CN101753295A - 一种基于线性几何的群组密钥管理方法 - Google Patents

Abstract

本发明公开了一种基于线性几何的群组密钥管理方法，包括以下步骤：步骤1、组控制器选定群组使用的有限域F和映射f；组成员在有限域F上选定一个秘密向量，并通过安全信道发送给组控制器；步骤2、组控制器选定一个映射参数，并使用映射f把所有组成员的秘密向量映射成一组新向量；步骤3、组控制器选择一个随机数k作为群组密钥，并使用新向量组和群组密钥构造一个线性方程组；组控制器求解出中心向量，组控制器把中心向量和映射参数发送给组成员；步骤4、组成员根据映射参数把自身的秘密向量映射到向量空间中的一个新向量，再通过计算新向量与中心向量的内积得到群组密钥。本发明具有存储量少、计算量小、安全性高、能有效避免暴力攻击等优点。

Description

一种基于线性几何的群组密钥管理方法

技术领域

本发明涉及网络安全技术中的群组密钥管理领域，具体是涉及一种基于线性几何的群组密钥管理方法。

背景技术

随着Internet技术的快速发展以及组播技术的流行，面向群组的应用，例如视频会议，网络游戏，视频点播等等，开始扮演越来越重要的角色，怎样保护群组通信的安全也成为这些应用面临的重要问题。一个安全群组通信系统不仅要满足数据保密性，用户认证，信息完整性等要求，同时还要具有良好的可扩展性。对于一个安全群组通信系统来说，一种安全的，高效的，健壮的群组密钥管理方案是至关重要的。

目前，在安全群组通信的密钥管理方面已经有了很多方案，其中典型的方案如Group Key Management Protocol(GKMP)，Secure Lock(SL)，Logical KeyHierarchy(LKH)等等。

Group Key Management Protocol(GKMP，组密钥管理协议)是一种直接的，从单播扩展到组播的方案，该方案假定GC(Group Controller，群组管理者)和每个群组成员之间存在一个安全信道，初始时，GC把选定的群组密钥K₀通过安全信道发送给群组中的所有成员。当有新成员加入时，GC选择一个新的群组密钥K_N，并用原来的群组密钥加密新密钥，得到 $K^{\′}=E_{K_N}\left(K_0\right),$ 然后把K′广播给整个群组，此外，GC还把K_N通过安全信道发送给新成员。显然，该方案不具有可扩展性，而且当有成员退出群组时，该方案无法满足前向保密性的要求，而只能重新建立一个不包含该成员的新群组。

Secure Lock(SL，安全锁)方案则利用中国剩余定理(CRT)构造一个安全锁，在群组密钥更新的时候，把所有的更新消息合并到一条。然而，CRT是一个非常耗时的操作。由于计算锁的时间和锁的长度(也即传输时间)随着组员数量的增加成比例增长，SL方案只适合成员数量很小的群组。

Logical Key Hierarchy(LKH，逻辑密钥树)方案采用树结构组织密钥。GC维护一棵虚拟树，树的节点对应给定的密钥，根节点的密钥是整个群组的密钥，中间节点对应KEK(key encryption key)，叶节点的密钥由不同的成员持有，每个成员还知道从自身叶子节点到根节点的路径上的密钥。当一个成员加入或退出群组时，它的父节点的KEK以及从它自身到根节点的路径上的所有节点的KEK都需要改变。因此，退出或者加入时需要更改的密钥数是O(log₂n)，加密次数为O(2×log₂n)。但是若有大量的成员加入或离开群组，那么更新密钥的总开销将会随着变动的成员数目成比例地增长。另外还有其他一些方案也采用了树结构，例如OFT(One-way Function Tree)，OFCT(One-way Function Chain Tree)，Hierarchical a-ary Tree with Clustering，Efficent Large-Group Key等等，它们都与LKH类似或可视为LKH的改进。

发明内容

本发明的目的之一在于提供一种基于线性几何的群组密钥管理方法，本发明方法具有存储量少、计算量小、能有效避免暴力攻击等优点。

本发明的目的之二在于提供另一种基于线性几何的群组密钥管理方法，该发明方法具有存储量少、计算量小、安全性高、能有效避免暴力攻击等优点。

本发明目的之一是通过下述技术方案实现的：一种基于线性几何的群组密钥管理方法，包括以下步骤：

步骤1、组控制器选定群组使用的有限域F(群组中所有的运算都是在有限域F中进行)以及映射f；设群组有n个组成员，每个组成员在有限域F上选定一个m维秘密向量，并通过安全信道发送给组控制器；组控制器为组成员分配编号并把编号发送给该成员，接收每个组成员的m维秘密向量并密存；其中m、n为正整数，2≤m≤n；

步骤2、组控制器在有限域F内随机选定一个映射参数，并根据该映射参数，用映射f把所有组成员的秘密向量映射成向量空间中一组新的向量，如果新向量组是线性相关的，则再次选择映射参数并重新映射，或者返回步骤1让组成员重选秘密向量，直到新向量组线性无关为止；

步骤3、组控制器在有限域F内选择一个随机数作为群组密钥，并使用新向量组和群组密钥构造一个线性方程组；组控制器求解出该线性方程组的唯一解，称为中心向量，组控制器把中心向量和映射参数通过公开信道广播或组播发送给所有组成员；

步骤4、组成员收到中心向量和映射参数后，根据映射参数把自身的秘密向量映射到向量空间中的一个新向量，再通过计算新向量与中心向量的内积得到群组密钥。

为更好的实现本发明，所述步骤1具体为：

组控制器选定群组使用的有限域F以及映射f，每个组成员在有限域F上选定一个m维秘密向量，并把秘密向量通过安全信道发送给组控制器，其中m为正整数，2≤m≤n；

组控制器为组成员分配编号u_i，并把编号发送给该成员，接收每个组成员的m维秘密向量V_i＝(v_i，1，v_i，2，…，v_i，m)并密存，其中i＝1，…，n；

所述步骤2具体为：

组控制器在有限域F内随机选定一个映射参数r，并根据映射参数r，使用映射f把所有组成员u_i的秘密向量V_i＝(v_i，1，v_i，2，…，v_i，m)映射成向量空间中一组新的向量：

对于组成员u_i，其中i＝1，2，…，m：

x_i，1＝f(v_i，1，r)

x_i，2＝f(v_i，2，r)

……

x_i，m＝f(v_i，m，r)

对于组成员u_i，其中i＝m+1，…，n：

x_i，1＝f(v_i，1，r)

x_i，i-m+2＝f(v_i，2，r)

……

x_i，i＝f(v_i，m，r)

这样组控制器获得了有限域F上的一组新向量：

对于组成员u_i，其中i＝1，2，…，m：

X_i＝(x_i，1，x_i，2，…，x_i，n)，并且x_i，m+1…，x_i，n为0；

对于组成员u_i，其中i＝m+1，…，n：

X_i＝(x_i，1，x_i，2，…，x_i，n)，并且x_i，2，…，x_i，i-m+1以及x_i，i+1，…，x_i，n都为0；

组控制器判断X₁，X₂…，X_n是否线性无关的，如果它们线性无关，进入步骤3，否则，则返回步骤2，或者返回步骤1让组成员重选秘密向量；(由于r是一个随机数，因此可以很容易地得到一组线性无关的向量组X₁，X₂…，X_n)；

所述步骤3具体为：

组控制器在有限域F内选择一个随机数k作为群组密钥，并使用新向量组和群组密钥构造一个线性方程组：

假定a₁，a₂，…，a_n是未知变量，组控制器通过以下线性方程组求解中心向量A＝(a₁，a₂，…，a_n)：

$\left\{\begin{array}{c}{x}_{\mathrm{1,1}}{a}_1+x_{\mathrm{1,2}}{a}_2+...{+x}_{1,n}{a}_n=k\\ x_{\mathrm{2,1}}{a}_1+x_{\mathrm{2,2}}{a}_2+...+x_{2,n}{a}_n=k\\ ......\\ x_{n,1}{a}_1+x_{n,2}{a}_2+...+x_{n,n}{a}_n=k\end{array}\right.$

