[发明专利]基于密钥管理协议的认证系统和方法

说明书

技术领域

本发明涉及通信安全技术领域，具体而言，涉及一种基于密钥管理协议(Key Management Protocol，简称KMP)的认证系统和方法。

背景技术

路由协议的安全是一项关键的技术，在IETF中有很多工作组对其进行研究和标准化，其中KARP工作组主要研究路由技术中的认证技术以及在认证中所需要的密钥管理。在KARP工作组中，提出一个KMP的概念，其中，KMP运行在两个执行路由协议的通信实体之间，为这两个通信实体提供认证，产生会话密钥和更新会话密钥。KMP之所以重要是因为人工的密钥管理方案更加依赖于管理员的工作，一旦网络规模变大，管理员将对复杂的密钥管理束手无策。

目前的基于KMP的系统如图1所示，其包括：标识模块(Identifier)102、密钥管理模块104、认证模块(Identity Proof)106、密钥存储模块(Keystore)108和路由协议模块110。

在工作状态下，标识模块102向密钥管理模块104提供需要通信的对端的ID值，密钥管理模块104从密钥存储模块108中获取根密钥用来生成会话密钥并送交所需要密钥的路由协议模块110。密钥存储模块108存储根密钥、会话密钥。

但是，在上述的系统架构中，由于没有将用于认证和产生会话密钥的根密钥与会话密钥分离开，从而导致在存取KMP协议的每一种密钥时，均需要和图1中的密钥存储模块108进行交互，这可能对密钥存储模块造成较大压力。同时，由于使用同一个数据库来存储根密钥和会话密钥，从而在模块访问数据库时均可能获得或破坏根密钥，这样，给黑客留下了可以攻击的机会。

此外，上述方法还可能导致另外一个问题：由于认证模块106并没有与密钥存储模块108交互，从而无法获得密钥存储模块108所保存的根密钥，这样，认证模块无法生成认证信息，从而使得通信双方无法对对方进行认证，降低了通信的安全性。

发明内容

本发明的主要目的在于提供一种基于密钥管理协议的认证系统和方法，以至少解决现有技术中通信双方无法对对方进行认证，从而降低了通信的安全性问题。

根据本发明的一个方面，提供了一种基于密钥管理协议的认证系统，其包括：身份模块、密钥管理模块、认证模块、密钥存储模块、路由协议模块，其中，上述认证模块与上述密钥存储模块连接，用于从上述密钥存储模块获取认证信息，并根据上述认证信息对通信实体进行认证。

进一步地，上述密钥存储模块用于保存与用户身份相关的长期密钥，并根据用户的标识信息所对应的上述长期密钥生成用于认证的上述认证信息。

进一步地，上述密钥管理模块用于将根据上述认证信息产生的或从上述认证模块接收的会话密钥发送给上述密钥存储模块，上述密钥存储模块将上述会话密钥发送到上述路由协议模块，其中，上述认证模块根据上述认证信息产生上述会话密钥。

进一步地，上述密钥管理模块用于将根据上述认证信息产生的或从上述认证模块接收的会话密钥发送给上述路由协议模块，其中，上述认证模块根据上述认证信息产生上述会话密钥。

进一步地，上述密钥存储模块还用于存储长期密钥材料和短期密钥材料，其中，上述长期密钥材料包括以下至少之一：用户的根密钥、证书；上述短期密钥材料由长期密钥生成。

根据本发明的另一方面，提供了一种基于密钥管理协议的认证系统，其包括：密钥管理模块、认证模块、路由协议模块、身份模块、长期密钥存储模块和短期密钥存储模块，其中，上述认证模块用于接收上述密钥管理模块发送的通信实体的标识信息，向上述长期密钥存储模块发送携带有上述标识信息的认证消息，接收来自上述长期密钥存储模块的与上述标识信息对应的认证信息，并使用上述认证信息进行认证。

进一步地，上述认证模块还用于产生用于通信的会话密钥，并将上述会话密钥发送给上述密钥管理模块，其中，上述密钥管理模块用于将上述会话密钥发送给路由协议模块；或者，上述认证模块还用于通知上述密钥管理模块产生上述会话密钥，其中，上述密钥管理模块将上述会话密钥发送给上述路由协议模块，上述短期密钥存储模块用于接收并保存来自上述认证模块或上述密钥管理模块的上述会话密钥。

根据本发明的又一方面，提供了一种基于密钥管理协议的认证方法，其包括：上述认证模块从密钥存储模块获取认证信息，并根据上述认证信息对通信实体进行认证。

进一步地，上述认证模决从密钥存储模块获取认证信息包括：上述密钥存储模块获取与上述通信实体的标识信息对应的长期密钥；上述密钥存储模块根据上述长期密钥生成上述认证信息；上述密钥存储模块将上述认证信息发送给上述认证模块。