CN114079877B

CN114079877B - 基于分层结构对称密钥池的群组通信方法及系统

Info

Publication number: CN114079877B
Application number: CN202010809705.3A
Authority: CN
Inventors: 富尧; 钟一民; 杨羽成
Original assignee: Ruban Quantum Technology Co Ltd; Nanjing Ruban Quantum Technology Co Ltd
Current assignee: Ruban Quantum Technology Co Ltd; Nanjing Ruban Quantum Technology Co Ltd
Priority date: 2020-08-13
Filing date: 2020-08-13
Publication date: 2023-05-09
Anticipated expiration: 2040-08-13
Also published as: CN114079877A

Abstract

本发明提出一种基于分层结构对称密钥池的群组通信方法及系统，该方法将群组成员分成不同层级，管理员为最高层，下层成员的密钥池和替换密钥都是通过上层密钥池和替换密钥计算得到的，且计算所用的函数为不可逆函数。因此，即使某一层成员的密钥池被破解，也只能得到这一层及以下层的密钥池，不会影响上层成员的安全性。相对于整个群组共享密钥池的方式，本发明在安全性上有了很大提升。

Description

基于分层结构对称密钥池的群组通信方法及系统

技术领域

本发明涉及群组通信领域，尤其涉及一种基于分层结构对称密钥池的群组通信方法及系统。

背景技术

随着无线通信技术的不断发展，终端直接通信(Device to Device，D2D)已成为3GPP Rel-12标准化技术的热点之一。D2D允许两个用户设备(User Equipment，UE)通过特定的信道(Sidelink Channel)直接进行数据传输，而无需经过演进型基站设备(Evolutional Node B，eNB)。当然，D2D并不局限于两个用户设备之间的数据传输，还可以支持单点对多点的群组通信(Group Communication)。现有的网络认证体系大都是基于单个对象的一对一的认证方式，但是对于单点对多点的数据传输，会根据一定的原则形成群组。在这些应用场景下，当组内接入新的终端时，若采用现有的一对一的认证方式，不仅会增加网络信令，导致网络拥塞，且会占用大量网络资源，因此现有的一对一的网络认证体系不再适用。在这种情况下，为降低认证资源消耗，减少网络拥塞，需要相应的群组认证机制。

专利CN201710210138公开了一种群组通信方法、装置及电子设备，但是该方案中，群组通信系统使用群组密钥池，通过使用群组型对称密钥池存储的对称密钥来实现群组通信，若某一成员遭到攻击，则整个群组的保密通信都受到安全性威胁。另一方面，对密钥池进行更新往往需要颁发中心的参与，由于传输的数据量较大，对安全性有一定威胁。

基于上述分析，现有技术主要存在以下缺陷：

1.现有技术中，群组对称密钥池由于容量较大，无法存储于高度安全的安全芯片中，存在被俘获后被拆解从而被破解的可能性。群组型对称密钥池被群组内所有成员所共有，群组型对称密钥池一旦被破解，则基于群组型对称密钥池的群组通信的安全性受到威胁；

2.现有基于对称密钥池的取密钥方法为：首先选择一个密钥位置，然后从该位置取出整段密钥。在对称密钥池已经被破解的情况下，该种取密钥方式容易被预测乃至被完全破解，安全性不高；

3.现有密钥池更新的方法为一方生成密钥后给另一方发送过去，由于密钥池中的密钥量巨大，会导致密钥池更新需要大量时间；对于群组通信来说，需要将同一份密钥传递到群组的各个成员，密钥量更加巨大，往往难以实现；

