CN101119364A - 可鉴权的Ad Hoc组密钥协商协议 - Google Patents

Abstract

本发明涉及一种可鉴权的Ad Hoc组密钥协商协议。它通过基于密码树的方法来进行密钥协议制定，采用了门限密钥和Contributory式的密钥协商，并在传输中采用的树形的方法，不仅提高了灵活性和效率，而且更加适合于通信环境比较恶劣的场合；并利用Schonorr签名方法对整个协商过程鉴权，提高了***的安全性能。本发明产生的结果的组合既简单又安全，还有防差错的功能。

Description

可鉴权的Ad Hoc组密钥协商协议

技术领域

本发明涉及一种可鉴权的组密钥协商协议，特别是一种可鉴权的Ad Hoc(Ad HocNetwork自组网)组密钥协商协议。

背景技术

自组网(Ad Hoc)是由一组自主的无线移动节点或在终端相互结合而形成的，他独立于固定的基础设施并且采用了分布式管理。无中心、自组织、带宽和能量受限是它的显著特点。

Ad Hoc网络由于缺乏固定的基础设施的支持，只能通过节点间的相互协作才能通过无线信道传输信息，所以Ad Hoc网络呈现出跨越多种操作***的分布式网络的特点。许多分布式和协作式的应用如电视电话会议等共享工具都需要安全的多播。然而传统的安全机制如果简单的应用于动态的、相互协作的对等Ad Hoc组，会使得网络变得十分复杂，安全的代价十分昂贵，网络性能下降。由于无线信道的不稳定使得网络的容错性、可扩展性、可靠性成为Ad Hoc网络安全多播是否成功的关键。一个大的Ad Hoc组经常会***成多个对等的Ad Hoc组，而对等组通信的安全挑战已经成为近来研究的重点。

国内外已经提出了几种有代表性的密钥协商方案，总的来说可以归结为一下三种：1中心式的、2分布式的3 Contributory式的。

中心式的密钥管理方法由于只包含了一个密钥产生和分配的中心，所以这种方法的结构十分简单可靠。但是，这种方法却不实用于Ad Hoc网络的对等组通信，这是因为密钥中心服务器必须持续可靠的为Ad Hoc网络提供服务，但是移动Ad Hoc网络极其不稳定，大的Ad Hoc网络可以***成许多小的Ad Hoc组，无线信道又不可靠，一个密钥服务器被攻击后造成整个网络安全服务瘫痪，以上这些原因都会使得中心式的密钥管理不能尽如人意。

由于持续的密钥服务必须提供容错性和可靠性，所以分布式的密钥管理方法较适用用于Ad Hoc对等组之间的通信，尤其是在不可靠的网络通信环境下。这种方法需要动态的挑选一个组的密钥服务器，但是这种方法不能保证当密钥服务器被攻击后(被复制后)继续提供安全服务的能力。

Contributory式的密钥管理方法要求每个组成员平等地提供一个密钥片断，使得整个组可以利用这些密钥片断形成一个所有成员共享的组密钥。这种方法避免了单一的密钥服务器的诚实性和可靠性问题。

发明内容

本发明的目的在于针对已有技术存在的缺陷，提供一种可鉴权的Ad Hoc组密钥协商协议，提高***的安全性。

为了达到上述目的，本发明的构思是：通过基于Differ-Hellman密码交换认证的密码树的新方法来进行密钥协议制定，用此方法产生的结果的组合既简单又安全，还有防差错的能力，本发明提出了AGKA(Authentication Group Key Agreement)协议由于采用了门限密钥和Contributory式的密钥协商，并在传输中采用的树形的方法，不仅提高了灵活性和效率，而且更加适合于通信环境比较恶劣的场合。本协议利用Schnorr签名方法，对整个协商过程鉴权，提高了***的安全性能。

