亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種多級安全動態(tài)群組密鑰管理方法

文檔序號:7767783閱讀:652來源:國知局
專利名稱:一種多級安全動態(tài)群組密鑰管理方法
技術(shù)領(lǐng)域
本發(fā)明屬于無線網(wǎng)絡(luò)安全通信領(lǐng)域,涉及一種能夠滿足多級安全需求的應(yīng)用場景的多級安全動態(tài)群組密鑰管理方法。
背景技術(shù)
移動無線網(wǎng)絡(luò)已經(jīng)普遍應(yīng)用于軍事、通信、醫(yī)療等各種行業(yè)。自組織移動無線網(wǎng)絡(luò)是一種能夠動態(tài)進行拓撲調(diào)整和數(shù)據(jù)路由的靈活網(wǎng)絡(luò),該網(wǎng)絡(luò)具有無基礎(chǔ)設(shè)施、組網(wǎng)靈活、 多跳路由、抗毀性強等特點,因此得到人們越來越多的關(guān)注。隨著自組織移動無線網(wǎng)絡(luò)技術(shù)的發(fā)展,國外一些學(xué)者開始研究把它應(yīng)用在航空通信領(lǐng)域。在自組織移動無線網(wǎng)絡(luò)發(fā)展過程中出現(xiàn)了無線網(wǎng)狀網(wǎng),是一種能夠具有自組織移動無線網(wǎng)絡(luò)靈活特性的全連通網(wǎng)絡(luò),更加適合航空器的動態(tài)組網(wǎng)。在多級安全系統(tǒng)中,所有信息都有一個密級,每個用戶也都相應(yīng)地有一簽證。要決定是否允許某用戶讀一個文件,那么就比較該用戶的簽證是否與該文件的密級相符。安全策略要求,為了合法地得到某一信息,用戶的安全級必須大于或等于該信息的安全級,并且該信息屬于用戶的信息訪問類別。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,信息資源的共享已很普遍,在多用戶計算環(huán)境下如何管理信息資源愈來愈顯得重要,多級安全體系中通過授權(quán)進行訪問控制的技術(shù)可以直接應(yīng)用群組的多級安全密鑰管理協(xié)議中。

發(fā)明內(nèi)容
為了解決背景技術(shù)中存在的上述技術(shù)問題,本發(fā)明提供了一種可實現(xiàn)動態(tài)的多級安全的群組密鑰管理方案、能夠為動態(tài)群組的通信提供實時安全群組變化和多級安全的信息保護隔離以及可有效應(yīng)用于移動節(jié)點動態(tài)組合的場景的多級安全動態(tài)群組密鑰管理方法。本發(fā)明的技術(shù)解決方案是本發(fā)明提供了一種多級安全動態(tài)群組密鑰管理方法, 其特殊之處在于所述方法包括以下步驟1)安全域傳輸密鑰建立;3)傳輸密鑰的廣播分發(fā)。上述步驟幻的具體實現(xiàn)方式是3. 1)第一節(jié)點Nodel向第二節(jié)點Node2發(fā)送廣播傳輸密鑰s ;3. 2)第二節(jié)點Node2收到第一節(jié)點Nodel發(fā)送的廣播傳輸密鑰后構(gòu)建授權(quán)請求消息并發(fā)送給鑒別服務(wù)器AS;3. 3)鑒別服務(wù)器AS收到來自第二節(jié)點Node2的授權(quán)請求消息后構(gòu)建授權(quán)響應(yīng)消息發(fā)送給密鑰生成中心KGC;3. 4)密鑰生成中心KGC收到來自鑒別服務(wù)器AS發(fā)送的授權(quán)響應(yīng)消息后構(gòu)建授權(quán)碼發(fā)送給第二節(jié)點Node2 ;3. 5)第二節(jié)點Node2根據(jù)密鑰生成中心KGC發(fā)來的授權(quán)碼與第一節(jié)點Nodel構(gòu)建
