CN101136741A - 组播密钥管理方法及用于组播密钥管理的中心节点 - Google Patents

Abstract

一种组播密钥管理方法及用于组播密钥管理的中心节点，包括：中心节点构建一组播组密钥链；中心节点通过与各个组成员间的安全通道将组播组密钥链的构成参数发送各个组成员；中心节点利用组播组密钥链构建组播消息，并通过公开通道将组播消息发送至各个组成员；各个组成员根据安全通道接收的组播组密钥链参数对组播消息进行解密认证，若组播消息认证通过，各组成员保存接收的组播消息；若组播消息认证失败，各组成员丢弃接收的组播消息。本发明不仅保证了组播通信的前向安全性和后向安全性，还能有效地验证群组内部的消息来源。

Description

组播密钥管理方法及用于组播密钥管理的中心节点

技术领域

本发明涉及通信技术，特别涉及无线局域网密钥管理技术，具体的讲是一种组播密钥管理方法及用于组播密钥管理的中心节点。

背景技术

IEEE的802.11工作组在近几年已经制定了详细的关于WLAN的通讯机制的标准。随着2004年的802.11i标准的正式提出，充分解决了WALN中存在的大部分安全问题，同时也提出了一套完整的安全解决方案。但是随着WLAN的进一步普及应用，不断地出现更多的安全需求，比如：关于WLAN中管理帧的安全保护和快速切换中的安全保护等。本文主要针对WLAN中的管理帧的安全保护进行研究。

随着基于群组通信业务的大量涌现，如网络游戏、视频会议、卫星通信等，其安全性要求也在日益提高。为了防止组通信被非授权用户访问，所有群组内成员必须共享一个组密钥，所有的群组通信都是通过这个组密钥加密的。为了确保群组通信的安全，群组通信的基本要求是：(1)前向安全性，即一个新加入的成员不能访问以前的通信；(2)后向安全性，即一个离开的成员不能访问目前的通信。即，群组成员发生变动时，组通信密钥必须改变。

同时，在群组通信中还需要对消息源进行验证。然而，群组密钥只能有效地验证来自群组外的恶意消息，但是对于群组内部的消息来源却无法区分。虽然可以利用非对称密码学技术实现群组消息的消息源认证和机密性保护，但是该技术计算开销大，在现实方案中无法有效应用。

近期出现一种关于WLAN中管理广播帧的保护机制，主要针对WLAN中的Deauthentication和Deassociation两个管理帧的消息源认证，通过采用两级hash链的方式，为广播帧提供不同级别认证保护。这种机制为WLAN的管理帧提供了一种增强的保护措施，防止因内部STA的欺骗攻击造成受攻击的STA与关联的接入点(AP：Access Point)失去连接。其核心思想是接入点提前分发认证数据，当广播管理帧Deauthentication和Deassociation到达STA后，首先验证该帧的消息源的合法性，然后验证该帧的完整性，当验证都合法后，STA才对该帧做接收处理。但，该方法只针对管理帧Deauthentication和Deassociation的认证提出了保护，机密性保护仍然采用IEEE802.11i所提供的GTK来完成。给原有的WLAN安全机制增加了较大的系统开销，不适合资源受限的STA的应用。

此外，WLAN中广播管理帧的安全认证保护，现有技术中存在一种基于TESLA改进思想的保护机制，用于WLAN中广播管理帧的安全认证保护。其核心思想也是为WLAN中的广播管理帧增加一种认证保护密钥的产生与分发机制，并改进了TESLA思想中的延时验证特性，实现了实时验证广播帧的安全性。但是该机制虽为WLAN的广播帧提供了增强的保护机制，能够抵抗来自内部STA节点的伪造消息攻击，但是机密性保护仍然采用原有的IEEE802.11i的GTK来完成，同样会增加了系统负荷开销。

发明内容

为解决现有技术中的上述问题，本发明提供了一种组播密钥管理方法及用于组播密钥管理的中心节点，通过基于对称密码学方法和方程不可解思想的组播密钥管理方法，有效的解决当前WLAN中存在的广播帧的安全隐患。

