技術領域

本發明屬于密鑰管理技術領域，涉及一種組播安全代理組件及組播加密管理方法。

背景技術

當一個相同的信息必須傳遞給多個接收者時，組播是一個較好的通信模型，組播通信減少了發送者和網絡媒介的經常開支。加密算法的應用對于作用在—個不可靠的網絡媒介上的安全組播通信來說是一個實際可行的方法。加密算法又分為對稱(私鑰)加密算法和非對稱(公鑰)加密算法。對稱加密算法加解密速度快，加密強度高，密鑰分發與管理困難；而非對稱加密算法的加解密速度慢，密鑰管理簡單。

例如，一個會話加密鑰匙SEK?(一種對稱加密算法的密鑰)?在安全通信中用于將數據加密。由于數據分配給多個接受者，為了減少在發送者節點的加密數量同時最小化網絡上數據包的數量，每個預期的接收者以及發送者應該共享一個相同的SEK。為了確保只有組中合法的成員具有信息傳遞的權力，SEK在下列情況時需要改變：a)當SEK的生命周期到期時；b)組的成員關系發生改變；c)一個或更多的成員被泄露時。

因此，在現有的技術方案中，安全組播通信是通過使用組內所有成員共享的組密鑰來加密通信內容。為了保障安全，密鑰服務器需要在組成員關系改變時進行組密鑰更新(rekey)。由于組內成員關系的動態性和加解密操作的高代價，組密鑰更新性能成為衡量組密鑰管理性能的主要指標，也是影響組播通信的一個重要的因素。

??在現有的安全組播技術中，無論使用對稱(私鑰)加密算法和非對稱(公鑰)加密算法，當用戶加入或退出該組時，該組中的密鑰必須更新，使新加入的用戶不能訪問過去的通信內容，以及退出的用戶不能訪問現在和將來的通信內容。同時，還要考慮密鑰的存儲代價和通信代價。

發明內容

本發明的目的是提供一種組播安全代理組件及組播加密管理方法，以實現組播中的組成員發生變化時，不需要對組內其余用戶的密鑰進行更新，仍然能夠保證組播通信的安全性。

為實現上述目的，本發明的組播安全代理組件包括：

安全模塊，用于提供代理所在區域的內外安全相關的服務，用于將收集到的有用信息轉存在知識庫中；

通信模塊，用于負責代理與內網主機以及代理之間相關交換信息；

組播模塊，用于內網用戶之間以及內網用戶與外網用戶相互通信，并劃分為一個信息組，實現組內用戶安全高效的信息交流與共享；

知識庫模塊，用于對原信息和知識進行收集和整理，并進行分類存儲，并提供相應的檢索手段。

進一步的，所述安全模塊包括防病毒、入侵檢測、漏洞掃描、訪問控制、災難恢復和不定升級子模塊。

進一步的，所述通信模塊中發送的請求信息包括需求信息、告警信息和代理之間廣播安全檢測信息。

進一步的，所述通信模塊包括通信語言和傳輸協議子模塊。

進一步的，所述組播模塊包括建立刪除組、文件加解密、組密鑰更新、密鑰認證、密鑰生成和密鑰注銷子模塊。

本發明的組播加密管理方法步驟如下：

????(1)?根據任務的需要，把內網中的某些用戶建立成一個組播組；

????(2)?對用戶進行身份認證，認證通過后的用戶能和組內其他的用戶正常通信；

????(3)?將組內所有用戶的私鑰相乘計算得到組播加密密鑰，解密密鑰為每個用戶的私鑰；當組內用戶發生變化時，重新計算得到新組播密鑰并更新組播加密密鑰，解密密鑰為組內每個用戶的私鑰；

????(4)?組內發送信息方在發送信息時，需要將信息或文件用組密鑰加密后，發給組內其他的收聽用戶；收聽用戶用自己的私鑰解密后，可以查看接收到的信息；

????(5)?組內用戶進行通信，直到任務結束后，刪除該組播組，釋放相應的系統資源。

進一步的，所述步驟（2）中對用戶進行身份認證是利用用戶USB?Key或智能卡中存儲的私鑰來進行身份認證。

進一步的，所述步驟（3）中解密密鑰為每個用戶USB?Key或智能卡中存儲的私鑰。

進一步的，所述步驟（3）中加密解密密鑰的產生是基于RSA算法。

進一步的，將原解密密鑰d作為輸入值輸入哈希函數，得到一個值????????????????????????????????????????????????，，根據擴展的歐幾里德算法：?可以求出，稱為加密密鑰，需要公開；為解密密鑰；()為私鑰；和為輔助密鑰，哈希函數對外公開。