一种无线城域网组播密钥管理方法

专利名称：一种无线城域网组播密钥管理方法
技术领域：
本发明涉及一种无线城域网组播密钥管理方法。

背景技术：
无线网络的安全问题远比有线以太网严重。美国电气及电子工程师学会IEEE在802.11和802.16系列标准中提出了安全机制来增强无线局域网和无线城域网的安全性，提供移动终端MT到基站BS的安全接入，中国也在2003年5月份颁布了无线局域网国家标准GB15629.11，通常称为WAPI(无线局域网鉴别与保密基础架构)协议。宽带无线多媒体BWM网络融合了数据通信和广播通信，是一种新的无线网络体系结构，同样需要解决安全接入和保密通信问题。
不管是无线网络还是有线网络，一般都包含两种通信模式点对点的通信和组播(或广播)方式。安全组播需要保证组播实体和消息的合法性和保密性，同时，对接收组播的终端也需要一定的权限限制，保证只有获得授权的终端可以正确地读出所组播的消息，这要求必须首先有效解决组播密钥安全分发问题。如何有效管理组播密钥是解决安全组播的关键问题之一。
IEEE802.11标准使用了有线等效保密协议WEP实现WLAN的安全性，它的密钥管理非常简单，即手工在移动终端和接入点之间设置共享密钥。此时，IEEE802.11还没有涉及组播密钥管理问题。
因为WEP加密协议存在严重的安全漏洞。IEEE提出了802.11i标准试图解决WEP的安全问题。中国也提出了无线局域网中国国家标准GB15629.11，即WAPI协议，克服了WEP存在的一些弊病。802.11i和WAPI尽管认证机制不同，但在组播密钥管理方面却十分相似组播会话密钥GSK的分发是由事先建立的单播会话密钥USK加密分发的。也就是说，基站会选取一个组播会话密钥，然后，分别用自己与每一个终端共享的单播会话密钥进行加密，并逐个发送给相应的终端。每个终端接收到加密的组播会话密钥消息后，可以用自己与基站共享的单播会话密钥解密得到组播会话密钥。当每个终端都接收到同样的组播会话密钥后，基站就可以进行安全组播。如果要更新组播会话密钥，则需要重复上述过程。
该方法的缺点是效率比较低，特别是当进行组播会话密钥更新时，基站需要重复上述组播会话密钥分发过程基站选取一个组播会话密钥，分别用自己与每一个终端共享的单播会话密钥进行加密，并逐个发送给相应的终端。
在美国IEEE提出的无线城域网标准即802.16标准中，其组播密钥管理借鉴了802.11i。但在IEEE提出的802.16e标准中，关于安全组播密钥管理问题，提出了新的设计理念，引入了组播密钥加密密钥GKEK，建立起了组播密钥加密密钥GKEK和组播会话密钥GSK两级的管理方法。其思想为首先，基站利用与每个终端建立的单播会话密钥逐个加密GKEK并发送给相应终端；终端收到该消息后，利用单播会话密钥解密得到GKEK；然后，基站利用GKEK作为密钥加密GSK，并对所有终端进行广播；拥有GKEK的每一个终端可以得到相同的GSK。这时，组播会话密钥过程完成。在进行组播会话密钥更新时，采用同样的过程即基站利用GKEK作为密钥加密GSK，并对所有终端进行广播。
而802.116e中的组播密钥管理方法的缺点是采用时间同步方式，状态管理复杂；新密钥的启用、禁用都依赖时间判断，在一个分布式系统中维护同步时钟比较复杂。
针对这种情况，中国在无线城域网和宽带无线多媒体领域，提出了具有类似思想的组播会话密钥管理方法。
