CN108964904B - 群密钥安全管理方法、装置、电子设备及存储介质 - Google Patents

群密钥安全管理方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN108964904B
CN108964904B CN201810780127.8A CN201810780127A CN108964904B CN 108964904 B CN108964904 B CN 108964904B CN 201810780127 A CN201810780127 A CN 201810780127A CN 108964904 B CN108964904 B CN 108964904B
Authority
CN
China
Prior art keywords
group
user equipment
information
node
group key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201810780127.8A
Other languages
English (en)
Other versions
CN108964904A (zh
Inventor
陈建铭
王光杰
王景行
吴祖扬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Graduate School Harbin Institute of Technology
Original Assignee
Shenzhen Graduate School Harbin Institute of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Graduate School Harbin Institute of Technology filed Critical Shenzhen Graduate School Harbin Institute of Technology
Priority to CN201810780127.8A priority Critical patent/CN108964904B/zh
Publication of CN108964904A publication Critical patent/CN108964904A/zh
Application granted granted Critical
Publication of CN108964904B publication Critical patent/CN108964904B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

一种群密钥安全管理方法,包括:对群中的用户设备进行群密钥协商及初始化;将初始化后的群密钥分发给群中的所有用户设备;当侦测到群中的用户设备的状态发生变化时,再次进行群密钥协商及初始化,并将再次初始化后的群密钥分发给群中的所有用户设备。本发明还提供一种群密钥安全管理装置、电子设备及存储介质。本发明能够在有用户设备离开或者加入时,对群密钥进行初始化,将初始化后的群密钥重新分发给群中的用户设备,避免群密钥被泄露,提高群中用户设备通讯的安全性的同时降低通讯计算量。

