一種基於秘密共享的單向函數樹組播密鑰管理方法

2023-10-05 03:19:24

專利名稱：一種基於秘密共享的單向函數樹組播密鑰管理方法
技術領域：
本發明屬於組播密鑰管理技術領域，涉及一種基於秘密共享的單向函數 樹組播密鑰管理方法，具體是一種結合單向函數和秘密共享進行組播密鑰管 理的方法。
背景技術：
隨著Internet的迅速普及和爆炸性發展，在Internet上產生了許多新的應 用，其中不少是高帶寬的多媒體應用，如網絡視頻會議、網絡音/視頻廣播、 視頻點播、股市行情發布、多媒體遠程教育等。組播技術是順應這種應用需 要而產生的一種新技術。組播傳輸提高了數據傳送效率，減少了網絡出現擁 塞的可能性。然而，目前的組播協議缺乏有效的安全機制來滿足組播應用的 安全性要求，而採用明文傳輸的組播報文在網絡上很容易被竊聽、冒充和篡 改。組播安全問題是迫切需要解決的問題，其內容包括數據保密、組管理、 源認證等多個方面。
組播密鑰管理為參與組播的成員生成、分發和更新組密鑰，即解決組管 理的安全問題，功能主要包括兩個方面 一個方面是密鑰的分發；另一個方 面是對密鑰進行管理以適應組成員關係的變化。組密鑰是所有組成員都知道 的密鑰，用來對組播報文進行加密/解密、認證等操作，以滿足保密、組成員 認證、完整性等需求。相比單播的密鑰管理，前向保密性、後向保密性和合 謀破解是組播密鑰管理特有的安全問題。
到目前為止，已提出了許多組播密鑰管理方案，如集中式基於樹的密鑰 管理(Centralized Tree-Based Key Management, CTKM)方案、單向函數樹 (One-Way Function Tree, OFT)方案禾口 Iolus方案等。
單向函數樹(One-Way Function Tree, OFT)方案利用左右子節點密鑰 的2個g函數值通過/函數計算產生新的密鑰。其中g是單向函數，/是混合 函數。組控制者創建和維護一棵密鑰層次樹，圖l表示OFT方案的密鑰層次 樹結構。OFT的葉子節點密鑰是由組控制者和對應成員使用公開密鑰交換算 法(比如Diffie-Hellman密鑰交換算法)秘密協商得到的，在組控制者和對 應成員之間共享的成員私鑰，而根節點密鑰和中間節點密鑰由組控制者利用 孩子節點密鑰，通過函數K^/(g(尺x,),gC&0)計算得到，式中&為節點x的密 鑰；力和^分別為節點x的左右孩子節點，g(X)為《的盲密鑰。成員保存對 應的葉子節點密鑰，及從葉子節點到根節點之間所有中間節點的兄弟節點的 盲密鑰。
在(A, ) Shamir秘密共享方法中，秘密S被分解成為w個共享秘密份 額& (1 2S)，如果要通過共享秘密份額&恢復秘密S，必須獲得至少A個共 享秘密份額&才能正確恢復原先的秘密。(A, ) Shamir秘密共享方法使用了有限伽羅瓦域上的一個隨機a-i)次多項式，例如_/^)=("/^"+...+ "乂+ a0) mod / 。
秘密S分解過程由以下四個步驟構成
1) 找一個素數p大於《和秘密&
2) 將常量a。設為S;
3) 選擇個隨機係數A, flw，構建多項式/(:c);
4) 在《個離散點上計算A勾得到W個共享秘密份額。
秘密s恢復過程是利用拉格朗日插值函數/(xhf少，n P4，由"
〖=00 5"1 —義y J
個共享秘密份額中的任意A個構建得到多項式/(x)，然後計算/0)即可得到秘密S。

發明內容