4安全傳輸信道。上述步驟3. 1)的具體實現(xiàn)方式是3. 1. 1)第一節(jié)點Nodel將廣播密鑰s進行加密,得到密文c ;3. 1.2)第一節(jié)點Nodel用廣播密鑰s將三個隨機數(shù)I id,Rau以及Ren進行加密操作 C= ε s (Rid I RaJ I RJ,并將第一節(jié)點Nodel的身份標識、密文c以及密文C 一同發(fā)送給第二節(jié)點 Node2。上述步驟3. 2)的具體實現(xiàn)方式是3. 2. 1)第二節(jié)點Node2收到廣播消息后,首先根據(jù)消息中攜帶的身份標識確定判斷是否是自己需要通信的節(jié)點,若是,則進行步驟3. 2. 2),若否,則丟棄該廣播消息;3. 2. 2)第二節(jié)點Node2構(gòu)建授權(quán)請求消息發(fā)送給鑒別服務(wù)器AS ;所述授權(quán)請求消息包括第二節(jié)點Node2的身份標識以及第一節(jié)點Nodel向第二節(jié)點Node2所發(fā)送的身份標識。上述步驟3. 3)的具體實現(xiàn)方式是鑒別服務(wù)器AS根據(jù)第二節(jié)點Node2所發(fā)送的請求消息構(gòu)建授權(quán)響應(yīng)消息發(fā)送給密鑰生成中心KGC,并通知密鑰生成中心KGC為該節(jié)點計算授權(quán)碼;所述授權(quán)響應(yīng)消息包括第二節(jié)點Node2以及第一節(jié)點Nodel的身份標識。上述步驟3. 4)的具體實現(xiàn)方式是密鑰生成中心KGC接收到鑒別服務(wù)器AS的授權(quán)響應(yīng)消息后,根據(jù)授權(quán)響應(yīng)消息中攜帶的身份標識,計算授權(quán)碼并發(fā)送給第二節(jié)點Node2。上述步驟3. 5)的具體實現(xiàn)方式是當?shù)诙?jié)點Node2接收到密鑰生成中心KGC的授權(quán)碼后,利用授權(quán)碼中的身份標識以及本地保存的安全域的安全參數(shù),對第一節(jié)點Nodel所發(fā)送廣播傳輸密鑰s進行解密, 解密密文C,得到傳輸密鑰I id,Rau以及Ren,并將I id,Rau以及Ren保存作為與第一節(jié)點Nodel 的通信信道的安全密鑰。上述步驟3. 5)之后還包括3. 6)第二節(jié)點Node2向第一節(jié)點Nodel發(fā)送應(yīng)答消息。上述多級安全動態(tài)群組密鑰管理方法在步驟1)和步驟幻之間還包括2)私鑰和安全參數(shù)更新利用密鑰生成中心KGC與安全域的各自組網(wǎng)節(jié)點之間的安全通道,將新的安全參數(shù)發(fā)送給每個域內(nèi)的自組網(wǎng)節(jié)點。上述步驟1)的具體實現(xiàn)方式是1. 1)第一節(jié)點Nodel和第二節(jié)點Node2之間建立鏈路連接;1. 2)第一節(jié)點Nodel和鑒別服務(wù)器AS之間建立EAPOL雙向認證,并向向鑒別服務(wù)器AS申請第一節(jié)點Nodel所對應(yīng)的私鑰;1. 