Ad hoc网络中基于双线性配对的STR组密钥管理协议研究.doc

第10期周福才等：Ad hoc网络中基于双线性配对的STR组密钥管理协议研究125Ad hoc网络中基于双线性配对的STR组密钥管理协议研究周福才1，徐剑2，徐海芳1，刘泽超1（1. 东北大学 信息科学与工程学院，辽宁 沈阳 110004；2. 东北大学 软件学院，辽宁 沈阳 110004）摘 要：STR组密钥管理协议具有较好的计算、通信和存储代价，但在安全性方面，由于没有提供密钥认证，不能抵御主动攻击。在分析STR协议基础上，引入双线性配对密码体制和三叉密钥树来实现组密钥管理，提出PSTR(bilinear pairing- based STR)协议，其中包括密钥产生过程及其6个子协议，对PSTR协议安全性进行分析，证明了PSTR协议在计算上是安全的。分析与比较了PSTR协议和STR协议的性能，结果表明PSTR协议在通信代价、计算代价和存储代价均优于STR协议，因此PSTR协议是ad hoc环境下一种新型、可靠的组密钥管理协议。关键词：ad hoc网络；多播密钥管理；双线性配对；PSTR中图分类号：TP309.2 文献标识码：A 文章编号：1000-436X(2008)10-0117-09Research of STR multicast key management protocol based on bilinear pairing in ad hoc networkZHOU Fu-cai1, XU Jian2, XU Hai-fang1, LIU Ze-chao1(1. School of Information Science & Engineering, Northeastern University, Shenyang 110004, China;2. College of Software, Northeastern University, Shenyang 110004, China)Abstract: STR multicast key management protocol has an optimal cost in computation, communication and storage. But on security property, STR cannot resist active attacks without providing key authentication. By introducing the bilinear pairing cryptosystem and the 3-ary key tree, the improved STR protocol which is called PSTR (bilinear pairing-based STR) was proposed. The key generation process and six basic sub-protocols were included in the protocol. Through proving the bilinear form of PSTR key tree, the security of the PSTR in computation was proved. Finally PSTR were compared with STR through performance analysis, the results of which show that: PSTR is more efficient than STR in the communication cost and the computation cost as well as the storage requirement. Therefore, PSTR is a novel, reliable group key management protocol, and is well-suited for Ad hoc networks.Key words: ad hoc networks; multicast key