（计算机软件与理论专业论文）椭圆曲线密码体制在组播网中的运用.pdf

山东大学硕士学位论文 摘要 随着因特网的发展和对流媒体及视频等增值业务的需求，口组播技术应运 而生。口组播是面向组接收者的有效数据通信方式，利用一种协议将数据包 从一个源传送到多个目的地，将信息的拷贝发送到一组地址，到达所有想要接收 它的接收者处。现有的基于组播网络的协议对安全没有提供一个完善的机制，这 限制了组播在各种网络业务中更广泛的应用。在组播安全问题中，组播密钥管理 是关注热点，组播密钥管理通过为组播成员生成、发送和更新组密钥来满足加密 认证等安全需求，协同的密钥生成需要较大的计算量，为避免密钥生成给节点带 来的负载过大而影响网络性能，需要一个高效而计算量较低的密钥生成改进方 案。 首先本文以组密钥生成协议为重点介绍了组播网络安全的研究现状。对比了 以d i f f i e h e l l m a n 算法为基础的几种组密钥协议在复杂度、安全性等方面的优缺 点，并以g d h 2 协议作为研究的重点。然后详细介绍了椭圆曲线密码体制，以 及该种密码体制和传统的密码体制在安全性和生成速度方面的优势，最后结合组 播网络本身的固有特点，给出了椭圆曲线密码体制在组播网络密钥生成中的应 用。 其次给出了椭圆曲线密码体制和改进后的组密钥协议g d h 2 的实现方案。 阐述了椭圆曲线密码体制整体的实现步骤及实现中存在的问题，并对改进后的组 密钥协议的性能作了分析，说明利用椭圆曲线密码体制改进组密钥协议后，在生 成速度和安全性上的优越性，从而进一步证明改进方案的可行性。 最后，在试验用组播网络环境对基于d h 算法和e c d h 算法的e g h 2 协议 分别做了对比测试，给出了密钥长度和生成时间的测试结果，验证改进协议对于 组播网络密钥生成性能要求的可行性。文章最后，给出现有方案中存在的问题并 就下一步的工作进行展望。 关键词：组播密钥生成椭圆曲线 山东大学硕士学位论文 a b s t r a c t m u l t i c a s tn e t w o r kg r o wu pq u i c k l yb yt h ei n c r e s c e n td e m a n do ff l o w m e d i aa n do t h e rv i d e oa p p l i c a t i o n m u l t i c a s ti sao n e t o m a n yt r a n s m i s s i o n t e c h n o l o g y i t sa ne f f i c i e n tw a yt od e l i v e ri pd a t ap a c k a g ef r o mo n e s o u r c et om o r ed e s t i n a t i o n ，s e n dt h ec o p yo fi n f o r m a t i o nt oag r o u po f a d d r e s s ，t oa l lt h er e c i p i e n t sa tt h es a m et i m e t h ep r o t o c o ld e f i n i t i o n o fm u l t i c a s td o n tg i v eas c h e m eo ns e c u r i t y ，i tr e s t r i c tt h ea p p l i c a t i o n o fm u l t i c a s t i nt h ef i e l do fm u l t i c a s ts e c u r i t y ，g r o u pk e ym a n a g e m e n t i sa n o t e w o r t h yi s s u e g r o u pk e ym a n a g e m e n t m e e tt h e e n c r y p t i o n a n d a u t h e n t i c a t i o nd e m a n df o rt h eg r o u pm e m b e rb yg e n e r a t i n gs e n d i n ga n d u p