Description

群密钥安全管理方法、装置、电子设备及存储介质
技术领域
本发明涉及网络安全技术领域,具体涉及一种群密钥安全管理方法、装置、电子设备及存储介质。
背景技术
现有的群密钥管理方法大多是基于密钥分发中心的密钥分发管理方法,处于群中的用户设备需要两两发送消息,从而导致通讯量较大,这种高复杂度的通讯量在资源受限的物联网环境下是很难满足实际需求的。
另外,当有新的用户设备加入群中或者有用户设备退出群时,群密钥并不会发生改变,如此易导致群密钥泄露,群密钥的安全性较低,群中的用户设备的通讯安全得不到保障。
发明内容
鉴于以上内容,有必要提出一种群密钥安全管理方法、装置、电子设备及存储介质,能够在有用户设备离开或者加入时,对群密钥进行初始化,将初始化后的群密钥重新分发给群中的用户设备,避免群密钥被泄露,提高群中用户设备通讯的安全性的同时降低通讯计算量。
本发明的第一方面提供一种群密钥安全管理方法,应用于电子设备中,所述方法包括:
对群中的用户设备进行群密钥协商及初始化;
将初始化后的群密钥分发给群中的所有用户设备;
当侦测到群中的用户设备的状态发生变化时,再次进行群密钥协商及初始化,并将再次初始化后的群密钥分发给群中的所有用户设备。
优选的,所述对群中的用户设备进行群密钥协商及初始化包括:
11)根据用户设备N1的节点u1,k1,2=s1P2椭圆曲线点k1,2=(x1,2,y1,2),依次计算出
Figure BDA0001732352410000021
B1=h(u1||u2||t1,2)、NK1=B1及信息m1={NK1},节点u1发送信息m1给下一个节点u2
12)节点ui(i∈{2,3...,n-1})接收到前一个节点发送的信息mi-1后解析出其中的信息NKi-1,按照步骤11)依次计算出Bi
Figure BDA0001732352410000022
及信息mi={NKi},节点ui发送mi给下一个节点ui+1
13)节点un接收到信息mn-1后解析出其中的信息NKn-1,依次计算出Bn
Figure BDA0001732352410000028
Bn-1
Figure BDA0001732352410000023
及信息mn={MKn},节点un发送信息mn给节点un-1
14)节点ui(i∈{2,3...,n-1})接收到信息mi+1后解析出其中的信息MKi+1,依次计算出
Figure BDA0001732352410000024
Bi-1
Figure BDA0001732352410000025
及信息mi={MKi},节点ui发送信息mi={MKi}给节点ui-1;以及
15)节点u1接收到信息m2之后,解析出信息MK2,并计算出
Figure BDA0001732352410000026
在上述步骤11)-15)中,n为网络中用户设备的数量;S为密钥分发中心;Ni为网络中的节点;si为用户设备Ni的私钥;pi为用户设备Ni的公钥;ui为用户设备Ni的身份信息;U为群中的用户设备身份信息列表;q为大质数;p为椭圆曲线的阶;G为椭圆曲线的基点;||连接操作;
Figure BDA0001732352410000027
为异或操作。
优选的,所述侦测到群中的用户设备的状态发生变化包括包括:
侦测群中的用户设备的数量是否减少;
当侦测到群中的用户设备的数量减少时,确定侦测到了群中的用户设备的状态发生变化;或
当侦测到群中的用户设备的数量没有减少时,侦测群中的用户设备的数量是否增加;
当侦测到群中的用户设备的数量增加时,确定侦测到了群中的用户设备的状态发生变化;或
当侦测到群中的用户设备的数量没有增加时,侦测群中的用户设备的标识是否发生变化;
当侦测到群中的用户设备的标识发生变化时,确定侦测到了群中的用户设备的状态发生变化。
优选的,当所述侦测到用户设备的状态发生变化为侦测到用户设备的数量发生减少时,所述再次进行群密钥协商及初始化包括:
对群中的用户设备身份信息列表进行第一更新,根据第一更新后的用户设备身份信息列表进行群密钥协商及初始化。
优选的,当所述侦测到用户设备的状态发生变化为侦测到用户设备的数量发生增加时,所述再次进行群密钥协商及初始化包括:
对群中的用户设备的节点信息进行第二更新,根据第二更新后的节点信息进行群密钥协商及初始化。
优选的,当所述侦测到用户设备的状态发生变化为侦测到用户设备的数量没有发生变化但用户设备的标识发生变化时,所述再次进行群密钥协商及初始化包括:
对群中的用户设备的节点信息进行第三更新,根据第三更新后的节点信息进行群密钥协商及初始化。
优选的,当所述将再次初始化后的群密钥分发给群中的所有用户设备之后,所示方法还包括:
判断所述群密钥是否成功的分发给了群中的所有用户设备;
在确定发送失败时,重新进行群密钥协商及初始化或者重新发送。
本发明的第二方面提供一种群密钥安全管理装置,运行于电子设备中,所述装置包括:
第一初始化模块,用于进行群密钥协商及初始化对群中的用户设备进行群密钥协商及初始化;
第一发送模块,用于将初始化后的群密钥分发给群中的所有用户设备;
侦测模块,用于侦测群中的用户设备的状态是否发生变化;
第二初始化模块,用于当所述侦测模块侦测到群中的用户设备的状态发生变化时,再次进行群密钥协商及初始化;
第二发送模块,用于将再次初始化后的群密钥分发给群中的所有用户设备。
本发明的第三方面提供一种电子设备,所述电子设备包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现所述群密钥安全管理方法。
本发明的第四方面提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现所述群密钥安全管理方法。
