WO2010020186A1 - 基于单播会话密钥的组播密钥分发方法、更新方法及基站 - Google Patents

Description

基于单播会话密钥的组播密钥分发方法、 更新方法及基站 本申请要求于 2008年 8月 21日提交中国专利局、 申请号为 200810150694.1、 发明名称为"一种基于单播会话密钥的组播密钥分发方法及其更新方法"的中 国专利申请的优先权， 其全部内容通过引用结合在本申请中。

发明领域

本发明涉及一种基于单播会话密钥的组播密钥分发方法、其更新方法和基 站。

背景技术

网络安全问题已得到业界和学术界的广泛关注。相对而言， 无线网络的安 全问题远比有线以太网严重。 美国电气及电子工程师学会（IEEE, Institute for Electrical and Electronics Engineers )制定了 802.11和 802.16系列标准来增强无线 局域网和无线城域网的安全性， 提供移动终端 （MT, Mobile Terminal )到基 站 BS, Base Station )的安全接入， 中国也在 2003年 5月份颁布了无线局域网国 家标准 GB15629.il ,通常称为无线局域网鉴别与保密基础架构（ WAPI, WLAN Authentication and Privacy Infrastructure ) 协议。 宽带无线多媒体 ( BWM , Broadband Wireless Multi media ) 网络融合了数据通信和广播通信， 是一种新 的无线网络体系结构， 同样需要解决安全接入和保密通信问题。

不管是那种无线网络， 一般都包含两种通信模式： 点对点的单播通信和点 对多点组播（或称为组内广播）方式。 不仅仅是单播通信需要保证通信双方实 体的真实性以及通信内容的保密性，安全组播同样需要保证组播实体的合法性 和组播消息的保密性， 同时， 对接收组播的终端也需要一定的权限限制， 保证 只有获得授权的终端可以正确地读出所组播的消息，这要求我们必须首先有效 解决组播密钥安全分发问题。如何有效管理组播密钥是解决安全组播的关键问 题之一。

IEEE802.il标准使用了有线等效保密 （ WEP, Wired Equivalent Privacy ) 协议实现无线局域网 （ WLAN , Wireless Local Area Network )的安全性， 它的 密钥管理非常筒单， 即手工在移动终端和接入点之间设置共享密钥。 此时， ΙΕΕΕ802.11还没有涉及组播密钥管理问题， 没有提供关于组播安全的解决方 案。

因为 WEP加密协议存在严重的安全漏洞。 IEEE提出了 IEEE802. Hi标准 来解决 WEP的安全问题。中国也提出了无线局域网中国国家标准 GB15629.il , 即 WAPI, 同样克服了 WEP存在的一些弊病。 IEEE802.11i和 WAPI尽管认证 机制不同， 但在组播密钥管理方面却是十分相似： 组播会话密钥 GSK的分发 是由事先建立的单播会话密钥 USK加密分发的。 也就是说， 基站会选取一个 组播会话密钥，然后，分别用自己与每一个终端共享的单播会话密钥进行加密， 并逐个发送给相应的终端。每个终端接收到加密的组播会话密钥消息后， 可以 用自己与基站共享的单播会话密钥解密得到组播会话密钥。当每个终端都接收 到同样的组播会话密钥后，基站就可以进行安全组播。如果要更新组播会话密 钥， 则需要重复上述过程。

该方法的缺点是效率低， 特别是当进行组播会话密钥更新时，基站需要重 复上述组播会话密钥分发过程： 基站选取一个组播会话密钥， 分别用自己与每 一个终端共享的单播会话密钥进行加密， 并逐个发送给相应的终端。

在美国 IEEE提出的无线城域网标准即 IEEE802.16标准中，其组播密钥管 理借鉴了 IEEE802.11i。但在 IEEE提出的 IEEE802.16e标准中， 关于安全组播 密钥管理问题， 提出了新的设计理念， 引入了组播密钥加密密钥 GKEK, 建立 起了组播密钥加密密钥 GKEK和组播会话密钥 GSK两级的管理方法。 其思想 为： 首先， 基站利用与每个终端建立的单播会话密钥逐个加密 GKEK并发送 给相应终端； 终端收到该消息后， 利用单播会话密钥解密得到 GKEK; 然后， 基站利用 GKEK作为密钥加密 GSK, 并对所有终端进行广播； 拥有 GKEK的 每一个终端可以得到相同的 GSK。 这时， 组播会话密钥过程完成。 在进行组 播会话密钥更新时，采用同样的过程： 即基站利用 GKEK作为密钥加密 GSK, 并对所有终端进行广播。

