基于共有信息构建与节点选择的对称密钥生成与交换方法技术

本发明专利技术公开一种基于共有信息构建与节点选择的对称密钥生成与交换方法，应用于通信网络安全领域，针对在通信网络中用DH密钥交换技术生成对称密钥时存在的中间人攻击问题，本发明专利技术的通信双方利用通信消息构建关于双方通信过程的共有信息，并以共有信息为基础进行密钥协商，安全且快速的生成对称密钥，然后选择网络中的部分节点作为共有信息节点进行共有信息构建和对称密钥协商，实现安全性和开销均衡的系统构建。的系统构建。的系统构建。

【技术实现步骤摘要】
基于共有信息构建与节点选择的对称密钥生成与交换方法


[0001]本专利技术属于通信网络安全领域，特别涉及一种密钥生成与交换技术。

技术介绍

[0002]近年来，随着网络应用的不断发展，网络安全攻击的数量和破坏力也在不断提高。加密技术因其对网络数据机密性和完整性的有效保护能力，在网络安全保障中发挥了重要的作用。其中，对称加密算法因系统开销低、加密数据量大而广泛用于数据传输保护过程。为了保障密钥的安全性，DH(Diffie
‑
Hellman，迪菲
‑
赫尔曼)密钥交换协议被广泛应用于对称密钥的生成与交换过程。在该协议中，因通信双方依靠共享大素数生成密钥，导致中间人在窃取了一方发送的大素数后，可冒充另一方继续进行密钥协商；同时，中间人可向另一方发送新的大素数，和另一方生成新的密钥。
[0003]当前为解决DH密钥交换协议面临的中间人攻击问题，主要有两类防御方法：一种是对通信用户进行认证的方法，另一种是保护密钥生成过程的方法。但是这两类方法都存在一定的缺陷，通过证书认证和身份认证抵抗中间人攻击的方法需要借助第三方的帮助，这就要求第三方完全可信，但在现实中较难保障。利用转换编码器、二进制生成器、数字签名和上下文感知对密钥生成过程进行保护的方法会导致计算复杂度和密钥生成时间等方面代价的提高。

