CN105959269A

CN105959269A - 一种基于身份的可认证动态群组密钥协商方法

Info

Publication number: CN105959269A
Application number: CN201610262224.9A
Authority: CN
Inventors: 郑军; 杨诚; 陈志福
Original assignee: Beijing Institute of Technology BIT
Current assignee: Beijing Institute of Technology BIT
Priority date: 2016-04-25
Filing date: 2016-04-25
Publication date: 2016-09-21
Anticipated expiration: 2036-04-25
Also published as: CN105959269B

Abstract

本发明涉及一种基于身份的可认证动态群组密钥协商方法，属于网络通讯安全技术领域；包括以下步骤：一、系统初始化：PKG生成并公开系统参数；二、密钥提取生成：每个用户将公钥发送给PKG，PKG返回每个用户的私钥；三、进行两轮密钥协商：为认证群组用户左右邻居的合法性并传递自身的临时密钥进行第一轮协商；在左右邻居通过认证后进行第二轮协商以公布用于生成群组会话密钥的相关信息；四、利用上一步的消息计算会话密钥，然后用其对群间通信进行加解密。对比现有技术，本发明在实现密钥协商的同时，还支持用户动态事件，使网络具有良好的动态性和扩展性，同时能够检测出内部攻击者，在保证安全性的前提下具有较少的加密项，减少了计算量和通信量。

Description

一种基于身份的可认证动态群组密钥协商方法

技术领域

本发明涉及一种群组通讯网络中的密钥协商方法，属于网络通讯安全技术领域。

背景技术

群组密钥协商协议的基本概念是：所有的组内成员都将在一个公开的不可信网络环境中传递消息，进而共同协商出一个相同的通信会话密钥，用于之后的安全会话通信。会话密钥可以是某个组内成员生成，但更多的情况下会话密钥是由所有组内成员的贡献来生成的。经过协商计算出的会话密钥可以用于消息加密和消息摘要的生成，以实现后继的安全目标。

如今已有越来越多的互联网应用采用了群组通信的技术，如网络视频会议、群组即时聊天及网络游戏等。建立一个安全高效的分布式网络通讯群组需要满足以下需求：信息保密性、信息完整性、可认证性、不可抵赖性和可扩展性。信息保密性是指保证用户的私密信息不可被任何未被认证或授权的的用户获知；信息完整性是保证用户提供的消息在通信过程中不被恶意用户篡改和伪造；信息可认证性是确保该信息的确是由此人授权同意的；信息不可抵赖性顾名思义是指可以防止用户否认抵赖自己授意的信息的行为；而可扩展性是指群组密钥协商方案应适用于群组成员用户数量频繁变动或大量用户量同时通信的情况。

目前，主要的密钥管理策略有两大类：一类是基于公钥密码体制(PKI)的采用证书的密钥管理方案，另一类是基于身份的公钥加密方法(ID-PKC)。在传统的PKI体制中，存在单个或者分布式的证书管理中心(CA)来为每个节点分发证书，每个节点的证书都被嵌入了他们对应的公钥。为保证通信的安全性和真实性，节点之间的通信需要验证各自的身份。在PKI体制中，这种保证是通过各个节点的证书校验来完成的，这会引起很大的计算量。除此之外，采用证书的密钥管理体制也会带来其他的证书相关的问题，譬如证书产生、证书存储和证书分发等等，这些对资源受限的节点来说都是巨大的挑战。因此，PKI不是一个很有效的适用于群组网络的密钥管理方案。而利用ID-PKC的密钥管理方案很好的解决了上述PKI方案中的证书引入的问题，ID-PKC方案采用了基于身份的认证体制，私钥生成中心(private key generation，PKG)利用每个节点唯一的身份标识ID来产生密钥对。需要通信的节点直接可以从对方的身份标识ID中获取对方的公钥，这样就避免了PKI方案中的证书校验以及证书存储相关的问题。

然而基于ID-PKC的方案也并非都十分完美。1994年Burmester和Desmedt提出了基于Diffie-Hellman两方协商的群组密钥交换协议，该协议在利用组内成员广播在两轮内协商出了群组密钥，属于经典的协议但缺乏认证功能。Choi等人(Choi K Y,Hwang J Y,Lee D H.Efficient ID-based group key agreementwith bilinear maps[M]//Public Key Cryptography–PKC 2004.SpringerBerlin Heidelberg,2004:130-144.)和Du等人(Du X J,Wang Y,Ge J H,etal.ID-based authenticated two round multiparty key agreement[J].IacrCryptology Eprint Archive,2003.)在上述的方法中加入了双线性对，改进了方法使其具有可认证性。但这两种协议无法抵御假冒攻击，只要两个恶意用户便可假冒目标用户进行密钥协商。Zheng等人(Zheng S,Wang S,Zhang G.Adynamic,secure,and efficient group key agreement protocol[J].Frontiers of Electrical&Electronic Engineering in China,2007,2(2):182-185.)提出了两轮可认证的群组密钥协商协议，该协议可以基于Elgamal签名算法，可以防止重放攻击且满足前向安全性，但广播时发送的消息量过大，可能造成较高的网络负载。综上所述，现有基于ID-PKC的方案要么通信效率低，要么安全性不足，要么无法同时保证前向后向安全性等问题而无法满足实际应用要求。