则该线性方程组表示成向量的形式：X×A^T＝K^T

其中T表示距阵转置，向量K＝(k，k，…k)，向量A＝(a₁，a₂，…，a_n)，矩阵

$X=\left[\begin{array}{c}{X}_1\\ X_2\\ ...\\ X_n\end{array}\right]=\left[\begin{array}{cccc}{x}_{\mathrm{1,1}}& x_{\mathrm{1,2}}& ...& x_{1,n}\\ x_{\mathrm{2,1}}& x_{\mathrm{2,2}}& ...& x_{2,n}\\ ...& ...& ...& ...\\ x_{n,1}& x_{n,2}& ...& x_{n,n}\end{array}\right];$

因为X₁，X₂…，X_n是线性无关的向量，系数矩阵的行列式|X|≠0，所以该线性方程组具有唯一的解；

组控制器把中心向量A＝(a₁，a₂，…，a_n)和映射参数r通过公开信道广播或组播发送给所有组成员；

所述步骤4具体为：

组成员收到A＝(a₁，a₂，…，a_n)和映射参数r后，每个组成员u_i根据映射参数r把自身的秘密向量映射到向量空间中的一个新向量：

对于组成员u_i，其中i＝1，2，…，m：

x_i，1＝f(v_i，1，r)

x_i，2＝f(v_i，2，r)

……

x_i，m＝f(v_i，m，r)

即：

X_i＝(x_i，1，x_i，2，…，x_i，n)，其中x_i，m+1，…，x_i，n为0；

对于组成员u_i，其中i＝m+1，…，n：

x_i，1＝f(v_i，1，r)

x_i，i m+2＝f(v_i，2，r)

……

x_i，i＝f(v_i，m，r)

即：

X_i＝(x_i，1，x_i，2，…，x_i，n)，其中x_i，2，…，x_i，i-m+1以及x_i，i+1，…，x_i，n都为0；

然后组成员u_i通过下式求出群组密钥k，即向量X_i和中心向量A＝(a₁，a₂，…，a_n)的内积：

k＝X_i×A^T＝x_i，1a₁+x_i，2a₂+…+x_i，na_n，其中T表示距阵转置；

当有新成员申请加入群组时，所述基于线性几何的群组密钥管理方法还包括：

步骤5、新成员入群组：每个新成员在有限域F上选择一个m维秘密向量，并通过安全信道发送给组控制器；组控制器为新成员分配编号并把编号发送给该成员，接收每个组成员的m维秘密向量并密存；

重复步骤2～步骤4。

当有组成员退出群组时，所述基于线性几何的群组密钥管理方法还包括：

步骤5、组成员退出群组：每个要退出的组成员向组控制器申请离开群组；组控制器删除退出的组成员的秘密向量，并根据当前成员下标的大小顺序，重新分配剩余组成员的编号，并通过公开信道发送给所有成员；

重复步骤2～步骤4。

当有新成员申请加入群组，组成员同时退出群组时，所述基于线性几何的群组密钥管理方法还包括：

步骤5、新成员加入、组成员同时退出群组：每个新成员在有限域F内选择一个m维秘密向量，并通过安全信道发送给组控制器；将要退出的组成员向组控制器申请离开群组，组控制器删除每个退出成员的秘密向量，根据当前成员下标的大小顺序重新分配剩余成员的编号，并为每个新成员分配编号；组控制器接收新成员的m维秘密向量并密存；然后把所有成员的下标编号通过公开信道广播给所有成员；

重复步骤2～步骤4。

优选的，所述m维秘密向量是二维秘密向量。

优选的，所述基于线性几何的群组密钥管理方法还包括自动更新：若在预设时间内没有成员加入或退出群组，则组控制器将周期性地更新群组密钥，组控制器重新选择映射参数与群组密钥，并计算出中心向量，组控制器把中心向量和映射参数通过公开信道广播或组播发送给所有组成员。

优选的，设映射f可表示为z＝f(w，y)，其中w，y，z∈F，映射f的主要作用是随机化，映射f满足以下特性：

1)知道w，y，计算z＝f(w，y)是容易的。

2)若仅知道z和y，从z＝f(w，y)求出w是困难的；若仅知道z和w，从z＝f(w，y)求出y也是困难的。得到一系列的z_i和y_i，从z_i＝f(w_i，y_i)求出w_i是困难的；得到一系列的z_i和w_i，从z_i＝f(w_i，y_i)求出y_i也是困难的。

本发明目的之二是通过下述技术方案实现的：一种基于线性几何的群组密钥管理方法，包括以下步骤：

步骤1、组控制器选定群组使用的有限域F(群组中所有的运算都是在有限域F中进行)以及映射f；设群组有n个组成员，每个组成员在有限域F上选定一个m维秘密向量，并通过安全信道发送给组控制器；组控制器为组成员分配编号并把编号发送给该组成员，接收每个组成员的m维秘密向量并密存；其中m、n为正整数，2≤m≤n+1；

步骤2、组控制器收到所有组成员的秘密向量后，自己也选定一个m维秘密向量，组控制器在有限域F内随机选定一个映射参数，并根据映射参数，使用映射f把自身的和所有组成员的秘密向量映射成向量空间中一组新的向量，如果新向量组是线性相关的，则再次选择映射参数并重新映射，或者返回步骤1让组成员重选秘密向量，直到新向量组线性无关为止；

步骤3、组控制器在有限域F内选择一个随机数作为群组密钥，并使用新向量组和群组密钥构造一个线性方程组；组控制器求解出该线性方程组的唯一解，称为中心向量，组控制器把中心向量和映射参数通过公开信道广播或组播发送给所有组成员；

步骤4、组成员收到中心向量和映射参数后，根据映射参数把自身的秘密向量映射到向量空间中的一个新向量，再通过计算新向量与中心向量的内积得到群组密钥。

为更好的实现本发明，所述步骤1具体为：

组控制器选定群组使用的有限域F以及映射f，每个组成员在有限域F上选定一个m维秘密向量，并把秘密向量通过安全信道发送给组控制器，其中m为正整数，2≤m≤n+1；

组控制器为组成员分配编号u_i，并把编号发送给该成员，接收每个组成员的m维秘密向量V_i＝(v_i，0，v_i，1，…，v_i，m-1)并密存，其中i＝1，…，n；

所述步骤2具体为：

组控制器在有限域F内选定随机数v_0，0，v_0，1，…，v_0，m-1，构成自身的秘密向量V₀＝(v_0，0，v_0，1…，v_0，m-1)，V₀由组控制器保密；组控制器在有限域F内随机选定一个映射参数r，并根据映射参数r，使用映射f把所有组成员u_i的秘密向量V_i＝(v_i，0，v_i，1，…，v_i，m-1)及自身的秘密向量V₀＝(v_0，0，v_0，1，…，v_0，m-1)映射成向量空间中一组新的向量：

对于组控制器自身的秘密向量V₀＝(v_0，0，v_0，1，…，v_0，m-1)，组控制器计算：

x_0，0＝f(v_0，0，r)

x_0，1＝f(v_0，1，r)

……

x_0，m-1＝f(v_0，m-1，r)

对于组成员的u_i秘密向量V_i＝(v_i，0，v_i，1，…，v_i，m-1)，其中i＝1，2，…，m-1，组控制器计算：

x_i，0＝f(v_i，0，r)

x_i，1＝f(v_i，1，r)

