本发明专利技术实施例公开了一种基于网络时延的密钥交换方法、系统、设备及存储介质,涉及网络测量以及信息安全技术领域,能够解决目前互联网通信过程中,会话密钥的协商必须依赖第三方密钥分发可信机构问题。本发明专利技术包括:第一用户终端将随机数写入数据包,并通过中间节点向第二用户终端传输;所述第二用户终端接收到所述数据包后,从所述数据包中读取向所述第二用户终端接直接发送所述数据包的中间节点的信息;所述第二用户终端将所述数据包向所述第一用户终端反向传输;利用所述第一用户终端和所述第二用户终端传输所述数据包的单向时延,获取会话密钥。本发明专利技术适用于会话密钥生成。
【技术实现步骤摘要】
基于网络时延的密钥交换方法、系统、设备及存储介质
本专利技术涉及网络测量以及信息安全
,尤其涉及一种基于网络时延的密钥交换方法、系统、设备及存储介质。
技术介绍
随着互联网技术的快速发展,如何在开放的网络中保证信息安全已成为一个重要的研究课题。目前,在公开的网络中保证信息安全的基本手段是对通信数据进行加密处理。目前最常用的加密方式是依赖于可信赖的第三方密钥分发中心(KDC)来进行通信密钥的分发。由于密钥分发的过程中涉及到用户身份认证的问题,所以第三方密钥分发中心(KDC)也是依赖于PKI/CA认证体系来工作的。公钥基础设施PKI(PublicKeyInfrastructure,简称PKI)是利用公钥理论和技术建立的提供安全服务的基础设施,是信息安全的核心。PKI技术采用证书管理公钥,通过第三方的可信任机构——认证中心CA(CertificateAuthority),把用户的公钥和用户的其他标识信息(如名称、E—mail、身份证号等)捆绑在一起,在Internet上验证用户的身份(其中认证机构CA是PKI系统的核心部分)。基于PKI/CA认证体系可以保证信息传输的机密性、真实性、完整性和不可否认性,从而保证信息的安全传输。但传统的PKI/CA的认证体系存在诸多安全问题,比如传统PKI/CA体系中存在的中心失效等问题会造成用户的公钥不可信,进而影响使用第三方密钥分发可信机构进行会话密钥协商的用户的信息安全。
技术实现思路
本专利技术的实施例提供一种基于网络时延的密钥交换方法、系统、设备及存储介质,能够解决目前互联网通信过程中,会话密钥的协商必须依赖第三方密钥分发可信机构问题,更好的保障用户的信息安全。为达到上述目的,本专利技术的实施例采用如下技术方案:第一方面,本申请实施例提供一种基于网络时延的密钥交换方法,包括:第一用户终端将随机数写入数据包,并通过中间节点向第二用户终端传输,其中,所述随机数表示所述数据包在中间节点的总传输次数;所述第二用户终端接收到所述数据包后,从所述数据包中读取向所述第二用户终端接直接发送所述数据包的中间节点的信息;所述第二用户终端将所述数据包向所述第一用户终端反向传输;利用所述第一用户终端和所述第二用户终端传输所述数据包的单向时延,获取会话密钥。第二方面,本申请实施例提供一种基于网络时延的密钥交换系统,由第一用户终端、第二用户终端和至少2个中间节点组成;所述第一用户终端,用于将随机数写入数据包,并通过中间节点向第二用户终端传输,其中,所述随机数表示所述数据包在中间节点的总传输次数;所述第二用户终端,用于在接收到所述数据包后,从所述数据包中读取向所述第二用户终端接直接发送所述数据包的中间节点的信息;之后,所述第二用户终端将所述数据包向所述第一用户终端反向传输;各个中间节点,用于在接收到所述数据包后,随机选择下一跳中间节点来发送所述数据包;并且,在发送所述数据包之前将上一个中间节点的信息写入所述数据包;其中,会话密钥则是利用所述第一用户终端和所述第二用户终端传输所述数据包的单向时延获取的。第三方面,本申请实施例提供一种基于网络时延的密钥交换设备,所述通信密钥交换设备至少包括处理器和存储器,所述存储器存储计算机执行指令,所述至少处理器执行所述存储器存储的计算机执行指令,使得所述通信密钥交换设备执行权利要求1至6中任一项所述的方法。第四方面,本申请实施例提供一种存储介质,存储有计算机程序或指令,当所述计算机程序或指令被运行时,实现如权利要求1至6中任一项所述的方法。本专利技术实施例提供的基于网络时延的密钥交换方法、系统、设备及存储介质,本实施例解决了目前互联网通信过程中,会话密钥的协商必须依赖第三方密钥分发可信机构问题。传统PKI/CA体系中存在的中心失效等问题会造成无法验证用户的公钥是否可信,进而影响使用第三方密钥分发可信机构进行会话密钥协商的用户的信息安全。用户可以通过基于网络时延的密钥交换方法来协商出通信密钥,保障信息安全传输。附图说明为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。图1为本专利技术实施例提供的系统实施的实例图。图2为本专利技术实施例提供的网络时延数据结果图。图3为本专利技术实施例提供的网络时延特征数据处理流程图。图4为本专利技术实施例提供的信息调和过程示意图。图5为本专利技术实施例提供的方法流程的示意图。具体实施方式为使本领域技术人员更好地理解本专利技术的技术方案,下面结合附图和具体实施方式对本专利技术作进一步详细描述。下文中将详细描述本专利技术的实施方式,所述实施方式的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施方式是示例性的,仅用于解释本专利技术,而不能解释为对本专利技术的限制。本
