專利名稱:基于分布式管理架構(gòu)的自適應(yīng)安全組通信系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于信息安全領(lǐng)域,為大規(guī)模動(dòng)態(tài)的網(wǎng)絡(luò)環(huán)境提供一種基于分布式管理架構(gòu)的自適應(yīng)安全組通信系統(tǒng)����。
背景技術(shù):
近年來���,隨著科學(xué)技術(shù)的快速發(fā)展,微電子和計(jì)算機(jī)技術(shù)滲透到了各個(gè)領(lǐng)域����,人們對電子信息技術(shù)的應(yīng)用已經(jīng)處于一個(gè)迅猛發(fā)展的新時(shí)期。由于組通信一方面能實(shí)現(xiàn)互聯(lián)網(wǎng)上資源的互聯(lián)互通���,另一方面又能消除資源孤島�����,因此越來越被廣泛運(yùn)用到視頻會(huì)議、軍事和航空航天等領(lǐng)域�����。組通信作為網(wǎng)絡(luò)信息的一種通信方式���,其應(yīng)用范圍和規(guī)模不斷擴(kuò)大��,功能不斷增多��,對其安全性的要求越來越高����,在整個(gè)計(jì)算機(jī)軟件和信息安全技術(shù)中占有重要的地位。隨著組通信系統(tǒng)規(guī)模的不斷增大����,成員的不斷增加,其安全隱患也越來越明顯���。由于組通信的泄密常常給人們造成災(zāi)難性后果���,因此,組通信的安全問題引起了軟件工程界和安全部門的高度重視��,整個(gè)組通信系統(tǒng)的主要問題已經(jīng)由通信領(lǐng)域逐步轉(zhuǎn)向安全領(lǐng)域���。
目前�����,基于分布式管理架構(gòu)的安全組通信系統(tǒng)(如Clique安全組通信系統(tǒng)和Iolus安全組通信系統(tǒng))所采用的管理策略均是將組成員管理與組成員密鑰管理分開����,分別由不同的服務(wù)器(或節(jié)點(diǎn)機(jī))進(jìn)行處理�。在這些管理策略中�,參與組通信的節(jié)點(diǎn)是對等的����,通過會(huì)話協(xié)商機(jī)制,實(shí)現(xiàn)對組成員(成員節(jié)點(diǎn)機(jī))與組成員的密鑰管理����。因此,這種分布式管理架構(gòu)的最大優(yōu)點(diǎn)是不存在單一失效的問題��,理論上適合規(guī)模較大的組通信系統(tǒng)中�����。但是�����,由于會(huì)話協(xié)商總是需要一定的通信開銷����,并且密鑰分配與更新也需要一定的計(jì)算開銷���,因而存在著一定的通信延遲�����。當(dāng)系統(tǒng)規(guī)模擴(kuò)大到一定程度時(shí)�,面對成員動(dòng)態(tài)變化,現(xiàn)有的這些管理策略缺乏自適應(yīng)性��,它不能根據(jù)成員動(dòng)態(tài)變化規(guī)律主動(dòng)獲得系統(tǒng)信息和最佳成員管理策略�,也不能根據(jù)系統(tǒng)狀態(tài)變化規(guī)律及時(shí)主動(dòng)的做出正確反應(yīng)。由此導(dǎo)致的直接后果就是(1)服務(wù)器的負(fù)荷重���,網(wǎng)絡(luò)通信延遲長����,限制了安全組通信系統(tǒng)的可擴(kuò)展性和靈活性���;(2)出現(xiàn)組密鑰更新與組消息簽名(或加密)之間異步的現(xiàn)象���,降低了安全組通信系統(tǒng)的通信效率;(3)成員退出時(shí)��,系統(tǒng)不能保證組通信的后向安全性���;(4)消息在傳遞過程中很容易被截獲����,影響了組通信系統(tǒng)的安全性。因此�����,在大規(guī)模動(dòng)態(tài)網(wǎng)絡(luò)環(huán)境中�,這種缺乏自適應(yīng)的分布式管理架構(gòu)難以適用于大規(guī)模動(dòng)態(tài)組通信的安全需要。
發(fā)明內(nèi)容本發(fā)明的目的在于克服現(xiàn)有安全組通信系統(tǒng)的缺陷��,提供一種基于分布式管理架構(gòu)的自適應(yīng)安全組通信系統(tǒng)����,該系統(tǒng)能夠?qū)M通信成員進(jìn)行自適應(yīng)管理,能夠?qū)M成員的密鑰進(jìn)行自適應(yīng)分配與更新�����,能夠使組簽名與消息加密進(jìn)行融合�����。從而為大規(guī)模動(dòng)態(tài)的網(wǎng)絡(luò)環(huán)境提供一種基于分布式管理架構(gòu)的自適應(yīng)安全組通信系統(tǒng)。
