一种基于对称密钥池的密钥同步方法和密钥同步装置、密钥同步系统制造方法及图纸

本发明专利技术公开了一种基于对称密钥池的密钥同步方法和密钥同步装置、密钥同步系统，在具有对称密钥池的同步双方之间，同步双方相互发送消息时均以密文方式，且消息中带有供对方进行认证的认证信息。本发明专利技术可改进目前的密钥池更新机制，安全性大大提高，更进一步的还提高了异常处理能力和便利性。

A key synchronization method based on symmetric key pool and key synchronization device and key synchronization system

The invention discloses a symmetric key pool key synchronization method and key synchronization device and key synchronization system based on symmetric key pool between both sides mutual synchronization, synchronization message is sent to the ciphertext, and message with each other for certification information. The invention can improve the current key pool updating mechanism, greatly improve the security, and further improve the ability and convenience of the exception handling.

【技术实现步骤摘要】
一种基于对称密钥池的密钥同步方法和密钥同步装置、密钥同步系统
本专利技术涉及安全通信
，具体涉及一种基于对称密钥池的密钥同步方法和密钥同步系统，即通信双方如何从对称密钥池中取出相同密钥的机制。
技术介绍
由于量子计算机的发展，经典非对称加密算法将不再安全，无论是认证还是加解密领域，对称密钥算法将大行其道。因此对称密钥池的方式将是一种保证密钥安全的重要方案乃至主流方案。作为安全性升级的方案，可以对对称密钥池中的全部或部分内容进行加密存储，加密密钥可以存储到对称密钥池宿主的安全隔离装置中。后续对对称密钥池进行密钥操作时，需要由安全隔离装置解密后使用。有关对称密钥池可参见公开号为CN105337726A，专利技术名称为“基于量子密码的端对端手持设备加密方法及系统”的专利技术专利文献，公开了一种基于量子密码的端对端手持设备加密方法，其量子通信的两台密钥分发设备之间，通过QKD形成了一对对称密钥池，用于QKD双方的用户进行量子加密通信。又例如公开号为CN106452740A，专利技术名称为“一种量子通信服务站、量子密钥管理装置以及密钥配置网络和方法”的专利技术专利文献,公开了一种量子通信服务站、量子密钥管理装置，两者之间共享同样的量子随机数密钥数据块，该数据块对也可以理解为一对对称密钥池，用于双方的用户进行量子随机数密钥的加密通信。对称密钥池有分配、同步、补充、监控、取密钥等操作。分配指对称密钥池的形成和填充；同步指在对称密钥池中选取一段密钥，用于身份认证、消息认证或成为会话密钥，以备业务层使用；补充指双方同时删除已使用过的密钥区域的数据，并填充新密钥；监控指记录当前密钥池的各类使用情况，如剩余密钥量，状态机切换，工作负荷，报警信息等；取密钥即从已同步的密钥池中取出密钥进行业务层使用，如果密钥池处于同步中则不能取密钥，需等待同步完成才可进行。有关对称密钥池的密钥同步可参见公开号为CN105337726A，专利技术名称为“基于量子密码的端对端手持设备加密方法及系统”的专利技术专利文献，对称密钥池的同步依靠的是量子通信密钥的同步信息。量子通信密钥的同步信息包括量子通信密钥的编号、起始地址，量子通信密钥的长度和生存周期等。又例如公开号为CN105337726A，专利技术名称为“基于量子密码的端对端手持设备加密方法及系统”的专利技术专利文献中，密钥管理中心KMC管理着整个通信网络中任意一对对称密钥池的密钥同步和密钥更新，并监控密钥池的状态。现有技术存在的问题：1.对称密钥池同步传输时，密钥的编号、起始地址、长度和生存周期等，均是明文，造成系统安全性降低。2.对称密钥池同步有可能发生一方或两方未同步的问题，该问题会导致后续的密钥对无法继续匹配，继而导致密钥池作废。目前文献尚未提及对称密钥池同步中发生该异常情况时的处理方式。3.KMC集中控制整个网络中每一对对称密钥池的密钥同步，KMC的安全性如果受到影响，则整个网络的安全性均受到影响。
