（计算机应用技术专业论文）移动因特网中面向安全组播通信的密钥管理研究.pdf

摘要 网络计算和移动计算的飞速发展使得移动网络技术受到了广泛 的关注。在安全的群组通信中，一个很重要的因素就是如何分发和 更新一个全组成员共享的组通信密钥，即密钥管理问题。要设计一 个安全且可扩展性好的密钥管理协议必须解决成员的频繁移动、加 入和离开导致的密钥更新问题，以及当成员数量增加时密钥消息也 随之增加的可扩展性问题。 本文分析了现有的各种密钥管理协议，提出了一个适合于移动 因特网环境的组播通信模型- - r i n g n e t 模型。利用优先级高的局部组 控制器能够推导出优先级较它自身低的局部组的密钥的特性，提出 了基于r i n g n e t 模型的面向层次型访问控制的密钥管理协议，大大 减少了跨局部组的密钥更新消息。比较结果表明本方案的密钥更新 消息和加密次数少于其它各类密钥管理协议。 本文同时针对基于r i n g n e t 模型的面向层次访问控制的密钥管 理协议比较依赖于授权中心的缺点，提出了双钥密钥管理协议，利 用子组密钥服务器和其上层实体问的通信依赖于公钥加密体系的特 点，限制密钥更新范围于子组内部，降低了密钥更新的开销。模拟 结果表明，本方案中，密钥更新消息数和密钥更新事件数仅为域间 密钥管理协议的3 0 和6 5 ，大大提高了移动因特网中面向大规模 组播通信的可扩展性。 目前大多数组播密钥管理协议针对有线网络环境，未能充分考 虑移动因特网特性，如主机移动性。本文设计的组播密钥管理协议 特别考虑到移动因特网的特性，对于相关研究具有一定的借鉴意 义。 关键词：组播，密钥管理，加密，密钥更新，r i n g n e t a b s t r a c t t h ep r o l i f e r a t i o no ft h ei n t e m e tc o m p u t i n ga n dm o b i l ec o m p u t i n g g i v e sr i s et ot h eg r o w t ho fm o b i l ei n t e m e ta p p l i c a t i o n s a ni m p o r t a n t i s s u ei ns e c u r e g r o u pc o m m u n i c a t i o n s i s k e ym a n a g e m e n t , f o r d i s t r i b u t i n ga n du p d a t i n gt h eg r o u pk e ys h a r e db y ag r o u po f m o b i l eu s e r s t h ec h a l l e n g e sl i ei nd y n a m i cu p d a t e so ft h ek e yc a u s e db yf r e q u e n t m o v e m e n t s ，j o i n sa n dl e a v e so fg r o u pm e m b e r sa n dt h el a r g es i z eo fa g r o u p t h i sp a p e rp r e s e n t sm a n yk i n d so fs c h e m e so ns e c u r em u l t i c a s tk e y m a n a g e m e n t an o v e lm u l t i c a s tc o m m u n i c a t i o nm o d e ln a m e d “r i n g n e t h i e r a r c h yi sp r o p o s e d an o v e lh i e r a r c h i c a ls e c u r ea c c e s sc o n t r o ls c h e m e o nk e ym a n a g e m e n ti sp r o p o s e db a s e do nt h i sm o d e l s i n c en e t w o r k e n t i t i e so ft h eh i g h e r - p r i v i l e g e dl o c a lg r o u p sh a v et h er i g h tt od e r i v et h e k e y sh e l db yn e t w o r k e n t i t i e so f t h el o w e r - p r i v i l e g e do n e s ，a n dt h er e k e y m e s s a g e sa c r o s s t h eb o u n d a r i e so fl o c a lg r o u p sc a nb es i g n i f i c a n t l y r e d u c e d i t sc o n c l u d e dt h a tt h en u m b e ro fe n c r y p t i o n sa n dr e - k e