国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種安全組播管理系統(tǒng)及方法

      文檔序號(hào):7596476閱讀:265來源:國(guó)知局
      專利名稱:一種安全組播管理系統(tǒng)及方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及一種應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)組播環(huán)境的安全管理系統(tǒng)及方法,屬于計(jì)算機(jī)安全技術(shù)領(lǐng)域。
      背景技術(shù)
      傳統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)通信方式是單播通信,即“一對(duì)一、點(diǎn)對(duì)點(diǎn)”的通訊,信源和信宿都是明確而具體的。這種單播通信技術(shù)已經(jīng)比較成熟、網(wǎng)絡(luò)通信過程的安全性比較可靠;但是,它最大的弊端是只能實(shí)現(xiàn)“一對(duì)一”的通信。
      為了實(shí)現(xiàn)“一對(duì)多”的通信,出現(xiàn)了計(jì)算機(jī)網(wǎng)絡(luò)組播通信方式。計(jì)算機(jī)網(wǎng)絡(luò)組播通信是一開放的組播通信系統(tǒng),其特點(diǎn)是信源確定,信宿明確而不具體,即在任一時(shí)刻,參與某組播系統(tǒng)的主機(jī)中一定有信源,但信宿數(shù)量通常是動(dòng)態(tài)變化的、是不固定的,可以是多個(gè),甚至還可能為零個(gè)信宿;而且,組播通信系統(tǒng)不提供數(shù)據(jù)源鑒別服務(wù)機(jī)制,使得任意主機(jī)都可以向任意組播組發(fā)送數(shù)據(jù)。這就意味著任何主機(jī)都可混雜和冒充信源主機(jī)的組播數(shù)據(jù),這是目前組播通信系統(tǒng)中一個(gè)極其嚴(yán)重的安全問題。
      組播通信系統(tǒng)的組播安全實(shí)際上是指保護(hù)組播內(nèi)容的數(shù)據(jù)機(jī)密性、完整性,對(duì)數(shù)據(jù)源的認(rèn)證以及解決組播成員的受控、授權(quán)加入和退出確認(rèn)等問題。組播通信系統(tǒng)的組播安全所牽涉的內(nèi)容比普通的點(diǎn)對(duì)點(diǎn)單播通信要廣泛得多,即使是象認(rèn)證和信息加密這樣基本的問題也變得非常復(fù)雜。而且,隨之帶來很多新的問題,如組播中心的訪問控制、組播中心的可信度以及動(dòng)態(tài)組員管理等。
      另外,由于組播通信象單播通信一樣,要經(jīng)過“公共”因特網(wǎng),特別是希望用IP組播傳送有價(jià)值的數(shù)據(jù),為了防止數(shù)據(jù)在因特網(wǎng)上傳輸過程中被他人中途截取,還需要配置一些機(jī)制來控制對(duì)數(shù)據(jù)的訪問。經(jīng)常采用的一個(gè)方法是數(shù)據(jù)加密。也就是,數(shù)據(jù)在源端被加密,解密密鑰被特定的組播組的接收者得到,這樣一來,雖然IP組播通信象在internet上的其他通信一樣能被任何人中途截取,但如果沒有解密密鑰,即使得到數(shù)據(jù)也不可用。但是,目前組播密鑰管理方法大多是利用單播技術(shù)來實(shí)現(xiàn)的,而組播通信密鑰管理要涉及多個(gè)端系統(tǒng),因此其復(fù)雜程度要遠(yuǎn)遠(yuǎn)超過單播通信密鑰管理,所以,目前組播密鑰管理還不夠成熟。
      此外,在組播通訊中,可能還存在有多種攻擊,如冒充合法的組播數(shù)據(jù)發(fā)送端發(fā)送數(shù)據(jù);冒充合法的組播數(shù)據(jù)接收端接收數(shù)據(jù);竊聽和偽造組播數(shù)據(jù);對(duì)組播路由器和組播用戶的拒絕服務(wù)攻擊;對(duì)發(fā)送或接收數(shù)據(jù)的抵賴、否認(rèn)等等。
      總之,目前,雖然對(duì)于組播安全性問題已有Nortel框架和SRM(Secure ReliableMulticast)等解決方案,但是現(xiàn)有的解決方案都不同程度的存在不足,安全組播仍然是一個(gè)技術(shù)難點(diǎn)。

      發(fā)明內(nèi)容
      鑒于上述原因,本發(fā)明的目的是提供一種應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)組播環(huán)境的安全組播管理系統(tǒng)及方法,以便實(shí)現(xiàn)安全的組播通信。
      為實(shí)現(xiàn)上述目的,本發(fā)明采取以下技術(shù)方案一種安全組播管理系統(tǒng),它主要由彼此相互連接的用戶子系統(tǒng)、認(rèn)證中心子系統(tǒng)、公鑰中心子系統(tǒng)、客戶子系統(tǒng)和監(jiān)控中心子系統(tǒng)五個(gè)部分組成;所述用戶子系統(tǒng)主要完成配置組播使用環(huán)境、初始化通信各方的信息,為每個(gè)通信成員和各子系統(tǒng)管理員生成各自的公/私鑰對(duì)、認(rèn)證授權(quán)文件、為系統(tǒng)的各組播組生成通信組密鑰,并授予通信成員相應(yīng)的權(quán)限;所述認(rèn)證中心子系統(tǒng)用來對(duì)組播信息傳輸中使用的通信密鑰進(jìn)行管理、更新和分發(fā);所述公鑰中心子系統(tǒng)主要用來存儲(chǔ)認(rèn)證中心發(fā)送的用戶公鑰并接收客戶提出的公鑰請(qǐng)求,發(fā)送相應(yīng)的用戶公鑰;所述客戶子系統(tǒng)完成對(duì)組播用戶發(fā)送的信息進(jìn)行加密、解密和簽名處理,并結(jié)合公鑰中心子系統(tǒng)完成對(duì)組播信息的源認(rèn)證;所述監(jiān)控中心子系統(tǒng)主要完成實(shí)時(shí)收集與記錄在組播通信過程中通信各方的數(shù)據(jù),監(jiān)控通信狀況和網(wǎng)絡(luò)資源,及時(shí)顯示通信各方的狀態(tài)。
      所述客戶子系統(tǒng)由客戶認(rèn)證請(qǐng)求、安全傳輸和源認(rèn)證三個(gè)模塊組成;所述客戶認(rèn)證請(qǐng)求模塊主要用來和公鑰中心子系統(tǒng)進(jìn)行雙向認(rèn)證,獲取客戶的授權(quán)信息;所述安全傳輸模塊主要完成對(duì)組播信息的加密、簽名和傳輸;所述源認(rèn)證模塊主要完成對(duì)收到的組播信息,根據(jù)所述公鑰中心子系統(tǒng)提供的發(fā)送者的公鑰,進(jìn)行源認(rèn)證,驗(yàn)證是否是其聲稱的發(fā)送者發(fā)送的。