技术实现思路
本专利技术提供一种密钥同步方法，可改进目前的密钥池更新机制，安全性大大提高，更进一步的还提高了异常处理能力和便利性。一种基于对称密钥池的密钥同步方法，实施在主动同步方，该主动同步方与被动同步方之间收发的消息均以密文方式，且消息中带有供对方进行认证的认证信息。所述密钥同步方法具体包括：向被动同步方发送同步请求；接收被动同步方处理同步请求后返回的同步响应，并进行同步判断，还依照判断结果向被动同步方发送同步反馈，以及在己方相应同步。相应的，本专利技术还提供一种作为主动同步方的基于对称密钥池的密钥同步装置，包括处理器和存储器，该存储器用于存储如下指令并由处理器加载和执行：向被动同步方发送同步请求；接收被动同步方处理同步请求后返回的同步响应，并进行同步判断，还依照判断结果向被动同步方发送同步反馈，以及在己方相应同步；该主动同步方与被动同步方之间收发的消息均以密文方式，且消息中带有供对方进行认证的认证信息。一种基于对称密钥池的密钥同步方法，实施在被动同步方，该被动同步方与主动同步方之间收发的消息均以密文方式，且消息中带有供对方进行认证的认证信息。所述密钥同步方法具体包括：接收来自主动同步方的同步请求，进行是否预同步的判断，并依照判断结果向主动同步方发送同步响应，该同步响应用于主动同步方进行同步判断；接收主动同步方根据同步判断而返回的同步反馈，以及在己方相应同步。相应的，本专利技术还提供一种作为被动同步方的基于对称密钥池的密钥同步装置，包括处理器和存储器，该存储器用于存储如下指令并由处理器加载和执行：接收来自主动同步方的同步请求，进行是否预同步的判断，并依照判断结果向主动同步方发送同步响应，该同步响应用于主动同步方进行同步判断；接收主动同步方根据同步判断而返回的同步反馈，以及在己方相应同步；该被动同步方与主动同步方之间收发的消息均以密文方式，且消息中带有供对方进行认证的认证信息。一种基于对称密钥池的密钥同步方法，实施在具有对称密钥池的同步双方之间，同步双方相互发送消息时均以密文方式，且消息中带有供对方进行认证的认证信息。所述密钥同步方法具体包括：主动同步方向被动同步方发送同步请求；被动同步方收到同步请求后进行是否预同步的判断，并依照判断结果向主动同步方发送相应的同步响应；主动同步方接收同步响应，并进行同步判断，还依照判断结果向被动同步方发送同步反馈，以及在己方相应同步；被动同步方接收同步反馈，以及在己方相应同步。相应的，本专利技术还提供一种密钥同步系统，包括本专利技术所述的作为主动同步方的基于对称密钥池的密钥同步装置以及作为被动同步方的基于对称密钥池的密钥同步装置。本专利技术中同步双方即主动同步方和被动同步方之间的密钥同步不需要第三方的接入和控制，即使出现异常情况，网络的其他成员也不受影响。同步双方相互发送的消息，例如所述同步请求、同步响应、同步反馈均是以密文方式，由于双方具有对称密钥池因此可以相应的加、解密，不仅如此同步双方相互发送的消息均采用认证机制，即利用消息中携带的认证信息进行认证，关于消息认证算法本身而言可采用现有技术，例如可以是一种带密钥的哈希算法，如经典密码学中的MAC算法(如HMAC算法)。消息认证算法可以识别出篡改和伪装，既可以确认消息的完整性，也可以实现对发送方的身份认证。所述主动同步方依据应用层所需密钥的相关信息向被动同步方发送相应的同步请求。应用层的密钥需求可以是来自主动同步方自身或者是其他设备发出的请求。所述同步请求包括身份标识、密钥同步信息和消息认证码，其中密钥同步信息和消息认证码为密文形式。身份标识是为了让对方识别以及定位相应的密钥池，消息认证码即所述认证信息，用于供对方进行认证。主动同步方预计算同步后的密钥控制条目，并将该密钥控制条目以及相应的时间戳组装为所述密钥同步信息。所述密钥控制条目包含密钥地址和长度，分别对应密钥池中的：应用层密钥，用于产生应用层所需密钥；消息认证密钥，用于结合密钥同步信息生成消息认证码；消息加密密钥，用于加密所述密钥同步信息以及消息认证码获得相应的密文。在密钥池中，同步前、后的各条密钥控制条目中，密钥地址为顺序或乱序分配。密钥同步方式为同步刷新或同步更换，并记载在密钥控制条目中，主动同步方判断本次密钥同步方式，并相应的预计算同步后的密钥控制条目。需要进行密钥同步时，主动同步方本文档来自技高网...

