本發(fā)明涉及物聯(lián)網(wǎng)安全技術(shù)，尤其涉及一種物聯(lián)網(wǎng)下組密鑰生成方法及通信節(jié)點(diǎn)。

背景技術(shù)：

在國(guó)際互聯(lián)網(wǎng)工程任務(wù)組核心(IETF Core，The Internet Engineering Task Force Core)組及第三代合作伙伴計(jì)劃(3GPP，3rd Generation Partnership Project)MTCe Release 13討論過的組認(rèn)證方案中，提出若干物聯(lián)網(wǎng)設(shè)備(A1,A2,……,An)構(gòu)成一個(gè)組，每個(gè)設(shè)備即為該組的組成員，每個(gè)組成員(A2,A3,……,An)之間支持私有協(xié)議通信，組成員A1作為組代理節(jié)點(diǎn)，A1首先與每個(gè)組成員進(jìn)行組內(nèi)認(rèn)證并計(jì)算組內(nèi)會(huì)話密鑰。而后，A1代表組內(nèi)每個(gè)成員與網(wǎng)絡(luò)側(cè)服務(wù)器進(jìn)行組外認(rèn)證，網(wǎng)絡(luò)側(cè)服務(wù)器認(rèn)證組代理節(jié)點(diǎn)A1成功后，利用組成員獨(dú)自與網(wǎng)絡(luò)側(cè)服務(wù)器共享的密鑰以及該組的組密鑰生成該成員節(jié)點(diǎn)的獨(dú)立密鑰，組成員與網(wǎng)絡(luò)側(cè)服務(wù)器利用生成的獨(dú)立密鑰進(jìn)行通信。其中，組密鑰一般是在組認(rèn)證過程中生成的，例如，可以由組中的特定成員節(jié)點(diǎn)與網(wǎng)絡(luò)側(cè)協(xié)商組密鑰，將生成的組密鑰發(fā)給該用戶組中的其他成員節(jié)點(diǎn)。

對(duì)于多媒體廣播組播業(yè)務(wù)，3GPP Release 6中提出的一種工作于移動(dòng)網(wǎng)絡(luò)頻段，提供點(diǎn)對(duì)點(diǎn)的移動(dòng)多媒體組播服務(wù)，網(wǎng)絡(luò)側(cè)服務(wù)器生成組密鑰并根據(jù)用戶的訂購(gòu)狀態(tài)及具體業(yè)務(wù)狀態(tài)等信息在適當(dāng)時(shí)間向終端設(shè)備發(fā)送組密鑰，該組密鑰由網(wǎng)絡(luò)側(cè)生成并加密后分發(fā)給每個(gè)終端設(shè)備，每個(gè)終端設(shè)備可解密得到組密鑰并利用該密鑰加密多媒體信息。

現(xiàn)有技術(shù)存儲(chǔ)以下缺點(diǎn)：

組認(rèn)證方案中：1)組密鑰的生成是在組認(rèn)證過程中，由組內(nèi)的特定組成員 生成，如組代理節(jié)點(diǎn)，若該特定組成員被攻擊者攻破，組成員間分享的組密鑰即已泄露；2)組密鑰是在組認(rèn)證過程中生成的，現(xiàn)有組認(rèn)證方案只解決了靜態(tài)成員間組密鑰生成問題，未考慮動(dòng)態(tài)情況，即現(xiàn)有組成員離開或新成員加入的情況，現(xiàn)有方案不具備組密鑰更新機(jī)制。

多媒體廣播組播業(yè)務(wù)中：1)網(wǎng)絡(luò)側(cè)服務(wù)器在一段特定時(shí)間內(nèi)更新組密鑰，在該特定時(shí)間內(nèi)，當(dāng)有組成員離開或新組成員加入時(shí)，組密鑰無(wú)法及時(shí)更新并保障前向及后向安全；2)組密鑰的生成和更新都是由網(wǎng)絡(luò)側(cè)服務(wù)器發(fā)起并計(jì)算新的組密鑰，每次密鑰更新都造成了網(wǎng)絡(luò)側(cè)額外的性能消耗。

因此，現(xiàn)有技術(shù)方案不適用于一組動(dòng)態(tài)可變的物聯(lián)網(wǎng)設(shè)備在認(rèn)證后，完成高效且安全的組密鑰生成和更新。

技術(shù)實(shí)現(xiàn)要素：

有鑒于此，本發(fā)明實(shí)施例提供了一種物聯(lián)網(wǎng)下組密鑰生成方法及通信節(jié)點(diǎn)，至少部分解決上述問題。

本發(fā)明實(shí)施例第一方面提供一種聯(lián)網(wǎng)下組密鑰生成方法，所述方法包括：

網(wǎng)絡(luò)側(cè)服務(wù)器生成第一參考信息；

接收組代理節(jié)點(diǎn)基于第二參考信息生成的第二關(guān)鍵信息；

基于所述第二關(guān)鍵信息，獲得所述第二參考信息；

基于所述第一參考信息和所述第二參考信息獲得組密鑰。

基于上述方案，所述方法還包括：

利用第一參考信息生成第一關(guān)鍵信息；

將所述第一關(guān)鍵信息發(fā)送給所述組代理節(jié)點(diǎn)；

其中，所述第一關(guān)鍵信息用于通過所述組代理節(jié)點(diǎn)傳輸給所述組成員，供所述組成員獲得所述第一參考信息；所述第一參考信息用于所述組成員獲得所述組密鑰。

基于上述方案，所述利用第一參考信息生成第一關(guān)鍵信息，包括：

利用組成員的獨(dú)立密鑰對(duì)所述第一參考信息進(jìn)行加密，形成所述第一關(guān)鍵 信息。

基于上述方案，所述第二關(guān)鍵信息是利用組代理節(jié)點(diǎn)的獨(dú)立密鑰對(duì)所述第二參考信息加密生成的；

所述基于所述第二關(guān)鍵信息，獲得所述第二參考信息，包括：

利用所述組代理節(jié)點(diǎn)的獨(dú)立密鑰基于所述第二關(guān)鍵信息，獲得所述第二參考信息。

本發(fā)明實(shí)施例第二方面提供一種密鑰物聯(lián)網(wǎng)下組密鑰生成方法，所述方法包括：

組代理節(jié)點(diǎn)生成第二參考信息；

基于所述第二參考信息生成第二關(guān)鍵信息；

將所述第二關(guān)鍵信息發(fā)送給所述網(wǎng)絡(luò)側(cè)服務(wù)器；

基于所述第二參考信息生成第三關(guān)鍵信息；其中，所述第三關(guān)鍵信息用于所述組成員得到所述第二參考信息；

接收網(wǎng)絡(luò)側(cè)服務(wù)器基于第一參考信息生成的第一關(guān)鍵信息；

將所述第一關(guān)鍵信息和所述第三關(guān)鍵信息發(fā)送給組成員；其中，所述第一關(guān)鍵信息用于供所述組成員獲得所述第一參考信息；所述第三關(guān)鍵信息用于所述組成員計(jì)算得到所述第二參考信息；所述第一參考信息和所述第二參考信息共同用于所述網(wǎng)絡(luò)側(cè)服務(wù)器或所述組成員獲得組密鑰。

基于上述方案，所述方法還包括：

當(dāng)組中的組成員更新時(shí)，更新所述第二參考信息；

利用更新后的所述第二參考信息更新所述第二關(guān)鍵信息；

利用更新后的所述第二參考信息更新所述第三關(guān)鍵信息；

將更新后的所述第二關(guān)鍵信息發(fā)送給所述網(wǎng)絡(luò)側(cè)服務(wù)器；

將更新后的第三關(guān)鍵信息發(fā)送給更新后的所述組成員。

基于上述方案，所述組成員更新包括組成員的離開；

所述方法還包括：

接收需要離開的所述組成員發(fā)送的離開請(qǐng)求；

將所述離開請(qǐng)求發(fā)送給所述網(wǎng)絡(luò)側(cè)服務(wù)器；

接收所述網(wǎng)絡(luò)側(cè)服務(wù)器基于所述離開請(qǐng)求觸發(fā)的組密鑰更新請(qǐng)求；

所述當(dāng)組中的組成員更新時(shí)，更新所述第二參考信息，包括：

當(dāng)接收到所述組密鑰更新請(qǐng)求時(shí)，更新所述第二參考信息。

基于上述方案，所述組成員更新包括組成員的加入；

所述方法還包括：

接收加入請(qǐng)求；

將所述加入請(qǐng)求發(fā)送給所述網(wǎng)絡(luò)側(cè)服務(wù)器；

接收所述網(wǎng)絡(luò)側(cè)服務(wù)器基于所述加入請(qǐng)求觸發(fā)的組密鑰更新請(qǐng)求；

所述當(dāng)組中的組成員更新時(shí)，更新所述第二參考信息，包括：

當(dāng)接收到所述組密鑰更新請(qǐng)求時(shí)，更新所述第二參考信息。

基于上述方案，所述基于所述第二參考信息生成第二關(guān)鍵信息，包括：

利用組代理節(jié)點(diǎn)的獨(dú)立密鑰對(duì)所述第二參考信息進(jìn)行加密，生成所述第二關(guān)鍵信息；

所述基于所述第二參考信息生成第三關(guān)鍵信息，包括：

利用組內(nèi)會(huì)話密鑰對(duì)所述第二參考信息進(jìn)行加密，生成所述第三關(guān)鍵信息。

本發(fā)明實(shí)施例第三方面提供一種密鑰物聯(lián)網(wǎng)下組密鑰生成方法，所述方法包括：

接收組代理節(jié)點(diǎn)轉(zhuǎn)發(fā)的網(wǎng)絡(luò)側(cè)服務(wù)器基于第一參考信息生成的第一關(guān)鍵信息；