但这种方法具有以下缺点 1、尽管采用了GKEK和GSK两级的管理方法，但对所有终端来说，它们的GKEK和GSK是相同的，不具备密钥分级管理的优势和特点； 2、因为GKEK对所有终端来说是相同的，这会使得终端更容易将GKEK泄漏给其他终端，安全性不高； 3、没有涉及GKEK的更新方法。因为GKEK作为基础密钥对所有终端来说是相同的，安全性不高，因此，需要经常更换GKEK； 4、没有提供有效的GKEK更新方法，只能和组播密钥加密密钥分发方法相同，由基站逐个加密、逐个发送给终端； 5、在上述情况4中，这种更新可能需要较长时间，该时间长短由终端数目决定。这可能会导致在密钥更新时，出现组播中断现象。


发明内容
本发明为解决背景技术中无线城域网组播密钥管理基础密钥安全不高和组播密钥更新的效率低下问题，而提供一种无线城域网组播密钥管理方法。
本发明的技术解决方案是本发明为一种无线城域网组播密钥管理方法，其特殊之处在于该方法包括以下步骤 1)组播私钥分发 1.1)请求者实体发送组播私钥请求分组给响应者实体； 1.2)响应者实体发送组播私钥响应分组给请求者实体； 1.3)请求者实体发送组播私钥确认分组给响应者实体； 2)组播密钥加密密钥分发(或更新) 2.1)响应者实体向所有请求者实体广播组播密钥加密密钥广播分组； 2.2)请求者实体从组播密钥加密密钥广播分组中解密出组播密钥加密密钥。
上述步骤1)之前还包括由响应者实体建立系统参数的步骤。
上述系统参数包括设(G1，+)和(G2，·)为两个阶均为p的循环群，p为素数，且满足G1中Diffie-Hellman计算问题为困难问题；令P为G1的生成元；令e为G1和G2上的双线性变换，即eG1×G1→G2；令h(·)是一个单向hash函数。
上述步骤1)之前，请求者实体和响应者实体进行认证及单播密钥协商；建立一个共享的单播会话密钥。
上述步骤1.1)中的组播私钥请求分组包括以下内容 其中 AE字段请求者实体的身份信息； RE字段响应者实体的身份信息； N1字段请求者实体产生的随机数； MIC字段表示对该字段之前的所有字段求MIC值，这里完整性校验密钥是USKI。
上述步骤1.2)中当响应者实体收到组播私钥请求分组后，重新计算MIC，并与接收到的MIC进行比较，如果不相等，则丢弃该分组；如果相等，则构造组播私钥响应分组发送给请求者实体。
上述步骤1.2)中的组播私钥响应分组包括以下内容 其中 RE字段响应者实体的身份信息； AE字段请求者实体的身份信息； N1字段请求者实体产生的随机数； N2字段响应者实体产生的随机数； C字段响应者实体分发给请求者实体的组播私钥GKx的密文信息，加密密钥为USKE； MIC字段表示对该字段之前的所有字段求MIC值，这里完整性校验密钥是USKI。
上述C字段的计算过程如下 1.2.1)响应者实体在

中随机选择n-1(n大于等于2)个不同的元素v0，v1，...，以及元素Q1，Q2∈G1，同时，随机构造n-1次秘密多项式f(x)∈Zp[x]。接着，计算如下信息QK＝f(0)P∈G1和Vi＝f(vi)P(i＝0，1，...，n-2)； 1.2.2)对请求者实体，计算GKx＝f(AE)(Q1+Q2)； 1.2.3)C＝(QK，Q1，Q2，v0，...，vn-2，V0，...，Vn-2)‖E(USKE；GKx)。
上述步骤1.3)中当请求者实体收到组播私钥响应分组后，重新计算MIC，并与接收到的MIC进行比较，如果不相等，则丢弃该分组；如果相等，则判断N1是否请求者实体选取的随机数；如果不是则丢弃该分组，如果是则利用密钥USKE解密E(USKE；GKx)获得组播私钥GKx，最后，构造组播私钥确认分组发送给响应者实体。
上述步骤1.3)中的组播私钥确认分组包括以下内容 其中 AE字段请求者实体的身份信息； RE字段响应者实体的身份信息； N2字段响应者实体产生的随机数； MIC字段表示对该字段之前的所有字段以及解密得到的组播私钥GKx所求MIC值，这里完整性校验密钥是USKI； 上述步骤1.3)中当响应者实体收到组播私钥确认分组后，重新计算MIC，并与接收到的MIC进行比较；如果不相等，则丢弃该分组；如果相等，则判断N2是否响应者实体选取的随机数；如果不是则丢弃该分组，如果是，组播私钥分发成功。
