CN102223629B - 一种移动自组网门限密钥分发方法 - Google Patents

Abstract

本发明涉及一种移动自组网门限密钥分发方法，其特征在于：提出一种适合移动自组网安全要求的基于身份的多重签密算法，再将这种算法用于移动自组网密钥管理，给出一种高效、安全的移动自组网络门限密钥分发方法。本发明中多重签密技术的使用，增强了移动自组网门限密钥管理的可靠性，改进了现有技术中要求服务请求者有多个一跳步邻居服务节点的问题，实现了由服务节点联合进行密钥分发，更好地保障了移动自组网门限密钥分发的安全性和高效性。

Description

一种移动自组网门限密钥分发方法

技术领域

本发明涉及一种移动自组网门限密钥分发方法，属于无线网络安全技术领域，涉及实现移动自组网络安全通信的密码技术，具体是一种移动自组网门限密钥安全高效分发方法。

背景技术

移动自组网(MANET，Mobile Ad hoc Network)是一种新型的无线网络，是由一组带有无线通信装置的移动终端组成的多跳步、分布式自治通信系统。在这种网络中，两个因无线通信覆盖范围的有限性而无法直接通信的终端，借助网络中其它终端节点的转发进行通信，因此这种网络又称多跳无线网。它以其组网迅速、适应性强、成本低廉等优点，在军事战场信息系统、紧急灾后营救、临时会议、传感器网络、家电网络等众多领域具有广泛应用。然而无线信道、低终端资源、受限能源、无中心控制等自身的弱点使移动自组网较之传统有线网或蜂窝无线网等更容易遭受各种攻击和安全威胁，安全问题成为移动自组网广泛应用中必须解决的关键问题。

移动自组网安全的基本需求和其它网络一样，包括机密性、认证性，完整性和不可否认性，实现这些安全目标的核心技术是密码技术。而正如密码学中柯可霍夫安全准则所指出的，密码体制的安全应该是建立在密钥安全基础上的。因此，密钥管理是移动自组网安全目标实现的前提和关键。无中心管理、无专门路由器等特点决定了移动自组网密钥管理必须由网络终端自组织完成，同时移动自组网无线链路、微型终端、电池供电等特殊环境还要求密钥管理的方法必须是轻量级的，以最小的计算和传输代价实现密钥管理的高效性和可行性。

目前已提出的密钥管理方法中，分布式密钥管理受到广泛关注，最典型的是Zhou等提出的基于门限密码体制的分布式密钥管理方法，其基本思想是利用(t，n)门限秘密共享体制将认证中心CA(Certificates Authority)的系统私钥分配给n个节点(即终端)，这n个节点作为服务节点，每个拥有一个系统私钥份额，其中任意t个服务节点协作可构成虚拟CA，对网络节点生成、分发私钥，实现CA功能，而任何少于t个的服务节点是不能实现CA功能的，t即为门限值。在Zhou的算法中服务节点是从网络节点中随机选取的，Yi等对此进行改进，它将物理上相对安全的、计算、存储能力强的节点选做服务节点。Yi和Zhou的门限密钥管理方法中都只是网络的部分节点成为服务节点，是部分分布式门限密钥管理，Luo扩展了这种方法，提出了一种完全分布式的门限密钥管理方法，假定网络中所有节点完全对等，都是服务节点，即均持有系统私钥份额。但以上方法无论是部分分布式还是完全分布式，都是基于传统公钥密码系统的，其实施要依赖于代价昂贵的传统公钥基础设施PKI，用户也要面临公钥及其证书的管理、传递和验证等繁琐问题。

Khalilietal等提出了基于身份的门限密钥管理方法，它以密钥生成中心PKG代替Zhou等方法中的认证中心CA，利用(t，n)门限秘密共享算法将系统私钥分配给网络的n个节点共享，n个节点在网内形成虚拟PKG。这些拥有系统私钥份额的节点即PKG节点，PKG节点协作为网络用户节点生成、分发私钥，更新私钥及共享的系统私钥份额等。这种基于身份的门限密钥管理方法具有身份密码体制的优点，节点的公钥就是节点的身份信息或由身份信息生成的信息，如节点的电话号码、email地址、IP地址等，节点不需要对公钥及其证书的管理、传递和验证等，这样就降低了对节点计算、存储能力的需求，减小了密钥管理的开销。因此，基于身份的门限密钥管理方法较使用公钥证书的机制的方法更适合移动自组网。但是，Khalilietal没有给出网络节点私钥更新的方法和PKG服务节点持有的系统私钥份额更新的方法。

