一种端对端的逐级扩散式建立虚拟分组及安全信道的方法技术

本发明专利技术提供一种端对端的逐级扩散式建立虚拟分组及安全信道的方法，其可以按需建立网络虚拟分组，不用时可以随时解散，无需专门设置服务器保存虚拟分组及安全通道信息，维护成本极低。本发明专利技术技术方案中，由一个成员端发起建组邀请，采用逐级扩散的方式，邀请所有成员端参与虚拟分组；成员端之间构建虚拟分组的时间、组内成员都是随机的，虚拟分组的信息、组内端的完整信息无需事先获得，而是在建立过程获得和完善这些信息；虚拟分组信息无需设置专门服务器集中存储，组内成员都持有一份虚拟分组信息；虚拟分组及安全信道建立完成后，组内成员可以随时退出，不影响其他组内成员的通信。不影响其他组内成员的通信。不影响其他组内成员的通信。

【技术实现步骤摘要】
一种端对端的逐级扩散式建立虚拟分组及安全信道的方法


[0001]本专利技术涉及计算机网络安全数据交换
，具体为一种端对端的逐级扩散式建立虚拟分组及安全信道的方法。

技术介绍

[0002]现有技术中，对于加密通信，通常以以密码学为基础建立安全的数据交换通道。如：基于虚拟专用网络VPN可以在公用网络上建立专用网络，进行加密通讯，这种专网VPN的方式广泛应用在政府企业等网络中，通过VPN网关对数据包的加密和数据包目标地址的转换实现远程访问。
[0003]但是在某些应用中，经常有松散的端，端的数量、组成是随机不确定的，需要临时组成一个虚拟分组进行安全通信，现有的方法就无法适用于这种数量不确定的松散型虚拟分组构建的场景。

