CN101309137A - 一种基于秘密共享的单向函数树组播密钥管理方法 - Google Patents

Abstract

本发明涉及一种基于秘密共享的单向函数树组播密钥管理方法。目前的组播协议缺乏有效的安全机制来满足组播应用的安全性要求。本发明在更新密钥传递过程中，采用密钥加密盲密钥的方式进行传送，包括产生密钥层次树和盲密钥层次树、生成，分发与恢复组密钥、组成员加入、组成员离开和周期性密钥更新。其中产生盲密钥层次树的具体方法是：密钥层次树中的每个节点利用对应的密钥K，通过函数S＝g(K)得到密钥K的盲密钥S，其中g为单向函数。本发明方法利用秘密共享方法，能够通过只传送盲密钥S和有效共享秘密份额来进行密钥更新，从而避免了传送真实密钥进行密钥更新，降低了密钥被截获并破解的可能性，增强了抗攻击性，具有更高的安全性。

Description

一种基于秘密共享的单向函数树组播密钥管理方法

技术领域

本发明属于组播密钥管理技术领域，涉及一种基于秘密共享的单向函数树组播密钥管理方法，具体是一种结合单向函数和秘密共享进行组播密钥管理的方法。

背景技术

随着Internet的迅速普及和爆炸性发展，在Internet上产生了许多新的应用，其中不少是高带宽的多媒体应用，如网络视频会议、网络音/视频广播、视频点播、股市行情发布、多媒体远程教育等。组播技术是顺应这种应用需要而产生的一种新技术。组播传输提高了数据传送效率，减少了网络出现拥塞的可能性。然而，目前的组播协议缺乏有效的安全机制来满足组播应用的安全性要求，而采用明文传输的组播报文在网络上很容易被窃听、冒充和篡改。组播安全问题是迫切需要解决的问题，其内容包括数据保密、组管理、源认证等多个方面。

组播密钥管理为参与组播的成员生成、分发和更新组密钥，即解决组管理的安全问题，功能主要包括两个方面：一个方面是密钥的分发；另一个方面是对密钥进行管理以适应组成员关系的变化。组密钥是所有组成员都知道的密钥，用来对组播报文进行加密/解密、认证等操作，以满足保密、组成员认证、完整性等需求。相比单播的密钥管理，前向保密性、后向保密性和合谋破解是组播密钥管理特有的安全问题。

到目前为止，已提出了许多组播密钥管理方案，如集中式基于树的密钥管理(Centralized Tree-Based Key Management，CTKM)方案、单向函数树(One-Way Function Tree，OFT)方案和Iolus方案等。

单向函数树(One-Way Function Tree，OFT)方案利用左右子节点密钥的2个g函数值通过f函数计算产生新的密钥。其中g是单向函数，f是混合函数。组控制者创建和维护一棵密钥层次树，图1表示OFT方案的密钥层次树结构。OFT的叶子节点密钥是由组控制者和对应成员使用公开密钥交换算法(比如Diffie-Hellman密钥交换算法)秘密协商得到的，在组控制者和对应成员之间共享的成员私钥，而根节点密钥和中间节点密钥由组控制者利用孩子节点密钥，通过函数K_x＝f(g(Kx_l)，g(Kx_r))计算得到，式中K_x为节点x的密钥；x_l和x_r分别为节点x的左右孩子节点，g(K)为K的盲密钥。成员保存对应的叶子节点密钥，及从叶子节点到根节点之间所有中间节点的兄弟节点的盲密钥。

在(k，n)Shamir秘密共享方法中，秘密S被分解成为n个共享秘密份额S_i(1≤i≤n)，如果要通过共享秘密份额S_i恢复秘密S，必须获得至少k个共享秘密份额S_i才能正确恢复原先的秘密。(k，n)Shamir秘密共享方法使用了有限伽罗瓦域上的一个随机(k-1)次多项式，例如f(x)＝(a_k-1x^k-1+...+a₁x¹+a₀)mod p。

