[0001] 本发明涉及一种群组通信所需的密钥管理方法。

[0002] 无线传感器网络在军事、工业、交通、安全、医疗以及家庭和办公环境等领域有着广泛的应用前景。无线传感器网络部署区域的开放特性以及广播特性，增加了网络被破坏或者暴露的可能性，如何保证无线传感器网络执行任务的机密性、数据产生的可靠性、数据传输的安全性，是无线传感器网络安全需要全面考虑的问题。其中以提供安全、可靠的保密通信为目标的密钥管理是无线传感器网络安全研究最为重要、最基本的内容，有效的密钥管理机制也是其他安全机制，如路由协议、安全定位、数据融合、拓扑控制及针对特定攻击的解决方案的基础。

[0003] 相对于端到端的通信方式，按照需要以分组的方式协作通信可以节约大量的通信开销，因此成组通信成为无线传感器网络中数据传输的重要通信形式之一。从安全及节能的角度来看，群组通信的难点及核心环节在于对群组密钥的有效管理，特别是面临被捕获节点泄漏群组密钥等安全信息时，如何及时主动的撤销被俘节点同时对群组会话密钥进行更新并确保群组数据传输的后向安全是群组安全管理的重点和难点。同时，针对无线传感器网络通信信道不可靠、传输不稳定造成的丢包问题，如何使授权的网络节点自动恢复丢失的群组密钥，减少需重传群组密钥信息的而造成的通信消耗是群组密钥管理机制需要考虑的一个重要方面。

[0004] 本发明的发明目的在于克服现有技术的不足，提供利用多项式和混淆值实现自治愈的组密钥管理方法，实现群组通信的前向、后向、双向保密性，实现了群组的密钥的自治愈，同时消耗了较少的通信能量和存储能量的无线传感器网络群组密钥管理新方法。

