CN102487502A - 一种集群通信安全方法 - Google Patents
一种集群通信安全方法 Download PDFInfo
- Publication number
- CN102487502A CN102487502A CN2010105689281A CN201010568928A CN102487502A CN 102487502 A CN102487502 A CN 102487502A CN 2010105689281 A CN2010105689281 A CN 2010105689281A CN 201010568928 A CN201010568928 A CN 201010568928A CN 102487502 A CN102487502 A CN 102487502A
- Authority
- CN
- China
- Prior art keywords
- communication
- cluster
- safety
- user
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明公开了一种用于集群安全通信方法,用来保护集群内部和集群间的敏感数据和通信中的交互信息。该方法包括两层安全通信方法:一是集群间安全通信算法,以消除集群间的安全通信和通信效率问题。采取提取集群用户私钥,用户ID进行算法认证,在保证通信安全的前提下提高通信效率;二是集群内部安全通信,以消除集群内部通信安全和通信效率问题。采取提取群密钥,进行集群内部安全通信。能够集群内部通信实施有效监控。综合上述两层安全通信方法的集群通信具有显著的社会和经济效益。
Description
技术领域
本发明涉及一种集群通信安全方法,特别涉及一种通信的安全性和效率性问题。该方法涉及到密钥生成方法以及密钥分发机制,同时利用计算机相关算法机制保证通信安全和效率。
背景技术
集群通信系统是一种用于集团调度指挥通信的移动通信系统,主要应用在专业移动通信领域。该系统具有的可用信道可为系统的全体用户共用,具有自动选择信道功能,它是共享资源、分担费用、共用信道设备及服务的多用途、高效能的无线调度通信系统。计算机集群简称集群,是一种计算机系统,它通过一组松散集成的计算机软件和/或硬件连接起来高度紧密地协作完成计算工作。在某种意义上,他们可以被看作是一台计算机。集群系统中的单个计算机通常称为节点,通常通过局域网连接,但也有其它的可能连接方式。集群计算机通常用来改进单个计算机的计算速度和/或可靠性。一般情况下集群计算机比单个计算机,比如工作站或超级计算机性能价格比要高得多。
因此集群通信安全和效率成为影响集群性能关键和难点。
由于传统的集群通信安全问题主要是依靠加密解密技术来保证。加密技术包括两个元素:算法和密钥。算法是将普通的文本(或者可以理解的信息)与一窜数字(密钥)的结合,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解码的一种算法。在安全保密中,可通过适当的密钥加密技术和管理机制来保证网络的信息通讯安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地,对数据加密的技术分为两类,即对称加密(私人密钥加密)和非对称加密(公开密钥加密)。对称加密以数据加密标准(DES,DataEncryption Standard)算法为典型代表,非对称加密通常以RSA(Rivest Shamir Adleman)算法为代表。对称加密的加密密钥和解密密钥相同,而非对称加密的加密密钥和解密密钥不同,加密密钥可以公开而解密密钥需要保密。
对称加密采用了对称密码编码技术,它的特点是文件加密和解密使用相同的密钥,即加密密钥也可以用作解密密钥,这种方法在密码学中叫做对称加密算法,对称加密算法使用起来简单快捷,密钥较短,且破译困难,除了数据加密标准(DES),另一个对称密钥加密系统是国际数据加密算法(IDEA),它比DNS的加密性好,而且对计算机功能要求也没有那么高。IDEA加密标准由PGP(Pretty Good Privacy)系统使用。
非对称加密算法需要两个密钥:公开密钥(publickey)和私有密(privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。
无论是对称加密还是非对称加密,如果要是通信有足够高的安全性都必须保证有相当大加密解密复杂度,包括密钥的选取生成,加密解密机制等。这些都密钥生成,和加密解密工作都需要消耗大量的集群资源,而且需要相当大的时间复杂度。严重影响通信效率问题,而降机密解密技术难度又会导致一系列的通信安全性问题。因此集群通信的安全和效率问题一直都是集群性能发挥的一个瓶颈。此外,集群内部的通信管理也同样是一个技术难点和重点,尤其是在分级管理通信上,如何给予不同级别用户不同通信权限授权。
发明内容
本发明的目的在于,提供一种集群通信安全方法,用以解决长期以来困扰集群通信安全和效率的问题。该方法采用两个层次集群安全管理通信,其中第一层次是集群间通信安全和通信控制;另一层次是集群内部通信安全和通信控制。
为了实现上述任务,本发明采取如下的解决方案:
第一层次是集群间通信安全和通信控制,包括以下内容:
1)群间通信采用集中认证控制机制的安全通信;
2)用户进行认证算法验证,判定是否可以进入集群。
所述的两个方面,其中一个关于集群间通信,用于集群内各成员采用统一的群密钥与其他集群成员进行通信。另一个关于成员用户集群认证算法,用于保证集群不被非法用户攻击和非法用户的进入。
