CN102684875A - 组播安全代理组件及组播加密管理方法 - Google Patents
组播安全代理组件及组播加密管理方法 Download PDFInfo
- Publication number
- CN102684875A CN102684875A CN2012100031814A CN201210003181A CN102684875A CN 102684875 A CN102684875 A CN 102684875A CN 2012100031814 A CN2012100031814 A CN 2012100031814A CN 201210003181 A CN201210003181 A CN 201210003181A CN 102684875 A CN102684875 A CN 102684875A
- Authority
- CN
- China
- Prior art keywords
- multicast
- key
- group
- user
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明涉及组播安全代理组件及组播加密管理方法,组播模块中的文件加解密子模块是组播用户进行消息或文件加/解密的具体执行模块,采用RSA算法作为组播加/解密的算法,用户私钥作为解密密钥,系统认证后,如果内网的某些用户需组内交流,则由所有成员私钥的乘积所构成的组密钥能够保障组播安全,当有新用户加入或老用户退出时,通过更新组密钥使得新加入的用户无法访问加入前的通信内容以及退出的用户无法访问退出后的通信内容,实现了组播组内一把密钥加密、多把密钥解密的功能,组成员变化时,不需要对组内其余用户的密钥(私钥)进行更新,解决了既可实现对组播信息的加密,又同时满足安全组播中重要的前向保密、后向保密和抗同谋破解等问题。
Description
技术领域
本发明属于密钥管理技术领域,涉及一种组播安全代理组件及组播加密管理方法。
背景技术
当一个相同的信息必须传递给多个接收者时,组播是一个较好的通信模型,组播通信减少了发送者和网络媒介的经常开支。加密算法的应用对于作用在—个不可靠的网络媒介上的安全组播通信来说是一个实际可行的方法。加密算法又分为对称(私钥)加密算法和非对称(公钥)加密算法。对称加密算法加解密速度快,加密强度高,密钥分发与管理困难;而非对称加密算法的加解密速度慢,密钥管理简单。
例如,一个会话加密钥匙SEK (一种对称加密算法的密钥) 在安全通信中用于将数据加密。由于数据分配给多个接受者,为了减少在发送者节点的加密数量同时最小化网络上数据包的数量,每个预期的接收者以及发送者应该共享一个相同的SEK。为了确保只有组中合法的成员具有信息传递的权力,SEK在下列情况时需要改变:a)当SEK的生命周期到期时;b)组的成员关系发生改变;c)一个或更多的成员被泄露时。
因此,在现有的技术方案中,安全组播通信是通过使用组内所有成员共享的组密钥来加密通信内容。为了保障安全,密钥服务器需要在组成员关系改变时进行组密钥更新(rekey)。由于组内成员关系的动态性和加解密操作的高代价,组密钥更新性能成为衡量组密钥管理性能的主要指标,也是影响组播通信的一个重要的因素。
在现有的安全组播技术中,无论使用对称(私钥)加密算法和非对称(公钥)加密算法,当用户加入或退出该组时,该组中的密钥必须更新,使新加入的用户不能访问过去的通信内容,以及退出的用户不能访问现在和将来的通信内容。同时,还要考虑密钥的存储代价和通信代价。
发明内容
本发明的目的是提供一种组播安全代理组件及组播加密管理方法,以实现组播中的组成员发生变化时,不需要对组内其余用户的密钥进行更新,仍然能够保证组播通信的安全性。
为实现上述目的,本发明的组播安全代理组件包括:
安全模块,用于提供代理所在区域的内外安全相关的服务,用于将收集到的有用信息转存在知识库中;
通信模块,用于负责代理与内网主机以及代理之间相关交换信息;
组播模块,用于内网用户之间以及内网用户与外网用户相互通信,并划分为一个信息组,实现组内用户安全高效的信息交流与共享;
知识库模块,用于对原信息和知识进行收集和整理,并进行分类存储,并提供相应的检索手段。
进一步的,所述安全模块包括防病毒、入侵检测、漏洞扫描、访问控制、灾难恢复和不定升级子模块。
进一步的,所述通信模块中发送的请求信息包括需求信息、告警信息和代理之间广播安全检测信息。
进一步的,所述通信模块包括通信语言和传输协议子模块。
进一步的,所述组播模块包括建立删除组、文件加解密、组密钥更新、密钥认证、密钥生成和密钥注销子模块。
本发明的组播加密管理方法步骤如下:
(1) 根据任务的需要,把内网中的某些用户建立成一个组播组;
(2) 对用户进行身份认证,认证通过后的用户能和组内其他的用户正常通信;
(3) 将组内所有用户的私钥相乘计算得到组播加密密钥,解密密钥为每个用户的私钥;当组内用户发生变化时,重新计算得到新组播密钥并更新组播加密密钥,解密密钥为组内每个用户的私钥;
(4) 组内发送信息方在发送信息时,需要将信息或文件用组密钥加密后,发给组内其他的收听用户;收听用户用自己的私钥解密后,可以查看接收到的信息;
(5) 组内用户进行通信,直到任务结束后,删除该组播组,释放相应的系统资源。
进一步的,所述步骤(2)中对用户进行身份认证是利用用户USB Key或智能卡中存储的私钥来进行身份认证。
进一步的,所述步骤(3)中解密密钥为每个用户USB Key或智能卡中存储的私钥。