本發(fā)明提供的一種基于分布式管理架構(gòu)的自適應(yīng)安全組通信系統(tǒng),該系統(tǒng)包括位于組通信群體中的各成員節(jié)點(diǎn)機(jī)上的組通信安全處理器和位于服務(wù)器中的組通信成員管理器���;其中��,組通信成員管理器用于與各成員節(jié)點(diǎn)機(jī)建立連接����,對各成員的身份進(jìn)行認(rèn)證并將認(rèn)證結(jié)果返回給組通信安全處理器,對各成員節(jié)點(diǎn)機(jī)進(jìn)行管理�;組通信安全處理器用于向組通信成員管理器發(fā)送認(rèn)證消息,接收組通信成員管理器返回的認(rèn)證結(jié)果�����,并進(jìn)行統(tǒng)計(jì)��;根據(jù)組通信的成員信息進(jìn)行密鑰計(jì)算和密鑰分配�����;對需要發(fā)送的消息進(jìn)行統(tǒng)計(jì)�、簽名、加密和發(fā)送�;對需要接收的加密消息進(jìn)行接收、解密�����、驗(yàn)證和統(tǒng)計(jì);對發(fā)送的組消息或接收的組消息進(jìn)行顯示����;當(dāng)某一成員節(jié)點(diǎn)機(jī)離開時(shí),該節(jié)點(diǎn)機(jī)上的組通信安全處理器斷開與組通信成員管理器�����、以及其它成員節(jié)點(diǎn)機(jī)之間的連接��。
本發(fā)明系統(tǒng)總體架構(gòu)依然是分布式的�����,只是在管理策略上提供一種新的自適應(yīng)管理策略��。本發(fā)明采用自適應(yīng)的管理策略和模塊化的設(shè)計(jì)方法��,以最大限度地降低安全組通信軟件系統(tǒng)對組通信的可擴(kuò)展性的影響�;同時(shí),采用組通信成員管理模塊與密鑰分配模塊分開設(shè)計(jì)的方法��,使它們分別位于服務(wù)器和成員的節(jié)點(diǎn)機(jī)上�����,這樣既能保證服務(wù)器對組成員(成員節(jié)點(diǎn)機(jī))進(jìn)行自適應(yīng)管理�,又能使密鑰分配獨(dú)立于具體的成員管理過程之外,具有很好的可擴(kuò)展性�����??傊景l(fā)明具有以下技術(shù)效果1���、安全組通信的自適應(yīng)分布式管理傳統(tǒng)的組通信系統(tǒng)通常使用集中式管理或者分布式管理��。集中式管理就是選擇單一的服務(wù)器對系統(tǒng)進(jìn)行管理��,即服務(wù)器既要對組通信成員進(jìn)行管理又要對組成員的密鑰更新進(jìn)行管理����。這種單一的服務(wù)器管理使得服務(wù)器的負(fù)荷特別大��,這不僅加大了網(wǎng)絡(luò)通信的延遲��,也影響了群組通信系統(tǒng)的可擴(kuò)展性和靈活性����。而分布式管理就是將組成員管理與組成員密鑰更新管理進(jìn)行分開�����,讓它們分別位于服務(wù)器和成員的節(jié)點(diǎn)機(jī)上(位于客戶端)����,這樣既能保證服務(wù)器對組成員進(jìn)行管理���,又能使密鑰分配獨(dú)立于具體的成員管理過程之外��,理論上具有很好的可擴(kuò)展性����??墒牵诂F(xiàn)有的分布式管理架構(gòu)中��,對組成員的管理缺乏自適應(yīng)性�,不能根據(jù)組成員動(dòng)態(tài)變化特性選擇最佳成員管理策略,從而使得系統(tǒng)的可擴(kuò)展性受到了嚴(yán)重約束�����。而自適應(yīng)分布式管理能夠根據(jù)系統(tǒng)的通信狀態(tài),自動(dòng)選擇最佳成員管理策略��,實(shí)現(xiàn)對組成員的管理�����;同時(shí)���,又能使密鑰分配獨(dú)立于具體的成員管理過程之外,真正減輕成員管理策略對組通信系統(tǒng)可擴(kuò)展性的影響�。
