CN102256248B - 一种Ad hoc组密钥管理方案 - Google Patents

Abstract

本发明公开了一种Ad hoc组密钥管理方法，所述的步骤主要包括密钥片段准备阶段和组密钥协商阶段，对成员加入以及成员离开的情况通过组密钥更新协议对组密钥进行管理的方法。该方法提出一种安全、高效的组密钥管理方法。本发明所述的协议具有安全性好，通信量少、计算速度快，占用资源少，适应能力强的特点，特别适合于资源受限的网络环境，为开发组密钥协商协议提出了一个新的研究方向。

Description

一种Ad hoc组密钥管理方案

技术领域

本发明涉及一种Ad hoc的安全管理技术，具体地说，涉及一种Ad hoc组密钥管理方案。

背景技术

移动自组Ad hoc网络是利用无线通信技术，由一组具有无线信号收发装置的移动终端构成的无基站、多跳、临时性自组织网络系统。由于Ad hoc网络不需要固定基础设施的支持，以及部署方便等特点，Ad hoc网络具有小范围即兴组网、组网灵活、价格低廉等优点。Ad hoc网络在军事、抢险救灾、移动会议等领域有着非常广泛的应用。与传统网络相比，Ad hoc网络缺少控制中心和基础设施支持，网络拓扑结构动态变化，移动终端计算能力、存储容量、通信带宽及能源有限等。Ad hoc网络安全问题面临更严峻的挑战，而Ad hoc网络安全问题的核心之一就是组密钥管理。

目前，为了提高密钥管理方案的安全性，几乎所有的密钥管理方案都利用了DiffieHellman密钥交换协议、椭圆曲线密码、RAS密码、门限密码或双线性对。

发明内容

本发明利用NTRU公开密钥算法，提出一种安全、高效的Ad hoc组密钥管理方法。协议特别适合于在资源受限网络环境，为开发组密钥协商协议提出了一个新的研究方向，组密钥协商协议研究基于如下假设：

(1)组内每个成员都具有某种监视机制，组内每个成员之间相互信任，成员的密钥都能妥善保管。即使某个成员被攻陷或被捕获，组内其他成员能够迅速去除该成员。

(2)攻击者可以知道组成员的构成以及方案的执行过程，知道组内所有公开信息，可以截获组成员之间的通信信息，但，攻击者不能控制组成员，也无法读取组成员的秘密信息。

(3)在部署网络之前，系统存在一个离线的可信任机构TC，负责产生组成员所需要的参数。包括为组内每个成员和请求加入的成员颁发唯一的身份标识、公私密钥对、签名方案、验证方案、公布需要公开的系统参数等。

其技术方案如下：

一种Ad hoc组密钥管理方案，本发明用到的主要符号：

TC：系统离线可信任机构，负责产生组成员所需要的参数；

q：大模数，通常是一个正整数，q值的大小与具体的实例相关；

p：小模数，通常是一个小的正整数或者是一个具有小系数的多项式；

r：眩值，用来表示在加密时作为临时眩值的多项式；

P：协议中组成员的集合，当组中有n个成员时，P＝{P₁，P₂Λ，P_n}；

id：协议中组成员的身份标识符集，当组中有n个成员时，id＝{id₁，id₂Λ，id_n}，，协议为每个成员p_i分配唯一身份标识符id_i(i＝1，2，Λ，n)，该任务由TC完成；