本发明中的密钥协商是基于图1中树的形状，本发明最大的特点就是在密钥协商的时候采用完全分布式的和Contributory式方法，提高了效率。

本发明提出的密钥树的高度为2层，根节点的孩子大于2个，第一层叶节点的孩子也大于2个。在每次密钥协商前，每个Ad Hoc组必须选出一个组控制节点负责组织密钥协商的次序。

根据上述发明构思，本发明的技术方案如下：

首先，每个成员选择一个随机数r_i，b_i∈[1，q-1]和一个密钥x_i；然后，发布公钥y_i和参数c_i、τ_i，这样每个成员M_i就可以计算c＝H₂(∏c_i，∏τ_i)其中i∈[1，N]；

约定符号如下：

N：Ad hoc组的成员数目，

M_i：第i个组成员i∈{1～N}，

M_h：组控制成员，

<l，v>：树中的第l层的第v个节点，

p，q：2个大素数，且q|p-1，

g：确定域GF(q)上的生成元g，且GF(q)的阶数是q，

H()：Hash函数；

1)、密钥协商初始化酚段如下：

第一步：每个组成员M_i随机选择r_i∈[1，q-1]并计算自己的盲钥和签名，然后通过安全信道传播到组控制节点和在树中于自己同一个父节点的其他成员；

第二步：收到每个成员的消息后，组控制节点验证签名正确与否 $S={\mathrm{BK}}_i*y_i^c;$ 用<l，v>来表示节点在树中的位置，每个节点都拥有一个密钥K_<l，v>，和对应的盲钥BK_<l，v>＝f(K_<l，v>)；这里的函数f()是大素数的模指运算比如：f(k)＝g^kmodp。假设叶子节点<2，i>对应于实际的组成员为M_i，则M_i的会话密钥就是K_<2，i>；如果正确则组控制节点随机选择一个GF(q)域上的多项式 $f\left(x\right)=\left(\underset{j=1}{\overset{t}{\mathrm{\&Sigma;}}}{a}_{j-1}{x}^{j-1}\right)\mathrm{mod}q$ 和秘密值h∈[1，q-1]。随后为每个成员M_i计算f(i)并广播： $M_h\&RightArrow;M_{i\&Element;N}:\{g^{\mathrm{hf}\left(i\right)},g^{h{r}_i}\}.$

第三步：第i个子组的第一个成员<1，i>计算并发布盲钥。这样可以

<1>使得同组的其他成员可以检查自己的密钥是否等于盲钥；

<2>当每个中间节点<1，v>的盲钥都发布后，所有Ad hoc组成员就可以像GDH协议那样计算出根节点K_<0，0>的组共享密钥；

第四步：第1层节点像GDH协议一样计算根密钥；

第五步：第1层最后一个节点如下操作： $M_v\&RightArrow;M_i:\left\{g^{k_{i,i}*k_{i,2}\&CenterDot;\&CenterDot;\&CenterDot;k_{1,i}/k_{i,i}}\right\}\&ForAll;i\&Element;\&lsqb;1,v-1\&rsqb;;$ 每个成员在计算根密钥前可以验证签名是否正确，如果不正确则停止密钥协商：c＝H(∏r_j，g^σ(∏y_j)^-c)i∈[j，j+n]，如果正确，则所有成员最后计算出的的根密钥为：

$K_{<\mathrm{0,0}>}=g^{K_{s1}{K}_{s2}\&CenterDot;\&CenterDot;\&CenterDot;K_{\mathrm{si}}}\mathrm{mod}p=g^{g^{h\&lsqb;i+\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}(r_i+{\mathrm{cx}}_i)+\&Integral;\left(0\right)\&rsqb;}}\mathrm{mod}p$

利用这个根密钥，再经过变换就可以使得Ad hoc组进行多播通信；

2)、加入和合并协议：

第一步：新成员M_n+1请求加入Ad hoc组通信M_n+1→M_h：{join，BK_n+1}；当组控制节点收到消息后，回复一个确认信息：{g^hrn+1，g^hf(i)ri}；所以新加入节点也得到g^h，g^hf(i)；

