CN112769559B - 一种基于多密钥的对称密钥同步方法 - Google Patents
一种基于多密钥的对称密钥同步方法 Download PDFInfo
- Publication number
- CN112769559B CN112769559B CN202011627700.5A CN202011627700A CN112769559B CN 112769559 B CN112769559 B CN 112769559B CN 202011627700 A CN202011627700 A CN 202011627700A CN 112769559 B CN112769559 B CN 112769559B
- Authority
- CN
- China
- Prior art keywords
- key
- decryption
- encryption
- time
- communication unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04J—MULTIPLEX COMMUNICATION
- H04J3/00—Time-division multiplex systems
- H04J3/02—Details
- H04J3/06—Synchronising arrangements
- H04J3/0635—Clock or time synchronisation in a network
- H04J3/0638—Clock or time synchronisation among nodes; Internode synchronisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明适用于信息安全技术领域,提供了一种基于多密钥的对称密钥同步方法。本发明首先同步收发双方时钟,然后分别基于加、解密密钥请求时间通过查询密钥编号‑时间区间映射表来获取相应密钥编号,并以该密钥编号为中点扩展得到连续的m个密钥编号,从而得到对应的m个密钥作为当前时刻的加、解密密钥,当加、解密密钥请求时间异步误差小于等于(m‑1)倍密钥更新周期T时,接收方能对密文数据正确解密或者认证。该方法的优点在于极大降低了对收发双方时钟同步的要求,即使在收、发双方的时钟异步较大时,仍能保证收方解密成功,无需收发双方多次通信,这样大大降低了系统的通信开销。此外,由于没有任何密钥同步信息在网络中传输,提高了对称密钥的安全性。
Description
技术领域
本发明涉及一种基于多密钥的对称密钥同步方法,属于信息安全技术领域。
背景技术
密码技术是实现信息安全的关键技术。对称加密技术是实现信息机密性的主要技术。对称密钥的分发和同步是支撑保密通信系统的基础。
通常,对称密钥更新过程关键在于通信双方建立对称密钥池,通过对密钥池的相关信息对齐,实现通信双方的同步更新密钥,防止密钥更新出现差错。保密通信双方同步更新密钥,需要基于对称密钥池的信息并借助通信通道传输,但是在没有通信通道进行同步信息传输的情况下,保密通信双方进行密钥更新的方法多数会基于同步时钟信息,但如何设计更为高效的对称密钥同步方法是重中之重。
发明内容
本发明所要解决的技术问题是,设计更为高效的对称密钥同步方法,以提高通信过程的安全性和效率。
本发明为了解决上述技术问题采用以下技术方案:本发明提出了一种基于多密钥的对称密钥同步方法,基于多密钥的对称密钥同步装置,实现对称密钥的同步,所述对称密钥同步装置包括加密通讯单元、与加密通讯单元通讯的密钥池A、解密通讯单元、与解密通讯单元通讯的密钥池B;其中,密钥池A和密钥池B分别存放发送方和接收方的互为对称的对称密钥,基于发送方的发送数据的请求将待加密数据经过密钥池A中的加密密钥进行加密之后得到密文并发送给接收方,密文到达接收方后,由接收方根据密钥池B中的解密密钥对密文进行解密从而获得发送方的发送数据的过程,具体通过如下步骤A至步骤E实现基于多密钥的对称密钥同步方法;
步骤A.同步密钥池A和密钥池B的内部时钟;
步骤B.加密通讯单元基于接收的明文数据产生并发送加密密钥请求至密钥池A,密钥池A根据加密密钥请求时间ta查询获取加密密钥组M_KeyA,并将加密密钥组M_KeyA发送给加密通讯单元,加密通讯单元使用加密密钥组M_KeyA对明文数据进行加密,其中加密密钥组M_KeyA中密钥的个数为m,m为大于等于3的奇数;
