CN106888083B - 物联网下组密钥生成方法及通信节点 - Google Patents
物联网下组密钥生成方法及通信节点 Download PDFInfo
- Publication number
- CN106888083B CN106888083B CN201510933360.1A CN201510933360A CN106888083B CN 106888083 B CN106888083 B CN 106888083B CN 201510933360 A CN201510933360 A CN 201510933360A CN 106888083 B CN106888083 B CN 106888083B
- Authority
- CN
- China
- Prior art keywords
- group
- key
- information
- reference information
- network side
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
Abstract
本发明实施例公开了一种物联网下组密钥生成方法及通信节点;所述方法包括:网络侧服务器生成第一参考信息;接收组代理节点基于第二参考信息生成的第二关键信息;基于所述第二关键信息,获得所述第二参考信息;基于所述第一参考信息和所述第二参考信息获得组密钥。
Description
技术领域
本发明涉及物联网安全技术,尤其涉及一种物联网下组密钥生成方法及通信节点。
背景技术
在国际互联网工程任务组核心(IETF Core,The Internet Engineering TaskForce Core)组及第三代合作伙伴计划(3GPP,3rd Generation Partnership Project)MTCe Release 13讨论过的组认证方案中,提出若干物联网设备(A1,A2,……,An)构成一个组,每个设备即为该组的组成员,每个组成员(A2,A3,……,An)之间支持私有协议通信,组成员A1作为组代理节点,A1首先与每个组成员进行组内认证并计算组内会话密钥。而后,A1代表组内每个成员与网络侧服务器进行组外认证,网络侧服务器认证组代理节点A1成功后,利用组成员独自与网络侧服务器共享的密钥以及该组的组密钥生成该成员节点的独立密钥,组成员与网络侧服务器利用生成的独立密钥进行通信。其中,组密钥一般是在组认证过程中生成的,例如,可以由组中的特定成员节点与网络侧协商组密钥,将生成的组密钥发给该用户组中的其他成员节点。
对于多媒体广播组播业务,3GPP Release 6中提出的一种工作于移动网络频段,提供点对点的移动多媒体组播服务,网络侧服务器生成组密钥并根据用户的订购状态及具体业务状态等信息在适当时间向终端设备发送组密钥,该组密钥由网络侧生成并加密后分发给每个终端设备,每个终端设备可解密得到组密钥并利用该密钥加密多媒体信息。
现有技术存储以下缺点:
组认证方案中:1)组密钥的生成是在组认证过程中,由组内的特定组成员生成,如组代理节点,若该特定组成员被攻击者攻破,组成员间分享的组密钥即已泄露;2)组密钥是在组认证过程中生成的,现有组认证方案只解决了静态成员间组密钥生成问题,未考虑动态情况,即现有组成员离开或新成员加入的情况,现有方案不具备组密钥更新机制。
多媒体广播组播业务中:1)网络侧服务器在一段特定时间内更新组密钥,在该特定时间内,当有组成员离开或新组成员加入时,组密钥无法及时更新并保障前向及后向安全;2)组密钥的生成和更新都是由网络侧服务器发起并计算新的组密钥,每次密钥更新都造成了网络侧额外的性能消耗。
因此,现有技术方案不适用于一组动态可变的物联网设备在认证后,完成高效且安全的组密钥生成和更新。
发明内容
有鉴于此,本发明实施例提供了一种物联网下组密钥生成方法及通信节点,至少部分解决上述问题。
本发明实施例第一方面提供一种联网下组密钥生成方法,所述方法包括:
网络侧服务器生成第一参考信息;
接收组代理节点基于第二参考信息生成的第二关键信息;
基于所述第二关键信息,获得所述第二参考信息;
基于所述第一参考信息和所述第二参考信息获得组密钥。
基于上述方案,所述方法还包括:
利用第一参考信息生成第一关键信息;
将所述第一关键信息发送给所述组代理节点;
其中,所述第一关键信息用于通过所述组代理节点传输给所述组成员,供所述组成员获得所述第一参考信息;所述第一参考信息用于所述组成员获得所述组密钥。
基于上述方案,所述利用第一参考信息生成第一关键信息,包括:
利用组成员的独立密钥对所述第一参考信息进行加密,形成所述第一关键信息。
基于上述方案,所述第二关键信息是利用组代理节点的独立密钥对所述第二参考信息加密生成的;
所述基于所述第二关键信息,获得所述第二参考信息,包括:
利用所述组代理节点的独立密钥基于所述第二关键信息,获得所述第二参考信息。
本发明实施例第二方面提供一种密钥物联网下组密钥生成方法,所述方法包括:
组代理节点生成第二参考信息;
基于所述第二参考信息生成第二关键信息;
将所述第二关键信息发送给所述网络侧服务器;
基于所述第二参考信息生成第三关键信息;其中,所述第三关键信息用于所述组成员得到所述第二参考信息;
接收网络侧服务器基于第一参考信息生成的第一关键信息;
将所述第一关键信息和所述第三关键信息发送给组成员;其中,所述第一关键信息用于供所述组成员获得所述第一参考信息;所述第三关键信息用于所述组成员计算得到所述第二参考信息;所述第一参考信息和所述第二参考信息共同用于所述网络侧服务器或所述组成员获得组密钥。
基于上述方案,所述方法还包括:
当组中的组成员更新时,更新所述第二参考信息;
利用更新后的所述第二参考信息更新所述第二关键信息;
利用更新后的所述第二参考信息更新所述第三关键信息;
将更新后的所述第二关键信息发送给所述网络侧服务器;
将更新后的第三关键信息发送给更新后的所述组成员。
基于上述方案,所述组成员更新包括组成员的离开;
所述方法还包括:
接收需要离开的所述组成员发送的离开请求;
将所述离开请求发送给所述网络侧服务器;
接收所述网络侧服务器基于所述离开请求触发的组密钥更新请求;
所述当组中的组成员更新时,更新所述第二参考信息,包括:
当接收到所述组密钥更新请求时,更新所述第二参考信息。
基于上述方案,所述组成员更新包括组成员的加入;
所述方法还包括:
接收加入请求;
将所述加入请求发送给所述网络侧服务器;
接收所述网络侧服务器基于所述加入请求触发的组密钥更新请求;
所述当组中的组成员更新时,更新所述第二参考信息,包括:
当接收到所述组密钥更新请求时,更新所述第二参考信息。
基于上述方案,所述基于所述第二参考信息生成第二关键信息,包括:
利用组代理节点的独立密钥对所述第二参考信息进行加密,生成所述第二关键信息;
所述基于所述第二参考信息生成第三关键信息,包括:
利用组内会话密钥对所述第二参考信息进行加密,生成所述第三关键信息。
本发明实施例第三方面提供一种密钥物联网下组密钥生成方法,所述方法包括:
接收组代理节点转发的网络侧服务器基于第一参考信息生成的第一关键信息;
基于所述第一关键信息获得所述第一参考信息;
接收所述组代理节点基于第二参考信息生成的第三关键信息;
基于所述第三关键信息获得所述第二参考信息;
