基于同態加密的組密鑰管理研究

◆李遠征劉利民李學軍

（1.總裝備部 北京 100000；2.63880部隊 河南 471003）

基于同態加密的組密鑰管理研究

◆李遠征1劉利民1李學軍2

（1.總裝備部 北京 100000；2.63880部隊 河南 471003）

本文在對組密鑰管理特點進行深入研究的基礎上提出了新的組密鑰管理方案，該方案利用HMAC的單向性及ElGamal公鑰算法的加法同態特性，將算法與組密鑰高度耦合，構建了安全高效的組密鑰管理方案。

組密鑰管理；同態加密；HMAC

0 引言

伴隨著網絡技術的快速發展，點對多點的網絡通信技術的需求越來越迫切。組播技術正是解決這種網絡需求的一種高效網絡傳輸方案，它因可以減少網絡帶寬需求而被廣泛地應用在網絡中。

由于組環境下密鑰管理問題復雜，管理方案也呈現出多樣化。文獻[1]和[2]是基于衛星組播的方案，文獻[3]是基于大型Wimax組，文獻[4]是基于無線自組網。文獻[4]提出了基于Pallier同態算法的方案，但相較于本文的ELGamal同態算法，其復雜性要高，其新節點加入需要更新干擾因子，影響了效率，尤其當組內成員多時更是如此。本文針對資源有限的中小型組播網絡，探索算法與組密鑰特點的高度耦合，從而最大程度地節省通信和存儲資源，提出了使用單向HMAC-SHA1函數及同態加密機制相結合的組密鑰管理模型，可高效地處理組成員的動態加入和退出，其安全性及高效性也是可以證明的。

1 背景知識

1.1 同態加密機制

很多知名的公鑰加密算法天然具有某種同態加密特性，ElGamal算法其安全性依賴于在循環群上計算離散對數的困難性和Diffie-Hellman假設，它具有乘法和加法同態加密特性。ElGamal的加法同態存在已知明文攻擊，因此本文采用具有加法同態特性同時可以抵抗已知明文攻擊的變體ElGamal。

變體ElGamal具有加法同態加密特性同時可以抵抗已知明文攻擊。設，則

1.2 HMAC

HMAC（Hashed Message Authentication Codes）是一種經加密的散列消息驗證碼，可以對信息數據的完整性和真實性進行同步檢查計算。HMAC需要一個散列Hash（例如MD5，SHA-1）和一個密鑰key，運用最為廣泛的散列函數是MD5和SHA-1。本文采用的HAMC-SHA1：即結合了HMAC加密算法與SHA1哈希算法構成的加密算法。

1.3 算法的設計思想

決定組密鑰管理效率和計算、存儲開銷的因素包括：拓撲結構、組間密鑰管理算法、組內密鑰管理算法。組密鑰管理要提高其效率和計算、存儲開銷必須選取適合其特點的算法。組密鑰傳遞時具有單向性，組內各成員密鑰需要保證各自相互之間的私有安全。HMAC算法具有單向性的特點，加法中各個運算值之間具有一定的互斥性，而且由這些值的和不能推算出參與運算的各個值。算法與組密鑰管理特點的耦合度起到了減少計算和存儲開銷的作用。

2 系統結構與算法描述

2.1 系統結構

本文提出的方案基于分散式子組管理。組播系統的結構是建立在原有發送接收關系樹基礎上的分級樹結構，即原有的上下級層次關系不變，對每一層的成員分組，每個成員加入一個子組。發送者即為根結點，接收者組成各個子組，每個子組從成員中選出一個作為組安全控制器（Group Security Controller，GSC）管理本子組的密鑰安全并實現上下級數據傳遞，也可以另外加入一個GSC到子組中來完成管理功能。分組結構如圖1所示。

圖1 分級組密鑰管理示意圖

GSC是密鑰管理的中心，密鑰的初始化或更新是在組播組產生時，接收者加入、離開子組及子組合并、拆分時進行。在整個組播系統中，GSC是子組中的安全控制器，負責層間數據傳遞，組內數據發送，組內密鑰及成員管理。GSC可以由組內的某一成員擔任，也可以設置專門的成員完成其功能。下面將組密鑰管理有關算法及參數符號作一說明：

（1）算法相關符號說明

文中的公鑰算法采用橢圓曲線公鑰密碼算法（ECC，Elliptic Curve Cryptography），表示用公鑰X對Y進行加密，表示用私鑰X對Y進行解密；同態加密采用變體ElGamal的加法同態加密，表示用公鑰X對Y進行同態加密，表示用私鑰X對Y進行同態解密；HMAC基于SHA1，表示基于密鑰K的M的消息摘要；對稱密碼算法采用RC4，表示用密鑰為K的對稱算法對明文M進行加密，表示用密鑰為K的對稱算法對密文M進行解密。

（2）參數說明

設組播組共分為m層，r個子組：0L－表示根節點，1L－表示第1層，…，nL－表示第n層；第i個組內的n個成員分別表示為：。

①0L需保存的參數。密鑰的種子密鑰，由0L在系統初始化時產生，保密；：第1層的ECC公鑰，公開；

③子組內各成員需保存的參數；組內同態私鑰，保密；組內同態公鑰，公開。

2.2 組內數據傳遞算法

（1）算法描述

①0L：生成隨機數R，計算將發送至1L各組GSC；

②1L：計算，解密出M。計算，將發送至2L各組GSC。

依此類推，將數據M發送至各層各組的GSC。

下面對上述算法進行詳細描述：

①根節點0L產生隨機數R，計算下列值：由得出對稱密鑰1K，用第1層的公鑰1_PKL對1K使用ECC公鑰算法加密，用1K作為對稱算法密鑰加密數據M，將，發送給第1層各組的GSC。

同理，將數據M發送至后續各層。

（2）子組的加入與退出

當子組合并、拆分或有新的子組加入時，子組中的密鑰重新初始化，子組內的GSC需通過安全通道獲得本層的ECC公私鑰，并生成組內的同態公私鑰，通過安全通道發放給各成員。

當有子組退出時，需由根結點重新生成該層的公私鑰，并通過安全通道發送給該層各組GSC。

2.3 組內數據傳遞算法

（1）算法描述

以第i組為例，其同態密鑰為iH。

①成員1ie生成隨機數1X，用組內同態公鑰加密計算出，將1Y發送給GSC；成員生成隨機數2X，用組內同態公鑰加密計算出，將2Y發送給GSC；…；成員nie生成隨機數nX，用組內同態公鑰加密計算出，將nY發送給GSC；

②GSC生成隨機數0X，用組內同態公鑰加密計算與從各成員接收到的一起，計算出并發送給各成員；

（2）成員的加入與退出

當有成員1nie+加入時，新加入的成員1nie+生成隨機數1nX+，計算，發送給GSC，GSC計算發送給各成員，GSC及各成員重新計算，保存新的共享密鑰。多個成員的加入與此類似。

3 安全性分析

3.1 層間傳遞的安全性

（1）動態性

包括兩個方面。一方面，不同層的對稱密鑰是不同的，因為層間傳遞數據所用的各層對稱密鑰由HMAC生成，對應到HMAC鏈的各級值；另一方面，每次傳遞數據時HMAC函數的初始參數R都是重新生成，使得HMAC成為基于密鑰K0的動態Hash。本算法安全高效地實現了層間傳遞密鑰的一次一密。

（2）層間傳遞的單向性

單向性確保了不可逆。HMAC的單向傳遞關系簡化了密鑰的管理，使得上下層傳遞數據時，下層不必保存上層的密鑰，由上層可推出下層的密鑰，而下層不可能推出上層的密鑰，從而數據傳遞的安全性得到保障。

（3）傳遞關系清晰、靈活

使用接收層的公鑰保護層間對稱加密密鑰，具有身份認證的作用，便于實現單播或部分接收的情形，不會出現不應接收的層越級接收的情況，強化了分級關系。尤其對于存在上下級關系的組播，此結構更實用，避免了根結點發送的信息各層都可以解出。

3.2 組內傳遞的安全性

（1）數據傳遞安全簡便

ElGamal算法依賴于在循環群上計算離散對數的困難性和Diffie-Hellman假設，因此安全性是可以證明的。

各成員參與共享密鑰的生成，但并不能得到除自身外的其它成員的Y值，而是只能獲得它們的和，并由此得到共享密鑰，因此密鑰管理簡便，且各成員密碼存儲量小，計算效率高。

（2）動態性

4 結論

本文提出了一種基于同態加密算法及HMAC算法的組密鑰管理的新思路，該方案既保證了數據傳遞的安全性，又具有很好的靈活性和可擴展性，能很好地滿足大型動態群組中組密鑰管理需求。

[1]孫雁鳴等.衛星組播多組共享密鑰管理方案[J].宇航學報，2013.

[2]周林等.一種基于層簇式的衛星網絡組密鑰管理方案[J].宇航學報，2013.

[3]魯蔚鋒，吳蒙.一種高效的Wimax安全組播密鑰管理方案[J].南京郵電大學學報，2013.

[4]何文才等.基于Paillier同態的無線自組織網組密鑰管理方案[J].計算機科學，2013.

[5]錢萍，吳蒙，劉鎮.面向云計算的同態加密隱私保護方法[J].小型微型計算機系統，2015.