CN104660415A - 移动云计算下多域间非对称群组密钥协商协议的方法 - Google Patents

Abstract

本发明针对移动云计算网络环境下公开了一种多域间可认证非对称群组密钥协商协议的方法，采用双线性映射及盲密钥技术实现本域密钥管理中心与本域终端之间的短签名机制，用短签名技术实现分布在不同域的终端之间进行多域间群组密钥协商认证机制，进而实现分布在多域间的终端进行非对称群组密钥协商。本发明的协议方法具有匿名性与可认证性，支持节点的动态群组密钥更新,实现了群组密钥向前保密与向后保密的安全性。在双线性计算Diffe-Hellman问题困难假设下，证明了协议的安全性，且该协议的计算和通信能量消耗较低，并具有较好的灵活性、安全性和实用性，适用于移动云计算网络环境下分布在多域的终端进行跨域群组密钥协商。

Description

移动云计算下多域间非对称群组密钥协商协议的方法

技术领域

本发明涉及保密或安全通信的群组密钥协商的技术领域，具体涉及一种移动云计算下多域间非对称群组密钥协商协议的方法，应用于网络安全技术和密码技术领域。

背景技术

移动云计算(Mobile Cloud Computing，MCC)是移动分布式计算高速发展的产物，也可看作是移动互联网与云计算相互融合的信息技术。它集成了移动计算、移动网络和云计算的优点。移动云计算使得客户端突破硬件的限制，方便快捷的获得其需要的服务，通过手机、PC及其它终端访问同一数据源或关系源，可以将好友关系从PC对PC的模式，扩展得更加宽广。移动云计算在便捷的数据存取、智能均衡负载、节省服务开销及大规模协同计算方面有着较大的优势。

最近微软、苹果、Google、HTC等厂商相继推出移动云服务，云计算也开始了从桌面向移动市场的转移。移动云计算的应用越来越广泛，如通过移动过设备进行视频会议、多方信息交换、文件共享与分发及群聊天等，保障这些群组信息交换及秘密共享安全的关键技术之一就是群组成员之间建立一种信息传播的安全信道。群组密钥协商(Group Key Agreement，GKA)技术就是群组成员在公开的网络系统上协商出用于群组之间安全通信的群组密钥，通过加密群组的通信信息来保障群组之间信息交换及秘密共享的安全。因此，设计一种适用于移动云计算环境中群组密钥协商协议对移动云计算的安全应用及发展具有重要的意义。

目前，面向移动云计算环境下多域之间的群组密钥协商的研究尚未出现。一系列的挑战性问题有待解决，包括移动计算环境下群组密钥协商的安全性、匿名性、可扩展性与效率。虽然对群组密钥协商的研究已分别有一些工作，但在移动云计算环境下如何实现多域间群组密钥协商，包括密钥协商过程中多域间可认证性、匿名性、可追踪性等方面的工作尚无先例。

发明内容

本发明要解决的技术问题是提供一种移动云计算下多域间非对称群组密钥协商协议的方法，采用双线映射及盲密钥技术实现短签名、盲认证的方案，用于分布在多域群组成员在协商群组会话密钥前必须经过的签名认证及跨域认证技术，且每个参与群组密钥协商的成员在群组密钥协商过程中可计算一对群组密钥，即群组用于加密信息的公钥和群组用于解密信息的秘密密钥，以实现非对称密码系统的安全通信。该方法还考虑了群组成员的动态性，方案采用单个群组成员更换密钥因子实现群组密钥的动态更新，以便群组成员的退出及新成员的加入。因此，该方法对具有终端分布多域性、终端移动灵活性、终端跨域通信频繁性及终端通信安全的严峻性等特点的移动云计算网络，使得分布在多域的终端群组之间建立一种安全秘密通信信道，保障群组之间的安全秘密通信，实现移动云计算下分布在多个域的终端进行非对称可认证群组密钥协商。

本发明的技术方案是：一种移动云计算下多域间非对称群组密钥协商协议的方法，采用盲密钥与多重签名技术实现移动云计算下多域间群组密钥协商的盲签名认证，将盲签名认证过程中的通信信息作为多域间群组密钥协商过程中的群组密钥参数及群组密钥自证实一致性验证的密钥因子；所述多域间群组密钥协商的盲签名认证的步骤为：

A)域认证中心CA_j向其域内群组成员u_j,k(1≤j≤R,1≤k≤n)发送带有域认证中心的私钥及联盟域密钥SK_alli的盲签名密钥函数；

B)域内群组成员u_j,k用自己的私钥对盲密钥函数进行盲签名，获得一个双盲签名函数，并将该签名函数值发送给域认证中心CA_j；

C)域认证中心CA_j收到域内成员的盲签名函数后，对盲签名函数进行脱盲计算处理，通过验证签名的正确性来认证各成员身份的真实性；

D)域认证中心CA_j验证各群组成员的真实身份后，将脱盲计算处理的密钥函数发送给各成员u_j,k，以便在后续群组密钥协商过程中进行身份认证；

所述多域间群组密钥协商的步骤包括：

E)参与群组密钥协商的每个成员u_j,k随机选择多域群组秘钥协商过程中所需要的秘钥参数及对该秘钥参数进行签名，将这些密钥参数、签名及域认证中心发送的盲签名密钥函数发送给参与群组密钥协商的其他成员u_i,k(1≤i≤R,i≠j)；

F)参加群组密钥协商的其他成员u_i,k(1≤i≤R,i≠j)，收到成员u_j,k的发送的消息后，对成员u_j,k进行身份认证；

G)每个其他成员u_i,k验证所有成员u_j,k(1≤j≤R)的身份后，如果验证正确，则成员u_j,k发送的密钥参数连同自己的密钥参数一起计算出一对非对称的共享群组密钥；