发明内容

本发明的目的是针对上述现有技术的缺点，提供一种基于身份的可认证的动态群组密钥协商方法，保证密钥协商的高效性和安全性。

本发明的思想是基于双线性群理论，提出了一种可认证的动态安全的高效群组密钥协商方法。本发明的目的是通过以下技术方法实现的：

一种基于身份的可认证动态群组密钥协商方法，包括以下步骤：

一.进行系统网络的初始化

私钥生成器PKG生成并公开系统参数{q,G₁,G₂,P,e,P_pub,H₀,H₁,E_k,D_k}，即公共参数，s为PKG的私钥需秘密保存，P_pub是PKG公钥，其中G₁和G₂是q阶加法循环群和q阶乘法循环群，P是G₁的生成元，双线性映射e:G₁×G₁→G₂，散列函数H₀:{0,1}^*→G₁将任意长度的字符串映射到群G₁的元素上，散列函数H₁:{0,1}^*→{0,1}^k，将任意长度的字符串映射到长度为k的字符串上，E_k和D_k是对称加密和解密函数；

二.密钥提取生成

(1)在进入网络后，用户u_i将自己的身份信息ID_i公开，其中1≤i≤n，n表示用户数；

(2)用户获取PKG的公共参数并保存，使用散列函数H₀计算其公钥Q_i＝H₀(ID_i)；

(3)用户将公钥Q_i发送给PKG，PKG使用其私钥计算出该用户的私钥S_i＝sQ_i，并通过安全信道发送给用户u_i；

(4)用户u_i收到私钥后可通过计算等式e(S_i,P)＝e(Q_i,P_pub)是否成立来验证该私钥的有效性；

三.第一轮协商

每个用户u_i首先选取两个随机数其中表示q阶整数循环集合，计算临时密钥P_i＝a_iP，获取当前的时间戳T₁；为了将P_i秘密地发送给用户u_i的左右两个邻居u_i-1和u_i+1，需要进行如下步骤的操作，对于左邻居u_i-1：

1)获取用户u_i-1的公钥Q_i-1，计算w＝e(r_iS_i,Q_i-1)；

2)计算得到对称密钥K＝H₁(w|T₁)，其中“|”代表连接操作；

3)计算得到U_i-1＝r_iQ_i；

4)计算得到W_i-1＝(r_i+H₁(U_i-1))S_i；

5)计算得到消息摘要m′＝H₁(P_i|U_i-1|ID_i)；

6)使用对称密钥K加密消息和消息摘要V_i-1＝E_K(P_i|m′)；

根据上述6步得到U_i-1、V_i-1和W_i-1，同理对于右邻居计算出U_i+1、V_i+1和W_i+1，最后广播D_i＝(U_i-1,V_i-1,W_i-1,U_i+1,V_i+1,W_i+1,T₁)；

四.第二轮协商

当用户u_j收到广播消息D_j-1和D_j+1时，其中1≤j≤n，n表示用户数；分别对其计算ΔT＝T_c-T₁，其中T_c为当前时间，若ΔT超过规定的延迟时间，那么就中止后续的操作并对该超时用户发送超时报文，以防止受到重放攻击，直到收到新的广播报文；否者的话，则对左右两个邻居u_j-1和u_j+1进行认证和解密操作，对于左邻居u_j-1操作如下：

1)通过验证等式e(P_,W_j)＝e(P_pub,U_j+H₁(U_j)Q_j)是否成立来认证u_j-1的身份；

2)使用自身私钥S_j计算出w＝e(U_j,S_j)；

3)计算得到对称密钥K＝H₁(w|T₁)；

4)使用对称解密算法对消息V_j解密D_K(V_j)，得到P_j-1和m’；

5)通过验证等式m′＝H₁(P_j-1|U_j|ID_j-1)是否成立来对_uj-1进行消息认证；

这样用户u_j就可获得到u_j-1正确的临时密钥P_j-1，用于之后的密钥生成计算；对于u_j+1同理；然后u_j通过以下过程计算包含左右邻居和自身临时密钥的秘密数并对其进行签名：