      為實(shí)現(xiàn)上述目的,本發(fā)明采用了一種安全組播管理方法,該方法包含以下步驟A、在組播通信前,對(duì)組播通信的各方進(jìn)行初始化,配置組播使用環(huán)境為系統(tǒng)各通信成員生成各自的公/私鑰對(duì),認(rèn)證授權(quán)文件,生成通信時(shí)的密鑰,為各通信成員分配授權(quán)權(quán)限(發(fā)送、接收)B、在組播通信過程中,為通信各方更新/分發(fā)組播通信密鑰;
      C、對(duì)組播用戶發(fā)送的信息進(jìn)行加密和簽名;D、對(duì)接收到的用戶組播信息進(jìn)行解密和源認(rèn)證,使得每個(gè)組成員對(duì)接收的組播信息能夠驗(yàn)證該信息是否為其聲稱的發(fā)送者發(fā)送的E、如果所發(fā)送的組播信息是聲稱的發(fā)送者發(fā)送的,就進(jìn)行正常的數(shù)據(jù)傳輸;如果不是,則濾取該組數(shù)據(jù);F、在組播通信過程中,實(shí)時(shí)收集和記錄通信各方的數(shù)據(jù),監(jiān)控通信狀況和網(wǎng)絡(luò)資源,及時(shí)發(fā)現(xiàn)異常情況,并做出相應(yīng)的處理。
      所述步驟A由用戶子系統(tǒng)完成,它包括以下步驟a、用戶子系統(tǒng)啟動(dòng)后,接收管理員輸入的信息;b、根據(jù)管理員輸入的口令,從本地存儲(chǔ)的公私鑰環(huán)文件中讀出管理員的公/私鑰;c、根據(jù)管理員要進(jìn)行的操作類型執(zhí)行相應(yīng)的動(dòng)作既管理員可以根據(jù)需要為系統(tǒng)生成新用戶或給指定的用戶分配組密鑰和權(quán)限如果是生成新用戶,首先為用戶生成該用戶的公/私鑰對(duì),并從生成的公私鑰環(huán)文件中讀出該用戶的ID,然后接收用戶信息、用戶的認(rèn)證口令等內(nèi)容,并根據(jù)輸入的認(rèn)證口令,生成其hash值,作為該用戶的認(rèn)證憑據(jù)保存在系統(tǒng)的認(rèn)證授權(quán)文件中;如果是給已注冊(cè)的用戶授權(quán),就給指定的用戶分配相應(yīng)的組密鑰和權(quán)限;組密鑰的生成可以使用手工輸入、拷貝其他用戶的組密鑰以及隨機(jī)生成三種方式,而用戶的權(quán)限則分為五種權(quán)限●只發(fā)只能發(fā)送組播信息而不能接收;●只收只能接收組播信息而不能發(fā)送;●收發(fā)即能發(fā)送組播信息也能接收組播信息;●公鑰中心即用戶授權(quán)為公鑰中心的管理員;●監(jiān)控中心即用戶授權(quán)為監(jiān)控中心的管理員;用戶的組密鑰和權(quán)限信息將被保存在系統(tǒng)的認(rèn)證授權(quán)文件中。
      d、用戶子系統(tǒng)將生成的用戶公/私鑰和ID號(hào)分發(fā)給各個(gè)用戶,同時(shí),將系統(tǒng)認(rèn)證和授權(quán)文件發(fā)送給認(rèn)證中心;e、判斷管理員的操作是否完成,如果完成,結(jié)束;如果沒有完成,則返回步驟c。
      所述步驟B中的為通信各方更新/分發(fā)組播通信密鑰由認(rèn)證中心子系統(tǒng)完成,它包括以下步驟a、認(rèn)證中心子系統(tǒng)啟動(dòng)后,首先,進(jìn)行初始化工作;
      b、然后,處理三種請(qǐng)求和一個(gè)定時(shí)器操作,其工作流程圖(1)、如果是組播客戶加入組播組時(shí)提出的認(rèn)證請(qǐng)求,認(rèn)證中心子系統(tǒng)接受組播客戶提出的組密鑰請(qǐng)求后,首先驗(yàn)證組客戶的身份,然后根據(jù)系統(tǒng)的授權(quán)(如組播信息的發(fā)送權(quán),接收權(quán)等)信息,將該組播客戶的組密鑰和相應(yīng)的授權(quán)信息發(fā)送給組播客戶;認(rèn)證中心子系統(tǒng)將用戶的公鑰發(fā)送給公鑰中心子系統(tǒng);最后,認(rèn)證中心子系統(tǒng)將向監(jiān)控中心發(fā)送組播組成員的認(rèn)證、授權(quán)狀況等信息,如組播組成員的用戶名、權(quán)限、加入組播組時(shí)的時(shí)間、IP地址以及申請(qǐng)加入的組播組地址等;(2)、如果是授權(quán)更改請(qǐng)求該請(qǐng)求是在組監(jiān)控中心發(fā)現(xiàn)異常情況時(shí),根據(jù)一定的規(guī)則發(fā)出的。認(rèn)證中心子系統(tǒng)將根據(jù)接收到的指令,更新相應(yīng)用戶的授權(quán)信息,并發(fā)送更新通知給相應(yīng)的用戶,使更改生效;(3)、如果是管理請(qǐng)求該請(qǐng)求由組播組管理員發(fā)出,主要是為了方便管理員對(duì)組播通信系統(tǒng)的管理;管理員可以發(fā)送指令察看或更改當(dāng)前的用戶授權(quán)、組密鑰等信息,如果管理員更改了用戶的授權(quán)信息,認(rèn)證中心子系統(tǒng)發(fā)送更新通知給相應(yīng)的用戶,使更改生效。
      (4)、定時(shí)器操作主要用來更新組播組的組密鑰;認(rèn)證中心子系統(tǒng)每隔一段時(shí)間,將生成新的組密鑰,并通知組播用戶重新認(rèn)證來更新組密鑰,這樣一方面可以更新組播組使用的組密鑰,保證通信的安全,另一方面由于退出組播組的用戶將不會(huì)進(jìn)行更新,使得管理員能夠確定當(dāng)前的組播組成員狀況;c、結(jié)束。
      所述步驟C、D由客戶子系統(tǒng)完成的;所述客戶子系統(tǒng)由認(rèn)證請(qǐng)求、安全傳輸和源認(rèn)證三個(gè)模塊組成;所述認(rèn)證請(qǐng)求模塊主要用來和公鑰中心進(jìn)行雙向認(rèn)證,獲取客戶的授權(quán)信息,它包括以下步驟(1)、接收用戶信息,向認(rèn)證中心發(fā)送認(rèn)證信息和用戶的公鑰信息;(2)、接收授權(quán)信息,然后將其傳給安全傳輸模塊;所述客戶認(rèn)證請(qǐng)求模塊同時(shí)承擔(dān)兩個(gè)角色,一個(gè)是作為認(rèn)證中心子系統(tǒng)的客戶端,另一個(gè)是作為安全傳輸模塊的密鑰提供者;通過客戶認(rèn)證請(qǐng)求模塊與認(rèn)證中心子系統(tǒng)之間的交互,成功得到認(rèn)證的客戶程序可以獲得它所申請(qǐng)的特定組播組的傳輸密鑰,以用來加密和解密組播數(shù)據(jù);所述安全傳輸模塊主要實(shí)現(xiàn)組播信息的加/解密和傳輸,它包括以下步驟(1)、準(zhǔn)確有效地傳輸組播信息;(2)、對(duì)傳輸?shù)慕M播信息進(jìn)行加密和解密處理,保證組播信息的機(jī)密性和完整性;
