（计算机软件与理论专业论文）动态调整密钥管理方法的研究.pdf

摘要 随着组播的广泛应用，i n t e r n e t 安全问题的日趋严重，组播的安全问题越来越受 到国内外学者的重视。因为网络通信的安全问题主要依靠密码学来解决，所以组播 密钥管理渐渐成为组播和网络安全两个领域的热门研究课题。而组播密钥更新是其 中的一个热点问题。 本文首先分类介绍了现有的各种组播密钥管理方案。重点介绍了现有两类组播 密钥管理方案的典型方案( 逻辑密钥层次和i o l u s ) ，并分析了它们的优缺点。在此 基础上设计了种新的组播密钥管理方案一动态调整密钥管理( d v n a m i c a i i v r e g u l a t i n gk e ym a n a g e m e n t ，简称d r k m ) 。d r k m 综合考虑了多种组播应用的特 点，包括对实时性的要求、组成员加入或退出的频率，并可以根据这些特点动态调 整密钥更新的方法。因此d r k m 其有一定的灵活性，能够适用于多种类型的组播应 用。 其次定义了d r k m 的架构，包括d r k m 的成员类型( 组管理者、子组管理者 和普通的组播成员) 、子组管理者的两种状态( 工作态和备用态) 、组管理者和子组 管理者的功能。 再次，在此架构的基础上，定义了d r k m 的密钥更新流程，包括的消息类型和 消息交换过程。 最后，对d r k m 、逻辑密钥层次和l o l u s 进行了编程仿真，并将结果进行了比 较。比较结果表明d r k m 具有以下的优点：同时具有较好的扩展性和较高的密钥更 新效率，以及可以适用于不同特点的组播应用的灵活性。 关键字：组播；安全；密钥更新；组密钥；动态调整 a b s t r a c t w h i l et h em u l t i c a s ta p p l i c a t i o n sa r em o r ea n dm o r ep o p u l a ls e c u r i t yp r o b l e m so n t h ei n t e r n e ta r eg e t t i n gw o r s ea n dw o r s e s ot h em u l t i c a s tk e ym a n a g e m e n ti sb e c o m i n ga h o tr e s e a r c hs u b j e c ti nb o t hm u l t i c a s tf i e l da n dn e t w o r ks e c u r i t yf i e l d a n dk e yu p d a t ei s o n eo ft h ei m p o r t a n tp r o b l e m si nt h i ss u b j e c t t h i sp a p e rf i r s t l yc l a s s i f i e sv a r i o u sm u l t i c a s tk e ym a n a g e m e n ta p p r o a c h e si n t ot w o c a t e g o r i e sa n di n t r o d u c e st h e i rc h a r a c t e r i s t i c sr e s p e c t i v e l y t h ef o c u si so nt h ea d v a n t a g e a n dd i s a d v a n t a g eo fo n er e p r e s e n t a t i v ea p p r o a c h e s ( l o g i ck e yh i e r a r c h ya n di o l u s ) i n e a c hc a t e g o r y o nt h eb a s eo ft h i san e wm u l t i c a s tk e y m a n a g e m e n ta p p r o a c hi s d e v e l o p e d t h i sn e wa p p r o a c hi sn a m e dd y n a m i c a l l yr e g u l a t i n gk e ym a n a g e m e n t ( d r k m ) d r k mt a k e sv a r i o u sr e q u i r e m e n t so fm u l t i c a s ta p p l i c a t i o n si n t oc o n s i d e r a t i o n ， i n c l u d i n gr e a l t i m e l i m i t a t i o na n df r e q u e n c yo f g r o u pm e m b e r sj o i n i n go rl e a v i n g a c c o r d i n gt ot h e s er e q u i r e m e n t sd r k m c a nd y n a m i c a l