[0005] 本发明的构想是这样的，首先，无线传感器网络是异构的，具有较好的通信、存储、计算能力的组管理节点被安全的部署并负责周期性的发送全组传感器节点的密钥更新消息，不同的节点可以组成多个动态的对等组，对于其中一个动态的对等组，动态的对等组内节点的动态加入或退出导致成员关系处于不断的动态变化中，为了防止恶意节点以未授权的形式与当前节点进行通信，需要经常更新动态的对等组密钥以确保会话的前向和后向安全，同时，为了防止攻击者通过长时间的监听网络进行通信量分析，也需要对动态的对等组密钥进行周期性的更新，将两次动态的对等组密钥更新之间的时间称为会话，每次会话期间的动态的对等组密钥称为会话密钥，动态的对等组通信的生命周期由一定会话组成，会话时间间隔根据组成员的动态变化而变化，或根据需要固定时间间隔，由于节点资源的受限性，因此，网络节点连续活跃的时间是有限的，其上限为m，即节点最多可活跃q个会话周期，如果节点从j次会话加入动态的对等组中，则最多连续活跃到j+q-1个周期结束时从组中退出来，在此期间，如果某些授权的节点由于通信链路的不可靠而收不到动态的对等组密钥消息时，无法解密由新的动态的对等组密钥加密的数据时，这些节点可先将收到的加密数据缓存起来，通过接收到的后续的动态的对等组密钥更新消息，并结合之前的动态的对等组密钥信息恢复出该次会话的动态的对等组密钥，从而解密出缓存的数据信息，
另外，为了确保动态的对等组更新动态的对等组密钥信息的安全，设定一个门限值t，当攻击者俘获的动态的对等组节点数等于大于t时，动态的对等组管理节点需要立刻更新动态的对等组密钥信息确保动态的对等组通信安全，
在无线传感器网络的其中一动态的对等组中包括一个动态的对等组密钥管理节点GKC(Group Key Controller)和n个普通的节点，每个节点具有唯一的身份标志i, ，n为最大的节点标志，Ui表示单个节点，U={U1,U2,…Un}表示群组的所有节点，m为动态的对等组整个生存周期内的最大会话数，t为群组门限值，被撤销的节点总数最大不可超过t，规定所有的操作都在有限域Fq（q为远远大于n的素数）上进行， 表示会话j时动态的对等组内所有节点的集合， 表示会话j时动态的对等组内所有被撤销的节点的集合（包括会话j之前被撤销的节点）， ，即参与会话的节点集合等于动态的对等组所有节点去除被撤销的节点集合，h (i)表示动态的对等组节点的个人秘密信息，表示第j次组播的动态的对等组密钥更新消息，对于第j次会话组 内的任一节点Ui，其会话密钥Kf仅取决于 和节点的个人秘密信息h(i)，
群组会话密钥分配方案Ω:
令 ，则：
(1) 在满足下列的条件下，Ω是保密的动态的对等组会话密钥分配方案：
a) 对于任意的节点 ，其会话密钥 可以通过组密钥更新消息 和节点的
个人秘密信息h(i)确定,即：
H（Kj｜h(i)，Bj）=0，
b) 群组会话密钥 不能仅仅通过动态的对等组密钥更新消息集合{ Bj}1≤j≤m或者个人秘密信息集合{ h (i)}1≤i≤n中的一个集合确定组会话密钥 ，即：
H（Kj｜Bj）= H（Kj｜h(i)）= H（Kj），
c) 对于任意节点集合 , ，且 ，则Q中的所有节点无法计算出节点
的节点的个人秘密信息h(i)，
H（h (i)｜h (i′)U i′∈X，B1，B2…Bm）≥b
X-撤销的节点集合
(2) Ω被称为具有t-撤销能力，若对于被撤销的节点集合 , ，组密钥管理节点GKC能够产生一个组密钥更新消息 ，对于任何没有被撤销的节点 能够有效的恢复群组会话密钥 ，而撤销的节点集合X中即使所有节点联合起来也无法恢复会话密钥 ，
H（Kj｜h(i)，Bj）=0
H（Kj｜Bj）=H（Kj｜{h (i′)}U i′∈X，Bj）= H（Kj）
(3) Ω具有自治愈能力，若对于任何会话周期j，满足 ，则：
a) 对于同时属于会话组 的任意节点 ，组会话密钥 可以通
过集合{ h (i), Bj1 }和集合{ h (i), Bj2 }得到，即：
H（Kj｜h (i)，Bj1 , Bj2）=0
b) 假设 表示会话j1之前所有撤销的节点集合，则其合谋
无法计算出组会话密钥 ； 表示会话j2之后加入的节点集合，
则其无法合谋计算出组会话密钥 ，
t-前向和后向机密性、t-前后向机密性
令 ，Ω为上述的群组会话密钥分配方案，则：
