CN101321053A - 一种生成组密钥的方法、系统和设备 - Google Patents

Abstract

本发明公开了一种生成组密钥的方法、系统和设备，属于网络通信领域。方法包括：组内成员选取DH机密值并生成DH公开值，组织者生成中间消息，并广播DH公开值和中间消息，组内成员根据组织者选取的DH机密值和组织者之外的组内其它成员的DH公开值生成组密钥。系统包括用于组织者的通信设备和用于成员的通信设备。所述设备包括系统参数选取模块、DH公开值生成与广播模块、中间消息生成与广播模块、组织者组密钥生成模块；或系统参数选取模块、DH公开值生成与广播模块、成员组密钥生成模块。本发明将成员构成一个星形结构，基于椭圆曲线上的公钥密码技术协商生成组密钥，具有计算速度快、存储空间占用小和网络带宽要求低的特点。

Description

一种生成组密钥的方法、系统和设备

技术领域

本发明涉及网络通信领域，特别涉及一种生成组密钥的方法、系统和设备。

背景技术

Ad Hoc网络是一种多跳、自组织、拓扑结构动态变化的网络，节点移动频繁，电能储备有限，而且节点之间的信任关系以及无线传输链路都比较差，使Ad Hoc网络的组密钥协商协议的设计与传统方案有很大的不同。在Ad Hoc网络中，为了保证通信安全，通常需要对消息进行加密后再传输，由于对称密码体制在效率上的优势，因此采用群组共享密钥能在很大程度上降低消息处理的复杂性。同时，Ad hoc网络也是一种动态对等群组，缺少固定的可信第三方支持，因此用于加密消息的组会话密钥必须通过所有组成员协商建立，来提高组密钥的安全可靠性。另外，Ad Hoc网络组密钥协商协议还应考虑网络的动态拓扑特性，要求密钥协商协议能够实现密钥的前向安全性以及后向安全性，并能有效地支持节点的加入与退出。

现有的组密钥协商方案都是基于有限域上离散对数难解问题的，有一种应用于Ad Hoc网络的组密钥协商方案，该方案中n表示组成员数；U_i表示编号为i的组内成员；U₁表示选取的组织者，该组织者是临时的，可由任意成员担任。参见图1，为现有技术中一种组密钥协商方案的方法流程图，该组密钥协商方案具体如下：

步骤101：选取系统参数，进行系统初始化。

设p，q为大素数，Z_p是整数模p构成的集合，g是Z_p中的一个元素，且g的阶为q，q为满足等式g^q≡1modq的最小正整数。

步骤102：所有成员选取DH机密值，根据DH机密值生成DH公开值，并在组内广播生成的DH公开值。组内成员U_i随机选取DH机密值r_i∈Z_q，根据选取的DH机密值生成DH公开值

并在组内广播生成的DH公开值

其中i遍取1，2，...，n。

步骤103：组织者收到其它成员的DH公开值后，选取秘密指数，根据秘密指数和DH公开值生成中间消息，在组内广播该中间消息，同时生成组密钥。

组织者U₁随机选取秘密指数v∈Z_q，根据秘密指数、自己的DH公开值和其它成员的DH公开值，分别生成消息中间消息M_i， $M_i=v\·g^{r_1{r}_i},$ 并在组内广播生成的消息M_i，其中i遍取1，2，...，n。

组织者根据每个成员的DH公开值和自己的DH公开值，将计算函数 $F=f(g^{r_1},g^{r_2},\·\·\·,g^{r_n}),$ 其中f表示一个从Z_p到Z_q的映射，然后根据秘密指数v生成组密钥K＝g^Fοv。

步骤104：组内成员收到组织者广播的中间消息后，提取秘密指数，根据秘密指数和每个成员的DH公开值生成组密钥。

所有组内成员U_i在接收到M_i后，解密出v值，并计算函数 $F=f(g^{r_1},g^{r_2},\·\·\·,g^{r_n}),$ 其中f表示一个从Z_p到Z_q的映射。组内成员U_i计算出组密钥K＝g^Fοv，其中符号ο表示F与v做运算，其值需模p。

通过上述步骤，每个组内成员U_i计算出的组密钥都是同一个结果，即组密钥K＝g^Fοv。

当有成员加入或退出时，需要重新根据变化后的所有组内成员生成组密钥，计算过程与上述步骤类似，不再赘述。

在实现本发明的过程中，发明人发现该Ad Hoc组密钥协商方案的缺点是：计算量较大，造成处理速度慢，占用的存储空间比较大；另外对带宽的要求高。

发明内容

为了使组密钥协商方法计算量小、占用存储空间小，且对带宽要求较低，本发明实施例提供了一种生成组密钥的方法、系统和设备。所述技术方案如下：

一种生成组密钥的方法，基于椭圆曲线选取系统参数，并执行以下步骤：

组内成员组成星形结构，并在所述组内成员中选取组织者；

所述组内成员根据所述系统参数各自随机选取DH机密值，根据所述系统参数和选取的DH机密值各自生成DH公开值，并在组内广播所述DH公开值；

所述组织者收到组内其它成员的DH公开值后，选取秘密指数，根据所述秘密指数计算中间消息DH值，生成携带所述中间消息DH值的中间消息，在组内广播所述中间消息，并根据所选取的DH机密值和所述组织者之外的组内其它成员的DH公开值生成组密钥；

所述组织者之外的组内其它成员收到所述中间消息和所述组织者的DH公开值后，根据所述中间消息计算所述组织者选取的DH机密值，根据收到的所述组织者的DH公开值验证所述DH机密值正确后，根据所述DH机密值和所述组内其它成员的DH公开值生成组密钥。

本发明实施例还提供了一种生成组密钥的系统，所述系统包括：用于组织者的通信设备和用于成员的通信设备；

所述用于组织者的通信设备用于根据系统参数选取DH机密值，根据所述系统参数和选取的DH机密值生成DH公开值，并在组内广播所述DH公开值；收到其它设备的DH公开值后，选取秘密指数，根据所述秘密指数计算中间消息DH值，生成携带所述中间消息DH值的中间消息，并在组内广播所述中间消息；以及根据所选取的DH机密值和组内所有设备的DH公开值生成组密钥；

所述用于成员的通信设备用于根据系统参数选取DH机密值，根据所述系统参数和选取的DH机密值生成DH公开值，并广播所述DH公开值；收到所述用于组织者的通信设备广播的DH公开值和中间消息后，根据所述中间消息计算组织者选取的DH机密值，验证所述DH机密值正确后，根据所述DH机密值组内所有设备的DH公开值生成组密钥。

进一步地，本发明实施例还提供了一种通信设备，所述通信设备包括：

系统参数选取模块，用于选取基于椭圆曲线的系统参数；

DH公开值生成与广播模块，用于根据所述系统参数选取模块选取的系统参数选取DH机密值，根据所述系统参数和选取的DH机密值生成DH公开值，并广播所述DH公开值；

中间消息生成与广播模块，用于收到其它通信设备广播的DH公开值后，选取秘密指数，根据所述秘密指数计算中间消息DH值，根据所述DH公开值生成与广播模块选取的DH机密值，生成携带所述中间消息DH值的中间消息，并广播所述中间消息；

组织者组密钥生成模块，用于接收其它通信设备广播的DH公开值，并根据所述DH公开值生成与广播模块中所选取的DH机密值和所述其它通信设备广播的DH公开值生成组密钥。

本发明实施例还提供了一种通信设备，所述通信设备包括：

系统参数选取模块，用于选取基于椭圆曲线的系统参数；

DH公开值生成与广播模块，用于根据所述系统参数选取模块选取的系统参数选取DH机密值，根据所述系统参数和选取的DH机密值生成DH公开值，并广播所述DH公开值；

成员组密钥生成模块，用于接收其它通信设备广播的DH公开值和中间消息，根据所述中间消息计算组织者选取的DH机密值，根据广播所述中间消息的通信设备广播的DH公开值验证所述DH机密值正确后，根据所述DH机密值和广播所述中间消息的通信设备之外的其它通信设备广播的DH公开值生成组密钥。

本发明实施例提供的技术方案基于椭圆曲线密码系统，组织者将秘密指数通过与其他成员共享的中间消息DH值安全传输给组内其他成员，最后所有成员基于椭圆曲线上的公钥密码技术协商得到组密钥，与同类方案相比，在达到相同的安全性时，具有计算速度快、存储空间占用小和网络带宽要求低的特点。

附图说明

图1是现有技术提供的生成组密钥的方法流程图；

图2是本发明实施例1提供的生成组密钥的方法流程图；

图3是本发明实施例1提供的组成员组成的星形结构示意图；

图4是本发明实施例2提供的成员加入时组成员组成的星形结构示意图；

图5是本发明实施例2提供的成员加入时生成组密钥的方法流程图；

图6是本发明实施例3提供的组合并时组成员组成的星形结构示意图；

图7是本发明实施例3提供的组合并时生成组密钥的方法流程图；

图8是本发明实施例6提供的生成组密钥的系统结构图；

图9是本发明实施例7提供的通信设备结构图；

图10是本发明实施例8提供的通信设备结构图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

本发明实施例提供了一种适用于Ad Hoc网络的生成组密钥的方法、系统和设备，通过组成员构成一个星形结构，选取一个成员担任组织者，它负责将秘密指数通过与其他成员共享的中间消息DH值安全传输给组内其他成员，最后所有成员基于椭圆曲线上的公钥密码技术协商得到组密钥。其中，中间消息DH值是基于椭圆曲线上的Diffie-Hellman密钥协商协议(简称DH密钥协商协议)得到的参数。

本发明实施例基于椭圆曲线密码系统，椭圆曲线密码学ECC(Elliptic CurvesCryptography，椭圆曲线密码学)是在1985年由Neal Koblitz和Victor Miller独立提出来的。这种密码体制具有安全性能高、计算量小、密钥长度短、处理速度快、存储空间占用小和带宽要求低等特点，因而在安全领域具有广泛的应用前景。近年来，椭圆曲线密码系统已被诸如ANSI(American National Standard Institute，美国国家标准学会)、IEEE(Institute of Electrical and Electronics Engineers，美国电气及电子工程师学会)、ISO(International Standardization Organization，国际标准化组织)和NIST(NationalInstitute of Standards and Technology，美国国家标准和技术学会)等标准化组织纳入为标准。

实施例1

参见图2，为本发明实施例生成组密钥的方法的流程图，该方法具体步骤如下：

步骤201：一组成员U₁，...，U_n组成一个星形结构，并选取一个组织者担任轴心。

其中，本发明实施例中n表示组内成员数；Ui表示编号为i的组内成员(i＝1，2，…，n)；选取一个组内成员作为组织者，这里选取成员U₁作为组织者，该组织者不是可信机构，是临时的，可由任意成员担任。参见图3，为组成员组成的星形结构示意图。

步骤202：选取系统参数，进行系统初始化。具体过程如下：

设GF(p)是一个阶为素数p的有限域，在该域上定义一椭圆曲线EC：y²＝x³+αx+β(a，β∈GF(p)，4a³+27β²(modp)≠0；p为190位以上的大素数)。则EC_p(a，β)＝{(x，y)|y²＝x³+ax+β(mod p)}∪O(O为单位元)组成一个Abel群——交换群。

对给定的ECC系统，取点P∈EC_p(α，β)为一公开基点，P的阶为大素数q(一般取q≥120bits)。定义G＝{O，P，2P，...，(q-1)P}。由此可知G是有限的循环Abel群，q为循环周期。

步骤203：组内成员U_i根据系统参数选取DH机密值r_i∈Z_q，根据DH机密值r_i和公开基点P生成DH公开值X_i＝(x_i，y_i)＝r_iP，并在组内广播DH公开值X_i＝(x_i，y_i)＝r_iP，这里i遍取1，...，n。

步骤204：组织者U₁收到其它成员广播的DH公开值X_i后，随机选取秘密指数z∈Z_q(Z_q为整数模q所得到的最小非负余数的集合，q为系统参数中的素数)，基于椭圆曲线上的Diffie-Hellman密钥协商协议计算中间消息DH值zP＝(x，y)，然后根据收到的其它成员的DH公开值、选取的秘密指数z、和DH机密值r₁和中间消息DH值zP对应的x轴的坐标生成中间消息{c₁，c₂，...，c_n}＝{r₁x(modp)，r₂zP，r₃zP，...，r_nzP}，其中p为系统参数中的素数。在组内广播中间消息{c₁，c₂，...，c_n}＝{r₁x(modp)，r₂zP，r₃zP，...，r_nzP}。组织者U₁根据自身选取的DH机密值r₁和其它成员的DH公开值，生成组密钥K＝r₁(r₂P+r₃P+...+r_nP)。

步骤205：组内成员U_i(i遍取2，3，...，n)收到组织者U₁广播的中间消息后，提取中间消息中的中间消息DH值，该中间消息DH值zP具体通过计算 $\mathrm{zP}=(x,y)=r_i^{-1}{c}_i$ 得出，根据中间消息DH值zP＝(x，y)得出对应的x，因为c₁＝r₁x(modp)，所以，r₁＝c₁x^-1(modp)，进而计算出组织者选取的DH机密值r₁。

步骤206：组内成员U_i(i遍取2，3，...，n)计算出组织者选取的DH机密值r₁后，验证等式r₁P＝X₁是否成立，如果等式成立，则执行步骤207，否则重新执行步骤203。

验证等式r₁P＝X₁的目的是验证组织者选取的DH机密值是否没有被篡改。

步骤207：组内成员U_i(i遍取2，3，...，n)根据组织者选取的DH机密值和组织者之外的组内成员的DH公开值，生成组密钥K＝r₁(r₂P+r₃P+...+r_nP)。

通过上述步骤，每个组内成员U_i计算出的组密钥都是同一个结果，即组密钥K＝r₁(r₂P+r₃P+...+r_nP)，所有成员保留密钥协商阶段接收到的X_i值。

实施例2

本实施例提供了新成员加入组中时，生组密钥的协商方法。本实施例以实施例1为基础，假设组G＝{U₁，U₂，...，U_n}已经执行了实施例1提供的基本协商，并获得了共享的组密钥K＝r₁(r₂P+r₃P+...+r_nP)。现有t个成员需要加入组G，它们分别用U_n+1，U_n+2，...，U_n+t来表示，新密钥的协商过程只需要新加入的t个成员与组织者U₁的参与，参见图4，U₁，U₂，...，U_n+t共同组成星形结构。

参见图5，为新成员加入组时生成组密钥的方法流程图，新成员加入组时生成组密钥的具体步骤如下：

步骤301：组织者U₁和新成员U_i根据系统参数选取DH机密值r′_i∈Z_q，根据DH机密值r′_i和公开基点P生成DH公开值X′_i＝(x′_i，y′_i)＝r′_iP，并在组内广播DH公开值X′_i＝(x′_i，y′_i)＝r′_iP，这里i遍取n+1，...，n+t。

步骤302：组织者U₁收到新成员广播的DH公开值X′_i后，令秘密指数z′＝x_K，基于椭圆曲线上的Diffie-Hellman密钥协商协议计算中间消息DH值z′P＝(x′，y′)，然后生成中间消息{c′₁，c′_n+1，…，c′_n+t}＝{r′₁x′(modp)，r′_n+1z′P，r′_n+2z′P，…，r′_n+tz′P}，该中间消息携带中间消息DH值。在组内广播中间消息{c′₁，c′_n+1，…，c′_n+t}＝{r′₁x′(modp)，r′_n+1z′P，r′_n+2z′P，…，r′_n+tz′P}。组织者U₁根据自身选取的DH机密值r′₁和新成员的DH公开值，生成新的组密钥K′＝r′₁(r′_n+1P+r′_n+2P+…r′_n+tP)。

其中，x_K表示G＝{U₁，U₂，...，U_n}共享的密钥K的x轴坐标值，组内所有成员都预先知道组织者U₁是选取x坐标还是y坐标作为z′。本发明实施例中的组织者U₁是选取x坐标作为z′，也可以令z′＝y_K，即组织者U₁选取y坐标作为z′。

步骤303：新成员U_i(i∈{n+1，...，n+t})收到组织者U₁广播的中间消息{c′₁，c′_n+1，…，c′_n+t}＝{r′₁x′(modp)，r′_n+1z′P，r′_n+2z′P，…，r′_n+tz′P}后，提取中间消息中的中间消息DH值，该中间消息DH值z′P具体通过计算 $z^{\′}P=(x^{\′},y^{\′})=r_i^{\′-1}{c}_i^{\′}$ 得出，根据中间消息DH值z′P＝(x′，y′)得出对应的x′，因为c′₁＝r′₁x′(modp)，所以，r′₁＝c′₁x′^-1(modp)，进而计算出组织者选取的DH机密值r′₁。

步骤304：新成员U_i(i∈{n+1，...，n+t})计算出组织者选取的DH机密值r′₁后，验证等式r′₁P＝X′₁是否成立，如果等式成立，则执行步骤305，否则重新执行步骤301。

验证等式r₁P＝X₁的目的是验证组织者选取的DH机密值是否没有被篡改。

步骤305：新成员U_i(i∈{n+1，...，n+t})根据组织者选取的DH机密值和新成员的DH公开值，生成新的组密钥K′＝r′₁(r′_n+1P+r′_n+2P+…r′_n+tP)。

步骤306：组G内的其余成员U₂，...，U_n，根据先前的z值得出z′＝x_K，并计算 $z^{\′}P=(x^{\′},y^{\′})=r_i^{\′-1}{c}_i^{\′}$ (i∈{2，...，n)，根据中间消息DH值z′P＝(x′，y′)得出对应的x′，因为c′₁X＝r′₁x′(modp)，所以，r′₁＝c′₁x′^-1(modp)，进而计算出组织者选取的DH机密值r′₁；根据组织者选取的DH机密值r′₁和新成员的DH公开值，生成新的组密钥K′＝r′₁(r′_n+1P+r′_n+2P+…r′_n+tP)。

通过上述步骤，t个成员加入组G后，每个组内成员U_i(i∈{1，...，n+t})计算出新的组密钥K′＝r′₁(r′_n+1P+r′_n+2P+…r′_n+tP)，新加入的t个成员保留成员加入密钥协商阶段接收到的X′_i值。

现举例如下：假设组G＝{U₁，...，U₅}已经执行了基本协商，并获得了共享的密钥K＝r₁(r₂P+r₃P+...+r₅P)。此时成员G′＝{U₆}需要加入到组中与G中成员共享新的密钥。使用本实施例提供的方法，密钥的协商过程只需要U₁与新加入的成员U₆进行交互，最终使所有组成员均可计算得到新的组密钥。这里U₁，U₂，...，U₆共同组成星形结构后，执行以下具体步骤：

(1)组织者U₁根据系统参数选取DH机密值r′₁∈Z_q，并向U₆广播消息X′₁＝(x′₁，y′₁)＝r′₁P；U₆根据系统参数选取DH机密值r′₆∈Z_q，并向U₁广播消息X′₆＝(x′₆，y′₆)＝r′₆P。

(2)组织者U₁收到U₆广播的DH公开值X′₆后，令秘密指数z′＝x_K，基于椭圆曲线上的Diffie-Hellman密钥协商协议计算中间消息DH值z′P＝(x′，y′)，然后生成中间消息{c′₁，c′₆}＝{r′₁x′(modp)，r′₆z′P}，该中间消息携带中间消息DH值。在组内广播中间消息{c′₁，c′₆}＝{r′₁x′(modp)，r′₆z′P}。组织者U₁根据自身选取的DH机密值r′₁和U₆的DH公开值，生成组密钥K′＝r′₁r′₆P。

其中，x_K表示G＝{U₁，U₂，...，U₅}共享的密钥K的x轴坐标值。

(3)U₆收到组织者U₁广播的中间消息后，提取中间消息中的中间消息DH值，该中间消息DH值zP具体通过计算 $z^{\′}P=(x^{\′},y^{\′})=r_6^{\′-1}{c}_6^{\′}$ 得出根据中间消息DH值z′P＝(x′，y′)得出对应的x′，因为c′₁＝r′₁x′(modp)，所以，r′₁＝c′₁x′^-1(modp)，进而计算出组织者U₁选取的DH机密值r′₁。

(4)U₆计算出组织者U₁选取的DH机密值r′₁后，验证等式r′₁P＝X′₁是否成立，如果等式成立，则执行步骤(5)，否则重新执行步骤(1)。

验证等式r₁P＝X₁的目的是验证组织者选取的DH机密值是否没有被篡改。

(5)U₆根据组织者U₁选取的DH机密值r′₁和U₆的DH公开值，生成组密钥K′＝r′₁r′₆P。

(6)组G内的其余成员U₂，...，U₅，根据先前的z值得出z′＝x_K，并计算 $z^{\′}P=(x^{\′},y^{\′})=r_i^{\′-1}{c}_i^{\′}$ (i∈{2，...，5})，根据中间消息DH值z′P＝(x′，y′)得出对应的x′，因为c′₁＝r′₁x′(modp)，所以，r′₁＝c′₁x′^-1(modp)，进而计算出组织者U₁选取的DH机密值r′₁；根据组织者U₁选取的DH机密值r′₁和新成员U₆的DH公开值，生成组密钥K′＝r′₁r′₆P。

通过上述方法，所有成员得到同一个组密钥K′＝r′₁r′₆P。

实施例3

本实施例提供了组合并时，生成组密钥的协商方法。本实施例以实施例1为基础，现有t个组需要进行合并，分别用{G₁，G₂，...，G_t}表示，每个组G_i内有n_i个成员，即 $G_i=\{U_{i1},U_{i2},...,U_{{\mathrm{in}}_i}\}$ (i∈{1，t})，并且每组已经各自执行了实施例1提供的基本协商，组G_i内的成员共享组密钥K_i。这里选取U₁₁为新组织者，G₁为主合并组，G₂，...，G_t为副合并组，协议的运行只需要各组G_i的组织者U_i1参与，参见图6，需要进行合并的组共同组成星形结构，参见图7，它们之间的密钥协商过程如下：

步骤401：U₁₁根据系统参数选取DH机密值r′₁₁∈Z_q，根据DH机密值r′₁₁和公开基点P生成DH公开值X′₁₁＝(x′₁₁，y′₁₁)＝r′₁₁P，并在组内广播DH公开值X′₁₁＝(x′₁₁，y′₁₁)＝r′₁₁P。

步骤402：副合并组G₂，...，G_t的组织者U_i1令DH机密值 $r_{i1}^{\′}=x_{K_i}$ ，根据DH机密值r′_i1和公开基点P生成DH公开值X′_i1＝(x′_i1，y′_i1)＝r′_i1P，并在组内广播DH公开值X′_i1＝(x′_i1，y′_i1)＝r′_i1P，这里i遍取2，...，t。

其中，

表示 $G_i=\{U_{i1},U_{i2},...,U_{{\mathrm{in}}_i}\}$ (i∈{1，t})共享的密钥K_i的x轴坐标值，组内所有成员都预先知道组织者U_i1是选取x坐标还是y坐标作为z′。本发明实施例中的组织者U_i1是选取x坐标作为z′，也可以令 $z^{\′}=y_{K_1}$ ，即组织者U_i1选取y坐标作为z′。

步骤403：U₁₁收到U_i1广播的DH公开值X′_i1后，令秘密指数 $z^{\′}=x_{K_1}$ ，基于椭圆曲线上的Diffie-Hellman密钥协商协议计算中间消息DH值z′P＝(x′，y′)，然后生成中间消息{c′₁，c′₂，…，c′_t}＝{r′₁₁x′(modp)，r′₂₁z′P，r′₃₁z′P，…，r′_t1z′P}，该中间消息携带中间消息DH值。在组内广播中间消息{c′₁，c′₂，…，c′_t}＝{r′₁₁x′(modp)，r′₂₁z′P，r′₃₁z′P，…，r′_t1z′P}。U₁₁根据自身选取的DH机密值r′₁₁和U_i1的DH公开值，生成新的组密钥K′＝r′₁₁(r′₂₁P+r′₃₁P+…+r′_t1P)。

步骤404：U_i1(i∈{2，...，t})收到U₁₁广播的中间消息后，提取中间消息中的中间消息DH值，该中间消息DH值z′P具体通过计算 $z^{\′}P=(x^{\′},y^{\′})=r_{i1}^{\′-1}{c}_i^{\′}$ 得出，根据中间消息DH值z′P＝(x′，y′)得出对应的x′，，因为c′₁＝r′₁₁x′(modp)，所以r′₁₁＝c′₁x′^-1(modp)，进而计算出组织者选取的DH机密值r′₁₁。

步骤405：U_i1(i∈{2，...，t})计算出U₁₁选取的DH机密值r′₁₁后，验证等式r′₁₁P＝X′₁₁是否成立，如果等式成立，则执行步骤405，否则重新执行步骤401。

验证等式r₁P＝X₁的目的是验证U₁₁选取的DH机密值是否没有被篡改。

步骤406：U_i1(i∈{2，...，t})根据U₁₁选取的DH机密值r′₁₁和U_i1的DH公开值，生成组密钥K′＝r′₁₁(r′₂₁P+r′₃₁P+…+r′_t1P)。

步骤407：副合并组G_i(i∈{2，...，t})内除组织者之外的其余成员根据先前的z值得出 $z^{\′}=x_{K_1}$ ，并计算 $z^{\′}P=(x^{\′},y^{\′})=r_{i1}^{\′-1}{c}_i^{\′}$ (i∈{1，2，...，t})，根据中间消息DH值z′P＝(x′，y′)得出对应的x′，因为c′₁＝r′₁₁x′(modp)，所以r′₁₁＝c′₁x′^-1(modp)，进而计算出组织者选取的DH机密值r′₁₁；根据U₁₁选取的DH机密值r′₁₁和U_i1的DH公开值，生成新的组密钥K′＝r′₁₁(r′₂₁P+r′₃₁P+…r′_t1P)。

步骤408：主合并组G₁内除组织者之外的其余成员根据预先得知的

，计算 $z^{\′}P=(x^{\′},y^{\′})=r_{i1}^{\′-1}{c}_i^{\′}$ (i∈{1，2，...，t})，根据中间消息DH值z′P＝(x′，y′)得出对应的x′，因为c′₁＝r′₁₁x′(modp)，所以r′₁₁＝c′₁x′^-1(modp)，进而计算出组织者选取的DH机密值r′₁₁；根据U₁₁选取的DH机密值r′₁₁和U_i1的DH公开值，生成新的组密钥K′＝r′₁₁(r′₂₁P+r′₃₁P+…r′_t1P)。

通过上述方法，t个组合并成以U₁₁为组织者的一个组，所有成员共享组密钥K′＝r′₁₁(r′₂₁P+r′₃₁P+…r′_t1P)。

实施例4

本实施例提供了成员退出时，生成组密钥的方法。本实施例以实施例1为基础，假定成员G＝{U₁，...，U_n}已经执行了实施例1提供的基本协商，此时有k个成员 $G^{\′}=\{U_{j_1},...,U_{j_k}\}$ 需要离开该组，余下组成员 $G^{\′\′}=\{U_1,\·\·\·,U_{j_1-1},U_{j_1+1},...,U_{j_k-1},U_{j_k+1},\·\·\·,U_n\}$ 。余下的组成员为了避免离开该组的成员获得本组的组密钥，需要计算出新的组密钥，具体执行以下步骤：

首先，k个成员离开组G后，组织者U₁重新根据系统参数选取DH机密值r′₁，z′∈Z_q，G″中的其余成员不必重新选取DH机密值。

然后，余下的组成员 ${\mathrm{\Σ}}^{\′\′}=\{U_1,\·\·\·,U_{j_1-1},U_{j_1+1},...,U_{j_k-1},U_{j_k+1},\·\·\·,U_n\}$ 重新运行实施例1中提供的组密钥协商方法，生成新的中间消息 $\{c_1^{\′},\·\·\·,c_{j_1-1}^{\′},c_{j_1+1}^{\′},...,c_{j_k-1}^{\′},c_{j_k+1}^{\′},\·\·\·,c_n^{\′}\}=\{r_1^{\′}{x}^{\′}\left(\mathrm{mod}p\right),\·\·\·,r_{j_1-1}^{\′}{z}^{\′}P,r_{j_1+1}^{\′}{z}^{\′}P,...,r_{j_k-1}^{\′}{z}^{\′}P,r_{j_k+1}^{\′}{z}^{\′}P,\·\·\·,r_n^{\′}{z}^{\′}P\}$ ，生成新的共享组密钥 $K^{\′}=r_1^{\′}(r_{2}P+\·\·\·+r_{j_1-1}P+r_{j_1+1}P+r_{j_k-1}P+r_{j_k+1}P+\·\·\·+r_{n}P)$ 。

若原组G中的组织者已经离开该组，则需重新选取一个成员担任组G″的组织者，再执行上述步骤生成新的共享组密钥 $K^{\′}=r_1^{\′}(r_{2}P+\·\·\·+r_{j_1-1}P+r_{j_1+1}P+r_{j_k-1}P+r_{j_k+1}P+\·\·\·+r_{n}P)$ 。

实施例5

随着组规模的不断扩大，组织者的计算量和通信量会随之迅速增加，当网络规模增加到一定程度的时候，组织者的性能就成为了协议的瓶颈，因此需要对其进行适当修改以减少组织者的负载。

本实施例提供了在大规模群组通信中，组密钥的协商方法。本实施例以实施例1为基础，当参与协议的组成员规模很大时，将组∑的成员分成m个子组，记为∑＝{G₁，G₂，...，G_m}，所有这些节点构成一个星形结构。子组G_i内又有n_i个成员，记为

，这些成员也组成星形结构，U_i1成为子组G_i的组织者。

至于分组的办法，可以依据每个节点设备对应的唯一的机器代码(类似于以太网网卡的MAC地址)进行分组，也可以按地理位置进行分组等等，协议具体过程如下：

首先，子组G_i(i＝1，2，...，m)内的n_i个成员构成一个星形结构，执行实施例1中的基本协议，得到组密钥 $K_i=r_{i1}(r_{i2}P+r_{i3}P+\·\·\·+r_{{\mathrm{in}}_i}P)$ 。

然后，选取G₁的组织者U₁₁作为大组∑的组织者，各子组G_i的组织者U_i1代表各子组与U₁₁构成一个星形结构，再次运行实施例1中的基本协议。

U₁₁重新选取DH机密值根据r′₁₁∈Z_q，根据DH机密值r′₁₁和公开基点P生成DH公开值X′₁₁＝(x′₁₁，y′₁₁)＝r′₁₁P，并在组内广播DH公开值X′₁₁＝(x′₁₁，y′₁₁)＝r′₁₁P。

U_i1(i∈{1，2，...，n})用各自的组密钥K_i对应的x坐标值作为DH机密值参与运算，根据DH机密值

和公开基点P生成DH公开值 $X_{i1}^{\′}=(x_{i1}^{\′},y_{i1}^{\′})=x_{K_i}P$ ，并在组内广播DH公开值 $X_{i1}^{\′}=(x_{i1}^{\′},y_{i1}^{\′})=x_{K_i}P$ 。

U₁₁用子组G₁的密钥值K₁对应的x坐标值

作为新秘密指数 $z^{\′}=x_{K_1}$ ，基于椭圆曲线上的Diffie-Hellman密钥协商协议计算中间消息DH值z′P＝(x′，y′)，然后生成中间消息 $\{c_1^{\′},c_2^{\′},\·\·\·,c_t^{\′}\}=\{r_{11}^{\′}{x}^{\′}\left(\mathrm{mod}p\right),x_{K_2}P,x_{K_3}P,\·\·\·,x_{K_m}P\}$ ，该中间消息携带中间消息DH值。在组内广播中间消息 $\{c_1^{\′},c_2^{\′},\·\·\·,c_t^{\′}\}=\{r_{11}^{\′}{x}^{\′}\left(\mathrm{mod}p\right),x_{K_2}P,x_{K_3}P,\·\·\·,x_{K_m}P\}$ 。U₁₁根据自身选取的DH机密值r′₁₁和收到的U_i1广播的DH公开值 $X_{i1}^{\′}=(x_{i1}^{\′},y_{i1}^{\′})=x_{K_i}P$ 生成组密钥 $K=r_{11}^{\′}(x_{K_2}P+x_{K_3}P+\·\·\·+x_{K_m}P)$ 。

U_i1(i∈{2，...，m})收到组织者U₁₁广播的中间消息后，提取中间消息中的中间消息DH值，该中间消息DH值z′P＝(x′，y′)具体通过计算 $z^{\′}P=(x^{\′},y^{\′})={\text{x}}_{K_i}^{-1}{c}_i^{\′}$ 得出，根据中间消息DH值z′P＝(x′，y′)得出对应的x′，因为c′₁＝r′₁₁x′(modp)，所以r′₁₁＝c′₁x′^-1(modp)，进而计算出组织者U₁₁选取的DH机密值r′₁₁。根据r′₁₁和U_i1(i∈{2，...，m})的DH公开值，生成组密钥 $K=r_{11}^{\′}(x_{K_2}P+x_{K_3}P+\·\·\·+x_{K_m}P)$ 。

同时，大组∑内的其他成员U_ij(i∈[1，m]，j∈[1，n_i])监听发送给相应组G_i的消息，利用已获得的G_i的私钥K_i可以得到，通过广播的中间消息计算出DH机密值r′₁₁，进而得到组共享密钥 $K=r_{11}^{\′}(x_{K_2}P+x_{K_3}P+\·\·\·+x_{K_m}P)$ 。

最终，所有成员得到同一个组密钥 $K=r_{11}^{\′}(x_{K_2}P+x_{K_3}P+\·\·\·+x_{K_m}P)$ 。

通过上述方法，将组∑分为m个子组＝{G₁，G₂，...，G_m}，以减少大组∑中组织者的负载，大组∑内所有成员共享组密钥 $K=r_{11}^{\′}(x_{K_2}P+x_{K_3}P+\·\·\·+x_{K_m}P)$ 。

实施例6

参见图8，本发明实施例提供了一种生成组密钥的系统，包括：

用于组织者的通信设备，用于根据系统参数选取DH机密值，根据系统参数和选取的DH机密值生成DH公开值，并在组内广播DH公开值；收到其它设备的DH公开值后，选取秘密指数，根据秘密指数计算中间消息DH值，生成携带中间消息DH值的中间消息，并在组内广播中间消息；以及根据所选取的DH机密值和组内所有设备的DH公开值生成组密钥。

用于成员的通信设备，用于根据系统参数选取DH机密值，根据系统参数和选取的DH机密值生成DH公开值，并广播DH公开值；收到用于组织者的通信设备广播的DH公开值和中间消息后，根据中间消息计算组织者选取的DH机密值，验证DH机密值正确后，根据DH机密值组内所有设备的DH公开值生成组密钥。

当有成员加入或退出时，系统中的用于组织者的通信设备和用于成员的通信设备还包括：

组密钥更新模块，用于当有新成员加入或退出组时，通知重新生成并广播新DH公开值。

实施例7

参见图9，本发明实施例提供了一种通信设备，包括：

系统参数选取模块，用于选取基于椭圆曲线的系统参数。

DH公开值生成与广播模块，用于根据系统参数选取模块选取的系统参数选取DH机密值，根据系统参数和选取的DH机密值生成DH公开值，并广播生成的DH公开值。

中间消息生成与广播模块，用于收到其它通信设备广播的DH公开值后，选取秘密指数，根据秘密指数计算中间消息DH值，根据DH公开值生成与广播模块选取的DH机密值，生成携带中间消息DH值的中间消息，并广播中间消息。

组织者组密钥生成模块，用于接收其它通信设备广播的DH公开值，并根据DH公开值生成与广播模块中所选取的DH机密值和其它通信设备广播的DH公开值生成组密钥。

为了进一步完善上述通信设备，当有成员加入或退出时，该通信设备还包括：

组密钥更新模块，用于当有新成员加入或退出组时，通知DH公开值生成与广播模块生成并广播新DH公开值。

当有新成员加入时，生成新组密钥的过程如下：

组密钥更新模块通知DH公开值生成与广播模块根据系统参数选取模块选取的系统参数为组织者和新成员选取新DH机密值，根据系统参数和选取的新DH机密值生成新DH公开值，并广播新DH公开值。

中间消息生成与广播模块收到其它设备广播的新成员的DH公开值后，选取新秘密指数，根据新秘密指数计算中间消息DH值，根据DH公开值生成与广播模块选取的新DH机密值，生成携带中间消息DH值的新中间消息，并广播新中间消息。

组织者组密钥生成模块根据DH公开值生成与广播模块中所选取的新DH机密值和收到其它设备广播的新成员的DH公开值生成新组密钥。

当有成员退出时，生成新组密钥的过程如下：

组密钥更新模块通知DH公开值生成与广播模块根据系统参数选取模块选取的系统参数为组织者选取新DH机密值，根据系统参数和选取的新DH机密值生成新DH公开值，并广播新DH公开值。

中间消息生成与广播模块收到其它设备广播的剩余成员的DH公开值后，选取新秘密指数，根据新秘密指数计算中间消息DH值，根据DH公开值生成与广播模块选取的新DH机密值，生成携带中间消息DH值的新中间消息，并广播新中间消息。

组织者组密钥生成模块根据DH公开值生成与广播模块中所选取的新DH机密值和收到其它设备广播的剩余成员的DH公开值生成新组密钥。

实施例8

参见图10，本发明实施例还提供了一种通信设备，包括：

系统参数选取模块，用于选取基于椭圆曲线的系统参数。

DH公开值生成与广播模块，用于根据系统参数选取模块选取的系统参数选取DH机密值，根据系统参数和选取的DH机密值生成DH公开值，并广播生成的DH公开值。

成员组密钥生成模块，用于接收其它通信设备广播的DH公开值和中间消息，根据中间消息计算组织者选取的DH机密值，根据广播中间消息的通信设备广播的DH公开值验证DH机密值正确后，根据DH机密值和广播中间消息的通信设备之外的其它通信设备广播的DH公开值生成组密钥。

为了进一步完善上述通信设备，当有成员加入或退出时，该通信设备还包括：

组密钥更新模块，用于当有新成员加入时，通知DH公开值生成与广播模块为新加入的成员生成并广播DH公开值。

当有新成员加入时，组密钥更新模块通知DH公开值生成与广播模块根据系统参数选取模块选取的系统参数为新成员选取DH机密值，根据系统参数和选取的DH机密值生成新成员的DH公开值，并广播新成员的DH公开值；成员组密钥生成模块收到中间消息后，根据中间消息计算组织者选取的新DH机密值，根据收到的组织者的新DH公开值验证新DH机密值正确后，根据新DH机密值和DH公开值生成与广播模块广播的新成员的DH公开值生成新组密钥。

当有成员退出时，成员组密钥生成模块收到的新中间消息后，根据新中间消息计算组织者选取的新DH机密值，根据收到的组织者的新DH公开值验证新DH机密值正确后，根据新DH机密值和DH公开值生成与广播模块广播的剩余成员的DH公开值生成新组密钥。

以上实施例具有：

1)安全性能更高：椭圆曲线离散对数问题的计算复杂度目前是完全指数级的，而RSA(RSA公钥密码体制)是亚指数级的。

2)计算量小和处理速度快：在相同的计算资源条件下，椭圆曲线体制比RSA和DSA(数字签名标准)有更快的处理速度。

3)存储空间占用小：椭圆曲线体制的密钥长度和系统参数与RSA及DSA相比要小得多。160比特ECC与1024比特RSA、DSA具有相同的安全强度，210比特ECC则与2048比特RSA、DSA具有相同的安全强度，这意味着它所占的存储空间要小得多。

4)带宽要求低：对于给定的安全级别，ECC比RSA和DSA有更小的参数。对于更高的安全级别，参数大小的差异更加明显。更小的参数带来的好处是，计算速度更快，密钥更短和密钥证书更小，因而签名长度和密文长度更短。

综上，椭圆曲线密码可以用较小的开销(如带宽，计算量，存储空间，功耗等)和时延实现较高的安全性，特别适用于计算能力和带宽受限的情况，如Ad Hoc网络环境下的安全通信等。与同类方案相比，在达到相同的安全性时，具有计算速度快、存储空间占用小和网络带宽要求低的特点。

本发明实施例支持成员的加入和退出，由于有成员加入时只需新加入的成员与组织者的参与协议、有成员退出时只需组织者重新选择随机数而其余成员的随机数不必重选，所以计算速度快、存储空间占用小、使用灵活。

本发明实施例提供的技术方案在大规模群组通信时，能在增加较小通信量的条件下有效降低组织者的计算负载。同时，由于该协议是基于椭圆曲线密码体制的，因此还能获的较高的协议运行效率，包括较低的协议交互轮数、较低的网络带宽占用量、较小的密钥存储空间和较快的计算速度等。

以上实施例提供的技术方案可以通过硬件和软件实现，软件存储在可读取的存储介质上，如计算机的软盘，硬盘或光盘等。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (19)

1.一种生成组密钥的方法，其特征在于，基于椭圆曲线选取系统参数，并执行以下步骤：

组内成员组成星形结构，并在所述组内成员中选取组织者；

所述组内成员根据所述系统参数各自随机选取DH机密值，根据所述系统参数和选取的DH机密值各自生成DH公开值，并在组内广播所述DH公开值；

所述组织者收到组内其它成员的DH公开值后，选取秘密指数，根据所述秘密指数计算中间消息DH值，生成携带所述中间消息DH值的中间消息，在组内广播所述中间消息，并根据所选取的DH机密值和所述组织者之外的组内其它成员的DH公开值生成组密钥；

所述组织者之外的组内其它成员收到所述中间消息和所述组织者的DH公开值后，根据所述中间消息计算所述组织者选取的DH机密值，根据收到的所述组织者的DH公开值验证所述DH机密值正确后，根据所述DH机密值和所述组内其它成员的DH公开值生成组密钥。

2.如权利要求1所述的生成组密钥的方法，其特征在于，所述根据所述秘密指数计算中间消息DH值的步骤具体包括：

根据所述秘密指数z计算中间消息DH值zP，所述秘密指数z为从整数模q所得到的最小非负余数的集合Z_q中选择的随机数，所述q为所述系统参数中的素数，所述P为所述系统参数中的公开基点。

3.如权利要求2所述的生成组密钥的方法，其特征在于，所述生成携带所述中间消息DH值的中间消息的步骤具体包括：

提取中间消息DH值zP在椭圆曲线上对应的点的x坐标值x，并根据所述组织者选取的DH机密值r₁计算中间消息的组织者分量r₁x(modp)，所述p为所述系统参数中的素数；

根据所述秘密指数z和组织者之外的组内其它成员广播的所述DH公开值X_i＝r_iP计算中间消息的其它成员分量r₂zP，r₃zP，...，r_nzP，所述i＝2，...，n，所述n为组内成员数；

根据所述中间消息的组织者分量和所述中间消息的其它成员分量生成中间消息{c₁，c₂，...，c_n}＝{r₁x(modp)，r₂zP，r₃zP，...，r_nzP}。

4.如权利要求3所述的生成组密钥的方法，其特征在于，所述根据所述中间消息计算所述组织者选取的DH机密值的步骤具体包括：

根据所述中间消息{c₁，c₂，...，c_n}＝{r₁x(modp)，r₂zP，r₃zP，...，r_nzP}和所选取的DH机密值r_i计算所述中间消息DH值zP，提取中间消息DH值zP在椭圆曲线上对应的点的x坐标值x，计算组织者选取的DH机密值r₁＝c₁x^-1(modp)。

5.如权利要求1所述的生成组密钥的方法，其特征在于，所述根据所选取的DH机密值和所述组织者之外的组内其它成员的DH公开值生成组密钥的步骤具体包括：

组织者根据所述组内其它成员的DH公开值X_i＝r_iP和所述组织者所选取的DH机密值r₁生成组密钥K＝r₁(r₂P+r₃P+...+r_nP)，所述i＝2，…，n，所述n为组内成员数，所述P为所述系统参数中的公开基点。

6.如权利要求1所述的生成组密钥的方法，其特征在于，所述根据收到的所述组织者的DH公开值验证所述DH机密值的步骤具体包括：

根据计算出的所述组织者选取的DH机密值r₁和所述系统参数中选择的公开基点P计算r₁P；

验证收到的所述组织者的DH公开值X₁是否与计算出的r₁P相等，如果相等，则所述DH机密值正确。

7.如权利要求1所述的生成组密钥的方法，其特征在于，所述根据所述DH机密值和所述组内其它成员的DH公开值生成组密钥的步骤具体包括：

根据所述组织者选取的DH机密值r₁和所述组织者之外的组内其它成员广播的DH公开值X_i＝r_iP，生成组密钥K＝r₁(r₂P+r₃P+...+r_nP)，所述i＝2，…，n，所述n为组内成员数，所述P为所述系统参数中的公开基点。

8.如权利要求1所述的生成组密钥的方法，其特征在于，当有新成员加入时，所述方法还包括：

将新成员与所述组内成员组成新的星形结构；

所述组织者和所述新成员根据所述系统参数各自随机选取新DH机密值，根据所述系统参数和选取的新DH机密值各自生成新DH公开值，并在组内广播所述新DH公开值；

所述组织者收到所述新DH公开值后，将所述组密钥的x坐标值或y坐标值作为新秘密指数，根据所述新秘密指数计算新中间消息DH值，生成携带所述新中间消息DH值的新中间消息，在组内广播所述新中间消息，并根据所选取的新DH机密值和所述新成员的新DH公开值生成新组密钥；

所述组织者之外的组内其它成员收到所述组织者的新中间消息、所述组织者的新DH公开值和所述新成员的新DH公开值后，根据所述新中间消息计算所述组织者选取的新DH机密值，根据收到的所述组织者的新DH公开值验证所述新DH机密值正确后，根据所述新DH机密值和所述组内新成员的新DH公开值生成新组密钥。

9.如权利要求8所述的生成组密钥的方法，其特征在于，所述生成携带所述新中间消息DH值的新中间消息的步骤具体包括：

提取新中间消息DH值z′P在椭圆曲线上对应的点的x坐标值x′，并根据所述组织者选取的新DH机密值r′₁计算新中间消息的组织者分量r′₁x′(mod p)，其中，所述p为所述系统参数中的素数，所述z′＝x_K，所述x_K为所述组密钥的x轴坐标值，所述P为所述系统参数中的公开基点；

根据所述秘密指数z′和所述新成员广播的DH公开值X′_i＝r′_iP计算新中间消息的新成员分量r′_n+1z′P，r′_n+2z′P，…，r′_n+tz′P，所述i＝n+1，…，n+t，所述n为未加入新成员前组内成员数，所述t为新成员数；

根据所述新中间消息的组织者分量和所述新中间消息的新成员分量生成新中间消息{c′₁，c′_n+1，…，c′_n+t}＝{r′₁x′(mod p)，r′_n+1z′P，r′_n+2z′P，…，r′_n+tz′P}。

10.如权利要求8所述的生成组密钥的方法，其特征在于，所述根据所选取的新DH机密值和所述新成员的新DH公开值生成新组密钥的步骤具体包括：

组织者根据所述新成员的DH公开值X′_i＝r′_iP和所述组织者所选取的新DH机密值r′₁生成组密钥K′＝r′₁(r′_n+1P+r′_n+2P+…r′_n+tP)，所述i＝n+1，…，n+t，所述n为未加入新成员前组内成员数，所述t为新成员数，所述P为所述系统参数中的公开基点。

11.如权利要求8所述的生成组密钥的方法，其特征在于，所述根据所述新DH机密值和所述组内新成员的新DH公开值生成新组密钥的步骤具体包括：

根据所述组织者选取的新DH机密值r′₁和所述新成员广播的DH公开值X′_i＝r′_iP，生成新组密钥K′＝r′₁(r′_n+1P+r′_n+2P+…r′_n+tP)，所述i＝n+1，…，n+t，所述n为未加入新成员前组内成员数，所述t为新成员数，所述P为所述系统参数中的公开基点。

12.如权利要求1所述的生成组密钥的方法，其特征在于，当有成员退出后，所述方法还包括：

组织者根据所述系统参数选取新DH机密值，根据所述系统参数和选取的新DH机密值生成新DH公开值，并在组内广播所述新DH公开值；

所述组织者选取新秘密指数，根据所述新秘密指数计算新中间消息DH值，生成携带所述新中间消息DH值的新中间消息，在组内广播所述新中间消息，并根据所选取的新DH机密值和组织者之外的组内剩余成员的DH公开值生成新组密钥；

组织者之外的组内剩余成员收到所述新中间消息和所述组织者的新DH公开值后，根据所述新中间消息计算所述组织者选取的新DH机密值，根据收到的所述组织者的新DH公开值验证所述新DH机密值正确后，根据所述新DH机密值和所述组织者之外的组内剩余成员的DH公开值生成新组密钥。

13.如权利要求12所述的生成组密钥的方法，其特征在于，所述生成携带所述新中间消息DH值的新中间消息的步骤具体包括：

提取新中间消息DH值z′P在椭圆曲线上对应的点的x坐标值x′，并根据所述组织者选取的新DH机密值r′₁计算新中间消息的组织者分量r′₁x′(modp)，所述p为所述系统参数中的素数；

根据所述秘密指数z′和组织者之外的组内剩余成员广播的DH公开值X′_i＝r′_iP计算新中间消息的剩余成员分量 $r_2^{\′}{z}^{\′}P,,\·\·\·,r_{j_1-1}^{\′}{z}^{\′}P,r_{j_1+1}^{\′}{z}^{\′}P,\·\·\·,r_{j_k-1}^{\′}{z}^{\′}P,r_{j_k+1}^{\′}{z}^{\′}P,\·\·\·,r_n^{\′}{z}^{\′}P,$ 所述i＝2，…，j₁-1，j₁+1，...，j_k-1，j_k+1，…n，所述k为退出的成员数；

根据所述新中间消息的组织者分量和所述新中间消息的剩余成员分量生成新中间消息 ${\{c}_1^{\′},\·\·\·,c_{j_1-1}^{\′},c_{j_1+1}^{\′},\·\·\·,c_{j_k-1}^{\′},c_{j_k+1}^{\′},\·\·\·,c_n^{\′}\}=\{r_1^{\′}{x}^{\′}\left(\mathrm{mod}p\right),\·\·\·,r_{j_1-1}^{\′}{z}^{\′}P,r_{j_1+1}^{\′}{z}^{\′}P,\·\·\·,r_{j_k-1}^{\′}{z}^{\′}P,r_{j_k+1}^{\′}{z}^{\′}P,\·\·\·,r_n^{\′}{z}^{\′}P\}.$

14.一种生成组密钥的系统，其特征在于，所述系统包括：用于组织者的通信设备和用于成员的通信设备；

所述用于组织者的通信设备用于根据系统参数选取DH机密值，根据所述系统参数和选取的DH机密值生成DH公开值，并在组内广播所述DH公开值；收到其它设备的DH公开值后，选取秘密指数，根据所述秘密指数计算中间消息DH值，生成携带所述中间消息DH值的中间消息，并在组内广播所述中间消息；以及根据所选取的DH机密值和组内所有设备的DH公开值生成组密钥；

所述用于成员的通信设备用于根据系统参数选取DH机密值，根据所述系统参数和选取的DH机密值生成DH公开值，并广播所述DH公开值；收到所述用于组织者的通信设备广播的DH公开值和中间消息后，根据所述中间消息计算组织者选取的DH机密值，验证所述DH机密值正确后，根据所述DH机密值组内所有设备的DH公开值生成组密钥。

15.如权利要求14所述的生成组密钥的系统，其特征在于，所述用于组织者的通信设备和用于成员的通信设备包括：

组密钥更新模块，用于当有新成员加入或退出所述组时，生成并广播新DH公开值。

16.一种通信设备，其特征在于，所述通信设备包括：

系统参数选取模块，用于选取基于椭圆曲线的系统参数；

DH公开值生成与广播模块，用于根据所述系统参数选取模块选取的系统参数选取DH机密值，根据所述系统参数和选取的DH机密值生成DH公开值，并广播所述DH公开值；

中间消息生成与广播模块，用于收到其它通信设备广播的DH公开值后，选取秘密指数，根据所述秘密指数计算中间消息DH值，根据所述DH公开值生成与广播模块选取的DH机密值，生成携带所述中间消息DH值的中间消息，并广播所述中间消息；

组织者组密钥生成模块，用于接收其它通信设备广播的DH公开值，并根据所述DH公开值生成与广播模块中所选取的DH机密值和所述其它通信设备广播的DH公开值生成组密钥。

17.如权利要求16所述的通信设备，其特征在于，所述通信设备还包括：

组密钥更新模块，用于当有新成员加入或退出所述组时，通知所述DH公开值生成与广播模块生成并广播新DH公开值。

18.一种通信设备，其特征在于，所述通信设备包括：

系统参数选取模块，用于选取基于椭圆曲线的系统参数；

DH公开值生成与广播模块，用于根据所述系统参数选取模块选取的系统参数选取DH机密值，根据所述系统参数和选取的DH机密值生成DH公开值，并广播所述DH公开值；

成员组密钥生成模块，用于接收其它通信设备广播的DH公开值和中间消息，根据所述中间消息计算组织者选取的DH机密值，根据广播所述中间消息的通信设备广播的DH公开值验证所述DH机密值正确后，根据所述DH机密值和广播所述中间消息的通信设备之外的其它通信设备广播的DH公开值生成组密钥。

19.如权利要求18所述的通信设备，其特征在于，所述通信设备还包括：

组密钥更新模块，用于当有新成员加入所述组时，通知所述DH公开值生成与广播模块为新加入的成员生成并广播新DH公开值。

Images