CN103918218A - 用于管理移动设备的群密钥的方法和装置 - Google Patents

Abstract

本发明涉及群密钥以及涉及密钥分配中心的群密钥管理方法，包括步骤：从移动设备接收密钥请求；利用所述密钥请求中所包含的退出时间信息为所述移动设备生成私有密钥；为所述移动设备生成公开密钥和验证密钥；以及向所述移动设备发送至少一个包含所生成密钥的密钥。验证在对方的退出时间时对方是否属于相同的群、以及验证对方的公开密钥和对方的验证密钥；当所述对方属于相同群时比较群密钥的版本，以及允许具有最新版本的群密钥的设备利用会话密钥来加密最新版本的群密钥，并且向对方设备发送加密的群密钥；以及允许接收到所述群密钥的对方设备解密该群密钥并且执行更新。群密钥的使用使得数据传输所需的通信成本降低，并且当更新群密钥时，甚至没有从基站接收到群密钥的移动设备也可以在以后从基站或者属于同一群的其他移动设备接收群密钥。

Description

用于管理移动设备的群密钥的方法和装置

技术领域

本发明涉及群密钥管理，尤其是涉及一种用于在包含移动设备的群中有效地更新群密钥的方法和装置。

背景技术

在其中有多个设备群的环境中，在设备之间的通信中的安全问题中最重要的事情是防止不属于该群的设备充当该群的成员，并且接收只向属于该群的设备发送的多播消息。

为减轻服务器的运行和通信的负载，发送给群的多播消息用群密钥加密。另外，当该群的用户变更时，为防止用户在订阅该群之前或在退出该群之后收看到多播消息，应更新群密钥。

固定设备直接从预先确定的密钥分配中心或基站接收更新后的群密钥。

然而，当设备可移动时，不但设备应以无线方式接收群密钥，而且发送群密钥的基站在各种情况下还可以更改。因此，群密钥的安全性可能不足。另外，还存在一个问题，就是当通信基站不在移动设备附近时，移动设备就不能接收到群密钥。

发明内容

本发明的目标是基本上解决至少上述问题和/或缺点，并提供至少下述优点。因此，本发明的一个目的是提供一种用于管理移动设备的群密钥的方法和装置。

本发明的另一目的是提供一种用于在移动设备中安全地发送多播所需的群密钥的方法和装置。

本发明的另一目的是提供一种用于在基站中向移动设备安全发送更新后的群密钥的方法和装置。

根据本发明的一个方面，一种用于在密钥分配中心中管理群密钥的方法包括：从移动设备接收密钥请求；利用在所述密钥请求中包含的关于退出时间的信息，为所述移动设备生成私有密钥；为所述移动设备生成公开密钥和验证密钥；以及向所述移动设备发送至少一个包含所生成的密钥的密钥。

根据本发明的另一方面，一种用于管理群密钥的密钥分配中心(KDC)装置包括：控制单元，用于在来自移动设备的密钥请求时利用密钥请求中包含的关于退出时间的信息产生所述移动设备的私有密钥以及产生所述移动设备的公开密钥和验证密钥；以及调制解调器，用于从所述移动设备接收群密钥请求并向所述移动设备发送至少一个包含所生成密钥的密钥。

根据本发明的另一方面，一种用于在移动设备中管理密钥的方法包括：向对方移动设备发送第一验证消息并从所述对方移动设备接收第二验证消息；验证所述第二验证消息是否有效；当所述第二验证消息有效时生成会话密钥；当所述第二验证消息所包含的群密钥版本不新于它自身的群密钥版本时，利用所述会话密钥加密它自身的群密钥；以及向所述对方移动设备发送经加密的群密钥。

根据本发明的另一方面，一种用于管理群密钥的移动设备装置包括：控制单元，用于生成要向对方移动设备发送的第一验证消息，验证从所述对方移动设备接收到的第二验证消息是否有效，当所述第二验证消息有效时生成会话密钥，以及当所述第二验证消息所包含的群密钥版本不新于它自身的群密钥版本时，利用会话密钥加密它自身的群密钥；以及调制解调器，用于向所述对方移动设备发送第一验证消息，从所述对方移动设备接收第二验证消息以及向所述对方移动设备发送经加密的群密钥。

附图说明

从以下结合附图进行的详细描述中，本发明的上述和其它目标、特性和优点对于本领域技术人员来说将变得更清楚。附图如下：

图1是图解根据本发明实施例的群密钥传送情形的示意图；

图2是图解根据本发明实施例的在密钥分配中心中设置密钥的过程的流程图；

图3是图解根据本发明实施例的移动设备订阅群的过程的流程图；

图4是图解根据本发明实施例的基站向移动设备发送群密钥的过程的第一流程图；

图5是图解根据本发明实施例的基站向移动设备发送群密钥的过程的第二流程图；

图6a到6b是图解根据本发明实施例的在移动设备之间发送群密钥的过程的流程图；和

图7是图解根据本发明实施例的包含移动设备、基站和密钥分配中心的块配置的装置的示意图。

具体实施方式

以下将参考附图对本发明的示范实施例进行描述。在下面的描述中，对公知的功能和配置的详细描述将被省略，这是因为它们会不必要地模糊本发明的主题。另外，这里所用的术语根据本发明的功能来定义，因此，术语可随用户或操作者的意图或实践而不同。因此，这里所用的术语应根据这里所做的描述而理解。

本发明提供一种用于管理移动设备的群密钥的方法和装置。

本发明包括群控制器(GC)或密钥分配中心(KDC)，用于管理用于移动设备之间、基站和移动设备之间安全多播的要被加密的密钥。

图1是图解根据本发明实施例的群密钥传送情形的示意图。

参考图1，系统包括属于群的多个移动设备110、112、114、116、117、118和119、不属于所述群的多个移动设备120、122和124、密钥分配中心130以及多个基站140和145。

图1中，车辆作为移动设备的范例被示出，然而，这仅是一个为了方便而做的范例，因此，便携式终端可被给定作为范例，并且其例子不限于此。

密钥分配中心130可与多个基站140和145通过回程通信。另外，可利用无线通信来实现移动设备之间的通信和移动设备与基站之间的通信。

当移动设备订阅或退出群时，密钥分配中心130更新群密钥并向多个基站140和145发送更新后的群密钥。

此后，每个基站都加密该更新后的群密钥并将加密后的群密钥发送给基站通信覆盖范围内的移动设备。

另外，当基站覆盖范围之外的移动设备试图接收群密钥时，移动设备移动到基站周围，然后接收群密钥，或者从另一个已接收到群密钥的移动设备接收群密钥。

本发明所用的符号给定如下。

p：非常大的质数

G₁,G₂,G_T:质数阶p的乘法循环群(multiplicative cyclic group)，其定义给定如下。

当G₁为G₁={Z₁,Z₂,…,Z_p-1},并且有Z_k满足Z_k∈G₁,G1是集合这里，上标表示幂值，并且被计算为被质数阶p除后得到的余数。以这种方式，定义G₂和G_T。例如，{1,2,3,4,5,6}是质数阶7的乘法循环群。原因是，因为3⁰=1,3¹=3,3²=9=2,3³=27=6,3⁴=81=4,3⁵=243=5(被7除后所得的余数)，{1,2,3,4,5,6}={3⁰,3¹,3²,3³,3⁴,3⁵}。P和G₁、G₂和G_T是质数，是用于验证算法的集合。

这些值对于密钥分配中心、基站和订阅群的移动设备应该是已知的，在任何情况下都是不变的。

g₁∈G₁和g₂∈G₂是生成元和整数。是用于生成本发明所有变量的基本值。也就是说，对于整数k，密钥被表示为和的形式。应彼此互不相同，也应该彼此互不相同。在这种情况下，上标表示幂值，并且生成元对于密钥分配中心、基站和订阅群的移动设备应该是已知的，在任何情况下都是不变的。生成元以相同的值被分配给群里所有的设备。

d_A和d_B是Alice和Bob的私有密钥，并且是由密钥分配中心生成并发送给移动设备的整数，该私有密钥只有移动设备和密钥分配中心知道。在这种情况下，要求gcd(d_A,p-1)=gcd(d_B,p-1)=1，d_A≠1，d_B≠1。当gcd(d_A,p-1)≠1时,存在满足d_A≠d_A′和的整数d_A′。实际上,存在另外满足的整数d_A′,其个数为gcd(d_A,p-1)-1。是公开值，但d_A是只有Alice知道的私有值，如上所述，由于用作d_A值的数目为gcd(d_A,p-1)，因此从中得到d_A的概率从增加到也就是说，由于d_A的安全性降低了倍，所以应该满足gcd(d_A,p-1)=1。

e_A和e_B是Alice和Bob的公开密钥，并且有和这里，上标表示幂值，公有密钥被生成并通过密钥分配中心发送到相应的移动设备。公有密钥被分配到其它基站和群里的所有移动设备。

t_A和t_B是Alice和Bob的预定退出时间。当当前时间已经到达t_A时，Alice就不再是群里的成员了，当当前时间已经到达t_B时，Bob就不再是群里的成员了。当移动设备订阅群时，预定的退出时间被设置，并允许密钥分配中心、基站和群里的所有移动设备都知道。

α和β给定为随机固定整数，用于生成验证密钥和帮助值。α和β只有密钥分配中心知道，不允许其它基站和其它移动设备知道。

在这种情况下，应满足gcd(α,p-1)=gcd(β,p-1)=1。当gcd(α,p-1)≠1时,存在满足α≠α′和的整数α′，实际上，存在另外满足的整数α′，其个数为gcd(α,p-1)-1，是公开值，但α是只有Alice知道的私有值，如上所述，由于用作α的值的数目为gcd(α,p-1)，所以从中得到α的概率从增加到也就是说，由于α的安全性降低了倍，所以应该满足gcd(α,p-1)=1。

CA和CB是Alice和Bob的验证密钥，并且有和验证密钥被用于验证Alice与Bob的公开密钥和退出时间。当移动设备订阅群时，密钥分配中心生成验证密钥并将验证密钥发送给该移动设备。验证密钥仅由密钥分配中心生成。验证密钥允许群里所有移动设备知道。

和是帮助值，这里，上标表示幂值，用于验证移动设备的公开密钥、退出时间和验证密钥。该帮助值由密钥分配中心生成。由于除了密钥分配中心，其它设备不知道α和β，因此其它移动设备不能生成帮助值。帮助值被发送给密钥分配中心、基站和订阅群的所有移动设备并允许它们任何一个知道。

另外，当在另一个群中给定具有不同数值的g'₂、α′和β时，如下描述获得具有相同数值的和的概率。可能取1到p-1中的任何一个值，并且为了其值和值相同，应该满足p-1种情况之一，因此，由于得到相同值的x的概率为且p是一个非常大的质数，所以安全性问题几乎不会发生，另外，同样的方式适用于y。

GK是群密钥，用于加密数据。当群里移动设备的组成变更时，GK就被更新。

ver_gk,A和ver_gk,B是Alice和Bob的群密钥的版本，其值可取整数或实数，当GK被更新时，版本就增大。也就是说，数字越大，版本越新。版本允许密钥分配中心、基站和群里所有移动设备知道。

下面将描述根据本发明的双线性映射(Bilinear Map)。

当函数e:G₁×G₂→G_T满足以下三个条件时，e就被称为双线性映射。

1)g₁和g₂分别是G₁和G₂的生成元。

2)具有同构性ψ:G₂→G₁和ψ(g₂)=g₁。

3)当e(g₁,g₂)≠1时，对于随机数u∈G₁和v∈G₂，a,b∈Z.，满足e(u^a,v^b)=e(u,v)^ab，这里，上标表示幂值，Z表示所有整数的集合。

双线性映射用于验证各种值(公开密钥，退出时间，验证密钥)。

同构ψ允许与随机值一一对应。另外，e(u,v)和a×b的乘积应等于e(u^a,v^b)，下面描述运算准则。

首先，画一条椭圆曲线E(例如，y²=x³+x)，元素G₁和G₂与E上的格点相匹配(其x和y的坐标都是整数)。对于随机数s∈G₁和t∈G₂，通过把s和t分别与E上的A点和B点相匹配，利用A点和B点的坐标作为输入值执行预定的计算而得到e(s,t)。作为计算结果，e(u,v)和a×b的乘积就变得与e(u^a,v^b)相同了。

在接下来的描述中，Alice和Bob用于表示任意移动设备。

图2是图解根据本发明实施例的在密钥分配中心中设置密钥的过程的流程图。

参考图2，设置密钥的过程是在密钥分配中心中定义各种密钥的过程。

首先，假设给定一个质数p，群G₁、G₂和G_T，以及一一对应的函数ψ:G₂→G₁，密钥分配中心执行下列步骤。

在步骤200，密钥分配中心确定用于验证公开密钥和退出时间的整数α和β。α和β是私有值，只有密钥分配中心知道，不允许其它移动设备或基站知道，并且是不变的值。另外，α和β应分别与p-1互质，且不为1。

也就是说，应该满足gcd(α,p-1)≠1或gcd(β,p-1)≠1，在gcd(α,p-1)≠1的情况下，存在满足α≠α′和的整数α′，实际上，有另外满足的α′存在，其个数为gcd(α,p-1)-1，是公开值，但α是只有密钥分配中心知道的私有值。由于可用做α的值的数目为gcd(α,p-1)，因此从中得到α的概率从增加到也就是说，由于α的安全性降低了倍，因此应该满足gcd(α,p-1)=1。同样的原因，也应该满足gcd(β,p-1)=1。

另外，由于在α=1或β=1的情况下给定和因此可以很容易估计α和β。这两个值不应该被密钥分配中心以外的其它基站和移动设备知道。

此后，密钥分配中心确定g₁和g₂，用于生成验证算法中要发送给所有基站和移动设备的变量(步骤201)。g₁和g₂都是小于p的随机自然数，另外，g₁和g₂不应为1，且应分别与p-1互质。

换句话说，满足g₁=ψ(g₂)的g₁∈G₁和g₂∈G₂是随机挑选的，当用于本发明的变量被生成时，这些值是幂的底且永久不变。另外，这些值是分配给其它基站和所有移动设备的公开值。

然而，g₁和g₂应该是gcd(α,p-1)≠1或gcd(β,p-1)≠1，这里，生成元应分别和p-1互质。这是因为应互不相同，并且也应互不相同。在这种情况下，上标表示幂值，当生成元与p-1并不互质时，在p个数中存在彼此相等的值，并且私有密钥和公有密钥可根据1:n的映射彼此对应，当g₁=1或g₂=1时，其它公开密钥，帮助值或验证密钥的值都为1。

此后，密钥分配中心生成帮助值和(步骤203)。该帮助值用于验证设备的公开密钥和退出时间。x和y是不变的值，并且被发送给其它基站和移动设备。

图3是图解根据本发明实施例的在移动设备中订阅群的过程的流程图。

参考图3，当Alice向密钥分配中心请求订阅群时，Alice向密钥分配中心发送它自身的退出时间t_A(步骤301)。

此后，密钥分配中心确定Alice的私有密钥d_A(步骤302)。私有密钥不应为1，且应与p-1互质。d_A值不能为1且应与p-1互质的原因将在下面讲述。

也就是说，当gcd(d_A,p-1)≠1，存在满足d_A≠d_A′和的整数d_A′。实际上，有另外满足的d_A′，其个数为gcd(d_A,p-1)-1，是公开值，但d_A是只有Alice和密钥分配中心知道的私有值。如上所述，由于可用做d_A的值的数目为gcd(d_A,p-1)，因此从中找出d_A的概率从增加到 $\frac{\gcd (d_A,p-1)}{p-1}.$

也就是说，由于d_A的安全性降低了倍，因此应该满足gcd(d_A,p-1)=1。另外，g₂∈G₂是生成元，是由密钥分配中心生成并与群里所有移动设备和基站共享的不变整数。

另一方面，在验证密钥中，d_A+α+βt_A应满足条件d_A+α+βt_A与p-1互质。在这种情况下，α和β是由密钥分配中心生成的固定整数，以及只允许密钥分配中心知道，并且不允许Alice和其它移动设备知道。

另外，当gcd(d_A+α+βt_A,p-1)≠1时，不能计算也就是说，只有当d_A+α+βt_A与p-1互质时，才能计算验证密钥

在这种情况下，α和β是随机固定整数，是用于计算验证密钥和帮助值的值。α和β由密钥分配中心生成，仅密钥分配中心知道。

此后，密钥分配中心用以上公式生成公开密钥e_A和验证密钥C_A(步骤303)。公开密钥由密钥分配中心生成，并分配给Alice。公开密钥被分配给所有基站和群里所有移动设备。

$e_A=g_2^{d_A},C_A={g_1}^{\frac{1}{d_A+\mathrm{\α}+{\mathrm{\βt}}_A}}.....\left(1\right)$

验证密钥用于验证移动设备是否属于与对方移动设备相同的群，是由密钥分配中心生成并发送给移动设备(Alice)的值。C_A是所有基站和群里的移动设备都可知道的值。

在如本实施例中Alice和Bob互相通信的环境下，由Alice生成的C_A被对方移动设备用于验证Alice的e_A和t_A。

此后，密钥分配中心向Alice发送密钥g₁、g₂、d_A、e_A、C_A、x和y(步骤304)。

在这种情况下，e_A是Alice的公开密钥，由密钥分配中心生成并发送给Alice，且对于基站和群里的移动设备是已知的，C_A是验证密钥，并且和是帮助值，用于利用验证密钥验证公开密钥和退出时间。另外，由于帮助值由密钥分配中心生成，其它设备不知道α和β，因此其它设备不能生成帮助值。而且，帮助值对密钥分配中心、基站和订阅群的所有移动设备都是已知的，并且在任何情况下都是不变的。ver_gk,A是Alice所拥有群密钥的版本。Alice的私有密钥d_A包含在发送给Alice的密钥中。

根据本发明的更新群密钥的过程将在下面描述。

现有更新群密钥的方法是移动设备接收由密钥分配中心或基站直接更新的群密钥。然而，存在这样一种情况，就是移动设备位于密钥分配中心或基站的覆盖范围之外。在这种情况下，当群密钥更新时，移动设备可能接收不到该群密钥。

根据本发明，移动设备不仅能从基站接收群密钥，而且还能从和该移动设备在同一群的其它设备接收群密钥。在这个过程中，提出一种算法，其中提供群密钥的设备验证在不与基站和密钥分配中心通信的情况下自身接收群密钥的设备的公开密钥和退出时间。

群密钥由密钥分配中心更新，密钥分配中心所生成的更新后的群密钥被发送给各个基站。发送给基站的更新后的群密钥被发送给各个基站通信覆盖范围内的移动设备。

另外，当群密钥更新时不在通信范围内的移动设备可移动到基站附近，然后接收更新后的群密钥，或者从另一个移动设备接收更新后的群密钥。

当密钥分配中心向基站发送群密钥时，一般通过有线网络(回程网络)发送群密钥。因此，根据已知的加密方法加密群密钥，并且发送加密的群密钥。

图4是图解根据本发明实施例的基站向移动设备发送群密钥的过程的第一流程图。

参考图4，说明了当群密钥更新时移动设备接收群密钥的情况。

在步骤401，基站广播包含关于群密钥的更新的信息的消息。

在步骤407，在请求更新后的群密钥时，移动设备向基站发送它自身的ID。

在步骤402和403，基站确定移动设备是否属于群或者移动设备的退出时间是否已经到达。

虽然图4没有说明，但是当基站没有关于移动设备的信息时，基站就向密钥分配中心请求并接收该信息。

当移动设备属于该群并且移动设备的退出时间尚未到达(步骤402和403)时，在步骤404，基站就利用对应于所述移动设备的公开密钥加密更新后的群密钥，将加密后的群密钥连同群密钥的版本一起单播给所述移动设备用于发送。

在步骤408，移动设备接收加密的群密钥和群密钥的版本，并利用私有密钥解密更新后的群密钥。

图5是图解根据本发明实施例的基站向移动设备发送群密钥的过程的第二流程图。

参考图5，说明了在群密钥更新后，移动设备向基站另外请求群密钥的更新的情况。也就是说，以上情形是当群密钥被更新时没有接收到群密钥的移动设备之后从基站接收群密钥的情况。

在步骤507，当移动设备请求群密钥的更新时，移动设备发送它自身的ID和群密钥的版本。

在步骤501和502，基站确定移动设备是否属于群或者移动设备的退出时间是否已经到达。

当移动设备属于该群，移动设备的退出时间尚未到达(步骤501和502)，并且群密钥不是以前的版本(步骤503)时，在步骤504，基站就利用对应于所述移动设备的公开密钥加密更新后的群密钥，并将加密的群密钥连同群密钥的版本一起发送给所述移动设备。

在步骤508，移动设备接收到加密的群密钥和群密钥的版本，并利用它自身的私有密钥解密更新后的群密钥。

如图4和图5所示，基站验证移动设备是否属于群和退出时间。为非法获得群密钥，攻击者可能作弊并发送他或她的ID。

当攻击者发送合适的用户的ID，而非她或他自身的ID时，验证将成功，并且将接收到加密的群密钥。然而，由于加密密钥是用适当用户的公开密钥进行加密而不是用攻击者的公开密钥进行加密的，并且攻击者不知道私有密钥，因此攻击者不能解密加密密钥，也就是说，攻击者可能不能获得群密钥。

下面将描述移动设备之间群密钥发送的过程。群密钥发送的过程被分为两部分。这两部分为验证对方移动设备是否属于群的步骤和实际发送群密钥的步骤。

图6a到6b是图解根据本发明实施例的在移动设备之间发送群密钥的过程的流程图。

参考图6a和6b，两个参与群密钥交换的设备被命名为Alice和Bob，假定Alice的群密钥比Bob的群密钥更新，Alice向Bob发送群密钥。

当Alice和Bob都位于彼此通信范围内时，Alice和Bob分别向对方发送他们的验证消息C_A∥t_A∥e_A∥ver_gk,A和C_B∥t_B∥e_B∥ver_gk,B(步骤601和601-1)。

在这种情况下，Alice和Bob为了验证对方，Alice向Bob发送Alice的验证密钥C_A、公开密钥e_A、退出时间t_A以及群密钥版本ver_gk,A。Bob向Alice发送Bob的验证密钥C_B、公开密钥e_B、退出时间t_B以及群密钥版本ver_gk,B。在这种情况下，C_A是Alice的验证密钥，用于验证Alice的公开密钥e_A和退出时间t_A。C_A由密钥分配中心生成，并且被发送给相应的移动设备。C_A可对于基站和属于群的移动设备都是已知的。

此后，Alice和Bob分别从对方接收验证消息(步骤602和602-1)。

Alice和Bob验证退出时间是否晚于当前时间(退出时间的值是否大于当前时间的值)(步骤603和603-1)。

当退出时间晚于当前时间时，也就是说，退出时间大于当前时间(时间上较晚)，就表示Alice和Bob作为该群的成员属于该群。

当当前时间晚于退出时间时，相关用户发送出错消息，并终止当前的算法(步骤611)。

当当前时间早于退出时间时，Alice和Bob就验证对方所发送的验证消息的有效性(步骤604和604-1)，在这种情况下，验证验证消息的方法是验证从Alice的角度看是否成立或者从Bob的角度看是否成立。当关系不成立时，就表示公开密钥不属于对方，或者退出时间是伪造的。

这里，g₁和g₂是生成元，由密钥分配中心生成，并且是Alice订阅该群时接收的整数。另外，x和y作为帮助值，是和帮助值由密钥分配中心生成，并且在相应移动设备订阅群时被提供，用于利用验证密钥验证移动设备的公开密钥和退出时间。e_B是Bob的公开密钥，e_A是Alice的公开密钥。

当验证不成功时，相关用户发送出错消息，并终止当前的算法(步骤611)。

此后，Alice和Bob分别生成会话密钥(步骤605和605-1)。Alice和Bob生成用于加密群密钥的会话密钥。可通过提高从对方所接收的公开密钥到它自身私有密钥的幂值而计算得到会话密钥。也就是说，Alice生成而Bob生成会话密钥被用于加密群密钥。

此后,Alice和Bob确定群密钥是否是对方群密钥和它自身群密钥中的最新版本(步骤606和606-1)，在这种情况下，具有最新版本群密钥的用户变成了发送者，具有最新版本群密钥的用户变成了接收者。

发送者用会话密钥加密群密钥并将加密的群密钥连同群密钥的版本一起发送(步骤608和608-1)，接收者等着接收并接收到用会话密钥加密的群密钥和群密钥的版本(步骤607和607-1)，解密用会话密钥加密的群密钥(步骤609和609-1)，在这种情况下，由Alice和Bob生成的会话密钥是彼此相同的(步骤608)。

假定Alice是发送者，而Bob是接收者。在这种情况下，Alice用会话密钥加密群密钥，并将加密的群密钥连同群密钥的版本一起发送(步骤608)。

此后,Bob等着接收用会话密钥加密的群密钥和群密钥的版本(步骤607-1)，当接收到群密钥和群密钥的版本时，用自身生成的会话密钥解密群密钥(步骤609-1)。

图6中，在移动设备的密钥交换中，由式(2)表示验证的正确性，通过式(2)来建立验证。

$\begin{array}{c}e(C_B,{\mathrm{xy}}^{t_B}{e}_B)\\ =e({g_1}^{\frac{1}{d_B+\mathrm{\α}+{\mathrm{\βt}}_B}},g_2^{\mathrm{\α}}\·g_2^{{\mathrm{\βt}}_B}\·g_2^{d_B})\\ =e({g_1}^{\frac{1}{d_B+\mathrm{\α}+{\mathrm{\βt}}_B}},g_2^{\mathrm{\α}}\·g_2^{{\mathrm{\βt}}_B}\·g_2^{d_B})\\ =e({g_1}^{\frac{1}{d_B+\mathrm{\α}+{\mathrm{\βt}}_B}},g_2^{\mathrm{\α}+{\mathrm{\βt}}_B+d_B})\\ =e{(g_1,g_2)}^{\frac{1}{d_B+\mathrm{\α}+{\mathrm{\βt}}_B}(\mathrm{\α}+{\mathrm{\βt}}_B+d_B)}\\ =e(g_1,g_2)\end{array}$

.....(2)

根据相同的方法，可知道也就是说，当Alice和Bob是正常用户时，Alice和Bob可通过验证式(2)来分别验证对方。

将在下面讲述对于移动设备之间群密钥交换的安全性。

为接收群密钥，要求预定的退出时间晚于当前时间，因此，攻击者为非法获得群密钥，可在预定退出时间上作弊。

Bob为了在预定退出时间上作弊，可用变更t_B或从其它用户(比如，指Trudy)接收C_T∥t_T∥e_T(可通过与Trudy的群密钥交换获得)，用Trudy的验证消息的方法。将分别针对不同情况在下面描述所提议算法的安全性。

首先，下面描述只伪造t_s的情况。

首先，C_B可能不是伪造的。

健壮Diffie-Hellman问题是：当存在两个乘法群G₁和G₂以及同构ψ:G₂→G₁,并且给定输入，例如(对于满足ψ(g₂)=g₁的g₁∈G₁和g₂∈G₂)时，在γ未知的情况下，导出输出x和在这种情况下，γ是给定整数，x是随机整数。在中，γ^k是γ的k次方，而是g₂的γ^k次方。

健壮Diffie-Hellman问题是已知的非常难于解决的问题。也就是说，在攻击者不知道α和β的情况下，要导出x_B、t_B和是很困难的。

另外，在图6的步骤604中，验证失败。因此，当C_B不更改时，应该是伪造的。当在t_B被伪造为t_B′的情况下，d_B变为d_B′时，为验证成功，应该满足d_B+α+βt_B=d_B′+α+βt_B′。

然而，由于β只有密钥分配中心知道，Bob并不知道，因此不能计算出d_B′。只更改t_S的方法是不可能的。

下面描述完整伪造验证消息和使用另一用户的验证消息(C_T,t_T,e_T)的情况。

首先，当另一用户属于该群时，所述另一用户的验证消息可通过验证过程。此后，在图6的步骤604，Alice生成并在步骤608用加密群密钥。

接着，在步骤605-1，Bob需要d_A以生成相同的会话密钥，由于d_A只有Alice知道，而Bob不知道，所以Bob不能生成

也就是说，Bob接收到加密的更新后的群密钥，然而，由于Bob不能解密密码，因此Bob不能获得更新后的群密钥。

图7是图解根据本发明实施例的包含移动设备块配置、基站和密钥分配中心的装置的示意图。

参考图7，装置包括调制解调器710、控制单元720、存储单元730以及密钥管理单元725。控制单元720可控制或包含密钥管理单元725。

调制解调器710是用于和其它装置通信的模块，包括RF处理单元和基带处理单元。RF处理单元将经天线接收的信号转换为基带信号，并给基带处理单元提供基带信号。另外，RF处理单元将来自基带处理单元的基带信号转换为能够在实际无线路径上传输的RF信号，并经天线发送RF信号。

另外，调制解调器710在基站和密钥分配中心的情况下，可包含用于有线通信(回程通信)的有线调制解调器。有线调制解调器包括有线处理单元和基带处理单元。有线处理单元将经有线路径接收的信号转换为基带信号，并给基带处理单元提供基带信号。另外，有线处理单元将来自基带处理单元获得的基带信号转换为能够在实际有线路径上传输的有线信号，并经有线路径发送有线信号。

控制单元720控制装置的整体运行，尤其是控制根据本发明的密钥管理单元725。

存储单元730存储控制装置整体运行的程序和程序运行中生成的临时数据。

首先，对于移动设备，当请求订阅群时，密钥管理单元725向密钥分配中心提供关于退出时间的信息，并从密钥分配中心接收多个密钥。例如，假定移动设备是Alice的设备，密钥管理单元725从密钥分配中心接收密钥g₁、g₂、e_A、d_A、C_A、x、y、GK或ver_gk,A。

另外，密钥管理单元725向基站发送它自身的ID，并接收群密钥，作为对群密钥请求被生成时的响应。

另外，密钥管理单元725在和另一移动设备交换群密钥时，向所述另一移动设备发送验证消息。此后，密钥管理单元725验证验证消息的有效性。当确定验证消息是有效的，并且它自身的群密钥的版本高于所述另一移动设备时，密钥管理单元725就用会话密钥加密它自身的群密钥，并发送加密的结果给所述其他移动设备。在参考图6的叙述中对确定有效性的过程进行了描述。

对于基站，当群密钥已经被更新时，密钥管理单元725将群密钥被更新的事实进行广播。此后，当移动设备请求发送群密钥时，密钥管理单元725验证请求的有效性。此后，密钥管理单元725加密群密钥，并向移动设备发送加密的群密钥。在这种情况下，参考图4和图5描述确定有效性的过程。

对于密钥分配中心，当基站或移动设备请求具体密钥时，密钥管理单元725验证有效性，并向基站或移动设备发送具体的密钥。已经参考图2、3和6描述了关于有效性的确定过程和特定密钥。

根据本发明实施例，可通过使用群密钥来降低数据通信中涉及的通信成本。另外，当群密钥被更新时，还没有从基站接收到群密钥的移动设备可在之后从基站或和该移动设备在同一群中的另外设备接收群密钥。

虽然参考本发明的特定示范实施例对本发明进行了展示和描述，但是本领域技术人员应当理解，在不脱离由所附权利要求书所定义的本发明的精神和范围的前提下，可以在形式上和细节上对其做各种改变。因此，本发明的范围不由本发明的细节描述而定义，而是由所附权利要求书而定义。该范围内的所有差异都将被解释为包含在本发明内。

Claims (30)

1.一种在密钥分配中心中管理群密钥的方法，包括：

从移动设备接收密钥请求；

利用所述密钥请求中所包含的关于退出时间的信息为所述移动设备生成私有密钥；

为所述移动设备生成公开密钥和验证密钥；以及

向所述移动设备发送至少一个包含所生成密钥的密钥。

2.如权利要求1所述的方法，其中，在利用所述密钥请求中包含的关于退出时间的信息为所述移动设备生成私有密钥中，

所述私有密钥不为1，且与p-1互质，其中，p是质数。

3.如权利要求1所述的方法，其中，在为所述移动设备生成所述验证密钥中，

所述验证密钥满足d_A+α+βt_A和p-1互质，其中，p是质数，t_A是移动设备A的退出时间，d_A是移动设备A的私有密钥，α和β是由密钥分配中心生成且只有密钥分配中心知道的给定任意固定整数，其不允许其它基站和移动设备知道。

4.如权利要求1所述的方法，其中，为所述移动设备生成公开密钥和验证密钥利用下列公式：

$e_A=g_2^{d_A},C_A={g_1}^{\frac{1}{d_A+\mathrm{\α}+{\mathrm{\βt}}_A}}$

这里，e_A是移动设备A的公开密钥，g₁和g₂是生成元，C_A是移动设备的验证密钥，t_A是移动设备A的退出时间，d_A是移动设备A的私有密钥，以及α和β是由密钥分配中心生成且只有密钥分配中心知道的给定任意固定整数，其不允许其它基站和移动设备知道。

5.如权利要求1所述的方法，其中，所述至少一个包含所生成密钥的密钥是g₁、g₂、e_A、C_A、x、y、GK、ver_gk,A和d_A中的其中之一，其中，eA是移动设备A的公开密钥，C_A是验证密钥，和是帮助值，ver_gk,A是移动设备A所拥有群密钥的版本值，g₁和g₂是生成元，d_A是移动设备A的私有密钥，GK是群密钥。

6.如权利要求1所述的方法，其中，当退出时间晚于当前时间时，退出时间有效。

7.一种用于管理群密钥的密钥分配中心(KDC)装置，包括：

控制单元，用于利用从移动设备接收到的密钥请求所包含的关于退出时间的信息为所述移动设备生成私有密钥，并且为所述移动设备生成公开密钥和验证密钥，以及

调制解调器，用于从所述移动设备接收群密钥请求并向所述移动设备发送至少一个包含所生成密钥的密钥。

8.如权利要求7所述的装置，其中，当所述控制单元为所述移动设备生成私有密钥时，

所述私有密钥不为1，且与p-1互质，其中，p是质数。

9.如权利要求7所述的装置，其中，在生成所述验证密钥中，

所述验证密钥满足d_A+α+βt_A与p-1互质，其中，p是质数，t_A是移动设备A的退出时间，d_A是移动设备A的私有密钥，α和β是由密钥分配中心生成且只有密钥分配中心知道的给定任意固定整数，其不允许其它基站和移动设备知道。

10.如权利要求7所述的装置，其中，所述控制单元用下列公式为所述移动设备生成公开密钥和验证密钥：

$e_A=g_2^{d_A},C_A={g_1}^{\frac{1}{d_A+\mathrm{\α}+{\mathrm{\βt}}_A}}$

这里，e_A是移动设备A的公开密钥，g₁和g₂是生成元，C_A是移动设备的验证密钥，t_A是移动设备A的退出时间，d_A是移动设备A的私有密钥，以及α和β是由密钥分配中心生成且只有密钥分配中心知道的给定任意固定整数，其不允许其它基站和移动设备知道。

11.如权利要求7所述的装置，其中，所述至少一个包含所生成密钥的密钥是g₁、g₂、e_A、C_A、x、y、GK、ver_gk,A和d_A中的其中之一，这里，e_A是移动设备A的公开密钥，C_A是验证密钥，和是帮助值，ver_gk,A是移动设备A所拥有群密钥的版本值，g₁和g₂是生成元，d_A是移动设备A的私有密钥，GK是群密钥。

12.如权利要求7所述的装置，其中，当退出时间晚于当前时间时，退出时间有效。

13.一种用于在移动设备中管理密钥的方法，包括：

向对方移动设备发送第一验证消息，并从对方移动设备接收第二验证消息；

验证所述第二验证消息是否有效；

当所述第二验证消息有效时，生成会话密钥；

当所述第二验证消息中所包含的群密钥的版本不新于它自身的群密钥版本时，用所述会话密钥加密它自身的群密钥；以及

向所述对方移动设备发送加密的群密钥；

14.如权利要求13所述的装置，还包括：

当所述第二验证消息中所包含的群密钥的版本新于它自身的群密钥版本时，等待从所述对方移动设备接收群密钥；以及

解密所接收到的所述对方移动设备的群密钥。

15.如权利要求13所述的装置，其中，验证所述第二验证消息是否有效包括验证下列公式是否成立：

$e(C_B,{\mathrm{xy}}^{t_B}{e}_B)=e(g_1,g_2)$

其中，g₁和g₂是生成元，是由密钥分配中心生成的整数并且在所述移动设备订阅群时被接收到，x和y是帮助值和帮助值由密钥分配中心生成并且在所述移动设备订阅群时被提供，以及用于利用验证密钥验证所述移动设备的公开密钥和退出时间，e_B是所述对方移动设备的公开密钥，e_A是所述移动设备的公开密钥，t_B所述对方移动设备的退出时间。

16.如权利要求15所述的装置，其中，验证所述第二验证消息是否有效还包括：验证所述第二验证消息中所包含的所述对方移动设备的退出时间是否晚于当前时间。

17.如权利要求13所述的装置，其中，用所述会话密钥加密它自身的群密钥包括利用下列公式：

$S_{\mathrm{AB}}\←e_A^{d_B}$

这里，A是所述移动设备，B是所述对方移动设备，e_B是所述对方移动设备的公开密钥，d_A是A的私有密钥，以及S_AB表示所述会话密钥；.

18.如权利要求13所述的装置，还包括：当所述第二验证消息无效时，向所述对方移动设备发送出错消息。

19.如权利要求13所述的装置，还包括：

在所述第一验证消息被发送给所述对方移动设备之后、从所述对方移动设备接收到所述第二验证消息之前，

向所述密钥分配中心发送密钥请求；并

从密钥分配中心接收至少一个密钥。

20.如权利要求19所述的装置，其中，所述密钥请求包含所述移动设备的退出时间。

21.如权利要求19所述的装置，其中所述至少一个密钥是至少g₁、g₂、e_A、C_A、x、y、GK、ver_gk,A和d_A中的其中之一，其中，e_A是移动设备A的公开密钥，C_A是移动设备A的验证密钥，和是帮助值，ver_gk,A是移动设备A所拥有群密钥的版本值，g₁和g₂是生成元，d_A是移动设备A的私有密钥，GK是群密钥。

22.一种用于管理密钥的移动设备装置，包括：

控制单元，用于生成要发送给对方移动设备的第一验证消息，验证从所述对方移动设备接收到的第二验证消息是否有效，当所述第二验证消息有效时生成会话密钥，并且当所述第二验证消息中所包含的群密钥的版本不新于它自身的群密钥版本时，用所述会话密钥加密它自身的群密钥；以及

调制解调器，用于向所述对方移动设备发送所述第一验证消息，从所述对方移动设备接收所述第二验证消息并向所述对方移动设备发送加密的群密钥。

23.如权利要求22所述的装置，其中，当所述第二验证消息中所包含的群密钥的版本新于它自身的群密钥版本时，所述控制单元等待从所述对方移动设备经所述调制解调器接收群密钥，并解密所接收到的所述对方移动设备的群密钥。

24.如权利要求22所述的装置，其中，当验证为所述第二验证消息是否有效时，所述控制单元验证下列公式是否成立：

$e(C_B,{\mathrm{xy}}^{t_B}{e}_B)=e(g_1,g_2)$

其中，g₁和g₂是生成元，是由密钥分配中心生成的整数并且在所述移动设备订阅群时被接收，x和y是帮助值和所述帮助值由密钥分配中心生成并且在所述移动设备订阅群时被提供，以及用于利用验证密钥验证所述移动设备的公开密钥和退出时间，e_B是所述对方移动设备的公开密钥，e_A是所述移动设备的公开密钥，t_B所述对方移动设备的退出时间。

25.如权利要求24所述的装置，其中，当验证所述第二验证消息是否有效时，所述控制单元验证所述第二验证消息中所包含的所述对方移动设备的退出时间是否晚于当前时间。

26.如权利要求22所述的装置，其中，当它自身的群密钥用所述会话密钥来加密时，所述控制单元利用下列公式：

$S_{\mathrm{AB}}\←e_A^{d_B}$

其中，A是所述移动设备，B是所述对方移动设备，e_B是所述对方移动设备的公开密钥，d_A是A的私有密钥，以及S_AB表示所述会话密钥；

27.如权利要求22所述的装置，其中，当所述第二验证消息无效时，所述控制单元向所述对方移动设备发送出错消息。

28.如权利要求22所述的装置，其中，在所述第一个验证消息被发送给所述对方移动设备之后、从所述对方移动设备接收到所述第二验证消息之前，所述控制单元向密钥分配中心发送密钥请求，并从所述密钥分配中心接收至少一个密钥。

29.如权利要求28所述的装置，其中，所述密钥请求包含所述移动设备的退出时间。

30.如权利要求28所述的装置，其中，所述至少一个密钥是至少g₁、g₂、e_A、C_A、x、y、GK、ver_gk,A和d_A中的其中之一，这里，e_A是移动设备A的公开密钥，C_A是移动设备A的验证密钥，和是帮助值，ver_gk,A是移动设备A所拥有群密钥的版本值，g₁和g₂是生成元，d_A是移动设备A的私有密钥，GK是群密钥。