(pk_i，sk_i)：其中pk_i是P_i的公钥，sk_i是P_i的私钥；

NTRUSign(·)：表示NTRU签名方案；

NTRUVerf(·)：表示NTRU验证方案；

(SK_i，VK_i)：其中SK_i是P_i的签名密钥，VK_i是P_i的验证密钥；

m_i：每个成员贡献的密钥片段，由成员P_i随机产生；

H(·)：方案中使用的单向散列函数；

KID：组密钥协商成功确认标识，在每次密钥协商前，由TC发布；

包括以下步骤：

A.可信机构TC中心为系统提供初始化参数；

B.成员P提供自己的密钥片段m，对m进行变换，得到E；

C.成员P对E和P的身份标识id进行签名，得到S；

D.成员P广播(S，E)；

E.成员P验证其他P的S，如果验证失败则需要重复步骤B，如果验证成功进行下一步F；

F.P对E进行反变换，计算所有成员提供的m之和K；

G.P广播 $H=H(K\⊕\mathrm{KID})$

H.P比较所有H是否相等，如果不相等重复步骤B，如果相等组密钥为GK＝H(K)，密钥协商成功。

该方案组密钥协商协议流程：

(1)密钥片段准备阶段：

a.成员P_i(1≤i≤n)随机选择一个数r_i、m_i∈Z[X]/(X^N-1)，并计算：

E_ij＝r_i*pk_j+m_i(modq)      (1)

$S_{\mathrm{ij}}={\mathrm{NTRUSign}}_{{\mathrm{SK}}_i}\left(E_{\mathrm{ij}}\right|\left|{\mathrm{id}}_i\right),(1\≤j\≤n,j\≠i)$

b.成员P_i向组内其他成员广播(S_ij，E_ij)；

(2)组密钥协商阶段：

c.成员P_j(1≤j≤n)计算如果没有通过验证，则要求重新提供(S_ij，E_ij)，如果通过验证，则执行步骤d；

d.成员P_i用计算：

$K_j^{\′}=\underset{i=1,i\≠j}{\overset{n}{\mathrm{\Σ}}}{\mathrm{sk}}_j*E_{\mathrm{ij}}\left(\mathrm{mod}p\right)---\left(2\right)$

K_j＝K′_j+m_j  (j＝1，2，…，n)(3)

e.成员P_j销毁自己的m_j，保留K′_j，计算并广播

f.成员P_j比较所有的H_j(1≤j≤n)，如果发现不相等情况，则要求重新进行密钥协商，如果全部相等，则密钥协商完成，组密钥为：GK＝H(K_j)。

该方案成员加入组密钥流程：

假设有n1个新成员P_i(i＝n+1，Λn+n1)加入网络之前，TC已经为P_i分配了(pk_i，sk_i)、(SK_iVK_i)、id_i参数，并向组内广播P_i的pk_i、id_i和KID，组内规定由P_n为发起人，所述的步骤(1)需要更新密钥片段，成员P_n随机选择一个数r_n、m_n∈Z[X]/(X^N-1)，并计算：

E_nj＝r_n*pk_j+(k′_n+m_n)(modq)    (4)

$S_{\mathrm{nj}}={\mathrm{NTRUSign}}_{{\mathrm{SK}}_n}\left(E_{\mathrm{nj}}\right|\left|{\mathrm{id}}_n\right),(1\≤j\≤n1,j\≠n)$

成员P_n向组内其他成员广播(S_nj，E_nj)。

成员P_i(n+1≤i≤n+n1)随机选择一个数r_i、m_i∈Z[X]/(X^N-1)，并计算E_ij：

E_ij＝r_i*pk_j+m_i(modq)      (5)

$S_{\mathrm{ij}}={\mathrm{NTRUSign}}_{{\mathrm{SK}}_i}\left(E_{\mathrm{ij}}\right|\left|{\mathrm{id}}_i\right),(1\≤j\≤n1,j\≠i)$

所述的步骤(2)还包括步骤d1其具体为：

c.成员P_j(1≤j≤n-1)计算

(n≤i≤n+n1)，如通过验证，则计算：

$K_j=\underset{i=n}{\overset{n1}{\mathrm{\Σ}}}{\mathrm{sk}}_j{E}_{\mathrm{ij}}\mathrm{mod}p,(j=\mathrm{1,2},\mathrm{\Λ},n-1)---\left(6\right)$

d1.成员P_n计算(n+1≤j≤n+n1)

进行验证，如通过验证，则计算：

$K_n=K_n^{\′}+m_n+\underset{j=n+1}{\overset{n1}{\mathrm{\Σ}}}{\mathrm{sk}}_n{E}_{\mathrm{jn}}\mathrm{mod}p---\left(7\right)$

d.成员P_j(n+1≤j≤n+n1)计算

(n≤i≤n+n1，i≠j)，如通过验证，则计算：

$K_j^{\′}=\underset{i=n,i\≠j}{\overset{n1}{\mathrm{\Σ}}}{\mathrm{sk}}_j{E}_{\mathrm{ij}}\mathrm{mod}p---\left(8\right)$