……

x_i，m-1＝f(v_i，m-1，r)

对于组成员的ui秘密向量V_i＝(v_i，0，v_i，1，…，v_i，m-1)，其中i＝m，m+1，…，n，组控制器计算：

x_i，0＝f(v_i，0，r)

x_i，i-m+2＝f(v_i，1，r)

……

x_i，i＝f(v_i，m-1，r)

这样组控制器获得了有限域F上的一组新向量：

对于组控制器的秘密向量映射后得到的新向量X₀：

X₀＝(x_0，0，x_0，1，…，x_0，n)，并且x_0，m，…，x_0，n为0；

对于组成员u_i的新向量X_i，其中i＝1，2，…，m-1：

X_i＝(x_i，0x_i，1…，x_i，n)，并且x_i，m，…，x_i，n为0；

对于组成员u_i的新向量X_i，其中i＝m，m+1，…，n：

X_i＝(x_i，0，x_i，1，…，x_i，n)，并且x_i，1，…，x_i，i-m+1以及x_i，i+1，…，x_i，n都为0；

组控制器判断X₀，X₁…，X_n是否线性无关的，如果它们线性无关，进入步骤3，否则，则返回步骤2，或者返回步骤1让组成员重选秘密向量；(由于r是一个随机数，因此可以很容易地得到一组线性无关的向量X₀，X₁…，X_n)；

所述步骤3具体为：

组控制器在有限域F内选择一个随机数k作为群组密钥，并使用新向量组和群组密钥构造一个线性方程组：

假定a₀，a₁，…，a_n是未知变量，组控制器通过以下线性方程组求解中心向量A＝(a₀，a₁，…，a_n)：

$\left\{\begin{array}{c}{x}_{\mathrm{0,0}}{a}_0+x_{\mathrm{0,1}}{a}_1+...{+x}_{0,n}{a}_n=k\\ x_{\mathrm{0,1}}{a}_0+x_{1,1}{a}_1+...+x_{1,n}{a}_n=k\\ ......\\ x_{n,0}{a}_0+x_{n,1}{a}_1+...+x_{n,n}{a}_n=k\end{array}\right.$

则该线性方程组表示成向量的形式：X×A^T＝K^T

其中向量K＝(k，k，…k)，向量A＝(a₀，a₁，…，a_n)，矩阵 $X=\left[\begin{array}{c}{X}_0\\ X_1\\ ...\\ X_n\end{array}\right]=\left[\begin{array}{cccc}{x}_{\mathrm{0,0}}& x_{\mathrm{0,1}}& ...& x_{0,n}\\ x_{\mathrm{1,0}}& x_{\mathrm{1,1}}& ...& x_{1,n}\\ ...& ...& ...& ...\\ x_{n,0}& x_{n,1}& ...& x_{n,n}\end{array}\right];$

因为X₀，X₁…，X_n是线性无关的向量，系数矩阵的行列式|X|≠0，所以该线性方程组具有唯一的解；

组控制器把中心向量A＝(a₀，a₁，…，a_n)和映射参数r通过公开信道广播或组播发送给所有组成员；

所述步骤4具体为：

组成员收到中心向量A＝(a₀，a₁，…，a_n)和映射参数r后，根据映射参数r把自身的秘密向量映射到向量空间中的一个新向量：

对于组成员u_i，其中i＝1，2，…，m-1：

x_i，0＝f(v_i，0，r)

x_i，1＝f(v_i，1，r)

……

x_i，m-1＝f(v_i，m-1，r)

即：

X_i＝(x_i，0，x_i，1，…，x_i，n)，并且x_i，m，…，x_i，n为0；

对于组成员u_i，其中i＝m，m+1，…，n：

x_i，0＝f(v_i，0，r)

x_i，i-m+2＝f(v_i，1，r)

……

x_i，i＝f(v_i，m-1，r)

即：

X_i＝(x_i，0，x_i，1，…，x_i，n)，并且x_i，1，…，x_i，i-m+1以及x_i，i+1，…，x_i，n都为0；

然后组成员u_i通过下式求出群组密钥k，即向量X_i和中心向量A＝(a₀，a₁，…，a_n)的内积：

k＝X_i×A^T＝x_i，0a₀+x_i，1a₁+…+x_i，na_n

当有新成员申请加入群组时，所述基于线性几何的群组密钥管理方法还包括：

步骤5、新成员入群组：每个新成员在有限域F上选择一个m维秘密向量，并通过安全信道发送给组控制器；组控制器为新成员分配编号并把编号发送给该成员，接收每个组成员的m维秘密向量并密存；

重复步骤2～步骤4。

当有组成员申请退出群组时，所述基于线性几何的群组密钥管理方法还包括：

步骤5、组成员退出群组：每个要退出的组成员向组控制器申请离开群组；组控制器删除退出的组成员的秘密向量，并根据当前成员下标的大小顺序，重新分配剩余组成员的编号，并通过公开信道发送给所有成员；

重复步骤2～步骤4。

当有新成员申请加入群组、组成员同时退出群组时，所述基于线性几何的群组密钥管理方法还包括：

步骤5、新成员加入、组成员同时退出群组：每个新成员在有限域F内选择一个m维秘密向量，并通过安全信道发送给组控制器；将要退出的组成员向组控制器申请离开群组，组控制器删除每个退出成员的秘密向量，根据当前成员下标的大小顺序重新分配剩余成员的编号，并为每个新成员分配编号；组控制器接收新成员的m维秘密向量并密存；然后把所有成员的下标编号通过公开信道广播给所有成员；

重复步骤2～步骤4。

优选的，所述m维秘密向量是二维秘密向量。

优选的，所述基于线性几何的群组密钥管理方法还包括自动更新：若在预设时间内没有成员加入或退出群组，则组控制器将周期性地更新群组密钥，组控制器重新选择映射参数与群组密钥，并计算出中心向量，组控制器把中心向量和映射参数通过公开信道广播或组播发送给所有组成员。

优选的，设映射f可表示为z＝f(w，y)，其中w，y，z∈F，映射f的主要作用是随机化，映射f满足以下特性：

1)知道w，y，计算z＝f(w，y)是容易的。

2)若仅知道z和y，从z＝f(w，y)求出w是困难的；若仅知道z和w，从z＝f(w，y)求出y也是困难的。得到一系列的z_i和y_i，从z_i＝f(w_i，y_i)求出w_i是困难的；得到一系列的z_i和w_i，从z_i＝f(w_i，y_i)求出y_i也是困难的。

本发明与现有技术相比，具有如下优点和有益效果：

第一，各组成员以及组控制器的存储量少、计算量小：在优选方案中，取m＝2，群组的每个成员只要保存自身的二维秘密向量，即只需要2L位存储空间(L是有限域上每个元素的位数)，同时每个成员的计算量就是根据映射参数把自身的秘密向量映射到空间中的一个新向量，以及计算群组密钥，一共包括两次映射操作，在有限域上的两次乘法和一次加法；可以看到，每个组成员的存储空间和计算量都是固定的，不会随着群组规模的增大而增加；而组控制器需要保存整个群组的秘密向量，需要的存储空间为2nL(n是群组的成员数，L是有限域上每个元素的位数)，而组控制器的主要计算是求中心向量，因为系数矩阵是稀疏的，而且可以很容易地转换成三角阵，计算也就非常容易，因此，组控制器的存储空间和计算量只随着群组规模的增大而线性增加。

第二，组控制器运算过程容易并行化；若组控制器运行在多核处理器平台上，则可以很容易地利用当前流行的并行运算库把组控制器运算过程并行化，充分发挥多核处理器的优势。

第三，只在群组成员初次注册及新成员加入时需要使用安全信道，其他时候只需要公开的信道；因为在群组初始化的时候，组成员通过安全信道把秘密向量发送给组控制器，此时群组还没建立，为了保证秘密向量的安全性，需要使用安全信道；而在此后的通信中，组控制器只要把中心向量A和映射参数r发送给所有组成员，由于向量A和r都是公开的，不需要保密，所以不需要安全信道，可以采用公开的信道广播或组播的方式发送。

