【技术实现步骤摘要】
一种密钥协商过程主从设备的确定方法及相关装置
[0001]本申请涉及计算机安全
,尤其涉及一种密钥协商过程中主从设备的确定方法及相关装置。
技术介绍
[0002]数据加密传输是网络设备之间通信的基本安全诉求。为实现数据加密传输,两个网络设备之间通常会进行密钥协商,以协商得到用于加密传输数据的密钥。在密钥协商过程中,作为主设备的网络设备生成密钥,并将生成的密钥分发给作为从设备的网络设备。因此,在两个网络设备进行密钥协商之前,往往需要从两个网络设备中选举出主设备。
[0003]目前,相关技术中是基于网络设备的位置与网络核心位置之间的距离来实现主设备的选举。例如,对于两个网络设备而言,距离网络核心位置较近的网络设备作为主设备,而距离网络核心位置较远的网络设备则作为从设备。
[0004]然而,网络设备的安全性与网络设备的位置不具有强相关性,相关技术中的主设备选举方式并不能够保证选举出来的主设备是两个网络设备中安全性最高的网络设备,从而无法保障密钥协商过程和数据传输的安全性。
技术实现思路
[0005]本申请提供了一种密钥协商过程主从设备的确定方法,能够有效地确定安全性最高的网络设备作为主设备,有效保障了密钥协商过程和数据传输的安全性。
[0006]本申请第一方面提供一种密钥协商过程中主从设备的确定方法,包括:第一网络设备接收第二网络设备发送的第一消息,第一消息用于指示第二网络设备具备的一种或多种安全能力,该一种或多种安全能力有助于保证密钥安全。基于一种或多种安全能力以及第一网络设 ...
【技术保护点】
【技术特征摘要】
1.一种密钥协商过程中主从设备的确定方法,其特征在于,包括:第一网络设备接收第二网络设备发送的第一消息,所述第一消息用于指示所述第二网络设备具备的一种或多种安全能力,所述一种或多种安全能力有助于保证密钥安全;基于所述一种或多种安全能力以及所述第一网络设备所具备的安全能力,所述第一网络设备在所述第一网络设备和所述第二网络设备中确定主设备和从设备,所述主设备用于在密钥协商过程中生成密钥并向所述从设备分发所述密钥,所述主设备的安全能力高于所述从设备的安全能力。2.根据权利要求1所述的方法,其特征在于,所述第一消息包括第一字段,所述第一字段包括至少一个比特位,所述至少一个比特位中的每个比特位分别用于表示是否具备一种安全能力。3.根据权利要求1所述的方法,其特征在于,所述第一消息包括第一字段,所述第一字段包括至少一个标识,所述至少一个标识用于表示所述一种或多种安全能力。4.根据权利要求2或3所述的方法,其特征在于,所述第一消息还包括第二字段,所述第二字段中包括第一校验值;所述方法还包括:所述第一网络设备对所述第一字段的内容进行完整性校验,从而得到第二校验值;响应于所述第一校验值与所述第二校验值相同,所述第一网络设备确定所述第一字段的内容通过完整性校验。5.根据权利要求1
‑
4任意一项所述的方法,其特征在于,所述第一消息包括第三字段,所述第三字段包括第三校验值;所述方法还包括:所述第一网络设备对所述第一消息中除所述第三字段以外的内容进行完整性校验,从而得到第四校验值;响应于所述第三校验值与所述第四校验值相同,所述第一网络设备确定所述第一消息通过完整性校验。6.根据权利要求1
‑
5任意一项所述的方法,其特征在于,所述基于所述一种或多种安全能力以及所述第一网络设备所具备的安全能力,所述第一网络设备在所述第一网络设备和所述第二网络设备中确定主设备和从设备,包括:所述第一网络设备按照安全能力的优先级从高到低的顺序,依次比较所述一种或多种安全能力与所述第一网络设备所具备的安全能力,以在所述第一网络设备和所述第二网络设备中确定所述主设备和所述从设备;其中,所述主设备具备目标安全能力且所述从设备不具备所述目标安全能力,所述目标安全能力为所述主设备与所述从设备之间存在差别的一种或多种安全能力中优先级最高的安全能力。7.根据权利要求2所述的方法,其特征在于,所述第一字段中从左至右的多个比特位中各个比特位所表示的安全能力的优先级按照从高位到低位的顺序依次递减;所述基于所述一种或多种安全能力以及第一网络设备所具备的安全能力,所述第一网络设备在所述第一网络设备和所述第二网络设备中确定主设备和从设备,包括:所述第一网络设备基于所述第一网络设备所具备的安全能力,生成包括从左至右多个
