CN1601957A - 一种进行组密钥分发的方法 - Google Patents

Abstract

本发明公开了一种进行组密钥分发的方法，该方法包括：在同一群组中每个终端和密钥分发中心分别设置两者之间的共享保密数据；密钥分发中心产生组密钥，并根据共享保密数据将该组密钥分割为若干子密钥，并确定恢复该组密钥所需子密钥的门限值，密钥分发中心广播子密钥，并且广播的子密钥数目比恢复组密钥的门限值少一个；终端根据自身保存的共享保密数据获取自身与所述密钥分发中心共享的子密钥，并利用该子密钥和广播信息中的子密钥，恢复组密钥。本发明通过门限理论实现组密钥的分发，简化了组密钥分发的流程，只需一次广播即可通知全部成员；该方法利用单向函数产生子密钥，不会因为广播泄漏组密钥信息，组密钥分发过程安全。

Description

一种进行组密钥分发的方法

技术领域

本发明涉及通信系统的安全管理领域，特别是指多对多的通信系统中，一种进行组密钥分发的方法。

背景技术

集群通信系统、会议电话、广播等多方通信系统与两方通信系统一样，存在着通信保密性、数据完整性和可认证性等的安全需求。组密钥的分发和管理作为多方通信安全的基础，受到了越来越多的重视。组密钥是一个在每个组成员以及网络之间共享秘密数据，可以直接作为组成员间通信的加密密钥或者用于生成加密密钥。

现有多对多的通信系统中组密钥的管理方法包括以下几种技术方案。

第一种：以集群无线通信系统为例，密钥管理中心为每个群组分配多个固定的组密钥，每个组密钥通过组密钥标识来唯一确定。这些固定的组密钥序列通过专用SIM卡读写设备写入每一组成员的SIM卡中。在进行组呼或者组播业务时，即需要使用加密功能时，可以由业务发起者或者网络选择组密钥系统中的组密钥标识，并将所选择的组密钥作为加、解密密钥，并将该密钥所对应的标识通知群组中每位参与集群业务的用户。这种组密钥的分发方法中，由于组密钥已经固定为几种，很容易被别人窃取，所以安全性不高，无法保证集群系统安全通信。

第二种，由组成员协商产生组密钥。这种技术方案的出发点是将用于两方密钥协商的Diffie-Hellman密钥交换协议扩展到群组通信。

群组Diffie-Hellman密钥交换协议描述如下：群组中有n个成员，分别记为M₁、M₂…M_n，公开一个大素数q以及其本原元α，协议中的运算都在有限域GF(q)上进行。密钥协商分为上行(n-1)轮和下行(n-1)轮两个阶段，最终每个成员都能计算出组密钥α^N1N2…Nn，其中N_i是成员M_i独立产生并保密的随机数。

在上行阶段，成员M_i计算其接收到的集合的最后一个元素的N_i次幂，然后连同接收到的数值一起发给M_i+1，而在下行阶段，用户M_i计算其接收到的集合的最后元素的N_i次幂作为组密钥，然后计算集合中其它元素的N_i次幂，并发送给M_i-1。如表1所示，在上行交互阶段：第i轮，i＝1，…，n-1，M_i向M_i+1发送 $\left\{{\mathrm{\α}}^{\mathrm{\Π}\left(N_k\right|k\∈[1,i])}\right|j\∈[1,i]\};$ 在下行交互阶段，第n-1+i轮，i＝1，…，n-1M_n-i向M_n-i+1发送 $\left\{{\mathrm{\α}}^{\mathrm{\Π}\left(N_k\right|k\∉[i,j])}\right|j\∈[1,i]\}.$

