CN111918285B

CN111918285B - 基于id密码学的抗量子计算群组通信方法及***

Info

Publication number: CN111918285B
Application number: CN202010555013.0A
Authority: CN
Inventors: 富尧; 钟一民; 杨羽成
Original assignee: Ruban Quantum Technology Co Ltd; Nanjing Ruban Quantum Technology Co Ltd
Current assignee: Ruban Quantum Technology Co Ltd; Nanjing Ruban Quantum Technology Co Ltd
Priority date: 2020-06-17
Filing date: 2020-06-17
Publication date: 2022-09-23
Anticipated expiration: 2040-06-17
Also published as: CN111918285A

Abstract

本发明提出一种基于ID密码学的抗量子计算群组通信方法及***，该方法首先通过ID密码学机制为群组成员分配各自的身份ID及私钥，群组成员在通信时可利用对方公开的ID计算对方公钥，再根据自己的私钥和对方公钥计算对称密钥，实现与对方的一对一通信；在进行密钥更新时，管理员用各个群组成员的对称密钥加密更新密钥并发送，各群组成员计算与管理员之间的对称密钥即可获取更新密钥，再根据预先预定的更新方法用更新密钥更新自己的对称密钥池。本发明结合对称密钥池和ID密码学，在群组通信的场景中，进一步增强了对称密钥池的使用安全性。

Description

基于ID密码学的抗量子计算群组通信方法及***

技术领域

本发明涉及群组通信***领域，尤其涉及基于ID密码学的抗量子计算群组通信方法及***。

背景技术

随着无线通信技术的不断发展，终端直接通信(Device to Device，D2D)已成为3GPP Rel-12标准化技术的热点之一。D2D允许两个用户设备(User Equipment，UE)通过特定的信道(Sidelink Channel)直接进行数据传输，而无需经过演进型基站设备(Evolutional Node B，eNB)。当然，D2D并不局限于两个用户设备之间的数据传输，还可以支持单点对多点的群组通信(Group Communication)。现有的网络认证体系大都是基于单个对象的一对一的认证方式，但是对于单点对多点的数据传输，会根据一定的原则形成群组。在这些应用场景下，当组内接入新的终端时，若采用现有的一对一的认证方式，不仅会增加网络信令，导致网络拥塞，且会占用大量网络资源，因此现有的一对一的网络认证体系不再适用。在这种情况下，为降低认证资源消耗，减少网络拥塞，需要相应的群组认证机制。现有的群组通信***使用群组密钥池，通过使用群组型对称密钥池存储的对称密钥来实现群组通信，若某一成员遭到攻击，整个群组的保密通信都受到安全性威胁。

在现有技术中，对密钥池进行更新往往需要颁发中心的参与，由于传输的数据量较大，对安全性有一定威胁。

基于上述分析，现有技术存在以下缺陷：

1.现有技术中，群组对称密钥池由于容量较大，无法存储于高度安全的安全芯片中，存在被俘获后被拆解从而被破解的可能性。群组型对称密钥池被群组内所有成员所共有，群组型对称密钥池一旦被破解，则基于群组型对称密钥池的群组通信的安全性受到威胁；

2.现有基于对称密钥池的取密钥方法为：首先选择一个密钥位置，然后从该位置取出整段密钥。在对称密钥池已经被破解的情况下，该种取密钥方式容易被预测乃至被完全破解，安全性不高；

3.现有密钥池更新的方法为一方生成密钥后给另一方发送过去，由于密钥池中的密钥量巨大，会导致密钥池更新需要大量时间；对于群组通信来说，需要将同一份密钥传递到群组的各个成员，密钥量更加巨大，往往难以实现；

