分布式密钥管理的实现及优化方法

分布式密钥管理（Distributed key management，DKM）方案为解决分布式网络共享密钥协商而提出，该类方案最大的特点是所有成员在密钥管理中的作用等价。密钥管理无需KMC的支持，也不具有簇头或域内领导者等特殊节点，每个成员通过贡献部分秘密密钥资料在公开信道上合作协商得到共享密钥。该类方案支持非诚实环境中无预先配置安全信道的密钥管理，密钥协商方式灵活，节点分担密钥管理任务解决了单点失效问题，能够容忍部分节点的损毁，适合分布式网络，尤其满足自组织网络的动态管理需求。但是该类方案大多使用公钥密钥机制，且需全体成员参与的多次交互过程，消耗较多的网络资源。长延时和较高计算开销成为限制该协议应用的主要瓶颈，现有方案不适合大规模多跳网络的应用。

文献［39］首先提出将DH协议应用于群组的密钥协商协议Ingermarson，成员具有执行DH协议的能力，每个成员通过DH协议在公开信道交互共享密钥资料以计算共享密钥，协议轮数开销为n轮，每个成员都需要发送消息n-1次，计算开销为n次模指数运算。由于该方案无需预先建立安全信道，因此一经提出，就得到了广泛的关注。该协议为两方DH协议扩展到多方的群组密钥协议奠定了理论研究基础。

图2.10 GDH协议

文献［58］中提出了将两方DH密钥交换协议扩展到多方的群组密钥管理协议（Group Key Management based on Diffie Hellman，GDH）的思路，文献［103］进一步地优化多方DH协议，提出GDH.1、GDH.2和GDH.3协议簇，将多方DH协议扩展为支持动态网络的群组密钥管理方案。并通过组织优化和组播通信方式降低通信开销和计算开销。随后出现了改进的多方的GDH协议，如Hypercube、2d-cube和Octopus等，这些协议将网络节点安排在一个特殊的逻辑结构或拓扑结构上［104］，减少了群组密钥协商时的通信交互次数，但协议缺乏有效的密钥更新机制，可扩展性不强。

文献［105，106］提出一种基于平面树（Skinny Tree，STR）的组播密钥管理方案，网络成员如图2.11所示组成一个平面树结构，每个成员对应树上的一个叶子节点，非叶子节点为协商的组密钥ki，每个叶子节点具有一个秘密值xi和一个盲密钥则层i-1的组密钥为ki和bki的计算modp，每层逐次计算，最高层的密钥为由于该结构为线性结构，因此具有较高的计算和消息开销，位于最底层的成员需要执行n-1次模指数运算，发送n-1次消息。该协议支持动态成员的密钥更新，当有成员加入时，将其加入到最高层次，只需要使用旧有的根节点密钥重新计算新的根节点的密钥，逻辑密钥树的高度增加1；当有成员离开时，其更新效率与离开成员的高度相关，高度越高，更新效率越高，最差情况为最底层的叶子节点。因此该协议对节点加入的性能表现较好。

图2.11 Skinny Tree

文献［107，108］针对STR的缺陷，在LKH方案的基础上，通过DH协议将其修改为支持分布式环境的（Diffie-Hellman Logical Key Hierarchy，DH-LKH）密钥管理方案。网络成员通过DH协议协商共享组密钥，与LKH方案类似，具有逻辑密钥树，组密钥结构是一颗二叉树，树中的叶子节点对应网络成员，非叶子节点为密钥加密密钥，树根节点对应会话密钥，密钥的建立过程从下到上，第i层的节点密钥由第i+1层对应的孩子节点的密钥产生，相对STR方案，该方案计算开销为log2n次模指数运算，每个节点发送消息量为log2n。成员加入或退出时，计算开销为log2n，消息开销为log2n。

图2.12 DH-LKH

文献［109］提出一种结合STR和TGDH的方案uTGDH，如图2.13所示，uTGDH在椭圆密码曲线公钥的基础上，借鉴STR方案较少的通信负载和TGDH较少的计算与存储开销，密钥树整体构建为Skinny Tree，子树构造为二叉树，在网络时延和通信负载之间取得平衡，效率依赖TGDH子树和STR子树的规模，由于uTGDH在整体拓扑结构设计上仍是Skinny Tree，所以子树规模不同，更新效率非均衡，层数越低的节点承担的计算和存储开销较大。

图2.13 uTGDH的树结构

文献［57］中提出一种常数轮的密钥协商协议BD，如图2.14所示，BD协议基于DH协议实现了密钥交互协议交互轮数与网络规模的无关性，轮数为常数级别，该协议只需要成员发送两次消息交互公开密钥材料，执行n+1次模指数运算，就能计算秘密共享密钥。但是BD协议需要同步机制支持。

(www.xing528.com)

图2.14 BD方案

文献［110］利用双线性对构造了一轮三方共享密钥协议Jour，三个成员A、B和C分别选择三个随机数a、b和c，它们通过公开信道发送消息aP、bP和cP，A、B和C计算如下的公式e（bP，cP）a、e（bP，cP）a和e（bP，cP）a，则最终得到共享密钥key=e（P，P）abc。由于双线性对能够使用更少的消息和轮数协商共享密钥，因此比基于DH协议的密钥管理方案具有更好的效率，文献［111］基于双线性对构造规模为3的分层分簇结构，将更新消息和计算量降低为log3n。

文献［112，113］提出一种非对称群密钥管理（Asymmetric Group Key Agreement，AGKA）方案，使用基于双线性对和同态密钥学提出一种非对称密钥协商协议，协议执行完毕后，所有群成员得到一个公开加密密钥，每个群成员具有该公开加密密钥对应的解密密钥，每个群成员的解密密钥不同。公钥通过私钥资料组成，每个成员的私钥也由各个成员的密钥资料组成，因此当成员加入或退出时，需要所有成员共同重新执行密钥协议。由于每个成员具有对自己提供密钥资料的秘密签名一旦有成员加入，密钥协议需要重新执行，如图2.15所示。

图2.15 AGKA协议

由于分布式网络中缺少身份认证中心，因此结合身份认证的密钥管理方案被提出，主要包括如下几种：

文献［114］提出复活鸭子方案，网络初始化时，节点将第一个为其分发密钥的节点作为它的拥有者，并只接受拥有者的控制，这种控制一直保持到节点死亡，等下一个拥有者出现时节点复活，这样就形成了一种树状的密钥管理模式，此方案计算开销小，但通过物理上的接触来解决初始密钥的分发，限制了复活鸭子方案的应用，另外该方案缺乏灵活性，如果一个节点失灵，其所有的子孙节点都将无法进行安全通信。

文献［115］提出了完全自组织的密钥管理方案，在该方案中，允许用户产生自己的公私钥对，并签发证书来完成认证。当两个节点需要建立信任关系时，就合并他们的本地证书库从而形成一张证书图，并试图从该图中发现一条认证链路，如果发现一条认证链路，则认证成功，否则认证失败。自组织密钥管理方案不需要任何可信第三方，节点自己完成证书的颁发、更新等操作，但是密钥管理中节点的存储量和计算量较大，且只能从概率上保证节点间存在证书链。

文献［116］提出了部分分布式管理方案，将CA的私钥分为n份，分给网络中的n个服务节点，每个服务节点可以使用获得的私钥份额来签发一个证书碎片，搜集超过门限值数量证书碎片才能得到一个有效证书。经过足够长的时间后，移动敌手可以俘获不少于门限个服务节点来重构CA的私钥，从而造成系统崩溃。为有效防止这种情况的发生，服务节点可用先应式秘密分享更新机制来更新私钥份额而不更改CA的私钥，从而增强系统的安全性。此方案安全性较高，但服务节点的数量有限，因而其可用性不强。

文献［117］提出了完全分布式的方案，将CA的私钥份额分发给网络中的所有节点，增强了分布式服务的可用性，但是，所有节点都拥有CA私钥份额，这增加了CA私钥暴露的风险，降低了系统的安全性。

文献［118］提出了复合式密钥管理方案，考虑到分布式的管理方案安全性较高，但计算和通信开销大，而自组织的管理方案灵活，但无法保证认证成功率且缺少信任基点，不适合安全需求较高的网络。因此在网络中同时使用分布式CA和证书链，利用一种技术来弥补另一种技术的不足。网络中存在三种类型的节点：分布式CA服务节点、证书链参与节点、普通用户节点。利用分布式CA来满足安全性要求，利用证书链来满足可用性要求。比起单独使用分布式CA或证书链的方案，性能得到较大提高。但缺乏有效的证书撤销机制，且恶意用户可能伪造大量的虚假证书破坏网络的安全。

文献［119］中提出了一个分布式的组密钥管理框架，该框架以RSA非对称密码体制和门限秘密共享体制为基础，由离线的控制节点初始化节点的密钥信息。在网络部署后，多于门限个的节点可以在不暴露私有秘密碎片的情况下生成组密钥，节点的公私钥对用于组密钥生成与分发过程的安全通信，采用门限秘密共享机制提高了组密钥管理方案的可用性和扩展性，增强了系统的容侵性。但该方案在初始化阶段需要一个可信控制节点的参与且难以抵制拒绝服务攻击。

文献［120，121］给出几种融合门限密钥和身份密钥的分布式群组密钥管理方案，群中成员使用门限密钥方案得到主密钥的密钥碎片，共享解密密钥的恢复无需成员交互。

如表2.6所示，分布式密钥管理方案是目前群组密钥管理的主要研究内容。分布式密钥管理方案无特殊外部设备需要，无需密钥管理服务器支持和预制安全信道，密钥协商方式契合分布式网络自组织组网方式，支持网络成员的自由加入或退出，满足动态群组密钥管理的前向后向安全性和密钥独立性需要，适合快速部署具有抗损毁的网络场景需求。由于共享密钥建立在公开信道基础上，目前大部分分布式密钥管理方案采用公钥密码基础，因此此类协议需要节点具有能够执行公钥的能力，增加了计算开销和消息开销，对网络资源提出了挑战，适合规模较小的分布式网络。目前，减少计算开销和消息开销是分布式密钥管理的主要研究内容，在安全性上，身份认证安全机制的建立和密钥独立性是其基础研究内容。

表2.6 分布式密钥管理方案比较