而 IEEE802.116e的组播密钥管理方法还存在如下缺点： 采用时间同步方 式， 状态管理复杂； 新密钥的启用、 禁用都依赖时间判断， 在一个分布式系统 中维护同步时钟比较复杂。

针对这种情况， 中国在无线城域网和宽带无线多媒体领域，提出了具有类 似思想的组播会话密钥管理方法。

但这种方法具有以下缺点：

1、 尽管采用了 GKEK和 GSK两级的管理方法， 但对所有终端来说， 它们 的 GKEK和 GSK是相同的， 不具备密钥分级管理的优势和特点；

2、 因为 GKEK对所有终端来说是相同的， 这会使得终端更容易将 GKEK 泄漏给其他终端， 安全性不高；

3、没有涉及 GKEK的更新方法。 因为 GKEK作为基础密钥对所有终端来说 是相同的， 安全性不高， 因此， 需要经常更换 GKEK;

4、 没有提供有效的 GKEK更新方法， 只能和组播密钥加密密钥分发方法 相同， 由基站逐个加密、 逐个发送给终端；

5、 在上述情况 4中， 这种更新可能需要较长时间， 该时间长短由终端数目 决定。 这可能会导致在密钥更新时， 出现组播中断现象。

尽管 IEEE802.16e和上述中国在无线城域网和宽带无线多媒体领域所提方 案能够在一定程度上改进了组播密钥管理的效率问题，避免了提高了组播会话 密钥分发和更新的效率， 但该方案并没有从根本上解决上述 IEEE802.11i和 WAPI以及 IEEE802.16存在的问题， 也就是说， 至少对于组播密钥加密密钥 GKEK的分发， 同样需要基站分别用自己与每一个终端共享的单播会话密钥进 行加密， 并逐个发送给相应的终端。 同时， 对于组播密钥加密密钥 GKEK更新 问题也未作处理， 只能筒单地重复初次分发过程来实现。

发明内容

本发明为解决现有技术中基于单播会话密钥的组播密钥分发效率低下问 题， 而提供一种基于单播会话密钥的组播密钥分发方法、 更新方法及基站。

本发明的技术解决方案是：提供一种基于单播会话密钥的组播密钥分发方 法， 该方法包括以下步骤：

基站构造组播密钥分发分组；

基站向所有经过安全认证的终端进行广播组播密钥分发分组；

优选的， 所述基站构造组播密钥分发分组之前， 所述方法还包括： 基站建 立系统参数， 所述系统参数包括： 设 和 ((¾,·)为两个阶均为 p的循环群， 为素数， 且满足 tDiffie-Hellman计算问题为困难问题； 令 为(^的生成元； 令 e为

令 /<·)是一个单向 hash函数。

优选的， 所述基站构造组播密钥分发分组之前， 所述方法还包括： 基站对每一个终端进行认证， 以及与每一个终端进行单播密钥协商，基站 与每个终端建立一个共享的单播会话密钥。

优选的，所述对每一个终端进行认证， 以及与每一个终端进行单播密钥协 商的方式包括：

基于 WAPI或者标准 802.1 li的方式或手工设置共享密钥方式。

优选的， 所述广播组播密钥分发分组包括：

基站 BS的身份信息， 标识本次组播密钥分发的序列号 SN, 基站计算的组 播密钥数据 Data和完整性校验密钥 MIC。

优选的， 所述广播组播密钥分发分组中， Data的计算过程包括：

基站在 。中随机选择《-1 ( «大于等于 2 )个不同的元素 v。， v_l5 v„__2e 以 及元素 e , 同时， 随机构造 n-l 次秘密多项式 /WeZpW; 并计算： Q_K = f(0)P e G_x和 V_t = f(_Vi)P(i = 0, 1, ···, n-2) ;

对于每一个已通过接入认证的 个终端 MT, 其中， =l,2,..., , 基站分别 记录所述终端 MT的识别信息 ID; , 并利用其单播会话密钥 USK计算秘密信息

Yi=h ( US¾ ) , 计算 = +β₂); 并销毁 κ·;令

Z)a = (2^,a,a,v₀,...,v„_₂,V₀,..., _₂,(/Z)₁,W₁),...,(/Z)_m,WJ);

