一种多级安全动态群组密钥管理方法

摘要

本发明涉及一种能够满足多级安全需求的应用场景的多级安全动态群组密钥管理方法，该方法包括以下步骤：1)安全域传输密钥建立；3)传输密钥的广播分发。本发明提供了一种可实现动态的多级安全的群组密钥管理方案、能够为动态群组的通信提供实时安全群组变化和多级安全的信息保护隔离以及可有效应用于移动节点动态组合的场景的多级安全动态群组密钥管理方法。

说明书

技术领域

本发明属于无线网络安全通信领域，涉及一种能够满足多级安全需求的应 用场景的多级安全动态群组密钥管理方法。

背景技术

移动无线网络已经普遍应用于军事、通信、医疗等各种行业。自组织移动 无线网络是一种能够动态进行拓扑调整和数据路由的灵活网络，该网络具有无 基础设施、组网灵活、多跳路由、抗毁性强等特点，因此得到人们越来越多的 关注。随着自组织移动无线网络技术的发展，国外一些学者开始研究把它应用 在航空通信领域。在自组织移动无线网络发展过程中出现了无线网状网，是一 种能够具有自组织移动无线网络灵活特性的全连通网络，更加适合航空器的动 态组网。

在多级安全系统中，所有信息都有一个密级，每个用户也都相应地有一签 证。要决定是否允许某用户读一个文件，那么就比较该用户的签证是否与该文 件的密级相符。安全策略要求，为了合法地得到某一信息，用户的安全级必须 大于或等于该信息的安全级，并且该信息属于用户的信息访问类别。随着网络 技术的不断发展，信息资源的共享已很普遍，在多用户计算环境下如何管理信 息资源愈来愈显得重要，多级安全体系中通过授权进行访问控制的技术可以直 接应用群组的多级安全密钥管理协议中。

发明内容

为了解决背景技术中存在的上述技术问题，本发明提供了一种可实现动态 的多级安全的群组密钥管理方案、能够为动态群组的通信提供实时安全群组变 化和多级安全的信息保护隔离以及可有效应用于移动节点动态组合的场景的多 级安全动态群组密钥管理方法。

本发明的技术解决方案是：本发明提供了一种多级安全动态群组密钥管理 方法，其特殊之处在于：所述方法包括以下步骤：

1)安全域传输密钥建立；

3)传输密钥的广播分发。

上述步骤3)的具体实现方式是：

3.1)第一节点Node1向第二节点Node2发送广播传输密钥s；

3.2)第二节点Node2收到第一节点Node1发送的广播传输密钥后构建授权请 求消息并发送给鉴别服务器AS；

3.3)鉴别服务器AS收到来自第二节点Node2的授权请求消息后构建授权响 应消息发送给密钥生成中心KGC；

3.4)密钥生成中心KGC收到来自鉴别服务器AS发送的授权响应消息后构建 授权码发送给第二节点Node2；

3.5)第二节点Node2根据密钥生成中心KGC发来的授权码与第一节点Node1 构建安全传输信道。

上述步骤3.1)的具体实现方式是：

3.1.1)第一节点Node1将广播密钥s进行加密，得到密文c；

3.1.2)第一节点Node1用广播密钥s将三个随机数R_id，R_au以及R_en进行加密操 作C＝ε_s(R_id||R_au||R_en)，并将第一节点Node1的身份标识、密文c以及密文C一同发 送给第二节点Node2。

上述步骤3.2)的具体实现方式是：

3.2.1)第二节点Node2收到广播消息后，首先根据消息中携带的身份标识确 定判断是否是自己需要通信的节点，若是，则进行步骤3.2.2)，若否，则丢弃该 广播消息；

3.2.2)第二节点Node2构建授权请求消息发送给鉴别服务器AS；所述授权 请求消息包括第二节点Node2的身份标识以及第一节点Node1向第二节点Node2 所发送的身份标识。

上述步骤3.3)的具体实现方式是：

鉴别服务器AS根据第二节点Node2所发送的请求消息构建授权响应消息发 送给密钥生成中心KGC，并通知密钥生成中心KGC为该节点计算授权码；所述 授权响应消息包括第二节点Node2以及第一节点Node1的身份标识。