所述群组共享秘钥自证实一致性验证的步骤包括：

H)群组各成员u_i,k计算出共享群组密钥后，可自证实所计算的群组密钥是否一致，即计算的群组密钥是否相同。

所述移动云网络包含R个域，域名分别为D_j(1≤j≤R)，成员的实体集合表示为U_j＝{u_j,1,u_j,2,…,u_j,n}，对应的群组成员的身份集合表示为其中n为域中参加密钥协商的成员个数。

所述域认证中心CA_j采用双线性映射的方法计算联盟域密钥SK_alli。

所述双线性映射的方法为：加法群G₁和乘法群G₂上的离散对数的计算是困难的，加法群G₁和乘法群G₂具有相同阶为大素数q的循环群；G₁＝<g₁>，g₁为G₁的生成元；e是可计算的双线性映射，e:G₁×G₁→G₂，两个散列函数H₁,H₂:{0,1}*→G₁。

所述域D_j的认证中心CA_j随机选取主密钥计算作为公钥，即认证中心CA_j的公/私密钥对为计算的联盟公/私密钥对为(PK_alli,SK_alli)；认证中心CA_j的任意成员u_j,k随机选择参数计算 $s_{u_{j,k}}=H_1\left({\mathrm{id}}_{u_{j,k}}\right),$ 私钥为 ${\mathrm{Sk}}_{u_{j,k}}={\mathrm{\&gamma;}}_{j,k}{s}_{u_{j,k}},$ 公钥为 ${\mathrm{Pk}}_{u_{j,k}}={\mathrm{Sk}}_{u_{j,k}}{g}_1,$ 生成成员u_j,k自身的公/私密钥对为

对于任意的域D_j中的任意成员u_j,k，所述多域间群组密钥协商的签名认证的步骤为：

1)域D_j中的任意成员u_j,k将自己的身份信息及对应的公钥发送至所属的域认证中心CA_j进行注册；

2)域认证中心CA_j随机选取参数用自己的私钥及计算的联盟私钥SK_alli计算盲参数并将的计算结果发送给成员u_j,k；

3)成员u_j,k用自己的私钥及域认证中心CA_j发送的盲参数计算并发送的计算结果给域认证中心CA_j；

4)域认证中心CA_j计算 $r_{u_{j,k}}={\mathrm{\&eta;}}^{-1}{f}_{u_{j,k}},$ 并验证 $e(r_{u_{j,k}},{\mathrm{PK}}_{\mathrm{alli}}+{\mathrm{PK}}_{{\mathrm{CA}}_j})=e({\mathrm{Pk}}_{u_{j,k}},g_1)$ 是否成立，如果认证通过，则将作为一个注册密钥发送给u_j,k，注册成功。

设每个域都有第k个成员参加群组密钥协商，参加密钥协商的成员集合可表示为U＝{u_1,k,u_2,k,...,u_j,k}，所述群组密钥协商如下：

1)每个参与密钥协商成员u_j,k(1≤j≤R)随机选取计算 $M_{i,k}=m_{j,k}{\mathrm{Pk}}_{u_{i,k}}(1\&le;i\&le;R,i\&NotEqual;j);$

2)密钥协商成员u_j,k广播消息每个参与密钥协商的其他成员u_i,k计算及

3)群组加密密钥计算，任意其他成员u_i,k收到所有其他组成员u_j,k(1≤j≤R,j≠i)的广播信息后，u_i,k计算出相关的参数并进行如下身份验证：如果等式不成立，则验证失败，发布身份验证失败的成员信息，并报告出错；否则认证通过；

4)如果群组所有成员全部验证通过，则群组各成员u_i,k∈U可计算出δ_i,k＝m_i,kg₁及群组解密密钥 ${\mathrm{dk}}_{u_{i,k}}^{\mathrm{\&pi;}}={\mathrm{Sk}}_{u_{i,k}}^{-1}{\mathrm{\&Omega;}}_{i,k}=\underset{1=j}{\overset{R}{\mathrm{\&Sigma;}}}{m}_{j,k}{g}_1;$

5)群组加密密钥计算，各成员u_i,k∈U验证其他成员u_j,k(j≠i)的身份时即可计算群组加密密钥 ${\mathrm{ek}}_{u_i}^{\mathrm{\&pi;}}=\left(\underset{1=j,j\&NotEqual;i}{\overset{R}{\mathrm{\&Pi;}}}e(T_{j,k},({\mathrm{PK}}_{{\mathrm{CA}}_j}+{\mathrm{PK}}_{\mathrm{alli}}))\right)\&CenterDot;e({\mathrm{Pk}}_{u_{i,k}},{\mathrm{\&delta;}}_{i,k})=\underset{1=j}{\overset{R}{\mathrm{\&Pi;}}}e({\mathrm{Pk}}_{u_{j,k}},{\mathrm{\&delta;}}_{j,k})$ 及 $\mathrm{\&Gamma;}=\underset{j=1}{\overset{R}{\mathrm{\&Sigma;}}}{\mathrm{Pk}}_{u_{j,k}}.$