进一步的,所述步骤(3)中加密解密密钥的产生是基于RSA算法。
本发明的组播安全代理组件及组播加密管理方法,组播模块中的文件加解密子模块,是组播用户进行消息或文件加/解密的具体执行模块,采用RSA算法作为组播加/解密的算法,在用户USB Key或智能卡中存储的私钥作为解密密钥,经过系统认证后,如果内网的某些用户需要互相通信并且要求通信内容对内网其他用户保密,则可以在服务器的存储区域专门开辟一块供组内信息交流的空间。由所有成员私钥的乘积所构成的组密钥能够保障组播安全,当有新用户加入或有老用户退出时,通过更新组密钥使得新加入的用户无法访问加入前的通信内容以及退出的用户无法访问退出后的通信内容,能够保证组播通信的安全性。实现了组播组内一把密钥加密、多把密钥解密的功能,当组成员变化时,不需要对组内其余用户的密钥(私钥)进行更新,解决了既可实现对组播信息的加密,又同时满足安全组播中重要的前向保密、后向保密和抗同谋破解等问题。
附图说明
图1是实施例的安全代理组件功能框图;
图2是实施例的组播通信流程图;
图3是实施例的分布式安全组播管理示意图。
具体实施方式
一、组播安全代理组件
一般来说,代理具有自治性、适应性和合作性的特性[3],能够根据它的状态,决定自己下一步做什么,而不需要人为的或其他外界的干预。组播安全代理(Security Agent)组件主要由四个模块组成:安全模块、通信模块、组播模块和知识库模块。
(1) 安全模块
安全模块提供代理所在区域的内网安全相关的服务,它收集到的有价值的信息都存储在知识库中。安全模块又由防病毒、入侵检测、漏洞扫描、访问控制、灾难恢复和补丁升级等子模块组成。
(2)通信模块
通信模块主要用于代理与内网主机以及代理之间相互交换信息,这些被发送的请求信息包括需求信息、告警信息,以及在代理之间广播安全检测信息。通信模块由通信语言和传输协议组成,通信语言是代理之间交流的基础,而传输协议是通信的传输机制。
(3)组播模块
组播模块是组件的核心部分,实现内网用户之间以及内网用户与Internet用户相互通信,并划分为一个信息组,实现组内用户安全高效的信息交流与共享。组播模块又由建立/删除组、文件加解密、组密钥更新、密钥认证、密钥生成及密钥注销子模块组成。
关于组播模块中的文件加解密子模块,是组播用户进行消息或文件加/解密的具体执行模块。采用RSA算法作为组播加/解密的算法,在用户USB Key或智能卡中存储的私钥作为解密密钥。经过系统认证后,如果内网的某些用户需要互相通信并且要求通信内容对内网其他用户保密,则可以在服务器的存储区域专门开辟一块供组内信息交流的空间。由所有成员私钥的乘积所构成的组密钥能够保障组播安全,当有新用户加入或有老用户退出时,通过更新组密钥使得新加入的用户无法访问加入前的通信内容以及退出的用户无法访问退出后的通信内容。
(4)知识库模块
知识库模块中的数据,都是由安全模块提供的,分类存储相关的安全日志、状态信息和告警信息。知识库使信息和知识有序化,对原有的信息和知识做一次大规模的收集和整理,按照一定的方法进行分类保存,并提供相应的检索手段。
二、组播加密管理方法
1,RSA算法描述
1)密钥的产生
①选两个保密的大素数和;
2)加密
3)解密
对密文分组的解密运算为:
2,密钥设计及加密解密过程
随机选取两个大素数p、q(约为十进制100位或更大),且p、q保密。计算n=pq和n的欧拉函数。n是公开的,而是保密的。随机选取m个大于n的互不相同的素数,,,…,(m为授权收听的组成员数,,,,…,为组成员手中的私钥)。计算,即d为,,,…,的乘积。令,。其中为取整符号,是公开的。有下面结果:
现有文献中公开发表了公式(1),在此基础上应用欧几里德扩展算法来实现消息或文件的加/解密。但如果组播用户数量很大,由于解密密钥非常大,将会使解密计算非常耗时。解密计算中的大整数模指数算法一直是RSA密码体制中研究的热点,用比较成熟的Montgomery算法及其改进算法或国外密码学库中的一些高效函数,可以减少一些计算量,但对于本发明中的改进算法仍是杯水车薪,尤其是在参与组播的成员较多时,这将使得解密基本上成为不可能,严重影响了组成员的扩展性。为了有效解决这个问题,此处引入一个哈希函数,原解密密钥作为输入值输入哈希函数,得到一个值,如下所示:
根据扩展的欧几里德算法:
公式(3)
3,组播加密方法的强度分析
组播加密方法是基于RSA公钥密码体制的改进,关于RSA公钥密码体制的强度已有大量的分析结果。对RSA的改进部分,由于和已知,故为了计算,穷举破解可以从做起;穷举破解范围与成正比,由的选取可知,其值超过;穷举破解强度已经超过DES算法,与RSA相当。
4,组播方法的实现步骤:
(1) 根据实际任务的需要,把内网中的某些用户建立成一个组播组,以实现信息通信和消息共享;
(2) 利用用户USB Key或智能卡中存储的私钥来进行身份认证,认证通过后的用户可以和组内其他的用户正常通信;
(3) 通过组内所有用户的私钥乘积来计算组播密钥;
(4) 当组内用户变化时,需要更新组播密钥,即重新计算得到新的组播的加密密钥,解密密钥为每个用户为USB Key或智能卡中存储的私钥;
(5) 组内发送信息方在发送信息时,需要将信息或文件用组密钥加密后,发给组内其他的收听用户;
(6) 收听用户用自己的私钥解密后,可以查看接收到的信息;
(7) 组内的用户继续通信;
(8) 由于任务结束,删除该组播组,释放相应的系统资源。
5,安全性分析