技术实现思路

[0004]为解决上述技术问题，本专利技术提出一种基于共有信息构建与节点选择的对称密钥生成与交换方法。
[0005]本专利技术采用的技术方案为：一种基于共有信息构建与节点选择的对称密钥生成与交换方法，包括：任意两个节点从通信周期中得到有效消息，由有效消息生成共有信息，对其进行一致性验证后，再用共有信息生成大素数，并通过DH密钥交换协议生成对称密钥；生成对称密钥的过程为：
[0006]A1、通信双方通过对通信过程中的消息取哈希的方式进行完整消息匹配或部分消息匹配，得到有效消息；
[0007]A2、通信双方按照有效消息中的控制字段和内容字段从有效消息中分别进行数据抽样，得到控制矩阵U和内容矩阵V，将两个矩阵融合后得到共有信息矩阵；
[0008]A3、利用共有信息矩阵是实对称矩阵，对其进行特征值求解和特征向量分解后，用特征向量对双方的共有信息进行一致性验证；
[0009]A4、对共有信息矩阵的特征值素数化，得到因素基，对因素基按照因素基更新算法进行多次迭代后得到计算大素数G和P需要的素因子，随后计算出满足要求的大素数G和P；
[0010]A5、最后通信双方根据从共有信息中得到的大素数进行DH密钥交换协议进行协商生成对称密钥，并用消息验证码确保消息密钥协商在通信过程中不被篡改，以实现对称密钥的生成；消息验证码根据共有信息矩阵取哈希的数据生成；
[0011]还包括：在通信需求、计算能力和存储能力的约束下，选择网络中部分节点作为共有信息节点进行密钥生成；具体包括以下步骤：
[0012]B1、对于网络中的节点，计算基于共有信息生成密钥的存储和计算开销；
[0013]B2、根据步骤B1的计算结果，得出相比于使用传统DH密钥交换协议的存储和计算开销加重率；
[0014]B3、基于密钥的破解时间分析，得出相对于使用传统DH密钥交换协议，基于共有信息生成密钥的安全性提升率；
[0015]B4、在节点通信频率、计算和存储能力的约束下，建立最大化系统安全性提升率和最小化系统开销加重率的优化模型；
[0016]B5、通过遗传算法求解该优化模型得到共有信息节点的选择策略。
[0017]本专利技术的有益效果：本专利技术的方法，通过历史通信消息生成共有信息，再通过DH密钥交换协议生成对称密钥，既扩展了历史通信消息的作用，又提高使用DH密钥交换协议生成对称密钥协商时的安全性。同时，本专利技术通过选择部分节点作为共有信息节点生成密钥，可以适用于不同规模的网络，实现该网络的安全性和开销均衡，具有良好的泛化能力与广泛的应用前景。
附图说明
[0018]图1为基于共有信息的对称密钥生成机制的架构图；
[0019]图2为有效消息匹配机制；
[0020]图3为节点选择优化模型示意图；
[0021]图4为CIPSS算法的数据传输流程图。
具体实施方式
[0022]为便于本领域技术人员理解本专利技术的
技术实现思路
，下面结合附图对本
技术实现思路
进一步阐释。
[0023]针对DH密钥交换协议的中间人攻击问题，本专利技术首先设计了基于共有信息的对称密钥生成机制，通信双方先从通信周期中得到有效消息，由有效消息生成共有信息，对其进行一致性验证后，再用共有信息生成大素数，并通过DH密钥交换协议生成对称密钥。然后为了实现在网络中共有信息节点体系的高效构建和维护，本专利技术设计了基于遗传算法的共有信息节点的选择机制，在通信需求、计算能力和存储能力的约束下，选择网络中部分节点作为共有信息节点进行密钥生成，实现开销和安全性均衡的系统构建。下面对技术方案做具体的描述：
[0024]1、基于共有信息的对称密钥生成机制
[0025]本专利技术是利用通信过程中积累的消息内容进行计算，通信双方对于从发送消息中得到有效消息，不能通过对乱序、丢失的数据帧进行重传、重组等方式来实现，同时也不能切入、改变通信的机制和过程。因此，需要在全局数据帧不可靠的基础上，实现局部数据帧的一致性，并基于这种一致性，生成双方的共有信息。通信双方主机H1和主机H2为通信节点对，在H1和H2的通信频率达到一定的门限值F0(F0≥0)后，H1和H2可称为频繁通信节点对。此时，H1和H2可选择与对方协商、启动构建双方对于通信过程认识的共有信息。在构建时，用户
双方需使用的系统公开参数为九元组<T0，N
m
，N
p
，c，d，R
C
，R
D
，>，其中T0表示起始时间，N
m
(N
m
∈N
*
)表示每轮的消息积累数量，c(c≥3，c∈N
*
)表示控制矩阵列数，d(d∈N