本发明与现有技术相比，具有如下优点：

①跨域性：移动云网络终端具有分布范围广、网络异构化、移动频繁性等特点，多域群组密钥协商使得分布在再同域的终端再进行群组密钥协商过程中没有管理域的界限。

②非对称性：即群组成员能协商出一致的群组加密密钥和群组解密密钥，能实现群组之外的成员给群组内部发送秘密信息。

③可匿名性：匿名有利于移动网络终端的个人隐私保护。

附图说明

图1为实施例一的结构示意图。

图2为实施例一多域间群组密钥协商的流程。

具体实施方式

下面结合附图，具体说明本发明的实施方式。

实施例一

本实施方式中，移动云计算网络包括多个域，参与群组密钥协商的成员可能来自于不同的域，如图1所示。群组中各域之间的成员通过在公开信道上传递密钥参数，每个成员收到的密钥参数后，通过进行算获得群组加密密钥和群组解密密钥。群组密钥协商可分为两个阶段：一是协商前的身份认证，二是群组密钥协商。假设移动云网络包含R个域，域名为D_j(1≤j≤R)，域中参加密钥协商的成员个数最多为n个，成员的实体集合表示为U_j＝{u_j,1,u_j,2,",u_j,n}，对应的群组成员的身份集合表示为 ${\mathrm{ID}}_j=\{{\mathrm{id}}_{u_{j,1}},{\mathrm{id}}_{u_{j,2}},\&CenterDot;\&CenterDot;\&CenterDot;,{\mathrm{id}}_{u_{j,n}}\}.$

1.本发明是基于双线映射的，其理论基础概述如下：

首先给出双线性映射的定义，假设G₁是加法群，G₂是乘法群，且G₁和G₂上的离散对数的计算是困难的。群G₁和G₂是一对双线性群，其阶为大素数q。设G₁＝<g₁>，其生成元为g₁，e是可计算的映射，e:G₁×G₁→G₂，其满足如下性质：

(1)双线性：

e(u₁+u₂,v)＝e(u₁,v)e(u₂,v)；

e(u,v₁+v₂)＝e(u,v₁)e(u,v₂)；

e(au,bv)＝e(u,v)^ab。

其中，u,u₁,u₂,v,v₁,v₂∈G₁；即a，b是属于含有任意长度、元素个数为q的整数集

(2)非退化性：如果g₁是加法群G₁的生成元，则e(g₁,g₁)≠1。

(3)可计算性：存在有效的算法，对于生成元g₁∈G₁，g₂∈G₁可计算e(g₁,g₂)。

定义1：双线性离散对数问题(Bilinear Discrete Logarithm problem，BDLP)是：给定一等式Y＝aP，其中Y,P∈G₁，a<q，已知a和P计算Y容易，但是已知P和Y计算a是困难的。

定义2：双线性Diffe-Hellman逆问题(Bilinear Inverse Diffe-Hellman Problem，BIDHP)是：给定元素g₁,ag₁，cg₁∈G₁，求解问题，其中

定义3：改进的双线性Diffe-Hellman逆问题(Modified Bilinear InverseDiffe-Hellman Problem，MBIDHP)是：给定元素g₁,ag₁,bg₁,cg₁∈G₁求解问题，其中

2.本发明相关的定义

有关群组密钥协商协议的几种状态定义如下，其他情况超出本文研究范围。

定义4(成功结束)：一个群组密钥协商协议Π成功结束，如果对集合U_j(1≤j≤R)中任意群组成员u_j,k(1≤j≤R,1≤k≤n)，以及对应的群组成员的身份集合ID_j，有:1)u_j,k∈U_j,u_t,i∈U_t(1≤t≤R,1≤k≤n),且2)每个密钥协商参与者u_i,j拥有一个实例包括3) ${\mathrm{pid}}_{u_{j,k}}^{\mathrm{\&pi;}}={\mathrm{pid}}_{u_{t,i}}^{{\mathrm{\&pi;}}^{\&prime;}},{\mathrm{sid}}_{u_{j,k}}^{\mathrm{\&pi;}}={\mathrm{sid}}_{u_{t,i}}^{{\mathrm{\&pi;}}^{\&prime;}},{\mathrm{ek}}_{u_{j,k}}^{\mathrm{\&pi;}}={\mathrm{ek}}_{u_{t,i}}^{{\mathrm{\&pi;}}^{\&prime;}}.$ 其中，iID_j是实体集合U_j的身份集合，iID_t是实体集合U_t的身份集合；是会话的身份信息，是其伙伴的身份信息，为群组加密密钥，为群组解密密钥。

定义5(正确性)：一个群组密钥协商协议是正确的，如果：1)对于密钥协商的任意群组成员u_j,k,(u_i,k∈U_i,1≤j≤R,1≤k≤n)参与密钥协商前都认证通过；2)对进行群组密钥协商的中任意成员u_j,k，用其自身计算出来的群组加密密钥进行加密消息空间中的任意明文消息m，生成相应的密文消息使得群组中参加密钥协商的其它成员能够用其自身计算出的群组解密密钥解密出相应的明文消息m，即 ${\mathrm{dk}}_{u_{t,i}}^{{\mathrm{\&pi;}}^{\&prime;}}\left({\mathrm{ek}}_{u_{j,k}}^{\mathrm{\&pi;}}\left(m\right)\right)={\mathrm{dk}}_{u_{j,k}}^{\mathrm{\&pi;}}\left({\mathrm{ek}}_{u_{t,i}}^{{\mathrm{\&pi;}}^{\&prime;}}\left(m\right)\right)=m.$

定义6(非对称性)：一个群组密钥协商协议Π是非对称的，如果该密钥协商成功结束，且有 ${\mathrm{ek}}_{u_{j,k}}^{\mathrm{\&pi;}}={\mathrm{ek}}_{u_{t,i}}^{{\mathrm{\&pi;}}^{\&prime;}},{\mathrm{ek}}_{u_{j,k}}^{\mathrm{\&pi;}}\&NotEqual;{\mathrm{dk}}_{u_{j,k}}^{\mathrm{\&pi;}}$ 或 ${\mathrm{ek}}_{u_{t,i}}^{{\mathrm{\&pi;}}^{\&prime;}}\&NotEqual;{\mathrm{dk}}_{u_{t,i}}^{{\mathrm{\&pi;}}^{\&prime;}},$ 其中 分别是任意两个参加密钥协商的成员u_j,k、u_t,i计算出来的群组公/私密钥对。