上述步骤2.1)中的组播密钥加密密钥广播分组包括以下内容 其中 RE字段响应者实体的身份信息； Flag字段表示广播类别； Time字段当前系统时间，用于区分是否为重复信息； C1字段响应者实体广播的组播密钥加密密钥的密文信息； MIC字段表示对该字段之前的所有字段求MIC值，这里完整性校验密钥是GKEKI(由组播密钥加密密钥导出的完整性校验密钥)。
上述C1字段的计算方法如下 假设响应者实体选择了组播密钥加密密钥GKEK∈G2，响应者实体随机选择整数并如下计算 上述步骤2.2)中当请求者实体接收到该分组后，按如下方法解密出组播密钥加密密钥 2.2.1)首先，请求者实体利用公开信息和自己的设备识别信息构造集合 Γ＝{e0，e1，...en-1}＝{v0，...，vn-2，AE} 2.2.2)然后，并对每个ei∈Γ算出 2.2.3)接着，计算组播密钥加密密钥如下 上述步骤2.2)中当请求者实体计算出组播密钥加密密钥后，导出完整性校验密钥和加密密钥来；然后，利用完整性校验密钥重新计算MIC，判断分组是否有效；同时，根据Time字段判断是否系统重复消息。
上述步骤2)之后还包括步骤3)组播会话密钥分发(或更新) 3.1)响应者实体向所有请求者实体广播组播会话密钥广播分组； 3.2)请求者实体从组播会话密钥广播分组中解密出组播会话密钥。
上述步骤3.1)中的组播会话密钥广播分组包括以下内容 其中 RE字段响应者实体的身份信息； Flag字段表示广播类别； Time字段当前系统时间，用于区分是否为重复信息； C2字段响应者实体广播的组播会话密钥的密文信息，加密密钥为GKEKE； MIC字段表示对该字段之前的所有字段求MIC值，这里完整性校验密钥是GKEKI。
上述步骤3.2)中当请求者实体接收到组播会话密钥广播分组后，利用完整性校验密钥GKEKI重新计算MIC，判断分组是否有效；同时，根据Time字段判断是否系统重复消息；如果都有效，利用加密密钥GKEKE解密C2得到组播会话密钥GSK。
上述响应者实体和请求者实体可以利用组播会话密钥GSK可以导出组播会话加密密钥GSKE和组播会话完整性校验密钥GSKI，响应者实体进行组播业务。
本发明具有以下优点 1、采用两级或三级的组播密钥管理方法，基础密钥对不同终端来说是不相同的，系统安全性更高。
2、算法的安全性依赖于椭圆曲线离散对数问题，安全性更强。
3、组播密钥加密密钥和组播会话密钥的分发或更新只需要一次组播即可。
4、充分地利用了组播信道，提高了系统通信效率。



图1为本发明的组播私钥分发示意图； 图2为本发明的组播密钥加密密钥分发示意图； 图3为本发明的组播会话密钥分发示意图。

具体实施例方式 参见图1、2、3，本发明一种无线城域网组播密钥管理方法的具体步骤如下 1)由响应者实体建立系统参数，系统参数包括设(G1，+)和(G2，·)为两个阶均为p的循环群，p为素数，且满足G1中Diffie-Hellman计算问题为困难问题；令P为G1的生成元；令e为G1和G2上的双线性变换，即e:G1×G1→G2；令h(·)是一个单向hash函数。