(1) 密钥分配方案Ω保证了t-前向机密性(t-wise forward secrecy)，对于任意节点集合 , ，X是会话j之前所有被撤销的节点集合，则即使获得会话j之前的所有会话密钥 ，X中所有被撤销的节点联合起来也无法恢复会话密钥 ，H（Kj｜{h (i′)}U i′∈X，B1，B2…Bm，K1，K2…Km）= H（Kj）
(2) 密钥分配方案Ω保证了t-后向机密性(t-wise backward secrecy)，对于任意节点集合 , ,L表示会话j之后加入的节点集合，则即使获得会话j之后的所有会话密钥 ，L中的所有节点联合起来也无法恢复会话密钥 ,
H（Kj｜{h (i′)}U i′∈X，B1，B2，L，Bm，Kj+1，Kj+2，L，Km）= H（Kj）(3) 密钥分配方案Ω保证了t-双向机密性(t-wise forward-backward secrecy)，表示会话j1之前所有撤销的节点集合， 表示会
话j2之后加入的节点集合。如果 ，则 中的所有节点无法合谋计算出组会话密钥 ,
H（Kj｜{h(i′)}U i′∈X∪L，B1，B2，L，Bm，Kj+1，Kj+2，L，Km）= H（Kj）本发明的技术方案是这样的：
设定攻击者具有足够强大的能力窃听、截获、篡改组密钥更新数据包，或者伪造数据包并注入无线传感器网络,首先我们设定网络具备一定的认证能力确保组密钥更新消息的完整和真实性从而阻止篡改或伪造数据包注入网络（如μTESLA认证协议等），对于截获或者由于信道不安全而丢弃的数据包而言，群组密钥管理协议应该在该状况下利用一部分组密钥更新消息成功的恢复节点所需的丢失的会话密钥，
另外，攻击者还可以俘获一定数量的节点并且破解节点内部的有关组密钥会话信息，使得无论系统如何更新群组密钥信息，攻击者都能获得更新后的群组密钥，导致广播组播的前向和后向的密钥管理加密失败；或者重新编程的被俘获节点被重新部署到网络中收集组密钥广播的最新信息；或者恶意节点冒充合法节点进行在网络中进行欺骗，我们把以上攻击统称为同谋攻击，为了及时地检测到同谋攻击，设定网络中己经部署了相关的入侵检测机制，一但同谋攻击被监测到，则所有相关的节点立刻被群组撤销，撤消后的节点将无法重新加入到群组，从而无法获取新的组密钥更新消息，但是被撤销的节点仍然能够通过同谋破解获得节点的秘密信息，进而通过截获的群组会话信息获取最新的组密钥，为此，我们设定只有超过t个节点联合才能破解节点的秘密信息，t为系统参数（与上述的门限值t相同），
设定群组管理节点是安全可靠的，攻击者无法破坏并获取其内部信息，
群组密钥的初始化设置及组密钥更新信息；
群组的初始化配置：
在通信初期，群组中包含n个普通节点，用集合U={U1,U2,…Un}表示，首先，GKC从有限域Fq上随机产生一个一元t次多项式 ， 接着，GKC通过安全的通信信道将h(x)广播给群组的每一个成员Ui，Ui将h(i)做为节点的初始个人秘密信息，
广播组密钥更新信息：
群组密钥管理节点GKC与每个节点间首先共享一个对称密钥SKi用于初始化信息的加密和认证，
(1) 在第 次会话密钥信息发布前，组密钥管理节点GKC首先在Fq上随机选取Kj作为j次群组会话密钥，接着，随机选取αj 作为j次群组会话的会话标志，GKC通过 将Kj分解为 和αj， 在通信初期预先由组
密钥管理节点GKC广播给群组的每一个成员，我们将 称为群组j次会话的秘密组密钥多项式，
(2) 组密钥管理节点GKC在Fq上随机选取2个混淆数值Cωj 和Cβj ，接着计算下列公式：
Aωj（x）=Cωj∏|SGj| i=1(x-h(i))+1 Ui∈SGj
Aβj（x）=Cβj∏|SGj| i=1(x-h(i))+1 Ui∈SGj
设会话j时参与会话的节点集合SGj=U-RGj（1≤j≤m）， 为j次会话
前所有撤销节点的集合，特别的，对于第j次会话，任意不属于会话节点的集合 ，有
Aωj（x）=0 and Aβj（x）=0
(3) 接着，GKC根据上面的公式得到如下公式：
ωj（x）= Aωj（x）αjKe j+ h(i)
βj（x）= Aβj（x）αj+ h(i)
(4) GKC向群组内的每一个节点广播下列信息：
βj={ω1（x）+ω2（x），L，ωj-2（x）+ωj-1（x），ωj（x）}
∪{β1（x）+β2（x）,L, βj-2（x）+βj-1（x）, βj（x）}
群组会话密钥的建立和恢复群组会话密钥；
（1）群组的会话节点Ui在j次会话中接收到广播信息B j，根据B j可以计算出，然后，会话节点Ui可以利用 恢复出会话密钥Kj通过
如下公式。