y m e s s a g e sa r el e s st h a nt h eo t h e rp r o t o c o l s ， h o w e v e r , t h ea c c e s sc o n t r o ls c h e m er e l i e s o nt h e c e r t i f i c a t e a u t h o r i t y ；c o n s e q u e n t l yad u a l - k e ym a n a g e m e n tp r o t o c o li sp r o p o s e dt o i m p r o v ei t s i n c ek e ys e r v e r so ft h em o b i l eh o s t sr e l yo nt h ep k it o c o m m u n i c a t ew i t hu p p e re n t i t i e s ，t h er e - k e yo v e r h e a di sl i m i t e dw i t h i n t h es u b g r o u p sa n dt h eo v e r a l lo v e r h e a di sr e d u c e d 1 1 1 es i m u l a t i o nr e s u l t s s h o wt h a tt h ed u a l - k e ym a n a g e m e n tp r o t o c o lh a sb e t t e rp e r f o r m a n c et h a n “i n t e r - d o m a i ng r o u pk e ym a n a g e m e n t t h er e a lr e - k e ym e s s a g e sa n dt h e r e k e ye v e n t sa r er e d u c e dt oa p p r o x i m a t e l y3 0 a n d6 5 r e s p e c t i v e l y t h e r e f o r e ，t h eo v e r h e a di sr e d u c e ds i g n i f i c a n t l yf o rb e t t e rs c a l a b i l i t y m o s to ft h ee x i s t i n gk e ym a n a g e m e n tp r o t o c o l sa r es p e c i f i ct ot h e w i r e dn e t w o r k s ，w h i c hd on o tc o n s i d e rt h ef e a t u r e so ft h em o b i l ei n t e m e t s u c ha sh o s tm o b i l i t y t h ep r o p o s e dk e ym a n a g e m e n tp r o t o c o li nt h i s p a p e re x p l i c i t l yc o n s i d e r st h ec h a r a c t e r i s t i c so fm o b i l ei n t e r n e t ，w h i c h c a nb eu s e df o rar e f e r e n c et ot h er e l a t e dw o r k s ， k e y w o r d s ：m u l t i c a s t ，k e ym a n a g e m e n t , e n c r y p t i o n , r e - k e y ，r i n g n e t i i 原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了论文中特别加以标注和致 谢的地方外，论文中不包含其他人已经发表或撰写过的研究成果， 也不包含为获得中南大学或其他单位的学位或证书而使用过的材 料。与我共同工作的同志对本研究所作的贡献均已在论文中作了明 确的说明。 作者签名： 日期：丝咀月乒日 关于学位论文使用授权说明 本人了解中南大学有关保留、使用学位论文的规定，e p 学校 有权保留学位论文，允许学位论文被查阅和借阅；学校可以公布学 位论文的全部或部分内容，可以采用复印、缩印或其它手段保存学 位论文；学校可根据国家或湖南省有关部门规定送交学位论文。 作者躲避导师签名强瞧蟛臼伊日 硕士学位论文第一章绪论 第一章绪论 1 1 组播技术的研究背景及应用 在i n t e m e t 上，多媒体业务诸如：流媒体，视频会议和视频点播等，正在成 为信息传送的重要组成部分。点对点传输的单播通信方式已经不能适应这一类 业务传输特性即单点发送多点接收，因为服务器必须为每一个接收者提供一个 相同内容的i p 报文拷贝，否则网络上重复地传输相同内容的报文，占用了大量 资源。虽然i p 广播允许一个主机把一个m 报文发送给同一个网络的所有主 机，但是由于不是所有的主机都需要这些报文，因而也浪费了网络资源。