CN101399660A

CN101399660A - 协商组群密钥的方法和设备

Info

Publication number: CN101399660A
Application number: CNA2007101752956A
Authority: CN
Inventors: 马春波; 李建华; 吴越; 刘亚
Original assignee: Huawei Technologies Co Ltd; Shanghai Jiaotong University
Current assignee: Huawei Technologies Co Ltd; Shanghai Jiaotong University
Priority date: 2007-09-28
Filing date: 2007-09-28
Publication date: 2009-04-01
Anticipated expiration: 2027-09-28
Also published as: WO2009043266A1; CN101399660B

Abstract

本发明公开了协商组群密钥的方法和设备，属于通信领域。所述方法基于椭圆曲线的双线性对映射，根据组群内的用户总数的奇偶性选择协商组群密钥的方法，组群内每个用户通过与其它用户的信息交互，生成相同的组群密钥。所述设备有三种，其中一种设备包括：信息交互模块、中间值生成模块和组群密钥生成模块。另一种设备包括：信息交互模块、中间值生成模块、会话密钥生成模块、新中间值生成模块和组群密钥生成模块。第三种设备包括：信息交互模块、中间值生成模块、会话密钥解密模块和中间值加密模块。本发明密钥协商过程中的通信轮数较少，提高了通信的实时性。且密钥协商的轮数与成员的人数无关，减小密钥协商的通信量。

Description

协商组群密钥的方法和设备

技术领域

本发明涉及通信领域，特别涉及一种协商组群密钥的方法和设备。

背景技术

Ad Hoc网络是一种多跳、自组织、拓扑结构动态变化的网络，节点移动频繁，电能储备有限，而且节点之间的信任关系以及无线传输链路都比较脆弱，这些特点使得对于Ad Hoc网络的组密钥协商协议的设计与传统方案具有很大的不同。在Ad Hoc网络中，为了保证通信安全，通常需要对消息进行加密后再传输，由于对称密码体制在效率上具有优势，因此采用群组共享密钥能在很大程度上降低消息处理的复杂性。同时，Ad Hoc网络也是一种动态对等群组，缺少固定的可信第三方支持，因此用于加密消息的组会话密钥必须通过所有组成员协商建立，提高组密钥的安全可靠性。另外，Ad Hoc网络组密钥协商协议还应考虑网络的动态拓扑特性，所以要求密钥协商协议能够实现密钥的前向安全性以及后向安全性，并能有效支持节点的加入与退出。

现有技术中有一种Joux三方密钥协商协议，以三个用户U₁，U₂和U₃协商一个共享密钥为例，参见图1，该协议的运行过程如下：

步骤101：选择系统参数，为每个用户选择两个阶为q、建立在椭圆曲线上的循环乘群G1和G2，g为群G1的生成子，并且循环乘群G1和G2具有可有效计算的双线性映射，即G1上的一个元素与G2上的一个元素的乘积是G2上的另外一个元素，表示为G1×G2—>G2，这里在G1和G2上的双线性对的计算是比较容易的，就称作是可计算的。设g与g的双线性映射记为Q，Q为乘群G2的生成子。

步骤102：U1随机选择

然后计算公开值R1＝g^x1，并将R1发送给U2和U3；U2随机选择

然后计算公开值R2＝g^x2，并将R2发送给U1和U3；U3随机选择x3，然后计算公开值R3＝g^x3，并将其发送给U1和U2。

步骤103：U1根据收到的公开值R2和R3及x1计算三方会话的密钥Key＝Q^x1x2x3；U2根据R1和R3及x2计算三方会话的密钥Key＝Q^x1x2x3；U3根据R1和R2及x3计算三方会话的密钥Key＝Q^x1x2x3。

通过上两步的计算，用户U1，U2和U3得到了相同的会话密钥，即密钥Key＝Q^x1x2x3。

基于Joux三方密钥协商协议，现有技术还构造了群密钥协商协议，下面简单介绍该群密钥协商协议如下：

该协议有三个算法，分别是3—群密钥协商算法(3—G)，2—群密钥协商算法(2—G)和群密钥协商算法(KG)。

在密钥协商前，每个群组分别选择两个阶为q的建立在椭圆曲线上的群G1和G2，其中，G1为加法循环群，G2为乘法循环群，P为群G1的生成子；这两个群有可计算的双线性映射。另外，设P与P的双线性映射记为W，W也是群G2的生成子。