步骤C.解密通讯单元基于接收的密文数据产生并发送解密密钥请求至密钥池B,密钥池B根据解密密钥请求时间tb查询获取相应的解密密钥组M_KeyB,并将解密密钥组M_KeyB发送给解密通讯单元,解密通讯单元使用解密密钥组M_KeyB对密文数据进行解密;
步骤D.若解密密钥请求时间tb与加密密钥请求时间ta的时间差小于或等于(m-1)倍密钥更新周期T,则接收方解密通讯单元获取的解密密钥组M_KeyB与发送方加密通讯单元所使用的加密密钥组M_KeyA至少存在一对对称密钥,此时,接收方能对接收数据解密或者认证成功;若解密密钥请求时间tb与加密密钥请求时间ta的时间差大于(m-1)倍密钥更新周期时,则解密密钥组M_KeyB中不存在与加密密钥组M_KeyA对称的密钥,此时,解密或认证失败,执行步骤E;
步骤E.解密通讯单元向加密通讯单元发送待解密数据的加密密钥编号获取请求,获取加密密钥的密钥编号后,根据密钥编号从密钥池B中获取对应的解密密钥,从而对密文数据进行解密或者认证。
作为本发明的一种优选技术方案,步骤B中根据加密密钥请求时间ta获取加密密钥组M_KeyA及步骤C中根据解密密钥请求时间tb获取相应的解密密钥组M_KeyB的方法具体如下:
步骤1.将密钥池A和密钥池B的密钥依据其编号顺序分别表示为KeySetA={Ki|i=1,2,L}和KeySetB={Kj|j=1,2,L},其中,Ki为密钥池A中时刻对应的密钥,Kj为密钥池B中时刻t(tj≤t<tj+T)(j=1,2,L)对应的密钥,T为密钥更新周期,用ti表示时间区间[ti,ti+T)中的任意一个时间,则Ki与ti对应,Ki-1与ti-1对应,Ki+1与ti+1对应,以此类推,互为对称密钥的加密密钥与解密密钥采用同一密钥编号;
步骤2.令时间区间的长度与密钥更新周期一致,密钥编号取密钥Ki对应时间区间[ti,ti+T)的起点ti的下标i,i=1,2,L,从而获得密钥编号-时间区间映射表,并将密钥编号-时间区间映射表同时存储于密钥池A和密钥池B;
步骤3.基于密钥编号-时间区间映射表来读取加密密钥请求时间ta所在时间区间[ti,ti+1)及其往前(m-1)/2和往后(m-1)/2个时间区间在内的总共m个连续时间区间对应的密钥编号序列从而获得密钥编号序列对应的加密密钥组
步骤4.基于密钥编号-时间区间映射表来读取解密密钥请求时间tb所在时间区间[tj,tj+1)及其往前(m-1)/2和往后(m-1)/2个时间区间在内的总共m个连续时间区间对应的密钥编号序列从而获得密钥编号对应的解密密钥组
作为本发明的一种优选技术方案,步骤3和步骤4基于加密密钥请求时间或解密密钥请求时间来计算对应密钥的密钥编号,具体计算公式如下:
其中,N为密钥编号,t为加密密钥请求时间或解密密钥请求时间,T为密钥更新周期,Tstar为密钥有效期的起始时间,Tstar=t1。
作为本发明的一种优选技术方案,步骤D中,若解密密钥请求时间tb与加密密钥请求时间ta的时间差Δt=|tb-ta|≤(m-1)T,则获取的加密密钥组与解密密钥组的交集不为空,即存在至少一对互为对称密钥的加密密钥和解密密钥,此时,接收方解密成功;若解密密钥请求时间tb与加密密钥请求时间ta的时差Δt=|tb-ta|>(m-1)T,则加密密钥组与解密密钥组的交集为空,此时,不存在一对互为对称密钥的加密密钥与解密密钥,此时,接收方解密失败。
作为本发明的一种优选技术方案,解密失败后的步骤E具体通过如下步骤来实现:
步骤E1.解密通讯单元向加密通讯单元发送待解密数据的加密密钥编号获取请求;
步骤E2.加密通讯单元基于加密密钥编号获取请求向解密通讯单元发送对应的加密密钥编号;
步骤E3.解密通讯单元基于加密密钥编号向密钥池B发送解密密钥请求,所述解密密钥请求内携带有与加密密钥编号相同的解密密钥编号;
步骤E4.密钥池B基于解密密钥请求向解密通讯单元发送所述解密密钥编号对应的解密密钥;
步骤E5.解密通讯单元基于解密密钥对密文数据进行解密。
作为本发明的一种优选技术方案,在步骤A执行之前首先执行如下操作:
所述密钥池A对加密通讯单元进行鉴权,若鉴权成功,则密钥池A与加密通讯单元建立通讯通道;
所述密钥池B对解密通讯单元进行鉴权,若鉴权成功,则密钥池B与解密通讯单元建立通讯通道。
作为本发明的一种优选技术方案,所述密钥池A包括:时钟A1、密钥存储模块A2,密钥管理模块A3、密钥查询模块A4、;其中,
时钟A1,控制密钥池A的时钟与外部时间同步;
密钥存储模块A2,用于存储加密密钥;
密钥管理模块A3,用于对存储在密钥存储模块A2内的所有密钥进行编号,生成密钥编号;
密钥查询模块A4,基于加密密钥请求的时间来获取密钥编号序列,并基于密钥编号序列从密钥存储模块A2中读取对应的加密密钥组,发送至加密通讯单元;