基于所述第一關(guān)鍵信息獲得所述第一參考信息；

接收所述組代理節(jié)點(diǎn)基于第二參考信息生成的第三關(guān)鍵信息；

基于所述第三關(guān)鍵信息獲得所述第二參考信息；

基于所述第一參考信息和所述第二參考信息生成組密鑰。

基于上述方案，所述第一關(guān)鍵信息為利用組成員的獨(dú)立密鑰對(duì)第一參考信息加密生成的；

所述第三關(guān)鍵信息為利用組內(nèi)會(huì)話密鑰對(duì)第二參考信息加密生成的；

所述基于所述第一關(guān)鍵信息獲得所述第一參考信息，包括：

利用所述組成員的獨(dú)立密鑰解密所述第一關(guān)鍵信息，獲得所述第一參考信息；

所述基于所述第三關(guān)鍵信息獲得所述第二參考信息，包括：

利用所述組內(nèi)會(huì)話密鑰解密所述第三關(guān)鍵信息獲得第二參考信息。

本發(fā)明實(shí)施例第四方面提供一種通信節(jié)點(diǎn)，所述通信節(jié)點(diǎn)為網(wǎng)絡(luò)側(cè)服務(wù)器；所述網(wǎng)絡(luò)側(cè)服務(wù)器包括：

第一生成單元，用于生成第一參考參數(shù)；

第一接收單元，用于接收組代理節(jié)點(diǎn)基于第二參考信息生成的第二關(guān)鍵信息；

第一獲得單元，用于基于所述第二關(guān)鍵信息，獲得所述第二參考信息；

第二獲得單元，用于基于所述第一參考信息和所述第二參考信息獲得組密鑰。

基于上述方案，所述第一生成單元，還用于利用第一參考信息生成第一關(guān)鍵信息；

所述網(wǎng)絡(luò)側(cè)服務(wù)器還包括：

第一發(fā)送單元，用于將所述第一關(guān)鍵信息發(fā)送給所述組代理節(jié)點(diǎn)；

其中，所述第一關(guān)鍵信息用于通過所述組代理節(jié)點(diǎn)傳輸給所述組成員，供所述組成員獲得所述第一參考信息；所述第一參考信息用于所述組成員獲得所述組密鑰。

本發(fā)明實(shí)施例第五方面提供一種通信節(jié)點(diǎn)，所述通信節(jié)點(diǎn)為組代理節(jié)點(diǎn)；所述組代理節(jié)點(diǎn)包括第二生成單元、第二發(fā)送單元及第二接收單元：

所述第二生成單元，用于生成第二參考信息，及基于所述第二參考信息生成第二關(guān)鍵信息；

所述第二發(fā)送單元，用于將所述第二關(guān)鍵信息發(fā)送給所述網(wǎng)絡(luò)側(cè)服務(wù)器；

所述第二生成單元，還用于基于所述第二參考信息生成第三關(guān)鍵信息；其中，所述第三關(guān)鍵信息用于所述組成員得到所述第二參考信息；

所述第二接收單元，用于接收網(wǎng)絡(luò)側(cè)服務(wù)器基于第一參考信息生成的第一關(guān)鍵信息；

所述第二發(fā)送單元，還用于將所述第一關(guān)鍵信息和所述第三關(guān)鍵信息發(fā)送給組成員；其中，所述第一關(guān)鍵信息用于供所述組成員獲得所述第一參考信息；所述第三關(guān)鍵信息用于所述組成員計(jì)算得到所述第二參考信息；所述第一參考信息和所述第二參考信息共同用于所述網(wǎng)絡(luò)側(cè)服務(wù)器或所述組成員獲得組密鑰。

基于上述方案，所述第二生成單元，還用于當(dāng)組中的組成員更新時(shí)，更新所述第二參考信息，利用更新后的所述第二參考信息更新所述第二關(guān)鍵信息；及利用更新后的所述第二參考信息更新所述第三關(guān)鍵信息；

所述第二發(fā)送單元，還用于將更新后的所述第二關(guān)鍵信息發(fā)送給所述網(wǎng)絡(luò)側(cè)服務(wù)器；及將更新后的第三關(guān)鍵信息發(fā)送給更新后的所述組成員。

本發(fā)明實(shí)施例第六方面提供一種通信節(jié)點(diǎn)，所述通信節(jié)點(diǎn)為組成員；所述組成員包括：

第三接收單元，用于接收組代理節(jié)點(diǎn)轉(zhuǎn)發(fā)的網(wǎng)絡(luò)側(cè)服務(wù)器基于第一參考信息生成的第一關(guān)鍵信息；及接收所述組代理節(jié)點(diǎn)基于第二參考信息生成的第三關(guān)鍵信息；

第三獲得單元，用于基于所述第一關(guān)鍵信息獲得所述第一參考信息；及基于所述第三關(guān)鍵信息獲得所述第二參考信息；

第三生成單元，用于利用所述第一隨機(jī)數(shù)和所述第二隨機(jī)數(shù)獲得得到組密鑰。

在本發(fā)明實(shí)施例提供的技術(shù)方案中，網(wǎng)絡(luò)側(cè)服務(wù)器利用第一參考信息模塊及組代理節(jié)點(diǎn)提供的第二關(guān)鍵信息獲得第二參考信息，利用第二參考信息及第一參考信息獲得組密鑰。組代理節(jié)點(diǎn)將從網(wǎng)絡(luò)側(cè)服務(wù)器接收的第一關(guān)鍵信息和第二關(guān)鍵信息均傳送給組成員，組成員基于所述第一關(guān)鍵信息和第二關(guān)鍵信息獲得所述第一參考信息和第二參考信息就能獲得所述組密鑰。本發(fā)明實(shí)施例提出的組密鑰生成機(jī)制中組密鑰不再由某一特定節(jié)點(diǎn)生成，而是由組代理節(jié)點(diǎn)與 網(wǎng)絡(luò)側(cè)服務(wù)器貢獻(xiàn)各自加密的參考信息并由每個(gè)組成員及網(wǎng)絡(luò)側(cè)服務(wù)器計(jì)算生成，可有效防御攻擊者非法獲取組密鑰，顯然大大的提升了組密鑰的安全性，可以有效的減少安全風(fēng)險(xiǎn)。

附圖說(shuō)明

圖1為本發(fā)明實(shí)施例提供的第一種物聯(lián)網(wǎng)下組密鑰生成方法的流程示意圖；

圖2為本發(fā)明實(shí)施例提供的第二種物聯(lián)網(wǎng)下組密鑰動(dòng)態(tài)更新方法的流程示意圖；

圖3本發(fā)明實(shí)施例提供的第三種物聯(lián)網(wǎng)下組密鑰動(dòng)態(tài)更新方法的流程示意圖；

圖4本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)側(cè)服務(wù)器的結(jié)構(gòu)示意圖；

圖5本發(fā)明實(shí)施例提供的組代理節(jié)點(diǎn)的結(jié)構(gòu)示意圖；

圖6本發(fā)明實(shí)施例提供的組成員的結(jié)構(gòu)示意圖；

圖7為本發(fā)明實(shí)施例的物聯(lián)網(wǎng)下組密鑰生成方法的流程示意圖；

圖8為本發(fā)明實(shí)施例的物聯(lián)網(wǎng)下組密鑰動(dòng)態(tài)更新方法的流程示意圖；

圖9為本發(fā)明實(shí)施例一的物聯(lián)網(wǎng)下組密鑰生成方法的信息交互示意圖；

圖10為本發(fā)明實(shí)施例提供的物聯(lián)網(wǎng)下組密鑰更新方法的信息交互示意圖；

圖11為本發(fā)明實(shí)施例提供的物聯(lián)網(wǎng)下組密鑰更新方法的信息交互示意圖；

圖12為本發(fā)明實(shí)施例的物聯(lián)網(wǎng)下組密鑰生成及更新系統(tǒng)的結(jié)構(gòu)組成示意圖。

具體實(shí)施方式

為了能夠更加詳盡地了解本發(fā)明實(shí)施例的特點(diǎn)與技術(shù)內(nèi)容，下面結(jié)合附圖對(duì)本發(fā)明實(shí)施例的實(shí)現(xiàn)進(jìn)行詳細(xì)闡述，所附附圖僅供參考說(shuō)明之用，并非用來(lái)限定本發(fā)明實(shí)施例。

