Рекурсивный способ построения семейств без перекрытий Текст научной статьи по специальности «Математика»

2009 Теоретические основы прикладной дискретной математики №4(6)

УДК 621.394

РЕКУРСИВНЫЙ СПОСОБ ПОСТРОЕНИЯ СЕМЕЙСТВ БЕЗ ПЕРЕКРЫТИЙ1

А. В. Черемушкин Институт криптографии, связи и информатики, г. Москва, Россия

E-mail: avc238@mail.ru

Предлагается модификация рекурсивного способа построения семейств множеств без перекрытий, основанная на использовании ортогональных массивов. Показано, как c их помощью можно построить схемы предварительного распределения ключей на основе пересечений множеств.

Ключевые слова: семейство множеств без перекрытий, схема предварительного распределения ключей.

1. Семейства множеств без перекрытий

Если X — множество из v элементов, |X| = v, а F — множество его подмножеств (блоков), |F| = b, то (X,F) называется (i,j)-семейством без перекрытий (cover-free family) и обозначается (i, j)-CFF(v,b), если для любых блоков Bi, ...,Bu Є F, u ^ i, и любых не совпадающих с ними блоков A1,..., Aw Є F, w ^ j, выполняется условие

u w

PI Bk i U A-

fc=1 s=1

Матрица инцидентности системы множеств (X, F) —это (0,1)-матрица размера b х v, в которой столбцы соответствуют элементам множества X, а строки — подмножествам из F, причем единицы стоят на пересечении со столбцами, помеченными элементами подмножества, соответствующего строке.

Непосредственно из определения вытекает следующий критерий.

Лемма 1 [1]. Система множеств (X, F) является семейством без перекрытий (i,j)-CFF(v,b) в том и только в том случае, когда в ее матрице инцидентности для любых двух непересекающихся наборов, состоящих из i и j строк, найдется столбец, на пересечении которого с первым набором строк стоят единицы, а на пересечении со вторым — нули.

Следствие. Для параметров семейства (i,j)-CFF(v,b) выполняются неравенства i + j"

Ь ^ і + і и V ^

г

Действительно, в матрице инцидентности для любого набора из і + і строк должны найтись столбцы, содержащие всевозможные расположения из і единиц и і нулей.

2. Основная теорема

Ортогональным массивом ОА(п, к, 1) называется п2 х к-матрица с элементами из множества {1,... , п}, каждые два столбца которой содержат все различные пары элементов.

1Работа выполнена при поддержке гранта Президента РФ НШ №4.2008.10.

Лемма 2. Пусть i ^ 1, j ^ 1. В таблице ортогонального массива OA(n, ij + 1,1) для любых двух непересекающихся наборов, состоящих из i и j строк, найдется столбец, на пересечении с которым ни один из элементов, стоящих в строках из первого набора, не совпадает ни с одним из элементов, стоящих в строках из второго набора.

Доказательство. Рассмотрим два произвольных непересекающихся набора из i и j строк. Рассмотрим подтаблицу, состоящую из первой строки первого набора и всех строк второго набора. В каждом столбце этой подтаблицы выделим элементы первой строки, совпадающие с элементами этого же столбца, принадлежащими строкам второго набора. Из свойства ортогональности следует, что в строках второго набора совпадающие элементы не могут находиться в одинаковых строках, иначе найдутся два столбца с совпадающими парами элементов. Отсюда следует, что максимальное число столбцов с такими совпадениями равно j. Теперь в оставшихся столбцах элементы первой строки из первого набора не совпадают ни с одним из элементов строк второго набора. Удаляем в исходной таблице столбцы, в которых произошло совпадение элементов, и рассматриваем ортогональный массив из оставшихся столбцов. Повторяя рассуждения для оставшихся i — 1 строк из первого набора, получаем, что совпадения элементов, стоящих на пересечении со строками из первого набора, с элементами из строк второго набора могут быть не более чем в ij столбцах. Теперь в оставшихся неудаленными столбцах элементы, стоящие в строках из первого набора, не совпадают с элементами из строк второго набора. ■

Теорема 1. Пусть i ^ 2, j ^ 1. Если существуют семейство без перекрытий (i,j)-CFF(v,b) и ортогональный массив OA(b, ij + 1,1), то существует и семейство (i,j)-CFF((ij + 1)v,b2).

Доказательство. Рассмотрим матрицу инцидентности A семейства (i, j)-CFF(v,b). Построим (0,1)-матрицу B размера b2 х (ij + 1)v путем замены каждого элемента а, 1 ^ а ^ v, в матрице ортогонального массива OA(b,ij + 1,1) на строку матрицы A с номером а. В силу леммы 2 для любых двух непересекающихся наборов, состоящих из i и j строк ортогонального массива, найдется столбец, на пересечении с которым ни один из элементов, стоящих в строках из первого набора, не совпадает ни с одним из элементов, стоящих в строках из второго набора. Поэтому после замены всех элементов этого столбца на соответствующие строки матрицы A в построенной матрице B в силу леммы 1 найдется столбец, в котором на пересечении со строками из первого набора стоят единицы, а на пересечении со строками из второго набора — нули. По лемме 1 матрица B является матрицей инцидентности семейства (i,j)-CFF((ij + 1)v, b2). ■

3. Построение ортогональных массивов на основе разностных матриц

(n, k; А)-Разностной матрицей называется матрица (dst) размера k х nA над кольцом вычетов Zn, в которой при всех x,y, 1 ^ x < y ^ k, в мультимножестве

{dxz — dyz mod n : 1 ^ z ^ nA}

каждый из элементов Zn встречается ровно А раз.

В работе [1] разностные матрицы использовались для построения семейств без перекрытий. Предложенная там основная конструкция взята из работы [2]. Заметим, что она может быть интерпретирована в терминах ортогональных массивов. Для этого следует воспользоваться следующим способом построения ортогональных массивов

на основе разностных матриц. Если выполнено условие (n, (k — 1)!) = 1, то (n, k; 1)-разностную матрицу D = (dxz) можно построить, полагая при 1 ^ x ^ n и 1 ^ z ^ k

dxz = xz mod n.

По уже построенной (n, k; 1)-разностной матрице D = (dxz) ортогональный массив OA(n, k, 1) с матрицей B = (b(x,y),z) размера n2 x k строится следующим образом: при 1 ^ x,y ^ n и 1 ^ z ^ k полагают

b(x,y),z dxz + У mod n.

Разностные матрицы над произвольными абелевыми группами и способ построения на их основе ортогональных массивов описаны, например, в [3].

4. Рекурсивное построение семейств без перекрытий

В работе [1] предложен рекурсивный способ, позволяющий из семейств без перекрытий (i,j)-CFF(v, b) и (b2 , ij + 1,1)-разностных матриц, t = 0,1, 2,... , которые существуют при условии (b, (ij)!) = 1 [2], строить новые семейства (i, j)-CFF((ij + 1)*v0, b0 ). Вместе с тем условие (b, (ij)!) = 1 ограничивает возможность его применения.

Рассмотрим естественную модификацию этого способа, основанную на использовании теоремы 1 и позволяющую строить такие семейства для более широкого класса значений (i,j,v,b).

Выберем bo так, чтобы при каждом t = 0, 1, 2, . . . выполнялось условие существования ортогонального массива OA(b2 , ij + 1,1). Теперь, начиная с семейства (i,j)-CFF(v0, bo), будем последовательно применять теорему 1. В результате будет построена последовательность семейств

{ (i,j) —CFF((ij + 1)4,6?) : t =1, 2,... },

параметры v, b каждого из которых удовлетворяют условию

v = vo(logb0 b)log2(ij+1).

Заметим, что результат из работы [1] получается как частный случай теоремы 1. Хотя использование разностных матриц существенно упрощает саму процедуру построения, теорема 1 позволяет расширить по сравнению с [1] множество допустимых значений параметров (i,j,v,b), для которых можно построить семейство без перекрытий.

В работе [1] для заданных (i, j) выбиралось такое минимальное число b0 ^ i + j, что выполнялось условие (bo, (ij)!) = 1, причем из него автоматически вытекало равенство (b2 , (ij)!) = 1 при всех t = 1, 2,... При этом число b0 не могло иметь малых делителей.

В то же время ортогональные массивы существуют и при других значениях параметров (i, j, v, b). Например, так как при любых p ^ 2 и m ^ 1 ортогональные массивы OA(pm,pm + 1,1) легко строятся на основе поля из pm элементов, то можно строить семейства без перекрытий (i, j)-CFF(v, b) при i + j ^ pm = b0.

В силу леммы 1 минимальным семейством без перекрытий для заданных значений i и j будет семейство (i, j)-CFF(v, b) при i + j = b, в матрице инцидентности которого каждый столбец имеет ровно i единиц. Если при данном значении b не найдется соответствующего ортогонального массива, то выбираем значение b0 ^ i + j так, чтобы при каждом t = 0, 1, 2, . . . выполнялось условие существования ортогонального

массива OA(b2t, ij + 1,1). Теперь в качестве семейства (г, j)-CFF(v0, b0) берем то, у ко-

г единиц при г ^ ] и п — ^ единиц при г > ^ соответственно.

В данном случае V ^ Ь. Применяя теорему, можно построить семейства с условием V < Ь. Например, при Ь = 4, последовательно применяя теорему 1, получаем семейства

Пусть g ^ 2. Под схемой предварительного распределения ключей для групп, состоящих не более чем из g участников, понимают два алгоритма: первый определяет значения распределяемых между n участниками наборов данных, которые будем называть ключевыми материалами, а второй позволяет каждой группе, состоящей не более чем из g участников, вычислить значение ключа для организации закрытого сеанса. При этом должно выполняться условие, гарантирующее, что никакая другая группа участников, не включающая первую в качестве подмножества, объединив свои ключевые материалы, не сможет получить никакой информации о ключе. Более подробно см. обзор [4].

Пусть w ^ 1. Схема предварительного распределения ключей для групп участников называется устойчивой к сговору w участников, если любая группа, состоящая не более чем из w участников, объединив свои ключевые материалы, не сможет определить ключи, применяемые группами из оставшихся участников.

Определение [5]. Устойчивая к сговору w участников схема распределения ключей на основе шаблонов для групп из g участников (g, w)-CRKDP(n, k) (collusion-resistant key distribution patterns) определяется набором подмножеств (Si,..., Sn} множества (1,... , k}, удовлетворяющим условию: если i1,... , ig,p1,... ,pw E (1,... , n} и выполнено включение

то {іь ...,ід} П {рі,... ,рад} = 0-

Для ее применения надо сформировать множество из к секретных ключей и присвоить им номера 1,..., к. Распределение ключевых материалов осуществляется путем передачи заранее по защищенному каналу каждому абоненту всех ключей с номерами из множества ¿¿. Теперь для формирования общего ключа каждый участник из группы участников {Р^,... , Рід} выбирает ключи, номера которых лежат в пересечении БІ1 П... П Бід, а затем вычисляет общий ключ как значение хеш-функции от строки, составленной из этих ключей.

Так как данное определение по сути совпадает с определением семейства без перекрытий (д, т)-СЕЕ(к, п), то, переформулируя теорему 1, получаем следующий результат для схем распределения ключей на основе шаблонов.

Теорема 2. Пусть д ^ 2, т ^ 1. Если существует (д, т)-СККВР(п, к)-схема и ортогональный массив ОА(п, дт + 1,1), то существует и (д, т)-СИКБР(п2, (дт + 1)к)-схема.

Используя данный подход в сочетании с [1], можно строить различные схемы предварительного распределения ключей на основе шаблонов. Например, при д = т = 2

(2, 2)-CFF(6, 4), (2, 2)-CFF(30, 16), (2, 2)-CFF(150, 256), (2, 2)-CFF(750, 65536), (2, 2) CFF(3750, 4294967296) и т.д.

5. Схемы предварительного распределения ключей

g

W

j=i

j=i

можно в зависимости от условий применять следующие схемы:

n 256 625 2401 4096 65536

k 150 250 525 700 750

ЛИТЕРАТУРА

1. Stinson D. R., van Trung T, Wei R. Secure frameproof codes, key distribution patterns, group testing algorithms and related structures // J. Statist. Plan. Infer. 2000. V. 86. No. 2. P. 595-617.

2. Atici M., Magliveras M. M., Stinson D. R., Wei W.-D. Some recursive constructions for perfect hash families // J. Combinat. Designs. 1996. V. 44. P. 353-363.

3. Beth T., Jungnickel D., Lenz H. Design theory. Cambridge Univ. Press, 1989. 688 p.

4. Черемушкин А. В. Комбинаторно-геометрические подходы к построению схем предварительного распределения ключей (обзор публикаций) // Прикладная дискретная математика. 2008. №1(1). С. 55-63.

5. Mitchell C. J., Piper С. Key storage in Secure Networks // Discr. Appl. Math. 1988. V. 21. P. 215-228.