CN101127595A - 一种实现多方通信安全的方法、系统及设备 - Google Patents
一种实现多方通信安全的方法、系统及设备 Download PDFInfo
- Publication number
- CN101127595A CN101127595A CNA2006100370589A CN200610037058A CN101127595A CN 101127595 A CN101127595 A CN 101127595A CN A2006100370589 A CNA2006100370589 A CN A2006100370589A CN 200610037058 A CN200610037058 A CN 200610037058A CN 101127595 A CN101127595 A CN 101127595A
- Authority
- CN
- China
- Prior art keywords
- group
- session
- key management
- protocol
- management server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000006854 communication Effects 0.000 title claims abstract description 52
- 238000004891 communication Methods 0.000 title claims abstract description 46
- 238000000034 method Methods 0.000 title claims abstract description 25
- 230000005540 biological transmission Effects 0.000 claims description 14
- 238000001514 detection method Methods 0.000 claims description 3
- 230000006872 improvement Effects 0.000 abstract description 3
- 238000005516 engineering process Methods 0.000 description 7
- 238000013461 design Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种实现多方通信安全的方法,该方法是对传输层安全协议或数据报传输层安全协议的改进,以解决现有多播安全协议族解决方案的可移植性差,可部署性低的缺点,并避免重新开发新技术方案而带来的投入高、风险大的缺点。该方法包括:步骤a:组控制密钥管理服务器和组员设备通过运行传输层安全协议或数据报传输层安全协议进行身份认证,协商创建初始会话:步骤b:组控制密钥管理服务器和组员设备通过运行组密钥管理子协议向组员设备分发组会话和密钥更新会话;步骤c:组控制密钥管理服务器检测到密钥更新事件时,该组控制密钥管理服务器和组员设备通过运行组密钥管理子协议进行密钥更新。本发明还公开了一种多方通信安全系统及设备。
Description
技术领域
本发明涉及一种网络通信,尤其涉及网络通信安全技术,更为确切地说,本发明涉及一种多方通信安全技术。
背景技术
随着信息技术的快速发展,人们对通信的要求不再局限于点对点通信,而提出了多方通信的要求。多方通信也称为组通信,指具有两个以上的成员参加的一种通信场景,只有两方的场景是多方通信的一个特例。常见的多方通信场景包括远程多方会议、IP(Internet Protocol,互联网协议)电话、IP电视、网络在线游戏、网格计算等。
多方通信的安全需求包括:授权和认证、保密、组成员认证、源认证、匿名性、完整性以及抗重放。对多方通信的报文加密是实现保密性的方法。加密和解密用的密钥只有组员才知道,这样能够确保被加密的报文只有组成员才能解读。组成员认证也可以利用该密钥来实现,因为只有拥有密钥的组成员才能正确地生成加密的多播报文。利用多方共享密钥来解决安全问题的关键是密钥的生成和分发。这种生成和分发必须是排外的,即非组成员无法获得密钥。源认证、完整性和匿名服务通常也要利用双方或多方之间信息的排外共享。在多方通信中,如何实现密钥的排外共享是组密钥管理关键技术。组密钥管理研究如何为组员生成、发布和更新组密钥,组密钥是所有组员共享的密钥,用来对多播报文进行加密和解密等安全操作。
针对以上技术要求,MSEC(Multicast Security,多播安全)工作组提出了多个协议来提供多方通信安全,MSEC协议设计思路是将组密钥管理和数据安全相分离,重点解决组密钥管理方面的问题。MSEC工作组已经制定了多个组密钥管理协议,包括GSAKMP(Group Secure Association Key ManagementProtocol,组安全联盟密钥管理协议)、GDOI(Group Domain of Interpretation,域组解释协议)、MIKEY(多媒体因特网密钥管理协议)等,这些协议的共性是偏重于为基于组播方式的数据安全协议提供标准的组密钥管理方案。从工作方式上看,MSEC协议族适合于工作在支持IP层多播的环境中,比如GSAKMP和GODI协议就直接使用了需要多播服务的组密钥管理算法。虽然在单播方式下这种算法也能运行,但严重影响运行效率。在所支持的数据安全协议方面,MSEC协议族虽然多标称是可扩展的,但从已经支持的协议看,主要是ESP(Encapsulating Security Protocol,封装安全协议)、AH(Authentication Header,认证头)和SRTP(Secure Real-time Transport Protocol,实时安全传输协议),前两种协议都工作在IP层,SRTP工作在应用层,用于多媒体数据实时传输。