该步骤只是在首次应用时来建立系统参数，建立好后，在以后的重复应用中则无须该步骤； 2)请求者实体和响应者实体进行认证及单播密钥协商；建立一个共享的单播会话密钥USK，由该密钥USK可以导出单播会话加密密钥USKE和单播会话完整性校验密钥USKI，所采用的认证及单播密钥协商方法，可以是WAPI或者802.11i等任何方法，也可以通过手工设置预共享密钥方法实现； 系统中的响应者实体与每一个请求者实体行未进行安全认证和单播会话密钥USK协商时需要该步骤，若系统中的响应者实体与每一个请求者实体已经进行了安全认证和单播会话密钥USK的协商则无需该步骤； 3)组播私钥分发 3.1)请求者实体发送组播私钥请求分组给响应者实体； 该组播私钥请求分组包括以下内容 其中 AE字段请求者实体的身份信息； RE字段响应者实体的身份信息； N1字段请求者实体产生的随机数； MIC字段表示对该字段之前的所有字段求MIC值，这里完整性校验密钥是USKI。
当响应者实体收到组播私钥请求分组后，重新计算MIC，并与接收到的MIC进行比较，如果不相等，则丢弃该分组；如果相等，则构造组播私钥响应分组发送给请求者实体。
3.2)响应者实体发送组播私钥响应分组给请求者实体； 该组播私钥响应分组包括以下内容 其中 RE字段响应者实体的身份信息； AE字段请求者实体的身份信息； N1字段请求者实体产生的随机数； N2字段响应者实体产生的随机数； C字段响应者实体分发给请求者实体的组播私钥GKx的密文信息，加密密钥为USKE； MIC字段表示对该字段之前的所有字段求MIC值，这里完整性校验密钥是USKI。
其中C字段的计算过程如下 3.2.1)响应者实体在

中随机选择n-1(n大于等于2)个不同的元素v0，v1，...，以及元素Q1，Q2∈G1，同时，随机构造n-1次秘密多项式f(x)∈Zp[x]。接着，计算如下信息QK＝f(0)P∈G1和Vi＝f(vi)P(i＝0，1，...，n-2)；这一步响应者实体对所有请求者实体只做一次，对下一个请求者实体来说，就不需要重复处理； 3.2.2)对请求者实体AE，计算GKx＝f(AE)(Q1+Q2)； 3.2.3)C＝(QK，Q1，Q2，v0，...，vn-2，V0，...，Vn-2)‖E(USKE；GKx)。
当请求者实体收到组播私钥响应分组后，重新计算MIC，并与接收到的MIC进行比较，如果不相等，则丢弃该分组；相等，判断N1是否自己选取的随机数；如果不是则丢弃该分组，如果是则利用密钥USKE解密E(USKE；GKx)获得组播私钥GKx，最后，构造组播私钥确认分组发送给响应者实体。
3.3)请求者实体发送组播私钥确认分组给响应者实体； 该组播私钥确认分组包括以下内容 其中 AE字段请求者实体的身份信息； RE字段响应者实体的身份信息； N2字段响应者实体产生的随机数； MIC字段表示对该字段之前的所有字段以及解密得到的组播私钥GKx所求MIC值，这里完整性校验密钥是USKI； 当响应者实体收到组播私钥确认分组后，重新计算MIC，并与接收到的MIC进行比较；如果不相等，则丢弃该分组；相等，判断N2是否自己选取的随机数；如果不是则丢弃该分组，如果是，组播私钥分发成功。
4)组播密钥加密密钥分发(或更新)过程 4.1)响应者实体向所有请求者实体广播组播密钥加密密钥广播分组； 当响应者实体需要分发(或更新)组播密钥加密密钥GKEK时，向所有请求者实体广播组播密钥加密密钥广播分组，该组播密钥加密密钥广播分组包括以下内容 其中 RE字段响应者实体的身份信息； Flag字段表示广播类别； Time字段当前系统时间，用于区分是否为重复信息； C1字段响应者实体广播的组播密钥加密密钥的密文信息； MIC字段表示对该字段之前的所有字段求MIC值，这里完整性校验密钥是GKEKI(由组播密钥加密密钥导出的完整性校验密钥)。
其中C1字段的计算方法如下 假设响应者实体选择了组播密钥加密密钥GKEK∈G2，响应者实体随机选择整数并如下计算 4.2)请求者实体从组播密钥加密密钥广播分组中解密出组播密钥加密密钥。
