《应用单向代理重加密方案的安全组密钥管理》由会员分享,可在线阅读,更多相关《应用单向代理重加密方案的安全组密钥管理(11页珍藏版)》请在金锄头文库上搜索。
1、应用单向代理重加密算法的安全组密钥管理引言组密钥管理就是组管理员经由公开渠道在一个动态成员组中维护一个组密钥。组管理员使用组密钥加密信息并广播出去,使得只有组成员能够使用组密钥解密密文。每个成员持有组密钥和一些辅助密钥,辅助密钥借助组管理员广播的重置信息更新成员密钥。一个用户可以加入组得到组密钥和辅助密钥,也可以离开组成为非用户。为保证组密钥只为当前合法用户所拥有,组密钥必须在成员加入和离开时更新。当用户加入组得到组密钥时,组密钥必须是新的以防止新成员解密旧的密文,这是后向保密性。当成员离开时,组密钥也必须更新以防止离开用户解密新的密文,这是前向安全性。更新组密钥的重置信息和所有成员的辅助密钥
2、都通过公开信道传播,是公开信息。 组密钥管理系统应用广泛。例如,在付费电视广播系统中,组密钥保存在付费用户的机顶盒中,因此由组密钥加密的广播节目只能由付费用户收看。设计好的组密钥管理方案很重要,需要考虑的因素包括每个组成员持有的辅助密钥数量,密钥重置信息的规模,等等。我们不能假设所有成员总是在线并及时更新他们的密钥,因此,如何保证离线用户上线时得到最新的组密钥和辅助密钥是很重要的问题。这方面的研究不少,在逻辑密钥分层方法中,每个组成员持有个秘密的辅助密钥,密钥重置信息的规模为,是当前组成员的数量。这个方案很难让离线用户上线时得到最新的组密钥。方案中,重置信息的完整记录存于布告栏,当离线用户上线
3、时,他必须读取全部的密钥更新记录,并计算所有的过期组密钥和辅助密钥,一个接一个的,直到最新的组密钥和辅助密钥产生。如果密钥更新频率很高,这将不是一个很好的方法。A. 本文工作本文提出了一个基于meta代理重加密算法的组密钥管理方案,构造的具体方案是第一个基于RSA的PRE的组密钥管理方案,具有单向性和多跳性。 在本文的组密钥管理方案中,每个组成员仅持有一个秘密的辅助密钥和个公开的辅助密钥。每个组密钥更新所需重置信息的规模为。本方案有三个主要特征:第一,不管组密钥更新多少次,密钥更新记录的规模为常数。第二,不管错过了多少次组密钥更新,从密钥更新记录计算最新组密钥的时间是。这就为成员频繁变动的组密
4、钥更新提供了一个实用的解决方法。第三,方案可以抵抗其他成员的合谋攻击。B. 相关工作组密钥问题已有大量研究。LKH方案以效率著称。LKH方案基于密钥树,使用对称加密算法加密新密钥。每个成员持有个秘密的辅助密钥,每个成员加入或离开时的重置信息规模为。对二叉树的一个改进是单向函数树(OFT),父节点密钥由他的子节点密钥产生。OFT把重置信息从减少为。【10】提出了高效广群密钥方案(ELK),进一步把重置信息从减少为0。但是,当成员加入时,管理员必须重新计算所有的辅助密钥。【11】提出框架Iolus,把大群分成小的子群。每个子群都有子群管理员持有独立的子群密钥。每个成员的加入和离开只是影响子群成员。
5、但是,群管理员的加密数据必须由子群管理员解密再加密,然后广播给子群成员。【12】结合Iolus框架和基于EIGamal的代理加密方案,提出了SIM-KM方案。方案中,借助基于EIGamal的代理加密方案,加密数据经由子群管理员直接传送,这适合大群的扩展管理。随后有【6】,【7】,【8】,【9】,【12】,都使用代理加密,不暴露传输密钥。因此,持有传输密钥的可信代理是必要的。【15】考虑成批地重置密钥,以减少高频率的加入和离开导致的开销。在批处理密钥中,管理员收集足够数量的加入和离开成员,然后再做重置操作。这样许多重置信息就丢弃了。代理加密和重加密方面也有不少工作,如。大都基于乘法群或椭圆曲线群
6、上的离散对数问题。【16】提出了基于EIGamal的代理重加密方案。重加密密钥必须保密,因为他们显示了秘密信息。单向、单跳重加密方案见。【18】给出了单向、多跳代理重加密方案。密文的规模随重加密操作成比例增长。设计单向、多跳的代理重加密方案仍是一个公开问题。二 THE LKH METHOD组成员辅助密钥的分配多采用密钥树。LKH方案就是一个使用对称加密的基于密钥树的组密钥管理方案,根节点赋以组密钥,其他节点赋以辅助密钥,每个组成员是一个叶子节点。图1是一个度为2,有8个成员的密钥树。表示密钥加密的密文。每个组成员经从根节点到他的叶子节点的路径分配密钥。例如,组成员被配以组密钥,辅助密钥。假设要
7、离开,组密钥管理员更新组密钥至,和到和,广播重置信息,和。组成员可以随之更新他们的组密钥和辅助密钥。假设新成员加入组,配以叶子节点,组管理员通过安全信道单独传送一个新的辅助密钥给,更新组密钥,辅助密钥,到,广播重置信息,。处理离线成员。组成员需要持有最新的组密钥和辅助密钥以保证从接下来的重置信息中获得最新密钥。但实际情况是,并不是所有的组成员都总是在线并及时更新他们的密钥。例如,一个成员设备可能关机或者因为电池原因断开了网络。解决离线成员的直接方法是把所有的重置信息记录公布在公告栏上。当离线用户再次上线时,他可以读取错过的重置信息,一个接一个地计算过时密钥,直到最新密钥产生。考虑图2的例子,假
8、设在时刻离线,在他离线期间,在时刻离开,在时刻离开,在时刻加入,在时刻加入。为了让得到最新的组密钥和辅助密钥,公告栏必须保存重置信息的记录,其中是时刻的密钥重置信息。令为时刻的密钥(组密钥或辅助密钥)。当在时刻()上线时,他必须从计算,和,从计算和,从计算和,从计算,和。可以看出布告栏的存储空间和组成员的计算时间和密钥更新的频率成比例增长。三、构架我们的GKM采用PRE方案,PRE需要多跳加密,单向性和公开重加密密钥。通过公开重加密密钥,不仅是代理,每个人都可以作密文再加密操作。A.代理重加密方案PRE允许代理把Alice密钥加密的密文通过从Alice到Bob的再加密密钥再加密,使之成为Bob
9、密钥加密的密文,这中间不暴露明文。具体方案如下:SETUP输入安全参数,输出系统参数的集合。KEYGEN输入系统参数,输出密钥对,是加密密钥,是解密密钥。ENC输入加密密钥和明文,输出密文。DEC输入解密密钥和密文,输出明文。REKEYGEN输入系统参数,输出再加密密钥,用于把下的密文转化为下的密文。REENC输入再加密密钥和密文,输出密文。注意到在REKEYGEN,并不都是必需的,只需要就可以计算。算法需要满足性质:1) 对KEYGEN产生的每个密钥对和明文,2)对REKEYGEN产生的再加密密钥和明文,在PRE方案中,如果一个密文在一个序列中可以多次再加密,就称为多跳的,否则是单跳的。如果
10、和可以相互导出,就称为双向的,否则是单向的。下面是一个基于EIGamal加密方案的多跳,双向PRE。在EIGamal加密方案中,加密密钥,解密密钥是,这里是素数阶群的生成元,从中随机选取。加密计算:,解密计算:,是从中随机选取。假设Alice的密钥对是,Bob的密钥对是。从Alice到Bob的再加密密钥是感觉用相反数形式会简单些。再加密操作:,这里。因为,PRE是双向的。B、 基于多跳、单向PRE的GKM我们的GKM使用密钥树。H是公开的单向Hash函数,比如SHA-2。1) 密钥分配密钥树的每个节点都有一个密钥对,每条有向边有一个再加密密钥,节点是节点的父节点。再加密密钥是公开的辅助密钥。图
11、3是一个度为2,有8个成员的密钥树的密钥分配。根节点标号0,叶子节点标号1到8,中间节点标号9,10,11,12,13,14。组管理员持有系统参数,组密钥GK,所有节点的密钥对,所有边的再加密密钥。每个组成员配以叶子节点,持有秘密的辅助密钥。也知晓从节点到根路径的公开辅助密钥。例如,图3中,成员持有秘密辅助密钥和公开的辅助密钥,。注意分配给中间节点的密钥对成员无须知道。2) 计算组密钥组管理员发送组密钥GK给成员时,他使用根节点的加密密钥加密GK为密文,并广播出去。收到后,使用他的公开辅助密钥再加密:,然后用他的秘密辅助密钥解密得到。其他成员类似计算GK。3)成员退出假设要退出,对从根节点到叶
12、子节点的路径经过的节点,和,组管理员产生新的密钥对,这里节点表示节点的密钥对更新至。然后,他计算新的再加密密钥 (1)分别针对边。这些再加密密钥广播给在线成员以更新他们的公开辅助密钥。同时,旧的再加密密钥在公告栏上被这些新的再加密密钥所取代以备下线用户所需。图4给出了离开后密钥树上的最新再加密密钥。组管理员更新当前组密钥GK到,广播,同时布告栏上取代。如果成员更新了他的公开辅助密钥,他就能计算最新的组密钥。例如,有了新的公开辅助密钥,他可以解密:,。4) 成员加入假设加入到的组,如图4。组管理员把他放到叶子节点8的位置,对节点产生新的密钥对。受影响的再加密密钥 (2)被计算并广播,同时替代布告
13、栏上的旧再加密密钥。 组管理员计算新的组密钥,用代替。新成员通过安全信道接收秘密的辅助密钥,获得。已在线用户可直接计算。图5给出了加入后新的密钥分配。类似的,如果成员更新了他的公开辅助密钥,他就可以计算新的组密钥。5)离线用户的辅助密钥更新 当成员加入或离开时,组管理员更新了相应的再加密密钥和加密的组密钥。这些重置信息都被广播出去并保存在布告栏上。如果错过了离开时的重置信息(1)和加入时的重置信息(2)。他可以从布告栏上获得错过的最近重置信息和。不再需要了。联合他的未受影响的再加密密钥和,可以得到最新的组密钥:,。6)性能分析空间:叶子节点上的每个成员只有一个秘密的辅助密钥和个公开的辅助密钥。
14、固定不变,大多数辅助密钥公开,可以很容易的保存它们。本方案的一个显著特征是:对每一条边,只有最新的再加密密钥保存在布告栏上。布告栏的信息储备独立于组密钥更新的次数,或者成员加入或离开的次数。密钥管理:每个成员的密钥管理非常简单。假设对每一次密钥更新事件都有一个时间标记t。时间标记随着重置信息广播出去并保存在布告栏上。在线用户可以从广播的重置信息得到最新的再加密密钥。对离线用户,当他上线时,他可以比较布告栏上的时间戳和他自己的时间,若,他从布告栏上得到最新的再加密密钥,最多有个。然后他就有了同步密钥。方案提供了一个非常简单有效的密钥同步策略。计算时间:基于成员加入或离开的每次密钥更新,一个成员只
15、需要存储相关的广播辅助密钥。要计算组密钥,成员只需要做次再加密操作。因再加密操作是公钥操作,花费时间会多些。但组密钥的计算可以提前做好,这对于实际应用不会成为问题。因为只有最新的个再加密密钥是成员上线必需的,所以不管错过的密钥更新记录有多长,最新组密钥的计算总是个操作,这也节省了带宽。7)安全性分析meta PRE方案的安全需求是:仅仅持有再加密密钥和加密密钥的敌手不能解密任意加密密钥下的密文。对一个敌手而言,他能计算的就是在节点的加密密钥下的密文,因此方案是安全的。针对后向保密性,当节点上有新成员加入时,组密钥更新至,相应再加密密钥也更新。因为H是单向Hash函数,他不能从中计算旧的组密钥GK。同时,他也不能用新分配的从旧的密文中解密GK,因为旧的密文并没有被再加密至新下的密文。前向安全性类似讨论。很重要的一点是PRE方案必须是单向的。给出一个例子解释一下这种必要性。如果PRE方案是双向的,前向安全性就无法保证。考虑图4中离开的情况。假设在离组前保存了旧的重加密密钥,离开后,组管理员公布重置信息,。可以如下计算新的组密钥:使用重加密:从推出,计算使用,和他的旧的就可以计算。C. 基于RSA的PRE方案我们的GKM方案基于meta多跳,单向PRE方案。已经有了多跳,单向PRE方案【18】,但是密文随着重加