当有新用户通过安全代理认证,加入组播组,获得私钥,虽然他有可能获得其加入前的组播数据以及相应的组播信息,但由于安全代理分发给各个组成员的密钥互不相同,所以没有参与生成解密密钥的求积运算,当然无法恢复出,也就无法解密以前的任何数据,满足了后向加密的要求。
若某个组成员退出组播组,他虽然继续保存有手中的私钥,并且能够获得新的组播的辅助密钥对和加密的组播数据,但由于他的私钥不再参与生成解密密钥的运算,所以无法恢复出新的解密密钥,也无法解密新的组播数据。这满足了前向加密的特性。所以无论是新的组成员加入组播组还是旧的组成员退出组播组,组内的其他成员都无需进行密钥更新,并且实现了前向和后向加密的安全组播需求。
6,分布式安全组播管理
一种适用于内网(局域网)相互通信的分布式安全组播管理方案,如图3所示。GSA(Global Security Agent)是分析处理从多个LSA(Local Security Agent)送来的数据的节点。LSA是收集网络数据包并进行初步分析的节点,管理本子网的密钥安全并实现代理之间的数据传递,可以在每个子网选出一个成员作为LSA。
如果某些成员需要在子网内以及各个子网之间互相通信,可以通过LSA来建立临时组,以组播加密方法为手段,来实现组内成员的安全通信。同时,每个子网的LSA的安全子模块实时监控本子网的安全状况,将告警信息和主机状态信息发送给GSA,GSA将这些相关信息写入数据库中,方便管理员管理和监控内网中的每台主机的状态以及是否遭受过攻击等。因此,本方案在保证内网安全的基础上,使得组成员能够安全共享组播信息。
组播安全代理组件能够保障内网中单台主机的安全,使得内网主机免受外部网络的病毒和木马攻击。在此基础上,提出了一种新的基于RSA的组播加密方法,进而给出一种适用于Internet完整的、有效的分布式安全组播方案。通过安全性的分析,实现了组播组内一把密钥加密,多把密钥解密的功能。当组成员变化时,不需要对组内其余用户的密钥(私钥)进行更新,解决了既可实现对组播信息的加密,又同时满足安全组播中重要的前向保密、后向保密和抗同谋破解等问题。
Claims (10)
1.一种组播安全代理组件,其特征在于,包括:
安全模块,用于提供代理所在区域的内外安全相关的服务,用于将收集到的有用信息转存在知识库中;
通信模块,用于负责代理与内网主机以及代理之间相关交换信息;
组播模块,用于内网用户之间以及内网用户与外网用户相互通信,并划分为一个信息组,实现组内用户安全高效的信息交流与共享;
知识库模块,用于对原信息和知识进行收集和整理,并进行分类存储,并提供相应的检索手段。
2.根据权利要求1所述的组播安全代理组件,其特征在于:所述安全模块包括防病毒、入侵检测、漏洞扫描、访问控制、灾难恢复和不定升级子模块。
3.根据权利要求1所述的组播安全代理组件,其特征在于:所述通信模块中发送的请求信息包括需求信息、告警信息和代理之间广播安全检测信息。
4.根据权利要求3所述的组播安全代理组件,其特征在于:所述通信模块包括通信语言和传输协议子模块。
5.根据权利要求1-4中任一项所述的组播安全代理组件,其特征在于:所述组播模块包括建立删除组、文件加解密、组密钥更新、密钥认证、密钥生成和密钥注销子模块。
6.一种组播加密管理方法,其特征在于,该方法的步骤如下:
(1) 根据任务的需要,把内网中的某些用户建立成一个组播组;
(2) 对用户进行身份认证,认证通过后的用户能和组内其他的用户正常通信;
(3) 将组内所有用户的私钥相乘计算得到组播加密密钥,解密密钥为每个用户的私钥;当组内用户发生变化时,重新计算得到新组播密钥并更新组播加密密钥,解密密钥为组内每个用户的私钥;
(4) 组内发送信息方在发送信息时,需要将信息或文件用组密钥加密后,发给组内其他的收听用户;收听用户用自己的私钥解密后,可以查看接收到的信息;
(5) 组内用户进行通信,直到任务结束后,删除该组播组,释放相应的系统资源。
7.根据权利要求6所述的方法,其特征在于:所述步骤(2)中对用户进行身份认证是利用用户USB Key或智能卡中存储的私钥来进行身份认证。
8.根据权利要求7所述的方法,其特征在于:所述步骤(3)中解密密钥为每个用户USB Key或智能卡中存储的私钥。
9.根据权利要求6-8所述的方法,其特征在于:所述步骤(3)中加密解密密钥的产生是基于RSA算法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210003181.4A CN102684875B (zh) | 2012-01-07 | 2012-01-07 | 组播安全代理组件及组播加密管理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210003181.4A CN102684875B (zh) | 2012-01-07 | 2012-01-07 | 组播安全代理组件及组播加密管理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102684875A true CN102684875A (zh) | 2012-09-19 |
CN102684875B CN102684875B (zh) | 2015-12-16 |
Family
ID=46816279
