一种基于集中配置的加密组播数据传输方法与流程

本发明涉及网络安全技术领域，具体而言，涉及一种基于集中配置的加密组播数据传输方法。

背景技术：

随着internet的发展，网络中交互的各种数据、话音和视频信息越来越多，同时新兴的电子商务、网上会议、网上拍卖、视频点播、远程教学等服务，大多符合点对多点的模式，对网络带宽提出了较高的要求。传统的单播和广播的通信方式均不能以最小的网络开销实现单点发送、多点接收的问题。

ip组播技术是一种点对多点传输方式，其解决了以上问题。当网络中的某些用户需要特定数据时，组播数据发送者(即组播源)仅发送一次数据，借助组播路由协议为组播数据包建立组播分发树，被传递的数据到达距离用户端尽可能近的节点后才开始复制和分发。

ip组播已经经历了十几年的发展，许多国际组织对组播的技术研究和业务开展进行了大量的工作，组播通信技术也越来越成熟。但是组播数据在网络传输过程中的安全性没有得到很好的保障，数据通常都是明文在网络上传输，容易被第三方截取，同时，在ip网络中，任意终端或者用户可以很容易的加入到一个组播任务中，缺乏对组播接收者的验证机制。传统的加密技术，只能实现点到点的加密功能，无法适用于组播点到多点的使用场景。

技术实现要素：

本发明在于提供一种基于集中配置的加密组播数据传输方法，其能够缓解上述问题。

为了缓解上述的问题，本发明采取的技术方案如下：

一种基于集中配置的加密组播数据传输方法，包括以下步骤：

s1、集中配置服务器进行cp-abe初始化，再为网络中的每一终端生成cp-abe需要的公私钥对，所述公私钥对是根据对应终端的属性生成；

s2、利用集中配置服务器在网络中指定一终端作为组播源，指定其它多个终端作为组播接收者；

s3、利用集中配置服务器指定多个组播数据接收者，作为能接收到报文数据的目标组播接收者，根据目标组播接收者的终端属性生成解密策略；

s4、组播源生成随机解密密钥，根据解密策略生成密文策略树，并将解密密钥嵌入该密文策略树中；

s5、组播源通过集中配置服务器将密文策略树转发至各组播接收者；

s6、目标组播接收者根据自身对应公私钥对中的私钥，解密密文策略树并获取到解密密钥；

s7、组播源根据自己生成的解密密钥，对组播数据进行加密，并将加密后的组播数据发送至各组播接收者；

s8、目标组播接收者根据解密密钥对加密后的组播数据进行解密，完成组播数据的传输。

本技术方案的技术效果是：集中配置服务器统一规划组播任务，能实现一对多的组播报文加密，能够做到组播源一次加密，符合cp-abe属性的多个接收者同时解密，仅指定的目标组播接收者能获取到组播解密密钥，其它组播接收者即使加入了组播组，也不能解密组播数据；密文策略树本身经过加密处理，可以直接在网络中传输，不需要针对多个组播接收者单独建立加密通信通道。

进一步地，所述公私钥对采用在线或者离线的方式安全的下发至各终端。

进一步地，所述公私钥对中的公钥指的是其对应终端的属性，私钥是采用cp-abe算法根据公钥计算得到。

本技术方案的技术效果是：当属性能够满足策略时可以解密。

进一步地，对于每一组播接收者，若其属性符合集中配置服务器生成的解密策略，则可根据其对应公私钥对的私钥解密嵌入解密密钥的密文策略树，若其属性不符合集中配置服务器生成的解密策略，则不能根据其对应公私钥对的私钥解密嵌入解密密钥的密文策略树。

进一步地，所述解密密钥为对称解密密钥。

本技术方案的技术效果是：组播接收者可以直接用对称解密密钥直接解密，效率较高。

更进一步地，所述组播数据采用aes/des/rc4算法进行加密或者解密。

进一步地，所述解密策略由集中配置服务器通过网络安全的发送至组播源。

进一步地，所述集中配置服务器以及各终端之间通过网络设备实现数据通信。

更进一步地，所述网关用于将集中配置服务器统一规划的组播任务转发至各终端，以及将集中配置服务器生成的解密策略转发至组播源，以及将组播源生成的密文策略树转发至集中配置服务器，以及将集中配置服务器收到的密文策略树转发至各组播接收者，以及将组播源加密后的组播数据转发至各组播接收者；所述组播任务指定了组播源以及组播接收者。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举本发明实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1是本发明实施例基于集中配置的加密组播数据传输方法流程图；

