[发明专利]一种安全组播密钥管理方法

说明书

技术领域

本发明涉及通信技术领域，尤其涉及安全组播加密传输和组播密钥管理的方法。

背景技术

组播技术是一种新的、高效的网络传输方案，它是一种介于单播和广播之间的面向组的数据传输方式，不仅能够实现单点发送、多点接收，还有实现感兴趣的主机能够接收、不感兴趣的主机不会收到组播报文。组播能够实现灵活的信息批量发送，减少冗余流量，有效节约网络带宽、降低网络负载。

组播相对于单播，信息源只需要发送一份数据到网络中，在组播树的分支节点处才会出现信息复制，而非信息源对每个接收者的一对一信息传送，很大程度上减少信息源的负载及网络的开销。

组播通信不同于单播通信，组播信息只有加入组播组的用户才能收到，并非网络中所有用户都会收到组播信息，有效地减少网络负担，并且提高信息传输的安全性。

在公网上实现安全的数据传输，IPSec VPN无疑是当今最成熟且最被认可的技术，遗憾的是，IPSec VPN是针对单播数据设计的，其数据流是点对点的封装，无法做到点到多点的安全传输。若非要将IPSec用于组播数据的加密，只能先将组播数据封装到GRE隧道中，再对每一条GRE隧道做IPSec封装。这样能保证组播数据安全传送（加密性、完整性、不可否认性、抗重放），代价却是大大增加了带宽，不仅报文数量由一条组播报文变成了多条单播报文复本，GRE头与IPSec头（AH头/ESP头）的封装也增大了带宽开销。

发明内容

为了克服现有技术的上述缺点，本发明提供了一种安全组播密钥管理机制。

本发明解决其技术问题所采用的技术方案是：一种安全组播密钥管理机制，包括如下步骤：

步骤一、选定SKDC server，并在server上配置组播参数；Server启动后，通过配置信息生成初始的组密钥材料与IPSec SPI； 

步骤二、在组播成员网络中所有需要参与组播通信的设备上运行SKDC client，并为client配置参数；

步骤三、client向server发起注册；

步骤四、server收到client的报文，对client的合法性验证通过后，向client发送组密钥分发报文；

步骤五、client向server回复ACK确认报文；

步骤六、server向client发送组策略分发报文；

步骤七、client向server回复ACK确认报文；

步骤八、client在获得组密钥和组策略后，生成IPSec SA、IPSec SP。

与现有技术相比，本发明的积极效果是：本发明提出了一种安全组播密钥管理与分发机制，不仅能够实现组密钥的生成、分发与管理，还为组播访问控制提供安全策略，最终实现组播的安全传输。本发明在部署时无需改变组播转发机制与组播路由，封装后的数据仍然是组播报文，组播单点发送、多点接收的带宽节约机制能够得到完整保留。

附图说明

本发明将通过例子并参照附图的方式说明，其中：

图1是本发明的流程示意图；

图2是SKDC server与client的报文交互示例图。

具体实施方式

网络中某台服务器设备为整个组播成员网络（将组播网络中实际的组播信息发送者与实际的组播信息接收者组成的网络称为组播成员网络）提供密钥管理，并由这台服务器设备统一为所有组播成员分发组密钥和组策略。组播成员收到组密钥和组策略后组装成IPSec SA与IPSec SP，便可像封装普通单播报文一样使用IPSec加解密组播报文。

这台服务器设备称之为SKDC（simple key distribution center，简单密钥分发中心）server，主要负责如下工作：

1、组密钥的生成、维护与分发：

其中组密钥包括的元素有：

（1）IPSec用于数据加密的加密算法、对称密钥；

（2）IPSec用于校验的HASH算法、HMAC密钥；

（3）组密钥生存周期。

2、IPSec SPI的生成、维护与分发；

3、组策略的维护与分发；

4、组播组成员接入访问控制；

5、组成员列表的维护。

组播成员网络中所有需要组播通信的设备统称为SKDC client，主要完成如下工作：

1、向server发起注册；

2、接收server下发的组密钥材料；

3、接收server下发的组策略；