CN101848082B - 一种基于线性几何的等级群组密钥管理方法 - Google Patents

Abstract

本发明公开了一种基于线性几何的等级群组密钥管理方法，包括以下步骤：步骤1、中央控制器选择群组使用的有限域F、映射f和常数N；中央控制器为每个子群组选择一个N维私有向量；步骤2、中央控制器选择映射参数r，并把私有向量映射成向量空间中一组新的向量；步骤3、中央控制器为每一个子群组选定一个子群组密钥，构造n组线性方程组，并求解出线性方程组的解，即公开向量，n组公开向量组成一个公开矩阵；中央控制器把公开矩阵和映射参数r通过公开信道广播或组播发送给所有的子群组控制器；步骤4、子群组控制器求出自身的保密向量，再用保密向量与公开矩阵作线性变换，得到一组密钥向量。本发明具有简单灵活、能有效避免暴力攻击等优点。

Description

一种基于线性几何的等级群组密钥管理方法

技术领域

本发明涉及网络安全中的群组密钥管理方法，具体是涉及一种基于线性几何和正交向量理论的群组等级密钥管理方法。 

背景技术

随着Internet技术的快速发展以及组播技术的流行，面向群组的应用，例如视频会议、网络游戏、视频点播等，开始扮演越来越重要的角色，安全群组通信成为了研究的重要方向。具有等级访问控制的安全群组通信是指一个群组划分为一系列具有不同权限的子群组，高等级的子群组能接收和解密其后裔(直接或间接)子群组的信息，而反过来则不行。对基于密码学的等级访问控制来说，高等级的子群组能直接或间接计算得到/导出其后裔子群组的通信密钥，而低等级的子群组无法导出其祖先子群组的通信密钥。 

通常，等级访问控制有一些设定：(1)等级关系可以由有向无环图(DAG，Directed Acyclic Graph)来表示。(2)有一个中央控制器(CC：central controller)统一管理等级关系，可以计算和分发密钥。(3)在DAG中每一个节点代表一组用户，我们可把每个节点称为子群组。(4)每个子群组都有一个子群控制器(SC：subgroup controller)，其职责是安全分发子群组的密钥给每个子群组成员。(5)CC和SC之间，在系统初始化或者有新的子群组加入的时候需要有安全信道保证安全通信。(6)在每个子群组内，都有一个安全密钥管理方案，用于实施子群组内的密钥管理。 

目前，在等级访问控制方面已经有了很多方案，典型的方案包括：Akl-Taylor方案，Lin方案，Sandhu方案，CRT方案等。 

Akl-Taylor方案是一个基于单向函数的密钥直接依赖方案。后裔子群组的密钥通过单向函数由其祖先子群组的密钥生成，祖先子群组能直接计算得出后裔子群组的密钥，后裔子群组无法选择自己的密钥。其优点是所有节点无需记忆等级结构，仅需要保存自身的密钥。而缺点是整个等级结构上静态的，结构上的小变动都会导致整个等级结构上所有节点的更新。 

还有其他一些方案例如Mackinnon，Chick and Tavares等等，它们都可以看作是Akl-Taylor方案的改进。 

Lin方案是一种基于单向函数的密钥间接依赖方案，其后裔子群组的密钥能独立于祖先子群组的密钥，祖先子群组通过间接的方法导出后裔子群组的密钥。其优点是后裔子群组可以独立更改密钥，而不影响其他子群组的密钥。缺点是子群组必须记住整个等级结构，至少是所有后裔子群组。另外还需要存储一些额外的辅助变量，用于导出后裔子群组的密钥。 

Sandhu方案是基于树结构的，每个节点都有一个名字(name)，树的根节点随机选择一个密钥，其余的节点的密钥通过用其祖先节点的密钥来加密其名字得到。一个子群组可以直接通过加密计算得到其后裔子群组的密钥，而后裔子群组则无法计算出其祖先子群组的密钥。方案的优点是每个子群组仅需要保存自身的信息，子群组等级的变动仅仅会影响其后裔子群组的密钥更新。缺点是子群组需要记录一定的群组信息，至少是所有的后裔子群组信息，而且仅仅是适用树结构等级模型。 

基于中国剩余定理(CRT)的方案，该方案通过CRT算法把等级结构隐藏在构造好的CRT变量里，一个子群组的所有祖先子群组能根据CRT变量来计算该子群组的密钥，但该子群组无法知道哪些子群组是它的祖先子群组。其祖先子群组也无法知道到达该子群组的具体路径，仅仅能够计算其密钥。该方案提 供了良好的安全性，其缺点是计算CRT变量的开销巨大，随着群组数目的增加成比例增长，可扩展性不够。 

发明内容

本发明的目的之一在于提供一种基于有限域上的向量空间中的多项式函数的理论，建立了一种基于线性几何的等级群组密钥管理方法，发明方法具有简单灵活、能有效避免暴力攻击等优点。 

本发明的目的之二在于提供另一种基于有限域上的向量空间中的多项式函数的理论，建立了一种基于线性几何的等级群组密钥管理方法，该发明方法具有存储量少、计算量小、安全性高、能有效避免暴力攻击等优点。 

本发明目的之一是通过下述技术方案实现的：一种基于线性几何的等级群组密钥管理方法，包括以下步骤： 

步骤1、中央控制器(CC)选择群组使用的有限域F以及映射f，群组的运算都在有限域F中进行；同时中央控制器确定一个常数N，作为子群组个数的上限；中央控制器(CC)把有限域F、常数N以及映射f发送给所有子群组控制器；设群组共有n个子群组，中央控制器为每个子群组编号，发送给所有子群组控制器；同时中央控制器为每一个子群组随机选定一个N维私有向量，通过安全通道发送给对应的子群组控制器；子群组控制器接收中央控制器的私有向量并密存，其中N，n为正整数，n≤N； 

步骤2、中央控制器在有限域F上随机选定一个映射参数r，并根据该映射参数，用映射f把所有子群组控制器的私有向量映射成向量空间中一组新的向量，称为保密向量；如果新向量组是线性相关的，则再次选择映射参数并重新映射，或者返回步骤1让子群组控制器重选私有向量，直到新向量组线性无关为止； 

步骤3、中央控制器在有限域F上为每一个子群组都选定一个子群组密钥， 中央控制器根据子群组间的等级关系，利用保密向量和子群组密钥构造n组线性方程组，中央控制器求解出线性方程组的唯一解，称为公开向量；保密向量和公开向量遵循以下规则：(1)低等级节点的保密向量与高等级节点的公开向量正交，内积为0；(2)对于所有节点，本节点自身的保密向量与自身的公开向量内积为本节点的群组密钥；(3)当高等级节点是本节点的父节点或祖先节点时，高等级节点的保密向量与本节点公开向量的内积为本节点的群组密钥；高等级节点的保密向量与后裔子节点公开向量的内积为后裔子节点的群组密钥；(4)没有直接或间接上下级关系的节点间无法导出对方的密钥，自身的保密向量与对方的公开向量的内积为0；(5)兄弟节点间也不能导出对方的密钥，自身的保密向量与对方的公开向量的内积为0。n组公开向量组成一个公开矩阵，中央控制器把公开矩阵和映射参数r通过公开信道广播或组播发送给所有的子群组控制器； 

步骤4、每一个子群组控制器接收到公开矩阵和映射参数后，根据映射参数把自身的私有向量映射到向量空间的一个新向量，求出自身的保密向量，再用保密向量与公开矩阵作线性变换，得到一组密钥向量，子群组控制器能通过自身计算的密钥向量得到自己和后裔子群组的群组密钥，子群组控制器无法计算其父群组和祖先群组的群组密钥；子群组控制器把计算好的群组密钥分发到组内成员。 

为更好的实现本发明，所述步骤1具体为： 

中央控制器确定有限域F、常数N以及映射f；中央控制器(CC)把有限域F、常数N以及映射f发送给所有子群组控制器；中央控制器为每一个子群组控制器分配编号SC_i，通过广播或组播把编号发送给所有子群组控制器；中央控制器为每一个子群组V_i随机选定一个N维私有向量Z_i＝(z_i，1，z_i，2，...，z_i，N)，通过安全通道把私有向量发送给对应的子群组控制器SC_i；每个子群组控制器SC_i接收私有向量Z_i＝(z_i，1，z_i，2，...，z_i，N)并密存。 

所述步骤2具体为： 

中央控制器在有限域F上随机选定一个映射参数r，并使用映射f把所有子群组的私有向量Z_i＝(z_i，1，z_i，2，...，z_i，N)映射成一组新的向量，称为保密向量； 

对于编号为SC_i的子群组控制器： 

x_i，1＝f(z_i，1，r)

x_i，2＝f(z_i，2，r)

……， 

x_i，n＝f(z_i，n，r)

则中央控制器得到新的有限域F上的一组向量： 

X₁＝(x_1，1，x_1，2，...，x_1，n)， 

X₂＝(x_2，1，x_2，2，...，x_2，n)， 

L L， 

X_n＝(x_n，1，x_n，2，...，x_n，n) 

中央控制器判断X₁，X₂，...，X_n是否线性相关，如果是线性相关，则返回步骤2，或者返回步骤1让子群组控制器重选私有向量，直到新向量组线性无关为止；否则进入步骤3(由于r是一个随机数，因此可以很容易地得到一组线性无关的向量X₁，X₂L，X_n)； 

所述步骤3具体为： 

中央控制器在有限域F上为每个子群组分别选取随机数作为子群组的密钥，设选取的随机数分别为k₁，k₂，...，k_n，且k_i≠0，对任意子群组V_i，设P(i)表示子群组V_i的所有祖先节点的集合，假设公开向量A_i＝(a_i，1，a_i，2，...，a_i，n)是未知参数，则各个子群组的保密向量X_j与公开向量A_i有如下关系： 

公式(1)的具体含义：①对于任一个子群组V_i，其保密向量X_i，公开向量是A_i，密钥为k_i，则 

②对于其它子群组V_j(j＝1，...，n且j≠i)，保密向量记为X_j，如果V_j是V_i的父节点或祖父节点，则 

如果V_j不是V_i的父节点或祖父节点，则 

由公式(1)：设X＝(X₁，X₂，...，X_n)^T，K_i＝(c_i，1，c_i，2，...，c_i，n)^T， 

则(1)转换成 

$X\×A_i^T=K_i---\left(2\right)$

令 

K＝(K₁，K₂，...，K_n)，对所有V_i则有 

X×A＝K    (3) 

中央控制器需要求解方程组(3)，由于步骤2中X₁，X₂，...，X_n线性无关保证了系数矩阵的行列式|X|≠0，所以方程组(3)有唯一解，A即为所求的公开矩阵； 

中央控制器通过公开信道把公开矩阵 

和映射参数r通过公开信道广播或组播给所有子群组控制器； 

所述步骤4具体为： 

子群组控制器接收到 和映射参数r后，各个子群组控制器首先通过映射f映射计算X_i＝(x_i，1，x_i，2，...，x_i，n)： 

x_i，1＝f(z_i，1，r)

x_i，2＝f(z_i，2，r)

......， 

x_i，n＝f(z_i，n，r)

然后计算： 

$k_i=X_i\×A_i^T=x_{i,1}{a}_{i,1}+x_{i,2}{a}_{i,2}+...+x_{i,n}{a}_{i,n}---\left(4\right)$

$t_j=X_i\×A_j^T=x_{j,1}{a}_{i,1}+x_{j,2}{a}_{i,2}+...+x_{j,n}{a}_{i,n}(j\≠i)---\left(5\right)$

公式(4)的具体含义是：对于某一子群组V_i，其子群组控制器SC_i计算得到的保密向量是X_i，接收到的公开向量是A_i，则SC_i计算群组密钥 

公式(5)的具体含义是：某个子群组V_i，其子群组控制器SC_i计算得到的保密向量是X_i，群组内其他的子群组V_j(j＝1，...，n且j≠i)的公开向量记为A_j，则SC_i尝试计算V_j的群组密钥 

如果V_j是V_i的直接或者间接后裔子群组，则t_j≠0且t_j为子群组V_j的群组密钥，如果V_j不是V_i的直接或者间接后裔子群组，则t_j＝0，V_i无法计算V_j的群组密钥。 

其中P(j)表示子群组V_j的所有祖先节点的集合；如果V_i∈P(j)，则t_j＝k_j，即V_j的群组密钥；否则，t_j＝0；通过(4)和(5)，每个V_i都可以方便地算出本身或后裔节点的群组密钥； 

子群组控制器SC_i把计算好的k_i和t_i(j≠i)分发到群组内各成员(具体分发过程由群组内的密钥管理方案决定)。 

当有普通成员(非子群组控制器)申请加入子群组时，所述的基于线性几何的等级群组密钥管理方法进一步包括： 

步骤5、普通成员(非子群组控制器)加入：假定当前群组中有n个子群组，其中的g个子群组有新成员请求加入，则有新用户加入的子群组控制器向中央控制器发出用户加入请求(可通过批量处理方式让新成员同时加入到群组中)，其中g＜＝n； 