實(shí)施例一：

如圖1所示，本實(shí)施例提供一種物聯(lián)網(wǎng)下組密鑰生成方法，所述方法包括：

步驟S110：網(wǎng)絡(luò)側(cè)服務(wù)器生成第一參考信息；

步驟S120：接收組代理節(jié)點(diǎn)基于第二參考信息生成的第二關(guān)鍵信息；

步驟S130：基于所述第二關(guān)鍵信息，獲得所述第二參考信息；

步驟S140：基于所述第一參考信息和所述第二參考信息獲得組密鑰。

本實(shí)施例所述的方法可為應(yīng)用于網(wǎng)絡(luò)側(cè)服務(wù)器中的組密鑰生成方法。在步驟S110中所述網(wǎng)絡(luò)服務(wù)器將隨機(jī)生成一個(gè)參考信息，該參考信息在本實(shí)施例中命名為第一參考信息。

在本實(shí)施例中所述第一參考信息可為所述網(wǎng)絡(luò)側(cè)服務(wù)器生成的一個(gè)隨機(jī)數(shù)，例如，所述第一參考信息可包括第一隨機(jī)數(shù)。所述第二參考信息可為所述組代理節(jié)點(diǎn)隨機(jī)生成的而一個(gè)隨機(jī)數(shù)，該隨機(jī)數(shù)可稱為第二隨機(jī)數(shù)。當(dāng)然在具體實(shí)現(xiàn)過程中，所述第一參考信息和所述第二參考信息都不限于隨機(jī)數(shù)，所述第一參考信息可為所述網(wǎng)絡(luò)側(cè)服務(wù)器根據(jù)第一參考信息生成策略或基于用戶指示形成的一個(gè)信息。當(dāng)然所述第二參考信息可為組代理節(jié)點(diǎn)根據(jù)第二參考信息生成策略或基于用戶操作指示形成的任意一個(gè)信息?？傊?，第一參考信息和所述第二參考信息不局限于所述第一隨機(jī)數(shù)和所述第二隨機(jī)數(shù)。

在本實(shí)施例中所述網(wǎng)絡(luò)側(cè)服務(wù)器還將從組代理節(jié)點(diǎn)接收第二關(guān)鍵信息，該第二關(guān)鍵信息是基于第二參考信息生成的。這里的步驟S120和步驟S110可以沒有一定的先后順序，可以是同時(shí)執(zhí)行的，也可以是步驟S120在步驟S110之前執(zhí)行，也可以步驟S120是在步驟S110之后執(zhí)行的。

在步驟S130中可以直接提取所述第二關(guān)鍵信息中的第一參考信息。當(dāng)然若所述第二關(guān)鍵信息是基于第一參考信息加密生成的，則所述步驟S130還可包括：解密所述第二關(guān)鍵信息獲得所述第一參考信息。為了提升第二參考信息的安全性，在本實(shí)施例中在傳輸?shù)诙⒖夹畔⒅巴ㄟ^加密處理生成了所述第二關(guān)鍵信息。通過步驟S130對(duì)第二關(guān)鍵信息的信息處理，這樣的話，網(wǎng)絡(luò)側(cè)服務(wù)器就同時(shí)獲得了第一參考信息和第二參考信息，這樣就能夠利用第一參考信息和第二參考信息，獲得組密鑰。這里如何根據(jù)第一參考信息和第二參考信息生 成所述組密鑰，可以根據(jù)各種組密鑰生成策略，通過對(duì)第一參考信息和第二參考信息得到所述組密鑰。例如，所述第一參考信息和第二參考信息均為組密鑰的組成部分，只有將第一參考信息和第二參考信息按照指定順序排序起來(lái)才構(gòu)成所述組密鑰。例如，將所述第一隨機(jī)數(shù)和第二隨機(jī)數(shù)進(jìn)行異或等邏輯運(yùn)算會(huì)得到一個(gè)新數(shù)，該新數(shù)將構(gòu)成所述組密鑰。當(dāng)然以上基于第一參考信息和第二參考信息生成組密鑰的方式僅是舉例，實(shí)際處理過程中不限于上述方式。

總之，在本實(shí)施例中所述組密鑰的生成，不是能夠由網(wǎng)絡(luò)側(cè)服務(wù)器一個(gè)通信節(jié)點(diǎn)決定的，必須由組代理節(jié)點(diǎn)提供第二關(guān)鍵信息，并從第二關(guān)鍵信息提取所述第二參考信息才能夠獲得組密鑰，這種通過至少兩個(gè)通信節(jié)點(diǎn)之間的信息交互動(dòng)態(tài)生成的組密鑰的方法，提升了組密鑰在生成過程中及使用過程中的安全性，從而提升了通信節(jié)點(diǎn)之前利用組密鑰進(jìn)行通信的信息安全性。

作為本實(shí)施例的進(jìn)一步改進(jìn)，所述方法還包括：

利用第一參考信息生成第一關(guān)鍵信息；

將所述第一關(guān)鍵信息發(fā)送給所述組代理節(jié)點(diǎn)；

其中，所述第一關(guān)鍵信息用于通過所述組代理節(jié)點(diǎn)傳輸給所述組成員，供所述組成員獲得所述第一參考信息；所述第一參考信息用于所述組成員獲得所述組密鑰。

在本實(shí)施例中所述網(wǎng)絡(luò)側(cè)服務(wù)器為了幫助所述組成員生成所述組密鑰，在本實(shí)施例中所述網(wǎng)絡(luò)側(cè)服務(wù)器還將利用第一參考信息生成第一關(guān)鍵信息，并通過組代理節(jié)點(diǎn)將所述第一關(guān)鍵信息發(fā)送給組成員，這樣的組成員就能夠通過第一關(guān)鍵信息獲得所述第一參考信息，進(jìn)而能夠基于第一參考信息獲得所述組密鑰；實(shí)現(xiàn)組成員的組密鑰的獲取。

在本實(shí)施例中所述利用第一參考信息生成第一關(guān)鍵信息，包括：

利用組成員的獨(dú)立密鑰對(duì)所述第一參考信息進(jìn)行加密，形成所述第一關(guān)鍵信息。

在本實(shí)施例中所述組成員的獨(dú)立密鑰，為在組成員在與網(wǎng)絡(luò)側(cè)服務(wù)器進(jìn)行組認(rèn)證過程中生成的密鑰，網(wǎng)絡(luò)側(cè)服務(wù)器和組成員都持有該密鑰。利用該組成 員的獨(dú)立密鑰對(duì)第一參考信息進(jìn)行加密，一方面通過加密提高了第一參考信息的傳輸安全性，同時(shí)利用組成員的獨(dú)立密鑰進(jìn)行加密，能夠在不事先協(xié)商加密密鑰的情況下，復(fù)用組成員的獨(dú)立密鑰進(jìn)行加密和解密，簡(jiǎn)化了組成員的解密操作，提升了組密鑰的生成效率，降低了組密鑰生成的系統(tǒng)消耗成本。

所述第二關(guān)鍵信息是利用組代理節(jié)點(diǎn)的獨(dú)立密鑰對(duì)所述第二參考信息加密生成的；故所述步驟說(shuō)S130包括：利用所述組代理節(jié)點(diǎn)的獨(dú)立密鑰解密所述第二關(guān)鍵信息，獲得所述第二隨機(jī)數(shù)。所述組代理節(jié)點(diǎn)的獨(dú)立密鑰可為所述組代理節(jié)點(diǎn)與網(wǎng)絡(luò)側(cè)服務(wù)器進(jìn)行組認(rèn)證過程中協(xié)商生成的密鑰。在本實(shí)施例中復(fù)用組代理節(jié)點(diǎn)的獨(dú)立密鑰來(lái)生成第二關(guān)鍵信息，減少了本次組密鑰生成過程中密鑰的生成，同時(shí)方便了網(wǎng)絡(luò)側(cè)服務(wù)器的第二關(guān)鍵信息的解密，簡(jiǎn)化了組密鑰的生成及減少了組密鑰生成所消耗的系統(tǒng)資源，提升了組密鑰生成的效率。同時(shí)加密的方式，提升了組密鑰生成的安全性。