4.现有基于非对称密码学的群组通信无法抗量子计算，安全性不高。

发明内容

发明目的：为克服上述缺陷，本发明提出一种基于ID密码学的抗量子计算群组通信方法及***。

发明内容：本发明提的技术方案如下：

基于ID密码学的抗量子计算群组通信方法，包括步骤：

(1)群组成员通信前，密钥颁发服务器为各个群组成员计算一个ID，通过第一哈希函数将ID映射为群组成员的公钥，再用密钥颁发中心本地存储的***私钥与群组成员的公钥进行运算，得到群组成员的私钥；密钥颁发服务器将ID、私钥发送给各群组成员；群组内各成员拥有相同的对称密钥池和第一哈希函数，并预先约定好计算对称密钥的方法，即：数据收、发方分别根据对方的ID利用第一哈希函数计算出对方公钥，再用对方公钥与己方私钥计算出对称密钥；

(2)各群组成员预先约定好每次群组通信时群组密钥的选取方法，在进行群组通信时，按照预设选取方式从对称密钥池中选取群组密钥，用群组密钥对所要发送的消息进行加密以及对接收到的消息进行解密，实现群组通信；

(3)当需要进行对称密钥池更新时，管理员发布一个更新密钥，然后计算出各个群组成员的对称密钥，用各群组成员的对称密钥加密更新密钥并发布给相应的群组成员；

群组成员接收到管理员发布的信息时，采用同样的方法计算出对称密钥，用对称密钥解密管理员发布的信息，得到更新密钥；

管理员和各群组成员根据预先约定好的更新方式，用更新密钥与原有对称密钥池中的真随机数序列进行联合计算，得到一组与原序列长度相等的更新后的真随机数序列，将更新后的真随机数序列作为新的对称密钥池。

进一步的，步骤(2)中每次群组通信时群组密钥的选取方法的具体步骤包括：

发送方每次在发送消息前，都生成一个用于计算群组密钥的初始信息；发送方根据初始信息计算群组密钥的初始位置指针，再通过不同的函数对初始位置指针进行计算，为群组密钥中的每一位数据计算一个步长；将每一位数据的步长与初始位置指针进行联合运算，得到群组密钥中每一位数据的指针，根据群组密钥中每一位数据的指针从对称密钥池中取出相应的随机数，组成群组密钥；

发送方用群组密钥加密待发送的信息，然后将加密后的信息连同初始信息一并作为群组信息广播；

接收方根据群组信息中的初始信息计算群组密钥，对群组信息中的加密信息进行解密。

进一步的，所述步骤(3)中，用更新密钥与原有对称密钥池中的真随机数序列进行联合计算的具体步骤包括：将密钥池平均分割为K段密钥，将每一段密钥都与更新密钥进行联合计算，将K段密钥的计算结果拼接为一整段密钥，即为更新后的对称密钥池。

进一步的，当管理员发现群组内存在不可信成员X时，通知各群组成员更新对称密钥池，具体步骤包括：

管理员生成更新密钥和用于宣告群组成员X不可信的第一描述信息；

管理员将第一描述信息、更新密钥打包为待发送信息；

管理员计算群组内除X以外其他成员的对称密钥，并分别用各成员的对称密钥加密待发送信息，得到加密信息；

管理员向群组内除X以外其他成员发送加密信息，发送时将自己的ID、目标群组成员的ID和相应的加密信息作为告警信息一并发送；

群组成员根据告警信息中的目标群组成员ID识别出发送给自己的告警信息；然后计算出对称密钥对告警信息中的加密信息进行解密，得到第一描述信息和更新密钥；

群组成员根据更新密钥更新自己的对称密钥池；

管理员根据更新密钥更新自己的对称密钥池。

进一步的，当某一群组成员对管理员发布的告警信息进行转发时，计算目标群组成员的对称密钥，用计算出的目标群组成员的对称密钥将解密得到的描述信息和更新密钥加密，然后将自己的ID和重新加密后的信息作为新的告警信息转发给目标群组成员；目标群组人员计算相应的对称密钥，对接收到的告警信息解密，得到不可信成员X的描述信息和更新密钥，然后用更新密钥更新自己的对称密钥池。

