技術領域

本發明屬網絡安全領域，涉及一種適合集群系統的組播密鑰協商方法及系 統，尤其涉及一種適合SCDMA寬帶接入技術的組播密鑰協商方法及系統。

背景技術

SCDMA(Synchronous?Code?Division?Multiple?Access)是一種同步碼分多址 的寬帶無線接入技術，它采用了智能天線、軟件無線電、以及自主開發的SWAP (Synchronous?Wireless?Access?Protocol)空中接口協議等先進技術，是一個全新 的體系，一個全新的我國擁有完整自主知識產權的第三代無線通信技術標準， 可以以集群的方式組建網絡和開展業務。在SCDMA技術標準的用戶終端(UT， User?Terminal)和基站(BS，Base?Station)通信的空中接口安全的方案中，并 沒有對組播密鑰的協商方法進行描述。

考慮到SCDMA寬帶系統技術特點，組播密鑰的生成、更新與組成員發生切 換后的組播密鑰的使用應具備以下要求：1)基站BS不記錄每個用戶終端UT所 附屬的組消息；2)基站BS對應于不同的應用業務，所服務的同一業務組的用戶 終端UT可能分散于不同的基站BS下；3)由于需要具備切換能力，應由基站BS 來生成組播密鑰。網絡中有許多業務的都需要通過組播的方式進行開展，沒有 安全的組播密鑰協商的方法和系統無法保證利用組播開展的業務能夠更加有效 地進行。

發明內容

為了解決背景技術中存在的上述技術問題，本發明提供了一種安全性更高 的適合集群系統的組播密鑰協商方法及系統。

本發明的技術解決方案是：本發明為一種適合集群系統的組播密鑰協商方 法，其特殊之處在于：所述適合集群系統的組播密鑰協商方法包括以下步驟：

1)用戶終端UT和基站BS協商單播密鑰，根據單播密鑰導出加密密鑰和完 整性校驗密鑰；

2)用戶終端UT向基站BS發送組播密鑰請求分組，該分組包括：第一隨機 數和消息完整性校驗值；

3)基站BS收到來自用戶終端UT的組播密鑰請求分組后構建組播業務通告 分組發送給用戶終端UT，該分組包括：第一隨機數、第二隨機數、網絡中該基 站BS以及與該基站BS相連的基站BSi列表和消息完整性校驗值，其中i表示網絡 中的第i個基站BS，基站BSi列表包括基站BSi標識、支持的業務和基站BSi公鑰；

4)用戶終端UT收到來自步驟3)的組播業務通告分組后構建組播業務請求 分組發送給基站BS，該分組包括：用戶終端UT的數字證書、第一隨機數、第二 隨機數、第三隨機數、由網絡中該基站BS以及與該基站BS相連的基站BSi公鑰 加密的消息列表和消息完整性校驗值；

5)當基站BS收到來自步驟4)的組播業務請求分組后構建組播密鑰請求廣 播分組發給網絡中基站BSi，該分組包括：步驟4)中組播業務請求分組中的消 息以及該基站BS的簽名；

6)當網絡中基站BSi收到來自步驟5)的組播密鑰請求廣播分組后構建組播 密鑰反饋分組發給基站BS，該分組包括：第一隨機數、第二隨機數、第三隨機 數、消息列表和基站BSi的簽名，其中，消息列表包括基站BSiID、業務代碼、 業務密鑰MEKi或第四隨機數；

7)當基站BS收到來自步驟6)的組播密鑰反饋分組后構建組播業務響應分 組發給用戶終端UT，該分組包括：第一隨機數、第二隨機數、第三隨機數、消 息列表和完整性校驗值，其中，消息列表包括基站BSiID、業務代碼、業務密鑰 MEKi或第四隨機數；

8)用戶終端UT對步驟7)發來的組播業務響應分組進行解密。

上述步驟3)的具體實現方式是：基站BS收到組播密鑰請求分組后，導出的 完整性校驗密鑰驗證其中的MIC值，判斷其是否正確，如果不正確則放棄該分組； 如果正確，則由基站BS向用戶終端UT反饋組播密鑰業務通告分組。

上述步驟4)的具體實現方式是：用戶終端UT收到組播密鑰業務通告分組后， 導出的完整性校驗密鑰驗證其中的MIC值，判斷其是否正確，如果不正確則放棄 該分組；如果正確，則由用戶終端UT向基站BS反饋組播密鑰業務請求分組。

上述步驟5)的具體實現方式是：基站BS收到組播業務請求分組后，由完整 性校驗密鑰驗證其中的MIC值是否正確，如果不正確則放棄該分組；如果正確， 則基站BS向所有基站BSi反饋組播密鑰請求廣播分組。