CN1801696A - 一种网格计算机环境下虚拟组织的密钥管理方案 - Google Patents

Abstract

网格计算环境下虚拟组织的密钥管理方案是一种用于在网格计算环境下，为动态虚拟组织的各个节点生成、分发和更新组密钥的密钥管理方案，该方案分为两个部分，即：密钥的生成与密钥更新，基于门限方案的组间通信与认证，在集中式和分布式两种组密钥管理方案的基础上，提出了新的层簇式密钥管理架构，并解决了这两种方案存在的安全缺陷。通过使用本发明提出的方案能保证网格计算安全需求的同时改善执行效能。

Description

一种网格计算环境下虚拟组织的密钥管理方案

技术领域

本发明是一种用于在网格计算环境下，为动态虚拟组织的各个节点生成、分发和更新组密钥的密钥管理方案，属于网格计算和信息安全的交叉技术应用领域。

背景技术

网格计算是伴随着互联网技术而迅速发展起来的，专门针对复杂科学计算的新型计算模式。这种计算模式是利用互联网把分散在不同地理位置的电脑组织成一个“虚拟的超级计算机”，其中每一台参与计算的计算机就是一个“节点”，而整个计算是由成千上万个“节点”组成的“一张网格”，所以这种计算方式叫网格计算。这样组织起来的“虚拟的超级计算机”有两个优势，一个是数据处理能力超强；另一个是能充分利用网上的闲置处理能力。简单地讲，网格是把整个网络整合成一台巨大的超级计算机，实现计算资源、存储资源、数据资源、信息资源、知识资源、专家资源的全面共享。

网格计算着眼于大型应用项目，按照全球网格论坛(Globus)的观点，大型应用项目应该由许多自治域协同完成，它们形成一个“虚拟组织”，各自治域拥有的计算资源在虚拟组织里共享，协同完成项目。网格计算就是在动态变化的，拥有多个部门或团体的复杂虚拟组织内，灵活、安全地协同资源共享与问题求解。所谓虚拟组织就是一些个人、组织或者资源的动态组合。这一概念强调的是网格是为虚拟组织服务的，网格必须具备动态、协同资源共享的特点。在网格计算环境中，由不同的自治域而形成的虚拟组织如图1所示。

在网格计算环境中，由于不同自治域有其自身的一些资源管理，任务调度等特性，因而不同自治域的认证系统也会不同，有基于层状，网状，列表状等不同公钥基础设施(PKI)模型。而虚拟组织是一个有着共同策略的组织，在组成虚拟组织时就需要有一种认证体系来统一管理这些不同的认证系统，在网格安全中，基于桥接认证机构的公钥基础设施是比较有前途的信任模型。但桥接认证中心(CA)的认证机制虽然能够充分利用现有的自治域的认证体系，但是当不同自治域的节点加入该虚拟组织的数目不多，虚拟组织的规模不太时，自治域内的认证较少，而自治域间的认证增多，这时使用桥接的域间认证花费时间较长，效率低，而由虚拟组织的发起者重新建立虚拟组织的认证体系则更有效，也更方便，因而我们就提出重新建立统一的虚拟组织的分布式认证。

网格计算环境下的虚拟组织中的密钥管理方案与安全组播通信中的密钥管理方案相似，是在倒置树的逻辑密钥层次管理方案上的延伸与扩展。由于虚拟组织中的各个成员时动态变化的，不时会有成员加入或退出该虚拟组织，因而密钥管理方案就需要为该动态虚拟组织的各个节点生成、分发和更新组密钥(GroupKey以下简称K)。组密钥是所有组成员节点共享的密钥，被用来对消息进行加解密、源端认证等操作，以满足私密性、认证性、完整性等需求。

目前，组密钥管理方案主要有两种基本形式：一是集中式的组密钥管理，二是分布式的组密钥管理。

集中式的组密钥管理如图2所示，在网络配置阶段，选择节点C作为组控制节点，它相对于普通节点而言，具有较好的计算能力和通信能力，组成员节点均为叶子节点，M_i表示组密钥管理下的第i个网络结点。加入新节点M₈时，组控制节点为其生成共享密钥k₈，无需更新密钥k₆₇和组密钥K，即能确保后向私密性。

若要删除被敌方控制的恶意节点，例如M₃，则为了保证前向私密性，必须更新密钥k₃₄₅和组密钥K。组控制节点C先用k₄加密新密钥k₄₅发送给M₄，然后再用k₄₅加密新的组密钥K’发送给M₄。依此类推，从而保证了M₃无法再用先前所知的密钥破坏组内通信。

