專利名稱：：基于無線Mesh網(wǎng)絡(luò)的密鑰管理方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及無線Mesh網(wǎng)絡(luò)的通信安全保密領(lǐng)域，尤其是一種在具有高時(shí)延對(duì)等特性的無線Mesh網(wǎng)絡(luò)中，將雙線性對(duì)的密鑰協(xié)商和三叉樹進(jìn)行結(jié)合，并且才艮據(jù)Mesh群組中的節(jié)點(diǎn)關(guān)系變化而更新群組密鑰的方法。
背景技術(shù)：
：隨著無線網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，無線網(wǎng)絡(luò)技術(shù)的標(biāo)準(zhǔn)也在不斷的被更新，新的無線網(wǎng)絡(luò)架構(gòu)和技術(shù)被不斷地^是出，其中有一種新型的無線網(wǎng)絡(luò)結(jié)構(gòu)一—無線Mesh網(wǎng)絡(luò)出現(xiàn)了，這種無線網(wǎng)絡(luò)又被稱為多跳(multi-hop)網(wǎng)絡(luò)，其核心是使網(wǎng)絡(luò)中的每個(gè)節(jié)點(diǎn)都執(zhí)行發(fā)送和接收信號(hào)的操作。對(duì)于過去普通無線沖支術(shù)來iJL，無線網(wǎng)絡(luò)必須首先訪問集中的接入點(diǎn)(AccessPoint,簡(jiǎn)稱AP)才能進(jìn)行無線連接；而在無線Mesh網(wǎng)絡(luò)中，任何無線設(shè)備節(jié)點(diǎn)都可以同時(shí)作為AP或路由器，每個(gè)節(jié)點(diǎn)都可以與一個(gè)或者多個(gè)對(duì)等節(jié)點(diǎn)進(jìn)行直接通信，這樣無線Mesh網(wǎng)絡(luò)既提供了冗余的接入設(shè)備，又能夠使數(shù)據(jù)通過多個(gè)節(jié)點(diǎn)進(jìn)行傳輸，降低了付出的功率代價(jià)，因此這種新的無線網(wǎng)絡(luò)解決了過去普通無線4支術(shù)的存在的可擴(kuò)展能力低下和傳輸可靠性差等問題。無線Mesh網(wǎng)絡(luò)屬于一種動(dòng)態(tài)對(duì)等通信網(wǎng)絡(luò)，即所有成員都是對(duì)等體，可以動(dòng)態(tài)地成為發(fā)送者或接收者。無線Mesh網(wǎng)絡(luò)在虛擬會(huì)議、網(wǎng)絡(luò)輔助協(xié)同工作、多々某體實(shí)時(shí)點(diǎn)播等方面具有廣闊的應(yīng)用前景，但其安全性問題是影響其廣泛部署的重要問題。例如在虛擬^i義中，通常需要確保會(huì)議內(nèi)容的保密性，并且能夠在必要的時(shí)候?qū)Πl(fā)言人的身份進(jìn)行認(rèn)證；在多媒體實(shí)時(shí)點(diǎn)播中，必須確保只有付費(fèi)用戶才能夠看到節(jié)目?jī)?nèi)容。為了防止組內(nèi)通信被非授權(quán)用戶訪問，所有組內(nèi)成員必須共享一個(gè)群組密鑰，所有的組通信都是通過這個(gè)群組密鑰加密的。為了確保群組通信的安全，群組通信的基本要求是(l)前向安全性，即一個(gè)新加入的成員不能訪問以前的通信；(2)后向安全性，即一個(gè)離開的成員不能訪問目前的通信。也就是說，當(dāng)群組成員發(fā)生變動(dòng)時(shí)，組通信密鑰必須改變?，F(xiàn)有的分布式密鑰建立和管理方案主要解決的是如何在增加安全性的同時(shí)減少密碼運(yùn)算量的問題。隨著計(jì)算機(jī)運(yùn)算能力的提高，密碼運(yùn)算所需要的時(shí)間越來越少，因此在網(wǎng)絡(luò)和計(jì)算機(jī)的發(fā)展中，造成系統(tǒng)延時(shí)的主要因素由計(jì)算量向通訊量轉(zhuǎn)移，而現(xiàn)有的分布式密鑰建立和管理方案并未對(duì)如何減少網(wǎng)絡(luò)時(shí)延的問題提出合適的解決方法。為了解決在減少密碼運(yùn)算量的同時(shí)降低通訊量(例如消息輪數(shù)、消息數(shù)量和消息長(zhǎng)度等參數(shù))的問題，Y.Kim等人在2004年7月發(fā)表的"GroupKeyAgreementEfficientinCommunication"中設(shè)計(jì)了一種低通訊代價(jià)的動(dòng)態(tài)對(duì)等網(wǎng)絡(luò)群組密鑰管理協(xié)議(steer，etal.,簡(jiǎn)稱STR),該協(xié)議在消息輪數(shù)和消息數(shù)量上都接近理論下限值，可以針對(duì)高時(shí)延的對(duì)等網(wǎng)絡(luò)進(jìn)行群組密鑰管理，其具體方案如下組內(nèi)成員的密鑰管理采用一種非對(duì)稱的二叉樹結(jié)構(gòu)，這種結(jié)構(gòu)的密鑰樹具有兩種類型的節(jié)點(diǎn)葉子節(jié)點(diǎn)和中間節(jié)點(diǎn)。每個(gè)葉子節(jié)點(diǎn)與一個(gè)特定的群組成員相關(guān)。每個(gè)中間節(jié)點(diǎn)都具有兩個(gè)孩子節(jié)點(diǎn)另一個(gè)中間節(jié)點(diǎn)和一個(gè)葉子節(jié)點(diǎn)。每個(gè)葉子節(jié)點(diǎn)具有一個(gè)秘密的隨機(jī)密鑰r,和一個(gè)公開的盲密鑰(即公鑰)6r產(chǎn)Wmod;。每個(gè)中間節(jié)點(diǎn)具有一個(gè)密鑰y^和一個(gè)公開的盲密鑰(blindedkey)6、=a&modp，所謂盲密鑰即用戶在群組中時(shí)臨時(shí)使用的公鑰，其中每個(gè)中間節(jié)點(diǎn)的密鑰A:,(Z>1)由其孩子節(jié)點(diǎn)協(xié)商生成A:尸mod;=(6。)mod/=modp。當(dāng)群組通訊系統(tǒng)通知有新成員到達(dá)時(shí)，STR協(xié)議假設(shè)群組中有n個(gè)用戶(M,，…，MJ，且新成員和原來的群組成員同時(shí)收到通知消息。新成員M+1廣播包含其自身盲密鑰的加入請(qǐng)求消息。收到這條消息后，當(dāng)前群組的應(yīng)答者sponsor7l4更新自己的密鑰并計(jì)算Z^、&、M,向發(fā)送當(dāng)前密鑰樹^r(n)中的所有盲密鑰。然后，每個(gè)成員M,計(jì)算w="+l并產(chǎn)生新的根節(jié)點(diǎn)IN(),IN(")具有兩個(gè)孩子節(jié)點(diǎn)左孩子是原來密鑰樹r,的根節(jié)點(diǎn)IN("-,)，右孩子是與新成員對(duì)應(yīng)的葉子節(jié)點(diǎn)LNW。最后，原來群組成員利用新成員的盲密鑰計(jì)算新的群組密鑰，而新成員利用原來群組的盲密鑰計(jì)算新的群組密鑰。在加入搡作中，總是選擇密鑰樹中最上層的葉子節(jié)點(diǎn)作為sponsor節(jié)點(diǎn)(即密鑰更新輔助節(jié)點(diǎn))，即最近加入的節(jié)點(diǎn)作為sponsor節(jié)點(diǎn)。當(dāng)成員^逾)離開群組時(shí)，STR協(xié)議假設(shè)群組有w個(gè)成員。若J〉1，則選擇M/的直接后繼葉子節(jié)點(diǎn)作為sponsor節(jié)點(diǎn)M,。否則，選擇^2作為sponsor節(jié)點(diǎn)。從群組通訊系統(tǒng)接收到成員離開事件之后，每個(gè)剩余成員從原來的密鑰樹中刪除和M^對(duì)應(yīng)的節(jié)點(diǎn)LN(力以及其父節(jié)點(diǎn)IN(力。同時(shí)對(duì)離開節(jié)點(diǎn)上方的節(jié)點(diǎn)進(jìn)行重新編號(hào)，用Ma的兄弟節(jié)點(diǎn)IN(^)代替A^的父節(jié)點(diǎn)。之后sponsor節(jié)點(diǎn)M,選擇新的隨機(jī)密鑰，計(jì)算根節(jié)點(diǎn)之下Ms之上的所有節(jié)點(diǎn)的密鑰和盲密鑰并將密鑰樹BT(,)中的盲密鑰信息廣播到整個(gè)群組。最后所有的剩余群組成員計(jì)算新的群組密鑰。在無線網(wǎng)絡(luò)中，網(wǎng)絡(luò)故障可能會(huì)導(dǎo)致通訊群組的一部分被分割出群組。在STR協(xié)議中，對(duì)剩余成員來說，子群分割可以被看作多個(gè)成員的離開事件，所以可以利用處理成員離開時(shí)的方法處理子群分割事件，和單一成員離開不同的是在子群分割事件中sponsor節(jié)點(diǎn)的選擇方法不同。在子群分割事件中，選擇密鑰樹中最下層的離開節(jié)點(diǎn)的直接后繼葉子節(jié)點(diǎn)作為sponsor節(jié)點(diǎn)。在刪除所有的離開節(jié)點(diǎn)之后，sponsor節(jié)點(diǎn)M,選擇新的隨機(jī)密鑰，計(jì)算根節(jié)點(diǎn)之下M,之上的所有密鑰和盲密鑰并將密鑰樹BT(,)中的盲密鑰信息廣播到整個(gè)群組。最后所有的剩余群組成員計(jì)算新的群組密鑰。STR協(xié)i義^E設(shè)通訊系統(tǒng)同時(shí)向所有的群組成員通知子群合并事件，并且每個(gè)成員都可以區(qū)分一個(gè)群組是自身所處群組還是與自身所處群組相合并的群組。