1)计算秘密数X_j＝e(P_j+1-P_j-1,P_j)；

2)选取一个随机数计算Y_j＝t_jQ_j；

3)计算消息摘要h_j＝H₁(X_j|Y_j|T₂|ID_j)，T₂为当前的时间戳；

4)计算Z_j＝(t_j+h_j)·S_j；

最后用户u_j广播消息G_j＝(X_j,Y_j,Z_j,T₂)；

五.密钥计算并执行加解密操作

当用户u_i收到所有的第二轮广播消息G_k(1≤k≤n，k≠i)后，首先对每个消息计算ΔT＝T_c-T₂，其中T_c为当前时间；若ΔT超过规定的延迟时间，那么就中止后续的操作并对该超时用户发送超时报文，直到收到新的广播报文；否者的话，则通过下式进行批量身份验证：

e (Σ_{k = 1}^{n} Z_{k}, P) = e (Σ_{k = 1}^{n} (Y_{k} + h_{k} Q_{k}), P_{p u b});

其中h_k＝H₁(X_k|Y_k|T₂|ID_k)；

如果上面的等式成立，即表示验证成功，接下来用户u_i可通过下式计算出k：

k = e (P_{i - 1}, {nP}_{i}) X_{i}^{n - 1} X_{i + 1}^{n - 2} ... X_{n}^{i - 1} X_{1}^{i - 2} ... X_{i - 2};

最后得到一个共同的会话密钥K_s＝H₁(k|G₁|G₂|…|G_i|…|G_n)，此处G_i＝X_i|Y_i|Z_i|T₂(1≤i≤n)，之后的群组通讯便使用该对称会话密钥进行加解密操作。

作为优选，当步骤五所述用户进行批量身份验证失败次数或使用会话密钥K_s解密失败次数超过预设阈值N时，通过以下过程进行内部攻击者检测：

(1)使用PKG充当可信裁决机构，群组用户发送裁决请求给PKG，然后进行下一次的协商；

(2)PKG在接收到裁决请求后则开始记录下一次协商的所有广播信息；若此次协商依然失效，那么PKG将要求所有用户按照以下签名方式传递它们的a_i|r_i|t_i给PKG，其中a_i和r_i是用户u_i第一轮协商的随机数，t_i是用户u_i第二轮协商的随机数，接着进行如下操作：

1)用户u_i使用自己的随机数和公钥Q_i计算消息摘要h_i＝H₁(a_i|r_i|t_i|Q_i)；

2)使用私钥对消息摘要加密得到密文C_i＝S_ih_i；

3)最后将a_i|r_i|t_i和C_i发送给PKG；

4)PKG利用其私钥s，根据所有用户的公钥Q_i计算出其私钥S_i；然后PKG通过得到摘要，接下来使用H₁来验证a_i|r_i|t_i和摘要h_i；

5)PKG使用用户的a_i、r_i、t_i、私钥S_i重新计算用户的广播消息，若收到的用户广播消息与PKG计算得到的消息不一致，则说明该用户为内部攻击者，可以将之驱逐出群组。

作为优选，当群组已经使用协商好的会话密钥K_s加密通信后，又有新用户u_j加入群组时，通过以下过程更新会话密钥K_s：

只有u_j需要和它的左右邻居按照所述步骤三进行第一轮协商；并且u_j的邻居u_j-1和u_j+1在执行步骤三时无需重新选取用于生成临时密钥的随机数a，只需要使用之前的临时密钥即可；

在所述步骤四中也只需u_j-1，u_j和u_j+1进行认证和解密操作，这样u_j将获得u_j-1和u_j+1的临时密钥P_j-1和P_j+1，而u_j-1和u_j+1也将更新其u_j的临时密钥P_j；在此之后全体成员开始执行所述步骤四中的计算包含左右邻居和自身临时密钥的秘密数并签名操作，然后广播相关信息；

最后所有群组成员执行步骤五所述流程对全体群组成员进行认证并生成群组会话密钥。

作为优选，当群组用户u_j离开群组时，通过以下过程更新会话密钥K_s：

只有u_j的左右邻居u_j-1和u_j+1按照所述步骤三进行第一轮协商；并且u_j的邻居u_j-1和u_j+1在执行步骤三时无需重新选取用于生成临时密钥的随机数a，只需要使用之前的临时密钥即可；

然后u_j-1和u_j+1按照步骤四所述进行认证和解密操作，这样u_j-1和u_j+1就获得了对方的的临时密钥P_j-1和P_j+1；在此之后全体成员开始执行所述步骤四中的计算包含左右邻居和自身临时密钥的秘密数并签名操作，然后广播相关信息；

有益效果

本发明提出了一种基于身份的可认证动态群组密钥协商方法，该方法优势如下：

1.采用了ID-PKC方案中的身份标识机制，这样能有效的解决PKI方案中的证书问题，且不必进行证书校验，避免了复杂的计算；

2.本发明使用组播方式进行协商，且通信量小，具有很好的扩展性；

3.在两轮协商过程中均使用了认证机制和时间戳参数，能有效抵御假冒攻击和重放攻击；

4.本发明采用一种检测内部攻击者的机制，使用了较小的网络开销便可找出内部攻击者，更好的增强了本协议的安全性；

5.本发明在保证网络安全的前提下，支持用户动态事件，使网络具有良好的动态性和扩展性，通过基于身份的认证机制本方法还保证了协议的安全性。

对本发明的正确性和安全性分析如下：

1.正确性

如果所有参与协商的用户都是诚实的，那么它们可以计算出相同的会话

密钥。

证明：因为U_i＝r_iQ_i，S_i＝sQ_i，所以w＝e(U_j,S_j)＝e(r_isQ_i,Q_j)＝e(r_iS_i,Q_j)。计算得到的w与加密时使用的w一致，因此可以通过K＝H₁(w|T)得到正确的对称加密密钥，进而通过D_K(V_i)得到m_i和m’。所以在第二轮的计算后每个用户u_i都可以正确地获得左右邻居的P_i-1和P_i+1。