3)第一節(jié)點Nodel和密鑰生成中心KGC建立密鑰協(xié)商密鑰生成中心KGC計算第一節(jié)點Nodel的私鑰,并將私鑰頒發(fā)給第一節(jié)點Nodel ;密鑰生成中心KGC生成第一節(jié)點Nodel的臨時身份和私鑰后,連同安全域的參數(shù)和已有的傳輸密鑰鏈,發(fā)送給第一節(jié)點 Nodel0本發(fā)明的優(yōu)點是本發(fā)明利用基于身份加密的公鑰技術(shù),構(gòu)造了一種加密協(xié)議。在安全域內(nèi),每個成員都向密鑰生成中心KGC申請自己的臨時身份和私鑰<UP,US>。當一個成員要要加密一個消息給其他成員時,利用自己的私鑰對傳輸密鑰進行加密,并將自己的臨時身份、安全參數(shù)和密文c =〈U,W,V>發(fā)送出去。安全域內(nèi)的該成員接收到該消息后,必須使用自己的臨時身份、對應(yīng)的解密私鑰和發(fā)送者的臨時身份,才能計算解密得到傳輸消息。1、用戶信息的隱私保護。本發(fā)明由于密鑰生成中心KGC只能收到Ui發(fā)送的 UR1 = gR· MUSji =,叫”禪),所以Ui隱私信息Ri不會被接收者Uj獲取,能夠保持Ui隱私信息;同時化不能輕易將Uji泄露給其他人,因為其中包含了自己的私鑰信息,如果泄露被Ui獲知,就可能泄露化自己的私鑰信息。因而化需要將作為私鑰的一部分進行保存或者銷毀。2、加密信息的不可偽造性。傳輸密鑰的廣播消息中,傳輸密鑰是使用安全域內(nèi)自組網(wǎng)節(jié)點的私鑰加密保護的,只要該節(jié)點的私鑰安全的,那么其他自組網(wǎng)節(jié)點是無法偽造該消息的。3、加密信息的不可否認性。自組網(wǎng)節(jié)點采用私鑰對廣播的傳輸密鑰進行加密保護,具有唯一性,而且接收到消息的節(jié)點只有使用發(fā)送者的臨時身份才能正確解密獲得該傳輸密鑰,廣播消息具有可驗證性,是不可否認的。4、加密信息的機密性。對于非安全域的用戶,因為沒有安全域內(nèi)頒發(fā)的臨時解密私鑰,所以無法解密傳輸密鑰的廣播消息,是無法得到傳輸密鑰的,保證了傳輸密鑰的機密性。當自組網(wǎng)節(jié)點離開安全域時,密鑰生成中心KGC會更新安全域的安全參數(shù),并通知安全域內(nèi)的自組網(wǎng)節(jié)點更新自己的安全參數(shù)和私鑰,進一步可以更新自己的傳輸密鑰。這樣,離開安全域的自組網(wǎng)節(jié)點的臨時身份和私鑰就被吊銷了,從而更新的傳輸密鑰也無法獲得, 保證了傳輸密鑰的機密性。


圖1是臨時身份和私鑰的生成和分發(fā)過程示意圖;圖2是傳輸密鑰分發(fā)流程示意具體實施例方式本發(fā)明以無線自組網(wǎng)作為動態(tài)群組的網(wǎng)絡(luò)基礎(chǔ)模型,構(gòu)建動態(tài)安全域的多級安全通信場景,其步驟1、安全域傳輸密鑰建立參見圖1,自組網(wǎng)節(jié)點臨時身份可以在加入自組網(wǎng)網(wǎng)絡(luò)的時,首先生成臨時身份標識,然后向認證中心申請它的對應(yīng)的私鑰。申請行為可以在被鑒別服務(wù)器AS認證通過后, 由密鑰生成中心KGC計算該用戶的私鑰,然后將私鑰頒發(fā)給該用戶。密鑰生成中心KGC生成當前節(jié)點的臨時身份和私鑰后,連同安全域的參數(shù)和已有的傳輸密鑰鏈,利用安全通道發(fā)送給新接入的自組網(wǎng)節(jié)點。在整個安全域內(nèi),安全域的安全參數(shù)也是對外保密的,安全域外的節(jié)點以及域內(nèi)的非自組網(wǎng)節(jié)點都無法獲得這些參數(shù)。臨時身份和私鑰的頒發(fā)過程可以融合在自組網(wǎng)節(jié)點接入網(wǎng)絡(luò)的認證過程中。