在子群合并操作中，STR協(xié)議將較小的密鑰樹加入到較大的密鑰樹之上。若兩個(gè)密鑰樹具有相同的高度，STR協(xié)議利用某種順序(如各子群自身sponsor節(jié)點(diǎn)的身份字母序)來決定兩棵樹的加入位置。在合并兩棵樹時(shí)，將較小的密鑰樹中編號(hào)最大的節(jié)點(diǎn)作為新生成的中間節(jié)點(diǎn)的右孩子節(jié)點(diǎn)，而較大密鑰樹的根節(jié)點(diǎn)作為新生成的中間節(jié)點(diǎn)的左孩子節(jié)點(diǎn)。在子群合并操作的第一輪中，所有的sponsor節(jié)點(diǎn)相互交換各自所處密鑰樹的盲密鑰信息。選擇最大密鑰樹中最高層的成員作為子群合并操作中第二輪的sponsor節(jié)點(diǎn)。第二輪中，sponsor節(jié)點(diǎn)Ms選擇新的隨機(jī)密鑰，計(jì)算根節(jié)點(diǎn)之下的所有密鑰和盲密鑰并將密鑰樹BT(,)中的盲密鑰信息廣播到整個(gè)群組。最后所有的剩余群組成員計(jì)算新的群組密鑰。STR協(xié)議雖然能夠以較低的通訊代價(jià)對(duì)無線Mesh網(wǎng)絡(luò)中的群組密鑰進(jìn)行管理，但其所需的消息長(zhǎng)度和密碼運(yùn)算量都相當(dāng)大，其中在STR密鑰樹中成員加入、成員離開、子群合并和子群分割中，當(dāng)前群組的sponsor發(fā)送的消息長(zhǎng)度分別為2TV、2iV-4、2iV+2M-2、2(A^-l),整體系統(tǒng)的密碼運(yùn)算量分別為27V+4、(27V3+3iV2+7V-30)/6iV、(M2+2MA^+2iV+5M+2)/2、f—^翠-/^-rD,-h4)，C(7V,i)，-l)(7V-2)這必然導(dǎo)致可擴(kuò)展性問題。而且STR協(xié)議使用了一種完全不平衡的密鑰樹結(jié)構(gòu)，這種協(xié)議在運(yùn)用上可能會(huì)導(dǎo)致系統(tǒng)性能瓶頸和單點(diǎn)失效問題，如群組成員的運(yùn)算量隨著自身在密鑰樹中所處的位置的降低而線形增加、密鑰樹中某個(gè)節(jié)點(diǎn)的失效會(huì)導(dǎo)致其下方所有節(jié)點(diǎn)不能計(jì)算群組密鑰的問題等。
發(fā)明內(nèi)容本發(fā)明的目的是針對(duì)現(xiàn)有STR協(xié)議對(duì)無線Mesh網(wǎng)絡(luò)進(jìn)行密鑰管理時(shí)的消息長(zhǎng)度和密碼運(yùn)算量大，以及由于STR樹的結(jié)構(gòu)可能導(dǎo)致系統(tǒng)性能瓶頸和單點(diǎn)失效的缺陷。為實(shí)現(xiàn)上述目的，本發(fā)明提供了一種基于無線Mesh網(wǎng)絡(luò)的密鑰管理方法，包括以下步驟步驟l,當(dāng)Mesh群組中通訊節(jié)點(diǎn)的關(guān)系發(fā)生變化時(shí)，從與所述Mesh群組相對(duì)應(yīng)的密鑰樹中選取密鑰更新輔助節(jié)點(diǎn)，其中所述密鑰樹采用三叉樹結(jié)構(gòu)；步驟2，隨機(jī)生成所述密鑰更新輔助節(jié)點(diǎn)的密鑰和盲密鑰；步驟3,所述密鑰更新輔助節(jié)點(diǎn)的密鑰和盲密鑰，計(jì)算所述密鑰更新輔助節(jié)點(diǎn)在所述密鑰樹上的密鑰路徑中各密鑰節(jié)點(diǎn)的密鑰和盲密鑰，并向所述密鑰樹中各密鑰節(jié)點(diǎn)廣播所述密鑰路徑上各密鑰節(jié)點(diǎn)的盲密鑰；步驟4,所述密鑰樹中各葉子節(jié)點(diǎn)更新自身的密鑰和盲密鑰，并計(jì)算出群組密鑰。在上述技術(shù)方案中，包括四種節(jié)點(diǎn)關(guān)系變化的方式，即節(jié)點(diǎn)加入、節(jié)點(diǎn)離開、群組合并和群組分割。對(duì)于節(jié)點(diǎn)離開，所述步驟l具體為當(dāng)所述Mesh群組中的第一通訊節(jié)點(diǎn)離開時(shí)，選擇所述第一通訊節(jié)點(diǎn)對(duì)應(yīng)的第一密鑰節(jié)點(diǎn)的父節(jié)點(diǎn)為中間節(jié)點(diǎn)，并且從以中間節(jié)點(diǎn)為根的子樹上，隨機(jī)選擇最頂層葉子節(jié)點(diǎn)作為密鑰更新輔助節(jié)點(diǎn)。相應(yīng)的在步驟2之前還包括以下的步驟在所述步驟2之前，進(jìn)一步包括以下步驟判斷所述中間節(jié)點(diǎn)的度是否為3,是則刪除第一密鑰節(jié)點(diǎn)，否則刪除所述第一密鑰節(jié)點(diǎn)，并將所述第一密鑰節(jié)點(diǎn)的兄弟節(jié)點(diǎn)提升到父節(jié)點(diǎn)位置。對(duì)于節(jié)點(diǎn)加入，所述步驟l具體為所述步驟1具體為步驟ll,當(dāng)?shù)诙ㄓ嵐?jié)點(diǎn)向所述Mesh群組發(fā)出加入請(qǐng)求時(shí)，所述Mesh群組的接入通訊節(jié)點(diǎn)根據(jù)群組安全策略對(duì)所述第二通訊節(jié)點(diǎn)進(jìn)行身份認(rèn)證；步驟12，在與所述Mesh群組相對(duì)應(yīng)的密鑰樹中選擇插入密鑰節(jié)點(diǎn)，并隨機(jī)選擇以所述插入密鑰節(jié)點(diǎn)為根的葉子節(jié)點(diǎn)作為密鑰更新輔助節(jié)點(diǎn)。其中，所述步驟ll具體為利用與所述第二通訊節(jié)點(diǎn)對(duì)應(yīng)的第二密鑰節(jié)點(diǎn)生成的第一隨機(jī)數(shù)計(jì)算出所述第二密鑰節(jié)點(diǎn)的盲密鑰，并利用與所述接入通訊節(jié)點(diǎn)相對(duì)應(yīng)的接入密鑰節(jié)點(diǎn)的公鑰對(duì)所述第一隨機(jī)數(shù)和會(huì)話標(biāo)識(shí)符進(jìn)行加密，獲得接入點(diǎn)ENC,然后將包含所述會(huì)話標(biāo)識(shí)符、盲密鑰、接入點(diǎn)ENC和所述第二密鑰節(jié)點(diǎn)的公鑰證書的加入請(qǐng)求發(fā)送給所述Mesh群組，所述接入通訊節(jié)點(diǎn)才艮據(jù)群組安全策略對(duì)所述第二通訊節(jié)點(diǎn)進(jìn)行身份認(rèn)證。所述步驟12具體為步驟121,判斷與所述Mesh群組對(duì)應(yīng)的密鑰樹是否為滿樹，是則生成新的根節(jié)點(diǎn)，并將該根節(jié)點(diǎn)作為插入密鑰節(jié)點(diǎn)；否則選擇所述密鑰樹中滿足插入條件的插入密鑰節(jié)點(diǎn)；步驟122,隨機(jī)選擇以所述插入密鑰節(jié)點(diǎn)為根的葉子節(jié)點(diǎn)作為密鑰更新輔助節(jié)點(diǎn)。在所述步驟2之前，可以進(jìn)一步包括以下步驟步驟21，所述接入密鑰節(jié)點(diǎn)用自身的私鑰對(duì)所述接入點(diǎn)ENC進(jìn)行解密，并用原群組密鑰將所述接入點(diǎn)ENC解密后的內(nèi)容進(jìn)行加密，獲得群組ENC;步驟22,所述接入密鑰節(jié)點(diǎn)將所述群組ENC發(fā)送給所述密鑰更新輔助節(jié)點(diǎn)，所述密鑰更新輔助節(jié)點(diǎn)解密所述群組ENC,并根據(jù)所述群組ENC解密后的內(nèi)容，獲得第二節(jié)點(diǎn)ENC,同時(shí)計(jì)算出第二節(jié)點(diǎn)信息認(rèn)證碼；步驟23，所述密鑰更新輔助節(jié)點(diǎn)向所述第二密鑰節(jié)點(diǎn)發(fā)送所述第二節(jié)點(diǎn)ENC和第二節(jié)點(diǎn)信息認(rèn)證碼；步驟24,所述第二密鑰節(jié)點(diǎn)向所述密鑰更新輔助節(jié)點(diǎn)發(fā)送應(yīng)答消息；步驟25，所述密鑰更新輔助節(jié)點(diǎn)對(duì)所述應(yīng)答消息進(jìn)行驗(yàn)證，當(dāng)驗(yàn)證通過時(shí)，允i午所述第二通訊節(jié)點(diǎn)加入所述Mesh群組；步驟26,將所述第二通訊節(jié)點(diǎn)插入所述Mesh群組中。所述步驟22還可以進(jìn)一步具體為步驟221,所述接入密鑰節(jié)點(diǎn)將所述群組ENC發(fā)送給所述密鑰更新輔助節(jié)點(diǎn)；步驟222,所述密鑰更新輔助節(jié)點(diǎn)解密所述群組ENC;步驟223,所述密鑰更新輔助節(jié)點(diǎn)生成第二隨機(jī)數(shù)和隨機(jī)秘密值，并以該隨才幾秘密值作為自己的密鑰，通過所述第二密鑰節(jié)點(diǎn)的公鑰證書對(duì)該第二隨機(jī)數(shù)進(jìn)行加密，獲得第二節(jié)點(diǎn)ENC;步驟224，同時(shí)計(jì)算出第二節(jié)點(diǎn)信息認(rèn)證碼。