WO2012003689A9 - 分布式动态密钥管理方法及装置 - Google Patents

Abstract

本发明公开了分布式动态密钥管理方法及装置，其中一个方法包括：可信中心计算每个子密钥管理员的子密钥并发送给相应的子密钥管理员，同时计算并公开每个子密钥管理员的子密钥验证信息；当有子密钥管理员需要更新子密钥时，子密钥管理员选定其子密钥更新份额并对其子密钥进行更新，同时计算其子密钥更新验证信息并发送给可信中心。另一个方法包括：每个子密钥管理员根据其他子密钥管理员发来的部分子密钥和子密钥管理员自己产生的部分子密钥计算出子密钥管理员的子密钥，同时计算并保存子密钥管理员的子密钥验证信息；当有子密钥管理员的子密钥需要更新时，选择其子密钥更新份额并对其子密钥进行更新并计算子密钥更新份额累加和并保存；本发明提高了子密钥更新的效率和安全性。

Description

分布式动态密钥管理方法及装置 技术领域

本发明涉及网络通信安全技术领域， 尤其涉及分布式动态密钥技术领 域。 背景技术

分布式网络密钥管理利用了门限密码学的基本思想，在 (t,n)门限密钥共 享模型中， 将共享密钥分解为 n个子密钥交给 n个管理员保管， 当子密钥 的数目等于或者超过门限值 t(t小于或者等于 n)时， 才可以恢复出共享的密 钥， 从而更好的保护了共享密钥的安全性。 分布式密钥管理有很多应用场 景， 如 WAPI协议、 移动自组织网络等。

如果各个管理员的子密钥在密钥共享的整个生命周期内保持不变， 那 么攻击者就可以逐个攻击各管理员从而获取足够的子密钥。 动态密钥共享 在共享密钥保持不变的情况下定期的更新各管理员的子密钥， 管理员的子 密钥更新后， 攻击者以前获取的子密钥在当前周期是无效的， 如果在任何 周期内攻击者获取的子密钥小于门限值 t, 共享密钥仍然是安全的。

现有的动态密钥共享方法主要有两种： 一是子密钥更新份额由各子密 钥管理员产生； 二是子密钥更新份额由可信第三方产生。

现有动态密钥共享方法具有以下缺点：

对于上述第一种方法， 需要多个子密钥管理员进行大量的子密钥更新 份额交互才能完成，尤其应用于移动自组织网络（ Mobile Ad-hoc NETworks, MANET )时有很大的局限性， 因为移动自组织网络的网络节点组织结构是 动态变化的， 必须釆用无中心的分布式控制方式， 因为在需要进行大量的 交互完成更新的过程中， 这对于无线终端有限的能源造成了不利的影响； 如果某个活动的节点状态在更新过程中转化为不活动状态， 更新将无法完 成， 为了完成更新过程， 各个节点需要重新启动一次更新过程， 从而降低 了效率， 并且， 由于更新过程需要大量的交互行为， 这导致攻击者有更多 的机会攻击网络；

对于上述第二种方法， 更新阶段的安全性与否主要取决于第三方会不 会主动泄露各个子密钥管理员的子密钥更新份额， 而如何将子密钥更新份 额从可信的第三方传递到各个子密钥的管理员， 并且保证子密钥安全性、 秘密性、 完整性也是一个无法避免的问题； 并且这种方法没有考虑到在攻 击者获取管理员子密钥的条件下， 子密钥更新份额被窃取的情形； 并且， 在更新周期到来或者需要更新的情况下， 各个管理员的密钥必须同步更新， 如果任何一个管理员更新失败， 都将导致更新的失败， 各个管理员拥有的 仍然是更新前的子密钥； 当更新失败时， 需要重启更新过程来完成更新。 发明内容

鉴于上述的分析， 本发明旨在提供分布式动态密钥管理方法及装置， 用以解决现有动态密钥共享方法中子密钥更新所带来的效率低及安全性差 等问题。

本发明的目的主要是通过以下技术方案实现的：

本发明提供了一种分布式动态密钥管理方法， 包括：

可信中心计算每个子密钥管理员的子密钥并发送给相应的子密钥管理 员， 同时计算并公开每个子密钥管理员的子密钥验证信息；

当有子密钥管理员需要更新子密钥时， 所述子密钥管理员选定其子密 钥更新份额并据此对其子密钥进行更新， 同时计算其子密钥更新验证信息 并发送给所述可信中心；

所述可信中心在接收到所述子密钥管理员发来的子密钥更新验证信息 后， 根据接收到的子密钥更新验证信息修改所述子密钥管理员的子密钥验 证信息并重新公开。

进一步地， 该方法还包括： 当到达密钥的更新周期时， 每个子密钥管 理员分别根据所述子密钥更新份额对其子密钥进行更新， 同时计算其子密 钥更新验证信息并发送给所述可信中心； 所述可信中心根据接收到的每个 子密钥管理员的子密钥更新验证信息修改对应的子密钥验证信息并重新公 开。

进一步地， 所述所有子密钥管理员根据所述子密钥更新份额对其子密 钥进行更新的步骤具体包括：

所述子密钥管理员选择确定其子密钥更新份额并据此对其子密钥进行 更新； 或者，

所述可信中心根据每个所述子密钥管理员的身份标识计算生成对应的 子密钥更新份额并发送给对应的子密钥管理员， 修改并重新公开每个所述 子密钥管理员的子密钥验证信息； 每个所述子密钥管理员根据所述可信中 心生成的子密钥更新份额和所述子密钥管理员自己产生的子密钥更新份额 对其子密钥进行更新。