进一步的，当群组内新增可信成员Y时，管理员通知群组内的其他成员，具体步骤包括：

管理员生成用于宣告新增群组成员Y可信的第二描述信息；

管理员计算群组成员的对称密钥，并分别用各群组成员的对称密钥加密第二描述信息；

管理员向群组成员发送第二加密信息，发送时将自己的ID、目标群组成员的ID和相应的第二加密信息一并发送；

群组成员接收到来自管理员的数据后，计算出与管理员相应的对称密钥，对接收到的数据进行解密，得到第二描述信息。

进一步的，所述步骤中用对称密钥加密某个数据时，先利用对称密钥计算出加密密钥，再用加密密钥加密相应数据；而计算加密密钥的具体步骤包括：

根据对称密钥计算加密密钥的初始位置指针，再通过不同的函数对加密密钥的初始位置指针进行计算，为加密密钥中的每一位数据计算一个步长；将每一位数据的步长与初始位置指针进行联合运算，得到加密密钥中每一位数据的指针，根据加密密钥的中每一位数据的指针从对称密钥池中取出相应的随机数，组成加密密钥。

本发明还提出一种基于ID密码学的抗量子计算群组通信***，包括管理员和群组成员，管理员和群组成员采用所述的基于ID密码学的抗量子计算群组通信方法进行通信。

有益效果：

1.本专利结合对称密钥池和ID密码学，在群组通信的场景中，进一步增强了对称密钥池的使用安全性，使得在对称密钥池被破解的极端情况下，基于对称密钥池的群组通信的安全性也仍然可以得到保证。因为双方密钥还受到ID密码学的保护，在ID密码学密钥可保证不会被破解的情况下，双方通信不会因为对称密钥池被破解而被破解；

2.本专利基于对称密钥池的取密钥方法为：从密钥池中采用不同的步长逐个取出多个密钥比特，每次步长均不同。在对称密钥池已经被破解的情况下，该种取密钥方式不容易被预测，而且可以通过密钥池更新使得已经被破解的对称密钥池变为无效，安全性高；

3.本专利密钥池更新的方法只需传递一个更新密钥即可对密钥池进行更新，由于更新密钥的密钥量很小，因此密钥池更新需要时间较少；对于群组通信来说，本专利的密钥更新方案的密钥传输量也不大，容易实现；

4.本专利直接使用非对称密码学中的ID密码学，ID密码学的***公钥不公开，可以抗量子计算，安全性高；同时将ID密码学的密钥管理容易、无需制作证书的优点引入到群组通信，使得群组通信的密钥管理便利性得到提高。

附图说明

图1为本发明实施例中涉及的***结构图；

图2为本发明实施例中KTG获取方式示意图。

具体实施方式

下面将结合附图和具体实施例对本发明作更进一步的说明。但应当理解的是，本发明可以以各种形式实施，以下在附图中出示并且在下文中描述的一些示例性和非限制性实施例，并不意图将本发明限制于所说明的具体实施例。

应当理解的是，在技术上可行的情况下，以上针对不同实施例所列举的技术特征可以相互组合，从而形成本发明范围内的另外的实施例。此外，本发明所述的特定示例和实施例是非限制性的，并且可以对以上所阐述的结构、步骤、顺序做出相应修改而不脱离本发明的保护范围。

在通信群组中，本专利假设所有成员拥有当前群组的ID列表及各ID的角色信息，角色包括群组管理员和群组普通成员。可规定某些成员为群组管理员，拥有宣布其他成员合法或非法的权力，例如战斗机数据链通信群组中的预警机、军舰数据链通信群组中的旗舰、陆军数据链通信群组中的指挥车、军用无线传感网络中的簇头(Cluster Head)节点等。此处仅列出部分军用群组通信场景，大量民用群组通信场景也适用本专利所述方法，以提升群组通信安全性。

密钥颁发服务器首先需要建立一套基于ID密钥学的***参数，步骤如下：

(1)G₁，G₂是阶为q的GDH(Diffie–Hellman群)群，q是一个大素数，G₁是由椭圆曲线上的点构成的加法循环群，P是群G₁的生成元；G₂是一个乘法循环群；双线性映射e：G₁×G₁→G₂。

