CN100596063C - 组密钥控制报文的分发系统、方法和装置 - Google Patents
组密钥控制报文的分发系统、方法和装置 Download PDFInfo
- Publication number
- CN100596063C CN100596063C CN200710002826A CN200710002826A CN100596063C CN 100596063 C CN100596063 C CN 100596063C CN 200710002826 A CN200710002826 A CN 200710002826A CN 200710002826 A CN200710002826 A CN 200710002826A CN 100596063 C CN100596063 C CN 100596063C
- Authority
- CN
- China
- Prior art keywords
- node
- group key
- control message
- key control
- distribution tree
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
- H04L9/0836—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key using tree structure or hierarchical structure
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种组密钥控制报文的分发系统、方法和装置,该系统主要包括:根节点和子节点。该装置包括:分发树建立节点。该方法主要包括:在组密钥管理系统中建立组密钥控制报文的分发树,根节点根据所述分发树向子节点下发组密钥控制报文;所述子节点接收所述根节点下发的组密钥控制报文,对接收到的组密钥控制报文进行相应的转发或本地处理。利用本发明,从而在组密钥管理系统内部建立了组密钥控制报文的复制/分发机制,消除了组密钥管理系统对所部署环境多播服务的依赖,提高了组密钥管理系统的可用性和可扩展性。
Description
技术领域
本发明涉及网络通信领域,尤其涉及一种组密钥控制报文的分发系统、方法和装置。
背景技术
多方通信是指具有两个或者两个以上的成员参加的一种通信场景,只有两个成员参加的场景是多方通信的一个特例。多方通信场景一般都有多个数据接收者,一个或多个数据发送者。在多方通信中可以采用单播技术或者多播技术来发送报文,采用多播技术比采用单播技术更容易实现多方通信。
常见的多方通信场景包括远程多方会议、IP电话、IPTV、网络在线游戏和网格计算等。多方通信安全是指对多方通信参与者提供访问控制(授权、认证),对通信内容提供加密、完整性保护、重放保护、源认证和组认证等安全服务,防止非组成员窃听和篡改通信内容,或干扰通信过程的正常进行,以及防止来自成员内部的安全威胁。
多方通信的安全需求主要包括:
1、授权和认证。只有经过允许、并能证明身份的人才能加入多方通信组以及收发数据,以使多播组可控。
2、保密。只有拥有解密密钥的节点才能解读组通信报文的内容。
3、组成员认证。非组成员无法生成有效的认证信息,进而无法冒充组成员发送多播报文。
4、源认证(抗抵赖)。组成员无法生成其他组成员的认证信息,进而无法冒充其他组成员发送多播报文。另一方面,组成员也无法否认其发送的信息。
5、匿名性。为组成员提供匿名发言的机制,也就是说,接收方无法从接收到的多播报文推断出发送方的身份。
6、完整性。提供验证收到的多播报文是否被篡改的手段。
7、抗重放。提供重放检测机制,实现抗重放攻击。
为保证多方通信的安全通常对多方通信报文进行加密传输。加密和解密用的多方共享密钥只有组成员才知道,这样能够确保被加密的报文只有组成员才能解读。组成员认证也可以利用该密钥来实现,因为只有拥有密钥的组成员才能正确地生成加密的多播报文。
利用上述多方共享密钥来解决多方通信安全问题的关键是密钥的生成和分发。这种生成和分发必须是排外的,即非组成员无法获得生成和分发的密钥。源认证、完整性和匿名服务通常也要利用双方或多方之间信息的排外共享。在多方通信中,如何实现密钥的排外共享是组密钥管理的研究范畴,组密钥是所有组成员共享的密钥,用来对多播报文进行加密和解密等安全操作。组密钥管理主要研究如何为组成员生成、发布和更新组密钥,并解决由此产生的扩展性、健壮性和可靠性问题。
根据组密钥的产生方式,组密钥的管理方法可以分为两类:集中管理式组密钥管理方法和分布协商式组密钥管理方法,下面分别介绍这两类方法。
在集中管理式组密钥管理方法中,通过专门的组密钥服务器来进行组密钥的创建、更新和分发。先对组密钥进行加密,然后再进行组密钥的分发过程,以防止组密钥泄漏,用于加密组密钥的密钥称为KEK(Key EncryptionKeys,辅助密钥)。上述组密钥只有一个,由全体组成员共享,而辅助密钥则包括多个密钥。组密钥服务器和不同的组成员之间会分别共享不同的辅助密钥。
