【技术实现步骤摘要】
本领域属于信息安全,涉及密钥管理,具体涉及一种应用于分布式系统中安全管理和使用密钥的方案。本专利技术是一种使用多点评估技术优化的身份基分布式密钥管理方案,旨在提高无可信中心的分布式密钥管理系统的效率。本专利技术创新的分布式密钥管理技术方案实现了高度安全的密钥生成和管理,同时降低了系统的复杂性和开销。
技术介绍
1、传统公钥体制的密钥管理通常需要依赖公钥基础设施(public keyinfrastructure,pki)来验证和签名公钥,以将其与特定的节点信息关联起来,这一过程增加了通信的复杂性。pki的证书管理和维护需要中心化设施证书授权中心(certificateauthority,ca)来实现。交换公共密钥证书(public key certificate,pkc)会降低通信效率,并且证书必须存储在本地,这占用了存储资源。
2、为了避免出现pki中存在的问题,基于身份的密码学(identity-basedcryptography,ibc)是一个很好的替代方案,其中,非对称密钥是从终端用户的身份信息派生的,而不再需要ca和pkc。因此,终端不需要申请和存储证书,从而降低了维护难度。当在设备之间或设备与物联网平台之间进行认证、数据加密和数据签名时,不需要复杂的证书管理、交换、验证等环节,只需要交换双方的身份,减少了通信开销。由于降低了存储、计算和通信成本,ibc适用于带宽和资源有限的边缘设备。然而,ibc仍需要私钥生成器(privatekey generator,pkg)作为一个可信的权威机构来替代ca。pkg用于为
技术实现思路
1、为解决现有技术存在的上述问题,本专利技术提供了一种低开销的无在线可信中心身份基门限密钥管理方法及系统,本专利技术多点评估技术优化的秘密共享阶段,降低系统初始化阶段的开销。
2、在本专利技术中,仅存在一个离线可信第三方用来生成公共参数,公开参数信息后随即下线,不再参与密钥管理系统的运行。任何加入系统的节点需要载入公共参数,节点之间没有预先建立的信任关系。本专利技术方案假设每个节点都携带一个唯一且不变的身份标识,记为id。假设所有参与者共享一个广播信道,以便可靠地相互通信。本专利技术方案为同步协议,在协议运行过程中,各方轮流进行通信。每个通信回合中,每一方都会进行计算,并向其他参与发送隐私消息或者广播消息。在每个通信回合结束时,每一方都会收到其他参与者在该回合中向其发送的所有消息。本专利技术采取如下技术方案:
3、一种基于多点评估机制的身份基门限密钥管理方法,具体步骤如下:
4、(1)离线可信第三方生成公共参数;
5、(2)对系统进行可信初始化设置;
6、(3)生成用户密钥;
7、(4)进行加密和解密。
8、优选的,步骤(1)系统离线公共参数生成,具体如下:
9、可信第三方选取安全参数λ∈z+(z+为正整数域),指定阈值为t,运行init(1λ,t),设置如下参数:
10、1.1g为双线性映射相关参数的生成函数。输入λ,运行(g,gt,q,p,e)←g(1λ):选择大素数q,选择q阶的循环加法群g和循环乘法群gt,选取g的生成元p∈g*(g*为g\{0}),存在双线性映射e:g×g→gt;
11、1.2设置消息长度为m,消息空间为m=={0,1}m,密文空间为c=g*×{0,1}m×{0,1}m;
12、1.3杂凑函数:h1:{0,1}*→g*,h2:gt→{0,1}m,(zq是一个模为q的整数环,为zq\{0}),h4:{0,1}m→{0,1}m;
13、1.4设置陷门值(下标r表示随机选择一个元素),计算一个大小为t-1的元组:(τp,...,τt-1p)←sc(p;τ,t)。本专利技术将基于椭圆曲线上的离散对数问题进行描述,下文中使用[a]表示ap。
14、公共参数为pub=(g,m,=c,h1~h4,sc)。可信第三方销毁陷门并公开参数信息,随后从系统中下线,不再参与密钥管理系统的运行。
15、系统参数建立完成后,可由n(n≤2t-1)个任意节点构成密钥管理集群kpas。节点编号设置为i∈[0,n),在节点计算过程中使用有限域fq上的n(n=2k,其中)次单位根代替节点索引进行计算,表示第i个n次单位根。随后集群内进行n个回合的同步通信完成系统的初始化(此处的初始化是可信第三方进行的,用于生成公开的参数信息,步骤(2)的初始化是系统的初始化,生成系统运行所需的密钥信息与相关参数)。
16、优选的,步骤(2)系统可信初始化设置,具体如下:
17、配置授权密钥管理节点kpas(key privacy authorities)集群,由n个kpa节点构成。kpa节点执行如下步骤完成系统初始化:
18、2.1kpa秘密共享分发轮
19、在第i通信回合中kpa节点ki执行一轮秘密共享的分发轮,步骤如下:
20、ki载入公共参数pub,随后生成一个度为t-1次的随机多项式,fi(x)modq(下文中的多项式运算均在有限域fq上进行)。表示为多项式f的d次项系数。该回合中ki需要进行秘密共享的主秘密即为