2、組成員密鑰的自適應(yīng)分配與更新傳統(tǒng)的安全組通信系統(tǒng)通常只是使用一種機(jī)制來更新群組密鑰�,然而,對組通信而言��,組成員會(huì)隨著時(shí)間的變化而變化��,這種單一的密鑰更新方法難以適應(yīng)大規(guī)模動(dòng)態(tài)組通信變化的需要�����。因此����,本系統(tǒng)設(shè)計(jì)出一種自適應(yīng)的密鑰分配方法��。在這種自適應(yīng)的密鑰分配方法中��,綜合使用邏輯密鑰樹結(jié)構(gòu)(Logical Key Tree)�����,在密鑰分配過程中�,如果系統(tǒng)接收的是組通信成員的退出(Exit)請求�����,則采用密鑰及時(shí)更新機(jī)制���;如果系統(tǒng)接收的是組通信成員的加入(Join)請求,則采用密鑰批量更新機(jī)制��,并運(yùn)用馬爾可夫模型(Markov模型)��,自動(dòng)更新密鑰更新周期。這種自適應(yīng)的密鑰分配方法能有效地評估成員節(jié)點(diǎn)機(jī)的狀態(tài)��,自動(dòng)地選擇性能較優(yōu)的密鑰邏輯樹結(jié)構(gòu)來分配密鑰,減少由于密鑰更新所帶來的通信開銷,增強(qiáng)系統(tǒng)對組成員變化的承受能力�����,增強(qiáng)系統(tǒng)的安全性�����,在各種情況下都能達(dá)到較為理想的密鑰分配效果�。
3����、組簽名與消息加密的融合傳統(tǒng)的組通信系統(tǒng)使用的安全方法常常是組簽名機(jī)制或者是消息加密機(jī)制,因?yàn)榻M簽名機(jī)制能夠?qū)崿F(xiàn)對組和成員身份的驗(yàn)證��,消息加密機(jī)制能夠?qū)崿F(xiàn)消息在網(wǎng)絡(luò)中的安全傳輸�����。但是,傳統(tǒng)的組通信系統(tǒng)常常將組簽名機(jī)制與消息加密機(jī)制割裂使用���,不能實(shí)現(xiàn)組簽名與消息加密的融合���。因此��,在本系統(tǒng)設(shè)計(jì)過程中��,設(shè)計(jì)出了一種新的加密認(rèn)證機(jī)制。這種新的加密認(rèn)證機(jī)制包含四個(gè)階段(1)密鑰產(chǎn)生階段����;(2)個(gè)人簽名的產(chǎn)生和驗(yàn)證階段;(3)組簽名的產(chǎn)生和加密階段����;(4)解密和組簽名的驗(yàn)證階段���。在密鑰產(chǎn)生階段���,主要產(chǎn)生組密鑰和組成員的個(gè)人密鑰�;在個(gè)人簽名的產(chǎn)生和驗(yàn)證階段�����,主要產(chǎn)生個(gè)人簽名和對個(gè)人簽名進(jìn)行驗(yàn)證;在組簽名的產(chǎn)生和加密階段�����,先對組進(jìn)行簽名,對消息進(jìn)行加密���,然后對消息進(jìn)行解密���,對組簽名進(jìn)行驗(yàn)證。在這種新的加密認(rèn)證機(jī)制中��,密鑰管理者(由組通信成員共同決定)主要負(fù)責(zé)密鑰(包括個(gè)人和組的私鑰�、個(gè)人和組的公鑰)的產(chǎn)生,它不負(fù)責(zé)組簽名���,組簽名由組通信成員共同決定�����。因此��,通過這種新的加密認(rèn)證機(jī)制�,一方面實(shí)現(xiàn)組簽名的功能�����,另一方面實(shí)現(xiàn)消息加密功能��,從而實(shí)現(xiàn)組簽名與消息加密的融合。
4���、良好的兼容性和跨平臺性傳統(tǒng)的組通信系統(tǒng)使用的是面向?qū)ο蟮脑O(shè)計(jì)方法����,而本系統(tǒng)使用的是面向?qū)ο笈c面向服務(wù)相結(jié)合的設(shè)計(jì)方法���。這種設(shè)計(jì)方法使任何潛在客戶的請求均能以服務(wù)的方式提供��,客戶不需要知道服務(wù)實(shí)現(xiàn)的技術(shù)細(xì)節(jié)����,因而具有良好的兼容性�����。在本系統(tǒng)中��,組密鑰管理和組成員管理都是以WebService的方式來提供�,從而使得這種分布式管理架構(gòu)更為靈活���。此外���,該系統(tǒng)軟件用Java語言編寫�����,適用于Windows操作平臺和Linux操作平臺��。
圖1為基于分布式管理架構(gòu)的自適應(yīng)安全組通信系統(tǒng)拓?fù)浣Y(jié)構(gòu)��;圖2為基于分布式管理架構(gòu)的自適應(yīng)安全組通信系統(tǒng)體系結(jié)構(gòu)����;圖3為組通信成員管理器流程圖�����;圖4為組通信安全處理器流程圖���;圖5為一個(gè)運(yùn)行實(shí)例的示意圖�。