上述步骤3.4)的具体实现方式是：

密钥生成中心KGC接收到鉴别服务器AS的授权响应消息后，根据授权响应 消息中携带的身份标识，计算授权码并发送给第二节点Node2。

上述步骤3.5)的具体实现方式是：

当第二节点Node2接收到密钥生成中心KGC的授权码后，利用授权码中的身 份标识以及本地保存的安全域的安全参数，对第一节点Node1所发送广播传输密 钥s进行解密，解密密文C，得到传输密钥R_id，R_au以及R_en，并将R_id，R_au以及R_en保存作为与第一节点Node1的通信信道的安全密钥。

上述步骤3.5)之后还包括：

3.6)第二节点Node2向第一节点Node1发送应答消息。

上述多级安全动态群组密钥管理方法在步骤1)和步骤3)之间还包括：

2)私钥和安全参数更新：利用密钥生成中心KGC与安全域的各自组网节点 之间的安全通道，将新的安全参数发送给每个域内的自组网节点。

上述步骤1)的具体实现方式是：

1.1)第一节点Node1和第二节点Node2之间建立链路连接；

1.2)第一节点Node1和鉴别服务器AS之间建立EAPOL双向认证，并向向鉴 别服务器AS申请第一节点Node1所对应的私钥；

1.3)第一节点Node1和密钥生成中心KGC建立密钥协商：密钥生成中心KGC 计算第一节点Node1的私钥，并将私钥颁发给第一节点Node1；密钥生成中心 KGC生成第一节点Node1的临时身份和私钥后，连同安全域的参数和已有的传输 密钥链，发送给第一节点Node1。

本发明的优点是：

本发明利用基于身份加密的公钥技术，构造了一种加密协议。在安全域内， 每个成员都向密钥生成中心KGC申请自己的临时身份和私钥<UP，US>。当一个 成员要要加密一个消息给其他成员时，利用自己的私钥对传输密钥进行加密， 并将自己的临时身份、安全参数和密文c＝<U，W，V>发送出去。安全域内的该成 员接收到该消息后，必须使用自己的临时身份、对应的解密私钥和发送者的临 时身份，才能计算解密得到传输消息。

1、用户信息的隐私保护。本发明由于密钥生成中心KGC只能收到U_i发送的 而所以U_i隐私信息R_i不会被接收者U_j获取，能够 保持U_i隐私信息；同时U_j不能轻易将U_ji泄露给其他人，因为其中包含了自己的 私钥信息，如果泄露被U_i获知，就可能泄露U_j自己的私钥信息。因而U_j需要将U_ji作为私钥的一部分进行保存或者销毁。

2、加密信息的不可伪造性。传输密钥的广播消息中，传输密钥是使用安全 域内自组网节点的私钥加密保护的，只要该节点的私钥安全的，那么其他自组 网节点是无法伪造该消息的。

3、加密信息的不可否认性。自组网节点采用私钥对广播的传输密钥进行加 密保护，具有唯一性，而且接收到消息的节点只有使用发送者的临时身份才能 正确解密获得该传输密钥，广播消息具有可验证性，是不可否认的。

4、加密信息的机密性。对于非安全域的用户，因为没有安全域内颁发的临 时解密私钥，所以无法解密传输密钥的广播消息，是无法得到传输密钥的，保 证了传输密钥的机密性。当自组网节点离开安全域时，密钥生成中心KGC会更 新安全域的安全参数，并通知安全域内的自组网节点更新自己的安全参数和私 钥，进一步可以更新自己的传输密钥。这样，离开安全域的自组网节点的临时 身份和私钥就被吊销了，从而更新的传输密钥也无法获得，保证了传输密钥的 机密性。

