（计算机系统结构专业论文）安全组播及源认证方法的应用研究.pdf

重庆大学硕士学位论文中文摘要 摘要 近年来，随着i n t e m e t 和视频堵j 频技术的迅速发展，高带宽的应用和多媒体业 务越来越多，组播技术也得到了更广泛的应用。组播是i n t e r n e t 上的一种群体性通 信方式，和单播相比，它不仅节约了网络带宽，而且町以在不同的网络结构和网 络层次上实施；和广播相比，组播更易于管理，也更易于了解组播组成员的应用 情况，使发送者和路由器的处理耗费以及发送延迟降到了最低的程度。但是由1 ： 网络的开放性，在它上面进行各种数据的传输存在很大的安全隐患。因此，对组 播安全的研究已成为广大科研人员的一个重点研究课题。 对于组播系统的安全性而言，目前还存在很多尚未解决的问题。很多安全组播 的解决方案还处于理论研究阶段。因此，组播的应用类型已经成为了决定安全组 播应用的一个重要因素，如在远程教育中应重点考虑组播组扩展后的安全问题： 视频点播中应考虑数据源的加密和认证问题等。我们在对安全组播标准和i o l u s 安 全组播框架进行分析后，改进了i o l u s 框架，利用层次树结构，提出了基于逻辑层 次树的多级安全组播体系结构。 目前，安全组播面临的最基本也最主要的问题是组密钥管理和组播源认证， 本文讨论的重点是安全组播中的源认证方法。组播源认证是指确保组播组成员收 到的数据来自所声称的发源地，如果数据被篡改，接收者也能够识别。组播源认 证方案不仅要保证消息来自正确的发送者，同时还要考虑认证消息产生的速度、 长度以及通信开销等。因此，在组播源认证问题解决方案中，主要应考虑以下几 个问题：发送方产生认证信息的效率；接收方校验的概率，这种结果与信息传送 过程中的丢包率无关；通信开销。对于安全组播中的源认证机制，其最大的障碍 在于表面上的需求冲突：低损耗、高效率。本文在研究国内外已有的组播源认证 方法的基础上，根据二叉树和抗碰撞函数的性质，提出了几种基于二叉树和抗碰 撞函数的组播源认证方法。并对提出的源认证方法的消息认证过程和验证过程进 行了详细的说明，同时对它们的安全性、计算耗费和验证概率进行了比较分析。 关键词：安全组播，源认证，数字签名，二叉树，抗碰撞函数 里塞盔堂堡主堂垡笙奎 茎塞塑至 a b s t r a c t r e c e n t l y , a l o n gw i t ht h ed e v e l o p m e n to fi n t e r n e ta n dv i d e o a u d i ot e c h n o l o g ya t v e r yf a s ts p e e d ，m o r ea n dm o r ea p p l i c a t i o n so fm u l t i m e d i aa n d i i g h b a n d w i d t ha p p e a r m u l t i c a s ti sac o m m u n i c a t i o nw a yo nt h ei n t e r n e t c o m p a r e dw i t hu n i c a s t ，i tn o to n l y s a v e sb a n d w i d t ho nn e t w o r k ，b u ta l s oi m p l e m e n t so nd i f f e r e n ts t r u c t u r e sa n d l a y e r so f n e t w o r k c o m p a r e dw i t hb r o a d c a s t ，m u l t i c a s ti sm o r ee a s y t ob e m a n a g e d a n dk n o wt h e s i t u a t i o no f m u l t i c a s tm e m b e r s b u tt h es e c u r i t yq u e s t i o no nt h ed a t at r a n s i t i o ne x i s t so n n e t w o r kb e c a u s eo fo p e n i n go fn e t w o r k s ot h er e s e a r c ho nm u l t i c a s t s e c u r i t yh a s b e c o m eac r i t i c a lt o p i co nr e s e a r c h p e o p l e a sm u l t i c a s t s e c u r i t y , t h e r ea r em a n yu n s o l v e dq u e s t i o n s m a n ys o l u t i o n so n m u l t i c a s ts e c u r t ya r eb e e ni nt h e o r y s ot h et y p eo f m u l t i c a s ta p p l i c a t i o nh a sb e c o m ea i m p o r