[发明专利]移动云计算下多域间非对称群组密钥协商协议的方法

说明书

技术领域

本发明涉及保密或安全通信的群组密钥协商的技术领域，具体涉及一种移动云计算下多域间非对称群组密钥协商协议的方法，应用于网络安全技术和密码技术领域。

背景技术

移动云计算(Mobile Cloud Computing，MCC)是移动分布式计算高速发展的产物，也可看作是移动互联网与云计算相互融合的信息技术。它集成了移动计算、移动网络和云计算的优点。移动云计算使得客户端突破硬件的限制，方便快捷的获得其需要的服务，通过手机、PC及其它终端访问同一数据源或关系源，可以将好友关系从PC对PC的模式，扩展得更加宽广。移动云计算在便捷的数据存取、智能均衡负载、节省服务开销及大规模协同计算方面有着较大的优势。

最近微软、苹果、Google、HTC等厂商相继推出移动云服务，云计算也开始了从桌面向移动市场的转移。移动云计算的应用越来越广泛，如通过移动过设备进行视频会议、多方信息交换、文件共享与分发及群聊天等，保障这些群组信息交换及秘密共享安全的关键技术之一就是群组成员之间建立一种信息传播的安全信道。群组密钥协商(Group Key Agreement，GKA)技术就是群组成员在公开的网络系统上协商出用于群组之间安全通信的群组密钥，通过加密群组的通信信息来保障群组之间信息交换及秘密共享的安全。因此，设计一种适用于移动云计算环境中群组密钥协商协议对移动云计算的安全应用及发展具有重要的意义。

目前，面向移动云计算环境下多域之间的群组密钥协商的研究尚未出现。一系列的挑战性问题有待解决，包括移动计算环境下群组密钥协商的安全性、匿名性、可扩展性与效率。虽然对群组密钥协商的研究已分别有一些工作，但在移动云计算环境下如何实现多域间群组密钥协商，包括密钥协商过程中多域间可认证性、匿名性、可追踪性等方面的工作尚无先例。

发明内容

本发明要解决的技术问题是提供一种移动云计算下多域间非对称群组密钥协商协议的方法，采用双线映射及盲密钥技术实现短签名、盲认证的方案，用于分布在多域群组成员在协商群组会话密钥前必须经过的签名认证及跨域认证技术，且每个参与群组密钥协商的成员在群组密钥协商过程中可计算一对群组密钥，即群组用于加密信息的公钥和群组用于解密信息的秘密密钥，以实现非对称密码系统的安全通信。该方法还考虑了群组成员的动态性，方案采用单个群组成员更换密钥因子实现群组密钥的动态更新，以便群组成员的退出及新成员的加入。因此，该方法对具有终端分布多域性、终端移动灵活性、终端跨域通信频繁性及终端通信安全的严峻性等特点的移动云计算网络，使得分布在多域的终端群组之间建立一种安全秘密通信信道，保障群组之间的安全秘密通信，实现移动云计算下分布在多个域的终端进行非对称可认证群组密钥协商。

本发明的技术方案是：一种移动云计算下多域间非对称群组密钥协商协议的方法，采用盲密钥与多重签名技术实现移动云计算下多域间群组密钥协商的盲签名认证，将盲签名认证过程中的通信信息作为多域间群组密钥协商过程中的群组密钥参数及群组密钥自证实一致性验证的密钥因子；所述多域间群组密钥协商的盲签名认证的步骤为：

A)域认证中心CA_j向其域内群组成员u_j,k(1≤j≤R,1≤k≤n)发送带有域认证中心的私钥及联盟域密钥SK_alli的盲签名密钥函数；

B)域内群组成员u_j,k用自己的私钥对盲密钥函数进行盲签名，获得一个双盲签名函数，并将该签名函数值发送给域认证中心CA_j；

C)域认证中心CA_j收到域内成员的盲签名函数后，对盲签名函数进行脱盲计算处理，通过验证签名的正确性来认证各成员身份的真实性；

D)域认证中心CA_j验证各群组成员的真实身份后，将脱盲计算处理的密钥函数发送给各成员u_j,k，以便在后续群组密钥协商过程中进行身份认证；

所述多域间群组密钥协商的步骤包括：

E)参与群组密钥协商的每个成员u_j,k随机选择多域群组秘钥协商过程中所需要的秘钥参数及对该秘钥参数进行签名，将这些密钥参数、签名及域认证中心发送的盲签名密钥函数发送给参与群组密钥协商的其他成员u_i,k(1≤i≤R,i≠j)；

F)参加群组密钥协商的其他成员u_i,k(1≤i≤R,i≠j)，收到成员u_j,k的发送的消息后，对成员u_j,k进行身份认证；