2、私鑰和安全參數(shù)更新當有自組網(wǎng)節(jié)點離開安全域時,密鑰生成中心KGC需要更新安全域的安全參數(shù),使離開安全域的自組網(wǎng)節(jié)點的臨時身份和私鑰失效。密鑰生成中心KGC更新安全域的安全參數(shù)的過程如下(1)隨機選擇一個 e Ζ;,計算 X' =gkt ;(2)將((g,G1, G2, e, H1, H2),X',t)作為新的安全域的安全參數(shù);(3)利用密鑰生成中心KGC與安全域的各自組網(wǎng)節(jié)點之間的安全通道,將新的安全參數(shù)發(fā)送給每個域內(nèi)的自組網(wǎng)節(jié)點;(4)安全域內(nèi)的自組網(wǎng)節(jié)點接收到消息后,更新安全域的安全參數(shù);(5)自組網(wǎng)節(jié)點計算新的私鑰Wi =(明)1" =f例均⑷》。3、傳輸密鑰的廣播分發(fā)參見圖2,當一個新的自組網(wǎng)節(jié)點成功的接入到自組網(wǎng)網(wǎng)絡(luò)的安全域后,當要和其他節(jié)點通信時,需要根據(jù)當前信息的安全等級建立安全專用通道,因而要為安全通道分配密鑰信息。本方案假設(shè)每個自組網(wǎng)節(jié)點都與密鑰生成中心KGC和鑒別服務(wù)器AS擁有安全的通信信道。(1)自組網(wǎng)節(jié)點首先將廣播密鑰s加密計算得到密文C,然后生成三個隨機數(shù)Rid, Rau和Rm,其中I^id作為傳輸密鑰索引,Rau作為傳輸認證密鑰,Rm作為傳輸加密密鑰。然后用廣播密鑰S將這三個隨機數(shù)進行加密操作C = ε s (Rid I I Rau I I RJ。然后用廣播消息將{UP, C,c}發(fā)送給安全域內(nèi)的所有自組網(wǎng)節(jié)點;(2)當其他自組網(wǎng)節(jié)點收到廣播消息后,根據(jù)消息中攜帶的身份標識確定是自己需要通信的節(jié)點,將自己的公鑰和消息發(fā)送者的公鑰一同利用安全信道發(fā)送給鑒別服務(wù)器 AS,鑒別服務(wù)器AS根據(jù)請求消息為該用戶授權(quán),并發(fā)送消息IUPi, UPj,通知密鑰生成中心 KGC為該節(jié)點計算授權(quán)碼;(3)當密鑰生成中心KGC接收到鑒別服務(wù)器AS的指示消息后,根據(jù)消息中攜帶的 IUPi, UPjI身份標識,為UPj計算授權(quán)碼= ^叫”禪),并用安全信道發(fā)送給請求著。(4)當自組網(wǎng)節(jié)點接收到密鑰生成中心KGC的響應(yīng)消息后,利用授權(quán)碼、消息中的身份標識和本地保存的安全域的安全參數(shù),解密獲廣播輸密鑰s,然后解密計算密文C,得到傳輸密鑰Rid,Rau和Rm,并將UP,Rid, Rau和Rm保存作為與該節(jié)點的通信信道的安全密鑰;(5)該自組網(wǎng)節(jié)點發(fā)送應(yīng)答消息{\ 0^,〃巧),〃巧}給廣播消息的發(fā)送者;(6)當發(fā)送廣播消息的自組網(wǎng)節(jié)點收到應(yīng)答消息后,就保存該消息中的應(yīng)答者身份,從而建立了其所屬的安全域的成員集。建立群組共享密鑰后,就可以為該安全級別的消息建立專用的保護信道,進行安全的消息廣播傳輸。傳輸密鑰經(jīng)過一段時間的使用后,自組網(wǎng)節(jié)點i可以本地生成新的密鑰,利用自己的臨時身份和私鑰<UPi,USi)進行加密保護生成^=<呷,^雄/5;,1產(chǎn) >,然后通過廣播消息發(fā)送給安全域內(nèi)的所有自組網(wǎng)節(jié)點,更新它的傳輸密鑰。本發(fā)明所提供的方案中,安全模型是一個基于身份的安全域,由密鑰生成中心KGC 作為可信第三方(KGC,Key Generation Center)生成所有的臨時身份證書。對于上述各個過程的實現(xiàn)方式可以按照以下方式進行1、安全域的建立鑒別服務(wù)器AS按照以下步驟建立它的安全域選擇雙線性對的參數(shù)(q,G1, G2, e);
