安全组通信方法和系统以及相关设备技术方案

本发明专利技术公开了一种安全组通信方法和系统以及相关设备，涉及信息安全领域。其中的方法包括：服务器节点为同一组内的每个组成员节点分别生成不同的密钥链，密钥链中包括至少一个密钥；每个组成员节点从服务器节点获取本节点对应的密钥链，或者每个组成员节点按照与服务器节点相同的初始参数和生成方法生成本节点对应的密钥链；服务器节点和每个组成员节点分别按照预先协商的方法从本节点对应的密钥链中启用一个相同的密钥；服务器节点和组成员节点基于启用的密钥进行通信。通过为组成员节点分别生成不同的密钥链的方式，能够降低组成员节点的通信密钥被其他组成员节点获取的风险，提高了系统的安全性。

【技术实现步骤摘要】
安全组通信方法和系统以及相关设备
本专利技术涉及信息安全领域，尤其是一种安全组通信方法和系统以及相关设备。
技术介绍
对于具有安全需求的组通信，系统通常为同一组内的组成员节点分配所在组对应的组密钥，从而使得同一组内的组成员节点利用相同的组密钥来正常进行组通信。这种方式可以降低服务器操作的复杂性，减少服务器维护和管理的密钥数，但是对于安全性和实时性要求较高的组成员节点存在一定风险。如果用于通信的密钥被其他组成员节点获得，信息会被轻易破解。
技术实现思路
本专利技术实施例所要解决的一个技术问题是：如何提高组通信的安全性。根据本专利技术实施例的第一个方面，提供了一种安全组通信方法，包括：服务器节点为同一组内的每个组成员节点分别生成不同的密钥链，密钥链中包括至少一个密钥；每个组成员节点从服务器节点获取本节点对应的密钥链，或者每个组成员节点按照与服务器节点相同的初始参数和生成方法生成本节点对应的密钥链；服务器节点和每个组成员节点分别按照预先协商的方法从本节点对应的密钥链中启用一个相同的密钥；服务器节点和组成员节点基于启用的密钥进行通信。在一个实施例中，服务器节点为同一组内的每个组成员节点分别生成不同的密钥链包括：服务器节点为同一组内的每个组成员节点分别生成不同的初始化种子；服务器节点与同一组内的每个组成员节点分别协商生成次数；服务器节点根据生成次数分别对每个组成员节点的初始化种子进行相应次数的二次单向函数计算，各次计算得到的密钥组成该组成员节点对应的密钥链，密钥链中的密钥数量等于生成次数。在一个实施例中，服务器节点根据生成次数分别对每个组成员节点的初始化种子进行相应次数的二次单向函数计算，各次计算得到的密钥组成该组成员节点对应的密钥链包括：服务器节点将组成员节点的初始化种子作为计算种子代入第一单向函数，计算出中间种子；将中间种子代入第二单向函数，计算出密钥，并添加到密钥链；根据生成次数将中间种子作为计算种子继续进行二次单向函数计算，直到密钥链中的密钥数量等于生成次数。在一个实施例中，方法还包括：服务器节点向同一组内的每个组成员节点发送对应的初始化种子和二次单向函数，并与每个组成员节点协商生成次数，以便组成员节点按照与服务器节点相同的初始化种子、生成次数和二次单向函数以及与服务器节点相同的生成方法生成本节点对应的密钥链。在一个实施例中，每个组成员节点从服务器节点获取本节点对应的密钥链包括：服务器节点与每个组成员节点建立安全通信信道，服务器节点通过安全通信信道向每个组成员节点发送服务器节点生成的与每个组成员节点对应的密钥链。在一个实施例中，服务器节点和每个组成员节点分别按照预先协商的方法从本节点对应的密钥链中启用一个相同的密钥包括：服务器节点和每个组成员节点按照密钥链中密钥排列的顺序，启用位于密钥链中相同位置的密钥。在一个实施例中，在服务器节点与组成员节点之间的链路上还设置有网关节点，服务器节点将同一组内各个组成员节点启用的密钥发送给该组的网关节点；网关节点利用各个组成员节点启用的密钥对每个组成员节点分别进行认证。