CN108260125A - 一种基于d2d通信的内容分发应用的密钥分发方法 - Google Patents
一种基于d2d通信的内容分发应用的密钥分发方法 Download PDFInfo
- Publication number
- CN108260125A CN108260125A CN201810054448.XA CN201810054448A CN108260125A CN 108260125 A CN108260125 A CN 108260125A CN 201810054448 A CN201810054448 A CN 201810054448A CN 108260125 A CN108260125 A CN 108260125A
- Authority
- CN
- China
- Prior art keywords
- message
- encryption key
- key
- mobile equipment
- management module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
Abstract
本发明公开了一种基于D2D通信的内容分发应用的密钥分发方法,包括:移动设备向集中管控模块发送内容服务请求消息,集中管控模块处理内容服务请求消息,集中管控模块向密钥管理服务器发送加密密钥请求消息,密钥管理服务器处理加密密钥请求消息,密钥管理服务器向集中管控模块发送加密密钥响应消息,集中管控模块处理加密密钥响应消息,集中管控模块向发起移动设备发送加密密钥分发消息,移动设备处理加密密钥分发消息,集中管控模块向发起移动设备发送内容加密密钥分发消息,移动设备处理内容加密密钥分发消息。本发明采用了将内容加密密钥分发功能分布到集中管控模块,不需要与密钥管理服务器进行交互,减少了密钥分发的瓶颈。
Description
技术领域
本发明涉及密钥分发技术领域,尤其涉及一种基于D2D通信的内容分发应用的密钥分发方法。
背景技术
D2D(Device to Device)通信是5G移动通信技术中一种重要的技术之一,通过实现设备间直接通信,能够降低到端时延、改善网络覆盖、提升网络的通信容量,其与传统的基于基站通信的方式相互补充,能够提升用户体验速率。
内容分发应用场景是移动通信应用中的一个重要场景。现在智能手机都具备多媒体播放功能,内容分发占据了大量的通信带宽。如何提升内容分发的效率,减少对通信带宽等资源的占用,已经成为一个移动通信中非常重要的研究问题,这需要新的技术去解决该问题。
D2D通信是设备间进行通信,其不需要通过基站进行中转,而是设备之间直接建立通信连接,这种D2D通信是5G通信网的一种重要技术。D2D通信的特点,非常适合解决移动通信网中内容分发问题。基本思路是在5G网络控制下,设备间建立直接通信,这样通过基站向一个设备发送内容信息,然后收到消息的设备通过D2D通信方式,将内容消息转发给其他目标设备。这样的优势是5G网络可以统一协调无线频率资源,减少各种通信间的通信干扰,提升频谱资源利用率,并减少5G系统中数据传输量。
实现内容分发的基础,除了D2D发现、D2D通信建立等,对分发内容的保护也是关键。分发内容的保护包括内容的机密性和可认证性;机密性是保证分发的内容只有授权的合法用户可以看到;可认证性是保证分发内容是一个可靠信息源发布的,而不是非法的或仿冒的信息源发表的;这些保证将是实现安全内容分发的有力保障,防止内容被非法的使用、虚假内容传播等恶意问题的发生。
要实现上述分发内容安全保障的方法中,利用密码技术是一种主要的方法,这其中的关键是密钥分发方法。通过为参与内容分发的设备分发密钥,从而为使用加解密、认证等密码方案提供密钥管理方案。现有的密钥分发方法不是为5G网络中采用D2D通信的内容分发应用设计的,无法满足动态的设备位置变化等应用要求。
现有内容分发密钥方法主要有几种方案,包括集中分发方案、分布子组方案和分布式方案等。集中分发方案是采用一个中心管理,与每个用户建立信任关系,集中管理中心负责向用户进行密钥分发及管理;集中分发方案中存在单点效率问题,同时管理成本成线性关系,扩展性差。分布子组方案将用户分为不同的分组,每个子组内成员的密钥分发由子组控制器负责;分布是方案主要是没有管理中心,是通过所有通信用户平等协商完成密钥生成和管理;分布子组方案和分布式方案等方案的管理复杂度高,效率不高。采用公钥方式下,加解密等效率也大于对称密码方案。
发明内容
针对上述问题中存在的不足之处,本发明提供一种基于D2D通信的内容分发应用的密钥分发方法,该方法能够满足5G网络中的利用D2D通信的内容分发应用对密钥分发的需求。
为实现上述目的,本发明提供一种基于D2D通信的内容分发应用的密钥分发方法,包括移动设备、集中管控模块和密钥管理服务器之间的通信,集中管理模块已负责帮助移动设备进行D2D通信管理,移动设备已在集中管控模块管理下分配移动设备号;该密钥分发方法包括:
步骤1、移动设备向集中管控模块发送内容服务请求消息,所述内容服务请求消息包括内容服务请求消息类型号、发起移动设备号和内容地址;
步骤2、集中管控模块处理内容服务请求消息,处理方法为:
集中管控模块检查移动设备号分配表中是否存在与发起移动设备号对应的记录;若发起移动设备号存在,则集中管控模块构建加密密钥请求消息;
步骤3、集中管控模块向密钥管理服务器发送加密密钥请求消息,所述加密密钥请求消息包括加密密钥请求消息类型号、发起移动设备序列号、集中管控模块号、消息序列号和消息认证信息;
步骤4、密钥管理服务器处理加密密钥请求消息,处理方法为:
密钥管理服务器确认加密密钥请求消息是否为集中管控模块发送的消息、加密密钥请求消息是否完整,若消息认证和消息完整性检查均通过,则密钥管理服务器构建加密密钥响应消息;
步骤5、密钥管理服务器向集中管控模块发送加密密钥响应消息,所述加密密钥响应消息包括加密密钥响应消息类型号、发起移动设备的加密密钥、密钥管理服务器号、随机数(Rs)、消息序列号和消息认证信息;
步骤6、集中管控模块处理加密密钥响应消息,处理方法为:
集中管控模块确认加密密钥响应消息是否为密钥管理服务器发送的消息、加密密钥响应消息是否完整、加密密钥响应消息的消息序列号是否比加密密钥请求消息的消息序列号大1,若消息认证、消息完整性检查和消息序列号检查均通过,集中管控模块根据解密获得的发起移动设备的加密密钥,产生发起移动设备的加密密钥序列;
步骤7、集中管控模块向发起移动设备发送加密密钥分发消息,所述加密密钥分发消息包括加密密钥分发消息类型号、随机数(Rs)、随机数(Ra)、集中管控模块号、消息序列号和消息认证信息;
步骤8、移动设备处理加密密钥分发消息,处理方法为:
移动设备确认加密密钥分发消息是否为集中管控模块发送的消息,若消息认证通过,则移动设备通过加密密钥分发消息中的信息获得加密密钥序列;
步骤9、集中管控模块向发起移动设备发送内容加密密钥分发消息,所述内容加密密钥分发消息包括内容加密密钥分发消息类型号、移动设备加密密钥序列中将使用的加密密钥加密的内容加密密钥、随机数(Rb)、集中管控模块号、消息序列号和消息认证信息;
步骤10、移动设备处理内容加密密钥分发消息,处理方法为:
移动设备确认内容加密密钥分发消息是否为集中管控模块发送的消息,若消息认证通过,移动设备使用移动设备加密密钥序列中将使用的加密密钥解密加密的内容加密密钥,移动设备获得此次使用的内容加密密钥。
作为本发明的进一步改进,在步骤1中:
所述内容地址是内容信息存储地址,通过内容地址能够获取内容信息。
作为本发明的进一步改进,在步骤3中:
发起移动设备序列号是根据加密密钥请求消息中的移动设备号查询得到;
消息序列号是为了标示消息顺序的一个随机编号;
消息认证信息是使用集中管控模块的私钥对此消息的哈希值进行数字签名而得到的,而此消息的哈希值是由哈希函数对发起移动设备序列号、集中管控模块号和消息序列号进行处理获得的。
作为本发明的进一步改进,所述步骤4包括:
步骤41、密钥管理服务器使用集中管控模块的数字证书的公钥对消息认证信息进行签名验证,确认加密密钥请求消息是否为集中管控模块发送的消息;
步骤42、密钥管理服务器计算发送移动设备序列号、集中管控模块号和消息序列号的哈希值,与接收到的消息中解密得到的哈希值比对检查;如果此两个值是一样的,则表示收到消息是完整的,没有被修改过;如果此两个值是不一样的,则表示收到消息是不完整的;
步骤43、若消息认证和消息完整性检查均通过,则根据发送移动设备序列号检查其对应的移动设备应用根密钥,由密钥管理服务器构建响应消息。
作为本发明的进一步改进,在步骤5中:
发起移动设备的加密密钥是由移动设备对应的移动设备应用根密钥和随机数(Rs)产生的,其产生公式为:移动设备的加密密钥=哈希函数(移动设备应用根密钥,随机数(Rs));
密钥管理服务器号是密钥管理服务器在系统中的标识号;
消息序列号是与前面请求消息对应的,是请求消息的序号增加1后的值;
消息认证信息是使用密钥管理服务器的私钥对消息的哈希值进行数字签名而得到的,消息的哈希值是使用哈希函数对发起移动设备的加密密钥、密钥管理服务器号、随机数(Rs)和消息序列号进行计算而获得的。
作为本发明的进一步改进,所述步骤6包括:
步骤61、集中管控模块使用密钥管理服务器的数字证书中的公钥对消息认证信息进行签名验证,确认加密密钥响应消息是密钥管理服务器发送的消息;
步骤62、集中管控模块计算使用集中管控模块私钥对发起移动设备的加密密钥、密钥管理服务器号、随机数(Rs)和消息序列号的哈希值,与接收到的消息中解密得到的哈希值比对检查;如果此两个值是一样的,则表示收到消息是完整的,没有被修改过;如果此两个值是不一样的,则表示收到消息是不完整的;
步骤63、集中管控模块检查加密密钥响应消息的消息序列号是否比加密密钥请求消息的消息序列号大1;
步骤64、若消息认证、消息完整性检查和消息序列号检查均通过,集中管控模块根据解密获得的发起移动设备的加密密钥,产生发起移动设备的加密密钥序列;加密密钥序列采用如下公式:哈希函数(···(哈希函数(哈希函数(移动设备加密密钥,随机数(Ra)),随机数(Ra)),随机数(Ra))),即采用哈希函数嵌套的方式,为每个移动设备产生一个加密密钥序列,同时在使用时首先使用嵌套最多哈希函数产生的加密密钥,依次使用这些加密密钥。
作为本发明的进一步改进,在步骤7中:
消息序列号是协议消息的序号,按照协议执行顺序,比其前面一条消息的序号增加1;