第二步：新成员发送盲钥到同一个父节点即自己子组的其他成员：M_n+1→M_{i∈[v，v+n]}：{BK_n+1}；

第三步：同子组的其他成员M_n重新随机选择密钥

，并将新的盲钥传送给M_n+1：

M_{i∈[v，v+n]}→M_n+1：{BK_i}；随后，最后一个子组里面的所有成员计算出更新的过的子密钥了 ${{\hat{K}}_{s-\mathrm{last}}=g}^{h\&lsqb;1+{\mathrm{\&Sigma;}}_{i\&Element;\&lsqb;v,v+n]}(r_i+f\left(i\right)L_i+{\mathrm{cx}}_i)+{\mathrm{hr}}_{n+1}+\mathrm{hf}(n+1)L_i+{\mathrm{cx}}_{n+1}\&rsqb;}{;}_{}$

第四步：最后一个组的第一个成员公布子组密钥，其他子组的成员像IKA阶段中的Round last一样从新计算密钥并验证签名的正确性：

$M_{\mathrm{last}-\mathrm{sub}}\&RightArrow;M_{j\&NotElement;\mathrm{last}-\mathrm{sub}}:\left\{g^{k_{s1}*k_{s2}\&CenterDot;\&CenterDot;\&CenterDot;{\hat{k}}_i/k_i}\right\}\&ForAll;j\&Element;\&lsqb;1,i\&rsqb;.$ 最后，根节点的新密钥就可以被所有节点从新计算出来 ${\hat{K}}_{<\mathrm{0,0}>}=g^{g^{h\&lsqb;i+\underset{i=1}{\overset{n+1}{\mathrm{\&Sigma;}}}(r_i+{\mathrm{cx}}_i)+\&Integral;\left(0\right)\&rsqb;}}\mathrm{mod}p;$

3)、离开和***协议：

第一步：M_h通知所有的节点第i个节点离开，需要进行组密钥更新：M_h →M_i：{i-leave}j∈[1，i]；

第二步：在有成员离开的那个子组里的第一个节点从新随机选择

并将盲密钥传送给同子组的其他成员： $M_{i1}\&RightArrow;M_{\mathrm{ij}}:\left\{B{\hat{K}}_{i1}\right\}\&ForAll;j\&Element;\&lsqb;1,i\&rsqb;;$

第三步：这样其他所有的成员就可以像前面的IKA协议那样从新计算密钥了。

本协商协议采用门限密钥和Contributory式的密钥协商，并在传输中采用树形方法，不仅提高了灵活性和效率，而且更加适合于通信环境比较恶劣的场合。

本协商协议利用Schnorr签名方法，对整个协商过程鉴权，提高了***的安全性能。

本发明与现有技术相比较，具有如下突出实质性特点和显著优点：

(1)安全性

Ad Hoc组密钥安全性意味着即使一个外部攻击知道组盲钥，来计算出组密钥是不可能的。本发明中，如果一个被动攻击者希望从包含g^hf(i)ri，g^hri的消息中计算出g^h，g^f(i)，我们说他将会遇到确定域中离散对数的难解性的问题DLP(discretelogarithm problem)。所以这种攻击在计算上是不可行的。即使某个成员的秘密值f(i)泄漏了，由于采用了门限的技术，攻击者还是不可能得到自组和根节点的密钥。

(2)容错性

组秘密值由于采用了门限的方法，所以包含了每个成员提供的各自的密钥。在协商第一层密钥即子组的过程当中可以容忍一定的错误。如果碰到无线信道不稳定导致传输中的错误或者发现有恶意节点攻击，其他节点则可以直接丢弃其的密钥片断，而不会影响到整个组密钥的形成。如图1所示的密钥树，当成员协商好子组密钥后，在协商根密钥的时候如果某个组的成员发布了错误的子组密钥，其他组成员可以要求这个子组里面的其他节点重新发布子组盲密钥。