在一个实施例中，方法还包括：当服务器节点检测到同一组内的组成员节点所属的网关节点发生变更后，服务器节点和每个组成员节点分别按照预先协商的方法从本节点对应的密钥链中启用一个新的相同的密钥；服务器节点向变更后的网关节点发送启用的新的密钥，以便网关节点利用各个组成员节点启用的新的密钥对每个组成员节点分别进行认证。在一个实施例中，方法还包括：各个组成员节点利用各自启用的密钥通过网关节点与组内的其他组成员节点进行通信。在一个实施例中，各个组成员节点为位于物联网的终端，服务器节点为物联网服务器。根据本专利技术实施例的第二个方面，提供一种用于安全组通信的服务器节点，包括：第一密钥链生成模块，用于为同一组内的每个组成员节点分别生成不同的密钥链，密钥链中包括至少一个密钥；第一密钥启用模块，用于按照与组成员节点预先协商的方法从密钥链中启用与组成员节点相同的密钥；第一通信模块，用于和组成员节点基于启用的密钥进行通信。在一个实施例中，第一密钥生成模块包括：初始化种子生成单元，用于为同一组内的每个组成员节点分别生成不同的初始化种子；生成次数协商单元，用于与同一组内的每个组成员节点分别协商生成次数；密钥链计算单元，用于根据生成次数分别对每个组成员节点的初始化种子进行相应次数的二次单向函数计算，各次计算得到的密钥组成该组成员节点对应的密钥链，密钥链中的密钥数量等于生成次数。在一个实施例中，密钥链计算单元包括：第一单向函数子单元，用于将组成员节点的初始化种子作为计算种子代入第一单向函数，计算出中间种子；第二单向函数子单元，用于将中间种子代入第二单向函数，计算出密钥，并添加到密钥链；循环子单元，用于根据生成次数将中间种子作为计算种子继续采用第一单向函数子单元和第二单向函数子单元进行二次单向函数计算，直到密钥链中的密钥数量等于生成次数。在一个实施例中，服务器节点还包括：参数发送单元，用于向同一组内的每个组成员节点发送对应的初始化种子和二次单向函数；第一生成次数协商单元，用于与每个组成员节点协商生成次数。在一个实施例中，服务器节点还包括密钥链发送模块，用于通过与每个组成员节点建立的安全通信信道向每个组成员节点发送第一密钥链生成模块生成的与每个组成员节点对应的密钥链。在一个实施例中，第一密钥启用模块用于按照密钥链中密钥排列的顺序，启用与每个组成员节点启用的密钥位于密钥链中相同位置的密钥。在一个实施例中，服务器节点还包括密钥发送模块，用于将同一组内各个组成员节点启用的密钥发送给该组的网关节点。在一个实施例中，服务器节点还包括网关变更检测模块，用于检测组成员节点所属的网关节点是否发生变更；当网关变更检测模块检测到网关节点发生变更时，第一密钥启用模块用于按照和属于产生变更的网关节点的每个组成员节点预先协商的方法从组成员节点对应的密钥链中启用一个新的密钥；密钥发送模块用于向变更后的网关发送启用的新的密钥，以便网关节点利用各个组成员节点启用的新的密钥对每个组成员节点分别进行认证。在一个实施例中，服务器节点为物联网服务器。根据本专利技术实施例的第三个方面，提供一种用于安全组通信的组成员节点，包括第二密钥启用模块和第二通信模块，还包括密钥链获取模块或者第二密钥链生成模块；密钥链获取模块用于从服务器节点获取本节点对应的密钥链；第二密钥链生成模块用于按照与服务器节点相同的初始参数和生成方法生成本节点对应的密钥链；第二密钥启用模块用于按照与服务器预先协商的方法从本节点对应的密钥链中启用一个与服务器相同的密钥；第二通信模块用于和服务器基于启用的密钥进行通信。在一个实施例中，组成员节点还包括：参数接收模块，用于接收服务器发送的与组成员节点对应的初始化种子和二次单向函数；第二生成次数协商单元，用于与服务器协商生成次数；第二密钥链生成模块用于按照与服务器节点相同的初始化种子、生成次数和二次单向函数以及与服务器节点相同的生成方法生成本节点对应的密钥链。在一个实施例中，密钥链获取模块用于通过与服务器节点建立的安全通信信道接收服务器节点生成的与组成员节点对应的密钥链。在一个实施例中，第二密钥启用模块用于按照密钥链中密钥排列的顺序，启用与服务器节点启用的密钥本文档来自技高网...

