网络端点C2发送的请求网络端点Cl的公钥信息(IDC1, PKci); 2b)目标网络端点C2在接收到请求网络端点Cl发送的信息后,解析请求网络端点Cl的 临时证书CAA1 {Cl} = SIGA1 (SN!,IDC1,PKC1,TA!),其中,SN!表示请求网络端点C1的临时证书索 引号,ΤΑ!表示请求网络端点Cl的临时证书有效时间,ID C1,PKC1表示请求网络端点Cl的公钥 信息; 2c)将第二安全域代理A2发送的公钥信息(IDq,PKC1)与解析临时证书CAm {C1}得到的 公钥信息(IDq,PKq)进行对比,如果两者相同,验证通过,否则验证失败。4. 根据权利要求1所述的空间信息网跨域的端到端密钥交换方法,其中所述步骤(3)计 算交互式临时公钥S2是借鉴Diffie-Hellman算法,按如下步骤计算: 3a)目标网络端点C2选取大素数q和其本原根g,其中,大素数q和其本原根g与请求网络 端点C1选取的相同; 3b)目标网络端点C2选取一个随机整数X2作为临时私钥,其中X2〈q, 3c)根据3a)和3b),得到交互式临时公钥S2:gx2mod q。5. 根据权利要求1所述的空间信息网跨域的端到端密钥交换方法,其中所述步骤(4)中 请求网络端点C1通过第二安全域代理A2对目标网络端点C2产生的临时证书CA A2{C2}验证签 名的有效性,按如下步骤进行: 4a)第一安全域代理A1向请求网络端点C1发送的目标网络端点C2的公钥信息(IDC2, PKC2); 4b)请求网络端点Cl在接收到目标网络端点C2发送的信息后,解析目标网络端点C2的 临时证书CAA2 {C2} = SIGA2(SN2,IDC2,PKC2,TA 2),其中,SN2表示目标网络端点C2的临时证书索 引号,TA2表示目标网络端点C2的临时证书有效时间,ID C2,PKC2表示目标网络端点C2的公钥 信息; 4c)将第一安全域代理A1发送的公钥信息(IDC2,PKC2)与解析临时证书CAA2 {C2}得到的 公钥信息(IDC2,PKC2)进行对比,如果两者相同,验证通过,否则验证失败。6. 根据权利要求1所述的空间信息网跨域的端到端密钥交换方法,其中所述步骤(5)中 请求网络端点C1和目标网络端点C2分别在多个周期内对自身的非交互式会话密钥ΚΙ,K2进 行计算,按如下步骤进行: 5a)初始化参数 5al)构造比特串集合5",根据比特串集合Sn中已存在的最后一个比特串S按照字典序排 列算法得到下一个比特串S+,并生成(n+1)级的多线性群(A..Sn+1,其中, 比特串S的长度小于等于η比特,η为大于0的整数; 5a2)令比特串集合Sn*的每个比特串S在单个线性群箣中选取多线性生成元hs,将G s表 示线性群运算公式e(hsi,hS2, . . . .hsi),其中,比特串S = bib2…bi,l$n,b是比特串S的比特 位,Gse单个线性群€丨,·同时从单个线性群的(n+1)阶^严中随机选取元素(g, gl,"_,gn); 5b)参数初始化完成后,进行多个周期的计算,即将每一个周期按顺序使用比特串集合 Sn中的比特串S,其中,5 = 第一个周期Τι:比特串S = 0,1 = 1,线性群运算公式Gs = e(ho), 请求目标端点Cl计算非交互式会话密钥Kl^eWs'g〗,...,gn,S2), 目标网络端点C2计算非交互式会话密钥. . .,gn,Sl) 第二个周期T2比特串S = 00,l = 2,线性群运算公式Gs = e(ho,hoo), 请求网络端点〇1计算非交互式会话密钥1(12 = 6(6/1,83,"_,811,32), 目标网络端点C2计算非交互式会话密钥K22 = e (G/2,g3,…,gn,S1); 第t个周期Tt:比特串S = bib2'"bi,l〈n,线性群运算公式Gs = e(hbi,hbib2, ·..., hblb2.....bi), 请求网络端点Cl计算非交互式会话密钥ΚΙ13 = e(Gsxl,gi+i,…,gn,S2) 目标网络端点C2计算非交互式会话密钥K2t = e (G/2,g1+1,…,gn,SI) 其中,xl和x2分别为请求网络端点Cl和目标网络端点C2选取的随机整数,g1+1,…,8"是 从单个线性群的(n+1)阶(S/Μ中随机选取的元素,S1,S2分别是请求网络端点C1和目标网络 端点C2的交互式临时公钥。 