實(shí)施例二：

如2所示，本實(shí)施例提供一種密鑰物聯(lián)網(wǎng)下組密鑰生成方法，所述方法包括：

步驟S210：組代理節(jié)點(diǎn)生成第二參考信息；

步驟S220：基于所述第二參考信息生成第二關(guān)鍵信息；

步驟S230：將所述第二關(guān)鍵信息發(fā)送給所述網(wǎng)絡(luò)側(cè)服務(wù)器；

步驟S240：基于所述第二參考信息生成第三關(guān)鍵信息；其中，所述第三關(guān)鍵信息用于所述組成員得到所述第二參考信息；

步驟S250：接收網(wǎng)絡(luò)側(cè)服務(wù)器基于第一參考信息生成的第一關(guān)鍵信息；

步驟S260：將所述第一關(guān)鍵信息和所述第三關(guān)鍵信息發(fā)送給組成員；其中，所述第一關(guān)鍵信息用于供所述組成員獲得所述第一參考信息；所述第三關(guān)鍵信息用于所述組成員計(jì)算得到所述第二參考信息；所述第一參考信息和所述第二參考信息共同用于所述網(wǎng)絡(luò)側(cè)服務(wù)器或所述組成員獲得組密鑰。

本實(shí)施例所述的方法可為應(yīng)用于組代理節(jié)點(diǎn)內(nèi)的方法，所述組代理為網(wǎng)絡(luò)側(cè)服務(wù)節(jié)點(diǎn)和組成員之間的中間節(jié)點(diǎn)。在本實(shí)施例中，首先所述組代理節(jié)點(diǎn)將 自動(dòng)生成第二參考信息，所述第二參考信息的具體生成方法可以參見實(shí)施例一，在此就不重復(fù)了。在本實(shí)施例中組代理節(jié)點(diǎn)將基于第二參考信息生成第二關(guān)鍵信息，并將第二關(guān)鍵信息發(fā)送給網(wǎng)絡(luò)側(cè)服務(wù)器，方便網(wǎng)絡(luò)側(cè)服務(wù)器根據(jù)第二參考信息生成組密鑰。當(dāng)然在本實(shí)施例中所述方法還包括基于所述第二參考信息生成第三關(guān)鍵信息，并第三關(guān)鍵信息及從網(wǎng)絡(luò)側(cè)服務(wù)器接收的第一關(guān)鍵信息均發(fā)送給組成員。這樣的組成員將分別利用所述第一關(guān)鍵信息和第三關(guān)鍵信息，獲得第一參考信息和第二參考信息，從而形成組密鑰。本實(shí)施例中組成員和網(wǎng)絡(luò)側(cè)服務(wù)器根據(jù)第一參考信息和第二參考信息生成的組密鑰是同一個(gè)密鑰或一對(duì)組密鑰。在對(duì)稱加密過程中，網(wǎng)絡(luò)側(cè)服務(wù)器和組成員生成的組密鑰為一個(gè)密鑰，這樣網(wǎng)絡(luò)側(cè)服務(wù)器和組成員利用該組密鑰進(jìn)行信息交互過程中的加密或解密。在非對(duì)稱加密過程中，網(wǎng)絡(luò)服務(wù)器和組成員生成的密鑰可為一對(duì)組密鑰中公鑰或私鑰。利用私密加密必須由公鑰才能進(jìn)行解密。

在本實(shí)施例步驟S240中生成的第三關(guān)鍵信息的信息內(nèi)容可以與所述第二關(guān)鍵信息的信息內(nèi)容相同或不同，在本實(shí)施例優(yōu)選為相同，總之，第三關(guān)鍵信息是發(fā)送給組成員的，而第二關(guān)鍵信息是發(fā)送給網(wǎng)絡(luò)側(cè)服務(wù)器的。

本實(shí)施例中所述第一參考信息可為所述網(wǎng)絡(luò)側(cè)服務(wù)器隨機(jī)生成的第一隨機(jī)數(shù)；所述第二參考信息可為組代理節(jié)點(diǎn)隨機(jī)生成的第二隨機(jī)數(shù)。

顯然同樣的本實(shí)施例中組密鑰生成方法，也不是單個(gè)通信節(jié)點(diǎn)在不與其他節(jié)點(diǎn)進(jìn)行信息交互的情況下就能完成的，這樣采用節(jié)點(diǎn)間信息交互的方式生成組密鑰，提升了組密鑰生成和使用過程中的安全性，提升了系統(tǒng)的信息交互安全性。

所述方法還包括：

當(dāng)組中的組成員更新時(shí)，更新所述第二參考信息；

利用更新后的所述第二參考信息更新所述第二關(guān)鍵信息；

利用更新后的所述第二參考信息更新所述第三關(guān)鍵信息；

將更新后的所述第二關(guān)鍵信息發(fā)送給所述網(wǎng)絡(luò)側(cè)服務(wù)器；

將更新后的第三關(guān)鍵信息發(fā)送給更新后的所述組成員。

當(dāng)然這里的組成員更新可包括組成員的離開和組成員的加入。

當(dāng)有組成員更新時(shí)，為了保證后續(xù)組成員、組代理節(jié)點(diǎn)及網(wǎng)絡(luò)側(cè)服務(wù)器之間通信的安全性，需要重新生成組密鑰。故在本實(shí)施例中所述組代理節(jié)點(diǎn)，在檢測(cè)到組成員有更新時(shí)，將更新所述第二參考信息，并根據(jù)更新后的第二參考信息更新第二關(guān)鍵信息和第三關(guān)鍵信息，將更新后的第二關(guān)鍵信息和第三關(guān)鍵信息分別發(fā)送給網(wǎng)絡(luò)側(cè)服務(wù)器和組成員節(jié)點(diǎn)。網(wǎng)絡(luò)側(cè)服務(wù)器在接收到更新后的第二關(guān)鍵信息，會(huì)重新提取第二參考信息，從而獲得更新后的第二參考信息，利用第一參考信息和參考后的第二參考信息，就會(huì)獲得更新后的組密鑰。在具體的實(shí)現(xiàn)過程中，更新后的第二參考信息與更新前的第二參考信息是不同的，以確保更新后的組密鑰與更新前的組密鑰是不同的。同樣的組成員在接收到更新的第二關(guān)鍵信息后，會(huì)重新根據(jù)第二關(guān)鍵信息獲得更新后的第二參考信息，從而更新組密鑰。

顯然在這個(gè)過程中，網(wǎng)絡(luò)側(cè)服務(wù)器沒有重新生成第一參考信息，簡(jiǎn)化了網(wǎng)絡(luò)側(cè)服務(wù)器的操作，且該組密鑰的重新生成是由組代理節(jié)點(diǎn)發(fā)起的，與以往的所有組密鑰的生成都是由網(wǎng)絡(luò)側(cè)服務(wù)器發(fā)起的不同，顯然簡(jiǎn)化了網(wǎng)絡(luò)側(cè)的操作，減少了網(wǎng)絡(luò)側(cè)的負(fù)荷，減少了網(wǎng)絡(luò)側(cè)服務(wù)器的系統(tǒng)消耗。

以下分別介紹組成員節(jié)點(diǎn)的離開和組成員的加入兩種情況下，組密鑰生成過程中涉及的信息交互。

所述組成員更新包括組成員的離開；有鑒于此，所述方法還包括：

接收需要離開的所述組成員發(fā)送的離開請(qǐng)求；

將所述離開請(qǐng)求發(fā)送給所述網(wǎng)絡(luò)側(cè)服務(wù)器；

接收所述網(wǎng)絡(luò)側(cè)服務(wù)器基于所述離開請(qǐng)求觸發(fā)的組密鑰更新請(qǐng)求；

所述當(dāng)組中的組成員更新時(shí)，更新所述第二參考信息，包括：當(dāng)接收到所述組密鑰更新請(qǐng)求時(shí)，更新所述第二參考信息。

在本實(shí)施例中組成員需要離開時(shí)，會(huì)向組代理節(jié)點(diǎn)發(fā)送離開請(qǐng)求，組代理節(jié)點(diǎn)將會(huì)該離開請(qǐng)求轉(zhuǎn)發(fā)給網(wǎng)絡(luò)側(cè)服務(wù)器，網(wǎng)絡(luò)側(cè)服務(wù)器在處理離開請(qǐng)求處理策略的前提下進(jìn)行離開請(qǐng)求的處理，例如在組中刪除該組成員；或者審核是否 允許該節(jié)點(diǎn)的離開等。這樣當(dāng)網(wǎng)絡(luò)側(cè)服務(wù)器確定有組成員離開，有必要需要更新所述組密鑰時(shí)，將生成所述組密鑰更新請(qǐng)求，這樣組代理節(jié)點(diǎn)將從網(wǎng)絡(luò)側(cè)服務(wù)器接收到所述組密鑰更新請(qǐng)求，在接收到所述組密鑰更新請(qǐng)求，將更新所述第二關(guān)鍵信息等步驟，并執(zhí)行后續(xù)組密鑰的重新生成的過程。