重复步骤2～步骤4。 

当有普通成员(非子群组控制器)申请退出子群组时，所述的基于线性几何的等级群组密钥管理方法进一步包括： 

步骤5、普通成员(非子群组控制器)申请退出子群组：假定当前群组中有n 个子群组，其中的g个子群组有成员请求退出，则有用户申请退出的子群组控制器向中央控制器发出用户退出请求(通过批量处理方式完成密钥更新)，其中g＜＝n； 

重复步骤2～步骤4。 

当同时有普通成员(非子群组控制器)加入和有普通成员(非子群组控制器)退出时，所述的基于线性几何的等级群组密钥管理方法进一步包括： 

步骤5、批量普通成员加入和退出：指有大量新用户申请加入某些子群组，同时某些子群组有组成员申请退出，则有用户加入的子群组控制器向中央控制器发出用户加入请求，有用户退出的子群组控制器向中央控制器发出用户退出请求； 

重复步骤2～步骤4。 

子群组有可能分裂出新子群组，新子群组选出新的子群组控制器后，就要加入到系统中；所述的基于线性几何的等级群组密钥管理方法进一步包括： 

步骤5、新的子群组加入：中央控制器为每个新的子群组控制器编号，把编号发送给所有子群组控制器；同时中央控制器为每个新加入的子群组在有限域F上随机选择一个N维的私有向量，并分别通过安全信道发送给对应的子群组控制器；新加入的子群组控制器接收中央控制器发送过来的私有向量并密存；中央控制器把有限域F、常数N以及映射f发送给新加入的子群组控制器； 

重复步骤2～步骤4。 

子群组的删除或合并等操作会造成子群组控制器成员的退出，所述的基于线性几何的等级群组密钥管理方法进一步包括： 

步骤5、子群组的退出：退出的子群组控制器向中央控制器申请离开群组，中央控制器删除退出的子群组控制器的私有向量，根据当前子群组控制器成员 的下标大小重新编号，通过广播或组播把所有成员的下标编号分发给所有子群组控制器； 

重复步骤2～步骤4。 

当同时有批量子群组控制器成员加入和有批量子群组控制器成员退出时时，所述的基于线性几何的等级群组密钥管理方法进一步包括： 

步骤5、批量子群组控制器成员加入和退出：每个退出的子群组控制器向中央控制器申请退出；中央控制器删除退出的子群组控制器的私有向量，根据当前的子群组控制器的下标大小重新分配子群组控制器的编号，同时为每个新加入的子群组控制器分配编号，把编号发送给所有子群组控制器；中央控制器为每个新加入的子群组在有限域F上随机选择一个N维的私有向量，并分别通过安全信道发送给对应的子群组控制器；新加入的子群组控制器接收中央控制器发送过来的私有向量并密存；中央控制器把有限域F、常数N以及映射f发送给新加入的子群组控制器； 

重复步骤2～步骤4。 

当有普通用户和子群组控制器用户混合加入，和/或有普通用户和子群组控制器用户混合退出时，所述的基于线性几何的等级群组密钥管理方法进一步包括： 

步骤5、批量的普通用户和子群组控制器加入，和/或有普通用户和子群组控制器用户混合退出时：每个退出的子群组控制器向中央控制器申请退出；有普通用户加入或退出的子群组控制器向中央控制器发出更新密钥的请求；中央控制器删除退出的子群组控制器的私有向量，根据当前的子群组控制器的下标大小重新分配子群组控制器的编号，同时为每个新加入的子群组控制器分配编号，把编号发送给所有子群组控制器；中央控制器为每个新加入的子群组在有限域F上随机选择一个N维的私有向量，并分别通过安全信道发送给对应的子 群组控制器；新加入的子群组控制器接收中央控制器发送过来的私有向量并密存；中央控制器把有限域F、常数N以及映射f发送给新加入的子群组控制器； 

重复步骤2～步骤4。 

本发明目的之二是通过下述技术方案实现的一种基于线性几何的等级群组密钥管理方法，包括以下步骤： 

步骤1、中央控制器(CC)选择群组使用的有限域F以及映射f，群组的运算都在有限域F中进行；同时中央控制器确定一个常数m；中央控制器(CC)把有限域F、常数m以及映射f发送给所有子群组控制器；设群组共有n个子群组，中央控制器为每个子群组控制器编号，把编号发送给所有子群组控制器；同时中央控制器为每个子群组在有限域F上随机选择一个m维和一个2维私有向量，分别通过安全信道发送给对应的子群组控制器；子群组控制器接收m维和2维私有向量并密存；其中m，n为正整数，2≤m≤n； 

步骤2、中央控制器在有限域F上随机选定一个映射参数r，并根据该映射参数，用映射f把所有子群组控制器的2维向量映射成一组新向量；同时用映射f把所有子群组控制器的m维私有向量映射成向量空间中一组新的向量；如果新向量组是线性相关的，则再次选择映射参数并重新映射，或者返回步骤1让子群组控制器重选私有向量，直到新向量组线性无关为止；这两组新向量又称为保密向量； 

步骤3、中央控制器在有限域F上为每一个子群组都选定一个群组密钥，中央控制器根据子群组间的等级关系，利用保密向量和子群组密钥构造n组线性方程组，中央控制器求解出线性方程组的唯一解，称为公开向量；保密向量和公开向量遵循以下规则：(1)对于所有节点，本节点自身的m维保密向量与自身的公开向量内积为本节点自身的群组密钥；(2)低等级节点的m维保密向量与高等级节点的公开向量正交，内积为0；(3)当高等级节点是本节点的父节点或祖先节点时，高等级节点的m维保密向量与所有后裔子节点公开向量的内积为间 接密钥，高等级节点可以进一步通过自身的2维保密向量和密钥求出后裔子节点的密钥；(4)没有直接或间接上下级关系的节点间无法导出对方的密钥，自身的m维保密向量与对方的公开向量的内积为0；(5)兄弟节点间也不能导出对方的密钥，自身的m维保密向量与对方的公开向量的内积为0；n组公开向量组成一个公开矩阵，中央控制器把公开矩阵和映射参数r通过公开信道广播或组播发送给所有的子群组控制器； 

步骤4、每一个子群组控制器接收到公开矩阵和映射参数后，根据映射参数把自身的2个私有向量映射成向量空间中的2个新向量，即保密向量，再用m维的保密向量与公开矩阵作线性变换，得到一组密钥向量，子群组控制器能通过自身计算的密钥向量得到自己的群组密钥，再通过自身2维保密向量和自身的群组密钥计算后裔子群组的群组密钥，子群组控制器无法计算其父群组或祖先群组的群组密钥；子群组控制器把计算好的群组密钥通过组内密钥管理方案分发到组内成员； 

为更好的实现本发明，所述步骤1具体为： 

中央控制器确定一个有限域F和常数m以及映射f，中央控制器(CC)把有限域F、常数m以及映射f发送给所有子群组控制器；中央控制器(CC)为每个子群组V_i在有限域F上选择一个的m维私有向量Z_i＝(z_i，1，z_i，2，...，z_i，m)和一个2维私有向量Y_i＝(y_i，1，y_i，2)，通过安全信道把Z_i和Y_i发送给对应的子群组控制器SC_i； 

子群组控制器SC_i接收私有向量Z_i和Y_i并密存，中央控制器为每一个子群组控制器分配编号SC_i，通过广播或组播把编号发送给所有子群组控制器；其中i＝1，...，n； 

所述步骤2具体为： 

中央控制器在有限域F上随机选定一个映射参数r，并使用映射f把所有子群组的私有向量Z_i映射成一组新的向量X_i，用映射f把所有子群组的私有向量Y_i映射成一组新的向量W_i，X_i和W_i称为保密向量； 

(1)对于所有子群组SC_i，i＝1，...，n，向量W_i＝(w_i，1，w_i，2)： 

w_i1＝f(y_i，1，r)

w_i2＝f(y_i，2，r)

(2)当i＝1，...，m，X_i＝(x_i，1，...，x_i，m，0，...，0)： 

x_i，1＝f(z_i，1，r)

x_i，m＝f(z_i，m，r)

令x_i，m+1＝...＝x_i，n＝0； 

(3)当i＝m+1，...，n，X_i＝(x_i1，x_i，2，...，x_i，m-1，0...，0，x_i，i，0，...，0)

x_i，1＝f(z_i，1，r)

x_i，m-1＝f(z_i，m-1，r)

x_i，i＝f(z_i，m，r)

令x_i，m-1＝...＝x_i，i＝0，x_i，i+1＝...＝x_i，n＝0； 

则中央控制器得到由X_i组成的基于有限域F的一组n维向量： 

X₁＝(x_1，1，x_1，2，...，x_1，n) 

X₂＝(x_2，1，x_2，2，...，x_2，n) 

Xn＝(x_n，1，x_n，2，...，x_n，n) 

中央控制器判断X₁，X₂，...，X_n是否线性相关：如果是线性相关，则返回步骤2，再次选择映射参数并重新映射，或者返回步骤1让子群组控制器重选私有向量，直到新向量组线性无关为止；否则进入步骤3，由于r是一个随机数，因此可以很容易地得到一组线性无关的向量X₁，X₂，...，X_n； 

所述步骤3具体为： 

中央控制器为每个子群组V_i选择一个群组密钥k_i，i，i＝1，...，n；对任意子群组控制器SC_i，i＝1，...，n，假设其公开向量A_i＝(a_i，1，a_i，2，...a_i，n)是未知参数，用C(V_i)表示子群组控制器SC_i的所有后裔子群组的集合，都有则各个子群的保密向量X_i与公开向量A_i有如下关系： 

$X_i\×A_i^T=k_{i,i}$

设V_j∈C(V_i)，即V_j(j＝1，...，n)是V_i的直接或间接的后裔子群组且j≠i，则A_j和X_i、W_i、X_j的关系如下： 

$\left\{\begin{array}{c}{X}_j\×A_j^T=k_{j,j}\\ X_i\×A_j^T=k_{i,j}\\ W_i\×{(k_{i,i},k_{i,j})}^T=k_{j,j}\end{array}\right.---\left(6\right)$

由(6)导出： 

$X_i\×{A_j}^T=k_{i,j}=\left\{\begin{array}{c}{k}_{i,i},j=i\\ (k_{j,j}-w_{i,1}{k}_{i,i})w_{i,2}^{-1},j\≠i\∩V_j\∈C\left(V_i\right)\\ 0,j\≠i\∩V_j\∉C\left(V_i\right)\end{array}\right.---\left(7\right)$

公式(7)的具体含义：对于任一子群组V_i，其n维保密向量X_i，2维保密向量为W_i＝(w_i，1，w_i，2)，公开向量是A_i，密钥为k_i，i；所有子群组V_i(j＝1，...，n)的公开向量记为A_j＝(a_j，1，a_j，2，...，a_j，n)；①当j＝i时，A_j＝A_i且k_i，j＝k_i，i，这时候计算的 

即为子群组V_i的群组密钥；②当j≠i且V_j是V_i的直接或者间接后裔子群组时，V_i可以通过间接密钥k_i，j求V_j的群组密钥k_j，j，由公式(6)可以推导出 ③当j≠i且V_j是V_i的直接或者间接后裔子群组时，则 

这时V_i不能通过k_i，j求出V_j的密钥k_j，j； 

设X＝(X₁，X₂，...，X_n)，K_i＝(k_i，1，k_i，2，...，k_i，n)^T，则(7)可以写成X×A^T＝K_i

令 

K＝(K₁，K₂，...，K_n)，对所有V_i则有 

X×A＝K    (8) 

把(8)写成方程组形式： 

$\left[\begin{array}{cccc}{x}_{\mathrm{1,1}}& x_{\mathrm{1,2}}& ...& x_{1,n}\\ x_{\mathrm{2,1}}& x_{2,2}& ...& x_{2,n}\\ ...& ...& ...& ...\\ x_{n,1}& x_{n,2}& ...& x_{n,n}\end{array}\right]\×\left[\begin{array}{cccc}{a}_{\mathrm{1,1}}& a_{\mathrm{2,1}}& ...& a_{n,1}\\ a_{\mathrm{1,2}}& a_{\mathrm{2,2}}& ...& a_{n,2}\\ ...& ...& ...& ...\\ a_{1,n}& a_{2,n}& ...& a_{n,n}\end{array}\right]=\left[\begin{array}{cccc}{k}_{\mathrm{1,1}}& k_{\mathrm{1,2}}& ...& k_{1,n}\\ k_{\mathrm{2,1}}& k_{\mathrm{2,2}}& ...& k_{2,n}\\ ...& ...& ...& ...\\ k_{n,1}& k_{n,2}& ...& k_{n,n}\end{array}\right]$

中央控制器求解方程组(8)，由于在步骤3保证了系数矩阵的行列式|X|≠0， 所以方程组(8)有唯一解：A＝X^-1K；A即为所求的公开矩阵；中央控制器通过公开信道把矩阵 

和映射参数r通过公开信道广播或组播给所有子群组控制器； 

所述步骤4具体为： 

当子群组控制器接收到 

和映射参数r后，各个子群组控制器SC_i首先根据自身编号i和映射f计算W_i和X_i： 

(1)对于所有i＝1，...，n，W_i＝(w_i，1，w_i，2) 

w_i，1＝f(y_i，1，r)

w_i，2＝f(y_i，2，r)

