一种基于组合公钥的自组网群组密钥管理系统及方法与流程

本发明涉及自组网，具体是一种基于组合公钥的自组网群组密钥管理系统及方法。

背景技术：

1、自组网是一种移动通信和计算机网络相结合的网络，网络的信息交换采用计算机网络中的分组交换机制，用户终端通常为移动的便捷式终端，自组网中每个用户终端都兼有路由器和主机两种功能。自组网能够快速组件一套无中心化的网络环境，目标是快速、准确和高效，在尽可能短的时间内查找到精确可用的路由信息，适应网络拓扑的快速变化，同时减少引入的额外时延和维护路由的控制信息，降低路由协议的开销，以适应移动终端、无线传感器的计算能力、储存空间以及电源等方面的限制。

2、在分层自组网络中，网络信道具有开放性特点，通信过程面临身份仿冒、数据窃取等诸多安全问题，群组密钥(即簇密钥)作为保障簇内部及簇间安全通信的第一道防线，而群组密钥管理机制作为保障群组密钥安全生成、更新的关键技术，在分层自组网中也扮演着重要的角色。因此，设计一个安全有效的群组密钥管理方案成为分层自主网通信中亟待解决的重要问题。

3、传统的群组密钥管理主要采用基于证书的公钥基础设施(public keyinfrastructure,pki)认证体制。公钥基础设施能够为网络应用提供安全平台。pki基于非对称算法构建，通过密钥管理与证书管理服务，保证网络通信的安全性、真实性、完整性以及不可抵赖性。pki体系安全的核心是认证中心ca的安全性，要求ca中心无论在网络安全防护还是物理安全防护上都必须保持较高的级别，其建设与维护上需要投入较大的财力物力。同时，为了在线验证数字证书的真实性，终端与ca之间必须保持可靠的网络连接，对网络带宽要求相对较高，无法直接适用于带宽资源有限的无线分层自组网。

4、cpk(combined public key，组合公钥)体制是一种新的集中式公钥管理模式，其基本思想是，由管理中心生成多个密钥因子，结合用户终端唯一标识形成多个公、私钥对，私钥因子全部存储在一个安全的芯片中，标识则由中心直接发给用户终端。cpk算法基于组合密钥构建用户终端身份标识密钥，公私钥的构建和管理不需要证书在线传递验证公钥真伪，解决了pki身份认证中的复杂管理问题。cpk具有超大规模密钥管理能力、灵活的认证机制、简单高效的运行体制、易于实现产品一体化设计等优点，可以很好地解决密钥管理中密钥的规模化问题。目前提出的cpk群组密钥管理中，未解决管理中心单点故障的问题，系统缺乏可靠性，此外，由于网络动态变化，群组成员离线时，可能会导致整个群组无法计算、及时更新组密钥，影响数据持续、安全的通信。现有组合公钥密钥管理手段无法安全进行自组网群组密钥管理问题。

5、区块链作为一种去中心化的分布式数字分类账技术被广泛应用于分布式自组网中以记录交易数据，并能保证该数据可追溯且不可篡改。当前利用区块链的去中心化技术减少自组网中每个参与者的计算与通信开销，但都缺少参与者自主更新密钥的过程。异步棘轮树(asynchronous ratchet tress,art)是一个多方可以共同派生一个群组密钥的分布式协议，无需多个组成员同时在线，由一个发起方成员进行预部署，再由其余组成员对该密钥进行异步计算，实现密钥的动态更新。

6、现有技术存在以下问题：

7、1)依赖证书机构的方法认证步骤多、时延长的问题；

8、2)基于cpk的自组网群组密钥管理存在单点故障的问题，用户终端离线对群组的影响较大；

9、3)基于区块链的方法没有动态密钥更新的问题。

技术实现思路

1、为克服现有技术的不足，本发明提供了一种基于组合公钥的自组网群组密钥管理系统及方法，解决现有技术存在的现有组合公钥密钥管理手段无法安全进行自组网群组密钥管理问题、认证步骤多、时延长等问题。

2、本发明解决上述问题所采用的技术方案是：

3、一种基于组合公钥的自组网群组密钥管理系统，包括能进行通信的密钥管理中心、用户终端；其中，密钥管理中心存储有私钥矩阵信息，用户终端存储有公钥信息；密钥管理中心用于：提供用户终端注册、申请、分发并统一管理密钥，将用户终端分簇，为每簇申请群组密钥，保证各簇中用户终端的安全通信；当有用户终端加入或离开簇时，动态更新群组密钥。

4、作为一种优选的技术方案，用户终端包括簇头用户终端、簇成员用户终端，密钥管理中心与簇头用户终端能进行通信，簇头用户终端与簇成员用户终端能进行通信。

5、作为一种优选的技术方案，密钥管理中心用于：提供用户终端的注册与身份认证，并将注册的用户终端划分为m个簇，为每个簇分配一个任务区域，每个簇有n个节点，每个节点包括1个簇头用户终端与n-1个簇成员用户终端；以及，向用户终端发送指令或接收其采集到的数据信息；