如果基站选取组播会话密钥为 G eG₂;以及再随机选择整数 reZ: ,计算：

Data! = (P Q; ,U ,V* V*_₂ ) = (rP, rQ, ,e(Q_K, Q GSK), rV₀,..., rV_n_₂ )；

令 Data: (Datal,Data2)₀

优选的， 所述方法还包括：

终端根据接收到的组播密钥分发分组进行计算， 获取组播会话密钥。

优选的， 所述终端根据接收到的组播密钥分发分组进行计算， 获取组播会 话密钥的具体包括：

终端利用自己预先协商的单播会话密钥 USK_X计算秘密数据 y_x=/¾(USK_x); 终端利用组播密钥分发分组的信息和计算的 1 ^构造集合： T = {e₀,e₁,...e_n_₁} = {v₀,...,v_n_₂,Y

终端根据所述 构造集合对每个 _e;er算出秘密信息 _σ,_Ρ= Π -^; 终端根据所述秘密信息计算消息组播会话密钥 GSK如下：

GSK = iQ Q_K)u

(Q, + Q₂,∑ a_{e r}V;)e(a_en^_rW_x,P*) 终端根据消息组播会话密钥 GSK, 导出的组播会话完整性校验密钥 GSKI 和组播会话加密密钥 GSKE, 并利用所述 GSKI重新计算 MIC, 以及在判断所述 组播密钥分发分组有效时， 根据 SN字段判断是否是基站发送的重复消息， 若 不是， 则终端正确地获取到组播会话密钥。

优选的， 在获取到组播会话密钥后， 所述方法还包括：

终端和基站之间进行双向的单播通信， 或由基站向所有终端进行广播通 信。

本发明还提供一种基于单播会话密钥的组播密钥更新方法，该方法包括以 下步骤：

基站构造组播密钥更新分组；

基站向所有的终端进行广播组播密钥更新分组。

优选的， 所述广播组播密钥更新分组包括： 基站 BS的身份信息， 标识本 次组播密钥分发的序列号 SN, 基站计算的组播密钥数据 Data和完整性校验密 钥 MIC。

优选的， 所述广播组播密钥更新分组中， Data的计算过程包括： 如果基站选取的新的组播会话密钥为 G eG₂; 再随机选择整数 reZ:, 并 计算： Data2 =

,U ,V* V*_₂ ) = (rP, rQ, ,e(Q_K, Q GSK), rV₀,..., rV_n_₂ )；

令 Data: (Datal,Data2)_;

优选的， 所述方法还包括：

终端根据接收到的组播密钥更新分组进行计算， 获取组播会话密钥。 优选的， 所述终端根据接收到的组播密钥更新分组进行计算， 获取组播会 话密钥的具体步骤包括： 终端利用自己预先协商的单播会话密钥 USK_X计算秘密数据 y_x=/¾(USK_x); 终端利用组播密钥更新分组的信息和计算的 y_x构造集合：

T = {e₀,e₁,...e_n_₁} = {v₀,...,v_n_₂,Y_x}

终端根据所述 构造集合对每个 e_;er算出秘密信息 Π 终端根据所述秘密信息计算消息组播会话密钥 GSK如下：

GSK = iQ Q_K)u

(Q, + Q₂,∑ a_{e r}V;)e(a_en^_rW_x,P*) 终端根据消息组播会话密钥 GSK,导出的组播会话完整性校验密钥 GSKI 和组播会话加密密钥 GSKE, 并利用 GSKI重新计算 MIC, 以及在判断组播密 钥更新分组有效时，根据 SN字段判断是否是基站发送的重复消息，如果不是， 则终端正确地获取到新的组播会话密钥。

优选的， 在获取到组播会话密钥后， 所述方法还包括：

终端和基站之间进行双向的单播通信， 或由基站向所有终端进行广播通 信。

相应的， 本发明实施例还提供一种基站， 包括：

构造单元， 用于构造组播密钥分发分组或者组播密钥更新分组；

发送单元，用于向所有经过安全认证的终端进行广播所述构造单元构造的 组播密钥分发分组或者组播密钥更新分组。

优选的， 所述基站还包括：

建立单元，用于在所述构造单元构造组播密钥分发分组或者组播密钥更新 分组之前， 建立系统参数， 所述系统参数包括： 设 和 ((¾,·)为两个阶均为 p的循环群， 为素数，且满足 tDiffie-Hellman计算问题为困难问题；令 P为 的生成元； 令 e为 (^和(¾上的双线性变换， 即^^?^^ ^; 令/ <·)是一个单 向 hash函数。

优选的， 所述基站还包括：

认证协商单元，用于在所述构造单元构造组播密钥分发分组或者组播密钥 更新分组之前，对每一个终端进行认证，以及与每一个终端进行单播密钥协商， 该基站与每个终端建立一个共享的单播会话密钥。 由上述技术方案可知， 本发明具有以下优点：