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210003181.4A Expired - Fee Related CN102684875B (zh) | 2012-01-07 | 2012-01-07 | 组播安全代理组件及组播加密管理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102684875B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103117857A (zh) * | 2013-01-16 | 2013-05-22 | 深圳市怡化电脑有限公司 | 基于硬件加密算法的atm机信息安全检测方法及系统 |
CN103200230A (zh) * | 2013-03-01 | 2013-07-10 | 南京理工大学常熟研究院有限公司 | 基于可移动代理的漏洞扫描方法 |
WO2017142479A1 (en) * | 2016-02-18 | 2017-08-24 | Agency For Science, Technology And Research | Access control methods, access control devices, and computer readable media |
CN113794645A (zh) * | 2021-09-16 | 2021-12-14 | 上海子午线新荣科技有限公司 | 一种基于安全组播的通信交互系统及方法 |
CN114448608A (zh) * | 2020-10-16 | 2022-05-06 | 中国移动通信有限公司研究院 | 组密钥的管理方法、装置、相关设备及存储介质 |
WO2022166556A1 (zh) * | 2021-02-03 | 2022-08-11 | 支付宝(杭州)信息技术有限公司 | 在区块链网络中实现安全组播的方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101150533A (zh) * | 2006-09-18 | 2008-03-26 | 联想(北京)有限公司 | 一种邮件多点推送的安全系统和方法 |
CN101674304A (zh) * | 2009-10-15 | 2010-03-17 | 浙江师范大学 | 一种网络身份认证系统及方法 |
CN102164125A (zh) * | 2011-03-17 | 2011-08-24 | 武汉大学 | 基于asgka协议的安全通信系统及方法 |
-
2012
- 2012-01-07 CN CN201210003181.4A patent/CN102684875B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101150533A (zh) * | 2006-09-18 | 2008-03-26 | 联想(北京)有限公司 | 一种邮件多点推送的安全系统和方法 |
CN101674304A (zh) * | 2009-10-15 | 2010-03-17 | 浙江师范大学 | 一种网络身份认证系统及方法 |
CN102164125A (zh) * | 2011-03-17 | 2011-08-24 | 武汉大学 | 基于asgka协议的安全通信系统及方法 |
Non-Patent Citations (2)
Title |
---|
周杰等: "基于RSA的组播加密方法及其密钥管理方案", 《大连理工大学学报》, vol. 45, 31 October 2005 (2005-10-31), pages 122 - 125 * |
张平等: "代理管理模型在内网安全中的应用", 《计算机应用与软件》, vol. 26, no. 06, 30 June 2009 (2009-06-30), pages 1 * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103117857A (zh) * | 2013-01-16 | 2013-05-22 | 深圳市怡化电脑有限公司 | 基于硬件加密算法的atm机信息安全检测方法及系统 |
CN103200230A (zh) * | 2013-03-01 | 2013-07-10 | 南京理工大学常熟研究院有限公司 | 基于可移动代理的漏洞扫描方法 |
CN103200230B (zh) * | 2013-03-01 | 2016-01-06 | 南京理工大学常熟研究院有限公司 | 基于可移动代理的漏洞扫描方法 |
WO2017142479A1 (en) * | 2016-02-18 | 2017-08-24 | Agency For Science, Technology And Research | Access control methods, access control devices, and computer readable media |
CN114448608A (zh) * | 2020-10-16 | 2022-05-06 | 中国移动通信有限公司研究院 | 组密钥的管理方法、装置、相关设备及存储介质 |
WO2022166556A1 (zh) * | 2021-02-03 | 2022-08-11 | 支付宝(杭州)信息技术有限公司 | 在区块链网络中实现安全组播的方法及装置 |
