（计算机应用技术专业论文）基于容错机制的安全组播密钥管理研究.pdf

at h e s i sf o rt h ed e g r e eo fm a s t e ri nc o m p u t e ra p p l i c a t i o nt e c h n o l o g y r e a s e a r c ho fs e c u r em u l t i c a s tk e y m a n a g e m e n t f l 一 b a s e do nf a u l t t o l e r a n ts c h e m e b yc a om e n g m e n g s u p e r v i s o r ：p r o f e s s o rz h o uf u c a i n o r t h e a s t e r nu n i v e r s i t y j u n e2 0 0 8 庸甲0 ， 酬1 0 独创性声明 0 本人声明所呈交的学位论文是在导师的指导下完成的。论文中取得的 研究成果除加以标注和致谢的地方外，不包含其他人已经发表或撰写过的 研究成果，也不包括本人为获得其他学位而使用过的材料。与我一同工作 的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示诚挚 的谢意。 学位论文作者签名：嗜葫瓿 签字e l 期：砂毋1 哆 学位论文版权使用授权书 本学位论文作者和指导教师完全了解东北大学有关保留、使用学位论 文的规定：即学校有权保留并向国家有关部门或机构送交论文的复印件和 磁盘，允许论文被查阅和借阅。本人同意东北大学可以将学位论文的全部 或部分内容编入有关数据库进行检索、交流。 作者和导师同意网上交流的时间为作者获得学位后： 半年口一年一年半口两年口 学位论文作者签名：嗜葫萌 签字日期：列3 - q - - 3 导师签名： 删 签字日期：夕加兮7 哆 一i 一 棚 。 一 东北大学硕士学位论文摘要 基于容错机制的安全组播密钥管理研究 摘要 随着i n t e m e t 的迅速发展，组播技术的应用越来越广泛，例如视频会议、金融市场 数据、远程教学等。但由于组播技术存在着很多安全性问题，因此安全组播成为目前 研究的焦点。组播密钥管理是安全组播的三大核心问题之一，是解决组播安全性问题 的关键。 本文对1 1 方g d h 2 密钥协商协议进行深入探讨，发现其缺乏认证性、易受中间人 攻击，且存在“单点失效 的瓶颈，不具备容错性。为此本文引入失效检测器和口令 认证机制，提出了一种具有容错性的安全( f a u l tt o l e r a n ta n ds e c u r e ) 组播密钥管理方 案，简称为f t s 。f t s 执行过程中，失效检测器对成员进行动态检测，以保证协议独 立于成员位置和成员状态。另外，本方案采用服务器和每个成员共享一个独特口令的 方式，对成员发送的消息进行加密、解密；同时，服务器进行t f 运算对消息内容进 行更新，可有效抵抗中间人攻击。最后，通过理论分析及实例化代价分析，从安全性、 通讯代价、计算代价、存储代价四个方面综合评价f t s 组播密钥管理方案，并与同样 具有容错性的f t k m 组播密钥管理方案进行对比，得到如下结论：f t s 方案在略微牺 牲计算代价的情况下，大幅度降低了存储代价，并且具有良好的容错性，保证了方案 的安全性，提高了综合性能。 关键词：组播；安全；容错性；口令认证 一i i 朋 勺 一 1 一l r 东北大学硕士学位论文hbs t r a c t r e a s e a r c ho fs e c u r em u l t i c a s tk e ym a n a g e m e n t b a s e do nf a u l t t o l e r a n ts c h e m e a b s t r a c t 、矾t ht h er a p i dd e v e l o p m e n to fi n t e r n e t ，t h em u l t i c a s tt e c h n o l o g yh a sb e e na p p l i e d w i d e l y , s u c h a sv i d e oc o n f e r e n c e ，f i n a n c i a lm a r k e td a t e ，l o n g d i s t a n c et e a c h i n g a m o n ga l l t h es e c u r ei s s u e si nt h i st e c h n o l o g y , s e c u r i t ym u l t i c a s ti sb e c o m i