[发明专利]一种密钥分配方法

说明书

技术领域

本发明涉及一种密钥分配方法，特别涉及一种基于密钥分配中心的密钥分配方法。

背景技术

当通信网络实体之间需要进行保密通信时，密钥管理是其中的关键技术之一。小型网络可采用每对用户共享一个密钥的方法，但在大型网络中却不可行。一个具有N个用户的系统，为实现任意两个用户之间的保密通信，则需要生成和分配N(N-1)/2个密钥才能保证网络中任意两用户之间的保密通信。随着系统规模的增大，复杂性剧增，对于N为1000的网络而言，就需要约50万个密钥进行分配、存储等。为了降低复杂性，通常采用中心化密钥管理方式，由一个可信赖的联机服务器作为密钥分配中心KDC(KeyDistribution Center)或密钥转递中心KTC(Key Transportation Center)来实现，图1-4给出常见的几种基本模式，其中k为第一实体A和第二实体B之间的通信会话密钥。

图1中，第一实体A向密钥分配中心请求分发与第二实体B通信所用的密钥，则密钥分配中心生成k分别传递给第一实体A和第二实体B，该传递过程分别利用密钥分配中心与A和密钥分配中心与B的预共享密钥加密实现；图2中，第一实体A向密钥分配中心请求分发与第二实体B通信所用的密钥，则密钥分配中心生成k传递给第一实体A，并通过A转递给第二实体B，该传(转)递过程分别利用密钥分配中心与A和密钥分配中心与B的预共享密钥加密实现。

图3中，第一实体A将与第二实体B的通信密钥k传送给密钥转递中心，密钥转递中心再传递给第二实体B，该传递过程分别利用密钥转递中心与A和密钥转递中心与B的预共享密钥加密实现；图4中，第一实体A将与第二实体B的通信密钥k传送给密钥转递中心，密钥转递中心再通过A转递给第二实体B，该传(转)递过程分别利用密钥转递中心与A和密钥转递中心与B的预共享密钥加密实现。

由于有密钥分配中心或密钥转递中心参与，可实现每对实体每次通信时使用一个新鲜的通信密钥，但各用户需保存一个与密钥分配中心或密钥转递中心共享的较长期使用的秘密管理密钥，且对于密钥分配中心和密钥转递中心而言，不仅需存储数量巨大的秘密管理密钥，而且承担较大的安全风险，因为其一旦出现问题将直接威胁整个系统的安全，再者上述这些密钥分配方法均不具有密钥的完善前向保密性PFS(Perfect Forward Secrecy)。

发明内容

本发明为解决背景技术中存在的上述技术问题，基于三元对等鉴别(TePA)原理，而提出一种安全地为每对实体分发通信密钥，使密钥具有PFS属性，降低系统密钥管理复杂度的密钥分配方法。

本发明的技术解决方案是：本发明为一种密钥分配方法，其特殊之处在于：该方法包括以下步骤：

1)需要进行通信的第一实体和第二实体各自分别产生一对临时公私钥对；

2)通过第一实体和第二实体各自产生的临时公私钥对，向密钥分配中心申请，得到通信会话密钥。

上述步骤2)包括如下具体步骤：

2.1.1)第一实体向密钥分配中心发送密钥请求消息，该消息包含第一实体的临时公钥；

2.1.2)密钥分配中心收到第一实体发来的密钥请求消息后，产生第一实体和第二实体之间的通信会话密钥，密钥分配中心使用第一实体的临时公钥加密通信会话密钥后，构成密钥响应消息返回给第一实体；

2.1.3)第一实体收到密钥响应消息后，利用自己的临时私钥解密得到通信会话密钥；

2.1.4)第二实体向密钥分配中心发送密钥请求消息，该消息包含第二实体的临时公钥；

2.1.5)密钥分配中心收到第二实体发来的密钥请求消息后，将第一实体和第二实体之间的通信会话密钥使用第二实体的临时公钥加密后，构成密钥响应消息返回给第二实体；

2.1.6)第二实体收到密钥响应消息后，利用自己的临时私钥解密得到通信会话密钥。

上述步骤2)包括如下具体步骤：

2.2.1)第一实体向密钥分配中心发送密钥请求消息，该消息包含第一实体的临时公钥；

2.2.2)密钥分配中心收到第一实体发来的密钥请求消息后，产生第一实体和第二实体之间的通信会话密钥，密钥分配中心使用第一实体的临时公钥加密通信会话密钥后，构成密钥响应消息返回给第一实体；

2.2.3)第一实体收到密钥响应消息后，利用自己的临时私钥解密得到通信会话密钥；

2.2.4)第二实体通过第一实体的转递向密钥分配中心发送密钥请求消息，该消息包含第二实体的临时公钥；