基于所述第一参考信息和所述第二参考信息生成组密钥。
基于上述方案,所述第一关键信息为利用组成员的独立密钥对第一参考信息加密生成的;
所述第三关键信息为利用组内会话密钥对第二参考信息加密生成的;
所述基于所述第一关键信息获得所述第一参考信息,包括:
利用所述组成员的独立密钥解密所述第一关键信息,获得所述第一参考信息;
所述基于所述第三关键信息获得所述第二参考信息,包括:
利用所述组内会话密钥解密所述第三关键信息获得第二参考信息。
本发明实施例第四方面提供一种通信节点,所述通信节点为网络侧服务器;所述网络侧服务器包括:
第一生成单元,用于生成第一参考参数;
第一接收单元,用于接收组代理节点基于第二参考信息生成的第二关键信息;
第一获得单元,用于基于所述第二关键信息,获得所述第二参考信息;
第二获得单元,用于基于所述第一参考信息和所述第二参考信息获得组密钥。
基于上述方案,所述第一生成单元,还用于利用第一参考信息生成第一关键信息;
所述网络侧服务器还包括:
第一发送单元,用于将所述第一关键信息发送给所述组代理节点;
其中,所述第一关键信息用于通过所述组代理节点传输给所述组成员,供所述组成员获得所述第一参考信息;所述第一参考信息用于所述组成员获得所述组密钥。
本发明实施例第五方面提供一种通信节点,所述通信节点为组代理节点;所述组代理节点包括第二生成单元、第二发送单元及第二接收单元:
所述第二生成单元,用于生成第二参考信息,及基于所述第二参考信息生成第二关键信息;
所述第二发送单元,用于将所述第二关键信息发送给所述网络侧服务器;
所述第二生成单元,还用于基于所述第二参考信息生成第三关键信息;其中,所述第三关键信息用于所述组成员得到所述第二参考信息;
所述第二接收单元,用于接收网络侧服务器基于第一参考信息生成的第一关键信息;
所述第二发送单元,还用于将所述第一关键信息和所述第三关键信息发送给组成员;其中,所述第一关键信息用于供所述组成员获得所述第一参考信息;所述第三关键信息用于所述组成员计算得到所述第二参考信息;所述第一参考信息和所述第二参考信息共同用于所述网络侧服务器或所述组成员获得组密钥。
基于上述方案,所述第二生成单元,还用于当组中的组成员更新时,更新所述第二参考信息,利用更新后的所述第二参考信息更新所述第二关键信息;及利用更新后的所述第二参考信息更新所述第三关键信息;
所述第二发送单元,还用于将更新后的所述第二关键信息发送给所述网络侧服务器;及将更新后的第三关键信息发送给更新后的所述组成员。
本发明实施例第六方面提供一种通信节点,所述通信节点为组成员;所述组成员包括:
第三接收单元,用于接收组代理节点转发的网络侧服务器基于第一参考信息生成的第一关键信息;及接收所述组代理节点基于第二参考信息生成的第三关键信息;
第三获得单元,用于基于所述第一关键信息获得所述第一参考信息;及基于所述第三关键信息获得所述第二参考信息;
第三生成单元,用于利用所述第一随机数和所述第二随机数获得得到组密钥。
在本发明实施例提供的技术方案中,网络侧服务器利用第一参考信息模块及组代理节点提供的第二关键信息获得第二参考信息,利用第二参考信息及第一参考信息获得组密钥。组代理节点将从网络侧服务器接收的第一关键信息和第二关键信息均传送给组成员,组成员基于所述第一关键信息和第二关键信息获得所述第一参考信息和第二参考信息就能获得所述组密钥。本发明实施例提出的组密钥生成机制中组密钥不再由某一特定节点生成,而是由组代理节点与网络侧服务器贡献各自加密的参考信息并由每个组成员及网络侧服务器计算生成,可有效防御攻击者非法获取组密钥,显然大大的提升了组密钥的安全性,可以有效的减少安全风险。
附图说明
图1为本发明实施例提供的第一种物联网下组密钥生成方法的流程示意图;
图2为本发明实施例提供的第二种物联网下组密钥动态更新方法的流程示意图;
图3本发明实施例提供的第三种物联网下组密钥动态更新方法的流程示意图;
图4本发明实施例提供的网络侧服务器的结构示意图;
图5本发明实施例提供的组代理节点的结构示意图;
图6本发明实施例提供的组成员的结构示意图;
图7为本发明实施例的物联网下组密钥生成方法的流程示意图;
图8为本发明实施例的物联网下组密钥动态更新方法的流程示意图;
图9为本发明实施例一的物联网下组密钥生成方法的信息交互示意图;
图10为本发明实施例提供的物联网下组密钥更新方法的信息交互示意图;
图11为本发明实施例提供的物联网下组密钥更新方法的信息交互示意图;
图12为本发明实施例的物联网下组密钥生成及更新系统的结构组成示意图。
具体实施方式
为了能够更加详尽地了解本发明实施例的特点与技术内容,下面结合附图对本发明实施例的实现进行详细阐述,所附附图仅供参考说明之用,并非用来限定本发明实施例。
实施例一:
如图1所示,本实施例提供一种物联网下组密钥生成方法,所述方法包括:
步骤S110:网络侧服务器生成第一参考信息;
步骤S120:接收组代理节点基于第二参考信息生成的第二关键信息;
步骤S130:基于所述第二关键信息,获得所述第二参考信息;
步骤S140:基于所述第一参考信息和所述第二参考信息获得组密钥。
本实施例所述的方法可为应用于网络侧服务器中的组密钥生成方法。在步骤S110中所述网络服务器将随机生成一个参考信息,该参考信息在本实施例中命名为第一参考信息。
在本实施例中所述第一参考信息可为所述网络侧服务器生成的一个随机数,例如,所述第一参考信息可包括第一随机数。所述第二参考信息可为所述组代理节点随机生成的而一个随机数,该随机数可称为第二随机数。当然在具体实现过程中,所述第一参考信息和所述第二参考信息都不限于随机数,所述第一参考信息可为所述网络侧服务器根据第一参考信息生成策略或基于用户指示形成的一个信息。当然所述第二参考信息可为组代理节点根据第二参考信息生成策略或基于用户操作指示形成的任意一个信息。总之,第一参考信息和所述第二参考信息不局限于所述第一随机数和所述第二随机数。
在本实施例中所述网络侧服务器还将从组代理节点接收第二关键信息,该第二关键信息是基于第二参考信息生成的。这里的步骤S120和步骤S110可以没有一定的先后顺序,可以是同时执行的,也可以是步骤S120在步骤S110之前执行,也可以步骤S120是在步骤S110之后执行的。
在步骤S130中可以直接提取所述第二关键信息中的第一参考信息。当然若所述第二关键信息是基于第一参考信息加密生成的,则所述步骤S130还可包括:解密所述第二关键信息获得所述第一参考信息。为了提升第二参考信息的安全性,在本实施例中在传输第二参考信息之前通过加密处理生成了所述第二关键信息。通过步骤S130对第二关键信息的信息处理,这样的话,网络侧服务器就同时获得了第一参考信息和第二参考信息,这样就能够利用第一参考信息和第二参考信息,获得组密钥。这里如何根据第一参考信息和第二参考信息生成所述组密钥,可以根据各种组密钥生成策略,通过对第一参考信息和第二参考信息得到所述组密钥。例如,所述第一参考信息和第二参考信息均为组密钥的组成部分,只有将第一参考信息和第二参考信息按照指定顺序排序起来才构成所述组密钥。例如,将所述第一随机数和第二随机数进行异或等逻辑运算会得到一个新数,该新数将构成所述组密钥。当然以上基于第一参考信息和第二参考信息生成组密钥的方式仅是举例,实际处理过程中不限于上述方式。
