CN112769559B - 一种基于多密钥的对称密钥同步方法 - Google Patents

Abstract

本发明适用于信息安全技术领域，提供了一种基于多密钥的对称密钥同步方法。本发明首先同步收发双方时钟，然后分别基于加、解密密钥请求时间通过查询密钥编号‑时间区间映射表来获取相应密钥编号，并以该密钥编号为中点扩展得到连续的m个密钥编号，从而得到对应的m个密钥作为当前时刻的加、解密密钥，当加、解密密钥请求时间异步误差小于等于(m‑1)倍密钥更新周期T时，接收方能对密文数据正确解密或者认证。该方法的优点在于极大降低了对收发双方时钟同步的要求，即使在收、发双方的时钟异步较大时，仍能保证收方解密成功，无需收发双方多次通信，这样大大降低了系统的通信开销。此外，由于没有任何密钥同步信息在网络中传输，提高了对称密钥的安全性。

Description

一种基于多密钥的对称密钥同步方法

技术领域

本发明涉及一种基于多密钥的对称密钥同步方法，属于信息安全技术领域。

背景技术

密码技术是实现信息安全的关键技术。对称加密技术是实现信息机密性的主要技术。对称密钥的分发和同步是支撑保密通信系统的基础。

通常，对称密钥更新过程关键在于通信双方建立对称密钥池，通过对密钥池的相关信息对齐，实现通信双方的同步更新密钥，防止密钥更新出现差错。保密通信双方同步更新密钥，需要基于对称密钥池的信息并借助通信通道传输，但是在没有通信通道进行同步信息传输的情况下，保密通信双方进行密钥更新的方法多数会基于同步时钟信息，但如何设计更为高效的对称密钥同步方法是重中之重。

发明内容

本发明所要解决的技术问题是，设计更为高效的对称密钥同步方法，以提高通信过程的安全性和效率。

本发明为了解决上述技术问题采用以下技术方案：本发明提出了一种基于多密钥的对称密钥同步方法，基于多密钥的对称密钥同步装置，实现对称密钥的同步，所述对称密钥同步装置包括加密通讯单元、与加密通讯单元通讯的密钥池A、解密通讯单元、与解密通讯单元通讯的密钥池B；其中，密钥池A和密钥池B分别存放发送方和接收方的互为对称的对称密钥，基于发送方的发送数据的请求将待加密数据经过密钥池A中的加密密钥进行加密之后得到密文并发送给接收方，密文到达接收方后，由接收方根据密钥池B中的解密密钥对密文进行解密从而获得发送方的发送数据的过程，具体通过如下步骤A至步骤E实现基于多密钥的对称密钥同步方法；

步骤A.同步密钥池A和密钥池B的内部时钟；

步骤B.加密通讯单元基于接收的明文数据产生并发送加密密钥请求至密钥池A，密钥池A根据加密密钥请求时间t_a查询获取加密密钥组M_KeyA，并将加密密钥组M_KeyA发送给加密通讯单元，加密通讯单元使用加密密钥组M_KeyA对明文数据进行加密，其中加密密钥组M_KeyA中密钥的个数为m，m为大于等于3的奇数；

步骤C.解密通讯单元基于接收的密文数据产生并发送解密密钥请求至密钥池B，密钥池B根据解密密钥请求时间t_b查询获取相应的解密密钥组M_KeyB，并将解密密钥组M_KeyB发送给解密通讯单元，解密通讯单元使用解密密钥组M_KeyB对密文数据进行解密；

步骤D.若解密密钥请求时间t_b与加密密钥请求时间t_a的时间差小于或等于(m-1)倍密钥更新周期T，则接收方解密通讯单元获取的解密密钥组M_KeyB与发送方加密通讯单元所使用的加密密钥组M_KeyA至少存在一对对称密钥，此时，接收方能对接收数据解密或者认证成功；若解密密钥请求时间t_b与加密密钥请求时间t_a的时间差大于(m-1)倍密钥更新周期时，则解密密钥组M_KeyB中不存在与加密密钥组M_KeyA对称的密钥，此时，解密或认证失败，执行步骤E；