所述組成員更新包括組成員的加入；有鑒于此，所述方法還包括：

接收加入請(qǐng)求；

將所述加入請(qǐng)求發(fā)送給所述網(wǎng)絡(luò)側(cè)服務(wù)器；

接收所述網(wǎng)絡(luò)側(cè)服務(wù)器基于所述加入請(qǐng)求觸發(fā)的組密鑰更新請(qǐng)求；

所述當(dāng)組中的組成員更新時(shí)，更新所述第二參考信息，包括：當(dāng)接收到所述組密鑰更新請(qǐng)求時(shí)，更新所述第二參考信息。

這里的加入請(qǐng)求可為請(qǐng)求加入成為所述組成員的通信節(jié)點(diǎn)發(fā)送的請(qǐng)求。組代理節(jié)點(diǎn)接收到該加入請(qǐng)求之后，將所述加入請(qǐng)求發(fā)送給網(wǎng)絡(luò)側(cè)服務(wù)器，網(wǎng)絡(luò)側(cè)服務(wù)器利用加入請(qǐng)求處理策略對(duì)加入請(qǐng)求進(jìn)行處理，例如將對(duì)應(yīng)的通信節(jié)點(diǎn)加入組內(nèi)成為所述組成員或?qū)徍耸欠駵?zhǔn)許該通信節(jié)點(diǎn)的加入；再比如在有組成員加入后，形成所述組密鑰更新請(qǐng)求。組代理節(jié)點(diǎn)從網(wǎng)絡(luò)側(cè)服務(wù)器接收到組密鑰更新請(qǐng)求后，將更新所述第二參考信息，進(jìn)而觸發(fā)后續(xù)組密鑰的更新處理，以根據(jù)組成員的更新，動(dòng)態(tài)更新組密鑰，提升組密鑰的生成和使用的安全性。

在本實(shí)施例中，所述步驟S220包括：利用組代理節(jié)點(diǎn)的獨(dú)立密鑰對(duì)所述第二參考信息進(jìn)行加密，生成所述第二關(guān)鍵信息；

所述步驟S240可包括：利用組內(nèi)會(huì)話密鑰對(duì)所述第二參考信息進(jìn)行加密，生成所述第三關(guān)鍵信息。

在本實(shí)施例中，首先所述第二關(guān)鍵信息和所述第三關(guān)鍵信息都是加密信息，這樣的話，提升了第二參考信息在信息傳輸過程中的被破解的難度，提升了第二參考信息的信息安全性；同時(shí)如實(shí)施例一所述的所述組代理節(jié)點(diǎn)的獨(dú)立密鑰和所述組內(nèi)會(huì)話密鑰可為組認(rèn)證等過程中形成的密鑰，復(fù)用組代理節(jié)點(diǎn)的獨(dú)立密鑰和組內(nèi)會(huì)話密鑰來(lái)加密第二參考信息，這樣減少了組密鑰生過程中加密第二參考信息的密鑰的協(xié)商，減少了密鑰的個(gè)數(shù)，簡(jiǎn)化了第二參考信息的加密和 解密操作，提升了組代理節(jié)點(diǎn)的獨(dú)立密鑰和組內(nèi)會(huì)話密鑰的利用率。

實(shí)施例三：

如圖3所示，本實(shí)施例提供一種密鑰物聯(lián)網(wǎng)下組密鑰生成方法，所述方法包括：

步驟S310：接收組代理節(jié)點(diǎn)轉(zhuǎn)發(fā)的網(wǎng)絡(luò)側(cè)服務(wù)器基于第一參考信息生成的第一關(guān)鍵信息；

步驟S320：基于所述第一關(guān)鍵信息獲得所述第一參考信息；

步驟S330：接收所述組代理節(jié)點(diǎn)基于第二參考信息生成的第三關(guān)鍵信息；

步驟S340：基于所述第三關(guān)鍵信息獲得所述第二參考信息；

步驟S350：基于所述第一參考信息和所述第二參考信息生成組密鑰。

本實(shí)施例所述的方法可為運(yùn)用在組成員中的方法，這的組成員可通過組代理節(jié)點(diǎn)與網(wǎng)絡(luò)側(cè)服務(wù)器進(jìn)行交互。

在本實(shí)施例中所述步驟S310中接收的第一關(guān)鍵信息和所述步驟S330中接收的第三關(guān)鍵信息，可以為一同發(fā)送的，也可以是分開發(fā)送的。

在本實(shí)施例中所述第一關(guān)鍵信息和第一參考信息來(lái)自網(wǎng)絡(luò)側(cè)服務(wù)器，第三關(guān)鍵信息和第二參考信息來(lái)自組代理節(jié)點(diǎn)，在步驟S350中生成的組密鑰是基于不同通信節(jié)點(diǎn)產(chǎn)生的信息的生成的，提升了組密鑰被破解和被盜取的難度，提升了組密鑰在生成和使用過程的安全性。

作為本實(shí)施例的進(jìn)一步改進(jìn)，所述第一關(guān)鍵信息為利用組成員的獨(dú)立密鑰對(duì)第一參考信息加密生成的；所述第三關(guān)鍵信息利用組內(nèi)會(huì)話密鑰對(duì)第二參考信息加密生成的。所述步驟S320可包括：利用所述組成員的獨(dú)立密鑰解密所述第一關(guān)鍵信息，獲得所述第一參考信息。所述步驟S340可包括：利用所述組內(nèi)會(huì)話密鑰解密所述第三關(guān)鍵信息獲得第二參考信息。

顯然在本實(shí)施例中所述第一關(guān)鍵信息和第三關(guān)鍵信息都是加密信息，這樣能夠更好的保護(hù)第一參考信息和第二參考信息的信息安全性。同時(shí)復(fù)用組內(nèi)會(huì)話密鑰或組成員的獨(dú)立密鑰進(jìn)行信息加密和解密，能夠簡(jiǎn)化加密和解密操作，提升了組密鑰的生成效率。

實(shí)施例四：

如圖4所示，本發(fā)明實(shí)施例提供一種通信節(jié)點(diǎn)，所述通信節(jié)點(diǎn)為網(wǎng)絡(luò)側(cè)服務(wù)器；所述網(wǎng)絡(luò)側(cè)服務(wù)器包括：

第一生成單元110，用于生成第一參考信息；

第一接收單元120，用于接收組代理節(jié)點(diǎn)基于第二參考信息生成的第二關(guān)鍵信息；

第一獲得單元130，用于基于所述第二關(guān)鍵信息，獲得所述第二參考信息；

第二獲得單元140，用于基于所述第一參考信息和所述第二參考信息獲得組密鑰。

本實(shí)施例所述第一生成單元110、第一獲得單元130和第二獲得單元140的具體結(jié)構(gòu)可對(duì)應(yīng)于服務(wù)器中的處理器或處理電路；所述處理器可包括中央處理器、微處理器、微處理器、數(shù)字信號(hào)處理器或可編程陣列等具有信息處理能力的結(jié)構(gòu)。所述處理電路可包括專用集成電路等。所述處理器或處理電路可通過執(zhí)行指定代碼，實(shí)現(xiàn)上述各個(gè)單元的功能。

所述第一接收單元120可對(duì)應(yīng)于接收接口，該接收接口與組代理節(jié)點(diǎn)相連，可為有線接口或無(wú)線接口，該有線接口可為電纜接口或光纜接口，所述無(wú)線接口可各種類型的接收天線等。

總之，本實(shí)施例所述組密鑰的生成，是依據(jù)網(wǎng)絡(luò)側(cè)服務(wù)器本身生成的一參考信息及組代理節(jié)點(diǎn)生成的第二參考信息生成的，具有組密鑰的生成和使用的安全性高的特點(diǎn)。

具體地，所述第一生成單元110，還用于利用第一參考信息生成第一關(guān)鍵信息；

所述網(wǎng)絡(luò)側(cè)服務(wù)器還包括：

第一發(fā)送單元，用于將所述第一關(guān)鍵信息發(fā)送給所述組代理節(jié)點(diǎn)；

其中，所述第一關(guān)鍵信息用于通過所述組代理節(jié)點(diǎn)傳輸給所述組成員，供所述組成員獲得所述第一參考信息；所述第一參考信息用于所述組成員獲得所述組密鑰。

在本實(shí)施例中所述第一生成單元還將生成第一關(guān)鍵信息，該第一關(guān)鍵信息可由組代理節(jié)點(diǎn)發(fā)送給組成員，這樣能夠方便組成員能夠根據(jù)第一參考信息自動(dòng)生成組密鑰，而非直接傳輸組密鑰，提升了組密鑰的安全性。

具體地，所述第一生成單元110可具體用于利用組成員的獨(dú)立密鑰對(duì)所述第一參考信息進(jìn)行加密，形成所述第一關(guān)鍵信息。進(jìn)一步地，所述第二關(guān)鍵信息是利用組代理節(jié)點(diǎn)的獨(dú)立密鑰對(duì)所述第二參考信息加密生成的；所述第一獲得單元，可具體用于利用所述組代理節(jié)點(diǎn)的獨(dú)立密鑰基于所述第二關(guān)鍵信息，獲得所述第二參考信息。

