沈華，李繼強(qiáng)，謝海濤，諶剛，張明武

（湖北工業(yè)大學(xué)計(jì)算機(jī)學(xué)院，武漢 430068）

0 引言

網(wǎng)絡(luò)的飛速發(fā)展使得人與人之間的通信方式也不斷地發(fā)生變化，從最初一對一的通信方式發(fā)展到一對多、多對多的組通信方式。特別是近年來受到新冠肺炎疫情的影響，幾乎所有的會議、課程、聊天交流都轉(zhuǎn)變?yōu)榫€上形式。騰訊會議、Zoom 會議、阿里釘釘?shù)葧h軟件被廣泛應(yīng)用于線上教育和線上會議。網(wǎng)絡(luò)的通信便捷性使得距離不再是阻隔，網(wǎng)絡(luò)的開放性也使得保障組通信的安全成為了重中之重。特別是合法的組內(nèi)通信成員也可能竊取其他成員的秘密數(shù)據(jù)，這就要求組通信方案的設(shè)計(jì)者不僅要考慮來自外部人員的攻擊，也要防范來自內(nèi)部惡意人員的攻擊。一般情況下，安全組通信的通信成員會共享一個(gè)組密鑰。組密鑰實(shí)現(xiàn)了對通信信息的加密、解密以及對通信人員的身份驗(yàn)證。安全組通信必須有一個(gè)健壯的組密鑰生成協(xié)議。目前主要有協(xié)商式和集中式兩種組密鑰生成協(xié)議。在協(xié)商式中，組密鑰由組內(nèi)全體成員共同“協(xié)商”決定。該類協(xié)議大多數(shù)是基于迪菲赫爾曼（Diffie-Hellman，DH）公鑰方案演變來的［1］。在集中式中，不需要全組成員參與生成組密鑰，但需要一個(gè)受信任的第三方——密鑰生成中心（Key Generation Center，KGC）選擇組密鑰并安全分發(fā)給組內(nèi)用戶。

目前已有許多組密鑰分發(fā)方法。Bohli［2］提出一個(gè)健壯的組密鑰管理協(xié)議框架，該框架可在一個(gè)未經(jīng)驗(yàn)證的點(diǎn)對點(diǎn)網(wǎng)絡(luò)中提供針對內(nèi)部惡意人員和主動攻擊敵手的安全性。Chang 等［3］結(jié)合DH密鑰交換協(xié)議和密鑰封鎖提出一種會議密鑰分配協(xié)議，該協(xié)議使用插值多項(xiàng)式隱藏一些解鎖信息。Katz等［4］提出了第1個(gè)完全可擴(kuò)展的組DH 協(xié)議，該協(xié)議在標(biāo)準(zhǔn)模型下證明是安全的。Harn 等［5］利用Shamir［6］秘密共享方案提出一種基于KGC的組密鑰分發(fā)協(xié)議，該協(xié)議使得只有授權(quán)的成員才能獲得組密鑰。Teng 等［7］提出一種基于身份加密的動態(tài)認(rèn)證組密鑰管理協(xié)議，通過利用已存儲的成員信息有效地減少了成員的計(jì)算開銷和通信消耗。Wu 等［8］提出一種不需要KGC 的新密鑰管理范式。Harn等［9］提出一種使用多元多項(xiàng)式的密鑰建立協(xié)議并給出了其在安全組通信和秘密共享的秘密重構(gòu)中的應(yīng)用。Harn等［10］提出無需可信第3 方的集中式組密鑰分發(fā)協(xié)議。Jiao 等［11］提出一種基于秘密共享［12-13］的組密鑰分發(fā)協(xié)議，邏輯上采用樹形結(jié)構(gòu)對組密鑰進(jìn)行管理。隨后，Wu 等［14］提出基于對稱二元多項(xiàng)式的輕量級認(rèn)證組密鑰管理協(xié)議，實(shí)現(xiàn)成員身份驗(yàn)證和組密鑰生成。文獻(xiàn)［15］中提出僅需邏輯異或操作的輕量級組密鑰分發(fā)方案。文獻(xiàn)［16］中以標(biāo)識集廣播加密方案（ISBE）［17］為基礎(chǔ)構(gòu)建用于GroupVPN的多播密鑰分發(fā)協(xié)議。