[0006] （1）（2）
特别的，对于任意已经撤除的节点Ui，由于 ,因此， 和
，所以，节点 无法得到 ，因此也不能恢复出会话密钥Kj,
（2） 群组成员的动态加入
当一个新的节点 准备加入会话j时，GKC产生一个个人秘密信息
，并通过安全通信信道发送给新加入节点 ,
设定组密钥管理节点GKC准备在会话j 开始时将一个新节点加入到通信群组中，GKC首先为其分配一个未被使用的节点标识符 ，将新节点记为 ，GKC产
生一个个人秘密信息 ，并通过安全通信信道发送给新加入节点 。

[0007] （4）性能分析1定理1 本发明提出的组密钥自治愈方案是一种具有主动t-撤销能力和密钥自愈能力的安全的会话密钥管理方案。

[0008] 证明：a) 群组生命周期内的任意会话j，若节点 ，已知 的个人秘密信息h(i)和组密钥更新消息 ，根据如下公式：
可以计算出群组会话密钥 ，因此，群组会话密钥 可以通过 和个人秘密信息h(i)确定得证。

[0009] b)讨论在群组生命周期内的任意会话j，若节点 ，仅仅知道 的个人秘密信息h(i)或者组密钥更新消息 二者中的一个。

[0010] ①假设加入群组会话的节点仅知道其个人秘密信息h(i)，于是可以获得，如果想根据公式（1）（2）得到群组会话密钥 ，必须获得一组 ，但是仅仅通过已知的 ，无法利用公式（1）（2）得到 。

[0011] 因此，节点无法在仅知道个人秘密信息h(i)的请况下获得群组会话密钥 。

[0012] ②假设加入群组会话的节点仅知道组密钥更新消息 ，于是可以获得综上所述，群组会话密钥 不能仅仅通过组密钥更新消息集合 或者个人秘密信息集合 中的一个集合确定组会话密钥 。

[0013] c) 对于任意节点集合 , ，未被撤销的节点 ，可以证明Q中的所有节点合谋不能得到有关节点 的个人秘密h(i)的任何信息。对于每一次的会话j，的个人秘密 是t次多项式的一个取值，Q中的所有节点合谋最多知道关于该多项式的t个点，利用这t个点重构t次多项式在计算上是不可行的。因此，Q中的所有节点合谋不能得到有关节点 的个人秘密h(i)的任何信息。

[0014] D) Ω具有自治愈能力密钥的自愈能力指节点遗失的会话密钥无需密钥管理器的帮助而自动恢复。

[0015] 对于任何会话周期j，满足 ，则：通过已知的 ，利用如下方法可以获得Bj。

[0016] 从而可以得到 ，节点利用公式（1）（2）得组会话密钥 。

[0017] （5）性能分析2：定理2 本发明提出的组密钥自治愈方案保证了会话密钥的安全，同时实现了前向保密性和后向保密性及双向保密性。

[0018] a) 前向保密性是指被撤销的群组节点无法恢复出被撤销后的群组会话密钥。假设生命期为 的节点 参与会话j2(j1法得到确定的 ，因此，该节点无法通过 获得组会话密钥 。
因此，本文方案实现了群组会话密钥的前向保密性。

[0019] b) 后向保密性是指新加入群组节点无法恢复出加入以前的群组会话密钥。

[0020] 节点 准备在会话j2加入群组。加入前，群组管理节点GKC首先计算通过安全通信信道发送给节点 ，节点 根据会话j2的组密钥更新消息 ，可以恢复出群组会话密钥 。但是，当j无法获得之前的群组会话密钥 。另一方面， 是由GKC 通过多项式
随机产生的，因此，由 也不能获得群组
会话密钥 。

[0021] 保证了群组密钥的后向安全。

[0022] c) 密钥分配方案保了双向机密性，假设 表示会话j1之前所有撤销的节点集合，则X中的所有节点仅知道j1之前的通信密钥；
表示会话j2之后加入的节点集合，则L中的所有节点仅知道j2之后的通信密钥，对于会话 之间的会话标志， 中的所有节点合谋也无法知道，因为，
时， ，因此，无法获得 ，
进而无法得到组会话密钥 。另外, ,不能恢复多项式 h(i),因为
，而t次多项式必须t+1阶才可以得到。因此，我们发明的算法具有双向性。