l yr e g u l a t et h ew a yt ou p d a t ek e y s oi th a st h ef e a t u r eo ff l e x i b i l i t ya n da d a p t i n gt om a n yk i n d so fm u l t i c a s ta p p l i c a t i o n s s e c o n d ly t h ea r c h i t e c t u r eo fd r k mi sd e f i n e d ，i n c l u d i n gt h et y p e so fm e m b e r s ( g r o u pm a n a g e ls u b g r o u pm a n a g e ra n do r d i n a r ym e m b e r ) ，t h es t a t e o fs u b g r o u p m a n a g e r s ( w o r ka n ds t a n d b y ) ，a n dt h er e s p o n s i b i l i t yo fg r o u pm a n a g e ra n ds u b g r o u p m a n a g e r s t h i r d l y , t h ep r o c e d u r e so fk e yu p d a t ea r ed e s i g n e d ，i n c l u d i n gt h et y p e so fm e s s a g e s a n dt h ep r o c e s s e so fe x c h a n g i n gm e s s a g e s a tl a s td r k m ，l o g i ck e yh i e r a r c h ya n di o l u sa r es i m u l a t e db yp r o g r a m t h e c o m p a r i s o no ft h er e s u l t ss h o w st h a td r k mh a st h ea d v a n t a g eo fr e l a t i v e l yg o o d s c a l a b i l i t ya n de f f i c i e n c y a sw e l la st h ef l e x i b i l i t yo fa d a p t i n gt ov a r i o u sm u l t i c a s t a p p l i c a t i o n s k e yw o r d s ：m u l t i e a s t ，s e c u r i t y , k e yu p d a t e ，g r o u pk e y , d y n a m i c a l l yr e g u l a t e 第一章引言 1 1 研究背景 第一章引言 随着近年来i n t e r n e t 的飞速发展和网络带宽的提高，i n t e r n e t 上出现了许多面向多 个用户的群组应用，例如多媒体视频会议、分布式网络协同工作、视频点播、交互 分布式网络游戏、分发数据和软件更新等。这种类型的应用经常涉及许多位于不同 地域的主机，如网络协同工作，一个开发工作组有很多人需要在不同的地点协作并 经常交换信息。面对这种应用，组播是最合适的解决方案。 组播( m u l t i c a s t ) ，也称为多播，是一种可以把一个报文一次发送给多个接收 者的技术。这些接收者可以在同一个局域网上，也可以跨越多个网络，乃至分布在 世界各地。虽然从理论上来说，群组应用也可以利用传统的广播或者单播实现，但 其自身的特点决定了它们并不能很好的胜任。 对于广播来说，它会把一个报文发送到一个网络上的所有主机上，即使这个网 络上只有一个主机需要这个报文。但是所有不相关的主机在丢弃这个报文前，必须 对其进行一定的处理以确定它是无用的，这样就干扰了不相关主机的正常通信，浪 费了计算资源还带来了潜在的安全问题。对于单播来说，对每一个组播报文，发送 者必须向每一个接收者发送一遍。这样不但给发送者造成了极大的负担而且浪费了 网络的带宽。在组的规模比较小的情况下，用单播进行点对点通信的效率尚可接受： 如果组的规模比较大，点对点的信息交换方式不论对网络还是对信息发送者，都是 一种负担，代价昂贵。 但是组播也有自己的问题，那就是安全性。目前的网络报文大部分是通过像 i n t e r n e t 这样的公共网络传输的，也就是说，报文可能被窃听或者修改，也有可能报 文根本就是从一个冒充者发出的。在网络安全领域中，密码学是解决安全问题的基 石，加密通信报文可以防止窃听，加密报文的消息摘要( m e s s a g ed i g e s t ，简称m d ) 可以防止报文被恶意篡改，数字签名( d i g i ts i g n a t u r e ) 使冒充者无法以他人的名义 发送报文。但是这一切的前提是：通信的双方共享个对称密钥，或者己知对方的 公开密钥。在单播领域中，实现这个前提的技术是安全协议( s e c u r i t yp r o t o c 0 1 ) 。 