本文對Harn等的方案［10］進(jìn)行了改進(jìn)，提出一種具有前向安全性的輕量級組密鑰分發(fā)方案。

1 基本原理

1.1 對稱二元多項(xiàng)式

有限域GF（q）中，t-1 階多項(xiàng)式

式中：q為一個(gè)大素?cái)?shù)；ai，j∈GF（q），i，j∈［0，t-1］。如果多項(xiàng)式系數(shù)均滿足ai，j＝aj，i，那么該二元多項(xiàng)式是對稱二元多項(xiàng)式。二元對稱多項(xiàng)式f（x，y）有如下特點(diǎn)：對于GF（q）中的任意兩個(gè)數(shù)xi和xj，f（x，y）一定滿足f（xi，xj）＝f（xj，xi）。本文利用對稱二元多項(xiàng)式生成的秘密份額建立用戶對密鑰。

1.2 前向安全性

組通信中的前向安全性是指在一個(gè)安全組通信過程中，即使用于產(chǎn)生會話密鑰的主密鑰不慎泄露了，也不會導(dǎo)致以前會話密鑰的泄露。換句話說，主密鑰的泄露無法保證當(dāng)前通信的安全性，但是可以保證以前通信內(nèi)容的安全性。

1.3 敵手模型

本文主要考慮以下兩類敵手：

（1）內(nèi)部敵手。即組通信中的合法用戶試圖獲取其他用戶的秘密信息，然后在組通信中偽裝成該用戶發(fā)起組通信。

（2）外部敵手。即通過竊聽信道外部敵手獲得用戶發(fā)送和接收的信息以試圖得到組通信中的組密鑰，獲取組內(nèi)通信內(nèi)容或者偽造通信請求以達(dá)到欺騙組內(nèi)成員的目的。

本方案的安全性目標(biāo)是實(shí)現(xiàn)具有前向安全性的組密鑰分發(fā)，并能抵抗來自內(nèi)部敵手的串謀攻擊和外部敵手的被動攻擊和欺騙攻擊。

2 方案構(gòu)成

本方案主要包括4 個(gè)階段：系統(tǒng)初始化、二元多項(xiàng)式一致性檢驗(yàn)、組密鑰分發(fā)、組密鑰獲取。初始化階段生成對稱二次多項(xiàng)式和用戶通信記錄表，如圖1 所示。

圖1 系統(tǒng)初始化

一致性檢驗(yàn)階段中組內(nèi)的每位用戶對接收到的二元多項(xiàng)式進(jìn)行一致性檢驗(yàn)；組密鑰分發(fā)階段中組通信發(fā)起者在無KGC 的情況下實(shí)現(xiàn)具有前向安全性的組密鑰分發(fā)；組密鑰獲取階段中組通信其他用戶從接收到的密文中獲得用于組內(nèi)通信的組密鑰。組密鑰分發(fā)與獲取過程如圖2 所示。

圖2 組密鑰的分發(fā)與獲取

2.1 初始化階段

設(shè)組內(nèi)有n個(gè)用戶U1，U2，…，Un，有n+1 個(gè)常數(shù)x1，x2，…，xn，x′是公開信息，其中xk是與用戶Uk（k＝1，2，…，n）相關(guān)聯(lián)的信息。以下為系統(tǒng)初始化的具體步驟。

步驟1用戶Uk隨機(jī)創(chuàng)建一個(gè)t次對稱二元多項(xiàng)式：

步驟2用戶Uk通過安全信道將［fk（xl，y），fk（x′，y）］發(fā)送給用戶Ul（l≠k；l＝1，2，…，n）。

步驟3用戶Uk創(chuàng)建一個(gè)n×n的二維表Ak，其中所有元素均初始化為0。

2.2 二元多項(xiàng)式的一致性檢驗(yàn)

每個(gè)用戶需要檢測2.1 節(jié)中其他用戶隨機(jī)生成的二元多項(xiàng)式是否是對稱的t次二元多項(xiàng)式。

步驟1用戶Uk首先驗(yàn)證收到的2（n-1）個(gè)一元多項(xiàng)式［f1（xk，y），…，fk-1（xk，y），fk+1（xk，y），…，fn（xk，y），f1（x′，y），…，fk-1（x′，y），fk+1（x′，y），…，fn（x′，y）］是否均是t次一元多項(xiàng)式，如果是，則執(zhí)行下面的步驟，否則終止執(zhí)行或重啟初始化過程。