技术实现思路

[0004]为了解决现有的虚拟分组构建方法，不适用于数量不确定的松散型虚拟分组构建的问题，本专利技术提供一种端对端的逐级扩散式建立虚拟分组及安全信道的方法，其可以按需建立网络虚拟分组，不用时可以随时解散，无需专门设置服务器保存虚拟分组及安全通道信息，维护成本极低。
[0005]本专利技术的技术方案是这样的：一种端对端的逐级扩散式建立虚拟分组及安全信道的方法，其特征在于，其包括以下步骤：S1：由一个成员端作为发起端发起建组邀请；所述发起端将自己作为邀请端实施步骤S2；S2：所述邀请端向能与自己建立安全通道的已知可信端发出虚拟分组建立邀请，在邀请中附上所建虚拟分组的要约信息；S3：收到该邀请的所述可信端，根据接收到的要约信息，确定是否需要自己去邀请自己已知的下一级可信端；如果执行邀请操作，则执行步骤S4；否则，执行步骤S5；S4：所述可信端将自己作为邀请端，循环实施步骤S2~S4；S5：所述可信端将其上一级端点作为接收端，实施步骤S6；S6：所述可信端向所述接收端发送自身的要约确认信息；S7：所述接收端收齐所有下级的要约确认信息后，整合这些要约信息，加上自身信息后，作为自己的要约确认信息；S8：所述接收端将其上一级端点作为接收端，循环实施步骤S6~S8，直至所述发起端接收到了其所有下级端点的要约确认信息；S9：所述发起端整合接收到的所有成员的要约确认信息，并加入虚拟分组参数信
息，构成建组要素信息；所述建组要素信息中包括：虚拟分组密钥；S10：根据所述要约确认信息中的成员信息，所述发起端将所述建组要素信息发送给虚拟分组内其他成员端；S11：每一个其他所述成员端接收到所述建组要素信息后，使用所述虚拟分组密钥加密建组确认信息；并将所述建组确认信息发送给所述发起端，完成加入所述虚拟分组的确认；S12：所述虚拟分组内的所有所述成员端之间，基于所述虚拟分组密钥，构建安全通道完成加密通信。
[0006]其进一步特征在于：所述成员端包括：程序、设备、主机；当所述成员端为程序时，存在多个程序运行在同同一台设备、同一台主机上，则每一个程序分别作为成员端的情况；步骤S2中，所述邀请端向能与自己建立安全通道的已知可信端发出虚拟分组建立邀请的方式，包括：链型扩散、星形扩散、网状扩散；所述要约信息包括：分组ID、分组信息、目标端要求、分组规模、扩散级别限制、发起端概况、发起端公钥、基本消息指纹签名、当前扩散级、扩散消息指纹签名；所述分组ID，随机生成的一个整数，用于标识一个分组；所述分组信息，定义分组的相关信息，如组名、分组任务名等；所述目标端要求，定义哪些端可以加入组，方便逐级扩散时，下级端能知道向哪些端发出邀请；所述分组规模，用于定义虚拟分组的成员上限，限制虚拟分组的成员数量；所述扩散级别限制，用于限制扩散深度，避免扩散级别过多，使规模过大，超出分组规模；所述发起端概况，放置发起端的身份、网络地址等信息，其他端使用这些信息可以掌握发起端的基本情况；所述发起端公钥，用于验证消息指纹签名，也用于向发起端发送只有发起端可以解密的私密信息的加密；所述基本消息指纹签名，将所述要约信息中，除了所述当前扩散级以外的其他数据用散列函数生成指纹信息后，用发起端的私钥签名；所述当前扩散级，由进行扩散的端修改，记录本端处于的扩散级别计数，发起端设置该值为1，下一级为2，逐级加1；扩散消息指纹签名，将所述要约信息中，其他的数据用散列函数生成指纹信息后，用扩散端的私钥签名；所述要约确认信息包括：约信息中的分组ID、扩散级别、确认端概况、确认端公钥、下级返回的要约确认信息列表、确认消息指纹签名；所述分组ID，用于标识要确认的分组；所述扩散级别，确认端所处的扩散深度，用于为发起端提供建组过程的扩散情况；所述确认端概况，放置确认端的身份、网络地址等信息，其他端使用这些信息可以
掌握确认端的基本情况；所述确认端公钥，用于验证消息指纹签名，也用于向确认端发送只有确认端可以解密的私密信息的加密；所述下级返回的要约确认信息列表，下级端的要约确认消息，按返回次序顺序放在确认端公钥后；所述确认消息指纹签名，将所述要约确认信息中其他的数据用散列函数生成指纹信息后，用确认端的私钥签名；所述建组要素信息中除了所述虚拟分组密钥，还包括：分组ID、分组成员的概况和公钥列表、加密算法、建组要素消息指纹签名；所述分组成员的概况和公钥列表，是将除发起端外，所有其他成员端的概况和公钥汇总，供各成员获知虚拟分组成员信息；所述加密算法，设置组内成员间数据交换的加密算法；所述虚拟分组密钥，由发起端生成，用接收端的公钥加密；所述建组要素消息指纹签名，将所述建组要素信息中其他数据用散列函数生成指纹信息后，用发起端的私钥签名；所述建组确认信息，包括：分组ID、用组密钥加密的组密钥散列码、确认端身份、建组确认消息指纹签名；所述建组确认消息指纹签名，将所述建组确认信中其他数据用散列函数生成指纹信息后，用确认端的私钥签名；发起端通过所述建组确认消息指纹签名，验证组内其他成员使用的加密算法和虚拟分组密钥的正确性。