      所述源認(rèn)證模塊是實(shí)現(xiàn)對(duì)接收到的組播信息進(jìn)行源認(rèn)證,驗(yàn)證接收到的信息是否是其聲稱的發(fā)送者發(fā)送的信息,它包括以下步驟(1)、對(duì)發(fā)送的組播信息進(jìn)行簽名;(2)、對(duì)收到的組播信息進(jìn)行源認(rèn)證。
      所述步驟F由監(jiān)控中心子系統(tǒng)完成,它包括以下步驟(1)、監(jiān)控中心子系統(tǒng)啟動(dòng)后,首先進(jìn)行初始化;(2)、判斷所要處理的操作類型(a)、如果是用戶指令,則接受用戶的指令,并根據(jù)指令顯示相應(yīng)的信息;如果不是,則執(zhí)行下一個(gè)判斷;(b)、判斷是否是認(rèn)證授權(quán)信息,該信息由認(rèn)證中心子系統(tǒng)發(fā)送,如果是,則接收該認(rèn)證授權(quán)信息,并對(duì)接收的用戶認(rèn)證授權(quán)信息進(jìn)行統(tǒng)計(jì)分析,記錄日志,在需要進(jìn)行控制的情況下,根據(jù)預(yù)定的規(guī)則產(chǎn)生控制信息,然后發(fā)送給認(rèn)證中心子系統(tǒng),結(jié)束;如果不是認(rèn)證授權(quán)信息,則執(zhí)行下一個(gè)判斷;(c)、判斷是否是認(rèn)證組播信息,如果是,監(jiān)控中心子系統(tǒng)將根據(jù)需要,加入每一個(gè)組播組,向認(rèn)證中心子系統(tǒng)請(qǐng)求相應(yīng)的組密鑰和授權(quán),然后偵聽組播信息,進(jìn)行統(tǒng)計(jì)分析,并記錄日志,當(dāng)發(fā)生異常情況時(shí),根據(jù)預(yù)定的規(guī)則產(chǎn)生控制信息,然后發(fā)送給認(rèn)證中心子系統(tǒng),結(jié)束;如果不是認(rèn)證組播信息,則執(zhí)行下一步;(d)、定時(shí)器操作更新顯示系統(tǒng)狀況,如組成員的在線情況,組成員發(fā)送數(shù)據(jù)的速率等等;(3)、結(jié)束。
      本發(fā)明的有益效果是1、監(jiān)控中心子系統(tǒng)和認(rèn)證中心子系統(tǒng)實(shí)現(xiàn)了對(duì)組播組的實(shí)時(shí)監(jiān)控和有效管理,能夠有效檢測(cè)組播組中的異常信息。
      2、對(duì)組播通信中的內(nèi)容進(jìn)行組播校驗(yàn)和簽名,防止了非法篡改,保證了組播信息的完整性,從而有效的防御欺詐、非授權(quán)產(chǎn)生、偽造篡改包等常見攻擊。
      3、在組播通訊過程中對(duì)通信內(nèi)容進(jìn)行加密,并可選擇多種對(duì)稱加密算法,保證了組播信息的機(jī)密性,增強(qiáng)了系統(tǒng)的抗攻擊性。
      4、監(jiān)控中心子系統(tǒng)能夠?qū)νㄐ胚^程中的信息進(jìn)行統(tǒng)計(jì)分析,根據(jù)預(yù)定的規(guī)則,形成聯(lián)動(dòng)控制信息,作出必要的響應(yīng)。
      5、認(rèn)證中心子系統(tǒng)對(duì)客戶進(jìn)行認(rèn)證時(shí),具有限定用戶使用的IP地址,限定用戶的發(fā)送或接收權(quán)限等控制功能,監(jiān)控中心子系統(tǒng)通過與認(rèn)證中心子系統(tǒng)聯(lián)動(dòng),對(duì)組播組成員的行為進(jìn)行限制。


      圖1為本發(fā)明安全組播管理系統(tǒng)系統(tǒng)結(jié)構(gòu)示意2為本發(fā)明實(shí)現(xiàn)安全組播管理的程序框3為本發(fā)明用戶子系統(tǒng)工作流程4為本發(fā)明認(rèn)證中心子系統(tǒng)工作流程5為本發(fā)明公鑰中心子系統(tǒng)工作流程6為本發(fā)明客戶子系統(tǒng)工作流程7為本發(fā)明監(jiān)控中心子系統(tǒng)工作流程圖具體實(shí)施方式
      下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明作進(jìn)一步詳細(xì)的描述。
      本發(fā)明作為組播通信的管理方,在組播通信前,對(duì)組播使用環(huán)境進(jìn)行配置,對(duì)通信各方進(jìn)行初始化;在組播用戶之間進(jìn)行通信時(shí),首先對(duì)組播成員進(jìn)行身份認(rèn)證和授權(quán);在組播通信過程中,對(duì)組播用戶發(fā)送的信息進(jìn)行加密和簽名,對(duì)接收到的用戶組播信息進(jìn)行解密和源認(rèn)證;在組播通信過程中,還實(shí)時(shí)對(duì)組播通訊過程進(jìn)行監(jiān)測(cè)與分析。如圖1所示,本發(fā)明對(duì)組播通訊進(jìn)行管理,實(shí)現(xiàn)安全組播的安全組播通信系統(tǒng)由用戶子系統(tǒng)、認(rèn)證中心子系統(tǒng)、公鑰中心子系統(tǒng)、客戶子系統(tǒng)和監(jiān)控子系統(tǒng)五個(gè)部分組成,其中,客戶子系統(tǒng)又由客戶認(rèn)證請(qǐng)求、安全傳輸和源認(rèn)證三個(gè)模塊組成,各部分之間的相互關(guān)系如圖1所示。用戶子系統(tǒng)主要完成配置組播使用環(huán)境、初始化通信各方,如為每個(gè)通信成員和各子系統(tǒng)管理員生成各自的公/私鑰對(duì)、認(rèn)證授權(quán)文件、為系統(tǒng)的各組播組生成通信密鑰,并授予通信成員相應(yīng)的權(quán)限。認(rèn)證中心子系統(tǒng)用來對(duì)組播信息傳輸過程中使用的通信密鑰進(jìn)行管理和更新??蛻糇酉到y(tǒng)則完成對(duì)組播用戶發(fā)送的信息進(jìn)行加密、解密和簽名處理,并結(jié)合公鑰中心子系統(tǒng)完成對(duì)組播信息的源認(rèn)證。公鑰中心子系統(tǒng)主要用來存儲(chǔ)認(rèn)證中心發(fā)送的用戶公鑰并接收客戶提出的公鑰請(qǐng)求,發(fā)送相應(yīng)的用戶公鑰。監(jiān)控中心子系統(tǒng)主要完成實(shí)時(shí)收集與記錄在組播通信過程中通信各方的數(shù)據(jù),監(jiān)控通信狀況和網(wǎng)絡(luò)資源,及時(shí)顯示通信各方的狀態(tài)。
      圖2為本發(fā)明安全組播管理系統(tǒng)實(shí)現(xiàn)安全組播管理的程序框圖。如圖所示,本發(fā)明實(shí)現(xiàn)安全組播管理的方法包括以下步驟1、在組播通信前,對(duì)組播通信的各方進(jìn)行初始化,配置組播使用環(huán)境為系統(tǒng)各通信成員生成各自的公/私鑰對(duì),認(rèn)證授權(quán)文件,生成通信時(shí)的密鑰,為各通信成員分配授權(quán)權(quán)限(發(fā)送、接收)