第二层次是集群间通信安全和通信控制,包括以下内容:
1)在集群内部建立通信安全机制;
2)在集群内部采用树级管理模式,实现分级通信管理;
所述对集群内部通信的描述,保证通信安全高效的具体方法是:将利用密钥分发机制,和对密钥的算法验证来实现的。
本发明给出的集群安全通信方法,克服了以往传统集群安全通信,安全性低,效率低,集群通信管理困难等缺点。采取同时集中控制认证和树级分级管理的方法,有效地消除安全性,效率和集群通信管理问题;有效提高了集群通信的安全和效率。
附图说明
图1总体集群验证模式图;
图2树级管理权限授权与边界权值关系图;
图3等级管理简单应用图;
具体实施方式
密钥分发过程才用集群安全通信中的第1层算法,每一个用户在注册激活以后会获得自己相应的用户id,AES密钥(SID)。
当用户申请密钥的时候,密钥管理中心会根据用户所在组群,从数据库中提取该组群所有用户的私有AES密钥(对于用户Ui,其密钥为SIDi)。计算下列表达式A(x):
其中Z为随机数。
下一步密钥管理中心从密钥库中提取一个密钥作为用户申请密钥(K)。计算
P(x)=A(x)+K,
密钥管理中心将P(x)和z发送到客户端,客户端拿到P(x)和z值之后把f(sid,z)代入上式
由于A(x)=0,所以得到的值即为密钥值。
身份验证过程才用集群安全通信方法的第2层算法,由于超级管理员在系统中是唯一的,而且他本身属于一个特殊的组群(只包含超级管理员),所以在使用该算法的时候,当用户注册激活成功以后,系统将根据用户的组群与超级管理员之间计算一个权值edgevalue存入数据库。计算方式如下:
Kj表示用户的密钥,ki表示超级管理员的密钥。
用户登录时,先验证用户名与密码是否都匹配,下一步进行密钥算法的验证。客户端将该用户的id和密钥SID发到管理中心,管理中心将根据上式计算一个新的值edge,将这个edge与该用户数据库中的权值edgevalue比较,如相等,则验证通过,否则,失败。
最后一步比较群密钥,将客户端发过来的群密钥值和数据库中群密钥值分别进行哈希运算,比较两个值是否相等,如相等,则通过,身份验证完成,可进入系统进行相关操作。
所谓群密钥就是对一个集群进行标签的密钥。根据分配算法的描述:每一个客户包括管理员,所有的人都不将再是一个简单的个体,每一个个体包括普通用户和管理员都是属于一个集群的。即普通用户有普通用户的集群,管理员有管理员的集群。每一个集群在DLKM中,都有属于自己的密钥,之所以使用密钥来标示集群而不是使用其他简单的标示位的好处就在于,密钥不仅与当前在用用户密切相关,并且与注销或者被删除的用户也有密切关系;同时,密钥作为集群的标志也多提供了一种系统的安全检测手段,即进行群密钥验证。
在DLKM中,总共有三个集群:超级管理员集群、管理员集群、普通用户集群。对于超级管理员集群来说,整个集群只有一个成员——系统初始化时产生的超级管理员;管理员集群的成员比较多,不仅有系统初始化产生的管理员,以及由超级管理员派生出来的管理员,他们同属于管理员这个集群;普通用户集群当中的成员都是由普通用户注册产生的,他们在整个集群中享有相同的权利,同时对系统来说他们有相同使用权限。
群密钥的操作主要包括以下几个方面:群密钥的产生、分发、更新、归档
群密钥的产生:在整个DLKM中,我们所使用的密钥都是AES产生的,因此我们在系统初始化时,产生了大量的AES密钥。这些密钥供整个系统在运行中使用,包括设备密钥、会话密钥、群密钥、客户密钥,所有要用到密钥的地方,都从这个原始库中提取。
群密钥的分发:系统初始化的时候,便为每一个集群分发了一个群密钥,这便是服务器端的群密钥分发。对于客户端来说,当用户注册成为DLKM的一个用户后,便要进行自己的账号激活。当激活时,系统便要根据用户的角色分发群密钥,并自动存储在客户端,对客户来说是可见的,存储在固定的目录下。
群密钥的更新:系统在使用的过程中,一定会不断的有用户添加进这个系统,同时不可避免的是有用户会退出这个系统。因此,为了保证系统的安全性,系统的规定为每次有用户退出这个系统,便自动激活群密钥的更新操作。过程是将现在的群密钥从在用库中移到历史库中,同时从原始库中再提取一个未使用的密钥作为新的群密钥,这是服务器端的更新过程。而客户端的更新过程是,如果此时用户在线,则不退出系统而是下次更新;如果此时用户不在线,在服务器端的群密钥更新以后,当用户再登陆的时候,体统便会提示用户群密钥已经更新,同时将最新的群密钥以邮件附件的形式发送给客户端。客户便从邮件中提取最新的群密钥,用以替代已经失效的群密钥。群密钥更新以后,客户再次登陆系统,将会登陆正确。
群密钥的归档:系统使用一段时间后,一定会发生很多次的群密钥的更新操作。在这种情况下,群密钥的历史库中将会存储很多已经使用过的群密钥,为了以后系统的维护或者调查,需要将群密钥进行归档操作并且存储起来。
如上所述,使用一个密钥来作为一个集群的标示,会系统增加一层安全保障,即进行群密钥验证。在DLKM中,我们实现了这层验证,其验证流程如下:用户激活成功以后,在登陆系统时,系统便会进行群密钥验证。群密钥验证时系统首先会根据用户的登陆角色和提供的群密钥,来和数据库中的群密钥进行比对。如果两个群密钥相同,则表示用户没有问题,允许登陆;如果用户提供的群密钥跟数据库中的不一样,则表示系统的群密钥已经更新了,此时该用户的群密钥也要更新才行。因此,系统会提醒登录用户,用户所持有的群密钥已经失效,同时系统将会从数据库中用户的信息中找到用户的个人邮箱,将已经更新后的群密钥以邮件附件的形式发给客户端。客户端收到邮件后,便提取最新的群密钥,并且用他替换原来的群密钥。操作完成后,用户再次登陆时,将会正常登陆。
