0 引言

组密钥更新作为组播安全研究中的关键，用于解决成员动态变化(加入或离开)时，组控制器(Group Controller，GC)如何高效和安全地分发一个新的组密钥(Group Key，GK)给合法用户的问题，并保证密钥更新过程中的前向安全性和后向安全性［1］。在有状态的组密钥更新协议［2－4］中，大多数协议是基于逻辑密钥分层(Logical Key Hierarchy，LKH)协议发展而来的。最早的LKH协议是由Wong等［5］和Wallner等［6］分别提出。文献［7］中证明了LKH协议在抗完全合谋攻击时，通信开销的下界是O(log n)，n为组规模大小。所以，不折中安全性和其他性能(存储开销、密钥更新效率)，使通信开销低于O(log n)是不可能的。抗合谋攻击主要针对组密钥管理中安全威胁提出的系统需求［8］。在一些高度敏感的数据中，抗完全合谋攻击是一种较强的安全性要求，但是，在一些资源受限(无线传感器网络［9－10］)或者商业应用(付费电视［11］、即付即看(Pay Per View，PPV)［12］)场景中，对安全性要求相对较弱，而对通信开销更为敏感，组成员频繁的加入(离开)，会给GC带来巨大的通信开销，所以，为了节省通信开销，这些应用场景中的用户愿意容忍一定级别的安全性，通过牺牲抗合谋攻击能力来降低通信开销。

基于此，Fan等［11］提出了一种混合的组密钥更新协议(Hybrid Structuring Of Receivers，HySOR)。HySOR 协议在LORE(Linear Ordering Of Receivers)协议的基础上结合LKH协议，实现了通信开销和抗合谋攻击之间的权衡。但是，LORE是基于双哈希链设计的协议，HySOR协议的计算复杂度随着组规模n呈线性变化。在文献［13］中，利用多密钥分发(Multicast Key Distribution，MKD)协议和LKH协议构成的混合方案中，MKD仍然是基于双哈希链的协议。Liu等［14］基于“子集－覆盖”框架提出了排外子集覆盖框架(Exclusive Complete Subtree，ECS)，在此框架上，构造一个混合的无状态组密钥更新协议，该协议适合于资源受限或者商业应用场景。

白城市棚膜经济发展总体态势良好，但也存在一些亟待解决的问题。白城市农民自我投入能力有限、各类扶持项目资金所占比重低，导致棚室建设资金缺口较大。农民缺少有效抵押物，贷款成本高、难度大。

本文在文献［14］的基础上，针对有状态的组播通信，设计并实现了一种混合的组密钥更新协议(Hybrid Stateful Exclusive Complete Subtree，H-SECS)。H-SECS协议是基于LKH协议和有状态的完全排外子树(Stateful Exclusive Complete Subtree，SECS)协议设计的，可以在 LKH协议和SECS协议之间进行调整，达到抗合谋攻击能力和通信开销之间的权衡。H-SECS协议的一个极端是LKH协议，具有完全抗合谋攻击的特点;另外一个极端是SECS协议，具有常量通信开销但是只能抵抗一个用户攻击。本文对H-SECS协议的抗合谋攻击能力、通信开销进行了仿真实验分析，结果证明了H-SECS协议的通信开销和抗合谋攻击能力可以在LKH与SECS之间进行调控。

1 SECS协议

Liu 等［14］基于排外密钥［15－16］设计了 SECS 协议。SECS是一种有状态的组密钥更新协议，通信开销为O(1)，但是只能抵抗单用户攻击。SECS协议主要包括两个算法:个人密钥分配算法和组密钥更新算法。