(2)当i＝1，...，m，X_i＝(x_i，1，...，x_i，m，0，...，0)： 

x_i，1＝f(z_i，1，r)

x_i，m＝f(z_i，m，r)

令x_i，m+1＝...＝x_i，n＝0； 

(3)当i＝m+1，...，n，X_i＝(x_i，1，x_i，2，...，x_i，m-1，0...，0，x_i，i，0，...，0)

x_i，1＝f(z_i，1，r)

x_i，m-1＝f(z_i，m-1，r)

x_i，i＝f(z_i，m，r)

令x_i，m-1＝...＝x_i，i＝0，x_i，i+1＝...＝x_i，n＝0； 

然后计算，对所有j＝1，...，n， 

$k_{i,j}=\left\{\begin{array}{cc}{X}_i\×A_j^T=x_{i,1}{a}_{j,1}+...+x_{i,m}{a}_{j,m},& i\≤m\\ X_i\×A_j^T=x_{i,1}{a}_{j,1}+...+x_{i,m-1}{a}_{j,m-1}+x_{i,i}{a}_{j,i},& i>m\end{array}\right.---\left(9\right)$

公式(9)的具体含义：对于子群组V_i，子群组控制器为SC_i，n维保密向量是X_i，2维保密向量为W_i＝(w_i，1，w_i，2)；群组中所有子群组的公开向量记为A_j＝(a_j，1，a_j，2，...，a_j，n)(j＝1，...，n)；当j＝i时，A_j＝A_i且k_i，j＝k_i，i，这时候计算的k_i，j即为子群组V_i的群组密钥；当j≠i且k_i，j≠0时，V_i可以通过k_i，j求V_j的群组密钥k_j，j， V_j是V_i的直接或间接后裔子群组；当j≠i且k_i，j＝0时，说明V_i不能求出V_j的密钥k_j，j；计算k_i，j又可以分为两种情况：①当1≤i≤m，X_i＝(x_i，1，...，x_i，m，0，...，0)，所以 

②当m+1≤i≤n，X_i＝(x_i，1，...，x_i，m-1，0，...，0，x_i，i，0，...，0)，所以 

当j≠i，如果k_i，j≠0，则子群组控制器SC_i继续计算子群组V_j的群组密钥k_j，j： 

k_j，j＝w_i，1×k_i，i+w_i，2×k_i，j    (10) 

通过式(9)和(10)，各个子群组控制器SC_i可以方便计算出密钥k_i，i和各个后裔子群组的密钥k_j，j；子群组控制器SC_i把计算出来的k_i，i和k_j，j(i＝1，...，n且j≠i)分发到各个组内成员。 

当有普通成员(非子群组控制器)申请加入子群组时，所述的基于线性几何的等级群组密钥管理方法进一步包括： 

步骤5、普通成员(非子群组控制器)加入：假定当前群组中有n个子群组，其中的g个子群组有新成员请求加入，则有新用户加入的子群组控制器向中央控制器发出用户加入请求(可通过批量处理方式让新成员同时加入到群组中)，其中g＜＝n： 

重复步骤2～步骤4。 

当有普通成员(非子群组控制器)申请退出子群组时，所述的基于线性几何的等级群组密钥管理方法进一步包括： 

步骤5、普通成员(非子群组控制器)申请退出子群组：假定当前群组中有n个子群组，其中的g个子群组有成员请求退出，则有用户申请退出的子群组控制器向中央控制器发出用户退出请求(通过批量处理方式完成密钥更新)，其中g＜＝n： 

重复步骤2～步骤4。 

当同时有普通成员(非子群组控制器)加入和有普通成员(非子群组控制器)退出时，所述的基于线性几何的等级群组密钥管理方法进一步包括： 

步骤5、批量普通成员加入和退出：指有大量新用户申请加入某些子群组，同时某些子群组有组成员申请退出，则有用户加入的子群组控制器向中央控制器发出用户加入请求，有用户退出的子群组控制器向中央控制器发出用户退出请求： 

重复步骤2～步骤4。 

当有子群组控制器成员的(批量)加入，所述的基于线性几何的等级群组密钥管理方法进一步包括： 

步骤5、新的子群组加入：中央控制器为每个新子群组在有限域F上随机选择一个m维私有向量Z_i＝(z_i，1，z_i，2，...，z_i，m)和一个2维私有向量Y_i＝(y_i，1，y_i，2)，并通过安全信道发送给对应的子群组控制器；中央控制器为每个新的子群组控制器分配编号，把编号发送给所有子群组控制器；新子群组控制器接收中央控制器发送的m维和2维私有向量和密存；中央控制器把有限域F、常数N以及映射f发送给新加入的子群组控制器； 

重复步骤2～步骤4。 

当有子群组控制器的(批量)离开，所述的基于线性几何的等级群组密钥管理方法进一步包括： 

步骤5、子群组的退出：退出的子群组控制器向中央控制器申请离开群组，中央控制器删除退出的子群组控制器的私有向量，根据当前子群组控制器成员的下标大小重新编号，通过广播或组播把所有成员的下标编号分发给所有子群组控制器； 

重复步骤2～步骤4。 

当同时有批量子群组控制器的加入和退出，所述的基于线性几何的等级群组密钥管理方法进一步包括： 

步骤5、有批量子群组控制器的加入和退出：每个退出的子群组控制器向中央控制器申请退出；中央控制器删除退出的子群组控制器的私有向量，根据当前的子群组控制器的下标大小重新分配子群组控制器的编号，并为新的子群组控制器分配编号，通过广播或组播把所有成员的下标编号分发给所有子群组控制器；中央控制器为每个新子群组在有限域F上随机选择一个m维私有向量Z_i＝(z_i，1，z_i，2，...，z_i，m)和一个2维私有向量Y_i＝(y_i，1，y_i，2)，并通过安全信道发送给对应的子群组控制器；中央控制器为每个新的子群组控制器分配编号，把编号发送给所有子群组控制器；新子群组控制器接收中央控制器发送的m维和2维私有向量并密存；中央控制器把有限域F、常数N以及映射f发送给新加入的子群组控制器； 

重复步骤2～步骤4。 

当有批量的普通用户和子群组控制器加入，和/或有普通用户和子群组控制器用户混合退出时，所述的基于线性几何的等级群组密钥管理方法进一步包括： 

步骤5、批量的普通用户和子群组控制器加入，和/或有普通用户和子群组控制器用户混合退出时：每个退出的子群组控制器向中央控制器申请退出；有普通用户加入或退出的子群组控制器向中央控制器发出更新密钥的请求；中央控制器删除退出的子群组控制器的私有向量，根据当前的子群组控制器的下标大小重新分配子群组控制器的编号，并为新的子群组控制器分配编号，通过广播或组播把所有成员的编号分发给所有子群组控制器；中央控制器为每个新子群组在有限域F上随机选择一个m维私有向量Z_i＝(z_i，1，z_i，2，...，z_i，m)和一个2维私有向量Y_i＝(y_i，1，y_i，2)，并通过安全信道发送给对应的子群组控制器；中央控制器为每个新的子群组控制器分配编号，把编号发送给所有子群组控制器；新子群组控制器接收中央控制器发送的m维和2维私有向量并密存；中央控制器把有限域 F、常数N以及映射f发送给新加入的子群组控制器； 

重复步骤2～步骤4。 

优选的，所述m取值为2。 

优选的，设映射f可表示为z＝f(w，b)，其中w，b，z∈F，映射f的主要作用是随机化，映射f满足以下特性： 

1)知道w，b，计算z＝f(w，b)是容易的。 

2)若仅知道z和b，从z＝f(w，b)求出w是困难的；若仅知道z和w，从z＝f(w，b)求出b也是困难的；得到一系列的z_i和b_i，从z_i＝f(w，b_i)求出w是困难的；得到一系列的z_i和w_i，从z_i＝f(w_i，b)求出b也是困难的。 

优选的，所述基于线性几何的等级群组密钥管理方法还包括自动更新：若在预设时间内没有成员加入或退出群组，则中央控制器周期性地更新各个子群组的密钥；中央控制器为每一个子群组随机选取新的私有向量，通过安全通道发送给对应的子群组控制器，子群组控制器接收私有向量并密存；中央控制器重新选择映射参数和各个子群组的密钥，并计算出公开矩阵，中央控制器把公开矩阵和映射参数通过公开信道广播或组播发送给各个子群组控制器。 

本发明与现有技术相比，具有如下优点和有益效果： 

第一，只在群组初始化阶段和自动更新的时候需要使用安全信道。在群组初始化的时候，此时群组还没建立，为了保证私有向量的安全性，需要使用安全信道；自动更新需要更新子群组的私有向量，这样可以避免私有向量泄漏对系统安全性的影响；而在此后的通信中，CC只要把公开矩阵A和映射参数发送给所有组成员，由于公开矩阵A和映射参数都是公开的，不需要保密，所以不需要使用安全信道，这样就可以采用明文广播或组播的方式发送。 

第二，不依赖于其它密码学方法。本发明的安全性建立在有限域上线性几 何理论的基础上，在计算群组密钥的过程中只使用简单的映射函数以及有限域上的基本运算，而不需要依赖其它传统的密码学方法，包括非对称密码学，对称密码学和散列函数等。这样就大大降低了本发明受到其它方面攻击的可能性，即使某些传统的密码学算法被攻破了，本发明所提供的安全性保证也不会受到这方面的影响。 

第三，组成员以及组控制器的存储量、计算量都很少。子群组控制器SC_i只要保存本群组的私有向量Z_i，同时每个SC_i的计算量就是在步骤7中计算保密向量X_i，计算群组密钥。 

第四，群组控制器运算过程容易实现并行计算。不管是CC或SC，若组控制器运行在多核处理器平台上，则可以很容易地利用当前流行的并行运算库把组控制器运算过程并行化，充分发挥多核处理器的优势。 

第五，子群组不需要知道和保存群组的等级结构，计算结果就可以知道某个子群组是否为后裔子群组。同时也隐藏了整个群组的等级结构，祖先子群组虽然知道某个子群组是自己的后裔，但不能知道其间经过的路径。这有助于提高系统的安全性。 

本发明可以提供足够的安全保证，具体的安全性分析如下： 

第一，方案提供向前保密和向后保密：所有的子群组密钥k_i都是随机选择的，每当用户加入或离开后k_i都是不同的。且密钥k_i会周期性更新，在不同时间段内密钥也会不同，增加了安全性。所以，方案可以保证向前和向后保密。 

第二，方案提供等级间的安全保证：高等级节点能导出其直接或间接后裔节点(低等级)的密钥，但反过来则不行。映射参数和公开矩阵A是公开的，高等级节点能够通过计算其后裔节点的密钥，但后裔节点无法知道父节点的私 有变量Z_i，所以无法计算X_i，也无法计算父节点的密钥k_i。所以，方案可以保证等级间的安全性。 

第三，没有直接或间接上下级关系的子群组无法知道对方的群组密钥。没有直接或间接上下级关系的子群组间无法计算出对方的保密向量X_i。建立关于X_i的方程，但由于最多只有n个方程，而至少有n+1个未知量(子群组V_i的密钥k_i只有V_i及其父群组节点才知道)，没有直接或间接上下级关系的子群组无法计算对方的密钥。 

第四，群组外的成员无法计算k_i。方案中只有A和r是通过公开信道发送的，群组外的成员无法根据A和r来计算任何的k_i。 

附图说明

图1是本发明优选实施例一的具有等级访问控制的群组通信系统架构示意图； 

图2是本发明优选实施例一的群组的访问等级结构示意图； 

图3是本发明优选实施例一的群组初始化的时候的通信过程示意图； 

图4是本发明优选实施例一的群组建立后CC和各SC_i的关系及拥有的变量示意图； 

图5是本发明优选实施例二的子群组同时加入、退出群组状态示意图； 

图6是本发明优选实施例二的新加入的子群组的SC_i与CC通信示意图； 

图7是本发明优选实施例二的群组处理完毕所有子群组加入、退出操作后建立的新群组示意图； 

图8是本发明优选实施例三的具有等级访问控制的群组通信系统架构示意 图； 

图9是本发明优选实施例三的群组的访问等级结构示意图； 

图10是本发明优选实施例三的群组初始化的时候的通信过程示意图； 

图11是本发明优选实施例三的群组建立后CC和各SC_i的关系及拥有的变量示意图； 

图12是本发明优选实施例四的子群组同时加入、退出群组状态示意图； 

图13是本发明优选实施例四的新加入的子群组的SC_i与CC通信示意图； 

图14是本发明优选实施例四的群组处理完毕所有子群组加入、退出操作后建立的新群组示意图。 

具体实施方式

下面结合实施例及附图，对本发明作进一步地详细说明，但本发明的实施方式不限于此。 

实施例一 

如图1所示，一个具有等级访问控制的群组通信系统包括中央控制器CC，子群组V_i，子群组控制器SC_i，CC和各SC_i之间通过网际网络互联，其中i＝1，2，...，7。 

群组的等级访问结构如图2所示，所有高等级的节点都可以导出其直接或间接后裔节点的密钥，而低等级节点无法导出其祖先节点的密钥。没有直接或间接上下级关系的节点互相不能导出对方的密钥。兄弟节点间也无法导出对方的密钥。 