该方案的主要缺点在于组控制节点需要保存的密钥数量过多，密钥更新占用带宽较大，当网络规模扩大时，易成为整个网络的瓶颈。

分布式的组密钥管理如图3所示。分布式组密钥管理无需组控制节点，其组密钥的产生由所有的组成员节点(叶子节点)协商产生。在网络配置阶段，可以约定，每一棵子树最左端的叶子节点为密钥协商的领导者(Leader)。M₁和M₂将按照某种算法协商出密钥k₁₂，M₃、M₄和M₅协商出密钥k₃₄₅，M₆和M₇协商出密钥k₆₇。作为Leader，M₁、M₃和M₆再协商出密钥K作为该组的组密钥。

考虑有新节点M₈加入的情况，则由M₁担任Leader的角色，与新节点M₈共同协商出新的组密钥K’。如图3所示，M₁将用K加密K’组播报文通知M₂…M₇。若要删除恶意节点M₁，则M₂将取代M₁作为该子树至该组的新的Leader，它将提供新的密钥k’₁₂，并与M₃、M₆协商出新的组密钥K’。

该方案的主要缺点在于缺乏集中控制机制，没有任何一个成员节点保持完整的密钥拓扑结构，难以确保每个成员节点在网络拓扑发生变化时维持信息的一致性。

发明内容

技术问题：本发明的目的是提供一种网格计算环境下虚拟组织的密钥管理方案，在集中式和分布式两种组密钥管理方案的基础上，提出了新的层簇式密钥管理架构，并解决了这两种方案存在的安全缺陷。通过使用本发明提出的方案能保证网格计算安全需求的同时改善执行效能。

技术方案：网格计算环境下的虚拟组织中的密钥管理方案是在倒置树的逻辑密钥层次管理方案上的延伸与扩展。由于虚拟组织中的各个成员时动态变化的，不时会有成员加入或退出该虚拟组织，因而密钥管理方案就需要为该动态虚拟组织的各个节点生成、分发和更新组密钥。组密钥是所有组成员节点共享的密钥，被用来对消息进行加解密、源端认证等操作，以满足私密性、认证性、完整性等需求。

针对于组密钥管理的安全需求和性能需求，综合集中式和分布式组密钥管理方案的优点，提出了一种新的适用于网格计算环境下虚拟组织的层簇式密钥管理方案，L₀层为最底层(L为层数，L_i为层数为L的第i层)，包含了所有的网格节点，这些节点按照簇生成协议(包括节点类型、通信半径及多跳次数)划分为不同的簇，例如M₁M₂M₃M₄四个节点为一簇，而这些簇就构成了组。每个簇都有一个Leader，可以约定子树的最左叶子节点为Leader。基于L₀层，每个簇的Leader又形成了L₁层，同样执行簇生成协议划分为不同的簇。以此往上类推，直至最高层只剩下一个节点。每一层均存在一个仅由层成员节点共享的层密钥实现层内通信，每一簇也均存在一个仅由簇成员节点共享的簇密钥实现簇内通信，每个簇的Leader都与该簇的其他成员建立了点对点的安全通道。

该方案分为两个部分，即：密钥的生成与密钥更新，基于门限方案(t，n)的组间通信与认证(其中t为阈值，而n为分组数目)，具体如下：

密钥生成与密钥更新：

1).簇密钥的生成：每个簇的领导者(Leader)负责与该簇的成员节点协商产生簇密钥，在最底层即L₀层，每一个节点M_i分别提供子密钥 $k_i=g^{s_i},$ 其中g为阶数为整数p阶的乘法循环群Z_p ^*的生成元，每个簇的领导者将计算该簇的簇密钥即 $\mathrm{ck}=g^{s_{a1}{s}_{a2}\·\·\·s_{\mathrm{an}}},$ 其中n为该簇的节点个数；

2).层密钥的生成：层密钥由该层所有簇的领导者(Leader)协商产生，或由密钥服务器负责产生，根据虚拟组织的配置情况而定；在层数为第L_i层，根据簇密钥ck₁ck₂…ck_n采用盲因子，计算出层密钥 $L_{i}K=g^{s_{b1}{s}_{b2}\·\·\·s_{\mathrm{bm}}},$ 其中n为该层簇的个数，m为该层节点数目；

