CN109660336A - 一种服务链密钥管理方法和装置 - Google Patents

一种服务链密钥管理方法和装置 Download PDF

Info

Publication number
CN109660336A
CN109660336A CN201710947615.9A CN201710947615A CN109660336A CN 109660336 A CN109660336 A CN 109660336A CN 201710947615 A CN201710947615 A CN 201710947615A CN 109660336 A CN109660336 A CN 109660336A
Authority
CN
China
Prior art keywords
key
service
service node
determining
group communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710947615.9A
Other languages
English (en)
Inventor
蒋华
姚莹
鞠磊
张昕然
侯梦茹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BEIJING ELECTRONIC SCIENCE AND TECHNOLOGY INSTITUTE
Original Assignee
BEIJING ELECTRONIC SCIENCE AND TECHNOLOGY INSTITUTE
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BEIJING ELECTRONIC SCIENCE AND TECHNOLOGY INSTITUTE filed Critical BEIJING ELECTRONIC SCIENCE AND TECHNOLOGY INSTITUTE
Priority to CN201710947615.9A priority Critical patent/CN109660336A/zh
Publication of CN109660336A publication Critical patent/CN109660336A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/065Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种服务链密钥管理方法和装置,包括获取系统参数P、Q、H1、H2、H3、H4、系统私钥分量di和服务节点i的私钥Di,确定私有参数ri,接收相邻服务节点j发送的Tj、Pj,当Tj、Pj满足预设条件时,确定组通讯密钥K。在本发明实施例中,公开了一种基于身份密码体制的门限组密钥管理方案,保证了服务链前向安全性和后向安全性,并且对相邻VNF之间进行身份认证。