d a t i n gg r o u pk e y k e yg e n e r a t ei nt h es a n et i m eg i v em o r ep r e s s u r eo n n e t w o r k p e r f o r m a n c e ，w e n e e dae f f e c t i v es c h e m eo f g r o u pk e y e s t a b lis h m e n t w ep a ya t t e n t i o nt og r o u pk e ye s t a b l i s h m e n t ，i n t r o d u c et h er e s e a r c h a c t u a lit yo fm u ltic a s tn e t w o r ks e c u r ea r e a b yc o m p a r es e v e r a lg r o u pk e y e s t a b l i s h m e n tp r o t o c o l s t h ee l l i p t i cc u r v ec r y p t o s y s t e m s ( e c c ) b a s e do n d i s c r e t el o g a r i t h mp r o b l e ma r ep r o p e rt ob ea p p l i e di ne n v i r o n m e n t sl i k e m u l t i c a s tn e t o r kb e c a u s ee l l i p t i cc u r v ec r y p t o s y s t e m sc a np r o v i d e e q u i v a l e n ts e c u r i t ya st h ee x i s t i n g p u b l i ck e ys c h e m e s ，u s i n gm u c hs h o r t e r k e y s ，s ow eu s ee c d h ( e l i i p t i cc u r v ed i f f i e - h e l l e m a n ) t om o d i f yt h eg d h 2 f o ri t s i t sp r o p e ru s ei nm u l t i c a s tn e t w o r k t op r o v eo u rp r o p o s a l ，h o wt o i m p l e m e n tt h ee c c a n dg d h 2 a r e i n t r o d u c e di nd e t a i l t h e nt h ee m u l a t i o n a lr e s u l ti nt e s te n v i r o n m e n ti s g i v e n t h er e s u l tp r o v e st h a tt h ep r o p o s a lo fu s i n ge c d hi ne g h 2 i s c o r r e c t ，w ec a ns e et h ea d v a n t a g eo fu s i n ge c cc o m p a r e dt oo t h e r sp u b l i c c r y p t o g r a p h ya l g o r it h mi nm u l t i c a s tn e t w o r k f i n a l l y w eg i v et h es u m m a r i z a t i o no ft h i sp a p e r ，p o i n to u tt h e p r o b l e mt ob er e s o l v e d ，t h e n ，i n t r o d u c ew h a tt h ef u t u r ew o r ks h o u l db e d o n e k e yw o r d s ：i pm u l t i c a s t ，g o u r pk e ye s