密钥交换的方法及装置的制造方法
【技术领域】
[0001 ]本发明涉及信息技术领域,特别涉及一种密钥交换的方法及装置。
【背景技术】
[0002]随着因特网规模以及用户数量的逐年增加,各种网络方式层出不穷,不断改变着人们的生活方式。然而由于网络的开放性以及匿名性,网络安全问题日益突出,现有网络中通过通信双方确认密钥,以实现对传输信息的加密,然而通信双方如何进行密钥交换成为一个重要问题。
[0003]目前,一种密钥交换的方法,通信双方通过DiffieHelIman算法实现公共密钥的交换,具体地,发送端以及接收端分别确定分别对应的第一公共密钥,然后,发送端以及接收端分别将对应的第一公共密钥发送至对端,发送端以及接收方根据各自接收到的通信密钥,确定出第二公共密钥,其中,通信双方确定的第二公共密钥相同。
[0004]然而,当通信双方通过DiffieHellman算法实现公共密钥的交换时,若发送端与接收端的通信信道中存在攻击者,该攻击者可以监听到通信双方的密钥信息,并且根据监听到的密钥信息,确定出分别与发送端以及接收端分别对应的公共密钥,并且通过确定出的公共密钥,获取并解密发送端与接收端之间的信息,由于网络延迟的原因,发送端与接收端均无法获取是否存在攻击者,从而导致通信双方无法确定是否存在攻击者,进而导致通信报文的泄密。
【发明内容】
[0005]本发明提供一种密钥交换的方法及装置,可以使通信双方确定攻击者,进而可以避免通信报文的泄密。
[0006]本发明采用的技术方案为:
[0007]第一方面,本发明提供一种密钥交换的方法,包括:
[0008]通信端设备发送密钥交换报文至转发设备;
[0009]所述转发设备按照预置策略对密钥交换报文进行复制,得到多个密钥交换报文;
[0010]所述转发设备通过不同的链路转发所述多个密钥交换报文至通信对端设备;
[0011]所述通信对端设备确定接收到密钥交换报文的等待时间,并判断是否存在中间人的攻击行为,所述等待时间为所述通信端设备发送所述密钥交换报文至所述通信对端设备接收到所述密钥交换报文的正常等待时间;
[0012]若判断存在所述中间人的攻击行为,则所述通信对端将告警报文发送至网管系统;
[0013]所述网管系统根据所述告警报文,确定攻击者,并将正确的密钥发送至所述通信对端设备。
[0014]第二方面,本发明提供了一种密钥交换的装置,包括:
[0015]第一发送单元,位于通信端设备中,用于发送密钥交换报文至转发设备;
[0016]复制单元,位于所述转发设备中,用于按照预置策略对密钥交换报文进行复制,得到多个密钥交换报文;
[0017]转发单元,位于所述转发设备中,用于通过不同的链路转发所述多个密钥交换报文至通信对端设备;
[0018]第一确定单元,位于所述通信对端设备中,用于确定接收到密钥交换报文的等待时间;
[0019]判断单元,位于所述通信对端设备中,用于判断是否存在中间人的攻击行为,所述等待时间为所述通信端设备发送所述密钥交换报文至所述通信对端设备接收到所述密钥交换报文的正常等待时间;
[0020]第二发送单元,位于所述通信对端设备中,用于当判断存在所述中间人的攻击行为时,将告警报文发送至网管系统;
[0021 ]第二确定单元,位于所述网管系统中,用于根据所述告警报文,确定攻击者;
[0022]第三发送单元,位于所述网管系统中,用于将正确的密钥发送至所述通信对端设备。
[0023]本发明提供的密钥交换的方法及装置,首先通信端设备发送密钥交换报文至转发设备,然后转发设备按照预置策略对密钥交换报文进行复制,得到多个密钥交换报文,并且通过不同的链路转发多个密钥交换报文至通信对端设备,其后通信对端设备确定接收到密钥交换报文的等待时间,并判断是否存在中间人的攻击行为,其中,等待时间为通信端设备发送密钥交换报文至通信对端设备接收到密钥交换报文的正常等待时间,最后若判断存在中间人的攻击行为,则通信对端将告警报文发送至网管系统,以使得网管系统根据告警报文,确定攻击者,并将正确的密钥发送至通信对端设备。与目前通信双方通过DiffieHellman算法实现公共密钥的交换相比,本发明通过转发设备将密钥交换报文复制并通过不同的信号通道进行转发,因此当某个链路上存在攻击者时,通信对端能够根据在等待时间内接收到的所有密钥交换报文中是否仅存在一个密钥,判断是否存在攻击者,并且当存在攻击者时,能够向网管系统发送告警信息,以使得网管系统确定攻击者,并且得到携带有正确密钥的密钥交换报文,从而可以使通信双方确定攻击者,进而可以避免通信报文的泄
LU O
【附图说明】
[0024]为了更清楚地说明本发明或现有技术中的技术方案,下面将对本发明或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
[0025]图1为本发明实施例中密钥交换的系统示意图;
[0026]图2为本发明实施例中一种密钥交换的方法流程图;
[0027]图3为本发明实施例中另一种密钥交换的方法流程图;
[0028]图4为本发明实施例中另一种密钥交换的方法流程图;
[0029]图5为本发明实施例中另一种密钥交换的方法流程图;
[0030]图6为本发明实施例中另一种密钥交换的方法流程图;[0031 ]图7为本发明实施例中一种密钥交换的装置示意图;
[0032]图8为本发明实施例中另一种密钥交换的装置示意图。
【具体实施方式】
[0033]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
[0034]本发明实施例提供一种密钥交换的方法,应用于密钥交换系统,如图1所示,该密钥交换系统包括:通信端、通信对端、至少一个转发设备以及网管系统,其中,通信端设备与通信对端设备均可以与转发设备进行信息交互,网管系统均可以与通信端设备以及通信对端设备进行信息交互。
[0035]本发明实施例提供了一种密钥交换的方法,可以使通信双方确定攻击者,进而可以避免通信报文的泄密。如图2所示,所述方法包括:
[0036]201、通信端设备发送密钥交换报文至转发设备。
[0037]其中,该密钥交换报文中携带密钥。
[0038]对于本发明实施例,首先通信端设备根据DiffieHellman算法,与通信对端设备确定出一个整数g和一个大素数P,并且根据整数g与大素数P生成一个大整数a。通信端设备根据上述三个参数生成公开密钥X,其中,X = gamod(p),然后,通信端设备将包含密钥X、通信端设备身份(英文全称:identificat1n,英文缩写:ID)信息的密钥交换报文通过转发设备发向通信对端设备。
[0039 ]对于本发明实施例,转发设备可以为路由器设备。
[0040]202、转发设备按照预置策略对密钥交换报文进行复制,得到多个密钥交换报文。
[0041]对于本发明实施例,转发设备能够识别出密钥交换报文,并且能够根据密钥交换报文中的信息确定该密钥交换报文距离该通信端设备的转发设备的个数,此时,转发设备将该密钥交换报文进行复制,通过多个端口转发出去。
[0042]例如,第一个转发设备接收到密钥交换报文后,提取出密钥交换报文中的信息,确定自身为第一转发设备,则该第一转发设备根据配置规则或链路状态等参数信息,设定密钥交换报文复制份数为4,并且通过两个端口、