(3)复杂性

衡量一个组密钥协商协议的性能主要有两个因素，即计算量和通信量。计算量和通信量有时是一对矛盾，分布式的密钥协商协议会增加通信的伦次，但是也可以减少计算量。

                  communication                     computation

                  round message                     exponentiation

BD        join    2      2N+2                       3

          leave   2      2N-2                       3

GDH       join    4      N+3                        N+3

          leave   1      1                          N-1

AGKA      join    3      2+n(sub-group’s node)     3

          leave   2      3                          3

表1通信和计算量

从表1中，我们可以看出来，虽然分布式的协议通信量会增加，但是AGKA协议的通信代价还是少于BD和GDH协议。计算量却和BD协议相似。所以，我们可以说AGKA协议有着比较好的网络和计算性能。

附图说明

图1为本发明中的密钥协商所基于的树型结构。

具体的实施方式

本发明的一个优选实施例结合附图详述如下：本可鉴权的Ad Hoc组密钥协商协议为：

1、协商初始化阶段(IKA Initial key Agreement)

从图1中可以看出，本发明提出的密钥树的高度为两层，根节点的孩子大于2个，第一叶节点的孩子也大于2个。在每次密钥协商前，每个Ad Hoc组必须选出一个组控制节点负责组织密钥协商的次序。密钥协商过程如下：

首先，每个成员选择一个随机数r_i，b_i∈[1，q-1]和一个密钥x_i；然后，发布公钥y_i和参数c_i、τ_i： $\left\{\begin{array}{c}{c}_i=H_2\left(r_i\right)\\ y_i=g^{x_i}\mathrm{mod}p\\ {\mathrm{\&tau;}}_i=g^{b_i}\mathrm{mod}p\end{array}\right.$ 这样每个成员M_i就可以计算c＝H₂(∏c_i，∏τ_i)其中i∈[1，N]。

1)、密钥协商初始化阶段如下：

第一步：每个组成员M_i随机选择r_i∈[1，q-1]并计算自己的盲钥和签名：

$\left\{\begin{array}{c}{\mathrm{BK}}_i=g^{r_i}\mathrm{mod}p\\ s_i=b_i+{\mathrm{cx}}_i\mathrm{mod}p\end{array}\right.$

然后通过安全信道传播到组控制节点和在树中于自己同一个父节点的其他成员M_i→M_j∈N{BK_i，s_i}；

第二步：收到每个成员的消息后，组控制节点验证签名正确与否 $S={\mathrm{BK}}_i*y_i^c$ 。(我们用<l，v>来表示节点在树中的位置，每个节点都拥有一个密钥K_<l，v>，和对应的盲钥BK_<l，v>＝f(K_<l，v>)。这里的函数f()是大素数的模指运算比如：f(k)＝g^kmodp。假设叶子节点<2，i>对应于实际的组成员为M_i，则M_i的会话密钥就是K_<2，i>。如果正确则组控制节点随机选择一个GF(q)域上的多项式 $f\left(x\right)=\left(\underset{j=1}{\overset{t}{\mathrm{\&Sigma;}}}{a}_{j-1}{x}^{j-1}\right)\mathrm{mod}q$ 和秘密值h∈[1，q-1]。随后为每个成员M_i计算f(i)并广播： $M_h\&RightArrow;M_{i\&Element;N}:\{g^{\mathrm{hf}\left(i\right)},g^{h{r}_i}\}.$

第一层节点<1，i>的孩子：即<2，j>到<2，j+n>可以计算出第i个子组的密钥片断： $K_{1,i}=g^{h\&lsqb;1+{\mathrm{\&Sigma;}}_{i\&Element;[j,j+n\&rsqb;}\{f\left(i\right)L_i+r_i+{\mathrm{cx}}_i\}\&rsqb;}\mathrm{mod}p$

其中 $L_i=\underset{j=1,j\&NotEqual;i}{\overset{t}{\mathrm{\&Pi;}}}\frac{0-j}{i-j};$

