張絳麗　段旭

摘 要 本文在子集差分廣播加密方案（Subset Difference Method）的基礎(chǔ)上引入主密鑰機(jī)制（Master Key），對已有的廣播加密方案進(jìn)行了改進(jìn)。與SD方案相比較，新的方案在確保安全性的前提下減少了用戶存儲(chǔ)的密鑰量，可高效靈活地進(jìn)行解密權(quán)限的控制。

關(guān)鍵詞 廣播加密 子集差分 主密鑰

計(jì)算機(jī)的普遍應(yīng)用和Internet的蓬勃發(fā)展使得辦公自動(dòng)化成為趨勢，尤其是管理結(jié)構(gòu)復(fù)雜、分支機(jī)構(gòu)分布地域廣泛的大型企業(yè)的正常運(yùn)轉(zhuǎn)越來越依賴于計(jì)算機(jī)和網(wǎng)絡(luò)。為了確保信息傳輸?shù)陌踩鞣N加密技術(shù)和密鑰管理方案先后被提出并實(shí)現(xiàn)。傳統(tǒng)的公鑰加密體制僅適用于點(diǎn)對點(diǎn)的通訊。當(dāng)通訊的模式為一對多時(shí)，需要為每一個(gè)服務(wù)請求建立一個(gè)單獨(dú)的連接。例如，一個(gè)擁有一萬人的企業(yè)，同一段信息要用一萬個(gè)不同的公鑰加密一萬次，然后分別發(fā)送給相對應(yīng)的員工。解決此類問題的方法之一就是采用廣播加密方案。

1991年Berkovits[1]首次提出廣播加密的概念。1994年Fiat和Naor[2]描述這樣一個(gè)問題：“在只擁有單向通道的情況下，兩個(gè)互相陌生的實(shí)體怎樣達(dá)成一致的通訊密鑰”。廣播加密問題自此正式確立。本文對已有的廣播加密方案進(jìn)行了改進(jìn)，在子集差分廣播加密方案（Subset Difference Method）的基礎(chǔ)上引入主密鑰機(jī)制（Master Key）。與SD方案相比較，新的方案在確保安全性的前提下減少了用戶存儲(chǔ)的密鑰量，可高效靈活地進(jìn)行解密權(quán)限的控制。

1 相關(guān)知識(shí)

廣播加密方案中注重的性能指標(biāo)有：密文頭部長度、用戶存儲(chǔ)密鑰量和用戶解密計(jì)算復(fù)雜度。明文信息經(jīng)廣播加密處理后將得到密文主體和一塊為用戶解密提供必要信息的稱為密文頭部的區(qū)塊，密文頭部長度與信息傳輸效率成正比?？紤]到用戶接收端的存儲(chǔ)能力和計(jì)算能力的局限性，又要求用戶存儲(chǔ)的密鑰盡可能少，解密計(jì)算復(fù)雜度盡可能小。一個(gè)好的方案還要具有很好的伸縮性，可以適應(yīng)大規(guī)模用戶（各種性能最好與N無關(guān)），且可以對抗任意多個(gè)用戶的合謀攻擊。

2001年Naor等提出了子集覆蓋撤銷框架和兩種基于樹結(jié)構(gòu)的廣播加密方案Complete Subset method（CS）和Subset Difference method（SD）[3]。其中SD方案堪稱經(jīng)典，成為此后眾多改進(jìn)方案的基礎(chǔ)和性能參考標(biāo)準(zhǔn)。本文在SD的基礎(chǔ)上進(jìn)行樹結(jié)構(gòu)的分層并引入Master Key機(jī)制，在保留了SD優(yōu)良性能的基礎(chǔ)上進(jìn)一步減少了用戶存儲(chǔ)的密鑰量（具體性能比較見表1）。由于改進(jìn)方案具有層次特性，可以通過調(diào)節(jié)S的取值來獲得用戶存儲(chǔ)密鑰量與密文頭部長度兩項(xiàng)性能的平衡。本文提出了一個(gè)基于主密鑰的廣播加密方案，在這個(gè)特殊的層次結(jié)構(gòu)的系統(tǒng)中改進(jìn)方案加密后的密文頭部長度將不再受到層次結(jié)構(gòu)的影響而達(dá)到與SD相同的效果。

1.2 子集覆蓋框架

1.3 Subset Difference Method（SD）

5 總結(jié)

本文應(yīng)用分層與Master Key機(jī)制對SD方案進(jìn)行了改進(jìn)，在確保安全性的前提下保持了SD的優(yōu)點(diǎn)，同時(shí)進(jìn)一部減少了用戶存儲(chǔ)的密鑰量。針對改進(jìn)方案的分層特性，將其運(yùn)用到企業(yè)文件保密分發(fā)系統(tǒng)中，從而實(shí)現(xiàn)了企業(yè)文件高效、保密傳輸和解密權(quán)限的靈活控制。

參 考 文 獻(xiàn)

[1] S.Berkovits. How to Broadcast a Secret： Advances in Cryptology-Eurocrypt91， Lecture Notes in Computer Science [C]. Springer， 1991：525-541.

[2] A.Fiat， M.Naor. Broadcast Encryption： Advances in Cryptology-Crypto93， Lecture Notes in Computer Science [C]. Springer， 1994：480-491.

[3] M.Naor， J.Lotspiech. Revocation and Tracing Schemes for Stateless Receivers： Advances in Cryptology-Crypto 2001， Lecture Notes in Computer Science [C]. Springer， 2001 ：41-62.

[4] Selim G.Akl， Peter D.Taylor. Cryptographic Solution to a Problem of Access Control in a Hierarchy [J]. ACM Transactions on Computer Systems， 1983， 1（3）：239-248.

[5] D.Haleby， A.Shamir. The LSD Broadcast Encryption Scheme： Advances in Cryptology-Crypto 2002， Lecture Notes in Computer Science [C]. Springer， 2002：47-60.

[6] 徐成，王箭 通信市場 2008年第2期：98-106