CN103796199A - 移动非平衡网络中可认证非对称群组秘钥协商方法 - Google Patents

Abstract

本发明涉及移动非平衡网络中可认证非对称群组秘钥协商方案，该方案包括群组成员的签名与认证、群组成员协商非对称的共享秘钥及共享秘钥的一致性验证。签名与认证：采用双线性映射技术实现网络中移动设备的短签名机制，移动群组成员再进行群组秘钥协商之前用该签名提供身份认证，以防御敌手的主动攻击；群组成员协商非对称的共享秘钥：移动非平衡网络中各移动设备协商出一对非对称的群组通信加密/解密秘钥，使得群组之外的成员可用公钥加密秘密信息发送给群内部成员，而不必加入群组之中；共享秘钥的一致性验证：群组成员协商出群组秘钥后，能确保所计算的群组秘钥的正确性及一致性。本发明在移动网络环境中移动群组设备之间秘密通信时，能保证群组设备之间的安全通信，计算和通信能量消耗较低，并具有较好的灵活性、安全性和实用性。

Description

移动非平衡网络中可认证非对称群组秘钥协商方法

技术领域

本发明涉及一种移动网络环境下安全群组秘钥协商方案，特别涉及一种移动非平衡网络环境下的可认证非对称群组秘钥协商方案，属于网络通讯安全领域。

背景技术

很多复杂的密码***设计都依赖于通信多方之间现有的秘密信道.群组密钥协商（groupkey agreement，GKA)协议设计的主要目的是为两个或多个群组成员提供一安全的秘密信道，广泛的应用于协同计算与分布式计算领域，如多方安全计算、文件共享与分发、视频会议及群聊天***.简单的说，GKA协议是为群组成员在开放的网络环境中通过相互交换信息协商计算出一个共同的密钥，该密钥作为群组成员传递信息的加加密和解密秘钥.因为该解密密钥只有群组内部成员知道，所以只有群组成员能解密出加密秘钥所加密的密文。

可认证的密钥协商协议要求群组成员在密钥协商时提供可靠的身份证明，只有身份合法的成员方可参加群组密钥协商，确保群组之外的任何成员不能参与群组密钥协商，即使是主动攻击者也不例外。可认证的GKA能够抵抗积极主动攻击，是GKA研究的一个重要指标。

在现实的应用环境中，群组密钥协商如公钥加密***一样，任何一个成员都可能是一个潜在的信息发布者，不仅仅局限于群组内部人员利用该安全信道交换信息，群组外成员也可能利用该信道向该群组发送秘密消息。传统的研究局限于群组内部成员才能相互之间发送秘密信息。非对称群组密钥协商（asymmetric group key agreement，ASGKA）方案允许群组成员协商一个共同的公共加密密钥，用该公钥不仅可以使群组成员之间相互交换秘密信息，还可以使群组外部成员向群组成员发布秘密信息。

在无线移动网络中，网络没有稳定的拓扑结构，群组成员加入或退出群组较为频繁，静态的群组秘钥协商不适用于移动无线网络环境。动态的GKA协议具有更好的灵活性与实用性。

鉴于目前研究的群组秘钥协商，其计算量及通信量较大不适合用于能量受限的移动非平衡网络环境中，在现有的技术中还没有关于移动非平衡网络环境中的可认证非对称群组秘钥协商方案。

发明内容

本发明的目的是针对移动非平衡网络的特点，提供一种适用于该环境下的可认证非对称群组秘钥协商方案，在移动非平衡网络中为各种移动设备之间建立一种安全秘密信道，保障群组之间的安全通信。为适应移动非平衡网络环境下的群组秘钥协商，本发明采用双线映射技术实现可认证、动态、非对称群组密钥协商。该方案使得群组成员在协商群组会话密钥前必须经过签名认证，且每个参与成员获得协商的群组会话密钥的同时，可计算群组会话密钥对应的群组公钥，以实现非对称加密安全通信。考虑了群组成员的动态性，方案采用单个群组成员更换密钥因子实现群组密钥的动态更新，以便群组成员的退出及新成员的加入。

本发明的技术方案是：移动非平衡网络中可认证非对称群组秘钥协商方法，采用双线性映射实现移动非平衡网络中移动群组成员协商建立一对共享的非对称群组会话秘钥，它的步骤如下：