第四，本发明方法不依赖于其它密码学方法，本发明的安全性建立在有限域上线性几何理论的基础上，在计算群组密钥的过程中只使用简单的映射操作以及有限域上的基本运算，而不需要依赖其它传统的密码学方法，包括非对称密码学，对称密码学和散列函数等；这样就大大降低了本发明受到其它方面攻击的可能性，即使传统的密码学方法被攻破了，本发明所提供的安全性保证也不会受到任何影响。

第五，提供前向保密和后向保密；群组密钥k是随机选择的，而且在每次组成员加入或退出后，k都会改变，即使群组密钥在某一个时间段暴露了，根据群组密钥的更新机制，非成员也无法知道下一个时间段的群组密钥，因此前向保密和后向保密都能得到保证。

第六，有效避免群组内成员或组外非成员的攻击；群组密钥k是通过计算组成员的秘密向量X_i和群组公开的中心向量A的内积得到的，而向量X_i又是利用组成员的秘密向量V_i和映射参数r通过映射f产生的；任何非成员，如果没有合法的秘密向量V_i就不能计算X_i，从而无法得到群组密钥k；同时，任何组成员或非成员都无法推导出其他组成员的秘密向量，因为每个组成员的秘密向量都是通过安全信道发送给组控制器的，因此，任何非成员或组内的其他成员都无法推导出组成员的秘密向量。

第六，有效避免暴力攻击；对利用本发明密钥管理方法的群组密钥进行暴力攻击，由于群组密钥k是在有限域F上随机选择的，只要有限域F的元素个数大于特定的常量，例如2¹²⁸，那么对群组密钥的暴力攻击将会非常困难。

附图说明

图1是实施例一中的安全群组通信系统架构示意图；

图2是实施例一中组控制器选定群组所使用的有限域和映射f，以及各组成员把秘密向量发送给组控制器的示意图；

图3是实施例一中组控制器通过映射参数和群组密钥求出中心向量的示意图；

图4是实施例一中组控制器把映射参数、中心向量发送给组成员的示意图；

图5是实施例一中组成员通过映射参数、中心向量求出群组密钥的示意图；

图6是实施例一中组控制器、各组成员建立群组的示意图；

图7是实施例五中的安全群组通信系统架构示意图；

图8是实施例五中组控制器选定群组所使用的有限域和映射f，以及各组成员把秘密向量发送给组控制器的示意图；

图9是实施例五中组控制器通过映射参数和群组密钥求出中心向量的示意图；

图10是实施例五中组控制器把映射参数、中心向量发送给组成员的示意图；

图11是实施例五中组成员通过映射参数、中心向量求出群组密钥的示意图；

图12是实施例五中组控制器、各组成员建立群组的示意图。

具体实施方式

下面结合实施例及附图，对本发明作进一步地详细说明，但本发明的实施方式不限于此。

实施例一

典型的安全群组通信系统架构如图1所示，该系统包括组控制器(GroupControl，GC)，以及4个群组用户U1、U2、U3和U4。组控制器(GC)、各个用户通过网际网络连接。

如图2所示，在群组初始化时，组控制器(GC)选定群组所使用的有限域F以及映射f，群组中的所有运算都建立在有限域F上，映射f使用伪随机数生成器。

步骤1，组成员U1，U2，U3，U4要加入群组，U1在有限域F内选定三个秘密随机数v_1，1，v_1，2，v_1，3∈F，构成三维秘密向量V₁＝(v_1，1，v_1，2，v_1，3)，U2也选定三个秘密随机数v_2，1，v_2，2，v_2，3∈F，构成三维秘密向量V₂＝(v_2，1，v_2，2，v_2，3)，U3也选定三个秘密随机数v_3，1，v_3，2，v_3，3∈F，构成三维秘密向量V₃＝(v_3，1，v_3，2，v_3，3)，U4也选定三个秘密随机数v_4，1，v_4，2，v_4，3∈F，构成三维秘密向量V₄＝(v_4，1，v_4，2，v_4，3)。U1、U2、U3和U4通过安全信道把V₁＝(v_1，1，v_1，2，v_1，3)、V₂＝(v_2，1，v_2，2，v_2，3)、V₃＝(v_3，1，v_3，2，v_3，3)、V₄＝(v_4，1，v_4，2，v_4，3)发送给组控制器(GC)；

组控制器(GC)为组成员U1分配编号u₁，为组成员U2分配编号u₂，为组成员U3分配编号u₃，为组成员U4分配编号u₄，组控制器把上述编号通过安全信道分别发送给相应组成员，接收每个组成员的3维秘密向量V_i＝(v_i，1，v_i，2，v_i，3)并密存，其中i＝1，2，3，4；

步骤2，如图3所示，组控制器(GC)收到成员U1、U2、U3和U4的秘密向量V₁、V₂、V₃、V₄后，在有限域F内选定随机数r作为映射参数，并使用映射f把所有组成员u_i的3维秘密向量V_i＝(v_i，1，v_i，2，v_i，3)映射成向量空间中一组新的向量：

对于组成员u_i(i＝1，2，3)，组控制器(GC)计算：

x_1，1＝f(v_1，1，r)

x_1，2＝f(v_1，2，r)

x_1，3＝f(v_1，3，r)

x_2，1＝f(v_2，1，r)

x_2，2＝f(v_2，2，r)

x_2，3＝f(v_2，3，r)

x_3，1＝f(v_3，1，r)

x_3，2＝f(v_3，2，r)

x_3，3＝f(v_3，3，r)

对于组成员u_i，其中i＝4，组控制器(GC)计算：

x_4，1＝f(v_4，1，r)

x_4，3＝f(v_4，2，r)

x_4，4＝f(v_4，3，r)

这样组控制器(GC)获得了有限域F上的一组新向量：

对于组成员u_i的新向量X₁(其中i＝1，2，3)：

X_i＝(x_i，1，x_i，2，x_i，3，0)，并且x_i，4为0；

对于组成员u₄的新向量X₄：

X₄＝(x_4，1，0，x_4，3，x_4，4)

组控制器(GC)判定X₁，X₂，X₃，X₄是否线性相关，如果它们线性无关，进入步骤3，否则，则返回步骤2(由于r是一个随机数，因此可以很容易地得到一组线性无关的向量X₁，X₂，X₃，X₄)；

步骤3，组控制器(GC)选定一个随机数k∈F作为群组密钥，并使用新向量组和群组密钥构造一个线性方程组：

假定a₁，a₂，a₃，a₄是未知变量，组控制器(GC)通过以下线性方程组求解中心向量A＝(a₁，a₂，a₃，a₄)：

$\left\{\begin{array}{c}{x}_{\mathrm{1,1}}+a_1+x_{\mathrm{1,2}}{a}_2+x_{\mathrm{1,3}}{a}_3=k\\ x_{\mathrm{2,1}}{a}_1+x_{\mathrm{2,2}}{a}_2+x_{\mathrm{2,3}}{a}_3=k\\ x_{\mathrm{3,1}}{a}_1+x_{\mathrm{3,2}}{a}_2+x_{\mathrm{3,3}}{a}_3=k\\ x_{\mathrm{4,1}}{a}_1+x_{\mathrm{4,3}}{a}_3+x_{\mathrm{4,4}}{a}_4=k\end{array}\right.$