密钥池B包括:时钟B1,密钥存储模块B2,密钥管理模块B3,密钥查询模块B4;
其中,时钟B1,基于相同的外部时间控制密钥池B的时钟与密钥池A的时钟A1同步;
密钥存储模块B2,用于存储解密密钥;
密钥管理模块B3,对存储在密钥存储模块B2内的所有密钥进行编号,生成密钥编号,互为对称密钥的加密密钥与解密密钥采用相同的密钥编号进行标记;
密钥查询模块B4,基于解密密钥请求时间来获取密钥编号序列,并基于密钥编号序列从密钥存储模块B2中读取对应的解密密钥组,发送至解密通讯单元;
加密通讯单元包括:请求模块A0,加密模块;
请求模块A0,基于接收的待加密数据向密钥池A发送加密密钥请求;
加密模块,基于密钥池A返回的加密密钥组对待加密数据进行加密,并将已加密数据发送至解密通讯单元;
解密通讯单元包括:请求模块B0,解密模块;
请求模块B0,基于接收的已加密数据向密钥池B发送解密密钥请求;
解密模块基于密钥池B返回的解密密钥组对加密数据进行解密。
作为本发明的一种优选技术方案,解密通讯单元还包括:
密钥标识获取模块,用于解密失败时,向加密通讯单元发送待解密数据的加密密钥编号获取请求;
加密通讯单元还包括:
密钥标识确认模块,基于加密密钥编号获取请求来获取对应的加密密钥编号,并将加密密钥编号发送至解密通讯单元。
作为本发明的一种优选技术方案,所述密钥查询模块A4包括:加密密码编号计算子模块A401,加密密钥读取子模块A402;
加密密钥编号计算子模块A401,基于加密密钥请求的时间来计算加密密钥的密钥编号,加密密钥编号的计算公式为其中,I为加密密钥编号,ta为加密密钥请求时间,T为密钥更新周期,Tstar为密钥有效期的起始时间;
加密密钥读取子模块A402,基于加密密钥编号序列从密钥存储模块A2中读取对应的加密密钥组,发送至加密通讯单元;
密钥查询模块B4包括:解密密钥编号计算子模块B401,解密密钥读取子模块B402;
解密密钥编号计算子模块B401,基于解密密钥请求的时间来计算解密密钥的密钥编号,解密密钥编号的计算公式为其中,J为解密密钥编号,tb为解密密钥请求时间,T为密钥更新周期,Tstar为密钥有效期的起始时间;
解密密钥读取子模块B402,基于解密密钥编号序列从密钥存储模块B2中读取对应的解密密钥组,发送至解密通讯单元。
本发明所述一种基于多密钥的对称密钥同步方法,采用以上技术方案与现有技术相比,具有以下技术效果:
基于多密钥的对称密钥同步方法能在密钥池间无通信通道进行同步信息传输的情况下实现密钥池间的密钥同步,并且,由于采用了收发两端多密钥同步设计,使得在收发两端时钟同步条件不高的情况下仍能实现收发两端的密钥同步。此外,由于没有任何密钥同步信息在网络中传输,提高了对称密钥的安全性。
附图说明
图1为本发明一种基于多密钥的对称密钥同步方法的流程图;
图2为本发明中的基于多密钥的对称密钥同步装置结构示意图。
具体实施方式
下面结合说明书附图对本发明的具体实施方式作进一步详细的说明。
如图1所示,本发明提出了一种基于多密钥的对称密钥同步方法,基于如图2所示的基于多密钥的对称密钥同步装置,实现对称密钥的同步。
所述对称密钥同步装置包括加密通讯单元、与加密通讯单元通讯的密钥池A、解密通讯单元、与解密通讯单元通讯的密钥池B;
所述密钥池A包括:时钟A1、密钥存储模块A2,密钥管理模块A3、密钥查询模块A4、;其中,
时钟A1,控制密钥池A的时钟与外部时间同步;
密钥存储模块A2,用于存储加密密钥;
密钥管理模块A3,用于对存储在密钥存储模块A2内的所有密钥进行编号,生成密钥编号;
密钥查询模块A4,基于加密密钥请求的时间来获取密钥编号序列,并基于密钥编号序列从密钥存储模块A2中读取对应的加密密钥组,发送至加密通讯单元;
密钥查询模块A4包括:加密密码编号计算子模块A401,加密密钥读取子模块A402;
加密密钥编号计算子模块A401,基于加密密钥请求的时间来计算加密密钥的密钥编号,加密密钥编号的计算公式为其中,I为加密密钥编号,ta为加密密钥请求时间,T为密钥更新周期,Tstar为密钥有效期的起始时间;
加密密钥读取子模块A402,基于加密密钥编号序列从密钥存储模块A2中读取对应的加密密钥组,发送至加密通讯单元;
密钥池B包括:时钟B1,密钥存储模块B2,密钥管理模块B3,密钥查询模块B4;
其中,时钟B1,基于相同的外部时间控制密钥池B的时钟与密钥池A的时钟A1同步;
密钥存储模块B2,用于存储解密密钥;
密钥管理模块B3,对存储在密钥存储模块B2内的所有密钥进行编号,生成密钥编号,互为对称密钥的加密密钥与解密密钥采用相同的密钥编号进行标记;