第四步：第i个子组的第一个成员<1，i>计算并发布盲钥。这样可以

<1>使得同组的其他成员可以检查自己的密钥是否等于盲钥；

<2>当每个中间节点<1，v>的盲钥都发布后，所有Ad hoc组成员就可以像GDH协议那样计算出根节点K_<0，0>的组共享密钥；

第五步：第1层节点像GDH协议一样计算根密钥：

$M_i\&RightArrow;M_{i+1}:\{g^{k_{i,i}{k}_{i,2}\&CenterDot;\&CenterDot;\&CenterDot;k_{1,i}/k_{1,j}},g^{k_{i,i}*k_{i,2}\&CenterDot;\&CenterDot;\&CenterDot;k_{1,i}}\}$ 其中j∈[1，i]，i∈[1，v-1]；

第六步：第1层最后一个节点如下操作： $M_v\&RightArrow;M_i:\left\{g^{k_{i,i}*k_{i,2}\&CenterDot;\&CenterDot;\&CenterDot;k_{1,i}/k_{i,i}}\right\}\&ForAll;i\&Element;\&lsqb;1,v-1\&rsqb;$ 。每个成员在计算根密钥前可以验证签名是否正确，如果不正确则停止密钥协商：c＝H(∏r_j，g^σ(∏y_j)^-c)i∈[j，j+n]，如果正确，则所有成员最后计算出的的根密钥为：

$K_{<\mathrm{0,0}>}=g^{K_{s1}{K}_{s2}\&CenterDot;\&CenterDot;\&CenterDot;K_{\mathrm{si}}}\mathrm{mod}p=g^{g^{h\{i+\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}(r_i+{\mathrm{cx}}_i)+\&Integral;\left(0\right)\}}}\mathrm{mod}p$

利用这个根密钥，再经过变换就可以使得Ad hoc组进行多播通信。

2、AGKA协议的动态安全性

本发明提供了一种方法满足当有组成员变动时的密钥协商的安全性。AGKA协议包括了如下的操作：

加入/合并：一个新成员子/组加入到Ad Hoc多播组中；

离开/***：某个成员/子组离开了多播组：

本发明提出的协议中密钥更新操作实际上时特殊的成员离开协议，既离开的成员为零。

加入和合并协议：

假设新加入的成员为M_n+1，他首先发送一个包含了自己的id和盲钥g^rn+1的加入请求消息到控制节点来初始化这次密钥更新协议。当控制节点接收到消息后，控制节点首先对新加入的节点进行鉴权和认证，然后决定新节点***树中的位置。为了尽可能减少节点加入操作对已在进行的通信的干扰，我们一般选择最后一个子组<1，last>的最后一个节点为节点作为加入的地方。

第一步：新成员M_n+1请求加入Ad hoc组通信M_n+1→M_h：{join，BK_n+1}。当组控制节点收到消息后，回复一个确认信息：{g^hrn+1，g^hf(i)ri}。

第二步：新成员发送盲钥到同一个父节点即自己子组的其他成员：M_n+1→M_{i∈[v，v+n]}：{BK_n+1}；

第三步：同子组的其他成员M_n重新随机选择密钥

并将新的盲钥传送给M_n+1：

M_{i∈[v，v+n]}→M_n+1：{BK_i}；

随后，最后一个子组里面的所有成员就可以计算出更新的过的子密钥了

${{\hat{K}}_{s-\mathrm{lsat}}=g}^{h\&lsqb;1+{\mathrm{\&Sigma;}}_{i\&Element;\&lsqb;v,v+n]}(r_i+f\left(i\right)L_i+{\mathrm{cx}}_i)+{\mathrm{hr}}_{n+1}+\mathrm{hf}(n+1)L_i+{\mathrm{cx}}_{n+1}\&rsqb;}$