Description

一种服务链密钥管理方法和装置
技术领域
本发明涉及计算机技术领域,特别涉及一种服务链密钥管理方法和装置。
背景技术
目前运营商在部署网络功能时需要基于专用的硬件设备,在现有的网络基础设施中,服务链的定义是静态的,服务链依赖于网络的拓扑结构,当增加或删除网络功能时,运营商需要对硬件设备进行重新部署,造成了运营成本和支出成本的增加。随着大规模网络虚拟化的发展,传统方式也逐渐被网络功能虚拟化(Network Function Virtualization,NFV)所取代。NFV的概念由欧洲电信标准组织(European Telecommunications StandardsInstitute,ETSI)于2012年提出,并制定了相关的规范,如基础框架、设施概况、使用案例等。NFV重新定义了网络中典型的网络功能交付和操作方法。通过使用标准的IT虚拟化和云技术,NFV定义了一种结构,在这种结构中网络功能和应用程序仅作为软件实体来实现,并且独立于硬件。NFV通过将软件从专用的硬件解耦出来,可将这些传统网络功能抽象为虚拟网络功能(Vitural Network Function,VNFs),通过NFV的管理编排层对VNFs进行管理和控制,可以产生所需的网络服务即服务链。基于NFV,则可以克服传统静态服务链的缺点,实现服务链的动态、按需、快速构建。
服务链是NFV的一个重要特点,使NFV产生灵活的环境,但服务链中也产生了新的安全问题。与传统网络服务相比,服务链中引进了虚拟化技术,服务链也面临着虚拟化的安全问题。针对不同的服务需求,租户的网络功能通常由一个或多个不同的VNF,以逻辑连接的方式形成一条虚拟网络功能服务链,这些VNF通过部署在不同的虚拟机之上从而实现相关的功能,当服务链中动态地添加或删除一个VNF实例,即拓扑结构发生变化时,则要考虑构建服务链各节点之间的信任重建问题。相邻的VNF实例间要进行数据包的转发,VNF实例间面临着传输安全的问题。
因此,目前亟待提出一种NFV环境下服务链的组密钥管理方法,实现服务链各节点的信任重建,并解决VNF实例间安全传输的问题。
发明内容
本发明实施例提供了一种服务链密钥管理方法和装置,旨在解决如何能够在VNF实例间安全传输的问题。为了对披露的实施例的一些方面有一个基本的理解,下面给出了简单的概括。该概括部分不是泛泛评述,也不是要确定关键/重要组成元素或描绘这些实施例的保护范围。其唯一目的是用简单的形式呈现一些概念,以此作为后面的详细说明的序言。
根据本发明实施例的第一方面,提供了一种服务链密钥管理方法,包括:
获取系统参数P、Q、H1、H2、H3、H4、系统私钥分量di和服务节点i的私钥Di,其中,Q=d*P为系统公钥,d为系统私钥,H1、H2、H3、H4为散列函数;
确定私有参数ri;
接收相邻服务节点j发送的Tj、Pj;
当所述Tj、Pj满足预设条件时,确定组通讯密钥K。
可选的,还包括:
确定Ti、Pi,其中,Ti=ri*P,Pi=H2(e(Wi,Ti))Di,Wi=H1(IDi),IDi为服务节点i的标识;
向相邻服务节点发送Ti、Pi。
可选的,还包括:
接收相邻服务节点发送的Tj、Pj,其中,j=i-1或j=i+1;
当Tj、Pj满足预设条件时,确定Vi、Ei;
向其他服务节点发送Vi、Ei。
可选的,还包括:
接收服务节点Nn+1发送的Yi、Tn+1
当Yi、Tn+1满足预设条件时,向服务节点n+1发送Ri、Ci、Ti;
接收服务节点Nn+1发送的U、V、M;
当U、V、M满足预设条件时,确定组通讯密钥K。
可选的,还包括:
确定新的私有参数ri;
确定U、M、V,并向其他服务节点发送U、M、V;
确定组通讯密钥。
可选的,还包括:
接收服务节点Nn+1发送的U、M、V;
当U、V、M满足预设条件时,确定组通讯密钥K。
可选的,当Tj、Pj满足预设条件时,确定组通讯密钥K,包括:
根据Tj、Pj完成对服务节点j的身份认证;
获取Vj、Ej,当Vj、Ej满足预设条件时,确定所述组通讯密钥K。
根据本发明实施例的第二方面,提供了一种服务链密钥管理方法,包括:
获取系统参数P、Q、H1、H2、H3、H4、系统私钥分量di和服务节点i的私钥Di,其中,Q=d*P为服务链公钥,d为服务链私钥,H1、H2、H3、H4为散列函数;
确定私有参数r(n+1);
确定Yi=e(rn+1Q,Wi),Tn+1=rn+1P,其中,Wn+1=H1(IDn+1);
向服务节点i发送Yi和Tn+1
接收服务节点i发送的Ri、Ci、Ti;
当Ri、Ti满足预设条件时,确定组通讯密钥K;
确定U、M、V,并向其他服务节点发送U、M、V。
根据本发明实施例的第三方面,提供了一种服务链密钥管理装置,包括处理器和存储器,其中:
处理器,用于执行存储器中存储的代码;
存储器,用于存储执行如下步骤的代码:
获取系统参数P、Q、H1、H2、H3、H4、系统私钥分量di和服务节点i的私钥Di,其中,Q=d*P为系统公钥,d为系统私钥,H1、H2、H3、H4为散列函数;
确定私有参数ri;
接收相邻服务节点j发送的Tj、Pj;
当所述Tj、Pj满足预设条件时,确定组通讯密钥K。
根据本发明实施例的第四方面,提供了一种服务链密钥管理装置,包括处理器和存储器,其中,
处理器,用于执行存储器中存储的代码;
存储器,用于存储执行如下步骤的代码:
获取系统参数P、Q、H1、H2、H3、H4、系统私钥分量di和服务节点i的私钥Di,其中,Q=d*P为服务链公钥,d为服务链私钥,H1、H2、H3、H4为散列函数;
确定私有参数r(n+1);
确定Yi=e(rn+1Q,Wi),Tn+1=rn+1P,其中,Wn+1=H1(IDn+1);
向服务节点i发送Yi和Tn+1
接收服务节点i发送的Ri、Ci、Ti;
当Ri、Ti满足预设条件时,确定组通讯密钥K;
确定U、M、V,并向其他服务节点发送U、M、V。
在本发明实施例中,公开了一种基于身份密码体制的门限组密钥管理方案,保证了服务链前向安全性和后向安全性,并且对相邻VNF之间进行身份认证。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本发明。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
图1是一种服务链密钥管理方法的流程图;
图2是另一种服务链密钥管理方法的流程图;
图3是一种服务链密钥管理装置的示意图;
图4是另一种服务链密钥管理装置的示意图。
具体实施方式
以下描述和附图充分地示出本发明的具体实施方案,以使本领域的技术人员能够实践它们。实施例仅代表可能的变化。除非明确要求,否则单独的部件和功能是可选的,并且操作的顺序可以变化。一些实施方案的部分和特征可以被包括在或替换其他实施方案的部分和特征。本发明的实施方案的范围包括权利要求书的整个范围,以及权利要求书的所有可获得的等同物。在本文中,各实施方案可以被单独地或总地用术语“发明”来表示,这仅仅是为了方便,并且如果事实上公开了超过一个的发明,不是要自动地限制该应用的范围为任何单个发明或发明构思。本文中,诸如第一和第二等之类的关系术语仅仅用于将一个实体或者操作与另一个实体或操作区分开来,而不要求或者暗示这些实体或操作之间存在任何实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素。本文中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的方法、产品等而言,由于其与实施例公开的方法部分相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本发明基于可计算Diffe-Hellman(CDH)问题,即对任意的P1,P2,P3∈G1,确定e(P1,P2,P)abc是困难的。根据服务链中拓扑结构易变化的特点,采用了分布式密钥管理,将主密钥d分解成n个分量,由n个服务节点分别保存。需要恢复d时,可由任意t个服务节点保存的d分量重构,少于t个则无法恢复。
本发明实施例公开一种服务链密钥管理方法,如图1所示,包括:
S101、获取系统参数P、Q、H1、H2、H3、H4、系统私钥分量di和服务节点i的私钥Di,其中,Q=d*P为服务链公钥,d为服务链私钥,H1、H2、H3、H4为散列函数;
S102、确定私有参数ri;
S103、接收相邻服务节点j发送的Tj、Pj;
S104、当Tj、Pj满足预设条件时,确定组通讯密钥K。
本发明采用分布式密钥管理,无需中心机构。在初始化过程由服务链中的任一个服务节点充当临时管理中心,初始化结束后,该服务节点的临时管理中心作用可以消失。
在S104中,可以根据Tj、Pj完成对服务节点j的身份认证,进而获取Vj、Ej,当Vj、Ej满足预设条件时,确定组通讯密钥K。
在S101中,设服务链中有n个服务节点,每个服务节点对应一个唯一的身份标识,即服务节点i的标识为IDi,i=1,2…n,4个散列函数分别为:H1:{0,,1}*→G1,H2:G2→Fq,H3:G2→{0,,1}N,H4:{0,1}*→Fq,其中,N为会话密钥的长度。
可选的,可以首先生成参数e,e:G1×G1=G2,然后随机选取d∈Fq作为服务链私钥,服务链公钥Q=d*P。
可选的,可以通过广播或组播的方式将系统参数P、Q、H1、H2、H3、H4发送给各个服务节点。即S101中,服务节点i获取到系统参数P、Q、H1、H2、H3、H4。
可选的,服务节点i可以根据(t,n)门限方案为生成系统私钥分量di,进一步的,私钥Di=d*H1(IDi)。
S102中,可选的,ri∈Fq
可选的,还可以包括:
S1051、确定Ti、Pi,其中,Ti=ri*P,Pi=H2(e(Wi,Ti))Di,Wi=H1(IDi),IDi为服务节点i的标识;
S1052、向相邻服务节点发送Ti、Pi。示例性的,服务节点i的相邻节点可以为服务节点i-1和服务节点i+1。
可选的,还可以包括:
S1061、接收相邻服务节点发送的Tj、Pj,其中,j=i-1或j=i+1;
S1062、当Tj、Pj满足预设条件时,确定Vi、Ei;
S1063、向其他服务节点发送Vi、Ei。
其中,当服务节点i收到服务节点i-1和i+1发来的消息Tj、Pj后,先验证等式e(Wi,Pj)=e(Di,H2(e(Wj,Tj))Wj)是否成立。若成立,计算并确定Vi=H2(Ei)Di。进一步的,服务节点i将Ei、Vi广播发送给其他服务节点。
可选的,S103中,服务节点j可以为任一节点。
可选的,S104中,服务节点i可以验证当等式e(Wi,Vj)=e(Di,H2(Ej)Wj)成立时,组通讯密钥
可选的,当新的服务节点Nn+1加入时,还可以包括:
S1071、接收新服务节点Nn+1发送的Yi、Tn+1
S1072、当Yi、Tn+1满足预设条件时,向服务节点n+1发送Ri、Ci、Ti;
S1073、接收服务节点Nn+1发送的U、V、M;
S1074、当U、V、M满足预设条件时,确定组通讯密钥K。
在S1072中,服务节点i验证等式Yi=e(Tn+1,Di)是否成立,当等式成立时,则允许服务节点Nn+1加入,并进行如下计算:
1、服务节点Nn+1的私钥分量
2、服务节点Nn+1保存的系统密钥分量
3、kh=H3(e(Q,H1(K'))),其中,K’是当前的组通信密钥, 其中,表示用ki对信息加密,||表示连接符。
4、Ri=H4(Ci,H1(ki))。
在S1074中,服务节点i验证U、V、M是否满足预设条件,具体的,可以验证等式e(P,V)=e(Q,U+H4(M,Wn+1)Wn+1是否成立,若成立,则可以确定新的组通讯密钥其中,kh=H3(e(Q,H1(K')),kc为根据M和kh解密后确定。
可选的,当新的服务节点j离开时,还可以包括:
S1081、确定新的私有参数ri;
S1082、确定U、M、V,并向其他服务节点发送U、M、V;
S1083、确定组通讯密钥。
在S1081中,服务节点i可以随机选取一随机数ri∈Fq作为新的私有参数。
在S1082中,U=riWiV=(ri+H4(M,Wi))Di,其中,kh=H3(e(Q,H1(K'))),kc=H3(e(riP,Wi)),K’为当前的组通讯密钥。
在S1083中,组通讯密钥
可选的,当新的服务节点j离开时,还可以包括:
S1091、接收服务节点Nn+1发送的U、M、V;
S1092、当U、V、M满足预设条件时,确定组通讯密钥K。
在S1092中,服务节点i验证U、V、M是否满足预设条件,具体的,可以验证等式e(P,V)=e(Q,U+H4(M,Wn+1)Wn+1是否成立,若成立,则可以确定新的组通讯密钥其中,kh=H3(e(Q,H1(K')),kc为根据M和kh解密后确定。
在本发明实施例中,公开了一种基于身份密码体制的门限组密钥管理方案,保证了服务链前向安全性和后向安全性,并且对相邻VNF之间进行身份认证。在保证服务链中各实例一定安全的同时,降低了通信和计算开销。
在上述实施例的基础上,当新的服务节点Nn+1加入时,本发明实施例还公开一种服务链密钥管理方法,如图2所示,包括:
S201、获取系统参数P、Q、H1、H2、H3、H4、系统私钥分量di和服务节点i的私钥Di,其中,Q=d*P为服务链公钥,d为服务链私钥,H1、H2、H3、H4为散列函数;
S202、确定私有参数r(n+1);
S203、确定Yi=e(rn+1Q,Wi),Tn+1=rn+1P,其中,Wn+1=H1(IDn+1);
S204、向服务节点i发送Yi和Tn+1
S205、接收服务节点i发送的Ri、Ci、Ti;
S206、当Ri、Ti满足预设条件时,确定组通讯密钥K;
S207、确定U、M、V,并向其他服务节点发送U、M、V。
在S206中,服务节点Nn+1验证Ri、Ti是否满足预设条件,具体的,可以验证等式Ri=H4(Ci,H1(ki))是否成立,其中,若等式成立,则可以根据密文Ci,获取私钥Di,服务链私钥di,kh,并进行如下计算:
1、服务节点Nn+1的私钥D(n+1)=D1+D2+…Dn;
2、系统私钥分量d(n+1)=d1+d2+…dn;
3、组通讯密钥其中,kc=H2(e(Wn+1,rn+1P))。
在S207中,M={kc}kh,U=rn+1Wn+1,V=(rn+1+H4(M,Wn+1))Dn+1
本发明实施例还公开一种服务链密钥管理装置30,如图3所示,包括:
处理器301、用于执行存储器中存储的代码;
存储器302,用于存储执行如下步骤的代码:
获取系统参数P、Q、H1、H2、H3、H4、系统私钥分量di和服务节点i的私钥Di,其中,Q=d*P为系统公钥,d为系统私钥,H1、H2、H3、H4为散列函数;
确定私有参数ri;
接收服务节点k发送的Vk、Ek;
当Vk、Ek满足预设条件时,确定组通讯密钥K。
需要注意的是,服务链密钥管理装置30可以用于执行如图1所示的方法,可以参考前文中的描述,此处不再赘述。
本发明实施例还公开一种服务链密钥管理装置40,如图4所示,包括:
处理器401、用于执行存储器中存储的代码;
存储器402,用于存储执行如下步骤的代码:
获取系统参数P、Q、H1、H2、H3、H4、系统私钥分量di和服务节点i的私钥Di,其中,Q=d*P为服务链公钥,d为服务链私钥,H1、H2、H3、H4为散列函数;
确定私有参数r(n+1);
确定Yi=e(rn+1Q,Wi),Tn+1=rn+1P,其中,Wn+1=H1(IDn+1);
向服务节点i发送Yi和Tn+1
接收服务节点i发送的Ri、Ci、Ti;
当Ri、Ti满足预设条件时,确定组通讯密钥K;
确定U、M、V,并向其他服务节点发送U、M、V。
需要注意的是,服务链密钥管理装置40可以用于执行如图2所示的方法,可以参考前文中的描述,此处不再赘述。
本领域技术人员在具体实施过程中,可以将上述实施例进行结合,以适应实际需求。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的流程及结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。