本發明的目的是提供一種基於秘密共享的單向函數樹組播密鑰管理方法 (Secret-Sharing-Based One-Way Function Tree， SOFT)，它是一種新型的集 中式層次型組播密鑰管理方法。該方法引入(2， 《) Shamir秘密共享方法並 結合單向函數g來實現密鑰更新，即用g函數值作為共享秘密份額，用秘密 恢復函數計算得到上層節點密鑰，以樹型結構來進行組播密鑰管理。整個組 播組分為組控制者(Group Controllor， GC)和組成員。節點&對應的密鑰為，對應的盲密鋼為》S.。
'本發明提^的組^密鑰管理方法在更新密鑰傳遞過程中，採用密鑰加密 盲密鑰的方式進行傳送，相比傳統的利用密鑰加密新密鑰進行傳送的方式， 具有更高的安全性。而且，利用秘密共享方法，能夠通過只傳送盲密鑰&和 有效共享秘密份額(Active Sharing, AS)來進行密鑰更新，從而避免了傳送 真實密鑰進行密鑰更新，降低了密鑰被截獲並破解的可能性，增強了本發明 提供的組播密鑰管理方法的抗攻擊性。
本發明方法包括產生密鑰層次樹和盲密鑰層次樹、生成，分發與恢復組 密鑰、組成員加入、組成員離開和周期性密鑰更新五個內容。
l.產生密鑰層次樹
密鑰層次樹是實現基於樹的組播密鑰管理的基礎。組播組成員加入和離
開的密鑰更新過程需要根據密鑰層次樹的結構來進行。密鑰層次樹產生的方 法是.
產生密鑰層次樹和盲密鑰層次樹中產生密鑰層次樹包括產生密鑰層次樹葉
子節點的私鑰、產生鑰層次樹根節點和中間節點的密鑰，其具體方法是
組控制者與各個組成員通過密鑰交換協議產生密鑰層次樹葉子節點y，密
鑰層次樹葉子節點對應的密鑰是各個組成員的私鑰《y，該私鑰《y為組控制者
與對應的組成員之間共享；
通過函數^^《&Q, &0得到密鑰層次樹根節點對應的密鑰和中間節點對應
的密鑰，其中^為根節點或中間節點x對應的密鑰，X/和x,.分別為節點x的左右子節點，&/、 &^分別是子節點^和^的盲密鑰，S為秘密恢復算法。
產生盲密鑰層次樹的具體方法是密鑰層次樹中的每個節點x或y利用對 應的密鑰^或Ky，通過函數Sx=g (KJ得到密鑰^的盲密鑰&，通過函數 S廠g (《y)得到密鑰《y的盲密鑰^y，其中g為單向函數；這些盲密鑰構成的樹 即為盲密鑰層次樹，盲密鑰層次樹和密鑰層次樹具有相同的樹結構，盲密鑰層 次樹中的節點對應的是在密鑰層次樹中處於相同位置的節點對應密鑰的盲密 鑰。
密鑰層次樹和盲密鑰層次樹產生後，每個組成員保存其對應葉子節點到根 節點路徑上所有節點的密鑰以及這些節點的兄弟節點的盲密鑰。
秘密恢復算法S是利用拉格朗日插值函數的方法，為成熟的現有技術。 密鑰交換協議和單向函數g為成熟的現有技術。
2. 生成、分發與恢復組密鑰、
組密鑰是所有組成員的共享密鑰。如果它用於加密組播業務數據，則能 保證只有屬於該組播組的成員才能正確解密組播業務數據。
組密鑰的生成，分發與恢復的方法是
1) 組控制者產生組密鑰《g，並且用組密鑰和根節點的盲密鑰&構造一 個秘密共享多項式，利用該秘密多項式計算出一個有效共享秘密份額 AS;
2) 組控制者以組播的方式向所有組成員發送共享秘密份額AS。
3) 收到共享秘密份額AS的組成員，利用保存的根節點的盲密鑰&，通 過AS)恢復出組密鑰&。
3. 組成員加入
組成員加入過程包括組控制者對請求加入者身份的認證和組成員的密鑰 更新。組控制者對請求者身份認證的目的是驗證請求者身份的合法性，組成 員的密鑰更新是為了保證組播密鑰的前向保密性。
組成員加入的具體步驟是
