CN113346993B - 一种基于隐私保护的分层动态群组密钥协商方法 - Google Patents

Abstract

本发明提出了一种基于隐私保护的分层动态群组密钥协商方法，步骤为：对群组密钥协商网络域内的协议参数进行初始化，生成认证中心和终端成员的公/私钥对，终端成员进行隐藏属性的身份认证，认证成功后，终端成员根据自己属性权值计算加密密钥和解密密钥，对密钥的一致性进行验证，终端成员还可以向认证中心申请变更属性以参与高层或者低层的群组密钥协商。本发明采用隐藏属性的身份认证技术，在身份认证的同时能够避免个人隐私信息的泄露，同时根据属性权值设置阈值权限，以不同的保密性参与群组通信，提高了数据通信的可靠性，采用身份认证和属性权值匹配的双认证机制，很大程度上提高了系统的安全性，使得群组密钥协商更加灵活、高效和实用。

Description

一种基于隐私保护的分层动态群组密钥协商方法

技术领域

本发明涉及信息安全的技术领域，尤其涉及一种基于隐私保护的分层动态群组密钥协商方法。

背景技术

随着大数据、人工智能以及物联网等科技技术的不断深入发展，为人们的日常生活提供了便利，为国家和社会的发展提供了动力。这些技术的核心是多方实体间安全的资源共享、信息交换和传输。与之同时，大量数据的交换和处理也带来了一系列的安全隐患，如何在大量数据交换时保证数据不被泄露，如何保证通信实体的身份信息不被泄露，这就给信息安全技术提出了一个巨大的挑战。

互联网作为纽带将各行各业联系到一起，人们足不出户就可以享受购物、视频、会议等体验。随之而来的是分组应用、分组协议的大量增加，例如群组聊天、视频会议、在线文档等等。群组密钥协商使参与通信的成员协商出一个会话密钥，对传输的信息及资源进行加密处理，从而实现安全可靠的通信。

但是现有的群组密钥协商技术通过基于身份的认证容易出现个人身份信息泄露的情况，同时现有的群组密钥协商计算量较大，而且通信消耗过多，对于一些低能量终端节点的应用场景非常不适用。

目前，针对基于隐私保护的分层动态群组密钥协商方法的研究尚未出现，一系列的挑战性问题有待解决，包括通信过程中群组密钥协商策略的设置、身份认证及个人隐私保护问题等方面的工作尚无先例。

发明内容

针对现有群组密钥协商方法进行身份认证过程中，容易暴露个人身份信息，无法灵活地保护敏感数据的技术问题，本发明提出一种基于隐私保护的分层动态群组密钥协商方法，采用隐藏属性的身份认证技术在群组密钥协商的身份认证过程中实现身份认证的同时又能很好的保护个人隐私，同时减少了每个参与者的计算和通信开销，采用身份认证和属性权限参数匹配，避免了不具有权限的终端的合谋攻击。

为了达到上述目的，本发明的技术方案是这样实现的：一种基于隐私保护的分层动态群组密钥协商方法，其步骤为：

步骤一：群组密钥协商网络中域内协议参数的初始化：认证中心CA和各终端成员生成各自的公/私钥对；

步骤二：隐藏属性的身份认证

A)认证中心CA选择一系列两两互素的正整数并将正整数和网络属性集中的属性以及属性序列号广播给域内的所有终端成员；

B)终端成员运用各自的有序的网络属性集中的属性计算认证所需要的中间参数，并将中间参数发送给认证中心CA；

C)认证中心CA接收到各终端成员发送的消息后，为各终端成员选择属性序列号对应的属性并通过中国剩余定理验证各终端成员的身份，如果验证通过，认证中心CA计算出属性权限参数和签名，并将属性权限参数、签名和公钥发送给认证后的终端成员；

D)各个终端成员收到认证中心CA发送的消息后，终端成员计算出属性权值，然后各终端成员验证认证中心CA的身份以及属性权值的正确性，如果验证通过，各终端成员获得与属性相对应的属性权值，各终端成员身份认证成功；

步骤三：群组的密钥协商；

F)每个参与密钥协商的终端成员计算出群组的加密密钥；

G)每个终端成员从认证中心CA获取属性序列号对应的网络属性参数计算解密密钥；

H)参与群组密钥协商的所有终端成员计算得到解密密钥之后，群组中的任意一个终端成员计算验证自身身份和解密密钥所需的中间参数，然后将中间参数和自己的公钥发送给群组的其它终端成员；

I)群组中其它终端成员收到信息后，验证信息发送者的身份，如果验证通过，信息接收者计算验证解密密钥所需的中间参数并对解密密钥是否一致进行验证，如果验证通过，则群组中所有成员的解密密钥是正确的，如果不一致，信息接收者广播错误消息，同时群组中的终端成员重新计算解密密钥。

还包括步骤四：终端成员参与不同层次群组的密钥协商：

(a)参与高层次群组的密钥协商，实现方法为：

J)处于低层次群组的终端成员参与高层次群组的密钥协商时，低层次群组的终端成员从认证中心CA获得高层次群组的属性序列号，然后与自己的属性序列号相交获得不相交的属性序列后，低层次群组的终端成员计算属性权限参数、属性权值、不相交的属性序列、中间变量以及公钥发送给认证中心CA；

K)认证中心CA收到消息后，计算验证终端成员身份所需的中间参数并验证终端成员的身份和属性，如果验证通过，认证中心CA计算新的属性权限参数并将新的属性权限参数和公钥发送给终端成员；

L)终端成员收到来自认证中心CA的消息后，首先验证认证中心CA的身份，如果验证通过，则用新的属性权限参数替换原来的属性权限参数并计算新的属性权值，然后按照步骤三参与群组的密钥协商；

(b)参与低层次群组的密钥协商，实现方法为：

M)当处于高层次群组的终端成员参与低层次群组的密钥协商时，高层次群组的终端成员从认证中心CA获得低层次群组的属性序列号，然后终端成员与自己原有的属性序列号取交集得到不参与低层次群组的密钥协商的属性序列，然后计算验证自己身份所需的中间参数并将不参与较低层次群组的密钥协商的属性序列、中间参数以及公钥发送给认证中心CA；

N)认证中心CA收到终端成员发送的消息后，计算验证终端成员身份所需的中间参数并验证终端成员的身份和属性，如果验证通过，认证中心CA计算属性权限参数，然后认证中心CA将属性权限参数和公钥发送给终端成员；

O)终端成员收到消息后验证认证中心CA的身份，如果验证通过，终端成员用新的属性权限参数替换原有的属性权限参数并计算属性权值，然后按照步骤三参与群组的密钥协商。

所述步骤一中认证中心CA和各终端成员生成各自的公/私钥对的方法为：

(1)认证中心CA随机选择一个正整数

作为私钥，并计算公钥PK_CA＝SK_CAg₁，认证中心CA将(SK_CA,PK_CA)作为系统的公/私钥对；

(2)域内的每个终端成员u_l,i选择一个随机正整数

计算终端成员u_l,i的私钥

和终端成员u_l,i的公钥；

其中，g₁为加法群G₁的生成元，

表示阶为q的整数集，q为加法群G₁的素数阶，1≤l≤L，1≤i≤n，n为域内终端成员的个数，L为群组密钥协商中群组的个数，

为终端成员u_l,i的身份标识，

是哈希散列函数。

所述步骤二中隐藏属性的身份认证的实现方法为：

A)认证中心CA为域内每一个终端成员随机选择一系列与属性属性集Attr＝{A₁,A₂,...,A_ν1,...,A_R}对应的正整数{p₁,p₂,...,p_v1,...,p_R}，认证中心CA将信息{(A₁,S₁,p₁),(A₂,S₂,p₂),...,(A_R,S_R,p_R)}在域内广播；其中，任意两个正整数p_i,p_j互素，A_v1为属性属性集中的第v1个网络属性，1≤v1≤R，p_v1为网络属性A_v1对应的网络属性参数，R∈N^*表示网络属性的数量，N^*表示正整数，S_v1为网络属性A_v1对应的属性序列号；

B)带有有序的网络属性集attr_l,i＝{a_l,i,1,a_l,i,2,...,a_l,i,r}的每一个终端成员u_l,i随机选择两个正整数

终端成员u_l,i计算中间变量ο_l,i＝λ_l,ig₁,θ_l,i,1＝γ_l,iH₁(a_l,i,1)+ο_l,i,θ_l,i,2＝γ_l,iH₁(a_l,i,2)+ο_l,i,...,θ_l,i,r＝γ_l,iH₁(a_l,i,r)+ο_l,i、

和h_l,i,v＝H₁(θ_l,i,v)，然后终端成员u_l,i将消息{(θ_l,i,1,h_l,i,1,S₁),(θ_l,i,2,h_l,i,2,S₂),...,(θ_l,i,r,h_l,i,r,S_r),η_l,i}发送给认证中心CA；其中，正整数γ_l,i,λ_l,i≠1，中间变量ο_l,i＜H₁(a_l,i,v)，1≤v≤r，θ_l,i,1,θ_l,i,2,...,θ_l,i,r、η_l,i、h_l,i,v和ο_l,i表示终端成员u_l,i注册所需的中间变量，g₁为加法群G₁的生成元，属性集

r∈N^*且属性a_l,i,r-1＜a_l,i,r，r≤R为终端成员u_l,i的属性的个数，a_l,i,v为终端成员u_l,i的第v个属性，

表示终端成员u_l,i的私钥；H₁(·)是哈希散列函数，||是连接符号；

C)认证中心CA接收终端成员u_l,i发送的消息{(θ_l,i,1,h_l,i,1,S₁),(θ_l,i,2,h_l,i,2,S₂),...,(θ_l,i,r,h_l,i,r,S_r),η_l,i}后，认证中心CA从网络属性集{A₁,A₂,...,A_R}中选择与属性序列号{S₁,S₂,...,S_r}相对应的网络属性{A₁,A₂,...,A_r}，然后认证中心CA通过验证等式

和

β_l,i,1＝β_l,i,2＝...＝β_l,i,r是否成立验证终端成员u_l,i的属性，如果所有的等式相等，则证明中间变量θ_l,i,v来自终端成员u_l,i并且其未被篡改；然后认证中心CA通过验证等式

