基于分层结构对称密钥池的群组通信方法及通信系统与流程

1.本发明涉及群组通信领域，尤其涉及基于分层结构对称密钥池的群组通信方法及通信系统。


背景技术：

2.随着无线通信技术的不断发展，终端直接通信(device to device，d2d)已成为3gpp rel-12标准化技术的热点之一。d2d允许两个用户设备(user equipment，ue)通过特定的信道(sidelink channel)直接进行数据传输，而无需经过演进型基站设备(evolutional node b，enb)。当然，d2d并不局限于两个用户设备之间的数据传输，还可以支持单点对多点的群组通信(group communication)。现有的网络认证体系大都是基于单个对象的一对一的认证方式，但是对于单点对多点的数据传输，会根据一定的原则形成群组。在这些应用场景下，当组内接入新的终端时，若采用现有的一对一的认证方式，不仅会增加网络信令，导致网络拥塞，且会占用大量网络资源，因此现有的一对一的网络认证体系不再适用。在这种情况下，为降低认证资源消耗，减少网络拥塞，需要相应的群组认证机制。现有的群组通信系统使用群组密钥池，通过使用群组型对称密钥池存储的对称密钥来实现群组通信，若某一成员遭到攻击，整个群组的保密通信都受到安全性威胁。
3.在现有技术中，对密钥池进行更新往往需要颁发中心的参与，由于传输的数据量较大，对安全性有一定威胁。
4.基于上述分析，现有技术存在以下缺陷：
5.1.现有技术中，群组对称密钥池由于容量较大，无法存储于高度安全的安全芯片中，存在被俘获后被拆解从而被破解的可能性。群组型对称密钥池被群组内所有成员所共有，群组型对称密钥池一旦被破解，则基于群组型对称密钥池的群组通信的安全性受到威胁；
6.2.现有基于对称密钥池的取密钥方法为：首先选择一个密钥位置，然后从该位置取出整段密钥。在对称密钥池被群组成员共享的情况下，该种取密钥方式容易被群组成员所知，私密性不高；
7.3.现有密钥池更新的方法为一方生成密钥后给另一方发送过去，由于密钥池中的密钥量巨大，会导致密钥池更新需要大量时间；对于群组通信来说，需要将同一份密钥传递到群组的各个成员，密钥量更加巨大，往往难以实现；
8.4.现有基于密钥池的群组通信系统中，所有拥有群组密钥池的成员的地位是相同的，任意一个成员被俘获均会导致整个群组通信系统的失效。


技术实现要素：

9.发明目的：本发明针对上述不足，提出了一种基于分层结构对称密钥池的群组通信方法及通信系统，在群组通信的场景中，进一步增强了对称密钥池的使用安全性，使得在某个子群组对称密钥池被破解的极端情况下，基于对称密钥池的群组通信的安全性也仍然
可以得到保证。
10.技术方案：
11.基于分层结构对称密钥池的群组通信方法，包括步骤：
12.(1)将群组采用树形结构进行分层，其中最高层为第0层，只有1个群组成员，为群组管理员；在群组管理员的本地安全存储芯片中存储有群组管理员的替换密钥；所述群组管理员保存有第0层的密钥池；
13.(2)为树形结构中其他层的群组成员分配id，并根据各层各个群组成员的id及其父节点的替换密钥计算得到各层各个群组成员的替换密钥；并将其替换密钥存储至其本地安全存储芯片中；
14.(3)第1层各群组成员根据其替换密钥与第0层的密钥池计算得到其密钥池，第1层以下所有层级的各群组成员的密钥池均与其父节点的密钥池相同；
15.(4)同层群组成员之间通信：发送方通过预先设定的密钥选取方式从其父节点群组成员的密钥池中选取密钥作为通信密钥；
16.(5)高层群组成员与低层群组成员之间通信：首先通过低层群组成员的替换密钥及其父节点群组成员的密钥池计算得到低层群组成员替换后的密钥池；发送方通过预先设定的密钥选取方式从计算得到的低层群组成员替换后的密钥池中选取密钥作为通信密钥。
17.所述预先设定的密钥选取方式如下：
