WO2008022520A1 - Procédé, système et dispositif de sécurisation des communications entre plusieurs parties - Google Patents
Procédé, système et dispositif de sécurisation des communications entre plusieurs parties Download PDFInfo
- Publication number
- WO2008022520A1 WO2008022520A1 PCT/CN2007/001689 CN2007001689W WO2008022520A1 WO 2008022520 A1 WO2008022520 A1 WO 2008022520A1 CN 2007001689 W CN2007001689 W CN 2007001689W WO 2008022520 A1 WO2008022520 A1 WO 2008022520A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- group
- session
- key management
- protocol
- key
- Prior art date
Links
- 230000006854 communication Effects 0.000 title claims abstract description 57
- 238000004891 communication Methods 0.000 title claims abstract description 54
- 238000000034 method Methods 0.000 title claims abstract description 30
- 230000008569 process Effects 0.000 claims description 7
- 230000005540 biological transmission Effects 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 5
- 238000013475 authorization Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
一种实现多方通信安全的方法、 系统及设备 本申请要求于 2006 年 08 月 15 日提交中国专利局、 申请号为 200610037058.9、 发明名称为"一种实现多方通信安全的方法、 系统及设备" 的中国专利申请的优先权, 其全部内容通过引用结合在本申请中。 技术领域
本发明涉及通信信息技术领域, 尤其涉及网络通信安全技术, 更具体 地说, 本发明涉及一种实现多方通信安全的方法、 设备及系统。 背景技术
随着通信与信息技术的快速发展,人们对通信的要求不再局限于点对点 通信, 而提出了多方通信的要求。 多方通信也称为组通信, 指具有两个以 上的成员参加的一种通信场景, 只有两方的场景是多方通信的一个特例。 常见的多方通信场景包括远程多方 ^义、互联网协议(IP, Internet Protocol ) 电话、 IP电视、 网络在线游戏、 网格计算等。
多方通信的安全需求包括: 授权和人证、 保密、 组成员认证、 源认证、 匿名性、 完整性以及抗重放。 对多方通信的报文加密是实现通信安全保密 性的方法。 加密和解密用的密钥只有组员才知道, 这样能够确保被加密的 报文只有组成员才能解读。 组成员认证也可以利用该密钥来实现, 因为只 有拥有密钥的组成员才能正确地生成加密的多播^ ^文。 利用多方共享密钥 来解决安全问题的关键是密钥的生成和分发。 这种生成和分发必须是排外 的, 即非组成员无法获得密钥。 源认证、 完整性和匿名服务通常也要利用 双方或多方之间信息的排外共享。 在多方通信中, 如何实现密钥的排外共 享是组密钥管理关键技术。 组密钥管理研究如何为组员生成、 发布和更新 组密钥, 组密钥是所有组员共享的密钥, 用来对多播报文进行加密和解密 等安全操作。
针对以上技术要求, 多播安全(MSEC, Multicast Security ) 工作组提 出了多个协议来提供多方通信安全, MSEC协议设计思路是将组密钥管理和 数据安全相分离,重点解决组密钥管理方面的问题。 MSEC工作组已经制定 了多个组密钥管理协议, 包括组安全联盟密钥管理协议(GSA MP, Group
Secure Association Key Management Protocol )、域组解释协议 ( GDOI, Group Domain of Interpretation )、多媒体因特网密钥管理协议 ( MIKEY, Multimedia Internet Keying )等, 这些协议的共性是偏重于为基于組播方式的数据安全 协议提供标准的组密钥管理方案。从工作方式上看, MSEC协议族适合于工 作在支持 IP层多播的环境中, 比如 GSAKMP和 GODI协议就直接使用了 需要多播服务的组密钥管理算法。 虽然在单播方式下这种算法也能运行, 但严重影响运行效率。在所支持的数据安全协议方面, MSEC协议族虽然多 标称是可扩展的如: 封装安全协议(ESP, Encapsulating Security Protocol 认证头(AH, Authentication Header )和实时安全传输协议 ( SRTP, Secure Real-time Transport Protocol ), 前两种协议都工作在 IP层, SRTP工作在应 用层, 用于多媒体数据实时传输。
