Efficient Self-Healing Key Distribution Scheme

효율적인 Self-Healing키 분배 기법

Abstract

The self-healing key distribution scheme with revocation capability proposed by Staddon et al. enables a dynamic group of users to establish a group key over an unreliable network, and has the ability to revoke users from and add users to the group while being resistant to collusion attacks. In such a protocol, if some packet gets lost, users ale still capable of recovering the group key using the received packets without requesting additional transmission from the group manager. In this scheme, the storage overhead at each group member is O($m^2$1og p) and the broadcast message size of a group manager is O( ((m$t^2$+mt)log p), where m is the number of sessions, t is the maximum number of colluding group members, and p is a prime number that is large enough to accommodate a cryptographic key. In this paper we describe the more efficient self-healing key distribution scheme with revocation capability, which achieves the same goal with O(mlog p) storage overhead and O(($t^2$+mt)log p) communication overhead. We can reduce storage overhead at each group member and the broadcast message size of the group manager without adding additional computations at user's end and group manager's end.

Staddon 등에 의해 제안된 취소 능력을 가진 Self-healing 키 분배 기법은 동적 그룹의 멤버들이 신뢰할 수 없는 채널 상에서 그룹 키를 설정할 수 있게 하며, 더욱이 그룹을 탈퇴하거나 가입하는 멤버들에 의한 공모 공격에 안전하다. 이 프로토콜에서 그룹 멤버는 몇 몇 패킷들을 잃어버린 경우에도 그룹 매니저에게 추가적인 전송을 요청하지 않고 이전에 받은 패킷들을 이용하여 여전히 그룹 키를 복구할 수 있다. 이 프로토콜에서 그룹 멤버의 저장량은 O($m^2$1og p)이고, 그룹 매니저에 의해 브로드캐스트되는 메시지 크기는 O((mt$^2$+mt)log p)이다. 여기에서 m은 세션의 횟수이고, t는 공모할 수 있는 최대 그룹 멤버의 크기이고, p는 암호적 키로 사용할 수 있는 충분히 큰 소수이다. 본 논문에서는 O(mlog p)의 저장량과 O((t$^2$+mt)log p)의 통신량으로 기존의 기법과 같은 목적을 달성할 수 있는 더욱 효율적인 취소 능력을 가진 Self-healing 키 분배 기법을 제안한다. 우리는 그룹 멤버와 매니저의 입장에서 추가적인 계산량의 증가없이 그룹 멤버의 저장량을 최적으로 줄이고 그룹 매니저에 의해 브로드캐스트되는 메시지 크기를 효율적으로 줄인다.

I. 서론

안전한 그룹 통신에서 가장 중요한 분야 중 하나는 키 자원의 안전한 분배와 관련된 그룹 키 관리분야이다. 그룹 키 관리 시스템은 그룹 멤버들 사이에 그룹 키라 불리는 공유 키 (또는 세션키)를 설정하고 유지한다. 빈번한 멤버쉽의 변화가 있는 큰 그룹의 경우, 이 공유 키는 멤버쉽의 변화가 있을 때마다 갱신되어야 하며, 존재하는 그룹 멤버들에게 안전하게 재분배되어야 한다. 그룹 키를 갱신하는 가장 간단한 방법은 그룹 매니저가 각각의 그룹 멤버들과 공유하고 있는 비밀 키들을 이용하여 새로운 그룹 키를 각각 암호화하여 개별 멤버들에게 전송하는 것이다. 이 방법은 그룹 크기에 따라 갱신 비용이 선형적으로 증가하므로 확장성을 가지지 못한다.

