2020年4月，“新基建”被正式提出，工业互联网技术越来越得到国家的重视，未来将成为国家经济发展的重点，也是各国发展工业的新优势.而随着工业互联网技术的发展，工业互联网数据也迅速地增长，数据安全逐渐成为工业互联网发展的重要保障^[1].

本文主要针对钢铁生产中的智能设备点检系统数据传输安全，传统设备点检工作主要是通过专业人员去现场实时采集数据、分析数据，发现问题通知专业设备人员进行处理，处理完毕再进行验收反馈.点检人员操作繁琐，工作效率低；人工输入数据，工作错误率高；各部门没有有效的监督机制，容易出现遗漏；工作环境恶劣，容易出现烫伤、密闭空间窒息等安全隐患.智能点检系统通过网络传输信息，通过传感器将设备运行状态实时传输到服务器中，工作人员可以远程实时查看设备运行数据.目前，智能点检系统在某些钢铁企业得到应用，大量的信号采集，实时传输使得设备的可靠性以及生产的效率得到了显著提升，尤其是点检人员的点检效率也得到了提高，及时发现并解决故障，使设备得到更长的使用寿命，预防了设备事故的发生.

由于智能点检需要大量的传感器，传感器的数据需要进行整合分析上传到服务器，并且传感器设备之间也需要进行实时有效安全的传输数据. 比如：点检系统中涉及铁水脱硫、混铁炉、转炉冶炼、吹氩、精炼以及连铸等多个工序，工序之间的传感器设备之间需要有效地及时信息交互，才能准确地判断设备生产状态.因此，数据安全是保障炼钢点检智能化发展的重要前提.与普通互联网不同的是，一旦智能系统上的机密数据遭到泄露，可能将会导致企业失去核心竞争力，并且生产过程中的设备控制权限、状态参数如果被不法分子截获篡改，则会影响设备安全运行，导致严重的安全事故，危害国家安全、经济发展以及社会稳定.

现在的工业现场通信面对大量的节点设备，需要建立安全可靠的信息传输.密钥管理在工业互联网中便起到了重要作用^[2-3].近几年，互联网中的密钥管理引起了众多研究者的兴趣.密钥管理主要分为集中式密钥管理和分布式密钥管理2种类型.

集中式密钥管理即为由单一中心节点负责生成、分发和更新系统中节点所用的加密密钥或者会话密钥^[4-8].Sun等人在文献[4]中提出了一种多组密钥管理方案，实现了分层的组通信访问控制.在文献[5]中，Je等人提出一种安全组播通信的密钥树管理协议以及一种高效计算存储的密钥树结构；接着，冯力等人在文献[6]中提出基于单项散列函数的多级密钥管理方案，根据访问控制矩阵实现安全高效的多密级授权访问；然后，Gao等人在文献[7]中提出一种基于椭圆曲线的匿名多播方案，利用多项式进行分发，具有更高的效率.

分布式密钥管理即为无单一中心节点，密钥由所有成员共同管理^[9-12].Lou等人在文献[9]中提出了一种基于区块链的密钥管理方案，解决通信实体之间缺乏信任的问题.Zhao等人在文献[10]中设计了一种轻量级高效可恢复的密钥管理方案，用于保护医疗数据隐私信息.Lei等人在文献[12]中提出一种基于车联网的组密钥管理方案，利用区块链实现了异构车辆通信系统中的分布式密钥管理方案.

集中式密钥管理方案的优点是较低的计算和传输的成本开销.但是需要一个可信第三方来充当密钥生成中心（key generation center，KGC），在注册阶段与每个用户建立成对的共享密钥. 在组通信阶段，由KGC首先选择生成组密钥并通过共享密钥加密后分发给每个组用户.因此，需要可信第三方KGC来保证通信系统的安全.但是，一旦KGC被攻陷，则会导致整个通信系统的崩溃.在工业通信现场，任何节点随时都有可能遭到攻击，因此去中心化的密钥管理方案是非常有必要的.

近几年，随着5G技术的普及，工业互联网中大多数应用程序都是将数据通过一个集中的云服务器进行存储或者处理的.然而，集中处理的服务器对于大规模系统也存在着单个中心节点被攻陷的威胁.而且对于大型应用如炼钢产业、车联网等需要低延迟网络通信来说，集中式密钥管理方案可能并不是最优的.

利用边缘计算结合区块链则可以解决通信延迟的问题.边缘节点一般具有较高的存储以及计算能力，可以给较低存储以及较低计算能力的传感器节点提供低延迟的服务，并且可以为云服务器减少计算负担^[13].区块链可以保证存储数据的公开透明以及不可篡改.两者相结合可以为工业互联网提供更高的性能以及安全性^[14-15].最近，新兴的边缘计算^[16-17]以及区块链技术^[18]已经得到了广泛的研究. Ning等人在文献[19]中提出在车联网中部署高计算、高存储的路边单元（road side unit，RSU），实现车辆通过路边单元进行高效的信息传输.Ning等人在文献[20]提出一种基于边缘计算的5G健康监测系统.在文献[21]中，Yang等人提出通过边缘节点与云之间的相互交互来处理工业互联网的大数据流；接着，Pan等人在文献[22]中设计了一种基于区块链以及智能合约的边缘物联网框架，有效地将边缘计算以及区块链的优势整合到了物联网中.

本文通过引入区块链技术结合边缘计算，有效避免中心节点会被攻陷而产生的安全问题.通过使用二元多项式产生密钥，保证较快的处理速度和时效性，并且能够有效适应节点的出入，保证节点之间的有效通信与系统通信的安全性.

本文给出一种不同于传统的新的访问结构，使用非对称双变量多项式构建子份额，由初始元节点（一般选择使用寿命长、工作环境较好、不会轻易下线的传感器设备）共同产生多项式，而非单个中心节点产生，使每个节点有效获得安全的子份额.在有节点丢失子份额时，可通过其他节点有效恢复子份额.非对称双变量多项式中双变量中不同的阶数提供不同的阈值，一方面保证在短时间大量节点加入时多项式密钥的安全性；另一方面保证在稳定状态，即无节点出入时期，能有效恢复份额，进行有效通信.而且，在新节点加入时，节点获得的高阈值份额不能够获取其他节点的任何有效信息，但是仍能够与已加入节点进行有效通信.

本文主要贡献有3个方面：

1）提出一种基于二元多项式的去中心化密钥管理方案.节点的份额由二元多项式生成，具有较快的处理速度以及较低的存储开销，因为无需存储大量成对的共享密钥，只需要通过存储二元多项式的系数即可.初始的二元多项式由所有元节点共同生成，并分发给其他普通节点，使密钥管理具有去中心化特点.