如图2所示，本实施方式按照以下步骤实现移动非平衡网络可认证非对称群组密钥协商。

3.多域间非对称群组密钥协商协议

(1)初始化

移动云网络包含R个域，域名分别为D_j(1≤j≤R)，成员的实体集合表示为U_j＝{u_j,1,u_j,2,…,u_j,n}，其中n为域中参加密钥协商的成员个数；对应的群组成员的身份集合表示为G₁是加法群，G₂是乘法群，且G₁和G₂上的离散对数的计算是困难的。设G₁＝<g₁>，g₁为G₁的生成元。G₁和G₂具有相同阶为大素数q的循环群，e是可计算的双线性映射，且e:G₁×G₁→G₂。域D_j的认证中心(Certification Authority，CA)CA_j随机选取作为主密钥，计算作为公钥。H₁,H₂:{0,1}*→G₁为两个散列函数。系统的参数为params＝(q,G₁,G₂,g₁,e,H₁,H₂)。

(2)终端注册方案

本文采用基于身份的盲注册(identity-based blind register)思想，每个域都有自己的CA，各成员用自己的身份在各自的域认证机构进行盲注册。来自于各域的成员在参加密钥协商之前都必须进行身份验证，方可参加群组密钥协商的安全计算。

假设u_j,k(1≤j≤R,1≤k≤n)为任意域D_j中的任意成员，j表示所在的域，k表示域D_j的第k个成员。u_j,k随机选择参数计算 ${\mathrm{Sk}}_{u_{j,k}}={\mathrm{\&gamma;}}_{j,k}{s}_{u_{j,k}},{\mathrm{Pk}}_{u_{j,k}}={\mathrm{Sk}}_{u_{j,k}}{g}_1,$ 生成自身的公/私密钥对为u_j,k的域认证中心CA_j的公/私密钥对表示为移动云网络中各域之间计算的联盟公/私密钥对为(PK_alli,SK_alli)。每个域中的成员注册步骤如下：

1)域D_j中的任意成员u_j,k将自己的身份信息及对应的公钥发送至所属的域认证中心CA_j进行注册；

2)域认证中心CA_j随机选取参数用自己的私钥及计算的联盟私钥SK_alli计算一个盲参数并将f_CAj的计算结果发送给成员u_j,k；

3)成员u_j,k用自己的私钥及域认证中心CA_j发送的盲参数计算并发送的计算结果给域认证中心CA_j；

4)域认证中心CA_j计算并验证是否成立，如果认证通过，则将作为一个注册密钥发送给u_j,k，注册成功。每个群成员的注册密钥是公开的。

(3)密钥协商协议

这一阶段，参加群组密钥协商的成员将计算出群组之间进行秘密通信时所需要的加密和解密密钥。对于有R个域，每个域有n个成员的云网络，则云网络中的成员可用集合Φ＝{u_j,k|1≤j≤R,1≤k≤n}表示，其中j表示成员u_j,k所在的域为D_j,k表示成员u_j,k在域D_j中为第k个成员。为方便阐述，且实现多域间群组密钥协商，假设每个域都有第k个成员参加群组密钥协商，参加密钥协商的成员集合可表示为U＝{u_1,k,u_2,k,...,u_j,k}。密钥协商如下：

1)每个参与密钥协商成员u_j,k(1≤j≤R)随机选取明文信息计算 $T_{j,k}=m_{j,k}{r}_{u_{j,k}},M_{i,k}=m_{j,k}{\mathrm{Pk}}_{u_{i,k}}(1\&le;i\&le;R,i\&NotEqual;j).$

2)密钥协商成员u_j,k广播消息每个参与密钥协商的其他成员u_i,k计算及 的计算过程如表1中的信息，且不对外广播，只有成员u_i,k可计算出

表1 用于生产加密/解密密钥的参数

3)群组加密密钥计算。任意其他成员u_i,k收到所有其他组成员u_j,k(1≤j≤R,j≠i)的广播信息后，成员u_i,k计算出相关的参数并进行如下身份验证：如果等式不成立，则验证失败，发布身份验证失败的成员信息，并报告出错；否则认证通过。

4)如果群组所有成员全部验证通过，则群组各成员u_i,k∈U可计算出δ_i,k＝m_i,kg₁及群组解密密钥 ${\mathrm{dk}}_{u_{i,k}}^{\mathrm{\&pi;}}={\mathrm{Sk}}_{u_{i,k}}^{-1}{\mathrm{\&Omega;}}_{i,k}=\underset{1=j}{\overset{R}{\mathrm{\&Sigma;}}}{m}_{j,k}{g}_1.$

5)群组加密密钥计算。各成员u_i,k∈U验证其他成员u_j,k(j≠i)的身份时即可计算群组加密密钥 ${\mathrm{ek}}_{u_i}^{\mathrm{\&pi;}}=\left(\underset{1=j,j\&NotEqual;i}{\overset{R}{\mathrm{\&Pi;}}}e(T_{j,k},({\mathrm{PK}}_{{\mathrm{CA}}_j}+{\mathrm{PK}}_{\mathrm{alli}}))\right)\&CenterDot;e({\mathrm{Pk}}_{u_{i,k}},{\mathrm{\&delta;}}_{i,k})=\underset{1=j}{\overset{R}{\mathrm{\&Pi;}}}e({\mathrm{Pk}}_{u_{j,k}},{\mathrm{\&delta;}}_{j,k})$ 及 $\mathrm{\&Gamma;}=\underset{j=1}{\overset{R}{\mathrm{\&Sigma;}}}{\mathrm{Pk}}_{u_{j,k}}.$ 4密钥一致性验证