在组密钥的分发过程中,组密钥服务器根据不同的组成员选择相应的KEK来加密组密钥,从而控制组成员对组密钥的访问,以实现前后向加密和授权访问的需要。组密钥服务器用不同的KEK加密组密钥后,将会生成多个不同的密文。为了简化密文的管理,组密钥服务器通常将所有密文打包成一个组密钥分发报文,然后发送给相应的组成员。因为这种报文发送本质上是一种“1到多”的通信。
在分布协商式组密钥管理方法中,组密钥由所有组成员采用密码学方式协商出来,各个组成员之间地位平等。在组密钥的协商开始之前,各个组成员首先生成一个只有自己知道的秘密值,然后对这个秘密值进行密码学变换,再将变换结果(通常也称为贡献值)发送给其它的组成员。在所有的组成员都发送了自己的贡献值、并接收到其它组成员发送的贡献值后,各个组成员将独立计算组密钥。各个组成员通过将所有组成员的贡献值带入特定的密码学公式,计算得到所有组成员共享的组密钥。
在上述组密钥的协商过程中,每个组成员都需要向其它组成员发送自己的贡献值,这种贡献值的交换过程本质上也是一种“1到多”的通信。
上述集中管理式组密钥管理方法中的组密钥分发报文和分布协商式组密钥管理方法中的组密钥贡献值报文统称为组密钥控制报文。
现有技术中第一种组密钥控制报文的分发方法为:采用单播方式实现组密钥控制报文的分发。该方法的特点是比较简单、易于实现。
上述现有技术中第一种组密钥控制报文的分发方法的缺点为:组密钥服务器或者组成员需要多次进行组密钥控制报文的发送,从而造成组密钥服务器效率低、可扩展性差。并且也给组密钥分发或者组密钥协商带来了比较大的延迟。
现有技术中第二种组密钥控制报文的分发方法为:采用多播方式实现组密钥控制报文的分发。目前,常见的多播形式包括链路层多播、IP多播、应用层多播等。
上述现有技术中第二种组密钥控制报文的分发方法的缺点为:对于以太网、无线局域网等本质上采用广播技术实现的链路层技术,能够很容易地提供链路层多播服务,但这种多播服务往往局限于某个局域网范围内,不能实现跨网络提供多播服务。而对于IP多播而言,由于实际部署的困难,也很少能够提供跨网络的IP多播服务。应用层多播目前正处于研究阶段,还没有成熟的标准,实际部署很少。根据上述多播服务的描述,利用现有多播实现组密钥分发仍存在实施难度。
发明内容
本发明实施例提供了一种组密钥控制报文的分发系统、方法和装置,从而能够解决组密钥服务器效率低、可扩展性差,消除了组密钥管理系统对所部署环境多播服务的依赖,组密钥控制报文的分发延迟比较大的缺点。
本发明实施例的目的是通过以下技术方案实现的:
一种组密钥控制报文的分发系统,包括:根节点和子节点,
根节点:根据组密钥控制报文的分发树向子节点下发组密钥控制报文;
子节点:接收所述根节点下发的组密钥控制报文,对接收到的组密钥控制报文进行本地处理;
分发树建立节点,所述分发树建立节点包括:
分发树建立模块:用于选择组成分发树的各个子节点,并确定各个子节点在分发树中的身份和位置,将各个子节点的身份和位置信息通知给该子节点以及该子节点所涉及的其它子节点,根据所有子节点的身份和位置信息建立分发树;
分发树维护模块:用于对所述分发树进行维护操作,该维护操作至少包括删除子节点、添加子节点、对子节点进行位置调整中的之一。
一种组密钥控制报文的分发方法,包括:
根据设定的选择原则选择组成分发树的各个子节点,并确定各个子节点在分发树中的身份和位置,将各个子节点的身份和位置信息通知给该子节点以及该子节点所涉及的其它子节点,根据所有子节点的身份和位置信息在组密钥管理系统中建立分发树;
根节点根据所述分发树向子节点下发组密钥控制报文;
所述子节点接收所述根节点下发的组密钥控制报文,对接收到的组密钥控制报文进行本地处理。
一种组密钥控制报文的分发树的建立节点,包括:
分发树建立模块:用于选择组成分发树的各个子节点,并确定各个子节点在分发树中的身份和位置,将各个子节点的身份和位置信息通知给该子节点以及该子节点所涉及的其它子节点,根据所有子节点的身份和位置信息建立分发树;
分发树维护模块:用于对所述分发树进行维护操作,该维护操作至少包括删除子节点、添加子节点、对子节点进行位置调整中的之一。
由上述本发明实施例提供的技术方案可以看出,本发明实施例通过在组密钥管理系统中建立和维护一个分发树,根节点、骨干节点和叶节点根据该分发树进行组密钥控制报文的分发。从而在组密钥管理系统内部建立了组密钥控制报文的复制/分发机制,消除了组密钥管理系统对所部署环境多播服务的依赖,避免采用单播技术实现“1到多”的组密钥控制报文分发时导致的低效率,提高了组密钥管理系统的可用性和可扩展性。
附图说明
图1为本发明实施例所述系统的结构图;
图2为本发明实施例所述分发树的实施例的结构图;
图3为本发明实施例所述方法的处理流程图;
图4为本发明实施例所述系统的一个具体应用实例中分发树的结构图;
图5为本发明实施例所述系统的一个具体应用实例中调整后的分发树的结构图;
图6为本发明实施例所述系统的另一个具体应用实例中分发树的结构图。
具体实施方式
本发明实施例提供了一种组密钥控制报文的分发系统、方法和装置。本发明实施例对应的软件可以存储在一个计算机可读取存储介质中。
下面结合附图来详细描述本发明实施例,本发明实施例所述组密钥控制报文的分发系统的结构图如图1所示。包括:根节点、分发树建立节点和子节点。
分发树建立节点:用于在系统中建立一个组密钥控制报文的分发树,本发明实施例所述分发树的实施例的结构如图2所示,该分发树的结构适用于集中管理式组密钥管理模型和分布协商式组密钥管理模型。该分发树中包括:一个根节点、若干个骨干节点和各个骨干节点负责转发的叶节点。
