CN106533659A - 一种密钥更新方法和系统 - Google Patents
一种密钥更新方法和系统 Download PDFInfo
- Publication number
- CN106533659A CN106533659A CN201510582456.8A CN201510582456A CN106533659A CN 106533659 A CN106533659 A CN 106533659A CN 201510582456 A CN201510582456 A CN 201510582456A CN 106533659 A CN106533659 A CN 106533659A
- Authority
- CN
- China
- Prior art keywords
- key
- terminal
- new
- data
- cipher
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种密钥更新方法和系统,该系统包括:密钥管理服务端,用于配置安全通道密钥策略,实现对密钥的管理;终端,将所述密钥加载于安全通道中,实现安全通信;其中,所述密钥管理服务端根据所述安全通道密钥策略实时检测所述密钥是否失效,如果所述密钥失效,则生成新密钥,并将所述新密钥加密签名后生成的密钥数据推送给所述终端;所述终端等待接收所述密钥数据,签名验证,并解密后得到所述新密钥,启动所述新密钥,在安全通道中启用所述新密钥。
Description
技术领域
本发明涉及一种网络安全领域,尤其涉及一种网络通信中的密钥更新方法和系统。
背景技术
随着国家信息化建设的不断推进,对信息安全提出了更高的要求,在信息安全方面除了采取必要的保护措施和相关的法规、政策外,努力掌握核心技术则更为重要。在保证像信息的机密性、真实性、完整性这些必要的信息安全中,公钥加密技术扮演着非常重要的角色。为了增强互联网的安全机制,主要采用防火墙技术、公开密钥加密技术、数据加密技术、数字签名、数字时间戳技术、身份认证和安全协议等。
移动网络安全接入需提供移动终端与接入设备之间的数据传输加密功能。移动终端安全组件在收到上层应用传输请求数据时,通过算法加密数据传输到接入设备,接入设备解密数据转发给后台应用;后台应用接收请求返回响应,接入设备对响应结果进行加密转发给移动终端安全组件,安全组件解密响应数据反馈给上层应用。
通过安全组件的密码传输协议形成加密数据并传输,达到一包一密,防重放、可校验的安全要求。完全支持使用国家保密局认可的算法进行加密,并具有商用密码产品资质。
目前市场上针对网络传输数据的保护,主要采用端对端的密钥协商机制,通过协商达到两端密钥一致,使用协商好的相同密钥进行传输数据安全加密,另一端安全解密。
现有的技术主要是由客户端主动向服务器端获取密钥,并且对密钥的有效期和长度限定灵活性不足。
附图1是现有技术中的密钥分发方案。
该密钥更新机制首先由密钥使用者主动发起获取或更新密钥请求包给密钥管理服务提供者,提供者校验发起者身份合法后,根据密钥配置策略生成密钥;将密钥使用对称算法加密,然后组成密钥响应包将密钥返回给密钥使用者。
上述技术密钥更新主要依靠使用方主动发起,对密钥安全控制措施较弱,并且在密钥安全传输上安全性较弱。
本发明中安全通道密钥的使用和分发并不是保护重点,重点是提出通信密钥根据策略实时更新机制。此机制将PKI安全技术与推送技术结合,实现通信密钥安全可靠即时更新。
发明内容
为了解决现有技术中密钥更新主要依靠使用方主动发起,对密钥安全控制措施较弱,并且在密钥安全传输上安全性较弱的安全问题,本发明公开了一种实施方式,具体为:
一种密钥更新方法,该方法包括如下步骤:
1)密钥管理服务端实时对使用的密钥进行检测;
2)判断所述密钥是否有效;
3)如果有效,返回步骤1),否则生成新密钥;
4)将生成的所述新密钥发送给通道服务和终端;
5)所述通道服务和终端协商所述新密钥;
6)在安全通道中启用所述新密钥;
7)销毁旧密钥。
进一步,所述步骤4)中使用所述终端的公钥对所述新密钥进行加密,同时使用所述密钥管理终端的私钥对包含经加密的新密钥的密钥数据进行签名。
进一步,所述步骤6)中启用所述新密钥之前:使用所述密钥管理服务端的所述私钥对接收的所述密钥数据进行验证签名,验证通过后使用所述终端的私钥解密所述密钥数据。