本发明解决了在物联网环境下用户设备之间进行安全有效的群体通信的问题,能够使得当有用户设备加入或者离开时,对群密钥进行初始化,将初始化后的群密钥重新分发给群中的用户设备,避免群密钥被泄露,提高群中用户设备通讯的安全性的同时降低通讯计算量。并且由于其通讯的高效性,能够保证对于物联网环境更好的适应性,实现了资源与安全性的最大化。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1是本发明实施例一提供的群密钥安全管理方法的流程图。
图2是本发明实施例中的群密钥初始化的过程的信令交互示意图。
图3是本发明实施例二提供的群密钥安全管理装置的结构图。
图4是本发明实施例三提供的电子设备的示意图。
如下具体实施方式将结合上述附图进一步说明本发明。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施例对本发明进行详细描述。需要说明的是,在不冲突的情况下,本发明的实施例及实施例中的特征可以相互组合。
优选地,本发明的群密钥安全管理方法应用在一个或者多个电子设备中。所述电子设备是一种能够按照事先设定或存储的指令,自动进行数值计算和/或信息处理的设备,其硬件包括但不限于微处理器、专用集成电路、可编程门阵列、嵌入式设备等。
所述电子设备可以是桌上型计算机或云端服务器等计算设备。所述电子设备可以与用户通过键盘、鼠标、遥控器、触摸板或声控设备等方式进行人机交互。
所述群密钥安全管理方法也可以应用于由电子设备和通过网络与所述电子设备进行连接的服务器所构成的硬件环境中。网络包括但不限于:广域网、城域网或局域网。本发明实施例的群密钥安全管理方法可以由服务器来执行,也可以由电子设备来执行,还可以是由服务器和电子设备共同执行。
例如,对于需要进行群密钥安全管理的电子设备,可以直接在电子设备上集成本发明的方法所提供的群密钥安全管理功能,或者安装用于实现本发明的方法的客户端。再如,本发明所提供的方法还可以软件开发工具包(Software Development Kit,SDK)的形式运行在服务器等设备上,以SDK的形式提供群密钥安全管理功能的接口,电子设备或其他设备通过提供的接口即可实现对群密钥的安全管理。
实施例一
图1是本发明实施例一提供的群密钥安全管理方法的流程图。所述群密钥安全管理方法应用于电子设备。根据不同的需求,图1所示流程图中的执行顺序可以改变,某些步骤可以省略。
如图1所示,所述群密钥安全管理方法具体包括以下步骤:
步骤101:对群中的用户设备进行群密钥协商及初始化。
本实施例中,所述电子设备可以在对群密钥进行协商并初始化之前,接收群中所有用户设备的注册请求;对注册请求验证通过的用户设备进行注册。
请一并参阅图2所示,为本发明实施例中的群密钥初始化的过程的信令交互示意图。本实施例中,所述电子设备对群中的用户设备进行群密钥协商及初始化的具体过程可以包括:
11)根据用户设备N1的节点u1,k1,2=s1P2椭圆曲线点k1,2=(x1,2,y1,2),依次计算出
Figure BDA0001732352410000061
B1=h(u1||u2||t1,2)、NK1=B1及信息m1={NK1},节点u1发送信息m1给下一个节点u2
12)节点ui(i∈{2,3...,n-1})接收到前一个节点发送的信息mi-1后解析出其中的信息NKi-1,按照步骤11)依次计算出Bi
Figure BDA0001732352410000062
及信息mi={NKi},节点ui发送mi给下一个节点ui+1
13)节点un接收到信息mn-1后解析出其中的信息NKn-1,依次计算出Bn
Figure BDA0001732352410000063
Bn-1
Figure BDA0001732352410000064
及信息mn={MKn},节点un发送信息mn给节点un-1
14)节点ui(i∈{2,3...,n-1})接收到信息mi+1后解析出其中的信息MKi+1,依次计算出
Figure BDA0001732352410000065
Bi-1
Figure BDA0001732352410000066
及信息mi={MKi},节点ui发送信息mi={MKi}给节点ui-1;以及
15)节点u1接收到信息m2之后,解析出信息MK2,并计算出
Figure BDA0001732352410000071
在上述步骤11)-15)中,n为网络中用户设备的数量;S为密钥分发中心;Ni为网络中的节点;si为用户设备Ni的私钥;pi为用户设备Ni的公钥;ui为用户设备Ni的身份信息;U为群中的用户设备身份信息列表;q为大质数;p为椭圆曲线的阶;G为椭圆曲线的基点;||连接操作;
Figure BDA0001732352410000072
为异或操作。
应当理解的是,一个节点相当于一个用户设备,即一个用户设备对应一个节点。
步骤102:将初始化后的群密钥分发给群中的所有用户设备。
本实施例中,所述电子设备可以预先为所述主群设置一个密钥分发中心。在物联网环境下,可以为主群设置一个受信任的实体作为密钥分发中心进行主群密钥的分发与管理。所述电子设备通过密钥分发中心将群密钥分发给每一个用户设备,所有用户设备之间共享同一个群密钥,所述群密钥用于保证用户设备与用户设备之间的通讯的安全性。
步骤103:当侦测到群中的用户设备的状态发生变化时,再次进行群密钥协商及初始化,并将再次初始化后的群密钥分发给群中的所有用户设备。
本实施例中,所述群中的用户设备的状态发生变化可以包括以下一种或多种的组合:群中的用户设备的数量发生变化;群中的用户设备的标识发生变化。本发明对此不做具体限定,发生任何变化都可以认为群中的用户设备的状态发生了变化。