对于集中管理式组密钥管理模型,所述分发树建立节点为根节点。对于分布协商式组密钥管理模型,所述分发树建立节点可以为对密钥控制报文进行分发的根节点或者其它骨干节点、叶节点。分发树建立节点包括:分发树建立模块和分发树维护模块。
其中,分发树建立模块:用于选择组成分发树的各个子节点,并确定各个子节点在分发树中的身份和位置。将各个子节点的身份和位置信息通知给该子节点以及该子节点所涉及的其它子节点,根据所有子节点的身份和位置信息建立分发树;
其中,分发树维护模块:用于对所述分发树建立模块建立的分发树进行维护,对分发树中各个子节点至少进行删除、添加、位置调整中的之一。
根节点:对应组密钥控制报文的发送者,比如集中管理式组密钥管理方法中的组密钥服务器,或者分布协商式组密钥管理方法中的密钥控制报文的创建者。根节点负责沿着上述分发树向下一层的各个子节点下发组密钥控制报文。
子节点:接收根节点下发的组密钥控制报文,对接收到的组密钥控制报文进行本地处理,或者同时进行相应的转发。子节点包括:骨干节点和叶节点。
其中,骨干节点:接收根节点或其它骨干节点发送的组密钥控制报文,对该组密钥控制报文进行本地处理,提取出相关信息或密钥。根据其在上述分发树中的位置,将接收到的组密钥控制报文对应复制多份后,向其负责转发的下一层的叶节点或骨干节点进行转发。
其中,叶节点:接收根节点或骨干节点发送的组密钥控制报文,对该组密钥控制报文进行相应的本地处理,不需要再向其它的节点转发。
本发明实施例所述方法的处理流程如图3所示,包括如下步骤:
步骤3-1、在组密钥管理系统内部建立和维护一个分发树。
本发明实施例首先需要在组密钥管理系统内部建立和维护一个分发树。该分发树的建立过程主要为:首先确定根节点,然后按照设定的选择方法选择下一层的骨干节点和各个骨干节点负责转发的下一层的叶节点。最后,确定各个骨干节点和叶节点在分发树中的位置,形成分发树。
上述骨干节点和叶节点的选择方法包括但不限于如下几种:
1、选择先注册的组员节点作为骨干节点,后注册的组员节点作为叶节点。
2、从已经注册的组员节点中随机选择骨干节点和叶节点。
3、选择网络处理能力相对较强的组员节点作为骨干节点,网络处理能力相对较差的组员节点作为叶节点。
4、从志愿者组员节点中挑选骨干节点,从非志愿者组员节点中挑选叶节点。各个组员节点在向系统注册时表示自己是否愿意成为骨干节点。
5、根据各个组员节点的地理分布,将各个组员节点按照地理区域进行分类,再从各个区域内的组员节点中按照上述方法挑选骨干节点和叶节点。
6、将上述几种方法进行综合,比如结合节点的处理能力和志愿性来选择骨干节点;或者选择先注册的组员作为骨干节点,在后续运行中发现处理能力更强的组员节点后,用其替换掉原来的骨干节点。
在选择了骨干节点或叶节点后,系统可以按照一定的位置分配方法确定各个骨干节点或叶节点在生成树中的位置,该位置信息包括:节点位于哪一个子树、哪一个层次等。上述位置分配方法可以为:根据各个节点的地理分布和彼此的可连通性或者根据具体实施要求,来决定各个节点在分发树中的位置。
系统在分配了某个组员节点的身份(骨干节点或者叶节点)和位置以后,需要将这些信息通知给该组员节点以及其它所涉及的组员节点,如该组员节点上层的转发组员节点。系统在分配了所有组员节点的身份和位置以后,便可以形成最终的分发树。
在系统运行过程中,需要根据实际情况对分发树进行相应的维护。比如,根据到节点性能改变或失效以及网络状态的变化等情况,对分发树进行动态调整,对骨干节点和叶节点进行动态的身份切换和位置改变。如将某个骨干节点降级为叶节点,或者将某个叶节点升级为骨干节点,并提高其在分发树中的层次。系统在每次调整分发树之后都需要通知相应的组员,如某一叶节点离开后,系统要通知为该叶节点转发密钥控制报文的上层转发节点。
上述分发树的建立和维护工作,由特定的组控制器或者充当组控制器角色的组员节点来完成,该组员节点为分发树建立节点。对于集中管理式组密钥管理模型,所述分发树建立节点为根节点。对于分布协商式组密钥管理模型,所述分发树建立节点可以为根节点或者子节点。
在对分发树进行维护的过程中,需要考虑到分发树的高度、度数和稳定性将影响到分发树的性能。比如,增加树的高度将导致分发延迟增大,并增加树的维护难度;增大树的度数可以减小树的高度,但增加了骨干节点的复制和转发工作量。分发树的频繁变化也将造成系统的不稳定,同样将降低分发树的性能。
生成树的高度和度数的选择策略由实际的使用场景和具体的技术要求来决定。对于组员节点较多、密钥分发延迟不敏感的使用场景,可以选择较大的分发树高度;而如果组员节点的数量较少,或者组员节点的网络处理能力较强,则可以增大树的度数,以减少骨干节点的数量和树高,降低密钥分发延迟;当组内组员节点所处网络状况不同时,可以为不同区域中的组员节点所组成的子树确定不同的树高和度数。
步骤3-2、根节点、骨干节点和叶节点根据上述分发树,进行组密钥控制报文的分发。
当在组密钥管理系统内部建立了一个上述分发树后,根节点、骨干节点和叶节点根据上述分发树,进行组密钥控制报文的分发。