1、 组播会话密钥的分发或更新只需要一次广播即可；

2、 组播会话密钥的分发基于单播会话密钥， 能够与单播会话密钥协商协 议实现无缝融合；

3、 充分地利用了广播信道， 提高了系统通信效率。

附图说明

图 1 是本发明中提供的一种基于单播会话密钥的组播密钥分发方法示意 图；

图 2 是本发明中提供的一种基于单播会话密钥的组播密钥更新方法示意 图。

具体实施方式

为了便于本领域技术人员的理解，下面筒单对本发明涉及到的名词作如下 解释， 具体包括：

BS : 基站；

MT_X: 终端 X；

USK_X: 终端 JC的单播会话密钥；

USKI 和 USKE_X:由 USK_X导出的单播会话完整性校验密钥和单播会话加 密密钥；

Nonce: 一次性随机数；

GSK: 组播会话密钥；

GSKI 和 GSKE: 由 GSK导出的组播会话完整性校验密钥和组播会话加密密 钥。 参见图 1 , 为本发明基于单播会话密钥的组播密钥分发方法的流程图， 所 述方法具体包括以下步骤：

1 )建立系统参数，系统参数为：设 和 ((¾,·)为两个阶均为 p的循环群， p为素数, 且满足 (^中 Diffie-Hellman计算问题为困难问题； 令 为^的生成 元；令 e为（^和 G₂上的双线性变换， 即^ ^?^ ^ ^ ;令/ <·)是一个单向 hash 函数；

该步骤只是在首次应用时来建立系统参数， 建立好后，在以后的重复应用 中则无须该步骤， 即该步骤为可选步骤；

2 )基站对每一个终端进行安全认证， 并与每一个终端进行单播会话密钥 USK协商， 每一个终端和基站共享一个单播会话密钥 USK , 由该密钥可以导 出单播会话完整性校验密钥和单播会话加密密钥，所采用的认证及单播密钥协 商方法， 可以是 WAPI或者 802.11i等任何方法， 也可以通过手工设置预共享密 钥方法实现；

需要说明的是，如果系统中的基站与每一个终端行未进行安全认证和单播 会话密钥 USK协商时需要该步骤，若系统中的基站与每一个终端行已经进行了 安全认证和单播会话密钥 USK的协商， 则无需该步骤；

3 )基站构造组播密钥分发分组， 该分组包括以下内容： 基站 BS的身份信 息， 标识本次组播密钥分发的序列号 SN , 基站计算的组播密钥数据 Data和完 整性校验密钥 MIC。 其对应的字段如下所示：

其中：

BS字段： 基站的身份信息；

SN字段： 一个序列号， 唯一标识本次组播密钥分发过程；

Data字段： 基站计算的组播密钥数据；

MIC字段： 表示对该字段之前的所有字段求 MIC值， 这里完整性校验密钥 是组播会话完整性校验密钥 GSKI, 它由基站选取的组播会话密钥 GSK导出； 这里， Data字段的计算过程如下：

3.1 ) 基站在 中随机选择《-1 ( «大于等于 2 )个不同的元素 v₀, v_l5 . . . ,

V„_2 _e Τ以及元素 Q , β₂ e , 同时， 随机构造 η- 1次秘密多项式/ W e Ζ_ρ [χ]。 接 着， 计算如下信息： / /^ ^和^ /^)/^ 。,^…,"- 2) ;

3.2 )对于每一个已通过接入认证的终端 ΜΤ,· (假设终端数目为 ) , 基站 先记录其设备识别信息 H>_; , 并利用其单播会话密钥 USK计算秘密信息 Y h ( US¾ ) ( =l,2,...,m) , 然后， 计算 = +β₂) , 接着， 销毁 令

Z)a = (2^,a,a,v₀,...,v„_₂,V₀,..., _₂,(/Z)₁,W₁),...,(/Z)_M,WJ);

3.3)假设基站选取了组播会话密钥为 0^eG₂; 这时， 基站再随机选择整 数 reZ: , 并计算： ^^^^ ，^；， … ）^/^,/^,^^,^)¹^^^：),/^。,…, ^;

3.4)最后， 令 Data= ( Datal,Data2 );