所述步驟24進(jìn)一步具體為步驟241,所述第二密鑰節(jié)點(diǎn)對(duì)所述第二節(jié)點(diǎn)ENC進(jìn)行解密獲得所述第二隨機(jī)數(shù)；步驟242,所述第二密鑰節(jié)點(diǎn)根據(jù)所述第二隨機(jī)數(shù)計(jì)算信息認(rèn)證碼；步驟243，所述第二密鑰節(jié)點(diǎn)將計(jì)算后的信息認(rèn)證碼與所述第二節(jié)點(diǎn)信息認(rèn)證碼進(jìn)行比較，如果一致，則計(jì)算出應(yīng)答消息信息認(rèn)證碼，并發(fā)送給所述密鑰更新輔助節(jié)點(diǎn)；如果不一致，則拒絕所述第二通訊節(jié)點(diǎn)加入所述Mesh群組。所述步驟25可進(jìn)一步具體為所述密鑰更新輔助節(jié)點(diǎn)對(duì)所述應(yīng)答消息信息認(rèn)證碼進(jìn)行驗(yàn)證，通過驗(yàn)證時(shí)，則允許所述第二通訊節(jié)點(diǎn)加入所述Mesh群組；否則拒絕所述第二通訊節(jié)點(diǎn)加入所述Mesh群組。所述步驟26可進(jìn)一步具體為判斷所述插入節(jié)點(diǎn)的度是否為2，是則將所述第二密鑰節(jié)點(diǎn)插入到插入節(jié)點(diǎn)下，否則創(chuàng)建所述發(fā)起節(jié)點(diǎn)的中間節(jié)點(diǎn)，并將所述中間節(jié)點(diǎn)提升為所述插入節(jié)點(diǎn)和第二節(jié)點(diǎn)的父節(jié)點(diǎn)。對(duì)于群組合并，所述步驟l具體為步驟ll，，每個(gè)密鑰子樹的頂層葉子節(jié)點(diǎn)廣播自身的密鑰子樹信息，并在高度最低的密鑰子樹中隨機(jī)選擇頂層葉子節(jié)點(diǎn)作為密鑰更新輔助節(jié)點(diǎn)；步-驟12，，當(dāng)所述每個(gè)密鑰子樹的頂層葉子節(jié)點(diǎn)向所述密鑰更新輔助節(jié)點(diǎn)發(fā)出加入請(qǐng)求時(shí)，所述密鑰更新輔助節(jié)點(diǎn)根據(jù)群組安全策略對(duì)所述每個(gè)密鑰子樹的頂層葉子節(jié)點(diǎn)進(jìn)行身份認(rèn)證。其中，所述步驟12，具體為每個(gè)密鑰子樹的頂層葉子節(jié)點(diǎn)根據(jù)生成的第三隨機(jī)凄t計(jì)算出盲密鑰，并利用所述密鑰更新輔助節(jié)點(diǎn)的公鑰對(duì)所述第三隨機(jī)數(shù)和會(huì)話標(biāo)識(shí)符進(jìn)行加密，獲得密鑰更新輔助點(diǎn)ENC，然后將包含所述會(huì)話標(biāo)識(shí)符、密鑰更新輔助點(diǎn)ENC、所述每個(gè)密鑰子樹的頂層葉子節(jié)點(diǎn)的盲密鑰和公鑰證書的加入請(qǐng)求發(fā)送給所述密鑰更新輔助節(jié)點(diǎn)，所述密鑰更新輔助節(jié)點(diǎn)根據(jù)群組安全策略對(duì)所述每個(gè)密鑰子樹的頂層葉子節(jié)點(diǎn)進(jìn)行身份認(rèn)證。在所述步驟2之前，還包括以下步驟步驟21，，所述密鑰更新輔助節(jié)點(diǎn)對(duì)所述密鑰更新輔助點(diǎn)ENC進(jìn)行解密，并用所述每個(gè)密鑰子樹的頂層葉子節(jié)點(diǎn)的公鑰證書進(jìn)行加密，獲得頂層葉子節(jié)點(diǎn)ENC，同時(shí)計(jì)算出頂層葉子節(jié)點(diǎn)信息認(rèn)證碼；步驟22，，所述密鑰更新輔助節(jié)點(diǎn)向所述每個(gè)密鑰子樹的頂層葉子節(jié)點(diǎn)發(fā)送所述頂層葉子節(jié)點(diǎn)ENC和頂層葉子節(jié)點(diǎn)信息認(rèn)證碼；步驟23，，所述每個(gè)密鑰子樹的頂層葉子節(jié)點(diǎn)向所述密鑰更新輔助節(jié)點(diǎn)發(fā)送應(yīng)答消息；步驟24'，所述密鑰更新輔助節(jié)點(diǎn)對(duì)所述應(yīng)答消息進(jìn)行驗(yàn)證，當(dāng)驗(yàn)證通過時(shí)，允許與每個(gè)密鑰子樹的頂層葉子節(jié)點(diǎn)對(duì)應(yīng)的通訊子群加入所述Mesh群組；步驟25，；將所有密鑰子樹合并為一。其中，所述步驟21，還可以具體為步驟211'，所述密鑰更新輔助節(jié)點(diǎn)對(duì)所述發(fā)起節(jié)點(diǎn)ENC進(jìn)行解密，獲得所述第三隨才幾數(shù)和會(huì)話標(biāo)識(shí)符；步驟212，，所述密鑰更新輔助節(jié)點(diǎn)生成第四隨機(jī)數(shù)，并使用所述每個(gè)密鑰子樹的頂層葉子節(jié)點(diǎn)的公鑰證書對(duì)所述第四隨機(jī)數(shù)和會(huì)話標(biāo)識(shí)符進(jìn)行加密，獲得頂層葉子節(jié)點(diǎn)ENC,同時(shí)計(jì)算出頂層葉子節(jié)點(diǎn)信息認(rèn)證碼。所述步驟23，可具體為步驟231，，所述每個(gè)密鑰子樹的頂層葉子節(jié)點(diǎn)對(duì)所述頂層葉子節(jié)點(diǎn)ENC進(jìn)行解密獲得所述第四隨機(jī)數(shù)；步驟232，，所述每個(gè)密鑰子樹的頂層葉子節(jié)點(diǎn)根據(jù)所述第四隨機(jī)數(shù)計(jì)算信息iU正碼；步驟233，，將計(jì)算得到的信息認(rèn)證碼與所述頂層葉子節(jié)點(diǎn)信息認(rèn)證碼進(jìn)行比較，如果一致，則計(jì)算出應(yīng)答消息信息認(rèn)證碼，并發(fā)送給所述密鑰更新輔助節(jié)點(diǎn)；如果不一致，則拒絕與該葉子節(jié)點(diǎn)所在的通訊子組加入所述Mesh群組。所述步驟24，還可以進(jìn)一步具體為所述密鑰更新輔助節(jié)點(diǎn)對(duì)所述應(yīng)答消息信息認(rèn)證碼進(jìn)行驗(yàn)證，通過驗(yàn)證時(shí)，則允許與該頂層葉子節(jié)點(diǎn)所在的通訊子組加入所述Mesh群組；否則拒絕與該頂層葉子節(jié)點(diǎn)所在的通訊子組加入所述Mesh群組。所述步驟25，還可以進(jìn)一步具體為步驟251，，判斷所述每個(gè)密鑰子樹是否高度相同，是則利用預(yù)設(shè)排序方式確定密鑰子樹的合并順序，否則先對(duì)高度較低的密鑰子樹進(jìn)行合并；步驟252'，生成一個(gè)插入密鑰節(jié)點(diǎn)，將高度最低的兩個(gè)密鑰子樹和所述密鑰更新輔助節(jié)點(diǎn)所處密鑰子樹插到所述插入節(jié)點(diǎn)下；步驟253',重復(fù)步驟252',直到所有密鑰子樹合并為一。對(duì)于群組分割，所述步驟l具體為當(dāng)所述Mesh群組中的多個(gè)通訊節(jié)點(diǎn)離開時(shí)，將與所述Mesh群組對(duì)應(yīng)的密鑰樹中剩余的密鑰節(jié)點(diǎn)劃分成互不相交的密鑰子樹，并且從高度最低的密鑰子樹隨機(jī)選擇頂層葉子節(jié)點(diǎn)作為密鑰更新輔助節(jié)點(diǎn)。所述步驟2之前，還包括以下步驟步驟21",判斷所述每個(gè)密鑰子樹是否高度相同，是則利用預(yù)設(shè)排序方式確定密鑰子樹的合并順序，否則先對(duì)高度較低的密碼子樹進(jìn)行合并；步驟22"，生成一個(gè)插入密鑰節(jié)點(diǎn)，將高度最低的兩個(gè)密鑰子樹和所述密鑰更新輔助節(jié)點(diǎn)所處密鑰子樹插到所述插入節(jié)點(diǎn)下；步驟23",重復(fù)步驟22",直到所有密鑰子樹合并為一。其中，所述將與所述Mesh群組對(duì)應(yīng)的密鑰樹中剩余的密鑰節(jié)點(diǎn)劃分成互不相交的密鑰子樹的操作具體為將與所述Mesh群組對(duì)應(yīng)的密鑰樹中剩余的密鑰節(jié)點(diǎn)依照完全子樹算法進(jìn)行劃分，獲得互不相交的密鑰子樹。基于上述的技術(shù)方案，本發(fā)明具有以下優(yōu)點(diǎn)1、本發(fā)明提出的技術(shù)方案在通訊節(jié)點(diǎn)加入Mesh群組時(shí)的消息總長(zhǎng)度、節(jié)點(diǎn)離開時(shí)的消息總長(zhǎng)度和密碼運(yùn)算量、群組合并的消息總長(zhǎng)度等參數(shù)低于現(xiàn)有技術(shù)，在一定程度上克服了現(xiàn)有技術(shù)中的安全需求和可擴(kuò)展性與QoS需求相矛盾的問題。2、本發(fā)明采用基于雙線性對(duì)的密鑰協(xié)商與三叉樹相結(jié)合的方法，并在更新密鑰樹的時(shí)候，減少了不相交子樹，從而降低了密鑰更新時(shí)的通訊代價(jià)和計(jì)算代價(jià)。通過調(diào)整密鑰樹的結(jié)構(gòu)使其趨于平衡，本發(fā)明使用的密鑰樹中群組成員的平均高度降低，降低了群組成員的運(yùn)算量。同時(shí)密鑰樹中某個(gè)節(jié)點(diǎn)失效造成的影響被限制到自身所在的子樹，并不會(huì)影響其他子樹的群組成員計(jì)算群組密鑰。下面通過附圖和實(shí)施例，對(duì)本發(fā)明的技術(shù)方案做進(jìn)一步的詳細(xì)描述。附困說明圖1為本發(fā)明基于無線Mesh網(wǎng)絡(luò)的密鑰管理方法的基本流程示意圖。圖2為本發(fā)明基于無線Mesh網(wǎng)絡(luò)的密鑰管理方法中節(jié)點(diǎn)離開(成員離開)的流程示意圖。