K_j＝K′_j+m_j       (9)

e.成员P_j销毁自己的m_j，保留K′_j，计算并广播

$H_j=h(\left(K_j\right)\⊕\mathrm{KID}),(1\≤j\≤n+n1);$

f.成员P_j比较所有的H_j(1≤j≤n+n1)，如果全部相等，密钥协商完成，组密钥为：GK＝H(K_j)。

该方案成员离开组密钥更新协议流程：

假设组内有L个成员离开，剩余成员的集合为D，TC从成员身份标识符集中删除离开成员的id_L，并发出组密钥协商标识KID，在D内，规定最大编号id_k的成员P_k为发起人，其具体步骤为：

a.成员P_k随机选择一个数r_k、m_k∈Z[X]/(X^N-1)，并计算：

E_kj＝r_k*pk_j+(K′_k+m_k)(modq)     (10)

$S_{\mathrm{kj}}={\mathrm{NTRUSign}}_{{\mathrm{sk}}_k}\left(E_{\mathrm{kj}}\right|\left|{\mathrm{id}}_k\right),(1\≤j\≤n,j\≠L);$

b.成员P_k向组内D其他所有成员广播(S_kj，E_kj)；

c.其他成员P_j∈D计算如通过验证，则计算：

K_j＝sk_j*E_kj modp；      (11)

d.成员P_j计算并广播 $H_j=H(K_j\⊕\mathrm{KID}),(1\≤j\≤n,j\≠L);$

f.D中成员比较其他成员广播的散列值，如果全部相等，则组密钥更新成功，组成员的密钥为：GK＝H(K_j)，(1≤j≤n，j≠L)。

本发明的有益效果：

本发明Ad hoc组密钥管理方案包括应对成员协议、成员加入、成员离开三种情况的措施。协议是一个带认证的贡献式组密钥管理方案，即使攻击者知道部分成员的密钥片段，也不能计算出组内所有成员的密钥片段，保证了密钥的独立性。当组中增加成员时，新成员密钥片段作为计算组密钥的一个部分，原有成员的密钥片段不需要改变，减少了协议的计算量。当有成员离开时，离开的成员没有办法从自己掌握的密钥片段和原组密钥计算出新的组密钥。协议具有安全性好，通信量少、计算速度快，占用资源少，适应能力强的特点。本发明所述的协议特别适合于资源受限的网络环境，为开发组密钥协商协议提出了一个新的研究方向。

附图说明

图1为三个协议的总体概括流程图；

图2为组密钥协商协议流程图；

图3为成员加入组密钥流程图；

图4为成员离开组密钥流程图。

具体实施方式

下面结合附图和具体实施方式对发明的方案做进一步详细说明。

参照图1，一种Ad hoc组密钥管理方案，本发明用到的主要符号：

TC：系统离线可信任机构，负责产生组成员所需要的参数；

q：大模数，通常是一个正整数，q值的大小与具体的实例相关；

p：小模数，通常是一个小的正整数或者是一个具有小系数的多项式；

r：眩值，用来表示在加密时作为临时眩值的多项式；

P：协议中组成员的集合，当组中有n个成员时，P＝{P₁，P₂Λ，P_n}；

id：协议中组成员的身份标识符集，当组中有n个成员时，id＝{id₁，id₂Λ，id_n}，，协议为每个成员p_i分配唯一身份标识符id_i(i＝1，2，Λ，n)，该任务由TC完成；