总之,在本实施例中所述组密钥的生成,不是能够由网络侧服务器一个通信节点决定的,必须由组代理节点提供第二关键信息,并从第二关键信息提取所述第二参考信息才能够获得组密钥,这种通过至少两个通信节点之间的信息交互动态生成的组密钥的方法,提升了组密钥在生成过程中及使用过程中的安全性,从而提升了通信节点之前利用组密钥进行通信的信息安全性。
作为本实施例的进一步改进,所述方法还包括:
利用第一参考信息生成第一关键信息;
将所述第一关键信息发送给所述组代理节点;
其中,所述第一关键信息用于通过所述组代理节点传输给所述组成员,供所述组成员获得所述第一参考信息;所述第一参考信息用于所述组成员获得所述组密钥。
在本实施例中所述网络侧服务器为了帮助所述组成员生成所述组密钥,在本实施例中所述网络侧服务器还将利用第一参考信息生成第一关键信息,并通过组代理节点将所述第一关键信息发送给组成员,这样的组成员就能够通过第一关键信息获得所述第一参考信息,进而能够基于第一参考信息获得所述组密钥;实现组成员的组密钥的获取。
在本实施例中所述利用第一参考信息生成第一关键信息,包括:
利用组成员的独立密钥对所述第一参考信息进行加密,形成所述第一关键信息。
在本实施例中所述组成员的独立密钥,为在组成员在与网络侧服务器进行组认证过程中生成的密钥,网络侧服务器和组成员都持有该密钥。利用该组成员的独立密钥对第一参考信息进行加密,一方面通过加密提高了第一参考信息的传输安全性,同时利用组成员的独立密钥进行加密,能够在不事先协商加密密钥的情况下,复用组成员的独立密钥进行加密和解密,简化了组成员的解密操作,提升了组密钥的生成效率,降低了组密钥生成的系统消耗成本。
所述第二关键信息是利用组代理节点的独立密钥对所述第二参考信息加密生成的;故所述步骤说S130包括:利用所述组代理节点的独立密钥解密所述第二关键信息,获得所述第二随机数。所述组代理节点的独立密钥可为所述组代理节点与网络侧服务器进行组认证过程中协商生成的密钥。在本实施例中复用组代理节点的独立密钥来生成第二关键信息,减少了本次组密钥生成过程中密钥的生成,同时方便了网络侧服务器的第二关键信息的解密,简化了组密钥的生成及减少了组密钥生成所消耗的系统资源,提升了组密钥生成的效率。同时加密的方式,提升了组密钥生成的安全性。
实施例二:
如2所示,本实施例提供一种密钥物联网下组密钥生成方法,所述方法包括:
步骤S210:组代理节点生成第二参考信息;
步骤S220:基于所述第二参考信息生成第二关键信息;
步骤S230:将所述第二关键信息发送给所述网络侧服务器;
步骤S240:基于所述第二参考信息生成第三关键信息;其中,所述第三关键信息用于所述组成员得到所述第二参考信息;
步骤S250:接收网络侧服务器基于第一参考信息生成的第一关键信息;
步骤S260:将所述第一关键信息和所述第三关键信息发送给组成员;其中,所述第一关键信息用于供所述组成员获得所述第一参考信息;所述第三关键信息用于所述组成员计算得到所述第二参考信息;所述第一参考信息和所述第二参考信息共同用于所述网络侧服务器或所述组成员获得组密钥。
本实施例所述的方法可为应用于组代理节点内的方法,所述组代理为网络侧服务节点和组成员之间的中间节点。在本实施例中,首先所述组代理节点将自动生成第二参考信息,所述第二参考信息的具体生成方法可以参见实施例一,在此就不重复了。在本实施例中组代理节点将基于第二参考信息生成第二关键信息,并将第二关键信息发送给网络侧服务器,方便网络侧服务器根据第二参考信息生成组密钥。当然在本实施例中所述方法还包括基于所述第二参考信息生成第三关键信息,并第三关键信息及从网络侧服务器接收的第一关键信息均发送给组成员。这样的组成员将分别利用所述第一关键信息和第三关键信息,获得第一参考信息和第二参考信息,从而形成组密钥。本实施例中组成员和网络侧服务器根据第一参考信息和第二参考信息生成的组密钥是同一个密钥或一对组密钥。在对称加密过程中,网络侧服务器和组成员生成的组密钥为一个密钥,这样网络侧服务器和组成员利用该组密钥进行信息交互过程中的加密或解密。在非对称加密过程中,网络服务器和组成员生成的密钥可为一对组密钥中公钥或私钥。利用私密加密必须由公钥才能进行解密。
在本实施例步骤S240中生成的第三关键信息的信息内容可以与所述第二关键信息的信息内容相同或不同,在本实施例优选为相同,总之,第三关键信息是发送给组成员的,而第二关键信息是发送给网络侧服务器的。
本实施例中所述第一参考信息可为所述网络侧服务器随机生成的第一随机数;所述第二参考信息可为组代理节点随机生成的第二随机数。
显然同样的本实施例中组密钥生成方法,也不是单个通信节点在不与其他节点进行信息交互的情况下就能完成的,这样采用节点间信息交互的方式生成组密钥,提升了组密钥生成和使用过程中的安全性,提升了系统的信息交互安全性。
所述方法还包括:
当组中的组成员更新时,更新所述第二参考信息;
利用更新后的所述第二参考信息更新所述第二关键信息;
利用更新后的所述第二参考信息更新所述第三关键信息;
将更新后的所述第二关键信息发送给所述网络侧服务器;
将更新后的第三关键信息发送给更新后的所述组成员。
当然这里的组成员更新可包括组成员的离开和组成员的加入。
当有组成员更新时,为了保证后续组成员、组代理节点及网络侧服务器之间通信的安全性,需要重新生成组密钥。故在本实施例中所述组代理节点,在检测到组成员有更新时,将更新所述第二参考信息,并根据更新后的第二参考信息更新第二关键信息和第三关键信息,将更新后的第二关键信息和第三关键信息分别发送给网络侧服务器和组成员节点。网络侧服务器在接收到更新后的第二关键信息,会重新提取第二参考信息,从而获得更新后的第二参考信息,利用第一参考信息和参考后的第二参考信息,就会获得更新后的组密钥。在具体的实现过程中,更新后的第二参考信息与更新前的第二参考信息是不同的,以确保更新后的组密钥与更新前的组密钥是不同的。同样的组成员在接收到更新的第二关键信息后,会重新根据第二关键信息获得更新后的第二参考信息,从而更新组密钥。
显然在这个过程中,网络侧服务器没有重新生成第一参考信息,简化了网络侧服务器的操作,且该组密钥的重新生成是由组代理节点发起的,与以往的所有组密钥的生成都是由网络侧服务器发起的不同,显然简化了网络侧的操作,减少了网络侧的负荷,减少了网络侧服务器的系统消耗。
以下分别介绍组成员节点的离开和组成员的加入两种情况下,组密钥生成过程中涉及的信息交互。
所述组成员更新包括组成员的离开;有鉴于此,所述方法还包括:
接收需要离开的所述组成员发送的离开请求;
将所述离开请求发送给所述网络侧服务器;
接收所述网络侧服务器基于所述离开请求触发的组密钥更新请求;
所述当组中的组成员更新时,更新所述第二参考信息,包括:当接收到所述组密钥更新请求时,更新所述第二参考信息。
在本实施例中组成员需要离开时,会向组代理节点发送离开请求,组代理节点将会该离开请求转发给网络侧服务器,网络侧服务器在处理离开请求处理策略的前提下进行离开请求的处理,例如在组中删除该组成员;或者审核是否允许该节点的离开等。这样当网络侧服务器确定有组成员离开,有必要需要更新所述组密钥时,将生成所述组密钥更新请求,这样组代理节点将从网络侧服务器接收到所述组密钥更新请求,在接收到所述组密钥更新请求,将更新所述第二关键信息等步骤,并执行后续组密钥的重新生成的过程。