则该线性方程组表示成向量的形式：X×A^T＝K^T

其中向量K＝(k，k，k，k)，A＝(a₁，a₂，a₃，a₄)，矩阵 $X=\left[\begin{array}{c}{X}_1\\ X_2\\ X_3\\ X_n\end{array}\right]=\left[\begin{array}{cccc}{x}_{\mathrm{1,1}}& x_{\mathrm{1,2}}& x_{\mathrm{1,3}}& 0\\ x_{\mathrm{2,1}}& x_{\mathrm{2,2}}& x_{\mathrm{2,3}}& 0\\ x_{\mathrm{3,1}}& x_{\mathrm{3,2}}& x_{\mathrm{3,3}}& 0\\ x_{4,1}& 0& x_{\mathrm{4,3}}& x_{\mathrm{4,4}}\end{array}\right]$

因为系数矩阵的行列式|X|≠0，所以上式具有唯一解A＝(a₁，a₂，a₃，a₄)，A＝(a₁，a₂，a₃，a₄)就是中心向量。

图4所示，组控制器(GC)通过公开信道把中心向量A＝(a₁，a₂，a₃，a₄)和映射参数r广播给组成员U1、U2、U3和U4。

步骤4，如图5所示，组成员U1、U2、U3和U4收到中心向量A＝(a₁，a₂，a₃，a₄)和映射参数r后，分别通过r计算新向量：

对于组成员u_i(i＝1，2，3)：

x_1，1＝f(v_1，1，r)

x_1，2＝f(v_1，2，r)

x_1，3＝f(v_1，3，r)

x_2，1＝f(v_2，1，r)

x_2，2＝f(v_2，2，r)

x_2，3＝f(v_2，3，r)

x_3，1＝f(v_3，1，r)

x_3，2＝f(v_3，2，r)

x_3，3＝f(v_3，3，r)

对于组成员u_i，其中i＝4：

x_4，1＝f(v_4，1，r)

x_4，3＝f(v_4，2，r)

x_4，4＝f(v_4，3，r)

然后，U1计算群组密钥k＝x_1，1a₁+x_1，2a₂+x_1，3a₃，U2计算群组密钥k＝x_2，1a₁+x_2，2a₂+x_2，3a₃，U3计算群组密钥k＝x_3，1a₁+x_3，2a₂+x_3，3a₃，U4计算群组密钥显然k＝x_4，1a₁+x_4，3a₃+x_4，4a₄，U1计算得到的k和U2、U3、U4计算得到的k是相同的。

如图6所示，经过以上步骤后，我们建立了一个群组，组成员分别是U1、U2、U3和U4。

若在预设时间内没有成员加入或退出群组，则组控制器将周期性地更新群组密钥，即重复步骤2～步骤4。

实施例二

假设本安全群组通信系统包括组控制器(GC)，以及5个群组用户U1、U2、U3、U4和U5，组控制器(GC)、各个用户通过网际网络连接。在群组初始化时，组控制器(GC)选定群组所使用的有限域F以及映射f，群组中的所有运算都建立在有限域F上，映射f使用伪随机数生成器。

步骤1，组成员U4向组控制器(GC)申请离开群组；

组控制器(GC)删除退出的组成员的秘密向量V₄，并根据当前成员下标的大小顺序，重新分配剩余组成员的编号u_i，其中i＝1，2，3，4；组控制器(GC)把所有成员的编号通过公开信道广播给所有成员，则组控制器(GC)现保存的组成员秘密向量为V₁，V₂，V₃，V₄；

其它步骤与本实施例一中描述的步骤2-4一致，在此不再重复。

实施例三

假设本安全群组通信系统包括组控制器(GC)，以及2个群组用户U1、U2，组控制器(GC)、各个用户通过网际网络连接。在群组初始化时，组控制器(GC)选定群组所使用的有限域F以及映射f，群组中的所有运算都建立在有限域F上，映射f使用伪随机数生成器。

步骤1，组成员U3、U4要加入群组，新成员U3选定三个秘密随机数v_3，1，v_3，2，v_3，3∈F，构成三维秘密向量V₃＝(v_3，1，v_3，2，v_3，3)并通过安全信道发送给组控制器(GC)；U4也选定三个秘密随机数v_4，1，v_4，2，v_4，3∈F，构成三维秘密向量V₄＝(v_4，1，v_4，2，v_4，3)并通过安全信道发送给组控制器(GC)。

组控制器(GC)为新成员U3分配编号v₃，并把编号发送给该成员，接收该组成员的秘密向量V₃＝(v_3，1，v_3，2，v_3，3)并密存；组控制器(GC)为新成员U4分配编号u₄，并把编号发送给该成员，接收该组成员的秘密向量V₄＝(v_4，1，v_4，2，v_4，3)并密存；则组控制器(GC)现保存的组成员秘密向量为V₁，V₂，V₃，V₄。

其它步骤与实施例一中描述的步骤2-4一致，在此不再重复。

实施例四

假设本安全群组通信系统包括组控制器(GC)，以及3个群组用户U1、U2和U3。组控制器(GC)、各个用户通过网际网络连接。

在群组初始化时，组控制器(GC)选定群组所使用的有限域F以及映射f，群组中的所有运算都建立在有限域F上，映射f使用伪随机数生成器。

步骤1，群组的成员关系要发生变化，成员U2要退出群组，而新成员U4、U5要加入群组。新成员U4、U5分别在有限域F上选择一个三维秘密向量，并通过安全信道发送给组控制器(GC)。

组控制器(GC)删除U2的秘密向量V₂，并根据当前成员下标的大小顺序，重新分配下标编号i，这样原用户U3变成了u₂，对应的秘密向量为V₂＝(v_2，1，v_2，2，v_2，3)。组控制器(GC)为新成员U4、U5分配编号u₃、u₄，这样U4成为组内成员u₃，对应的秘密向量是V₃＝(v_3，1，v_3，2，v_3，3)；U5成为组内成员u₄，对应的秘密向量是V₄＝(v_4，1，v_4，2，v_4，3)。组控制器(GC)把所有成员的编号通过公开信道广播给所有成员。现在组控制器(GC)保存的组成员秘密向量为V₁、V₂、V₃、V₄。

其它步骤与实施例一中描述的步骤2-4一致，在此不再重复。

实施例五

典型的安全群组通信系统架构如图7所示，该系统包括组控制器(GroupControl，GC)，以及3个群组用户U1、U2和U3。组控制器(GC)、各个用户通过网际网络连接。

如图8所示，在群组初始化时，组控制器(GC)选定群组所使用的有限域F以及映射f，群组中的所有运算都建立在有限域F上，映射f使用伪随机数生成器。

步骤1，组成员U1，U2，U3要加入群组，U1在有限域F内选定两个秘密随机数v_1，0，v_1，1∈F，构成二维秘密向量V₁＝(v_1，0，v_1，1)，U2也选定两个秘密随机数v_2，0，V_2，1∈F，构成二维秘密向量V₂＝(v_2，0，v_2，1)，U3也选定两个秘密随机数v_3，0，v_3，1∈F，构成二维秘密向量V₃＝(v_3，0，v_3，1)。U1、U2和、U3通过安全信道把V₁＝(v_1，0，v_1，1)、V₂＝(v_2，0，v_2，1)、V₃＝(v_3，0，v_3，1)发送给组控制器(GC)；

组控制器(GC)为组成员U1分配编号u₁，为组成员U2分配编号u₂，为组成员U3分配编号u₃，组控制器将上述编号通过安全信道分别发送给相应的组成员，并接收每个组成员的2维秘密向量V_i＝(v_i，0，v_i，1)并密存，其中i＝1，2，3；

步骤2，如图9所示，组控制器(GC)收到成员U1、U2和、U3的秘密向量V₁、V₂、V₃后，在有限域F内选定随机数v_0，0，v_0，1，r∈F，其中r作为映射参数，v_0，0，v_0，1构成自身的秘密向量V₀＝(v_0，0，v_0，1)，V₀由组控制器(GC)保管。

