[发明专利]一种密钥分发的方法、系统和设备

说明书

技术领域

本发明涉及网络安全技术，特别涉及一种密钥分发的方法、系统和设备。

背景技术

随着网络安全技术的不断发展，对网络的安全保护技术要求也越来越高，密码学是网络与信息安全的核心技术，现代密码学的安全是建立在密钥的保护而不是算法保密的基础上的，因此密钥的保护管理成了信息保密的关键。密钥的管理包含密钥的生成、存储、分发等，而密钥的分发是密钥管理的一个关键问题。在基于对称密码系统中，为了解决密钥的分发问题，通常存在密钥分发服务器，系统中待通信的双方都与密钥分发服务器存在共享秘密，通过一定的消息交换建立一个用于保护双方通信的共享密钥。

在实际应用的过程中，通常会遇到如下情况：客户节点与验证服务器之间存在一个或多个共享秘密Kas，第三方设备与验证服务器之间存在一个或多个共享秘密Kbs，然而在客户节点和第三方设备之间需要进行消息交互时，为了对该客户节点和第三方设备之间消息的交互进行安全保护，则需要在客户节点和第三方设备之间存在共享密钥Kab。这就需要验证服务器生成客户节点和第三方设备之间的共享密钥Kab，并将该Kab分发给客户节点和第三方设备，使得客户节点和第三方设备能够获取该Kab。例如图1所示的网络架构中，作为验证服务器的家乡EAP服务器，需要生成EAP客户节点和本地认证服务器之间的共享密钥。

现有技术中，密钥分发的过程主要为：客户节点向第三方设备发送客户节点标识IDa和第三方设备标识IDb的密钥分发请求；第三方设备接收到该密钥分发请求后，向验证服务器发送包含客户节点标识IDa和第三方设备标识IDb的密钥分发请求；验证服务器收到第三方设备发送的密钥分发请求后，利用客户节点和验证服务器之间的共享密钥Kas、与Kab用途相关的字符串Label、客户节点标识IDa、第三方设备标识IDb以及密钥长度等密钥生成材料生成共享密钥Kab，并将该生成的Kab、IDa、IDb、Kab生存期等利用Kbs进行加密后形成的部分和将生成的Kab、IDa、IDb、Kab生存期等利用Kas生成MIC的部分发送给第三方设备；第三方设备利用Kbs对加密的部分进行解密，从而获取Kab，并将利用Kas进行完整性保护的部分转发给客户节点；客户节点利用Kas对第三方设备转发来的部分信息进行完整性验证，验证通过后获取到Kab。

然而，在现有技术的方法中，由于验证服务器生成的共享密钥Kab所使用的密钥材料均是固定不变的参数，当在Kab的生存期内，一旦该Kab泄漏，则无法对该Kab进行变更，这必然降低了密钥分发的安全性。

发明内容

本发明实施例提供了一种密钥分发的方法、系统和设备，以便于提高密钥分发的安全性。

一种密钥分发的方法，该方法包括：

客户节点向第三方设备发送第一密钥分发请求；所述第三方设备接收到所述第一密钥分发请求后，向验证服务器发送第二密钥分发请求；

所述验证服务器接收到所述第二密钥分发请求后，利用包含可变参数的密钥材料计算客户节点和第三方设备之间的共享密钥Kab，向所述第三方设备发送包含Kab和密钥材料的密钥分发应答；

所述第三方设备接收到所述密钥分发应答后，获取所述Kab，并将所述密钥材料转发给客户节点；所述客户节点接收到所述密钥材料后，利用该密钥材料，采用和验证服务器相同的方法计算Kab。

一种密钥分发的系统，该系统包括：客户节点、第三方设备和验证服务器；

所述客户节点，用于向第三方设备发送第一密钥分发请求，接收到所述第三方设备转发的密钥材料后，利用该密钥材料，采用和验证服务器相同的方法计算Kab；

所述第三方设备，用于接收到所述客户节点发送的第一密钥分发请求后，向验证服务器发送第二密钥分发请求，接收到所述验证服务器发送的密钥分发应答后，获取该密钥分发应答中包含的Kab，将该密钥分发应答中包含的密钥材料转发给所述客户节点；

所述验证服务器，用于接收到所述第三方设备发送的第二密钥分发请求后，利用包含可变参数的密钥材料计算客户节点和第三方设备之间的共享密钥Kab，向所述第三方设备发送包含所述Kab和密钥材料的密钥分发应答。

一种验证服务器，该验证服务器包括：接收单元、计算单元和发送单元；

所述接收单元，用于接收密钥分发请求；

所述计算单元，用于在所述接收单元接收到密钥分发请求后，利用包含可变参数的密钥材料计算客户节点和第三方设备之间的共享密钥Kab；

所述发送单元，用于发送包含所述Kab和密钥材料的密钥分发请求。