秘密S分解过程由以下四个步骤构成：

1)找一个素数p大于n和秘密S；

2)将常量a₀设为S；

3)选择k-1个随机系数a₁，a₂，...，a_k-1，构建多项式f(x)；

4)在n个离散点上计算f(x)得到n个共享秘密份额。

秘密S恢复过程是利用拉格朗日插值函数 $f\left(x\right)=\underset{i=0}{\overset{k-1}{\mathrm{\Σ}}}{y}_i\underset{j\≠i}{\underset{0\≤j\≤k-1}{\mathrm{\Π}}}\frac{(x-x_j)}{(x_i-x_j)},$ 由n个共享秘密份额中的任意k个构建得到多项式f(x)，然后计算f(0)即可得到秘密S。

发明内容

本发明的目的是提供一种基于秘密共享的单向函数树组播密钥管理方法(Secret-Sharing-Based One-Way Function Tree，SOFT)，它是一种新型的集中式层次型组播密钥管理方法。该方法引入(2，n)Shamir秘密共享方法并结合单向函数g来实现密钥更新，即用g函数值作为共享秘密份额，用秘密恢复函数计算得到上层节点密钥，以树型结构来进行组播密钥管理。整个组播组分为组控制者(Group Controllor，GC)和组成员。节点k_i对应的密钥为K_i，对应的盲密钥为S_i。

本发明提供的组播密钥管理方法在更新密钥传递过程中，采用密钥加密盲密钥的方式进行传送，相比传统的利用密钥加密新密钥进行传送的方式，具有更高的安全性。而且，利用秘密共享方法，能够通过只传送盲密钥S_i和有效共享秘密份额(Active Sharing，AS)来进行密钥更新，从而避免了传送真实密钥进行密钥更新，降低了密钥被截获并破解的可能性，增强了本发明提供的组播密钥管理方法的抗攻击性。

本发明方法包括产生密钥层次树和盲密钥层次树、生成，分发与恢复组密钥、组成员加入、组成员离开和周期性密钥更新五个内容。

1.产生密钥层次树

密钥层次树是实现基于树的组播密钥管理的基础。组播组成员加入和离开的密钥更新过程需要根据密钥层次树的结构来进行。密钥层次树产生的方法是：

产生密钥层次树和盲密钥层次树中产生密钥层次树包括产生密钥层次树叶子节点的私钥、产生钥层次树根节点和中间节点的密钥，其具体方法是：

组控制者与各个组成员通过密钥交换协议产生密钥层次树叶子节点y，密钥层次树叶子节点对应的密钥是各个组成员的私钥K_y，该私钥K_y为组控制者与对应的组成员之间共享；

通过函数K_x＝S(Sx_l，Sx_r)得到密钥层次树根节点对应的密钥和中间节点对应的密钥，其中K_x为根节点或中间节点x对应的密钥，x_l和x_r分别为节点x的左右子节点，Sx_l、Sx_r分别是子节点x_l和x_r的盲密钥，S为秘密恢复算法。

产生盲密钥层次树的具体方法是：密钥层次树中的每个节点x或y利用对应的密钥K_x或K_y，通过函数S_x＝g(K_x)得到密钥K_x的盲密钥Sx，通过函数Sy＝g(K_y)得到密钥K_y的盲密钥Sy，其中g为单向函数；这些盲密钥构成的树即为盲密钥层次树，盲密钥层次树和密钥层次树具有相同的树结构，盲密钥层次树中的节点对应的是在密钥层次树中处于相同位置的节点对应密钥的盲密钥。

密钥层次树和盲密钥层次树产生后，每个组成员保存其对应叶子节点到根节点路径上所有节点的密钥以及这些节点的兄弟节点的盲密钥。

秘密恢复算法S是利用拉格朗日插值函数的方法，为成熟的现有技术。

密钥交换协议和单向函数g为成熟的现有技术。

2.生成、分发与恢复组密钥、

组密钥是所有组成员的共享密钥。如果它用于加密组播业务数据，则能保证只有属于该组播组的成员才能正确解密组播业务数据。

组密钥的生成，分发与恢复的方法是：

1)组控制者产生组密钥K_g，并且用组密钥和根节点的盲密钥S_r构造一个秘密共享多项式，利用该秘密多项式计算出一个有效共享秘密份额AS；

2)组控制者以组播的方式向所有组成员发送共享秘密份额AS。

3)收到共享秘密份额AS的组成员，利用保存的根节点的盲密钥S_r，通过K_g＝S(S_r，AS)恢复出组密钥K_g。

3.组成员加入

组成员加入过程包括组控制者对请求加入者身份的认证和组成员的密钥更新。组控制者对请求者身份认证的目的是验证请求者身份的合法性，组成员的密钥更新是为了保证组播密钥的前向保密性。

组成员加入的具体步骤是：

1)组控制者对发送加入请求者进行身份验证，允许通过验证者加入到组中。组控制者与新加入的成员通过密钥交换协议产生新加入成员的私钥。

密钥交换协议为成熟的现有技术。

2)组控制者根据当前密钥层次树的结构，确定新加入成员在该密钥层次树中的插入节点，将新成员作为该插入节点的子节点加入到密钥层次树中。

3)组控制者利用新成员的私钥加密从新成员对应叶子节点到根节点路径上所有节点的兄弟节点对应密钥的盲密钥，然后发送给新加入成员；

4)组控制者产生新的组密钥；

5)组控制者利用新成员的盲密钥按照密钥层次树生成过程中使用的计算方法计算得到从新成员对应叶子节点到根节点路径上的所有新密钥和新盲密钥；

6)组控制者用根节点的新盲密钥和新组密钥构造新的秘密共享多项式，并计算得到新的有效共享秘密份额AS’；

7)组控制者采用对应的密钥加密新盲密钥，然后以组播的方式发送给所有组成员。只有拥有对应密钥的节点才能正确解密所要获得的数据；

8)组控制者用根节点的新密钥加密6)中得到的AS’，以组播的方式发送给所有组成员；

9)各个组成员根据接收到的盲密钥，按照密钥层次树生成过程中使用的计算方法计算得到相应中间节点及根节点的新密钥和新盲密钥，再结合所接收到的有效共享秘密份额AS’，通过组密钥恢复方法计算出新的组密钥，完成密钥更新过程。

4.组成员离开

组成员离开过程包括组控制者对离开成员信息的处理和组成员的密钥更新。组控制者对离开成员的处理主要是确认离开成员的身份，并删除其在组内的相关信息，组成员的密钥更新是为了保证组播密钥的后向保密性。

组成员离开的具体步骤是：

1)组控制者验证发送离开请求的成员身份。验证通过后，组控制者删除离开节点在密钥分布树中的对应的叶子节点；

2)组控制者根据当前树的情况，确定离开点的位置。离开点指离开成员的父节点；

3)组控制者产生新的组密钥；

4)组控制者为离开成员生成一个替代盲密钥，该替代盲密钥对离开成员是未知的。组控制者利用该替代盲密钥，按照密钥层次树生成过程中使用的计算方法计算得到从离开成员对应叶子节点到根节点路径上所有节点对应的新密钥和新盲密钥；

5)组控制者用根节点的新盲密钥和新组密钥构造新的秘密共享多项式，并计算得到新的有效共享秘密份额AS’；

6)组控制者用对应的密钥加密新盲密钥，然后以组播的方式发送给剩余的所有组成员。只有拥有对应密钥的节点才能正确解密所要获得的数据；

7)组控制者用根节点的新密钥加密5)中得到的AS’，以组播的方式发送给剩余的组成员；

8)各个剩余的组成员根据接收到的盲密钥，按照密钥层次树生成过程中使用的计算方法计算得到相应中间节点及根节点的新密钥和新盲密钥，再结合所接收到的有效共享秘密份额AS’，通过组密钥恢复方法计算出新的组密钥，完成密钥更新过程。

5.周期性密钥更新

为了保证密钥的时效性，组控制者以一定的周期生成新的组密钥，并进行密钥更新。

周期性密钥更新的具体步骤是：

1)组控制者产生一个新的组密钥；

2)组控制者用根节点的盲密钥和新组密钥构造新的秘密共享多项式，并计算得到新的有效共享秘密份额AS’；

3)组控制者以组播的方式将新的AS’发送给所有组成员；

4)各个组成员利用根节点的盲密钥和新的AS’，通过组密钥恢复方法计算出新的组密钥，完成密钥更新过程。

本发明提供的基于秘密共享的单向函数树组播密钥管理方法消除了CTKM方案在成员变动更新时更新开销较大以及OFT方案在周期性更新密钥时更新过程复杂、更新消息长、计算开销高的缺陷。当组成员数量很大时，本发明提出的方法具有OFT方案在成员变动引起的密钥更新过程中都具有较小的更新开销的优点，同时还具有CTKM方案在周期性更新过程中计算开销小的优点。

附图说明

图1OFT方案的密钥层次树结构图；

图2本发明的密钥层次树结构图；

图3本发明的盲密钥层次树结构图；

图4成员m₃所保存的密钥示意图；

图5成员m₃所保存的盲密钥示意图；

图6成员m₈加入前的密钥层次树；

图7成员m₈加入前的盲密钥层次树；

图8成员m₈加入后的密钥层次树。

图9成员m₈加入后的盲密钥层次树；

图10成员m₈离开前的密钥层次树；

图11成员m₈离开前的盲密钥层次树；

图12成员m₈离开后的密钥层次树；

图13成员m₈离开后的盲密钥层次树。

具体实施方式

本发明适用于任何需要组播密钥管理的应用场景。

在具体实施方式的阐述过程中，符号s→{m}：x表示发送者s将消息x发送给成员m，符号{x}_K表示用密钥K对消息x进行加密。

1.密钥层次树的产生

图2和图3分别表示采用本发明中提供的方法，由组控制者创建的含有8个组成员的密钥层次树和盲密钥层次树。叶子节点k₁，k₂...，k₈分别对应组成员和组控制者共享的私钥K₁，K₂，...，K₈；K_i(i＝1，2，...，8)是在成员m_i加入组时，与组控制者通过密钥交换协议(如Diffie-Hellman密钥交换协议)产生的成员私钥。中间节点k_1-2，k_3-4，k_5-6，k_7-8，k_1-4，k_5-8和根节点k_1-8各自对应的密钥为K_1-2，K_3-4，K_5-6，K_7-8，K_1-4，K_5-8和K_1-8，这些密钥用于加密盲密钥，所以称他们为密钥加密密钥。这些密钥由组控制者分三步计算得到：

1).K_1-2＝S(g(K₁)，g(K₂))，K_3-4＝S(g(K₃)，g(K₄))，L_5-6＝S(g(K₅)，g(K₆))，K_7-8＝S(g(K₇)，g(K₈))；

2).K_1-4＝S(g(K_1-2)，g(K_3-4))，K_5-8＝S(g(K_5-6)，g(K_7-8))；

3).K_1-8＝S(g(K_1-4)，g(K_5-8))。

密钥层次树和盲密钥层次树生成之后，每个组成员保存其对应叶子节点到根节点路径上所有节点的密钥和盲密钥以及这些节点的兄弟节点的盲密钥。图4和图5分别表示成员m₃所保存的密钥示意图和m₃所保存的盲密钥示意图。黑点表示成员m₃保存的密钥和盲密钥，分别为K₃，K_3-4，K_1-4，K_1-8和S₃，S₄，S_1-2，S_3-4，S_1-4，S_5-8，S_1-8。

2.组密钥的生成，分发和恢复过程

为了实现组播

1)组控制者产生组密钥K_g，并且用组密钥和根节点的盲密钥构造一个秘密多项式f(x)，利用该秘密多项式f(x)计算出一个有效共享秘密份额AS。

2)组控制者用根节点的密钥加密共享秘密份额AS，然后以组播的方式发送给所有组成员。

3)组成员解密收到的消息获得AS，并且利用保存的根节点的盲密钥S_r，通过K_g＝S(S_r，AS)恢复出组密钥K_g。在本实施例中，根节点的盲密钥S_r即为S_1-8，各个组成员利用K_g＝S(S_1-8，AS)恢复出组密钥K_g。

3.组成员加入过程

m₈为请求加入的组成员，图6和图7分别表示m₈加入前的密钥层次树结构和盲密钥层次树结构。

成员m₈加入过程包括以下几个步骤：

1)m₈向组控制者发送加入请求，组控制者对m₈进行身份验证。验证通过后，组控制者与m₈利用密钥交换协议(如Diffie-Hellman密钥交换协议)产生m₈的私钥K₈，该私钥由组控制者和m₈共享。

2)组控制者根据密钥结构树的情况，选定k_7-8作为成员m₈对应叶子节点k₈的插入节点，k₈将作为节点k_7-8的右子节点插入到密钥层次树中。

3)组控制者利用新成员m₈的私钥K₈加密盲密钥，向新成员m₈发送其所需的盲密钥信息：GC→{m₈}：{S₇，S_5-6，S_1-4}K₈；

4)组控制者更新组密钥K_g为K’_g；

5)组控制者利用新成员m₈的盲密钥S₈按照密钥层次树生成过程中使用的计算方法计算得到从新成员m₈对应叶子节点k₈到根节点路径上的所有新密钥和新盲密钥；

6)组控制者用根节点的新盲密钥S’_1-8和新组密钥K’_g构造新的秘密共享多项式f(x)，并计算得到新的有效共享秘密份额AS’；

7)组控制器采用组播的方式发送密钥更新消息，由于该消息采用加密方式传送，所以只有拥有对应密钥的组成员才能正确解密消息的内容，进行密钥更新。在本实施例中，组控制者向成员组发送三条密钥更新消息：

①.组控制者利用成员m₇的私钥K₇加密新成员m₈的盲密钥S₈，发送给成员m₇：GC→{m₇}：{S₈}K₇；

②.组控制者利用成员m₅，m₆所拥有的密钥K_5-6加密节点k_7-8的新盲密钥

S’_7-8，发送给成员m₅，m₆：GC→{m₅，m₆}：{S’_7-8}K_5-6；

③.组控制者利用成员m₁，m₂，m₃，m₄所拥有的密钥K_1-4加密节点k_5-8的新盲密钥S’_5-8，发送给成员m₁，m₂，m₃，m₄：GC→{m₁，m₂，m₃，m₄}：{S’_5-8}K_1-4；

8)组控制者用根节点的新密钥加密AS’并向所有成员组播：

GC→{m₁，...，m₇，m₈}：{AS’}K’_1-8；。

9)各个组成员利用收到的密钥更新消息，通过秘密恢复算法以及g函数计算得到从对应叶子节点到根节点路径上的所有密钥和盲密钥，再利用新的共享秘密份额AS’，通过组密钥恢复方法得到新的组密钥K’_g，完成密钥更新过程。在本实施例中，各个组成员密钥恢复的具体过程如下所述：

①成员m₇：m₇原先掌握了盲密钥S_8t、S_5-6和S_1-4，其中，S_8t表示m₇对应兄弟节点的盲密钥，虽然没有对应兄弟节点，但为了计算得到父节点的密钥，m₇存储了组控制者生成的虚拟兄弟节点盲密钥S_8t。成员m₈加入后，m₇得到新节点k₈的盲密钥S₈，替换原先对应的盲密钥S_8t。通过计算

S₇＝g(K₇)，K’_7-8＝S(S₇，S₈)得到节点k_7-8对应的新密钥K’_7-8；

S’_7-8＝g(K’_7-8)，K’_5-8＝S(S_5-6，S’_7-8)得到节点k_5-8对应的新密钥K’_5-8；

S’_5-8＝g(K’_5-8)，K’_1-8＝S(S_1-4，S’_5-8)得到根节点k_1-8对应的新密钥K’_{1- 8}；

S’_1-8＝g(K’_1-8)，K’_g＝S(S’_1-8，AS’)得到新的组密钥K’_g。

②成员m₅，m₆：m₅，m₆原先掌握了盲密钥S_7-8和S_1-4。成员m₈加入后，m₅，m₆得到节点k_7-8的新盲密钥S’_7-8，替换原先对应的盲密钥S_7-8。通过计算

S_5-6＝g(K_5-6)，K’_5-8＝S(S_5-6，S’_7-8)得到节点k_5-8对应的新密钥K’_5-8；

S’_5-8＝g(K’_5-8)，K’_1-8＝S(S_1-4，S’_5-8)得到根节点k_1-8对应的新密钥K’_{1- 8}；

S’_1-8＝g(K’_1-8)，K’_g＝S(S’_1-8，AS’)得到新的组密钥K’_g。

③成员m₁，m₂，m₃，m₄：m₁，m₂，m₃，m₄原先掌握了盲密钥S_5-8。成员m₈加入后，m₁，m₂，m₃，m₄得到节点k_5-8的新盲密钥S’_5-8，替换原先对应的盲密钥S_5-8。通过计算

S_1-4＝g(K_1-4)，K’_1-8＝S(S_1-4，S’_5-8)得到根节点k_1-8对应的新密钥K’_1-8；

S’_1-8＝g(K’_1-8)，K’_g＝S(S’_1-8，AS’)得到新的组密钥K’_g。

④新成员m₈：m₈在接收到组控制者的数据后，掌握了盲密钥S₇、S_5-6、S_1-4和AS’。通过计算

S₈＝g(K₈)，K’_7-8＝S(S₇，S₈)得到节点k_7-8对应的新密钥K’_7-8；

S’_7-8＝g(K’_7-8)，K’_5-8＝S(S_5-6，S’_7-8)得到节点k_5-8对应的新密钥K’_5-8；

S’_5-8＝g(K’_5-8)，K’_1-8＝S(S_1-4，S’_5-8)得到根节点k_1-8对应的新密钥K’_{1- 8}；

S’_1-8＝g(K’_1-8)，K’_g＝S(S’_1-8，AS’)得到新的组密钥K’_g。

成员m₈加入，密钥更新完成后的密钥层次树结构和盲密钥层次树结构分别如图8和图9所示。

4.组成员离开过程

m₈为请求离开的组成员。图10和图11分别表示m₈离开前的密钥层次树结构和盲密钥层次树结构。

成员m₈离开过程包括以下几个步骤：

1)成员m₈向组控制者发送离开请求，组控制者对m₈的身份进行验证.允许成员m₈离开后，组控制者删除成员结点m₈在密钥分布树中的对应的叶子节点k₈；

2)组控制者根据m₈的信息，确定叶子节点k₈的离开点为k_7-8；

3)组控制者更新组密钥K_g为K’_g；

4)组控制者为离开的成员m₈生成一个替代盲密钥S’_8t，并密钥层次树生成过程中使用的计算方法计算得到从离开的成员节点k₈到根节点路径上的所有新密钥和新盲密钥；

5)组控制者用根节点的新盲密钥S’_1-8和新组密钥K’_g来构造新的秘密共享多项式f(x)，并计算得到新的有效共享秘密份额AS’；

6)组控制器采用组播的方式发送密钥更新消息，由于该消息采用加密方式传送，所以只有拥有对应的组成员才能正确解密消息的内容，进行密钥更新。

在本实施例中，组控制者向组成员发送三条密钥更新消息：

①.组控制者利用成员m₇的私钥K₇加密新盲密钥S’_8t发送给成员m₇：GC→{m₇}：{S’_8t}K₇；

②.组控制者利用成员m₅，m₆所拥有的密钥K_5-6加密节点k_7-8的新盲密钥S’_7-8，发送给成员m₅，m₆：GC→{m₅，m₆}：{S’_7-8}K_5-6；

③.组制者利用成员m₁，m₂，m₃，m₄所拥有的密钥K_1-4加密节点k_5-8的新盲密钥S’_5-8，发送给成员m₁，m₂，m₃，m₄：GC→{m₁，m₂，m₃，m₄}：{S’_{5- 8}}K_1-4；

7)组控制者用根节点的新密钥加密_AS′并向剩余的成员组播：

GC→{m₁，...，m₆，m₇}：{AS’}K’_1-8；

8)各个组成员利用收到的密钥更新消息，通过秘密恢复算法以及g函数计算得到从对应叶子节点到根节点路径上的所有密钥和盲密钥，再利用新的共享秘密份额AS’，通过组密钥恢复方法得到新的组密钥K’_g，完成密钥更新过程。

在本实施例中，各个组成员的密钥恢复过程如下所述：

①.成员m₇：m₇原先掌握了盲密钥S₈、S_5-6和S_1-4。成员m₈离开后，m₇得到替代盲密钥S’_8t，替换原先对应的盲密钥S₈。通过计算

S₇＝g(K₇)，K’_7-8＝S(S₇，S’_8t)得到节点k_7-8对应的新密钥K’_7-8；

S’_7-8＝g(K’_7-8)，K’_5-8＝S(S_5-6，S’_7-8)得到节点k_5-8对应的新密钥K’_5-8；

S’_5-8＝g(K’_5-8)，K’_1-8＝S(S_1-4，S’_5-8)得到根节点k_1-8对应的新密钥K’_1-8；

S’_1-8＝g(K’_1-8)，K’_g＝S(S’_1-8，AS’)得到新的组密钥K’_g。

②.成员m₅，m₆：m₅，m₆原先掌握了盲密钥S_7-8和S_1-4。成员m₈离开后，m₅，m₆得到节点k_7-8的新盲密钥S’_7-8替换原先对应的盲密钥S_7-8。通过计算

S_5-6＝g(K_5-6)，K’_5-8＝S(S_5-6，S’_7-8)得到节点k_5-8对应的新密钥K’_5-8；

S’_5-8＝g(K’_5-8)，K’_1-8＝S(S_1-4，S’_5-8)得到根节点k_1-8对应的新密钥K’_1-8；

S’_1-8＝g(K’_1-8)，K’_g＝S(S’_1-8，AS’)得到新的组密钥K’_g。

③.成员m₁，m₂，m₃，m₄：m₁，m₂，m₃，m₄原先掌握了盲密钥S_5-8。成员m₈离开后，m₁，m₂，m₃，m₄得到节点k_5-8的新盲密钥S’_5-8，替换原先对应的盲密钥S_5-8。通过计算

S_1-4＝g(K_1-4)，K’_1-8＝S(S_1-4，S’_5-8)得到根节点k_1-8对应的新密钥K’_1-8；

S’_1-8＝g(K’_1-8)，K’_g＝S(S’_1-8，AS’)得到新的组密钥K’_g。

成员m₈离开，密钥更新完成后的密钥层次树结构和盲密钥层次树结构分别如图12和图13所示。

5.周期性密钥更新过程

在本实施例中，周期性的密钥更新过程包括以下几个步骤：

1)组控制者更新组密钥K_g为K’_g；

2)组控制者用根节点的盲密钥S_1-8和新组密钥K’_g来构造新的秘密共享多项式f(x)，并计算得到新的有效共享秘密份额AS’；

3)组控制者用根节点的密钥加密AS’并向所有成员组播：

GC→{m₁，...，m₇，m₈}：{AS’}K_1-8；

4)各个组成员利用保存的根节点盲密钥S_1-8和解密得到的新的共享秘密份额AS’，通过K’_g＝S(S_1-8，AS’)得到新的组密钥K’_g，完成周期性密钥更新的整个过程。

Claims (1)

1、一种基于秘密共享的单向函数树组播密钥管理方法，包括产生密钥层次树和盲密钥层次树、生成，分发与恢复组密钥、组成员加入、组成员离开和周期性密钥更新，其特征在于：

A.产生密钥层次树和盲密钥层次树中产生密钥层次树包括产生密钥层次树叶子节点的私钥、产生钥层次树根节点和中间节点的密钥，其具体方法是：

组控制者与各个组成员通过密钥交换协议产生密钥层次树叶子节点y，密钥层次树叶子节点对应的密钥是各个组成员的私钥K_y，该私钥K_y为组控制者与对应的组成员之间共享；

通过函数K_x＝S(Sx_l，Sx_r)得到密钥层次树根节点对应的密钥和中间节点对应的密钥，其中K_x为根节点或中间节点x对应的密钥，x_l和x_r分别为节点x的左右子节点，Sx_l、Sx_r分别是子节点x_l和x_r的盲密钥，S为秘密恢复算法；

产生盲密钥层次树的具体方法是：密钥层次树中的每个节点x或y利用对应的密钥K_x或K_y，通过函数Sx＝g(K_x)得到密钥K_x的盲密钥Sx，通过函数Sy＝g(K_y)得到密钥K_y的盲密钥Sy，其中g为单向函数；这些盲密钥构成的树即为盲密钥层次树，盲密钥层次树和密钥层次树具有相同的树结构，盲密钥层次树中的节点对应的是在密钥层次树中处于相同位置的节点对应密钥的盲密钥；

密钥层次树和盲密钥层次树产生后，每个组成员保存其对应叶子节点到根节点路径上所有节点的密钥以及这些节点的兄弟节点的盲密钥；

B.生成、分发与恢复组密钥的具体步骤是：

(1)组控制者产生组密钥K_g，并且用组密钥和根节点的盲密钥S_r构造秘密共享多项式，利用该秘密共享多项式得到有效共享秘密份额AS；

(2)组控制者以组播的方式向所有组成员发送共享秘密份额AS；

(3)收到共享秘密份额AS的组成员利用保存的根节点的盲密钥S_r，通过K_g＝S(S_r，AS)恢复出组密钥K_g；

C.组成员加入的具体步骤是：

(1)组控制者对发送加入请求者进行身份验证，允许通过验证者加入到组中，组控制者与新加入的成员通过密钥交换协议产生新加入成员的私钥K_y；

(2)组控制者根据当前密钥层次树的结构，确定新加入成员在该密钥层次树中的插入节点，将新成员作为该插入节点的子节点加入到密钥层次树中；

(3)组控制者利用新成员的私钥加密从新成员对应叶子节点到根节点路径上所有节点的兄弟节点对应密钥的盲密钥，然后发送给新加入成员；

(4)组控制者产生新的组密钥；

(5)组控制者利用新成员的盲密钥按照密钥层次树生成过程中使用的计算方法计算得到从新成员对应叶子节点到根节点路径上的所有新密钥和新盲密钥；

(6)组控制者用根节点的新盲密钥和新组密钥构造新的秘密共享多项式，并计算得到新的有效共享秘密份额AS’；

(7)组控制者采用对应的密钥加密新盲密钥，然后以组播的方式发送给所有组成员，只有拥有对应密钥的节点才能正确解密所要获得的数据；

(8)组控制者用根节点的新密钥加密6)中得到的AS’，以组播的方式发送给所有组成员；

(9)各个组成员根据接收到的盲密钥，按照密钥层次树生成过程中使用的计算方法计算得到相应中间节点及根节点的新密钥和新盲密钥，再结合所接收到的有效共享秘密份额AS’，通过组密钥恢复方法计算出新的组密钥；

D.组成员离开的具体步骤是：

(1)组控制者验证发送离开请求的成员身份，验证通过后，组控制者删除离开节点在密钥分布树中的对应的叶子节点；

(2)组控制者根据当前树的情况，确定离开点的位置；

(3)组控制者产生新的组密钥；

(4)组控制者为离开成员生成一个替代盲密钥，该替代盲密钥对离开成员是未知的；组控制者利用该替代盲密钥，按照密钥层次树生成过程中使用的计算方法计算得到从离开成员对应叶子节点到根节点路径上所有节点对应的新密钥和新盲密钥；

(5)组控制者用根节点的新盲密钥和新组密钥构造新的秘密共享多项式，并计算得到新的有效共享秘密份额AS’；

(6)组控制者用对应的密钥加密新盲密钥，然后以组播的方式发送给剩余的所有组成员；

(7)组控制者用根节点的新密钥加密5)中得到的AS’，以组播的方式发送给剩余的组成员；

(8)各个剩余的组成员根据接收到的盲密钥，按照密钥层次树生成过程中使用的计算方法计算得到相应中间节点及根节点的新密钥和新盲密钥，再结合所接收到的有效共享秘密份额AS’，通过组密钥恢复方法计算出新的组密钥；

E.周期性密钥更新的具体步骤是：

(1)组控制者产生一个新的组密钥；

(2)组控制者用根节点的盲密钥和新组密钥构造新的秘密共享多项式，并计算得到新的有效共享秘密份额AS’；

(3)组控制者以组播的方式将新的AS’发送给所有组成员；

(4)各个组成员利用根节点的盲密钥和新的AS’，通过组密钥恢复方法计算出新的组密钥，完成密钥更新过程。

Images