4) 由基站向所有的终端进行广播组播密钥分发分组；

5) 由终端通过计算获取组播会话密钥；

当任意终端 MT ^收到组播密钥分发分组后， 如下方法解密出 GSK: 5.1)首先，终端利用自己的单播会话密钥 USK_X计算秘密数据

5.2)接着， 终端利用组播密钥分发分组的信息和计算的 构造集合：

T = {e₀,e₁,...e_n_₁} = {v₀,...,v_n_₂,Y_x}

5.3) 然后， 终端对每个 _{e; e}r算出秘密信息 σ = Π

5.4)接着， 计算消息组播会话密钥 GSK如下：

GSK = iQ Q_K)u

(Q, + Q₂,∑ a_{e r}V;)e(a_en^_rW_x,P*) 5.5) 由组播会话密钥 GSK, 导出组播会话完整性校验密钥 GSKI和组播会 话加密密钥 GSKE, 利用 GSKI重新计算 MIC, 判断分组是否有效， 若无效直接 丟弃； 若有效， 则根据 SN字段判断是否基站发送的重复消息， 如果是则直接 丟弃， 否则， 终端正确地获取了组播会话密钥。

6)单播通信或组播通信： 当完成了上述步骤后， 终端和基站之间可以进 行双向的单播通信， 或者， 由基站向所有终端进行广播通信。 单播通信的安全 性由 USK_X导出的单播会话完整性校验密钥和单播会话加密密钥保障； 组播通 信的安全性由 GSK导出的组播会话完整性校验密钥和组播会话加密密钥保障。

值得说明的是： 该方案也支持组播会话密钥更新， 方法与组播会话密钥分 发相同。 但为了提高计算效率， 在进行 Data字段计算时， 密钥更新过程仅需要 计算第 3和第 4步， 第 1和第 2两步也可以省略。 另外， 当有新的终端和基站通过 认证，且此刻组播会话密钥无需更新时，基站在为新加入终端分发组播会话密 钥时， 在计算 Data字段的第 2步只需对新加入终端进行计算， 以提高计算效率。 参见图 2, 本发明基于单播会话密钥的组播密钥更新方法的流程图， 所述 方法具体包括以下步骤：

1 )基站构造组播密钥更新分组，

该分组包括以下内容：

其中：

BS字段： 基站的身份信息；

SN字段： 一个序列号， 唯一标识本次组播密钥更新过程；

Data字段： 基站计算的组播密钥数据；

MIC字段： 表示对该字段之前的所有字段求 MIC值， 这里完整性校验密钥 是组播会话完整性校验密钥 GSKI, 它由基站选取的组播会话密钥 GSK导出； 这里， Data字段的计算过程如下：

1.1 )假设基站选取的新的组播会话密钥为 G eG₂; 这时， 基站再随机选 择整数 re 并计算：

Data! = (P Q; ,U ,V* V*_₂ ) = (rP, rQ, ,e(Q_K, Q GSK), rV₀,..., rV_n_₂ )；

1.2)最后， 令 Data= ( Datal,Data2 );

2) 由基站向所有的终端进行广播组播密钥更新分组；

3) 由终端通过计算获取组播会话密钥；

当任意终端 MT ^收到组播密钥更新分组后， 按如下方法解密出 GSK:

3.1)首先，终端利用自己的单播会话密钥 USK_X计算秘密数据

3.2)接着， 终端利用组播密钥更新分组的信息和计算的 构造集合：

T = {e₀,e₁,...e_n_₁} = {v₀,...,v_n_₂,Y_x

3.3 ) 然后 终端对每个 _{e; e} r算出秘密信息

3.4 )接着 计算消息组播会话密钥 GSK如下:

^ ― e{Ql,Q_K)U 3.5 ) 由组播会话密钥 GSK, 导出的组播会话完整性校验密钥 GSKI和组播 会话加密密钥 GSKE, 利用 GSKI重新计算 MIC, 判断分组是否有效， 若无效， 则直接丟弃； 若有效， 则根据 SN字段判断是否基站发送的重复消息， 如果是 则直接丟弃， 否则， 终端正确地获取了组播会话密钥。

4 )单播通信或组播通信： 当完成了上述步骤后， 终端和基站之间可以进 行双向的单播通信， 或者， 由基站向所有终端进行广播通信。 单播通信的安全 性由 USK_X导出的单播会话完整性校验密钥和单播会话加密密钥保障； 组播通 信的安全性由 GSK导出的组播会话完整性校验密钥和组播会话加密密钥保 障。

本发明基于单播会话密钥的对新增加终端的组播密钥分发方法具体包括 以下步骤：

1 )基站与该终端 ΜΤ,·进行安全认证和单播会话密钥 USK协商， 协商一个 单播会话密钥 USK , 由该密钥可以导出单播会话完整性校验密钥和单播会话 加密密钥， 所采用的认证及单播密钥协商方法， 可以是 WAPI或者 802.11i等任 何方法， 也可以通过手工设置预共享密钥方法实现；