      2、在組播通信過程中,為通信各方更新/分發(fā)組播通信密鑰;3、對(duì)組播用戶發(fā)送的信息進(jìn)行加密和簽名;4、對(duì)接收到的用戶組播信息進(jìn)行解密和源認(rèn)證,使得每個(gè)組成員對(duì)接收的組播信息能夠驗(yàn)證該信息是否為其聲稱的發(fā)送者發(fā)送的5、如果所發(fā)送的組播信息是聲稱的發(fā)送者發(fā)送的,就進(jìn)行正常的數(shù)據(jù)傳輸;如果不是,則濾取該組數(shù)據(jù);6、在組播通信過程中,實(shí)時(shí)收集和記錄通信各方的數(shù)據(jù),監(jiān)控通信狀況和網(wǎng)絡(luò)資源,及時(shí)發(fā)現(xiàn)異常情況,并做出相應(yīng)的處理。
      本發(fā)明實(shí)現(xiàn)安全組播的過程如下首先,用戶子系統(tǒng)對(duì)系統(tǒng)進(jìn)行初始化,為系統(tǒng)各用戶生成公/私鑰對(duì),生成通信時(shí)的密鑰,為各通信成員分配發(fā)送和/或接收權(quán)限。然后,將公/私鑰對(duì)分發(fā)給各通信成員和各子系統(tǒng)管理員后,各通信成員即開始進(jìn)行通信。
      在通信過程中,各通信成員首先與認(rèn)證中心進(jìn)行身份認(rèn)證,獲取相應(yīng)的組通信密鑰,通信成員對(duì)組播信息進(jìn)行加密并簽名后發(fā)送出去;通信成員接收到組播數(shù)據(jù)時(shí),進(jìn)行解密和源認(rèn)證,確定數(shù)據(jù)的發(fā)送端是否是其聲稱的發(fā)送者發(fā)送的,獲取組播信息的內(nèi)容,完成整個(gè)通信過程。
      同時(shí),在組播通信過程中,監(jiān)控中心子系統(tǒng)監(jiān)視用戶的登陸情況,如用戶登陸的時(shí)間,登陸時(shí)的IP地址等,并作為一個(gè)特殊的通信成員加入到每一個(gè)組播組,接收組播數(shù)據(jù),并對(duì)接收到的組播數(shù)據(jù)進(jìn)行解密和源認(rèn)證,監(jiān)視組播通信的狀況,記錄組播數(shù)據(jù)的發(fā)送時(shí)間、發(fā)送端等,對(duì)其中的異常狀況,如解密組播傳輸信息失敗,組播組成員越權(quán)發(fā)送信息等,根據(jù)需要,產(chǎn)生相應(yīng)的動(dòng)作信息(如通知組成員重新認(rèn)證,更改某組成員的權(quán)限,將某成員清除出組播組等),發(fā)送給認(rèn)證中心。
      下面分別介紹各子系統(tǒng)的功能和工作流程,對(duì)本發(fā)明作進(jìn)一步說明。
      (1)用戶子系統(tǒng)用戶子系統(tǒng)主要完成上述安全組播管理方法中的步驟1。在組播通信前,用戶子系統(tǒng)為每個(gè)通信成員和各子系統(tǒng)管理員生成各自的公/私鑰對(duì),以及認(rèn)證授權(quán)文件等,同時(shí),用戶系統(tǒng)還要為系統(tǒng)的各組播組生成通信密鑰,并授予通信成員相應(yīng)的權(quán)限如發(fā)送權(quán)限和/或接收權(quán)限等。
      用戶子系統(tǒng)的工作流程圖如圖3所示1、用戶子系統(tǒng)啟動(dòng)后,接收管理員輸入的信息;2、根據(jù)管理員輸入的口令,從本地存儲(chǔ)的公私鑰環(huán)文件中讀出管理員的公/私鑰;3、根據(jù)管理員要進(jìn)行的操作類型執(zhí)行相應(yīng)的動(dòng)作既管理員可以根據(jù)需要為系統(tǒng)生成新用戶或給指定的用戶分配組密鑰和權(quán)限如果是生成新用戶,首先為用戶生成該用戶的公/私鑰對(duì),并從生成的公私鑰環(huán)文件中讀出該用戶的ID,然后接收用戶信息、用戶的認(rèn)證口令等內(nèi)容,并根據(jù)輸入的認(rèn)證口令,生成其hash值,作為該用戶的認(rèn)證憑據(jù)保存在系統(tǒng)的認(rèn)證授權(quán)文件中如果是給已注冊(cè)的用戶授權(quán),就給指定的用戶分配相應(yīng)的密鑰和權(quán)限;密鑰的生成可以使用手工輸入、拷貝其他用戶的組密鑰以及隨機(jī)生成三種方式,而用戶的權(quán)限則分為五種權(quán)限●只發(fā)只能發(fā)送組播信息而不能接收;●只收只能接收組播信息而不能發(fā)送;●收發(fā)即能發(fā)送組播信息也能接收組播信息;●公鑰中心即用戶授權(quán)為公鑰中心的管理員;●監(jiān)控中心即用戶授權(quán)為監(jiān)控中心的管理員;用戶的組密鑰和權(quán)限信息將被保存在系統(tǒng)的認(rèn)證授權(quán)文件中;4、用戶子系統(tǒng)將生成的用戶公/私鑰和ID號(hào)分發(fā)給各個(gè)用戶,同時(shí),將系統(tǒng)認(rèn)證和授權(quán)文件發(fā)送給認(rèn)證中心;5、結(jié)束。
      用戶子系統(tǒng)生成的用戶公私鑰環(huán)文件中保存著用戶的ID號(hào)和公私鑰,需要通過安全的方式(如人工方式)分發(fā)給各個(gè)用戶,而生成的系統(tǒng)認(rèn)證和授權(quán)文件則需要通過安全的方式發(fā)給認(rèn)證中心。
      (2)認(rèn)證中心子系統(tǒng)認(rèn)證中心子系統(tǒng)主要用來對(duì)組播信息傳輸中使用的通信密鑰進(jìn)行管理和更新,它主要完成如下功能1、接收用戶認(rèn)證信息,如果認(rèn)證通過,則用收到的用戶公鑰將授權(quán)信息加密,并發(fā)送給客戶認(rèn)證請(qǐng)求模塊。
      2、向公鑰中心發(fā)送用戶公鑰及授權(quán)信息。
      3、根據(jù)接收到的控制聯(lián)動(dòng)信息決定發(fā)出重新授權(quán)信息。
      4、將用戶認(rèn)證、授權(quán)等信息向組播監(jiān)控中心子系統(tǒng)發(fā)送,包括用戶名、登錄時(shí)間、登錄時(shí)的IP地址、加入的組播組地址以及用戶的收發(fā)權(quán)限。