为实现上述发明目的，本发明提供了：一种组播密钥管理方法，其中，包括：中心节点构建一组播组密钥链；中心节点通过与各个组成员间的安全通道将密钥链构成参数发送各个组成员；中心节点利用密钥链构建组播消息，并通过公开通讨将组播消息发送至各个组成员；各个组成员根据安全通道接收的密钥链参数对组播消息进行解密认证，若组播消息认证通过，各组成员保存接收的组播消息；若组播消息认证失败，各组成员丢弃接收的组播消息。

本发明还提供了：一种用于组播密钥管理的中心节点，其中，包括：组播消息处理单元、随机数生成器、群组管理单元、密钥链管理单元、密钥链存储单元、密码算法单元、单播消息处理单元；群组管理单元，管理和构建群组，并监视加入/离开群组的组成员；组播消息处理单元，根据密钥链管理单元传送的六元组密钥链构建组播消息并组播至各组成员；单播消息管理单元，协商群组初始化时的的单播安全通道；并在分配新密钥链和新的组成员加入群组时，利用单播安全通道分配密钥链参数；随机数生成器，用于生成密钥链所需的n个四元组的随机数；密钥链存储单元，存储预置素数及六元组密钥链；密码算法单元，根据预置素数构建六元组密钥链，并对组播消息进行加解密和认证操作；密钥链管理单元，从密钥链存储单元中选择和调度密码参数，并转发给密码算法单元；读取密码算法单元构建的六元组密钥并送入密钥链存储单元；以及，从密钥链存储单元读取当前六元组密钥链参数至单播消息管理单元；以及，从密钥链存储单元读取新六元组密钥链并传送至组播消息处理单元。

本发明的有益效果在于，提供了一种消耗系统资源较小的新的组播密钥管理方法及用于组播密钥管理的中心节点，不仅保证了组播通信的前向安全性和后向安全性，还能有效地验证群组内部的消息来源。

附图说明

图1所示为无线局域网的基本服务模式的示意图；

图2为图1中的中心节点一实施例内部的系统功能模块图；

图3为图1中接入点构建组播组密钥链和发送组播消息的实施例的流程图；

图4为图1中组成员接收组播消息的实施例的流程图。

具体实施方式

本发明提供的组播密钥管理方法，是一种基于方程不可解思想的组密钥管理方案(GKMUE：Group Key Management and Unsolved Equation)，将基于方程不可解思想的安全模型应用于组播，以有效地实现组播消息的认证和加密问题。

下面我们将建立一个典型的具有中心节点的组播场景。在这个场景中，有一个或者少数几个具有较强能力的组播消息发送者。大多数的组成员是消息的接收者，他们的计算资源和存储能力都有限。中心节点产生安全保护所需要的密钥链，并通过安全通道将密钥链的部分密钥材料分别发送给每个成员节点。然后成员节点利用密钥链逐步更新来实现中心节点的组播消息的解密和认证。这种具有中心节点的应用场景，如IEEE802.16、WCDMA和CDMA2000，都可以应用本方案实现高效、安全的组播消息保护。

而密码学中的门限思想利用了“关于方程组不可解的问题”数学原理，即，一个t次的方程f(x)＝a_t-1x^t+…+a₀x，如果想要求解方程的系数a₀，…，a_t-1，至少需要t组(x_i，f(x_i))值，其中i∈0，…，t-1。当少于t组参数时，方程f(x)＝a_t-1x^t+…+a₀x是无法确定其系数a₀，…，a_t-1的值。

以下通过附图及实施例详细说明本发明基于对称密码学方法和方程不可解思想的组播密钥管理方法的实施过程：

如图1、图2、图3所示，在图1中的WLAN的BSS模式中，接入点(AP)作为一个中心节点，与接入的每一个STA进行通信。当部分STA构成一个组播通信组时，AP作为一个中心节点，可以对该组的安全进行有效地管理。

AP的群组管理单元，监视动态加入/退出群组的组成员，组密钥的建立，以及组密钥的适时更新等。

当STA通过安全认证接入AP时，STA与AP利用单播消息管理单元协商一个双方会话密钥PTK(Pairwise Transient Key)，然后利用这个PTK保护的安全通道进行组播密钥链的链头初始参数的发送。