在这 种情况下组播( m u l t i c a s t ) 技术应运而生，它的出现解决了一个主机向特定的 多个接收者发送消息的方法。 在2 0 世纪8 0 年代早期，大多数局域网技术( 例如以太网和令牌环网) 都 已经支持组播技术( 这种组播技术可以称为硬件组播技术) ，其应用主要局限 于局域网环境。而通过网桥互联的扩展局域网以及网际网并不支持类似的组播 数据发送技术尽管从一开始人们就在口地址空问中为组播预留了位置( d 类 地址) ，但却没有出现可以使用这类地址的m 层组播技术。直到2 0 世纪8 0 年 代末，s t e v ed e e r i n g 在文【1 - 2 】中提出：可以对基于数据报的网际网上的单播 ( u n i c a s t ) 路由机制进行组播扩展。1 9 8 9 年，i e t f 通过r f c l l l 2 【l j ，定义了 i n t e r n e t 上的组播方式，m 组播机制才得以诞生。m 组播机制允许一次发送一个 分组给一组接收者，而单播方式一次只能发送一个分组给一个接收者。在口组 播环境中，发送者仅需向一组接收者发送一个分组拷贝，而由网络中处于适当 位置的分支节点( i f 组播路由器) 处理分组的拷贝复制问题，以使得每个接收 者都能收到一个相同的原始分组拷贝。利用这种方式，在大多数的网络链路上 仅有一个原始分组的拷贝被传送，和利用一组单播连接来向一组接收者发送分 组的方式相比，组播机制既节省了发送者发送分组的开销，又节约了网络带宽 资源。 i p 组播模型主要包括3 个方面： 1 ) 兼容口服务。使用u d p ( u s e rd a t a g r a mp r o t o c 0 1 ) 协议传送组播包，提供 尽力发送( b e s te f f o r t ) 服务。 2 ) 开放的组。组播源节点无须知道组播组成员的信息，也不要求一定是组 播组的成员。 3 ) 动态的组。任意节点可以随时加入或离开组播组。 硕士学位论文第一章绪论 当主机希望加入或者退出某个组播组时，需要使用i n t e m e t 组管理协议i g m p ( i n t e m e tg r o u pm a n a g e m e n tp r o t o c 0 1 ) 协议1 3 4 1 。通过i g m p 协议，本地组播路 由器可以对组成员的状态进行管理。组播技术依靠i g m p 协议，中间经过具有 组播能力的路由器的多次复制和转发，将数据包从一个发送方同时向任意数目 的一组接收方发送。i g m p 协议运行于主机和与主机直接相连的组播路由器 ( f i r s th o pr o u t e r ) 之间，i g m p 实现的功能是双向的：一方面，通过i g m p 协 议，主机通知本地路由器希望加入并接收某个特定组播组的信息；另一方面， 路由器通过i g m p 协议周期性地查询局域网内，某个已知组的成员是否处于活 动状态( 即该网段是否仍有属于某个组播组的成员) ，实现对其所连接的本地 网络中的组播组成员关系的收集与维护1 5 】。 为了将组播数据传送到所有的组成员，组播路由器之间需要建立和维护组 播转发树。根据根节点的选择方式，组播转发树可以分为两大类：信源树 ( s o u r c et r e e ) 和共享树( s h a r e dt r e e ) 信源树是指以组播源作为树根，将 组播源到每一个接收者的最短路径结合起来构成的转发树，因此也称为最短路 径树( s p t ：s h o r t e s tp a t ht r e e ) 共享树以某个路由器作为路由树的树根，该 路由器称为汇集点( r p ：r e n d e z v o u sp o i n t ) ，将r p 到所有接收者的最短路结 合起来构成转发树。组播路由器使用组播路由协议建立和维护组播转发树。常 见的域内组播路由协议有d v m r p n ，c b t f 7 1 ，p i m d m l 8 1p i m - s m n 及基于受 限泛播技术的可伸缩性q o s 组播路由协议 1 0 q l l 等。 由于p 组播建立在u d p ( u s e rd a t a g r a mp r o t o c 0 1 ) 之上，其传输不像t c p 一样具有可靠保证。为此，需要提供可靠组播( r e l i a b l em u l t i c a s t ) 机制。可靠 传输的两大任务是：差错检测和差错恢复。构建可靠组播传输协议的两种基本 技术是a r q ( a u t o m a t i cr e p e a tr e q u e s t ) i t 2 和f e c ( f o r w a r de r r o rc o r r e c t i o n ) 1 1 3 1 。按照所基于的技术进行分类，目前的可靠组播传输协议可以分为：a r q 方 案、基于f e c 的方案和混合方案。 组播通信以其能够大大节省网络带宽和发送者资源而广泛地应用到如下领 域：i p 视频音频会议、商用i n t e m e t 电视广播和每次付费服务( p a yp e r v i e w ) 、软件升级发布( 例如病毒数据库更新等) 、实时新闻发布和股票行情 发布、协同应用( 例如共享白板) 、交互分布式网络游戏、远程学习、分布式 数据库、分布式交互模拟等。