t a b l i s h m e n t ，e l l i p t i cc u r v e 山东大学硕士学位论文 d h e c c e c d h g d h 口 t c p 缩略词一览表 d i i 2 i eh e l l m a nd h 算法 e l l i p t i cc u r v ec r y p t o s y s t e m椭圆曲线密码体制 e l l i p t i cc u r v ed i f f i eh e l l m a n椭圆d h 算法 g r o u pd i f f i eh e l l m a n l n t c m e tp r o t o c o l d h 组密钥 网际协议 t r a n s f e rc o n t r o lp r o t o c o l传输控制协议 i i i 山东大学硕士学位论文 原创性声明和关于论文使用授权的说明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独 立进行研究所取得的成果。除文中已经注明引用的内容外，本论文不 包含任何其他个人或集体已经发表或撰写过的科研成果。对本文的研 究作出重要贡献的个人和集体，均已在文中以明确方式标明。本声明 的法律责任由本人承担。 论文作者签名：娼墓 日 关于学位论文使用授权的声明 本人完全了解山东大学有关保留、使用学位论文的规定，同意学 校傈瞽或商国家有关部门或机构送交论文的复印件和电子舨，允许论 文被查阅和借阕；本人授权出东大学可以将本学位论文的全部或郝分 内容编入有关数据库进行检索，可以采用影印、缩印绒其他复制手段 保存论文和汇编本学位论文。 ( 保密论文在瓣密后应遵守j 鬟：麓定) 论文作者签名：船导师签 础t 融嗲 山东大学硕士学位论文 1 引言 随着计算机网络的飞速发展，对流媒体和视频方面服务需求的日益增长促进 了疋组播技术的普及和发展。p 组播技术在域内已经有比较广泛的应用，并逐 步向广域过度。利用邛组播技术，可以提供一些增值业务，包括在线直播、网 络电视、远程教育、视频会议、远程医疗、网络电视等。 口组播是指在口网络中将数据包以尽力传送的形式发送到网络中的某个确 定节点子集，组播中，源主机只发送一份数据，数据的目的地址为组播组地 址，组播组中的所有接收者都可接收到同样的数据，并且只有组播组内的主机( 目 标主机) 可以接收数据，网络内其他主机不能收到，d 组播技术有效地解决了 单点发送。多点接收的问题，但在安全方面，组播网变得比单播更为复杂，其中 涉及到安全问题的主要方面就是在组播网中组员的密钥管理以及信息加密传输 的问题。 本文在对组播网特点进行了解的基础上，重点研究组播网中的密钥管理问 题，椭圆曲线密码体制在近年来成为安全研究领域的关注焦点，其安全性高，生 成速度快，密钥长度短的特点受到业界的青睐。将椭圆曲线密码体制应用在组播 网的密钥管理和加密传输中，既能够保证组播网传输的安全，确认组播用户身份 不被仿造，又依据其优异的性能能够降低密钥管理中对存储空间和网络带宽的需 求。 g d h 2 ( g r o u pd i f f i e - h e l l m a n ) 密钥管理协议设计简单，安全性基于原始的 d i f f i e h e l l m a n ( d h ) 公钥算法，并能够支持网络节点的动态加入和退出。但是 现有d h 公钥的密钥长达1 0 2 4 比特，这对网络的开销要求过大，我们将椭圆曲 线密码体制引入到组播网组密钥管理中，以提高g d h 2 协议在组播网中的适用 性。 山东大学硕士学位论文 2 组播网络及其安全问题 2 1 组播网络介绍 2 1 1 组播网络 组播是一种点到多点( 和多点到多点) 的通信方式，即多个接收者同时接收 一个源发送的相同信息。在p 组播中采用了组的概念，把用户分为不同的组，并 利用一些高级的网络协议来保证最有效地利用带宽，把数据通过用户组传给真 正需要数据的用户。 d 组播技术有效地解决了单点发送多点接收的问题，实现了毋网络中 点到多点的高效数据传送，能够大量节约网络带宽、降低网络负载。 2 1 2 组播网络的体系结构 组播技术涵盖的内容相当丰富，从地址分配、组成员管理，到组播报文转发、 路由建立、可靠性等诸多的方面。