18.发送方生成一时间戳，并根据所述时间戳及第1层群组成员的密钥池长度计算出初始位置指针；然后根据初始位置指针及所述时间戳计算得到第一个步长，根据第一个步长及时间戳计算得到第二个步长，以此类推，共计算得到n个步长；根据初始位置指针与第一个步长计算得到选取密钥的第一位密钥指针，然后用第一位密钥指针与第二个步长计算出第二位密钥指针，以此类推，共计算出n位密钥指针；根据每一位密钥指针从目标密钥池中取出相应的密钥数据，组成密钥；
19.其中，针对第1层及其以下的高层群组成员与低层群组成员之间通信：n个步长的计算过程中还加入低层群组成员的替换密钥，并在取出密钥后，通过低层群组成员的替换密钥加密该密钥作为最终通信密钥。
20.如超出目标密钥池大小kpl，则利用对kpl取模的方式回到密钥池头部。
21.步骤(4)和步骤(5)中，消息发送方根据通信密钥将其发送的消息进行加密，并连同通过其加密密钥将其id、发送消息及该发送消息的时间戳生成的消息认证码一起发送至接收方；接收方收到后，通过通信密钥解密得到消息，并据此计算相应的消息认证码与发送方发送的消息认证码进行对比，若两者一致，表示验证通过，信任消息；若验证不通过，则不信任消息。
22.还包括步骤(6)下层群组成员与其父节点同层的其他群组成员进行漫游通信，如下：
23.(61)下层群组成员通过步骤(5)的方法与其父节点同层的某一上层群组成员实现通信；
24.(62)该上层群组成员将该下层群组成员id、其自身id以及通信消息生成漫游事件消息发送至群组管理员；
25.(63)群组管理员验证该漫游事件消息的有效性，并将该下层群组成员的父节点改
为该上层群组成员，同时为其生成新id，并让其据此计算其新的替换密钥及密钥池。
26.所述步骤(63)具体为：
27.(631)群组管理员认可该漫游事件消息后，宣布将该下层群组成员的父节点改为该上层群组成员，并分配新id给该下层群组成员，并生成宣布消息及一对应时间戳；
28.(632)通过该下层群组成员的替换密钥加密、该下层群组成员原父节点替换密钥及该上层群组成员的替换密钥后与宣布消息、时间戳、分配的新id组成消息，再进行签名得到签名消息；
29.(632)群组管理员从该下层群组成员的密钥池中取出密钥并与其替换密钥计算得到加密密钥，并用该加密密钥加密签名消息，计算消息认证码，最终生成发送消息，并发送给该上层群组成员；
30.(633)该上层群组成员验证步骤(632)发送消息的有效性，验证成功后将签名消息发送给该下层群组成员，并在其本地保存其新id；
31.(634)该下层群组成员验证步骤(633)签名消息的有效性，验证成功后，并将其父节点更改为该上层群组成员；同时根据其替换密钥解密签名消息得到该上层群组成员的替换密钥，再依此计算得到其新的替换密钥，并将其存储在本地安全存储芯片中；
32.(635)通过其新的替换密钥与其原有密钥池计算得到其新的密钥池。
33.需要进行密钥池更新时，通过对所述群组管理员保存的第0层密钥池进行更新即可实现。
34.所述群组管理员的安全存储芯片内还存储有所有安全存储芯片的pin码，所述群组管理员通过该pin码执行密钥导入导出操作。
35.一种基于分层结构对称密钥池的群组通信系统，包括采用树形结构进行分层的各群组成员；
36.其中最高层为第0层，只有1个群组成员，为群组管理员；在群组管理员的本地安全存储芯片中存储有群组管理员的替换密钥；群组管理员存储有自己的密钥池；
37.树形结构中其他层的群组成员均配备有id，且在其本地安全存储芯片中存储有相应的替换密钥，所述替换密钥根据其id及其父节点的替换密钥计算得到；
38.前述各群组成员采用前述群组通信方法进行通信。
39.有益效果：
40.1.本专利结合对称密钥池和替换密钥，在群组通信的场景中，进一步增强了对称密钥池的使用安全性，使得在某个子群组对称密钥池被破解的极端情况下，基于对称密钥池的群组通信的安全性也仍然可以得到保证。因为在群组内划分了多个子群组，在一个子群组密钥池被破解的情况下，其他子群组因密钥池与之不同，安全性不会受影响；另外，在一个子群组密钥池被破解的情况下，群管理员的密钥池因受到替换密钥的保护而无法被推导得到，安全性不受影响。
