CN109257173B - 基于权限信息交换的非对称群组密钥协商方法 - Google Patents

Abstract

本发明提出了一种基于权限信息交换的非对称群组密钥协商方法，将终端成员具有的属性作为权限参数，各终端成员将其属性集及属性集的散列值签名发送给密钥生成中心。密钥生成中心对终端成员的属性集散列值签名进行身份验证；验证通过则该成员获取属性对应的权限密钥参数；信息发送者根据所交换的信息敏感度，将需要广播的信息用特定属性对应的权限密钥参数及选择的随机密钥因子进行加密并广播给群组成员，具有该敏感信息访问权限的成员则用对应访问权限的密钥参数计算广播密文信息的解密密钥，通过解密密钥解密广播的密文以获取对应的明文信息，实现具有特定权限的群组成员间秘密信息共享。本发明可防止未授权成员参与群组密钥协商，保护个人隐私。

Description

基于权限信息交换的非对称群组密钥协商方法

技术领域

本发明涉及信息安全的技术领域，尤其涉及一种基于权限信息交换的非对称群组密钥协商方法，通过群组成员的权限认证及群组密钥的计算，实现具有特定权限的群组成员间的安全信息交换及安全信息传输。

背景技术

面向群组的组播通信具有广泛的应用，如秘密文件共享、视频会议及多方安全计算等应用。在开放的、不可信任的互联网上进行群组通信需要保障信息的安全交换及安全传输。群组密钥协商是群组之间在线计算出群组会话密钥，进而用该会话密钥进行群组加密通信，是保障群组之间进行安全信息交换与传输的关键技术之一。

为了防止不具有某些权限的终端加入群组通信，群组终端在进行群组密钥协商过程中需要进行身份认证。传统可认证的群组密钥协商多采用基于身份认证的群组密钥协商或基于证书的群组密钥协商，基于证书认证的群组密钥协商涉及到证书的管理复杂及安全性问题，基于身份认证的群组密钥协商涉及到密钥托管问题，密钥托管具有固有的安全缺陷，容易暴露个人身份信息。基于属性认证是通过判断终端是否具有某些特定的属性或者属性组合来确认终端身份，隐藏了终端的具体身份信息，起到了保护个人某些隐私问题。

传统的群组信息交换，群组成员发送的所有信息，群组中所有的成员都可以解密该信息，获取对应的明文，群组信息不区分信息的保密程度，群组成员具有相同的访问权限，这种方案在实际应用环境下受到约束，实用性差，不够灵活。复杂群组通信及信息共享情况下，通信多方需要对通信成员进行身份认证，但在提供身份信息时，身份信息容易泄露或者被窃取。出于安全考虑，通信多方需要认证的同时，对个人身份隐私进行保护。在信息共享时，不同的信息往往具有不同的安全保密度，如绝密、秘密、保密等，对于某种特定的信息，要求具有特定权限的成员才能共享。在信息安全交换过程中，群组之间交换的信息具有不同的敏感程度，一些保密级别较高的敏感度信息只能在群组中某些特定的成员间进行交换，或者不同敏感度的信息需要具有某些特定访问权限的群组成员间进行交换，因此，终端不同的成员具有不同的信息访问权限，群组成员之间根据不同成员的访问权限交换不同敏感度的群组信息，是当前继续解决的问题。

目前，针对基于权限信息交换的非对称群组密钥协商的研究尚未出现。一系列的挑战性问题有待解决，包括群组个人属性隐私保护问题及群组信息交换的访问权限等等方面的工作尚无先例。

发明内容

针对现有信息交换过程中，群组成员之间不能根据不同成员的访问权限交换不同敏感度的群组信息的技术问题，本发明提出一种基于权限信息交换的非对称群组密钥协商方法，。

为了达到上述目的，本发明的技术方案是这样实现的：一种基于权限信息交换的非对称群组密钥协商方法，其步骤如下：

步骤一：属性认证并获得群组权限密钥参数：

A)域内的密钥生成中心AA对其内终端成员u_i进行属性认证；其中，1≤i≤n，n为密钥生成中心AA的终端成员个数；

B)密钥生成中心AA计算群组权限密钥参数，并将群组权限密钥参数用属性加密返回给属性认证通过的终端成员u_i；

C)终端成员u_i保存密钥生成中心AA反馈的群组权限密钥参数；

步骤二：群组中终端成员之间进行密钥协商：

D)群组密钥协商的发送者u_l根据交换信息的成员所要求的属性，在群组权限密钥参数池中选取相应的群组权限密钥参数，发送者u_l随机选择一个群组密钥因子

并用群组密钥因子m_l加密所选取的群组权限密钥参数及群组密钥交换成员的公钥，然后广播加密后的群组密钥参数、属性散列值、群组加密密钥及其相关参数，其中，1≤l≤n，

表示阶为q的整数集；

E)其余终端成员u_ω收到发送者u_l广播的消息后，终端成员u_ω用自己的私钥解密广播消息并获取对应的群组权限密钥参数及群组密钥因子m_l，计算群组解密密钥；其中，1≤ω≠l≤n，u_ω表示发送者u_l所选取的参与群组密钥协商的终端成员；

步骤三：自证实群组密钥：

F)群组的终端成员u_ω及发送者u_l计算出群组密钥后，通过双线性映射自证实所计算的群组解密密钥是否正确。

所述属性认证的实现方法为：

(1)域内每个终端成员u_i所具有的属性集合用U_a,i＝{attr_i,1,attr_i,2,...,attr_i,k}表示，终端成员u_i计算

和

然后终端成员u_i将消息

发送给密钥生成中心AA；attr_i,k表示终端成员u_i的第k个属性，

为随机整数，g₁为群的生产元，β_i和S_i为计算需要的中间变量，

为终端成员u_i私钥的倒数，

为终端成员u_i的公钥，

为终端成员u_i的身份标识，H₁(.)表示散列函数；

(2)密钥生成中心AA收到终端成员u_i发送的消息

后，密钥生成中心AA计算γ_i＝H₁(attr_i,1,attr_i,2,...,attr_i,k)g₁；然后，密钥生成中心AA计算

并验证是否成立，如果等式成立，则密钥生成中心AA确认属性集U_a,i属于终端成员u_i；密钥生成中心AA根据终端成员u_i的属性数量选择对应的数量的随机整数

密钥生成中心AA分别计算{A_i,1＝H₁(attr_i,1),A_i,2＝H₁(attr_i,2),...,A_i,k＝H₁(attr_i,k)}、

以及

然后，密钥生成中AA反馈消息

给终端成员u_i；其中γ_i、A_i,k、η_i、TH_i为计算所需要的中间变量，

为群组权限密钥参数，

为AA的私钥的倒数，e(.)为双线性映射函数，H₂(.)为散列函数；且对应任意两个属性attr_i,k和attr_j,k，如果attr_i,k＝attr_j,k，则有有随机整数t_i＝t_j；

(3)终端成员u_i收到密钥生成中心AA反馈的信息后，终端成员u_i计算中间变量

并过验证等式

和

是否成立，如果两个等式均成立，终端成员u_i确认消息是由密钥生成中心AA发送的；然后，终端成员u_i计算签名权限密钥参数

并将消息

发送给密钥生成中心AA，并秘密保存权限密钥参数

其中，φ_i为计算所需要的中间参数，K_i,k为终端成员u_i对权限密钥参数

的签名，PK_A为密钥生成中心AA的公钥，

为终端成员u_i的私钥；

(4)密钥生成中心AA根据本域所有终端u_i注册后，构建一个属性对应的群组权限密钥参数池为：

所述群组中终端成员之间进行密钥协商的方法为：任意成员如果想共享某些秘密信息，信息发布者根据信息的保密度，选择具有某些属性权限的成员来共享信息，群组消息的发送者u_l选择具有该消息访问权限的终端成员进行商群组密钥和交换秘密消息，1≤l≤n；发送者u_l在域内所有终端成员集合U＝{u₁,u₂,...,u_n}中选择其想要共享秘密信息的子群成员集合

进行群组密钥协商，其中R≤n表示子群成员中最大一个成员的标号，群组密钥协商过程如下：

1)消息的发送者u_l随机选择一个正整数

然后根据消息访问权限，在群组权限密钥参数池中选择具有该访问权限的群组成员，假设访问该消息需要具有属性集为则在群组权限密钥参数池中对应的群组成员集合为

则有{(attr_i,1＝attr_i+1,1＝,...,＝attr_R,1),(attr_i,2＝attr_i+1,2＝,...,＝attr_R,2),...,(attr_i,j＝attr_i+1,j＝,...,＝attr_R,j)}，以及

)；发送者u_l在群组权限密钥参数池中选择属性对应的群组权限密钥参数集合{K_i,1,K_i,2,...,K_i,j,...,K_R,1,K_R,1,...,K_R,j}，计算f_τ＝m_l(K_τ,1+K_τ,2+...+K_τ,j)、

及

和

发送者u_l计算出群组加密密钥ek_l,group＝(F_l,ρ_l,σ_l)以及群组解密密钥dk_l,group＝θ_l，群组公钥参数

和

发送者u_l广播消息(f_i,f_i+1,...,f_R,ek_l,group)给其余群组成员u_ω；其中，i≤ω≤R，τ＝i,i+1,..,R，λ＝1,…,j，j为消息的属性个数，f_τ和χ_τ为计算所需要的中间变量，attr_i,j表示终端成员u_i的第j个属性，

表示终端成员u_R第j个属性对应的权限密钥参数，K_R,j是对应的权限密钥参数

的签名，F_l、ρ_l和σ_l为群组公钥参数，ek_l,group为群组加密密钥，dk_l,group和θ_l为群组解密密钥；

2)群组其余的终端成员u_ω收到发送者u_l广播消息(f_i,f_i+1,...,f_R,ek_l,group)后，终端成员u_ω计算

计算出群组解密密钥dk_ω,group＝θ_ω，同时终端成员u_ω获得发送者u_l广播的群组加密密钥ek_l,group＝(F_l,ρ_l,σ_l)，因为

和

所以有ek_l,group＝(F_l,ρ_l,σ_l)＝(ρ_ω,σ_ω,F_ω)＝ek_ω,group；其中，i≤ω≠l≤R，θ_ω为中间变量，dk_ω,group为终端成员u_ω计算的群组解密密钥，ek_ω,group为群组加密密钥。

所述密钥生成中心AA随机选取一个正整数

作为私钥，并计算PK_A＝SK_Ag₁的值作为公钥；群组中任意的终端成员u_i∈U随机选取一个正整数并计算

同时，计算

作为终端成员ui的私钥，计算的值作为终端成员ui的公钥。

所述自证实的实现方法为：当终端成员u_l计算完群组解密密钥后，通过验证等式e(ρ_l,F_l)＝e(σ_l,θ_l)是否成立来确认其所计算的群组解密密钥是否正确。

对于任意明文信息

为明文空间，群组任意终端成员u_ω如果拥有群组加密密钥ek_l,group和群组解密密钥dk_l,group则可作如下信息安全共享：

群组信息加密：拥有群组加密密钥ek_l,group的任意终端成员u_l随机选取一个正整数并计算

和

然后广播密文信息

其中，i≤l≤R；

群组信息解密：群组其他终端成员u_ω收到密文信息后，如果其拥有群组解密密钥dk_l,group，则可对群组广播的密文信息进行解密计算，进而获取共享的明文信息

其中，υ和是密文参数，c为明文消息m加密后的密文，i≤ω≠l≤R F_l、ρ_l和σ_l为加密密钥参数，H₃(·)为表示映射的散列函数，G₂为乘法群。

与现有技术相比，本发明的有益效果：

(1)属性认证：可以在不需要身份信息的情况下进行属性认证，不仅具有传统身份认证等功能，还可以保护个人隐私，提高群组密钥协商的灵活性，防止未授权的终端假冒攻击。

(2)信息交换的分层化：根据信息的敏感程度或群组成员的访问权限等级进行群组密钥协商，定义该信息对应的属性权限或者属性权限的组合，进行具有特定权限等级的群组成员间信息安全交换及分享；可协商出群组加密密钥和群组解密密钥，使得群组信息交换更加安全和灵活。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例1的流程图。

图2为本发明实施例1中属性认证的流程图。

图3为本发明实施例1中非对称群组密钥协商的流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

一种基于权限信息交换的非对称群组密钥协商，首先，建立群组密钥协商需要的参数；其次，各终端成员根据自己所具有的属性，对其属性集进行散列值计算，并对所计算的属性集散列值进行签名，将其属性集、属性散列值的签名及相关的参数发送给密钥生成中心，进而实现属性认证，并获取属性对应的群组权限密钥参数；最后，如果信息发送者想与具有某些特定属性权限的成员进行信息安全共享，则将需要广播的信息用这些特定属对应的群组权限密钥参数进行加密，然后广播这些密文，如果某些成员具有这些特定的属性权限值，则可对广播的密文进行解密，并获取对应的明文信息，实现这些特定访问权限的群组成员之间共享秘密信息。

本发明所涉及的理论基础知识和相关定义

1.双线性映射问题

定义1.双线性映射：设G₁为加法群，其生成元为g₁，即G₁＝<g₁>，G₂为乘法循环群。加法群G₁和乘法循环群G₂具有共同的大素数阶q，

是安全参数。且加法群G₁和乘法循环群G₂上的离散对数是困难的，加法群G₁和乘法循环群G₂是一对双线性群，e是可计算的双线性映射，e:G₁×G₁→G₂，其具有如下性质：

性质1.双线性：对所有的生成元g₁,g₂∈G₁，及参数

有e(ag₁,bg₂)＝e(g₁,g₂)^ab，

表示阶为q的整数集。

性质2.非退化性：e(g₁,g₂)≠1。

性质3.可计算性：存在有效的算法，对于生成元g₁,g₂∈G₁可计算e(g₁,g₂)。

推论1.对任意三个生成元元素u₁,u₂,v∈G₁，有等式e(u₁+u₂,v)＝e(u₁,v)e(u₂,v)成立。

1.2计算复杂性问题

假设1.离散对数问题(DLP)：对于等式Y＝aP，其中，生成元Y,P∈G₁和参数a＜q。如果参数a和生成元P已知，很容易计算出Y。但是已知生成元P和Y，计算出参数a的概率在多项式时间内可以忽略不计。

假设2.计算Diffe-Hellman逆问题(ICDH)：已知生成元g₁、ag₁和abg₁，给出任意两个正整数

计算出(ab/a)g₁的值的概率在多项式时间内可以忽略不计。

实施例1

如图1所示，一种基于权限信息交换的非对称群组密钥协商，其步骤如下：①参与群组密钥协商的成员首先进行参数初始化，然后分别产生各自的公/私密钥对；②终端各成员通过具有的属性进行注册认证，并获取对应属性的群组权限密钥参数；③群组密钥协商发送者根据其广播消息的保密度，选取可进行信息共享的属性权限与该属性对应群组权限密钥参数并广播这些参数；④收到密钥协商发起人的广播后，剩余成员计算并分析自己的具有这些群组权限密钥参数，计算出群组密钥；⑤群组密钥协商成员计算出群组密钥后，各自证实所计算的群组密钥是否正确；如果群组密钥计算正确，即可通过群组密钥加密通信信息，进行群组安全信息交换。

一.初始化协议参数

设群组信息交换网络中包含一个密钥生成中心AA和n个终端成员，n个终端成员的集合用U＝{u₁,u₂,…,u_i,…,u_n}表示，相应地，n个终端成员的身份集合用

表示，集合U_a,i＝{attr_i,1,attr_i,2,…,attr_i,k}是终端成员u_i具有的所有属性，其中，1≤i≤n，attr_i,k表示第i个终端成员u_i的第k个属性，k∈N^*，N^*为正的整数即集，参与群组密钥协商的成员必须具有相同的权限或者相同的属性。

假设G₁是一个加法群，G₂是一个乘法群，加法群G₁和乘法群G₂上的离散对数计算上是不可行的，g₁∈G₁是加法群G₁的生产元，加法群G₁和G₂乘法群具有相同的大素数阶q，e是一个可计算的双线性映射e:G₁×G₁→G₂。

和

是三个哈希函数。

密钥生成中心AA随机选取一个正整数作为私钥，并计算PK_A＝SK_Ag₁作为其公钥。任意终端成员u_i随机选取正整数

并计算参数

然后计算其私钥

及公钥

系统参数为params＝(PK_A,q,G₁,G₂,g₁,e,H₁,H₂)。

二.终端成员属性认证及群组密钥参数的获取

为了防止未授权的终端参与群组密钥协商，参与群组密钥协商的成员需要具备一定的权限认证。本发明采用属性认证，对每个群组参与终端进行属性认证。即终端成员需要具备某些属性方可参与群组密钥协商，保障每个成员的个人隐私问题。在属性认证通过的成员，则可获取密钥生成中心广播的群组权限密钥参数，用于以后的群组密钥计算。

属性认证具有传统身份认证的功能，同时可以保护个人隐私问题。属性认证及权限密钥参数获取的方法为：

A)域内的密钥生成中心AA对其内终端成员u_i进行属性认证；其中，1≤i≤n，n为密钥生成中心AA内终端成员的个数；

B)密钥生成中心AA计算群组权限密钥参数，并将群组权限密钥参数广播给所有终端成员u_i；

C)终端成员u_i保存密钥生成中心AA广播的群组权限密钥参数。

具体地，如图2所示，属性认证及权限密钥参数获取的实施步骤如下：

(1)域内每个终端成员u_i所具有的属性集合用U_a,i＝{attr_i,1,attr_i,2,...,attr_i,k}表示，终端成员u_i计算中间变量和

然后终端成员u_i将消息

发送给密钥生成中心AA。其中，attr_i,k表示终端成员u_i的第k个属性，

为随机整数，g₁为加法群G₁的生产元，β_i和S_i为计算需要的中间变量，

为终端成员u_i的私钥的倒数，

为终端成员u_i的公钥，

为终端成员u_i的身份标识，H₁(.)表示映射为

的散列函数。

(2)密钥生成中心AA收到终端成员u_i发送的消息后，密钥生成中心AA计算γ_i＝H₁(attr_i,1,attr_i,2,...,attr_i,k)g₁。然后，密钥生成中心AA通过计算等式

和

是否成立，来验证属性集合{attr_i,1,attr_i,2,...,attr_i,k}是否为终端成员u_i的属性。如果以上等式成立，则密钥生成中心AA可以确认属性集U_a,i属于终端成员u_i。然后，密钥生成中心AA根据终端成员u_i的属性数量选择对应数量的随机整数

密钥生成中心AA计算{A_i,1＝H₁(attr_i,1),A_i,2＝H₁(attr_i,2),...,A_i,k＝H₁(attr_i,k)}、

以及

然后，密钥生成中心AA反馈消息

给终端成员u_i。其中，γ_i、A_i,k、η_i、TH_i为计算所需要的中间变量，

为群组权限密钥参数，密钥生成中心

为AA的私钥的倒数，e(.)为双线性映射函数，H₂(.)为映射为

的散列函数，注意：对应任意两个属性，如果attr_i,k＝attr_j,k,则有随机整数t_i＝t_j。

(3)终端成员u_i收到密钥生成中心AA反馈的信息

后，终端成员u_i计算

并通过验证等式

和

是否成立，来证明消息

是否是密钥生成中心AA发送的。如果以上两个等式成立，终端成员u_i可以确认消息

是由密钥生成中心AA发送的。然后，终端成员u_i计算签名权限密钥参数

并将消息

发送给密钥生成中心AA，并秘密保存权限密钥参数

其中，φ_i和

为计算所需要的中间参数，K_i,k为终端成员u_i对群组权限密钥参数

的签名，PK_A为密钥生成中心AA的公钥，

为终端成员u_i的私钥。

(4)密钥生成中心AA根据本域所有终端u_i注册后，构建一个属性对应的群组权限密钥参数池，如表1所示。

表1.群组权限密钥参数池

三.基于权限信息交换的非对称群组密钥计算

群组成员在进行安全信息共享时，需对群组广播的消息进行加密，同时接收到的共享信息的成员需要对广播的密文共享信息解密，以获取对应的明文信息。因此，群组成员需要计算共同的群组信息加密和解密密钥。信息发布者可以根据信息的保密度，选择具有某些特定属性权限的成员来共享信息。如图3所示，根据属性权限的群组加密和解密的密钥的计算步骤如下：

D)群组密钥协商的发送者u_l根据交换信息的成员所要求的属性，在群组权限密钥参数池中选取相应的群组权限密钥参数，发送者u_l随机选择一个群组密钥因子

并用群组密钥因子m_l加密所选取的群组权限密钥参数及群组密钥交换成员的公钥，然后广播加密后的群组密钥参数、属性散列值、群组加密密钥及其相关参数，其中，1≤l≤n，表示阶为q的整数集；

E)其余终端成员u_ω收到发送者u_l广播的消息后，终端成员u_ω用自己的私钥解密广播消息并获取对应的群组权限密钥参数及群组密钥因子m_l，计算群组解密密钥，其中，1≤ω≠l≤n，u_ω表示发送者u_l所选取的参与群组密钥协商的终端成员；

任意终端成员u_l如果想共享某些秘密信息，其可在域内所有成员集合U＝{u₁,u₂,…,u_n}中选择其想要共享秘密信息的子群成员集合进行群组密钥协商，其中，R≤n表示子群成员中最大一个成员的标号，密钥协商过程如下：

1)消息的发送者u_l随机选择一个正整数

然后根据消息访问权限，在群组权限密钥参数池中选择具有该访问权限的群组成员，假设访问该消息需要具有属性集为则在群组权限密钥参数池中对应的群组成员集合为

则有{(attr_i,1＝attr_i+1,1＝,...,＝attr_R,1),(attr_i,2＝attr_i+1,2＝,...,＝attr_R,2),...,(attr_i,j＝attr_i+1,j＝,...,＝attr_R,j)}，以及

)。然后发送者u_l在池中选择属性对应的群组权限密钥参数集合{K_i,1,K_i,2,...,K_i,j,...,K_R,1,K_R,1,...,K_R,j}，计算f_τ＝m_l(K_τ,1+K_τ,2+...+K_τ,j)，

及

发送者u_l计算出群组加密密钥ek_l,group＝(F_l,ρ_l,σ_l)以及群组解密密钥dk_l,group＝θ_l，群组公钥参数

和

然后，发送者u_l广播消息(f_i,f_i+1,...,f_R,ek_l,group)给其余群组成员u_ω；其中，i≤ω≤R，τ＝i,i+1,..,R，λ＝1,…,j，j为消息的属性个数，f_τ和χ_τ为计算所需要的中间变量，attr_i,j表示终端成员u_i的第j个属性，表示终端成员u_R的第j个属性对应的权限密钥参数，K_R,j是对应的权限密钥参数

的签名，F_l、ρ_l和σ_l为群组公钥参数，ek_l,group为群组加密密钥，dk_l,group和θ_l为群组解密密钥；

2)群组其余的终端成员u_ω收到发送者u_l广播消息(f_i,f_i+1,...,f_R,ek_l,group)后，终端成员u_ω计算

计算出群组解密密钥dk_ω,group＝θ_ω，同时终端成员u_ω获得发送者u_l广播的群组加密密钥ek_l,group＝(F_l,ρ_l,σ_l)，因为

和

所以有ek_l,group＝(F_l,ρ_l,σ_l)＝(ρ_ω,σ_ω,F_ω)＝ek_ω,group；其中，i≤ω≠l≤R，θ_ω为中间变量，dk_ω,group为终端成员u_ω计算的群组解密密钥，ek_ω,group为群组加密密钥。

四.群组密钥自证实性

群组成员计算出群组密钥后，不需通过广播对比其它成员计算的结果来验证密钥的一致性，通过自身计算可自证实密钥计算的正确性，过程如下：

当终端成员u_l计算完群组解密密钥后，通过验证等式e(ρ_l,F_l)＝e(σ_l,θ_l)是否成立来确认其所计算的群组解密密钥是否正确。因为θ_l为解密密钥，ρ_l、F_l和σ_l为群组加密密钥参数，如果上述等式成立，根据双线性映射性质，即有：

根据上述等式及双线性映射的性质可知：e(ρ_l,F_l)＝e(σ_l,θ_l)。

五.群组秘密通信

对于任意明文信息

为明文空间，群组任意终端成员u_l如果拥有群组加密密钥ek_l,group和群组解密密钥dk_l,group则可作如下信息安全共享：

群组信息加密：拥有群组加密密钥ek_l,group的任意终端成员u_l随机选取一个正整数并计算

和

然后广播密文信息其中，i≤l≤R；

群组信息解密：群组其他终端成员u_ω收到密文信息

后，如果其拥有群组解密密钥dk_l,group，则可对群组广播的密文信息进行解密计算，进而获取共享的明文信息

其中，i≤ω≠l≤R，υ、

是密文参数，c为明文消息m加密后的密文，F_l、ρ_l和σ_l为加密密钥参数，H₃(·)为表示映射

的散列函数，G₂为乘法群。

实施例2

为了说明本发明的内容及实施方法，给出了一个具体实施例。本实施方式中，为方便实例阐述，参加密钥协商的成员个数最多为10个，成员的实体集合表示为

对应实体成员身份的集合表示为

所有终端成员的属性集合为ATTR＝{attr₁,attr₂,...,attr₅}，在本实施例中引入细节的目的不是限制权利要求书的范围，而是帮助理解本发明的方法。本领域的技术人员应理解：在不脱离本发明及其所附权利要求的精神和范围内，对最佳实施例步骤的各种修改、变化或替换都是可能的。因此，本发明不应局限于最佳实施例及附图所公开的内容。

一.初始化

假设G₁是一个加法群，G₂是一个乘法群，加法群G₁和乘法群G₂上的离散对数计算上是不可行的，g₁∈G₁是加法群G₁的生产元，加法群G₁和乘法群G₂具有相同的大素数阶q，e是一个可计算的双线性映射且e:G₁×G₁→G₂。

和

是三个哈希函数。

密钥生成中心AA随机选取一个正整数

作为私钥，并计算PK_A＝SK_Ag₁作为其公钥。任意终端成员u_i随机选取正整数

并计算参数

然后计算其私钥

及公钥

u_i∈U,1≤i≤10。系统参数为params＝(PK_A,q,G₁,G₂,g₁,e,H₁,H₂)。

二.终端成员属性认证及群组密钥参数的获取

(1)域内每个终端成员u_i所具有的属性集合用U_a,i＝{attr_i,1,attr_i,2,...,attr_i,5}表示。终端成员u_i计算

和

然后终端成员u_i将消息

发送给密钥生成中心AA。其中，1≤i≤10，attr_i,k表示终端成员u_i的第k个属性，

为随机整数，g₁为加法群G1的生产元，β_i、S_i为计算需要的中间变量，

为终端成员u_i私钥的倒数，

为u_i的公钥，

为终端成员u_i的身份标识，H₁(.)表示散列函数。

(2)密钥生成中心AA收到终端成员u_i发送的消息

后，密钥生成中心AA计算γ_i＝H₁(attr_i,1,attr_i,2,...,attr_i,5)g₁。然后，密钥生成中心AA通过计算等式

和

是否成立，来验证集合{attr_i,1,attr_i,2,...,attr_i,5}是否为终端成员u_i的属性。如果以上等式成立，则密钥生成中心AA可以确认属性集合U_a,i属于终端成员u_i。然后，密钥生成中心AA根据终端成员u_i的属性数量选择对应的数量的随机整数

密钥生成中心AA计算{A_i,1＝H₁(attr_i,1),A_i,2＝H₁(attr_i,2),...,A_i,5＝H₁(attr_i,5)}、

以及

然后，密钥生成中心AA反馈消息

给终端成员u_i。其中，γ_i、A_i,k、η_i、TH_i为计算所需要的中间变量，

为群组权限密钥参数，

为密钥生成中心AA的私钥倒数，e(.)为双线性映射函数，H₂(.)为散列函数。注意：对应任意两个属性，如果attr_i,3＝attr_j,3，随机整数则有t_i＝t_j。

(3)终端成员u_i收到密钥生成中心AA反馈的信息

后，终端成员u_i计算并通过验证等式e(φ_i,PK_A)＝e(H₁(attr_i,1,attr_i,2,...,attr_i,5)g₁,pk_ui)和

是否成立，来证明消息

是否是密钥生成中心AA发送的。如果以上等式成立，终端成员u_i可以确认消息是由密钥生成中心AA发送的。然后，终端成员u_i计算签名权限密钥参数

并将消息发送给密钥生成中心AA，并秘密保存权限密钥参数其中，φ_i和

为计算所需要的中间参数，

为终端成员u_i对权限密钥参数的签名，PK_A为密钥生成中心AA的公钥，

为终端成员u_i的私钥。

(4)密钥生成中心AA根据本域所有终端u_i(1≤i≤10)注册后，构建一个属性对应的群组权限密钥参数池，如表1所示。

表1.群组权限密钥参数池

三.基于权限信息交换的非对称群组密钥计算

任意成员u₃如果想共享某些秘密信息，其可在域内所有成员集合U＝{u₁,u₂,...,u₁₀}中选择其想要共享秘密信息的子群成员集合

进行群组密钥协商，密钥协商过程如下：

1)消息的发送者u₃随机选择一个正整数

然后根据消息访问权限，在群组权限密钥参数池(表1)中选择具有该访问权限的群组成员，假设访问该消息需要具有属性集为

则在群组权限密钥参数池中对应的群组成员集合为

则有{(attr_1,1＝attr_2,1＝,...,＝attr_10,1),(attr_1,2＝attr_2,2＝,...,＝attr_10,2),...,(attr_1,5＝attr_2,5＝,...,＝attr_10,5)}，以及

然后发送者u₃在密钥参数池中选择属性对应的群组权限密钥参数集合{K_1,1,K_1,2,...,K_1,5,...,K_10,1,K_10,2,...,K_10,5}，计算f_τ＝m_l(K_τ,1+K_τ,2+...+K_τ,5)和

及

则群组解密密钥

发送者u₃可计算出群组加密密钥ek_l,group＝(F_l,ρ_l,σ_l)以及群组解密密钥dk_l,group＝θ_l，群组公钥参数

和

然后，发送者u₃广播消息(f₁,f₂,f₄...,f₁₀,ek_l,group)给其余群组成员u_ω(1≤ω≠3≤10)。其中，f_τ、χ_τ为计算所需要的中间变量，attr_i,j表示终端成员u_i的第j个属性，

表示终端成员u_k第个j属性对应的权限密钥参数，K_k,j是对应的权限密钥参数T_uk,j的签名，F_l、ρ_l和σ_l为群组公钥参数，ek_l,group为群组加密密钥，dk_l,group、θ_l为群组解密密钥。

2)群组其余终端成员u_ω(1≤ω≠3≤10)收到发送者u₃广播消息(f₁,f₂,f₄...,f₁₀,ek_l,group)后，终端成员u_ω计算

因为

所以有θ_ω＝θ_l，即终端成员u_ω可计算出群组解密密钥dk_ω,group＝θ_ω，同时终端成员u_ω可获得发送者u₃广播的群组加密密钥ek_l,group＝(F_l,ρ_l,σ_l)，因为

所以有ek_l,group＝(F_l,ρ_l,σ_l)＝(ρ_ω,σ_ω,F_ω)＝ek_ω,group。其中，θ_ω和dk_ω,group为终端成员u_ω计算的群组解密密钥，ek_ω,group为群组加密密钥。

四.群组密钥自证实性

F)群组成员计算出群组密钥后，不需通过广播对比其它成员计算的结果来验证密钥的一致性，通过自身计算可自证实密钥计算的正确性，过程如下：

当终端成员u_l计算完群组解密密钥后，通过验证等式e(ρ_l,F_l)＝e(σ_l,θ_l)是否成立来确认其所计算的群组解密密钥是否正确。因为θ_l为解密密钥，ρ_l、F_l和σ_l为群组加密密钥参数，如果上述等式成立，根据双线性映射性质，即有：

根据上述等式及双线性映射的性质可知：e(ρ_l,F_l)＝e(σ_l,θ_l)。

五.群组秘密通信

对于任意明文信息

为明文空间，群组任意终端成员u_l(i≤l≤kl)如果拥有群组加密密钥ek_l,group和群组解密密钥dk_l,group则可作如下信息安全共享：

群组信息加密：拥有群组加密密钥ek_l,group的任意终端成员u_l，随机选取一个正整数

并计算

和

然后广播密文信息

群组信息解密：群组其他终端成员u_ω(ω≠l)收到密文信息

后，如果其拥有群组解密密钥dk_l,group，则可对群组广播的密文信息进行解密计算，进而获取共享的明文信息

其中，υ、

是密文参数，c为明文消息m加密后的密文，F_l、ρ_l和σ_l为加密密钥参数，H₃(·)为表示映射的散列函数，G₂为乘法群。

本发明以非对称密码协议理论为基础，以Diffe-Hellman逆问题为安全假设前提，提出基于属性认证的非对称群组密钥协商方法，以属性为认证前提，在抵抗敌手积极攻击的同时，保障个人隐私安全问题。通过该方法实现了群组成员之间协商出一致的通信加密密钥和通信解密密钥，进而实现群组之间安全信息交换和传输。

本发明将终端成员具有的属性作为权限参数，各终端成员根据自己所具有的属性集进行散列值计算，并将其属性集及属性集的散列值签名发送给密钥生成中心。密钥生成中心对终端的成员的属性集散列值签名进行身份验证。如果验证通过，则该成员获取属性对应的权限密钥因子；密钥交换过程中，信息发送者则根据所交换的信息敏感度，将需要广播的信息用特定属性对应的权限密钥因子进行加密并广播，如果某些成员具有访问该敏感信息的权限，则可用获取的权限密钥因子进行解密并获取对应的明文信息，实现特定权限的成员之间共享秘密信息。

本发明中，参与群组密钥协商的成员通过拥有的属性进行属性认证；通过属性认证的成员可获取相关的群组密钥协商相关的群组权限密钥参数；参与群组密钥协商的成员通过获取的群组权限密钥参数及自身的属性进行群组加密密钥及群组解密密钥的计算，进而协商出共同的群组会话密钥。本发明使得群组成员之间在开放的、不可信的网络中协商出共同的会话密钥，会话密钥用于群组成员之间的安全加密通信，用于群组成员之间信息安全交换与安全传输。本发明采用属性认证可防止未授权成员参与群组密钥协商，同时保护个人隐私信息泄露。本发明可协商出群组加密密钥和群组解密密钥，可使群组外部终端发送密文信息给群组成员，使得群组信息交换更加安全、更加灵活。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (6)

1.一种基于权限信息交换的非对称群组密钥协商方法，其特征在于，其步骤如下：

步骤一：属性认证并获得群组权限密钥参数：

A)域内的密钥生成中心AA对其内终端成员u_i进行属性认证；其中，1≤i≤n，n为密钥生成中心AA的终端成员个数；

B)密钥生成中心AA计算群组权限密钥参数，并将群组权限密钥参数用属性加密返回给属性认证通过的终端成员u_i；

C)终端成员u_i保存密钥生成中心AA反馈的群组权限密钥参数；

步骤二：群组中终端成员之间进行密钥协商：

D)群组密钥协商的发送者u_l根据交换信息的成员所要求的属性，在群组权限密钥参数池中选取相应的群组权限密钥参数，发送者u_l随机选择一个群组密钥因子

并用群组密钥因子m_l加密所选取的群组权限密钥参数及群组密钥交换成员的公钥，然后广播加密后的群组密钥参数、属性散列值、群组加密密钥，其中，1≤l≤n，

表示阶为q的整数集；

E)其余终端成员u_ω收到发送者u_l广播的消息后，终端成员u_ω用自己的私钥解密广播消息并获取对应的群组权限密钥参数及群组密钥因子m_l，计算群组解密密钥；其中，1≤ω≠l≤n，u_ω表示发送者u_l所选取的参与群组密钥协商的终端成员；

步骤三：自证实群组密钥：

F)群组的终端成员u_ω及发送者u_l计算出群组密钥后，通过双线性映射自证实所计算的群组解密密钥是否正确。

2.根据权利要求1所述的基于权限信息交换的非对称群组密钥协商方法，其特征在于，所述属性认证的实现方法为：

(1)域内每个终端成员u_i所具有的属性集合用U_a,i＝{attr_i,1,attr_i,2,...,attr_i,k}表示，终端成员u_i计算

和

然后终端成员u_i将消息

发送给密钥生成中心AA；attr_i,k表示终端成员u_i的第k个属性，

为随机整数，g₁为群的生产元，β_i和S_i为计算需要的中间变量，

为终端成员u_i私钥的倒数，

为终端成员u_i的公钥，

为终端成员u_i的身份标识，H₁(.)表示散列函数；

(2)密钥生成中心AA收到终端成员u_i发送的消息

后，密钥生成中心AA计算γ_i＝H₁(attr_i,1,attr_i,2,...,attr_i,k)g₁；然后，密钥生成中心AA计算

并验证

是否成立，如果等式成立，则密钥生成中心AA确认属性集U_a,i属于终端成员u_i；密钥生成中心AA根据终端成员u_i的属性数量选择对应的数量的随机整数

密钥生成中心AA分别计算{A_i,1＝H₁(attr_i,1),A_i,2＝H₁(attr_i,2),...,A_i,k＝H₁(attr_i,k)}、

以及

然后，密钥生成中心AA反馈消息给终端成员u_i；其中γ_i、A_i,k、η_i、TH_i为计算所需要的中间变量，

为群组权限密钥参数，

为密钥生成中心AA的私钥的倒数，e(.)为双线性映射函数，H₂(.)为散列函数；且对应任意两个属性attr_i,k和attr_j,k，如果attr_i,k＝attr_j,k，则有随机整数t_i＝t_j；

(3)终端成员u_i收到密钥生成中心AA反馈的信息

后，终端成员u_i计算中间变量

并过验证等式

和

是否成立，如果两个等式均成立，终端成员u_i确认消息

是由密钥生成中心AA发送的；然后，终端成员u_i计算签名权限密钥参数

并将消息

发送给密钥生成中心AA，并秘密保存权限密钥参数

其中，φ_i为计算所需要的中间参数，K_i,k为终端成员u_i对权限密钥参数

的签名，PK_A为密钥生成中心AA的公钥，

为终端成员u_i的私钥；

(4)密钥生成中心AA根据本域所有终端u_i注册后，构建一个属性对应的群组权限密钥参数池为：

3.根据权利要求2所述的基于权限信息交换的非对称群组密钥协商方法，其特征在于，所述群组中终端成员之间进行密钥协商的方法为：任意成员如果想共享某些秘密信息，信息发布者根据信息的保密度，选择具有某些属性权限的成员来共享信息，群组消息的发送者u_l选择具有该消息访问权限的终端成员进行商群组密钥和交换秘密消息，1≤l≤n；发送者u_l在域内所有终端成员集合U＝{u₁,u₂,...,u_n}中选择其想要共享秘密信息的子群成员集合进行群组密钥协商，其中R≤n表示子群成员中最大一个成员的标号，群组密钥协商过程如下：

1)消息的发送者u_l随机选择一个正整数

然后根据消息访问权限，在群组权限密钥参数池中选择具有该访问权限的群组成员，假设访问该消息需要具有属性集为

则在群组权限密钥参数池中对应的群组成员集合为则有{(attr_i,1＝attr_i+1,1＝,...,＝attr_R,1),(attr_i,2＝attr_i+1,2＝,...,＝attr_R,2),...,(attr_i,j＝attr_i+1,j＝,...,＝attr_R,j)}，以及发送者u_l在群组权限密钥参数池中选择属性对应的群组权限密钥参数集合{K_i,1,K_i,2,...,K_i,j,...,K_R,1,K_R,1,...,K_R,j}，计算f_τ＝m_l(K_τ,1+K_τ,2+...+K_τ,j)、

及

和

发送者u_l计算出群组加密密钥ek_l,group＝(F_l,ρ_l,σ_l)以及群组解密密钥dk_l,group＝θ_l，群组公钥参数

和

发送者u_l广播消息(f_i,f_i+1,...,f_R,ek_l,group)给其余群组成员u_ω；其中，i≤ω≤R，τ＝i,i+1,..,R，λ＝1,…,j，j为消息的属性个数，f_τ和χ_τ为计算所需要的中间变量，attr_i,j表示终端成员u_i的第j个属性，表示终端成员u_R第j个属性对应的权限密钥参数，K_R,j是对应的权限密钥参数

的签名，F_l、ρ_l和σ_l为群组公钥参数，ek_l,group为群组加密密钥，dk_l,group和θ_l为群组解密密钥；

2)群组其余的终端成员u_ω收到发送者u_l广播消息(f_i,f_i+1,...,f_R,ek_l,group)后，终端成员u_ω计算计算出群组解密密钥dk_ω,group＝θ_ω，同时终端成员u_ω获得发送者u_l广播的群组加密密钥ek_l,group＝(F_l,ρ_l,σ_l)，因为

和

所以有ek_l,group＝(F_l,ρ_l,σ_l)＝(ρ_ω,σ_ω,F_ω)＝ek_ω,group；其中，i≤ω≠l≤R，θ_ω为中间变量，dk_ω,group为终端成员u_ω计算的群组解密密钥，ek_ω,group为群组加密密钥。

4.根据权利要求2或3所述的基于权限信息交换的非对称群组密钥协商方法，其特征在于，所述密钥生成中心AA随机选取一个正整数作为私钥，并计算PK_A＝SK_Ag₁的值作为公钥；群组中任意的终端成员u_i∈U随机选取一个正整数

并计算

同时，计算

作为终端成员u_i的私钥，计算

的值作为终端成员u_i的公钥。

5.根据权利要求3所述的基于权限信息交换的非对称群组密钥协商方法，其特征在于，所述自证实的实现方法为：当终端成员u_l计算完群组解密密钥后，通过验证等式e(ρ_l,F_l)＝e(σ_l,θ_l)是否成立来确认其所计算的群组解密密钥是否正确。

6.根据权利要求3所述的基于权限信息交换的非对称群组密钥协商方法，其特征在于，对于任意明文信息

为明文空间，群组任意终端成员u_ω如果拥有群组加密密钥ek_l,group和群组解密密钥dk_l,group则可作如下信息安全共享：

群组信息加密：拥有群组加密密钥ek_l,group的任意终端成员u_l随机选取一个正整数

并计算

和

然后广播密文信息

其中，i≤l≤R；

群组信息解密：群组其他终端成员u_ω收到密文信息

后，如果其拥有群组解密密钥dk_l,group，则可对群组广播的密文信息进行解密计算，进而获取共享的明文信息

其中，υ和

是密文参数，c为明文消息m加密后的密文，i≤ω≠l≤R，F_l、ρ_l和σ_l为加密密钥参数，H₃(·)为表示映射

的散列函数，G₂为乘法群。

Images