MSEC协议族解决方案的缺点是:难以提供标准的API(ApplicationProgramming Interface,应用程序接口)供应用程序或协议调用其功能,可移植性低,可部署性差。
参考图1,MSEC协议族工作示意图。MSEC协议单元101工作在传输层的用户数据报协议单元102上,重点是解决密钥管理,而数据安全是工作在IP层104上的ESP或AH单元103以及应用层上的SRTP。MSEC协议族采用组密钥管理协议和数据安全协议分开设计的方式。各个组密钥管理协议只能以守护进程或应用程序的形式单独运行,比如GDOI和GSAKMP,不能提供标准的API调用接口供应用程序对组密钥管理进行控制,因此,基于组密钥管理协议开发的应用程序的可移植性很低。
而MIKEY协议则需要嵌入到调用其服务的应用程序中运行。就是说,如果应用程序需要调用MIKEY协议的功能,就需要自身完成MIKEY协议的交互过程。这种方式增加了MIKEY协议与应用程序的耦合度,使得每一位需要使用MIKEY协议功能的编程人员都需要了解MIKEY协议的内部实现知识,增加了应用程序的实现难度。
从数据安全方面看,因为MSEC协议族目前主要支持ESP、AH和SRTP,前两种协议均在IP层实现,需要运行于操作系统的内核中,这种实现方式同样难以提供标准的数据安全API调用接口,使得程序可移植性较差外。此外,不同的操作系统对ESP和AH的功能实现可能并不相同,有的可能根本没有实现这样的功能,这种情况导致可部署性较差。而SRTP是专用于实时多媒体数据传输的协议,非多媒体应用无法使用其功能。
此外,即使MSEC协议族能够通过扩展支持新的数据安全协议,但因为目前缺乏一种通用的、应用程序能直接调用的、支持多方通信的数据安全协议,应用程序同样不能使用MSEC协议族提供的服务。
现有技术中另一种解决方案为:基于TLS(Transport Layer Security,传输层安全协议)或DTLS(Datagram Transport Layer Security,数据报传输层安全)技术的双方通信安全解决方案。
TLS和DTLS基于客户/服务器方式运行,能够提供认证、密钥协商、密钥更新、加密、完整性保护、抗重放等安全功能。TLS和DTLS的特点是运行在传输层,能提供标准的API供应用程序调用和控制其功能,并且在应用程序进程空间内运行,具有很好的可部署性。但是传输层安全或数据报传输层安全只能为两方通信提供安全服务,对三方及以上的通信场景,只能通过建立多个Session(会话)的方式来实现,这种方式的缺点是:繁琐、复杂、效率低下、可行性低。
发明内容
本发明的目的在于提供一种通过扩展TLS或DTLS协议以实现多方通信安全的方法及系统,以继承原TLS和DTLS可移植性好、可部署性高的优点,以解决现有MSEC协议族解决方案的可移植性差,可部署性低的缺点,并避免从头开发新的解决方案所具有的投入高、风险大的缺点。
为解决上述技术问题,本发明一方面提供了一种实现多方通信安全的方法,该方法包括:
步骤a:组控制密钥管理服务器和组员设备通过运行传输层安全协议或数据报传输层安全协议进行身份认证、协商创建初始会话;步骤b:所述组控制密钥管理服务器和组员设备通过运行组密钥管理子协议,由所述组控制密钥管理服务器向所述组员设备分发组会话和密钥更新会话;步骤c:所述组控制密钥管理服务器检测到密钥更新事件时,该组控制密钥管理服务器和所述组员设备通过运行组密钥管理子协议进行密钥更新。
其中,在步骤b中,所述分发组会话和密钥更新会话的方式是在初始会话的保护下以组员设备从所述组控制密钥管理服务器主动下载的方式分发。
在本发明中,所述步骤c包括:
步骤c1:所述组控制密钥管理服务器检测密钥更新事件;
步骤c2:所述组控制密钥管理服务器根据所述密钥更新事件判断是否需要进行密钥更新,如果是,则进入步骤c3,否则,转到步骤c1;
步骤c3:所述组控制密钥管理服务器自动更新所述密钥更新会话和组会话的密钥;
步骤c4:所述组控制密钥管理服务器向所述组员设备分发更新后的组会话和密钥更新会话。
其中,在步骤c4中,分发所述更新后的组会话和密钥更新会话的方式是在密钥更新会话的保护下以组控制密钥管理服务器推送的方式分发或在密钥更新会话的保护下以组员设备从所述组控制密钥管理服务器主动下载的方式分发。
本发明提供的一种实现多方通信安全的方法还包括所述组控制密钥管理服务器检测到故障事件时,所述组控制密钥管理服务器和组员设备通过运行告警子协议在初始会话的保护下交互相互的状态信息。
相应地,本发明提供了一种多方通信安全系统,该系统包括至少一个组控制密钥管理服务器和与之相连接的至少两个组员设备,其中,所述组控制密钥管理服务器包括:
第一传输层安全协议单元,用于运行传输层安全协议或数据报传输层安全协议的;
第一组密钥管理子协议单元,与所述第一传输层安全协议单元连接,在所述组控制密钥管理服务器中运行组密钥管理子协议;
会话分发单元,在第一组密钥管理子协议单元的控制下向组员设备分发组会话和密钥更新会话;
密钥更新单元,在第一组密钥管理子协议单元的控制下自动更新组会话和密钥更新会话的密钥;
其中,所述组员设备还包括:
第二传输层安全协议单元,用于运行传输层安全协议或数据报传输层安全协议的;
第二组密钥管理子协议单元,分别与所述第二传输层安全协议单元连接,在所述组员设备中运行组密钥管理子协议;
会话接收单元,在第二组密钥管理自协议单元的控制下接收所述组控制密钥管理服务器分发的组会话和密钥更新会话。
其中,所述组控制密钥管理服务器还包括:
密钥更新事件检测单元,与所述第一组密钥管理子协议单元连接,用于检测多方通信过程中是否存在密钥更新事件。