management; bilinear pairing; bilinear pairing-based STR1 引言收稿日期：2008-06-21；修回日期：2008-09-22基金项目：国家高技术研究发展计划（“863”计划）基金资助项目（2001AA115300）; 辽宁省自然科学基金资助项目(20031018，20062023)Foundation Items: The National High Technology Research and Development Program of China (863 Program) (2001AA115300); The Natural Science Foundation of Liaoning Province(20031018，20062023)Ad hoc网络是一种无固定通信设施支持的自组织无线移动网络。要保护ad hoc网络的安全，防止窃听和篡改等攻击，就必须在节点间交换或者协商共享密钥1。而多播密钥管理协议可以解决成员之间的共享密钥问题，从而保证合法组成员之间得到一个共享的组密钥。因此ad hoc网络中的多播密钥管理协议成为当前研究的热点2。多播密钥管理协议主要有集中式和分布式2种基本类型3,4。由于ad hoc网络的自身特点，分布式多播密钥管理协议更适用于ad hoc网络。目前很多学者已提出ad hoc网络中的多种分布式组密钥管理协议，其中包括著名的BD (burmester-desmedt)协议5，适合于对等群的Cliques 协议6(包括 GDH 1、GDH.2和 GDH.3 3个协议)，以及Kim提出的基于完全二叉树的TGDH (tree-based group diffie-hellman) 协议7，该协议在计算和通信代价方面都优于GDH协议，并有效支持节点的动态变化。文献8引入双线型配对密码体制对TGDH协议进行了改进，提出基于三叉密钥树的组密钥协商协议，该协议的计算代价小于TGDH协议。Kim在文献 9中提出STR（steer etc）协议10的改进协议，其核心思想也是通过密钥树来实现组密钥协商管理，它与TGDH惟一的区别是，TGDH采用平衡二叉树，而STR采用非平衡树。2002年，Kim等再次提出了STR的改进协议11，该协议具有比TGDH更小的通信量。在已有的组密钥管理协议中，STR的通信开销最小，主要原因是采用非平衡二叉树使得密钥的更新过程更简单。但STR协议在安全性方面，没有提供密钥认证，不能抵抗中间人攻击和己知密钥攻击等主动攻击。针对STR协议所存在的安全性问题，引入基于双线性配对密码理论的三方密钥交换协议，在STR协议基础上，提出基于双线性配对的STR组密钥管理协议(PSTR, bilinear pairing-based STR)。文中给出了PSTR协议的设计思想、密钥产生过程、以及PSTR协议的6个子协议。并对PSTR和STR的性能做以分析比较，结果表明在存储、通信和计算代价方面，PSTR均优于STR。对PSTR密钥树的双线性作了证明，同时分析了PSTR中密钥的秘密性和独立性，指出PSTR协议满足组密钥的秘密性、独立性、以及前/后向安全性。2 PSTR协议2.1 协议设计思想根据双线性配对密码体制的双线性，通信三方在交换各自的公钥后可以使用双线性配对函数协商得到一个共享密钥。组成员有一对私钥和公钥，把公钥发送给其他组成员，在已知自己的私钥和其他成员公钥的情况下，使用Diffie-Hellman密钥交换协议和Joux密钥交换协议来计算组密钥，使得成员之间共享同一组密钥。在PSTR协议中，引入双线性密码理论并结合单向函数来实现密钥管理。用双线性配对函数替代单向函数树的混合函数来计算上层节点的密钥；用点乘函数作为单向函数来计算节点的盲密钥；以树结构进行多播密钥管理。组成员通过共享各自的公钥协商得到组密钥，组密钥包括每个成员的私钥信息。PSTR协议中，成员之间关系平等，不存在特殊的组成员。组成员发送数据时，用组密钥加密数据，然后再进行多播发送；同样，组成员接收数据后，用组密钥解密数据。PSTR协议中，采用三叉密钥树来组织组成员。图1为PSTR协议的密钥图和盲密钥图。图中方形节点代表用户节点，圆形节点代表密钥节点。