所述组成员更新包括组成员的加入;有鉴于此,所述方法还包括:
接收加入请求;
将所述加入请求发送给所述网络侧服务器;
接收所述网络侧服务器基于所述加入请求触发的组密钥更新请求;
所述当组中的组成员更新时,更新所述第二参考信息,包括:当接收到所述组密钥更新请求时,更新所述第二参考信息。
这里的加入请求可为请求加入成为所述组成员的通信节点发送的请求。组代理节点接收到该加入请求之后,将所述加入请求发送给网络侧服务器,网络侧服务器利用加入请求处理策略对加入请求进行处理,例如将对应的通信节点加入组内成为所述组成员或审核是否准许该通信节点的加入;再比如在有组成员加入后,形成所述组密钥更新请求。组代理节点从网络侧服务器接收到组密钥更新请求后,将更新所述第二参考信息,进而触发后续组密钥的更新处理,以根据组成员的更新,动态更新组密钥,提升组密钥的生成和使用的安全性。
在本实施例中,所述步骤S220包括:利用组代理节点的独立密钥对所述第二参考信息进行加密,生成所述第二关键信息;
所述步骤S240可包括:利用组内会话密钥对所述第二参考信息进行加密,生成所述第三关键信息。
在本实施例中,首先所述第二关键信息和所述第三关键信息都是加密信息,这样的话,提升了第二参考信息在信息传输过程中的被破解的难度,提升了第二参考信息的信息安全性;同时如实施例一所述的所述组代理节点的独立密钥和所述组内会话密钥可为组认证等过程中形成的密钥,复用组代理节点的独立密钥和组内会话密钥来加密第二参考信息,这样减少了组密钥生过程中加密第二参考信息的密钥的协商,减少了密钥的个数,简化了第二参考信息的加密和解密操作,提升了组代理节点的独立密钥和组内会话密钥的利用率。
实施例三:
如图3所示,本实施例提供一种密钥物联网下组密钥生成方法,所述方法包括:
步骤S310:接收组代理节点转发的网络侧服务器基于第一参考信息生成的第一关键信息;
步骤S320:基于所述第一关键信息获得所述第一参考信息;
步骤S330:接收所述组代理节点基于第二参考信息生成的第三关键信息;
步骤S340:基于所述第三关键信息获得所述第二参考信息;
步骤S350:基于所述第一参考信息和所述第二参考信息生成组密钥。
本实施例所述的方法可为运用在组成员中的方法,这的组成员可通过组代理节点与网络侧服务器进行交互。
在本实施例中所述步骤S310中接收的第一关键信息和所述步骤S330中接收的第三关键信息,可以为一同发送的,也可以是分开发送的。
在本实施例中所述第一关键信息和第一参考信息来自网络侧服务器,第三关键信息和第二参考信息来自组代理节点,在步骤S350中生成的组密钥是基于不同通信节点产生的信息的生成的,提升了组密钥被破解和被盗取的难度,提升了组密钥在生成和使用过程的安全性。
作为本实施例的进一步改进,所述第一关键信息为利用组成员的独立密钥对第一参考信息加密生成的;所述第三关键信息利用组内会话密钥对第二参考信息加密生成的。所述步骤S320可包括:利用所述组成员的独立密钥解密所述第一关键信息,获得所述第一参考信息。所述步骤S340可包括:利用所述组内会话密钥解密所述第三关键信息获得第二参考信息。
显然在本实施例中所述第一关键信息和第三关键信息都是加密信息,这样能够更好的保护第一参考信息和第二参考信息的信息安全性。同时复用组内会话密钥或组成员的独立密钥进行信息加密和解密,能够简化加密和解密操作,提升了组密钥的生成效率。
实施例四:
如图4所示,本发明实施例提供一种通信节点,所述通信节点为网络侧服务器;所述网络侧服务器包括:
第一生成单元110,用于生成第一参考信息;
第一接收单元120,用于接收组代理节点基于第二参考信息生成的第二关键信息;
第一获得单元130,用于基于所述第二关键信息,获得所述第二参考信息;
第二获得单元140,用于基于所述第一参考信息和所述第二参考信息获得组密钥。
本实施例所述第一生成单元110、第一获得单元130和第二获得单元140的具体结构可对应于服务器中的处理器或处理电路;所述处理器可包括中央处理器、微处理器、微处理器、数字信号处理器或可编程阵列等具有信息处理能力的结构。所述处理电路可包括专用集成电路等。所述处理器或处理电路可通过执行指定代码,实现上述各个单元的功能。
所述第一接收单元120可对应于接收接口,该接收接口与组代理节点相连,可为有线接口或无线接口,该有线接口可为电缆接口或光缆接口,所述无线接口可各种类型的接收天线等。
总之,本实施例所述组密钥的生成,是依据网络侧服务器本身生成的一参考信息及组代理节点生成的第二参考信息生成的,具有组密钥的生成和使用的安全性高的特点。
具体地,所述第一生成单元110,还用于利用第一参考信息生成第一关键信息;
所述网络侧服务器还包括:
第一发送单元,用于将所述第一关键信息发送给所述组代理节点;
其中,所述第一关键信息用于通过所述组代理节点传输给所述组成员,供所述组成员获得所述第一参考信息;所述第一参考信息用于所述组成员获得所述组密钥。
在本实施例中所述第一生成单元还将生成第一关键信息,该第一关键信息可由组代理节点发送给组成员,这样能够方便组成员能够根据第一参考信息自动生成组密钥,而非直接传输组密钥,提升了组密钥的安全性。
具体地,所述第一生成单元110可具体用于利用组成员的独立密钥对所述第一参考信息进行加密,形成所述第一关键信息。进一步地,所述第二关键信息是利用组代理节点的独立密钥对所述第二参考信息加密生成的;所述第一获得单元,可具体用于利用所述组代理节点的独立密钥基于所述第二关键信息,获得所述第二参考信息。
这样的话,第一参考信息和第二参考信息的传输都是加密的,提高了第一参考信息和第二参考信息在传输过程中的安全性,再次提高了组密钥的生成和使用安全性。
实施例五:
如图5所示,本实施例提供一种通信节点,所述通信节点为组代理节点;所述组代理节点包括第二生成单元210、第二发送单元220及第二接收单元230:
所述第二生成单元210,用于生成第二参考信息,及基于所述第二参考信息生成第二关键信息;
所述第二发送单元220,用于将所述第二关键信息发送给所述网络侧服务器;
所述第二生成单元210,还用于基于所述第二参考信息生成第三关键信息;其中,所述第三关键信息用于所述组成员得到所述第二参考信息;
所述第二接收单元230,用于接收网络侧服务器基于第一参考信息生成的第一关键信息;
所述第二发送单元220,还用于将所述第一关键信息和所述第三关键信息发送给组成员;其中,所述第一关键信息用于供所述组成员获得所述第一参考信息;所述第三关键信息用于所述组成员计算得到所述第二参考信息;所述第一参考信息和所述第二参考信息共同用于所述网络侧服务器或所述组成员获得组密钥。
本实施例中所述组代理节点可作为网络侧服务器和组成员之间的中转节点,能够通过第二参考信息及第一关键信息收发等处理,能够协助网络侧服务器和组成员动态的根据不同通信节点生成的信息,生成组密钥;提升了组密钥的生成和使用的安全性。
在本实施例中所述第二生成单元210的具体结构可与前述实施例中的第一生成单元的硬件结构相类似,可都对应于处理器或处理电路等,但是第二生成单元210对应的是组代理节点中的处理器或处理电路。
在本实施例中所述第二接收单元230和第二发送单元220均可以对应于组代理节点中的通信接口,这里的通信接口可为无线接口或有线接口,能够收发各种信息。
