【广播加密】知识总结

广播加密

广播加密：一种将数据内容通过广播信道安全地分发给合法用户的安全机制。只有发送者选定的授权（或者合法）用户才能解密，得到明文信息。

广播加密方案需要解决的基本问题：

• 保密
• 抗同谋：撤销用户即使联合起来，也无法获得广播明文。如果所有的撤销用户都联合起来也无法解密得到明文，那么就称该方案为可抗完全同谋。
• 用户的动态加入和退出：保证前向安全，也就是说退出的用户无法利用他们所知道的密钥解密出后继的广播秘文；在某些情况下还需要保证后向安全，也就是说新加入的成员无法破解它加入之前的密文。

广播加密方案性能主要指标：

• 密钥存储量：主要是指接收用户需要存储的密钥大小和数量。
• 通信开销：广播密文包的长度。
• 计算量：加密、解密的计算开销。

前置知识

Diffie-Hellman问题和Diffie-Hellman假设

Diffie-Hellman假设有两种类型：1. 计算性Diffie-Hellman假设（CDH）2. 判定性Diffie-Hellman假设（DDH）

明显的，DDH假设中蕴含着CDH假设，也就是说DDH假设比CDH假设更强。

• $l-BDHE$困难问题

  

• 双线性映射的DH置换假设

  

双线性映射

$1_{G_2}$：$G_2$的单位元。

有状态广播加密 stateful broadcast

有状态广播加密方案：是针对有状态接收者的，指接收者可以保存接收信息，用户可以根据接收到的广播信息对存贮的密钥进行更新。

特点：由于密文是利用当前组用户共享的组密钥进行加密，当组用户发生动态变化时，即有用户的加入和退出，此时为了保证广播安全，组内所有的用户的密钥都必须更新，此时通信量较大。另外有状态加密要求所有用户一直处于在线状态。

• 基于逻辑密钥树（LKH）的组播方案

  当前授权用户共享一个相同的对称密钥，称为组密钥。每个用户除了存储组密钥之外，还存储一系列的更新密钥。

  一棵高为$h$的二叉平衡逻辑密钥树，它的授权用户个数$m$为$2^{k-1}$，每个授权用户保存的密钥数量为$h$，组控制器保存的密钥数量是$2^k-1$。当有用户需要加入和退出，密钥更新需要的通信量是$O(2r{\log }^{2}m)$，$r$是加入或者退出的用户数。

无状态广播加密 stateless broadcast

无状态广播加密方案：是指接受者不能改变其初始状态，仅按照初始设置的密钥处理接收到的广播数据，由于接收用户密钥不需要更新，因此不要求用户一直处于在线状态。

基于对称密钥的广播加密

在Revocation and Tracing Schemes for Stateless Receivers中提到，“子集覆盖”框架（Subset-Cover），由三个算法组成：

1. 初始化：使每个用户属于若干个集合，该用户持有其所属所有集合对应的密钥。
2. 广播加密：用Cover算法将授权用户集合划分为不相交的子集 { p i 1 , p i 2 , . . . , p i m } \{p_{i_1}, p_{i_2}, ..., p_{i_m}\} {pi1​​,pi2​​,...,pim​​}，每个合法用户属于且仅属于这其中的某一个集合。广播方会选择会话密钥$K$，分别用这些划分子集的密钥 { k i 1 , k i 2 , . . . , k i m } \{k_{i_1}, k_{i_2}, ..., k_{i_m}\} {ki1​​,ki2​​,...,kim​​}对会话密钥$K$加密，而发送给的消息用会话密钥加密。$<[i_1,i_2,...,i_m,E_{k_{i_1}}(K),E_{k_{i_2}}()K,...E_{k_{i_m}}(K)],E_K(M)>$，[]中是广播头，剩余部分是广播体。
3. 用户端解密：每个合法用户接收到加密消息后，在广播头中寻找到用自身集合密钥所加密的数据，使用持有的密钥解密就可以获得会话密钥，并用会话密钥对消息解密。

完备子树法（Complete Subtree, CS）、子集差分法（Subset Difference, SD）、LSD（layered subset difference）、SSD（stratified subset difference）

