[发明专利]一种自适应的复合密钥交换和会话密钥管理方法

摘要

本发明公开了一种自适应的复合密钥交换和会话密钥管理方法，它涉及通信领域中通信实体间信息安全、认证的密钥交换和管理技术。它采用ECMQV点对点密钥交换协议和ECDL基于公钥加密的广播密钥交换和管理协议，以及自适应动态协议切换的技术，以实现认证和加解密过程中的密钥交换；采用密钥备份技术防止密钥交换过程中的密钥中断；采用自适应通信实体探测技术，实现动态的密钥和通信终端管理。本发明具有接口标准、自动可信通信实体密钥管理、自动密钥交换协议切换、使用方便等特点，特别适用于通信实体认证中的密钥交换和管理。

主权项

1. 一种自适应的复合密钥交换和会话密钥管理方法，其特征在于包括步骤：①依据国际电气和电子工程师协会IEEE 1363-2000和IEEE1363a建议规定的密钥交换协议ECMQV，进行网络节点的点对点的会话密钥交换；②依据国际电气和电子工程师协会IEEE 1363-2000和IEEE1363a建议规定的椭圆曲线ECIES公钥加密体系，构建基于公钥加密的密钥分发协议和管理协议ECDL，进行网络节点的点对多点广播会话密钥分发；③依据国际电气和电子工程师协会IEEE 802.1x规定的局域网扩展认证协议EAPoL协议，对EAPoL协议的消息类型进行扩展，定义部分消息内容，进行认证信息和密钥交换信息的传送；④采用会话密钥管理实体维护可信终端表，可信终端表中存储网络中相邻的可信终端ID，MAC地址和会话密钥信息，定时检测对端终端是否存在，定时启动认证过程，认证通过的对端终端被加入可信终端表；不能通过认证的或不存在的对端终端，将从可信终端表中删除；⑤会话密钥管理实体对可信终端表中的每个处于工作状态的可信终端，启动ECMQV会话密钥交换协议，进行网络节点的点对点的会话密钥交换；同时启动基于公钥加密的密钥分发协议ECDL，进行网络节点的点对多点广播会话密钥分发协议；⑥对网络节点的点对点会话密钥，每次交换两个会话密钥，存入可信终端表中，每个会话密钥启动单独的定时器，进行定时的重新交换；对网络节点的广播会话密钥每个终端产生两个会话密钥，用于本节点终端数据帧加密，并发送到每个对端终端；记录每个对端终端的两个会话密钥，用于对端终端数据帧解密，这些密钥都存入可信终端表中；每个本节点终端加密密钥启动100秒定时器，超时100秒则更新加密密钥并启动广播会话密钥分发过程；对每个对端终端的广播会话密钥启动200秒定时器，超时200秒则在可信终端表中删除该密钥；⑦将可信终端采用以太网封装技术和IP封装技术，对加密的数据帧进行封装，采用国际信息处理标准委员会FIPS-PUB-197规定的AES高级加密标准进行对称加密，加密分组长度为16字节，加密密文长度不大于加密前明文长度16字节；可信终端将以太网数据帧长度从1518字节加长为1518+32字节，在密文数据帧中传送密钥序号，与数据终端的明文数据为标准帧长；可信终端在加密明文数据帧时，判断可信终端表中处于工作状态的终端个数，如果只有一个可信终端，则采用ECMQV会话密钥交换协议交换的密钥进行加密，如果有多于一个可信终端，则采用ECDL密钥分发协议中分发的加密密钥进行加密；每种密钥分发方式都有两个会话密钥，加密时二中选一，以保证其中一个会话密钥在重新认证或重新交换时能不间断工作；完成自适应的复合密钥交换和会话密钥管理。