图1 密钥图和盲密钥图定义1 密钥图是一种连通的非循环有向图G。密钥图中有2类节点，成员节点和密钥节点。如图1所示， k代表第i层第j个节点的密钥。成员节点Mi代表组中的成员，每个成员节点Mi具有一条或多条输出边，而没有输入边；密钥节点k代表密钥。每个密钥节点k有一条或多条输入边，如果一个密钥节点只有输入边而没有输出边，则该密钥节点为根节点。定义2 盲密钥图12是一种连通的非循环有向图G，盲密钥图中有2类节点，组成员节点和盲密钥节点。盲密钥图的层次结构与密钥图相似，如图1所示，惟一不同之处在于盲密钥图中节点存储的是盲密钥。下面给出PSTR密钥树中的一些符号描述。假设PSTR密钥树的深度是h，表示密钥树中第l层的第v个节点，其中0hl、0v2，第0层只有一个根节点。密钥树中共有2类节点：叶子节点和中间节点CNj(或者)，其中0jh1。每个叶子节点上有一个组成员。CN0表示根节点，CNh-1表示最下面的中间节点，中间节点CNj有3个子节点：1个中间节点CNj+1和2个叶子节点和。2.2 密钥生成组成员Mi选择私钥，计算公钥riP。叶节点的密钥和盲密钥分别是在此叶子节点上的Mi的私钥ri和公钥riP。中间节点CNj有一对密钥k和盲密钥bk=kP。CNj的密钥k只能被以CNj为根节点的子树的叶子节点上的组成员所共享，盲密钥bk被所有组成员所共享。每个中间节点CNj有2个或者3个子节点，使用子节点的密钥和盲密钥可以计算中间节点CNj的密钥k。如果CNj有2个子节点，则只需知道其中一个子节点的密钥和另一个子节点的盲密钥，使用Diffie-Hellman密钥交换协议可以计算CNj的密钥k。假设CNj有2个子节点和，的密钥和盲密钥分别是k和bk，的密钥和盲密钥分别是k和bk。Hash函数，则CNj的密钥k可以通过下面计算式得到 如果CNj有3个子节点，则只需知道其中一个子节点的密钥和另外2个子节点的盲密钥，使用Joux密钥交换协议可以计算CNj的密钥k。假设CNj有3个子节点、和，的密钥和盲密钥分别是k和bk；的密钥和盲密钥分别是k和bk；的密钥和盲密钥分别是k和bk。hash函数，则CNj的密钥k可以通过下面的计算式得到每个组成员需要存储密钥树结构，包括组成员在密钥树中的位置、从组成员所在的叶节点到根节点的密钥路径上所有节点密钥和这些节点的兄弟节点的盲密钥。如果成员关系发生变动，包括加入、离开、合并多播组和拆分多播组，组中都有一个成员能独立更新密钥树和组密钥。下面2个定理描述了成员计算组密钥所需要的最少信息。定理1 如果每个组成员都掌握其他所有组成员的盲密钥，则最少存在3个组成员能计算出组密钥。证明 密钥树中最底层的3个组成员M1、M2和M3掌握各自的私钥和其他2个组成员的公钥，可以计算得到上一层中间节点的密钥，而且这3个组成员知道上一层中间节点的2个兄弟节点的盲密钥，使用相同的方法可以得到更高一层中间节点的密钥。依次类推，直到计算出根节点处的组密钥。定理2 如果组成员Mi掌握：1)自己的私钥，2) 2个兄弟节点的盲密钥，3) 在密钥树中，位置在Mi之上的组成员的盲密钥，则组成员Mi能计算出组密钥。证明 Mi掌握自己的私钥和2个兄弟节点的盲密钥，使用Joux密钥交换协议可以计算得到上一层中间节点的密钥。上一层节点的兄弟节点是2个叶节点，这2个叶节点的盲密钥是2个组成员的盲密钥，在已知上一层节点的密钥和其兄弟节点的盲密钥， Mi可计算得到更高一层中间节点的密钥。依次类推，最后Mi能计算出根节点处的组密钥。2.3 PSTR的6个子协议PSTR协议包括6个子协议，建立多播组、组成员加入、组成员离开、合并多播组、拆分多播组和更新组密钥。在这里假设多播组中有n个成员M1,M2,Mn，下面将分别讨论这6个子协议。以下是要用到的符号：n：组成员数量C：当前组成员集合L：离开组成员集合 Mi：第i个组成员(1in)h：密钥树的高度CN0：根节点CNj：第j个中间节点 ：密钥树中l层的第v个组成员BTi：组成员Mi眼中的盲密钥树 ：组成员Mi眼中的更新后的盲密钥树ri：组成员Mi的私钥 riP：组成员Mi的公钥k：节点的密钥 bk：节点的盲密钥：k更新后的密钥2.3.1 建立多播组协议（setup protocol）初始化阶段，在没有组管理者的参与下，组成员使用Diffie-Hellman密钥交换协议和Joux密钥交换协议协商组密钥，组密钥中包含每个组成员的私钥信息。