表1

以n＝5为例，在上行交互阶段，用户M₄将接收到集合{α^N1，α^N1N2，α^N1N2N3}，他利用α^N1N2N3和自己生成的随机数N₄计算出α^N1N2N3N4，并发送{α^N1，α^N1N2，α^N1N2N3，α^N1N2N3N4}给M₅。M₅利用α^N1N2N3N4计算出最终组密钥α^N1N2N3N4N5并保存，此后为下行交互阶段，M₅计算中间值集合发送给M₄，用户M₄接收到集合{α^N4N5，α^N1N4N5，α^N1N2N4N5}，利用α^N1N2N3N5也可以计算出最终密钥，然后计算中间值集合{α^N5，α^N1N5，α^N1N2N5，α^N1N2N3N5}发送给M₃。

在这种方案中，密钥管理中心没有进行组密钥的分发。这里，组密钥由n个组成员协商产生，总共需要经过2(n-1)次组成员之间的交互。对于无线系统而言，每次组成员之间的交互都需要申请信道资源建立连接，这样必然产生庞大的系统资源消耗；而且，在产生组密钥的过程中，每个组成员都要进行多次大数模幂运算，而目前移动终端的计算能力有限，数值太大有时将超出移动终端的计算范围。

第三种，由密钥分发中心产生新的组密钥，利用每个组成员与网络共享的密钥分别加密新的组密钥，然后通过信令发送给每个用户。这种技术方案可以适应于各种情况下的组密钥分发。但是这种组密钥分发方法，对于每个组成员来说，网络侧都要加密一次组密钥，为每个组成员都发送一次组密钥。所以，当组成员数量庞大时，网络侧需要耗费很多资源和时间来使用不同的密码逐一加密组密钥，而向每个组成员逐一分发组密钥也要耗费大量的信道资源。

在说明本发明内容之前，先介绍一下(l，n)门限方案。

所谓(l，n)门限方案是一种秘密共享方案。该方案将秘密数据D分割成n个片段，即D₁、D₂…D_n，如果掌握n个片段中任意l个即可恢复出D，若只掌握其中任意l-1个或更少个数的片段，不能恢复出D。

美国学者Shamir提出了一种基于拉格朗日插值公式的(l，n)门限方案。具体描述如下：

给定二维平面上的l个点(x₁，y₁)，(x₂，y₂)，…，(x₁，y₁)，存在且唯一存在一个l-1次多项式包括全部l个点。

设GF(q)是一个有限域，q＞n。任意选取a₁，a₂，…，a_l-1∈GF(q)。构造一个l-1次多项式如公式(1)所示，

f(x)＝k^*+a₁x+a₂x²+…+a_l-1x^l-1                    (1)

其中，k^*是秘密数据D。

令α是GF(q)域的本原元素。

计算k_i＝f(αⁱ)，i＝1，2，…，n；称k_i为子密钥，交给成员A_i保管。

当掌握了l个k_i，不失一般性，设为A₁，A₂，…，A_l分别提供了各自的子密钥k_i以及各自的序号1、2…l。

利用插值公式 $f^{*}\left(x\right)=\underset{j=1}{\overset{l}{\mathrm{\Σ}}}{k}_j\underset{i\≠j}{\mathrm{\Π}}\frac{(x-{\mathrm{\α}}^i)}{({\mathrm{\α}}^j-{\mathrm{\α}}^i)}$ 得到一个l-1次多项式。

这里的加减乘除运算都是在GF(q)上进行。

显然有f^*(α^j)＝k_j，j＝1，2，…，n；

f^*(x)＝f(x)；

k^*＝f(0)；

因而可以恢复出密钥k^*。如果只有l-1个合作者，就不能确定f(x)，因而无法得到k^*。

发明内容

有鉴于此，本发明的目的是提供一种利用门限理论进行组密钥分发的方法，应用于多对多的通信系统中，能简化组密钥的分发、计算过程，能确保组密钥分发过程安全。

本发明提供的一种进行组密钥分发的方法包括：

A.在同一群组中每个终端和密钥分发中心分别设置两者之间的共享保密数据；

B.所述密钥分发中心产生组密钥KG，并根据共享保密数据将所述组密钥KG分割为若干子密钥，并确定恢复该组密钥所需子密钥的门限值，所述子密钥包括每个终端与所述密钥分发中心分别共享的子密钥和非共享的子密钥，每个终端与密钥分发中心之间的共享保密数据对应一个共享的子密钥；

C.所述密钥分发中心向所述群组中广播非共享的子密钥，并且广播的子密钥数目比恢复出组密钥KG的门限值少一个；

D.终端收到广播信息后，根据自身保存的共享保密数据获取自身与所述密钥分发中心共享的子密钥，并利用该共享的子密钥和广播信息中所述非共享的子密钥，恢复组密钥KG。

步骤D中所述恢复出组密钥KG是根据共享保密数据的门限方案实现。

所述门限方案根据拉格朗日插值公式构造。

步骤A进一步包括：在所述密钥分发中心和所述每个终端之间设置共享数据x_i，步骤B中进一步包括：

B1、所述密钥分发中心产生随机数r，所述密钥分发中心利用单向函数、自身保存的所有共享保密数据和所述随机数r分别计算出y_i，所述y_i与所述共享数据x_i，构成l个点(x_i，y_i)，其中，i＝1，2，…l；并且，所述密钥分发中心产生随机数j，并根据2j个随机数构成j个点，记为(x_l+m，y_l+m)，其中x_l+m x_i，m＝1，…，j；

B2、所述密钥分发中心计算经过(0，KG)，(x₁，y₁)，(x₂，y₂)，…，(x_l+1，y_l+1)，(x_l+2，y_l+2)，…，(x_j+1，y_j+1)点的l+j次多项式f(x)；

B3、所述密钥分发中心将所述多项式f(x)的多项式系数作为子密钥；

B4、所述密钥分发中心将所述子密钥和所述随机数r向群组内所有终端广播；

步骤D进一步包括：

D1、收到含有所述子密钥和随机数r的广播信息的终端，利用与步骤B1中相同的单向函数、自身保存的共享保密数据和所述随机数r计算出y_i；

D2、所述终端利用步骤D1中计算出y_i、所述子密钥和所述共享数据x_i，根据 ${\mathrm{GK}}^{\′}=y_i-\underset{m=1}{\overset{l+j}{\mathrm{\Σ}}}{a}_m{x}_i^m$ 计算出组密钥。

所述单向函数为HASH函数。

步骤A中所述每个终端与所述密钥分发中心之间的共享保密数据不同。

步骤A中所述组密钥KG是密钥分发中心产生的随机数。

步骤B中所述若干子密钥是不相同的。

步骤B中所述门限值大于该群组中终端的个数。

从本发明的方法可以看出，本发明具有如下优点和特点：

(1)本发明通过门限理论实现组密钥的分发，简化了组密钥分发的流程，只需要一次广播即可通知全部成员；

(2)本发明在通知终端组密钥的过程所使用的资源少；

(3)使用本发明的分发方法，密钥分发中心和组中每个组成员的计算量都非常小，减少了工作量，提高了工作效率；

(4)利用单向函数，用每个组成员分别与密钥分发中心共享的保密数据和广播的随机数一起产生子密钥，不会泄漏共享保密数据的信息，组密钥分发过程安全。

附图说明

图1为实现本发明的流程示意图。

具体实施方式

为了简化组密钥的计算、分发过程，本发明将(k，n)门限理论引入到组密钥的分发方法中来。其中，n为组密钥分割成的子密钥的个数，k为恢复出组密钥的需要子密钥的门限个数。

参见图1所示，实现本发明方法的具体步骤如下：

步骤101：在同一群组中每个终端和密钥分发中心分别设置两者之间的共享保密数据。

步骤102：所述密钥分发中心产生组密钥KG和随机数r，并根据共享保密数据和随机数r将所述组密钥KG分割为若干子密钥，并确定恢复该组密钥所需子密钥的门限值，所述子密钥包括每个终端与所述密钥分发中心分别共享的子密钥和非共享的子密钥，每个终端与密钥分发中心之间的共享保密数据对应一个共享的子密钥。

