(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111389953.8 (22)申请日 2021.11.23 (71)申请人 无锡科技职业学院 地址 214028 江苏省无锡市新吴区新锡路8 号 (72)发明人 李立亚　吴丽　张春燕　闾立新　 周谢益　 (74)专利代理 机构 无锡盛阳专利商标事务所 (普通合伙) 32227 代理人 黄莹　顾吉云 (51)Int.Cl. H04L 9/40(2022.01) H04L 12/18(2006.01) (54)发明名称 一种端对端的逐级扩散式建立虚拟分组及 安全信道的方法 (57)摘要 本发明提供一种端对端的逐级扩散式建立 虚拟分组及安全信道的方法， 其可以按需建立网 络虚拟分组， 不用时可以随时解散， 无需专门设 置服务器 保存虚拟分组及安全通道信息， 维护成 本极低。 本发明技术方案中， 由一个成员端发起 建组邀请， 采用逐级扩散的方式， 邀请所有成员 端参与虚拟分组； 成员端之间构建虚拟分组的时 间、 组内成员都是随机的， 虚拟分组的信息、 组 内 端的完整信息无需事先获得， 而是在建立过程获 得和完善这些信息； 虚拟分组信息无需设置专门 服务器集中存储， 组 内成员都持有一份虚拟分组 信息； 虚拟分组及安全信道建立完成后， 组内成 员可以随时退出， 不影响其 他组内成员的通信。 权利要求书3页 说明书7页 附图3页 CN 114268456 A 2022.04.01 CN 114268456 A 1.一种端对端的逐级扩散式建立虚拟分组及安全信道的方法， 其特 征在于， 其包括以下步骤： S1： 由一个成员端作为发起端发起建组邀请； 所述发起端将自己作为邀请端实施步骤 S2； S2： 所述邀请端向能与自 己建立安全通道 的已知可信端发出虚拟分组建立邀请， 在邀 请中附上 所建虚拟分组的要约信息； S3： 收到该邀请的所述可信端， 根据接收到的要约信息， 确定是否 需要自己去邀请自己 已知的下一级可信端； 如果执行邀请操作， 则执 行步骤S4； 否则， 执 行步骤S5； S4： 所述可信端将自己作为邀请端， 循环实施步骤S2~S4； S5： 所述可信端将其上一级 端点作为接收端， 实施步骤S6； S6： 所述可信端向所述接收端发送自身的要约确认信息； S7： 所述接收端收齐所有下级的要约确认信息后， 整合这些要约信息， 加上自身信息 后， 作为自己的要约确认信息； S8： 所述接收端将其上一级端点作为接收端， 循环实施步骤S6~S8， 直至所述发起端接 收到了其所有下级 端点的要约确认信息； S9： 所述发起端整合接收到的所有成员的要约确认信息， 并加入虚拟分组参数信息， 构 成建组要素信息； 所述建组要素信息中包括： 虚拟分组密钥； S10： 根据 所述要约确认信息中的成员信 息， 所述发起端将所述建组要素信息发送给虚 拟分组内其 他成员端； S11： 每一个其他所述成员端接收到所述建组要素信息后， 使用所述虚拟分组密钥加密 建组确认信息； 并将所述建组确认信息发送给 所述发起端， 完成加入所述虚拟分组的确认； S12： 所述虚拟分组内的所有所述成员端之间， 基于所述虚拟分组密钥， 构建安全通道 完成加密通信。 2.根据权利要求1所述一种端对端的逐级扩散式建立虚拟分组及安全信道的方法， 其 特征在于： 所述成员端包括： 程序、 设备、 主机 。 3.根据权利要求2所述一种端对端的逐级扩散式建立虚拟分组及安全信道的方法， 其 特征在于： 当所述成员端为程序时， 存在多个程序运行在同同一台设备、 同一台主机上， 则 每一个程序分别作为成员端的情况。 