4.现有基于密钥池的群组通信系统中，所有拥有群组密钥池的成员的地位是相同的，任意一个成员被俘获均会导致整个群组通信系统的失效。

发明内容

发明目的：为克服现有技术的缺陷，本发明提出一种基于分层结构对称密钥池的群组通信方法及系统。

发明内容：本发明提出一种基于分层结构对称密钥池的群组通信方法，包括以下步骤：

(1)将群组内的成员按照权限划分为多个层级，管理员为最高层；

(2)为管理员分配密钥池、替换密钥和公私钥，密钥池、替换密钥和公私钥存储在管理员本地安全芯片中；

(3)用哈希函数计算上一层的替换密钥，得到下一层的替换密钥，逐层计算，直至每一层都分配到替换密钥；

(4)上一层为下一层计算密钥池：将上一层的密钥池分为多段子密钥，将每一段子密钥分别与下一层的替换密钥进行计算，计算所用的函数为不可逆函数；然后将得到的多个计算结果按照相应子密钥的顺序拼接，得到下一层的密钥池；以此类推，计算出每一层的密钥池；将每一层的密钥池、替换密钥和管理员公钥存储在本层各成员的本地安全芯片中；

(5)若同一层的群组成员需要通信，则通信双方按照预先设定的对称密钥选取方式从本层密钥池选取对称密钥以进行保密通信；若高层的群组成员要与低层群组成员通信，则低层群组成员按照预先设定的对称密钥选取方式从本层密钥池选取对称密钥作为通信密钥，高层的群组成员采用步骤(4)方法计算出低层群组成员的密钥池，然后按照预先设定的密钥选取方式从计算出的密钥池中选取对称密钥作为通信密钥。

本发明在分配密钥池和替换密钥时，采用的是上一层计算下一层密钥池的方式，且计算密钥池的函数为不可逆函数，这就使得在整个群组中，上层的成员能够计算下层成员的密钥池和替换密钥，但是下层成员不能计算出上层成员的密钥池和替换密钥。因此，即使某一层成员的密钥池被破解，也只能得到这一层及以下层的密钥池，不会影响上层成员的安全性。相对于整个群组共享密钥池的方式，本发明无疑在安全性上有了很大提升。

以下还提供了若干可选方式，但并不作为对上述总体方案的额外限定，仅仅是进一步的增补或优选，在没有技术或逻辑矛盾的前提下，各可选方式可单独针对上述总体方案进行组合，还可以是多个可选方式之间进行组合。

可选的，对于一个N比特的对称密钥，所述对称密钥选取方式为：

生成一个明文消息；根据所述明文消息计算出初始位置指针，然后用初始位置指针与明文消息计算第一个步长，再用第一个步长与明文消息计算第二个步长，以此类推，共计算出N个步长；用初始位置指针与第一个步长计算出对称密钥的第一位密钥指针，然后用第一位密钥指针与第二个步长计算出第二位随机码指针，以此类推，共计算出N位密钥指针；根据每一位密钥指针从密钥池中取出相应的密钥数据，组成对称密钥。

采用这样的密钥选取方式，每一位密钥指针都具有高度随机性，破解难度非常大，进而提高了密钥被破解的难度。

可选的，所述步骤(5)中计算对称密钥时，还计算消息认证码以用于通信双方的身份校验。

可选的，当群组中存在不可信成员时，群组通信步骤如下：

(401)管理员生成某个成员非法的第一描述消息和一个替换参数；

(402)管理员逐层计算自己以下每一层的密钥池，直至计算出非法成员所在层级的密钥池，并按照以下方式选取N比特密钥K_TA：

生成一个明文消息；根据所述明文消息和非法成员所在层级的替换密钥计算出初始位置指针，然后用初始位置指针与明文消息计算第一个步长，再用第一个步长与明文消息计算第二个步长，以此类推，共计算出N个步长；用初始位置指针与第一个步长计算出密钥K_TA的第一位密钥指针，然后用第一位密钥指针与第二个步长计算出第二位密钥指针，以此类推，共计算出N位密钥指针；根据每一位密钥指针从密钥池中取出相应的密钥数据，组成密钥K_TA；

(403)用密钥K_TA和非法成员所在层级的替换密钥计算出密钥KS_A；

(404)管理员用自己的私钥对第一描述信息和替换参数进行签名；然后用密钥KS_A对第一描述信息、替换参数和签名进行加密得到加密数据，同时用KS_A计算一个消息认证码；

