發明領域

本發明涉及一種無線城域網組播密鑰管理方法。

背景技術

無線網絡的安全問題遠比有線以太網嚴重。美國電氣及電子工程師學會IEEE 在802.11和802.16系列標準中提出了安全機制來增強無線局域網和無線城域網的安 全性，提供移動終端MT到基站BS的安全接入，中國也在2003年5月份頒布了無線 局域網國家標準GB15629.11，通常稱為WAPI(無線局域網鑒別與保密基礎架構) 協議。寬帶無線多媒體BWM網絡融合了數據通信和廣播通信，是一種新的無線網 絡體系結構，同樣需要解決安全接入和保密通信問題。

不管是無線網絡還是有線網絡，一般都包含兩種通信模式：點對點的通信和組 播(或廣播)方式。安全組播需要保證組播實體和消息的合法性和保密性，同時， 對接收組播的終端也需要一定的權限限制，保證只有獲得授權的終端可以正確地讀 出所組播的消息，這要求必須首先有效解決組播密鑰安全分發問題。如何有效管理 組播密鑰是解決安全組播的關鍵問題之一。

IEEE802.11標準使用了有線等效保密協議WEP實現WLAN的安全性，它的密鑰 管理非常簡單，即手工在移動終端和接入點之間設置共享密鑰。此時，IEEE802.11 還沒有涉及組播密鑰管理問題。

因為WEP加密協議存在嚴重的安全漏洞。IEEE提出了802.11i標準試圖解決 WEP的安全問題。中國也提出了無線局域網中國國家標準GB15629.11，即WAPI協 議，克服了WEP存在的一些弊病。802.11i和WAPI盡管認證機制不同，但在組播密 鑰管理方面卻十分相似：組播會話密鑰GSK的分發是由事先建立的單播會話密鑰 USK加密分發的。也就是說，基站會選取一個組播會話密鑰，然后，分別用自己與 每一個終端共享的單播會話密鑰進行加密，并逐個發送給相應的終端。每個終端接 收到加密的組播會話密鑰消息后，可以用自己與基站共享的單播會話密鑰解密得到 組播會話密鑰。當每個終端都接收到同樣的組播會話密鑰后，基站就可以進行安全 組播。如果要更新組播會話密鑰，則需要重復上述過程。

該方法的缺點是效率比較低，特別是當進行組播會話密鑰更新時，基站需要重 復上述組播會話密鑰分發過程：基站選取一個組播會話密鑰，分別用自己與每一個 終端共享的單播會話密鑰進行加密，并逐個發送給相應的終端。

在美國IEEE提出的無線城域網標準即802.16標準中，其組播密鑰管理借鑒了 802.11i。但在IEEE提出的802.16e標準中，關于安全組播密鑰管理問題，提出了新 的設計理念，引入了組播密鑰加密密鑰GKEK，建立起了組播密鑰加密密鑰GKEK 和組播會話密鑰GSK兩級的管理方法。其思想為：首先，基站利用與每個終端建立 的單播會話密鑰逐個加密GKEK并發送給相應終端；終端收到該消息后，利用單播 會話密鑰解密得到GKEK；然后，基站利用GKEK作為密鑰加密GSK，并對所有終 端進行廣播；擁有GKEK的每一個終端可以得到相同的GSK。這時，組播會話密鑰 過程完成。在進行組播會話密鑰更新時，采用同樣的過程：即基站利用GKEK作為 密鑰加密GSK，并對所有終端進行廣播。

而802.116e中的組播密鑰管理方法的缺點是：采用時間同步方式，狀態管理復 雜；新密鑰的啟用、禁用都依賴時間判斷，在一個分布式系統中維護同步時鐘比較 復雜。

針對這種情況，中國在無線城域網和寬帶無線多媒體領域，提出了具有類似思 想的組播會話密鑰管理方法。

但這種方法具有以下缺點：

1、盡管采用了GKEK和GSK兩級的管理方法，但對所有終端來說，它們的GKEK 和GSK是相同的，不具備密鑰分級管理的優勢和特點；

2、因為GKEK對所有終端來說是相同的，這會使得終端更容易將GKEK泄漏給 其他終端，安全性不高；

3、沒有涉及GKEK的更新方法。因為GKEK作為基礎密鑰對所有終端來說是相 同的，安全性不高，因此，需要經常更換GKEK；

4、沒有提供有效的GKEK更新方法，只能和組播密鑰加密密鑰分發方法相同， 由基站逐個加密、逐個發送給終端；

5、在上述情況4中，這種更新可能需要較長時間，該時間長短由終端數目決定。 這可能會導致在密鑰更新時，出現組播中斷現象。

發明內容

本發明為解決背景技術中無線城域網組播密鑰管理基礎密鑰安全不高和組播 密鑰更新的效率低下問題，而提供一種無線城域網組播密鑰管理方法。