（计算机系统结构专业论文）可扩展分布式安全多播密钥管理协议研究.pdf

华中科技大学硕士学位论文 摘要 现存的一些分布式密钥管理协议虽能满足大型动态多播组的分布式应用，但系统 消耗很大，组成员之间需要消耗大量的带宽来进行相互认证，密钥协商时也必须要采 用广播消息。 本文提出可扩展分布式安全多播密钥管理系统( 简称s d k m ) ，其多播组新用户 的注册和认证通过系统中的服务器来实现。认证的机制基于p k i 公开密钥体系，通过 电子证书和数字签名的方法实现服务器和用户之间的身份认证和会话密钥传输。会话 密钥用于保证服务器和组成员的通信安全。 s d k m 中密钥的管理采用了逻辑密钥层次树的结构，密钥树的拓扑图保存在服务 器中，有利于保持多播组信息的一致性。每个组成员只需保存从代表其的叶节点到树 的根节点的路径上的所有节点信息，并且根据这些信息通过d i f f i e h e l l m a n 密钥交换 算法就可以计算出保障组通信安全的组密钥。服务器无法得知组密钥。 s d k m 支持三种操作：密钥更新操作、成员加入操作和成员离开操作。成员加入 操作由新用户触发，其它操作由多播组中的某个成员触发。所有操作通过单播和多播 方式完成。更新的过程中所有组成员会收到路径更新信息，组成员根据该信息修改原 先储存的路径信息并计算出新的组密钥。 s d k m 协议的算法保证了系统中的组密钥安全、向前访问安全和向后访问安全。 组密钥计算时间的复杂性、每个成员的存储空间以及更新密钥时通信总带宽和组中的 成员数成对数关系，协议对计算量和存储空间的需求不高。 关键词：多播，密钥管理，密钥更新，逻辑密钥层次树，d i f f i e - h e l l m a n 密钥交换 华中科技大学硕士学位论文 a b s t r a c t a l t h o u g hs o m ec u r r e n td i s t r i b u t e dk e ym a n a g e m e n tp r o t o c o l s a r es u i t a b l ef o rt h e d i s t r i b u t e da p p l i c a t i o n so f l a r g ed y n a m i c m u l t i c a s tg r o u p s ，t h es y s t e mc o s ti sg r e a t f o rt h e g r o u pm e m b e r s ，g r e a t n e t w o r kb a n d w i d t hi sn e e d e dt oa u t h e n t i c a t eo t h e r sa n db r o a d c a s ti s n e c e s s a r yf o rk e ya g r e e m e n t s i nt h i sp a p e r , s c a l a b l ed i s t r i b u t e dk e ym a n a g e m e n ts y s t e m ( s d k m ) i sp r o p o s e di n w h i c hn e wm e m b e ri s a u t h e n t i c a t e d 、i t has e r v e r b a s e do nt h ep k ip u b l i ck e y i n f r a s t r u c t u r e ，i d e n t i t yi sa u t h e n t i c a t e da n ds e s s i o nk e yu s e df o re n s u r i n gs e c u r i t yo f t h e c o m m u n i c a t i o nb e t w e e nt h es e r v e ra n dt h em e m b e r i st r a n s m i t t e dw i t ht h et e c h n o l o g i e so f e l e c t r o n i cc e a i f i c a t e sa n d d i g i t a ls i g n a t u r e l o g i c a lk e yh i e r a r c h yt r e e ( l k h ) i sa d o p t e dt om a n a g et h ek e y s i ns d k m t o m a i n t a i nt h ec o n s i s t e n c yo ft h em u l t i c a s tg r o u pi n f o r m a t i o n , at o p o l o g i c a lm a po fl k h i s k e p ti nt h es e r v e r e v e r yg r o u pm e m b e rj u s tk e e p s t h ei n f o r m a t i o no ft h o s en o d e so nt h e p a t hf r o m t h el e a f n o d er e p r e s e n t i n gi t s e l f t ot h er o o tn o d eo f t h ek e yt r e e ，w h i c hi su s e df o r t h em e m b e rt oc o m p u t et h eg r o u pk e y g u a r a n t e e i n g t h eg r o u pc o m m u n i c a t i o n s e c u r i t y 、i t h d i f f i e h e l l m a nk e ye x c h a n g ea l g o r i t h m n ms e r v e ri ns d k mh a sn oc h a n c et og e tt h e g r o u pk e y t h e p r o t o c o ls u p p o r t s t h r e ek i n d so f g r o u po p e r a t i o n s ：g r o u pk e yu p d a t i n go p e r a t i o n s ， t h ej o i n i n g o p e r a t i o n s a n dt