步骤E.解密通讯单元向加密通讯单元发送待解密数据的加密密钥编号获取请求，获取加密密钥的密钥编号后，根据密钥编号从密钥池B中获取对应的解密密钥，从而对密文数据进行解密或者认证。

作为本发明的一种优选技术方案，步骤B中根据加密密钥请求时间t_a获取加密密钥组M_KeyA及步骤C中根据解密密钥请求时间t_b获取相应的解密密钥组M_KeyB的方法具体如下：

步骤1.将密钥池A和密钥池B的密钥依据其编号顺序分别表示为KeySet_A＝{K_i|i＝1,2,L}和KeySet_B＝{K_j|j＝1,2,L}，其中，K_i为密钥池A中时刻

对应的密钥，K_j为密钥池B中时刻t(t_j≤t＜t_j+T)(j＝1,2,L)对应的密钥，T为密钥更新周期，用t_i表示时间区间[t_i,t_i+T)中的任意一个时间，则K_i与t_i对应，K_i-1与t_i-1对应，K_i+1与t_i+1对应，以此类推，互为对称密钥的加密密钥与解密密钥采用同一密钥编号；

步骤2.令时间区间的长度与密钥更新周期一致，密钥编号取密钥K_i对应时间区间[t_i,t_i+T)的起点t_i的下标i，i＝1,2,L，从而获得密钥编号-时间区间映射表，并将密钥编号-时间区间映射表同时存储于密钥池A和密钥池B；

步骤3.基于密钥编号-时间区间映射表来读取加密密钥请求时间t_a所在时间区间[t_i,t_i+1)及其往前(m-1)/2和往后(m-1)/2个时间区间在内的总共m个连续时间区间对应的密钥编号序列

从而获得密钥编号序列对应的加密密钥组

步骤4.基于密钥编号-时间区间映射表来读取解密密钥请求时间t_b所在时间区间[t_j,t_j+1)及其往前(m-1)/2和往后(m-1)/2个时间区间在内的总共m个连续时间区间对应的密钥编号序列

从而获得密钥编号对应的解密密钥组

作为本发明的一种优选技术方案，步骤3和步骤4基于加密密钥请求时间或解密密钥请求时间来计算对应密钥的密钥编号，具体计算公式如下：

其中，N为密钥编号，t为加密密钥请求时间或解密密钥请求时间，T为密钥更新周期，T_star为密钥有效期的起始时间，T_star＝t₁。

作为本发明的一种优选技术方案，步骤D中，若解密密钥请求时间t_b与加密密钥请求时间t_a的时间差Δt＝|t_b-t_a|≤(m-1)T，则获取的加密密钥组

与解密密钥组

的交集不为空，即存在至少一对互为对称密钥的加密密钥和解密密钥，此时，接收方解密成功；若解密密钥请求时间t_b与加密密钥请求时间t_a的时差Δt＝|t_b-t_a|＞(m-1)T，则加密密钥组