组控制器(GC)根据映射参数把自身的和所有组成员的秘密向量映射成向量空间中一组新的向量：

对于组控制器(GC)自身的秘密向量V₀＝(v_0，0，v_0，1)，组控制器(GC)计算：

x_0，0＝f(v_0，0，r)

x_0，1＝f(v_0，1，r)

对于组成员u_i(i＝1)，组控制器(GC)计算：

x_1，0＝f(v_1，0，r)

x_1，1＝f(v_1，1，r)

组控制器(GC)判断x_0，0x_1，1-x_0，1x_1，0＝0是否成立，若是，则返回重新选择随机数v_0，0，v_0，1，r∈F；若否，则继续下一步：

对组成员u_i(其中i＝2、3)，组控制器(GC)计算：

x_2，0＝f(v_2，0，r)

x_2，2＝f(v_2，1，r)

x_3，0＝f(v_3，0，r)

x_3，3＝f(v_3，1，r)

这样组控制器(GC)获得了有限域F上的一组新向量：

对于组控制器(GC)的秘密向量映射后得到的新向量X₀：

X₀＝(x_0，0，x_0，1，0，0)

对于组成员u₁的新向量X₁：

X₁＝(x_1，0x_1，1，0，0)

对于组成员u_i的新向量X_i，其中i＝2，3：

X₂＝(x_2，0，0，x_2，2，0)

X₃＝(x_3，0，0，0，x_3，3)

组控制器(GC)判定X₀，X₁，X₂，X₃是否线性相关，组控制器(GC)计算|X|＝(x_0，0x_1，1-x_0，1x_1，0)x_2，2x_3，3，若不为0，则X₀，X₁，X₂，X₃线性无关。若它们是线性相关的，则重新选择随机数v_0，0，v_0，1，r∈F并计算X₀，X₁，X₂，X₃，否则，继续执行下一步。由于满足了条件x_0，0x_1，1-x_0，1x_1，0≠0，只要x_i，i≠0(i＝2，3)，就能保证|X|≠0。因此，通过随机数r和映射f，可以很容易地得到一组线性无关的向量X₀，X₁，X₂，X₃。

步骤3，组控制器(GC)选定一个随机数k∈F作为群组密钥；假定a₀，a₁，…，a_n是未知变量，组控制器(GC)通过以下线性方程组求解中心向量A＝(a₀，a₁，…，a_n)：

$\left\{\begin{array}{c}{x}_{\mathrm{0,0}}{a}_0+x_{\mathrm{0,1}}{a}_1=k\\ x_{\mathrm{1,0}}{a}_0+x_{\mathrm{1,1}}{a}_1=k\\ x_{\mathrm{2,0}}{a}_0+x_{\mathrm{2,2}}{a}_2=k\\ x_{\mathrm{3,0}}{a}_0+x_{\mathrm{3,3}}{a}_3=k\end{array}\right.$

则该线性方程组表示成向量的形式：X×A^T＝K^T

其中向量K＝(k，k，k，k)，向量A＝(a₀，a₁，a₂，a₃)，矩阵 $X=\left[\begin{array}{c}{X}_0\\ X_1\\ X_2\\ X_3\end{array}\right]=\left[\begin{array}{cccc}{x}_{\mathrm{0,0}}& x_{\mathrm{0,1}}& 0& 0\\ x_{\mathrm{1,0}}& x_{\mathrm{1,1}}& 0& 0\\ 0& 0& x_{\mathrm{2,2}}& 0\\ 0& 0& 0& x_{\mathrm{3,3}}\end{array}\right]$

因为系数矩阵的行列式|X|≠0，所以上式具有唯一解A＝(a₀，a₁，a₂，a₃)，A＝(a₀，a₁，a₂，a₃)就是中心向量。

图10所示，组控制器(GC)通过公开信道把中心向量A＝(a₀，a₁，a₂，a₃)和映射参数r广播给组成员U1、U2和、U3。

步骤4，如图11所示，组成员U1、U2和、U3收到A＝(a₀，a₁，a₂，a₃)和映射参数r后，分别通过r计算新向量：

x_1，0＝f(v_1，0，r)

x_1，3＝f(v_1，1，r)

x_2，0＝f(v_2，0，r)

x_2，2＝f(v_2，1，r)

x_3，0＝f(v_3，0，r)

x_3，3＝f(v_3，1，r)

然后，U1计算群组密钥k＝x_1，0a₀+x_1，1a₁，U2计算群组密钥k＝x_2，0a₀+x_2，2a₂，U3计算群组密钥k＝x_3，0a₀+x_3，3a₃，显然U1计算得到的k和U2、U3计算得到的k是相同的。

如图12所示，经过以上步骤后，我们建立了一个群组，组成员分别是U1、U2和U3。

若在预设时间内没有成员加入或退出群组，则组控制器将周期性地更新群组密钥，即重复步骤2～步骤4。

实施例六

假设本安全群组通信系统包括组控制器(GC)，以及4个群组用户U1、U2、U3和U4，组控制器(GC)、各个用户通过网际网络连接。在群组初始化时，组控制器(GC)选定群组所使用的有限域F以及映射f，群组中的所有运算都建立在有限域F上，映射f使用伪随机数生成器。

步骤1，组成员U4向组控制器(GC)申请离开群组；

组控制器(GC)删除退出的组成员的秘密向量V₄，并根据当前成员下标的大小顺序，重新分配剩余组成员的编号u_i，其中i＝1，2，3；组控制器(GC)把所有成员的编号通过公开信道广播给所有成员，则组控制器(GC)现保存的组成员秘密向量为V₁，V₂，V₃；

其它步骤与本实施例五中描述的步骤2-4一致，在此不再重复。

实施例七

假设本安全群组通信系统包括组控制器(GC)，以及2个群组用户U1、U2，组控制器(GC)、各个用户通过网际网络连接。在群组初始化时，组控制器(GC)选定群组所使用的有限域F以及映射f，群组中的所有运算都建立在有限域F上，映射f使用伪随机数生成器。

步骤1，组成员U3要加入群组，新成员U3在有限域F上选择一个秘密向量，并通过安全信道发送给组控制器(GC)。

组控制器(GC)为新成员U3分配编号u₃，并把编号发送给该成员，接收该组成员的秘密向量V₃＝(v_3，1，v_i，2)并密存，则组控制器(GC)现保存的组成员秘密向量为V₁，V₂，V₃。

其它步骤与实施例一中描述的步骤2-4一致，在此不再重复。

实施例八

假设本安全群组通信系统包括组控制器(GC)，以及3个群组用户U1、U2和U3。组控制器(GC)、各个用户通过网际网络连接。

在群组初始化时，组控制器(GC)选定群组所使用的有限域F以及映射f，群组中的所有运算都建立在有限域F上，映射f使用伪随机数生成器。

步骤1，群组的成员关系要发生变化，成员U2要退出群组，而新成员U4要加入群组。新成员U4在有限域F上选择一个二维秘密向量，并通过安全信道发送给组控制器(GC)。

组控制器(GC)删除U2的秘密向量V₂，并根据当前成员下标的大小顺序，重新分配下标编号i，这样原用户U3变成了u₂，对应的秘密向量为V₂＝(v_2，1，v_2，2)。组控制器(GC)为新成员U4分配编号u₃，这样U4成为组内成员u₃，对应的秘密向量分别是V₃＝(v_3，1，v_3，2)。组控制器(GC)把所有成员的编号通过公开信道广播给所有成员，现在组控制器(GC)保存的组成员秘密向量为V₁，V₂，V₃。