在本发明中,所述会话接收单元在初始会话的保护下从所述组控制密钥管理服务器以主动下载的方式接收初始的组会话和密钥更新会话。
所述会话分发单元在密钥更新会话的保护下以推送的方式向所述组员设备分发更新后的组会话和密钥更新会话。
所述会话接收单元在密钥更新会话的保护下以主动下载的方式接收更新后的组会话和密钥更新会话。
相应地,本发明提供了一种组控制密钥管理服务器,该组控制密钥管理服务器包括用于运行传输层安全协议或数据报传输层安全协议的第一传输层安全协议单元,其中,所述组控制密钥管理服务器还包括:
第一组密钥管理子协议单元,与所述第一传输层安全协议单元连接,在所述组控制密钥管理服务器中运行组密钥管理子协议;
会话分发单元,在第一组密钥管理子协议单元的控制下向组员设备分发组会话和密钥更新会话;
密钥更新单元,在第一组密钥管理子协议单元的控制下自动更新组会话和密钥更新会话的密钥。
其中,所述组控制密钥管理服务器还包括密钥更新事件检测单元,与所述第一组密钥管理子协议单元连接,用于检测多方通信过程中是否存在密钥更新事件。
相应地,本发明还提供了一种组员设备,该组员设备包括用于运行传输层安全协议或数据报传输层安全协议的第二传输层安全协议单元,其中,所述组员设备还包括:
第二组密钥管理子协议单元,分别与所述第二传输层安全协议单元连接,在所述组员设备中运行组密钥管理子协议;
会话接收单元,在第二组密钥管理自协议单元的控制下接收所述组控制密钥管理服务器分发的组会话和密钥更新会话。
实施本发明的技术方案产生的有益效果:
按照本发明提供的一种多方通信安全方法、系统及设备,是在原有TLS或DTLS协议中添加了组密钥管理子协议、组会话和组密钥更新会话,对原协议进行改进。TLS和DTLS是发展成熟的安全标准协议,该协议功能丰富,实际应用多,安全性已经过考验。基于它们构造多方通信安全系统,可以大量复用已有功能和设施,在原有部分设施上做改进,很容易地实现多方通信安全。
同时,在本发明的技术方案中在组控制密钥管理服务器中增加了组密钥管理子协议单元和会话分发单元,在组员设备中也增加了组密钥管理子协议单元和会话接收单元,用来控制组会话的分发和密钥更新;组会话实现多方通信数据安全,包括加密、完整性保护、抗重放、源认证、组认证。因此,本发明将组密钥管理和数据安全统一设计,并且在应用程序空间中运行,可以很容易的与应用程序进行交互且,能提供标准的API接口供应用程序调用和控制其功能,从而本技术方案的可移植性好。
因此,本发明的技术方案很好地解决了现有MSEC协议族解决方案的可移植性差,可部署性低的缺点,并避免从头开发新的解决方案所具有的投入高、风险大的缺点。
附图说明
图1是现有技术中多播协议族工作示意图;
图2是本发明的一种多方通信安全系统的系统结构图;
图3是本发明的一种组控制密钥管理服务器结构框图;
图4是本发明的一种组员设备的结构框图;
图5是本发明的一种实现多方通信安全的方法的一个优选实施例的流程图;
图5a是本发明的一种实现多方通信安全的方法的一个优选实施例中密钥更新的流程图;
图6是本发明中扩展后的TLS或DTLS协议模型。
具体实施方式
下面结合附图阐述本发明的技术方案。
参考图2,图示了本发明的一种多方通信安全系统的系统结构框图。该多方通信安全系统包括一个GCKS(Group Control and Keying Server,组控制密钥管理服务器)205和与之相连接的四个组员设备,分别是第一组员201、第二组员202、第三组员203及第四组员204。组控制密钥管理服务器205用于在多方通信安全中负责组员的授权、认证以及密钥管理等功能。其中,GCKS 105通常由专门的设备担任,但也可以由普通的组员设备担任。组员设备不限于四个,可以有更多,或只有两个。
参考图3,图示了本发明的一种组控制密钥管理服务器的结构框图,组控制密钥管理服务器205包括:
第一传输层安全协议单元301,用来运行TLS或DTLS协议。
会话分发单元302,用于向组员分发组会话或密钥更新会话;
第一组密钥管理子协议单元303,分别与第一传输层安全协议单元301、会话分发单元302连接,通过运行组密钥管理子协议来控制所述组会话或密钥更新会话的分发和密钥更新;
密钥更新事件检测单元304,与第一组密钥管理子协议单元303连接,用于检测多方通信过程中是否存在密钥更新事件;
密钥自动更新单元305,与第一组密钥管理子协议单元302连接,用于自动更新组会话和密钥更新会话的密钥。
参考图4,图示了本发明的一种多方通信安全系统的组员设备的结构框图。组员设备包括:
第二传输层安全协议单元401,用于运行TLS或DTLS协议与GCKS205进行身份认证和初始会话协商。
会话接收单元402,用于接收GCKS205分发的组会话和密钥更新会话。
第二组密钥管理子协议单元403,与第二传输层安全协议单元401、会话接收单元402连接,用于控制所述组会话或密钥更新会话的接收;
参考图5,图示了本发明的一种实现多方通信安全的方法的一个优选实施例的流程图。在多方通信开始前组控制密钥管理服务器205通过运行TLS或DTLS协议,创建访问控制列表、组会话、密钥更新会话,所述方法包括:
在步骤501中,GCKS205和组员设备通过运行TLS或DTLS协议进行身份认证,协商创建初始会话;
包括GCKS205和组员设备分别同时运行第一传输层安全协议单元301和第二传输层安全协议单元401,通过运行handshake(握手)子协议进行身份认证和initiation session(初始会话)协商。
在步骤502中,GCKS205和组员设备通过运行rekying子协议(组密钥管理子协议)向所述组员设备分发所述组会话和密钥更新会话;
GCKS205和组员设备通过第一组密钥管理子协议单元303和第二组密钥管理子协议单元403运行rekeying子协议来分别控制会话分发单元302和会话接受单元402进行密钥分发;