t a n tf a c t o r f o re x a m p l e ，t h es e c u r i t yq u e s t i o no fm u l t i c a s tm e m b e r se x p a n d i n g s h o u l db et h o u g h ti nd i s t a n c e e d u c a t i o n ；t h ee n c r y p t i o na n da u t h e n t i c a t i o no fd a t a s o u r c ei nv i d e oa p p l i c a t i o ns h o u l db et h o u g h t a f t e ra n a l y z et h es t a n d a r do fs e c u r i t y m u l t i c a s ta n di o l u s ，w cp r o v i d eaf r a m eo f m u l t i l e v e ls e c u r i t ym u l t i c a s tb a s e do n l o g i c h i e r a r c h i c a lt r e e t h eb a s i ca n dp r i m a r yq u e s t i o n so f s e c u r i t ym u l t i c a s ta r ek e ym a n a g e m e n ta n d s o u r c ea u t h e n t i c a t i o nn o w i tf o c u s e do ns o u r c ea u t h e n t i c a t i o ni nt h i sp a p e r s o u r c e a u t h e n t i c a t i o ni st h a tt h ed a t am u l t i c a s tm e m b e r sr e c e i v e dm u s tc o m ef r o mt h ec o r r e c t s e n d e ni fd a t aw a sm o d i f i e d ，r e c e i v e rc o u l dr e c o g n i z ei t t h es c h e m eo fs o u r c e a u t h e n t i c a t i o nn o t o n l yg u a r a n t e em e s s a g e s s o u r c e b u ta l s o 也i n kt h e s p e e d o f m a k i n gm e s s a g e ，l e n g t h o fm e s s a g ea n dc o m m u n i c a t i o no v e r h e a d a ss o u r c e a u t h e n t i c a t i o nm e c h a n i s mo n s e c u r i t ym u l t i c a s t ，t h eb i g g e s to b s t a c l ei sr e q u e s tc o m p a c t ， l o wd i s s i p a t i o na n dl o wc o m m u n i c a t i o no v e r h e a d i nt h i s p a p e r , w ed e s c r i b e af e w s o u r c ea u t h e n t i c a t i o ns c h e m e sb a s e d b i n a r yt r e ea n dt a r g e tc o l l i s i o nr e s i s t a n c ef u n c t i o n a c c o r d i n gt ot h ec h a r a c t e r so fb i n a r yt r e ea n dt a r g e tc o l l i s i o nr e s i s t a n c ef u n c t i o n ，a n d e x p l i c a t et h ep r o c e d u r eo fm e s s a g ea u t h e n t i c a t i o na n dv e r i f i c a t i o n ，a n da n a l y z et h e i r s e c u r i t yp e r f o r m a n c e ，c o m p u t a t i o n c o s ta n dv e r i f i c a t i o n p r o b a b i l i t y k e y w o r d s ：s e c u r i t ym u l t i c a s t ，s o u r c ea u t h e n t i c a t i o n ，d i g i t a ls i g n a t u r e ，b i n a r yt r e e ， t a r g e tc o l l i s i o n r e s i s t a n c ef u n c t i o n i i 重庆大学硕士学位论文l 绪论 1 绪论 1 1 论文选题及研究意义 近年来，随着i n t e m e t 和视频立频技术的迅速发展，高带宽的应用和多媒体业 务越来越多，如流媒体、视频会议和视频点播等。