(pk_i，sk_i)：其中pk_i是P_i的公钥，sk_i是P_i的私钥；

NTRUSign(·)：表示NTRU签名方案；

NTRUVerf(·)：表示NTRU验证方案；

(SK_i，VK_i)：其中SK_i是P_i的签名密钥，VK_i是P_i的验证密钥；

m_i：每个成员贡献的密钥片段，由成员P_i随机产生；

H(·)：方案中使用的单向散列函数；

KID：组密钥协商成功确认标识，在每次密钥协商前，由TC发布；

包括以下步骤：

A.可信机构TC中心为系统提供初始化参数；

B.成员P提供自己的密钥片段m，对m进行变换，得到E；

C.成员P对E和P的身份标识id进行签名，得到S；

D.成员P广播(S，E)；

E.成员P验证其他P的S，如果验证失败则需要重复步骤B，如果验证成功进行下一步F；

F.P对E进行反变换，计算所有成员提供的m之和K；

G.P广播 $H=H(K\⊕\mathrm{KID})$

H.P比较所有H是否相等，如果不相等重复步骤B，如果相等组密钥为GK＝H(K_j)，密钥协商成功。

参照图2，该方案组密钥协商协议流程：

(1)密钥片段准备阶段：

a.成员P_i(1≤i≤n)随机选择一个数r_i、m_i∈Z[X]/(X^N-1)，并计算：

E_ij＝r_i*pk_j+m_i(modq)          (1)

$S_{\mathrm{ij}}={\mathrm{NTRUSign}}_{{\mathrm{SK}}_i}\left(E_{\mathrm{ij}}\right|\left|{\mathrm{id}}_i\right),(1\≤j\≤n,j\≠i)$

b.成员p_i向组内其他成员广播(S_ij，E_ij)；

(2)组密钥协商阶段：

c.成员p_j(1≤j≤n)计算如果没有通过验证，则要求重新提供(S_ij，E_ij)，如果通过验证，则执行步骤d；

d.成员p_i用计算：

$K_j^{\′}=\underset{i=1,i\≠j}{\overset{n}{\mathrm{\Σ}}}{\mathrm{sk}}_j*E_{\mathrm{ij}}\left(\mathrm{mod}p\right)---\left(2\right)$

K_j＝K′_j+m_j(j＝1，2，…，n)     (3)

e.成员P_j销毁自己的m_j，保留K′_j，计算并广播

f.成员P_j比较所有的H_j(1≤j≤n)，如果发现不相等情况，则要求重新进行密钥协商，如果全部相等，则密钥协商完成，组密钥为：GK＝H(K_j)。

参照图3，该方案成员加入组密钥流程：

假设有n1个新成员P_i(i＝n+1，Λn+n1)加入网络之前，TC已经为P_i分配了(pk_i，sk_i)、(SK_iVK_i)、id_i参数，并向组内广播p_i的pk_i、id_i和KID，组内规定由P_n为发起人，所述的步骤(1)需要更新密钥片段，成员P_n随机选择一个数r_n、m_n∈Z[X]/(X^N-1)，并计算：

E_nj＝r_n*pk_j+(K′_n+m_n)(modq)         (4)

$S_{\mathrm{nj}}={\mathrm{NTRUSign}}_{{\mathrm{SK}}_n}\left(E_{\mathrm{nj}}\right|\left|{\mathrm{id}}_n\right),(1\≤j\≤n1,j\≠n)$

成员P_n向组内其他成员广播(S_nj，E_nj)。

成员P_i(n+1≤i≤n+n1)随机选择一个数r_i、m_i∈Z[X]/(X^N-1)，并计算E_ij：

E_ij＝r_i*pk_j+m_i(modq)    (5)

$S_{\mathrm{ij}}={\mathrm{NTRUSign}}_{{\mathrm{SK}}_i}\left(E_{\mathrm{ij}}\right|\left|{\mathrm{id}}_i\right),(1\≤j\≤n1,j\≠i)$

所述的步骤(2)还包括步骤d1其具体为：

c.成员P_j(1≤j≤n-1)计算

(n≤i≤n+n1)，如通过验证，则计算：

$K_j=\underset{i=n}{\overset{n1}{\mathrm{\Σ}}}{\mathrm{sk}}_j{E}_{\mathrm{ij}}\mathrm{mod}p,(j=\mathrm{1,2},\mathrm{\Λ},n-1)---\left(6\right)$

d1.成员P_n计算(n+1≤j≤n+n1)进行验证，如通过验证，则计算：

$K_n=K_n^{\′}+m_n+\underset{j=n+1}{\overset{n1}{\mathrm{\Σ}}}{\mathrm{sk}}_n{E}_{\mathrm{jn}}\mathrm{mod}p---\left(7\right)$

d.成员P_j(n+1≤j≤n+n1)计算

(n≤i≤n+n1，i≠j)，如通过验证，则计算：

$K_j^{\′}=\underset{i=n,i\≠j}{\overset{n1}{\mathrm{\Σ}}}{\mathrm{sk}}_j{E}_{\mathrm{ij}}\mathrm{mod}p---\left(8\right)$

K_j＝K′_j+m_j    (9)

e.成员P_j销毁自己的m_j，保留K′_j，计算并广播

$H_j=h(\left(K_j\right)\⊕\mathrm{KID}),(1\≤j\≤n+n1);$

f.成员P_j比较所有的H_j(1≤j≤n+n1)，如果全部相等，密钥协商完成，组密钥为：GK＝H(K_j)。

参照图4，该方案成员离开组密钥更新协议流程：

假设组内有L个成员离开，剩余成员的集合为D，TC从成员身份标识符集中删除离开成员的id_L，并发出组密钥协商标识KID，在D内，规定最大编号id_k的成员P_k为发起人，其具体步骤为：

a.成员P_k随机选择一个数r_k、m_k∈Z[X]/(X^N-1)，并计算：

E_kj＝r_k*pk_j+(K′_k+m_k)(modq)        (10)

$S_{\mathrm{kj}}={\mathrm{NTRUSign}}_{{\mathrm{sk}}_k}\left(E_{\mathrm{kj}}\right|\left|{\mathrm{id}}_k\right),(1\≤j\≤n,j\≠L);$

b.成员P_k向组内D其他所有成员广播(S_kj，E_kj)；

c.其他成员P_j∈D计算如通过验证，则计算：

K_j＝sk_j*E_kjmodp；    (11)

d.成员P_j计算并广播 $H_j=H(K_j\⊕\mathrm{KID}),(1\≤j\≤n,j\≠L);$

f.D中成员比较其他成员广播的散列值，如果全部相等，则组密钥更新成功，组成员的密钥为：GK＝H(K_j)，(1≤j≤n，j≠L)。

算法的正确性分析

本方案由组密钥协商协议、成员加入组密钥更新协议、成员退出组密钥更新协议3个部分组成，方案的正确性证明如下：

定理1在组密钥协商协议中，经过组密钥协商后，组内每个成员P_j持有的组密钥相同，并且组密钥与每个成员贡献的密钥片段相关。

证明：根据NTRU算法和公式(1)、(2)、(3)可以得到：

$K_j=\underset{i=1,i\≠j}{\overset{n}{\mathrm{\Σ}}}{\mathrm{sk}}_j*E_{\mathrm{ij}}\mathrm{mod}\left(p\right)+m_j$

$=\underset{i=1,i\≠j}{\overset{n}{\mathrm{\Σ}}}{\mathrm{sk}}_j(r_j*{\mathrm{pk}}_j+m_i)\left(\mathrm{mod}q\right)\left(\mathrm{mod}p\right)+m_j$

$=\underset{i=1,i\≠j}{\overset{n}{\mathrm{\Σ}}}({\mathrm{sk}}_j*r_j*{\mathrm{pk}}_j+{\mathrm{sk}}_j*m_i)\left(\mathrm{mod}q\right)\left(\mathrm{mod}p\right)+m_j$

$=\underset{i=1,i\≠j}{\overset{n}{\mathrm{\Σ}}}({\mathrm{sk}}_j*r_j*p*g*{\mathrm{sk}}_{\mathrm{qj}}+{\mathrm{sk}}_j*m_i)\left(\mathrm{mod}q\right)\left(\mathrm{mod}p\right)+m_j$

$=\underset{i=1,i\≠j}{\overset{n}{\mathrm{\Σ}}}(1+p*F_j)*m_i\left(\mathrm{mod}q\right)\left(\mathrm{mod}p\right)+m_j$

$=\underset{i=1,i\≠j}{\overset{n}{\mathrm{\Σ}}}{m}_i+m_j$

$=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{m}_i$

对于组内任意一个成员P_j，每个成员都可以得到其他成员的密钥片段，也就保证了每个成员P_j持有K_j的散列值都是相同的，所以每个成员持有的组密钥GK＝H(K_j)是相同的。

定理2在成员加入组密钥更新协议中，经过组密钥协商后，组内每个成员P_j持有的组密钥相同，并且组密钥与组密钥更新发起人和新加入成员贡献的密钥片段相关。

证明(1)对于成员P_j(1≤j≤n-1)

由公式(6)等可以得到：

$K_j=\underset{i=n}{\overset{n1}{\mathrm{\Σ}}}{\mathrm{sk}}_j{E}_{\mathrm{ij}}\mathrm{mod}p$

$=K_n^{\′}+m_n+\underset{i=n+1}{\overset{n1}{\mathrm{\Σ}}}{m}_i$

$=K_n^{\′}+\underset{i=n}{\overset{n1}{\mathrm{\Σ}}}{m}_i$

(2)对于成员P_n

由公式(7)等可以得到：

$K_n=K_n^{\′}+m_n+\underset{j=n+1}{\overset{n1}{\mathrm{\Σ}}}{\mathrm{sk}}_n{E}_{\mathrm{jn}}\mathrm{mod}p$

$=K_n^{\′}+m_n+\underset{i=n+1}{\overset{n1}{\mathrm{\Σ}}}{m}_i$

$=K_n^{\′}+\underset{i=n}{\overset{n1}{\mathrm{\Σ}}}{m}_i$

(3)对于成员P_j(n+1≤j≤n1)

由公式(9)等可以得到：

$K_j=K_j^{\′}+m_j$

$=\underset{i=n,i\≠j}{\overset{n1}{\mathrm{\Σ}}}{\mathrm{sk}}_j{E}_{\mathrm{ij}}\mathrm{mod}p+m_j$

$=K_n^{\′}+m_n+\underset{i=n+1,i\≠j}{\overset{n1}{\mathrm{\Σ}}}{m}_i+m_j$

$=K_n^{\′}+\underset{i=n}{\overset{n1}{\mathrm{\Σ}}}{m}_i$

对于组内任意一个成员P_j，每个成员得到相同的密钥片段值与组密钥更新发起人和新加入成员贡献的密钥片段相关，也就保证了每个成员P_j持有K_j的散列值都是相同的，所以每个成员持有的组密钥GK＝H(K_j)是相同的。

定理3在成员退出组密钥更新协议中，经过组密钥协商后，组内每个成员P_j持有的组密钥相同，并且组密钥与组密钥更新发起人贡献的密钥片段相关。

定理3的证明方法与证明定理1基本相同，略。

算法的安全证明

本方案的安全性是基于在格中求解最短向量的数学问题，在格中求解最短向量的数学问题是非常困难的。根据系统的安全需求，选择安全参数足够大时，在有效时间内，从公开信息直接推导出秘密信息在计算量上不可行的。

定理4组密钥协商协议是安全的。

证明 在组密钥协商第1个阶段，如果攻击者A截获组内广播的所有E_ij，尽管A可以计算出E_ij的累加值，但是，由于A不知道P_j的私钥sk_j和贡献的密钥片段m_j，所以是不能求出K_j的。否则就违背了NTRU算法加密的安全性。同时，由于协议对E_ij和id_i进行了签名，A也无法伪造出经过签名的E_ij值，则就违背了NTRU算法签名的安全性。

在组密钥协商第2个阶段，如果攻击者A截获组内所有广播的H_j和KID，根据散列函数的单向性和无碰撞性，攻击者A是无法从H_j中计算K_j的，也就无法计算出组密钥GK，否则就违背的单向散列函数的安全性。

所以，本文的组密钥协商协议是安全的。

定理5组密钥协商协议是向后保密的。

证明 对于新加入的成员来说，协议发起人P_n改变了自己贡献的秘密值m_n，新成员可以得到K′_n+m_n值。但是新成员要想从K′_n+m_n中分离出K′_n困难的，即使新成员得到了K′_n值，由于K′_n中没有包含新成员加入前的m′_n，所以新成员也无法知道他加入之前的组密钥。当然，新成员是可以得到他加入前的E′_ij等值，根据定理4，新成员同样无法得到他加入前的组密钥。

所以，本文的组密钥协商协议是向后保密的。

定理6组密钥协商协议是向前保密的。

证明 当组内有L个成员离开时，协议发起人P_k改变了自己贡献的秘密值m_k。对于离开成员来说，所能获得的信息也是E_kj等，根据定理4，离开成员是无法计算出他离开后的组密钥。同时，离开成员已经失去了他的身份标识id_L，无法回到网络中参与协议操作。

所以，本文的组密钥协商协议是向前保密的。

Claims (1)

1.一种Ad hoc组密钥管理方法，用到的主要符号：

TC：系统离线可信任机构，负责产生组成员所需要的参数；

q：大模数，通常是一个正整数，q值的大小与具体的实例相关；

p：小模数，通常是一个小的正整数或者是一个具有小系数的多项式；

r：眩值，用来表示在加密时作为临时眩值的多项式；

P：协议中组成员的集合，当组中有n个成员时，P＝{P₁，P₂…，P_n}；

id：协议中组成员的身份标识符集，当组中有n个成员时，id＝{id₁，id₂…，id_n}，，协议为每个成员p_i分配唯一身份标识符id_i(i＝1，2，…，n)，该任务由TC完成；

(pk_i，sk_i)：其中pk_i是P_i的公钥，sk_i是P_i的私钥；

NTRUSign(·)：表示NTRU签名方案；

NTRUVerf(·)：表示NTRU验证方案；

(SK_i，VK_i)：其中SK_i是P_i的签名密钥，VK_i是P_i的验证密钥；

m_i：每个成员贡献的密钥片段，由成员P_i随机产生；

H(·)：方案中使用的单向散列函数；

KID：组密钥协商成功确认标识，在每次密钥协商前，由TC发布；

令Z是整数环，用Z[X]代表在Z上的多项式环，Z[X]/(X^N-1)表示N次卷积多项式环，其特征在于，包括以下步骤：

A.可信机构TC中心为系统提供初始化参数；

B.成员P提供自己的密钥片段m，对m进行变换，得到E；

C.成员P对E和P的身份标识id进行签名，得到S；

D.成员P广播(S，E)；

E.成员P验证其他P的S，如果验证失败则需要重复步骤B，如果验证成功进行下一步F；

F.P对E进行反变换，计算所有成员提供的m之和K；

G.P广播 $H=H(K\⊕\mathrm{KID})$

H.P比较所有H是否相等，如果不相等重复步骤B，如果相等组密钥为GK＝H(K_j)，密钥协商成功；

该方法的组密钥协商协议流程：

(1)密钥片段准备阶段：

a.成员P_i(1≤i≤n)随机选择一个数r_i、m_i∈Z[X]/(X^N-1)，并计算：

E_ij＝r_i*pk_j+m_i(modq)  (1)

$S_{\mathrm{ij}}={\mathrm{NTRUSign}}_{{\mathrm{SK}}_i}\left(E_{\mathrm{ij}}\right|\left|{\mathrm{id}}_i\right),(1\≤j\≤n,j\≠i)$

b.成员p_i向组内其他成员广播(S_ij，E_ij)；

(2)组密钥协商阶段：

c.成员P_j(1≤j≤n)计算如果没有通过验证，则要求重新提供(S_ij，E_ij)，如果通过验证，则执行步骤d；

d.成员P_i用计算：

$K_j^{\′}=\underset{i=1,i\≠j}{\overset{n}{\mathrm{\Σ}}}{\mathrm{sk}}_j*E_{\mathrm{ij}}\left(\mathrm{mod}p\right)---\left(2\right)$

K_j＝K′_j+m_j(j＝1，2，…，n)  (3)

e.成员P_j销毁自己的m_j，保留K′_j，计算并广播

f.成员P_j比较所有的H_j(1≤j≤n)，如果发现不相等情况，则要求重新进行密钥协商，如果全部相等，则密钥协商完成，组密钥为：GK＝H(K_j)；

该方法成员加入组密钥流程：

假设有n1个新成员P_j(i＝n+1，…n+n1)加入网络之前，TC已经为P_i分配了(pk_i，sk_i)、(SK_i，Vk_i)、id_i参数，并向组内广播P_i的pk_i、id_i和KID，组内规定由P_n为发起人，所述的步骤(1)需要更新密钥片段，成员P_n随机选择一个数r_n、m_n∈Z[X]/(X^N-1)，并计算：

E_nj＝r_n*pk_j+(K′_n+m_n)(modq)  (4)

$S_{\mathrm{nj}}={\mathrm{NTRUSign}}_{{\mathrm{SK}}_n}\left(E_{\mathrm{nj}}\right|\left|{\mathrm{id}}_n\right),(1\≤j\≤n1,j\≠i)$

成员P_n向组内其他成员广播(S_nj，E_nj)。

成员P_i(n+1≤i≤n+n1)随机选择一个数r_i、m_i∈Z[X]/(X^N-1)，并计算E_ij：

E_ij＝r_i*pk_j+m_i(modq)    (5)

$S_{\mathrm{ij}}={\mathrm{NTRUSign}}_{{\mathrm{SK}}_i}\left(E_{\mathrm{ij}}\right|\left|{\mathrm{id}}_i\right),(1\≤j\≤n1,j\≠i)$

所述的步骤(2)还包括步骤d1其具体为：

c.成员P_j(1≤j≤n-1)计算(n≤i≤n+n1)，如通过验证，则计算：

$K_j=\underset{i=1}{\overset{n1}{\mathrm{\Σ}}}{\mathrm{sk}}_j{E}_{\mathrm{ij}}\mathrm{mod}p,(j=\mathrm{1,2},...,n-1)---\left(6\right)$

d1.成员P_n计算(n+1≤j≤n+n1)

进行验证，如通过验证，则计算：

$K_n=K_n^{\′}+m_n+\underset{j=n+1}{\overset{n1}{\mathrm{\Σ}}}{\mathrm{sk}}_n{E}_{\mathrm{jn}}\mathrm{mod}p---\left(7\right)$

d.成员P_j(n+1≤j≤n+n1)计算(n≤i≤n+n1，i≠j)，如通过验证，则计算：

$K_j^{\′}=\underset{i=n,i\≠j}{\overset{n1}{\mathrm{\Σ}}}{\mathrm{sk}}_j{E}_{\mathrm{ij}}\mathrm{mod}p---\left(8\right)$

K_j＝K′_j+m_j        (9)

e.成员P_j销毁自己的m_j，保留K′_j，计算并广播

$H_j=H(K_j\⊕\mathrm{KID}),$ (1≤j≤n+n1)；

f.成员P_j比较所有的H_j(1≤j≤n+n1)，如果全部相等，密钥协商完成，组密钥为：GK＝H(K_j)；

该方法成员离开组密钥更新协议流程：

假设组内有L个成员离开，剩余成员的集合为D，TC从成员身份标识符集中删除离开成员的id_L，并发出组密钥协商标识KID，在D内，规定最大编号id_k的成员P_k为发起人，其具体步骤为：

a.成员P_k随机选择一个数r_k、m_k∈Z[X]/(X^N-1)，并计算：

E_kj＝r_k*pk_j+(K′_k+m_k)(modq)   (10)

$S_{\mathrm{kj}}={\mathrm{NTRUSign}}_{{\mathrm{sk}}_k}\left(E_{\mathrm{kj}}\right|\left|{\mathrm{id}}_k\right),(1\≤j\≤n,j\≠L);$

b.成员P_k向组内D其他所有成员广播(S_kj，E_kj)；

c.其他成员P_j∈D计算如通过验证，则计算：

K_j＝sk_j*E_kjmodp       (11)

d.成员P_j计算并广播(1≤j≤n，j≠L)；

f.D中成员比较其他成员广播的散列值，如果全部相等，则组密钥更新成功，组成员的密钥为：GK＝H(K_j)，(1≤j≤n，j≠L)。