CN110266482B - 一种基于区块链的非对称群组密钥协商方法 - Google Patents

Abstract

本发明提出了一种基于区块链的非对称群组密钥协商方法，步骤为：群组的终端成员的密钥生成与注册；密钥生成中心根据终端成员的IP地址、公钥、注册标识信息将终端成员排列成带有标识符的环状集合，终端成员之间相互广播消息，并保存其左右邻居节点的广播信息；环状集合中的发起节点上的终端成员将群组密钥参数组成的消息封装到第一个区块并传递给其右相邻节点上的终端成员，依次循环直到发起节点的左相邻节点上的终端成员，计算群组加密密钥和群组解密密钥：群组密钥自证实验证。本发明通过区块链技术实现群组成员间的安全信息交换及安全信息传输，具有非对称群组密钥协商的功能以及区块链技术的性能优势，群组密钥协商更加灵活、高效和实用。

Description

一种基于区块链的非对称群组密钥协商方法

技术领域

本发明涉及信息安全的技术领域，尤其涉及一种基于区块链的非对称群组密钥协商方法。

背景技术

群组密钥协商是保障群组内信息安全交换的方法之一，被广泛的应用，如安全多方计算、资源安全共享和分布式协同计算等方面。多个移动设备通过无线通信相互共享信息，在信息共享过程中，秘密信息容易被非法实体窃取。非对称群组密钥协商方法是保障群组之间进行安全信息交换与传输的关键技术之一，群组之间在线计算出群组加密密钥和群组解密密钥，进而用该群组密钥进行群组间信息加密通信。

为了防止非授权终端加入群组通信，群组终端在进行群组密钥协商过程中需要进行身份认证。身份认证过程中需要大量的计算及信息传输，为避免产生网络通信瓶颈及单点崩溃，身份认证需要分布式进行。同时终端身份信息容易泄露，在身份认证中及信息传输过程中保护个人隐私问题极其重要。为了确保群组通信信息的安全性更高，则需采用非对称群组通信加密机制。当群组中有叛逆者时，能进行追踪。针对基于区块链技术的群组密钥协商的研究尚未出现。一系列的挑战性问题有待解决，包括群组密钥协商过程中区块数据结构定义，区块数据的封装、区块身份认证及个人隐私保护问题等方面的工作尚无先例。

发明内容

针对现有群组密钥协商方法进行密钥计算过程中，计算和通信负载过大，在身份认证过程中，容易暴露个人身份信息，且对信息敏感度较高，无法确定群组成员的访问权限等的技术问题，本发明提出一种基于区块链的非对称群组密钥协商方法，采用区块链无中心化匿名认证可防止委托第三者认证造成的安全隐患并可保护个人隐私不被泄露；采用区块链分布式计算方法可使得群组密钥计算及通信更加均衡，防止因单个终端节点计算及通信负载过大而造成网络瓶颈及单点崩溃问题，同时尽可能的减少每个节点的计算及通信量；采用区块链交易记录可追溯性等特点，可进行网络恶意节点追踪、追责。

为了达到上述目的，本发明的技术方案是这样实现的：一种基于区块链的非对称群组密钥协商方法，其步骤如下：

步骤一：群组的终端成员的密钥生成与注册：

A)密钥生成中心KGC和群组中的所有终端成员在整数域随机选择一个数作为自己的私钥，并通过乘法群的生成元计算各自的公钥；

B)群组的终端成员u_i和密钥生成中心KGC计算相应的身份参数，并通过广播进行交互，完成终端成员u_i的注册，终端成员u_i获取自身的注册标识信息；

步骤二：终端成员之间进行群组密钥协商，计算群组加密密钥和群组解密密钥：

C)密钥生成中心KGC根据终端成员u_i的IP地址、公钥、注册标识信息将终端成员排列成一个带有标识符的环状集合，密钥生成中心KGC广播标识符、IP地址、公钥和注册标识信息组成的消息，终端成员u_i接收到广播的消息后保存其左右邻居节点的广播信息；

D)环状集合中的发起节点上的终端成员将群组密钥参数组成的消息封装到第一个区块并传递给其右相邻节点上的终端成员，依次循环直到发起节点的左相邻节点上的终端成员；

E)发起节点上的终端成员收到其左相邻节点上的终端成员发送的消息计算自身的群组公钥参数和群组公钥并把群组密钥参数组成的消息封装到第n个区块并广播给其他终端成员；其他终端成员根据第n个区块中的群组密钥参数和自己的私钥计算群组解密密钥，并获取群组解密密钥；

步骤三：群组密钥正确性验证：

F)群组中的各终端成员通过遍历环状集合中的各节点，计算验证群组解密密钥的正确性，并通过双线性映射自证实所计算的群组加密密钥与解密密钥映射关系是否正确。

所述步骤一中群组的终端成员的密钥生成方法为：

(1)密钥生成中心KGC随机选择一个正整数

作为系统私钥，并计算公钥

密钥生成中心KGC将(m_pk,m_sk)作为系统的公/私钥对；其中，g₁为乘法群G₁的生成元，

表示阶为q的整数集，q为乘法群G₁的素数阶；

(2)群组的每个终端成员u_i∈U选择一个随机数

计算公钥

和中间变量

然后将信息

发送给密钥生成中心KGC；其中，1≤i≤n，终端成员的集合U＝{u₁,u₂,...,u_n}，n为终端成员的个数；x_i为终端成员u_i的私钥，y_i为终端成员u_i的公钥，

为终端成员u_i的身份标识，

和

为密钥计算的中间参数，H₁(.)为映射

的散列函数。

所述步骤一中群组的终端成员的注册方法为：密钥生成中心KGC收到终端成员u_i发送的消息

后，计算中间参数

并验证等式

是否成立，如果成立，密钥生成中心KGC选择一个随机数

并且计算中间参数

和注册信息标识

并把注册信息标识

发送给终端成员u_i作为其注册信息；其中，

是密钥计算的中间参数，T_i为密钥计算的中间参数，

是终端成员u_i的注册信息标识，e(·)是可计算的双线性映射函数。

所述步骤二中计算群组加密密钥和群组解密密钥的方法为：

(1)密钥生成中心KGC根据各个终端成员u_i的IP地址、公钥、注册标识信息将终端成员排列成一个带有标识符

的环状集合，然后将消息

广播给环状集合中的所有终端成员，然后各终端成员u_i接收到广播的消息之后保存其左右相邻节点上终端成员u_i-1和u_i+1的信息；其中，S_id是终端成员u_i的标识符，IP_i是终端成员u_i的IP地址，T_i为密钥计算的中间变量；

(2)群组密钥协商的发起节点上的终端成员u_i计算出一个左密钥

和一个右密钥

并秘密保存，计算群组密钥参数

签名信息

中间变量

和中间参数

然后，终端成员u_i将信息

封装成事务，根据其存储的右相邻节点上终端成员u_i+1的IP地址IP_i+1的值，将封装的事务作为区块链中的交易信息发送给终端成员u_i+1；然后，终端成员u_i记录时间信息time_i并将消息

封装成第一个区块；其中，x_i为终端成员u_i的私钥，y_i为终端成员u_i的公钥，1≤i≤n，IP_i+1为终端成员u_i+1的IP地址，M_i为群组密钥计算的中间参数，σ_i为终端成员u_i的数字签名，Y_i为终端成员u_i的群组密钥参数，

为密钥计算所需要的中间变量，H₂(.)为映射

的散列函数，g₁为乘法群G₁的生成元；

(3)终端成员u_i+1收到终端成员u_i发送的消息

后，终端成员u_i+1将其IP地址与第一个区块封装的IP地址IP_i+1进行对比，如果两个IP地址相同，终端成员u_i+1计算中间变量

并验证等式

和

是否成立，如果等式成立，终端成员u_i+1计算一个左密钥

和一个右密钥

秘密保存，并计算群组密钥参数

签名信息

群组公钥参数

中间变量

和中间参数

终端成员u_i+1将信息

封装成事务，并将封装的事务信息发送给其右相邻节点；然后，终端成员u_i+1记录时间信息time_i+1并将

封装到新的区块中作为第二个区块；其中，e(·)是可计算的双线性映射函数公式，H₂(·)表示散列函数，M_i+1为群组密钥计算的中间参数，σ_i+1为终端成员u_i+1的数字签名，Y_i+1为终端成员u_i+1的群组密钥参数，

为密钥计算所需要的中间变量，

为终端成员u_i+1计算的公钥参数；

(4)i的值加1循环步骤(3)，经过一系列的区块信息传递之后，直到终端成员u_i接收到其左相邻节点上终端成员u_i-1发送的消息

然后终端成员u_i计算变量

并验证等式

和

是否成立来验证终端成员u_i-1的身份，如果等式成立，终端成员u_i计算群组公钥参数

和群组公钥

然后将消息

广播给群组内所有终端成员；其中，M_i-1是群组密钥计算的中间参数，

为终端成员u_i计算的群组公钥参数；

(5)群组中其它终端成员u_k收到来自终端成员u_i广播的消息

后；终端成员u_k验证等式

是否成立来验证终端成员u_i的身份，如果等式成立，其它终端成员u_k用各自的右密钥

计算出中间变量

然后终端成员u_k计算出群组解密密钥

并从终端成员u_i发送的消息中获取群组加密密钥

且群组加密密钥

群组解密密钥

1≤k≤n,k≠i。

所述中间变量

的计算方法为：

Y_k+1...Y_k+(n-1)分别表示相应的终端成员的群组密钥参数。

所述公式

验证方法为：根据双线性映射的性质有：

所述步骤三中自证实的方法为：群组的各终端成员u_i计算出群组密钥后，通过验证等式

和PK_enc＝e(g₁,SK_dec)是否成立来确认其所计算的群组解密密钥是否正确。

所述等式

的验证方法为：

等式PK_enc＝e(g₁,SK_dec)表示加密密钥与解密密钥映射关系，验证方法为：

本发明的有益效果：受到区块链的数据封装模式及数据传递思想的启发，定义一种环形的区块链式结构，并通过环形数据传输结构模式，提出新的非对称群组密钥计算算法，最终实现群组所有成员都能计算出群组会话加密密钥和解密密钥，进而保障群组秘密信息的安全交换及传输。利用区块链数据传递方式及成员追踪技术，本发明群组密钥协商的主要特点是：1)分布式身份认证，群组密钥协商过程中涉及到的群组成员身份认证是分布式实行的，即区块链中后一节点，对前一节点进行身份认证，尽可能地避免某个节点计算量过大造成网络瓶颈及单点崩溃；2)匿名身份认证，所有节点在进行身份认证过程中始终保持匿名性，以保护个人隐私，并且注册机构可对违规节点进行验证和追踪；3)群组中每个节点在计算群组密钥时，需要遍历环形的区块链式结构，节点可自行验证其计算的群组解密密钥的正确性，也可通过加密密钥和解密密钥的等式关系来验证其计算的群组密钥的正确性。本发明群组成员通过区块链技术传递群组密钥参数并进行群组密钥计算，通过群组密钥同通信信息加密和解密，进而实现群组成员间的安全信息交换及安全信息传输；具有非对称群组密钥协商的功能以及区块链技术的性能优势，群组密钥协商更加灵活、高效和实用，具有重要的领域研究意义和商业应用价值；可以广泛地应用在自组织性、无中心性、拓扑动态变化的移动自组织网络中。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的流程图。

图2为本发明实施例1中密钥协商信息封装的示意图。

图3为本发明实施例1中密钥协商信息的传递示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

一种基于区块链的非对称群组密钥协商方法，群组成员在进行群组密钥协商前通过区块链匿名认证技术进行身份认证；确认各个终端成员的身份后，参与群组密钥协商的终端成员进行注册，获取各自的注册信息，根据各终端属性排列成一个环状序列组，发起的终端成员计算组密钥并将相关加密信息广播给网络中的其它成员，其他成员验证最后一个终端成员的身份之后计算各自的群组密钥，然后通过等式认证方法验证群组密钥的正确性；在密钥计算过程中，消息发送者通过比较消息块的IP地址写入新的块，并通过等式验证方法验证消息发送者的身份来确定消息的安全传递，进而实现群组成员间的信息安全交换。

针对群组通信环境下，移动自组织网络中的各移动终端间在信息安全共享时涉及到通信信息的保密性、完整性和抗泄露性的问题；同时，在移动自组织网络中，存在移动终端频繁的加入或退出群组对信息安全交换、个人隐私泄露的影响及网络节点计算和通信能力受限等问题。在此背景下，本发明提出一种基于区块链的非对称群组密钥协商方法，实现群组密钥协商。首先，域内的密钥生成中心KGC随机选择主加密密钥，并计算对应的公/私钥对，密钥生成中心KGC对群组内所有终端成员进行身份验证并签名，终端成员通过密钥生成中心KGC签名消息计算自身的公/私钥对；然后计算各终端成员的注册信息，根据各终端成员自身属性排列成一个带有标识符的环状的序列对；其次，密钥生成中心KGC向每个群组密钥协商参与者广播各终端成员的IP地址、公钥和注册信息以及环状组的标识符，群组成员收到广播的消息后，保存其左右相邻节点的相关信息。群组密钥协商的发起者计算其左、右密钥并秘密保存，计算密钥参数、签名信息，并将相应的密钥参数封装成区块传送给其右相邻节点，然后，记录发送的时间信息与发送的参数信息一起封装在区块中。群组中发起节点收到其左相邻节点发送的消息后，验证其左相邻节点的身份，如果验证通过，群组的发起节点计算群组公钥参数和群组公钥，然后把密钥参数和公钥广播给群组内所有成员。其他成员收到发起节点广播的消息之后，验证发起节点的身份，如果验证通过，群组内其他成员用自己的右密钥及密钥参数计算出解密密钥，并从广播的消息中获取加密密钥；最后，群组各终端成员计算出群组密钥后，通过双线性映射自证实所计算的群组解密密钥是否正确，实现移动自组织网络中群组成员之间共享秘密信息。

1.本发明所涉及的理论基础知识和相关定义

1.1双线性映射问题

定义1.双线性映射：设G₁为一个乘法群，其生成元为g₁，即g₁∈G₁，G₂为另一个乘法群。乘法群G₁和G₂具有共同的大素数阶q，q≥2^k1+1，k 1是安全参数，且两个乘法群G₁和G₂上的离散对数是困难的，并且两个乘法群G₁和G₂是一对双线性群，e是可计算的双线性映射，e:G₁×G₁→G₂，其具有如下性质：

性质1.双线性：对所有的生成元g₁,g₂∈G₁及参数

有

其中，

表示阶为q的整数集。

性质2.非退化性：e(g₁,g₂)≠1。

性质3.可计算性：存在有效的算法，对于生成元g₁,g₂∈G₁可计算e(g₁,g₂)。

推理1.对于生成元μ₁,μ₂,v∈G₁可计算e(μ₁·μ₂,v)＝e(μ₁,v)e(μ₂,v)。

1.2计算复杂性问题

定义1.离散对数问题(DLP)：对于等式y＝g^a，

其中，生成元y,g∈G₁，参数a＜q。如果参数a和生成元g已知，很容易计算出生成元y。但是已知生成元g和生成元y，计算出参数a的概率在多项式时间内可以忽略不计。

定义2.计算决策双线性Diffie-Hellman(DDH)问题：对于给出任意两个正整数

和生成元π∈G₁，两个三元组

和

在计算上无法区分。定义3.计算Diffe-Hellman双线性逆问题(BIDH)：已知生成元g₁、

和

给出任意两个正整数

可计算e(g₁,g₁)^abc的值。

实施例1

复杂群组通信及信息共享情况下，通信多方需要对通信成员进行身份认证，但在提供身份信息时，身份信息容易泄露或者被窃取。出于安全考虑，通信多方需要认证的同时，需要对个人身份隐私进行保护。在信息共享时，还要保障通信信息的保密性、完整性和抗泄露性，要求具有权限的成员才能共享信息。针对此应用背景下，本发明提出了一种基于区块链的非对称群组密钥协商方法，如图1所示，其步骤如下：①参与群组密钥协商的成员首先进行参数初始化，分别产生各自的公/私钥对，并获取各自的注册信息，然后根据各终端成员自身属性排列成一个带有标识符的环状序列组；②群组协商过程中，密钥协商信息以区块的形式进行传递，保证密钥协商过程中信息的传递及相关计算相对均衡的分布在每个节点上，并在终端成员之间进行群组密钥计算；③当各终端成员计算完群组解密密钥后，通过双线性映射自证实所计算的群组解密密钥是否正确。本实施例中群组密钥协商过程中，密钥协商的信息以区块的形式进行传递，密钥协商过程中信息的传递及相关计算相对均衡的分布在每个节点上。信息的封装形式如图2所示，信息的传递过程如图3所示。

一.初始化协议参数，生成各终端成员的公/私钥对

假设群组信息交换网络中包含一个域内的密钥生成中心KGC和n个终端成员，n个终端成员的集合用U＝{u₁,u₂,...,u_n}表示，相应的n个终端成员的身份集合用

表示。

假设G₁和G₂是两个乘法群，计算两个乘法群G₁和G₂上的离散对数问题是难解的，g₁∈G₁是乘法群G₁的一个生成元，两个乘法群G₁和G₂具有相同的素数阶q，并且存在一个双线性映射函数e，并且e:G₁×G₁→G₂。

和

是三个哈希散列函数。

终端成员的公/私钥对的生成以及获取各自注册身份信息的方法为：

密钥生成中心KGC随机选择一个正整数

作为系统私钥，并计算公钥

密钥生成中心KGC将(m_sk,m_pk)作为系统的公/私钥对。在所有终端成员参与群组密钥协商之前，任意终端成员u_i∈U随机选择一个正整数

作为其私钥，计算公钥

中间变量

并将(y_i,x_i)作为自身的公/私钥对，然后将消息

发送给密钥生成中心KGC。其中，1≤i≤n，

和

为密钥计算的中间变量，

为终端成员u_i的身份标识，g₁∈G₁是乘法群G₁的一个生成元，H₁(·)表示散列函数，y_i为终端成员u_i计算的公钥。

密钥生成中心KGC接收到终端成员u_i发送的消息

之后，计算

并通过等式

验证终端成员u_i的身份，如果验证通过，密钥生成中心KGC选择一个随机数

并计算中间变量

和注册信息标识

的值，并把

作为终端成员u_i的注册信息发送给终端成员u_i。如果验证不通过，则广播出错信息，以便其它成员进行验证，密钥生成中心KGC并将终端成员u_i开除群组密钥。然后，密钥生成中心KGC根据各终端成员的IP地址、公钥和注册信息创建一个环状的带有标识符

的会话群组。环状序列的n个带有注册信息标识的终端成员的集合用

表示，带有注册信息标识

和

的节点分别是带有注册信息标识

的节点的左右相邻节点，并且

即集合

中带有注册信息标识

的节点首尾相连。然后，密钥生成中心KGC广播消息

给参与群组协商的所有终端成员。群组中的终端成员收到KGC广播的消息之后，各终端成员u_j保存其左相邻节点的信息

和右相邻节点的信息

系统参数是params＝(m_pk,q,G₁,G₂,g₁,e,H₁,H₂,H₃)；其中，1≤i≤n，1≤j≤n，

是密钥计算的中间参数，T_i为密钥计算的中间变量，

和

均为密钥计算的中间变量，H₂(.)为散列函数，

是终端成员u_i的注册信息标识，y_i为终端成员u_i的公钥。

等式

的验证方法为：

二.计算群组密钥

为了防止未授权的终端参与群组密钥协商，仅允许拥有权限的终端成员参与群组密钥协商。本发明采用区块链传递密钥协商消息，参与群组密钥协商的每个终端成员计算群组密钥参数，并对群组密钥参数进行数字签名，将签名消息及所需要的群组密钥参数通过区块结构进行区块封装，并将区块信息按照区块链的传递方式逐步传递给其它成员。收到其左相邻块节点信息后，本区块节点对其左相邻区块中的信息进行认证，保障左相邻区块信息的安全性和正确性。同时计算本节点的群组密钥参数，对该信息进行数字签名，并进行区块封装传递给下一个区块，然后记录信息传递时间，与封装的消息一起封装在区块中，直到发起节点收到其左相邻节点发送的消息，区块包含所有成员的群组密钥参数，然后发起节点通过收到的所有成员的群组密钥参数计算出群组公钥参数和群组公钥，并广播给所有终端成员。所有终端成员收到广播的消息后，各终端成员计算密钥参数，并用自己的右密钥和相关参数计算出群组解密密钥以获取群组加密密钥。为了保障每个成员计算的群组密钥的正确性，每个终端成员通过双线性映射自证实所计算的群组解密密钥的正确性，以保证信息在通信过程中安全交换。

本发明实现群组信息的安全交换，具有传统身份认证的功能，同时可以保护个人隐私问题。群组密钥协商过程中，密钥协商的信息是以区块的形式进行传递，密钥协商过程中信息的传递及相关计算相对均衡的分布在每个节点中，如图3所示，计算群组密钥的具体实现方法为：

(1)群组密钥协商的终端成员u_i所在的节点作为发起节点，计算出一个左密钥

和一个右密钥

并秘密保存，计算群组密钥参数

签名信息

中间变量

和

然后，终端成员u_i将信息

封装成事务，根据其存储的后一个节点的终端成员u_i+1的IP地址IP_i+1的值，将封装的事务作为区块链中的交易信息发送给右节点的终端成员u_i+1；然后，终端成员u_i记录时间信息time_i并将

封装成第一个区块；其中，1≤i≤n，IP_i+1为终端成员u_i+1的IP地址，M_i为群组密钥计算的中间参数，σ_i为终端成员u_i的数字签名，Y_i为终端成员u_i的群组密钥参数，H₂(.)为散列函数，

是终端成员u_i的注册信息标识，y_i为终端成员u_i的公钥，T_i为密钥计算的中间变量，

为密钥计算所需的中间变量。

(2)终端成员u_i+1收到终端成员u_i发送的消息

后，终端成员u_i+1将其IP地址与第一个区块封装的IP地址进行对比分析，如果两个IP地址相同，终端成员u_i+1会写一个新的区块。终端成员u_i+1计算

并验证等式

和

是否成立来验证节点u_i的身份，如果等式成立，终端成员u_i+1计算一个左密钥

和一个右密钥

秘密保存，并计算一个群组密钥参数

签名信息

中间变量

群组公钥参数

和中间参数

如果等式不成立，则广播出错信息，以便其它终端成员进行验证，并将其开除群组密钥。终端成员u_i+1将信息

封装成事务，并将封装的事务信息发送给其右相邻节点；然后，终端成员u_i+1记录时间信息time_i+1并将

封装成第二个区块；其中，e(·)是可计算的双线性映射函数公式，H₂(·)表示散列函数，g₁为加法群G₁的生成元，M_i+1为群组密钥计算的中间参数，σ_i+1为终端成员u_i+1的数字签名，T_i+1为密钥计算的中间变量，Y_i+1为终端成员u_i+1的群组密钥参数，

为终端成员u_i+1计算的公钥参数，y_i为终端成员u_i的公钥，

为密钥计算所需的中间变量。

等式

的验证方法：步骤(1)中计算出

的值，然后计算

故两者相等。

公式

验证方法为：根据双线性映射的性质有：

如果等式成立，则证明该消息是用终端成员u_i的私钥签名，进而证实该消息为终端成员u_i发送。

(3)后续其他终端成员的操作和终端成员u_i+1相似，经过一系列的区块信息传递之后，直到终端成员u_i接收到其左相邻节点的终端成员u_i-1发送的消息

然后终端成员u_i计算

并验证等式

和

是否成立来验证终端成员u_i-1的身份，如果等式成立，则区块信息传递结束。如果等式不成立，则广播出错信息，以便其它成员进行验证，并将终端成员u_i-1开除群组密钥。终端成员u_i计算群组公钥参数

和群组公钥

然后将消息

广播给群组内所有终端成员。其中，M_i-1是群组密钥计算的中间参数，

为终端成员u_i计算群组公钥参数，σ_i-1为终端成员u_i-1的数字签名，Y_i-1为终端成员u_i-1的群组密钥参数，

为终端成员u_i计算的公钥参数，y_i-1为终端成员u_i-1的公钥；

(4)群组中其它的其它终端成员u_k收到来自终端成员u_i广播的消息

后，且1≤k≤n,j≠i；每一个节点u_k验证等式

是否成立来验证终端成员u_i的身份，如果等式成立，每个节点u_k用各自的右密钥

计算出中间变量

计算过程如下：

其中，

为密钥计算的中间变量，Y_k+1...Y_k+(n-1)分别表示相应的终端成员的群组密钥参数。

然后，终端成员u_k可计算出群组解密密钥

并从终端u_i获取群组加密密钥

如果等式不成立，则广播出错信息，以便其它成员进行验证，并推荐终端成员u_i的左节点的终端成员u_i-1接替终端成员u_i的任务执行群组密钥协商。显然，群组内所有诚实的参与者可以获取相同的加密密钥

并计算出相同的解密密钥

三.群组密钥自证实性

群组中的终端成员计算出群组密钥后，不需通过广播对比其它终端成员计算的结果来验证密钥的一致性，通过自身计算可自证实密钥计算的正确性，过程如下：

群组的各终端成员u_i计算出群组密钥后，通过验证等式

是否成立来确认其所计算的群组解密密钥是否正确。等式的验证过程为：

和加密密钥与解密密钥映射关系验证方法为：

实施例2

一种基于区块链的非对称群组密钥协商方法，如图1所示，为了说明本发明的内容及实施方法，给出了一个具体实施例。本实施方式中，为方便实例阐述，参加密钥协商的终端成员个数最多为10个，终端成员的实体集合表示为

对应实体终端成员身份的集合表示为

在本实施例中引入细节的目的不是限制权利要求书的范围，而是帮助理解本发明的方法。本领域的技术人员应理解：在不脱离本发明及其所附权利要求的精神和范围内，对最佳实施例步骤的各种修改、变化或替换都是可能的。因此，本发明不应局限于最佳实施例及附图所公开的内容。

一.初始化

假设G₁和G₂是两个乘法群，计算两个乘法群G₁和G₂上的离散对数问题是难解的，g₁∈G₁是乘法群G₁的一个生成元，两个乘法群G₁和G₂具有相同的素数阶q，并且存在一个双线性映射函数e，并且e:G₁×G₁→G₂。

和

是三个哈希散列函数。

密钥生成中心KGC随机选择一个正整数

作为系统私钥，并计算公钥

密钥生成中心KGC将(m_sk,m_pk)作为系统的公/私钥对。在所有终端成员参与群组密钥协商之前，任意终端成员u_i∈U(1≤i≤10)随机选择一个正整数

作为该终端成员的私钥，计算公钥

中间变量

和

将(y_i,x_i)作为终端成员u_i的公/私钥对，然后将

发送给密钥生成中心KGC；其中，

和

为密钥计算的中间变量，

为终端成员u_i的身份标识，H₁(·)表示散列函数。

密钥生成中心KGC接收到终端成员u_i发送的消息

之后，计算

并通过等式

验证终端成员u_i的身份，如果验证通过，密钥生成中心KGC选择一个随机数

并计算

的值并把

作为终端成员u_i的注册信息发送给终端成员u_i。然后，密钥生成中心KGC根据各终端成员的IP地址、公钥和注册信息创建一个环状的带有标识符

的会话群组。环状序列的10个带有注册身份标识的终端成员的集合用

表示，带有注册身份标识

和

的节点分别是带有注册身份标识

的节点的左右相邻节点。然后，密钥生成中心KGC广播消息

给参与群组协商的所有终端成员。群组成员收到密钥生成中心KGC广播的消息之后，各终端成员u_j(1≤j≤10)保存其左相邻节点的信息

和右相邻节点的信息

系统参数是params＝(m_pk,q,G₁,G₂,g₁,e,H₁,H₂,H₃)；其中，1≤i≤10，1≤j≤10，

是密钥计算的中间参数，T_i为密钥计算的中间变量，

和

为密钥计算的中间变量，H₂(.)为散列函数，

是终端成员u_i的注册信息标识，y_i为终端成员u_i的公钥。

二.计算群组密钥

(1)群组密钥协商的发起节点上的终端成员u_i计算出一个左密钥

和一个右密钥

秘密保存，计算群组密钥参数

签名信息

和

然后，终端成员u_i将信息

封装成事务，对比其存储的后一个节点上的终端成员u_i+1的IP地址IP_i+1的值是否一致，若一致，将封装的事务作为区块链中的交易信息发送给终端成员u_i+1；然后，终端成员u_i记录时间信息time_i并将

封装成第一个区块；其中，1≤i≤10，IP_i+1为终端成员u_i+1的IP地址，M_i为群组密钥计算的中间参数，σ_i为终端成员u_i的数字签名，Y_i为终端成员u_i+1的群组密钥参数，H₂(.)为散列函数，R_ui是终端成员u_i的注册信息标识，y_i为终端成员u_i的公钥，T_i为密钥计算的中间变量，

为密钥计算所需的中间变量。

(2)终端成员u_i+1收到终端成员u_i发送的消息

后，终端成员u_i+1将其IP地址与其左相邻区块封装的IP地址进行对比分析，如果两个IP地址相同；终端成员u_i+1计算

并验证等式

和

是否成立来验证终端成员u_i的身份，如果等式成立，终端成员u_i+1计算一个左密钥

和一个右密钥

秘密保存，并计算一个群组密钥参数

签名信息

群组公钥参数

和

如果等式不成立，则广播出错信息，以便其它成员进行验证，并将终端成员u_i开除群组密钥。终端成员u_i+1将信息

封装成事务，并将封装的事务信息发送给其IP地址与封装的地址相同的IP地址为IP_i+2的左相邻节点上的终端成员；然后，终端成员u_i+1记录时间信息time_i+1并将

封装成第二个区块；其中，1≤i≤10，e(·)是可计算的双线性映射函数公式，H₂(·)表示散列函数，g₁为加法群G₁的生成元，M_i+1为群组密钥计算的中间参数，σ_i+1为终端成员u_i+1的数字签名，T_i+1为密钥计算的中间变量，Y_i+1为终端成员u_i+1的群组密钥参数，

为终端成员u_i+1计算的公钥参数，y_i为终端成员u_i的公钥，

为密钥计算所需的中间变量。

(3)后续节点操作和终端成员u_i+1所在的节点相似，经过一系列的区块信息传递之后，直到终端成员u_i接收到其左相邻节点上的终端成员u_i-1发送的消息

然后终端成员u_i计算

并验证等式

是否成立来验证u_i-1的身份，如果等式均成立，则区块信息传递结束。如果任一等式不成立，则广播出错信息，以便其它成员进行验证，并将其开除群组密钥。终端成员u_i计算群组公钥参数

和群组公钥

然后将消息

广播给群组内所有成员；其中，1≤i≤10，M_i-1是群组密钥计算的中间参数，

为终端成员u_i计算群组公钥参数，σ_i-1为终端成员u_i-1的数字签名，Y_i-1为终端成员u_i-1的群组密钥参数，

为终端成员u_i计算的公钥参数，y_i-1为终端成员u_i-1的公钥。

(4)群组中其它终端成员u_k收到来自终端成员u_i广播的消息

后；每一个终端成员u_k验证等式

是否成立来验证终端成员u_i的身份，如果等式成立，每个终端成员u_k(1≤k≤n)用各自的右密钥

计算出中间变量

计算过程如下：

其中1≤k≤10,k≠i。

然后，终端成员u_k可以计算出群组解密密钥

并从终端成员u_i获取群组加密密钥

如果等式不成立，则广播出错信息，以便其它成员进行验证，并推荐下一节点的终端成员u_i-1接替终端成员u_i的任务执行群组密钥协商。显然，群组内所有诚实的参与者可以获取相同的加密密钥

并计算出相同的解密密钥

其中，1≤i≤10，

为密钥计算的中间变量。

三.群组密钥自证实性

群组成员计算出群组密钥后，不需通过广播对比其它成员计算的结果来验证密钥的一致性，通过自身计算可自证实密钥计算的正确性，过程如下：

群组的各终端成员u_i(1≤i≤10)计算出群组密钥后，通过验证等式

和PK_enc＝e(g₁,SK_dec)是否成立来确认其所计算的群组解密密钥是否正确。

本发明以区块链技术理论为基础，提出基于区块链的非对称群组密钥协商方法，该方法结合区块链和非对称群组密钥协商的优势，采用区块链匿名认证技术实现在群组密钥协议过程中的匿名身份认证，以保护个人隐私保护；采用区块链分布式计算技术，将群组密钥协商过程中的计算量及通信量均衡到每个节点上，以减少单个节点的计算及通信负载，防止端点崩溃及通信瓶颈问题；采用区块链的交易记录技术，对群组中非法操作成员进行追溯和问责，保障群组间信息交换的安全。本发明实现了群组成员之间协商出一致的通信加密密钥和通信解密密钥，进而实现群组之间安全信息交换和传输。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (7)

1.一种基于区块链的非对称群组密钥协商方法，其特征在于，其步骤如下：

步骤一：群组的终端成员的密钥生成与注册：

A)密钥生成中心KGC和群组中的所有终端成员在整数域随机选择一个数作为自己的私钥，并通过乘法群的生成元计算各自的公钥；

B)群组的终端成员u_i和密钥生成中心KGC计算相应的身份参数，并通过广播进行交互，完成终端成员u_i的注册，终端成员u_i获取自身的注册标识信息；

步骤二：终端成员之间进行群组密钥协商，计算群组加密密钥和群组解密密钥：

C)密钥生成中心KGC根据终端成员u_i的IP地址、公钥、注册标识信息将终端成员排列成一个带有标识符的环状集合，密钥生成中心KGC广播标识符、IP地址、公钥和注册标识信息组成的消息，终端成员u_i接收到广播的消息后保存其左右邻居节点的广播信息；

D)环状集合中的发起节点上的终端成员将群组密钥参数组成的消息封装到第一个区块并传递给其右相邻节点上的终端成员，依次循环直到发起节点的左相邻节点上的终端成员；

E)发起节点上的终端成员收到其左相邻节点上的终端成员发送的消息计算自身的群组公钥参数和群组公钥，并把群组密钥参数组成的消息封装到第n个区块并广播给其他终端成员；其他终端成员根据第n个区块中的群组密钥参数和自己的私钥计算群组解密密钥，并获取群组解密密钥，n为终端成员的个数；

步骤三：群组密钥正确性验证：

F)群组中的各终端成员通过遍历环状集合中的各节点，计算验证群组解密密钥的正确性，并通过双线性映射自证实所计算的群组加密密钥与解密密钥映射关系是否正确；

所述步骤二中计算群组加密密钥和群组解密密钥的方法为：

(1)密钥生成中心KGC根据各个终端成员u_i的IP地址、公钥y_i、注册信息标识

将终端成员排列成一个带有标识符

的环状集合，然后将消息

广播给环状集合中的所有终端成员，然后各终端成员u_i接收到广播的消息之后保存其左右相邻节点上终端成员u_i-1和u_i+1的信息；其中，S_id是终端成员u_i的标识符，IP_i是终端成员u_i的IP地址，T_i为密钥计算的中间变量，

表示阶为q的整数集；

(2)群组密钥协商的发起节点上的终端成员u_i计算出一个左密钥

和一个右密钥

并秘密保存，计算群组密钥参数

数字签名

中间变量

和中间参数

然后，终端成员u_i将信息

封装成事务，根据其存储的右相邻节点上终端成员u_i+1的IP地址IP_i+1的值，将封装的事务作为区块链中的交易信息发送给终端成员u_i+1；然后，终端成员u_i记录时间信息time_i并将消息

封装成第一个区块；其中，x_i为终端成员u_i的私钥，y_i为终端成员u_i的公钥，1≤i≤n，IP_i+1为终端成员u_i+1的IP地址，M_i为群组密钥计算的中间参数，σ_i为终端成员u_i的数字签名，Y_i为终端成员u_i的群组密钥参数，

为密钥计算所需要的中间变量，H₂(.)为映射

的散列函数，g₁为乘法群G₁的生成元；

(3)终端成员u_i+1收到终端成员u_i发送的消息

后，终端成员u_i+1将其IP地址与第一个区块封装的IP地址IP_i+1进行对比，如果两个IP地址相同，终端成员u_i+1计算中间变量

并验证等式

和

是否成立，如果等式成立，终端成员u_i+1计算一个左密钥

和一个右密钥

秘密保存，并计算群组密钥参数

签名信息

群组公钥参数

中间变量

和中间参数

终端成员u_i+1将信息

封装成事务，并将封装的事务信息发送给其右相邻节点；然后，终端成员u_i+1记录时间信息time_i+1并将

封装到新的区块中作为第二个区块；其中，e(·)是可计算的双线性映射函数公式，m_pk为密钥生成中心KGC的公钥，H₂(·)表示散列函数，M_i+1为群组密钥计算的中间参数，σ_i+1为终端成员u_i+1的数字签名，Y_i+1为终端成员u_i+1的群组密钥参数，

为密钥计算所需要的中间变量，

为终端成员u_i+1计算的群组公钥参数；

(4)i的值加1循环步骤(3)，经过一系列的区块信息传递之后，直到终端成员u_i接收到其左相邻节点上终端成员u_i-1发送的消息

然后终端成员u_i计算变量

并验证等式

和

是否成立，来验证终端成员u_i-1的身份；如果等式成立，终端成员u_i计算群组公钥参数

和群组公钥

然后将消息

广播给群组内所有终端成员；其中，M_i-1是群组密钥计算的中间参数，

为终端成员u_i计算的群组公钥参数；

(5)群组中其它终端成员u_k收到来自终端成员u_i广播的消息

后；终端成员u_k验证等式

是否成立来验证终端成员u_i的身份，如果等式成立，其它终端成员u_k用各自的右密钥

计算出中间变量

然后终端成员u_k计算出群组解密密钥

并从终端成员u_i发送的消息中获取群组加密密钥

且群组加密密钥

群组解密密钥

2.根据权利要求1所述的基于区块链的非对称群组密钥协商方法，其特征在于，所述步骤一中群组的终端成员的密钥生成方法为：

(1)密钥生成中心KGC随机选择一个正整数

作为系统私钥，并计算公钥

密钥生成中心KGC将(m_pk,m_sk)作为系统的公/私钥对；其中，g₁为乘法群G₁的生成元，q为乘法群G₁的素数阶；

(2)群组的每个终端成员u_i∈U选择一个随机数

计算公钥

和中间变量

和

然后将信息

发送给密钥生成中心KGC；其中，1≤i≤n，终端成员的集合U＝{u₁,u₂,...,u_n}，n为终端成员的个数；x_i为终端成员u_i的私钥，y_i为终端成员u_i的公钥，

为终端成员u_i的身份标识，

和

为密钥计算的中间参数，H₁(.)为映射

的散列函数。

3.根据权利要求2所述的基于区块链的非对称群组密钥协商方法，其特征在于，所述步骤一中群组的终端成员的注册方法为：密钥生成中心KGC收到终端成员u_i发送的消息

后，计算中间参数

并验证等式

是否成立，如果成立，密钥生成中心KGC选择一个随机数

并且计算中间参数

和注册信息标识

并把注册信息标识

发送给终端成员u_i作为其注册信息；其中，

是密钥计算的中间参数，T_i为密钥计算的中间参数，

是终端成员u_i的注册信息标识，e(·)是可计算的双线性映射函数。

4.根据权利要求3所述的基于区块链的非对称群组密钥协商方法，其特征在于，所述中间变量

的计算方法为：

Y_k+1...Y_k+(n-1)分别表示相应的终端成员的群组密钥参数。

5.根据权利要求1所述的基于区块链的非对称群组密钥协商方法，其特征在于，所述公式e((σ_i·R_ui),g₁)＝e(Y_i,y_i)e(T_i,m_pk)验证方法为：根据双线性映射的性质有：

6.根据权利要求3所述的基于区块链的非对称群组密钥协商方法，其特征在于，所述步骤三中自证实的方法为：群组的各终端成员u_i计算出群组密钥后，通过验证等式

和PK_enc＝e(g₁,SK_dec)是否成立来确认其所计算的群组解密密钥是否正确。

7.根据权利要求6所述的基于区块链的非对称群组密钥协商方法，其特征在于，所述等式

的验证方法为：

等式PK_enc＝e(g₁,SK_dec)表示加密密钥与解密密钥映射关系，验证方法为：

Images