其它步骤与实施例五中描述的步骤2-4一致，在此不再重复。

上述实施例为本发明较佳的实施方式，但本发明的实施方式并不受所述实施例的限制，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。

Claims (10)

1.一种基于线性几何的群组密钥管理方法，其特征在于，包括以下步骤：

步骤1、组控制器选定群组使用的有限域F以及映射f；设群组有n个组成员，每个组成员在有限域F上选定一个m维秘密向量，并通过安全信道发送给组控制器；组控制器为组成员分配编号并把编号发送给该成员，接收每个组成员的m维秘密向量并密存；其中m、n为正整数，2≤m≤n；

步骤2、组控制器在有限域F内随机选定一个映射参数，并根据该映射参数，用映射f把所有组成员的秘密向量映射成向量空间中一组新的向量，如果新向量组是线性相关的，则再次选择映射参数并重新映射，或者返回步骤1让组成员重选秘密向量，直到新向量组线性无关为止；

步骤3、组控制器在有限域F内选择一个随机数作为群组密钥，并使用新向量组和群组密钥构造一个线性方程组；组控制器求解出该线性方程组的唯一解，称为中心向量，组控制器把中心向量和映射参数通过公开信道广播或组播发送给所有组成员；

步骤4、组成员收到中心向量和映射参数后，根据映射参数把自身的秘密向量映射到向量空间中的一个新向量，再通过计算新向量与中心向量的内积得到群组密钥。

2.根据权利要求1所述的基于线性几何的群组密钥管理方法，其特征在于，还包括：

步骤5、新成员入群组：每个新成员在有限域F上选择一个m维秘密向量，并通过安全信道发送给组控制器；组控制器为新成员分配编号并把编号发送给该成员，接收每个组成员的m维秘密向量并密存；

重复步骤2～步骤4。

3.根据权利要求1所述的基于线性几何的群组密钥管理方法，其特征在于，还包括：

步骤5、组成员退出群组：每个要退出的组成员向组控制器申请离开群组；组控制器删除退出的组成员的秘密向量，并根据当前成员下标的大小顺序，重新分配剩余组成员的编号，并通过公开信道发送给所有成员；

重复步骤2～步骤4。

4.根据权利要求1所述的基于线性几何的群组密钥管理方法，其特征在于，所述步骤1具体为：

组控制器选定群组使用的有限域F以及映射f，每个组成员在有限域F上选定一个m维秘密向量，并把秘密向量通过安全信道发送给组控制器，其中m为正整数，2≤m≤n；

组控制器为组成员分配编号u_i，并把编号发送给该成员，接收每个组成员的m维秘密向量V_i＝(v_i，1，v_i，2，…，v_i，m)并密存，其中i＝1，…，n；

所述步骤2具体为：

组控制器在有限域F内随机选定一个映射参数r，并根据映射参数r，使用映射f把所有组成员u_i的秘密向量V_i＝(v_i，1，v_i，2，…，v_i，m)映射成向量空间中一组新的向量：

对于组成员u_i，其中i＝1，2，…，m：

x_i，1＝f(v_i，1，r)

x_i，2＝f(v_i，2，r)

……

x_i，m＝f(v_i，m，r)

对于组成员u_i，其中i＝m+1，…，n：

x_i，1＝f(v_i，1，r)

x_i，i-m+2＝f(v_i，2，r)

……

x_i，i＝f(v_i，m，r)

这样组控制器获得了有限域F上的一组新向量：

对于组成员u_i，其中i＝1，2，…，m：

X_i＝(x_i，1，x_i，2，…，x_i，n)，并且x_i，m+1，…，x_i，n为0；

对于组成员u_i，其中i＝m+1，…，n：

X_i＝(x_i，1，x_i，2，…，x_i，n)，并且x_i，2，…，x_i，i-m+1以及x_i，i+1，…，x_i，n都为0；

组控制器判断X₁，X₂…，X_n是否线性无关的，如果它们线性无关，进入步骤3，否则，则返回步骤2，或者返回步骤1让组成员重选秘密向量；

所述步骤3具体为：

组控制器在有限域F内选择一个随机数k作为群组密钥，并使用新向量组和群组密钥构造一个线性方程组：

假定a₁，a₂，…，a_n是未知变量，组控制器通过以下线性方程组求解中心向量A＝(a₁，a₂，…，a_n)：

$\left\{\begin{array}{c}{x}_{\mathrm{1,1}}{a}_1+x_{\mathrm{1,2}}{a}_2+\·\·\·+x_{1,n}{a}_n=k\\ x_{\mathrm{2,1}}{a}_1+x_{\mathrm{2,2}}{a}_2+\·\·\·+x_{2,n}{a}_n=k\\ \·\·\·\·\·\·\\ x_{n,1}{a}_1+x_{n,2}{a}_2+\·\·\·+x_{n,n}{a}_n=k\end{array}\right.$

则该线性方程组表示成向量的形式：X×A^T＝K^T

其中T表示距阵转置，向量K＝(k，k，…k)，向量A＝(a₁，a₂，…，a_n)，矩阵 $X=\left[\begin{array}{c}{X}_1\\ X_2\\ \·\·\·\\ X_n\end{array}\right]=\left[\begin{array}{cccc}{x}_{\mathrm{1,1}}& x_{\mathrm{1,2}}& \·\·\·& x_{1,n}\\ x_{\mathrm{2,1}}& x_{\mathrm{2,2}}& \·\·\·& x_{2,n}\\ \·\·\·& \·\·\·& \·\·\·& \·\·\·\\ x_{n,1}& x_{n,2}& \·\·\·& x_{n,n}\end{array}\right];$

因为X₁，X₂…，X_n是线性无关的向量，系数矩阵的行列式|X|≠0，所以该线性方程组具有唯一的解；

组控制器把中心向量A＝(a₁，a₂，…，a_n)和映射参数r通过公开信道广播或组播发送给所有组成员；

所述步骤4具体为：

组成员收到A＝(a₁，a₂，…，a_n)和映射参数r后，每个组成员u_i根据映射参数r把自身的秘密向量映射到向量空间中的一个新向量：

对于组成员u_i，其中i＝1，2，…，m：

x_i，1＝f(v_i，1，r)

x_i，2＝f(v_i，2，r)

……

x_i，m＝f(v_i，m，r)

即：

X_i＝(x_i，1，x_i，2，…，x_i，n)，其中x_i，m+1，…，x_i，n为0；

对于组成员u_i，其中i＝m+1，…，n：

x_i，1＝f(v_i，1，r)

x_i，i-m+2＝f(v_i，2，r)

……

x_i，i＝f(v_i，m，r)

即：

X_i＝(x_i，1，x_i，2，…，x_i，n)，其中x_i，2，…，x_i，i-m+1以及x_i，i+1，…，x_i，n都为0；

然后组成员u_i通过下式求出群组密钥k，即向量X_i和中心向量A＝(a₁，a₂，…，a_n)的内积：

k＝X_i×A^T＝x_i，1a₁+x_i，2a₂+…+x_i，na_n

其中T表示距阵转置。

5.一种基于线性几何的群组密钥管理方法，其特征在于，包括以下步骤：

步骤1、组控制器选定群组使用的有限域F以及映射f；设群组有n个组成员，每个组成员在有限域F上选定一个m维秘密向量，并通过安全信道发送给组控制器；组控制器为每个组成员分配编号并把编号发送给该成员，接收每个组成员的m维秘密向量并密存；其中m、n为正整数，2≤m≤n+1；

步骤2、组控制器收到所有组成员的秘密向量后，自己也选定一个m维秘密向量，组控制器在有限域F内随机选定一个映射参数，并根据映射参数，使用映射f把自身的和所有组成员的秘密向量映射成向量空间中一组新的向量，如果新向量组是线性相关的，则再次选择映射参数并重新映射，或者返回步骤1让组成员重选秘密向量，直到新向量组线性无关为止；