以此类推,最后一个周期Tm: S = 11. . . 1,1 = n,线性群运算公式Gs = e(ho,hQQ,...., ^^…?,其中,!!^〗1^1-〗, 请求网络端点Cl计算非交互式会话密钥Klm=e(Gsxl,g x2) 目标网络端点C2计算非交互式会话密钥K2m=e(Gsx2,g x1)。7. 根据权利要求2所述的空间信息网跨域的端到端密钥交换方法,其中步骤5al)中构 造比特串集合Sn,按如下步骤进行: 首先,初始化比特串集合Sn为空,即其中没有比特串: 接着,设置比特串集合Sn*的比特串的最大长度n,n为大于0的整数; 然后,在空比特串集合Sn中添加第一个比特串S^O; 最后,通过比特串集合Sn中的第一个比特串Si,使用字典序排列算法计算出其他比特 串,依次填充到比特串集合Sn中。8. 根据权利要求2所述的空间信息网跨域的端到端密钥交换方法,其中步骤5al)中利 用字典序排列算法在比特串集合Sn中通过已存在的最后一个比特串S得到下一个比特串S+, 按如下步骤进行: 首先,在比特串集合S#取已存在的最后一个比特串Szbibr-bhlSn; 然后,构造一个下标集合Is{lSiSl:bi = 0},其中,b是比特串S的比特位,S是前一步取 到的比特串; 最后,根据前两个步骤计算下一个比特串S+,其计算方法是: 当l〈n时,则下一个比特串S+ = S| |0,即在比特串S的最后一个比特位后面添加0; 当l=n时,如果比特串S=ln,即比特串S的η个比特位全是1,则比特串S已更新到最后一 个,否则,设j为比特串S中最后一个比特位等于0的下标,则下一个比特串S+zh……Vd。9. 根据权利要求1所述的空间信息网跨域的端到端密钥交换方法,其中所述步骤(6)中 关于协商出新的交互式临时公钥对,是指请求网络端点C1和目标网络端点C2在完成多个周 期的非交互式会话密钥对的计算后,将前一个交互式临时公钥对作废,然后重新按照步骤 (1)-(4)计算出新的交互式临时公钥对。10. 根据权利要求1所述的空间信息网跨域的端到端密钥交换方法,其中步骤(6)中进 行下一轮周期性的非交互式会话密钥对的更新,是指请求网络端点C1和目标网络端点C2利 用步骤(1)-(4)协商出的新的交互式临时公钥对,按照步骤(5)的方法重新计算非交互式会 话密钥对,其中,步骤(5)包含多个周期,每个周期都要计算出一个非交互式会话密钥对。
【专利摘要】本发明公开了一种空间信息网跨域的端到端密钥交换方法,主要解决现有技术在进行跨域的端到端密钥交换时存在的兼容性低、时延长及未考虑空间信息网周期性的问题。其实现方案是:1.请求网络端点和目标网络端点分别计算他们的交互式临时公钥,并发送相关信息给对方;2.请求网络端点和目标网络端点终止交互后,分别计算多个周期的自身的非交互式会话密钥,每一周期结束后,两者的会话密钥交换一次。本发明在不涉及各安全域安全体制的情况下,仅需要一次端到端的协议交互,就能支持周期性的多个会话密钥的非交互式协商,不仅保证了网络传输的安全性,而且可改变周期,以适应空间信息网的变化,可用于在空间信息网中实现信息跨域端到端的安全传输。
【IPC分类】H04L9/08, H04L9/30, H04W12/04
【公开号】CN105610575
【申请号】CN201510607554
【发明人】张俊伟, 龙奔, 马建峰, 李兴华, 马卓, 姜奇, 李晨
【申请人】西安电子科技大学
【公开日】2016年5月25日
【申请日】2015年9月22日