需要说明的是， 如果基站与终端 ΜΤ,·未进行安全认证和单播会话密钥 USK 协商时需要该步骤，若系统中的基站与每一个终端行已经进行了安全认证和单 播会话密钥 USK的协商， 则无需该步骤；

2 )基站构造组播密钥分发分组，

该分组包括以下内容：

其中：

BS字段： 基站的身份信息；

SN字段： 一个序列号， 唯一标识本次组播密钥分发过程， 该字段与基站 当前进行组播密钥分发时选取的 SN字段相同；

Data字段： 基站计算的组播密钥数据；

MIC字段： 表示对该字段之前的所有字段求 MIC值， 这里完整性校验密钥 是组播会话完整性校验密钥 GSKI, 它由基站选取的组播会话密钥 GSK导出； 这里， Data字段的计算过程如下：

2.1 )对于终端 ΜΤ,·, 基站先记录其设备识别信息 H>_;, 并利用其单播会话 密钥 USK计算秘密信息

USK, ) ( i=l,2,...,m ),然后，计算 = /( +β₂) , 接着， 销毁 ^Datal = (Q_{K 1 2},v₀,...,v_n_₂,V₀,...,V_n_₂,(ID_i,W_i))-,

2.2 )利用基站当前已计算的数据 Data2, 计算 Data= ( Datal,Data2 );

3 ) 由基站向该终端 ΜΤ,·进行广播组播密钥分发分组；

4 ) 由终端 ΜΤ,·通过计算获取组播会话密钥；

4.1 )首先，终端利用自己的单播会话密钥 USK计算秘密数据 Y=/i(USK );

4.2)接着， 终端利用组播密钥分发分组的信息和计算的 Υ,·构造集合：

T = {e₀,e₁,...e_n_₁} = {v₀,...,v_n_₂,Y_i}

4.3 ) 然后， 终端对每个 e_{; e}r算出秘密信息 σ = Π

4.4)接着， 计算消息组播会话密钥 GSK如下：

GSK = iQ Q_K)u

4.5 ) 由组播会话密钥 GSK, 导出的组播会话完整性校验密钥 GSKI和组播 会话加密密钥 GSKE, 利用 GSKI重新计算 MIC, 判断分组是否有效， 否则直接 丟弃； 是则根据 SN字段判断是否基站发送的重复消息， 如果是则直接丟弃， 否则， 终端正确地获取了组播会话密钥。

5 )单播通信或组播通信： 当完成了上述步骤后， 终端和基站之间可以进 行双向的单播通信， 或者， 由基站向所有终端进行广播通信。 单播通信的安全 性由 USK导出的单播会话完整性校验密钥和单播会话加密密钥保障； 组播通 信的安全性由 GSK导出的组播会话完整性校验密钥和组播会话加密密钥保障。

基于上述方法， 本发明还提供一种基站， 包括： 构造单元和发送单元， 其 中，构造单元，用于构造组播密钥分发分组或者组播密钥更新分组；发送单元， 用于向所有经过安全认证的终端进行广播所述构造单元构造的组播密钥分发 分组或者组播密钥更新分组。

优选的， 所述基站还包括： 建立单元， 用于在所述构造单元构造组播密钥 分发分组或者组播密钥更新分组之前， 建立系统参数， 所述系统参数包括： 设 和 ((¾,·)为两个阶均为 p的循环群， /？为素数， 且满足 (^中 Diffie-Hellman 计算问题为困难问题； 令/³为（¾的生成元； 令 e为（^和(¾上的双线性变换， 即^ ^?^ ^ ^ ; 令 /<·)是一个单向 hash函数。

优选的， 所述基站还包括：

认证协商单元，用于在所述构造单元构造组播密钥分发分组或者组播密钥 更新分组之前，对每一个终端进行认证，以及与每一个终端进行单播密钥协商， 该基站与每个终端建立一个共享的单播会话密钥。

所述基站中各个单元的功能和作用的实现过程详见上述方法中对应的实 现过程， 在此不再赘述。

由上述实施例可知， 本发明通过构造组播密钥分发分组， 并向所有经过安 全认证的终端进行广播组播密钥分发分组，使终端在接收到组播密钥分发分组 后， 根据所述组播密钥分发分组进行计算， 获取组播会话密钥。 由此可见， 本 发明中，基站与各个终端之间的组播会话密钥的分发或更新只需要一次广播即 可； 组播会话密钥的分发基于单播会话密钥， 能够与单播会话密钥协商协议实 现无缝融合； 本发明充分地利用了广播信道， 提高了系统通信效率。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明 可借助软件加必需的通用硬件平台的方式来实现， 当然也可以通过硬件，但很 多情况下前者是更佳的实施方式。基于这样的理解， 本发明的技术方案本质上 或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机 软件产品可以存储在存储介质中， 如 ROM/RAM、 磁碟、 光盘等， 包括若干指 令用以使得一台计算机设备（可以是个人计算机， 服务器， 或者网络设备等） 执行本发明各个实施例或者实施例的某些部分所述的方法。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通 技术人员来说， 在不脱离本发明原理的前提下， 还可以作出若干改进和润饰， 这些改进和润饰也应视为本发明的保护范围。

Claims

权 利 要 求

1、 一种基于单播会话密钥的组播密钥分发方法， 其特征在于： 包括步骤： 基站构造组播密钥分发分组；

基站向所有经过安全认证的终端进行广播组播密钥分发分组。

2、根据权利要求 1所述的基于单播会话密钥的组播密钥分发方法， 其特征 在于： 所述基站构造组播密钥分发分组之前， 所述方法还包括： 基站建立系统 参数，所述系统参数包括：设 和 ((¾,·)为两个阶均为 p的循环群， p为素数， 且满足 tDiffie-Hellman计算问题为困难问题； 令 为^的生成元； 令 e为 和 G₂上的双线性变换， 即 x G→ G₂； 令 /<·)是一个单向 hash函数。

3、 根据权利要求 1或 2所述的基于单播会话密钥的组播密钥分发方法， 其 特征在于： 所述基站构造组播密钥分发分组之前， 所述方法还包括：

基站对每一个终端进行认证， 以及与每一个终端进行单播密钥协商，基站 与每个终端建立一个共享的单播会话密钥。

4、根据权利要求 3所述的基于单播会话密钥的组播密钥分发方法，其特征 在于： 所述对每一个终端进行认证， 以及与每一个终端进行单播密钥协商的方 式包括：

基于 WAPI或者标准 802.1 li的方式或手工设置共享密钥方式。

5、根据权利要求 3所述的基于单播会话密钥的组播密钥分发方法， 其特征 在于： 所述广播组播密钥分发分组包括：

基站 BS的身份信息， 标识本次组播密钥分发的序列号 SN, 基站计算的组 播密钥数据 Data和完整性校验密钥 MIC。

6、根据权利要求 5所述的基于单播会话密钥的组播密钥分发方法， 其特征 在于： 所述广播组播密钥分发分组中， Data的计算过程包括：

基站在 _q中随机选择《-1 ( w大于等于 2 )个不同的元素 v。, v_l5 v„__2e r以 及元素 β,β ί^ , 同时， 随机构造《-l 次秘密多项式 /W e Zp W ; 并计算：

Q_K = /(0)P e G_x和 V_t = f (_Vi)P(i = 0, 1,…， w - 2) ;

对于每一个已通过接入认证的 个终端 MT , 其中， =l,2,..., , 基站分别 记录所述终端 MT的识别信息 ID; , 并利用其单播会话密钥 USK计算秘密信息 Yi=h ( US¾ ) , 计算 = +β₂); 并销毁 令

Z)a = (2^,a,a,v₀,...,v„_₂,V₀,..., _₂,(/Z)₁,W₁),...,(/Z)_M,WJ);

如果基站选取组播会话密钥为 eG₂；以及再随机选择整数 reZ: ,计算：

Data! = (P Q; ,U ,V* V*_₂ ) = (rP, rQ, ,e(Q_K, Q GSK), rV₀,..., rV_n_₂ )；

令 Data: ( Datal,Data2 )„

7、 根据权利要求 1或 2所述的基于单播会话密钥的组播密钥分发方法， 其 特征在于： 所述方法还包括：

终端根据接收到的组播密钥分发分组进行计算， 获取组播会话密钥。

8、根据权利要求 7所述的基于单播会话密钥的组播密钥分发方法， 其特征 在于： 所述终端根据接收到的组播密钥分发分组进行计算， 获取组播会话密钥 的具体包括：

终端利用自己预先协商的单播会话密钥 USK_X计算秘密数据 y_x=/¾(USK_x); 终端利用组播密钥分发分组的信息和计算的 } ^构造集合：

T = {e₀,e₁,...e_n_₁} = {v₀,...,v_n_₂,Y_x}

终端根据所述 1^构造集合对每个 e_{; e}r算出秘密信息 Π 终端根据所述秘密信息计算消息组播会话密钥 GSK如下：

GSK = iQ Q_K)u

(Q, + Q₂,∑ a_{e r}V;)e(a_en^_rW_x,P*) 终端根据消息组播会话密钥 GSK, 导出的组播会话完整性校验密钥 GSKI 和组播会话加密密钥 GSKE, 并利用所述 GSKI重新计算 MIC , 以及在判断所述 组播密钥分发分组有效时， 根据 SN字段判断是否是基站发送的重复消息， 若 不是， 则终端正确地获取到组播会话密钥。