与解密密钥组

的交集为空，此时，不存在一对互为对称密钥的加密密钥与解密密钥，此时，接收方解密失败。

作为本发明的一种优选技术方案，解密失败后的步骤E具体通过如下步骤来实现：

步骤E1.解密通讯单元向加密通讯单元发送待解密数据的加密密钥编号获取请求；

步骤E2.加密通讯单元基于加密密钥编号获取请求向解密通讯单元发送对应的加密密钥编号；

步骤E3.解密通讯单元基于加密密钥编号向密钥池B发送解密密钥请求，所述解密密钥请求内携带有与加密密钥编号相同的解密密钥编号；

步骤E4.密钥池B基于解密密钥请求向解密通讯单元发送所述解密密钥编号对应的解密密钥；

步骤E5.解密通讯单元基于解密密钥对密文数据进行解密。

作为本发明的一种优选技术方案，在步骤A执行之前首先执行如下操作：

所述密钥池A对加密通讯单元进行鉴权，若鉴权成功，则密钥池A与加密通讯单元建立通讯通道；

所述密钥池B对解密通讯单元进行鉴权，若鉴权成功，则密钥池B与解密通讯单元建立通讯通道。

作为本发明的一种优选技术方案，所述密钥池A包括：时钟A1、密钥存储模块A2，密钥管理模块A3、密钥查询模块A4、；其中，

时钟A1，控制密钥池A的时钟与外部时间同步；

密钥存储模块A2，用于存储加密密钥；

密钥管理模块A3，用于对存储在密钥存储模块A2内的所有密钥进行编号，生成密钥编号；

密钥查询模块A4，基于加密密钥请求的时间来获取密钥编号序列，并基于密钥编号序列从密钥存储模块A2中读取对应的加密密钥组，发送至加密通讯单元；

密钥池B包括：时钟B1，密钥存储模块B2，密钥管理模块B3，密钥查询模块B4；

其中，时钟B1，基于相同的外部时间控制密钥池B的时钟与密钥池A的时钟A1同步；

密钥存储模块B2，用于存储解密密钥；

密钥管理模块B3，对存储在密钥存储模块B2内的所有密钥进行编号，生成密钥编号，互为对称密钥的加密密钥与解密密钥采用相同的密钥编号进行标记；

密钥查询模块B4，基于解密密钥请求时间来获取密钥编号序列，并基于密钥编号序列从密钥存储模块B2中读取对应的解密密钥组，发送至解密通讯单元；

加密通讯单元包括：请求模块A0，加密模块；

请求模块A0，基于接收的待加密数据向密钥池A发送加密密钥请求；

加密模块，基于密钥池A返回的加密密钥组对待加密数据进行加密，并将已加密数据发送至解密通讯单元；

解密通讯单元包括：请求模块B0，解密模块；

请求模块B0，基于接收的已加密数据向密钥池B发送解密密钥请求；

解密模块基于密钥池B返回的解密密钥组对加密数据进行解密。

作为本发明的一种优选技术方案，解密通讯单元还包括：

密钥标识获取模块，用于解密失败时，向加密通讯单元发送待解密数据的加密密钥编号获取请求；

加密通讯单元还包括：

密钥标识确认模块，基于加密密钥编号获取请求来获取对应的加密密钥编号，并将加密密钥编号发送至解密通讯单元。

作为本发明的一种优选技术方案，所述密钥查询模块A4包括：加密密码编号计算子模块A401，加密密钥读取子模块A402；

加密密钥编号计算子模块A401，基于加密密钥请求的时间来计算加密密钥的密钥编号，加密密钥编号的计算公式为

其中，I为加密密钥编号，t_a为加密密钥请求时间，T为密钥更新周期，T_star为密钥有效期的起始时间；

加密密钥读取子模块A402，基于加密密钥编号序列从密钥存储模块A2中读取对应的加密密钥组，发送至加密通讯单元；

密钥查询模块B4包括：解密密钥编号计算子模块B401，解密密钥读取子模块B402；

解密密钥编号计算子模块B401，基于解密密钥请求的时间来计算解密密钥的密钥编号，解密密钥编号的计算公式为

其中，J为解密密钥编号，t_b为解密密钥请求时间，T为密钥更新周期，T_star为密钥有效期的起始时间；

解密密钥读取子模块B402，基于解密密钥编号序列从密钥存储模块B2中读取对应的解密密钥组，发送至解密通讯单元。

本发明所述一种基于多密钥的对称密钥同步方法，采用以上技术方案与现有技术相比，具有以下技术效果：

基于多密钥的对称密钥同步方法能在密钥池间无通信通道进行同步信息传输的情况下实现密钥池间的密钥同步，并且，由于采用了收发两端多密钥同步设计，使得在收发两端时钟同步条件不高的情况下仍能实现收发两端的密钥同步。此外，由于没有任何密钥同步信息在网络中传输，提高了对称密钥的安全性。