目前，单播安全协议已经发展得非常成熟。但是单播安全协议并不适合直接移植到 组播环境中，这是因为，单播安全协议要求任何两个群组成员之间必须建立一个密 钥( 对称密钥或公开密钥) 。显然，对于有个成员的群组，需要建立o ( n 2 ) 个密 钥，一个成员发送消息前，必须先分别用n 一1 个密钥加密消息，然后一起组播给群 组，通信开销和计算开销都比较大，而且可扩展性非常差。 青岛大学硕士学位论文 安全群组通信( s e c u r eg r o u pc o m m u n i c a t i o n ，简称s g c ) 的研究是当前国际上 分布式计算领域和信息安全领域里的一个热点问题。群组通信的应用可以通过组播 方式传输数据给群组内的所有成员，能够有效得节省带宽。但是，组播没有提供有 效的机制确保只有得到授权的群组用户才能访问被传输的数据。实际上，任何一个 支持组播的主机都能够加入一个组播组，己有的组播协议并没有提供相应的安全机 制进行组成员身份认证。因此，一个安全群组通信系统提供的基本安全服务应包括 数据保密性、完整性、成员认证和加入控制等。实现对信息的限制访问通常采用的 办法是对群组的消息进行加密。如果所有的群组成员都共享一个密钥，就可以很方 便地实现这些安全服务，这个共享的密钥通常被称为组密钥( g r o u pk e y ) ，也称为 会话加密密钥或会话密钥( s e s s i o ne n c r y p t i o nk e y ，简称s e k ) ，流量加密密钥( t r a f f i c e n c r y p t i o nk e y ，简称t e k ) 。如果规定只有群组的成员才能获知组密钥，这样可以 保证只有群组成员才能解密群组的消息。因此，研究一种群组密钥的生成、分发和 更新的机制成为了群组密钥管理机制亟需解决的主要问题。 密钥管理是指在一种安全策略指导下密钥的产生、存储、分配、更新和撤销。 它的目的就是维持系统中各通信实体之间的密钥关系，以抗击各种可能的威胁，如 密钥泄漏、秘密密钥或公开密钥的真实性等。由此可见，密钥管理对于开放网络环 境下的安全通信具有关键性的作用，安全群组通信系统中组密钥管理机制的研究是 最为复杂、最具有挑战性的工作。近年来国内外很多研究机构和学者都对此进行了 研究，提出了很多面向群组的密钥管理协议，以保证安全群组通信。但是目前还存 在许多没有解决的难题，还需作进一步的研究，主要表现在： 密钥管理协议的性能。密钥管理协议的运行需要占用系统较大的负载和网络 通信带宽等，除了采用安全性能好、速度快的密码算法以外，密钥管理协议还存在 密钥更新时引起的密钥存储量、占用的通信带宽和密钥更新的计算量等额外开销。 如何使密钥管理协议安全高效地运行，这是一个难点问题，值得进一步的研究。 源认证问题。目前解决的方法是使用共享密钥的信息加密解密技术，对每一 个数据包都进行数字签名。这种方法是不够的，需要研究一种有效的安全机制验证 消息是否来自于授权的发送方。 密钥管理协议本身的安全。密码体制的安全性蕴于密钥管理之中，因此密钥 管理机制也往往会成为攻击的目标。密钥管理协议一般包含多个复杂的协议，也必 然会成为攻击的目标。因此密钥管理协议自身的抗攻击能力非常重要，如如何抵制 中间人攻击等。 如何将现有的密钥管理协议与群组通信系统的应用集成起来，设计出符合实 际应用需求的安全可靠的群组通信系统。 针对特定的网络环境，采用现有的网络安全技术如p 、i p s e c 等实现密钥管 2 第一章引言 理协议。 如何将现有的密钥管理协议应用于移动无线网络以及网格环境下等。 综上所述，有必要对安全群组通信中密钥管理技术做进一步深入的研究。 1 2 国外研究现状 国外对群组通信的研究始于2 0 世纪8 0 年代末，主要侧重于研究群组通信的可靠 性。对安全群组通信的研究从2 0 世纪9 0 年代末才i ：始，i n t e m e t i 程任务组( i n t e r n e t e n g i n e e r i n g t a s kf o r c e ，简称i e t f ) 研究和实施的i n t e m e t 组管理协议( i n t e r n e tg r o u p m a n a g e m e n tp r o t o c o l ，简称i g m p ) 、j o h n sh o p k i n s 大学网络与分布实验室研究的 s p r e a d 系统、康奈尔大学的h o r u s 系统、巴勒斯坦h e b r e w 大学研究的t r a n s i s 系统等。 已开发的一些规范主要有国际标准组织制定的x 5 0 9 标准。1 、m i t 开发的k e r b e r o s 协 议”3 。其中i e t f $ 1 j 定的i g m p 协议( 当前版本是i g m p v 3 “1 ) 提供了对安全组播通信的 支持和简单的密钥管理功能。 开放网络环境下群组通信的安全性主要侧重于密钥管理协议的研究，近年来国 内外学者提出各种密钥管理协议，研究的重点主要集中在改进密钥管理协议性能、 提高密钥管理方案的可扩展性和健壮性以及提高安全性等几个方面。