CN106027241B

CN106027241B - 一种弹性非对称群组密钥协商的方法

Info

Publication number: CN106027241B
Application number: CN201610536303.4A
Authority: CN
Inventors: 张启坤; 黄艳; 袁俊岭; 王锐芳; 王丽娜
Original assignee: Zhengzhou University of Light Industry
Current assignee: Henan Leadhome Technology Co ltd; Zhengzhou University of Light Industry
Priority date: 2016-07-08
Filing date: 2016-07-08
Publication date: 2019-03-08
Anticipated expiration: 2036-07-08
Also published as: CN106027241A

Abstract

本发明公开一种弹性非对称群组密钥协商协议的方法，其步骤如下：参与群组密钥协商的成员进行参数初始化，产生各自的公/私密钥对；通过各自的公/私密钥对盲化各自的群组贡献密钥份额，广播群组密钥份额；剩余成员收到相应的广播密钥份额后，进行组合计算得到群组密钥；各组成员自证实所计算的群组密钥是否正确，若正确，通过群组密钥加密通信信息，进行群组安全信息交换。本发明群组外部或者群组成员可选择群组内部任意子集对象进行秘密信息交换，信息发送者非选择的对象无法解密分享信息；群组成员能协商出一致的加密密钥和解密密钥，群组成员自己可证实密钥的正确性；参与群组密钥协商的成员可实现匿名性，有利于保护群组成员的个人隐私信息。

Description

一种弹性非对称群组密钥协商的方法

技术领域

本发明属于信息安全及密码学的技术领域，涉及群组成员之间秘密信息交换及传输的关键技术：群组密钥协商方法，特别涉及一种在多层次、立体性信息环境下的群组间信息交换及安全传输的弹性非对称群组密钥协商的方法。

背景技术

群组密钥协商是群组成员为保障通信安全而共同计算群组之间通信所需的群组加密及解密密钥，是保障分布在不同区域的群组成员通过公开网络进行安全的协同计算、资源共享、信息交换等关键技术之一。随着信息化技术的高速发展，信息服务的网络环境越来越复杂，网络安全的安全度要求越来越高，如不同等级安全的多层化网络、不同保密程度的通信信息及立体化多层次信息交换环境等，传统的密钥协商已不能满足高速发展的信息技术服务要求。

目前面向多层次、立体化、全方位的弹性信息交换的群组密钥协商的研究尚未出现。一系列的挑战性问题有待解决，包括群组动态密钥因子的组合计算、群组动态加密及解密密钥的计算、选择性信息交换技术等方面的工作尚无先例。

发明内容

本发明的目的针对大型分布式网络及多分级安全管理的应用环境，提供一种弹性非对称群组密钥协商的方法，群组成员之间根据不同安全等级及保密程度选择自己需要的部分成员及任意子集成员进行立体化信息安全交换、文件安全共享及安全传输的应用，为终端群组成员之间建立一种安全秘密通信信道，保障群组之间的安全秘密通信。

为了达到上述问题，本发明的技术方案是：一种弹性非对称群组密钥协商协议的方法，①弹性：参与群组密钥协商的成员可以选择群组中任意不同子集进行安全信息交换，而没被选择的对象则不能解密子集群组的共享秘密信息；②消息发送者不受约束性：给群组内部发送秘密信息的成员不限制于群组内部成员；③自证实性：群组成员计算出群组密钥后，不需通过广播对比其它成员计算的结果来验证密钥的一致性，通过自身计算可证实密钥计算的正确性，所述弹性非对称群组密钥协商协议的步骤为：

A)参与群组密钥协商的群组成员u_i(1≤i≤n)与本域密钥管理认证中心KGC_i之间相互匿名认证；其中，n为参加弹性信息交换的密钥协商的成员个数；

B)参与群组密钥协商的群组成员u_i(1≤i≤n)随机选取自己对群组密钥的贡献密钥参数，并向群组其他成员广播相关参数及其贡献密钥份额；

C)群组密钥协商的其他群组成员u_j(1≤j≠i≤n)收到群组成员u_i的广播信息后，依据其广播信息建立密钥环；

D)群密钥协商的发起成员u_l随机选取整数在其密钥环存储表中选择其所需要信息共享的任意子集中的成员对象u_k(1≤k≠l≤n)，用自己私钥进行组合计算子集群组的群密钥因子，并广播这些群密钥因子信息；其中，表示子集成员集合，为整数集；

E)参与群组密钥协商的子集成员收到广播后各自计算出弹性信息交换的群组密钥；

F)子集群组的成员对象u_k(1≤k≠l≤n)计算出群组密钥后，可自证实所计算的群组密钥是否一致。

所述匿名认证的方法是：

1)假设参与群组密钥协商的群组成员u_i(1≤i≤n)为域D_i中的任意成员，群组成员u_i用自己的身份id_i编码后计算：哈希结果α_i＝H₁(id_i)和其中，id_i为群组成员u_i的身份信息，H₁(·)为哈希函数，g₁为加法群G₁的生成元，y_i表示群组成员u_i的公钥，x_i表示群组成员u_i的私钥，γ_i表示含有群组成员u_i私钥的中间变量；

