基于RSA公钥密码体制的安全组播集中式组密钥分发协议

沙特国王大学学报基于RSA公钥密码体制的安全组播集中式组密钥分发协议Vinod Kumara， S.K.，Rajendra Kumarb，S.K.PandeyCa印度诺伊达高级计算发展中心信息技术部b印度新德里Jamia Millia Islamia计算机科学系c印度新德里通信和信息技术部电子和信息技术司阿提奇莱因福奥文章历史记录：2017年7月23日收到2017年11月23日修订2017年12月26日接受2018年1月2日在线提供保留字：密钥分发组播通信密钥更新代价计算复杂度A B S T R A C T在安全多播通信中，以只有授权的组成员能够接收数据的方式发送数据动态安全组播通信的主要挑战是设计一个 具有 最小 计算 和存 储复 杂度 的 集中 式组 密钥 分配 协议 。 本文 提出 了一 种更 有 效的 集中 式组 密钥 分发（CGKD）协议，该协议在密钥更新时使密钥服务器（KS）的计算开销最小。在密钥恢复过程中平衡成员的计算成本KS的计算成本的这种降低是通过在单个成员加入期间执行一个加法、一个乘法和一个加密以及在单个成员离开操作期间执行一个减法、一个除法和一个加密来实现的此外，KS的存储复杂度也被最小化。此外，本文还提出了一种基于聚类树的扩展CGKD协议，该协议具有很好的可扩展性，并且能够有效地处理大量的成员变化。与现有的同类协议相比，该协议在保持KS通信开销和组成员存储负载较小且均衡的同时，显著降低了KS的计算和存储复杂度。该协议的实现和测试的关键星和簇树为基础的结构。实验结果表明，该协议是有效的KS和组成员的计算开销。©2018作者制作和主办：Elsevier B.V.代表沙特国王大学这是一CC BY-NC-ND许可下的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。1. 介绍在当今的互联网时代，组播通信是一种非常流行的通信方式，它将秘密信息从单个发送者发送到组中的多个接收者。近年来，随着多播通信的普及和互联网的快速发展，许多多播服务，如视频服务器发送网络电视频道、网络游戏、按次付费、远程学习、股票报价等，都发挥着重要的作用（Wallner and Harder，1998）。在集中式密钥管理方案中，使用一个称为KS的可信实体来管理组密钥（GK）*通讯作者。电子邮件地址：vinodmtech2010@gmail.com（V. Kumar）。沙特国王大学负责同行审查以及整个组的其他支持键在动态多播通信中，成员可以在通信的任何时间加入/离开组由于群的动态性，群成员可能会频繁变化，这导致了前向和后向保密的安全问题在文献中已经提出了用于安全多播通信的各种密钥管理方法（Wallner和Harder，1998;Wong等人，2000;Sherman和Mcgrow，2003; Xu和Huang，2008; Goshi和Ladner，2003; Lu ， 2005; Naranjo 等 人 ， 2010; Liu 等 人 ， 2012;VijayaKumar等人，2012; Je等人，2014年; Zheng等人，2007;Lin等人，2010; VijayaKumar，2013; Baddi和El Kettani，2013;Khan ， 2014; VijayaKumar 等人，2014; Hanatani 等人，2016;Odelu等人，2016; Elhoseny等人，2016; Lin等人，2017年;伊斯兰教和比斯瓦斯，2017年）。现有的组密钥管理方法分为三大类，即集中式、分散式和分布式密钥管理方案。在集中式密钥管理方案中，单个集中式服务器负责在组之间生成和分发密钥https://doi.org/10.1016/j.jksuci.2017.12.0141319-1578/©2018作者。