n gt h ef o c u so fr e c e n t r e s e a r c h e s a n dm u l t i c a s tk e ym a n a g e m e n ti st h ec r u xo fs o l v i n gt h es e c u r i t yp r o b l e m si n m u l t i c a s t t h en p a r t yg d h 2m u l t i c a s tk e ym a n a g e m e n tp r o t o c o li ss t u d i e di n - d e p t hi nt h i s p a p e r , a n dt h e nt h ef o l l o w i n gp r o b l e m si s c o n c l u d e d ：l a c ko fc e r t i f i c a t i o n ，v u l n e r a b i l i t yt o i n s i d e ra t t a c k s ，a n das i n g l e - p o i n tf a i l u r e ，w h i c hm e a tt h ew e a k n e s so ff a u l t t o l e r a n t t h i s p a p e ri n t r o d u c e st h ef a u l t - t o l e r a n ta l g o r i t h ma n dt h ep a s s w o r da u t h e n t i c a t i o nm e c h a n i s m t o s e t t l et h ei s s u e sa b o v e t h ep r o p o s e dp r o t o c o li saf a u l t - t o l e r a n ta n ds e c u r em u l t i c a s tk e y m a n a g e m e n t ( f t s ，f o rs h o r t ) f a i l u r ed e t e c t o ri s u s e dt od y n a m i c a l l yt e s tt h em e m b e r s ， w h i c he n s u r e st h a tf t sw i l lb ei n d e p e n d e n tf r o mt h el o c a t i o na n dt h es t a t u so fg r o u p m e m b e r s i na d d i t i o n e a c hm e m b e rh a sau n i q u ep a s s w o r dw i t ht h es e r v e r , w h i c hi su s e dt o e n c r y p to rd e c r y p tt h em a s s a g e si nf t sa n dt fa r i t h e m t i cu p d a t e st h em e s s a g e sa m o n g m e m b e r s ，w h i c hc o u l de f f e c t i v e l yp r e v e n ti n s i d e ra t t a c k s f i n a l l y , t oc o m p a r em u l t i c a s tk e y m a n a g e m e n ts c h e m e s ，c o m m u n i c a t i o nc o s t ，c o m p u t a t i o nc o s t ，m e m o r yc o s ta n ds e c u r i t y a r et a k e na st h ep e r f o r m a n c ec r i t e r i a t h r o u g ht h e o r e t i c a la n di n s t a n t i a t i o na n a l y s i s ，w e c o m p a r eo u rp r o t o c o lw i t ht h ef t k mf r o mt h ef o u ra s p e c t sa b o v e f t ss l i g h t l yi n c r e a s e s t h ec o m p u t a t i o nc o s t ，b u tg r e a t l yr e d u