在initiation session的保护下,会话接收单元402通过主动下载的方式从GCKS205上下载所述group session(组会话)和rekeying session(密钥更新会话)。
在步骤503中,当GCKS205检测到密钥更新事件时,GCKS205和组员设备通过运行rekeying子协议进行密钥更新。
参考图5a,图示了本发明的一种实现多方通信安全的方法的一个优选实施例中密钥更新的流程图。
在步骤S5031中,GCKS205利用密钥更新事件检测单元304检测密钥更新事件。其中,密钥更新事件包括密钥泄露和/或密钥到期和/或组员离开和/或新组员加入,且不限于上述密钥更新事件。
在步骤S5032中,GCKS205根据所述密钥更新事件判断是否需要进行密钥更新,如果需要密钥更新,则进入步骤S5033,否则,转到步骤S5031。
当密钥更新事件检测单元304检测到第四组员204离开,则GCKS205根据该密钥更新事件做出密钥更新的决定。
在步骤S5033中,GCKS205中的第一组密钥管理子协议单元303控制密钥自动更新单元305自动更新rekeying session和group session的密钥。
在步骤S5034中,GCKS205的第一组密钥管理子协议单元303和所有组员设备的第二组密钥管理子协议单元403通过运行rekeying子协议,分发更新后的所述会话。当密钥更新由GCKS205发起,在rekeying session的保护下,GCKS205利用会话分发单元302以推送的方式分发所述会话;当密钥更新由其中一个组员设备发起,在rekeying session的保护下,所有组员利用会话接收单元402以主动下载的方式从GCKS205上下载更新后的组会话和密钥更新会话。
当通信过程中,GCKS205检测到各种故障事件时,在初始会话的保护下,GCKS205的第一传输层安全协议单元301和所有组员设备的第二传输层安全协议单元401通过运行告警子协议交互相互的状态信息。
按照本发明提供的一种多方通信安全方法、系统及设备,是在原有TLS或DTLS协议的双方通信安全解决方案扩展改进的。参考图6,图示了本发明对TLS或DTLS改进后的协议模型。本方发明的技术方案只是在原TLS或DTLS协议的握手单元601中增添了组密钥管理子协议单元602,在记录层协议单元603中增添了组会话604和密钥更新会话605。TLS和DTLS是发展成熟的安全标准协议,该协议功能丰富,实际应用多,安全性已经过考验。基于它们构造多方通信安全系统,可以大量复用已有功能和设施,在原有部分设施上做改进,很容易地实现多方通信安全。
同时,在本发明的技术方案中组控制密钥管理服务器中增加了组密钥管理子协议单元和会话分发单元,在组员设备中增加了组密钥管理子协议单元和会话接收单元用来控制组会话的分发和密钥更新;组会话实现多方通信数据安全,包括加密、完整性保护、抗重放、源认证、组认证。因此,本发明将组密钥管理和数据安全统一设计,并且在应用程序空间中运行,可以很容易的与应用程序进行交互且,能提供标准的API接口供应用程序调用和控制其功能,从而本技术方案的可移植性好。
因此,本发明的技术方案很好地解决了现有MSEC协议族解决方案的可移植性差,可部署性低的缺点,并避免从头开发新的解决方案所具有的投入高、风险大的缺点。
以上所揭露的仅为本发明一种较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
Claims (14)
1.一种实现多方通信安全的方法,该方法包括:
步骤a:组控制密钥管理服务器和组员设备通过运行传输层安全协议或数据报传输层安全协议进行身份认证、协商创建初始会话;
步骤b:所述组控制密钥管理服务器和组员设备通过运行组密钥管理子协议,由所述组控制密钥管理服务器向所述组员设备分发组会话和密钥更新会话;
步骤c:所述组控制密钥管理服务器检测到密钥更新事件时,该组控制密钥管理服务器和所述组员设备通过运行组密钥管理子协议进行密钥更新。
2.按照权利要求1所述的方法,其特征在于,在步骤b中,所述分发组会话和密钥更新会话的方式是在初始会话的保护下以组员设备从所述组控制密钥管理服务器主动下载的方式分发。
3.按照权利要求1或2所述的方法,其特征在于,所述步骤c包括:
步骤c1:所述组控制密钥管理服务器检测密钥更新事件;
步骤c2:所述组控制密钥管理服务器根据所述密钥更新事件判断是否需要进行密钥更新,如果是,则进入步骤c3,否则,转到步骤c1;
步骤c3:所述组控制密钥管理服务器自动更新所述密钥更新会话和组会话的密钥;
步骤c4:所述组控制密钥管理服务器向所述组员设备分发更新后的组会话和密钥更新会话。
4.按照权利要求3所述的方法,其特征在于,在步骤c4中,分发所述更新后的组会话和密钥更新会话的方式是在密钥更新会话的保护下以组控制密钥管理服务器推送的方式分发或在密钥更新会话的保护下以组员设备从所述组控制密钥管理服务器主动下载的方式分发。
5.按照权利要求1所述的方法,其特征在于,还包括所述组控制密钥管理服务器检测到故障事件时,所述组控制密钥管理服务器和组员设备通过运行告警子协议在初始会话的保护下交互相互的状态信息。
6.一种多方通信安全系统,该系统包括至少一个组控制密钥管理服务器和与之相连接的至少两个组员设备,其特征在于,所述组控制密钥管理服务器包括:
第一传输层安全协议单元, 用于运行传输层安全协议或数据报传输层安全协议;
第一组密钥管理子协议单元,与所述第一传输层安全协议单元连接,在所述组控制密钥管理服务器中运行组密钥管理子协议;
会话分发单元,在第一组密钥管理子协议单元的控制下向组员设备分发组会话和密钥更新会话;
密钥更新单元,在第一组密钥管理子协议单元的控制下自动更新组会话和密钥更新会话的密钥。
7.按照权利要求6所述的系统,其特征在于,所述组员设备还包括:
第二传输层安全协议单元,用于运行传输层安全协议或数据报传输层安全协议;
第二组密钥管理子协议单元,分别与所述第二传输层安全协议单元连接,在所述组员设备中运行组密钥管理子协议;
会话接收单元,在第二组密钥管理自协议单元的控制下接收所述组控制密钥管理服务器分发的组会话和密钥更新会话。
8.按照权利要求7所述的系统,其特征在于,所述组控制密钥管理服务器还包括:
密钥更新事件检测单元,与所述第一组密钥管理子协议单元连接,用于检测多方通信过程中是否存在密钥更新事件。
9.按照权利要求6或7或8所述的系统,其特征在于,所述会话接收单元在初始会话的保护下从所述组控制密钥管理服务器以主动下载的方式接收初始的组会话和密钥更新会话。
10.按照权利要求9所述的系统,其特征在于,所述会话分发单元在密钥更新会话的保护下以推送的方式向所述组员设备分发更新后的组会话和密钥更新会话。
11.按照权利要求9所述的系统,其特征在于,所述会话接收单元在密钥更新会话的保护下以主动下载的方式接收更新后的组会话和密钥更新会话。
12.一种实现多方通信安全的组控制密钥管理服务器,其特征在于,该组控制密钥管理服务器包括:
第一传输层安全协议单元,用于运行传输层安全协议或数据报传输层安全协议:
第一组密钥管理子协议单元,与所述第一传输层安全协议单元连接,在所述组控制密钥管理服务器中运行组密钥管理子协议;
会话分发单元,在第一组密钥管理子协议单元的控制下向组员设备分发组会话和密钥更新会话;
密钥更新单元,在第一组密钥管理子协议单元的控制下自动更新组会话和密钥更新会话的密钥。
13.按照权利要求12所述的组控制密钥管理服务器,其特征在于,该组控制密钥管理服务器还包括:
密钥更新事件检测单元,与所述第一组密钥管理子协议单元连接,用于检测多方通信过程中是否存在密钥更新事件。
14.一种实现多方安全通信的组员设备,其特征在于,该组员设备包括:
第二传输层安全协议单元, 用于运行传输层安全协议或数据报传输层安全协议;
第二组密钥管理子协议单元,分别与所述第二传输层安全协议单元连接,在所述组员设备中运行组密钥管理子协议;
会话接收单元,在第二组密钥管理自协议单元的控制下接收所述组控制密钥管理服务器分发的组会话和密钥更新会话。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100370589A CN101127595B (zh) | 2006-08-15 | 2006-08-15 | 一种实现多方通信安全的方法、系统及设备 |
| EP07721262A EP2056521A4 (en) | 2006-08-15 | 2007-05-24 | METHOD, SYSTEM AND DEVICE FOR ACHIEVING COMMUNICATION SECURITY FOR SEVERAL PARTICIPANTS |
| CN2007800001854A CN101313511B (zh) | 2006-08-15 | 2007-05-24 | 一种实现多方通信安全的方法、系统及设备 |
| US11/917,080 US20090271612A1 (en) | 2006-08-15 | 2007-05-24 | Method, system and device for realizing multi-party communication security |
| PCT/CN2007/001689 WO2008022520A1 (fr) | 2006-08-15 | 2007-05-24 | Procédé, système et dispositif de sécurisation des communications entre plusieurs parties |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100370589A CN101127595B (zh) | 2006-08-15 | 2006-08-15 | 一种实现多方通信安全的方法、系统及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101127595A true CN101127595A (zh) | 2008-02-20 |
| CN101127595B CN101127595B (zh) | 2011-02-02 |
Family
ID=39095532
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006100370589A Expired - Fee Related CN101127595B (zh) | 2006-08-15 | 2006-08-15 | 一种实现多方通信安全的方法、系统及设备 |
| CN2007800001854A Expired - Fee Related CN101313511B (zh) | 2006-08-15 | 2007-05-24 | 一种实现多方通信安全的方法、系统及设备 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007800001854A Expired - Fee Related CN101313511B (zh) | 2006-08-15 | 2007-05-24 | 一种实现多方通信安全的方法、系统及设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20090271612A1 (zh) |
| EP (1) | EP2056521A4 (zh) |
| CN (2) | CN101127595B (zh) |