各成员u_j,k计算出群组解密密钥后，需验证密钥是否正确。通过方程来验证密钥的正确性，如果计算无误，则等式是成立的；否则需重新计算，或广播错误报告，群组加密密钥可以公开。

5节点加入群组事件的群组密钥更新协议

假设当前群组成员的集合为U＝{u_1,k,u_2,k,...,u_R,k}(1≤k≤n)，为描述方便，以一个成员的加入代替多个成员的加入来阐述。假设要加入的新成员为u_j,i(1≤j≤R,1≤i≤n,i≠k)，新的群组成员集合为U'＝U∪{u_j,i}＝{u_1,k,u_2,k,...,u_R,k,u_j,i}。集合内U确定编号最大的成员为密钥更新发起人，即编号最大的成员u_R,k发起群组密钥更新协议，步骤如下：

1)成员u_R,k随机选取明文信息计算 $M_{j,k}^{\&prime;}=m_{R,k}^{\&prime;}{\mathrm{Pk}}_{u_{j,k}}(1\&le;j\&le;R-1),$ 及 $M_{R,k}=m_{R,k}{\mathrm{Pk}}_{u_{R,k}},$ 成员u_R,k广播消息并宣布有新成员u_j,i加入群组。

2)群组内参与密钥协商的其它成员u_j,k收到广播后，成员u_j,k计算出相关的参数并进行如下身份验证如果等式不成立，报告出错；否则认证通过，计算 $F_{R,k}=m_{R,k}^{\&prime;}{g}_1+{\mathrm{dk}}_{u_{j,k}}^{\mathrm{\&pi;}}.$

3)参与密钥协的新成员u_j,i随机选取计算 $M_{t,k}^{\&prime;}=m_{j,i}^{\&prime;}{\mathrm{Pk}}_{u_{t,k}}(t=\mathrm{1,2},\&CenterDot;\&CenterDot;\&CenterDot;,R,i\&NotEqual;k),$ 并广播消息

4)群组其它成员u_t,k(t＝1,2,...,R,i≠k)收到广播消息后，计算并进行如下身份验证：如果等式不成立，报告出错；否则认证通过。每个成员u_t,k(k≠i)可计算出

5)成员u_R,k随机选择计算计算 ${\mathrm{\&beta;}}_{R,k}=F_{R,k}+{\mathrm{\&lambda;}}_{R,k}^{\&prime;}{g}_1,\mathrm{\&alpha;}={\mathrm{\&lambda;}}_{R,k}^{\&prime;}{\mathrm{Pk}}_{u_{j,i}},$ 并将(α,β_R,k)发送给新加入成员u_j,i。

6)群组解密密钥计算：群组内原成员u_t,k(1≤t≤R)可计算出新的群组解密密钥新成员u_j,i可计算及新的群组解密密钥

7)群组加密密钥计算：群组所有成员可计算出新的群组加密密钥 ${\mathrm{ek}}_{u_j}^{{\mathrm{\&pi;}}^{\&prime;}}=e({T^{\&prime;}}_{R,k},({\mathrm{PK}}_{{\mathrm{CA}}_R}+{\mathrm{PK}}_{\mathrm{alli}}))e({T^{\&prime;}}_{j,i},({\mathrm{PK}}_{{\mathrm{CA}}_j}+{\mathrm{PK}}_{\mathrm{alli}}))\&CenterDot;{\mathrm{ek}}_{u_j}^{\mathrm{\&pi;}}.$

6群组成员退出群组的群组密钥更新协议

当群组某个成员或部分成员退出群组时，为了保障群组之间的安全通信，更新原有的群组密钥是有必要的。假设当前群组成员的集合为U＝{u_1,k,u_2,k,...,u_R,k}(1≤k≤n)，为了描述简单，假设退出群组的成员集合只有一个节点u_l,k(2<l<n)，剩余群组成员集合为U″＝U-{u_l,k}＝{u_1,k,u_2,k,...,u_l-1,k,u_l+1,k...,u_R,k}。群组成员的集合U内确定编号最大的成员为密钥更新发起人，即编号最大的成员u_R,k发起群组密钥更新协议，群组成员退出协议如下：

1)退出成员u_l,k广播信息(id_l,uk,T_l,k,M_i,k,D_l)(1≤i≤R,l≠i)，并宣布退出。

2)编号最大的成员u_R,k计算并验证等式是否成立。如果成立，u_R,k随机选取计算 $T_{R,k}^{\&prime;\&prime;}=m_{R,k}^{\&prime;\&prime;}{r}_{u_{R,k}},0,M_{j,k}^{\&prime;\&prime;}=m_{R,k}^{\&prime;\&prime;}{\mathrm{Pk}}_{u_{j,k}}(j=\mathrm{1,2},\&CenterDot;\&CenterDot;\&CenterDot;,l-1,l+1,\&CenterDot;\&CenterDot;\&CenterDot;,R-1),$ 及 ${{\mathrm{\&Gamma;}}^{\&prime;\&prime;}}_{R,k}={\mathrm{\&Gamma;}}_{R,k}-{\mathrm{Pk}}_{u_{l,k}}=\underset{t=1,t\&NotEqual;i}{\overset{R}{\mathrm{\&Sigma;}}}{\mathrm{Pk}}_{u_{t,k}},$ 并广播消息发起密钥更新协议。

3)群组参与密钥协商的剩余成员u_j,k(1≤j<R,j≠l)收到u_l,k及u_R,k的广播后，成员u_j,k计算出相关的参数并进行如下身份验证：如果等式不成立，报告出错，否则计算Ω″_j,k＝Ω_j,k-M_j,k及 ${{\mathrm{\&Gamma;}}^{\&prime;\&prime;}}_{j,k}={\mathrm{\&Gamma;}}_{j,k}-{\mathrm{Pk}}_{u_{l,k}}=\underset{t=1,t\&NotEqual;i}{\overset{R}{\mathrm{\&Sigma;}}}{\mathrm{Pk}}_{u_{t,k}}.$

4)群组解密密钥计算：群组成员u_j,k(1≤j<R,j≠l)可计算出及群组解密密钥成员u_R,k可计算群组解密密钥

5)群组加密密钥计算：群组成员u_j,k(1≤j<R,j≠l)可计算出群组加密密钥成员u_R,k可计算出新的群组加密密钥 ${\mathrm{ek}}_{u_{R,k}}^{{\mathrm{\&pi;}}^{\&prime;\&prime;}}=e({\mathrm{dk}}_{u_{j,\mathrm{\&beta;}}}^{{\mathrm{\&pi;}}^{\&prime;}},{{\mathrm{\&Gamma;}}^{\&prime;\&prime;}}_{R,k}+{\mathrm{Pk}}_{u_{R,k}})$

7群组秘密通信

1)加密。对任意明文信息(为明文空间)，群组内外知道群组公钥的任意成员u_j,k可以向群组发送群组公钥加密的秘密信息。密文生成步骤如下：

①成员u_j,k选择一个随机数计算

②输出密文消息

2)解密。对于群组成员u_t,i收到密文可用其计算出群组解密密钥并能解密出明文信息：

通过此多域群组密钥协商，多域间群组成员可安全的进行秘密通信。

实施例二

为了说明本发明的内容及实施方法，给出了一个具体实施例。本实施方式中，移动云计算网络包括2个域。在实施例中引入细节的目的不是限制权利要求书的范围，而是帮助理解本发明的方法。本领域的技术人员应理解：在不脱离本发明及其所附权利要求的精神和范围内，对最佳实施例步骤的各种修改、变化或替换都是可能的。因此，本发明不应局限于最佳实施例及附图所公开的内容。

(1)初始化

移动云网络中2个域的域名分别为D₁和D₂，参加多域间群组密钥协商的成员分别为来自于D₁域中的成员u_1,1及来自于域D₂中的成员u_2,2，对应的群组成员的身份集合表示为设G₁是加法群，G₂是乘法群，且G₁和G₂上的离散对数的计算是困难的。设G₁＝<g₁>，g₁为G₁的生成元。G₁和G₂具有相同阶为大素数q的循环群，e是可计算的双线性映射，e:G₁×G₁→G₂。域D_j的认证中心(Certification Authority，CA)CA_j(1≤j≤2)随机选取作为主密钥，计算作为公钥。CA₁和CA₂通过多线性映射技术计算的联盟域密钥为H₁,H₂:{0,1}*→G₁为两个散列函数。系统的参数为params＝(q,G₁,G₂,g₁,e,H₁,H₂)。

(2)终端注册方案

设u_j,k(1≤j≤2,1≤k≤2)为任意域D_j中的任意成员，j表示所在的域，k表示域在第k个成员。成员u_j,k随即选择参数计算 ${\mathrm{Sk}}_{u_{j,k}}={\mathrm{\&gamma;}}_{j,k}{s}_{u_{j,k}},{\mathrm{Pk}}_{u_{j,k}}={\mathrm{Sk}}_{u_{j,k}}{g}_1,$ 生成自身的公/私密钥对为u_j,k的域认证中心CA_j的公/私密钥对表示为移动云网络中各域之间计算的联盟公/私密钥对为(PK_alli,SK_alli)。每个域中的成员注册步骤如下：

1)D₁域中的成员u_1,1将自己的身份信息及对应的公钥发送至所属的域认证中心CA₁进行注册。

2)域认证中心CA₁随机选取参数用自己的私钥及计算的联盟私钥SK_alli，计算一个盲参数并将结果计算发送给u_1,1。

3)成员u_1,1用自己的私钥及域认证中心CA₁发送的盲参数计算并发送的计算结果给域认证中心CA₁；

4)域认证中心CA₁计算并验证 $e(r_{u_{\mathrm{1,1}}},{\mathrm{PK}}_{\mathrm{alli}}+{\mathrm{PK}}_{{\mathrm{CA}}_1})=e({\mathrm{Pk}}_{u_{\mathrm{1,1}}},g_1)$ 是否成立，如果认证通过则将作为一个注册密钥发送给成员u_1,1，u_1,1注册成功。同理，成员u_2,2进行同样的注册。

(3)密钥协商协议

成员u_1,1和u_2,2通过上述终端注册方案注册之后，可进行如下步骤的密钥协商如下：

1)每个参与密钥协商成员u_1,1随机选取明文信息计算 $T_{\mathrm{1,1}}=m_{\mathrm{1,1}}{r}_{u_{\mathrm{1,1}}},M_{\mathrm{2,2}}=m_{\mathrm{1,1}}{\mathrm{Pk}}_{u_{\mathrm{2,2}}},$ 同理，对成员u_2,2可计算 $T_{\mathrm{2,2}}=m_{\mathrm{2,2}}{r}_{u_{\mathrm{2,2}}},M_{\mathrm{1,1}}=m_{\mathrm{2,2}}{\mathrm{Pk}}_{u_{\mathrm{1,1}}}.$

2)成员u_1,1广播消息每个参与密钥协商的其他成员u_2,2可得到实例一中表1的信息，并可计算及不对外广播，只有成员u_2,2可计算出同理，成员u_1,1收到成员u_2,2的广播消息后可计算出

3)成员u_2,2收到其他组成员u_1,1的广播信息后，计算出相关的参数并进行如下身份验证：如果等式不成立，则验证失败。发布身份验证失败的成员信息，并报告出错；否则认证通过，同理，成员u_1,1也将验证成员u_2,2的身份。

4)如果群组所有成员全部验证通过，则群组成员u_2,2可计算出δ_2,2＝m_2,2g₁及群组解密密钥 ${\mathrm{dk}}_{u_{\mathrm{2,2}}}^{\mathrm{\&pi;}}={\mathrm{Sk}}_{u_{\mathrm{2,2}}}^{-1}{\mathrm{\&Omega;}}_{\mathrm{2,2}}=m_{\mathrm{1,1}}{g}_1+m_{\mathrm{2,2}}{g}_{1,}$ 同理，成员u_1,1可计算群组解密密钥 ${\mathrm{dk}}_{u_{\mathrm{1,1}}}^{\mathrm{\&pi;}}={\mathrm{Sk}}_{u_{\mathrm{1,1}}}^{-1}{\mathrm{\&Omega;}}_{\mathrm{1,1}}=m_{\mathrm{2,2}}{g}_1+m_{\mathrm{1,1}}{g}_1.$

5)群组加密密钥计算。成员u_2,2在验证对方成员u_1,1的身份时，即可计算群组加密密钥 ${\mathrm{ek}}_{u_2}^{\mathrm{\&pi;}}=e(T_{\mathrm{1,1}},({\mathrm{PK}}_{{\mathrm{CA}}_1}+{\mathrm{PK}}_{\mathrm{alli}})\&CenterDot;e({\mathrm{Pk}}_{u_{\mathrm{2,2}}},{\mathrm{\&delta;}}_{\mathrm{2,2}})=e({\mathrm{Pk}}_{u_{\mathrm{1,1}}},{\mathrm{\&delta;}}_{\mathrm{1,1}})e({\mathrm{Pk}}_{u_{\mathrm{2,2}}},{\mathrm{\&delta;}}_{\mathrm{2,2}})$ 及同理，成员u_1,1也可计算出群组加密秘钥 ${\mathrm{ek}}_{u_1}^{\mathrm{\&pi;}}=e(T_{\mathrm{2,2}},({\mathrm{PK}}_{{\mathrm{CA}}_2}+{\mathrm{PK}}_{\mathrm{alli}})\&CenterDot;e({\mathrm{Pk}}_{u_{\mathrm{1,1}}},{\mathrm{\&delta;}}_{\mathrm{1,1}})=e({\mathrm{Pk}}_{u_{\mathrm{2,2}}},{\mathrm{\&delta;}}_{\mathrm{2,2}})e({\mathrm{Pk}}_{u_{\mathrm{1,1}}},{\mathrm{\&delta;}}_{\mathrm{1,1}})$ 及 $\mathrm{\&Gamma;}={\mathrm{Pk}}_{u_{\mathrm{1,1}}}+{\mathrm{Pk}}_{u_{\mathrm{2,2}}}.$

6)密钥一致性验证。成员u_1,1和u_2,2计算出群组解密密钥后，需验证密钥是否正确，通过方程来验证密钥的正确性。如果计算无误，则等式是成立的；否则需重新计算，或广播错误报告，群组加密密钥可以公开。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求书的保护范围为准。

Claims (7)

1.一种移动云计算下多域间非对称群组密钥协商协议的方法，其特征在于：采用盲密钥与多重签名技术实现移动云计算下多域间群组密钥协商的盲签名认证，将盲签名认证过程中的通信信息作为多域间群组密钥协商过程中的群组密钥参数及群组密钥自证实一致性验证的密钥因子；所述多域间群组密钥协商的盲签名认证的步骤为：

A)域认证中心CA_j向其域内群组成员u_j,k(1≤j≤R,1≤k≤n)发送带有域认证中心的私钥及联盟域密钥SK_alli的盲签名密钥函数；

B)域内群组成员u_j,k用自己的私钥对盲密钥函数进行盲签名，获得一个双盲签名函数，并将该签名函数值发送给域认证中心CA_j；

C)域认证中心CA_j收到域内成员的盲签名函数后，对盲签名函数进行脱盲计算处理，通过验证签名的正确性来认证各成员身份的真实性；

D)域认证中心CA_j验证各群组成员的真实身份后，将脱盲计算处理的密钥函数发送给各成员u_j,k，以便在后续群组密钥协商过程中进行身份认证；

所述多域间群组密钥协商的步骤包括：

E)参与群组密钥协商的每个成员u_j,k随机选择多域群组密钥协商过程中所需要的密钥参数及对该密钥参数进行签名，将这些密钥参数、签名及域认证中心发送的盲签名密钥函数发送给参与群组密钥协商的其他成员u_i,k(1≤i≤R,i≠j)；

F)参加群组密钥协商的其他成员u_i,k(1≤i≤R,i≠j)，收到成员u_j,k的发送的消息后，对成员u_j,k进行身份认证；

G)每个其他成员u_i,k验证所有成员u_j,k(1≤j≤R)的身份后，如果验证正确，则成员u_j,k发送的密钥参数连同自己的密钥参数一起计算出一对非对称的共享群组密钥；

