[发明专利]一种基于对称密钥池和中继通信的类AKA身份认证系统和方法

说明书

本发明公开了一种基于对称密钥池和中继通信的类AKA身份认证系统和方法，AKA身份认证系统包括参与AKA身份认证的成员、中继和服务器，所述成员、中继和服务器三者共享有群组密钥池，成员和中继在AKA身份认证过程中分别利用来自群组密钥池的密钥种子再结合随机数参数计算得到成员和中继之间的协商密钥；其中所述随机数参数是利用指针地址A在群组密钥池中相应获得，在AKA身份认证过程中，中继通过服务器获取所述指针地址A，成员经由中继从服务器获取生成所述指针地址A的参数，再通过该参数生成所述指针地址A。本发明可进一步提高通信的安全性。

技术领域

本发明涉及安全通信技术领域，具体涉及基于群组数据网络的私密身份认证和密钥协商。群组各成员均拥有相同的密钥池，即群组密钥池。

背景技术

鉴权，即身份认证是实现信息安全的基本技术，系统通过审查用户的身份来确认该用户是否具有对某种资源的访问和使用权限，同样也可以进行系统与系统间的身份认证。

随着量子计算机的发展，经典非对称加密算法将不再安全，无论是认证还是加解密领域，对称密钥算法将大行其道。比如目前在移动通信领域比较常用的基于对称密钥算法的鉴权方法之一的AKA机制。AKA全称“Authentication and Key Agreement”，即鉴权和密钥协商。顾名思义，AKA机制在身份认证的同时并进行了密钥的协商，为后续通信的加密提供了密钥保障。

作为安全性升级的方案，对称密钥池的方式将是一种保证密钥安全的重要方案乃至主流方案。同时可以对对称密钥池中的全部或部分内容进行加密存储，加密密钥可以存储到对称密钥池宿主的安全隔离装置中。后续对对称密钥池进行密钥操作时，需要由安全隔离装置解密后使用。有关对称密钥池可参见公开号为CN105337726A，发明名称为“基于量子密码的端对端手持设备加密方法及系统”的发明专利文献，公开了一种基于量子密码的端对端手持设备加密方法，其量子通信的两台密钥分发设备之间，通过QKD形成了一对对称密钥，用于QKD双方的用户进行量子加密通信。

在一部分单位组成的组播网络中，群组成员通过群组密钥加密的方式加密发送数据。目前，在群组会话领域一般采取两种群组会话密钥生成方式：群组密钥分配和群组密钥协商。群组密钥分配的优点在于简单，并且只需要较少的计算量和通信量。但是这种密钥建立的方式需要一个可信的第三方作为密钥分配者。这一条件在现实网络环境下很难实现。群组密钥协商的协议中，所有参与者提供协议规定的秘密信息，共同建立会话密钥。尽管群组密钥协商协议与群组密钥分配协议相比需要消耗更多的计算量和通信量，但不需要可信第三方的参与。这一优点使得群组密钥协商成为目前群组密钥建立协议中的研究热点。

现有技术存在的问题：

1.在群组通信中，群组密钥协商所涉及到的密钥种子通常只有1个或者少量，无法保持密钥种子的新鲜性或者可变动的范围较小，容易被破解。

2.目前群组中实现成员与中继之间的加密方式主要依靠群组密钥进行加密，双方之间没有用于单独通信的密钥，重要信息的传输相对不够安全。一旦群组密钥被破解，所有的信息都会泄露。

3.AKA机制中密钥生成中的随机数参数处于暴露状态，会增加协商密钥被破解的风险。并且SQN的校验机制的验证呈范围性，不具有唯一性，存在一定的偶然性。

4.鉴权中消息的收发均大多采用明文形式发送或者保密性不强的加密方式进行加密，这样容易将关键信息泄露，降低鉴权的安全性。

发明内容

本发明提供一种基于对称密钥池的类AKA身份认证系统，可进一步提高通信的安全性。

一种基于对称密钥池和中继通信的类AKA身份认证系统，包括参与AKA身份认证的成员、中继和服务器，成员和中继之间通过AKA身份认证生成协商密钥以供两者之间的加密通信，成员和中继之间的协商密钥的生成方式为：