应用的多样性需要组播下层基础设施提供多方面 的支持。例如：需要发送的数据量( 带宽需求) 、数据发送的及时性( 延迟需 求) 、发送的可靠性( 可靠性需求) 、可以达到的接收者数量( 可扩展性需 求) 、成员加入或离开组的频率( 动态性需求) 以及数据机密性( 安全需求) 等。其中如何保证组播通信的安全是本文研究的重点。 2 硕士学位论文 第一章绪论 1 2 组播通信系统的安全特性 组播技术提出后，学术界和工程界对口组播技术进行了大量的研究。研究 主要集中在m 组播路由、可靠口组播和拥塞控制等方面。近年来随着人们对 开放网络安全问题的日益重视，人们的注意力开始转向口组播的网络安全问 题。和成熟的m 单播安全技术相比，口组播安全技术更为复杂和困难，许多问 题不可能通过直接扩展口单播的安全技术来解决。 1 2 1 安全组播通信的需求 i p 组播中存在各种因素可能影响到实现m 组播安全的各种手段和机制。其 中最为典型的因素包括：m 组播应用类型、组动态性( 成员加入或离开) 、可 扩展性和组播安全设施底层的信任模型。 组播的安全需求可以归纳为如下五点【1 4 1 ； 1 ) 保密性，只有拥有解密密钥的节点才能解读组播报文的内容； 2 ) 组成员认证，非组成员无法生成有效的认证信息，进而无法冒充组成员 发送组播报文； 、 3 ) 源认证( 抗抵赖) ，组成员无法生成其它组成员的认证信息，进而无法 冒充其它组成员发送组播报文，在另一方面，组成员也无法否认其发送的信 息； 4 ) 匿名性，为组成员提供匿名发言的机制，也就是说接收方无法从接收到 的组播报文推断出发送方的身份； 5 ) 完整性，提供验证收到的组播报文是否被篡改的手段。 1 2 2 组播与单播安全机制的比较 从概念上讲，由于每一个点对多点的通信可以分解为一组点到点的通信， 于是目前基于安全单播通信的技术( 例如被普遍使用的s s l ( s e c u r es o c k e t l a y e r ) 、k e r b e r o s 等) 似乎可以很自然地扩展到安全组通信上。然而，这种扩 展对一般的小型群组还行得通，却不能适用于大型动态群组( 成员数目巨大且 变动频繁的组播组) 1 5 1 。 例如，对客户机和服务器问的安全单播通信作而言，最初客户机和服务器 使用一种鉴别协议或服务进行相互认证；然后，双方产生一个共享的对称密钥 ( 会话密钥) 用于双向的加密通信。这一过程可以以如下方式扩展到一个组： 存在一个共同信任的组服务器，用它来存储用于实施组访问控制的成员信息。 当一个客户机想加入这个组时，客户机和组服务器使用一种鉴别协议相互认 证当每一个客户机通过鉴别并被接纳进入该组后，它们分别和组服务器共享 3 硕士学位论文 第一章绪论 一个密钥，这个密钥叫做成员的私有密钥。为了实现组通信，组服务器再给每 一个成员安全地发送一个组通信密钥，该密钥为全体组成员所共享，所有的组 通信报文都通过该组通信密钥加密。 组播通信中由于组成员的动态性，为了达到较高的安全性，考虑一个组服 务器，它在每一个成员的加入或离开时产生一个新的组通信密钥。当一个成员 离开时，以前的组通信密钥不能再使用( 因为离开的成员知道) ，于是新的组 通信密钥必须分别用每一成员的私有密钥加密并送给剩下的每一个成员。当一 个成员离开后，组通信密钥的安全更新所引起的计算和通信的开销和组大小栉 成正比，这和初始组通信密钥的发送时的开销一样【l 6 j 这一示例仅仅表明了组播和单播在密钥管理问题上的不同。组播通信存在 的网络安全问题远比单播通信存在的网络安全问题复杂。由于参与一次会话通 信的主体数目可能非常巨大，组播通信比单播存在更多的安全脆弱点( 组播分 组经过更多的网络链路) 。一旦遭受攻击，大面积的用户将受到影响。安全单 播通信技术，例如s s l 、和k c r b e r o s 等并不能直接扩展到安全组播通信中来。 1 3 课题研究的主要内容 由于单播通信的安全机制不能简单引入到组播通信中来，对于大型动态组 播更是如此。因此，如何设计合理并且有效的安全组播通信机制，并在此基础 上为组播应用建立组播安全服务设施就显得尤为重要了。 对一个有行个成员的组，给所有的组成员安全地发送组通信密钥需要n 条 信息，这疗条信息必须分别用每个成员的私有密钥加密( 计算的开销与组的大 小 成正比) 。每一条信息被单独地用单播方式发送。另一种替代的办法是， 这行条信息可以复合为一条信息用组播方式发送。无论哪一种方式通信的开销 都与组大小珂成正比( 通过发送信息的数量或复合信息的大小来衡量) 注意 至0 ，对于一次点到点的会话过程，仅在会话建立的开始需要付出会话建立和密 钥发送的开销，并只有一次。但是，对组通信的会话过程，这种开销的付出可 能持续一段很长的时间，因为不断地有成员加入或离开会话。也因为如此，组 通信密钥应该频繁地更新。 为了达到较高的安全性，组密钥以及用于方便组密钥管理而引入的有关辅 助密钥在成员的离开和加入时应该更新。