1．1 个人密钥分配算法

个人密钥分配算法满足正确性和密钥的不可区分性，所以用3个伪随机生成器(Pseudo-Random Number Generator，PRNG)［17］(GL，GR，GM) 来生成密钥。根据组播中 n个成员组成的集合 U={u1，u2，…，un}，经过(GL，GR，GM) 自顶向下生成一棵平衡二叉树。二叉树的叶子节点与成员u直接相连。在平衡二叉树中，密钥的分配如下:任意中间节点i，有一个种子节点S。则S2i=GL(Si)代表i节点的左孩子(2i)的种子;S2i+1=GR(Si)代表 i节点的右孩子(2i+1)的种子;Ki=GM(Si)代表i节点的排外密钥。将二叉树中从叶子节点回溯到根节点所经过路径上的排外密钥称为路径密钥。成员u的排外密钥集为u的路径密钥的集合;用Iu表示GC为u分配的个人密钥集，则Iu是所有路径密钥上的兄弟密钥。根据排外密钥的定义，u不能计算出它的路径密钥，但是，u可以推导出这棵密钥二叉树上其余的密钥。

1．2 组密钥更新算法

LKHCB1={0100，010，EK6(K6')}

通过改进的YOLO单一人脸检测模型检测出人脸区域后，再利用DLIB库中的人脸68个关键点检测模型在人脸区域内进行遮挡判定。当获得一张图片后，算法会生成一个初始形状就是首先估计一个大致的特征点位置，然后采用gradient boosting算法 [19]减小初始形状和真实形状的平方误差总和。用最小二乘法来求最小化误差，得到每一级的级联回归因子。基于回归的方法直接进行特征提取并学习回归方程，通过设计对姿势变化不敏感的特征可以有效的增强算法对姿势变化的鲁棒性。

1)成员加入。当成员u'在t时刻加入集合U时，有两种方案。第一种方案是GC通过安全渠道给合法用户广播密文块，即:GCS(t+1):EGKt(GK(t+1))，只有知道GKt的用户可以对密文块进行解密，得到GK(t+1)。本文为了保证信息的机密性，采用了哈希函数的消息认证码(Hash-based Message Authentication Code，HMAC)函数［18］，使得用于组通信的密钥和用于加密的密钥不是同一个密钥，本文后面提到的GK是已经处理过，用于加密的GK。第二种方案是通过一个公开的单向哈希函数(SHA-1)［19］来更新 GK(t+1)，合法成员在收到GC广播的更新消息时，直接通过哈希函数计算出新的组密钥GK(t+1)。

2)成员离开。假设t时刻离开的成员集合是L={i1，i2，…，im}，GC首先计算出离开成员的排外密钥{Ki1，Ki2，…，Kim}，然后将这些排外密钥和GKt异或后作为会话密钥来加密GK(t+1)，GC将密文广播给合法成员，密文结构如下:

除了上述检测方法外，沙门氏菌的快速检测方法还有电阻抗法、噬菌体法、核酸探针、MALDI-TOF-MS法等。

 

用C表示密文块，DK(C)表示用K来解密密文块C。当用户 u∈ S(t+1)接收到更新消息〈i1，i2，…，im，C〉，根据排外密钥的定义，u根据密钥集Iu中推导出排外密钥Kij;所有的排外密钥进行异或运算:Ki1⊕Ki2⊕…⊕Kim⊕GKt计算出新的会话密钥。最后解密得到组密钥 GK(t+1)，解密结构如下:

2 H-SECS协议

结合LKH协议抗完全合谋攻击的特点和SECS协议具有常量通信开销的优势，设计并实现了一种混合的组密钥管理协议(H-SECS)。该协议的密钥管理是一个两层的树型结构，为了描述方便，第一层称为LKH协议树;第二层称为子组树(Division Tree，DT)，DT沿用SECS协议树的设计规则。HSECS协议可以分为成员初始化、成员加入和成员离开3个阶段。表1列出H-SECS协议中用到的部分符号。

 

表1 H-SECS协议中符号说明Tab．1 Symbol definition of H-SECS protocol

  

符号 说明 符号 说明Di 第i子组 Iu u在DTi 中的个人密钥集m 子组成员数目 KEK 密钥加密密钥uDi j Di子组里的第j成员 EK(text) 用K加密text DTi 第i子组的SECS树 DK(C) 用K来解密密文C