Claims (5)
1.一种用于集群安全通信方法,其特征在于,该方法包括以下步骤:
1)集群间通信采用集中认证控制机制进行集群间安全通信;
2)在集群间使用集群用户ID和私钥进行算法认证,进行高效安全的通信;
3)集群用户认证成功后,在集群内部利用集群密钥进行用户间安全通信;
4)对集群内部通信采用树级管理模式,对集群内部通信实施有效监控。
2.如权利要求1所述的集群通信安全方法,其特征在于,所述的两个层次集群安全管理通信,其中第一层次是集群间通信安全和通信控制;另一层次是集群内部通信安全和通信控制。
3.如权利要求1所述的集群通信安全方法,其特征在于,所述两个层次结合起来进行安全通信的具体步骤是:
1)用户若要进入集群内部通信则需要利用用户和用户ID进行算法验证;
2)用户在通过算法验证以后进入集群内部,可以对集群内部成员进行安全通信,也可以与外集群节点进行通信;
3)集群间通信采用集中认证控制,每个集群视为一个节点与其他集群进行安全通信;
4)集群内部通信则采用树级管理模式,对通信进行分级管理,从而对通信实施有效地监控。
4.如权利要求1所述的集群通信安全方法,其特征在于,所述的安全通信方法具有很高的安全性和高效性;该方法有别于传统的集群安全通信机密解密模式,而是利用算法控制进行安全通信,大大提高了通信效率;无论是对于网络的主动攻击和被动攻击都可很好的防控,同时对于集群外部和内部的不安全通信因素都有相应的解决方案。
5.如权利要求1所述的集群通信安全方法,其特征在于,所述的集群内部通信,能通过树级管理模式,对通信进行分级管理从而有效地实施通信监控,并且对集群用户的增加和删减管理更新代价小;保证了通信安和效率。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105689281A CN102487502A (zh) | 2010-12-01 | 2010-12-01 | 一种集群通信安全方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105689281A CN102487502A (zh) | 2010-12-01 | 2010-12-01 | 一种集群通信安全方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102487502A true CN102487502A (zh) | 2012-06-06 |
Family
ID=46152947
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010105689281A Pending CN102487502A (zh) | 2010-12-01 | 2010-12-01 | 一种集群通信安全方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102487502A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015117489A1 (zh) * | 2014-07-31 | 2015-08-13 | 中兴通讯股份有限公司 | 安全算法选择方法、装置及系统 |
| CN106911712A (zh) * | 2017-03-31 | 2017-06-30 | 杭州翼兔网络科技有限公司 | 一种应用于分布式系统的加密方法及系统 |
| CN109347869A (zh) * | 2018-11-28 | 2019-02-15 | 北京京东金融科技控股有限公司 | 集群间通信安全因子的生成方法、装置、介质及电子设备 |
| CN110611621A (zh) * | 2019-09-26 | 2019-12-24 | 上海依图网络科技有限公司 | 树型结构的多集群间的路由控制方法及集群森林 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004007375A (ja) * | 2002-04-12 | 2004-01-08 | Kobe Steel Ltd | 通信中継装置 |
| CN101136742A (zh) * | 2007-04-09 | 2008-03-05 | 中兴通讯股份有限公司 | 群组密钥同步、更新、及校验方法 |
| CN101137123A (zh) * | 2007-04-09 | 2008-03-05 | 中兴通讯股份有限公司 | 集群系统的加密组呼、单呼、及动态重组呼叫实现方法 |
-
2010
- 2010-12-01 CN CN2010105689281A patent/CN102487502A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004007375A (ja) * | 2002-04-12 | 2004-01-08 | Kobe Steel Ltd | 通信中継装置 |
| CN101136742A (zh) * | 2007-04-09 | 2008-03-05 | 中兴通讯股份有限公司 | 群组密钥同步、更新、及校验方法 |
| CN101137123A (zh) * | 2007-04-09 | 2008-03-05 | 中兴通讯股份有限公司 | 集群系统的加密组呼、单呼、及动态重组呼叫实现方法 |