是否相等验证u_l,i的属性和身份，如果验证通过，认证中心CA选择一系列与属性集attr_l,i＝{a_l,i,1,a_l,i,2,...,a_l,i,r}对应的随机数

并且计算属性权限参数χ_l,i,ν＝ι_l,i,νβ_l,i,ν和签名δ_l,i＝SK_CA(H₂(ι_l,i,1g₁||ι_l,i,2g₁||...||ι_l,i,rg₁))g₁；最后，认证中心CA将消息{PK_CA,δ_l,i,(χ_l,i,1,χ_l,i,2,...χ_l,i,r)}发送给注册的终端成员u_l,i；其中，a_l,i,v为终端成员u_l,i的属性，χ_l,i,v为终端成员u_l,i的第v个属性的属性权限参数，1≤v≤r，δ_l,i是终端成员u_l,i注册所需的签名，PK_CA为认证中心CA的公钥，SK_CA为认证中心CA的私钥，mod为取余函数，e(·)是可计算的双线性映射函数，

为终端成员u_l,i的公钥，β_l,i,ν为验证终端成员u_l,i的属性所需的中间变量，H₂(·)是哈希散列函数；

D)终端成员u_l,i接收认证中心CA发送的信息{PK_CA,δ_l,i,(χ_l,i,1,χ_l,i,2,...χ_l,i,r)}后，终端成员u_l,i计算属性权值T_l,i,1＝λ_l,i ^-1χ_l,i,1＝ι_l,i,1g₁,T_l,i,2＝λ_l,i ^-1χ_l,i,2＝ι_{l,i, 2}g₁,...,T_l,i,r＝λ_l,i ^-1χ_l,i,r＝ι_l,i,rg₁和中间变量μ_l,i＝H₂(T_l,i,1||T_l,i,2...||T_l,i,r)；然后终端成员u_l,i通过验证等式e(δ_l,i,g₁)＝e(μ_l,ig₁,PK_CA)是否成立验证认证中心CA的身份和属性a_l,i,v对应的属性权值T_l,i,v的正确性，如果等式成立，终端成员u_l,i获得与每一个属性a_l,i,v相对应的属性权值T_l,i,v，终端成员u_l,i注册成功；如果等式不成立，终端成员u_l,i注册失败；其中，T_l,i,1,T_l,i,2,...,T_l,i,r表示终端成员u_l,i的属性权值，μ_l,i表示验证认证中心CA身份所需的中间变量。

所述步骤三中群组的密钥协商的方法为：(1)参与群组密钥协商的终端成员u_2,i根据属性权值{T_2,i,1,T_2,i,2,...,T_2,i,ν,...,T_2,i,r}计算中间变量ρ_2,i,1＝T_2,i,1g₁并且终端成员u_2,i使用属性权值{T_2,i,1,T_2,i,2,...,T_2,i,r}计算中间变量

计算加密密钥

其中，g₁为加法群G₁的生成元，

表示终端成员u_2,i的私钥；

(2)各终端成员u_2,i从认证中心CA中获取用于加/解密所需的网络属性集中的属性所对应的网络属性参数(p₁,p₂,...,p_r)计算出群组解密密钥

计算如下：终端成员u_2,i通过中国剩余定理计算

求解可得到一个唯一的解

则群组的解密密钥

其中，v＝1,2,3,...,r，

x_2,i表示计算解密密钥所需的中间变量，mod是取余运算；

(3)参与群组密钥协商的所有终端成员计算解密密钥之后，任意终端成员u_2,i计算中间变量

和

然后终端成员u_2,i将消息

广播给群组内的所有终端成员；其中，π_2,i为验证密钥一致性所需的中间变量，μ'_2,i表示验证终端成员u_2,i身份所需要的中间变量；

(4)群组内的其它终端成员收到终端成员u_2,i发送的消息

后，群组内任意其它终端成员u_2,k计算中间变量

并且通过验证等式

是否成立验证终端成员u_2,i的身份，如果验证通过，终端成员u_2,k计算中间变量

并且通过验证π_2,k＝π_2,i是否成立验证解密密钥

的正确性，如果验证通过，则说明群组内所有终端成员的解密密钥是正确的，如果验证不通过，则重新协商密钥并广播错误报告；其中，k≠i，

表示验证终端成员u_2,i身份所需要的中间变量，π_2,k表示验证密钥正确性所需要的中间变量。

所述步骤四中参与高层次群组的密钥协商的实现方法为：

J)当处于L₂层群组且带有属性序列号

的终端成员u_2,j想要参与L₁层群组的群组密钥协商，终端成员u_2,j从认证中心CA获得L₁层群组的属性序列号

然后终端成员u_2,j将新获得的属性序列号与原有的属性序列号取交集，交集

终端成员u_2,j的属性序列号与L₁层群组的属性序列号不相交的集合AS₁＝{S_ν,S_2,ν,S_2,ν+1,S_2,ν+2}，然后终端成员u_2,j获得属性权限参数{χ_2,j,ν,χ_2,j,ν+1,χ_2,j,ν+2}并且计算属性权值

和中间变量

然后将消息

发送给认证中心CA；其中，L₂层群组为低于L₁层群组的层次，

表示L₁层群组的属性序列号集，χ_2,j,ν为终端成员u_2,j的第v个属性权限参数，

表示终端成员u_2,j的私钥，H₂(·)是哈希散列函数；

K)认证中心CA收到终端成员u_2,j发送的消息

后，认证中心CA计算中间变量

且通过验证等式

是否成立验证终端成员u_2,j的身份，如果验证通过，认证中心CA计算中间变量χ'_1,i,v＝ι_1,i,vβ_2,j,v(ι_1,i,vβ_2,j,v＝ι_1,i,vβ_2,j,v+1＝ι_1,i,vβ_2,j,v+2)并且发送消息{χ'_1,i,v,χ_2,j,ν,χ_2,j,ν+1,χ_2,j,ν+2,PK_CA}给终端成员u_2,j；其中，

表示验证终端成员u_2,j身份所需要的中间变量，PK_CA表示认证中心CA的公钥；

L)终端成员u_2,j接收到认证中心CA发送的消息{χ'_1,i,v,χ_2,j,ν,χ_2,j,ν+1,χ_2,j,ν+2,PK_CA}后，终端成员u_2,j通过验证等式e(δ_2,j,g₁)＝e(μ_2,jg₁,PK_CA)是否成立验证认证中心CA的身份，如果验证通过，终端成员u_2,j用中间变量χ'_1,i,v替代{χ_2,j,ν,χ_2,j,ν+1,χ_2,j,ν+2}并且计算属性权值

终端成员u_2,j获得新的属性权值集合{T_2,j,1,...T_2,j,v-1,T_2,j,v+3,...T_2,j,r,T'_1,i,v}，L₂层群组的终端成员u_2,j的属性序列号与L₁层群组的终端成员u_1,i属性序列号的交集

因此属性权值{T_2,j,1,...T_2,j,v-1,T_2,j,v+3,...T_2,j,r}与{T_1,i,1,...T_1,i,v-1,T_1,i,v+1,...,T_1,i,r}相等，然后按照步骤三进行群组L₁的密钥协商。

所述步骤四中参与低层次群组的密钥协商的实现方法为：

M)当处于高层级的L₁层群组且带有属性序列号

的终端成员u_1,i想要参与L₂层群组的群组密钥协商，终端成员u_1,i从认证中心CA获得L₂层群组的属性序列号

终端成员u_1,i将新获得的属性序列号与原有的属性序列号取交集，交集

终端成员u_1,i的属性序列号与L₂层群组属性序列号不相交的集合AS₂＝{S_2,ν,S_2,ν+1,S_2,ν+2}，然后终端成员u_1,i计算中间变量

然后将消息

发送给认证中心CA；其中，

L₂层群组为低于L₁层群组的层次，

表示L₂层群组的属性序列号，AS₀表示L₁层群组的属性序列号与L₂层的群组属性序列号的交集，

表示终端成员u_1,i的私钥，H₂(·)是哈希散列函数；

N)认证中心CA收到终端成员u_1,i发送的消息

后，计算中间变量

并且通过验证等式

是否成立验证终端成员u_1,i的身份和属性，如果相等，认证中心CA计算中间变量χ'_2,j,v＝ι_2,j,vβ_1,i,v,χ'_2,j,v+1＝ι_2,j,v+1β_1,i,v,χ'_2,j,v+2＝ι_2,j,v+2β_1,i,v并发送新的属性权限参数{χ_1,i,ν,χ'_2,j,v,χ'_2,j,v+1,χ'_2,j,v+2,PK_CA}给终端成员u_1,i；其中，

表示验证终端成员u_1,i身份所需的中间变量，χ_2,j,ν为终端成员u_2,j的第v个属性权限参数；

O)终端成员u_1,i收到认证中心CA发送的消息后，通过验证等式e(δ_1,i,g₁)＝e(μ_{1, i}g₁,PK_CA)是否成立验证认证中心CA的身份，如果验证通过，终端成员u_1,i用属性权限参数集合{χ'_2,j,v,χ'_2,j,v+1,χ'_2,j,v+2}替换χ_1,i,ν并且计算新的属性权值

终端成员u_1,i获得新的属性权值集合{T_1,i,1,...T_1,i,v-1,T_1,i,v+1,...T_1,i,r,T'_2,j,v,T'_2,j,v+1,T'_2,j,v+2}，L₂层群组的终端成员u_2,j的属性序列号与L₁层群组的终端成员u_1,i属性序列号的交集

属性权值集合{T_2,j,1,...T_2,j,v-1,T_2,j,v+3,...T_2,j,r}与{T_1,i,1,...T_1,i,v-1,T_1,i,v+1,...,T_1,i,r}相等，然后按照步骤三进行L₁层群组的密钥协商。