当任意请求者实体AE接收到该分组后，如下方法解密出GKEK 4.2.1)首先，请求者实体利用公开信息和自己的设备识别信息构造集合 Γ＝{e0，e1，...en-1}＝{v0，...，vn-2，AE} 2.2.2)然后，并对每个ei∈Γ算出 2.2.3)接着，计算组播密钥加密密钥如下 当请求者实体计算出组播密钥加密密钥GKEK后，导出完整性校验密钥GKEKI和加密密钥GKEKE来；然后，利用完整性校验密钥GKEKI重新计算MIC，判断分组是否有效；同时，根据Time字段判断是否系统重复消息。
5)组播会话密钥分发(或更新)过程 5.1)响应者实体向所有请求者实体广播组播会话密钥广播分组； 当响应者实体需要分发(或更新)组播会话密钥GSK时，向所有请求者实体广播组播会话密钥广播分组，该组播会话密钥广播分组包括以下内容 其中 RE字段响应者实体的身份信息； Flag字段表示广播类别； Time字段当前系统时间，用于区分是否为重复信息； C2字段响应者实体广播的组播会话密钥的密文信息，加密密钥为GKEKE； MIC字段表示对该字段之前的所有字段求MIC值，这里完整性校验密钥是GKEKI。
5.2)请求者实体从组播会话密钥广播分组中解密出组播会话密钥。
当任意请求者实体接收到组播会话密钥广播分组后，利用完整性校验密钥GKEKI重新计算MIC，判断分组是否有效；同时，根据Time字段判断是否系统重复消息；如果都有效，利用加密密钥GKEKE解密C2得到组播会话密钥GSK。
响应者实体和每一个请求者实体可以利用组播会话密钥GSK可以导出组播会话加密密钥GSKE和组播会话完整性校验密钥GSKI，接着，响应者实体就可以开始组播业务。
值得说明的是上述步骤(5)是可选的。这样就包括两种方法(a)当步骤(5)被选取时，密钥管理为GKx—GKEK—GSK三级密钥管理，主要为了兼容现有的WMAN和BWM组播密钥管理机制。但该方法在更新GKEK时更为有效，只需要一次广播即可；(b)当步骤(5)不被选取时，密钥管理为GKx—GKEK，这时我们可以把GKEK当成是GSK，直接用于组播会话业务，这样的好处是提高了组播密钥分发效率，但是不能兼容现有的WMAN和BWM组播密钥管理机制。
下面将本发明应用到无线城域网中为例，响应者实体即为基站BS，请求者实体即为终端MTx，对本发明做进一步的详细描述 1)组播私钥分发过程 1.1)组播私钥请求分组由MTx发送给BS。
该组播私钥请求分组包括以下内容 其中 MTx字段终端的身份信息； BS字段基站的身份信息； N1字段终端产生的随机数； MIC字段表示对该字段之前的所有字段求MIC值，这里完整性校验密钥是USKI。
当BS收到组播私钥请求分组后，重新计算MIC，并与接收到的MIC进行比较。如果不相等，则丢弃该分组；否则，构造组播私钥响应分组发送给MTx。
1.2)组播私钥响应分组由BS发送给MTx。
该组播私钥响应分组包括以下内容 其中 BS字段基站的身份信息； MTx字段终端的身份信息； N1字段终端产生的随机数； N2字段基站产生的随机数； C字段基站分发给终端的组播私钥GKx的密文信息，加密密钥为USKE； MIC字段表示对该字段之前的所有字段求MIC值，这里完整性校验密钥是USKI。
C字段的计算过程如下 1.2.1)基站在

中随机选择n-1(n大于等于2)个不同的元素v0，v1，...，以及元素Q1，Q2∈G1，同时，随机构造n-1次秘密多项式f(x)∈Zp[x]。接着，计算如下信息QK＝f(0)P∈G1和Vi＝f(vi)P(i＝0，1，...，n-2)。这一步基站对所有终端只做一次，对下一个终端来说，就不需要重复处理。
1.2.2)对终端MTx，计算GKx＝f(MTx)(Q1+Q2)。
1.2.3)C＝(QK，Q1，Q2，v0，...，vn-2，V0，...，Vn-2)‖E(USKE；GKx)。