进一步地， 所述子密钥管理员根据所述可信中心生成的子密钥更新份 额和所述子密钥管理员自己产生的子密钥更新份额对其子密钥进行更新的 步骤具体包括：

所述子密钥管理员收到所述可信中心发来的子密钥更新份额后，根据所 述可信中心重新公开的子密钥验证信息和其接收到的子密钥更新份额验证 所述可信中心是否存在欺 «行为， 当确认不存在欺骗行为时所述子密钥管理 员自己产生子密钥更新份额， 并根据所述可信中心发来的子密钥更新份额和 所述子密钥管理员自己产生的子密钥更新份额对其子密钥进行更新。

进一步地， 所述子密钥管理员根据所述可信中心生成的子密钥更新份 额和所述子密钥管理员自己产生的子密钥更新份额对其子密钥进行更新的

更正页 (细则第 91条) 步骤还包括：

当所述子密钥管理员根据所述可信中心重新公开的子密钥验证信息和 其接收到的子密钥更新份额验证所述可信中心存在欺骗行为时， 所述子密 钥管理员拒绝本次更新， 并通知其他子密钥管理员可信中心存在欺骗行为， 终止更新过程。

本发明还提供了一种分布式动态密钥管理装置， 包括： 可信中心和多 个子密钥管理员， 其中，

所述可信中心， 用于计算每个所述子密钥管理员的子密钥并发送给对 应的子密钥管理员， 同时计算并公开每个所述子密钥管理员的子密钥验证 信息； 以及在接收到所述子密钥管理员发来的子密钥更新验证信息后， 根 据接收到的子密钥更新验证信息修改所述子密钥管理员的子密钥验证信息 并重新公开；

所述子密钥管理员， 用于在需要更新其子密钥时， 选择其子密钥更新 份额并据此对其子密钥进行更新， 同时计算其子密钥更新验证信息并发送 给所述可信中心。

进一步地， 所述子密钥管理员， 还用于在到达密钥的更新周期时， 根 据所述子密钥更新份额对其子密钥进行更新， 同时计算其子密钥更新验证 信息并发送给所述可信中心；

所述可信中心， 还用于根据接收到的每个所述子密钥管理员发来的子 密钥更新验证信息修改对应的子密钥验证信息并重新公开。

进一步地， 所述子密钥管理员根据所述子密钥更新份额对其子密钥进 行更新为：

所述子密钥管理员选择其子密钥更新份额并据此对其子密钥进行更 新， 或者， 根据接收到的所述可信中心生成的子密钥更新份额和所述子密 钥管理员自己产生的子密钥更新份额对其子密钥进行更新； 所述可信中心， 还用于根据每个所述子密钥管理员的身份标识计算生 成对应的子密钥更新份额并发送给对应的子密钥管理员， 修改并重新公开 每个所述子密钥管理员的子密钥验证信息。

进一步地， 所述子密钥管理员根据所述可信中心生成的子密钥更新份 额和所述子密钥管理员自己产生的子密钥更新份额对其子密钥进行更新 为： 根据所述可信中心重新公开的子密钥验证信息和其接收到的子密钥更 新份额验证所述可信中心是否存在欺骗行为， 当确认不存在欺骗行为时所 述子密钥管理员自己随机产生子密钥更新份额， 并根据所述可信中心发来 的子密钥更新份额、 所述子密钥管理员自己产生的子密钥更新份额对其子 密钥进行更新。

进一步地， 所述子密钥管理员， 还用于在收到所述可信中心发来的子 密钥更新份额， 并且所述子密钥管理员根据所述可信中心重新公开的子密 钥验证信息和其接收到的子密钥更新份额验证确认所述可信中心存在欺骗 行为时， 拒绝本次更新， 并通知其他子密钥管理员可信中心存在欺骗行为， 终止更新过程。

本发明还提供了一种分布式动态密钥管理方法， 包括：

每个子密钥管理员接收其他子密钥管理员发来的部分子密钥， 并根据 其他子密钥管理员发来的部分子密钥和所述子密钥管理员自己产生的部分 子密钥计算出所述子密钥管理员的子密钥， 同时计算并保存所述子密钥管 理员的子密钥验证信息；

当有子密钥管理员的子密钥需要更新时， 该子密钥管理员选择其子密 钥更新份额并对其子密钥进行更新， 同时计算子密钥更新份额累加和并保 存。

进一步地， 所述方法还包括： 当到达密钥的更新周期时， 所有所述子 密钥管理员分别选定其子密钥更新份额并据此对其子密钥进行更新， 同时 计算其子密钥更新份额累加和并保存。

进一步地， 所述方法还包括：

对于在密钥更新周期中不活动的子密钥管理员， 当该子密钥管理员的 状态从不活动转换为活动时， 该子密钥管理员选择其子密钥更新份额并据 此对其子密钥进行更新， 同时计算其子密钥更新份额累加和并保存， 并且 置该子密钥管理员新周期的子密钥为已更新标识。