第四步：最后一个组的第一个成员公布子组密钥，其他子组的成员可以像IKA阶段中的Round last一样从新计算密钥并验证签名的正确性：

$M_{\mathrm{last}-\mathrm{sub}}\&RightArrow;M_{j\&NotElement;\mathrm{last}-\mathrm{sub}}:\left\{g^{k_{s1}*k_{s2}\&CenterDot;\&CenterDot;\&CenterDot;{\hat{k}}_i/k_i}\right\}\&ForAll;j\&Element;\&lsqb;1,i\&rsqb;.$

最后，根节点的新密钥就可以被所有节点从新计算出来

${\hat{K}}_{<\mathrm{0,0}>}=g^{g^{h\&lsqb;i+\underset{i=1}{\overset{n+1}{\mathrm{\&Sigma;}}}(r_i+{\mathrm{cx}}_i)+\&Integral;\left(0\right)\&rsqb;}}\mathrm{mod}p.$

离开和***协议：

当Ad hoc组控制节点发现或者某个节点广播通知离开消息时，组控制节点M_h通知Ad hoc组的成员进行密钥更新操作。

第一步：M_h通知所有的节点第i个节点离开，需要进行组密钥更新：M_h→M_i：{i-leave}j∈[1，i]；

第二步：在有成员离开的那个子组里的第一个节点从新随机选择

并将盲密钥传送给同子组的其他成员： $M_{i1}\&RightArrow;M_{\mathrm{ij}}:\left\{B{\hat{K}}_{i1}\right\}\&ForAll;j\&Element;\&lsqb;1,i\&rsqb;;$

第三步：这样其他所有的成员就可以像前面的IKA协议那样从新计算密钥了。

Claims (3)

1.一种可鉴权的Ad Hoc组密钥协商协议，其特征在于组密钥协商协议为：

首先，每个成员选择一个随机数r_i，b_i∈[1，q-1]和一个密钥x_i；然后发布公钥y_i和参数c_i、τ_i；  这样每个成员M_i就可以计算为c＝H₂(∏c_i，∏τ_i)其中i∈[1，N]；

N：       Ad hoc组的成员数目，

M_i：      第i个组成员i∈{1～N}，

M_h：      组控制成员，

<l，v>：  树中的第l层的第v个节点，

p，q：    2个大素数，且q|p-1，

g：       确定域GF(q)上的生成元g，且GF(q)的阶数是q，

H()：     Hash函数；

1)、密钥协商初始化阶段如下：

第一步：每个组成员M_i随机选择r_i∈[1，q-1]并计算自己的盲钥和签名，然后通过安全信道传播到组控制节点和在树中与自己同一个父节点的其他成员；

第二步：收到每个成员的消息后，组控制节点验证签名正确与否，验证正确后组控制点随机选择一个有限域GF(q)上的多项式 $f\left(x\right)=\left(\underset{j=1}{\overset{t}{\mathrm{\&Sigma;}}}{a}_{j-1}{x}^{j-1}\right)\mathrm{mod}q$ 和秘密值h∈[1，q-1]，随后为每个成员M_i计算f(i)并广播 $M_h\&RightArrow;M_{i\&Element;N}:\{g^{\mathrm{hf}\left(i\right)},g^{{\mathrm{hr}}_i}\},$ <l，v>表示节点在树中的位置，每个节点都拥有一个密钥K_<l，v>，和对应的盲钥BK_<l，v>＝f(K_<l，v>)；这里的函数f()是大素数的模指运算比如：f(k)＝g^kmod p；假设叶子节点<2，i>对应于实际的组成员为M_i，则M_i的会话密钥就是K_<2，i>；第一层节点<1，i>的孩子：即<2，j>到<2，j+n>可以计算出第i个子组的密钥片断：