下面是Setup协议：Step1 组成员Mi(1in)选择私钥和公钥riP，广播它的公钥riP。Step2 选择密钥树中最底最右的组成员为sponsor Ms。Ms计算其密钥路径上所有中间节点CNj的密钥k和盲密钥kP，组密钥k除外。并广播盲密钥树BTs。Step3 Mi收到盲密钥树BTs后，计算其密钥路径上所有中间节点CNj的密钥k，包括组密钥k。2.3.2 组成员加入协议（join protocol）新成员Mn+1申请加入多播组。Mn+1广播Join Request。C中成员收到广播消息后，更新密钥树。选择成员Ms为sponsor。下面是Join协议：Step1 Mn+1选择私钥和公钥rn+1P，广播Join Request。Step2 Mi把Mn+1插入到密钥树中，删除Ms密钥路径上所有中间节点CNj的密钥k和盲密钥 bk，包括组密钥k。Ms更新私钥和公钥，计算其密钥路径上所有中间节点CNj的密钥和盲密钥，新组密钥除外。并广播更新后的盲密钥树。Step3 Mi计算其密钥路径上需要更新的中间节点CNj的密钥和盲密钥，包括新组密钥。2.3.3 组成员离开协议（leave protocol）组成员Ml(1ln)离开多播组。其余成员需要更新密钥树，选择成员Ms为sponsor。下面是Leave协议：Step1 MiCMl更新密钥树，删除Ms密钥路径上所有中间节点CNj的密钥k和盲密钥bk，包括组密钥k。Ms更新私钥和公钥，计算其密钥路径上所有中间节点CNj的密钥和盲密钥，新组密钥除外。并广播更新后的盲密钥树。Step2 MiCMl计算其密钥路径上需要更新的中间节点CNj的密，包括新组密钥。2.3.4 合并多播组协议（merge protocol）当网络恢复正常时，需要将多个小组合并成一个大组，并为大组生成新的组密钥。假设有m棵密钥树(T1,T2, ,Tn，树的高度从低往高排列，h1h2hm，如果两树高度相同，则按其他标准排序。)的组成员需要合并。合并密钥树时Tm在最底层，T1在最高层。选择密钥树Ti(1im)中最底最右的成员作为Ti的sponsor。下面是Merge协议：Step1 Ti的更新私钥和公钥，计算其密钥路径上所有中间节点的密钥和盲密钥，包括新组密钥和它的盲密钥。并广播盲密钥树。Step2 MiT1T2Tm合并所有的密钥树，删除Ms密钥路径上所有中间节点CNj的密钥k和盲密钥bk。Ms更新私钥和公钥，计算其密钥路径上所有中间节点CNj的密钥和盲密钥，新组密钥除外。并广播合并后的盲密钥树。Step3 MiT1T2Tk计算其密钥路径上需要更新的中间节点CNj的密钥，包括新组密钥。2.3.5 拆分多播组协议（partition）当网络出现错误，需要把一个大组拆分成多个小组，对每个小组成员来说相当于同时离开了多个成员，Partition协议与Leave协议的不同在于Partition协议能处理同时有多个成员离开的情况。Partition协议开始时首先需要更新密钥树，选择成员Ms为sponsor。下面是Partition协议：Step1 MiCL更新密钥树，删除Ms密钥路径上所有中间节点CNj的密钥k和盲密钥bk，包括组密钥k。Ms更新私钥和公钥，计算其密钥路径上所有中间节点CNj的密钥和盲密钥，新组密钥除外。并广播更新后的盲密钥树。Step2 Mi计算其密钥路径上需要更新的中间节点CNj的密钥，包括新组密钥。2.3.6 密钥更新协议（refresh protocol）为保证组密钥新鲜性，需经常更新组密钥。若组成员Mi更新组密钥，则Refresh协议实现过程如下：Step1 Mi更新私钥和公钥，计算其密钥路径上所有中间节点CNj的密钥和盲密钥，新组密钥除外。广播更新后的盲密钥树。Step2 Mi计算其密钥路径上需要更新的中间节点CNj的密钥，包括新组密钥。3 协议分析3.1 性能分析对PSTR协议的性能分析主要从存储、通信和计算代价3个方面来进行。存储代价包括每个成员存储密钥的数量；通信代价包括通信轮数、通信次数和传输消息的总量，传输消息的总量指通信过程中发送消息数量的总和；计算代价包括指数运算、配对运算和点乘运算的次数，每轮计算中有多个成员并行计算，计算代价只统计该轮中最大的计算代价。STR和PSTR协议的通信代价和计算代价取决于密钥树的高度h、密钥树的平衡性和加入（或离开）成员的位置。由于STR、PSTR中加入（或离开）成员的位置不同可以导致通信代价和计算代价相差很大，因此在分析这些协议的代价时，分析结果取这些协议的平均代价。对涉及到的符号作如下约定：密钥树的高度n：当前组成员的数量n1：第一个合并组中成员数量k：合并多播组的数量p：离开成员的数量m：所有合并组中成员的总数：除第一个合并组外其他合并组的密钥树高度的总和：密钥树中l层的第v个组成员对于STR密钥树，满足。对于PSTR密钥树，则满足h=(n1)/2。STR和PSTR中的成员需存储其密钥路径上的密钥和密钥路径上兄弟节点的盲密钥，此外需存储自身的盲密钥。由于STR和PSTR中不同位置上的成员的存储代价差异很大，因此分析结果只考虑平均代价。STR密钥树成员存储的密钥总数为故含有个成员的STR密钥树存储密钥数的平均代价约为(n+3)/2。STR密钥树成员存储的盲密钥总数为故其存储盲密钥数的平均代价为(n+3)/2。同理，PSTR密钥树成员存储的密钥总数为故其存储密钥数的平均代价约为(n+6)/4。PSTR密钥树成员存储的盲密钥总数为故其存储盲密钥数的平均代价为(n+4)/2。如表1所示，PSTR存储(n+6)/4个密钥和(n+4)/2个盲密钥,而STR需要存储(n+3)/2个密钥和(n+3)/2个盲密钥。因此PSTR的存储代价低于STR。表1存储代价协议代价类型密钥数盲密钥数STRl+1l+1平均代价(n+3)/2(n+3)/2PSTR和l+12l+1平均代价(n+6)/4(n+4)/2表2给出了STR和PSTR的通信代价比较结果。由于PSTR是在STR的基础上引入双线性配对密码理论，所以PSTR的通信轮数和通信次数和STR一样。但是PSTR采用三叉密钥树结构，使得PSTR的消息总量小于STR协议。综合考虑通信轮数、通信次数和消息总量可知，PSTR的通信代价小于STR协议。表2通信代价协议子协议通信轮数通信次数消息总量STR建立多播组2n+12n-2组成员加入223组成员离开11(n+1)/2合并多播组2k+13m-n1-k+1拆分多播组11(n-p)/2+1密钥更新11(n+1)/2PSTR建立多播组2n+13(n-1)/2组成员加入222组成员离开11(n+2)/4合并多播组2k+13(n1+1)/2+2m拆分多播组11(n-p+3)/4密钥更新11(n+2)/4表3计算代价协议子协议指数运算配对点乘STR建立多播组3n-500组成员加入400组成员离开(3n-1)/200合并多播组3m+100拆分多播组3(n-p)/200密钥更新3n/200PSTR建立多播组0n-2(n-3)/2组成员加入010组成员离开0(n-4)/2(n+6)/4合并多播组0m-n(m-n)/2拆分多播组0(n-p)/2(n-p)/4密钥更新0n/2(n-2)/4表3给出了STR和PSTR的计算代价比较结果。由于PSTR采用三叉密钥树结构，PSTR的密钥树的高度是STR协议的一半。从表3中可知：PSTR中配对运算的次数是STR中指数运算次数的1/3；PSTR中点乘运算的次数是STR中指数运算次数的1/6，从文献13可知指数运算时间是点乘运算时间的8倍多，因此在考虑计算代价时可以忽略PSTR中点乘的运算代价。从文献14中可知，配对运算的时间是指数运算的1.2倍，所以PSTR的计算代价低于STR。3.2 安全性分析3.2.1 PSTR密钥树的双线性证明下面将采用文献7中的安全性证明方法对PSTR中的密钥树的双线性进行证明。设(q,G1,G2,e)g(1k),，nN和X=(R1,R2,Rn),其中，。密钥树T有n个叶子节点，叶子节点密钥是该叶子节点上的组成员Mi的密钥Ri。需要注意的是，在本证明中规定最底层为第0层，根节点在最高层。 view(h,X,T) 密钥树中的所有节点的盲密钥bk=kP view(h,X,T)是公开信息，所有人都知道，k(h,X,T)是组密钥，只有组成员知道。在本协议中敌手知道的信息是view(h,X,T)，想获得的组密钥k(h,X,T)。随机选择和PSTR密钥树T，其中T中有n个叶子节点，每个叶子节点都有一个对应的密钥Ri。定义3 设(q,G1,G2,e)g(1k)，nN和X=(R1, R2,Rn)，其中。密钥树T有n个叶子节点，每个叶子节点都有一个对应的密钥Ri。Ah和Hh的定义如上，DPGBDH算法AT是一个概率多项式时间算法需要满足下面的要求，对于固定的k0和足够大的m有：因此DPGBDH问题是找到一个PSTR密钥树上的DBDH算法。定理3 如果三方DBDH在G1和G2上是困难的，则不存在概率多项式时间算法可以区别Ah和Hh。证明 使用反证法证明。设XL=R1,R2,Rn-2，XC=Rn-1，XR=Rn，R1到Rn-2是密钥树TL上对应叶子节点的密钥；TC和TR的高度是0，只有一个节点，该节点也是叶子节点。TC的叶子节点的密钥是Rn-1；TR的叶子节点的密钥是Rn。区分A1和H1等价于G1和G2上的三方DBDH问题，因此不存在多项式时间算法能区分A1和H1。假设不能在多项式时间内区分Ah-1和Hh-1，但是存在多项式时间算法能区分任意PSTR密钥树中的Ah和Hh，如果能够证明使用此算法也可以区分Ah-1和Hh-1或者解决三方DBDH问题，则与假设或者三方DBDH难题相矛盾，由反证法可以证明不存在在多项式时间内能区分Ah和Hh的算法。定义以下等式：由于在多项式时间内可以区分和，因此最少可以区分(Ah,Bh),(Bh,Ch),(Ch,Dh),(Dh,Eh),(Eh,Fh), (Fh,Gh),和(Gh,Hh)中的一个。1) Ak和Bk：假设概率多项式时间算法能在多项式时间内区分Ah和Bh，下面将证明使用算法可以解决高度是h1的PSTR密钥树的DPGBDH问题。假设需要判断 是DPGBDH问题的实例，还是r1是一个随机数。为了解决这个问题，产生密钥树T2和T3，以及对应的X2和X3，T2和T3的高度是0，密钥树中只有一个节点，该节点也是叶子节点。知道T2和T3上所有节点的私钥和公钥。使用,(T2,X2)和(T3,X2)，产生下面的表达式把作为概率多项式时间算法的输入值，如果是Ah的实例，则是Hh-1的实例；如果是Bh的实例，则是Ah-1的实例。得到的结论与假设相矛盾，因此证明：如果不存在概率多项式时间算法能够区分Ah-1和Hh-1，则不存在概率多项式时间算法能区分任意PSTR密钥树中的Ah和Hh。由于区分A1和H1等价于G1和G2上的三方DBDH问题，即不存在概率多项式时间算法能区分A1和H1，根据上面得到的结论，不存在概率多项式时间算法能区分A2和H2，依次类推，不存在概率多项式时间算法可以区别Ah和Hh，定理3得证。2) 和：假设概率多项式时间算法能在多项式时间内区分和，下面将证明使用算法可以解决G1和G2上的三方BDH问题。rP,r1P和r2P分别是view(h1,XL,TL)和view(h1, XR,TR)中随机选择的相互独立的盲密钥。假设需要判断(aP,bP,cP,e(P,P)d)是否是四重BDH问题。为了解决这个问题，产生密钥树T1、T2和T3，对应的X1、X2和X3。T2和T3的高度是0，密钥树中只有一个节点，该节点也是叶子节点。把作为概率多项式时间算法的输入值，如果是Dh的实例，则(aP,bP,cP,e(P,P)abc)是无效的四重BDH问题; 如果是Eh的实例，则(aP,bP,cP,e(P,P)abc)是有效的四重BDH问题。得到的结论与BDH问题相矛盾，因此证明：如果不存在概率多项式时间算法能够解决G1和G2上的三方BDH问题，则不存在概率多项式时间算法能区分任意PSTR密钥树中的和，因此定理3得证。对于（Bh,Ch）、(Ch,Dh)、(Eh,Fh), (Fh,Gh),和(Gh,Hh)的证明与1)和2)类似，在这里不再重复。综上所述，定理3得证。PSTR协议中的密钥树满足双线性，即证明了PSTR协议在计算上是安全的。3.2.2 PSTR中密钥的秘密性与独立性PSTR协议能够满足组密钥的秘密性、独立性、前/后向安全性。密钥的独立性包括前向安全性和后向安全性。1) 秘密性组成员关系变动时，至少有一个组成员改变其私钥，使得新组密钥不同于旧组密钥，保证了组密钥的新鲜性。由DPGBDH难题可知，被动敌手在知道所有盲密钥的情况下也不可能通过计算组密钥，保证了组密钥的秘密性。2) 独立性下面将从前向安全性和后向安全性2个方面来讨论组密钥的独立性。后向安全性保证新加入的组成员Mn+1知道当前组密钥的信息，但是无法获得旧组密钥。在Join协议中新组成员Mn+1加入多播组，sponsor Ms更新私钥和公钥，同时更新其密钥路径上所有中间节点CNj的密钥和盲密钥，新组密钥除外，并广播所有中间节点CNj的盲密钥。Mn+1知道旧PSTR密钥树T的信息和被动敌手知道的一样，使得Mn+1在攻击旧组密钥k时和被动敌手一样无法获得旧组密钥k，保证旧组密钥的安全性，实现了后向安全性。同理,在Merge协议中，密钥树Ti的sponsor 广播更新后的盲密钥树。其他密钥树中的组成员获得，但是无法获得更多的有关盲密钥树BTi的信息，从而实现了后向安全性。在Leave协议和Partition协议中，sponsor Ms在组成员离开后更新私钥和公钥，更新其密钥路径上所有中间节点CNj的密钥和盲密钥，包括新组密钥。使得离开的组成员Ml无法获得Ms密钥路径上的密钥，从而保证了新组密钥的安全性，实现了前向安全性。4 结束语多播密钥管理是保证ad hoc网络安全的重要技术之一。论文对当前ad hoc环境下的多播密钥管理协议进行了分析和研究，通过对STR协议的改进，设计了基于双线性配对密码体制和三叉密钥树的PSTR多播密钥管理协议。该协议由密钥生成以及6个子协议构成。通过文中的性能分析，PSTR协议无论在存储、通信以及计算代价方面都优于STR协议，而且由于采用了双线性密码体制，其具有更好的安全性和抗攻击能力。因此PSTR协议是一种新型可靠的分布式多播密钥管理协议，在ad hoc网络中将有一定应用前景。参考文献：1周福才，林龙，王金营等. 没有SDC 的(t, n)门限秘密共享方案J.通信学报，2006，27(10):69-73.ZHOU F C, LIN L, WANG J Y, et al. (t, n) threshold secret sharing scheme without SDCJ. Journal on Communications, 2006, 27(10): 69-73.2杨德明，慕德俊，许钟. Ad hoc 空间网络密钥管理与认证方案J.通信学报，2006，27(8):104-107.YANG D M, MU D J, XU Z. Novel key management and authentication scheme for Ad hoc space networksJ. Journal on Communications, 2006, 27(8):104-107.3朱文涛，熊继平，李津生等. 安全多播中密钥分配问题的研究J. 软件学报,2003,14(12):2052-2059.ZHU W T, XIONG J P, LI J S, et al. A study of the key distribution in secure multicast J. Journal of Software, 2003,14(12): 2052- 2059.4ZHOU F C, XU J, LI T. Cost of multicast logical key tree based on hierarchical data processingJ.Wuhan University Journal of Natural Sciences,2006,11(5):1172-1176.5BURMESTER M, DESMEDT Y. A secure and efficient coference key distribution system A. proceedings of Eurocrypt 1994C. Perugia, Italy,1994. 275-286.6STENIER M, TSUDIK G, WAIDNER M, Diffie-Hellman key distribution extended to group communicationA. ACM Conference on Computer and Co