本发明还提供了一种分布式动态密钥管理装置， 包括： 多个子密钥管 理员，

每个所述子密钥管理员， 用于接收其他子密钥管理员发来的部分子密 钥， 并根据其他子密钥管理员发来的部分子密钥和该子密钥管理员自己产 生的部分子密钥计算出所述子密钥管理员的子密钥， 同时计算并保存所述 子密钥管理员的子密钥验证信息； 并且， 当所述子密钥管理员的子密钥需 要更新或者到达密钥的更新周期时， 所述子密钥管理员选择其子密钥更新 份额并据此对其子密钥进行更新， 同时计算其子密钥更新份额累加和并保 存。

进一步地， 对于在更新周期中不活动的子密钥管理员， 当该子密钥管 理员的状态从不活动转换为活动时， 该子密钥管理员还用于， 选择其子密 钥更新份额并据此对其子密钥进行更新， 同时计算其子密钥更新份额累加 和并保存， 并且置该子密钥管理员新周期的子密钥为已更新标识。

本发明有益效果如下： 本发明提高了子密钥更新的效率和安全性。 本发明的其他特征和优点将在随后的说明书中阐述， 并且， 部分的从 说明书中变得显而易见， 或者通过实施本发明而了解。 本发明的目的和其 他优点可通过在所写的说明书、 权利要求书、 以及附图中所特别指出的结 构来实现和获得。 附图说明

图 1为本发明第一种动态密钥管理方法的流程示意图；

图 2为本发明第一方法实施例的流程示意图；

图 3为本发明第二种动态密钥管理方法的流程示意图；

图 4为本发明第二方法实施例的流程示意图。 具体实施方式

下面结合附图来具体描述本发明的优选实施例， 其中， 附图构成本申 请一部分， 并与本发明的实施例一起用于阐释本发明的原理。

首先， 结合附图 1和附图 2对本发明第一种动态密钥管理方法进行详 细说明。

图 1为本发明第一种动态密钥管理方法的流程示意图， 如图 1所示， 对于存在可信第三方即可信中心参与的情形下， 具体可以包括如下步骤： 步骤 101 : 各个子密钥管理员分别公开自己的身份标识；

步骤 102: 可信中心根据各个子密钥管理员公开的身份标识计算各个 子密钥管理员的子密钥， 并将计算得到的各个子密钥管理员的子密钥发送 给相应的子密钥管理员， 同时根据各个子密钥管理员的身份标识计算并公 开该子密钥管理员的子密钥验证信息；

步骤 103: 子密钥管理员收到可信中心发来的子密钥后， 根据可信中心 公开的子密钥验证信息验证其接收到的子密钥的正确性；

步骤 104: 当有某个子密钥管理员的子密钥的安全性受到了威胁或者其 他情况需要更新子密钥时， 该子密钥管理员自己选择子密钥更新份额并完 成其子密钥的更新， 即该子密钥管理员在（t, n )门限中随机选取自己的子 密钥更新份额， 根据选取的子密钥更新份额计算对应的子密钥更新验证信 息发并送给可信中心； 可信中心收到该子密钥管理员发来的子密钥更新验 证信息后修改该子密钥管理员的子密钥验证信息并重新公开； 步骤 105: 当到达密钥的更新周期时， 所有子密钥管理员分别根据所述 子密钥更新份额完成自己的子密钥的更新， 更新方法包括两种：

( 1 )由各个子密钥管理员分别选择子密钥更新份额并自己完成自己子 密钥的更新， 具体更新过程同步骤 104中所描述内容；

( 2 )可信中心和子密钥管理员共同完成子密钥的更新；具体的说就是， 可信中心根据各个子密钥管理员的身份标识计算生成该子密钥管理员的子 密钥更新份额， 同时修改子密钥验证信息并重新公开， 将子密钥更新份额 发送给对应的子密钥管理员； 子密钥管理员收到可信中心发来的子密钥更 新份额后， 根据可信中心重新公开的验证信息和其接收到的子密钥更新份 额验证可信中心是否存在欺骗行为， 如果不存在欺骗行为， 子密钥管理员 在（t, n )门限中随机选取自己的子密钥更新份额， 然后利用可信中心生成 的子密钥更新份额、 该子密钥管理员自己生产的子密钥更新份额和当前的 子密钥共同得出更新后的子密钥； 如果存在欺骗行为， 该子密钥管理员拒 绝更新， 并向其他管理员发送可信中心存在欺骗行为的消息， 终止更新过 程。

需要说明的是， 子密钥更新份额可以由子密钥管理员单独选择， 也可 以由子密钥管理员和可信中心共同选择。

为了便于理解本发明第一种方法， 下面将举个具体的例子进一步说明。 如图 2所示， 图 2为本发明第一方法实施例的流程示意图， 本发明第 一方法实施例应用于无线局域网鉴别和保密基础结构 （Wireless LAN Authentication and Privacy Infrastructure , WAPI )协议中, 以 ( 3 , 5 ) 门限 为例，门限值为 3 , 有 5个认证服务为 ASU1、 ASU2、 ASU3、 ASU4、 ASU5 , AP为访问接入点， MT为网络移动终端设备， IDi为认证服务器 ASUi公开 的身份标识， Si为可信中心根据 IDi计算得到的 ASUi的子密钥（ i=l,2,...,n ), S为签名私钥； 具体可以包括如下步骤： 步骤 201 : MT登陆到 AP, AP向 MT发送认证激活， 以启动认证过程； 具体的， MT向 AP发出认证请求， 将 MT证书和 MT接入认证请求时间发 往 AP;