目前的网络应用中，主要采用 的还是点对点传输的单播( u n i e a s t ) 方式，这种通信方式并不能适应多媒体业务 的传输特性单点发送多点接收，因为服务器必须为每一个接收者提供一个相 同内容的口报文拷贝，同时在网络上重复地传输相同内容的报文，占用了大量资 源。虽然i p “播( b r o a d c a s t ) 允许主机把一个i p 报文一次发送给同一个网络的所 有主机，但是并非所有的主机都需要这些报文，因而浪费了网络资源，极大地降 低了网络的处理能力，使得网络应用的“瓶颈”问题越来越突出。为了解决这个问题， 业内人士提出了以下几种方案：增加网络带宽、采用q o s ( q u a l i t y a n ds e r v i c e ) j l 带0 、 服务器的分散和集群、i p 组播( m l l l t i c a s t ) 技术等。i p 组播技术由于其独特的优 越性即使用户成倍的增加，其主干网带宽也不需要增加而成为了研究和 应用的热点之一。和单播相比，它不仅节约了网络带宽，而且可以在不同的网络 结构和网络层次上实施；和广播相比，组播更易于管理，也更易于了解组播组成 员的应用情况，使发送者和路由器的处理耗费以及发送延迟降到了最低的程度。 基于组播的音频视频流媒体应用，如i p 网络视频会议、远程教学等，都是i p 组播的重要应用领域。利用组播，可以减少消息在网络中的发送量，节约网络带 宽。消息发布是组播应用的一个重要方面，如分布式数据库更新，对于在大量主 机中发布消息的应用，组播是最有效的途径。组播既减轻了对数据库和服务器的 大数据流的访问压力，同时也避免了对网络造成拥塞，使局域网内或跨网段的带 宽得到有效的保留。这类应用还有网上广告、网上证券发布、网络新闻等。另外， 基于l p 组播技术还可以开发聊天组、交互式仿真等应用。 随着组播技术应用的日益广泛，组播不仅在学术界成为了一个重要的研究领 域，在商业上也已经获得了包括c i s c o 、a t & t 、m i c r o s o f t 、i b m 等众多厂商的支 持，它使企业和业务提供者能够优化其网络资源，扩展内容分发类应用。作为一 种高效、快捷的数据传输方式，组播能够广泛应用于远程教育、电视会议、股市 报价、视频传输等方面。但是由于网络的开放性和组播技术自身的局限性，在它 上面进行各种数据的传输存在很大的安全隐患。因而组播安全对组播技术的广泛 推广是至关重要的。组播技术的一些特点，如多点到多点的传输、无需加入组播 组就可以向组播组发送数据等，也使组播安全的实现难度较大。因此，对于安全 组播及其核心问题的研究具有重大的理论意义和实用意义。 重庆大学硕士学位论文 1 2 国内外研究现状 i r t f ( 因特网研究任务部) 下属的s m u g ( 安全组播研究组) 和i e t f ( 因特 网工程任务部) 下属的m s e c ( 安全组播组) 已就组播安全问题的分类、研究方 法、参考框架、体系构成、安全策略、密钥管理和成员管理等提出了一系列r f c 和草案。 组播网络安全与单播网络安全有着类似的要求，如数据加密、数据一致性检 查等。目前，对单播系统的安全性研究较多，已提出了一些切实可行的方案，如 i p s e c 。i p s e e 为单播传输提供了一个标准、鲁棒( r o b u s t ) 、涵盖范围广的安全机 制。组播通信的安全性较单播通信更为复杂，存在诸如访问控制、群组中心信任、 路由器信任、动态群组成员关系等诸多问题。组播技术的优越性也带来了系列 安全隐患，如接收者有可能成为发送者、接收者的不可知性及动态性等。因此， 如何为彼此互连的不同用户群提供安全的访问机制是组播应用的重要问题。对于 组播系统的安全性而言，还存在很多尚未解决的问题。目前很多安全组播的解决 方案还处于理论研究阶段，没有正式形成标准协议，还有待于作进一步的研究。 组播的应用类型便成为了决定安全组播应用的一个重要因素，如在远程教育中应 重点考虑组播组扩展后的安全问题：视频点播中应考虑数据源的加密和认证问题 等。 目前已经提出的安全组播体系结构包括n o r t e l l 3 j 、i o l u s 胪j 、i p 组播会议的安全 模型1 16 等。i o l u s 框架利用多个组播地址来实现组成员的分组管理，管理简单，但 浪费了组播地址。i p 组播会议的安全模型考虑了视频会议中视频流和音频流对于 时延和可靠性的特殊要求，实现简单、易于扩充。通过研究国内外已经提出的一 些安全组播框架，我们可以看出，一个能够考虑所有组播安全问题的实用模型几 乎不存在，现有的框架都是根据实际应用的要求，从一个或几个方面来满足安全 组播的要求。 安全组播面临的最基本也最主要的问题是组密钥管理和组播源认证【2 】。