圖3為本發(fā)明基于無線Mesh網(wǎng)絡(luò)的密鑰管理方法中節(jié)點(diǎn)加入(成員加入)的流程示意圖。圖4為本發(fā)明基于無線Mesh網(wǎng)絡(luò)的密鑰管理方法中群組合并的流程示意圖。圖5為本發(fā)明基于無線Mesh網(wǎng)絡(luò)的密鑰管理方法中群組分割的流程示意圖。圖6為本發(fā)明技術(shù)方案與STR的群組合并時(shí)的計(jì)算量比較示意圖。圖7為本發(fā)明技術(shù)方案與STR的群組分割時(shí)的消息長(zhǎng)度比較示意圖。圖8為本發(fā)明技術(shù)方案與STR的群組分割時(shí)的計(jì)算量比較示意圖。具體實(shí)施例方式無線Mesh網(wǎng)絡(luò)的節(jié)點(diǎn)自由移動(dòng)會(huì)導(dǎo)致群組節(jié)點(diǎn)間關(guān)系變化，一般有四種節(jié)點(diǎn)變化方式成員離開，即通訊節(jié)點(diǎn)離開Mesh通訊群組或被Mesh通訊群組驅(qū)逐；成員加入，即授權(quán)通訊節(jié)點(diǎn)加入Mesh通訊群組；群組合并，一些通訊子群合并為一個(gè)通訊群組；群組分割一些通訊子群從整體Mesh通訊群組中分離出去。當(dāng)Mesh群組的通訊節(jié)點(diǎn)的關(guān)系發(fā)生改變時(shí)，本發(fā)明所提供的技術(shù)方案應(yīng)能對(duì)節(jié)點(diǎn)關(guān)系變化事件做出相應(yīng)處理。當(dāng)發(fā)生成員加入/成員離開/群組合并/群組分割事件之后，應(yīng)該更新原先的群組密鑰，從而保證離開的成員/群組不能訪問當(dāng)前的通訊內(nèi)容，而且新加入的成員/群組也不能訪問原先的通訊內(nèi)容。本發(fā)明將基于雙線性對(duì)的密鑰協(xié)商和三叉樹結(jié)合，提出了基于無線Mesh網(wǎng)絡(luò)的密鑰管理方法。即在Mesh網(wǎng)絡(luò)中MP節(jié)點(diǎn)，即Mesh群組的接入通訊節(jié)點(diǎn)的密鑰邏輯關(guān)系的基礎(chǔ)上建立與其對(duì)應(yīng)的密鑰樹，該密鑰樹中每個(gè)密鑰節(jié)點(diǎn)的密鑰和盲密鑰利用雙線性對(duì)計(jì)算，并且以三叉樹的結(jié)構(gòu)進(jìn)行組織，同時(shí)每一個(gè)密鑰節(jié)點(diǎn)都與Mesh群組中的通訊節(jié)點(diǎn)相對(duì)應(yīng)。本發(fā)明能夠分別對(duì)成員離開、成員加入、群組合并和群組分割事件進(jìn)行相應(yīng)的群組密鑰更新。在成員離開事件中，在以離開節(jié)點(diǎn)的父節(jié)點(diǎn)為根的子樹中隨機(jī)選擇最頂層葉子節(jié)點(diǎn)作為sponsor(即密鑰更新輔助節(jié)點(diǎn))節(jié)點(diǎn)進(jìn)行密鑰更新；在成員加入事件中，選擇不會(huì)增加密鑰樹高度的位置插入新節(jié)點(diǎn)；在群組合并中，按照子樹的高度由低到高進(jìn)行合并；在群組分割中，利用CompleteSubtree(完全子樹)算法對(duì)密鑰樹進(jìn)行分割后再按照子樹的高度由低到高進(jìn)行合并。在執(zhí)行本發(fā)明的技術(shù)方案時(shí)，所有的MP(接入點(diǎn))都通過密鑰生成算法得到各自的公私鑰對(duì)，再從認(rèn)證服務(wù)單元ASU申請(qǐng)到各自的公鑰證書，密鑰生成算法可采用SECI及IEEEP1363橢圓曲線密碼系統(tǒng)的規(guī)格，公鑰證書可采用無線局域網(wǎng)國家標(biāo)準(zhǔn)GB15629.11中規(guī)定的格式，證書鑒別過程可采用國家標(biāo)準(zhǔn)GB15629.il中規(guī)定的步驟進(jìn)行，但無論是密鑰生成算法、公鑰證書還是證書鑒別過程都不僅限于以上的說明。另外，本發(fā)明是基于下列假設(shè)實(shí)現(xiàn)的，即基本的群組通訊系統(tǒng)可以抵抗fail-stop故障，系統(tǒng)可以向所有的Mesh通訊節(jié)點(diǎn)提供一致的Mesh節(jié)點(diǎn)關(guān)系，并且多播滿足可靠性和因果順序；所有的通信信道都是經(jīng)過認(rèn)證的，即信道上的所有消息都經(jīng)過發(fā)送者的簽名，每個(gè)消息的接受者都必須對(duì)其收到的消息進(jìn)行驗(yàn)證；任何Mesh通訊節(jié)點(diǎn)都可以發(fā)起成員加入和成員離開協(xié)議；單播和多播傳送都是可靠的。如圖1所示，為本發(fā)明基于無線Mesh網(wǎng)絡(luò)的密鑰管理方法的流程示意圖，包括以下步驟步驟IOI，當(dāng)Mesh群組的節(jié)點(diǎn)關(guān)系發(fā)生變化時(shí)，從所述Mesh群組中選取發(fā)起節(jié)點(diǎn)；步驟102，隨機(jī)生成所述sponsor節(jié)點(diǎn)的密鑰和盲密鑰；步驟103，根據(jù)sponsor節(jié)點(diǎn)的密鑰和盲密鑰，計(jì)算所述sponsor節(jié)點(diǎn)的密鑰路徑上各節(jié)點(diǎn)的密鑰和盲密鑰，并向所述Mesh群組中各節(jié)點(diǎn)廣播所述密鑰路徑上各節(jié)點(diǎn)的盲密鑰；步驟104，所述Mesh群組中各節(jié)點(diǎn)更新自身的密鑰和盲密鑰，并計(jì)算出群組密鑰。本發(fā)明使用3叉樹來構(gòu)建密鑰的邏輯結(jié)構(gòu)，樹中的每個(gè)密鑰節(jié)點(diǎn)用</,々表示。對(duì)于3叉樹結(jié)構(gòu)來說，由于第/層至多有3'個(gè)節(jié)點(diǎn)，所以有0少S'-1。在本發(fā)明中，樹中的每個(gè)密鑰節(jié)點(diǎn)〈/，。都與一個(gè)密鑰仄和一個(gè)盲密鑰AT",〉)相關(guān)聯(lián)，這里函數(shù)假設(shè)葉子節(jié)點(diǎn)</,》對(duì)應(yīng)通i凡節(jié)點(diǎn)乾，主才幾選耳又隨才幾凄丈amod;，貝'J〈/,k〉知道乾.的密鑰yT",r,.和盲密鑰AT"^r;尺中間結(jié)點(diǎn)的密鑰對(duì),產(chǎn)e(尸，乃f"+i，3"《</+1,3i/+i>f"+l,3一2>》{戶密鑰樹中每個(gè)密鑰節(jié)點(diǎn)都可以由自己的密鑰與另兩個(gè)兄弟結(jié)點(diǎn)的盲密鑰計(jì)算出父結(jié)點(diǎn)的密鑰。對(duì)于密鑰節(jié)點(diǎn)〈/,》的三個(gè)孩子節(jié)點(diǎn)<7+1,3》、<formula>formulaseeoriginaldocumentpage20</formula></+1，3》利用下式計(jì)算父結(jié)點(diǎn)的密鑰和盲密鑰》Lw戶</+1,3"1>利用下式計(jì)算父結(jié)點(diǎn)的密鑰和盲密鑰<formula>formulaseeoriginaldocumentpage20</formula><7+1，3"2〉利用下式計(jì)算父結(jié)點(diǎn)的密鑰和盲密鑰在上述計(jì)算式中，如果孩子節(jié)點(diǎn)</+1，3^/>為空，則它對(duì)應(yīng)的盲密鑰<formula>formulaseeoriginaldocumentpage21</formula>由其父結(jié)點(diǎn)的左孩子結(jié)點(diǎn)的盲密鑰代替。在密鑰樹中，L,是所有成員共享的群組秘密值，把從</，》到<0，o>的所有密鑰節(jié)點(diǎn)組成的條路徑稱為節(jié)點(diǎn)〈人。密鑰路徑。任何授權(quán)的通訊節(jié)點(diǎn)都可以從與其對(duì)應(yīng)的密鑰節(jié)點(diǎn)的密鑰和相應(yīng)補(bǔ)路徑上的盲密鑰計(jì)算出群組密鑰/<。,，即位于密鑰節(jié)點(diǎn)〈人泠處的成員乾知道從</，汐到<0，0〉的所有密鑰節(jié)點(diǎn)的密鑰，這里補(bǔ)路徑是指脫的密鑰路徑上的節(jié)點(diǎn)的兄弟節(jié)點(diǎn)的集合。如圖2所示，為本發(fā)明基于無線Mesh網(wǎng)絡(luò)的密鑰管理方法中節(jié)點(diǎn)離開(成員離開)的流程示意圖，包括以下步驟步驟201，4叚設(shè)Mesh通訊群組中有N個(gè)成員(通訊節(jié)點(diǎn))，當(dāng)通訊節(jié)點(diǎn)乾將要離開群組時(shí)，首先選擇與M對(duì)應(yīng)的密鑰節(jié)點(diǎn)的父節(jié)點(diǎn)作為中間節(jié)點(diǎn)，并在以中間節(jié)點(diǎn)為根的子樹中隨機(jī)選擇最頂層葉子節(jié)點(diǎn)作為sponsor節(jié)點(diǎn)；步驟202,若中間節(jié)點(diǎn)的度為3時(shí)，則執(zhí)行步驟203，否則執(zhí)行步驟204;步驟203,sponsor節(jié)點(diǎn)刪除與^對(duì)應(yīng)的密鑰節(jié)點(diǎn)，并執(zhí)行步驟205;步驟204,sponsor節(jié)點(diǎn)刪除與乾對(duì)應(yīng)的密鑰節(jié)點(diǎn)，然后將與M對(duì)應(yīng)的密鑰節(jié)點(diǎn)的兄弟節(jié)點(diǎn)提升到與乾對(duì)應(yīng)的密鑰節(jié)點(diǎn)的父節(jié)點(diǎn)位置；步驟205,sponsor節(jié)點(diǎn)利用隨機(jī)數(shù)產(chǎn)生算法來產(chǎn)生隨機(jī)秘密值r,，計(jì)算自己的密鑰路徑上新的密鑰/SP。