◆李遠征劉利民李學(xué)軍

（1.總裝備部 北京 100000；2.63880部隊 河南 471003）

基于同態(tài)加密的組密鑰管理研究

◆李遠征1劉利民1李學(xué)軍2

（1.總裝備部 北京 100000；2.63880部隊 河南 471003）

本文在對組密鑰管理特點進行深入研究的基礎(chǔ)上提出了新的組密鑰管理方案，該方案利用HMAC的單向性及ElGamal公鑰算法的加法同態(tài)特性，將算法與組密鑰高度耦合，構(gòu)建了安全高效的組密鑰管理方案。

組密鑰管理；同態(tài)加密；HMAC

0 引言

伴隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，點對多點的網(wǎng)絡(luò)通信技術(shù)的需求越來越迫切。組播技術(shù)正是解決這種網(wǎng)絡(luò)需求的一種高效網(wǎng)絡(luò)傳輸方案，它因可以減少網(wǎng)絡(luò)帶寬需求而被廣泛地應(yīng)用在網(wǎng)絡(luò)中。

由于組環(huán)境下密鑰管理問題復(fù)雜，管理方案也呈現(xiàn)出多樣化。文獻[1]和[2]是基于衛(wèi)星組播的方案，文獻[3]是基于大型Wimax組，文獻[4]是基于無線自組網(wǎng)。文獻[4]提出了基于Pallier同態(tài)算法的方案，但相較于本文的ELGamal同態(tài)算法，其復(fù)雜性要高，其新節(jié)點加入需要更新干擾因子，影響了效率，尤其當(dāng)組內(nèi)成員多時更是如此。本文針對資源有限的中小型組播網(wǎng)絡(luò)，探索算法與組密鑰特點的高度耦合，從而最大程度地節(jié)省通信和存儲資源，提出了使用單向HMAC-SHA1函數(shù)及同態(tài)加密機制相結(jié)合的組密鑰管理模型，可高效地處理組成員的動態(tài)加入和退出，其安全性及高效性也是可以證明的。

1 背景知識

1.1 同態(tài)加密機制

很多知名的公鑰加密算法天然具有某種同態(tài)加密特性，ElGamal算法其安全性依賴于在循環(huán)群上計算離散對數(shù)的困難性和Diffie-Hellman假設(shè)，它具有乘法和加法同態(tài)加密特性。ElGamal的加法同態(tài)存在已知明文攻擊，因此本文采用具有加法同態(tài)特性同時可以抵抗已知明文攻擊的變體ElGamal。

變體ElGamal具有加法同態(tài)加密特性同時可以抵抗已知明文攻擊。設(shè)，則

1.2 HMAC

HMAC（Hashed Message Authentication Codes）是一種經(jīng)加密的散列消息驗證碼，可以對信息數(shù)據(jù)的完整性和真實性進行同步檢查計算。HMAC需要一個散列Hash（例如MD5，SHA-1）和一個密鑰key，運用最為廣泛的散列函數(shù)是MD5和SHA-1。本文采用的HAMC-SHA1：即結(jié)合了HMAC加密算法與SHA1哈希算法構(gòu)成的加密算法。

1.3 算法的設(shè)計思想

決定組密鑰管理效率和計算、存儲開銷的因素包括：拓撲結(jié)構(gòu)、組間密鑰管理算法、組內(nèi)密鑰管理算法。組密鑰管理要提高其效率和計算、存儲開銷必須選取適合其特點的算法。組密鑰傳遞時具有單向性，組內(nèi)各成員密鑰需要保證各自相互之間的私有安全。HMAC算法具有單向性的特點，加法中各個運算值之間具有一定的互斥性，而且由這些值的和不能推算出參與運算的各個值。算法與組密鑰管理特點的耦合度起到了減少計算和存儲開銷的作用。

2 系統(tǒng)結(jié)構(gòu)與算法描述

2.1 系統(tǒng)結(jié)構(gòu)