为了解决Khalilietal等基于身份的门限密钥管理方法中存在的问题，李光松、李景峰等分别提出了基于签密的移动自组网门限密钥管理方法，给出了网络节点私钥更新的方法和PKG服务节点持有的系统私钥更新方法。这些方法的一个共同特点是使用了一种密码技术：签密。签密技术将加密和数字签名有机结合，能在一个逻辑步内同时实现保密和认证两种功能，是目前公认的同时实现机密性和可认证性的最理想的方法。移动自组网门限密钥管理中签密技术的使用在保证了安全性的同时，与其它单独使用加密、签名、HASH的方法相比，提高了安全性实现的效率。但这些基于签密的门限密钥管理方法存在以下问题。第一，和其它已有的移动自组网门限密钥管理方法一样，节点为了从服务节点得到自己的所需私钥分量，必须联系到至少t个它的一跳步邻居服务节点，而这一要求不是“任何时候、任何地方”总能保证的，因为要求各节点都能找到至少t个一跳步邻居服务节点是不实际的和困难的；第二，t个节点各自将所生成的私钥分量单独传送给私钥请求节点，服务请求节点必须和t个PKG节点分别交互，这种方式没有充分利用联合提供服务的优点；第三，密钥管理中密钥信息的存储、传输是同时需要机密性和可认证性保护的，而移动自组网的特点又要求实现这些安全目标的密码技术必须是高效的，但已有方法所采用的签密算法等是用于有线网络的，计算和传输代价高，不适合移动自组网络。

综上所述，移动自组网门限密钥管理的现有技术，在实现安全目标的可靠性、效率等方面存在不足，这尤其体现在门限密钥的并行分发中，其所采取的密码技术不能满足移动自组网密钥管理的要求。

发明内容

要解决的技术问题

为了避免现有技术的不足之处，本发明提出一种移动自组网门限密钥分发方法，首先提出一种适合移动自组网安全要求的基于身份的多重签密算法，再将这种算法用于移动自组网密钥管理，给出一种高效、安全的移动自组网络门限密钥分发方法，从可靠性、安全性和效率等方面完善基于身份移动自组网门限密钥管理方法。

技术方案

一种移动自组网门限密钥分发方法，其特征在于步骤如下：

步骤1：选择一个离线可信第三方作为PKG，由PKG选择参数，进行系统初始化，具体步骤如下：

步骤a：PKG选择椭圆曲线上的两个q阶的循环群(G₁，+)和(G₂，·)，G1的生成元P，G₁和G₂上的双线性变换e：G₁×G₁→G₂，随机选取系统私钥并计算相应公钥P_pub＝σP∈G₁，其中Z_q ^*是椭圆曲线上的有限域；

步骤b：PKG按门限密码体制将系统私钥σ分成n份σ_i，i＝1，2，…，n，n为门限密码体制中的参数；

步骤c：PKG采用对称密码算法(E，D)，采用三个散列函数

H₀：{0，1}^*→G₁，H₁：G₂→{0，1}^b和 $H_2:\{\mathrm{0,1}{\}}^b\×G_2\→Z_q^{*}$

其中b是明密文的比特长度，H₀为任意长的0、1序列到G₁上的变换，H₁为G₂到长度为b的0、1序列上的变换，H₂由长度为b的0、1序列与G₂构成的乘积空间到有限域Z_q ^*上的变换；

步骤d：PKG选择时间间隔l，将网络使用期划分为l长的时段；

步骤2：每个网络用户到离线PKG处注册，提供自己的身份信息；PKG验证用户身份，为用户生成公私钥对，并将公私钥对及系统参数安全发给用户；

步骤3：将系统私钥的n个份额分发给随机选择的n个用户作为PKG节点；

步骤4：在l长的时段中的第j时段结束之前，网络中的私钥更新请求节点A在第j时段的私钥采用标准算法DSS进行签名，并广播包括此签名信息和它的公钥的请求信息R；

步骤5：节点A的某个一跳步邻居PKG节点I₁在收到请求信息后，采用签名标准算法DSS验证请求信息R和更新请求节点A的身份是否相符；如不相符，拒绝该次服务请求；

步骤6：如相符，节点I₁以持有的系统私钥份额σ₁为更新请求节点A按门限密码体制计算出其在第j+1时段私钥的一个分量m₁，PKG节点I₁以在第j时段的私钥d_1j和更新请求节点A在第j时段的公钥Q_aj＝H₀(ID_a||j)对m₁进行签密，具体步骤如下：