[0023] 从而使得合谋节点无法通过公式 计算出j 次会话的组会话密钥 ，进而保证了方案的双向机密性。

[0024] （6） 性能分析3：存储能耗与通信能耗为了降低存储消耗，我们的算法仅需每个节点存储初始个人秘密信息h(i)和组会话密钥 ，由于h(i) 和 均产生于Fq,因此，我们的存储消耗仅为2logq。根据会话信息，可知我们的通信能量消耗为(j-1)(t+1)logq。与其它算法相比，我们的存储能耗和通信能耗都大大降低了。

[0025] 本发明与已有技术相比，具有利用多项式和混淆值实现自治愈的组密钥管理方法，实现群组通信的前向、后向、双向保密性，实现了群组的密钥的自治愈，同时消耗了较少的通信能量和存储能量的优点。

[0026] 具体实施方式：现结合实施例对本发明做进一步详细描述：
本发明是这样实现的，
首先，无线传感器网络是异构的，具有较好的通信、存储、计算能力的组管理节点被安全的部署并负责周期性的发送全组传感器节点的密钥更新消息，不同的节点可以组成多个动态的对等组，对于其中一个动态的对等组，动态的对等组内节点的动态加入或退出导致成员关系处于不断的动态变化中，为了防止恶意节点以未授权的形式与当前节点进行通信，需要经常更新动态的对等组密钥以确保会话的前向和后向安全，同时，为了防止攻击者通过长时间的监听网络进行通信量分析，也需要对动态的对等组密钥进行周期性的更新，将两次动态的对等组密钥更新之间的时间称为会话，每次会话期间的动态的对等组密钥称为会话密钥，动态的对等组通信的生命周期由一定会话组成，会话时间间隔根据组成员的动态变化而变化，或根据需要固定时间间隔，
由于节点资源的受限性，因此，网络节点连续活跃的时间是有限的，其上限为m，即节点最多可活跃q个会话周期，如果节点从j次会话加入动态的对等组中，则最多连续活跃到j+q-1个周期结束时从组中退出来，在此期间，如果某些授权的节点由于通信链路的不可靠而收不到动态的对等组密钥消息时，无法解密由新的动态的对等组密钥加密的数据时，这些节点可先将收到的加密数据缓存起来，通过接收到的后续的动态的对等组密钥更新消息，并结合之前的动态的对等组密钥信息恢复出该次会话的动态的对等组密钥，从而解密出缓存的数据信息，
另外，为了确保动态的对等组更新动态的对等组密钥信息的安全，设定一个门限值t，当攻击者俘获的动态的对等组节点数等于大于t时，动态的对等组管理节点需要立刻更新动态的对等组密钥信息确保动态的对等组通信安全，
在无线传感器网络的其中一动态的对等组中包括一个动态的对等组密钥管理节点GKC(Group Key Controller)和n个普通的节点，每个节点具有唯一的身份标志i, ，n为最大的节点标志，Ui表示单个节点，U={U1,U2,…Un}表示群组的所有节点，m为动态的对等组整个生存周期内的最大会话数，t为群组门限值，被撤销的节点总数最大不可超过t，规定所有的操作都在有限域Fq（q为远远大于n的素数）上进行， 表示会话j时动态的对等组内所有节点的集合， 表示会话j时动态的对等组内所有被撤销的节点的集合（包括会话j之前被撤销的节点）， ，即参与会话的节点集合等于动态的对等组所有节点去除被撤销的节点集合，h (i)表示动态的对等组节点的个人秘密信息， 表示第j次组播的动态的对等组密钥更新消息，对于第j次会话组 内的任一节点Ui，其会话密钥Kf仅取决于 和节点的个人秘密信息h(i)，