本文提出的方案基于分散式子組管理。組播系統(tǒng)的結(jié)構(gòu)是建立在原有發(fā)送接收關(guān)系樹基礎(chǔ)上的分級樹結(jié)構(gòu)，即原有的上下級層次關(guān)系不變，對每一層的成員分組，每個成員加入一個子組。發(fā)送者即為根結(jié)點，接收者組成各個子組，每個子組從成員中選出一個作為組安全控制器（Group Security Controller，GSC）管理本子組的密鑰安全并實現(xiàn)上下級數(shù)據(jù)傳遞，也可以另外加入一個GSC到子組中來完成管理功能。分組結(jié)構(gòu)如圖1所示。

圖1 分級組密鑰管理示意圖

GSC是密鑰管理的中心，密鑰的初始化或更新是在組播組產(chǎn)生時，接收者加入、離開子組及子組合并、拆分時進行。在整個組播系統(tǒng)中，GSC是子組中的安全控制器，負責(zé)層間數(shù)據(jù)傳遞，組內(nèi)數(shù)據(jù)發(fā)送，組內(nèi)密鑰及成員管理。GSC可以由組內(nèi)的某一成員擔(dān)任，也可以設(shè)置專門的成員完成其功能。下面將組密鑰管理有關(guān)算法及參數(shù)符號作一說明：

（1）算法相關(guān)符號說明

文中的公鑰算法采用橢圓曲線公鑰密碼算法（ECC，Elliptic Curve Cryptography），表示用公鑰X對Y進行加密，表示用私鑰X對Y進行解密；同態(tài)加密采用變體ElGamal的加法同態(tài)加密，表示用公鑰X對Y進行同態(tài)加密，表示用私鑰X對Y進行同態(tài)解密；HMAC基于SHA1，表示基于密鑰K的M的消息摘要；對稱密碼算法采用RC4，表示用密鑰為K的對稱算法對明文M進行加密，表示用密鑰為K的對稱算法對密文M進行解密。

（2）參數(shù)說明

設(shè)組播組共分為m層，r個子組：0L－表示根節(jié)點，1L－表示第1層，…，nL－表示第n層；第i個組內(nèi)的n個成員分別表示為：。

①0L需保存的參數(shù)。密鑰的種子密鑰，由0L在系統(tǒng)初始化時產(chǎn)生，保密；：第1層的ECC公鑰，公開；

③子組內(nèi)各成員需保存的參數(shù)；組內(nèi)同態(tài)私鑰，保密；組內(nèi)同態(tài)公鑰，公開。

2.2 組內(nèi)數(shù)據(jù)傳遞算法

（1）算法描述

①0L：生成隨機數(shù)R，計算將發(fā)送至1L各組GSC；

②1L：計算，解密出M。計算，將發(fā)送至2L各組GSC。

依此類推，將數(shù)據(jù)M發(fā)送至各層各組的GSC。

下面對上述算法進行詳細描述：

①根節(jié)點0L產(chǎn)生隨機數(shù)R，計算下列值：由得出對稱密鑰1K，用第1層的公鑰1_PKL對1K使用ECC公鑰算法加密，用1K作為對稱算法密鑰加密數(shù)據(jù)M，將，發(fā)送給第1層各組的GSC。

同理，將數(shù)據(jù)M發(fā)送至后續(xù)各層。

（2）子組的加入與退出

當(dāng)子組合并、拆分或有新的子組加入時，子組中的密鑰重新初始化，子組內(nèi)的GSC需通過安全通道獲得本層的ECC公私鑰，并生成組內(nèi)的同態(tài)公私鑰，通過安全通道發(fā)放給各成員。

當(dāng)有子組退出時，需由根結(jié)點重新生成該層的公私鑰，并通過安全通道發(fā)送給該層各組GSC。

2.3 組內(nèi)數(shù)據(jù)傳遞算法

（1）算法描述

以第i組為例，其同態(tài)密鑰為iH。

①成員1ie生成隨機數(shù)1X，用組內(nèi)同態(tài)公鑰加密計算出，將1Y發(fā)送給GSC；成員生成隨機數(shù)2X，用組內(nèi)同態(tài)公鑰加密計算出，將2Y發(fā)送給GSC；…；成員nie生成隨機數(shù)nX，用組內(nèi)同態(tài)公鑰加密計算出，將nY發(fā)送給GSC；

②GSC生成隨機數(shù)0X，用組內(nèi)同態(tài)公鑰加密計算與從各成員接收到的一起，計算出并發(fā)送給各成員；

（2）成員的加入與退出

當(dāng)有成員1nie+加入時，新加入的成員1nie+生成隨機數(shù)1nX+，計算，發(fā)送給GSC，GSC計算發(fā)送給各成員，GSC及各成員重新計算，保存新的共享密鑰。多個成員的加入與此類似。

3 安全性分析

3.1 層間傳遞的安全性

（1）動態(tài)性

包括兩個方面。一方面，不同層的對稱密鑰是不同的，因為層間傳遞數(shù)據(jù)所用的各層對稱密鑰由HMAC生成，對應(yīng)到HMAC鏈的各級值；另一方面，每次傳遞數(shù)據(jù)時HMAC函數(shù)的初始參數(shù)R都是重新生成，使得HMAC成為基于密鑰K0的動態(tài)Hash。本算法安全高效地實現(xiàn)了層間傳遞密鑰的一次一密。

（2）層間傳遞的單向性

單向性確保了不可逆。HMAC的單向傳遞關(guān)系簡化了密鑰的管理，使得上下層傳遞數(shù)據(jù)時，下層不必保存上層的密鑰，由上層可推出下層的密鑰，而下層不可能推出上層的密鑰，從而數(shù)據(jù)傳遞的安全性得到保障。

（3）傳遞關(guān)系清晰、靈活

使用接收層的公鑰保護層間對稱加密密鑰，具有身份認證的作用，便于實現(xiàn)單播或部分接收的情形，不會出現(xiàn)不應(yīng)接收的層越級接收的情況，強化了分級關(guān)系。尤其對于存在上下級關(guān)系的組播，此結(jié)構(gòu)更實用，避免了根結(jié)點發(fā)送的信息各層都可以解出。

3.2 組內(nèi)傳遞的安全性

（1）數(shù)據(jù)傳遞安全簡便

ElGamal算法依賴于在循環(huán)群上計算離散對數(shù)的困難性和Diffie-Hellman假設(shè)，因此安全性是可以證明的。

各成員參與共享密鑰的生成，但并不能得到除自身外的其它成員的Y值，而是只能獲得它們的和，并由此得到共享密鑰，因此密鑰管理簡便，且各成員密碼存儲量小，計算效率高。

（2）動態(tài)性

4 結(jié)論

本文提出了一種基于同態(tài)加密算法及HMAC算法的組密鑰管理的新思路，該方案既保證了數(shù)據(jù)傳遞的安全性，又具有很好的靈活性和可擴展性，能很好地滿足大型動態(tài)群組中組密鑰管理需求。

[1]孫雁鳴等.衛(wèi)星組播多組共享密鑰管理方案[J].宇航學(xué)報，2013.

[2]周林等.一種基于層簇式的衛(wèi)星網(wǎng)絡(luò)組密鑰管理方案[J].宇航學(xué)報，2013.

[3]魯蔚鋒，吳蒙.一種高效的Wimax安全組播密鑰管理方案[J].南京郵電大學(xué)學(xué)報，2013.

[4]何文才等.基于Paillier同態(tài)的無線自組織網(wǎng)組密鑰管理方案[J].計算機科學(xué)，2013.

[5]錢萍，吳蒙，劉鎮(zhèn).面向云計算的同態(tài)加密隱私保護方法[J].小型微型計算機系統(tǒng)，2015.