CN110971404A - 一种面向安全跨域通信的无证书群密钥协商方法 - Google Patents

Abstract

本发明涉及一种面向安全跨域通信的无证书群密钥协商方法。目前大部分无证书的群密钥协商协议没有考虑跨域通信，即群中的每一个用户都在同一域内。或者方案中群用户处在不同域，但使用相同的密码参数，这并不适合实际的跨域环境。本发明涉及一种面向安全跨域通信的无证书群密钥协商方法，包含三种类型的通信实体：KGC、群用户和群控制器。KGC负责为群用户生成部分私钥，群控制器通过与群用户交互生成一个群会话密钥。本装置的优点在于：具有较强的安全性，高效性。

Description

一种面向安全跨域通信的无证书群密钥协商方法

技术领域

本发明涉及无证书的密码体制，具体涉及一种面向安全跨域通信的无证书群密钥协商方法。

背景技术

随着群通信应用越来越多，群通信安全问题急需解决。群密钥协商方法使得一群用户能够协商出一个相同的会话密钥，为后续的群通信保证安全。目前大多数群密钥协商协议主要是基于三种密码体制，分别是基于传统的公钥基础设施(PKI，Public KeyInfrastructure)、基于身份的密码体制(IBC，Identity-Based Cryptosystem)以及无证书密码体制(CLC,Certificateless Cryptosystem)。PKI需要证书来验证用户的身份，因此其涉及大量的证书管理问题。IBC不需要使用证书，通常选取用户的身份作为公钥，私钥由可信的第三方私钥生成中心生成。IBC由于私钥生成中心掌握了用户的私钥，密钥托管就成为了其中一个安全隐患问题。CLC解决了上述两个密码体制的缺陷，CLC不需要使用证书。CLC使用了密钥生成中心(KGC，Key Generate Center)作为可信的第三方，KGC利用自己的主密钥和用户的身份信息计算出一个部分私钥发送给用户，用户自己产生另外一部分私钥，即KGC不能掌握用户的所有私钥。

目前大部分无证书的群密钥协商协议没有考虑跨域通信，即群中的每一个用户都在同一域内。或者方案中群用户处在不同域，但使用相同的密码参数，这并不适合实际的跨域环境。2018年，Yang等人在提出了一种面向安全跨域通信的无证书群密钥协商方法(以下称为现有技术1)，但该方案来自不同域的用户使用相同的密码系统参数。另一方面，该方案不能抵御已知临时密钥攻击，同时KGC需要一个安全通信信道来传输用户的部分私钥。在执行效率方面，该方案需要两轮通信来执行群密钥协议。这些问题都极大的限制了该方案的适用范围。

本发明设计了一种面向安全跨域通信的无证书群密钥协商方法。采用了无证书密码技术，不存在PKI的证书管理问题和IBC的密钥托管问题。允许来自不同域的群用户使用不同的密码系统参数。在执行效率方面，只需要一轮通信来执行群密钥协商协议,大大降低了通信成本。

发明内容

目前大部分无证书的群密钥协商协议没有考虑跨域通信，或者方案中群用户处在不同域，但使用相同的密码参数，这并不适合实际的跨域环境。另一方面，大部分无证书的群密钥协商协议需要一个安全通信信道来传输用户的部分私钥。本发明提供一种面向安全跨域通信的无证书群密钥协商方法以解决上述问题。

面向安全跨域通信的无证书群密钥协商方法中包含三种类型的通信实体：KGC、群用户和群控制器(GC，Group Controller)。KGC负责为群用户生成部分私钥，群控制器通过与群用户交互生成一个群会话密钥。本方案主要包含以下几个部分：

一、密钥协商初始阶段

在我们提出的面向安全跨域通信的无证书群密钥协商方法中，GC在一个网络域中并且群用户{u₁,u₂,...u_m}(m是群用户的数量)不需要来自于相同的网络域。该阶段包括KGC生成密码参数算法、秘密值生成算法、部分私钥生成算法、设置完整私钥算法和设置完整公钥算法。

KGC生成密码参数算法：该算法输入安全参数k，KGC生成密码系统参数及其主私钥。

1.假设有一个根KGC，它生成一个二元组{q,G}，其中G为加法循环群，q为群G的阶；根KGC选择5个单向哈希函数：

H₄:G²→{0,1}^*和

2.每个KGC生成一个二元组{s_k,P_k}，其中P_k是群G的生成元，

是KGC的主私钥。不同的KGC可以生成不同的二元组{s_k,P_k}。

3.每个KGC计算它的主公钥KC_k＝s_kP_k。每一个KGC公开其密码系统参数{q,G,P_k,KC_k,H₁,H₂,H₃,H₄,H₅}并秘密保存其主私钥s_k。

秘密值生成算法：一个身份为ID_i的群用户u_i(1≤i≤m)选择

计算pk_i＝x_i·P_k并设置x_i为他的秘密值(假设用户u_i属于系统参数为P_k的KGC域)。

部分私钥生成算法：该算法使用KGC生成的系统参数，主私钥，群用户身份ID_i和其部分公钥pk_i作为输入，返回群用户的部分私钥。具体步骤如下：

1.KGC随机选择

并计算R_i＝r_iKC_k，h_i＝H₁(ID_i,R_i,pk_i)。

2.KGC计算usk_i＝r_i·s_k·h_i+H₁(ID_i,R_i,s_k·pk_i)并将{usk_i,R_i}通过公开信道返回给群用户u_i。

设置完整私钥算法：群用户u_i计算sk_i＝usk_i-H₁(ID_i,R_i,x_i·KC_K)并验证等式sk_iP_k＝h_iR_i是否成立，若等式成立，则群用户设置其完整私钥为{x_i,sk_i}。GC设置其完整私钥为sk₀＝(x₀+r₀s₀h₀)modq。

设置完整公钥算法：群用户u_i设置其完整公钥为{pk_i,R_i}。GC设置其完整公钥为pk₀＝sk₀P₀。

二、密钥协商执行阶段

S1：当一群用户想要协商一个共同的群会话密钥，每一个用户u_i(1≤i≤m)都要执行以下操作：随机选择

然后计算U_i＝(a_i·x_i)P₀，T_i＝(a_i·x_i)pk₀，y_i＝H₂(U_i||T_i||pk₀)，Q_i＝(a_i+y_i)P_k，V_i＝(y_i·sk_i)^-1(a_i+x_i+y_i)，C_i＝H₃(Q_i||y_i||V_i||pk_i)，

最后将消息＜U_i,MID_i＞发送给GC，其中

为当前时间戳。

S2：当GC在时间

时收到来自群用户u_i(1≤i≤m)的消息＜U_i,MID_i＞，他将执行以下操作：首先，GC计算T_i'＝sk₀U_i以及

如果(Tc_i-Tm_i)＞ΔT(ΔT为可接受的时间差)，GC向u_i回复重发请求，否则，GC计算y′_i＝H₂(U_i||T_i'||pk₀)，Q′_i＝y′_ih_iV_iR_i-pk_i以及C′_i＝H₃(Q′_i||y′_i||V_i||pk_i)。如果C′_i≠C_i，GC向u_i回复重发请求。否则，在验证数据＜U_i,MID_i＞有效性后，GC随机选择

计算L_i＝t_iP_k(1≤i≤m)以及W_i＝t_iQ′_i。其中W_i为椭圆曲线上一点，其坐标为(W_ix,W_iy)。设置W_xi＝W_ixmodq，如果W_xi＝0，GC随机选择另一个t_i去执行上述步骤，否则，计算群会话密钥为

Z_i＝TK-Q′_i，F_i＝W_xi·Z_i以及M_i＝H₅(ID₀||Q′_i||L_i||F_i||Tn_i)，其中

为当前时间戳。最后，GC将消息＜Tn_i,L_i,F_i,M_i＞返回给每一个群用户。

S3：当群用户u_i接收到来自GC的＜Tn_i,L_i,F_i,M_i＞时，他首先验证

的有效性，然后执行下列操作：计算M′_i＝H₅(ID₀||Q_i||L_i||F_i||Tn_i)，若M′_i≠M_i，群用户u_i向GC回复重发请求。否则，u_i计算W_i'＝(a_i+y_i)L_i，其中W_i'为椭圆曲线上一点，其坐标为(W′_ix,W′_iy)。最后群用户u_i计算W′_xi＝W′_ixmodq，

以及群会话密钥TK＝Z′_i+Q_i。

S4，每一个群用户u_i(1≤i≤m)可以通过一轮发送和接收密钥协商过程来生成相同的群会话密钥TK。

三、加入群操作

假设一个新用户u_m+1想要加入群用户{u₁,u₂,...u_m}，他首先产生他自己的公钥{pk_m+1,R_m+1}及私钥{x_m+1,sk_m+1}。之后，他可以通过以下操作加入这个群。

1)用户u_m+1选择

并像密钥协商执行阶段中的S1一样计算{U_m+1,T_m+1,y_m+1,Q_m+1,V_m+1,C_m+1,MID_m+1}，然后他发送消息＜U_m+1,MID_m+1＞给GC。

2)当接收到消息＜U_m+1,MID_m+1＞后，GC计算Q'_m+1并像密钥协商执行阶段中的S2那样验证数据的有效性。若有效，GC重新选择

像密钥协商执行阶段中的S2一样得出{L_i,W_i,W_xi}(1≤i≤m+1)；然后计算TK_n＝TK+Q'_m+1+t₀P₀，Z_ni＝TK_n-Q′_i，F_ni＝W_xi·Z_ni和M_ni＝H₅(ID₀||Q′_i||L_i||F_ni||T_ni)；最后，GC返回＜T_ni,L_i,F_ni,M_ni＞给每一个群用户。

3)当群用户u_i收到信息＜T_ni,L_i,F_ni,M_ni＞后，他像密钥协商执行阶段中的S3一样验证T_ni并计算M'_ni来验证数据的有效性，最后计算出群会话密钥TK_n。

四、离开群操作

离开群操作有两种情况。一个是GC离开群，另一个是群用户u_ω(1≤ω≤m)离开群。

1)如果GC离开群，协议将选择一个新的GC并从头执行我们的群密钥协商方法。

2)如果成员u_ω(1≤ω≤m)离开群，GC重新选择

以产生{L_i,W_i,W_xi}(1≤i≤m-1)，然后计算TK_n＝TK-Q'_ω+t₀P₀，Z_ni＝TK_n-Q′_i，F_ni＝W_xi·Z_ni以及M_ni＝H₅(ID₀||Q′_i||L_i||F_ni||T_ni)。最后，GC返回＜T_ni,L_i,F_ni,M_ni＞给每一个群用户u_i。当群用户u_i收到消息＜T_ni,L_i,F_ni,M_ni＞时，他像密钥协商执行阶段中的S3一样计算群会话密钥TK_n。最后，我们证明验证过程的有效性。

1)当一个群用户发送消息＜U_i,MID_i＞给GC时，GC需要验证数据是有效的。

证明：T_i'＝sk₀U_i

＝sk₀a_ix_iP₀

＝(a_i·x_i)pk₀

因此y′_i＝H₂(U_i||T_i'||pk₀)＝y_i

并且Q′_i＝y′_ih_iV_iR_i-pk_i

＝y′_ih_i(y_i·sk_i)^-1(a_i+x_i+y_i)R_i-x_iP_k

＝y′_ih_i(y_ir_is_kh_i)^-1(a_i+x_i+y_i)r_is_kP_k-x_iP_k

＝(a_i+x_i+y_i)P_k-x_iP_k＝(a_i+y_i)P_k＝Q_i

因此C_i'＝H₃(Q_i'||y_i'||V_i||pk_i)＝C_i

2)当群用户u_i从GC接收数据＜Tn_i,L_i,F_i,M_i＞时，他需要验证数据是有效的，并计算群会话密钥。

证明：M_i＝H₅(ID₀||Q′_i||L_i||F_i||Tn_i)且Q′_i＝Q_i

因此M_i'＝H₅(ID₀||Q_i||L_i||F_i||Tn_i)＝M_i

W_i'＝(a_i+y_i)L_i＝t_i(a_i+y_i)P_k＝t_iQ_i＝W_i

因此W′_ix＝W_ix以及Z′_i＝Z_i

最终每个群用户可以计算出相同的群会话密钥TK＝Z_i+Q_i。

本方案具有跨域特性。在我们的面向安全跨域通信的无证书群密钥协商方法中，允许GC和每个群用户来自于具有不同密码系统参数的网络域。然而，在现有技术1中，GC和来自不同域的每个群用户使用相同的密码系统参数，这并不适合实际的跨域环境。

本方案具有较强的安全性。所提出的面向安全跨域通信的无证书群密钥协商方法不仅不仅能够提供认证密钥协商安全性、双向认证、完美前向安全性、用户匿名性以及部分私钥传输安全性，而且能够抵御伪装攻击、重放攻击和已知临时密钥攻击。但是，现有技术1中KGC传输用户部分私钥时需要一个安全信道，即无法满足部分私钥传输安全性，而且现有技术1无法抵御已知临时密钥攻击。

本方案具有高效的性能。所提出的面向安全跨域通信的无证书群密钥协商方法只需要一轮通信即可完成GC和群用户之间的群密钥协商，通信成本较低。然而，现有技术1需要两轮通信来执行群密钥协商。与现有技术1相比，我们提出的方案中GC和用户的计算时间更少，并且群用户的通信开销也减少了(|G|>|q|+|d|+|t|)。具体性能对比结果如下表所示。

表1：性能比较

其中：m代表群用户的数量，T_s、T_a分别代表群G中点乘的计算时间以及群G中加法的计算时间。|G|代表群中元素的大小，|q|代表

中值的长度，|t|代表时间戳的大小，|d|代表用户身份的大小。

附图说明

图1为面向安全跨域通信的无证书群密钥协商方法的网络模型。

图2为本发明的密钥协商执行阶段主要过程流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例1、请参阅图1，如图1所示，面向安全跨域通信的无证书群密钥协商方法中包含三种类型的通信实体：KGC、群用户和群控制器(GC，Group Controller)。KGC负责为群用户生成部分私钥，群控制器通过与群用户交互生成一个群会话密钥。本方案主要包含以下几个部分：

一、密钥协商初始阶段

在我们提出的面向安全跨域通信的无证书群密钥协商方法中，GC在一个网络域中并且群用户{u₁,u₂,...u_m}(m是群用户的数量)不需要来自于相同的网络域。该阶段包括KGC生成密码参数算法、秘密值生成算法、部分私钥生成算法、设置完整私钥算法和设置完整公钥算法。

KGC生成密码参数算法：该算法输入安全参数k，KGC生成密码系统参数及其主私钥。

1.假设有一个根KGC，它生成一个二元组{q,G_}，其中G为加法循环群，q为群G的阶；根KGC选择5个单向哈希函数：

H₄:G²→{0,1}^*和

2.每个KGC生成一个二元组{s_k,P_k}，其中P_k是群G的生成元，

是KGC的主私钥。不同的KGC可以生成不同的二元组{s_k,P_k}。

3.每个KGC计算它的主公钥KC_k＝s_kP_k。每一个KGC公开其密码系统参数{q,G,P_k,KC_k,H₁,H₂,H₃,H₄,H₅}并秘密保存其主私钥s_k。

秘密值生成算法：一个身份为ID_i的群用户u_i(1≤i≤m)选择

计算pk_i＝x_i·P_k并设置x_i为他的秘密值(假设用户u_i属于系统参数为P_k的KGC域)。

部分私钥生成算法：该算法使用KGC生成的系统参数，主私钥，群用户身份ID_i和其部分公钥pk_i作为输入，返回群用户的部分私钥。具体步骤如下：

1.KGC随机选择

并计算R_i＝r_iKC_k，h_i＝H₁(ID_i,R_i,pk_i)。

2.KGC计算usk_i＝r_i·s_k·h_i+H₁(ID_i,R_i,s_k·pk_i)并将{usk_i,R_i}通过公开信道返回给群用户u_i。

设置完整私钥算法：群用户u_i计算sk_i＝usk_i-H₁(ID_i,R_i,x_i·KC_K)并验证等式sk_iP_k＝h_iR_i是否成立，若等式成立，则群用户设置其完整私钥为{x_i,sk_i}。GC设置其完整私钥为sk₀＝(x₀+r₀s₀h₀)modq。

设置完整公钥算法：群用户u_i设置其完整公钥为{pk_i,R_i}。GC设置其完整公钥为pk₀＝sk₀P₀。

二、密钥协商执行阶段

S1：当一群用户想要协商一个共同的群会话密钥，每一个用户u_i(1≤i≤m)都要执行以下操作：随机选择

然后计算U_i＝(a_i·x_i)P₀，T_i＝(a_i·x_i)pk₀，y_i＝H₂(U_i||T_i||pk₀)，Q_i＝(a_i+y_i)P_k，V_i＝(y_i·sk_i)^-1(a_i+x_i+y_i)，C_i＝H₃(Q_i||y_i||V_i||pk_i)，

最后将消息＜U_i,MID_i＞发送给GC，其中

为当前时间戳。

S2：当GC在时间

时收到来自群用户u_i(1≤i≤m)的消息＜U_i,MID_i＞，他将执行以下操作：首先，GC计算T_i'＝sk₀U_i以及

如果(Tc_i-Tm_i)＞ΔT(ΔT为可接受的时间差)，GC向u_i回复重发请求，否则，GC计算y′_i＝H₂(U_i||T_i'||pk₀)，Q′_i＝y′_ih_iV_iR_i-pk_i以及C_i'＝H₃(Q_i'||y_i'||V_i||pk_i)。如果C′_i≠C_i，GC向u_i回复重发请求。否则，在验证数据＜U_i,MID_i＞有效性后，GC随机选择

计算L_i＝t_iP_k(1≤i≤m)以及W_i＝t_iQ′_i。其中W_i为椭圆曲线上一点，其坐标为(W_ix,W_iy)。设置W_xi＝W_ixmodq，如果W_xi＝0，GC随机选择另一个t_i去执行上述步骤，否则，计算群会话密钥为

Z_i＝TK-Q′_i，F_i＝W_xi·Z_i以及M_i＝H₅(ID₀||Q′_i||L_i||F_i||Tn_i)，其中

为当前时间戳。最后，GC将消息＜Tn_i,L_i,F_i,M_i＞返回给每一个群用户。

S3：当群用户u_i接收到来自GC的＜Tn_i,L_i,F_i,M_i＞时，他首先验证

的有效性，然后执行下列操作：计算M′_i＝H₅(ID₀||Q_i||L_i||F_i||Tn_i)，若M′_i≠M_i，群用户u_i向GC回复重发请求。否则，u_i计算W_i'＝(a_i+y_i)L_i，其中W_i'为椭圆曲线上一点，其坐标为(W′_ix,W′_iy)。最后群用户u_i计算W′_xi＝W′_ixmodq，

以及群会话密钥TK＝Z′_i+Q_i。

S4，每一个群用户u_i(1≤i≤m)可以通过一轮发送和接收密钥协商过程来生成相同的群会话密钥TK。

三、加入群操作

假设一个新用户u_m+1想要加入群用户{u₁,u₂,...u_m}，他首先产生他自己的公钥{pk_m+1,R_m+1}及私钥{x_m+1,sk_m+1}。之后，他可以通过以下操作加入这个群。

1)用户u_m+1选择

并像密钥协商执行阶段中的S1一样计算{U_m+1,T_m+1,y_m+1,Q_m+1,V_m+1,C_m+1,MID_m+1}，然后他发送消息＜U_m+1,MID_m+1＞给GC。

2)当接收到消息＜U_m+1,MID_m+1＞后，GC计算Q'_m+1并像密钥协商执行阶段中的S2那样验证数据的有效性。若有效，GC重新选择

像密钥协商执行阶段中的S2一样得出{L_i,W_i,W_xi}(1≤i≤m+1)；然后计算TK_n＝TK+Q'_m+1+t₀P₀，Z_ni＝TK_n-Q′_i，F_ni＝W_xi·Z_ni和M_ni＝H₅(ID₀||Q′_i||L_i||F_ni||T_ni)；最后，GC返回＜T_ni,L_i,F_ni,M_ni＞给每一个群用户。

3)当群用户u_i收到信息＜T_ni,L_i,F_ni,M_ni＞后，他像密钥协商执行阶段中的S3一样验证T_ni并计算M'_ni来验证数据的有效性，最后计算出群会话密钥TK_n。

四、离开群操作

离开群操作有两种情况。一个是GC离开群，另一个是群用户u_ω(1≤ω≤m)离开群。

1)如果GC离开群，协议将选择一个新的GC并从头执行我们的群密钥协商方法。

2)如果成员u_ω(1≤ω≤m)离开群，GC重新选择

以产生{L_i,W_i,W_xi}(1≤i≤m-1)，然后计算TK_n＝TK-Q'_ω+t₀P₀，Z_ni＝TK_n-Q′_i，F_ni＝W_xi·Z_ni以及M_ni＝H₅(ID₀||Q′_i||L_i||F_ni||T_ni)。最后，GC返回＜T_ni,L_i,F_ni,M_ni＞给每一个群用户u_i。当群用户u_i收到消息＜T_ni,L_i,F_ni,M_ni＞时，他像密钥协商执行阶段中的S3一样计算群会话密钥TK_n。

图2展示了面向安全跨域通信的无证书群密钥协商方法的执行阶段主要过程。除了执行阶段，该方法还包括初始阶段，加入以及离开群操作。

在初始阶段，每个属于不同域的KGC产生不同的公共系统参数，主公钥和主私钥。这些公共系统参数和主公钥都是公开的。用户(包括群用户和群控制器GC)选择一个秘密值，计算一个部分公钥，随后把该公钥和身份信息发送给他的域KGC。KGC为用户计算一个部分公钥和部分私钥。最后用户产生自己的全私钥和全公钥。

在执行阶段，GC使用图2中的面向安全跨域通信的无证书群密钥协商执行阶段来为群用户产生一个共同的会话密钥，群用户可以属于不同域并使用不同的密码系统参数。该会话密钥可以为后续的群通信提供安全性保护。

当一个用户加入或离开群，GC通过使用加入或离开群操作来为群用户产生一个新的群会话密钥。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

Claims (1)

1.一种面向安全跨域通信的无证书群密钥协商方法，其特征在于，包括三种类型的通信实体：KGC、群用户和群控制器；KGC负责为群用户生成部分私钥，群控制器通过与群用户交互生成一个群会话密钥；本方案包含以下几个部分：

一、密钥协商初始阶段

该阶段包括KGC生成密码参数算法、秘密值生成算法、部分私钥生成算法、设置完整私钥算法和设置完整公钥算法：

1.KGC生成密码参数算法：该算法输入安全参数k，KGC生成密码系统参数及其主私钥；

1)假设有一个根KGC，它生成一个二元组{q,G}，其中G为加法循环群，q为群G的阶；根KGC选择5个单向哈希函数：

H₄:G²→{0,1}^*和

2)每个KGC生成一个二元组{s_k,P_k}，其中P_k是群G的生成元，

是KGC的主私钥；不同的KGC可以生成不同的二元组{s_k,P_k}；

3)每个KGC计算它的主公钥KC_k＝s_kP_k；每一个KGC公开其密码系统参数{q,G,P_k,KC_k,H₁,H₂,H₃,H₄,H₅}并秘密保存其主私钥s_k；

2.秘密值生成算法：一个身份为ID_i的群用户u_i(1≤i≤m)选择

计算pk_i＝x_i·P_k并设置x_i为他的秘密值(假设用户u_i属于系统参数为P_k的KGC域)；

3.部分私钥生成算法：该算法使用KGC生成的系统参数，主私钥，群用户身份ID_i和其部分公钥pk_i作为输入，返回群用户的部分私钥；具体步骤如下：

1)KGC随机选择

并计算R_i＝r_iKC_k，h_i＝H₁(ID_i,R_i,pk_i)；

2)KGC计算usk_i＝r_i·s_k·h_i+H₁(ID_i,R_i,s_k·pk_i)并将{usk_i,R_i}通过公开信道返回给群用户u_i；

4.设置完整私钥算法：群用户u_i计算sk_i＝usk_i-H₁(ID_i,R_i,x_i·KC_K)并验证等式sk_iP_k＝h_iR_i是否成立，若等式成立，则群用户设置其完整私钥为{x_i,sk_i}；GC设置其完整私钥为sk₀＝(x₀+r₀s₀h₀)modq；

5.设置完整公钥算法：群用户u_i设置其完整公钥为{pk_i,R_i}；GC设置其完整公钥为pk₀＝sk₀P₀；

二、密钥协商执行阶段

该阶段包括包括如下步骤：

S1:当一群用户想要协商一个共同的群会话密钥，每一个用户u_i(1≤i≤m)都要执行以下操作：随机选择

然后计算U_i＝(a_i·x_i)P₀，T_i＝(a_i·x_i)pk₀，y_i＝H₂(U_i||T_i||pk₀)，Q_i＝(a_i+y_i)P_k，V_i＝(y_i·sk_i)^-1(a_i+x_i+y_i)，C_i＝H₃(Q_i||y_i||V_i||pk_i)，

最后将消息＜U_i,MID_i＞发送给GC，其中

为当前时间戳；

S2:当GC在时间

时收到来自群用户u_i(1≤i≤m)的消息＜U_i,MID_i＞，他将执行以下操作：首先，GC计算T_i'＝sk₀U_i以及

如果(Tc_i-Tm_i)＞ΔT(ΔT为可接受的时间差)，GC向u_i回复重发请求，否则，GC计算y'_i＝H₂(U_i||T_i'||pk₀)，Q'_i＝y'_ih_iV_iR_i-pk_i以及C_i'＝H₃(Q_i'||y_i'||V_i||pk_i)；如果C'_i≠C_i，GC向u_i回复重发请求；否则，在验证数据＜U_i,MID_i＞有效性后，GC随机选择

计算L_i＝t_iP_k(1≤i≤m)以及W_i＝t_iQ'_i；其中W_i为椭圆曲线上一点，其坐标为(W_ix,W_iy)；设置W_xi＝W_ix mod q，如果W_xi＝0，GC随机选择另一个t_i去执行上述步骤，否则，计算群会话密钥为

Z_i＝TK-Q'_i，F_i＝W_xi·Z_i以及M_i＝H₅(ID₀||Q'_i||L_i||F_i||Tn_i)，其中

为当前时间戳；最后，GC将消息＜Tn_i,L_i,F_i,M_i＞返回给每一个群用户；

S3：当群用户u_i接收到来自GC的＜Tn_i,L_i,F_i,M_i＞时，他首先验证

的有效性，然后执行下列操作：计算M’_i＝H₅(ID₀||Q_i||L_i||F_i||Tn_i)，若M'_i≠M_i，群用户u_i向GC回复重发请求；否则，u_i计算W_i'＝(a_i+y_i)L_i，其中W_i'为椭圆曲线上一点，其坐标为(W’_ix,W’_iy)；最后群用户u_i计算W’_xi＝W’_ixmodq，Z’_i＝W’_xi ^-1·F_i以及群会话密钥TK＝Z’_i+Q_i；

S4：每一个群用户u_i(1≤i≤m)可以通过一轮发送和接收密钥协商过程来生成相同的群会话密钥TK；

三、加入群操作

假设一个新用户u_m+1想要加入群用户{u₁,u₂,...u_m}，他首先产生他自己的公钥{pk_m+1,R_m+1}及私钥{x_m+1,sk_m+1}；之后，他可以通过以下操作加入这个群：

1.用户u_m+1选择

并像密钥协商执行阶段中的S1一样计算{U_m+1,T_m+1,y_m+1,Q_m+1,V_m+1,C_m+1,MID_m+1}，然后他发送消息＜U_m+1,MID_m+1＞给GC；

2.当接收到消息＜U_m+1,MID_m+1＞后，GC计算Q'_m+1并像密钥协商执行阶段中的S2那样验证数据的有效性；若有效，GC重新选择

像密钥协商执行阶段中的S2一样得出{L_i,W_i,W_xi}(1≤i≤m+1)；然后计算TK_n＝TK+Q'_m+1+t₀P₀，Z_ni＝TK_n-Q'_i，F_ni＝W_xi·Z_ni和M_ni＝H₅(ID₀||Q’_i||L_i||F_ni||T_ni)；最后，GC返回＜T_ni,L_i,F_ni,M_ni＞给每一个群用户；

3.当群用户u_i收到信息＜T_ni,L_i,F_ni,M_ni＞后，他像密钥协商执行阶段中的S3一样验证T_ni并计算M'_ni来验证数据的有效性，最后计算出群会话密钥TK_n；

四、离开群操作

离开群操作有两种情况：一个是GC离开群，另一个是群用户u_ω(1≤ω≤m)离开群；

1.如果GC离开群，协议将选择一个新的GC并从头执行我们的群密钥协商方法；

2.如果成员u_ω(1≤ω≤m)离开群，GC重新选择

以产生{L_i,W_i,W_xi}(1≤i≤m-1)，然后计算TK_n＝TK-Q'_ω+t₀P₀，Z_ni＝TK_n-Q’_i，F_ni＝W_xi·Z_ni以及M_ni＝H₅(ID₀||Q'_i||L_i||F_ni||T_ni)；最后，GC返回＜T_ni,L_i,F_ni,M_ni＞给每一个群用户u_i；当群用户u_i收到消息＜T_ni,L_i,F_ni,M_ni＞时，他像密钥协商执行阶段中的S3一样计算群会话密钥TK_n。

Images