消息认证信息是使用哈希函数对除了加密密钥分发消息类型号和消息认证信息外的其他信息进行计算,并使用移动设备加密密钥序列中将使用的加密密钥对上面的哈希值进行加密得到。
作为本发明的进一步改进,所述步骤8包括:
步骤81、根据接收的随机数(Rs)和自己安全存储的移动设备应用根密钥,计算加密密钥=哈希函数(移动设备应用根密钥,随机数(Rs));
步骤82、由移动设备加密密钥和随机数(Ra),计算得到移动加密密钥序列;
步骤83、移动设备计算加密密钥分发消息中随机数(Rs)、随机数(Ra)、集中管控模块号、消息序列号的哈希值,与使用移动设备加密密钥序列中将使用的加密密钥对消息认证信息进行解密后得到的哈希值值进行比对,如果一样,则确认加密密钥分发消息为集中管控模块发送的消息;
步骤84、若消息认证通过,则移动设备通过加密密钥分发消息中的信息获得加密密钥序列。
作为本发明的进一步改进,所述步骤10包括:
步骤101、计算消息的移动设备加密密钥序列中将使用的加密密钥加密的内容加密密钥、随机数(Rb)、集中管控模块号、消息序列号的哈希值,与使用移动设备加密密钥序列中将使用的加密密钥对消息认证信息进行解密后得到的值进行比对,如果一样,则确认内容加密密钥分发消息为集中管控模块发送的消息;
步骤102、使用移动设备加密密钥序列中将使用的加密密钥解密加密的内容加密密钥,移动设备获得此次使用的内容加密密钥。
作为本发明的进一步改进,集中管控模块和移动设备分别设置一个加密密钥使用情况标记位,用于表示当前使用的是加密密钥序列中的哪个密钥;加密密钥序列中的每个密钥仅使用1次,用于加密保护分发的内容加密密钥;使用后,该密钥被标志为已经使用状态;加密密钥序列使用顺序是先使用执行n次哈希运算获得的密钥,然后使用执行n-1次哈希运算获得的密钥,最后使用执行1次哈希运算获得的密钥。
与现有技术相比,本发明的有益效果为:
本发明采用了将内容加密密钥分发功能分布到集中管控模块,不需要与密钥管理服务器进行交互,减少了密钥分发的瓶颈;同时采用哈希链构建了加密密钥序列,用于保护根据业务分发的内容加密密钥,减少了密钥管理服务器处理压力,同时实现了一次一密的处理,提升了传输信息的安全性。
附图说明
图1为本发明一种实施例公开的基于D2D通信的内容分发应用的密钥分发方法的系统框架图;
图2为本发明一种实施例公开的基于D2D通信的内容分发应用的密钥分发方法的流程图;
图3为本发明一种实施例公开的加密密钥。
图中:
1、移动设备;2、基站;3、集中管控模块;4、5G虚拟控制云;5、密钥管理服务器。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合附图对本发明做进一步的详细描述:
本发明解决5G网络中的基于D2D通信的内容分发应用的密钥分发问题。本发明方法不仅仅适用于一个基站下的基于D2D通信的内容分发应用的密钥分发,也适用于多个基站间的基于D2D通信的内容分发应用的密钥分发。
如图1所示,本发明提供一种基于D2D通信的内容分发应用的密钥分发方法,包括了移动设备1(Device1~5)、基站2、集中管控模块3、5G虚拟控制云4和密钥管理服务器5之间的通信,通过信息交互,实现了加密密钥序列分发和内容加密密钥的高效分发。
本发明方法执行的前提是集中管控模块3已经负责帮助移动设备进行D2D通信管理,本方法在此基础上与集中管控模块3和密钥管理服务器5配合实现密钥分发。
在移动设备1初次在当前集中管控模块3管理下进行D2D通信时,其被分配移动设备号;在其初次发起内容分发请求时,此移动设备将在当前集中管控模块和密钥管理服务器配合下实现了加密密钥序列分发和每次内容信息传输所使用的内容加密密钥的分发。
如图2所示,本发明提供一种基于D2D通信的内容分发应用的密钥分发方法,移动设备已经在集中管控模块管理下分配移动设备号,并开始初次发起内容分发请求,其具体步骤为:
步骤1、移动设备向集中管控模块发送内容服务请求消息:
内容服务请求消息包括:内容服务请求消息类型号、发起移动设备号和内容地址;内容地址是内容信息存储地址,通过该地址能够获取该内容信息。
步骤2、集中管控模块处理内容服务请求消息:
集中管控模块的处理操作如下:
步骤21、集中管控模块检查移动设备号分配表中是否存在与发起移动设备号对应的记录;
步骤22、若发起移动设备号存在,则集中管控模块构建加密密钥请求消息;若发起移动设备号不存在,则停止后续步骤。
步骤3、集中管控模块向密钥管理服务器发送加密密钥请求消息:
加密密钥请求消息包括:加密密钥请求消息类型号、发起移动设备序列号、集中管控模块号、消息序列号和消息认证信息;
发起移动设备序列号是根据加密密钥请求消息中的移动设备号查询得到;
消息序列号是为了标示消息顺序的一个随机编号;
消息认证信息是使用集中管控模块的私钥对此消息的哈希值进行数字签名而得到的,而此消息的哈希值是由哈希函数对发起移动设备序列号、集中管控模块号和消息序列号进行处理获得的。
步骤4、密钥管理服务器处理加密密钥请求消息:
密钥管理服务器的处理操作如下:
步骤41、密钥管理服务器使用集中管控模块的数字证书的公钥对消息认证信息进行签名验证,确认该消息是否为集中管控模块发送的消息;