根节点沿着上述分发树向下一层的各个骨干节点下发组密钥控制报文,骨干节点接收根节点或其它骨干节点发送的组密钥控制报文后,对该组密钥控制报文进行本地处理,提取出相关信息或密钥。根据其在上述分发树中的位置,将接收到的组密钥控制报文对应复制多份后,向其负责转发的下一层的叶节点或骨干节点进行转发。
叶节点接收根节点或骨干节点发送的组密钥控制报文,对该组密钥控制报文进行相应的本地处理,不需要再向其它的节点转发。
在上述组密钥控制报文的分发过程中,为了控制组密钥控制报文重复发送和接收的情况,根节点可以在每个下发的组密钥控制报文中携带一个序列号或时间戳,当骨干节点或叶节点接收到序列号或时间戳重复的组密钥控制报文后,则将先接收到的组密钥控制报文进行相应的处理,将后接收到的组密钥控制报文丢弃。
对于分发树本身的管理报文,比如,用于建立和维护分发树的管理报文,可以通过数字签名或者MAC(Mdium Access Control,媒质接入控制层)等认证机制,保证只有组控制器才能对分发树进行操作。此外,分发树的管理报文中也可以引入上述序列号或时间戳等抗重放机制,防止攻击者利用以前拦截的管理报文恶意修改当前的分发树。
上述本发明实施例所述系统和方法既可以独立部署使用,也可以与其它方案结合使用。
对于多播服务局部可用的情况,比如WLAN(无线局域网络),可以为该局部区域内的组员节点设定唯一的骨干节点。根节点根据分发树将组密钥控制报文分发到该骨干节点后,再由该骨干节点通过多播形式将报文分发到其它叶节点。对于多播服务局部不可用的情况,可以在与该局部区域相邻的其它多播可用区域设置一个骨干节点,通过该骨干节点向所述局部区域分发密钥报文,而该局部区域内部则可以根据需要设置多个骨干节点。
本发明实施例所述系统的一个具体应用实例中分发树的结构如图4所示。
在该集中管理式组密钥管理模型的具体应用实例中,M0是一个安全组中的密钥服务器兼组控制器,它具有分发密钥和制定组策略的功能,M1,M2,...,M6是依次加入该安全组中的组员。如图4所示,组控制器选择首先加入该安全组的M1和M2作为骨干节点,选择后加入的M3、M4、M5和M6为叶节点。M3,M4在加入该安全组之前已经与M1建立了安全会话通道(如TLS传输层安全性),而M5,M6与M2处于同一子网内。
在生成树的建立过程中,M0通知M1为M3和M4转发密钥控制报文,M2为M5和M6转发密钥控制报文,并将对应的转发表分发给M1和M2。M0在进行密钥控制报文的分发时,首先将报文发送给M1和M2,之后M1和M2分别根据上述转发表,对报文进行处理并复制后,发送给对应的叶节点。
当骨干节点M2离开上述安全组后,M0需要对上述图4所示的分发树的结构进行调整,调整后的分发树的结构如图5所示。M0选择先加入的M5成为骨干节点,并且通知M5为M6提供报文转发。
本发明实施例所述系统的另一个具体应用实例中分发树的结构如图6所示。
在该分布式组密钥管理模型的具体应用实例中,所有组员都参与密钥协商。如安全组中有7个组员M0,M1,...,M6,其中M0是分发树建立节点,负责建立分发树系统并提供维护,M0通知后加入组的M1为分发树的根节点,然后指定M3和M4为自己的叶节点,而M2作为骨干节点为M5和M6转发密钥控制报文。则从M0至M6,每个组员贡献一部分密钥值给根节点M1,M1通过M0构造的分发树将这些密钥值依次分发给所有组员,然后各组员各自计算出组密钥。
类似于集中管理式组密钥管理模型,M0根据本地机制对密钥树进行维护。当有某个组员离开组后,M0构造新的密钥分发树,并通知剩余的组员开始密钥更新,即由M0开始新的一轮密钥协商。
在上述实施例中,由子节点M0充当分发树建立节点,在实际应用中,还可以由根节点来分发树建立节点。
综上所述,本发明实施例提出了一种新的组密钥控制报文分发方案,通过在组密钥管理系统内部集成多播机制,使得组密钥管理系统不依赖所部署环境是否提供多播服务,从而提高组密钥管理系统的可用性、可扩展性和效率。通过让组员节点参与组密钥控制报文的分发,提高了系统设施的使用率。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (9)
1、一种组密钥控制报文的分发系统,其特征在于,包括:根节点和子节点,
根节点:根据组密钥控制报文的分发树向子节点下发组密钥控制报文;
子节点:接收所述根节点下发的组密钥控制报文,对接收到的组密钥控制报文进行本地处理;
分发树建立节点,所述分发树建立节点包括:
分发树建立模块:用于选择组成分发树的各个子节点,并确定各个子节点在分发树中的身份和位置,将各个子节点的身份和位置信息通知给该子节点以及该子节点所涉及的其它子节点,根据所有子节点的身份和位置信息建立分发树;
分发树维护模块:用于对所述分发树进行维护操作,该维护操作至少包括删除子节点、添加子节点、对子节点进行位置调整中的之一。
2、根据权利要求1所述的组密钥控制报文的分发系统,其特征在于,所述分发树建立节点位于集中管理式组密钥管理模型中的根节点上。
3、根据权利要求1或2所述的组密钥控制报文的分发系统,其特征在于,所述子节点至少包括下述骨干节点和叶节点中的之一,其中,
骨干节点:接收根节点或其它骨干节点发送的组密钥控制报文,对所述组密钥控制报文进行本地处理;根据所述分发树将接收到的组密钥控制报文对应复制多份后,向其负责转发的叶节点或骨干节点进行转发;
叶节点:接收所述根节点或骨干节点发送的组密钥控制报文,对该组密钥控制报文进行本地处理。