選擇任意一個生成元g e G1 ;選擇兩個密碼學(xué)隨機函數(shù)巧
權(quán)利要求
1.一種多級安全動態(tài)群組密鑰管理方法,其特征在于所述多級安全動態(tài)群組密鑰管理方法包括以下步驟1)安全域傳輸密鑰建立;3)傳輸密鑰的廣播分發(fā)。
2.根據(jù)權(quán)利要求1所述的多級安全動態(tài)群組密鑰管理方法,其特征在于所述步驟3) 的具體實現(xiàn)方式是
3.1)第一節(jié)點Nodel向第二節(jié)點Node2發(fā)送廣播傳輸密鑰s ;3. 2)第二節(jié)點Node2收到第一節(jié)點Nodel發(fā)送的廣播傳輸密鑰后構(gòu)建授權(quán)請求消息并發(fā)送給鑒別服務(wù)器AS;3. 3)鑒別服務(wù)器AS收到來自第二節(jié)點Node2的授權(quán)請求消息后構(gòu)建授權(quán)響應(yīng)消息發(fā)送給密鑰生成中心KGC;3. 4)密鑰生成中心KGC收到來自鑒別服務(wù)器AS發(fā)送的授權(quán)響應(yīng)消息后構(gòu)建授權(quán)碼發(fā)送給第二節(jié)點Node2 ;3. 5)第二節(jié)點Node2根據(jù)密鑰生成中心KGC發(fā)來的授權(quán)碼與第一節(jié)點Nodel構(gòu)建安全傳輸信道。3.根據(jù)權(quán)利要求2所述的多級安全動態(tài)群組密鑰管理方法,其特征在于所述步驟 3. 1)的具體實現(xiàn)方式是3. 1. 1)第一節(jié)點Nodel將廣播密鑰s進行加密,得到密文c ;3.1. 2)第一節(jié)點Nodel用廣播密鑰s將三個隨機數(shù)I id,Rau以及Ren進行加密操作C = ε s(RidI RauI I RJ,并將第一節(jié)點Nodel的身份標識、密文c以及密文C 一同發(fā)送給第二節(jié)點 Node2 ο
4.根據(jù)權(quán)利要求3所述的多級安全動態(tài)群組密鑰管理方法,其特征在于所述步驟 3. 2)的具體實現(xiàn)方式是3. 2. 1)第二節(jié)點Node2收到廣播消息后,首先根據(jù)消息中攜帶的身份標識確定判斷是否是自己需要通信的節(jié)點,若是,則進行步驟3. 2. 2),若否,則丟棄該廣播消息;3. 2. 2)第二節(jié)點Node2構(gòu)建授權(quán)請求消息發(fā)送給鑒別服務(wù)器AS ;所述授權(quán)請求消息包括第二節(jié)點Node2的身份標識以及第一節(jié)點Nodel向第二節(jié)點Node2所發(fā)送的身份標識。
5.根據(jù)權(quán)利要求4所述的多級安全動態(tài)群組密鑰管理方法,其特征在于所述步驟 3. 3)的具體實現(xiàn)方式是鑒別服務(wù)器AS根據(jù)第二節(jié)點Node2所發(fā)送的請求消息構(gòu)建授權(quán)響應(yīng)消息發(fā)送給密鑰生成中心KGC,并通知密鑰生成中心KGC為該節(jié)點計算授權(quán)碼;所述授權(quán)響應(yīng)消息包括第二節(jié)點Node2以及第一節(jié)點Nodel的身份標識。