进一步,在所述步骤1)之前所述终端需要根据身份凭证进行登录,登录成功之后才能获得所述密钥,并开启所述通道服务。
为解决上述技术问题,本发明还公开了另一实施方式,具体为:
一种密钥更新方法,该方法包括如下步骤:
1)终端对实时使用的密钥进行检测;
2)判断所述密钥是否有效;
3)如果有效,返回到步骤1),否则向密钥管理服务端请求新密钥;
4)所述密钥管理服务端判断是否存在所述新密钥;
5)如果存在所述新密钥,则向通道服务和所述终端发送所述新密钥;
6)否则生成所述新密钥,然后向所述通道服务和所述终端发送所述新密钥;
7)所述通道服务和所述终端协商使用所述新密钥;
8)在安全通道中启用新密钥;
9)销毁旧密钥。
进一步,所述步骤5)-6)中使用所述终端的公钥对所述新密钥进行加密,同时使用所述密钥管理终端的私钥对包含经加密的新密钥的密钥数据进行签名。
进一步,所述步骤8)中启用所述新密钥之前:使用所述密钥管理服务端的所述私钥对接收的所述密钥数据进行验证签名,验证通过后使用所述终端的私钥解密所述密钥数据。
为解决上述技术问题,本发明还公开了另一实施方式,具体为:
一种密钥更新系统,该系统包括:
密钥管理服务端,用于配置安全通道密钥策略,实现对密钥的管理;
终端,将所述密钥加载于安全通道中,实现安全通信;
其中,所述密钥管理服务端根据所述安全通道密钥策略实时检测所述密钥是否失效,如果所述密钥失效,则生成新密钥,并将所述新密钥加密签名后生成的密钥数据推送给所述终端;
所述终端等待接收所述密钥数据,签名验证,并解密后得到所述新密钥,启动所述新密钥,在安全通道中启用所述新密钥。
进一步,所述密钥管理服务端使用所述终端的公钥对所述新密钥进行加密,同时使用所述密钥管理终端的私钥对加密后的新密钥数据进行签名,生成所述密钥数据;
所述终端启用所述新密钥之前:使用所述密钥管理服务端的所述私钥对接收的所述密钥数据进行验证签名,验证通过后使用终端的私钥解密所述密钥数据。
进一步,所述终端端登录成功之后,依据身份凭证获取对应的所述密钥,并开启通道服务,如果客户端没有登录或登录失败,则无法获取所述密钥。
通过本发明提出的方案,取得了以下技术效果:
根据策略配置,控制密钥更新灵活性,不同的角色采用不同的密钥策略,并确保策略实时更新到终端,提高网络数据传输的安全性。
附图说明
图1是现有技术中密钥更新架构图。
图2是本发明的密钥更新架构图。
图3是本发明的密钥安全传输流程图。
图4是本发明的密钥下发流程图。
图5是本发明的密钥主动更新流程图。
具体实施方式
图2是本发明的密钥更新架构图。
密钥使用者可以主动向密钥管理服务端请求更新密钥,也可以由密钥管理服务端向密钥使用者推送更新的密钥,管理管理服务端主要包括以下功能:密钥更新策略,密钥有效检测,新密钥生成,旧密钥销毁,新密钥的推送。所述的密钥使用者可以为网络移动终端等各种密钥使用终端,而密钥管理服务端可以为密钥管理服务器,鉴权中心等设施。
附图3是本发明的密钥安全传输流程图。
密钥安全传输流程如下:
密钥管理服务端获取密钥请求者的证书公钥;使用密钥请求者的证书公钥加密密钥,再对密钥加密数据信息使用密钥管理服务端证书私钥进行私钥签名;
将公钥加密数据和私钥签名数据进行组成响应包,然后发送给密钥请求者;
请求者接收到响应包后使用密钥管理服务端证书进行验证签名,再使用密钥请求者的私钥进行私钥解密;
获取解密后的密钥,将密钥加载到安全通道中。
也就是说,无论是密钥管理服务端向密钥使用者主动推送更新的密钥,还是密钥请求者主动向密钥管理服务端请求新的密钥,都会通过上述密钥安全传输流程传输更新密钥,以保证更新密钥的安全。
附图4是是密钥管理服务端向密钥使用者主动推送更新密钥的流程图。
密钥下发流程如下:
密钥管理服务端实时检测密钥是否过期;如果过期则生成新的密钥;
将新的密钥采用密钥安全传输流程下发到通道服务和终端(密钥使用者);
通道服务和终端双方协商确认新密钥启用;
新密钥启用后,将密钥加载到安全通道中,密钥管理服务端和终端(密钥使用者)销毁旧密钥。
附图5是终端(密钥使用者)主动请求更新密钥的流程图。
密钥主动更新流程如下:
终端(密钥使用者)实时检测密钥是否过期;如果过期则向密钥管理服务端发送密钥更新请求;
密钥管理服务接收请求后,判断在服务器端是否存在新的密钥,如果没有,则创建新的密钥;
将新的密钥采用密钥安全传输流程下发到通道服务和终端(密钥使用者);