具體實(shí)施方式下面結(jié)合附圖和實(shí)例對本發(fā)明作進(jìn)一步詳細(xì)的說明�����。
如圖1所示�,本發(fā)明系統(tǒng)從安全組通信的工作角度來說�,包括位于客戶端3中的各成員節(jié)點(diǎn)機(jī)4.1�����、4.2�、……、4.n上的組通信安全處理器5.1��、5.2����、……、5.n和位于服務(wù)器1中的組通信成員管理器2���,二部分之間通過網(wǎng)絡(luò)通信�。為表述方便��,以下將各成員節(jié)點(diǎn)機(jī)4.1�、4.2、……����、4.n統(tǒng)稱為節(jié)點(diǎn)機(jī)4�,組通信安全處理器5.1���、5.2、……����、5.n統(tǒng)稱為組通信安全處理器5。
組通信成員管理器2主要負(fù)責(zé)與客戶端3中的各成員節(jié)點(diǎn)機(jī)4建立連接���、對成員節(jié)點(diǎn)機(jī)4的身份進(jìn)行認(rèn)證并將認(rèn)證結(jié)果返回給組通信安全處理器5��、對成員節(jié)點(diǎn)4機(jī)進(jìn)行管理�。
組通信安全處理器5是組通信成員進(jìn)行安全通信的核心�,它的主要功能是向組通信成員管理器2發(fā)送認(rèn)證消息;接收組通信成員管理器2返回的認(rèn)證結(jié)果�����;對組通信成員管理器2返回的認(rèn)證結(jié)果進(jìn)行統(tǒng)計(jì)�����;根據(jù)組通信的成員信息進(jìn)行密鑰計(jì)算和密鑰分配�;對需要發(fā)送的消息進(jìn)行統(tǒng)計(jì)、簽名���、加密和發(fā)送�����;對需要接收的加密消息進(jìn)行接收�����、解密����、驗(yàn)證和統(tǒng)計(jì);對發(fā)送的組消息或接收的組消息進(jìn)行顯示等���。當(dāng)某一成員節(jié)點(diǎn)機(jī)離開系統(tǒng)時(shí)�����,該機(jī)將斷開與組通信成員管理器2之間的連接�����,同時(shí)也斷開與其它成員節(jié)點(diǎn)機(jī)之間的連接��。
下面結(jié)合圖2為上述各部分的具體結(jié)構(gòu)作進(jìn)一步詳細(xì)的說明�����。
一�����、位于客戶端的各節(jié)點(diǎn)機(jī)中的組通信安全處理器組通信安全處理器5包括控制模塊6�����、成員操作模塊7����、密鑰管理模塊8��、組通信信息收集模塊9����、加密/解密模塊10、組通信模塊11和顯示模塊12���。
控制模塊6的功能是接收用戶輸入的加入(或者退出)命令���;接收用戶輸入的用戶名和口令��;接收用戶輸入的加入(或者退出)組的組名��;向成員操作模塊7發(fā)送命令���;接收成員操作模塊7發(fā)送的反饋信息;向組通信信息收集模塊9發(fā)送信息收集命令����;向顯示模塊12發(fā)送成員節(jié)點(diǎn)機(jī)信息和組通信信息。
成員操作模塊7的功能是向組通信成員管理器2發(fā)送加入或者退出命令���;對組通信成員管理器2發(fā)送來的認(rèn)證消息和成員節(jié)點(diǎn)機(jī)的消息進(jìn)行認(rèn)證����;對成員節(jié)點(diǎn)機(jī)的成員信息進(jìn)行收集���;向控制模塊6發(fā)送成員操作結(jié)果���;向密鑰管理模塊8發(fā)送成員節(jié)點(diǎn)機(jī)信息;在該節(jié)點(diǎn)機(jī)離開系統(tǒng)時(shí)�����,斷開與組通信成員管理器2及其它成員節(jié)點(diǎn)機(jī)的連接。
密鑰管理模塊8的功能是進(jìn)行密鑰的計(jì)算�����、密鑰的自適應(yīng)分配與更新�;向組通信信息收集模塊9傳輸密鑰信息���。
組通信信息收集模塊9的功能是向加密/解密模塊10傳輸需要發(fā)送的消息�����;向加密/解密模塊10傳輸需要解密與驗(yàn)證的消息�;接收組通信模塊11發(fā)送來的信息�;根據(jù)組通信模塊11發(fā)送來的信息,對其它成員節(jié)點(diǎn)機(jī)發(fā)送的消息和接收的解密消息進(jìn)行收集�;向控制模塊6傳輸收集到的組通信信息。
