一种基于区组设计的容错性密钥协商方法
【专利摘要】本发明公开了一种基于区组设计的容错性密钥协商方法,将区组设计技术应用于密钥协商当中,利用双线性映射和基于身份的加密技术,使密钥协商方法拥有高效的运行性能和高效的容错能力,并使其在动态环境中拥有良好的扩展性能。本发明包括构建对称平衡不完全区组步骤和两轮密钥协商步骤,借助对称平衡不完全区组设计来平衡每个参与者对共同密钥的贡献,任何参与者都不能强迫密钥被预先选择或预测密钥,具有很高的安全性。此外,解决差别密钥攻击,使得当恶意参与者使用两种不同的子密钥时,本方法仍能将其识别和剔除。剔除恶意参与者后,还能利用空参与者来替代被删除的恶意参与者迅速进行新的密钥协商,具有良好的扩展性。
【专利说明】一种基于区组设计的容错性密钥协商方法
【技术领域】
[0001]本发明属于信息安全【技术领域】,尤其是涉及一种基于区组设计的容错性密钥协商方法。
【背景技术】
[0002]随着密钥协商技术的不断发展,协商方法的容错性受到了越来越多的关注和研究。在实际应用中,随着协商参与者的增多,将不可避免的出现某些恶意参与者。恶意参与者有可能会延迟或破坏会话密钥的生成,进而阻止会话的建立。当前绝大多数密钥协商方法都是建立在诚实可信的参与者的基础上,一旦有恶意参与者存在,或者某些诚实可信的参与者由于俘获攻击(物理攻击)变成了恶意参与者,那么协商将会失效,会话将会延迟或中断,在某些应急的应用领域将导致严重的后果和巨大的损失。密钥协商方法的容错性旨在识别协商中的恶意参与者,并将其剔除,从而重新生成得到新的会话密钥。
[0003]为了克服和缓解恶意参与者所带来的危害,2000年Tzeng和Kim等人分别提出了两种容错性的密钥协商方法。2002年Tzeng对协商方法进行了完善,其本质是通过验证协商参与者的签名来识别和剔除恶意参与者。然而,上述协商方法均无法抵御恶意参与者的差别密钥攻击,恶意参与者往往利用差别密钥攻击来延迟或者破坏最终会话密钥的建立,通过使用两种不同的子密钥,使得协商方法无法识别恶意参与者,也就无法从根本上容错。2004年Kim等人提出了基于树结构的组密钥协商方法,其本质是利用树形结构的特点构造Tree-based Group Diffie-Hellman (TODH),进而在此基础上提供密钥协商和容错能力。Zhou等人也提出了一个可认证的基于树的容错性密钥协商方法(AFTD)。Zhou等人的方法拥有更好的运行性能,尤其是减少了通信开销和存储开销。然而,该方法仍然是基于树的。由于树形结构有其本身的局限性,维护和管理也会增加额外的消耗。2004年,Yi应用韦伊对提出了基于身份的容错性密钥协商方法。该方法克服了文献的安全性缺陷,能够抵御差别密钥攻击,且并没有通过树形结构或层级结构来运行密钥的协商,提高了协商的有效性,减少了通信开销。然而Yi的方法需要一个名为会议桥的中央控制者的介入,协商过程中,所有参与者都必须和会议桥进行联系,这使得协商的计算开销增加并缺乏灵活性。虽然会议桥被定义为一个半可信任的第三方实体,但它仍然具有密钥泄露的风险。
[0004]密钥协商方法已从最开始的双方密钥协商方法扩展至多方密钥协商方法,因此当前密钥协商方法的研究必须考虑协商的容错能力。协商参与者的增多必将导致恶意参与者的出现,如何高效地发现和识别恶意参与者,如何高效地剔除恶意参与者,如何高效地在剩余可信的参与者之间重新协商生成密钥,以及如何抵御差别密钥攻击,已成为亟待解决的问题。密钥协商的安全性已不仅仅局限于形式化安全模型下的可证明安全性和参与实体之间的可认证性,而是更多的需要保证协商过程中的容错性。虽然近些年密钥协商的容错性已得到一定程度的关注,但如何实现协商高效的容错能力、快速的恢复能力以及抵御差别密钥攻击的能力仍未得到深入的研究,这将严重限制密钥协商的实际应用,并有可能导致高层会话的延迟、破坏以及泄密。
【发明内容】
[0005]针对现有密钥协商方法的种种不足,本发明公开了一种基于区组设计的容错性密钥协商方法,将区组设计技术应用于密钥协商当中,利用双线性映射和基于身份的加密技术,使协商方法拥有闻效的运行性能和闻效的容错能力,并使其在动态环境中拥有良好的扩展性能。