（1）群组成员的签名与认证；

（2）群组成员协商非对称的共享秘钥；

（3）共享秘钥的一致性验证；

所述步骤（1）中群组成员的签名与认证为：

①群组成员U_i(1≤i≤n-1)长期私钥sk_i及公钥pk_i的生成；

②群组成员U_i短签名算法；

③较大能量节点U_n通过群组成员U_i提供的短签来验证各成员U_i的身份；

所述步骤（2）中群组成员协商非对称的共享秘钥为：

①群组成员U_i(1≤i≤n-1)随机选择群组秘钥协商过程中所需要的秘钥参数，及对该秘钥参数进行签名，将这些秘钥参数及签名发送给较大能量节点U_n；

②较大能量节点U_n认证群组成员U_i的身份，并随机选择相关的秘钥参数，及该秘钥参数的签名，将这些秘钥参数及签名发送给群组成员U_i(1≤i≤n-1)；

③较大能量节点U_n计算出各成员U_i的秘钥参数，并将这些秘钥参数连同自己随机选取的秘钥参数一起组合成一对非对称的共享群组秘钥；

④各成员U_i收到U_n发送的签名及秘钥参数后，对U_n进行身份认证，并将U_n发送的秘钥参数连同自己的秘钥参数计算出一对非对称的共享群组秘钥；

所述步骤（3）中共享秘钥的一致性验证为：

①群组各成员验证协商的群组秘钥是否一致，计算的群组秘钥是否相同。

所述的移动非平衡网络中可认证非对称群组秘钥协商方法，采用双线性映射技术实现短签名和身份认证；群组秘钥协商实现非对称性，协商出一对非对称的群组加密/解密秘钥；通过群组密钥协商步骤，实现群组成员之间的秘密通信：

加密：任意消息发送成员选择

用协商的群组公钥计算d=tg₁,然后广播加密消息的密文c=<δ,η>；

解密：每个成员接收到密文c=<δ,η>后，用协商群组私钥dk解密密文得到明文消息 $m=\mathrm{\&eta;}\&CirclePlus;H_2\left(e(\mathrm{\&delta;},\mathrm{dk})\right).$

1.本发明的方法是基于双线性群理论提出的，对本发明的理论基础概述如下：

A)双线性群

首先给出双线性映射的定义，假设G₁,G₂是加法群，G₃是乘法群，且G₁,G₂和G₃上的离散对数是困难的，群G₁和G₂是一对双线性群，设G₁=<g₁>，G₂=<g₂>及G₃是阶为素数q的循环群，

是G₁到G₂的同构映射即

e是可计算的映射，e:G₁×G₂→G₃，

性质1双线性，对所有的g₁∈G₁，g₂∈G₂，及

有e(ag₁,bg₂)=e(g₁,g₂)^ab；

性质2非退化性，即e(g₁,g₂)≠1；

性质3可计算性，存在有效的算法，对于g₁∈G₁，g₂∈G₂可计算e(g₁,g₂)。

对于以上的定义我们可以定义以下难解问题：

1）离散对数问题.设g₁,g₁'∈G₁，寻找一个整数a使得g₁'=ag₁；

2）Bilinear Inverse Diffe-Hellman(BIDH)问题.假设一个三元组(g₁,ag₁,bg₁)∈G₁，对于任意 $a,b\&Element;Z_q^{*},$ 计算

3）Decisional Bilinear Diffe-Hellman(D-BDH)问题.假设一个四元组(g₁,ag₁,bg₁,cg₁)∈G₁，对于任意

判断是否有c=ab mod q。

2.非对称定义：

一个群组密钥协商协议Π是非对称的，如果该密钥协商成功结束，且有

或

其中

分别是任意两个参加密钥协商成员u_k、u_j,(k≠j)计算出来的群组公/私钥对。

3.群组秘钥协商方案

A）提出的方案需要三轮信息交换来协商群组共享的公/私秘钥对，假设和pk_i(pk_i=sk_ig₁)是群组成员U_i(1≤i≤n)的长期私钥和长期公钥。群组秘钥协商如下：