AP的密钥链管理单元读取密钥链存储单元中存储的一个大的素数，并将该素数传送至随机数生成单元，随机数生成单元根据在[0，p-1]之间随机选择n组四元组(a_1i，a_2i，x_1i，x_2i)，其中i＝0，...，n-1，n要远远小于p(n<<p)。然后将生成的n组四元组(a_1i，a_2i，x_1i，x_2i)和大素数p转发给密码算法单元。

密码算法单元建立方程f(x)＝a₁x²+a₂x(mod p)，并将选定的n个四元组分别代入到方程中，计算出n组结果(f(x_1i)，f(x_2i))。将n个四元组(a_1i，a_2i，x_1i，x_2i)与n组(f(x_1i)，f(x_2i))构成新的六元组密钥链(a_1i，a_2i，x_1i，x_2i，f(x_1i)，f(x_2i))其中i＝0，...，n-1。AP的密钥链管理单元读取密码算法单元生成的六元组密钥链，并发送给密钥链存储单元，由密钥链存储单元存储密码算法单元生成的六元组密钥链。

AP的密钥链管理单元在密钥链存储单元存储的n组六元组密钥链(a_1i，a_2i，x_1i，x_2i，f(x_1i)，f(x_2i))中，选择第一组六元组密钥链(a₁₀，a₂₀，x₁₀，x₂₀，f(x₁₀)，f(x₂₀))并发送至组播消息处理单元，组播消息处理单元根据密钥链管理单元传送的六元组密钥链构建组播消息，同时AP的密钥链管理单元将该组六元组密钥链中的密钥链参数(x₁₀，f(x₂₀))和素数发送至单播消息管理单元，由单播消息管理单元通过通过安全通道，即单播消息管理单元协商的单播密钥PTK，单播发送至各STA。本实施例中，x₁₀，f(x₂₀)为第1条组播消息的密钥的计算参数，是AP与该STA的组播密钥链的链头初始参数。

AP的组播消息管理单元利用密钥链管理单元传送的前后两个六元组的密钥链参数，调用密码算法单元对组播消息进行加密和验证码的计算，并构建组播消息。组播消息的构成为E_S(M_i|x_1(i+1)|f(x_2(i+1)))|x_2i|f(x_1i)|MAC_1i|MAC_2i。其中：

消息体E_S(M_i)，组播消息的加密后的形式；

密钥参数x_2i，f(x_1i)，为接收方计算消息M_i的认证密钥S；

密钥参数x_1(i+1)，f(x_2(i+1))，为下一条组播消息的密钥的计算参数；

密钥参数验证码MAC_1i，MAC_1i＝HASH(S，x_2i|f(x_1i))；

消息验证码MAC_2i，MAC_2i＝HASH(S，E_S(M_i|x_1(i+1)|f(x_2(i+1)))|x_2i|f(x_1i))。

如图4所示，STA根据已经安全接收的密钥链参数(x_1i，f(x_2i))及素数p，对组播消息进行解密认证；当i等于0时，采用安全通道传递的链头密钥参数，当i大于0时，采用上一条接收的组播消息安全携带的密钥参数。STA从接收的组播消息中获得用于当前消息M_i的密钥参数x_2i，f(x_1i)；并根据安全通道接收的密钥链参数(x_i，f(x_i))，及素数p，利用公式 $a_{1i}=\frac{x_{1i}f\left(x_{2i}\right)-x_{2i}f\left(x_{1i}\right)}{x_{1i}{x}_{2i}^2-x_{1i}^2{x}_{2i}}\begin{array}{cc}(\mathrm{mod}& p)\end{array}$ 计算a_1i，设S′为a_1i。

将S′作为密钥，计算MAC′_1i＝HASH(S′，x_2i|f(x_1i))，验证MAC′_1i与接收到的组播消息中的MAC_1i是否相同；若MAC′_1i与MAC_1i不同，STA丢弃接收的组播消息，若MAC′_1i与MAC_1i相同，STA继续执行解密认证；STA在将S′作为密钥，利用公式MAC′_2i＝HASH(S′，E_S(M_i|x_1(i+1)|f(x_2(i+1)))|x_2i|f(x_1i))计算MAC_2i′，验证MAC_2i′与接收的组播消息中的MAC_2i是否相同，如果MAC′_2i与MAC_2i不同，则丢弃接收的组播消息，若MAC′_2i与MAC_2i相同，STA则接收组播消息，并保存组播消息中的x_1(i+1)，f(x_2(i+1))作为下一条组播消息的密钥参数。