【技术保护点】
一种基于对称密钥池的密钥同步方法，实施在主动同步方，其特征在于，该主动同步方与被动同步方之间收发的消息均以密文方式，且消息中带有供对方进行认证的认证信息。

【技术特征摘要】
1.一种基于对称密钥池的密钥同步方法，实施在主动同步方，其特征在于，该主动同步方与被动同步方之间收发的消息均以密文方式，且消息中带有供对方进行认证的认证信息。2.如权利要求1所述的基于对称密钥池的密钥同步方法，其特征在于，所述密钥同步方法具体包括：向被动同步方发送同步请求；接收被动同步方处理同步请求后返回的同步响应，并进行同步判断，还依照判断结果向被动同步方发送同步反馈，以及在己方相应同步。3.一种基于对称密钥池的密钥同步方法，实施在被动同步方，其特征在于，该被动同步方与主动同步方之间收发的消息均以密文方式，且消息中带有供对方进行认证的认证信息。4.如权利要求3所述的基于对称密钥池的密钥同步方法，其特征在于，所述密钥同步方法具体包括：接收来自主动同步方的同步请求，进行是否预同步的判断，并依照判断结果向主动同步方发送同步响应，该同步响应用于主动同步方进行同步判断；接收主动同步方根据同步判断而返回的同步反馈，以及在己方相应同步。5.一种基于对称密钥池的密钥同步方法，实施在具有对称密钥池的同步双方之间，其特征在于，同步双方相互发送消息时均以密文方式，且消息中带有供对方进行认证的认证信息。6.如权利要求5所述的基于对称密钥池的密钥同步方法，其特征在于，具体包括：主动同步方向被动同步方发送同步请求；被动同步方收到同步请求后进行是否预同步的判断，并依照判断结果向主动同步方发送相应的同步响应；主动同步方接收同步响应，并进行同步判断，还依照判断结果向被动同步方发送同步反馈，以及在己方相应同步；被动同步方接收同步反馈，以及在己方相应同步。7.如权利要求2、4或6所述的基于对称密钥池的密钥同步方法，其特征在于，所述主动同步方依据应用层所需密钥的相关信息向被动同步方发送相应的同步请求。8.如权利要求7所述的基于对称密钥池的密钥同步方法，其特征在于，所述同步请求包括身份标识、密钥同步信息和消息认证码，其中密钥同步信息和消息认证码为密文形式。9.如权利要求8所述的基于对称密钥池的密钥同步方法，其特征在于，主动同步方预计算同步后的密钥控制条目，并将该密钥控制条目以及相应的时间戳组装为所述密钥同步信息。10.如权利要求9所述的基于对称密钥池的密钥同步方法，其特征在于，所述密钥控制条目包含密钥地址和长度，分别对应密钥池中的：应用层密钥，用于产生应用层所需密钥；消息认证密钥，用于结合密钥同步信息生成消息认证码；消息加密密钥，用于加密所述密钥同步信息以及消息认证码获得相应的密文。11.如权利要求10所述的基于对称密钥池的密钥同步方法，其特征在于，密钥同步方式为同步刷新或同步更换，并记载在密钥控制条目中，主动同步方判断本次密钥同步方式，并相应的预计算同步后的密钥控制条目。12.如权利要求11所述的基于对称密钥池的密钥同步方法，其特征在于，若密钥同步方式为同步刷新，主动同步方预计算同步后的密钥控制条目时，所述应用层密钥、消息认证密钥和消息加密密钥均采用同步前的相关信息赋值；若密钥同步方式为同步更换，主动同步方预计算同步后的密钥控制条目时，所述应用层密钥、消息认证密钥和消息加密密钥均依照应用层所需密钥的相关信息赋值。13.如权利要求12所述的基于对称密钥池的密钥同步方法，其特征在于，被动同步方进行是否预同步的判断时，包括：a、判断是否进行同步刷新，若成立则进行，则依照同步刷新的方式预计算同步后的密钥控制条目；若不成立进入步骤b；b、判断是否进行同步更换，若成立则进行，则依照同步更换的方式预计算同步后的密钥控制条目；若不成立视为失败。14.如权利要求13所述的基于对称密钥池的密钥同步方法，其特征在于，步骤a中，所述判断是否进行同步刷新包括：a1、被动同步方依据同步请求中的身份标识在相应的密钥池中获得同步前的消息加密密钥，以解密同步请求得到明文形式的密钥同步信息和消息认证码；a2、在相应的密钥池中获得同步前的消息认证密钥，对步骤a1得到的消息认证码进行消息认证；若认证通过则进入步骤a3，否则进入步骤b；a3、针对步骤a1得到密钥同步信息进行变量比对；若比对通过则预计算同步后的密钥控制条目，否则进入步骤b。15.如权利要求14所述的基于对称密钥池的密钥同步方法，其特征在于，步骤b中，所述判断...

【专利技术属性】
技术研发人员：富尧，钟一民，
申请(专利权)人：浙江神州量子网络科技有限公司，
类型：发明
国别省市：浙江,33