CN102111266A - 基于椭圆曲线的组密钥产生方法 - Google Patents

Abstract

一种基于椭圆曲线的组密钥产生方法，包括步骤：步骤a，任意选定小组内的一个或者多个成员作为组织者，小组内其他成员作为通用成员；步骤b，小组内各个成员分别其他成员广播自身的公钥信息Pn；步骤c，各个通用成员根据接收到的公钥信息生成第一子密钥，并广播发送到小组内的其他成员；步骤d，所述组织者产生随机整数r，计算一叠加项，向小组内各个通用成员分别发送包含所述叠加项信息的第二子密钥；步骤e，任一通用成员Am根据接收到的其他的通用成员广播的第一子密钥，以及所述组织者对任一通用成员Am发送的第二子密钥，生成组密钥K；步骤f，所述组织者根据小组内各个通用成员产生的第一子密钥，以及组织者本身产生的所述叠加项，生成组密钥K。

Description

基于椭圆曲线的组密钥产生方法

技术领域

本发明涉及数字密码技术中的组密钥产生方法，特别涉及一种椭圆曲线密码体制上的组密钥产生方法。

背景技术

随着Internet的迅猛发展，网络安全问题显得越来越重要，相关网络安全协议应运而生，而这些协议又是以高效安全的加密算法为前提的。

加密算法分为对称加密算法和非对称加密算法。在网络上进行数据传输时，通常使用对称加密算法加密所要传输的数据，而用非对称加密算法加密密钥。

就非对称加密算法来说，目前RSA应用最为普及，但ECC和RSA相比有许多优点，诸如安全性高、密钥量小、灵活性好等等，自1997年以来，ECC的研究和应用工作已受到普遍关注。

组密钥的产生算法可以保证小组内各个成员使用组密钥后，安全的共享小组内的秘密信息，不让小组外的成员获取信息，它是通过ECC的密码交换体制来扩展实现的。目前国际标准的基于ECC的密钥交换体制是ECDH(EllipticCurve Diffie-Hellman)密钥共享算法，现将此算法描述如下：

假设椭圆曲线密码系统的公开曲线参数为{q，a，b，G，n，h}，其中椭圆曲线y²＝x³+ax+b是有限域GF(q)上的曲线E(F_q)，G为基点，n是基点阶，h为协因子；设k∈GF(q)，P是曲线E(F_q)上的一点，则Q＝kP＝P+P+...+P(k个P点求普加)称为点积运算，已知k和点P求点Q比较容易，反之已知点Q和点P求k却是相当困难的。则ECDH算法步骤如下：

(1)成员A选择一个整数n_A作为A的私钥，然后产生其公钥P_A＝n_A*p，该公钥是有限域F_q中的一个点；

(2)同样B也可以产生私钥n_B，并计算其公钥P_B；

(3)A和B相互交互公钥；

(4)A产生秘密密钥K＝n_A*P_B，B产生秘密密钥K＝n_B*P_A；

在步骤4中A和B产生的K是相同的，因为n_A*P_B＝n_A*(n_B*p)＝n_B*(n_A*p)＝n_B*P_A，这样A与B完成了密钥协商过程。

在密钥协商过程中，成功的关键在于对于Q＝k*P，已知k和点P求点Q比较容易，反之已知点Q和点P求k却是相当困难的。因此即使通信过程中链路被监听，攻击者也不会获得协商好的密钥。

ECDH算法是针对两个成员之间的密钥协商，在组播环境中应用时，由于组成员的数量增加，会造成运算量增大。

发明内容

本发明的目的在于，解决现有技术中在组播中应用ECDH算法，造成的运算量增大的技术问题。

为达到上述目的，本发明提供一种基于椭圆曲线的组密钥产生方法，应用于由n个成员构成的小组，小组成员分别用A₁，A₂，...，A_n来表示；小组内各个成员对应的私钥分别为a₁，a₂，...，a_n，对应的公钥分别为P₁，P₂，...，P_n；其中，P₁＝a₁*p，P₂＝a₂*p，...，P_n＝a_n*p，p为公开基点。

所述方法包括步骤：

步骤a，任意选定小组内的一个或者多个成员作为组织者，小组内其他成员作为通用成员；

步骤b，小组内各个成员A₁，A₂，...，A_n分别向小组内的其他成员广播自身的公钥信息P₁，P₂，...，P_n；

步骤c，各个通用成员根据接收到的其他成员广播的公钥信息生成第一子密钥，并广播发送到小组内的其他成员；

步骤d，所述组织者产生随机整数r，计算一叠加项，向小组内各个通用成员分别发送包含所述叠加项信息的第二子密钥；

步骤e，任一通用成员A_m根据自身的私钥、所述组织者的公钥、所述任一通用成员A_m产生的所述第一子密钥K_m、所述任一通用成员A_m接收到的其他的通用成员广播的第一子密钥，以及所述组织者对任一通用成员A_m发送的第二子密钥，生成组密钥K；