2．1 成员初始化

假设n个成员建立组通信。首先，GC建立一棵LKH协议树，包含d个叶子节点，树中每个节点对应一个密钥，树的叶子节点与子组一一对应。然后，在每个子组里建立一棵SECS协议树，简称DT。DT中包含m(m=n/d)个叶子节点，其中，如果n不能整除d，则前几个子组里DT的叶子节点为m，最后一个子组叶子节点不足m。DT中每个叶子节点与组成员一一对应。在建树的过程中，采用哈夫曼编码为树的每个节点进行编号，规定从根节点开始，左分支为0，右分支为1，根节点的编号为0。对于DT中的每个成员，在叶子节点编号的前面加上子组号Di(Division)，其中Di的数值范围是0～ 232－1。

将舵机配以圆形舵角，固定在层板方盒上，将三轴尾电机座一端安装在舵角上，另一端安装在电机尾部，在舵机控制舵角转动时，通过电机座的传导作用，会使电机的方向发生变化，此时电机的拉力线发生变化导致飞机转向。据飞机性能、舵机质量、设计要求，合理选择舵机类型以及转动行程量。矢量控制系统对舵机性能要求较高，建议选大扭矩金属数字舵机，普通塑料舵机无法提供很大的扭力，同时齿轮啮合不严密。并且飞机设计时应考虑合理的机头长度以满足电机转向的安全距离，防止同时可适量缩短飞机尾翼到重心的距离、缩小垂尾受力面积。

  

图1 H-SECS结构示例图Fig．1 Schematic of H-SECS protocol

2．2 成员加入

加入组播的成员有两种:一种是新加入组播中的成员;另一种是由于网络故障或者其他原因被撤销的成员，重新请求加入组播通信。新成员请求加入组通信时，步骤如下:

1)GC为加入成员在整个密钥树中分配对应位置。

重新请求加入组播通信的成员，GC为这个成员分配到以前的节点位置，并且将节点对应的身份、私有密钥、辅助密钥分配给该成员。如果子组有成员加入，那么这个子组变为活跃的子组;否则，称为不活跃的子组。对于新加入组播的成员，为了使通信开销小并且提高抗合谋攻击能力，GC随机选择LKH协议树中叶子节点对应的子组Di时，有以下两种情况:

组密钥更新步骤如下:

水泥水化热升温和水泥的类型、用量与散热速度等有关，但由于本工程的施工条件不适宜选择水化热比较低的硅酸盐水泥[3]。但可通过将配合比中水泥用量适当降低的方法来达到降低水泥水化热的目的。在保证混凝土的坍落度与强度满足相关条件的情况下，在设计配合比时采用龄期为60d或者90d强度，粉煤灰掺量约为35%或者40%，以减少水泥用量，使水泥水化热得到有效控制，最终保证混凝土内的最高升温控制在合理范围内。

研究显示：网络休闲已经成为大学生的一种重要生活方式，高校图书馆需要融入多元化的服务空间及多元化的服务理念，开展拓展、延伸网络休闲功能。但高校图书馆主要任务是为教、学、研服务。拓展网络休闲服务也只能是高校图书馆服务的一个补充，网络休闲定位只能在网络文化艺术休闲服务上，进行科学网络休闲教育上，满足大学生高雅的精神愉悦和求知理性快乐的信息需要上。

②如果选择的Di对应的不是LKH协议树中最小深度的节点，为了保证子组中对应的DTi树平衡，GC从所选子组中对应DTi树中深度最小的叶子节点中随机选择一个叶子节点，将这个叶子节点进行分裂，左边的节点与原来的成员相关联，右边的节点对应的是新插入成员的位置。如果选择到的Di为不活跃的子组，由于新成员的加入，子组Di变成活跃子组。图2是在图1中加入一个成员，GC选择到D3子组后HSECS结构图对应的LKH协议树变化。此时，D5子组被标记为活跃的子组，D5子组下面对应DT5树，DT5树只有一个节点，这个节点与新插入的成员对应。