加密/解密模塊10的功能是接收組通信信息收集模塊9發(fā)送來的各種消息����;根據(jù)接收的消息和密鑰信息,使用新的認(rèn)證方法��,對需要發(fā)送的消息進(jìn)行組簽名和消息加密;對需要接收的消息進(jìn)行解密���,并進(jìn)行消息的簽名驗(yàn)證����,并將處理后的這些消息發(fā)送到組通信模塊11����。
組通信模塊11的功能是接收加密/解密模塊10發(fā)送來的消息;當(dāng)需要向其它成員節(jié)點(diǎn)機(jī)發(fā)送消息時(shí)�����,將其需要發(fā)送的消息發(fā)送給其它成員節(jié)點(diǎn)機(jī)��;當(dāng)其它成員節(jié)點(diǎn)機(jī)向該機(jī)發(fā)送消息時(shí)�����,接收其消息并將接收的相關(guān)消息傳輸?shù)浇M通信信息收集模塊9����。
顯示模塊12的功能是接收從控制模塊6發(fā)送來的成員節(jié)點(diǎn)機(jī)信息和組通信信息;對成員節(jié)點(diǎn)機(jī)信息進(jìn)行顯示��;對組通信信息進(jìn)行顯示。
組通信安全處理器5的具體程序流程如下(1)����、用戶從控制模塊6輸入用戶名,輸入將要執(zhí)行的命令(加入或者退處)�����,輸入需要加入(或者退出)的組名�����,并將輸入的信息傳輸給成員操作模塊7��。
(2)�����、成員操作模塊7根據(jù)控制模塊6傳輸來的命令進(jìn)行操作�����。如果是退出命令���,則首先斷開與服務(wù)器1的連接��,再斷開與其它成員節(jié)點(diǎn)機(jī)的連接����。如果是加入命令��,則向服務(wù)器1提出加入申請�����;如果申請通過�,則對服務(wù)器1發(fā)來的信息進(jìn)行認(rèn)證。如果認(rèn)證通過�����,則控制模塊6發(fā)送認(rèn)證成功的消息并接收服務(wù)器1發(fā)來的信息��,否則拒絕接收��。如果接收了服務(wù)器1發(fā)來的信息��,則對成員節(jié)點(diǎn)機(jī)的信息進(jìn)行收集�,并向密鑰管理模塊8發(fā)送成員節(jié)點(diǎn)機(jī)信息。另外�����,成員操作模塊7將成員操作的結(jié)果發(fā)送給控制模塊6。
(3)�����、密鑰管理模塊8根據(jù)成員操作模塊7發(fā)送來的成員節(jié)點(diǎn)機(jī)信息����,進(jìn)行密鑰的計(jì)算和密鑰的分配,并向組通信信息收集模塊9傳輸密鑰信息�。
(4)、組通信信息收集模塊9根據(jù)從控制模塊6接收的命令進(jìn)行組通信的信息收集�;接收密鑰管理模塊8發(fā)送的密鑰信息并將它傳輸給加密/解密模塊10;如果信息是需要發(fā)送的�����,則向加密/解密模塊10傳輸需要發(fā)送的消息和密鑰信息��,如果信息是需要接收的�����,則向加密/解密模塊10傳輸密鑰信息和需要解密的消息����。
(5)、加密/解密模塊10根據(jù)接收的消息和密鑰信息��,使用新的認(rèn)證方法����,對需要發(fā)送的消息進(jìn)行組簽名和消息加密;對需要接收的消息進(jìn)行解密����,并進(jìn)行消息的簽名驗(yàn)證,然后將處理后的這些消息發(fā)送到組通信模塊11�����。
(6)��、組通信模塊11根據(jù)發(fā)送來的消息性質(zhì)進(jìn)行處理����,如果是需要發(fā)送的消息,則向其它成員節(jié)點(diǎn)機(jī)中的組通信模塊發(fā)送消息�,并將發(fā)送消息的相關(guān)信息發(fā)送給組通信信息收集模塊9,如果是需要接收的���,則接收加密/解密模塊10和其它成員節(jié)點(diǎn)機(jī)中的組通信模塊發(fā)送來的信息��,并將接收消息的相關(guān)信息發(fā)送給組通信信息收集模塊9����。
(7)、組通信信息收集模塊9將收集到的組通信信息反饋給控制模塊6��。
(8)�����、控制模塊6將根據(jù)成員操作模塊7發(fā)送來的成員操作結(jié)果���,接收組通信信息收集模塊9發(fā)來的反饋信息并將它發(fā)給顯示模塊12��。
(9)�����、顯示模塊12根據(jù)從控制模塊6發(fā)送來的信息分別進(jìn)行成員節(jié)點(diǎn)機(jī)信息和組通信信息的信息顯示。
二�����、組通信成員管理器組通信成員管理器2包括套接字模塊13、服務(wù)器認(rèn)證模塊14和組通信成員管理模塊15三部分�。