密钥查询模块B4,基于解密密钥请求时间来获取密钥编号序列,并基于密钥编号序列从密钥存储模块B2中读取对应的解密密钥组,发送至解密通讯单元;
密钥查询模块B4包括:解密密钥编号计算子模块B401,解密密钥读取子模块B402;
解密密钥编号计算子模块B401,基于解密密钥请求的时间来计算解密密钥的密钥编号,解密密钥编号的计算公式为其中,J为解密密钥编号,tb为解密密钥请求时间,T为密钥更新周期,Tstar为密钥有效期的起始时间;
解密密钥读取子模块B402,基于解密密钥编号序列从密钥存储模块B2中读取对应的解密密钥组,发送至解密通讯单元。
加密通讯单元包括:请求模块A0,加密模块,密钥标识确认模块;
请求模块A0,基于接收的待加密数据向密钥池A发送加密密钥请求;
加密模块,基于密钥池A返回的加密密钥组对待加密数据进行加密,并将已加密数据发送至解密通讯单元;
密钥标识确认模块,基于加密密钥编号获取请求来获取对应的加密密钥编号,并将加密密钥编号发送至解密通讯单元。
解密通讯单元包括:请求模块B0,解密模块,密钥标识获取模块;
请求模块B0,基于接收的已加密数据向密钥池B发送解密密钥请求;
解密模块基于密钥池B返回的解密密钥组对加密数据进行解密;
密钥标识获取模块,用于解密失败时,向加密通讯单元发送待解密数据的加密密钥编号获取请求。
根据如上装置,密钥池A和密钥池B分别存放发送方和接收方的互为对称的对称密钥,基于发送方的发送数据的请求将待加密数据经过密钥池A中的加密密钥进行加密之后得到密文并发送给接收方,密文到达接收方后,由接收方根据密钥池B中的解密密钥对密文进行解密从而获得发送方的发送数据的过程,首先执行步骤A0,然后通过如下步骤A至步骤E实现基于多密钥的对称密钥同步方法;
步骤A0.所述密钥池A对加密通讯单元进行鉴权,若鉴权成功,则密钥池A与加密通讯单元建立通讯通道;
所述密钥池B对解密通讯单元进行鉴权,若鉴权成功,则密钥池B与解密通讯单元建立通讯通道。
步骤A.同步密钥池A和密钥池B的内部时钟;
步骤B.按照如下步骤1至步骤2分别在密钥池A和密钥池B中建立同样的密钥编号-时间区间映射表:
步骤1.将密钥池A和密钥池B的密钥依据其编号顺序分别表示为KeySetA={Ki|i=1,2,L}和KeySetB={Kj|j=1,2,L},其中,Ki为密钥池A中时刻t(ti≤t<ti+T)(i=1,2,L)对应的密钥,Kj为密钥池B中时刻t(tj≤t<tj+T)(j=1,2,L)对应的密钥,T为密钥更新周期,用ti表示时间区间[ti,ti+T)中的任意一个时间,则Ki与ti对应,Ki-1与ti-1对应,Ki+1与ti+1对应,以此类推,互为对称密钥的加密密钥与解密密钥采用同一密钥编号;
步骤2.令时间区间的长度与密钥更新周期一致,密钥编号取密钥Ki对应时间区间[ti,ti+T)的起点ti的下标i,i=1,2,L,从而获得密钥编号-时间区间映射表如表1所示,并将密钥编号-时间区间映射表同时存储于密钥池A和密钥池B;
表1
密钥更新周期 | 0~T | T~2T | …… | (n-1)T~nT |
密钥编号 | 001 | 002 | …… | 00n |
加密通讯单元基于接收的明文数据产生并发送加密密钥请求至密钥池A,密钥池A根据加密密钥请求时间ta查询获取加密密钥组M_KeyA,并将加密密钥组M_KeyA发送给加密通讯单元,加密通讯单元使用加密密钥组M_KeyA对明文数据进行加密,其中加密密钥组M_KeyA中密钥的个数为m,m为大于等于3的奇数;
按照如下公式获取加密密钥请求时间ta所在时间区间[ti,ti+1)及对应的密钥编号:
其中,N为密钥编号,ta为加密密钥请求时间,T为密钥更新周期,Tstar为密钥有效期的起始时间,Tstar=t1。
密钥池A基于加密密钥请求时间ta查询获取加密密钥组M_KeyA的方法如下所示:
基于密钥编号-时间区间映射表来读取加密密钥请求时间ta所在时间区间[ti,ti+1)及其往前(m-1)/2和往后(m-1)/2个时间区间在内的总共m个连续时间区间对应的密钥编号序列从而获得密钥编号序列对应的加密密钥组
步骤C.解密通讯单元基于接收的密文数据产生并发送解密密钥请求至密钥池B,密钥池B根据解密密钥请求时间tb查询获取相应的解密密钥组M_KeyB,并将解密密钥组M_KeyB发送给解密通讯单元,解密通讯单元使用解密密钥组M_KeyB对密文数据进行解密;
按照如下公式获取解密密钥请求时间tb所在时间区间[tj,tj+1)及对应的密钥编号:
其中,N为密钥编号,tb为解密密钥请求时间,T为密钥更新周期,Tstar为密钥有效期的起始时间,Tstar=t1。