      如圖4所示,認(rèn)證中心子系統(tǒng)啟動(dòng)后,首先進(jìn)行初始化工作,然后處理三種請(qǐng)求和一個(gè)定時(shí)器消息,其工作流程圖1、如果是組播客戶加入組播組時(shí)提出的認(rèn)證請(qǐng)求,認(rèn)證中心子系統(tǒng)接受組播客戶提出的密鑰請(qǐng)求后,首先驗(yàn)證組客戶的身份,然后根據(jù)系統(tǒng)的授權(quán)(如組播信息的發(fā)送權(quán),接收權(quán)等)信息,將該組播客戶的組密鑰和相應(yīng)的授權(quán)信息發(fā)送給組播客戶。然后,認(rèn)證中心子系統(tǒng)將用戶的公鑰發(fā)送給公鑰中心子系統(tǒng)。最后,認(rèn)證中心子系統(tǒng)將向監(jiān)控中心發(fā)送組播組成員的認(rèn)證、授權(quán)狀況等信息,如組播組成員的用戶名、權(quán)限、加入組播組時(shí)的時(shí)間、IP地址以及申請(qǐng)加入的組播組地址等。
      2、如果是授權(quán)更改請(qǐng)求該請(qǐng)求是在組監(jiān)控中心發(fā)現(xiàn)異常情況時(shí),根據(jù)一定的規(guī)則發(fā)出的。認(rèn)證中心子系統(tǒng)將根據(jù)接收到的指令,更新相應(yīng)用戶的授權(quán)信息,并發(fā)送更新通知給相應(yīng)的用戶,使更改生效。
      3、如果是管理請(qǐng)求該請(qǐng)求由組播組管理員發(fā)出,主要是為了方便管理員對(duì)組播通信系統(tǒng)的管理。管理員可以發(fā)送指令察看或更改當(dāng)前的用戶授權(quán)、組密鑰等信息,如果管理員更改了用戶的授權(quán)信息,認(rèn)證中心子系統(tǒng)發(fā)送更新通知給相應(yīng)的用戶,使更改生效。
      4、定時(shí)器定時(shí)器主要用來更新組播組的密鑰。隔一段時(shí)間后,認(rèn)證中心將生成新的組密鑰,并通知組播用戶重新認(rèn)證來更新組密鑰,這樣一方面可以更新組播組使用的組密鑰,保證通信的安全,另一方面由于退出組播組的用戶將不會(huì)進(jìn)行更新,使得管理員能夠確定當(dāng)前的組播組成員狀況。
      (3)公鑰中心子系統(tǒng)公鑰中心主要用來存儲(chǔ)認(rèn)證中心發(fā)送的用戶公鑰并接收客戶提出的公鑰請(qǐng)求,發(fā)送相應(yīng)的用戶公鑰。公鑰中心子系統(tǒng)的工作流程圖如圖5所示,認(rèn)證中心子系統(tǒng)啟動(dòng)后,首先進(jìn)行初始化工作,然后于認(rèn)證中心子系統(tǒng)進(jìn)行認(rèn)證,然后處理兩種操作類型請(qǐng)求1、公鑰更新請(qǐng)求接收認(rèn)證中心發(fā)送的用戶公鑰并存儲(chǔ)起來,以便為其他用戶提供。
      2、公鑰請(qǐng)求接收用戶發(fā)送的公鑰請(qǐng)求,查找相應(yīng)的公鑰并發(fā)送給用戶。
      (4)客戶子系統(tǒng)客戶子系統(tǒng)以動(dòng)態(tài)鏈接庫(kù)形式嵌入用戶應(yīng)用程序的組播通信部分,當(dāng)用戶通過組播收/發(fā)消息之際觸發(fā)客戶子系統(tǒng)與認(rèn)證中心進(jìn)行雙向身份認(rèn)證,獲得組播通信授權(quán),客戶子系統(tǒng)使用所獲取的通信密鑰,將消息加密或解密,并進(jìn)行簽名或源鑒別。認(rèn)證中心在通過與客戶子系統(tǒng)的認(rèn)證后,會(huì)將該客戶的公鑰發(fā)送給公鑰中心,而客戶子系統(tǒng)在源鑒別過程中需要的公鑰則從公鑰中心獲取。客戶子系統(tǒng)的工作流程如圖6所示,客戶子系統(tǒng)初始化后,判斷監(jiān)聽的信息的類別;1、如果是組播組信息該請(qǐng)求由組播客戶加入組播組進(jìn)行通信時(shí)發(fā)出,客戶子系統(tǒng)接受客戶提出的請(qǐng)求后,首先與認(rèn)證中心子系統(tǒng)進(jìn)行認(rèn)證,獲取相應(yīng)的組密鑰和授權(quán),然后,根據(jù)組授權(quán)和組密鑰,對(duì)發(fā)送的組播信息進(jìn)行加密和簽名,對(duì)接收的組播信息進(jìn)行解密和源認(rèn)證以確定接收組播信息的信息源。
      2、如果是更新組播組組密鑰通知該通知認(rèn)證中心子系統(tǒng)發(fā)出,客戶子系統(tǒng)接收該通知后將與認(rèn)證中心子系統(tǒng)進(jìn)行認(rèn)證,獲取新的組密鑰和組授權(quán)。
      客戶子系統(tǒng)由認(rèn)證請(qǐng)求、安全傳輸和源認(rèn)證三個(gè)模塊組成,來完成上述的操作。其中認(rèn)證請(qǐng)求模塊主要用來和公鑰中心進(jìn)行雙向認(rèn)證,獲取客戶的授權(quán)信息,其具體功能為1、接收用戶信息,向認(rèn)證中心發(fā)送認(rèn)證信息和用戶的公鑰信息;2、接收授權(quán)信息,然后將其傳給安全傳輸模塊。所以客戶認(rèn)證請(qǐng)求模塊同時(shí)承擔(dān)兩個(gè)角色,一個(gè)是作為認(rèn)證中心子系統(tǒng)的客戶端,另一個(gè)是作為安全傳輸模塊的密鑰提供者。通過客戶認(rèn)證請(qǐng)求模塊與認(rèn)證中心子系統(tǒng)之間的交互,成功得到認(rèn)證的客戶程序可以獲得它所申請(qǐng)的特定組播組的傳輸密鑰,以用來加密和解密組播數(shù)據(jù)。
      安全傳輸模塊主要實(shí)現(xiàn)組播信息的加解密和傳輸,其具體功能為1、準(zhǔn)確有效地傳輸組播信息。
      2、對(duì)傳輸?shù)慕M播信息進(jìn)行加解密,保證組播信息的機(jī)密性和完整性。目前階段共提供了三種對(duì)稱密鑰加密算法DES加密,RC5加密和IDEA加密。加密時(shí),根據(jù)授權(quán)信息中指定的加密算法和密鑰對(duì)要傳輸?shù)男畔⑦M(jìn)行加密運(yùn)算;解密時(shí)則根據(jù)授權(quán)信息中指定的加密算法和密鑰對(duì)接收到的信息進(jìn)行解密運(yùn)算。
      源認(rèn)證模塊是實(shí)現(xiàn)對(duì)接收到的組播信息能夠驗(yàn)證其聲稱的發(fā)送者,提供信息的不可否認(rèn)性。其具體功能和執(zhí)行過程為1、對(duì)發(fā)送的組播信息進(jìn)行簽名。即對(duì)要傳輸?shù)男畔⒉捎肕D5算法生成摘要,然后對(duì)生成的摘要,采用RSA算法用用戶自己的私鑰進(jìn)行加密運(yùn)算,生成用戶的簽名信息,然后和用戶要傳輸?shù)男畔⒁黄饌鬏敗?br> 2、對(duì)收到的組播信息進(jìn)行源認(rèn)證。即根據(jù)接收到的組播信息聲稱的發(fā)送者,向公鑰中心子系統(tǒng)申請(qǐng)?jiān)撚脩舻墓€,使用公鑰中心提供的用戶公鑰用RSA算法對(duì)組播信息中的用戶的簽名信息進(jìn)行解密,如果解簽名成功,則接收到的信息是其聲稱的發(fā)送者發(fā)送的信息,若不成功則該信息是偽造的,源認(rèn)證失敗。。