设有n个用户进行密钥协商，用U表示用户集合的子集。对于每一个用户i，其公钥为Qi，该公钥与其身份相关。系统自身选取一个随机数s，然后计算sP作为系统的公钥P(pub)，而各个用户的长期私钥Si＝sQi。

这里先介绍3—群密钥协商算法(3—G)：设有三组用户进行密钥协商，分别为U1，U2，U3，其临时私钥分别为S1，S2，S3。在这三组用户中，每组有一个代表，不失一般性，设成员A1为U1的代表，成员A2为U2的代表，成员A3为U3的代表。成员A1进行如下计算：

1)计算临时私钥S1和P的乘积P1，即P1＝PS1；

2)计算P1的Hash函数得到D1，即D1＝H(P1)；然后以D1乘以S1并加上临时私钥S1和P1的乘积得到T1，即T1＝D1S1+S1P1；

3)成员A1将P1和T1发送给其它组群中的各个成员。

成员A2和成员A3也进行上述步骤，成员A2将P2和T2发送给其它组群中的各个成员，成员A3将P3和T3发送给其它组群中的各个成员。

最后，U1内的成员根据收到的P2和T2、P3和T3，以及临时私钥S1生成共享密钥Key＝H(W^S1S2S3)；U2内的成员根据收到的P1和T1、P3和T3，以及临时私钥S2生成共享密钥Key＝H(W^S1S2S3)；U3内的成员根据收到的P1和T1、P2和T2，以及临时私钥S3生成共享密钥Key＝H(W^S1S2S3)。

下面介绍2—群密钥协商协议算法(2—G)：

设有两组用户参与该算法，分别为U1，U2，其临时私钥分别为S1，S2。设U1的代表为A1，U2的代表为A2。成员A1进行如下计算：

1)A1计算临时私钥S1和P的乘积P1，即P1＝PS1；

3)成员A1将P1和T1发送给U2的各个用户。

同样的A2进行类似的计算，并将P2和T2发送给U1的用户。

4)A1选取随机数

并计算K1＝(sA1)P；

5)A1首先计算K1的Hash函数，记做H(K1)，然后以H(K1)乘以S1并加上(sA1)和K1的乘积，这里记做T(sA1)，T(sA1)＝H(K1)S1+(sA1)K1；

6)A1将K1和T(sA1)发送给其余的用户。

完成以上步骤后，U1中的用户通过T2对P2进行验证，验证通过后，再根据P2计算共享密钥Key＝H(W^S1S2sA1)，即以S1，S2和sA1的乘积为幂，W为底的指数，然后进行Hash运算。

这里只有A1选择了随机数sA1。A1选择这个随机数会使两个成员之间的运算象三个成员，同理，U2中的用户进行上述运算，将得到相同的共享密钥Key。

下面介绍群密钥协商算法KG，该密钥协商算法是一个递规算法。描述如下：

输入的参数为m和组群U(i+1)，U(i+2)，...，U(i+m)。其中，m表示组群中用户的规模。例如：组群由用户U1，U2，U3，U4，U5构成，那么当i＝2，m＝2时，组群就是用户集合的一个子集，包括用户U3，U4。进行该算法时，令Uj等于j，这里n≥j≥1；

如果输入的参数m＝1，密钥协商后，共享密钥Key＝s(i+1)；

如果m＝2，调用上述(2—G)算法，输入的参数为U(i+1)，U(i+2)和s(i+1)，s(i+2)，共享密钥Key是组群U(i+1)和U(i+2)的协商密钥；

当m大于2时，设n0为0，n1为大于m除以3的最小整数，n3为小于m除以3的最小整数，n2＝m-n1-n3。循环变量j从1到3进行如下过程：

进行密钥协商算法KG，输入的参数为nj，U(i+n(j-1)+1)，...，U(i+n(j-1)+nj)；设YUj为U(i+n(j-1)+1)，...，U(i+n(j-1)+nj)的集合；Ysj＝Key；nj＝n(j-1)+nj。调用3—G算法，输入的参数为YU1，YU2，YU3，Ys1，Ys2和Ys3。

则KEY等于YU1，YU2和YU3协商的会话密钥。

上述方案的缺点是：密钥协商的算法通过递规调用产生，增加了算法的复杂度；密钥协商的通信轮数随着参与者的人数的增加而增加，上述方案不但增加了时延，还增大了系统的通信量。