附图说明

图1为本发明一种基于多密钥的对称密钥同步方法的流程图；

图2为本发明中的基于多密钥的对称密钥同步装置结构示意图。

具体实施方式

下面结合说明书附图对本发明的具体实施方式作进一步详细的说明。

如图1所示，本发明提出了一种基于多密钥的对称密钥同步方法，基于如图2所示的基于多密钥的对称密钥同步装置，实现对称密钥的同步。

所述对称密钥同步装置包括加密通讯单元、与加密通讯单元通讯的密钥池A、解密通讯单元、与解密通讯单元通讯的密钥池B；

所述密钥池A包括：时钟A1、密钥存储模块A2，密钥管理模块A3、密钥查询模块A4、；其中，

时钟A1，控制密钥池A的时钟与外部时间同步；

密钥存储模块A2，用于存储加密密钥；

密钥管理模块A3，用于对存储在密钥存储模块A2内的所有密钥进行编号，生成密钥编号；

密钥查询模块A4，基于加密密钥请求的时间来获取密钥编号序列，并基于密钥编号序列从密钥存储模块A2中读取对应的加密密钥组，发送至加密通讯单元；

密钥查询模块A4包括：加密密码编号计算子模块A401，加密密钥读取子模块A402；

加密密钥编号计算子模块A401，基于加密密钥请求的时间来计算加密密钥的密钥编号，加密密钥编号的计算公式为

其中，I为加密密钥编号，t_a为加密密钥请求时间，T为密钥更新周期，T_star为密钥有效期的起始时间；

加密密钥读取子模块A402，基于加密密钥编号序列从密钥存储模块A2中读取对应的加密密钥组，发送至加密通讯单元；

密钥池B包括：时钟B1，密钥存储模块B2，密钥管理模块B3，密钥查询模块B4；

其中，时钟B1，基于相同的外部时间控制密钥池B的时钟与密钥池A的时钟A1同步；

密钥存储模块B2，用于存储解密密钥；

密钥管理模块B3，对存储在密钥存储模块B2内的所有密钥进行编号，生成密钥编号，互为对称密钥的加密密钥与解密密钥采用相同的密钥编号进行标记；

密钥查询模块B4，基于解密密钥请求时间来获取密钥编号序列，并基于密钥编号序列从密钥存储模块B2中读取对应的解密密钥组，发送至解密通讯单元；

密钥查询模块B4包括：解密密钥编号计算子模块B401，解密密钥读取子模块B402；

解密密钥编号计算子模块B401，基于解密密钥请求的时间来计算解密密钥的密钥编号，解密密钥编号的计算公式为

其中，J为解密密钥编号，t_b为解密密钥请求时间，T为密钥更新周期，T_star为密钥有效期的起始时间；

解密密钥读取子模块B402，基于解密密钥编号序列从密钥存储模块B2中读取对应的解密密钥组，发送至解密通讯单元。

加密通讯单元包括：请求模块A0，加密模块,密钥标识确认模块；

请求模块A0，基于接收的待加密数据向密钥池A发送加密密钥请求；

加密模块，基于密钥池A返回的加密密钥组对待加密数据进行加密，并将已加密数据发送至解密通讯单元；

密钥标识确认模块，基于加密密钥编号获取请求来获取对应的加密密钥编号，并将加密密钥编号发送至解密通讯单元。

解密通讯单元包括：请求模块B0，解密模块,密钥标识获取模块；

请求模块B0，基于接收的已加密数据向密钥池B发送解密密钥请求；

解密模块基于密钥池B返回的解密密钥组对加密数据进行解密；

密钥标识获取模块，用于解密失败时，向加密通讯单元发送待解密数据的加密密钥编号获取请求。

根据如上装置，密钥池A和密钥池B分别存放发送方和接收方的互为对称的对称密钥，基于发送方的发送数据的请求将待加密数据经过密钥池A中的加密密钥进行加密之后得到密文并发送给接收方，密文到达接收方后，由接收方根据密钥池B中的解密密钥对密文进行解密从而获得发送方的发送数据的过程，首先执行步骤A0，然后通过如下步骤A至步骤E实现基于多密钥的对称密钥同步方法；