(405)管理员将明文消息TNTF、加密数据和消息认证码发送给自己的下一层级；

(406)管理员的下一层级中的各个成员在接收到管理员发送的消息后，根据明文消息TNTF和本层的替换密钥，采用与步骤(402)相同的方式计算K_TA，进而计算出KS_A，用KS_A验证消息认证码，验证通过后，用KS_A解密接收到的加密数据，解密后获得第一描述信息，各成员的本地安全芯片根据第一描述信息判断本成员是否与非法成员为同一层级；若与非法成员不为同一层级，则将第一描述消息向下一层级转发；若与非法成员为同一层级，则各成员的本地安全芯片根据第一描述信息判断本成员是否为非法成员；若是非法成员，则安全芯片拒绝对所存储数据的篡改；若不是非法成员，则安全芯片用存储的管理员节点的公钥验证管理员的签名，验证通过后，用替换参数与本层的替换密钥进行联合计算，用计算结果更新原本存储的密钥池和替换密钥；

(407)非法成员所在层级中的合法成员在完成密钥池更新后，进行第一描述消息的转发：

计算出下一层的当前密钥池，按照步骤(402)所述的方式取出一个N比特密钥K_TB，再用K_TB与下一层的替换密钥计算出密钥KS_B；用KS_B对第一描述信息、替换参数和管理员的签名进行加密得到新的加密数据，同时用KS_B计算一个消息认证码；将新的加密数据和消息认证码下发给下层各成员，下层各成员采用与步骤(406)相同的方式进行密钥池和替换密钥的更新；

(408)非法成员所在层级以下的各个层级按照步骤(407)所述的进行第一描述消息转发，直到非法成员所在层级以下的各个层级均完成密钥池和替换密钥的更新。

本可选方式针对群组内出现不可行成员的情况进行设计，可在发现不可信成员时快速更新各层可信群组成员的密钥池和替换密钥。

可选的，所述替换密钥的更新方法为：用哈希函数对原本的替换密钥和替换参数进行计算，用计算的结果更新原本的替换密钥；

所述密钥池更新的方法为：将本层级原本的密钥池平均分为多个密钥段，用每一个密钥段与更新后的替换密钥进行计算，得到更新后的密钥段，将更新后的密钥段按照相应的原密钥段的顺序进行组合，即得到更新后的密钥池。

可选的，当群组中新增可信成员时，群组通信步骤如下：

(601)管理员根据新增成员所在层级，逐层计算自己以下每一层的密钥池和替换密钥，直至计算出新增成员所在层级的替换密钥和密钥池，并颁发给新增成员；

(602)管理员生成宣布新增可信成员的第二描述信息，用自己的私钥对第二描述信息和明文消息进行签名；然后计算下一层的密钥池，从计算出的密钥池中选取N个比特的密钥，用选取的密钥与下一层的替换密钥计算出加密密钥；用加密密钥加密签名和第二描述信息，同时用加密密钥计算一个消息认证码；

(603)管理员将明文消息、加密数据和消息认证码发送给下一层的各个成员；

(604)管理员下一层的各成员在接收到来自管理员的消息后，从本层密钥池取出相同的N个比特的密钥，并根据取出的密钥计算出解密密钥，用解密密钥对加密数据进行解密并验证消息认证码；验证通过后，通过本地安全存储芯片存储的管理员公钥验证管理员签名，验证通过后，信任第二描述信息，将第二描述信息记载的新增成员信息存储在本地安全芯片中；

(605)本层成员在存储新增成员信息后，采用步骤(604)的方式将第二描述信息转发给下一层，通过逐层转发，使每一层成员都存储新增成员信息。

本发明还提出一种基于分层结构对称密钥池的群组通信系统，所述系统包括管理员和群组成员，管理员和群组成员按照所述基于分层结构对称密钥池的群组通信方法进行通信。

有益效果：

1.本专利结合对称密钥池和替换密钥，在群组通信的场景中，进一步增强了对称密钥池的使用安全性，使得在对称密钥池被破解的极端情况下，基于对称密钥池的群组通信的安全性也仍然可以得到保证。因为双方密钥还受到替换密钥的保护，在替换密钥可保证不会被破解的情况下，双方通信不会因为对称密钥池被破解而被破解；