发明内容

为了简化密钥协商过程的通信量，并缩短密钥协商的时间，本发明实施例提供了一种协商组群密钥的方法和设备。所述技术方案如下：

本发明实施例提供了一种协商组群密钥的方法，当组群内的用户总数为奇数时，所述方法包括：

步骤A：用户根据秘密指数生成公开值，分别与左侧的两个相邻用户和右侧的两个相邻用户交换公开值；

步骤B：所述用户收到四个相邻用户发送的公开值后，根据所述公开值中的秘密指数和自身的秘密指数生成中间值，广播携带所述中间值的中间消息；

步骤C：所述用户收到其它用户的中间消息后，验证所述中间消息中的中间值是否正确，验证通过后，根据所述其它用户的中间值和自身的中间值生成会话密钥，将所述会话密钥作为组群密钥；

当组群内的用户总数为偶数时，所述方法包括：

步骤A1：从组群中分离出一个用户，将所分离出的用户作为特定用户；将组群内的其余用户组成新的组群，所述新的组群内每个用户执行所述步骤A至所述步骤C；

步骤B1：所述特定用户与所述新的组群内的多个用户交换携带秘密指数的公开值；所述特定用户与所述多个用户根据收到的公开值中的秘密指数生成新中间值；

步骤C1：所述多个用户用所述新中间值加密所述会话密钥，并将加密后的密文发送给所述特定用户；所述特定用户收到所述密文后，用所述新中间值对所述密文解密，得到所述会话密钥；

步骤D1：所述多个用户和所述特定用户用所述会话密钥加密所生成的新中间值，并广播加密后的所述新中间值；

步骤E1：所述特定用户和所述新的组群内的每个用户根据所述新中间值和所述会话密钥生成新的组群密钥。

本发明实施例还提供了一种协商组群密钥的设备，所述设备包括：

信息交互模块，用于根据秘密指数生成公开值，分别与左侧的两个相邻设备和右侧的两个相邻设备交换公开值，以及与其它设备进行信息交互；

中间值生成模块，用于提取所述信息交互模块收到的公开值中的秘密指数，根据所述公开值中的秘密指数和设备自身的秘密指数生成中间值，并通知所述信息交互模块广播携带所述中间值的中间消息；

组群密钥生成模块，用于验证所述信息交互模块收到的中间消息中的中间值，验证通过后，根据所述其它设备的中间值和自身的中间值生成会话密钥，将所述会话密钥作为组群密钥。

本发明实施例还提供了另一种协商组群密钥的设备，所述设备包括：

中间值生成模块，用于提取所述信息交互模块收到的公开值中的秘密指数，根据所述公开值中的秘密指数和设备自身的秘密指数生成中间值，并通过所述信息交互模块广播携带所述中间值的中间消息；

会话密钥生成模块，用于验证所述信息交互模块收到的中间消息中的中间值，验证通过后，根据收到的中间值和自身的中间值生成会话密钥；

新中间值生成模块，用于通知所述信息交互模块与特定设备交换携带秘密指数的公开值，并根据接收到的所述特定设备的公开值中的秘密指数和设备自身的秘密指数生成新中间值；

组群密钥生成模块，用于根据所述所述新中间值生成模块生成的新中间值和所述会话密钥生成新的组群密钥。

进一步地，本发明实施例还提供了一种协商组群密钥的设备，所述设备包括：

信息交互模块，用于根据秘密指数生成公开值，分别与组群中的多个设备交换公开值，以及与其它设备进行信息交互；

中间值生成模块，用于提取所述信息交互模块收到的公开值中的秘密指数，根据所述公开值中的秘密指数和设备自身的秘密指数生成中间值；

会话密钥解密模块，用于用所述中间值生成模块生成的中间值解密所述信息交互模块收到的密文，得到会话密钥；

中间值加密模块，用于用所述会话密钥解密模块解密出的会话密钥对所述中间值生成模块生成的中间值加密，并通过所述信息交互模块广播加密后的所述中间值。

本发明实施例提供的技术方案的有益效果是：

本发明实施例中每个用户与左侧相邻的两个用户和右侧的两个相邻用户交换携带秘密指数的中间消息，进而生成中间值，与其它用户交换中间值生成会话密钥，使密钥协商过程中的通信轮数较少，提高了通信的实时性。且密钥协商的轮数与成员的人数无关，减小密钥协商的通信量。

