技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域，更為具體地講，涉及一種LKH密鑰管理樹動態(tài)平衡方法。

背景技術(shù)

快速發(fā)展的多播網(wǎng)絡(luò)帶來了多播業(yè)務(wù)的廣泛應(yīng)用，比如IPTV、車載通信、視頻會議等。如何保證多播組內(nèi)通信的安全是開展多播業(yè)務(wù)的基礎(chǔ)，最常用和有效的方法是通過給組內(nèi)消息加密，然后在組內(nèi)合法成員之間共享一個加密密鑰的方式來保證多播組內(nèi)通信的安全性，這樣可以有效阻止非法用戶竊取組內(nèi)通信內(nèi)容。考慮到組內(nèi)隨時會有用戶離開或者加入，為保證組內(nèi)通信的前向和后向安全，組密鑰管理中心需要及時更新加密密鑰。如何高效地管理和更新組內(nèi)加密密鑰是一個極其重要的問題。目前，已提出了多種組密鑰管理方法，譬如說OFT、ELK、SDR、SHKD和LKH，對于大型動態(tài)多播網(wǎng)絡(luò)LKH（邏輯密鑰分層）是高效的密鑰管理方法之一。

LKH采用一棵如圖1所示的密鑰管理樹對組密鑰進(jìn)行管理。密鑰管理樹中存在三種類型的密鑰，位于樹根節(jié)點(diǎn)的為加密密鑰K₀，它用來直接加密組內(nèi)通信內(nèi)容；位于葉子節(jié)點(diǎn)為用戶私鑰PK₁～PK₆，每個用戶加入到組時，組密鑰管理中心都會給他分配一個用戶私鑰PK₁～PK₆；樹中其他節(jié)點(diǎn)為分發(fā)密鑰K₁～K₄，它主要是用來分發(fā)加密密鑰。組內(nèi)每個成員保存從它對應(yīng)的葉子節(jié)點(diǎn)到樹的根節(jié)點(diǎn)這條路徑上所有密鑰，組密鑰管理中心保存密鑰管理樹中所有的密鑰。當(dāng)組內(nèi)成員有變更時，密鑰管理中心就會更新相應(yīng)的密鑰。如圖1所示，假若成員M₁離開通信組，為保證成員M₁不能再解密組內(nèi)通信內(nèi)容，密鑰管理中心需要更新密鑰K₀、K₁和K₃，產(chǎn)生如下密鑰更新消息{K₃'}PK₂,{K'₁}K'₃,{K'₁}K₄,{K'₀}K'₁和{K'₀}K₂，其中，K_i'代表K_i的新密鑰，{K_i'}K_j表示用K_j加密密鑰K_i'。對于成員M₂來說，當(dāng)它接收到這些密鑰更新消息后，它首先利用它的私鑰PK₂解密消息{K₃'}PK₂得到新的密鑰K₃'，然后利用密鑰K₃'解密消息{K'₁}K'₃得到新密鑰K₁'，最后利用謎語K₁'解密消息{K'₀}K'₁得到新的加密密鑰K'₀。這樣，組內(nèi)剩余成員能成功得到了新的加密密鑰，但成員M₁不可能再獲得新的加密密鑰，這樣保證了通信的安全。假若成員M₁添加到組，同樣為保證成員M₁不能利用密鑰解密組內(nèi)以前的通信內(nèi)容，所以當(dāng)成員M₁添加到組時，組密鑰管理中心需要更新加密密鑰。如圖1所示，密鑰K₀、K₁和K₃需要更新，密鑰更新消息為{K₃'}PK₁,{K₃'}PK₂,{K₁'}K₃',{K'₁}K₄,{K'₀}K'₁和{K'₀}K₂，這樣成員M₁根據(jù)消息{K₃'}PK₁，{K₁'}K₃'和{K'₀}K'₁能得到新的加密密鑰，同樣，組內(nèi)其他成員根據(jù)密鑰更新消息也可以得到新的加密密鑰。LKH密鑰管理開銷和組內(nèi)成員數(shù)量的對數(shù)相關(guān)，因而，它是一種低開銷的組密鑰管理方案。