步骤42、密钥管理服务器计算发送移动设备序列号、集中管控模块号和消息序列号的哈希值,与接收到的消息中解密得到的哈希值比对检查;如果此两个值是一样的,则表示收到消息是完整的,没有被修改过;如果此两个值是不一样的,则表示收到消息是不完整的;
步骤43、若消息认证和消息完整性检查均通过,则根据发送移动设备序列号检查其对应的移动设备应用根密钥,由密钥管理服务器构建响应消息。
步骤5、密钥管理服务器向集中管控模块发送加密密钥响应消息:
加密密钥响应消息包括:加密密钥响应消息类型号、使用集中管控模块公钥加密的信息(发起移动设备的加密密钥)、密钥管理服务器号、随机数(Rs)、消息序列号和消息认证信息;
发起移动设备的加密密钥是由移动设备对应的移动设备应用根密钥和随机数(Rs)产生的,其产生公式为:移动设备的加密密钥=哈希函数(移动设备应用根密钥,随机数(Rs));
密钥管理服务器号是密钥管理服务器在系统中的标识号。
消息序列号是与前面请求消息对应的,是请求消息的序号增加1后的值;
消息认证信息是使用密钥管理服务器的私钥对消息的哈希值进行数字签名而得到的,消息的哈希值是使用哈希函数对加密的信息(发起移动设备的加密密钥)、密钥管理服务器号、随机数(Rs)和消息序列号进行计算而获得的。
步骤6、集中管控模块处理加密密钥响应消息:
集中管控模块的处理操作如下:
步骤61、集中管控模块使用密钥管理服务器的数字证书中的公钥对消息认证信息进行签名验证,确认加密密钥响应消息是密钥管理服务器发送的消息;
步骤62、集中管控模块计算使用集中管控模块私钥对加密的信息(发起移动设备的加密密钥)、密钥管理服务器号、随机数(Rs)和消息序列号的哈希值,与接收到的消息中解密得到的哈希值比对检查;如果此两个值是一样的,则表示收到消息是完整的,没有被修改过;如果此两个值是不一样的,则表示收到消息是不完整的;
步骤63、集中管控模块检查加密密钥响应消息的消息序列号是否比之前加密密钥请求消息的消息序列号大1。
步骤64、若消息认证、消息完整性检查和消息序列号检查均通过,集中管控模块根据解密获得的发起移动设备的加密密钥,产生发起移动设备的加密密钥序列;加密密钥序列采用如下公式:哈希函数(···(哈希函数(哈希函数(移动设备加密密钥,随机数(Ra)),随机数(Ra)),随机数(Ra))),即采用哈希函数嵌套的方式,为每个移动设备产生一个加密密钥序列(每次嵌套值是一个加密密钥),同时在使用时首先使用嵌套最多哈希函数产生的加密密钥,依次使用这些加密密钥,如图3所示。
上述步骤1~6,是每一个移动设备都需要执行一次;当然步骤3~6也可以一次完成多个移动设备的加密密钥和加密密钥序列的产生,此时期构建的加密密钥请求消息中包括多个设备的移动设备序列号。
步骤7、集中管控模块向发起移动设备发送加密密钥分发消息:
集中管控模块分别向移动设备发送加密密钥分发消息,实现加密密钥序列的分发;加密密钥分发消息包括:加密密钥分发消息类型号、随机数(Rs)、随机数(Ra)、集中管控模块号、消息序列号和消息认证信息;
消息序列号是协议消息的序号,按照协议执行顺序,比其前面一条消息的序号增加1;
消息认证信息是使用哈希函数对除了加密密钥分发消息类型号和消息认证信息外的其他信息进行计算,并使用移动设备加密密钥序列中将使用的加密密钥对上面的哈希值进行加密得到。
步骤8、移动设备处理加密密钥分发消息:
移动设备的处理操作如下:
步骤81、根据接收的随机数(Rs)和自己安全存储的移动设备应用根密钥,计算加密密钥=哈希函数(移动设备应用根密钥,随机数(Rs));
步骤82、由移动设备加密密钥和随机数(Ra),计算得到移动加密密钥序列,其执行哈希计算的次数是移动设备和集中管控模块预先设定好的相同的值;见图3所示;
步骤83、移动设备计算加密密钥分发消息中随机数(Rs)、随机数(Ra)、集中管控模块号、消息序列号的哈希值,与使用移动设备加密密钥序列中将使用的加密密钥对消息认证信息进行解密后得到的哈希值值进行比对,如果一样,则确认加密密钥分发消息为集中管控模块发送的消息;
步骤84、当步骤83执行完成后,移动设备都通过加密密钥分发消息中的信息获得了加密密钥序列,下面将有集中管控模块完成对内容分发中使用的内容加密密钥的分发。内容加密密钥是一组进行D2D通信的移动设备共同使用的保护传输内容信息安全的密钥。集中管控模块根据内容分发应用请求的情况,以及在其管理范围下能够实现D2D通信的情况,向具有相同内容分发请求且可以进行D2D通信的移动设备,分发此次内容信息的内容加密密钥。下面的步骤9消息是完成集中管控模块向移动设备分发内容加密密钥的消息。
步骤9、集中管控模块向移动设备发送内容加密密钥分发消息:
内容加密密钥分发消息包括:内容加密密钥分发消息类型号、移动设备加密密钥序列中将使用的加密密钥加密的内容加密密钥、随机数(Rb)、集中管控模块号、消息序列号和消息认证信息;
消息序列号是协议消息的序号,按照协议执行顺序,比其前面一条消息的序号增加1;
消息认证信息是使用哈希函数对除了内容加密密钥分发消息类型号和消息认证信息外的其他信息进行计算,并使用移动设备加密密钥序列中将使用的加密密钥对上面的哈希值进行加密得到。
步骤10、移动设备处理内容加密密钥分发消息:
移动设备的处理操作如下:
步骤101、计算消息的移动设备加密密钥序列中将使用的加密密钥加密的内容加密密钥、随机数(Rb)、集中管控模块号、消息序列号的哈希值,与使用移动设备加密密钥序列中将使用的加密密钥对消息认证信息进行解密后得到的值进行比对,如果一样,则确认内容加密密钥分发消息为集中管控模块发送的消息;
步骤102、使用移动设备加密密钥序列中将使用的加密密钥解密加密的内容加密密钥,移动设备获得此次使用的内容加密密钥。
完成步骤10后,在同一内容分发的D2D通信的移动设备都被分发了相同的内容加密密钥,此后,内容消息使用此内容加密密钥进行加密传输。
本发明的步骤1~10中,如果当移动设备都已经在当前集中管控模块下具有了加密密钥序列,当移动设备请求新的内容信息时,只需从步骤9开始执行,即可完成对新内容信息分发所使用的新的内容加密密钥的分发工作。
当移动设备的加密密钥序列使用完以后,移动设备可以在要请求新的内容分发服务时,执行方法的步骤1~8,完成新的加密密钥序列的分发;执行步骤9、10完成新的内容加密密钥的分发。
另外为了在集中管控模块和移动设备间保证加密密钥序列使用的同步,本发明需要在上述的集中管控模块和移动设备分别设置一个加密密钥使用情况标记位,用于表示当前使用的是加密密钥序列中的哪个密钥;加密密钥序列中的每个密钥仅使用1次,用于加密保护分发的内容加密密钥,使用后,该密钥被标志为已经使用状态;加密密钥序列使用顺序是先使用执行n次哈希运算获得的密钥,然后使用执行n-1次哈希运算获得的密钥,最后使用执行1次哈希运算获得的密钥,见图3所示。
本发明在步骤1、3、5、7、9中所涉及的消息类型号如表1所示:
表1
内容服务请求消息 | 100 |
加密密钥请求消息 | 200 |
加密密钥响应消息 | 300 |
加密密钥分发消息 | 400 |
内容加密密钥分发消息 | 500 |
本发明的优点在于:
1、本发明将内容加密密钥分发功能分布到集中管控模块,不需要与密钥管理服务器进行交互,减少了密钥分发的瓶颈;集中管控模块负责其管理范围内的D2D通信下内容分发的密钥分发管理,比通常集中分发方案具有更好的扩展性,适合D2D通信下内容分发场景。
2、本发明采用分层的集中分发方案,比分子组、分布式等方案的效率高;而且采用哈希链构建了加密密钥序列,用于保护根据业务分发的内容加密密钥,减少了密钥管理服务器处理压力,同时实现了一次一密的处理,提升了传输信息的安全性。
3、本发明主要使用了对称密码算法、哈希函数等计算量低的实现方法,保证了方法实现的实时性。
4、本发明内容可以与集中管控模块对D2D通信管理相结合,可在建立D2D通信时完成内容加密密钥分发,简化的方法实现的复杂度。
以上仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于D2D通信的内容分发应用的密钥分发方法,其特征在于,包括移动设备、集中管控模块和密钥管理服务器之间的通信,集中管理模块已负责帮助移动设备进行D2D通信管理,移动设备已在集中管控模块管理下分配移动设备号;该密钥分发方法包括:
步骤1、移动设备向集中管控模块发送内容服务请求消息,所述内容服务请求消息包括内容服务请求消息类型号、发起移动设备号和内容地址;
步骤2、集中管控模块处理内容服务请求消息,处理方法为:
集中管控模块检查移动设备号分配表中是否存在与发起移动设备号对应的记录;若发起移动设备号存在,则集中管控模块构建加密密钥请求消息;
步骤3、集中管控模块向密钥管理服务器发送加密密钥请求消息,所述加密密钥请求消息包括加密密钥请求消息类型号、发起移动设备序列号、集中管控模块号、消息序列号和消息认证信息;
步骤4、密钥管理服务器处理加密密钥请求消息,处理方法为:
密钥管理服务器确认加密密钥请求消息是否为集中管控模块发送的消息、加密密钥请求消息是否完整,若消息认证和消息完整性检查均通过,则密钥管理服务器构建加密密钥响应消息;
步骤5、密钥管理服务器向集中管控模块发送加密密钥响应消息,所述加密密钥响应消息包括加密密钥响应消息类型号、发起移动设备的加密密钥、密钥管理服务器号、随机数(Rs)、消息序列号和消息认证信息;
步骤6、集中管控模块处理加密密钥响应消息,处理方法为:
集中管控模块确认加密密钥响应消息是否为密钥管理服务器发送的消息、加密密钥响应消息是否完整、加密密钥响应消息的消息序列号是否比加密密钥请求消息的消息序列号大1,若消息认证、消息完整性检查和消息序列号检查均通过,集中管控模块根据解密获得的发起移动设备的加密密钥,产生发起移动设备的加密密钥序列;
步骤7、集中管控模块向发起移动设备发送加密密钥分发消息,所述加密密钥分发消息包括加密密钥分发消息类型号、随机数(Rs)、随机数(Ra)、集中管控模块号、消息序列号和消息认证信息;
步骤8、移动设备处理加密密钥分发消息,处理方法为:
移动设备确认加密密钥分发消息是否为集中管控模块发送的消息,若消息认证通过,则移动设备通过加密密钥分发消息中的信息获得加密密钥序列;
步骤9、集中管控模块向发起移动设备发送内容加密密钥分发消息,所述内容加密密钥分发消息包括内容加密密钥分发消息类型号、移动设备加密密钥序列中将使用的加密密钥加密的内容加密密钥、随机数(Rb)、集中管控模块号、消息序列号和消息认证信息;