3).组密钥的生成：由于所有节点均属于最底层，因此最底层的层密钥将作为该组的组密钥；

4).密钥的更新：当有新的节点加入时，根据簇生成协议和密钥生成协议，新成员节点将提供子密钥，并由该簇的领导者更新簇密钥；层数为第i层的层密钥更新是由密钥服务器或所有簇的领导者来完成，利用层数为第i+1层的层密钥加密，将新的层密钥组播发送给层数第i层所有簇的领导者，然后由这些领导者利用各自在层数第i层的簇密钥更新给其它成员节点，这样便能有效保证后向私密性；删除某个恶意节点M_i时，设节点M_i所在的最高层为L_j层，则需要更新层数为L₀-L_j层的层密钥以及节点M_i在各层所在簇的簇密钥，从层数为L₀层开始，若节点M_i是簇领导者，则由节点M_i+1担任节点M_i所在簇的新领导者，由领导者重新协商出该簇的簇密钥；更新完簇密钥之后，再由层数为L_j层开始，由上至下更新层密钥；密钥服务器或每一层的领导者可事先约定一个密钥更新函数为K′＝f(K，r)，其中r为随机数；当恶意节点被删除时，选一节点作为新的领导者，随机选择随机数r′，更新簇密钥ck′₃＝f(ck₃，r′)；密钥服务器能根据新的簇密钥来更新层密钥；

5).组内节点间的认证：由于该组所有的成员节点共享组密钥，即最底层的层密钥，易于实现节点间的认证，或是在虚拟组织的配置阶段为每一个节点提供唯一的标识(ID)，通过哈希函数和共享组密钥进行专门的身份认证；

基于门限方案(t，n)的组间通信与认证(其中t为阈值，而n为分组数目)：

某一区域将网格节点划分为组数为t个组，基于传统公钥密码体制，该区域的服务节点(Server)生成密钥对{PK，SK}，其中PK为公开密钥，SK为私有密钥；利用密钥分割算法，服务节点将为每一组生成子密钥对{Pk_i，sk_i}(i＝1，2，…，t)，其中pk_i为第i组的公开子密钥，sk_i为秘密子密钥；具体步骤如下：

步骤1：服务节点(Server)选择整数n(n＞2t)，并选择大素数p与q且满足等式(p-1)mod q＝0；

步骤2：服务节点(Server)根据阈值t，随机选择一组整数{a_i，i＝0，1，2，…，t-1}，并生成线性多项式 $f\left(x\right)=\underset{i=0}{\overset{t-1}{\mathrm{\Σ}}}{a}_i{x}^i\left(\mathrm{mod}q\right),$ 其中a_i∈[1，q-1]；

步骤3：服务节点(Server)随机选择整数c，计算 $\mathrm{\δ}{{=}_c}^{(p-1)/q}\left(\mathrm{mod}p\right)>1,$ 生成的δ为GF(p)中阶数为q的生成元；

步骤4：服务节点(Server)广播大素数p、q和生成元δ，即{p，q，δ}给每一组；

步骤5：服务节点(Server)再为每一组选择整数x_i(i＝0，1，2，…，n-1)，生成其各自的子密钥f(x_i)(mod q)和公开子密钥 $y_i{{=}_{\mathrm{\δ}}}^{f\left(x_i\right)}\left(\mathrm{mod}p\right);$

步骤6：当对消息(m)进行认证时，源节点可利用自己的子密钥f(x_i)(modq)以及某一随机整数来产生对消息m的签名，而目的节点则可利用其公开子密钥y_i对消息m进行合法性认证。

有益效果：

(1)如前所述，依据无线传感器网络组密钥管理的安全需求，层簇式的密钥管理方案完全满足前向私密性和后向私密性，密钥更新机制足以抵抗同谋破解的安全隐患，而共享组密钥则易于实现组内节点间的认证；

