專利名稱：一種適合集群系統(tǒng)的組播密鑰協(xié)商方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
本發(fā)明屬網(wǎng)絡(luò)安全領(lǐng)域，涉及一種適合集群系統(tǒng)的組播密鑰協(xié)商方法及系統(tǒng)，尤 其涉及一種適合SCDMA寬帶接入技術(shù)的組播密鑰協(xié)商方法及系統(tǒng)。
背景技術(shù)：
SCDMA(Synchronous Code Division Multiple Access)是一種同步碼分多址的 寬帶無(wú)線接入技術(shù)，它采用了智能天線、軟件無(wú)線電、以及自主開(kāi)發(fā)的SWAP(SynChronoUS Wireless Access Protocol)空中接口協(xié)議等先進(jìn)技術(shù)，是一個(gè)全新的體系，一個(gè)全新的我 國(guó)擁有完整自主知識(shí)產(chǎn)權(quán)的第三代無(wú)線通信技術(shù)標(biāo)準(zhǔn)，可以以集群的方式組建網(wǎng)絡(luò)和開(kāi)展 業(yè)務(wù)。在SCDMA技術(shù)標(biāo)準(zhǔn)的用戶終端(UT, User Terminal)和基站(BS, Base Station)通 信的空中接口安全的方案中，并沒(méi)有對(duì)組播密鑰的協(xié)商方法進(jìn)行描述?？紤]到SCDMA寬帶系統(tǒng)技術(shù)特點(diǎn)，組播密鑰的生成、更新與組成員發(fā)生切換后的 組播密鑰的使用應(yīng)具備以下要求1)基站BS不記錄每個(gè)用戶終端UT所附屬的組消息；2) 基站BS對(duì)應(yīng)于不同的應(yīng)用業(yè)務(wù)，所服務(wù)的同一業(yè)務(wù)組的用戶終端UT可能分散于不同的基 站BS下；3)由于需要具備切換能力，應(yīng)由基站BS來(lái)生成組播密鑰。網(wǎng)絡(luò)中有許多業(yè)務(wù)的 都需要通過(guò)組播的方式進(jìn)行開(kāi)展，沒(méi)有安全的組播密鑰協(xié)商的方法和系統(tǒng)無(wú)法保證利用組 播開(kāi)展的業(yè)務(wù)能夠更加有效地進(jìn)行。

發(fā)明內(nèi)容
為了解決背景技術(shù)中存在的上述技術(shù)問(wèn)題，本發(fā)明提供了一種安全性更高的適合 集群系統(tǒng)的組播密鑰協(xié)商方法及系統(tǒng)。本發(fā)明的技術(shù)解決方案是本發(fā)明為一種適合集群系統(tǒng)的組播密鑰協(xié)商方法，其 特殊之處在于所述適合集群系統(tǒng)的組播密鑰協(xié)商方法包括以下步驟1)用戶終端UT和基站BS協(xié)商單播密鑰，根據(jù)單播密鑰導(dǎo)出加密密鑰和完整性校 驗(yàn)密鑰；2)用戶終端UT向基站BS發(fā)送組播密鑰請(qǐng)求分組，該分組包括隨機(jī)數(shù)和消息完 整性校驗(yàn)值；3)基站BS收到來(lái)自用戶終端UT的組播密鑰請(qǐng)求分組后構(gòu)建組播業(yè)務(wù)通告分組發(fā) 送給用戶終端UT，該分組包括隨機(jī)數(shù)、網(wǎng)絡(luò)中該基站BS以及與該基站BS相連的基站BSi 