本文讨 论的重点是组播源认证方法。对于组播源认证方法，目前还没有一个公认的标准。 现有的组播相关协议，如距离矢量组播路由协议d v m p r ( d i s d a n c ev e c t o rm u l t i c a s t r o u t i n gp r o t o c a l ) 、i n t e m e t 组管理协议i g m p ( i n t e m e tg r o u pm a n a g e m e n tp r o t o c a l l 等都没有提供组播源认证功能。如果有用户以某种非法的手段获得了组播组地址， 即使他不加入该组播组也可向该组播组发送数据，这将导致网络拥塞、组成员的 不信任度增加等一系列问题。最常用的解决方法是公钥签名。但公钥签名速度较 慢，生成和校验签名需要较大开销。国内外专家学者对公钥签名实现组播源认证 的方法做了大量改进，提出了多种方案。同时也提出了一些新的认证方法，如基 于不对称消息认证码m a c ( m e s s a g e a u t h e n t i c a t i o nc o d e ) 的认证技术【4 、流认证 重庆大学硕士学位论文 1 绪论 方案 9 、t e s l a 1 0 1 等等，这些方案大多也都还处丁 理论研究阶段。本文在研究国 内外已有的组播源认证方法的基础上，根据二叉树和抗碰撞函数的性质，提出了 几种基于二叉树和抗碰撞函数的组播源认证方法。 】3 论文研究的主要内容 1 )研究安全组播的标准、面临的主要安全问题( 组密钥管理和组播源认证) 以及安全组播的体系结构； 2 )使用层次分布树结构实现安全组播，提出了基于逻辑层次树的多级安全组 播体系结构； 3 )研究各种组播源认证方法； 4 )设计三种基于二叉树和抗碰撞函数的组播源认证方法，并对它们的安全 性、计算耗费和验证概率进行了比较分析。 夺基于二叉树和散列函数的源认证方法b b t h s a 夺改进的基于二叉树和散列函数的源认证方法i b b t h s a 夺基于二叉树和伪随机函数簇的源认汪方法b b t p r s a 1 4 本章小结 随着组播技术的广泛应用，组播的安全性问题也越来越突出。因此，本论文 的研究具有较大的理论意义和实用价值。本章在综述了组播技术相关研究现状的 基础上，提出了沦文的选题目的、意义以及研究的主要内容。下一章我们将分析 安全组播的标准及面临的主要问题，并研究现有的各种组播源认证方法。 重庆大学硕士学位论文 2 安全组播概述 2 安全组播概述 2 1 组播技术及发展 2 1 1 组播技术简介 组播是指通过相应的组播路由控制把数据包从个或多个发送者( 组播源) 发送给多个特定接收者的通信技术。也就是将一个分组转发到用一个特殊的地址 来标识的多个结点。组播分组和单播分组一样，是以尽力传送( t r y b e s te f f o r t d e l n e r y ) 的方式发送给一组主机。组成员是动态变化的，任何时候都允许主机加 入或退出。组播不限定接收者的位置、数量，同一结点也可以加入任意数量的组 播组。在组播通信中，通常采用三种模式： 单点对多点的通信模式( 1 一n ) 。只有一个发送者，而接收者可以有多个，这 种模式主要应用于新闻发布、音频和视频广播等。 多点对多点的通信模式( m - - * n ) 。发送者和接收者都有多个，这种模式主要 适用于远程教育、电子白板、视频会议系统等。 多点对单点的通信模式( m 一1 ) 。发送者可以有多个，而接收者只有一个，这 种模式则适用于数据采集的情况，即用户收集多个服务器的信息。 组播技术的出现解决了一个主机向特定的多个接收者发送消息的问题。采用组 播技术，可以减少不必要的重复发送有效地利用网络带宽。这虽然增加了组播 相关协议的处理，但相对于多次相同的点到点的传输来说，减少了大量路由器和 主机对数据包的处理时问。组播技术保证所有链路最多使用一次，减少了带宽占 用，从而从定程度上减少传输延迟，同时还可以节省发送者的处理时问、存储 容量和网络的带宽资源，改善通信性能。我们将采用组播和不采用组播的传输方 式图示如下( 图2 1 ) ； 图2 1 组播和单播传输方式的比较 f i g u r e2 1t h ec o m p a r i s i o no f m u l t i c a s ta n du n j c a s t 4 重庆人学硕士学位论文2 安全组播概述 在i p v 4 中，组播采用d 类地址，最高位为1 1 1 0 ( 二进制) ，范围从2 2 4 0 0 ，0 到2 3 9 2 5 5 2 5 5 2 5 5 。其中，从2 2 4 0 0 0 到2 2 4 0 0 2 5 5 用于寻路协议和其它低层协 议，其它地址为组播应用保留。i p 组播地址分为两类：永久性组播地址和暂时性 组播地址，前者是由 _ n t c r n e t 中央管理机构分配，用于固定的组播组，不管有无组 成员，组播组都存在；而后者的分配没有规定，用户可随意选择。第二层的组播 地址( 组播t v 队c 地址) 可以从d 组播地址中衍生。计算方法是把i p 地址的最后 2 3 位拷贝到m a c 地址的最后2 3 位，然后把这2 3 位前面的那一位置为0 。m a c 地址的前2 4 位必须为0 x 0 1 0 0 5 e 。例如：组播i p 地址2 2 4 0 1 1 2 8 ，1 6 进制表示 为0 x e 0 0 0 0 1 1 0 ，最低的2 3 位为0 x 0 0 0 1 1 0 ，计算得出的m a c 地址为： 0 x 0 1 0 0 5 e o o 0 1 1 0 。 在l p v 6 中，继承了i p v 4 组播的优点，并引入新的特色。在i p v 6 中，定义了 新类型的组播地址请求结点地址( s o l i c i t e d - n o d e a d d r e s s ) ，用于某些i c m p v 6 消息中。当前由l p v 6 映射到i e e e8 0 2m a c 地址的方法是，m a c 组播地址的高 1 6 位规定位0 x 3 3 3 3 ，取i p v 6 组播地址的低3 2 比特并用它来创建m a c 组播地址， 小于或等于3 2 比特的g r o u pi d 将会产生唯一的m a c 地址。 2 1 2 组播技术的发展 2 0 世纪8 0 年代中期，斯坦福大学的博士生s e d e e r i n g 在他的两篇论文h o s t g r o u p ：a m u l t i c a s te x t e n s i o nt ot h ei n t e r n e tp r o t o c o l ( r f c 0 9 6 6 ) 和h o s te x t e n s i o n sf o r i p m u l f i c a s f i n g ( r f c 0 9 8 8 ) 中提出了i p 组播的可能性。 1 9 8 9 年，i e t f 通过r f c l l l 2 ，定义了i n t e m e t 上的组播方式。 1 9 9 1 年1 2 月，s e d e e r i n g 发表了他的博士论文数据报互连网络中的组播路 出( r f c l l l 2 ) ，从而奠定了组播网络体系结构和路出协议的基础。该文也成为 i n t e r n e t 组管理协议( i g m p ) 的原型。 1 9 9 2 年出现了支持口组播的m b o n e ( 组播主干网) 和m b o n e 桌面工具。m b o n e 是一个由1 e t f 开发的运行在i n t e r n e t 上的虚拟重叠网络，它使用d v m r p 协议。 1 9 9 7 年有核树( c b t v 2 ) 组播路由体系结构形成( r f c 2 1 8 9 ) ，组管理协议 i g m p v 2 成为标准。 2 0 0 0 年底开始，人们着手制定各种组播m l b 库，这标志着组播技术正向可管 理、可控制的方向发展。 2 2 安全组播及标准 具有一定安全性的组播是指：只有注册的发送者才可以向组播组发送数据， 并且发送流量和内容符合约定；只有注册的接收者才可以接收组播数据，几乎不 存在组播设置欺骗的可能性。组播网络安全的内容包括：限制发送者、限制接收 重庆大学硕士学位论文 2 安全组播概述 者、限制访问、数据源认证等。 目前有大量的标准用来分析安全组播方案，这些标准可分为以下几个部分： 1 ) 组成员管理：指加入离开的处理方案、冲突解决方案和网络故障的恢复 方案； 2 1 网络资源耗费：指在组播通信过程中不同阶段的网络负载能力； 3 ) 发送者和接收者资源需求：主要考虑的问题包括组成员所保存的密钥数量 和长度、发送和接收数据所用的时间等； 4 ) 依靠标准：指安全组播方案实现需要的特殊条件( 如某种网络协议) 。 组播通信的安全性主要体现在以下三个方面： 1 ) 访问控制：确保只有合法成员才能够和组播组通信： 2 1 数据源认证：确保接收数据的完整性和数据源的验证性； 3 ) 可用性维护：预防和防止拒绝服务( d e n i a l o f - s e r v i c e ) 和阻塞攻击 ( c 1 0 2 9 i r i g ) 【3 。4 ”。 2 3 安全组播面临的主要问题 安全组播是指只有注册的发送者才可以向组播组发送数据，只有注册的接收 者才可以接收数据。而组播技术本身无法实现这一点。i p 组播是用户数据报u d p 通信的一个分支，它使用u d p 包进行通信，任何主机都可以向某个组播组发送数 据。同时，组播组成员可以随时加入和退出组播组，且i n t e r n e t 自身缺乏对网络层 的管理控制。组播技术的这些特点都使得安全组播难以实现。安全组播目前丽i | j 的问题最主要的是组密钥管理和组播源认证，其它安全问题还包括：数据的机密 性和完整性、抗抵赖服务、访问控制、组信任问题和服务可用性( s e r v i c ea v a i l a b i l i t y ) 等。 2 3 1 组密钥管理 组播的密钥管理问题是安全组播研究的关键问题之。组密钥管理是指密铡 素材的安全分发、更新和组成员的撤消。组密钥的安全分发和更新涉及到组插路 由器的可信度、单播发送方式的效率等问题。成员的撤消问题主要应考虑当一个 组播组成员离开后，如何将更新后的密钥发送到现有的组播组成员手中。在组播 通信中，要在所有的组播组成员间维护一个不为非组播组成员所知的公共密钥集， 组播组内所有的通信都由该公共密钥集控制。