根据协议的作用范围，组播协议分为主机一路 由器之间的协议，即组播成员管理协议，以及路由器路由器之间协议，主要是 各种路由协议。组成员关系协议包括i g m p ( 互连网组管理协议) ；组播路由协 议又分为域内组播路由协议及域间组播路由协议两类。域内组播路由协议包括 p i m s m 、p i m - d m 、d v m r p 等协议，域问组播路由协议包括m b g p 、m s d p 等 协议。同时为了有效抑制组搔数据在二层网络中的扩散，引入了i g m ps n o o p i n g 等二层组播协议。 通过i g m p 和二层组播协议，在路由器和交换机中建立起直联网段内的组 成员关系信息，具体地说，就是哪个接口下有哪个组播组的成员。域内组播路由 协议根据i g m p 维护的这些组播组成员关系信息，运用一定的组播路由算法构 造组播分发树，在路由器中建立组播路由状态，路由器根据这些状态进行组播数 据包转发。域间组播路由协议根据网络中配置的域间组播路由策略，在各自治系 统( a s ，a u t o n o m o u ss y s t e m ) 闯发布具有组播能力的路由信息以及组搔源信息。 使组播数据能在域问进行转发。 2 1 3 组播地址机制 2 1 3 组播地址机制 2 山东大学硕士学位论文 2 1 3 1 组播i p 地址 p 组播地址用于标识一个口组播组。i a n a 把d 类地址空间分配给组播 使用，范围从2 2 4 0 0 0 到2 3 9 2 5 5 2 5 5 2 5 5 。如下图所示( 二进制表示) ，p 组 播地址前四位均为“1 1 1 0 ”。 3 2 位i p 地址 卜字节。一卜一罕节1 一卜_ 字节2 一卜- 字节3 一 固定为1 1 1 0 图1i p 组播地址格式 2 1 3 2 组播地址划分 整个p 组播地址的空间划分如下图所示。 2 3 9 2 5 5 2 5 5 2 5 5 2 3 9 0 0 0 2 3 8 2 5 5 2 5 5 2 5 5 2 2 4 0 1 0 2 2 4 0 0 2 5 5 2 2 4 0 0 0 图2组播地址划分 其中： 2 2 4 0 0 0 到2 2 4 0 0 2 5 5 地址范围被i a n a 预留，地址2 2 4 0 0 0 保留不 做分配，其它地址供路由协议及拓扑查找和维护协议使用。该范围内的地址属于 局部范畴，不论生存时间字段( t t l ) 值是多少，都不会被路由器转发： 2 2 4 0 1 0 到2 3 8 2 5 5 2 5 5 2 5 5 地址范围作为用户组播地址，在全网范围内有 3 山东大学硕士学位论文 效。其中2 3 3 8 为g l o p 地址。g l o p 是一种自治系统之间的组播地址分配机 制将a s 号直接填入组播地址的中间两个字节中，每个自治系统都可以得到 2 5 5 个组播地址： 2 3 9 0 0 0 到2 3 9 2 5 5 2 5 5 2 5 5 地址范围为本地管理组播地址 ( a d m i n i s t r a t i v e l ys c o p e da d d r e s s e s ) ，仅在特定的本地范围内有效。 当p 层收到组播数据报文时，根据组播目的地址查找组播转发表，对报文 进行转发。 2 1 3 3i p 组播地址到m a c 地址的映射 i a n a 将m a c 地址范围0 1 ：0 0 ：5 e ：0 0 ：0 0 ：0 0 0 1 ：0 0 ：5 e ：7 f ：f f ：f f 分配给组 播使用，这就要求将2 8 位的口组播地址空间映射到2 3 位的m a c 地址空间 中，具体的映射方法是将组播地址中的低2 3 位放入m a c 地址的低2 3 位， 如下图所示。 3 2 位i p 地址 4 8 位喇址 图3组播地址到乩a c 地址的映射 由于d 组播地址的后2 8 位中只有2 3 位被映射到m a c 地址，这样会有 3 2 个口组播地址映射到同一m a c 地址上。 2 1 4 组播成员管理 i g m p 协议运行于主机和与主机直接相连的组播路由器之间，i g m p 实现的 功能是双向的：一方面，通过i g m p 协议，主机通知本地路由器希望加入并接 收某个特定组播组的信息；另一方面，路由器通过i g m p 协议周期性地查询局 域网内某个已知组的成员是否处于活动状态( 即该网段是否仍有属于某个组播组 4 山东大学硕士学位论文 的成员) ，实现所连网络组成员关系的收集与维护。