Non-Patent Citations (1)
| Title |
|---|
| 雷跃荣等: ""群密钥分配技术研究"", 《四川理工学院学报》 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015117489A1 (zh) * | 2014-07-31 | 2015-08-13 | 中兴通讯股份有限公司 | 安全算法选择方法、装置及系统 |
| CN105323231A (zh) * | 2014-07-31 | 2016-02-10 | 中兴通讯股份有限公司 | 安全算法选择方法、装置及系统 |
| CN105323231B (zh) * | 2014-07-31 | 2019-04-23 | 中兴通讯股份有限公司 | 安全算法选择方法、装置及系统 |
| CN106911712A (zh) * | 2017-03-31 | 2017-06-30 | 杭州翼兔网络科技有限公司 | 一种应用于分布式系统的加密方法及系统 |
| CN106911712B (zh) * | 2017-03-31 | 2020-04-07 | 山东汇佳软件科技股份有限公司 | 一种应用于分布式系统的加密方法及系统 |
| CN109347869A (zh) * | 2018-11-28 | 2019-02-15 | 北京京东金融科技控股有限公司 | 集群间通信安全因子的生成方法、装置、介质及电子设备 |
| CN109347869B (zh) * | 2018-11-28 | 2021-07-06 | 京东数字科技控股有限公司 | 集群间通信安全因子的生成方法、装置、介质及电子设备 |
| CN110611621A (zh) * | 2019-09-26 | 2019-12-24 | 上海依图网络科技有限公司 | 树型结构的多集群间的路由控制方法及集群森林 |
| CN110611621B (zh) * | 2019-09-26 | 2020-12-15 | 上海依图网络科技有限公司 | 树型结构的多集群间的路由控制方法及集群森林 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109559124B (zh) | 一种基于区块链的云数据安全共享方法 | |
| CN109918878B (zh) | 一种基于区块链的工业物联网设备身份认证及安全交互方法 | |
| CN105103488B (zh) | 借助相关联的数据的策略施行 | |
| CN104486307B (zh) | 一种基于同态加密的分权密钥管理方法 | |
| ES2448806T3 (es) | Red de distribución inteligente y procedimiento para operar una red de distribución inteligente | |
| Anzalchi et al. | A survey on security assessment of metering infrastructure in smart grid systems | |
| CN107979584B (zh) | 区块链信息分级共享方法及系统 | |
| CN106059763B (zh) | 云环境下属性基多机构层次化密文策略权重加密方法 | |
| CN105191207A (zh) | 联合密钥管理 | |
| CN103534976A (zh) | 数据安全的保护方法、服务器、主机及系统 | |
| CN105100083A (zh) | 一种隐私保护且支持用户撤销的基于属性加密方法和系统 | |
| CN105471901A (zh) | 一种工业信息安全认证系统 | |
| Zhang et al. | Blockchain-based secure equipment diagnosis mechanism of smart grid | |
| CN108400862A (zh) | 一种智能用电终端可信数据融合加密方法 | |
| CN102487502A (zh) | 一种集群通信安全方法 | |
| CN102111264A (zh) | 非对称密钥管理系统 | |
| CN1953366B (zh) | 智能密钥装置的密码管理方法和系统 | |
| CN104301319A (zh) | 一种智能电能表加密管理装置及数据加密保护方法 | |
| CN1434598A (zh) | 用智能卡实现的安全一卡通系统 | |
| Zhang et al. | Smart grid data access control scheme based on blockchain | |
| CN104378356A (zh) | 基于角色的需求响应事件安全管理方法及系统 | |
| CN104079403A (zh) | 一种密码密钥分配系统 | |
| Ma et al. | Research on data security and privacy protection of smart grid based on alliance chain | |
| CN109726583A (zh) | 云数据库加密服务器系统 | |
| CN110519214A (zh) | 基于在线离线签名和辅助验证签名的应用系统近距离节能通信方法、系统、设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20120606 |