在一个具有动态成员关系的组播组 中如何保证只有组播组成员能够访问该密钥，即当组播组中有成员加入或离开的 情况下，如何更新组播组密钥。降低密钥更新代价是安全组播密钥管理的关键问 题。要降低密钥更新代价，目前主要有以下几种解决方案： 呤采用逻辑密钥层次l k t t ( l o g i ck e yh i e r a r c h y ) 结构减轻用户变更时的密 重庆大学硕士学位论文2 安全组播概述 钥更新代价【6 堋。这种方法以增加用户的密钥存储量为代价，将密钥更新代价降低 到o ( 1 0 9 d n ) ，其中，d 为层次结构的维数。但是，当用户变更频率过大时，更新 代价仍然较大。 呤在这个基础上，如果加入周期性更新密钥的思想可使密钥更新代价和用，1 t 变更频率无关悼】，迸一步降低密钥更新代价。由于放宽了安全性条件，用户加入或 离开组播组时存在时延。 夺可扩展的组播密钥分配方案【8 】，该方案为每一个组播组建立一个专门的密 钥管理组播组，其地址和组播组一样，但是路由可以和组播组不一样，传送的都 是有关密钥管理的信息。通常密钥管理组播组的分配树采用无源的分配树，这样 初始密钥的管理可以集中到共享根的结点上。 密钥分配最简单的方法是通过密钥分配中心k d c ( k e yd i s t r i b u t i o nc e n t e r ) 用每个组成员的公钥或一个共享密钥将组成员的密钥加密，通过单播方式传给组 成员。但这种方式随着组播组的扩大，容易形成“瓶颈”，由于需要共享密钥，因而 会有多余的丌销。 组密钥管理协议g k m p ( r f c 2 0 9 3 ，2 0 9 4 ) ( g r o u p k e y m a n a g e m e n t p r o t o c a l ) 在前者基础上做了改进，由一个组控制器g c ( g r o u pc o n t r o l l e r ) 产生一组密钥， 然后用函数k ( g c ，m c ) 加密后发送给每个组成员( m c 是指组成员控制器) 。 g k m p 需要一个长期的共享密钥，并且也存在组播组的规模问题。 s m k d ( r f c1 9 4 9 ) 在k d c 方法中做了可扩展改进，由一个组控制器g c 产 生一组密钥，并且将密钥分发的任务授权给路由器。但这种方案需要信任路由器。 目前，组密钥管理的主要解决策略包括：g d o i ( t h eg r o u pd o m a i no f i n t e r p r e t a t i o n ) 、g s a k m p ( g r o u ps e c u r ea s s o c i a t i o nk e ym a n a g e m e n tp r o t o c a l ) 、 m i k e y ( m u l t i c a s ti n t e m e tk e y i n g ) 、g k m p ( g r o u pk e ym a n a g e m e n tp r o t o c a l ) 等。 2 3 2 组播源认证 组播源认证是组播技术中基本的安全问题之一。组播源认证是确保组播组成 员收到的数据来自所声称的发源地，如果数据被篡改，接收者也能够识别。组播 源认证方案不仅要保证消息来自正确的发送者，同时还要考虑认证消息产生的速 度、长度以及通信开销等。在组播源认证问题解决方案中，主要应考虑以下三个 问题： 发送方产生认证信息的效率； 接收方校验的概率，这种结果与信息传送过程中的丢包率无关； 通信开销。 为了保证对组播源的认证，认证机制应该直接作用到每个i p 数据报，在对数 据源认证之前，还应该使每个组播组成员的身份得以认证。有很多协议，如a h ， 7 重庆大学硕士学位论文 2 安全组播概述 既可以为i p 数据报提供认证，也可被用于主机认证。认证机制同时也是任何一个 密钥分配协议的必要组成部分。由于密钥的机密特性，认证机制可以作为签别密 钥源的一种手段，以防止密钥伪造和延迟攻击。 在安全组播应用中必须使用健壮的组播源认证机制。目前已有的源认证方法 包括数字签名、消息认证码m a c s 、在线或离线签名等。数字签名方案是一种基于 公钥技术的健壮的认证机制，如d s s ( d i g i t a ls i g n a t u r es t a n d a r d ) ，但数字签名方 案的效率较低。m a c s 的认证信息太长且密钥管理也非常复杂，而对每个包进行数 字签名的效率又不高。因此，组播源认证问题已成为组播安全问题中的难点之一。 2 4 安全组播中组播源认证方法的研究 对于安全组播中的源认证机制，其最大的障碍在于表面上的需求冲突：低损 耗、高效率。安全组播中的源认证方法主要应从认证信息产生的速度、长度、通 信开销以及安全性等方面来分析和评判。现有的一些组播源认证方法包括数字签 名、流签字技术、基于不对称消息认证码m a c 的认证技术、t e s l a 等。 2 4 1 数字签名认证技术( r s a 、d s s 等) 数字签名是通过一个单向函数对要传送的消息进行处理得到的，用以认证消 息来源并核实消息是否发生变化的一个字母数字串。发送者用他的私钥产生数字 签名，而所有的接收者都可以利用发送者的公钥验证签名，但只捌有公钥的接收 者却不能对一条新的消息进行数字签名。利用它可以解决否认、伪造、篡改和冒 充等问题。假定用户a 发送一条已经签名的消息m 给用户b ，则a 的数字签名应 满足以下条件： b 能够验证a 对消息m 的签名； 任何人都不能伪造a 的签名； 如果a 否认对消息m 的签名，可以通过仲裁解决a 和b 之间的争议。 公钥密码系统为实现数字签名提供了一种简单的实现方法，由于其具有不可 否认性、不可伪造性、不可重用性和可仲裁性等特点，可基本满足认证的安全性 要求，因此它已成为认证系统中的关键技术。只要加密和解密算法互为逆运算， 公钥密码系统就可以容易地实现数字签名。 但公钥算法效率较低，产生和验证签名都需要较大的计算开销，其通信开销 也较大。由于受到大素数产生技术的限制，其密钥的产生比较麻烦；分组长度较 大( 随着大数分解技术的发展，这个长度还在增加) ，从而使运算代价很高。例如， 在2 0 0 m h z 的p c 机上，模为1 0 2 4 位的r s a 算法每秒只能产生约4 0 个包的签字。 2 4 2 流签字认证技术 r g e r m a r o 等人提出了流签字认证技术 9 】，将一个签字应用于整个消息链( 冉 重庆人学硕士学位论文 2 安全组播概述 组消息包组成) ，只需将这个签字应用在第一个包上，链内的每个包包含下一 个包的密码散列值，用于验证下一个包。但这种方式不允许包丢失，因此必须要 有可靠组播的支持。当接收者接收到一组的消息包时，才可以验证这个数字签名。 c k w o n g 等人改进了流签字方案 1 “，可部分解决包丢失问题，但附加的信息导 致认证效率不高。 2 4 3 基于不对称消息认证码m a c 的认证技术 m a c 技术是利用一个通信双方共享的密钥和加密算法的某一函数生成一个小 的数据块追加在消息的后面。然而，由于不能采用一个所有成员都共享的密钥来 区分组播组内的发送者，所以所有成员共享一个密钥的纯粹的m a c 方法并不适合 源认证。因此，r c e n e a i 、j g a r a y 等人提出了基于不对称消息认证码m a c ( m e s s a g e a u t h e n t i c a t i o nc o d e s ) 的认证技术【4 】：发送者s 拥有n 个密钥的一个集合k ( k 1 ，k 2 ， ) ，每个接收者r 知道密钥的一个子集k 属于k 。消息m 由s 认 证( s的每个密钥k i 可计算出一个 m a c ) ，并将 与此消息一同传输。每个接收者r 根据 自己所拥有的密钥集k 校验所有的m a c s 。如果m a c s 不正确，那么r 就拒收这 一消息。 当有足够数量的接收者勾结起来时，发送者计算的m a c 数是可互相勾结的接 收者的最大数的线性函数；另外，这种方法也没有提供抗抵赖服务，由于每个接 收者根据自己拥有的密钥子集产生自己所能认证的m a c ，从而没有证据向第三方 证明发送者发送过消息。 2 4 4 t e s l a 认证技术 在单播通信中可利用对称机制来进行源认证。发送者和接收者共享一个秘密 密钥。但在组播通信中，这种对称机制并不安全：任一接收者可以利用共享密钥 以发送者的身份向其他组成员发送伪造的数据。 t e s l a 1 ( t i m e de f f i c i e n ts t r e a ml o s s t o l e r a n ta u t h e n t i c a t i o i lp r o t o c 0 1 ) 主要利 用对称加密模型( 不对称加密模型的系统开销太大) ，同时利用密钥显密延迟技术 ( d e l a y e dk e y d i s c l o s u r e ) 来实现不对称加密的特性。但这需要发送者和接收者之 间设置松散的同步时钟( 同步不一定很精确，但接收者必须知道一个上限) 。这种方 法的关键在于利用密钥的延迟分发来实现数据传输的高效性和安全性。t e s l a 既 可在网络层也可在应用层使用，与数据包的丢失率无关。 t e s l a 的优点是产生和认证信息的计算量小、通信耗费低、发送端和接收端 的缓冲需求小，并且能保证系统的健壮性。而缺点是在认证之前，接收方需要提 供缓存空间。一但信息量太大，就可能造成接收方丢包的情况出现。另外，接收 方对缓存的要求可能会导致拒绝服务等攻击。福州大学的刘传爿+ 等人对这种方案 9 重庆入学硕七学位论文2 安全组播概述 进行了一些改进，使之能够支持立即认证，即包- - n 接收方就能验证。同时还提 出了密钥链的优化方法以及导出了密钥显密延迟的严格下界，使t e s l a 方法更实 用。 2 4 5 基于树链的源认证技术 y o n g s up a r k 等人提出了基于树链的源认证方法【1 2 1 ，这种认证方法将要发送的 消息按顺序分组，每个组中再划分成几个小分组，由每个小分组构造一棵认证树。 再根据认证树和散列函数来构造每个消息包。这种方法的缺点在于要么每棵认证 树中的消息包都能验证，要么都不能。另外，杂凑函数的计算次数过多，使发送 方的耗费过大。 2 4 6 高效的组播源认证方法e m a s 文献 1 3 提出了一个高效的组播源认证方法。发送者将要发送的消息包划分为 ， 一些链，而每条链由若干消息块组成。一条链可记为m = u 鼻，只= 岛f ，= 1 ，埘 ， 卜1 只是待发送包的集合，适当选取1 1 ，l 的大小，可具有很高的概率。在构造p 。时， 利用了伪随机函数簇。这种方案的认证效率较高( 认证信息少，签字效率高) ；并 且提供了不可抵赖性，即使所有的接收者勾结起来也无法伪造签字；并且可以应 用于不可靠的网络环境中。但这种方案的认证时间较长，确保安全性的代价是损 失一定的效率。 2 5 本章小结 本章介绍了组播技术及其发展、安全组播的基本要求和标准以及目前安全组 播面临的主要问题，并对已有的一些源认证方法进行了比较分析，为后面探讨安 全组播的体系结构以及组播源认证方案奠定基础。 1 0 重庆人学硕七学位论文3 安全组播体系结构的研究 安全组播体系结构的研究 i e t f i r t fs m u g ( 安全组播研究工作组) 将安全组播问题分为三个部分：组播数 据处理、组密钥管理和组播安全策略。组播数据处理是指发送者和接收者对组播 数据进行与安全有关的处理，以提供数据机密性、完整性、组认证和源认证等安 全服务。组密钥管理是指对组播组密钥、与密钥有关的状态以及其它安全参数的 管理。而组播安全策略则规定了安全组播参考框架中其它元素的操作和控制规则， 如对成员的进入、退出等进行规定。针对安全组播的上述三个方面，i e t f i r t f s m u g 还提出了一个安全参考框架 1 4 “5 1 。目前已经提出的安全组播体系结构包括 n o r t e l 3 】、i o l u s 【5 l 、i p 组播会议的安全模型1 1 6 等。 3 1 组播的基本安全功能 在组播通信中，有大量潜在的安全问题。但在每种具体的应用中刈组播安全的 要求侧重点不一样。在单一发送者的组播应用( 如股市报价、视频传输等) 中， 主要考虑的安全问题是数据传输的机密性和数据源认证。由于发送方一般是高端 的大型服务器，而接收方的机器性能差别较大，所以在考虑认证问题时应重点考 虑接收方的处理能力，如验证耗费、接收缓冲区的大小和验证效率等。本文主要 讨论安全组播中有条件接收的情况，如实时会议系统、多人在线游戏等。在这种 组播环境中，成员的计算能力差异不大，但发送者的资格认证和源认证是首要的 安全问题。因此，我们定义条件接收的安全组播应用的基本安全功能如下： 夺用户加入组播组的安全控制：用户加入前，必须和管理系统事先协商一个 其享密钥进行身份验证。用户加入后，可以通过单播方式发送组密钥，如果需要 保证“向前安全”( 保证以前的通信数据对新加入的用户保密) ，则要重新更新组密 钥，并将更新后的组密钥分发给组播组原有的成员和新成员。同时还需给新用户 分配权限等； 夺用户退出组播组的安全控制：为防止已经退出组播组的用户利用以前的组 密钥和组播组通信，必须保证“向后安全”( 更换新的组公共密钥，对用户进行重新 管理) ，使当前系统能够进行安全通信； 夺源认证：确保组成员收到的数据来自所声称的地方； 夺对密钥的分配和管理； 夺数据完整性和机密性：数据在存储、传输和使用中不被篡改和泄露( 如果 有，接收者能够检测出来) ； 在建立一个安全的组播组时，需考虑以下问题： 重庆大学硕+ 学位论文3 安全组播体系结构的研究 1 ) 组大小的不确定性； 2 ) 组成员的动态性和特征：组成员的计算能力，是否所有时间都在线等； 3 1 消息的数量和类型； 4 ) 发送者的数量和类型：是单一发送者还是多发送者； 5 ) 使用的路由算法：是紧密模式还是稀疏模式。 安全组播解决方案的主要参数包括验证和解密所需要的时间、认证和加密所需 要的时间、通信带宽的负载、密钥建立和更新负载以及组建立和成员登记的时渊、 发送者和接收者的资源需求( 如每个组成员拥有的密钥数和密钥大小) 等。 3 2i o l u s 框架 斯坦福大学的s m i t t r a 提出了一个基于层次分布树的可扩展的安全组播框架 i o l u s ”，这种框架适用于动态的组播应用。在i o l u s 中，组播组按层次分为几个安 全组播子组，由组安全控制器g s c ( g r o u ps e c u r i t yc o n t r o l l e r ) 统一管理。每个子 组是相对独立的，由一个组安全中介g s i ( g r o u ps e c u r i t yi n t e r f a c e ) 管理。每个子 组都拥有自己独立的组播组地址，可以通过任何一个合适的组播路由协议，如 d v m r p 、c b t ( c o r e b a s e dt r e e s 有核树组播路由协议) 、p i m ( p r o t o c o li n d e p e n d e m m u l t i c a s t 协议无关组播) 来创建，每个组播予组拥有自己的组密钥，从而不需要 一个全局的密钥。当成员加入或离开组播组的时候，密钥的更新只涉及到子组内 的成员。l o l u s 体系结构的层次分布树如图3 1 所示： g s c ：组安全控制器 g s i ：组安全中介 g ：子组 图3 1i o l u s 体系结构的层次分布树 f i g 3 1l e v e ld