s。r=rs、L,e(j9i^w，M〈w,3葉)"i'"和盲密鑰Mr=i^、L</,》是sponsor節(jié)點(diǎn)的密鑰路徑上的節(jié)點(diǎn)，并廣播密鑰樹的盲密鑰；步驟206,所有的Mesh節(jié)點(diǎn)更新密鑰樹并利用自己的密鑰和兄弟節(jié)點(diǎn)的盲密鑰計(jì)算出自己的密鑰路徑上新的密鑰<formula>formulaseeoriginaldocumentpage21</formula>和盲密鑰<formula>formulaseeoriginaldocumentpage21</formula>,最后計(jì)算新的群組密鑰,〈。,^e(M化,〉，M<t.2>)<"》。如圖3所示，為本發(fā)明基于無線Mesh網(wǎng)絡(luò)的密鑰管理方法中節(jié)點(diǎn)加入(成員加入)的流程示意圖，包括以下步驟步驟301，假設(shè)Mesh通訊群組中有#個(gè)成員{浙，...，仏}，希望加入群組的節(jié)點(diǎn)為叢+1，^H采用國家密碼管理委員會(huì)辦公室批準(zhǔn)的WLAN隨機(jī)數(shù)產(chǎn)生算法產(chǎn)生隨機(jī)數(shù)/7和r,02<;,計(jì)算盲密鑰r尸，用接入點(diǎn)MP的公鑰尸&,對(duì)隨機(jī)數(shù)/2。和會(huì)話標(biāo)示符s加密后的結(jié)果ENC(i^p,/7。Is),其中，ENC是encrypt(加密)的縮寫，ENC(ml,m2)表示使用ml加密m2得到的加密消息。之后向接入通訊節(jié)點(diǎn)MP發(fā)送加入請(qǐng)求消息，該請(qǐng)求內(nèi)容包括會(huì)話標(biāo)示符s、盲密鑰r尸、ENC(尸r^，刀。ls)和自己的公鑰證書，其中會(huì)話標(biāo)示符s是由上層協(xié)議，即調(diào)用密鑰管理方案的協(xié)議來提供的，該標(biāo)示符具有唯一性；步驟302，接入通訊節(jié)點(diǎn)MP根據(jù)群組安全策略對(duì)^w進(jìn)行身份認(rèn)證；步驟303,選擇插入節(jié)點(diǎn)，若密鑰樹是滿樹，則生成新的根節(jié)點(diǎn)并將其作為插入節(jié)點(diǎn)；否則，選擇滿足以下條件的插入節(jié)點(diǎn)(l)在插入節(jié)點(diǎn)下插入新節(jié)點(diǎn)后不會(huì)增加樹的高度，(2)盡量使插入節(jié)點(diǎn)的位置處于密鑰樹的最頂端和最左端；步驟304，隨機(jī)選擇以插入節(jié)點(diǎn)為根的葉子節(jié)點(diǎn)作為sponsor節(jié)點(diǎn)；步驟305,接入通訊節(jié)點(diǎn)MP利用自己的私鑰M;對(duì)ENCO^;，/2。|s)進(jìn)行解密得到"》和s,利用已有群組密鑰U口密/7。1s將ENC(A,卿，"u|s)發(fā)送給sponsor節(jié)點(diǎn)；步驟306,sponsor節(jié)點(diǎn)解密ENC"。1s)得到化和s。然后，sponsor利用隨機(jī)數(shù)產(chǎn)生算法來產(chǎn)生隨機(jī)數(shù)A和隨機(jī)秘密值r,，將r,作為自己的密鑰，并用加入的通訊節(jié)點(diǎn)對(duì)應(yīng)的公鑰P《^對(duì)仏進(jìn)行加密得到結(jié)果ENC0%^+1，Als)，同時(shí)sponsor節(jié)點(diǎn)計(jì)算出消息認(rèn)證碼MACA"O"，ID+1，IDMP,IDsp()ns()r，步驟307，sponsor節(jié)點(diǎn)向與vl/w對(duì)應(yīng)的密鑰節(jié)點(diǎn)發(fā)送MAC,("O"，ID^，IDMP,IDs,,.,》和ENC(戶4+1，k),其中MAC為消息驗(yàn)證碼；步驟308,與U于應(yīng)的密鑰節(jié)點(diǎn)向sponsor節(jié)點(diǎn)發(fā)送應(yīng)答消息與^/w對(duì)應(yīng)的密鑰節(jié)點(diǎn)收到ENC(尸f^，/3,Is)之后，對(duì)其進(jìn)行解密得到隨機(jī)數(shù)A,計(jì)算P/。④/7,，MAC""O，，，ID%1，IDMP，IDsp。瞎，s)，然后將其計(jì)算出的消息認(rèn)證碼同sponsor節(jié)點(diǎn)發(fā)送過來的消息認(rèn)證碼進(jìn)行比較，如果一致，則計(jì)算MAC""1"，ID+，IDMP,IDsp。ns。r，s),之后將其發(fā)送給sponsor節(jié)點(diǎn)，否則拒絕yl^加入Mesh群組；步驟309，sponsor節(jié)點(diǎn)驗(yàn)證應(yīng)答消息sponsor節(jié)點(diǎn)在收到與仏!對(duì)應(yīng)的密鑰節(jié)點(diǎn)發(fā)送過來的應(yīng)答消息后，對(duì)該消息中的消息認(rèn)證碼MACf("l",ID，IDMP，IDsp。ns，力進(jìn)行驗(yàn)證，如果正確，則允許yl/w力口入Mesh群組，否則就拒絕加入Mesh群組；步驟310，若插入節(jié)點(diǎn)的度為2,將與J/w對(duì)應(yīng)的密鑰節(jié)點(diǎn)插入到插入節(jié)點(diǎn)下；.否則，sponsor節(jié)點(diǎn)創(chuàng)建新的中間節(jié)點(diǎn)，將新的中間節(jié)點(diǎn)其提升為插入節(jié)點(diǎn)和與l,對(duì)應(yīng)的密鑰節(jié)點(diǎn)的父節(jié)點(diǎn)；步驟311，sponsor節(jié)點(diǎn)計(jì)算自己的密鑰路徑上新的密鑰l,，,r,、fw-eG^w.h,A^w)、"》〉和盲密鑰傲s,。,r,尸、M"J，</，r>是sponsor節(jié)點(diǎn)的密鑰路徑上的節(jié)點(diǎn)，并廣播密鑰樹的盲密鑰；步驟312,所有的Mesh節(jié)點(diǎn)更新密鑰樹并利用自己的密鑰和兄弟節(jié)點(diǎn)的盲密鑰計(jì)算出自己的密鑰路徑上新的密鑰乙,》-e("(w,3^，Mw+u葉)^w'w和盲密鑰肌;，^乙,J,7=l~log3#,O^S'-l,最后計(jì)算新的群組密鑰L。〉-e(脫,》，M<,,2>)'<u〉。假i殳整個(gè)多播通訊系統(tǒng)同時(shí)向所有的Mesh通訊節(jié)點(diǎn)通知合并事件且通訊系統(tǒng)中有S個(gè)系統(tǒng)(GROUP,，...，GROUP,},GROUP,.對(duì)應(yīng)密鑰樹7%包括iV,個(gè)成員，如圖4所示，為本發(fā)明基于無線Mesh網(wǎng)絡(luò)的密鑰管理方法中群組合并的流程示意圖，包括以下步驟步驟401,每個(gè)密鑰樹r,.中最上層的葉子節(jié)點(diǎn)Mtop,.廣播自己所在的密鑰樹信息，/=1~《步驟402,在高度最低的密鑰樹中隨機(jī)選擇頂層葉子節(jié)點(diǎn)作為sponsor節(jié)點(diǎn)；步驟403，Mtop,.采用國家密碼管理委員會(huì)辦公室批準(zhǔn)的WLAN隨機(jī)數(shù)產(chǎn)生算法產(chǎn)生隨機(jī)數(shù)仏.，計(jì)算自身所處密鑰樹根結(jié)點(diǎn)的盲密鑰用sponsor節(jié)點(diǎn)的公鑰/乂對(duì)隨機(jī)數(shù)仏.和會(huì)話標(biāo)示符s加密后的結(jié)果ENC(/^,。"/2,l力，之后向sponsor節(jié)點(diǎn)發(fā)送加入請(qǐng)求消息，該請(qǐng)求內(nèi)容包括會(huì)話標(biāo)示符s、盲密鑰m;。,>;、ENC(/fs,仏U)和自己的公鑰證書，其中會(huì)話標(biāo)示符s是由上層協(xié)議，即調(diào)用密鑰管理方案的協(xié)議來提供的，該標(biāo)示符具有唯一性，/=1~《步驟404,sponsor節(jié)點(diǎn)根據(jù)群組安全策略對(duì)與Mtop,對(duì)應(yīng)的密鑰節(jié)點(diǎn)進(jìn)行身份認(rèn)證，/=1~《步驟405,sponsor節(jié)點(diǎn)解密ENC(/Ysp。ns。r,/7,.|s)得到仏和s。然后，sponsor節(jié)點(diǎn)利用隨機(jī)數(shù)產(chǎn)生算法來產(chǎn)生隨機(jī)數(shù)仏，并用與加入通訊節(jié)點(diǎn)對(duì)應(yīng)的公鑰/1。p,.對(duì)刀s進(jìn)行加密得到結(jié)果ENC(/l。p,，同時(shí)sponsor節(jié)點(diǎn)計(jì)算出消息認(rèn)證碼MAC.("O",IDMt。p/，IDsp。ns。r,s),其中(-/^仏，/=1~步驟406，sponsor節(jié)點(diǎn)向與Mtop,對(duì)應(yīng)的密鑰節(jié)點(diǎn)發(fā)送MACo("0"，IDMt。