套接字模塊13的功能是在端口建立服務(wù)器套接字,并等待組通信安全處理器5中的成員操作模塊7的連接�����;接收成員操作模塊7發(fā)送來的“Join”信息(或者“Exit”信息)和需要認(rèn)證的成員身份消息��;將接收的信息發(fā)送到服務(wù)器認(rèn)證模塊14����。
服務(wù)器認(rèn)證模塊14的功能是接收從套接字模塊13發(fā)送來的需要認(rèn)證的信息;對需要認(rèn)證的消息進(jìn)行認(rèn)證�����;向組通信成員管理模塊15發(fā)送認(rèn)證的結(jié)果��;接收組通信成員管理模塊15發(fā)送來的成員管理信息�����;向組通信安全處理器5中的成員操作模塊7發(fā)送認(rèn)證信息和成員管理信息����。
成員管理模塊15的功能是接收服務(wù)器認(rèn)證模塊14發(fā)送來的認(rèn)證的結(jié)果���;根據(jù)發(fā)送來的認(rèn)證結(jié)果,自動(dòng)的選擇最佳成員管理策略�����,實(shí)現(xiàn)對組成員的自適應(yīng)管理���;向服務(wù)器認(rèn)證模塊14發(fā)送成員管理信息��。
組通信成員管理器2的具體程序流程如下(1)���、新建服務(wù)器套接字,在特定的端口偵聽��,等待組通信成員管理器2中的套接字模塊13與組通信安全處理器5中的成員操作模塊7的連接��。
(2)�、判斷是否接到“Begin”連接請求,如果是��,則轉(zhuǎn)到步驟(3)���,如果沒有����,則轉(zhuǎn)到步驟(1)�����。
(3)���、建立與組通信安全處理器5中的成員操作模塊7的連接�。
(4)�、接收組通信安全處理器5中的成員操作模塊7發(fā)送來的“Join”信息(或者“Exit”信息)和需要認(rèn)證的成員身份消息。
(5)�����、在服務(wù)器認(rèn)證模塊14����,對需要認(rèn)證的成員身份消息進(jìn)行認(rèn)證。
(6)���、成員身份消息是否通過認(rèn)證����,如果通過認(rèn)證,則轉(zhuǎn)到步驟(7)���,如果沒有����,則轉(zhuǎn)到步驟(9)�。
(7)、成員管理模塊15根據(jù)認(rèn)證結(jié)果信息�,自動(dòng)的選擇最佳成員管理策略,實(shí)現(xiàn)對組成員的自適應(yīng)管理�����。
(8)��、成員管理模塊15將成員管理信息發(fā)送給服務(wù)器認(rèn)證模塊14����。
(9)、服務(wù)器認(rèn)證模塊14將認(rèn)證結(jié)果和成員管理信息發(fā)送給組通信安全處理器5中的成員操作模塊7���。
(10)�����、判斷是否接到“End”連接請求�����,如果不是��,則轉(zhuǎn)到步驟(1)���,如果是,則停止�。
下面舉實(shí)例對本發(fā)明作進(jìn)一步詳細(xì)的說明。
本發(fā)明系統(tǒng)被安裝在“集群與網(wǎng)格計(jì)算湖北省重點(diǎn)實(shí)驗(yàn)室”�,運(yùn)行環(huán)境如圖5所示。使用“集群與網(wǎng)格計(jì)算湖北省重點(diǎn)實(shí)驗(yàn)室”的多臺主機(jī)(內(nèi)部網(wǎng)段為192.168.2.0)���,在其中一臺機(jī)器(如192.161.2.191)上安裝組通信成員管理器和組通信的消息機(jī)制(如Java消息系統(tǒng)�,簡寫為JMS)�,運(yùn)行組通信成員管理器,實(shí)現(xiàn)對組通信成員的自適應(yīng)管理���。在其它計(jì)算機(jī)上各自安裝組通信安全處理器�����,再運(yùn)行組通信安全處理器����,實(shí)現(xiàn)基于自適應(yīng)分布式管理架構(gòu)的可擴(kuò)展安全組通信。
具體的運(yùn)行工程如下(1)�����、在服務(wù)器端�����,安裝組通信成員管理器并啟動(dòng)組通信成員管理器�。
(2)、在服務(wù)器端��,打開命令行窗口��,輸入joram所在路徑(如E:/joram-4.3.1/sample/src/joram)�����,然后用ant工具啟動(dòng)組通信的消息機(jī)制���。