41.2.本专利基于对称密钥池的取密钥方法为：先用替换密钥生成替换后的密钥池，然后从密钥池中采用不同的步长逐个取出多个密钥比特，每次步长均不同。在对称密钥池被群成员共享的情况下，该种取密钥方式也不会被群成员所知，私密性高；
42.3.本专利密钥池更新的方法只需传递少量密钥即可对密钥池进行更新，密钥更新方案的密钥传输量很小，容易实现；
43.4.本专利基于密钥池的群组通信系统中，所有拥有群组密钥池的成员的地位是按等级进行划分的，不同等级的保护措施和密钥池均不同。重要等级成员的保护措施好，不容易被俘获；不重要等级成员的保护措施相对较差，但由于其密钥池是重要等级成员密钥池经过加密得到的，因此即使被俘获也影响不大，不会导致整个群组通信系统的失效。
附图说明
44.图1为本发明实施例中涉及的系统结构图。
45.图2为本发明实施例中在军用数据链场景下的系统结构图。
46.图3为本发明在移动通信场景下的系统结构图。
47.图4为本发明实施例中kta获取方式示意图。
具体实施方式
48.下面将结合附图和具体实施例对本发明作更进一步的说明。但应当理解的是，本发明可以以各种形式实施，以下在附图中出示并且在下文中描述的一些示例性和非限制性实施例，并不意图将本发明限制于所说明的具体实施例。
49.应当理解的是，在技术上可行的情况下，以上针对不同实施例所列举的技术特征可以相互组合，从而形成本发明范围内的另外的实施例。此外，本发明所述的特定示例和实施例是非限制性的，并且可以对以上所阐述的结构、步骤、顺序做出相应修改而不脱离本发明的保护范围。
50.图1为本发明实施例中涉及的系统结构图。如图1所示，本发明基于分层结构对称密钥池的群组通信系统包括1个第0层节点、第0层节点下的第1层节点，第1层各节点下的第2层节点等多层节点。在一种军用数据链场景下，各节点的分布如图2所示，第0层节点可以是指挥中心，第1层节点可以是指挥机，第2层节点可以是无人机、无人车或单兵节点等。在一种移动通信场景下，各节点的分布如图3所示，第0层可以是运营中心，第1层可以是多个基站，第2层可以是多个移动终端。
51.在本专利中，假设所有层级的成员id内均带有该成员所在的层号，层号越小，安全保护措施越好，被敌方俘获的可能性越小。
52.本专利中，设第0层节点拥有第0层密钥池以及替换密钥kr0，第0层节点只有1个，并为群组管理员。第1层有多个节点，每个节点有自身特有的密钥池和替换密钥，并且每个节点的密钥池都是通过其所拥有的的替换密钥与第0层密钥池计算得到的；第2层有多个节点，每个节点拥有其父亲节点的密钥池和自身特有的替换密钥。具体为：设第1层第i个节点为idi，对kr0进行计算可得到该节点替换密钥kri＝fkrid(idi,kr0)，其中fkrid为不可逆函数，优选为消息认证码即mac函数或哈希函数；又设idi下的叶子节点即第2层第j个节点为id
ij
，对kri进行计算可得到该节点替换密钥kr
ij
＝fkrid(id
ij
,kri)。综上可知，某节点的替换密钥为函数fkrid对该节点id与其父节点替换密钥进行计算得到的结果(第0层节点除外，其替换密钥为kr0)。其中，替换密钥存储于本地安全存储芯片如tpm/tcm中，具有抗拆解功能，无法获取，且由于fkrid函数位于安全芯片内且没有输出接口，其计算结果即由替换密钥得到的下级替换密钥也无法获取(第0层节点除外，因为第0层节点的管理员掌握所有安全存储芯片的pin码，可以执行密钥导入导出操作)。所有节点的安全存储芯片内还存有
第0层节点的公钥；第0层节点的安全存储芯片内还存有第0层节点的私钥。
53.节点密钥替换公式为krs＝fkr(k,kr)。其中，fkr为可逆函数，优选为对称加密函数；k为父节点密钥池密钥，kr为该节点替换密钥，krs的长度等于k的长度。
54.为第1层节点替换密钥池的过程如下：将第0层密钥池平均分割为多段密钥，设第n段为kn，针对第1层第i个节点idi，使用密钥替换公式计算得到替换密钥krs
ni
＝fkr(kn,kri)，并用krs
ni