최근에 많은 확장성을 가진 그룹 키 갱신 기법들이 제안되었다.'"同 또한 그룹 멤버쉽이 변경될 때마다 그룹 키가 갱신되는 대신에 주기적으로 갱신되는 방법도 제안되고 있다.卩7 더욱이 몇 몇 논문들은 멤버들이 취소 능력을 가진 경우를 다루고 있다.阿勺

그러나 위의 모든 논문들은 네트워크가 신뢰 되는 경우를 가정하고 있다. 신뢰되지 않는 네트워크에서의 키 분배 기법은 아직 깊이 있게 연구되지는 않았다. 卩이과 [11]의 저자들은 상호 작용하지 않는 방법으로 패킷 분실에 대처할 수 있는 방법을 제안하였다. [10]에서는 오류 정정(error-correcting) 기법이 사용되었고, [11]에서는 패킷에 짧은 힌트 메시지를 부가하였다.

최근에 신뢰되지 않는 네트워크 상에서의 주기적인 키 갱신 기법으로 주목할 만한 결과가 발표되었다. Staddon 등에 의해 제안된 취소 능력을 가진 Self- healing 키 분배 기법은m 동적 그룹의 멤버들이 신뢰할 수 없는 채널 상에서 그룹 키를 설정할 수 있게 하며, 더욱이 그룹을 탈퇴하거나 가입하는 멤버들에 의한 공모 공격에 안전하다. 이 프로토콜에서 각각의 그룹 멤버들에게 세션키를 분배하기 위하여 그룹 매니저는 채널을 통해 패킷들을 브로드캐스트한다. 몇몇 패킷이 분실되더라도 그룹 멤버는 그룹 매니저에게 추가적인 전송을 요청하지 않고 이전에 받은 패킷들을 이용하여 잃어버린 그룹 키를 복원할 수 있게 한다. “self-healing” 과정을 통하여 잃어버린 키를 복구하기 위해서는 사용자가 잃어버린 특정 키가 보내어진 세션의 전, 후에 그룹의 멤버여야 한다는 요구 조건만 필요하다. Self-healing 키 복구 기법의 장점은 네트워크 트래픽과 그룹 매니저의 계산량을 감소시키며, 트래픽 분석을 통한 사용자 노출 위험을 줄인다.

본 논문에서는 Staddon 등에 의해 제안된 취소 능력을 가진 Self-healing 키 분배 기법을 개선하였다. 브로드캐스트되는 메시지를 분석하여 masking 다항식의 수를 감소시켜, 그룹 멤버의 저장량을 에서 mlog》로 최적으로 줄이고 또한 그룹 매니저에 의해브로드캐스트되는 메시지 크기를 O((m户+mf)log/>) 에서。((户 + mt)log/))로 줄이는 효율적이고 안전한 취소 능력을 가진 Self-healing 키 분배 기법을 제안한다. 여기에서 彻은 세션의 회수이고, t는 공모할 수 있는 최대 그룹 멤버의 크기이고, 0는 암호적 키로 사용할 수 있는 충분히 큰 소수이다. 우리의 모든 결과는 그룹 멤버와 매니저의 입장에서 추가적인 계산량 증가없이 얻어진다.

본 논문은 다음과 같이 이루어진다. 2절에서는 제안되는 통신 모델에서 사용되는 기호와 개념들을 정의한다. 3절에서는 [1]에서 제안된 기본적인 기법을 기술하고, 향상된 새로운 기법을 제안하고 안전성 증명을 제공한다. 4절은 결론이다.

II. 모델

본 논문에서 우리가 고려하는 모델은 [1]에서 제안된 모델과 비슷하다. 네트워크에서 통신 개체들은 브로드캐스트되는 메시지에 대한 접근을 통제하기 위해 그룹들을 형성한다고 가정한다. 네트워크의 주기는 세션이라 불리는 시간 구간으로 분할된다.