4、一种组密钥控制报文的分发方法,其特征在于,包括:
根据设定的选择原则选择组成分发树的各个子节点,并确定各个子节点在分发树中的身份和位置,将各个子节点的身份和位置信息通知给该子节点以及该子节点所涉及的其它子节点,根据所有子节点的身份和位置信息在组密钥管理系统中建立分发树;
根节点根据所述分发树向子节点下发组密钥控制报文;
所述子节点接收所述根节点下发的组密钥控制报文,对接收到的组密钥控制报文进行本地处理。
5、根据权利要求4所述的组密钥控制报文的分发方法,其特征在于,所述根节点根据所述分发树向子节点下发组密钥控制报文包括:
在集中管理式组密钥管理模型中,根节点创建组密钥控制报文,根据所述分发树向子节点下发所述组密钥控制报文;
在分布协商式组密钥管理模型中,子节点创建组密钥控制报文后,将所述组密钥控制报文发送给根节点,根节点根据所述分发树向子节点下发所述组密钥控制报文。
6、根据权利要求4或5所述的组密钥控制报文的分发方法,其特征在于,所述子节点包括骨干节点和叶节点,其中,
骨干节点接收根节点或其它骨干节点发送的组密钥控制报文,对所述组密钥控制报文进行本地处理,根据所述分发树将接收到的组密钥控制报文对应复制多份后,向其负责转发的叶节点或骨干节点进行转发;
叶节点接收根节点或骨干节点发送的组密钥控制报文,对该组密钥控制报文进行本地处理。
7、根据权利要求6所述的组密钥控制报文的分发方法,其特征在于,所述根据设定的选择原则选择组成分发树的各个子节点至少包括下述方法中的之一,
选择先注册的组员节点作为骨干节点,后注册的组员节点作为叶节点;
从已经注册的组员节点中随机选择骨干节点和叶节点;
选择志愿者组员节点为骨干节点,非志愿者组员节点为叶节点,各个组员节点在向系统注册时表示其是否为志愿者组员节点;
根据组员节点的网络处理能力来选择骨干节点和叶节点;
根据组员节点的地理区域来选择骨干节点和叶节点。
8、根据权利要求4或5所述的组密钥控制报文的分发方法,其特征在于,所述方法还包括:
在每个组密钥控制报文中携带一个序列号或时间戳,当骨干节点或叶节点接收到序列号或时间戳重复的组密钥控制报文后,将先接收到的组密钥控制报文进行相应的处理,将后接收到的组密钥控制报文丢弃。
9、一种组密钥控制报文的分发树的建立节点,其特征在于,包括:
分发树建立模块:用于选择组成分发树的各个子节点,并确定各个子节点在分发树中的身份和位置,将各个子节点的身份和位置信息通知给该子节点以及该子节点所涉及的其它子节点,根据所有子节点的身份和位置信息建立分发树;
分发树维护模块:用于对所述分发树进行维护操作,该维护操作至少包括删除子节点、添加子节点、对子节点进行位置调整中的之一。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710002826A CN100596063C (zh) | 2007-02-01 | 2007-02-01 | 组密钥控制报文的分发系统、方法和装置 |
| PCT/CN2008/070165 WO2008095431A1 (fr) | 2007-02-01 | 2008-01-22 | Noeud, système de distribution et procédé de messages de commande de clé de groupe |
| US12/533,735 US20090292914A1 (en) | 2007-02-01 | 2009-07-31 | Nodes and systems and methods for distributing group key control message |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710002826A CN100596063C (zh) | 2007-02-01 | 2007-02-01 | 组密钥控制报文的分发系统、方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101022333A CN101022333A (zh) | 2007-08-22 |
| CN100596063C true CN100596063C (zh) | 2010-03-24 |
Family
ID=38709997
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200710002826A Expired - Fee Related CN100596063C (zh) | 2007-02-01 | 2007-02-01 | 组密钥控制报文的分发系统、方法和装置 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20090292914A1 (zh) |
| CN (1) | CN100596063C (zh) |
| WO (1) | WO2008095431A1 (zh) |
