【技术实现步骤摘要】
一种密钥管理方法及装置
[0001]本专利技术涉及通信
,尤其涉及一种密钥管理方法及装置。
技术介绍
[0002]针对群组通信的密钥管理,现有技术中,在初始化阶段,由整个群的管理者完成群组密钥的生成和分发,整个群的管理者使用与群组用户协商的密钥进行群组密钥的分发,群组用户收到群组密钥的密文后,用与整个群的管理者协商的密钥解密得到群组密钥。在群组用户动态变化时,由整个群的管理者完成群组密钥的更新以及向群组用户完成群组密钥的分发。
[0003]但在通信安全方面,现有技术虽然实现了新加入群组的用户无法获得加入之前的群组密钥,退出群组的用户也无法获得退出之后的群组密钥,仍然存在以下两个缺陷:技术的安全性较差,无法保证群组密钥的完整性和不可否认性,存在中间人攻击的安全隐患;不能实现群组密钥的定时更新,无法保证群组密钥的新鲜度。另外,在通信性能方面,现有技术存在整个群的管理者计算和通信负担较大的缺陷。
技术实现思路
[0004]本专利技术提供一种密钥管理方法及装置,用以解决现有技术中的密钥管理方法存在的通信安全较差、通信性能不足的问题,通过各个节点独立完成各自群组密钥的更新,同时引入密钥导出函数和加密认证方案,避免了密钥分发中的中间人攻击,提高了群组密钥的新鲜度、机密性、完整性和不可否认性。
[0005]本专利技术提供一种密钥管理方法,应用于群组通信,群组成员之间的连接采用树结构,所述方法包括:
[0006]基于预设的触发项,根据所述触发项发生时的群组密钥,以及随机数或所述树结构中新...
【技术保护点】
【技术特征摘要】
1.一种密钥管理方法,其特征在于,应用于群组通信,群组成员之间的连接采用树结构,所述方法包括:基于预设的触发项,根据所述触发项发生时的群组密钥,以及随机数或所述树结构中新加入节点的身份标识,生成新的群组密钥,并完成对所述触发项发生时的群组密钥的更新;其中,所述触发项包括节点加入、节点离开、预设时间周期、子群离开和子群加入,所述随机数由树结构中根节点生成。2.根据权利要求1所述的密钥管理方法,其特征在于,在所述基于预设的触发项,根据所述触发项发生时的群组密钥,以及随机数或所述树结构中新加入节点的身份标识,生成新的群组密钥,并完成对所述触发项发生时的群组密钥的更新之前,方法还包括:个人密钥初始化步骤,由树结构中的非叶子节点生成各自的种子密钥和各自孩子节点的个人密钥,并将所述各自的孩子节点的个人密钥分发给各自的孩子节点;群组密钥初始化步骤,基于所述非叶子节点生成的各自的种子密钥和各自孩子节点的个人密钥,由所述非叶子节点生成各自的群组密钥,并层层分发至所述树结构的叶子节点。3.根据权利要求2所述的密钥管理方法,其特征在于,所述由树结构中的非叶子节点生成各自的种子密钥和各自孩子节点的个人密钥,并将所述各自的孩子节点的个人密钥分发给各自的孩子节点,具体包括:由树结构中除根节点外的所有节点与各自的父节点进行身份认证并协商出各自的会话密钥;由所述非叶子节点调用随机数生成函数生成各自的种子密钥;基于所述非叶子节点的孩子节点的身份标识和所述非叶子节点的种子密钥,由所述非叶子节点调用密钥导出函数生成各自孩子节点的个人密钥;基于所述会话密钥,由所述非叶子节点将各自孩子节点的个人密钥发送给各自的孩子节点。4.根据权利要求3所述的密钥管理方法,其特征在于,在所述基于所述会话密钥,由所述非叶子节点将各自孩子节点的个人密钥发送给各自的孩子节点之后,方法还包括:由所述非叶子节点的孩子节点基于各自的会话密钥对各自的个人密钥进行验证;验证通过,由所述非叶子节点的孩子节点对各自的个人密钥进行保存。5.根据权利要求2所述的密钥管理方法,其特征在于,所述基于所述非叶子节点生成的各自的种子密钥和各自孩子节点的个人密钥,由所述非叶子节点生成各自的群组密钥,并层层分发至所述树结构的叶子节点,具体包括:由所述树结构的根节点调用随机数生成函数,生成随机数初态值;基于所述非叶子节点生成的各自的种子密钥和各自孩子节点的个人密钥,由所述非叶子节点调用密钥导出函数生成各自的群组密钥;由树结构中除叶子节点及叶子节点的父节点之外的包括根节点的所有节点向各自的孩子节点分发从自身节点到根节点的所有节点的群组密钥以及随机数初态值;由树结构中叶子节点的父节点向各自的孩子节点分发从自身节点到根节点的所有节点的群组密钥。6.根据权利要求5所述的密钥管理方法,其特征在于,在所述分发从自身节点到根节点