2)群组成员u_i发送消息{y_i,id_i,γ_i}给密钥管理认证中心KGC_i，密钥管理认证中心KGC_i计算哈希结果α_i＝H₁(id_i)，并验证e(γ_i,y_i)＝e(α_ig₁,g₁)是否成立，如果等式不成立，则拒绝群组成员u_i加入本系统，否则保留群组成员u_i身份id_i，计算并发送消息{η_i,y₀}给群组成员u_i；其中，y₀表示群组成员u_i所在域密钥管理认证中心KGC_i的公钥，x₀表示密钥管理认证中心KGC_i的私钥，η_i表示域密钥管理认证中心私钥的中间变量；

3)群组成员u_i收到密钥管理认证中心KGC_i的信息后，计算并验证等式如果等式成立则群组成员u_i完成签名认证与注册信息；否则，通知密钥管理认证中心KGC_i验证失败，并重新注册；其中，e(·)为双线性映射，表示含有群组成员u_i私钥平方的中间变量。

建立密钥环的方法是：

A)假设群组成员u_i(1≤i≤n)为域D_i中的任意成员，群组成员u_i用自己的身份id_i编码后计算哈希结果α_i＝H₁(id_i)及中间变量

B)每个参与群组密钥协商的群组成员u_i随机选取表示计算中间变量M_i,j＝m_iy_j(j＝1,j＝2,....,i-1,i+1,...,n)和T_i＝(R_i+m_ig₁)；其中，y_j表示群组成员u_j(1≤j≤n)的公钥；

C)群组成员u_i广播消息(M_i,1,...M_i,i-1,null,M_i,i+1,...,M_i,n,(R_i,T_i,id_i))；

D)信息验证：其他群组成员u_j收到群组成员u_i广播的消息(M_i,1,...M_i,i-1,null,M_i,i+1,...,M_i,n,(R_i,T_i,id_i))，并计算表示验证等式e(T_i,y₀)＝e(Γ_i,y₀)×e(y_i,g₁)是否成立，如果成立，则证明群组成员u_i广播的消息是真实的、正确的；

E)其他群组成员u_j根据群组成员u_i广播的信息，用自己的密钥份额m_j计算表示Γ_j＝m_jg₁，并用自己的私钥x_j计算出根据收到的信息建立一个密钥环，所有群组成员u_i的密钥环组成密钥环存储表为：

所述计算弹性信息交换的群组密钥的方法是：

A)密钥协商发起者选择任意对象成员进行群组密钥计算，假设域中参加密钥协商的成员个数最多为n个，所有成员的实体集合表示为对应群组成员的身份集合表示为群组密钥协商的发起成员u_l随机选取在其本地或者服务器中存储的密钥环存储表中选择任意子集中的成员对象u_k(1≤k≠l≤n)，计算中间变量χ_k＝t_l×Γ_k，群组加密密钥G_encr＝(G_R,G_T,G_y)和群组解密密钥群组成员u_i广播消息((χ₁,id₁),(χ₂,id₂),...,(χ_i-1,id_i-1),null,(χ_i+1,id_i+1),...,(χ_k,id_k),G_y,G_check)；

B)所有剩余成员u_j(1≤j≠l≤k)收到群组成员u_i广播的消息后，查找密钥环存储表中对应的身份信息id_l，通过配对e(T_l,y₀)＝e(y_l,g₁)×e(Γ_l,y₀)是否成立，验证密钥协商发起者的身份，如果认证通过，则u_j(1≤j≠l≤k)根据广播中的身份，找出对应成员信息，计算群组加密密钥群组加密密钥G_encr＝(G_R,G_T,G_y)，并用自己的密钥份额m_j计算中间变量和得到群组解密密钥其中，T_l表示T_l＝(R_l+m_lg₁)，即建立密钥环的方法中中间变量T_i＝(R_i+m_ig₁)，当i＝l时的表达式值，y_l表示u_l的公钥。

所述消息发送者不受约束性的方法是：群组加密密钥G_encr是公开的，不论是群组成员还是群组外部成员均可向群组发送群组加密密钥加密过的秘密信息，群组成员均可通过群组解密密钥G_decr获得对应的明文信息，过程如下：

