[发明专利]密钥更新的处理方法、设备和系统

说明书

技术领域

本发明实施例涉及通信技术领域，尤其涉及一种密钥更新的处理方法、设备和系统。

背景技术

为了保证通信的安全性，密钥管理平台分别向需要进行通信交互的第一物理机和第二物理机发送与第一物理机和第二物理机之间进行的通信交互所对应的会话密钥。该会话密钥包括第一密钥和第二密钥，其中，第一密钥为第一物理机的发送密钥和第二物理机的接收密钥，从而第二物理机可以应用第一密钥对第一物理机发送的且应用第一密钥进行加密处理的通信报文进行解密，第二密钥为第一物理机的接收密钥和第二物理机的发送密钥，从而第一物理机可以应用第二密钥对第二物理机发送的且应用第二密钥进行加密处理的通信报文进行解密。

为了进一步地提高通信安全，密钥管理平台会对第一物理机和第二物理机之间的会话密钥进行定期的动态更新，由于第一物理机和第二物理机接收密钥管理平台发送的新密钥的时间以及进行密钥更新处理的时间未必同步，因此，在此期间第一物理机与第二物理机之间的通信报文因不能正确解密而导致报文丢弃。现有技术中所采用的解决措施是必须在专用的时间段对两个物理机同时进行密钥更新，在确保两个物理机都对会话密钥进行更新完毕后，才指示第一物理机和第二物理机应用新的会话密钥进行通信交互，因此，在对密钥进行更新的专用的时间段内，第一物理机和第二物理机之间无法进行正常的通信交互，具有一定的局限性。

发明内容

针对现有技术的上述缺陷，本发明实施例提供一种密钥更新的处理方法、设备和系统。

本发明一方面提供一种密钥更新的处理方法，包括：

密钥管理平台向第一物理机发送用于将所述第一物理机的原发送密钥第一密钥更新为新发送密钥第三密钥的第一更新指示消息；

所述密钥管理平台若接收到所述第一物理机返回的第一更新成功响应消息，则更新本地的密钥集，指示所述第一物理机将待发送给第二物理机的加密报文通过所述密钥管理平台进行转发处理，并向所述第二物理机发送用于将所述第二物理机的原发送密钥第二密钥更新为新发送密钥第四密钥，以及将所述第二物理机的原接收密钥第一密钥更新为新接收密钥第三密钥的第二更新指示消息；

所述密钥管理平台若接收到所述第二物理机返回的第二更新成功响应消息，则更新所述密钥集，指示所述第二物理机将待发送给所述第一物理机的加密报文通过所述密钥管理平台进行转发处理，并指示所述第一物理机将待发送给所述第二物理机的加密报文直接发送给所述第二物理机，且向所述第一物理机发送用于将所述第一物理机的原接收密钥第二密钥更新为新接收密钥第四密钥的第三更新指示消息；

所述密钥管理平台若接收到所述第一物理机返回的第三更新成功响应消息，则更新所述密钥集，指示所述第二物理机将待发送给所述第一物理机的加密报文直接发送给所述第一物理机。

本发明另一方面提供一种密钥管理平台，包括：

发送模块，用于向第一物理机发送用于将所述第一物理机的原发送密钥第一密钥更新为新发送密钥第三密钥的第一更新指示消息；

第一处理模块，用于若接收到所述第一物理机返回的第一更新成功响应消息，则更新本地的密钥集，指示所述第一物理机将待发送给第二物理机的加密报文通过所述密钥管理平台进行转发处理，并向所述第二物理机发送用于将所述第二物理机的原发送密钥第二密钥更新为新发送密钥第四密钥，以及将所述第二物理机的原接收密钥第一密钥更新为新接收密钥第三密钥的第二更新指示消息；

第二处理模块，用于若接收到所述第二物理机返回的第二更新成功响应消息，则更新所述密钥集，指示所述第二物理机将待发送给所述第一物理机的加密报文通过所述密钥管理平台进行转发处理，并指示所述第一物理机将待发送给所述第二物理机的加密报文直接发送给所述第二物理机，且向所述第一物理机发送用于将所述第一物理机的原接收密钥第二密钥更新为新接收密钥第四密钥的第三更新指示消息；

第三处理模块，用于若接收到所述第一物理机返回的第三更新成功响应消息，则更新所述密钥集，指示所述第二物理机将待发送给所述第一物理机的加密报文直接发送给所述第一物理机。

本发明又一方面提供一种密钥更新的处理系统，包括：第一物理机、第二物理机，以及上述的密钥管理平台。