列表和消息完整性校驗(yàn)值，其中i表示網(wǎng)絡(luò)中的第i個(gè)基站BS，基站BSi列表包括基站BSi 標(biāo)識(shí)、支持的業(yè)務(wù)和基站BSi公鑰；4)用戶終端UT收到來(lái)自步驟3)的組播業(yè)務(wù)通告分組后構(gòu)建組播業(yè)務(wù)請(qǐng)求分組發(fā) 送給基站BS，該分組包括用戶終端UT的數(shù)字證書、隨機(jī)數(shù)、由網(wǎng)絡(luò)中該基站BS以及與該 基站BS相連的基站BSi公鑰加密的消息列表和消息完整性校驗(yàn)值；5)當(dāng)基站BS收到來(lái)自步驟4)的組播業(yè)務(wù)請(qǐng)求分組后構(gòu)建組播密鑰請(qǐng)求廣播分組 發(fā)給網(wǎng)絡(luò)中基站BSi，該分組包括步驟4)中組播業(yè)務(wù)請(qǐng)求分組中的消息以及該基站BS的簽名；6)當(dāng)網(wǎng)絡(luò)中基站BSi收到來(lái)自步驟5)的組播密鑰請(qǐng)求廣播分組后構(gòu)建組播密鑰反饋分組發(fā)給基站BS，該分組包括隨機(jī)數(shù)、由請(qǐng)求用戶終端UT公鑰加密的消息列表和基 站BSi的簽名，其中，請(qǐng)求用戶終端UT公鑰加密的消息列表是由用戶終端UT公鑰加密組播 密鑰請(qǐng)求結(jié)果得到；7)當(dāng)基站BS收到來(lái)自步驟6)的組播密鑰反饋分組后構(gòu)建組播業(yè)務(wù)響應(yīng)分組發(fā)給 用戶終端UT，該分組包括隨機(jī)數(shù)、由請(qǐng)求用戶終端UT公鑰加密的消息列表和完整性校驗(yàn) 值；8)用戶終端UT對(duì)步驟7)發(fā)來(lái)的組播業(yè)務(wù)響應(yīng)分組進(jìn)行解密。上述步驟3)的具體實(shí)現(xiàn)方式是基站BS收到組播密鑰請(qǐng)求分組后，導(dǎo)出的完整性 校驗(yàn)密鑰驗(yàn)證其中的MIC值，判斷其是否正確，如果不正確則放棄該分組；如果正確，則由 基站BS向用戶終端UT反饋組播密鑰業(yè)務(wù)通告分組。上述步驟4)的具體實(shí)現(xiàn)方式是用戶終端UT收到組播密鑰業(yè)務(wù)通告分組后，導(dǎo)出 的完整性校驗(yàn)密鑰驗(yàn)證其中的MIC值，判斷其是否正確，如果不正確則放棄該分組；如果正 確，則由用戶終端UT向基站BS反饋組播密鑰業(yè)務(wù)請(qǐng)求分組。上述步驟5)的具體實(shí)現(xiàn)方式是基站BS收到組播業(yè)務(wù)請(qǐng)求分組后，由完整性校驗(yàn) 密鑰驗(yàn)證其中的MIC值是否正確，如果不正確則放棄該分組；如果正確，則基站BS向所有基 站BSi反饋組播密鑰請(qǐng)求廣播分組。上述步驟6)的具體實(shí)現(xiàn)方式是當(dāng)基站BSi收到基站BS的廣播后，利用基站BS 數(shù)字證書的公鑰驗(yàn)證基站BS的簽名是否正確，如果不正確，則放棄該分組；如果正確，則根 據(jù)基站BS私鑰解密組播密鑰請(qǐng)求廣播中加密后的業(yè)務(wù)選取標(biāo)識(shí)消息，根據(jù)解密后的消息 判斷請(qǐng)求的用戶終端UT是否訂購(gòu)BSi的業(yè)務(wù)，請(qǐng)求相關(guān)密鑰，通過(guò)用戶終端UT的公鑰加密 后向請(qǐng)求基站BS反饋組播密鑰反饋分組。