的所有节点的群组密钥以及随机数初态值之后,方法还包括:由所述树结构中除叶子节点及叶子节点的父节点之外的包括根节点的所有节点的孩子节点基于各自的个人密钥对各自的从自身父节点到根节点的所有节点的群组密钥以及随机数初态值进行验证;验证通过,由所述树结构中除叶子节点及叶子节点的父节点之外的包括根节点的所有节点的孩子节点对各自接收的从自身父节点到根节点的所有节点的群组密钥以及随机数初态值进行保存。7.根据权利要求5所述的密钥管理方法,其特征在于,在所述分发从自身节点到根节点的所有节点的群组密钥之后,方法还包括:由所述树结构中叶子节点基于各自的个人密钥对接收的各自父节点发送的从自身节点到根节点的所有节点的群组密钥进行验证;验证通过,由所述树结构中叶子节点对接收的各自父节点发送的从自身节点到根节点的所有节点的群组密钥进行保存。8.根据权利要求1所述的密钥管理方法,其特征在于,所述预设的触发项为节点加入,相应的,所述根据所述触发项发生时的群组密钥,以及随机数或所述树结构中新加入节点的身份标识,生成新的群组密钥,并完成对所述触发项发生时的群组密钥的更新,具体包括:由新加入节点的父节点生成新加入节点的个人密钥,并将所述新加入节点的个人密钥发送给所述新加入节点;基于所述节点加入时的各自存储的群组密钥和新加入节点的身份标识,由所述树结构的非叶子节点调用密钥导出函数,自行更新各自存储的群组密钥,并由所述叶子节点的父节点将更新后的从自身节点到根节点的所有节点的群组密钥发送给所述叶子节点,其中,所述非叶子节点各自存储的群组密钥包括各自的群组密钥;或基于所述节点加入时的各自的群组密钥和新加入节点的身份标识,由所述树结构的非叶子节点调用密钥导出函数,自行更新各自的群组密钥,由所述非叶子节点将更新后的从自身节点到根节点的所有节点的群组密钥层层分发至所述树结构的叶子节点;或由所述树结构中的节点根据所述节点加入时各自存储的群组密钥和新加入节点的身份标识,调用密钥导出函数自行更新各自存储的群组密钥,并由所述新加入节点的父节点将更新后的从自身节点到根节点的所有节点的群组密钥发送给所述新加入节点。9.根据权利要求8所述的密钥管理方法,其特征在于,所述由新加入节点的父节点生成新加入节点的个人密钥,并将所述新加入节点的个人密钥发送给所述新加入节点,具体包括:由新加入节点与自身的父节点进行身份认证并协商出会话密钥;基于新加入节点的身份标识和新加入节点的父节点的种子密钥,由新加入节点的父节点调用密钥导出函数,生成新加入节点的个人密钥;基于所述会话密钥,由新加入节点的父节点将生成的新加入节点的个人密钥发送给所述新加入节点。10.根据权利要求9所述的密钥管理方法,其特征在于,在所述由新加入节点的父节点将生成的新加入节点的个人密钥发送给所述新加入节点之后,方法还包括:
由新加入节点基于所述会话密钥对所述自身的个人密钥进行验证;验证通过,由新加入节点对接收的自身的个人密钥进行保存。11.根据权利要求8所述的密钥管理方法,其特征在于,在由所述非叶子节点将更新后的从自身节点到根节点的所有节点的群组密钥层层分发至所述叶子节点之后,方法还包括:由所述树结构的节点对各自接收的更新后的从自身父节点到根节点的所有节点的群组密钥进行验证;验证通过,由所述树结构的节点对各自接收的所述更新后的从自身父节点到根节点的所有节点的群组密钥进行保存。12.根据权利要求1所述的密钥管理方法,其特征在于,所述预设的触发项为节点离开,相应的,所述根据所述触发项发生时的群组密钥,以及随机数或所述树结构中新加入节点的身份标识,生成新的群组密钥,并完成对所述触发项发生时的群组密钥的更新,具体包括:基于所述节点离开时的各自的群组密钥和随机数,由所述非叶子节点调用密钥导出函数自行更新各自的群组密钥,由所述非叶子节点将更新后的从自身节点到根节点的所有节点的群组密钥层层分发至所述叶子节点;或由树结构中的非叶子节点根据所述节点离开时各自存储的群组密钥和随机数,调用密钥导出函数自行更新各自存储的群组密钥,并由所述叶子节点的父节点将更新后的从自身节点到根节点的所有节点的群组密钥发送给所述叶子节点。13.根据权利要求12所述的密钥管理方法,其特征在于,在所述由所述非叶子节点将更新后的从自身节点到根节点的所有节点的群组密钥层层分发至所述...
【专利技术属性】
技术研发人员:谢绒娜,史国振,李宗俞,李莉,董秀则,娄嘉鹏,宋坤原,
申请(专利权)人:中共中央办公厅电子科技学院北京电子科技学院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。