所述等式

的验证方法为：

等式e(δ_l,i,g₁)＝e(μ_l,ig₁,PK_CA)的验证方法为：

所述等式

的验证方法为：

等式

的验证方法为：

等式e(δ_2,j,g₁)＝e(μ_2,jg₁,PK_CA)的验证方法为：

所述等式

的验证方法为：

等式e(δ_1,i,g₁)＝e(μ_1,ig₁,PK_CA)的验证方法为：

与现有技术相比，本发明的有益效果：群组内的终端成员在进行群组密钥协商前通过隐藏属性的身份认证技术进行身份认证；确认每个终端成员的身份后，计算属性权值进而计算出群组的加密密钥和解密密钥，然后完成密钥一致性验证，同时，成员可以通过申请参与高层或者低层的群组密钥协商。本发明群组内终端成员采用非对称加密算法协商密钥，然后通过一致性验证来保证密钥的可靠性，最后通过群组密钥对通信数据进行加密和解密，进而实现了群组成员之间安全可靠的通信；采用隐藏属性的身份认证技术在群组密钥协商之前的身份认证过程中实现个人隐私保护及身份认证的效果；在终端成员注册的过程中，除了对终端成员进行身份认证外，每个终端成员还获得相应的属性权重。根据这些属性的权值设置阈值权限，并根据终端成员的阈值权限分成不同的密钥协商群组，以不同的保密性参与群组通信，提高了数据通信的安全性。同时满足一定条件的低层群组的终端成员可以向认证中心申请替换获得高层级属性权值参与高层群组的通信，高层群组的终端成员也可以向认证中心申请替换获得低层级属性权值参与低层群组的通信，既可以保障通信数据的安全性，又可以很好地保护个人隐私，使得各领域中信息资源共享更加灵活、高效和实用，具有重要的领域研究意义和商业应用价值。本发明用一组属性来描述终端成员的身份，认证过程中能够很好的保护终端成员的隐私，且计算量和通信消耗较低能够满足更多的应用场景；采用分层群组密钥协商，能够满足不同保密等级会话的需要。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的流程示意图。

图2为本发明实施例1的分层群组密钥协商示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

针对互联网通信复杂环境下，网络中的各移动终端间在信息安全通信时涉及到数据资源的保密性、完整性和抗泄露性的问题；同时，在互联网中，移动终端可以随时随地的访问互联网造成通信环境人员复杂、随机性等问题，在此背景下，本发明提出一种基于隐私保护的分层动态群组密钥协商方法，如图1所示，实现群组内通信信息的安全共享。首先，群组内的认证中心CA随机选择自己的私钥，并计算对应的公钥，群组内的各终端成员随机选择正整数，然后计算对应的私钥并利用加法群的生成元计算出自己的公钥；其次，认证中心CA为群组内成员的属性选择一系列的正整数并和属性、属性序列号一起广播发送给群组内所有的终端成员；每一个终端成员运用各自的有序的属性集中的属性和随机选择的两个正整数计算终端成员认证所需要的中间参数，然后将这些中间参数发送给认证中心CA，认证中心CA验证各终端成员的身份，然后计算相应的属性权限参数和签名，认证中心CA将签名、属性权限参数和公钥发送给各终端成员，各终端成员接收到消息之后计算出自己的属性所对应的属性权值，然后验证认证中心CA的身份和属性权值的正确性，如果验证通过，各终端成员认证完成。然后，终端成员根据自己获得的属性权值计算加密秘钥和解密密钥，终端成员计算验证密钥正确性所需的中间参数并将这些中间参数广播给群组内的其他终端成员，其他成员收到消息后，计算中间参数并验证消息发送者的身份，如果匹配，且所计算的参数值相等，则所计算的密钥是正确的，如果参数值不相等则广播错误消息并重新协商密钥；终端成员也可以根据自己的实际情况申请加入高层群组或者低层群组参与群组密钥协商。

1.本发明所涉及的理论基础知识和相关定义

1.1双线性映射问题

定义1.双线性映射：设G₁为加法群，其生成元为g₁，即G₁＝<g₁>，G₂为乘法循环群，加法群G₁和乘法循环群G₂具有共同的大素数阶q，

是安全参数，且加法群G₁和乘法循环群G₂上的离散对数是困难的，加法群G₁和乘法循环群G₂是一对双线性群，e是可计算的双线性映射，且e:G₁×G₁→G₂，其具有如下性质：

性质1.非退化性：存在生成元ω,ρ∈G₁，使得e(ω,ρ)≠1。

性质2.可计算性：存在有效的算法，对于生成元ω,ρ∈G₁可计算e(ω,ρ)。

推理1.对所有的生成元ρ₁,ρ₂,ω∈G₁，有e(ρ₁+ρ₂,ω)＝e(ρ₁,ω)e(ρ₂,ω)。

1.2计算复杂性问题

定义1.离散对数问题(DLP)：对于等式Y＝aQ，其中，生成元Y,Q∈G₁，参数

如果参数a和生成元Q已知，很容易计算出生成元Y；但是已知生成元Q和生成元Y，计算出参数a的概率在多项式时间内可以忽略不计；其中，

表示阶为q的整数集。

定义2.Diffie-Hellman问题逆运算(ICDH)：给出g₁,ag₁和abg₁，对于参数

计算出(ab/a)g₁。

1.3中国剩余定理

假设存在一系列互素正整数序列d₁,d₂,...,d_n，其中，d＝d₁d₂...d_n，D_i＝d₁d₂...d_i-1d_i+1...d_n；给定如下方程组

则其拥有唯一解

其中，y_i·D_i modd_i＝1,i＝1,2,...,n，l_i表示第i个正整数，y_i表示计算方程组唯一解的中间变量。

实施例1

复杂多方通信情况下，群组内的认证中心CA需要对通信的终端成员进行身份认证，但在提供身份信息时，身份信息容易泄露或者被窃取。出于安全考虑，通信实体多方认证的同时，需要对个人身份隐私进行保护。在信息共享时，还要保障通信信息的保密性、完整性和抗泄露性，要求符合权限策略的成员才能进行通信。针对此应用背景下，本发明一种基于隐私保护的分层动态群组密钥协商方法，如图1所示，其步骤如下：①参与群组密钥协商的终端成员首先进行参数初始化，分别产生各自的公/私钥对；②群组内的终端成员隐藏属性认证：在进行群组密钥协商之前对群组内的终端成员进行隐藏属性的身份认证，并根据终端成员各自的属性集计算出相应的属性权值；③群组密钥协商：各终端成员根据自身的属性权值计算加密密钥和解密密钥，在完成计算之后对密钥的正确性进行验证，如果验证通过则协商完成，如果验证未通过则广播错误信息，重新协商密钥；④终端成员根据自身需求可向认证中心CA请求替换属性以参与高层次或者低层次的群组密钥协商。整个系统的分层群组密钥协商示意图，如图2所示。本发明的具体步骤如下：

步骤一：群组密钥协商网络中域内协议参数的初始化：认证中心CA和各终端成员生成各自的公/私钥对。

假设参加密钥协商的L组n个成员的实体集合表示为S＝{S₁,S₂,…,S_L}，其中，S₁＝{u_1,1,u_1,2,…,u_1,n}、S₂＝{u_2,1,u_2,2,…,u_2,n}、…、S_L＝{u_L,1,u_L,2,…,u_L,n}；具有相同属性的n个终端成员组成一个群组密钥协商小群组S₁-S_L进行群组通信，对应的群组中终端成员的身份集合表示为

参与密钥协商的实体的L组n个终端成员的网络属性序列为ATTR＝A₁|A₂|...|A_R，对应的网络属性集为Attr＝{A₁,A₂,...,A_ν,...,A_R}，A_v表示第v个网络属性，R表示网络属性的个数。每个群组密钥协商小组的n个终端成员具有相同的属性集，其对应的属性排列顺序为

群组的终端成员对应的有序属性集为

其中，属性a_i,v＜a_i,v+1，

表示群组U₁中终端成员对应的属性集合，属性个数r∈N^*，a_l,r表示群组U_l中终端成员的第r个属性，l＝1,2,...,L。

群组密钥协商网络域内的认证中心CA和各终端成员生成各自的公/私钥对的方法为：

域内的认证中心CA运行密钥生成算法KeyGen(1^λ)获取公私钥对(SK_CA,PK_CA)，其中，认证中心CA随机选择一个正整数

作为系统私钥，并计算公钥PK_CA＝SK_CAg₁，认证中心CA将(SK_CA,PK_CA)作为系统的公/私钥对。域内的每个终端成员u_l,i∈U选择一个随机正整数

计算

是终端成员u_l,i的私钥；计算终端成员u_l,i的公钥

系统参数为params＝(PK_CA,q,G₁,G₂,g₁,e,H₁,H₂)。其中，g₁为加法群G₁的生成元，

表示阶为q的整数集，q为加法群G₁的素数阶，KeyGen()表示密钥生成算法，λ表示密钥计算所需的中间变量；1≤l≤L，1≤i≤n，n为域内终端成员的个数，L为群组密钥协商中群组的个数，

为终端成员u_l,i的私钥，

为终端成员u_l,i的公钥，

为终端成员u_l,i的身份标识，

是两个哈希散列函数，{0,1}^*表示由二进制0和1组成的任意长度的数字串集合。

步骤二：隐藏属性的身份认证。

为了防止未授权的终端成员参与群组密钥协商，仅允许拥有权限的终端成员参与信息加密存储和信息资源访问。本发明采用隐藏属性的身份认证方式，在群组密钥协商前先对域内终端成员进行身份认证，避免其它未经授权的用户参与。各终端成员与认证中心CA交互，生成对应于每一个属性的属性权值。

本发明实现了域内群组密钥协商，具有传统身份认证的功能，同时可以保护个人隐私问题，并且根据属性权值进行匹配访问，拥有不同的属性权值的终端成员访问不同敏感程度的数据，避免了敏感信息的泄露。终端成员的匿名属性认证的具体实现方法为：

(1)认证中心CA选择一系列两两互素的正整数，并将这些正整数和网络属性集中的网络属性以及属性序列号广播给域内的所有终端成员：认证中心CA为域内每一个终端成员随机选择一系列与属性{A₁,A₂,...,A_ν,...,A_R}对应的正整数{p₁,p₂,...,p_v,...,p_R}，然后认证中心CA将信息{(A₁,S₁,p₁),(A₂,S₂,p₂),...,(A_R,S_R,p_R)}在域内广播；其中，gcd(p_i,p_j)＝1(i,j＝1,2,...R,i≠j)表示任意两个正整数p_i,p_j互素，gcd()表示求最大公约数的函数，A_v(1≤v≤R)为第v个网络属性，p_v为网络属性A_v对应的网络属性参数，R∈N^*表示网络属性的数量，N^*表示正整数，S_v为网络属性A_v对应的属性序列号。