| WO (1) | WO2008022520A1 (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101313511B (zh) * | 2006-08-15 | 2011-02-09 | 华为技术有限公司 | 一种实现多方通信安全的方法、系统及设备 |
| CN101997677A (zh) * | 2009-08-18 | 2011-03-30 | 中兴通讯股份有限公司 | Ip多媒体子系统中会议媒体流密钥的管理方法与装置 |
| CN101710859B (zh) * | 2009-11-17 | 2014-02-12 | 深圳国微技术有限公司 | 一种认证密钥协商方法 |
| CN101997835B (zh) * | 2009-08-10 | 2014-02-19 | 北京多思科技发展有限公司 | 网络安全通讯方法、数据安全处理装置和用于金融的系统 |
| CN103985228A (zh) * | 2013-02-07 | 2014-08-13 | 霍尼韦尔国际公司 | 用来聚集多装置的控制的系统和方法 |
| CN105706411A (zh) * | 2013-06-25 | 2016-06-22 | 谷歌公司 | 用于IPv6协议的高效网络层 |
| CN112543100A (zh) * | 2020-11-27 | 2021-03-23 | 中国银联股份有限公司 | 一种动态密钥生成方法和系统 |
| CN113612612A (zh) * | 2021-09-30 | 2021-11-05 | 阿里云计算有限公司 | 一种数据加密传输方法、系统、设备及存储介质 |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8429400B2 (en) * | 2007-06-21 | 2013-04-23 | Cisco Technology, Inc. | VPN processing via service insertion architecture |
| CN101370004A (zh) * | 2007-08-16 | 2009-02-18 | 华为技术有限公司 | 一种组播会话安全策略的分发方法及组播装置 |
| US8401195B2 (en) * | 2008-09-22 | 2013-03-19 | Motorola Solutions, Inc. | Method of automatically populating a list of managed secure communications group members |
| US9294270B2 (en) * | 2010-01-05 | 2016-03-22 | Cisco Technology, Inc. | Detection of stale encryption policy by group members |
| CN103269276B (zh) * | 2013-05-22 | 2016-03-16 | 杭州华三通信技术有限公司 | 一种实现组成员设备通信的方法和设备 |
| JP6850530B2 (ja) * | 2014-10-20 | 2021-03-31 | タタ コンサルタンシー サービシズ リミテッドTATA Consultancy Services Limited | セキュアセッションの確立と暗号化データ交換のためのコンピュータ利用システム及びコンピュータ利用方法 |
| TWI556618B (zh) * | 2015-01-16 | 2016-11-01 | Univ Nat Kaohsiung 1St Univ Sc | Network Group Authentication System and Method |
| US9591479B1 (en) | 2016-04-14 | 2017-03-07 | Wickr Inc. | Secure telecommunications |
| US10341100B2 (en) * | 2017-01-06 | 2019-07-02 | Microsoft Technology Licensing, Llc | Partially encrypted conversations via keys on member change |
| US10320842B1 (en) | 2017-03-24 | 2019-06-11 | Symantec Corporation | Securely sharing a transport layer security session with one or more trusted devices |
| GB201710168D0 (en) | 2017-06-26 | 2017-08-09 | Microsoft Technology Licensing Llc | Introducing middleboxes into secure communications between a client and a sever |
| US10855440B1 (en) | 2017-11-08 | 2020-12-01 | Wickr Inc. | Generating new encryption keys during a secure communication session |
| US10541814B2 (en) * | 2017-11-08 | 2020-01-21 | Wickr Inc. | End-to-end encryption during a secure communication session |
