一种子集差分/分层子集差分机制的用户端扩展方法

摘要

本发明公开了一种子集差分/分层子集差分机制的用户端扩展方法，包括步骤：以扩展的用户端为叶节点建立扩展逻辑密钥树；将扩展树与扩展前系统的原始树合并形成扩展后的密钥树；原始树中的密钥标签和密钥系统不变，为其他节点和其他子树分配独立的密钥标签，建立密钥系统；扩展前原始用户端的预分配密钥不变，构建扩展的用户端的预分配密钥；传输秘密消息M给用户端的任意子集S时，对M加密并构建出在信道中传输的广播消息；用户端根据预分配密钥对所述广播消息解析解密，得到M的明文。本发明的优点在于：解决了子集差分/分层子集差分机制无法扩展用户端的问题，在不影响系统原有用户的预分配密钥和解密处理的基础上，可动态批量地扩展系统的用户端。

说明书

技术领域

本发明涉及一种在广播和组播信道上安全地传输一个秘密消息给用户端的任意子集的方法，特别涉及一种子集差分(Subset Difference，简称为SD)/分层子集差分(Layered Subset Difference，简称为LSD)机制的用户端扩展方法。

背景技术

广播加密(broadcast encryption)技术是指仅采用单向信道，无需双向握手通信就可以对大规模用户的任意子集广播秘密消息的密钥管理分发机制。广播加密机制的发展可以根据结构类型分成：基于矩阵型结构的广播加密机制和基于树型结构的广播加密机制两个阶段。2001年，D.Naor、M.Naor和Lotspiech联合提出了一种新的树型广播加密机制：子集差分(Subset Difference)方法，简称为NNL机制或者SD机制。该机制通过采用差分子集覆盖，折中了通信开销和用户端的密钥开销，提高了密钥分发效率，适用于实际系统。Halevi D和Shamir A提出了分层子集差分(Layered Subset Difference，简称为LSD)机制，通过对SD机制拆分得到的差分子集进行二次拆分，减少了用户端需要安全存储的密钥数，降低了密钥开销。

但是，SD机制和LSD机制都是以所有用户端为叶节点建立一个静态的逻辑密钥树来分配用户的预分配密钥，因此存在无法扩展用户端的问题。

发明内容

本发明的目的是解决子集差分/分层子集差分机制由于基于静态密钥树分配用户预分配密钥从而无法扩展用户端的问题，提供一种子集差分/分层子集差分机制的用户端扩展方法。

为了实现上述目的，本发明提供一种子集差分/分层子集差分机制的用户端扩展方法，包括如下步骤：

1)以所有扩展的用户端为叶节点建立扩展逻辑密钥树，即扩展树；

2)将上一步骤1)的扩展树与扩展前系统的原始密钥树(原始树)合并，构建扩展后的用户密钥树；

3)原始密钥树中的密钥标签和密钥系统不变，为其他节点和其他子树分配独立的密钥标签，建立密钥系统；

4)扩展前系统用户端的预分配密钥不变，扩展的用户端的预分配密钥为该用户端属于的所有密钥系统中从该密钥系统的根节点到用户端对应的节点的路上挂着的节点的密钥标签；

5)传输秘密消息M给用户端的任意子集S时，对秘密消息M加密，构建出在信道中传输的广播消息；

6)用户端的处理机制是：根据预分配密钥对所述广播消息解析解密，得到秘密消息的明文M。

在上述技术方案中，进一步地，所述步骤5)中所述广播消息由三部分组成：密文M′，将S拆分成的不相交的差分子集{S_i，j}和用差分密钥分别加密后的随机密钥K；在信道中传输的广播消息的构建方法是：利用随机密钥K加密秘密消息M后生成密文M′，用S拆分成的不相交的差分子集{S_i，j}对应的差分密钥分别加密随机密钥K。

进一步地，将S拆分成不相交的差分子集{S_i，j}的方法包括：在系统密钥树中逐步移出每次扩展的用户端为叶节点的子树，再按照子集差分/分层子集差分机制进行子集的拆分。

进一步地，所述步骤6)中用户端u对所述广播消息的处理方法包括：对所述广播消息中的差分子集部分解析，找到差分子集(m，n)使得u∈S_m，n，其中，u表示用户端，(m，n)表示差分子集；再根据用户端自己的预分配密钥计算出S_m，n对应的差分密钥，利用该差分密钥对所述广播消息中的加密后的密钥部分解密计算出随机密钥K，最后利用随机密钥K对所述广播消息中的密文M′解密得到秘密消息M的明文。

