無線移動自組網絡中基于身份實現密鑰管理的方法
【專利摘要】本發明涉及一種無線移動自組網絡中基于身份實現密鑰管理的方法,包括可信中心生成實現密鑰管理所需的所有公開參數和主密鑰;可信中心初始化普通節點和分布式管理節點的公鑰和私鑰;當有新的普通節點要求加入到網絡中時,新的普通節點執行訪問許可協議從分布式管理節點獲得當前時間周期的密鑰;當一個普通節點的公鑰需要撤銷時,由一個分布式管理節點發起公鑰撤銷協議、同其他分布式管理節點共同生成撤銷請求的數字簽名,并在成功生成該請求的數字簽名后向其他節點廣播撤銷該普通節點的公鑰的信息。采用該種無線移動自組網絡中基于身份實現密鑰管理的方法,可以實現無線移動自組網絡中更高效的密鑰管理方案,需要更少的計算開銷和網絡帶寬開銷。
【專利說明】無線移動自組網絡中基于身份實現密鑰管理的方法
【技術領域】
[0001]本發明涉及無線移動自組網絡中的安全領域,尤其涉及無線移動自組網絡中的密鑰管理領域,具體是指一種無線移動自組網絡中基于身份實現密鑰管理的方法。
【背景技術】
[0002]無線移動自組網(Mobile ad hoc networks,MANETs)是由一組帶無線通信裝置的移動節點自組織形成的一個無線移動網絡。目前,MANETs主要應用在軍事,救援,車輛通信和傳感器網絡。
[0003]公鑰體制為無線移動自組網安全通信及認證提供了基礎保障,其中密鑰管理(發布、更新和撤銷)是基礎中的基礎。針對MANETs的主要特點設置:無基礎設施、自組織、對等性,網絡拓撲動態變化,有限通信帶寬和能量等。此種密鑰管理方案的設計需要考慮無集中管理設施、分布式、部分管理節點失效或被攻擊者攻陷以及更新的效率等問題。
[0004]現有技術中的基于證書權威機構(CA)的方案,在分布式和安全性方面已經具有良好的效果,但公鑰證書的管理依然會消耗大量的通信帶寬和能量。
[0005]基于身份密碼學的方案。采用身份密碼學可以擺脫對公鑰證書發放和管理帶來的計算和通信負擔。然而,目前的方案在計算效率和安全性上做的并不完善,主要有:(1)采用了耗時的雙線性配對運算;(2)要求較強的安全假設,例如要求每次更新密鑰前所有被攻擊者控制的節點都必須被及時發現。
【發明內容】
[0006]本發明的目的是克服了上述現有技術的缺點,提供了一種能夠實現基于身份進行密鑰管理、方法應用安全高效、具有更廣泛應用范圍的無線移動自組網絡中基于身份實現密鑰管理的方法。
[0007]為了實現上述目的,本發明的無線移動自組網絡中基于身份實現密鑰管理的方法具有如下構成:
[0008]該無線移動自組網絡中基于身份實現密鑰管理的方法,其主要特點是,所述的方法包括以下步驟:
[0009](I)可信中心生成實現密鑰管理所需的所有公開參數和主密鑰;
[0010](2)所述的可信中心生成所述的主密鑰的數個分量并將各個所述的分量分別發布到一一對應的分布式管理節點上;
[0011](3)所述的可信中心初始化所有的普通節點和分布式管理節點的公鑰和私鑰;
[0012](4)當有新的普通節點要求加入到網絡中時,新的普通節點執行訪問許可協議從分布式管理節點獲得當前時間周期的密鑰;
[0013](5)當運行到下一個時間周期時,各個所述的分布式管理節點執行密鑰更新協議獲得當前時間周期所對應的新的密鑰;
[0014](6)當一個普通節點的公鑰需要撤銷時,由一個分布式管理節點發起公鑰撤銷協議、同其他分布式管理節點共同生成撤銷請求的數字簽名,并在成功生成該請求的數字簽名后向其他節點廣播撤銷該普通節點的公鑰的信息。
[0015]較佳地,所述的可信中心生成實現密鑰管理所需的所有公開參數和主密鑰,包括以下步驟:
[0016](11)可信中心生成實現密鑰管理所需的所有公開參數MPK= (G,g, y, f,H1, H2),其中,G為循環群,g為循環群生成元,y和y’為系統公鑰,H1和H2為密碼學HASH函數;
[0017](12)所述的可信中心選擇兩個隨機數和x’iz生成主密鑰MSK={x,x’},其
中,所述的主密鑰中的X用于更新普通節點的密鑰,X’用于更新分布式管理節點的密鑰。
[0018]更佳地,所述的可信中心生成所述的主密鑰的數個分量并將各個所述的分量分別發布到一一對應的分布式管理節點上,包括以下步驟:
[0019](21)所述的可信中心隨機選擇η個節點作為分布式管理節點;