*
)表示内容矩阵列数，R
D
(R
D
∈N
*
)和R
C
(R
C
∈N
*
)为随机数，表示本次基于共有信息生成密钥时DH密钥交换协议中需要使用的大素数P的位数，本次基于共有信息生成密钥时DH密钥交换协议中需要使用的本原根G的位数，本原根G也为素数且G＜P。
[0026]H1和H2的实时通信频率F仍处于不断的变化中，假设积累N
m
条消息需要的时间为T
m
，利用历史消息进行共有信息生成和对称密钥生成的时间为T
c
，N
m
的值可由N
m
＝D(F，T
c
)进行设定。其中函数D(F，T
c
)的设计原则是本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于共有信息构建与节点选择的对称密钥生成与交换方法，其特征在于，包括：任意两个节点从通信周期中得到有效消息，由有效消息生成共有信息，对其进行一致性验证后，再用共有信息生成大素数，并通过DH密钥交换协议生成对称密钥；生成对称密钥的过程为：A1、通信双方通过对通信过程中的消息取哈希的方式进行完整消息匹配或部分消息匹配，得到有效消息；A2、通信双方按照有效消息中的控制字段和内容字段从有效消息中分别进行数据抽样，得到控制矩阵U和内容矩阵V，将两个矩阵融合后得到共有信息矩阵；A3、利用共有信息矩阵是实对称矩阵，对其进行特征值求解和特征向量分解后，用特征向量对双方的共有信息进行一致性验证；A4、对共有信息矩阵的特征值素数化，得到因素基，对因素基按照因素基更新算法进行多次迭代后得到计算大素数G和P需要的素因子，随后计算出满足要求的大素数G和P；A5、最后通信双方根据从共有信息中得到的大素数进行DH密钥交换协议进行协商生成对称密钥，并用消息验证码确保消息密钥协商在通信过程中不被篡改，以实现对称密钥的生成；消息验证码根据共有信息矩阵取哈希的数据生成；还包括：在通信需求、计算能力和存储能力的约束下，选择网络中部分节点作为共有信息节点进行密钥生成；共有信息节点的选择过程包括以下步骤：B1、对于网络中的节点，计算基于共有信息生成密钥的存储和计算开销；B2、根据步骤B1的计算结果，得出相比于使用传统DH密钥交换协议的存储和计算开销加重率；B3、基于密钥的破解时间分析，得出相对于使用传统DH密钥交换协议，基于共有信息生成密钥的安全性提升率；B4、在节点通信频率、计算和存储能力的约束下，建立最大化系统安全性提升率和最小化系统开销加重率的优化模型；B5、通过遗传算法求解该优化模型得到共有信息节点的选择策略。2.根据权利要求1所述的一种基于共有信息构建与节点选择的对称密钥生成与交换方法，其特征在于，步骤A1具体为：记通信双方中其中一方为H1，另一方为H2；记H1积累的通信消息集合为S1，H2积累的通信消息集合为S2；若H2的消息缓存数量达到N
m
时，H2向H1发送完整消息匹配请求，H1收到完整消息匹配请求后，进行一次完整消息匹配；H1和H2分别对各自按时间先后顺序进行排列的消息集合S1和S2取哈希，当双方的哈希结果一致时，则完整消息匹配成功，H1向H2发送应答消息；否则完整消息匹配失败，进行部分消息匹配；部分消息匹配过程为：分别对S1和S2各自的子集进行匹配，若两个子集的哈希结果一致，则部分消息匹配成功；否则舍弃本轮通信周期中的消息，重新开始新一轮的通信周期；将完整消息匹配或部分消息匹配成功的消息作为有效消息。3.根据权利要求2所述的一种基于共有信息构建与节点选择的对称密钥生成与交换方法，其特征在于，在部分消息匹配过程中，S1和S2各自的子集采用步进函数进行取样得到；步
进函数表达式为：S(x)＝ai+11≤ai+1≤N
m
，a为大于或等于2且小于或等于N
m
的正整数，每一次采样a以大小为y的步长进行增加，i≥0，每一次采样时i以每次增加1的步长逐渐递增。4.根据权利要求3所述的一种基于共有信息构建与节点选择的对称密钥生成与交换方法，其特征在于，步骤A2具体过程为：记控制字段为内容字段为首先将含字段的字节按顺序拼接成一个字段，其中含有个字节，控制矩阵列数为c；将含字段的字节按顺序拼接成一个字段，其中含有个字节，控制矩阵列数为d；对中的数据进行抽样时，若则将个字节均作为抽样字节数据，其余部分补零；若时，则将中的内容分成c组，从每一组数据中进行抽样，每...

【专利技术属性】
技术研发人员：韦云凯，王艺霖，冷甦鹏，杨鲲，刘强，朱佑存，
申请(专利权)人：电子科技大学长三角研究院衢州，
类型：发明
国别省市：