A)加密：对任意明文为明文空间，群组内外知道群组公钥的任意群组成员u_i(1≤i≤n)向群组发送群组公钥加密的秘密信息，密文生成步骤如下：

①群组成员u_i(1≤i≤n)选择一个随机数计算其中，H₂(.)表示映射的哈希函数；

②输出密文

B)解密：其他群组成员u_j(1≤j≠i≤k)收到密文可用其计算出的群组解密密钥能解密出明文信息：

所述群组密钥的自证性的方法是：群组成员计算出群组密钥后，不需通过广播对比其它成员计算的结果来验证密钥的一致性，通过自身计算可证实密钥计算的正确性，过程如下：

群组密钥协商成员不需要发送新一轮信息来验证所计算群组密钥的正确性，当所有成员通过计算或者接收到子集的群组加密密钥G_encr＝(G_R,G_T,G_y)及子集的群组解密密钥时，通过验证配对等式是否成立，可判断群组密钥计算是否正确。

与现有技术相比，本发明具有如下优点：

①弹性信息交换性：群组外部或者群组成员可以选择群组内部任意子集对象进行秘密信息交换，信息发送者非选择的对象则无法解密所选对象的分享信息。

②群组密钥自证实性：群组成员能协商出一致的群组加密密钥和群组解密密钥，不需要额外广播信息证实群组密钥的正确性，群组成员自己即可证实密钥的正确性。

③隐藏身份：参与群组密钥协商的成员可实现匿名性，有利于保护群组成员的个人隐私信息。

附图说明

图1为实施例一的弹性信息交换的非对称群组密钥协商流程。

图2为实施例一的弹性信息交换的非对称群组密钥协商协议示意图。

具体实施方式

下面结合附图，具体说明本发明的实施方式。

本发明针对高度安全立体化安全管理的网络环境设计一种弹性信息交换的群组密钥协商方法，以密码学为理论基础，结合新型算法和研究技术实现群组成员之间可选择/可排除任意子集进行信息交换和传输的密钥协商方案。采用基于无证书的密钥管理技术，设计双向盲密钥技术，提出短签名算法，利用双线性映射技术实现群组成员之间的身份认证。群组成员计算各自的密钥因子，并广播给其它成员。各成员收到其它成员发送的密钥因子后，将这些密钥因子组合计算出群组加密密钥和群组解密密钥，然后群组成员通过自证实密钥计算的方法验证各自计算的群组密钥的真实性。当群组中成员想发送秘密信息给全部群组或者群组中局部成员，则其有选择的将信息通过计算的动态群组密钥进行加密，并广播出去。接收到该密文信息的成员可通过计算动态解密密钥进行密文解密，以获取明文信息。

1.本发明相关的符号

本发明所涉及到的相关符号表示说明见表1：

表1本发明相关的关键符号

2.本发明所涉及的理论基础知识和相关定义

定义1、双线性映射：设G₁是循环加法群，G₂是循环乘法群，且计算G₁和G₂上的离散对数问题是困难的。群G₁和G₂是一对双线性群，具有相同的大素数阶q。设G₁＝<g₁〉，g₁为循环加法群G₁的生成元。e:G₁×G₁→G₂，是G₁到G₂的可计算的双线性映射，其满足如下性质：

(1)双线性：

e(t₁+t₂,v)＝e(t₁,v)e(t₂,v)；

e(v,t₁+t₂)＝e(v,t₁)e(v,t₂)；

e(ag,bg)＝e(g,g)^ab。

其中，g,v,t₁,t₂∈G₁，即a，b是属于含有任意长度、元素个数为q的整数集

(2)非退化性：如果g₁是循环加法群G₁的生成元，则e(g₁,g₁)≠1。

(3)可计算性：存在有效的算法，对于生成元g₁∈G₁,g₂∈G₁可计算e(g₁,g₂)。

定义2：双线性离散对数问题(Bilinear Discrete Logarithm problem，BDLP)：给定一等式Y＝aP，其中Y,P∈G₁，a＜q，已知a和P计算Y容易，但是已知P和Y计算a是困难的。

定义3、双线性Diffe-Hellman逆问题(Bilinear Inverse Diffe-HellmanProblem，BIDHP)：给定元素g₁,ag₁，cg₁∈G₁，求解问题，其中

定义4、改进的双线性Diffe-Hellman逆问题(Modified Bilinear InverseDiffe-Hellman Problem，mBIDHP)：给定元素g₁,ag₁,bg₁,cg₁∈G₁求解问题，其中

定义5、群组密钥协商正确性：一个群组密钥协商协议是正确的，如果有：①对于参与群组密钥协商的任意成员u_i(1≤i≤n)，n为域中参加密钥协商的成员个数。在参与群组密钥计算之前都通过其它成员的身份验证；②对进行群组密钥协商中的任意成员ui，ui用其自身的私钥信息计算出群组加密密钥G_encr，用群组加密密钥G_encr加密明文消息空间中的任意明文消息m，生成相应的密文消息将该密文消息广播出去，参与群组密钥协商的其它成员收到广播后，能够用其自身私钥信息计算出群组解密密钥G_decr，并可用群组解密密钥G_decr解密，获取相应的明文信息m，即G_decr(G_encr(m))＝m。

定义6、弹性信息交换：一个群组密钥协商协议是弹性信息交换的，如果有：该密钥协商成功结束，且有群组成员ui选择的信息交换对象为u_j,(i≠j)，则群组成员u_i用计算出来的群组密钥加密消息并广播该密文消息群组里所有收到该密文消息的成员里，只有u_j,(i≠j)能解密该密文消息并获取对应的明文消息m，任何非群组成员ui选择的信息交换对象u_k,(k≠j)都不能解密该消息以获取明文信息m。

实施例一

复杂网络环境下群组通信成员往往分布在不同的安全域及不同的访问权限。群组信息交换过程中不同信息的保密程度不同，往往只需特定的群组成员来进行分享。一种弹性非对称群组密钥协商协议的方法，如图1所示，其步骤如下：①参与群组密钥协商的成员首先进行参数初始化，然后分别产生各自的公/私密钥对；②通过各自的公/私密钥对盲化各自的群组贡献密钥份额，并广播这些群组密钥份额；③剩余成员收到相应的广播密钥份额后，对这些密钥份额进行组合计算得到群组密钥；④各组成员自证实所计算的群组密钥是否正确；⑤如果群组密钥计算正确，即可通过群组密钥加密通信信息，进行群组安全信息交换。本实施例中弹性信息交换的非对称群组密钥协商协议示意图，如图2所示。

3.弹性信息交换的群组密钥协商协议

(1)初始化协议参数

设G₁＝<g₁〉是加法群，g₁为G₁的生成元，G₂为乘法群，G₁和G₂具有相同阶为大素数q的循环群，且求解G₁和G₂上的离散对数问题是困难的。e是可计算的双线性映射，e:G₁×G₁→G₂。设参加弹性信息交换的密钥协商的成员个数为n，则成员的实体集合表示为对应实体成员身份的集合表示为每个参与密钥协商的群组成员u_i拥有的长期公/私密钥对为(x_i,y_i)，其中，设群组成员u_i所在管理域密钥管理认证中心KGC_i的公/私秘钥对为(x₀,y₀)，其中，H₁,H₂:{0,1}*→G₁为两个散列函数。

(2)双向签名认证与身份注册技术

本发明涉及的弹性信息交换的群组密钥协商是一种可认证的群组密钥协商，参与群组密钥协商的成员在计算群组密钥协商之前，需进行身份验证，只有合法的成员方可参与群组密钥协商。①弹性：参与群组密钥协商的成员可以选择群组中任意不同子集进行安全信息交换，而被选择的对象则不能解密子集群组的共享秘密信息；②消息发送者不受约束性：给群组内部发送秘密信息的成员不限制于群组内部成员；③自证实性：群组成员计算出群组密钥后，不需通过广播对比其它成员计算的结果来验证密钥的一致性，通过自身计算即可证实密钥计算的正确性。

传统的可认证的群组密钥协商多采用基于身份认证的群组密钥协商或基于证书的群组密钥协商，基于证书认证的群组密钥协商涉及到证书的管理复杂及安全性问题，基于身份认证的群组密钥协商涉及到密钥托管问题，密钥托管具有固有的安全缺陷。本发明采用匿名签名算法实现无证书可认证的群组密钥协商，参与群组密钥协商成员与本域认证中心之间相互匿名认证的具体实施步骤如下：

3)假设参与群组密钥协商的群组成员u_i(1≤i≤n)为域D_i中的任意成员，群组成员u_i用自己的身份id_i编码后计算：哈希结果α_i＝H₁(id_i)和中间变量

4)群组成员u_i发送消息{y_i,id_i,γ_i}给密钥管理认证中心KGC_i，密钥管理认证中心KGC_i计算中间变量β_i＝H₁(id_i)，并验证e(γ_i,y_i)＝e(β_ig₁,g₁)是否成立，如果等式不成立，则拒绝群组成员u_i加入本系统，否则保留群组成员u_i身份id_i，计算中间变量并发送消息{η_i,y₀}给群组成员u_i。

3)群组成员u_i收到密钥管理认证中心KGC_i的信息后，计算中间变量并验证等式如果等式成立则群组成员u_i完成签名认证与注册信息；否则，通知密钥管理认证中心KGC_i验证失败，并重新注册。

(3)群组密钥因子计算与分发

参与群组密钥协商的群组成员随机选取自己对群组密钥的贡献密钥参数，并向群组其他成员广播相关参数及其贡献密钥份额。在这一过程，参与群组密钥协商的每个成员，通过计算自己群组密钥因子，并分发出去。其它成员收到来自各成员的群组密钥因子后，将这些密钥因子进行组合计算出群组密钥。

1)每个参与群组密钥协商的群组成员u_i随机选取密钥份额分别计算中间变量M_i,j＝m_iy_j(j＝1,j＝2,....,i-1,i+1,...,n)、T_i＝(R_i+m_ig₁)；

2)群组成员u_i(1≤i≤n)广播含有相关参数及其贡献密钥份额的消息(M_i,1,...M_i,i-1,null,M_i,i+1,...,M_i,n,(R_i,T_i,id_i))；

每个参与密钥协商的其他成员u_j可得到如表3中的信息。

表3密钥因子分发

3)信息验证，其他群组成员u_j，1≤j≠i≤n收到群组成员u_i的广播消息(M_i,1,...M_i,i-1,null,M_i,i+1,...,M_i,n,(R_i,T_i,id_i))，并计算验证等式e(T_i,y₀)＝e(Γ_i,y₀)×e(y_i,g₁)是否成立，如果成立，则证明消息是真实的、正确的。其中，Γ_i表示一个表达式计算结果的中间变量参数。

(4)密钥环的建立

任意群组成员u_j根据表3中的信息，用自己的密钥份额m_j计算Γ_j＝m_jg₁，并用自己的私钥x_j计算出根据收到的信息建立一个密钥环如表4所示。

表4密钥环存储表

(5)弹性信息交换的群组密钥的计算

任意群组成员u_i可在群组集合里选择任意子集里面的成员进行安全信息交换，群整体成员及部分子集群组加密/解密密钥计算如下：

①群密钥协商的发起成员u_l随机选取整数在其本地或者服务器中存储的密钥环存储表中选择任意子集集合的成员对象u_k(1≤k≠l≤n)，并计算中间变量χ_k＝t_l×Γ_k(1≤k≠l≤n)，及群组加密密钥G_encr＝(G_R,G_T,G_y)，群组解密密钥群组成员u_i广播消息((χ₁,id₁),(χ₂,id₂),...,(χ_i-1,id_i-1),null,(χ_i+1,id_i+1),...,(χ_k,id_k),G_y,G_check)。其中，Γ_k表示函数当i＝k时Γ_i的计算值；χ_i表示函数χ_k＝t_l×Γ_k，当i＝k时表达式的值，其表示为χ_i＝t_l×Γ_i(1≤i≤k)。

②群中所有剩余成员u_j(1≤j≠l≤k)收到群组广播后，查找密钥环存储表中对应的身份信息id_l，通过配对e(T_l,y₀)＝e(y_l,g₁)×e(Γ_l,y₀)是否成立，验证密钥协商发起者的身份，如果认证通过，则群组成员u_j(1≤j≠l≤k)根据广播中的身份，找出对应成员信息，计算群组加密密钥群组加密密钥G_encr＝(G_R,G_T,G_y)，群组成员u_j用自己的密钥份额m_j计算中间变量及即群组解密密钥

(6)群组密钥自证实性

群组密钥协商成员不需要发送新一轮信息来验证所计算群组密钥的正确性，当所有成员通过计算或者接收到子集群组加密密钥G_encr＝(G_R,G_T,G_y)及子集群组解密密钥时，通过验证配对等式是否成立，即可判断群组密钥计算是否正确。

4.群组秘密通信

由于群组密钥协商是非对称群组密钥，即参与群组密钥协商的成员协商出一对群组公/私密钥对(G_encr，G_decr)。群组加密密钥G_encr是公开的，不论是群组成员还是群组外部成员均可向群组发送群组加密密钥加密过的秘密信息。群组成员均可通过群组解密密钥G_decr获得对应的明文信息。具体过程为

1)加密：对任意明文(为明文空间)，群组内外知道群组公钥的任意群组成员u_i(1≤i≤n)可以向群组发送群组公钥加密的秘密信息。密文生成步骤如下：

①u_i(1≤i≤n)选择一个随机数计算

②输出密文

2)解密：对于群组成员u_j(1≤j≠i≤k)收到密文可用其计算出的群组解密密钥能解密出明文信息:

实施例二

为了说明本发明的内容及实施方法，给出了一个具体实施例。本实施方式中，为方便实例阐述，假设参与群组密钥协商成员分布在1个域，域名为D₁，域中参加密钥协商的成员个数最多为n个，成员的实体集合表示为对应实体成员身份的集合表示为在本实施例中引入细节的目的不是限制权利要求书的范围，而是帮助理解本发明的方法。本领域的技术人员应理解：在不脱离本发明及其所附权利要求的精神和范围内，对最佳实施例步骤的各种修改、变化或替换都是可能的。因此，本发明不应局限于最佳实施例及附图所公开的内容。

(1)初始化

设G₁是加法群，G₂是乘法群，且G₁和G₂上的离散对数的计算是困难的。设G₁＝<g₁〉，g₁为G₁的生成元。G₁和G₂具有相同阶为大素数q的循环群，e是可计算的双线性映射，且e:G₁×G₁→G₂。域D₁的密钥管理认证中心KGC₁随机选取作为私/公密钥对，任意成员u_i(1≤i≤n)的公/私密钥对为(x_i,y_i)，H₁,H₂:{0,1}*→G₁为两个散列函数。

(2)终端注册方案

1)假设群组成员u_i(1≤i≤n)为域D₁中的任意成员，群组成员u_i用自己的身份id_i编码后计算α_i＝H₁(id_i)及

2)群组成员u_i发送消息{y_i,id_i,γ_i}给密钥管理认证中心KGC₁，密钥管理认证中心KGC₁计算β_i＝H₁(id_i)，并验证式子e(γ_i,y_i)＝e(β_ig₁,g₁)是否相等，如果等式不成立，则拒绝群组成员u_i加入本系统，否则保留群组成员u_i身份id_i，并计算并发送消息{η_i,y₀}给群组成员u_i。

3)群组成员u_i收到密钥管理认证中心KGC_i的信息后，计算并验证等式如果等式成立则密钥管理认证中心u_i完成签名认证与注册信息。否则，通知密钥管理认证中心KGC_i验证失败，并重新注册。

(3)密钥协商

这一阶段，参加群组密钥协商的成员将计算出群组之间进行秘密通信时所需要的加密和解密密钥。密钥协商如下：

1)每个参与群组密钥协商的群组成员u_i(1≤i≤n)随机选取计算M_i,j＝m_iy_j(j＝1,j＝2,....,i-1,i+1,...,n),T_i＝(R_i+m_ig₁)；

2)群组成员u_i(1≤i≤n)广播消息(M_i,1,...M_i,i-1,null,M_i,i+1,...,M_i,n,(R_i,T_i,id_i))；

每个参与密钥协商的其他成员u_j可得到如表5中的信息。

表5密钥因子分发

3)信息验证，群组成员u_j收到群组成员u_i广播的消息(M_i,1,...M_i,i-1,null,M_i,i+1,...,M_i,n,(R_i,T_i,id_i))，并计算验证等式e(T_i,y₀)＝e(Γ_i,y₀)×e(y_i,g₁)是否成立，如果成立，则证明消息是真实的、正确的。

(4)密钥环的建立

群组任意成员u_j根据表5中的信息，用自己的密钥份额m_j计算Γ_j＝m_jg₁，并用自己的私钥x_j计算出根据收到的信息建立一个密钥环如表6所示：

如表6密钥环存储表

(5)弹性信息交换的群组密钥计算

设密钥协商发起者为u₁，其可在群组集合里选择任意子集里面的成员进行安全信息交换，部分子集群组加密/解密密钥计算如下：

①群密钥协商发起成员u₁随机选取在其密钥环存储表中选择任意子集集合的成员对象，并计算χ_k＝t₁×Γ_k，(k＝2,6,8,12,16)，

及群组加密密钥G_encr＝(G_R,G_T,G_y)，群组解密密钥群密钥协商发起成员u₁广播消息((χ₂,id₂),(χ₆,id₆),(χ₈,id₈),(χ₁₂,id₁₂),(χ₁₆,id₁₆),G_y,G_check)。

②群中所有剩余成员收到群组广播后，查找密钥环表中对应的身份信息id₁，通过配对e(T₁,y₀)＝e(y₁,g₁)×e(Γ₁,y₀)是否成立，验证密钥协商发起者的身份，如果认证通过，则u_j(j＝2,6,8,12,16)根据广播中的身份，找出对应成员信息，计算群组加密密钥群组加密密钥G_encr＝(G_R,G_T,G_y)，并用自己的密钥份额m_j计算及即群组解密密钥

(6)群组密钥自证实性

4.群组秘密通信

1)加密：对任意明文(为明文空间)，群组内外知道群组公钥的任意成员u_j,(j＝2,6,8,12,16)可以向群组发送群组公钥加密的秘密信息。密文生成步骤如下:

①假设成员u₂要向该子群组分享秘密信息，则u₂选择一个随机数计算U＝τ₂G_R,

②输出密文

2)解密：对于群组成员u_i(i＝1,6,8,12,16)收到密文可用其计算出的群组解密密钥并能解密出明文信息：

本发明以公钥密码体制为理论基础，以Diffe-Hellman逆问题为安全假设前提，提出一种双向盲签名算法，采用双线映射技术实现群组成员之间的身份认证，群组每个成员通过计算密钥因子，分发密钥因子，组合密钥因子等方法，计算出群组的动态加密/解密密钥；然后，通过群组的动态加密/解密密钥实现群组成员之间可任意选择不同的子集进行秘密通信。本发明属于无证书非对称群组密钥协商的范畴，因此除了具有无证书方案的安全性，还具有非对称密钥协商的灵活性，还具有涉及到的空间立体信息安全交换的特有性质。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求书的保护范围为准。

Claims

1.一种弹性非对称群组密钥协商协议的方法，其特征在于：①弹性：参与群组密钥协商的成员可以选择群组中任意不同子集进行安全信息交换，而没被选择的对象则不能解密子集群组的共享秘密信息；②消息发送者不受约束性：给群组内部发送秘密信息的成员不限制于群组内部成员；③自证实性：群组成员计算出群组密钥后，不需通过广播对比其它成员计算的结果来验证密钥的一致性，通过自身计算可证实密钥计算的正确性，所述弹性非对称群组密钥协商协议的步骤为：

A)参与群组密钥协商的群组成员u_i与本域密钥管理认证中心KGC_i之间相互匿名认证；其中，1≤i≤n，n为参加弹性信息交换的密钥协商的成员个数；

B)参与群组密钥协商的群组成员u_i随机选取自己对群组密钥的贡献密钥参数，并向群组其他成员广播相关参数及其贡献密钥份额；

C)群组密钥协商的其他群组成员u_j收到群组成员u_i的广播信息后，依据其广播信息建立密钥环，其中，1≤j≠i≤n；

D)群密钥协商的发起成员u_l随机选取整数在其密钥环存储表中选择其所需要信息共享的任意子集中的成员对象u_k，成员u_l用自己私钥进行组合计算子集群组的群密钥因子，并广播这些群密钥因子信息；其中，1≤k≠l≤n，表示子集成员集合，为整数集；

F)子集群组的成员对象u_k计算出群组密钥后，可自证实所计算的群组密钥是否一致。

2.根据权利要求1所述的弹性非对称群组密钥协商协议的方法，其特征在于，所述匿名认证的方法是：

1)假设参与群组密钥协商的群组成员u_i为域D_i中的任意成员，群组成员u_i用自己的身份id_i编码后计算：哈希结果α_i＝H₁(id_i)和其中，id_i为群组成员u_i的身份信息，H₁(·)为哈希函数，g₁为加法群G₁的生成元，y_i表示群组成员u_i的公钥，x_i表示群组成员u_i的私钥，γ_i表示计算需要的中间变量；

2)群组成员u_i发送消息{y_i,id_i,γ_i}给密钥管理认证中心KGC_i，密钥管理认证中心KGC_i计算哈希结果α_i＝H₁(id_i)，并验证e(γ_i,y_i)＝e(α_ig₁,g₁)是否成立，如果等式不成立，则拒绝群组成员u_i加入本系统，否则保留群组成员u_i身份id_i，计算并发送消息{η_i,y₀}给群组成员u_i；其中，y₀表示群组成员u_i所在域密钥管理认证中心KGC_i的公钥，x₀表示群组成员u_i所在域密钥管理认证中心KGC_i的私钥，η_i表示域密钥管理认证中心私钥的中间变量；

3.根据权利要求1所述的弹性非对称群组密钥协商协议的方法，其特征在于，建立密钥环的方法是：

A)假设群组成员u_i为域D_i中的任意成员，群组成员u_i用自己的身份id_i编码后计算哈希结果α_i＝H₁(id_i)及中间变量其中，H₁(·)为散列函数，α_i和γ_i为中间计算变量，x_i表示群组成员u_i的私钥；

B)每个参与群组密钥协商的群组成员u_i随机选取表示群组成员u_i计算中间变量M_i,j＝m_iy_j和T_i＝(R_i+m_ig₁)；其中，j＝1,2,....,i-1,i+1,...,n；x₀表示群组成员u_i所在域密钥管理认证中心KGC_i的私钥，y_j表示群组成员u_j的公钥，1≤j≤n，m_i表示随机选取的一个整数，表示含有群组成员u_i私钥平方的中间变量，η_i、R_i、M_i,j和T_i为中间计算变量，g₁为加法群G₁的生成元；

C)群组成员u_i广播消息(M_i,1,...M_i,i-1,null,M_i,i+1,...,M_i,n,(R_i,T_i,id_i))，其中，null表示空字符；

D)信息验证：其他群组成员u_j收到群组成员u_i广播的消息(M_i,1,...M_i,i-1,null,M_i,i+1,...,M_i,n,(R_i,T_i,id_i))，并计算表示验证等式e(T_i,y₀)＝e(Γ_i,y₀)×e(y_i,g₁)是否成立，如果成立，则证明群组成员u_i广播的消息是真实的、正确的；其中，x_j表示群组成员u_j的私钥，Γ_i表示计算所需要的中间计算变量，y₀表示群组成员u_i所在域密钥管理认证中心KGC_i的公钥，y_i表示群组成员u_i的公钥，e(·)表示双线性映射函数；