步骤f，所述组织者根据自身的私钥，小组内其他成员的公钥，小组内各个通用成员产生的第一子密钥，以及组织者本身产生的所述叠加项，生成组密钥K。

本发明的有益效果在于，将ECDH中由两个成员之间的密钥协商扩展到小组内所有成员的协商，使得不通过可信第三方，仅依赖于小组内各个成员的共同计算产生组密钥。并且小组内各成员并没有预先共享秘密信息。本发明的方法应用于组播通信中时，所有成员的通信次数和小组内成员的数量呈线性关系，对于计算性能而言，通用成员的点乘次数为常数项，第一组织者A_s点乘次数与小组内成员数量也是线性关系，可见生成组密钥时，消耗的资源很少。

附图说明

图1所示为本发明实施例1的组密钥产生的方法的流程图；

图2所示为本发明实施例2的组密钥产生的方法的流程图；

图3所示为本发明实施例3的组密钥产生的方法的流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

本发明实施例提供了一种椭圆曲线密码体制(ECC)上的组密钥产生方法，从椭圆曲线离散对数困难问题假设出发，通过巧妙的变形，对ECDH做了扩展，将ECDH中由两个成员之间的密钥协商扩展到小组内所有成员的协商，使得不通过可信第三方，仅依赖于小组内各个成员的共同计算产生组密钥。并且小组内各成员并没有预先共享秘密信息。

实施例1

假设小组内共有n个成员，分别用A₁，A₂，...，A_n来表示；小组内各个成员对应的私钥分别为a₁，a₂，...，a_n，对应的公钥分别为P₁，P₂，...，P_n。其中，P₁＝a₁*p，P₂＝a₂*p，...，P_n＝a_n*p，p为公开基点。

参见图1，为本发明实施例1组密钥产生的方法的流程图，具体步骤为：

步骤101，任意选定小组内的一个成员A_s作为第一组织者，s∈{1，2，...，n}，小组内的其他成员A₁，A₂，...A_s-1，A_s+1，...，A_n作为通用成员。

步骤102，小组内各个成员A₁，A₂，...，A_n分别向小组内的其他成员广播自身的公钥信息P₁，P₂，...，P_n。

步骤103，小组内任意通用成员A_m根据接收到的其他成员广播的公钥信息生成第一子密钥K_m＝a_m*(P₁+P₂+...+P_m-1+P_m+1+...+P_n)，m∈{1，2，...，s-1，s+1，...，n}，并广播发送到小组内的其他成员。

其中，a_m为通用成员A_m的私钥，P₁，P₂，...，P_m-1，P_m+1，...，P_n为通用成员A_m接收到的其他成员广播的公钥信息。

步骤104，小组内的第一组织者A_s产生随机整数r，计算第一叠加项S_r＝r*p，并向小组内通用成员A_j发送第二子密钥K_sj＝a_s*(P₁+P₂+...+P_s-1+P_s+1+...P_j-1+P_j+1+...+P_n)+S_r，j∈{1，2，...，s-1，s+1，...，n}。其中第二子密钥K_sj为第一组织者A_s针对小组内的通用成员A_j分别产生的子密钥。

其中，a_s为第一组织者A_s的私钥，P₁，P₂，...，P_s-1，P_s+1，...P_j-1，P_j+1，...，P_n为第一组织者A_s接收到的小组内通用成员广播的公钥信息。

步骤105，小组内任意的通用成员A_m，m∈{1，2，...，s-1，s+1，...，n}根据自身的私钥a_m、第一组织者A_s的公钥P_s、A_m产生的第一子密钥K_m、A_m接收到的全部的第一子密钥，以及第一组织者A_s对A_m发送的第二子密钥K_sm，生成组密钥：

K＝a_m*P_s+K₁+K₂+...K_s-1+K_sm+K_s+1+...+K_n

＝((a₁+a₂+...a_n)²-(a₁ ²+a₂ ²+...+a_n ²)+r)*p。

步骤106，第一组织者A_s根据自身的私钥a_s，小组内通用成员的公钥P₁，P₂，…，P_s-1，P_s+1，...，P_n，小组内通用成员产生的第一子密钥K₁，K₂，...，K_s-1，K_s+1，...，K_n，以及第一组织者A_s本身产生的第一叠加项S_r，生成组密钥：

K＝a_s*(P₁+P₂+P_s-1+P_s+1+...+P_n)+K₁+K₂+...K_s-1+K_s+1+...+K_n+S_r

＝((a₁+a₂+...+a_n)²-(a₁ ²+a₂ ²+...a_n ²)+r)*p。

步骤107，对于小组内的所有用户，密钥协商结束。

下面对实施例1的组密钥产生的方法的安全性进行说明。

对于小组外的攻击者，如果其监听到小组内第一组织者和通用成员之间的通信过程，则攻击者获取的信息为所有成员的公钥P₁，P₂，...，P_n，所有通用成员生成并广播的第一子密钥K₁，K₂，...，K_s-1，K_s+1，...，K_n，第一组织者A_s生成的第二子密钥K_sj，j∈{1，2，...，s-1，s+1，...，n}。

其中，攻击者获取的关于第一子密钥的信息为：

K_m＝a_m*(P₁+P₂+...+P_m-1+P_m+1+...+P_n)

＝(a_ma₁+a_ma₂+...+a_ma_m-1+a_ma_m+1+...+a_ma_n)*p，

其中m∈{1，2，...，s-1，s+1，...，n}。则攻击者获取的关于第一子密钥的信息的方程共有n-1个。

攻击者获取的关于第二子密钥的信息为：

K_sj＝a_s*(P₁+P₂+...+P_s-1+P_s+1+...P_j-1+P_j+1+...+P_n)+S_r

＝(a_sa₁+a_sa₂+...+a_sa_s-1+a_sa_s+1+...a_sa_j-1+a_sa_j+1+...+a_sa_n+r)*p，

其中j∈{1，2，...，s-1，s+1，...，n}。则攻击者获取的关于第二子密钥的信息的方程共有n-1个。

因此，攻击者一共可以构造出2(n-1)个方程，但是其未知数a_pa_q，p∈{1，2，...，n}，q∈{1，2，...，n}，共(n-1)*n/2个(n＞＝3)，所以通过常规方法解方程组是无法解出未知数a_pa_q，并最终计算出组密钥：

$K=({(a_1+a_2+...+a_n)}^2-({a_1}^2+{a_2}^2+...+{a_n}^2)+r)*p$

$=(2*\underset{i=1}{\overset{n}{\mathrm{\Σ}}}\underset{j=1}{\overset{n}{\mathrm{\Σ}}}{a}_i{a}_j+r)*p$ (其中i≠j)。

再者，如果攻击者将发送的第一子密钥K₁，K₂，...，K_s-1，K_s+1，...，K_n叠加，则结果为：

$K_{\mathrm{Temp}}=(2*\underset{i=1}{\overset{n}{\mathrm{\Σ}}}\underset{j=1}{\overset{n}{\mathrm{\Σ}}}{a}_i{a}_j+r)*p-(a_s{a}_1+a_s{a}_2+...+a_s{a}_{s-1}+a_s{a}_{s+1}+...+a_s{a}_n+r)*p,$

其中i≠j。所以如果攻击者能够通过第二子密钥K_sj，j∈{1，2，...，s-1，s+1，...，n}计算出(a_sa₁+a_sa₂+...+a_sa_s-1+a_sa_s+1+...+a_sa_n+r)*p，那么攻击者就可以计算出组密钥。

关于第二子密钥K_sj，j∈{1，2，...，s-1，s+1，...，n}，一共有n-1个方程，但是未知数包括a_sa_j，j∈{1，2，...，s-1，s+1，...，n}和r，一共有n个未知数，所以无法解出每一个具体的值。因此无法计算(a_sa₁+a_sa₂+..+a_sa_s-1+a_sa_s+1+...+a_sa_n+r)*p。

如果将所有的K_sj叠加，得到

K_sjTemp＝((n-2)*(a_sa₁+a_sa₂+...+a_sa_s-1+a_sa_s+1+...+a_sa_n)+(n-1)*r)*p，

因此，从K_sjTemp中也无法计算出(a_sa₁+a_sa₂+...+a_sa_s-1+a_sa_s+1+...+a_sa_n+r)*p。

实施例1的组密钥产生的方法的安全保障的根本原因在于，对于每个第二子密钥K_sj，

K_sj＝a_s*(P₁+P₂+...+P_s-1+P_s+1+...P_j-1+P_j+1+...+P_n)+S_r

＝(a_sa₁+a_sa₂+...+a_sa_s-1+a_sa_s+1+...a_sa_j-1+a_sa_j+1+...+a_sa_n+r)*p

其中j∈{1，2，...，s-1，s+1，...，n}，缺少一项a_sa_j*p，而a_sa_j*p只有第一组织者A_s和通用成员A_j才能知道，通用成员A_j产生的第一子密钥K_j中虽然包含了a_sa_j*p这一项，但却无法从整体的第一子密钥K_j中解出具体的值，另外通过引入随机数r，并在第二子密钥K_sj的构成中减少了a_sa_j*p，通过这样的方式破坏了数据的对称性，使得攻击者无法通过叠加的方式计算

(a_sa₁+a_sa₂+...+a_sa_s-1+a_sa_s+1+...+a_sa_n+r)*p。

实施例2

假设小组内共有n个成员，分别用A₁，A₂，...，A_n来表示；小组内各个成员对应的私钥分别为a₁，a₂，...，a_n，对应的公钥分别为P₁，P₂，...，P_n。其中，P₁＝a₁*p，P₂＝a₂*p，...，P_n＝a_n*p，p为公开基点。

与实施例1相比，实施例2中的第一组织者A_s在构造组密钥的过程中，计算并存储a_s*(P₁+P₂+...+P_s-1+P_s+1+...+P_n)+S_r的数值，对于成员数量很大的组而言，将减少第一组织者A_s的计算次数，提高计算效率。

参见图2，为本发明实施例2组密钥产生的方法的流程图，具体步骤为：

步骤201，任意选定小组内的一个成员A_s作为第一组织者，s∈{1，2，...，n}，小组内的其他成员A₁，A₂，...A_s-1，A_s+1，...，A_n作为通用成员。

步骤202，小组内各个成员A₁，A₂，...，A_n分别向小组内的其他成员广播自身的公钥信息P₁，P₂，...，P_n。

步骤203，小组内任意通用成员A_m生成第一子密钥K_m＝a_m*(P₁+P₂+...+P_m-1+P_m+1+...+P_n)，m∈{1，2，...，s-1，s+1，...，n}，并广播发送到小组内的其他成员。

其中，a_m为通用成员A_m的私钥，P₁，P₂，...，P_m-1，P_m+1，...，+P_n为通用成员A_m接收到的其他成员广播的公钥信息。

步骤204，小组内的第一组织者A_s产生随机整数r，计算第一叠加项S_r＝r*p，并向小组内通用成员A_j发送第二子密钥K_sj＝a_s*(P₁+P₂+...+P_s-1+P_s+1+...P_j-1+P_j+1+...+P_n)+S_r，j∈{1，2，...，s-1，s+1，...，n}。其中第二子密钥K_sj为第一组织者A_s针对小组内的通用成员A_j分别产生的子密钥。

其中，a_s为第一组织者A_s的私钥，P₁，P₂，...，P_s-1，P_s+1，...P_j-1，P_j+1，...，P_n为第一组织者A_s接收到的小组内通用成员广播的公钥信息。

步骤205，小组内任意的通用成员A_m，m∈{1，2，...，s-1，s+1，...，n}根据自身的私钥a_m、第一组织者A_s的公钥P_s、A_m产生的第一子密钥K_m、A_m接收到的全部的第一子密钥，以及第一组织者A_s对A_m发送的第二子密钥，生成组密钥：

K＝a_m*P_s+K₁+K₂+...K_s-1+K_sm+K_s+1+...+K_n

＝((a₁+a₂+...+a_n)²-(a₁ ²+a₂ ²+...a_n ²)+r)*p。

步骤206，第一组织者A_s根据自身的私钥a_s，小组内通用成员的公钥P₁，P₂，...，P_s-1，P_s+1，...，P_n，以及第一组织者A_s本身产生的第一叠加项S_r计算并存储a_s*(P₁+P₂+...+P_s-1+P_s+1+...+P_n)+S_r的数值。

步骤207，第一组织者A_s根据a_s*(P₁+P₂+...+P_s-1+P_s+1+...+P_n)+S_r的数值，以及小组内通用成员产生的第一子密钥K₁，K₂，...，K_s-1，K_s+1，...，K_n，生成组密钥：

K＝a_s*(P₁+P₂+P_s-1+P_s+1+...+P_n)+S_r+K₁+K₂+...K_s-1+K_s+1+...+K_n

＝((a₁+a₂+...+a_n)²-(a₁ ²+a₂ ²+...+a_n ²)+r)*p。

步骤208，对于小组内的所有用户，密钥协商结束。

下面对实施例2的组密钥产生的方法的通信和计算次数进行说明。

对于任意的通用成员A_m，m∈{1，2，...，s-1，s+1，...，n}，广播发送了2次数据，分别是公钥P_m和第一子密钥K_m，从其他的通用成员处接收了2次数据，分别是其他成员的公钥P_j，j∈{1，2，...，m-1，m+1，...，s-1，s+1...，n}和第一子密钥K_j，j∈{1，2，...，m-1，m+1，...，s-1，s+1...，n}。通用成员A_m从第一组织者A_s处获得的数据是公钥P_s和第二子密钥K_sm。

对于第一组织者A_s，广播发送了公钥P_s，向任意通用成员A_j，j∈{1，2，...，s-1，s+1，...，n}分别发送第二子密钥K_sj，共发送数据n次。从其他的用户处共接收了2次数据，分别是公钥P_j和第一子密钥K_j。

从计算的角度来看，对于任意的通用成员A_m，m∈{1，2，...，s-1，s+1，...，n}，计算公钥P_m＝a_m*p，需要计算一次点乘；计算第一子密钥K_m＝a_m*(P₁+P₂+...+P_m-1+P_m+1+...+P_n)，计算了n-2次点加和一次点乘；计算组密钥K＝a_m*P_s+K₁+K₂+...K_s-1+K_sm+K_s+1+...+K_n时，计算了n次点加和一次点乘。

对于第一组织者A_s，计算公钥P_s＝a_s*p和第一叠加项S_r＝r*p，需要计算二次点乘，计算第二子密钥

K_sj＝a_s*(P₁+P₂+...+P_s-1+P_s+1+...P_j-1+P_j+1+...+P_n)+S_r

＝a_s*(P₁+P₂+...+P_s-1+P_s+1..+P_n)+S_r-a_s*P_j

其中a_s*(P₁+P₂+...+P_s-1+P_s+1+...+P_n)+S_r的数值由第一组织者A_s计算一次并存储，因此对于其他所有通用成员，第一组织者A_s共计算了2n-2次点加，n+2次点乘。最后生成组密钥

K＝a_s*(P₁+P₂+P_s-1+P_s+1+...+P_n)+K₁+K₂+...K_s-1+K_s+1+...+K_n+S_r，利用前面的结果，再计算n-1次点加即可。

可见生成组密钥时，通信性能如下：

对于通用成员，广播发送2次，接收其他用户数据共2(n-1)次。

对于第一组织者A_s，广播发送1次，向其他通用成员发送数据(n-1)次，接收其他通用成员数据共2(n-1)次。

计算性能如下：

对于通用成员，生成组密钥计算2n-2次点加，3次点乘。

对于第一组织者A_s，生成组密钥计算3n-3次点加，n+2次点乘。

对于组播通信而言，所有成员的通信次数和小组内成员的数量呈线性关系，对于计算性能而言，通用成员的点乘次数为常数项，第一组织者A_s点乘次数与小组内成员数量也是线性关系，可见生成组密钥时，消耗的资源很少。

实施例3

假设小组内共有n个成员，分别用A₁，A₂，...，A_n来表示；小组内各个成员对应的私钥分别为a₁，a₂，...，a_n，对应的公钥分别为P₁，P₂，...，P_n。其中，P₁＝a₁*p，P₂＝a₂*p，...，P_n＝a_n*p，p为公开基点。

与实施例1和实施例2不同的是，实施例3中选择两个成员分别作为第一组织者A_s和第二组织者A_t，小组内的其他成员为通用成员。

参见图3，为本发明实施例3组密钥产生的方法的流程图，具体步骤为：

步骤301，任意选定小组内的两个成员A_s和A_t，其中A_s作为第一组织者，A_t作为第二组织者，s，t∈{1，2，...，n}，小组内的其他成员A₁，A₂，...A_s-1，A_s+1，...，A_t-1，A_t+1，...A_n作为通用成员。

步骤302，小组内各个成员A₁，A₂，...，A_n分别向小组内的其他成员广播自身的公钥信息P₁，P₂，...，P_n。

步骤303，小组内任意通用成员A_m生成第一子密钥K_m＝a_m*(P₁+P₂+...+P_m-1+P_m+1+...+P_n)，m∈{1，2，...，s-1，s+1，...，t-1，t+1，...n}，并广播发送到小组内的其他成员。

其中，a_m为通用成员A_m的私钥，P₁，P₂，...，P_m-1，P_m+1，...，P_n为通用成员A_m接收到的小组内其他成员广播的公钥信息。

步骤304，小组内的第一组织者A_s产生随机整数r，计算第一叠加项S_r＝r*p，并向小组内通用成员A_j发送第二子密钥K_sj＝a_s*(P₁+P₂+...+P_s-1+P_s+1+...P_j-1+P_j+1+...+P_n)+S_r，j∈{1，2，...，s-1，s+1，...，n}。其中第二子密钥K_sj为第一组织者A_s针对小组内的通用成员A_j分别产生的子密钥。

其中，a_s为第一组织者A_s的私钥，P₁，P₂，...，P_s-1，P_s+1，...P_j-1，P_j+1，...，P_n为第一组织者A_s接收到的小组内通用成员广播的公钥信息。

小组内的第二组织者A_t产生随机整数r₁，计算第二叠加项

并向小组内通用成员A_j发送第三子密钥 $K_{\mathrm{tj}}=a_t*(P_1+P_2+...+P_{t-1}+P_{t+1}+...P_{j-1}+P_{j+1}+...+P_n)+S_{r_1},$ j∈{1，2，...，t-1，t+1，...，n}。其中第三子密钥K_tj为第二组织者A_t针对小组内的通用成员A_j分别产生的子密钥。

其中，a_t为第二组织者A_t的私钥，P₁，P₂，...，P_t-1，P_t+1，...P_j-1，P_j+1，...，P_n为第二组织者A_t接收到的小组内通用成员广播的公钥信息。

步骤305，小组内任意的通用成员A_m，m∈{1，2，...，s-1，s+1，...，t-1，...，t+1，...，n}根据自身的私钥a_m、第一组织者A_s的公钥P_s、第二组织者A_t的公钥P_t、A_m产生的第一子密钥K_m、A_m接收到的全部的第一子密钥，以及第一组织者A_s对A_m发送的第二子密钥K_sm，第二组织者A_t对A_m发送的第三子密钥K_tm，生成组密钥：

K＝a_m*P_s+a_m*P_t+K₁+K₂+...K_s-1+K_sm+K_s+1+...+K_t-1+K_tm+K_t+1+...+K_n

＝((a₁+a₂+...+a_n)²-(a₁ ²+a₂ ²+...+a_n ²)+r+r₁)*p。

步骤306，第一组织者A_s根据自身的私钥a_s，小组内其他成员的公钥P₁，P₂，...，P_s-1，P_s+1，...，P_n，以及第一组织者A_s本身产生的第一叠加项S_r计算并存储a_s*(P₁+P₂+...+P_s-1+P_s+1+...+P_n)+S_r的数值。

第二组织者A_t根据自身的私钥a_t，小组内其他成员的公钥P₁，P₂，...，P_t-1，P_t+1，...，P_n，以及第二组织者A_t本身产生的第二叠加项

计算并存储 $a_t*(P_1+P_2+...+P_{t-1}+P_{t+1}+...+P_n)+S_{r_1}$ 的数值。

步骤307，第一组织者A_s根据a_s*(P₁+P₂+...+P_s-1+P_s+1+...+P_n)+S_r的数值，第二组织者A_t的公钥P_t，第二组织者A_t针对第一组织者A_s产生的第三子密钥K_ts，以及小组内通用成员产生的第一子密钥K₁，K₂，...，K_s-1，K_s+1，...，K_t-1，K_t+1...，K_n，生成组密钥：

K＝a_s*(P₁+P₂+P_s-1+P_s+1+...+P_n)+S_r

+K₁+K₂+...K_s-1+K_s+1+...K_t-1+K_t+1+...+K_n+K_ts+a_s*P_t，

＝((a₁+a₂+...+a_n)²-(a₁ ²+a₂ ²+...+a_n ²)+r+r₁)*p

其中K_ts为第二组织者A_t针对第一组织者A_s产生的第三子密钥，

$K_{\mathrm{ts}}=a_t*(P_1+P_2+...+P_{s-1}+P_{s+1}+...P_{t-1}+P_{t+1}+...+P_n)+S_{r_1}.$

第二组织者A_t根据的数值，第一组织者A_s的公钥P_s，第一组织者A_s针对第二组织者A_t产生的第二子密钥K_st，以及小组内通用成员产生的第一子密钥K₁，K₂，...，K_s-1，K_s+1，...，K_t-1，K_t+1...，K_n，生成组密钥：

$K=a_t*(P_1+P_2+P_{t-1}+P_{t+1}+...+P_n)+S_{r_1}$

$=+K_1+K_2+...K_{s-1}+K_{s+1}+...K_{t-1}+K_{t+1}+...+K_n+K_{\mathrm{st}}+a_t*P_s,$

$=({(a_1+a_2+...+a_n)}^2-({a_1}^2+{a_2}^2+...+{a_n}^2)+r+r_1)*p$

其中K_st，为第一组织者A_s针对第二组织者A_t产生的第二子密钥，

K_st，＝a_s*(P₁+P₂+...+P_s-1+P_s+1+...P_t-1+P_t+1+...+P_n)+S_r。

步骤308，对于小组内的所有用户，密钥协商结束。

实施例3中的两个组织者可以扩展为多个组织者，并相应地引入多个叠加项使组织者和通用成员之间协商生成组密钥。

本发明的方法是在ECDH基础上的扩展，既适用于大素数域的椭圆曲线密码体制，也适用于二元域的椭圆曲线密码体制(包括多项式基的二元域椭圆曲线密码体制和正规基的二元域椭圆曲线密码体制)。在无线自组网和视频会议等领域有很大应用价值。

以上对本发明的描述是说明性的，而非限制性的，本专业技术人员理解，在权利要求限定的精神与范围之内可对其进行许多修改、变化或等效，但是它们都将落入本发明的保护范围内。

Claims (11)

1.一种基于椭圆曲线的组密钥产生方法，应用于由n个成员构成的小组，小组成员分别用A₁，A₂，...，A_n来表示；小组内各个成员对应的私钥分别为a₁，a₂，...，a_n，对应的公钥分别为P₁，P₂，...，P_n；其中，P₁＝a₁*p，P₂＝a₂*p，...，P_n＝a_n*p，p为公开基点；其特征在于，所述方法包括步骤：

步骤a，任意选定小组内的一个或者多个成员作为组织者，小组内其他成员作为通用成员；

步骤b，小组内各个成员A₁，A₂，...，A_n分别向小组内的其他成员广播自身的公钥信息P₁，P₂，...，P_n；

步骤c，各个通用成员根据接收到的其他成员广播的公钥信息生成第一子密钥，并广播发送到小组内的其他成员；

步骤d，所述组织者产生随机整数r，计算一叠加项，向小组内各个通用成员分别发送包含所述叠加项信息的第二子密钥；

步骤e，任一通用成员A_m根据自身的私钥、所述组织者的公钥、所述任一通用成员A_m产生的所述第一子密钥K_m、所述任一通用成员A_m接收到的其他的通用成员广播的第一子密钥，以及所述组织者对任一通用成员A_m发送的第二子密钥，生成组密钥K；

步骤f，所述组织者根据自身的私钥，小组内其他成员的公钥，小组内各个通用成员产生的第一子密钥，以及组织者本身产生的所述叠加项，生成组密钥K。

2.如权利要求1所述的基于椭圆曲线的组密钥产生方法，其特征在于，所述步骤a为

任意选定小组内的一个成员A_s作为第一组织者，s∈{1，2，...，n}，小组内的其他成员A₁，A₂，...A_s-1，A_s+1，...，A_n作为通用成员。

3.如权利要求2所述的基于椭圆曲线的组密钥产生方法，其特征在于，所述步骤d为

小组内的第一组织者A_s产生随机整数r，计算第一叠加项S_r＝r*p，并向小组内任意通用成员A_j分别发送包含第一叠加项信息的第二子密钥

K_sj＝a_s*(P₁+P₂+...+P_s-1+P_s+1+...P_j-1+P_j+1+...+P_n)+S_r，j∈{1，2，...，s-1，s+1，...，n}。

4.如权利要求2所述的基于椭圆曲线的组密钥产生方法，其特征在于，所述步骤e为

小组内任意的通用成员A_m，m∈{1，2，...，s-1，s+1，...，n}根据自身的私钥a_m、第一组织者A_s的公钥P_s、A_m产生的第一子密钥K_m、A_m接收到的全部的第一子密钥，以及第一组织者A_s对A_m发送的第二子密钥K_sm，生成组密钥

K＝a_m*P_s+K₁+K₂+...K_s-1+K_sm+K_s+1+...+K_n

＝((a₁+a₂+...+a_n)²-(a_n ²+a₂ ²+...+a_n ²)+r)*p。

5.如权利要求2所述的基于椭圆曲线的组密钥产生方法，其特征在于，所述步骤f为

第一组织者A_s根据自身的私钥a_s，小组内其他成员的公钥P₁，P₂，...，P_s-1，P_s+1，...，P_n，小组内其他成员产生的第一子密钥K₁，K₂，...，K_s-1，K_s+1，...，K_n，以及第一组织者A_s本身产生的第一叠加项S_r，生成组密钥

K＝a_s*(P₁+P₂+P_s-1+P_s+1+...+P_n)+K₁+K₂+...K_s-1+K_s+1+...+K_n+S_r

＝((a₁+a₂+...+a_n)²-(a₁ ²+a₂ ²+...+a_n ²)+r)*p。

6.如权利要求1所述的基于椭圆曲线的组密钥产生方法，其特征在于，所述步骤a为

任意选定小组内的两个成员A_s和A_t，其中A_s作为第一组织者，A_t作为第二组织者，s，t∈{1，2，...，n}，小组内的其他成员A₁，A₂，...A_s-1，A_s+1，...，A_t-1，A_t+1，...A_n作为通用成员。

7.如权利要求6所述的基于椭圆曲线的组密钥产生方法，其特征在于，所述步骤d为

小组内的第一组织者A_s产生随机整数r，计算第一叠加项S_r＝r*p，并向小组内通用成员A_j分别发送包含第一叠加项信息的第二子密钥K_sj，j∈{1，2，...，s-1，s+1，...，t-1，...，t+1，...，n}；

小组内的第二组织者At产生随机整数r₁，计算第二叠加项 $S_{r_1}=r_1*p,$ 并向小组内通用成员A_j分别发送包含第二叠加项信息的第三子密钥K_tj，j∈{1，2，...，s-1，s+1，...，t-1，...，t+1，...，n}。

8.如权利要求6所述的基于椭圆曲线的组密钥产生方法，其特征在于，所述步骤e为

小组内任意的通用成员A_m，m∈{1，2，...，s-1，s+1，...，t-1，...，t+1，...，n}根据自身的私钥a_m、第一组织者A_s的公钥P_s、第二组织者A_t的公钥P_t、A_m产生的第一子密钥K_m、A_m接收到的全部的第一子密钥，以及第一组织者A_s对A_m发送的第二子密钥K_sm，第二组织者A_t对A_m发送的第三子密钥K_tm，生成组密钥

K＝a_m*P_s+a_m*P_t+K₁+K₂+...K_s-1+K_sm+K_s+1+...+K_t-1+K_tm+K_t+1+...+K_n

＝((a₁+a₂+...+a_n)²-(a₁ ²+a₂ ²+...+a_n ²)+r+r₁)*p。

9.如权利要求6所述的基于椭圆曲线的组密钥产生方法，其特征在于，所述步骤f为

第一组织者A_s根据自身的私钥a_s，小组内其他成员的公钥P₁，P₂，...，P_s-1，P_s+1，...，P_n，第二组织者A_t针对第一组织者A_s产生的第三子密钥K_ts，小组内通用成员产生的第一子密钥K₁，K₂，...，K_s-1，K_s+1，...，K_t-1，K_t+1...，K_n，以及第一组织者A_s本身产生的第一叠加项S_r，生成组密钥

K＝a_s*(P₁+P₂+P_s-1+P_s+1+...+P_n)+S_r

+K₁+K₂+...K_s-1+K_s+1+...K_t-1+K_t+1+...+K_n+K_ts+a_s*P_t；

＝((a₁+a₂+...+a_n)²-(a₁ ²+a₂ ²+...+a_n ²)+r+r₁)*p

第二组织者A_t根据自身的私钥a_t，小组内其他成员的公钥P₁，P₂，...，P_s-1，P_s+1，...，P_n，第一组织者A_s针对第二组织者A_t产生的第二子密钥K_st，小组内通用成员产生的第一子密钥K₁，K₂，...，K_s-1，K_s+1，...，K_t-1，K_t+1...，K_n，以及第二组织者A_t本身产生的第二叠加项

生成组密钥

$K=a_t*(P_1+P_2+P_{t-1}+P_{t+1}+...+P_n)+S_{r_1}$

$=+K_1+K_2+...K_{s-1}+K_{s+1}+...K_{t-1}+K_{t+1}+...+K_n+K_{\mathrm{st}}+a_t*P_s.$

$=({(a_1+a_2+...+a_n)}^2-+({a_1}^2+{a_2}^2+...+{a_n}^2)r+r_1)*p$

10.如权利要求5所述的基于椭圆曲线的组密钥产生方法，其特征在于，所述步骤f之前，还包括第一组织者A_s计算并存储a_s*(P₁+P₂+...+P_s-1+P_s+1+...+P_n)+S_r的数值的步骤。

11.如权利要求9所述的基于椭圆曲线的组密钥产生方法，其特征在于，所述步骤f之前，还包括第一组织者A_s计算并存储a_s*(P₁+P₂+...+P_s-1+P_s+1+...+P_n)+S_r的数值的步骤，以及第二组织者A_t计算并存储 $a_t*(P_1+P_2+...+P_{t-1}+P_{t+1}+...P_n)+S_{r1}$ 的数值的步骤。

Images