그룹 매니저는 합법적인 많은 그룹 멤버들에게 세션 키(또는 그룹 키)를 분배할 책임이 있다. 세션 키를 분배할 때, 세 번의 세션(연속적일 필요는 없음) 사이에 있는 멤버가 첫 번째와 세 번째 브로드캐스트 메시지를 이용하여 중간 세션에 대응하는 세션 키를 복구할 수 있으면, 키 분배 기법이 self-healing 성질을 가지고 있다고 한다. 또한, t명의 그룹에서 탈퇴한 멤버가 공모하여도 새로운 세션키를 알아내지 못하면 키 분배 기법이 /-revocation 성질을 가지고 있다고 한다.

한 명의 그룹 매니저와 力 명의 사용자 U\, …, U” 가 있는 설정을 고려호].자. 모든 계산은 유한체 에서 행해진다. 여기에서 는 암호적 키로 사용할 수 있는 충분히 큰 소수이 다. 각 사용자 U: 는 그룹 멤버가 세션키를 복구하는 데에 사용할 수 있는 모든 정보를 나타내는 개인 키 S§F» 를 저장한다. H( . ) 는 정보 이론의 엔트로피 함수를 나타낸다.'淄 Self- healing 키 분배 기법의 정의를 기술하는데 필요한 엔트로피 함수의 기본 성질들은 [1]을 참조하라.

세션들의 횟수를 m이라 하고, , 번째 세션에서 그룹 멤버가 아닌 사용자들의 집합을, . 라 흐卜자. 만약 .이면, IL 는 세션, 에서 그룹 멤버 (또는 활동적인 사용자)이다. 세션키 K)(, =1, …, 购는 그룹 매니저로부터 브로드캐스트되는 메시지 月를 통해 그룹 멤버들에게 전송된다. 임의의 그룹 멤버 爲 는, 번째 세션키 K: 를 브로드캐스트되는 메시지 % 와 개 인 키 S, 에 의 해 결정한다. 를 사용자 5 月 와 S 로부터 얻는 모든 정보라고 하자. Si, Bh Kh Z, ."를 위의 요소들과 관련된 랜덤 변수들이라 흐卜자.

제안하는 기법을 분명하게 하기 위해 다음의 정의가 필요하다.

[정의 1]

Revocation 성질을 가진 self-healing 세션키 분배 기법'" t, iv {I, --, n}, {I, ---, m) 라 흐}자.

1. 다음을 만족하면 4를 세션키 분배 기법이라 한다.

(a) 임의의 멤버 第 에 대해, 키 K& 는 3, . 와 S; 로부터 얻어지는 乙”로부터 결정된다. 즉, 다음이 성립한다.

#

(b) 임의의 부분집합 C; (t/i, -, £/„} s.t. 心 M t, Ut w C 에 대해, C 에 있는 사용자들은 Si 에 관한 어떤 정보도 알 수 없다. 즉, 다음이 성립한다. H(S, | {&} IL든 C、 Bi, -, Bm) = H(、Si).

#

(c) 멤버들 3, ..., "” 이 브로드캐스트되는 메시지 , 를 통해 알 수 있는 것을 브로드캐스트되는 메시지들이나 개인 키들 만으로는 결정할 수 없다. 즉, 다음이 성립한다.

#

2. 다음을 만족하면 71는 /-revocation 성질을 가지고 있다고 정의한다. 만약 주어진 임의의 집합 RW {"『.., ""} 이冃 小)에 대해, 그룹 매니저가 모든 饥砖 R 인 I" 는 세션키 孩。=1, ..., »?)를 복구 할 수 있지만 모든 탈퇴한 사용자는 복구할 수 없는 를 브로드캐스트할 수 있다. 즉, 다음이 성립한다.

#

3. 임의의 IM力。<方Mm 에 대하여 다음을 만족하면 /!는 self-healing 성질을 가지고 있다고 정의한다.

(a) 세션 力 과 丿2 에서 그룹 멤버인 임의의 爲 에 대해, 키 珞는 伝斯, 2麟} 에 의해 결정된다. 즉, 다음이 성립한다.