所述第二生成单元210,还用于当组中的组成员更新时,更新所述第二参考信息,利用更新后的所述第二参考信息更新所述第二关键信息;及利用更新后的所述第二参考信息更新所述第三关键信息;
所述第二发送单元220,还用于将更新后的所述第二关键信息发送给所述网络侧服务器;及将更新后的第三关键信息发送给更新后的所述组成员。
在本实施例中所述组成员更新时,所述第二生成单元210将会更新所述第二参考信息,并对应的更新所述第二关键信息和第三关键信息,最终实现组密钥的更新,这样能够再次提升组密钥的安全性。
具体地,所述组成员更新包括组成员的离开。所述第二接收单元230还可用于接收需要离开的所述组成员发送的离开请求;所述第二发送单元220还可用于将所述离开请求发送给所述网络侧服务器;所述第二接收单元,还用于接收所述网络侧服务器基于所述离开请求触发的组密钥更新请求;所述第二生成单元210具体用于当接收到所述组密钥更新请求时,更新所述第二参考信息。
当所述组成员更新包括组成员的加入时,所述第二接收单元230可用于接收加入请求;所述第二发送单元220可用于将所述加入请求发送给所述网络侧服务器;所述第二接收单元230可用于接收所述网络侧服务器基于所述加入请求触发的组密钥更新请求;所述第二生成单元可具体用于当接收到所述组密钥更新请求时,更新所述第二参考信息。
作为本实施例的进一步改进,所述第二生成单元210具体可用于利用组代理节点的独立密钥对所述第二参考信息进行加密,生成所述第二关键信息;及利用组内会话密钥对所述第二参考信息进行加密,生成所述第三关键信息。
故所述第二生成单元210可为各种加密结构,利用所述组代理节点的独立密钥和素数组内会话密钥分别对第二参考信息进行加密,得到第二关键信息和第三关键信息。
实施例六:
如图6所示,本实施例提供一种通信节点,所述通信节点为组成员;所述组成员包括:
第三接收单元310,用于接收组代理节点转发的网络侧服务器基于第一参考信息生成的第一关键信息;及接收所述组代理节点基于第二参考信息生成的第三关键信息;
第三获得单元320,用于基于所述第一关键信息获得所述第一参考信息;及基于所述第三关键信息获得所述第二参考信息;
第三生成单元330,用于利用所述第一随机数和所述第二随机数获得得到组密钥。
在本实施例中所述第三接收单元可对应于各种能够与组代理节点进行通信的通信接口,例如有线接口或无线接口。这里的有线接口可包括电缆接口或光缆接口;所述无线接口可包括各种接收天线。这里的组成员,可以获取网络侧服务器生成第一参考信息和组代理节点生成的第二参考信息,自动生成组密钥,相对于现有技术中一个通信节点不与其他通信节点交互的情况下,生成的组密钥,具有组密钥的生成和使用安全性高的特点。
所述第一关键信息为利用组成员的独立密钥对第一参考信息加密生成的。
所述第三关键信息为利用组内会话密钥对第二参考信息加密生成的。
所述第三获取单元,可具体用于利用所述组成员的独立密钥解密所述第一关键信息,获得所述第一参考信息;及利用所述组内会话密钥解密所述第三关键信息获得第二参考信息。
显然此时的所述第二获得单元220可对应于各种具有解密能力的解密结构,这样都能够确保第一参考信息和第二参考信息的安全性,及组密钥的生成和使用的安全性。
以下结合上述实施例提供一些具体示例:
示例一:
图7为本发明实施例的物联网下组密钥生成方法的流程示意图,如图7所示,所述方法包括以下步骤:
步骤101:网络侧服务器利用第一随机数生成第一关键信息。这里的第一随机数可为前述第一参考信息的一种。具体地,网络侧服务器生成第一随机数;
利用所述第一随机数以及组成员在组认证过程中生成的独立密钥计算第一关键信息,将所述第一关键信息发送给组代理节点。
步骤102:组代理节点利用第二随机数以及组内会话密钥计算第三关键信息,利用所述第二随机数以及所述组代理节点的独立秘钥计算第二关键信息。
具体地,所述组代理节点生成第二随机数;
利用所述第二随机数以及组成员在组认证中生成的组内会话密钥计算第三关键信息;
利用所述第二随机数以及所述组代理节点的独立密钥计算第二关键信息;
将所述第一关键信息和所述第三关键信息发送给每个组成员,将所述第二关键信息发送给所述网络侧服务器。
步骤103:所述网络侧服务器利用所述组代理节点的独立秘钥对所述第二关键信息进行解密得到所述第二随机数,利用所述第二随机数、所述第一随机数计算得到组秘钥。
步骤104:所述组成员利用所述组内会话密钥对所述第三关键信息进行解密得到所述第二随机数,以及利用所述组成员的独立密钥对所述第一关键信息进行解密得到所述第一随机数,利用所述第二随机数、所述第一随机数计算得到组秘钥。
示例二:
图8为本发明实施例的物联网下组密钥动态更新方法的流程示意图,如图8所示,所述物联网下组密钥动态更新方法包括以下步骤:
步骤201:当现有组中的组成员更新时,所述组代理节点生成新的第三随机数,并利用所述第三随机数以及组内余下组成员的组内会话密钥计算第四关键信息,利用所述第三随机数以及所述组代理节点的独立密钥计算第五关键信息。这里的第三随机数为前述实施例中的更新后的第二参考参数;所述第四关键信息即为前述的实施例中提到的更新的第三关键信息。这里的第五关键信息即为前述实施例中提到的更新的第二关键信息。
这里,组成员更新有两种情况:一种是组成员离开现有组,另一种是新组成员加入现有组。
当所述族中的组成员更新为组成员离开现有组时,所述方法还包括:
当组成员离开现有组时,所述组成员向组代理节点发送离开请求;
所述组代理节点将所述离开请求发送给网络侧服务器;
所述网络侧服务器接收到所述离开请求后,在数据库中将离开的组成员从族中删除;所述网络服务器向所述组代理节点发送组秘钥更新请求。
当所述族中的组成员更新为新组成员加入现有组时,所述方法还包括:
当新组成员加入现有组时,向组代理节点发送加入请求;
所述组代理节点将所述加入请求发送至网络侧服务器;
所述网络侧服务器接收到所述加入请求后,在数据库中将所述新组成员加入到族中;所述网络服务器向所述组代理节点发送组秘钥更新请求。
本发明实施例中,所述向组代理节点发送加入请求之前,所述方法还包括:
新组成员与网络侧服务器完成注册及身份认证。
所述新组成员与网络侧服务器完成注册及身份认证,包括:
所述新组成员与网络侧服务器之间利用共享密钥或证书方式进行一对一认证;
或者,所述新组成员利用组认证方式与网络侧服务器之间进行身份认证。
步骤202:所述网络侧服务器利用所述组代理节点的独立密钥对所述第五关键信息进行解密得到所述第三随机数,利用所述第三随机数、第一随机数计算得到更新的组秘钥。
步骤203:所述组内余下组成员利用组内余下组成员的组内会话密钥对所述第二关键信息进行解密,得到所述第三随机数,利用所述第三随机数、第一随机数计算得到更新的组秘钥。
示例三:
图9为本发明实施例一的物联网下组密钥生成方法的信息交互示意图,如图9所示,所述物联网下组密钥生成方法包括以下步骤:
步骤301:网络侧服务器生成随机数Rs并利用与每个组成员Ai在组认证过程中生成的独立密钥Ki计算EKi(Rs)。这里的随机数Rs对应于所述第一参考信息;这里的独立密钥Ki对应于前述实施例中组成员的独立密钥。这的EKi(Rs)即可对应于所述第一关键信息。
步骤302:网络侧服务器将EKi(Rs)发送给组代理节点A1。