完备子树 CS

定义（子集覆盖）：用$N$表示广播加密系统用户集合，$T$表示目标用户集合，$R=N/T$表示废除用户的集合。对$N$的子集覆盖是指子集$S_1,S_2,...,S_w$（其中$S_j\subseteq N,1<=j<=w$）满足：

1. 每个自己$S_j$有一个相应的密钥$L_j$，用户$u\in S_j$可以通过其秘密信息$k_u$计算获得密钥$L_j$。
2. 对于每个废除集合$R\subseteq N$，存在不相交的子集$S_{i1},S_{i2},...,S_{iw}$使得$N/R={\cup }_{j=1}^m{S}_i$。

完备子树方法：用$N$表示广播加密系统用户集合，其中废除用户集合为$R$。总共用户数量$n$为2的指数次方。完备子树法由初始化，广播加密，用户解密三部分算法组成如下：

1. 初始化：建立一棵完全二叉树，以$n$个用户作为叶子节点。该二叉树总共有$2n-1$个节点和$\log n+1$条根节点通向叶子节点的路径。用$v_i(1<=i<=2n-1)$表示$2n-1$个节点。对于每个节点$v_i$定义子集$S_i$为所有以$v_i$为祖节点的节点集合。每个节点$v_i$都被分配一个随机均匀选择的密钥$L_i$，所有的用户分配得到他自身节点到根结点路径上的所有节点的密钥。
2. 广播加密：选择一会话密钥$K$和废除用户集合$R$作为输入。令$u_1,u_2,...u_r$为$R$中用户。接着建立斯坦纳树，也即连接根节点和废除用户的最小子树。子集$S_{i1},Si2,...S_{im}$为二叉树中根节点$v_1...v_m$不在$ST(R)$中但与$ST(R)$中出度为1的节点相连的子树集合。然后广播者用一加密算法$E$和密钥$L_{i1},L_{i2},...,L_{im}$分别对会话密钥$K$进行加密，将$(i_1,i_2,...,i_m,E_{L_{i1}}(K),E_{L_{i2}}(K)),...,E_{L_{im}}(K)$发送到广播信道中。
3. 解密：用户收到信息$(i_1,i_2,...,i_m,E_{L_{i1}}(K),E_{L_{i2}}(K)),...,E_{L_{im}}(K)$。用户根据自己所属的自己$u\in S_{i_j}$找到$i_j$，然后用密钥$L_{i_j}$解密，获得会话密钥；否则，如果$u\notin S_{i_j}$计算将终止，因为该用户是废除用户而没有对应的解密密钥。

**定理：**完全子树方法提供的用户集合$N$的子集覆盖和广播加密方案，其广播头长度为$O(r\log \frac{n}{r})$，用户存储开销为$O(\log n)$。

子集差分 SD

CS方案的主要不足之处是集合$N/R$被分成的子集数太多。为了减少被分割成的子集数，提出一种改进的SD方案，其被分割成的子集最多为$2r-1$，从而减少通信开销。

设全体用户的集合用$N$表示，也就是说$u_1,u_2,...,u_n$是全体用户集合。被撤销的用户集合用$R$表示，也就是说$u_1,u_2,...,u_r$是被撤销的用户。

接收者（用户）被当作是完全二叉树的叶子节点，子集$S_1,S_2,...,S_w$是这样的集合：类似于集合$G_1-G_2$的结果，其中满足$G_2\subset G_1$。$G_1,G_2$分别是包含一个完全二叉树的集合。因此，一个合法的集合$S$可以由树上的两个节点$(v_i,v_j)$来表示，$v_i$是$v_j$的祖先。我们把这样的集合称之为$S_{i,j}$，一个叶子节点$u$属于$S_{i,j}$当且仅当它以$v_i$为根结点，不以$v_j$为根结点。