替换kn。替换完成后，得到与第0层密钥池长度相等的第1层第i个节点idi的密钥池。综上可知，第1层某节点的密钥池由该节点替换密钥与其父节点即第0层密钥池进行综合运算所得。以此类推，使用第1层各个节点的替换密钥进行计算可以得到第1层各个节点的密钥池。第1层各个节点所对应的子群组成员(即第2层拥有共同父节点的所有成员)所拥有的的密钥池就是他们的父节点对应的密钥池。
55.实施例1：上层群组通信
56.情况1.1：第0层a与第1层b通信。
57.假设群组成员a要发出的消息为ntf，并为该消息生成一个时间戳tntf。a首先计算得到b的密钥池：a根据自身替换密钥kra即kr0，和b的节点id计算得到b的替换密钥krb，再由krb和a的密钥池综合计算可以得到b的密钥池，密钥池长度为kpl。
58.a在b的密钥池中取出密钥kta，该密钥共n个比特，得到kta的具体流程如图4所示：
59.计算得到密钥kta的初始位置指针pk＝fpk(tntf)mod kpl，其中，mod表示取模运算。依次计算步长：lk1＝flk(pk||tntf)，lk2＝flk(lk1||tntf)，lk3＝flk(lk2||tntf)，
…
，lkn＝flk(lk
n-1
||tntf)。函数fpk(*)和flk(*)为任意指定的函数。再依次计算用于提取随机码的指针pk1＝pk lk1mod kpl，pk2＝pk1 lk2mod kpl，
…
，pkn＝pk
n-1
lknmod kpl。pk1指向密钥kta的开始位置，也就是第一个比特的位置，pk2指向密钥kta的第二个比特的位置，以此类推。根据pk1、pk2、
…
、pkn从密钥池中依次取出对应位置的共n个比特的密钥数据。如超出密钥池大小kpl则利用对kpl取模的方式回到密钥池头部。
60.a取出群组密钥kta后，使用kta加密ntf得到{ntf}kta。使用kta对ida、tntf和ntf计算消息认证码得到mac(ida||tntf||ntf,kta)。将加密的信息、消息认证码连同ida、tntf一起发送至b，发送的信息可以表示为ida||tntf||{ntf}kta||mac(ida||tntf||ntf,kta)。
61.b收到后，使用同样的方法从自己的密钥池中取出kta，使用kta解密{ntf}kta得到消息ntf，使用kta对ida、tntf和ntf计算消息认证码并与收到的消息认证码进行对比，若两者一致，表示验证通过，验证通过后，信任消息ntf；若验证不通过，则不信任消息ntf。
62.情况1.2：第1层b与第0层a通信。
63.假设群组成员b要发出的消息为ntf，并为该消息生成一个时间戳tntf。b按照情况1.1中的方法在自己的密钥池中取出密钥ktb，该密钥共n个比特。然后，使用ktb加密ntf得到{ntf}ktb。使用ktb对idb、tntf和ntf计算消息认证码得到mac(idb||tntf||ntf,ktb)。将加密的信息、消息认证码连同idb、tntf一起发送至其他成员，发送的信息可以表示为idb||tntf||{ntf}ktb||mac(idb||tntf||ntf,ktb)。
64.a收到后，按照情况1.1中的方法计算得到b的密钥池并从中取出ktb，使用ktb解密{ntf}ktb得到消息ntf，使用ktb对idb、tntf和ntf计算消息认证码并与收到的消息认证码进行对比，若两者一致，表示验证通过，验证通过后，信任消息ntf；若果验证不通过，则不信任消息ntf。
65.实施例2：固定拓扑情况下的下层群组通信
66.情况2.1：第1层a与第2层b私密通信。
67.此情况为b是a的叶子节点，a与b拥有相同的密钥池。假设群组成员a要发出的消息为ntf，并为该消息生成一个时间戳tntf。a首先计算得到被b的替换密钥替换后的密钥池：a根据自身替换密钥kra和b的节点id计算得到b的替换密钥krb，再由krb和a的密钥池综合计算可以得到被b的替换密钥替换后的密钥池，密钥池长度为kpl。
68.a在被b的替换密钥替换后的密钥池中取出密钥kta，该密钥共n个比特，得到kta的具体流程如图3所示：
69.计算得到密钥kta的初始位置指针pk＝fpk(tntf)mod kpl。依次计算步长：lk1＝flk(pk||tntf||krb)，lk2＝flk(lk1||tntf||krb)，lk3＝flk(lk2||tntf||krb)，