上述步驟8)的具體實(shí)現(xiàn)方式是每個(gè)接收到組播業(yè)務(wù)響應(yīng)分組的用戶終端UT識(shí) 別是否是用戶終端UT的訂制業(yè)務(wù)，以便決定是否對(duì)其進(jìn)行解密，如果是，則由密鑰導(dǎo)出的 完整性校驗(yàn)密鑰驗(yàn)證其中的MIC值，如果不正確則放棄該分組；如果正確，則根據(jù)用戶終端 UT的選擇，解密相應(yīng)服務(wù)所需的組播密鑰。一種適合集群系統(tǒng)的組播密鑰協(xié)商系統(tǒng)，其特殊之處在于所述適合集群系統(tǒng)的 組播密鑰協(xié)商系統(tǒng)包括用戶終端UT以及基站BS組，所述基站BS組包括i個(gè)基站BSi ；所 述用戶終端UT向基站BS發(fā)送組播密鑰請(qǐng)求分組；所述基站BS收到來(lái)自用戶終端UT的組 播密鑰請(qǐng)求分組后構(gòu)建組播業(yè)務(wù)通告分組發(fā)送給用戶終端UT ；所述用戶終端UT收到組播 業(yè)務(wù)通告分組后構(gòu)建組播業(yè)務(wù)請(qǐng)求分組發(fā)送給基站BS ；所述基站BS收到組播業(yè)務(wù)請(qǐng)求分 組后構(gòu)建組播密鑰請(qǐng)求廣播分組發(fā)給網(wǎng)絡(luò)中基站BSi ；所述基站BSi收到組播密鑰請(qǐng)求廣 播分組后構(gòu)建組播密鑰反饋分組發(fā)給基站BS ；所述基站BS收到組播密鑰反饋分組后構(gòu)建 組播業(yè)務(wù)響應(yīng)分組發(fā)給用戶終端UT ；所述用戶終端UT對(duì)組播業(yè)務(wù)響應(yīng)分組進(jìn)行解密。本發(fā)明的優(yōu)點(diǎn)是1)用戶終端UT的業(yè)務(wù)訂制消息是通過(guò)利用基站BSi的公鑰對(duì)是否訂購(gòu)基站BSi 的某種業(yè)務(wù)的標(biāo)識(shí)消息加密實(shí)現(xiàn)的。收到組播密鑰請(qǐng)求廣播分組的基站BS，沒(méi)有解密私鑰 就無(wú)法從密文中獲知是否該用戶訂制了某種服務(wù)；
2)在組播密鑰反饋中，要求不論是否訂購(gòu)了自己的業(yè)務(wù)，所有收到組播密鑰請(qǐng)求 廣播分組的基站BSi都進(jìn)行反饋，因?yàn)槎加蟹答?訂購(gòu)情況下反饋密鑰，無(wú)訂購(gòu)情況下反饋 隨機(jī)數(shù))，與用戶終端UT直接相連的基站BS不知道都哪個(gè)基站BSi是用戶終端UT所要求 服務(wù)，因?yàn)樗鼪](méi)有用戶終端UT的私鑰，無(wú)法解密密文消息；3)用戶終端UT知道自己訂制了哪些服務(wù)，它不需要對(duì)所有的密鑰響應(yīng)分組中的 密文進(jìn)行解密，只需要對(duì)自己所關(guān)心的密文進(jìn)行解密即可。


圖1為本發(fā)明所提供的適合集群系統(tǒng)的組播密鑰協(xié)商過(guò)程框架示意圖。