2）通过阈值切换，有效抵御节点出入对通信系统的威胁.方案使用的是非对称二元多项式，具有2个不同阶数的变量，能够有效地进行不同阈值的切换，提高通信系统的安全性.

3）利用区块链技术以及Kate承诺，实现安全的点对点通信以及多组通信.由于区块链去中心化、不可篡改的特点，再结合Kate承诺能够保证节点之间更安全有效的信息交互.

1.   相关技术

1.1   区块链

区块链^[23]是一种去中心化、不可篡改的数字账本.不同于传统系统的中心化的特征，区块链能够在无信任环境下进行安全可验证的交易计算.随着区块链的快速发展，区块链在大数据、云计算等领域都得到了广泛的应用.

目前，区块链主要分为3种链，分别是公有链、私有链以及联盟链.在公有链上，各节点可以自由进出并且参与链上数据的读写；私有链必须得到授权的节点才能加入，读写权限也只能有选择地开放；联盟链是基于多个不同的机构共同管理的区块链，数据只允许不同的机构进行读写.许多商业业务根据需求选择使用不同的区块链^[24-25]来改善传统信息化系统，通过区块链保护用户的密钥以及敏感隐私数据.

1.2   Kate承诺

Kate承诺是Kate等人^[26]在2010年提出的多项式承诺方案.

方案主要分4个步骤：

1）Setup.选择一个合适的双线性对群组（$p,G,{G}_{T}, e,g$），其中生成元为$G$，配对函数$e:G\times G={G}_{T}$,假设多项式最大阶数为$t$，随机选择一个私钥$sk=s$，则公钥$pk={g}^{s},{g}^{{s}^{2}},…,{g}^{{s}^{t}}$.将公钥公开，并销毁（遗忘）私钥.

2）Commit$(\varphi \left(x\right),pk)$.设要承诺的多项式为$\varphi \left(x\right)=\displaystyle\sum_{j=0}^{d}{a}_{j}{x}^{j}$，其中多项式阶数$d\le t$，通过公钥$pk$计算承诺$C=\displaystyle\prod_{j=0}^{d}{{(g}^{{s}^{j}})}^{{a}_{j}}$.

3）CreateWitness$(\varphi \left(i\right),i,pk)$.计算目标多项式$x=i$处的多项式值$\varphi \left(i\right)$，并计算

设${W}_{i}={g}^{\omega \left(s\right)}$.其中${W}_{i}$即为多项式$\varphi \left(x\right)$在$x=i$处的证据.

4）VerifyEval$(C,i,\varphi \left(i\right),{W}_{i})$.输入$\varphi \left(i\right)$，承诺$C$以及证据${W}_{i}$.验证等式是否成立：

若等式成立，则承诺$C$所表示的多项式$\varphi \left(x\right)$在$i$处的值$\varphi \left(i\right)$是正确的.

其验证的公式推导过程为：

1.3   Shamir秘密共享

Shamir秘密分享^[27]是基于多项式的可信第三方$D$在${\mathbb{Z}}_{q}$上生成的一个$t-1$阶多项式$f\left(x\right)$，并且令$f\left(0\right)=s$，其中$s$即为秘密并且$s\in {\mathbb{Z}}_{q}.D$生成不同的份额$f\left({x}_{i}\right)$，$i=\mathrm{1,2},…,n$，其中${x}_{i}$是每个成员相应的公开信息.任意$t$个成员可通过拉格朗日插值法恢复秘密值，即$s=f\left(0\right)=\displaystyle\sum _{i=1}^{t}f\left({x}_{i}\right)\prod _{r=1,r\ne i}^{t}\dfrac{-{x}_{r}}{{x}_{i}-{x}_{r}}$.Shamir秘密分享需要满足2个安全要求：1）拥有大于等于$t$个份额即可恢复秘密；2）拥有少于$t$个份额则不能够获得该秘密的任何信息.

2.   系统模型与安全模型

2.1   系统模型

本系统将需要通信的设备节点分为3种：普通节点、元节点以及新节点，它们的关系如图1所示.

图  1  基于区块链的工业互联网动态密钥管理模型

Figure  1.  Dynamic key management model of industrial network based on blockchain

下载: 全尺寸图片 幻灯片

1）普通节点.所有分布在炼钢产业线上点检系统的传感器.对现场的设备进行检查、采集数据，并上传到数据库中.

2）元节点.从普通节点中选取的一部分（也可以是全部）作为元节点，一般选择使用寿命长、工作环境较好、不会轻易下线的传感器设备作为元节点.元节点需要互相合作生成初始的多项式，并将份额分发给其他所有节点，以达到节点之间互相通信的目的.本系统可容忍元节点为半诚实节点（honest-but-curious）（诚实且好奇的节点），即使部分元节点离线或者被攻陷，仍无法影响其他节点持有份额信息的安全以及通信系统的正常运作.

3）新节点.需要加入点检系统的新的传感器节点.新节点的加入需要一定数量的普通节点的帮助.如果普通节点的数量不够，则全部的元节点也可以帮助新节点成功加入通信系统.

系统模型如图1所示.其中，低阈值份额与高阈值份额定义为：

1）低阈值份额.非对称双变量多项式中，2个变量的阶数分别为$t$，$n'$，满足$t < n'$，同时获得$t$阶与$n'$阶份额时，阈值由较低阶数的份额而定，即阈值为$t$的份额而定，此即为低阈值份额.

2）高阈值份额.与1）同理，当且仅当获得$n\text{'}$阶的份额时，即为高阈值份额.

首先，选取部分或者全部的传感器节点作为元节点，多个元节点共同生成随机多项式，并将低阈值份额发送给所有其他节点.其他节点收到并计算出自己相应的完整份额，并且不可能得知不属于自己的份额信息.节点通过自己份额可计算出与其他节点的成对的共享密钥，并按照约定通过共享密钥进行点对点通信.其次，节点之间可以通过成对的共享密钥协商组密钥，并且通过区块链上摘要来验证发起者发送的组通信信息的正确性，进行安全的组通信.再次，新节点要加入时，需要一定数量的普通节点发送份额信息来帮助新节点获得部分高阈值份额，并通过发送到区块链上的承诺来验证份额信息的正确性，进而计算出可与通信系统中的部分节点进行通信的新节点自己的部分份额，而加入期间获得的部分高阈值份额保证通信系统可容忍较多节点同时加入且不影响通信系统安全.如果普通节点数量不够，可通过所有的元节点发送信息获得份额.最后，节点加入完毕后，一定数量的普通节点可帮助新节点恢复全部份额，进而新节点则成功加入通信系统与所有其他节点进行有效通信.如果普通节点数量不够，则可通过所有元节点发送信息恢复全部份额.

2.2   区块链部署结构

本文方案使用的是端—边—云的层次区块链结构，如图2所示，系统总共包含3层：设备层、边缘区块链层以及云区块链层.具体描述为：

图  2  区块链部署结构

Figure  2.  Blockchain deployment structure

下载: 全尺寸图片 幻灯片

1）设备层.设备层一般包括各种各样的基础设备节点（例如工业计算机和边缘路由器等），本文方案中主要包含普通节点以及元节点.将设备层部署在工业产业中，执行检测、取样等相关工作.由于计算以及存储能力有限，可将节点之间密钥协商所需要的验证数据发送到边缘层的边缘节点中.边缘层的存在使得设备区的节点查询或者区块链数据的上传变得更加快捷方便.

2）边缘区块链层.边缘区块链层是由大量的边缘节点（如基站）组成，它们一般有着较大的存储空间以及计算能力，接受设备层传来的数据，并可以低延迟地对数据进行集合、封装等相关处理.边缘计算节点通常更靠近基础设备节点，因此可有效降低通信时延，提高通信效率.

3）云区块链层.云区块链层借助其具有数据一致性以及防篡改的特点，保证信息的完整性、时序性.在本文方案中主要用于协助实现节点认证以及消息验证等功能.

在工业互联网环境中部署基于边缘计算的层次区块链，一方面，利用边缘服务器固有的较高计算能力以及存储空间，为基础设备节点提供低延迟的服务，并为云服务器分担计算负担；另一方面，区块链是可靠的分布式记账本，通过共识机制来保证事务数据的不可篡改等特性.

2.3   安全模型

本节提出的本文方案的安全需求具体描述为：

1）可防御性.任何时期，敌手攻陷低于一定数量的节点（包含部分元节点）时无法获取任何其他节点的信息.

2）可恢复性.任何时期，有节点丢失份额时都可以通过其他节点帮助恢复原有份额信息.

3）保密性.组通信时期，只有组成员知道组密钥并且知晓所有组内成员身份，组外成员无法得知密钥以及组内成员的身份.

本文方案系统的阈值切换如图3所示，其中$t < n'$.由图3可知，敌手性质为：

图  3  阈值切换示意图

Figure  3.  Schematic diagram of threshold switching

下载: 全尺寸图片 幻灯片

1）稳定期间即无节点出入期间，敌手最多可以攻陷$t$个节点（包含部分元节点），串通攻击无法得知其他任何节点的份额信息.

2）节点出入期间，敌手最多可以攻陷$n'$个节点（包含部分元节点），串通攻击依旧无法得知其他节点的份额信息.

3）即使敌手攻陷部分元节点，仍无法得到任何其他节点的份额信息.

3.   基于区块链的动态密钥管理方案

本节主要提出适应工业互联网动态节点的密钥管理方案.方案分为4个阶段：密钥生成、组密钥协商、节点变更、份额恢复.

1）密钥生成. 无需单个中心节点，通过初始元节点共同生成二元多项式，并分发给所有节点，节点自行构建子份额.节点可以通过子份额得到节点之间成对的共享密钥.

2）组密钥协商. 节点可以发起组通信，通过成对的共享密钥进行组密钥协商，利用区块链实现可靠的组通信.

3）节点变更. 当有节点加入时，可以容忍大量节点同时加入，不会危及到通信系统任何其他节点的密钥安全，并且能及时与部分原有节点进行有效通信.

4）份额恢复. 节点变更完毕，系统稳定以后，通过其他节点来恢复新加入节点的全部份额，保证新加入节点跟其他所有节点的有效通信.

具体结构为：令$p$是一个大素数，${\left\{{P}_{i}\right\}}_{i\in \left[n\right]}$是节点成员集合，${\{{P}_{j}'\}}_{j\in \left[m\right]}$是新加入的节点成员.为了阅读方便，在表1总结了这些符号以及对应的描述.

表  1  符号及其描述

Table  1.  Symbols and Their Descriptions

符号	描述
$P$	普通节点
$P'$	新节点
$n$	普通节点个数
$r$	元节点个数
$m$	新节点个数
${r}_{i}$	节点${P}_{i}$生成的随机数
${x}_{i}$	节点${P}_{i}$对应的公开信息
${C}_{F({x}_{i},y)}$	多项式$F({x}_{i},y)$的承诺
${W}_{F\left({x}_{i},{x}_{j}\right)}$	多项式$F\left({x}_{i},y\right)$在${x}_{j}$处的证据
${k}_{i,j}$	${P}_{i}$与${P}_{j}$的共享密钥
$K$	组通信密钥
$H$	单向散列函数
$R_{H}$	摘要

下载: 导出CSV 

| 显示表格

3.1   密钥生成

1）选取${\left\{{P}_{i}\right\}}_{i\in \left[n\right]}$中部分节点${\left\{{P}_{i}\right\}}_{i\in \left[r\right]}$（$r\le n$）为元节点，然后每个元节点${P}_{i}$随机生成一个非对称双变量多项式${f}_{i}\left(x,y\right)=({a}_{\mathrm{0,0}}^{i}+{a}_{\mathrm{1,0}}^{i}x+{a}_{\mathrm{0,1}}^{i}y+{a}_{\mathrm{1,1}}^{i}xy+{a}_{\mathrm{2,0}}^{i}{x}^{2}+{a}_{\mathrm{0,2}}^{i}{y}^{2}+… + {a}_{t,{n}'}^{i}{x}^{t}{y}^{{n}'})\;\mathrm{ }\mathrm{ }\mathrm{ }\mathrm{ }\mathrm{m}\mathrm{o}\mathrm{d}\;p$，其中$x$的阶数为$t$，$y$的阶数为${n}'$，${a}^{i,j}\in GF\left(p\right)$，并且满足${t < n}'\le n$.

2）${P}_{i}$根据其他节点${P}_{j}$相应的公开信息${x}_{j}$计算出${f}_{i}({x}_{j},y)$以及${f}_{i}(x,{x}_{j})$，其中满足$j\in \left[n\right]$且$j\ne i$.并将生成的子份额$\{{f}_{i}\left({x}_{j},y\right),{f}_{i}\left(x,{x}_{j}\right)\}$$i\in [n],\;i \ne j$通过安全信道发送给相应的节点${P}_{j}$.

3）${P}_{j}$收到其他所有节点发送的子份额$\{{f}_{i}({x}_{j}, y),{f}_{i}\left(x,{x}_{j}\right)\}_{i\in \left[n\right],i\ne j}$，首先检查收到子份额是否满足$x$的阶数为$t$，$y$的阶数为${n}'$，若满足，则继续计算

其中$F\left({x}_{j},y\right)$阶数为${n}'$，$F\left(x,{x}_{j}\right)$阶数为$t$.并根据Kate承诺协议计算$F\left({x}_{j},y\right)$与$F\left(x,{x}_{j}\right)$的承诺${C}_{F({x}_{j},y)}$以及${C}_{F(x,{x}_{j})}$（计算方法参考1.2 节），将其上传到区块链上.然后生成一个随机数${r}_{j}$，满足${r}_{j}\ne 0$，并将随机数${r}_{j}$广播给其他成员.

4）每个节点${P}_{i}$根据其他节点相应的公开信息${x}_{j}$,并通过持有的份额$F\left({x}_{i},y\right)$以及$F\left(x,{x}_{i}\right)$，计算出${k}_{i,j}= F\left({x}_{i},{x}_{j}\right)$或者${k}_{j,i}=F\left({x}_{j},{x}_{i}\right).\;{k}_{i,j}$，${k}_{j,i}$即为${P}_{i}$与${P}_{j}$的共享密钥，并约定如果$i < j$，则使用${k}_{i,j}$作为彼此的会话密钥；否则使用${k}_{j,i}$作为会话密钥.

3.2   组密钥协商

假设${P}_{i}$要发起组密钥通信，其中组通信成员设为节点子集$\left\{{P}_{{l}_{j}}|{P}_{{l}_{j}}\in P,j=1,2,…,m\right\}$，其中$1\le m\le n$.

1）${P}_{i}$随机生成组密钥$K$，并获取每个组成员${P}_{{l}_{j}}$的随机数${\left\{{r}_{{l}_{j}}\right\}}_{j\in \left[m\right]}$，根据组成员的随机数构建${R}_{H}=H({r}_{{l}_{1}}, {r}_{{l}_{2}},…,{r}_{{l}_{m}},K)$，其中${r}_{{l}_{j}}\ne 0$，并将${R}_{H}$发送到区块链上.

2）${P}_{i}$根据开始时其他节点广播的随机数构建${C}_{i}=\{K,\left({l}_{1},{r}_{{l}_{1}}\right),\left({l}_{2},{r}_{{l}_{2}}\right),…,\left({l}_{m},{r}_{{l}_{m}}\right),{R}_{H}\}$，然后根据关系使用${k}_{i,{l}_{j}}$或者${k}_{{l}_{j},i}$对${C}_{i}$进行加密，即${S}_{i,{l}_{j}}={E}_{{k}_{i,{l}_{j}}\mathrm{o}\mathrm{r}{k}_{{l}_{j},i}}\left({C}_{i}\right)$.最后将${S}_{i,{l}_{j}}$发送给相应的${P}_{{l}_{j}}$.

3）${P}_{{l}_{j}}$收到${P}_{i}$发来的${S}_{i,{l}_{j}}$后，根据关系使用${k}_{i,{l}_{j}}$或者${k}_{{l}_{j},i}$对${S}_{i,{l}_{j}}$解密，即${C}_{i}={D}_{{k}_{i,{l}_{j}}\mathrm{o}\mathrm{r}{k}_{{l}_{j},i}}\left({S}_{i,{l}_{j}}\right).{P}_{{l}_{j}}$获取${C}_{i}$后，首先判断一开始收到的$\left({l}_{i},{r}_{{l}_{i}}\right)$（$i=\mathrm{1,2},…,m$）与${C}_{i}$中的$({l}_{i}, {r}_{{l}_{i}})$是否相同并且满足${r}_{{l}_{i}}\ne 0$；然后判断${R}_{H}=H({r}_{{l}_{1}},{r}_{{l}_{2}},…, {r}_{{l}_{m}},K)$是否满足；接着检查${R}_{H}$与区块链上的${R}_{H}$是否相等.若这些等式都满足，${P}_{{l}_{j}}$则接受组密钥$K$作为${\left\{{P}_{{l}_{j}}\right\}}_{j\in \left[m\right]}$的组通信密钥.

3.3   节点变更

假设同时要增加节点${{{\{P}_{{l}_{j}}'}\}}_{j\in \left[m\right]}$，其中$m\le {n}'-t$.

当原有节点设定的阈值过大时，即$t\ge \dfrac{n}{2}$时，则不能够保证有足够的诚实节点帮助新节点获得份额，必须通过元节点的帮助来恢复份额.1.3节提到，本系统可容忍元节点为半诚实节点.具体原因会在安全性证明中详细说明.

当原有普通节点阈值$t < \dfrac{n}{2}$时：

1）普通节点${{\{P}_{i}\}}_{i\in \left[n\right]}$根据每个新节点${{P}_{{l}_{j}}'}$计算$F\left({x}_{i},{x}_{{l}_{j}}\right)$，根据Kate承诺协议计算出相应证据${W}_{F\left({x}_{i},{x}_{{l}_{j}}\right)}$（计算方法参考1.2 节）并发送$\{F\left({x}_{i},{x}_{{l}_{j}}\right),{W}_{F\left({x}_{i},{x}_{{l}_{j}}\right)}\}$给${{P}_{{l}_{j}}'}$.

2）${{P}_{{l}_{j}}'}$收到每个${P}_{i}$发送的信息，根据Kate承诺协议通过之前发送到区块链上的承诺验证$\left\{{C}_{F\left({x}_{i},y\right)}, {x}_{{l}_{j}},\right. \left.F\left({x}_{i},{x}_{{l}_{j}}\right),{W}_{F\left({x}_{i},{x}_{{l}_{j}}\right)}\right\}$（验证方法参考1.2 节），验证成功后，任意$t+1$个${\left\{F\left({x}_{i},{x}_{{l}_{j}}\right)\right\}}_{i\in \left[n\right]}$即可通过拉格朗日插值法插值获得$F\left(x,{x}_{{l}_{j}}\right)$.

3）${{P}_{{l}_{j}}'}$将$F\left(x,{x}_{{l}_{j}}\right)$作为子份额，根据Kate承诺协议计算$F\left(x,{x}_{{l}_{j}}\right)$的承诺${C}_{F(x,{x}_{{l}_{j}})}$，并将其发送到区块链上.然后，${P}_{{l}_{j}}'$可以通过构建密钥${k}_{i,{l}_{j}}=F\left({x}_{i},{x}_{{l}_{j}}\right)$与${P}_{i}$进行可靠通信，其中需要满足$i < {l}_{j}$.

当原有普通节点阈值$t\ge \dfrac{n}{2}$时：

1）所有元节点${P}_{i}$根据新节点${{P}_{{l}_{j}}'}$计算 ${f}_{i}\left(x,{x}_{{l}_{j}}\right)$，并发送${f}_{i}\left(x,{x}_{{l}_{j}}\right)$给${{P}_{{l}_{j}}'}$.

2）${{P}_{{l}_{j}}'}$收到每个${P}_{i}$发送的信息后，首先检查收到多项式是否满足$x$的阶数为$t$，若满足，则根据所有收到的${f}_{i}\left(x,{x}_{{l}_{j}}\right)$计算

得到$F\left(x,{x}_{{l}_{j}}\right)$，并将其作为子份额，根据Kate承诺协议计算$F\left(x,{x}_{{l}_{j}}\right)$的承诺${C}_{F(x,{x}_{{l}_{j}})}$，并将${C}_{F(x,{x}_{{l}_{j}})}$发送到区块链上.${{P}_{{l}_{j}}'}$可以通过子份额构建的密钥${k}_{i,{l}_{j}}=F\left({x}_{i},{x}_{{l}_{j}}\right)$与${P}_{i}$进行可靠通信，其中需要满足$i < {l}_{j}$.

需要退出的节点${P}_{i}$将随机数${r}_{i}$改为$0$并广播给其他成员即可.

此时，短时间新节点只要不超过${n}'$个，则所有新节点串通起来也永远无法得知关于其他节点的任何相关份额信息.如果再串通原有的$t$个被攻陷的普通节点，则新节点中攻陷节点不能超过${n}'-t$个.并且新节点一旦加入即可与部分其他原有节点建立共享密钥，进行有效通信.

新节点加入需要$t+1$个诚实的普通节点或者所有的元节点.值得注意的是，普通节点也包含元节点，只要保证系统中存在大于阈值$t$的普通节点即能够帮助新节点加入，因此即使部分元节点被攻陷，也不能影响节点变更阶段.并且由于份额是由所有元节点共同生成，因此攻陷部分元节点也无法获取其他节点的份额信息.

3.4   份额恢复

节点变更完毕，所有节点${{\{P}_{i}\}}_{i\le [n+m]}$稳定以后，要恢复所有成员全部份额.

由于存在节点出入，故此阶段不一定存在足够的普通节点帮助新节点恢复份额，故当数量不足时，需要元节点帮助恢复新节点的份额.

当所有节点个数${|P}_{i}|\ge {n}'+1$时：

1）每个节点${P}_{i}$根据新节点${{P}_{{l}_{j}}'}$计算 $F\left({x}_{{l}_{j}},{x}_{i}\right)$，根据Kate承诺协议计算出相应证据${W}_{F\left({x}_{{l}_{j}},{x}_{i}\right)}$并发送$\{F\left({x}_{{l}_{j}},{x}_{i}\right),{W}_{F\left({x}_{{l}_{j}},{x}_{i}\right)}\}$给${{P}_{{l}_{j}}'}$.

2）新节点${{P}_{{l}_{j}}'}$收到${P}_{i}$的信息，根据Kate协议验证$\left\{{C}_{F\left({x}_{{l}_{j}},{x}_{i}\right)},{x}_{{l}_{j}},F\left({x}_{{l}_{j}},{x}_{i}\right),{W}_{F\left({x}_{{l}_{j}},{x}_{i}\right)}\right\}$，验证成功后，其中任意$n'+1$个$F\left({x}_{{l}_{j}},{x}_{i}\right)$即可通过拉格朗日插值法插值获得$F\left({x}_{{l}_{j}},y\right)$作为自己的子份额，并生成一个随机数${r}_{{l}_{j}}$广播给其他所有成员，其中满足${r}_{{l}_{j}}\ne 0$.

当所有节点个数${|P}_{i}| < {n}'+1$时：

1）每个元节点${P}_{i}$根据新节点${{P}_{{l}_{j}}'}$计算 ${f}_{i}\left({x}_{{l}_{j}},y\right)$，并发送给${{P}_{{l}_{j}}'}$.

2）${{P}_{{l}_{j}}'}$收到每个${P}_{i}$的信息，首先检查收到的多项式是否满足$y$的阶数为$n'$，若满足，则根据所有收到的${f}_{i}\left({x}_{{l}_{j}},y\right)$计算

得到$F\left({x}_{{l}_{j}},y\right)$作为自己的子份额，生成一个随机数${r}_{{l}_{j}}$并广播给其他成员，其中满足${r}_{{l}_{j}}\ne 0$.

此时，所有节点成员都持有自己的全部子份额，可根据子份额与其他任意成员构建共享会话密钥，并进一步构建组会话密钥.

新加入的节点恢复份额需要至少$n'+1$个普通节点（包括新加入的节点）或者所有的元节点.

4.   安全性分析

4.1   正确性证明

定理1. 密钥生成阶段，每个节点得到的多项式$F\left({x}_{j},y\right)$与$F\left(x,{x}_{j}\right)$是多项式$F\left(x,y\right)=\displaystyle\sum_{i=1}^{r}{f}_{i}\left(x,y\right)\;{\text{mod}}\;p$的子份额.

证明.每个节点得到的多项式是通过$F\left({x}_{j},y\right)= \displaystyle\sum_{i=1}^{r}{f}_{i}\left({x}_{j},y\right)\;\mathrm{m}\mathrm{o}\mathrm{d}\;p$计算得来，是多项式${f}_{i}\left(x,y\right)$的子份额相加的和，其中$i=\mathrm{1,2},…,n$.根据秘密共享的同态性质，子份额相加得来的多项式$F\left({x}_{j},y\right)$是$F\left(x,y\right)$的子份额.证毕.

定理2. 每个节点通过得到的子份额$F\left({x}_{j},y\right)$与$F\left(x,{x}_{j}\right)$，可以在任意一对节点${P}_{i}$和${P}_{j}$之间构建成对的共享密钥${k}_{i,j}=F\left({x}_{i},{x}_{j}\right)$或者${k}_{j,i}=F\left({x}_{j},{x}_{i}\right)$，$\forall i,j\in [1,n]$.

证明.由于每个二元多项式，${f}_{i}\left(x,y\right)={a}_{\mathrm{0,0}}^{i}+ {a}_{\mathrm{1,0}}^{i}x+{a}_{\mathrm{0,1}}^{i}y+{a}_{\mathrm{1,1}}^{i}xy+{a}_{\mathrm{2,0}}^{i}{x}^{2}+… +{a}_{t,{n'}}^{i}{x}^{t}{y}^{{n'}}\;\mathrm{m}\mathrm{o}\mathrm{d}\;p$都是非对称的，其中$x$的阶数为$t$，$y$的阶数为$n'$，因此每个节点得到的子份额，$F\left({x}_{j},y\right)=\displaystyle\sum_{i=1}^{r}{f}_{i}\left({x}_{j},y\right)\;\mathrm{m}\mathrm{o}\mathrm{d}\;p$，$F\left(x,{x}_{j}\right)= \displaystyle\sum_{i=1}^{r}{f}_{i}\left(x,{x}_{j}\right)\;\mathrm{m}\mathrm{o}\mathrm{d}\;p$，也是非对称多项式，任意2个节点${P}_{i}$和${P}_{j}$都可以根据自己的份额获得$F\left({x}_{j},{x}_{i}\right)= \displaystyle\sum_{l=1}^{r}{f}_{l}\left({x}_{j},{x}_{i}\right)\;\mathrm{m}\mathrm{o}\mathrm{d}\;p={k}_{j,i}$以及$F\left({x}_{i},{x}_{j}\right)= \displaystyle\sum_{i=1}^{r}{f}_{i}\left({x}_{i},{x}_{j}\right)\times \mathrm{m}\mathrm{o}\mathrm{d}\;p={k}_{i,j}$，并按照约定，当$i < j$时，双方使用${k}_{i,j}$作为会话密钥，否则使用${k}_{j,i}$作为会话密钥.

每个节点得到的多项式子份额都是由所有初始元节点共同决定的，即$F\left({x}_{j},y\right)=\displaystyle\sum_{i=1}^{r}{f}_{i}\left({x}_{j},y\right)\;\mathrm{m}\mathrm{o}\mathrm{d}\;p$.因此，只要有一个元节点是诚实的，那么就能够保证每个节点得到的子份额是随机的，并且每个节点只能够知道自己的份额.证毕.

定理3. 节点变更阶段可以通过2种方式获得份额：1）通过$t+1$个普通节点发送来的子份额；2）通过$r$个元节点发送相应的子份额.

证明.分析2种方式获得份额：

1）新节点${{P}_{{l}_{j}}'}$收到普通节点${P}_{i}$的子份额$F\left({x}_{i},{x}_{{l}_{j}}\right)$，并通过任意$t+1$个子份额，插值计算

获得${{P}_{{l}_{j}}'}$的子份额$F\left(x,{x}_{{l}_{j}}\right)$.

2）新节点${{P}_{{l}_{j}}'}$收到$r$个元节点发来的子份额${f}_{i}\left(x,{x}_{{l}_{j}}\right)$，并计算

获得${{P}_{{l}_{j}}'}$的子份额$F\left(x,{x}_{{l}_{j}}\right)$. 证毕.

定理4. 节点恢复阶段，可以通过2种方式获得份额：1）通过$n'+1$个普通节点发送来的子份额；2）通过$r$个元节点发送相应的子份额.

证明. 与定理3不同的是，新节点${{P}_{{l}_{j}}'}$需要得到的份额是$F\left({x}_{{l}_{j}},y\right)$而非$F\left(x,{x}_{{l}_{j}}\right)$，因此需要${n}'+1$个普通节点发送的子份额或者$r$个元节点发送相应的子份额.原理与定理3相同，这里不再过多赘述. 证毕.

4.2   安全性证明

定理5. 可防御性.任何时期，敌手攻陷低于一定数量的节点，无法获取任何其他节点的信息.

证明. 对稳定时期和节点出入时期进行分析.

1）稳定时期（即无节点出入时期），可以抵御$t$个以下攻陷节点串通企图恢复多项式$F(x,y)$的攻击.

每个节点持有的子份额分别是，$F\left({x}_{j},y\right)= \displaystyle\sum_{i=1}^{r}{f}_{i}\left({x}_{j},y\right)\;\mathrm{m}\mathrm{o}\mathrm{d}\;p$，$F\left(x,{x}_{j}\right)=\displaystyle\sum_{i=1}^{r}{f}_{i}\left(x,{x}_{j}\right)\;\mathrm{m}\mathrm{o}\mathrm{d}\;p$，是2个不同阶数的单变量多项式，其中$x$的阶数为$t$，$y$的阶数为$n'$.因此$F\left(x,{x}_{j}\right)$可以抵御小于等于${n}'$个攻陷节点企图恢复多项式$F\left(x,y\right)$的攻击，而$F\left({x}_{j},y\right)$可以抵御小于等于$t$个攻陷节点企图恢复多项式$F\left(x,y\right)$的攻击.因此，密钥生成阶段，通信系统的阈值由$x$，$y$中较低的阶数决定，即可以抵御小于等于$t$个攻陷节点的攻击.

2）节点出入时期，可以抵御$n'$以下个攻陷节点串通企图恢复多项式$F(x,y)$的攻击.

考虑最坏的情况下，节点变更阶段之前，攻陷节点的个数为$t$个，新加入节点中攻陷节点的个数为${n}'-t$个，那么攻陷节点总共可以获得多项式$F({x}_{i},y)$的任意$t$个份额以及$F(x,{x}_{j})$的任意${n}'-t+t$个份额，由于多项式$F(x,y)$是非对称二元多项式，其中$x$的阶数为$t$，$y$的阶数为$n'$，那么刚好无法恢复其他任何诚实节点的份额.因此总共可以抵御$n'$个以下攻陷节点的串通攻击.

另外，发送在区块链上的多项式承诺${C}_{F({x}_{j},y)}$是Kate承诺方案基于离散对数假设计算上的零知识，所以敌手也无法通过发送在区块链上的承诺获得任何信息.

同时，在3.3节的节点变更阶段中，当原有通过普通节点阈值t≥$\dfrac{2}{n}$时，通过元节点获得份额，而元节点生成的${f}_{i}\left(x,y\right)$的阶数与$F(x,y)$的阶数一样，因此也具有同样的性质. 证毕.

定理6. 可恢复性.任何时期，有节点丢失份额，都可以通过其他节点帮助恢复原有份额信息.

证明.普通节点（包括元节点）${P}_{i}$丢失持有的份额$F\left({x}_{i},y\right)$以及$F\left(x,{x}_{i}\right)$，可通过其他普通节点${P}_{j}$发送相应的份额信息$F\left({x}_{i},{x}_{j}\right)$以及 $F\left({x}_{j},{x}_{i}\right)$插值计算

重新获得$F\left({x}_{i},y\right)$以及$F\left(x,{x}_{i}\right)$.

如果由于节点出入，导致普通节点数量不够，则可通过$r$个元节点${P}_{j}$发送相应的子份额${f}_{j}({x}_{i},y)$以及${f}_{j}(x,{x}_{i})$ ，并计算

重新获得$F\left({x}_{i},y\right)$以及$F\left(x,{x}_{i}\right)$. 证毕.

定理7. 保密性.组通信时期，只有组成员知道组密钥并且知晓所有组内成员身份，组外成员无法得知密钥以及组内成员的身份.

证明.分析内部攻击以及外部攻击：

1）内部攻击.由定理5可以知道密钥生成阶段每个节点持有的子份额可以抵御小于等于$t$个攻陷节点恢复秘密多项式$F\left(x,y\right)$的攻击.因此，任何不在组内的节点都无法恢复组内任何节点所持有的份额信息.由于组密钥是由发起者生成，通过与授权节点成对的共享密钥加密后传输，因此，未被授权的节点无法得知其不在组内的组密钥.而发起者传输的信息${C}_{i}=\{K,\left({l}_{1},{r}_{{l}_{1}}\right),\left({l}_{2},{r}_{{l}_{2}}\right),…,\left({l}_{m},{r}_{{l}_{m}}\right),{R}_{H}\}$，除了传输组密钥信息，还将组内成员的信息进行散列函数生成摘要${R}_{H}=H({r}_{{l}_{1}},{r}_{{l}_{2}},…,{r}_{{l}_{m}},K)$后上传至区块链，使得任何组外节点都无法模仿组内成员在组中通信.

2）外部攻击.由于每个组密钥都是由发起者生成，并通过节点之间成对的通信密钥加密传输.同时将组成员信息加密后${R}_{H}=H({r}_{{l}_{1}},{r}_{{l}_{2}},…,{r}_{{l}_{m}},K)$上传至区块链，组内成员可以对组内的其他成员进行验证.因此，任何没有有效份额的外部节点，都无法得知其未被授权的组密钥$K$，也无法得知组内成员身份信息. 证毕.

定理8. 节点变更阶段，如果原有普通节点阈值$t\le \dfrac{n}{2}$，那么一定有至少$t+1$个诚实节点给新节点发送正确的信息$F\left({x}_{i},{x}_{{l}_{j}}\right)$，成功帮助新节点重建$F\left(x,{x}_{{l}_{j}}\right)$，否则只能通过元节点帮助重建份额.

证明.如果原有节点中的阈值$t < \dfrac{n}{2}$，也就是说原有节点中最多可以存在$t$个攻陷节点，那么原有节点中至少存在$n-t$个诚实节点帮助新加入的节点获得相应的份额.而当$t < \dfrac{n}{2}$时，那么满足$n-t > t$，故一定存在至少$t+1$个诚实节点可以成功帮助新节点重建$F\left(x,{x}_{{l}_{j}}\right)$.

如果原有节点中的阈值$t\ge \dfrac{n}{2}$，则不能够保证存在至少$t+1$个诚实节点可以成功帮助新节点恢复份额，因此需要通过元节点帮助恢复份额.由此可知，系统可容忍其为半诚实节点. 证毕.

5.   性能评估

5.1   功能对比

表2将本文方案与其他文献方案从5个方面进行了功能对比.

表  2  方案的功能对比

Table  2.  Functions Comparison of Schemes

方案	生成方式	去中 心化	成对共 享密钥	多组 通信	阈值 切换
文献[28]方案	一元多项式	否	否	否	否
文献[29]方案	一元多项式	否	是	是	否
文献[30]方案	一元多项式	否	否	是	否
文献[31]方案	一元多项式	否	否	是	是
文献[32]方案	对称二元多项式	是	是	是	否
本文方案	非对称二元多项式	是	是	是	是

下载: 导出CSV 

| 显示表格

1）从生成方式而言.目前多数方案都是基于单变量多项式来实现密钥协商的，文献[28−30]中要生成会话密钥都需要通过多个单变量多项式进行交互生成，文献[31]是通过单变量多项式的Shamir秘密共享来实现密钥分发.而本文方案每个节点持有并计算使用的都是确定了一个变量值的二元多项式.因此，在计算复杂度方面与其他一元多项式方案相近.

2）从去中心化而言.基于单变量多项式的方案都无法实现去中心化，由于需要通过单变量多项式进行有效的密钥协商，必须要可信第三方进行合理分配每个节点的份额.文献[28−31]中，需要可信第三方针对不同节点分配不同的份额信息来保证组成员能够获取相同的组密钥以及确保通信的保密性.但是一旦可信第三方被攻陷，系统中所有节点的份额信息以及密钥信息都会失效，导致整个通信系统的崩溃.而本文方案通过多个元节点共同生成二元多项式，实现去中心化，无需通过单个中心节点进行份额分配.因此，即使部分元节点被攻陷也能保证其他节点的密钥安全.

3）从成对共享密钥而言.节点之间成对的共享密钥能够增强节点协商组密钥的安全性，而基于单变量多项式的文献[28−31]中，节点之间不存在成对的共享密钥，只能通过可信第三方帮助生成共享会话密钥通信.而本文方案基于二元多项式，能够在节点之间高效生成成对的共享密钥进行通信，进而提高组密钥协商的安全性.

4）从多组通信而言.上述文献[30]需要把所有组的组员信息一次性提交给可信第三方，可信第三方才能一次生成多个组密钥发放给不同组的成员.而文献[31] 只能通过可信第三方交互信息来获取组密钥，并且1轮通信只能获取单个组的组密钥.本文方案中，节点得到自己的份额，可随时通过成对的共享密钥进行安全有效的组密钥协商，自由发起多组通信.

5）从阈值切换而言.阈值的切换对于基于多项式的密钥协商方案而言是至关重要的，可以在节点出入阶段切换至不同的阈值，抵御节点出入对通信系统的威胁.从表2方案中，只有文献[31]以及本文方案可以实现在节点出入期间阈值的切换，其中本文方案基于非对称二元多项式，2个变量可具备2个不同的阈值，因此在切换时具有更高的效率.

5.2   安全性对比

如表3所示，选出具有代表性的一元多项式文献[31]以及对称二元多项式文献[32]进行了安全性比较.

表  3  方案的安全性比较

Table  3.  Comparison of Scheme in Safety

方案	可防御性（阈值）	可恢复性	保密性
文献[31]方案	依赖中心节点	依赖中心节点	组密钥可证明安全性 会话密钥可证明安全性
文献[32]方案	$t$	任意$t$个节点	组密钥可证明安全性 会话密钥可证明无条件安全性
本文方案	稳定时期：$t$ 节点出入时期：$n'$	最多任意 $n'$个节点	组密钥可证明安全性 会话密钥可证明无条件安全性

下载: 导出CSV 

| 显示表格

1）从可防御性而言.对于文献[31]，需要通过一个可信中心KGC来分发密钥，整个通信系统的安全完全依赖于一个中心节点是不安全的，敌手只需攻破一个中心节点即可攻破整个通信系统.文献[32]是通过多个元节点来生成一个二元多项式，有效克服了单个中心节点对系统的威胁，但是由于对称多项式本身的属性，即2个变量的阶数相同，因此在节点出入期间，如果再有恶意节点加入系统，则会导致超过阈值$t$的攻陷节点，那么系统的安全性就不能够得到保证.本文方案基于非对称二元多项式，即2个变量的阶数不同，代表2个不同的阈值，可以实现阈值切换，在稳定期间阈值为$t$，在节点出入时期，阈值提高为$n\text{'}$，其中${n}^{\text{'}} > t$.因此本文方案相比其他方案具有更强的可防御性.

2）从可恢复性而言.对于文献[31]，如果某个节点密钥丢失，那么只能通过向可信中心进行重新申请，因此需要要求中心节点不可下线.而本文方案与文献[32]方案一样，都是可以通过系统中足够的任意普通节点发送相关的份额来恢复丢失的密钥，因此可有效抵御由于部分节点下线导致无法恢复密钥问题的威胁.本文方案由于持有的份额$F\left({x}_{j},y\right)$与$F\left(x,{x}_{j}\right)$阶数不同，因此可能需要更多的普通节点来恢复密钥.由于初始时设有元节点，因此也可以通过所有的元节点来恢复丢失的密钥.

3）从保密性而言.文献[31]方案虽然使用了Shamir秘密共享，但是在秘密重建阶段所使用的份额依旧是基于计算困难问题假设的，因此其组密钥以及会话密钥都是可证明安全的.而本文方案与文献[32]方案构建的会话密钥是根据初始的分发份额产生的，只有节点被攻陷达到阈值数量时才能攻破密钥，因此每个节点的会话密钥是无条件安全的.

5.3   效率分析

如表4所示，将本文方案与文献[31−32]方案在计算开销方面进行了比较.表4中${T}_{\mathrm{S}\mathrm{C}}$表示执行对称加密操作所需的时间，${T}_{{\mathrm{f}}^{t}}$表示计算一个阶数为$l$的多项式会话密钥所需要的时间，${T}_{{\mathrm{L}\mathrm{P}}^{t}}$ 表示一次通过$l$个点进行插值计算所需要的时间，${T}_{\mathrm{M}}$表示执行一次椭圆曲线上的倍点运算所需要的时间，${T}_{\mathrm{g}\mathrm{h}}$表示执行一次散列函数所需要的时间. $T_{{\rm{LP}}^t}$表示一次通过t个点进行插值计算所需要的时间，$T_{{\rm{LP}}^n}$ 表示一次通过n个点进行插值计算所需要的时间，$T_{{\rm{f}}^{n'}}$表示计算一个阶数为n′的多项式会话密钥所需要的时间，$T_{{\rm{f}}^{n}}$表示计算一个阶数为n的多项式会话密钥所需要的时间. 由表4可知，安全性不如本文方案的文献[32]方案在组密钥协商阶段计算开销与本文方案相近.而文献[31]方案则在组密钥协商阶段的计算开销远远大于本文方案.由于涉及到不同阶数的多项式插值计算，无法直观地了解方案之间的效率关系，接下来将通过实验分析来证明.

表  4  计算开销比较

Table  4.  Comparison of Computational Cost

方案	组密钥协商阶段	节点变更阶段
文献[31]方案	$(4n+4){T}_{\mathrm{g}\mathrm{h}}+n{T}_{{\mathrm{f}}^{n}}+{2T}_{{\mathrm{L}\mathrm{P}}^{n}}$	$5{T}_{\mathrm{M}}+2{T}_{\mathrm{g}\mathrm{h}}$
文献[32]方案	$(n+1)\left({T}_{{\mathrm{f}}^{t}}+{T}_{\mathrm{S}\mathrm{C}}\right)+2{T}_{\mathrm{g}\mathrm{h}}$	$t{T}_{{\mathrm{f}}^{t}}+{T}_{{\mathrm{L}\mathrm{P}}^{t}}$
本文方案	$(n+1)\left({T}_{ {\mathrm{f} }^{n\mathrm{'} } }+{T}_{\mathrm{S}\mathrm{C} }\right)+{2T}_{\mathrm{g}\mathrm{h} }$	$\left(t+{n'}\right){T}_{\rm{f} '}+{T}_{ {\rm{LP} }^{t} }+{T}_{\rm{LP}^{n'} }$
注：$t < {n}'\le n.$

下载: 导出CSV 

| 显示表格

5.4   性能分析

本文使用codahale库在装有Intel Core i7-6700K 4.00 GHz处理器和8GB内存的Windows系统上进行仿真实验.

在通信开销方面，文献[31]方案如果需要与其他节点构建会话密钥，那么需要预先协商并存储与不同节点的会话密钥，这需要消耗非常大的存储开销.而本文方案以及文献[32]方案都只需要存储多项式的系数，利用秘密共享来生成会话密钥，本文方案和文献[31−32]方案相比，文献[31]方案有着明显的通信开销方面的优势.在计算开销方面，通过仿真实验，如图4和图5所示，将本文方案与文献[31]方案以及文献[32]方案分别在组密钥协商阶段以及节点变更阶段中密钥生成所消耗的时间进行了对比.设定文献[32]方案以及本文方案所需要的阈值$t=n/2$，${n}'=3n/4$，例如$n=100$，$t=50$，${n}'=75$.由图4可知，本文方案在组密钥协商阶段的效率与文献[32]方案基本持平，并且远高于文献[31]方案.由图5可知，本文方案在节点变更阶段密钥生成的效率低于文献[32]方案，但仍然高于文献[31]方案.

图  4  组密钥协商阶段所消耗的时间对比

Figure  4.  Time comsumption comparison in group key agreement phase

下载: 全尺寸图片 幻灯片

图  5  节点变更阶段密钥生成所消耗的时间对比

Figure  5.  Time comsumption comparison of key generation in node alternation phase

下载: 全尺寸图片 幻灯片

由于本文方案比文献[32]方案具有更高的安全性，涉及到了更高阶数的插值运算，因此效率上略低于文献[32]方案，但安全性与效率上均高于文献[31]方案，因此本文方案在工业互联网动态节点密钥管理场景中具备明显的优势.

6.   结　　语

从工业互联网的安全可靠的信息传输出发，确保节点之间能够安全有效地通信.本文结合区块链技术以及秘密共享技术，提出一种基于区块链的工业互联网动态密钥管理方案.基于非对称二元多项式生成密钥，通过阈值切换，有效抵御节点出入对通信系统的威胁，具有较低的成本开销.此外，通过区块链以及Kate承诺实现安全的点对点通信以及多组通信.最后，通过具体的安全性分析表明，本文提出的基于区块链的工业互联网动态密钥管理方案是安全的，并且通过仿真实验和对比分析表明，本文方案是高效的.接下来，我们将对如何实现更高效率的安全密钥管理协议作进一步研究.

作者贡献声明：张泽林提出算法思路、完成实验并撰写论文；王化群指导研究方案、设计并修改论文.