【技术保护点】
一种安全组通信方法，其特征在于，包括：服务器节点为同一组内的每个组成员节点分别生成不同的密钥链，密钥链中包括至少一个密钥；每个组成员节点从服务器节点获取本节点对应的密钥链，或者每个组成员节点按照与服务器节点相同的初始参数和生成方法生成本节点对应的密钥链；服务器节点和每个组成员节点分别按照预先协商的方法从本节点对应的密钥链中启用一个相同的密钥；服务器节点和组成员节点基于所述启用的密钥进行通信。

【技术特征摘要】
1.一种安全组通信方法，其特征在于，包括：服务器节点为同一组内的每个组成员节点分别生成不同的密钥链，密钥链中包括至少一个密钥；每个组成员节点从服务器节点获取本节点对应的密钥链，或者每个组成员节点按照与服务器节点相同的初始参数和生成方法生成本节点对应的密钥链；服务器节点和每个组成员节点分别按照预先协商的方法从本节点对应的密钥链中启用一个相同的密钥；服务器节点和组成员节点基于所述启用的密钥进行通信。2.根据权利要求1所述的方法，其特征在于，所述服务器节点为同一组内的每个组成员节点分别生成不同的密钥链包括：服务器节点为同一组内的每个组成员节点分别生成不同的初始化种子；服务器节点与同一组内的每个组成员节点分别协商生成次数；服务器节点根据所述生成次数分别对每个组成员节点的初始化种子进行相应次数的二次单向函数计算，各次计算得到的密钥组成该组成员节点对应的密钥链，所述密钥链中的密钥数量等于所述生成次数。3.根据权利要求2所述的方法，其特征在于，服务器节点根据所述生成次数分别对每个组成员节点的初始化种子进行相应次数的二次单向函数计算，各次计算得到的密钥组成该组成员节点对应的密钥链包括：服务器节点将组成员节点的初始化种子作为计算种子代入第一单向函数，计算出中间种子；将所述中间种子代入第二单向函数，计算出密钥，并添加到密钥链；根据所述生成次数将所述中间种子作为计算种子继续进行二次单向函数计算，直到密钥链中的密钥数量等于所述生成次数。4.根据权利要求2或3所述的方法，其特征在于，还包括：服务器节点向同一组内的每个组成员节点发送对应的所述初始化种子和二次单向函数，并与每个组成员节点协商生成次数，以便组成员节点按照与服务器节点相同的所述初始化种子、生成次数和二次单向函数以及与服务器节点相同的生成方法生成本节点对应的密钥链。5.根据权利要求1所述的方法，其特征在于，所述每个组成员节点从服务器节点获取本节点对应的密钥链包括：服务器节点与所述每个组成员节点建立安全通信信道，所述服务器节点通过所述安全通信信道向所述每个组成员节点发送所述服务器节点生成的与所述每个组成员节点对应的密钥链。6.根据权利要求1所述的方法，其特征在于，所述服务器节点和每个组成员节点分别按照预先协商的方法从本节点对应的密钥链中启用一个相同的密钥包括：所述服务器节点和每个组成员节点按照密钥链中密钥排列的顺序，启用位于密钥链中相同位置的密钥。7.根据权利要求1所述的方法，其特征在于，在服务器节点与组成员节点之间的链路上还设置有网关节点，服务器节点将同一组内各个组成员节点启用的密钥发送给该组的网关节点；网关节点利用各个组成员节点启用的密钥对每个组成员节点分别进行认证。8.根据权利要求7所述的方法，其特征在于，还包括：当服务器节点检测到同一组内的组成员节点所属的网关节点发生变更后，服务器节点和每个组成员节点分别按照预先协商的方法从本节点对应的密钥链中启用一个新的相同的密钥；服务器节点向所述变更后的网关节点发送所述启用的新的密钥，以便网关节点利用各个组成员节点启用的新的密钥对每个组成员节点分别进行认证。9.根据权利要求7或8所述的方法，其特征在于，还包括：所述各个组成员节点利用各自启用的密钥通过网关节点与组内的其他组成员节点进行通信。10.根据权利要求1所述的方法，其特征在于，所述各个组成员节点为位于物联网的终端，所述服务器节点为物联网服务器。11.一种用于安全组通信的服务器节点，其特征在于，包括：第一密钥链生成模块，用于为同一组内的每个组成员节点分别生成不同的密钥链，密钥链中包括至少一个密钥；第一密钥启用模块，用于按照与组成员节点预先协商的方法从密钥链中启用与组成员节点相同的密钥；第一通信模块，用于和组成员节点基于所述启用的密钥进行通信。12.根据权利要求11所述的服务器节点，其特征在于，所述第一密钥生成模块包括：初始化种子生成单元，用于为同一组内的每个组成员节点分别生成不同的初始化种子；生成次数协商单元，用于与同一组内的每个组成员节点分别协商生成次数；密钥链计算单元，用于根据所述生成次数分别对每个组成员节点的初始化种子进行相应次数的二次单向函数计算，各次计算得到的密钥组成该组成员节点对应的密钥链，所述密钥链中的密...

【专利技术属性】
技术研发人员：常洁，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：北京,11