本实施例中,所述群中的用户设备的数量发生变化包括:群中的用户设备的数量增加或者减少。所述群中的用户设备的数量增加表示有新的用户设备加入群中。所述群中的用户设备的数量减少表示有用户设备退出了群。
进一步的,所述侦测到群中的用户设备的状态发生变化包括:侦测群中的用户设备的数量是否减少;当侦测到群中的用户设备的数量减少时,确定侦测到了群中的用户设备的状态发生变化;当侦测到群中的用户设备的数量没有减少时,侦测群中的用户设备的数量是否增加;当侦测到群中的用户设备的数量增加时,确定侦测到了群中的用户设备的状态发生变化;当侦测到群中的用户设备的数量没有增加时,侦测群中的用户设备的标识是否发生变化;当侦测到群中的用户设备的标识发生变化时,确定侦测到了群中的用户设备的状态发生变化。
通过先侦测群中的用户设备的数量是否减少判断群中的用户设备的状态是否发生变化;当确定数量没有减少时,再通过侦测群中的用户设备的数量是否增加判断群中的用户设备的状态是否发生变化;最后在确定数量也没有增加时,通过侦测群中的用户设备的标识是否发生变化来判断群中的用户设备的状态是否发生变化。如此可保证当原有的用户设备退出群造成群中用户设备的数量减少时,能够在第一时间发现群中的用户设备的状态发生了变化,并及时的进行群密钥协商及初始化,确保退出群的用户设备不会将群密钥泄露出去。其次,当有新的用户设备加入群中造成群中用户设备的数量增加时,进行群密钥协商及初始化,确保新加入的用户设备无法获知原有的群密钥,保证群中原有的用户设备的通讯的安全性。最后对有新的用户设备加入群中,同时原有的用户设备退出群造成群中用户设备数量不变但群中用户设备的标识发生变化时,进行群密钥协商及初始化群密钥。另外,数量发生变化比标识发生变化更能直观的反应群中的用户设备的状态发生了变化,因而,优先侦测用户设备的数量是否变化,再侦测用户设备的标识是否发生变化,节省侦测的时间,减少计算量。
进一步的,当侦测到用户设备的状态发生变化为侦测到用户设备的数量发生减少时,所述再次进行群密钥协商及初始化可以包括:对群中的用户设备身份信息列表进行第一更新,根据第一更新后的用户设备身份信息列表进行群密钥协商及初始化。
例如,当用户设备ui退出群时,根据用户设备ui的节点位置重新分配群中的用户设备身份信息列表U={u1,u2,...,un-1},根据重新分配的U={u1,u2,...,un-1}按照步骤12)-15)进行群密钥协商及初始化。
进一步的,当侦测到用户设备的状态发生变化为侦测到用户设备的数量发生增加时,所述再次进行群密钥协商及初始化可以包括:对群中的用户设备的节点信息进行第二更新,根据第二更新后的节点信息进行群密钥协商及初始化。
例如,当用户设备ui加入群中时,根据用户设备ui的节点位置重新分配群中的用户设备身份信息列表U={u1,u2,...,un,un+1};根据重新分配的U={u1,u2,...,un,un+1}按照步骤12)-15)进行群密钥协商及初始化。
进一步的,当侦测到用户设备的状态发生变化为侦测到用户设备的数量没有发生变化但用户设备的标识发生变化时,所述再次进行群密钥协商及初始化可以包括:对群中的用户设备的节点信息进行第三更新,根据第三更新后的节点信息进行群密钥协商及初始化。
例如,当用户设备ui退出群,而用户设备uj加入群中时,根据用户设备ui及uj的节点位置重新分配群中的用户设备身份信息列表U={u1,u2,…,un};根据重新分配的U={u1,u2,…,un}按照步骤12)-15)进行群密钥协商及初始化。
优选地,当将再次初始化后的群密钥分发给群中的所有用户设备之后,所示方法还可以包括:判断所述群密钥是否成功的分发给了群中的所有用户设备,在确定发送失败时,重新进行群密钥协商及初始化或者重新发送。
本发明实施例所述的群密钥安全管理方法,对群中的用户设备进行群密钥协商及初始化;将初始化后的群密钥分发给群中的所有用户设备;当侦测到群中的用户设备的状态发生变化时,再次进行群密钥协商及初始化,并将再次初始化后的群密钥分发给群中的所有用户设备。本发明解决了在物联网环境下用户设备之间进行安全有效的群体通信的问题,能够使得当有用户设备加入或者离开时,对群密钥进行初始化,将初始化后的群密钥重新分发给群中的用户设备,避免群密钥被泄露,提高群中用户设备通讯的安全性的同时降低通讯计算量。并且由于其通讯的高效性,能够保证对于物联网环境更好的适应性,实现了资源与安全性的最大化。
上述图1-2详细介绍了本发明的群密钥安全管理方法,下面结合第3~4图,分别对实现所述群密钥安全管理方法的软件***的功能模块以及实现所述群密钥安全管理方法的硬件***架构进行介绍。
应该了解,所述实施例仅为说明之用,在专利申请范围上并不受此结构的限制。
实施例二
图3是本发明实施例二提供的群密钥安全管理装置的功能模块图。
群密钥安全管理装置30运行于电子设备中。所述群密钥安全管理装置30可以包括多个由程序代码段所组成的功能模块。所述群密钥安全管理装置30中的各个程序段的程序代码可以存储于所述电子设备的存储器中,并由所述电子设备的至少一个处理器所执行,以执行对群密钥的分发与管理。
本实施例中,所述群密钥安全管理装置30根据其所执行的功能,可以被划分为多个功能模块。所述功能模块可以包括:第一初始化模块301、第一发送模块302、侦测模块303、第二初始化模块304、第二发送模块305、第一更新模块306、第二更新模块307及第三更新模块308。上述各个模块之间通过至少一条通讯总线通讯。发明所称的模块是指一种能够被处理器所执行并且能够完成固定功能的一系列计算机程序段,其存储在存储器中。在本实施例中,关于各模块的功能将在后续的实施例中详述。
第一初始化模块301,用于对群中的用户设备进行群密钥协商及初始化。