密钥生成：

设$G$是一个伪随机序列生成器，$Seed$为种子输入序列，输出序列长度为$Seed$的三倍。任取密钥树中的一个节点$v_i$，$v_{2i},v_{2i+1}$是其左右孩子。为$v_i$分发一个随机序列$See{d}_i$。将$See{d}_i$送入伪随机序列生成器生成$G_L(See{d}_i),G_M(See{d}_i),G_R(see{d}_i)$向下传递。其中$G_L(See{d}_i)$传递给左孩子，$LABE{L}_{i,2i}=G_L(See{d}_i)$，再将$LABE{L}_{i,2i}$送入$G$，子集$S_{i,2i}$的密钥$L_{i,2i}=G_M(LABE{L}_{i,2i}$。继续向下传递，直到完全覆盖以$v_i$为根的完全二叉树。寄诶单$v_i$和任意一个子孙节点$v_j$，对于集合$S_{i,j}$都可以得到对应的子集密钥$L_{i,j}=G_M(LABE{L}_{i,j})$。

$$\begin{gathered} LABE{L}_{i,j}=G_L(G_R(G_R(L))) \\ {L}_{i,j}=G_M(LABE{L}_{i,j}) \end{gathered}$$

由于使用了伪随机序列生成器$G$，每个用户无需存储其所属的所有子集的子集密钥以构成初始密钥，仅需存储一部分$LABEL$便可通过G生成其所需的所有的子集密钥。不妨将用户$u$所属的子集表示为$S_{i,j}$，节点$v_i$必然在用户节点到加密树的根节点的路径上，节点$v_j$必然是节点$v_i$的子孙节点且不在这条路径上，节点$v_j$中有部分节点与这条路径相邻（又称为“悬挂”在这条路径上）。用户的初始密钥$I_u$仅仅由$v_i$在这些节点上生成的$LABEL$组成。

设$v_i$为根的完全二叉树的高为$k$，对应$v_i$用户需要保存$k$个$LABEL$，$v_i$取遍所有的可能的点$k$从$1$取道$\log N$，再加上无撤销用户特殊情况，$I_u$中包含的$LABEL$的总数为：
$$\sum _{k=1}^{\log N}k+1=\frac{1}{2}{\log }^{2}N+\frac{1}{2}\log N+1$$
伪随机序列生成器$G$的引入使得用户的初始密钥长度由$O(N)$缩减为$O({\log }^{2}N)$。

子集差分的方法：

子集差分方法是将$N/R$分成不同的子集$S_{i_1,j_1},S_{i_2,j_2},...,S_{i_m,j_m}$的过程。设$ST(R)$表示由集合$R$和根结点所产生的（直接）斯坦纳树。初始使树$T$等于$ST(R)$，然后反复从$T$中移除节点直到$T$只剩下一个节点：

1. 在$T$中寻找两个叶子节点$v_i,v_j$，满足$v_i,v_j$的最近的相同的根结点$v$不包含$T$中此子树的其他叶子节点。设$v_l,v_k$是$v$的两个孩子节点，且满足$v_i$是$v_l$的子孙，$v_j$是$v_k$的子孙。如果只剩下一个叶子节点，那么$v_i=v_j$，$v$就是$T$的根结点，$v_l=v_k=v$。
2. 当$v_l\ne v_i$，就把子集$S_l,i$加入；同样的，当$v_k\ne v_j$，就把子集$S_k,j$加入。
3. 把$T$中所有的子孙节点删除掉，并使$v$为一个叶子节点。

子集差分方法的评价：

对于完备子树方法CS来说，其最大的缺点是分割的集合可能很大，而对于子集差分方法没有这个缺点。子集差分方法要求接收用户的存储容量分别是$\log N$和$\frac{1}{2}{\log }^{2}N$，其中$N$是总的用户数。要想撤销$r$个用户，需要存储的消息是$r\log N$，需要的密钥是$2r$个。

分层子集差分 LSD

SD方案在用户总数很大并且只有少数撤销用户的情况下十分有效，但是SD方案用户存储的密钥量不但与N有关并且比CS更大。而LSD方案在保持SD方案密钥管理块长度和解密操作时间复杂度数量级不变的情况下，将用户的初始密钥量减少到$O(lo{g}^{1+ϵ}(N))(ϵ>0)$。

在SD方案中，设用户u属于集合$S_{i,j}$，用户的初始密钥$I_u$的长度与节点$v_i,v_j$间的距离有关。LSD方案的基本思想是对密钥树分层，从而将划分子集$S_{i,j}$的节点$v_i,v_j$的距离控制在任意两层之内，达到缩短$I_u$的目的。