(3)���、輸入命令E:/>adminserver.bat���,對組通信的一些成員組分別進(jìn)行綁定,實(shí)現(xiàn)對成員節(jié)點(diǎn)機(jī)的自適應(yīng)管理���。
(4)、在命令提示符下輸入命令E:/>guard.bat���,打開通信線程��。
(5)���、在客戶端,安裝組通信安全處理器��。
(6)����、啟動(dòng)組通信安全處理器??蛻舳丝偪刂平缑姘ㄈ齻€(gè)下拉菜單����、三個(gè)顯示框���、一個(gè)成員節(jié)點(diǎn)機(jī)的顯示列表����、“發(fā)送消息”和“接收消息”的輸入和顯示框��、一個(gè)顯示當(dāng)前組狀態(tài)信息的顯示欄�。其中三個(gè)下拉菜單分別為“連接(或退出)”、“組操作”和“幫助”�����;三個(gè)顯示框?yàn)椤胺?wù)器”����、“當(dāng)前組”和“組管理器”。
(7)���、在客戶端�,成員輸入客戶端名稱和口令�,待和服務(wù)器連接成功后�����,就可以輸入“Join”命令和要加入的組名����,這樣成員可以加入所需要加入的組了�����。
(8)���、在客戶端,用戶如果輸入“Exit”命令和要退出的組名���,這樣成員就可以退出所需要退出的組了����。
按照上面的方法�����,合法成員可任意的加入和退出組通信���,實(shí)現(xiàn)基于分布式管理架構(gòu)的自適應(yīng)安全組通信���。
權(quán)利要求
1.一種基于分布式管理架構(gòu)的自適應(yīng)安全組通信系統(tǒng)����,其特征在于該系統(tǒng)包括位于組通信群體(3)中的各成員節(jié)點(diǎn)機(jī)(4.1����、4.2、……����、4.n)上的組通信安全處理器(5.1、5.2�、……、5.n)和位于服務(wù)器(1)中的組通信成員管理器(2)�����;其中�,組通信成員管理器(2)用于與各成員節(jié)點(diǎn)機(jī)(4.1、4.2��、……、4.n)建立連接���,對各成員的身份進(jìn)行認(rèn)證并將認(rèn)證結(jié)果返回給組通信安全處理器(5.1�、5.2���、……�����、5.n)���,對各成員節(jié)點(diǎn)機(jī)進(jìn)行管理;組通信安全處理器(5.1����、5.2�、……、5.n)用于向組通信成員管理器(2)發(fā)送認(rèn)證消息�����,接收組通信成員管理器(2)返回的認(rèn)證結(jié)果��,并進(jìn)行統(tǒng)計(jì);根據(jù)組通信的成員信息進(jìn)行密鑰計(jì)算和密鑰分配��;對需要發(fā)送的消息進(jìn)行統(tǒng)計(jì)�����、簽名��、加密和發(fā)送�;對需要接收的加密消息進(jìn)行接收、解密�����、驗(yàn)證和統(tǒng)計(jì)����;對發(fā)送的組消息或接收的組消息進(jìn)行顯示;當(dāng)某一成員節(jié)點(diǎn)機(jī)離開時(shí)����,該節(jié)點(diǎn)機(jī)上的組通信安全處理器斷開與組通信成員管理器(2)、以及其它成員節(jié)點(diǎn)機(jī)之間的連接�����。
2.根據(jù)權(quán)利要求
1所述的自適應(yīng)安全組通信系統(tǒng),其特征在于組通信安全處理器(5)包括控制模塊(6)���、成員操作模塊(7)����、密鑰管理模塊(8)���、組通信信息收集模塊(9)����、加密/解密模塊(10)�����、組通信模塊(11)和顯示模塊(12)��;其中����,控制模塊(6)用于接收用戶輸入的命令和成員操作模塊(7)發(fā)送的反饋信息���,并向成員操作模塊(7)發(fā)送命令����;向組通信信息收集模塊(9)發(fā)送信息收集命令;向顯示模塊(12)發(fā)送成員節(jié)點(diǎn)機(jī)信息和組通信信息�;成員操作模塊(7)用于向組通信成員管理器(2)發(fā)送加入或者退出命令;對組通信成員管理器(2)發(fā)送來消息進(jìn)行認(rèn)證�����;對成員節(jié)點(diǎn)機(jī)的成員信息進(jìn)行收集�����;向控制模塊(6)發(fā)送成員操作結(jié)果�����;向密鑰管理模塊(8)發(fā)送成員節(jié)點(diǎn)機(jī)信息��;在該節(jié)點(diǎn)機(jī)離開系統(tǒng)時(shí)�����,斷開與組通信成員管理器(2)及其它成員節(jié)點(diǎn)機(jī)的連接��;密鑰管理模塊(8)用于密鑰的計(jì)算和密鑰的自適應(yīng)分配與更新��;向組通信信息收集模塊(9)傳輸密鑰信息。