CN101488849B - 一种基于n维球面的群组密钥管理方法 - Google Patents

Abstract

本发明公开了一种基于N维球面的群组密钥管理方法，初始化后，当有新用户加入时，群组管理器接受用户加入并为新用户编号，当有用户退出时，群组管理器删除退出用户的秘密信息，如果同时有用户加入和退出时，则同时删除退出用户的秘密信息、接受新用户加入、为新用户编号和接收新用户秘密信息，然后群组管理器选择映射参数，将群组中的各个用户以及自身的秘密信息分别映射成空间中的点；求解这些点组成的球面的中心，并公布中心、映射参数，有退出用户的还要公布退出用户的编号；群组中的用户根据自身编号求解对应的空间点，进而求出群组密钥。本发明能有效的减少用户存储信息、计算量、密钥更新时信息数，并保持密钥间的相互独立。

Description

一种基于N维球面的群组密钥管理方法

技术领域

本发明涉及网络安全中的群组密钥管理方法，具体是涉及一种基于N维球面的群组密钥管理方法。

背景技术

随着因特网的不断发展和组播技术应用的普及，面向群组的应用，如视频会议、网络游戏、视频点播等，正发挥着越来越重要的作用。如何保证这些应用的通信安全也就越来越重要。一般而言，一个安全的群组通信系统不仅应该能提供数据的保密性、用户的认证及消息的完整性，而且也应该具有良好的扩展性；而这一切都离不开一个安全、高效和健壮的群组密钥管理系统。

目前群组密钥管理系统的研究成果主要有：GKMP、SL、GDH及其改进、LKH及其改进：(假设n为群组用户数)

GKMP(Group Key Management Protocol，组密钥管理协议)是单播的安全技术向多播技术的直接拓展，由群组的管理者和每个用户建立安全连接，在需要更新密钥时由群组的管理者将新的群组密钥一对一的加密、传输至用户。一次用户发生变化，群组的管理者需要执行n次加密和传输n条信息。

SL(Secure Lock，安全锁)利用中国剩余定理将密钥更新时的所有信息整合为一条，但是由于中国剩余定理的计算比较耗时，而且整合出来的消息长度会很长——与用户数成正比，因此该方案只能适用于小规模群组。

GDH(Group Diffie-Hellman，组Diffie-Hellman密钥管理协议)及其改进在协商密钥的过程中需要花费相当大的开销。运算量最少的非序列化GDH(NON-SERIAL GDH)方案的通信总量高达n(n-1)，而通信量最少的GDH版本2(GDH.2)的运算量又高达n(n+3)/2-1。

LKH(Logical Key Hierarchy，逻辑密钥树)及其改进采用树形结构来组织用户。群组的管理者首先构建一棵β叉密钥树，其中每个节点都对应一个密钥，根节点对应群组密钥，叶节点对应用户密钥。每个用户持有从叶节点到根节点这一路径上所有密钥。在单个用户发生变化时，它将密钥更新的计算量和传输信息量都降到了O(log n)。但是当有多个用户同时发生变化时，其开销将随发生变化的用户数而大大增加。

发明内容

本发明的目的在于克服现有技术的缺点和不足，利用“已知满足一定条件的N+1个N维空间上的点，可以唯一确定一个N维球面(N-sphere/hyper sphere/N维圆)，而且这N+1个点到球面中心的距离都为半径”的数学原理，提供了一种基于N维球面的群组密钥管理方法。该方法能有效的减少用户的存储信息、用户计算量、密钥更新时信息数，以及加强了密钥间的相互独立。

本发明的目的通过下述技术方案实现：一种基于N维球面的群组密钥管理方法，包括以下步骤：

(1)初始化：群组管理器选择自身秘密信息，设定群组有限域GF(p)和二元哈希函数h(·，·)，并纳入第一个用户；其中GF(p)指定了群组运算所在的有限域，即所有的群组运算过程都在有限域GF(p)中进行；

(2)用户加入：群组管理器接受用户加入并为其编号，同时要求各新加入用户发送一秘密信息至群组管理器；群组管理器选择映射参数，将自身的秘密信息以及群组中各个用户的秘密信息分别映射成空间中的点，如果这些点不能唯一确定一球面则更改映射参数进行重映射；求解这些点组成的球面的中心；群组管理器公布中心、映射参数；群组各用户则根据自身编号和群组管理器公布的中心及映射参数求解对应的空间点，进而求出群组密钥；

(3)用户退出：群组管理器删除各退出用户的秘密信息，群组管理器选择映射参数，将自身的秘密信息以及余下各用户的秘密信息重新映射成空间中的点，如果这些点不能唯一确定一球面则更改映射参数进行重映射；求解这些点组成的球面的中心；群组管理器公布中心、映射参数、所有退出用户的编号；群组里的余下用户根据编号的大小依次从1开始重新排序，排序后用户的编号表示为1、2、3、4......；群组中的余下用户根据新编号和群组管理器公布的中心及映射参数求解所对应的空间点，进而求出群组密钥；

(4)用户同时加入、退出：群组管理器删除各退出用户的秘密信息，为各新加入用户编号，同时要求各新加入用户发送一秘密信息至群组管理器；群组管理器选择映射参数，将自身的秘密信息以及各用户的秘密信息重新映射成空间中的点，如果这些点不能唯一确定一球面则更改映射参数进行重映射；求解这些点组成的球面的中心；群组管理器公布中心、映射参数、所有退出用户的编号；群组里的所有用户根据编号的大小依次从1开始重新排序，排序后用户的编号表示为1、2、3、4......；群组里的用户根据新编号和群组管理器公布的中心及映射参数求解所对应的空间点，进而求出群组密钥。

为更好的实现本发明，所述步骤(1)初始化，具体包括以下步骤：

(1.1)群组管理器选择秘密信息，即群组管理器选择2个不同二维点A_-1(a_-1，0，a_-1，1)、A₀(a₀₀，a₀₁)并秘密保存；选择二元哈希函数h(·，·)、大素数p并公开；其中p指定了群组运算所在的有限域-GF(p)，即所有的群组运算过程都在有限域GF(p)中进行，a_-1，0、a_-1，1、a₀₀、a₀₁为GF(p)中的整数；

(1.2)将第一个用户U₁纳入群组，一般第一个用户为群组发起者：

a)在对用户进行认证之后，群组管理器给用户分发编号ID＝1；同时要求该用户选择二维点A₁(a₁₀，a₁₁)并安全发送至群组管理器；其中a₁₀、a₁₁为GF(p)中的整数，且a₁₀≠a₁₁，a₁₀≠0，a₁₁≠0；

b)群组管理器存储点A₁(a₁₀，a₁₁)并选择一个映射参数u₀，将用户的秘密信息以及自身的秘密信息分别映射成空间中的点：

计算B_j(b_j0，b_j1)＝(h(a_j-1，0，u₀)，h(a_j-1，1，u₀))；若2(b₀₀-b₁₀)·2(b₁₁-b₂₁)-2(b₁₀-b₂₀)·2(b₀₁-b₁₁)＝0，则重选映射参数u₀并重新计算B_j；其中j＝0、1、2，u₀为随机整数，a_j-1，0、a_j-1，1为秘密信息A_j-1的两个维的值，b_j0为a_j-1，0经哈希函数作用之后的值，b_j1为a_j-1，1经哈希函数作用之后的值，由b_j0、b_j1组成的点B_j即为秘密信息A_j-1各个维经哈希函数作用之后的点；

c)利用B_j构造方程组，求解这些点组成的球面的中心C₀(c₀₀，c₀₁)：

$\left.\begin{array}{c}{(b_{00}-c_{00})}^2+{(b_{01}-c_{01})}^2={R_0}^2\\ {(b_{10}-c_{00})}^2+{(b_{11}-c_{01})}^2={R_0}^2\\ {(b_{20}-c_{00})}^2+{(b_{21}-c_{01})}^2={R_0}^2\end{array}\right\}$

将方程组中的上式减去下式：

$\left.\begin{array}{c}2(b_{00}-b_{10})c_{00}+2(b_{01}-b_{11})c_{01}={b_{00}}^2+{b_{01}}^2-{b_{10}}^2-{b_{11}}^2\\ 2(b_{10}-b_{20})c_{00}+2(b_{11}-b_{21})c_{01}={b_{10}}^2+{b_{11}}^2-{b_{20}}^2-{b_{21}}^2\end{array}\right\}$

由b)中2(b₀₀-b₁₀)·2(b₁₁-b₂₁)-2(b₁₀-b₂₀)·2(b₀₁-b₁₁)≠0可保证上述方程组有唯一解；

d)群组管理器组播二维球面的中心C₀(c₀₀，c₀₁)，映射参数u₀；

e)用户U₁计算群组密钥：

K₁＝R₀ ²-||C₀||²＝h(a₁₀，u₀)²+h(a₁₁，u₀)²-2h(a₁₀，u₀)c₀₀-2h(a₁₁，u₀)c₀₁，其中R₀是上述所求以C₀为球面中心二维球面的半径，||C₀||²为C₀的模的平方，即||C₀||²＝c₀₀ ²+c₀₁ ²，K₁是用户U₁计算出的密钥，即群组密钥。

所述步骤(2)用户加入，具体包括以下步骤：

(2.1)假设当前群组中有n-δ个用户，有δ个用户加入，其中(n-δ)≥1，δ≥1，则δ个用户加入后共有n个用户，群组管理器接受各新用户加入，并给各新用户一个编号ID，即(n-δ)+1、(n-δ)+2、......、(n-δ)+δ；同时要求各新加入用户各自选择一秘密信息，即一个二维点A_x(a_x0，a_x1)并安全发送至群组管理器，其中a_x0≠a_x1，且a_x0≠0，a_x1≠0；群组管理器存储各二维点A_x(a_x0，a_x1)，x＝(n-δ)+1、(n-δ)+2、......、(n-δ)+δ；

(2.2)群组管理器选择映射参数u₁，将自身以及各个用户的秘密信息分别映射成空间中的点：

群组管理器利用其所存储的全部秘密信息即二维点A_i(a_i0，a_i1)，计算B_i(b_i0，b_i1)＝(h(a_i0，u₁)，h(a_i1，u₁))；然后调整B_i点的下标，按其下标原本大小依次从0开始重新排序为B_r，r＝0、1、...、n+1；其中A_i(a_i0，a_i1)表示群组中的二维点，B_i(b_i0，b_i1)为A_i(a_i0，a_i1)各个维经二元哈希函数h(·，·)作用之后所得的点，b_i0对应a_i0经二元哈希函数作用之后的值，b_i1对应a_i1经二元哈希函数作用之后的值，i表示各个用户秘密值即二维点的下标，B_r是经B_i调整其下标i，按其下标原本大小依次从0开始重新排序后得到的；若 $[2(b_{00}-b_{10})\·2(b_{11}-b_{21})-2(b_{10}-b_{20})\·2(b_{01}-b_{11})]\·\underset{t=3}{\overset{n+1}{\mathrm{\Π}}}(-{2b}_{t1})\text{=0,}$ 则重新进行步骤(2.2)；

(2.3)求解这些点组成的球面的中心C₁(c₁₀，c₁₁，c₁₂...，c_1n)：

扩展B_r：当r＝0、1时，将B_r补零扩展成n+1维向量V_r(b_r0，b_r1，0...0)；当r＝2、3、...、n+1，将B_r扩展成n+1维向量V_r(b_r0，0...0，b_r1，0...0)，即在b_r0与b_r1间补r-2个0，b_r1之后补n+1-r个0，构造方程组：

$\left.\begin{array}{c}{(b_{00}-c_{10})}^2+{(b_{01}-c_{11})}^2+{(0-c_{12})}^2+{(0-c_{13})}^2...+{(0-c_{1n})}^2={R_1}^2\\ {(b_{10}-c_{10})}^2+{(b_{11}-c_{11})}^2+{(0-c_{12})}^2+{(0-c_{13})}^2...+{(0-c_{1n})}^2={R_1}^2\\ {(b_{20}-c_{10})}^2+{(b_{21}-c_{11})}^2+{(0-c_{12})}^2+{(0-c_{13})}^2...+{(0-c_{1n})}^2={R_1}^2\\ {(b_{30}-c_{10})}^2+{(0-c_{11})}^2+{(b_{31}-c_{12})}^2+{(0-c_{13})}^2...+{(0-c_{1n})}^2={R_1}^2\\ {(b_{40}-c_{10})}^2+{(0-c_{11})}^2+{(0-c_{12})}^2+{(b_{41}-c_{13})}^2...+{(0-c_{1n})}^2={R_1}^2\\ ............\\ {(b_{n+\mathrm{1,0}}-c_{10})}^2+{(0-c_{11})}^2+(0-c_{12})+{(0-c_{13})}^2...+{(b_{n+\mathrm{1,1}}-c_{1n})}^2={R_1}^2\end{array}\right\}$

将方程组中的上式减去下式：

$\left[\begin{array}{cccccc}2(b_{00}-b_{10})& 2(b_{01}-b_{11})& 0& ...& ...& 0\\ 2(b_{10}-b_{20})& 2(b_{11}-b_{21})& 0& ...& ...& 0\\ 2(b_{20}-b_{30})& 2b_{21}& -{2b}_{31}& 0& ...& 0\\ 2(b_{30}-b_{40})& 0& 2b_{31}& -{2b}_{41}& 0...& 0\\ & & .......& & & \\ 2(b_{n0}-b_{n+\mathrm{1,0}})& 0& ...& 0& 2b_{n1}& -{2b}_{n+\mathrm{1,1}}\end{array}\right]\left[\begin{array}{c}{c}_{10}\\ c_{11}\\ c_{12}\\ c_{13}\\ ...\\ c_{1n}\end{array}\right]=\left[\begin{array}{c}{b_{00}}^2+{b_{01}}^2-{b_{10}}^2-{b_{11}}^2\\ {b_{10}}^2+{b_{11}}^2-{b_{20}}^2-{b_{21}}^2\\ {b_{20}}^2+{b_{21}}^2-{b_{30}}^2-{b_{31}}^2\\ {b_{30}}^2+{b_{31}}^2-{b_{40}}^2-{b_{41}}^2\\ ...\\ {b_{n0}}^2+{b_{n1}}^2-{b_{n+\mathrm{1,0}}}^2-{b_{n+\mathrm{1,1}}}^2\end{array}\right]$

由(2.2)可知 $[2(b_{00}-b_{10})\·2(b_{11}-b_{21})-2(b_{10}-b_{20})\·2(b_{01}-b_{11})]\·\underset{t=3}{\overset{n+1}{\mathrm{\Π}}}\left({-2b}_{t1}\right)\≠0,$ 故可保证上述方程组有唯一解；

(2.4)群组管理器组播该球面中心C₁(c₁₀，c₁₁，c₁₂...，c_1n)和映射参数u₁；

(2.5)各个用户计算密钥：所有用户通过公式计算群组的密钥K_i＝R₁ ²-||C₁||²＝h(a_i0，u₁)²+h(a_i1，u₁)²-2h(a_i0，u₁)c₁₀-2h(a_i1，u₁)c_1d，其中K_i表示秘密值下标为i的用户计算出的密钥，a_i0、a_i1对应该用户自身秘密信息--二维点中的两个数，d为该用户的编号，即ID，R₁是上述所求以C₁为球面的球面的半径，||C₁||²为C₁的模的平方，即 ${\left|\right|C_1\left|\right|}^2=\underset{m=0}{\overset{n}{\mathrm{\Σ}}}{c_{1m}}^2.$

所述步骤(3)用户退出，具体包括以下步骤：

(3.1)假设当前群组中有n+f个用户，有f个用户退出，其中(n+f)≥2，f≥1，则f个用户退出后群组中共有n个用户，并且群组管理器删去所有退出用户的秘密信息，即二维点；

(3.2)群组管理器选择映射参数u₂，将自身的秘密信息以及各个余下用户的秘密信息分别映射成空间中的点：

群组管理器利用其所存储的全部秘密信息即二维点A_i(a_i0，a_i1)，计算B_i(b_i0，b_i1)＝(h(a_i0，u₂)，h(a_i1，u₂))；然后调整B_i点的下标，按其下标原本大小依次从0开始重新排序为B_r，其中r＝0、1、...、n+1；

若 $[2(b_{00}-b_{10})\·2(b_{11}-b_{21})-2(b_{10}-b_{20})\·2(b_{01}-b_{11})]\·\underset{t=3}{\overset{n+1}{\mathrm{\Π}}}(-{2b}_{t1})\text{=0,}$ 则重新进行步骤(3.2)；

(3.3)求解这些点组成的球面的中心C₂(c₂₀，c₂₁，c₂₂...，c_2n)：

扩展B_r：当r＝0、1时，将B_r补零扩展成n+1维向量V_r(b_r0，b_r1，0...0)；当r＝2、3、...、n+1时，将B_r扩展成n+1维向量V_r(b_r0，0...0，b_r1，0...0)，即在b_r0与b_r1间补r-2个0，b_r1之后补n+1-r个0，构造方程组：

$\left.\begin{array}{c}{(b_{00}-c_{20})}^2+{(b_{01}-c_{21})}^2+{\left({0-c}_{22}\right)}^2+{(0-c_{23})}^2...+{\left({0-c}_{2n}\right)}^2={R_2}^2\\ {(b_{10}-c_{20})}^2+{(b_{11}-c_{21})}^2+{\left({0-c}_{22}\right)}^2+{\left({0-c}_{23}\right)}^2...+{\left({0-c}_{2n}\right)}^2={R_2}^2\\ {(b_{20}-c_{20})}^2+{(b_{21}-c_{21})}^2+{\left({0-c}_{22}\right)}^2+{\left({0-c}_{23}\right)}^2...+{\left({0-c}_{2n}\right)}^2={R_2}^2\\ {(b_{30}-c_{20})}^2+{\left({0-c}_{21}\right)}^2+{(b_{31}-c_{22})}^2+{\left({0-c}_{23}\right)}^2...+{\left({0-c}_{2n}\right)}^2={R_2}^2\\ {(b_{40}-c_{20})}^2+{(0-c_{21})}^2+{\left({0-c}_{22}\right)}^2+{(b_{41}-c_{23})}^2...+{\left({0-c}_{2n}\right)}^2={R_2}^2\\ ...........\\ {(b_{n+\mathrm{1,0}}-c_{20})}^2+{\left({0-c}_{21}\right)}^2+(0-c_{22})+{\left({0-c}_{23}\right)}^2...+{(b_{n+\mathrm{1,1}}-c_{2n})}^2={R_2}^2\end{array}\right\}$

将方程组中的上式减去下式：

$\left[\begin{array}{cccccc}2(b_{00}-b_{10})& 2(b_{01}-b_{11})& 0& ...& ...& 0\\ 2(b_{10}-b_{20})& 2(b_{11}-b_{21})& 0& ...& ...& 0\\ 2(b_{20}-b_{30})& 2b_{21}& -{2b}_{31}& 0& ...& 0\\ 2(b_{30}-b_{40})& 0& 2b_{31}& -{2b}_{41}& 0...& 0\\ & & .......& & & \\ 2(b_{n0}-b_{n+\mathrm{1,0}})& 0& ...& 0& 2b_{n1}& -{2b}_{n+\mathrm{1,1}}\end{array}\right]\left[\begin{array}{c}{c}_{20}\\ c_{21}\\ c_{22}\\ c_{23}\\ ...\\ c_{2n}\end{array}\right]=\left[\begin{array}{c}{b_{00}}^2+{b_{01}}^2-{b_{10}}^2-{b_{11}}^2\\ {b_{10}}^2+{b_{11}}^2-{b_{20}}^2-{b_{21}}^2\\ {b_{20}}^2+{b_{21}}^2-{b_{30}}^2-{b_{31}}^2\\ {b_{30}}^2+{b_{31}}^2-{b_{40}}^2-{b_{41}}^2\\ ...\\ {b_{n0}}^2+{b_{n1}}^2-{b_{n+\mathrm{1,0}}}^2-{b_{n+\mathrm{1,1}}}^2\end{array}\right]$

由(3.2)可知 $[2(b_{00}-b_{10})\·2(b_{11}-b_{21})-2(b_{10}-b_{20})\·2(b_{01}-b_{11})]\·\underset{t=3}{\overset{n+1}{\mathrm{\Π}}}\left({-2b}_{t1}\right)\≠0,$ 故可保证上述方程组有唯一解；

(3.4)群组管理器组播C₂、u₂、所有退出用户的编号ID；

(3.5)各个余下用户计算密钥：群组中的余下用户将自己的编号与所有退出用户的编号进行比较，求出比自己编号小的退出用户个数，表示为e，群组中余下的用户各自修改自身编号：ID＝ID-e，各个余下用户求出的e不一定相同，f≥e≥0；各个余下用户通过公式计算群组的密钥K_i＝R₂ ²-||C₂||²＝h(a_i0，u₂)²+h(a_i1，u₂)²-2h(a_i0，u₂)c₂₀-2h(a_i1，u₂)c_2d，其中K_i表示秘密值下标为i的用户计算出的密钥，a_i0、a_i1对应该秘密值下标为i的用户自身秘密信息即二维点中的两个数，此时d为该用户修改后的编号ID，R₂是上述所求以C₂为球面中心球面的半径，||C₂||²为C₂的模的平方，即 ${\left|\right|C_2\left|\right|}^2=\underset{m=0}{\overset{n}{\mathrm{\Σ}}}{c_{2m}}^2.$

所述步骤(4)用户同时退出、加入，具体包括以下步骤：

(4.1)假设当前群组中有n+w-v个用户，w个用户要退出群组，v个用户同时要加入群组，其中1≤w≤(n+w-v)，1≤v，则在用户同时加入退出群组后，群组共有n个用户；

群组管理器删除各退出用户对应的秘密信息，即其二维点，并为新加入的用户按顺序编号，即(n+w-v)+1、(n+w-v)+2、......、(n+w-v)+v；同时要求各新加入用户各自选择一秘密信息，即一个二维点A_y(a_y0，a_y1)并安全发送至群组管理器，其中a_y0≠a_y1，且a_y0≠0，a_y1≠0；群组管理器存储各点A_y(a_y0，a_y1)，y＝(n+w-v)+1、(n+w-v)+2、......、(n+w-v)+v；

(4.2)群组管理器选择映射参数u₃，将各个用户的秘密信息以及自身的秘密信息分别映射成空间中的点：

利用所存储的全部秘密信息即二维点A_i(a_i0，a_i1)，计算B_i(b_i0，b_i1)＝(h(a_i0，u₃)，h(a_i1，u₃))；然后调整B_i点的下标，按其下标原本大小依次从0开始重新排序为B_r，其中r＝0、1、...、n+1；

若 $[2(b_{00}-b_{10})\·2(b_{11}-b_{21})-2(b_{10}-b_{20})\·2(b_{01}-b_{11})]\·\underset{t=3}{\overset{n+1}{\mathrm{\Π}}}(-{2b}_{t1})\text{=0,}$ 则重新进行步骤(4.2)；

(4.3)求解这些点组成的球面的中心C₃(c₃₀，c₃₁，c₃₂...，c_3n)：

扩展B_r：当r＝0、1时，将B_r补零扩展成n+1维向量V_r(b_r0，b_r1，0...0)；当r＝2、3、...、n+1时，将B_r扩展成n+1维向量V_r(b_r0，0...0，b_r1，0...0)，即在b_r0与b_r1间补r-2个0，b_r1之后补n+1-r个0，构造方程组：

$\left.\begin{array}{c}{(b_{00}-c_{30})}^2+{(b_{01}-c_{31})}^2+{\left({0-c}_{32}\right)}^2+{(0-c_{33})}^2...+{\left({0-c}_{3n}\right)}^2={R_3}^2\\ {(b_{10}-c_{30})}^2+{(b_{11}-c_{31})}^2+{\left({0-c}_{32}\right)}^2+{\left({0-c}_{33}\right)}^2...+{\left({0-c}_{3n}\right)}^2={R_3}^2\\ {(b_{20}-c_{30})}^2+{(b_{21}-c_{31})}^2+{\left({0-c}_{32}\right)}^2+{\left({0-c}_{33}\right)}^2...+{\left({0-c}_{3n}\right)}^2={R_3}^2\\ {(b_{30}-c_{30})}^2+{\left({0-c}_{31}\right)}^2+{(b_{31}-c_{32})}^2+{\left({0-c}_{33}\right)}^2...+{\left({0-c}_{3n}\right)}^2={R_3}^2\\ {(b_{40}-c_{30})}^2+{(0-c_{31})}^2+{\left({0-c}_{32}\right)}^2+{(b_{41}-c_{33})}^2...+{\left({0-c}_{3n}\right)}^2={R_3}^2\\ ...........\\ {(b_{n+\mathrm{1,0}}-c_{30})}^2+{\left({0-c}_{31}\right)}^2+(0-c_{32})+{\left({0-c}_{33}\right)}^2...+{(b_{n+\mathrm{1,1}}-c_{3n})}^2={R_3}^2\end{array}\right\}$

将方程组中的上式减去下式：

$\left[\begin{array}{cccccc}2(b_{00}-b_{10})& 2(b_{01}-b_{11})& 0& ...& ...& 0\\ 2(b_{10}-b_{20})& 2(b_{11}-b_{21})& 0& ...& ...& 0\\ 2(b_{20}-b_{30})& 2b_{21}& -{2b}_{31}& 0& ...& 0\\ 2(b_{30}-b_{40})& 0& 2b_{31}& -{2b}_{41}& 0...& 0\\ & & .......& & & \\ 2(b_{n0}-b_{n+\mathrm{1,0}})& 0& ...& 0& 2b_{n1}& -{2b}_{n+\mathrm{1,1}}\end{array}\right]\left[\begin{array}{c}{c}_{30}\\ c_{31}\\ c_{32}\\ c_{33}\\ ...\\ c_{3n}\end{array}\right]=\left[\begin{array}{c}{b_{00}}^2+{b_{01}}^2-{b_{10}}^2-{b_{11}}^2\\ {b_{10}}^2+{b_{11}}^2-{b_{20}}^2-{b_{21}}^2\\ {b_{20}}^2+{b_{21}}^2-{b_{30}}^2-{b_{31}}^2\\ {b_{30}}^2+{b_{31}}^2-{b_{40}}^2-{b_{41}}^2\\ ...\\ {b_{n0}}^2+{b_{n1}}^2-{b_{n+\mathrm{1,0}}}^2-{b_{n+\mathrm{1,1}}}^2\end{array}\right]$

由(4.2)可知 $[2(b_{00}-b_{10})\·2(b_{11}-b_{21})-2(b_{10}-b_{20})\·2(b_{01}-b_{11})]\·\underset{t=3}{\overset{n+1}{\mathrm{\Π}}}\left({-2b}_{t1}\right)\≠0,$ 故可保证上述方程组有唯一解；

(4.4)群组管理器组播C₃、u₃、所有退出用户的编号ID；

(4.5)各个用户计算密钥：群组中的用户将自己的编号与所有退出用户的编号进行比较，求出比自己编号小的退出用户个数，表示为e，群组中的用户各自修改自身编号：ID＝ID-e，各个余下用户求出的e不一定相同，w≥e≥0；各个用户通过公式计算群组密钥K_i＝R₃ ²-||C₃||²＝h(a_i0，u₃)²+h(a_i1，u₃)²-2h(a_i0，u₃)c₃₀-2h(a_i1，u₃)c_3d，其中K_i表示秘密值下标为i的用户计算出的密钥，a_i0、a_i1对应该秘密值下标为i的用户自身秘密信息，即二维点中的两个数，此时d为该用户修改后的编号ID，R₃是上述所求以C₃为球面中心球面的半径，||C₃||²为C³的模的平方，即 ${\left|\right|C_2\left|\right|}^2=\underset{m=0}{\overset{n}{\mathrm{\Σ}}}{c_{3m}}^2.$

当一段时间内没有发生密钥更新时，所述群组管理器为保证系统的安全，重新选映射参数，将自身的秘密信息以及群组中各个用户的秘密信息分别映射成空间中的点，如果这些点不能唯一确定一球面则更改映射参数进行重映射；求解这些点组成的球面的中心；群组管理器公布中心、映射参数；群组各用户根据自身编号和群组管理器公布的中心及映射参数求解对应的空间点，进而求出群组密钥。

本发明的作用原理是：利用“已知满足一定条件的N+1个N维空间上的点，可以唯一确定一个N维球面(N-sphere/hyper sphere/N维圆)，而且这N+1个点到球面中心的距离都为半径”的数学原理，设计了基于N维球面的群组密钥管理方案。在多维空间中，N维球面的方程可表示为：

(g₀-c₀)²+(g₁-c₁)²+...+(g_N-1-c_N-1)²＝R²        (1)

其中C(c₀，c₁，...，c_N-1)为中心，R为半径，G(g₀，g₁，...，g_N-1)为球面上的点，g₀、g₁……、g_N-1为整数，表示G点的第一、二、……、N维。对于N维空间中的任意N+1个点Q_s(q_s0，q_s1，...，q_s，N-1)，s＝0、1、……、N，当满足一定条件时，可唯一确定一个N维球面。计算方法如下：把Q₀，Q₁，...，Q_N代入式(1)，可得解方程组(2)： $\left[\begin{array}{c}{(q_{00}-c_0)}^2+{(q_{01}-c_1)}^2+...+{(q_{0,N-1}-c_{N-1})}^2=R^2\\ {(q_{10}-c_0)}^2+{(q_{11}-c_1)}^2+...+{(q_{1,N-1}-c_{N-1})}^2=R^2\\ ............\\ {(q_{N0}-c_0)}^2+{(q_{N1}-c_1)}^2+...+{(q_{N,N-1}-c_{N-1})}^2=R^2\end{array}\right]$

将方程组(2)的上一式减去下一式，可以得到下列的N个关于c₀，c₁，...，c_N-1的线性方程组：

$\left.\begin{array}{c}2(q_{00}-q_{10})c_0+...+2(q_{0,N-1}-q_{1,N-1})c_{N-1}=\underset{l=0}{\overset{N-1}{\mathrm{\Σ}}}{q}_{0l}^2-\underset{l=0}{\overset{N-1}{\mathrm{\Σ}}}{q}_{1l}^2\\ ............\\ 2(q_{N-\mathrm{2,0}}-q_{N-\mathrm{1,0}})c_0+...+2(q_{N-2,N-1}-q_{N-1,N-1})c_{N-1}=\underset{l=0}{\overset{N-1}{\mathrm{\Σ}}}{q}_{N-2,l}^2-\underset{l=0}{\overset{N-1}{\mathrm{\Σ}}}{q}_{N-1,l}^2\end{array}\right\}$

如果该线性方程组的系数矩阵行列式不为零，则可以得到c₀，c₁，...，c_N-1的一组唯一解，并且可以知道Q_s到C(c₀，c₁，...，c_N-1)的距离都等于半径R，l＝0、1、……、N-1。

本发明与现有技术相比，具有如下优点和有益效果：

第一，用户存储量少、计算量少：用户存储量为两个秘密整数，更新密钥时的计算量为2次哈希函数和数次有限域运算。虽然群组管理器存储量为O(n)，密钥更新时的主要计算量--多元一次线性方程组的求解复杂度为O(n)，但是在相同的安全保障下，通过增加用户存储秘密数的个数(并不增加存储量)，可以降低p的位数，即减小了有限域GF(p)的大小，从而进一步减少开销，假设有n个用户，用户存储两个数且p为64bit的数，则一次密钥更新的通信量约为64(n+1)bit，但如果用户存储4个数且大素数p为32bit的数，则通信开销约为32(n+3)bit。其中用户存储4个数时的相应变化为--初始化时群组管理器选择4个秘密向量，用户加入时选择4维点，则扩展向量时由群组管理器秘密向量转换的向量扩为V_r(b_r0，b_r1，b_r2，b_r3，0...0)，其余的扩展为V_r(b_r0，b_r1，b_r2，，0...0，b_r3，0...0)；

第二，密钥更新时的信息数为1条；该信息包括群组管理器公布的中心、映射参数，如果更新由用户退出引起，则还包含退出用户的ID，一条更新信息在需要群组管理器给信息签名时能大大减少群组管理器的开销；

第三，当有多个用户同时发生变化时，密钥更新的开销并不会随用户数增加而成倍增长；由于多个用户的退出、加入都只需一次处理过程，这就使系统具有良好的批处理能力；

第四，各个时刻的群组密钥间是互相独立的，因为每次参与计算的值都是经过哈希函数之后的B_i(b_i0，b_i1)(其中B_i(b_i0，b_i1)是指群组中二维点的各个维经哈希函数作用之后所得的点)，从哈希函数的性质我们可以认为每次求解所得的球面中心和半径都是互不相同且无相互依赖关系，所以某一时刻群组密钥的暴露并不会影响其他时刻群组密钥的安全，而且群组密钥的暴露并不会造成用户秘密信息的暴露，这对于高机密要求的系统尤为重要；

第五，有效的避免了被离线猜测攻击、共谋攻击、穷举攻击：1、在得知球面中心和半径的情况下，是无法求得B_i(b_i0，b_i1)的，这就避免了用户秘密数多次参与运算而暴露出某些规律被发现，也就避免了被离线猜测攻击；2、即使任意多的用户一起共谋都无法求得群组管理器的两个秘密信息，这就有效的避免了共谋攻击；3、因用户的秘密信息是由两个数构成的，假设p为64bit的数，故其穷举空间为2⁶⁴×2⁶⁴，这就达到了对称密钥128bit的安全级别，如以每秒进行1000万亿次验证，则需要约1.08*10¹⁶年，这就有效的避免了穷举攻击。

附图说明

图1是本发明优选实施例的安全群组通信系统架构示意图；

图2是本发明优选实施例中群组管理器初始化后的状态示意图；

图3是本发明优选实施例中用户加入时的系统状态示意图；

图4是本发明优选实施例中用户加入时群组管理器的运算的过程；

图5是本发明优选实施例中用户加入时用户计算密钥的运算过程；

图6是本发明优选实施例中用户退出时的系统状态示意图；

图7是本发明优选实施例中用户退出时群组管理器的运算的过程；

图8是本发明优选实施例中用户退出时用户计算密钥的运算过程；

图9是本发明优选实施例中用户同时退出、加入时的系统状态示意图；

图10是本发明优选实施例中用户同时退出、加入时群组管理器的运算过程；

图11是本发明优选实施例中用户同时退出、加入时用户计算密钥的运算过程；

图12是本发明优选实施例中用户同时退出、加入后的系统状态示意图。

具体实施方式

下面结合实施例及附图，对本发明作进一步地详细说明，但本发明的实施方式不限于此。

实施例

典型的安全群组通信系统架构如图1所示，该系统包括群组管理器(GroupControl，GC)，以及4个群组用户U1、U2、U3及U4。群组管理器(GC)、各个用户通过网际网络连接。

如图2所示，在初始化之后群组管理器(GC)设定相关参数，其中实线框内为秘密保存参数，虚线框为公开参数。如图中二维点A_-1和A₀是秘密保存的，二元哈希函数h(·，·)和大素数p是公开的，实施例的整个过程都是在有限域GF(p)下进行的。

如图3所示，U1和U2已组成一个群组，此时群组准备接收U3加入。

其中U1作为第一个用户，它的加入过程：在群组管理器(GC)对U1用户进行认证之后，群组管理器给U1用户分发编号ID＝1；同时要求U1用户选择二维点A₁(a₁₀，a₁₁)并安全发送至群组管理器；其中a₁₀≠a₁₁，且a₁₀≠0，a₁₁≠0；

群组管理器存储点A₁(a₁₀，a₁₁)并选择一个映射参数u₀，将U1用户的秘密信息以及自身的秘密信息分别映射成空间中的点：

计算B_-1(b_-1，0，b_-1，1)＝(h(a_-1，0，u₀)，h(_a-1，1，u₀))，B0(b₀₀，b₀₁)＝(h(a₀₀，u₀)，h(a₀₁，u₀))，B₁(b₁₀，b₁₁)＝(h(a₁₀，u₀)，h(a₁₁，u₀))；调整B_-1、B₀、B₁的下标，因-1＜0＜1，得B₀(b₀₀，b₀₁)＝(h(a_-1，0，u₀)，h(a_-1，1，u₀))，B₁(b₁₀，b₁₁)＝(h(a₀₀，u₀)，h(a₀₁，u₀))，B₂(b₂₀，b₂₁)＝(h(a₁₀，u₀)，h(a₁₁，u₀))；

利用B₀、B₁、B₂、构造方程组，求解该二维球面的中心C₀(c₀₀，c₀₁)：

$\left.\begin{array}{c}{(b_{00}-c_{00})}^2+{(b_{01}-c_{01})}^2={R_0}^2\\ {(b_{10}-c_{00})}^2+{(b_{11}-c_{01})}^2={R_0}^2\\ {(b_{20}-c_{00})}^2+{(b_{21}-c_{01})}^2={R_0}^2\end{array}\right\}$

将方程组中的上式减去下式：

$\left.\begin{array}{c}2(b_{00}-b_{10})c_{00}+2(b_{01}-b_{11})c_{01}={b_{00}}^2+{b_{01}}^2-{b_{10}}^2-{b_{11}}^2\\ 2(b_{10}-b_{20})c_{00}+2(b_{11}-b_{21})c_{01}={b_{10}}^2+{b_{11}}^2-{b_{20}}^2-{b_{21}}^2\end{array}\right\}$

如果无解，即2(b₀₀-b₁₀)·2(b₁₁-b₂₁)-2(b₁₀-b₂₀)·2(b₀₁-b₁₁)＝0，则选择新的u₀并重新计算B_i(b_i0，b_i1)点、求解方程；

群组管理器组播二维球面的中心C₀(c₀₀，c₀₁)，映射参数u₀；

用户U1计算h(a₁₀，u₀)²+h(a₁₁，u₀)²-2h(a₁₀，u₀)c₀₀-2h(a₁₁，u₀)c₀₁，即求出群组密钥R₀ ²-||C₀||²。

至此U1已成功加入群组，由于U2与U3的加入过程相同，在此只对U3进行展开，不另外对U2的加入过程进行展开。

如图4所示，群组在接受U3加入时，群组管理器(GC)存储U3的秘密信息A₃；随机选择新的映射参数u₁，将A_-1、A₀、A₁、A₂、A₃分别映射成空间中的点，然后求出中心C₁：

群组管理器(GC)选择映射参数u₁，将A_-1、A₀、A₁、A₂、A₃分别用二元哈希函数h(·，·)转换成B_-1(b_-1，0，b_-1，1)＝(h(a_-1，0，u₁)，h(a_-1，1，u₁))，B₀(b₀₀，b₀₁)＝(h(a₀₀，u₁)，h(a₀₁，u₁))，B₁(b₁₀，b₁₁)＝(h(a₁₀，u₁)，h(a₁₁，u₁))，B₂(b₂₀，b₂₁)＝(h(a₂₀，u₁)，h(a₂₁，u₁))，B₃(b₃₀，b₃₁)＝(h(a₃₀，u₁)，h(a₃₁，u₁))；调整B_-1、B₀、B₁、B₂、B₃的下标，因-1＜0＜1＜2＜3，得B₀(b₀₀，b₀₁)＝(h(a_-1，0，u₁)，h(a_-1，1，u₁))，B₁(b₁₀，b₁₁)＝(h(a₀₀，u₁)，h(a₀₁，u₁))，B₂(b₂₀，b₂₁)＝(h(a₁₀，u₁)，h(a₁₁，u₁))，B₃(b₃₀，b₃₁)＝(h(a₂₀，u₁)，h(a₂₁，u₁))，B₄(b₄₀，b₄₁)＝(h(a₃₀，u₁)，h(a₃₁，u₁))，再将B₀、B₁、B₂、B₃、B₄扩展成空间中的点：由群组管理器(GC)秘密向量A_-1和A₀转换而来的B₀和B₁直接在末尾补零扩展成4维向量(b₀₀，b₀₁，0，0)和(b₁₀，b₁₁，0，0)，由用户向量A₁、A₂及A₃转换而来的B₂、B₃及B₄分别扩展为(b₂₀，b₂₁，0，0)、(b₃₀，0，b₃₁，0)、(b₄₀，0，0，b₄₁)；判断[2(b₀₀-b₁₀)·2(b₁₁-b₂₁)-2(b₁₀-b₂₀)·2(b₀₁-b₁₁)]·(-2b₃₁)·(-2b₄₁)＝0，如果等式成立，则选择新的u₁并重新计算上述各B点；

最后求出由扩展点组成的4维球面的中心C₁(c₁₀，c₁₁，c₁₂，c₁₃)：(b₀₀，b₀₁，0，0)、(b₁₀，b₁₁，0，0)、(b₂₀，b₂₁，0，0)、(b₃₀，0，b₃₁，0)、(b₄₀，0，0，b₄₁)代入方(x₀-c₁₀)²+(x₁-c₁₁)²+(x₂-c₁₂)²+(x₃-c₁₃)²＝R₁ ²，可得

$\left.\begin{array}{c}{(b_{00}-c_{10})}^2+{(b_{01}-c_{11})}^2+{(0-c_{12})}^2+{\left({0-c}_{13}\right)}^2={R_1}^2\\ {(b_{10}-c_{10})}^2+{{}_{}(b_{11}-c_{11})}^2+{\left({0-c}_{12}\right)}^2+{\left({0-c}_{13}\right)}^2={R_1}^2\\ {(b_{20}-c_{10})}^2+{(b_{21}-c_{11})}^2+{\left({0-c}_{12}\right)}^2+{\left({0-c}_{13}\right)}^2={R_1}^2\\ {(b_{30}-c_{10})}^2+{(0-c_{11})}^2+{(b_{31}-c_{12})}^2+{(0-c_{13})}^2={R_1}^2\\ {(b_{40}-c_{10})}^2+{\left({0-c}_{11}\right)}^2+{(0-c_{12})}^2+{(b_{41}-c_{13})}^2={R_1}^2\end{array}\right\}$

将方程组中的上式减去下式：

$\left[\begin{array}{cccc}2(b_{00}-b_{10})& 2(b_{01}-b_{11})& 0& 0\\ 2(b_{10}-b_{20})& 2(b_{11}-b_{21})& 0& 0\\ 2(b_{20}-b_{30})& {2b}_{21}& -{2b}_{31}& 0\\ 2(b_{30}-b_{40})& 0& {2b}_{31}& -{2b}_{41}\end{array}\right]\left[\begin{array}{c}{c}_{10}\\ c_{11}\\ c_{12}\\ c_{13}\end{array}\right]=\left[\begin{array}{c}{b_{00}}^2+{b_{01}}^2-{b_{10}}^2-{b_{11}}^2\\ {b_{10}}^2+{b_{11}}^2-{b_{20}}^2-{b_{21}}^2\\ {b_{20}}^2+{b_{21}}^2-{b_{30}}^2-{b_{31}}^2\\ {b_{30}}^2+{b_{31}}^2-{b_{40}}^2-{b_{41}}^2\end{array}\right]$

由上述条件可知[2(b₀₀-b₁₀)·2(b₁₁-b₂₁)-2(b₁₀-b₂₀)·2(b₀₁-b₁₁)]·(-2b₃₁)·(-2b₄₁)＝0不成立，可以保证本方程有且只有一个解。

如图5所示，在群组管理器(GC)公布中心C₁(c₁₀，c₁₁，c₁₂，c₁₃)和映射参数u₁之后，U1、U2及U3计算自身对应的空间点，最后求出群组密钥。U1将自身存储的秘密信息A₁(a₁₀，a₁₁)、自身ID-1以及群组管理器(GC)公布的信息代入公式得K1＝R₁ ²-||C₁||²＝h(a₁₀，u₁)²+h(a₁₁，u₁)²-2h(a₁₀，u₁)c₁₀-2h(a₁₁，u₁)c₁₁，其中R₁为图4中求解的4维球面的半径。U2和U3的密钥求解过程同U1的求解过程一致。

如图6所示，U1、U2、U3已组成一群组。其中U2即将退出群组。

如图7所示，在U2退出时，群组管理器(GC)删除U2的秘密信息A₂；随机选择新的映射参数u₂，将A_-1、A₀、A₁、A₃分别映射成空间中的点，然后求出中心C₂。

群组管理器(GC)选择映射参数u₂，将A_-1、A₀、A₁、A₃分别用二元哈希函数(·，·)转换成B_-1(b_-1，0，b_-1.1)＝(h(a_-1，0，u₂)，h(a_-1，1，u₂))，B₀(b₀₀，b₀₁)＝(h(a₀₀，u₂)，h(a₀₁，u₂))，B₁(b₁₀，b₁₁)＝(h(a₁₀，u₂)，h(a₁₁，u₂))，B₃(b₃₀，b₃₁)＝(h(a₃₀，u₂)，h(a₃₁，u₂))；调整B_-1、B₀、B₁、B₃的下标，因-1＜0＜1＜3，得B₀(b₀₀，b₀₁)＝(h(a_-1，0，u₂)，h(a_-1，1，u₂))，B₁(b₁₀，b₁₁)＝(h(a₀₀，u₂)，h(a₀₁，u₂))，B₂(b₂₀，b₂₁)＝(h(a₁₀，u₂)，h(a₁₁，u₂))，B₃(b₃₀，b₃₁)＝(h(a₃₀，u₂)，h(a₃₁，u₂))，再将B₀、B₁、B₂、B₃扩展成空间中的点：由群组管理器(GC)秘密向量A_-1和A₀转换而来的B₀和B₁直接在末尾补零扩展成3维向量(b₀₀，b₀₁，0)和(b₁₀，b₁₁，0)，由用户向量A₁、A₃转换而来的B₂、B₃分别扩展为(b₂₀，b₂₁，0)、(b₃₀，0，b₃₁)；判断[2(b₀₀-b₁₀)·2(b₁₁-b₂₁)-2(b₁₀-b₂₀)·2(b₀₁-b₁₁)]·(-2b₃₁)＝0，如果等式成立，则选择新的u₂并重新计算上述各B点；最后求出由扩展点组成的3维球面的中心C₂(c₂₀，c₂₁，c₂₂)，由于C₂与C₁的求解过程相同，故在此不对C₂的求解过程展开描述。

如图8所示，在群组管理器(GC)公布中心C₂、映射参数u₂及U2的ID之后，U1及U3计算自身对应的空间点，最后求出群组密钥：

首先U1、U3修改自身ID，具体指，U1自身的ID＝1、U1对照所有退出用户的ID，所有退出用户的ID均比自己的ID大，所以e＝0，ID＝ID-0，U1修改后的编号ID为1-0＝1；U3自身的ID＝3、U3对照所有退出用户的ID，发现只有退出用户U2的ID比自己的ID小的，所以e＝1，ID＝ID-e，即U3修改后的编号ID为3-1＝2。U1将自身存储的秘密信息A₁(a₁₀，a₁₁)、自身ID＝1以及群组管理器(GC)公布的信息代入公式得，

K1＝R₂ ²-||C₂||²＝h(a₁₀，u₂)²+h(a₁₁，u₂)²-2h(a₁₀，u₂)c₂₀-2h(a₁₁，u₂)c₂₁，其中R₂为图7中求解的3维球面的半径；U3将自身存储的秘密信息A₃(a₃₀，a₃₁)、自身修改后ID＝2以及群组管理器(GC)公布的信息代入公式得，

K3＝h(a₃₀，u₂)²+h(a₃₁，u₂)²-2h(a₃₀，u₂)c₂₀-2h(a₃₁，u₂)c₂₂＝R₂ ²-||C₂||²。

如图9所示，在U2退出之后，U1、U3已组成一群组。系统的状态即将发生新的变化。其中U3将退出群组，而U4将加入群组。

如图10所示，在U3退出群组而U4加入群组时，群组管理器(GC)首先将A₃删除，存储A₄并为其编号ID＝3；然后选择新的映射参数u₃，将A_-1、A₀、A₁、A₄分别映射成空间中的点，最后求出中心C₃：

群组管理器(GC)选择映射参数u₃，将A_-1、A₀、A₁、A₄分别用二元哈希函数h(·，·)转换成B_-1(b_-1，0，b_-1.1)＝(h(a_-1，0，u₃)，h(a_-1，1，u₃))，B₀(b₀₀，b₀₁)＝(h(a₀₀，u₃)，h(a₀₁，u₃))，B₁(b₁₀，b₁₁)＝(h(a₁₀，u₃)，h(a₁₁，u₃))，B₄(b₄₀，b₄₁)＝(h(a₄₀，u₃)，h(a₄₁，u₃))；调整B_-1、B_0、B₁、B₄的下标，因-1＜0＜1＜4，得B₀(b₀₀，b₀₁)＝(h(a_-1，0，u₃)，h(a_-1，1，u₃))，B₁(b₁₀，b₁₁)＝(h(a₀₀，u₃)，h(a₀₁，u₃))，B₂(b₂₀，b₂₁)＝(h(a₁₀，u₃)，h(a₁₁，u₃))，B₃(b₃₀，b₃₁)＝(h(a₄₀，u₃)，h(a₄₁，u₃))，再将B₀、B₁、B₂、B₃扩展成空间中的点：由群组管理器(GC)秘密向量A_-1和A₀转换而来的B₀和B₁直接在末尾补零扩展成3维向量(b₀₀，b₀₁，0)和(b₁₀，b₁₁，0)，由用户向量A₁、A₄转换而来的B₂、B₃分别扩展为(b₂₀，b₂₁，0)、(b₃₀，0，b₃₁)；判断[2(b₀₀-b₁₀)·2(b₁₁-b₂₁)-2(b₁₀-b₂₀)·2(b₀₁-b₁₁)]·(-2b₃₁)＝0，如果等式成立，则选择新的u₃并重新计算上述各B点；最后求出由扩展点组成的3维球面的中心C₃(c₃₀，c₃₁，c₃₂)，由于C₃与C₁的求解过程相同，故在此不对C₃的求解过程展开描述。

如图11所示，在群组管理器(GC)公布中心C₃、映射参数u₃及退出用户U3的ID之后，余下用户U1及U4计算群组密钥的过程：

U1自身的ID＝1、U1对照所有退出用户的ID，比U1的ID＝1小的退出用户数为0，所以e＝0，ID＝ID-0，即U1修改后的编号ID为1-0＝1；将自身存储的秘密信息A₁(a₁₀，a₁₁)、自身ID＝1以及群组管理器(GC)公布的信息代入公式得，K1＝R₃ ²-||C₃||²＝h(a₁₀，u₃)²+h(a₁₁，u₃)²-2h(a₁₀，u₃)c₃₀-2h(a₁₁，u₃)c₃₁，其中R₃为图10中求解的3维球面的半径。U4自身的ID＝3，U4对照所有退出用户的ID，发现只有退出用户U3的ID比自己的ID小的，所以e＝1，ID＝ID-e，即U4修改后的编号ID为3-1＝2；将自身存储的秘密信息A₄(a₄₀，a₄₁)、自身ID＝2以及群组管理器(GC)公布的信息代入公式得，

K4＝R₃ ²-||C₃||²＝h(a₄₀，u₃)²+h(a₄₁，u₃)²-2h(a₄₀，u₃)c₃₀-2h(a₄₁，u₃)c₃₂。

图12所示，在接受U3的退出和U4的加入之后，U1、U3已组成一群组。

上述实施例为本发明较佳的实施方式，但本发明的实施方式并不受所述实施例的限制，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。

Claims (6)

1.一种基于N维球面的群组密钥管理方法，其特征在于包括以下步骤：

(1)初始化：群组管理器选择自身秘密信息，设定群组有限域GF(p)和二元哈希函数h(·，·)，并纳入第一个用户；其中GF(p)指定了群组运算所在的有限域，即所有的群组运算过程都在有限域GF(p)中进行，p为大素数；

(2)用户加入：群组管理器接受用户加入并为其编号，同时要求各新加入用户发送一秘密信息至群组管理器；群组管理器选择映射参数，将自身的秘密信息以及群组中各个用户的秘密信息分别映射成空间中的点，如果这些点不能唯一确定一球面则更改映射参数进行重映射；求解这些点组成的球面的中心；群组管理器公布中心、映射参数；群组各用户则根据自身编号和群组管理器公布的中心及映射参数求解对应的空间点，进而求出群组密钥；

(3)用户退出：群组管理器删除各退出用户的秘密信息，群组管理器选择映射参数，将自身的秘密信息以及余下各用户的秘密信息重新映射成空间中的点，如果这些点不能唯一确定一球面则更改映射参数进行重映射；求解这些点组成的球面的中心；群组管理器公布中心、映射参数、所有退出用户的编号；群组里的余下用户根据编号的大小依次从1开始重新排序，排序后用户的编号表示为1、2、3、4......；群组中的余下用户根据新编号和群组管理器公布的中心及映射参数求解所对应的空间点，进而求出群组密钥；

(4)用户同时加入、退出：群组管理器删除各退出用户的秘密信息，为各新加入用户编号，同时要求各新加入用户发送一秘密信息至群组管理器；群组管理器选择映射参数，将自身的秘密信息以及各用户的秘密信息重新映射成空间中的点，如果这些点不能唯一确定一球面则更改映射参数进行重映射；求解这些点组成的球面的中心；群组管理器公布中心、映射参数、所有退出用户的编号；群组里的所有用户根据编号的大小依次从1开始重新排序，排序后用户的编号表示为1、2、3、4......；群组里的用户根据新编号和群组管理器公布的中心及映射参数求解所对应的空间点，进而求出群组密钥。

2.根据权利要求1所述的一种基于N维球面的群组密钥管理方法，其特征在于：所述步骤(1)初始化，具体包括以下步骤：

(1.1)群组管理器选择秘密信息，即群组管理器选择2个不同二维点A_-1(a_-1，0，a_-1，1)、A₀(a₀₀，a₀₁)并秘密保存；选择二元哈希函数h(·，·)、大素数p并公开；其中p指定了群组运算所在的有限域-GF(p)，即所有的群组运算过程都在有限 域GF(p)中进行，a_-1，0、a_-1，1、a₀₀、a₀₁为GF(p)中的整数；

(1.2)将第一个用户U₁纳入群组，一般第一个用户为群组发起者：

a)在对用户进行认证之后，群组管理器给用户分发编号ID＝1；同时要求该用户选择二维点A₁(a₁₀，a₁₁)并安全发送至群组管理器；其中a₁₀、a₁₁为GF(p)中的整数，且a₁₀≠a₁₁，a₁₀≠0，a₁₁≠0；

b)群组管理器存储点A₁(a₁₀，a₁₁)并选择一个映射参数u₀，将用户的秘密信息以及自身的秘密信息分别映射成空间中的点：

计算B_j(b_j0，b_j1)＝(h(a_j-1，0，u₀)，h(a_j-1，1，u₀))；若2(b₀₀-b₁₀)·2(b₁₁-b₂₁)-2(b₁₀-b₂₀)·2(b₀₁-b₁₁)＝0，则重选映射参数u₀并重新计算B_j；其中j＝0、1、2，u₀为随机整数，a_j-1，0、a_j-1，1为秘密信息A_j-1的两个维的值，b_j0为a_j-1，0经哈希函数作用之后的值，b_j1为a_j-1，1经哈希函数作用之后的值，由b_j0、b_j1组成的点B_j即为秘密信息A_j-1各个维经哈希函数作用之后的点；

c)利用B_j构造方程组，求解这些点组成的球面的中心C₀(c₀₀，c₀₁)：

将方程组中的上式减去下式：

由b)中2(b₀₀-b₁₀)·2(b₁₁-b₂₁)-2(b₁₀-b₂₀)·2(b₀₁-b₁₁)≠0可保证上述方程组有唯一解；

d)群组管理器组播二维球面的中心C₀(c₀₀，c₀₁)，映射参数u₀；

e)用户U₁计算群组密钥：

K₁＝R₀ ²-‖C₀‖²＝h(a₁₀，u₀)²+h(a₁₁，u₀)²-2h(a₁₀，u₀)c₀₀-2h(a₁₁，u₀)c₀₁，其中R₀是上述所求以C₀为球面中心二维球面的半径，‖C₀‖²为C₀的模的平方，即‖C₀‖²＝c₀₀ ²+c₀₁ ²，K₁是用户U₁计算出的密钥，即群组密钥。

3.根据权利要求1所述的一种基于N维球面的群组密钥管理方法，其特征在于：所述步骤(2)用户加入，具体包括以下步骤：

(2.1)假设当前群组中有n-δ个用户，有δ个用户加入，其中(n-δ)≥1，δ≥1，则δ个用户加入后共有n个用户，群组管理器接受各新用户加入，并给各新用户一个编号ID，即(n-δ)+1、(n-δ)+2、......、(n-δ)+δ；同时要求各新加入用户各自选择一秘密信息，即一个二维点A_x(a_x0，a_x1)并安全发送至群组管理器，其 中a_x0≠a_x1，且a_x0≠0，a_x1≠0；群组管理器存储各二维点A_x(a_x0，a_x1)，x＝(n-δ)+1、(n-δ)+2、......、(n-δ)+δ；

(2.2)群组管理器选择映射参数u₁，将自身以及各个用户的秘密信息分别映射成空间中的点：

群组管理器利用其所存储的全部秘密信息即二维点A_i(a_i0，a_i1)，计算B_i(b_i0，b_i1)＝(h(a_i0，u₁)，h(a_i1，u₁))；然后调整B_i点的下标，按其下标原本大小依次从0开始重新排序为B_r，r＝0、1、...、n+1；其中A_i(a_i0，a_i1)表示群组中的二维点，B_i(b_i0，b_i1)为A_i(a_i0，a_i1)各个维经二元哈希函数h(·，·)作用之后所得的点，b_i0对应a_i0经二元哈希函数作用之后的值，b_i1对应a_i1经二元哈希函数作用之后的值，i表示各个用户秘密值即二维点的下标，B_r是经B_i调整其下标i，按其下标原本大小依次从0开始重新排序后得到的；

若

则重新进行步骤(2.2)；

(2.3)求解这些点组成的球面的中心C₁(c₁₀，c₁₁，c₁₂...，c_1n)：

扩展B_r：当r＝0、1时，将B_r补零扩展成n+1维向量V_r(b_r0，b_r1，0...0)；当r＝2、3、...、n+1，将B_r扩展成n+1维向量V_r(b_r0，0...0，b_r1，0...0)，即在b_r0与b_r1间补r-2个0，b_r1之后补n+1-r个0，构造方程组：

将方程组中的上式减去下式：

由(2.2)可知

故可保证上述方程组有唯一解；

(2.4)群组管理器组播该球面中心C₁(c₁₀，c₁₁，c₁₂...c_1n)和映射参数u₁； 

(2.5)各个用户计算密钥：所有用户通过公式计算群组的密钥K_i＝R₁ ²-‖C₁‖²＝h(a_i0，u₁)²+h(a_i1，u₁)²-2h(a_i0，u₁)c₁₀-2h(a_i1，u₁)c_1d，其中K_i表示秘密值下标为i的用户计算出的密钥，a_i0、a_i1对应该用户自身秘密信息--二维点中的两个数，d为该用户的编号，即ID，R₁是上述所求以C₁为球面中心的球面的半径，‖C₁‖²为C₁的模的平方，即

4.根据权利要求1所述的一种基于N维球面的群组密钥管理方法，其特征在于：所述步骤(3)用户退出，具体包括以下步骤：

(3.1)假设当前群组中有n+f个用户，有f个用户退出，其中(n+f)≥2，f≥1，则f个用户退出后群组中共有n个用户，并且群组管理器删去所有退出用户的秘密信息，即二维点；

(3.2)群组管理器选择映射参数u₂，将自身的秘密信息以及各个余下用户的秘密信息分别映射成空间中的点：

群组管理器利用其所存储的全部秘密信息即二维点A_i(a_i0，a_i1)，计算B_i(b_i0，b_i1)＝(h(a_i0，u₂)，h(a_i1，u₂))；然后调整B_i点的下标，按其下标原本大小依次从0开始重新排序为B_r，其中r＝0、1、...、n+1；

若

则重新进行步骤(3.2)；

(3.3)求解这些点组成的球面的中心C₂(c₂₀，c₂₁，c₂₂...，c_2n)：

扩展B_r：当r＝0、1时，将B_r补零扩展成n+1维向量V_r(b_r0，b_r1，0...0)；当r＝2、3、...、n+1时，将B_r扩展成n+1维向量V_r(b_r0，0...0，b_r1，0...0)，即在b_r0与b_r1间补r-2个0，b_r1之后补n+1-r个0，构造方程组：

将方程组中的上式减去下式： 

由(3.2)可知故可保证上述方程组有唯一解；

(3.4)群组管理器组播C₂、u₂、所有退出用户的编号ID；

(3.5)各个余下用户计算密钥：群组中的余下用户将自己的编号与所有退出用户的编号进行比较，求出比自己编号小的退出用户个数，表示为e，群组中余下的用户各自修改自身编号：ID＝ID-e，各个余下用户求出的e不一定相同，f≥e≥0；各个余下用户通过公式计算群组的密钥K_i＝R₂ ²-‖C₂‖²＝h(a_i0，u₂)²+h(a_i1，u₂)²-2h(a_i0，u₂)c₂₀-2h(a_i1，u₂)c_2d，其中K_i表示秘密值下标为i的用户计算出的密钥，a_i0、a_i1对应该秘密值下标为i的用户自身秘密信息即二维点中的两个数，此时d为该用户修改后的编号ID，R₂是上述所求以C₂为球面中心球面的半径，‖C₂‖²为C₂的模的平方，即

5.根据权利要求1所述的一种基于N维球面的群组密钥管理方法，其特征在于：所述步骤(4)用户同时退出、加入，具体包括以下步骤：

(4.1)假设当前群组中有n+w-v个用户，w个用户要退出群组，v个用户同时要加入群组，其中1≤w≤(n+w-v)，1≤v，则在用户同时加入退出群组后，群组共有n个用户；

群组管理器删除各退出用户对应的秘密信息，即其二维点，并为新加入的用户按顺序编号，即(n+w-v)+1、(n+w-v)+2、......、(n+w-v)+v；同时要求各新加入用户各自选择一秘密信息，即一个二维点A_y(a_y0，a_y1)并安全发送至群组管理器，其中a_y0≠a_y1，且a_y0≠0，a_y1≠0；群组管理器存储各点A_y(a_y0，a_y1)，y＝(n+w-v)+1、(n+w-v)+2、......、(n+w-v)+v；

(4.2)群组管理器选择映射参数u₃，将各个用户的秘密信息以及自身的秘密信息分别映射成空间中的点：

利用所存储的全部秘密信息即二维点A_i(a_i0，a_i1)，计算B_i(b_i0，b_i1)＝(h(a_i0，u₃)，h(a_i1，u₃))；然后调整B_i点的下标，按其下标原本大小依次从0开始重新排序为B_r，其中r＝0、1、...、n+1； 

若

则重新进行步骤(4.2)；

(4.3)求解这些点组成的球面的中心C₃(c₃₀，c₃₁，c₃₂...，c_3n)：

扩展B_r：当r＝0、1时，将B_r补零扩展成n+1维向量V_r(b_r0，b_r1，0...0)；当r＝2、3、...、n+1时，将B_r扩展成n+1维向量V_r(b_r0，0...0，b_r1，0...0)，即在b_r0与b_r1间补r-2个0，b_r1之后补n+1-r个0，构造方程组：

将方程组中的上式减去下式：

由(4.2)可知

故可保证上述方程组有唯一解；

(4.4)群组管理器组播C₃、u₃、所有退出用户的编号ID；

(4.5)各个用户计算密钥：群组中的用户将自己的编号与所有退出用户的编号进行比较，求出比自己编号小的退出用户个数，表示为e，群组中的用户各自修改自身编号：ID＝ID-e，各个余下用户求出的e不一定相同，w≥e≥0；各个用户通过公式计算群组密钥K_i＝R₃ ²-‖C₃‖²＝h(a_i0，u₃)²+h(a_i1，u₃)²-2h(a_i0，u₃)c₃₀-2h(a_i1，u₃)c_3d，其中K_i表示秘密值下标为i的用户计算出的密钥，a_i0、a_i1对应该秘密值下标为i的用户自身秘密信息，即二维点中的两个数，此时d为该用户修改后的编号ID，R₃是上述所求以C₃为球面中心球面的半径，‖C₃‖²为C₃的模的平方，即

6.根据权利要求1所述的一种基于N维球面的群组密钥管理方法，其特征在于：当一段时间内没有发生密钥更新时，所述群组管理器为保证 系统的安全，重新选映射参数，将自身的秘密信息以及群组中各个用户的秘密信息分别映射成空间中的点，如果这些点不能唯一确定一球面则更改映射参数进行重映射；求解这些点组成的球面的中心；群组管理器公布中心、映射参数；群组各用户根据自身编号和群组管理器公布的中心及映射参数求解对应的空间点，进而求出群组密钥。 

Images