如图3所示，系统选定有限域F，所有的运算都基于有限域F上；同时选 择伪随机数发生器作为f(.，.)；对于相同的初始化输入(种子)，该伪随机数发生器应该具有相同的输出序列；初始化N＝10。 

步骤1、子群组V_i要加入群组，CC为每个子群组V_i分别随机选择一个私有向量：Z_i＝(z_i，1，z_i，2，...，z_i，10)(z_i，j∈F，j＝1，...，10)；并通过安全通道发送给对应的子群组控制器，子群组控制器接收私有向量Z_i并密存；CC为子群组V_i的子群组控制器分配编号SC_i，通过公开信道把编号广播或组播给各子群组控制器，其中i＝1，2，...7； 

步骤2、CC在有限域F上选择随机数r作为映射参数，通过f(.，.)映射把所有私有向量Z_i映射成一组新的向量：X_i＝(x_i，1，x_i，2，...，x_i，7)，其中(i＝1，2，...，7)： 

x_1，1＝f(z_1，1，r)

x_1，2＝f(z_1，2，r)

……， 

x_1，7＝f(z_1，7，r)

……， 

x_7，1＝f(z_7，1，r)

x_7，2＝f(z_7，2，r)

……， 

x_7，7＝f(z_7，7，r)

则CC得到有限域F上的一组新的向量，称为保密向量： 

X₁＝(x_1，1，x_1，2，...，x_1，7)， 

X₂＝(x_2，1，x_2，2，...，x_2，7)， 

L L， 

X₇＝(x_7，1，x_7，2，...，x_7，7) 

CC判断X₁，X₂，...，X₇是否线性相关，如果他们线性无关，则进入步骤3； 否则返回步骤2；(由于r是一个随机数，因此可以很容易地得到一组线性无关的向量X₁，X₂，...，X₇)； 

步骤3、设公开向量A_i＝(a_i，1，a_i，2，...，a_i，7)；CC在有限域F上为所有子群组控制器SC_i随机选定一个密钥，分别是：k₁，k₂，...，k₇，且k_i≠0(i＝1，2，...，7)，CC通过以下一系列方程组求解公开矩阵A，其中i＝1，2，...，7： 

(1)、对于V₁，只有V₁能导出k₁，其他的V_i(i＝2，3，...，7)均不能导出可k₁。每个X_i(i＝1，2，...，7)、公开向量A₁和密钥k₁的关系如下： 

$X_1\×A_1^T=k_1$

$X_2\×A_1^T=0$

$X_3\×A_1^T=0$

$X_4\×A_1^T=0$

$X_5\×A_1^T=0$

$X_6\×A_1^T=0$

$X_7\×A_1^T=0$

设X＝(X₁，X₂，...，X₇)，K₁＝(k₁，0，0，0，0，0，0)^T，则可写矩阵形式： 写成方程组形式，则可表示为： 

$\left\{\begin{array}{c}{x}_{\mathrm{1,1}}{a}_{\mathrm{1,1}}+x_{\mathrm{1,2}}{a}_{\mathrm{1,2}}+L+x_{\mathrm{1,7}}{a}_{\mathrm{1,7}}=k_1\\ x_{\mathrm{2,1}}{a}_{\mathrm{1,1}}+x_{\mathrm{2,2}}{a}_{\mathrm{1,2}}+L+x_{\mathrm{2,7}}{a}_{\mathrm{1,7}}=0\\ x_{\mathrm{3,1}}{a}_{\mathrm{1,1}}+x_{\mathrm{3,2}}{a}_{\mathrm{1,2}}+L+x_{\mathrm{3,7}}{a}_{\mathrm{1,7}}=0\\ x_{\mathrm{4,1}}{a}_{\mathrm{1,1}}+x_{\mathrm{4,2}}{a}_{\mathrm{1,2}}+L+x_{\mathrm{4,7}}{a}_{\mathrm{1,7}}=0\\ x_{5,1}{a}_{\mathrm{1,1}}+x_{\mathrm{5,2}}{a}_{\mathrm{1,2}}+L+x_{\mathrm{5,7}}{a}_{\mathrm{1,7}}=0\\ x_{\mathrm{6,1}}{a}_{\mathrm{1,1}}+x_{\mathrm{6,2}}{a}_{\mathrm{1,2}}+L+x_{\mathrm{6,7}}{a}_{\mathrm{1,7}}=0\\ x_{\mathrm{7,1}}{a}_{\mathrm{1,1}}+x_{\mathrm{7,2}}{a}_{\mathrm{1,2}}+L+x_{\mathrm{7,7}}{a}_{\mathrm{1,7}}=0\end{array}\right.$

(2)、对于V₂，V₁和V₂能导出k₂，其他的V_i(i＝3，4，...，7)均不能导出k₂。各个保密向量X_i(i＝1，2，...，7)、公开向量A₂和密钥k₂的关系如下： 

$X_1\×A_2^T=k_2$

$X_2\×A_2^T=k_2$

$X_3\×A_2^T=0$

$X_4\×A_2^T=0$

$X_5\×A_2^T=0$

$X_6\×A_2^T=0$

$X_7\×A_2^T=0$

设K₂＝(k₂，k₂，0，0，0，0，0)^T，则可写矩阵形式： 

写成方程组形式，则可表示为： 

$\left\{\begin{array}{c}{x}_{\mathrm{1,1}}{a}_{\mathrm{2,1}}+x_{\mathrm{1,2}}{a}_{\mathrm{2,2}}+L+x_{\mathrm{1,7}}{a}_{\mathrm{2,7}}=k_2\\ x_{\mathrm{2,1}}{a}_{\mathrm{2,1}}+x_{\mathrm{2,2}}{a}_{\mathrm{2,2}}+L+x_{\mathrm{2,7}}{a}_{\mathrm{2,7}}=k_2\\ x_{\mathrm{3,1}}{a}_{\mathrm{2,1}}+x_{\mathrm{3,2}}{a}_{\mathrm{2,2}}+L+x_{\mathrm{3,7}}{a}_{\mathrm{2,7}}=0\\ x_{\mathrm{4,1}}{a}_{\mathrm{2,1}}+x_{\mathrm{4,2}}{a}_{\mathrm{2,2}}+L+x_{\mathrm{4,7}}{a}_{\mathrm{2,7}}=0\\ x_{\mathrm{5,1}}{a}_{\mathrm{2,1}}+x_{\mathrm{5,2}}{a}_{\mathrm{2,2}}+L+x_{\mathrm{5,7}}{a}_{\mathrm{2,7}}=0\\ x_{\mathrm{6,1}}{a}_{\mathrm{2,1}}+x_{\mathrm{6,2}}{a}_{\mathrm{2,2}}+L+x_{\mathrm{6,7}}{a}_{\mathrm{2,7}}=0\\ x_{\mathrm{7,1}}{a}_{\mathrm{2,1}}+x_{\mathrm{7,2}}{a}_{\mathrm{2,2}}+L+x_{\mathrm{7,7}}{a}_{\mathrm{2,7}}=0\end{array}\right.$

(3)、对于V₃，只有V₁和V₃能导出k₃，其他的V_i(i＝2，4，5，6，7)均不能导出k₃。各个保密向量X_i(i＝1，2，...，7)、公开向量A₃和密钥k₃的关系如下： 

$X_1\×A_3^T=k_3$

$X_2\×A_3^T=0$

$X_3\×A_3^T=k_3$

$X_4\×A_3^T=0$

$X_5\×A_3^T=0$

$X_6\×A_3^T=0$

$X_7\×A_3^T=0$

设K₃＝(k₃，0，k₃，0，0，0，0)^T，则可写矩阵形式： 

写成方程组形式，则可表示为： 

$\left\{\begin{array}{c}{x}_{\mathrm{1,1}}{a}_{\mathrm{3,1}}+x_{\mathrm{1,2}}{a}_{\mathrm{3,2}}+L+x_{\mathrm{1,7}}{a}_{\mathrm{3,7}}=k_3\\ x_{\mathrm{2,1}}{a}_{\mathrm{3,1}}+x_{\mathrm{2,2}}{a}_{\mathrm{3,2}}+L+x_{\mathrm{2,7}}{a}_{\mathrm{3,7}}=0\\ x_{\mathrm{3,1}}{a}_{\mathrm{3,1}}+x_{\mathrm{3,2}}{a}_{\mathrm{3,2}}+L+x_{\mathrm{3,7}}{a}_{\mathrm{3,7}}=k_3\\ x_{\mathrm{4,1}}{a}_{\mathrm{3,1}}+x_{\mathrm{4,2}}{a}_{\mathrm{3,2}}+L+x_{\mathrm{4,7}}{a}_{\mathrm{3,7}}=0\\ x_{\mathrm{5,1}}{a}_{\mathrm{3,1}}+x_{\mathrm{5,2}}{a}_{\mathrm{3,2}}+L+x_{\mathrm{5,7}}{a}_{\mathrm{3,7}}=0\\ x_{\mathrm{6,1}}{a}_{\mathrm{3,1}}+x_{\mathrm{6,2}}{a}_{\mathrm{3,2}}+L+x_{\mathrm{6,7}}{a}_{\mathrm{3,7}}=0\\ x_{\mathrm{7,1}}{a}_{\mathrm{3,1}}+x_{\mathrm{7,2}}{a}_{\mathrm{3,2}}+L+x_{\mathrm{7,7}}{a}_{\mathrm{3,7}}=0\end{array}\right.$

(4)、对于V₄，V₁、V₂和V₄能导出k₄，其他的V_i(i＝3，5，6，7)均不能导出k₄。各个保密向量X_i(i＝1，2，...，7)、公开向量A₄和密钥k₄的关系如下： 

$X_1\×A_4^T=k_4$

$X_2\×A_4^T=k_4$

$X_3\×A_4^T=0$

$X_4\×A_4^T=k_4$

$X_5\×A_4^T=0$

$X_6\×A_4^T=0$

$X_7\×A_4^T=0$

设K₄＝(k₄，k₄，0，k₄，0，0，0)^T，则可写矩阵形式： 

写成方程组形式，则可表示为： 

$\left\{\begin{array}{c}{x}_{\mathrm{1,1}}{a}_{\mathrm{4,1}}+x_{\mathrm{1,2}}{a}_{\mathrm{4,2}}+L+x_{\mathrm{1,7}}{a}_{\mathrm{4,7}}=k_4\\ x_{\mathrm{2,1}}{a}_{\mathrm{4,1}}+x_{\mathrm{2,2}}{a}_{\mathrm{4,2}}+L+x_{\mathrm{2,7}}{a}_{\mathrm{4,7}}=k_4\\ x_{\mathrm{3,1}}{a}_{\mathrm{4,1}}+x_{\mathrm{3,2}}{a}_{\mathrm{4,2}}+L+x_{\mathrm{3,7}}{a}_{\mathrm{4,7}}=0\\ x_{\mathrm{4,1}}{a}_{\mathrm{4,1}}+x_{\mathrm{4,2}}{a}_{\mathrm{4,2}}+L+x_{\mathrm{4,7}}{a}_{\mathrm{4,7}}=k_4\\ x_{\mathrm{5,1}}{a}_{\mathrm{4,1}}+x_{\mathrm{5,2}}{a}_{\mathrm{4,2}}+L+x_{\mathrm{5,7}}{a}_{\mathrm{4,7}}=0\\ x_{\mathrm{6,1}}{a}_{\mathrm{4,1}}+x_{\mathrm{6,2}}{a}_{\mathrm{4,2}}+L+x_{\mathrm{6,7}}{a}_{\mathrm{4,7}}=0\\ x_{\mathrm{7,1}}{a}_{\mathrm{4,1}}+x_{\mathrm{7,2}}{a}_{\mathrm{4,2}}+L+x_{\mathrm{7,7}}{a}_{\mathrm{4,7}}=0\end{array}\right.$

(5)、对于V₅，V₁、V₂和V₅能导出k₅，其他的V_i(i＝3，4，6，7)均不能导出k₅。各个保密向量X_i(i＝1，2，...，7)、公开向量A₅和密钥k₅的关系如下： 

$X_1\×A_5^T=k_5$

$X_2\×A_5^T=k_5$

$X_3\×A_5^T=0$

$X_4\×A_5^T=0$

$X_5\×A_5^T=k_5$

$X_6\×A_5^T=0$

$X_7\×A_5^T=0$

设K₅＝(k₅，k₅，0，0，k₅，0，0)^T，则可写矩阵形式： 

写成方程组形式，则可表示为： 

$\left\{\begin{array}{c}{x}_{\mathrm{1,1}}{a}_{\mathrm{5,1}}+x_{\mathrm{1,2}}{a}_{\mathrm{5,2}}+L+x_{\mathrm{1,7}}{a}_{\mathrm{5,7}}=k_5\\ x_{\mathrm{2,1}}{a}_{\mathrm{5,1}}+x_{\mathrm{2,2}}{a}_{\mathrm{5,2}}+L+x_{\mathrm{2,7}}{a}_{\mathrm{5,7}}=k_5\\ x_{\mathrm{3,1}}{a}_{\mathrm{5,1}}+x_{\mathrm{3,2}}{a}_{\mathrm{5,2}}+L+x_{\mathrm{3,7}}{a}_{\mathrm{5,7}}=0\\ x_{\mathrm{4,1}}{a}_{\mathrm{5,1}}+x_{\mathrm{4,2}}{a}_{\mathrm{5,2}}+L+x_{\mathrm{4,7}}{a}_{\mathrm{5,7}}=0\\ x_{\mathrm{5,1}}{a}_{\mathrm{5,1}}+x_{\mathrm{5,2}}{a}_{\mathrm{5,2}}+L+x_{\mathrm{5,7}}{a}_{\mathrm{5,7}}=k_5\\ x_{\mathrm{6,1}}{a}_{\mathrm{5,1}}+x_{\mathrm{6,2}}{a}_{\mathrm{5,2}}+L+x_{\mathrm{6,7}}{a}_{\mathrm{5,7}}=0\\ x_{\mathrm{7,1}}{a}_{\mathrm{5,1}}+x_{\mathrm{7,2}}{a}_{\mathrm{5,2}}+L+x_{\mathrm{7,7}}{a}_{\mathrm{5,7}}=0\end{array}\right.$

