[发明专利]一种基于对称密钥池的密钥补充方法和密钥补充装置、密钥补充系统

说明书

本发明公开了一种基于对称密钥池的密钥补充方法和密钥补充装置、密钥补充系统，其中实施在主动补充方时，该主动补充方与被动补充方之间收发的消息均以密文方式，且消息中带有供对方进行认证的认证信息。所述密钥补充方法具体包括：向被动补充方发送补充请求；接收被动补充方处理补充请求后返回的补充响应，并进行补充判断，还依照判断结果向被动补充方发送补充反馈，以及在己方相应补充。本发明对称密钥池补充传输时，对密钥的补充信息加入了消息认证机制，密钥的补充信息均被加密为密文，对称密钥池的补充不需要将使用者设备拿到密钥源方并直接接入，对使用者来说非常方便，对密钥源方来说也降低了被不可信的使用者设备影响系统安全性的风险。

技术领域

本发明涉及安全通信技术领域，具体涉及一种基于对称密钥池的密钥补充方法和密钥补充系统，即通信双方如何对对称密钥池同时补充密钥的机制。

背景技术

由于量子计算机的发展，经典非对称加密算法将不再安全，无论是认证还是加解密领域，对称密钥算法将大行其道。如果预分配少量对称密钥，经过多轮使用后其安全性将大大降低。因此对称密钥池的方式将是一种保证密钥安全的重要方案乃至主流方案。对称密钥池为通信双方维护了大量预分配密钥。

作为安全性升级的方案，可以对对称密钥池中的全部或部分内容进行加密存储，加密密钥可以存储到对称密钥池宿主的安全隔离装置中。后续对对称密钥池进行密钥操作时，需要由安全隔离装置解密后使用。

有关对称密钥池可参见公开号为CN106452740A，发明名称为“一种量子通信服务站、量子密钥管理装置以及密钥配置网络和方法”的发明专利文献，公开了一种量子通信服务站、量子密钥管理装置，两者之间共享同样的量子真随机数密钥数据块，该数据块对可以理解为一对对称密钥池，用于双方的用户进行量子真随机数密钥的加密通信。补充密钥时，使用者需要将量子密钥管理装置拿到量子通信服务站，然后量子通信服务站中的量子真随机数发生器对量子通信服务站和量子密钥管理装置分别进行密钥补充。

对称密钥池有分配、同步、补充、监控、取密钥等操作。分配指对称密钥池的形成和填充；同步指在对称密钥池中选取一段密钥，用于身份认证、消息认证或成为会话密钥，以备业务层使用；补充指双方同时删除已使用过的密钥区域的数据，并填充新密钥，如果密钥池处于补充中则不能进行其他操作，需等待补充完成才可进行；监控指记录当前密钥池的各类使用情况，如剩余密钥量，状态机切换，工作负荷，报警信息等；取密钥即从已同步的密钥池中取出密钥进行业务层使用，如果密钥池处于同步中则不能取密钥，需等待同步完成才可进行。

现有技术存在的问题：

1.对称密钥池的补充需要将使用者设备拿到密钥源方并直接接入，对使用者来说非常不方便，对密钥源方来说也存在被不可信的使用者设备影响系统安全性的风险。

2.对称密钥池的补充未对对方的密钥补充情况进行可靠验证，无法保证对称密钥池双方补充的密钥数量和密钥值均一致。

发明内容

本发明提供一种密钥补充方法，可改进目前的密钥池补充机制，安全性大大提高，更进一步的还提高了异常处理能力和便利性。

一种基于对称密钥池的密钥补充方法，实施在主动补充方，该主动补充方与被动补充方之间收发的消息均以密文方式，且消息中带有供对方进行认证的认证信息。

所述密钥补充方法具体包括：

向被动补充方发送补充请求；

接收被动补充方处理补充请求后返回的补充响应，并进行补充判断，还依照判断结果向被动补充方发送补充反馈，以及在己方相应补充。

相应的，本发明还提供一种作为主动补充方的基于对称密钥池的密钥补充装置，包括处理器和存储器，该存储器用于存储如下指令并由处理器加载和执行：

向被动补充方发送补充请求；