Claims (10)

1.一种服务链密钥管理方法,其特征在于,包括:
获取系统参数P、Q、H1、H2、H3、H4、系统私钥分量di和服务节点i的私钥Di,其中,Q=d*P为系统公钥,d为系统私钥,H1、H2、H3、H4为散列函数;
确定私有参数ri;
接收相邻服务节点j发送的Tj、Pj;
当所述Tj、Pj满足预设条件时,确定组通讯密钥K。
2.根据权利要求1所述的方法,其特征在于,还包括:
确定Ti、Pi,其中,Ti=ri*P,Pi=H2(e(Wi,Ti))Di,Wi=H1(IDi),IDi为所述服务节点i的标识;
向相邻服务节点发送所述Ti、Pi。
3.根据权利要求2所述的方法,其特征在于,还包括:
接收相邻服务节点发送的Tj、Pj,其中,j=i-1或j=i+1;
当所述Tj、Pj满足预设条件时,确定Vi、Ei;
向其他服务节点发送所述Vi、Ei。
4.根据权利要求1所述的方法,其特征在于,还包括:
接收新服务节点Nn+1发送的Yi、Tn+1
当所述Yi、Tn+1满足预设条件时,向所述服务节点Nn+1发送Ri、Ci、Ti;
接收所述服务节点Nn+1发送的U、V、M;
当所述U、V、M满足预设条件时,确定组通讯密钥K。
5.根据权利要求1所述的方法,其特征在于,还包括:
确定新的私有参数ri;
确定U、M、V,并向其他服务节点发送所述U、M、V;
确定组通讯密钥。
6.根据权利要求1所述的方法,其特征在于,还包括:
接收服务节点Nn+1发送的U、M、V;
当所述U、V、M满足预设条件时,确定组通讯密钥K。
7.根据权利要求1所述的方法,其特征在于,当所述Tj、Pj满足预设条件时,确定所述组通讯密钥K,包括:
根据所述Tj、Pj完成对所述服务节点j的身份认证;
获取Vj、Ej,当所述Vj、Ej满足预设条件时,确定所述组通讯密钥K。
8.一种服务链密钥管理方法,其特征在于,包括:
获取系统参数P、Q、H1、H2、H3、H4、系统私钥分量di和服务节点i的私钥Di,其中,Q=d*P为服务链公钥,d为服务链私钥,H1、H2、H3、H4为散列函数;
确定私有参数r(n+1);
确定Yi=e(rn+1Q,Wi),Tn+1=rn+1P,其中,Wn+1=H1(IDn+1);
向服务节点i发送Yi和Tn+1
接收所述服务节点i发送的Ri、Ci、Ti;
当所述Ri、Ti满足预设条件时,确定组通讯密钥K;
确定U、M、V,并向其他服务节点发送U、M、V。
9.一种服务链密钥管理装置,其特征在于,包括处理器和存储器,其中:
所述处理器,用于执行所述存储器中存储的代码;
所述存储器,用于存储执行如下步骤的代码:
获取系统参数P、Q、H1、H2、H3、H4、系统私钥分量di和服务节点i的私钥Di,其中,Q=d*P为系统公钥,d为系统私钥,H1、H2、H3、H4为散列函数;
确定私有参数ri;
接收相邻服务节点j发送的Tj、Pj;
当所述Tj、Pj满足预设条件时,确定组通讯密钥K。
10.一种服务链密钥管理装置,其特征在于,包括处理器和存储器,其中,
所述处理器,用于执行所述存储器中存储的代码;
所述存储器,用于存储执行如下步骤的代码:
获取系统参数P、Q、H1、H2、H3、H4、系统私钥分量di和服务节点i的私钥Di,其中,Q=d*P为服务链公钥,d为服务链私钥,H1、H2、H3、H4为散列函数;
确定私有参数r(n+1);
确定Yi=e(rn+1Q,Wi),Tn+1=rn+1P,其中,Wn+1=H1(IDn+1);
向服务节点i发送Yi和Tn+1
接收所述服务节点i发送的Ri、Ci、Ti;
当所述Ri、Ti满足预设条件时,确定组通讯密钥K;
确定U、M、V,并向其他服务节点发送U、M、V。
CN201710947615.9A 2017-10-12 2017-10-12 一种服务链密钥管理方法和装置 Pending CN109660336A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710947615.9A CN109660336A (zh) 2017-10-12 2017-10-12 一种服务链密钥管理方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710947615.9A CN109660336A (zh) 2017-10-12 2017-10-12 一种服务链密钥管理方法和装置