步骤 202: AP收到 MT的接入认证请求后 ,随机选择 3个 ASU( ASU1、 ASU3、 ASU5 ), 并将 MT证书、 接入认证请求时间、 AP证书并利用 AP 的私钥对 MT证书、 接入认证请求时间、 AP证书进行签名构成证书认证请 求才艮文， 发送给 ASU1、 ASU3、 ASU5; ASU1、 ASU3、 ASU5用自己的子 密钥对 AP证书中的 AP公钥信息以及 MT证书中的 MT公钥信息签名生成 子证书， ASU 1、 ASU3、 ASU5相互交换子证书后， 根据验证信息验证子 证书的有效性；

步骤 203 : ASU1、 ASU3、 ASU5合并子证书， 并与认证请求 4艮文中的 MT证书和 AP证书比较得出验证结果后， 向 AP发送认证请求响应报文； 步骤 204: AP收到 ASU1、 ASU3、 ASU5发来的认证响应报文后， 根 据 ASU1、 ASU3、 ASU5对 MT的证书验证结果决定是否允许 MT接入网 络； 如果所有的证书验证请求报文对 MT 的证书验证都通过， 则允许 MT 接入网络， AP向 MT发送接入认证响应报文，之后， MT根据 ASU1、 ASU3、 ASU5对 AP证书的验证结果决定是否接入该 AP, 如果所有的接入认证请 求报文对 AP的证书验证通过， 则 MT决定接入该 AP; 如果证书认证通过， 则 AP和 MT之间进行密钥协商， 用协商的密钥进行通信；

步骤 205: 当其中某个认证服务器的子密钥的安全性受到了威胁或者因 为其他原因需要进行更新时（本发明实施例假定认证服务器 ASU3 需要更 新子密钥）， ASU3 随机选择子密钥更新份额并独自完成子密钥的更新， 然 后计算更新后子密钥的验证信息发送给可信中心； 具体的说就是， ASU3在 域（Ι,Ν)上随机的选取 B3 为 自 己子密钥更新份额， 然后根据点值 (0,0),(ID1,0),(ID2,0),(ID3,B3),(ID4,0),(ID5,0)进行拉格朗日插值，得到一个多 项式为 F₃(x)≡ 3 [ (^x— ⁰)(^χ— ^Z) )_≡a₃₁x+a₃₂x²+a₃₃x³+a₃₄x⁴+a₃₅x⁵modN, 计算 得到验证信息 a_3iG并发送给可信中心， 同时根据子密钥更新份额更新自己 的子密钥， 更新后的子密钥 S3≡S3+B3mod N; 可信中心收到 ASU3发来的 更新验证信息后， 修改 ASU3 的子密钥验证信息并重新公开， 修改后的子 密钥验证信息 0= 0+&₃^(ί=1,2,...,5);

步骤 206: 在第 Τ个周期需要更新认证服务器的子密钥， 即 ASU1、 ASU2、 ASU3、 ASU4和 ASU5都要更新自己的子密钥；

需要说明的是， 对于子密钥的更新， 根据是否需要可信中心生成子密 钥更新份额可以包括两种方法： 第一种方法是认证服务器自己选择子密钥 更新份额并且自己完成子密钥的更新， 更新过程与步骤 205描述内容相同； 第二种方法为所有认证服务器和可信中心共同完成子密钥的更新， 即可信 中心在域（Ι,Ν)上随机的选择一个常数项为零的 5 次多 项式 根据认证服务器 ASUi公开 的身份标识 IDi计算子密钥更新份额 Ci≡F(IDi)modN,计算并更新验证信息 aiG=ai^(T)G+aiG, 并将子密钥更新份额 Ci发送给 ASUi; 认证服务器 ASUi 收到 Ci 后利用 可信中 心公开的验证信息验证等式 CiG= ai^(T)(IDi)G+a₂ ^(T)(IDi)²G+a₃ ^(T)(IDi)³G+a₄ ^(T)(IDi)⁴G+a₅ ^(T)(IDi)⁵G是否成立， 如果 成立不存在欺骗行为， 认证服务器 ASUi 自身产生子密钥更新份额 Bi, 然 后根据 Ci、： Bi和原来的子密钥得出更新后的子密钥，即 Si≡Si+Bi+CiMod N, 同时计算并发送更新后的子密钥验证信息 _aijG给可信中心， 可信中心修改 子密钥验证信息 0=&_ϋΟ+ 0(ί=1,2,...,5, j=l,2,...,5)。

如果釆用第一种方法， 包括步骤 207和步骤 208, 其中，

步骤 207: ASU1、 ASU2、 ASU3、 ASU4和 ASU5 自己分别选择子密 钥更新份额并且自己完成子密钥的更新， 然后计算更新后子密钥的验证信 息发送给可信中心； 步骤 208: 可信中心收到 ASU1、 ASU2、 ASU3、 ASU4和 ASU5分别 发来的更新验证信息后， 更新验证信息；

如果釆用第二种方法， 包括步骤 209〜步骤 211 , 其中，

步骤 209: 可信中心产生 ASU1、 ASU2、 ASU3、 ASU4和 ASU5的子 密钥更新份额， 将子密钥更新份额发送给 ASU1、 ASU2、 ASU3、 ASU4和 ASU5 , 并且修改 ASU1、 ASU2、 ASU3、 ASU4和 ASU5的子密钥更新验 证信息；

步骤 210: ASU1、 ASU2、 ASU3、 ASU4和 ASU5收到可信中心发给 其的子密钥更新份额后， 分别根据可信中心公开的验证信息验证其接收到 的子密钥更新份额是否存在欺骗行为， 如果存在欺骗行为， 执行步骤 211 ; 如果不存在欺骗行为， 则转向步骤 212;

步骤 211 : 通知其他 ASU拒绝更新， 终止更新过程；

步骤 212: 按照步骤 205描述的过程完成子密钥的更新。

接下来， 对本发明第一种动态密钥管理装置进行详细说明。

本发明第一种动态密钥管理装置具体可以包括： 可信中心和多个子密 钥管理员， 其中，

可信中心， 负责计算每个子密钥管理员的子密钥并发送给对应的子密 钥管理员， 同时计算并公开每个子密钥管理员的子密钥验证信息； 并且， 可信中心在接收到子密钥管理员发来的子密钥更新验证信息后， 根据接收 到的子密钥更新验证信息修改子密钥管理员的子密钥验证信息并重新公 开；

子密钥管理员， 在需要更新其子密钥时， 该子密钥管理员选择其子密 钥更新份额并据此对其子密钥进行更新， 同时计算其子密钥更新验证信息 并发送给可信中心；

当到达密钥的更新周期时， 子密钥管理员根据所述子密钥更新份额对 其子密钥进行更新， 同时计算其子密钥更新验证信息并发送给可信中心； 可信中心根据接收到的每个子密钥管理员发来的子密钥更新验证信息修改 对应的子密钥验证信息并重新公开； 具体的说就是， 当到达密钥的更新周 期时， 可以通过两种方法完成子密钥的更新： 一种方法是， 子密钥管理员 自己选择其子密钥更新份额并据此对其子密钥进行更新； 另一种方法是， 可信中心根据每个子密钥管理员的身份标识计算生成对应的子密钥更新份 额并发送给对应的子密钥管理员， 修改并重新公开每个子密钥管理员的子 密钥验证信息； 子密钥管理员根据接收到的所述可信中心生成的子密钥更 新份额和所述子密钥管理员自己产生的子密钥更新份额对其子密钥进行更 新； 其中第二种方法中， 子密钥管理员在收到可信中心发来的子密钥更新 份额时， 子密钥管理员根据可信中心重新公开的子密钥验证信息和其接收 到的子密钥更新份额验证可信中心是否存在欺骗行为， 当确认不存在欺骗 行为时子密钥管理员自己随机产生子密钥更新份额， 并根据可信中心发来 的子密钥更新份额、 子密钥管理员自己产生的子密钥更新份额对其子密钥 进行更新； 如果子密钥管理员根据可信中心重新公开的子密钥验证信息和 其接收到的子密钥更新份额验证确认可信中心存在欺骗行为， 子密钥管理 员拒绝本次更新， 并通知其他子密钥管理员可信中心存在欺骗行为， 终止 更新过程。

接下来， 结合附图 3和附图 4对本发明第二种动态密钥管理方法进行 详细说明。

如图 3所示，图 3为本发明第二种动态密钥管理方法的流程示意图， 对 于网络组织结构动态变化的情形或者无可信中心参与的情况下，如 MANET 网络， 设定门限为 （t, n ), t为门限值， n为节点数， 所述第二种动态密钥 管理方法可以包括如下步骤：

步骤 301 : 网络中 n个节点的每个节点（该节点就相当于前面所述的子 密钥管理员）分别根据自己的身份标识计算本节点的部分子密钥及验证信 息， 然后与其他节点相互交换部分子密钥及验证信息；

步骤 302:每个节点根据其他节点发来的部分子密钥和本节点自己产生 的部分子密钥计算出本节点的子密钥， 同时根据本节点的部分子密钥验证 信息验证本节点的部分子密钥的正确性， 然后计算并保存本节点的子密钥 验证信息；

步骤 303： 当其中某个节点的子密钥的安全性受到了威胁或者因为其他 原因需要进行更新时， 该节点随机选择子密钥更新份额并完成自己的子密 钥的更新， 同时计算子密钥更新累加和并保存；

步骤 304: 到达更新周期时， 所有节点分别选择子密钥更新份额并完成 子密钥的更新， 同时计算子密钥更新累加和并保存； 对于在所有节点更新 过程中的不活动节点， 当其变为活动节点后， 于更新周期已过， 且当前周 期的更新标志为未更新， 然后按照步骤 303 的方法完成子密钥的更新， 并 且置节点新周期的子密钥为已更新标识。

为了便于理解本发明第二种方法， 下面将举个具体的例子进一步说明。 如图 4所示， 图 4为对本发明第二方法实施例的流程示意图， 本发明 第二方法实施例应用于移动自组织网络 （Adhoc) , 以（5,10)门限为例， P1, P2,..., P10为网络中的节点， IDi为对应节点公开的身份标识。

步骤 401 : 网络中的节点完成子密钥的生成； 具体的说就是， 网络 10 个节点分别在域 (Ι,Ν)上随机的选择一个常数项非零的 10次多项式，并且根 据本节点的 IDi(i=l,2,...,10)计算节点的部分子密钥， 然后相互交换部分子密 钥信息和验证信息； 具体的说就是， 节点 Pi在域 (Ι,Ν)随机的选取一个常数 项非零的多项式 Fi(x)=a_io+a_ilx+a_i2x²+...+a_ilox¹⁽⁾Mod N,计算部分子密钥 Fi(IDj) 和验证信息 _ϋΟ(ί=1,2,···,10,」=1,2,···,10)发送给 Pj(j=l,2,.."10 ≠i), G表示基 点. 每个节点收到其他 9个节点发来的部分子密钥和验证信息后， 根据部 分子密钥验证信息验证其他 9 节点是否存在欺骗行为， 确认都不存在欺骗 行为后根据其他 9个节点的部分子密钥和本节点自身产生的部分子密钥计 算出本节点的子密钥， 然后计算并保存子密钥验证信息； 具体的说就是， 节点 Pj根据等式 Fi(IDj)G=a_i。G+a_ilIDjG+a_i2(IDj)²G+...+a_in(IDj)¹。G验证 Pi是 否存在欺骗行为， 确认不存在欺骗行为后 Pj根据其他节点发来的部分子密 钥和 Pj 自己产生的部分子密钥计算 Pj 的子密钥 Sj≡Fl(IDj)+ F2(IDj) +...+ F10(IDj)Mod N, 计算验证信息 ajG=ayG+ a_2jG +a₁₍₎jG (]=1,2,···,10)。

步骤 402: 当有一个新的节点 P_new加入网络时， 由于该节点还没有获取 到证书， 则该新的节点选取 Pl、 P3、 P4、 P7、 P9个节点发出证书请求， 节 点 Pl、 P3、 P4、 P7、 P9收到 P_new的证书请求 M信息后， 分别用自己的子 密钥对 M进行签名生成子证书， 并且将子证书发送给 P_new；

步骤 403: P_new收到子证书后， 利用验证信息验证各节点是否存在欺骗 行为， 如果节点 Pl、 P3、 P4、 P7、 P9不存在欺骗行为， 将子证书合成一个 完整的证书；

所述节点 Pi (i=l,2,...,5)生成 P_new子证书可以釆用以下方法， Pi随机的 选择 Rie (l,N), Ri保密； 节点 Pi根据 5个点 （IDi,l),(IDj,0)(j=l,2,...,5,j≠i)

5 _ ΤΤ

进行拉格朗日插值 j _ ； 计算 Ci=RiG ( Ci为 Ri与 G点乘的结果）

5 _ JT

和 H(M)(哈希函数)， 计算签名信息 SIGi≡(SiH(M) f] ^+Ri) Mod N,

j=\ ≠i — ID j 则 (M,SUMi_G,Ci,SIGi)为 Pi利用自己子密钥 Si产生的 P_new子证书；

所述节点 P_new验证节点生成的子证书是否存在欺骗行为可以釆用以下

10 γ _ ΤΓ)

方法： P_new收到节点 Pi发来的签名后，计算 c；(¾ _ ^j _≡b_ilX+b_i2x²+...+b_il0x¹⁰

Mod N 并 且 通 过 等 式

SIGiG-((b_i5SUMi_G+a₅G)(IDi)⁵+(b_i6SUMi_G+a₆G)(IDi)⁶+... + (biioSUMi_G+ai₀G)(IDi)¹⁰)H(M) f\ ~^IDj ≡ ((SG+(biiSUMi_G+aiG)IDi+(b_i2S j=\ ≠i — ID j

UMi_G+a₂G)(IDi)²+...+(b_i4SUMi_G+a₄G)(IDi)⁴)H(M) f\ —^IDj +Ci)ModN验证 j=\ ≠i — ID j 签名是否来自 Pi和签名正确性，如果等式成立则签名正确并且来自节点 Pi。

步骤 404: 对于已获得证书的节点 P。_ld加入网络时， 则选取 Pl、 P3、 P4、 P7、 P9 节点发出证书认证请求， Pl、 P3、 P4、 P7、 P9 收到请求后， 利用 Pl、 P3、 P4、 P7、 P9的子密铜对 P。_ld的证书进行马全证， ^口果马全证通过， 则允许节点 P。_ld接入网络， 否则不允许。

步骤 405: 当其中某个节点 （本发明实施例假定为 P2 )子密钥的安全 性受到了威胁或者其他原因需要进行更新时， P2选择子密钥更新份额并完 成子密钥更新过程， 同时修改子密钥更新份额累加和 SUM2 ,并计算 SUM2 和基点 G的点乘值 SUM_2G; 具体的说就是， 节点 P2在域 (Ι,Ν)上随机选择

Β2为子密钥更新份额， 更新子密钥为 S2≡S2+B2 Mod N, 然后计算子密钥 对应的公钥 D2=S2G, 更新子密钥更新累加和 SUM2≡SUM2+B2 Mod N, 并且计算 SUM_2G=SUM2*G, 之后， 转到步骤 407;

步骤 406: 在第 T个周期需要更新节点的子密钥， 转到步骤 407;

步骤 407: 节点完成子密钥的更新， 计算子密钥更新累计份额； 步骤 408: 节点子密钥更新成功后置其当前周期为已更新标识。

需要说明的是， 当网络中的不活动的节点状态转化为活动节点后， 由 于更新周期已过， 且当前周期的更新标志为未更新， 则转到步骤 407, 完成 子密钥的更新， 并且置节点新周期的子密钥为已更新标识。

最后， 对本发明第二种动态密钥管理装置进行详细说明。

本发明第二种动态密钥管理装置具体可以包括： 多个子密钥管理员， 每个子密钥管理员， 负责接收其他子密钥管理员发来的部分子密钥， 并根据其他子密钥管理员发来的部分子密钥和该子密钥管理员自己产生的 部分子密钥计算出子密钥管理员的子密钥， 同时计算并保存子密钥管理员 的子密钥验证信息； 并且， 当子密钥管理员的子密钥需要更新或者到达密 钥的更新周期时， 子密钥管理员选择其子密钥更新份额并据此对其子密钥 进行更新， 同时计算其子密钥更新份额累加和并保存。

对于在更新周期中不活动的子密钥管理员， 当该子密钥管理员的状态 从不活动转换为活动时， 该子密钥管理员还用于， 选择其子密钥更新份额 并据此对其子密钥进行更新， 同时计算其子密钥更新份额累加和并保存， 并且置该子密钥管理员新周期的子密钥为已更新标识。

综述所述， 本发明提供了分布式动态密钥管理方法及装置， 其特殊之 处在于， 各个管理员可以独立的完成子密钥的更新， 无需和其他管理员之 间进行大量的交互行为， 而且管理员子密钥的更新不会对其他管理员的子 密钥产生任何影响， 只是需要将相关信息发送给可信中心或者修改本机信 息， 减少了通信量， 提高了效率； 当管理员的子密钥受到安全威胁时， 可 以随时更新自己的子密钥， 提高了安全性， 更新对于其他的管理员是透明 的， 更新后子密钥仍然可以与其他管理员的子密钥恢复出共享的密钥， 克 服了在更新过程中各个管理员的子密钥必须同步更新的缺点； 在更新过程 中， 可以釆用管理员的子密钥的更新有可信的第三方和管理员共同完成， 可信中心产生的管理员子密钥更新份额和管理员自己产生的子密钥更新份 额构成了一个完整的子密钥更新份额， 在攻击者已经获取某些管理员子密 钥的情况下， 任何一方子密钥更新份额的泄露都不会影响管理员子密钥的 安全性。

以上所述， 仅为本发明较佳的具体实施方式， 但本发明的保护范围并 不局限于此， 任何熟悉本技术领域的技术人员在本发明揭露的技术范围内， 可轻易想到的变化或替换， 都应涵盖在本发明的保护范围之内。 因此， 本 发明的保护范围应该以权利要求书的保护范围为准。

Claims

权利要求书

1、 一种分布式动态密钥管理方法， 其特征在于， 该方法包括： 可信中心计算每个子密钥管理员的子密钥并发送给相应的子密钥管理 员， 同时计算并公开每个子密钥管理员的子密钥验证信息；

当有子密钥管理员需要更新子密钥时， 所述子密钥管理员选定其子密 钥更新份额并据此对其子密钥进行更新， 同时计算其子密钥更新验证信息 并发送给所述可信中心；

所述可信中心在接收到所述子密钥管理员发来的子密钥更新验证信息 后， 根据接收到的子密钥更新验证信息修改所述子密钥管理员的子密钥验 证信息并重新公开。

2、 根据权利要求 1所述的方法， 其特征在于， 该方法还包括： 当到达 密钥的更新周期时， 每个子密钥管理员分别根据所述子密钥更新份额对其 子密钥进行更新， 同时计算其子密钥更新验证信息并发送给所述可信中心； 所述可信中心根据接收到的每个子密钥管理员的子密钥更新验证信息修改 对应的子密钥验证信息并重新公开。

3、 根据权利要求 2所述的方法， 其特征在于， 所述所有子密钥管理员 根据所述子密钥更新份额对其子密钥进行更新的步骤具体包括：

所述子密钥管理员选择确定其子密钥更新份额并据此对其子密钥进行 更新； 或者，

所述可信中心根据每个所述子密钥管理员的身份标识计算生成对应的 子密钥更新份额并发送给对应的子密钥管理员， 修改并重新公开每个所述 子密钥管理员的子密钥验证信息； 每个所述子密钥管理员根据所述可信中 心生成的子密钥更新份额和所述子密钥管理员自己产生的子密钥更新份额 对其子密钥进行更新。

4、 根据权利要求 3所述的方法， 其特征在于， 所述子密钥管理员根据 所述可信中心生成的子密钥更新份额和所述子密钥管理员自己产生的子密 钥更新份额对其子密钥进行更新包括：

所述子密钥管理员收到所述可信中心发来的子密钥更新份额后，根据所 述可信中心重新公开的子密钥验证信息和其接收到的子密钥更新份额验证 所述可信中心是否存在欺 ·¾行为， 当确认不存在欺骗行为时所述子密钥管理 员自己产生子密钥更新份额， 并根据所述可信中心发来的子密钥更新份额和 所述子密钥管理员自己产生的子密钥更新份额对其子密钥进行更新。

5、 根据权利要求 4所迷的方法， 其特征在于， 所述子密钥管理员根据 所述可信中心生成的子密钥更新份额和所述子密钥管理员自己产生的子密 钥更新份额对其子密钥进行更新还包括：