本实施例中,所述电子设备可以在对群密钥进行协商并初始化之前,接收群中所有用户设备的注册请求;对注册请求验证通过的用户设备进行注册。
请一并参阅图2所示,为本发明实施例中的群密钥初始化的过程的信令交互示意图。本实施例中,所述第一初始化模块301对群中的用户设备进行群密钥协商及初始化的具体过程可以包括:
11)根据用户设备N1的节点u1,k1,2=s1P2椭圆曲线点k1,2=(x1,2,y1,2),依次计算出
Figure BDA0001732352410000111
B1=h(u1||u2||t1,2)、NK1=B1及信息m1={NK1},节点u1发送信息m1给下一个节点u2
12)节点ui(i∈{2,3...,n-1})接收到前一个节点发送的信息mi-1后解析出其中的信息NKi-1,按照步骤11)依次计算出Bi
Figure BDA0001732352410000112
及信息mi={NKi},节点ui发送mi给下一个节点ui+1
13)节点un接收到信息mn-1后解析出其中的信息NKn-1,依次计算出Bn
Figure BDA0001732352410000113
Bn-1
Figure BDA0001732352410000114
及信息mn={MKn},节点un发送信息mn给节点un-1
14)节点ui(i∈{2,3...,n-1})接收到信息mi+1后解析出其中的信息MKi+1,依次计算出
Figure BDA0001732352410000115
Bi-1
Figure BDA0001732352410000116
及信息mi={MKi},节点ui发送信息mi={MKi}给节点ui-1;以及
15)节点u1接收到信息m2之后,解析出信息MK2,并计算出
Figure BDA0001732352410000117
在上述步骤11)-15)中,n为网络中用户设备的数量;S为密钥分发中心;Ni为网络中的节点;si为用户设备Ni的私钥;pi为用户设备Ni的公钥;ui为用户设备Ni的身份信息;U为群中的用户设备身份信息列表;q为大质数;p为椭圆曲线的阶;G为椭圆曲线的基点;||连接操作;
Figure BDA0001732352410000118
为异或操作。
应当理解的是,一个节点相当于一个用户设备,即一个用户设备对应一个节点。
第一发送模块302,用于将初始化后的群密钥分发给群中的所有用户设备。
本实施例中,所述电子设备可以预先为所述主群设置一个密钥分发中心。在物联网环境下,可以为主群设置一个受信任的实体作为密钥分发中心进行主群密钥的分发与管理。所述电子设备通过密钥分发中心将群密钥分发给每一个用户设备,所有用户设备之间共享同一个群密钥,所述群密钥用于保证用户设备与用户设备之间的通讯的安全性。
侦测模块303,用于侦测群中的用户设备的状态是否发生变化。
第二初始化模块304,用于当所述侦测模块303侦测到群中的用户设备的状态发生变化时,再次进行群密钥协商及初始化。
第二发送模块305,用于将再次初始化后的群密钥分发给群中的所有用户设备。
本实施例中,所述群中的用户设备的状态发生变化可以包括以下一种或多种的组合:群中的用户设备的数量发生变化;群中的用户设备的标识发生变化。本发明对此不做具体限定,发生任何变化都可以认为群中的用户设备的状态发生了变化。
本实施例中,所述群中的用户设备的数量发生变化包括:群中的用户设备的数量增加或者减少。所述群中的用户设备的数量增加表示有新的用户设备加入群中。所述群中的用户设备的数量减少表示有用户设备退出了群。
进一步的,所述侦测模块303还可以用于侦测群中的用户设备的数量是否减少;当侦测模块303侦测到群中的用户设备的数量减少时,确定侦测到了群中的用户设备的状态发生变化;当侦测模块303侦测到群中的用户设备的数量没有减少时,侦测群中的用户设备的数量是否增加;当侦测模块303侦测到群中的用户设备的数量增加时,确定侦测到了群中的用户设备的状态发生变化;当侦测模块303侦测到群中的用户设备的数量没有增加时,侦测群中的用户设备的标识是否发生变化;当侦测模块303侦测到群中的用户设备的标识发生变化时,确定侦测到了群中的用户设备的状态发生变化。
通过先侦测群中的用户设备的数量是否减少判断群中的用户设备的状态是否发生变化;当确定数量没有减少时,再通过侦测群中的用户设备的数量是否增加判断群中的用户设备的状态是否发生变化;最后在确定数量也没有增加时,通过侦测群中的用户设备的标识是否发生变化来判断群中的用户设备的状态是否发生变化。如此可保证当原有的用户设备退出群造成群中用户设备的数量减少时,能够在第一时间发现群中的用户设备的状态发生了变化,并及时的进行群密钥协商及初始化,确保退出群的用户设备不会将群密钥泄露出去。其次,当有新的用户设备加入群中造成群中用户设备的数量增加时,进行群密钥协商及初始化,确保新加入的用户设备无法获知原有的群密钥,保证群中原有的用户设备的通讯的安全性。最后对有新的用户设备加入群中,同时原有的用户设备退出群造成群中用户设备数量不变但群中用户设备的标识发生变化时,进行群密钥协商及初始化群密钥。另外,数量发生变化比标识发生变化更能直观的反应群中的用户设备的状态发生了变化,因而,优先侦测用户设备的数量是否变化,再侦测用户设备的标识是否发生变化,节省侦测的时间,减少计算量。
进一步的,所述群密钥安全管理装置30还可以包括第一更新模块306,用于当侦测模块303侦测到用户设备的状态发生变化为侦测到用户设备的数量发生减少时,对群中的用户设备身份信息列表进行第一更新,所述第二初始化模块304还用于根据第一更新后的用户设备身份信息列表进行群密钥协商及初始化。