Publications (1)

Publication Number Publication Date
CN109660336A true CN109660336A (zh) 2019-04-19

Family

ID=66109425

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710947615.9A Pending CN109660336A (zh) 2017-10-12 2017-10-12 一种服务链密钥管理方法和装置

Country Status (1)

Country Link
CN (1) CN109660336A (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102164367A (zh) * 2011-04-14 2011-08-24 北京理工大学 一种用于无线传感器网络的密钥管理方法
CN105917690A (zh) * 2013-12-19 2016-08-31 阿姆多克斯软件系统有限公司 基于网络功能虚拟化(nfv)在网络中模块间通信的系统、方法和计算机程序
CN107005580A (zh) * 2014-11-04 2017-08-01 瑞典爱立信有限公司 网络功能虚拟化服务链接

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102164367A (zh) * 2011-04-14 2011-08-24 北京理工大学 一种用于无线传感器网络的密钥管理方法
CN105917690A (zh) * 2013-12-19 2016-08-31 阿姆多克斯软件系统有限公司 基于网络功能虚拟化(nfv)在网络中模块间通信的系统、方法和计算机程序
CN107005580A (zh) * 2014-11-04 2017-08-01 瑞典爱立信有限公司 网络功能虚拟化服务链接

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
蒋华 等: ""服务链中可认证的组密钥管理方案"", 《计算机应用研究》 *

Similar Documents

Publication Publication Date Title
CN109981641B (zh) 一种基于区块链技术的安全发布订阅系统及发布订阅方法
CN104580253B (zh) 一种处理用户数据的方法及装置
CN106650344B (zh) 一种基于区块链的有第三方认证的数据存储方法
CN110290108B (zh) 一种区块链网络中的数据处理方法、系统及相关设备
CN110771091B (zh) 用于网络连接式装置的安全的系统和方法
CN111989891B (zh) 数据处理方法、相关装置及区块链系统
CN107734021B (zh) 区块链数据上传方法、系统、计算机系统及存储介质
CN104836784B (zh) 一种信息处理方法、客户端和服务器
CN107196919B (zh) 一种匹配数据的方法和装置
WO2015164710A1 (en) System and method for group collaboration using a distributed network file repository
US20130238897A1 (en) Method and apparatus for providing efficient management of certificate revocation
CN104468476A (zh) 无证书多重代理签名的方法和装置
JP2023539432A (ja) しきい値署名
CN112910870A (zh) 基于区块链的协同隐私计算数据通信方法
CN112910661A (zh) 适用于电子签约的区块链共识方法、装置、设备及介质
JP2019519176A (ja) 鍵管理システム及び方法
CN104065619B (zh) 登录方法及装置
CN111131311A (zh) 基于区块链的数据传输方法及区块链节点
CN106712959A (zh) 一种通信安全的实现方法及系统
CN114417309A (zh) 一种双向身份验证方法、装置、设备及存储介质
CN112073401B (zh) 一种基于HTTPS协议web应用自动更新证书的方法、程序及介质
CN102571338A (zh) 一种基于pki技术的物联网认证方法及系统
WO2024092929A1 (zh) 数据跨域授权方法及装置和电子设备
CN109660336A (zh) 一种服务链密钥管理方法和装置
EP4333365A1 (en) Digital certificate management method and apparatus

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20190419

WD01 Invention patent application deemed withdrawn after publication