通过i g m p ，在路由器中记 录的信息是某个组播组是否在本地有组成员，而不是组播组与主机之间的对应关 系。 2 1 5 组播网络的主要特点 组播网络具有一些突出的特点，如下所描述： 无连接机制 p 组播技术是一对多的通信方式，采用了u d p 的无连接机制，在信息 传输上不象t c p i p 协议那样可靠，在服务质量保证上有一定影响。 松散的组成员管理方式 组播网络对成员的管理非常松散，无法提供一种对成员的有效管理及认证 机制，组员可能会随时加入和退出，对组员管理比较困难。 动态组结构 组播网络是一个随着组播源和组成员的变化而动态变化的网络，组播流量 无法控制和预计。 路由协议的协同工作 由于不同厂家产品实施协议的具体方式不同，各种路由协议之间如果没 有统一标准，协同工作比较困难。这导致实际情况是在域内发送视频和音频 流比较稳定。从另外一个方面说，组播仍是比较适合于在域内或企业内应用。 2 1 6 组播网络的主要应用 可以利用网络的组播特性方便地提供一些新的增值业务，包括在线直播、网 络电视、远程教育、远程医疗、网络电台、实时视频会议等互联网的信息服务领 域。 在国外，组播得到了比较广泛的应用。微软公司每个月都要用组播技术传播 多媒体数据流；c i s c o 公司已经用口“t v 来进行实时视频流组播，用于公司内 部的会议和培训。 由于组播是一项非常实用的技术，为了推动它的发展，由全球主要的网络设 备厂商、电信运营公司和i s ps 成立了一个论坛型的组织“口组播倡议组织( p m i ) ”。口mi 的目的是与i e t f 中的组播工作组一起制定p 组播标准，并加速这 些标准的采用。 5 山东大学硕士学位论文 2 2 组播网络主要安全问题 2 2 1 密码学相关知识 2 2 1 1 消息和加密 加密( c n c r y p f i o n ) 指用某种方法伪装消息以隐藏它的内容的过程。消息被 称为明文( p l a i n t e x t ) 加密后的消息称为密文( c i p h e r t e x t ) 。把密文转变为明文 的过程称为解密( d e c r y p t i o n ) 。下图2 2 表明了该过程。 图2 2 简单加密解密过程 明文用m 表示，可能是位序列、文本文件、位图、数字化的语音序列或数 字化的视频图象等等。对于计算机，m 指简单的二进制数据。明文可以被传送或 存储，本文中m 指待加密消息。 密文用c 表示，加密函数e 作用于m 得到密文c ，可用数学公式表示为： e ( m ) = c 反之，用解密函数d 作用于c 产生m ： d ( c ) = m 先加密再解密，原始的明文将恢复，故下面的等式必须成立： d ( m ) ) = m 6 山东大学硕士学位论文 2 2 1 2 算法和密钥 密码算法是用于加密和解密的数学函数。通常情况下有两个相关的函数：一 个用作加密，另一个用作解密。如果算法的保密性是基于保持算法的秘密，这种 算法称为受限制的算法。该种算法的保密性远远不够，大的或经常变换用户的组 织不能使用它们，因为如果一个用户离开这个组织，其他的用户就必须改换另外 不同的算法：如果无意暴露了使用的算法，所有人都必须改变他们的算法。 图2 3 使用密钥的加解密过程 现代密码学用密钥( k e y ) 解决了这个问题，密钥用丘表示。k 可以是很多 值中的任意值，加密和解密都是用这个密钥。这样加解函数现在变成： 瓯( m ) = c d k ( c ) = m 这些函数具有下面的特性( 如图2 _ 3 ) ： d ( e ( m ) ) = m 现代密码学都基于密钥的安全性，而不是算法的细节的安全性，这也就 意味着算法可以公开被分析。基于密钥的算法通常有两类：对称算法和公开密钥 算法。 2 2 1 3 对称算法 对称算法，也叫做传统密码算法，就是加密密钥能够从解密密钥中推算出来， 反过来也成立。但在大多数的对称算法中，加、解密密钥是相同的。故这些算法 也叫单密钥算法。它要求通信双方在安全会话之前，商定一个密钥。对称算法的 安全性依赖于密钥，密钥泄漏意味着任何人都可以对消息进行加、解密。