[发明专利]一种网格计算机环境下虚拟组织的密钥管理方案

摘要

网格计算环境下虚拟组织的密钥管理方案是一种用于在网格计算环境下，为动态虚拟组织的各个节点生成、分发和更新组密钥的密钥管理方案，该方案分为两个部分，即：密钥的生成与密钥更新，基于门限方案的组间通信与认证，在集中式和分布式两种组密钥管理方案的基础上，提出了新的层簇式密钥管理架构，并解决了这两种方案存在的安全缺陷。通过使用本发明提出的方案能保证网格计算安全需求的同时改善执行效能。

主权项

1.一种网格计算环境下虚拟组织的密钥管理方案，其特征在于该方案分为两个部分，即：密钥的生成与密钥更新，基于门限方案的组间通信与认证，具体如下：密钥生成与密钥更新：1).簇密钥的生成：每个簇的领导者负责与该簇的成员节点协商产生簇密钥，在最底层即L0层，每一个节点Mi分别提供子密钥$k_1=g^{s_i},$ 其中g为阶数为整数p阶的乘法循环群Zp*的生成元，每个簇的领导者将计算该簇的簇密钥即$\mathrm{ck}=g^{s_{a1}{s}_{a2}···s_{\mathrm{an}}},$ 其中n为该簇的节点个数；2).层密钥的生成：层密钥由该层所有簇的领导者协商产生，或由密钥服务器负责产生，根据虚拟组织的配置情况而定：在层数为第Li层，根据簇密钥ck1 ck2…ckn采用盲因子，计算出层密钥$L_{i}K=g^{s_{b1}{s}_{b2}···s_{\mathrm{bm}}},$ 其中n为该层簇的个数，m为该层节点数目；3).组密钥的生成：由于所有节点均属于最底层，因此最底层的层密钥将作为该组的组密钥；4).密钥的更新：当有新的节点加入时，根据簇生成协议和密钥生成协议，新成员节点将提供子密钥，并由该簇的领导者更新簇密钥；层数为第i层的层密钥更新是由密钥服务器或所有簇的领导者来完成，利用层数为第i+1层的层密钥加密，将新的层密钥组播发送给层数第i层所有簇的领导者，然后由这些领导者利用各自在层数第i层的簇密钥更新给其它成员节点，这样便能有效保证后向私密性；删除某个恶意节点Mi时，设节点Mi所在的最高层为Li层，则需要更新层数为L0-Lj层的层密钥以及节点Mi在各层所在簇的簇密钥，从层数为L0层开始，若节点Mi是簇领导者，则由节点Mi+1担任节点Mi所在簇的新领导者，由领导者重新协商出该簇的簇密钥：更新完簇密钥之后，再由层数为Lj层开始，由上至下更新层密钥；密钥服务器或每一层的领导者可事先约定一个密钥更新函数为K′＝f(K，r)，其中r为随机数；当恶意节点被删除时，选一节点作为新的领导者，随机选择随机数r′，更新簇密钥ck′3＝f(ck3，r′)；密钥服务器能根据新的簇密钥来更新层密钥；5).组内节点间的认证：由于该组所有的成员节点共享组密钥，即最底层的层密钥，易于实现节点间的认证，或是在虚拟组织的配置阶段为每一个节点提供唯一的标识(ID)，通过哈希函数和共享组密钥进行专门的身份认证；基于门限方案(t，n)的组间通信与认证：其中t为阈值，n分为组数目某一区域将网格节点划分为组数为t个组，基于传统公钥密码体制，该区域的服务节点生成密钥对{PK，SK}，其中PK为公开密钥，SK为私有密钥。利用密钥分割算法，服务节点将为每一组生成子密钥对{pki，ski}(i＝1，2，…，t)，其中pki为第i组的公开子密钥，ski为秘密子密钥；具体步骤如下：步骤1：服务节点选择整数n(n＞2t)，并选择大素数p与q且满足等式(p-1)mod q＝0；步骤2：服务节点(Server)根据阈值t，随机选择一组整数{αi，i＝0，1，2，…，t-1}，并生成线性多项式$f\left(x\right)=\underset{i=0}{\overset{t-1}{\Sigma }}{a}_i{x}^i\left(\mathrm{mod}q\right),$ 其中αi∈[1，q-1]；步骤3：服务节点随机选择整数c，计算$\delta =c^{(p-1)/q}\left(\mathrm{mod}p\right)>1,$ 生成的δ为GF(p)中阶数为q的生成元；步骤4：服务节点广播大素数p、q和生成元δ，即{p，q，δ}给每一组；步骤5：服务节点再为每一组选择整数xi(i＝0，1，2，…，n-1)，生成其各自的子密钥f(xi)(mod q)和公开子密钥$y_i={\delta }^{f\left(x_i\right)}\left(\mathrm{mod}p\right);$ 步骤6：当对消息(m)进行认证时，源节点可利用自己的子密钥f(xi)(mod q)以及某一随机整数来产生对消息m的签名，而目的节点则可利用其公开子密钥yi对消息m进行合法性认证。