(2)层簇式的逻辑结构分散了密钥的存储量和计算量，既避免了集中式组密钥管理组控制节点的存储和计算瓶颈问题，又克服了分布式组密钥管理缺乏集中控制的缺陷；

(3)组间的通信与认证依赖于(t，n)门限方案的密钥分割算法，n值可根据区域容量来设定，增加了灵活性和可扩展性；

(4)密钥分割算法可采用线性插值或哈希(Hash)函数链来实现，可根据所需的安全级别和资源情况来进行选择；

(5)簇生成协议保证了分层分组的有效性，使得密钥管理的拓扑结构更加合理与高效，有利于平衡网络的通信流量和传输时延；

(6)层簇式密钥管理方案的节点逻辑结构、密钥更新路径均能较好地适应动态变化的网络环境，具有更强的可扩展性和可靠性。

附图说明

图1是网格计算环境下的虚拟组织结构示意图。

图2是集中式组密钥管理的拓扑结构示意图。

图3是分布式组密钥管理的拓扑结构示意图。

图4是网格计算环境下虚拟组织的密钥管理方案(层簇式密钥管理方案)的拓扑结构示意图。

图5是虚拟组织的多组管理模式结构示意图。

图6是密钥生成与更新流程图。

图7是基于(t，n)门限方案的组间通信与认证流程图。

其中M为节点，K为密钥，L为层数。

具体实施方式

以下结合附图对本发明做进一步的说明：

图1是网格计算环境下的虚拟组织结构示意图。在网格计算环境中，虚拟组织是由不同的自治域而形成的。

图2是集中式组密钥管理的拓扑结构示意图。在网络配置阶段，选择M节点(相对于普通节点而言，具有较好的计算能力和通信能力)作为组控制节点，组成员节点均为叶子节点。加入新节点M₈时，组控制节点为其生成共享密钥k₈，无需更新密钥k₆₇和组密钥K，即能确保后向私密性。

若要删除被敌方控制的恶意节点，例如M₃，则为了保证前向私密性，必须更新密钥k₃₄₅和组密钥K。组控制节点M先用k₄加密新密钥k₄₅发送给M4，然后再用k₄₅加密新的组密钥K’发送给M₄。依此类推，从而保证了M₃无法再用先前所知的密钥破坏组内通信。

图3是分布式组密钥管理的拓扑结构示意图。分布式组密钥管理无需组控制节点，其组密钥的产生由所有的组成员节点(叶子节点)协商产生。在网络配置阶段，可以约定，每一棵子树最左端的叶子节点为密钥协商的Leader。M₁和M₂将按照某种算法协商出密钥k₁₂，M₃、M₄和M₅协商出密钥k₃₄₅，M₆和M₇协商出密钥k₆₇。作为Leader，M₁、M₃和M₆再协商出密钥K作为该组的组密钥。

考虑有新节点M₈加入的情况，则由M₁担任Leader的角色，与新节点M₈共同协商出新的组密钥K’。如图3所示，M₁将用K加密K’组播报文通知M₂…M₇。若要删除恶意节点M₁，则M₂将取代M₁作为该子树至该组的新的Leader，它将提供新的密钥k’₁₂，并与M₃、M₆协商出新的组密钥K’。

图4是层簇式密钥管理方案的拓扑结构：合集中式和分布式组密钥管理方案的优点，提出了一种新的适用于网格计算环境下虚拟组织的层簇式密钥管理方案，如图4所示，L₀层为最底层，包含了所有的网格节点，这些节点按照簇生成协议(包括节点类型、通信半径及多跳次数)划分为不同的簇，例如M₁M₂M₃M₄四个节点为一簇，而这些簇就构成了组。每个簇都有一个Leader，可以约定子树的最左叶子节点为Leader。基于L₀层，每个簇的Leader又形成了L₁层，同样执行簇生成协议划分为不同的簇。以此往上类推，直至最高层只剩下一个节点。每一层均存在一个仅由层成员节点共享的层密钥实现层内通信，每一簇也均存在一个仅由簇成员节点共享的簇密钥实现簇内通信，每个簇的Leader都与该簇的其他成员建立了点对点的安全通道。

图5是虚拟组织的多组管理模式结构示意图。虚拟组织内结点分成两类：普通结点和虚拟组织server。由于网格节点的数目庞多，难以实现一组管理，通常采用多组管理的形式。如图5所示，组内通信采用图4的层簇式组密钥管理机制，而组间可借助于公钥密码体制实现安全链接与认证。

网格计算环境下虚拟组织的密钥管理方案分为两个部分：密钥的生成和更新，组间的通信和认证。以附图4为例，

1.密钥生成与密钥更新

(1)簇密钥的生成

每个簇的Leader负责与该簇的成员节点协商产生簇密钥。以图4为例，在L₀层，M₁M₂M₃M₄分别提供子密钥 $k_1=g^{s_1},k_2=g^{s_2},k_3=g^{s_3}$ 和 $k_4=g^{s_4},$ 其中g为p阶乘法循环群Z_p ^*的生成元。M₁将计算 ${\mathrm{ck}}_1=g^{s_1{s}_2{s}_3{s}_4}$ 作为该簇的簇密钥，同理可得 ${\mathrm{ck}}_2=g^{s_5{s}_6},{\mathrm{ck}}_3=g^{s_7{s}_8{s}_9{s}_{10}}$ 和 ${\mathrm{ck}}_4=g^{s_{11}{s}_{12}{s}_{13}}.$

(2)层密钥的生成

层密钥可由该层所有簇的Leader协商产生，也可以由密钥服务器负责产生，可根据虚拟组织的配置情况而定。仍以图4为例，在L₀层，一种最简单的算法是根据簇密钥ck₁…ck₄计算层密钥 $L_{0}K=g^{s_1{s}_2{s}_3\·\·\·s_{12}{s}_{13}}.$ 为了进一步增加安全性，在生成层密钥时可采用盲因子。如此一来，密钥服务器或Leader将层密钥广播给层成员节点时，恶意攻击者将难以窃取到真正的层密钥。例如，根据某一单向函数h(x)，M₁节点可随机选择盲因子b₁＝h(s₁)，并计算 ${\mathrm{ck}}_1{b}_1=g^{b_1{s}_2{s}_3{s}_4},$ M₂节点可随机选择盲因子b₂＝h(s₂)计算 ${\mathrm{ck}}_2{b}_2=g^{s_1{b}_2{s}_3{s}_4},$ 以此类推， ${\mathrm{ck}}_4{b}_{12}=g^{s_{11}{b}_{12}{s}_{13}},$ ${\mathrm{ck}}_4{b}_{13}=g^{s_{11}{s}_{12}{b}_{13}},$ 利用插入盲因子后的密钥，各成员节点仍然最终能得到 $L_{0}K=g^{s_1{s}_2{s}_3\·\·\·s_{12}{s}_{13}.}$

(3)组密钥的生成

由于所有节点均属于L₀层，因此L₀层的层密钥将作为该组的组密钥。

(4)密钥的更新

当有新的节点加入时，根据簇生成协议和密钥生成协议，新成员节点将提供子密钥，并由该簇的Leader更新簇密钥；层L_i的层密钥更新是由密钥服务器或所有簇的Leader来完成，利用L_i+1层的层密钥加密，将新的层密钥组播发送给L_i层所有簇的Leader，然后由这些Leader利用各自在L_i层的簇密钥更新给其它成员节点，这样便能有效保证后向私密性。

当要删除某个恶意节点时，在图4中以删除M₇节点为例，M₇节点所在的最高层为L₂层，为了满足前向私密性的需求，则需要更新L₀-L₂层的层密钥以及M₇节点在各层所在簇的簇密钥。在L₀层，由M₈节点担任M₇节点所在簇的新Leader，重新协商出该簇的簇密钥；同理，M₈节点作为L₁、L₂层新簇的Leader，均需要更新所在簇的簇密钥；更新完簇密钥之后，再由L₂层开始，由上至下更新层密钥。

为了进一步改善密钥更新的性能，密钥服务器或每一层的Leader可事先约定一个密钥更新函数K′＝f(K，r)，其中r为随机数。当M₇节点被删除时，M₈节点作为新的Leader，随机选择r′，更新簇密钥ck′₃＝f(ck₃，r′)；同理，密钥服务器也可根据新的簇密钥来更新层密钥。该方法还能减少带宽占用和网络流量。

(5)组内节点间的认证

由于该组所有的成员节点共享组密钥(即L₀层的层密钥)，易于实现节点间的认证。更规范的做法是在虚拟组织的配置阶段为每一个节点提供唯一的ID标识，通过哈希函数和共享组密钥进行专门的身份认证。

2.基于(t，n)门限方案的组间通信与认证

在地域上分布的异构网格计算环境下能自主地将计算任务从一个计算节点迁移到另一节点，并可与其他虚拟组织(VO)组织或资源组交互以实现作业和资源的管理和自适应。

虚拟组织内结点分成两类：普通结点和服务节点(Server).Server在虚拟组织形成时确定，不同于一般网格结点，虚拟组织Server要求能够长时间稳定工作，普通结点知道一台或多台所属虚拟组织的Server位置，定期将本地服务标识和访问频率发送给虚拟组织Server。Server统计该虚拟组织各种服务访问频率的分布情况和虚拟组织结点数量，计算需求近似度，确定管理服务范围，更新虚拟组织属性描述(VODL)文件.虚拟组织Server承担了比虚拟组织内普通结点更多的工作，但从虚拟组织外部来看，它和普通结点没有区别.

由于网格节点的数目庞多，难以实现一组管理，通常采用多组管理的形式。如图5所示，组内通信采用图4的层簇式组密钥管理机制，而组间可借助于公钥密码体制实现安全链接与认证。

基本思想：假设某一区域将网格节点划分为t个组，基于传统公钥密码体制，该区域的Server节点生成密钥对{PK，SK}，其中PK为公开密钥，SK为私有密钥。利用密钥分割算法，Server节点将为每一组生成子密钥对{pk_i，sk_i}(i＝1，2，…，t)，其中pk_i为第i组的公开子密钥，sk_i为秘密子密钥。

组间的通信与认证过程可描述如下：假设图5中的组1欲向组2发送报文m，组1先用组2的公开子密钥pk₂加密m得[m]_pk2，再利用自己的子密钥sk₁对密文(或其摘要)签名得Sig([m]_pk2)_sk1；组2收到Sig([m]_pk2)_sk1后，先用组1的公开子密钥pk₁验证签名是否有效，再用其子密钥sk₂解密[m]_pk2得到明文m。

以上方案有两个缺陷：(1)可扩展性差，当该区域新增大量节点并划分为新组时，密钥必须重新分割；(2)采用传统公钥密码体制，计算复杂度较大。基于(t，n)门限方案的线性插值算法能较好地解决这两个问题，具体过程描述如下：

步骤1：Server节点选择整数n(n＞2t)，并选择大素数p与q且满足等式(p-1)mod q＝0；

步骤2：Server节点根据t值，随机选择一组整数{a_i，i＝0，1，2，…，t-1}，并生成线性多项式 $f\left(x\right)=\underset{i=0}{\overset{t-1}{\mathrm{\Σ}}}{a}_i{x}^i\left(\mathrm{mod}q\right),$ 其中a_i∈[1，q-1]；

步骤3：Server节点随机选择整数c，计算 $\mathrm{\δ}{{=}_c}^{(p-1)/q}\left(\mathrm{mod}p\right)>1,$ 生成的δ为GF(p)中阶为q的生成元；

步骤4：Server节点广播{p，q，δ}给每一组；

步骤5：Server节点再为每一组选择整数x_i(i＝0，1，2，…，n-1)，生成其各自的子密钥f(x_i)(mod q)和公开子密钥 $y_i{{=}_{\mathrm{\δ}}}^{f\left(x_i\right)}\left(\mathrm{mod}p\right).$

步骤6：当对消息m进行认证时，源节点可利用自己的子密钥f(x_i)(mod q)以及某一随机整数来产生对消息m的签名，而目的节点则可利用其公开子密钥y_i对m进行合法性认证。

如此一来，即便网络规模由原先的t组变为3t/2组，也不需要重新进行密钥分割，线性多项式的计算也降低了复杂度。

如果需要进一步降低通信复杂度，可采用基于(t，n)门限方案和对称密码体制的简单Hash函数密钥链来实现组间认证。Server节点生成n(n＞2t)单位长度的Hash密钥链，每一组只需要保存链尾最后一个密钥即可，t组则共需要消耗t长度的密钥。簇与簇之间建立认证关系时，只需要用t值和链尾的密钥K即可实现认证；一旦K泄漏或者过了有效期，则利用Hash函数计算K’＝Hash(t，K)。依此类推，但一般要求网络时钟的同步，且该方案的安全性不及上述方案。

实施例：

密钥的生成与更新

1)首先生成簇密钥

每个簇的Leader负责与该簇的成员节点协商产生簇密钥。以图4为例，在L₀层，M₁M₂M₃M₄分别提供子密钥 $k_1=g^{s_1},k_2=g^{s_2},k_3=g^{s_3}$ 和 $k_4=g^{s_4},$ 其 中g为p阶乘法循环群Z_p ^*的生成元。M₁将计算 ${\mathrm{ck}}_1=g^{s_1{s}_2{s}_3{s}_4}$ 作为该簇的簇密钥，同理可得 ${\mathrm{ck}}_2=g^{s_5{s}_6},{\mathrm{ck}}_3=g^{s_7{s}_8{s}_9{s}_{10}}$ 和 ${\mathrm{ck}}_4=g^{s_{11}{s}_{12}{s}_{13}}.$