(2)每一个终端成员运用各自的有序的属性集中的属性计算认证所需要的中间参数，并将中间参数发送给认证中心CA：带有有序网络属性集attr_l,i＝{a_l,i,1,a_l,i,2,...,a_l,i,r}的每一个终端成员u_l,i随机选择两个正整数

终端成员u_l,i计算中间变量ο_l,i＝λ_l,ig₁,θ_l,i,1＝γ_l,iH₁(a_l,i,1)+ο_l,i,θ_l,i,2＝γ_l,iH₁(a_l,i,2)+ο_l,i,...,θ_l,i,r＝γ_l,iH₁(a_l,i,r)+ο_l,i、

和h_l,i,k＝H₁(θ_l,i,k)(1≤k≤r)，然后终端成员u_l,i将消息{(θ_l,i,1,h_l,i,1,S₁),(θ_l,i,2,h_l,i,2,S₂),...,(θ_l,i,r,h_l,i,r,S_r),η_l,i}发送给认证中心CA。其中，正整数γ_l,i,λ_l,i≠1，中间变量ο_l,i＜H₁(a_l,i,v)，1≤k≤r，θ_l,i,1,θ_l,i,2,...,θ_l,i,r、η_l,i、h_l,i,k和ο_l,i表示终端成员u_l,i注册所需的中间变量，属性集

r∈N^*且属性a_l,i,r-1＜a_l,i,r，r为终端成员u_l,i的属性的个数，a_l,i,k为终端成员u_l,i的第k个属性，

表示终端成员u_l,i的私钥；H₁(·)是哈希散列函数，||是连接符号。attr_l,i表示终端成员的属性集，

表示网络属性集，

(3)认证中心CA接收到各终端成员发送的消息后，为各终端成员选择属性序列号对应的网络属性并验证各终端成员的身份，如果验证通过，认证中心CA为每一个属性选择一个随机数并计算出属性权限参数和签名，并将属性权限参数、签名和公钥发送给认证后的终端成员：认证中心CA接收终端成员u_l,i发送的消息{(θ_l,i,1,h_l,i,1,N₁),(θ_l,i,2,h_l,i,2,N₂),...,(θ_l,i,r,h_l,i,r,N_r),η_l,i}后，认证中心CA从网络属性集{A₁,A₂,...,A_R}中选择与属性序列号{S₁,S₂,...,S_r}相对应的网络属性{A₁,A₂,...,A_r}(r≤R)，然后认证中心CA通过计算等式

和

验证终端成员u_l,i的属性，如果所有的等式相等并且中间变量β_l,i,1＝β_l,i,2＝...＝β_l,i,r，则证明参数θ_l,i,v来自终端成员u_l,i并且其未被篡改，否则说明参数可能篡改或者终端成员u_l,i是非法用户。验证通过后认证中心CA通过验证等式

是否相等验证u_l,i的属性和身份，如果验证通过，认证中心CA选择一系列与属性集attr_l,i＝{a_l,i,1,a_l,i,2,...,a_l,i,r}对应的数

并且计算属性权限参数χ_l,i,ν＝ι_l,i,νβ_l,i,ν和签名δ_l,i＝SK_CA(H₂(ι_l,i,1g₁||ι_l,i,2g₁||...||ι_l,i,rg₁))g₁，如果验证未通过，则将u_l,i剔除系统。最后，认证中心CA将消息{PK_CA,δ_l,i,(χ_l,i,1,χ_l,i,2,...χ_l,i,r)}发送给注册的终端成员u_l,i。其中，χ_l,i,v为终端成员u_l,i的第v个属性的属性权限参数，1≤v≤r，δ_l,i是终端成员u_l,i注册所需的签名，PK_CA为认证中心CA的公钥，SK_CA为认证中心CA的私钥。

其中，等式

的验证方法为：

(4)各个终端成员收到认证中心CA发送的消息后，终端成员计算出属性权值以及认证所需的中间参数，然后各终端成员验证认证中心CA的身份以及属性权值的正确性，如果验证通过，各终端成员获得与属性相对应的属性权值，各终端成员身份认证成功：终端成员u_l,i接收到认证中心CA发送的信息{PK_CA,δ_l,i,(χ_l,i,1,χ_l,i,2,...χ_l,i,r)}后，终端成员u_l,i计算属性权值T_l,i,1＝λ_l,i ^-1χ_l,i,1＝ι_l,i,1g₁,T_l,i,2＝λ_l,i ^-1χ_l,i,2＝ι_l,i,2g₁,...,T_l,i,r＝λ_l,i ^-1χ_l,i,r＝ι_l,i,rg₁和中间变量μ_l,i＝H₂(T_l,i,1||T_l,i,2...||T_l,i,r)；然后终端成员u_l,i通过验证等式e(δ_l,i,g₁)＝e(μ_l,ig₁,PK_CA)是否成立验证认证中心CA的身份和属性a_l,i,v对应的属性权值T_l,i,v的正确性，如果等式成立，终端成员u_l,i获得与其每一个属性a_l,i,v相对应的属性权值T_l,i,v，终端成员u_i注册成功。如果等式不成立，终端成员u_l,i注册失败；其中，T_l,i,1,T_l,i,2,...,T_l,i,r表示终端成员的属性权值，μ_l,i表示验证认证中心CA身份所需的中间变量；e(·)是可计算的双线性映射函数；

其中，等式e(δ_l,i,g₁)＝e(μ_l,ig₁,PK_CA)的验证方法为：

步骤三：群组密钥协商：

群组内的终端成员利用获得的属性权值计算加密密钥和解密密钥。过程如下：

(1)群组加密密钥的计算，每个参与密钥协商的终端成员通过计算中间参数进而计算出群组的加密密钥：参与群组密钥协商的终端成员u_2,i根据属性权值{T_2,i,1,T_2,i,2,...,T_2,i,ν,...,T_2,i,r}计算中间变量ρ_2,i,1＝T_2,i,1g₁并且每个终端成员u_2,i使用属性权值{T_2,i,1,T_2,i,2,...,T_2,i,r}计算中间变量

然后计算加密密钥

其中，g₁为加法群G₁的生成元，

表示终端成员u_2,i的私钥。在这里可以任取一个1-r的数字作为随意假定的群组，这里选择终端成员u_2,i。

(2)群组解密密钥计算：各终端成员u_2,i从认证中心CA中获取用于加/解密所需的网络属性集中的属性所对应的网络属性参数(p₁,p₂,...,p_r)和其它相关参数计算出群组解密密钥

计算如下：终端成员u_2,i计算

求解可得到一个唯一的解

群组的解密密钥为

其中，v＝1,2,3,...,r，

x_2,i和π_2,i表示计算解密密钥所需的中间变量，mod是取余运算。

参加协商的其他群组S_l可以采用上述方法计算出他们各自群组的群组公/私钥对：

(l＝1,...,L,i≠j,j＝1,…,n)。

(3)参与群组密钥协商的所有终端成员计算解密密钥之后，任意终端成员u_2,i计算中间变量

和

然后终端成员u_2,i将消息

广播给群组内的所有终端成员；其中，π_2,i为验证密钥一致性所需的中间变量，μ'_2,i表示验证终端成员u_2,i身份所需要的中间变量，H₂(·)是哈希散列函数。

(4)群组内的其它终端成员收到终端成员u_2,i发送的消息

后，群组内任意其它终端成员u_2,k(k≠i)计算中间变量

并且通过验证等式

是否成立验证终端成员u_2,i的身份，如果验证通过其余的终端成员u_2,k(k≠i)计算中间变量

并且通过验证π_2,k＝π_2,i是否成立验证解密密钥

的正确性，如果验证通过，则说明群组内所有终端成员的解密密钥是正确的，如果验证不通过，则重新协商密钥并广播错误报告。其中，e(·)是可计算的双线性映射函数，

表示验证终端成员u_2,i身份所需要的中间变量，π_2,k表示验证密钥正确性所需要的中间变量，H₂(·)是哈希散列函数，mod是取余运算。

等式

的验证方法为：

步骤四：参与不同层次的群组密钥协商，其方法为：

(a)参与高层次的群组密钥协商：

具有特定属性集的低层次的终端成员可以通过身份验证向认证中心CA申请替换属性权值，从而参与高层次的群组密钥协商。假设L₂层的终端成员u_2,j想要参与L₁层群组密钥协商，L₁层的终端成员的集合为U₁＝{u_1,1,u_1,2,…,u_1,n}，对应的属性集合为

属性序列号为

具体步骤如下：

(1)当处于低层次即L₂层群组并且带有属性序列号

的终端成员u_2,j想要参与更高层级的L₁层群组的群组密钥协商，终端成员u_2,j首先从认证中心CA获得L₁层群组的属性序列号

然后终端成员u_2,j将新获得的属性序列号与原有的属性序列号取交集，假设交集是

终端成员u_2,j的属性序列号与L₁层群组的属性序列号不相交的是集合AS₁＝{S_ν,S_2,ν,S_2,ν+1,S_2,ν+2}，然后终端成员u_2,j获得属性权限参数{χ_2,j,ν,χ_2,j,ν+1,χ_2,j,ν+2}并且计算属性权值

和中间变量

然后将消息

发送给认证中心CA。其中，

表示L₁层群组的属性序列号集，χ_2,j,ν为终端成员u_2,j的第v个属性权限参数，

表示终端成员u_2,j的私钥，H₂(·)是哈希散列函数。

(2)认证中心CA收到终端成员u_2,j发送的消息

后，认证中心CA计算中间变量

并且通过验证等式

是否成立验证终端成员u_2,j的身份，如果验证通过，认证中心CA计算中间变量χ'_1,i,v＝ι_1,i,vβ_2,j,v(ι_1,i,vβ_2,j,v＝ι_1,i,vβ_2,j,v+1＝ι_1,i,vβ_2,j,v+2)并且发送消息{χ'_1,i,v,χ_2,j,ν,χ_2,j,ν+1,χ_2,j,ν+2,PK_CA}给终端成员u_2,j，其中，