6、簇头用户终端用于：部署用户终端群组，计算群组密钥；以及，作为系统中的区块链共识节点，维护密钥管理区块链；其中，簇头用户终端能进行簇间通信；

7、簇成员用户终端用于：执行任务，保持区块链的最新状态；其中，同一个簇内部的簇成员用户终端之间能互相通信。

8、一种基于组合公钥的自组网群组密钥管理方法，采用所述的一种基于组合公钥的自组网群组密钥管理系统，包括以下步骤：

9、s1，用户终端密钥生成：用户终端向密钥管理中心申请密钥，用户终端加入由密钥管理中心划分的分层自组网中执行任务；

10、s2，用户终端写入：将用户终端写入区块链；

11、s3，群组密钥生成：采用构建密钥树的方法实现群组密钥的计算；

12、s4，群组密钥更新：用户终端根据更新公钥列表。

13、作为一种优选的技术方案，步骤s1包括以下步骤：

14、s11，用户终端将自身的身份标识通过安全信道发给密钥管理中心；

15、s12，密钥管理中心对身份标识进行核验，检查身份标识是否被注册：若尚未注册，将该身份标识作为每个用户终端的私钥，并计算公钥，在本地保存数据项，并将用户终端密钥通过安全信道返回；

16、s13，用户终端收到密钥并保存：

17、当每个用户终端在密钥管理中心获取密钥后，每个用户终端均变成授权的节点并获得相关的身份密钥对，其他用户终端能根据身份标识检索其公钥；

18、在所有用户终端得到密钥后，将用户终端划分为m个簇，完成划分后密钥管理中心给每个簇分配一个用户终端作为该簇的簇头用户终端。

19、作为一种优选的技术方案，步骤s2包括以下步骤：

20、s21，当系统中现有的用户终端密钥生成完成后，密钥管理中心为每个簇生成对应的用户终端的身份公钥列表、群组公钥列表，将包含这两类列表的消息发送给见证者节点；

21、s22，见证者节点接收到消息则使用之前密钥管理中心发布的公钥验证消息中的公钥和签名；若验证失败，则丢弃该消息；若验证成功，该消息将在共识机制下由见证者节点打包成一个初始交易；

22、s23，见证者节点将该用户终端写入一个新的区块后，该见证者广播该区块；

23、s24，当区块链中有超过设定比例的共识节点对这个区块验证通过时，则表明该用户终端已经被记录到区块链上。

24、作为一种优选的技术方案，步骤s3包括以下步骤：

25、s31，当区块验证通过并被部署到区块链上后，每个簇的簇头用户终端部署群组密钥，其余簇成员用户终端将对群组密钥进行异步计算，该群组密钥用于此簇内的安全通信；

26、s32，簇头用户终端作为群组内的通信发起方，负责art的构建，根据簇成员组成变化动态更新簇，基于art更新簇的群组密钥；

27、s33，由簇头用户终端负责art的构建，对应的树根节点的密钥则为群组密钥；在该密钥树创建之前，簇头用户终端使用密钥管理中心接收到的公钥列表用于构建art，使用身份公钥列表用于各个用户终端构建art时对用户终端身份的认证；

28、s34，簇头用户终端完成密钥树构建后，向群组内的簇成员用户终端发送各自的位置索引、簇头用户终端的公钥、群组公钥列表、密钥树中对应某一节的辅助路径公钥，用以支持群组密钥的异步计算，簇头用户终端在发送完密钥后将清除其他簇成员用户终端节点的私钥。

29、作为一种优选的技术方案，步骤s4中，当新用户终端加入簇时，包括以下步骤：

30、sa41，新用户终端向密钥管理中心发送身份标识、请求加入的簇标识信息请求注册；

31、sa42，密钥管理中心接收到消息后验证消息是否合法，并为合法用户终端生成身份公私钥对；

32、sa43，密钥管理中心发送一条新用户终端请求加入消息给该区块链中所对应簇的簇头用户终端，簇头用户终端接收到该消息后验证该消息是否有效；

33、sa44，验证成功后，簇头用户终端广播此区块到整个区块链，当区块链中有超过设定比例的簇头用户终端通过该区块的验证时，将该区块写入区块链，簇头用户终端及其他簇头用户终端根据此前生成的消息信息更新公钥列表。

34、作为一种优选的技术方案，步骤s4中，当用户终端离开某一簇时，包括以下步骤：

35、sb41，向簇头用户终端发送离开请求，簇头用户终端接收到消息后验证消息合法性：

36、sb42，验证成功后，簇头用户终端广播此区块到整个区块链，当区块链中有超过设定比例的簇头用户终端通过该区块的验证时，将该区块写入该区块链，该簇头用户终端及其他簇头用户终端根据此前生成的交易更新公钥列表。

37、作为一种优选的技术方案，步骤sb41中，簇头用户终端接收到消息将基于以下规则验证消息合法性：

38、核查身份合法性：检查消息中的公钥是否存在于该簇的公钥列表中，若存在，则身份合法；

39、以及，

40、验证身份有效性：使用用户终端公钥验证消息中的签名，若验证通过，则身份有效。

41、本发明相比于现有技术，具有以下有益效果：

42、(1)高安全性：在本发明中，将所有用户终端进行分簇处理。在分层自组网中，簇内用户终端之间的通信由群组密钥进行加密；一旦簇成员离开，它的身份就会被撤销，所有簇都将更新群组密钥；当有新的用户终端加入时，簇头用户终端会更新群组密钥，保证动态的安全性；另外，无论是簇头用户终端还是簇成员用户终端，在计算群组密钥之前都需要进行身份合法验证，防止伪装攻击；

43、(2)认证效率高：基于数字证书的认证方法，每次通信时需要先传递数字证书，不仅会增加通信内容，也增加了保密通信协议的步数，而且使用证书前还要对证书进行验证；而基于组合公钥的保密通信，可在公钥矩阵中直接查找对方的公钥，即刻发起保密通信；效率明显高于数字证书模式；

44、(3)防单点故障：引入群组密钥的分布式协议art，对群组密钥进行预部署，各群组成员能对组密钥进行异步计算、自主更新；利用区块链技术的去中心化的特性，解决单点故障问题，提高群组密钥管理的透明性与公平性。