[0020](22)所述的可信中心采用可驗證秘密分享技術生成所述的主密鑰MSK={x,X’ }的η個分量{χ」,χ/ },j=0, 1,...,n-1并分別發布到--對應的η個分布式管理節點上。
[0021]更佳地,所述的可信中心初始化所有的普通節點和分布式管理節點的公鑰和私鑰,包括以下步驟:
[0022](31)所述的可信中心為各個所述的分布式管理節點計算密鑰,各個所述的分布式管理節點 Pid 的兩 個密鑰為(rID=gk, Sid=IchH1 (ID, rID) χ)和 Cr’ ID=gk,s’ ID=k’ +H1 (ID, r' ID) x’),
其中,g為循環群生成元,k,k’lz , H1為密碼學HASH函數,各個所述的分布式管理節點的
5q 1
公鑰為(ID I I O);
[0023](32)所述的可信中心為各個普通節點計算密鑰,各個所述的普通節點的私鑰為(rID=gk, Sid=IchH1 (ID, rID)χ),其中,ktZq, H1為密碼學HASH函數,各個所述的普通節點的公鑰為(ID I I O) ο
[0024]更佳地,所述的新的普通節點執行訪問許可協議從分布式管理節點獲得當前時間周期的密鑰,包括以下步驟:
[0025](41)新的普通節點生成并廣播一個包含密鑰協商數據的加入網絡請求;
[0026](42)各個所述的分布式管理節點對所述的新的普通節點進行檢驗并執行基于身份的密鑰交換協議生成會話密鑰;
[0027](43)所述的新的普通節點選擇t個響應的分布式管理節點并驗證其管理身份并設定新的公鑰發送給所述的這t個分布式管理節點;
[0028](44)所述的t個分布式管理節點分別計算部分密鑰并發送至所述的新的普通節
占.[0029](45)所述的新的普通節點根據上述的t個部分密鑰來為新的公鑰生成對應的新的私鑰。
[0030]更進一步地,所述的各個所述的分布式管理節點對所述的新的普通節點進行檢驗,包括以下步驟:
[0031](421)各個所述的分布式管理節點檢查所述的新的普通節點是否已經被撤銷;[0032](422)各個所述的分布式管理節點驗證所述的新的普通節點的簽名信息。
[0033]更進一步地,所述的新的普通節點驗證t個分布式管理節點的管理身份,包括以下步驟:
[0034](431)所述的新的普通節點選擇t個分布式管理節點;
[0035](432)所述的新的普通節點通過系統公鑰y'來檢驗所述的t個分布式管理節點的簽名以驗證身份。
[0036]較佳地,所述的由一個分布式管理節點發起公鑰撤銷協議并向其他分布式管理節點廣播撤銷該普通節點的公鑰的信息,包括以下步驟:
[0037](61) 一個分布式管理節點向其他分布式管理節點廣播撤銷該普通節點的公鑰的請求;
[0038](62)各個分布式管理節點如果同意撤銷該普通節點的公鑰的請求,則計算dt =gk<,其中,g為循環群生成元,并回應請求;
[0039](63)所述的發起撤銷請求的分布式管理節點選擇t個分布式管理節點計算
【權利要求】
1.一種無線移動自組網絡中基于身份實現密鑰管理的方法,其特征在于,所述的方法包括以下步驟: (1)可信中心生成實現密鑰管理所需的所有公開參數和主密鑰; (2)所述的可信中心生成所述的主密鑰的數個分量并將各個所述的分量分別發布到 對應的分布式管理節點上; (3)所述的可信中心初始化所有的普通節點和分布式管理節點的公鑰和私鑰; (4)當有新的普通節點要求加入到網絡中時,新的普通節點執行訪問許可協議從分布式管理節點獲得當前時間周期的密鑰; (5)當運行到下一個時間周期時,各個所述的分布式管理節點執行密鑰更新協議獲得當前時間周期所對應的新的密鑰; (6)當一個普通節點的公鑰需要撤銷時,由一個分布式管理節點發起公鑰撤銷協議、同其他分布式管理節點共同生成撤銷請求的數字簽名,并在成功生成該請求的數字簽名后向其他節點廣播撤銷該普通節點的公鑰的信息。
2.根據權利要求1所述的無線移動自組網絡中基于身份實現密鑰管理的方法,其特征在于,所述的可信中心生成實現密鑰管理所需的所有公開參數和主密鑰,包括以下步驟: (11)可信中心生成實現密鑰管理所需的所有公開參數MPK=(G,g, y, ?,H1, H2),其中,G為循環群,g為循環群生成元,y和?為系統公鑰,H1和H2為密碼學HASH函數; (12)所述的可信中心選擇兩個隨機數xiz和;生成主密鑰MSK={x,x,},其中,丄表示隨機選取,Zq為模q整數群,q是一個大素數,所述的主密鑰中的X用于更新普通節點的密鑰,X’用于更新分布式管理節點的密鑰。