通道服务和终端双方协商确认新密钥启用;
新密钥启用后,将密钥加载到安全通道中,密钥管理服务端和终端(密钥使用者)销毁旧密钥。
技术实现过程中主要涉及以下几个关键技术:
1)密钥策略:密钥策略配置与解析
负责设置密钥有效期、密钥长度、复杂度等配置,负责密钥策略按照用户、角色进行分发。
2)密钥推送:密钥实时推送
为了保证密钥能即时生效,提供新密钥实时推送。
3)安全通道:安全通道服务管理
提供安全通道服务,密钥实时更新加载。
4)身份认证:客户端身份信息验证
客户端登录成功之后,依据身份凭证获取对应的安全通道加密密钥。如果客户端没有登录或登录失败,则无法开启通道服务。
5)终端加解密模块
为了保护数据,用户发出的数据经过终端加密模块进行加密,加密后的数据在公网上传输后到达安全网关,安全网关使用解密模块进行解密。
为了保护安全通道密钥在网络中传输的安全,在密钥管理服务端生成安全通道密钥时,将安全通道密钥采用用户证书进行加密并签名;将加密数据签名后的数据传送给终端,终端接收后先使用密钥管理服务的证书进行验证签名,在使用用户私钥进行解密操作,获取安全通道密钥数据。
附图6是将本发明的密钥更新方案用于VPN网络时的一个实施例。
部署安全方案后,首先在VPN安全网关策略模块中配置安全通道密钥策略,配置密钥长度、有效期、复杂度等信息。
VPN客户端登录进行身份认证,身份认证成功后,在VPN网关生成安全通道密钥数据,将密钥数据采用登录用户证书进行加密,并采用VPN网关密钥证书进行签名;然后将签名数据发送到VPN客户端。
VPN客户端接收到数据后,先使用网关证书对数据进行验证签名,在使用登录用户证书私钥进行解密,获取解密后的安全通道密钥;将安全通道密钥加载到安全通道模块,要加密的数据就采用此密钥进行加解密操作。
网关密钥管理服务在后台实时检测用户密钥是否失效,如果密钥失效,则生成新的密钥,通过推送模块,推送给VPN客户端;另外同时VPN客户端密钥管理模块在后台等待接收新密钥并加载到安全通道服务。
通过本发明的实施例,可以实现根据策略配置,控制密钥更新灵活性,不同的角色采用不同的密钥策略,并确保策略实时更新到终端,提高网络数据传输的安全性。。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换以及改进等,均应保护在本发明的保护范围之内。
Claims (10)
1.一种密钥更新方法,该方法包括如下步骤:
1)密钥管理服务端实时对使用的密钥进行检测;
2)判断所述密钥是否有效;
3)如果有效,返回步骤1),否则生成新密钥;
4)将生成的所述新密钥发送给通道服务和终端;
5)所述通道服务和终端协商所述新密钥;
6)在安全通道中启用所述新密钥;
7)销毁旧密钥。
2.根据权利要求1所述的方法,所述步骤4)中使用所述终端的公钥对所述新密钥进行加密,同时使用所述密钥管理服务端的私钥对包含经加密的新密钥的密钥数据进行签名。
3.根据权利要求2所述的方法,所述步骤6)中启用所述新密钥之前:使用所述密钥管理服务端的所述私钥对接收的所述密钥数据进行验证签名,验证通过后使用所述终端的私钥解密所述密钥数据。
4.根据权利要求1所述的方法,在所述步骤1)之前所述终端需要根据身份凭证进行登录,登录成功之后才能获得所述密钥,并开启所述通道服务。
5.一种密钥更新方法,该方法包括如下步骤:
1)终端对实时使用的密钥进行检测;
2)判断所述密钥是否有效;
3)如果有效,返回到步骤1),否则向密钥管理服务端请求新密钥;
4)所述密钥管理服务端判断是否存在所述新密钥;
5)如果存在所述新密钥,则向通道服务和所述终端发送所述新密钥;
6)否则生成所述新密钥,然后向所述通道服务和所述终端发送所述新密钥;
7)所述通道服务和所述终端协商使用所述新密钥;
8)在安全通道中启用新密钥;
9)销毁旧密钥。
6.根据权利要求5所述的方法,所述步骤5)-6)中使用所述终端的公钥对所述新密钥进行加密,同时使用所述密钥管理终端的私钥对包含经加密的新密钥的密钥数据进行签名。
7.根据权利要求6所述的方法,所述步骤8)中启用所述新密钥之前:使用所述密钥管理服务端的所述私钥对接收的所述密钥数据进行验证签名,验证通过后使用所述终端的私钥解密所述密钥数据。
8.一种密钥更新系统,该系统包括:
密钥管理服务端,用于配置安全通道密钥策略,实现对密钥的管理;