例如,当用户设备ui退出群时,根据用户设备ui的节点位置重新分配群中的用户设备身份信息列表U={u1,u2,...,un-1},根据重新分配的U={u1,u2,...,un-1}按照步骤12)-15)进行群密钥协商及初始化。
进一步的,所述群密钥安全管理装置30还可以包括第二更新模块307,用于当侦测模块303侦测到用户设备的状态发生变化为侦测到用户设备的数量发生增加时,对群中的用户设备的节点信息进行第二更新,所述第二初始化模块304还用于根据第二更新后的节点信息进行群密钥协商及初始化。
例如,当用户设备ui加入群中时,根据用户设备ui的节点位置重新分配群中的用户设备身份信息列表U={u1,u2,...,un,un+1};根据重新分配的U={u1,u2,...,un,un+1}按照步骤12)-15)进行群密钥协商及初始化。
进一步的,所述群密钥安全管理装置30还可以包括第三更新模块308,用于当侦测模块303侦测到用户设备的状态发生变化为侦测到用户设备的数量没有发生变化但用户设备的标识发生变化时,对群中的用户设备的节点信息进行第三更新,所述第二初始化模块304还用于根据第三更新后的节点信息进行群密钥协商及初始化。
例如,当用户设备ui退出群,而用户设备uj加入群中时,根据用户设备ui及uj的节点位置重新分配群中的用户设备身份信息列表U={u1,u2,…,un};根据重新分配的U={u1,u2,…,un}按照步骤12)-15)进行群密钥协商及初始化。
优选地,所述侦测模块303还可以用于判断所述群密钥是否成功的分发给了群中的所有用户设备,在确定发送失败时,重新进行群密钥协商及初始化或者重新发送。
本发明实施例所述的群密钥安全管理装置,对群中的用户设备进行群密钥协商及初始化;将初始化后的群密钥分发给群中的所有用户设备;当侦测到群中的用户设备的状态发生变化时,再次进行群密钥协商及初始化,并将再次初始化后的群密钥分发给群中的所有用户设备。本发明解决了在物联网环境下用户设备之间进行安全有效的群体通信的问题,能够使得当有用户设备加入或者离开时,对群密钥进行初始化,将初始化后的群密钥重新分发给群中的用户设备,避免群密钥被泄露,提高群中用户设备通讯的安全性的同时降低通讯计算量。并且由于其通讯的高效性,能够保证对于物联网环境更好的适应性,实现了资源与安全性的最大化。
实施例三
图4为本发明实施例三提供的电子设备4的示意图。所述电子设备4包括存储器20、处理器30、存储在所述存储器20中并可在所述处理器30上运行的计算机程序40及至少一条通讯总线60。所述处理器30执行所述计算机程序40时实现上述群密钥安全管理方法。或者,所述处理器30执行所述计算机程序40时实现上述装置实施例中各模块/单元的功能。
示例性的,所述计算机程序40可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器20中,并由所述处理器30执行。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序40在所述电子设备4中的执行过程。
所述电子设备4可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。本领域技术人员可以理解,所述示意图4仅仅是电子设备4的示例,并不构成对电子设备4的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述电子设备4还可以包括输入输出设备、网络接入设备、总线等。
所称处理器30可以是中央处理单元,还可以是其他通用处理器、数字信号处理器、专用集成电路、现成可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器30也可以是任何常规的处理器等,所述处理器30是所述电子设备4的控制中心,利用各种接口和线路连接整个电子设备4的各个部分。
所述存储器20可用于存储所述计算机程序40和/或模块/单元,所述处理器30通过运行或执行存储在所述存储器20内的计算机程序和/或模块/单元,以及调用存储在存储器20内的数据,实现所述电子设备4的各种功能。所述存储器20可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据电子设备4的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器20可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡,安全数字卡,闪存卡、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
所述电子设备4集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器、随机存取存储器、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
在本发明所提供的几个实施例中,应该理解到,所揭露的电子设备和方法,可以通过其它的方式实现。例如,以上所描述的电子设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
另外,在本发明各个实施例中的各功能单元可以集成在相同处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在相同单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
最后应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或等同替换,而不脱离本发明技术方案的精神和范围。