1) 組控制者對發送加入請求者進行身份驗證，允許通過驗證者加入到組 中。組控制者與新加入的成員通過密鑰交換協議產生新加入成員的 私鑰。
密鑰交換協議為成熟的現有技術。
2) 組控制者根據當前密鑰層次樹的結構，確定新加入成員在該密鑰層次 樹中的插入節點，將新成員作為該插入節點的子節點加入到密鑰層 次樹中。
3) 組控制者利用新成員的私鑰加密從新成員對應葉子節點到根節點路徑 上所有節點的兄弟節點對應密鑰的盲密鑰，然後發送給新加入成 員；
4) 組控制者產生新的組密鑰；
5) 組控制者利用新成員的盲密鑰按照密鑰層次樹生成過程中使用的計算方法計算得到從新成員對應葉子節點到根節點路徑上的所有新密鑰 和新盲密鑰；
6) 組控制者用根節點的新盲密鑰和新組密鑰構造新的秘密共享多項式，
並計算得到新的有效共享秘密份額^S';
7) 組控制者採用對應的密鑰加密新盲密鑰，然後以組播的方式發送給所
有組成員。只有擁有對應密鑰的節點才能正確解密所要獲得的數
據；
8) 組控制者用根節點的新密鑰加密6)中得到的AS*',以組播的方式發送 給所有組成員；
9) 各個組成員根據接收到的盲密鑰，按照密鑰層次樹生成過程中使用的 計算方法計算得到相應中間節點及根節點的新密鑰和新盲密鑰，再 結合所接收到的有效共享秘密份額A5'，通過組密鑰恢復方法計算出 新的組密鑰，完成密鑰更新過程。
4.組成員離開
組成員離開過程包括組控制者對離開成員信息的處理和組成員的密鑰更 新。組控制者對離開成員的處理主要是確認離開成員的身份，並刪除其在組 內的相關信息，組成員的密鑰更新是為了保證組播密鑰的後向保密性。
組成員離開的具體歩驟是
1) 組控制者驗證發送離開請求的成員身份。驗證通過後，組控制者刪除 離開節點在密鑰分布樹中的對應的葉子節點；
2) 組控制者根據當前樹的情況，確定離開點的位置。離開點指離開成員 的父節點；
3) 組控制者產生新的組密鑰；
4) 組控制者為離開成員生成一個替代盲密鑰，該替代盲密鑰對離開成員 是未知的。組控制者利用該替代盲密鑰，按照密鑰層次樹生成過程 中使用的計算方法計算得到從離開成員對應葉子節點到根節點路徑 上所有節點對應的新密鑰和新盲密鑰；
5) 組控制者用根節點的新盲密鑰和新組密鑰構造新的秘密共享多項式， 並計算得到新的有效共享秘密份額AS';
6) 組控制者用對應的密鑰加密新盲密鑰，然後以組播的方式發送給剩餘 的所有組成員。只有擁有對應密鑰的節點才能正確解密所要獲得的 數據；
7) 組控制者用根節點的新密鑰加密5)中得到的AS'，以組播的方式發送 給剩餘的組成員；
8) 各個剩餘的組成員根據接收到的盲密鑰，按照密鑰層次樹生成過程中 使用的計算方法計算得到相應中間節點及根節點的新密鑰和新盲密 鑰，再結合所接收到的有效共享秘密份額AS'，通過組密鑰恢復方法 計算出新的組密鑰，完成密鑰更新過程。5.周期性密鑰更新
為了保證密鑰的時效性，組控制者以一定的周期生成新的組密鑰，並進 行密鑰更新。
周期性密鑰更新的具體步驟是
1) 組控制者產生一個新的組密鑰；
2) 組控制者用根節點的盲密鑰和新組密鑰構造新的秘密共享多項式，並 計算得到新的有效共享秘密份額AS';
3) 組控制者以組播的方式將新的AS'發送給所有組成員；
4) 各個組成員利用根節點的盲密鑰和新的JS'，通過組密鑰恢復方法計 算出新的組密鑰，完成密鑰更新過程。
本發明提供的基於秘密共享的單向函數樹組播密鑰管理方法消除了