具體實(shí)施例方式參見(jiàn)圖1，本發(fā)明提供了一種適合集群系統(tǒng)的組播密鑰協(xié)商方法，該方法包括以下 步驟1)用戶終端UT和基站BS協(xié)商單播密鑰TEK，并導(dǎo)出加密密鑰和完整性校驗(yàn)密鑰；2)組播密鑰請(qǐng)求分組由用戶終端UT發(fā)向基站BS ；該分組包括FLAG(消息交互 機(jī)制標(biāo)識(shí))、PFLAG (本條消息標(biāo)識(shí))、MEKID (組播密鑰安全關(guān)聯(lián))、BSID (基站Bs標(biāo)識(shí))、 TEKID(加密密鑰索引)、NUT(用戶終端UT生成的保證消息新鮮性隨機(jī)數(shù))和MIC(使用 TEKID對(duì)應(yīng)的密鑰導(dǎo)出的完整性校驗(yàn)密鑰計(jì)算消息的完整性校驗(yàn)值)；3)組播密鑰業(yè)務(wù)通告分組由基站BS發(fā)向用戶終端UT ；基站BS收到組播密鑰請(qǐng) 求分組后，由TEKID對(duì)應(yīng)的密鑰導(dǎo)出的完整性校驗(yàn)密鑰驗(yàn)證其中的MIC值，如果不正確則放 棄該分組，如果正確則反饋組播密鑰業(yè)務(wù)通告分組，包括FLAG(消息交互機(jī)制標(biāo)識(shí)，同組 播密鑰請(qǐng)求分組)、PFLAG (本條消息標(biāo)識(shí))、MEKID (組播密鑰安全關(guān)聯(lián)，同組播密鑰請(qǐng)求分 組),BSID (基站BS標(biāo)識(shí)，同組播密鑰請(qǐng)求分組)、UTID (用戶終端UT標(biāo)識(shí)),TEKID (加密密 鑰索引，同組播密鑰請(qǐng)求分組)、NUT (隨機(jī)數(shù)，同組播密鑰請(qǐng)求分組)、NBS (基站BS產(chǎn)生的 保證消息新鮮性的隨機(jī)數(shù))、列表LISTl (包含本基站BS以及其他與之相連基站BS的基站 BSilD、業(yè)務(wù)代碼、有基站BSi支持的業(yè)務(wù)代碼以及基站BSi數(shù)字證書)和MIC(使用TEKID 對(duì)應(yīng)的密鑰導(dǎo)出的完整性校驗(yàn)密鑰計(jì)算消息的完整性校驗(yàn)值)；4)組播業(yè)務(wù)請(qǐng)求分組由用戶終端UT發(fā)向基站BS ；用戶終端UT收到組播密鑰 業(yè)務(wù)通告分組后，由TEKID對(duì)應(yīng)的密鑰導(dǎo)出的完整性校驗(yàn)密鑰驗(yàn)證其中的MIC值，如果不 正確則放棄該分組，如果正確則反饋組播密鑰業(yè)務(wù)請(qǐng)求分組，包括FLAG(消息交互機(jī)制標(biāo) 識(shí)，同組播密鑰業(yè)務(wù)通告分組)、PFLAG(本條消息標(biāo)識(shí))、MEKID (組播密鑰安全關(guān)聯(lián)，同組 播密鑰業(yè)務(wù)通告分組)、BSID (基站BS標(biāo)識(shí)，同組播密鑰業(yè)務(wù)通告分組)、UTID (用戶終端 UT標(biāo)識(shí)，同組播密鑰業(yè)務(wù)通告分組)、TEKID (加密密鑰索引，同組播密鑰業(yè)務(wù)通告分組)、 NUT (隨機(jī)數(shù)，同組播密鑰業(yè)務(wù)通告分組)、NBS (隨機(jī)數(shù)，組播密鑰業(yè)務(wù)通告分組)、N0NCE (基 站BS生成的用于計(jì)算業(yè)務(wù)選取標(biāo)識(shí)消息的隨機(jī)數(shù))、CERTUT (用戶終端UT數(shù)字證書)、列 表LIST2 (基站BSilD、業(yè)務(wù)代碼、利用基站BSi數(shù)字證書公鑰加密后的業(yè)務(wù)選取標(biāo)識(shí)消息) 