制作和主办：Elsevier B.V.代表沙特国王大学这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。制作和主办：Elsevier可在ScienceDirect上获得目录列表沙特国王大学学报杂志首页：www.sciencedirect.com1082V. Kumar等人 /沙特国王大学学报-计算机与信息科学32（2020）1081- 1094成员在分散式密钥管理方案中，将较大的组划分为子组，以最小化单个集中式服务器的计算负载，并消除单点故障问题。相反，分布式密钥管理方案不使用单个集中式服务器来生成和分发密钥。在分布式密钥管理方案中，每个组成员参与密钥的生成和此外，每个单个组成员能够从接收自组的其他现有成员的密钥信息导出公共组密钥。这三个类别各有其优缺点，并根据不同领域的应用要求使用。组密钥管理方案在任何情况下都必须满足一定的安全要求。它们的基本安全要求是组中的前向和后向保密为了在组中提供后向保密，KS负责防止新加入的成员访问先前通信的数据。类似地，为了提供前向保密性，KS负责防止离开的成员进一步访问未来的通信。对于安全的多播通信，发送者和多个接收者需要公共组密钥GK来加密和解密公共数据。此外，为了提供组中的动态成员资格，每当组成员资格改变时，GK需要被GK由组密钥管理（GKM）系统生成和分发，GKM系统不时地更新GK不时的更新和分发被称为密钥更新。在安全多播通信中，为了保持前向和后向保密性，当组成员发生变化时，需要更新密钥最近，由于短期服务的订阅增加在一些集中式组密钥管理方案中，KS向每个组成员分配私钥，并且在发生密钥更新时用每个成员的私钥单独地加密GK因此，在这样的方案中，密钥更新成本与组大小成线性比例，这产生了低效的通信。在多播通信中，为了最小化密钥更新成本，通常使用基于星型拓扑的体系结构。已经提出了被称为逻辑密钥层次（LKH）的分层密钥树结构，以最小化KS和组成员的通信带宽的利用、计算复杂性和密钥存储要求（Wong等人，2000年）。随后，在过去的十年中，已经提出了一些改进，旨在减少计算，存储和密钥更新成本。此外，如果组中的通信设备不具有足够的存储能力，则将不可能在这样的通信设备内有效地实现基于密钥星型架构的集中式密钥分发算法因此，有必要最小化由KS和组成员存储的键控信息的量KS和组成员的存储器负载大多数现有的集中式密钥分发方案具有非常高的计算和存储复杂度。因此，设计一种高效、安全的密钥管理方案，使其能够管理大规模、动态的群组，并且对KS和成员的计算、通信和存储负载要求更低，是非常必要的。本文提出了一种基于RSA公钥密码体制的集中式密钥分发协议，该协议使KS和组成员的计算复杂度最小化，同时在保持组成员存储开销均衡的同时，降低了KS的存储开销此外，还提出了一种基于分簇树结构的GKM方案，该方案具有很好的可扩展性，能够处理成员的加入或离开请求在批量生产中高效地进行。在该方案中，每当有一批成员加入群时，KS只需执行一次乘法运算即可更新GK类似地，每当一批现有成员离开组时，KS只需要此外，组成员需要执行简单的数学运算来恢复GK。所提出的集中式密钥管理方案的主要优点是计算成本低，适用于许多动态多播应用，如电视付费系统，以执行安全的多播通信。因此，所提出的CGKD协议需要较少的存储空间在KS区域以及低计算能力在KS和成员区域。本文的其余部分组织如下：第二部分给出了许多相关的集中式密钥管理方案的组播通信的调查第三节介绍了本文所采用的系统模型、安全防范和攻击模型、RSA和中国剩余定理密码体制。拟定CGKD方案及其详细解释见第4节。在第5节中描述了所提出的CGKD协议在基于GKM的聚类树结构中的集成。在第6节中描述了所提出的方案的安全性和性能分析。实验结果和分析见第7节。最后，在第八部分给出了结论.2. 