CTKM方案在成員變動更新時更新開銷較大以及OFT方案在周期性更新密 鑰時更新過程複雜、更新消息長、計算開銷高的缺陷。當組成員數量很大 時，本發明提出的方法具有OFT方案在成員變動引起的密鑰更新過程中都具 有較小的更新開銷的優點，同時還具有CTKM方案在周期性更新過程中計算 開銷小的優點。


圖1 OFT方案的密鑰層次樹結構圖； 圖2本發明的密鑰層次樹結構圖； 圖3本發明的盲密鑰層次樹結構圖； 圖4成員 一所保存的密鑰示意圖； 圖5成員附3所保存的盲密鑰示意圖； 圖6成員附8加入前的密鑰層次樹； 圖7成員夠加入前的盲密鑰層次樹； 圖8成員m8加入後的密鑰層次樹。 圖9成員ms加入後的盲密鑰層次樹； 圖10成員,離開前的密鑰層次樹； 圖11成員附s離開前的盲密鑰層次樹； 圖12成員附s離開後的密鑰層次樹； 圖13成員ms離開後的盲密鑰層次樹。
具體實施例方式
本發明適用於任何需要組播密鑰管理的應用場景。
在具體實施方式
的闡述過程中，符號{附}:義表示發送者s將消息義發 送給成員m，符號^k表示用密鑰K對消息x進行加密。 1.密鑰層次樹的產生
圖2和圖3分別表示採用本發明中提供的方法，由組控制者創建的含有 8個組成員的密鑰層次樹和盲密鑰層次樹。葉子節點&， ^...，&分別對應組 成員和組控制者共享的私鑰&, 《,(—1,2，...,8)是在成員m,加入組時，與組控制者通過密鑰交換協議(如Diffie-Hdlman密鑰交換協議)產生
的成員私鑰。中間節點&-2， ^-4， ~8， ^-4， ^-S和根節點&-8各自對應
的密鑰為&-2， &-4，《5.6，《7-S，《M， X5-JP&-8，這些密鑰用於加密盲密 鑰，所以稱他們為密鑰加密密鑰。這些密鑰由組控制者分三步計算得到
1) ^.2^(g(&),g(尺2))，《3.4^(g(&),g(尺4))，《5.(^(g(尺5)， g(K6))，
2) XM^(g(^.2), g(K3-4))，《5-『S(g(尺5—6), g(《7-8));
3) U,-4)U)。
密鑰層次樹和盲密鑰層次樹生成之後，每個組成員保存其對應葉子節點 到根節點路徑上所有節點的密鑰和盲密鑰以及這些節點的兄弟節點的肓密
鑰。圖4和圖5分別表示成員附3所保存的密鑰示意圖和附3所保存的盲密鑰
示意圖。黑點表示成員mj保存的密鑰和盲密鑰，分別為&， &-4， &-4， 禾口 &， 514， &_2， &-4， &-4， &-8， 夕l-8。
2. 組密鑰的生成，分發和恢復過程
為了實現組播
1) 組控制者產生組密鑰《g，並且用組密鑰和根節點的盲密鑰構造一個
秘密多項式Xx)，利用該秘密多項式Xx)計算出一個有效共享秘密份
2) 組控制者用根節點的密鑰加密共享秘密份額AS，然後以組播的方式 發送給所有組成員。
3) 組成員解密收到的消息獲得AS，並且利用保存的根節點的盲密鑰 &，通過《^S(&，^S)恢復出組密鑰&。在本實施例中，根節點的盲 密鑰&即為&.8，各個組成員利用&="&-8, AS)恢復出組密鑰&。
3. 組成員加入過程
附8為請求加入的組成員，圖6禾口圖7分別表示附s加入前的密鑰層次樹 結構和盲密鑰層次樹結構。
成員ms加入過程包括以下幾個步驟
1) ,"8向組控制者發送加入請求，組控制者對ms進行身份驗證。驗證通 過後，組控制者與附8利用密鑰交換協議(如Diffie-Hellman密鑰交換 協議)產生附8的私鑰^，該私鑰由組控制者和ms共享。
2) 組控制者根據密鑰結構樹的情況，選定48作為成員ms對應葉子節點 ^的插入節點，^將作為節點^-s的右子節點插入到密鑰層次樹中。