步驟2驗(yàn)證收到的2（n-1）個(gè)一元多項(xiàng)式是否均是由t次對稱二元多項(xiàng)式生成的。具體驗(yàn)證步驟如下：

步驟2.1計(jì)算

步驟2.2計(jì)算

步驟2.3驗(yàn)證Fxk（x′）＝Fx′（xk）是否成立，如果成立，則繼續(xù)執(zhí)行后續(xù)步驟，否則終止執(zhí)行或重啟初始化過程。具體驗(yàn)證過程如下：根據(jù)式（1）、（2）和在1.1節(jié)中給出的對稱二元多項(xiàng)式fk（x，y）定義，可以得到

式中：0≤i；j≤t且i≠j，根據(jù)對稱二元多項(xiàng)式的定義可知，收到的2（n-1）個(gè)一元多項(xiàng)式均是由t次對稱二元多項(xiàng)式生成的。

2.3 組密鑰分發(fā)

假設(shè)用戶Uk（k∈1，2，…，n）要向組內(nèi)的m（m＜n）個(gè)用戶發(fā)起組內(nèi)安全通信，具有前向安全性的組密鑰分發(fā)的具體步驟：

步驟1Uk計(jì)算他與用戶Url（l＝1，2，…，m）之間的“用戶對密鑰”

步驟2用戶Uk更新自己的二維表Ak。

步驟2.1生成m個(gè)隨機(jī)數(shù)。

步驟2.2更新Ak的第k行

2.4 組密鑰獲取

用戶獲取組密鑰步驟：

3 分析與比較

3.1 正確性分析

本方案初始化階段后，組內(nèi)每個(gè)用戶擁有2（n-1）個(gè)由其他用戶隨機(jī)生成的t次對稱二元多項(xiàng)式產(chǎn)生的一元多項(xiàng)式［f1（xk，y），…，fk-1（xk，y），fk+1（xk，y），…，fn（xk，y），f1（x′，y），…，fk-1（x′，y），fk+1（x′，y），…，fn（x′，y）］，這與其他n-1 個(gè)用戶一一對應(yīng)。根據(jù)對稱二元多項(xiàng)式的特點(diǎn)，不需要用戶間的交互，發(fā)起組通信的用戶通過式（5）可以計(jì)算自己與其他用戶之間的“用戶對密鑰”，組內(nèi)其他用戶通過式（6）也可以計(jì)算出發(fā)起用戶與自己之間的“用戶對密鑰”。以用戶Uk和為例進(jìn)行說明，Uk通過式（5）得到的密鑰

3.2 安全性分析

定理2本方案可以抗外部敵手的被動攻擊。

證明外部敵手監(jiān)聽信道獲得某一成員Ui得到了發(fā)送給用戶Ul（l＝1，2，…，i-1，i+1，…，n）的一元多項(xiàng)式［fi（xl，y），fi（x′，y）］以及其接收來自其他用戶的2（n-1）個(gè)一元多項(xiàng)式［f1（xi，y），f2（xi，y），…，fi-1（xi，y），fi+1（xi，y），…，fn（xi，y），f1（x′，y），f2（x′，y），…，fi-1（x′，y），fi+1（x′，y），…，fn（x′，y）］。由于二維表A由用戶秘密存儲，外部敵手在無法獲得隨機(jī)數(shù)的情況下或不知道二維表A的情況下，無法構(gòu)造與用戶在本地計(jì)算得到的“用戶對密鑰”，因此外部敵手無法得到用戶對密鑰，從而無法得到組通信密鑰，本方案可以抵抗來自外部敵手的被動攻擊。

定理3由組內(nèi)用戶創(chuàng)建并不斷更新的二維表A保證了該方案具有前向安全性。

證明在計(jì)算“用戶對密鑰”時(shí)，發(fā)起組通信的用戶Uk用其二維表中第k行第rl列的元素，隨后Uk隨機(jī)生成m個(gè)隨機(jī)數(shù)，…用于更新其二維表第k行中對應(yīng)位置上的元素，并將這些隨機(jī)數(shù)與組密鑰一起分發(fā)給對應(yīng)的組成員。本輪更新的二維表將用于下一輪“用戶對密鑰”的生成。即使敵手獲得了當(dāng)前組通信中某兩個(gè)用戶之間的“用戶對密鑰”，由于“用戶對密鑰”是不斷變化的，敵手也就無法獲取他們之前的“用戶對密鑰”，使得該方案具有前向安全性。此外，除發(fā)起組通信用戶之外的每個(gè)用戶只會接收與自己對應(yīng)的隨機(jī)數(shù)，無法根據(jù)自己的二維表計(jì)算得到其他用戶的“用戶對密鑰”，保證了當(dāng)用戶不在當(dāng)前組時(shí)，他無法獲得當(dāng)前組以后的組通信密鑰。

