CN106169996B - 基于密钥超图和身份密码的多域光网络密钥管理方法 - Google Patents

Abstract

本发明公开了一种基于密钥超图和身份密码的多域光网络密钥管理方法，该方法首先将多域光网络的密钥关系建模成两层密钥超图，即用点表示顶点，用超边描述各层级密钥关系，然后使用基于分层的身份密码系统和改进的私钥生成策略，完成主密钥、公私钥、会话密钥、层组密钥、域间密钥的生成和动态管理。同时，通过融合成员特征值思想，当群组成员加入或离开时，剩余群组成员利用pPCE或者cPCE传递的密钥特征值自行计算和更新组密钥。通过分析表明，KMS‑KI方案具备前向安全性、后向安全性和抗共谋攻击能力，与典型的基于逻辑密钥树的分散式方案相比，不但支持分层身份密码系统，而且在密钥存储量、cPCE通信量和加解密次数等方面取得了综合较优的性能。

Description

基于密钥超图和身份密码的多域光网络密钥管理方法

技术领域

本发明涉及多域光网络、密钥管理、密码超图等技术领域，具体涉及一种基于秘钥超图和身份密码的多域光网络秘钥管理方法。

背景技术

随着网络规模的不断扩大，异构化和多域化是光网络的发展趋势。出于安全性考虑，一般域间不共享详细域内信息，这为跨域多样化业务路径的计算和建立带来了挑战。针对这个问题，IETF提出了两种不同PCE(Path Computation Element)构架的路由解决方案：即平坦型PCE方案和层次型PCE方案。但是，两类PCE方案均需要解决高功率信号串扰、隐私泄露、拒绝服务、消息篡改、伪造与重放、身份假冒等安全威胁。

尽管公开的专门针对PCE架构的安全解决方案很少，但是RFC 5440和RFC5920提出了包括认证、加密、数字签名、攻击检测、隐私保护、密钥管理在内的安全性对策。由于各类安全策略离不开密钥的使用，因此RFC 5440提出了PCE架构下多域光网络的密钥管理建议，即对于小规模网络可以考虑使用手工配置密钥的方法，对于大规模网络应该使用动态密钥管理方案，对各类密钥(如会话密钥、组密钥)进行动态管理和更新。虽然目前还没有公开的基于PCE架构的多域光网络的动态密钥管理方案，但是对于一般网络环境下组密钥管理的研究取得了长足的进展。总的来说，目前组密钥管理方案可分为三大类：即集中式方案、分布式方案和分散式方案。例如，以GKMP为代表的平坦型集中式方案；以LKH、Pour07为代表的逻辑层次型集中式方案；以GDH为代表的分布式方案；以Iolus、Saroit代表的分散式方案。按照组密钥更新对GKC(Group Key Controller)的依赖程度来分，可将这些方案分为三大类：即完全依赖于GKC的方案，例如GKMP、LKH方案等；部分依赖于GKC的方案，例如Pour07方案、Saroit方案；完全不依赖于GKC的方案，例如GDH分布式方案。

上述方案在安全和性能方面各有优缺点，根据分层PCE多域光网络的特点，采用分散的和部分依赖GKC的密钥管理方案相对合理，可以有效解决单点失效和“1影响n”的问题。出于安全性和效率考虑，若应用于分层PCE架构光网络，目前的分散式解决方案还有待进一步改进和完善。一方面，目前分散式解决方案大都是基于逻辑密钥树的形式来进行设计的，即用一条边来描述两个节点之间的关系，但是光网络域内和域间多节点之间的密钥关系无法直接用简单边来描述；第二，典型的方案还需要进一步改进。具体来说，Iolus方案由于采用基于平坦型结构的方式对子组成员进行管理，当子组成员离开时，子组GKC的通信量为m-1(m为子组成员的数量)。针对Iolus方案的不足，Saroit等人提出了一种基于成员特征值的分散式方案(Saroit方案)，将成员离开时子组GKC的通信量降为1，但是存在敌手串谋攻击的隐患。针对这个问题，2012年杜晓强等人提出了一种基于成员特征值的改进方案(简称为Du方案)，该方案能抵抗子组成员的串谋攻击，性能优于Iolus方案，将子组成员离开时子组密钥管理器的通信量从m-1降为log₂m，但是该方案是基于平衡逻辑密钥树进行密钥管理的，当应用于多域光网络时，管理效率相对较低，且当平衡条件不满足时，这种方法还需进一步设计和改进。

发明内容

针对上述现有技术中存在的问题，本发明的目的在于，提供一种密钥超图和身份密码的多域光网络密钥管理方法，将超图理论运用于多层PCE架构下多域智能光网络的密钥管理中，将传统的逻辑密钥树变换成新型的密钥超图模型，然后使用基于分层的身份密码系统和改进的公私钥生成策略，完成各类密钥的生成和动态管理，同时融合成员特征值思想，当组成员离开时，剩余组成员可自行计算和更新组密钥。

为了实现上述任务，本发明采用以下技术方案：

一种基于密钥超图和身份密码的多光域网络密钥管理方法，包括以下步骤：

步骤一，建立基于分层PCE的多域光网络模型

多域光网络模型的每个子域中配有一个子路径计算单元cPCE，整个模型中配有一个父路径计算单元pPCE，节点分布于子域中；

步骤二，建立多域光网络密钥超图模型

在多域光网络模型的基础上，建立多域光网络密钥超图模型G：

G＝(M,E)

其中，M表示光网络中的节点集合，M＝(m₀,m₂,…,m_n-1)；E为M中的节点构成的超边集合，E＝(E₀(K₀),…,E_d(K_d),e₀(k₀),…,e_t(k_t-1))；|E_i|≥1，|d|表示自治域的总个数，|t|表示连接两个不同域顶点的总边数，K_i(i∈0,d)、k_i(i∈0,t-1)表示超边E_i(i∈0,d)、e_i(i∈0,t)所覆盖节点的组密钥；

步骤三，建立密钥管理方案KMS-KI

在KMS-KI中，将步骤二建立的超图模型分为PCE层和自治域层，其中PCE层包括cPCE以及pPCE，自治域层包括各个子域；

步骤3.1密钥建立

(1)公私钥的建立

①pPCE公私钥的建立

将pPCE作为PCE层的私钥生成中心PKG，利用参数生成器，输入系统大素数q和系统安全参数k_q，输出G₁、G₂和e；其中G₁为q阶的加法循环群，G₂为q阶的乘法循环群，e为双线性对映射；选取G₁的一个生成元g和哈希函数h:{0,1}*→G₁，随机选择作为私钥生成中心PKG的系统主密钥，为模q整数乘法群；同时设置pPCE的私钥Pri_pPCE＝k_s，k_s为系统主密钥；pPCE的公钥Pub_pPCE＝k_sg，生成系统密码套件的公开参数pars＝(G₁,G₂,q,g,Pub_pPCE,h)；

②cPCE公私钥的建立

Setp1：初始化

离线对cPCE_i(i表示自治域个数)预置公开参数pars，然后cPCE_i生成身份标识ID_i＝d_ig作为自己的公钥Pub_cPCE(i)，并计算会话密钥协商所需参数其中g为G₁的一个生成元，并将身份标识ID_i和相应的用户口令pw预置于pPCE中；

Setp2：cPCE_i请求pPCE为自己生成部分私钥信息，并使用pPCE的公钥加密此请求消息；

Setp3：pPCE使用私钥解密请求消息及验证用户cPCE_i的真实性后，计算cPCE_i的部分私钥信息k_sh(ID_i)，并选择随机数计算会话密钥协商所需参数Y＝g^p modq；

Setp4：其中Pub_cPCE为cPCE的公钥，Pri_pPCE为pPCE的私钥；

Setp5：cPCE_i使用pPCE的公钥验证其签名的真实性后，然后计算自己的完整私钥Pri_cPCE(i)＝d_ik_sh(ID_i)，并使用私钥解密

③自治域内节点公私钥的建立

自治域内节点公私钥建立过程与PCE层中cPCE的公私钥建立过程相同，建立时pPCE仅需要修改系统主密钥为k_s＝Pri_cPCE(i)，公开参数为pars＝(G₁,G₂,q,g,Pub_cPCE(i),h)。

进一步地，所述的步骤三还包括：

步骤3.2会话密钥的建立

①PCE层会话密钥的建立

Setp1：pPCE与单个cPCE_i之间采用Diffie-Hellman算法进行会话密钥协商，利用Diffie-Hellman算法，可得其中为pPCE与单个cPCE_i间的会话密钥，为单个cPCE_i与pPCE间的会话密钥；

Setp2：cPCE_i与cPCE_j间的会话密钥采用身份密码学双性线的性质来生成：cPCE_i计算cPCE_j计算根据双性对性质，可得其中表示cPCE_i与cPCE_j间的会话密钥，表示cPCE_j与cPCE_i间的会话密钥，cPCE_i与cPCE_j为不同的cPCE；

②自治域层会话密钥的建立

在自治域层，域内节点与cPCE之间会话密钥协商和PCE层中cPCE与pPCE之间的会话密钥协商过程相同，域内节点与域内节点之间会话密钥的协商和cPCE与cPCE的会话密钥协商过程相同；

假定域A和域B是自治域层中的两个域，域A中节点m_i和域B中的节点m_j具有密钥超边，则域边界节点m_i、m_j之间的会话密钥协商过程如下：

Setp1：初始化；域A中的节点m_i计算X＝g ^xmodq，其中g为大素数q的生成元，域B中的节点m_j计算Y＝g ^ymodq，

Setp2：其中B-m_j表示此消息需要转发给域B中的节点m_j；表示m_i与cPCE_A之间的会话密钥，cPCE_A为域A中的子路径计算单元；

Setp3：cPCE_A将消息解密后，使用与cPCE_B共享的会话密钥进行加密传递；cPCE_B为域B中的子路径计算单元；

Setp4：cPCE_B将消息解密后，使用与m_j共享的会话密钥进行加密传递；

Setp5：域B中的节点m_j解密消息后，计算k_j-i＝X^ymodq，采用Setp2-Setp4相反的顺序将Y加密传递给域A中节点m_i；

Setp6：域A中的节点m_i成功收到Y后，计算k_i-j＝Y^xmodq；根据Diffie-Hellman算法，可得k_i-j＝k_j-i；

Setp7：cPCE_A生成域间密钥超边e_i-j(k_i-j)。

进一步地，所述的步骤三还包括：

步骤3.3层组密钥的建立

①PCE层组密钥的建立

Setp1：pPCE生成PCE层级的组密钥K₀＝h(r||cPCE₁||…||cPCE_d||pPCE)，其中表示随机数，cPCE_i(i∈1,d)中的i表示cPCE所在域的编号，d表示自治域的总个数；然后在密钥超图中生成超边E₀(K₀)；

Setp2：其中为pPCE与cPCE_i间的会话密钥，i∈[1,d]；

Setp3：cPCE_i采用解密得到层组密钥K₀；

②自治域层组密钥的建立

Setp1：cPCE_i生成该自治域层的组密钥K_i＝h(r||m_s||…||m_e||cPCE_i)，其中表示随机数，m_s和m_e表示域内的节点，s和e分别为域内节点的起始编号和结束编号；然后在密钥超图模型中生成超边E_i(K_i)；

Setp2：其中i∈[1,d]，为cPCEi与节点m_s和m_e的会话密钥；

Setp3：m_s-m_e采用解密得到本域的组密钥K_i。

进一步地，所述的密钥管理方案KMS-KI中，当有新成员加入时需要对组密钥更新，更新过程如下：

(1)新cPCE加入时的组密钥更新

Setp1：新成员cPCE_d→pPCE，申请加入超边E₀(K₀)；

Setp2：pPCE生成新的随机数并计算K₀′＝h(K₀||r||ID_d)作为新的组密钥，并更新超边E₀(K₀)为E₀(K₀′)；K₀、K₀′为组密钥；

Setp3：其中E(K₀)表示共享组密钥K₀的节点集合，r,ID_d为pPCE向E(K₀)-pPCE传递的密钥更新特征值，表示发送的消息为组播消息；

Setp4：其中为pPCE与PCEd之间的会话密钥；

Setp5：各cPCE_i(i≠d)使用层组密钥解密消息后，自行计算K₀′＝h(K₀||r||ID_d)作为新的组密钥；

Setp6：cPCE_d利用与pPCE之间的共享会话密钥解密得到新的组密钥K₀′。

(2)自治域新节点加入时的组密钥更新

在自治域层，当有新的节点需要加入时，需要更新密钥超边E_i(K_i)，其中1≤i≤d，其中d表示自治域的个数；当新节点m₁₉请求加入cPCE₃，即m₁₈所在的自治域3时，其组密钥更新过程下：

Setp1：新节点m₁₉→cPCE₃，申请加入超边E₃(K₃)；然后，m₁₉生成自身公私钥，并与cPCE₃以及自治域3中原有节点协商会话密钥；

Setp2：cPCE₃生成新的随机数并计算K₃′＝h(K₃||r||ID₁₉)作为新的组密钥，并更新超边E₃(K₃)为E₃(K₃′)；其中K₃为更新前的组密钥；

Setp3：其中m₁₁-m₁₅指域3中的原有节点；

Setp4： 指cPCE₃与m₁₉之间的会话密钥；

Setp5：m₁₁-m₁₅分别自行计算新的组密钥K₃′＝h(K₃||r||ID_d)；

Setp6：m₁₉利用与cPCE₃之间的会话密钥解密得到新的组密钥K₃′。

进一步地，所述的密钥管理方案KMS-KI中，当有新成员退出时需要对组密钥更新，更新过程如下：

(1)cPCE退出时的组密钥更新

Setp1：成员cPCE_k→pPCE，申请退出超边E₀(K₀)；

Setp2：更新超边E₀(K₀)为E₀(K₀′)，且其中

Setp3：各cPCE_i(i≠k)使用与pPCE共享的会话密钥解密信息后，分别自行计算K₀′＝h(K₀||r||ID_k)作为新的组密钥；

(2)自治域成员退出时的组密钥更新

Setp1：成员m_k→cPCE_i，申请退出超边E_i(K_i)，cPCE_i首先判断m_k是否为边界节点，若不是边界节点，则执行Setp5，若是边界节点，则执行Setp2；

Setp2：请求cPCE_j通知与m_k有关联边的域内节点销毁相关域边界节点之间的会话密钥；

Setp3：cPCE_j解密消息后，请求域内相关节点销毁与m_k有关联边的会话密钥；

Setp4：cPCE_j所在域的相关节点使用域内组密钥解密消息后，销毁与m_k相关的会话密钥；

Setp5：cPCE_i更新超边E_i(K_i)为E_i(K_i′)，其中E(K_i)表示共享组密钥K_i的节点集合；

Setp6：域内其他成员m_i(i≠k)使用与cPCE_i共享的会话密钥解密信息后，分别自行计算K_i′＝h(K_i||r||ID_k)作为新的组密钥。

本发明与现有技术相比具有以下技术特点：

由于光网络通信量巨大，因此其安全问题已经引起了行业的高度重视。针对高功率信号串扰、隐私泄露、拒绝服务、消息篡改、伪造与重放、身份假冒等安全威胁，各类安全解决方案需要使用加密、认证、数字签名、攻击检测和隐私保护等多项安全性保护措施，而这些安全机制离开不密钥的使用，因此密钥如何有效管理是光网络中的重要问题。针对此问题，本文以PCE构架下的多域光网络为研究对象，提出了一种新的基于超图理论和身份密码学的密钥管理方案(KMS-KI)，此方案具备前向安全、后向安全和抗共谋攻击能力，与典型的基于逻辑密钥树的分散式方案相比，在支持分层身份密码系统的同时，在密钥存储量、cPCE通信量和加解密次数等方面取得了较优的综合性能。

附图说明

图1为基于分层PCE的多域光网络模型结构图；

图2为多域光网络密钥超图模型结构图；

图3为新节点加入时的组密钥更新示意图；

图4为不同方案下cPCE密钥存储量的比较图；

图5为不同方案下成员退出时cPCE通信量比较图；

具体实施方式

步骤一，建立基于分层PCE多域光网络模型

图1给出了一种基于分层PCE的多域光网络的示例，该示例中包括3个域，每个域成员分别编号为m₁至m₁₅，其中m_1-5在域1中，m_6-10在域2中，m_11-15在域3中；同时每个域配有一个子路径计算单元cPCE(child-PCE)，整个网络配置有一个父路径计算单元pPCE(parent-PCE)；cPCE以及pPCE自身也是一个节点；假定源节点为m₁，目的节点为m₁₅。以图1的这个示例来说明具体的算路和建路过程如下：

第1步：源节点m₁作为PCC(Path Computation Client)向本域的子PCE(即cPCE-1)发送跨域路径计算请求消息，然后cPCE-1将请求转发给父PCE(即pPCE)；

第2步：父PCE接收到请求后，首先确定目的节点m₁₅所在的域，然后计算出一条源到目的节点的抽象路由，并发送算路请求给相关的子PCE，即要求子PCE联合计算出源点到边界点、边界点到边界点、边界点到目的的路径段；

第3步：父PCE收到来自相关子PCE的路径段计算结果后，首先将这些路径段进行合并处理，得到多条端到端的跨域路径，然后从中选择一条满足约束条件的最优的路径作为最终计算结果，并将该结果发送给子PCE1；

第4步：子cPCE-1收到来自父pPCE的算路结果后，将计算得到的路径信息发送给PCC，即完成了跨域路径的计算；

第5步：源节点启用RSVP-TE或CR-LDP信令协议进行建路处理，即完成可用波长等资源的收集和分配，从而完成整条端到端光路径建立成功，如果建路失败，光连接请求被阻塞。

步骤二，建立多域光网络密钥超图模型

2.1超图理论

1973年，C.Berge提出了超图的概念，并首次创建了无向超图理论。随着研究的深入，超图理论在运筹学、网络通信等领域也有着广泛的应用。超图的一般数学定义为：

设H＝(V,E)，其中V是所有节点的集合，E是V中节点构成的超边集合，其中连接两个顶点的边是超边集合的特例，则称H＝(V,E)为超图。

2.2分层的身份密码系统

针对基于公钥基础设施PKI(Public Key Infrastructure)的密码体制存在证书管理结构复杂且成本过高等问题，1984年Shamir提出了基于身份的密码系统IBC(Identity-Based Cryptosystem)的思想。此后，利用双线性对性质，基于身份的加密IBE(Identity-Based Encryption)方案和基于身份的签名IBS(Identity-Based Signature)方案相继被提出。由于基于单个私钥生成中心PKG(Private Key Generator)的IBC方案存在单点失效影响全局的问题，因此分层的IBC方案引起了人们的重视，即引入子层私钥生成中心PKG来分担根节点私钥生成中心PKG的密钥管理任务，每个私钥生成中心PKG只为其子节点下的用户计算私钥，这在一定程度上降低了系统的风险，下面引入双线性对的定义及其性质。

双线性对：设G₁为q阶的加法循环群，G₂为q阶的乘法循环群，其中q为一个大素数，e:G₁×G₁→G₂为一个双线性对映射，且满足如下性质：

(1)双性线：对其中为模q的整数乘法群，使得e(αA,βB)＝e(A,B)^αβ；

(2)非退化性：存在A,B∈G₁，使得e(A,B)≠1；

(3)可计算性：对存在可计算e(A,B)的算法。

本方案将超图理论应用于多域光网络密钥管理模型中，将密钥关系建模成两层密钥超图，即用点表示顶点，用超边描述各层级密钥关系，使网络的密钥层次关系能够更好地反映在密钥超图模型中。

在多域光网络模型的基础上，建立多域光网络密钥超图模型：

多域光密钥超图模型定义为层次型密钥超图G＝(M,E)，其中M表示光网络中的节点集合，M＝(m₀,m₂,…,m_n-1)；E为M中的节点构成的超边集合，E＝(E₀(K₀),…,E_d(K_d),e₀(k₀),…,e_t(k_t-1))且|E_i|≥1，|d|表示自治域的总个数，|t|表示连接两个不同域顶点的总边数，K_i(i∈0,d)或k_i(i∈0,t-1)表示E_i(i∈0,d)或e_i(i∈0,t)所覆盖节点的组密钥。整个密钥超图分为两层，即PCE层和自治域层。在PCE层中，pPCE作为各cPCE的私钥生成中心PKG或KGC，cPCE作为各自治域的私钥生成中心PKG或KGC。

图2为基于图1所示网络拓扑的密钥超图模型，其中E₀(K₀)表示各cPCE(即m₀,m₁₆,m₁₇,m₁₈)共享组密钥K₀的超边，E₁(K₁)、E₂(K₂)和E₃(K₃)分别表示域1、域2和域3相关节点共享密钥K₁、K₂和K₃的超边，e₀(k₀)和e₁(k₁)表示域1和域2、域2和域3边界节点之间共享密钥k₀和k₁的超边，例如e₀(k₀)表示{m₅,m₆}共享密钥k₀。

步骤三，建立密钥管理方案KMS-KI

融合改进的私钥生成策略和基于成员特征值的密钥更新思想，本方案提出了一种基于密钥超图和身份密码的多域光网络密钥管理方法，简称为KMS-KI(Key ManagementScheme based on Key hypergraph and Identity cryptosystem in multi-domainoptical Networks)。

参数与符号定义：

参考RFC 5440有关PCE架构下多域光网络的密钥管理建议，KMS-KI密钥管理方案涉及的参数与符号定义如表1所示，相关层次的密钥类型如表2所示。

表1参数符号与定义

Tab.1 The definition of symbols and parameter

表2密钥类型

Tab.2 The type of keys

KMS-KI分为PCE层和自治域层，其中PCE层包括cPCE以及pPCE，自治域层包括各个子域。本方案围绕密钥管理的主要过程将两层统一进行描述。

步骤3.1密钥建立

(1)公私钥的建立

①pPCE公私钥的建立

pPCE作为PCE层的私钥生成中心PKG，首先利用参数生成器，输入系统大素数q和安全参数k_q，输出G₁、G₂和e，选取G₁的一个生成元g和哈希函数h:{0,1}^*→G₁，随机选择作为私钥生成中心PKG的系统主密钥，同时设置pPCE的私钥Pri_pPCE＝k_s，pPCE的公钥Pub_pPCE＝k_sg，生成系统密码套件的公开参数pars＝(G₁,G₂,q,g,Pub_pPCE,h)。

②cPCE公私钥的建立

Setp1：初始化。离线对cPCE_i预置公开参数pars，然后cPCE_i生成身份标识ID_i＝d_ig作为自己的公钥Pub_cPCE(i)，并计算会话密钥协商所需参数其中g为生成元，并将标识ID_i和相应的用户口令pw预置于pPCE中。

Setp2：即cPCE_i请求pPCE为自己生成部分私钥信息，并使用pPCE的公钥加密此消息。

Setp3：pPCE使用私钥解密请求消息及验证用户cPCE_i的真实性后，计算cPCE_i的部分私钥信息k_sh(ID_i)，并选择随机数计算会话密钥协商所需参数Y＝g^pmodq；

Setp4：

Setp5：cPCE_i使用pPCE的公钥验证其签名的真实性后，然后计算自己的完整私钥Pri_cPCE(i)＝d_ik_sh(ID_i)，并使用私钥解密

③域内节点公私钥的建立

在自治域层，由于pPCE需要完成域内集中式管理的路径计算单元工作，因此本方案选择pPCE作为本域的私钥生成中心PKG来完成密钥管理。域内节点公私钥建立过程与PCE层中cPCE的公私钥建立过程相同，pPCE仅需要修改系统主密钥k_s＝Pri_cPCE(i)，参数pars＝(G₁,G₂,q,g,Pub_cPCE(i),h)。

步骤3.2会话密钥的建立

①PCE层会话密钥的建立

Setp1：pPCE与单个cPCE_i之间采用Diffie-Hellman算法进行会话密钥协商，即pPCE计算cPCE_i计算根据Diffie-Hellman算法原理，可得

Setp2：cPCE_i与cPCE_j间的会话密钥采用身份密码学双性线的性质来生成，cPCE_i计算cPCE_j计算根据双性对性质，可得

②自治域层会话密钥的建立

在自治域层，域内节点与cPCE之间会话密钥协商和PCE层中cPCE与pPCE之间的会话密钥协商过程相同，域内节点与域内节点之间会话密钥的协商和cPCE与cPCE的会话密钥协商过程相同，这里只重点描述域边界节点之间的会话密钥协商过程。假定域A中节点m_i和域B中的节点m_j具有密钥超边，两者的会话密钥协商步骤如下：

Setp1：初始化。域A节点m_i计算X＝g ^xmodq，其中g为大素数q的生成元，域B节点m_j计算Y＝g ^ymodq，

Setp2：其中B-m_j表示此消息需要转发给域B中的节点m_j。

Setp3：cPCE_A将消息解密后，使用与cPCE_B共享的会话密钥进行加密传递。

Setp4：cPCE_B将消息解密后，使用与m_j共享的会话密钥进行加密传递。

Setp5：域B中的节点m_j解密此消息后，计算k_j-i＝X^ymodq，采用Setp2-Setp4相反的顺序将Y加密传递给域A中节点m_i。

Setp6：域A中的节点m_i成功收到Y后，计算k_i-j＝Y^xmodq。根据Diffie-Hellman原理，可得k_i-j＝k_j-i。

Setp7：cPCE_A生成域间密钥超边e_i-j(k_i-j)。

步骤3.3层组密钥的建立

①PCE层组密钥的建立

Setp1：pPCE生成PCE层级的组密钥K₀＝h(r||cPCE₁||…||cPCE_d||pPCE)，其中表示随机数，cPCE_i表示代表cPCE所在域的编号，d表示自治域的总个数，然后在密钥超图中生成超边E₀(K₀)。

Setp2：其中i∈[1,d]。

Setp3：cPCE_i采用解密得到层组密钥K₀。

②自治域层组密钥的建立

Setp1：cPCE_i生成该自治域层的组密钥K_i＝h(r||m_s||…||m_e||cPCE_i)，其中表示随机数，m_s和m_e分别表示域内的节点，s和e分别为域内节点的起始编号和结束编号；然后在密钥超图模型中生成超边E_i(K_i)。

Setp2：其中i∈[1,d]。

Setp3：m_s-m_e采用解密得到本域的组密钥K_i。

步骤3.4成员加入时的组密钥更新

(1)新cPCE加入时的组密钥更新

当有新cPCE需要加入时，新cPCE成员的公私钥建立，与pPCE、cPCE之间会话密钥的协商过程见步骤3.1。但是，为了后向安全性考虑，需要对PCE层的组密钥进行更新。为了简化更新过程，本方案采用成员特征值的基本思想，即当新的PCE成员加入时，根据pPCE传递的密钥更新特征值，剩余PCE成员可自行计算和更换新的组密钥，具体过程如下：

Setp1：新成员cPCE_d→pPCE，申请加入超边E₀(K₀)。

Setp2：pPCE生成新的随机数并计算K₀′＝h(K₀||r||ID_d)作为新的组密钥，并更新超边E₀(K₀)为E₀(K₀′)。

Setp3：其中E(K₀)表示共享组密钥K₀的节点集合，r,ID_d为pPCE向E₀(K₀)-pPCE传递的密钥更新特征值；

Setp4：

Setp5：各cPCE_i(i≠d)使用组密钥解密消息后，自行计算K₀′＝h(K₀||r||ID_d)作为新的组密钥。

Setp6：cPCE_d利用与pPCE之间的共享会话密钥解密得到新的组密钥K₀′。

(2)自治域新节点加入时的组密钥更新

在自治域层，当有新的节点需要加入时，需要更新密钥超边E_i(K_i)，其中1≤i≤d，其中d表示自治域的个数，其组密钥更新过程与新cPCE加入时的密钥更新过程类似，如图3所示，当新节点m19请求加入cPCE₃所在的自治域3时，其组密钥更新过程下：

Setp1：新节点m₁₉→cPCE₃，申请加入超边E₃(K₃)。然后，m₁₉利用3.2.1节描述的方法，生成自身公私钥，并与cPCE₃(即m₁₈)以及原有节点m₁₁-m₁₅协商会话密钥。

Setp2：cPCE₃生成新的随机数并计算K₃′＝h(K₃||r||ID₁₉)作为新的组密钥，并更新超边E₃(K₃)为E₃(K₃′)。

Setp3：

Setp4：

Setp5：m₁₁-m₁₅分别自行计算新的组密钥K₃′＝h(K₃||r||ID_d)。

Setp6：m₁₉利用与cPCE₃之间的共享会话密钥解密得到新的组密钥K₃′。

步骤3.5成员退出时的组密钥更新

(1)cPCE退出时的组密钥更新

当有cPCE成员需要退出时，为了前向安全性考虑，需要对PCE层的组密钥进行更新，具体过程如下：

Setp1：成员cPCE_k→pPCE，申请退出超边E₀(K₀)。

Setp2：更新超边E₀(K₀)为E₀(K₀′)，且其中

Setp3：各cPCE_i(i≠k)使用与pPCE共享的会话密钥解密信息后，分别自行计算K₀′＝h(K₀||r||ID_k)作为新的组密钥。

(2)自治域成员退出时的组密钥更新

自治域内成员退出时的组密钥更新过程与PCE层中cPCP退出时基本相似，但是还需要考虑域边界之间会话密钥的销毁。具体过程如下：

Setp1：成员m_k→cPCE_i，申请退出超边E_i(K_i)，cPCE_i首先判断m_k是否为边界节点，若不是边界节点，则执行Setp5；若是边界节点，则执行Setp2。

Setp2：即请求cPCE_j通知与m_k有关联边的域内节点销毁相关域边界节点之间的会话密钥。

Setp3：cPCE_j解密此消息后，即请求域内相关节点销毁与m_k有关联边的会话密钥。

Setp4：cPCE_j所在域的相关节点使用域内组密钥解密此消息后，销毁与m_k相关的会话密钥。

Setp5：cPCE_i更新超边E_i(K_i)为E_i(K_i′)，其中E(K_i)表示共享组密钥K_i的节点集合；

Setp6：域内其他成员m_i(i≠k)使用与cPCE_i共享的会话密钥解密信息后，分别自行计算K_i′＝h(K_i||r||ID_k)作为新的组密钥。

KMS-KI性能比较分析

1.安全性分析

(1)前向安全性

本方案中，当单个cPCE或单个域成员离开时，对应的pPCE或cPCE计算并使用节点会话密钥加密发送随机数和退出成员的ID给其他组成员，剩余成员可自行计算得到新的组密钥，但是离开的成员由于不知道其他组成员的会话密钥，因此不能计算出更新后的组密钥。同时，若该成员为边界节点，域边界邻居节点销毁了与退出成员之间的会话密钥。因此，方案可确保群组成员在退出群组后，无法获知其退出后的群组通信内容，即实现了前向安全性。

(2)后向安全性

当单个新cPCE或单个新域成员申请加入时，采用了与成员退出时类似的组密钥更新策略，可确保新加入的群组成员无法获知其加入前群组通信的内容，即实现了后向安全性。

(3)抗串谋攻击

假设节点m_i和m_j为串谋敌手，m_i首先离开，m_j可知道新的随机数r和m_i的ID值，从而计算出新的组密钥，但是当m_j离开后，由于m_i和m_j均无法获得新的随机数r，即使他们联合，也无法计算出新的组密钥。因此，方案具有抗串谋攻击能力。

(4)私钥保密性

在方案中，由于用户的私钥由节点与cPCE或pPCE联合生成，cPCE或pPCE也无法知道其成员的私钥，因此，即使cPCE或pPCE的主密钥泄露，也不会造成成员节点的私钥和共享的会话密钥泄露。

(5)支持分层身份密码系统

本方案利用双线性对性质和分层身份密码的特点，建立的公私钥和协商出的会话密钥，可用于后续通信中，实现基于身份的加密(IBE)和基于身份的数字签名(IBS)，并且降低了单个私钥生成中心PKG失效的风险。

本文选择典型的Iolus方案、Saroit方案和Du方案进行安全性对比，结果如表3所示，可见Saroit方案不具备抗串谋攻击能力，Iolus、Saroit和Du方案目前均没有考虑对身份密码系统的支撑，本KMS-KI方案具有前向安全与后向安全、抗串谋攻击、私钥保密性和支持身份密码系统的能力。

表3安全属性比较

Tab.3 Comparison of security attribution

2.性能比较分析

本文围绕密钥存储量、cPCE通信量和基于加解密次数的计算量进行分析，并与几种典型的分散式方案进行比较。为了与其它方案的基本约定统一起见，这里设n表示所有域成员的总数量，m表示域(或cPCE)的个数，按域成员平均分配法，m/n表示每个域的成员数量，d表示逻辑密钥树的度数，对于二叉逻辑密钥树，取d＝2。

2.1密钥存储量分析

在本方案KMS-KI中，由于密钥存储在pPCE、cPCE和域内成员之中，因此这里分开进行分析。

在pPCE中，需要存储1对自身的公私钥，m个与cPCE的会话密钥，1个层组密钥，因此其密钥存储量为m+3。

在cPCE中，需要存储1对自身的公私钥和1个pPCE的公钥，1个与pPCE的会话密钥，m-1个与其它cPCE的会话密钥，n/m个与域成员的会话密钥，1个PCE层的组密钥，1个自治域层的组密钥，因此，其密钥存储量为5+m+n/m。

在域内节点中，需要存储1对自身的公私钥和1个cPCE的公钥，1个与cPCE的会话密钥，n/m个与域成员的会话密钥，至多n/m个与域边界节点之间的会话密钥，因此，其密钥存储量至多为4+2(n/m)。

KMS-KI方案与Iolus、Saroit和Du方案的密钥存储量比较结果如表4所示，各方案中pPCE的密钥存储量区别不大，KMS-KI略高；cPCE的密钥存储量与自治域数量m关系较大，如图4所示(取n＝60)，当m较小时，Saroit的密钥存储量最高且区别较大，Du方案最小，当m增大后，KMS-KI方案相对较高。

表4密钥存储量比较

Tab.4 Comparison of key storage numbers

2.2 cPCE通信量分析

在各类节点，由于域内成员数量n/m一般大于cPCE的个数m，因此cPCE与域内成员节点通信量的大小可最大程度反映出密钥管理方案的通信量。

当新的域内成员加入时，cPCE需要给原有成员发送一个组播消息，此消息包括新的随机数和新加入成员的ID值，用于原有成员自行计算新的组密钥；另外，cPCE还需要发送一个单播消息给新成员，此消息包括已经计算好的新的组密钥。因此，cPCE的通信量为2。

当域内成员退出时，若退出成员为边界节点，出于多域光网络邻域安全通信的考虑，cPCE需要给邻居cPCE发送一个组播消息，用于域边界节点之间会话密钥的销毁；另外，cPCE还需要发送n/m-1个单播消息给退出节点之外的成员。因此，当成员退出该域时，cPCE的最大通信量为n/m，最小通信量为n/m-1。

KMS-KI方案与Iolus、Saroit和Du方案的cPCE通信量比较结果如表5所示，当成员加入时，KMS-KI通信量与Iolus、Du方案相同，Saroit方案最高；当成员退出时，如图5所示(取n＝60)，Saroit方案通信量最低，但是不能防范串谋攻击，KMS-KI方案的通信量与Iolus方案相当。

表5 cPCE通信量比较

Tab.5 Comparison of communication numbers of cPCE

2.3加解密次数

与本文选择自治域层中节点加入和节点退出时需要的加解密次数来衡量方案的计算量。

在自治域层，当域内新成员加入时，cPCE需要使用原来的域内层组密钥加密新的随机数和新成员ID值，并以组播的形式发送给域内成员，另外cPCE还需要使用与新成员协商的会话密钥加密计算出的新的域内层组密钥，发送给新的域内成员，因此cPCE的加密次数是2，每个成员的解密次数为1。

在自治域层，当域内边界成员离开时，cPCE需要使用PCE层的组密钥加密并发送一个用于边界节点之间会话密钥销毁的组播消息给邻域cPCE；另外，cPCE还需要使用与每个非退出域内成员的会话密钥加密并发送n/m-1个单播消息给退出节点之外的成员。可见，当域内边界成员退出该域时，cPCE的加密次数为n/m，当域内非边界成员退出该域时，cPCE的加密次数为n/m-1，每个域内成员的解密次数为1。

KMS-KI方案与Iolus、Saroit和Du方案的cPCE加解密次数比较结果如表6所示。当成员加入时，本KMS-KI方案与Iolus方案的cPCE加密次数最小，Saroit方案的成员解密次数最多；当成员退出时，Saroit方案的cPCE加密次数和成员解密次数最小，但不能防范串谋攻击，本KMS-KI方案与Iolus方案的cPCE加密次数和成员解密次数相同。

表6自治域层加解密次数比较

Tab.6 Comparison of encryption and decryption times in autonomousdomain layer

Claims (5)

1.一种基于密钥超图和身份密码的多光域网络密钥管理方法，其特征在于，包括以下步骤：

步骤一，建立基于分层PCE的多域光网络模型

多域光网络模型的每个子域中配有一个子路径计算单元cPCE，整个模型中配有一个父路径计算单元pPCE，节点分布于子域中；

步骤二，建立多域光网络密钥超图模型

在多域光网络模型的基础上，建立多域光网络密钥超图模型G：

G＝(M,E)

其中，M表示光网络中的节点集合，M＝(m₀,m₂,…,m_n-1)；E为M中的节点构成的超边集合，E＝(E₀(K₀),…,E_d(K_d),e₀(k₀),…,e_t(k_t-1))；|E_i|≥1，|d|表示自治域的总个数，|t|表示连接两个不同域顶点的总边数，K_i(i∈0,d)、k_i(i∈0,t-1)表示超边E_i(i∈0,d)、e_i(i∈0,t)所覆盖节点的组密钥；

步骤三，建立密钥管理方案KMS-KI

在KMS-KI中，将步骤二建立的超图模型分为PCE层和自治域层，其中PCE层包括cPCE以及pPCE，自治域层包括各个子域；

步骤3.1密钥建立

(1)公私钥的建立

①pPCE公私钥的建立

将pPCE作为PCE层的私钥生成中心PKG，利用参数生成器，输入系统大素数q和系统安全参数k_q，输出G₁、G₂和e；其中G₁为q阶的加法循环群，G₂为q阶的乘法循环群，e为双线性对映射；选取G₁的一个生成元g和哈希函数h:{0,1}^*→G₁，随机选择作为私钥生成中心PKG的系统主密钥，为模q整数乘法群；同时设置pPCE的私钥Pri_pPCE＝k_s，k_s为系统主密钥；pPCE的公钥Pub_pPCE＝k_sg，生成系统密码套件的公开参数pars＝(G₁,G₂,q,g,Pub_pPCE,h)；

②cPCE公私钥的建立

Setp1：初始化

离线对cPCE_i(i表示自治域个数)预置公开参数pars，然后cPCE_i生成身份标识ID_i＝d_ig作为自己的公钥Pub_cPCE(i)，并计算会话密钥协商所需参数其中g为G₁的一个生成元，并将身份标识ID_i和相应的用户口令pw预置于pPCE中；

Setp2：cPCE_i请求pPCE为自己生成部分私钥信息，并使用pPCE的公钥加密此请求消息；

Setp3：pPCE使用私钥解密请求消息及验证用户cPCE_i的真实性后，计算cPCE_i的部分私钥信息k_sh(ID_i)，并选择随机数计算会话密钥协商所需参数Y＝g^pmodq；

Setp4：pPCE→cPCE_i:[k_sh(ID_i),[Y]_PubcPCE]_PripPCE；其中Pub_cPCE为cPCE的公钥，Pri_pPCE为pPCE的私钥；

Setp5：cPCE_i使用pPCE的公钥验证其签名的真实性后，然后计算自己的完整私钥Pri_cPCE(i)＝d_ik_sh(ID_i)，并使用私钥解密[Y]_PubcPCE；

③自治域内节点公私钥的建立

自治域内节点公私钥建立过程与PCE层中cPCE的公私钥建立过程相同，建立时pPCE仅需要修改系统主密钥为k_s＝Pri_cPCE(i)，公开参数为pars＝(G₁,G₂,q,g,Pub_cPCE(i),h)。

2.如权利要求1所述的基于密钥超图和身份密码的多光域网络密钥管理方法，其特征在于，所述的步骤三还包括：

步骤3.2会话密钥的建立

①PCE层会话密钥的建立

Setp1：pPCE与单个cPCE_i之间采用Diffie-Hellman算法进行会话密钥协商，利用Diffie-Hellman算法，可得其中为pPCE与单个cPCE_i间的会话密钥，为单个cPCE_i与pPCE间的会话密钥；

Setp2：cPCE_i与cPCE_j间的会话密钥采用身份密码学双性线的性质来生成：cPCE_i计算cPCE_j计算根据双性对性质，可得其中表示cPCE_i与cPCE_j间的会话密钥，表示cPCE_j与cPCE_i间的会话密钥，cPCE_i与cPCE_j为不同的cPCE；

②自治域层会话密钥的建立

在自治域层，域内节点与cPCE之间会话密钥协商和PCE层中cPCE与pPCE之间的会话密钥协商过程相同，域内节点与域内节点之间会话密钥的协商和cPCE与cPCE的会话密钥协商过程相同；