2)然后生成层密钥

层密钥可由该层所有簇的Leader协商产生，也可以由密钥服务器负责产生，可根据虚拟组织的配置情况而定。仍以图4为例，在L₀层，一种最简单的算法是根据簇密钥ck₁…ck₄计算层密钥 $L_{0}K=g^{s_1{s}_2{s}_3\·\·\·s_{12}{s}_{13}}.$ 为了进一步增加安全性，在生成层密钥时可采用盲因子。如此一来，密钥服务器或Leader将层密钥广播给层成员节点时，恶意攻击者将难以窃取到真正的层密钥。例如，根据某一单向函数h(x)，M₁节点可随机选择盲因子b₁＝h(s₁)，并计算 ${\mathrm{ck}}_1{b}_1=g^{b_1{s}_2{s}_3{s}_4},$ M₂节点可随机选择盲因子b₂＝h(s₂)计算 ${\mathrm{ck}}_2{b}_2=g^{s_1{b}_2{s}_3{s}_4},$ 以此类推， ${\mathrm{ck}}_4{b}_{12}=g^{s_{11}{b}_{12}{s}_{13}},$ ${\mathrm{ck}}_4{b}_{13}=g^{s_{11}{s}_{12}{b}_{13}},$ 利用插入盲因子后的密钥，各成员节点仍然最终能得到 $L_{0}K=g^{s_1{s}_2{s}_3\·\·\·s_{12}{s}_{13}}.$

3)再生成组密钥

由于所有节点均属于L₀层，因此L₀层的层密钥将作为该组的组密钥。

4)更新密钥

当有新的节点加入时，根据簇生成协议和密钥生成协议，新成员节点将提供子密钥，并由该簇的Leader更新簇密钥；层L_i的层密钥更新是由密钥服务器或所有簇的Leader来完成，利用L_i+1层的层密钥加密，将新的层密钥组播发送给L_i层所有簇的Leader，然后由这些Leader利用各自在L_i层的簇密钥更新给其它成员节点，这样便能有效保证后向私密性。

当要删除某个恶意节点时，在图4中以删除M₇节点为例，M₇节点所在的最高层为L₂层，为了满足前向私密性的需求，则需要更新L₀-L₂层的层密钥以及M₇节点在各层所在簇的簇密钥。在L₀层，由M₈节点担任M₇节点所在簇的新Leader，重新协商出该簇的簇密钥；同理，M₈节点作为L₁、L₂层新簇的Leader，均需要更新所在簇的簇密钥；更新完簇密钥之后，再由L₂层开始，由上至下更新层密钥。

为了进一步改善密钥更新的性能，密钥服务器或每一层的Leader可事先约定一个密钥更新函数K′＝f(K，r)，其中r为随机数。当M₇节点被删除时，M₈节点作为新的Leader，随机选择r′，更新簇密钥ck′₃＝f(ck₃，r′)；同理，密钥服务器也可根据新的簇密钥来更新层密钥。该方法还能减少带宽占用和网络流量。

5)组内节点间的认证

由于该组所有的成员节点共享组密钥(即L₀层的层密钥)，易于实现节点间的认证。更规范的做法是在虚拟组织的配置阶段为每一个节点提供唯一的ID标识，通过哈希函数和共享组密钥进行专门的身份认证。

组间通信与认证

传统的组间通信与认证方案有两个缺陷：

(1)可扩展性差，当该区域新增大量节点并划分为新组时，密钥必须重新分割；

(2)采用传统公钥密码体制，计算复杂度较大。

基于(t，n)门限方案的线性插值算法能较好地解决这两个问题，具体过程描述如下：

1)Server节点选择整数n(n＞2t)，并选择大素数p与q且满足等式(p-1)modq＝0；

2)Server节点根据t值，随机选择一组整数{a_i，i＝0，1，2，…，t-1}，并生

3)成线性多项式 $f\left(x\right)=\underset{i=0}{\overset{t-1}{\mathrm{\Σ}}}{a}_i{x}^i\left(\mathrm{midq}\right),$ 其中a_i∈[1，q-1]；

3)Server节点随机选择整数c，计算 $\mathrm{\δ}{{=}_c}^{(p-1)/q}\left(\mathrm{mod}p\right)>1,$ 生成的δ为GF(p)中阶为q的生成元；

4)Server节点广播{p，q，δ}给每一组；

5)Server节点再为每一组选择整数x_i(i＝0，1，2，…，n-1)，生成其各自的子密钥f(x_i)(mod q)和公开子密钥 $y_i{{=}_{\mathrm{\δ}}}^{f\left(x_i\right)}\left(\mathrm{mod}p\right).$

6)当对消息m进行认证时，源节点可利用自己的子密钥f(x_i)(mod q)以及某一随机整数来产生对消息m的签名，而目的节点则可利用其公开子密钥y_i对m进行合法性认证。

专利中出现的符号说明

Claims (1)