步骤(1)：在有限域Z_q ^*中任选一个x₁，计算 $R_1=e{(P,P_{\mathrm{pub}})}^{x_1},$ $K_1=H_1\left(e{(P_{\mathrm{pub}},Q_{\mathrm{aj}})}^{x_1}\right),$ $c_1=E_{K_1}\left(m_1\right|\left|Q_{1j}\right),$ r₁＝H₂(c₁，R₁)，s₁＝x₁P_pub-r₁d_1j，

其中：R₁为PKG节点I₁的签名验证密钥、K₁为PKG节点I₁的加密密钥、c₁为PKG节点I₁的加密密文、r₁为PKG节点I₁的验证值，s₁为PKG节点I₁的签名值；

步骤(2)：PKG节点I₁广播签密信息(R，c₁，r₁，s₁)；

步骤(3)：收到(R，c₁，r₁，s₁)的PKG节点I₁信息的一跳步PKG节点I₂计算 $R_1^{\′}=e(P,s_1)e{(P_{\mathrm{pub}},Q_{1j})}^{r_1},$ 验证r₁＝H₂(c₁，R₁′)是否成立，若成立继续下述步骤；

步骤(4)：在有限域Z_q ^*中任选一个x₂，计算 $R_2=e{(P,P_{\mathrm{pub}})}^{x_2},$ $K_2=H_1\left(e{(P_{\mathrm{pub}},Q_{\mathrm{aj}})}^{x_2}\right),$ $c_2=E_{K_2}\left(m_2\right|\left|Q_{2j}\right|\left|Q_{1j}\right|\left|c_1\right|\left|r_1\right|\left|s_1\right),$ r₂＝H₂(c₂，R₂)，s₂＝x₂P_pub-r₂d_2j，

其中：R₂为PKG节点I₂的签名验证密钥、K₂为PKG节点I₂的加密密钥、c₂为PKG节点I₂的加密密文、r₂为PKG节点I₂的验证值，s₂为PKG节点I₂的签名值，m₂是I₂以持有的系统私钥份额σ₂为更新请求节点A生成的第j+1时段私钥的分量；

步骤(5)：PKG节点I₂广播签密信息(R，c₂，r₂，s₂)；

步骤(6)：收到PKG节点I_i-1信息(R，c_i-1，r_i-1，s_i-1)的I_i-1的一跳步PKG节点I_i计算 $R_{i-1}^{\text{'}}=e(P,s_{i-1})e{(P_{\mathrm{pub}},Q_{i-1,j})}^{r_{i-1}},$ 验证r_i-1＝H₂(c_i-1，R′_i-1)成立进行下述步骤；

步骤(7)：在有限域Z_q ^*中任选一个x_i，计算 $R_i=e{(P,P_{\mathrm{pub}})}^{x_i},$ $K_i=H_1\left(e{(P_{\mathrm{pub}},Q_{\mathrm{aj}})}^{x_i}\right),$ $c_i=E_{K_i}\left(m_i\right|\left|Q_{\mathrm{ij}}\right|\left|Q_{i-1,j}\right|\left|c_{i-1}\right|\left|r_{i-1}\right|\left|s_{i-1}\right),$ r_i＝H_i(c_i，R_i)，s_i＝x_iP_pub-r_id_ij

其中：R_i为PKG节点I_i的签名验证密钥、K_i为PKG节点I_i的加密密钥、c_i为PKG节点I_i的加密密文、r_i为PKG节点I_i的验证值，s_i为PKG节点I_i的签名值，m_i是I_i以系统私钥份额σ_i为更新请求节点A生成的第j+1时段私钥的分量；

步骤(8)：PKG节点I_i广播签密信息(R，s_i，r_i，c_i)，重复步骤(7)直到最后一个签密者I_t，t为门限密码体制中n的门限值，取值为n-1的三分之一：