密钥池B根据解密密钥请求时间tb查询获取相应的解密密钥组M_KeyB的方法如下所示:
基于密钥编号-时间区间映射表来读取解密密钥请求时间tb所在时间区间[tj,tj+1)及其往前(m-1)/2和往后(m-1)/2个时间区间在内的总共m个连续时间区间对应的密钥编号序列从而获得密钥编号对应的解密密钥组
步骤D.若解密密钥请求时间tb与加密密钥请求时间ta的时间差Δt=|tb-ta|≤(m-1)T,则获取的加密密钥组与解密密钥组的交集不为空,即存在至少一对互为对称密钥的加密密钥和解密密钥,即解密成功;若解密密钥请求时间tb与加密密钥请求时间ta的时差Δt=|tb-ta|>(m-1)T,则加密密钥组与解密密钥组的交集为空,此时,不存在一对互为对称密钥的加密密钥与解密密钥,即解密失败,执行步骤E;
步骤E.通过如下步骤E1至步骤E5实现对密文数据进行解密。
步骤E1.解密通讯单元向加密通讯单元发送待解密数据的加密密钥编号获取请求;
步骤E2.加密通讯单元基于加密密钥编号获取请求向解密通讯单元发送对应的加密密钥编号;加密密钥编号的传送并不会泄露密钥的任何信息,因此,该传送过程是安全的;
步骤E3.解密通讯单元基于加密密钥编号向密钥池B发送解密密钥请求,所述解密密钥请求内携带有与加密密钥编号相同的解密密钥编号;
步骤E4.密钥池B基于解密密钥请求向解密通讯单元发送所述解密密钥编号对应的解密密钥;由于解密密钥编号与加密密钥编号相同,而互为对称密钥的加密密钥与解密密钥采用同一密钥编号进行标记,因此,此时的解密密钥与加密数据所使用的加密密钥互为对称密钥;
步骤E5.解密通讯单元基于解密密钥对密文数据进行解密。
上面结合附图对本发明的实施方式作了详细说明,但是本发明并不限于上述实施方式,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下做出各种变化。
Claims (8)
1.一种基于多密钥的对称密钥同步方法,其特征在于,基于多密钥的对称密钥同步装置,实现对称密钥的同步,所述对称密钥同步装置包括加密通讯单元、与加密通讯单元通讯的密钥池A、解密通讯单元、与解密通讯单元通讯的密钥池B;其中,密钥池A和密钥池B分别存放发送方和接收方的互为对称的对称密钥,基于发送方的发送数据的请求将待加密数据经过密钥池A中的加密密钥进行加密之后得到密文并发送给接收方,密文到达接收方后,由接收方根据密钥池B中的解密密钥对密文进行解密从而获得发送方的发送数据的过程,具体通过如下步骤A至步骤E实现基于多密钥的对称密钥同步方法;
步骤A.同步密钥池A和密钥池B的内部时钟;
步骤B.加密通讯单元基于接收的明文数据产生并发送加密密钥请求至密钥池A,密钥池A根据加密密钥请求时间ta查询获取加密密钥组M_KeyA,并将加密密钥组M_KeyA发送给加密通讯单元,加密通讯单元使用加密密钥组M_KeyA对明文数据进行加密,其中加密密钥组M_KeyA中密钥的个数为m,m为大于等于3的奇数;
步骤C.解密通讯单元基于接收的密文数据产生并发送解密密钥请求至密钥池B,密钥池B根据解密密钥请求时间tb查询获取相应的解密密钥组M_KeyB,并将解密密钥组M_KeyB发送给解密通讯单元,解密通讯单元使用解密密钥组M_KeyB对密文数据进行解密;
步骤D.若解密密钥请求时间tb与加密密钥请求时间ta的时间差小于或等于(m-1)倍密钥更新周期T,则接收方解密通讯单元获取的解密密钥组M_KeyB与发送方加密通讯单元所使用的加密密钥组M_KeyA至少存在一对对称密钥,此时,接收方能对接收数据解密或者认证成功;若解密密钥请求时间tb与加密密钥请求时间ta的时间差大于(m-1)倍密钥更新周期时,则解密密钥组M_KeyB中不存在与加密密钥组M_KeyA对称的密钥,此时,解密或认证失败,执行步骤E;
其中,若解密密钥请求时间tb与加密密钥请求时间ta的时间差Δt=|tb-ta|≤(m-1)T,则获取的加密密钥组与解密密钥组的交集不为空,即存在至少一对互为对称密钥的加密密钥和解密密钥,此时接收方能解密成功;若解密密钥请求时间tb与加密密钥请求时间ta的时差Δt=|tb-ta|>(m-1)T,则加密密钥组与解密密钥组的交集为空,此时,不存在一对互为对称密钥的加密密钥与解密密钥,此时,接收方解密失败;
步骤E.解密通讯单元向加密通讯单元发送待解密数据的加密密钥编号获取请求,获取加密密钥的密钥编号后,根据密钥编号从密钥池B中获取对应的解密密钥,从而对密文数据进行解密或者认证。