1）首先，每个低能量节点成员U_i(1≤i≤n-1)选取任意两个随机数

并计算R_i=r_ig₁，T_i=(m_i+sk_i/r_i)g₁，M_i=m_ipk_n，然后U_i将消息(U_i,R_i,T_i,M_i)发送给能量较高的节点U_n(1≤i≤n-1)。

2）高能量节点U_n接收到每个低能量节点U_i发送的消息(U_i,R_i,T_i,M_i)(1≤i≤n-1)后，U_n验证等式

是否成立，如果每个等式都成立，U_n方能确定消息(U_i,R_i,T_i,M_i)(1≤i≤n-1)是成员U_i所发送。然后U_n随机选择两个数

并计算R_n=r_ng₁,T_n=(m_n+sk_nr_n)g₁， $\mathrm{PK}=\underset{i=1}{\overset{n-1}{\mathrm{\&Sigma;}}}{\mathrm{pk}}_i,\mathrm{RT}=\underset{i=1}{\overset{n-1}{\mathrm{\&Pi;}}}e(R_i,T_i),$ P=m_nPK， $Q={\mathrm{RT}}^{m_n^2},$

U_n将这些消息(U_n,X₁,X₂,...,X_n-1,R_n,T_n,Q,P)广播给能量低的节点，U_n可计算出群组共享公钥ek=(Q,P)，f_n=m_ng₁和群组共享私钥

3）每个成员U_j(1≤j≤n-1)收到U_n的广播消息后，验证等式

是否成立，如果相等，则U_j能确定消息(U_n,X₁,X₂,...,X_n-1,R_n,T_n,RT,PK)为U_n所发送。然后每个成员U_j(1≤j≤n-1)计算群组共享公钥ek=(Q,P)，

和群组共享私钥 $\mathrm{dk}=e(f_j,\underset{j=1}{\overset{n-1}{\mathrm{\&Sigma;}}}{X}_j)=e(m_n{g}_1,\underset{j=1}{\overset{n-1}{\mathrm{\&Sigma;}}}{X}_j).$

4）所有群组成员计算出群组共享公钥及群组私钥后，验证等式e(P,f_j)dk=?Q是否成立，如果等式成立则所有成员计算的ek和dk是正确的，且所有成员计算的群组共享公钥及群组私钥具有一致性。

4群组成员退出协议

A)当群组某个成员或部分成员退出群组时，为了保障群组之间的安全通信，更新原有的群组秘钥是有必要的，假设部分低能量移动节点

退出群组，群组成员退出协议如下：

1)即将退出的节点U_i(j+1≤i≤n-1)通知U_n它们想要退出群组；

2)U_n更新群组成员集合 $\stackrel{\&OverBar;}{U}=\{U_1,...U_{i-1},U_{i+1},...,U_n\},$

3)U_n任意选取两个随机数

计算如下参数：R'_n=r′_ng₁,T′_n=(m'_n+sk_nr′_n)g₁， ${\mathrm{PK}}^{\&prime;}=\underset{1\&le;j\&le;n-1,j\&NotEqual;i}{\mathrm{\&Sigma;}}{\mathrm{pk}}_j,{\mathrm{PT}}^{\&prime;}=\underset{1\&le;j\&le;n-1,j\&NotEqual;i}{\mathrm{\&Pi;}}e(R_j,T_j),$ P'=m'_nPK'， $Q^{\&prime;}={\left({\mathrm{RT}}^{\&prime;}\right)}^{m_n^{\&prime;2}},$ 然后U_n广播参数(U_n,X′₁,X'₂,...,X′_i-1,X′_i+1,...,X'_n-1,R'_n,T′_n,Q',P')给群组其它成员。U_n可计算出群组共享公钥ek'=(Q',P')及f′_n=m'_ng₁和群组共享私钥 ${\mathrm{dk}}^{\&prime;}=e(f_n^{\&prime;},\underset{1\&le;j\&le;n-1,j\&NotEqual;i}{\mathrm{\&Sigma;}}{X}_j^{\&prime;});$

