本发明属于信息安全
技术领域:
,提供了一种无信道的对称密钥同步方法及装置。
背景技术:
:量子密码通信技术是信息安全领域一项新技术,为信息安全通信提供了无条件安全保障,随着通信技术快速发展和互联网广泛运用,建立量子保密安全通信,量子密码的运用至关重要。在密码学中,量子密码是属于对称密钥体系,随着量子加密安全提升,数据加密过程需要对称密钥不断更新,量子密码技术虽然提供了对称密钥,但在通信加密应用过程中,如果通信双方无法同步更新,将导致量子保密通信双方通信失败。通常,对称密钥更新过程关键在于通信双方建立对称密钥池,通过对密钥池的相关信息对齐,为通信双方同步更新密钥提供保障,防止密钥更换出现错误,量子保密通信双方同步更新密钥,需要基于对称密钥池的信息并借助通信通道传输,但是在没有通信通道进行同步信息传输的情况下,保密通信双方如何进行密钥更新的还没有得到相应地解决。技术实现要素:本发明实施例提供了一种无信道的对称密钥同步方法,在密钥池间没有物理同步信道的情况下完成密钥的同步,提高密钥的安全性。本发明是这样实现的,一种无信道的对称密钥同步方法,该方法包括如下步骤:s1、同步密钥池一与密钥池二的内部时钟,其中,密钥池一内的密钥一用于数据加密,密钥池二的密钥用于数据解密;s2、密钥池一基于加密密钥请求的时间获取对应的密钥一,并将密钥一发送至加密通讯装置进行加密,加密密钥请求是加密通讯装置基于接收的明文数据生成,并发送至密钥池一;s3、密钥池二基于解密密钥请求的时间获取对应的密钥二,并将密钥二发送至解密通讯装置进行解密,解密密钥请求是解密通讯装置基于接收的加密数据生成,并发送至密钥池二;s4、若加密密钥请求时间与解密密钥请求时间处于同一密钥更新周期内,则获取的密钥二为密钥一的对称密钥,即解密成功。进一步的,基于加密密钥请求的时间获取密钥一及基于解密密钥请求的时间获取密钥二的方法具体如下:基于密钥编号-时间区间映射表来读取加密密钥请求时间所在时间区间对应的密钥编号,读取密钥编号对应的密钥一;基于密钥编号-时间区间映射表来读取解密密钥请求时间所在时间区间对应的密钥编号,读取密钥编号对应的密钥二;密钥池一及密钥二内存储有相同的密钥编号-时间区间映射表,且时间区间的时间长度与密钥更新周期相等,互为对称密钥的密钥一及密钥二采用同一密钥编号进行标记。进一步的,基于加密密钥请求的时间获取密钥一及基于解密密钥请求的时间获取密钥二的方法具体如下:基于加密密钥请求的时间来计算密钥一的密钥编号,读取密钥编号对应的密钥一;基于解密密钥请求的时间来计算密钥二的密钥编号,读取密钥编号对应的密钥二;密钥编号的计算公式为:其中,i为密钥编号,t为加密密钥请求时间或解密密钥请求时间,t为密钥更新周期,m为密钥有效期的起始时间;互为对称密钥的密钥一及密钥二采用同一密钥编号进行标记。进一步的,若加密密钥请求时间与解密密钥请求时间不在同一密钥更新周期内,获取的密钥二与密钥一不对称,解密失败,解密失败后执行如下步骤:s5、解密通讯装置向加密通讯装置发送待解密数据的加密密钥编号获取请求;s6、加密通讯装置基于加密密钥编号获取请求向解密通讯装置发送对应的加密密钥编号;s7、解密通讯装置基于加密密钥编号向密钥池二发送解密密钥请求,所述解密密钥请求内携带有与加密密钥编号相同的解密密钥编号;s8、密钥池二基于解密密钥请求向解密通讯装置发送所述解密密钥编号对应的密钥三;s9、解密通讯装置基于密钥三进行解密。进一步的,若加密密钥请求时间与解密密钥请求时间不在同一密钥更新周期内,获取的密钥二与密钥一不对称,即解密失败,解密失败后执行如下步骤:s10、解密通讯装置向加密通讯装置发送再次加密请求;s11、加密通讯装置基于再次加密请求向密钥池一发送加密密钥请求,基于密钥池一返回的密钥一对解密失败的数据重新进行加密,并将加密数据发送至解密通讯装置;s12、解密通讯装置基于加密数据向密钥池二发送解密密钥请求,基于密钥池二返回的密钥二对加密文件进行解密,若解密失败,则执行步骤s11,直至解密成功。进一步的,在步骤s1之前还包括:所述密钥池一对加密通讯装置进行鉴权,鉴权成功,密钥池一与加密通讯装置建立通讯通道;所述密钥池二对解密通讯装置进行鉴权,鉴权成功,密钥池二与解密通讯装置建立通讯通道。