附图说明

图1是临时身份和私钥的生成和分发过程示意图；

图2是传输密钥分发流程示意图；

具体实施方式

本发明以无线自组网作为动态群组的网络基础模型，构建动态安全域的多 级安全通信场景，其步骤：

1、安全域传输密钥建立：

参见图1，自组网节点临时身份可以在加入自组网网络的时，首先生成临时 身份标识，然后向认证中心申请它的对应的私钥。申请行为可以在被鉴别服务 器AS认证通过后，由密钥生成中心KGC计算该用户的私钥，然后将私钥颁发给 该用户。密钥生成中心KGC生成当前节点的临时身份和私钥后，连同安全域的 参数和已有的传输密钥链，利用安全通道发送给新接入的自组网节点。在整个 安全域内，安全域的安全参数也是对外保密的，安全域外的节点以及域内的非 自组网节点都无法获得这些参数。临时身份和私钥的颁发过程可以融合在自组 网节点接入网络的认证过程中。

2、私钥和安全参数更新：

当有自组网节点离开安全域时，密钥生成中心KGC需要更新安全域的安全 参数，使离开安全域的自组网节点的临时身份和私钥失效。密钥生成中心KGC 更新安全域的安全参数的过程如下：

(1)随机选择一个计算X′＝g^kt；

(2)将((g，G₁，G₂，ê，H₁，H₂)，X′，t)作为新的安全域的安全参数；

(3)利用密钥生成中心KGC与安全域的各自组网节点之间的安全通道，将 新的安全参数发送给每个域内的自组网节点；

(4)安全域内的自组网节点接收到消息后，更新安全域的安全参数；

(5)自组网节点计算新的私钥${{\mathrm{US}}^{\prime }}_i={\left({\mathrm{US}}_i\right)}^{1/t}=g^{1/\left({\mathrm{ktH}}_1\left(U_i\right|H_2\left(R_i\right))\right)}.$

3、传输密钥的广播分发：

参见图2，当一个新的自组网节点成功的接入到自组网网络的安全域后，当 要和其他节点通信时，需要根据当前信息的安全等级建立安全专用通道，因而 要为安全通道分配密钥信息。本方案假设每个自组网节点都与密钥生成中心 KGC和鉴别服务器AS拥有安全的通信信道。

(1)自组网节点首先将广播密钥s加密计算得到密文c，然后生成三个随机 数R_id，R_au和R_en，其中R_id作为传输密钥索引，R_au作为传输认证密钥，R_en作为传 输加密密钥。然后用广播密钥s将这三个随机数进行加密操作C＝ε_s(R_id||R_au||R_en)。 然后用广播消息将{UP，C，c}发送给安全域内的所有自组网节点；

(2)当其他自组网节点收到广播消息后，根据消息中携带的身份标识确定 是自己需要通信的节点，将自己的公钥和消息发送者的公钥一同利用安全信道 发送给鉴别服务器AS，鉴别服务器AS根据请求消息为该用户授权，并发送消息 {UP_i，UP_j}，通知密钥生成中心KGC为该节点计算授权码；

(3)当密钥生成中心KGC接收到鉴别服务器AS的指示消息后，根据消息中 携带的{UP_i，UP_j}身份标识，为UP_j计算授权码并用安全信道发 送给请求着。

(4)当自组网节点接收到密钥生成中心KGC的响应消息后，利用授权码、 消息中的身份标识和本地保存的安全域的安全参数，解密获广播输密钥s，然后 解密计算密文C，得到传输密钥R_id，R_au和R_en，并将UP，R_id，R_au和R_en保存作为 与该节点的通信信道的安全密钥；

(5)该自组网节点发送应答消息给广播消息的发送者；

(6)当发送广播消息的自组网节点收到应答消息后，就保存该消息中的应 答者身份，从而建立了其所属的安全域的成员集。建立群组共享密钥后，就可 以为该安全级别的消息建立专用的保护信道，进行安全的消息广播传输。

传输密钥经过一段时间的使用后，自组网节点i可以本地生成新的密钥，利 用自己的临时身份和私钥<UP_i，US_i>进行加密保护生成然后通过广播消息发送给安全域内的所有自组网节点，更新它的传输密钥。

本发明所提供的方案中，安全模型是一个基于身份的安全域，由密钥生成 中心KGC作为可信第三方(KGC，Key Generation Center)生成所有的临时身份 证书。