      用戶啟動(dòng)應(yīng)用客戶子系統(tǒng)之初,其應(yīng)用程序必須調(diào)用安全傳輸?shù)目蛻羯矸菡J(rèn)證初始例程并回答通信成員公鑰密碼體系的用戶名/口令串及身份認(rèn)證口令,以獲得用戶公鑰/私鑰和身份認(rèn)證標(biāo)識(shí)字。除此之外,通信中的認(rèn)證請(qǐng)求、身份認(rèn)證、通信授權(quán)和安全傳輸過程對(duì)用戶而言均為透明的。
      (5)監(jiān)控中心子系統(tǒng)監(jiān)控中心子系統(tǒng)根據(jù)認(rèn)證授權(quán)中心提供的用戶認(rèn)證授權(quán)信息以及組播安全系統(tǒng)內(nèi)組播信息數(shù)據(jù)流,提供以下的信息給組播控制模塊,根據(jù)組播監(jiān)視提供的信息,根據(jù)一定的控制策略,給出應(yīng)執(zhí)行的動(dòng)作,并傳遞給認(rèn)證中心或系統(tǒng)管理員,從而實(shí)現(xiàn)對(duì)整個(gè)組播的控制。其具體功能為1、對(duì)接收到的用戶認(rèn)證授權(quán)信息,進(jìn)行統(tǒng)計(jì)形成一個(gè)組播信息表。用戶登錄信息包括用戶ID、IP地址、登錄時(shí)間和收發(fā)的權(quán)限。授權(quán)信息包括組播組的建立、撤銷、組員加入退出等。
      2、對(duì)接收到的組播統(tǒng)計(jì)信息進(jìn)行分析,形成一個(gè)組播統(tǒng)計(jì)信息表。對(duì)此過程和用戶登錄授權(quán)信息中的錯(cuò)誤信息,進(jìn)行分析處理形成聯(lián)動(dòng)控制信息,發(fā)給認(rèn)證中心。對(duì)發(fā)現(xiàn)的異常組播信息,如源認(rèn)證不通過、解密信息不正常,通知組播控制模塊。將用戶認(rèn)證授權(quán)情況傳輸給組播日志模塊。顯示異常源分析情況、解密異常情況、數(shù)據(jù)流量統(tǒng)計(jì)、讀寫越權(quán)、組狀況信息。當(dāng)解密不通過、讀寫權(quán)限與發(fā)送信息不一致、IP與用戶綁定不一致取時(shí),告知認(rèn)證中心取消組播組成員的權(quán)限。
      3、將分析的各種信息進(jìn)行顯示。
      4、將用戶登錄信息,組播信息和控制聯(lián)動(dòng)信息都寫入日志。
      監(jiān)控中心子系統(tǒng)的工作流程圖如圖7所示,監(jiān)控中心子系統(tǒng)啟動(dòng)后,首先進(jìn)行初始化,然后處理三種類型的信息和一個(gè)定時(shí)器信息1、用戶指令接受用戶的指令,并根據(jù)指令顯示相應(yīng)的信息。
      2、認(rèn)證授權(quán)信息該信息由認(rèn)證中心子系統(tǒng)發(fā)送,監(jiān)控中心子系統(tǒng)對(duì)接收到用戶認(rèn)證授權(quán)信息進(jìn)行統(tǒng)計(jì)分析,并記錄日志,在需要進(jìn)行控制的情況下,根據(jù)預(yù)定的規(guī)則產(chǎn)生控制信息,然后發(fā)送給認(rèn)證中心子系統(tǒng)。
      3、組播信息監(jiān)控中心子系統(tǒng)將根據(jù)需要,加入每一個(gè)組播組,向認(rèn)證中心子系統(tǒng)請(qǐng)求相應(yīng)的組密鑰和授權(quán),然后偵聽組播信息,進(jìn)行統(tǒng)計(jì)分析,并記錄日志,當(dāng)發(fā)現(xiàn)異常情況時(shí),根據(jù)預(yù)定的規(guī)則產(chǎn)生控制信息,然后發(fā)送給認(rèn)證中心子系統(tǒng),目前系統(tǒng)處理的異常情況和相應(yīng)的控制信息如下a)源認(rèn)證失敗顯示該異常信息,并記入日志。
      b)源認(rèn)證成功,解密組播信息失敗顯示該異常信息,并記入日志。同時(shí),發(fā)送控制信息給認(rèn)證中心子系統(tǒng),通知該用戶重新認(rèn)證,獲取授權(quán)。
      c)源認(rèn)證、解密組播信息都成功,但該用戶沒有發(fā)送權(quán)限顯示該異常信息,并記入日志。同時(shí),發(fā)送控制信息給認(rèn)證中心子系統(tǒng),取消該用戶的授權(quán)。
      d)用戶認(rèn)證和發(fā)送組播時(shí)使用的IP地址不相同顯示該異常信息,并記入日志。同時(shí),發(fā)送控制信息給認(rèn)證中心子系統(tǒng),通知該用戶重新認(rèn)證,獲取授權(quán)。
      4、定時(shí)器定時(shí)器主要用來更新顯示的系統(tǒng)狀況,如組成員的在線情況,組成員發(fā)送數(shù)據(jù)的速率等等。
      監(jiān)控中心子系統(tǒng)記錄了4種類型的日志,日志主要內(nèi)容如下1、用戶認(rèn)證授權(quán)記錄,其中包括用戶名、登錄時(shí)間、登錄時(shí)的IP地址、參加的組播組和收發(fā)的權(quán)限。
      2、組播組信息,其中包括組播組的數(shù)目、組播組的成員、權(quán)限。
      3、組播數(shù)據(jù)流信息,其中包括發(fā)送者、目的組播組地址、發(fā)送時(shí)間、發(fā)送主機(jī)的IP地址。
      4、控制信息,其中包括組播組成員、被取消的權(quán)限原因。這些內(nèi)容為日后的評(píng)估分析提供了依據(jù)。
      本發(fā)明公開的安全組播管理方法以動(dòng)態(tài)鏈接庫(kù)形式嵌入組播通信應(yīng)用程序中,在通信過程中除回答通信成員公鑰密碼體系的用戶名/口令及身份認(rèn)證口令,以獲得用戶公鑰/私鑰和身份認(rèn)證標(biāo)識(shí)字之外,其它的認(rèn)證請(qǐng)求、身份認(rèn)證、通信授權(quán)和安全傳輸?shù)冗^程對(duì)用戶而言均為透明的。
      以上所述僅為本發(fā)明的較佳實(shí)施例,本發(fā)明的保護(hù)范圍并不局限于此。任何基于本發(fā)明技術(shù)方案上的等效變換均屬于本發(fā)明保護(hù)范圍之內(nèi)。
      權(quán)利要求