4.根据权利要求1所述一种端对端的逐级扩散式建立虚拟分组及安全信道的方法， 其 特征在于： 步骤S2中， 所述邀请端向能与自己建立安全通道的 已知可信端发出虚拟分组建 立邀请的方式， 包括： 链型扩散、 星形扩散、 网状扩散 。 5.根据权利要求1所述一种端对端的逐级扩散式建立虚拟分组及安全信道的方法， 其 特征在于： 所述要约信息包括： 分组ID、 分组信息、 目标端要求、 分组规模、 扩散级别限制、 发 起端概况、 发起端公钥、 基本消息指纹签名、 当前扩散级、 扩散消息指纹签名； 所述分组ID， 随机生成的一个整数， 用于标识一个分组； 所述分组信息， 定义分组的相关信息， 如组名、 分组任务名等； 所述目标端要求， 定义哪些端可以加入组， 方便逐级扩散时， 下级端能知道向哪些端发权　利　要　求　书 1/3 页 2 CN 114268456 A 2出邀请； 所述分组规模， 用于 定义虚拟分组的成员上限， 限制虚拟分组的成员数量； 所述扩散级别限制， 用于限制扩散深度， 避免扩散级别过多， 使规模过大， 超出分组规 模； 所述发起端概况， 放置发起端的身份、 网络地址等信息， 其他端使用这些信息可以掌握 发起端的基本情况； 所述发起端公钥， 用于验证消息指纹签名， 也用于向发起端发送只有发起端可以解密 的私密信息的加密； 所述基本消息指纹签名， 将所述要约信息中， 除了所述当前扩散级以外的其他数据用 散列函数生成指纹信息后， 用发起端的私钥签名； 所述当前扩散级， 由进行扩散的端修改， 记录本端处于的扩散级别计数， 发起端设置该 值为1， 下一级为2， 逐级加1； 扩散消息指纹签名， 将所述要约信 息中， 其他的数据用散列函数生成指纹信息后， 用扩 散端的私钥签名。 6.根据权利要求1所述一种端对端的逐级扩散式建立虚拟分组及安全信道的方法， 其 特征在于： 所述要约确认信息包括： 约信息中的分组ID、 扩散级别、 确认端概况、 确认端公 钥、 下级返回的要约确认信息列表、 确认消息指纹签名； 所述分组ID， 用于标识要确认的分组； 所述扩散级别， 确认端所处的扩散深度， 用于为发起端提供建组过程的扩散情况； 所述确认端概况， 放置确认端的身份、 网络地址等信息， 其他端使用这些信息可以掌握 确认端的基本情况； 所述确认端公钥， 用于验证消息指纹签名， 也用于向确认端发送只有确认端可以解密 的私密信息的加密； 所述下级返回的要约确认信息列表， 下级端的要约确认消息， 按返回次序顺序放在确 认端公钥后； 所述确认消息指纹签名， 将所述要约确 认信息中其他的数据用散列函数生成指纹信 息 后， 用确认端的私钥签名。 7.根据权利要求1所述一种端对端的逐级扩散式建立虚拟分组及安全信道的方法， 其 特征在于： 所述建组要素信息中除了所述虚拟分组密钥， 还包括： 分组ID、 分组成员的概况 和公钥列表、 加密算法、 建组要素消息指纹签名； 所述分组成员的概况和公钥列表， 是将除发起端外， 所有其他成员端的概况和公钥汇 总， 供各成员获知虚拟分组成员信息； 所述加密算法， 设置组内成员间数据交换的加密算法； 所述虚拟分组密钥， 由发起端生成， 用接收端的公钥加密； 所述建组要素消息指纹签名， 将所述建组要素信 息中其他数据用散列函数生成指纹信 息后， 用发起端的私钥签名。 8.根据权利要求1所述一种端对端的逐级扩散式建立虚拟分组及安全信道的方法， 其 特征在于： 所述建组确认信息， 包括： 分组ID、 用组密钥加密的组密钥散列码、 确认端身份、 建组确认消息指纹签名；权　利　要　求　书 2/3 页 3 CN 114268456 A 3