1.一种网格计算环境下虚拟组织的密钥管理方案，其特征在于该方案分为两个部分，即：密钥的生成与密钥更新，基于门限方案的组间通信与认证，具体如下：

密钥生成与密钥更新：

1).簇密钥的生成：每个簇的领导者负责与该簇的成员节点协商产生簇密钥，在最底层即L₀层，每一个节点M_i分别提供子密钥 $k_1=g^{s_i},$ 其中g为阶数为整数p阶的乘法循环群Z_p ^*的生成元，每个簇的领导者将计算该簇的簇密钥即 $\mathrm{ck}=g^{s_{a1}{s}_{a2}\·\·\·s_{\mathrm{an}}},$ 其中n为该簇的节点个数；

2).层密钥的生成：层密钥由该层所有簇的领导者协商产生，或由密钥服务器负责产生，根据虚拟组织的配置情况而定：在层数为第L_i层，根据簇密钥ck₁ ck₂…ck_n采用盲因子，计算出层密钥 $L_{i}K=g^{s_{b1}{s}_{b2}\·\·\·s_{\mathrm{bm}}},$ 其中n为该层簇的个数，m为该层节点数目；

3).组密钥的生成：由于所有节点均属于最底层，因此最底层的层密钥将作为该组的组密钥；

4).密钥的更新：当有新的节点加入时，根据簇生成协议和密钥生成协议，新成员节点将提供子密钥，并由该簇的领导者更新簇密钥；层数为第i层的层密钥更新是由密钥服务器或所有簇的领导者来完成，利用层数为第i+1层的层密钥加密，将新的层密钥组播发送给层数第i层所有簇的领导者，然后由这些领导者利用各自在层数第i层的簇密钥更新给其它成员节点，这样便能有效保证后向私密性；删除某个恶意节点M_i时，设节点M_i所在的最高层为L_i层，则需要更新层数为L₀-L_j层的层密钥以及节点M_i在各层所在簇的簇密钥，从层数为L₀层开始，若节点M_i是簇领导者，则由节点M_i+1担任节点M_i所在簇的新领导者，由领导者重新协商出该簇的簇密钥：更新完簇密钥之后，再由层数为L_j层开始，由上至下更新层密钥；密钥服务器或每一层的领导者可事先约定一个密钥更新函数为K′＝f(K，r)，其中r为随机数；当恶意节点被删除时，选一节点作为新的领导者，随机选择随机数r′，更新簇密钥ck′₃＝f(ck₃，r′)；密钥服务器能根据新的簇密钥来更新层密钥；

5).组内节点间的认证：由于该组所有的成员节点共享组密钥，即最底层的层密钥，易于实现节点间的认证，或是在虚拟组织的配置阶段为每一个节点提供唯一的标识(ID)，通过哈希函数和共享组密钥进行专门的身份认证；

基于门限方案(t，n)的组间通信与认证：其中t为阈值，n分为组数目

某一区域将网格节点划分为组数为t个组，基于传统公钥密码体制，该区域的服务节点生成密钥对{PK，SK}，其中PK为公开密钥，SK为私有密钥。利用密钥分割算法，服务节点将为每一组生成子密钥对{pk_i，sk_i}(i＝1，2，…，t)，其中pk_i为第i组的公开子密钥，sk_i为秘密子密钥；具体步骤如下：

步骤1：服务节点选择整数n(n＞2t)，并选择大素数p与q且满足等式(p-1)mod q＝0；

步骤2：服务节点(Server)根据阈值t，随机选择一组整数{α_i，i＝0，1，2，…，t-1}，并生成线性多项式 $f\left(x\right)=\underset{i=0}{\overset{t-1}{\mathrm{\Σ}}}{a}_i{x}^i\left(\mathrm{mod}q\right),$ 其中α_i∈[1，q-1]；

步骤3：服务节点随机选择整数c，计算 $\mathrm{\δ}=c^{(p-1)/q}\left(\mathrm{mod}p\right)>1,$ 生成的δ为GF(p)中阶数为q的生成元；

步骤4：服务节点广播大素数p、q和生成元δ，即{p，q，δ}给每一组；

步骤5：服务节点再为每一组选择整数x_i(i＝0，1，2，…，n-1)，生成其各自的子密钥f(x_i)(mod q)和公开子密钥 $y_i={\mathrm{\δ}}^{f\left(x_i\right)}\left(\mathrm{mod}p\right);$

步骤6：当对消息(m)进行认证时，源节点可利用自己的子密钥f(x_i)(mod q)以及某一随机整数来产生对消息m的签名，而目的节点则可利用其公开子密钥y_i对消息m进行合法性认证。

Images