表示验证终端成员u_2,j身份所需要的中间变量，PK_CA表示认证中心CA的公钥；。

(3)终端成员u_2,j接收到认证中心CA发送的消息{χ'_1,i,v,χ_2,j,ν,χ_2,j,ν+1,χ_2,j,ν+2,PK_CA}后，终端成员u_2,j通过验证等式e(δ_2,j,g₁)＝e(μ_2,jg₁,PK_CA)是否相等验证认证中心CA的身份，如果验证通过，终端成员u_2,j用中间变量χ'_1,i,v替代{χ_2,j,ν,χ_2,j,ν+1,χ_2,j,ν+2}并且计算属性权值

终端成员u_2,j获得新的属性权值集合为{T_2,j,1,...T_2,j,v-1,T_2,j,v+3,...T_2,j,r,T₁'_,i,v}，L₂层群组的终端成员u_2,j的属性序列号与L₁层群组的终端成员u_1,i属性序列号的交集是

因此属性权值{T_2,j,1,...T_2,j,v-1,T_2,j,v+3,...T_2,j,r}与{T_1,i,1,...T_1,i,v-1,T_1,i,v+1,...,T_1,i,r}相等，也就是说T'_1,i,v等于T_1,i,v，然后按照步骤三进行群组L₁的密钥协商。

其中，等式

的验证方法为：

其中，等式e(δ_2,j,g₁)＝e(μ_2,jg₁,PK_CA)的验证方法为：

(b)参与低层次的群组密钥协商：

处于高层次群组的终端成员也能够参与低层次群组密钥协商，假设L₁层群组的终端成员u_1,i想要参与L₂层群组的密钥协商，L₂层群组的终端成员集合为U₂＝{u_2,1,u_2,2,…,u_2,n}，对应的属性集合为

属性序列号为

具体过程如下：

(1)当处于高层级L₁层群组并且带有属性序列号

的终端成员u_1,i想要参与更低层级L₂层群组的群组密钥协商，终端成员u_1,i首先从认证中心CA获得L₂层群组的属性序列号

然后终端成员u_1,i将新获得的属性序列号与原有的属性序列号取交集，假设交集是

终端实体u_1,i的属性序列号与L₂层群组属性序列号不相交的是AS₂＝{S_2,ν,S_2,ν+1,S_2,ν+2}，然后终端成员u_1,i计算

然后将消息

发送给认证中心CA；其中，

表示L₂层群组的属性序列号，AS₀表示L₁层群组的属性序列号与L₂层的群组属性序列号的交集，

表示终端成员u_1,i的私钥，H₂(·)是哈希散列函数。

(2)认证中心CA收到终端成员u_1,i发送的消息

后，计算中间变量

并且通过验证等式

是否成立验证终端成员u_1,i的身份和属性，如果相等，认证中心CA计算中间变量χ'_2,j,v＝ι_2,j,vβ_1,i,v,χ'_2,j,v+1＝ι_2,j,v+1β_1,i,v,χ'_2,j,v+2＝ι_2,j,v+2β_1,i,v并发送新的属性权限参数{χ_1,i,ν,χ'_2,j,v,χ'_2,j,v+1,χ'_2,j,v+2,PK_CA}给终端成员u_1,i；其中，

表示验证终端成员u_1,i身份所需的中间变量，χ_2,j,ν为终端成员u_2,j的第v个属性权限参数，H₂(·)是哈希散列函数。

(3)终端成员u_1,i收到认证中心CA发送的消息后，首先通过验证等式e(δ_1,i,g₁)＝e(μ_1,ig₁,PK_CA)是否成立验证认证中心CA的身份，如果验证通过，终端成员u_1,i用属性权限参数集合{χ'_2,j,v,χ'_2,j,v+1,χ'_2,j,v+2}替换χ_1,i,ν并且计算新的属性权值

终端成员u_1,i获得新的属性权值集合{T_1,i,1,...T_1,i,v-1,T_1,i,v+1,...T_1,i,r,T'_2,j,v,T'_2,j,v+1,T'_2,j,v+2}，L₂层群组的终端成员u_2,j的属性序列号与L₁层群组的终端成员u_1,i属性序列号的交集是

因此属性权值集合{T_2,j,1,...T_2,j,v-1,T_2,j,v+3,...T_2,j,r}与{T_1,i,1,...T_1,i,v-1,T_1,i,v+1,...,T_1,i,r}相等，也就是说属性权值T'_1,i,v等于T_1,i,v，然后按照步骤三进行L₁层群组的密钥协商。

其中，等式

的验证方法为：

其中，等式e(δ_1,i,g₁)＝e(μ_1,ig₁,PK_CA)的验证方法为：

实施例2

一种基于隐私保护的分层动态群组密钥协商方法，如图1所示，为了说明本发明的内容及实施方法，给出了一个具体实施例。本实施方式中，为方便实例阐述，设置3层群组进行群组密钥协商，每组有10个成员，这10个成员的实体集合表示为S＝{S₁,S₂,…,S₁₀},S₁＝{u_1,1,u_1,2,…,u_1,10},S₂＝{u_2,1,u_2,2,…,u_2,10}，S₃＝{u_3,1,u_3,2,…,u_3,10}，终端成员的实体集合表示为

对应的群组成员的身份集合表示为

认证中心CA定义所有终端成员的属性集合为ATTR＝{A₁,A₂,A₃}，群组成员对应的有序属性集为

在本实施例中引入细节的目的不是限制权利要求书的范围，而是帮助理解本发明的具体实施方法。本领域的技术人员应理解：在不脱离本发明及其所附权利要求的精神和范围内，对最佳实施例步骤的各种修改、变化或替换都是可能的。因此，本发明不应局限于最佳实施例及附图所公开的内容。

步骤一：群组密钥协商网络初始化协议参数：生成认证中心CA和各终端成员的公/私钥对。

假设参加密钥协商的L组10个成员的实体集合表示为S＝{S₁,S₂,…,S_L},S₁＝{u_1,1,u_1,2,...,u_1,10},S₂＝{u_2,1,u_2,2,...,u_2,10}，…，S_L＝{u_L,1,u_L,2,...,u_L,10}，具有相同属性的10个终端成员组成一个群组密钥协商小组进行群组通信，对应的群组成员的身份集合表示为

参与密钥协商的实体的L组10个成员的网络属性序列为ATTR＝A₁|A₂|A₃，对应的网络属性集为Attr＝{A₁,A₂,A₃}，每个群组密钥协商小组的10个群组成员具有相同的属性集，其对应的属性排列顺序为

群组成员对应的有序属性集为

其中，属性

表示群组U₁中终端成员对应的属性集合，a_1,r表示群组U₁中终端成员的第r个属性。

群组密钥协商网络域内的认证中心CA和网络中各终端成员生成各自的公/私钥对的方法为：

域内的认证中心CA运行密钥生成算法KeyGen(1^λ)获取公私钥对(SK_CA,PK_CA)，其中，认证中心CA随机选择一个正整数

作为系统私钥，并计算公钥PK_CA＝SK_CAg₁，认证中心CA将(SK_CA,PK_CA)作为系统的公/私钥对。域内的每个终端成员u_l,i∈U(1≤l≤3,1≤i≤10)选择一个随机正整数

计算

是终端成员u_l,i的私钥；计算终端成员u_l,i的公钥

系统参数为params＝(PK_CA,q,G₁,G₂,g₁,e,H₁,H₂)；其中，g₁为加法群G₁的生成元，

表示阶为q的整数集，q为加法群G₁的素数阶，KeyGen()表示密钥生成算法，λ表示密钥计算所需的中间变量；1≤i≤10，10为域内终端成员的个数，

为终端成员u_l,i的私钥，

为终端成员u_l,i的公钥，

为终端成员u_l,i的身份标识，

是两个哈希散列函数，{0,1}^*表示由二进制0和1组成的任意长度的数字串集合。

步骤二：隐藏属性身份认证。

(1)认证中心CA为域内每一个终端成员随机选择一系列与属性{A₁,A₂,A₃}对应的正整数{p₁,p₂,p₃}，然后认证中心CA将信息{(A₁,S₁,p₁),(A₂,S₂,p₂),(A₃,S₃,p₃)}在域内广播；其中，gcd(p_i,p_j)＝1(i,j＝1,2,...R,i≠j)，A_v(1≤v≤3)为网络属性，p_v为网络属性A_v对应的网络属性参数，N^*表示正整数，S_v为网络属性A_v对应的属性序列号。

(2)带有有序网络属性集attr_2,i＝{a_2,i,1,a_2,i,2,a_2,i,3}的每一个终端成员u_2,i(1≤i≤10)随机选择两个正整数

u_2,i计算中间变量ο_2,i＝λ_2,ig₁,θ_2,i,1＝γ_2,iH₁(a_2,i,1)+ο_2,i,θ_2,i,2＝γ_2,iH₁(a_2,i,2)+ο_2,i,...,θ_2,i,3＝γ_2,iH₁(a_2,i,3)+ο_2,i、

和h_2,i,v＝H₁(θ_2,i,v)(1≤v≤3)，然后终端成员u_2,i将消息{(θ_2,i,1,h_2,i,1,S₁),(θ_2,i,2,h_2,i,2,S₂),(θ_2,i,3,h_2,i,3,S₃),η_2,i}发送给认证中心CA；其中，ο_2,i＜H₁(a_2,i,v)(1≤v≤3)，θ_2,i,1,θ_2,i,2,θ_2,i,3、η_2,i和ο_2,i表示终端成员u_2,i注册所需的中间变量，属性集

属性a_2,i,r-1＜a_2,i,r，r为终端成员u_2,i的属性的个数，a_2,i,k为终端成员u_2,i的第k个属性，

表示终端成员u_2,i的私钥；H₁(·)是哈希散列函数，||是连接符号。

(3)认证中心CA接收终端成员u_2,i发送的消息{(θ_2,i,1,h_2,i,1,N₁),(θ_2,i,2,h_2,i,2,N₂),(θ_2,i,3,h_2,i,3,N₃),η_2,i}后，认证中心CA从网络属性集{A₁,A₂,A₃}中选择与属性序列号{S₁,S₂,S₃}相对应的网络属性{A₁,A₂,A₃}，然后认证中心CA通过验证等式

和

是否相等验证终端成员u_2,i的属性，如果所有的等式相等并且β_2,i,1＝β_2,i,2＝β_2,i,3，则证明参数θ_2,i,v(1≤v≤3)来自终端成员u_2,i并且其未被篡改，然后认证中心CA通过计算等式

是否相等验证u_2,i的属性和身份，如果验证通过，认证中心CA选择一系列与属性集attr_2,i＝{a_2,i,1,a_2,i,2,a_2,i,3}对应的数

并且计算属性相关参数χ_2,i,ν＝ι_2,i,νβ_2,i,ν和中间变量δ_2,i＝SK_CA(H₂(ι_2,i,1g₁||ι_2,i,2g₁||ι_2,i,3g₁))g₁，最后认证中心CA将消息{PK_CA,δ_2,i,(χ_2,i,1,χ_2,i,2,χ_2,i,3)}发送给注册的终端成员u_2,i；其中，a_2,i,v和a_2,j,v分别用户u_2,i和u_2,j(i≠j)的属性并且ι_2,i,v＝ι_2,j,v，χ_2,i,v为终端成员u_2,i的第v个属性的中间参数，1≤v≤3，δ_l,i是终端成员u_2,i注册所需的中间参数，PK_CA为认证中心CA的公钥，SK_CA为认证中心CA的私钥。

其中，等式

的验证方法为：

(4)终端成员u_2,i接收到认证中心CA发送的信息{PK_CA,δ_2,i,(χ_2,i,1,χ_2,i,2,χ_2,i,3)}后，终端成员u_2,i计算属性权值T_2,i,1＝λ_2,i ^-1χ_2,i,1＝ι_2,i,1g₁,T_2,i,2＝λ_2,i ^-1χ_2,i,2＝ι_{2,i, 2}g₁,...,T_2,i,3＝λ_2,i ^-1χ_2,i,3＝ι_2,i,3g₁和中间变量μ_2,i＝H₂(T_2,i,1||T_2,i,2||T_2,i,3)；然后终端成员u_2,i通过验证等式e(δ_2,i,g₁)＝e(μ_2,ig₁,PK_CA)是否成立验证认证中心CA的身份和属性a_2,i,v(1≤v≤3)对应的属性权值T_2,i,v的正确性，如果等式成立，终端成员u_2,i获得与其每一个属性a_2,i,v(1≤v≤3)相对应的属性权值T_2,i,v，终端成员u_2,i注册成功；如果等式不成立，终端成员u_2,i注册失败。其中，T_2,i,1,T_2,i,2,T_2,i,3表示终端成员的属性权值，μ_2,i表示验证认证中心CA身份所需的中间变量；e(·)是可计算的双线性映射函数。

其中，等式e(δ_2,i,g₁)＝e(μ_2,ig₁,PK_CA)的证明方法为：

步骤三：群组密钥协商：

群组内的终端成员利用获得的属性权值计算加密密钥和解密密钥，过程如下：

(1)群组加密密钥计算：参与群组密钥协商的终端成员u_2,i根据属性权值{T_2,i,1,T_2,i,2,T_2,i,3}计算中间变量ρ_2,i,1＝T_2,i,1g₁并且每个终端成员u_2,i使用属性权值{T_2,i,1,T_2,i,2,T_2,i,3}计算中间变量

然后通过公式

计算得到加密密钥，其中，g₁为加法群G₁的生成元，

表示终端成员的私钥。

(2)群组解密密钥计算，各终端成员u_2,i从认证中心CA中获取用于加/解密所需的网络属性集中的属性所对应的网络属性参数(p₁,p₂,p₃)和其它相关参数计算出群组解密密钥

计算如下：终端成员u_2,i计算

求解可得到一个唯一的解

然后计算π_2,i＝T_2,i,1x_2,i，群组解密密钥为

其中，v＝1,2,3，

，x_2,i和π_2,i表示计算解密密钥所需的中间变量，mod是取余运算。

参加协商的其他群组S_l可以采用上述方法计算出他们各自群组的群组公/私钥对：

(i≠j,j＝1,…,10)。

在完成计算之后对密钥的正确性进行验证，如果验证通过则协商完成，如果验证未通过则广播错误信息，重新协商密钥，过程如下：

(3)参与群组密钥协商的所有终端成员计算解密密钥之后，任意终端成员u_2,i计算中间变量

和

然后终端成员u_2,i将消息{π_2,i,μ'_2,i,pk_u2,i}广播给群组内的所有终端成员；其中，π_2,i为验证密钥一致性所需的中间变量，μ'_2,i表示验证终端成员u_2,i身份所需要的中间变量，H₂(·)是哈希散列函数。

(4)群组内的其它终端成员收到终端成员u_2,i发送的消息

后，群组内任意其它终端成员u_2,k(k≠i)计算中间变量

并且通过验证等式

是否成立验证终端成员u_2,i的身份，如果验证通过其余的终端成员u_2,k(k≠i)计算

并且通过验证π_2,k＝？π_2,i是否成立验证解密密钥

的正确性，如果验证通过，则说明群组内所有终端成员的解密密钥是正确的，如果验证不通过，则重新协商密钥并广播错误报告。其中，e(·)是可计算的双线性映射函数，

表示验证终端成员u_2,i身份所需要的中间变量，π_2,k表示验证密钥正确性所需要的中间变量，H₂(·)是哈希散列函数，mod是取余运算。

其中，等式

的证明方法为：

步骤四：参与高层或低层群组密钥协商的方法为：

具有特定属性集的低层终端实体可以通过身份验证向认证中心CA申请替换属性权值，从而参与高层群组密钥协商。假设L₂层群组的终端成员u_2,j想要参与L₁层群组的密钥协商，L₁层群组的终端成员的集合为U₁＝{u_1,1,u_1,2,…,u_1,10}，对应的属性集合为

属性序列号为

具体步骤如下：

(1)当处于低层级L₂层群组并且带有属性序列号

的终端成员u_2,j想要参与更高层级L₁层群组的群组密钥协商，终端成员u_2,j首先从认证中心CA获得L₁层群组的属性序列号

r∈{1,2,3}，然后终端成员u_2,j将新获得的属性序列号与原有的属性序列号取交集，假设交集是

终端成员u_2,j的属性序列号与更高层L₁层群组的属性序列号不相交的是AS₁＝{S_ν}，然后终端成员u_2,j获得属性权限参数{χ_2,j,ν}并且计算属性权值

和中间变量

然后将

发送给认证中心CA。其中，

表示L₁层群组的属性序列号，χ_2,j,ν为终端成员u_2,j的第v个属性权限参数，

表示终端成员u_2,j的私钥，H₂(·)是哈希散列函数。

(2)认证中心CA收到终端成员u_2,j发送的消息{S_ν,μ'_2,j,pk_u2,j}后，认证中心CA计算中间变量

并且通过验证等式

是否成立验证终端成员u_2,j的身份，如果验证通过，认证中心CA计算χ'_1,i,v＝ι_1,i,vβ_2,j,v(ι_1,i,vβ_2,j,v＝ι_1,i,vβ_2,j,v+1＝ι_1,i,vβ_2,j,v+2)并且发送消息{χ'_1,i,v,χ_2,j,ν,PK_CA}给终端成员u_2,j，其中，

表示验证终端成员u_2,j身份所需要的中间变量，PK_CA表示认证中心CA的公钥。

其中等式

的验证方法为：

(3)终端成员u_2,j接收到认证中心CA发送的消息{χ'_1,i,v,χ_2,j,ν,PK_CA}后，终端成员u_2,j通过验证等式e(δ_2,j,g₁)＝e(μ_2,jg₁,PK_CA)是否相等验证认证中心CA的身份，如果验证通过，终端成员u_2,j用χ'_1,i,v替代χ_2,j,ν并且计算属性权值

u_2,j获得了新的属性权值集合为{T_2,j,1,T'_1,i,v}，L₂层群组的终端成员u_2,j的属性序列号与L₁层群组的终端成员u_1,i属性序列号的交集是

因此属性权值{T_2,j,1,...,T_2,j,v+1}与{T_1,i,1,...,T_1,i,v+1}相等，也就是说T'_1,i,v等于T_1,i,v，然后按照步骤三进行群组L₁的密钥协商。

其中，等式e(δ_2,j,g₁)＝e(μ_2,jg₁,PK_CA)的验证方法为：

处于高层级群组的终端成员也能够参与低层群组密钥协商，假设L₁层群组的终端成员u_1,i想要参与L₂层群组的密钥协商，L₂层群组的终端成员集合为U₂＝{u_2,1,u_2,2,…,u_2,10}，对应的属性集合为

属性序列号为

具体过程如下：

(1)当处于高层级L₁层群组并且带有属性序列号

的终端成员u_1,i想要参与更低层级L₂层群组的群组密钥协商，终端成员u_1,i首先从认证中心CA获得L₂层群组的属性序列号

r∈{1,2,3}，然后终端成员u_1,i将新获得的属性序列号与原有的属性序列号取交集，假设交集是

终端成员u_1,i的属性序列号与更低层L₂层群组属性序列号不相交的是AS₂＝{S_2,ν}，然后终端成员u_1,i计算

然后将消息

发送给认证中心CA；其中，

表示L₂层群组的属性序列号，AS₀表示L₁层群组属性序列号与L₂层群组属性序列号的交集，

表示终端成员u_1,i的私钥，H₂(·)是哈希散列函数。

(2)认证中心CA收到终端成员u_1,i发送的消息

后，计算中间变量

并且通过验证等式

是否成立验证终端成员u_1,i的身份和属性，如果相等，认证中心CA计算χ'_2,j,v＝ι_2,j,vβ_1,i,v并发送新的属性权限参数{χ_1,i,ν,χ'_2,j,v,PK_CA}给终端成员u_1,i；其中，

表示验证终端成员u_1,i身份所需的中间变量，χ_2,j,ν为终端成员u_2,j的第v个属性权限参数，H₂(·)是哈希散列函数。

其中，等式

的验证方法为：

(3)终端成员u_1,i收到认证中心CA发送的消息后，首先通过验证等式e(δ_1,i,g₁)＝e(μ_1,ig₁,PK_CA)是否成立验证认证中心CA的身份，如果验证通过，终端成员u_1,i用属性权限参数集合{χ'_2,j,v}替换χ_1,i,ν并且计算

终端成员u_1,i获得新的属性权值集合{T_1,i,1,...T_1,i,v-1,T_1,i,v+1}，L₂层群组的终端成员u_2,j的属性序列号与L₁层群组的终端成员u_1,i属性序列号的交集是

因此属性权值{T_2,j,1,...,T_2,j,v+1}与{T_1,i,1,...,T_1,i,v+1}相等，也就是说T'_1,i,v等于T_1,i,v，然后按照步骤三进行L₁层群组的密钥协商；

其中，等式e(δ_1,i,g₁)＝e(μ_1,ig₁,PK_CA)的验证方法为：

本发明以隐藏属性认证理论为基础，以决策双线性Diffie-Hellman(DBDH)问题为安全假设前提提出，采用隐藏属性的身份认证技术在资源信息共享的身份认证过程中实现个人隐私保护，在终端成员注册的过程中，除了对终端成员进行身份认证外，每个终端成员还获得相应的属性权重。根据这些属性的权值设置阈值权限，对网络域中的终端成员进行相应的分类，拥有不同属性权值的终端成员参与不同的密钥协议组，以不同的保密性参与组通信，提高了数据通信的安全性；同时满足一定条件的低层次的终端成员可以向认证中心申请获得新的属性权值已参与高层次群组通信，高层次终端成员也可以向认证中心申请获得属性权值参与低层群组的通信，既可以保障通信数据的安全性，又可以很好地保护个人隐私，使得各领域中信息资源共享更加灵活、高效和实用，具有重要的领域研究意义和商业应用价值。

本发明对群组密钥协商网络域内的协议参数进行初始化，生成认证中心和终端成员的公/私钥对，终端成员进行隐藏属性的身份认证，利用终端成员的属性参数进行身份认证，既能够完成身份认证，又避免了隐私信息的泄露，可以很好的保护个人隐私；认证成功后，终端成员根据自己属性权值计算加密密钥和解密密钥，对密钥的一致性进行验证，为每个终端成员设置属性权值，对群组设置阈值权限，只有满足阈值权限的终端成员才可以参与通信。同时，终端成员还可以向认证中心申请变更属性以参与高层或者低层的群组密钥协商，具有很高的安全性和灵活性。本发明采用隐藏属性的身份认证技术，在身份认证的同时能够避免个人隐私信息的泄露，同时根据属性权值设置阈值权限，以不同的保密性参与群组通信，提高了数据通信的可靠性，采用身份认证和属性权值匹配的双认证机制，很大程度上提高了系统的安全性，使得群组密钥协商更加灵活、高效和实用。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (7)

1.一种基于隐私保护的分层动态群组密钥协商方法，其特征在于，其步骤为：

步骤一：群组密钥协商网络中域内协议参数的初始化：认证中心CA和各终端成员生成各自的公/私钥对；

步骤二：隐藏属性的身份认证

A)认证中心CA选择一系列两两互素的正整数并将正整数和网络属性集中的属性以及属性序列号广播给域内的所有终端成员；

B)终端成员运用各自的有序的网络属性集中的属性计算认证所需要的中间参数，并将中间参数发送给认证中心CA；

C)认证中心CA接收到各终端成员发送的消息后，为各终端成员选择属性序列号对应的属性并通过中国剩余定理验证各终端成员的身份，如果验证通过，认证中心CA计算出属性权限参数和签名，并将属性权限参数、签名和公钥发送给认证后的终端成员；

D)各个终端成员收到认证中心CA发送的消息后，终端成员计算出属性权值，然后各终端成员验证认证中心CA的身份以及属性权值的正确性，如果验证通过，各终端成员获得与属性相对应的属性权值，各终端成员身份认证成功；

步骤三：群组的密钥协商；

F)每个参与密钥协商的终端成员计算出群组的加密密钥；

G)每个终端成员从认证中心CA获取属性序列号对应的网络属性参数计算解密密钥；

H)参与群组密钥协商的所有终端成员计算得到解密密钥之后，群组中的任意一个终端成员计算验证自身身份和解密密钥所需的中间参数，然后将中间参数和自己的公钥发送给群组的其它终端成员；

I)群组中其它终端成员收到信息后，验证信息发送者的身份，如果验证通过，信息接收者计算验证解密密钥所需的中间参数并对解密密钥是否一致进行验证，如果验证通过，则群组中所有成员的解密密钥是正确的，如果不一致，信息接收者广播错误消息，同时群组中的终端成员重新计算解密密钥；

步骤四：终端成员参与不同层次群组的密钥协商：

(a)参与高层次群组的密钥协商，实现方法为：

J)处于低层次群组的终端成员参与高层次群组的密钥协商时，低层次群组的终端成员从认证中心CA获得高层次群组的属性序列号，然后与自己的属性序列号相交获得不相交的属性序列后，低层次群组的终端成员计算属性权限参数、属性权值、不相交的属性序列、中间变量以及公钥发送给认证中心CA；

K)认证中心CA收到消息后，计算验证终端成员身份所需的中间参数并验证终端成员的身份和属性，如果验证通过，认证中心CA计算新的属性权限参数并将新的属性权限参数和公钥发送给终端成员；

L)终端成员收到来自认证中心CA的消息后，首先验证认证中心CA的身份，如果验证通过，则用新的属性权限参数替换原来的属性权限参数并计算新的属性权值，然后按照步骤三参与群组的密钥协商；

(b)参与低层次群组的密钥协商，实现方法为：

M)当处于高层次群组的终端成员参与低层次群组的密钥协商时，高层次群组的终端成员从认证中心CA获得低层次群组的属性序列号，然后终端成员与自己原有的属性序列号取交集得到不参与低层次群组的密钥协商的属性序列，然后计算验证自己身份所需的中间参数并将不参与较低层次群组的密钥协商的属性序列、中间参数以及公钥发送给认证中心CA；

N)认证中心CA收到终端成员发送的消息后，计算验证终端成员身份所需的中间参数并验证终端成员的身份和属性，如果验证通过，认证中心CA计算属性权限参数，然后认证中心CA将属性权限参数和公钥发送给终端成员；

O)终端成员收到消息后验证认证中心CA的身份，如果验证通过，终端成员用新的属性权限参数替换原有的属性权限参数并计算属性权值，然后按照步骤三参与群组的密钥协商。

2.根据权利要求1所述的基于隐私保护的分层动态群组密钥协商方法，其特征在于，所述步骤一中认证中心CA和各终端成员生成各自的公/私钥对的方法为：

(1)认证中心CA随机选择一个正整数

作为私钥，并计算公钥PK_CA＝SK_CAg₁，认证中心CA将(SK_CA,PK_CA)作为系统的公/私钥对；

(2)域内的每个终端成员u_l,i选择一个随机正整数

计算终端成员u_l,i的私钥

和终端成员u_l,i的公钥；

其中，g₁为加法群G₁的生成元，

表示阶为q的整数集，q为加法群G₁的素数阶，1≤l≤L，1≤i≤n，n为域内终端成员的个数，L为群组密钥协商中群组的个数，

为终端成员u_l,i的身份标识，

是哈希散列函数。

3.根据权利要求1或2所述的基于隐私保护的分层动态群组密钥协商方法，其特征在于，所述步骤二中隐藏属性的身份认证的实现方法为：

A)认证中心CA为域内每一个终端成员随机选择一系列与属性属性集Attr＝{A₁,A₂,...,A_ν1,...,A_R}对应的正整数{p₁,p₂,...,p_v1,...,p_R}，认证中心CA将信息{(A₁,S₁,p₁),(A₂,S₂,p₂),...,(A_R,S_R,p_R)}在域内广播；其中，任意两个正整数p_i,p_j互素，A_v1为网络属性集中的第v1个网络属性，1≤v1≤R，p_v1为网络属性A_v1对应的网络属性参数，R∈N^*表示网络属性的数量，N^*表示正整数，S_v1为网络属性A_v1对应的属性序列号；

B)带有有序的网络属性集attr_l,i＝{a_l,i,1,a_l,i,2,...,a_l,i,r}的每一个终端成员u_l,i随机选择两个正整数

终端成员u_l,i计算中间变量ο_l,i＝λ_l,ig₁,θ_l,i,1＝γ_l,iH₁(a_l,i,1)+ο_l,i,θ_l,i,2＝γ_l,iH₁(a_l,i,2)+ο_l,i,...,θ_l,i,r＝γ_l,iH₁(a_l,i,r)+ο_l,i、

和h_l,i,v＝H₁(θ_l,i,v)，然后终端成员u_l,i将消息{(θ_l,i,1,h_l,i,1,S₁),(θ_l,i,2,h_l,i,2,S₂),...,(θ_l,i,r,h_l,i,r,S_r),η_l,i}发送给认证中心CA；其中，正整数γ_l,i,λ_l,i≠1，中间变量ο_l,i＜H₁(a_l,i,v)，1≤v≤r，θ_l,i,1,θ_l,i,2,...,θ_l,i,r、η_l,i、h_l,i,v和ο_l,i表示终端成员u_l,i注册所需的中间变量，g₁为加法群G₁的生成元，属性集

r∈N^*且属性a_l,i,r-1＜a_l,i,r，r≤R为终端成员u_l,i的属性的个数，a_l,i,v为终端成员u_l,i的第v个属性，

表示终端成员u_l,i的私钥；H₁(·)是哈希散列函数，||是连接符号；1≤l≤L，1≤i≤n，n为域内终端成员的个数，L为群组密钥协商中群组的个数；

C)认证中心CA接收终端成员u_l,i发送的消息{(θ_l,i,1,h_l,i,1,S₁),(θ_l,i,2,h_l,i,2,S₂),...,(θ_l,i,r,h_l,i,r,S_r),η_l,i}后，认证中心CA从网络属性集{A₁,A₂,...,A_R}中选择与属性序列号{S₁,S₂,...,S_r}相对应的网络属性{A₁,A₂,...,A_r}，然后认证中心CA通过验证等式

和

β_l,i,1＝β_l,i,2＝...＝β_l,i,r是否成立验证终端成员u_l,i的属性，如果所有的等式相等，则证明中间变量θ_l,i,v来自终端成员u_l,i并且其未被篡改；然后认证中心CA通过验证等式

是否相等验证u_l,i的属性和身份，如果验证通过，认证中心CA选择一系列与属性集attr_l,i＝{a_l,i,1,a_l,i,2,...,a_l,i,r}对应的随机数

并且计算属性权限参数χ_l,i,ν＝ι_l,i,νβ_l,i,ν和签名δ_l,i＝SK_CA(H₂(ι_l,i,1g₁||ι_l,i,2g₁||...||ι_l,i,rg₁))g₁；最后，认证中心CA将消息{PK_CA,δ_l,i,(χ_l,i,1,χ_l,i,2,...χ_l,i,r)}发送给注册的终端成员u_l,i；其中，a_l,i,v为终端成员u_l,i的属性，χ_l,i,v为终端成员u_l,i的第v个属性的属性权限参数，1≤v≤r，δ_l,i是终端成员u_l,i注册所需的签名，PK_CA为认证中心CA的公钥，SK_CA为认证中心CA的私钥，mod为取余函数，e(·)是可计算的双线性映射函数，

为终端成员u_l,i的公钥，β_l,i,ν为验证终端成员u_l,i的属性所需的中间变量，H₂(·)是哈希散列函数；

D)终端成员u_l,i接收认证中心CA发送的信息{PK_CA,δ_l,i,(χ_l,i,1,χ_l,i,2,...χ_l,i,r)}后，终端成员u_l,i计算属性权值T_l,i,1＝λ_l,i ^-1χ_l,i,1＝ι_l,i,1g₁,T_l,i,2＝λ_l,i ^-1χ_l,i,2＝ι_l,i,2g₁,...,T_l,i,r＝λ_l,i ^-1χ_l,i,r＝ι_l,i,rg₁和中间变量μ_l,i＝H₂(T_l,i,1||T_l,i,2...||T_l,i,r)；然后终端成员u_l,i通过验证等式e(δ_l,i,g₁)＝e(μ_l,ig₁,PK_CA)是否成立验证认证中心CA的身份和属性a_l,i,v对应的属性权值T_l,i,v的正确性，如果等式成立，终端成员u_l,i获得与每一个属性a_l,i,v相对应的属性权值T_l,i,v，终端成员u_l,i注册成功；如果等式不成立，终端成员u_l,i注册失败；其中，T_l,i,1,T_l,i,2,...,T_l,i,r表示终端成员u_l,i的属性权值，μ_l,i表示验证认证中心CA身份所需的中间变量。

4.根据权利要求3所述的基于隐私保护的分层动态群组密钥协商方法，其特征在于，所述步骤三中群组的密钥协商的方法为：(1)参与群组密钥协商的终端成员u_2,i根据属性权值{T_2,i,1,T_2,i,2,...,T_2,i,ν,...,T_2,i,r}计算中间变量ρ_2,i,1＝T_2,i,1g₁并且终端成员u_2,i使用属性权值{T_2,i,1,T_2,i,2,...,T_2,i,r}计算中间变量

计算加密密钥

其中，g₁为加法群G₁的生成元，

表示终端成员u_2,i的私钥；

(2)各终端成员u_2,i从认证中心CA中获取用于加/解密所需的网络属性集中的属性所对应的网络属性参数(p₁,p₂,...,p_r)计算出群组解密密钥

计算如下：终端成员u_2,i通过中国剩余定理计算

求解可得到一个唯一的解

则群组的解密密钥

其中，v＝1,2,3,...,r，

x_2,i表示计算解密密钥所需的中间变量，mod是取余运算；

(3)参与群组密钥协商的所有终端成员计算解密密钥之后，任意终端成员u_2,i计算中间变量

和

然后终端成员u_2,i将消息

广播给群组内的所有终端成员；其中，π_2,i为验证密钥一致性所需的中间变量，μ'_2,i表示验证终端成员u_2,i身份所需要的中间变量；

(4)群组内的其它终端成员收到终端成员u_2,i发送的消息

后，群组内任意其它终端成员u_2,k计算中间变量

并且通过验证等式

是否成立验证终端成员u_2,i的身份，如果验证通过，终端成员u_2,k计算中间变量

并且通过验证π_2,k＝π_2,i是否成立验证解密密钥

的正确性，如果验证通过，则说明群组内所有终端成员的解密密钥是正确的，如果验证不通过，则重新协商密钥并广播错误报告；其中，k≠i，

表示验证终端成员u_2,i身份所需要的中间变量，π_2,k表示验证密钥正确性所需要的中间变量。

5.根据权利要求4所述的基于隐私保护的分层动态群组密钥协商方法，其特征在于，所述步骤四中参与高层次群组的密钥协商的实现方法为：

J)当处于L₂层群组且带有属性序列号

的终端成员u_2,j想要参与L₁层群组的群组密钥协商，终端成员u_2,j从认证中心CA获得L₁层群组的属性序列号φ_L1＝{S₁,S₂,...,S_ν,S_ν+1,...,S_r}，然后终端成员u_2,j将新获得的属性序列号与原有的属性序列号取交集，交集

终端成员u_2,j的属性序列号与L₁层群组的属性序列号不相交的集合AS₁＝{S_ν,S_2,ν,S_2,ν+1,S_2,ν+2}，然后终端成员u_2,j获得属性权限参数{χ_2,j,ν,χ_2,j,ν+1,χ_2,j,ν+2}并且计算属性权值

和中间变量

然后将消息

发送给认证中心CA；其中，L₂层群组为低于L₁层群组的层次，

表示L₁层群组的属性序列号集，χ_2,j,ν为终端成员u_2,j的第v个属性权限参数，

表示终端成员u_2,j的私钥，H₂(·)是哈希散列函数；

K)认证中心CA收到终端成员u_2,j发送的消息

后，认证中心CA计算中间变量

且通过验证等式

是否成立验证终端成员u_2,j的身份，如果验证通过，认证中心CA计算中间变量χ′_1,i,v＝ι_1,i,vβ_2,j,v(ι_1,i,vβ_2,j,v＝ι_1,i,vβ_2,j,v+1＝ι_1,i,vβ_2,j,v+2)并且发送消息{χ′_1,i,v,χ_2,j,ν,χ_2,j,ν+1,χ_2,j,ν+2,PK_CA}给终端成员u_2,j；其中，

表示验证终端成员u_2,j身份所需要的中间变量，PK_CA表示认证中心CA的公钥；

L)终端成员u_2,j接收到认证中心CA发送的消息{χ′_1,i,v,χ_2,j,ν,χ_2,j,ν+1,χ_2,j,ν+2,PK_CA}后，终端成员u_2,j通过验证等式e(δ_2,j,g₁)＝e(μ_2,jg₁,PK_CA)是否成立验证认证中心CA的身份，如果验证通过，终端成员u_2,j用中间变量χ′_1,i,v替代{χ_2,j,ν,χ_2,j,ν+1,χ_2,j,ν+2}并且计算属性权值

终端成员u_2,j获得新的属性权值集合{T_2,j,1,...T_2,j,v-1,T_2,j,v+3,...T_2,j,r,T₁'_,i,v}，L₂层群组的终端成员u_2,j的属性序列号与L₁层群组的终端成员u_1,i属性序列号的交集

因此属性权值{T_2,j,1,...T_2,j,v-1,T_2,j,v+3,...T_2,j,r}与{T_1,i,1,...T_1,i,v-1,T_1,i,v+1,...,T_1,i,r}相等，然后按照步骤三进行群组L₁的密钥协商。

6.根据权利要求4或5所述的基于隐私保护的分层动态群组密钥协商方法，其特征在于，所述步骤四中参与低层次群组的密钥协商的实现方法为：

M)当处于高层级的L₁层群组且带有属性序列号

的终端成员u_1,i想要参与L₂层群组的群组密钥协商，终端成员u_1,i从认证中心CA获得L₂层群组的属性序列号

终端成员u_1,i将新获得的属性序列号与原有的属性序列号取交集，交集

终端成员u_1,i的属性序列号与L₂层群组属性序列号不相交的集合AS₂＝{S_2,ν,S_2,ν+1,S_2,ν+2}，然后终端成员u_1,i计算中间变量

然后将消息

发送给认证中心CA；其中，

L₂层群组为低于L₁层群组的层次，

表示L₂层群组的属性序列号，AS₀表示L₁层群组的属性序列号与L₂层的群组属性序列号的交集，

表示终端成员u_1,i的私钥，H₂(·)是哈希散列函数；

N)认证中心CA收到终端成员u_1,i发送的消息

后，计算中间变量

并且通过验证等式

是否成立验证终端成员u_1,i的身份和属性，如果相等，认证中心CA计算中间变量χ'_2,j,v＝ι_2,j,vβ_1,i,v,χ'_2,j,v+1＝ι_2,j,v+1β_1,i,v,χ'_2,j,v+2＝ι_2,j,v+2β_1,i,v并发送新的属性权限参数{χ_1,i,ν,χ'_2,j,v,χ'_2,j,v+1,χ'_2,j,v+2,PK_CA}给终端成员u_1,i；其中，

表示验证终端成员u_1,i身份所需的中间变量，χ_2,j,ν为终端成员u_2,j的第v个属性权限参数；

O)终端成员u_1,i收到认证中心CA发送的消息后，通过验证等式e(δ_1,i,g₁)＝e(μ_1,ig₁,PK_CA)是否成立验证认证中心CA的身份，如果验证通过，终端成员u_1,i用属性权限参数集合{χ'_2,j,v,χ'_2,j,v+1,χ'_2,j,v+2}替换χ_1,i,ν并且计算新的属性权值

终端成员u_1,i获得新的属性权值集合{T_1,i,1,...T_1,i,v-1,T_1,i,v+1,...T_1,i,r,T′_2,j,v,T′_2,j,v+1,T′_2,j,v+2}，L₂层群组的终端成员u_2,j的属性序列号与L₁层群组的终端成员u_1,i属性序列号的交集

属性权值集合{T_2,j,1,...T_2,j,v-1,T_2,j,v+3,...T_2,j,r}与{T_1,i,1,...T_1,i,v-1,T_1,i,v+1,...,T_1,i,r}相等，然后按照步骤三进行L₁层群组的密钥协商。

7.根据权利要求6所述的基于隐私保护的分层动态群组密钥协商方法，其特征在于，所述等式

的验证方法为：

等式e(δ_l,i,g₁)＝e(μ_l,ig₁,PK_CA)的验证方法为：

所述等式

的验证方法为：

等式

的验证方法为：

等式e(δ_2,j,g₁)＝e(μ_2,jg₁,PK_CA)的验证方法为：

所述等式

的验证方法为：

等式e(δ_1,i,g₁)＝e(μ_1,ig₁,PK_CA)的验证方法为：

Images