(6)、对于V₆，V₁、V₃和V₆能导出k₆，其他的V_i(i＝2，4，5，7)均不能导出k₆。各个保密向量X_i(i＝1，2，...，7)、公开向量A₆和密钥k₆的关系如下： 

$X_1\×A_6^T=k_6$

$X_2\×A_6^T=0$

$X_3\×A_6^T=k_6$

$X_4\×A_6^T=0$

$X_5\×A_6^T=0$

$X_6\×A_6^T=k_6$

$X_7\×A_6^T=0$

设K₆＝(k₆，0，k₆，0，0，k₆，0)^T，则可写矩阵形式： 

写成方程组形式，则可表示为： 

$\left\{\begin{array}{c}{x}_{\mathrm{1,1}}{a}_{\mathrm{6,1}}+x_{\mathrm{1,2}}{a}_{\mathrm{6,2}}+L+x_{\mathrm{1,7}}{a}_{\mathrm{6,7}}=k_6\\ x_{\mathrm{2,1}}{a}_{\mathrm{6,1}}+x_{\mathrm{2,2}}{a}_{\mathrm{6,2}}+L+x_{\mathrm{2,7}}{a}_{\mathrm{6,7}}=0\\ x_{\mathrm{3,1}}{a}_{\mathrm{6,1}}+x_{\mathrm{3,2}}{a}_{\mathrm{6,2}}+L+x_{\mathrm{3,7}}{a}_{\mathrm{6,7}}=k_6\\ x_{\mathrm{4,1}}{a}_{\mathrm{6,1}}+x_{\mathrm{4,2}}{a}_{\mathrm{6,2}}+L+x_{\mathrm{4,7}}{a}_{\mathrm{6,7}}=0\\ x_{\mathrm{5,1}}{a}_{\mathrm{6,1}}+x_{\mathrm{5,2}}{a}_{\mathrm{6,2}}+L+x_{\mathrm{5,7}}{a}_{\mathrm{6,7}}=0\\ x_{\mathrm{6,1}}{a}_{\mathrm{6,1}}+x_{\mathrm{6,2}}{a}_{\mathrm{6,2}}+L+x_{\mathrm{6,7}}{a}_{\mathrm{6,7}}=k_6\\ x_{\mathrm{7,1}}{a}_{\mathrm{6,1}}+x_{\mathrm{7,2}}{a}_{\mathrm{6,2}}+L+x_{\mathrm{7,7}}{a}_{\mathrm{6,7}}=0\end{array}\right.$

(7)、对于V₇，V₁、V₃和V₇能导出k₇，其他的V_i(i＝2，4，5，6)均不能导出k₇。各个保密向量X_i(i＝1，2，...，7)、公开向量A₇和密钥k₇的关系如下： 

$X_1\×A_7^T=k_7$

$X_2\×A_7^T=0$

$X_3\×A_7^T=k_7$

$X_4\×A_7^T=0$

$X_5\×A_7^T=0$

$X_6\×A_7^T=0$

$X_7\×A_7^T=k_7$

设K₇＝(k₇，0，k₇，0，0，0，k₇)^T，则可写矩阵形式： 

写成方程组形式，则可表示为： 

$\left\{\begin{array}{c}{x}_{\mathrm{1,1}}{a}_{\mathrm{7,1}}+x_{\mathrm{1,2}}{a}_{\mathrm{7,2}}+L+x_{\mathrm{1,7}}{a}_{\mathrm{7,7}}=k_7\\ x_{\mathrm{2,1}}{a}_{\mathrm{7,1}}+x_{\mathrm{2,2}}{a}_{\mathrm{7,2}}+L+x_{\mathrm{2,7}}{a}_{\mathrm{7,7}}=0\\ x_{\mathrm{3,1}}{a}_{\mathrm{7,1}}+x_{\mathrm{3,2}}{a}_{\mathrm{7,2}}+L+x_{\mathrm{3,7}}{a}_{\mathrm{7,7}}=k_7\\ x_{\mathrm{4,1}}{a}_{\mathrm{7,1}}+x_{\mathrm{4,2}}{a}_{\mathrm{7,2}}+L+x_{\mathrm{4,7}}{a}_{\mathrm{7,7}}=0\\ x_{\mathrm{5,1}}{a}_{\mathrm{7,1}}+x_{\mathrm{5,2}}{a}_{\mathrm{7,2}}+L+x_{\mathrm{5,7}}{a}_{\mathrm{7,7}}=0\\ x_{\mathrm{6,1}}{a}_{\mathrm{7,1}}+x_{\mathrm{6,2}}{a}_{\mathrm{7,2}}+L+x_{\mathrm{6,7}}{a}_{\mathrm{7,7}}=0\\ x_{\mathrm{7,1}}{a}_{\mathrm{7,1}}+x_{\mathrm{7,2}}{a}_{\mathrm{7,2}}+L+x_{\mathrm{7,7}}{a}_{\mathrm{7,7}}=k_7\end{array}\right.$

(8)、令 

K＝(K₁，K₂，...，K₇) 

由(1)～(7)有：X×A＝K，即： 

$\left[\begin{array}{ccccccc}{x}_{11}& x_{12}& x_{13}& x_{14}& x_{15}& x_{16}& x_{17}\\ x_{21}& x_{22}& x_{23}& x_{24}& x_{25}& x_{26}& x_{27}\\ x_{31}& x_{32}& x_{33}& x_{34}& x_{35}& x_{36}& x_{37}\\ x_{41}& x_{42}& x_{43}& x_{44}& x_{45}& x_{46}& x_{47}\\ x_{51}& x_{52}& x_{53}& x_{54}& x_{55}& x_{56}& x_{57}\\ x_{61}& x_{62}& x_{63}& x_{64}& x_{65}& x_{66}& x_{67}\\ x_{71}& x_{72}& x_{73}& x_{74}& x_{75}& x_{76}& x_{77}\end{array}\right]\×\left[\begin{array}{ccccccc}{a}_{11}& a_{21}& a_{31}& a_{41}& a_{51}& a_{61}& a_{71}\\ a_{12}& a_{22}& a_{32}& a_{42}& a_{52}& a_{62}& a_{72}\\ a_{13}& a_{23}& a_{33}& a_{43}& a_{53}& a_{63}& a_{73}\\ a_{14}& a_{24}& a_{34}& a_{44}& a_{54}& a_{64}& a_{74}\\ a_{15}& a_{25}& a_{35}& a_{45}& a_{55}& a_{65}& a_{75}\\ a_{16}& a_{26}& a_{36}& a_{46}& a_{56}& a_{66}& a_{76}\\ a_{17}& a_{27}& a_{37}& a_{47}& a_{57}& a_{67}& a_{77}\end{array}\right]=\left[\begin{array}{ccccccc}{k}_1& k_2& k_3& k_4& k_5& k_6& k_7\\ 0& k_2& 0& k_4& k_5& 0& 0\\ 0& 0& k_3& 0& 0& k_6& k_7\\ 0& 0& 0& k_4& 0& 0& 0\\ 0& 0& 0& 0& k_5& 0& 0\\ 0& 0& 0& 0& 0& k_6& 0\\ 0& 0& 0& 0& 0& 0& k_7\end{array}\right]$

只要行列式 

那么A有唯一解。 

CC把计算完毕的矩阵A和映射参数通过公开的信道广播或组播给所有SC_i，其中i＝1，2，...，7； 

步骤4、所有子群组控制器接收到公开矩阵A和映射参数r之后，通过f(.，.)和映射参数r求新向量： 

对于子群组控制器SC_i，其中X_i＝(x_i，1，x_i，2，...，x_i，7)： 

x_i，1＝f(z_i，1，r)

x_i，2＝f(z_i，2，r)

......， 

x_i，7＝f(z_i，7，r)

再根据式(4)和式(5)，计算k_i和t_j(j≠i且j＝1，...，7)，其中，i＝1，2，...，7；例如对于V₃，SC₃接收到A和r后，计算X₃＝(x_3，1，x_3，2，...，x_3，7)： 

x_3，1＝f(z_3，1，r)

x_3，2＝f(z_3，2，r)

......， 

x_3，7＝f(z_3，7，r)

再根据(4)和(5)，计算k₃和t_j(j＝1，2，4，5，6，7)。其中t₆＝k₆，t₇＝k₇；其他的t_j＝0(j＝1，2，4，5)；SC₃把计算好的k₃和t_j(j＝1，2，4，5，6，7)通过组内的密钥管理方案分发给组内成员。 

如图4所示，通过以上步骤，建立了一个具有等级访问控制和7个子群组 组成的群组。子群组间的等级关系隐含在公开矩阵A和各个子群组的保密向量中。 

实施例二 

当子群组间的关系发生变化的时候，如图5所示：V₆要离开群组，而V₈要作为V₂的新子群组加入。 

步骤1、如图6所示，SC₆向CC发送离开请求，CC接收到请求后删除V₆的私有向量Z₆；CC随机选择一个私有向量Z∈F^N，通过安全通道发送给V₈的子群组控制器，V₈的子群组控制器接收到Z后，密存； 

CC重新分配当前子群组控制器的编号：SC₁～SC₅保持不变，对应的私有向量分别是Z₁～Z₅；而SC₇变成了SC₆，对应的私有向量变成了Z₆；V₈对应的编号为SC₇，对应的私有向量为Z₇。这时CC保存的私有向量为Z_i(i＝1，2，...，7)；此时群组的等级关系如图7所示； 

其他步骤与实施例一的步骤2～步骤4一致；需要补充说明的是：对于SC₇，各保密向量X_i(i＝1，2，...，7)与公开向量A₇以及子群组密钥k₇的关系不同于实施例一中步骤3的第(7)点(其他的各小点相同)，SC₇变动后对应的关系如下： 

对于SC₇，V₃不再能导出k₇，而V₁、V₂和V₇都能够导出k₇，其他的V_i(i＝4，5，6)均不能导出k₇；各个保密向量X_i(i＝1，2，...，7)、公开向量A₇和密钥k₇的关系如下： 

$X_1\×A_7^T=k_7$

$X_2\×A_7^T=k_7$

$X_3\×A_7^T=0$

$X_4\×A_7^T=0$

$X_5\×A_7^T=0$

$X_6\×A_7^T=0$

$X_7\×A_7^T=k_7$

设K₇＝(k₇，k₇，0，0，0，0，k₇)^T，则可写矩阵形式： 

写成方程组形式，则可表示为： 

$\left\{\begin{array}{c}{x}_{\mathrm{1,1}}{a}_{\mathrm{7,1}}+x_{\mathrm{1,2}}{a}_{\mathrm{7,2}}+L+x_{\mathrm{1,7}}{a}_{\mathrm{7,7}}=k_7\\ x_{\mathrm{2,1}}{a}_{\mathrm{7,1}}+x_{\mathrm{2,2}}{a}_{\mathrm{7,2}}+L+x_{\mathrm{2,7}}{a}_{\mathrm{7,7}}=k_7\\ x_{\mathrm{3,1}}{a}_{\mathrm{7,1}}+x_{\mathrm{3,2}}{a}_{\mathrm{7,2}}+L+x_{\mathrm{3,7}}{a}_{\mathrm{7,7}}=0\\ x_{\mathrm{4,1}}{a}_{\mathrm{7,1}}+x_{\mathrm{4,2}}{a}_{\mathrm{7,2}}+L+x_{\mathrm{4,7}}{a}_{\mathrm{7,7}}=0\\ x_{\mathrm{5,1}}{a}_{\mathrm{7,1}}+x_{\mathrm{5,2}}{a}_{\mathrm{7,2}}+L+x_{\mathrm{5,7}}{a}_{\mathrm{7,7}}=0\\ x_{\mathrm{6,1}}{a}_{\mathrm{7,1}}+x_{\mathrm{6,2}}{a}_{\mathrm{7,2}}+L+x_{\mathrm{6,7}}{a}_{\mathrm{7,7}}=0\\ x_{\mathrm{7,1}}{a}_{\mathrm{7,1}}+x_{\mathrm{7,2}}{a}_{\mathrm{7,2}}+L+x_{\mathrm{7,7}}{a}_{\mathrm{7,7}}=k_7\end{array}\right.$

其他的细节和实施例一的步骤3一致。 

如图7所示，通过以上步骤，完成了批量的群组加入和离开操作，新的等级关系也反映在A和各个X_i(i＝1，2，...，7)中。单独的加入或离开可以看作是批量的特殊形式。在新的群组加入过程中，安全信道仅仅在新群组向CC发送私有向量的时候存在，其他原有群组并不需要重新向CC发送私有向量。 

实施例三 

如图8所示，一个具有等级访问控制的群组通信系统包括中央控制器CC，子群组V_i，子群组控制器SC_i，CC和各SC之间通过网际网络互联，其中i＝1，2，...，5。 

群组的等级访问结构如图9所示，所有高等级的节点都可以导出其直接或 间接后裔节点的密钥，而低等级节点无法导出其祖先节点的密钥。没有直接或间接上下级关系的节点互相不能导出对方的密钥。兄弟节点间也无法导出对方的密钥。 

如图10所示，系统选定有限域F，所有的运算都基于有限域F上；同时选择伪随机数发生器作为f(.，.)，对于相同的初始化输入(种子)，该伪随机数发生器应该具有相同的输出序列；初始化m＝2。 

步骤1、子群组V_i要加入群组，CC为每个子群组V_i分别随机选择两个私有向量：Z_i＝(z_i，1，z_i，2)和Y_i＝(y_i，1，y_i，2)；并通过安全通道发送给对应的子群组控制器，所有子群组控制器接收私有向量Z_i和Y_i并密存；CC为子群组V_i的子群组控制器分配编号SC_i，同时通过公开信道把编号广播或组播给各子群组控制器，其中i＝1，...，5； 

步骤2、CC在有限域F上选择随机数r作为映射参数，通过f(.，.)映射把所有私有向量Z_i和Y_i分别映射成一组新的向量：X_i＝(x_i，1，...，x_i，5)和W_i＝(w_i，1，w_i，2)，其中(i＝1，2，...，5)： 

x_1，1＝f(z_1，1，r)  x_2，1＝f(z_2，1，r)  x_3，1＝f(z_3，1，r)  x_4，1＝f(z_4，1，r)  x_5，1＝f(z_5，1，r)

                  ，                  ，                  ，                  ，                  ； 

x_1，2＝f(z_1，2，r)  x_2，2＝f(z_2，2，r)  x_3，3＝f(z_3，2，r)  x_4，4＝f(z_4，2，r)  x_5，5＝f(z_5，2，r)

w_1，1＝f(y_1，1，r)  w_2，1＝f(y_2，1，r)  w_3，1＝f(y_3，1，r)  w_4，1＝f(y_4，1，r)  w_5，1＝f(y_5，1，r)

                  ，                  ，                  ，                  ，                  。 

w_1，2＝f(y_1，2，r)  w_2，2＝f(y_2，2，r)  w_3，2＝f(y_3，2，r)  w_4，2＝f(y_4，2，r)  w_5，2＝f(y_5，2，r)

则CC得到有限域F上的一组新的n维向量X_i和一组新的2维向量W_i，其中i＝1，...，5，X_i和W_i均称为保密向量： 

X₁＝(x_1，1，x_1，2，0，0，0)

X₂＝(x_2，1，x_2，2，0，0，0)

X₃＝(x_3，1，0，x_3，3，0，0)

X₄＝(x_4，1，0，0，x_4，4，0) 

X₅＝(x_5，1，0，0，0，x_5，5) 

W₁＝(w_1，1，w_1，2) 

W₂＝(w_2，1，w_2，2) 

W₃＝(w_3，1，w_3，2) 

W₄＝(w_4，1，w_4，2) 

W₅＝(w_5，1，w_5，2) 

CC判断X₁，X₂，...，X₅是否线性相关，如果他们线性无关，则进入步骤3；否则返回步骤2；(由于r是一个随机数，因此可以很容易地得到一组线性无关的向量X₁，X₂，...，X₅)； 

步骤3、设子群组V_i的公开向量A_i＝(a_i，1，a_i，2，...，a_i，5)；CC在有限域F上为所有子群组控制器SC_i随机选定一个密钥，分别是：k_1，1，k_2，2...，k_5，5，，且k_i≠0(i＝1，2，...，5)，CC通过以下一系列方程组求解公开矩阵A，其中i＝1，2，...，5： 

(1)、对于V₁，只有V₁能导出k_1，1，其他的V_i(i＝2，3，4，5)均不能导出可k_1，1。每个X_i(i＝1，2，...，5)、公开向量A₁和密钥k_1，1的关系如下： 

$X_1\×A_1^T=k_{\mathrm{1,1}}$

$X_2\×A_1^T=0$

$X_3\×A_1^T=0$

$X_4\×A_1^T=0$

$X_5\×A_1^T=0$

设X＝(X₁，X₂，...，X₅)，K₁＝(K_1，1，0，0，0，0)^T，则可写矩阵形式： 

写成方程组形式，则可表示为： 

$\left\{\begin{array}{c}{x}_{\mathrm{1,1}}{a}_{\mathrm{1,1}}+x_{\mathrm{1,2}}{a}_{\mathrm{1,2}}+0+0+0=k_{\mathrm{1,1}}\\ x_{\mathrm{2,1}}{a}_{\mathrm{1,1}}+x_{\mathrm{2,2}}{a}_{\mathrm{1,2}}+0+0+0=0\\ x_{\mathrm{3,1}}{a}_{\mathrm{1,1}}+0+x_{\mathrm{3,3}}{a}_{\mathrm{1,3}}+0+0=0\\ x_{4,1}{a}_{\mathrm{1,1}}+0+0+x_{\mathrm{4,4}}{a}_{\mathrm{1,4}}+0=0\\ x_{\mathrm{5,1}}{a}_{\mathrm{1,1}}+0+0+0+x_{\mathrm{5,5}}{a}_{\mathrm{1,5}}=0\end{array}\right.$

(2)、对于V₂，V₁和V₂能导出k_2，2，V₁将通过间接的方法导出k_2，2，其他的V_i(i＝3，4，...，5)均不能导出k_2，2。各个保密向量X_i(i＝1，2，...，5)、公开向量A₂和密钥k_2，2的关系如下： 

$X_1\×A_2^T=k_{\mathrm{1,2}}$

$X_2\×A_2^T=k_{\mathrm{2,2}}$

$X_3\×A_2^T=0$

$X_4\×A_2^T=0$

$X_5\×A_2^T=0$

其中， $k_{\mathrm{1,2}}=(k_{\mathrm{2,2}}-w_{\mathrm{1,1}}{k}_{\mathrm{1,1}})w_{\mathrm{1,2}}^{-1}$

设K₂＝(k_1，2，k_2，2，0，0，0)^T，则可写矩阵形式： 

写成方程组形式，则可表示为： 

$\left\{\begin{array}{c}{x}_{\mathrm{1,1}}{a}_{\mathrm{2,1}}+x_{\mathrm{1,2}}{a}_{\mathrm{2,2}}+0+0+0=k_{\mathrm{1,2}}\\ x_{\mathrm{2,1}}{a}_{\mathrm{2,1}}+x_{\mathrm{2,2}}{a}_{\mathrm{2,2}}+0+0+0=k_{\mathrm{2,2}}\\ x_{\mathrm{3,1}}{a}_{\mathrm{2,1}}+0+x_{\mathrm{3,3}}{a}_{\mathrm{2,3}}+0+0=0\\ x_{\mathrm{4,1}}{a}_{\mathrm{2,1}}+0+0+x_{\mathrm{4,4}}{a}_{\mathrm{2,4}}+0=0\\ x_{\mathrm{5,1}}{a}_{\mathrm{2,1}}+0+0+0+x_{\mathrm{5,5}}{a}_{\mathrm{2,5}}=0\end{array}\right.$

其中， $k_{\mathrm{1,2}}=(k_{\mathrm{2,2}}-w_{\mathrm{1,1}}{k}_{\mathrm{1,1}})w_{\mathrm{1,2}}^{-1}$

(3)、对于V₃，只有V₁和V₃能导出k_3，3，V₁将通过间接方法导出k_3，3；其他的V_i(i＝2，4，5)均不能导出k_3，3。各个保密向量X_i(i＝1，2，...，5)、公开向量A₃和密钥k_3，3的关系如下： 

$X_1\×A_3^T=k_{\mathrm{1,3}}$

$X_2\×A_3^T=0$

$X_3\×A_3^T=k_{\mathrm{3,3}}$

$X_4\×A_3^T=0$

$X_5\×A_3^T=0$

$k_{\mathrm{1,3}}=(k_{\mathrm{3,3}}-w_{\mathrm{1,1}}{k}_{\mathrm{1,1}})w_{\mathrm{1,2}}^{-1}$

设K₃＝(k_1，3，0，k_3，3，0，0)^T，则可写矩阵形式： 

写成方程组形式，则可表示为： 

$\left\{\begin{array}{c}{x}_{\mathrm{1,1}}{a}_{\mathrm{3,1}}+x_{\mathrm{1,2}}{a}_{\mathrm{3,2}}+0+0+0=k_{\mathrm{1,3}}\\ x_{\mathrm{2,1}}{a}_{\mathrm{3,1}}+x_{\mathrm{2,2}}{a}_{\mathrm{3,2}}+0+0+0=0\\ x_{\mathrm{3,1}}{a}_{\mathrm{3,1}}+0+x_{\mathrm{3,3}}{a}_{\mathrm{3,3}}+0+0=k_{\mathrm{3,3}}\\ x_{\mathrm{4,1}}{a}_{\mathrm{3,1}}+0+0+x_{\mathrm{4,4}}{a}_{\mathrm{3,4}}+0=0\\ x_{\mathrm{5,1}}{a}_{\mathrm{3,1}}+0+0+0+x_{\mathrm{5,5}}{a}_{\mathrm{3,5}}=0\end{array}\right.$

$k_{\mathrm{1,3}}=(k_{\mathrm{3,3}}-w_{\mathrm{1,1}}{k}_{\mathrm{1,1}})w_{\mathrm{1,2}}^{-1}$

(4)、对于V₄，V₁、V₂和V₄能导出k_4，4，V₁、V₂将通过间接方法导出k_4，4；其他的V_i(i＝3，5)均不能导出k_4，4。各个保密向量X_i(i＝1，2，...，5)、公开向量A₄和密钥k_4，4的关系如下： 

$X_1\×A_4^T=k_{\mathrm{1,4}}$

$X_2\×A_4^T=k_{\mathrm{2,4}}$

$X_3\×A_4^T=0$

$X_4\×A_4^T=k_{\mathrm{4,4}}$

$X_5\×A_4^T=0$

$k_{\mathrm{1,4}}=(k_{\mathrm{4,4}}-w_{\mathrm{1,1}}{k}_{\mathrm{1,1}})w_{\mathrm{1,2}}^{-1}$

$k_{\mathrm{2,4}}=(k_{\mathrm{4,4}}-w_{\mathrm{2,1}}{k}_{\mathrm{2,2}})w_{\mathrm{2,2}}^{-1}$

设K₄＝(k_1，4，k_2，4，0，k_4，4，0，0，0)^T，则可写矩阵形式： 

写成方程组形式，则可表示为： 

$\left\{\begin{array}{c}{x}_{\mathrm{1,1}}{a}_{\mathrm{4,1}}+x_{\mathrm{1,2}}{a}_{\mathrm{4,2}}+0+0+0=k_{\mathrm{1,4}}\\ x_{\mathrm{2,1}}{a}_{\mathrm{4,1}}+x_{\mathrm{2,2}}{a}_{\mathrm{4,2}}+0+0+0=k_{\mathrm{2,4}}\\ x_{\mathrm{3,1}}{a}_{\mathrm{4,1}}+0+x_{\mathrm{3,3}}{a}_{\mathrm{4,3}}+0+0=0\\ x_{\mathrm{4,1}}{a}_{\mathrm{4,1}}+0+0+x_{\mathrm{4,4}}{a}_{\mathrm{4,4}}+0=k_{\mathrm{4,4}}\\ x_{\mathrm{5,1}}{a}_{\mathrm{4,1}}+0+0+0+x_{\mathrm{5,5}}{a}_{\mathrm{4,5}}=0\end{array}\right.$

$k_{\mathrm{1,4}}=(k_{\mathrm{4,4}}-w_{\mathrm{1,1}}{k}_{\mathrm{1,1}})w_{\mathrm{1,2}}^{-1}$

$k_{\mathrm{2,4}}=(k_{\mathrm{4,4}}-w_{\mathrm{2,1}}{k}_{\mathrm{2,2}})w_{\mathrm{2,2}}^{-1}$

(5)、对于V₅，V₁、V₃和V₅能导出k_5，5，V₁、V₃将通过间接方法导出k_5，5； 

其他的V_i(i＝2，4)均不能导出k_5，5。各个保密向量X_i(i＝1，2，...，5)、公开向量A₅ 和密钥k_5，5的关系如下： 

$X_1\×A_5^T=k_{\mathrm{1,5}}$

$X_2\×A_5^T=0$

$X_3\×A_5^T=k_{\mathrm{3,5}}$

$X_4\×A_5^T=0$

$X_5\×A_5^T=k_{\mathrm{5,5}}$

$k_{\mathrm{1,5}}=(k_{\mathrm{5,5}}-w_{\mathrm{1,1}}{k}_{\mathrm{1,1}})w_{\mathrm{1,2}}^{-1}$

$k_{\mathrm{3,5}}=(k_{\mathrm{5,5}}-w_{\mathrm{3,1}}{k}_{\mathrm{3,3}})w_{\mathrm{3,2}}^{-1}$

设K₅＝(k_1，5，0，k_3，5，0，k_5，5)^T，则可写矩阵形式： 

写成方程组形式，则可表示为： 

$\left\{\begin{array}{c}{x}_{\mathrm{1,1}}{a}_{\mathrm{5,1}}+x_{\mathrm{1,2}}{a}_{\mathrm{5,2}}+0+0+0=k_{\mathrm{1,5}}\\ x_{\mathrm{2,1}}{a}_{\mathrm{5,1}}+x_{\mathrm{2,2}}{a}_{\mathrm{5,2}}+0+0+0=0\\ x_{\mathrm{3,1}}{a}_{\mathrm{5,1}}+0+x_{\mathrm{3,3}}{a}_{\mathrm{5,3}}+0+0=k_{\mathrm{3,5}}\\ x_{\mathrm{4,1}}{a}_{\mathrm{5,1}}+0+0+x_{\mathrm{4,4}}{a}_{\mathrm{5,4}}+0=0\\ x_{\mathrm{5,1}}{a}_{\mathrm{5,1}}+0+0+0+x_{\mathrm{5,5}}{a}_{\mathrm{5,5}}=k_{\mathrm{5,5}}\end{array}\right.$

$k_{\mathrm{1,5}}=(k_{\mathrm{5,5}}-w_{\mathrm{1,1}}{k}_{\mathrm{1,1}})w_{\mathrm{1,2}}^{-1}$

$k_{\mathrm{3,5}}=(k_{\mathrm{5,5}}-w_{\mathrm{3,1}}{k}_{\mathrm{3,3}})w_{\mathrm{3,2}}^{-1}$

(6)、令 K＝(K₁，K₂，...，K₇) 

由(1)～(5)有：X×A＝K，即： 

$\left[\begin{array}{ccccc}{x}_{11}& x_{12}& 0& 0& 0\\ x_{21}& x_{22}& 0& 0& 0\\ x_{31}& 0& x_{33}& 0& 0\\ x_{41}& 0& 0& x_{44}& 0\\ x_{51}& 0& 0& 0& x_{55}\end{array}\right]\left[\begin{array}{ccccc}{a}_{11}& a_{21}& a_{31}& a_{41}& a_{51}\\ a_{12}& a_{22}& a_{32}& a_{42}& a_{52}\\ a_{13}& a_{23}& a_{33}& a_{43}& a_{53}\\ a_{14}& a_{24}& a_{34}& a_{44}& a_{54}\\ a_{15}& a_{25}& a_{35}& a_{45}& a_{55}\end{array}\right]=\left[\begin{array}{ccccc}{k}_{11}& k_{12}& k_{13}& k_{14}& k_{15}\\ 0& k_{22}& 0& k_{24}& 0\\ \text{0}& \text{0}& k_{33}& 0& k_{35}\\ 0& 0& 0& k_{44}& 0\\ 0& 0& 0& 0& k_{55}\end{array}\right]$

只要行列式|X|≠0，那么A有唯一解。 

CC把计算完毕的矩阵A和映射参数通过公开的信道广播或组播给所有SC_i，其中i＝1，2，...，5； 

步骤4、所有子群组控制器接收到公开矩阵A和映射参数r之后，通过f(.，.)和映射参数r求新向量： 

对于任一个子群组V_i，其子群组控制器为SC_i，其中X_i＝(x_i，1，x_i，2，...，x_i，5)， x_i，1＝f(z_i，1，r)，x_i，i＝f(z_i，2，r)，其余x_i，j＝0(j≠1且j≠i且j＝1，...，5)；W_i＝(w_i，1，w_i，2)，w_i，1＝f(y_i，1，r)，w_i，2＝f(y_i，2，r)。根据式(9)计算所有k_i，j(j＝1，...，5)：k_i，1，k_i，2，k_i，3，k_i，4，k_i，5。如果j＝i，则k_i，j＝k_i，i，即本子群组的密钥。如果j≠i且k_i，j≠0，则根据式(10)求解子群组V_i的群组密钥k_j，j。 

例如对于V₃，SC₃接收到A和r后，计算X₃＝(x_3，1，0，x_3，3，0，0)和W₃＝(w_3，1，w_3，2)： 

x_3，1＝f(z_3，1，r)  w_3，1＝f(y_3，1，r)

x_3，3＝f(z_3，2，r)’w_3，2＝f(y_3，2，r)

再根据式(9)计算k_3，1～k_3，5：其中k_3，3≠0和k_3，5≠0。k_3，3为子群组V₃的群组密钥；k_3，5是SC₃求解子群组V₅群组密钥k_5，5的间接密钥。根据式(10)：k_5，5＝w_3，1k_3，3+w_3，2k_3，5

SC₃把计算好的k_3，3和k_5，5通过组内的密钥管理方案分发给组内成员。 

如图11所示，通过以上步骤，建立了一个具有等级访问控制和7个子群组组成的群组。子群组间的等级关系隐含在公开矩阵A和各个子群组的保密向量中。 

实施例四 

当子群组间的关系发生变化的时候，如图12所示：V₅要离开群组，而V₆要作为V₂的新子群组加入。 

步骤1、如图13所示，SC₅向CC发送离开请求，CC接收到请求后删除V₅的私有向量Z₅和W₅；CC在有限域F上随机选择一个m维私有向量Z₆和一个2维向量Y₆，通过安全通道发送给V₆的子群组控制器，V₆的子群组控制器接收到Z₆和Y₆后，密存。 

CC重新分配当前子群组控制器的编号：SC₁～SC₄保持不变，对应的m维 私有向量分别是Z₁～Z₄，2维私有向量是Y₁～Y₄。新加入的子群组V₆的子群组控制器编号为SC₅，对应的私有向量为Z₅和Y₅。这时CC保存的私有向量为Z_i和Y_i(i＝1，2，...，5)；此时群组的等级关系如图12所示； 

其他步骤与实施例一的步骤2～步骤4一致；需要补充说明的是：对于SC₅，各保密向量X_i、W_i(i＝1，...，5)与公开向量A₅以及子群组密钥k_5，5的关系不同于实施例一中步骤3的第(5)点(其他的各小点相同)，SC₅变动后对应的关系如下： 

对于SC₅，V₅能直接导出群组密钥k_5，5，V₁、V₂都能够间接导出k_5，5，而V₃和V₄不能直接/间接导出k_5，5；各个保密向量X_i(i＝1，2，...，5)、公开向量A₅和密钥k_5，5的关系如下： 

$X_1\×A_5^T=k_{\mathrm{1,5}}$

$X_2\×A_5^T=k_{\mathrm{2,5}}$

$X_3\×A_5^T=0$

$X_4\×A_5^T=0$

$X_5\×A_5^T=k_{\mathrm{5,5}}$

$k_{\mathrm{1,5}}=(k_{\mathrm{5,5}}-w_{\mathrm{1,1}}{k}_{\mathrm{1,1}})w_{\mathrm{1,2}}^{-1}$

$k_{\mathrm{2,5}}=(k_{\mathrm{5,5}}-w_{\mathrm{2,1}}{k}_{\mathrm{2,2}})w_{\mathrm{2,2}}^{-1}$

设 

则可写矩阵形式： 

写成方程组形式，则可表示为： 

$\left\{\begin{array}{c}{x}_{\mathrm{1,1}}{a}_{\mathrm{5,1}}+x_{\mathrm{1,2}}{a}_{\mathrm{5,2}}+0+0+0=k_{\mathrm{1,5}}\\ x_{\mathrm{2,1}}{a}_{\mathrm{5,1}}+x_{\mathrm{2,2}}{a}_{\mathrm{5,2}}+0+0+0=k_{\mathrm{2,5}}\\ x_{\mathrm{3,1}}{a}_{\mathrm{5,1}}+0+x_{\mathrm{3,3}}{a}_{\mathrm{5,3}}+0+0=0\\ x_{\mathrm{4,1}}{a}_{\mathrm{5,1}}+0+0+x_{\mathrm{4,4}}{a}_{\mathrm{5,4}}+0=0\\ x_{\mathrm{5,1}}{a}_{\mathrm{5,1}}+0+0+0+x_{\mathrm{5,5}}{a}_{\mathrm{5,5}}=k_{\mathrm{5,5}}\end{array}\right.$

$k_{\mathrm{1,5}}=(k_{\mathrm{5,5}}-w_{\mathrm{1,1}}{k}_{\mathrm{1,1}})w_{\mathrm{1,2}}^{-1}$

$k_{\mathrm{2,5}}=(k_{\mathrm{5,5}}-w_{\mathrm{2,1}}{k}_{\mathrm{2,2}})w_{\mathrm{2,2}}^{-1}$

其他的细节和实施例三的步骤3一致。 

如图14所示，通过以上步骤，完成了批量的群组加入和离开操作，新的等级关系也反映在公开矩阵A和各个保密向量X_i、W_i(i＝1，2，...，5)中。单独的加入或离开可以看作是批量的特殊形式。在新的群组加入过程中，安全信道仅仅在新群组向CC发送私有向量的时候存在，其他原有群组并不需要重新向CC发送私有向量。 

上述实施例为本发明较佳的实施方式，但本发明的实施方式并不受所述实施例的限制，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。 

Claims (8)

1.一种基于线性几何的等级群组密钥管理方法，其特征在于，包括以下步骤：

步骤1、中央控制器选择群组使用的有限域F以及映射f，群组的运算都在有限域F中进行；同时中央控制器确定一个常数N，作为子群组个数的上限；中央控制器把有限域F、常数N以及映射f发送给所有子群组控制器；设群组共有n个子群组，中央控制器为每个子群组编号，发送给所有子群组控制器；同时中央控制器为每一个子群组随机选定一个N维私有向量，通过安全通道发送给对应的子群组控制器；子群组控制器接收中央控制器的私有向量并密存，其中N，n为正整数，n≤N；

步骤2、中央控制器在有限域F上随机选定一个映射参数r，并根据该映射参数，用映射f把所有子群组控制器的私有向量映射成向量空间中一组新的向量，称为保密向量；如果新向量组是线性相关的，则再次选择映射参数并重新映射，或者返回步骤1让子群组控制器重选私有向量，直到新向量组线性无关为止；

步骤3、中央控制器在有限域F上为每一个子群组都选定一个子群组密钥，中央控制器根据子群组间的等级关系，利用保密向量和子群组密钥构造n组线性方程组，中央控制器求解出线性方程组的唯一解，称为公开向量；保密向量和公开向量遵循以下规则：(1)低等级节点的保密向量与高等级节点的公开向量正交，内积为0；(2)对于所有节点，本节点自身的保密向量与自身的公开向量内积为本节点的群组密钥；(3)当高等级节点是本节点的父节点或祖先节点时，高等级节点的保密向量与本节点公开向量的内积为本节点的群组密钥；高等级节点的保密向量与后裔子节点公开向量的内积为后裔子节点的群组密钥；(4)没有直接或间接上下级关系的节点间无法导出对方的密钥，自身的保密向量与对方的公开向量的内积为0；(5)兄弟节点间也不能导出对方的密钥，自身 的保密向量与对方的公开向量的内积为0；n组公开向量组成一个公开矩阵，中央控制器把公开矩阵和映射参数r通过公开信道广播或组播发送给所有的子群组控制器；

步骤4、每一个子群组控制器接收到公开矩阵和映射参数后，根据映射参数把自身的私有向量映射到向量空间的一个新向量，求出自身的保密向量，再用保密向量与公开矩阵作运算，得到一组密钥向量，子群组控制器通过自身计算的密钥向量得到自己和后裔子群组的群组密钥，而子群组控制器无法计算其父群组和祖先群组的群组密钥；子群组控制器把计算好的群组密钥分发到组内成员；

所述步骤1具体为：

中央控制器确定有限域F、常数N以及映射f；中央控制器把有限域F、常数N以及映射f发送给所有子群组控制器；中央控制器为每一个子群组控制器分配编号SC_i，通过广播或组播把编号发送给所有子群组控制器；

中央控制器为每一个子群组V_i随机选定一个N维私有向量Z_i＝(z_i，1，z_i，2，...，z_i，N)，通过安全通道把私有向量发送给对应的子群组控制器SC_i；每个子群组控制器SC_i接收私有向量Z_i＝(Z_i，1，Z_i，2，...，Z_i，N)并密存；

所述步骤2具体为：

中央控制器在有限域F上随机选定一个映射参数r，并使用映射f把所有子群组的私有向量Z_i＝(Z_i，1，Z_i，2，...，Z_i，N)映射成一组新的向量，称为保密向量；

对于编号为SC_i的子群组控制器：

x_i，1＝f(z_i，1，r)

x_i，2＝f(z_i，2，r)

……，

x_i，n＝f(z_i，n，r) 

则中央控制器得到新的有限域F上的一组向量：

X₁＝(x_1，1，x_1，2，...，x_1，n)，

X₂＝(x_2，1，x_2，2，...，x_2，n)，

··，

X_n＝(x_n，1，x_n，2，...，x_n，n)

中央控制器判断X₁，X₂，...，X_n是否线性相关，如果是线性相关，则返回步骤2，或者返回步骤1让子群组控制器重选私有向量，直到新向量组线性无关为止；否则进入步骤3；

所述步骤3具体为：

中央控制器在有限域F上为每个子群组分别选取随机数作为子群组的密钥，设选取的随机数分别为k₁，k₂，...，k_n，且k_i≠0，对任意子群组V_i，设P(i)表示子群组V_i的所有祖先节点的集合，假设向量A_i＝(a_i，1，a_i，2，...，a_i，n)是未知参数，则各个子群组的保密向量X_j与公开向量Ai有如下关系：

其中，i＝1，...，n；j＝1，...，n；设X＝(X₁，X₂，...，X_n)^T，K_i＝(c_i，1，c_i，2，...，c_i，n)^T， 

则(1)转换成

令 

K＝(K₁，K₂，...，K_n)，对所有V_i则有

X×A＝K                                                          (3)

中央控制器需要求解方程组(3)，由于步骤2中X₁，X₂，...，X_n线性无关保证了系数矩阵的行列式|X|≠0，所以方程组(3)有唯一解，A即为所求的公开矩阵；中央控制器通过公开信道把公开矩阵 

和映射参数r通过公 开信道广播或组播给所有子群组控制器；

所述步骤4具体为：

各个子群组控制器接收 

和映射参数r，并通过映射f映射计算X_i＝(x_i，1，x_i，2，...，x_i，n)：

x_i，1＝f(z_i，1，r)

x_i，2＝f(z_i，2，r)

……，

x_i，n＝f(z_i，n，r)

然后计算：

当j≠i时，

其中，i＝1，...，n；j＝1，...，n，P(j)表示子群组V_i的所有祖先节点的集合；如果V_i∈P(j)，则t_j＝k_j，即V_j的群组密钥；否则，t_j＝0；通过(4)和(5)，每个V_i都方便地算出本身或后裔节点的群组密钥；

子群组控制器SC_i把计算好的k_i和t_j(j≠i)分发到群组内各成员。

2.根据权利要求1所述一种基于线性几何的等级群组密钥管理方法，其特征在于，所述基于线性几何的等级群组密钥管理方法进一步包括：

步骤5、新的子群组加入：中央控制器为每个新的子群组控制器编号，把编号发送给所有子群组控制器；同时中央控制器为每个新加入的子群组在有限域F上随机选择一个N维的私有向量，并分别通过安全信道发送给对应的子群组控制器；新加入的子群组控制器接收中央控制器发送过来的私有向量并密存；中央控制器把有限域F、常数N以及映射f发送给新加入的子群组控制器；

重复步骤2～步骤4。

3.根据权利要求1所述一种基于线性几何的等级群组密钥管理方法，其特征在于，所述基于线性几何的等级群组密钥管理方法进一步包括： 

步骤5、子群组的退出：退出的子群组控制器向中央控制器申请离开群组，中央控制器删除退出的子群组控制器的私有向量，根据当前子群组控制器成员的下标大小重新编号，通过广播或组播把所有成员的下标编号分发给所有子群组控制器；

重复步骤2～步骤4。

4.一种基于线性几何的等级群组密钥管理方法，其特征在于，包括以下步骤：

步骤1、中央控制器选择群组使用的有限域F以及映射f，群组的运算都在有限域F中进行；同时中央控制器确定一个常数m；中央控制器把有限域F、常数m以及映射f发送给所有子群组控制器；设群组共有n个子群组，中央控制器为每个子群组控制器编号，把编号发送给所有子群组控制器；同时中央控制器为每个子群组在有限域F上随机选择一个m维和一个2维私有向量，分别通过安全信道发送给对应的子群组控制器；子群组控制器接收m维和2维私有向量并密存；其中m，n为正整数，2≤m≤n；

步骤2、中央控制器在有限域F上随机选定一个映射参数r，并根据该映射参数，用映射f把所有子群组控制器的2维向量映射成一组新向量；同时用映射f把所有子群组控制器的m维私有向量映射成向量空间中一组新的向量；如果新向量组是线性相关的，则再次选择映射参数并重新映射，或者返回步骤1让子群组控制器重选私有向量，直到新向量组线性无关为止；这两组新向量又称为保密向量；

步骤3、中央控制器在有限域F上为每一个子群组都选定一个群组密钥，中央控制器根据子群组间的等级关系，利用保密向量和子群组密钥构造n组线性方程组，中央控制器求解出线性方程组的唯一解，称为公开向量；保密向量和公开向量遵循以下规则：(1)对于所有节点，本节点自身的m维保密向量与自身的公开向量内积为本节点自身的群组密钥；(2)低等级节点的m维保密向量与高 等级节点的公开向量正交，内积为0；(3)当高等级节点是本节点的父节点或祖先节点时，高等级节点的m维保密向量与所有后裔子节点公开向量的内积为间接密钥，高等级节点进一步通过自身的2维保密向量和密钥求出后裔子节点的密钥；(4)没有直接或间接上下级关系的节点间无法导出对方的密钥，自身的m维保密向量与对方的公开向量的内积为0；(5)兄弟节点间也不能导出对方的密钥，自身的m维保密向量与对方的公开向量的内积为0；n组公开向量组成一个公开矩阵，中央控制器把公开矩阵和映射参数r通过公开信道广播或组播发送给所有的子群组控制器；

步骤4、每一个子群组控制器接收到公开矩阵和映射参数后，根据映射参数把自身的2个私有向量映射成向量空间中的2个新向量，即保密向量，再用m维的保密向量与公开矩阵作线性变换，得到一组密钥向量，子群组控制器能通过自身计算的密钥向量得到自己的群组密钥，再通过自身2维保密向量和自身的群组密钥计算后裔子群组的群组密钥，子群组控制器无法计算其父群组或祖先群组的群组密钥；子群组控制器把计算好的群组密钥分发到组内成员；

所述步骤1具体为：

中央控制器确定一个有限域F和常数m以及映射f，中央控制器把有限域F、常数m以及映射f发送给所有子群组控制器SC_i；中央控制器为每个子群组V_i在有限域F上选择一个的m维私有向量Z_i＝(z_i，1，z_i，2，...，z_i，m)和一个2维私有向量Y_i＝(y_i，1，y_i，2)，通过安全信道把Z_i和Y_i发送给对应的子群组控制器SC_i；

子群组控制器SC_i接收私有向量Z_i和Y_i并密存，中央控制器为每一个子群组控制器分配编号SC_i，通过广播或组播把编号发送给所有子群组控制器；其中i＝1，...，n；

所述步骤2具体为：

中央控制器在有限域F上随机选定一个映射参数r，并使用映射f把所有子群组的私有向量Z_i映射成一组新的向量X_i，用映射f把所有子群组的私有向量Y_i映射成一组新的向量W_i，X_i和W_i称为保密向量； 

(1)对于所有子群组SC_i，i＝1，...，n，向量W_i＝(w_i1，w_i2)：

w_i1＝f(y_i，1，r)

w_i2＝f(y_i，2，r)

(2)当i＝1，...，m，X_i＝(x_i，1，...，x_i，m，0，...，0)：

x_i，1＝f(z_i，1，r)

......

x_i，m＝f(z_i，m，r)

令x_i，m+1＝...＝x_i，n＝0；

(3)当i＝m+1，...，n，X_i＝(x_i，1，x_i，2，...，x_i，m-1，0...，0，x_i，i，0，...，0)

x_i，1＝f(z_i，1，r)

......

x_i，m-1＝f(z_i，m-1，r)

x_i，i＝f(z_i，m，r)

令x_i，m-1＝...＝x_i，i＝0，x_i，i+1＝...＝x_i，n＝0；

则中央控制器得到由X_i组成的基于有限域F的一组n维向量：

X₁＝(x_1，1，x_1，2，...，x_1，n)

X₂＝(x_2，1，x_2，2，...，x_2，n)

......

Xn＝(x_n，1，x_n，2，...，x_n，n)

中央控制器判断X₁，X₂，...，X_n是否线性相关：如果是线性相关，则返回步骤2，再次选择映射参数并重新映射，或者返回步骤1让子群组控制器重选私有向量，直到新向量组线性无关为止；否则进入步骤3；

所述步骤3具体为：

中央控制器为每个子群组V_i选择一个群组密钥k_i，i，i＝1，...，n；对任意子群组控制器SC_i，i＝1，...，n，假设其公开向量

是未知参数，用C(V_i)表示子群组控制器SC_i的所有后裔子群组的集合，则各个子群组的保密向量X_i与公开向量A_i有如下关系： 

X_i×A_i ^T＝k_i，i

设V_j∈C(V_i)，即V_j(j＝1，...，n)是V_i的直接或间接的后裔子群组且j≠i，则A_j和X_i、W_i、X_j的关系如下：

由(6)导出：

其中，i＝1，...，n，j＝1，...，n；

设X＝(X₁，X₂，...，X_n)，K_i＝(k_i，1，k_i，2，...，k_i，n)^T，则(7)转换成

X×A^T＝K_i

令A＝(A₁ ^T，A₂ ^T，...，A_n ^T)，K＝(K₁，K₂，...，K_n)，对所有V_i则有

X×A＝K                        (8)

把(8)写成方程组形式：

中央控制器求解方程组(8)，由于在步骤3保证了系数矩阵的行列式|X|≠0，所以方程组(8)有唯一解：A＝X^-1K；A即为所求的公开矩阵；中央控制器通过公开信道把矩阵A＝(A₁ ^T，A₂ ^T，...，A_n ^T)和映射参数r通过公开信道广播或组播给所有子群组控制器；

所述步骤4具体为：

当子群组控制器接收到A＝(A₁ ^T，A₂ ^T，...，A_n ^T)和映射参数r后，各个子群组控制器SC_i首先根据自身编号i和映射f计算W_i和X_i： 

(1)对于所有i＝1，...，n，W_i＝(w_i，1，w_i，2)

w_i，1＝f(y_i，1，r)

w_i，2＝f(y_i，2，r)

(2)当i＝1，...，m，X_i＝(x_i，1，...，x_i，m，0，...，0)：

x_i，1＝f(z_i，1，r)

......

x_i，m＝f(z_i，m，r)

令x_i，m+1＝...＝x_i，n＝0；

(3)当i＝m+1，...，n，X_i＝(x_i，1，x_i，2，...，x_i，m-1，0...，0，x_i，i，0，...，0)

x_i，1＝f(z_i，1，r)

......

x_i，m-1＝f(z_i，m-1，r)

x_i，i＝f(z_i，m，r)

令x_i，m-1＝...＝x_i，i＝0，x_i，i+1＝...＝x_i，n＝0；

然后计算，对所有j＝1，...，n，

当j＝i时，k_i，j＝k_i，i，即子群组V_i自身的密钥；当j≠i，如果k_i，j≠0，则子群组控制器SC_i继续计算k_j，j：

k_j，j＝w_i，1×k_i，i+w_i，2×k_i，j                        (10)

通过式(9)和(10)，各个子群组控制器SC_i方计算出密钥k_i，i和各个后裔子群组的密钥k_j，j；子群组控制器SC_i把计算出来的k_i，i和k_j，j(j＝1，...，n且j≠i)分发到各个组内成员。

5.根据权利要求4所述一种基于线性几何的等级群组密钥管理方法，其特征在于，所述基于线性几何的等级群组密钥管理方法进一步包括：

步骤5、新的子群组加入：中央控制器为每个新子群组在有限域F上随机选择一个m维私有向量Z_i＝(z_i，1，z_i，2，...，z_i，m)和一个2维私有向量Y_i＝(y_i，1，y_i，2)，并通过 安全信道发送给对应的子群组控制器；中央控制器为每个新的子群组控制器分配编号，把编号发送给所有子群组控制器；新子群组控制器接收中央控制器发送的m维和2维私有向量和密存；中央控制器把有限域F、常数m以及映射f发送给新加入的子群组控制器；

重复步骤2～步骤4。

6.根据权利要求4所述一种基于线性几何的等级群组密钥管理方法，其特征在于，所述基于线性几何的等级群组密钥管理方法进一步包括：

步骤5、子群组的退出：退出的子群组控制器向中央控制器申请离开群组，中央控制器删除退出的子群组控制器的私有向量，根据当前子群组控制器成员的下标大小重新编号，通过广播或组播把所有成员的下标编号分发给所有子群组控制器；

重复步骤2～步骤4。

7.根据权利要求4所述一种基于线性几何的等级群组密钥管理方法，其特征在于，所述m取值为2。

8.根据权利要求1或4所述一种基于线性几何的等级群组密钥管理方法，其特征在于，所述基于线性几何的等级群组密钥管理方法还包括自动更新：若在预设时间内没有成员加入或退出群组，则中央控制器周期性地更新各个子群组的密钥；中央控制器为每一个子群组随机选取新的私有向量，通过安全通道发送给对应的子群组控制器，子群组控制器接收私有向量并密存；中央控制器重新选择映射参数和各个子群组的密钥，并计算出公开矩阵，中央控制器把公开矩阵和映射参数通过公开信道广播或组播发送给各个子群组控制器。 

Images