CN113794645A (zh) * | 2021-09-16 | 2021-12-14 | 上海子午线新荣科技有限公司 | 一种基于安全组播的通信交互系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN102684875B (zh) | 2015-12-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105743646B (zh) | 一种基于身份的加密方法及系统 | |
Boudia et al. | Elliptic curve-based secure multidimensional aggregation for smart grid communications | |
Chandu et al. | Design and implementation of hybrid encryption for security of IOT data | |
Anand et al. | Identity-based cryptography techniques and applications (a review) | |
CN102684875B (zh) | 组播安全代理组件及组播加密管理方法 | |
Iyer et al. | A novel idea on multimedia encryption using hybrid crypto approach | |
CN103414682A (zh) | 一种数据的云端存储方法及系统 | |
Bali et al. | Lightweight authentication for MQTT to improve the security of IoT communication | |
Romdhane et al. | At the cross roads of lattice-based and homomorphic encryption to secure data aggregation in smart grid | |
Li et al. | Privacy-aware secure anonymous communication protocol in CPSS cloud computing | |
CN111049738B (zh) | 基于混合加密的电子邮件数据安全保护方法 | |
Saxena et al. | Secure and privacy-preserving concentration of metering data in AMI networks | |
WO2020085151A1 (ja) | サーバ装置、通信端末、通信システム、及びプログラム | |
Nyári | The impact of quantum computing on IT security | |
Huang et al. | Lightweight authentication scheme with dynamic group members in IoT environments | |
CN111835766B (zh) | 一种可重随机的公钥加解密方法 | |
CN101488958B (zh) | 一种使用椭圆曲线进行的大集群安全实时通讯方法 | |
Darwish et al. | A new hybrid cryptosystem for Internet of Things applications | |
CN104954136A (zh) | 一种云计算环境下网络安全加密装置 | |
Son et al. | A new outsourcing conditional proxy re‐encryption suitable for mobile cloud environment | |
Qin et al. | Strongly secure and cost-effective certificateless proxy re-encryption scheme for data sharing in cloud computing | |
Somaiya et al. | Implementation and evaluation of EMAES–A hybrid encryption algorithm for sharing multimedia files with more security and speed | |
Saxena et al. | A Lightweight and Efficient Scheme for e-Health Care System using Blockchain Technology | |
Dung | A method for constructing public-key block cipher schemes based on elliptic curves | |
Xue-Zhou | Network data encryption strategy for cloud computing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20151216 Termination date: 20180107 |
|
CF01 | Termination of patent right due to non-payment of annual fee |