确保离开的成员无法访问目前的通 信，即向前机密性( f o r w a r dc o n f i d e n t i a l i t y ) ，而一个新加入的成员无法访问 以前的通信，即向后机密性( b a c k w a r dc o n f i d e n t i a l i t y ) 1 7 1 因而组密钥更新问 题是整个组播安全问题的核心问题。 4 硕士学位论文第一章绪论 总之，一个成员加入或离开相当频繁的大型群组给我们提出了一个系统是 否具备可扩展性的问题。这时，单播的一些安全技术不再适宜。i o l u s l l 8 l 方案中 将上述可扩展问题总结为“一个影响疗个”和“一个不等于撑个”的问题，这 也是本论文力求解决的问题。 本课题的研究内容如下： 1 ) 分析现有的组播密钥管理协议以及密钥管理协议的基本原则和需求。 2 ) 提出基于一个新的组播通信模型- - r i n g n e t 模型的面向层次访问控制的 密钥管理协议，解决在大型组播通信的密钥管理问题中的可扩展性问题，即 “一个影响h 个”问题。通过将r i n g n e t 的网络实体分成多个具有不同优先级 别的局部组，使得优先级高的局部组控制器能够推导出优先级较它自身低的局 部组的密钥，跨局部组的密钥更新消息将会显著减少。 3 ) 由于基于r i n g n e t 模型的面向层次型访问控制的密钥管理协议比较依j 广 于授权中心，减少的密钥更新代价转换成了授权中心的计算代价。因此本文将 研究双钥密钥管理协议来改进这一问题该协议中子组密钥服务器融合了公钥 加密体系的功能，且有两种类型的密钥。由于子组服务器和其上层实体间的通 信依赖于公钥加密体系，当子组内部成员发生变化时，公钥不会随之变化，因 而将密钥更新范围限制在子组内部，降低了密钥更新的开销。模拟结果表明本 方案中，实时密钥更新消息数目和密钥更新事件数目仅仅只有h a r d j o n o 的域问 密钥管理协议的3 0 和6 5 t 1 9 - 2 0 l 。 1 4 论文结构 本论文的基本结构为：第二章首先分析密钥管理的原则，接着着重介绍现 有的各种群组通信中的密钥管理协议，并分析其优缺点；第三章提出适应于移 动因特网环境中的一个融合逻辑环与逻辑树结构特点的新的组播密钥通信模型 m n g n e t ，并详细介绍其框架和如何维护r i n g n e t 结构；在第四章，基于对 r i n g n e t 模型的特点的分析，提出基于r i n g n e t 的面向层次访问控制的密钥管理 协议，并从成员的各种动态变化来分析该协议的特点和优势；第五章将 r i n g n e t 模型一般化为一个通用的分层组播通信模型，为了改善基于r i n 斟e t 的 面向层次访问控制的密钥管理协议依赖于第三方的问题，提出了双钥密钥管理 协议，并且与同样分层分组的域间密钥管理协议进行了模拟比较；在结束语部 分，总结了密钥管理存在的困难以及未来的发展趋势。 5 硕士学位论文 第二章组播密钥管理协议 第二章组播密钥管理协议 2 1 组播密钥管理的定义 对组播通信报文的加密传输是实现组播保密性的一种办法。一种最简单的 情况就是使用对称密码算法，发送者和接收者共享同一个密钥，数据由发送方 加密，而由接收方解密。这个共享的密钥就是所谓的组通信密钥。加密和解密 使用的密钥只有组成员知道，这样才能确保被加密的报文只有组成员才能解 读。组成员认证也可以利用该密钥来实现，因为只有拥有该密钥的组成员才能 正确地生成加密的组播报文利用多方共享密钥来解决安全问题的关键是如何 将组通信密钥安全地发送给数目可能相当巨大的组成员，以及如何在特定的条 件( 例如成员变动时、会话密钥生命周期完毕时等) 或预订策略下更新组会话 密钥。这种生成和分发必须是排外的，即非组成员无法获得密钥。在多方通信 中，如何实现信息的排外共享是组播密钥管理所研究的范畴。 2 2 密钥管理的原则 本论文将要探讨的重点是组播密钥管理如何为组成员生成、分发和更新组 通信密钥。组通信密钥是所有组成员共享的密钥，被用来对组播报文进行加密 解密、认证等操作，以满足保密、组成员认证、完整性等需求。相比单播的密 钥管理，向前机密性( f o r w a r dc o n f i d e n t i a l i t y ) 、向后机密性( b a c k w a r d c o n f i d e n t i a l i t y ) 和同谋破解( c o l l u s i o nd e c r y p t i o n ) 是组播密钥管理特有的问 题【2 l 】。 1 ) 。向前机密性”要求主动退出组播的节点或被强制退出的节点( 比如恶 意节点) 无法继续参与组播，即无法利用它们所知的密钥解密后继组播报文和 生成有效地加密报文。重新生成并更新组密钥可以实现向前加密，但要注意的 是，密钥更新报文同样可以被之前的组成员获得，要防止之前的组成员从密钥 更新报文中得到新的密钥。 2 ) “向后加密性”要求新加入的组成员无法破解它加入前的组播报文，因 而要求新成员无法通过当前的组密钥去破译以前的组播报文，有效地保证了只 有合法的组成员才能访问当前的通信报文。当新成员加入时更新密钥就可以实 现这一点。 3 ) 组播密钥管理不仅要防止某个节点破解系统，还要防止某几个节点联合 起来破解。