本發明實施例公開了一種基于網絡時延的密鑰交換方法、系統、設備及存儲介質，涉及網絡測量以及信息安全技術領域，能夠解決目前互聯網通信過程中，會話密鑰的協商必須依賴第三方密鑰分發可信機構問題。本發明包括：第一用戶終端將隨機數寫入數據包，并通過中間節點向第二用戶終端傳輸；所述第二用戶終端接收到所述數據包后，從所述數據包中讀取向所述第二用戶終端接直接發送所述數據包的中間節點的信息；所述第二用戶終端將所述數據包向所述第一用戶終端反向傳輸；利用所述第一用戶終端和所述第二用戶終端傳輸所述數據包的單向時延，獲取會話密鑰。本發明適用于會話密鑰生成。

技術領域

本發明涉及網絡測量以及信息安全技術領域，尤其涉及一種基于網絡時延的密鑰交換方法、系統、設備及存儲介質。

背景技術

隨著互聯網技術的快速發展，如何在開放的網絡中保證信息安全已成為一個重要的研究課題。目前，在公開的網絡中保證信息安全的基本手段是對通信數據進行加密處理。目前最常用的加密方式是依賴于可信賴的第三方密鑰分發中心(KDC)來進行通信密鑰的分發。

由于密鑰分發的過程中涉及到用戶身份認證的問題，所以第三方密鑰分發中心(KDC)也是依賴于PKI/CA認證體系來工作的。公鑰基礎設施PKI(Public KeyInfrastructure，簡稱PKI)是利用公鑰理論和技術建立的提供安全服務的基礎設施，是信息安全的核心。PKI技術采用證書管理公鑰，通過第三方的可信任機構——認證中心CA(Certificate Authority)，把用戶的公鑰和用戶的其他標識信息(如名稱、E—mail、身份證號等)捆綁在一起，在Internet上驗證用戶的身份(其中認證機構CA是PKI系統的核心部分)。基于PKI/CA認證體系可以保證信息傳輸的機密性、真實性、完整性和不可否認性，從而保證信息的安全傳輸。

但傳統的PKI/CA的認證體系存在諸多安全問題，比如傳統PKI/CA體系中存在的中心失效等問題會造成用戶的公鑰不可信，進而影響使用第三方密鑰分發可信機構進行會話密鑰協商的用戶的信息安全。

發明內容

本發明的實施例提供一種基于網絡時延的密鑰交換方法、系統、設備及存儲介質，能夠解決目前互聯網通信過程中，會話密鑰的協商必須依賴第三方密鑰分發可信機構問題，更好的保障用戶的信息安全。

為達到上述目的，本發明的實施例采用如下技術方案：

第一方面，本申請實施例提供一種基于網絡時延的密鑰交換方法，包括：

第一用戶終端將隨機數寫入數據包，并通過中間節點向第二用戶終端傳輸，其中，所述隨機數表示所述數據包在中間節點的總傳輸次數；

所述第二用戶終端接收到所述數據包后，從所述數據包中讀取向所述第二用戶終端接直接發送所述數據包的中間節點的信息；

所述第二用戶終端將所述數據包向所述第一用戶終端反向傳輸；

利用所述第一用戶終端和所述第二用戶終端傳輸所述數據包的單向時延，獲取會話密鑰。

第二方面，本申請實施例提供一種基于網絡時延的密鑰交換系統，由第一用戶終端、第二用戶終端和至少2個中間節點組成；

所述第一用戶終端，用于將隨機數寫入數據包，并通過中間節點向第二用戶終端傳輸，其中，所述隨機數表示所述數據包在中間節點的總傳輸次數；

所述第二用戶終端，用于在接收到所述數據包后，從所述數據包中讀取向所述第二用戶終端接直接發送所述數據包的中間節點的信息；之后，所述第二用戶終端將所述數據包向所述第一用戶終端反向傳輸；

各個中間節點，用于在接收到所述數據包后，隨機選擇下一跳中間節點來發送所述數據包；并且，在發送所述數據包之前將上一個中間節點的信息寫入所述數據包；

其中，會話密鑰則是利用所述第一用戶終端和所述第二用戶終端傳輸所述數據包的單向時延獲取的。