在密钥计算阶段：

所有的用户都将获得相同的k，同时它们获得的G₁|G₂|…|G_i|…|G_n也是相同的，因此最后得到会话密钥K_s＝H₁(k|G₁|G₂|…|G_i|…|G_n)也是相同的。

2.安全性

本发明中的方法能有效的解决PKI中的证书相关问题，减少开销，同时在基于ID-PKC的基础上加入了认证机制，具备较高的安全性。此外还能够识别出网络中的内部攻击者，进一步提高了网络安全性。

(1)本群组密钥协商方法可以在不可信的环境中保证安全性。

证明：假设敌手A可以攻破本协议的认证机制，既伪造用户u_i的身份向u_j发送信息，那么敌手A必须计算出合理的W_i来使得e(P_,W_i)＝e(P_pub,U_i+H₁(U_i)Q_i)公式成立。由于只有信息U_i来源于敌手A，那么就需要计算出e(P_pub,U_i+H₁(U_i)Q_i)＝e(P,sU_i+H₁(U_i)sQ_i)。

也就是给定U_i,Q_i∈G₁，s未知，敌手A可以在多项式时间内计算出sU_i和sQ_i，即敌手A可以在多项式时间内解出椭圆曲线离散对数问题BCDLP问题，这与BCDLP问题的难解性相悖。

在最后的密钥计算阶段使用了批量认证机制，其正确性如下：

e (Σ_{k = 1}^{n} Z_{k}, P) = e (Σ_{k = 1}^{n} (t_{k} + h_{k}) S_{k}, P) = e (Σ_{k = 1}^{n} (t_{k} Q_{k} + h_{k} Q_{k}), s P) = e (Σ_{k = 1}^{n} (Y_{k} + h_{k} Q_{k}), P_{p u b})

假设敌手A可以攻破本协议的认证机制，既伪造用户u_i的身份发送信息，那么敌手A必须计算出合理的Z_i′和Y_i′来满足公式e(Z_i′_,P)＝e(Y_i′+h_iQ_i,P_pub)，其中h_iQ_i由每个用户自己计算，不可伪造。因此那么就需要计算出Z_i′和Y_i′满足e(Z_i′_,P)＝e(s(Y_i′+h_iQ_i)_,P)。也就是给定Q_i∈G₁，s未知，敌手A可以在多项式时间内计算出s(Y_i′+h_iQ_i)，即敌手A可以在多项式时间内解出椭圆曲线离散对数问题BCDLP问题，这与BCDLP问题的难解性相悖。

(2)本群组密钥协商方法可以有效抵抗假冒攻击和重放攻击。

证明：由于在第一轮和第二轮协商中都加入了时间戳参数T，敌手重放D_i和G_i时，ΔT＝T_c-T可以使得超过阈值的消息无效，即便修改了参数T，在后续的计算中K＝H₁(w|T)和h_j＝H₁(X_j|Y_j|T₂|ID)也无法得到正确的值，进而不能通过消息认证。

在我们的方法中，首先我们加入了时间戳参数，防止了重放攻击；其次我们在两轮的协商中都加入了认证的功能，同时BCDLP问题的难解性，敌手无法假冒任何用户的身份来进行假冒攻击。

(3)本群组密钥协商方法可以保证前向保密性和后向保密性。

证明：虽然在用户加入事件和离开事件中，第一轮仅有相关的结点进行认证交换P_i，其他用户并没有重新选取临时密钥a_i，但是在最后的会话密钥计算阶段我们使用了K_s＝H₁(k|G₁|G₂|…|G_i|…|G_n)，也就是我们加入了第二轮的所有用户广播信息G₁|G₂|…|G_i|…|G_n，其中G_i＝(X_i,Y_i,Z_i,T₂)，为了通过密钥计算阶段的验证，(X_i,Y_i,Z_i,T₂)必须是正确的，也就是说G_i无法被伪造或篡改。同时由于第二轮中选择了新的随机数和时间错，Y_i,Z_i,T₂也将发生变化，基于散列函数的单向性，每一次协商出的密钥相互独立，没有联系。因此外部恶意用户无法通过之前协商的的会话密钥和广播信息计算出新的会话密钥，这保证了密钥的前向保密性和后向保密性。