和MIC(使用TEKID對(duì)應(yīng)的密鑰導(dǎo)出的完整性校驗(yàn)密鑰計(jì)算消息的完整性校驗(yàn)值)；5)組播密鑰請(qǐng)求廣播分組由基站BS以廣播方式發(fā)向所有基站BSi ；基站BS收到 組播業(yè)務(wù)請(qǐng)求分組后，由完整性校驗(yàn)密鑰驗(yàn)證其中的MIC值，如果不正確則放棄該分組，如果正確則反饋組播密鑰請(qǐng)求廣播分組，包括組播業(yè)務(wù)請(qǐng)求分組內(nèi)容、基站BS的數(shù)字證書和基站BS的簽名(基站BS利用自己的私鑰對(duì)本分組中基站BS簽名字段之前所有數(shù)據(jù)字 段的簽名)；6)組播密鑰反饋分組由所有基站BSi發(fā)向基站BS。當(dāng)基站BSi收到基站BS的廣 播后，利用基站BS數(shù)字證書的公鑰驗(yàn)證基站BS的簽名，如果不正確則放棄該分組，如果正 確則根據(jù)自己私鑰解密組播密鑰請(qǐng)求廣播中加密后的業(yè)務(wù)選取標(biāo)識(shí)消息，根據(jù)解密后的消 息判斷請(qǐng)求的用戶終端UT是否訂購(gòu)BSi的業(yè)務(wù)，請(qǐng)求相關(guān)密鑰。BSi不論用戶終端UT是否 訂購(gòu)自己的業(yè)務(wù)都將相關(guān)消息(訂購(gòu)情況下反饋業(yè)務(wù)密鑰，無(wú)訂購(gòu)情況下反饋隨機(jī)數(shù))都 通過(guò)用戶終端UT的公鑰加密后反饋給請(qǐng)求基站BS。該分組包括FLAG(消息交互機(jī)制標(biāo)識(shí)， 同組播密鑰請(qǐng)求廣播分組)、PFLAG (本條消息標(biāo)識(shí))、MEKID (組播密鑰安全關(guān)聯(lián)，同組播密 鑰請(qǐng)求廣播分組)、BSID (基站BS標(biāo)識(shí)，同組播密鑰請(qǐng)求廣播分組)、UTID (用戶終端UT標(biāo) 識(shí)，同組播密鑰請(qǐng)求廣播分組)>TEKID (加密密鑰索引，同組播密鑰請(qǐng)求廣播分組)、NUT (隨 機(jī)數(shù)，同組播密鑰請(qǐng)求廣播分組)、NBS(隨機(jī)數(shù)，同組播密鑰請(qǐng)求廣播分組)、NONCE (隨機(jī) 數(shù)，同組播密鑰請(qǐng)求廣播分組)、CERTUT(用戶終端UT數(shù)字證書，同組播密鑰請(qǐng)求廣播分 組)、列表LIST3(基站BSilD、業(yè)務(wù)代碼、業(yè)務(wù)密鑰MEKi或隨機(jī)數(shù))和基站BSi的簽名(基 站BSi利用自己的私鑰對(duì)本分組中基站BSi簽名字段之前所有數(shù)據(jù)字段的簽名)；7)組播業(yè)務(wù)響應(yīng)分組由基站BS發(fā)向用戶終端UT ；當(dāng)基站BS收到所有基站BSi 的正確反饋后，利用所接到加密消息構(gòu)造該分組。