…
，lkn＝flk(lk
n-1
||tntf||krb)，此处敌方无法破解得到krb，也无法预测。再依次计算用于提取随机码的指针pk1＝pk lk1mod kpl，pk2＝pk1 lk2mod kpl，
…
，pkn＝pk
n-1
lknmod kpl。pk1指向密钥kta的开始位置，也就是第一个比特的位置，pk2指向密钥kta的第二个比特的位置，以此类推。根据pk1、pk2、
…
、pkn从密钥池中依次取出对应位置的共n个比特的密钥数据。如超出密钥池大小kpl则利用对kpl取模的方式回到密钥池头部。
70.a取出群组密钥kta后，计算ksa＝fks(kta,krb)，fks优选为mac函数。使用ksa加密ntf得到{ntf}ksa。使用ksa对ida、tntf和ntf计算消息认证码得到mac(ida||tntf||ntf,ksa)。将加密的信息、消息认证码连同ida、tntf一起发送至其他成员，发送的信息可以表示为ida||tntf||{ntf}ksa||mac(ida||tntf||ntf,ksa)。
71.b收到后，使用同样的方法计算出被b的替换密钥替换后的密钥池，然后在该密钥池中取出kta并计算得到ksa，使用ksa解密{ntf}ksa得到消息ntf，使用ksa对ida、tntf和ntf计算消息认证码并与收到的消息认证码进行对比，若两者一致，表示验证通过，验证通过后，信任消息ntf；若果验证不通过，则不信任消息ntf。
72.情况2.2：第2层b与第1层a私密通信。
73.假设群组成员b要发出的消息为ntf，并为该消息生成一个时间戳tntf。b按照情况2.1中的方法计算出被b的替换密钥替换后的密钥池，然后在该密钥池中取出密钥ktb，该密钥共n个比特，并计算ksb＝fks(ktb,krb)。然后，使用ksb加密ntf得到{ntf}ksb。使用ksb对idb、tntf和ntf计算消息认证码得到mac(idb||tntf||ntf,ksb)。将加密的信息、消息认证码连同idb、tntf一起发送至其他成员，发送的信息可以表示为idb||tntf||{ntf}ksb||mac(idb||tntf||ntf,ksb)。
74.a收到后，按照情况2.1中的方法计算得到被b的替换密钥替换后的密钥池并从中取出ktb，再计算得到ksb，使用ksb解密{ntf}ksb得到消息ntf，使用ksb对idb、tntf和ntf计算消息认证码并与收到的消息认证码进行对比，若两者一致，表示验证通过，验证通过后，信任消息ntf；若果验证不通过，则不信任消息ntf。
75.情况2.3：第1层a与第1层其他群组成员进行群内通信。
76.假设群组成员a要发出的消息为ntf，并为该消息生成一个时间戳tntf。a从其父节点的的密钥池中取出密钥kta，该密钥共n个比特，得到kta的具体流程如下：
77.计算得到密钥kta的初始位置指针pk＝fpk(tntf)mod kpl。依次计算步长：lk1＝flk(pk||tntf)，lk2＝flk(lk1||tntf)，lk3＝flk(lk2||tntf)，
…
，lkn＝flk(lk
n-1
||tntf)。
再依次计算用于提取随机码的指针pk1＝pk lk1mod kpl，pk2＝pk1 lk2mod kpl，
…
，pkn＝pk
n-1
lknmod kpl。pk1指向密钥kta的开始位置，也就是第一个比特的位置，pk2指向密钥kta的第二个比特的位置，以此类推。根据pk1、pk2、
…
、pkn从密钥池中依次取出对应位置的共n个比特的密钥数据。如超出密钥池大小kpl则利用对kpl取模的方式回到密钥池头部。
78.a取出群组密钥kta后，使用kta加密ntf得到{ntf}kta。使用kta对ida、tntf和ntf计算消息认证码得到mac(ida||tntf||ntf,kta)。将加密的信息、消息认证码连同ida、tntf一起发送至其他成员，发送的信息可以表示为ida||tntf||{ntf}kta||mac(ida||tntf||ntf,kta)。