組通信信息收集模塊(9)用于向加密/解密模塊(10)傳輸相關(guān)的密鑰信息���;向加密/解密模塊(10)傳輸需要發(fā)送的消息����;向加密/解密模塊(10)傳輸需要解密的消息��;接收組通信模塊(11)發(fā)送來的信息�����;根據(jù)組通信模塊(11)發(fā)送來的信息�����,對其它成員節(jié)點(diǎn)機(jī)發(fā)送的消息和接收的解密消息進(jìn)行收集����;向控制模塊(6)傳輸收集到的組通信信息;加密/解密模塊(10)的用于接收組通信信息收集模塊(9)發(fā)送來的各種消息��;根據(jù)接收的消息和密鑰信息�����,對需要發(fā)送的消息進(jìn)行組簽名和消息加密����;對需要接收的消息進(jìn)行解密,并進(jìn)行消息的簽名驗(yàn)證�,并將處理后的這些消息發(fā)送到組通信模塊(11);組通信模塊(11)用于實(shí)現(xiàn)本節(jié)點(diǎn)機(jī)與其它成員節(jié)點(diǎn)機(jī)之間的通訊�,以及本節(jié)點(diǎn)機(jī)內(nèi)加密/解密模塊(10)和組通信信息收集模塊(9)之間的通訊;顯示模塊(12)用于顯示接收的成員節(jié)點(diǎn)機(jī)信息和組通信信息的信息�����。
3.根據(jù)權(quán)利要求
1或2所述的自適應(yīng)安全組通信系統(tǒng)�,其特征在于組通信成員管理器(2)包括套接字模塊(13)、服務(wù)器認(rèn)證模塊(14)和組通信成員管理模塊(15)����;套接字模塊(13)用于在端口建立服務(wù)器套接字,并等待組通信安全處理器(5)中的成員操作模塊(7)的連接�,并將接收的信息發(fā)送給服務(wù)器認(rèn)證模塊(14);服務(wù)器認(rèn)證模塊(14)用于對套接字模塊(13)發(fā)送來的信息進(jìn)行認(rèn)證���,其將結(jié)果發(fā)送給組通信成員管理模塊(15)��;發(fā)送認(rèn)證的結(jié)果���;接收組通信成員管理模塊(15)發(fā)送來的成員管理信息��;向組通信安全處理器(5)中的成員操作模塊(7)發(fā)送認(rèn)證信息和成員管理信息�;成員管理模塊(15)用于接收服務(wù)器認(rèn)證模塊(14)發(fā)送來的認(rèn)證的結(jié)果�;根據(jù)發(fā)送來的認(rèn)證結(jié)果,自動(dòng)的選擇最佳成員管理策略����,實(shí)現(xiàn)對組成員的自適應(yīng)管理,并向服務(wù)器認(rèn)證模塊(14)發(fā)送成員管理信息�。
專利摘要
本發(fā)明提供一種基于分布式管理架構(gòu)的自適應(yīng)安全組通信系統(tǒng),包括位于客戶端的組通信安全處理器和位于服務(wù)器中的組通信成員管理器�。組通信安全處理器負(fù)責(zé)發(fā)送認(rèn)證消息,對參與組通信的成員信息進(jìn)行收集����、進(jìn)行密鑰計(jì)算和密鑰的自適應(yīng)分配與更新、對需要發(fā)送的消息進(jìn)行簽名�����、加密和發(fā)送�����、對需要接收的加密消息進(jìn)行接收、解密和驗(yàn)證���、對參與組通信的消息進(jìn)行收集和顯示等�。組通信成員管理器負(fù)責(zé)與成員節(jié)點(diǎn)機(jī)的各節(jié)點(diǎn)機(jī)建立連接����、對其身份進(jìn)行認(rèn)證并將認(rèn)證結(jié)果返回給組通信安全處理器���、對成員節(jié)點(diǎn)機(jī)進(jìn)行自適應(yīng)管理���。本發(fā)明采用新的加密認(rèn)證方法,能夠保證組通信的安全性�。本發(fā)明具有安裝簡單、界面人性化����、良好的可擴(kuò)展性和跨平臺性等優(yōu)點(diǎn)。
文檔編號H04L9/32GK1996835SQ200610166584
公開日2007年7月11日 申請日期2006年12月31日
發(fā)明者金海 , 鄒德清, 李運(yùn)發(fā), 陳潔云, 蔣懷貞, 羌衛(wèi)中, 韓宗芬 申請人:華中科技大學(xué)導(dǎo)出引文BiBTeX, EndNote, RefMan