E)其他群组成员u_j根据群组成员u_i广播的信息，用自己的密钥份额m_j计算表示Γ_j＝m_jg₁，Γ_j表示计算所需要的中间计算变量，并用自己的私钥x_j计算出其中，1≤i≤n,i≠j，根据收到的信息建立一个密钥环，所有群组成员u_i的密钥环组成密钥环存储表为：

4.根据权利要求1所述的弹性非对称群组密钥协商协议的方法，其特征在于，所述计算弹性信息交换的群组密钥的方法是：

A)密钥协商发起者选择任意对象成员进行群组密钥计算，假设域中参加密钥协商的成员个数最多为n个，所有成员的实体集合表示为对应群组成员的身份集合表示为群组密钥协商的发起成员u_l随机选取在其本地或者服务器中存储的密钥环存储表中选择任意子集中的成员对象u_k，成员u_l计算中间变量和T_l＝(R_l+m_lg₁)，并从密钥环中提取密钥因子Γ_k，计算中间变量χ_k＝t_l×Γ_k，群组加密密钥G_encr＝(G_R,G_T,G_y)和群组解密密钥群组成员u_l广播消息((χ₁,id₁),(χ₂,id₂),...,(χ_i-1,id_i-1),null,(χ_i+1,id_i+1),...,(χ_k,id_k),G_y,G_check,R_l,T_l)；其中，t_l和m_l分别表示随机选取的两个整数，Γ_k是从密钥环提取的群组成员u_k的密钥因子，Γ_i是从密钥环提取的群组成员u_i的密钥因子，R_l、T_l、χ_k、T_i、G_y、G_check、G_R和G_T为计算所需要的计算中间变量，x_l表示群组成员u_l的私钥，x₀表示群组成员u_l所在域密钥管理认证中心KGC_i的私钥，y₀表示群组成员u_l所在域密钥管理认证中心KGC_i的公钥，y_i表示群组成员u_i的公钥，null表示空字符；R_i和T_i为群组成员u_l收到群组成员u_i广播的中间计算变量，g₁为加法群G₁的生成元；

B)所有剩余成员u_j收到群组成员u_l广播的消息后，查找密钥环存储表中对应的身份信息id_l，从密钥环存储表中提取Γ_l，通过配对e(T_l,y₀)＝e(y_l,g₁)×e(Γ_l,y₀)是否成立，验证密钥协商发起者的身份，如果认证通过，则u_j根据广播中的身份，找出对应成员信息，计算群组加密密钥，群组加密密钥G_encr＝(G_R,G_T,G_y)，并用自己的密钥份额m_j计算中间变量和得到群组解密密钥其中，1≤j≠l≤k，Γ_l为密钥环中群组成员u_l的密钥因子，e(·)表示双线性映射函数，T_l＝(R_l+m_lg₁)为群组成员u_l计算所需的中间计算变量，y_l表示群组成员u_l的公钥，f_j和ζ_j为计算所需要的中间计算变量。

5.根据权利要求4所述的弹性非对称群组密钥协商协议的方法，其特征在于，所述消息发送者不受约束性的方法是：群组加密密钥G_encr是公开的，不论是群组成员还是群组外部成员均可向群组发送群组加密密钥加密过的秘密信息，群组成员均可通过群组解密密钥G_decr获得对应的明文信息，过程如下：

A)加密：对任意明文为明文空间，群组内外知道群组公钥的任意群组成员u_i向群组发送群组公钥加密的秘密信息，1≤i≤n，密文生成步骤如下：

①群组成员u_i选择一个随机数计算U＝τ_iG_R,W＝τ_ig₁，其中，H₂(.)表示映射的哈希函数；

②输出密文

B)解密：其他群组成员u_j收到密文可用其计算出的群组解密密钥能解密出明文信息：其中，1≤j≠i≤k。

6.根据权利要求5所述的弹性非对称群组密钥协商协议的方法，其特征在于，所述群组密钥的自证性的方法是：群组成员计算出群组密钥后，不需通过广播对比其它成员计算的结果来验证密钥的一致性，通过自身计算可证实密钥计算的正确性，过程如下：

群组密钥协商成员不需要发送新一轮信息来验证所计算群组密钥的正确性，当所有成员通过计算或者接收到子集的群组加密密钥G_encr＝(G_R,G_T,G_y)及子集的群组解密密钥时，通过验证配对等式是否成立，可判断群组密钥计算是否正确；其中，G_check、G_y、G_R和G_T是四个计算所需要的中间计算变量，t_l和m_i表示随机选取的两个整数，Γ_i是从密钥环提取的群组成员u_i的密钥因子，R_i、T_i、χ_i为计算所需要的中间计算变量，x_i表示群组成员u_i的私钥，x₀表示群组成员u_i所在域密钥管理认证中心KGC_i的私钥，y₀表示群组成员u_i所在域密钥管理认证中心KGC_i的公钥，g₁为加法群G₁的生成元。