Families Citing this family (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005078988A1 (en) * | 2004-02-11 | 2005-08-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Key management for network elements |
| CN100596063C (zh) * | 2007-02-01 | 2010-03-24 | 华为技术有限公司 | 组密钥控制报文的分发系统、方法和装置 |
| EP2279630A4 (en) | 2008-04-24 | 2015-03-11 | Nokia Corp | METHOD, DEVICE AND COMPUTER PROGRAM PRODUCT FOR PROVIDING INTERNET PROTOCOL MULTICAST TRANSPORT |
| CN102468955B (zh) * | 2010-11-15 | 2014-10-08 | 中国移动通信集团公司 | 物联网中用户组的成员节点与网络侧通信的方法和设备 |
| US9026805B2 (en) | 2010-12-30 | 2015-05-05 | Microsoft Technology Licensing, Llc | Key management using trusted platform modules |
| CN103096309B (zh) * | 2011-11-01 | 2016-08-10 | 华为技术有限公司 | 生成组密钥的方法和相关设备 |
| TWI450471B (zh) * | 2012-03-02 | 2014-08-21 | Ship & Ocean Ind R & D Ct | 直流充電系統之多方通訊控制系統及其充電流程 |
| US9008316B2 (en) * | 2012-03-29 | 2015-04-14 | Microsoft Technology Licensing, Llc | Role-based distributed key management |
| US9876766B2 (en) * | 2012-11-28 | 2018-01-23 | Telefónica Germany Gmbh & Co Ohg | Method for anonymisation by transmitting data set between different entities |
| CN103023653B (zh) * | 2012-12-07 | 2017-03-29 | 哈尔滨工业大学深圳研究生院 | 低功耗的物联网安全组通信方法及装置 |
| US8873759B2 (en) * | 2013-02-08 | 2014-10-28 | Harris Corporation | Electronic key management using PKI to support group key establishment in the tactical environment |
| US9491196B2 (en) * | 2014-09-16 | 2016-11-08 | Gainspan Corporation | Security for group addressed data packets in wireless networks |
| CN104270350B (zh) * | 2014-09-19 | 2018-10-09 | 新华三技术有限公司 | 一种密钥信息的传输方法和设备 |
| US9860221B2 (en) * | 2015-03-10 | 2018-01-02 | Intel Corporation | Internet of things group formation using a key-based join protocol |
| CN106487761B (zh) * | 2015-08-28 | 2020-03-10 | 华为终端有限公司 | 一种消息传输方法和网络设备 |
| US10187290B2 (en) * | 2016-03-24 | 2019-01-22 | Juniper Networks, Inc. | Method, system, and apparatus for preventing tromboning in inter-subnet traffic within data center architectures |
| CN105915542A (zh) * | 2016-06-08 | 2016-08-31 | 惠众商务顾问(北京)有限公司 | 基于随机指令分布式云认证系统、装置及方法 |
| US20180019976A1 (en) * | 2016-07-14 | 2018-01-18 | Intel Corporation | System, Apparatus And Method For Massively Scalable Dynamic Multipoint Virtual Private Network Using Group Encryption Keys |
| EP3276875B1 (en) * | 2016-07-29 | 2020-02-19 | Nxp B.V. | Method and apparatus for updating an encryption key |
| CN106411916A (zh) * | 2016-10-21 | 2017-02-15 | 过冬 | 一种物联网安全组通信方法 |
| CN108259185B (zh) * | 2018-01-26 | 2021-06-15 | 湖北工业大学 | 一种群组通信中抗泄漏的群密钥协商系统及方法 |
| CN108989442A (zh) * | 2018-07-27 | 2018-12-11 | 中国联合网络通信集团有限公司 | 数据分发方法、系统及控制节点 |
| US11212096B2 (en) | 2019-01-29 | 2021-12-28 | Cellar Door Media, Llc | API and encryption key secrets management system and method |
| CN110784318B (zh) * | 2019-10-31 | 2020-12-04 | 广州华多网络科技有限公司 | 群密钥更新方法、装置、电子设备、存储介质及通信系统 |
| CN114697003B (zh) * | 2020-12-28 | 2024-06-07 | 科大国盾量子技术股份有限公司 | 一种集中式量子密码网络组密钥分发方法及系统 |
| CN114697004B (zh) * | 2020-12-28 | 2024-05-17 | 科大国盾量子技术股份有限公司 | 集中式广域量子密码网络组密钥分发方法及系统 |
| CN114697005B (zh) * | 2020-12-28 | 2024-06-07 | 科大国盾量子技术股份有限公司 | 一种分布式广域量子密码网络组密钥分发方法及系统 |
| CN114697002B (zh) * | 2020-12-28 | 2024-07-19 | 科大国盾量子技术股份有限公司 | 一种分布式量子密码网络组密钥分发方法及系统 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6049878A (en) * | 1998-01-20 | 2000-04-11 | Sun Microsystems, Inc. | Efficient, secure multicasting with global knowledge |
| RU2002100081A (ru) * | 2000-04-06 | 2003-07-27 | Сони Корпорейшн (JP) | Система и способ обработки информации |
| US7096356B1 (en) * | 2001-06-27 | 2006-08-22 | Cisco Technology, Inc. | Method and apparatus for negotiating Diffie-Hellman keys among multiple parties using a distributed recursion approach |
| CN1487750A (zh) * | 2002-09-30 | 2004-04-07 | 北京三星通信技术研究有限公司 | 多媒体广播与组播业务中密码的管理及分发方法 |
| CN100542127C (zh) * | 2004-06-30 | 2009-09-16 | 华为技术有限公司 | 一种基于多业务传输平台的组播实现方法 |
| US20060072532A1 (en) * | 2004-09-30 | 2006-04-06 | Motorola, Inc. | Method and system for proactive setup of multicast distribution tree at a neighbor cell or subnet during a call |
| CN100373889C (zh) * | 2004-12-03 | 2008-03-05 | 北京大学 | 一种ip网络的组播传输方法 |
| CN100596063C (zh) * | 2007-02-01 | 2010-03-24 | 华为技术有限公司 | 组密钥控制报文的分发系统、方法和装置 |
-
2007
- 2007-02-01 CN CN200710002826A patent/CN100596063C/zh not_active Expired - Fee Related
-
2008
- 2008-01-22 WO PCT/CN2008/070165 patent/WO2008095431A1/zh active Application Filing
-
2009
- 2009-07-31 US US12/533,735 patent/US20090292914A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| US20090292914A1 (en) | 2009-11-26 |