p,IDsp—s)和ENCWMtop,，仏I,/=1~《步驟407,與Mtop;對(duì)應(yīng)的密鑰節(jié)點(diǎn)向sponsor節(jié)點(diǎn)發(fā)送應(yīng)答消息與Mtop,對(duì)應(yīng)的密鑰節(jié)點(diǎn)收到ENC(PIMt。P;，/2sls))之后,對(duì)其進(jìn)行解密得到隨機(jī)數(shù)仏，計(jì)算(U力,，MACACO",IDMt。p;,IDsp,r,s),然后將其計(jì)算出的消息認(rèn)證碼同sponsor節(jié)點(diǎn)發(fā)送過來的消息認(rèn)證碼進(jìn)行比較。如果一致，則計(jì)算MACf/('T，，IDMt。p/，IDs,,,力，之后將其發(fā)送給sponsor;步驟408，sponsor節(jié)點(diǎn)驗(yàn)證應(yīng)答消息sponsor節(jié)點(diǎn)在收到與Mtop,對(duì)應(yīng)的密鑰節(jié)點(diǎn)發(fā)送過來的應(yīng)答消息后，對(duì)該消息中的消息認(rèn)證碼MAC、.("1",IDMt。p,，IDsp。s。r，s)進(jìn)行驗(yàn)證，如果正確，則允許Mtop,所處通訊子群加入Mesh群組，否則就拒絕Mtop,.所處通訊子群加入Mesh群組；步驟409,確定子樹合并順序，若密鑰子樹的高度不同，則先對(duì)較低的密鑰子樹進(jìn)行合并；否則，可以利用預(yù)先設(shè)定的某種排列順序來確定密鑰子樹的合并順序(如每個(gè)密鑰樹中與Mtop,對(duì)應(yīng)的密鑰節(jié)點(diǎn)的身份的字典序)；步驟410，產(chǎn)生一個(gè)新的插入節(jié)點(diǎn)，將高度最低的兩個(gè)密鑰子樹和sponsor節(jié)點(diǎn)所處密鑰子樹插入到插入節(jié)點(diǎn)之下；重復(fù)步驟410,直到將所有的密鑰子樹合并為一顆密鑰樹；步驟411，sponsor節(jié)點(diǎn)利用隨機(jī)數(shù)產(chǎn)生算法來產(chǎn)生和隨機(jī)秘密值r"計(jì)算自己的密鑰路徑上新的密鑰疋，。,r,、Z"<A》=e(AT</+1,3,+1>，^^+1.3葉)"1'3"和盲密鑰氛一尸r,戶、肌,</,。是sponsor的密鑰路徑上的節(jié)點(diǎn)，并廣播密鑰樹的盲密鑰；步驟412,所有的Mesh節(jié)點(diǎn)更新密鑰樹并利用自己的密鑰和兄弟節(jié)點(diǎn)的盲密鑰計(jì)算出自己的密鑰路徑上新的密鑰^^"A^+uw,M〈w,3wy"+""和盲密鑰M",,>=LJ,/=l~log3;V，0夕^-1，最后計(jì)算新的群組密鑰vT〈。，。嚴(yán)eCa^,,lu。如圖5所示，為本發(fā)明基于無線Mesh網(wǎng)絡(luò)的密鑰管理方法中群組分割的流程示意圖，包括以下步驟步驟501，假設(shè)具有#個(gè)成員{乾...，私}的群組中有y個(gè)成員離開群組，首先利用CompleteSubtree(完成子樹)算法把剩余的Mesh節(jié)點(diǎn)劃分成互不相交的密鑰子樹；步驟502，在最低的密鑰子樹中隨機(jī)選擇頂層葉子節(jié)點(diǎn)作為sponsor節(jié)點(diǎn)；步驟503，確定密鑰子樹合并順序，若密鑰子樹的高度不同，則先對(duì)較低的密鑰子樹進(jìn)行合并；否則，可以利用預(yù)設(shè)的某種排列順序來確定密鑰子樹的合并順序(如每個(gè)密鑰子樹中sponsor節(jié)點(diǎn)身份的字典序)；步驟504，產(chǎn)生一個(gè)新的插入節(jié)點(diǎn)，將高度最低的兩個(gè)密鑰樹和sponsor節(jié)點(diǎn)所處密鑰子樹插入到插入節(jié)點(diǎn)之下；重復(fù)步驟504直到將所有的子樹合并為一顆密鑰樹；步驟505，sponsor節(jié)點(diǎn)利用隨才幾數(shù)產(chǎn)生算法來產(chǎn)生和隨^L秘密值rs，計(jì)算自己的密鑰路徑上新的密鑰i^。，-r,、L,e(j^"化3一，M^w,w'^和盲密鑰脫sp,。尸z^、肌,,</，k〉是sponsor節(jié)點(diǎn)的密鑰路徑上的節(jié)點(diǎn)，并廣播密鑰樹的盲密鑰；步驟506,所有的Mesh節(jié)點(diǎn)更新密鑰樹并利用自己的密鑰和兄弟節(jié)點(diǎn)的盲密鑰計(jì)算出自己的密鑰路徑上新的密鑰L,-e(A^化3^,傲"w)""。和盲密鑰脫;.,"力尸，M~log3〃，0舍^-i,最后計(jì)算新的群組密鑰L。,e(A^,p，AT<i,2>)《<''3>。在步驟501中，所述CompleteSubtree(完全子樹)算法是這樣描述的CompleteSubtree算法可以把Mesh通訊節(jié)點(diǎn)離開后的群組劃分為不相交的子集，進(jìn)而對(duì)每個(gè)子集進(jìn)行不同的處理。設(shè)原通訊群組的成員集合為N,群組中的離開成員集合R,以仏，...，",標(biāo)記R中的成員。利用CompleteSubtree方法對(duì)集合N/R的劃分如下考慮密鑰樹中由集合R和根節(jié)點(diǎn)生成的Steiner樹5T(R),令5",,為原密鑰樹中"懸掛"在5T(R)下的子樹，即不屬于iT(R)且與5T(R)中節(jié)點(diǎn)所連接的子樹。這樣構(gòu)造出的5^，...，&是對(duì)N/R的一個(gè)劃分(l)每個(gè)葉子節(jié)點(diǎn)嫂R都屬于且只屬于5^，...，&中的一個(gè)集合；(2)每個(gè)葉子節(jié)點(diǎn)R不屬于^,中的任一集合。利用CompleteSubtree方法對(duì)N/R進(jìn)行劃分得到的集合數(shù)量至多為,log(Wr),其中產(chǎn)IRI，AHNI。接下來，將對(duì)上述四種密鑰管理方法的通訊和計(jì)算性能進(jìn)行分析，主要考察以下性能參數(shù)消息輪數(shù)、消息數(shù)量、消息總長(zhǎng)度和密碼運(yùn)算量。<table>tableseeoriginaldocumentpage27</column></row><table>表l:通訊量與計(jì)算量比較表參見表1,可以看出本發(fā)明的技術(shù)方案的性能要依賴于密鑰樹的高度、平衡性以及加入子樹和離開節(jié)點(diǎn)的位置。我們?cè)趯?duì)性能進(jìn)行分析時(shí)，只考慮了提出方案在最差情況下的性能。對(duì)于STR協(xié)議，考慮其各種協(xié)議性能的數(shù)學(xué)期望值。表1總結(jié)了兩個(gè)方案的通訊和計(jì)算代價(jià)，其中，當(dāng)前群組的成員數(shù)量、加入成員數(shù)量、加入群組數(shù)量和離開成員數(shù)量分別記為夂V,I和足本發(fā)明的技術(shù)方案和STR在消息輪數(shù)和消息數(shù)量上的代價(jià)類似，而在加入?yún)f(xié)議的消息總長(zhǎng)度、離開協(xié)議的消息總長(zhǎng)度和密碼運(yùn)算量、合并協(xié)議的消息總長(zhǎng)度上提出的方案都具有較大的優(yōu)勢(shì)。但提出的方案在加入?yún)f(xié)議的密碼運(yùn)算量上較差，這是因?yàn)槿~子節(jié)點(diǎn)的計(jì)算量與其祖先在sponsor的密鑰^各徑上的位置深度成正比。參見圖6和圖7,圖6為本發(fā)明技術(shù)方案與STR的群組合并時(shí)的計(jì)算量比較示意圖，圖7為本發(fā)明技術(shù)方案與STR的群組分割時(shí)的消息長(zhǎng)度比較示意圖，圖6中縱軸代表計(jì)算量，橫軸代表合并的節(jié)點(diǎn)個(gè)數(shù)，線條l代表STR的計(jì)算量，線條2、3、4分別代表本發(fā)明當(dāng)合并群組數(shù)為3、5、7時(shí)的計(jì)算量，可以看出當(dāng)合并節(jié)點(diǎn)增加時(shí)，STR的計(jì)算量會(huì)有較明顯的提升，而本發(fā)明的計(jì)算量只有微小的變化。圖7中縱軸代表消息總長(zhǎng)度，橫軸代表離開成員的數(shù)量，線條5代表STR的消息總長(zhǎng)度，線條6代表本發(fā)明的消息總長(zhǎng)度，可以看出STR的消息總長(zhǎng)度一直都高于本發(fā)明技術(shù)方案的消息總長(zhǎng)度。從以上可以得出本發(fā)明的技術(shù)方案在群組合并時(shí)的密碼運(yùn)算量上和群組分割時(shí)的消息總長(zhǎng)度上要比STR更有優(yōu)勢(shì)的結(jié)論。由圖8(本發(fā)明技術(shù)方案與STR的群組分割時(shí)的計(jì)算量比較示意圖)顯示出在分割協(xié)議的密碼運(yùn)算量上，提出的方案(線條8)在離開成員較少時(shí)具有較大的優(yōu)勢(shì)，同時(shí)雖然在離開成員較多時(shí)STR方案(線條7)具有一定優(yōu)勢(shì)，但優(yōu)勢(shì)并不4艮明顯。因此本發(fā)明的技術(shù)方案在無線Mesh網(wǎng)絡(luò)的群組通信上，能夠以較低的通訊代價(jià)實(shí)現(xiàn)動(dòng)態(tài)對(duì)等群組的密鑰管理問題。