（计算机系统结构专业论文）自组网络环境下的安全群组通信技术研究.pdf

摘要 摘要 自组网络是一种没有固定网络拓扑结构，缺乏固定设施支持，同时网络节点可移动的分 布式网络环境。在这种网络环境下构建的群组通信系统不能依靠固定的可信第三方来实现安 全群组通信所需的信任管理和访问控制；也不适合直接使用各种集中式的群密钥管理或协商 方案。本文以自组网络通信环境下的群组通信系统为研究对象，取得了如下研究成果： 1 、对目前已有的主要群密钥协商或管理方案进行了比较研究； 2 、分析了在自主网络环境下，群组通信系统可能遭遇的成员关系变化事件，并提出了 自己独特的成员关系更新方案。基于这样的成员关系更新方案，论文进一步提出了基于密钥 树的密钥状态维护方案。密钥状态维护方案为基于密钥树的群密钥协商方案提供了一个分布 式的同步机制： 3 、本论文在比较研究b d 、s t r 、g d h 和t g d h 方案的基础上，针对自主网络环境中， 通信节点通常只具有有限计算能力的特点，提出了一种全新的分布式群密钥协商方案，即 d o f t ( d i s t r i b u t e d g r o u pk e ym a n a g e m e n t b a s e do n o n e - w a y f u n c t i o nt r e e ) 4 、针对自组网络通信环境的特点，提出了一种完全分布式的动态的分层信任管理模型， 即推荐信任模型。推荐信任模型只需要群组通信系统创建者( g r o u pf o u n d e r ) 的离线支持： 5 、基于推荐信任模型，提出了一种针对群组通信服务的访问控制方案( 或称面向“组” 的访问控制方案) 。 关键词：自组网络，信任管理，访问控制，单向函数树，群密钥协商 些塑竺一一 r e s e a r c ho us e c u r eg r o u pc o m m u n i c a t i o ni na d h o en e t w o r k s l iy i n g ( c o m p u t e r a r c h i t e c t u r e ) d i r e c t e db yl i u j i n g a n g a d h o ci sa ni n f r a s t r u c t u r e l e s s ，a m o r p h o u sa n dd e c e n t r a l i z e dn e t w o r ka n dc o m p o s e do f m o b i l e n e t w o r kn o d e s a n yc e n t r a l i z e dk e ym a n a g e m e n ts c h e m e o r k e ya g r e e m e n t s c h e m ei sn o ts u i t a b l e f o ri tf u r t h e r m o r e ，t h e r ei sn of i x e dc e n t r a ls e r v e r , s u c ha st r u s t e dt h i r dp a r t y ，a v a i l a b l ef o rt r u s t m a n a g e ra n da d m i s s i o n c o n t r o l l e ri na d h o e ，t h er e s e a r c hf o c u so f t h ep a p e ri st h es e c u r eg r o u p c o m n l u n i c a t i o ni na d h o cn e t w o r k s t h em a i n c o n t r i b u t i o n so ft h ep a p e rs i r el i s t e db e l o w f i r s t l y a u t h o r m a k e sas u r v e ya n dc l a s s i f i c a t i o n o fm o s t l ye x i s t i n gg r o u pk e ym a n a g e m e “t s c h e m e sa n dg r o u pk e ya g r e e m e n ts c h e m e s ； s e c o n d l 弘a u t h o r s u m m a r i z e sm e m b e r s h i pc h a n g e e v e n t sf a c e db yg r o u pc o m m u n i c a t i o ns y s t e m1 “ a d h o ca n dd e s i g n sn o v e lm e m b e r s h i pu p d a t i n gs c h e m e sf o re a c hm e m b e r s h i pc h a n g ee v e n t b a s e do nt h e s em e m b e r s h i pu p d a t i n gs c h e m e s ，ak e ys t a t e m a i n t a i n i n gs c h e m ei s a l s op r o p o s e d ， w h i c hp r o v i d e sad i s t r i b u t e ds y n c h r o n i z a t i o nm e c h a n i s m f o rg r o u pk e ya g r e e m e n tp r o c e s su s i n g8 k e yt r e e ； t h i r d l v b a s e do nc o m p a r i s o nr e s e a r c ho fb d ，s t r ，g d ha n d t g d h ，a u t h o rp r o p o s e san o v e l d i s t r i b u t e dg r o u pk e ya g r e e m e n ts c h e m e ，c a l l e dd o f t ( d i s t r i b u t e dg r o u pk e ym a n a g e m e “t b a s e do n0 n e w a yf u n c t i o nt r e e ) ，f o r a d h o cc o m p r i s i n gc o m m t m i c a t i o nn o d e sc a p a b l e o f l i m i t e dc o m p u t i n gp o w e r f o u r t h l v ，a u t h o rp r o p o s e sad i s t r i b u t e d ，d y n a m i ca n d h i e r a r c h i c a lt r u s tm o d e lf o ra d - h o c ，w h i c h i s c a l l e dr e r e c o m m e n d a t i o n t r u s tm o d e la n dn e e d so f f i i n es u p p o r to fg r o u pf o u n d e r l a s t l y ，an o v e lg r o u pa d m i s s i o nc o n t r o l s c h e m eb a s e do nr e r e c o m m e n d a t i o nt r u s t m o d e l1 s i n t r o d u c e d k e y w o r d s ：a d h o c t r u s tm a n a g e m e n t ，a d m i s s i o n c o n t r o l ，o n e w a yf u n c t i o nt r e e ，g 。o u pk 。y a g r e e m e n t 1 i i 声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研 究成果。据我所知，除了文中特另i j n 以标注和致谢的地方外，论文中不包含其 他人已经发表或撰写过的研究成果。与我一同工作的同志对本文所做的任何贡 献均已在论文中作了明确的说明并表示了谢意。 作者签名： 狲 e t 期：二晰f 关于论文使用授权的说明 中国科学院计算技术研究所有权保留送交论文的复印件，允许论文被查阅 和借阅；并可以公布论文的全部或部分内容，可以采用影印、缩印或其它复制 手段保存该论文。 作者签名：锄导师签名：祝日期：二吲厂 第一章绪论 第一章绪论 1 1 安全群组通信技术的研究目标 在无线通信领域和i n t e r n e t 网络通信领域，出现了越来越多的基于或者面向“组( g r o u p ) ” 的通信应用，即各种群组通信系统。它们包括： l 、基于自组网络技术( a d h o cn e t ) 的灾害救助，军事行动； 2 、卫星通信服务； 3 、无线集群通信系统； 4 、订阅式信息服务( s u b s c r i b e di n f o r m a t i o ns e r v i c e s ) ； 夺股票信息发布( s t o c kq u o t ed i s t r i b u t i o n ) ； 呤有偿瓶闻分发( n e w sd i s t r i b u t i o n ) ； 5 、不公开会议( p r i v a t ec o n f e r e n c e ) ： 6 、分布式交互式仿真( d i s t r i b u t e di n t e r a c t i v es i m u l a t i o n ) ： 7 、传感器网络( s e n s o r n e t w o r k s ) ； 这里所谓群组通信，就是一个信源将信息无差别的同时传给一组信宿的通信方式。 信源。 图i i 群组通信图示 信宿1 信宿2 信宿3 信宿n 一个群组通信可以通过信源和信宿之问预先设定的特定频率的载波来实现；也可能直接 对应于t c p i p 协议下的一个广播或组播通信。这些群组通信在本质上都是完全开放的通信 方式。任何一个用户，只要知道了群组通信对应的特定频率或特定的多播地址，就可以根据 自己的意愿随意的加入或退出这个群组通信。具体的无线通信应用或网络通信应用通常不能 直接采用这些群组通信方式。因为这些群组通信方式不能满足具体应用的下述安全需求： 1 、排它性所谓排它性是指一个具体的群组通信系统能够有能力保证只让“组”内 合法成员得到群组通信信息，也就是保证群组通信信息的私密性： 2 、抗干扰性所谓抗干扰性是指一个具体的群组通信系统能够有能力保证自己的群 组通信信息的完整性和可用性； 3 、其它要求 a ) 成员身份确认( u s e r a u t h e n d c a t i o n ) ； 中困科学院博：i ：学位论文白 i i 网络环境下的安全群组通信技术研究 b ) 数据鉴别( d a t av e r i f i c a t i o n ) ： c 1 匿名性 v p 0 3 1 ( a n o n y m i t y ) ： d ) 不可抵赖性( n o n - r e p u d i a t i o n ) ： e ) 背叛者跟踪( t r a i t o r t r a c i n g ) 。 安全群组通信技术的研究目标就是要在已有通信技术( 比如前面提到的基于t c p i p 协 议的广播通信或多播通信技术) 的基础上，帮助具体的应用系统实现上述几点安全需要。安 全群组通信的实现方式同它所支持的具体通信技术密切相关。这些具体的通信技术包括： 1 、自组网络技术w ”r f 0 2 】； 2 、卫星通信； 3 、微波通信： 4 、i n t e m e t 网络： 5 、其它无线通信平台。 白组网络环境下的安全群组通信技术是本论文的研究目标。自组网络技术是目前通信领 域的一个研究热点。人们提出这种通信模式的最初目的是希望能为战场提供一种分布式的应 急通信方式。随着研究的深入，人们已经将这种新兴的通信模式或技术拓展了其它应用领域。 现在，人们希望基于这种通信模式或技术，通过网络节点问的合作，为节点用户提供一种“随 时随地”的通信服务。通常情况下，一个自组网络系统具有如下特点i k c 0 2 】 1 、分布式( d e c e n t r a l i z e d ) ：这是指自组网络是一种缺乏固定设施或服务器支持的通信 系统。对应的网络节点必须通过相互之间的合作来构造和维系对应的通信系统； 2 、无结构( a m o r p h o u s ) ：这是指自组网络是一种没有固定拓扑结构的通信系统。网络 节点的移动性和无线联系，使得这些节点可以随时加入或离开一个特定的自组网络。 对应自组网络的成员关系是动态变化的； 3 、广播通信机制( b r o a d c a s t c o m m u n i c a t i o n ) ：这是指自组网络中网络节点都采用广播 方式发布信息； 4 、无地址的消息机制( a d d r e s s l e s sm e s s a g e ) ：这是指自组网络中的消息机制不是基于 网络节点的地址( 比如i n t e m e t 网络中的i p 地址) ，而是基于消息的内容来设计的。 在这种情况下，网络节点就不能依赖于某个特定的节点来提供所需的特定服务。相 反，网络节点需要向自组网络的所有节点发出特定的服务请求： 5 、轻量级网络节点( l i g h t w e i 吐tn o d e s ) ：这是指自组网络中的网络节点通常都只具有 有限的计算能力和有限的电源能力： 6 、暂态特性( t r a n s i e n t ) ：这是指由于自组网络中网络节点通信距离的有限和电源能力 的有限，以及网络节点的移动性特点，使得自组网络中的网络会话随时间不断变化 的特点。 1 2 安全群组通信的主要技术路线 关于实现安全群组通信的技术路线，目前主要有两种 2 第一章绪论 1 2 1 扩频通信技术 扩频通信技术博9 “”1 一种是在无线通信领域已经得到广泛应用的扩频通信技术。扩频 通信的基本特点，是传输信号所占用的信道带宽( w ) 远大于原始信息本身实际所需的最小( 有 效) 带宽( f ) ，其比值称为处理增益g p ： g p 2 w a f ( 1 - 1 1 在现今使用的电话、广播系统中，无论是采用调幅、调频或脉冲编码调制制式，g p 值 般都在十多倍范围内，统称为“窄带通信”。而扩频通信的g p 值，高达数百、上于，称 为“宽带通信”。 为了将要发射的信号扩展到一个很宽的频带上，扩频系统需要在频带和技术复杂性方面 付出昂贵的代价，这样做能得到什么好处呢? 著名的香农( s h a n n o n ) 定理中可以提供我们 所需的答案。香农定理指出：在高斯白噪声干扰条件2 下，通信系统的极限传输速率( 信道 容量) 为： c = w l 0 9 2 ( 1 - t - s n )( 1 2 ) 其中， c 信道容量( 比特秒) w 信道带宽( 赫兹) n 噪声功率 s 信号平均功率 ( 1 2 ) 式说明在给定的信道容量c 不变的条件下，信道带宽w 和信噪比s n 是可以互换 的。即可通过增加信道带宽的方法，在较低的信噪比s n 情况下，传输信息( 这使得攻击者 在不知道扩频码的前提下，很难将信号从噪声中分辨和分离出来) 。扩展频谱换取信噪比要 求的降低，是扩频通信的重要特点。同时也是扩频通信能够实现安全通信的重要理论依据。 扩频通信可行性的另一理论基础是柯捷尔尼可夫关于信息传输差错概率的公式： p o w j 4 f ( e n o )( 1 3 ) 其中， p o w 差错概率 e信号能量 n 。 噪声功率谱密度 因为， 信号功率s = e t( 其中，t 为信息持续时间) 噪声功率n = w n 。( 其中，w 为信道带宽) 信息带宽a f = - l i t 则式( 1 3 1 可化为： p o w j 4 f ( t w s n ) = f ( s n * w a f ) = f ( s i n g p ) ( 1 - 4 ) 式( 1 4 ) 说明，对于一定带宽f 的信息而言，用g p 值较大的宽带信号来传输，可以提高 。实际的通信系统背景噪声大多为高斯白噪 2 对应噪声与信号独立的高斯白噪信道 中国科学院博十学位论文自组网络环境下的安全群组通信投术研究 通信抗干扰能力，保证强干扰条件下，通信的安全可靠。 在扩频通信技术中，频带的展宽是通过编码及调制的方法实现的，并与所传信息数据无 关：在接收端则用相同的扩频码进行相关解调来解扩及恢复所传信息数据。在通信中应用较 多的是直扩( d s ) 、跳频( f h ) 和f h d s 等方式。 1 、直扩技术 直扩技术使用伪随机码3 对信息比特进行模2 加得到扩频序列，然后将扩频序列调制载波 发射到空中，此时系统占用功率谱密度也大大降低。伪随机码由伪随机序列发生器产生，其 码速比原始信息码速高得多，每一个伪随机码的长度( 即切普c h i p 宽度) 很小。 壹扩系统的接收一般采用相关接收，分为两步，即解扩和解调。在接收端，接收信号经 过放大混频后，用与发射端相同且同步的伪随机码对中频信号进行相关解扩，把扩频信号恢 复成窄带信号，然后再解调，恢复原始信息序列。对于干扰和噪音，由于与伪随机码不相关， 接收机的相关解扩相当于一次扩频，将干扰和噪音进行频谱扩展，降低了进入频带内的干扰 功率，同时使得解调器的输入信噪比和载干比提高，提高了系统的抗干扰能力。另外，由于 不同构造的伪随机码之间相关性很低，采用不同伪随机码的接收机很难发现和解出扩频序列 中的信息。 2 、跳频技术 跳频技术是信息传输过程中促使空间信道不断跳变的一种信息技术。作为一种瞬时窄带 系统，它易于与目前的窄带通信系统兼容。普通空间信道是一个“开放”的信息传输通道， 使用固定的频率传输，很容易被敌窃听和无线电干扰。而跳频技术使得通信过程中的频率不 断跳变，以此达到隐蔽自己的目的。收发两端只要跳频图案一致，跳频时间同步，就可在信 息传输过程中不断跳变空间信道，实现跳频通信。跳频技术使信息传输形成了一道安全走廊， 大大地遏制了攻击者的同频窃听和电子干扰。系统的跳频图案延续时间的越长，跳频速率越 高，通信的抗干扰性能力和安全性就越强。 1 2 2基于密码学理论和实践的技术路线 与前一种技术路线相比，基于密码学理论和实践的技术路线实施起来相对简单，独立于 具体的通信平台，而且能够提供更丰富的安全服务( 比如，成员身份认证，数据鉴别，抗抵 赖，群组通信管理更灵活等特点) 。不足之处在于这种技术路线不提供抗信息阻断和抗干扰 支持。本论文所涉及的所有研究活动都是基于这种技术路线展开的。 在基于密码学理论和实践的技术路线下，可能的研究内容主要包括： l 、群密钥的管理或协商 群密钥管理或协商方案要解决的问题就是在群组成员关系或信任关系发生变化时，如何 有效的更新当前的群密钥，从而为群组通信系统提供前向安全( f o r w a r ds e c r e c y ) 、后向安 3 伪随机噪声码( p s e u d o n o i s ec o d e - p n 码) 4 第一章绪论 全( b a c k w a r d s e c r e c y ) 和群密钥独立性( g r o u pk e yi n d e p e n d e n c y ) 保证，并同时为群组通 信信息提供排它性支持。 群密钥管理或协商方案要解决的问题就是在群组成员关系或信任关系发生变化时，如何 有效的更新当前的群密钥，从而为群组通信系统提供前向安全( f o r w a r ds e c r e c y ) 、后向安 全( b a c k w a r d s e c r e c y ) 和群密钥独立性( g r o u pk e yi n d e p e n d e n c y ) 保证，并同时为群组通 信信息提供排它性支持。从目前已有的文献来看，群密钥管理或协商方案是安全群组通信技 术领域的一个研究重点，而且人们在这方面也已经取得非常多的成果( 具体成果参见第二 毒) 。 按照是否为安全群组通信系统设计集中的管理者，可以将已有的群密钥更新方案分为： 夺集中式( c e n t r a ls c h e m e ) 密钥管理方案 这类方案为群组通信系统设计了一个或一组管理者，通常由这个( 组) 管理者负责 系统的信任管理( 其中包括成员身份认证、访问控制和证书管理等任务) 和成员关 系管理； 夺分布式( d i s t r i b u t e ds c h e m e ) 密钥管理方案 这类方案没有为群组通信系统设计固定的管理者。在这类方案中，系统成员间通常 是一种协同或对等关系；系统支持多对多的通信模式；系统可能需要平坦式信任管 理方案，也可能需要分层信任管理方案；为了便于系统的信任管理、成员关系管理 和密钥更新，系统通常通过某种选举规则从成员中动态地选出一个管理员； 按照方案所采用的群密钥产生机制，可以将已有的群密钥更新方案分为： 夺分发式密钥管理方案( d e c e n t r a l i z e d ) 在这类方案中，群密钥是由群组通信系统的某个当前成员独立产生的，并通过特定 的方式分发给其它成员的： 夺凑份式( c o n t r i b u t o r ys c h e m e ) 密钥管理方案 在这类方案中，群密钥是由群组通信系统当前成员集中所有成员共同产生的，最终 的群密钥包含了群组通信系统当前成员集中每个成员提供的私有秘密； 按照群密钥更新进程中是否需要信息交互，可以将已经出现的这些方案分为： 夺零通信方案 在这类方案中，群组通信系统不需要成员问进行信息交互就能改变系统当前使用的 群密钥； 夺非零通信方案 在这类方案中，群组通信系统的当前成员必须进行必要的信息交互才能改变系统当前使 用的群密钥： 2 、信任管理 信任管理问题通常是一个安全系统的核心问题。根据所服务的具体通信系统的技术基础 和架构的不同，不同的安全群组通信系统需要采用的信任管理方案也是截然不同的。对于有 着固定网络拓扑结构，有着固定网络节点支持的通信系统来说，它们可以直接基于p k i 技术 设计它们的信任管理方案。但对于没有固定网络拓扑结构，缺乏固定网络节点支持的通信系 中围科学院博f 学位论文自纰嘲络环境下的安 牟_ 群纽通信技术研究 统来说，它们就无法将自己的信任管理方案直接建构在某个可信第三方的基础上。如果基于 非对称密钥体制来设计信任管理方案，那么信任管理的实质通常也就是公开密钥的管理。 3 、访问控制 在安全群组通信系统中，访问控制方案的设计目标就是适应所服务系统的结构特点，确 保系统的通信能力( 比如，在自组网络中各个网络节点的信息转发能力) 和通信信息只被系 统安全策略所认可的合法用户使用或访问到。设计一个访问控制系统，通常需要考虑这样两 个方面的问题第一个方面的问题是指所访问控制系统采用了什么样的访问控制策略，即 访问控制系统是基于访问的主体还是基于访问的客体来设计的。如果是基于访问的主体，那 么具体又是基于用户、角色还是域：第二个方面的问题是指如何布置访问控制系统。比如可 以基于集中存放的访问控制策略和判据来实施集中式的访问控制；也可以基于授权证书或票 据实施分布式的访问控制。 4 、消息源确认 密文信息的组身份确认和用户身份确认是一个多对多群组通信系统中需要考虑的问题。 它帮助系统的当前用户辨认自己所收到消息的发送者。同时，防止特定信息的发送者抵赖它 曾经发出过的信息。通常情况下，消息源的确认都是基于非对称密钥体制的某种签名算法来 实现的。签名算法的效率是一个需要考虑的问题，但如何管理验证签名所需的公开密钥也是 一个需要考虑的问题，这通常和系统所使用的信任管理方案密切相关。 5 、背叛者跟踪技术 安全群组通信系统中的背叛者跟踪问题最早是f l | c h o r 等人 c f n 9 4 1 c 9 p 0 0 1 中提出来的。背叛 者跟踪技术要解决的主要问题是 在一个单对多的安全群组通信系统中，每个用户都应该有一个独一无二的密钥。这个密 钥帮助用户解密信息发布者发出的密文信息。但这里可能遇到的安全问题是，某些拥有密钥 的合法用户可能私下里联合起来，利用它们各自拥有的合法密钥伪造出一个密钥( p i r a t e d e c o d e r ) 。这个伪造的密钥与它们自己的合法密钥都不同，但仍然能够解密信息发布者发出 的密文信息。这些合谋的用户希望将这个伪造的密钥分发给其它非法的用户，而自己还不担 心被发现。c h o r 等人讨论了这个安全问题，并提出了自己的解决方案。f n 9 4 l i e f p 0 0 1 。它们提出 的方案保证如果参与合谋的用户数小于特定的阈值，那么就可以至少发现一个合谋者，并指 控它参与了合谋，而且这种指控的错误概率很小。 在c h o r 等人工作的基础上，人们研究了基于公开密钥的背叛者跟踪方案。在基于公开密 钥的背叛者跟踪方案0 9 8 b f 9 9 】 n p 0 0 i r k 7 0 2 1 中，加密信息的发布者( 比如有偿电视节目的运营者) 和发布公丌密钥的用户管理者可以分离的。防止几个人合谋去蓄意诬陷另一个合法用户为背 叛者的f 司题也得到了人们的注意和研究l p ”j 。 实现背叛者跟踪的另一个技术路线是采用数字指纹技术( f i n g e r p r i n t i n g ) b s 9 5 9 w 9 7 】f j “。b o l 】 s t s w 0 1 】。它通过在发送者发送的信息或接受者得到的密钥中隐藏特定的用户鉴别信息来实现 对背叛者的跟踪。 6 第一章绪论 利用表解码技术( l i s td e c o d i n g ) 8 ”9 9 心8 ”0 1 艄“0 3 肛9 武0 1 1 来设计背叛者跟踪方案是这个 领域的一个新的研究热点。人们希望通过这种技术得到更高效、更准确的背叛者跟踪方案。 6 、流量分析对抗技术 群组通信系统可能面对的另一个安全问题是如何对抗对群组通信信息的流量分析。通过 这个流量分析，攻击者虽然不能得到群组通信系统里所交互信息的具体内容，但它可以推断 出与群组通信系统有关的其它重要信息。比如：谁是信息的发布者：当前参与群组通信的成 员间的关系以及每个成员在系统中可能肩负的职责和分工。p a v a nv e r m a 和a t u lp r a k a s h 对 群组通信系统可能面临的这个安全威胁进行了分析，并尝试着通过改进系统使用的通信协 议，使得群组通信系统外的用户无法确定系统内的一个消息具体传给了哪个组内成员 v p 0 3 】。 1 3 自组网络环境中安全问题的特点 自组网络环境中安全问题的特点是由自组网络的结构特点和组成自组网络的网络节点 的特点决定的。自组网络是一种没有固定网络拓扑结构，缺乏固定设施支持，同时网络节点 可移动的分布式网络环境( d e c e n t r a l i z e dn e t w o r k s ) ，这使得我们在研究自组网络环境下的 安全问题时必须要考虑【p 1 d a 0 2 1 、自组网络拓扑结构和成员关系的动态变化特性 为此针对自组网络环境提出的安全解决方案必须要适应这种动态变化特性： 2 、自组网络中成员的自组织性和网络的无基础结构特性 这决定了自组网络环境需要的任何安全解决方案( 这包括群密钥管理或协商、信任 管理和访问控制等方案) 都不能直接建构在固定的可行第三方的基础上； 3 、网络节点间开放的无线通信链路 这使得自组网络环境下的群组通信系统容易受到通信链路窃听( e a v e s d r o p p i n g ) 、拒 绝服务攻击( d e n i a lo f s e r v i c e ) 、冒充( i m p e r s o n a t i o n ) 、欺骗( s p o o f i n g ) 等攻击； 4 、自组网络系统可能存在于一个充满敌意的环境中 这样的环境使得自组网络中某些网络节点可能受到攻击者的控制。 1 4 本文的主要贡献 本论文将研究重点放在自组网络环境下的信任管理、访问控制、成员关系管理和群密钥 协商问题上，不考虑因网络节点间开放的无线通信链路而可能受到的拒绝服务攻击、冒充和 欺骗等攻击，并假设自组网络中每个合法的网络节点都不会受到攻击者的控制，不会对系统 有任何恶意或非法的举动。论文取得了如下主要研究成果： l 、对目前已有的主要群密钥协商或管理方案进行了比较研究； 2 、分析了在自主网络环境下，群组通信系统可能遭遇的成员关系变化事件，并提出了 自己独特的成员关系更新方案。基于这样的成员关系更新方案，论文进一步提出了基于密钥 树的密钥状态维护方案。密钥状态维护方案为基于密钥树的群密钥协商方案提供了一个分布 式的同步机制； 3 、本论文在比较研究b d 、s t r 、g d h 和t g d h 方案的基础上，针对自主网络环境中， 中国科学院博士学位论文自组嗣络环境下的安全群组通信技术研究 通信节点通常只具有有限计算能力的特点，提出了一种全新的分布式群密钥协商方案，即 d o f t ( d i s t r i b u t e d g r o u pk e ym a n a g e m e n t b a s e do n o n e w a y f u n c t i o nt r e e ) ； 4 、针对自组网络通信环境的特点，提出了一种完全分布式的动态的分层信任管理模型， 即推荐信任模型。推荐信任模型只需要群组通信系统创建者( g r o u pf o u n d e r ) 的离线支持； 5 、基于推荐信任模型，提出了一种针对群组通信服务的访问控制方案( 或称面向“组” 的访问控制方案) 。 1 5 本文的结构 第一章，绪论。通过分析安全群组通信技术研究的主要技术路线和自组网络环境中安全 问题的主要特点，确立了本文的研究方向和主要内容。 第二章，目前已有群密钥更新方案的比较研究。对目前已有群密钥更新方案进行了分类 和比较研究，为第五章提出d o f t 分布式群密钥协商方案奠定了基础。 第三章，自组网络环境下面向“组”的信任管理和访问控制。从群组通信系统创建者的 角度，提出一种适合自组网络特点的分布式信任管理模型；并基于这个信任管理模型，进一 步提出了一个适合自组网络特点，面向“组”的访问控制方案。 第四章，基于密钥树的成员关系更新方案。分析了群组通信系统在自主网络环境中可能 遭遇的成员关系变化事件，并通过引入六元属性节点树和多系统六元属性节点树，为多成员 离开事件、加入离开事件和全混合事件设计了独特的成员关系更新方案。这样的成员关系 更新方案不仅能够记录下密钥树中各节点的节点编号变迁历史，同时还准确地反映出各节点 的密钥状态。 第五章，基于单向函数树的分布式群密钥协商方案。针对自主网络环境中，通信节点通 常只具有有限计算能力的特点，提出了一种适合自主网络无基础设施架构特点的，分布式群 密钥协商方案。 第六章，基于密钥树的分散式密钥更新同步方案。基于第四章得到的成员关系更新结果， 即简化后的六元属性节点树或多系统六元属性节点树，进一步提出了密钥状态维护方案。 第七章，总结。对全文进行了总结，并给出了今后进一步研究的方向。 8 本文将要用到的主要符号罗列如下： 安全群组通信系统( 在下文中一般简称为“系统”) u h i d ( u i ) i d ( u ) h o d ) h ( u ，) t ( i d ) u ( i d ) p ( u i ) p ( u i ) t s p ( u 3 s p ( u ，) ， k ( i d ) b k ( i d ) k 。 e n c m k d e c m 】k 群组通信系统的当前成员集，如果成员集中的成员个数为n ，则u 可表示为u u ，i1 f n ) ； 群组通信系统对应密钥树的树深； 成员u ，在密钥树中对应的叶节点编号； 成员集u 中所有成员所对应叶节点编号的集合，即， i d ( u ) 2 i d ( u i ) i1 i n ) ； 节点编号为i d 的节点； 节点 的节点深度； 成员u ，对应叶节点的节点深度； 密钥树中以节点 为根节点的密钥子树； 密钥子树t ( i d ) # 0 叶节点对应的用户子集； 用户u 。的节点路径； 在节点路径p ( u 。) 上，节点深度为f 的节点： 用户u 的兄弟节点路径； 在兄弟节点路径s p ( u 。) 上，节点深度为，的节点； 节点 的节点密钥； 节点 的盲节点密钥： 系统当前的群密钥； 用对称密钥k 加密消息m ，其结果记为m ； 用对称密钥k 解密消息m ，其结果记为m ； 9 第一二章目前已有群密钥更新方案的比较研究 第二章目前已有群密钥更新方案的比较研究 2 1 集中式方案( c e n t r a ls c h e m e s ) 如果将当前群组通信应用系统的成员数记为n ，需要一次排除的成员数记为r ，则目前 几种主要的集中式群密钥更新方案的指标比较如表2 1 所示。 表2 - 1 群组管理者 方案通信开销成员存储开销 存储开销 s k d c ( s i m p l ek e y d i s t r i b u t i o nc e n t e r )n rln ti z e r om e s s a g es c h e m e s 0。c ： 陆一r e s i l i e n t ) 4 f _ 0f - 0 z e r om e s s a g es c h e m e s on 十1 ( 1 一r e s i l i e n t ) c s d o g ( n r )l o g ( n )2 f n 1 ) 5 s d d ( r )d ( 1 0 9 2 n ) l s d o ( 0o ( 1 0 9 1 “n ) l k h 2 r l o g ( n )l o g ( n )2 ( n 一1 ) o f t d o g ( n )2 l o g ( n )2 ( n 一1 ) o f c r l o g ( n )l o g f n ) 2 0 q - 1 ) s e l f - h e a l i n gk e ym a n a g e m e n ta p p r o a c h0 ( ( t 2 + m o l o g q ) 6 m 2 + 2 表2 - 1 中所示的所有方案有一个共同的特点，那就是这些方案本质上支持的是一对多通 信模式。每个方案中的信息发送者也是这个方案对应的成员关系管理者和信任管理者( 通常 也执行访问控制任务) 。除开o f t 方案( o f t 方案从群组会话密钥产生机制的角度来看，属 于凑份式密钥管理方案) 外，其它方案都由方案对应的信息发送者随机生成下一次安全群组 通信进程所需的群密钥，并通过每个方案特有的群密钥分发机制将新的群密钥传给系统中的 4 r k 5 2 ( 2 “i ) ( 2 - 1 ) 6 这里的q 是一个大于n 的素数，t 是本方案能够允许同时存在的台谋者的最大人数m 是能够连续支持的会话数。 i l 中国科学院博i ：学位论文自组网络环境下的安全群组通信技术研究 其它合法成员。即从群密钥产生机制的角度来看，这些方案属于分发式密钥管理方案。在本 节的后面部分将对表2 - 1 中所涉及到的集中式密钥管理方案的具体内容或原理分别作一个简 要的介绍。 2 1 1s k d c s k d c 方案【“”4 i i n m r ”4 1 是最简单，最容易想到的方案。在这个方案中，群组管理者和群 组通信系统中的每个成员分别协商出一个对称密钥。在个群组会话密钥的更新进程中，如 果群组管理者需要排除掉r 个成员，则它用它和另外n r 个成员具有的对称密钥分别加密当 前群密钥( 共n r 份) ，并将这个n r 份经过加密的群密钥逐一传给相应的用户。这个方案 的最大问题就是方案所需的通信量同系统当前成员的个数成线性正比关系。 2 1 2l k h 这里以图2 - 1 t 。g 1 m ”p 9 9 】为例来阐述l k h 方案【w “a 9 8 w g l 0 0 的主要内容 k k 0 0 0k 0 0 1l ( o i 。k o l lk 1 k l o lk 1 1 0k l l u 0u 1u 2u 3u 4u 5u 6u 7 图2 1 1l k h 方案的数据结构 k o o l 图2 1 2 在l k h 方案中将用户u o 逐出系统所需要的群密钥更新 在l k h 方案中，如果系统当前成员集中含有一个成员，则系统中的每个成员都需要维 护l o g ( n ) 个密钥，而系统管理员需要维护2 ( n 一1 ) 个密钥。如果要将某个成员逐出系统，则系 统管理员需要通过发送2 l o g ( n ) 个加密消息。因此，在图2 - 1 - l 中，由于系统当前成员集中含 有8 个成员，所以每个成员需要维护3 个密钥，系统管理员需要维护1 4 个密钥，为了将成 员u o 逐出系统，系统管理员需要发送5 个密文消息( 参见图2 - 1 - 2 ) ，即， 懒l一鲨。蓉 哆)忒o r o q k 畔 n c b n 笙三兰! 堕星塑登童型兰堑塑塞堕些墼堕塞 e n c k o o k o o l ，e n c k o k 0 0 ，e n c k o l k o l ，e n c k k o ，e n c k 】k 来帮助成员子集 u 更新节点密钥k 0 0 ，k o 和k ； 来帮助成员子集 u 2 ，u 3 ) e 新节点密钥k o 和k ； 来帮助成员子集 u 4 ，u 5 ，u 6 ，u 7 ) 更新节点密钥k ： 2 1 - 3o f c c a n e n i 等人为了降低l k h 方案在密钥更新进程需要支付的通信开销，为l k h 方案提出 了改进方案，即，o f c 方案 c g l “”】。 k 0 ，5 l ( k 0 0 i 图2 - 1 - 3 在o f c 方案中将用户u 0 逐出系统所需要的群密钥更新 o f c 方案引入了一个倍长伪随机数发生器 b m 8 4 】。如果将这个倍长伪随机数发生器记做 g ，并用l 和r ) 分别表示g 0 ) 输出的左半部分和右办部分，即， g ) = l ( 功r ) ，其中，l l o ) l = 1 r ( 曲i = m 。 与l k h 方案相比，o f c 方案将成员关系变化事件中需要的通信量减少了一半。 这里仍然以图2 一l 为例来阐述o f c 方案的主要内容 如果要将图2 1 1 中的用户u o 逐出系统，系统管理员只需要发送l o g ( n ) 个加密消息( 参 见图2 1 3 ) 。具体内容是： 系统管理员选择一随机数，并利用它构造三个密文消息( 图2 1 3 中，l o g ( n 、= 3 ) ，即， e n c r 岛o l ，e n c r ( r ) k o , 和e n c r ( r ( 一) 】而。 系统管理员将上述三个密文消息广播给整个系统。然后， 成员子集 u 4 ，u 5 ，u 6 ，u 7 ) 中的成员利用自己掌握的密钥k l 解密密文消息e n c r ( r ( r ) ) 1 而得 到r ( r ( 力) 。然后计算l ( r ( r ( r ) ) ) ，从而得到自己所在节点路径上需要更新的节点密钥t ： 成员子集 u 2 ，u 3 中的成员利用自己掌握的密钥岛i 解密密文消息e n c r ( r ) l k o l 得到r ( r ) 。 然后计算l ( r ( 力) 和l ( r ( r ) ) ，从而得到自己所在节点路径上需要更新的节点密钥妒。和k ； 成员子集 u l 中的成员利用自己掌握的密钥知o j 解密密文消息e n c r 危删得到，。然后计 算l ( r ) ，l ( r ( r ) ) 和l ( r ( r ( r ) ) ) ，从而得到自己所在节点路径上需要更新的节点密钥k 0 0 ，k o 和k ： l k h 方案和o f c 方案在网络性能不好的通信环境里，会遇到这样的问题，那就是一旦 成员在某个群密钥更新环节中丢失了自己应该得到的更新数据包，那么这个成员可能会长时 间地无法自动加入到以后的群组通信中去。以图2 1 2 中的成员u l 为例，一旦它丢失了 -z一遮 中囝科学院博j 学位论文白纰网络环境下的安全群纽通信技术研究 e n c k o o k o o l 加密信息，那么它将无法得到更新后的节点密钥k 0 0 ，k o 和k 。除非管理员重 新成员u i 所在节点路径上所有节点的密钥，即，k 0 0 ，k o 和k ，否则，成员u 将永远参与 到群组通信中去。 2 14 自恢复密钥管理方案( s e l f - h e a l i n g k e y m a n a g e m e n ta p p r o a c h ) 自恢复密钥管理方案1 8 m ”1 允许成员在群密钥更新进程中容忍一定量的密钥更新信息 丢失。自恢复密钥管理方案能帮助成员利用自己已经收到的密钥更新信息来将那些丢失的群 密钥恢复出来。自恢复密钥管理方案( 不考虑r e v o c a t i o n 需求) 的执行包括了下述三个阶段： 1 、组建阶段( s e t u p ) 系统管理员在有限域f 。嘲中构建出2 m 个t 阶对称多项式，分别记为h 1 ，h 。，p l ，p 。