2)GC生成GKt+1并且广播密钥更新消息。

假设t时刻要求加入组播通信的节点集合用J表示，St+1(St+1=St∪J)表示加入成员后合法成员的集合。为了保证后向安全性，需要更新加入成员所影响的节点密钥并且分发私人密钥给加入的新成员。

  

图2 加入子组D5后LKH协议树变化Fig．2 LKH tree view of joining subgroup D5

①如果选择的Di是对应的LKH协议树中最小深度的叶子节点，则将这个叶子节点分裂成两个节点并且新创建一个子组，子组中包含一棵DTi树。其中，左孩子节点与Di相连，右孩子节点与新创建的DTi树相连。将新成员插入到这个新的子树DTi中，并且将插入成员所在的子组标记为活跃的子组。

①为活跃子组生成密文块。为了保证信息的机密性，GC需要为活跃子组中的成员分发两种密文块:逻辑密文块和SECS对应的密文块。

发送逻辑密文块 GC首先统计每个活跃子组对应的辅助密钥，然后使用活跃子组对应的LKH协议树中儿子节点加密父节点的方式生成密钥加密密钥(Key Encryption Key，KEK);最后，将加密节点的身份ID、被加密节点的身份ID和对应的KEK封装成逻辑密文块(Logical Key Hierarchy Cipher Text Block，LKHCB)发送给组播中合法成员。

由于H-SECS协议的密钥管理是一个两层的树型结构，所以，在DT中的每个成员存储两组密钥:一组是所在子组对应的LKH协议树上的辅助密钥;另外一组是成员对应的DT中的私人密钥。辅助密钥是子组Di对应的LKH协议树上叶子节点到根节点路径上所有节点对应的密钥;私人密钥是成员u所对应的叶子节点到DTi树上根节点路径上所有节点对应的兄弟节点的密钥，其中，LKH协议树中根节点的密钥为GK，组通信中所有合法成员共享GK。如图1所示，H-SECS结构图中共有15 个成员。分为5 个子组:D0、D1、D2、D3、D4;每个子组中包含一棵 DT，分别为 DT0、DT1、DT2、DT3、DT4;DT的叶子节点对应3个成员 u1、u2、u3。组密钥GK是K1。u2D 1表示D1子组中的u2用户，它的ID号是1|001，第一位的1代表子组号，后面是成员对应的叶子节点的编号。u2D1用户有两组密钥:一组是 LKH 协议树上的辅助密钥 {K1，K2，K4，K9}，辅助密钥被该D1子组里成员共享;一组是对应的私人密钥{SK3，SK4}。

LKHCB6={01，0，EK3'(K1')}

定义t时刻合法成员的集合为St(StU)，撤销者集合Rt(Rt=USt)。S(t+1)表示(t+1)时刻成员动态变化后的集合;GKt表示当前的组密钥;GK(t+1)表示更新过的组密钥;“”表示“组播”;EK(text)表示用密钥K加密 text。对于SECS协议，成员的加入(离开)，组密钥都需要进行更新。

LKHCB2={0101，010，EK10(K6')}

（2）加强人文社科知识储备，完善医学生知识结构。医学专业学制长，知识体系精细庞杂。医学生学习压力较大，平时对文、史、哲、艺、伦理、社会、法学等知识涉猎较少，缺乏人文知识储备。然而现代医学提倡以患者为中心，要求医学生必须加强人文社科知识储备，完善自身知识结构，以回应新的时代诉求。加强医学生人文精神培养，可在教学中注重医学与人文的结合，增设人文选修课程，开设人文知识讲座与论坛，加强人文师资建设，开展人文知识竞赛及各种社团、志愿者活动，不断加强校园文化建设，增强医学生人文知识底蕴，提升医学生人文情怀。

LKHCB4={011，01，EK7(K3')}

LKHCB5={00，0，EK2(K1')}

发送SECS协议对应的密文块 GC使用以前的组密钥GK来加密活跃子组对应的LKH协议树上的叶子节点密钥，即:EGK(Ki)，然后将EGK(Ki)发给合法成员。在图2中，活跃的子组为D5，对应LKH协议树上所影响节点的密钥是{K1，K3，K6}，本文用{K1'，K3'，K6'} 表示已经更新过的密钥。则密钥的更新产生密文块LKHCB为:

K1'为更新过后的组密钥GK(t+1)。GC将逻辑密文块信息和SECS对应的密文信息封装成密文(Cipher Text，CT)，发送给活跃子组中合法成员。密文结构如下:

GC S(t+1): CT = {LKHCB1，LKHCB2，LKHCB3，LKHCB4，LKHCB5，LKHCB6，EGK(K10)}

②为不活跃子组生成密文块。对于不活跃子组中的成员，GC发送的密文遵循SECS协议成员加入的密文更新规则。GC使用以前的组密钥GK来加密更新过的组密钥，即:EGK(GK(t+1))，然后将EGK(GK(t+1))发给不活跃子组中成员。

LKHCB3={010，01，EK6'(K3')}

要培育和发展壮大社会组织,推动社会组织成为政府环境治理的参谋助手、监督员以及充分发挥生态文明建设的民众主体。环境组织在环境管理方面具有得天独厚的优势。一是利益无关、相对公正;二是层级简单,效率高;三是增加群众参与感,提高群众环保意识。相比于政府和企业之间监督与被监督的关系,环境组织在调节政府与企业之间的关系上发挥着桥梁作用。另外,生态文明建设本身事关我们每一个人,必须充分调动民众参与的积极性,提供平台、畅通渠道,引导、鼓励民众积极参与生态文明市场机制建设。

3)成员解密密文更新消息。

组播里合法成员到密文CT。对于非活跃组里的成员，利用其知道的GK，直接解密出GK(t+1)。对于活跃子组的成员，根据其所知的GK，解密出对应的LKH协议树叶子节点更新过的密钥，依次根据接收到的密文块解密出GK(t+1)。假设在图2中，成员解密，则解密信息如下:根据GK密钥K10;根据K10，解密密文块 LKHCB2，获取 K6';根据 K6'，解密 LKHCB3，获取 K3';根据 K3'解密 LKHCB6，获取到 GK(t+1)，即 K1'。

2．3 成员离开

假设t时刻离开的成员用集合L={i1，i2，…，im}表示。为了保证前向安全性，需要更新离开成员所影响的H-SECS结构树中的密钥。如果成员离开时，则更新处理步骤如下:

1)根据退出成员的ID定位到退出成员所在子组里的位置，删除DTi树中代表该成员的叶子节点，并且将这个节点标记为不可用的节点，由于成员的离开，这个子组变成不活跃的子组。如果DTi树中的所有叶子节点都为不可用的节点，则删除LKH协议树中代表DTi组的叶子节点。GC对LKH协议树进行调整，使LKH协议树保持最优状态。图3所示是图1中LKH协议树删除组D1后调整后的图。

  

图3 删除组D1后LKH协议树图Fig．3 LKH protocol tree after deleting subgroup D1

2)成员退出密钥更新可以分为两个步骤:

透析组sTWEAK与CRP、FIB及WBC均呈显著负相关（P＜0.05），受试者对照组sTWEAK与CRP、FIB、Glu（血糖）呈显著负相关（P＜0.05），见表2。

更新子组对应LKH协议树上影响节点的密钥，过程遵循LKH协议的密钥更新过程。更新退出成员所在DTi树上密钥，这个过程遵循SECS密钥更新规则，步骤如下:

社区矫正在降低刑罚执行成本、防止交叉感染、帮助犯罪人回归社会，降低犯罪人员的重新犯罪率、维护社会和谐稳定等方面发挥了重要作用，在完善我国非监禁刑罚执行制度方面做出了有益探索。但是，在我国广大的西部地区，社区矫正发展相对落后。下面笔者就以西宁市“康川新城”为例，展示西部社区矫正的工作现状。

1.2.1 调查工具 本研究使用课题组自编问卷，共20个问题，涉及基本情况、考核现况调查和考核方法认同度。其中对形成性评价方式认同从“不合理”到“非常合理”评分1～5分，得分越高说明护生对考核方式的认同度越高。

①建立 Steiner树［13］。对 (UL) 建立 Steiner树，用ST(UL)代表Steiner树。假设图4中是某个子组中离开成员集为L={u1，u2，u3}，ST(UL)树是由虚线相连的节点组成;

②查找覆盖子树。对比活跃的DTi树和ST(UL)树，覆盖子树为当前组的DTi树除去当前组的ST(UL)，即DTi－ST(UL)。图4中覆盖子树由实线相连的节点组成。

③更新与分发密钥树中相关节点的密钥。覆盖子树所对应的排外密钥与组密钥异或后形成会话密钥，用会话密钥来加密DTi树中对应LKH协议树的叶子节点Kω。将排外密钥的ID，加密形成的密文封装成密文块(Division Cipher Text Block，DCB)，其结构如下:

 

将活跃子组形成的密文块DCB和对应的子组号Di以及形成的逻辑密文块封装成密文(Division Cipher Text，DCT)。GC将DCT发给组播通信中合法成员。

  

图4 子组里的完全排外子树图Fig．4 Complete exclusion subtree in the subgroup

3)组成员解密密文更新消息。

1.4.2 干扰素γ（IFN-γ）、白细胞介素10（IL-10）水平 观察两组患者术前及术后6、12、24、48 h 血浆中 IFN-γ、IL-10水平。采用双抗体夹心酶联免疫吸附法（ELISA）以ELX-800型酶标仪（美国BioTek公司）检测IFN-γ、IL-10水平[试剂盒由艾博抗（上海）贸易有限公司提供]。

组播里合法成员接收到密文DCT。对于活跃子组里的成员，组成员根据LKH协议树的密钥检索出密文块，获取相关的密钥，最终解密出GK(t+1)。而对于不活跃子组里的合法成员，解密GK(t+1)有以下两个步骤:首先对DCB解密，根据排外密钥的定义，对于每个ij(j=1，2，…，m)，u可以从个人密钥集Iu中推导出Skij，根据这些Skij计算出DCB的会话密钥，即Sk1⊕Sk2⊕…⊕Skm⊕GKt;然后解密出对应LKH协议树上新更新过的叶子节点的密钥 Kω，解密结构为:DSk1⊕Sk2⊕…⊕Skm⊕GKt(C); 最后对逻辑密文块解密，根据 LKH 协议树的解密规则来依次解密。最终，获取到组密钥GK(t+1)。

2．4 抗合谋攻击能力分析

对于SECS协议，两个恶意的撤销用户可能就会破坏组的前向安全性，而在H-SECS协议中，k个合谋者成功攻破组密钥的条件是当且仅当k个合谋者中至少有两个合谋者被分在同一个子组中。用Pk表示k个合谋者中至少有两个合谋者被分配在同一个子组中的概率，根据文献［11］有式(1):

 

其中:n是组规模，d是子组数目。在给定n和k时，Pk随着d的增大单调递减，即:d越大，至少有两个合谋者被分配在同一个子组中的概率Pk就越小。在组规模一定时，d越大，安全性越好，但是d的增大，会导致带宽的增大。本文提出的H-SECS方案中，用户可以根据不同的安全性要求，调整d的大小，在合谋攻击和通信开销之间进行一个最优化的权衡:当d=1时，H-SECS协议变成SECS协议，此时每个成员加入(离开)的通信开销是O(1)，但是只能抵抗一个用户攻击;当d=n时，H-SECS协议变成LKH协议，此时每个成员加入(离开)的通信开销是O(log n)。

3 性能仿真实验

在Microsoft Visual Studio 2013环境下，利用OpenSSL(版本号:1．0．1t)加密库中的高级加密标准128位(Advanced Encryption Standard-128 bit，AES-128)和安全散列算法256位(Secure Hash Algorithm-256 bit，SHA-256)来对 H-SECS 方案进行仿真。在H-SECS协议中，成员的加入(离开)时，组密钥更新是影响通信开销的主要因素;而对于抗合谋攻击能力则是由子组数目决定;首先，对子组数目和Pk之间变化进行仿真;然后，在加入(离开)成员不同时，对LKH、SECS、H-SECS三种协议的通信开销进行仿真实验。

在仿真实验中，参数的配置k=5;n=32768;P5代表5个合谋者至少有两个合谋者被分在同一个子组中的概率。P5=0代表完全抗合谋攻击;P5=1代表只能抵抗单用户攻击。图5是子组数目d与P5之间的关系图，可以看出当子组d逐渐增大时，H-SEC协议的抗合谋攻击能力逐渐增强。当d=n时，H-SECS协议是完全抗合谋攻击的，此时，H-SECS协议变成LKH协议。当d=1时，H-SECS协议变成SECS协议，安全性最弱。

测试加入(离开)成员不同时，LKH、SECS和H-SECS三种方案的通信开销。为了更好地体现成员变化的随机性，对于加入(离开)成员数目不同时，本文均进行20次计算，然后取算数平均值作为最终的测试结果。测试中的Pk、d、k、n如2．4节所述。测试参数配置如表2所示:其中P5=0．147 6(d=64，m=512) 和 P5=0．0094(d=1024，m=32) 代表H-SECS协议的两个中间点。成员加入测试的结果如图6所示，成员离开测试的结果如图7所示。

  

图5 H-SECS协议中P5与子组的关系Fig．5 Relationship between P5and subgroups in H-SECS protocol

 

表2 测试参数配置说明Tab．2 Test parameter configuration instruction

  

对象 d P5 对象 d P5 SECS 1 1 H-SECS2 1024 0．0094 H-SECS1 64 0．1476 LKH 32768 0

  

图6 三种协议中成员加入通信开销的对比Fig．6 Communication overhead comparision of three protocols when users join

  

图7 三种协议中成员离开通信开销的对比Fig．7 Communication overhead comparision of three protocols when users depart

由图可以看出，无论是成员加入还是成员离开，LKH协议的通信开销最大，而SECS协议的通信开销最小。对于H-SEC协议的通信开销可以随着子组数目d在SECS协议和LKH协议之间进行调控，即:可以在O(1)和O(log n)之间进行调控。

仿真实验中，子组数目d越大，H-SEC协议抗合谋攻击的能力就越强，通信开销就越接近LKH方案的通信开销;而子组数目d越小，H-SEC协议抗合谋攻击能力就越弱，通信开销就越接近SECS方案的通信开销。所以，根据不同应用场景的安全级别，H-SEC协议可以通过设置子组的数目，将抗合谋攻击能力在SECS协议和LKH协议之间进行调整，最终达到抗合谋攻击能力和通信开销之间的权衡。

4 结语

本文基于SECS协议和LKH协议提出并实现了一种有状态的组密钥更新协议(H-SECS)。从理论分析和仿真结果中可以看出该协议的通信开销可以在LKH协议和SECS协议之间进行调整。因为在频繁组密钥更新的场景中，LKH协议所产生的通信开销也是不容小觑的，所以在权衡安全性的条件下，H-SECS协议可以在抗合谋攻击能力和通信开销上作出最优的权衡，实现通信开销在SECS协议和LKH协议通信开销之间的调整。

参考文献(References)

［1］ WU Y， LIU J， HOU J， et al．A stateful multicast key distribution protocol based on identity-based encryption［C］//Proceedings of the 2017 IEEE/ACIS 16th International Conference on Computer and Information Science．Piscataway， NJ:IEEE，2017:19－24．

［2］ SHERMAN A T，MCGREW D A．Key establishment in large dynamic groups using one-way function trees ［J］．IEEE Transactions on Software Engineering，2003，29(5):444－458．

［3］ LIU J，YANG B．Collusion-resistant multicast key distribution based on homomorphic one-way function trees ［J］．IEEE Transactions on Information Forensics and Security，2011，6(3):980－991．

［4］ XU J， LI L， LU S， et al．A novel batch-based LKH tree balanced algorithm for group key management［J］．Science China Information Sciences，2017，60(10):108－301．

［5］ WONG C K，GOUDA M，LAM S S．Secure group communications using key graphs［J］．IEEE/ACM Transactions on Networking，2000，8(1):16－30．

［6］ WALLNER D，HARDER E，AGEE R．Key management for multicast:issues and architectures［EB/OL］．［2017-06-20］．http://www．rfc-editor．org/in-notes/pdfrfc/rfc2627．txt．pdf．

［7］ MICCIANCIO D，PANJWANI S．Optimal communication complexity of generic multicast key distribution［J］．IEEE/ACM Transactions on Networking，2004， 16(4):803 －813．

［8］ DU W，HE M，X．Self-healing key distribution with revocation and resistance to the collusion attack in wireless sensor networks［C］//Proceedings of the 2nd International Conference on Provable Security．Berlin:Springer-Verlag， 2008:345 －359．

［9］ PERRING A，STANKOVI J C，WAGNER D．Security in wireless sensor networks［J］．Communications of the ACM， 2004， 47(6):53－57．

［10］ 王洁，卢建朱，曾小飞．可及时确定受攻击节点的无线传感器网络数据聚合方案［J］．计算机应用，2016，36(9):2432 －2437．(WANG J， LU J Z， ZENG X F．Data aggregation scheme for wireless sensor network to timely determine compromised nodes ［J］．Journal of Computer Applications， 2016， 36(9):2432 －2437．)

［11］ FAN J， JUDGE P， AMMAR H M．HySOR:group key management with collusion-scalability tradeoffs using a hybrid structuring of receivers［C］//Proceedings of the 11th International Conference on Computer Communications and Networks．Washington， DC:IEEE Computer Society，2002:196－201．

［12］ 姬东耀，王育民．公平有效的Web视频服务即付即看协议设计与分析［J］．西安电子科技大学学报(自然科学版)，2001，8(4):425－429．(JI D Y，WANG Y M．Analysis and design of fair and efficient pay-per-view protocols for Web-based video service［J］． Journal of Xidian University(Natural Science Edition)，2001，8(4):425－429．)

［13］ LIU J，HUANG Q，YANG B，et al．Efficient multicast key distribution using HOWP-based dynamic group access structures［J］．IEEE Transactions on Computers，2013，62(8):1656 －1672．

［14］ LIU J，LIU M，WANG C J，et al．Group rekeying in the exclusive subset-cover framework［J］．Theoretical Computer Science，2017，678:63－77．

［15］ FIAT A，NAOR M．Broadcast encryption［C］//Proceedings of the 13th AnnualInternationalConference on Advances in Cryptology．New York:Springer-Verlag，1993:480 －491．

［16］ KIM H， HONG M S， YOON H， et al． Securegroup communication with multiplicative one-way functions［C］//Proceedings of the 2005 International Conference on Information Technology:Coding and Computing．Washington，DC:IEEE Computer Society，2005:685－690．

［17］ CANETTI R，GARAY J，ITKIS G，et al．Multicast security:taxonomy and some efficient constructions［C］//Proceedings of the 1999 Conference on Computer Communications．Piscataway，NJ:IEEE，1999:708－716．

［18］ KRAWCZYK H，BELLARE M，CANETTI R．HMAC:keyedhashing for message authentication［EB/OL］．［2017-06-20］．http://ikamr．asp24．no/kdrs/pdf-copies/org．python．library-000000825．pdf．

［19］ WANG X，YIN Y L，YU H．Finding collisions in the full SHA-1［C］//Proceedings of the 25th Annual International Conference on Advances in Cryptology．Berlin:Springer-Verlag，2005:17 －36．