CN103796200A

CN103796200A - 无线移动自组网络中基于身份实现密钥管理的方法

Info

Publication number: CN103796200A
Application number: CN201410073721.5A
Authority: CN
Inventors: 张勇; 吴松洋; 刘善军; 何俊峰
Original assignee: Third Research Institute of the Ministry of Public Security
Current assignee: Third Research Institute of the Ministry of Public Security
Priority date: 2014-03-03
Filing date: 2014-03-03
Publication date: 2014-05-14

Abstract

本发明涉及一种无线移动自组网络中基于身份实现密钥管理的方法，包括可信中心生成实现密钥管理所需的所有公开参数和主密钥；可信中心初始化普通节点和分布式管理节点的公钥和私钥；当有新的普通节点要求加入到网络中时，新的普通节点执行访问许可协议从分布式管理节点获得当前时间周期的密钥；当一个普通节点的公钥需要撤销时，由一个分布式管理节点发起公钥撤销协议、同其他分布式管理节点共同生成撤销请求的数字签名，并在成功生成该请求的数字签名后向其他节点广播撤销该普通节点的公钥的信息。采用该种无线移动自组网络中基于身份实现密钥管理的方法，可以实现无线移动自组网络中更高效的密钥管理方案，需要更少的计算开销和网络带宽开销。

Description

无线移动自组网络中基于身份实现密钥管理的方法

技术领域

本发明涉及无线移动自组网络中的安全领域，尤其涉及无线移动自组网络中的密钥管理领域，具体是指一种无线移动自组网络中基于身份实现密钥管理的方法。

背景技术

无线移动自组网(Mobile ad hoc networks，MANETs)是由一组带无线通信装置的移动节点自组织形成的一个无线移动网络。目前，MANETs主要应用在军事，救援，车辆通信和传感器网络。

公钥体制为无线移动自组网安全通信及认证提供了基础保障，其中密钥管理（发布、更新和撤销）是基础中的基础。针对MANETs的主要特点设置：无基础设施、自组织、对等性，网络拓扑动态变化，有限通信带宽和能量等。此种密钥管理方案的设计需要考虑无集中管理设施、分布式、部分管理节点失效或被攻击者攻陷以及更新的效率等问题。

现有技术中的基于证书权威机构(CA)的方案，在分布式和安全性方面已经具有良好的效果，但公钥证书的管理依然会消耗大量的通信带宽和能量。

基于身份密码学的方案。采用身份密码学可以摆脱对公钥证书发放和管理带来的计算和通信负担。然而，目前的方案在计算效率和安全性上做的并不完善，主要有：（1）采用了耗时的双线性配对运算；（2）要求较强的安全假设，例如要求每次更新密钥前所有被攻击者控制的节点都必须被及时发现。

发明内容

本发明的目的是克服了上述现有技术的缺点，提供了一种能够实现基于身份进行密钥管理、方法应用安全高效、具有更广泛应用范围的无线移动自组网络中基于身份实现密钥管理的方法。

为了实现上述目的，本发明的无线移动自组网络中基于身份实现密钥管理的方法具有如下构成：

该无线移动自组网络中基于身份实现密钥管理的方法，其主要特点是，所述的方法包括以下步骤：

（1）可信中心生成实现密钥管理所需的所有公开参数和主密钥；

（2）所述的可信中心生成所述的主密钥的数个分量并将各个所述的分量分别发布到一一对应的分布式管理节点上；

（3）所述的可信中心初始化所有的普通节点和分布式管理节点的公钥和私钥；

（4）当有新的普通节点要求加入到网络中时，新的普通节点执行访问许可协议从分布式管理节点获得当前时间周期的密钥；

（5）当运行到下一个时间周期时，各个所述的分布式管理节点执行密钥更新协议获得当前时间周期所对应的新的密钥；

（6）当一个普通节点的公钥需要撤销时，由一个分布式管理节点发起公钥撤销协议、同其他分布式管理节点共同生成撤销请求的数字签名，并在成功生成该请求的数字签名后向其他节点广播撤销该普通节点的公钥的信息。

较佳地，所述的可信中心生成实现密钥管理所需的所有公开参数和主密钥，包括以下步骤：

（11）可信中心生成实现密钥管理所需的所有公开参数MPK=(G,g,y,y',H₁,H₂)，其中，G为循环群，g为循环群生成元，y和y'为系统公钥，H₁和H₂为密码学HASH函数；

（12）所述的可信中心选择两个随机数

和

生成主密钥MSK={x,x'}，其中，所述的主密钥中的x用于更新普通节点的密钥，x'用于更新分布式管理节点的密钥。

更佳地，所述的可信中心生成所述的主密钥的数个分量并将各个所述的分量分别发布到一一对应的分布式管理节点上，包括以下步骤：

（21）所述的可信中心随机选择n个节点作为分布式管理节点；

（22）所述的可信中心采用可验证秘密分享技术生成所述的主密钥MSK={x,x'}的n个分量{x_j,x_j'}，j=0,1,...,n-1并分别发布到一一对应的n个分布式管理节点上。

更佳地，所述的可信中心初始化所有的普通节点和分布式管理节点的公钥和私钥，包括以下步骤：

（31）所述的可信中心为各个所述的分布式管理节点计算密钥，各个所述的分布式管理节点P_ID的两个密钥为(r_ID=g^k,s_ID=k+H₁(ID,r_ID)x)和(r'_ID=g^k',s'_ID=k'+H₁(ID,r'_ID)x')，其中，g为循环群生成元，H₁为密码学HASH函数，各个所述的分布式管理节点的公钥为(ID||0)；

（32）所述的可信中心为各个普通节点计算密钥，各个所述的普通节点的私钥为(r_ID=g^k,s_ID=k+H₁(ID,r_ID)x)，其中，

H₁为密码学HASH函数，各个所述的普通节点的公钥为(ID||0)。

更佳地，所述的新的普通节点执行访问许可协议从分布式管理节点获得当前时间周期的密钥，包括以下步骤：

（41）新的普通节点生成并广播一个包含密钥协商数据的加入网络请求；

（42）各个所述的分布式管理节点对所述的新的普通节点进行检验并执行基于身份的密钥交换协议生成会话密钥；

（43）所述的新的普通节点选择t个响应的分布式管理节点并验证其管理身份并设定新的公钥发送给所述的这t个分布式管理节点；

（44）所述的t个分布式管理节点分别计算部分密钥并发送至所述的新的普通节点；

（45）所述的新的普通节点根据上述的t个部分密钥来为新的公钥生成对应的新的私钥。

更进一步地，所述的各个所述的分布式管理节点对所述的新的普通节点进行检验，包括以下步骤：

（421）各个所述的分布式管理节点检查所述的新的普通节点是否已经被撤销；

（422）各个所述的分布式管理节点验证所述的新的普通节点的签名信息。

更进一步地，所述的新的普通节点验证t个分布式管理节点的管理身份，包括以下步骤：

（431）所述的新的普通节点选择t个分布式管理节点；

（432）所述的新的普通节点通过系统公钥y′来检验所述的t个分布式管理节点的签名以验证身份。

较佳地，所述的由一个分布式管理节点发起公钥撤销协议并向其他分布式管理节点广播撤销该普通节点的公钥的信息，包括以下步骤：

（61）一个分布式管理节点向其他分布式管理节点广播撤销该普通节点的公钥的请求；

（62）各个分布式管理节点如果同意撤销该普通节点的公钥的请求，则计算

其中

g为循环群生成元，并回应请求；

（63）所述的发起撤销请求的分布式管理节点选择t个分布式管理节点计算

并发送至被选择的t个分布式管理节点；

（64）被选择的t个分布式管理节点用自己持有的部分密钥计算撤销消息的数字签名分量，并发送数字签名分量至所述的发起撤销请求的分布式管理节点；

（65）所述的发起撤销请求的分布式管理节点通过t个数字签名分量来计算撤销请求的数字签名，若成功生成撤销请求的数字签名，则向各个节点广播撤销该普通节点的公钥的信息。

本发明中的无线移动自组网络中基于身份实现密钥管理的方法，采用简化的门限Schnorr数字签名来实现密钥管理中密钥的更新和撤销等操作，更加简单高效，通过引入一个两轮的密钥协商技术来保证简化的门限Schnorr数字签名方案具有同以前方案同样的安全强度，方法应用安全高效，高效是指：与以前同类型方案相比，具有相同的安全强度的情况下，该方案要求更少的计算开销和网络带宽开销，具有更广泛的应用范围。

附图说明

图1为本发明的无线移动自组网络中基于身份实现密钥管理的方法的流程图。

图2为本发明的访问许可协议的流程图。

图3为本发明的身份公钥撤销协议的流程图。

具体实施方式

为了能够更清楚地描述本发明的技术内容，下面结合具体实施例来进行进一步的描述。

本发明针对上述现有方案和技术的不足，提出了一个无线移动自组网环境下基于身份的密钥管理方案，实现了安全高效的密钥管理。安全是指密钥管理方案具有：更新的密钥是不可伪造的(随机预言机模型下的适应性选择明文攻击)。

方案的高效体现在：(1)采用了基于Schnorr数字签名（Schnorr C P.Efficient identificationand signatures for smart cards.Advances in Cryptology CRYPTO89Proceedings.Lecture Notes inComputer Science.Springer Berlin/Heidelberg.1990,435:239～252）构造的基于身份身子签名技术（Liu J K,Baek J,Zhou J,et al.Efficient online/offline identity-based signature for wirelesssensor network.International Journal of Information Security.2010,9(4):287～296），不需要双线性配对运算，极大地降低了节点的计算开销；（2）以往采用门限Schnorr数字签名的方案为了达到适应性选择明文攻击下的不可伪造性，对Schnorr签名的改造都非常复杂。本方案采用简化的门限Schnorr数字签名来实现密钥管理中密钥的更新和撤销等操作，本方案更加简单高效，通过引入一个两轮的密钥协商技术（Fiore D,Gennaro R.Making the Diffie-HellmanProtocol Identity-Based.Topics in Cryptology-CT-RSA,LNCS.Springer Berlin.2010,5985:165～178）来保证简化的门限Schnorr数字签名方案具有同以前方案同样的安全强度。

名词定义：

IB-KA：一个基于身份的密钥交换协议(Fiore D,Gennaro R.Making the Diffie-HellmanProtocol Identity-Based.Topics in Cryptology-CT-RSA,LNCS.Springer Berlin.2010,5985:165～178)

LIBS：一个基于身份的数字签名方案，（Liu J K,Baek J,Zhou J,et al.Efficient online/offlineidentity-based signature for wireless sensor network.International Journal of Information Security.2010,9(4):287～296）

Fel-VSS：一个可验证秘密分享协议，（Feldman P.A practical scheme for non-interactiveverifiable secret sharing.28th Symposium on Foundations of Computer Science(FOCS).1987:427～437）

符号定义如下表：

表1.符号定义

如图1所示，本发明的无线移动自组网络中基于身份实现密钥管理的方法包括以下步骤：

（1）可信中心生成系统所需所有公开参数MPK=(G,g,y,y',H₁,H₂)和主密钥MSK={x,x'}。MPK系统中所有成员所共享，主密钥中的x用于更新发布普通节点的密钥，x′用于更新分布式管理节点D-PKGs的密钥。

可信中心选择系统的公开参数MPK=(G,g,y,y',H₁,H₂)，选择两个随机数

和

然后输出系统的主密钥MSK={x,x'}，其中x用于产生普通节点的密钥，x'用于产生D-PKGs节点使用的密钥。

（2）可信中心采用可验证秘密分享技术产生MSK={x,x'}的n个分量{x_j,x_j'}，并分别发布到n个D-PKGs节点上。

秘密分享过程.可信中心随机选择n个节点作为D-PKGs,然后通过Fel-VSS在n个D-PKGs之间分享x和x'。x的分享分量可通过A_j验证(j=0,1,...,t-1)，x'的分量可通过B_j验证(j=0,1,...,t-1)。A={A_j|j=0,1,...,t-1}，B={B_j|j=0,1,...,t-1}是公开的。

（3）可信中心初始化所有节点的公钥和私钥，此时每个节点的公钥为(ID||0)。

可信中心为各个分布式管理节点计算密钥，各个分布式管理节点P_ID的两个密钥为(r_ID=g^k,s_ID=k+H₁(ID,r_ID)x)和(r'_ID=g^k',s'_ID=k'+H₁(ID,r'_ID)x')，其中，g为循环群生成元，

H₁为密码学HASH函数，各个分布式管理节点的公钥为(ID||0)；

可信中心为各个普通节点计算密钥，各个普通节点的私钥为(r_ID=g^k,s_ID=k+H₁(ID,r_ID)x)，其中，H₁为密码学HASH函数，各个普通节点的公钥为(ID||0)。

（4）当一个新的节点要求加入到网络中，需要执行访问许可协议从D-PKGs获得本时间周期的密钥。若采用了(n,t)门限，则n个D-PKGs节点中只需要其中t个合作就能完成新的密钥的发布。

当一个新的节点要求加入到网络中，需要执行访问许可协议从D-PKGs获得本时间周期（timesalt）的密钥，此时新加入节点的公钥为ID_i||timesalt。若采用了(n,t)门限，则n个D-PKGs节点中只需要其中t个合作就能完成新的密钥的发布。

如图2所示，访问许可协议的流程如下：

（41）新节点P_m+1生成并且广播一个加入网络的请求VER_REQ，为了协商本次协议会话的对称密钥V，P_m+1选取

计算

生成包含密钥协商数据的请求(Old_PK_m+1,r_m+1,u_m+1)。

（42）接收到请求广播后,每个D-PKGs P_i，这里i∈[1,t'],t≤t'≤n，首先检查该节点是不是已经被撤销过了,然后验证P_m+1的签名信息。上述检验通过以后，P_i计算

然后P_i执行IB-KA为当前会话生成会话密钥V，并通过下面的步骤来完成密钥协商，P_i选取

计算

生成密钥交换的数据(PK_i,r_i,u_i)，P_i计算出会话密钥V=H₂(V₁,V₂)，其中

V_{1} = {(u_{m + 1} r_{m + 1} y^{H_{1} (Old - {PK}_{m + 1}, r_{m + 1})})}^{t_{i} + s_{i}}

并且

V_{2} = {u_{m + 1}}^{t_{i}} .

最后P_i发回一个回应KEY_REP。

（43）P_m+1选择t个D-PKGs,通过系统公钥y'来检验签名,以验证这t个节点的D-PKGs身份。然后P_m+1计算会话密钥V=H₂(V₁,V₂)其中

然后P_m+1解密出d_i。P_m+1设定新的身份公钥PK_m+1=(ID||CurrentTimeSlot)并且计算最后P_m+1发送KEY_REQ给t个选定的D-PKGs。

（44）每个P_i∈{P₁,P₂,......,P_i}计算部分密钥z_i=d_i+ex_iλ_i(0)，其中e=H₁(d_ID,PK_m+1)，x_i是主密钥x的分量。然后P_i发送z_i给P_m+1。

（45）P_m+1为新的公钥PK_m+1=(ID||CurrentTimeSlot)计算私钥，如下操作：

P_m+1解密信息并检查

是否成立。如果不成立，那么P_m+1再次联系其他的D-PKG P_j(P_i∈{P₁,P₂,......,P_i})并再次执行步骤（41）～（45）。

获得t个有效z_i,P_m+1计算

P_m+1的私钥就是(r_m+1=d_ID,s_m+1=z)。

（5）当运行到下一个时间周期（timesalt+1），此时每个节点i都将采用ID_i||timesalt+1作为自己新的公钥，相应地需要执行密钥更新协议从D-PKGs获得对应的密钥。若采用了(n,t)门限，则n个D-PKGs节点中只需要其中t个合作就能完成新的密钥的发布。

密钥更新协议同访问许可协议基本一致，不再重复描述。

（6）当一个节点的ID公钥ID_i需要撤销时，由一个管理节点发起公钥撤销协议、同其他分布式管理节点共同生成撤销请求的数字签名，并在成功生成该请求的数字签名后向其他管理节点广播撤销ID_i的请求，并附带撤销依据。若采用了(n,t)门限，n个D-PKGs节点中只需要其中t个节点同意撤销公钥ID_i，则合作采用简单门限Schnorr签名方案对该撤销请求签名，对返回给发起节点。发起节点负责将签名后的报文广播出去，完成对ID_i的撤销。

如图3所示，撤销公钥协议的流程如下：

（61）一个D-PKG节点P_TL向其他D-PKGs广播撤销身份公钥PK_A的请求。

（62）每个D-PKGs P_i，i∈[1,t′]，t≤t′≤n，如果同意撤销PK_A，就计算

其中

并且回应请求。

（63）P_TL选择t个D-PKGs并计算

然后P_TL发送d给选定的t个D-PKGs。

（64）每个P_i∈{P₁,P₂,...,P_t}计算部分密钥z_i=d_i+ex′_iλ_i(0),其中e=H₁(d,REV-MSG)，x′_i是x′的分量。然后P_i发送z_i给P_TL。

（65）P_TL生成消息REV-MSG的签名并形成撤销消息，如下操作：

P_TL检查

是否成立。如不成立，P_TL联系其他D-PKG P_j

并重新从步骤1开始执行。

得到t个有效z_i以后，P_TL计算

得到签名σ=(e,z)。撤销消息是{REV-MSG,σ}。

（66）生成撤销消息后，P_TL广播撤销消息{REV-MSG,σ}，从而撤销了身份公钥PK_A。

在此说明书中，本发明已参照其特定的实施例作了描述。但是，很显然仍可以作出各种修改和变换而不背离本发明的精神和范围。因此，说明书和附图应被认为是说明性的而非限制性的。