技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本专利技术的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。本
技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语)具有与本专利技术所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样定义,不会用理想化或过于正式的含义来解释。本实施例的设计目的,在于针对性得解决传统的PKI/CA的认证体系存在诸多安全问题,例如:1.中心失效问题,作为系统核心的根CA(CertificateAuthority,电子认证服务机构)对于黑客来说是极其明显的攻击目标,攻击成本相对较低而收益却非常大。根CA一旦被攻陷,该CA给其他用户签发的证书以及CA给自己签发的根证书都将失去作用。2.性能瓶颈问题,PKI(PublicKeyInfrastructure,公钥基础设施)系统的核心是CA,它所做的工作包括证书发放、证书更新、证书撤销、证书验证等,任务繁重且无法被代理。这很容易使CA成为整个系统的性能短板,产生瓶颈问题。3.证书配置效率问题,用户在配置证书时,要首先向CA申请证书,CA签发证书后,用户需要将签发的证书安装在个人的终端上。在一些需要批量操作的场合例如终端设备的生产线上,由于私钥的私密性和唯本文档来自技高网...
【技术保护点】
1.一种基于网络时延的密钥交换方法,其特征在于,包括:/n第一用户终端将随机数写入数据包,并通过中间节点向第二用户终端传输,其中,所述随机数表示所述数据包在中间节点的总传输次数;/n所述第二用户终端接收到所述数据包后,从所述数据包中读取向所述第二用户终端接直接发送所述数据包的中间节点的信息;/n所述第二用户终端将所述数据包向所述第一用户终端反向传输;/n利用所述第一用户终端和所述第二用户终端传输所述数据包的单向时延,获取会话密钥。/n
【技术特征摘要】
1.一种基于网络时延的密钥交换方法,其特征在于,包括:
第一用户终端将随机数写入数据包,并通过中间节点向第二用户终端传输,其中,所述随机数表示所述数据包在中间节点的总传输次数;
所述第二用户终端接收到所述数据包后,从所述数据包中读取向所述第二用户终端接直接发送所述数据包的中间节点的信息;
所述第二用户终端将所述数据包向所述第一用户终端反向传输;
利用所述第一用户终端和所述第二用户终端传输所述数据包的单向时延,获取会话密钥。
2.根据权利要求1所述的方法,其特征在于,还包括:
对于任何一个中间节点,在接收到所述数据包后,随机选择下一跳中间节点来发送所述数据包;
并且,在发送所述数据包之前将上一个中间节点的信息写入所述数据包。
3.根据权利要求1所述的方法,其特征在于,所述第一用户终端将随机数写入数据包,并通过中间节点向第二用户终端传输,包括:
所述第一用户终端生成固定长度的所述数据包,并生成一个随机数M携带在所述数据包中,之后向随机选择的一个中间节点发送,其中,M为正整数,表示所述数据包在中间节点中的总传输次数,且一共有N个中间节点,每个中间节点都和其它N-1个节点相连,N为正整数且N≥2;
每当一个中间节点接收到所述数据包后,将所述数据包的上一个节点的信息存储在本地节点的数据栈中,并将所述数据包中的M值减1,之后随机从相连的N-1个节点中选取一个节点发送所述数据包,直至M的值变为0,将所述数据包直接发送给所述第二用户终端。
4.根据权利要求1所述的方法,其特征在于,在所述利用所述第一用户终端和所述第二用户终端传输所述数据包的单向时延,获取会话密钥之前,还包括:
所述第一用户终端和所述第二用户终端,分别记录下一个数据包从发送到接收所需要的单向时延,并作为一组特征数据;
获取指定组数的特征数据,并对所有特征数据中的异常值进行修正,之后生成01比特流;
通过信息调和去除所述01比特流中不一样的比特后,得到会话密钥。
5.根据权利要求4所述的方法,其特征在于,所述对所有特征数据中的异常值进行修正,包括:
若特征数据的测量值,与平均值之差的绝对值大于标准偏差与肖维勒系数之积,则判定为异常值。
6.根...
【专利技术属性】
技术研发人员:黄杰,王威,
申请(专利权)人:网络通信与安全紫金山实验室,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。