3.根據權利要求2所述的無線移動自組網絡中基于身份實現密鑰管理的方法,其特征在于,所述的可信中心生成所述的主密鑰的數個分量并將各個所述的分量分別發布到一一對應的分布式管理節點上,包括以下步驟: (21)所述的可信中心隨機選擇η個節點作為分布式管理節點; (22)所述的可信中心采用可驗證秘密分享技術生成所述的主密鑰MSK={x,X’}的η個分量{χ」,χ/ }, j=0, 1,...,n-1并分別發布到--對應的η個分布式管理節點上。
4.根據權利要求2所述的無線移動自組網絡中基于身份實現密鑰管理的方法,其特征在于,所述的可信中心初始化所有的普通節點和分布式管理節點的公鑰和私鑰,包括以下步驟: (31)所述的可信中心為各個所述的分布式管理節點計算密鑰,各個所述的分布式管理節點 Pro 的兩個密鑰為(rID=gk, Sid=IcHH1 (ID, rID) χ)和 Cr’ ID=gk,s’ ID=k’ +H1 (ID, r ID) x’),其中,g為循環群生成元,k,k'<-Zq,H1為密碼學HASH函數,各個所述的分布式管理節點的公鑰為(id 110); (32)所述的可信中心為各個普通節點計算密鑰,各個所述的普通節點的私鑰為(rID=gk, Sid=IchH1 (ID, rID)x),其中,ktZ<r H1為密碼學HASH函數,各個所述的普通節點的公鑰為(ID I O)。
5.根據權利要求2所述的無線移動自組網絡中基于身份實現密鑰管理的方法,其特征在于,所述的新的普通節點執行訪問許可協議從分布式管理節點獲得當前時間周期的密鑰,包括以下步驟: (41)新的普通節點生成并廣播一個包含密鑰協商數據的加入網絡請求; (42)各個所述的分布式管理節點對所述的新的普通節點進行檢驗并執行基于身份的密鑰交換協議生成會話密鑰; (43)所述的新的普通節點選擇t個響應的分布式管理節點并驗證其管理身份,然后設定新的公鑰發送給所述的這t個分布式管理節點; (44)所述的t個分布式管理節點分別計算部分密鑰并發送至所述的新的普通節點; (45)所述的新的普通節點根據所述的部分密鑰為新的公鑰生成對應私鑰。
6.根據權利要求5所述的無線移動自組網絡中基于身份實現密鑰管理的方法,其特征在于,所述的各個所述的分布式管理節點對所述的新的普通節點進行檢驗,包括以下步驟: (421)各個所述的分布式管理節點檢查所述的新的普通節點是否已經被撤銷; (422)各個所述的分布式管理節點驗證所述的新的普通節點的簽名信息。
7.根據權利要求5所述 的無線移動自組網絡中基于身份實現密鑰管理的方法,其特征在于,所述的新的普通節點驗證t個分布式管理節點的管理身份,包括以下步驟: (431)所述的新的普通節點選擇t個分布式管理節點; (432)所述的新的普通節點通過系統公鑰I'來檢驗所述的t個分布式管理節點的簽名以驗證身份。
8.根據權利要求2所述的無線移動自組網絡中基于身份實現密鑰管理的方法,其特征在于,所述的由一個分布式管理節點發起公鑰撤銷協議、同其他分布式管理節點共同生成撤銷請求的數字簽名,并在成功生成該請求的數字簽名后向其他節點廣播撤銷該普通節點的公鑰的信息,包括以下步驟: (61)—個分布式管理節點向其他分布式管理節點廣播撤銷該普通節點的公鑰的請求; (62)各個分布式管理節點如果同意撤銷該普通節點的公鑰的請求,則計算式=/_,其中Iii Lza,g為循環群生成元,二表示隨機選取,Zq為模q整數群,并回應請求;1H\ (63)所述的發起撤銷請求的分布式管理節點選擇t個分布式管理節點的回應來計算^ = fld;并發送至被選擇的t個分布式管理節點;
/-1 (64)被選擇的t個分布式管理節點用自己的持有管理密鑰分量來為撤銷請求生成數字簽名分量,并把數字簽名分量發送至所述的發起撤銷請求的分布式管理節點; (65)所述的發起撤銷請求的分布式管理節點通過t個數字簽名分量來計算撤銷請求的數字簽名,若撤銷請求的數字簽名生成成功,則向各個節點廣播撤銷該普通節點的公鑰的信息。
【文檔編號】H04W12/04GK103796200SQ201410073721
【公開日】2014年5月14日 申請日期:2014年3月3日 優先權日:2014年3月3日
【發明者】張勇, 吳松洋, 劉善軍, 何俊峰 申請人:公安部第三研究所