步骤7：PKG节点I_t将其生成的签密信息(s_t，r_t，c_t)通过I_t-1，…，I₂，I₁依次转发传送给更新请求节点A；

步骤8：更新请求节点A以自己的私钥d_aj、I_t的公钥Q_tj和(s_t，r_t，c_t)计算出与I_t的会话密钥： $K_t=H_1\left(e(s_t,Q_{\mathrm{aj}})e{(Q_{\mathrm{tj}},d_{\mathrm{aj}})}^{r_t}\right);$ 然后通过 $m_t\left|\right|Q_{\mathrm{tj}}\left|\right|\left|\right|Q_{t-1,j}\left|\right|c_{t-1}\left|\right|r_{t-1}\left|\right|s_{t-1}=D_{K_t}\left(c_t\right)$ 解密，得出消息m_t，Q_tj，Q_t-1，j，c_t-1，r_t-1，s_t-1；继续以私钥d_aj、I_i的公钥Q_ij和(s_i-1，r_i-1，c_i-1)计算出与I_i的会话密钥： $K_i=H_1\left(e(s_i,Q_{\mathrm{aj}})e{(Q_{\mathrm{ij}},d_{\mathrm{aj}})}^{r_i}\right),$ 解密出消息m_i，Q_ij，Q_i-1，j，c_i-1，r_i-1，s_i-1，其中1≤i＜t；直至由K₁解密出m₁，Q_1j；

步骤9：更新请求节点A将得到的PKG节点I₁、I₂、...，I_t为自己生成的第j时段私钥的t个分量m_i，i＝1，2，…，t，得到自己在第j+1时段私钥：d＝m₁+m₂+…+m_t。

有益效果

本发明提出的移动自组网门限密钥分发方法，从可靠性、安全性、效率等方面，完善了基于身份门限密钥管理方法。给出的节点私钥更新方法，同样适用于私钥生成、服务节点持有的系统主密钥份额的生成、更新等过程。该方法中提出的基于身份和双线性对的多重签密技术，确保了门限密钥分发过程中同时需要机密性和认证性安全要求，同时身份公钥和双线性对的使用大大提高了安全性的实现效率。不仅如此，更重要的是，本发明中多重签密技术的使用，增强了移动自组网门限密钥管理的可靠性，改进了现有技术中要求服务请求者有多个一跳步邻居服务节点的问题，实现了由服务节点联合进行密钥分发，更好地保障了移动自组网门限密钥分发的安全性和高效性。

附图说明

图1：本发明中门限密钥环行分发信息传输流向示意图

图2：已有门限密钥分发信息传输流向示意图

图中参数t是门限值，A代表私钥更新请求节点，I₁、I₂、...，I_t表示PKG服务节点。在图2中的t个PKG节点都要是A的一跳步邻居，而在图1中只要一个PKG节点I₁是A的一跳步邻居既可。

具体实施方式

现结合实施例、附图对本发明作进一步描述：

为了实现本发明的目标，本实施例采取的方法可以分为如下：

一、基于身份和双线性对的多重签密：

实现多个人对多个秘密信息共同完成保密、认证传输的密码算法，包括以下步骤：

步骤A：可信第三方PKG(Private Key Generator)选取算法的系统参数。本算法是基于身份和双线性的，用户的公钥就是用户的身份信息ID或由身份信息产生的信息：电话号码、emai地址、IP地址等，选取椭圆曲线上的Tate对或Weil对作为双线性变换。PKG选择系统私钥，并生成系统公钥，为用户生成公私钥对，并安全发给用户。

步骤B：用户A和t个参与者I_i执行多重签密，完成对多个秘密信息的保密认证传输。

B1：A对自己的公钥和某信息进行签名得到R，通过公开信道广播该签名信息R；

B2：收到R的第一个签密者I₁，用基于身份和双线性对的LQ签密算法，对它要传递给A的秘密消息m₁进行签密，并通过公开信道广播该签密密文ω₁；

B3：收到ω₁的第二个签密者I₂，验证ω₁的有效性，验证通过，执行下一步，否则，终止；

B4：I₂用LQ签密算法对它要传递给A的某秘密消息m₂及ω₁进行签密，并广播签密密文ω₂；

依此类推，直到第t个签密者I_t验证第t-1个签密者I_t-1的签密密文ω_t-1，验证通过，签密它要给A的某秘密消息m_t，将相应签密密文ω_t沿反向转发给A。

步骤C：解多重签密过程。A解密出t个秘密信息m₁，m₂，…，m_t。

C1：用自己的私钥和签密密文ω_t计算出它与I_t的会话密钥K_t；

C2：用K_t解密出m_t，同时恢复出签密密文ω_t-1；

C3：用自己的私钥和ω_t-1，计算出它与I_t-1的会话密钥K_t-1；

C4：用K_t-1解密出秘密消息m_t-1，同时恢复出签密密文ω_t-2；

依次直到A用它的私钥和I₁的签密密文ω₁计算出它与I₁的会话密钥K₁，解密出秘密消息m₁。至此，用户A得到了t个参与者传递给它的t个秘密消息m₁，m₂，…，m_t。

该多重签密算法的显著特点是高效实现多人参与的多消息的安全传输，保证了在公开信道传输的信息的机密性和可认证性。基于身份公钥的使用，避免了存储、传递、验证公钥和证书管理等繁琐问题；椭圆曲线上双线性对的使用，使得本算法能用较短的密钥实现与已有算法同等的安全强度；同时其消息和签密次序具有灵活性，不需要事先预定，满足很多实际需要。特别地，不同于其它一些多重签密，本算法每个签密者需要传输的信息量基本相同，传输量不会随多重签密的进程增加，这很适合移动自组网。

二、基于签密的移动自组网门限密钥分发方法

给出一种实现门限密钥的环行分发方法，该方法包括以下步骤。

步骤A：初始化阶段

A1：离线的可信第三方PKG生成系统私钥和公钥，选择系统参数。

A2：PKG根据节点的特性选择n个节点作为PKG节点，然后将系统私钥分成n份，以(t，n)门限秘密共享方式分发给这n个PKG节点。这n个PKG节点各自拥有系统私钥的一个份额，其中任意t个协作可以形成虚拟的PKG，在线为节点更新私钥等。

A3：入网用户在PKG处注册，PKG认证用户的身份，然后由系统私钥和用户身份为用户生成公私钥对，并安全发给用户。

步骤B：在线运行阶段

B1：在网络以时间间隔l划分的第j时间段结束之前，用户向PKG节点发出私钥更新请求，并对该请求用自己在第j时段的私钥进行签名，广播此次请求的签名信息。

B2：私钥更新请求节点的某个一步邻居PKG节点在收到该请求后，作为第一个PKG节点，验证请求信息的签名和身份是否相符，如不相符，拒绝该次服务请求；如相符，用自己持有的系统私钥份额为请求节点计算出其在第j+1时段私钥的一个分量。

B3：第一个PKG节点用自己的私钥和请求节点在第j时段的公钥对它生成的分量进行签密，并广播该私钥更新请求节点的请求信息及它生成的部分签密密文。

B4：第一个PKG节点的某邻居节点在收到第一个PKG节点的部分签密信息后，作为第二个PKG节点，验证该部分签密的有效性，验证通过，用它所持有的系统私钥份额为私钥请求节点计算出其在第j+1时段私钥的一个分量。

B5：第二个PKG节点用自己的私钥和请求节点在第j时段的公钥对它生成的分量进行签密，并广播该私钥更新请求节点的请求信息及它生成的签密密文。

如此直到第t-1个PKG节点的某个一跳步邻居节点，在收到第t-1个PKG节点的部分签密信息后，作为第t个PKG节点，验证私钥更新请求节点的请求信息及第t-1个PKG节点的签密密文，验证通过，再用它所持有的系统私钥份额为私钥请求节点计算出其在第j+1时段私钥的一个分量，然后，用自己的私钥和请求节点在第j时段的公钥签密该分量，最后将其签密密文传输给私钥更新请求节点。

B6：私钥更新请求节点按本发明内容一中的基于身份和双线性对的多重签密算法中的解签密方法，解密出t个PKG节点为自己生成的第j+1时段私钥的t个分量，合成得到自己在第j+1时段私钥。

将上述方法应用于以下具体实施例中。

基于身份的部分分布式门限密钥管理中节点私钥更新实施的详细过程：

步骤A：网络初始化过程

A1：选择一个离线可信第三方作为PKG，为网络选择、生成系统参数等。

A11：离线PKG选择椭圆曲线上的两个q阶的循环群(G₁，+)和(G₂，·)，G₁的生成元P，G₁和G₂上的双线性变换e：G₁×G₁→G₂。

A12：PKG随机选取系统私钥 $\mathrm{\σ}\∈Z_q^{*},$ 计算相应公钥P_pub＝σP∈G₁。

A13：PKG按(t，n)门限密码体制将系统私钥σ分成n＝10份，，记为σ_i(i＝1，2，…，10)，t为门限值，本例取值为3。

A14：PKG采取密码算法AES，其加解密算法记为(E，D)，选择三个散列函数，H₀：{0，1}^*→G₁，H₁：G₂→{0，1}^b和 $H_2:\{\mathrm{0,1}{\}}^b\×G_2\→Z_q^{*},$ 其中b是明密文的比特长度。

A15：选择l＝24小时，按时间间隔l将网络使用期划分为不同时段。

A2：PKG为网络用户生成公私钥对。

A21：每个网络用户到离线PKG处注册，提供自己的身份信息。

A22：PKG验证用户身份，为用户生成公私钥对，并将公私钥对及系统参数安全发给用户。

A3：选择n＝10个用户，将系统私钥的10个份额通过安全方式分给他们，拥有系统私钥份额的这10个用户称为PKG节点，负责在线协作实现PKG功能。

步骤B：在线网络节点A的私钥更新过程

B1：在第j时段结束之前，节点A发出私钥更新请求，并对该请求用自己在第j时段的私钥进行签名，广播此签名信息和它的公钥，记为R。

在第j时间段，节点A的身份为ID_a||j，为便于表达，在不引起混淆时简记为ID_a，其在第j时间段公钥Q_aj＝H₀(ID_a||j)也简记为Q_a，私钥记为d_a＝σQ_a；同样，本发明中10个PKG节点为I_i(1≤i≤10)，其在第j时段的公私钥对也简记为Q_i＝H₀(ID_i||j)，d_i＝σQ_i。

B2：节点A的某个一步邻居I₁在收到请求信息后，验证R和A的身份是否相符，如不相符，拒绝该次服务请求；如相符，用自己持有的系统私钥份额σ₁为A计算出其在第j+1时段私钥的一个分量m₁。

B3：I₁用自己在第j时段的的私钥d_1j和A在第j时段的公钥Q_aj＝H₀(ID_a||j)对m₁进行签密。

B31：任选 $x_1\∈Z_q^{*},$ 计算 $R_1=e{(P,P_{\mathrm{pub}})}^{x_1},$ $K_1=H_1\left(e{(P_{\mathrm{pub}},Q_{\mathrm{aj}})}^{x_1}\right),$ $c_1=E_{K_1}\left(m_1\right|\left|Q_{1j}\right),$ r₁＝H₂(c₁，R₁)，s₁＝x₁P_pub-r₁d_1j

，其中的R₁，K₁，c₁，r₁，s₁分别表示I1的签名验证密钥、加密密钥、加密密文、验证值和签名值。

B32：I₁广播签密信息(R，c₁，r₁，s₁)。

B4：I₂收到(R，c₁，r₁，s₁)后，验证该部分签密的正确性，如验证通过，用自己持有的系统私钥份额σ₂为A生成其在第j+1时段私钥的分量m₂，并对m₂及(R，c₁，r₁，s₁)进行签密。

B41：计算 $R_1^{\text{'}}=e(P,s_1)e{(P_{\mathrm{pub}},Q_{1j})}^{\text{'}i},$ 验证r₁＝H₂(c₁，R′₁)是否成立，不成立，停止算法，成立，验证通过，执行下签密。

B42：任选 $x_2\∈Z_q^{*},$ 计算 $R_2=e{(P,P_{\mathrm{pub}})}^{x_2},$ $K_2=H_1\left(e{(P_{\mathrm{pub}},Q_{\mathrm{aj}})}^{x_2}\right),$ $c_2={E_K}_2\left(m_2\right|\left|Q_{2j}\right|\left|Q_{1j}\right|\left|c_1\right|\left|r_1\right|\left|s_1\right),$ r₂＝H₂(c₂，R₂)，s₂＝x₂P_pub-r₂d_2j，

其中的R₂，K₂，c₂，r₂，s₂分别表示I₂的签名验证密钥、加密密钥、加密密文、验证值和签名值。

B42：广播(R，c₂，r₂，s₂)。

B5：I₃收到(R，c₂，r₂，s₂)后，验证其正确性，如验证通过，用自己持有的系统私钥份额σ₃为A生成其在第j+1时段私钥的分量m₃，并对m₃及(R，c₂，r₂，s₂)进行签密。

B51：计算 $R_2^{\′}=e(P,s_2)e{(P_{\mathrm{pub}},Q_2)}^{r_2},$ 验证r₂＝H₂(c₂，R′₂)是否成立，不成立，停止算法，成立，执行如下签密。

B52：任选 $x_3\∈Z_q^{*},$ 计算 $R_3=e{(P,P_{\mathrm{pub}})}^{x_3},$ $K_3=H_1\left(e{(P_{\mathrm{pub}},Q_{\mathrm{aj}})}^{x_3}\right),$ $c_3=E_{K_3}\left(m_2\right|\left|Q_{3j}\right|\left|Q_{2,j}\right|\left|c_2\right|\left|r_2\right|\left|s_2\right),$ r₃＝H₂(c₃，R₃)，s₃＝x₃P_pub-r₃d_3j，

其中的R₃，K₃，c₃，r₃，s₃分别表示I₃的签名验证密钥、加密密钥、加密密文、验证值和签名值。

B53：I₃将其生成的签密(s₃，r₃，c₃)通过刚才信息传输形成的路由逆向，由I₂、I₁依次转发传送给节点A。

B6：A收到(s₃，r₃，c₃)后，验证并解该多重签密。

B61：用自己的私钥d_a、I₃的公钥Q_3j和(s₃，r₃，c₃)计算出他与I₃的会话密钥：

$K_3=H_1\left(e(s_3,Q_{\mathrm{aj}})e{(Q_{3j},d_{\mathrm{aj}})}^{r_3}\right);$

B62：通过 $m_3\left|\right|Q_{3j}\left|\right|\left|\right|Q_{2,j}\left|\right|c_2\left|\right|r_2\left|\right|s_2=D_{K_2}\left(c_3\right),$ 解密出消息m₃，Q_3j，Q_2，j，c₂，r₂，s₂。

B63：A用自己的私钥d_aj、I₂的公钥Q_2j和(c₂，r₂，s₂)计算出他与I₂的会话密钥：

$K_2=H_1\left(e(s_2,Q_{\mathrm{aj}})e{(Q_{2j},d_{\mathrm{aj}})}^{r_2}\right),$

通过 $m_2\left|\right|Q_{2j}\left|\right|\left|\right|Q_{1,j}\left|\right|c_1\left|\right|r_1\left|\right|s_1=D_{K_2}\left(c_2\right),$ 解密出消息m₂，Q_2j，Q_1，j，c₁，r₁，s₁。

B64：A用自己的私钥d_aj、I₁的公钥Q_1j和(c₁，r₁，s₁)计算出他与I₁的会话密钥：

$K_1=H_1\left(e(s_1,Q_{\mathrm{aj}})e{(Q_{1j},d_{\mathrm{aj}})}^{r_1}\right),$

通过 $m_1\left|\right|Q_{1j}=D_{K_1}\left(c_1\right),$ 解密出消息m₁，Q_1j；

B7：A将得到的PKG节点I₁、I₂、I₃为自己生成的第j时段私钥的3个分量m₁，m₂，m₃合成得到自己在第j+1时段私钥：d＝m₁+m₂+m₃。

这种基于一中提出的多重签密的移动自组网门限密钥分发方法，是一种环行分发的方法，它克服了已有并行分发技术中要求服务请求节点必须有t个一跳步邻居PKG节点存在的要求，而且保持每个PKG节点的计算量和传输量相同不会随着分发的推进而增加，高效地同时实现了机密性和可认证性，这种基于多重签密的环行门限密钥分发方法，提高了门限密钥分发的可靠性和安全性的实现效率。

Claims (1)

1.一种移动自组网门限密钥分发方法，其特征在于步骤如下：

步骤1：选择一个离线可信第三方作为PKG，由PKG选择参数，进行系统初始化，具体步骤如下：

步骤a：PKG选择椭圆曲线上的两个q阶的循环群(G₁，+)和(G₂，·)，G₁的生成元P，G₁和G₂上的双线性变换e：G₁×G₁→G₂，随机选取系统私钥

并计算相应公钥P_pub＝σP∈G₁，其中是椭圆曲线上的有限域；

步骤b：PKG按门限密码体制将系统私钥σ分成n份σ_i，i＝1，2，…，n，n为门限密码体制中的参数；

步骤c：PKG采用对称密码算法(E，D)，采用三个散列函数

H₀：{0，1}^*→G₁，H₁：G₂→{0，1}^b和H₂：{0，1}^b×G₂→Z_q ^*

其中b是明密文的比特长度，H₀为任意长的0、1序列到G₁上的变换，H₁为G₂到长度为b的0、1序列上的变换，H₂由长度为b的0、1序列与G₂构成的乘积空间到有限域

上的变换；

步骤d：PKG选择时间间隔l，将网络使用期划分为l长的时段；

步骤2：每个网络用户到离线PKG处注册，提供自己的身份信息；PKG验证用户身份，为用户生成公私钥对，并将公私钥对及系统参数安全发给用户；

步骤3：将系统私钥的n个份额分发给随机选择的n个用户作为PKG节点；

步骤4：在l长的时段中的第j时段结束之前，网络中的私钥更新请求节点A在第j时段的私钥采用标准算法DSS进行签名，并广播包括此签名信息和它的公钥的请求信息R；

步骤5：节点A的某个一跳步邻居PKG节点I₁在收到请求信息后，采用签名标准算法DSS验证请求信息R和更新请求节点A的身份是否相符；如不相符，拒绝该次服务请求；

步骤6：如相符，节点I₁以持有的系统私钥份额σ₁为更新请求节点A按门限密码体制计算出其在第j+1时段私钥的一个分量m₁，PKG节点I₁以在第j时段的私钥d_1j和更新请求节点A在第j时段的公钥Q_aj＝H₀(ID_a||j)对m₁进行签密，具体步骤如下：

步骤(1)：在有限域Z_q ^*中任选一个x₁，计算

r₁＝H₂(c₁，R₁)，s₁＝x₁P_pub-r₁d_1j，

其中：R₁为PKG节点I₁的签名验证密钥、K₁为PKG节点I₁的加密密钥、c₁为PKG节点I₁的加密密文、r₁为PKG节点I₁的验证值，s₁为PKG节点I₁的签名值；

步骤(2)：PKG节点I₁广播签密信息(R，c₁，r₁，s₁)；

步骤(3)：收到(R，c₁，r₁，s₁)的PKG节点I₁信息的一跳步PKG节点I₂计算

验证r₁＝H₂(c₁，R₁′)是否成立，若成立继续下述步骤；

步骤(4)：在有限域Z_q ^*中任选一个x₂，计算

r₂＝H₂(c₂，R₂)，s₂＝x₂P_pub-r₂d_2j，

其中：R₂为PKG节点I₂的签名验证密钥、K₂为PKG节点I₂的加密密钥、c₂为PKG节点I₂的加密密文、r₂为PKG节点I₂的验证值，s₂为PKG节点I₂的签名值，m₂为I₂以持有的系统私钥份额σ₂为更新请求节点A生成的第j+1时段私钥的分量；在第j时间段，节点A的身份为ID_a||j

步骤(5)：PKG节点I₂广播签密信息(R，c₂，r₂，s₂)；

步骤(6)：收到PKG节点I_i-1信息(R，c_i-1，r_i-1，S_i-1)的I_i-1的一跳步PKG节点I_i计算

验证r_i-1＝H₂(c_i-1，R′_i-1)成立进行下述步骤；

步骤(7)：在有限域Z_q ^*中任选一个x_i，计算

r_i＝H_i(c_i，R_i)，s_i＝x_iP_pub-r_id_ij

其中：R_i为PKG节点I_i的签名验证密钥、K_i为PKG节点I_i的加密密钥、c_i为PKG节点I_i的加密密文、r_i为PKG节点I_i的验证值，s_i为PKG节点I_i的签名值，m_i为I_i以持有的系统私钥份额σ_i为更新请求节点A生成的第j+1时段私钥的分量；

步骤(8)：PKG节点I_i广播签密信息(R，s_i，r_i，c_i)，重复步骤(7)直到最后一个签密者I_t，t为门限密码体制中n的门限值，取值为n-1的三分之一；

步骤7：PKG节点I_t将其生成的签密信息(s_t，r_t，c_t)通过I_t-1，…，I₂，I₁依次转发传送给更新请求节点A；

步骤8：更新请求节点A以自己的私钥d_aj、I_t的公钥Q_tj和(s_t，r_t，c_t)计算出与I_t的会话密钥

$K_t=H_1\left(e(s_t,Q_{\mathrm{aj}})e{(Q_{\mathrm{tj}},d_{\mathrm{aj}})}^{r_t}\right);$ 然后通过 $m_t\left|\right|Q_{\mathrm{tj}}\left|\right|\left|\right|Q_{t-1,j}\left|\right|c_{t-1}\left|\right|r_{t-1}\left|\right|s_{t-1}=D_{K_t}\left(c_t\right)$ 解密，得出消息m_t，Q_tj，Q_t-1，j，c_t-1，r_t-1，s_t-1；继续以私钥d_aj、I_i的公钥Q_ij和(s_i-1，r_i-1，c_i-1)计算出与I_i的会话密钥：

解密出消息m_i，Q_ij，Q_i-1，j，c_i-1，r_i-1，s_i-1，其中1≤i＜t；直至由K₁解密出m₁，Q_1j；

步骤9：更新请求节点A将得到的PKG节点I₁、I₂、...，I_t为自己生成的第j时段私钥的t个分量m_i，i＝1，2，…，t，得到自己在第j+1时段私钥：d＝m₁+m₂+…+m_t。

Images