群组通信环境中的密钥管理协议

随着群组通信业务的普及，群组通信的相关安全研究也随之兴起。群组密码学的概念首先由 Desmedt 提出。与传统通信中的密码学方案相比，群组密码学具有很多优点，并已经成功地运用到视频点播和分布式系统等一些应用场景中。群签名，环签名，广播加密等密码学体制作为群组密码学的重要分支都得到了学术界的密切关注。本文的研究工作集中在群组密码学的一个重要组成部分：群组密钥管理，即多个（群组）用户在不安全的开放网络环境中通过一定的协议产生一个共享的会话密钥，为后面的通信提供各种安全性保护。 本文的研究工作主要包含两个方面，群组密钥分发协议和可证明安全的认证群组密钥协商协议。在对已有的群组密钥管理方案进行了大量的调查与分析后，我们在此基础上提出了一些有价值的研究成果。本文的主要成果包括： 1. 在第二章中，提出了一种高效的长期 self-healing 群组密钥分发方案。和已有方案相比，新方案的优势包括：（1）我们避免了使用指数运算, 而只是域上多项式的相关运算；（2）群组管理者广播消息次数比 Staddon 等人和Blundo 等人的方案少一次；（3）用户端存储私钥数目比 Staddon 等人的方案少将近一半；（4）新协议的安全性为无条件安全。 2. 在第三章中，构造了一个从一般群组密钥协商协议向基于口令认证的群组密钥协商协议转换的编译器。编译器的构造利用了对称加密体制，NM-CCA2 和 IK-CCA2 安全的公钥加密体制，以及 UF-CMA 安全的数字签名体制，从而使得编译器可以避免在线/离线字典攻击。 3. 在第四章中，提出了一个基于口令认证的群组密钥协商协议，使得网关在认证服务器的协助下和多个用户之间建立一个会话密钥，同时认证服务器不知道此会话密钥的任何信息（网关和认证服务器之间的信道是专用信道）。由于意识到口令的泄露往往是由于用户的不当使用造成的，所以，不同于已有的基于口令认证的门限密钥协商机制，我们的门限方案是在用户端实施。我们的门限方案要求把用户群组和认证服务器预先共享的口令（称之为群组口令）以秘密共享方式分散共享在群组用户之间，并且每个用户所存储口令的子秘密（share）值依然是一个易记忆的口令（称之为用户口令）。只有不少于 k 个用户一起才能恢复出群组口令。 4. 在第五章中，利用了Unified 模型（把用户长期私钥嵌入到密钥协商过程）构造了一个在 Strong Corruption 模型下可证明安全的强健的认证群组密钥协商协议。和已有类似方案相比，新方案所需要的签名数量明显减少，从而，计算复杂度和通信复杂度也随之降低。另外，新协议是在 Strong Corruption 模型下可证明安全，在此模型下的类似协议比较少。 5. 在第六章中，对 Desmedt 等人提出的 BD-II（树型）群组密钥协商协议做出改进。利用在树中各个节点上应用遮罩函数，我们把由于群组关系变化而对密钥更新所产生的影响限制在一个比较小的群组范围中，从而提高了协议在动态情况下运行的效率。新协议通过四个子算法：初始化，成员加入，成员撤销，子群组合并来分别应对群组密钥协商过程中所遇到的各种（动态）情况。