终端,将所述密钥加载于安全通道中,实现安全通信;
其中,所述密钥管理服务端根据所述安全通道密钥策略实时检测所述密钥是否失效,如果所述密钥失效,则生成新密钥,并将所述新密钥加密签名后生成的密钥数据推送给所述终端;
所述终端等待接收所述密钥数据,签名验证,并解密后得到所述新密钥,启动所述新密钥,在安全通道中启用所述新密钥。
9.根据权利要求8所述的系统,所述密钥管理服务端使用所述终端的公钥对所述新密钥进行加密,同时使用所述密钥管理终端的私钥对加密后的新密钥数据进行签名,生成所述密钥数据;
所述终端启用所述新密钥之前:使用所述密钥管理服务端的所述私钥对接收的所述密钥数据进行验证签名,验证通过后使用终端的私钥解密所述密钥数据。
10.根据权利要求8或9所述的系统,所述终端端登录成功之后,依据身份凭证获取对应的所述密钥,并开启通道服务,如果客户端没有登录或登录失败,则无法获取所述密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510582456.8A CN106533659A (zh) | 2015-09-14 | 2015-09-14 | 一种密钥更新方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510582456.8A CN106533659A (zh) | 2015-09-14 | 2015-09-14 | 一种密钥更新方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106533659A true CN106533659A (zh) | 2017-03-22 |
Family
ID=58348997
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510582456.8A Pending CN106533659A (zh) | 2015-09-14 | 2015-09-14 | 一种密钥更新方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106533659A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109274490A (zh) * | 2018-09-25 | 2019-01-25 | 苏州科达科技股份有限公司 | Srtp码流主密钥更新方法、系统、设备及存储介质 |
| CN109547445A (zh) * | 2018-11-27 | 2019-03-29 | 北京酷我科技有限公司 | 一种验证客户端网络请求合法的方法及系统 |
| CN110351082A (zh) * | 2019-07-12 | 2019-10-18 | 上海瀚银信息技术有限公司 | 一种密钥管理系统 |
| CN111200491A (zh) * | 2018-11-20 | 2020-05-26 | 千寻位置网络有限公司 | 密钥的更新、数据解密方法及装置、客户端及交互系统 |
| CN111490880A (zh) * | 2020-05-12 | 2020-08-04 | 上海明略人工智能(集团)有限公司 | 文件的接收方法及装置 |
| CN112532392A (zh) * | 2020-11-16 | 2021-03-19 | 中信银行股份有限公司 | 密钥处理方法、装置、设备及存储介质 |
| CN112583588A (zh) * | 2020-12-08 | 2021-03-30 | 四川虹微技术有限公司 | 一种通信方法及装置、可读存储介质 |
| WO2022110968A1 (zh) * | 2020-11-27 | 2022-06-02 | 中国银联股份有限公司 | 一种动态密钥生成方法和系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101262343A (zh) * | 2007-03-05 | 2008-09-10 | 鸿富锦精密工业(深圳)有限公司 | 无线装置及其密钥交换方法 |
| CN101674578A (zh) * | 2008-09-12 | 2010-03-17 | 中兴通讯股份有限公司 | 一种家庭基站安全接入网络的方法及系统 |