发明人在研究过程中发现, MSEC协议族难以提供标准的应用程序编程 调用接口( API , Application Programming Interface )供应用程序或协议调用 其功能, 可移植性 H 可部署性差。
参考图 1 , MSEC协议族工作示意图。 MSEC协议单元 101工作在传输层 的用户数据报协议单元 102上, 重点是解决密钥管理, 而数据安全是工作在 IP层 104上的 ESP或 AH单元 103以及应用层上的 SRTP。 MSEC协议族采用組 密钥管理协议和数据安全协议分开设计的方式。 各个组密钥管理协议只能 以守护进程或应用程序的形式单独运行, 比如 GDOI和 GSAKMP, 不能提供 标准的 API调用接口供应用程序对組密钥管理进行控制, 因此, 基于组密钥 管理协议开发的应用程序的可移植性很低。
而 MIKEY协议则需要嵌入到调用其服务的应用程序中运行。 就是说, 如果应用程序需要调用 MIKEY协议的功能, 就需要自身完成 MIKEY协议的 交互过程。 这种方式增加了 MIKEY协议与应用程序的耦合度, 使得每一位 需要使用 MIKEY协议功能的编程人员都需要了解 MIKEY协议的内部实现 知识, 增加了应用程序的实现难度。
从数据安全方面看, 因为 MSEC协议族目前主要支持 ESP、 AH和 SRTP, 前两种协议均在 IP层实现, 需要运行于操作系统的内核中,这种实现方式同 样难以提供标准的数据安全 API调用接口, 使得程序可移植性较差。 此外,
不同的操作系统实现 ESP和 AH的功能不尽相同, 有的可能根本没有实现这 样的功能, 这种情况导致可部署性较差。 而 SRTP是专用于实时多媒体数据 传输的协议, 非多某体应用无法使用其功能。
此外, 即使 MSEC协议族能够通过 T展支持新的数据安全协议, 但因 为目前缺乏一种通用的、 应用程序能直接调用的、 支持多方通信的数据安 全协议, 应用程序仍然不能使用 MSEC协议族提供的服务。
现有技术中还提供一种基于传输层安全协议(TLS , Transport Layer Security )或数据报传输层安全 ( DTLS , Datagram Transport Layer Security ) 技术的双方通信安全解决方案。
TLS和 DTLS协议基于客户 /服务器方式运行, 能够提供认证、 密钥协 商、 密钥更新、 加密、 完整性保护、 抗重放等安全功能。 TLS和 DTLS的 特点是运行在传输层, 能提供标准的 API供应用程序调用和控制其功能, 并且在应用程序进程空间内运行, 具有很好的可部署性。 但是传输层安全 或数据才艮传输层安全只能为两方通信提供安全服务, 对三方及以上的通信 场景, 只能通过建立多个会话 ( Session )的方式来实现, 但这种方式繁瑣、 复杂、 效率低、 不易实行。 发明内容
本发明实施例提供一种实现多方通信安全的方法、 系统及设备, 通过 扩展 TLS或 DTLS协议, 以继承原 TLS和 DTLS可移植性好、 可部署性高 的优点。
本发明实施例提供一种实现多方通信安全的方法,包括:
组控制密钥管理服务器对組员设备进行身份认证, 并与通过认证的组 员设备协商创建初始会话;
所述组控制密钥管理服务器向所述通过认证的组员设备分发组会话和 密钥更新会话;
所述组控制密钥管理服务器检测到密钥更新事件时, 该组控制密钥管 理服务器和所述通过认证的组员设备进行密钥更新。
本发明实施例提供一种多方通信安全系统, 该系统包括至少一个组控 制密钥管理服务器和与之相连接的至少两个组员设备, 所述组控制密钥管
理服务器包括:
第一传输层安全协议单元, 用于运行传输层安全协议或数据报传输层 安全协议;
第一組密钥管理子协议单元, 与所述第一传输层安全协议单元连接, 在所述组控制密钥管理服务器中运行组密钥管理子协议;
会话分发单元, 在第一组密钥管理子协议单元的控制下向组员设备分 发组会话和密钥更新会话;
密钥更新单元, 在第一組密钥管理子协议单元的控制下自动更新组会 话和密钥更新会话的密钥。
本发明实施例还提供一种管理服务器, 用于多方通信安全的组控制和 组密钥管理, 该管理服务器包括:
第一传输层安全协议单元, 用于运行传输层安全协议或数据 4艮传输层 安全协议;
第一组密钥管理子协议单元, 与所述第一传输层安全协议单元连接, 在所述组控制密钥管理服务器中运行组密钥管理子协议;
会话分发单元, 在第一組密钥管理子协议单元的控制下向组员设备分 发组会话和密钥更新会话;
密钥更新单元, 在第一组密钥管理子协议单元的控制下自动更新组会 话和密钥更新会话的密钥。
本发明实施例还提供一种实现多方安全通信的组员设备, 该组员设备 包括:
第二传输层安全协议单元, 用于运行传输层安全协议或数据报传输层 安全协议;
第二组密钥管理子协议单元, 分别与所述第二传输层安全协议单元连 接, 在所述组员设备中运行组密钥管理子协议;
会话接收单元, 在第二组密钥管理自协议单元的控制下接收所述组控 制密钥管理服务器分发的组会话和密钥更新会话。
本发明实施例提供的技术方案中, 在原有 TLS或 DTLS协议中添加了 组密钥管理子协议、 组会话和组密钥更新会话, 对原协议进行改进。 基于
—3—
成熟的安全标准协议 TLS和 DTLS构造多方通信安全系统, 可以大量复用 已有功能和设施, 在原有部分设施上做改进, 很容易地实现多方通信安全。
在本发明实施例的技术方案中 , 在組控制密钥管理服务器中增加了组 密钥管理子协议单元和会话分发单元, 在组员设备中也增加了组密钥管理 子协议单元和会话接收单元, 用来控制组会话的分发和密钥更新; 组会话 实现多方通信数据安全, 包括加密、 完整性保护、 抗重放、 源认证、 组认 证。 因此, 本发明实施例将组密钥管理和数据安全统一设计, 并且在应用 程序空间中运行, 可以很容易的与应用程序进行交互, 能提供标准的 API 接口供应用程序调用和控制其功能, 从而本技术方案的可移植性好。 附图说明