該分組包括FLAG(消息交互機(jī)制標(biāo)識(shí)， 同組播密鑰反饋分組)、PFLAG (本條消息標(biāo)識(shí))、MEKID (組播密鑰安全關(guān)聯(lián)，同組播密鑰反 饋分組)、BSID (基站BS標(biāo)識(shí)，同組播密鑰反饋分組)、UTID (用戶終端UT標(biāo)識(shí)，同組播密鑰 反饋分組)、TEKID (加密密鑰索引，同組播密鑰反饋分組)、NUT (隨機(jī)數(shù)，同組播密鑰反饋 分組)、NBS (隨機(jī)數(shù)，同組播密鑰反饋分組)、NONCE (隨機(jī)數(shù)，同組播密鑰反饋分組)、列表 LIST3 (基站BSilD、業(yè)務(wù)代碼、業(yè)務(wù)密鑰MEKi或隨機(jī)數(shù)，同組播密鑰反饋分組)和MIC (使 用TEKID對(duì)應(yīng)的密鑰導(dǎo)出的完整性校驗(yàn)密鑰計(jì)算消息的完整性校驗(yàn)值)。8)每個(gè)接收到組播業(yè)務(wù)響應(yīng)分組的用戶終端UT可以通過(guò)基站BSiID和業(yè)務(wù)代碼 識(shí)別是否是自己的訂制業(yè)務(wù)，以便決定是否對(duì)其進(jìn)行解密，如果是，則由TEKID對(duì)應(yīng)的密鑰 導(dǎo)出的完整性校驗(yàn)密鑰驗(yàn)證其中的MIC值，如果不正確則放棄該分組，如果正確則根據(jù)自 己的選擇，解密相應(yīng)服務(wù)所需的組播密鑰。一種適合集群系統(tǒng)的組播密鑰協(xié)商系統(tǒng)，該系統(tǒng)包括用戶終端UT以及基站BS組， 基站BS組包括i個(gè)基站BSi ；用戶終端UT向基站BS發(fā)送組播密鑰請(qǐng)求分組；基站BS收到 來(lái)自用戶終端UT的組播密鑰請(qǐng)求分組后構(gòu)建組播業(yè)務(wù)通告分組發(fā)送給用戶終端UT ；用戶 終端UT收到組播業(yè)務(wù)通告分組后構(gòu)建組播業(yè)務(wù)請(qǐng)求分組發(fā)送給基站BS ；基站BS收到組播 業(yè)務(wù)請(qǐng)求分組后構(gòu)建組播密鑰請(qǐng)求廣播分組發(fā)給網(wǎng)絡(luò)中基站BSi ；基站BSi收到組播密鑰 請(qǐng)求廣播分組后構(gòu)建組播密鑰反饋分組發(fā)給基站BS ；基站BS收到組播密鑰反饋分組后構(gòu) 建組播業(yè)務(wù)響應(yīng)分組發(fā)給用戶終端UT ；用戶終端UT對(duì)組播業(yè)務(wù)響應(yīng)分組進(jìn)行解密。
權(quán)利要求
一種適合集群系統(tǒng)的組播密鑰協(xié)商方法，其特征在于所述適合集群系統(tǒng)的組播密鑰協(xié)商方法包括以下步驟1)用戶終端UT和基站BS協(xié)商單播密鑰，根據(jù)單播密鑰導(dǎo)出加密密鑰和完整性校驗(yàn)密鑰；2)用戶終端UT向基站BS發(fā)送組播密鑰請(qǐng)求分組，該分組包括隨機(jī)數(shù)和消息完整性校驗(yàn)值；3)基站BS收到來(lái)自用戶終端UT的組播密鑰請(qǐng)求分組后構(gòu)建組播業(yè)務(wù)通告分組發(fā)送給用戶終端UT，該分組包括隨機(jī)數(shù)、網(wǎng)絡(luò)中該基站BS以及與該基站BS相連的基站BSi列表和消息完整性校驗(yàn)值，其中i表示網(wǎng)絡(luò)中的第i個(gè)基站BS，基站BSi列表包括基站BSi標(biāo)識(shí)、支持的業(yè)務(wù)和基站BSi公鑰；4)用戶終端UT收到來(lái)自步驟3)的組播業(yè)務(wù)通告分組后構(gòu)建組播業(yè)務(wù)請(qǐng)求分組發(fā)送給基站BS，該分組包括用戶終端UT的數(shù)字證書、隨機(jī)數