步骤A0.所述密钥池A对加密通讯单元进行鉴权，若鉴权成功，则密钥池A与加密通讯单元建立通讯通道；

所述密钥池B对解密通讯单元进行鉴权，若鉴权成功，则密钥池B与解密通讯单元建立通讯通道。

步骤A.同步密钥池A和密钥池B的内部时钟；

步骤B.按照如下步骤1至步骤2分别在密钥池A和密钥池B中建立同样的密钥编号-时间区间映射表：

步骤1.将密钥池A和密钥池B的密钥依据其编号顺序分别表示为KeySet_A＝{K_i|i＝1,2,L}和KeySet_B＝{K_j|j＝1,2,L}，其中，K_i为密钥池A中时刻t(t_i≤t＜t_i+T)(i＝1,2,L)对应的密钥，K_j为密钥池B中时刻t(t_j≤t＜t_j+T)(j＝1,2,L)对应的密钥，T为密钥更新周期，用t_i表示时间区间[t_i,t_i+T)中的任意一个时间，则K_i与t_i对应，K_i-1与t_i-1对应，K_i+1与t_i+1对应，以此类推，互为对称密钥的加密密钥与解密密钥采用同一密钥编号；

步骤2.令时间区间的长度与密钥更新周期一致，密钥编号取密钥K_i对应时间区间[t_i,t_i+T)的起点t_i的下标i，i＝1,2,L，从而获得密钥编号-时间区间映射表如表1所示，并将密钥编号-时间区间映射表同时存储于密钥池A和密钥池B；

表1

密钥更新周期	0～T	T～2T	……	(n-1)T～nT
					密钥编号	001	002	……	00n

加密通讯单元基于接收的明文数据产生并发送加密密钥请求至密钥池A，密钥池A根据加密密钥请求时间t_a查询获取加密密钥组M_KeyA，并将加密密钥组M_KeyA发送给加密通讯单元，加密通讯单元使用加密密钥组M_KeyA对明文数据进行加密，其中加密密钥组M_KeyA中密钥的个数为m，m为大于等于3的奇数；

按照如下公式获取加密密钥请求时间t_a所在时间区间[t_i,t_i+1)及对应的密钥编号：

其中，N为密钥编号，t_a为加密密钥请求时间，T为密钥更新周期，T_star为密钥有效期的起始时间，T_star＝t₁。

密钥池A基于加密密钥请求时间t_a查询获取加密密钥组M_KeyA的方法如下所示：

基于密钥编号-时间区间映射表来读取加密密钥请求时间t_a所在时间区间[t_i,t_i+1)及其往前(m-1)/2和往后(m-1)/2个时间区间在内的总共m个连续时间区间对应的密钥编号序列

从而获得密钥编号序列对应的加密密钥组

步骤C.解密通讯单元基于接收的密文数据产生并发送解密密钥请求至密钥池B，密钥池B根据解密密钥请求时间t_b查询获取相应的解密密钥组M_KeyB，并将解密密钥组M_KeyB发送给解密通讯单元，解密通讯单元使用解密密钥组M_KeyB对密文数据进行解密；

按照如下公式获取解密密钥请求时间t_b所在时间区间[t_j,t_j+1)及对应的密钥编号：

其中，N为密钥编号，t_b为解密密钥请求时间，T为密钥更新周期，T_star为密钥有效期的起始时间，T_star＝t₁。

密钥池B根据解密密钥请求时间t_b查询获取相应的解密密钥组M_KeyB的方法如下所示：

基于密钥编号-时间区间映射表来读取解密密钥请求时间t_b所在时间区间[t_j,t_j+1)及其往前(m-1)/2和往后(m-1)/2个时间区间在内的总共m个连续时间区间对应的密钥编号序列