当MTx收到组播私钥响应分组后，重新计算MIC，并与接收到的MIC进行比较。如果不相等，则丢弃该分组；否则，判断N1是否自己选取的随机数。如果不是则丢弃该分组，如果是，则利用密钥USKE解密E(USKE；GKx)获得组播私钥GKx。最后，构造组播私钥确认分组发送给BS。
1.3)组播私钥确认分组由MTx发送给BS。
该组播私钥确认分组包括以下内容 其中 MTx字段终端的身份信息； BS字段基站的身份信息； N2字段BS产生的随机数； MIC字段表示对该字段之前的所有字段以及解密得到的组播私钥GKx所求MIC值，这里完整性校验密钥是USKI。
当BS收到组播私钥确认分组后，重新计算MIC，并与接收到的MIC进行比较。如果不相等，则丢弃该分组；否则，判断N2是否自己选取的随机数。如果不是则丢弃该分组，如果是，说明组播私钥分发成功。
2)组播密钥加密密钥分发(或更新)过程 2.1)当BS需要分发(或更新)组播密钥加密密钥GKEK时，向所有终端广播组播密钥加密密钥广播分组，该组播密钥加密密钥广播分组包括以下内容 其中 BS字段基站的身份信息； Flag字段表示广播类别； Time字段当前系统时间，用于区分是否为重复信息； C1字段基站广播的GKEK的密文信息； MIC字段表示对该字段之前的所有字段求MIC值，这里完整性校验密钥是GKEKI(由GKEK导出的完整性校验密钥)。
其中C1字段的计算方法 假设基站选择了GKEK∈G2。基站随机选择整数并如下计算 2.2)当任意终端MTx接收到该分组后，按如下方法解密出GKEK 2.2.1)首先，终端MTx利用公开信息和自己的设备识别信息构造集合 Γ＝{e0，e1，...en-1}＝{v0，...，vn-2，MTx} 2.2.2)然后，并对每个ei∈Γ算出 2.2.3)接着，计算组播密钥加密密钥如下 当计算出GKEK后，导出GKEKI和GKEKE来。然后，利用GKEKI重新计算MIC，判断分组是否有效。同时，根据Time字段判断是否系统重复消息。
3)组播会话密钥分发(或更新)过程 3.1)当BS需要分发(或更新)组播会话密钥GSK时，向所有终端广播组播会话密钥广播分组，该组播会话密钥广播分组包括以下内容 其中 BS字段基站的身份信息； Flag字段表示广播类别； Time字段当前系统时间，用于区分是否为重复信息； C2字段基站广播的GSK的密文信息，加密密钥为GKEKE； MIC字段表示对该字段之前的所有字段求MIC值，这里完整性校验密钥是GKEKI。
3.2)当任意终端MTx接收到该分组后，利用GKEKI重新计算MIC，判断分组是否有效。同时，根据Time字段判断是否系统重复消息。如果都有效，利用密钥GKEKE解密C2得到组播会话密钥GSK。
基站和每一个终端可以利用GSK可以导出组播会话加密密钥GSKE和组播会话完整性校验密钥GSKI，接着，基站就可以开始组播业务。
名词解释 GKx终端x的组播私钥； RE响应者实体，如基站，接入点，路由器； AE请求者实体，如终端； Nonce一次性随机数； GKx请求者实体x的组播私钥，即基础密钥； GKEK组播密钥加密密钥； GKEKI和GKEKE由GKEK导出的完整性校验密钥和加密密钥； GSK组播会话密钥； GSKI和GSKE由GSK导出的完整性校验密钥和加密密钥。
权利要求
1.一种无线城域网组播密钥管理方法，其特征在于该方法包括以下步骤
1)组播私钥分发
1.1)请求者实体发送组播私钥请求分组给响应者实体；
1.2)响应者实体发送组播私钥响应分组给请求者实体；
1.3)请求者实体发送组播私钥确认分组给响应者实体；
2)组播密钥加密密钥分发或更新
