CN110061836B

CN110061836B - 一种具有前向安全性的组密钥分发方法

Info

Publication number: CN110061836B
Application number: CN201910285199.XA
Authority: CN
Inventors: 沈华; 张明武; 石润华; 刘雅静; 孙代杰; 陈誉; 张依梦; 陈效
Original assignee: Hubei University of Technology
Current assignee: Hubei University of Technology
Priority date: 2019-04-10
Filing date: 2019-04-10
Publication date: 2021-09-24
Anticipated expiration: 2039-04-10
Also published as: CN110061836A

Abstract

本发明公开了一种具有前向安全性的组密钥分发方法。为了实现组内用户之间的安全通信，需要用组密钥对通信内容进行加解密。因此在组内安全通信开始之前，需要将本次通信用的组密钥安全分发给组内需要进行通信的用户。本发明解决的关键问题是如何在无可信第三方的情况下进行具有前向安全性的组密钥分发。本发明利用对称二元多项式使得组内每对用户之间可以协商出一个对称密钥，利用该对称密钥实现组密钥的安全分发。同时，本发明为每个用户维护一张通信记录表，根据该记录表更新用于安全分发下一轮组内通信的组密钥的用户之间的对称密钥，从而实现具有前向安全性的组密钥分发。

Description

一种具有前向安全性的组密钥分发方法

技术领域

本发明属于信息安全技术领域，涉及一种组密钥分发方法，具体涉及一种具有前向安全性的组密钥分发方法。

背景技术

组内安全通信有着广泛的应用价值。例如，在一个企业中，董事长召集各部门领导通过公开信道进行安全的语音会议或视频会议，或者技术部门通过公开信道进行安全的技术方案讨等等，这些都需要安全的组内通信。如何做到安全的组内通信呢？通常的做法是给需要进行通信的组内用户安全分发一个组密钥，用这个组密钥对这些用户的通信信息进行加解密。安全分发组密钥的方法通常有两类：一类是可信第三方与组内每个用户之间都有一个”用户对密钥”，可信第三方随机选择一个组密钥，然后用它与用户之间的“用户对密钥”加密该组密钥，并将加密后的组密钥发给对应的用户，收到加密组密钥的用户利用他与可信第三方之间的“用户对密钥”对其进行解密从而获得组密钥。获得组密钥的用户之间可以开始进行安全的组内通信了。这里的可信第三方在实际生活中通常由服务器扮演，但在一些应用场合，用户并不信任服务器，他们只信任自己。因此，产生了另一类分发方法：组内任意两个用户之间都有一个“用户对密钥”，当组内一个用户发起与组内其他多个用户的组内安全通信时，该用户随机选择一个组密钥，然后用他与这些用户之间的“用户对密钥”对该组密钥进行加密，并把加密后的组密钥发送给这些用户。收到加密组密钥的用户利用他与发生用户之间的“用户对密钥”对其进行解密从而获得组密钥。获得组密钥的用户之间可以开始进行安全的组内通信了。但是这种方法需要每个用户维护n(n-1)/2个“用户对密钥”(假设组内有n个用户)会带来比较大的存储开销，不适用于通过移动设备进行组内通信的用户；而且用户之间的“用户对密钥”是固定不变的，这会带来一些安全问题，例如，在某次组内通信过程中不小心泄漏了某两个用户之间的“用户对密钥”，那么敌手可以通过该“用户对密钥”获得他们之前参与的组内通信的通信信息。因此，具有前向安全性的组密钥分发是一个实际应用价值很大、非常值得研究的问题。

发明内容

为了解决上述的技术问题，本发明提供了一种具有前向安全性的组密钥分发方法。

本发明所采用的技术方案是：一种具有前向安全性的组密钥分发方法，假设组内有n个用户{U₁,U₂,…,U_n}，用户U_k(k＝1,2,…,n)随机创建的一个t次对称二元多项式：f_k(x,y)＝(a_k00+a_k10x+a_k01y+a_k11xy+a_k20x²+a_k02y²+a_k21x²y+a_k12xy²+a_k22x²y²+…+a_kttx^ty^t)mod q，其中q是一个大素数，a_kij＝a_kji；此外，有n+1个常数是公开信息{x₁,x₂,…,x_n,x’}；k＝1,2,…,n；a_k00、…、a_ktt是二元多项式f_k(x,y)的系数,由用户U_k随机选择；