最后應(yīng)當(dāng)說明的是以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案而非對(duì)其限制；盡管參照較佳實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說明，所屬領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解依然可以對(duì)本發(fā)明的具體實(shí)施方式進(jìn)行修改或者對(duì)部分技術(shù)特征進(jìn)行等同替換；而不脫離本發(fā)明技術(shù)方案的精神，其均應(yīng)涵蓋在本發(fā)明請(qǐng)求保護(hù)的技術(shù)方案范圍當(dāng)中。權(quán)利要求1、一種基于無線Mesh網(wǎng)絡(luò)的密鑰管理方法，其特征在于，包括以下步驟步驟1，當(dāng)Mesh群組中通訊節(jié)點(diǎn)的關(guān)系發(fā)生變化時(shí)，從與所述Mesh群組相對(duì)應(yīng)的密鑰樹中選取密鑰更新輔助節(jié)點(diǎn)，其中所述密鑰樹采用三叉樹結(jié)構(gòu)；步驟2，隨機(jī)生成所述密鑰更新輔助節(jié)點(diǎn)的密鑰和盲密鑰；步驟3，根據(jù)所述密鑰更新輔助節(jié)點(diǎn)的密鑰和盲密鑰，計(jì)算所述密鑰更新輔助節(jié)點(diǎn)在所述密鑰樹上的密鑰路徑中各密鑰節(jié)點(diǎn)的密鑰和盲密鑰，并向所述密鑰樹中各密鑰節(jié)點(diǎn)廣播所述密鑰路徑上各密鑰節(jié)點(diǎn)的盲密鑰；步驟4，所述密鑰樹中各葉子節(jié)點(diǎn)更新自身的密鑰和盲密鑰，并計(jì)算出群組密鑰。2、根據(jù)權(quán)利要求1所述的基于無線Mesh網(wǎng)絡(luò)的密鑰管理方法，其特征在于，所述步驟l具體為當(dāng)所述Mesh群組中的第一通訊節(jié)點(diǎn)離開時(shí)，選擇所述第一通訊節(jié)點(diǎn)對(duì)應(yīng)的第一密鑰節(jié)點(diǎn)的父節(jié)點(diǎn)為中間節(jié)點(diǎn)，并且從以中間節(jié)點(diǎn)為根的子樹上，隨機(jī)選擇最頂層葉子節(jié)點(diǎn)作為密鑰更新輔助節(jié)點(diǎn)。3、根據(jù)權(quán)利要求2所述的基于無線Mesh網(wǎng)絡(luò)的密鑰管理方法，其特征在于，在所述步驟2之前，進(jìn)一步包括以下步驟判斷所述中間節(jié)點(diǎn)的度是否為3,是則刪除所述第一密鑰節(jié)點(diǎn)，否則刪除所述第一密鑰節(jié)點(diǎn)，并將所述第一密鑰節(jié)點(diǎn)的兄弟節(jié)點(diǎn)提升到父節(jié)點(diǎn)位置。4、根據(jù)權(quán)利要求1所述的基于無線Mesh網(wǎng)絡(luò)的密鑰管理方法，其特征在于，所述步驟l具體為步驟11，當(dāng)?shù)诙ㄓ嵐?jié)點(diǎn)向所述Mesh群組發(fā)出加入請(qǐng)求時(shí)，所述Mesh群組的接入通訊節(jié)點(diǎn)根據(jù)群組安全策略對(duì)所述第二通訊節(jié)點(diǎn)進(jìn)行身份認(rèn)證；步驟12，在與所述Mesh群組相對(duì)應(yīng)的密鑰樹中選擇插入密鑰節(jié)點(diǎn)，并隨機(jī)選擇以所述插入密鑰節(jié)點(diǎn)為根的葉子節(jié)點(diǎn)作為密鑰更新輔助節(jié)點(diǎn)。5、4艮據(jù)權(quán)利要求4所述的基于無線Mesh網(wǎng)絡(luò)的密鑰管理方法，其特征在于，所述步驟ll具體為利用與所述第二通訊節(jié)點(diǎn)對(duì)應(yīng)的第二密鑰節(jié)點(diǎn)生成的第一隨機(jī)數(shù)計(jì)算出所述第二密鑰節(jié)點(diǎn)的盲密鑰，并利用與所述接入通訊節(jié)點(diǎn)相對(duì)應(yīng)的接入密鑰節(jié)點(diǎn)的公鑰對(duì)所述第一隨機(jī)數(shù)和會(huì)話標(biāo)識(shí)符進(jìn)行加密，獲得接入點(diǎn)ENC,然后將包含所述會(huì)話標(biāo)識(shí)符、盲密鑰、接入點(diǎn)ENC和所述第二密鑰節(jié)點(diǎn)的公鑰證書的加入請(qǐng)求發(fā)送給所述Mesh群組，所述接入通訊節(jié)點(diǎn)根據(jù)群組安全策略對(duì)所述第二通訊節(jié)點(diǎn)進(jìn)行身份認(rèn)證。6、根據(jù)權(quán)利要求4所述的基于無線Mesh網(wǎng)絡(luò)的密鑰管理方法，其特征在于，所述步驟12具體為步驟121,判斷與所述Mesh群組對(duì)應(yīng)的密鑰樹是否為滿樹，是則生成新的根節(jié)點(diǎn)，并將該根節(jié)點(diǎn)作為插入密鑰節(jié)點(diǎn)；否則選擇所述密鑰樹中滿足插入條件的插入密鑰節(jié)點(diǎn)；步驟122，隨機(jī)選擇以所述插入密鑰節(jié)點(diǎn)為根的葉子節(jié)點(diǎn)作為密鑰更新輔助節(jié)點(diǎn)。7、根據(jù)權(quán)利要求5所述的基于無線Mesh網(wǎng)絡(luò)的密鑰管理方法，其特征在于，在所述步驟2之前，還包括以下步驟步驟21，所述接入密鑰節(jié)點(diǎn)用自身的私鑰對(duì)所述接入點(diǎn)ENC進(jìn)行解密，并用原群組密鑰將所述接入點(diǎn)ENC解密后的內(nèi)容進(jìn)行加密，獲得群組ENC;步驟22，所述接入密鑰節(jié)點(diǎn)將所述群組ENC發(fā)送給所述密鑰更新輔助節(jié)點(diǎn)，所述密鑰更新輔助節(jié)點(diǎn)解密所述群組ENC,并根據(jù)所述群組ENC解密后的內(nèi)容，獲得第二節(jié)點(diǎn)ENC，同時(shí)計(jì)算出第二節(jié)點(diǎn)信息認(rèn)證碼；步驟23，所述密鑰更新輔助節(jié)點(diǎn)向所述第二密鑰節(jié)點(diǎn)發(fā)送所述第二節(jié)點(diǎn)ENC和第二節(jié)點(diǎn)信息認(rèn)證碼；步驟24,所述第二密鑰節(jié)點(diǎn)向所述密鑰更新輔助節(jié)點(diǎn)發(fā)送應(yīng)答消息；步驟25,所述密鑰更新輔助節(jié)點(diǎn)對(duì)所述應(yīng)答消息進(jìn)行驗(yàn)證，當(dāng)驗(yàn)證通過時(shí)，允許所述第二通訊節(jié)點(diǎn)加入所述Mesh群組；步驟26,將所述第二通訊節(jié)點(diǎn)插入所述Mesh群組中。8、沖艮據(jù)權(quán)利要求7所述的基于無線Mesh網(wǎng)絡(luò)的密鑰管理方法，其特征在于，所述步驟22具體為步驟221，所述接入密鑰節(jié)點(diǎn)將所述群組ENC發(fā)送給所述密鑰更新輔助節(jié)點(diǎn)；步驟222，所述密鑰更新輔助節(jié)點(diǎn)解密所述群組ENC;步驟223,所述密鑰更新輔助節(jié)點(diǎn)生成第二隨機(jī)數(shù)和隨4JU降密值，并以該隨機(jī)秘密值作為自己的密鑰，通過所述第二密鑰節(jié)點(diǎn)的公鑰證書對(duì)該第二隨機(jī)數(shù)進(jìn)行加密，獲得第二節(jié)點(diǎn)ENC;步驟224,同時(shí)計(jì)算出第二節(jié)點(diǎn)信息認(rèn)證碼。9、4艮據(jù)權(quán)利要求8所述的基于無線Mesh網(wǎng)絡(luò)的密鑰管理方法，其特征在于，所述步驟24具體為步驟241,所述第二密鑰節(jié)點(diǎn)對(duì)所述第二節(jié)點(diǎn)ENC進(jìn)行解密獲得所述第二隨機(jī)數(shù)；步驟242,所述第二密鑰節(jié)點(diǎn)根據(jù)所述第二隨機(jī)數(shù)計(jì)算信息認(rèn)證碼；步驟243,所述第二密鑰節(jié)點(diǎn)將計(jì)算后的信息認(rèn)證碼與所述第二節(jié)點(diǎn)信息認(rèn)證碼進(jìn)行比較，如果一致，則計(jì)算出應(yīng)答消息信息認(rèn)證碼，并發(fā)送給所述密鑰更新輔助節(jié)點(diǎn)；如果不一致，則拒絕所述第二通訊節(jié)點(diǎn)加入所述Mesh群組。10、才艮據(jù)權(quán)利要求9所述的基于無線Mesh網(wǎng)絡(luò)的密鑰管理方法，其特征在于，所述步驟25具體為所述密鑰更新輔助節(jié)點(diǎn)對(duì)所述應(yīng)答消息信息認(rèn)證碼進(jìn)行-瞼i正，通過-瞼證時(shí)，則允許所述第二通訊節(jié)點(diǎn)加入所述Mesh群組；否則拒絕所述第二通訊節(jié)點(diǎn)加入所述Mesh群組。11、根據(jù)權(quán)利要求7所述的基于無線Mesh網(wǎng)絡(luò)的密鑰管理方法，其特征在于，所述步驟26具體為判斷所述插入節(jié)點(diǎn)的度是否為2，是則將所述第二密鑰節(jié)點(diǎn)插入到插入節(jié)點(diǎn)下，否則創(chuàng)建所述發(fā)起節(jié)點(diǎn)的中間節(jié)點(diǎn)，并將所述中間節(jié)點(diǎn)提升為所述插入節(jié)點(diǎn)和第二節(jié)點(diǎn)的父節(jié)點(diǎn)。