本發(fā)明公開了一種基于對稱密鑰池和中繼通信的類AKA身份認(rèn)證系統(tǒng)和方法，AKA身份認(rèn)證系統(tǒng)包括參與AKA身份認(rèn)證的成員、中繼和服務(wù)器，所述成員、中繼和服務(wù)器三者共享有群組密鑰池，成員和中繼在AKA身份認(rèn)證過程中分別利用來自群組密鑰池的密鑰種子再結(jié)合隨機(jī)數(shù)參數(shù)計算得到成員和中繼之間的協(xié)商密鑰；其中所述隨機(jī)數(shù)參數(shù)是利用指針地址A在群組密鑰池中相應(yīng)獲得，在AKA身份認(rèn)證過程中，中繼通過服務(wù)器獲取所述指針地址A，成員經(jīng)由中繼從服務(wù)器獲取生成所述指針地址A的參數(shù)，再通過該參數(shù)生成所述指針地址A。本發(fā)明可進(jìn)一步提高通信的安全性。

技術(shù)領(lǐng)域

本發(fā)明涉及安全通信技術(shù)領(lǐng)域，具體涉及基于群組數(shù)據(jù)網(wǎng)絡(luò)的私密身份認(rèn)證和密鑰協(xié)商。群組各成員均擁有相同的密鑰池，即群組密鑰池。

背景技術(shù)

鑒權(quán)，即身份認(rèn)證是實現(xiàn)信息安全的基本技術(shù)，系統(tǒng)通過審查用戶的身份來確認(rèn)該用戶是否具有對某種資源的訪問和使用權(quán)限，同樣也可以進(jìn)行系統(tǒng)與系統(tǒng)間的身份認(rèn)證。

隨著量子計算機(jī)的發(fā)展，經(jīng)典非對稱加密算法將不再安全，無論是認(rèn)證還是加解密領(lǐng)域，對稱密鑰算法將大行其道。比如目前在移動通信領(lǐng)域比較常用的基于對稱密鑰算法的鑒權(quán)方法之一的AKA機(jī)制。AKA全稱“Authentication and Key Agreement”，即鑒權(quán)和密鑰協(xié)商。顧名思義，AKA機(jī)制在身份認(rèn)證的同時并進(jìn)行了密鑰的協(xié)商，為后續(xù)通信的加密提供了密鑰保障。

作為安全性升級的方案，對稱密鑰池的方式將是一種保證密鑰安全的重要方案乃至主流方案。同時可以對對稱密鑰池中的全部或部分內(nèi)容進(jìn)行加密存儲，加密密鑰可以存儲到對稱密鑰池宿主的安全隔離裝置中。后續(xù)對對稱密鑰池進(jìn)行密鑰操作時，需要由安全隔離裝置解密后使用。有關(guān)對稱密鑰池可參見公開號為CN105337726A，發(fā)明名稱為“基于量子密碼的端對端手持設(shè)備加密方法及系統(tǒng)”的發(fā)明專利文獻(xiàn)，公開了一種基于量子密碼的端對端手持設(shè)備加密方法，其量子通信的兩臺密鑰分發(fā)設(shè)備之間，通過QKD形成了一對對稱密鑰，用于QKD雙方的用戶進(jìn)行量子加密通信。

在一部分單位組成的組播網(wǎng)絡(luò)中，群組成員通過群組密鑰加密的方式加密發(fā)送數(shù)據(jù)。目前，在群組會話領(lǐng)域一般采取兩種群組會話密鑰生成方式：群組密鑰分配和群組密鑰協(xié)商。群組密鑰分配的優(yōu)點(diǎn)在于簡單，并且只需要較少的計算量和通信量。但是這種密鑰建立的方式需要一個可信的第三方作為密鑰分配者。這一條件在現(xiàn)實網(wǎng)絡(luò)環(huán)境下很難實現(xiàn)。群組密鑰協(xié)商的協(xié)議中，所有參與者提供協(xié)議規(guī)定的秘密信息，共同建立會話密鑰。盡管群組密鑰協(xié)商協(xié)議與群組密鑰分配協(xié)議相比需要消耗更多的計算量和通信量，但不需要可信第三方的參與。這一優(yōu)點(diǎn)使得群組密鑰協(xié)商成為目前群組密鑰建立協(xié)議中的研究熱點(diǎn)。

現(xiàn)有技術(shù)存在的問題：

1.在群組通信中，群組密鑰協(xié)商所涉及到的密鑰種子通常只有1個或者少量，無法保持密鑰種子的新鮮性或者可變動的范圍較小，容易被破解。

2.目前群組中實現(xiàn)成員與中繼之間的加密方式主要依靠群組密鑰進(jìn)行加密，雙方之間沒有用于單獨(dú)通信的密鑰，重要信息的傳輸相對不夠安全。一旦群組密鑰被破解，所有的信息都會泄露。

3.AKA機(jī)制中密鑰生成中的隨機(jī)數(shù)參數(shù)處于暴露狀態(tài)，會增加協(xié)商密鑰被破解的風(fēng)險。并且SQN的校驗機(jī)制的驗證呈范圍性，不具有唯一性，存在一定的偶然性。

4.鑒權(quán)中消息的收發(fā)均大多采用明文形式發(fā)送或者保密性不強(qiáng)的加密方式進(jìn)行加密，這樣容易將關(guān)鍵信息泄露，降低鑒權(quán)的安全性。

發(fā)明內(nèi)容

本發(fā)明提供一種基于對稱密鑰池的類AKA身份認(rèn)證系統(tǒng)，可進(jìn)一步提高通信的安全性。

一種基于對稱密鑰池和中繼通信的類AKA身份認(rèn)證系統(tǒng)，包括參與AKA身份認(rèn)證的成員、中繼和服務(wù)器，成員和中繼之間通過AKA身份認(rèn)證生成協(xié)商密鑰以供兩者之間的加密通信，成員和中繼之間的協(xié)商密鑰的生成方式為：