步骤10、移动设备处理内容加密密钥分发消息,处理方法为:
移动设备确认内容加密密钥分发消息是否为集中管控模块发送的消息,若消息认证通过,移动设备使用移动设备加密密钥序列中将使用的加密密钥解密加密的内容加密密钥,移动设备获得此次使用的内容加密密钥。
2.如权利要求1所述的基于D2D通信的内容分发应用的密钥分发方法,其特征在于,在步骤1中:
所述内容地址是内容信息存储地址,通过内容地址能够获取内容信息。
3.如权利要求1所述的基于D2D通信的内容分发应用的密钥分发方法,其特征在于,在步骤3中:
发起移动设备序列号是根据加密密钥请求消息中的移动设备号查询得到;
消息序列号是为了标示消息顺序的一个随机编号;
消息认证信息是使用集中管控模块的私钥对此消息的哈希值进行数字签名而得到的,而此消息的哈希值是由哈希函数对发起移动设备序列号、集中管控模块号和消息序列号进行处理获得的。
4.如权利要求1所述的基于D2D通信的内容分发应用的密钥分发方法,其特征在于,所述步骤4包括:
步骤41、密钥管理服务器使用集中管控模块的数字证书的公钥对消息认证信息进行签名验证,确认加密密钥请求消息是否为集中管控模块发送的消息;
步骤42、密钥管理服务器计算发送移动设备序列号、集中管控模块号和消息序列号的哈希值,与接收到的消息中解密得到的哈希值比对检查;如果此两个值是一样的,则表示收到消息是完整的,没有被修改过;如果此两个值是不一样的,则表示收到消息是不完整的;
步骤43、若消息认证和消息完整性检查均通过,则根据发送移动设备序列号检查其对应的移动设备应用根密钥,由密钥管理服务器构建响应消息。
5.如权利要求1所述的基于D2D通信的内容分发应用的密钥分发方法,其特征在于,在步骤5中:
发起移动设备的加密密钥是由移动设备对应的移动设备应用根密钥和随机数(Rs)产生的,其产生公式为:移动设备的加密密钥=哈希函数(移动设备应用根密钥,随机数(Rs));
密钥管理服务器号是密钥管理服务器在系统中的标识号;
消息序列号是与前面请求消息对应的,是请求消息的序号增加1后的值;
消息认证信息是使用密钥管理服务器的私钥对消息的哈希值进行数字签名而得到的,消息的哈希值是使用哈希函数对发起移动设备的加密密钥、密钥管理服务器号、随机数(Rs)和消息序列号进行计算而获得的。
6.如权利要求1所述的基于D2D通信的内容分发应用的密钥分发方法,其特征在于,所述步骤6包括:
步骤61、集中管控模块使用密钥管理服务器的数字证书中的公钥对消息认证信息进行签名验证,确认加密密钥响应消息是密钥管理服务器发送的消息;
步骤62、集中管控模块计算使用集中管控模块私钥对发起移动设备的加密密钥、密钥管理服务器号、随机数(Rs)和消息序列号的哈希值,与接收到的消息中解密得到的哈希值比对检查;如果此两个值是一样的,则表示收到消息是完整的,没有被修改过;如果此两个值是不一样的,则表示收到消息是不完整的;
步骤63、集中管控模块检查加密密钥响应消息的消息序列号是否比加密密钥请求消息的消息序列号大1;
步骤64、若消息认证、消息完整性检查和消息序列号检查均通过,集中管控模块根据解密获得的发起移动设备的加密密钥,产生发起移动设备的加密密钥序列;加密密钥序列采用如下公式:哈希函数(···(哈希函数(哈希函数(移动设备加密密钥,随机数(Ra)),随机数(Ra)),随机数(Ra))),即采用哈希函数嵌套的方式,为每个移动设备产生一个加密密钥序列,同时在使用时首先使用嵌套最多哈希函数产生的加密密钥,依次使用这些加密密钥。
7.如权利要求1所述的基于D2D通信的内容分发应用的密钥分发方法,其特征在于,在步骤7中:
消息序列号是协议消息的序号,按照协议执行顺序,比其前面一条消息的序号增加1;
消息认证信息是使用哈希函数对除了加密密钥分发消息类型号和消息认证信息外的其他信息进行计算,并使用移动设备加密密钥序列中将使用的加密密钥对上面的哈希值进行加密得到。
8.如权利要求1所述的基于D2D通信的内容分发应用的密钥分发方法,其特征在于,所述步骤8包括:
步骤81、根据接收的随机数(Rs)和自己安全存储的移动设备应用根密钥,计算加密密钥=哈希函数(移动设备应用根密钥,随机数(Rs));
步骤82、由移动设备加密密钥和随机数(Ra),计算得到移动加密密钥序列;
步骤83、移动设备计算加密密钥分发消息中随机数(Rs)、随机数(Ra)、集中管控模块号、消息序列号的哈希值,与使用移动设备加密密钥序列中将使用的加密密钥对消息认证信息进行解密后得到的哈希值值进行比对,如果一样,则确认加密密钥分发消息为集中管控模块发送的消息;
步骤84、若消息认证通过,则移动设备通过加密密钥分发消息中的信息获得加密密钥序列。
9.如权利要求1所述的基于D2D通信的内容分发应用的密钥分发方法,其特征在于,所述步骤10包括:
步骤101、计算消息的移动设备加密密钥序列中将使用的加密密钥加密的内容加密密钥、随机数(Rb)、集中管控模块号、消息序列号的哈希值,与使用移动设备加密密钥序列中将使用的加密密钥对消息认证信息进行解密后得到的值进行比对,如果一样,则确认内容加密密钥分发消息为集中管控模块发送的消息;