Claims (9)

1.一种群密钥安全管理方法,应用于电子设备中,其特征在于,所述方法包括:
对群中的用户设备进行群密钥协商及初始化;
将初始化后的群密钥分发给群中的所有用户设备;
当侦测到群中的用户设备的状态发生变化时,再次进行群密钥协商及初始化,并将再次初始化后的群密钥分发给群中的所有用户设备;
其中,所述对群中的用户设备进行群密钥协商及初始化包括:
11)根据用户设备N1的节点u1,椭圆曲线点k1,2=s1P2=(x1,2,y1,2)依次计算出
Figure FDA0002764294660000011
B1=h(u1||u2||t1,2)、NK1=B1及信息m1={NK1},节点u1发送信息m1给下一个节点u2
12)节点ui(i∈{2,3...,n-1})接收到前一个节点发送的信息mi-1后解析出其中的信息NKi-1,按照步骤11)依次计算出Bi
Figure FDA0002764294660000012
及信息mi={NKi},节点ui发送信息mi给下一个节点ui+1
13)节点un接收到信息mn-1后解析出其中的信息NKn-1,依次计算出Bn
Figure FDA0002764294660000013
Bn-1
Figure FDA0002764294660000014
及信息mn={MKn},节点un发送信息mn给节点un-1
14)节点ui(i∈{2,3...,n-1})接收到信息mi+1后解析出其中的信息MKi+1,依次计算出
Figure FDA0002764294660000015
Bi-1
Figure FDA0002764294660000016
及信息mi={MKi},节点ui发送信息mi={MKi}给节点ui-1;以及
15)节点u1接收到信息m2之后,解析出信息MK2,并计算出
Figure FDA0002764294660000017
在上述步骤11)-15)中,n为网络中用户设备的数量;S为密钥分发中心;Ni为网络中的节点;si为用户设备Ni的私钥;pi为用户设备Ni的公钥;ui为用户设备Ni的身份信息;U为群中的用户设备身份信息列表;||为连接操作;
Figure FDA0002764294660000018
为异或操作。
2.如权利要求1所述的方法,其特征在于,所述侦测到群中的用户设备的状态发生变化包括:
侦测群中的用户设备的数量是否减少;
当侦测到群中的用户设备的数量减少时,确定侦测到了群中的用户设备的状态发生变化;或
当侦测到群中的用户设备的数量没有减少时,侦测群中的用户设备的数量是否增加;
当侦测到群中的用户设备的数量增加时,确定侦测到了群中的用户设备的状态发生变化;或
当侦测到群中的用户设备的数量没有增加时,侦测群中的用户设备的标识是否发生变化;
当侦测到群中的用户设备的标识发生变化时,确定侦测到了群中的用户设备的状态发生变化。
3.如权利要求2所述的方法,其特征在于,当所述侦测到用户设备的状态发生变化为侦测到用户设备的数量发生减少时,所述再次进行群密钥协商及初始化包括:
对群中的用户设备身份信息列表进行第一更新,根据第一更新后的用户设备身份信息列表进行群密钥协商及初始化。
4.如权利要求2所述的方法,其特征在于,当所述侦测到用户设备的状态发生变化为侦测到用户设备的数量发生增加时,所述再次进行群密钥协商及初始化包括:
对群中的用户设备的节点信息进行第二更新,根据第二更新后的节点信息进行群密钥协商及初始化。
5.如权利要求2所述的方法,其特征在于,当所述侦测到用户设备的状态发生变化为侦测到用户设备的数量没有发生变化但用户设备的标识发生变化时,所述再次进行群密钥协商及初始化包括:
对群中的用户设备的节点信息进行第三更新,根据第三更新后的节点信息进行群密钥协商及初始化。
6.如权利要求1至5中任意一项所述的方法,其特征在于,当所述将再次初始化后的群密钥分发给群中的所有用户设备之后,所示方法还包括:
判断所述群密钥是否成功的分发给了群中的所有用户设备;
在确定发送失败时,重新进行群密钥协商及初始化或者重新发送。
7.一种群密钥安全管理装置,运行于电子设备中,其特征在于,所述装置包括:
第一初始化模块,用于进行群密钥协商及初始化对群中的用户设备进行群密钥协商及初始化;
第一发送模块,用于将初始化后的群密钥分发给群中的所有用户设备;
侦测模块,用于侦测群中的用户设备的状态是否发生变化;
第二初始化模块,用于当所述侦测模块侦测到群中的用户设备的状态发生变化时,再次进行群密钥协商及初始化;
第二发送模块,用于将再次初始化后的群密钥分发给群中的所有用户设备;
其中,所述对群中的用户设备进行群密钥协商及初始化包括:
11)根据用户设备N1的节点u1,椭圆曲线点k1,2=s1P2=(x1,2,y1,2)依次计算出
Figure FDA0002764294660000031
B1=h(u1||u2||t1,2)、NK1=B1及信息m1={NK1},节点u1发送信息m1给下一个节点u2
12)节点ui(i∈{2,3...,n-1})接收到前一个节点发送的信息mi-1后解析出其中的信息NKi-1,按照步骤11)依次计算出Bi
Figure FDA0002764294660000032
及信息mi={NKi},节点ui发送信息mi给下一个节点ui+1
13)节点un接收到信息mn-1后解析出其中的信息NKn-1,依次计算出Bn
Figure FDA0002764294660000041
Bn-1
Figure FDA0002764294660000042
及信息mn={MKn},节点un发送信息mn给节点un-1
14)节点ui(i∈{2,3...,n-1})接收到信息mi+1后解析出其中的信息MKi+1,依次计算出
Figure FDA0002764294660000043
Bi-1
Figure FDA0002764294660000044
及信息mi={MKi},节点ui发送信息mi={MKi}给节点ui-1;以及
15)节点u1接收到信息m2之后,解析出信息MK2,并计算出
Figure FDA0002764294660000045
在上述步骤11)-15)中,n为网络中用户设备的数量;S为密钥分发中心;Ni为网络中的节点;si为用户设备Ni的私钥;pi为用户设备Ni的公钥;ui为用户设备Ni的身份信息;U为群中的用户设备身份信息列表;||为连接操作;
Figure FDA0002764294660000046
为异或操作。
8.一种电子设备,其特征在于:所述电子设备包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现如权利要求1至6中任一项所述群密钥安全管理方法。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现如权利要求1至6中任一项所述群密钥安全管理方法。
CN201810780127.8A 2018-07-16 2018-07-16 群密钥安全管理方法、装置、电子设备及存储介质 Expired - Fee Related CN108964904B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810780127.8A CN108964904B (zh) 2018-07-16 2018-07-16 群密钥安全管理方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810780127.8A CN108964904B (zh) 2018-07-16 2018-07-16 群密钥安全管理方法、装置、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN108964904A CN108964904A (zh) 2018-12-07
CN108964904B true CN108964904B (zh) 2020-12-22