| US10778432B2 (en) | 2017-11-08 | 2020-09-15 | Wickr Inc. | End-to-end encryption during a secure communication session |
| US11101999B2 (en) | 2017-11-08 | 2021-08-24 | Amazon Technologies, Inc. | Two-way handshake for key establishment for secure communications |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6049878A (en) * | 1998-01-20 | 2000-04-11 | Sun Microsystems, Inc. | Efficient, secure multicasting with global knowledge |
| US6038322A (en) * | 1998-10-20 | 2000-03-14 | Cisco Technology, Inc. | Group key distribution |
| US7089211B1 (en) * | 2000-01-12 | 2006-08-08 | Cisco Technology, Inc. | Directory enabled secure multicast group communications |
| US7412058B2 (en) * | 2003-03-18 | 2008-08-12 | Delphi Technologies, Inc. | Digital receiver and method for receiving secure group data |
| US7774411B2 (en) * | 2003-12-12 | 2010-08-10 | Wisys Technology Foundation, Inc. | Secure electronic message transport protocol |
| US20050129236A1 (en) * | 2003-12-15 | 2005-06-16 | Nokia, Inc. | Apparatus and method for data source authentication for multicast security |
| CN100591005C (zh) * | 2004-01-17 | 2010-02-17 | 神州亿品科技有限公司 | 无线局域网中组密钥的协商及更新方法 |
| KR100657273B1 (ko) * | 2004-08-05 | 2006-12-14 | 삼성전자주식회사 | 비밀 그룹에서 구성원 가입에 따른 그룹키 갱신 방법 및이를 이용한 비밀 그룹 통신 시스템 |
| US7676679B2 (en) * | 2005-02-15 | 2010-03-09 | Cisco Technology, Inc. | Method for self-synchronizing time between communicating networked systems using timestamps |
| CN101127595B (zh) * | 2006-08-15 | 2011-02-02 | 华为技术有限公司 | 一种实现多方通信安全的方法、系统及设备 |
-
2006
- 2006-08-15 CN CN2006100370589A patent/CN101127595B/zh not_active Expired - Fee Related
-
2007
- 2007-05-24 US US11/917,080 patent/US20090271612A1/en not_active Abandoned
- 2007-05-24 EP EP07721262A patent/EP2056521A4/en not_active Withdrawn
- 2007-05-24 WO PCT/CN2007/001689 patent/WO2008022520A1/zh active Application Filing
- 2007-05-24 CN CN2007800001854A patent/CN101313511B/zh not_active Expired - Fee Related
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101313511B (zh) * | 2006-08-15 | 2011-02-09 | 华为技术有限公司 | 一种实现多方通信安全的方法、系统及设备 |
| CN101997835B (zh) * | 2009-08-10 | 2014-02-19 | 北京多思科技发展有限公司 | 网络安全通讯方法、数据安全处理装置和用于金融的系统 |
| CN101997677A (zh) * | 2009-08-18 | 2011-03-30 | 中兴通讯股份有限公司 | Ip多媒体子系统中会议媒体流密钥的管理方法与装置 |
| CN101710859B (zh) * | 2009-11-17 | 2014-02-12 | 深圳国微技术有限公司 | 一种认证密钥协商方法 |
| CN103985228A (zh) * | 2013-02-07 | 2014-08-13 | 霍尼韦尔国际公司 | 用来聚集多装置的控制的系统和方法 |
