（计算机软件与理论专业论文）组播密钥管理协议的研究与实现.pdf

摘要 组播通信中，发送者向特定的组播地址发送一份信息，由支持组播的路由器尽最大努 力转发给组里的所有成员，利用组播可以减轻网络负载和发送者负担。由于t c p i p 在网络 层缺乏访问控制，为了保证组播通信的安全，需要将组播通信内容用密钥加密后再传输， 因此组播密钥管理成为安全组播的重要研究内容。 本文通过分析组播密钥管理研究现状，指出组播密钥管理协议存在的问题：组通信参 与者不具体，不能确定哪些组成员是消息发送者或接收者，只能确定消息发送者或接收名 是组成员；全体组成员利用组密钥实现安全通信，共享一个秘密通道，不能根据成员需求 构建多个秘密通道，未能实现灵活的子组通信。 针对组成员认证问题，提出组密钥协商方法，成员与可信中心共同协商组密钥，在组 密钥中包含成员信息，明确组通信参与者，并将m h 背包公钥密码算法运用于组密钥产生。 针对子组通信访问控制问题，提出予组密钥产生方法，根据成员需求建立子组，实现灵活 的子组通信。为防止成员利用已知明文进行恶意攻击，破解其他成员与可信中心共享的秘 密密钥，将秘密共享算法运用予组密钥分发。综合上述方法，提出基于密钥协商的组播密 钥管理协议( g k c p ) 。g k c p 协议分为六个阶段：双向认证、组密钥协商、组密钥分发、 组密钥恢复、组向量恢复、子组密钥产生。 采用s v o 逻辑对双向认证和子组密钥产生协议进行形式化分析；用数学方法例证组密 钥产生、组密钥分发、组密钥恢复、组向量恢复等过程，证明了g k c p 的正确性。在分析 g k c p 功能需求的基础上，设计实现g k c p 并对其进行实验验证。形式化分析、例证和 实验结果表明g k c p 的正确性和可行性。 通过与g k m p 、l k h 、o f t 等协议进行比较，得出g k c p 具有双向认证、组成员认证 粒度小、灵活的子组通信、抵抗组密钥更新欺骗等特点。 最后对本文工作进行总结，提出今后研究工作的方向。 关键词；口组播，安全组播，组播密钥管理，密钥协商 a b s t r a c t a n yh o s to fm u l t i c a s tg r o u pc a ns e n dau d pp a c k e tt oag i v e nm u l t i c a s ta d d r e s s ，a n d u n d e r l y i n gm u l t i c a s tr o u t i n gm e c h a n i s mw i l ld ot h e i rb e s t e f f o r tt od e l i v e rt h ep a c k e tt oa l l r e c i p i e n t sw h oh a v ee x p l i c i t l y j o i n e dt h em u l t i c a s tg r o u p ，w h i l em i n i m i z i n gt h en u m b e ro f c o p i e s o ft h ep a c k e tt h a tt r a v e r s et h en e t w o r k ，a n dr e d u c i n gt h eb u r d e no fs e n d e r d u et ot h el a c ko f n e t w o r k _ l e v e la c c e s sc o n t r o li nt c p i p , e n f o r c i n gm e s s a g e s e c r e c yf o ram u l t i c a s tg r o u pr e q u i r e s d a t ae n c r y p t i o n ，m u l t i c a s tg r o u pk e ym a n a g e m e n tb e c o m eo n eo fc o r e p r o b l e m so fs e c u r e m u l t i c a s t a c c o r d i n gt ot h ea n a l y s i so fr e s e a r c hs t a t u so fm u l t i c a s tg r o u pk e ym a n a g e m e n t ，t h et h e s i s p o i n t so u tt h ed e f i c i e n c i e so fm u l t i c a s tg r o u pk e ym a n a g e m e n tp r o t o c o l ：a st h ep a r t i c i p a n t so f m u l t i c a s ta r eu n c e r t a i n t y , w eo n l yc o n c l u d e dt h a tt h es e n d e ro rr e c e