#

(b) 임의의 부분집합 C, Qu{S, ..., n}(CCZ)=0, ICUZ기 Mf)에 대해, 집합 {Z財} 3<$曰方1丿 方아5는 K, 에 대한 어떤 정보도 가지지 않는다. 즉 다음이 성립한다.

#

정의의 첫 번째 부분은 세션키 분배 기법에서 반드시 만족해야하는 조건을 서술한다. 두 번째와 세 번째는 Z-revocation 성질과 self-healing 성질을 정의한다.

Ⅲ. 취소 능력을 가진 향상된 Self-Healing 키 분배 기법

[1]에서 제안된 self-healing 키 분배 기법에서 기본적인 방법은 secret sharing1131 기법을 사용하여 패킷 분실로부터 복구할 수 있는 사용자의 능력을 유지한다. 각각의 브로드캐스트되는 메시지로부터 멤버들은 현재의 세션키와 이전과 이후 세션키들을 구할 수 있는 sr* e 들을 복구한다. 이 기법에서 공모 공격에 대한 안전성을 제공하기 위하여, 다른 사용자에 의해 복구되는 sham들은 서로 다르다. Shaic들의 값들을 결정하기 위해 충분히 높은 차수의 여러 개의 독립인 masking 다항식을 이용하여, 공모 공격에 저항할 수 있는 요구되는 수준을 달성한다.

본 논문에서 제안된 기법의 효율성 향상은 본질적으로 masking 다항식의 효율적인 선택에 기인한다. 본 논문에서 우리는 그룹 매니저가 세션마다 한 개의 랜덤한 난수를 이용하면 필요한 masking 다항식의 수를 충분히 줄일 수 있음을 보일 것이다. 따라서 masking 다항식의 수가 줄면 각 그룹 멤버의 저장량과 그룹 매니저의 통신량을 줄일 수 있다.

3.1 취소 능력을 가진 Self-Healing 키 분배 기법

여기서는 제안된 기법을 이해하기 위해 필요한 [1]에서 제안된 ^-revocation 능력을 가진 self-healing 키 분배 기법을 기술한다.

[1]의 Construction 3 ^-revocation 능력을 가진 self- healing 키 분배 기법

1. 설정 : t는 양의 정수, N& Fp 은 사용자 인덱스와 일치하지 않는 수라 종卜자. 그룹 매니저는 차수인 m개의 랜덤한 다항식 /i(x), .", /«(%) uF》[硏 과 m개의 랜덤한 키들 Ki, …, K广 旦 을 선택하고, 각, =1, ・・・, 犯 에 대하여 다항식 gj(x) = Kj-fj(x) 를 정의한다 또한 그룹 매니저는 Fp[x>y] 에 속하는 必개의 다항식들 {/?, ;/%, >)} h ij(x, y) = a o.o + a i', o^+ a &切 + … + “ 出勺’ 을 랜덤하게 선택한다. z;u{l, …/} 에 대해, 사용자 3, 는 안전한 통신 채널을 통해 그룹 매니저로부터 개인 키 我= {们项")} , = 1, ..., 妇=1, …s 를 얻는다.

2. 브로드캐스트 : Ah R.으 {5, …, U”}, 를각각 세션, 에서 활동적인 사용자와 취소된 사용자들의 집합이라 충]자". 그룹 매니저는 다음 성질을 만족하는 부분 집합 庵={讪, 2诺, …, 成} 으旦를선택한다. 여기에서, 足에 있는 사용자들의 인덱스는 모두 坍에 포함되고, 에 있는 사용자들의 어떤 인덱스도 坍에 포함되지 않는다 그리고 Wj 이다. 그룹 매니저는 功二号。房 를 브로드캐스트한다. 여기에서

#

이고 居= {如, {"(丽, 为)} £=i, …, , &} 1= I, ---, t 이다

3. 세션키와 sha吨들 복구 : 丿.번째 세션에 있는 취소하지 않은 그룹 멤 버 0에 대 해, U。는 다항식 {{们”(如, *)} FlJ 를 * = 〃어서 계산한 값 {{/? ;”(赫, ")} ;=1, ...异 와 개인 키 {如"(")};= 1, ....E= 1, .“* 를 이용하여 다항식 {h ij{x, V)} Xi, .., ”}를 구할 수 있다. 그러면 x=N 을 {如., &, 〃)};= 1, .““} 에 대입하여 세션키 K, 와 s蜒들 {方(勿 } 1 와 {g, 3)} F+L-., ”를 복구할 수 있다.

4. 그룹 멤버 추가: 그룹 매니저가 세션, ' 부터 새로운 멤버를 추가하기 원하면, 새로운 멤버에게 이전에 사용한 적이 없는 유일한 인덱스 0기를 할당하고 현재와 미래의 세션키를 구할 수 있는 개인 키 {城(0', 0')}, 3, ."””3, ., „, 을 계산하여 안전한 통신 채널을 통해 제공한다.

위의 Construction 3에서 그룹 멤버들의 저장량은 mTog力 이고 그룹 매니저가 브로드캐스트하는 메시지 크기는 0((mi2 + 两log》) (엄밀하게 ("护 + 2mt + 所4") log》)이다. 새로운 세션키를 생성하기 위해 사용자가 저장해야 하는 개인키의 크기와 그룹매니저가 세션마다 브로드캐스트하는 메시지의 크기는 다음과 같은 하한을 가진다. 다음 보조정리들은 [1] 에서 얻어진 결과들이다.

[보조정리 1] 무조건적으로 안전한 임의의 self-healing 키 분배 기법에서 임의의 사용자 U。, 婚1, ..., "에 대해 다음이 성립한다.

#

보조정리 1의 부등식에 의하면 모든 사용자는 적어도 初log£> 비트의 개인키를 저장해야만 한다.

[보조정리 2] 무조건적으로 안전한 (취소 능력을 가지지 않은) self-healing 키 분배 기법에서 브로드캐스트되는 메시지 에 대해 다음이 성립한다.

#

보조정리 2의 결과와 취소 능력을 같이 고려하면 취소능력을 가진 self-healing 키 분배 기법에서 브로드캐스트되는 메시지 Bj, ye m 크기의 하한은 다음을 만족한다:

#

이런 관점에서 [1] 의 construction 3은 그룹멤버의 저장량과 그룹 매니저의 통신량 측면에서 향상될 여지가 있다.

3.2 취소 능력을 가진 향상된 Self-Healing 키 분배 기법

이 절에서는 [1]의 Construction 3 보다 향상된 기법을 제안한다. 다음과 같은 사실을 주목하라.

Construction 3에서 브로드캐스트되는 메시지를 주의 깊게 관찰하면, 이전에 구해진 share들을 통해 유용한 masking 다항식을 복구할 수 없도록 다항식 {/;(%)} := I.-., -1 와 ) i=;+i, ■■->n! xr 각각 서로 다른 masking 다항식 {们”(N, x)} :=1, ..丿_1 와 {们”(N, /};=, +L_f에 의해 숨겨진다. 그리고 세션 키는 다항식 로 masking된다. 하지만 이런 효과를 얻기 위해 각 세션마다 仇개의 독립인 masking 다항식을 이용하는 것은 브로드캐스트 메시지의 전송량과 해당 세션에서 share들을 구하기 위해 그룹 멤버가 저장해야 하는 개인키의 저장량을 크게 만든다.

각 세션마다 정당한 그룹 멤버만 구할 수 있는 랜덤한 한 개의 난수를 그룹 매니저가 선택하면, 한 개의 masking 다항식에서 얻어지는 여러 개의 종속인 masking 다항식들을 사용하여 충분히 세션키와 shame들을 보호할 수 있는 기법을 제안한다. 제안되는 기법에서는 세션, 에서 세션키 K, .를 보호하기 위해 한 개의 masking 다항식 们顼x, y) 가 일단 사용되면, 그룹 매니저는 같은 세션에서 다항식 {/](/, ..., 幻+1(, ), …, g”(x)} 를 보호하기 위해 구해진 masking 다항식을 재사용할 수 있다. 단지 이전에 구해진 다항식들의 share 값들을 이용할 수 없도록 추가적인 값(임의의 난수)이 한 개 필요할 뿐이다.

제안된 기법에서는 다음과 같이 다항식들이 브로드캐스트된다

#

여기에서 r, 는 그룹 매니저에 의해 랜덤하게 선택된 난수이다. 비록 们”(7V+為, X)와 们”(7V+刼, X) ((比魁야2己所-1) 가 종속일 수도 있지만 r;(/«1 + i(x) + 们.”("+庇, ;r))와 小g, q+i(x)+ hjJ{N+k2 , %)) 는 항상 독립이다. 그룹 멤버의 인덱스 fe(l에 대한 人/N+ 知, /)와 人 jj(N+ k2, z') 의 값들을 모른다면(두 값이 종속일 수도 있다), 취소된 사용자는, , 의 값과 九+ 9)와 g局+ 13)의 관계를 알 수 없다. 따라서 모든 취소된 사용자들은 임의의 그룹 멤버 統, 에 대해 다항식 에서 기껏해야 / 개의 다른 점들만 얻을 수 있으며, 취소된 세션의 세션 키에 대한 어떤 정보도 구할 수 없다.

위에서 기술한 것에 기반하여 효율적인 self-healing 세션키 분배 기법을 제안한다. 제안된 기법은 그룹매니저의 통신 오버헤드를 Construction 3의 0(( + "")log/)) 에서 0(( 户 + n”) log》) 으로 향상시키고 각 그룹 멤버의 저장량을 /[。辺)에서 mlog/>로 최적으로 줄인다.

[제안 기법] Z-revocation 능력을 가진 개선된 self- healing 키 분배 기법

1. 설정 : t와 所은 양의 정수이고, N은 사용자 인덱스와 일치하지 않는 수로 N+mvF, 이다. 그룹매니저는 랜덤한 m개의 차수 f인 다항식 /iCr), …, f”(x) w F»[x]과 %개의 랜덤한 세션키들 …, K, £F» 을 선택하고, 각 丿에 대하여 다항식 幻3) = 珞一方3 를 정의한다. 또한, 그룹 매니저는 Fp[x, y] 에 속하는 m개의 다항식 {加3, )} 如3y)= 拓0 +充"+死" + … 攵勺'를 랜덤하게 선택한다. 각 UU {1, …, 勿}에 대해, 사용자 S는 안전한 통신 채널을 통해 그룹 매니저로부터 개인키 &= {膈勿 } i, ., . 를 얻는다.

2. 브로드캐스트 A, , 兄 U{Ui, …, 久}, 를 각각 세션, 에서 활동적인 사용자와 취소된 사용자들의 집합이라 흐卜자. 그룹 매니저는 다음 성질을 만족하는 부분 집합 庵= {", 奶, …, 如} U 码 를선택한다. .码에 포함되는 모든 사용자들의 인덱스는 用에 포함되고, A, , 에 포함되는 사용자들의 어떤 인덱스도 에 포함되지 않는다. 그리고 N혼 Wj 이다. 그룹 매니저는 각 세션마다 랜덤한 수 r^Ff, 를 선택하여 계산한 메시지 를 브로드캐스트한다. 여기에서

#

3. 세션키와 share들 복구: 丿.번 째 세션에서 취소되지 않은 사용자 가, 번 째 세션키 분배 메시지를 수신하면, U, 는 다항식 {姒T, X)}, =1.....'를 * = 〃에서 계산한 값 {姒宓, 〃)}, = »..》과 개인 키 知3, 를 이용하여 다항식 奶3 分를 구할 수 있다 그러면 U、느 x=7V+m을 hj(x, V)에 대입하여 난수 T)를 계산하고 X— N, ■■■, N+ — 1 을 hj(x, V) 에대입하여 세션키 K, 와 shag들 (方(0)}, =m, T, {母3) } ;=, + 1, ...”를 복구할 수 있다

4. 그룹 멤버 추가: 그룹 매니저가 세션 /부터 새로운 멤버를 추가하기를 원하면, 새로운 멤버에게 이전에 사용되지 않은 유일한 인덱스 〃‘丘旦를할당하고, 현재와 미래의 세션에 대응하는 개인키 血。'"/)}, 3, ..次을 계산하여 안전한 통신 채널을 통해 제공한다.

[1]의 Construction 3에서 실제로 필요로 하는 각 세션 顶 의 masking 다항식은 {知”(N, y)} 心, .., , ”이다. 여기서 7V은 고정된 상수이다. 따라서 필요로 하는 정보를 세 변수의 함수로 생각할 수 있다. 제안된 기법에서도 세 변수의 함수인 奶G, y)를 필요로 한다. 그러므로 브로드캐스트 메시지 3, .의 첫 번째 부분 B} 에서 통신 오버헤드는 거의 동일하다. 그렇지만 用 의 두 번째 부분 房 에서 통신 오버헤드는 한 개의 masking 다항식만을 필요로 하기 때문에 ("JP+"z+t) log》에서 (产+ 2£)log/> 로 줄어든다. 따라서 전체적으로 그룹 매니저의 통신 오버헤드는 0( (混2 十 ””)10&0)에서。( (尸 十 〃")lOg0)로 개선된다 더욱이, 전체 세션을 통해 F»[x, 硏에 속하는 m 개의 다항식만을 필요로 하기 때문에 그룹 멤버가 저장해야 하는 개인키의 저장량이 也气昭力에서 miOgp 로 현저하게 줄어든다. 보조정리 1에 의하면 이 값은 그룹 멤버가 적어도 저장해야 하는 최소한의 크기이다.

제안된 기법은 Construction 3보다 적은 브로드캐스트 크기와 저장량을 요구하면서도, 여전히 좋은 보안 성질들을 유지한다.

[정리 1] 제안된 기법은 ^-revocation 능력을 가진 무조건적으로 안전한 self-healing 세션키 분배 기법이다.

(증명) 제안된 기법이 정의 1에 열거한 모든 조건들을 만족한다는 것을 증명할 필요가 있다.

1. (a) 그룹 멤버 "。의 세션키 복구는 제안된 기법의 단계 3에 기술되었다. 따라서

H{ Kt\ 毛, SJ = Kj\ ZU= 0 이다

(b) 임의의 부분 집합 C트{饥, ..., 象}, 心 와 그룹 멤버 C에 대해 C의 사용자들의 공모가 임의의 j V {1, …, m} 에 대해 hj(v, v) 를 결정할 수 없다는 것을 보일 것이다. 甲를 C 에 속한 사용자 인덱스의 집합이라고 하자. C 에 속하는 사용자들의 공모는 x = i' W)에 대한 다항식 hj{x, v) 에서 기껏해야 t 개의 점들을 안다. 따라서 각 다항식의 차수가 t 이면, hjiv.v) 는 C 에 속한 사용자들에게 에서 랜덤하게 분포된 값들로 보인다. 如( . , . ) 에 관한 어떤 정보도 다른 브로드캐스트 메시지에 포함되지 않기 때문에, 다음이 성립한다. V)I ( S , } t/, eC. , ..., B”) = H(J认0, V)).

(C){/;(*)} {, ■■■, mi 切} i= \, — , m ' {, , '} — 들은 그룹 매니저에 의해 랜덤하게 선택되었음으로 Zij= (/](/), ..., 方-…, g, ”。), rj} 가 브로드캐스트 메시지들이나 개인키들 단독으로는 결정될 수 없다. 즉, 다음이 성립한다.

#

2. 广영의 취소된 사용자들의 집합 R 에 속한 사용자들이 공모한다고 가정 하자. 7?에 속하는 사용자들의 공모는 {纵, "):"芒7?} 5而(, '3'), -, 을 안다. 취소된 사용자들에게 膈、N+ 坏3)는 Fr에서 랜덤하게 분포된 것으로 보이므로, 난수 七에 관한 어떤 정보도 알 수 없다. 그러므로 취소된 사용자들에게 {姒 점들은 각각 F, 에서 랜덤하게 분포된 것으로 보인다. 따라서 如 에 대해 취소된 사용자들은 다항식 {姒*3)} 에 관해 기껏해야 t 개의 점만을 알 수 있다. 모든 丿과 모든 / 에 대해 취소된 사용자들은 如QV+顶一13)에 관한 어떤 정보도 알지 못함으로, 如(N+顶一1, £)에 관한 어떤 정보도 알 수 없고, 결과적으로 K)에 관한 정보를 가지지 못한다. 따라서 다음이 성립한다.

#

3. (a) 제안된 기법의 단계 3에서, 세션 力 과 ;2 (1M 方 3<丿2 Mm)에서 멤버인 임의 弟 에 대해 Ui는 {/](?), …, /, "1(分, 幻, +1(分, …, 幻(分, …, g, "(2)} 와 (/i(z), …, g”(z)}를복구할 수 있다. 따라서 K, = g")+方⑺는 ZtJ1 과 Z彊로부터 재구성될 수 있다.

(b) 임의의 disjoint 부분집합 C, DU{S, …, U”} (cnn= 0, icu이歹)와 m力尊<如 에 대해 (Z.-.J 과 {Z i' , k^ U 产食 고려하자. 句를 복구하기 위해 CUQ 는 어떤 /에대해 方。)와 幻(/) 모두를 복구하거나 또는 "N + , 一13)를 복구해야 한다.。에서 사용자들은 세션 h 에서 취소되었고 C 에서 사용자들은 세션 方 에서 취소되었기 때문에 CUD는 {&(, ')} u, uc 와 (方。')} 만을 복구할 수 있다. 위의 증명 2 에서 설명한대로 취소된 사용자들은 그룹 매니저가 선택한 난수 写와 {源N+顶一 13)}, = s“점들에 대한 어떤 정보도 알지 못한다. 따라서 모든 취소된 멤버들은 {次/;(%)+ 姒N+z.-l, x))} 과 {^ASi(x) + hj{N+ i— 1, %))} 중 어떤 값도 알 수 없으며, 결국 어떤 유효한 masking 다항식의 값도 구할 수 없다. 따라서 취소된 멤버들은 브로트캐스트되는 메시지들과 자신들이 알고 있는 모든 정보를 이용하여도 임의의 ze n) 에 대해 다항식 奶 S3) 에서 기껏해야 t 개의 점만을 알 수 있다. ICI丄DIG 이고 C 와 〃 의 교집합이 공집합이고 方(%), g, G), hi(x, i) 가 차수 t 이기 때문에, CIJ〃의 사용자들의 공모는X, 를복구할 수 없다. 즉, 다음이 성립한다.

#

Ⅳ. 결론

본 논문에서는 self-healing 키 분배를 향상시킬 수 있는 기법을 제안하였다. 더욱이, [1]에서 제안된 기법의 통신량을 향상시키고, 그룹 멤버의 저장량을 효율적으로 줄였다. 앞으로 좀 더 통신량을 줄일 수 있는 효과적인 기법에 대한 연구와 secret sharing을 사용하지 않는 안전하고 효율적인 self-healing 키 분배 기법에 대한 연구가 계속 진행되어야 할 것으로 보인다.