本发明是这样实现的,一种无信道的对称密钥同步装置,所述装置包括:加密通讯单元、与加密通讯单元通讯的密钥池一、解密通讯单元、与解密通讯单元通讯的密钥池二,其中,密钥池一包括:密钥存储模块一,密钥管理模块一、密钥查询模块一、及时钟一;其中,时钟一,控制时钟一与外部时间同步;密钥存储模块一,用于存储密钥一;密钥管理模块一,对存储在密钥存储模块一内的所有密钥一进行编号,生成密钥编号;密钥查询模块一,基于加密密钥请求的时间来获取密钥编号,并基于密钥编号从密钥存储模块一中读取对应的密钥一,发送至加密通讯单元;密钥池二包括:时钟二,密钥存储模块二,密钥管理模块二,及密钥查询模块二,其中,时钟二,基于相同的外部时间控制时钟二与时钟一同步;密钥存储模块二,用于存储密钥二,密钥二与密钥一为对称密钥;密钥管理模块二,对存储在密钥存储模块二内的所有密钥二进行编号,生成密钥编号,互为对称密钥的密钥一及密钥二采用相同的密钥编号进行标记;密钥查询模块二,基于解密密钥请求时间来获取密钥编号,并基于密钥编号从密钥存储模块二中读取对应的密钥二,发送至解密通讯单元;加密通讯单元包括:请求模块一,及加密模块;请求模块一,基于接收的待加密数据向密钥池一发加密送密钥请求;加密模块,基于密钥池一返回的密钥一对待加密数据进行加密,并将加密数据发送至解密通讯单元;解密通讯单元包括:请求模块二、及解密模块;请求模块二基于接收的加密数据向密钥池二发送解密密钥请求;解密模块基于密钥池二返回的密钥二对加密数据进行解密。进一步的,解密通讯单元还包括:密钥标识获取模块,解密失败时,密钥标识获取模块向解密通讯单元发送待解密数据的加密密钥编号获取请求;加密通讯单元还包括:密钥标识确认模块,基于加密密钥编号获取请求来获取对应的加密密钥编号,并将加密密钥编号发送至解密通讯模块。进一步的,解密通讯单元还包括:再次加密请求模块,解密失败时,再次加密请求模块向加密通讯单元发送再次加密请求;加密通讯单元还包括:重新加密模块:基于再次加密请求向密钥池一发送加密密钥请求,基于密钥池一返回的密钥一对解密失败的数据重新加密,将生成的密文发送至解密模块。进一步的,密钥查询模块一包括:密钥编码计算子模块一,及密钥读取子模块一;密钥编码计算子模块一,基于加密密钥请求的时间来计算密钥一的密钥编号,密钥编码的计算公式为其中,i为密钥编号,t1为加密密钥请求时间,t为密钥更新周期,m为密钥有效期的起始时间;密钥读取子模块二,基于密钥编码从密钥存储模块一中读取对应的密钥一,发送至加密通讯单元;密钥查询模块二包括:密钥编码计算子模块二,及密钥读取子模块二;密钥编码计算单元二,基于解密密钥请求的时间来计算密钥二的密钥编号,密钥编码的计算公式为其中,i为密钥编号,t2为解密密钥请求时间,t为密钥更新周期,m为密钥有效期的起始时间;密钥读取单元二,基于密钥编码从密钥存储模块二中读取对应的密钥二,发送至解密通讯单元。本发明实施例中的对称密钥同步方法能在密钥池间无通信通道进行同步信息传输的情况下实现密钥池间的密钥同步,此外,由于没有任何密钥同步信息在网络在传输,提高了对称密钥的安全性。附图说明图1为本发明实施例提供无信道的对称密钥同步方法流程图;图2为本发明实施例提供的无信道的对称密钥同步装置结构示意图。具体实施方式为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。图1为本发明实施例提供的无信道的对称密钥同步方法流程图,该方法包括如下步骤:s1、同步密钥池一与密钥池二的内部时钟,其中,密钥池一内的密钥一用于数据加密,密钥池二的密钥用于数据解密;在本发明实施例中,密钥池一内存储密钥一,密钥池二内存储密钥二,密钥池一与密钥池二为对称密钥池,即密钥池一和密钥池二分别内存储对称密钥组,对称密钥组中的密钥一和密钥二互为对称密钥;对密钥池一及密钥池二内的时钟进行同步,密钥池一及密钥池二内部时钟的同步方法包括如下两种,第一种:人工调制密钥池一及密钥池二中的内部时钟一致,第二种:基于外部时间,如gps的时间,来同一密钥池一及密钥池二的内部时钟。