进一步地，重复所述步骤1)——步骤6)，可进行系统用户端的多次扩展。

与现有技术相比，本发明的优点在于：

1)解决了子集差分/分层子集差分机制无法扩展用户端的问题，在不影响系统原有用户的预分配密钥和解密处理的基础上，可动态批量地扩展系统的用户端；

2)本发明的扩展方法对系统原有用户来说是透明的，系统原有用户觉察不到扩展用户的存在。

附图说明

图1为扩展用户端时的用户密钥树构建示意图；

图2为将任意子集S拆分成不相交的差分子集{S_i，j}的流程图。

图3为将任意子集S拆分成不相交的差分子集{S_i，j}的方法示意图。

具体实施方式

下面结合附图和具体实施方式对本发明作进一步详细描述：

在对本发明的方法进行说明之前，首先对子集差分/分层子集差分机制进行简单说明。子集差分(SD)机制以所有用户端为叶节点建立密钥树，在此密钥树中，节点v_i和v_j(其中，v_i是v_j的祖先节点)的差分子集用S_i，j表示，S_i，j＝{u|u∈S_i，uS_j}。

为密钥树的每个子树定义一个独立的密钥系统并分配独立的密钥标签。此密钥系统的特点是在任何一个密钥系统中，已知一个节点v_i的标签，就可以计算出所有该节点的子孙节点v_j的标签和差分子集S_i，j对应的差分密钥，但一个节点的祖先节点的标签未知时，该节点的标签和差分密钥就是伪随机的。每个用户端u可以通过自己保存的预分配密钥计算出所有u属于的差分子集对应的差分密钥，用户端u的预分配密钥是该用户端属于的所有密钥系统中从该密钥系统根节点到u对应的节点这条路上挂着的节点的标签。在安全地传输一个秘密消息给用户端的任意子集S时，只需要将S分成不相交的差分子集，用这些差分子集对应的差分密钥分别加密该秘密消息并传输出去。有授权的用户端根据自己保存的预分配密钥计算出其属于的差分子集对应的差分密钥，就可以对用这差分密钥对加密后的秘密消息解密，得到秘密消息的明文。LSD机制通过将SD机制得到的差分子集进行二次拆分，减少了用户端需要安全存储的密钥数。SD机制和LSD机制都是以所有用户端为叶节点建立一个静态的逻辑密钥树来分配用户的预分配密钥，因此存在用户端扩展即静态的逻辑密钥树再生长的问题。

下面结合附图和具体实施方式对本发明的子集差分/分层子集差分机制的用户端扩展方法作进一步详细描述。

系统初始建立时，即扩展用户端前，服务器按照SD/LSD机制为所有原始用户(扩展前的用户)建立、分配预分配密钥并加密传输秘密消息。

扩展用户端时，通过合并扩展树和原始树的方法构建用户密钥树和预分配密钥。假设系统已经扩展了t次用户端(t为≥0的整数，t＝0表示系统未扩展过用户端)，此时系统密钥树为T，则第t+1次扩展用户端后的用户密钥树的构建步骤为：

1)以所有扩展的用户端为叶节点建立完全的逻辑密钥树T′；

2)以T为左子树，T′为右子树将这两个密钥树结合成一个新的逻辑密钥树T″；

3)保持T中的所有子树和节点的密钥系统和密钥标签不变，为T″的其他节点和其他子树分配独立的密钥标签、根据SD/LSD的密钥建立机制建立密钥系统；

4)原始用户端的预分配密钥不变。扩展用户端的预分配密钥为该用户端属于的所有密钥系统中从该密钥系统的根节点到用户端对应的节点的路上挂着的节点的密钥标签。

第t+1次扩展用户端后，系统的用户密钥树就是密钥树T″。

每扩展一次用户端，服务器就应用一次上述方法建立系统的用户密钥树，分配扩展用户端的预分配密钥。由于原有用户端的预分配密钥保持不变，原有用户端的解密处理机制不变。

以图1中上半部分(a)部分为例，系统初始建立(t＝0)时，用户集合为U₀＝{u_0，1，u_0，2，…，u_0，n1}，系统的用户密钥树为根节点为root₀的树T₀(在图中以白色节点表示)。第一次扩展终端用户即t＝1时，以扩展的用户端集合U₁＝{u_1，1，u_1，2，…，u_1，n1}成员为叶节点对建立根节点为root₁′的密钥树T₁′(在图中以黑色节点表示)。合并T₀和T₁′，得到根节点为root₁的结果树T₁。保持T₀中的密钥系统和密钥标签不变，为T₁的其他节点和其他子树分配独立的密钥标签、根据SD/LSD机制建立密钥系统，即U₀中成员的预分配密钥是根据密钥树T₀建立的SD/LSD预分配密钥，U₁中成员的预分配密钥是根据密钥树T₁建立的SD/LSD预分配密钥。依此类推，t＝2时构建的用户密钥树如图1中下半部分(b)部分所示。

传输秘密消息M给用户端的任意子集S时，对秘密消息M加密，构建出在信道中传输的广播消息。根据权利要求1所述的子集差分/分层子集差分机制的用户端扩展方法，其特征在于，在信道中传输的广播消息的构建方法是：利用随机密钥K加密M后生成密文M′，用S拆分成的不相交的差分子集{S_i，j}对应的差分密钥分别加密K，所述广播消息由三部分组成：密文M′，S拆分成的不相交的差分子集S_i，j和用差分密钥加密后的密钥K。

服务器安全地传输秘密消息M给用户端的任意子集S的过程为：

1、服务器选择一个随机密钥K对秘密消息M加密生成密文M′，加密算法用F_k表示，即M′＝F_K(M)；

2、在所述用户密钥树中将S分成不相交的差分子集$\left\{S_{i,j}\right\}=\{S_{i_1,j_1},...,S_{i_n,j_n}\},$并计算出{S_i，j}的对应的差分密钥{L_i1，j1，…，L_in，jn}。

3、用所述差分密钥{L_i1，j1，…，L_in，jn}分别对加密私密信息的密钥K加密并传输出去，加密次数为分成的不相交的差分子集的个数，加密算法用E_差分密钥表示。

则服务器构建的广播消息由密文M′，S拆分成的差分子集S_i，j和用差分密钥加密后的密钥K这三部分组成：<[(i₁，j₁)，…，(i_n，j_n)，E_Li1，j1(K)，…，E_Lin，jn(K)]，F_K(M)>。

在扩展了t次用户的系统中，用U_n(0≤n≤t)分别表示第n次扩展的用户集合(U₀为原始用户集合)，T₀表示U_n对应的用户密钥树(T_n的根节点用v_n表示)，则服务器将S分成不相交的差分子集的方法如图2所示：首先让T_n＝T_t，v_n＝v_t，然后反复执行以下操作步骤，从T_n中移出子树，增加拆分的差分子集，直至子树T_n的根节点v_n就是T₀的根节点v₀：

(1)如果密钥树T_n的根节点v_n不是T₀的根节点v₀，则将T_n的左子树T_n-1移出，以T_n-1的根节点v_n-1为v_n的左子节点，并将v_n-1标识为无授权的节点，根据SD/LSD机制对S在移出T_n-1的密钥树T_n中的有授权用户集合拆分成不相交的差分子集S_i1⁽ⁿ⁾，…，S_imn⁽ⁿ⁾，拆分的子集的个数为m_n。

(2)当树T_n的根节点v_n是原始用户集合U₀所属的子树T₀的根节点v₀时，根据SD/LSD机制的拆分方法对S在密钥树T_n中的有授权用户集合拆分成不相交的差分子集S_i1⁽⁰⁾…，S_im0⁽⁰⁾，拆分的子集的个数为m₀。

在扩展了t次用户的系统中，服务器将S分成不相交的差分子集的过程如图3所示。分别用L_i1⁽⁰⁾，…，L_im0⁽⁰⁾，…，L_i1^(t)，…，L_imt^(t)来表示S_i1⁽⁰⁾，…，S_im0⁽⁰⁾，…，S_i1^(t)，…，S_imt^(t)对应的差分密钥，则服务器构建的广播消息为：

<[i₁⁽⁰⁾，…，i_m0⁽⁰⁾，…，i₁^(t)，…，i_mt^(t)，E_Li1⁽⁰⁾(K)，…，E_Lim0⁽⁰⁾(K)，E_Li1^(t)，(K)，…，E_Limt^(t)(K)]，F_K(M)>。

对于用户端u来说，它接收到的广播消息为：

<i₁⁽⁰⁾，…，i_m0⁽⁰⁾，…，i₁^(t)，…，i_mt^(t)，C₁⁽⁰⁾，…，C_m1⁽⁰⁾，C₁^(t)，…，C_mt^(t)]，M′>。

由于原有用户端的预分配密钥不变，因此原有用户端的处理机制不会改变，用户端u不需要知道自己是原有用户端还是扩展的用户端，其处理机制与SD/LSD机制中用户端的处理机制是一样的：

(a)用户端u对所述广播消息中的差分子集部分解析，找到i_j⁽ⁿ⁾使得$u\&Element;S_{i_j^{\left(n\right)}},$(当找不到i_j⁽ⁿ⁾使得u∈S_ij⁽ⁿ⁾时，即u不在有授权接收秘密消息的用户集合S中时，u对所述广播消息的处理完成，不进行下述步骤)。

(b)从用户端u上保存的预分配密钥计算出i_j⁽ⁿ⁾相应的差分密钥L_ij⁽ⁿ⁾。

(c)通过对C_j解密：D_Lij⁽ⁿ⁾(C_j)计算出M′的解密密钥K。

(d)通过用密钥K对M′解密：D_K(M′)得到私密消息M。

由于服务器端将有授权的用户集合分成的差分子集不相交，则u最多只属于其中的一个子集，即上述第一步中最多只能得到一个结果。

最后所应说明的是，以上实施例仅用以说明本发明的技术方案而非限制。尽管参照实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，对本发明的技术方案进行修改或者等同替换，都不脱离本发明技术方案的精神和范围，其均应涵盖在本发明的权利要求范围当中。