79.其他群组成员收到消息后，使用同样的方法从父节点的密钥池中取出kta，使用kta解密{ntf}kta得到消息ntf，使用kta对ida、tntf和ntf计算消息认证码并与收到的消息认证码进行对比，若两者一致，表示验证通过，验证通过后，信任消息ntf；若果验证不通过，则不信任消息ntf。
80.情况2.4：第2层b与其所有群组成员进行群内通信。
81.方法与2.3类似，b从父亲节点的密钥池中取出密钥，对消息进行加密，然后发送给其他成员，其他成员使用同样的方法从父亲节点的密钥池中取出密钥进行解密验证。
82.实施例3：漫游情况下的下层群组通信
83.设节点id
ij
从idi漫游到idi，该事件为ntfroamer，时间戳为tntfroamer。
84.id
ij
按照情况2.2中的方法生成发送给idi的消息ntf
ij
，并将该消息传输到idi，idi从消息中得到ntf
ij
。idi经过对消息的解析，发现消息发送者并非本群组内成员，因此以消息ntf
ij
为ntfroamee，时间戳为tntfroamee，然后按照情况1.2中的方法生成消息ntfi，并将该消息传输给管理员a。
85.a按照1.2的方法验证idi及ntfroamee的有效性，再从ntfroamee中取出ntf
ij
。a首先计算得到idi的替换密钥及密钥池，然后依此计算得到id
ij
的替换密钥及密钥池，再按照情况2.2中的方法可以验证id
ij
和ntfroamer的有效性。
86.a对ntfroamer事件认可后，接下来就是改变节点id及漫游密钥的流程。
87.a宣布将id
ij
的父节点改为idi，将id
ij
改为id
ij
，并令该消息为ret，时间戳为tret。得到ret
ij
＝tret||ret||id
ij
||{kri||kri}kr
ij
，并对ret
ij
进行签名得到sig
ij
，再将ret
ij
||sig
ij
作为消息retroamer，时间戳为tretroamer。a根据之前计算得到的id
ij
的替换密钥及密钥池，按照情况2.1中的方法，从id
ij
的密钥池中取出密钥并与id
ij
的替换密钥计算得到加密密钥，并用该加密密钥加密retroamer，计算消息认证码，最终生成消息ret
ij
，以ret
ij
||id
ij
为retroamee，时间戳为tretroamee。a按照情况1.1中的方法生成reti，发送给idi。idi按照情况1.1中的方法验证a及retroamee的有效性，验证成功后将retroamee即ret
ij
发送给id
ij
，并本地保存id
ij
。
88.id
ij
按照情况2.1中的方法验证idi及retroamer的有效性，从而得到ret
ij
||sig
ij
，再验证签名sig
ij
。验证成功后，id
ij
节点更换id
ij
为id
ij
，并将父节点更改为idi，用自己的替换密钥kr
ij
解密{kri||kri}kr
ij
得到kri||kri，从而得到kri，再依此计算得到新的替换密钥kr
ij
，并将其存储在本地安全存储芯片中作为新的替换密钥。对于己方原有密钥池的每一段，id
ij
节点执行密钥更换：取出其原有密钥池的一段密钥ki输入到安全芯片，用kri解密ki得到与a的密钥池对应位置相等的密钥ka，再用kri加密ka得到ki，将ki输出安全芯片成为密
钥池的一段密钥。将密钥池的每一段依此替换，替换成功后得到新的密钥池。id
ij
再按照情况2.2中的方法给其父节点idi发送成功的消息。idi收到后，确认id
ij
为新的叶子节点。
89.以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
90.以上详细描述了本发明的优选实施方式，但是本发明并不限于上述实施方式中的具体细节，在本发明的技术构思范围内，可以对本发明的技术方案进行多种等同变换(如数量、形状、位置等)，这些等同变换均属于本发明的保护范围。