(2)随机地取SK_S∈Z_p ^*作为***主密钥，SK_S仅保存在密钥颁发服务器，计算***公钥PK_S＝SK_S*P。

(3)选择哈希函数H₁：{0，1}^*→G₁，H₂：G₂→{0，1}^*。

(4)***参数为{q,G₁,G₂,e,n,P,H₁,H₂}。

以成员A和成员B为例：

密钥颁发服务器为成员A颁发公私钥时，会生成唯一编码作为ID_A，然后调用哈希函数H₁计算公钥PK_A＝H₁(ID_A)，再根据公钥PK_A计算私钥SK_A＝SK_S*PK_A。成员B同理，密钥颁发服务器计算ID_B，公钥PK_B＝H₁(ID_B)，私钥SK_B＝SK_S*PK_B。然后密钥颁发服务器将ID_A、SK_A颁发给成员A，将ID_B、SK_B颁发给成员B；密钥颁发服务器还会将***公钥PK_S发给各个成员。

成员A计算对称密钥K_AB＝e(SK_A，PK_B)，成员B计算对称密钥K_BA＝e(SK_B，PK_A)。根据ID密码学可得：K_AB＝e(SK_A，PK_B)＝e(SK*PK_A，PK_B)＝e(PK_A，SK*PK_B)＝e(PK_A，SK_B)＝e(SK_B，PK_A)＝K_BA。

在上述方案中，***公钥PK_S存储于密钥颁发服务器本地TPM/TCM芯片中，终端的私钥也存储在终端本地的TPM/TCM芯片中，这类保密芯片具有抗拆解功能，敌方无法获取芯片内的数据。即使密钥卡丢失被破解，敌方也仅能得到ID和哈希函数H₁进而计算出终端的公钥，在没有终端私钥的前提下，无法得到对称密钥，同时敌方因无法得到***公钥从而无法得到***私钥，实现抗量子计算。

基于上述ID密码学，本发明提出一种基于ID密码学的抗量子计算群组通信方法，包括步骤：

本发明还提出一种基于ID密码学的抗量子计算群组通信***，***中的管理员和群组成员采用所述基于ID密码学的抗量子计算群组通信方法进行通信。图1示出了本发明所述基于ID密码学的抗量子计算群组通信***的一种示例性结构图。

为进一步阐述本发明抗量子计算的原理，下面通过具体实施方式详细阐述本发明的实现原理。

实施例1：成员可信情况下的群组通信

假设群组成员A要发出的消息为NTF，并为该消息生成一个时间戳TNTF，本实施例中将TNTF作为初始消息，然后，A计算本次群组通信的群组密钥：

A在长度为KPL的群组密钥池中取出群组密钥KTG，该密钥共N个比特，得到KTG的具体流程如图2所示：

计算得到群组密钥KTG的初始位置指针PK＝F_PK(TNTF)mod KPL，其中，mod表示取模运算。依次计算步长：LK₁＝F_LK(PK||TNTF)，LK₂＝F_LK(LK₁||TNTF)，LK₃＝F_LK(LK₂||TNTF)，…，LK_N＝F_LK(LK_N-1||TNTF)。函数F_PK(*)和F_LK(*)为任意指定的函数。再依次计算用于提取随机码的指针PK₁＝PK+LK₁mod KPL，PK₂＝PK₁+LK₂mod KPL，…，PK_N＝PK_N-1+LK_N mod KPL。PK₁指向群组密钥KTG的开始位置，也就是第一个比特的位置，PK₂指向群组密钥KTG的第二个比特的位置，以此类推。根据PK₁、PK₂、…、PK_N从密钥池中依次取出对应位置的共N个比特的密钥数据。如超出密钥池大小KPL则利用对KPL取模的方式回到密钥池头部。

A取出群组密钥KTG后，使用KTG加密NTF得到{NTF}KTG。使用KTG对ID_A、TNTF和NTF计算消息认证码得到MAC(ID_A||TNTF||NTF,KTG)。将加密的信息、消息认证码连同ID_A、TNTF一起发送至其他成员，发送的信息可以表示为

