会话加密方法， 应用于服 务端， 其特 征在于， 包括： 接收客户端发送的加密请求报文和会话标识， 所述加密请求报文是所述客户端采用工 作密钥对请求报文进行加密获得 的， 所述工作密钥是所述服务端针对当前会话生成的， 且 与所述会话标识对应； 基于所述会话标识， 获得所述工作密钥， 并采用所述工作密钥对所述加密请求报文进 行解密， 获得 所述请求报文； 根据所述请求报文获取对应的响应报文， 并采用所述工作密钥对所述响应报文进行加 密， 获得加密响应报文； 发送所述加密 响应报文至所述客户端， 以使所述客户端采用所述工作密钥对所述加密 响应报文 进行解密， 获得 所述响应报文。 9.如权利要求8所述的方法， 其特征在于， 所述接收客户端发送的加密请求报文和会话 标识之前， 还 包括： 对所述工作密钥进行加密， 获得第一传输密钥； 发送第一传输密钥和所述会话标识至客户端， 以使所述客户端对所述第 一传输密钥进 行解密， 获得 所述工作密钥。 10.如权利要求9所述的方法， 其特征在于， 所述对所述工作密钥进行加密， 获得第 一传 输密钥， 包括： 采用服务端私钥， 对所述工作密钥进行加密， 获得 所述第一传输密钥； 所述发送第 一传输密钥和所述会话标识至客户端， 以使所述客户端对所述第 一传输密 钥进行解密， 获得 所述工作密钥， 包括： 发送第一传输密钥和所述会话标识至客户端， 以使所述客户端采用服务端公钥， 对所 述第一传输密钥进行解密， 获得 所述工作密钥。 11.如权利要求9所述的方法， 其特征在于， 所述对所述工作密钥进行加密， 获得第 一传 输密钥之前， 还 包括： 接收所述客户端发送的待验证加密信息， 所述待验证加密信息是所述客户端， 采用服 务端公钥对待验证信息加密获得的； 采用服务端私钥对所述待验证加密信息进行解密， 获得 所述待验证信息； 对所述待验证信息进行验证， 在验证通过后， 为所述 客户端分配所述会话标识。 12.如权利要求11所述的方法， 其特征在于， 所述接收所述客户端发送的所述待验证加 密信息， 包括： 接收所述客户端发送所述待验证加密信 息和第一临时密钥， 所述第 一临时密钥是所述 客户端生成第二传输密钥， 并采用所述 服务端公钥对所述第二传输密钥进行加密获得的。 13.如权利要求12所述的方法， 其特征在于， 所述接收所述客户端发送所述待验证加密 信息和第一临时密钥之后， 还 包括： 采用所述 服务端私钥， 对所述第一临时密钥进行解密， 获得 所述第二传输密钥。 14.如权利要求12所述的方法， 其特征在于， 所述对所述工作密钥进行加密， 获得第一 传输密钥， 包括： 采用所述第二传输密钥， 对所述工作密钥进行加密， 获得 所述第一传输密钥；权　利　要　求　书 2/4 页 3 CN 114143108 A 3