4)群组其它成员收到U_n的广播消息后，每个成员U_j(1≤j≠i≤n-1)验证等式

是否成立。如果该等式成立，则每个成员U_j能确保消息(U_n,X′₁,X'₂,...,X′_i-1,X′_i+1,...,X'_n-1,R'_n,T′_n,Q',P')是U_n所发送。然后U_j(1≤j≠i≤n-1)可计算

群组共享公钥ek'=(Q',P')及群组共享私钥 ${\mathrm{dk}}^{\&prime;}=e(f_j^{\&prime;},\underset{1\&le;j\&le;n-1,j\&NotEqual;i}{\mathrm{\&Sigma;}}{X}_j^{\&prime;})=e(m_n^{\&prime;}{g}_1,\underset{1\&le;j\&le;n-1,j\&NotEqual;i}{\mathrm{\&Sigma;}}{X}_j^{\&prime;});$

5）所有群组成员计算出群组共享公钥及群组私钥后，验证等式e(P',f′_j)dk'=?Q'是否成立。如果等式成立则所有成员计算的ek'和dk'是正确的，且所有成员计算的群组共享公钥及群组私钥具有一致性。

5群组成员加入协议

当有新成员或部分新成员要加入现有的群组时，现有的群组应该给新的成员提供公平的群组秘钥信息，且应该确保任何新来成员不能计算出群组之前的共享私钥。假设部分新来的低能量移动节点

欲加入现有的群组，假设新加入节点的U_k(n+1≤k≤l)的长期私钥及长期公钥分别为

和pk_k(pk_k=sk_kg₁)，群组成员加入协议如下：

1）U_n更新新的群组成员集合

2）新成员将其身份信息发送给节点U_n，

任意选取两随机数m_k,并计算R_k=r_kg₁，T_k=(m_k+sk_k/r_k)g₁，M_k=m_kpk_n，然后每个新成员U_k发送消息(U_k,R_k,T_k,M_k)给U_n；

3）U_n收到每个新加入节点的消息(U_k,R_k,T_k,M_k)(n+1≤k≤l)后，U_n验证等式

是否成立，如果该等式成立，U_n能确保消息(U_k,R_k,T_k,M_k)(n+1≤k≤l)是U_k所发送。然后U_n任意选取两个随机数

并计算R″_n=r″_ng₁,T″_n=(m″_n+sk_n/r″_n)g₁，P″=m″_n(PK+PK″)， $Q^{\&prime;\&prime;}={(\mathrm{RT}+{\mathrm{RT}}^{\&prime;\&prime;})}^{m_n^{\&prime;\&prime;2}},X_i^{\&prime;\&prime;}=m_n^{\&prime;\&prime;}{\mathrm{sk}}_n^{-1}{M}_i(1\&le;i\&le;l,i\&NotEqual;n),$ U_n广播消息(U_n,X″₁,X″₂,...,X″_n-1,X″_n+1,...,X″₁,R″_n,T″_n,Q″,P″)给群组内部所有成员。U_n计算f″_n=m″_ng₁，群组共享公钥ek″=(Q″,P″)及群组共享私钥

4）群组内部每个成员U_i(1≤i≤l,i≠n)收到U_n的广播消息后，验证等式

是否成立，如果该等式成立，群内成员U_i(1≤i≤l,i≠n)能确保消息(U_n,X″₁,X″₂,...,X″_n-1,X″_n+1,...,X″_l,R″_n,T″_n,Q″,P″)为U_n所发送。每个U_i(1≤i≤l,i≠n)可计算f″_i，群组共享公钥ek″=(Q″,P″)及群组共享私钥

5）所有群组成员计算出群组共享公钥及群组私钥后，验证等式e(P″,f″_i)dk″=?Q″是否成立。如果等式成立则所有成员计算的ek″和dk″是正确的，且所有成员计算的群组共享公钥及群组私钥具有一致性。

6群组秘密通信

对于任意明文消息m∈M^*(M^*：明文空间)，任意拥有群组共享公钥ek及群组共享私钥dk的群组成员U_j(1≤j≤n)可做如下操作：

加密消息发送者任意选取随机数并计算

然后将密文消息c=<δ,η>广播给群组成员；

解密消息群组其它成员收到密文消息c=<δ,η>后，任意成员可用群组共享私钥dk解密出明文消息 $m=\mathrm{\&eta;}\&CirclePlus;H_2\left(e(\mathrm{\&delta;},\mathrm{dk})\right).$