i v e ro fm e s s a g ei sa p a r t i c i p a n t o fm u l t i c a s tg r o u p b yu s i n gg r o u pk e y , a l lt h em e m b e r sc a ns h a r eas e c r e t c o m m u n i c a t i o nc h a n n e l ，b u tt h em u l t i c h a n n e lc a nn o tb ec r e a t e df o rm e m b e r sr e q u i r e m e n t ，a n d t h ef l e x i b l es u b g r o u pc o m m u n i c a t i o nc a nn o tb ei m p l e m e n t e d f o rt h es o l u t i o no ft h ep r o b l e mo fg r o u pa u t h e n t i c a t i o n ，t h e g r o u pk e yc o n f e r r i n g m e c h a n i s mi sp r o p o s e d t h em e m b e r sc o n f e rw i t hc r e d i b l ec e n t e ro ng r o u pk e yg e n e r a t i o n t h e i n f o r m a t i o no fm e m b e ri si n c l u d e di ng r o u pk e yt h a ti n d i c a t et h ep a r t i c i p a n t so fg r o u p c o m m u n i c a t i o n f o rt h es o l u t i o no ft h ep r o b l e mo fa c c e s sc o n t r o li ns u b g r o u pc o m m u n i c a t i o n ， t h es u b g r o u pk e yg e n e r a t i o nm e c h a n i s mi sp r o p o s e d t os a t i s f yt h er e q u i r e m e n to f m e m b e r , t h e s u b - g r o u pc a nb ec r e a t e d t h ef l e x i b l es u b - g r o u pc o m m u n i c a t i o nc a nb ei m p l e m e n t e d f o r p r e v e n t i n gm a l i c i o u sm e m b e rf r o mm a k i n gu s eo ft h ea t t a c ko fk n o w nm e s s a g et od e c r y p tt h e k e y st h a to t h e rm e m b e r ss h a r ew i t hc r e d i b l ec e n t e r , t h eg r o u pk e yd i s t r i b u t i o nu s e ss e c r e ts h a r e m e c h a n i s m b a s i n gt h ei n t e g r a t i o no f t h e s em e c h a n i s m ，am u l t i c a s tg r o u pk e ym a n a g e m e n t p r o t o c o l ( g r o u pk e yc o n f e r r i n gp r o t o c 0 1 ) i sp r o p o s e di nt h i st h e s i s ，t h eg k c ph a ss i xp h a s e s ， a sf o l l o w s ：b i d i r e c t i o n a la u t h e n t i c a t i o n ，g r o u pk e yc o n f e r r i n g ，g r o u pk e yd i s t r i b u t i o n ，g r o u pk e y r e v e r s i o n ，g r o u pv e c t o rr e v e r s i o n ，s u b - g r o u pk e yg e n e r a t i o n t h ef o r m a l i z a t i o na n a l y s i so f b i d i r e c t i o n a la u t h e n t i c a t i o na n ds u b g r o u pk e yg e n e r a t i o na r e a d o p t e db ys v ol o g i c ，a n dt h ee x e m p l i f i c a t i o no fg r o u pk e yg e n e r a t i o n ，g r o u pk e yd i s t r i b u t i o n ， g r o u pk e yr e v e r s i o n ，g r o u pv e c t o rr e v e r s i o na r ea d o p t e d ，t h ec o r r e c t n e s so fg k c pi sp r o v e d a f t e rt h ef u n c t i o nr e q u i r e m e n t so fg k c pi sa n a l y z e d ，a n dt h e n ，g k c pi si m p l e m e n t e d t h e g k c p sf u n c t i o ni sv a l i d a t e db ye x p e r i m e n t a t i o n t h ef o r m a l i z a t i o na n a l y s i s e x e m p l i f i c a t i o n a n de x p e r i m e n t a t i o nr e s u l tp r o v et h a tg k c pi sc o r r e c ta n df e a s i b l e c o m p a r i n gg k c pw i t hg k m p , l k ha n do f t , t h eg k c ph a st h ef o l l o w i n gc h a r a c t e r i s t i c s ： s m a l lg r a n u l a r i t yo fg r o u pa u t h e n t i c a t i o n ，f l e x i b l es u b g r o u pc o m m u n i c a t i o n ，p r e v e n t i o no f d e c e i to fg r o u pk e yu p d a t e i nt h ee n d ，t h ec o n c l u s i o ni sd e d u c e d ，a n dt h ef u t u r ew o r ki sp r o p o s e d k e yw o r d s ：口m u l t i c a s t ；s e c u r em u l t i c a s t ；m u l t i c a s tg r o u pk e ym a n a g e m e n t ；k e y c o n f e r r i n g 冀o 氧8 y 广西师范大学硕士学位论文 版权声明 任何收存和保管本论文各种版本的单位和个人，未经本论文的 作者及导师同意，不得将本论文转借他人，亦不得随意复制，抄录， 拍照或以任何方式传播。否则，引起有碍作者著作权之问题，将可 能承担法律责任。 广西师范大学硕士学位论文 原创性声明 本人郑重声明，所呈交的学位论文是本人在导师的指导下，独 立进行研究工作所取得的成果。除文中已注明引用的内容外，本论 文不含任何其他个人或集体已发表过或撰写过的作品或成果。对本 文的研究做出重要贡献的个人和集体，都已在文中以明确方式标瞬， 本声明的法律结果由本人承担。 论文作者签名： 2 0 0 5 年月日 广西师范大学硕士学位论文 学位论文使用授权说明 本人完全了解广西师范大学关于收集，保存，使用学位论文的规 定，即： 按照学校要求提交学位论文的印刷本和电子版本。学校有权保存 学位论文的印刷本和电子版，并提供目录检索与阅读服务；学校可 以采用影印、缩影、数字化或其它复制手段保存论文。在不以赢利 为目的的前提下，学校可以公布论文的部分或全部内容。 论文作者签名： 导师签名： 2 0 0 5 年月日2 0 0 5 年月 日 州师范大学硕士学位论文 1 1 研究背景 第1 章绪论 1 9 8 8 年，d e e r i n g i l l 提出i p 组援( m m u l t i c a s t ) 的基本概念。在组播通信中，发送者向特 定的组播地址发送一份信息，由支持组播的路由器尽最大努力转发给全体组成员，而不必 向每个接收者分别发送一份信息，可减轻网络负载和发送者负担。目前组播通信广泛地应 用于，股票信息发布、电视会议、网络游戏以及大规模军事仿真等方面。 组播发送方将多个接收方的集合作为一个独立的抽象物来处理，接收者是一个确定组 的所有成员，但发送者并不知道接收者具体是哪些成员，组播的参与者动态变化。 由于t c p i p 在网络层缺乏有效的组播安全管理和访问控制，为了保证组播通信安全， 需要将组播通信内容用密钥加密后再传输嘲，因此组播密钥管理成为安全组播的重要研究 内容。 本课题来源于国家信息关防与网络安全保障持续发展计划项目、国家8 6 3 重大军事主 题项目，以及北京航空航天大学虚拟现实新技术实验室( 教育部重点实验室) 的相关研究 项目。 1 2 安全组播概述 组播面临比单播更为复杂的安全问题，有以下原因： 1 ) 组播采用u d p 协议向组成员发送数据包，u d p 协议采用无连接的方式传输，是不 可靠的传输方式。 2 ) 现有的i g m p 组管理协议不能提供访问控制，主机可以任意加入和退出组播组。 3 1 现有的组播路由协议不能控制组播树的扩展方向，组播分支可以任意嫁接。 组播的特点是信宿明确而不具体眠信宿明确是指接收者是一个确定的组中全体成员， 而信宿不具体是指发送者不知道组播包的接收者是哪些主机，这些主机在什么位置，且这 些主机是动态变化的。安全组播需要做到两方面：只有注册的发送者才可以向该组发送数 据，只有注册的接收者才可以访问该组数据，注册是指主机向认证中心申请成为合法的组 成员。图1 是安全组播的示例，为防止非组成员访问组播通信的内容，需要将消息加密再 传送，只有组成员才能解密该消息。 1 广西师范大学硕+ 学位论文 图1 安全组播示例 t h o m a sh a r d j o n o h l 将安全组播划分为3 大类问题：核心问题、结构问题和复杂应用问 题。核心问题有三类：源认证、组播密钥管理、组播安全策略等；结构问题指组播路由协 议的安全性和可靠组播协议的安全性；复杂应用问题指分布式组密钥产生、组和成员证书、 成员不可否认等。 1 3组播密钥管理面临的问题 组播密钥管理是安全组播的核心问题之一，负责组密钥的产生、分发和更新。组密钥 是指组成员之间共享的通信密钥，用于加密组播通信内容，防止非组成员访问该组的通信 内容。 单播密钥管理的技术目前比较成熟，如i p s e e 协议。与单播相比，由于参与组播通信 的成员动态变化，组播密钥管理面临一些更复杂的问题。以下是组播密钥管理所要解决的 问题 4 】： 1 1 前向安全：新成员加入组时，需防止新成员访问过去组通信内容。 2 ) 后向安全：当成员离开组对，需防止该成员访问以后组通信内容。 3 ) 可伸缩性：当组成员数量增加时，密钥更新通信量、密钥产生计算量和密钥存储 量将随之增长，为适用于大型组播环境，需减小组密钥更新代价，提高组密钥更 新效率。 4 1 合谋破解：防止多个成员合作获得组密钥等信息，使前向安全和后向安全失效。 5 1 组成员认证：鉴别组成员与非组成员，非组成员不能冒充组成员向组发送消息， 也不能访问该组的消息，只有组成员才能发送或访问该组的消息。 2 广西师范人学硕十学位论文 6 ) 组密钥一致性：成员采用组密钥加解密组通信内容时，各成员拥有的组密钥须保 持一致。 7 ) 子组通信访问控制：建立由部分成员组成的子组，防止其他成员访问该子组通信 的内容。 8 ) 健壮性：部分成员失效仅使得组的规模减小，而不影响组播的安全。 前向安全和后向安全是组播密钥管理的重要环节，如果不考虑前向安全和后向安全， 则组播密钥管理较容易实现。但是，组成员需忠诚，不泄漏组密钥等信息，否则将危及组 播安全。 1 4组播密钥管理研究现状 目前，组播密钥管理的研究比较关注前向安全、后向安全和可伸缩性等问题。下面介 绍一些典型的组播密钥管理协议。 g k m pe 1 2 ”1 采用组控制器产生组密钥，然后利用组密钥加密密钥g k e k 将其加密后传 递给每个组成员，每个组成员解密并获得组密钥。g k m p 适应于小型组播环境和组成员变 化较少的情况，不适合大型动态组播环境。 i o l u se 5 1 将一个组划分成多层次的子组，同时引入了安全分配树的概念，该树由组安 全代理g s a 组成，根节点的g s a 成为组安全控制器g s c ，其他g s a 称为组安全中间人 g s l ，g s i 负责管理子组密钥和其他子组的安全通信。组成员的变化只在子组内有影响，多 个g s i 和g s c 共同完成组的安全管理任务。 w g l 6 t 通过逻辑密钥层次结构解决可伸缩性问题，密钥由密钥服务器产生，并被组织 成逻辑层次结构。这种层次结构类似于方向树，又称为密钥树。密钥树中的每一节点代表 一个相应小组的组密钥，叶节点代表用户与密钥服务器的通信密钥。每一组成员需要存储 该用户从根节点到叶节点路径上的所有密钥，当有成员加入或离开组时就需要相应地变更 该路径上的密钥，并告诉其他组成员。 o f t 7 1 对逻辑密钥层次结构进行改进，减少组密钥更新消息的数量。利用2 2 k 单向函 数树存储密钥，采用盲密钥和非盲密钥让组成员从下往上计算出组密钥，从而减少组密钥 更新消息的数量。 屈劲提出h u f f m a n 逻辑层次密钥树方法管理密钥引，采用h u f f m a n 层次结构的密钥管 理系统使平均用户密钥存储量最小。 3 广西师范大学硕十学位论文 刘骡提出一种基于子组安全控制器的组通信密钥管理和访问控制方案，改进并解决 i o l u s 和w g l 方案中存在的若干问题【9 1 。 朱文涛提出一种利用多项式展开的组密钥分配方案1 ，其特点是不使用传统加密和解 密方式，在小型组播环境下具有较好的性能；将基于多项式展开的算法与逻辑密钥层次结 合，又提出一种p e l k h 方案，通信量随组规模呈对数增长，其计算复杂度有效降低，适 用于大型动态组播环境。 目前组播密钥管理的研究关注可伸缩性问题，降低组密钥更新代价，提高组密钥更新 效率，但还存在以下问题： 1 ) 不能确定哪些组成员是消息发送者或接收者，只能确定消息发送者或接收者是组 成员，组通信参与者不具体。 2 1 全体组成员利用组密钥实现安全通信，共用一个秘密通道，不能根据成员的需求 构建多个秘密通道，未能实现灵活的子组通信。 1 5研究内容 1 ) 提出新的组密钥产生方法，使组密钥包含组成员信息，通过组密钥能确定组中有哪 些成员。 2 ) 提出新的子组密钥产生方法，根据成员需求建立予组，实现灵活的子组通信。 1 6论文组织 本文共分六章： 第一章绪论，介绍研究背景、安全组播、组播密钥管理面临的问题、组播密钥管理研 究现状，以及论文研究内容。 第二章组播密钥管理协议存在的问题，介绍组播密钥管理协议的分类，然后对集中式 和分布式组播密钥管理协议进行分析，指出组播密钥管理协议存在的问题。 第三章基于密钥协商的组播密钥管理协议，介绍解决组成员认证和子组通信访问控制 等问题的关键技术，提出基于密钥协商的组播密钥管理协议( g k c p ) ，描述成员加入组或 退出组的消息交互过程。 第四章g k c p 协议形式化分析及证明，采用s v o 逻辑对双向认证和予组密铡产尘协 议进行形式化分析，证明其正确性，用数学方法例证组密钥产生、组密钥分发、组密钥恢 4 广西师范大学硕士学位论文 复、组向量恢复等过程的正确性。 第五章g k c p 协议设计与实现，分析g k c p 的功能需求，g k c p 的实现需要可信中心 和成员端共同完成，分别设计实现可信中心和成员端，设计可信中心和成员端通信所使用 的报文结构。 第六章实验验证与协议评价，采用实验验证g k c p 的功能，并将g k c p 与典型的集中 式组播密钥管理协议进行分析比较。 总结与展望，总结论文工作，提出今后的研究方向。 5 - 广西师范大学硕十学位论文 第2 章组播密钥管理协议存在的问题 本章首先介绍组播密钥管理协议的分类，然后对集中式和分布式组播密钥管理协议进 行分析，指出组播密钥管理协议存在的问题。 2 1组播密钥管理协议分类 根据组密钥的产生方式，将组播密钥管理协议分为集中式和分布式两大类。 集中式组播密钥管理协议：一般采用设立密钥中心的方式，负责组密钥的产：生、分发 和更新，管理成员加入或遇出组。 分布式组播密钥管理协议：不设立密钥中心，成员关系平等，协作产生组密钥，采用 选举机制，由某一成员担任协调员，负责分发、更新组密钥，管理成员加入或退出组。 2 2集中式组播密钥管理协议 以下将介绍g 煳p 、l k h 、单向函数树等组播密钥管理协议。 2 2 1 g r o u pk e ym a n a g e m e n tp r o t o c o li g k m p ) f 1 2 1 3 1 g k m p 是个提出比较早的组播密钥管理协议，现已成为正式的r f c 文档。它采用 密钥集中控制方式，协议主要参与者分为：组控制者( g c ) 和组成员。组控制者管理组密 钥的创建、分发、更新；组成员协助g c 产生组密钥，向g c 请求密钥等。 建立组时，g c 选择一个组成员一起刨建组密钥，之后向全组分发组密钥包g k p 。g k p 包含组通信加密密钥g t e k 和组密钥加密密钥g k e k ，g t e k 用于加密组通信的消息， g k e k 用于更新组密钥，将g t e k 加密分发给组成员。成员退出分为可信成员退出和非可 信成员退出，可信成员退出组时，删除可信成员拥有的组密钥，非可信成员退出时，g c 重新建立一个不包含该成员的组。 由于组密钥产生、分发和更新都由g c 完成，随着组成员数量的增多，g c 将成为瓶 颈。g k m p 在成员退出时，采用删除可信成员的组密钥或重新建立组的方法，在后向安全 方面所做的工作比较少，但g k m p 实现起来比较容易，适合于小型组播环境。 6 广茜师范人学硕十学位论文 2 2 2 l o g i ck e yh i e r a r c h y ( l k h ) 1 4 1 d w a l h l e r 提出逻辑密钥树的思想，采用具有树型层次结构的辅助密钥帮助分发组密 钥，当成员加入或退出组时，可快速更新组密钥，减小组密钥更新代价实现前向安全和 后向安全。由密钥中心维护整个密钥树，密钥树采用平衡n ( n 2 ) 叉树的结构。逻辑密钥 树有三种节点：根节点、中间节点和叶节点，根节点代表缀密钥，中间节点指该节点管辖 部分成员共享的子组密钥，用于更新组密钥和其他密钥，叶节点指每个成员和密钥中心共 享的密钥。由上可知，这些节点并不代表实际的组成员，仅用于表示密钥的虚拟层次关系。 每个成员拥有从叶节点到根节点路径上的密钥，当成员加入或退出组时，密钥中心需要更 新这条路径上的密钥。 图2 是一个逻辑密钥树的示例，该组有1 6 个成员，逻辑密钥树采用完全平衡二叉树形 式。密钥中心保管k a 到k o 共1 5 个密钥，以及每个成员和密钥中心共享的密钥k l 至 k 1 6 。组成员则拥有从叶节点到根节点路径上的所有密钥，如成员u 8 捌有k 8 、k d 、k j 、 k m 、k o 等5 个密钥。 图2 逻辑密钥树示例 当成员u 8 退出组时，它所拥有的k d 、k j 、k m 、k o 等4 个密钥将全部更换。更换 过程的表示将用到以下符号： s 代表密钥中心 x ) k 用密钥k 加密x 后的密文 k 密钥k 的新值 7 西师范大学硕十学位论文 a ba 发送消息给b 步骤： 1 ) 2 ) 3 、 4 ) 5 、 s u 7 ： k d ) k 7 s 寸u 7 ： k j ) 肋 s 斗u 5 ，u 6 ： k j 肛 s 寸u l ，u 2 ，u 3 ，u 4 ： k _ m ) 鲋 s - - u 5 ，u 6 ，u 7 ： 挺膨 削 6 ) s “1 ，“2 ，“3 ，“4 ，“5 ，“6 ，u 7 ： k o ) 7 ) s _ u 9 ，u 1 0 ，u l1 ，u 1 2 ，u 1 3 ，u 1 4 ，u 1 5 ，u 1 6 ： k 0 ) 枷 由上述步骤可知，当成员u 8 离开组时，为保证后向安全性，密钥中心需要更换7 次密 钥。对于一个深度为h 的平衡m 叉密钥树，当有一个成员离开组时，密钥中心需要更换密 钥的次数为m ( 一2 ) + 一1 ) = m ( h 1 ) 一1 。 当新用户加入组时，该用户需要先和密钥中心联系获得一个密钥k ，密钥中心利用该 密钥k 加密中间节点和根节点的密钥，分发给新用户。新用户获得这些密钥后，成为组的 成员。新用户加入组时，密钥中心还需要考虑新用户加入的位置，维护逻辑密钥树为一颗 平衡树。如果加入的位置是中间节点，则新用户作为叶节点成为该中间节点的一个孩子； 如果加入的位置是叶节点，则需要将该叶节点拆分变成新的中间节点，原来位景上的叶节 点成为该中间节点的一个孩子，新用户成为该中间节点的另一个孩子。新用户加入组时更 新密钥与成员离开组时更新密钥相类似，只是在新用户加入时，要安排适当的加入位置。 l k h 有以下优点：平衡成员存储密钥和密钥更新的代价，成员离开组时密钥更新的代 价比g k m p 低得多；辅助密钥不仅可以用于更新组密钥和其他密钥，也可以加密信息，用 于子组安全通信：采用层次式结构可以根据网络结构灵活变换，提高效率；当成员退出组 时，可以快速更新密钥，恢复安全组通信，抵抗被排除成员的合谋攻击，具有较好的后向 安全性。 2 2 3 单向函数树( o f t ) h s 】 d b a l e n s o n 等人借鉴单向函数和逻辑密钥树的方法，在组播密钥管理协议中首次采用 单向函数树，以减小成员加入或离开组时密钥更新代价。在o f t 中，采用密钥中心维护密 钥树，图3 是一个单向函数树的示例，该组有1 6 个成员。 8 一 广西师范大学硕士学位论文 图3 单向函数树不例 与l k h 类似，最上层的根节点存储组密钥，最下层的叶节点存储成员与密钥中心共 享的密钥：不同之处是若x 为一中间节点或根节点，其左右孩子节点分别为x 和， 则 x 的节点密钥k 。= 厂( g ( k ) ，g ( k ) ) ，其中k 矿七h 分别为x 和x r 的节点密钥；g 为单 向函数，即已知k 。可以计算出t = g ( t ) ，k ，称为x 的盲节点密钥，对于计算能力有限 的成员则不能由后：求出k ，；f 为“混合”函数，如x o r 函数等。组密钥的安全主要取决 于“混合”函数厶 当z 为一中间节点时，z 的节点密钥露：可以被一部分成员利用函数g 计算出来，k ：不 仅可作为这部分成员的子组通信密钥，还可利用k 减小新成员加入或老成员退出时密钥更 新代价。 o f t 规定每个成员仅能知道以下密钥：从叶节点到根节点路径上的节点密钥，以及该 路径所经过节点的兄弟节点的盲节点密钥。如图3 所示，成员u 8 可以计算出叶节点8 的盲 节点密钥，中间节点d 、j 、m 的节点密钥，根节点o 对应的组密钥：计算之前成员u 8 已 知叶节点8 的节点密钥，叶节点7 和中间节点c 、i 、n 的盲节点密钥，成员u 8 不知道其 它密钥。成员u 8 计算组密钥的过程如下： 1 ) 氏= g ( k a ) 2 ) 足。= 厂( 砖，砖) 口 广西师范大学硕十学位论文 3 ) 七。= g ( k d ) 4 ) k ，= f ( k c ，) 5 ) 忌，= g ( k ，) 6 ) k m = f ( k j ，七j ) 7 ) 七。= g ( k 吖) 8 ) k 。= f ( k m ，| i j ) 新成员加入和成员退出时，密钥更新依赖于从密钥中心向全组成员传递新的盲节点密 钥，每个盲密钥只能被传递到它所管辖范围的成员。假定盲节点密钥k ：发生变化时，那么 新的盲节点密钥t ( n e w ) 必须被传递到原来拥有盲节点密钥k ：的所有节点，这些节点恰好 就是节点x 的兄弟节点y 的子孙节点这些子孙节点都知道y 的节点密钥k 。，密钥中心用 k ，加密哎n 圳后向全组广播，只有y 的子孙节点才能获得新的盲节点密钥k ：”删。 当一个新成员加入组时，为控制密钥树的高度，密钥中心选择一个最靠近根节点的时 节点x 进行分割，叶节点x 对应的老成员钳。埘现在变为左孩子节点屯对应的成员，新成 员“。则成为与右孩子节点对应的成员，两个成员都分别被更新密钥。因为知道老盲 节点密钥k ：的兄弟成员能够利用k ：，与其他成员合谋计算出一个不在其到根节点路径上 的其它节点密钥，所以老成员u 。埘需要更新密钥。可采用前面所述的方法将新的盲节点 密钥后：”加密后向全组广播。密钥中心可以通过安全通道单独向新成员u n e w 传递一组 盲节点密钥。 当排除叶节点x 对应的成员时，如果其兄弟节点y 为叶节点，其父节点为z ，则节点y 对应的成员变为父节点z 对应的成员，删除节点y ，并为节点z 分配新的节点密钥；如果 其兄弟节点y 是某颗子密钥树的根节点，其父节点为z ，则节点y 上升到节点z 的位置， 子树更靠近整个树的根节点，并且这个子树的其中一个叶节点的节点密钥需要发生改变， 目的是使被排除者不再知道子树根节点y 的新盲节点密钥七：”，由于原来组中有些成员 知道k ：，需要将七j ”1 安全地传送给这些成员。 文献 1 5 中证明，被排除成员不能单独计算出任何节点密钥，它们的任意组合也不能 计算出任何节点密钥。与l k h 相比，o f t 需要再增加单向函数g 和“混合”函数f 的支 1 n 西师范大学硕士学位论文 持，o f t 存储的密钥比l k h 更多，由于密钥更新代价比l k h 更小，因此o f t 更适用于 大型动态变化组播环境。 2 2 4集中式协议的分析 现有组播密钥管理协议中大多采用集中式的管理，设立一个密钥中心或可信中心，能 较好地解决成员身份认证的问题，管理成员加入或退出组，但由此也存在单点失效问题， 密钥中心的安全和可靠关系到整个组的安全和稳定。l k h 已成为i e t f 的正式协议标准， 它较好地解决了可伸缩性，适用于大型动态组播环境。人们还从以下四个方面对l k _ h 进 行改进：降低根节点保存密钥的数量。降低更新延迟和带宽占用，增强对组成员关系变化 的适应性。 2 3分布式组播密钥管理协议 以下将介绍c l i q u e s 、分布式二叉密钥树等组播密钥管理协议。 2 3 1c l i q u e s 【1 8 】 c l i q u e s 利用d i f f i e - - h e l l m a n 密钥协商算法实现多方密钥协商，由编号最大的成员 担任临时的组管理者，负责组密钥生成、分发和更新，该协议适应成员关系动态变化的情 况，不存在单点失效问题。 文献 1 7 】提出d i f f i e - - h e l l m a n 密钥协商算法，该算法的有效性基于计算离散对数的难 度，双方建立秘密通信密钥的过程如下： 1 1 通信双方a 与b 共同选定索数p 和p 的原根a 。如果a 是p 的原根，则下列一组 数值a m o d p ，a 2 m o d p ，k ，a 9 1 m o d p 各不相同，且能按某种方式排列成l 到p - 1 的全部整数； 2 ) a 秘密选择x a p ，计算并公开l = a 儿m o dp ； 3 ) b 秘密选择x b p 。计算并公开匕= a m o dp ； 4 ) a 计算出k 日= ( ) 儿m o dp ； 5 ) b 计算出k 口= ( 匕) “m o dp ； 1 1 广西师范大学硕十学位论文 c l i q u e s 中，先将成员组成一个逻辑环，将环中的每个成员按顺序编号，最后一个成 员充当临时的组管理者。假设当前组中有3 个成员“。、u ：、u3 ，共同选定一个大素数q 和q 的原根a 。 组密钥产生过程如下： 1 ) “1 选择一随机数1 q ，计算y i = 口置m o d 口； 2 ) “j _ “2 ：e ； 3 ) u 2 选择并2 q ，计算k = a 。2 m o dq 和k 2 = d 置”扎m o dq = 一汛r o o dq ； 4 ) “2 - - - ) “3 ：，e ，1 2 ； 5 ) u3 选择x 3 q ，计算组密钥k = d 置。2 “也r o o dg = ( k 2 ) 托m o dg 。 组密钥分发过程如下： 1 ) u 3 计算k 3 = 口置。恐r o o dg 和砭3 = 以t 。以r o o dq ； 2 ) 甜3 甜i ，材2 ：y 2 3 ，1 3 ； 3 ) “1 计算组密钥k = ( ) 丑m o dg ； 4 ) “2 计算组密钥k ；( 1 3 ) 如m o dq ； 当新成员加入组时，被编号为第4 个成员“。，加入到逻辑环中，将代替“3 成为新的 组管理者，更新组密钥。首先“3 重新选择一随机数x 3 b i ，且f f l 与w 互素。甲将简单背包向量b 转换成困难向量a i = 1 a ，= b l w m o d m ( i = 2 , k ，n ) ，甲将向量a = ( 5 4 5 7 ，1 6 6 3 ，2 1 6 ，6 0 1 3 ，7 4 3 9 ) 公开作为其公钥。 发送者乙将明文x = ( o ，1 ，0 ，l ，1 ) 变换为密文s = 1 6 6 3 + 6 叭3 + 7 4 3 9 = 1 5 1 1 5 ，即s = _ 口 i = 1 乙将s 发送给甲。 甲将s 转换成s ， s = w - 1 s r o o d m = 2 5 5 0 15 1 1 5 m o d8 4 4 3 = 3 9 5 0 1 5 1 1 5 m o d8 4 4 3 = 3 7 9 7 。然后求解简 单背包问题 3 7 9 7 = 1 7 1r t + 1 9 6 x 2 + 4 5 7 x 3 + 1 1 9 1 j 4 + 2 4 1 0 工5 ，恢复明文x = ( o ，1 ，0 ，1 ，1 ) 。 s h a m i r l 2 3 1 首先成功破解基本型m h 背包算法，但不能破解多次转换的m h 背包算法。 3 1 2子组密钥产生 现有协议不能根据成员需求建立子组，不能实现灵活的子组通信方式。针对子组通信 访问控制问题，提出子组密钥产生机制的思路： 1 ) 由成员发起建立子组请求； 2 ) 可信中心接收并验证该请求； 3 ) 可信中心产生并分发子组密钥； 4 ) 成员接收到子组密钥后，可确定该子组密钥是否为最近产生。 3 1 3组密钥分发 g k m p 、l k h 、o f t 等协议分发组密钥时，由于采用传统的加密方式传递组密钥，有 1 7 广西师范大学硕士学位论文 恶意的组成员可以利用已知明文攻击，破解其他成员和可信中心共享的秘密密钥。 已知明文攻击是指密码分析者不仅可以得到一些消息的密文，而且也知道这些消息的 明文。分析者的任务是用加密信息推出用来加密的密钥或者导出一个算法，此算法可以对 用同一密钥加密的任何新消息进行解密。 为抵抗可能的己知明文攻击，提出组密钥分发机制的思路： 1 ) 采用秘密共享的方法，将组密钥拆分成若干子密钥； 2 ) 可信中心分发予密钥信息； 3 1 只有组成员才能恢复出组密钥。 下面介绍组密钥分发机制所涉及的秘密共享。 3 1 3 1秘密共事 秘密共享在密钥管理的方法上是一个很重要的课题 2 4 。当计算机系统中有一个主密钥 需要保护时，可以采用以下两种方法：将主密钥交给一个人保管；也可以将主密钥复制多 份交给几个人同时保管。采用第一种方法，存在以下弊端：每次都需要这位唯一的密钥管 理者到场，才能使用主密钥；假如密钥保管者出现意外，将导致主密钥丢失；若密钥保管 者不忠诚，将导致系统泄密，危及系统安全。采用第二种方法，则要求这些密钥保管者都 忠诚，否则将更易导致系统泄密。 为解决上述问题，s h a m i r 口刮于1 9 7 9 年提出一种秘密共享方法，即门限方案。门限方案 中有两个重要参数：门限值t 和予密钥数目1 3 。( t ，n ) 门限方案定义如下： 将主密钥k 拆分成n 份不同的子密钥，将r t 份子密钥分给n 个人，每人一份，并且满 足以下条件 1 ) 当子密钥数目不少于t 时，可以导出主密钥k ； 2 1 当子密钥数目少于t 时，无法导出主密钥k ： s h a m i r 提出的门限方案中采用拉格朗日插值公式，举一个例子描述( t ，n ) t 3 限方案。 例：假设管理员选定t = 3 ，n = 5 ，k = 1 3 ，p = 1 7 ，f ( x ) = 2 x 2 + 1 0 x + 1 3 m o d l 9 ；f 【x ) 的常数 项等于主密钥k = 1 3 ；有5 个参与者其公开身份名分别是1 、2 、3 、4 、5 ，管理员为每 个参与者计算子密钥分别是： k = f ( 1 ) = 8 ，k 2 = f ( 2 ) = 7 ，k 3 = f ( 3 ) = 1 0 ，k 。= f ( 4 ) = o ，k 5 = 厂( 5 ) = l l 。 - 1 8 - 广西师范人学硕士学位论文 管理员将这些子密钥分别发送给每个参与者。只要有三个以上的参与者聚集在一起时， 就可以恢复出主密钥。如当1 、3 、5 号参与者聚集在一起时，可以通过拉格朗同插值公式 恢复出主密钥k ： r ( z ) ：8 ( x - 3 ) ( x - 5 ) + 1 0 ( x - 1 ) ( x - 5 ) + 1 1 ( x - 0 ( x - 3 ) 。 ( 1 3 ) 0 5 )( 3 1 ) ( 3 5 )( 5 一1 ) ( 5 3 ) ：8 ( x - 3 ) ( x - 5 ) + l o ( x - 1 ) ( x - 5 ) + 1 1 ( x - 1 ) ( x - 3 ) 848 = 8 ( 8 。) ( x 一3 ) ( 工一5 ) + 1 0 ( - 4 ) 。( x 一1 ) ( x 一5 ) + 1 1 ( 8 “) ( x 一1 ) ( x 一3 ) = 8 1 5 ( x 一3 ) ( z 一5 ) + 1 0 ( x 1 ) ( x 一5 ) + 1 1 1 5 ( x 一1 ) ( z 一3 ) = 2 2 2 十1 0 x + 1 3m o d1 7 s h a m i