步骤102、使用移动设备加密密钥序列中将使用的加密密钥解密加密的内容加密密钥,移动设备获得此次使用的内容加密密钥。
10.如权利要求1所述的基于D2D通信的内容分发应用的密钥分发方法,其特征在于,集中管控模块和移动设备分别设置一个加密密钥使用情况标记位,用于表示当前使用的是加密密钥序列中的哪个密钥;加密密钥序列中的每个密钥仅使用1次,用于加密保护分发的内容加密密钥;使用后,该密钥被标志为已经使用状态;加密密钥序列使用顺序是先使用执行n次哈希运算获得的密钥,然后使用执行n-1次哈希运算获得的密钥,最后使用执行1次哈希运算获得的密钥。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810054448.XA CN108260125B (zh) | 2018-01-19 | 2018-01-19 | 一种基于d2d通信的内容分发应用的密钥分发方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810054448.XA CN108260125B (zh) | 2018-01-19 | 2018-01-19 | 一种基于d2d通信的内容分发应用的密钥分发方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108260125A true CN108260125A (zh) | 2018-07-06 |
CN108260125B CN108260125B (zh) | 2020-09-18 |
Family
ID=62741487
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810054448.XA Active CN108260125B (zh) | 2018-01-19 | 2018-01-19 | 一种基于d2d通信的内容分发应用的密钥分发方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108260125B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110289947A (zh) * | 2019-04-29 | 2019-09-27 | 北京开态智慧科技有限公司 | 数据传输一致性校验方法、装置、计算机设备及存储介质 |
CN117318941A (zh) * | 2023-11-29 | 2023-12-29 | 合肥工业大学 | 基于车内网的预置密钥分发方法、系统、终端及存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1488117A (zh) * | 2001-03-28 | 2004-04-07 | �ֹ��� | 内容分布系统 |
US20070038873A1 (en) * | 2005-08-11 | 2007-02-15 | Microsoft Corporation | Protecting digital media of various content types |
CN102369686A (zh) * | 2009-03-30 | 2012-03-07 | 株式会社Ntt都科摩 | 密钥信息管理方法、内容发送方法、密钥信息管理装置、许可管理装置、内容发送系统以及终端装置 |
US8751807B2 (en) * | 2011-06-23 | 2014-06-10 | Azuki Systems Inc. | Method and system for secure over-the-top live video delivery |
US20150229471A1 (en) * | 2014-02-11 | 2015-08-13 | Telefonaktiebolaget L M Ericsson (Publ) | System and method for securing content keys delivered in manifest files |
CN106961413A (zh) * | 2016-01-08 | 2017-07-18 | 广州市动景计算机科技有限公司 | 内容分发的方法、设备、电子设备和系统 |
-
2018
- 2018-01-19 CN CN201810054448.XA patent/CN108260125B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1488117A (zh) * | 2001-03-28 | 2004-04-07 | �ֹ��� | 内容分布系统 |
US20070038873A1 (en) * | 2005-08-11 | 2007-02-15 | Microsoft Corporation | Protecting digital media of various content types |
CN102369686A (zh) * | 2009-03-30 | 2012-03-07 | 株式会社Ntt都科摩 | 密钥信息管理方法、内容发送方法、密钥信息管理装置、许可管理装置、内容发送系统以及终端装置 |