步骤3、组控制器在有限域F内选择一个随机数k作为群组密钥，并使用新向量组和群组密钥构造一个线性方程组；组控制器求解出该线性方程组的唯一解，称为中心向量，组控制器把中心向量和映射参数通过公开信道广播或组播发送给所有组成员；

步骤4、组成员收到中心向量和映射参数后，根据映射参数把自身的秘密向量映射到向量空间中的一个新向量，再通过计算新向量与中心向量的内积得到群组密钥。

6.根据权利要求5所述的基于线性几何的群组密钥管理方法，其特征在于，还包括：

步骤5、新成员入群组：每个新成员在有限域F上选择一个m维秘密向量，并通过安全信道发送给组控制器；组控制器为新成员分配编号并把编号发送给该成员，接收每个组成员的m维秘密向量并密存；

重复步骤2～步骤4。

7.根据权利要求5所述的基于线性几何的群组密钥管理方法，其特征在于，还包括：

步骤5、组成员退出群组：每个要退出的组成员向组控制器申请离开群组；组控制器删除退出的组成员的秘密向量，并根据当前成员下标的大小顺序，重新分配剩余组成员的编号，并通过公开信道发送给所有成员；

重复步骤2～步骤4。

8.根据权利要求5所述的基于线性几何的群组密钥管理方法，其特征在于，所述步骤1具体为：

组控制器选定群组使用的有限域F以及映射f，每个组成员在有限域F上选定一个m维秘密向量，并把秘密向量通过安全信道发送给组控制器，其中m为正整数，2≤m≤n+1；

组控制器为每个组成员分配编号u_i，并把编号发送给该成员，接收每个组成员的m维秘密向量V_i＝(v_i，0，v_i，1，…，v_i，m-1)并密存，其中i＝1，…，n；

所述步骤2具体为：

组控制器在有限域F内选定随机数v_0，0，v_0，1，…，v_0，m-1，构成自身的秘密向量V₀＝(v_0，0，V_0，1，…，v_0，m-1)，V₀由组控制器保密；组控制器在有限域F内随机选定一个映射参数r，并根据映射参数r，使用映射f把所有组成员u_i的秘密向量V_i＝(v_i，0，v_i，1，…，v_i，m-1)及自身的秘密向量V₀＝(v_0，0，v_0，1，…，v_0，m-1)映射成向量空间中一组新的向量：

对于组控制器自身的秘密向量V₀＝(v_0，0，v_0，1，…，v_0，m-1)，组控制器计算：

x_0，0＝f(v_0，0，r)

x_0，1＝f(v_0，1，r)

……

x_0，m-1＝f(v_0，m-1，r)

对于组成员的u_i秘密向量V_i＝(v_i，0，v_i，1，…，v_i，m-1)，其中i＝1，2，…，m-1，组控制器计算：

x_i，0＝f(v_i，0，r)

x_i，1＝f(v_i，1，r)

……

x_i，m-1＝f(v_i，m-1，r)

对于组成员的u_i秘密向量V_i＝(v_i，0，v_i，1，…，v_i，m-1)，其中i＝m，m+1，…，n，组控制器计算：

x_i，0＝f(v_i，0，r)

x_i，i-m+2＝f(v_i，1，r)

……

x_i，i＝f(v_i，m-1，r)

这样组控制器获得了有限域F上的一组新向量：

对于组控制器的秘密向量映射后得到的新向量X₀：

X₀＝(x_0，0，x_0，1，…，x_0，n)，并且x_0，m，…，x_0，n为0；

对于组成员u_i的新向量X_i，其中i＝1，2，…，m-1：

X_i＝(x_i，0，x_i，1，…，x_i，n)，并且x_i，m，…，x_i，n为0；

对于组成员u_i的新向量X_i，其中i＝m，m+1，…，n：

X_i＝(x_i，0，x_i，1，…，x_i，n)，并且x_i，1，…，x_i，i-m+1以及x_i，i+1，…，x_i，n都为0；

组控制器判断X₀，X₁…，X_n是否线性无关的，如果它们线性无关，进入步骤3，否则，则返回步骤2，或者返回步骤1让组成员重选秘密向量；

所述步骤3具体为：

组控制器在有限域F内选择一个随机数k作为群组密钥，并使用新向量组和群组密钥构造一个线性方程组：

假定a₀，a₁，…，a_n是未知变量，组控制器通过以下线性方程组求解中心向量A＝(a₀，a₁，…，a_n)：

$\left\{\begin{array}{c}{x}_{\mathrm{0,0}}{a}_0+x_{0,1}{a}_1+\·\·\·+x_{0,n}{a}_n=k\\ x_{\mathrm{1,0}}{a}_0+x_{\mathrm{1,1}}{a}_1+\·\·\·+x_{1,n}{a}_n=k\\ \·\·\·\·\·\·\\ x_{n,0}{a}_0+x_{n,1}{a}_1+\·\·\·+x_{n,n}{a}_n=k\end{array}\right.$

则该线性方程组表示成向量的形式：X×A^T＝K^T

其中T表示距阵转置，向量K＝(k，k，…k)，向量A＝(a₀，a₁，…，a_n)，矩阵 $X=\left[\begin{array}{c}{X}_0\\ X_1\\ \·\·\·\\ X_n\end{array}\right]=\left[\begin{array}{cccc}{x}_{0,0}& x_{\mathrm{0,1}}& \·\·\·& x_{0,n}\\ x_{\mathrm{1,0}}& x_{\mathrm{1,1}}& \·\·\·& x_{1,n}\\ \·\·\·& \·\·\·& \·\·\·& \·\·\·\\ x_{n,0}& x_{n,1}& \·\·\·& x_{n,n}\end{array}\right];$

因为X₀，X₁…，X_n是线性无关的向量，系数矩阵的行列式|X|≠0，所以该线性方程组具有唯一的解；

组控制器把中心向量A＝(a₀，a₁，…，a_n)和映射参数r通过公开信道广播或组播发送给所有组成员；

所述步骤4具体为：

组成员收到中心向量A＝(a₀，a₁，…，a_n)和映射参数r后，根据映射参数r把自身的秘密向量映射到向量空间中的一个新向量：

对于组成员u_i，其中i＝1，2，…，m-1：

x_i，0＝f(v_i，0，r)

x_i，1＝f(v_i，1，r)

……

x_i，m-1＝f(v_i，m-1，r)

即：

X_i＝(x_i，0，x_i，1，…，x_i，n)，并且x_i，m，…，x_i，n为0；

对于组成员u_i，其中i＝m，m+1，…，n：

x_i，0＝f(v_i，0，r)

x_i，i-m+2＝f(v_i，1，r)

……

x_i，i＝f(v_i，m-1，r)

即：

X_i＝(x_i，0，x_i，1，…，x_i，n)，并且x_i，1，…，x_i，i-m+1以及x_i，i+1，…，x_i，n都为0；

然后组成员u_i通过下式求出群组密钥k，即向量X_i和中心向量A＝(a₀，a₁，…，a_n)的内积：

k＝X_i×A^T＝x_i，0a₀+x_i，1a₁+…+x_i，na_n

其中T表示距阵转置。

9.根据权利要求1或5所述的基于线性几何的群组密钥管理方法，其特征在于，所述m维秘密向量是二维秘密向量。

10.根据权利要求1或5所述的基于线性几何的群组密钥管理方法，其特征在于，还包括自动更新：

若在预设时间内没有成员加入或退出群组，则组控制器将周期性地更新群组密钥，组控制器重新选择映射参数与群组密钥，并计算出中心向量，组控制器把中心向量和映射参数通过公开信道广播或组播发送给所有组成员。

Images