(shù)、由網(wǎng)絡(luò)中該基站BS以及與該基站BS相連的基站BSi公鑰加密的消息列表和消息完整性校驗(yàn)值；5)當(dāng)基站BS收到來(lái)自步驟4)的組播業(yè)務(wù)請(qǐng)求分組后構(gòu)建組播密鑰請(qǐng)求廣播分組發(fā)給網(wǎng)絡(luò)中基站BSi，該分組包括步驟4)中組播業(yè)務(wù)請(qǐng)求分組中的消息以及該基站BS的簽名；6)當(dāng)網(wǎng)絡(luò)中基站BSi收到來(lái)自步驟5)的組播密鑰請(qǐng)求廣播分組后構(gòu)建組播密鑰反饋分組發(fā)給基站BS，該分組包括隨機(jī)數(shù)、由請(qǐng)求用戶終端UT公鑰加密的消息列表和基站BSi的簽名，其中，請(qǐng)求用戶終端UT公鑰加密的消息列表是由用戶終端UT公鑰加密組播密鑰請(qǐng)求結(jié)果得到；7)當(dāng)基站BS收到來(lái)自步驟6)的組播密鑰反饋分組后構(gòu)建組播業(yè)務(wù)響應(yīng)分組發(fā)給用戶終端UT，該分組包括隨機(jī)數(shù)、由請(qǐng)求用戶終端UT公鑰加密的消息列表和完整性校驗(yàn)值消息；8)用戶終端UT對(duì)步驟7)發(fā)來(lái)的組播業(yè)務(wù)響應(yīng)分組進(jìn)行解密。
2.根據(jù)權(quán)利要求1所述的適合集群系統(tǒng)的組播密鑰協(xié)商方法，其特征在于所述步驟3)的具體實(shí)現(xiàn)方式是基站BS收到組播密鑰請(qǐng)求分組后，導(dǎo)出的完整性校驗(yàn)密鑰驗(yàn)證其中 的MIC值，判斷其是否正確，如果不正確則放棄該分組；如果正確，則由基站BS向用戶終端 UT反饋組播密鑰業(yè)務(wù)通告分組。
3.根據(jù)權(quán)利要求2所述的適合集群系統(tǒng)的組播密鑰協(xié)商方法，其特征在于所述步驟4)的具體實(shí)現(xiàn)方式是用戶終端UT收到組播密鑰業(yè)務(wù)通告分組后，導(dǎo)出的完整性校驗(yàn)密鑰 驗(yàn)證其中的MIC值，判斷其是否正確，如果不正確則放棄該分組；如果正確，則由用戶終端 UT向基站BS反饋組播密鑰業(yè)務(wù)請(qǐng)求分組。
4.根據(jù)權(quán)利要求3所述的適合集群系統(tǒng)的組播密鑰協(xié)商方法，其特征在于所述步驟5)的具體實(shí)現(xiàn)方式是基站BS收到組播業(yè)務(wù)請(qǐng)求分組后，由完整性校驗(yàn)密鑰驗(yàn)證其中的 MIC值是否正確，如果不正確則放棄該分組；如果正確，則基站BS向所有基站BSi反饋組播 密鑰請(qǐng)求廣播分組。
5.根據(jù)權(quán)利要求4所述的適合集群系統(tǒng)的組播密鑰協(xié)商方法，其特征在于所述步驟6)的具體實(shí)現(xiàn)方式是當(dāng)基站BSi收到基站BS的廣播后，利用基站BS數(shù)字證書的公鑰驗(yàn)證 基站BS的簽名是否正確，如果不正確，則放棄該分組；如果正確，則根據(jù)基站BS私鑰解密組播密鑰請(qǐng)求廣播中加密后的業(yè)務(wù)選取標(biāo)識(shí)消息，根據(jù)解密后的消息判斷請(qǐng)求的用戶終端UT 是否訂購(gòu)BSi的業(yè)務(wù)，請(qǐng)求相關(guān)密鑰，通過(guò)用戶終端UT的公鑰加密后向請(qǐng)求基站BS反饋組 播密鑰反饋分組。