9、根据权利要求 8所述的基于单播会话密钥的组播密钥分发方法， 其特征 在于： 在获取到组播会话密钥后， 所述方法还包括：

终端和基站之间进行双向的单播通信， 或由基站向所有终端进行广播通 信。

10、一种基于单播会话密钥的组播密钥更新方法，其特征在于： 包括步骤： 基站构造组播密钥更新分组；

基站向所有的终端进行广播组播密钥更新分组。

11、根据权利要求 10所述的基于单播会话密钥的组播密钥更新方法， 其特 征在于： 所述广播组播密钥更新分组包括： 基站 BS的身份信息， 标识本次组 播密钥分发的序列号 SN, 基站计算的组播密钥数据 Data和完整性校验密钥 MIC。

12、根据权利要求 11所述的基于单播会话密钥的组播密钥更新方法， 其特 征在于： 所述广播组播密钥更新分组中， Data的计算过程包括：

如果基站选取的新的组播会话密钥为 G eG₂; 再随机选择整数 reZ:, 并 计算： ^^^^ ，^；， … ）^/^,/^,^^,^)¹^^^：),/^。,…,/^^)；

令 Data: (Datal,Data2) 。

13、根据权利要求 10至 12任一项所述的基于单播会话密钥的组播密钥分发 方法， 其特征在于： 所述方法还包括：

终端根据接收到的组播密钥更新分组进行计算， 获取组播会话密钥。

14、 根据权利要求 13所述的基于单播会话密钥的组播密钥更新方法， 其 特征在于： 所述终端根据接收到的组播密钥更新分组进行计算， 获取组播会话 密钥的具体步骤包括：

终端利用自己预先协商的单播会话密钥 USK_X计算秘密数据 y_x=/¾(USK_x); 终端利用组播密钥更新分组的信息和计算的 y_x构造集合：

= {e₀,e_l,...e_n__l} = {v₀,...,v_n_₂,Y_x}

终端根据所述 构造集合对每个 e_;er算出秘密信息 Π 终端根据所述秘密信息计算消息组播会话密钥 GSK如下：

GSK = iQ Q_K)u

(Q, + Q₂,∑ a_{e r}V;)e(a_en^_rW_x,P*) 终端根据消息组播会话密钥 GSK,导出的组播会话完整性校验密钥 GSKI 和组播会话加密密钥 GSKE, 并利用 GSKI重新计算 MIC, 以及在判断组播密 钥更新分组有效时，根据 SN字段判断是否是基站发送的重复消息，如果不是， 则终端正确地获取到新的组播会话密钥。

15、 根据权利要求 14所述的基于单播会话密钥的组播密钥更新方法， 其 特征在于： 在获取到组播会话密钥后， 所述方法还包括：

终端和基站之间进行双向的单播通信， 或由基站向所有终端进行广播通 信。

16、 一种基站， 其特征在于： 包括：

构造单元， 用于构造组播密钥分发分组或者组播密钥更新分组；

发送单元，用于向所有经过安全认证的终端进行广播所述构造单元构造的 组播密钥分发分组或者组播密钥更新分组。

17、 根据权利要求 16所述基站， 其特征在于： 所述基站还包括： 建立单元，用于在所述构造单元构造组播密钥分发分组或者组播密钥更新 分组之前， 建立系统参数， 所述系统参数包括： 设 和 ((¾,·)为两个阶均为 p的循环群， 为素数，且满足 tDiffie-Hellman计算问题为困难问题；令 P为 的生成元； 令 e为 (^和(¾上的双线性变换， 即^ ^?^ ^ ^ ; 令/ <·)是一个单 向 hash函数。

18、 根据权利要求 16或 17所述基站， 其特征在于： 所述基站还包括： 认证协商单元，用于在所述构造单元构造组播密钥分发分组或者组播密钥 更新分组之前，对每一个终端进行认证，以及与每一个终端进行单播密钥协商， 该基站与每个终端建立一个共享的单播会话密钥。