[0006]为了达到上述目的,本发明提供如下技术方案:
[0007]一种基于区组设计的容错性密钥协商方法,包括如下步骤:
[0008](I)初始化步骤:
[0009]KGC计算自己的公钥并公开发布,KGC计算各用户Ui的私钥后通过安全信道传送给Ui, KGC计算用于认证的信息后将其分发给所有用户;
[0010](2)两轮密钥协商步骤:
[0011](2.1)根据具体应用环境选定参数V,k,λ,使其满足特定的数学公式λ (v-1) =k (k-1),构建(V, k, λ )-design关联矩阵,其中V为参与者的数量;
[0012](2.2)关联矩阵的行对应协商参与者,针对每个参与者,接收同一行中值为I的其他参与者的信息并进行计算;关联矩阵的列对应协商参与者,针对每个参与者,接收同一列中值为I的其他参与者的信息计算密钥;协商生成的共同密钥为:
[0013]
【权利要求】
1.一种基于区组设计的容错性密钥协商方法,其特征在于,包括如下步骤: (1)初始化步骤: KGC计算自己的公钥并公开发布,KGC计算各用户Ui的私钥后通过安全信道传送给Ui,KGC计算用于认证的信息后将其分发给所有用户; (2)两轮密钥协商步骤: (2.1)根据具体应用环境选定参数V,k,λ,使其满足特定的数学公式λ (v-1) =k (k-1),构建(V, k, λ )-design关联矩阵,其中V为参与者的数量; (2.2)关联矩阵的行对应协商参与者,针对每个参与者,接收同一行中值为I的其他参与者的信息并进行计算;关联矩阵的列对应协商参与者,针对每个参与者,接收同一列中值为I的其他参与者的信息计算密钥;协商生成的共同密钥为:
2.根据权利要求1所述的基于区组设计的容错性密钥协商方法,其特征在于:当参与者的数目无法满足既定的数学公式λ (v-1) =k(k-1)时,补充空参与者填补参与者数量的不足,使v、k、λ重新满足条件。
3.根据权利要求1或2所述的基于区组设计的容错性密钥协商方法,其特征在于,所述初始化步骤(1)具体包括: KGC选择Gp G2> H1^ H2> p、q、p*> q*, e,-> e.计算自己的公钥=s<3,并公开发布{p, q, G1, G2, e,Vphb,H1, H2I,KGC计算用户Ui的私钥在二 sQ,并将用户Ui的私钥通过安全信道传送给Ui, KGC计算Ii=PiV,为每个用户Ui选择一个整数ei,并将(ei,η)分发给所有用户; 其中,G1和G2为两个质数阶的组,%为韦伊对运算,H1和H2为两个哈希函数,分别为H1: |θ,?| G1,H2: {O,l| Zg,s ^ Zq 为 KGC 自己选定的私钥,Q为 G1 的生成兀,P、q>P*、q* 为质数 A=H1(IDi),IDi e {O, I}*, e,与(p*_l) (q*_l)互质; 所述步骤(2.2)具体包括: 每个用户Ui选择一个随机数ri作为每次会话用户自己的密钥,并计算Mi =e{Q,BiTiSi);同时,Ui 计算刃=Xi.£?({?,,其中馬=(',W1- = H2(MjJj),Yi=H2(IDi),ti为时间戳;用户Ui接收用户Uj的信息Dj并进行计算,其中
4.根据权利要求3所述的基于区组设计的容错性密钥协商方法,其特征在于,在步骤(1) (2) (3)之后还包括容错验证步骤:KGC 广播
5.根据权利要求4所述的基于区组设计的容错性密钥协商方法,其特征在于,所述恶意参与者的甄别与筛除包括:用户Uj请求KGC再次发送
6.根据权利要求5所述的基于区组设计的容错性密钥协商方法,其特征在于,所述的侦错步骤具体包括=KGC收到来自用户Uj的错误报告
7.根据权利要求2或4所述的基于区组设计的容错性密钥协商方法,其特征在于:所述空参与者Uj的M丨 >值均设置为I。
【文档编号】H04L9/08GK103595526SQ201310582937
【公开日】2014年2月19日 申请日期:2013年11月19日 优先权日:2013年11月19日
【发明者】沈剑, 郑文英, 孙星明, 任勇军, 夏志华 申请人:南京信息工程大学