其特征在于，所述方法包括以下步骤：

步骤1：系统初始化；

步骤1的具体实现包括以下子步骤：

步骤1.1：用户U_k随机创建一个t次对称二元多项式f_k(x,y)，并分别将x₁,x₂,…,x_n,x’作为第一参数带入到二元多项式f_k(x,y)中，产生n+1个t次一元多项式：f_k(x₁,y),f_k(x₂,y),…,f_k(x_n,y),f_k(x’,y)；

步骤1.2：用户U_k通过安全信道将f_k(x_l,y)和f_k(x’,y)发送给用户U_l，l＝1,2,…,k-1,k+1,…,n；

步骤1.3：用户U_k创建一个n×n的二维表A_k，并将表里的n×n个元素初始化为0；

步骤2：每个用户检测步骤1中其他用户随机生成的二元多项式是否是对称的t次二元多项式；

若是，则继续执行步骤3；

若否，则终止执行或重启初始化过程；

步骤3：具有前向安全性的组密钥分发；

步骤4：组密钥的安全获取。

本发明方法与现有的技术相比有如下的优点和有益效果：

本发明解决了安全的组内通信应用中没有可信第三方参与的安全组密钥分发问题，并且解决了“用户对密钥”泄漏带来的前向安全问题，具有非常好的实际应用价值。此外，本发明提出的方法需要较少的计算量和存储量，因此非常适合通过手机、iPad等资源有限设备进行组内通信的用户。

附图说明

图1：本发明实施例的系统初始化流程图。

图2：本发明实施例的组密钥分发和获取流程图。

具体实施方式

为了便于本领域普通技术人员理解和实施本发明，下面结合附图及实施例对本发明作进一步的详细描述，应当理解，此处所描述的实施示例仅用于说明和解释本发明，并不用于限定本发明。

本发明提供的一种具有前向安全性的组密钥分发方法，假设组内有n个用户{U₁,U₂,…,U_n}，用户U_k(k＝1,2,…,n)随机创建的一个t次对称二元多项式：f_k(x,y)＝(a_k00+a_k10x+a_k01y+a_k11xy+a_k20x²+a_k02y²+a_k21x²y+a_k12xy²+a_k22x²y²+…+a_kttx^ty^t)mod q，其中q是一个大素数，a_kij＝a_kji；此外，有n+1个常数是公开信息{x₁,x₂,…,x_n,x’}；k＝1,2,…,n；a_k00、…、a_ktt是二元多项式f_k(x,y)的系数,由用户U_k随机选择；

则方法包括以下步骤：

步骤1：系统初始化；

请见图1，步骤1的具体实现包括以下子步骤：

步骤1.1：用户U_k(k＝1,2,…,n)随机创建一个t次对称二元多项式：

f_k(x,y)＝a_k00x⁰y⁰+a_k10x+a_k01y+a_k11xy+a_k20x²+a_k02y²+a_k22x²y²+…+a_kttx^ty^t，

其中多项式中的系数均随机选自有限域GF(q)(q为一个大素数)，并且当i≠j时有a_kij＝a_kji(i＝0,1,…,t；j＝0,1,…,t)，然后分别将x₁,x₂,…,x_n,x’作为第一参数带入到二元多项式f_k(x,y)中，产生n+1个t次一元多项式：

f_k(x₁,y)＝((a_k00x₁ ⁰y⁰+a_k10x₁+…+a_kt0x₁ ^t)+(a_k01+a_k11x₁+…+a_kt1x₁ ^t)y+…+(a_k0t+a_k1tx₁+…+a_kttx₁ ^t)y^t)mod q,

f_k(x₂,y)＝((a_k00x₂ ⁰y⁰+a_k10x₂+…+a_kt0x₂ ^t)+(a_k01+a_k11x₂+…+a_kt1x₂ ^t)y+…+(a_k0t+a_k1tx₂+…+a_kttx₂ ^t)y^t)mod q,

……

f_k(x_n,y)＝((a_k00x_n ⁰y⁰+a_k10x_n+…+a_kt0x_n ^t)+(a_k01+a_k11x_n+…+a_kt1x_n ^t)y+…+(a_k0t+a_k1tx_n+…+a_kttx_n ^t)y^t)mod q,

f_k(x′,y)＝((a_k00x′⁰y⁰+a_k10x′+…+a_kt0x′^t)+(a_k01+a_k11x′+…+a_kt1x′^t)y+…+(a_k0t+a_k1tx′+…+a_kttx′^t)y^t)mod q。

步骤1.2：用户U_k通过安全信道将(f_k(x_l,y),f_k(x’,y))发送给用户U_l(l＝1,2,…,k-1,k+1,…,n)；

步骤1.3：用户U_k(k＝1,2,…,n)创建一个n×n的二维表A_k：

其中的元素均初始化为0。

步骤2：二元多项式的一致性验证(即即每个用户检测步骤1中其他用户随机生成的二元多项式是否是对称的t次二元多项式)；

二元多项式的一致性验证具体包括以下子步骤：

步骤2.1：用户U_k(k＝1,2,…,n)首先验证收到的2(n-1)个一元多项式(f₁(x_k,y),f₂(x_k,y),…,f_k-1(x_k,y),f_k+1(x_k,y),…,f_n(x_k,y),f₁(x’,y),f₂(x’,y),…,f_k-1(x’,y),f_k+1(x’,y),…,f_n(x’,y))是否均是t次一元多项式，如果是，则执行下面的步骤，否则终止执行或重启初始化过程；

步骤2.2：然后验证收到的2(n-1)个一元多项式是否均是由对称二元多项式产生的，具体验证步骤如下：

步骤2.2.1：计算

步骤2.2.2：计算

步骤2.2.3：验证

是否成立，如果成立，则执行下面的步骤，否则终止执行或重启初始化过程。

步骤3：具有前向安全性的组密钥分发；

假设用户U_k(k∈{1,2,…,n})要向组内的m(m<n)个用户

发起组内安全通信，请见图2，具有前向安全性的组密钥分发的具体实现包括以下子步骤：

步骤3.1：用户U_k随机选择一个组密钥key，然后计算他与用户U_r1之间的“用户对密钥”：key_k,r1＝(f_k(x_k,x_r1)+f_k(x’,x_k+x_r1+A_k[k][r1]×x’)mod q)，计算他与用户U_r2之间的“用户对密钥”：key_k,r2＝(f_k(x_k,x_r2)+f_k(x’,x_k+x_r2+A_k[k][r2]×x’))mod q，…，计算他与用户U_rm之间的“用户对密钥”：key_k,rm＝(f_k(x_k,x_rm)+f_k(x’,x_k+x_rm+A_k[k][rm]×x’))mod q；

步骤3.2：用户U_k更新自己的二维表A_k，具体更新步骤如下：

步骤3.2.1：随机生成m个随机数r₁′,r′₂,…,r′_m；

步骤3.2.2：更新A_k的第k行：

A_k[k][r1]＝(A_k[k][r1]+r₁′)mod q，

A_k[k][r2]＝(A_k[k][r2]+r′₂)mod q，

…，

A_k[k][rm]＝(A_k[k][rm]+r′_m)mod q。

步骤3.3：基于某种传统的对称加密算法E和“用户对密钥”对组密钥和随机数进行加密得到如下密文：

并将这些密文分别发送给用户U_r1,U_r2,…,U_rm。

步骤4：组密钥的安全获取；

请见图2，用户U_rl(l＝1,2,…,m)安全获取组密钥的具体实现包括以下子步骤：

步骤4.1：用户U_rl获得组密钥key和随机数，具体步骤如下：

步骤4.1.1：用户U_rl计算他与用户U_k之间的“用户对密钥”：

key_k,rl＝(f_k(x_rl,x_k)+f_k(x’,x_k+x_rl+A_rl[k][rl]×x’))mod q；

步骤4.1.2：对

进行解密：

获得组密钥key和随机数r_l′；

步骤4.2：用户U_rl根据随机数r_l′对自己的二维表A_rl进行如下更新：

A_rl[k][rl]＝(A_k[k][rl]+r_l′)modq。

本发明有效地解决了在安全的组内通信应用中没有可信第三方参与的安全组密钥分发问题，并且解决了“用户对密钥”泄漏带来的前向安全问题，具有非常好的实际应用价值。此外，本发明提出的方法需要较少的计算量和存储量，因此非常适合通过手机、iPad等资源有限设备进行组内通信的用户。

应当理解的是，本说明书未详细阐述的部分均属于现有技术。

应当理解的是，上述针对较佳实施例的描述较为详细，并不能因此而认为是对本发明专利保护范围的限制，本领域的普通技术人员在本发明的启示下，在不脱离本发明权利要求所保护的范围情况下，还可以做出替换或变形，均落入本发明的保护范围之内，本发明的请求保护范围应以所附权利要求为准。

Claims

1.一种具有前向安全性的组密钥分发方法，假设组内有n个用户{U₁,U₂,…,U_n}，用户U_k随机创建的一个t次对称二元多项式：f_k(x,y)＝(a_k00+a_k10x+a_k01y+a_k11xy+a_k20x²+a_k02y²+a_k21x²y+a_k12xy²+a_k22x²y²+…+a_kttx^ty^t)mod q，其中q是一个大素数，a_kij＝a_kji；此外，有n+1个常数是公开信息{x₁,x₂,…,x_n,x’}；k＝1,2,…,n；a_k00、…、a_ktt是二元多项式f_k(x,y)的系数，由用户U_k随机选择；其中，i＝0,1,…,t；j＝0,1,…,t；

其特征在于，所述方法包括以下步骤：

步骤1：系统初始化；

步骤1的具体实现包括以下子步骤：

若是，则继续执行步骤3；

若否，则终止执行或重启初始化过程；

步骤2的具体实现内包括以下子步骤：

步骤2.1：用户U_k验证收到的2(n-1)个一元多项式(f₁(x_k,y),f₂(x_k,y),…,f_k-1(x_k,y),f_k+1(x_k,y),…,f_n(x_k,y),f₁(x’,y),f₂(x’,y),…,f_k-1(x’,y),f_k+1(x’,y),…,f_n(x’,y))是否均是t次一元多项式；

步骤2.2：用户U_k通过验证等式f₁(x_k,x’)＝f₁(x’,x_k)，f₂(x_k,x’)＝f₂(x’,x_k)，…，f_k-1(x_k,x’)＝f_k-1(x’,x_k)，…,f_n(x_k,x’)＝f_n(x’,x_k)是否成立来确定收到的2(n-1)个一元多项式是否均是由对称二元多项式产生的；

首先计算

和

然后验证等式

是否成立，如果成立，则说明2(n-1)个一元多项式均是由对称二元多项式产生的；

如果步骤2.1和步骤2.2中的验证均通过，则说明用户U_k收到的2(n-1)个一元多项式是合法的，均是由对称的二元t次多项式产生的；

步骤3：具有前向安全性的组密钥分发；

假设用户U_k(k∈{1,2,…,n})要向组内的m个用户

发起组内安全通信，m＜n；

则步骤3的具体实现内包括以下子步骤：

步骤3.1：用户U_k随机选择一个组密钥key，然后计算他与用户U_r1之间的“用户对密钥”key_k,r1＝(f_k(x_k,x_r1)+f_k(x’,x_k+x_r1+A_k[k][r1]×x’))mod q，计算他与用户U_r2之间的“用户对密钥”key_k,r2＝(f_k(x_k,x_r2)+f_k(x’,x_k+x_r2+A_k[k][r2]×x’))mod q，…，计算他与用户U_rm之间的“用户对密钥”key_k,rm＝(f_k(x_k,x_rm)+f_k(x’,x_k+x_rm+A_k[k][rm]×x’))mod q；

步骤3.2：用户U_k更新自己的二维表A_k，以便下一次U_k与{U_r1,U_r2,…,U_rm}这些用户之间生成新的“用户对密钥”，从而实现前向安全性；

首先随机生成m个随机数r₁′,r₂′,…,r_m′，然后对A_k进行更新：

A_k[k][r1]＝(A_k[k][r1]+r₁′)modq，

A_k[k][r2]＝(A_k[k][r2]+r₂′)modq，

…，

A_k[k][rm]＝(A_k[k][rm]+r_m′)modq；

步骤3.3：基于对称加密算法E和“用户对密钥”对组密钥和随机数进行加密得到密文

并将这些密文分别发送给用户U_r1,U_r2,…,U_rm；

步骤4：组密钥的安全获取；

步骤4的具体实现包括以下子步骤：

步骤4.1：用户U_rl计算他与用户U_k之间的“用户对密钥”key_k,rl＝(f_k(x_rl,x_k)+f_k(x’,x_k+x_rl+A_rl[k][rl]×x’))mod q，接着用密钥key_k,rl对

进行解密

得到组密钥key和随机数r_l′；l＝1,2,…,m；

步骤4.2：用户U_rl根据随机数r_l′更新自己的二维表A_rl：

A_rl[k][rl]＝(A_k[k][rl]+r_l′)modq。