這樣的話，第一參考信息和第二參考信息的傳輸都是加密的，提高了第一參考信息和第二參考信息在傳輸過程中的安全性，再次提高了組密鑰的生成和使用安全性。

實(shí)施例五：

如圖5所示，本實(shí)施例提供一種通信節(jié)點(diǎn)，所述通信節(jié)點(diǎn)為組代理節(jié)點(diǎn)；所述組代理節(jié)點(diǎn)包括第二生成單元210、第二發(fā)送單元220及第二接收單元230：

所述第二生成單元210，用于生成第二參考信息，及基于所述第二參考信息生成第二關(guān)鍵信息；

所述第二發(fā)送單元220，用于將所述第二關(guān)鍵信息發(fā)送給所述網(wǎng)絡(luò)側(cè)服務(wù)器；

所述第二生成單元210，還用于基于所述第二參考信息生成第三關(guān)鍵信息；其中，所述第三關(guān)鍵信息用于所述組成員得到所述第二參考信息；

所述第二接收單元230，用于接收網(wǎng)絡(luò)側(cè)服務(wù)器基于第一參考信息生成的第一關(guān)鍵信息；

所述第二發(fā)送單元220，還用于將所述第一關(guān)鍵信息和所述第三關(guān)鍵信息發(fā)送給組成員；其中，所述第一關(guān)鍵信息用于供所述組成員獲得所述第一參考信息；所述第三關(guān)鍵信息用于所述組成員計(jì)算得到所述第二參考信息；所述第一參考信息和所述第二參考信息共同用于所述網(wǎng)絡(luò)側(cè)服務(wù)器或所述組成員獲得組密鑰。

本實(shí)施例中所述組代理節(jié)點(diǎn)可作為網(wǎng)絡(luò)側(cè)服務(wù)器和組成員之間的中轉(zhuǎn)節(jié)點(diǎn)，能夠通過第二參考信息及第一關(guān)鍵信息收發(fā)等處理，能夠協(xié)助網(wǎng)絡(luò)側(cè)服務(wù)器和組成員動(dòng)態(tài)的根據(jù)不同通信節(jié)點(diǎn)生成的信息，生成組密鑰；提升了組密鑰的生成和使用的安全性。

在本實(shí)施例中所述第二生成單元210的具體結(jié)構(gòu)可與前述實(shí)施例中的第一生成單元的硬件結(jié)構(gòu)相類似，可都對(duì)應(yīng)于處理器或處理電路等，但是第二生成單元210對(duì)應(yīng)的是組代理節(jié)點(diǎn)中的處理器或處理電路。

在本實(shí)施例中所述第二接收單元230和第二發(fā)送單元220均可以對(duì)應(yīng)于組代理節(jié)點(diǎn)中的通信接口，這里的通信接口可為無(wú)線接口或有線接口，能夠收發(fā)各種信息。

所述第二生成單元210，還用于當(dāng)組中的組成員更新時(shí)，更新所述第二參考信息，利用更新后的所述第二參考信息更新所述第二關(guān)鍵信息；及利用更新后的所述第二參考信息更新所述第三關(guān)鍵信息；

所述第二發(fā)送單元220，還用于將更新后的所述第二關(guān)鍵信息發(fā)送給所述網(wǎng)絡(luò)側(cè)服務(wù)器；及將更新后的第三關(guān)鍵信息發(fā)送給更新后的所述組成員。

在本實(shí)施例中所述組成員更新時(shí)，所述第二生成單元210將會(huì)更新所述第二參考信息，并對(duì)應(yīng)的更新所述第二關(guān)鍵信息和第三關(guān)鍵信息，最終實(shí)現(xiàn)組密鑰的更新，這樣能夠再次提升組密鑰的安全性。

具體地，所述組成員更新包括組成員的離開。所述第二接收單元230還可用于接收需要離開的所述組成員發(fā)送的離開請(qǐng)求；所述第二發(fā)送單元220還可用于將所述離開請(qǐng)求發(fā)送給所述網(wǎng)絡(luò)側(cè)服務(wù)器；所述第二接收單元，還用于接收所述網(wǎng)絡(luò)側(cè)服務(wù)器基于所述離開請(qǐng)求觸發(fā)的組密鑰更新請(qǐng)求；所述第二生成單元210具體用于當(dāng)接收到所述組密鑰更新請(qǐng)求時(shí)，更新所述第二參考信息。

當(dāng)所述組成員更新包括組成員的加入時(shí)，所述第二接收單元230可用于接收加入請(qǐng)求；所述第二發(fā)送單元220可用于將所述加入請(qǐng)求發(fā)送給所述網(wǎng)絡(luò)側(cè)服務(wù)器；所述第二接收單元230可用于接收所述網(wǎng)絡(luò)側(cè)服務(wù)器基于所述加入請(qǐng)求觸發(fā)的組密鑰更新請(qǐng)求；所述第二生成單元可具體用于當(dāng)接收到所述組密鑰 更新請(qǐng)求時(shí)，更新所述第二參考信息。

作為本實(shí)施例的進(jìn)一步改進(jìn)，所述第二生成單元210具體可用于利用組代理節(jié)點(diǎn)的獨(dú)立密鑰對(duì)所述第二參考信息進(jìn)行加密，生成所述第二關(guān)鍵信息；及利用組內(nèi)會(huì)話密鑰對(duì)所述第二參考信息進(jìn)行加密，生成所述第三關(guān)鍵信息。

故所述第二生成單元210可為各種加密結(jié)構(gòu)，利用所述組代理節(jié)點(diǎn)的獨(dú)立密鑰和素?cái)?shù)組內(nèi)會(huì)話密鑰分別對(duì)第二參考信息進(jìn)行加密，得到第二關(guān)鍵信息和第三關(guān)鍵信息。

實(shí)施例六：

如圖6所示，本實(shí)施例提供一種通信節(jié)點(diǎn)，所述通信節(jié)點(diǎn)為組成員；所述組成員包括：

第三接收單元310，用于接收組代理節(jié)點(diǎn)轉(zhuǎn)發(fā)的網(wǎng)絡(luò)側(cè)服務(wù)器基于第一參考信息生成的第一關(guān)鍵信息；及接收所述組代理節(jié)點(diǎn)基于第二參考信息生成的第三關(guān)鍵信息；

第三獲得單元320，用于基于所述第一關(guān)鍵信息獲得所述第一參考信息；及基于所述第三關(guān)鍵信息獲得所述第二參考信息；

第三生成單元330，用于利用所述第一隨機(jī)數(shù)和所述第二隨機(jī)數(shù)獲得得到組密鑰。

在本實(shí)施例中所述第三接收單元可對(duì)應(yīng)于各種能夠與組代理節(jié)點(diǎn)進(jìn)行通信的通信接口，例如有線接口或無(wú)線接口。這里的有線接口可包括電纜接口或光纜接口；所述無(wú)線接口可包括各種接收天線。這里的組成員，可以獲取網(wǎng)絡(luò)側(cè)服務(wù)器生成第一參考信息和組代理節(jié)點(diǎn)生成的第二參考信息，自動(dòng)生成組密鑰，相對(duì)于現(xiàn)有技術(shù)中一個(gè)通信節(jié)點(diǎn)不與其他通信節(jié)點(diǎn)交互的情況下，生成的組密鑰，具有組密鑰的生成和使用安全性高的特點(diǎn)。

所述第一關(guān)鍵信息為利用組成員的獨(dú)立密鑰對(duì)第一參考信息加密生成的。

所述第三關(guān)鍵信息為利用組內(nèi)會(huì)話密鑰對(duì)第二參考信息加密生成的。

所述第三獲取單元，可具體用于利用所述組成員的獨(dú)立密鑰解密所述第一關(guān)鍵信息，獲得所述第一參考信息；及利用所述組內(nèi)會(huì)話密鑰解密所述第三關(guān) 鍵信息獲得第二參考信息。

顯然此時(shí)的所述第二獲得單元220可對(duì)應(yīng)于各種具有解密能力的解密結(jié)構(gòu)，這樣都能夠確保第一參考信息和第二參考信息的安全性，及組密鑰的生成和使用的安全性。

以下結(jié)合上述實(shí)施例提供一些具體示例：

示例一：

圖7為本發(fā)明實(shí)施例的物聯(lián)網(wǎng)下組密鑰生成方法的流程示意圖，如圖7所示，所述方法包括以下步驟：

步驟101：網(wǎng)絡(luò)側(cè)服務(wù)器利用第一隨機(jī)數(shù)生成第一關(guān)鍵信息。這里的第一隨機(jī)數(shù)可為前述第一參考信息的一種。具體地，網(wǎng)絡(luò)側(cè)服務(wù)器生成第一隨機(jī)數(shù)；