| CN101729247A (zh) * | 2008-10-22 | 2010-06-09 | 中兴通讯股份有限公司 | 密钥更新方法和系统 |
| EP2197147A1 (en) * | 2007-09-28 | 2010-06-16 | Huawei Technologies Co., Ltd. | The method and device for updating the key in the active state |
| CN102447679A (zh) * | 2010-10-09 | 2012-05-09 | 中兴通讯股份有限公司 | 一种保障对等网络数据安全的方法及系统 |
| CN102457844A (zh) * | 2010-10-28 | 2012-05-16 | 中兴通讯股份有限公司 | 一种m2m组认证中组密钥管理方法及系统 |
-
2015
- 2015-09-14 CN CN201510582456.8A patent/CN106533659A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101262343A (zh) * | 2007-03-05 | 2008-09-10 | 鸿富锦精密工业(深圳)有限公司 | 无线装置及其密钥交换方法 |
| EP2197147A1 (en) * | 2007-09-28 | 2010-06-16 | Huawei Technologies Co., Ltd. | The method and device for updating the key in the active state |
| CN101674578A (zh) * | 2008-09-12 | 2010-03-17 | 中兴通讯股份有限公司 | 一种家庭基站安全接入网络的方法及系统 |
| CN101729247A (zh) * | 2008-10-22 | 2010-06-09 | 中兴通讯股份有限公司 | 密钥更新方法和系统 |
| CN102447679A (zh) * | 2010-10-09 | 2012-05-09 | 中兴通讯股份有限公司 | 一种保障对等网络数据安全的方法及系统 |
| CN102457844A (zh) * | 2010-10-28 | 2012-05-16 | 中兴通讯股份有限公司 | 一种m2m组认证中组密钥管理方法及系统 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109274490A (zh) * | 2018-09-25 | 2019-01-25 | 苏州科达科技股份有限公司 | Srtp码流主密钥更新方法、系统、设备及存储介质 |
| CN111200491A (zh) * | 2018-11-20 | 2020-05-26 | 千寻位置网络有限公司 | 密钥的更新、数据解密方法及装置、客户端及交互系统 |
| CN109547445A (zh) * | 2018-11-27 | 2019-03-29 | 北京酷我科技有限公司 | 一种验证客户端网络请求合法的方法及系统 |
| CN109547445B (zh) * | 2018-11-27 | 2021-05-14 | 北京酷我科技有限公司 | 一种验证客户端网络请求合法的方法及系统 |
| CN110351082A (zh) * | 2019-07-12 | 2019-10-18 | 上海瀚银信息技术有限公司 | 一种密钥管理系统 |
| CN111490880A (zh) * | 2020-05-12 | 2020-08-04 | 上海明略人工智能(集团)有限公司 | 文件的接收方法及装置 |
| CN111490880B (zh) * | 2020-05-12 | 2023-10-20 | 上海明略人工智能(集团)有限公司 | 文件的接收方法及装置 |
| CN112532392A (zh) * | 2020-11-16 | 2021-03-19 | 中信银行股份有限公司 | 密钥处理方法、装置、设备及存储介质 |
| CN112532392B (zh) * | 2020-11-16 | 2022-10-25 | 中信银行股份有限公司 | 密钥处理方法、装置、设备及存储介质 |