6.根據(jù)權(quán)利要求5所述的多級安全動態(tài)群組密鑰管理方法,其特征在于所述步驟 3. 4)的具體實現(xiàn)方式是密鑰生成中心KGC接收到鑒別服務(wù)器AS的授權(quán)響應(yīng)消息后,根據(jù)授權(quán)響應(yīng)消息中攜帶的身份標識,計算授權(quán)碼并發(fā)送給第二節(jié)點Node2。
7.根據(jù)權(quán)利要求6所述的多級安全動態(tài)群組密鑰管理方法,其特征在于所述步驟 3. 5)的具體實現(xiàn)方式是當?shù)诙?jié)點Node2接收到密鑰生成中心KGC的授權(quán)碼后,利用授權(quán)碼中的身份標識以及本地保存的安全域的安全參數(shù),對第一節(jié)點Nodel所發(fā)送廣播傳輸密鑰s進行解密,解密密文C,得到傳輸密鑰I id,Rau以及Rm,并將I id,Rau以及Rm保存作為與第一節(jié)點Nodel的通信信道的安全密鑰。
8.根據(jù)權(quán)利要求7所述的多級安全動態(tài)群組密鑰管理方法,其特征在于所述步驟 3. 5)之后還包括·3. 6)第二節(jié)點Node2向第一節(jié)點Nodel發(fā)送應(yīng)答消息。
9.根據(jù)權(quán)利要求1或2或3或4或5或6或7或8所述的多級安全動態(tài)群組密鑰管理方法,其特征在于所述多級安全動態(tài)群組密鑰管理方法在步驟1)和步驟幻之間還包括2)私鑰和安全參數(shù)更新利用密鑰生成中心KGC與安全域的各自組網(wǎng)節(jié)點之間的安全通道,將新的安全參數(shù)發(fā)送給每個域內(nèi)的自組網(wǎng)節(jié)點。
10.根據(jù)權(quán)利要求8所述的多級安全動態(tài)群組密鑰管理方法,其特征在于所述步驟1) 的具體實現(xiàn)方式是·1. 1)第一節(jié)點Nodel和第二節(jié)點Node2之間建立鏈路連接;·1. 2)第一節(jié)點Nodel和鑒別服務(wù)器AS之間建立EAPOL雙向認證,并向向鑒別服務(wù)器 AS申請第一節(jié)點Nodel所對應(yīng)的私鑰;·1.3)第一節(jié)點Nodel和密鑰生成中心KGC建立密鑰協(xié)商密鑰生成中心KGC計算第一節(jié)點Nodel的私鑰,并將私鑰頒發(fā)給第一節(jié)點Nodel ;密鑰生成中心KGC生成第一節(jié)點Nodel的臨時身份和私鑰后,連同安全域的參數(shù)和已有的傳輸密鑰鏈,發(fā)送給第一節(jié)點 Nodel0
全文摘要
本發(fā)明涉及一種能夠滿足多級安全需求的應(yīng)用場景的多級安全動態(tài)群組密鑰管理方法,該方法包括以下步驟1)安全域傳輸密鑰建立;3)傳輸密鑰的廣播分發(fā)。本發(fā)明提供了一種可實現(xiàn)動態(tài)的多級安全的群組密鑰管理方案、能夠為動態(tài)群組的通信提供實時安全群組變化和多級安全的信息保護隔離以及可有效應(yīng)用于移動節(jié)點動態(tài)組合的場景的多級安全動態(tài)群組密鑰管理方法。
文檔編號H04W12/06GK102487503SQ20101057547
公開日2012年6月6日 申請日期2010年12月6日 優(yōu)先權(quán)日2010年12月6日
發(fā)明者崔西寧, 李亞暉, 牛文生 申請人:中國航空工業(yè)集團公司第六三一研究所
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1