2.根据权利要求1所述的一种基于多密钥的对称密钥同步方法,其特征在于,步骤B中根据加密密钥请求时间ta获取加密密钥组M_KeyA及步骤C中根据解密密钥请求时间tb获取相应的解密密钥组M_KeyB的方法具体如下:
步骤1.将密钥池A和密钥池B的密钥依据其编号顺序分别表示为KeySetA={Ki|i=1,2,L}和KeySetB={Kj|j=1,2,L},其中,Ki为密钥池A中时刻t(ti≤t<ti+T)(i=1,2,L)对应的密钥,Kj为密钥池B中时刻t(tj≤t<tj+T)(j=1,2,L)对应的密钥,T为密钥更新周期,用ti表示时间区间[ti,ti+T)中的任意一个时间,则Ki与ti对应,Ki-1与ti-1对应,Ki+1与ti+1对应,以此类推,互为对称密钥的加密密钥与解密密钥采用同一密钥编号;
步骤2.令单个时间区间的长度与密钥更新周期一致,密钥编号取密钥Ki对应时间区间[ti,ti+T)的起点ti的下标i,i=1,2,L,从而获得密钥编号-时间区间映射表,并将密钥编号-时间区间映射表同时存储于密钥池A和密钥池B;
步骤3.基于密钥编号-时间区间映射表来读取加密密钥请求时间ta所在时间区间[ti,ti+1)及其往前(m-1)/2和往后(m-1)/2个时间区间在内的总共m个连续时间区间对应的密钥编号序列从而获得密钥编号序列对应的加密密钥组
4.根据权利要求1所述的一种基于多密钥的对称密钥同步方法,其特征在于,解密失败后的步骤E具体通过如下步骤来实现:
步骤E1.解密通讯单元向加密通讯单元发送待解密数据的加密密钥编号获取请求;
步骤E2.加密通讯单元基于加密密钥编号获取请求向解密通讯单元发送对应的加密密钥编号;
步骤E3.解密通讯单元基于加密密钥编号向密钥池B发送解密密钥请求,所述解密密钥请求内携带有与加密密钥编号相同的解密密钥编号;
步骤E4.密钥池B基于解密密钥请求向解密通讯单元发送所述解密密钥编号对应的解密密钥;
步骤E5.解密通讯单元基于解密密钥对密文数据进行解密。
5.根据权利要求1所述的一种基于多密钥的对称密钥同步方法,其特征在于,在步骤A执行之前首先执行如下操作:
所述密钥池A对加密通讯单元进行鉴权,若鉴权成功,则密钥池A与加密通讯单元建立通讯通道;
所述密钥池B对解密通讯单元进行鉴权,若鉴权成功,则密钥池B与解密通讯单元建立通讯通道。
6.根据权利要求1所述的一种基于多密钥的对称密钥同步方法,其特征在于,所述密钥池A包括:时钟A1、密钥存储模块A2,密钥管理模块A3、密钥查询模块A4;其中,
时钟A1,控制密钥池A的时钟与外部时间同步;
密钥存储模块A2,用于存储加密密钥;
密钥管理模块A3,用于对存储在密钥存储模块A2内的所有密钥进行编号,生成密钥编号;
密钥查询模块A4,基于加密密钥请求的时间来获取密钥编号序列,并基于密钥编号序列从密钥存储模块A2中读取对应的加密密钥组,发送至加密通讯单元;
密钥池B包括:时钟B1,密钥存储模块B2,密钥管理模块B3,密钥查询模块B4;
其中,时钟B1,基于相同的外部时间控制密钥池B的时钟与密钥池A的时钟A1同步;
密钥存储模块B2,用于存储解密密钥;
密钥管理模块B3,对存储在密钥存储模块B2内的所有密钥进行编号,生成密钥编号,互为对称密钥的加密密钥与解密密钥采用相同的密钥编号进行标记;
密钥查询模块B4,基于解密密钥请求时间来获取密钥编号序列,并基于密钥编号序列从密钥存储模块B2中读取对应的解密密钥组,发送至解密通讯单元;
加密通讯单元包括:请求模块A0,加密模块;
请求模块A0,基于接收的待加密数据向密钥池A发送加密密钥请求;
加密模块,基于密钥池A返回的加密密钥组对待加密数据进行加密,并将已加密数据发送至解密通讯单元;
解密通讯单元包括:请求模块B0,解密模块;
请求模块B0,基于接收的已加密数据向密钥池B发送解密密钥请求;
解密模块基于密钥池B返回的解密密钥组对已加密数据进行解密。
7.根据权利要求6所述的一种基于多密钥的对称密钥同步方法,其特征在于,解密通讯单元还包括:
密钥标识获取模块,用于解密失败时,向加密通讯单元发送待解密数据的加密密钥编号获取请求;
加密通讯单元还包括:
密钥标识确认模块,基于加密密钥编号获取请求来获取对应的加密密钥编号,并将加密密钥编号发送至解密通讯单元。
8.根据权利要求7所述的一种基于多密钥的对称密钥同步方法,其特征在于,所述密钥查询模块A4包括:加密密码编号计算子模块A401,加密密钥读取子模块A402;
加密密钥编号计算子模块A401,基于加密密钥请求的时间来计算加密密钥的密钥编号,加密密钥编号的计算公式为其中,I为加密密钥编号,ta为加密密钥请求时间,T为密钥更新周期,Tstar为密钥有效期的起始时间;