图2是本发明实施例组播任务的规划和下发示意图；

图3是本发明实施例基于属性的公私钥对生成和下发示意图；

图4是本发明实施例组播任务密文策略树的生成和密钥协商示意图；

图5是本发明实施例组播数据的加解密通信示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参照图1～图5，本发明实施例提供了一种基于集中配置的加密组播数据传输方法，具体如下：

s1、集中配置服务器进行cp-abe初始化，再为网络中的每一终端生成cp-abe需要的公私钥对，公私钥对是根据对应终端的属性生成。

在本实施例中，集中配置服务器以及各终端之间通过网络设备实现数据通信，集中配置服务器将各公私钥对通过网络设备在线安全的下发至对应的终端，如图2、图3所示。

在本实施例中，网络中具有四个终端，分别为终端1、终端2、终端3和终端4。

其中，公私钥对中的公钥指的是其对应终端的属性，私钥是采用cp-abe算法根据公钥计算得到；

对于终端1，其属性为(id＝001，level＝1)，其公私钥对中的私钥为priv1；

对于终端2，其属性为(id＝002，level＝2)，其公私钥对中的私钥为priv2；

对于终端3，其属性为(id＝003，level＝3)，其公私钥对中的私钥为priv3；

对于终端4，其属性为(id＝004，level＝4)，其公私钥对中的私钥为priv4。

s2、利用集中配置服务器在网络中指定一终端作为组播源，指定其它多个终端作为组播接收者。

如图2所示，集中配置服务器通过网络设备将统一规划的组播任务下发至各终端，组播任务中指定了组播源以及组播接收者。组播任务在网络设备中以转发表项的形式体现，保证组播报文网络可达。

在本实施例中，终端1为组播源，终端2、终端3和终端4均为组播接收者。

s3、利用集中配置服务器指定其中多个组播数据接收者，作为能接收到报文数据的目标组播接收者，根据目标组播接收者的终端属性生成解密策略。

在生成解密策略后，所述解密策略由集中配置服务器通过网络安全的发送至组播源。

在本实施例中，终端2、终端3和终端4均为目标组播接收者，解密策略为level≥1。

s4、终端1生成随机解密密钥，根据解密策略生成密文策略树，并将解密密钥嵌入该密文策略树中。

在本实施例中，终端1随机生成的解密密钥aes_priv是对称加解密时使用，加解密算法为标准aes算法。

s5、终端1通过集中配置服务器将密文策略树转发至终端2、终端3和终端4。

在传输密文策略树的过程中，除了目标组播接收者终端2、终端3和终端4，可能会出现其它非目标组播接收者(未在图中示出)。

s6、终端2、终端3和终端4根据自身对应公私钥对中的私钥，解密密文策略树并获取到解密密钥。

在本实施例中，终端2、终端3和终端4分别根据自身对应公私钥对中的私钥，同时对密文策略树进行解密操作，由于终端2、终端3和终端4均为所确定能接收到文件的目标组播接收者，它们各自的属性level2,level3,level4均≥1，因此均符合所描述的解密策略level≥1，符合密文策略树，因此它们均能成功解密密文策略树，并从中获取到解密密钥。

如果组播传输过程中，出现了非目标组播接收者，由于其不具有符合所描述的解密策略的属性，因此不能成功解密密文策略树而获取到正确的解密密钥，即确保了解密密钥的安全传输。

s7、终端1根据自己生成的解密密钥，对组播数据进行加密，并将加密后的组播数据发送至终端2、终端3和终端4。

s8、终端2、终端3和终端4根据解密密钥对加密后的组播数据进行解密，完成组播数据的传输。

在本实施例中，由于终端2、终端3和终端4均获取到了解密密钥，因此它们均能解密获取到组播数据，如果组播组中出现了非目标组播接收者，由于非目标组播接收者不能获取到正确的解密密钥，因此不能解密组播数据，即实现了组播数据的安全传输。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。