s2、密钥池一基于加密密钥请求的时间获取对应的密钥一,并将密钥一发送至加密通讯装置进行加密,加密密钥请求是加密通讯装置基于接收的明文数据生成,并发送至密钥池一;基于加密密钥请求时间来获取密钥一的方法包括两种:第一种方法,在密钥池一内设有密钥编码-时间区间映射表,间区间的时间长度与密钥更新周期(t)相等,确定加密密钥请求的时间(t1)所在的时间区间,基于密钥编号-时间区间映射表查找改时间区间对应的密钥编码,若密密钥请求时间(t1)位于时间区间t~2t,则对应的密钥编码为002,密钥编码-时间区间映射表如表1所示:密钥更新周期0~tt~2t……(n-1)t~nt密钥编码001002……00n表1第二种方法,密钥池一内至少存储有个密钥一,其中,t为密钥更新周期,密钥更新周期t、m为密钥有效期的起始时间,n为密钥有效期的终止时间,对密钥池一内的密钥一进行顺序编号,将第一个长度为l的密钥编号为001,最后一个长度为l的密钥编号为基于加密密钥请求的时间t1来计算密钥一的密钥编号,密钥编号的计算公式为:其中,i为密钥编号,t1为加密密钥请求时间,读取密钥编号对应的密钥一,通过公式计算出加密密钥请求时间对应的密钥编号,无需实事先密钥池一内存储密钥编号-时间区间映射表,可以节省存储空间。s3、密钥池二基于解密密钥请求的时间来查找对应的密钥二,并将密钥二发送至解密通讯装置进行解密,解密密钥请求是解密通讯装置基于加密数据生成,并发送至密钥池二;基于解密密钥请求时间来获取密钥二的方法包括两种:第一种方法,在密钥池二内存储密钥编码-时间区间映射表,该密钥编码-时间区间映射表与存储在密钥池一内的密钥编码-时间区间映射表相同,时间区间的时间长度与密钥更新周期(t)相等,确定解密密钥请求的时间(t2)所在的时间区间,基于密钥编号-时间区间映射表查找改时间区间对应的密钥编码,若解密密钥请求时间(t2)位于时间区间t~2t,则对应的密钥编码为002,密钥编码-时间区间映射表如表1所示;第二种方法,密钥池二内至少存储有个密钥二,其中,t为密钥更新周期,密钥更新周期t、m为密钥有效期的起始时间,n为密钥有效期的终止时间,对密钥池二内的密钥二进行顺序编号,将第一个长度为l的密钥编号为001,最后一个长度为l的密钥编号为基于解密密钥请求的时间t2来计算密钥二的密钥编号,密钥编号的计算公式为:其中,i为密钥编号,t2为解密密钥请求时间,读取密钥编号对应的密钥二,通过公式计算出解密密钥请求时间对应的密钥编号,无需实事先密钥池二内存储密钥编号-时间区间映射表,可以节省存储空间。s4、若加密密钥请求时间与解密密钥请求时间处于同一密钥更新周期内,则获取的密钥二为密钥一的对称密钥,则解密成功,若加密密钥请求时间与解密密钥请求时间不处于同一密钥更新周期内,则获取的密钥二不是密钥一的对称密钥,则解密失败。在本发明实施例一中,解密失败后执行如下步骤:s5、解密通讯装置向加密通讯装置发送待解密数据的加密密钥编码获取请求;s6、加密通讯装置基于加密密钥编码获取请求向解密通讯装置发送对应的加密密钥编码;s7、解密通讯装置基于加密密钥编码向密钥池二发送解密密钥请求,该解密密钥请求内携带有与加密密钥编码相同的解密密钥编码;s8、密钥池二基于解密密钥请求向解密通讯装置发送解密密钥编码对应的密钥二;s9、解密通讯装置基于密钥二进行解密。在本发明实施例二中,在解密失败后,执行如下步骤:s10、解密通讯装置向加密通讯装置发送再次加密请求;s11、加密通讯装置基于再次加密请求向密钥池一发送加密密钥请求,基于密钥池一返回的密钥一对解密失败的数据重新进行加密,并将加密后的加密数据发送至解密通讯装置;s12、解密通讯装置基于加密数据向密钥池二发送解密密钥请求,基于密钥池二返回的密钥二对加密文件进行解密,若解密失败,则执行步骤s11,直至解密成功。在本发明实施例中,在步骤s1之前还包括:s13、密钥池一对加密通讯装置进行鉴权,鉴权成功,密钥池一与加密通讯装置建立通讯通道;s14、密钥池二对解密通讯装置进行鉴权,鉴权成功,密钥池二与解密通讯装置建立通讯通道。