| CN101022333A (zh) | 2007-08-22 |
| WO2008095431A1 (fr) | 2008-08-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100596063C (zh) | 组密钥控制报文的分发系统、方法和装置 | |
| Hur et al. | Secure data retrieval for decentralized disruption-tolerant military networks | |
| Mittra | Iolus: A framework for scalable secure multicasting | |
| CN101106449B (zh) | 实现多方通信安全的系统和方法 | |
| US6901510B1 (en) | Method and apparatus for distributing and updating group controllers over a wide area network using a tree structure | |
| CN102884755A (zh) | 针对面向通用对象的变电站事件模型的组密钥生成和管理的方法 | |
| CN108847928B (zh) | 基于群组型量子密钥卡实现信息加解密传输的通信系统和通信方法 | |
| CN101420686A (zh) | 基于密钥的工业无线网络安全通信实现方法 | |
| CN100596068C (zh) | 基于会话初始化协议的安全组播方法 | |
| US20050111668A1 (en) | Dynamic source authentication and encryption cryptographic scheme for a group-based secure communication environment | |
| CN101677271A (zh) | 一种组播密钥管理的方法、装置及系统 | |
| Kiah et al. | Host mobility protocol for secure group communication in wireless mobile environments | |
| Li et al. | Distributed key management scheme for peer‐to‐peer live streaming services | |
| Wu et al. | A survey of key management in mobile ad hoc networks | |
| Tomar et al. | Secure Group Key Agreement with Node Authentication | |
| Gharout et al. | Key management with host mobility in dynamic groups | |
| Weiler | SEMSOMM-A scalable multiple encryption scheme for one-to-many multicast | |
| US20030206637A1 (en) | Mechanism and method to achieve group-wise perfect backward secrecy | |
| CN101951602A (zh) | 一种可自愈并带头节点撤销的密钥分发方法 | |
| WO2000038392A2 (en) | Apparatus and method for distributing authentication keys to network devices in a multicast | |
| Zou et al. | A block-free TGDH key agreement protocol for secure group communications. | |
| Sudha et al. | Secure transmission over remote group: a new key management prototype | |
| Dondeti | Efficient private group communication over public networks | |
| RU2716207C1 (ru) | Способ децентрализованного распределения ключевой информации | |
| Vijayakumar et al. | A New Key Management Paradigm for Fast Transmission in Remote Co-operative Groups |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100324 Termination date: 20150201 |
|
| EXPY | Termination of patent right or utility model |