如果几个恶意节点联合起来，掌握了足够的密钥信息，使得系统无 论如何更新密钥，都可以获得更新的密钥，导致组播密钥管理的向前加密和向 6 硕士学位论文 第二章组播密钥管理协议 后加密失败，或者使得恶意节点可以冒充其它节点进行欺骗( 破解系统的认证 功能) 。这种情况称为同谋破解。组播密钥管理要杜绝同谋破解或降低同谋破 解的概率。 2 3 密钥管理协议设计需求 除了密钥管理在组播通信中的固有特性外，实现有效的组播密钥管理在设 计时还要考虑如下因素的影响 2 2 1 。 1 ) 可扩展性：可扩展性是组播密钥管理所要考虑的重点。组播的规模可能 从几个节点到上万个节点甚至更多，随着组播规模的扩大，保存密钥所占用的 节点存储空间、密钥生成所需要的计算量、密钥发送所占用的网络带宽、密钥 更新的时间延迟和密钥更新的频率都会相应增加。 2 ) 差异性：组播密钥管理涉及到多个通信实体。这些通信实体之间存在着 各种差异。这些差异包括是否可信任，是否愿意为其它实体提供服务，是否具 有足够的计算能力，是否具有足够的带宽和适当的网络延迟，是否接收组播报 文( 允许存在只发送不接收的实体) ，是否发送组播报文( 允许存在只接收不 发送的实体) 等等。组播密钥管理方案在设计时要考虑这些差异的影响。 3 ) 健壮性；对于单播来说，通信的任一方失败都会使会话终止。而组播中 部分节点的失败不应当影响整个组播会话的继续进行。这就对组播密钥管理提 出了健壮性的要求。 4 ) 可靠性：可靠性也是一个确保组播密钥管理正确有效工作的重要因素。 组播密钥管理的控制报文( 包括密钥更新报文、组成员关系变动的通知报文 等) 通常是利用不可靠的组播进行传输。这种传输存在着丢包、乱序、重复等 情况。设想如果缺乏确保可靠性的机制，一个组成员没有收到密钥更新报文， 它将无法参与后继的组播通信。 因此，设计一个组播密钥管理方案，需要统筹考虑通信实体间的差异、系 统的可扩展性、健壮性和可靠性等诸多因素。与组播的安全原则综合起来，我 们把组播密钥管理所要解决的基本问题归纳如下： 1 ) 向前加密：确保组成员在退出组后，除非重新加入，否则无法再参与组 播，包括获知组播报文的内容和发送加密报文。 2 ) 向后加密：确保新加入的组成员无法破解它加入前的组播报文 3 ) 同谋破解：避免多个组员联合起来破解系统( 或减少发生的概率) 。 4 ) 密钥生成计算量：通常协同的密钥生成需要较大的计算量，当节点的计 算资源不充足或密钥更新频繁的时候，要考虑密钥生成给节点带来的负载。 5 ) 密钥分发占用带宽：密钥更新报文不应占用过多的网络带宽。 7 硕士学位论文 第二章组播密钥管理协议 6 ) 密钥分发的延迟：密钥更新时要使所有组成员都能及时地获得新的密 钥。问题4 、5 、6 同属可扩展性问题。可扩展性在设计大规模的组播通信的密 钥管理协议时，是个很重要的因素。 7 ) 健壮性：部分组成员失效时，安全组播仍然能够继续工作。 8 ) 可靠性：确保密钥分发更新在存在不可靠的网络环境中的正确实行。 针对不同的应用，上述问题的必要性和重要性都会有所不同。 要指出的是：问题1 和2 的需要与否，直接影响到系统实现的复杂度。如 果系统不要求实现向前和向后加密，则问题3 、4 、5 、6 、7 就变得相对简单， 可以用很直接的方式实现( 如2 4 介绍的g l 伊) 2 4 密钥管理协议分类 安全组播密钥管理是指采取适当的安全策略和机制，进行组播密钥素材 ( 用于产生密钥) 的分发( d i s t r i b u t i o n ) 和更新( r e k e y ) 。现有的安全组播密 钥管理方法有很多种，包括信息论方法、组d i f f i e - h e l l m a n 密钥交换算法幽l 、 简单的组规模线性方法、基于逻辑层次树( l k h ：l o g i c a lk e yh i e r a r c h y ) 洲的方 法。根据现有的密钥管理协议，根据密钥服务器的服务形式可以将之分成三 类，分别是集中式密钥管理协议、分布式密钥管理协议、分散式密钥管理协议 1 2 s l 。 2 4 1 集中式密钥管理协议 在集中式密钥管理协议中，一个共同的特点就是存在一个控制全局的密钥 服务器统一负责密钥的生成和分发，称之为密钥分发中心( k d c ：k e y d i s t r i b u t i o nc e n t r e ) 。这个密钥服务器是独立于任何实体的一个控制器。这类协 议由于集中控制，存在着单点失效的问题，并且难以应付大型组播组带来的可 扩展性的问题阐。 2 4 1 1g k m p g r o u pk e ym a n a g e m e n tp r o t o c o l ( g k m p ) 是一种简单的采用集中控制的组 播密钥管理方案。在这个方案中每个节点都与根节点( r o o t ) 共享一个密钥用 来确保和r o o t 通信时的安全。r o o t 在第一个加入组的成员的帮助下加入组，并 创建一个包含g t e k ( g r o u pt r a f f i ce n c r y p t i o nk e y ) 和g k e k ( g r o u pk e y e n e r y p t i o nk e y ) 的g k p ( g r o u pk e yp a c k e t ) 分组。