可鉴权的Ad Hoc组密钥协商协议

摘要

本发明涉及一种可鉴权的Ad Hoc组密钥协商协议。它通过基于密码树的方法来进行密钥协议制定，采用了门限密钥和Contributory式的密钥协商，并在传输中采用的树形的方法，不仅提高了灵活性和效率，而且更加适合于通信环境比较恶劣的场合；并利用Schonorr签名方法对整个协商过程鉴权，提高了系统的安全性能。本发明产生的结果的组合既简单又安全，还有防差错的功能。

主权项

1.一种可鉴权的Ad Hoc组密钥协商协议，其特征在于组密钥协商协议为：首先，每个成员选择一个随机数r_i，b_i∈[1，q-1]和一个密钥x_i；然后发布公钥y_i和参数c_i、τ_i；这样每个成员M_i就可以计算为c＝H₂(∏c_i，∏τ_i)其中i∈[1，N]；N： Ad hoc组的成员数目，M_i：第i个组成员i∈{1～N}，M_h：组控制成员，<l，v>：树中的第l层的第v个节点，p，q：2个大素数，且q|p-1，g： 确定域GF(q)上的生成元g，且GF(q)的阶数是q，H()： Hash函数；1)、密钥协商初始化阶段如下：第一步：每个组成员M_i随机选择r_i∈[1，q-1]并计算自己的盲钥和签名，然后通过安全信道传播到组控制节点和在树中与自己同一个父节点的其他成员；第二步：收到每个成员的消息后，组控制节点验证签名正确与否，验证正确后组控制点随机选择一个有限域GF(q)上的多项式$f\left(x\right)=\left(\underset{j=1}{\overset{t}{\mathrm{\&Sigma;}}}{a}_{j-1}{x}^{j-1}\right)\mathrm{mod}q$和秘密值h∈[1，q-1]，随后为每个成员M_i计算f(i)并广播$M_h\&RightArrow;M_{i\&Element;N}:\{g^{\mathrm{hf}\left(i\right)},g^{{\mathrm{hr}}_i}\},$<l，v>表示节点在树中的位置，每个节点都拥有一个密钥K_<l，v>，和对应的盲钥BK_<l，v>＝f(K_<l，v>)；这里的函数f()是大素数的模指运算比如：f(k)＝g^kmod p；假设叶子节点<2，i>对应于实际的组成员为M_i，则M_i的会话密钥就是K_<2，i>；第一层节点<1，i>的孩子：即<2，j>到<2，j+n>可以计算出第i个子组的密钥片断：第三步：第i个子组的第一个成员<1，i>计算并发布盲钥，这样<1>使得同组的其他成员可以检查自己的密钥是否等于盲钥；<2>当每个中间节点<1，v>的盲钥都发布后，所有Ad hoc组成员就像GDH协议那样计算出根节点K_<0，0>的组共享密钥；第四步：第1层节点像GDH协议一样计算根密钥；第五步：第1层最后一个节点如下操作：$M_v\&RightArrow;M_i:\left\{g^{k_{1,i}*k_{i,2}\&CenterDot;\&CenterDot;\&CenterDot;k_{1,i}/k_{i,i}}\right\}\&ForAll;i\&Element;[1,v-1],$每个成员在计算根密钥前验证签名是否正确，如果不正确则停止密钥协商，如果正确，则所有成员最后计算出的的根密钥为：$K_{\&lt;\mathrm{0,0}>}=g^{K_{s1}{K}_{s2}\&CenterDot;\&CenterDot;\&CenterDot;K_{\mathrm{sl}}}\mathrm{mod}p=g^{g^{h[i+\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}(r_i+{\mathrm{cx}}_i)+f\left(0\right)]}}\mathrm{mod}p$利用这个根密钥，再经过变换就使得Ad hoc组进行多播通信；2)、加入和合并协议：第一步：新成员M_n+1请求加入Ad hoc组通信M_n+1→M_h：{join，BK_n+1}；当组控制节点收到消息后，回复一个确认信息：{g^hrn+1，g^hf(i)ri}。第二步：新成员发送盲钥到同一个父节点即自己子组的其他成员：M_n+1→M_{i∈[v，v+n]}：{BK_n+1}；第三步：同子组的其他成员M_n重新随机选择密钥并将新的盲钥传送给M_n+1：M_{i∈[v，v+n]} → M_n+1：{BK_i}；随后，最后一个子组里面的所有成员计算出更新的过的子密钥了${\hat{K}}_{s-\mathrm{last}}=g^{h[1+{\mathrm{\&Sigma;}}_{i\&Element;[v,v+n]}(r_i+f\left(i\right)L_i+{\mathrm{cx}}_i)+{\mathrm{hr}}_{n+1}+\mathrm{hf}(n+1)L_i+{\mathrm{cx}}_{n+1}]};$第四步：最后一个组的第一个成员公布子组密钥，其他子组的成员像IKA阶段中的Round last一样从新计算密钥并验证签名的正确性：$M_{\mathrm{last}-\mathrm{sub}}\&RightArrow;M_{j\&NotElement;\mathrm{last}-\mathrm{sub}}:\left\{g^{k_{s1}*k_{s2}\&CenterDot;\&CenterDot;\&CenterDot;{\hat{k}}_i/k_i}\right\}\&ForAll;j\&Element;[1,i].$最后，根节点的新密钥就可以被所有节点从新计算出来${\hat{K}}_{\&lt;\mathrm{0,0}>}=g^{g^{h[i+\underset{i=1}{\overset{n+1}{\mathrm{\&Sigma;}}}(r_i+{\mathrm{cx}}_i)+f\left(0\right)]}}\mathrm{mod}p;$3)、离开和分裂协议：第一步：M_h通知所有的节点第i个节点离开，需要进行组密钥更新：M_h→M_i：{i-leave}j∈[1，i]；第二步：在有成员离开的那个子组里的第一个节点从新随机选择并将盲密钥传送给同子组的其他成员：$M_{i1}\&RightArrow;M_{\mathrm{ij}}:\left\{B{\hat{K}}_{i1}\right\}\&ForAll;j\&Element;[1,i];$第三步：这样其他所有的成员就可以像前面的IKA协议那样从新计算密钥了。