| WO2022110968A1 (zh) * | 2020-11-27 | 2022-06-02 | 中国银联股份有限公司 | 一种动态密钥生成方法和系统 |
| CN112583588A (zh) * | 2020-12-08 | 2021-03-30 | 四川虹微技术有限公司 | 一种通信方法及装置、可读存储介质 |
| CN112583588B (zh) * | 2020-12-08 | 2022-06-21 | 四川虹微技术有限公司 | 一种通信方法及装置、可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106533659A (zh) | 一种密钥更新方法和系统 | |
| CN104702611B (zh) | 一种保护安全套接层会话密钥的设备及方法 | |
| CN101272616B (zh) | 一种无线城域网的安全接入方法 | |
| JP5118048B2 (ja) | セキュリティ・アソシエーションを確立するための方法および装置 | |
| CN103428221B (zh) | 对移动应用的安全登录方法、系统和装置 | |
| CN109194656A (zh) | 一种配电无线终端安全接入的方法 | |
| US8904195B1 (en) | Methods and systems for secure communications between client applications and secure elements in mobile devices | |
| CN106878016A (zh) | 数据发送、接收方法及装置 | |
| CN103001976A (zh) | 一种安全的网络信息传输方法 | |
| CN108880995B (zh) | 基于区块链的陌生社交网络用户信息及消息推送加密方法 | |
| CA2546553A1 (en) | System and method for provisioning and authenticating via a network | |
| US20070101136A1 (en) | Secure login method for establishing a wireless local area network connection, and wireless local area network system | |
| WO2008116060A1 (en) | Secure electronic messaging system requiring key retrieval for deriving decryption key | |
| CN107888560A (zh) | 一种移动智能终端邮件安全传输系统及方法 | |
| JP2008099267A (ja) | ネットワーク内で無線端末と設備との間のセッションを保護する方法 | |
| CN103079200A (zh) | 一种无线接入的认证方法、系统及无线路由器 | |
| CN105956496A (zh) | 一种共享存储文件的安全保密方法 | |
| CN112104604A (zh) | 基于电力物联管理平台的安全接入服务实现系统及方法 | |
| CN114006736B (zh) | 一种基于硬件密码设备的即时通信消息保护系统及方法 | |
| CN104243494A (zh) | 一种数据处理方法 | |
| CZ2013373A3 (cs) | Způsob autentizace bezpečného datového kanálu | |
| CN113572788A (zh) | BACnet/IP协议设备认证安全方法 | |
| KR102219086B1 (ko) | 드론(Unnamed Aerial vehicle)시스템을 위한 HMAC기반의 송신원 인증 및 비밀키 공유 방법 및 시스템 | |
| CN105245338B (zh) | 一种认证方法及装置系统 | |
| CN100499453C (zh) | 一种客户端认证的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170322 |