从而获得密钥编号对应的解密密钥组

步骤D.若解密密钥请求时间t_b与加密密钥请求时间t_a的时间差Δt＝|t_b-t_a|≤(m-1)T，则获取的加密密钥组

与解密密钥组

的交集不为空，即存在至少一对互为对称密钥的加密密钥和解密密钥，即解密成功；若解密密钥请求时间t_b与加密密钥请求时间t_a的时差Δt＝|t_b-t_a|＞(m-1)T，则加密密钥组

与解密密钥组

的交集为空，此时，不存在一对互为对称密钥的加密密钥与解密密钥，即解密失败，执行步骤E；

步骤E.通过如下步骤E1至步骤E5实现对密文数据进行解密。

步骤E1.解密通讯单元向加密通讯单元发送待解密数据的加密密钥编号获取请求；

步骤E2.加密通讯单元基于加密密钥编号获取请求向解密通讯单元发送对应的加密密钥编号；加密密钥编号的传送并不会泄露密钥的任何信息，因此，该传送过程是安全的；

步骤E3.解密通讯单元基于加密密钥编号向密钥池B发送解密密钥请求，所述解密密钥请求内携带有与加密密钥编号相同的解密密钥编号；

步骤E4.密钥池B基于解密密钥请求向解密通讯单元发送所述解密密钥编号对应的解密密钥；由于解密密钥编号与加密密钥编号相同，而互为对称密钥的加密密钥与解密密钥采用同一密钥编号进行标记，因此，此时的解密密钥与加密数据所使用的加密密钥互为对称密钥；

步骤E5.解密通讯单元基于解密密钥对密文数据进行解密。

上面结合附图对本发明的实施方式作了详细说明，但是本发明并不限于上述实施方式，在本领域普通技术人员所具备的知识范围内，还可以在不脱离本发明宗旨的前提下做出各种变化。

Claims (8)

1.一种基于多密钥的对称密钥同步方法，其特征在于，基于多密钥的对称密钥同步装置，实现对称密钥的同步，所述对称密钥同步装置包括加密通讯单元、与加密通讯单元通讯的密钥池A、解密通讯单元、与解密通讯单元通讯的密钥池B；其中，密钥池A和密钥池B分别存放发送方和接收方的互为对称的对称密钥，基于发送方的发送数据的请求将待加密数据经过密钥池A中的加密密钥进行加密之后得到密文并发送给接收方，密文到达接收方后，由接收方根据密钥池B中的解密密钥对密文进行解密从而获得发送方的发送数据的过程，具体通过如下步骤A至步骤E实现基于多密钥的对称密钥同步方法；

步骤A.同步密钥池A和密钥池B的内部时钟；

步骤B.加密通讯单元基于接收的明文数据产生并发送加密密钥请求至密钥池A，密钥池A根据加密密钥请求时间t_a查询获取加密密钥组M_KeyA，并将加密密钥组M_KeyA发送给加密通讯单元，加密通讯单元使用加密密钥组M_KeyA对明文数据进行加密，其中加密密钥组M_KeyA中密钥的个数为m，m为大于等于3的奇数；

步骤C.解密通讯单元基于接收的密文数据产生并发送解密密钥请求至密钥池B，密钥池B根据解密密钥请求时间t_b查询获取相应的解密密钥组M_KeyB，并将解密密钥组M_KeyB发送给解密通讯单元，解密通讯单元使用解密密钥组M_KeyB对密文数据进行解密；

步骤D.若解密密钥请求时间t_b与加密密钥请求时间t_a的时间差小于或等于(m-1)倍密钥更新周期T，则接收方解密通讯单元获取的解密密钥组M_KeyB与发送方加密通讯单元所使用的加密密钥组M_KeyA至少存在一对对称密钥，此时，接收方能对接收数据解密或者认证成功；若解密密钥请求时间t_b与加密密钥请求时间t_a的时间差大于(m-1)倍密钥更新周期时，则解密密钥组M_KeyB中不存在与加密密钥组M_KeyA对称的密钥，此时，解密或认证失败，执行步骤E；