利用所述第一隨機(jī)數(shù)以及組成員在組認(rèn)證過程中生成的獨(dú)立密鑰計(jì)算第一關(guān)鍵信息，將所述第一關(guān)鍵信息發(fā)送給組代理節(jié)點(diǎn)。

步驟102：組代理節(jié)點(diǎn)利用第二隨機(jī)數(shù)以及組內(nèi)會(huì)話密鑰計(jì)算第三關(guān)鍵信息，利用所述第二隨機(jī)數(shù)以及所述組代理節(jié)點(diǎn)的獨(dú)立秘鑰計(jì)算第二關(guān)鍵信息。

具體地，所述組代理節(jié)點(diǎn)生成第二隨機(jī)數(shù)；

利用所述第二隨機(jī)數(shù)以及組成員在組認(rèn)證中生成的組內(nèi)會(huì)話密鑰計(jì)算第三關(guān)鍵信息；

利用所述第二隨機(jī)數(shù)以及所述組代理節(jié)點(diǎn)的獨(dú)立密鑰計(jì)算第二關(guān)鍵信息；

將所述第一關(guān)鍵信息和所述第三關(guān)鍵信息發(fā)送給每個(gè)組成員，將所述第二關(guān)鍵信息發(fā)送給所述網(wǎng)絡(luò)側(cè)服務(wù)器。

步驟103：所述網(wǎng)絡(luò)側(cè)服務(wù)器利用所述組代理節(jié)點(diǎn)的獨(dú)立秘鑰對(duì)所述第二關(guān)鍵信息進(jìn)行解密得到所述第二隨機(jī)數(shù)，利用所述第二隨機(jī)數(shù)、所述第一隨機(jī)數(shù)計(jì)算得到組秘鑰。

步驟104：所述組成員利用所述組內(nèi)會(huì)話密鑰對(duì)所述第三關(guān)鍵信息進(jìn)行解密得到所述第二隨機(jī)數(shù)，以及利用所述組成員的獨(dú)立密鑰對(duì)所述第一關(guān)鍵信息進(jìn)行解密得到所述第一隨機(jī)數(shù)，利用所述第二隨機(jī)數(shù)、所述第一隨機(jī)數(shù)計(jì)算得到組秘鑰。

示例二：

圖8為本發(fā)明實(shí)施例的物聯(lián)網(wǎng)下組密鑰動(dòng)態(tài)更新方法的流程示意圖，如圖8所示，所述物聯(lián)網(wǎng)下組密鑰動(dòng)態(tài)更新方法包括以下步驟：

步驟201：當(dāng)現(xiàn)有組中的組成員更新時(shí)，所述組代理節(jié)點(diǎn)生成新的第三隨機(jī)數(shù)，并利用所述第三隨機(jī)數(shù)以及組內(nèi)余下組成員的組內(nèi)會(huì)話密鑰計(jì)算第四關(guān)鍵信息，利用所述第三隨機(jī)數(shù)以及所述組代理節(jié)點(diǎn)的獨(dú)立密鑰計(jì)算第五關(guān)鍵信息。這里的第三隨機(jī)數(shù)為前述實(shí)施例中的更新后的第二參考參數(shù)；所述第四關(guān)鍵信息即為前述的實(shí)施例中提到的更新的第三關(guān)鍵信息。這里的第五關(guān)鍵信息即為前述實(shí)施例中提到的更新的第二關(guān)鍵信息。

這里，組成員更新有兩種情況：一種是組成員離開現(xiàn)有組，另一種是新組成員加入現(xiàn)有組。

當(dāng)所述族中的組成員更新為組成員離開現(xiàn)有組時(shí)，所述方法還包括：

當(dāng)組成員離開現(xiàn)有組時(shí)，所述組成員向組代理節(jié)點(diǎn)發(fā)送離開請(qǐng)求；

所述組代理節(jié)點(diǎn)將所述離開請(qǐng)求發(fā)送給網(wǎng)絡(luò)側(cè)服務(wù)器；

所述網(wǎng)絡(luò)側(cè)服務(wù)器接收到所述離開請(qǐng)求后，在數(shù)據(jù)庫(kù)中將離開的組成員從族中刪除；所述網(wǎng)絡(luò)服務(wù)器向所述組代理節(jié)點(diǎn)發(fā)送組秘鑰更新請(qǐng)求。

當(dāng)所述族中的組成員更新為新組成員加入現(xiàn)有組時(shí)，所述方法還包括：

當(dāng)新組成員加入現(xiàn)有組時(shí)，向組代理節(jié)點(diǎn)發(fā)送加入請(qǐng)求；

所述組代理節(jié)點(diǎn)將所述加入請(qǐng)求發(fā)送至網(wǎng)絡(luò)側(cè)服務(wù)器；

所述網(wǎng)絡(luò)側(cè)服務(wù)器接收到所述加入請(qǐng)求后，在數(shù)據(jù)庫(kù)中將所述新組成員加入到族中；所述網(wǎng)絡(luò)服務(wù)器向所述組代理節(jié)點(diǎn)發(fā)送組秘鑰更新請(qǐng)求。

本發(fā)明實(shí)施例中，所述向組代理節(jié)點(diǎn)發(fā)送加入請(qǐng)求之前，所述方法還包括：

新組成員與網(wǎng)絡(luò)側(cè)服務(wù)器完成注冊(cè)及身份認(rèn)證。

所述新組成員與網(wǎng)絡(luò)側(cè)服務(wù)器完成注冊(cè)及身份認(rèn)證，包括：

所述新組成員與網(wǎng)絡(luò)側(cè)服務(wù)器之間利用共享密鑰或證書方式進(jìn)行一對(duì)一認(rèn)證；

或者，所述新組成員利用組認(rèn)證方式與網(wǎng)絡(luò)側(cè)服務(wù)器之間進(jìn)行身份認(rèn)證。

步驟202：所述網(wǎng)絡(luò)側(cè)服務(wù)器利用所述組代理節(jié)點(diǎn)的獨(dú)立密鑰對(duì)所述第五關(guān)鍵信息進(jìn)行解密得到所述第三隨機(jī)數(shù)，利用所述第三隨機(jī)數(shù)、第一隨機(jī)數(shù)計(jì)算得到更新的組秘鑰。

步驟203：所述組內(nèi)余下組成員利用組內(nèi)余下組成員的組內(nèi)會(huì)話密鑰對(duì)所述第二關(guān)鍵信息進(jìn)行解密，得到所述第三隨機(jī)數(shù)，利用所述第三隨機(jī)數(shù)、第一隨機(jī)數(shù)計(jì)算得到更新的組秘鑰。

示例三：

圖9為本發(fā)明實(shí)施例一的物聯(lián)網(wǎng)下組密鑰生成方法的信息交互示意圖，如圖9所示，所述物聯(lián)網(wǎng)下組密鑰生成方法包括以下步驟：

步驟301：網(wǎng)絡(luò)側(cè)服務(wù)器生成隨機(jī)數(shù)Rs并利用與每個(gè)組成員Ai在組認(rèn)證過程中生成的獨(dú)立密鑰Ki計(jì)算EKi(Rs)。這里的隨機(jī)數(shù)Rs對(duì)應(yīng)于所述第一參考信息；這里的獨(dú)立密鑰Ki對(duì)應(yīng)于前述實(shí)施例中組成員的獨(dú)立密鑰。這的EKi(Rs)即可對(duì)應(yīng)于所述第一關(guān)鍵信息。

步驟302：網(wǎng)絡(luò)側(cè)服務(wù)器將EKi(Rs)發(fā)送給組代理節(jié)點(diǎn)A1。

步驟303：組代理節(jié)點(diǎn)A1生成隨機(jī)數(shù)Ra并利用與每個(gè)組成員在組認(rèn)證中生成的組內(nèi)會(huì)話密鑰SKi計(jì)算ESki(Ra)，利用自身的獨(dú)立密鑰K1計(jì)算EK1(Ra)。這里的隨機(jī)數(shù)Ra可對(duì)應(yīng)于前述實(shí)施例中提到的第二參考參數(shù)；這里的ESki(Ra)對(duì)應(yīng)于前述實(shí)施例中提到的第三關(guān)鍵信息；這里的EK1(Ra)對(duì)應(yīng)于前述實(shí)施例中提到的第二關(guān)鍵信息。

步驟304：組代理節(jié)點(diǎn)A1將EKi(Rs)和ESki(Ra)轉(zhuǎn)發(fā)給每個(gè)組成員Ai。

步驟305：組代理節(jié)點(diǎn)A1將EK1(Ra)發(fā)送給網(wǎng)絡(luò)側(cè)服務(wù)器。

步驟306：網(wǎng)絡(luò)側(cè)服務(wù)器在收到組代理節(jié)點(diǎn)A1發(fā)送的EK1(Ra)后，利用K1解密得到隨機(jī)數(shù)Ra，并計(jì)算出組密鑰K＝F(Ra,Rs)。