6.根據(jù)權(quán)利要求5所述的適合集群系統(tǒng)的組播密鑰協(xié)商方法，其特征在于所述步驟 8)的具體實(shí)現(xiàn)方式是每個(gè)接收到組播業(yè)務(wù)響應(yīng)分組的用戶終端UT識(shí)別是否是用戶終端 UT的訂制業(yè)務(wù)，以便決定是否對(duì)其進(jìn)行解密，如果是，則由密鑰導(dǎo)出的完整性校驗(yàn)密鑰驗(yàn)證 其中的MIC值，如果不正確則放棄該分組；如果正確，則根據(jù)用戶終端UT的選擇，解密相應(yīng) 服務(wù)所需的組播密鑰。
7.一種適合集群系統(tǒng)的組播密鑰協(xié)商系統(tǒng)，其特征在于所述適合集群系統(tǒng)的組播密 鑰協(xié)商系統(tǒng)包括用戶終端UT以及基站BS組，所述基站BS組包括i個(gè)基站BSi ；所述用戶 終端UT向基站BS發(fā)送組播密鑰請(qǐng)求分組；所述基站BS收到來(lái)自用戶終端UT的組播密鑰 請(qǐng)求分組后構(gòu)建組播業(yè)務(wù)通告分組發(fā)送給用戶終端UT ；所述用戶終端UT收到組播業(yè)務(wù)通 告分組后構(gòu)建組播業(yè)務(wù)請(qǐng)求分組發(fā)送給基站BS ；所述基站BS收到組播業(yè)務(wù)請(qǐng)求分組后構(gòu) 建組播密鑰請(qǐng)求廣播分組發(fā)給網(wǎng)絡(luò)中基站BSi ；所述基站BSi收到組播密鑰請(qǐng)求廣播分組 后構(gòu)建組播密鑰反饋分組發(fā)給基站BS ；所述基站BS收到組播密鑰反饋分組后構(gòu)建組播業(yè) 務(wù)響應(yīng)分組發(fā)給用戶終端UT ；所述用戶終端UT對(duì)組播業(yè)務(wù)響應(yīng)分組進(jìn)行解密。
全文摘要
本發(fā)明為一種適合集群系統(tǒng)的組播密鑰協(xié)商方法，該方法包括以下步驟1)用戶終端UT和基站BS協(xié)商單播密鑰，根據(jù)單播密鑰導(dǎo)出加密密鑰和完整性校驗(yàn)密鑰；2)用戶終端UT向基站BS發(fā)送組播密鑰請(qǐng)求分組；3)基站BS收到來(lái)自用戶終端UT的組播密鑰請(qǐng)求分組后構(gòu)建組播業(yè)務(wù)通告分組發(fā)送給用戶終端UT；4)用戶終端UT收到來(lái)自步驟3)的組播業(yè)務(wù)通告分組后構(gòu)建組播業(yè)務(wù)請(qǐng)求分組發(fā)送給基站BS；5)當(dāng)基站BS收到來(lái)自步驟4)的組播業(yè)務(wù)請(qǐng)求分組后構(gòu)建組播密鑰請(qǐng)求廣播分組發(fā)給網(wǎng)絡(luò)中基站BSi；6)構(gòu)建組播密鑰反饋分組發(fā)給基站BS；本發(fā)明提供了一種安全性更高的適合集群系統(tǒng)的組播密鑰協(xié)商方法及系統(tǒng)。
文檔編號(hào)H04W84/08GK101808286SQ20101012770
公開(kāi)日2010年8月18日 申請(qǐng)日期2010年3月16日 優(yōu)先權(quán)日2010年3月16日
發(fā)明者龐遼軍, 曹軍, 胡亞楠, 鐵滿霞, 黃振海 申請(qǐng)人:西安西電捷通無(wú)線網(wǎng)絡(luò)通信股份有限公司