[发明专利]一种适合集群系统的组播密钥协商方法及系统

说明书

技术领域

本发明属网络安全领域，涉及一种适合集群系统的组播密钥协商方法及系 统，尤其涉及一种适合SCDMA宽带接入技术的组播密钥协商方法及系统。

背景技术

SCDMA(Synchronous Code Division Multiple Access)是一种同步码分多址 的宽带无线接入技术，它采用了智能天线、软件无线电、以及自主开发的SWAP (Synchronous Wireless Access Protocol)空中接口协议等先进技术，是一个全新 的体系，一个全新的我国拥有完整自主知识产权的第三代无线通信技术标准， 可以以集群的方式组建网络和开展业务。在SCDMA技术标准的用户终端(UT， User Terminal)和基站(BS，Base Station)通信的空中接口安全的方案中，并 没有对组播密钥的协商方法进行描述。

考虑到SCDMA宽带系统技术特点，组播密钥的生成、更新与组成员发生切 换后的组播密钥的使用应具备以下要求：1)基站BS不记录每个用户终端UT所 附属的组消息；2)基站BS对应于不同的应用业务，所服务的同一业务组的用户 终端UT可能分散于不同的基站BS下；3)由于需要具备切换能力，应由基站BS 来生成组播密钥。网络中有许多业务的都需要通过组播的方式进行开展，没有 安全的组播密钥协商的方法和系统无法保证利用组播开展的业务能够更加有效 地进行。

发明内容

为了解决背景技术中存在的上述技术问题，本发明提供了一种安全性更高 的适合集群系统的组播密钥协商方法及系统。

本发明的技术解决方案是：本发明为一种适合集群系统的组播密钥协商方 法，其特殊之处在于：所述适合集群系统的组播密钥协商方法包括以下步骤：

1)用户终端UT和基站BS协商单播密钥，根据单播密钥导出加密密钥和完 整性校验密钥；

2)用户终端UT向基站BS发送组播密钥请求分组，该分组包括：第一随机 数和消息完整性校验值；

3)基站BS收到来自用户终端UT的组播密钥请求分组后构建组播业务通告 分组发送给用户终端UT，该分组包括：第一随机数、第二随机数、网络中该基 站BS以及与该基站BS相连的基站BSi列表和消息完整性校验值，其中i表示网络 中的第i个基站BS，基站BSi列表包括基站BSi标识、支持的业务和基站BSi公钥；

4)用户终端UT收到来自步骤3)的组播业务通告分组后构建组播业务请求 分组发送给基站BS，该分组包括：用户终端UT的数字证书、第一随机数、第二 随机数、第三随机数、由网络中该基站BS以及与该基站BS相连的基站BSi公钥 加密的消息列表和消息完整性校验值；

5)当基站BS收到来自步骤4)的组播业务请求分组后构建组播密钥请求广 播分组发给网络中基站BSi，该分组包括：步骤4)中组播业务请求分组中的消 息以及该基站BS的签名；

6)当网络中基站BSi收到来自步骤5)的组播密钥请求广播分组后构建组播 密钥反馈分组发给基站BS，该分组包括：第一随机数、第二随机数、第三随机 数、消息列表和基站BSi的签名，其中，消息列表包括基站BSiID、业务代码、 业务密钥MEKi或第四随机数；

7)当基站BS收到来自步骤6)的组播密钥反馈分组后构建组播业务响应分 组发给用户终端UT，该分组包括：第一随机数、第二随机数、第三随机数、消 息列表和完整性校验值，其中，消息列表包括基站BSiID、业务代码、业务密钥 MEKi或第四随机数；

8)用户终端UT对步骤7)发来的组播业务响应分组进行解密。

上述步骤3)的具体实现方式是：基站BS收到组播密钥请求分组后，导出的 完整性校验密钥验证其中的MIC值，判断其是否正确，如果不正确则放弃该分组； 如果正确，则由基站BS向用户终端UT反馈组播密钥业务通告分组。

上述步骤4)的具体实现方式是：用户终端UT收到组播密钥业务通告分组后， 导出的完整性校验密钥验证其中的MIC值，判断其是否正确，如果不正确则放弃 该分组；如果正确，则由用户终端UT向基站BS反馈组播密钥业务请求分组。

上述步骤5)的具体实现方式是：基站BS收到组播业务请求分组后，由完整 性校验密钥验证其中的MIC值是否正确，如果不正确则放弃该分组；如果正确， 则基站BS向所有基站BSi反馈组播密钥请求广播分组。