对称算 法可以表示为： e k ( m ) = c 7 山东大学硕士学位论文 d r ( c ) = m 2 2 1 4 公钥密钥算法 该类算法在设计上是这样实现的：用作加密的密钥不同于用作解密的密钥， 而且理论上合理的有限时问内解密密钥不能根据加密密钥推算得到。由于其加密 密钥可以公开，因而称为公开密钥算法。在该种系统中，加密密钥叫做公开密钥 ( p u b l i ck e y ，简称公钥) ；解密密钥叫做私人密钥( p r i v a t ek e y ，简称私钥) 。 用公开密钥p u b l i c k 加密可以表示为 e m ( m ) = c 相应的用私人密钥解密可以表示为 d p r i 。m ( c ) = m 2 2 1 4 1d i f f i e - h e i l m a n 及其改进 d i f f i e h e l l m a n ( d h ) 1 算法是第一个公开密钥算法。d i f f i e h e l l m a n 算法 仅仅能够用来作密钥分配，但是它不能用于加密或是解密信息。 d h 算法如下图2 4 所示。a l i c e 和b o b 双方需两个公共参数p 和素数p ，首 先随机产生保密数工和x m ，随后a l i c e 送y a = g “r o o d p 给b o b ，b o b 送y 。= g “m o d p 给a l i c e ，最后双方得到的公共密钥为： k = ( y 胁) 1 如6 = ( y 口曲) d 如m o d p = g x b o “u 皑( m o d p ) 德一贫 挑兰丝三墨：竺! ! !抛 七= c y 自a ) 啦“r o o d p七e ) ；a ”m o d p 8 山东大学硕士学位论文 图2 4 两方d h 算法示意图 2 2 1 4 2r s a r s a 是以它的三个发明者的名字r o nr i v e s t ，a d is h a m i r 和l e o n a r d a d l e m a n 命名的，在己提出的公开密钥算法中，r s a 是最容易理解和实现的，也 是最为流行的。 r s a 的安全性基于大数分解的难度。其公开密钥和私人密钥是一对大素数 ( 1 0 0 到2 0 0 位十迸制数和更大) 的函数。从一个公开密钥和密文中恢复出明文 的难度等价于分解两个大素数之积。 为了计算两个密钥，选取两个大素数p 和q 。为了获得最大程度的安全性， 两数的长度一样，计算乘积n = p q ，然后随机选取加密密钥e ，使e 和 ( p 一1 ) ( g 1 ) 互素。最后计算解密密钥d 使其满足 e d l m o d ( p 一1 ) ( g 一1 ) 上式等同于 e d 1 k ( p1 ) ( g - i )其中膏为正整数 故d = e m o d ( p 一1 ) ( g 一1 )。此时d 和h 互素，e 和n 是公开密钥，d 是私人密钥。用其加密明文m 表示为： c = m 。m o d n 解密密文可以表示为： m = c 。r o o d n = m “m o d n 2 2 2 网络安全背景知识 网络安全涉及如下三个方面：安全服务、潜在的攻击行为和安全机制。安 全服务主要是提供安全的网络环境；攻击行为主要是试图破坏网络安全服务的各 种行为；而安全机制是整个网络能够安全服务的基石。 2 2 - 2 1 安全服务 网络提供的安全服务，主要包含以下几个方面： 保密性( c o n f i d e n t i a l i t y ) 指确保传输信息只能被授权的接收方得到。 9 山东大学硕士学位论文 身份认证( a u t h e n t i c a t i o n ) 允许通信的双( 多) 方确认相互的合法身份。 完整性( i n t e g r i t y ) 保证数据在通信过程中不被修改。 不可抵赖性( n o nr e p u d i a t i o n ) 指一( 多) 方能够证明另外一方已经发送或接收过某个数据信息。即一方在 接收或发送过某个信息之后，不能对外否认其接收或发送的动作。 可用性( a v a i l a b i l i t y ) 保证网络服务能够被合法节点使用。 