文献调查在集中式GKM系统中，单个实体负责密钥生成、密钥分发、密钥更新和组通信。集中式方案的主要挑战是可扩展性开销、通信开销、计算开销、存储开销、前向和后向保密性的维护集中式方案还遇到无法处理多次成员变更的问题 为了处理这些问题，有必要分析文献中可用的各种密钥管理方案（Wong等人，2000; Sherman和Mcgrow，2003; Xu 和 Huang ， 2008; Goshi 和 Ladner ， 2003; Lu ， 2005;Naranjo等人，2010; Liu等人，2012; VijayaKumar等人，2012;Je 等 人 ， 2014 年 ;Zheng 等 人 ， 2007; Lin 等 人 ， 2010;VijayaKumar ，2013; Baddi 和El Kettani ，2013; Khan ，2014;VijayaKumar等人，2014; Hanatani等人，2016; Odelu等人，2016;Elhoseny等人，2016; Lin等人，2017年;伊斯兰教和比斯瓦斯，2017年）。下面对一些著名的集中式密钥管理方案进行综述Wong等人（2000）提出了称为逻辑密钥层次（LKH）的密钥树方案作为GKM的可扩展性问题的解决方案。他们引入了密钥图来指定安全组。此外，他们提出了三种策略，用于在组成员身份发生变化时安全地分发密钥更新消息。然而，该方案的计算成本增加。Sherman和Mcgrew（2003）提出了一种称为单向函数树（OFT）的方法，用于在大型动态组中建立密钥。成员的计算成本与组的大小成对数比例。群的存储开销也与群的大小成正比。然而，该方案容易受到共谋攻击，其中离开和加入的成员可能共谋他们的密钥信息，以找到旧的和新的组密钥。Xu和Huang（2008）提出了一种适用于组播环境的动态安全密钥分配方案，大大降低了KS和组成员的计算代价。为了分发密钥，作者已经使用了最大距离可分离（MDS）码。Goshi和Ladner（2003）提出了三种基于23树，以最小化更新组密钥所需的最坏情况通信成本他们发现高度平衡和重量平衡的2-V. Kumar et al./Journal of King Saud University重组成本和树形结构之间的关系。然而，如果B树的平衡涉及拆分超大节点，则密钥更新成本非常高。Lu（2005）提出了一种新的非分裂平衡高阶树（NSBHO），它不需要节点分裂来平衡树。要执行离开操作，它需要与2-3树相同的最坏情况密钥更新成本。此外，NSBHO在平均和最坏情况下的密钥更新Naranjo等人（2010）提出了一种基于扩展欧几里德算法的GKM方案。每次密钥更新操作只需要一条消息。每个成员只需要存储一个密钥。然而，当成员想要加入/离开组时，定义新的乘法组所花费的时间非常高。Liu et al.（2012）提出了一种高效的LKH树平衡算法，适用于高度动态的大型群组。该算法通过对密钥树的维护，使密钥树的外部路径长度 保 持 较 小 。 他 们 减 少 了 密 钥 更 新 的 开 销 。 VijayaKumar 等 人（2012）提出了一种基于轮换的批量密钥更新的组播密钥管理方案。当批处理离开操作高于批处理连接操作时，它们减少了批处理密钥更新操作的开销。然而，如果批加入操作高于批离开操作，则该方案的性能降低。Je等人（2014）提出了一种新的批量密钥更新方案，该方案动态配置批量密钥更新间隔。在这项工作中，每单位时间的总密钥更新成本显着降低。此外，它动态地确定用于组成员的动态变化的最佳批量密钥更新间隔，并且该动态批量密钥更新间隔用于密钥更新。此外，他们还表明，单位时间的总密钥更新成本降低了50%以上Zheng等人（2007）提出了集中式密钥管理的两种变体，称为中国剩余组密钥（CRGK）和快速中国剩余组密钥（FCRGK）。他们最大限度地减少了将更新的GK分发给组成员所需的广播次数。此外，密钥恢复时间和用户区域的存储开销也被最小化。然而，KS的存储开销和计算复杂度非常高。Lin等人（2010）提出了一种基于星型的组播密钥（SBMK）方案来解决密钥更新问题。它们完全消除了密钥更新开销。因此，成员资格的任何更改都不需要更新成员的密钥用户区域的存储成本最小化。然而，KS计算和存储开销在KS区域是非常高的。VijayaKumar（2013）提出了一种基于最大公约数的密钥分发协议，主要关注降低密钥更新操作的计算复杂度、组控制器和成员所需的存储空间成员的计算和存储复杂度显著降低然而，群控制器通信复杂度高，存储开销大.Baddi和El Kettani（2013）解决了与IP组播网络相关的安全问题，其中包括密钥分发和组成员的动态变化。作者回顾了几种密钥管理方案，并将它们分为三大类：集中式、分散式和分布式。Khan（2014）提出了一种密钥更新算法，该算法基于在用户添加和离开时广播新种子所提出的方案是非常可扩展的，并提供了前向和后向保密的一种有效的方式。该算法的通信复杂度是可以接受的。Vijayakumar等人（2014）提出了一种基于CRT的GKM方案，该方案显著降低了KS的计算成本。此外，群成员的计算复杂度也被最小化。然而，KS存储开销和KS初始化成本太高。 Hanatani等人（2016）提出了一个基于逻辑密钥层次（LKH）概念的组用于安全多播的密钥管理和分发协议，其最近已在IEEE 802.21中标准化在所提出的方法中，加密和解密操作的数量是通过使用“完全子树”优化它是非常可扩展的，并提供了一种简单的方法来安全地添加和删除成员从一个或多个组。Odelu，Vanga等人（2016）回顾了Lee等人的研究。SGPAKE协议，并证明了该协议是容易受到离线口令猜测攻击的。为了消除李等人的弱点，协议的基础上，提出了一种基于动态组口令的密钥协商协议，该协议能够有效地抵御离线和在线口令猜测攻击。Elhoseny等人，（2016）提出了一种基于椭圆曲线密码（ECC）和同态加密（HE）的新型加密方案，用于WSN中的安全数据传输。所提出的方案显着提高了网络性能的能源消耗，通信开销，生命周期，和内存的要求。Lin et al.（2017）提出了一种基于密码的椭圆曲线密钥管理（CECKM）协议，用于无线传感器网络中的安全组通信。CECKM协议提供了与RSA和M-Hellman相同的安全级别，但密钥较小，适合于传感器节点上的密钥交换协议。它消耗的系统密钥加密时间较短，相比于GH-Hellman和Group GH-Hellman协议。Islam和Biswas（2017）提出了一种基于椭圆曲线密码学的无配对基于身份的双方认证密钥协商（ID-2 PAKA）协议。所提出的协议提供了一种有效的方式来生成一个共同的会话密钥之间的双方通过一个开放的网络，是适合于高效和安全的对等通信。不同集中式GKM方案的优缺点汇总见表1。在本文中，我们提出了一种新的CGKD方案，RSA公钥密码体制在很多方面都是有效的。它通过最小化在密钥更新期间需要执行的算术运算的数量，大大降低了KS的计算负载。通过最小化存储在KS存储器中的密钥数，降低了KS的存储开销此外，所提出的CGKD方案提供了高的安全性，对各种攻击。为了提高协议的安全性，该协议使用了一个称为组密钥加密密钥的附加密钥，该密钥是利用中国剩余定理（CRT）生成的。此外，基于扩展聚类树结构的密钥管理在密钥更新的计算开销方面更有效最后，为了更新GK，每当组成员资格改变时，也减少了需要传送的密钥信息的量3. 预赛本节描述了我们的系统模型，安全性假设下，我们证明了我们提出的密钥分发协议的安全性。对RSA公钥密码体制和中国剩余定理等基本概念也作了简要的描述，这些概念在后面的章节中会用到。3.1. 系统模型我们将组播组通信建模为一个密钥启动结构，其中一组授权成员直接连接到称为KS的中心服务器KS是一个高度可信的权威机构，负责将密钥材料分发给组成员。系统模型由KS、发送者和成员组组成。多播组代表一个特定的ð Þð Þ1084V. Kumar等人 /沙特国王大学学报-计算机与信息科学32（2020）1081- 1094表1文献综述。计划年份优势劣势Naranjo等人（2010）2010U每一个只需要一条信息密钥更新操作。U在用户区只需要一个键Liu等人（2012）2012U减少了重置密钥的开销。适合高度动态的大型团体Je等人（2014）2014U显著减少了密钥更新总量单位时间成本Zheng等人（2007）2007U在用户区更快地恢复GK，提供高安全性。需要更少的通信成本在用户区需要更少的存储成本。（2010）2009U以更少的存储提供高安全性用户区域成本和KS的通信成本对于任何成员的变化，没有不平衡的情况。消除密钥更新过程每个成员只包含三个关键参数VijayaKumar（2013）2013U Reduced computation and storage com-用户区适用于仅基于星型拓扑的密钥分发方案。为了为每个加入/离开操作定义新的乘法群，它需要更多的时间。在某些情况下，方案失败，成员无法恢复GC发送的密钥参数。最坏的情况加入和离开密钥更新成本很高确定最佳批量密钥更新时间间隔的问题是一个约束优化问题，它本身是比较复杂的。UKS初始化和存储成本太高。U键更新成本高UK S和计算成本很高U键更新和恢复成本高UKS存储成本也很高KS的存储和通信复杂度高。对于批加入/批离开操作，密钥更新成本非常高。VijayaKumar等人（2014年）2014U在用户区需要更少的通信成本U在用户区域需要更少的存储成本U最小化密钥更新成本UKS初始化和存储成本太高通过考虑KS在通信发生之前执行所有操作，KS的计算成本似乎降低到O（1），但实际上存储和KS计算成本（KS初始化成本）太高。一组成员，他们有权接收公共秘密信息或消息。在多播通信中考虑的成员的总数是n。在我们的多播通信模型中的组成员是命名作为 Mi为1; 2; 3;n. 公开可得的公钥对于所有组成员，在多播组内使用仅组成员知道的私钥di、秘密hi以及KS和组成员知道的模数Xi以进行安全通信。为了计算群密钥加密密钥dg，利用中国剩余定理和群成员的秘密参数hi和Xi公钥“e”的生成uX i 并将其转发给小组成员。私营密钥由成员本身在自己的一侧借助于公钥“e”和秘密参数u X i来计算在我们的系统模型中，组成员之间没有通信组成员的数量在系统中可以是动态的即，在任何时候，组成员可以离开或者新成员可以加入组G。3.2. 安全假设和对手模型本文提出了一种集中式密钥管理方案中已经采用的合理假设：KS对组播组中的任何成员都有认证机制，所有组成员都获得一个由认证中心（CA）颁发的有效证书，用于以后的认证，KS总是可信的。我们还假设对手可能作为组成员参与协议。组成员的私钥信息可以由对手A在其拥有的所有密钥参数和能力我们假设对手A是概率多项式时间对手。多播通信是基于广播的，因此，我们假设对手的能力通常包括窃听，插入，对广播消息进行删除、修改、回复等操作由于在我们的系统模型中，已经假设所有通信都经过身份验证;因此，对手A将无法通过删除、修改、插入和重放信息来发起攻击因此，攻击者A可以拥有包括KS与组成员之间的所有广播消息、旧组密钥、已离开组的成员的公钥和私钥的信息。 我们还假设与密钥相关的秘密信息由KS和组成员在他们自己的存储区域中保密。为了解密密文CT，对手A需要成员为了获得di、3.3. RSA密码系统RSA公钥密码体制是由Rivest、Shamir和Adleman等人提出的，广泛应用于数据的安全传输。RSA的安全性是基于两个不同的大素数乘积的因式分解的困难性。RSA密码系统的详细说明如下。3.3.1. 密钥生成用于生成密钥的计算步骤描述如下：步骤1：首先，选择两个不同的大素数pq，并计算n<$p×q和欧拉托蒂恩特功能 unp-1×q-1。步骤3：选择一个公钥参数e，使得1eunnn<<和gcdun;e1 . （即，e2Zωu <$n<$）步骤4：接下来，使用扩展的欧几里德算法计算私钥参数d，以使ke×dk-1k 0moduknk 。 公 钥 / 私 钥 对 为 ： n< $2Z×Zωu<$n<$和n< $2Z×Zωu <$n<$。¼ × × ······×MiPQM¼Xi我我我 我我 我.3.3.2. 加密V. Kumar et al./Journal of King Saud University在最初加密函数e h：Zn！Zn定义为：eh M：C ¼Memodn3.3.3. 解密解密函数d h：Zn！Zn定义为：dhC：M¼Cdmodn3.4. 中国剩余定理设m1;m2：mn2N，其中gcd=mi;mj=1，对于i中国剩余定理，我们有Zm1×Zm2·········································································································×ZmnZm1·····mn.这意味着，对于给定的正整数k1;k2;k3....... . . kn，存在唯一的溶液 Y模NM1m2m n使得Y满足以下同余方程。Yk1modm1Yk2modm2加入群组，并在现有成员离开或新成员加入群组时更新GK。第四阶段是关键恢复阶段，主要处理GK在成员区的恢复。第五阶段称为成员离开阶段，在此阶段KS执行必要的操作以在组G中的剩余成员之间重新分配更新的GK。在文献中提出的大多数集中式GKM方案中，KS和群成员的计算和存储负载都非常高。因此，建议的研究工作主要集中在密钥更新阶段，以最大限度地减少计算和存储负载的KS，同时保持较少和平衡的计算和存储负载的组成员。所提出的协议的星型结构的实施图中给出。1.一、五个阶段的详细说明如下：4.1. KS初始化阶段首先，KS随机生成2n个不同的大素数.pi和qi2Zωa，其中Yknmodmn为了计算唯一解Y，成员计算Ni¼N 对于16i6n. 则对于每个i，我们有gcdmi;Ni1Xi和u的值为Xi，使得Xipi×qi和uXipi-1×qi-1;对于16i6n，其中“n”是组大小j G j。这里u<$Xi<$是X i的欧拉乘法群Zωmin <$u <$X<$;u<$X<$;u<$X<$. . ：uX。KS也有两个整数u和v使得uN≠vm11 2 3n则Yn1/1kiuiNiAlzheimerdN这是理想的解决方案。的成员。接下来，KS执行以下步骤4. 拟定CGKD方案第一步：KS计算ni¼1且ri使得ri¼M在这一部分中，我们描述了我们提出的协议，即CGKD，它是基于RSA公钥密码系统和实现的密钥星和簇树结构。建议CGKD协议主要包括五个阶段。 第一阶段称为KS初始化，其中KS为成员生成2n个不同的大素数，并计算所需的参数，如X i和u<$Xi<$。KS还选择用于n个的秘密参数hi，并计算ci。第二个阶段称为“第一阶段”。BER初始加入阶段，其中成员计算迪岛 第三阶段称为密钥更新阶段，在该阶段中，其中i 1; 2; 3;... ; n. 接下来，KS计算si，ri模Xi的乘法逆，使得ri×si 1 mod Xi。步骤2：KS使用以下公式计算每个组成员的ci流动方程ci<$ki×ri×si1接下来，KS认证想要加入组的成员。KS还选择有效且大的正整数“e”作为公钥，使得e 2 Z ω min <$u <$X 1 <$; u <$X 2 <$; u <$X 3 <$。. ：uXn和n

下载后可阅读完整内容，剩余1页未读，立即下载