c e st h es t o r a g ec o s t i nc o n c l u s i o n ，f t se n h a n c e st h e c o m p r e h e n s i v ep e r f o r m a n c e ，w h i c hi s a l s oaf a u l t t o l e r a n ta n ds e c u r ep r o t o c o lw i t h o u tt h e s i n g l e - p o i n tb o t t l e n e c k k e yw o r d s ：m u l t i c a s t ；s e c u r i t y ；f a u l t - t o l e r a n t ；p a s s w o r da u t h e n t i c a t i o n i i i l j 东北大学硕士学位论文目录 目录 独创性声明i 摘要i i a b s t r a c t i i i 目录。v 第1 章绪论1 1 1 i p 组播概述1 1 2i p 组播的安全问题3 1 3i p 组播密钥管理研究现状4 1 4 本文研究的主要内容5 1 5 本文的篇章结构5 第2 章组播密钥管理概述及研究基础7 2 1 组播密钥管理分类7 2 1 1 集中式7 2 1 2 分布式1 1 2 1 3 分层分组式1 3 2 2 组播密钥管理面临的安全问题1 4 2 3 组播密钥管理协议的性能分析与评价1 5 2 3 1 安全性要求15 2 3 2 效率要求1 6 2 3 3 评价标准l7 2 4 基本的密钥协商协议1 7 2 4 1di 仟ie - h ei l m a n 密钥协商协议1 7 2 4 2j o u x 密钥协商协议18 2 4 3g d h 2 密钥协商协议18 2 5 失效检测算法概述2 3 2 6 本章小结。2 5 第3 章具有容错性的安全组播密钥管理方案2 7 3 1f t s 密钥管理方案基本思想2 7 3 2 失效检测器运行机制及逻辑环结构2 8 3 3 组密钥生成及分发3 0 一v 一 东北大学硕士学位论文 目录 3 3 1 组密钥生成及分发过程31 3 3 2 组密钥生成及分发实例3 8 3 4 成员加入4 2 3 4 1 成员加入过程。4 2 3 4 2 成员加入实例4 3 - 3 5 成员离开。4 5 3 5 1 成员离开过程。4 5， 3 5 2 成员离开实例4 7 3 6 本章小结一4 8 第4 章f t s 密钥管理方案的性能代价分析4 9 4 1f t s 安全性分析4 9 4 2f t s 的代价分析及与f t k m 的比较5 0 4 2 1f t k m 协议的代价分析51 4 2 2f t s 与f t k m 的存储代价比较5 2 4 2 3f t s 与f t k m 的通讯代价比较5 3 4 2 4f t s 与f t k m 的计算代价比较5 4 4 3f t s 的实例化分析与比较5 6 4 4 本章小结一5 7 第5 章总结与展望5 9 5 1 总结5 9 5 2 展望5 9 参考文献6 l 致谢。6 4 攻读硕士学位期间的论文项目情况。6 5 一v i 东北大学硕士学位论文第1 章绪论 第1 章绪论 在i n t e m e t 发展初期，普遍采用两种传播方式。一种是单播( u n i c a s t ) ，即点到点的 数据传输方式；另一种是广播( b r o a d c a s t ) ，它是多点投递的最普遍的形式。随着网 络技术突飞猛进的发展，在网络环境下多方参与的新应用不断出现，如视频会议、金 融市场数据、远程教学、在线网络游戏等等，这些应用是一点到多点或多点到多点的 数据传输，需要采用i p 组播( i pm u l t i c a s t ) 技术。 1 1lp 组播概述 1 9 8 8 年，s t e v ed e e r i n g 提出了将组播的功能机制增加到数据网i p 层的组播实现 体系结构，这种体系结构称为i p 组播( i pm u l t i c a s t ) 。历经2 0 多年的研究和发展，i p 组播已经形成了较为完整的组播协议体系，包括组播主机和网络的交互协议、组播路 由协议、组播的地址管理协议等。1 9 9 2 年i p 组播实验网“m b o n e 建立；1 9 9 2 至1 9 9 7 年，i p 组播的协议标准和部署方法在m b o n e 中进行研究实验。1 9 9 7 年以后，分层结 构网络域间组播路由的标准化成为i p 组播研究的主要领域，域问路由协议体系的部署 实验开始在i n t e m e t2 的两个骨干网( v b n s ，a b i l e n e ) 中进行，从1 9 9 9 年中开始采用 m b g p m s d p 和p i m s m 协议体系实现域间组播路由。