2.1)响应者实体向所有请求者实体广播组播密钥加密密钥广播分组；
2.2)请求者实体从组播密钥加密密钥广播分组中解密出组播密钥加密密钥。
2.根据权利要求1所述的无线城域网组播密钥管理方法，其特征在于所述步骤1)之前还包括由响应者实体建立系统参数的步骤。
3.根据权利要求2所述的无线城域网组播密钥管理方法，其特征在于所述系统参数包括设(G1，+)和(G2，)为两个阶均为p的循环群，p为素数，且满足G1中Diffie-Hellman计算问题为困难问题；令P为G1的生成元；令e为G1和G2上的双线性变换，即eG1×G1→G2；令h(·)是一个单向hash函数。
4.根据权利要求1或2或3所述的无线城域网组播密钥管理方法，其特征在于所述步骤1)之前，请求者实体和响应者实体进行认证及单播密钥协商；建立一个共享的单播会话密钥。
5.根据权利要求1所述的无线城域网组播密钥管理方法，其特征在于所述步骤1.1)中的组播私钥请求分组包括以下内容
其中
AE字段请求者实体的身份信息；
RE字段响应者实体的身份信息；
N1字段请求者实体产生的随机数；
MIC字段表示对该字段之前的所有字段求MIC值，这里完整性校验密钥是USKI。
6.根据权利要求5所述的无线城域网组播密钥管理方法，其特征在于所述步骤1.2)中当响应者实体收到组播私钥请求分组后，重新计算MIC，并与接收到的MIC进行比较，如果不相等，则丢弃该分组；如果相等，则构造组播私钥响应分组发送给请求者实体。
7.根据权利要求5或6所述的无线城域网组播密钥管理方法，其特征在于所述步骤1.2)中的组播私钥响应分组包括以下内容
其中
RE字段响应者实体的身份信息；
AE字段请求者实体的身份信息；
N1字段请求者实体产生的随机数；
N2字段响应者实体产生的随机数；
C字段响应者实体分发给请求者实体的组播私钥GKx的密文信息，加密密钥为USKE；
MIC字段表示对该字段之前的所有字段求MIC值，这里完整性校验密钥是USKI。
8.根据权利要求7所述的无线城域网组播密钥管理方法，其特征在于所述C字段的计算过程如下
1.2.1)响应者实体在
中随机选择n-1(n大于等于2)个不同的元素v0，v1，...，以及元素Q1，Q2∈G1，同时，随机构造n-1次秘密多项式f(x)∈Zp[x]；接着，计算如下信息QK＝f(0)P∈G1和Vi＝f(vi)p(i＝0，1，...，n-2)；
1.2.2)对请求者实体，计算GKx＝f(AE)(Q1+Q2)；
1.2.3)C＝(QK，Q1，Q2，v0，...，vn-2，V0，..，Vn-2)||E(USKE；GKx)。
9.根据权利要求8所述的无线城域网组播密钥管理方法，其特征在于所述步骤1.3)中当请求者实体收到组播私钥响应分组后，重新计算MIC，并与接收到的MIC进行比较，如果不相等，则丢弃该分组；如果相等，则判断N1是否请求者实体选取的随机数；如果不是则丢弃该分组，如果是则利用密钥USKE解密E(USKE；GKx)获得组播私钥GKx，最后，构造组播私钥确认分组发送给响应者实体。
10.根据权利要求9所述的无线城域网组播密钥管理方法，其特征在于所述步骤1.3)中的组播私钥确认分组包括以下内容
其中
AE字段请求者实体的身份信息；
RE字段响应者实体的身份信息；
N2字段响应者实体产生的随机数；
MIC字段表示对该字段之前的所有字段以及解密得到的组播私钥GKx所求MIC值，这里完整性校验密钥是USKI。
11.根据权利要求10所述的无线城域网组播密钥管理方法，其特征在于所述步骤1.3)中当响应者实体收到组播私钥确认分组后，重新计算MIC，并与接收到的MIC进行比较；如果不相等，则丢弃该分组；如果相等，则判断N2是否响应者实体选取的随机数；如果不是则丢弃该分组，如果是，组播私钥分发成功。
12.根据权利要求11所述的无线城域网组播密钥管理方法，其特征在于所述步骤2.1)中的组播密钥加密密钥广播分组包括以下内容
其中
RE字段响应者实体的身份信息；
Flag字段表示广播类别；
Time字段当前系统时间，用于区分是否为重复信息；
C1字段响应者实体广播的组播密钥加密密钥的密文信息；
MIC字段表示对该字段之前的所有字段求MIC值，这里完整性校验密钥是GKEKI(由组播密钥加密密钥导出的完整性校验密钥)。
13.根据权利要求12所述的无线城域网组播密钥管理方法，其特征在于所述C1字段的计算方法如下
假设响应者实体选择了组播密钥加密密钥GKEK∈G2，响应者实体随机选择整数并如下计算
14.根据权利要求13所述的无线城域网组播密钥管理方法，其特征在于所述步骤2.2)中当请求者实体接收到该分组后，按如下方法解密出组播密钥加密密钥
2.2.1)首先，请求者实体利用公开信息和自己的设备识别信息构造集合
Γ＝{e0，e1，...en-1}＝{v0，...，vn-2，AE}
2.2.2)然后，并对每个ei∈Γ算出
2.2.3)接着，计算组播密钥加密密钥如下
15.根据权利要求14所述的无线城域网组播密钥管理方法，其特征在于所述步骤2.2)中当请求者实体计算出组播密钥加密密钥后，导出完整性校验密钥和加密密钥来；然后，利用完整性校验密钥重新计算MIC，判断分组是否有效；同时，根据Time字段判断是否系统重复消息。
16.根据权利要求1所述的无线城域网组播密钥管理方法，其特征在于所述步骤2)之后还包括步骤3)组播会话密钥分发或更新
3.1)响应者实体向所有请求者实体广播组播会话密钥广播分组；
3.2)请求者实体从组播会话密钥广播分组中解密出组播会话密钥。
17.根据权利要求1所述的无线城域网组播密钥管理方法，其特征在于所述步骤3.1)中的组播会话密钥广播分组包括以下内容
其中
RE字段响应者实体的身份信息；
Flag字段表示广播类别；
Time字段当前系统时间，用于区分是否为重复信息；
C2字段响应者实体广播的组播会话密钥的密文信息，加密密钥为GKEKE；
MIC字段表示对该字段之前的所有字段求MIC值，这里完整性校验密钥是GKEKI。
18.根据权利要求16或17所述的无线城域网组播密钥管理方法，其特征在于所述步骤3.2)中当请求者实体接收到组播会话密钥广播分组后，利用完整性校验密钥GKEKI重新计算MIC，判断分组是否有效；同时，根据Time字段判断是否系统重复消息；如果都有效，利用加密密钥GKEKE解密C2得到组播会话密钥GSK。
19.根据权利要求18所述的无线城域网组播密钥管理方法，其特征在于所述响应者实体和请求者实体可以利用组播会话密钥GSK可以导出组播会话加密密钥GSKE和组播会话完整性校验密钥GSKI，响应者实体进行组播业务。
全文摘要
本发明涉及一种无线城域网组播密钥管理方法，该方法包括以下步骤1)组播私钥分发1.1)请求者实体发送组播私钥请求分组给响应者实体；1.2)响应者实体发送组播私钥响应分组给请求者实体；1.3)请求者实体发送组播私钥确认分组给响应者实体；2)组播密钥加密密钥分发或更新2.1)响应者实体向所有请求者实体广播组播密钥加密密钥广播分组；2.2)请求者实体从组播密钥加密密钥广播分组中解密出组播密钥加密密钥。本发明解决了无线城域网组播密钥管理基础密钥安全不高和组播密钥更新的效率低下问题，而提供一种无线城域网组播密钥管理方法。
文档编号H04L9/08GK101364865SQ20081015103
公开日2009年2月11日 申请日期2008年9月19日 优先权日2008年9月19日
发明者庞辽军, 军 曹, 铁满霞 申请人:西安西电捷通无线网络通信有限公司