当所述子密钥管理员根据所述可信中心重新公开的子密钥验证信息和 其接收到的子密钥更新份额验证所述可信中心存在欺骗行为时， 所述子密 钥管理员拒绝本次更新， 并通知其他子密钥管理员可信中心存在欺骗行为， 终止更新过程。

6、 一种分布式动态密钥管理装置， 其特征在于， 包括： 可信中心和多 个子密钥管理员； 其中，

所述可信中心， 用于计算每个所述子密钥管理员的子密钥并发送给对 应的子密钥管理员， 同时计算并公开每个所述子密钥管理员的子密钥验证 信息； 以及在接收到所述子密钥管理员发来的子密钥更新验证信息后， 根 据接收到的子密钥更新验证信息修改所述子密钥管理员的子密钥猃证信息 并重新公开；

所述子密钥管理员， 用于在需要更新其子密钥时， 选择其子密钥更新 份额并据此对其子密钥进行更新， 同时计算其子密钥更新验证信息并发送 给所述可信中心。

7、 根据权利要求 6所述的装置， 其特征在于，

更正页 (细则第 91条) 所述子密钥管理员， 还用于在到达密钥的更新周期时， 根据所述子密 钥更新份额对其子密钥进行更新， 同时计算其子密钥更新验证信息并发送 给所述可信中心；

所述可信中心， 还用于根据接收到的每个所述子密钥管理员发来的子 密钥更新验证信息修改对应的子密钥验证信息并重新公开。

8、 根据权利要求 7所述的装置， 其特征在于， 所述子密钥管理员根据 所述子密钥更新份额对其子密钥进行更新为：

所述子密钥管理员选择其子密钥更新份额并据此对其子密钥进行更 新， 或者， 根据接收到的所述可信中心生成的子密钥更新份额和所述子密 钥管理员自己产生的子密钥更新份额对其子密钥进行更新；

所述可信中心， 还用于根据每个所述子密钥管理员的身份标识计算生 成对应的子密钥更新份额并发送给对应的子密钥管理员， 修改并重新公开 每个所述子密钥管理员的子密钥验证信息。

9、 根据权利要求 8所述的装置， 其特征在于， 所述子密钥管理员根 据所述可信中心生成的子密钥更新份额和所述子密钥管理员自己产生的子 密钥更新份额对其子密钥进行更新为： 根据所述可信中心重新公开的子密 钥验证信息和其接收到的子密钥更新份额验证所述可信中心是否存在欺骗 行为， 当确认不存在欺骗行为时所述子密钥管理员自己随机产生子密钥更 新份额， 并根据所述可信中心发来的子密钥更新份额、 所述子密钥管理员 自己产生的子密钥更新份额对其子密钥进行更新。

10、 根据权利要求 9所述的装置， 其特征在于， 所述子密钥管理员， 还用于在收到所述可信中心发来的子密钥更新份额， 并且所述子密钥管理 员根据所述可信中心重新公开的子密钥验证信息和其接收到的子密钥更新 份额验证确认所述可信中心存在欺骗行为时， 拒绝本次更新， 并通知其他 子密钥管理员可信中心存在欺骗行为， 终止更新过程。

11、 一种分布式动态密钥管理方法， 其特征在于， 该方法包括： 子密钥管理员接收其他子密钥管理员发来的部分子密钥， 并根据其他 子密钥管理员发来的部分子密钥和所述子密钥管理员自己产生的部分子密 钥计算出所述子密钥管理员的子密钥， 同时计算并保存所述子密钥管理员 的子密钥验证信息；

当有子密钥管理员的子密钥需要更新时， 该子密钥管理员选择其子密 钥更新份额并对其子密钥进行更新， 同时计算子密钥更新份额累加和并保 存。

12、 根据权利要求 11所述的方法， 其特征在于， 该方法还包括： 当到 达密钥的更新周期时， 所有所述子密钥管理员分别选定其子密钥更新份额 并据此对其子密钥进行更新， 同时计算其子密钥更新份额累加和并保存。

13、 根据权利要求 12所述的方法， 其特征在于， 所述方法还包括： 对于在密钥更新周期中不活动的子密钥管理员， 当该子密钥管理员的 状态从不活动转换为活动时， 该子密钥管理员选择其子密钥更新份额并据 此对其子密钥进行更新， 同时计算其子密钥更新份额累加和并保存， 并且 置该子密钥管理员新周期的子密钥为已更新标识。

14、 一种分布式动态密钥管理装置， 其特征在于， 该装置包括： 多个 子密钥管理员，

所述子密钥管理员， 用于接收其他子密钥管理员发来的部分子密钥， 并根据其他子密钥管理员发来的部分子密钥和该子密钥管理员自己产生的 部分子密钥计算出所述子密钥管理员的子密钥， 同时计算并保存所述子密 钥管理员的子密钥验证信息； 并且， 当所述子密钥管理员的子密钥需要更 新或者到达密钥的更新周期时， 所述子密钥管理员选择其子密钥更新份额 并据此对其子密钥进行更新， 同时计算其子密钥更新份额累加和并保存。

15、 根据权利要求 14所述的装置， 其特征在于， 对于在更新周期中不 活动的子密钥管理员， 当该子密钥管理员的状态从不活动转换为活动时， 所述子密钥管理员， 还用于选择其子密钥更新份额并据此对其子密钥进行 更新， 同时计算其子密钥更新份额累加和并保存， 并且置该子密钥管理员 新周期的子密钥为已更新标识。