为了对网络组播进行管理，已 提出许多组播协议，主要分为两类：主机路由器之间的组成员关系协议和路由器路 由器之间的组播路由协议。组成员关系协议包括i g m p ( - f f 连网组管理协议) 。组播路由 协议分为域内组播路由协议和域间组播路由协议。域内组播路由协议包括p i m s m 、 p i m d m 、d v m r p 等协议，域间组播路由协议包括m b g p 、m s d p 等协议。为了有 效抑制组播数据在链路层的扩散，引入了i g m ps n o o p i n g 、c g m p 等二层组播协议。 随着网络技术的发展，i p 组播技术得到了越来越广泛的应用。当主机想把同一份 数据包发送给多个接收者，而这些接收者又不是网络内的全部主机时，如采用单播， 需向n 个接收者发送该数据包的n 份副本，随着接收者数量的增多，需发送数据包的 数量呈线性增加。此外，单播通信时信息源需与每一个接收者建立一条单独的链接， 并为其发送一份数据副本，既浪费带宽又可能使信息源所在的网络不堪重负。而使用 广播方式容易造成信息的泛滥，严重时甚至可能导致网络崩溃。介于单播通信和广播 通信之间的组播通信可以很好地解决这一问题，它能有效地将发送方发送的消息传送 到分散在不同子网中的一组主机乜1 。i p 组播是一种允许发送者一次发送单一数据包到 一1 一 东北大学硕士学位论文第1 章绪论 多个接收者的通讯机制，在i p 组播环境中，发送者仅需要向一组接受者发送一个数据 包副本，支持组播的路由设备会自动将其转发到每个组播接收者。与单播相比，组播 通信机制极大限度地降低了发送者和网络资源的负载；与广播相比，组播通信又节省 了大量的网络带宽资源。以下是三种网络传输模式及其特点介绍： 【1 ) 单播传输：在发送者和每个接收者之间需要单独的数据通道。如果一台主机同 时给很少量的接收者传输数据，般没有什么问题。但如果有大量主机希望获得数据 包的同一份拷贝时，需要大量的数据通道和数据流。而现有的网络带宽是金字塔结构， 如果全部使用单播，将造成网络主干不堪重负。 图1 1 单播通信模式 f i g 1 1t h eu n i e a s tc o m m u n i c a t i o n ( 2 ) 广播传输：是指在i p 子网内广播数据包，所有在子网内部的主机都将收到这 些广播数据包。广播意味着网络向每个子网主机都投递一份数据包，而不论这些主机 是否需要接收该数据包。广播的使用范围非常小，只能在本地子网内有效。广播传输 会增加非接收者的网络开销。 图1 2 广播通信模式 f i g 1 2t h eb r o a d c a s tc o m m u n i c a t i o n - 2 - 东北大学硕士学位论文第1 章绪论 ( 3 ) 组播传输：在发送者和接收者之间只需一条单独的数据通道，数据包通过路由 器复制、转发，每条数据通道上只传输一个数据包拷贝，因而提高了数据传送效率， 减少了网络出现拥塞的可能性。组播组中的主机可以是在同一个物理网络中，也可以 处于不同的物理网络。 图1 3 组播通信模式 f i g 1 3t h em u l t i c a s tc o m m u n i c a t i o n 1 2lp 组播的安全问题 随着i p 组播在现代网络中越来越广泛的应用，对其安全性要求也日渐称为国内外 研究重点和热点。安全组播就是只有通过申请的合法发送者才可以向组播组发送数据； 只有合法的接收者才可以接收组播组的数据。现有i p 组播尚存有一些不足，主要有以 下几方面的问题： ( 1 ) 组播采用u d p 协议向组成员发送数据包，u d p 协议所采用的无连接方式传输， 是一种不可靠传输方式，任何主机都可以向某个组播地址发送u d p 包。 ( 2 ) 现有的i g m p 组管理协议不能提供访问控制，组播组成员可以随时加入和离开 组播组。 ( 3 ) 组成员认证，鉴别组成员与非组成员，非组成员不能冒充组成员向组内发送消 息，也不能访问该组的消息，只有组成员才能发送或访问该组的消息。 ( 4 ) 前向安全，成员离开组时，需防止该成员访问以后组通信内容。 ( 5 ) 后向安全，新成员加入组时，需防止新成员访问过去组通信内容。 ( 6 ) 组密钥一致性，成员采用组密钥加密解、密组通信内容时，各成员拥有的组密 钥须保持一致。 ( 7 ) 可伸缩性，组成员数量增加时，密钥更新通信量、密钥产生计算量和密钥存储 量将随之增长，为适用于大型组播环境，需降低组密钥更新代价，提高组密 钥更新效率。 一3 一 东北大学硕士学位论文第1 章绪论 ( 8 ) 同谋破解，防止多个成员合作获得组密钥等信息，使前向安全和后向安全失效。 组播安全面临很多问题，在2 0 0 0 年t h o m a sh a r d j o n o t 3 j 提出将安全组播划分为3 大类问题：核心问题、结构问题和复杂应用问题。核心问题有三类：源认证、组播密 钥管理、组播安全策略；结构问题指组播路由协议的安全性和可靠组播协议的安全性； 复杂应用问题指分布式组密钥产生、组成员证书、成员不可否认等。组播密钥管理是 安全组播的三大核心问题之一，是解决组播的安全性的关键。 1 3ip 组播密钥管理研究现状 在组播密钥管理方案中，初始化合法的组播组成员，生成和分发组播组的组密钥、 只有拥有或者可以计算出组密钥的合法组成员才能解密出组播信息，从而保证了组播 组传输信息的安全性。当组播组中的成员加入或离开组播组时，需要向组播组发出申 请，当申请成员身份得到确认后，组播组的控制者或者组成员一起重新生成新的组密 钥，从而保证了组播信息的前向安全性和后向安全性。 1 9 8 7 年，d i m e 和h e l l m a n 首次提出了两方密钥交换协议h 1 ( 简称d h 协议) ，在 两个通信实体间协商并生成会话密钥，由于没有对消息和实体身份进行认证，通信易 受中间人攻击啼呵1 。2 0 0 0 年，j o u x 基于椭圆曲线上b d h 问题将两方d h 协议扩展到了 三方，提出了一个一轮三方密钥协商协议，称为j o u x 密钥协商协议n 羽。三方之间只需 要一轮消息交换就可以共享密钥，和d h 协议类似，也没有考虑成员身份和消息认证， 易遭受中间人攻击。1 9 9 6 年至2 0 0 0 年s t e i n e r 等再次将两方d h 协议进行了扩展，提 出了一组适合于n 方协商组密钥的c l i q u e s 协议眵1 ，分别为g d h 1 、g d h 2 和g d h 3 三个协议。其中，g d h 1 重点在于说明其设计思想，计算代价和通信代价较大，并没 有实用价值。g d h 2 和g d h 3 侧重点不同，前者主要希望能尽量减少协议执行过程 中的通信负载，后者则希望尽可能地减少协议执行过程中的计算负荷。文献 9 在 g d h 2 协议中加入了认证服务，提出了a g d h 协议和s a g d h 协议。这些协议在处 理单个成员的加入和离开时效率很高，只是在处理组的合并时消息交换的轮数较大 n 0 1 1 1 。由于在被动和主动攻击下该协议具有可证明安全性，所以有得到了较广的应用。 文献 1 3 提出了环形组密钥协商协议，协议要求节点在逻辑上按环形排列，协议 在环形内按某一方向执行，后一个节点将接收到前一节点的随机数与自己的，合并， 再传给下一个节点，这样就得到最终的组密钥k = g 啊”一。为减少协商组密钥的通 信代价，b u r m e s t e r 和d e s m e d t 于1 9 9 4 年共同提出著名的b d 协议n 钔，该协议同样要 求节点组成环形结构，利用节点与其前、后节点分别共享的d h 值，计算出一个函数 值，并进行广播，节点根据接收到的各节点发来的函数值，利用自己的秘密值可以计 - 4 - 东北大学硕士学位论文第1 章绪论 算得到组密钥k = 9 1 屹+ 吃吩扣一+ 们。b d 协议能提供前后向安全性，节点计算量小，但是 容错性差并且没有为节点动态变化提供良好的支持。在保证安全性的前提下，近期对 组密钥管理的研究主要集中在降低组密钥管理协议的计算代价和通信代价。只有少量 的研究关注这些协议的容错性n 5 1 8 3 。2 0 0 6 年，h a m i d a 在d h 协议和环形结构的基础 上，针对组播密钥管理方案缺乏容错性的问题，提出了具有容错性的f t k m 密钥管理 协议n 引，使用公钥机制对其成员身份和发送的消息进行认证，使其能抵抗中间人攻击。 k i m 等人对文献 2 0 所提出的协议进行扩展，于2 0 0 0 年提出了一个基于完全二 叉树的t g d h 协议口，该协议在计算代价和通信代价两方面都优于g d h 协议，并能 有效支持节点的动态变化，这是首次利用树型逻辑结构设计密钥协商协议的例子；2 0 0 2 年，k i m 等再次提出了一个对s t r 的改进协议晗引，该协议具有比t g d h 协议更小的通 信量，不过计算量稍大些。1 9 9 8 年，b e c k e r 和w i l l e 提出了超立方模型和2 d 章鱼模型 n 们，这些模型虽然和树型结构不同，但在消息交换轮数方面却有较好表现。同时提出 基于这些模型的h y p e r c u b e 协议和o c t u p u s 协议。国内也有不少学者对组密钥协商协 议进行了研究，周福才等瞳5 3 提出了一种没有s d c 的门限秘密共享方案，李彦希等乜们 提出基于单向函数树的高效分布式组密钥管理方案，文献乜2 1 提出了基于t a t ep a i r i n g s 的群组密钥协商方案。文献瞳3 3 提出基于身份的移动网动态群组密钥协商方案等等。 1 4 本文研究的主要内容 针对组播通信的容错性及安全性问题，为了解决传统g d h 2 组播密钥管理方案不 能处理成员失效及易受中间人攻击问题，本文提出了一种新型的在线密钥管理方案。 它是一种具有容错性和安全性的组播密钥管理方案，文中简称为f t s ( f a u l t t o l e r a n t a n ds e c u r e ) 密钥管理方案。本方案将失效检测机制和使用不同口令对成员进行认证的 原理应用于组播密钥管理，使其在部分成员失效的情况下，不必重新执行协议，仍能 继续在当前活动的合法成员间协商生成组密钥；并可有效抵抗中间人字典攻击。最后 通过理论分析及实例化分析从安全性、通讯代价、计算代价、存储代价四个方面综合 评价f t s 组播密钥管理方案，并与同样具有容错性的f t k m 组播密钥管理方案进行对 比。 1 5 本文的篇章结构 第1 章绪论。介绍i p 组播发展史、组播协议及组播密钥管理的国内外研究现状。 第2 章组播密钥管理概述及相关研究基础。首先，介绍组播密钥管理方案的分类 东北大学硕士学位论文第1 章绪论 方式，并分别对其中具有代表性的经典协议进行举例说明。其次，介绍组播密钥管理 所面临的安全问题，及组播密钥管理方案的性能要求和四个评价标准。再次，介绍传 统的密钥协商协议，并对其中的g d h 2 协议进行容错性和安全性分析。最后，针对组 播密钥管理方案中成员“单点失效 问题，介绍了失效检测器的概念和分类。 第3 章具有容错性的安全组播密钥管理方案。介绍失效检测机制及口令认证机制 在f t s 方案中的应用，并详细介绍f t s 方案的主要内容：组密钥的生成和分发，成员 动态管理：包括成员加入和成员离开。 第4 章性能代价分析。对f t s 协议的性能进行评价：从安全性、存储代价、通 信代价、计算代价四个方面进行了综合评价，并与同样具有容错性的f t k m 协议进行 了比较。最后针对容错性和计算代价进行实例化分析，进一步说明f t s 方案的性能。 第5 章总结与展望。对本文工作进行总结，指出协议的不足之处，并提出今后的 研究方向。 东北大学硕士学位论文第2 章组播密钥管理概述及研究基础 第2 章组播密钥管理概述及研究基础 组播密钥管理的功能主要是解决组密钥管理的安全问题，包括两个方面：第一个方面 是密钥的生成及分发；另一个方面是对密钥进行及时更新与分配，以适应组成员关系的变 化。根据不同的划分标准，组播密钥管理方案可以分成不同的类别，不能一一列举，本章 将首先介绍几种比较有代表性的组播方案并分析其所面临的安全问题。 2 1 组播密钥管理分类 根据不同的划分标准，组播密钥管理方案可以分成不同的类别。其中，按照管理方式 来分类，组播密钥管理方案可以分为集中式( c e n t r a l i z e d ) i l l , 2 6 , 2 7 ，分布式( d i s t r i b u t e d ) 阶3 侧 和分层分组式( h i e r a r c h i c a l ) 嘲三种管理方式；按照密钥管理体系结构来分类，组播密钥管 理方案又可以分为平面型( f l a t ) 和层次型( h i e r a r c h i c a l ) 两种不同的体系结构跚3 。然而，组播 密钥管理的管理方式和体系结构是紧密相关的，两者相互交融。因而，又有集中式平面型 组播密钥管理方案、集中式层次型密钥管理方案、分布式层次型组播密钥管理方案等更为 细致的类型划分。本节按照集中式、分布式、分层分组式三种不同的组密钥管理方式对其 进行分类介绍。首先介绍的是集中式的g k m p 方案n ( g r o u pk e ym a n a g e m e n tp r o t o c o l ， g k m p ) 和l k h 方案( l o g i ck e yh i e r a r c h y ，l k h ) 。接着是分布式的两种组播密钥管理 方案：b d 组播密钥管理方案n 钔和s t r 妇协议。最后介绍分层分组式的i o l u s 组播密钥管 理方案3 。下面首先从集中式开始，逐个介绍组播密钥管理方案的特点。 2 1 1 集中式 集中式组播密钥管理方案的特点是通过一个组控制者( g r o u pc o n t r o l l e r ，g c ) 来承担 所有的密钥管理任务，负责组密钥的生成、分发和更新，管理成员加入或离开组播组蝴3 。 这种方案有利于组播的管理，可以方便地施加身份认证等措施，很多组播应用在本质上存 在着集中控制，适合采用集中式密钥管理。但是这类方案对组控制者( g ) 的依赖性导致 了单一失效点问题；为了处理单点失效问题可采用两个组控制中心的解决方法留。 典型的集中式组播密钥管理方案有：组密钥管理协议( g r o u pk e ym a n a g e m e n t p r o t o c o l ，g k m p ) ，由h a m e yh ，m u c k e n h i m 于1 9 9 7 年提出的组播密钥管理协议；基于逻 辑密钥树( l o g i ck e yh i e r a r c h y ，l k h ) ，由w a l l n e rd ，h a r d e re ，a g e er 三人于19 9 9 年提 出的基于逻辑密钥树的组播密钥管理方案；和基于单向函数树( o n e - w a yf u n c t i o nt r e e ， o f t ) 的组播密钥管理方案，由m c g r e w d ，s h e r m a n a 于1 9 9 9 年提出的基于单向函数 - 7 - 东北大学硕士学位论文第2 章组播密钥管理概述及研究基础 树的组播密钥管理方案。以下首先介绍g k m p 密钥管理方案： g c 和合法的组成员一起生成组密钥包( g r o u pk e yp a c k a g e ，g k p ) 。g k p 中包含组播 通信密钥( g r o u pt r a f f i ce n c r y p t i n gk e y ，g t e k ) 和密钥加密密钥( g r o u pk e ye n c r y p t i n gk e y ， g k e k ) 。整个组共享一个g t e k ，但是g c 和每个组成员单独共享一个g k e k ，没有第三 方知道。如图2 1 所示，成员u l u 5 拥有密钥加密密钥g k e k r q 3 k e k s ，并且和g c 共享 的组通信密钥g t e k 。下面介绍g k m p 的密钥管理过型1 5 】： uuu 。 u 图2 1g k m p 的密钥管理结构 f i g 2 1t h ek e ym a n a g e m e n ts t r u c t u r eo f g k m p 组播组初始化时，g c 分别利用u l ，u n 拥有的私有密钥加密单播传送g k p 。成员加入、 成员离开或者密钥周期性更新时，需要进行组密钥更新，假设密钥更新后组播组的成员数 由n 变化为m ，g c 选择新的组密钥g t e k 7 ，利用组成员u l u m 拥有的密钥加密密钥g k e k 加密新的组密钥g t e k 在整个组中组播这个报文： ( g t e k ) g k e k l ，( g t e k ) g k e k ：，( g t e k 7 ) g j 跹k 。其中g t e k 是新的组密钥，组成 员u l u m 收到组播报文后，可以利用自己的密钥加密密钥解密出新的组密钥g t e k 。 d w a l l n e r t l 6 1 提出逻辑密钥树的思想，采用具有树型层次结构的辅助密钥帮助分发组密钥， 组成员加入或退出组时，可快速更新组密钥，减小组密钥更新代价，实现前向保密性和后 向保密性。组控制者g c 维护整个密钥树，密钥树采用平衡r l ( ”2 ) 叉树的结构。逻辑密 钥树有三类节点：根节点、中间节点和叶子节点，根节点代表组密钥，中间节点指该节点 管辖部分成员共享的子组密钥，叶子节点指每个成员和g c 共享的私钥。每个成员拥有从 叶子节点到根节点路径上的所有密钥，当组成员加入或退出组播组时，g c 需要更新这条 路径上的所有密钥。 图2 2 是一个l k h 逻辑密钥树的示例，该组有1 6 个成员u l u 1 6 ，逻辑密钥树采用完 全平衡二叉树结构。g c 管理所有中间结点密钥共1 5 个，以及每个成员和g c 共享的密钥 k l k 1 6 。组成员则拥有从叶子节点到根节点路径上的所有密钥，例如成员u 8 拥有磁，k 7 - 8 ， 东北大学硕士学位论文 第2 章组播密钥管理概述及研究基础 k 5 8 ，k 1 8 ，k 1 - 1 6 。下面介绍l k h 方案的密钥管理过程： k i 1 图2 2l k h 密钥管理结构 f i g 2 2t h ek e ym a n a g e m e n ts t r u c t u r eo f l k h ( 1 ) 成员离开 假设成员u 8 离开组播组，g c 删除成员节点u 8 和逻辑密钥树中对应的密钥节点磁， 并修改成员u 8 从叶子节点到根节点的所有密钥。用k 7 代替其父节点k 7 - 8 ，用新密钥k 5 - 7 换旧密钥k 5 - 8 ，用新密钥k l - 7 替换旧密钥k 1 4 ，用新密钥i 白- 1 5 替换旧密钥k 1 1 6 。然后，g c 创建新密钥并向剩下的1 5 个成员组播以下消息： g c 一 ) ： l f i 一7 ) 局一8 g c 一 坫，氓) ： 墨一，) 墨一。 g c 专 乩，乩，u 7 ) ： k 一，) 毛一7 g c 专 u ，) ： k 一，) 墨一。 g c 一 u ，以，u ，虬，眈， ： k 墨一， g c 专 ，u o ，v l l ，u 2 ，u 3 ，u 4 ，v 1 5 ，v 1 6 ) ： k - 1 5 ) 局- 1 6 ( 2 ) 成员加入 假设成员u 8 加入组播组，g c 为成员u 8 构建节点磁，创建一个新的成员节点和一个 新的密钥节点，并将新节点配属到接入节点k 7 - 8 。用新密钥k 5 8 替换旧密钥k 5 - 7 ，用新密 钥k l - 8 替换旧密钥k 1 7 ，用新密钥k 1 1 6 替换旧密钥k l - 1 5 。g c 创建并组播发送以下信息： g c 专 ) ： 尽一8 局 g c j 弘，玑) ： 恐一8 ) 墨一。 g c 一 弘，饥，u 7 ) ： k 一8 ) 蚝一7 g c 一 u ，乩，u ) ： r l 一8 ) k 一。 - 9 - j 东北大学硕士学位论文第2 章组播密钥管理概述及研究基础 g c j u ，u 2 ，u 4 ，u s ，氓，u ，) ： k 1 _ 1 6 ) k 一8 g c 哼 ，u 。，u 。，u ：，u ，u 。，u ，u 。 ： 墨啪) 玛 g c 一 砜 ： k - 1 6 ) k - 8 ，墨_ 8 ，k 7 一。) 蚝 ( 3 ) 周期性密钥更新 对于周期性密钥更新，g c 创建新的组密钥 鼍。并向整个组组播消息： g c 一 u ，u 。) ： 砰。 墨- 。， 矸。) 蜀 l k h 方案的优点是组控制者管理着整个组播组的所有密钥信息，密钥管理效率高； 利用中间结点辅助密钥，在密钥更新时减少了组播的通信量。l k h 方案的缺点是由于组控 制者承担所有的存储和计算的任务，组控制者的存储和计算能力容易成为整个方案的性能 瓶颈；如果组控制者被攻击或者不能正常工作，将造成单点失效。 单向函数树o f t ( o n e w a yf u n c t i o nt r e e ) 【1 3 】方案是利用组控制者( g r o u pc o n t r o l ，g c ) 来 管理二叉密钥树，利用左右子节点密钥的2 个g 函数值通过f 函数来计算父节点密钥值。 其中，g 是单向函数，f 是混合函数。在o f t 组播密钥管理方案中，组控制者创建和维护 一棵密钥树，图2 3 是一个o f t 密钥管理方案的密钥树结构示例，密钥树的根节点k 1 1 6 对 应着组密钥k 1 1 6 ，叶子节点k l ，k 2 ，k 1 6 对应组员和组控制者共享的秘密密钥k l ，k 2 ， k 1 6 ，中间节点k l - 2 ，k 3 - 4 ，k 5 6 ，k 7 - 8 ，k 9 1 0 ，k 1 1 1 2 ，k 1 3 1 4 ，k 1 5 1 6 ，k 1 - , ，k s - 8 ，k 9 - 1 2 ，k 1 3 1 6 ，k l - 8 ， k 9 1 6 ，k 1 1 6 对应加密密钥的密钥( k e ye n c r y p t i o nk e y ，k e k ) k i - 2 ，k s - 4 ，k 5 - 6 ，k 7 - 8 ，k 9 1 0 ， k 1 1 1 2 ，k 1 3 1 4 ，k 1 5 1 6 ，k l - 4 ，k 5 - 8 ，k 9 1 2 ，k 1 3 1 6 ，k l - 8 ，k 9 1 6 ，k i 1 6 。 图2 3 是o f t 方案密钥层次树结构。图中的方形节点代表成员节点，圆形节点代表密 钥节点。叶子节点( 直接与成员节点相连的密钥节点) 存储的成员密钥是由g c 在对应的组 成员加入组播组时和该成员使用公开密钥交换算法( 如d i i l i e - h e l l m a n 密钥交换算法【1 7 】) 秘密协商产生的，而根节点密钥和中间节点密钥由组控制者通过其孩子节点密钥用 鼍= f ( g ( k ：a ) ，g ( 如) ) 计算得到。式中k ，为节点x 的密钥；x l 和x r 分别为节点x 的左右孩 子节点；g ( k ) 为k 的盲密钥。每个组成员保存从与其成员节点相连的叶子节点到根节点的 路径上所有节点的密钥，还知道路径上所有中间节点的兄弟节点的盲密钥。以图2 3 为例， 成员u 1 0 知道节点k 1 0 ，k 9 1 0 ，k 9 - 1 2 ，k 9 - 1 6 和根节点k l - 1 6 的密钥和节点i ( 9 ，k 1 1 1 2 ，k 1 3 - 1 6 ， k 1 8 的盲密钥。u 1 0 可以根据这些密钥计算出从叶子节点到根节点之间的所有中间节点地密 钥及根节点密钥。 玛枷= f ( g ( k 9 ) ，g ( k 。