US8751807B2 (en) * | 2011-06-23 | 2014-06-10 | Azuki Systems Inc. | Method and system for secure over-the-top live video delivery |
US20150229471A1 (en) * | 2014-02-11 | 2015-08-13 | Telefonaktiebolaget L M Ericsson (Publ) | System and method for securing content keys delivered in manifest files |
CN106464485A (zh) * | 2014-02-11 | 2017-02-22 | 爱立信股份有限公司 | 用于保护在清单文件中输送的内容密钥的系统和方法 |
CN106961413A (zh) * | 2016-01-08 | 2017-07-18 | 广州市动景计算机科技有限公司 | 内容分发的方法、设备、电子设备和系统 |
Non-Patent Citations (7)
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110289947A (zh) * | 2019-04-29 | 2019-09-27 | 北京开态智慧科技有限公司 | 数据传输一致性校验方法、装置、计算机设备及存储介质 |
CN117318941A (zh) * | 2023-11-29 | 2023-12-29 | 合肥工业大学 | 基于车内网的预置密钥分发方法、系统、终端及存储介质 |
CN117318941B (zh) * | 2023-11-29 | 2024-02-13 | 合肥工业大学 | 基于车内网的预置密钥分发方法、系统、终端及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN108260125B (zh) | 2020-09-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106452741B (zh) | 基于量子网络实现信息加解密传输的通信系统和通信方法 | |
CN109347809A (zh) | 一种面向自主可控环境下的应用虚拟化安全通信方法 | |
CN106452739A (zh) | 一种量子网络服务站以及量子通信网络 | |
CN108390851A (zh) | 一种用于工业设备的安全远程控制系统及方法 | |
CN108599925A (zh) | 一种基于量子通信网络的改进型aka身份认证系统和方法 | |
CN107317789A (zh) | 密钥分发、认证方法,装置及系统 | |
CN108173649A (zh) | 一种基于量子密钥卡的消息认证方法和系统 | |
CN106411525A (zh) | 消息认证方法和系统 | |
CN108847928B (zh) | 基于群组型量子密钥卡实现信息加解密传输的通信系统和通信方法 | |
CN108683501A (zh) | 基于量子通信网络的以时间戳为随机数的多次身份认证系统和方法 | |
CN108964897B (zh) | 基于群组通信的身份认证系统和方法 | |
CN104754581A (zh) | 一种基于公钥密码体制的lte无线网络的安全认证方法 | |
CN113612605A (zh) | 使用对称密码技术增强mqtt协议身份认证方法、系统和设备 | |
CN108964896B (zh) | 一种基于群组密钥池的Kerberos身份认证系统和方法 | |
CN111970699B (zh) | 一种基于ipk的终端wifi登录认证方法以及系统 | |
CN108809637A (zh) | 基于混合密码的lte-r车-地通信非接入层认证密钥协商方法 | |
CN108566273A (zh) | 基于量子网络的身份认证系统 | |
CN108377188A (zh) | 一种用于特种应急自组网通信的量子加密系统 | |
CN108632042A (zh) | 一种基于对称密钥池的类aka身份认证系统和方法 | |
CN110535637A (zh) | 一种量子密钥的无线分发方法、装置及系统 | |
CN108540436A (zh) | 基于量子网络实现信息加解密传输的通信系统和通信方法 | |
CN108809636A (zh) | 基于群组型量子密钥卡实现成员间消息认证的通信系统和通信方法 | |
CN108964895B (zh) | 基于群组密钥池和改进Kerberos的User-to-User身份认证系统和方法 | |
CN105450623A (zh) | 一种电动汽车的接入认证方法 | |
CN108600152A (zh) | 基于量子通信网络的改进型Kerberos身份认证系统和方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |