CN101488958A - 一种使用椭圆曲线进行的大集群安全实时通讯方法 - Google Patents

Abstract

本发明公开了一种使用椭圆曲线进行的大集群安全实时通讯方法，属于网络实时通讯领域。其包括如下步骤：初始化通讯组、注册协议、组密钥管理协议、重新注册协议和源认证协议；本方法中涉及的通讯组是由一组控制器/主要服务器、接受者和发送者构成，该方法是基于椭圆曲线理论设计的一种新型用于实时通讯的组密钥管理和源认证协议，它支持密钥的重分配和撤销等级过程，在等级和撤销过程中，组管理服务器向发送者和接受者发送一些基于椭圆曲线的密钥材料，在后面的组密钥建立过程中，发送者和接受者可以使用这些密钥材料建立一个共享的组密钥而不需要和组管理服务器进行协商。本方法能够节约存储空间，更安全且效率更高。

Description

一种使用椭圆曲线进行的大集群安全实时通讯方法

技术领域

本发明涉及一种安全实时通讯方法，尤其涉及一种使用椭圆曲线进行的大集群安全实时通讯方法，属于网络实时通讯领域。

背景技术

对于实时的，动态的大集群安全通讯的需求变得越来越显著。这里存在两个关键的安全需求必须考虑：机密性和源认证需求。机密性意味着组信息只能被特定的接受者读取，这要求发送者和接受者之间建立一个共享的组密钥来对传输的内容进行加解密。组密钥的管理过程通常包含密钥生成，密钥分发和重新分发密钥。在组密钥的管理过程中有很多方案被设计了出来。

最简单的解决方案是“简单密钥分发中心(SKDC)”。在这种情况下，组管理者和每一个组成员共享一个密钥，然后使用每一个成员的密钥来将这个共享的密钥分发给各个成员。每次一个新的成员加入或者一个成员离开，组管理者都必须将新的密钥一个接一个分发给每一个成员。SKDC的缺点是在一个至少需要容纳上千用户的扩展系统中需要分发大量密钥。

对于大的动态组，基于密钥层级的方案在组密钥管理上被广泛的使用。然而，RFC4046预测，在密钥重新分发的过程中存在安全问题，一个具有潜在安全威胁的组成员可以通过扮演组管理员来广播组密钥。

基于公钥的方案被用来建立一个共享的组密钥，最早的方案基于Diffie-Hellman算法。这种方案减少了密钥分发的传输过程，但是它需要的求幂次数非常多。根据M.Steiner，G.Tsudik和M.Waidner的“CLIQUES：A New Approach to Group Key Agreement”一文，求幂运算的次数不会随着组成员的离开而减少。此外，它还存在一些存储和安全方面的问题。同时，我们也看到有一些其他基于公钥的密钥分发方案比如J.Arkko，Et.Al.的“MIKEY：Multimedia Internet KEYing”，RFC3830，IETF，August 2004.和D.Ignjatic Et.Al.的“MIKEY-RSA-R：An Additional Mode of Key Distribution in Multimedia Internet KEYing(MIKEY)”，RFC4738，IETF，November 2006.以及D.Brown Et.Al.的“ECC Algorithms forMIKEY”，draft-ietf-msec-mikey-ecc-03，IETF，June 2004。然而，他们都是基于多媒体因特网密钥结构(MIKEY)，另外MIKEY并不提供重分配密钥的过程。

与机密性要求相反，源认证是另外一种重要的组通讯需求。使用源认证，一个单独的数据包能够到达成千上万的接受者那里。不幸的是，这意味着一个攻击者可以潜在的将一个恶意的数据包发送给成千上万接受者。为了避免这种数据包，签名在组通讯中变得必不可少。当前存在两类签名方案：基于对称密钥的方案和基于公钥的方案(例如RSA签名和椭圆曲线签名)。

通常，基于对称密钥的签名并不安全：每一个知道消息认证码(MAC)的接受者可以模仿发送者并且将数据包捎给另外的接受者。RFC4082定义了一个基于对称密钥的签名方案：which uses time-delayed key disclosure to achieve the required asymmetry property.因此它并不适合实时通讯应用。

基于公共密钥的签名方案通常依靠公钥基础设施(PKI)。与基于对称密钥的签名相比，有三个主要的基于公钥签名的问题：高的签名/验证费用意味着基于公共密钥的签名比对称密钥签名需要更多的CPU周期；高的存储花费意味着每一个接受者需要存储所有发送者的信息；在接收组中当一个新的发件人向接受者广播签署的信息，所有的接收者将在很短的时间内请求证书颁发机构(CA)验证证书的发件人，这将导致CA瘫痪。此外，攻击者可能会使用一个未经授权的证书来签署消息，因此，这就会产生拒绝服务攻击。

发明内容

本发明为设计一种新型的用于实时应用的组密钥管理和源认证协议而提出一种使用椭圆曲线进行的大集群安全实时通讯方法。

一种使用椭圆曲线进行的大集群安全实时通讯方法，包括如下步骤：

第一步：初始化通讯组

(1)组管理服务器GCKS在有限域P内创建一个椭圆曲线T；

(2)定义两个素数集合分别为第一素数集合SINIT和第二素数集合RINIT，创建第一素数SEN_init并放入第一素数集合SINIT，创建第二素数REC_init并放入第二素数集合RINIT；

(3)从椭圆曲线T中取第一基点G_ks和第一私钥k_ks，计算第一数值 $G_{k_{\mathrm{ks}}}=k_{\mathrm{ks}}{G}_{\mathrm{ks}},$ 第一私钥k_ks和第一数值

形成了第一公私钥对

第二步：注册协议

当一个用户想注册成为该通讯组的接受者R_i时，这个用户随机取出一个第三素数

然后在组管理服务器GCKS和注册用户间安全关系的保护下将第三素数

发送给组管理服务器GCKS，组管理服务器GCKS接收到第三素数

后检查它是否和第二素数集合RINIT中的元素冲突，若不冲突，则将其加入到第二素数集合RINIT中，计算第二数值 $G_{R_i}={\mathrm{PRI}}_{R_i}{G}_0={\mathrm{PRI}}_{R_i}\mathrm{mod}n{G}_0,$ 并分发第一数值组 $<G_{\mathrm{ks}},G_{k_{\mathrm{ks}}},G_{R_i},p,a,b,n,h>$ 给新的接受者；组管理服务器GCKS将第三素数

用第一公私钥对

中的第一私钥

签名后广播给发送者；

当一个用户想注册成为该通讯组的发送者S_i时，这个用户随机取出一个第四素数

然后在组管理服务器GCKS和注册用户间安全关系的保护下将第四素数

发送给组管理服务器GCKS，组管理服务器GCKS接收到第四素数后检查它是否和第一素数集合SINIT中的元素冲突；若不冲突，则将其加入到第一素数集合SINIT中，计算第三数值 $G_{S_i}={\mathrm{PRI}}_{S_i}{G}_0={\mathrm{PRI}}_{S_i}\mathrm{mod}n{G}_0;$ 用随机创建的第五素数PRI_X取代第一素数SEN_init，然后计算第一素数集合SINIT中所有元素的乘积M；计算第四数值G_M＝MG₀＝(M mod n)G₀，并分发第二数值组给新的发送者；组管理服务器GCKS将密钥<M，G_M>用第一公私钥对

中的第一私钥k_ks签名后广播给发送者和接受者，当发送者接收到密钥<M，G_M>后计算第二私钥 $k_{S_i}=M/{\mathrm{PRI}}_{S_i}\mathrm{mod}n;$ 其中：p，a，b，n，h为构成椭圆曲线T的参数，G₀为椭圆曲线T上的一个基点；

第三步：组密钥管理协议

A.对于会话j，发送者S_i通过如下方法生成会话的组密钥k_j：

(1)选定一部分接受者组成一个子组，计算该子组中所有成员对应的第四素数

的乘积N；

(2)随机从会话j中选取第六素数r_j，计算第五数值 $v_j=r_j*N*{\mathrm{PRI}}_{S_i};$

(3)计算第六数值 $G_{v_j}=v_j{G}_0=(v_j/{\mathrm{PRI}}_{S_i})\left({\mathrm{PRI}}_{S_i}{G}_0\right)=(r_j*N)G_{S_i}=(r_j*N\mathrm{mod}n)G_{S_i};$

(4)计算组密钥 $k_j=\mathrm{HMAC}-\mathrm{SHA}256(G_{v_j},\mathrm{nonce});$

(5)通过第二公私钥对

的保护将消息 $\mathrm{KEYMSG}={\{v_j,G_{S_i},\mathrm{nonce}\}}_{k_{S_i}}$ 广播给网络中所有接受者；

B.对于子组中的接受者R_i，它使用发送者的公钥来验证消息，通过如下方法计算组密钥k_j：

(1)计算第六数值 $G_{v_j}=v_j{G}_0=(v_j/{\mathrm{PRI}}_{R_i})\left({\mathrm{PRI}}_{R_i}{G}_0\right)=(v_j/{\mathrm{PRI}}_{R_i}\mathrm{mod}n)G_{{\mathrm{PRI}}_{R_i}};$

(2)计算组密钥 $k_j=\mathrm{HMAC}-\mathrm{SHA}256(G_{v_j},\mathrm{nonce});$

其中：nonce是由发送者S_i创建的一次性数字，HMAC是一种hash算法，SHA256是指256位的SHAL哈希算法；

第四步：重新注册协议

当组管理服务器GCKS想要从该通讯组中删除接受者R_i时，它先从第二素数集合RINIT中删除第三素数

然后通过第二公私钥对

的保护将被撤销的接受者的第三素数

广播给发送者，发送者重新计算它们第七数值v_j′和新组密钥k_j′并向其他接受者重新分发新组密钥k_j′；

当组管理服务器GCKS想要从该通讯组中删除发送者S_i时，它先从第一素数集合SINIT中删除第四素数

然后重新计算第一素数集合SINIT中所有元素的乘积M′和第八数值G_M′并通过第二公私钥对的保护向发送者和接受者广播新密钥<M′，G_M′>；

第五步：源认证协议

当发送者给接受者发送消息时需要消息认证码MAC时，第二公私钥对形成了发送者的有着第三数值

的公私钥对，其中：第三数值

同时被看做发送者的身份证明和它的基点。

本发明是基于椭圆曲线理论设计的一种新型的用于实时应用的组密钥管理和源认证协议，它支持密钥的重分配和撤销等级过程，在等级和注销的过程中，组管理服务器向发送者和接受者发送一些基于椭圆曲线的密钥材料，在接下来的组密钥建立过程中，发送者和接受者可以使用这些密钥材料建立一个共享的组密钥而不需要和组管理服务器进行协商；密钥的重分配和撤销等级过程中密钥的计算并不依赖于接受者和发送者的数量，所以它比组Diffie-Hellman算法富有效率，比基于密钥层级的方案的效率更加高；因为接受者并不需要和组管理服务器协商来获得证书的确认，对于组管理服务器的认证风暴和拒绝服务攻击就能够被避免；此外，在该方法中，接受者并不需要为每一个发送者保存密钥，因此，和基于密钥层级的方案相比，能够节约存储空间。

附图说明

图1是本发明组播组通讯示意图，图中：发送者1表示标号为1的发送者，。。。。。。表示发送者，发送者t表示标号为t的发送者，接受者1表示标号为1的接受者，。。。表示接受者，接受者t’表示标号为t’的接受者。

具体实施方式

如图1所示的组播组通讯示意图，组管理服务器是整个系统的安全中心，也是发送者和接受者都信任的网络实体，负责安全材料的管理和分配。

一种使用椭圆曲线进行的大集群安全实时通讯方法，具体步骤如下：

第一步：初始化通讯组

(1)组管理服务器GCKS在有限域P内创建一个椭圆曲线T；

(2)定义两个素数集合分别为第一素数集合SINIT和第二素数集合RINIT，创建第一素数SEN_init并放入第一素数集合SINIT，创建第二素数REG_init并放入第二素数集合RINIT；

(3)从椭圆曲线T中取第一基点G_ks和第一私钥k_ks，计算第一数值 $G_{k_{\mathrm{ks}}}=k_{\mathrm{ks}}{G}_{\mathrm{ks}},$ 第一私钥k_ks和第一数值

形成了第一公私钥对

第二步：注册协议

当一个用户想注册成为该通讯组的接受者R_i时，假设组管理服务器GCKS和该用户已建立安全关系，这个用户随机取出一个第三素数

然后在安全关系的保护下将第三素数发送给组管理服务器GCKS，组管理服务器GCKS接收到第三素数

后检查它是否和第二素数集合RINIT中的元素冲突，若不冲突，则将其加入到第二素数集合RINIT中，计算第二数值 $G_{R_i}={\mathrm{PRI}}_{R_i}{G}_0={\mathrm{PRI}}_{R_i}\mathrm{mod}n{G}_0,$ 并分发第一数值组给新的接受者，但基点G₀并没分发给新接受者；组管理服务器GCKS将第三素数用第一公私钥对

中的第一私钥k_ks签名后广播给发送者；

当一个用户想注册成为该通讯组的发送者S_i时，假设组管理服务器GCKS和该用户已建立安全关系，这个用户随机取出一个第四素数然后在安全关系的保护下将第四素数

发送给组管理服务器GCKS，组管理服务器GCKS接收到第四素数

后检查它是否和第一素数集合SINIT中的元素冲突；若不冲突，则将其加入到第一素数集合SINIT中，计算第三数值 $G_{S_i}={\mathrm{PRI}}_{S_i}{G}_0={\mathrm{PRI}}_{S_i}\mathrm{mod}n{G}_0;$ 用随机创建的第五素数PRI_X取代第一素数SEN_init，然后计算第一素数集合SINIT中所有元素的乘积M；计算第四数值G_M＝MG₀＝(M mod n)G₀，并分发第二数值组

给新的发送者，但基点G₀并没分发给新发送者；组管理服务器GCKS将密钥<M，G_M>用第一公私钥对

中的第一私钥k_ks签名后广播给发送者和接受者，当发送者接收到密钥<M，G_M>后计算第二私钥 $k_{S_i}=M/{\mathrm{PRI}}_{S_i}\mathrm{mod}n;$

其中：p，a，b，n，h为构成椭圆曲线T的参数，G₀为椭圆曲线T上的一个基点；

第三步：组密钥管理协议

A.对于会话j，发送者S_i通过如下方法生成会话的组密钥k_j：

(1)选定一部分接受者组成一个子组，计算该子组中所有成员对应的第四素数

的乘积N；

(2)随机从会话j中选取第六素数r_j，计算第五数值 $v_j=r_j*N*{\mathrm{PRI}}_{S_i};$

(3)计算第六数值 $G_{v_j}=v_j{G}_0=(v_j/{\mathrm{PRI}}_{S_i})\left({\mathrm{PRI}}_{S_i}{G}_0\right)=(r_j*N)G_{S_i}=(r_j*N\mathrm{mod}n)G_{S_i};$

(4)计算组密钥 $k_j=\mathrm{HMAC}-\mathrm{SHA}256(G_{v_j},\mathrm{nonce});$

(5)使用椭圆曲线算法签名方案，通过第二公私钥对

的保护将消息 $\mathrm{KEYMSG}={\{v_j,G_{S_i},\mathrm{nonce}\}}_{k_{S_i}}$ 广播给网络中所有接受者；

B.对于子组中的接受者R_i，它使用发送者的公钥，也就是第四数值G_M来验证消息，通过如下方法计算组密钥k_j：

(1)计算第六数值 $G_{v_j}=v_j{G}_0=(v_j/{\mathrm{PRI}}_{R_i})\left({\mathrm{PRI}}_{R_i}{G}_0\right)=(v_j/{\mathrm{PRI}}_{R_i}\mathrm{mod}n)G_{{\mathrm{PRI}}_{R_i}};$

(2)计算组密钥 $k_j=\mathrm{HMAC}-\mathrm{SHA}256(G_{v_j},\mathrm{nonce});$

其中：nonce是由发送者S_i创建的一次性数字，HMAC是一种hash算法，SHA256是指256位的SHAL哈希算法；

组密钥的重分发过程和仅有一次广播的密钥分发过程一致；

第四步：重新注册协议

当组管理服务器GCKS想要从该通讯组中删除接受者R_i时，它先从第二素数集合RINIT中删除第三素数

然后通过第二公私钥对

的保护将被撤销的接受者的第三素数

广播给发送者，发送者重新计算它们第七数值v_j′和新组密钥k_j′并向其他接受者重新分发新组密钥k_j′，因为被撤销的接受者不能再计算

所以他也不能计算得到新组密钥k_j′；

当组管理服务器GCKS想要从该通讯组中删除发送者S_i时，它先从第一素数集合SINIT中删除第四素数

然后重新计算第一素数集合SINIT中所有元素的乘积M′和第八数值G_M′并通过第二公私钥对的保护向发送者和接受者广播新密钥<M′，G_M′>；

第五步：源认证协议

当发送者给接受者发送消息时需要消息认证码MAC时，第二公私钥对

形成了发送者的有着第三数值

的公私钥对，其中：第三数值同时被看做发送者的身份证明和它的基点；

只要发送者在消息中包含了第三数值

并且使用第二私钥

进行了签名，接受者就能够使用相应的有第三数值

的第四数值G_M作为公钥来验证消息。

该方法中有大数需要被存储和传输，如第一素数集合SINIT中所有元素的乘积M和子组中所有成员对应的第四素数

的乘积N，大数的传输可用如下式子来表示：

设Q为要存储和传输的大数，则：

其中：假设在第一素数集合SINIT中存在元素m_sender，且其长度为b_sender比特，这样Q就能通过有log₂ m_sender比特的和有b_sender比特的

两个数来存储和传输。

Claims (2)

1、一种使用椭圆曲线进行的大集群安全实时通讯方法，其特征在于包括如下步骤：

第一步：初始化通讯组

(1)组管理服务器GCKS在有限域P内创建一个椭圆曲线T；

(2)定义两个素数集合分别为第一素数集合SINIT和第二素数集合RINIT，创建第一素数SEN_init并放入第一素数集合SINIT，创建第二素数REC_init并放入第二素数集合RINIT；

(3)从椭圆曲线T中取第一基点G_ks和第一私钥k_ks，计算第一数值 $G_{k_{\mathrm{ks}}}=k_{\mathrm{ks}}{G}_{\mathrm{ks}},$ 第一私钥k_ks和第一数值形成了第一公私钥对

第二步：注册协议

当一个用户想注册成为该通讯组的接受者R_i时，这个用户随机取出一个第三素数

然后在组管理服务器GCKS和注册用户间安全关系的保护下将第三素数

发送给组管理服务器GCKS，组管理服务器GCKS接收到第三素数后检查它是否和第二素数集合RINIT中的元素冲突，若不冲突，则将其加入到第二素数集合RINIT中，计算第二数值 $G_{R_i}={\mathrm{PRI}}_{R_i}{G}_0={\mathrm{PRI}}_{R_i}\mathrm{mod}n{G}_0,$ 并分发第一数值组 $<G_{\mathrm{ks}},G_{k_{\mathrm{ks}}},G_{R_i},p,a,b,n,h>$ 给新的接受者；组管理服务器GCKS将第三素数

用第一公私钥对

中的第一私钥k_ks签名后广播给发送者；

当一个用户想注册成为该通讯组的发送者S_i时，这个用户随机取出一个第四素数

然后在组管理服务器GCKS和注册用户间安全关系的保护下将第四素数

发送给组管理服务器GCKS，组管理服务器GCKS接收到第四素数

后检查它是否和第一素数集合SINIT中的元素冲突；若不冲突，则将其加入到第一素数集合SINIT中，计算第三数值 $G_{S_i}={\mathrm{PRI}}_{S_i}{G}_0={\mathrm{PRI}}_{S_i}\mathrm{mod}n{G}_0;$ 用随机创建的第五素数PRI_X取代第一素数SEN_init，然后计算第一素数集合SINIT中所有元素的乘积M；计算第四数值G_M＝MG₀＝(M mod n)G₀，并分发第二数值组

给新的发送者；组管理服务器GCKS将密钥<M，G_M>用第一公私钥对

中的第一私钥k_ks签名后广播给发送者和接受者，当发送者接收到密钥<M，G_M>后计算第二私钥 $k_{S_i}=M/{\mathrm{PRI}}_{S_i}\mathrm{mod}n;$ 其中：p，a，b，n，h为构成椭圆曲线T的参数，G₀为椭圆曲线T上的一个基点；

第三步：组密钥管理协议

A.对于会话j，发送者S_i通过如下方法生成会话的组密钥k_j：

(1)选定一部分接受者组成一个子组，计算该子组中所有成员对应的第四素数

的乘积N；

(2)随机从会话j中选取第六素数r_j，计算第五数值 $v_j=r_j*N*{\mathrm{PRT}}_{S_i};$

(3)计算第六数值 $G_{v_j}=v_j{G}_0=(v_j/{\mathrm{PRI}}_{S_i})\left({\mathrm{PRI}}_{S_i}{G}_0\right)=(r_j*N)G_{S_i}=(r_j*N\mathrm{mod}n)G_{S_i};$

(4)计算组密钥 $k_j=\mathrm{HMAC}-\mathrm{SHA}256(G_{v_j},\mathrm{nonce});$

(5)通过第二公私钥对

的保护将消息 $\mathrm{KEYMSG}={\{v_j,G_{S_i},\mathrm{nonce}\}}_{k_{S_i}}$ 广播给网络中所有接受者；

B.对于子组中的接受者R_i，它使用发送者的公钥来验证消息，通过如下方法计算组密钥k_j：

(1)计算第六数值 $G_{v_j}=v_j{G}_0=(v_j/{\mathrm{PRI}}_{R_i})\left({\mathrm{PRI}}_{R_i}{G}_0\right)=(v_j/{\mathrm{PRI}}_{R_i}\mathrm{mod}n)G_{{\mathrm{PRI}}_{R_i}};$

(2)计算组密钥 $k_j=\mathrm{HMAC}-\mathrm{SHA}256(G_{v_j}-\mathrm{nonce});$

其中：nonce是由发送者S_i创建的一次性数字，HMAC是一种hash算法，SHA256是指256位的SHAL哈希算法；

第四步：重新注册协议

当组管理服务器GCKS想要从该通讯组中删除接受者R_i时，它先从第二素数集合RINIT中删除第三素数

然后通过第二公私钥对

的保护将被撤销的接受者的第三素数

广播给发送者，发送者重新计算它们第七数值v_j′和新组密钥k_j′并向其他接受者重新分发新组密钥k_j′；

当组管理服务器GCKS想要从该通讯组中删除发送者S_i时，它先从第一素数集合SINIT中删除第四素数然后重新计算第一素数集合SINIT中所有元素的乘积M′和第八数值G_M′并通过第二公私钥对

的保护向发送者和接受者广播新密钥<M′，G_M′>；

第五步：源认证协议

当发送者给接受者发送消息时需要消息认证码MAC时，第二公私钥对形成了发送者的有着第三数值的公私钥对，其中：第三数值

同时被看做发送者的身份证明和它的基点。

2、根据权利要求1所述的一种使用椭圆曲线进行的大集群安全实时通讯方法，其特征在于：大数的传输可用如下式子来表示：设Q为要存储和传输的大数，则：

其中：假设在第一素数集合SINIT中存在元素m_sender，且其长度为b_sender比特。

Images