[发明专利]基于分层结构对称密钥池的群组通信方法及通信系统

说明书

本发明公开了基于分层结构对称密钥池的群组通信方法及通信系统，包括步骤：(1)将群组进行树形结构分层，其中最高层为群组管理员，其存储有其密钥池及替换密钥；(2)树形结构中其他层的群组成员根据其ID及其父节点的替换密钥计算得到相应的替换密钥并存储；(3)第1层各群组成员根据其替换密钥与第0层的密钥池计算得到其密钥池，第1层以下所有层级的各群组成员的密钥池均与其父节点的密钥池相同；(4)群组成员之间通信的发送方通过预先设定的密钥选取方式从目标密钥池中选取密钥作为通信密钥。本发明在某个子群组对称密钥池被破解的情况下，群组通信的安全性仍然可以得到保证；且本发明只需传递少量密钥即可对密钥池进行更新。

技术领域

本发明涉及群组通信领域，尤其涉及基于分层结构对称密钥池的群组通信方法及通信系统。

背景技术

随着无线通信技术的不断发展，终端直接通信(Device to Device，D2D)已成为3GPP Rel-12标准化技术的热点之一。D2D允许两个用户设备(User Equipment，UE)通过特定的信道(Sidelink Channel)直接进行数据传输，而无需经过演进型基站设备(Evolutional Node B，eNB)。当然，D2D并不局限于两个用户设备之间的数据传输，还可以支持单点对多点的群组通信(Group Communication)。现有的网络认证体系大都是基于单个对象的一对一的认证方式，但是对于单点对多点的数据传输，会根据一定的原则形成群组。在这些应用场景下，当组内接入新的终端时，若采用现有的一对一的认证方式，不仅会增加网络信令，导致网络拥塞，且会占用大量网络资源，因此现有的一对一的网络认证体系不再适用。在这种情况下，为降低认证资源消耗，减少网络拥塞，需要相应的群组认证机制。现有的群组通信系统使用群组密钥池，通过使用群组型对称密钥池存储的对称密钥来实现群组通信，若某一成员遭到攻击，整个群组的保密通信都受到安全性威胁。

在现有技术中，对密钥池进行更新往往需要颁发中心的参与，由于传输的数据量较大，对安全性有一定威胁。

基于上述分析，现有技术存在以下缺陷：

1.现有技术中，群组对称密钥池由于容量较大，无法存储于高度安全的安全芯片中，存在被俘获后被拆解从而被破解的可能性。群组型对称密钥池被群组内所有成员所共有，群组型对称密钥池一旦被破解，则基于群组型对称密钥池的群组通信的安全性受到威胁；

2.现有基于对称密钥池的取密钥方法为：首先选择一个密钥位置，然后从该位置取出整段密钥。在对称密钥池被群组成员共享的情况下，该种取密钥方式容易被群组成员所知，私密性不高；

3.现有密钥池更新的方法为一方生成密钥后给另一方发送过去，由于密钥池中的密钥量巨大，会导致密钥池更新需要大量时间；对于群组通信来说，需要将同一份密钥传递到群组的各个成员，密钥量更加巨大，往往难以实现；

4.现有基于密钥池的群组通信系统中，所有拥有群组密钥池的成员的地位是相同的，任意一个成员被俘获均会导致整个群组通信系统的失效。

发明内容

发明目的：本发明针对上述不足，提出了一种基于分层结构对称密钥池的群组通信方法及通信系统，在群组通信的场景中，进一步增强了对称密钥池的使用安全性，使得在某个子群组对称密钥池被破解的极端情况下，基于对称密钥池的群组通信的安全性也仍然可以得到保证。

技术方案：

基于分层结构对称密钥池的群组通信方法，包括步骤：

(1)将群组采用树形结构进行分层，其中最高层为第0层，只有1个群组成员，为群组管理员；在群组管理员的本地安全存储芯片中存储有群组管理员的替换密钥；所述群组管理员保存有第0层的密钥池；

(2)为树形结构中其他层的群组成员分配ID，并根据各层各个群组成员的ID及其父节点的替换密钥计算得到各层各个群组成员的替换密钥；并将其替换密钥存储至其本地安全存储芯片中；