加密密钥读取子模块A402,基于加密密钥编号序列从密钥存储模块A2中读取对应的加密密钥组,发送至加密通讯单元;
密钥查询模块B4包括:解密密钥编号计算子模块B401,解密密钥读取子模块B402;
解密密钥编号计算子模块B401,基于解密密钥请求的时间来计算解密密钥的密钥编号,解密密钥编号的计算公式为其中,J为解密密钥编号,tb为解密密钥请求时间,T为密钥更新周期,Tstar为密钥有效期的起始时间;
解密密钥读取子模块B402,基于解密密钥编号序列从密钥存储模块B2中读取对应的解密密钥组,发送至解密通讯单元。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011627700.5A CN112769559B (zh) | 2020-12-31 | 2020-12-31 | 一种基于多密钥的对称密钥同步方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011627700.5A CN112769559B (zh) | 2020-12-31 | 2020-12-31 | 一种基于多密钥的对称密钥同步方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112769559A CN112769559A (zh) | 2021-05-07 |
CN112769559B true CN112769559B (zh) | 2022-04-22 |
Family
ID=75699016
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011627700.5A Active CN112769559B (zh) | 2020-12-31 | 2020-12-31 | 一种基于多密钥的对称密钥同步方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112769559B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113660052B (zh) * | 2021-10-21 | 2022-02-15 | 之江实验室 | 一种基于内生安全机制的精密时钟同步装置和方法 |
CN114401426B (zh) * | 2021-12-31 | 2023-05-05 | 珠海迈科智能科技股份有限公司 | 一种动态密钥的生成方法及其系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103124215A (zh) * | 2013-01-25 | 2013-05-29 | 匡创公司 | 带有时间标记的自认证方法 |
CN109474423A (zh) * | 2018-12-10 | 2019-03-15 | 平安科技(深圳)有限公司 | 数据加解密方法、服务器及存储介质 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107040509B (zh) * | 2016-11-23 | 2019-12-06 | 杭州迪普科技股份有限公司 | 一种报文发送方法及装置 |
US10491576B1 (en) * | 2017-06-16 | 2019-11-26 | Intuit Inc. | System and method for security breach response using hierarchical cryptographic key management |
CN107508672B (zh) * | 2017-09-07 | 2020-06-16 | 浙江神州量子网络科技有限公司 | 一种基于对称密钥池的密钥同步方法和密钥同步装置、密钥同步系统 |
CN109936552B (zh) * | 2017-12-19 | 2021-06-15 | 方正国际软件(北京)有限公司 | 一种密钥认证方法、服务器及系统 |
CN108429618A (zh) * | 2018-05-16 | 2018-08-21 | 安徽问天量子科技股份有限公司 | 一种无信道的对称密钥同步方法及装置 |
CN111698095B (zh) * | 2020-06-17 | 2023-07-11 | 南京如般量子科技有限公司 | 基于id密码学和对称密钥池的数据链抗量子计算通信方法及系统 |
-
2020