附图说明

图1是现有技术中的Joux三方密钥协商协议的运行过程流程图；

图2是本发明实施例1提供的组群内的用户总数为奇数时的协商组群密钥的方法流程图；

图3是本发明实施例1提供的组群内的用户总数为偶数时的协商组群密钥的方法流程图；

图4是本发明实施例1提供的组群内的用户总数为奇数时的协商组群密钥的方法举例流程图；

图5是本发明实施例1提供的组群内的用户总数为偶数时的协商组群密钥的方法举例流程图；

图6是本发明实施例1提供的组群个数为5时的协商组群密钥的方法流程图；

图7是本发明实施例2提供的协商组群密钥的设备的结构图；

图8是本发明实施例3提供的另一种协商组群密钥的设备的结构图；

图9是本发明实施例4提供的第三种协商组群密钥的设备的结构图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

本发明以下实施例提供的协商组群密钥方案的系统参数包括：两个阶为q，且建立在椭圆曲线上的循环乘群G1和G2，g为群G1的生成子，这两个乘群有可计算的双线性映射，g与g的双线性映射记为Q。

实施例1

本实施例提供了一种协商组群密钥的方法，当组群内的用户总数为奇数时，参见图2，该方法包括：

步骤201：用户根据秘密指数生成公开值，分别与左侧的两个相邻用户和右侧的两个相邻用户交换公开值；

步骤202：该用户收到四个相邻用户发送的公开值后，根据收到的中间消息中的秘密指数和自身的秘密指数生成中间值，广播携带该中间值的中间消息；

步骤203：该用户收到其它用户的中间消息后，验证收到的中间消息中的中间值是否正确，验证通过后，根据其它用户的中间值和自身的中间值生成会话密钥，将该会话密钥作为组群密钥。

当组群内的用户总数为偶数时，参见图3，该方法包括：

步骤301：从组群中分离出一个用户，将所分离出的用户作为特定用户；将组群内的其余用户组成新的组群，新的组群内的用户总数为奇数，每个用户执行步骤201至步骤203获取会话密钥；

步骤302：此特定用户与新的组群内的多个用户交换携带秘密指数的公开值；此特定用户与上述多个用户根据收到的公开值中的秘密指数生成新中间值；

步骤303：上述多个用户用新中间值加密会话密钥，并将加密后的密文发送给此特定用户；此特定用户收到该密文后，用新中间值对密文解密，得到会话密钥；

步骤304：多个用户和此特定用户用会话密钥加密新中间值，并广播加密后的新中间值；

步骤305：此特定用户和新的组群内的每个用户根据新中间值和会话密钥生成新的组群密钥。

下面以n(这里设n为奇数)个用户(U1，U2，...，Un)为例，其中，U(n+1)＝U1，U(n+2)＝U2，U(-1)＝U(n-1)，U(0)＝U(n)，这样就构成了一个由n个用户构成的首尾相接的用户链。参见图4，协商组群密钥的方法如下：

步骤401：用户Ui选择随机数，并将选择的随机数作为秘密指数，根据秘密指数和系统参数g计算公开值，将该公开值发送给其左侧相邻最近的两个用户和右侧相邻最近的两个用户。此步骤具体为：

用户Ui选择随机数xi∈Z_q ^*，其中，q是g的阶，星号表示除去0。计算公开值Xi＝g^xi，并将Xi发送给用户U(i-2)、U(i-1)、U(i+1)及U(i+2)，即分别发送给其左侧相邻最近的两个用户和右侧相邻最近的两个用户。

步骤402：用户Ui接收其右边两个用户U(i+1)和U(i+2)的两个值X(i+1)和X(i+2)，左边两个用户U(i-1)和U(i-2)的两个值X(i-1)和X(i-2)后，用户Ui通过X(i+1)，X(i+2)和Xi计算右侧共享密钥Ri＝Q^{x(i+1)x(i+2)xi}，以及左侧共享密钥Li＝Q^{x(i-1)x(i-2)xi}。

步骤403：用户Ui计算中间值Ki＝Ri/Li，然后通过网络将携带该中间值的中间消息发送给其它用户。

步骤404：用户Ui收到所有其它用户发送的中间消息后，提取中间值K1，K2，...，K(i-1)，K(i+1)，...，Kn后，验证中间值K1，K2，...，Kn是否正确。具体验证过程如下：

因为Ri＝Q^{x(i+1)x(i+2)xi}，L(i+2)＝Q^{x(i+1)xix(i+2)}，所以Ri＝L(i+2)。又因为Ki＝Ri/Li，所以用户Ui可以通过计算K(i+2)与Ri的乘积得到R(i+2)，因为R(i+2)＝L(i+4)，所以用户Ui又可以通过计算K(i+4)与R(i+2)的乘积得到R(i+4)，也就是L(i+6)。以此类推最后得到Li，也就是R(i-2)的值。如果用户Ui通过上述方法计算得到的Li与其在步骤202中计算得到的相同，则说明他收到的中间值K1，K2，...，Kn正确，否则不正确，不进行组群密钥的协商。