其中，若解密密钥请求时间t_b与加密密钥请求时间t_a的时间差Δt＝|t_b-t_a|≤(m-1)T，则获取的加密密钥组

与解密密钥组

的交集不为空，即存在至少一对互为对称密钥的加密密钥和解密密钥，此时接收方能解密成功；若解密密钥请求时间t_b与加密密钥请求时间t_a的时差Δt＝|t_b-t_a|＞(m-1)T，则加密密钥组

与解密密钥组

的交集为空，此时，不存在一对互为对称密钥的加密密钥与解密密钥，此时，接收方解密失败；

步骤E.解密通讯单元向加密通讯单元发送待解密数据的加密密钥编号获取请求，获取加密密钥的密钥编号后，根据密钥编号从密钥池B中获取对应的解密密钥，从而对密文数据进行解密或者认证。

2.根据权利要求1所述的一种基于多密钥的对称密钥同步方法，其特征在于，步骤B中根据加密密钥请求时间t_a获取加密密钥组M_KeyA及步骤C中根据解密密钥请求时间t_b获取相应的解密密钥组M_KeyB的方法具体如下：

步骤1.将密钥池A和密钥池B的密钥依据其编号顺序分别表示为KeySet_A＝{K_i|i＝1,2,L}和KeySet_B＝{K_j|j＝1,2,L}，其中，K_i为密钥池A中时刻t(t_i≤t＜t_i+T)(i＝1,2,L)对应的密钥，K_j为密钥池B中时刻t(t_j≤t＜t_j+T)(j＝1,2,L)对应的密钥，T为密钥更新周期，用t_i表示时间区间[t_i,t_i+T)中的任意一个时间，则K_i与t_i对应，K_i-1与t_i-1对应，K_i+1与t_i+1对应，以此类推，互为对称密钥的加密密钥与解密密钥采用同一密钥编号；

步骤2.令单个时间区间的长度与密钥更新周期一致，密钥编号取密钥K_i对应时间区间[t_i,t_i+T)的起点t_i的下标i，i＝1,2,L，从而获得密钥编号-时间区间映射表，并将密钥编号-时间区间映射表同时存储于密钥池A和密钥池B；

步骤3.基于密钥编号-时间区间映射表来读取加密密钥请求时间t_a所在时间区间[t_i,t_i+1)及其往前(m-1)/2和往后(m-1)/2个时间区间在内的总共m个连续时间区间对应的密钥编号序列

从而获得密钥编号序列对应的加密密钥组

步骤4.基于密钥编号-时间区间映射表来读取解密密钥请求时间t_b所在时间区间[t_j,t_j+1)及其往前(m-1)/2和往后(m-1)/2个时间区间在内的总共m个连续时间区间对应的密钥编号序列

从而获得密钥编号对应的解密密钥组

3.根据权利要求2所述的一种基于多密钥的对称密钥同步方法，其特征在于，步骤3和步骤4中通过如下公式来获得基于加密密钥请求时间或解密密钥请求时间来计算对应密钥的密钥编号：