- 2020-12-31 CN CN202011627700.5A patent/CN112769559B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103124215A (zh) * | 2013-01-25 | 2013-05-29 | 匡创公司 | 带有时间标记的自认证方法 |
CN109474423A (zh) * | 2018-12-10 | 2019-03-15 | 平安科技(深圳)有限公司 | 数据加解密方法、服务器及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN112769559A (zh) | 2021-05-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8223970B2 (en) | Message deciphering method, system and article | |
US5297208A (en) | Secure file transfer system and method | |
EP0460538B1 (en) | Cryptographic communication method and cryptographic communication device | |
AU713597B2 (en) | Generation of cryptographic signatures using hash keys | |
CN112769559B (zh) | 一种基于多密钥的对称密钥同步方法 | |
US7860254B2 (en) | Computer system security via dynamic encryption | |
US20040184605A1 (en) | Information security via dynamic encryption with hash function | |
US10412063B1 (en) | End-to-end double-ratchet encryption with epoch key exchange | |
CN113746632B (zh) | 一种物联网系统多级身份认证方法 | |
US20050033963A1 (en) | Method and system for authentication, data communication, storage and retrieval in a distributed key cryptography system | |
CN111586023B (zh) | 一种认证方法、设备和存储介质 | |
CN103117850B (zh) | 一种基于随机序列数据库的密码系统的建立方法 | |
CN111080299A (zh) | 一种交易信息的防抵赖方法及客户端、服务器 | |
US7376232B2 (en) | Computer system security via dynamic encryption | |
CN115632880A (zh) | 一种基于国密算法的可靠数据传输及存储的方法及系统 | |
CN113676448B (zh) | 一种基于对称秘钥的离线设备双向认证方法和系统 | |
CN116055136A (zh) | 一种基于秘密共享的多目标认证方法 | |
US8036383B2 (en) | Method and apparatus for secure communication between cryptographic systems using real time clock | |
CN111488618B (zh) | 基于区块链的一次一密密码方法、装置及存储介质 | |
CN108737093B (zh) | 一种加密的方法、装置及系统 | |
CN116436699B (zh) | 基于加密方式的联邦学习数据安全训练方法及系统 | |
CN114553420B (zh) | 基于量子密钥的数字信封封装方法及数据保密通信网络 | |
CN112231766B (zh) | 一种基于新型认证结构的动态存储证明方法 | |
CN113312643B (zh) | 基于sm2和sm3算法的关键字匹配方法 | |
CN118158667A (zh) | 一种分布式系统无线密钥分发方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |