CN111935708A - 一种网络安全认证方法 - Google Patents

Abstract

本发明公开了一种网络安全认证方法，包括以下步骤：步骤S1，搭建IPSec通信体系；步骤S2，基于矩阵的密钥预分配；步骤S3，建立秘密共享机制。有益效果：适用于无线网络环境下的IKEv2初始交换过程改进协议，该协议具有较明显的性能优势，能够适用于无线Internet网络环境，另外通过采用邻居图的快速切换认证方法和基于矩阵密钥预分配方法，提出了一个无线Mesh网络快速切换认证方案，该方案能够解决Mesh接入点移动性带来的快速切换认证失败问题，而通过自治愈群组密钥分发方案，在于不需要在群组管理员和每个群组成员之间建立一条安全信道来分发群组成员的个人秘密信息，实现提供存储开销和通信开销的安全性。

Description

一种网络安全认证方法

技术领域

本发明涉及网络安全技术领域，具体来说，涉及一种网络安全认证方法。

背景技术

无线网络是在没有物理连接的情况下采用无线传输介质将多个设备进行互连的网络通信系统，它是计算机网络与无线通信技术相结合的产物。计算机与无线通信的结合，使得移动正在变得无所不在，移动终端可以通过无线网络随时随地接入和访问互联网资源。未来的移动终端将是集成了多种无线接入方式的设备，如支持IEEE802.11系列、3G和GPRS等技术的PDA、手持电话和笔记本电脑等。无线网络的应用扩展了网络用户的自由空间，具有安装便捷、网络结构灵活等优点。

安全威胁是指某个人、物、事件或概念对某一资源的保密性、完整性、可用性或合法使用所造成的危险。某种攻击就是某种安全威胁的具体实现。安全威胁可以被分类成故意的和偶然的，故意的威胁又可以进一步分为主动的和被动的。被动威胁包括只对信息进行监听(如搭线窃听)，而不对其进行修改。主动威胁包括对信息进行故意的篡改。要实现信息的机密性、完整性、可用性以及资源的合法使用这四个基本安全目标，必须采取相应的安全措施对付信息泄露、完整性破坏、拒绝服务和非法使用这四种基本的安全威胁。

无线网络由于自身特点，面临着更多更严重的安全威胁，主要可以分为对无线接口的攻击、对无线设备的攻击以及对无线网络本身的攻击。根据攻击手段和目标，对无线接口的攻击可以分为物理攻击和密码学攻击，包括窃听、篡改、重放、干扰和欺诈等等；攻击无线网络是指针对无线网络基础设施进行的攻击；针对无线设备的攻击包括克隆、盗窃等等。一般来说，无线网络中的安全威胁主要表现有：

1)身份假冒：攻击者伪装成合法用户，通过无线接入非法访问网络资源；

2)通信拦截：无线链路上传输的未被加密的数据被攻击者截获；

3)拒绝服务：针对无线连接或设备实施拒绝服务攻击；

4)无线干扰：不适当的数据同步可能破坏数据的完整性；

5)隐私泄露：恶意实体寻找特定用户的身份信息或者跟踪特定用户，得到合法用户的隐私信息；

6)设备丢失：移动设备容易丢失，从而泄露敏感信息；

在安全威胁中，主要的可实现的威胁是十分重要的，任何这类威胁的实现都会直接导致基本威胁的产生。在无线网络环境下，主要的可实现的威胁有无授权访问、窃听、伪装、篡改、重放、重路由、错误路由、删除消息、网络泛洪等。当受到安全威胁时，会导致一定的安全风险。所谓风险是关于某个已知的、可能引发某种成功攻击的脆弱性的代价的测度。当无线网络受到以上提到的安全威胁时，可能导致的安全风险主要包括窃取信息、非授权使用资源、窃取服务、拒绝服务等。

因此，亟需一种网络安全认证方法。

针对相关技术中的问题，目前尚未提出有效的解决方案。

发明内容

针对相关技术中的问题，本发明提出一种网络安全认证方法，以克服现有相关技术所存在的上述技术问题。

本发明的技术方案是这样实现的：

一种网络安全认证方法，包括以下步骤：

步骤S1，搭建IPSec通信体系，并确定Internet密钥交换协议WIKE，其中，包括建立IKE_SA，用于DH交换和协商保护第一个CHILD_SA的安全策略和建立第一个CHILD_SA阶段，在确认了响应者的身份之后，对第一阶段交换的消息进行认证；

步骤S2，基于矩阵的密钥预分配，包括AS预先分配PMK给STA可能切换到的邻居AP，其中每个邻居AP有不同的PMK值，并且切换中的STA能够确认它和下一跳邻居AP具有相同的密钥值；

步骤S3，建立秘密共享机制，包括设U＝{U1,U2,U3,…,Un}是群组通信中用户的集合，群组管理员GM通过加入和撤销用户操作来建立并维护通信群组。

进一步的，步骤S1中IPSec通信体系包括体系结构、ESP、AH、加密算法、认证算法、解释域DOI和密钥管理IKE。

进一步的，步骤S3，群组管理员GM包括以下步骤：

GM首先随机选取两个素质p和q，令N是p和q的乘积，且p和q满足RSA秘密体制的安全性要求，GM从中随机选取一个整数g，满足g≠p且g≠q，GM随机选取一个大于N的素数Q，然后，GM在公告牌上公布系统参数{g,N,Q}，并销毁p和q；

每一个用户Ui随机地从[2,N]中选取一个整数Xi，Ui将Xi保密，并将其身份IDi和yi一起发送给GM，GM检查并确保不存在两个不同用户IDi≠IDj，使得yi＝yj成立，从而避免不同用户使用相同的秘密信息。

进一步的，步骤S3，包括共享的秘密s分成n个子秘密分发给n个参与者，秘密能够被n个参与者共享，只有t个或更多的参与者联合才可以重构该秘密，而任意少于t个参与者不能得到该秘密的任何信息。

进一步的，所有授权子集构成的集合称为访问结构，通常用Γ表示，其中，表示为：

对于任何

且A≠B，有

则称B∈Γ是最小授权子集，Γ的所有最小授权子集构成的集合Γ0称为Γ的基，Γ可由Γ0唯一确定，即

其中C为由参与者组成的集合。

本发明的有益效果：

本发明适用于无线网络环境下的IKEv2初始交换过程改进协议，该协议具有较明显的性能优势，能够适用于无线Internet网络环境，另外通过采用邻居图的快速切换认证方法和基于矩阵密钥预分配方法，提出了一个无线Mesh网络快速切换认证方案，该方案能够解决Mesh接入点移动性带来的快速切换认证失败问题，而通过自治愈群组密钥分发方案，在于不需要在群组管理员和每个群组成员之间建立一条安全信道来分发群组成员的个人秘密信息，实现提供存储开销和通信开销的安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据本发明实施例的一种网络安全认证方法的流程示意图；

图2是根据本发明实施例的一种网络安全认证方法的IPSec体系示意图；

图3是根据本发明实施例的一种网络安全认证方法的IKEv2初始交换过程示意图；

图4是根据本发明实施例的一种网络安全认证方法的密钥交换协议WIKE示意图；

图5是根据本发明实施例的一种网络安全认证方法的无线Mesh网的拓扑示意图；

图6是根据本发明实施例的一种网络安全认证方法的接入认证示意图；

图7是根据本发明实施例的一种网络安全认证方法的自愈机制示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员所获得的所有其他实施例，都属于本发明保护的范围。

根据本发明的实施例，提供了一种网络安全认证方法。

如图1-7所示，根据本发明实施例的网络安全认证方法，包括以下步骤：

步骤S1，搭建IPSec通信体系，并确定Internet密钥交换协议WIKE，其中，包括建立IKE_SA，用于DH交换和协商保护第一个CHILD_SA的安全策略和建立第一个CHILD_SA阶段，在确认了响应者的身份之后，对第一阶段交换的消息进行认证；

步骤S2，基于矩阵的密钥预分配，包括AS预先分配PMK给STA可能切换到的邻居AP，其中每个邻居AP有不同的PMK值，并且切换中的STA能够确认它和下一跳邻居AP具有相同的密钥值；

步骤S3，建立秘密共享机制，包括设U＝{U1,U2,U3,…,Un}是群组通信中用户的集合，群组管理员GM通过加入和撤销用户操作来建立并维护通信群组。

其中，步骤S1中IPSec通信体系包括体系结构、ESP、AH、加密算法、认证算法、解释域DOI和密钥管理IKE。

其中，步骤S3，群组管理员GM包括以下步骤：

GM首先随机选取两个素质p和q，令N是p和q的乘积，且p和q满足RSA秘密体制的安全性要求，GM从中随机选取一个整数g，满足g≠p且g≠q，GM随机选取一个大于N的素数Q，然后，GM在公告牌上公布系统参数{g,N,Q}，并销毁p和q；

每一个用户Ui随机地从[2,N]中选取一个整数Xi，Ui将Xi保密，并将其身份IDi和yi一起发送给GM，GM检查并确保不存在两个不同用户IDi≠IDj，使得yi＝yj成立，从而避免不同用户使用相同的秘密信息。

其中，步骤S3，包括共享的秘密s分成n个子秘密分发给n个参与者，秘密能够被n个参与者共享，只有t个或更多的参与者联合才可以重构该秘密，而任意少于t个参与者不能得到该秘密的任何信息。

其中，所有授权子集构成的集合称为访问结构，通常用Γ表示，其中，表示为：

对于任何

且A≠B，有

则称B∈Γ是最小授权子集，Γ的所有最小授权子集构成的集合Γ0称为Γ的基，Γ可由Γ0唯一确定，即

其中C为由参与者组成的集合。

如图2所示，IPSec是目前适用于所有Internet通信的一种安全技术，也是目前最易于扩展、最完整的一套网络安全方案。IPSec为IPv4和IPv6数据报提供高质量的、可互操作的、基于密码学的安全性。它使用两种通信安全协议和一种密钥交换协议来达到这些目标：认证头(AH)、封装安全载荷(ESP)及Internet密钥交换协议(IKE)。其中AH协议用于认证，是IPSec的强制性安全服务，提供该保护所需的数据包含在AH的两个子域中，一个子域称为“安全参数索引”(Security Parameters Index,SPI)，该子域唯一标识了用于该IP数据包认证服务的密码算法；另一个子域称为“认证数据”，包含消息发送方为接收方生成的认证数据，用于接收方验证数据完整性。ESP协议用于保密通信，是IPSec提供一个可选服务，为IP数据包提供数据源验证、数据完整性和机密性安全服务。IKE协议用于协商AH和ESP协议所使用的密码算法和密钥，并将其存放在合适的位置。IPSec所使用的协议与算法无关，由安全策略数据库(SPD)指定，但为了保证全球因特网上的互操作性，IPSec规定了一组标准的默认算法。IPSec的核心概念之一是“安全关联”(Security Association,SA)。SA用数组(SPI,“IP目的地址”，“服务标识符”)唯一标志，其中“服务标识符”指ESP或者认证。本质上，IPSec可以认为是AH+ESP，当两个网络节点在IPSec保护下通信时，它们必须协商一个SA(用于认证)或者协商两个SA(用于认证和加密)，并协商这两个节点间所共享的会话密钥以便它们能够执行密码操作。

如图2所示，IPSec通信体系包括以下：

1)体系结构：包括总体概念、安全需求、安全定义及定义IPSec技术的机制；

2)ESP(Encapsulated Security Payload)：提供数据流保密性、数据源认证、无连接的完整性以及抗重放攻击等特性；实现了发送方的验证处理和数据加密处理，用以确保数据不会被拦截、查看或篡改；

3)AH(Authentication header)：提供数据源认证、无连接的完整性以及一个可选的抗重放攻击服务，这可确保数据既对于未经验证的站点不可用，也不能在路由过程中被更改；

4)加密算法：描述将各种不同加密算法用于ESP的文档，如DES-CBC；

5)认证算法：描述将各种不同加密算法用于AH以及ESP认证选项的文档，如HMAC-MD5-96，HMAC-SHA-1-96等；

6)解释域DOI：相关文档，批准的加密和认证算法标识，以及运行参数等；

7)密钥管理IKE：描述密钥管理模式。IKE将协商的具体参数和协议本身分开来实现，所以它可为任何一种协议协商密钥，并不仅仅局限于IPSec的密钥协商。

IPSec在增加了AH和ESP之后就具备了对IP数据包实行安全保护的能力，但这种能力发挥作用的前提是通信双方需要预先协商安全关联SA(包括密钥、密码算法、密码参数等)。这一协商过程是由Internet密钥交换(IKE)协议来实现的。IKE在通信双方之间进行双向认证并建立IKE安全关联，它包括为ESP和AH建立SA的共享秘密和保护这些SA的一组算法，它是用于IPSec认证密钥交换协议的ETF当前标准。

如图3-图4所示，在IKEv2中，IKESA称为“IKE_SA”，而利用IKE_SA建立的AH、ESP的SA则称为“CHILD_SA”。所有的IKEv2通信都由请求/响应消息对组成，每一对消息叫做一次“交换”。IKEv2消息交换分为基本交换和辅助交换，基本交换包含初始交换、CREATE_CHILD_SA交换以及信息交换。其中，初始交换中第一对消息称为IKE_SA_INIT交换，第二对消息称为IKE_AUTH交换。初始交换阶段和CREATE_CHILD_SA交换阶段，分别对应于IKE第一个版本两个阶段的交换：阶段1的主模式或进取模式交换和阶段2的快速模式交换。IKEv2不存在“主模式”、“野蛮模式”、“快速模式”、“带身份保护的主模式”和“新组模式”等交换类型。作为基本交换的补充，还有两类典型的辅助交换：Cookie，交换和扩展认证交换。它们主要是针对不同的安全需求而设计的。一般情况下，只有一个IKE_SA_INIT交换和一个IKE_AUTH交换用来建立IKE_SA和第一个CHILD_SA，特殊情况下可以有多个这样的交换。但无论在何种情况下，所有的IKE_SA_INIT交换必须在任何其它的交换之前完成，随后必须完成IKE_AUTH交换。后面的CREATE_CHILD_SA或信息交换可以以任意次序发生。第一对请求/响应消息对用来协商IKE_SA的安全参数，发送随机数nonce和DH交换值。第二对请求/响应消息对用来传送身份，证明自己知道对应其身份的秘密信息并为ESP或AH建立第一个CHILD_SA。之后的交换是建立另外的CHILD_SA和信息交换，例如删除SA、报告错误或者其它的管理信息。每个请求都需要一个响应，不包含任何载荷的信息请求通常用来检查对方是否处于活动状态。

其中，HDR，为IKE消息头，包含安全参数索引SPI、版本号和标识等信息；SA为安全关联载荷；KE为密钥交换载荷；AUTH为认证机制，例如使用杂凑或签名载荷内容的方法；SIG为数字签名载荷；IDi和IDr协议发起方和响应方的身份；Ni和Nr为协议发起方和响应方的Nonce载荷；CERT证书载荷；CERTREQ为证书请求。

在IKEv2的初始交换阶段，协议发起方I(Initiator)和响应方R(Responder)协商加密算法，进行双向认证，并产生一个会话密钥，建立IKE_SA和第一个IPSec_SA。其中，前两条消息构成一个IKE_SA_INIT交换，用于协商密码算法，交换nonce值，并进行一次Diffie-Hellman密钥交换。随后两条消息构成了IKE_AUTH交换，对前面的消息进行认证，交换各自的身份和证书，并建立第一个IKE_SA和CHILD_SA。后两条消息除了通用头部外，其余内容是利用前两条消息协商的密钥进行加密过的，从而保证其身份信息无法被第三方获取。

如图3所示，在WIKE协议中，前两条消息建立IKE_SA，用于DH交换和协商保护第一个CHILD_SA的安全策略。在协议中，响应者选择了自己的DH公共值和nonce之后，并且已知发起者的DH公共值和nonce，则可以计算出当前的会话密钥，而在第二条消息中对DH公共值和nonce进行了完整性保护，对R的身份进行了加密和完整性保护，这样可以防止RID被攻击者窃听到，从而实现对响应者R的被动身份保护。后两条消息是建立第一个CHILD_SA阶段，在确认了响应者的身份之后，对第一阶段交换的消息进行认证，并建立第一个CHILD_SA，并且后两条消息均在IKE_SA的保护下进行交互。其中，第三条消息确认了响应者的身份之后，I向R发送用于建立IPSec_SA的多个提议，并发送自己身份和身份证明；第四条消息响应者R从I的多个提议中选择一个，协商出共同的CHILD_SA来保护以后的通信。在协议交互完成后，通信双方之间建立了用于保护以后通信的CHILD_SA，而且实现了对发起者的主动身份保护，对响应者的被动身份保护。同时协议通过重新构造认证载荷，使接收者确信该消息就是给自己的，这样攻击者就无机可乘，从而防止认证失败问题。因此，WIKE协议具有以下安全属性：

1)对发起者的主动身份保护：在无线接入网络环境下，发起者身份信息和位置信息是非常敏感的。在协议中让响应者先显式的证明自己的真实身份，发起者在确认了对方的身份之后再证明自己的身份，从而实现了对发起者的主动身份保护。

2)防止认证失败：认证失败是拒绝服务攻击在IKE中的一种表现形式，如果攻击者采用分布式攻击手段将产生严重的后果。造成这种安全缺陷的原因是发送的消息中没有用有效的方式说明期望的接受者，因此改进协议通过重新构造认证载荷，使接受者确信该消息就是发送给自己的，这样就能有效防止认证失败问题。

另外，如图5-图6所示，当某个移动终端STAi(i为STA的唯一标识)第一次通过Mesh接入点MAPj(j为MAP的唯一标识)接入网络时，STAi和认证服务器AS首先进行一次初始完全接入认证，在接入认证过程中，当STAi和AS完成了EAP/TLS互认证后，AS产生有限GF(q)上大小为(λ+1)×(λ+1)的对称矩阵Dij，并计算秘密矩阵A＝(D.G)^t，矩阵A作为STAi切换过程的密钥空间，用A(i)表示矩阵A的第i行。在生成密钥空间A后，AS在EAP/TLS互认证交互最后一条EAP-Success消息中附带发送数据A(i)和G(i)给STA；AS在Access Accept消息中附带发送数据A(j)和G(j)给MAPj。然后，STAi和MAPj之间执行四步握手协议来产生共享会话密钥和临时会话密钥。

具体的包括以下步骤：

1)MAPj向STAi发送第一条消息，包括MAPj产生的新鲜随机数Anonce以及G(j)。当STAi收到这条消息后，它能计算共享密钥Kij＝A(i).G(j)以及临时对密钥PTK；

2)STAi向MAPj发送第二条消息，包括STAi产生的新鲜随机数Snonce、G(i)以及消息完整性验证MIC。当MAPj收到这些消息后，能够计算共享密钥Kji＝A(j).G(i)。然后MAPj利用Kji和Snonce计算临时会话密钥PTK并验证收到的MIC；

3)MAPj向STAi发送第三条消息，包括第一步中产生的Anonce和消息完整性验证MIC，这步成功后STAi能够验证MAPj是否有正确的共享密钥PMK和临时会话对密钥PTK；

4)STAi向MAPj发送最后一条消息，包括消息验证MIC，并且STAi和MAPj之间拥有了共享临时会话对密钥PTK。

其中，STAi和MAPj通过公式PTK＝PRF(K，Anonce|Snonce|AMAC|SMAC)分别计算产生临时会话对密钥PTK，其中Anonce，Snonce分别是AP和STA的选择的新鲜随机数，MAPmac，STAmac分别是MAPj和STAi的截止访问控制(MAC)地址，K是MAPj和STAi之间共享的密钥。

如图7所示，假设群组通信中每个群组成员都有一个唯一的身份标识号i，并且i∈{1,2,n}，其中n是最大的标识号。每个成员用Ui表示，{U1,U2,U3,…,Un}是网络中用户的总体。由于无线网络的动态性，假设网络中存在一条不可靠的广播信道，发给群组的消息不一定能到达群组成员。GM是群组管理员，它通过建立群组、加入和撤销群组成员操作来维护一个通信群组，群组中的成员是集合U的动态子集。m是群组生存周期内的最大会话数，Gj∈U是在会话j中由GM建立的通信群组，t表示群组中可被撤销的最大用户数，Si表示用户Ui的个人秘密信息，Kj是会话j的群组密钥，Bj表示在会话j中GM广播的群组密钥分发消息，Zi,j表示用户Ui通过Bj和Si所获得的信息，Rj表示在会话j中所有被撤销用户的集合。所有的操作在有限域Fq上进行，q是足够大的素数。

另外，群组通信中的每一个广播消息，群组用户能够恢复出当前的会话密钥和过去及将来会话密钥的份额。对于m轮会话中的第j轮会话，在每一轮会话j1<j都能接收到Kj的份额，结合在每一轮会话j2>j中接收到的Kj的份额，就可以恢复出密钥Kj。从广播消息Bj-1中，Ui能恢复出Kj-2的份额、密钥Kj-1、Kj，Kj+1和Kj+2的份额，并且通过广播消息Bj+1，Ui能恢复出相同的Kj-2的份额、新的Kj-1和Kj的份额、密钥Kj+1、相同的Kj+2的份额。因此，根据Bj-1和Bj+1得到的结果，即使广播消息Bj丢失了，通过自治愈机制，Ui仍能恢复出密钥Kj。

综上所述，借助于本发明的上述技术方案，通过适用于无线网络环境下的IKEv2初始交换过程改进协议，该协议具有较明显的性能优势，能够适用于无线Internet网络环境，另外通过采用邻居图的快速切换认证方法和基于矩阵密钥预分配方法，提出了一个无线Mesh网络快速切换认证方案，该方案能够解决Mesh接入点移动性带来的快速切换认证失败问题，而通过自治愈群组密钥分发方案，在于不需要在群组管理员和每个群组成员之间建立一条安全信道来分发群组成员的个人秘密信息，实现提供存储开销和通信开销的安全性。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (5)

1.一种网络安全认证方法，其特征在于，包括以下步骤：

步骤S1，搭建IPSec通信体系，并确定Internet密钥交换协议WIKE，其中，包括建立IKE_SA，用于DH交换和协商保护第一个CHILD_SA的安全策略和建立第一个CHILD_SA阶段，在确认了响应者的身份之后，对第一阶段交换的消息进行认证；

步骤S2，基于矩阵的密钥预分配，包括AS预先分配PMK给STA可能切换到的邻居AP，其中每个邻居AP有不同的PMK值，并且切换中的STA能够确认它和下一跳邻居AP具有相同的密钥值；

步骤S3，建立秘密共享机制，包括设U＝{U1,U2,U3,…,Un}是群组通信中用户的集合，群组管理员GM通过加入和撤销用户操作来建立并维护通信群组。

2.根据权利要求1所述的网络安全认证方法，其特征在于，步骤S1中IPSec通信体系包括体系结构、ESP、AH、加密算法、认证算法、解释域DOI和密钥管理IKE。

3.根据权利要求1所述的网络安全认证方法，其特征在于，步骤S3，群组管理员GM包括以下步骤：

GM首先随机选取两个素质p和q，令N是p和q的乘积，且p和q满足RSA秘密体制的安全性要求，GM从中随机选取一个整数g，满足g≠p且g≠q，GM随机选取一个大于N的素数Q，然后，GM在公告牌上公布系统参数{g,N,Q}，并销毁p和q；

每一个用户Ui随机地从[2,N]中选取一个整数Xi，Ui将Xi保密，并将其身份IDi和yi一起发送给GM，GM检查并确保不存在两个不同用户IDi≠IDj，使得yi＝yj成立，从而避免不同用户使用相同的秘密信息。

4.根据权利要求1所述的网络安全认证方法，其特征在于，步骤S3，包括共享的秘密s分成n个子秘密分发给n个参与者，秘密能够被n个参与者共享，只有t个或更多的参与者联合才可以重构该秘密，而任意少于t个参与者不能得到该秘密的任何信息。

5.根据权利要求4所述的网络安全认证方法，其特征在于，所有授权子集构成的集合称为访问结构，通常用Γ表示，其中，表示为：

对于任何

且A≠B，有

则称B∈Γ是最小授权子集，Γ的所有最小授权子集构成的集合Γ0称为Γ的基，Γ可由Γ0唯一确定，即

其中C为由参与者组成的集合。

Images