假定域A和域B是自治域层中的两个域，域A中节点m_i和域B中的节点m_j具有密钥超边，则域边界节点m_i、m_j之间的会话密钥协商过程如下：

Setp1：初始化；域A中的节点m_i计算X＝g^xmodq，其中g为大素数q的生成元，域B中的节点m_j计算Y＝g^ymodq，

Setp2：其中B-m_j表示此消息需要转发给域B中的节点m_j；表示m_i与cPCE_A之间的会话密钥，cPCE_A为域A中的子路径计算单元；

Setp3：cPCE_A将消息解密后，使用与cPCE_B共享的会话密钥进行加密传递；cPCE_B为域B中的子路径计算单元；

Setp4：cPCE_B将消息解密后，使用与m_j共享的会话密钥进行加密传递；

Setp5：域B中的节点m_j解密消息后，计算k_j-i＝X^ymodq，采用Setp2-Setp4相反的顺序将Y加密传递给域A中节点m_i；

Setp6：域A中的节点m_i成功收到Y后，计算k_i-j＝Y^xmodq；根据Diffie-Hellman算法，可得k_i-j＝k_j-i；

Setp7：cPCE_A生成域间密钥超边e_i-j(k_i-j)。

3.如权利要求1所述的基于密钥超图和身份密码的多光域网络密钥管理方法，其特征在于，所述的步骤三还包括：

步骤3.3层组密钥的建立

①PCE层组密钥的建立

Setp1：pPCE生成PCE层级的组密钥K₀＝h(r||cPCE₁||…||cPCE_d||pPCE)，其中表示随机数，cPCE_i(i∈1,d)中的i表示cPCE所在域的编号，d表示自治域的总个数；然后在密钥超图中生成超边E₀(K₀)；

Setp2：其中为pPCE与cPCE_i间的会话密钥，i∈[1,d]；

Setp3：cPCE_i采用解密得到层组密钥K₀；

②自治域层组密钥的建立

Setp1：cPCE_i生成该自治域层的组密钥K_i＝h(r||m_s||…||m_e||cPCE_i)，其中表示随机数，m_s和m_e表示域内的节点，s和e分别为域内节点的起始编号和结束编号；然后在密钥超图模型中生成超边E_i(K_i)；

Setp2：其中i∈[1,d]，为cPCEi与节点m_s和m_e的会话密钥；

Setp3：m_s-m_e采用解密得到本域的组密钥K_i。

4.如权利要求1所述的基于密钥超图和身份密码的多光域网络密钥管理方法，其特征在于，所述的密钥管理方案KMS-KI中，当有新成员加入时需要对组密钥更新，更新过程如下：

(1)新cPCE加入时的组密钥更新

Setp1：新成员cPCE_d→pPCE，申请加入超边E₀(K₀)；

Setp2：pPCE生成新的随机数并计算K₀′＝h(K₀||r||ID_d)作为新的组密钥，并更新超边E₀(K₀)为E₀(K₀′)；K₀、K₀′为组密钥；

Setp3：其中E(K₀)表示共享组密钥K₀的节点集合，r,ID_d为pPCE向E(K₀)-pPCE传递的密钥更新特征值，表示发送的消息为组播消息；

Setp4：其中为pPCE与PCEd之间的会话密钥；

Setp5：各cPCE_i(i≠d)使用层组密钥解密消息后，自行计算K₀′＝h(K₀||r||ID_d)作为新的组密钥；

Setp6：cPCE_d利用与pPCE之间的共享会话密钥解密得到新的组密钥K₀′；

(2)自治域新节点加入时的组密钥更新

在自治域层，当有新的节点需要加入时，需要更新密钥超边E_i(K_i)，其中1≤i≤d，其中d表示自治域的个数；当新节点m₁₉请求加入cPCE₃，即m₁₈所在的自治域3时，其组密钥更新过程下：

Setp1：新节点m₁₉→cPCE₃，申请加入超边E₃(K₃)；然后，m₁₉生成自身公私钥，并与cPCE₃以及自治域3中原有节点协商会话密钥；

Setp2：cPCE₃生成新的随机数并计算K₃′＝h(K₃||r||ID₁₉)作为新的组密钥，并更新超边E₃(K₃)为E₃(K₃′)；其中K₃为更新前的组密钥；

Setp3：其中m₁₁-m₁₅指域3中的原有节点；

Setp4： 指cPCE₃与m₁₉之间的会话密钥；

Setp5：m₁₁-m₁₅分别自行计算新的组密钥K₃′＝h(K₃||r||ID_d)；

Setp6：m₁₉利用与cPCE₃之间的会话密钥解密得到新的组密钥K₃′。

5.如权利要求1所述的基于密钥超图和身份密码的多光域网络密钥管理方法，其特征在于，所述的密钥管理方案KMS-KI中，当有新成员退出时需要对组密钥更新，更新过程如下：

(1)cPCE退出时的组密钥更新

Setp1：成员cPCE_k→pPCE，申请退出超边E₀(K₀)；

Setp2：更新超边E₀(K₀)为E₀(K₀′)，且其中

Setp3：各cPCE_i(i≠k)使用与pPCE共享的会话密钥解密信息后，分别自行计算K₀′＝h(K₀||r||ID_k)作为新的组密钥；

(2)自治域成员退出时的组密钥更新

Setp1：成员m_k→cPCE_i，申请退出超边E_i(K_i)，cPCE_i首先判断m_k是否为边界节点，若不是边界节点，则执行Setp5，若是边界节点，则执行Setp2；

Setp2：请求cPCE_j通知与m_k有关联边的域内节点销毁相关域边界节点之间的会话密钥；

Setp3：cPCE_j解密消息后，请求域内相关节点销毁与m_k有关联边的会话密钥；

Setp4：cPCE_j所在域的相关节点使用域内组密钥解密消息后，销毁与m_k相关的会话密钥；

Setp5：cPCE_i更新超边E_i(K_i)为E_i(K_i′)，其中E(K_i)表示共享组密钥K_i的节点集合；

Setp6：域内其他成员m_i(i≠k)使用与cPCE_i共享的会话密钥解密信息后，分别自行计算K_i′＝h(K_i||r||ID_k)作为新的组密钥。