Family

ID=64496040

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810780127.8A Expired - Fee Related CN108964904B (zh) 2018-07-16 2018-07-16 群密钥安全管理方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN108964904B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111756524A (zh) * 2019-03-26 2020-10-09 深圳市网安计算机安全检测技术有限公司 动态群组密钥生成方法、装置、计算机设备及存储介质
CN110784318B (zh) * 2019-10-31 2020-12-04 广州华多网络科技有限公司 群密钥更新方法、装置、电子设备、存储介质及通信***

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101119364A (zh) * 2007-09-13 2008-02-06 上海大学 可鉴权的Ad Hoc组密钥协商协议
CN101399660A (zh) * 2007-09-28 2009-04-01 华为技术有限公司 协商组群密钥的方法和设备
CN103023653A (zh) * 2012-12-07 2013-04-03 哈尔滨工业大学深圳研究生院 低功耗的物联网安全组通信方法及装置
CN103731825A (zh) * 2013-12-20 2014-04-16 北京理工大学 一种基于桥式的无线传感网密钥管理方案
CN104868963A (zh) * 2015-05-11 2015-08-26 电子科技大学 一种基于多线性映射的广播加密方案
CN105812349A (zh) * 2016-01-20 2016-07-27 杭州安恒信息技术有限公司 一种基于身份信息的非对称密钥分发及消息加密方法
CN107360571A (zh) * 2017-09-08 2017-11-17 哈尔滨工业大学深圳研究生院 在移动网络中的匿名相互认证和密钥协商协议

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7444514B2 (en) * 2003-10-15 2008-10-28 International Business Machines Corporation Group key exchanges with failures
US7840810B2 (en) * 2007-01-18 2010-11-23 Panasonic Electric Works Co., Ltd. Systems and methods for rejoining a second group of nodes with a first group of nodes using a shared group key
US8510561B2 (en) * 2010-02-26 2013-08-13 Research In Motion Limited Methods and devices for computing a shared encryption key

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101119364A (zh) * 2007-09-13 2008-02-06 上海大学 可鉴权的Ad Hoc组密钥协商协议
CN101399660A (zh) * 2007-09-28 2009-04-01 华为技术有限公司 协商组群密钥的方法和设备
CN103023653A (zh) * 2012-12-07 2013-04-03 哈尔滨工业大学深圳研究生院 低功耗的物联网安全组通信方法及装置
CN103731825A (zh) * 2013-12-20 2014-04-16 北京理工大学 一种基于桥式的无线传感网密钥管理方案
CN104868963A (zh) * 2015-05-11 2015-08-26 电子科技大学 一种基于多线性映射的广播加密方案
CN105812349A (zh) * 2016-01-20 2016-07-27 杭州安恒信息技术有限公司 一种基于身份信息的非对称密钥分发及消息加密方法
CN107360571A (zh) * 2017-09-08 2017-11-17 哈尔滨工业大学深圳研究生院 在移动网络中的匿名相互认证和密钥协商协议

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
"A survey of key management schemes in wireless sensor networks";Yang Xiao;《Computer Communications》;20070510;全文 *
"物联网安全及隐私保护中若干关键技术研究";林巧民;《中国博士学位论文全文数据库》;20150531;全文 *
"非集中式社交网络隐私保护的研究";张晓洁;《中国优秀硕士学位论文全文数据库》;20180228;全文 *

Also Published As

Publication number Publication date
CN108964904A (zh) 2018-12-07

Similar Documents

Publication Publication Date Title
US11017388B2 (en) Cryptographically assured zero-knowledge cloud service for composable atomic transactions
US20190149600A1 (en) Partitioning of a blockchain ledger
CN108900364B (zh) 区块链网络的管理方法、装置、介质及电子设备
US9367359B2 (en) Optimized resource management for map/reduce computing
US20170163479A1 (en) Method, Device and System of Renewing Terminal Configuration In a Memcached System
US11017387B2 (en) Cryptographically assured zero-knowledge cloud services for elemental transactions
CN109191287B (zh) 一种区块链智能合约的分片方法、装置及电子设备
CN113792347B (zh) 基于区块链的联邦学习方法、装置、设备及存储介质
CN111698205A (zh) 服务调用方法及相关设备
US10341181B2 (en) Method and apparatus to allow dynamic changes of a replica network configuration in distributed systems
US20200366660A1 (en) System and methods for securely storing data for efficient access by cloud-based computing instances
CN104811922A (zh) 一种相邻节点注册方法和装置、跨节点注册方法和***
CN109711840B (zh) 一种交易数据处理方法、装置及存储介质
CN108964904B (zh) 群密钥安全管理方法、装置、电子设备及存储介质
US8838764B1 (en) Hosted network management
CN112134883A (zh) 基于可信计算进行节点间信任关系快速认证的方法、装置及相关产品
US20190310856A1 (en) Executing instructions based on a shared physical register
US20170171150A1 (en) Method and apparatus for processing public ip
CN115481440A (zh) 数据处理方法、装置、电子设备和介质
CN107320959B (zh) 游戏角色标识信息生成方法、装置、介质和电子设备
CN113986995A (zh) 请求分发方法、装置、存储介质及电子设备
TW202315360A (zh) 微服務分配方法、電子設備及儲存介質
CN113961600A (zh) 一种数据查询方法、装置、计算机设备及存储介质
CN109257420B (zh) 一种文件互传方法和装置
CN114629735B (zh) 基于多方状态通道的状态交互方法、装置、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20201222

Termination date: 20210716