CN113612610A - 一种会话密钥协商方法 - Google Patents

Abstract

本发明公开了一种会话密钥协商方法，分别应用于通信双方以及密钥交换服务器，在应用于第一客户端的实施例中，该方法包括：从密钥交换服务器获取时间戳T；生成第一验证消息；利用签名密钥对第一验证消息进行签名得到第一验证值SH；将第一验证消息和第一验证值SH发送到密钥交换服务器；接收密钥交换服务器发送的第二验证请求，然后将第一验证请求发送给第二客户端；接收第二客户端发送的协商结果，若协商成功则解密会话密钥SK；对会话密钥SK进行杂凑运算验证会话密钥，若验证成功则说明第一客户端会话密钥协商成功。该方法要求密钥交换服务器生成会话密钥，再通过与发起方和接收方的密钥验证使得通信双方的会话密钥得到安全协商。

Description

一种会话密钥协商方法

技术领域

本发明属于量子通信技术领域，具体来说，涉及一种会话密钥协商方法。

背景技术

随着量子计算的快速发展，计算机的计算能力会成几何级数发展，破解复杂运算所耗费的时间与成本也会变得越来越小。现有的基于公开密钥的密码体系(PKI)其根本是基于复杂数学运算的非对称密码,在可预见的未来以ECC/RSA为代表的现行主流公钥密码的安全性将会面临严峻的挑战。现阶段有两条技术途径可抵御量子计算威胁：一个是基于量子物理的量子保密通信技术，其中主要以QKD(量子密钥分发)技术为代表；另一个是基于后量子密码(PQC)的替代算法方案，以基于格、多变量、哈希等数学困难问题的新型公钥密码算法为代表。

相比抗量子算法，我国在以QKD为主的量子通信技术领域取得了更加辉煌的成绩，国际期刊发表论文数、专利申请数都是远远高于其他国家。目前，在北京、安徽、上海、山东、海南、四川、广州等多地陆续开展了可服务政务领域的量子保密通信城域网建设。2009年，问天量子在安徽芜湖建立了7节点量子政务网，2017年，国盾量子承建了融合量子安全的合肥政务外网，2017年济南党政机关量子通信专网开通，2020年1月金华量子保密通信城域网开通，为金华市政务外网与市场监督管理局业务专网的10个节点之间的数据通信提供量子保密通信服务。2020年6月海口量子保密通信城域网开通，为海口市政务外网22个节点的政务用户提供量子保密通信服务。

基于QKD技术的量子密钥分发体系，虽然实现了量子密钥的安全传输，但是因为量子密钥属于对称密钥，基于对称密钥体系的安全应用仅在身份识别方面，国家出台了相关标准《信息技术安全技术实体鉴别第2部分：采用对称加密算法的机制》(GB/T 15843.2-2008)。但是对称密钥的安全体系中关于密钥协商常见密码应用并没有一个很好的解决方案，使得量子密钥在应用层面却没有能得到很好的推广。

发明内容

针对现有基于QKD技术的量子密钥分发体系中，对称密钥的安全体系没有很好的密钥协商解决方案的问题，本发明旨在提供了一种安全的会话密钥协商方法。

为实现上述技术目的，本发明采用的技术方案如下：

一种会话密钥协商方法，应用于第一客户端，所述第一客户端至少具有由量子网络分发的第一加密密钥和签名密钥，所述方法包括：

从密钥交换服务器获取时间戳T；

生成第一验证消息，所述第一验证消息包括时间戳T、第一客户端的身份信息以及第二客户端的身份信息；

利用第一客户端的签名密钥对第一验证消息进行签名得到第一验证值SH；

将第一验证消息和第一验证值SH作为第一验证请求发送到密钥交换服务器；

接收密钥交换服务器发送的第二验证请求，然后将第一验证请求发送给第二客户端，所述第二验证请求包括第一会话密钥密文和第三杂凑值，所述第一会话密钥密文是利用第一加密密钥对会话密钥SK进行加密获得，所述第三杂凑值是对会话密钥SK进行杂凑运算获得；

接收第二客户端发送的协商结果，若协商成功，则利用第一加密密钥对第一会话密钥密文进行解密得到会话密钥SK；

对会话密钥SK进行杂凑运算得到第五杂凑值，将第五杂凑值与第三杂凑值进行比对，若一致，则第一客户端和第二客户端会话密钥协商成功。

优选地，所述利用第一客户端的签名密钥对第一验证消息进行签名得到第一验证值SH，包括：

对第一验证消息中的时间戳T、第一客户端的身份信息以及第二客户端的身份信息进行杂凑运算得到第一杂凑值；

利用第一客户端的签名密钥对第一杂凑值进行HMAC运算获得第一验证值SH。

本申请还提供了另外一种会话密钥协商方法，应用于第二客户端，所述第二客户端至少具有由量子网络分发的第二加密密钥，所述方法包括：

接收第一客户端发送的第一验证请求，所述第二验证请求包括第一验证消息和第一验证值SH，所述第一验证消息包括第一客户端从密钥交换服务器获取的时间戳T、第一客户端的身份信息以及第二客户端的身份信息，所述第一验证值SH是利用第一客户端的签名密钥对第一验证消息进行签名得到；

将第二客户端的系统时间与时间戳T进行比对，若两者符合安全策略配置时间，则将第一验证请求发送到密钥交换服务器；

接收密钥交换服务器发送的第二会话密钥密文和第三杂凑值，所述第二会话密钥密文是利用第二加密密钥对会话密钥SK进行加密获得，第三杂凑值是对会话密钥SK进行杂凑获得；

利用第二加密密钥对第二会话密钥密文进行解密获得会话密钥SK，再对会话密钥SK进行杂凑运算获得第四杂凑值；

对第三杂凑值和第四杂凑值进行比较，并将协商结果发送到第一客户端。

本申请还提供了第三种会话密钥协商方法，应用于密钥交换服务器，所述密钥交换服务器至少具有由量子网络分发的与第一客户端对应的第一加密密钥、签名密钥以及与第二客户端对应的第二加密密钥，所述方法包括：

接收第一客户端发送的第一验证请求，所述第一验证请求包括第一验证消息和第一验证值SH，所述第一验证消息包括第一客户端从密钥交换服务器获取的时间戳T、第一客户端的身份信息以及第二客户端的身份信息，所述第一验证值SH是利用第一客户端的签名密钥对第一验证消息进行签名得到；

利用存储在密钥交换服务器的签名密钥对第一验证消息进行验证得到第二验证值SH’；

比较所述第二验证值SH’和第一验证值SH，若一致，则生成会话密钥SK并对其进行杂凑运算获得第三杂凑值，利用存储在密钥交换服务器的第一加密密钥对会话密钥SK进行加密获得第一会话密钥密文，将第一会话密钥密文和第三杂凑值作为第二验证请求发送到第一客户端；

接收第二客户端发送的第二份第一验证请求，并将第一客户端发送的第一验证请求和第二客户端发送的第二份第一验证请求进行比对；

若两份第一验证请求一致，则先将密钥交换服务器的系统时间与时间戳T进行比对，若两者符合安全策略配置时间，则利用存储在密钥交换服务器的第二加密密钥对会话密钥SK进行加密获得第二会话密钥密文，并将第二会话密钥密文和第三杂凑值作为第三验证请求发送到第二客户端；

优选地，所述第一验证值SH是利用第一客户端的签名密钥对第一验证消息进行签名得到，包括：

对第一验证消息中的时间戳T、第一客户端的身份信息以及第二客户端的身份信息进行杂凑运算得到第一杂凑值；

利用第一客户端的签名密钥对第一杂凑值进行HMAC运算获得第一验证值SH。

优选地，所述利用存储在密钥交换服务器的签名密钥对第一验证消息进行验证得到第二验证值，包括：

对第一客户端发送的第一验证请求中的第一验证消息进行杂凑运算得到第二杂凑值；

利用第一客户端的签名密钥对第二杂凑值进行HMAC运算获得第二验证值SH’。

有益效果：本申请中所有加密密钥和签名密钥均由密钥交换服务器统一管理，能够快速对密钥的使用情况，包括生成、备份、恢复、归档、审计、废止等密钥全生命周期管理做出统计与响应。在对称密钥体系中，实现了加密传输、数字签名等功能，实现了基于对称密钥体系的密钥协商功能。

附图说明

图1为应用于通信发起方的量子密钥协商方法流程图；

图2为通信发起方获得第一验证值的流程图；

图3为应用于通信接收方的量子密钥协商方法流程图；

图4为应用于密钥交换服务器的量子密钥协商方法流程图；

图5为密钥交换服务器获得第二验证值的流程图

图6为通信双方和密钥交换服务器之间的交互时序图。

具体实施方式

为了便于本领域技术人员的理解，下面结合实施例与附图对本发明作进一步的说明，实施方式提及的内容并非对本发明的限定。

在量子通信中，通信双方建立通信主要包括身份认证、密钥交换以及利用交换的随机密钥(会话密钥)进行通信的过程。

想要安全通信，必须得知道对方的真实身份，其次才是确保通信内容的保密，否则就会出现中间人攻击的情况，因此通信的安全性(身份认证)有着比私密性更高更强的要求，它不仅要求通信双方传送的内容不能被任何第三者知道，还要确认收发方各自的真实身份。

一般来说，一个量子通信网络包括若干通信客户端以及服务器，一方(通信发起方)要和另一方(通信接收方)建立通信链路时，需要通过服务器来进行身份的验证和密钥分发等工作。

在本申请中，服务器主要起到密钥交换的作用，其包括量子密钥管理系统以及密码机，其中量子密钥管理系统用于存储对应每个通信客户端身份标识的加密密钥和签名密钥，其根据客户端的身份标识一一对应加密密钥和签名密钥，加密密钥主要用于每个通信客户端与服务器之间的信息加密传输，签名密钥用于身份信息的验证；密码机则是通过加密密钥和签名密钥对信息实施加(解)密处理和认证的专用设备。

下面以通信发起方A、通信接收方B以及密钥交换服务器三方的交互过程举例：

如图1和图6所示，本实施例提供一种应用于通信发起方A的会话密钥协商方法，包括如下步骤：

一种会话密钥协商方法，应用于通信发起方A，所述通信发起方A至少具有由量子网络分发的第一加密密钥和签名密钥，所述方法包括：

S11：从密钥交换服务器获取时间戳T

时间戳T首先由通信发起方A向密钥交换服务器提出请求，通过密钥交换服务器返回一个时间戳信息T，该时间戳T可以用于验证协商过程中信息收发的时间要求。

S12：生成第一验证消息

将获取的时间戳T、通信发起方A的身份信息以及通信接收方B的身份信息顺序拼接形成第一验证消息。

需要说明的是，时间戳T、通信发起方A的身份信息以及通信接收方B的身份信息的拼接顺序并不唯一，可以任意交换顺序，只需要保证拼接规则的统一，以便系统有效获取其中的信息。

比如，时间戳T、通信发起方A的身份信息以及通信接收方B的身份信息各占16字节顺序拼接形成第一验证消息，接收第一验证消息的一方如果想获得时间戳T信息，只需要截取第一验证消息中的前面16个直接信息，也就是说无论怎样交换拼接顺序只需要知道所需信息的位置即可。

S13：获取第一验证值SH；

利用通信发起方A的签名密钥对第一验证消息(时间戳T、通信发起方A的身份信息以及通信接收方B的身份信息)进行签名即可得到第一验证值SH，用于核实身份。

第一验证值SH的具体获得方法如图2所示：

S131：对第一验证消息中的时间戳T、通信发起方A的身份信息以及通信接收方B的身份信息进行杂凑运算得到第一杂凑值；

本实施例中，杂凑运算采用SM3杂凑算法，其是国产的一种密码散列函数标准，相关标准为“GM/T 0004-2012《SM3密码杂凑算法》”，SM3主要用于数字签名及验证、消息认证码生成及验证、随机数生成等。

杂凑算法除了SM3算法，还有美国国家安全局研发的SHA-2，MD5等其它确保信息不会被篡改的哈希函数。

在本申请中，所有杂凑算法均选择同一个算法，确保杂凑运算的统一性。

S132：利用通信发起方A的签名密钥对第一杂凑值进行HMAC运算获得第一验证值SH。

HMAC(Hash-based Message Authentication Code)是一种基于Hash函数和密钥进行消息认证的方法。如果我们使用的是SM3算法，对应的就是SM3-HMAC算法。

S14：向密钥交换服务器发送第一验证请求

该步骤主要是为了向密钥交换服务器表明自己的真实身份(具体验证过程由密钥交换服务器完成)，第一验证请求是将第一验证消息和第一验证值SH进行拼接而成，密钥交换服务器接收到第一验证请求的操作见步骤S31～S33。

S15：接收密钥交换服务器发送的第二验证请求，然后将第一验证请求发送给通信接收方B。

其中第一验证请求的内容与步骤S14中一样。

S16：接收通信接收方B发送的协商结果(见步骤S25)，若协商成功，则利用第一加密密钥对第一会话密钥密文进行解密得到会话密钥SK。

S17：对会话密钥SK进行杂凑运算得到第五杂凑值，将第五杂凑值与第三杂凑值进行比对，若一致，则说明通信发起方A会话密钥协商成功。

如图3和图6所示，本实施例提供一种应用于通信接收方B的会话密钥协商方法，包括如下步骤：

S21：接收通信发起方A发送的第一验证请求

第一验证请求包括第一验证消息和第一验证值SH，第一验证消息包括通信发起方A从密钥交换服务器获取的时间戳T、通信发起方A的身份信息以及通信接收方B的身份信息，第一验证值SH是利用通信发起方A的签名密钥对第一验证消息进行签名得到，第一验证值SH的获得过程可以参看步骤S131～S132。

S22：将通信接收方B的系统时间与时间戳T进行比对，若两者符合安全策略配置时间，则将第一验证请求发送到密钥交换服务器，这里的安全策略配置时间是用于检验系统时间和时间戳T之间的时间差，只有当通信接收方B的系统时间与时间戳T之间的时间差满足安全策略配置时间规定的范围，才能认为通信发起方A发送的第一验证请求是合法的，这就说明验证的过程有一定的时间要求，若超过一定的时间延迟，则认为该请求有被篡改的可能，若通信接收方B的系统时间与时间戳T不符合安全策略配置时间，则向通信发起方A返回失效请求。

S23：接收密钥交换服务器发送的第三验证请求

第三验证请求包括第二会话密钥密文和第三杂凑值，其中第二会话密钥密文是利用第二加密密钥对会话密钥SK进行加密获得，第三杂凑值是对会话密钥SK进行杂凑获得。

S24：利用第二加密密钥对第二会话密钥密文进行解密获得会话密钥SK，再对会话密钥SK进行杂凑运算获得第四杂凑值。

S25：对第三杂凑值和第四杂凑值进行比较，并将协商结果发送到通信发起方A。

若第三杂凑值和第四杂凑值一致，则说明通信接收方B会话密钥协商成功，不一致则协商失败。

需要说明的是，每个通信客户端都具有各自的加密密钥和签名密钥，只是在会话密钥协商的过程中，只有通信发起方A的第一签名密钥在签名过程中会被使用到，不代表通信接收方B没有签名密钥，当通信接收方B作为发起方也需要去其他接收方建立通信链路时，就会使用到自己的签名密钥。

如图4和图6所示，本实施例提供一种应用于密钥交换服务器的会话密钥协商方法，密钥交换服务器包括有与每一个通信客户端对应的量子密钥和签名密钥，在本实施例中，密钥交换服务器至少包含由量子网络分发的与通信发起方A对应的第一加密密钥、第一签名密钥以及与通信接收方B对应的第二加密密钥，同时密钥交换服务器还有一个会话密钥发生器，用于生成随机数作为会话密钥SK，通信接收方B对应的第二签名密钥在通信接收方B作为接收方时没有使用到。

一种应用于密钥交换服务器的会话密钥协商方法具体包括如下步骤：

S31：接收通信发起方A发送的第一验证请求

第一验证请求包括第一验证消息和第一验证值SH，其中第一验证消息包括通信发起方A从密钥交换服务器获取的时间戳T、通信发起方A的身份信息以及通信接收方B的身份信息，第一验证值SH是利用通信发起方A的签名密钥对第一验证消息进行签名得到，第一验证值SH的获得过程可以参看步骤S131～S132。

S32：利用存储在密钥交换服务器的签名密钥对第一验证消息进行验证得到第二验证值SH’

该步骤主要是为了核实通信发起方A的身份，需要计算第二验证值SH’，如图5所示，具体步骤如下：

S321：对通信发起方A发送的第一验证请求中的第一验证消息进行杂凑运算得到第二杂凑值；

S322：利用通信发起方A的签名密钥对第二杂凑值进行HMAC运算获得第二验证值SH’。

S33：比较所述第二验证值SH’和第一验证值SH，若一致，则通过会话密钥生成器产生一个会话密钥SK，并对其进行杂凑运算获得第三杂凑值，同时利用存储在密钥交换服务器的第一加密密钥对会话密钥SK进行加密获得第一会话密钥密文，将第一会话密钥密文和第三杂凑值作为第二验证请求发送到通信发起方A，若第二验证值SH’和第一验证值SH不一致，则将无效结果返回给通信发起方A。

S34：接收通信接收方B发送的第二份第一验证请求，并将通信发起方A发送的第一验证请求和通信接收方B发送的第二份第一验证请求进行比对。

S35：若两份第一验证请求一致，则先将密钥交换服务器的系统时间与时间戳T进行比对，若两者符合安全策略配置时间，则利用存储在密钥交换服务器的第二加密密钥对会话密钥SK进行加密获得第二会话密钥密文，并将第二会话密钥密文和第三杂凑值作为第三验证请求发送到通信接收方B；若密钥交换服务器的系统时间与时间戳T不符合安全策略配置时间，则向通信接收方B返回失效请求。

这里的安全策略配置时间同样是为了检验系统时间和时间戳T之间的时间差，只有当密钥交换服务器的系统时间与时间戳T之间的时间差满足安全策略配置时间规定的范围，才能认为通信接收方B端发送的第一验证请求是合法的，防止该请求有被篡改的可能。

以上对本申请提供的一种会话密钥协商方法进行了详细介绍。具体实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以对本申请进行若干改进和修饰，这些改进和修饰也落入本申请权利要求的保护范围内。

Claims (6)

1.一种会话密钥协商方法，其特征在于，应用于第一客户端，所述第一客户端至少具有由量子网络分发的第一加密密钥和签名密钥，所述方法包括：

从密钥交换服务器获取时间戳T；

生成第一验证消息，所述第一验证消息包括时间戳T、第一客户端的身份信息以及第二客户端的身份信息；

利用第一客户端的签名密钥对第一验证消息进行签名得到第一验证值SH；

将第一验证消息和第一验证值SH作为第一验证请求发送到密钥交换服务器；

接收密钥交换服务器发送的第二验证请求，然后将第一验证请求发送给第二客户端，所述第一验证请求包括第一会话密钥密文和第三杂凑值，所述第一会话密钥密文是利用第一加密密钥对会话密钥SK进行加密获得，所述第三杂凑值是对会话密钥SK进行杂凑运算获得；

接收第二客户端发送的协商结果，若协商成功，则利用第一加密密钥对第一会员密钥密文进行解密得到会话密钥SK；

对会话密钥SK进行杂凑运算得到第五杂凑值，将第五杂凑值与第三杂凑值进行比对，若一致，则第一客户端和第二客户端会话密钥协商成功。

2.根据权利要求1所述的一种会话密钥协商方法，其特征在于，所述利用第一客户端的签名密钥对第一验证消息进行签名得到第一验证值SH，包括：

对第一验证消息中的时间戳T、第一客户端的身份信息以及第二客户端的身份信息进行杂凑运算得到第一杂凑值；

利用第一客户端的签名密钥对第一杂凑值进行HMAC运算获得第一验证值SH。

3.一种会话密钥协商方法，其特征在于，应用于第二客户端，所述第二客户端至少具有由量子网络分发的第二加密密钥，所述方法包括：

接收第一客户端发送的第一验证请求，所述第一验证请求包括第一验证消息和第一验证值SH，所述第一验证消息包括第一客户端从密钥交换服务器获取的时间戳T、第一客户端的身份信息以及第二客户端的身份信息，所述第一验证值SH是利用第一客户端的签名密钥对第一验证消息进行签名得到；

将第二客户端的系统时间与时间戳T进行比对，若两者符合安全策略配置时间，则将第一验证请求发送到密钥交换服务器；

接收密钥交换服务器发送的第二会话密钥密文和第三杂凑值，所述第二会话密钥密文是利用第二加密密钥对会话密钥SK进行加密获得，第三杂凑值是对会话密钥SK进行杂凑获得；

利用第二加密密钥对第二会话密钥密文进行解密获得会话密钥SK，再对会话密钥SK进行杂凑运算获得第四杂凑值；

对第三杂凑值和第四杂凑值进行比较，并将协商结果发送到第一客户端。

4.一种会话密钥协商方法，其特征在于，应用于密钥交换服务器，所述密钥交换服务器至少具有由量子网络分发的与第一客户端对应的第一加密密钥、签名密钥以及与第二客户端对应的第二加密密钥，所述方法包括：

接收第一客户端发送的第一验证请求，所述第一验证请求包括第一验证消息和第一验证值SH，所述第一验证消息包括第一客户端从密钥交换服务器获取的时间戳T、第一客户端的身份信息以及第二客户端的身份信息，所述第一验证值SH是利用第一客户端的签名密钥对第一验证消息进行签名得到；

利用存储在密钥交换服务器的签名密钥对第一验证消息进行验证得到第二验证值SH’；

比较所述第二验证值SH’和第一验证值SH，若一致，则生成会话密钥SK并对其进行杂凑运算获得第三杂凑值，利用存储在密钥交换服务器的第一加密密钥对会话密钥SK进行加密获得第一会话密钥密文，将第一会话密钥密文和第三杂凑值作为第二验证请求发送到第一客户端；

接收第二客户端发送的第二份第一验证请求，并将第一客户端发送的第一验证请求和第二客户端发送的第二份第一验证请求进行比对；

若两份第一验证请求一致，则先将密钥交换服务器的系统时间与时间戳T进行比对，若两者符合安全策略配置时间，则利用存储在密钥交换服务器的第二加密密钥对会话密钥SK进行加密获得第二会话密钥密文，并将第二会话密钥密文和第三杂凑值作为第三验证请求发送到第二客户端。

5.根据权利要求4所述的一种会话密钥协商方法，其特征在于，所述第一验证值SH是利用第一客户端的签名密钥对第一验证消息进行签名得到，包括：

对第一验证消息中的时间戳T、第一客户端的身份信息以及第二客户端的身份信息进行杂凑运算得到第一杂凑值；

利用第一客户端的签名密钥对第一杂凑值进行HMAC运算获得第一验证值SH。

6.根据权利要求5所述的一种会话密钥协商方法，其特征在于，所述利用存储在密钥交换服务器的签名密钥对第一验证消息进行验证得到第二验证值SH’，包括：

对第一客户端发送的第一验证请求中的第一验证消息进行杂凑运算得到第二杂凑值；

利用第一客户端的签名密钥对第二杂凑值进行HMAC运算获得第二验证值SH’。

Images