所述群组共享密钥自证实一致性验证的步骤包括：

H)群组各成员u_i,k计算出共享群组密钥后，可自证实所计算的群组密钥是否一致，即计算的群组密钥是否相同。

2.根据权利要求1所述的移动云计算下多域间非对称群组密钥协商协议的方法，其特征在于，所述移动云网络包含R个域，域名分别为D_j(1≤j≤R)，成员的实体集合表示为U_j＝{u_j,1,u_j,2,…,u_j,n}，对应的群组成员的身份集合表示为其中n为域中参加密钥协商的成员个数。

3.根据权利要求2所述的移动云计算下多域间非对称群组密钥协商协议的方法，其特征在于，所述域认证中心CA_j采用双线性映射的方法计算联盟域密钥SK_alli。

4.根据权利要求3所述的移动云计算下多域间非对称群组密钥协商协议的方法，其特征在于，所述双线性映射的方法为：加法群G₁和乘法群G₂上的离散对数的计算是困难的，加法群G₁和乘法群G₂具有相同阶为大素数q的循环群；G₁＝<g₁>，g₁为G₁的生成元；e是可计算的双线性映射，e:G₁×G₁→G₂，两个散列函数H₁,H₂:{0,1}*→G₁。

5.根据权利要求4所述的移动云计算下多域间非对称群组密钥协商协议的方法，其特征在于，所述域D_j的认证中心CA_j随机选取主密钥计算作为公钥，即认证中心CA_j的公/私密钥对为计算的联盟公/私密钥对为(PK_alli,SK_alli)；认证中心CA_j的任意成员u_j,k随机选择参数计算 $s_{u_{j,k}}=H_1\left({\mathrm{id}}_{u_{j,k}}\right),$ 私钥为 ${\mathrm{Sk}}_{u_{j,k}}={\mathrm{\&gamma;}}_{j,k}{s}_{u_{j,k}},$ 公钥为 ${\mathrm{Pk}}_{u_{j,k}}={\mathrm{Sk}}_{u_{j,k}}{g}_1,$ 生成成员u_j,k自身的公/私密钥对为

6.根据权利要求4所述的移动云计算下多域间非对称群组密钥协商协议的方法，其特征在于，对于任意的域D_j中的任意成员u_j,k，所述多域间群组密钥协商过程中前期各域成员在其管理中心的注册步骤为：

1)域D_j中的任意成员u_j,k将自己的身份信息及对应的公钥发送至所属的域认证中心CA_j进行注册；

2)域认证中心CA_j随机选取参数用自己的私钥及计算的联盟私钥SK_alli计算盲参数并将的计算结果发送给成员u_j,k；

3)成员u_j,k用自己的私钥及域认证中心CA_j发送的盲参数计算并发送的计算结果给域认证中心CA_j；

4)域认证中心CA_j计算 $r_{u_{j,k}}={\mathrm{\&eta;}}^{-1}{f}_{u_{j,k}},$ 并验证 $e(r_{u_{j,k}},{\mathrm{PK}}_{\mathrm{alli}}+{\mathrm{PK}}_{{\mathrm{CA}}_j})=e({\mathrm{Pk}}_{u_{j,k}},g_1)$ 是否成立，如果认证通过，则将作为一个注册密钥发送给u_j,k，注册成功。

7.根据权利要求4所述的移动云计算下多域间非对称群组密钥协商协议的方法，其特征在于，设每个域都有第k个成员参加群组密钥协商，参加密钥协商的成员集合可表示为U＝{u_1,k,u_2,k,...,u_j,k}，所述群组密钥协商如下：

1)每个参与密钥协商成员u_j,k(1≤j≤R)随机选取计算 $T_{j,k}=m_{j,k}{r}_{u_{j,k}},$ $M_{i,k}=m_{j,k}{\mathrm{Pk}}_{u_{i,k}}(1\&le;i\&le;R,i\&NotEqual;j);$

2)密钥协商成员u_j,k广播消息每个参与密钥协商的其他成员u_i,k计算及

3)群组加密密钥计算，任意其他成员u_i,k收到所有其他组成员u_j,k(1≤j≤R,j≠i)的广播信息后，u_i,k计算出相关的参数并进行如下身份验证：如果等式不成立，则验证失败，发布身份验证失败的成员信息，并报告出错；否则认证通过；

4)如果群组所有成员全部验证通过，则群组各成员u_i,k∈U可计算出δ_i,k＝m_i,kg₁及群组解密密钥 ${\mathrm{dk}}_{u_{i,k}}^{\mathrm{\&pi;}}={\mathrm{Sk}}_{u_{i,k}}^{-1}{\mathrm{\&Omega;}}_{i,k}=\underset{1=j}{\overset{R}{\mathrm{\&Sigma;}}}{m}_{j,k}{g}_1;$

5)群组加密密钥计算，各成员u_i,k∈U验证其他成员u_j,k(j≠i)的身份时即可计算群组加密密钥 ${\mathrm{ek}}_{u_i}^{\mathrm{\&pi;}}=\left(\underset{1=j,j\&NotEqual;i}{\overset{R}{\mathrm{\&Pi;}}}e(T_{j,k},({\mathrm{PK}}_{{\mathrm{CA}}_j}+{\mathrm{PK}}_{\mathrm{alli}}))\right)\&CenterDot;e({\mathrm{Pk}}_{u_{i,k}},{\mathrm{\&delta;}}_{i,k})=\underset{1=j}{\overset{R}{\mathrm{\&Pi;}}}e({\mathrm{PK}}_{u_{j,k}},{\mathrm{\&delta;}}_{j,k})$ 及 $\mathrm{\&Gamma;}=\underset{j=1}{\overset{R}{\mathrm{\&Sigma;}}}{\mathrm{Pk}}_{u_{j,k}}.$