      1.一種安全組播管理系統(tǒng),其特征在于它主要由彼此相互連接的用戶子系統(tǒng)、認(rèn)證中心子系統(tǒng)、公鑰中心子系統(tǒng)、客戶子系統(tǒng)和監(jiān)控中心子系統(tǒng)五個(gè)部分組成;所述用戶子系統(tǒng)主要完成配置組播使用環(huán)境、初始化通信各方的信息,為每個(gè)通信成員和各子系統(tǒng)管理員生成各自的公/私鑰對(duì)、認(rèn)證授權(quán)文件、為系統(tǒng)的各組播組生成通信組密鑰,并授予通信成員相應(yīng)的權(quán)限;所述認(rèn)證中心子系統(tǒng)用來對(duì)組播信息傳輸中使用的通信密鑰進(jìn)行管理、更新和分發(fā);所述公鑰中心子系統(tǒng)主要用來存儲(chǔ)認(rèn)證中心發(fā)送的用戶公鑰并接收客戶提出的公鑰請(qǐng)求,發(fā)送相應(yīng)的用戶公鑰;所述客戶子系統(tǒng)完成對(duì)組播用戶發(fā)送的信息進(jìn)行加密、解密和簽名處理,并結(jié)合公鑰中心子系統(tǒng)完成對(duì)組播信息的源認(rèn)證;所述監(jiān)控中心子系統(tǒng)主要完成實(shí)時(shí)收集與記錄在組播通信過程中通信各方的數(shù)據(jù),監(jiān)控通信狀況和網(wǎng)絡(luò)資源,及時(shí)顯示通信各方的狀態(tài)。
      2.根據(jù)權(quán)利要求1所述的安全組播管理系統(tǒng),其特征在于所述客戶子系統(tǒng)由客戶認(rèn)證請(qǐng)求、安全傳輸和源認(rèn)證三個(gè)模塊組成;所述客戶認(rèn)證請(qǐng)求模塊主要用來和公鑰中心子系統(tǒng)進(jìn)行雙向認(rèn)證,獲取客戶的授權(quán)信息;所述安全傳輸模塊主要完成對(duì)組播信息的加密、簽名和傳輸;所述源認(rèn)證模塊主要完成對(duì)收到的組播信息,根據(jù)所述公鑰中心子系統(tǒng)提供的發(fā)送者的公鑰,進(jìn)行源認(rèn)證,驗(yàn)證是否是其聲稱的發(fā)送者發(fā)送的。
      3.一種安全組播管理方法,其特征在于該方法包含以下步驟A、在組播通信前,對(duì)組播通信的各方進(jìn)行初始化,配置組播使用環(huán)境為系統(tǒng)各通信成員生成各自的公/私鑰對(duì),認(rèn)證授權(quán)文件,生成通信時(shí)的密鑰,為各通信成員分配授權(quán)權(quán)限(發(fā)送、接收)B、在組播通信過程中,為通信各方更新/分發(fā)組播通信密鑰;C、對(duì)組播用戶發(fā)送的信息進(jìn)行加密和簽名;D、對(duì)接收到的用戶組播信息進(jìn)行解密和源認(rèn)證,使得每個(gè)組成員對(duì)接收的組播信息能夠驗(yàn)證該信息是否為其聲稱的發(fā)送者發(fā)送的E、如果所發(fā)送的組播信息是聲稱的發(fā)送者發(fā)送的,就進(jìn)行正常的數(shù)據(jù)傳輸;如果不是,則濾取該組數(shù)據(jù);F、在組播通信過程中,實(shí)時(shí)收集和記錄通信各方的數(shù)據(jù),監(jiān)控通信狀況和網(wǎng)絡(luò)資源,及時(shí)發(fā)現(xiàn)異常情況,并做出相應(yīng)的處理。
      4.根據(jù)權(quán)利要求3所述的一種安全組播管理方法,其特征在于所述步驟A由用戶子系統(tǒng)完成,它包括以下步驟a、用戶子系統(tǒng)啟動(dòng)后,接收管理員輸入的信息;b、根據(jù)管理員輸入的口令,從本地存儲(chǔ)的公私鑰環(huán)文件中讀出管理員的公/私鑰;c、根據(jù)管理員要進(jìn)行的操作類型執(zhí)行相應(yīng)的動(dòng)作既管理員可以根據(jù)需要為系統(tǒng)生成新用戶或給指定的用戶分配組密鑰和權(quán)限如果是生成新用戶,首先為用戶生成該用戶的公/私鑰對(duì),并從生成的公私鑰環(huán)文件中讀出該用戶的ID,然后接收用戶信息、用戶的認(rèn)證口令等內(nèi)容,并根據(jù)輸入的認(rèn)證口令,生成其hash值,作為該用戶的認(rèn)證憑據(jù)保存在系統(tǒng)的認(rèn)證授權(quán)文件中;如果是給已注冊(cè)的用戶授權(quán),就給指定的用戶分配相應(yīng)的組密鑰和權(quán)限;組密鑰的生成可以使用手工輸入、拷貝其他用戶的組密鑰以及隨機(jī)生成三種方式,而用戶的權(quán)限則分為五種權(quán)限●只發(fā)只能發(fā)送組播信息而不能接收;●只收只能接收組播信息而不能發(fā)送;●收發(fā)即能發(fā)送組播信息也能接收組播信息;●公鑰中心即用戶授權(quán)為公鑰中心的管理員;●監(jiān)控中心即用戶授權(quán)為監(jiān)控中心的管理員;用戶的組密鑰和權(quán)限信息將被保存在系統(tǒng)的認(rèn)證授權(quán)文件中。d、用戶子系統(tǒng)將生成的用戶公/私鑰和ID號(hào)分發(fā)給各個(gè)用戶,同時(shí),將系統(tǒng)認(rèn)證和授權(quán)文件發(fā)送給認(rèn)證中心;e、判斷管理員的操作是否完成,如果完成,結(jié)束;如果沒有完成,則返回步驟c。
      5.根據(jù)權(quán)利要求3所述的一種安全組播管理方法,其特征在于所述步驟B中的為通信各方更新/分發(fā)組播通信密鑰由認(rèn)證中心子系統(tǒng)完成,它包括以下步驟a、認(rèn)證中心子系統(tǒng)啟動(dòng)后,首先,進(jìn)行初始化工作;b、然后,處理三種請(qǐng)求和一個(gè)定時(shí)器操作,其工作流程圖(1)、如果是組播客戶加入組播組時(shí)提出的認(rèn)證請(qǐng)求,認(rèn)證中心子系統(tǒng)接受組播客戶提出的組密鑰請(qǐng)求后,首先驗(yàn)證組客戶的身份,然后根據(jù)系統(tǒng)的授權(quán)(如組播信息的發(fā)送權(quán),接收權(quán)等)信息,將該組播客戶的組密鑰和相應(yīng)的授權(quán)信息發(fā)送給組播客戶;認(rèn)證中心子系統(tǒng)將用戶的公鑰發(fā)送給公鑰中心子系統(tǒng);最后,認(rèn)證中心子系統(tǒng)將向監(jiān)控中心發(fā)送組播組成員的認(rèn)證、授權(quán)狀況等信息,如組播組成員的用戶名、權(quán)限、加入組播組時(shí)的時(shí)間、IP地址以及申請(qǐng)加入的組播組地址等;(2)、如果是授權(quán)更改請(qǐng)求該請(qǐng)求是在組監(jiān)控中心發(fā)現(xiàn)異常情況時(shí),根據(jù)一定的規(guī)則發(fā)出的。認(rèn)證中心子系統(tǒng)將根據(jù)接收到的指令,更新相應(yīng)用戶的授權(quán)信息,并發(fā)送更新通知給相應(yīng)的用戶,使更改生效;(3)、如果是管理請(qǐng)求該請(qǐng)求由組播組管理員發(fā)出,主要是為了方便管理員對(duì)組播通信系統(tǒng)的管理;管理員可以發(fā)送指令察看或更改當(dāng)前的用戶授權(quán)、組密鑰等信息,如果管理員更改了用戶的授權(quán)信息,認(rèn)證中心子系統(tǒng)發(fā)送更新通知給相應(yīng)的用戶,使更改生效。(4)、定時(shí)器操作主要用來更新組播組的組密鑰;認(rèn)證中心子系統(tǒng)每隔一段時(shí)間,將生成新的組密鑰,并通知組播用戶重新認(rèn)證來更新組密鑰,這樣一方面可以更新組播組使用的組密鑰,保證通信的安全,另一方面由于退出組播組的用戶將不會(huì)進(jìn)行更新,使得管理員能夠確定當(dāng)前的組播組成員狀況;c、結(jié)束。