12、根據(jù)權(quán)利要求l所述的基于無線Mesh網(wǎng)絡(luò)的密鑰管理方法，其特征在于，所述步驟l具體為步驟11'，每個(gè)密鑰子樹的頂層葉子節(jié)點(diǎn)廣播自身的密鑰子樹信息，并在高度最低的密鑰子樹中隨機(jī)選擇頂層葉子節(jié)點(diǎn)作為密鑰更新輔助節(jié)點(diǎn)；步驟12，，當(dāng)所述每個(gè)密鑰子樹的頂層葉子節(jié)點(diǎn)向所述密鑰更新輔助節(jié)點(diǎn)發(fā)出加入請(qǐng)求時(shí)，所述密鑰更新輔助節(jié)點(diǎn)根據(jù)群組安全策略對(duì)所述每個(gè)密鑰子樹的頂層葉子節(jié)點(diǎn)進(jìn)行身份認(rèn)證。13、根據(jù)權(quán)利要求12所述的基于無線Mesh網(wǎng)絡(luò)的密鑰管理方法，其特征在于，所述步驟U，具體為每個(gè)密鑰子樹的頂層葉子節(jié)點(diǎn)才艮據(jù)生成的第三隨機(jī)數(shù)計(jì)算出盲密鑰，并利用所述密鑰更新輔助節(jié)點(diǎn)的公鑰對(duì)所述第三隨機(jī)數(shù)和會(huì)話標(biāo)識(shí)符進(jìn)行加密，獲得密鑰更新輔助點(diǎn)ENC,然后將包含所述會(huì)話標(biāo)識(shí)符、密鑰更新輔助點(diǎn)ENC、所述每個(gè)密鑰子樹的頂層葉子節(jié)點(diǎn)的盲密鑰和公鑰證書的加入請(qǐng)求發(fā)送給所述密鑰更新輔助節(jié)點(diǎn)，所述密鑰更新輔助節(jié)點(diǎn)根據(jù)群組安全策略對(duì)所述每個(gè)密鑰子樹的頂層葉子節(jié)點(diǎn)進(jìn)行身份認(rèn)證。14、根據(jù)權(quán)利要求13所述的基于無線Mesh網(wǎng)絡(luò)的密鑰管理方法，其特征在于，所述步驟2之前，還包括以下步驟步驟21',所述密鑰更新輔助節(jié)點(diǎn)對(duì)所述發(fā)起點(diǎn)ENC進(jìn)行解密，并用所述每個(gè)密鑰子樹的頂層葉子節(jié)點(diǎn)的公鑰證書進(jìn)行加密，獲得頂層葉子節(jié)點(diǎn)ENC,同時(shí)計(jì)算出頂層葉子節(jié)點(diǎn)信息認(rèn)證碼；步驟22，，所述密鑰更新輔助節(jié)點(diǎn)向所述每個(gè)密鑰子樹的頂層葉子節(jié)點(diǎn)發(fā)送所述頂層葉子節(jié)點(diǎn)ENC和頂層葉子節(jié)點(diǎn)信息認(rèn)證碼；步驟23，，所述每個(gè)密鑰子樹的頂層葉子節(jié)點(diǎn)向所述密鑰更新輔助節(jié)點(diǎn)發(fā)送應(yīng)答消息；步驟24',所述密鑰更新輔助節(jié)點(diǎn)對(duì)所述應(yīng)答消息進(jìn)行驗(yàn)證，當(dāng)驗(yàn)證通過時(shí)，允許與每個(gè)密鑰子樹的頂層葉子節(jié)點(diǎn)對(duì)應(yīng)的通訊子群加入所述Mesh群組；步驟25',將所有密鑰子樹合并為一。15、才艮據(jù)權(quán)利要求14所述的基于無線Mesh網(wǎng)絡(luò)的密鑰管理方法，其特征在于，所述步驟21，具體為步驟211，，所述密鑰更新輔助節(jié)點(diǎn)對(duì)所述密鑰更新輔助點(diǎn)ENC進(jìn)行解密，獲得所述第三隨機(jī)數(shù)和會(huì)話標(biāo)識(shí)符；步驟212，，所述密鑰更新輔助節(jié)點(diǎn)生成第四隨機(jī)數(shù)，并使用所述每個(gè)密鑰子樹的頂層葉子節(jié)點(diǎn)的公鑰證書對(duì)所述第四隨機(jī)數(shù)和會(huì)話標(biāo)識(shí)符進(jìn)行加密，獲得頂層葉子節(jié)點(diǎn)ENC,同時(shí)計(jì)算出頂層葉子節(jié)點(diǎn)信息認(rèn)證碼。16、根據(jù)權(quán)利要求15所述的基于無線Mesh網(wǎng)絡(luò)的密鑰管理方法，其特征在于，所述步驟23，具體為步驟231',所述每個(gè)密鑰子樹的頂層葉子節(jié)點(diǎn)對(duì)所述頂層葉子節(jié)點(diǎn)ENC進(jìn)行解密獲得所述第四隨機(jī)數(shù)；步驟232，，所述每個(gè)密鑰子樹的頂層葉子節(jié)點(diǎn)根據(jù)所述第四隨機(jī)數(shù)計(jì)算信息認(rèn)證碼；步驟233，，將計(jì)算得到的信息認(rèn)證碼與所述頂層葉子節(jié)點(diǎn)信息認(rèn)證碼進(jìn)行比較，如果一致，則計(jì)算出應(yīng)答消息信息認(rèn)證碼，并發(fā)送給所述密鑰更新輔助節(jié)點(diǎn)；如果不一致，則拒絕與該葉子節(jié)點(diǎn)所在的通訊子組加入所述Mesh群組。17、根據(jù)權(quán)利要求16所述的基于無線Mesh網(wǎng)絡(luò)的密鑰管理方法，其特征在于，所述步驟24，具體為所述密鑰更新輔助節(jié)點(diǎn)對(duì)所述應(yīng)答消息信息認(rèn)證碼進(jìn)行驗(yàn)證，通過驗(yàn)證時(shí)，則允許與該頂層葉子節(jié)點(diǎn)所在的通訊子組加入所述Mesh群組；否則拒絕與該頂層葉子節(jié)點(diǎn)所在的通訊子組加入所述Mesh群組。18、才艮據(jù)權(quán)利要求14所述的基于無線Mesh網(wǎng)絡(luò)的密鑰管理方法，其特征在于，所述步驟25，具體為步驟251，，判斷所述每個(gè)密鑰子樹是否高度相同，是則利用預(yù)設(shè)排序方式確定密鑰子樹的合并順序，否則先對(duì)高度較低的密鑰子樹進(jìn)行合并；步驟252，，生成一個(gè)插入密鑰節(jié)點(diǎn)，將高度最低的兩個(gè)密鑰子樹和所述密鑰更新輔助節(jié)點(diǎn)所處密鑰子樹插到所述插入密鑰節(jié)點(diǎn)下；步驟253',重復(fù)步驟252',直到所有密鑰子樹合并為一。19、根據(jù)權(quán)利要求1所述的基于無線Mesh網(wǎng)絡(luò)的密鑰管理方法，其特征在于，所述步驟l具體為當(dāng)所述Mesh群組中的多個(gè)通訊節(jié)點(diǎn)離開時(shí)，將與所述Mesh群組對(duì)應(yīng)的密鑰樹中剩余的密鑰節(jié)點(diǎn)劃分成互不相交的密鑰子樹，并且從高度最低的密鑰子樹隨機(jī)選擇頂層葉子節(jié)點(diǎn)作為密鑰更新輔助節(jié)點(diǎn)。20、根據(jù)權(quán)利要求19所述的基于無線Mesh網(wǎng)絡(luò)的密鑰管理方法，其特征在于，所述步驟2之前，還包括以下步驟步驟21",判斷所述每個(gè)密鑰子樹是否高度相同，是則利用預(yù)設(shè)排序方式確定密鑰子樹的合并順序，否則先對(duì)高度較低的密碼子樹進(jìn)行合并；步驟22"，生成一個(gè)插入密鑰節(jié)點(diǎn)，將高度最低的兩個(gè)密鑰子樹和所述密鑰更新輔助節(jié)點(diǎn)所處密鑰子樹插到所述插入密鑰節(jié)點(diǎn)下；步驟23"，重復(fù)步驟22"，直到所有密鑰子樹合并為一。21、根據(jù)權(quán)利要求19所述的基于無線Mesh網(wǎng)絡(luò)的密鑰管理方法，其特征在于，所述將與所述Mesh群組對(duì)應(yīng)的密鑰樹中剩余的密鑰節(jié)點(diǎn)劃分成互不相交的密鑰子樹的操作具體為將與所述Mesh群組對(duì)應(yīng)的密鑰樹中剩余的密鑰節(jié)點(diǎn)依照完全子樹算法進(jìn)行劃分，獲得互不相交的密鑰子樹。全文摘要本發(fā)明涉及一種基于無線Mesh網(wǎng)絡(luò)的密鑰管理方法，其特征在于，包括以下步驟當(dāng)Mesh群組中通訊節(jié)點(diǎn)的關(guān)系發(fā)生變化時(shí)，從與Mesh群組相對(duì)應(yīng)的密鑰樹中選取密鑰更新輔助節(jié)點(diǎn)，其中密鑰樹采用三叉樹結(jié)構(gòu)；隨機(jī)生成密鑰更新輔助節(jié)點(diǎn)的密鑰和盲密鑰；計(jì)算密鑰更新輔助節(jié)點(diǎn)在密鑰樹上的密鑰路徑中各密鑰節(jié)點(diǎn)的密鑰和盲密鑰，并向密鑰樹中各密鑰節(jié)點(diǎn)廣播密鑰路徑上各密鑰節(jié)點(diǎn)的盲密鑰；密鑰樹中各葉子節(jié)點(diǎn)更新自身的密鑰和盲密鑰，并計(jì)算出群組密鑰。本發(fā)明提出的技術(shù)方案在節(jié)點(diǎn)加入時(shí)的消息總長(zhǎng)度、節(jié)點(diǎn)離開時(shí)的消息總長(zhǎng)度和密碼運(yùn)算量、群組合并的消息總長(zhǎng)度等參數(shù)低于現(xiàn)有技術(shù)，克服了現(xiàn)有技術(shù)安全需求和可擴(kuò)展性與QoS需求相矛盾的問題。文檔編號(hào)H04L9/08GK101110670SQ20061009931公開日2008年1月23日申請(qǐng)日期2006年7月17日優(yōu)先權(quán)日2006年7月17日發(fā)明者姚忠輝,帆張,曹春杰,李亞輝,超楊,楊衛(wèi)東,巍王,馬建峰申請(qǐng)人:西安電子科技大學(xué);華為技術(shù)有限公司