21、ki通过公共参数中的sc计算fi(x)的多项式承诺并广播。
22、2.1.1.ki计算fi(x)的多点认证树
23、ki首先计算n的值,并会在计算中会增加n-n个虚节点参与计算。首先根据多项式求余定理,计算多点评估树,其形式为一颗满二叉树。随后对多点评估树的节点进行认证获得多点认证树。在多点评估树中每个节点由商多项式quo,余多项式rm和累积项acc构成。令叶节点所在的层数表示为第0层,则fi(x)的多点评估树的第l层的第u个节点可以表示为:其中累积项是与fi(x)无关的一个通项,形式为:
24、
25、上式中br(z)表示对z进行位逆序置换操作,由上式可以得到累积项的递推计算表示为:
26、accl,u(x)=accl-1,2u(x)·accl-1,2u+1(x) (1)
27、每个节点的quo,rm项由父节点的余多项式和自身对应的累积项计算获得,根节点计算所需的余多项式则为fi(x)本身,则节点各项的计算可以表示为:
28、
29、
30、由公式(2)和(3),自顶向下拆解每个节点中的rm项,以根节点至所在叶节点的计算路径为例:
31、由fi(x)的上述形式,同理可以获得根节点到每个叶节点的一条包含k+1个节点的计算路径。叶节点的余多项式仅包含一个常数项,即为在fi(x)上的函数值,令pathj表示关于对应叶节点的计算路径上的节点序列,则有下式成立:因为acc项为通项,显然同一叶节点在不同多项式对应的多点评估树中的计算路径是相同的。
32、1)预处理累积认证树
33、k本文档来自技高网...
【技术保护点】
1.一种基于多点评估机制的身份基门限密钥管理方法,其特征是按如下步骤:
2.如权利要求1所述一种基于多点评估机制的身份基门限密钥管理方法,其特征是:步骤(1)中,可信第三方选取安全参数λ∈Z+,Z+为正整数域,指定阈值为t,运行Init(1λ,t),设置如下参数:
3.如权利要求2所述一种基于多点评估机制的身份基门限密钥管理方法,其特征是:步骤(1)中,参数建立完成后,由n个任意节点构成密钥管理集群KPAs,(n≤2t-1);节点编号设置为i∈[0,n),在节点计算过程中使用有限域Fq上的N次单位根进行计算,N=2k,表示第i个N次单位根;集群内进行n个回合的同步通信完成系统初始化。
4.如权利要求3所述一种基于多点评估机制的身份基门限密钥管理方法,其特征是:步骤(2)中,配置授权密钥管理节点KPAs集群,由n个KPA节点构成;KPA节点执行如下步骤完成初始化:
5.如权利要求4所述一种基于多点评估机制的身份基门限密钥管理方法,其特征是:步骤2.1具体如下:
6.如权利要求5所述一种基于多点评估机制的身份基门限密钥管理方
7.如权利要求6所述一种基于多点评估机制的身份基门限密钥管理方法,其特征是:
8.如权利要求7所述一种基于多点评估机制的身份基门限密钥管理方法,其特征是:步骤(3)中,用户在启动时载入由离线第三方生成的公共参数Pub,并预处理累计认证树;用户在加入当前网络后,获取系统公开参数PP,并对{Pki...}i∈KPAs进行验证;首先进行第一级验证,由累计认证树获取每个管理节点Ki的累积值认证路径Pfi包含的路径证明和PP中所包含的系统承诺PC,通过公式(5)验证Pki正确性;
9.如权利要求8所述一种基于多点评估机制的身份基门限密钥管理方法,其特征是:步骤(4)具体如下:
10.一种基于多点评估机制的身份基门限密钥管理系统,基于权利要求1-9任一项所述的方法,其特征是包括如下模块:
...【技术特征摘要】
1.一种基于多点评估机制的身份基门限密钥管理方法,其特征是按如下步骤:
2.如权利要求1所述一种基于多点评估机制的身份基门限密钥管理方法,其特征是:步骤(1)中,可信第三方选取安全参数λ∈z+,z+为正整数域,指定阈值为t,运行init(1λ,t),设置如下参数:
3.如权利要求2所述一种基于多点评估机制的身份基门限密钥管理方法,其特征是:步骤(1)中,参数建立完成后,由n个任意节点构成密钥管理集群kpas,(n≤2t-1);节点编号设置为i∈[0,n),在节点计算过程中使用有限域fq上的n次单位根进行计算,n=2k,表示第i个n次单位根;集群内进行n个回合的同步通信完成系统初始化。
4.如权利要求3所述一种基于多点评估机制的身份基门限密钥管理方法,其特征是:步骤(2)中,配置授权密钥管理节点kpas集群,由n个kpa节点构成;kpa节点执行如下步骤完成初始化:
5.如权利要求4所述一种基于多点评估机制的身份基门限密钥管理...
【专利技术属性】
技术研发人员:罗震宇,王明阳,刘涛,徐欣,梁军学,姚英彪,王传华,李合计,
申请(专利权)人:杭州电子科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。