ID_A||TNTF||{NTF}KTG||MAC(ID_A||TNTF||NTF,KTG)。

其他成员收到后，使用同样的方法取出KTG，使用KTG解密{NTF}KTG得到消息NTF，使用KTG对ID_A、TNTF和NTF计算消息认证码并与收到的消息认证码进行对比，若两者一致，表示验证通过，验证通过后，信任消息NTF；若果验证不通过，则不信任消息NTF。

实施例2：某成员不可信情况下的群组通信

2.1：群组管理员发出消息。

设群组管理员为A，群组内另一可信成员为B，不可信成员为X。

A生成用于宣告X非法的第一描述消息为NTF，并为第一描述信息生成一个时间戳TNTF，以及生成更新密钥为KR，三者组合为MSG＝TNTF||NTF||KR，成员A使用SK_A对MSG进行基于ID密码学的签名，签名过程如下：

生成随机数r，计算PK_A＝H₁(ID_A)，UMSG＝r*PK_A，h＝H₃(MSG,UMSG)，VMSG＝(r+h)*SK_A。其中，H₃(*)是一种哈希运算。得到签名SIG_A＝SIGN(MSG,SK_A)＝(UMSG,VMSG)。

A计算与B之间的对称密钥K_AB＝e(SK_A，PK_B)，根据K_AB从对称密钥池中取出共N个比特的K_TAB，过程如下：

计算得到K_TAB的初始位置指针PK_TAB＝F_PK(TNTF||K_AB)mod KPL。依次计算步长：LK_TAB1＝F_LK(PK_TAB||TNTF||K_AB)，LK_TAB2＝F_LK(LK_TAB1||TNTF||K_AB)，LK_TAB3＝F_LK(LK_TAB2||TNTF||K_AB)，…，LK_TABN＝F_LK(LK_TAB(N-1)||TNTF||K_AB)。再依次计算用于提取随机码的指针PK_TAB1＝PK+LK_TAB1mod KPL，

PK_TAB2＝PK_TAB1+LK_TAB2mod KPL，…，PK_TABN＝PK_TAB(N-1)+LK_TABN mod KPL。根据PK_TAB1、PK_TAB2、…、PK_TABN从密钥池中依次取出对应位置的共N个比特的密钥数据作为K_TAB。由于敌方和群组内其他成员不知道K_AB，因此敌方和群组内其他成员非常难以预测K_TAB。

A使用K_TAB和K_AB计算得到KS_AB＝F_KS(K_TAB,K_AB)，函数F_KS(*)优选为MAC算法。由于敌方和群组内其他成员不知道K_AB，因此敌方和群组内其他成员非常难以预测KS_AB。

A使用KS_AB对NTF||KR||SIG_A加密得到加密信息{NTF||KR||SIG_A}KS_AB，计算消息认证码MAC(ID_A||ID_B||MSG||SIG_A,KS_AB)。

A向B发送告警消息，告警信息表示为

M_AB＝ID_A||ID_B||TNTF||{NTF||KR||SIG_A}KS_AB||MAC(ID_A||ID_B||MSG||SIG_A,KS_AB)。

B收到告警消息后，计算PK_A＝H₁(ID_A)，进一步计算与A之间的对称密钥K_BA＝e(SK_B，PK_A)，根据K_BA从对称密钥池中取出共N个比特的K_TAB，过程与上文相同。进一步计算得到KS_AB＝F_KS(K_TAB,K_BA)。使用KS_AB对M_AB解密并验证消息认证码。验证通过后，使用PK_A验证SIG_A，即验证(P,PK_S,UMSG+h*PK_A,VMSG)是一个Diffie-Hellman元组，验证通过，获得NTF和KR。

由于X的对称密钥池已经被破解，B需要对群组密钥池进行更新。记原密钥池的长度为K，将密钥池平均分割为多段密钥，设第i段为K_i，分别计算K_newi＝F_KR(K_i,KR)，函数F_KR(*)优选为MAC算法，K_newi的长度等于K_i的长度。使用K_newi更新K_i，可以用K_newi对K_i进行直接替换，或者计算