当一个新成员希望加入组 时，r o o t 就向他发送一个g k p 分组拷贝。当需要更新组会话密钥g t e k 时， r o o t 产生一个新的g t e k ，并用目前的g k e k 对其加密。然而，由于g k e k 8 硕士学位论文第二章组播密钥管理协议 为所有成员共享，一个成员离开组时，无法保证前向安全性，而只能重建一个 排除了该成员的组。 2 4 1 2 密钥图 密钥图是一种有向无环图( g ) ，它由两种类型的节点组成：用户节点和 密钥节点【2 7 l 。每一个用户节点有一个或多个出边，但是没有入边。每个密钥节 点允许有一个或多个入边和出边。如果一个密钥节点只有入边而没有出边， 则 这个节点就是密钥图的根节点( r o o t ) 图2 1 为一个密钥图，方框代表用户 节点，圆圈代表密钥节点，与用户节点直接相连的密钥节点为用户的个人密 钥，密钥更新时专用密钥不需要更新。个人密钥是每个用户和根节点服务器相 互认证后共享的密钥。 在密钥图中，密钥服务器r o o t 节点管理并维护一棵密钥树，树中的节点代 表加密密钥的密钥节点( k e k s ：k e ye n c r y p t i o nk e y s ) 。树的叶节点代表各组成 员的个人密钥。每个成员维护叶节点代表的个人密钥以及从其父节点到根节点 的唯一路径上的所有节点所代表的k e k s 。密钥树根节点代表了组通信密钥。 如果用户节点数为，z ，则每个叶节点的储存空间为o ( 1 0 9 功。为了说明密钥图 如何实现密钥的更新和分发，考虑假设用户函加入和离开组播组这两种情况。 k 7 5 图2 - 1 新成员u 9 加入和离开密钥树时的更新 9 硕士学位论文第二章组播密钥管理协议 1 ) 加入组播组。当新成员加入组播组时，为了确保向后机密性，组通信密 钥必须更新并重新分发给新形成的组播组的所有成员。新成员通过和根节点的 相互认证后，获得自己的个人密钥。此密钥由根节点产生，并且通过安全的单 播通道传递。根节点利用新成员的个人密钥加密新产生的组密钥，单播传送给 新成员，同时利用原来的组密钥加密新产生的组密钥组播传送给原来的组成 员，以实现组播组的密钥更新过程。在图厶l ( b ) 中假定用户函想加入组播 组，密钥服务器找到砺的加入节点k z a ，此时需要将组密钥硒s 更新为局4 ， 将k t s 更新为k z s 9 。密钥服务器产生如下的密钥更新消息，分别是一个组播消 息，组播到整个组，一个单播消息，单播砺所需要的密钥给u g ： s 一 ，u s ： k i 一9 ) x l 一， k t s 9 k a s 一曲： k i 一9 , k 7 8 9 k 其中 k r 表示密钥足用密钥k 加密。当收到这个密钥更新消息时，所有的老 组成员利用知晓的蜀坩解密得到新的组通信密钥局_ 9 而用户协和利用知 晓的k z s 得到更新后的密钥髟御。 利用密钥图的密钥管理方案，当用户加入时，加密次数仅为2 ( h 1 ) ，其中h 为密钥树的高度：密钥更新消息减少为2 个( 一个组播更新消息，一个单播更 新消息) 。而在g k m p 中，加密次数和密钥更新消息的复杂度均是o ( n ) 。 2 ) 离开组播组。当用户离开组播组，为了确保向前机密性，原来的组密钥 已经不能使用，一个简单的密钥更新方案就是利用每个组成员的专用密钥对新 产生的组密钥加密进行单播传送。如用户砺想离开组播组，此时密钥服务器需 要更新砺所知晓的密钥，即将密钥局毋更新为局 ，将k r s 9 更新为k z s 。密钥 服务器产生如下的密钥更新消息，组播到整个组： s 一 研， ： k7 s r ， k7 s x t ， k i 一8 置- 口 足1 8 k 4 j 6 ， 足l 一8 kt s 值得注意的是，接收到密钥更新消息后，用户只提取它所需的密钥更新消 息，例如只需要 k i 一8 ) j r ”， k7 $ gs 即可。每个用户利用自己所知晓的密 钥内容去解密得到的密钥更新消息，即可得到更新后的组密钥。对用户功阮 而言，它们只需得到更新后的组密钥即可。对于协和而言，除了新的组通 信密钥它们还需要得到更新后的辅助密钥k z s 在用户离开的过程中，密钥服务 器只需要产生一个密钥更新消息组播到所有组成员即可。但是密钥消息的长度 则是加入过程的d 倍，其中d 为节点的平均入度。与加入过程中加密次数为 2 ( h 1 ) 比较，离开过程的加密代价则要大一些，为d ( h 1 ) 。 有时一个移动节点从一个组播组中离开后，并没有加入到另外的组播组 中，或是移动到没有组播传播树的网络，这样的节点若要重新加入到组播组， 1 0 硕士学位论文 第二章组播密钥管理协议 通过i g m p 以通知组播路由器它所加入的组播组。组播路由器也利用i g m p 来 获知此网络子网中的组播组的信息。 2 4 1 3 拓扑匹配密钥管理树 在普通的组播密钥管理树中，大部分的更新密钥消息都仅仅适用于一个用 户子集，而这些用户子集也仅仅是在密钥管理树上是邻居节点。为了提高密钥 管理的效率并且适合于无线网络的环境，s y a h 提出了与网络拓扑相匹配的密 钥管理树，即拓扑匹配密钥管理树( t m k m ：t o p o l o g y - m a t c h i n gk e ym a n a g e m e n t ) 树啪】。