LSD方案有Basic LSD和General LSD两个版本，General LSD是Basic LSD的扩展，Basic是General的一个特例。

Basic LSD方案：

Basic所做的工作就是，按照SD方案得到划分子集$S_{i,j}$，如果划分子集是用差分子集则保留不变，否则就根据上述引理将其拆分$S_{i,j}=S_{i,k}\cup S_{k,j}$，$v_i,v_k$在同一层，$v_k$是特殊节点。显然，通过这种方法可以将两个节点之间的距离控制在$\sqrt{\log N}$以内。

可以将用户u所属的子集表示为$S_{i,j}$，在LSD方案中$S_{i,j}$是有用差分子集。根据定义存在两种情况：

1. 节点$v_i,v_j$在同一层内

   每一层的高度都是$\sqrt{\log N}$，从上文SD方案中可以知道每一层中用户需要保存的LABEL数量为$O((\sqrt{\log N}{)}^2)=O(\log N)$。整个加密树一共有$\sqrt{\log N}$个层，因此在节点$v_i,v_j$在同一层内的时候，用户保存的LABEL的数量为$O({\log }^{\frac{3}{2}}N)$。

2. $v_i$是特殊节点

   作为特殊节点，与$v_i$对应的节点$v_j$，可以是$v_i$的任意一个子孙节点，数量为$O(\log N)$。对于用户节点而言，其先祖节点中特殊节点的个数为$\sqrt{\log N}$。因此当$v_i$是特殊节点时，用户保存的LABEL的数量为$O({\log }^{\frac{3}{2}}N)$。

Basic对SD方案进行了改进，使用户的初始密钥量由$O({\log }^{2}N)$减少为$O({\log }^{\frac{3}{2}}N)$。而$\sqrt{\log N}$的取值也很容易可以证明是最佳取值。

General LSD方案：

为了更好的理解，可以从理论上抽象为一个凸轮问题，同时提出一个简单有效的基于编码的序列转化的解决方案。取任意一个叶子节点到根结点的路径来分析：

设$D$是一个差分子集可拆分的最大个数（Basic中$D=2$）：
$$b=O({\log }^{1/D}N)$$
路径上的每一个节点都可以用一个$D$位的以$b$为基的数来表示，根结点到叶子节点从上往下从可以表示的最小的数开始依次递增。当存在一个子集需要被拆分，实际上就是设计一个编码序列转化方法把从表示节点的$v_i$的数字一步步转化成表示$v_j$的数。比如，考虑将十进制表示法中的$i=825917$更改为$j=864563$的问题，最简单的解决方案是允许任意单位的位数转换，比如：
$$825917\to 865917\to 864917\to 864517\to 864567\to 864563$$

根据上述的定义，编码序列转化进行差分子集划分的方法同样适用于Basic，在Basic中$D=2$，任何编号以0结尾的节点都是特殊节点。在General中，不但存在普通节点和特殊节点，特殊节点中也有等级的划分：编号以0结尾的节点是特殊节点，出现连续0个数越多，说明其特殊的等级越高。在我门前面的例子里，这些有用的转换允许广播公司将$S_i,j$拆分成以下部分：
$$825917\to 825920\to 826000\to 830000\to 864563$$
从广播者的角度来看，前三个转化属于第一类型（跳转到层的末尾并且增加节点的特殊等级），最后一个转换属于第二类型（跳转到层的中间）。

在General中，用户的初始密钥中包含的LABEL数量级为$O({\log }^{1+1/D}N)$，理论上来说，只要$D$的取值足够大，就可以使得用户的初始密钥量缩减为$O({\log }^{1+ϵ}N)(ϵ>0)$。

基于公钥的广播加密

基于公钥的广播加密方案的安全性基本上都是**基于BDH假设（bilinear diffie-hellman assumption）**及其广义变形，比如BDHE假设、第一个实用的基于身份加密（Identity Based Encryption, IBE）。

• 多公钥广播加密

  将“子集覆盖”对称广播加密转换为公钥广播加密，即将原方案中划分成的每个子集所对应的密钥转化为一对公钥／私钥，广播方会在广播时会选择一会话密钥，分别使用公钥非对称加密，然后使用会话密钥对称加密密文。

  为了减少大量公钥带来的存储开销，在CS方法中使用了基于身份的公钥加密，在更高效的SD和LSD方法中，使用了分层结构的基于身份的公钥加密算法。

  基于身份加密的基本思想是公钥可以是任何唯一的字符串，发布房不再需要发布大量的用户公钥，用户也不需要存储大量公钥，私钥存储量、通信开销和对称密钥相同。

• 固定公钥广播加密

  比如BGW方案。

• 动态公钥广播加密

  在系统出事建立时，广播用户的总数是不定的，可以动态的发生变化。

公开密钥广播加密方案 BGW

BGW1方案：该方案由系统建立、加密、解密三个算法构成，具体实现如下：

1. 系统建立 Setup$(\lambda ,n)$

   给定一个安全参数$\lambda$，接收者集合大小为$n$。输出$(PK,DK,MK,F)$。$F=(p,g,G,G_T,e(.,.))$是一个双线性构造，其中$|p|=\lambda$，$e:G\times G\to G_T$是一个双线性映射，$g$是$G$的生成元，阶是$p$。

   $PK=(g,g_1,...,g_n,g_{n+2},...,g_{2}n,v\in G^{2n+2})$是系统公钥。其中$g_i=g^{{\alpha }^i}\in G$。$v=g^{\gamma }$，$\gamma$随机选取$\gamma \in Z_p$。

   $DK=(d_1,d_2,...,d_n)$。$d_i=g_i^{\gamma }\in G,(i=1,2,...,n)$。其中$d_i$是接收者$i$的解密私钥，由秘密中心分发给接收者$i$。

   $MK=(\gamma ,\alpha )$是由密钥分发中心随机生成的主密钥，对接收者和广播中心保密。

2. 加密 Encrypt(PK,S)

   给定加密公钥$PK$和接收者用户合集$S$。输出$(Her,SK)$，其中$Hdr=(C_0,C_1),C_0=g^t,c_1=(v{\prod }_{j\in S}{g}_{n-1-j}{)}^t$。$t$随机选取$t\in Z_p$。

   协商的会话密钥为$SK=e(g_{n+1},g{)}^t$。

3. 解密 Decrypt$(S,i,d_i,Hdr,PK)$

   输入密文头$Hdr$、公钥$PK$、授权用户集合和用户子集的私人密钥$d_i$，如果该用户是授权用户，则可以计算出$K=e(g_i,C_i)/e(d_i{\prod }_{j\in S,j\ne i}{g}_{n-1-j-i},C_0)$。可以验证解密计算中得到的$K$就是加密过程中所产生的共同密钥。

   

该方案的用户私钥是群$G$中的一个元素，长度仅为1，$Hdr$长度仅为2。同时，广播中心在计算会话密钥时，因为$e(g_{n-1},g)$可以被预计算，加密过程不需要进行对计算。因此该方案有良好的计算效率。

对于大量的接收者，解密时间由$|S|-2$组运算（计算${\prod }_{j\in S,j\ne i}{g}_{n-1-j-i}$）来主导。然而，我们同时可以观察到，如果接收者之前已经计算了数值$w={\prod }_{j\in S^{\prime },j\ne i}{g}_{n-1-j-i}$，其中$S^{\prime }$是和$S$相似的，那么接收者就可以只通过$\delta$组运算来计算${\prod }_{j\in S,j\ne i}{g}_{n-1-j-i}$，其中$\delta$是$S^{\prime }$和$S$的差的大小。在面临大量的接收者时，这个方法是十分有效的。

BGW2方案：在BGW1方案中，当广播用户数为$n$的时候，公钥长度$2n+1$，在需要公钥长度仅可能短的应用背景下，方案就会显得不太实用。所以提出了一个更一般的BGW方案。

假设广播用户数量为$n$，系统用户集合为 { u 1 , u 2 , . . . , u n } \{u_1,u_2,...,u_n\} {u1​,u2​,...,un​}。可以把用户按照每组为$B$个用户分组。令$n=AB$，则我们就可以把所有的用户数分成$A$组，每组 { u i 1 , . . . , u i B } \{u_{i1},...,u_{iB}\} {ui1​,...,uiB​}看作是一个独立的广播组，并且让不同的分组公用一套相同的 { g , g 1 , . . . , g B , g B + 2 , . . . , g 2 B } \{g,g_1,...,g_B,g_{B+2}, ..., g_{2B}\} {g,g1​,...,gB​,gB+2​,...,g2B​}，这样就能大大减少系统的公钥数。具体实现如下：

1. 系统建立Setup$(\lambda ,n)$

   给定一个安全参数$\lambda$，接收者集合大小为$n$。令$\lceil n/B\rceil$。$G$是一个双线性映射群，阶为$p$。该算法随机选取一个生成元$g\in G$和$\alpha \in Z_p$，计算$g_i=g^{{\alpha }^i}$，其中$i=1,2,...,B,2B,...,2B$。然后随机选取${\gamma }_1,...,{\gamma }_A\in Z_p$，并且令$v_1=g^{{\gamma }_1},...,v_A=g^{{\gamma }_A}\in G$。现在，这该系统的公钥设置为$PK=(g,g_1,...,g_B,g_{b+2},...,g_{2B},v_1,...,v_A)\in G^{2B+A}$，将其公开。

   用户 i ∈ { 1 , . . . , n } i\in \{1,...,n\} i∈{1,...,n}的私人密钥的设定过程为：把$i$记为$i=(a-1)B+b$，其中$1<=a<=A,1<=b<=B$（可以令$a=\lceil i/B\rceil ,b=i\mathrm{mod}B$）；用户$i$的私人密钥设置为$d_i=g_b^{{\gamma }_a}\in G$，注意$d_i=v_a^{({\alpha }^b)}$。系统将密钥$d_1,d_2,...,d_n$秘密分发给对应的用户。

2. 加密 Encrypt$(PK,S)$

   对于$l=1,...,A$，定义子集${\hat{S}}_l,S_l$为
   S ^ l = S ∩ { ( l − 1 ) B + 1 , . . . , l B } , S l = { x − l B + B ∣ x ∈ S ^ l } ⊆ { 1 , . . . , B } \hat S_l=S\cap\{(l-1)B+1,...,lB \}, S_l=\{ x-lB+B|x\in \hat S_l \} \subseteq \{1,...,B\} S^l​=S∩{(l−1)B+1,...,lB},Sl​={x−lB+B∣x∈S^l​}⊆{1,...,B}
   也就是说，${\hat{S}}_l$包含$S$落在长度为$B$的第$l$个区间内的所有用户。而$S_l$包含这些用户相对于区间开始的索引。

   然后，随机选取$t\in Z_p$，令会话密钥为$K=e(g_{B+1},g{)}^t\in G$，其中$e(g_{n+1},g)$可以通过$e(g_n,g_1)$来得到。最后，系统输出$(Hdr,K)$，其中$Hdr=(C_0,C_1,...,C_A)\in G^{A-1},C_0=g^t,C_1=(v{\prod }_{j\in S_1}{g}_{g_{B+1-j}}{)}^t,...,C_A=(v{\prod }_{j\in S_A}{g}_{g_{B+1-j}}{)}^t$。

3. 解密Decrypt$(S,i,d,Hdr,PK)$

   输入密文头$Hdr$、公钥$PK$、授权用户集合和用户子集的私人密钥$d_i$，其中$i=(a-1)B+b,1<=a<=A,1<=b<=B$，如果该用户是授权用户，则可以计算出$K=e(g_b,C_a)/e(d_i{\prod }_{j\in S_i,j\ne b}{g}_{B-1+b},C_0)$。可以验证在解密计算中得到的$K$就是加密过程中所产生的共同密钥。

在该方案中，如果我们令$B=n$，那么这个方案就变成了$BGW1$方案。在该方案中，用户私钥长度仍然为1，由于把用户分为$A$组从而使广播消息密文头长度变成了$A+1$。但是系统公钥长度缩短为$2B+A$次。

我们对于$B$的选择取决于应用。在某些情况下，我们希望$B=n$用来获得尽可能小的密文；在其他情况下，我们选择$B=\sqrt{n}$来最小化密文和公钥的串联。