对K_i进行替换。替换完成后，新密钥池为K_new，长度与K相等。

2.2：群组其他成员转发消息。

群组管理员为A，群组内另一可信成员为B，群组内另一可信成员为C，不可信成员为X。A不便联系到C，但B可以联系到C。B在完成流程2.1后，可以协助A将MSG||SIG_A传递至成员C。

B使用SK_B对MSG进行基于ID密码学的签名得到SIG_B＝SIGN(MSG,SK_B)，签名过程与上文相同。

B计算与C之间的对称密钥K_BC＝e(SK_B，PK_C)，根据K_BC从对称密钥池中取出共N个比特的K_TBC，过程与上文相同。B获取K_TBC后，使用K_TBC和K_BC计算得到KS_BC＝F_KS(K_TBC,K_BC)。使用KS_BC对NTF||KR||SIG_A||SIG_B加密得到{NTF||KR||SIG_A||SIG_B}KS_BC，计算消息认证码MAC(ID_A||ID_B||ID_C||MSG||SIG_A||SIG_B,KS_BC)。

B向C发送新的告警消息，新的告警信息可表示为：

M_BC＝

ID_A||ID_B||ID_C||TNTF||{NTF||KR||SIG_A||SIG_B}KS_BC||MAC(ID_A||ID_B||ID_C||MSG||SIG_A||SIG_B,KS_BC)。

C收到来自B的告警信息后，计算PK_A＝H₁(ID_A)，PK_B＝H₁(ID_B)，进一步计算与B之间的对称密钥K_CB＝e(SK_C，PK_B)，根据K_CB从对称密钥池中取出共N个比特的K_TBC，过程与上文相同。进一步计算得到KS_BC＝F_KS(K_TBC,K_CB)。使用KS_BC对M_BC解密并验证消息认证码。验证通过后，使用PK_A验证SIG_A，使用PK_B验证SIG_B，验证过程与上文相同。验证通过后，获得NTF和KR。

C对群组密钥池进行更新。更新方法与上文相同。

C完成流程2.2后，可使用相同流程协助A将MSG||SIG_A传递至可信成员D。

实施例3：新增可信成员的群组通信。

设群组管理员为A，群组内另一可信成员为B，新增可信成员为Y。新增成员Y拥有与群组当前对称密钥池相同的群组对称密钥池。

A生成用于宣布Y合法的第二描述消息为NTF，并为第二描述信息生成时间戳为TNTF。两者组合为MSG＝TNTF||NTF，成员A使用SK_A对MSG进行基于ID密码学的签名得到SIG_A＝SIGN(MSG,SK_A)，签名过程与上文相同。

A计算与B之间的对称密钥K_AB＝e(SK_A，PK_B)，根据K_AB从对称密钥池中取出共N个比特的K_TAB，过程与上文相同。A获取K_TAB后，使用K_TAB和K_AB计算得到KS_AB＝F_KS(K_TAB,K_AB)。使用KS_AB对NTF||SIG_A加密得到{NTF||SIG_A}KS_AB，计算消息认证码MAC(ID_A||ID_B||MSG||SIG_A,KS_AB)。

A向B发送第二加密消息，第二加密信息可表示为：

M_AB＝ID_A||ID_B||TNTF||{NTF||SIG_A}KS_AB||MAC(ID_A||ID_B||MSG||SIG_A,KS_AB)。

B收到消息后，计算PK_A＝H₁(ID_A)，进一步计算与A之间的对称密钥K_BA＝e(SK_B，PK_A)，根据K_BA从对称密钥池中取出共N个比特的K_TAB，过程与上文相同。进一步计算得到KS_AB＝F_KS(K_TAB,K_BA)。使用KS_AB对M_AB解密并验证消息认证码。验证通过后，使用PK_A验证SIG_A，验证过程与上文相同。验证通过后，B获得NTF，即获取新增成员Y合法的消息。