当新STA申请加入，AP的群组管理单元通知密钥链管理单元新组成员加入，密钥链管理单元控制单播消息管理单元利用单播安全通道，将要发送的消息的密钥参数，即已发送的组播消息中的x_1(i+1)，f(x_2(i+1))及素数p单播发送给新加入的STA。新加入的STA将密钥参数保存，并作为后续组播消息的密钥链的起始参数。这样就使新的组成员动态地加入到组播密钥链中了。

当有STA需要退出组播时，AP的群组管理单元检测到组成员的离开后，密钥链管理单元从密钥链存储单元中读取新的六元组密钥链，不再使用已退出的STA拥有的密钥参数。关于新的参数的选择，可以是构建新的密钥链或者选择当前的密钥链后续没有发送过的密钥参数。然后，AP的单播消息管理单元重新利用与每个STA间的安全通道分发新的密钥参数作为密钥链的起始参数。这样，离开的STA就无法获得新的密钥参数，从而也就无法从后续的组播消息的密钥链中获得密钥信息。

例如，AP向各STA发送第一条组播消息时，AP先通过初始密钥单播的安全通道将链头初始参数x₁₀，f(x₂₀)以及素数p发送至各STA。

链头初始参数x₁₀，f(x₂₀)为各STA接收的第1条组播消息的密钥的计算参数。AP利用六元组(a₁₀，a₂₀，x₁₀，x₂₀，f(x₁₀)，f(x₂₀))的密钥链参数对组播消息进行加密和认证以构建组播消息。组播消息的构成为E_S(M₀|x₁₁|f(x₂₁))|x₂₀|f(x₁₀)|MAC₁₀|MAC₂₀。其中：

消息体E_S(M₀)，为第1条组播消息的加密后的形式；

密钥参数x₂₀，f(x₁₀)，为接收方计算消息M₀的认证密钥S；

密钥参数x₁₁，f(x₂₁)，为第2条组播消息的密钥的计算参数；

密钥参数验证码MAC₁₀，MAC₁₀＝HASH(S，x₂₀|f(x₁₀))；

消息验证码MAC₂₀，MAC₂₀＝HASH(S，E_S(M₀|x₁₁|f(x₂₁))|x₂₀|f(x₁₀))。

STA根据已经安全接收的密钥链参数x₁₀，f(x₂₀)及素数p，对组播消息进行解密认证，利用公式 $a_{10}=\frac{x_{10}f\left(x_{20}\right)-x_{20}f\left(x_{10}\right)}{x_{10}{x}_{20}^2-x_{10}^2{x}_{20}}\begin{array}{cc}(\mathrm{mod}& p)\end{array}$ 计算a₁₀，设S′为a₁₀。

将S作为密钥，计算MAC′¹⁰＝HASH(S′，x₂₀|f(x₁₀))，验证MAC₁₀′与接收到的组播消息中的MAC₁₀是否相同；若MAC′₁₀与MAC₁₀不同，STA丢弃接收的第一条组播消息，若MAC′₁₀。与MAC₁₀相同，STA继续执行解密认证；STA在将S′作为密钥，利用公式MAC′₂₀＝HASH(S′，E_S(M₀|x₁₁|f(x₂₁))|x₂₀|f(x₁₀))计算MAC₂₀′，验证MAC₂₀′与接收的组播消息中的MAC₂₀是否相同，如果MAC′₂₀与MAC₂₀不同，则丢弃接收的组播消息，若MAC′₂₀与MAC₂₀相同；STA则接收组播消息消息，并保存组播消息中的x₁₁，f(x₂₁)作为下一条组播消息的密钥参数。

当新的STA申请加入组播组，那么AP的群组管理单元通知密钥链管理单元新的组成员加入，密钥链管理单元通知单播消息管理单元将读取的六元组密钥链利用安全通道PTK，将下一条将要发送组播消息的密钥计算参数x₁₁，f(x₂₁)及素数p发送给新加入的STA。新加入的STA将密钥计算参数保存，并作为接收后续组播消息的密钥链的起始参数。