经过以上的分析，该方法是正确的，有较好的安全性，可以很好的应用于群组网络中。

附图说明

图1为基于身份的群组网络组织图；

图2为本发明方法的流程示意图；

图3为本发明实施例中节点通信过程的示意图；

图4为群组计算能量消耗对比图；

图5为群组通信能量消耗对比图。

具体实施方式

下面结合附图，具体说明本发明的优选实施方式。

在描述实施方式前，为有助于对本发明实质的理解，首先介绍相关背景知识。由于本发明的方法是基于双线性群理论，因此先对双线性群进行简要介绍：

G₁是一个椭圆曲线上点组成的循环加法群，G₂是一个椭圆曲线上点组成的循环乘法群，群G₁和群G₂具有相同的素数阶q。一个双线性映射是指公式e:G₁×G₁→G₂满足以下条件：

双线性：满足以下条件

e(aP,bQ)＝e(P,Q)^ab,

对于e需要满足下列等式：

e(P+Q,R)＝e(P,R)·e(Q,R)

e(P,Q+R)＝e(P,Q)·e(P,R).

非退化性：如果元素P是循环加法群G₁的生成元，那么e(P,P)便是G₂的生成元，且e(P,P)≠1。

可计算性：存在一个有效的算法能够计算出e(P,Q)。

下面有关双线性映射群的问题组成了本发明的安全基础。

1.双线性离散对数问题(BDLP)：存在椭圆曲线G，给定其上的两个点P和Q，找到一个整数使得Q＝nP成立。

2.计算Diffie-Hellman问题(CDH)：a，给定P，aP，bP∈G₁，计算abP。

3.双线性Diffie-Hellman问题(BDH)：任意a，b，给定P，aP，bP，cP∈G₁，计算e(P,P)^abc。

实施例1

本实施例中，系统是由一个PKG和多个群组用户节点组成，如图1所示。每个用户都能确定所在的群组并知晓自己左右邻居，PKG负责必要参数的产生和分发。

本实施例按照图2所示的步骤实现密钥协商，具体流程如图3所示。

首先需要使用一台服务器作为私钥生成器PKG，并使用有线或无线的形式部署网络内的主机，使其相互之间能进行网络通信。在每个用户主机上部署本协议对应的软件，以完成后续的操作。

一.进行系统网络的初始化：

私钥生成器PKG生成并公开系统参数{q,G₁,G₂,P,e,P_pub,H₀,H₁,E_k,D_k}，即公共参数，s为PKG的私钥需秘密保存，P_pub是PKG公钥，其中G₁和G₂是q阶加法循环群和q阶乘法循环群，P是G₁的生成元，双线性映射e:G₁×G₁→G₂，散列函数H₀:{0,1}^*→G₁将任意长度的字符串映射到群G₁的元素上，散列函数H₁:{0,1}^*→{0,1}^k，将任意长度的字符串映射到长度为k的字符串上，E_k和D_k是对称加密和解密函数。

二.群组用户公开其身份并从PKG获取其私钥

(1)在进入网络后，用户u_i将自己的身份信息为ID_i公开，其中1≤i≤n，n表示用户数；

(4)用户u_i收到私钥后可通过计算等式e(S_i,P)＝e(Q_i,P_pub)是否成立来验证该私钥的有效性。

三.为认证群组用户左右邻居的合法性并传递自身的临时密钥进行第一轮协商

在所有用户加入网络后便形成一个群组，PKG向每个用户发送其编号i以及左右邻居的公钥。以下所有最终广播的信息都需附带编号信息。

如图3所示，每个用户u_i需要先选取两个随机数计算临时密钥P_i＝a_iP，获取当前的时间戳T₁。为了将P_i秘密地发送给用户u_i的左右两个邻居u_i-1和u_i+1，需要进行如下步骤的操作，对于左邻居u_i-1：

1)获取用户u_i-1的公钥Q_i-1，计算w＝e(r_iS_i,Q_i-1)；

2)计算得到对称密钥K＝H₁(w|T₁)；

3)计算得到U_i-1＝r_iQ_i；

4)计算得到W_i-1＝(r_i+H₁(U_i-1))S_i；

5)计算得到消息摘要m′＝H₁(P_i|U_i-1|ID_i)；

6)使用对称密钥K加密消息和消息摘要V_i-1＝E_K(P_i|m′)。

四.进行第二轮协商以公布用于生成群组会话密钥的相关信息

如图3所示，当用户u_j收到广播消息D_j-1和D_j+1时，分别对其计算ΔT＝T_c-T₁，其中T_c为当前时间。若ΔT超过规定的延迟时间，那么就中止后续的操作并对该超时用户发送超时报文，直到收到新的广播报文；否者的话，则对左右两个邻居u_j-1和u_j+1进行认证和解密操作，对于左邻居u_j-1操作如下：

2)使用自身私钥S_j计算出w＝e(U_j,S_j)；

3)计算得到对称密钥K＝H₁(w|T₁)；

4)使用对称解密算法对消息V_j解密D_K(V_j)，得到P_j-1和m’；

5)通过验证等式m′＝H₁(P_j-1|U_j|ID_j-1)是否成立来对u_j-1进行消息认证。

这样用户u_j就可获得到正确的临时密钥P_j-1，用于之后的密钥生成计算。对于u_j+1同理。然后通过以下过程计算包含左右邻居和自身临时密钥的秘密数并签名：

1)计算秘密数X_j＝e(P_j+1-P_j-1,P_j)；

2)选取一个随机数计算Y_j＝t_jQ_j；

4)计算签名Z_j＝(t_j+h_j)·S_j；

最后用户u_j广播消息G_j＝(X_j,Y_j,Z_j,T₂)。

五.计算群组会话密钥并使用该密钥进行加解密操作

如图3所示，当用户u_i，如节点C，收到所有的第二轮广播消息G后，首先对每个消息计算ΔT＝T_c-T₂，其中T_c为当前时间。若ΔT超过规定的延迟时间，那么就中止后续的操作并对该超时用户发送超时报文，直到收到新的广播报文；否者的话，则进行批量身份验证：

e (Σ_{k = 1}^{n} Z_{k}, P) = e (Σ_{k = 1}^{n} (Y_{k} + h_{k} Q_{k}), P_{p u b});

其中h_k＝H₁(X_k|Y_k|T₂|ID_k)；

如果上面的等式成立，即表示验证成功，用户u_i可通过下式计算出k：

k = e (P_{i - 1}, {nP}_{i}) X_{i}^{n - 1} X_{i + 1}^{n - 2} ... X_{n}^{i - 1} X_{1}^{i - 2} ... X_{i - 2};

六.内部攻击者检测机制

所有用户可以约定使用协商好的K_s对同一内容进行加密，然后广播加密数据最后分别解密，如果与约定内容不吻合，则说明密钥协商失败；当多次出现协商失败时，很有可能是出现了内部攻击者，如果一个通过了访问控制的群组用户是恶意攻击者，那么只要它在协商过程中发送了错误的消息，最后所有成员协商出的会话密钥将不一致；而每次协商失败时的策略通常都是再次进行协商，若无法找出恶意攻击者，那么群组将始终处瘫痪的状态；这儿我们给出内部攻击者检测机制：

(1)使用PKG充当可信裁决机构，当群组中经过多次协商都无法得到相同的密钥时，群组用户发送裁决请求给PKG，然后进行下一次的协商；

(2)PKG在接收到裁决请求后则开始记录下一次协商的所有广播信息；若本次协商依然失效，那么PKG将要求所有用户按照以下签名方式传递它们的a_i|r_i|t_i给PKG，其中a_i和r_i是第一轮协商的随机数，t_i是第二轮协商的随机数，接着进行如下操作：

2)使用私钥对消息摘要加密得到密文C_i＝S_ih_i；

3)最后将a_i|r_i|t_i和C_i发送给PKG；

4)PKG利用其私钥s，根据所有用户的公钥Q_i计算出其私钥S_i；然后PKG通过C_i得到摘要，接下来使用H₁来验证a_i|r_i|t_i和摘要h_i；

由于采用了上述的签名机制，所有用户提供的用于生成临时密钥的随机数都是真实的、不可否认的；这时PKG将使用a_i、r_i、t_i、私钥S_i重新计算第一轮和第二轮所有的广播消息，每一轮的计算结果都是可以正确算出的，如果存在内部攻击者，计算出的结果必然和其原消息不一致，进而将其加入黑名单，然后执行驱逐操作。

实施例2

为了保证动态群密钥协商的前向和后向保密性，协议必须保证每次发生成员变动后都要更新会话密钥，新加入的成员不能破解其加入前的群组通信内容，离开的成员同样不能推算出其离开之后的群组通信内容，也就是说密钥的独立性是保证协议具备动态性的前提。

当有新用户加入已有用户群时，通过以下过程加入：

当一个新用户u_j希望加入到当前的网络中时，首先它需要向PKG确认它的合法性并提交加入请求，在通过访问控制后PKG按照步骤二对其分配相应的私钥。其次由PKG广播用户u_j的身份信息以及用户u_j的加入请求。最后开始群组密钥更新流程，具体如下：

只有u_j需要和它的左右邻居按照实施例1中所述步骤三进行第一轮协商。并且u_j的邻居u_j-1和u_j+1在执行步骤三时无需重新选取用于生成临时密钥的随机数a，只需要使用之前的临时密钥即可，以减少计算量，提高效率。

在步骤四中也只需u_j-1，u_j和u_j+1进行认证和解密操作，具体步骤和初始化阶段时的一致，即只有u_j-1，u_j和u_j+1执行实施例1中所述步骤四的第二轮协商操作。这样u_j将获得u_j-1和u_j+1的临时密钥P_j-1和P_j+1，而u_j-1和u_j+1也将更新其u_j的临时密钥P_j。在此之后全体成员开始执行如实施例1中所述的计算包含左右邻居和自身临时密钥的秘密数并签名，然后广播相关信息。

最后所有群组成员执行如实施例1中步骤五所述流程对全体群组成员进行认证并生成群组会话密钥。

由以上过程可见，本发明仅通过一轮广播即可完成新用户加入后的群组会话密钥更新操作。

实施例3

当有用户离开群时，通过以下过程离开：

当一个用户u_j想要离开当前的网络中，首先它需要向PKG确认它的身份并提交离开请求，然后由PKG广播用户u_j的身份信息以及用户u_j的离开请求，当u_j由于某些原因被PKG驱逐时，PKG将直接发送上述消息。接着开始群组密钥更新流程，具体如下：

只有u_j的左右邻居u_j-1和u_j+1需要按照实施例1中所述步骤三进行操作，且它们无需重新选取用于生成临时密钥的随机数a以减少计算量，提高效率。

然后u_j-1和u_j+1按照步骤四进行认证和解密操作，具体步骤和初始化阶段时的一致，即只有u_j-1和u_j+1执行实施例1中所述步骤四的第二轮协商操作。这样u_j-1和u_j+1就获得了对方的P_j-1和P_j+1。之后的步骤同实施例2，全体成员开始执行如实施例1中所述的计算包含左右邻居和自身临时密钥的秘密数并签名，然后广播相关信息。

同实施例2一样，本发明亦仅通过一轮广播即完成了用户退出后的群组会话密钥更新操作。

本发明着重点在于说明一种基于身份的可认证动态群组密钥协商方法，因此，对于群组的建立、群组用户的加入/离开没有过多着墨，毕竟有关群维护的内容不在本发明讨论之列，因此，上述实施例中只简单的将PKG作为群组维护者，由其对群进行管理，本领域技术人员不难由此想到，在应用本发明方法时也可以创建任何其它一个群维护者角色和可信裁决机构。

试验结果

在网络群组通讯中，会话密钥协商过程中主要的计算开销包括如下几种，分别是：椭圆曲线下的哈希函数运算、对运算以及标量乘法等。同时在群组通信中的通信消耗也不可忽视，网络中的消息数量越多越可能带来不稳定性。表1给出了本方案与Yao等人(Yao G,Wang H,Jiang Q.An Authenticated 3-RoundIdentity-Based Group Key Agreement Protocol[C]//Availability,Reliability andSecurity,2008.ARES 08.Third International Conference on.IEEE,2008:538-543.)提出的三轮协商方案以及2013年Zhang等人(Zhang Q,Wang R,Tan Y.Identity-Based Authenticated Asymmetric Group Key Agreement[J].Journal ofComputer Research&Development,2014.)提出的一轮协商方案的计算量和通信量的相比结果，这两种方案具有可认证性和动态性，并且是可证明安全的。

表1每个用户的计算量及收发消息长度

其中n代表节点总数，L_q表示大素数q的长度，通常为160位，T表示时间戳长度，占64位。

从表中可以看出，虽然Yao等人的方案所发送消息的长度最短，但使用了过多的对运算来进行认证操作，消耗较大。Zhang等人的方案仅用了一轮协商，但是它发送的消息数量大，单次广播消息长度长，不仅能耗较大而且易引起网络阻塞，同时它也使用了较多的对运算。与这两种方案相比，本发明引入了哈希运算进行认证操作，使用了少量的对运算来提供方案的可认证安全性。

从协议的能量消耗上分析，根据Makr和Konstantinou(EleftheriaMakri,Elisavet Konstantinou.Constant round group key agreement protocols:Acomparative study[J].computers and security,2011,30:643-678.)提供的一个在133MHZ的ARM微处理器上执行各种运算的能量消耗数据，执行一个标量乘法运算和对运算分别消耗8.8和47.0毫焦(mJ)，而发送和接收1比特的信息分别需要消耗0.66和0.31微焦(μJ)。

从图4中我们可以看到在三种方案下，不同结点数量的群组的总体计算能量消耗对比，可以看出其他两个方案使用了较多的双线性对计算，导致计算消耗能量最大。本方案每个用户的双线性对计算是常量级的，相比其他方案有着显著的优势，计算能耗也是最低的。

从图5中我们可以看到在三种方案下，不同结点数量的群组的总体通信能量消耗对比。Zhang等人的方案虽然只使用了一轮通信，但是每次发送的消息量与群组成员数量成正比，整个群组的通信开销较大，并不适合于大规模的群组密钥协商环境。本方案的通信开销略低于Yao等人的方案，且这两个方案中每个用户的发送和接收消息长度是常量级的，更适合于大规模的群组密钥协商。

为了说明本发明的内容及实施方法，给出了上述具体实施例。在实施例中引入细节的目的不是限制权利要求书的范围，而是帮助理解本发明所述方法。本领域的技术人员应理解：在不脱离本发明及其所附权利要求的精神和范围内，对最佳实施例步骤的各种修改、变化或替换都是可能的。因此，本发明不应局限于最佳实施例及附图所公开的内容。

Claims

1.一种基于身份的可认证动态群组密钥协商方法，其特征在于：包括以下步骤：

一.进行系统网络的初始化：

私钥生成器PKG生成并公开系统参数{q,G₁,G₂,P，e,P_pub,H₀,H₁,E_k,D_k}，即公共参数，s为PKG的私钥需秘密保存，P_pub是PKG公钥，其中G₁和G₂是q阶加法循环群和q阶乘法循环群，P是G₁的生成元，双线性映射e:G₁×G₁→G₂，散列函数H₀:{0,1}^*→G₁将任意长度的字符串映射到群G₁的元素上，散列函数H₁:{0,1}^*→{0,1}^k，将任意长度的字符串映射到长度为k的字符串上，E_k和D_k是对称加密和解密函数；

二.密钥提取生成

三.第一轮协商

每个用户u_i首先选取两个随机数a_i,其中表示q阶整数循环集合，计算临时密钥P_i＝a_iP，获取当前的时间戳T₁；为了将P_i秘密地发送给用户u_i的左右两个邻居u_i-1和u_i+1，需要进行如下步骤的操作，对于左邻居u_i-1：

(1)获取用户u_i-1的公钥Q_i-1，计算w＝e(r_iS_i,Q_i-1)；

(2)计算得到对称密钥K＝H₁(w|T₁)，其中“|”代表连接操作；

(3)计算得到U_i-1＝r_iQ_i；

(4)计算得到W_i-1＝(r_i+H₁(U_i-1))S_i；

(5)计算得到消息摘要m′＝H₁(P_i|U_i-1|ID_i)；

(6)使用对称密钥K加密消息和消息摘要V_i-1＝E_K(P_i|m′)；

四.第二轮协商

当用户u_j收到广播消息D_j-1和D_j+1时，分别对其计算ΔT＝T_c-T₁，其中T_c为当前时间，若ΔT超过规定的延迟时间，那么就中止后续的操作并对该超时用户发送超时报文，以防止受到重放攻击，直到收到新的广播报文；否者的话，则对左右两个邻居u_j-1和u_j+1进行认证和解密操作，对于左邻居u_j-1操作如下：

1)通过验证等式e(P,W_j)＝e(P_pub,U_j+H₁(U_j)Q_j)是否成立来认证u_j-1的身份；

2)使用自身私钥S_j计算出w＝e(U_j,S_j)；

3)计算得到对称密钥K＝H₁(w|T₁)；

4)使用对称解密算法对消息V_j解密D_K(V_j)，得到P_j-1和m’；

5)通过验证等式m′＝H₁(P_j-1|U_j|ID_j-1)是否成立来对u_j-1进行消息认证；

1)计算秘密数X_j＝e(P_j+1-P_j-1,P_j)；

2)选取一个随机数计算Y_j＝t_jQ_j；

4)计算Z_j＝(t_j+h_j)·S_j；

最后用户u_j广播消息G_j＝(X_j,Y_j,Z_j,T₂)；

五.密钥计算并执行加解密操作

e (Σ_{k = 1}^{n} Z_{k}, P) = e (Σ_{k = 1}^{n} (Y_{k} + h_{k} Q_{k}), P_{p u b});

其中h_k＝H₁(X_k|Y_k|T₂|ID_k)；

k = e (P_{i - 1}, {nP}_{i}) X_{i}^{n - 1} X_{i + 1}^{n - 2} ... X_{n}^{i - 1} X_{1}^{i - 2} ... X_{i - 2};

2.根据权利要求1所述的一种基于身份的可认证动态群组密钥协商方法，其特征在于：当步骤五所述用户进行批量身份验证失败次数或使用会话密钥K_s解密失败次数超过预设阈值N时，通过以下过程进行内部攻击者检测：

(2)PKG在接收到裁决请求后则开始记录下一次协商的所有广播信息；若本次协商依然失效，那么PKG将要求所有用户按照以下签名方式传递它们的a_i|r_i|t_i给PKG，其中a_i和r_i是用户u_i第一轮协商的随机数，t_i是用户u_i第二轮协商的随机数：

2)使用私钥对消息摘要加密得到密文C_i＝S_ih_i；

3)最后将a_i|r_i|t_i和C_i发送给PKG；

3.根据权利要求1所述的一种基于身份的可认证动态群组密钥协商方法，其特征在于：当群组已经使用协商好的会话密钥K_s加密通信后，又有新用户u_j加入群组时，通过以下过程更新会话密钥K_s：

4.根据权利要求1-3任一所述的一种基于身份的可认证动态群组密钥协商方法，其特征在于：当群组用户u_j离开群组时，通过以下过程更新会话密钥K_s：