在这种密钥管理树中，在密钥管理树中相邻的节点在网络的物理结构上 也是相邻的。这样我们就可以利用这种密钥树的优势，对更新密钥消息的分发 定位到网络上的每个小的区域。拓扑匹配密钥管理树大大地减少了网络中的交 叉通信量，这对于网络的某部分并没有成员需要更新密钥时是十分有效的。 在移动无线网络中，模型如图2 2 ，它由移动主机( m h ：m o b i l eh o s t ) 、 基站( b s ：b a s es t a t i o n ) 、高级主机( s h ：s u p e rh o s t s ) 或是移动交换中心组 成。s h 处理大部分的移动用户的协议细节和路由选择，它也是有线网络的一部 分。假设一个b s 下所有的用户服从均匀分布而且数量很大，把它可以看作是 一个子组，而且b s 知道子组是否需要更新密钥。根据这个假设，一个密钥更 新消息首先由s h 通过有线连接组播给每个b s ，然后b s 根据自身的子组是否 需要此消息决定是否广播给子组的所有用户，这样处理的后果是，密钥更新消 息不需要发送给所有用户，而是通过子组的方式。 图2 - 2 蜂窝网络模型 传统的密钥管理树是与网络结构独立不相干的，称之为独立拓扑密钥管理 ( t i k m ：t o p o l o g y i n d e p e n d e n tk e ym a n a g e m e m ) 树。若使用t i k m 树，更新密 钥消息将会发送给每个用户；若使用t m k m 树，这些消息则只会被部分b s 发 送。假定用岛表示组播发送给b s 的消息数目；s 2 表示被b s 广播的消息数目。 硕士学位论文第二章组播密钥管理协议 例如，如果一个消息组播发送给所有b s ，有两个b s 广播了此消息，则西= l 、岛= 2 。用g 一表示有线的代价；c c 表示无线的代价。总的代价为c r c 一= e 鼢】c w 一一= e 【踟 c r = ，c w 哪盥+ ( 1 一，) c 枷 其中，表示无线权值，它表示考虑无线代价的比重。 不管是t i k m 树还是t m k m 树，目标都是尽可能地减小总通信代价c r 通过一个模拟过程，假设在一个同机种蜂窝网络中，由1 2 个蜂窝组成，用户的 到达过程服从泊松分布，用户的服务时间呈指数分布，r 表示蜂窝的半径，p r 舢。 表示移动用户的最大速度，无线的权值假定大于o 5 。通过对t m k m 、t i k m 的性能的模拟分析结果表明，对于不同的无线权值t m k m 的总的通信代价总是 少于t i k m 的4 0 ，无线权值y 越大，则t m k m 与t i k m 的性能比例越小， t m k m 的优势更加明显口8 】。通过对不同的用户加入比例和用户移动速度进行模 拟，结果表明t m k m 树的通信代价只有t i k m 树的3 3 4 5 。 由于t m k i v l 树依赖于网络拓扑结构，因而当一个用户从一个蜂窝移动到另 一个蜂窝时，它同时也要从t m k m 树的一个分支移动到另一个分支。这一过程 必然造成额外的通信代价，也是t m k m 树的主要不足之处。 2 4 2 分布式密钥管理协议 在分布式的组播密钥管理中，参与通信的节点是对等的，它们通过某种密 钥协商算法生成组通信密钥。这一类方案不存在集中控制中单一失效点的问 题，并且很适合点对点对称( p e e rt op e e r ) 的应用模式，但是缺少集中控制给 管理带来了困难。 c l i q u e 是一种典型的分布式的组播密钥管理算法圆。它利用d i f f i e h e l l m a n ( d h ) 瞄】密钥协商算法的一种变体来实现组通信密钥的生成和分发。首先简述 两方d h 协议。对于两个实体a 和b ，协议按如下步骤进行： 1 ) 口和b 协商两个公用的素数g 和瑾，使得a r o o d q 为素数； 2 ) a 和b 分别选择秘密数x 和y ； 3 ) a 计算肛x = 口。m o d q ： 4 ) b 计算y = a y m o d q ： 5 ) a 和b 交换x 和y 6 ) a 计算扣y 。m o d q ： 7 ) b 计算拓x m o d q 。 这里x 和y 是两个秘密数，x 和】，是中间值，k 就是协商后双方共享的密 钥。在c l i q u e 中，不是两方，而是行方参与密钥协商。组内协商两个素数口和 1 2 硕士学位论文第二章组播密钥管理协议 口，并开始计算中间值。第一个成员计算第一个中间值口一并传给下一个成 员。每个成员从前一个成员接收到一组中间值，并使用自己的秘密值产生一组 新的中间值。由第j 个成员产生的中间值集合将有斗1 个中间值。例如第四个 成员收到来自第三个成员的中间值集合： ( 口屯而，口撕，口 毛，口而吐而 并产生新的中间集合： 口而钠，x t x 3 x ，口而也_ ，1 7 x l x 2 x ，口而而知 最后一个成员万能够计算k ( k = 口”m o d q ) 。成员1 1 ( 相当于组管理 器) 利用自己的秘密值对所有中间值做指数运算弗通过组播将其发送给其它成 员。每个组成员抽