B获得NTF后，可以向A不便联系到的可信成员C传递，更进一步的，C在获取NTF后，也可向可信成员D传递，传递过程类似流程2.2。

从上述三个实施例可以看出，本发明相较于现有技术至少具有以下优势：

1、本专利结合对称密钥池和ID密码学，在群组通信的场景中，进一步增强了对称密钥池的使用安全性，使得在对称密钥池被破解的极端情况下，基于对称密钥池的群组通信的安全性也仍然可以得到保证。因为双方密钥还受到ID密码学的保护，在ID密码学密钥可保证不会被破解的情况下，双方通信不会因为对称密钥池被破解而被破解；

2.现有技术中从密钥池获取密钥的方法为：选取一个位置，然后获取该位置的整段密钥。假设密钥池大小为10⁹比特，每次取出的密钥长度为1000比特，获取到密钥池的敌方需要选取一个密钥获取位置然后直接取出密钥，因此敌方猜中密钥的可能性为10^-9。而本发明中，基于对称密钥池的取密钥方法为：从密钥池中采用不同的步长逐个取出多个密钥比特，每次步长均不同。敌方若要获取密钥，需要选取1个密钥获取位置然后选取1000个密钥获取步长才能取出密钥，设步长的可能性为1～10⁹，因此敌方猜中每一个密钥的可能性为10^-9000，因此本方法从密钥池获取密钥的安全性大大提高。

在对称密钥池已经被破解的情况下，该种取密钥方式不容易被预测，而且可以通过密钥池更新使得已经被破解的对称密钥池变为无效，安全性高。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。

Claims

1.基于ID密码学的抗量子计算群组通信方法，其特征在于，包括步骤：

2.根据权利要求1所述的基于ID密码学的抗量子计算群组通信方法，其特征在于，步骤(2)中群组通信时群组密钥的选取方法的具体步骤包括：

3.根据权利要求1所述的基于ID密码学的抗量子计算群组通信方法，其特征在于，所述步骤(3)中，用更新密钥与原有对称密钥池中的真随机数序列进行联合计算的具体步骤包括：将密钥池平均分割为K段密钥，将每一段密钥都与更新密钥进行联合计算，将K段密钥的计算结果拼接为一整段密钥，即为更新后的对称密钥池。

4.根据权利要求1所述的基于ID密码学的抗量子计算群组通信方法，其特征在于，当管理员发现群组内存在不可信成员X时，通知各群组成员更新对称密钥池，具体步骤包括：

管理员将第一描述信息、更新密钥打包为待发送信息；

群组成员根据更新密钥更新自己的对称密钥池；

管理员根据更新密钥更新自己的对称密钥池。

5.根据权利要求4所述的基于ID密码学的抗量子计算群组通信方法，其特征在于，当某一群组成员对管理员发布的告警信息进行转发时，计算目标群组成员的对称密钥，用计算出的目标群组成员的对称密钥将解密得到的描述信息和更新密钥加密，然后将自己的ID和重新加密后的信息作为新的告警信息转发给目标群组成员；目标群组人员计算相应的对称密钥，对接收到的告警信息解密，得到不可信成员X的描述信息和更新密钥，然后用更新密钥更新自己的对称密钥池。

6.根据权利要求1所述的基于ID密码学的抗量子计算群组通信方法，其特征在于，当群组内新增可信成员Y时，管理员通知群组内的其他成员，具体步骤包括：

管理员生成用于宣告新增群组成员Y可信的第二描述信息；

7.根据权利要求1至6任意一项所述的基于ID密码学的抗量子计算群组通信方法，其特征在于，所述步骤中用对称密钥加密某个数据时，先利用对称密钥计算出加密密钥，再用加密密钥加密相应数据；而计算加密密钥的具体步骤包括：

8.基于ID密码学的抗量子计算群组通信***，包括管理员和群组成员，其特征在于，管理员和群组成员采用如权利要求1至7任意一项所述的方法进行通信。