本發(fā)明公開了一種用于加解密服務(wù)間的多密鑰協(xié)商方法，涉及通信安全技術(shù)領(lǐng)域。本方法中，節(jié)點(diǎn)A獨(dú)立選擇Ｎ個(gè)密鑰用于發(fā)往B的數(shù)據(jù)的加密操作，密鑰編址為0到N?1，并由A負(fù)責(zé)向B發(fā)起這N個(gè)密鑰的密鑰協(xié)商過程；設(shè)定N個(gè)密鑰的密鑰重協(xié)商周期均為T，T小于這N個(gè)密鑰的最小密鑰有效期，在(i?1)*T/N時(shí)刻開始發(fā)起第i個(gè)密鑰的密鑰協(xié)商；對(duì)任意編址為i的密鑰，在開始發(fā)起密鑰協(xié)商的T、2T、3T…時(shí)刻后重新發(fā)起密鑰協(xié)商；同樣，B獨(dú)立選擇M個(gè)密鑰用于發(fā)往A的數(shù)據(jù)的加密操作，并由B負(fù)責(zé)向A發(fā)起自己選擇的M個(gè)密鑰的密鑰協(xié)商過程。該方法適用于集中加解密服務(wù)間的多密鑰協(xié)商，是對(duì)現(xiàn)有技術(shù)的一種重要改進(jìn)。

技術(shù)領(lǐng)域

本發(fā)明涉及通信安全技術(shù)領(lǐng)域，特別是指一種用于加解密服務(wù)間的多密鑰協(xié)商方法。

背景技術(shù)

加解密屬于計(jì)算密集型計(jì)算，此外，加解密算法和密鑰也需要定期升級(jí)和更新，以防止可能的破解。現(xiàn)有技術(shù)中，通常采用集中對(duì)外提供加解密服務(wù)的方式，例如使用專有的加解密設(shè)備、配備密鑰卡等，可以降低加解密算法的部署難度，提高加解密算法和密鑰的保密性。但是，采用集中加解密服務(wù)時(shí)，存在如下問題：

1、加解密服務(wù)間的密鑰協(xié)商不能依賴于應(yīng)用，因?yàn)檎{(diào)用加解密服務(wù)的應(yīng)用發(fā)送數(shù)據(jù)的時(shí)機(jī)不可控；

2、兩節(jié)點(diǎn)間如果使用單一的密鑰對(duì)，則在進(jìn)行密鑰協(xié)商時(shí)，無法對(duì)外提供加解密服務(wù)，會(huì)導(dǎo)致使用該服務(wù)的多個(gè)應(yīng)用通信發(fā)生中斷；

3、密鑰存在有效期，超期使用會(huì)導(dǎo)致密鑰被破解或泄露的風(fēng)險(xiǎn)加大，因此必須在有效期結(jié)束前進(jìn)行密鑰重新協(xié)商。而密鑰重新協(xié)商還會(huì)導(dǎo)致已經(jīng)用原有密鑰完成加密的數(shù)據(jù)無法解密。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明提出一種用于加解密服務(wù)間的多密鑰協(xié)商方法，該方法能夠解決上述背景技術(shù)中的問題，適用于對(duì)外提供加解密服務(wù)的任意兩節(jié)點(diǎn)間進(jìn)行多個(gè)密鑰對(duì)的協(xié)商。

為了實(shí)現(xiàn)上述目的，本發(fā)明采用的技術(shù)方案為：

一種用于加解密服務(wù)間的多密鑰協(xié)商方法，包括以下步驟：

（1）對(duì)于對(duì)外提供加解密服務(wù)的兩個(gè)節(jié)點(diǎn)A和B，A獨(dú)立選擇Ｎ個(gè)密鑰用于發(fā)往B的數(shù)據(jù)的加密操作，N≥2，密鑰編址為0到N-1；

（2）A向B發(fā)起這N個(gè)密鑰的密鑰協(xié)商過程；具體方式為，設(shè)定N個(gè)密鑰的密鑰重協(xié)商周期均為T，T小于這N個(gè)密鑰的最小密鑰有效期，在(i-1)*T/N時(shí)刻開始發(fā)起第i個(gè)密鑰的密鑰協(xié)商；對(duì)任意編址為i的密鑰，在開始發(fā)起密鑰協(xié)商的T、2T、3T…時(shí)刻后重新發(fā)起密鑰協(xié)商；

（3）B獨(dú)立選擇M個(gè)密鑰用于發(fā)往A的數(shù)據(jù)的加密操作，M≥2，并由B負(fù)責(zé)向A發(fā)起自己選擇的M個(gè)密鑰的密鑰協(xié)商過程，該協(xié)商過程的具體方式為，設(shè)定M個(gè)密鑰的密鑰重協(xié)商周期均為K，K小于這M個(gè)密鑰的最小密鑰有效期，在(j-1)*K/M時(shí)刻開始發(fā)起第j個(gè)密鑰的密鑰協(xié)商；對(duì)任意編址為j的密鑰，在開始發(fā)起密鑰協(xié)商的K、2K、3K…時(shí)刻后重新發(fā)起密鑰協(xié)商。

進(jìn)一步的，對(duì)于第i個(gè)密鑰，如果該密鑰的密鑰協(xié)商不成功，則第(i+1)%N個(gè)密鑰不發(fā)起密鑰協(xié)商，%表示取余運(yùn)算；同時(shí)，以設(shè)定的重試周期嘗試對(duì)第i個(gè)密鑰進(jìn)行重協(xié)商，直至協(xié)商成功；協(xié)商成功后，該次協(xié)商開始后的T/N時(shí)刻，觸發(fā)第(i+1)%N個(gè)密鑰的協(xié)商。

進(jìn)一步的，對(duì)于第j個(gè)密鑰，如果該密鑰的密鑰協(xié)商不成功，則第(j+1)%M個(gè)密鑰不發(fā)起密鑰協(xié)商，%表示取余運(yùn)算；同時(shí)，以設(shè)定的重試周期嘗試對(duì)第j個(gè)密鑰進(jìn)行重協(xié)商，直至協(xié)商成功；協(xié)商成功后，該次協(xié)商開始后的K/M時(shí)刻，觸發(fā)第(j+1)%M個(gè)密鑰的協(xié)商。

進(jìn)一步的，當(dāng)節(jié)點(diǎn)發(fā)生啟動(dòng)或重新啟動(dòng)后，重新將加密密鑰的協(xié)商時(shí)間從0開始計(jì)時(shí)，并向?qū)Χ双@取用于自身解密的密鑰狀態(tài)。