其中，N为密钥编号，t为加密密钥请求时间或解密密钥请求时间，T为密钥更新周期，T_star为密钥有效期的起始时间，T_star＝t₁。

4.根据权利要求1所述的一种基于多密钥的对称密钥同步方法，其特征在于，解密失败后的步骤E具体通过如下步骤来实现：

步骤E1.解密通讯单元向加密通讯单元发送待解密数据的加密密钥编号获取请求；

步骤E2.加密通讯单元基于加密密钥编号获取请求向解密通讯单元发送对应的加密密钥编号；

步骤E3.解密通讯单元基于加密密钥编号向密钥池B发送解密密钥请求，所述解密密钥请求内携带有与加密密钥编号相同的解密密钥编号；

步骤E4.密钥池B基于解密密钥请求向解密通讯单元发送所述解密密钥编号对应的解密密钥；

步骤E5.解密通讯单元基于解密密钥对密文数据进行解密。

5.根据权利要求1所述的一种基于多密钥的对称密钥同步方法，其特征在于，在步骤A执行之前首先执行如下操作：

所述密钥池A对加密通讯单元进行鉴权，若鉴权成功，则密钥池A与加密通讯单元建立通讯通道；

所述密钥池B对解密通讯单元进行鉴权，若鉴权成功，则密钥池B与解密通讯单元建立通讯通道。

6.根据权利要求1所述的一种基于多密钥的对称密钥同步方法，其特征在于，所述密钥池A包括：时钟A1、密钥存储模块A2，密钥管理模块A3、密钥查询模块A4；其中，

时钟A1，控制密钥池A的时钟与外部时间同步；

密钥存储模块A2，用于存储加密密钥；

密钥管理模块A3，用于对存储在密钥存储模块A2内的所有密钥进行编号，生成密钥编号；

密钥查询模块A4，基于加密密钥请求的时间来获取密钥编号序列，并基于密钥编号序列从密钥存储模块A2中读取对应的加密密钥组，发送至加密通讯单元；

密钥池B包括：时钟B1，密钥存储模块B2，密钥管理模块B3，密钥查询模块B4；

其中，时钟B1，基于相同的外部时间控制密钥池B的时钟与密钥池A的时钟A1同步；

密钥存储模块B2，用于存储解密密钥；

密钥管理模块B3，对存储在密钥存储模块B2内的所有密钥进行编号，生成密钥编号，互为对称密钥的加密密钥与解密密钥采用相同的密钥编号进行标记；

密钥查询模块B4，基于解密密钥请求时间来获取密钥编号序列，并基于密钥编号序列从密钥存储模块B2中读取对应的解密密钥组，发送至解密通讯单元；

加密通讯单元包括：请求模块A0，加密模块；

请求模块A0，基于接收的待加密数据向密钥池A发送加密密钥请求；

加密模块，基于密钥池A返回的加密密钥组对待加密数据进行加密，并将已加密数据发送至解密通讯单元；

解密通讯单元包括：请求模块B0，解密模块；

请求模块B0，基于接收的已加密数据向密钥池B发送解密密钥请求；

解密模块基于密钥池B返回的解密密钥组对已加密数据进行解密。

7.根据权利要求6所述的一种基于多密钥的对称密钥同步方法，其特征在于，解密通讯单元还包括：

密钥标识获取模块，用于解密失败时，向加密通讯单元发送待解密数据的加密密钥编号获取请求；

加密通讯单元还包括：

密钥标识确认模块，基于加密密钥编号获取请求来获取对应的加密密钥编号，并将加密密钥编号发送至解密通讯单元。

8.根据权利要求7所述的一种基于多密钥的对称密钥同步方法，其特征在于，所述密钥查询模块A4包括：加密密码编号计算子模块A401，加密密钥读取子模块A402；

加密密钥编号计算子模块A401，基于加密密钥请求的时间来计算加密密钥的密钥编号，加密密钥编号的计算公式为

其中，I为加密密钥编号，t_a为加密密钥请求时间，T为密钥更新周期，T_star为密钥有效期的起始时间；

加密密钥读取子模块A402，基于加密密钥编号序列从密钥存储模块A2中读取对应的加密密钥组，发送至加密通讯单元；

密钥查询模块B4包括：解密密钥编号计算子模块B401，解密密钥读取子模块B402；

解密密钥编号计算子模块B401，基于解密密钥请求的时间来计算解密密钥的密钥编号，解密密钥编号的计算公式为

其中，J为解密密钥编号，t_b为解密密钥请求时间，T为密钥更新周期，T_star为密钥有效期的起始时间；

解密密钥读取子模块B402，基于解密密钥编号序列从密钥存储模块B2中读取对应的解密密钥组，发送至解密通讯单元。

Images