3.3 方案比較分析

本節(jié)從是否需要可信服務(wù)器、計(jì)算復(fù)雜度、存儲要求等方面對本方案進(jìn)行比較分析。在比較過程中，著重關(guān)注的是如何將組密鑰分發(fā)給用戶，由于不同協(xié)議使用了不同技術(shù)，因此，這里只關(guān)注頂層的比較。表1給出了比較的結(jié)果。

表1 相關(guān)協(xié)議比較

本文中提出的是一種具備前向安全性且不需要可信任KGC的方案，組通信的發(fā)起者需要分別執(zhí)行n次多項(xiàng)式計(jì)算和n次常規(guī)加密，在組通信中將組密鑰發(fā)送給n個(gè)用戶，每個(gè)用戶需要進(jìn)行一次多項(xiàng)式計(jì)算和解密才能得到組密鑰，同時(shí)還要更新通信記錄表。本文提出的方案中并未涉及循環(huán)，系統(tǒng)只有加法和乘法計(jì)算，計(jì)算復(fù)雜度要求只取決于組通信中成員數(shù)量的多少，因此計(jì)算復(fù)雜度為O（n），在存儲要求上由于每位用戶只需要保存若干個(gè)一元多項(xiàng)式的系數(shù)和一個(gè)二維表A，因此存儲要求為O（n2）。Harn 等［5］提出的方案使用帶有RSA 模數(shù)的秘密共享將組密鑰分發(fā)給所有用戶，這個(gè)方案需要使用受信任的KGC，且KGC 需要使用多項(xiàng)式計(jì)算將組密鑰分發(fā)給用戶。用戶也需要使用多項(xiàng)式計(jì)算來恢復(fù)組密鑰。由于該方案使用了RSA模數(shù)，方案的計(jì)算復(fù)雜度為尋找RSA模數(shù)和執(zhí)行多項(xiàng)式計(jì)算，因此計(jì)算復(fù)雜度為O（Lbp+n）（p為RSA模數(shù)），每位用戶也只需要保存坐標(biāo)點(diǎn)，因此存儲要求為O（n）。文獻(xiàn)［18］中提出基于秘密共享的組Diffie-Hellman協(xié)議，該協(xié)議不需要受信任的KGC 分發(fā)組密鑰。組密鑰由所有用戶在使用秘密共享和DH方案的組通信中共同確定。該協(xié)議的主要問題是計(jì)算復(fù)雜度和通信復(fù)雜度，因?yàn)榻M密鑰由所有用戶共同確定，每個(gè)用戶都需要計(jì)算DH 密鑰并要與其他用戶交換信息。該方案一共有3輪，前2 輪中每位用戶都需要進(jìn)行模冪運(yùn)算，總的計(jì)算復(fù)雜度為O（2nLbe）（其中e為模冪運(yùn)算上的指數(shù)），在存儲要求上由于只需要保存公私鑰對，因此為O（n）。Harn 等［10］提出使用對稱二元多項(xiàng)式實(shí)現(xiàn)無第三方KGC的組通信中組密鑰的分發(fā)，由于在該協(xié)議中用戶之間使用的“用戶對密鑰”是固定不變的，導(dǎo)致一旦“用戶對密鑰”泄露，之前的通信信息就會泄露，并不具備前向安全性。該方案同樣使用的是對稱二元多項(xiàng)式，計(jì)算復(fù)雜度同樣為O（n），在存儲要求上由于用戶需要存儲的只有一元多項(xiàng)式系數(shù)，故為O（n）。文獻(xiàn)［16］中為構(gòu)建用于多節(jié)點(diǎn)通信的GroupVPN框架，提出了一種多播密鑰分發(fā)協(xié)議用于實(shí)現(xiàn)多播組生成和組內(nèi)密鑰分發(fā)，該協(xié)議仍然需要系統(tǒng)生成主公鑰和主私鑰，然后生成組內(nèi)用戶的私鑰。該協(xié)議由于以ISBE［17］為基礎(chǔ)，在ISBE 中包含了多次指數(shù)級運(yùn)算，計(jì)算復(fù)雜度為O（2n），由于每個(gè)用戶只要保存自己的私鑰，因此總的存儲要求為O（n）。

3.4 組密鑰分發(fā)仿真實(shí)驗(yàn)分析

本節(jié)通過仿真表明，本文所提方案的正確性和可行性。仿真主要包括：系統(tǒng)初始化與一致性檢驗(yàn)；組密鑰的分發(fā)；組密鑰的安全獲取。仿真選擇CPU時(shí)間和存儲空間消耗作為評價(jià)指標(biāo)，選擇AES-256 實(shí)現(xiàn)方案中的信息加密。測試平臺配置：操作系統(tǒng)為win10，CPU為i5-4590，8GB 內(nèi)存。分析討論的是，通信群組規(guī)模大小n和多項(xiàng)式最高次數(shù)t對上述3 個(gè)過程所需CPU時(shí)間的影響。

圖3 給出了在不同多項(xiàng)式最高次數(shù)t隨著群組規(guī)模n的增大，本方案初始化與一致性驗(yàn)證階段所花費(fèi)的CPU時(shí)間的增長情況。群組規(guī)模的不斷增大，用戶間交互次會激增，初始化與一致性驗(yàn)證階段需要花費(fèi)的時(shí)間也會增加。結(jié)果表明，隨著群組規(guī)模增加，本方案初始化與一致性驗(yàn)證階段所花費(fèi)CPU 時(shí)間基本呈線性增長。

圖3 系統(tǒng)初始化時(shí)間開銷

圖4 給出了在不同多項(xiàng)式最高次數(shù)t隨著群組規(guī)模n的增大，組密鑰分發(fā)階段所花費(fèi)的CPU時(shí)間的增長情況。結(jié)果表明，即使用戶規(guī)模達(dá)到了一定的程度，本方案仍能夠在很短時(shí)間內(nèi)完成對所有用戶的組密鑰分發(fā)過程。

圖4 組密鑰分發(fā)時(shí)間開銷

圖5 給出了在不同多項(xiàng)式最高次數(shù)t隨著群組規(guī)模n的增大，組密鑰安全獲取階段所花費(fèi)的CPU時(shí)間的增長情況。結(jié)果表明，隨著群組規(guī)模的增加，安全獲取密鑰階段所花費(fèi)的CPU時(shí)間基本呈線性增長，但仍然能夠在秒級內(nèi)處理完成。

圖5 組密鑰的獲取時(shí)間開銷

圖6 給出了在不同多項(xiàng)式最高次數(shù)t隨著群組規(guī)模n的增大，每個(gè)用戶存儲開銷的增長情況。實(shí)驗(yàn)結(jié)果表明，隨著群組規(guī)模增加，用戶存儲開銷呈線性增長。相較于當(dāng)下設(shè)備存儲空間的幾十GB 而言，所需的幾十KB空間占比幾乎為0，因此本方案十分適合各種設(shè)備使用。

圖6 存儲需求

4 結(jié)語

受新冠疫情影響，很多會議都變?yōu)榫€上形式，保證安全的通信環(huán)境變得至關(guān)重要。為實(shí)現(xiàn)安全組通信，需要用組密鑰對通信內(nèi)容進(jìn)行加解密。本文解決的關(guān)鍵問題是如何在無可信KGC 的情況下進(jìn)行具有前向安全性的組密鑰分發(fā)。所提方案讓每次發(fā)起組通信的用戶充當(dāng)KGC的角色，負(fù)責(zé)隨機(jī)選擇本次組通信的組密鑰，并利用與其他用戶之間的用戶對密鑰實(shí)現(xiàn)對組密鑰的安全分發(fā)。同時(shí)隨機(jī)生成用于更新用戶對密鑰的隨機(jī)數(shù)，以實(shí)現(xiàn)前向安全性。此外，提出的組密鑰分發(fā)方案只需要較少的計(jì)算量和存儲量，非常適用于通過手機(jī)、平板電腦等資源有限設(shè)備進(jìn)行組內(nèi)通信的用戶。