[发明专利]用于控制分组数据的加密多播发送的方法和装置

说明书

用于控制分组数据的加密多播发送的方法和装置。将一网络(100)的第一多个(201)网络节点(120‑123、130‑133)与第一密码密钥材料和多播IP地址相关联。将所述网络(100)的第二多个(202)网络节点(120‑123、130‑133)与第二密码密钥材料和所述多播IP地址相关联。所述第一密码密钥材料具有与所述第二密码密钥材料不同的秘密。

技术领域

各种实施方式涉及方法和装置。具体来说，各种实施方式涉及基于第一和第二密码密钥材料(cryptographic keying material)的秘密并且还基于多播IP地址来控制分组数据的加密多播发送的技术。

背景技术

物联网(IOT)导致大量装置之间的通信，每个装置都实现对应网络的网络节点。为了处理大量装置的交互，点对多点通信(多播发送)可以成为一个强有力的工具：在这里，在某个时间点，发送网络节点可以向大量接收网络节点递送消息。

然而，已知的多播发送技术面临特定限制和缺点。例如，针对受约束环境中的IOT应用(如照明领域就可能是这种情况)，通常需要限定多组接收网络节点。有时，这种组的数量可能会相当高。另一方面，在例如存储器资源有限的受约束环境中，为大的组维护诸如多播IP地址的路由信息可能是困难的。另外，将网络节点之间交换的至少部分消息加密的安全通信可以是优选的。然而，可能难以维护与几个安全会话相关联的密码密钥材料。

发明内容

因此，需要加密多播发送的高级技术。具体来说，需要克服和减轻上述限制和缺点中的至少一些的这种技术。具体而言，需要既能够实现安全加密又能够灵活指配多播IP地址的这种技术。

根据一方面，提供了一种方法。所述方法包括以下步骤：将网络的第一多个网络节点与第一密码密钥材料和多播IP地址相关联。所述方法还包括以下步骤：将所述网络的第二多个网络节点与第二密码密钥材料和所述多播IP地址相关联。所述第一密码密钥材料具有与所述第二密码密钥材料不同的秘密。所述方法还包括以下步骤：基于所述第一密码密钥材料的秘密和所述多播IP地址控制所述第一多个网络节点执行分组数据的加密多播发送。所述方法还包括以下步骤：基于所述第二密码密钥材料的秘密和所述多播IP地址控制所述第二多个网络节点执行分组数据的加密多播发送。

因此，所述第一多个网络节点和所述第二多个网络节点可以共享同一多播IP地址。同时，不与所述第一多个网络节点相关联(即，不拥有所述第一密码密钥材料)的给定网络节点可能不能够解密在所述第一多个网络节点之间的所述加密多播发送的消息。例如，所述第一多个网络节点可以被称为第一安全组；所述第二多个网络节点可以被称为第二安全组。所述第一多个网络节点和所述第二多个网络节点的组合(其共享所述多播IP地址)可以被称为多播组。可能有更多的多播组。

所述密码密钥材料可以指属于安全组的密码密钥、与该密钥相关联的状态(如期满或有效)、以及与该密钥有关的其它安全参数。在一些情形下，密码密钥材料可以包括一个或更多个对称密钥。对称密钥可以被发送方和接收方用于对消息进行加密和解密两者。在其它情形下，该密钥材料可以包括公钥和私钥。

一般来说，不同的安全组可以使用不同的密码加密器(cryptographic cipher)；不同的安全组也可以使用相同的密码加密器。该密码加密器可以涉及被用于基于对应密码密钥材料来加密/解密的消息的加密部分的特定加密/解密算法。

具有不同秘密的所述第一密钥资料和第二密钥资料可以涉及这样一种情况，即，其中拥有针对是第一密钥材料的秘密的密钥的网络节点不能解密基于针对所述第二密钥材料的秘密的密钥加密的消息。