步骤303:组代理节点A1生成随机数Ra并利用与每个组成员在组认证中生成的组内会话密钥SKi计算ESki(Ra),利用自身的独立密钥K1计算EK1(Ra)。这里的随机数Ra可对应于前述实施例中提到的第二参考参数;这里的ESki(Ra)对应于前述实施例中提到的第三关键信息;这里的EK1(Ra)对应于前述实施例中提到的第二关键信息。
步骤304:组代理节点A1将EKi(Rs)和ESki(Ra)转发给每个组成员Ai。
步骤305:组代理节点A1将EK1(Ra)发送给网络侧服务器。
步骤306:网络侧服务器在收到组代理节点A1发送的EK1(Ra)后,利用K1解密得到随机数Ra,并计算出组密钥K=F(Ra,Rs)。
步骤307:每个组成员Ai在收到组代理节点A1发送的EKi(Rs)和ESki(Ra)后,利用Ki解密得到随机数Rs,利用组内会话密钥Ski解密得到随机数Ra,并计算出组密钥K=F(Ra,Rs)。
示例四:
图10为本发明实施例二的物联网下组密钥更新方法的信息交互示意图,如图10所示,所述物联网下组密钥更新方法包括以下步骤:
步骤401:任意现有组成员Am(2≤m≤n)离开现有组时,发送离开请求给组代理节点A1。
步骤402:组代理节点A1转发组成员Am的离开请求给网络侧服务器。
步骤403:网络侧服务器接收到该消息后,在数据库中将对应的组成员Am从原有组中删除。
步骤404:网络侧服务器向组代理节点A1发送组密钥更新请求触发组密钥更新操作。
步骤405:组代理节点A1生成新的随机数Ra’,并利用与组内余下组成员的组内会话密钥SKi计算ESki(Ra’),利用自身的独立密钥K1计算EK1(Ra’)。
步骤406:组代理节点A1将ESki(Ra’)发送给组内余下成员。
步骤407:组代理节点A1将EK1(Ra’)发送给网络侧服务器。
步骤408:网络侧服务器在收到组代理节点A1发送的EK1(Ra’)后,利用K1解密得到随机数Ra’,并计算出组密钥K=F(Ra’,Rs)。
步骤409:每个余下组成员Ai在收到组代理节点A1发送的ESki(Ra’)后,利用Ski解密得到随机数Ra’,并计算出组密钥K=F(Ra’,Rs)。
示例五
图11为本发明实施例三的物联网下组密钥更新方法的信息交互示意图,如图11所示,所述物联网下组密钥更新方法包括以下步骤:
步骤501:新组成员Aj与网络侧服务器完成注册及身份认证。
步骤502:新组成员Aj(j>n)加入组时,发送加入请求给组代理节点A1。
步骤503:组代理节点A1转发组成员Aj的加入请求给网络侧服务器。
步骤504:网络侧服务器接收到该消息后,在数据库中将对应的组成员Aj加入到该组内。
步骤505:网络侧服务器向组代理节点A1发送组密钥更新请求触发组密钥更新操作。
步骤506:组代理节点A1生成新的随机数Ra*,并利用与组内余下组成员的组内会话密钥SKi计算ESki(Ra*),利用自身的独立密钥K1计算EK1(Ra*)。
步骤507:组代理节点A1将ESki(Ra*)发送给组内余下成员。
步骤508:组代理节点A1将EK1(Ra*)发送给网络侧服务器。
步骤509:网络侧服务器在收到组代理节点A1发送的EK1(Ra*)后,利用K1解密得到随机数Ra*,并计算出组密钥K=F(Ra*,Rs)。
步骤510:每个余下组成员Ai在收到组代理节点A1发送的ESki(Ra*)后,利用Ski解密得到随机数Ra*,并计算出组密钥K=F(Ra*,Rs)。
示例六
图12为本发明实施例的物联网下组密钥生成及更新系统的结构组成示意图,如图12所示,所述物联网下组密钥生成及更新系统包括:网络侧服务器61、组代理节点62、组成员63;其中,
所述网络侧服务器61,用于利用第一随机数以及组成员63的独立密钥计算第一关键信息;
所述组代理节点62,用于利用第二随机数以及组内会话密钥计算第三关键信息,利用所述第二随机数以及所述组代理节点62的独立秘钥计算第二关键信息;
所述网络侧服务器61,还用于利用所述组代理节点62的独立秘钥对所述第二关键信息进行解密得到所述第二随机数,利用所述第二随机数、所述第一随机数计算得到组秘钥;
所述组成员63,还用于利用所述组内会话密钥对所述第三关键信息进行解密得到所述第二随机数,以及利用所述组成员63的独立密钥对所述第一关键信息进行解密得到所述第一随机数,利用所述第二随机数、所述第一随机数计算得到组秘钥。
本发明实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
在本发明所提供的几个实施例中,应该理解到,所揭露的方法和智能设备,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个第二处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。
Claims (15)
1.一种物联网下组密钥生成方法,其特征在于,所述方法包括:
网络侧服务器生成第一参考信息;其中,所述第一参考信息用于所述网络侧服务器及组成员获得组密钥;
利用组成员的独立密钥对所述第一参考信息进行加密,形成第一关键信息;其中,所述第一关键信息用于通过组代理节点传输给所述组成员,供所述组成员获得所述第一参考信息;
将所述第一关键信息发送给所述组代理节点;
接收所述组代理节点基于第二参考信息生成的第二关键信息;其中,所述第二关键信息由所述组代理节点,利用所述组代理节点的独立密钥,对所述第二参考信息加密生成;
利用所述组代理节点的独立密钥对所述第二关键信息解密,获得所述第二参考信息;
基于所述第一参考信息和所述第二参考信息获得组密钥。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当组中的组成员更新时,接收所述组代理节点发送的更新后的第二关键信息;其中,所述更新后的第二关键信息由所述组代理节点,利用所述组代理节点的独立密钥,对更新后的第二参考信息加密生成;
利用所述组代理节点的独立密钥,对所述更新后的第二关键信息解密,获得所述更新后的第二参考信息;
基于所述第一参考信息和所述更新后的第二参考信息获得组密钥。
3.根据权利要求2所述的方法,其特征在于,
所述组成员更新包括组成员的离开;
所述方法还包括:
接收所述组代理节点转发的需要离开的组成员发送的离开请求;
基于所述离开请求触发组密钥更新请求;
将所述组密钥更新请求发送给所述组代理节点。
4.根据权利要求2所述的方法,其特征在于,
所述组成员更新包括组成员的加入;
所述方法还包括:
接收所述组代理节点转发的加入请求;
基于所述加入请求触发组密钥更新请求;
将所述组密钥更新请求发送给所述组代理节点。
5.一种密钥物联网下组密钥生成方法,其特征在于,所述方法包括:
组代理节点生成第二参考信息;
基于所述第二参考信息生成第二关键信息;
将所述第二关键信息发送给网络侧服务器;
基于所述第二参考信息生成第三关键信息;其中,所述第三关键信息用于组成员得到所述第二参考信息;
接收网络侧服务器基于第一参考信息生成的第一关键信息;
将所述第一关键信息和所述第三关键信息发送给组成员;其中,所述第一关键信息用于供所述组成员获得所述第一参考信息;所述第三关键信息用于所述组成员计算得到所述第二参考信息;所述第一参考信息和所述第二参考信息共同用于所述网络侧服务器或所述组成员获得组密钥。
6.根据权利要求5所述的方法,其特征在于,
所述方法还包括:
当组中的组成员更新时,更新所述第二参考信息;
利用更新后的所述第二参考信息更新所述第二关键信息;
利用更新后的所述第二参考信息更新所述第三关键信息;
将更新后的所述第二关键信息发送给所述网络侧服务器;
将更新后的第三关键信息发送给更新后的所述组成员。
7.根据权利要求6所述的方法,其特征在于,
所述组成员更新包括组成员的离开;
所述方法还包括:
接收需要离开的所述组成员发送的离开请求;
将所述离开请求发送给所述网络侧服务器;
接收所述网络侧服务器基于所述离开请求触发的组密钥更新请求;
所述当组中的组成员更新时,更新所述第二参考信息,包括:
当接收到所述组密钥更新请求时,更新所述第二参考信息。
8.根据权利要求6所述的方法,其特征在于,
所述组成员更新包括组成员的加入;
所述方法还包括:
接收加入请求;
将所述加入请求发送给所述网络侧服务器;
接收所述网络侧服务器基于所述加入请求触发的组密钥更新请求;
所述当组中的组成员更新时,更新所述第二参考信息,包括:
当接收到所述组密钥更新请求时,更新所述第二参考信息。
9.根据权利要求5至8任一项所述的方法,其特征在于,
所述基于所述第二参考信息生成第二关键信息,包括:
利用组代理节点的独立密钥对所述第二参考信息进行加密,生成所述第二关键信息;
所述基于所述第二参考信息生成第三关键信息,包括:
利用组内会话密钥对所述第二参考信息进行加密,生成所述第三关键信息。
10.一种密钥物联网下组密钥生成方法,其特征在于,所述方法包括:
接收组代理节点转发的网络侧服务器基于第一参考信息生成的第一关键信息;其中,所述第一关键信息由所述网络侧服务器利用组成员的独立密钥对所述第一参考信息加密生成;
利用所述组成员的独立密钥对所述第一关键信息解密,获得所述第一参考信息;
接收所述组代理节点基于第二参考信息生成的第三关键信息;其中,所述第三关键信息由所述组代理节点,利用组内会话密钥对所述第二参考信息加密生成;
利用所述组内会话密钥对所述第三关键信息解密,获得所述第二参考信息;
基于所述第一参考信息和所述第二参考信息生成组密钥。
11.根据权利要求10所述的方法,其特征在于,所述方法还包括:
当组中的组成员更新时,接收所述组代理节点发送的更新后的第三关键信息;其中,所述更新后的第三关键信息由所述组代理节点,利用所述组内会话密钥对更新后的第二参考信息加密生成;
利用所述组内会话密钥对所述更新后的第三关键信息解密,获得所述更新后的第二参考信息;
基于所述第一参考信息和所述更新后的第二参考信息生成组密钥。
12.一种通信节点,其特征在于,所述通信节点为网络侧服务器;所述网络侧服务器包括:
第一生成单元,用于:生成第一参考信息;利用组成员的独立密钥对所述第一参考信息进行加密,形成第一关键信息;其中,所述第一参考信息用于所述网络侧服务器和所述组成员获得组密钥;所述第一关键信息用于通过组代理节点传输给所述组成员,供所述组成员获得所述第一参考信息;
第一发送单元,用于将所述第一关键信息发送给所述组代理节点;
第一接收单元,用于接收所述组代理节点基于第二参考信息生成的第二关键信息;其中,所述第二关键信息由所述组代理节点利用所述组代理节点的独立密钥对所述第二参考信息加密生成;
第一获得单元,用于利用所述组代理节点的独立密钥对所述第二关键信息解密,获得所述第二参考信息;
第二获得单元,用于基于所述第一参考信息和所述第二参考信息获得组密钥。
13.一种通信节点,其特征在于,所述通信节点为组代理节点;所述组代理节点包括第二生成单元、第二发送单元及第二接收单元:
所述第二生成单元,用于生成第二参考信息,及基于所述第二参考信息生成第二关键信息;
所述第二发送单元,用于将所述第二关键信息发送给网络侧服务器;
所述第二生成单元,还用于基于所述第二参考信息生成第三关键信息;其中,所述第三关键信息用于组成员得到所述第二参考信息;
所述第二接收单元,用于接收网络侧服务器基于第一参考信息生成的第一关键信息;
所述第二发送单元,还用于将所述第一关键信息和所述第三关键信息发送给组成员;其中,所述第一关键信息用于供所述组成员获得所述第一参考信息;所述第三关键信息用于所述组成员计算得到所述第二参考信息;所述第一参考信息和所述第二参考信息共同用于所述网络侧服务器或所述组成员获得组密钥。
14.根据权利要求13所述的通信节点,其特征在于,
所述第二生成单元,还用于当组中的组成员更新时,更新所述第二参考信息,利用更新后的所述第二参考信息更新所述第二关键信息;及利用更新后的所述第二参考信息更新所述第三关键信息;
所述第二发送单元,还用于将更新后的所述第二关键信息发送给所述网络侧服务器;及将更新后的第三关键信息发送给更新后的所述组成员。
15.一种通信节点,其特征在于,所述通信节点为组成员;所述组成员包括:
第三接收单元,用于接收组代理节点转发的网络侧服务器基于第一参考信息生成的第一关键信息;及接收所述组代理节点基于第二参考信息生成的第三关键信息;其中,所述第一关键信息由所述网络侧服务器利用所述组成员的独立密钥对所述第一参考信息加密生成;所述第三关键信息由所述组代理节点利用组内会话密钥对所述第二参考信息加密生成;
第三获得单元,用于利用所述组成员的独立密钥对所述第一关键信息解密,获得所述第一参考信息;及利用所述组内会话密钥对所述第三关键信息解密,获得所述第二参考信息;
第三生成单元,用于利用所述第一参考信息和所述第二参考信息获得组密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510933360.1A CN106888083B (zh) | 2015-12-15 | 2015-12-15 | 物联网下组密钥生成方法及通信节点 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510933360.1A CN106888083B (zh) | 2015-12-15 | 2015-12-15 | 物联网下组密钥生成方法及通信节点 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106888083A CN106888083A (zh) | 2017-06-23 |
| CN106888083B true CN106888083B (zh) | 2020-04-21 |
Family
ID=59173697
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510933360.1A Active CN106888083B (zh) | 2015-12-15 | 2015-12-15 | 物联网下组密钥生成方法及通信节点 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106888083B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108055128B (zh) * | 2017-12-18 | 2021-11-19 | 数安时代科技股份有限公司 | Rsa密钥的生成方法、装置、存储介质及计算机设备 |
