基于物理层次的组播密钥管理方法

摘要

本发明是一种用于组播网络中的基于物理层次的组播密钥管理方法，它涉及到因特网安全组播领域，是用于组播服务中划分子组、组播密钥管理和组播通信的方法，可以有效的减少组播密钥更新的开销。组播发送源使用本地子组通信密钥加密数据后组播给本物理子组，本物理子组的组安全代理收到后，解密后再使用逻辑子组通信密钥加密后组播给其它的物理子组，其它物理子组的组安全代理收到后使用逻辑子组通信密钥解密后，再使用本地子组通信密钥加密组播给本物理子组的组播接收者，组播接收者使用本地通信密钥解密获得数据。本发明能够有效的划分子组，解决安全组播的密钥管理问题，减少了组播密钥更新的开销，且没有规模限制，具有良好的可扩展性。

主权项

1、一种基于物理层次的组播密钥管理方法，包括分组、通信及密钥分配方法；其特征在于：其中的分组方法将组播组的子组仅仅分为两个层次：①用户层：包括多个物理子组，它们分别受控于各自的组安全代理，每个组安全代理负责维护一个本地子组通信密钥；②代理层：包括一个逻辑子组，它由多个组安全代理组成并使用一个逻辑子组通信密钥；其中的密钥分配方法中所采用的密钥更新方法为：代理层子组的周期密钥更新方法：代理层的逻辑子组通信密钥定期更换，由每个组安全代理采用相同的公式SEK0(n，t)＝f0(s，n，v0)计算得出，不须发布密钥更新报文；式中的f0是一个带有三个参数的单向函数，s是单向函数f0的秘密种子，由各组安全代理在组播业务初始化阶段协商产生，并且，仅为各组安全代理所知；n是业务编号、是组播业务的标识符，v0是逻辑子组通信密钥SEK0的版本号，v0还关联着具体的组播业务n，因此，v0是v0n的简写，t是时间；用户层子组的批次密钥更新方法：组安全代理统计组播参与者，即组播发送源和组播接收者的统称，加入或退出的次数达到规定的门限时，更新本物理子组的本地子组通信密钥，采用公式SEKi(n，t)＝fi(s，n，vi)计算得出，然后向本物理子组内的组播参与者发布密钥更新报文更新本地子组通信密钥；式中的fi是一个带有三个参数的单向函数，s是前述的单向函数f0的秘密种子，仅为组安全代理所知；n是业务编号、是组播业务的标识符，vi是组播业务n在本地子组通信密钥SEKi的版本号，t是时间；其中的密钥分配方法中还增加了密钥预告方法：在物理子组内，组安全代理提前向各个组播参与者发布下一版本的本地子组通信密钥。