2.本专利基于对称密钥池的取密钥方法为：从密钥池中采用不同的步长逐个取出多个密钥比特，每次步长均不同。在对称密钥池已经被破解的情况下，该种取密钥方式不容易被预测，而且可以通过密钥池更新使得已经被破解的对称密钥池变为无效，安全性高；

3.本专利密钥池更新的方法无需传递更新密钥即可对密钥池进行更新，由于更新密钥的计算量较小，因此密钥池更新需要时间较少；对于群组通信来说，本专利的密钥更新方案的密钥传输量很小，容易实现；

4.本专利基于密钥池的群组通信系统中，所有拥有群组密钥池的成员的地位是按等级进行划分的，不同等级的保护措施和密钥池均不同。重要等级成员的保护措施好，不容易被俘获；不重要等级成员的保护措施相对较差或者工作环境更不安全，但由于其密钥池是重要等级成员密钥池经过不可逆计算得到的，因此即使被俘获也影响不大，不会导致整个群组通信系统的失效。

附图说明

图1为本发明实施例1中涉及的系统结构图；

图2为本发明实施例1中在军用数据链场景下的系统结构图。

图3为本发明实施例2中KTG获取方式示意图。

具体实施方式

下面将结合附图和具体实施例对本发明作更进一步的说明。但应当理解的是，本发明可以以各种形式实施，以下在附图中出示并且在下文中描述的一些示例性和非限制性实施例，并不意图将本发明限制于所说明的具体实施例。

应当理解的是，在技术上可行的情况下，以上针对不同实施例所列举的技术特征可以相互组合，从而形成本发明范围内的另外的实施例。此外，本发明所述的特定示例和实施例是非限制性的，并且可以对以上所阐述的结构、步骤、顺序做出相应修改而不脱离本发明的保护范围。

本发明旨在将群组成员划分为不同等级，为不同等级设置不同的保护措施和密钥池，以避免现有技术中由于所有成员共享密钥池，导致只要一个成员被攻破，整个群组都不再安全的问题。

有鉴于此，本发明提出一种基于分层结构对称密钥池的群组通信方法及系统，下面将通过具体实施例来详细描述。

实施例1：

在通信群组中，本实施例假设所有成员拥有当前群组的ID列表，且每个ID内带有该ID的层号。层号越小，安全保护措施越好，被敌方俘获的可能性越小。

如图1所示，本实施例所述的基于分层结构对称密钥池的群组通信系统，包括第0层节点，第1层节点，第2层节点等多层节点。在军用数据链场景下，各节点的分布如图2所示，第0层节点可以是指挥中心，第1层节点可以是指挥机，第2层节点可以是无人机、无人车或单兵节点等。

本实施例中基于分层结构的对称密钥池，设第0层节点拥有第0层密钥池以及替换密钥KR₀，第0层节点只有1个，并为群组管理员。对KR₀进行哈希计算可得到第1层替换密钥KR₁＝HASH(KR₀)，对KR₁进行哈希计算可得到第2层替换密钥KR₂＝HASH(KR₁)。每层节点存有本层的密钥池以及自身特有的替换密钥，即第j层节点存有第j层密钥池以及第j层替换密钥KR_j。其中，替换密钥存储于本地安全存储芯片如TPM/TCM中，具有抗拆解功能，无法获取，且由于HASH函数位于安全芯片内且没有输出接口，其计算结果即使由替换密钥得到的下级替换密钥也无法获取(第0层节点除外，因为第0层节点的管理员掌握所有安全存储芯片的PIN码，可以执行密钥导入导出操作)；管理员节点的本地安全存储芯片中存储管理员的密钥池、替换密钥和公私钥以及其余各群组成员的安全存储芯片PIN码，而普通群组成员的本地安全存储芯片中存储本层的密钥池、替换密钥和管理员的公钥。

密钥替换公式为K_RS＝F_KR(K,KR)。其中，F_KR为不可逆函数，F_KR(m,k)表示使用密钥k对消息m进行计算。F_KR优选为消息认证码即MAC函数，K_RS的长度等于K的长度。

为每一层节点分发密钥池的过程如下，将第0层密钥池平均分割为多段密钥，设第i段为K_i，使用密钥替换公式计算K_RSi＝F_KR(K_i,KR₁)。使用K_RSi替换K_i，可以用K_RSi对K_i进行直接替换，或者计算

对K_i进行替换。替换完成后，得到与第0层密钥池长度相等的第1层密钥池。以此类推，可以根据第2层替换密钥KR₂将第1层密钥池替换得到第2层密钥池。

实施例2：成员可信情况下的群组通信

情况2.1：与同级群组成员通信。

假设群组成员A要发出的消息为NTF，并为该消息生成一个时间戳TNTF。A计算本次群组通信的群组密钥：

A在长度为KPL的同级群组密钥池中取出群组密钥KTG，该密钥共N个比特，得到KTG的具体流程如图3所示：

计算得到同级群组密钥KTG的初始位置指针PK＝F_PK(TNTF)mod KPL，其中，mod表示取模运算。依次计算步长：LK₁＝F_LK(PK||TNTF)，LK₂＝F_LK(LK₁||TNTF)，LK₃＝F_LK(LK₂||TNTF)，…，LK_N＝F_LK(LK_N-1||TNTF)。函数F_PK(*)和F_LK(*)为任意指定的函数。再依次计算用于提取密钥的指针PK₁＝PK+LK₁mod KPL，PK₂＝PK₁+LK₂mod KPL，…，PK_N＝PK_N-1+LK_N mod KPL。PK₁指向群组密钥KTG的开始位置，也就是第一个比特的位置，PK₂指向群组密钥KTG的第二个比特的位置，以此类推。根据PK₁、PK₂、…、PK_N从密钥池中依次取出对应位置的共N个比特的密钥数据。如超出密钥池大小KPL则利用对KPL取模的方式回到密钥池头部。

A取出群组密钥KTG后，使用KTG加密NTF得到{NTF}KTG。使用KTG对ID_A、TNTF和NTF计算消息认证码得到MAC(ID_A||TNTF||NTF,KTG)。将加密的信息、消息认证码连同ID_A、TNTF一起发送至其他成员，发送的信息可以表示为ID_A||TNTF||{NTF}KTG||MAC(ID_A||TNTF||NTF,KTG)。

其他成员收到后，使用同样的方法取出KTG，使用KTG解密{NTF}KTG得到消息NTF，使用KTG对ID_A、TNTF和NTF计算消息认证码并与收到的消息认证码进行对比，若两者一致，表示验证通过，验证通过后，信任消息NTF；若验证不通过，则不信任消息NTF。

情况2.2：与下级群组成员通信。

假设群组成员A要发出的消息为NTF。设群组成员A为第j层节点，存储有第j层替换密钥KR_j。A计算KR_j+1＝HASH(KR_j)，根据KR_j+1将自己的第j层密钥池替换得到第j+1层密钥池。然后根据情况1.1中的方法在第j+1层密钥池中提取本次群组通信的群组密钥KTG。发送的信息与情况1.1中一致。

作为第j+1层节点的成员收到后，使用同样的方法取出KTG。使用与情况1.1中相同的方法对收到的消息进行验证。验证通过后，信任消息NTF；若果验证不通过，则不信任消息NTF。

情况2.3：与上级群组成员通信。

假设群组成员A要发出的消息为NTF。设群组成员A为第j层节点，存储有第j层替换密钥KR_j。A根据情况1.1中的方法在自己的第j层密钥池中提取本次群组通信的群组密钥KTG。发送的信息与情况1.1中一致。

作为第j-1层节点的成员收到后，计算KR_j＝HASH(KR_j-1)，根据KR_j将自己的第j-1层密钥池替换得到第j层密钥池。然后根据情况1.1中的方法在第j层密钥池中提取本次群组通信的群组密钥KTG。使用与情况1.1中相同的方法对收到的消息进行验证。验证通过后，信任消息NTF；若果验证不通过，则不信任消息NTF。

实施例3：某成员不可信情况下的群组通信

情况3.1：不可信成员为第1层节点X。

设群组管理员为第0层节点A，群组内一可信成员为第1层节点B，不可信成员为第1层节点X。由于X知道本层和所有下层的对称密钥池，因此本层和所有下层的群组通信的安全性受到影响。

步骤一：群组管理员发出消息。

A生成用于宣告X非法的第一描述消息为NTF，并为第一描述信息生成一个时间戳TNTF。A生成一个替换参数CR，三者组合为MSG＝TNTF||NTF||CR。成员A使用SK_A对MSG进行签名得到SIG_A＝SIGN(MSG,SK_A)。

管理员逐层计算自己以下每一层的密钥池，直至计算出非法成员所在层级的密钥池；因为本情况中非法成员X在第一层，所以A首先计算KR₁＝HASH(KR₀)，然后根据KR₁计算得到下一级的密钥池，即第1层密钥池，在第1层密钥池中取出共N个比特的K_TA，过程如下：

计算得到K_TA的初始位置指针PK_TA＝F_PK(TNTF||KR₁)mod KPL。依次计算步长：LK_TA1＝F_LK(PK_TA||TNTF||KR₁)，LK_TA2＝F_LK(LK_TA1||TNTF||KR₁)，LK_TA3＝F_LK(LK_TA2||TNTF||KR₁)，…，LK_TAN＝F_LK(LK_TA(N-1)||TNTF||KR₁)。再依次计算用于提取密钥的指针PK_TA1＝PK_TA+LK_TA1modKPL，PK_TA2＝PK_TA1+LK_TA2mod KPL，…，PK_TAN＝PK_TA(N-1)+LK_TAN mod KPL。根据PK_TA1、PK_TA2、…、PK_TAN从密钥池中依次取出对应位置的共N个比特的密钥数据作为K_TA。由于敌方不知道KR₁，因此敌方非常难以预测K_TA。

A使用K_TA和KR₁计算得到KS_A＝F_KS(K_TA,KR₁)，函数F_KS(*)优选为MAC算法。由于敌方不知道KR₁，因此敌方非常难以预测KS_A。

A使用KS_A对NTF||CR||SIG_A加密得到加密信息{NTF||CR||SIG_A}KS_A，计算消息认证码MAC(ID_A||MSG||SIG_A,KS_A)。

A记录第1层节点的密钥替换次数加1，并记录该次替换参数CR。A将M_A发送给下层节点，发送的消息可表示为M_A＝ID_A||TNTF||{NTF||CR||SIG_A}KS_A||MAC(ID_A||MSG||SIG_A,KS_A)。

B收到M_A后，根据TNTF和KR₁从自己的第1层密钥池中取出共N个比特的K_TA，过程与上文相同。进一步计算得到KS_A＝F_KS(K_TA,KR₁)。使用KS_A对M_A解密并验证消息认证码。验证通过后，使用本地安全存储芯片内存有的第0层节点的公钥PK_A验证SIG_A，验证通过后，B使用KR′₁＝HASH(KR₁||CR)对本地密钥池执行密钥替换，替换过程如下：

将本地密钥池平均分割为多段密钥，设第i段为K_i，使用密钥替换公式计算K_newi＝F_KR(K_i,KR′₁)。使用K_newi替换K_i，可以用K_newi对K_i进行直接替换，或者计算

对K_i进行替换。替换完成后，得到与原密钥池长度相等的新密钥池。

密钥池替换完成后，B并将本地存储的KR₁修改为KR′₁。由于X的安全芯片根据NTF内的内容，发现自身为不可信节点，因此不执行此操作，所以X无法得到KR′₁，也不进行密钥池的替换，因此X将无法进行后续的群组通信。

步骤二：第1层节点转发消息。

第1层节点B完成步骤一后，将MSG||SIG_A传递给第2层节点C。

B首先根据KR₂＝HASH(KR₁)计算得到下级的密钥池即第2层密钥池，在第2层密钥池中取出共N个比特的K_TB，过程与步骤一中相同。B使用K_TB和KR₂计算得到KS_B＝F_KS(K_TB,KR₂)。

B使用KS_B对NTF||CR||SIG_A加密得到加密信息{NTF||CR||SIG_A}KS_B，计算消息认证码MAC(ID_B||MSG||SIG_A,KS_B)。

B记录第2层节点的密钥替换次数加1，并记录该次替换参数CR。B将M_B发送给下层节点，发送的消息可表示为M_B＝ID_B||TNTF||{NTF||CR||SIG_A}KS_B||MAC(ID_B||MSG||SIG_A,KS_B)。

C收到M_B后，根据TNTF和KR₂从自己的第2层密钥池中取出共N个比特的K_TB，过程与上文相同。进一步计算得到KS_B＝F_KS(K_TB,KR₂)。使用KS_B对M_B解密并验证消息认证码。验证通过后，使用本地安全存储芯片内存有的第0层节点的公钥PK_A验证SIG_A，验证通过后，C使用KR′₂＝HASH(KR₂||CR)对本地密钥池执行密钥替换，并将本地存储的KR₂修改为KR′₂。

步骤三：第2层节点转发消息。

如果第2层节点不是最后一层节点，则类似步骤二，继续转发消息。如果第2层节点是最后一层节点，则结束流程。

情况3.2：不可信成员为第2层节点X。

若不可信成员X为第2层节点，则按照情况3.1中的流程执行步骤一，即A发送消息到第1层节点，但第1层节点不执行密钥替换。后续执行情况3.1中的步骤二和步骤三，以更新下层节点的密钥池。

实施例4：新增可信成员的群组通信。

设群组管理员为A，群组内另一可信成员为B，新增可信成员为Y。A根据Y的层号，逐层计算自己以下每一层的密钥池和替换密钥，直到计算出Y所在层级的密钥池和对称密钥，此时，管理员为Y分配群组当前该层成员的替换密钥、各次替换参数以及对称密钥池。

A生成用于宣布Y合法的第二描述消息为NTF，并为第二描述信息生成时间戳为TNTF。两者组合为MSG＝TNTF||NTF，成员A使用SK_A对MSG进行签名得到SIG_A＝SIGN(MSG,SK_A)。

A首先根据KR₁＝HASH(KR₀)计算得到下级的密钥池即第1层密钥池，在第1层密钥池中取出共N个比特的K_TA，过程与上文相同。A获取K_TA后，使用K_TA和KR₁计算得到KS_A＝F_KS(K_TA,KR₁)，使用KS_A对NTF||SIG_A加密得到加密信息{NTF||SIG_A}KS_A，计算消息认证码MAC(ID_A||MSG||SIG_A,KS_A)。

A向下层节点发送M_A＝ID_A||TNTF||{NTF||SIG_A}KS_A||MAC(ID_A||MSG||SIG_A,KS_A)。

B收到M_A后，根据TNTF和KR₁从自己的第1层密钥池中取出共N个比特的K_TA，过程与上文相同。进一步计算得到KS_A＝F_KS(K_TA,KR₁)。使用KS_A对M_A解密并验证消息认证码。验证通过后，使用本地安全存储芯片内存有的第0层节点的公钥PK_A验证SIG_A，验证通过后，B获得NTF，即获取新增成员Y合法的消息。

B获得NTF后，可以向B的下层节点C传递，更进一步的，C在获取NTF后，也可继续转发消息，传递过程类似实施例2中情况2.1的步骤二，但过程中各方不执行密钥替换。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。

Claims

1.基于分层结构对称密钥池的群组通信方法，其特征在于，包括步骤：

(5)若同一层的群组成员需要通信，则通信双方按照预先设定的对称密钥选取方式从本层密钥池选取对称密钥以进行保密通信；若高层的群组成员要与低层群组成员通信，则低层群组成员按照预先设定的对称密钥选取方式从本层密钥池选取对称密钥作为通信密钥，高层的群组成员采用步骤(4)方法计算出低层群组成员的密钥池，然后按照预先设定的密钥选取方式从计算出的密钥池中选取对称密钥作为通信密钥；当群组中存在不可信成员时，群组通信步骤如下：

