[发明专利]用于建立会话密钥的方法和设备

说明书

技术领域

本发明涉及网络通信的领域，并且具体地，涉及网络的实体之间的加密通信。

背景技术

通信网络的两个实体之间的会话密钥的建立是实施大多数的加密服务(其旨在为这些实体之间的交换提供安全性)的基本前提。因而，可交换的数据针对攻击(其目的在于修改所述数据或者简单地获得其信息)的保护通常依靠对称加密原语，其中，彼此通信的实体利用用于发送(加密，完整性保护)和接收(解密，检查完整性)消息的相同密钥。

会话密钥的建立是有意在通信实体的使用期限期间发生若干次的过程。针对与每个新的通信者进行的每次安全交换必须使用新的对称密钥。当实体在提升成员之间的交互的场景中为参与者时，这些通信者都会更多，所述场景例如，传感器网络(无线传感器网络，WSN)、机器到机器(M2M)或者物联网(IoT)类型。此外，会话密钥的特点在于有限的使用期限，并且必须定期地刷新。因而，用于建立会话密钥所实施的过程是特别重要的，并且需要仔细的设计。

若干参数需要被视为用于判断会话密钥建立协议的质量。首先，必须保证协议的安全性。因而，必须确保建立的密钥的机密性和两个通信者的相互身份认证。添加至此的是其它的安全性参数，诸如针对拒绝服务攻击的保护，其保护了包括在针对攻击(其目的在于消耗实体的电源和/或系统资源)的协议执行中的实体。其次，会话密钥建立协议在所需的通频带和功耗方面，并且特别地从实施加密计算的观点来看必须是高效的。在会话密钥建立协议需要由仅具有小电源(诸如，电池)的实体、或者仅具有低计算量和/或存储容量的实体来实施时，第二个标准是特别重要的。最后，协议可以提供额外的功能，诸如实施协议的两个节点之间的身份认证机制的互通性，或者在密钥的交换期间集中控制的可能性，和/或伴随建立的密钥的安全策略的集中限定的可能性。

具体地，已经针对在两个节点之间建立会话密钥而开发了三种方法。

第一种是密钥传输，其包括采用加密保证的方式将一个或多个加密值从两个参与者中的一个传输至另一个。加密值的这些传输可能在单个方向上发生，这种模式被称作为“单通密钥传输协议”，或者可能在两个方向上发生，这种模式被称作为“双通密钥传输协议”。然后，会话密钥从这些加密值得到。

建立会话密钥的第二种方案是密钥协商。这种方法包括在两个节点之间交换公共值，这样公共会话密钥由参与交换的两个实体来恢复，而不需要对交换的公共值解码。称作为“密钥协商”的主协议为迪菲-赫尔曼(Diffie-Hellman)协议。在资源消耗方面，原则上是针对加密操作所消耗的功率，“密钥协商”是一种昂贵的方法。

建立会话密钥的第三种方案是密钥分配。在这种方法中，通常被作为“信任的第三方”的第三实体进行干预以将加密值(其允许其它的两个参与者计算会话密钥)或者将会话密钥本身提供给其它的两个参与者。然而，密钥分配也需要两个参与者之间的直接交换。这是因为后者要提供它们参与协议的证据，建立它们发送的消息的新鲜度，并且证明它们得知建立的加密。尽管方案易于实现，并且在所需的加密操作和功耗方面是权重较轻的，但是密钥分配具有的缺点尚未被现有的方案解决。

周知的“密钥分配”方案是Needham和Schroeder协议，或者Kerberos协议，甚至MIKEY-Ticket方法。

在“Usingencryptionforauthenticationinlargenetworksofcomputers”，ACM通信，21卷，12号，1978的文档中提出的Needham和Schroeder密钥传输协议，包括在两个实体之间的五个消息交换，发起方(I)和响应方(R)中的每个与信任的第三方(TC)共享加密密钥。五个消息的交换示于图1中。Needham和Schroeder协议的主要问题之一是由伪装为发起方并且在发起方与响应方之间重播第三消息(消息3)的攻击者的假冒攻击。然后，攻击者(其可能知道由信任的第三方产生的密钥)将第四消息解密，并且通过发送最终消息来侵占会话。