图 1是现有技术中多播协议族工作示意图;
图 2是本发明实施例中的多方通信安全系统的系统结构图;
图 3是本发明实施例中的组控制密钥管理服务器结构框图;
图 4是本发明实施例中的组员设备的结构框图;
图 5是本发明实施例中实现多方通信安全的方法的流程图;
图 5a是本发明实施例的实现多方通信安全的方法中密钥更新的流程 图;
图 6是本发明实施例中扩展后的 TLS或 DTLS协议模型。 具体实施方式
下面结合附图阐述本发明的技术方案。
参考图 2,所示为本发明实施例中的一种多方通信安全系统的系统结构 框图。该多方通信安全系统包括一个组控制密钥管理服务器(GCKS, Group Control and Keying Server ) 205和与^ ^目连接的四个组员设备, 分別是第一 組员 201、 第二組员 202、 第三组员 203及笫四组员 204。 组控制密钥管理 服务器 205 用于在多方通信安全中负责组员的授权、 认证以及密钥管理等 功能。 其中, GCKS205通常由专门的设备担任, 也可以由普通的组员设备 担任。 可以理解, 组员设备不限于四个, 可以是三个或多于四个。
参考图 3 ,所示为本发明实施例中的一种组控制密钥管理服务器的结构 框图, 组控制密钥管理服务器 205包括:
第一传输层安全协议单元 301 , 用来运行 TLS或 DTLS协议。 会话分发单元 302, 用于向組员分发组会话或密钥更新^ i舌;
第一组密钥管理子协议单元 303 ,分别与第一传输层安全协议单元 301、 会话分发单元 302 连接, 通过运行组密钥管理子协议来控制所述组会话或 密钥更新会话的分发和密钥更新;
密钥更新事件检测单元 304, 与第一组密钥管理子协议单元 303连接, 用于检测多方通信过程中是否存在密钥更新事件;
密钥自动更新单元 305, 与第一组密钥管理子协议单元 303连接, 用于 自动更新组会话和密钥更新会话的密钥。
参考图 4,所示为本发明实施例中的多方通信安全系统的组员设备的结 构框图。 组员设备包括:
第二传输层安全协议单元 401 ,用于运行 TLS或 DTLS协议与 GCKS205 进行身份认证和初始会话协商。
会话接收单元 402, 用于接收 GCKS205分发的组会话和密钥更新会话。 第二组密钥管理子协议单元 403 , 与第二传输层安全协议单元 401、 会 话接收单元 402连接, 用于控制所述组会话或密钥更新会话的接收;
参考图 5,所示为本发明实施例中的一种实现多方通信安全的方法流程 图。 在多方通信开始前组控制密钥管理服务器 205通过运行 TLS或 DTLS 协议, 创建访问控制列表、 组会话、 密钥更新会话, 所述方法包括:
在步骤 501中, GCKS205和组员设备通过运行 TLS或 DTLS协议进行 身份认证, 协商创建初始会话;
GCKS205和组员设备分别同时运行 TLS或 DTLS协议, 并通过运行 handshake (握手)子协议进行身份认证和 initiation session (初始会话)协 商。
在步骤 502 中, GCKS205 和组员设备通过运行组密钥管理子协议
( rekeying ) 向所述组员设备分发所述组会话和密钥更新会话;
GCKS205和组员设备通过运行 rekeying子协议来分别进行密钥分发; 在 initiation session的保护下,通过主动下载的方式从 GCKS205上下载 所述 group session (组会话)和 rekeying session (密钥更新会话), 以接收
GCKS205分发的组会话和密钥更新会话。
步驟 503, 当 GCKS205检测到密钥更新事件时, GCKS205和组员设备 通过运行 rekeying子协议进行密钥更新。
参考图 5a, 所示为本发明实施例提供的一种实现多方通信安全的方法 中密钥更新的流程图。
步骤 S5031 , GCKS205检测密钥更新事件。 其中, 密钥更新事件包括 密钥泄露和 /或密钥到期和 /或组员离开和 /或新组员加入,且不限于上述密钥 更新事件。
步骤 S5032, GCKS205根据所述密钥更新事件判断是否需要进行密钥 更新, 如果需要密钥更新, 则进入步骤 S5033 , 否则, 转到步骤 S5031。
当检测到第四组员 204 离开, 或当密钥泄露或密钥到期或新组员加入 等, 则 GCKS205根据该密钥更新事件做出密钥更新的决定。
步骤 S5033 , GCKS205自动更新 rekeying session和 group session的密 钥。
步驟 S5034, GCKS205和所有组员设备通过运行 rekeying子协议, 分 发更新后的所述^舌。 当密钥更新由 GCKS205发起, 在 rekeying session的 保护下, GCKS205以推送的方式分发所述会话; 当密钥更新由其中一个组 员设备发起, 在 rekeying session的保护下, 所有组员以主动下载的方式从 GCKS205上下载更新后的组会话和密钥更新会话。
当通信过程中, GCKS205检测到各种故障事件时, 在初始会话的保护 下, GCKS205和所有组员设备通过运行告警子协议交互相互的状态信息。