第三步：第i个子组的第一个成员<1，i>计算并发布盲钥，这样

<1>使得同组的其他成员可以检查自己的密钥是否等于盲钥；

<2>当每个中间节点<1，v>的盲钥都发布后，所有Ad hoc组成员就像GDH协议那样计算出根节点K_<0，0>的组共享密钥；

第四步：第1层节点像GDH协议一样计算根密钥；

第五步：第1层最后一个节点如下操作： $M_v\&RightArrow;M_i:\left\{g^{k_{1,i}*k_{i,2}\&CenterDot;\&CenterDot;\&CenterDot;k_{1,i}/k_{i,i}}\right\}\&ForAll;i\&Element;[1,v-1],$

每个成员在计算根密钥前验证签名是否正确，如果不正确则停止密钥协商，如果正确，则所有成员最后计算出的的根密钥为：

$K_{<\mathrm{0,0}>}=g^{K_{s1}{K}_{s2}\&CenterDot;\&CenterDot;\&CenterDot;K_{\mathrm{sl}}}\mathrm{mod}p=g^{g^{h[i+\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}(r_i+{\mathrm{cx}}_i)+f\left(0\right)]}}\mathrm{mod}p$

利用这个根密钥，再经过变换就使得Ad hoc组进行多播通信；

2)、加入和合并协议：

第一步：新成员M_n+1请求加入Ad hoc组通信M_n+1→M_h：{join，BK_n+1}；当组控制节点收到消息后，回复一个确认信息：{g^hrn+1，g^hf(i)ri}。

第二步：新成员发送盲钥到同一个父节点即自己子组的其他成员：M_n+1→M_{i∈[v，v+n]}：{BK_n+1}；

第三步：同子组的其他成员M_n重新随机选择密钥

并将新的盲钥传送给M_n+1：M_{i∈[v，v+n]} → M_n+1：{BK_i}；随后，最后一个子组里面的所有成员计算出更新的过的子密钥了 ${\hat{K}}_{s-\mathrm{last}}=g^{h[1+{\mathrm{\&Sigma;}}_{i\&Element;[v,v+n]}(r_i+f\left(i\right)L_i+{\mathrm{cx}}_i)+{\mathrm{hr}}_{n+1}+\mathrm{hf}(n+1)L_i+{\mathrm{cx}}_{n+1}]};$

第四步：最后一个组的第一个成员公布子组密钥，其他子组的成员像IKA阶段中的Round last一样从新计算密钥并验证签名的正确性：

$M_{\mathrm{last}-\mathrm{sub}}\&RightArrow;M_{j\&NotElement;\mathrm{last}-\mathrm{sub}}:\left\{g^{k_{s1}*k_{s2}\&CenterDot;\&CenterDot;\&CenterDot;{\hat{k}}_i/k_i}\right\}\&ForAll;j\&Element;[1,i].$ 最后，根节点的新密钥就可以被所有节点从新计算出来 ${\hat{K}}_{<\mathrm{0,0}>}=g^{g^{h[i+\underset{i=1}{\overset{n+1}{\mathrm{\&Sigma;}}}(r_i+{\mathrm{cx}}_i)+f\left(0\right)]}}\mathrm{mod}p;$

3)、离开和***协议：

第一步：M_h通知所有的节点第i个节点离开，需要进行组密钥更新：M_h→M_i：{i-leave}j∈[1，i]；

第二步：在有成员离开的那个子组里的第一个节点从新随机选择

并将盲密钥传送给同子组的其他成员： $M_{i1}\&RightArrow;M_{\mathrm{ij}}:\left\{B{\hat{K}}_{i1}\right\}\&ForAll;j\&Element;[1,i];$

第三步：这样其他所有的成员就可以像前面的IKA协议那样从新计算密钥了。

2.根据权利要求1所述的可鉴权的Ad Hoc组密钥协商协议，其特性在于采用门限密钥和Contributory式的密钥协商，并在传输中采用树形方法，不仅提高了灵活性和效率，而且更加适合于通信环境比较恶劣的场合。

3.根据权利要求1所述的可鉴权的Ad Hoc组密钥协商协议，其特征在于利用改进的Schnorr签名方法，对整个协商过程鉴权，提高了***的安全性能。

Images