[发明专利]基于密钥超图和身份密码的多域光网络密钥管理方法

摘要

本发明公开了一种基于密钥超图和身份密码的多域光网络密钥管理方法，该方法首先将多域光网络的密钥关系建模成两层密钥超图，即用点表示顶点，用超边描述各层级密钥关系，然后使用基于分层的身份密码系统和改进的私钥生成策略，完成主密钥、公私钥、会话密钥、层组密钥、域间密钥的生成和动态管理。同时，通过融合成员特征值思想，当群组成员加入或离开时，剩余群组成员利用pPCE或者cPCE传递的密钥特征值自行计算和更新组密钥。通过分析表明，KMS‑KI方案具备前向安全性、后向安全性和抗共谋攻击能力，与典型的基于逻辑密钥树的分散式方案相比，不但支持分层身份密码系统，而且在密钥存储量、cPCE通信量和加解密次数等方面取得了综合较优的性能。

主权项

1.一种基于密钥超图和身份密码的多光域网络密钥管理方法，其特征在于，包括以下步骤：步骤一，建立基于分层PCE的多域光网络模型多域光网络模型的每个子域中配有一个子路径计算单元cPCE，整个模型中配有一个父路径计算单元pPCE，节点分布于子域中；步骤二，建立多域光网络密钥超图模型在多域光网络模型的基础上，建立多域光网络密钥超图模型G：G＝(M,E)其中，M表示光网络中的节点集合，M＝(m0,m2,…,mn‑1)；E为M中的节点构成的超边集合，E＝(E0(K0),…,Ed(Kd),e0(k0),…,et(kt‑1))；|Ei|≥1，|d|表示自治域的总个数，|t|表示连接两个不同域顶点的总边数，Ki(i∈0,d)、ki(i∈0,t‑1)表示超边Ei(i∈0,d)、ei(i∈0,t)所覆盖节点的组密钥；步骤三，建立密钥管理方案KMS‑KI在KMS‑KI中，将步骤二建立的超图模型分为PCE层和自治域层，其中PCE层包括cPCE以及pPCE，自治域层包括各个子域；步骤3.1密钥建立(1)公私钥的建立①pPCE公私钥的建立将pPCE作为PCE层的私钥生成中心PKG，利用参数生成器，输入系统大素数q和系统安全参数k_q，输出G₁、G₂和e；其中G₁为q阶的加法循环群，G₂为q阶的乘法循环群，e为双线性对映射；选取G₁的一个生成元g和哈希函数h:{0,1}^*→G₁，随机选择作为私钥生成中心PKG的系统主密钥，为模q整数乘法群；同时设置pPCE的私钥Pri_pPCE＝k_s，k_s为系统主密钥；pPCE的公钥Pub_pPCE＝k_sg，生成系统密码套件的公开参数pars＝(G₁,G₂,q,g,Pub_pPCE,h)；②cPCE公私钥的建立Setp1：初始化离线对cPCE_i(i表示自治域个数)预置公开参数pars，然后cPCE_i生成身份标识ID_i＝d_ig作为自己的公钥Pub_cPCE(i)，并计算会话密钥协商所需参数其中g为G₁的一个生成元，并将身份标识ID_i和相应的用户口令pw预置于pPCE中；Setp2：cPCEi请求pPCE为自己生成部分私钥信息，并使用pPCE的公钥加密此请求消息；Setp3：pPCE使用私钥解密请求消息及验证用户cPCE_i的真实性后，计算cPCE_i的部分私钥信息k_sh(ID_i)，并选择随机数计算会话密钥协商所需参数Y＝g^pmodq；Setp4：pPCE→cPCEi:[ksh(IDi),[Y]PubcPCE]PripPCE；其中PubcPCE为cPCE的公钥，PripPCE为pPCE的私钥；Setp5：cPCEi使用pPCE的公钥验证其签名的真实性后，然后计算自己的完整私钥PricPCE(i)＝diksh(IDi)，并使用私钥解密[Y]PubcPCE；③自治域内节点公私钥的建立自治域内节点公私钥建立过程与PCE层中cPCE的公私钥建立过程相同，建立时pPCE仅需要修改系统主密钥为ks＝PricPCE(i)，公开参数为pars＝(G1,G2,q,g,PubcPCE(i),h)。