      6.根據(jù)權(quán)利要求3所述的一種安全組播管理方法,其特征在于所述步驟C、D由客戶子系統(tǒng)完成的;所述客戶子系統(tǒng)由認(rèn)證請(qǐng)求、安全傳輸和源認(rèn)證三個(gè)模塊組成;所述認(rèn)證請(qǐng)求模塊主要用來和公鑰中心進(jìn)行雙向認(rèn)證,獲取客戶的授權(quán)信息,它包括以下步驟(1)、接收用戶信息,向認(rèn)證中心發(fā)送認(rèn)證信息和用戶的公鑰信息;(2)、接收授權(quán)信息,然后將其傳給安全傳輸模塊;所以客戶認(rèn)證請(qǐng)求模塊同時(shí)承擔(dān)兩個(gè)角色,一個(gè)是作為認(rèn)證中心子系統(tǒng)的客戶端,另一個(gè)是作為安全傳輸模塊的密鑰提供者;通過客戶認(rèn)證請(qǐng)求模塊與認(rèn)證中心子系統(tǒng)之間的交互,成功得到認(rèn)證的客戶程序可以獲得它所申請(qǐng)的特定組播組的傳輸密鑰,以用來加密和解密組播數(shù)據(jù);所述安全傳輸模塊主要實(shí)現(xiàn)組播信息的加/解密和傳輸,它包括以下步驟(1)、準(zhǔn)確有效地傳輸組播信息;(2)、對(duì)傳輸?shù)慕M播信息進(jìn)行加密和解密處理,保證組播信息的機(jī)密性和完整性;所述源認(rèn)證模塊是實(shí)現(xiàn)對(duì)接收到的組播信息進(jìn)行源認(rèn)證,驗(yàn)證接收到的信息是否是其聲稱的發(fā)送者發(fā)送的信息,它包括以下步驟(1)、對(duì)發(fā)送的組播信息進(jìn)行簽名;(2)、對(duì)收到的組播信息進(jìn)行源認(rèn)證。
      7.根據(jù)權(quán)利要求6所述的一種安全組播管理方法,其特征在于對(duì)所述的傳輸組播信息進(jìn)行加解密的方法是加密時(shí),根據(jù)授權(quán)信息中指定的加密算法和密鑰對(duì)要傳輸?shù)男畔⑦M(jìn)行加密運(yùn)算;解密時(shí)則根據(jù)授權(quán)信息中指定的加密算法和密鑰對(duì)接收到的信息進(jìn)行解密運(yùn)算。
      8.根據(jù)權(quán)利要求6所述的一種安全組播管理方法,其特征在于對(duì)所述發(fā)送的組播信息進(jìn)行簽名的方法是對(duì)要傳輸?shù)男畔⒉捎肕D5算法生成摘要,然后對(duì)生成的摘要,采用RSA算法用用戶自己的私鑰進(jìn)行加密運(yùn)算,生成用戶的簽名信息,然后和用戶要傳輸?shù)男畔⒁黄饌鬏敗?br> 9.根據(jù)權(quán)利要求6所述的一種安全組播管理方法,其特征在于對(duì)所述收到的組播信息進(jìn)行源認(rèn)證的方法是根據(jù)接收到的組播信息聲稱的發(fā)送者,向公鑰中心子系統(tǒng)申請(qǐng)?jiān)撚脩舻墓€;使用公鑰中心提供的用戶公鑰用RSA算法對(duì)組播信息中的用戶的簽名信息進(jìn)行解簽名,如果解簽名成功,則接收到的信息是其聲稱的發(fā)送者發(fā)送的信息,若不成功則該信息是偽造的,源認(rèn)證失敗。
      10.根據(jù)權(quán)利要求3所述的一種安全組播管理方法,其特征在于所述步驟F由監(jiān)控中心子系統(tǒng)完成,它包括以下步驟(1)、監(jiān)控中心子系統(tǒng)啟動(dòng)后,首先進(jìn)行初始化;(2)、判斷所要處理的操作類型;(a)、如果是用戶指令,則接受用戶的指令,并根據(jù)指令顯示相應(yīng)的信息;如果不是,則執(zhí)行下一個(gè)判斷;(b)、判斷是否是認(rèn)證授權(quán)信息,該信息由認(rèn)證中心子系統(tǒng)發(fā)送,如果是,則接收該認(rèn)證授權(quán)信息,并對(duì)接收的用戶認(rèn)證授權(quán)信息進(jìn)行統(tǒng)計(jì)分析,記錄日志,在需要進(jìn)行控制的情況下,根據(jù)預(yù)定的規(guī)則產(chǎn)生控制信息,然后發(fā)送給認(rèn)證中心子系統(tǒng),結(jié)束;如果不是認(rèn)證授權(quán)信息,則執(zhí)行下一個(gè)判斷;(c)、判斷是否是認(rèn)證組播信息,如果是,監(jiān)控中心子系統(tǒng)將根據(jù)需要,加入每一個(gè)組播組,向認(rèn)證中心子系統(tǒng)請(qǐng)求相應(yīng)的組密鑰和授權(quán),然后偵聽組播信息,進(jìn)行統(tǒng)計(jì)分析,并記錄日志,當(dāng)發(fā)生異常情況時(shí),根據(jù)預(yù)定的規(guī)則產(chǎn)生控制信息,然后發(fā)送給認(rèn)證中心子系統(tǒng),結(jié)束;如果不是認(rèn)證組播信息,則執(zhí)行下一步;(d)、定時(shí)器操作更新顯示系統(tǒng)狀況,如組成員的在線情況,組成員發(fā)送數(shù)據(jù)的速率等等;(3)、結(jié)束。
      全文摘要
      本發(fā)明公開了一種安全組播管理方法,即在組播通信前,對(duì)組播通信的各方進(jìn)行初始化,配置組播使用環(huán)境,為通信各成員生成各自的公/私鑰對(duì),認(rèn)證授權(quán)文件,生成通信時(shí)的密鑰,為各通信成員分配授權(quán)權(quán)限;在組播通信過程中,為通信各方更新/分發(fā)組播通信密鑰;對(duì)組播用戶發(fā)送的信息進(jìn)行加密和簽名;對(duì)接收到的用戶組播信息進(jìn)行解密和源認(rèn)證;如果所發(fā)送的組播信息是聲稱的發(fā)送者發(fā)送的,就進(jìn)行正常的數(shù)據(jù)傳輸;如果不是,則濾去該組數(shù)據(jù);在組播通信過程中,實(shí)時(shí)收集和記錄通信各方的數(shù)據(jù),監(jiān)控通信狀況和網(wǎng)絡(luò)資源,及時(shí)發(fā)現(xiàn)異常情況進(jìn)行處理。本發(fā)明全面實(shí)現(xiàn)了對(duì)組播通信過程的實(shí)時(shí)監(jiān)測(cè)和安全管理,適用于各種不同的組播應(yīng)用環(huán)境。
      文檔編號(hào)H04L9/00GK1588839SQ20041007069
      公開日2005年3月2日 申請(qǐng)日期2004年7月29日 優(yōu)先權(quán)日2004年7月29日
      發(fā)明者吳威, 李肖堅(jiān), 沈鈴 申請(qǐng)人:北京航空航天大學(xué)
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1