本发明的有益效果是：本发明的方案包括群组秘钥协商的可认证性、非对称性及群组秘钥更新协议。可认证性，采用双线性映射技术实现网络中移动设备的短签名机制，移动群组成员再进行群组秘钥协商之前用该签名提供身份认证，以防御敌手的主动攻击；非对称性，移动非平衡网络中各移动设备协商出一对非对称的群组通信加密/解密秘钥，使得群组之外的成员可用公钥加密秘密信息发送给群内部成员，而不必加入群组之中；群组会话秘钥更新，某些群组成员退出或加入该群组时，群组秘钥需要更新，以保证群组秘钥的新鲜性。本发明在移动网络环境中移动群组设备之间秘密通信时，能保证群组设备之间的安全通信，计算和通信能量消耗较低，并具有较好的灵活性、安全性和实用性。

附图说明

图1为移动非平衡网络结构图；

图2为移动非平衡网络环境非对称群组秘钥协商过程。

具体实施方式

本实施方式中，非平衡移动网络由一个高能量节点和多个低能量节点组成，如图1所示。低能量节点的资源有限，尽可能少减少其计算量及通信量。高能量节点有较多的资源，其尽可能多的分担低能量节点的计算量及通信量。群组秘钥协商可分为两个阶段：一是协商前的身份认证，二是群组秘钥协商。

如图2所示，本实施方式按照以下步骤实现移动非平衡网络可认证非对称群组秘钥协商。

1.群组成员的签名与认证

A)进行***的初始化

假设群组有8个成员U_i(1≤i≤8)，其中U₈为一个高能节点，和pk_i(pk_i=sk_ig₁)是群组成员U_i(1≤i≤8)的长期私钥和长期公钥。

B)每个低能量节点成员U_i(1≤i≤7)选取任意两个随机数

并计算R_i=r_ig₁，T_i=(m_i+sk_i/r_i)g₁，M_i=m_ipk₈，然后U_i将消息(U_i,R_i,T_i,M_i)发送给能量较高的节点U₈(1≤i≤n-1)。（注：实现低能量节点签名过程）。

C)U₈接收到每个低能量节点U_i发送的消息(U_i,R_i,T_i,M_i)(1≤i≤7)后，U₈验证等式

是否成立，如果每个等式都成立，U₈方能确定消息(U_i,R_i,T_i,M_i)(1≤i≤7)是成员U_i所发送的。（注：实现高能量节点对参与群组秘钥协商的低能量节点进行认证过程）。

2.群组成员协商非对称的共享秘钥

A）可与步骤1同时进行，首先，每个低能量节点成员U_i(1≤i≤7)选取任意两个随机数

并计算R_i=r_ig₁，T_i=(m_i+sk_i/r_i)g₁，M_i=m_ipk₈，然后U_i将消息(U_i,R_i,T_i,M_i)发送给能量较高的节点U₈(1≤i≤n-1)。

B）高能量节点U₈接收到每个低能量节点U_i发送的消息(U_i,R_i,T_i,M_i)(1≤i≤7)后，U₈验证等式

是否成立，如果每个等式都成立，U₈方能确定消息(U_i,R_i,T_i,M_i)(1≤i≤7)是成员U_i所发送。然后U₈随机选择两个数

并计算R₈=r₈g₁,T₈=(m₈+sk₈/r₈)g₁， $\mathrm{PK}=\underset{i=1}{\overset{7}{\mathrm{\&Sigma;}}}{\mathrm{pk}}_i,\mathrm{RT}=\underset{i=1}{\overset{7}{\mathrm{\&Pi;}}}e(R_i,T_i),$ P=m₈PK， $Q={\mathrm{RT}}^{m_n^2},$

U₈将这些消息(U₈,X₁,X₂,...,X₇,R₈,T₈,Q,P)广播给能量低的节点。U₈可计算出群组共享公钥ek=(Q,P)，f₈=m₈g₁和群组共享私钥

C）每个成员U_j(1≤j≤7)收到U₈的广播消息后，验证等式

是否成立，如果相等，则U_j能确定消息(U₈,X₁,X₂,...,X₇,R₈,T₈,RT,PK)为U₈所发送。然后每个成员U_j(1≤j≤7)计算群组共享公钥ek=(Q,P)，