3) 組控制者利用新成員附8的私鑰^加密盲密鑰，向新成員ms發送其 所需的盲密鑰信息GC—{m8}:{&， &-6， 4}《8;
4) 組控制者更新組密鑰《g為《'g;
5) 組控制者利用新成員附8的盲密鑰^按照密鑰層次樹生成過程中使用 的計算方法計算得到從新成員ms對應葉子節點^到根節點路徑上的 所有新密鑰和新盲密鑰；6) 組控制者用根節點的新盲密鑰SVs和新組密鑰《'g構造新的秘密共享 多項式/x)，並計算得到新的有效共享秘密份額AS ';
7) 組控制器採用組播的方式發送密鑰更新消息，由於該消息採用加密方
式傳送，所以只有擁有對應密鑰的組成員才能正確解密消息的內容， 進行密鑰更新。在本實施例中，組控制者向成員組發送三條密鑰更新
消息
① .組控制者利用成員m7的私鑰《7加密新成員夠的盲密鑰&，發
送給成員m7: GC —{附7}:{&}《7;
② .組控制者利用成員m5,附6所擁有的密鑰《5-6加密節點U勺新盲
密鑰
SVs，發送給成員附5，m6: GC—{附5,附6}:{5'7-8}《5_6;
③ .組控制者利用成員^， m2， m3, m4所擁有的密鑰&.4加密節點
的新盲密鑰S，5-s，發送給成員m2, m3, ,w4: GC — m2, w3, w4}:{S'5-8}&—4;
8) 組控制者用根節點的新密鑰加密AS'並向所有成員組播
GC — {wh…，w8}:{^S，}f ls;。
9) 各個組成員利用收到的密鑰更新消息，通過秘密恢復算法以及g函數
計算得到從對應葉子節點到根節點路徑上的所有密鑰和盲密鑰，再利 用新的共享秘密份額^S'，通過組密鑰恢復方法得到新的組密鑰 《'g，完成密鑰更新過程。在本實施例中，各個組成員密鑰恢復的具
體過程如下所述
① 成員附7:附7原先掌握了盲密鑰&t、 &_6和&-4，其中，^表示附7 對應兄弟節點的盲密鑰，雖然沒有對應兄弟節點，但為了計算得 到父節點的密鑰，附7存儲了組控制者生成的虛擬兄弟節點盲密鑰 &t。成員"!8加入後，附7得到新節點^的盲密鑰&，替換原先對 應的盲密鑰&t。通過計算
&=g(K7)，尤'7-8=《&, ^)得到節點&-8對應的新密鑰《'7-8; S'7-『g(《'7-s),《'5-8="&-6, S'7-s)得到節點^-8對應的新密鑰 S'5-『g(《'5-s), KVf^&a ^Vs)得到根節點^—8對應的新密鑰《V
SV『g(《Vs),《'g=S0SV8， AS')得到新的組密鑰K'g。
② 成員夠，附6:附5,附6原先掌握了盲密鑰&-8和&-4。成員附s加入 後，m5,m6得到節點^.8的新盲密鑰S'7.8，替換原先對應的盲密 鑰&_8。通過計算
&.6=g(《5—6), KVfSOS^, SVs)得到節點U寸應的新密鑰《'5.8; S'5-8=g(《'5-8), XVfSO^, S Vs)得到根節點U寸應的新密鑰《V
SV『g(尺Vs)， f g^G V8， AS')得到新的組密鑰《'g。D成員m,，附2,附3， m4:附i，附2，附3,附4原先掌握了盲密鑰&-8。成員
ms加入後，m,，m2,/n3,m4得到節點U勺新盲密鑰S'5.8，替換原
先對應的盲密鑰&-8。通過計算
&—4=g(《M),《V『SGSm， SVs)得到根節點&-8對應的新密鑰《Vs; SVs二g(《Vs), f g^0SVs, AS')得到新的組密鑰f g。
④新成員附8: ms在接收到組控制者的數據後，掌握了盲密鑰&、
&-6、 ^-4禾n^s'。通過計算
《'7.8=《&， A)得到節點&-8對應的新密鑰《'7-S; S'7fg(《'7-S),《'5-8=《&-6, S'7—8)得到節點&_8對應的新密鑰《'5.8; S'5-8=g(《'5-8), fV8=S(&-4, ^'5-8)得到根節點^s對應的新密鑰尺V
SV8-g(KVs), K'g^CSVs, AS')得到新的組密鑰iTg。
成員附s加入，密鑰更新完成後的密鑰層次樹結構和盲密鑰層次樹結構分
別如圖8和圖9所示。
4.組成員離開過程
ms為請求離開的組成員。圖10和圖11分別表示附s離開前的密鑰層次 樹結構和盲密鑰層次樹結構。
成員附8離開過程包括以下幾個步驟
1) 成員m8向組控制者發送離開請求，組控制者對w8的身份進行驗證.允
許成員附S離開後，組控制者刪除成員結點附8在密鑰分布樹中的對應的
葉子節點&;
2) 組控制者根據m8的信息，確定葉子節點&的離開點為
3) 組控制者更新組密鑰《g為《'g;
4) 組控制者為離開的成員夠生成一個替代盲密鑰S'st，並密鑰層次樹生 成過程中使用的計算方法計算得到從離開的成員節點&到根節點路徑 上的所有新密鑰和新盲密鑰；
5) 組控制者用根節點的新盲密鑰SVs和新組密鑰《'g來構造新的秘密共享 多項式Xx)，並計算得到新的有效共享秘密份額^S';
6) 組控制器採用組播的方式發送密鑰更新消息，由於該消息採用加密方 式傳送，所以只有擁有對應的組成員才能正確解密消息的內容，進行 密鑰更新。
在本實施例中，組控制者向組成員發送三條密鑰更新消息
① .組控制者利用成員附7的私鑰《7加密新盲密鑰S'8t，發送給成員
m7: GC—{m7}:W8t}《7;
② .組控制者利用成員m5，附6所擁有的密鑰6加密節點U勺新盲密
鑰S'7-8，發送給成員附5, w6: GC —{m5,附6}:{5'7-8}^5-6;
③ .組制者利用成員m2, m3,附4所擁有的密鑰&_4加密節點U勺新
盲-密f月SYs' 發—送會合成J^附i,附2,附3,附4: GC — {附)，m2, m3,附4U^Sformula see original document page 13
7) 組控制者用根節點的新密鑰加密m'並向剩餘的成員組播
GC —{m,，…，附6， w7}:{^S'}XVs;
8) 各個組成員利用收到的密鑰更新消息，通過秘密恢復算法以及g函數 計算得到從對應葉子節點到根節點路徑上的所有密鑰和盲密鑰，再利 用新的共享秘密份額A5'，通過組密鑰恢復方法得到新的組密鑰《'g， 完成密鑰更新過程。
在本實施例中，各個組成員的密鑰恢復過程如下所述
① .成員m7: m7原先掌握了盲密鑰&、 &-6和&_4。成員附8離開後，附7
得到替代盲密鑰S'st，替換原先對應的盲密鑰&。通過計算 S7=g(《7), KV8=SGS7， S'8t)得到節點&-8對應的新密鑰iT7.8; SV產g(K'7-8)， K'5-8=S(&-6， SVs)得到節點&-8對應的新密鑰K'5-s; S V8=g(iT5-8), XVs^^m, SVs)得到根節點U寸應的新密鑰A:Vs; S'l-8=gWl-8)，〖'g^CSVs, ^S')得到新的組密鑰I'g。
② .成員附5，附6: 一,柳6原先掌握了盲密鑰&-8和&-4。成員附8離開後，
附5,附6得到節點的新盲密鑰S'7-8，替換原先對應的盲密鑰&-S。 通過計算
&-6=gd(0, 1'5.8=《&-6, S'7-8)得到節點&-8對應的新密鑰〖'5-8; S'5-8=g(《'5-8), d-8=S(&-4, SVs)得到根節點U寸應的新密鑰f SV8-g(KV8)，'^S(SV8，爿S')得到新的組密鑰K'g。
③ .成員附b W2，附3,附4:附i, W2，附3，附4原先掌t屋了盲密鑰&-8°成員附8
離開後，m!,附2,m3,附4得到節點U勺新盲密鑰S'5-s，替換原先對 應的盲密鑰&-8。通過計算
&—4=g(《M)， KVfW&A SVs)得到根節點^8對應的新密鑰《V8; SVfg(《V8), f g^(S V8， AS')得到新的組密鑰尺'g。 成員 離開，密鑰更新完成後的密鑰層次樹結構和盲密鑰層次樹結構分
別如圖12和圖13所示。 5.周期性密鑰更新過程
在本實施例中，周期性的密鑰更新過程包括以下幾個步驟
1) 組控制者更新組密鑰《g為K'g;
2) 組控制者用根節點的盲密鑰&-8和新組密鑰7Tg來構造新的秘密共享 多項式Xx)，並計算得到新的有效共享秘密份額AS';
3) 組控制者用根節點的密鑰加密AS'並向所有成員組播 GC—{m!,…，附7， msH^S^I^
4) 各個組成員利用保存的根節點盲密鑰《—8和解密得到的新的共享秘密
份額AS'，通過《'§^(&—8, M')得到新的組密鑰fg，完成周期性密鑰 更新的整個過程。
權利要求
1、一種基於秘密共享的單向函數樹組播密鑰管理方法，包括產生密鑰層次樹和盲密鑰層次樹、生成，分發與恢復組密鑰、組成員加入、組成員離開和周期性密鑰更新，其特徵在於A.產生密鑰層次樹和盲密鑰層次樹中產生密鑰層次樹包括產生密鑰層次樹葉子節點的私鑰、產生鑰層次樹根節點和中間節點的密鑰，其具體方法是組控制者與各個組成員通過密鑰交換協議產生密鑰層次樹葉子節點y，密鑰層次樹葉子節點對應的密鑰是各個組成員的私鑰Ky，該私鑰Ky為組控制者與對應的組成員之間共享；通過函數Kx＝S(Sxl，Sxr)得到密鑰層次樹根節點對應的密鑰和中間節點對應的密鑰，其中Kx為根節點或中間節點x對應的密鑰，xl和xr分別為節點x的左右子節點，Sxl、Sxr分別是子節點xl和xr的盲密鑰，S為秘密恢復算法；產生盲密鑰層次樹的具體方法是密鑰層次樹中的每個節點x或y利用對應的密鑰Kx或Ky，通過函數Sx＝g(Kx)得到密鑰Kx的盲密鑰Sx，通過函數Sy＝g(Ky)得到密鑰Ky的盲密鑰Sy，其中g為單向函數；這些盲密鑰構成的樹即為盲密鑰層次樹，盲密鑰層次樹和密鑰層次樹具有相同的樹結構，盲密鑰層次樹中的節點對應的是在密鑰層次樹中處於相同位置的節點對應密鑰的盲密鑰；密鑰層次樹和盲密鑰層次樹產生後，每個組成員保存其對應葉子節點到根節點路徑上所有節點的密鑰以及這些節點的兄弟節點的盲密鑰；B.生成、分發與恢復組密鑰的具體步驟是(1)組控制者產生組密鑰Kg，並且用組密鑰和根節點的盲密鑰Sr構造秘密共享多項式，利用該秘密共享多項式得到有效共享秘密份額AS；(2)組控制者以組播的方式向所有組成員發送共享秘密份額AS；(3)收到共享秘密份額AS的組成員利用保存的根節點的盲密鑰Sr，通過Kg＝S(Sr，AS)恢復出組密鑰Kg；C.組成員加入的具體步驟是(1)組控制者對發送加入請求者進行身份驗證，允許通過驗證者加入到組中，組控制者與新加入的成員通過密鑰交換協議產生新加入成員的私鑰Ky；(2)組控制者根據當前密鑰層次樹的結構，確定新加入成員在該密鑰層次樹中的插入節點，將新成員作為該插入節點的子節點加入到密鑰層次樹中；(3)組控制者利用新成員的私鑰加密從新成員對應葉子節點到根節點路徑上所有節點的兄弟節點對應密鑰的盲密鑰，然後發送給新加入成員；(4)組控制者產生新的組密鑰；(5)組控制者利用新成員的盲密鑰按照密鑰層次樹生成過程中使用的計算方法計算得到從新成員對應葉子節點到根節點路徑上的所有新密鑰和新盲密鑰；(6)組控制者用根節點的新盲密鑰和新組密鑰構造新的秘密共享多項式，並計算得到新的有效共享秘密份額AS』；(7)組控制者採用對應的密鑰加密新盲密鑰，然後以組播的方式發送給所有組成員，只有擁有對應密鑰的節點才能正確解密所要獲得的數據；(8)組控制者用根節點的新密鑰加密6)中得到的AS』，以組播的方式發送給所有組成員；(9)各個組成員根據接收到的盲密鑰，按照密鑰層次樹生成過程中使用的計算方法計算得到相應中間節點及根節點的新密鑰和新盲密鑰，再結合所接收到的有效共享秘密份額AS』，通過組密鑰恢復方法計算出新的組密鑰；D.組成員離開的具體步驟是(1)組控制者驗證發送離開請求的成員身份，驗證通過後，組控制者刪除離開節點在密鑰分布樹中的對應的葉子節點；(2)組控制者根據當前樹的情況，確定離開點的位置；(3)組控制者產生新的組密鑰；(4)組控制者為離開成員生成一個替代盲密鑰，該替代盲密鑰對離開成員是未知的；組控制者利用該替代盲密鑰，按照密鑰層次樹生成過程中使用的計算方法計算得到從離開成員對應葉子節點到根節點路徑上所有節點對應的新密鑰和新盲密鑰；(5)組控制者用根節點的新盲密鑰和新組密鑰構造新的秘密共享多項式，並計算得到新的有效共享秘密份額AS』；(6)組控制者用對應的密鑰加密新盲密鑰，然後以組播的方式發送給剩餘的所有組成員；(7)組控制者用根節點的新密鑰加密5)中得到的AS』，以組播的方式發送給剩餘的組成員；(8)各個剩餘的組成員根據接收到的盲密鑰，按照密鑰層次樹生成過程中使用的計算方法計算得到相應中間節點及根節點的新密鑰和新盲密鑰，再結合所接收到的有效共享秘密份額AS』，通過組密鑰恢復方法計算出新的組密鑰；E.周期性密鑰更新的具體步驟是(1)組控制者產生一個新的組密鑰；(2)組控制者用根節點的盲密鑰和新組密鑰構造新的秘密共享多項式，並計算得到新的有效共享秘密份額AS』；(3)組控制者以組播的方式將新的AS』發送給所有組成員；(4)各個組成員利用根節點的盲密鑰和新的AS』，通過組密鑰恢復方法計算出新的組密鑰，完成密鑰更新過程。
全文摘要
本發明涉及一種基於秘密共享的單向函數樹組播密鑰管理方法。目前的組播協議缺乏有效的安全機制來滿足組播應用的安全性要求。本發明在更新密鑰傳遞過程中，採用密鑰加密盲密鑰的方式進行傳送，包括產生密鑰層次樹和盲密鑰層次樹、生成，分發與恢復組密鑰、組成員加入、組成員離開和周期性密鑰更新。其中產生盲密鑰層次樹的具體方法是密鑰層次樹中的每個節點利用對應的密鑰K，通過函數S＝g(K)得到密鑰K的盲密鑰S，其中g為單向函數。本發明方法利用秘密共享方法，能夠通過只傳送盲密鑰S和有效共享秘密份額來進行密鑰更新，從而避免了傳送真實密鑰進行密鑰更新，降低了密鑰被截獲並破解的可能性，增強了抗攻擊性，具有更高的安全性。
文檔編號H04L29/06GK101309137SQ200810063020
公開日2008年11月19日 申請日期2008年7月10日 優先權日2008年7月10日
發明者席國寶, 磊 謝, 煦 金, 陳惠芳 申請人:浙江大學