密钥管理协议 必须考虑密钥更新引起的额外通信、计算和存储方面的开销以及协议的高效性。可 扩展性是针对大型动态群组的密钥管理提出的，当群组成员规模较大时，密钥管理 协议能够处理好组规模较大时的“1 影h i i n l 问题，提高密钥管理协议的效率；健壮性 是将安全的密钥管理协议与可靠的群组通信服务有效的结合起来，从而得到安全的、 容错的群组密钥管理方案；还有学者将容忍入侵技术和安全群组通信系统结合起来， 提出容侵的群组密钥方案；提供可证明的安全性是进一步保证密钥管理方案本身安 全性的一种方法，也得到了很多学者的研究，如可验证的门限多秘密分享方案等。 1 3 国内研究现状 相对而言，国内对安全群组通信的研究是从近几年开始起步，主要集中在对集 中式和分布式密钥管理协议的分析与改进，旨在研究通信和计算开销较小的组密钥 管理协议。从文献检索的情况上看，除一些关于会议密钥分发、门限秘密分享方案、 密钥托管、密钥交换和组播密钥管理协议的研究论文之外，讨论面向对等群组通信 的密钥管理技术及其应用研究的成果并不多见。国内学者对i p 组播形式的群组通信 安全性研究较多，如李先贤对群密钥管理问题做了形式化的分析5 1 。后来国内陆续 出现了一些改进的组播密钥管理协议，如刘璨等提出的基于组安全控制器的密钥管 理协议”1 ；中国科技大学朱文涛博士提出的p e l k h 的方案”3 。面向对等群组通信的 3 青岛大学硕士学位论文 研究，国内也刚开始起步，王志伟提出了基于树结构和门限思想的组密钥协商协议 “1 。况晓辉研究了在移动自组网( a d h o c ) 网络下密钥管理协议”1 。 从国内的研究情况来看，国内对等群组通信的研究成果并不多，主要集中在对 国外学者提出的算法的改进方面。通过对国内外安全群组通信系统中密钥管理问题 研究现状及水平的分析，不难发现，现有的方案还不是十分成熟，研究群组通信中 的密钥管理问题是一项具有挑战性的工作，值得我们进一步深入研究。 1 4 本文所做的工作 本文研究了现有的组播密钥管理方法的特点，提出了一种新的组播密钥管理方 法。具体内容如下： 分类介绍了多种现有组播密钥管理方法的实现原理，特点。 提出了动态调整密钥管理方法( d y n a m i c a l l yr e g u l a t i n gk e ym a n a g e m e n t ， 简称d r k m ) 。该方法可以根据组播组的动态性、组播应用的实时性要求适时调整 自己的密钥管理结构，因此可以适应不同种类的组播应用。 对d r k m 的进行了编程仿真，结果表明d r k m 具有较好的扩展性和较高的密 钥更新效率。 1 5 内容安排 本文内容安排如下：第一章是引言：第二章介绍组播相关的技术：第三章介绍 组播安全的现状，第四章分类介绍现有的组播密钥管理方案；第五章讲述我们设计 的动态调整密钥管理方法和实验仿真；最后是总结与展望。 d 第二章组播相关技术 2 1 组播技术简介 第二章组播相关技术 在2 0 世纪8 0 年代早期，大多数局域网技术( 例如以太网和令牌环网) 都已经支 持组播技术( 这种组播技术可以称为硬件组播技术) ，其应用主要局限于局域网环 境。而通过网桥互联的扩展局域网以及广域网并不支持类似的组播数据发送技术。 尽管从一开始人们就在i p 地址空间中为组播预留了位置( d 类地址) ，但却没有出现 可以使用这类地址的i p 层组播技术。直至i 2 0 世纪8 0 年代末，s t e v ed e e r i n g ”1 提出：可 以对基于数据报的网络层上的单播( u n i c a s t ) 路由机制进行组播扩展。i p 组播机制 才得以诞生。本文中提到的组播，未有特殊说明均指i p 组播。 萨 组播 旷 图1 1 单播和组播传输方式的比较 组播机制允许一次发送一个分组给一组接收者，而单播方式一次只能发送一个 分组给一个接收者。从理论上说，组播可以用足够多的单播实现，但随着接收者数 量的增多，需要发送的数据包呈线性增长，对个接收者，需要发送同一个数据包 5 凰一屠 屠一凰 青岛大学硕士学位论文 的份拷贝，这样通信量会成倍增加、也会占用网络的许多带宽、有时甚至会引起 网络拥塞。在组播环境中，发送者仅需向组接收者发送一个分组拷贝，而由网络 中处于适当位置的分支节点( 组播路由器) 处理分组的复制问题，以使得每个接收 者都能收到一个相同的原始分组拷贝，如图1 1 所示。 组播的基础是组的概念，个组播组就是一组希望接收特定数据报文的主机。 这个组没有物理或者地理的边界，组的成员可以位于i n t e r n e t 或者专用网络的任何地 方，主机所需要做的就是通知它的路由器它想加入某个组。目前负责完成这个任务 的协议是i n t e m e t 组管理协议。其它的工作都由路由器通过组播路由协议完成。 2 2 组播的实现 2 2 1 组播的l p 地址 根据i n t e r n e t 地址分配机构( i n t e m e ta s s i g n e dn u m b e r sa u t h o r i t y ，简称i a n a ) 关于i p 地址的规定，i p 地址共分为a 、b 、c 、d 、e 共5 类。其中a 、b 、c 类为目前 应用的普通i p 地址，e 类地址保留为将来使用，d 类地址即为组播地址，其网络号为 固定的1 1 1 0 ( 第0 3 位) ，第4 3 1 位定义了某一特定的组播地址，范围为2 2 4 0 0 0 2 3 9 2 5 5 2 5 5 2 5 5 。i p 组播地址仅能作为目的地址。 通过组播1 p 地址，当一台主机向一组主机发送数据时，只需将数据发送到一个 预定的i p 地址，所有加入该组的主机均可以收到这份数据。这样对发送者而言，数 据只需发送一次就可以送给所有接收者，大大减轻了网络的负载和发送者的负担。 对于每个组播地址，存在零台或者多台主机集合侦昕传输到这个地址的报文。 这个主机集合就叫做一个组播组( m u l t i c a s tg r o u p ) 。把报文发送到一个特定的组播 组的主机不必是这个主机组的成员，这台主机甚至有可能不知道这个组中当前的成 员。 组播组有两类：永久组播组和临时组播组。永久组播组总是存在所以不必创建， 每个永久组播组拥有一个e h i a n a 分配的永久i p 地址。这种组播组中的成员关系不是 永久性的，一台主机可以根据需要加入或者退出这个组。即使在没有成员的情况下， 一个永久组播组依然存在。例如2 ”0 0 2 代表该子网上的所有路由器。任何不是永 久组播组的组都是临时组播组，这种组必须在使用前建立。当组的成员数目为0 时， 临时组播组被撤销。 2 2 2 组播组的管理 在网络系统中，需要有一个协议来保证网络交换设备( 如交换机和路由器) 知 道所连接的子网中是否有主机属于某一个组播组。为此r r f 制定了i g m p 协议。它被 6 第二章组播相关技术 i p v 4 用来向邻近的任何组播路由器报告它们的组播组成员关系( i p v 6 增加了组播监 听发现功能，因而不需要i g m p ) 。路由器不仅被动的接受i g m p 消息，还主动的发 出查询消息。 i g m p 协议运行于主机和与主机直接相连的组播路由器之间，i g m p 实现的功能 是双向的：一方面，通过i g m p 协议，主机通知本地路由器希望加入并接收某个特定 组播组的信息：另一方面，路由器通过i g m p 协议周期性地查询子网内某个已知组的 成员是否处于活动状态( 即该子网是否仍有属于某个组播组的成员) ，从而实现对 其所连接的本地网络中的组播组成员关系的收集与维护。通过i g m p ，路由器中记录 的是某个组播组在本地是否还有组成员的信息，而不是每个主机与组播组之间的对 应关系。 到目前为止，i g m p 有三个版本。i g m p v l 定义了基本的组成员查询和报告过程。 目前通用的是i g m p v 2 “，它在i g m p v l 的基础上添加了组成员快速离开的机制。 i g m p v 3 中增加的主要功能是成员可以指定接收或指定不接收某些组播源的报文。它 与前面的i g m p v l 矛f i i g m p v 2 是可以互操作的。 2 2 3 组播路由协议 与单播报文的转发相比，组播报文的转发相对复杂。一方面，组播路由与单播 路由不同，是点到多点的一棵路由树：另一方面，组播报文转发的处理过程也有所 不同。 组播路由可分为两大类：信源树( s o u r c e t r e e ) 和共享树( s h a r e d t r e e ) 。信源 树是指以组播源作为树根，将组播源到每一个接收者的最短路径结合起来构成的转 发树。由于信源树使用的是从组播源到接收者的最短路径，因此也称为最短路径树 ( s h o r t e s tp a t h t r e e ，简称s p t ) 。对于某个组，网络要为任何一个向该组发送报文的 组播源建立一棵信源树。共享树以某个路由器作为路由树的树根，该路由器称为汇 集点( r e n d e z v o u sp o i n t ，简称r p ) ，将r p 至i j 所有接收者的最短路结合起来构成转发 树。使用共享树时，对应某个组，网络中只有一棵路由树。所有的组播源和接收者 都使用这棵树来收发报文，组播源先向树根发送数据报文，之后报文又向下转发到 达所有的接收者( 这种组播模式也被称为对称组播) 。信源树的优点是能构造组播源 和接收者之间的最短路径，使端到端的延迟达到最小。但付出的代价是：在路由器 中必须为每个组播源保存路由信息，这样会占用大量的系统资源，路由表的规模也 比较大。共享树的最大优点是路由器中保留的状态数可以很少，缺点是组播源发出 的报文要先经过r p ，再到接收者，经过的路径通常并非最短，而且对r p 的可靠性和 处理能力要求很高。 单播报文在转发过程中，路由器并不关心源地址，只关心报文的目的地址，通 7 青岛大学硕士学位论文 过目的地址决定向哪个接口转发。在组播中，报文是发送给一组接收者的，这些接 收者使用同一个逻辑地址标识。路由器在接收到报文后，必须根据源和目的地址确 定出上游( 指向组播源) 和下游方向，把报文沿着远离组播源的方向进行转发。这 个过程成为逆向路径转发( r e v e r s ep a t hf o r w a r d i n g ，简称r p f ) 。与单播路由一样， 组播路由也分为域内和域外两大类。域内组播路由目前已经研究得相当成熟，在众 多的域内路由协议中，距离向量组播路由协议“”( d i s t a n c ev e c t o rm u l t i c a s tr o u t i n g p r o t o c o l ，简称d v m r p ) ，基于核心树的路由协议”( c o r eb a s e dt r e e s ，简称c b t ) ， 协议无关组播密集模式“1 1 ( p r o t o c o li n d e p e n d e n tm u l t i c a s t d e n s em o d e ，简称 p i m d m ) 和协议无关组播稀疏模式“( p r o t o c o li n d e p e n d e n tm u l t i c a s t s p a r s e m o d e ，简称p i m s m ) 是目前应用最多的协议。 8 第三章组播安全简介 第三章组播安全简介 阻碍i p 组播业务大规模商业化部署的一大障碍是目前的i p 组播架构的安全性， 即缺乏支持端到端信息安全性的网络安全服务以及保障i p 组播基础服务设施的安全 机制。本论文主要考虑为i p 组播的上层应用提供端到端的通用网络安全服务。而基 础设施的安全性问题只能通过为i g m p 协议、i p 组播路由协议、特定的可靠组播协议、 特定的网络拥塞控制协议提供相应的安全机制来解决，不可能通过一种通用方案来 解决所有这些问题。 3 1 信息安全的定义 国际标准化组织( i n t e r n a t i o n a ls t a n d a r do r g a n i z a t i o n ，简称i s o ) 将“信息安全” 定义为：为数据处理系统采取的安全保护技术，保护计算机硬件、软件和数据不因 偶然或恶意的原因遭到破坏、更改和泄露。一般可以从以下六个方面理解信息安全 的概念： 机密性( c o n f i d e n t i a l i t y ) ，未经授权的用户不能访问信息的内容。 完整性( i n t e g r i t y ) ，未经授权的用户不能更改存储或传输的信息。 认证( a u t h e n t i c i t y ) ，也称为鉴别，对信息持有者或访问者的身份进行确认， 保证只有合法的用户可以使用资源。 可用性( a v a i l a b i l i t y ) ，网络资源在需要时可以立即使用，不因系统故障或 误操作造成信息的丢失或妨碍对资源的使用。 不可伪造性( n o n f a b r i c a t i o n ) ，实体发送或接收的数据应该不能被其它实体 所伪造。 不可否认性( n o n r e p u d i a t i o n ) ，数据的发送或接收者无法否认其发送或接 收数据这一事实。 虽然人为和非人为的因素都可以对信息安全构成威胁，但两者中以人为的有意 攻击的威胁最大。人为的攻击主要有两类：被动( p a s s i v e ) 攻击和主动( a c t i v e ) 攻击“。被动攻击不对传输或存储的数据做任何改动，也不影响系统的状态和正常 的运行，因此难以察觉。常见的被动攻击途径有： 数据窃取。用各种合法或非法的手段窃取系统中的敏感信息，例如利用搭线 窃听的方式监听通信线路中传输的信息； 数据分析。通过长期收集系统通信传输的信息，利用数学工具或统计分析方 法了解系统通信的特征和规律，并提取有用的内容。 主动攻击则试图对传输或存储的数据进行篡改，或试图影响系统的状态和运行 日 青岛大学硕士学位论文 以达到攻击者的意图，例如假冒合法用户。常见的主动攻击途径有： 篡改信息。通过向消息中增加、修改或删除数据的方式来改变消息的内容， 或用虚假的消息来欺骗系统或用户； 抵赖。合法的用户否认自己发送过或接收过某消息； 攻击。利用系统存在的安全缺陷破坏系统的状态和正常的运行，常见的方式 有：病毒、木马和拒绝服务( d e n i a lo f s e r v i c e ，简称d o s ) 攻击等。 3 ，2 信息安全技术 信息安全领域是一个综合交叉的学科领域，它需要综合利用计算机、通信、微 电子、数学、物理和生物技术等诸多学科的长期知识积累和最新研究成果。由于信 息安全的分支比较多本章将择要介绍以下几种常见的安全技术。 3 2 1 加密技术 信息加密是保护信息安全的最核一心、最基本的技术方法。对数据的加密过程就 是利用加密密钥( c r y p t o g r a p h i ck e y ，简称k e y ) 和加密算法将明文( p l a i nt e x t ) 转 换成其他用户不可理解的密文( c i p h e r t e x t ) 。而解密是其反过程，利用解密密钥和 解密算法将密文重新恢复成明文。用户之间传输的是用加密密钥加密过的密文，而 只有拥有解密密钥的用户才能够解密密文以获得明文。加密方法大致有二类，即对 称密钥加密技术和非对称密钥加密技术。人们过去一直使用各种形式的对称密钥加 密技术，而非对称密钥加密技术则是最近才产生的。这二种技术的主要特点如下： 对称密钥加密( s y m m e t r i ck e ye n c r y p t i o n ) ，也称秘密密钥加密( s e c r e tk e y e n c r y p t i o n ) 。使用对称密钥加密算法的通信双方使用相同的密钥，即使用同一个密 钥对数据进行加密和解密。一般来说加密算法的细节都是对外公开的，其他用户只 要得到这个密钥同样可以对密文进行解密，因此密钥的机密性是加密安全性的关键。 比较著名的对称密钥算法有数据加密标准“( d a t ae n c r y p t i o ns t a n d a r d ，简称d e s ) ， 国际数据加密算法( i n t e r n a t i o n a ld a t ae n c r y p t i o na l g o r i t h m ，简称i d e a ) 等，其中 以d e s 的影响最大。随着计算机技术的发展，d e s5 6 比特长度的密钥对今天的许多 安全应用来说己太短了。因此，1 9 9 7 年4 月美国国家标准技术研究所( n a t i o n a li n s t i t u t e o f s t a n d a r da n dt e c h n o l o g y ，简称n i s t ) 面向全世界征集新的高级加密标准( a d v a n c e d e n c r y p t i o ns t a n d a r d ，简称a e s ) ，目的是为了确立一个公开加密和解密算法细节的、 全球免费使用的、用对称密钥算法实现的加密标准。2 0 0 0 年1 0 月，n i s t 公布r i i n d a e p l 作为a e s 的标准算法。 非对称密钥加密( a s y m m e t r i ck e ye n c r y p t i o n ) ，又称为公共密钥加密( p u b l i c k e ye n c r y p t i o n ) ，即通信的双方需要使用不同的密钥进行加密和解密。用于加密的 1 0 第三章组播安全简介 密钥称为公钥( p u b l i ck e y ) ，用于解密的密钥称为私钥( p r i v a t ek e y ) 。公钥可以对 外公开，而私钥只有用户自己才知道，而且从公钥推导出私钥在计算上是不可行的。 与传统的对称密钥系统不同的是，公钥密码系统不仅公开加密算法本身，也公开了 加密用的密钥。对于需要进行安全通信的双方，发送方可以使用接收方的公钥进行 加密，接收方利用自己的私钥可以对密文进行解密。目前的公钥密码系统主要有三 类：基于大整数因子分解、基于离散对数问题( d i s c r e t el o g a r i t h mp r o b l e m ，简称 d l p ) 和基于椭圆曲线上的离散对数问题“”的系统。 如果e 代表加密算法，k 代表加密密钥，k 1 代表解密密钥，p 为明文，c 为 密文，加密操作通常表示为：c = e ( k ：p ) ，解密操作表示为：p = e ( k 。1 ：c ) 。不 考虑密码算法时，加密也可写为c = p ) 。，解密写为p = c 。对称密钥算法的关 键点就是即使攻击者获得了密文，攻击者也不能通过密文获得足以确定明文的有用 信息。换言之，对称密钥算法的安全性是基于信息论意义上的安全性。s h a n n o n ” 证明，如果一个攻击者可以任意地访问通信信道上传输的信息，并拥有不受限制的 计算和存储能力，那么要实现完全保密( 即除位长外密文不给出明文的任何信息) ， 只有当密钥空间的熵值至少和明文空间的熵值一样大时才能实现。简单地说，对一 条m 位的明文，为了实现完全保密密钥的长度至少应为m 位。但这种方式只对短消 息有用，对更长的消息就显得不实用了。因此，实用的对称密钥算法都会导致密文 提供关于明文或多或少的信息，好的对称密钥算法应使密文泄露的明文信息尽可能 的少。 随着用户数目n 的增加，为完成任意两个用户之间的安全通信，公钥密码系统 所需要的密钥数目为o m ) ，而对称密钥系统所需要的密钥数目则是o m 2 ) 。因此， 公钥密码系统的优势在于它的密钥管理效率更高。然而，公钥密码系统的安全性是 基于计算复杂度的假设，例女 j r s a 算法的安全性就是基于大整数因子分解的困难性 之上。但是随着分解大整数算法的进步、计算机速度的提高，以及计算机网络的发 展( 可以使用成千上万台机器同时进行大整数分解) ，作为r s a 安全保障的大整数也 应该越来越大。为了保证r s a 的安全性，其密钥的位数一直在增加。目前一般认为 r s a 需要1 0 2 4 位以上的密钥，而任何现有计算算法的改进都要求增加密钥长度。显 然密钥长度的增加导致了其加密、解密的速度大为降低，硬件实现也变得越来越困 难，这就给r s a 算法的使用者带来了很重的负担，从而使得其应用范围越来越受到 限制。 不过，讨论公钥密码系统与对称密钥系统哪个更好并没有意义。和公钥密码系 统相比，对称密钥系统的处理速度要快几个数量级，更适用于数据加密。而公钥密 1 1 青岛大学硕士学位论文 码系统则具有不可否认的特性，如用户可以通过私钥证明自己的身份。因此，公钥 密码系统在于身份认证、数字签名等安全协议中有着广泛的应用。 3 2 2 身份认证 当一个用户要登录系统或使用资源时，必须能通过某种方式确认用户的身份， 即当前要求登录系统的用户的确是他所声称的那个用户。用户证明自己身份的过程 被称为身份认证，身份认证是实施访问控制等安全技术的基础。 在u n i x 系统中采用口令来认证用户身份，基于口令的方式易于实现但存在着安 全缺陷。0 1 。常见的攻击有口令猜测、监听网络流量并窃取以明文方式传递的口令、 截获认证信息后通过回放以欺骗系统等。目前的人们主要研究实用的、安全的( 可 以抵御重放攻击、中间人攻击”“等) 的身份认证系统。 此外，还有利用人体的生物特征的不可复制性来进行身份认证的生物特征识别 技术，目前可利用的人体的生物特征有指纹、视网膜和手写签名等。由于人体的生 物特征的唯一性，生物特征识别技术的安全系数比较高，应用前景是非常广阔的。 3 2 3 数字签名 数字签名技术与传统的手写签名的目的是一致的。理想上应能实现以下目标： 签名是可信的，签名表明签名者同意文件的内容； 签名是不可伪造的，收到的签名的确是由真实的签名者签署的； 签名是不可重用的，签名是所签署的内容的一部分，不能被挪做它用，对其 它内容签名； 签名者对文件进行签名后，文件的持有者不能改变文件的内容； 签名是不可抵赖的，真实的签名者不能否认他对文件的签名。 公钥密码系统、对称密钥系统和单向散列函数等技术可以综合在一起应用于数 字签名和数据完整性检测中。为了防止数字签名被重用，通常采用时间戳技术来实 现这一点。目前数字签名领域的研究内容非常丰富，包括普通的数字签名和适用于 特定应用环境下的特殊签名( 例如盲签名群签名门限签名和代理签名等) 。不过，数 字签名在实际中的应用还涉及到国家立法和标准化方面的工作。在基于有限域的离 散对数问题的数字签名算法( d i g i ts i g n a t u r e a l g o r i t h m ，简称d s a ) 的基础上，美国 制定了自己的数字签名标准( d i g i ts i g n a t u r es t a n d a r d ，简称d s s ) 。 3 2 4 密钥管理 无论使用什么加密算法来保护数据，数据的安全性都依赖于对密钥这一关键部 分进行保护。密钥管理机制定义了产生、分发、存储和更新密钥等功能。一个简单 的策略就是设置一个密钥分发中t ：, k d c 负责为h 个用户管理密钥。2 2 。k d c 负责为 1 2 第三章组播安全简介 每个用户生成个人密钥，并负责证明用户个人密钥的合法性。k d c 把个人密钥通过 安全的方式发送给每个用户。这种方式的缺点就是k d c 需要存储的密钥数目和密钥 分发的消息数目均为0 m 1 ，性能参数不理想，而且k d c s 艮容易成为性能瓶颈。为了 保证通信的安全性，需要定期地更新密钥，防止经过一段时间后，攻击者利用唯密 文、选择明文等密码分析技术破译密钥。如果怀疑或已知某个密钥已经泄露，k d c 也必须及时地更新密钥。 3 2 5 密钥协商 和集中式的密钥管理机制相比，密钥协商机制不需要可信的第三方，通信的双 方可以依靠密码学安全得生成会话密钥。d i f f i e h e l l m a n 密钥交换算法m 1 就是一个很 好的密钥协商协议，该算法的安全性依赖于求解有限域内离散对数问题的复杂性。 d i f f i e h e l l m a n 密钥交换算法可以扩展到三人或更多人的情况，但需要增加更多的计 算轮数。不过d i f f i e h e l l m a n 算法没有引入认证机制，容易遭受中间人攻击。一个可 行的解决办法就是让通信的双方在密钥协商的过程中分别对消息进行签名。 3 3 组播安全与单播安全 理论上，一对多的通信都可以分解为一组点到点的通信，因此目前的安全单播 通信技术，例如被普遍使用的安全套接字层1 ( s e c u r es o c k e tl a y e r ，简称s s l ) 和 k e r b e r o s 等，似乎可以很自然地扩展到安全组通信上。然而，这种扩展对一般的小 型群组还行得通，却不能适用于大型动态群组( 即成员数目巨大而且组成员变动频 繁的组播组) 。 为了说明这个问题，我们先对客户机和服务器间的安全单播通信作一个简要的 描述。首先，客户机和服务器使用一种鉴别协议或服务进行相互认证；然后，产生 一个共享的对称密钥用于双向的加密通信。这一过程可以以如下方式扩展到一个群 组：存在一个共同信任的组服务器，用它来存储用于实施组访问控制的成员信息。 当一个客户机想加入这个组时，客户机和组服务器使用一种鉴别协议相互认证。当 每一个客户机通过鉴别并被接纳进入该组后，它们分别和组服务器共享一个密钥， 这个密钥叫做成员的私有密钥( 不同于非对称密钥加密技术中的私钥) 。为了实现组 通信，组服务器再给每一个成员安全地发送一个组通信密钥，该密钥为全体组成员 所共享，所有的组通信都通过该组通信密钥加密。 对一个有n 个成员的组，给所有的组成员安全地发送组通信密钥需要n 条信息， 这n 条信息必须分别用每个成员的私有密钥加密( 计算的开销与组的大小”成正 比) 。每一条信息被单独地用单播方式发送。另一种替代的办法是，这，l 条信息可以 青岛大学硕士学位论文 复合为一条信息用组播方式发送。无论哪一种方式通信的开销都与组大小n 成正比 ( 通过发送信息的数量或复合信息的大小来衡量) 。 我们注意到，对于点到点的会话过程，仅在会话开始前需要进行一次密钥生成 和分发。但是，对于组通信的会话过程，组密钥生成和分发可能需要反复进行许