当有STA需要退出组播时，AP检测到组成员的离开后，AP将密钥链中i＝3的六元组(a₁₃，a₂₃，x₁₃，x₂₃，f(x₁₃)，f(x₂₃))中的x₁₃，f(x₂₃)发送给各STA，作为计算下一条接收的组播消息的密钥计算参数。

本发明提供了一种消耗系统资源较小的新的组播密钥管理方法及用于组播密钥管理的中心节点，不仅保证了组播通信的前向安全性和后向安全性，还能有效地验证群组内部的消息来源。

Claims (16)

1.一种组播密钥管理方法，其特征在于，包括：

中心节点构建一组播组密钥链；

中心节点通过与各个组成员间的安全通道将组播组密钥链的构成参数发送各个组成员；

中心节点利用组播组密钥链构建组播消息，并通过公开通道将组播消息发送至各个组成员；

各个组成员根据安全通道接收的组播组密钥链参数对组播消息进行解密认证，若组播消息认证通过，各组成员保存接收的组播消息；若组播消息认证失败，各组成员丢弃接收的组播消息。

2.根据权利要求1所述的方法，其特征在于，组播消息携带有密钥参数，该密钥参数为下一条组播消息的密钥的计算参数。

3.根据权利要求1所述的方法，其特征在于，中心节点构建组播组密钥链包括以下步骤：

选择一个大的素数p，随机选择0到p-1间的n组四元组(a_1i，a_2i，x_1i，x_2i)，其中，i＝0，...，n-1，n＜＜p；

根据四元组及素数p建立方程f(x)＝a₁x²+a₂x(mod p)；

根据n组四元组、素数p及方程f(x)＝a₁x²+a₂x(mod p)计算n组(f(x_1i)，f(x_2i))；

利用n组四元组(a_1i，a_2i，x_1i，x_2i)与n组(f(x_1i)，f(x_2i))构成新的六元组(a_1i，a_2i，x_1i，x_2i，f(x_1i)，f(x_2i))，其中，i＝0，...，n-1。

4.根据权利要求1所述的方法，其特征在于，中心节点通过安全通道发送给各个组成员的组播组密钥链构成参数包括：中心节点从六元组(a_1i，a_2i，x_1i，x_2i，f(x_1i)，f(x_2i))中选择的(x_1i，f(x_2i))，及素数p；

其中x_1i，f(x_2i)为组播消息的密钥的计算参数。

5.根据权利要求4所述的方法，其特征在于，中心节点构建的组播消息包括：

消息体E_S(M_i)，组播消息的加密后的形式；

密钥参数x_2i，f(x_1i)，接收方计算组播消息M_i的密钥S；

密钥参数x_1(i+1)，f(x_2(i+1))，下一条组播消息的密钥的计算参数；

密钥参数验证码MAC_1i，MAC_1i＝HASH(S，x_2i|f(x_1i))；

消息验证码MAC_2i，MAC_2i＝HASH(S，E_S(M_i|x_1(i+1)|f(x_2(i+1)))|x_2i|f(x_1i))；

组播消息的构成为E_S(M_i|x_1(i+1)|f(x_2(i+1)))|x_2i|f(x_1i)|MAC_1i|MAC_2i。

6.根据权利要求5所述的方法，其特征在于，各组成员根据安全通道接收的密钥链参数(x_1i，f(x_2i))，及素数p对组播消息进行解密认证，包括：

组成员从组播消息中获得用于当前消息M_i的密钥参数x_2i，f(x_1i)，计算接收方解密验证组播消息的校验密钥S′；

利用校验密钥S′计算校验密钥参数验证码MAC_1i′；

组成员验证校验密钥参数验证码MAC_1i′与接收到的组播消息消息中的MAC_1i是否相同；

若MAC_1i′与MAC_1i不同，组成员丢弃接收的组播消息；

若MAC_1i′与MAC_1i相同，各组成员根据校验密钥S′计算校验消息验证码MAC_2i′；

各组成员验证校验消息验证码MAC_2i′与接收的组播消息中的MAC_2i是否相同，如果MAC_2i′与MAC_2i不同，则丢弃消息；

若MAC_2i′与MAC_2i相同，各组成员用校验密钥S′获得消息M_i和密钥参数x_1(i+1)，f(x_2(i+1))，并保存x_1(i+1)，f(x_2(i+1))作为下一条组播消息的密钥参数。