对于上述各个过程的实现方式可以按照以下方式进行：

1、安全域的建立：鉴别服务器AS按照以下步骤建立它的安全域：

选择双线性对的参数(q，G₁，G₂，ê)；

选择任意一个生成元g∈G₁；

选择两个密码学随机函数$H_1:{\left\{\mathrm{0,1}\right\}}^{*}\to Z_q^{*},H_2:Z_q^{*}\to {\left\{\mathrm{0,1}\right\}}^{*};$

选择一个随机数作为安全域的私钥，并计算X＝g^k；

安全域的公共参数为：((g，G₁，G₂，ê，H₁，H₂)，X)。

2、身份标识生成：

用户U_i选择一个随机数$R_i\in Z_q^{*};$

计算用户身份标识UP_i＝H₁(U_i|H₂(R_i))和密钥参数${\mathrm{UR}}_i=g^{R_i};$

用户U_i将参数<U_i，UR_i，H₂(R_i)>发送给密钥生成中心KGC；

3、私钥生成：

密钥生成中心KGC接收到用户U_i的密钥参数后，计算其加密密钥 ${\mathrm{US}}_i=g^{1/\left({\mathrm{kH}}_1\left(U_i\right|H_2\left(R_i\right))\right)};$

密钥生成中心KGC保留<U_i，UR_i>作为参数与多级安全的访问策略进行匹 配；

密钥生成中心KGC通过安全信道将US_i作为加密密钥发送给用户U_i。

4、密文加密：

用户U_i随机选取$r\in Z_q^{*};$

选择传输密钥s∈G₂；

用户U_i计算加密密文为$c=<{\mathrm{UP}}_i,X^r,s\hat{e}{({\mathrm{US}}_i,X)}^{R_{i}r}>.$

5、消息解密：

用户U_j向密钥生成中心KGC申请获取授权码，密钥生成中心KGC根据安全 策略以及两个用户的安全级别判断是否给予授权，并生成授权密码 ${\mathrm{US}}_{\mathrm{ji}}=g^{R_i/\left({\mathrm{kH}}_1\left(U_j\right|H_2\left(R_j\right))\right)}.$

用户U_j接收密文为c＝<U，W，V>，利用自己的临时身份和对应的解密密钥 <UP_j，US_ji>，计算解密密文从而得到传输密钥s。

解密密文的计算方式是：

$V/\hat{e}{({\mathrm{US}}_{\mathrm{ji}},{\left(W\right)}^{{\mathrm{UP}}_j})}^{1/{\mathrm{UP}}_i}$

$=s\hat{e}{({\mathrm{US}}_i,X)}^{R_{i}r}/\hat{e}{({\mathrm{US}}_{\mathrm{ji}},{\left(X^r\right)}^{{\mathrm{UP}}_j})}^{1/{\mathrm{UP}}_i}$

$=s\hat{e}{(g^{1/{\mathrm{kH}}_1\left(U_i\right|H_2\left(R_i\right))},g^k)}^{R_{i}r}/\hat{e}{(g^{R_i/\left({\mathrm{kH}}_1\left(U_j\right|H_2\left(R_j\right))\right)},g^{{\mathrm{rkH}}_1\left(U_j\right|H_2\left(R_j\right))})}^{1/{\mathrm{UP}}_i}$

$=s\hat{e}{(g,g)}^{R_{i}r/H_1\left(U_i\right|H_2\left(R_i\right))}/\hat{e}{(g^{R_i/\left({\mathrm{kH}}_1\left(U_j\right|H_2\left(R_j\right))\right)},g^{{\mathrm{rkH}}_1\left(U_j\right|H_2\left(R_j\right))})}^{1/H_1\left(U_i\right|H_2\left(R_i\right)))}$

$=s\hat{e}{(g,g)}^{R_{i}r/H_1\left(U_i\right|H_2\left(R_i\right))}/\hat{e}{(g,g)}^{R_{i}r/H_1\left(U_i\right|H_2\left(R_i\right)))}$

$=s$