和群组共享私钥 $\mathrm{dk}=e(f_j,\underset{j=1}{\overset{n-1}{\mathrm{\&Sigma;}}}{X}_j)=e(m_8{g}_1,\underset{j=1}{\overset{n-1}{\mathrm{\&Sigma;}}}{X}_j).$

3.共享秘钥的一致性验证

A）所有群组成员计算出群组共享公钥及群组私钥后，验证等式e(P,f_j)dk=?Q是否成立。如果等式成立则所有成员计算的ek和dk是正确的，且所有成员计算的群组共享公钥及群组私钥具有一致性。

通信过程如下：

ek=(Q,P)               ek=(Q,P)

$\begin{array}{cc}\mathrm{dk}=e(f_j,\underset{j=1}{\overset{n-1}{\mathrm{\&Sigma;}}}{X}_j)=e(m_8{g}_1,\underset{j=1}{\overset{n-1}{\mathrm{\&Sigma;}}}{X}_j)& \mathrm{dk}=e(f_8,\underset{i=1}{\overset{7}{\mathrm{\&Sigma;}}}{X}_i)\end{array}$

通过此群组会话秘钥协商，群组内部成员可安全的进行秘密通信。

为了说明本发明的内容及实施方法，给出了一个具体实施例。在实施例中引入细节的目的不是限制权利要求书的范围，而是帮助理解本发明所述方法。本领域的技术人员应理解：在不脱离本发明及其所附权利要求的精神和范围内，对最佳实施例步骤的各种修改、变化或替换都是可能的。因此，本发明不应局限于最佳实施例及附图所公开的内容。

Claims (2)

1.移动非平衡网络中可认证非对称群组秘钥协商方法，其特征在于：采用双线性映射实现移动非平衡网络中移动群组成员协商建立一对共享的非对称群组会话秘钥，它的步骤如下：

（1）群组成员的签名与认证；

（2）群组成员协商非对称的共享秘钥；

（3）共享秘钥的一致性验证；

所述步骤（1）中群组成员的签名与认证为：

①群组成员U_i(1≤i≤n-1)长期私钥sk_i及公钥pk_i的生成；

②群组成员U_i短签名算法；

③较大能量节点U_n通过群组成员U_i提供的短签来验证各成员U_i的身份；

所述步骤（2）中群组成员协商非对称的共享秘钥为：

①群组成员U_i(1≤i≤n-1)随机选择群组秘钥协商过程中所需要的秘钥参数，及对该秘钥参数进行签名，将这些秘钥参数及签名发送给较大能量节点U_n；

②较大能量节点U_n认证群组成员U_i的身份，并随机选择相关的秘钥参数，及该秘钥参数的签名，将这些秘钥参数及签名发送给群组成员U_i(1≤i≤n-1)；

③较大能量节点U_n计算出各成员U_i的秘钥参数，并将这些秘钥参数连同自己随机选取的秘钥参数一起组合成一对非对称的共享群组秘钥；

④各成员U_i收到U_n发送的签名及秘钥参数后，对U_n进行身份认证，并将U_n发送的秘钥参数连同自己的秘钥参数计算出一对非对称的共享群组秘钥；

所述步骤（3）中共享秘钥的一致性验证为：

①群组各成员验证协商的群组秘钥是否一致，计算的群组秘钥是否相同。

2.根据权利要求1所述的移动非平衡网络中可认证非对称群组秘钥协商方法，其特征在于：采用双线性映射技术实现短签名和身份认证；群组秘钥协商实现非对称性，协商出一对非对称的群组加密/解密秘钥；通过群组密钥协商步骤，实现群组成员之间的秘密通信：加密：任意消息发送成员选择

用协商的群组公钥计算

然后广播加密消息的密文c=<δ，η>；

解密：每个成员接收到密文c=<δ,η>后，用协商群组私钥dk解密密文得到明文消息 $m=\mathrm{\&eta;}\&CirclePlus;H_2\left(e(\mathrm{\&delta;},\mathrm{dk})\right).$

Images