【技术实现步骤摘要】
本专利技术涉及信息安全,特别涉及一种密钥交换方法、装置、设备及存储介质。
技术介绍
1、随着量子计算技术的发展,现役公钥密码算法的安全性受到了严重的挑战,特别是基于大整数因子分解和离散对数问题设计的密码算法。为了解决这个潜在的问题,密码学者研制出了一批能抵抗量子计算攻击的密码算法,称为后量子公钥密码算法。但目前因为应用时间很短,这些算法不太成熟,因此现役公钥密码算法与后量子公钥密码算法的混合使用是目前主流的使用方式,如应用在密码协议中。
2、目前,以国密算法为基础的国密isakmp(internet security association andkey management protocol,即因特网安全关联和密钥管理协议)协议在密钥交换过程中使用了sm2算法进行密钥交换和身份鉴别,而sm2算法在量子计算环境下存在严重的安全隐患,同时以国际ikev2协议进行后量子公钥密码融合设计时协议处理流程复杂,而且只考虑了密钥交换功能,并没有考虑身份鉴别功能。
技术实现思路
1、有鉴于此,本专利技术的目的在于提供一种密钥交换方法、装置、设备及存储介质,能够保留现役公钥密码算法及功能,并将后量子公钥密码算法置入国密isakmp协议框架中,从而实现协议在具备现役公钥密码安全性的同时实现量子安全性,同时,在后量子公钥密码融合设计时,在密钥交换后进行了身份验证,保证了密钥交换过程的可靠性。其具体方案如下:
2、第一方面,本申请提供了一种密钥交换方法,应用于因特网安全关联和密钥
3、基于后量子密钥封装算法和预设国密算法构建安全联盟载荷,并基于所述因特网安全关联和密钥管理协议根据所述安全联盟载荷和相应的后量子密钥交换通知载荷构建通知消息,将所述通知消息发送至消息响应方,以便所述消息响应方根据所述通知消息中的所述安全联盟载荷和所述后量子密钥交换通知载荷向所述消息发起方返回相应的应答消息;
4、根据所述后量子密钥封装算法确定若干后量子密钥封装公钥,基于各所述后量子密钥封装公钥构建相应的第一后量子密钥交换通知并发送至所述消息响应方,以便所述消息响应方接收当前的所述第一后量子密钥交换通知,利用所述后量子密钥封装公钥对相应的临时共享密钥进行加密生成第一后量子密钥密文,并根据所述第一后量子密钥密文构建第一密钥交换应答发送至所述消息发起方;
5、根据所述后量子密钥封装算法确定新的后量子密钥封装公钥和自身的第一后量子签名证书,并基于所述第一后量子签名证书和已确定出的所有后量子密钥封装公钥生成第一后量子签名结果,以及根据所述新的后量子密钥封装公钥、所述第一后量子签名证书和所述第一后量子签名结果构建第二后量子密钥交换通知发送至所述消息响应方,以便所述消息响应方接收所述第二后量子密钥交换通知,利用所述新的后量子密钥封装公钥对新的临时共享密钥进行加密生成第二后量子密钥密文,并基于自身的第二后量子签名证书和所有临时共享密钥生成第二后量子签名结果,根据所述第二后量子密钥密文、所述第二后量子签名证书和所述第二后量子签名结果构建第二密钥交换应答发送至所述消息发起方;
6、基于所述因特网安全关联和密钥管理协议根据所述第二后量子密钥交换通知和所述第二密钥交换应答进行自身和所述消息响应方之间的身份验证。
7、可选的,还包括:
8、收集所述消息发起方当前接收到的所有所述临时共享密钥,并利用发起方和响应方初始交互消息的随机数和当前接收到的所有所述临时共享密钥生成所述消息发起方当前的基准密钥。
9、可选的,所述基于各所述后量子密钥封装公钥构建相应的第一后量子密钥交换通知并发送至所述消息响应方的过程中,包括:
10、基于各所述后量子密钥封装公钥构建相应的所述第一后量子密钥交换通知,确定所述消息发起方当前的所述基准密钥,并基于所述基准密钥对所述第一后量子密钥交换通知进行加密,以得到通知密文;
11、将所述通知密文发送至所述消息响应方,以便所述消息响应方接收并解密所述通知密文,以得到所述第一后量子密钥交换通知,并利用所述后量子密钥封装公钥对相应的所述临时共享密钥进行加密生成所述第一后量子密钥密文,根据所述第一后量子密钥密文构建所述第一密钥交换应答发送至所述消息发起方。
12、可选的,所述基于所述因特网安全关联和密钥管理协议根据所述安全联盟载荷和相应的后量子密钥交换通知载荷构建通知消息,将所述通知消息发送至消息响应方,以便所述消息响应方根据所述通知消息中的所述安全联盟载荷和所述后量子密钥交换通知载荷向所述消息发起方返回相应的应答消息,包括:
13、构建消息分片通知载荷,并基于所述因特网安全关联和密钥管理协议根据所述安全联盟载荷、所述后量子密钥交换通知载荷和所述消息分片通知载荷构建所述通知消息,将所述通知消息发送至所述消息响应方,以便所述消息响应方根据所述通知消息中的所述安全联盟载荷、所述后量子密钥交换通知载荷和所述消息分片通知载荷向所述消息发起方返回相应的所述应答消息;
14、相应的,将所述通知密文发送至所述消息响应方,包括:
15、判断所述第一后量子密钥交换通知的消息数据量是否大于预设网络最大传输单元的数据传输量,若所述消息数据量大于所述预设网络最大传输单元的数据传输量,则判断当前是否存在所述基准密钥;
16、若当前存在所述基准密钥,则基于所述基准密钥对所述通知密文进行分片,并将分片后的所述通知密文发送至所述消息响应方。
17、可选的,所述基于所述基准密钥对所述通知密文进行分片,并将分片后的所述通知密文发送至所述消息响应方,包括:
18、基于所述基准密钥对所述通知密文进行分片,得到若干分片包;
19、确定所述通知密文的分片包数量和各所述分片包的分片序号,并分别将所述分片包数量对应的第一标识和各所述分片包的分片序号对应的第二标识添加至相应的所述分片包的目标位置;所述目标位置为位于所述分片包的消息头之后的位置;
20、基于所述基准密钥生成完整性验证密钥,并利用所述完整性验证密钥对各所述分片包进行加密,以及将加密后的各所述分片包发送至所述消息响应方。
21、第二方面,本申请公开了一种密钥交换方法,应用于因特网安全关联和密钥管理协议的消息响应方,包括:
22、接收消息发起方发送的通知消息,并根据所述通知消息中的安全联盟载荷和后量子密钥交换通知载荷向所述消息发起方发送所述通知消息相应的应答消息;所述通知消息为所述消息发起方基于后量子密钥封装算法和预设国密算法构建安全联盟载荷后,基于因特网安全关联和密钥管理协议根据所述安全联盟载荷和相应的后量子密钥交换通知载荷构建的消息;
23、接收当前所述消息发起方的第一后量子密钥交换通知,利用后量子密钥封装公钥对相应的临时共享密钥进行加密生成第一后量子密钥密文,并根据所述第一后量子密钥密文构建第一密钥交换应答发送至所述消息发起方;所述第一后量子密钥交换通知为所述消本文档来自技高网...
【技术保护点】
1.一种密钥交换方法,其特征在于,应用于因特网安全关联和密钥管理协议的消息发起方,包括:
2.根据权利要求1所述的密钥交换方法,其特征在于,还包括:
3.根据权利要求2所述的密钥交换方法,其特征在于,所述基于各所述后量子密钥封装公钥构建相应的后量子密钥交换通知并发送至所述消息响应方的过程中,包括:
4.根据权利要求3所述的密钥交换方法,其特征在于,所述基于所述因特网安全关联和密钥管理协议根据所述安全联盟载荷和相应的后量子密钥交换通知载荷构建通知消息,将所述通知消息发送至消息响应方,以便所述消息响应方根据所述通知消息中的所述安全联盟载荷和所述后量子密钥交换通知载荷向所述消息发起方返回相应的应答消息,包括:
5.根据权利要求4所述的密钥交换方法,其特征在于,所述基于所述基准密钥对所述通知密文进行分片,并将分片后的所述通知密文发送至所述消息响应方,包括:
6.一种密钥交换方法,其特征在于,应用于因特网安全关联和密钥管理协议的消息响应方,包括:
7.一种密钥交换装置,其特征在于,应用于因特网安全关联和密钥管理协议的消
8.一种密钥交换装置,其特征在于,应用于因特网安全关联和密钥管理协议的消息响应方,包括:
9.一种电子设备,其特征在于,包括:
10.一种计算机可读存储介质,其特征在于,用于保存计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的密钥交换方法。
...【技术特征摘要】
1.一种密钥交换方法,其特征在于,应用于因特网安全关联和密钥管理协议的消息发起方,包括:
2.根据权利要求1所述的密钥交换方法,其特征在于,还包括:
3.根据权利要求2所述的密钥交换方法,其特征在于,所述基于各所述后量子密钥封装公钥构建相应的后量子密钥交换通知并发送至所述消息响应方的过程中,包括:
4.根据权利要求3所述的密钥交换方法,其特征在于,所述基于所述因特网安全关联和密钥管理协议根据所述安全联盟载荷和相应的后量子密钥交换通知载荷构建通知消息,将所述通知消息发送至消息响应方,以便所述消息响应方根据所述通知消息中的所述安全联盟载荷和所述后量子密钥交换通知载荷向所述消息发起方返回相应的应答消息,包括:
<...【专利技术属性】
技术研发人员:王良成,黄锦,张舒黎,张小青,白云飞,黄妙,李文华,
申请(专利权)人:中电科网络安全科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。