步骤405：验证中间值K1，K2，...，Kn正确后，根据步骤404中的递推方法，将得到R1，R2，......，Rn。例如，以当前用户Ui为U1为例，则由R1—>R3，由R3—>R5，......，R(n-2)—>R(n)，然后，由R(n)—>R2，由R2—>R4，......，R(n-3)—>R(n-1)，其它用户的推导过程类似。用户Ui计算组群的会话密钥S＝R1R2...Rn。

上述方法中的用户个数n为奇数，如果组群内用户个数是偶数个时，设此时有n+1个用户，根据上述步骤404中的递推方法，奇数用户U1，U3，...，U(n)将会推导出R1，R3，......，R(n)，偶数用户U2，U4，...，U(n+1)将会推导出R2，R4，......，R(n+1)，所以奇数用户计算出的会话密钥S＝R1R3...R(n)，偶数用户计算出的会话密钥S＝R2R4...R(n+1)，所以，当组群内的用户个数为偶数个时，参见图5，执行以下步骤：

步骤501：从n+1个用户中选择n个用户，分别为用户U1，U2，...，Un。

步骤502至步骤506与上述步骤401至步骤405相同，这里不再赘述。

步骤507：用户U1，U2，...，Un通过上述方法得到(U1，U2，...，Un)的组群会话密钥S后，从用户U1，U2，...，Un中选择多个用户与用户U(n+1)进行信息交互，本实施例选择用户U1和Un，用户U1和Un分别将公开值X1和Xn发送给U(n+1)。同时，U(n+1)随机选择x(n+1)∈Z_q ^*，计算公开值X(n+1)＝g^x(n+1)，并将公开值X(n+1)分别发送给U1和Un。

步骤508：用户U1，Un和U(n+1)通过双线性对计算中间值K(n+1)＝Q^x1xnx(n+1)。

步骤509：用户U1和Un分别将中间值K(n+1)作为密钥加密会话密钥S，并将加密后的密文发送给用户U(n+1)；

步骤510：用户U(n+1)收到密文后，用中间值K(n+1)解密得到会话密钥S。

步骤511：用户U1、Un和U(n+1)分别用S作为密钥加密中间值K(n+1)，并将加密后的密文广播给其它用户；

步骤512：用户U1，U2，...，U(n+1)共享组群会话密钥S和中间值K(n+1)，将组群会话密钥S和中间值K(n+1)进行连接，然后进行Hash运算得到当前的组群密钥KK，即KK＝H(S‖K(n+1))。

当有一群用户加入时，不失一般性，假设有j个用户C1，C2，...，Cj加入当前组群(U1，U2，...，Un)，具体群组密钥协商过程如下：

首先，构造(Un，C1，C2，...，Cj，U1)的用户群，并为组群中的用户按照由小到大的顺序编号形成组群(T1，T2，...，T(j+2))，其中，T1＝Un，T(j+2)＝U1。然后在该组群中按以上的组群密钥协商方法得到该组群密钥KT。

用户U1和Un以S为密钥加密组群密钥KT，并将密文以广播的形式发送给(U2，...，U(n-1))。这样在用户(U1，...，Un)中共享了两个秘密值：组群会话密钥S和组群密钥KT。

用户U1，...，Un将组群会话密钥S和组群密钥KT进行连接，然后进行Hash运算得到当前的组群密钥KK。同时，U1和Un用KT为组群密钥加密KK，并将其发送给用户C1，C2，...，Cj，使该组用户拥有组群密钥KK。

在完成上述加入算法之后，也可以对用户进行排序，对于新加入的成员C1，C2，...，Cj，令C1＝U(n+1)，C2＝U(n+2)，...，Cj＝U(n+j)。

如果上述加入的用户为单个用户时，即C1要求加入组群(U1，...，Un)中，具体过程如下：

首先，令C1为U(n+1)，C1随机选取随机数x(n+1)，计算公开值X(n+1)＝g^x(n+1)，并将公开值X(n+1)发送给用户U1和Un。同时，U1和Un将公开值X1和Xn发送给U(n+1)。然后，U1，Un和U(n+1)计算组群密钥KT＝Q^x1xnx(n+1)。