按照本发明实施例提供的一种多方通信安全方法、 系统及设备, 是在原 有 TLS或 DTLS协议的双方通信安全解决方案扩展改进的。 参考图 6, 图 示了本发明对 TLS或 DTLS改进后的协议模型。 本发明实施例提供的技术 方案中, 在原 TLS或 DTLS协议的握手单元 601中增添了组密钥管理子协 议模块 602,在记录协议单元 603中增添了组会话模块 604和密钥更新会话 模块 605。 TLS和 DTLS是发展成熟的安全标准协议, 该协议功能丰富, 实 际应用多, 安全性已经过考验。 基于它们构造多方通信安全系统, 可以大 量复用已有功能和设施, 在原有部分设施上做改进, 很容易地实现多方通
信安全。
本领域技术人员可以理解,上述实施例中的全部或部分模块或各步骤是 可以通过程序来指令相关硬件来实现, 所述程序可存储于计算机可读取存 储介质中, 所述存储介质, 如 ROM/RAM、 磁盘、 光碟等。 或者将它们分 别制作成各个集成电路模块, 或者将它们中的多个模块或步骤制作成单个 集成电路模块来实现。 这样, 本发明不限制于任何特定的硬件和软件结合。
综上所述, 在本发明实施例提供的技术方案中, 組控制密钥管理服务 器中增加了组密钥管理子协议单元和会话分发单元, 在组员设备中增加了 组密钥管理子协议单元和会话接收单元用来控制组会话的分发和密钥更 新; 组会话实现多方通信数据安全, 包括加密、 完整性保护、 抗重放、 源 认证、 组认证。 因此, 本发明将组密钥管理和数据安全统一设计, 并且在 应用程序空间中运行, 可以很容易的与应用程序进行交互且, 能提供标准 的 API接口供应用程序调用和控制其功能, 从而本技术方案的可移植性好。
因此,本发明实施例提供的技术方案很好地解决了现有 MSEC协议族解 决方案的可移植性差, 可部署性低的缺点, 并避免开发新的解决方案所具 有的投入高、 风险大的缺点。
以上所揭露的仅为本发明的示范性实施例而已, 不能以此来限定本发 明之权利范围, 在不脱离本发明的实质的前提下所作的等同变化, 仍属本 发明所涵盖的范围。
Claims
1、 一种实现多方通信安全的方法,其特征在于, 该方法包括: 组控制密钥管理服务器对組员设备进行身份认证, 并与通过认证的组 员设备协商创建初始会话;
所述组控制密钥管理服务器向所述通过认证的组员设备分发组会话和 密钥更新会话;
所述组控制密钥管理服务器检测到密钥更新事件时, 该組控制密钥管 理服务器和所述通过认证的组员设备进行密钥更新。
2、 按照权利要求 1所述的方法, 其特征在于, 所述分发组会话和密钥 更新会话是在初始会话的保护下以组员设备从所述组控制密钥管理服务器 主动下载的方式进行。
3、 按照权利要求 1所述的方法, 其特征在于,
所述对组员设备进行身份认证是通过运行传输层安全协议或数据报传 输层安全协议实现; 或 /和
所述密钥更新基于组密钥管理子协议实现。
4、 按照权利要求 1或 2所述的方法, 其特征在于, 所述进行密钥更新 的过程包括如下步骤:
所述组控制密钥管理服务器检测密钥更新事件;
根据所述密钥更新事件判断是否需要进行密钥更新, 如果是, 则所述 组控制密钥管理服务器自动更新所述密钥更新会话和组会话的密钥, 否贝' j, 继续检测密钥更新事件;
所述组控制密钥管理服务器向所述组员设备分发更新后的组会话和密 钥更新^ 。
5、 按照权利要求 4所述的方法, 其特征在于, 所述分发所述更新后的 組会话和密钥更新会话是在密钥更新会话的保护下以組控制密钥管理服务 器推送的方式进行; 或
在密钥更新会话的保护下以组员设备从所述组控制密钥管理服务器主 动下载的方式进行。
6、 按照权利要求 1所述的方法, 其特征在于, 还包括:
当检测到故障事件时, 所述组控制密钥管理服务器和组员设备在初始 会话的保护下进行交互获取相关状态信息。
7、 一种多方通信安全系统, 该系统包括至少一个組控制密钥管理服务 器和与之相连接的至少两个組员设备, 其特征在于, 所述组控制密钥管理 服务器包括:
第一传输层安全协议单元, 用于运行传输层安全协议或数据报传输层 安全协议;
第一组密钥管理子协议单元, 与所述第一传输层安全协议单元连接, 在所述组控制密钥管理服务器中运行组密钥管理子协议;
会话分发单元, 在第一组密钥管理子协议单元的控制下向组员设备分 发组会话和密钥更新会话;
密钥更新单元, 在第一组密钥管理子协议单元的控制下自动更新组会 话和密钥更新会话的密钥。
8、 按照权利要求 7所述的系统, 其特征在于, 所述组员设备包括: 第二传输层安全协议单元, 用于运行传输层安全协议或数据报传输层 安全协议;
第二组密钥管理子协议单元, 分别与所述第二传输层安全协议单元连 接, 在所述組员设备中运行组密钥管理子协议;
会话接收单元, 在第二组密钥管理自协议单元的控制下接收所述组控 制密钥管理服务器分发的组会话和密钥更新会话。
9、 按照权利要求 8所述的系统, 其特征在于, 所述组控制密钥管理服 务器还包括:
密钥更新事件检测单元, 与所述第一组密钥管理子协议单元连接, 用 于检测多方通信过程中是否存在密钥更新事件。
10、 按照权利要求 8或 9所述的系统, 其特征在于, 所述会话接收单 元在初始会话的保护下从所述组控制密钥管理服务器以主动下载的方式接 收初始的组会话和密钥更新会话。
11、 按照权利要求 10所述的系统, 其特征在于, 所述会话分发单元在
和密钥更新会话。
12、 按照权利要求 10所述的系统, 其特征在于, 所述会话接收单元在 密钥更新会话的保护下以主动下载的方式接收更新后的组会话和密钥更新 会话。
13、 一种管理月良务器, 用于多方通信安全的组控制和组密钥管理, 其 特征在于, 该管理服务器包括:
第一传输层安全协议单元, 用于运行传输层安全协议或数据报传输层 安全协议;
第一组密钥管理子协议单元, 与所述第一传输层安全协议单元连接, 在所述组控制密钥管理服务器中运行组密钥管理子协议;
会话分发单元, 在第一组密钥管理子协议单元的控制下向组员设备分 发组会话和密钥更新会话;
密钥更新单元, 在第一组密钥管理子协议单元的控制下自动更新組会 话和密钥更新会话的密钥。
14、 按照权利要求 13所述的组控制密钥管理服务器, 其特征在于, 该 组控制密钥管理服务器还包括:
检测单元, 与所述第一组密钥管理子协议单元连接, 用于检测多方通 信过程中是否存在密钥更新事件。
15、 一种实现多方安全通信的组 设备, 其特征在于, 该组员设备包 括:
第二传输层安全协议单元 , 用于运行传输层安全协议或数据报传输层 安全协议;
第二组密钥管理子协议单元, 分别与所述第二传输层安全协议单元连 接, 在所述组员设备中运行组密钥管理子协议;
会话接收单元, 在第二组密钥管理自协议单元的控制下接收所述组控 制密钥管理服务器分发的组会话和密钥更新会话。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/917,080 US20090271612A1 (en) | 2006-08-15 | 2007-05-24 | Method, system and device for realizing multi-party communication security |
| CN2007800001854A CN101313511B (zh) | 2006-08-15 | 2007-05-24 | 一种实现多方通信安全的方法、系统及设备 |
| EP07721262A EP2056521A4 (en) | 2006-08-15 | 2007-05-24 | METHOD, SYSTEM AND DEVICE FOR ACHIEVING COMMUNICATION SECURITY FOR SEVERAL PARTICIPANTS |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100370589A CN101127595B (zh) | 2006-08-15 | 2006-08-15 | 一种实现多方通信安全的方法、系统及设备 |
| CN200610037058.9 | 2006-08-15 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2008022520A1 true WO2008022520A1 (fr) | 2008-02-28 |
Family
ID=39095532
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/CN2007/001689 WO2008022520A1 (fr) | 2006-08-15 | 2007-05-24 | Procédé, système et dispositif de sécurisation des communications entre plusieurs parties |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20090271612A1 (zh) |
| EP (1) | EP2056521A4 (zh) |
| CN (2) | CN101127595B (zh) |
| WO (1) | WO2008022520A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10320842B1 (en) | 2017-03-24 | 2019-06-11 | Symantec Corporation | Securely sharing a transport layer security session with one or more trusted devices |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101127595B (zh) * | 2006-08-15 | 2011-02-02 | 华为技术有限公司 | 一种实现多方通信安全的方法、系统及设备 |
| US8429400B2 (en) * | 2007-06-21 | 2013-04-23 | Cisco Technology, Inc. | VPN processing via service insertion architecture |
| CN101370004A (zh) * | 2007-08-16 | 2009-02-18 | 华为技术有限公司 | 一种组播会话安全策略的分发方法及组播装置 |
| US8401195B2 (en) * | 2008-09-22 | 2013-03-19 | Motorola Solutions, Inc. | Method of automatically populating a list of managed secure communications group members |
| CN101997835B (zh) * | 2009-08-10 | 2014-02-19 | 北京多思科技发展有限公司 | 网络安全通讯方法、数据安全处理装置和用于金融的系统 |
| CN101997677B (zh) * | 2009-08-18 | 2015-01-28 | 中兴通讯股份有限公司 | Ip多媒体子系统中会议媒体流密钥的管理方法与装置 |
| CN101710859B (zh) * | 2009-11-17 | 2014-02-12 | 深圳国微技术有限公司 | 一种认证密钥协商方法 |
| US9294270B2 (en) * | 2010-01-05 | 2016-03-22 | Cisco Technology, Inc. | Detection of stale encryption policy by group members |
| US9230373B2 (en) * | 2013-02-07 | 2016-01-05 | Honeywell International Inc. | System and method to aggregate control of multiple devices via multicast messages and automatic set up of connections |
| CN103269276B (zh) * | 2013-05-22 | 2016-03-16 | 杭州华三通信技术有限公司 | 一种实现组成员设备通信的方法和设备 |
| US9531704B2 (en) * | 2013-06-25 | 2016-12-27 | Google Inc. | Efficient network layer for IPv6 protocol |
| JP6850530B2 (ja) * | 2014-10-20 | 2021-03-31 | タタ コンサルタンシー サービシズ リミテッドTATA Consultancy Services Limited | セキュアセッションの確立と暗号化データ交換のためのコンピュータ利用システム及びコンピュータ利用方法 |
| TWI556618B (zh) * | 2015-01-16 | 2016-11-01 | Univ Nat Kaohsiung 1St Univ Sc | Network Group Authentication System and Method |
| US9596079B1 (en) | 2016-04-14 | 2017-03-14 | Wickr Inc. | Secure telecommunications |
| US10341100B2 (en) * | 2017-01-06 | 2019-07-02 | Microsoft Technology Licensing, Llc | Partially encrypted conversations via keys on member change |
| GB201710168D0 (en) | 2017-06-26 | 2017-08-09 | Microsoft Technology Licensing Llc | Introducing middleboxes into secure communications between a client and a sever |
| US10855440B1 (en) | 2017-11-08 | 2020-12-01 | Wickr Inc. | Generating new encryption keys during a secure communication session |
| US11101999B2 (en) | 2017-11-08 | 2021-08-24 | Amazon Technologies, Inc. | Two-way handshake for key establishment for secure communications |
| US10541814B2 (en) * | 2017-11-08 | 2020-01-21 | Wickr Inc. | End-to-end encryption during a secure communication session |
| US10778432B2 (en) | 2017-11-08 | 2020-09-15 | Wickr Inc. | End-to-end encryption during a secure communication session |
| CN112543100B (zh) * | 2020-11-27 | 2023-07-28 | 中国银联股份有限公司 | 一种动态密钥生成方法和系统 |
| CN113612612A (zh) * | 2021-09-30 | 2021-11-05 | 阿里云计算有限公司 | 一种数据加密传输方法、系统、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6215878B1 (en) * | 1998-10-20 | 2001-04-10 | Cisco Technology, Inc. | Group key distribution |
| US20050097317A1 (en) * | 2000-01-12 | 2005-05-05 | Jonathan Trostle | Directory enabled secure multicast group communications |
| CN1642073A (zh) * | 2004-01-17 | 2005-07-20 | 神州亿品科技(北京)有限公司 | 无线局域网中组密钥的协商及更新方法 |
| US20060029226A1 (en) * | 2004-08-05 | 2006-02-09 | Samsung Electronics Co., Ltd. | Method of updating group key of secure group during new member's registration into the secure group and communication system using the method |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6049878A (en) * | 1998-01-20 | 2000-04-11 | Sun Microsystems, Inc. | Efficient, secure multicasting with global knowledge |
| US7412058B2 (en) * | 2003-03-18 | 2008-08-12 | Delphi Technologies, Inc. | Digital receiver and method for receiving secure group data |
| US7774411B2 (en) * | 2003-12-12 | 2010-08-10 | Wisys Technology Foundation, Inc. | Secure electronic message transport protocol |
| US20050129236A1 (en) * | 2003-12-15 | 2005-06-16 | Nokia, Inc. | Apparatus and method for data source authentication for multicast security |
| US7676679B2 (en) * | 2005-02-15 | 2010-03-09 | Cisco Technology, Inc. | Method for self-synchronizing time between communicating networked systems using timestamps |
| CN101127595B (zh) * | 2006-08-15 | 2011-02-02 | 华为技术有限公司 | 一种实现多方通信安全的方法、系统及设备 |
-
2006
- 2006-08-15 CN CN2006100370589A patent/CN101127595B/zh not_active Expired - Fee Related
-
2007
- 2007-05-24 WO PCT/CN2007/001689 patent/WO2008022520A1/zh active Application Filing
- 2007-05-24 US US11/917,080 patent/US20090271612A1/en not_active Abandoned
- 2007-05-24 EP EP07721262A patent/EP2056521A4/en not_active Withdrawn
- 2007-05-24 CN CN2007800001854A patent/CN101313511B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6215878B1 (en) * | 1998-10-20 | 2001-04-10 | Cisco Technology, Inc. | Group key distribution |
| US20050097317A1 (en) * | 2000-01-12 | 2005-05-05 | Jonathan Trostle | Directory enabled secure multicast group communications |
| CN1642073A (zh) * | 2004-01-17 | 2005-07-20 | 神州亿品科技(北京)有限公司 | 无线局域网中组密钥的协商及更新方法 |
| US20060029226A1 (en) * | 2004-08-05 | 2006-02-09 | Samsung Electronics Co., Ltd. | Method of updating group key of secure group during new member's registration into the secure group and communication system using the method |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10320842B1 (en) | 2017-03-24 | 2019-06-11 | Symantec Corporation | Securely sharing a transport layer security session with one or more trusted devices |
| US10749899B1 (en) | 2017-03-24 | 2020-08-18 | Ca, Inc. | Securely sharing a transport layer security session with one or more trusted devices |
Also Published As
| Publication number | Publication date |
|---|---|
| US20090271612A1 (en) | 2009-10-29 |
| EP2056521A1 (en) | 2009-05-06 |
| CN101127595B (zh) | 2011-02-02 |
| CN101127595A (zh) | 2008-02-20 |
| CN101313511B (zh) | 2011-02-09 |
| CN101313511A (zh) | 2008-11-26 |
| EP2056521A4 (en) | 2010-01-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2008022520A1 (fr) | Procédé, système et dispositif de sécurisation des communications entre plusieurs parties | |
| US8209532B2 (en) | System and method for implementing security of multi-party-communication | |
| US8255690B2 (en) | Apparatus and method for group session key and establishment using a certified migration key | |
| US7328343B2 (en) | Method and apparatus for hybrid group key management | |
| KR101516909B1 (ko) | 공개키에 의존하는 키 관리를 위한 보안 연계의 발견 | |
| US8769288B2 (en) | Discovery of security associations | |
| US7949873B2 (en) | Secure instant messaging | |
| US7957320B2 (en) | Method for changing a group key in a group of network elements in a network system | |
| US20070003066A1 (en) | Secure instant messaging | |
| US11736304B2 (en) | Secure authentication of remote equipment | |
| JP2012019534A (ja) | 安全なコラボレーティブ・トランザクションを管理する方法及び装置 | |
| KR20140069282A (ko) | 네트워크 지원 피어 투 피어의 안전한 통신 확립 | |
| US8793494B2 (en) | Method and apparatus for recovering sessions | |
| Maffina et al. | An improved and efficient message passing interface for secure communication on distributed clusters | |
| Ingle et al. | EGSI: TGKA based security architecture for group communication in grid | |
| El-Ema et al. | A network authentication protocol based on Kerberos | |
| Cui et al. | FSEE: A Forward Secure End-to-End Encrypted Message Transmission System for IoT | |
| Freudenthal et al. | Switchboard: secure, monitored connections for client-server communication | |
| Mukherjee | Secure group communication | |
| CN115102698A (zh) | 量子加密的数字签名方法及系统 | |
| CN115333743A (zh) | 一种针对mqtt协议的细粒度安全通信方法 | |
| Sriramulu et al. | A Secure Network Communication Based on Kerberos & MD5 | |
| Yang et al. | A generic approach for providing revocation support in secret handshake | |
| Singh | Fault tolerant and highly available entitlement server | |
| Harney et al. | RFC 4535: GSAKMP: Group Secure Association Key Management Protocol |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| WWE | Wipo information: entry into national phase |
Ref document number: 200780000185.4 Country of ref document: CN |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 11917080 Country of ref document: US |
|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 07721262 Country of ref document: EP Kind code of ref document: A1 |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 2007721262 Country of ref document: EP |
|
| NENP | Non-entry into the national phase |
Ref country code: RU |