2 2 2 2 攻击行为 可以分为主动攻击和被动攻击两大类，被动攻击主要是攻击者能够监测或偷 听网络流量，这在采用无线广播的网络中是最容易实现的攻击行为：主动攻击指 不仅仅能够监听传输还可对传输内容进行更改或是阻塞。主要有以下几种具体攻 击行为。 网络偷听 网络偷听是被动攻击的一种形式，指攻击方获取传输数据的可用信息。避免 该种攻击行为的方法就是对传输数据进行有效加密。 传输分析 该种攻击行为要比偷听行为复杂，攻击的主要目的不是获取通信数据的直接 信息，而是对于传输数据的流量、通信的节点身份、数据特征等进行统计分析， 期望得到有用信息。对于该种攻击行为由于比较隐蔽，因而较难防范。 伪装其它节点 攻击者使用其它的节点的合法身份来获取有用信息，这也是攻击者进行网络 偷听的前提。在对传输数据进行加密之后，攻击者伪装为其它的合法用户获取加 密所用密钥，该密钥一旦被攻击者获知，则会很容易实现网络偷听。 更改传输数据 该种攻击行为指攻击者恶意修改网络中的传输数据，导致通信双方不能实现 有效数据信息互通。 数据插入 指攻击者在通信链路中间插入恶意信息并对外声称来自于合法节点。该种攻 击行为也和上述的伪装攻击相关联。 数据重传 指攻击者恶意重发先前合法节点的数据。目的是造成网络拥塞、消耗网络可 1 0 山东大学硕士学位论文 用资源。 拒绝服务 该种攻击行为的主要目的是阻止或限制正常的资源或数据使用，导致某个节 点或是网络中某种服务不可得。 2 - 2 - 2 3 安全实现机制 网络安全服务可以通过不同的机制来实现，具体有以下几种： 保密性 数据的保密性大体可以分为两种类型。广义上的数据保密性指传输的数据不 为其它未授权节点获取；更为严格的定义指网络上存在的数据不泄露给未授权的 任何节点。广义的保密性可以通过现有的加密机制来实现，实现严格的保密性除 了通常的加密方案夕卜，还需要辅助其它机制，借以避免数据的传输流量分析等攻 击行为。 完整性 可以通过传输信息的冗余数据( 散列函数) 来实现保证数据的完整性。 身份认证 网络的认证服务可以通过加密和散列函数来实现。 不可抵赖性 数据的不可抵赖性一般是通过数字签名机制来实现。 可用性 可用性要通过物理的安全保护、以及其它非加密机制如健壮的协议来实现。 2 2 3 组播网络安全的主要问题 i p 组播由于使用无连接的协议u d p ，它不使用a c k 或n a c k 来确保可 靠传送，组播也不能被防火墙检测到，因此，普通的防火墙类型( 应用程序网关) 不能对组播进行安全认证。当前的口组播服务和体系结构并不执行任何认证。 通过ps e t 提供服务，源认证和数据完整性是可能的。但是口s c c 并不阻止源发 送。它只是允许接收者在收到以后，丢弃未认证的分组。i ps c c 并未广泛部署，口 组播的认证问题当前正由i e t f 研究。安全问题的一种解决方案是在认证在网络 层提供，且是端到端的，而加密则在应用层使用，以确保数据隐私。 组播网络应用层的安全问题是一个比较薄弱的环节。 2 3 密钥管理和组密钥协议 2 3 1 组播网络密钥管理的研究现状 山东大学硕士学位论文 传统有线网络中利用c a 的解决方案，对于组播网络不再适用，这种方案容 易成为网络通信的瓶颈。现有对于组播网络中密钥管理的研究，国外大体上可以 分为两类：一类是借鉴传统有线网络中c a 的设计思想，如部分分布认证、完全 分布认证的方法和自发布认证方法等。部分分布认证和完全分布认证方法都是基 于( k ，r 1 ) 阀值方案，即将个r s a 证书签名密钥分发给网络中部分或所有节 点；自发布的认证方案类似于p g p 的公共密钥管理方法，由用户自己发布和存 储证书。这类密钥管理方法更多的强调其方案在理论上的安全性，并且需要其它 组织管理设施的支持，并且方案本身也存在很多的问题，如证书的取消、同步机 制。 第二类是组密钥管理协议，该类协议在保证一定安全性的前提下有很好的灵 活性，密钥生成和分发需要所有成员节点的参与，无需其它组织管理设施的支持， 能够支持组播网络的动态成员增减，能更好的适应组播网络的特点。其中典型的 组密钥管理协议主要包括：环形协议、b u r m e s t e r - d e s m e d t 协议、h y p e r c u b ea n d o c t o p u s 协议和c l i q u e s 协议。下面详细介绍上述组密钥管理协议。 2 3 2 几种典型的组密钥协议 以两方d h 算法为基础的组密钥生成协议都能够提供前后向的安全性，以协 议是否需要同步措施为标准分为以下两类： 2 。3 。2 。1 需同步措施的组密钥协议 环形协议 在需要同步措施的前提下，以两方d h 算法为基础【2 提出了扩展到多方的组 通信的环形组密钥协议。协议要求节点在逻辑上按环形排列，每个节点都随机生 成一个s ；，协议在环形内按一定方向执行。节点每参与一次，都收到前一节点 的s ，和自己的s 合并后，给下一个节点。这样，在n 个节点的组内，经过n 1 次执行后所有的节点都有同一个组密钥：k e y = g s , 品趴“。 协议能够提供密钥前后向的安全性能，可以提供相邻节点间的认证功能。但 容错性差，如果两个相邻节点通信失败，就无法生成最终的组密钥。其最主要的 缺点是节点的指数运算量和信息交换量都过大( 见表2 1 ) 。为减少建立组密钥的 信息交换量，b u r m e s t e r 和d e s m e d t 提出了进一步减少信息交换次数的协议 3 】。 b u r m e s t e r - d e s m e d t 协议 b u r m e s t e r - d e s m e d t 协议在执行三次之后就可得到最后的组密钥。协议如下： ( 1 )每个节点随机选取s i ，将z = g 。广播给网络内的其它节点。 1 2 山东大学硕士学位论文 ( 2 )每个节点计算置，x i = “z 。) ( z 。) ) “，广播给其它节点。 ( 3 )最后计算组密钥，k e y = g s l s 2 + s 2 8 3 。舳。 该协议也能提供前后向的安全性能，但容错性差且无认证功能。协议工作在 假设n 个节点都能同时使用广播的前提下，而这在无线环境中是不可能的。如没 有该假设，该协议就没有解决信息交换量过大的问题。比较成熟的协议是 h y p e r c u b ea n do c t o p u s 协议【4 。 h y p e r c u b ea n do c t o p u s 协议 为减少建立组密钥的信息交换量，将各个节点在逻辑上安排在一个超立方体 的各个顶点上。在满足节点的个数n = 2 4 的条件下，各个节点的位置可以由d 比 特地址唯一的标识。以平面上的4 个节点的组密钥建立为例，经过两轮交换就可 实现组密钥，见图2 5 。 扩展到n = 2 。个节点的网络中，只需要d 轮交换后，所有节点都能得到共同 的组密钥。所以其有效性较前几种方法都要高。在第1 轮中，共有2 “对节点独 立交换密钥；第二轮有2 “2 对独立的小组交换密钥，每个组内有2 个节点；在第 k 轮时，就有2 “对独立的组交换密钥，每个小组包含个2 。1 节点。协议有效性 还在于每对组都可以同时并行交换密钥，互不干扰。 b 0 ， d 川 a ：第一轮a b 互换cd 互换 1 3 山东大学硕士学位论文 b ：第二轮a c 互换bd 互换f 图2 54 节点组密钥生成示意图 该协议也是基于两方认证的d h 算法，所以其安全性和两方d h 相同，并且 可以实现交换密钥时的认证功能。另外该协议容错性明显提高。如前所述，在第 k 轮交换时，有2 “对小组，每个小组有2 “1 个成员，如果某个成员和另外的小 组内节点交换密钥失败，它在该小组内还可以有( 2 “1 1 ) 个对应成员可供选择以 交换密钥。如果能与其中任何一个成员交换密钥，就可以最终生成最后的组密钥。 本协议的缺点是节点的个数必须满足n = 2 4 ，为此产生了改进方案，称为 “o c t o p u s ”协议【4 】。 如果节点的个数为1 1 ，2 4 3 上的椭圆曲 线，这种情况类似于上面两种曲线的组合。 在实现e c c 时，当选取的p 的比特数与所用处理器的位数接近时，利用 g f ( p ”1 上的椭圆曲线是比较合适的。但是如果选取不当，可能会受到w e i l d e c s e n t 攻击 2 0 ，将g f ( p 4 ) 上的椭圆曲线对离散对数问题归结到g f ( p ) 上亏 格较高的超椭圆曲线的离散对数问题，但是高亏格的超椭圆曲线的离散对数是由 亚指数时间攻击的。所以我们不考虑这类有限域。 g f ( 2 ”) 的元素表示和存储简单，但它上面的椭圆曲线算术实现起来步骤繁 琐