接着，U1和Un以组群会话密钥S为密钥加密KT，并将密文以广播的形式发送给(U2，...，U(n-1))。这样在用户(U1，...，Un)中共享了两个秘密值组群会话密钥S和组群密钥KT。

用户(U1，...，Un)将组群会话密钥S和组群密钥KT进行连接，然后进行Hash运算，得到当前的组群密钥KK，即KK＝Hash(S‖KT)。同时，U1和Un用KT为密钥加密KK，并将其发送给用户C1，使得该用户拥有密钥KK。

如果目前用户群由(U1，U2，...，Un)构成，当用户Ui，...，Uj要退出该组群时，则将剩余的用户组成新的组群，根据新组群中用户个数的奇偶数，执行上述组群密钥的协商方法的步骤401至步骤405或步骤501至步骤512。

针对上述组群密钥的协商方法，以5个用户构成的组群U1，U2，U3，U4，U5为例，参见图6，具体过程如下：

步骤601：用户U1，U2，U3，U4，U5分别选择随机数，并根据选择的随机数和系统参数g分别计算公开值，然后将公开值发送给其左侧的两个相邻用户和右侧的两个相邻用户。具体为：

用户U1选择随机数x1∈Z_q ^*，计算公开值X1＝g^x1，并将X1发送给用户U2，U3和U4，U5；同理，用户U2将X2发送给U1，U5和U3，U4；用户U3将X3发送给U1，U2和U4和U5；用户U4将X4发送给U2，U3和U5，U1；用户U5将X5发送给U3，U4和U1，U2，这样就构成了一个由5个用户构成的首尾相接的用户链。

步骤602：用户U1收到了其它四个用户发送的公开值，分别是U2的X2，U3的X3，U4的X4和U5的X5，用户U1计算右侧密钥R1＝Q^x1x2x3和左侧密钥L1＝Q^x1x4x5。同理，其它用户也进行类似计算。

步骤603：用户U1计算中间值K1＝R1/L1，U2计算中间值K2＝R2/L2，U3计算中间值K3＝R3/L3，U4计算中间值K4＝R4/L4，U5计算中间值K5＝R5/L5，然后分别通过网络将中间值K1，K2，K3，K4，K5发布给组内其它用户。

步骤604：用户U1收到其它用户发送的中间值K2，K3，K4，K5后，对中间值K2，K3，K4，K5进行验证。

因为有R1等于L3，R2等于L4，R3等于L5，R4等于L1，R5等于L2，所以，用户U1可以通过R1与K3的乘积得到R3，R3与K5的乘积得到R5，R5与K2的乘积得到R2，R2与K4的乘积得到R4，R4与K1的乘积得到R1。用户U1将本步骤计算得到R1与步骤302中计算的R1进行比较，如果相同，则K2、K3、K4和K5正确，否则错误。

其它用户也用上述方法对收到的中间值进行验证。

步骤605：验证通过后，用户U1根据K1、K2、K3、K4和K5得到R1、R2、R3、R4和R5，计算会话密钥S＝R1R2R3R4R5，同理，其它用户也计算出会话密钥S＝R1R2R3R4R5。

当用户U6要加入以上的组群时，可以采用如下方法生成组群密钥：

用户U6随机选择x6∈Z_q ^*，计算公开值X6＝g^x6，然后用户U6与U1和U5交换公开值。U1、U5以及U6计算共享的密钥KT＝Q^x1x5x6。

U1和U5以会话密钥S为密钥加密KT，并将密文以广播的形式发送给U2，U3和U4。这样用户U1，U2，U3，U4和U5就共享了秘密S和KT。

用户U1，U2，U3，U4和U5将S和KT进行连接，然后进行Hash运算，得到当前的组群密钥KK，即KK＝(S‖KT)。同时，U1和U5用KT为密钥加密KK，并将其发送给用户U6，使U6也拥有组群密钥KK。

当用户U6，U7要求加入由用户U1，U2，U3，U4，U5构成的组群时，组群密钥协商过程如下：

首先，用户U6随机选择x6∈Z_q ^*，计算公开值X6＝g^x6；U7随机选择x7∈Z_q ^*，计算公开值X7＝g^x7。用户U6与U7，U1和U5交换公开值，同时，用户U7与U1，U5和U6交换公开值。

然后，用户U5，U6和U7计算得到S′＝Q^x5x6x7。用户U6，U7和U1计算得到KT′＝Q^x6x7x1。用户U6，U7以S′为密钥加密KT′，并将加密后的密文发送给用户U5。

接着，用户U5，U6和U7分别计算KT＝Hash(S′‖KT′)。用户U6，U7以KT′为密钥加密KT并将加密后的密文发送给用户U1，使用户U1也拥有了KT。

用户U1和U5以S为密钥加密KT，并将密文以广播的形式发送给用户U2，U3，U4，这样在用户U1，U2，U3，U4，U5中就共享了两个秘密值S和KT。

这五个用户将秘密S和KT进行连接，然后进行Hash运算，得到当前的组群密钥KK，即KK＝H(S‖KT)。同时，用户U1和U5以KT为密钥加密KK，并将密文其发送给用户U6和U7，使得这两个用户也拥有组群密钥KK。

当U3要退出由用户U1，U2，U3，U4，U5构成的组群。则将剩余的用户U1，U2，U4，U5组成新的组群，新组群中用户个数为偶数，执行上述组群密钥的协商方法的步骤501至步骤512，生成组群密钥KK。

实施例2

参见图7，本实施例提供了一种协商组群密钥的设备，包括：

信息交互模块701，用于根据秘密指数生成公开值，分别与左侧的两个相邻设备和右侧的两个相邻设备交换公开值，以及与其它设备进行信息交互；

中间值生成模块702，用于提取信息交互模块701收到的公开值中的秘密指数，根据公开值中的秘密指数和设备自身的秘密指数生成中间值，并通知信息交互模块701广播携带中间值的中间消息；

组群密钥生成模块703，用于验证信息交互模块701收到的中间消息中的中间值，验证通过后，根据其它设备的中间值和自身的中间值生成会话密钥，将会话密钥作为组群密钥。

实施例3

参见图8，本实施例提供了一种协商组群密钥的设备，包括：

信息交互模块801，用于根据秘密指数生成公开值，分别与左侧的两个相邻设备和右侧的两个相邻设备交换公开值，以及与其它设备进行信息交互；

中间值生成模块802，用于提取信息交互模块801收到的公开值中的秘密指数，根据公开值中的秘密指数和设备自身的秘密指数生成中间值，并通过信息交互模块801广播携带中间值的中间消息；

会话密钥生成模块803，用于验证信息交互模块801收到的中间消息中的中间值，验证通过后，根据收到的中间值和自身的中间值生成会话密钥；

新中间值生成模块804，用于通知信息交互模块801与特定设备交换携带秘密指数的公开值，并根据接收到的特定设备的公开值中的秘密指数和设备自身的秘密指数生成新中间值；

组群密钥生成模块805，用于根据新中间值生成模块504生成的新中间值和会话密钥生成新的组群密钥。

进一步地，上述设备还包括：

会话密钥加密模块，用于用新中间值生成模块804生成的新中间值加密会话密钥，并通过信息交互模块801将加密后的密文发送给特定设备；

中间值加密模块，用于用会话密钥对新中间值生成模块804生成的新中间值加密，并通过信息交互模块801广播加密后的新中间值。

实施例4

参见图9，本实施例提供了一种协商组群密钥的设备，包括：

信息交互模块901，用于根据秘密指数生成公开值，分别与组群中的多个设备交换公开值，以及与其它设备进行信息交互；

中间值生成模块902，用于提取信息交互模块901收到的公开值中的秘密指数，根据公开值中的秘密指数和设备自身的秘密指数生成中间值；

会话密钥解密模块903，用于用中间值生成模块902生成的中间值解密信息交互模块收到的密文，得到会话密钥；

中间值加密模块904，用于用会话密钥解密模块903解密出的会话密钥对中间值生成模块902生成的中间值加密，并通过信息交互模块901广播加密后的中间值。

上述方案中的全部或部分步骤可以通过指令控制相应的硬件完成，该指令可以存储于存储介质中，存储介质如计算机或服务器的硬盘或内存。

以上实施例提供的技术方案基于椭圆曲线的密码体制，基于椭圆曲线的密码体制与RSA和El Gamal等密码体制相比，具有很高的单比特安全性，并且在未来计算能力逐渐提升的情况下与RSA和El Gamal的体制相比具有更强的竞争力。

该体制可以在固定的通信轮数下完成密钥协商过程，也就是说该密钥协商的通信轮数与组群中成员的人数无关。相对于现有技术，本发明有如下优点：

a)在多个用户加入的过程中，首先计算了要求加入的用户组群的共享密钥，然后将此密钥与原始组群的密钥进行合并得到更新的组群密钥，提高了协议的效率。

b)密钥协商过程中用的通信轮数较少。例如，组群中有n个用户，如果应用现有技术，完成密钥协商过程需要进行Log(n)轮的通信，而使用本发明实施例提供的方案，只需要两轮的通信就可以完成，提高了通信的实时性。

c)通信量小。由于密钥协商的轮数与成员的人数无关，使得在成员较多，即n比较大的情况下，可以明显的减小密钥协商的通信量。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种协商组群密钥的方法，其特征在于，当组群内的用户总数为奇数时，所述方法包括：

当组群内的用户总数为偶数时，所述方法包括：

2.如权利要求1所述的协商组群密钥的方法，其特征在于，所述方法基于椭圆曲线的双线性对映射，系统参数包括两个阶为q，且建立在椭圆曲线上的循环乘群G1和G2，g是所述循环乘群G1的生成子，所述G1和G2有可计算的双线性映射，g与g的双线性映射为Q。

3.如权利要求2所述的协商组群密钥的方法，其特征在于，所述步骤A包括：

用户从

中选择一个随机数作为秘密指数，以所述系统参数中的g为底数，所述秘密指数为指数得到公开值，并将所述公开值发送给左侧相邻的两个用户和右侧相邻的两个用户。

4.如权利要求2所述的协商组群密钥的方法，其特征在于，所述步骤B包括：

所述用户收到所述相邻用户发送的公开值后，以所述系统参数中的Q为底数，以左侧相邻用户发送的公开值中的秘密指数和自身的秘密指数的乘积为指数生成左侧共享密钥；以右侧相邻用户发送的公开值中的秘密指数和自身的秘密指数的乘积为指数生成右侧共享密钥；

所述用户将所述右侧共享密钥除以左侧共享密钥，得到中间值，广播携带所述中间值的中间消息。

5.如权利要求4所述的协商组群密钥的方法，其特征在于，所述步骤C包括：

所述用户收到其它用户的中间消息后，根据所收到的中间消息中的中间值计算左侧共享密钥，比较计算的所述左侧共享密钥与所述步骤B中生成的左侧共享密钥是否相等，相等则所收到的中间消息中的中间值正确；

验证通过后，根据所述其它用户的中间值和自身的中间值计算其它用户的右侧共享密钥，将每个右侧共享密钥相乘得到会话密钥；

将所述会话密钥作为组群密钥。

6.如权利要求1所述的协商组群密钥的方法，其特征在于，所述步骤E1包括：

所述特定用户和所述新的组群内的每个用户将所述新中间值和所述会话密钥进行连接，对连接后的结果进行哈希运算得到新的组群密钥。

7.如权利要求1所述的协商组群密钥的方法，其特征在于，当有多个新用户加入原组群时，所述方法还包括：

从所述原组群中选出多个用户，将所选出的多个用户与所述多个新用户组成新的组群，根据新的组群中用户的总数执行所述步骤A至所述步骤C或所述步骤A1至所述步骤E1，得到所述新的组群的组群密钥；

所述选出的多个用户用所述会话密钥加密所述新组群的组群密钥，并广播加密后的密文；

所述原组群中用户收到所述密文后，用所述会话密钥解密得到所述新组群的组群密钥；所述原组群中的用户根据所述会话密钥和所述新组群的组群密钥生成当前组群的组群密钥；

所述选出的多个用户用所述新组群的组群密钥加密所述当前组群的组群密钥，并将加密后的密钥发送给所述多个新用户；

所述多个新用户对加密后的密钥进行解密，得到所述当前组群的组群密钥。

8.如权利要求1所述的协商组群密钥的方法，其特征在于，当有多个用户退出原组群时，所述方法还包括：

将所述原组群中剩余的用户组成新的组群，根据新的组群中用户的总数执行所述步骤A至所述步骤C或所述步骤A1至所述步骤E1，得到所述新的组群的组群密钥。

9.一种协商组群密钥的设备，其特征在于，所述设备包括：

10.一种协商组群密钥的设备，其特征在于，所述设备包括：

11.如权利要求10所述的协商组群密钥的设备，其特征在于，所述设备还包括：

会话密钥加密模块，用于用所述新中间值生成模块生成的新中间值加密所述会话密钥，并通过所述信息交互模块将加密后的密文发送给所述特定设备；

中间值加密模块，用于用所述会话密钥对所述所述新中间值生成模块生成的新中间值加密，并通过所述信息交互模块广播加密后的所述新中间值。

12.一种协商组群密钥的设备，其特征在于，所述设备包括：