[0007]本专利技术提供的一种端对端的逐级扩散式建立虚拟分组及安全信道的方法，由一个成员端发起建组邀请，采用逐级扩散的方式，邀请所有成员端参与虚拟分组；成员端之间构建虚拟分组的时间、组内成员都是随机的，虚拟分组的信息、组内端的完整信息无需事先获得，而是在建立过程获得和完善这些信息；虚拟分组信息无需设置专门服务器集中存储，组内成员都持有一份虚拟分组信息；虚拟分组及安全信道建立完成后，组内成员可以随时退出，不影响其他组内成员的通信。基于本专利技术技术方案的虚拟分组的整个构建过程和构建方式，非常适合数量不确定的松散型虚拟分组构建，过程灵活，实现方便，维护成本极低。
附图说明
[0008]图1为本专利技术的中虚拟分组建立过程示意图；图2是链型扩散示意图；图3是星形扩散示意图；图4是网状扩散示意图；图5是要约信息格式定义图；图6是要约确认信息格式图；图7是建组要素信息格式图；图8是建组确认信息格式图。
具体实施方式
[0009]如图1所示，本专利技术一种端对端的逐级扩散式建立虚拟分组及安全信道的方法，其特征在于，其包括以下步骤。
[0010]S1：由一个成员端作为发起端发起建组邀请；发起端将自己作为邀请端实施步骤S2；本专利技术技术方案中，本专利技术中的成员本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种端对端的逐级扩散式建立虚拟分组及安全信道的方法，其特征在于，其包括以下步骤：S1：由一个成员端作为发起端发起建组邀请；所述发起端将自己作为邀请端实施步骤S2；S2：所述邀请端向能与自己建立安全通道的已知可信端发出虚拟分组建立邀请，在邀请中附上所建虚拟分组的要约信息；S3：收到该邀请的所述可信端，根据接收到的要约信息，确定是否需要自己去邀请自己已知的下一级可信端；如果执行邀请操作，则执行步骤S4；否则，执行步骤S5；S4：所述可信端将自己作为邀请端，循环实施步骤S2~S4；S5：所述可信端将其上一级端点作为接收端，实施步骤S6；S6：所述可信端向所述接收端发送自身的要约确认信息；S7：所述接收端收齐所有下级的要约确认信息后，整合这些要约信息，加上自身信息后，作为自己的要约确认信息；S8：所述接收端将其上一级端点作为接收端，循环实施步骤S6~S8，直至所述发起端接收到了其所有下级端点的要约确认信息；S9：所述发起端整合接收到的所有成员的要约确认信息，并加入虚拟分组参数信息，构成建组要素信息；所述建组要素信息中包括：虚拟分组密钥；S10：根据所述要约确认信息中的成员信息，所述发起端将所述建组要素信息发送给虚拟分组内其他成员端；S11：每一个其他所述成员端接收到所述建组要素信息后，使用所述虚拟分组密钥加密建组确认信息；并将所述建组确认信息发送给所述发起端，完成加入所述虚拟分组的确认；S12：所述虚拟分组内的所有所述成员端之间，基于所述虚拟分组密钥，构建安全通道完成加密通信。2.根据权利要求1所述一种端对端的逐级扩散式建立虚拟分组及安全信道的方法，其特征在于：所述成员端包括：程序、设备、主机。3.根据权利要求2所述一种端对端的逐级扩散式建立虚拟分组及安全信道的方法，其特征在于：当所述成员端为程序时，存在多个程序运行在同同一台设备、同一台主机上，则每一个程序分别作为成员端的情况。4.根据权利要求1所述一种端对端的逐级扩散式建立虚拟分组及安全信道的方法，其特征在于：步骤S2中，所述邀请端向能与自己建立安全通道的已知可信端发出虚拟分组建立邀请的方式，包括：链型扩散、星形扩散、网状扩散。5.根据权利要求1所述一种端对端的逐级扩散式建立虚拟分组及安全信道的方法，其特征在于：所述要约信息包括：分组ID、分组信息、目标端要求、分组规模、扩散级别限制、发起端概况、发起端公钥、基本消息指纹签名、当前扩散级、扩散消息指纹签名；所述分组ID，随机生成的一个整数，用于标识一个分组；所述分组信息，定义分组的相关信息，如组名、分组任务名等；所述目标端要求，定义哪些端可以加入组，方便逐级扩散时，下级端能知道向哪些端发
出邀请...

【专利技术属性】
技术研发人员：李立亚，吴丽，张春燕，闾立新，周谢益，
申请(专利权)人：无锡科技职业学院，
类型：发明
国别省市：