这里，每个共享的子密钥是根据共享保密数据和随机数r计算出。并且，恢复出组密钥的门限值是根据该群组内组成员的个数加1，再加上一个随机数确定的。所以，组密钥的门限值要大于该群组内组成员的个数。

步骤103：所述密钥分发中心向所述群组中广播非共享的子密钥和所述随机数r，并且广播的非共享的子密钥数目比恢复出组密钥KG的门限值少一个，即为k-1个。

步骤104：终端收到广播信息后，根据自身保存的共享保密数据和随机数r，获取自身与所述密钥分发中心共享的于密钥，并利用该共享的子密钥和广播信息中所述非共享的子密钥，恢复组密钥KG。

这里，由于终端自身保存的共享保密数据对应一个子密钥，并且还收到密钥分发中心广播的子密钥，此时，该终端拥有的子密钥个数恰好能恢复组密钥。

详细的说，本发明的基本原理是：由密钥分发中心构建一个(l+j+1，2l+j)门限秘密共享方案。其中l表示参与密钥分发的组成员个数，j是一个随机数，用于隐藏组成员个数1。密钥分发中心产生组密钥，并将其分割到2l+j个子密钥中，分别为D₁，D₂，…，D_2l+j。每个组成员与密钥分发中心之间分别共享保密数据k_i，通过k_i可以简单的推算出2_l+j个子密钥中的D_i。也就是说，2_l+j个子密钥中有l个分别被1个组成员中的一个掌握。密钥分发中心广播另外l+j个子密钥，这样每个组成员都掌握了l+j+1个子密钥，可以恢复出密钥D。根据门限方案的特点，只根据广播的l+j个子密钥无法获知密钥D，从而可以保证密钥分发过程的安全性。

另外，还必须要保证组成员A_i不能获知组成员A_j的保密数据k_j的任何信息，所以使用一个单向函数根据k_i计算D_i，并使用一个由密钥分发中心广播的随机数r。如下D_i＝g(k_i，r)，其中g表示单向函数。

下面以使用拉格朗日插值公式为例，说明本发明的技术方案。

在本实施例中，用户Ai与可信密钥中心共享保密数据k_i，i j时，ki kj；每个用户与可信密钥中心共享数据q，q为一个大素数，q不需要保密，方案中的所有运算都是在GF(q)上进行；用户A_i与可信密钥中心共享数据xi，要求i j时，x_i x_j；用户和可信密钥中心共享同一哈希(Hash)函数h，也可以是其它单向函数。

基于以上准备工作，密钥产生过程如下：

密钥分发中心产生随机数作为组密钥KG；

密钥分发中心产生随机数r，并利用Hash函数h、共享保密数据k_i和随机数分别计算y_i＝h(k_i，r)，i＝1，2，…，l；y_i即为终端与可信密钥中心的共享部分。

密钥分发中心产生随机数j；

密钥分发中心产生2j个随机数，分别记为y_l+1，y_l+2，…，y_l+j和x_l+1，x_l+2，…，x_l+j，要求x_l+m xi，m＝1，…j，i＝1，…，l；

密钥分发中心根据公式计算经过点(0，KG)，(x₁，y₁)，(x₂，y₂)，…，(x_l+1，y_l+1)，(x_l+2，y_l+2)，…，(x_j+1，y_j+1)等l+j+1个点的l+j次多项式f(x)；

f(x)＝a₀+a₁x+a₂x²+a₃x³+…+a_l+jx^l+j

显然有，KG＝a₀。非共享部分子密钥即为a₁，a₂，a₃，a₄，…，a_l+i；

在密钥分发阶段，密钥分发中心广播数据r，a₁，a₂，…，a_l+j；这里的每个ai都等价于一个子密钥D_i，即平面上一个点坐标(x，y)，将这些子密钥发送给终端可以减少终端的计算量，却不影响安全性。

用户Ai接收到广播信息后，首先计算y_i＝h(k_i，r)；

用户Ai计算 ${\mathrm{KG}}^{\′}=y_i-\underset{m=1}{\overset{l+j}{\mathrm{\Σ}}}{a}_m{x}_i^m;$

显然有KG`＝KG，这样用户Ai就得到了组密钥KG。

上述实施例使用拉格朗日插值公式为例进行描述，但并不限于此种门限方案。

Claims (10)

1、一种进行组密钥分发的方法，其特征在于，该方法包括：

A.在同一群组中每个终端和密钥分发中心分别设置两者之间的共享保密数据；

B.所述密钥分发中心产生组密钥KG，并根据共享保密数据将所述组密钥KG分割为若干子密钥，并确定恢复该组密钥所需子密钥的门限值，所述子密钥包括每个终端与所述密钥分发中心分别共享的子密钥和非共享的子密钥，每个终端与密钥分发中心之间的共享保密数据对应一个共享的子密钥；

C.所述密钥分发中心向所述群组中广播非共享的子密钥，并且广播的子密钥数目比恢复出组密钥KG的门限值少一个；

D.该群组内的终端收到广播信息后，根据自身保存的共享保密数据获取自身与所述密钥分发中心共享的子密钥，并利用该共享的子密钥和广播信息中所述非共享的子密钥，恢复组密钥KG。

2、根据权利要求1所述的方法，其特征在于，步骤D中所述恢复出组密钥KG是根据共享保密数据的门限方案实现。

3、根据权利要求2所述的方法，其特征在于，所述门限方案根据拉格朗日插值公式构造。

4、根据权利要求1所述的方法，其特征在于，步骤A进一步包括：在所述密钥分发中心和所述每个终端之间设置共享数据x_i，步骤B中进一步包括：

B1、所述密钥分发中心产生随机数r，所述密钥分发中心利用单向函数、自身保存的所有共享保密数据和所述随机数r分别计算出y_i，所述y_i与所述共享数据x_i，构成1个点(x_i，y_i)，其中，i＝1，2，...l；并且，所述密钥分发中心产生随机数j，并根据2j个随机数构成j个点，记为(x_1+m，y_l+m)，其中x_l+mx_i，m＝1，...，j；

B2、所述密钥分发中心计算经过(0，KG)，(x₁，y₁)，(x₂，y₂)，...，(x_l+1，y_l+1)，(x_l+2，y_l+2)，...，(x_j+1，y_j+1)点的1+j次多项式f(x)；

B3、所述密钥分发中心将所述多项式f(x)的多项式系数作为子密钥；

B4、所述密钥分发中心将所述子密钥和所述随机数r向群组内所有终端广播；

5、根据权利要求4所述的方法，其特征在于，步骤D进一步包括：

D1、收到含有所述子密钥和随机数r的广播信息的终端，利用与步骤B1中相同的单向函数、自身保存的共享保密数据和所述随机数r计算出y_i；

D2、所述终端利用步骤D1中计算出y_i、所述子密钥和所述共享数据x_i，根据 ${\mathrm{GK}}^{\′}=y_i-\underset{m=1}{\overset{l+j}{\mathrm{\Σ}}}{a}_m{x}_i^m$ 计算出组密钥。

6、根据权利要求5所述的方法，其特征在于，所述单向函数为HASH函数。

7、根据权利要求1所述的方法，其特征在于，步骤A中所述每个终端与所述密钥分发中心之间的共享保密数据不同。

8、根据权利要求1所述的方法，其特征在于，步骤A中所述组密钥KG是密钥分发中心产生的随机数。

9、根据权利要求1所述的方法，其特征在于，步骤B中所述若干子密钥是不相同的。

10、根据权利要求1所述的方法，其特征在于，步骤B中所述门限值大于该群组中终端的个数。