| US11115193B2 (en) | 2017-12-29 | 2021-09-07 | Intel Corporation | Technologies for internet of things key management |
| CN114448609A (zh) * | 2020-10-16 | 2022-05-06 | 中国移动通信有限公司研究院 | 组密钥的管理方法、装置、相关设备及存储介质 |
| CN114448608A (zh) * | 2020-10-16 | 2022-05-06 | 中国移动通信有限公司研究院 | 组密钥的管理方法、装置、相关设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101677271A (zh) * | 2008-09-19 | 2010-03-24 | 华为技术有限公司 | 一种组播密钥管理的方法、装置及系统 |
| CN101442419B (zh) * | 2007-11-21 | 2010-12-08 | 华为技术有限公司 | 确定组播代理节点的方法、组播方法、设备及系统 |
| CN103096309A (zh) * | 2011-11-01 | 2013-05-08 | 华为技术有限公司 | 生成组密钥的方法和相关设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7103185B1 (en) * | 1999-12-22 | 2006-09-05 | Cisco Technology, Inc. | Method and apparatus for distributing and updating private keys of multicast group managers using directory replication |
| CN101106449B (zh) * | 2006-07-13 | 2010-05-12 | 华为技术有限公司 | 实现多方通信安全的系统和方法 |
-
2015
- 2015-12-15 CN CN201510933360.1A patent/CN106888083B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101442419B (zh) * | 2007-11-21 | 2010-12-08 | 华为技术有限公司 | 确定组播代理节点的方法、组播方法、设备及系统 |
| CN101677271A (zh) * | 2008-09-19 | 2010-03-24 | 华为技术有限公司 | 一种组播密钥管理的方法、装置及系统 |
| CN103096309A (zh) * | 2011-11-01 | 2013-05-08 | 华为技术有限公司 | 生成组密钥的方法和相关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106888083A (zh) | 2017-06-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101486030B1 (ko) | 센서 네트워크에서 인증 및 비밀 키 관리 메커니즘을 결합하는 방법 | |
| JP5288210B2 (ja) | ネットワークでのユニキャスト鍵の管理方法およびマルチキャスト鍵の管理方法 | |
| JP5106682B2 (ja) | マシン・ツー・マシン通信のための方法及び装置 | |
| RU2406251C2 (ru) | Способ и устройство для установления безопасной ассоциации | |
| ES2397063T3 (es) | Autenticación para protocolos de aplicación IP basados en procedimientos IMS del 3GPP | |
| US8831227B2 (en) | Method and system for establishing secure connection between stations | |
| EP3364595A1 (en) | Key configuration method and key management center, and network element | |
| US20200228977A1 (en) | Parameter Protection Method And Device, And System | |
| CN106888083B (zh) | 物联网下组密钥生成方法及通信节点 | |
| CN108964897B (zh) | 基于群组通信的身份认证系统和方法 | |
| CN110808834B (zh) | 量子密钥分发方法和量子密钥分发系统 | |
| CN110769420B (zh) | 网络接入方法、装置、终端、基站和可读存储介质 | |
| CN112332986B (zh) | 一种基于权限控制的私有加密通信方法及系统 | |
| CN106789057B (zh) | 卫星通信协议下的密钥协商方法及系统 | |
| CN108964895B (zh) | 基于群组密钥池和改进Kerberos的User-to-User身份认证系统和方法 | |
| CN108880799B (zh) | 基于群组密钥池的多次身份认证系统和方法 | |
| CN108768632B (zh) | 一种基于对称密钥池和中继通信的aka身份认证系统和方法 | |
| US20160337850A1 (en) | Security method and system for supporting prose group communication or public safety in mobile communication | |
| KR101421259B1 (ko) | 스위치 장비들 사이에서 보안 연결을 확립하는 방법 및 시스템 | |
| US8793494B2 (en) | Method and apparatus for recovering sessions | |
| KR100892616B1 (ko) | 무선 센서 네트워크에서의 새로운 장치 참여 방법 | |
| WO2004107645A1 (fr) | Procede de mise a jour d'une cle partagee | |
| RU2006140776A (ru) | Возможность быстрого и защищенного соединения для подвижного узла | |
| US20170359178A1 (en) | Network communication method having function of recovering terminal session | |
| CN105592433B (zh) | 设备到设备限制发现业务广播、监听方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |