（计算机软件与理论专业论文）组播密钥管理方案的研究与设计.pdf

山东大学硕士学位论文 摘要 本文主要讨论多播安全的一个核心闯题缌密镪管理。 多播是i n t e m e t 上许多应用的基础，已经成为当前研究的一个热点问题，组 通信密钥的安全是其中急需解决的问题，最为核心的阀题就是多播组的密钥管 理。目前的多播密钥管理方案主要包括集中式、分布式和分层分组式，它们各有 优缺点，适用予不同煦情况。总体来说，集中式组撵密钥管理方案中存在一个根 或组控制者g c ，负责全组的密钥生成、分发和更新，这一方案容易实现、反应 速度快，但是这类方案过予依赖g c 容易导致单点失效问题；在分布式的组播 密钥管理方案中，参与通信的点是对等的，通过某种密钥协商算法生成组密钥， 这类方案有很好的容错性，但是由予它缺少集中控制，给管理带来了困难；分层 分组式组播密钥管理方案将参与组播的成员划分成数个子组，每个子组存在一个 控制节点，这些控制节点组成了组播密钥管瑗的层次薹，小组内部的密钥管理属 于层次，这两个层次可以独立的选择采用集中式或是分布式的管理方案和相应 的体系续构，在每个层次采用何种方案就会继承该方案的优缺点，但也不可避免 会有节点失效的问题。 本文对几个经典的方案做了详细的讨论积分折，主要包括集中式的g k m p 、 l k h 、c f t ，分布式的t g d h 、l k h ，和分层分组式的i o l u s 、i n t r a - d o m a i ng i 伸 等方案。指出它们的优缺点和使用范围。在充分分析现有方案的前提下，本文 提出分层虚拟动态子群的概念，并构建了基于大型动态多播群组的分别基于子组 和子组成员两个层次的分层虚拟动态子群的密钥管理方案，用以解决一些大型群 组结构的组密钥管理需求、予群重建等问题。对于选择大型群组的不同的多个子 组和在不同子组内选取若干成员建立子群这一要求，传统方案需剥用现有密钥分 配方案重建一个新的群组，而我们的方案是在原有密钥树的基础上进行予群重 构，实现不同层次的虚拟，可减少信息传输帮密钥存储空间；提供了解决大型群 组子群建立效率低下问题的一种途径。 关键词：组播：组播密钥管理：大型动态多播群组；子组；子组成员 山东大学硕士学位论文 a b s t r a c t t h ec o n t e n to ft h i st h e s i sd i s c u s s e st h ek e ye l e m e n to fm u l t i e a s ts e c u r i t y - g r o u p k e ym a n a g e m e n t a st h eb a s i so fm a n yc u r r e n ti n t e m e ta p p l i c a t i o n s ，m u l t i c a s th a sb e c o m eah o t t e s t r e s e a r c ht o p i cn o w t h ep r o b l e mo ft h es e c u r i t yo fg r o u pc o m m u n i c a t i o nk e yh a s b e c o m eu r g e n tt os o l v e ，a n dg r o u pk e ym a n a g e m e n ti st h ek e yo n eo fm o s ts a f e t y d e m a n d s a t p r e s e n t ，g r o u pk e ym a n a g e m e n tm a i n l yd i v i d e di n t o c e n t r a l i z e d 、 d i s t r i b u t e da n dh i e r a r c h i c a lf o r m s ，a l lo ft h e mh a v et h e i ro w nc h a r a c t e ra n dc a n & u s e di nd i f f e r e n ta p p l i c a t i o n s i naw o r d ：i nc e n t r a l i z e dm u l t i c a s tk e ym a n a g e m e n t s c h e m e st h e r ei sar o o to rag r o u pc o n t r o l l e rg c ，g ci sr e s p o n s i b l ef o rt h ee n t i r e p r o d u c t i o n 、d i s t r i b u t i o na n du p d a t eo ft h ek e y s t h i ss c h e m ei se a s yt oa c h i e v ea n dt h e r e s p o n s es p e e di sf a s t , b u ts u c hs c h e m e sr e l yt o om u c ho ng ce a s i l yl e a dt o 麓s i n g l e p o i n t o ff a i l u r e i nd i s t r i b u t e dm u l t i c a s tk e ym a n a g e m e n ts c h e m e s ，t h ep o i n t p a r t i c i p a t i o ni nt h ec o m m u n i c a t i o ni so n ar e c i p r o c a lb a s i sa n dt h es c h e m e st h r o u g h a k e yc o n s u l t a t i v ea l g o r i t h mt og e n e r a t eg r o u pk e y s u c hs c h e m e sh a v eag o o d f a u l t - t o l e r a n t , b u tb e c a u s ei tl a c k so fc e n t r a l i z e dc o n t r o li tl e a d st o ( h ed i f f i c u l t i e so f t h em a n a g e m e n t i nh i e r a r c h i c a lg r o u p i n gm u l t i c a s tk e ym a n a g e m e n ts c h e m e st h e m e m b e r si n v o l v e di nt h em t d t i c a s tw i l lb ed i v i d e di n t os e v e r a ls u b - g r o u p s ，i ne a c h s u b g r o u p t h e r ei sac o n t r o ln o d e ，t h e s ec o n t r o ln o d e sf o r m sm u l t i c a s tk e y m a n a g e m e n tl e v e li ，t h ek e ym a n a g e m e n to ft h ei n t e r n a lg r o u p sb e l o n g st o l e v e l t h et w oi e v e l sc a l lb ei n d e p e n d e n to ft h ec h o i c eo fac e n t r a l i z e do rd i s t r i b u t e d m a n a g e m e n ts c h e m e sa n dt h ec o r r e s p o n d i n ga r c h i t e c t u r e 。a te v e r yl e v e lw h a tt h e s c h e m ec h o s e dw i l li n h e r i tt h ea d v a n t a g e sa n dd i s a d v a n t a g e so ft h es c h e m e ，i t i n e v i t a b l yw i l le x i s t sn o d ef a i l u r ep r o b l e m 。 i nt h i s p a p e r , f i r s tw e i n t r o d u c et h ec o r r e l a t i v ek n o w l e d g eo fg r o u pk e y m a n a g e m e n t ，a n di n t h r e eg r o u pk e yd i s t r i b u t i o ns c h e m e si n c l u d ec e n t r a l i z e d 、 d i s t r i b u t e d 、h i e r a r c h i c a lg r o u p i n gs e v e r a lc l a s s i cs c h e m e sw i l lb es e l e c t e dt oc o m p l e t e ad e t a i l e de x p o s i t i o na n da n a l y s i s ，i n c l u d ec e n t r a l i z e dg k a m p 、l k h 、o f t ，d i s t r i b u t e d t g d h 、l k ha n dh i e r a r c h i c a lg r o u p i n go ft h ei o l u s 、i n t r a - d o m a i ng k m p l l 山东大学硕士学位论文 s c h e m e s a n dp o i n to u tt h e i rs p e c i f i ca d v a n t a g e sa n dd i s a d v a n t a g e sa n dt h es c o p eo f 豫t h r o u g ht h ef u l la n a l y s i so fe x i s t i n gs c h e m e st h i sp a p e rp r o p o s e sh i e r a r c h i c a l v i r t u a ld y n a m i cs u b g r o u p sk e ym a n a g e m e n ts c h e m eb a s e d0 1 1t h ec o n s t r u c t i o no f l a r g ed y n a m i cm u l t i c a s tg r o u pa n db a s e do nt w ol e v e l so fs u b - g r o u p sa n ds u b g r o u p s m e m b e r st os o l v es o m ep r o b l e m so ft h el a r g e g r o u pc o n s t r u c t u r e sg r o u pk e y m a n a g e m e n ta n ds u b g r o u pr e c o n s t r u c t i o na n do t h e ri s s u s e s f o rt h er e q u e s to ft h e e s t a b l i s h m e n to fan u m b e ro f s u b g r o u p si nl a r g eg r o u p sd i f f e r e n ts u b g r o u p sa n di n d i f f e r e n ts u b g r o u p ss e l e c tm e m b e r s ，t h et r a d i t i o n a ls c h e m e su s et h ee x i s t i n gk e y d i s t r i b u t i o ns c h e m et oa c h i e v e f o rd e v e l o p m e n t ，o u rs c h e m ei so nt h eb a s i so ft h e o r i g i n a lk e yt r e et oc o m p l e t es u b g r o u pr e c o n s t r u c t i o na n da c h i e v ed i f f e r e n tl e v e l s v i r t u a l 。i tc a nr e d u c et h et r a n s m i s s i o no fi n f o r m a t i o na n dk e ys t o r a g es p a c e a tt h e 涨t i m ei tc o v e r t st h er e a l i 移o fk e ys u b g r o u p sl e s so ft h er e s e a r c ha n ds o l v e st h e p r o b l e m so fl a r g eg r o u ps u b g r o u p se s t a b l i s h m e n ti n e f f i c i e n c y k e yw o r d s ：m u l t i c a s t ；m u l t i c a s tk e ym a n a g e m e n t ；l a r g ed y n a m i cm u l t i c a s t g r o u p s ；s u b g r o u p ；m e m b e r so ft h es u b g r o u p l 原创性声明和关于论文使用授权的说明 原创性声明 本人郑重声明：所里交的学位论文，是本入在导师的指导下，独 立进行研究所取得的成果。除文中已经注明引用的内容外，本论文不 包含任何其他个人或集体已经发表或撰写过的科研成果。对本文的研 究做出重要贡献的个人和集体，均已在文中以明确方式标明。本声明 的法律责任由本入承担。 论文作者签名：查鱼：l 日期：型：三：! 兰 关于学位论文使用授权的声明 本入完全了解出东大学有关保留、使用学位论文的规定，同意学 校保留或向国家有关部门或机构送交论文的复印件和电子版，允许论 文被查阅和借阅；本人授权山东大学可以将本学位论文的全部或部分 内容编入有关数据库进行检索，可以采用影印、缩印或其他复制手段 保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名：翅导师签名 山东大学硕士学位论文 第1 章绪论 1 1 引言 随着i n t e m e t 网络的普及和广泛应用，i n t e m e t 己经成为人们现代生活的一部 分，正日益改变着人类的生活方式。随着i n t e r n e t 的迅速发展，出现了很多新型 应用，如：多媒体会议、远程教学等。这些应用通常采用一对多传输方式，数据 量大、带宽要求高。如果采用单播( u n i c a s t ) 传输，每个接收者都与服务器建立独 立连接，数个相同的数据拷贝在网络上重叠发送，将浪费大量的网络带宽和服务 器处理能力；采用广播( b r o a d c a s t ) 传输，不仅会将信息发送给不需要的主机而浪 费带宽，也可能由于路由回环引起严重的广播风暴。因此，我们需要一种更加高 效的传输方式，这就是组播( m u l t i c a s t ) 。 1 9 8 8 年，d e e r i n g 提出了p 多播( i n t e m e tm u l t i c 叙) 的基本概念【1 1 ，从此，坪多 播( 简称为多播) 技术得到了广泛的关注。中文文献中“m u l t i c a s t ”又译为组播、 多点播送、多点广播等。 多播介于单播通信和广播通信之间，主机想把相同的数据包发送给多个接收 者，即同一组内的所有主机但不是网络内的全部主机。单播是主机把数据包发送 给单个主机，广播是主机把相同的数据包发送给定网络上的所有主机。在多播的 应用中，若用单播实现，则对1 1 个接收者，需要发送同一个数据包的n 份拷贝，但 随着接收者数量的增多，需要发送的数据包呈线性增长：若用广播实现，增加了 网络内对多播数据不感兴趣主机的负荷。因而有必要开发更加有效的播送方法， 这就是所谓的多播。多播通信中口数据包只需要发送一次，路由器会自动地转发 到位于不同网段上的每一位意定接收者，可以使在网络中传输报文的拷贝数最 小。 多播在多媒体会议、远程教学、网络辅助协同工作、多媒体实时点播、网络 游戏等方面有着很广阔的应用前景。在多媒体会议中，通常需要确保会议内容的 保密性，并且在必要时能够对发言人的身份进行认证；在多媒体实时点播中，要 确保只有付费用户才能看到节目内容。但是目前的组播协议缺乏安全机制来满足 上述要求，采用明文传输的多播报文在网络上很容易被偷听、冒充和篡改，这些 山东大学硕士学位论文 多播应用都对多播的安全性能提出了要求。组播的安全涉及保密性、组成员认证、 源认证、匿名性、完整性等。对多播报文加密传输是实现组播保密性的一种方法， 加密和解密用的密钥只有组成员才知道，这样能够确保被加密的报文只有组成员 才能解读，在多方通信中，如何实现信息的排外共享是组播密钥管理的研究范畴。 组播密钥管理主要解决如何为组成员生成、发布和更新组密钥( 组密钥是所 有组成员共享的密钥，用来对组播报文进行加密和解密等安全操作) ，以及由此 产生的扩展性、健壮性和可靠性问题，组播密钥管理方案按照组播群组的组织结 构分类，组密钥管理方式可分为：集中式、分布式、分层分组式。 集中式的l k h t 2 】【3 1 方案通过逻辑密钥层次结构解决可扩展性问题，密钥由密 钥服务器产生，并被组织成逻辑层次结构。这种层次结构类似于方向树，又称为 密钥树。密钥树中的每一个节点代表一个相应小组的组密钥，叶节点代表用户与 密钥服务器的通信密钥。每一个组成员需要存储该用户从根节点到叶节点路径上 的所有密钥，当有成员加入或离开时就需要相应地变更该路径上的密钥，并告知 其他组成员。 分层分组式的i o l u s t 4 】方案将一个组划分成多层次的子组，同时引入安全分 配树的概念，该树由组安全代理g s a 组成，根节点的g s a 成为组安全控制器 g s c ，其他g s a 称为组安全中间人g s i ，g s i 负责管理子组密钥和其他子组的 安全通信。组成员的变化只在子组内有影响，多个g s i 和g s c 共同完成组的安 全管理任务。 t g d f i t 5 1 方案将二叉树结构和d i f f i e - h e l l m a n 协议结合起来，各成员协商建 立组通信密钥，它的计算量和通信量都比较小，是目前较优的分布式方案。 目前针对组密钥集中式方案的研究主要集中在寻找优化的密钥树结构，基于 新背景如无线网建立新型的组密钥方案。而针对分布式方案，主要是如何把身份 认证和密钥协商相结合，增强安全性。但是，总的说来这方面的研究结果还较为 初步。尤其是更深入的基于单层或多层虚拟动态子群的密钥管理问题还没有受到 广泛的重视。 1 2 本文的工作 本文在详细分析三种密钥管理方式的前提下，提出了一种适合于大型动态多 播群组的分别基于子组和子组成员两个层次建立分层虚拟动态子群的方案 2 山东大学硕士学位论文 h v d s k m s ，以解决大型群组子群建立效率低下的问题。对于选择大型群组的不 同的多个子组和在不同子组内选取若干成员建立子群这一要求，传统方案需利用 现有密钥分配方案进行重建，而我们的方案是在原有密钥树的基础上进行子群重 构，实现不同层次的虚拟，可减少信息传输和密钥存储空间。 1 3 本文的组织 本文的第一章作为概述简单介绍了组密钥管理的基本情况。 在第二章详细介绍了集中式、分布式、分层分组式的组密钥管理的相关内容， 包括组密钥管理的概念及相关的多种典型的组密钥管理方案， 在第三章提出基于大型动态多播群组的分层虚拟动态子群组密钥管理方案 h v d s k m s 。 最后对全文进行了总结，并指出了进一步的研究方向。 3 山东大学硕士学位论文 第2 章组密钥管理 2 1 组播密钥管理方案的概念和基本问题 组播密钥管理主要解决如何为组成员生成、发布和更新组密钥( 组密钥是所 有组成员共享的密钥，用来对组播报文进行加密和解密等安全操作) ，以及由此 产生的扩展性、健壮性和可靠性问题，我们把组播密钥管理所要解决的基本问题 归纳如下【6 ，7 1 ： 1 ) 前向加密：退出组播的组成员无法继续参与组播，即无法利用它们所知 的密钥解密其退出组后的组播报文和生成有效的加密报文。 2 ) 后向加密：新加入的组成员无法破解它加入之前的组播报文。新成员加 入时更新密钥可以实现这一要求。 3 ) 同谋破解：避免多个组员联合起来破解系统( 或减少发生的概率) 。 这三项是组播密钥管理相比单播的密钥管理特有的问题，任意一种组播密钥 管理方案，都必须保证上述的基本功能。在此基础上，还要考虑以下几方面的因 素【6 】： 1 ) 系统结构：一个理想的系统要能够弥补下层网络的缺陷。 2 ) 容错性：一个设计良好的系统要不仅能承受住不同组播节点和网络的错 误，而且要能从大多数系统错误中恢复，而不是完全重新建立一个新的组。 3 ) 扩展性：一个设计方案必须考虑到用户数量激增的情况。必须能处理大 容量以及分布很广的用户组。而且在用户数目急剧增加，而用户频繁发生加入和 退出组播时该方案的密钥更新的速度仍需要保持一定的水平。 4 ) 组控制器的密钥存储量：在有组控制器c - c 的方案里g c 的密钥存储量 也是一个衡量性能的指标，不能太大以增加服务端的计算量。 5 ) 每个组播成员的密钥存储量：每个组播成员必须存储一定数量的密钥， 这个数目也要保持一定范围。 6 ) 用户加入、离开组播时密钥更新的消息数目以及通信的次数要尽可能少。 7 ) 密钥更新的时间开销：良好的密钥管理系统密钥更新的速度应该保持一 定水平，不能有用户不可接受的延迟。 8 ) 方案的适应能力：不能使一个方案仅仅局限于某种特定的环境，要能在 4 山东大学硕士学位论文 不同的环境下有尽可能大的适用范围。 组播密钥管理方案有多种分类方式p 1 0 1 ，按照组播群组的组织结构分类，组 密钥管理方式可分为：集中式、分布式、分层分组式。 2 2 集中式密钥管理方案 集中式密钥分配方法比较直观和自然，被大量采用，它适用于有群组管理者 的群组结构中。集中式密钥按照层次结构来说又可分为集中平坦f f t a o 式密钥管 理、集中分层( h i e r a r c h i c a l ) 式密钥管理；按照密钥产生过程又可分为对密钥产生 过程有贡献的方案和无贡献的方案，前者由群组管理者提供所有的密钥，成员被 动接受分配的密钥，后者成员主动参与密钥的生成。 2 2 1g k m p 方案 a 【1 2 】( g o r u pk e ym a n a g e m e n tp r o t o c 0 1 ) 是一种早期的简单的组播 密钥管理方案。在这种方案中，每个多播组有一个专用的组控制者g c 负责管理 组密钥的创建、分发、更新；组成员协助g c 产生组密钥，向g c 请求密钥等， 其密钥分配系统结构图如图2 1 所示： 组管理者 ( 。五。， ，w ) u i ( k o , k ou 2 ( k o , k 9u 3 ( k o , k 3 )【，n i ( k o , k n 1 )u n ( k o , k n ) 图2 - 1g k m p 的密钥分配系统示意图 g k m p 方案中一共存有两种对称密钥：局( 组通信加密密钥g t e k ( g r o u p t r a f f i ce n c r y p t i n g k e y ) ) 即组密钥，用于加密组中的通信数据；还有墨，k 2 ， 墨( 组密钥加密密钥g k e k ( g r o u pk e ye n c r y p t i n gk e y ) ) 即对应于各成员明， 醍，既的个人密钥( 私钥) ，用于加密组密钥岛。组管理者g - c 与每一个组成 员矾分别共享其个人密钥飚，墨没有第三方知道。这样，g c 存储所有n 个局 并负责产生岛，它保存的密钥有 局，局，k 2 ，墨) 共，冲1 个；成员矾存储 自己与g c 共享的k 和岛，即u 存储的密钥有 岛，墨) 共2 个。下面介绍这个 方案的密钥管理思路： 山东大学硕士学位论文 1 ) 成员加入 假如矾，巩，玖，u 5 ，砜是组中现有成员且协要加入这个群组。则 g c 为现产生一个新的个人密钥弱并通过安全通道发送给玛，为了不让蜴解 密此前组中传播的数据，g c 不能将现在使用的岛给它，因此g c 需要产生一个 新的k ：并用与各成员u 共享的个人密钥墨来逐个加密再分发给包括巩在内 的所有成员。即c , - c 向整个组组播报文： “ 与，lx 0 即 岛， 砭 ) 其中 七表示x 是用k 加密后的密文。 当u ，观，“收到报文后，就可以分别用自己的个人密钥来解密得到砭。 2 ) 成员离开 当组成员离开时，为防止离开成员能解密此后组中传输的数据，g c 同样需 要产生一个新的砭并发送给剩下的组成员，方法同上。 通过以上论述可知，这种方案具有可靠的密钥分配安全性。在一个具有力 个成员的多播组中，加入或离开一个成员，g c 须付出n + 1 次( 成员加入) 或1 - 1 次( 成员退出) 的加密和通信开销。由此可知，g c 的密钥存储量、加密计算量 及通信量均与组成员数 呈线形关系( 具有d ) 的代价) ，因此，这种方案不具 有可扩展性，只适合小规模的静态组。 2 2 2l k i t 方案 w a l l n e r 等嘲和w o n g 等 3 1 分别提出了一种基于树型结构的逻辑密钥层次 l k h ( l o g i c a lk e yh i e r a r c h y ) 的密钥管理方案。在这种方案中，组管理者与组 成员之间构成一个逻辑的d ( d 22 ) 叉密钥树，能够在成员动态地加入或离开组 时有效地更新密钥。不妨以平衡二叉树为例，如图2 - 2 所示为一棵拥有8 个叶节 点的平衡二叉树，对应于一个成员数为8 的群组：树根为g c ，其节点密钥娲 为所有组成员共享的组密钥，树叶为组成员，它们分别拥有的k 3 1 ，k 3 s 为组成 员u 与g c 共享的个人密钥( 即成员的私钥) 树的中间节点是不对应任何实体的虚拟节点，也称为逻辑节点，其拥有的密 钥为密钥加密密钥( k e k ) ，用于组密钥更新时向组内特定范围的组成员传递新 密钥( 新密钥既包括组密钥也包括需要更换的中介k e k ) ，并且每个中间节点的 6 山东大学硕士学位论文 图2 - 28 个成员的逻辑密钥树结构图 第0 层 第1 层 第2 层 第3 层 所有后代都共享这个节点的k e k 。每个成员拥有从它所在的叶子节点到根节点 这条路径上的所有节点的密钥。例如成员u 拥有的密钥是璐l ，恐l ，墨i ，k o ， 成员砜拥有的密钥是 k 3 6 ，k 2 3 ，厨2 ，k o ，每个成员拥有1 0 9 2 8 + 1 = 4 个密钥， 其中 = ! 0 9 2 8 = 3 为密钥树的深度，根节点保存所有的密钥即 凰，厨t ，局2 ，岛1 岛t ，局1 k 3 8 。不难分析，对含有甩个成员的平衡d ( d 2 ) 叉树，每个成员拥 有l o g a n + 1 个密钥，并且密钥树的层数h i 与该层的节点数g l i 有如下关系h i = l 0 9 2 n i 。 下面的密钥更新过程将用到如下表示符号( 本文如不做特殊说明，其他地方也以 此表示) ： 椰足 用密钥足加密x 后的密文 4 一b彳向召发送信息 k 7 密钥五的新值 1 ) 成员加入 在一个成员加入群组之前，g c 先为它创建一个个人密钥( 私钥) ，并通过安 全单播通道传递给该成员。为保证前向安全性，新成员加入时，新成员叶子的父 节点到根节点这条路径上的所有节点拥有的密钥都需要更新，其他密钥不需要更 新，并向新节点以外的其他成员发布新的组密钥砭。 例如，在图2 3 中当新成员鸲要加入时，k m ，蜀1 ，k o 都需要更新，并向 研，沈，矾，阢，玩，坼，巩发送新的组密钥砭。为此，g c 要产生新的密钥 k ：，k ：，砭。密钥更新过程如下： 7 山东大学硕士学位论文 圈2 - 3 成员现加入时的逻辑密钥树结构图 ( 1 ) g c 一砜： k ：2 ，k j ( 2 ) g c 一 u t ，u 2 ： 。，k j 岛， ( 3 ) g c 一 巩，u 6 ，坼，巩 ： 砭 ： ( 4 ) g c 一玛： 置：，置：，k o ) 粕 第0 层 第l 层 第2 层 第3 层 每个组成员用自己拥有的相关密钥依次解密得到更新后的密钥。 2 ) 成员离开 为保证后向安全性，所有从删除成员叶子的父节点开始到根节点这条路径上 的所有节点所拥有的密钥都需要更新，其他密钥保持不变，并向其它成员节点发 送更新后的组密钥。 例如，在图2 - 4 中，当删除成员以时，密钥k z z ，局。，k o 都需要更新，并 向u l ，u 2 ，u 3 ，u 5 ，u 6 ，u 7 ，u 8 发送新的组密钥x o 。为此，g c 产生新的密钥 k ：，置：，。密钥更新过程如下： ( 1 ) g c u 3 ： 正：2 ，k ：t ， b ， ( 2 ) g c 一 “，醍 ： 。，k ：) l ( 3 ) g c 一 巩，砜，u 7 ，砜 ： ， 每个组成员用自己拥有的相关密钥解密得到更新后的密钥。 山东大学硕士学位论文 圈2 _ 4 删除成员以时的逻辑密钥树结构图 3 ) 群组合并 在群组合并时，只需要增加一个根，然后将原来两个群组的根作为新增根的 两个节点，再用原来的组密钥硒加密新的根密钥矗广播即可。 4 ) 群组分裂 群组分裂时，同删除成员的算法类似，更新受到影响的节点的密钥，不过要 多加一步，生成新的一个或两个根，新生成的根需重新构建组密钥。 5 ) 方案分析 根据上述描述可知，对于一棵具有个成员的深度为h 的平衡二叉树，g c 需要存储的密钥量为( 2 n - 1 ) ，组成员需要存储的密钥量为l o g “v + l ，即与组成员 数呈对数关系：一个成员加入时，从加入节点的父节点到根节点的密钥都要被加 密2 次，故加密开销和通信量为2 h = 2 1 0 9 “v ，一个成员退出时，深度为 的节点 密钥仅加密一次，深度小于h 的节点密钥仍需加密两次，故加密开销和通信量为 2 h l = 2 1 0 9 z n - i 。所以，若单从密钥的计算量和通信量来讲，该方案具有较小的系 统开销和较高的密钥分配效率，因而可用于较大型的组通信，而从服务器的密钥 存储量和组成员的动态性方面来考虑，又限制了组规模的扩展，因为服务器的密 钥存储是随着组规模的扩大而线性增长，即该方案是牺牲了密钥存储开销( g c 和各成员都必须存储额外的中介密钥) 换来了o ( 2 1 0 9 n ) 的通信开销。对于一个大 型的动态多播组，当成员的变化( 加入或离开) 频繁发生时，这种集中式组控制 器的计算是和通信开销的变动率成比例地增加，所以，基于l k h 树的方案更适 山东大学硕士学位论文 合于小型的动态多播环境。 2 2 3o f t 方案 d b a l e n s o n 、d m c g r e w 等人在文献1 1 4 1 1 5 1 中提出的基于单向函数树o f t ( o n e w a yf u n c t i o nt r e e ) 密钥管理方案是运用二叉单向函数树来管理组的密钥 层次结构。 o f f 方案使用组管理者g c 来管理二叉密钥树。在密钥树中，树的每个节 点x 关联2 个加密密钥：一个是节点密钥肠和一个盲化节点密钥k 二- g ( 蚴。 盲化节点密钥是从节点密钥k x 使用一个单向函数g 计算出来的，盲化的含义是 指在有限次计算中不可能由k r 找到反。密钥树的每个叶子对应一个群组成员， 管理者给每个成员分配一个随机选择的密钥，并通过额外的安全通道将这个密钥 传送给成员，并规定这个成员的叶子的节点密钥就是这个成员的密钥，内部节点 密钥按如下规则定义： 辟胞) ) ，g 假俐唰) ) ( 1 ) 其中坳o ) 和r i g h t ( x ) 分别表示节点x 的左、右孩子节点，函数g 是一个单向函数， 函数厂是一个混合函数( 例如托琅) 。由此可看出，在o f t 系统中，密钥加密 密钥( ) 是经过计算而不是分配得到的。在o f t 中规定：每个成员知道树 中从表示它的叶子节点到根节点这条路径p 上的所有节点的密钥和与p 上节点 互为兄弟节点的那些节点的盲化节点密钥；除此以外，不知道其它节点的密钥。 根据公式( 1 ) 的递归性，每个成员都可以计算所有必要的密钥，包括根密钥。 例如成员砜( 见图2 5 ) 知道节点密钥玛4 、恐2 、局l 、和盲化节点密钥k ：，、 k 2 l 、k 1 2 。 当叶子节点密钥发生变化后，加入和删除操作都依赖于从管理者到全部成员 传递新的盲化密钥的操作。每个盲化密钥只能被传递到适当的成员子集以维护安 全，假定盲化密钥足二发生了变化，它的新值必须被传递到存储这个盲化密钥的 所有成员，这些成员就是节点x 的兄弟节点s 对应的子孙节点，子孙节点都知 道节点s 的节点密钥肠，管理者用凰加密k 二的新值后再向整个组进行多播。 当一个新成员加入这个组，组管理者选择一个最靠近根节点的一个叶子节 l o 山东大学硕士学位论文 图2 - 58 个成员的单向函数树密钥树结构图 点x 进行分裂操作，原来与节点x 关联的成员现在变为x 的左孩子节点，新 成员关联x 的右孩子节点z 鲫，2 个成员都给定新的密钥值，新的盲化节点密钥 值将安全地广播给合适的子组。另外，新的成员使用外部安全通道以单播传输的 方式得到其盲化密钥集合。 例如，在图2 - 6 中，配申请加入，则为安全起见岛2 、墨l 、肠都必须更新。 令更新后的相应密钥为k ：、k i 。、k ：，则系统首先发送相应的盲化密钥值： g ( k 3 3 ) ) r 。， 私：z ) 如， g 噼l ，) k t z 然后相关节点独立计算更新后的路径上的所有密钥。 k ：2 可( g ( k 3 3 ) ，g ( 局4 ) ) k ；1 = ( g ( k 2 1 ) ，g ( k ：2 ) ) k o = f ( g ( k i z ) ，g ( k ：1 ) ) 在这个例子中可看出在o f t 方案中盲化节点密钥改变后只须用它的兄弟节 点的密钥来加密，而此前的l k h 方案在节点密钥加密密钥( k e k ) 改变后，新 的k e k 必须被它的2 个孩子节点的k e k 加密后广播。o f t 方案是l k h 方案的 改进，相对于l k h 方案，它将组成员加入或离开操作时密钥更新的通信代价从 o ( 2 t 0 9 2 n ) 降低至0 ( 蛔眇) ，门为群组中成员个数。 山东大学硕士学位论文 图2 6 成员蜴加入时的单向函数树密钥树结构图 2 。3 分布式密钥管理方案 分布式密钥管理也称为群密钥协商，它与集中式不同，它没有固定的群组管 理员，由所有群组成员共同参与建立组密钥。在分布式密钥管理方案中，所有群 组成员视为同等的，这种方案适用于分散的、没有领导的群组结构。 2 3 1 分布式的l k i - i 方案 r o d e h 等人提出了一个基于逻辑密钥层次的分布式方案1 1 6 】，该方案无须r o o t 根节点，而是在组成员间交换和更新密钥。如图2 7 所示是一棵有8 个节点的分 布二叉逻辑密钥树。树中每个叶子节点对应一个组成员，每个组成员所知道的密 钥仍是从其对应节点到根节点的路径上所有节点对应的密钥。 图2 78 个成员的分布式逻辑密钥树结构图 山东大学硕士学位论文 该方案使用了子树的概念来协商群组密钥。假设子树l 和尺要进行密钥协 商，成员m z 属于l ，m ，属于r ，三的子树密钥是瓦，r 的子树密钥是琢，此协 议可通过下列步骤进行密钥协商： 第一步：成员m f 选择新密钥如并通过安全信道将其发送到成员m ，。 第二步：成员m ，利用密钥鼠加密密钥如并将其多播到子树三的所有成员； 成员m ，利用密钥加密密钥并将其多播到子树r 的所有成员。 第三步：所有成员接收并解密得到新的密钥。 对每一棵以非叶子节点( 包括最顶节点) 为根节点的子树，其最左边的叶子 节点就是该子树的l e a d e r 。如图2 - 7 中，m l 是 m l ，m 2 ， m l ，m 2 ，m 3 ，m 4 ， m l ， m s 3 个子树的l e a d e r ，肌7 是 m 7 ，m s 的l e a d e r 。密钥通过l e a d e r 之间的协商生成 或直接由l e a d e r 指定生成，并由l e a d e r 更新给所在子树的其它组成员。l e a d e r 与所在子树其它成员的通信用该子树根节点对应的密钥进行加密保护。 考虑一个拥有8 个成员的群组的安全分布密钥树的创建。 1 ) a ) l e a d e r s 在本地选择新密钥： m l 选择墨2 、k 1 4 、k i s ； m 3 选择k 3 4 ； m 5 选择局6 、恐8 ： 埘7 选择k t s ； b ) 使用安全通道，l e a d e r s 象下面发送选定的密钥： m l - - * m 2 ： k 1 2 ，k 1 4 ，k i s ) ； m l - - m 3 ： k 1 4 ，k l s ； 肌1 一朋5 ：硒8 ； m 3 - - m 4 ：k 3 4 ： m 5 一m 6 ： k 5 6 ，k s s ) ； m 5 - - * m 7 ：恐8 ； 胁7 + 聊8 ：k 7 8 2 ) 使用规则的通信l e a d e r s 发送： m 3 - * m 4 ： k 1 4 h ， k l s ) k u ； m 5 - - m 6 ，m 7 ，朋8 ： k 1 8 k s ； 1 3 山东大学硕士学位论文 m 7 - - m s ： k 5 8 ) 芷。 所有成员现在可以解密得到到根部路径上的所有密钥。 图2 - 8 成员加入时的分布式逻辑密钥树结构图 当成员加入时，例如节点m 9 要求加入组播，其加入位置通过某种算法确定。 假设由m l 接纳m 9 ，于是m 1 与朋9 协商生成密钥k 1 9 ( 协商可以采用d h 算法或 由m 1 单独生成) 。k 1 9 作为新的组密钥由m l 用组播报文通知m 2 到m 8 ( 用局8 加 密) ，新的密钥树如图2 8 所示： 图2 - 9 成员离开时的分布式逻辑密钥树结构图 当有成员离开组时( 以节点m 。为例) ，与集中控制的逻辑密钥树相同，m 。 节点所知道的所有密钥都要被更新，m 2 取代m l 成为 m 2 ，m 4 ， m 2 ， m 8 ) 的l e a d e r ，它分别与m 3 、m 5 协商新的密钥k 2 4 年dk 2 8 ，k z 8 成为新的组密钥。 膨8 通过如下消息在全组内得到更新：m 2 通知m 3 、m 4 ( 用k 2 4 加密) ，脚5 通知m 6 、 m 7 和m 8 ( 用墨8 加密) ，删除节点m 。后的组播密钥树如图2 - 9 所示。 山东大学硕士学位论文 2 3 2t g d h 方案 k i m 等人在文献5 1 中对基于树的分布式的密钥分配协议( t g d h ) 作了详细 的论述，该方案结合了密钥树和d i f f i e h e l l m a n 密钥交换技术。首先介绍密钥树 的概念。 厂 i f 3 i j 1 一 图2 1 0t g d h 密钥树 第0 层 第1 层 第2