比特位的能力值,所述从左至右的多个比特位中各个比特位所表示的安全能力的优先级按照从高位到低位的顺序依次递减;所述第一网络设备通过比较所述多个比特位所表示的值与所述能力值之间的大小,在所述第一网络设备和所述第二网络设备中确定主设备和从设备。8.根据权利要求1
‑
7任意一项所述的方法,其特征在于,所述方法还包括:所述第一网络设备向所述第二网络设备发送第二消息,所述第二消息用于指示所述第一网络设备具备的一种或多种安全能力。9.根据权利要求8所述的方法,其特征在于,所述方法还包括:所述第一网络设备生成第四字段,所述第四字段用于指示所述第一网络设备具备的一种或多种安全能力;所述第一网络设备通过预置密钥对所述第四字段进行加密,得到第五字段;所述第一网络设备根据所述第四字段和所述第五字段生成所述第二消息,所述第二消息包括所述第四字段和所述第五字段。10.根据权利要求8所述的方法,其特征在于,所述方法还包括:所述第一网络设备生成第四字段,所述第四字段用于指示所述第一网络设备具备的一种或多种安全能力;所述第一网络设备根据所述第四字段生成第三消息,所述第三消息包括所述第四字段;所述第一网络设备通过预置密钥对所述第三消息进行加密,得到第六字段;所述第一网络设备在所述第三消息中添加所述第六字段,得到所述第二消息。11.根据权利要求1
‑
10任意一项所述的方法,其特征在于,所述安全能力包括安全启动能力、硬件级密钥管理能力、可信执行环境能力、安全芯片能力或固件韧性能力中的一种或多种。12.根据权利要求1
‑
11任意一项所述的方法,其特征在于,所述第一消息携带在密钥协商报文中。13.一种密钥协商过程中主从设备的确定方法,其特征在于,包括:第一网络设备向第二网络设备发送第一消息,所述第一消息用于指示所述第一网络设备具备的一种或多种安全能力,所述一种或多种安全能力有助于保证密钥安全;所述第一网络设备接收所述第二网络设备发送的第二消息,所述第二消息用于指示在所述第一网络设备和所述第二网络设备中所确定的主设备和/或从设备,所述主设备用于在密钥协商过程中生成密钥并向所述从设备分发所述密钥,所述主设备的安全能力高于所述从设备的安全能力。14.根据权利要求13所述的方法,其特征在于,所述第一消息包括第一字段,所述第一字段包括至少一个比特位,所述至少一个比特位中的每个比特位分别用于表示是否具备一种安全能力。15.根据权利要求13所述的方法,其特征在于,所述第一消息包括第一字段,所述第一字段包括至少一个标识,所述至少一个标识用于表示所述一种或多种安全能力。16.根据权利要求13
‑
15任意一项所述的方法,其特征在于,所述方法还包括:所述第一网络设备生成第一字段,所述第一字段用于指示所述第一网络设备具备的一
种或多种安全能力;所述第一网络设备通过预置密钥对所述第一字段进行加密,得到第二字段;所述第一网络设备根据所述第一字段和所述第二字段生成所述第一消息,所述第一消息包括所述第一字段和所述第二字段。17.根据权利要求13
‑
15任意一项所述的方法,其特征在于,所述方法还包括:所述第一网络设备生成第一字段,所述第一字段用于指示所述第一网络设备具备的一种或多种安全能力;所述第一网络设备根据所述第一字段生成第三消息,所述第三消息包括所述第一字段;所述第一网络设备通过预置密钥对所述第三消息进行加密,得到第三字段;所述第一网络设备在所述第三消息中添加所述第三字段,得到所述第一消息。18.根据权利要求13
‑
17任意一项所述的方法,其特征在于,所述第一消息携带在密钥协商报文中。19.一种密...
【专利技术属性】
技术研发人员:曹斌,王瑞,庄林骏,高鹏,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。