步驟307：每個(gè)組成員Ai在收到組代理節(jié)點(diǎn)A1發(fā)送的EKi(Rs)和ESki(Ra)后，利用Ki解密得到隨機(jī)數(shù)Rs，利用組內(nèi)會(huì)話密鑰Ski解密得到隨機(jī)數(shù)Ra，并計(jì)算出組密鑰K＝F(Ra,Rs)。

示例四：

圖10為本發(fā)明實(shí)施例二的物聯(lián)網(wǎng)下組密鑰更新方法的信息交互示意圖，如圖10所示，所述物聯(lián)網(wǎng)下組密鑰更新方法包括以下步驟：

步驟401：任意現(xiàn)有組成員Am(2≤m≤n)離開現(xiàn)有組時(shí)，發(fā)送離開請(qǐng)求給組代理節(jié)點(diǎn)A1。

步驟402：組代理節(jié)點(diǎn)A1轉(zhuǎn)發(fā)組成員Am的離開請(qǐng)求給網(wǎng)絡(luò)側(cè)服務(wù)器。

步驟403：網(wǎng)絡(luò)側(cè)服務(wù)器接收到該消息后，在數(shù)據(jù)庫(kù)中將對(duì)應(yīng)的組成員Am從原有組中刪除。

步驟404：網(wǎng)絡(luò)側(cè)服務(wù)器向組代理節(jié)點(diǎn)A1發(fā)送組密鑰更新請(qǐng)求觸發(fā)組密鑰更新操作。

步驟405：組代理節(jié)點(diǎn)A1生成新的隨機(jī)數(shù)Ra’，并利用與組內(nèi)余下組成員的組內(nèi)會(huì)話密鑰SKi計(jì)算ESki(Ra’)，利用自身的獨(dú)立密鑰K1計(jì)算EK1(Ra’)。

步驟406：組代理節(jié)點(diǎn)A1將ESki(Ra’)發(fā)送給組內(nèi)余下成員。

步驟407：組代理節(jié)點(diǎn)A1將EK1(Ra’)發(fā)送給網(wǎng)絡(luò)側(cè)服務(wù)器。

步驟408：網(wǎng)絡(luò)側(cè)服務(wù)器在收到組代理節(jié)點(diǎn)A1發(fā)送的EK1(Ra’)后，利用K1解密得到隨機(jī)數(shù)Ra’，并計(jì)算出組密鑰K＝F(Ra’,Rs)。

步驟409：每個(gè)余下組成員Ai在收到組代理節(jié)點(diǎn)A1發(fā)送的ESki(Ra’)后，利用Ski解密得到隨機(jī)數(shù)Ra’，并計(jì)算出組密鑰K＝F(Ra’,Rs)。

示例五

圖11為本發(fā)明實(shí)施例三的物聯(lián)網(wǎng)下組密鑰更新方法的信息交互示意圖，如圖11所示，所述物聯(lián)網(wǎng)下組密鑰更新方法包括以下步驟：

步驟501：新組成員Aj與網(wǎng)絡(luò)側(cè)服務(wù)器完成注冊(cè)及身份認(rèn)證。

步驟502：新組成員Aj(j>n)加入組時(shí)，發(fā)送加入請(qǐng)求給組代理節(jié)點(diǎn)A1。

步驟503：組代理節(jié)點(diǎn)A1轉(zhuǎn)發(fā)組成員Aj的加入請(qǐng)求給網(wǎng)絡(luò)側(cè)服務(wù)器。

步驟504：網(wǎng)絡(luò)側(cè)服務(wù)器接收到該消息后，在數(shù)據(jù)庫(kù)中將對(duì)應(yīng)的組成員Aj加入到該組內(nèi)。

步驟505：網(wǎng)絡(luò)側(cè)服務(wù)器向組代理節(jié)點(diǎn)A1發(fā)送組密鑰更新請(qǐng)求觸發(fā)組密鑰更新操作。

步驟506：組代理節(jié)點(diǎn)A1生成新的隨機(jī)數(shù)Ra*，并利用與組內(nèi)余下組成員的組內(nèi)會(huì)話密鑰SKi計(jì)算ESki(Ra*)，利用自身的獨(dú)立密鑰K1計(jì)算EK1(Ra*)。

步驟507：組代理節(jié)點(diǎn)A1將ESki(Ra*)發(fā)送給組內(nèi)余下成員。

步驟508：組代理節(jié)點(diǎn)A1將EK1(Ra*)發(fā)送給網(wǎng)絡(luò)側(cè)服務(wù)器。

步驟509：網(wǎng)絡(luò)側(cè)服務(wù)器在收到組代理節(jié)點(diǎn)A1發(fā)送的EK1(Ra*)后，利用K1解密得到隨機(jī)數(shù)Ra*，并計(jì)算出組密鑰K＝F(Ra*,Rs)。

步驟510：每個(gè)余下組成員Ai在收到組代理節(jié)點(diǎn)A1發(fā)送的ESki(Ra*)后，利用Ski解密得到隨機(jī)數(shù)Ra*，并計(jì)算出組密鑰K＝F(Ra*,Rs)。

示例六

圖12為本發(fā)明實(shí)施例的物聯(lián)網(wǎng)下組密鑰生成及更新系統(tǒng)的結(jié)構(gòu)組成示意圖，如圖12所示，所述物聯(lián)網(wǎng)下組密鑰生成及更新系統(tǒng)包括：網(wǎng)絡(luò)側(cè)服務(wù)器61、組代理節(jié)點(diǎn)62、組成員63；其中，

所述網(wǎng)絡(luò)側(cè)服務(wù)器61，用于利用第一隨機(jī)數(shù)以及組成員63的獨(dú)立密鑰計(jì)算第一關(guān)鍵信息；

所述組代理節(jié)點(diǎn)62，用于利用第二隨機(jī)數(shù)以及組內(nèi)會(huì)話密鑰計(jì)算第三關(guān)鍵信息，利用所述第二隨機(jī)數(shù)以及所述組代理節(jié)點(diǎn)62的獨(dú)立秘鑰計(jì)算第二關(guān)鍵信息；

所述網(wǎng)絡(luò)側(cè)服務(wù)器61，還用于利用所述組代理節(jié)點(diǎn)62的獨(dú)立秘鑰對(duì)所述第二關(guān)鍵信息進(jìn)行解密得到所述第二隨機(jī)數(shù)，利用所述第二隨機(jī)數(shù)、所述第一隨機(jī)數(shù)計(jì)算得到組秘鑰；

所述組成員63，還用于利用所述組內(nèi)會(huì)話密鑰對(duì)所述第三關(guān)鍵信息進(jìn)行解密得到所述第二隨機(jī)數(shù)，以及利用所述組成員63的獨(dú)立密鑰對(duì)所述第一關(guān)鍵信息進(jìn)行解密得到所述第一隨機(jī)數(shù)，利用所述第二隨機(jī)數(shù)、所述第一隨機(jī)數(shù)計(jì)算得到組秘鑰。

本發(fā)明實(shí)施例所記載的技術(shù)方案之間，在不沖突的情況下，可以任意組合。

在本發(fā)明所提供的幾個(gè)實(shí)施例中，應(yīng)該理解到，所揭露的方法和智能設(shè)備，可以通過其它的方式實(shí)現(xiàn)。以上所描述的設(shè)備實(shí)施例僅僅是示意性的，例如， 所述單元的劃分，僅僅為一種邏輯功能劃分，實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式，如：多個(gè)單元或組件可以結(jié)合，或可以集成到另一個(gè)系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另外，所顯示或討論的各組成部分相互之間的耦合、或直接耦合、或通信連接可以是通過一些接口，設(shè)備或單元的間接耦合或通信連接，可以是電性的、機(jī)械的或其它形式的。

上述作為分離部件說(shuō)明的單元可以是、或也可以不是物理上分開的，作為單元顯示的部件可以是、或也可以不是物理單元，即可以位于一個(gè)地方，也可以分布到多個(gè)網(wǎng)絡(luò)單元上；可以根據(jù)實(shí)際的需要選擇其中的部分或全部單元來(lái)實(shí)現(xiàn)本實(shí)施例方案的目的。

另外，在本發(fā)明各實(shí)施例中的各功能單元可以全部集成在一個(gè)第二處理單元中，也可以是各單元分別單獨(dú)作為一個(gè)單元，也可以兩個(gè)或兩個(gè)以上單元集成在一個(gè)單元中；上述集成的單元既可以采用硬件的形式實(shí)現(xiàn)，也可以采用硬件加軟件功能單元的形式實(shí)現(xiàn)。

以上所述，僅為本發(fā)明的具體實(shí)施方式，但本發(fā)明的保護(hù)范圍并不局限于此，任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，可輕易想到變化或替換，都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。