| US10009353B2 (en) | 2013-02-07 | 2018-06-26 | Honeywell International Inc. | System and method to aggregate control of multiple devices via multicast messages and automatic set up of connections |
| CN103985228B (zh) * | 2013-02-07 | 2019-07-12 | 霍尼韦尔国际公司 | 用来聚集多装置的控制的系统和方法 |
| CN105706411A (zh) * | 2013-06-25 | 2016-06-22 | 谷歌公司 | 用于IPv6协议的高效网络层 |
| CN105706411B (zh) * | 2013-06-25 | 2019-02-12 | 谷歌有限责任公司 | 用于IPv6协议的高效网络层 |
| CN112543100A (zh) * | 2020-11-27 | 2021-03-23 | 中国银联股份有限公司 | 一种动态密钥生成方法和系统 |
| WO2022110968A1 (zh) * | 2020-11-27 | 2022-06-02 | 中国银联股份有限公司 | 一种动态密钥生成方法和系统 |
| CN113612612A (zh) * | 2021-09-30 | 2021-11-05 | 阿里云计算有限公司 | 一种数据加密传输方法、系统、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101313511A (zh) | 2008-11-26 |
| EP2056521A4 (en) | 2010-01-13 |
| WO2008022520A1 (fr) | 2008-02-28 |
| EP2056521A1 (en) | 2009-05-06 |
| CN101127595B (zh) | 2011-02-02 |
| US20090271612A1 (en) | 2009-10-29 |
| CN101313511B (zh) | 2011-02-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101127595B (zh) | 一种实现多方通信安全的方法、系统及设备 | |
| CN101106449B (zh) | 实现多方通信安全的系统和方法 | |
| US9560025B2 (en) | Apparatus and method for secure delivery of data from a communication device | |
| CN104780069B (zh) | 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统 | |
| US20150319151A1 (en) | Apparatus and method for secure delivery of data utilizing encryption key management | |
| CN106888206B (zh) | 密钥交换方法、装置及系统 | |
| CN105393564A (zh) | 使用附件协议经由无线传输来在主机和附件设备之间进行通信 | |
| CN102546329B (zh) | 同轴电缆多媒体联盟设备按钮配置的方法和系统 | |
| CN109413194B (zh) | 用于移动通信系统的用户信息云端协同处理及转移方法 | |
| JP6088522B2 (ja) | グループメンバーによるグループ秘密の管理 | |
| US20120237033A1 (en) | Node, a root node, and a computer readable medium | |
| CN115632779B (zh) | 一种基于配电网的量子加密通信方法及系统 | |
| CN111835997B (zh) | 基于量子密钥加密的云视频会议系统及其加解密方法 | |
| CN101810017A (zh) | 下一代移动网络中的选择性的安全性终止 | |
| CN104205898A (zh) | 用于m2m环境中基于群组的服务引导的方法和系统 | |
| JP2016519873A (ja) | 汎用ブートストラッピングアーキテクチャを用いてセキュアな音声通信を確立する方法 | |
| CN105306483A (zh) | 一种安全快速的匿名网络通信方法及系统 | |
| CN110224822A (zh) | 一种密钥协商方法及系统 | |
| CN110808834A (zh) | 量子密钥分发方法和量子密钥分发系统 | |
| CN114338618A (zh) | 多方通话的方法、系统、会议服务器以及电子设备 | |
| CN103888940A (zh) | 多级加密与认证的wia-pa网络手持设备的通讯方法 | |
| CN106452752A (zh) | 修改密码的方法、系统及客户端、服务器和智能设备 | |
| CN104917750B (zh) | 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统 | |
| JP4239802B2 (ja) | マルチキャスト送信方法 | |
| KR101067720B1 (ko) | 공개키 암호 알고리즘 및 그룹키를 이용한 통신 장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110202 Termination date: 20150815 |
|
| EXPY | Termination of patent right or utility model |