CN111049647A - 一种基于属性门限的非对称群组密钥协商方法 - Google Patents

Abstract

本发明提出了一种基于属性门限的非对称群组密钥协商方法，其步骤为：密钥生成中心与其中的移动终端成员生成各自的公钥和私钥，各个移动终端成员通过拉格朗日插值法和其属性信息计算秘密信息并进行属性身份认证，实现所有移动终端成员的注册；群组中注册的所有移动终端成员进行密钥协商，利用自己的属性信息恢复秘密信息进行加密操作，计算群组密钥协商所有的参数和群组解密密钥；移动终端成员自证实群组密钥。本发明以非对称群组密钥协商为基础，群组移动终端成员在进行群组密钥协商之前基于属性门限进行身份认证，即使公开公共加密密钥，只有群组内成员使用解密密钥才能获取加密前的明文，使得移动自组网的群组密钥协商更加灵活、高效和实用。

Description

一种基于属性门限的非对称群组密钥协商方法

技术领域

本发明涉及信息安全的技术领域，尤其涉及一种基于属性门限的非对称群组密钥协商方法。

背景技术

随着互联网技术的飞速发展，群组通信的应用越来越广泛，如网络电话、电子视频会议、在线多玩家互动游戏等，安全群组通信的需求越来越大。在开放的通信网络环境中实现安全、高效的群组通信，并且可以做到保护用户的隐私的目的是关注的重要的问题。群组密钥协商是一种为群组通信提供安全通信通道的有效方法，允许多个成员在不安全的网络环境中协商会话密钥进行安全通信。

在进行密钥协商时，身份验证尤为重要。身份认证是保护信息系统安全的最关键环节，是信息安全防护的首要任务。针对协议采用的认证机制，多采用基于身份认证的密钥协商协议和基于无证书认证密钥协商协议。基于身份认证虽然无需对证书进行维护，但存在密钥托管问题。基于无证书认证虽然弥补了前两者的缺陷，但身份认证方法和效率相对比较差，设计的协议也相对更加复杂。基于属性的身份认证加密机制可以根据用户的属性信息集合来定义所需属性门限的阈值，使属性只有满足所需属性门限的阈值的用户才能进行群组密钥协商。因此，有效、可靠的加密方法仍是研究的关键问题。

随着计算机网络的发展，持有移动终端的用户数量与日俱增，传统的认证协议对移动终端的计算能力和存储能力的限制较少的考虑，所采用的密码方法不适用于移动环境。针对现在特有的移动网络环境，移动终端成员的加入和退出所需的灵活性对加密方法有较高要求。基于属性的身份认证的加密机制通过对移动终端用户的属性信息集合是否满足能够恢复出用户的秘密信息来确认终端用户的身份，并对秘密信息进行加密，隐藏了用户的具体属性身份信息，很大程度上提高了用户访问的安全性，进而提高网络环境下数据的安全性。

目前，针对基于属性门限的非对称群组密钥协商的研究尚未出现，一系列的挑战性问题有待解决，包括群组成员属性信息隐私安全保护、用户属性访问权限控制等方面的国内外尚无先例。

发明内容

针对现有密钥协商中用户隐私、用户秘密信息及用户间数据共享的多用户信息交换不安全的技术问题，本发明提出一种基于属性门限的非对称群组密钥协商方法，通过群组成员的身份认证及群组密钥的计算，实现属性访问权限控制的群组成员间的安全信息交换及安全信息传输；用户不需要暴露组中的任何个人属性身份信息，但需要满足相同数量的属性恢复出用户的秘密信息，进行双向认证注册，以确保终端的合法性参与群组密钥协商，以保护用户隐私。

为了达到上述目的，本发明的技术方案是这样实现的：基于属性门限的非对称群组密钥协商方法，其步骤如下

步骤一：密钥生成中心与其中的移动终端成员生成各自的公钥和私钥，各个移动终端成员通过拉格朗日插值法和其属性信息计算秘密信息，通过秘密信息进行属性身份认证并获得群组密钥计算参数，实现所有移动终端成员的注册；

步骤二：群组中注册的所有的移动终端成员进行密钥协商，并计算群组解密密钥：

A)群组密钥协商的发起者U_j根据收到的密钥生成中心广播的密钥协商参数，利用自己的属性信息恢复秘密信息s_j并进行加密操作来计算其他群组密钥协商所有的参数，然后广播加密后的群组密钥参数、群组加密密钥及其他参数到群组中的其他移动终端成员U_i；其中， s_j为终端成员U_j的秘密信息；1≤j≤N，1≤i≠j≤N，N为密钥生成中心内移动终端成员的个数；

B)移动终端成员U_i收到发起者U_j广播的消息后，移动终端成员U_i对发起者U_j进行属性权限验证，若验证通过，移动终端成员U_i用自己保存的注册信息以及属性权限值计算出群组解密密钥；

步骤三：移动终端成员自证实群组密钥：

群组中的所有移动终端成员之间计算出群组解密密钥后，将群组解密密钥与群组加密密钥结合，使用双线性映射进行自证实计算出的群组解密密钥的正确性。

所述步骤一中密钥生成中心KGC和终端成员生成各自的公/私钥对的方法为：

1)密钥生成中心KGC随机选择两个参数

作为自己的私钥，并计算

作为自己的公钥；每个移动终端成员U_i随机选择两个参数

计算

和

作为自己的私钥，并计算

作为自己的公钥，其中，

表示阶为q的整数集，

是密钥生成中心KGC的私钥，P_KGC作为密钥生成中心KGC的公钥，

为中间变量，

为移动终端成员U_i的身份信息，H₁(.)为散列函数，

和

为移动终端成员U_i的私钥，

作为移动终端成员U_i的公钥，g₁为乘法群G₁的生成元，g₂为乘法群G₂的生成元；

2)首先，密钥生成中心KGC广播所有移动终端成员的属性信息{Γ,Attr₁,Attr₂,...,Attr_N}到全网，移动终端成员U_i只能保存属于自己的属性信息集合Attr_i＝{attr_i,1,…,attr_i,h,…,attr_i,p}、不保存其他移动终端成员的属性信息；其中，p为属性信息集合Attr_i的属性个数，attr_i,h为移动终端成员U_i的第h个属性，1≤h≤p，Γ表示访问结构；

3)根据拉格朗日插值法，每个移动终端成员U_i将自己的秘密信息s_i分成p等分s_i,h分给自己的p个属性，并计算中间变量x_i,h＝H₁(attr_i,h)，由秘密信息和属性经过计算形成p个数对 (x_i,h,s_i,h)，每个移动终端成员U_i结合其任意k个数对计算秘密信息

假设能够恢复出秘密信息s_i的k个属性组成的集合为Attr_i′＝{attr_i,1,attr_i,2,…,atrr_i,k}，移动终端成员U_i随机选择整数

分别计算中间变量

并发送消息

到密钥生成中心KGC；其中，H₁(.)为散列函数，card(Attr_i′)＝k，card(Attr_i′)代表集合Y_i′的成员个数；k为整数，0≤k≤p，g_i(0) 为移动终端成员U_i使用拉格朗日插值法得到的拉格朗日插值函数g_i(.)在自变量为0时的初始值，s_i,ρ表示移动终端成员U_i的秘密信息s_i的第ρ块秘密信息，ρ,σ为整数；

4)当收到移动终端成员U_i发来的信息

时，密钥生成中心KGC随机选择两个参数

计算中间变量

r_7,i＝(α_5,i)^ζ·k，然后发送(r_3,i,r_4,i,r_6,i,r_7,i,Γ)给移动终端成员U_i；其中，ψ_i,ζ为整数，r_1,i、r_2,i、r_3,i、r_4,i、r_5,i、r_6,i和r_7,i为计算所需要的中间变量，S_KGC,1和S_KGC,2为密钥生成中心KGC的私钥；

5)每个移动终端成员U_i接收来自密钥生成中心KGC发来的信息(r_3,i,r_4,i,r_6,i,r_7,i,Γ)，移动终端成员U_i计算中间变量

和

然后通过计算验证

是否成立，如果成立移动终端成员U_i计算中间变量r_10,i＝r_9,i并且发送密钥协商中间参数

到密钥生成中心KGC；其中，r_8,i、r_9,i、r_10,i为计算所需要的中间变量，

和

为移动终端成员U_i的私钥；

6)密钥生成中心KGC收到移动终端成员U_i发来的消息

密钥生成中心KGC验证

是否成立，若成立，密钥生成中心KGC计算中间变量

和

并广播消息

到全网；其中，r_8,i、r_9,i和r_10,i为计算所需要的中间变量，

和

为移动终端成员U_i的私钥；φ_i和η为计算所需中间变量。验证

成立的过程如下所示：

7)所有的移动终端成员U_i接收到密钥生成中心KGC广播的信息

后，移动终端成员U_i保存自己的注册信息

并注册成功。

所述步骤二进行群组密钥的计算的方法为：

(1)假设U_j作为群组密钥协商的发起者，向密钥生成中心KGC发送请求，获取信息

后，发起者U_j计算中间变量

w_j＝H₂(z_j)、

A_j＝{A_j,1＝H₁(attr_j,1′),A_j,2＝H₁(attr_j,2′),…,A_j,k＝H₁(attr_j,k′)}，然后发起者U_j计算出群组解密密钥dk_group＝(ω,θ)和群组加密密钥ek_group＝(β,η)，其中

发起者U_j广播消息 (χ₁,χ₂,...,χ_N,k,ek_group,A_j,Γ)到群组其他移动终端成员；其中，1≤j≤N，δ_j、η、z_j、w_j、χ_i、ω、θ、A_j为群组密钥计算的中间变量，H₂(.)为散列函数，e(.)表示双线性映射；

(2)群组中其他移动终端成员U_i(1≤i≠j≤N)，收到发起者U_j广播的信息 (χ₁,χ₂,...,χ_N,k,ek_group,A_j,Γ)后，验证card(A_j)＝k是否成立，如果成立，移动终端成员U_i计算中间变量

和

同时，发起者U_j能够获取群组解密密钥 dk_group＝(ω,θ)；其中，(kλ_i)^-1为kλ_i的倒数，λ_i为整数，1≤i≠j≤N，k为秘密信息中的属性个数。

所述步骤三中自证实群组密钥的实现方法为：移动终端成员U_i,1≤i≤N通过验证等式β＝e(ω,η)e(θ,η)是否成立来确认其所计算的群组解密密钥是否正确，验证过程为：

本发明的有益效果：本发明采用基于属性门限秘密共享，对用户的属性设置访问阈值，把群组密钥协商与秘密共享相结合，对群组通信进行数据保护，主要保护组内传输的数据，实现对用户个人隐私的保护；协议设计用户进行了大量的前期计算，从而减少了群组协商阶段的计算量，降低了协议的复杂度；协议可以实现自验证，任何参与密钥协商的成员都可以自行验证协商密钥的正确性；协议的设计满足较大规模的群组实现安全通信及不安全网络下数据安全传输，用户隐私保护性强，灵活性较大；在双线性计算Diffie-Hellman问题的假设下，协议具有安全性，使群组终端成员之间进行安全信息传送与交换。本发明以非对称群组密钥协商为基础，群组移动终端成员在进行群组密钥协商之前需要通过基于属性门限进行身份认证，即使公开公共加密密钥，对共享的数据进行加密传输，只有群组内成员使用解密密钥才能获取加密前的明文。本发明使得移动自组网的群组密钥协商更加灵活、高效和实用，具有重要的商业应用价值。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的流程图。

图2为本发明实施例1中基于属性的身份认证的流程图。

图3为本发明实施例1中非对称群组密钥协商的流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

面对复杂的网络通信场景下，群组通信的通信方式的安全性和可靠性是个人隐私保护问题关键技术之一。动态的群组通信使得群组通信具有灵活性，群组门限秘密共享技术解决群组通信中数据安全，防止非法用户访问群组数据资源。在此背景下，本发明提出了基于属性门限的非对称群组密钥协商方法，首先，经过相应计算建立群组密钥协商所需的参数；其次，每个移动终端成员保存自己的属性信息，根据属性门限设置的阈值，对其属性进行拉格朗日插值计算，结合所设权限值个数的属性恢复出移动终端成员的秘密信息，移动终端成员计算群组密钥协商所需的中间参数，并将其发送给密钥生成中心，双方进行相互计算和验证，进而实现属性身份认证，由密钥生成中心将参与群组密钥协商的移动终端成员广播所需的群组密钥协商的参数，移动终端成员保存并获取自己的注册信息；最后，在经过属性身份认证的移动终端成员进行群组密钥协商，协商出群组加密密钥和群组解密密钥，在进行信息安全共享时，使用群组加密密钥对群组共享数据进行加密，然后广播这些密文消息，群组内移动终端成员使用群组解密密钥对广播的密文进行解密，从而获取对应的明文信息，实现群组成员之间的群组信息共享。

本发明所涉及的理论基础知识和相关定义

1.双线性映射问题

定义1.双线性映射：设G₁和G₂为乘法群，具有共同的大素数阶q，q≥2^l+1，l∈N是安全参数。乘法群G₁的生成元为g₁，即G₁＝<g₁>。称e是可容许双线性映射，是可计算的双线性映射，e:G₁×G₁→G₂，其具有如下性质：

性质1.双线性：对所有的生成元u,v∈G₁及参数

有e(u^a,v^b)＝e(u,v)^ab，

表示阶为q的整数集。

性质2.非退化性：存在生成元u,v∈G₁，使得e(u,v)≠1。

性质3.可计算性：存在有效的算法，对于所有的生成元u,v∈G₁能够计算e(u,v)。

2.计算复杂性问题

定义1.一般地，如果已知y＝f(x)在n+1个不同的点x₀,x₁,…,x_n有不同的函数值y₀,y₁,…,y_n，即，该函数通过(x₀,y₀),(x₁,y₁),…,(x_n,y_n)这n+1个点。可以考虑构造一个通过n+1 个点、最大为n阶的多项式y＝P_n(x)，使其满足：

P_n(x_k)＝y_k,k＝0,1,…,n (1)

要估计任一点ε，ε≠x_i,i＝0,1,2,…,n，用P_n(ε)的值作为f(ε)的准确值。这个方法被称作“插值法”，称式(1)为插值条件，含x_i的最小区间[a,b]，其中，a＝min{x₀,x₁,…,x_n}和 b＝max{x₀,x₁,…,x_n}。

定理1.满足插值条件、次数不超过n的多项式是存在且唯一的。

一般形式运用方法。在平面上有n个点(x₀,y₀),(x₁,y₁),…,(x_n-1,y_n-1)。现在作一个函数f(x) 图像，使图像经过n个点。步骤如下：

作法：设D_n是关于点(x,y)角标的集合，其中D_n＝{0,1,…,n-1}，作n个多项式 p_j(x),j∈D_n。对于任意的k∈D_n和B_k＝{i|i≠k,i∈D_n}，使得：

其中，p_k(x)是一个n-1次多项式，并且满足对于

p_k(x_m)＝0且p_k(x_k)＝1。最后得到

形如L_n(x)的插值多项式被称为拉格朗日插值多项式。

3.计算复杂性问题

假设1.离散对数问题(DLP)：已知

和

其中

X,Y,Z∈G₁， a＜q且b＜q。如果已知a和生成元Y，很容易计算出Z。但是如果已知Y和Z，计算出参数 a是困难的。

假设2.计算Diffe-Hellman逆问题(ICDHP)：已知g₁，

和

计算

是困难的。换句话说，已知g₁,

和

其中

计算

是困难的。

实施例1

随着无线移动网络和物联网技术的发展，网络环境中拥有的数据量也越来越多。用户进入网络携带大量的数据和信息，有一些机密的私人信息，如身份证号码和电话号码，隐私信息披露已成为关注的焦点。在无线网络日益普及的环境下，无数的移动终端连接到网络上，网络环境的不安全使得用户的数据和信息在网络传输过程中可能被篡改或泄露。用户可以进行组密钥协商，使用双方同意的加密密钥对传输的数据进行加密，每个用户计算相应的解密密钥对加密的数据进行解密，从而保证了数据传输的安全性。针对此背景下，本发明提出了一种基于属性门限的非对称群组密钥协商方法，如图1所示，其步骤如下：①参与群组密钥协商的移动终端成员对参数进行初始化，密钥生成中心与移动终端成员生成自己的公/私钥对；②协议设计移动终端成员的属性只有满足协议设置的阈值使用拉格朗日插值法进行秘密恢复，并完成注册，获取群组密钥参数；③群组密钥的计算由发起者计算群组加密密钥和群组解密密钥，将群组密钥协商所需参数广播到其他群组成员，由发起者计算群组加密秘钥然后广播给参与群组密钥协商的其他移动终端成员，这样可以减少其他移动终端成员的计算量，无需再一次计算群组解密秘钥；④群组其他移动终端成员在接收到发起者的广播后，获取群组加密密钥，经过验证，并计算群组解密密钥；⑤移动终端成员对计算好的群组加密和解密秘钥进行自验证，来确认所计算的群组加密密钥是否正确，若不正确，返回继续进行密钥协商，若正确，群组终端成员之间可以进行安全的群组通信。本实施例中基于属性门限的非对称群组密钥协商的属性身份认证、注册及群组密钥计算所需参数的示意图，如图2所示。

一、初始化协议参数

设群组信息交换网络中包含一个密钥生成中心KGC和N个移动终端成员，N个移动终端成员的集合用

表示，相应地，N个移动终端成员的身份集合用

表示，对应的属性信息集合为{Attr₁＝{attr_1,1,attr_1,2,…,attr_1,N}, Attr₂＝{attr_2,1,attr_2,2,…,attr_2,N},...,Attr_N＝{attr_N,1,attr_N,2,…,atrr_N,N}}，其中，集合Attr_i表示移动终端成员U_i具有的所有属性，i表示第i个终端，attr_i,h表示移动终端成员U_i的第h个属性。参与群组密钥协商的移动终端成员必须满足属性门限，结合相同数量的属性信息恢复出自身的秘密信息，通过注册验证才能进行群组密钥协商。

假设G₁和G₂是两个乘法循环群，乘法群G₁和G₂上的离散对数计算是不可行的，g₁∈G₁是乘法群G₁的生成元，乘法群G₁和乘法群G₂具有相同的大素数阶q，e是一个可计算的双线性映射e:G₁×G₁→G₂，

和

是三个散列函数。

密钥生成中心KGC随机选择两个参数

作为自己的私钥，并进行计算

作为自己的公钥。每个移动终端成员U_i随机选择两个参数

计算

和

作为自己的私钥，并进行计算

作为自己的公钥。系统参数为params＝(q,G₁,G₂,g₁,g₂,e,H₁,H₂)。其中，1≤i≤n，

表示阶为 q的整数集，

是密钥生成中心KGC的私钥，P_KGC为密钥生成中心的公钥，

为中间变量，

为移动终端成员U_i的身份信息，H₁(.)为散列函数，

和

为移动终端成员U_i的私钥，

为移动终端成员U_i的公钥，g₁和g₂分别是乘法群G₁和G₂的生成元。

二、终端成员属性认证及群组密钥参数的获取

在复杂的网络环境下，实现网络上移动终端进行信息交互，为了保证建立会话的移动终端用户的合法性，同时为了防止非法用户窃听秘密信息，参与群组密钥协商成员需要进行属性身份认证。本发明采用基于属性门限的身份认证，对每个参与群组密钥协商的移动终端进行身份认证。移动终端成员需要结合一定数量的属性恢复出用户的秘密信息，方可参与群组密钥协商。属性认证通过的成员需要与密钥生成中心进行双向认证注册，然后保存并获取密钥生成中心广播的群组协商密钥参数，用于接下来的群组加密及解密密钥的计算。

基于属性门限的非对称群组密钥协商方法在实现属性认证后，实现了传统身份认证的作用，属性认证及权限密钥参数获取的方法为：

A)密钥生成中心KGC广播属性信息，群组内移动终端成员U_i保存各自的属性信息；其中，1≤i≤N，n为密钥生成中心KGC内移动终端成员的个数；

B)所有移动终端成员U_i进行属性验证，并计算相关密钥协商参数，并将这些密钥协商参数发送给密钥生成中心KGC；

C)密钥生成中心KGC收到移动终端成员U_i发来的反馈信息，利用收到的密钥协商参数进行计算，并将这些群组密钥信息广播给所有移动终端成员U_i；

D)移动终端成员U_i和密钥生成中心KGC进行双向验证，密钥生成中心KGC广播群组密钥协商参数到全网；

E)移动终端成员U_i保存密钥生成中心KGC广播的密钥协商参数，并注册成功。

上述注册的具体实施步骤如下：

(1)首先，密钥生成中心KGC广播所有移动终端成员的属性信息{Γ,Attr₁,Attr₂,...,Attr_N} 到全网，移动终端成员U_i只能保存属于自己的属性信息集合Attr_i＝{attr_i,1,…,attr_i,h,…,attr_i,p}，不可以保存其他移动终端成员的属性信息；其中，p为属性信息集合Attr_i的属性个数，attr_i,h(1≤h≤p)为移动终端成员U_i的第h个属性，Γ表示访问结构；

(2)每个移动终端成员U_i保存属于自己的属性信息Attr_i＝{attr_i,1,…,attr_i,h,…,attr_i,p}。根据预备知识里的拉格朗日插值法，每个移动终端成员U_i将自己的秘密信息s_i分成p等分 s_i,h(1≤h≤p)分给自己的p个属性，并计算x_i,h＝H₁(attr_i,h)，由秘密信息和属性经过计算形成p 个数对(x_i,h,s_i,h)，每个移动终端成员U_i结合其任意k(≤k≤p)个数对计算秘密信息

假设能够恢复出秘密信息s_i的k个属性组成的集合为 Attr_i′＝{attr_i,1,attr_i,2,…,atrr_i,k}，移动终端成员U_i随机选择整数

分别计算中间变量

并发送消息

到密钥生成中心KGC；其中，H₁(.)为散列函数，card(Attr_i′)＝k，card(Attr_i′)代表集合Attr_i′的成员个数；k为整数，g_i(0)为成员u_i使用拉格朗日插值法得到的拉格朗日插值函数g_i(.)在自变量为0时的初始值、s_i,ρ表示终端成员u_i的秘密信息s_i的第ρ块秘密信息、ρ,σ为整数；

(3)当收到移动终端成员U_i发来的信息

时，密钥生成中心KGC随机选择两个参数

计算中间变量

r_7,i＝(α_5,i)^ζ·k，然后发送(r_3,i,r_4,i,r_6,i,r_7,i,Γ)给移动终端成员U_i；其中，ψ_i,ζ为整数，r_1,i、r_2,i、r_3,i、r_4,i、r_5,i、r_6,i和r_7,i为计算所需要的中间变量，S_KGC,1和S_KGC,2为密钥生成中心KGC的私钥；

(4)每个移动终端成员U_i接收来自密钥生成中心KGC发来的信息(r_3,i,r_4,i,r_6,i,r_7,i,Γ)，移动终端成员U_i计算中间变量

和

然后通过计算验证

是否成立，如果成立移动终端成员U_i计算中间变量r_10,i＝r_9,i并且发送密钥协商中间参数

到密钥生成中心KGC；其中，r_8,i、r_9,i、r_10,i为计算所需要的中间变量，

和

为移动终端成员U_i的私钥。验证

成立的过程如下所示：

(5)密钥生成中心KGC收到由移动终端成员U_i发来的消息

密钥生成中心KGC验证

是否成立，若成立，密钥生成中心KGC计算

和

并广播消息

到全网。其中，φ_i和η为计算所需中间变量。

(6)所有的移动终端成员U_i接收到密钥生成中心KGC发来的信息

移动终端成员U_i保存自己的注册信息

并注册成功。

三、基于属性门限的非对称群组密钥计算

移动终端用户经过属性认证，获取计算加密/解密密钥所需的群组密钥协商参数，进而开始进行群组密钥加密/解密密钥的计算。群组移动终端成员在组内进行信息共享时，需要对将要共享的信息进行加密，组内成员收到加密信息后需要对其进行解密才能获取成员发送的真实信息，即明文。因此，移动终端成员通过进行群组密钥协商，计算的就是加密和解密密钥。如图3所示，群组中注册的所有的移动终端成员U_i进行群组加密密钥和群组解密密钥的计算步骤如下：

E)群组密钥协商的发起者U_j根据收到的密钥生成中心KGC广播的密钥协商参数，并利用自己的属性信息恢复的秘密信息s_j进行加密操作来计算群组密钥协商所需参数，然后广播加密后的群组密钥参数、群组加密密钥、其他相关参数到群组中的其他移动终端成员U_i；其中，s_j为移动终端成员U_j的秘密信息，1≤i≠j≤N；

F)其余群组中的移动终端成员U_i收到发起者U_j广播的消息后，移动终端成员U_i对成员进行属性权限验证，若验证通过，移动终端成员U_i用自己保存的注册信息以及属性权限值计算出群组解密密钥。

具体实施步骤为：

1)假设U_j作为群组密钥协商的发起者，向密钥生成中心KGC发送请求，获取信息

发起者U_j计算中间变量

w_j＝H₂(z_j)、

A_j＝{A_j,1＝H₁(attr_j,1′),A_j,2＝H₁(attr_j,2′),…, A_j,k＝H₁(attr_j,k′)}、，然后发起者U_j计算出群组解密密钥dk_group＝(ω,θ)和群组加密密钥 ek_group＝(β,η)，其中

U_j广播消息(χ₁,χ₂,...,χ_N,k,ek_group,A_j,Γ)到群组其他移动终端成员。其中1≤j≤N，δ_j、η、z_j、w_j、χ_i、ω、θ、A_j为群组密钥计算的中间变量，H₂(.)为散列函数。

2)群组中其他移动终端成员U_i,1≤i≠j≤N，收到发起者U_j广播的信息 (χ₁,χ₂,...,χ_N,k,ek_group,A_j,Γ)后，验证card(A_j)＝k是否成立，如果成立，移动终端成员U_i计算中间变量

和

同时，发起者U_j能够获取群组解密密钥 dk_group＝(ω,θ)。其中，(kλ_i)^-1为kλ_i的倒数，λ_i为整数，1≤i≠j≤N，k为秘密信息中的属性个数。

四、群组密钥自证实性

自证实的实现方法为：当移动终端成员U_i,1≤i≤N计算完群组解密密钥后，通过验证等式β＝e(ω,η)e(θ,η)是否成立来确认其所计算的群组解密密钥是否正确。验证过程其：

根据上述等式及双线性映射的性质可知：β＝e(ω,η)e(θ,η)。

五、群组秘密通信

对于任意明文信息

为明文空间，任意群组终端成员U_i如果拥有群组加密密钥ek_group和群组解密密钥dk_group则可作如下信息安全共享：

群组信息加密：拥有群组加密密钥ek_group＝(β,η)的任意终端成员U_i，随机选取一个正整数

并计算T＝β^τ、α＝η^τ、

然后广播密文信息c＝＜T,α,V＞；

群组信息解密：群组其他终端成员U_j(1≤j≠i≤N)收到密文信息c＝＜T,α,V＞后，如果其拥有群组解密密钥dk_group，则可对群组广播的密文信息进行解密计算，进而获取共享的明文信息

其中，T、α、V是密文参数，c为明文消息m加密后的密文，(β,η)为加密密钥，H₃(·)为表示映射

的散列函数，G₂为乘法群。

实施例二

一种就属性门限的非对称群组密钥协商方法，为了能够说明本发明内容以及实施方法，给出了一个具体的实施例。在本实施例中，为了便于实例阐述，假设参与群组密钥协商的移动终端成员为10个，移动终端成员用集合

表示，其对应的身份信息的集合表示为

同时，假设每个终端成员每人有8个属性，终端成员u_i的属性集合为Attr_i＝{attr_i,1,attr_i,2,...,attr_i,8}。在本实施例中引入细节的目的不是限制权利要求书的范围，而是帮助理解本发明的方法。本领域的技术人员应理解：在不脱离本发明及其所附权利要求的精神和范围内，对最佳实施例步骤的各种修改、变化或替换都是可能的。因此，本发明不应局限于最佳实施例及附图所公开的内容。

一、初始化

假设G₁和G₂是两个乘法循环群，乘法群G₁和G₂上的离散对数计算是不可行的，g₁∈G₁是 G₁的生成元，乘法群G₁和G₂具有相同的大素数阶q，e是一个可计算的双线性映射 e:G₁×G₁→G₂，

和

是三个哈希函数。

密钥生成中心KGC随机选择两个参数

作为自己的私钥，并进行计算

作为自己的公钥。每个移动终端成员U_i随机选择两个参数

计算

和

作为自己的私钥，并进行计算

作为自己的公钥。其中，

表示阶为q的整数集，

是密钥生成中心KGC的私钥，P_KGC作为自己的公钥，

为中间变量，

为终端成员U_i(1≤i≤10)的身份信息，H₁(.)为散列函数，

和

作为终端成员U_i(1≤i≤10)的私钥，

作为终端成员 U_i(1≤i≤10)的公钥，g₁和g₂分别是乘法群G₁和G₂的生成元。系统参数为 params＝(q,G₁,G₂,g₁,g₂,e,H₁,H₂)。

二、移动终端成员属性认证及群组密钥参数的获取

(1)首先，密钥生成中心KGC广播所有移动终端的属性信息{Γ,Attr₁,Attr₂,...,Attr₁₀}到全网，移动终端成员只能保存属于自己的属性信息，不可以保存其他移动终端成员的属性信息；

(2)每个移动终端成员U_i(1≤i≤10)，保存属于自己的属性信息集合 Attr_i＝{attr_i,1,attr_i,2,…,attr_i,8}。根据预备知识里的拉格朗日插值法，每个移动终端成员U_i任意结合5个属性进行秘密信息

计算，我们称恢复出秘密信息的5 个属性为Attr_i′＝{attr_i,1,attr_i,2,…,atrr_i,5}，card(Attr_i′)＝5，card(Attr_i′)代表属性信息集合Attr_i′的成员个数。在进行秘密信息恢复的过程中，只有移动终端成员U_i恢复成功了，继续进行注册；未恢复出各自秘密信息的成员停止注册。我们假设恢复出秘密信息的移动终端成员有8个，即 U_i(1≤i≤8)随机选择整数

计算

并发送消息

到密钥生成中心KGC。其中，Attr_i为移动终端成员U_i的属性信息集合， attr_i,h为移动终端成员U_i的第h个属性，PK_KGC为密钥生成中心KGC的公钥，

为移动终端成员U_i(1≤i≤8)公钥，g₁和g₂分别是乘法群G₁和G₂的生成元，λ_i为整数。

(3)当收到移动终端成员U_i(1≤i≤8)发来的信息

密钥生成中心 KGC随机选择两个参数

计算

r_7,i＝(α_5,i)^ζ·k，然后发送消息(r_3,i,r_4,i,r_6,i,r_7,i,Γ)给移动终端成员 U_i(1≤i≤8)。其中，

表示阶为q的整数集，ψ_i,ζ为整数，r_1,i、r_2,i、r_3,i、r_4,i、r_5,i、r_6,i和r_7,i为计算所需要的中间变量，S_KGC,1和S_KGC,2为密钥生成中心KGC的私钥。

(4)每个移动终端成员U_i(1≤i≤8)接收来自密钥生成中心KGC发来的信息 (r_3,i,r_4,i,r_6,i,r_7,i,Γ)，移动终端成员U_i计算

和

然后验证

是否成立，如果成立，移动终端成员U_i计算 r_10,i＝r_9,i并且发送密钥协商中间参数

到密钥生成中心KGC。其中，r_8,i、r_9,i、r_10,i为计算所需要的中间变量，

和

为移动终端成员U_i的私钥。验证

成立的过程如下所示：

(5)密钥生成中心KGC收到由移动终端成员U_i(1≤i≤8)发来的消息

密钥生成中心KGC验证

是否成立，若成立，密钥生成中心KGC计算

和

并广播消息

到全网。其中，φ_i和η为计算所需中间变量。

(6)所有的移动终端成员U_i(1≤i≤8)接收到密钥生成中心KGC发来的信息

移动终端成员U_i保存自己的注册信息

并注册成功。

三、基于属性门限的非对称群组密钥计算

1)假设移动终端成员U₄作为群组密钥协商的发起者，向KGC发送请求，获取信息

发起者U₄计算

w₄＝H₂(z₄)、

和A₄＝{A_4,1＝H₁(attr_4,1′),A_4,2＝H₁(attr_4,2′), …,A_4,5＝H₁(attr_4,5′)}，然后发起者U₄计算出群组解密密钥dk_group＝(ω,θ)和群组加密密钥ek_group＝(β,η)，其中，

u_j作为发起者广播消息 (χ₁,χ₂,...,χ_n,k,ek_group,A_j,Γ)到群组中的其他群组成员。其中，δ₄、η、z₄、w₄、χ₄、ω、θ、 A₄为群组密钥计算的中间变量，H₂(.)表示散列函数。

2)群组中其他移动终端成员U_i(1≤i≠4≤8)收到发起者U₄广播的信息 (χ₁,χ₂,...,χ_n,k,ek_group,A_j,Γ)后，验证card(A₄)＝5，如果成立，其他移动终端成员 U_i(1≤i≠4≤8)计算

和

群组内移动终端成员得到群组解密密钥dk_group＝(ω,θ)。其中，(kλ_i)^-1为kλ_i的倒数。

四、群组密钥自证实性

自证实的实现方法为：当终端成员U_i(1≤i≤8)计算完群组解密密钥后，通过验证等式β＝e(ω,η)e(θ,η)是否成立来确认其所计算的群组解密密钥是否正确。验证过程：

根据上述等式及双线性映射的性质可知：β＝e(ω,η)e(θ,η)。

五、群组秘密通信

对于任意明文信息

为明文空间，任意群组终端成员u_i(1≤i≤8)如果拥有群组加密密钥ek和群组解密密钥dk则可作如下信息安全共享：

群组信息加密：拥有群组加密密钥ek_group＝(β,η)的任意终端成员U_i作为发送者，随机选取一个正整数

并计算T＝β^τ、α＝η^τ、

然后广播密文信息c＝＜T,α,V＞；

群组信息解密：群组其他移动终端成员U_j(1≤j≠i≤8)收到密文信息c＝＜T,α,V＞后，如果其拥有群组解密密钥dk_group，则可对群组广播的密文信息进行解密计算，进而获取共享的明文信息

其中，T、α、V是密文参数，c为明文消息m加密后的密文，β和η为加密密钥，H₃(·)为表示映射

的散列函数，G₂为乘法群。

本发明中，针对用户隐私、用户秘密共享及用户间数据共享的多用户信息安全交换，使用户不需要暴露群组中的任何个人属性身份信息，但需要满足一定数量的属性恢复出用户的秘密信息，进行双向认证注册，以确保移动终端的合法性参与群组密钥协商，以保护用户隐私。协议设计用户进行了大量的前期计算，从而减少了密钥协商阶段的计算量，降低了协议的复杂度。协议可以实现自验证，任何参与密钥协商的成员都可以自行验证协商密钥的正确性。协议的设计满足较大规模的群组实现安全通信及不安全网络下数据安全传输，用户隐私保护性强，灵活性较大。本发明中群组密钥协商为不安全的网络环境下，使得多个用户实现安全地信息通信并协商出共同的会话密钥。本发明以非对称群组密钥协商为基础，即使公开公共加密密钥，对共享的数据进行加密传输，只有群组内成员使用群组解密密钥才能获取加密前的明文。在双线性计算Diffie-Hellman问题的假设下，证明了该协议的安全性，使群组终端成员之间进行安全信息传送与交换。本发明采用基于属性门限秘密共享，对用户的属性设置访问阈值，对群组通信进行数据保护，主要保护组内传输的数据，实现对用户个人隐私的保护。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (7)

1.一种基于属性门限的非对称群组密钥协商方法，其特征在于，其步骤如下：

步骤一：密钥生成中心与其中的移动终端成员生成各自的公钥和私钥，各个移动终端成员通过拉格朗日插值法和其属性信息计算秘密信息，通过秘密信息进行属性身份认证并获得群组密钥计算参数，实现所有移动终端成员的注册；

步骤二：群组中注册的所有的移动终端成员进行密钥协商，并计算群组解密密钥：

A)群组密钥协商的发起者U_j根据收到的密钥生成中心广播的密钥协商参数，利用自己的属性信息恢复秘密信息s_j并进行加密操作来计算其他群组密钥协商所有的参数，然后广播加密后的群组密钥参数、群组加密密钥及其他参数到群组中的其他移动终端成员U_i；其中，s_j为终端成员U_j的秘密信息；1≤j≤N，1≤i≠j≤N，N为密钥生成中心内移动终端成员的个数；

B)移动终端成员U_i收到发起者U_j广播的消息后，移动终端成员U_i对发起者U_j进行属性权限验证，若验证通过，移动终端成员U_i用自己保存的注册信息以及属性权限值计算出群组解密密钥；

步骤三：移动终端成员自证实群组密钥：

群组中的所有移动终端成员之间计算出群组解密密钥后，将群组解密密钥与群组加密密钥结合，使用双线性映射进行自证实计算出的群组解密密钥的正确性。

2.根据权利要求1所述的基于属性门限的非对称群组密钥协商方法，其特征在于，所述步骤一中密钥生成中心中所有移动终端成员的注册的方法为：

1)密钥生成中心KGC和移动终端成员U_i各自随机选择参数计算自己的公/私钥对，其中，U_i表示密钥生成中心KGC中任意一个移动终端成员；其中，1≤i≤N，N为密钥生成中心KGC内移动终端成员的个数；

2)密钥生成中心KGC广播属性信息，群内的移动终端成员U_i保存各自的属性信息；

3)所有移动终端成员U_i通过拉格朗日插值法和其属性信息计算秘密信息进行属性验证，并计算相关的密钥协商参数，将密钥协商参数发送给密钥生成中心KGC；

4)密钥生成中心KGC收到移动终端成员U_i发来的反馈信息，利用收到的密钥协商参数进行计算，并将这些群组密钥信息广播给所有移动终端成员U_i；

5)移动终端成员U_i和密钥生成中心KGC进行双向验证，密钥生成中心KGC广播群组密钥协商参数到全网；

6)移动终端成员U_i保存密钥生成中心KGC广播的密钥协商参数，并注册成功。

3.根据权利要求2所述的基于属性门限的非对称群组密钥协商方法，其特征在于，所述移动终端成员的注册中参数的计算方法为：

1)密钥生成中心KGC随机选择两个参数S_KGC,1,

作为自己的私钥，并计算

作为自己的公钥；每个移动终端成员U_i随机选择两个参数α_i,1,

计算

和

作为自己的私钥，并计算

作为自己的公钥，其中，

表示阶为q的整数集，S_KGC,1,

是密钥生成中心KGC的私钥，P_KGC作为密钥生成中心KGC的公钥，α_i,1,

为中间变量，

为移动终端成员U_i的身份信息，H₁(.)为散列函数，

和

为移动终端成员U_i的私钥，

作为移动终端成员U_i的公钥，g₁为乘法群G₁的生成元，g₂为乘法群G₂的生成元；

2)首先，密钥生成中心KGC广播所有移动终端成员的属性信息{Γ,Attr₁,Attr₂,...,Attr_N}到全网，移动终端成员U_i只能保存属于自己的属性信息集合Attr_i＝{attr_i,1,…,attr_i,h,…,attr_i,p}、不保存其他移动终端成员的属性信息；其中，p为属性信息集合Attr_i的属性个数，attr_i,h为移动终端成员U_i的第h个属性，1≤h≤p，Γ表示访问结构；

3)根据拉格朗日插值法，每个移动终端成员U_i将自己的秘密信息s_i分成p等分s_i,h分给自己的p个属性，并计算中间变量x_i,h＝H₁(attr_i,h)，由秘密信息和属性经过计算形成p个数对(x_i,h,s_i,h)，每个移动终端成员U_i结合其任意k个数对计算秘密信息

假设能够恢复出秘密信息s_i的k个属性组成的集合为Attr_i′＝{attr_i,1,attr_i,2,…,atrr_i,k}，移动终端成员U_i随机选择整数

分别计算中间变量

并发送消息

到密钥生成中心KGC；其中，H₁(.)为散列函数，card(Attr_i′)＝k，card(Attr_i′)代表集合Y_i′的成员个数；k为整数，0≤k≤p，g_i(0)为移动终端成员U_i使用拉格朗日插值法得到的拉格朗日插值函数g_i(.)在自变量为0时的初始值，s_i,ρ表示移动终端成员U_i的秘密信息s_i的第ρ块秘密信息，ρ,σ为整数；

4)当收到移动终端成员U_i发来的信息

时，密钥生成中心KGC随机选择两个参数ψ_i,

计算中间变量

r_7,i＝(α_5,i)^ζ·k，然后发送(r_3,i,r_4,i,r_6,i,r_7,i,Γ)给移动终端成员U_i；其中，ψ_i,ζ为整数，r_1,i、r_2,i、r_3,i、r_4,i、r_5,i、r_6,i和r_7,i为计算所需要的中间变量，S_KGC,1和S_KGC,2为密钥生成中心KGC的私钥；

5)每个移动终端成员U_i接收来自密钥生成中心KGC发来的信息(r_3,i,r_4,i,r_6,i,r_7,i,Γ)，移动终端成员U_i计算中间变量

和

然后通过计算验证

是否成立，如果成立移动终端成员U_i计算中间变量r_10,i＝r_9,i并且发送密钥协商中间参数

到密钥生成中心KGC；其中，r_8,i、r_9,i、r_10,i为计算所需要的中间变量，

和

为移动终端成员U_i的私钥；

6)密钥生成中心KGC收到移动终端成员U_i发来的消息

密钥生成中心KGC验证

是否成立，若成立，密钥生成中心KGC计算中间变量

和

并广播消息

到全网；其中，r_8,i、r_9,i和r_10,i为计算所需要的中间变量，

和

为移动终端成员U_i的私钥；φ_i和η为计算所需中间变量；

7)所有的移动终端成员U_i接收到密钥生成中心KGC广播的信息

后，移动终端成员U_i保存自己的注册信息

并注册成功。

4.根据权利要求1或3所述的基于属性门限的非对称群组密钥协商方法，其特征在于，所述步骤二中群组中的移动终端成员进行密钥协商的方法是：群组密钥协商的发起者选择通过属性权限验证的移动终端成员共享信息，进行群组密钥协商和交换秘密信息，即：

(1)假设U_j作为群组密钥协商的发起者，向密钥生成中心KGC发送请求，获取信息

后，发起者U_j计算中间变量

w_j＝H₂(z_j)、

和A_j＝{A_j,1＝H₁(attr_j,1′),A_j,2＝H₁(attr_j,2′),…,A_j,k＝H₁(attr_j,k′)}，然后发起者U_j计算出群组解密密钥dk_group＝(ω,θ)和群组加密密钥ek_group＝(β,η)，其中

发起者U_j广播消息(χ₁,χ₂,...,χ_N,k,ek_group,A_j,Γ)到群组其他移动终端成员；其中，1≤j≤N，δ_j、η、z_j、w_j、χ_i、ω、θ、A_j为群组密钥计算的中间变量，H₂(.)为散列函数，e(.)表示双线性映射；

(2)群组中其他移动终端成员U_i，收到发起者U_j广播的信息(χ₁,χ₂,...,χ_N,k,ek_group,A_j,Γ)后，验证card(A_j)＝k是否成立，如果成立，移动终端成员U_i计算中间变量

和

同时，发起者U_j能够获取群组解密密钥dk_group＝(ω,θ)；其中，(kλ_i)^-1为kλ_i的倒数，λ_i为整数，1≤i≠j≤N，k为秘密信息中的属性个数。

5.根据权利要求3所述的基于属性门限的非对称群组密钥协商方法，其特征在于，所述验证

成立的过程为：

6.根据权利要求4所述的基于属性门限的非对称群组密钥协商方法，其特征在于，所述步骤三中自证实群组密钥的实现方法为：移动终端成员U_i通过验证等式β＝e(ω,η)e(θ,η)是否成立来确认其所计算的群组解密密钥是否正确，1≤i≤N，验证过程为：

7.根据权利要求5所述的基于属性门限的非对称群组密钥协商方法，其特征在于，对于任意明文信息

为明文空间，任意群组移动终端成员U_i如果拥有群组加密密钥ek_group和群组解密密钥dk_group则信息安全共享为：

群组信息加密：拥有群组加密密钥ek_group＝(β,η)的任意移动终端成员U_i，随机选取一个正整数

并计算密文参数T＝β^τ、α＝η^τ、

然后广播密文信息c＝＜T,α,V＞；

群组信息解密：群组其他移动终端成员U_j收到密文信息c＝＜T,α,V＞后，如果其拥有群组解密密钥dk_group，则可对群组广播的密文信息c进行解密计算，进而获取共享的明文信息；其中，1≤j≠i≤N，T、α、V是密文参数，c为明文消息m加密后的密文，β和η为加密密钥。

Images