本发明实施例中的对称密钥同步方法能在密钥池间无通信通道进行同步信息传输的情况下实现密钥池间的密钥同步,此外,由于没有任何密钥同步信息在网络在传输,提高了对称密钥的安全性。图2为本发明实施例提供的无信道的密钥同步装置的结构示意图,为了便于说明,仅示出于本发明实施例相关的部分。该装置包括:加密通讯单元、与加密通讯单元通讯的密钥池一、解密通讯单元、与解密通讯单元通讯的密钥池二,其中,密钥池一包括:密钥存储模块一,密钥管理模块一、密钥查询模块一、及时钟一;其中,时钟一,控制时钟一与外部时间同步;密钥存储模块一,用于存储密钥一,密钥存储模块一内的密钥是经对称密钥装置生成,或者是人工配送;密钥管理模块一,对存储在密钥存储模块一内的所有密钥一进行编码,生成密钥编码;在本发明实施例中,为了便于针对时间对密钥进行管理,密钥管理模块一基于密钥有效期的年份对密钥一进行分片,对同一片内的密钥一基于密钥有效期所在时段进行分区。密钥查询模块一,基于加密密钥请求的时间来获取密钥编码,并基于密钥编码从密钥存储模块一中读取对应的密钥一,发送至加密通讯单元;在本发明实施例中,密钥查询模块一包括:密钥编码计算子模块一,及密钥读取子模块一;密钥编码计算子模块一,基于加密密钥请求的时间来计算密钥一的密钥编号,密钥编码的计算公式为其中,i为密钥编号,t1为解密密钥请求时间,t为密钥更新周期,m为密钥有效期的起始时间;密钥读取子模块二,基于密钥编码从密钥存储模块一中读取对应的密钥一,发送至加密通讯单元。密钥池二包括:时钟二,密钥存储模块二,密钥管理模块二,及密钥查询模块二,其中,时钟二,控制时钟二与外部时间同步,即实现时钟一与时钟二的同步;密钥存储模块二,用于存储密钥二,密钥二与密钥一为对称密钥,密钥存储模块二内的密钥是经对称密钥装置生成,或者是人工配送;密钥管理模块二,对存储在密钥存储模块二内的所有密钥二进行编码,生成密钥编码,互为对称密钥的密钥一和密钥二采用相同的密钥编码进行标记;在本发明实施例中,为了便于针对时间对密钥进行管理,密钥管理模块二基于密钥有效期的年份对密钥二进行分片,对同一片内的密钥二基于密钥有效期所在时段进行分区。密钥查询模块二,基于解密密钥请求时间来获取密钥编码,并基于密钥编码从密钥存储模块二中读取对应的密钥二,发送至解密通讯单元;在本发明实施例中,密钥查询模块二包括:密钥编码计算子模块二,及密钥读取子模块二;密钥编码计算单元二,基于解密密钥请求的时间来计算密钥二的密钥编号,密钥编码的计算公式为其中,i为密钥编号,t2为解密密钥请求时间,t为密钥更新周期,m为密钥有效期的起始时间;密钥读取单元二,基于密钥编码从密钥存储模块二中读取对应的密钥二,发送至解密通讯单元。在本发明实施例中,加密通讯单元包括:请求模块一,及加密模块,请求模块一基于接收的待加密数据向密钥池一发加密送密钥请求;加密模块基于密钥池一返回的密钥一对待加密数据进行加密,并将加密后的加密数据发送至解密通讯单元;在本发明实施例中,解密通讯单元包括:请求模块二、及解密模块,请求模块二基于接收的加密数据向密钥池二发送解密密钥请求;解密模块基于密钥池二返回的密钥二对加密数据进行解密。在本发明实施例三中,解密通讯单元还包括:密钥编码获取模块,解密失败时,密钥编码获取模块向解密通讯单元发送待解密数据的加密密钥编码获取请求;加密通讯单元还包括:密钥编码确认模块,基于加密密钥编码获取请求来获取对应的加密密钥编码,并将加密密钥编码发送至解密通讯模块。在本发明实施例四中,解密通讯单元还包括:再次加密请求模块,解密失败时,再次加密请求模块向加密通讯单元发送再次加密请求;加密通讯单元还包括:重新加密模块:基于再次加密请求向密钥池一发送加密密钥请求,基于密钥池一返回的密钥一对解密失败的数据重新加密,将生成的密文发送至解密模块。本发明实施例中的对称密钥同步装置能在密钥池间无通信通道进行同步信息传输的情况下实现密钥池间的密钥同步,此外,由于没有任何密钥同步信息在网络在传输,提高了对称密钥的安全性。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。当前第1页12