[发明专利]一种密钥分发的方法、系统和设备

说明书

技术领域

本发明涉及网络安全技术，特别涉及一种密钥分发的方法、系统 和设备。

背景技术

随着网络安全技术的不断发展，对网络的安全保护技术要求也越 来越高，密码学是网络与信息安全的核心技术，现代密码学的安全是 建立在密钥的保护而不是算法保密的基础上的，因此密钥的保护管理 成了信息保密的关键。密钥的管理包含密钥的生成、存储、分发等， 而密钥的分发是密钥管理的一个关键问题。在基于对称密码系统中， 为了解决密钥的分发问题，通常存在密钥分发服务器，系统中待通信 的双方都与密钥分发服务器存在共享密钥，通过一定的消息交换建立 一个用于保护双方通信的共享密钥。

在实际应用的过程中，通常会遇到如下情况：客户节点与验证服 务器之间存在一个或多个共享密钥Kas，第三方设备与验证服务器之 间存在一个或多个共享密钥Kbs，然而在客户节点和第三方设备之间 需要进行消息交互时，为了对该客户节点和第三方设备之间消息的交 互进行安全保护，则需要在客户节点和第三方设备之间存在共享密钥 Kab。这就需要验证服务器生成客户节点和第三方设备之间的共享密 钥Kab，并将该Kab分发给客户节点和第三方设备，使得客户节点和 第三方设备能够获取该Kab。例如图1所示的网络架构中，作为验证 服务器的家乡EAP服务器，需要生成EAP客户节点和本地认证服务 器之间的共享密钥。

现有技术中，密钥分发的过程主要为：客户节点向第三方设备发 送客户节点标识IDa和第三方设备标识IDb的密钥分发请求；第三方 设备接收到该密钥分发请求后，向验证服务器发送包含客户节点标识 IDa和第三方设备标识IDb的密钥分发请求；验证服务器收到第三方 设备发送的密钥分发请求后，利用客户节点和验证服务器之间的共享 密钥Kas、与Kab用途相关的字符串Label、客户节点标识IDa、第 三方设备标识IDb以及密钥长度等密钥生成材料生成共享密钥Kab， 并将该生成的Kab、IDa、IDb、Kab生存期等利用Kbs进行加密后形 成的部分和将生成的Kab、IDa、IDb、Kab生存期等利用Kas生成 MIC的部分发送给第三方设备；第三方设备利用Kbs对加密的部分 进行解密，从而获取Kab，并将利用Kas进行完整性保护的部分转发 给客户节点；客户节点利用Kas对第三方设备转发来的部分信息进行 完整性验证，验证通过后获取到Kab。

在实现本发明的过程中，发明人发现现有技术至少存在以下问 题：

由于验证服务器生成的共享密钥Kab所使用的密钥材料均是固 定不变的参数，当在Kab的生存期内，一旦该Kab泄漏，则无法对 该Kab进行变更，降低了密钥分发的安全性。

发明内容

本发明实施例提供了一种密钥分发的方法、系统和设备，以实现 提高密钥分发的安全性。

一种密钥分发的方法，该方法包括：

客户节点通过第一消息向第三方设备发送密钥分发请求，所述第 一消息中包含可变参数，所述第一消息受客户节点与验证服务器间共 享密钥Kas的保护；

所述第三方设备接收到所述第一消息后，通过第二消息向验证服 务器发送密钥分发请求；

所述验证服务器接收到所述第二消息后，利用包含所述可变参数 的密钥材料计算客户节点和第三方设备之间的共享密钥Kab，通过包 含Kab和密钥材料的第三消息向第三方设备发送密钥分发应答；

所述第三方设备接收到所述第三消息后，获取所述Kab，并将所 述密钥材料转发给客户节点；所述客户节点接收到所述密钥材料后， 利用该密钥材料，采用和验证服务器相同的方法计算Kab。

一种密钥分发的系统，该系统包括：客户节点、第三方设备和验 证服务器；

所述客户节点，用于通过第一消息向第三方设备发送密钥分发请 求，接收到所述第三方设备转发的密钥材料后，利用该密钥材料，采 用和验证服务器相同的方法计算自身与第三方设备间的共享密钥 Kab；

所述第三方设备，用于在接收到所述客户节点发送的第一消息 后，通过第二消息向验证服务器发送密钥分发请求，接收到所述验证 服务器发送的密钥分发应答后，获取该密钥分发应答中包含的Kab， 将该密钥分发应答中包含的密钥材料转发给所述客户节点；