7.根据权利要求6所述的方法，其特征在于，各组成员根据公式 $a_{1i}=\frac{x_{1i}f\left(x_{2i}\right)-x_{2i}f\left(x_{1i}\right)}{x_{1i}{x}_{2i}^2-x_{1i}^2{x}_{2i}}\left(\mathrm{mod}p\right)$ 计算a_1i，设校验密钥S′为a_1i。

8.根据权利要求6所述的方法，其特征在于，各组成员根据公式MAC_1i′＝HASH(S′，x_2i|f(x_1i))，计算校验密钥参数验证码MAC_1i′。

9.根据权利要求6所述的方法，其特征在于，各组成员根据公式MAC_2i′＝HASH(S′，E_S(M_i|x_1(i+1)|f(x_2(i+1)))|x_2i|f_(x1i))，计算校验消息验证码MAC_2i′。

10.根据权利要求9所述的方法，其特征在于，各组成员根据校验密钥S′，解密接收的组播消息中的E_S(M_i|x_1(i+1)|f(x_2(i+1)))，以获得消息M_i和密钥参数x_1(i+1)，f(x_2(i+1))。

11.根据权利要求6所述的方法，其特征在于，i＝0时，六元组(a_1i，a_2i，x_1i，x_2i，f(x_1i)，f(x_2i))中的(x₁，f(x_2i))为密钥链的链头初始参数。

12.根据权利要求7所述的方法，其特征在于，中心节点接到新的组成员请求加入组播组的请求时，中心节点通过安全通道，将当前将要发送组播消息的密钥计算参数x_1(i+1)，f(x_2(i+1))以及素数p发送至新的组成员；

x_1(i+1)，ff(x_2(i+1))为新的组成员接收的第一条组播消息的密钥的计算参数。

13.根据权利要求11或12所述的方法，其特征在于，中心节点检测到组成员离开组播组时，中心节点在当前密钥链的后续密钥链中选择新的未使用过的六元组中的(x_1i，f(x_2i))作为组播消息的密钥的计算参数，并通过安全通道发送至各组成员。

14.根据权利要求11或12所述的方法，其特征在于，中心节点检测到组成员离开组播组时，中心节点构建新的组播组密钥链，通过安全通道将新组播组密钥链的链头初始参数和素数p发送给组成员。

15.一种用于组播密钥管理的中心节点，其特征在于，包括：组播消息处理单元、随机数生成器、群组管理单元、密钥链管理单元、密钥链存储单元、密码算法单元、单播消息处理单元；

群组管理单元，管理和构建群组，并监视加入/离开群组的组成员；

组播消息处理单元，根据密钥链管理单元传送的六元组密钥链构建组播消息并组播至各组成员；

单播消息管理单元，协商群组初始化时的的单播安全通道；并利用单播安全通道分配六元组密钥链计算参数；

随机数生成器，用于生成密钥链所需的n个四元组的随机数；

密钥链存储单元，存储预置素数及六元组密钥链；

密码算法单元，根据预置素数构建六元组密钥链，并对组播消息进行加解密和认证操作；

密钥链管理单元，从密钥链存储单元中选择和调度六元组密钥链参数，并转发给密码算法单元；读取密码算法单元构建的六元组密钥并送入密钥链存储单元；从密钥链存储单元读取当前六元组密钥链计算参数至单播消息管理单元；以及，从密钥链存储单元读取新六元组密钥链并传送至组播消息处理单元。

16.根据权利要求15所述的用于组播密钥管理的中心节点，其特征在于，密码算法单元构建六元组密钥链包括以下步骤：

随机选择0到p-1间n组四元(a_1i，a_2i，x_1i，x_2i)，其中，i＝0，...，n-1，n＜＜p；

根据n组四元组、素数p计算n组(f(x_1i)，f(x_2i))；

根据n组四元组(a_1i，a_2i，x_1i，x_2i)与n组(f(x_1i)，f(x_2i))构成新的六元组(a_1i，a_2i，x_1i，x_2i，f(x_1i)，f(x_2i))，其中，i＝0，...，n-1。

Images