设定攻击者具有足够强大的能力窃听、截获、篡改组密钥更新数据包，或者伪造数据包并注入无线传感器网络,首先我们设定网络具备一定的认证能力确保组密钥更新消息的完整和真实性从而阻止篡改或伪造数据包注入网络，对于截获或者由于信道不安全而丢弃的数据包而言，群组密钥管理协议应该在该状况下利用一部分组密钥更新消息成功的恢复节点所需的丢失的会话密钥，
另外，攻击者还可以俘获一定数量的节点并且破解节点内部的有关组密钥会话信息，使得无论系统如何更新群组密钥信息，攻击者都能获得更新后的群组密钥，导致广播组播的前向和后向的密钥管理加密失败；或者重新编程的被俘获节点被重新部署到网络中收集组密钥广播的最新信息；或者恶意节点冒充合法节点进行在网络中进行欺骗，我们把以上攻击统称为同谋攻击，为了及时地检测到同谋攻击，设定网络中己经部署了相关的入侵检测机制，一但同谋攻击被监测到，则所有相关的节点立刻被群组撤销，撤消后的节点将无法重新加入到群组，从而无法获取新的组密钥更新消息，但是被撤销的节点仍然能够通过同谋破解获得节点的秘密信息，进而通过截获的群组会话信息获取最新的组密钥，为此，我们设定只有超过t个节点联合才能破解节点的秘密信息，t为系统参数，
设定群组管理节点是安全可靠的，攻击者无法破坏并获取其内部信息，
群组密钥的初始化设置及组密钥更新信息；
群组的初始化配置：
在通信初期，群组中包含n个普通节点，用集合U={U1,U2,…Un}表示，首先，GKC从有限域Fq上随机产生一个一元t次多项式 ， 接着，GKC通过安全的通信信道将h(x)广播给群组的每一个成员Ui，Ui将h(i)做为节点的初始个人秘密信息，
广播组密钥更新信息：
群组密钥管理节点GKC与每个节点间首先共享一个对称密钥SKi用于初始化信息的加密和认证，
(1) 在第 次会话密钥信息发布前，组密钥管理节点GKC首先在Fq上随机选取Kj作为j次群组会话密钥，接着，随机选取αj 作为j次群组会话的会话标志，GKC通过 将Kj分解为 和αj， 在通信初期预先由组
密钥管理节点GKC广播给群组的每一个成员，我们将 称为群组j次会话的秘密组密钥多项式，
(2) 组密钥管理节点GKC在Fq上随机选取2个混淆数值Cωj 和Cβj ，接着计算下列公式：
设会话j时参与会话的节点集合SGj=U-RGj（1≤j≤m）， 为j次会话
前所有撤销节点的集合，特别的，对于第j次会话，任意不属于会话节点的集合 ，有
Aωj（x）=0 and Aβj（x）=0
(3) 接着，GKC根据上面的公式得到如下公式：
(4) GKC向群组内的每一个节点广播下列信息：
βj={ω1（x）+ω2（x），L，ωj-2（x）+ωj-1（x），ωj（x）}
∪{β1（x）+β2（x）,L, βj-2（x）+βj-1（x）, βj（x）}
群组会话密钥的建立和恢复群组会话密钥；
（1）群组的会话节点Ui在j次会话中接收到广播信息B j，根据B j可以计算出，然后，会话节点Ui可以利用 恢复出会话密钥Kj通过
如下公式。

[0028] （1）（2）
特别的，对于任意已经撤除的节点Ui，由于 ,因此， 和
，所以，节点 无法得到 ，因此也不能恢复出会话密钥Kj,
（2） 群组成员的动态加入
当一个新的节点 准备加入会话j时，GKC产生一个个人秘密信息
，并通过安全通信信道发送给新加入节点 ,
设定组密钥管理节点GKC准备在会话j 开始时将一个新节点加入到通信群组中，GKC