1)管理员生成某个成员非法的第一描述消息和一个替换参数；

2)管理员逐层计算自己以下每一层的密钥池，直至计算出非法成员所在层级的密钥池，并按照以下方式选取N比特密钥K_TA：

生成一个明文消息；根据所述明文消息和非法成员所在层的替换密钥计算出初始位置指针，然后用初始位置指针与明文消息计算第一个步长，再用第一个步长与明文消息计算第二个步长，以此类推，共计算出N个步长；用初始位置指针与第一个步长计算出密钥K_TA的第一位密钥指针，然后用第一位密钥指针与第二个步长计算出第二位密钥指针，以此类推，共计算出N位密钥指针；根据每一位密钥指针从密钥池中取出相应的密钥数据，组成密钥K_TA；

3)用密钥K_TA和非法成员所在层级的替换密钥计算出密钥KS_A；

4)管理员用自己的私钥对第一描述信息和替换参数进行签名；然后用密钥KS_A对第一描述信息、替换参数和签名进行加密得到加密数据，同时用KS_A计算一个消息认证码；

5)管理员将明文消息TNTF、加密数据和消息认证码发送给自己的下一层级；

6)管理员的下一层级中的各个成员在接收到管理员发送的消息后，根据明文消息TNTF和本层的替换密钥，采用与步骤2)相同的方式计算K_TA，进而计算出KS_A，用KS_A验证消息认证码，验证通过后，用KS_A解密接收到的加密数据，解密后获得第一描述信息，各成员的本地安全芯片根据第一描述信息判断本成员是否与非法成员为同一层级；若与非法成员不为同一层级，则将第一描述消息向下一层级转发；若与非法成员为同一层级，则各成员的本地安全芯片根据第一描述信息判断本成员是否为非法成员；若是非法成员，则安全芯片拒绝对所存储数据的篡改；若不是非法成员，则安全芯片用存储的管理员节点的公钥验证管理员的签名，验证通过后，用替换参数与本层的替换密钥进行联合计算，用计算结果更新原本存储的密钥池和替换密钥；

7)非法成员所在层级中的合法成员在完成密钥池更新后，进行第一描述消息的转发：

计算出下一层的当前密钥池，按照步骤2)所述的方式取出一个N比特密钥K_TB，再用K_TB与下一层的替换密钥计算出密钥KS_B；用KS_B对第一描述信息、替换参数和管理员的签名进行加密得到新的加密数据，同时用KS_B计算一个消息认证码；将新的加密数据和消息认证码下发给下层各成员，下层各成员采用与步骤6)相同的方式进行密钥池和替换密钥的更新；

8)非法成员所在层级以下的各个层级按照步骤7)所述的进行第一描述消息转发，直到非法成员所在层级以下的各个层级均完成密钥池和替换密钥的更新。

2.根据权利要求1所述的基于分层结构对称密钥池的群组通信方法，其特征在于，对于一个N比特的对称密钥，所述对称密钥选取方式为：

3.根据权利要求1所述的基于分层结构对称密钥池的群组通信方法，其特征在于，所述步骤(5)中计算对称密钥时，还计算消息认证码以用于通信双方的身份校验。

4.根据权利要求3所述的基于分层结构对称密钥池的群组通信方法，其特征在于，

所述替换密钥的更新方法为：用哈希函数对原本的替换密钥和替换参数进行计算，用计算的结果更新原本的替换密钥；

5.根据权利要求3所述的基于分层结构对称密钥池的群组通信方法，其特征在于，当群组中新增可信成员时，群组通信步骤如下：

6.一种基于分层结构对称密钥池的群组通信系统，其特征在于：

所述系统包括管理员和群组成员，管理员和群组成员按照权利要求1至5任意一项所述方法进行通信。