h el e a v i n go p e r a t i o n s an e wm e m b e ri n i t i a t e st h ej o i n i n g o p e r a t i o n t ob ea d d e dt ot h eg r o u p o t h e ro p e r a t i o n sa r ei n i t i a t e sb yac e r t a i nm e m b e ri nt h e g r o u p a l lo p e r a t i o n s c a nb e p e r f o r m e do n l y v i au n i e a s ta n d m u l t i c a s t d u r i n g t h e r e k e y i n ge a c hg r o u pm e m b e r m o d i f i e st h ep a t hi n f o r m a t i o nw i t ht h er e c e i v e dp a t hu p d a t e i n f o r m a t i o nt oc o m p u t et h en e w g r o u pk e y a n a l y z e dw i m m a t hm e t h o d t h ep r o t o c o la l g o r i t h m sa r ep r o v e dt ob ea b l et op r o v i d e g r o u pk e ys e c r e c y ，f o r w a r dg r o u pk e ys e c r e c y ，a n db a c k w a r dg r o u pk e ys e c r e c y t h e c o m p l e x i t i e so f t h eg r o u pk e y c o m p u t a t i o nt i m e ，t h es t o r a g es p a c ef o re v e r ym e m b e r ，a n d t h et o t a lc o m m u n i c a t i o nb a n d w i d t ht o u p d a t e t h e g r o u pk e ya r ea p p r o x i m a t e l yo f l o g a r i t h m i co r d e ro f t h eg r o u ps i z e ，w h i c hm a k et h ep r o t o c o la t t r a c t i v ef o re n v i r o n m e n t s w i t hl e s sc o m p u t a t i o n p o w e ra n ds m a l l e rs t o r a g e k e y w o r d s ：m u l t i c a s t ，k e ym a n a g e m e n t ，k e yu p d a t e ，l o g i c a lk e y h i e r a r c h yt r e e ， d i f f i e - h e l l m a n k e ye x c h a n g e i i 独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的 研究成果。尽我所知，除文中已经标明引用的内容外，本论文不包含任何其他个 人或集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体， 均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名：黄毳 日期：硼仁年f 月功日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有 权保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和 借阅。本人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 保密口，在年解密后适用本授权书。 本论文属于， 不保密回a ( 请在以上方框内打“4 ”) 学位论文作者签名：黄势 日期：沙。乒年乒月 b o 日 指删币签荔终 日期：悔中月计日 华中科技大学硕士学位论文 1 1i p 多播技术 1 绪论 随着i p 网络的迅速发展，网上的流量也以前所未有的速度增长，i p 网上多媒体 新应用不断出现，如视频会议、电视会议、远程学习、计算机系统工作等等，这些应 用都依赖于从一个主机向多个主机或者从多个主机向多个主机发送同一信息的能力， 对网络带宽提出了越来越高的要求。因此近年来，i p 多播技术以其独特的优越性备受 网络运营商和研究开发人员的关注，发展迅速。 多播是一种允许一个或多个发送者( 多播源) 发送单一数据包到多个接收者( 一次 的或同时的) 的网络技术【1 】。与单播相比，多播的最大优点就是无论有多少个目标地址， 每个包发送者只发送一次，支持多播的路由器会自动将包转发到每个多播接收者。所以 存整个网络的任何一条链路上都只有单一的数据包拷贝。它提高了数据传输效率，减少 了主干网出现拥塞的可能性，如图1 1 所示。根据口多播应用中发送者与接收者的关 系，多播应用大致可以分为三类：一对多、多对多、多对一【2 】。 ( a ) 没有多播的情况 客户埔 ( b ) 有多播的情况 图1 1 多播示意图 客户靖 l 华中科技大学硕士学位论文 在 p v 4 中，d 类地址( 从2 2 4 0 o 0 到2 3 9 2 5 5 2 5 5 2 5 5 ) 用于i p 多播。多播组地 址与单播地址不一样，它不是代表一个特定主机，一个多播组地址代表该多播组中所 有接收多播分组的主机或者路由器。对于一个多播组的源仅仅需要用多播组地址发出 分组而不必关心多播接收者如何分布，多播数据在每一个网段也只存在一个分组。多 播数据在网络中是沿着多播生成树分发数据的。 i p 多播技术包括两个方面的问题：一是组成员关系管理和维护；二是如何构建多 播生成树。组成员关系由因特网组管理协议i c m p 3 1 控制；多播路由协议是用来生成 和维护多播生成树的，包括域内多播路由协议和域间多播路由协议。目前已经提出很 多的协议，而且有不少已经应用于i n l e m e t 网络。例如，距离向量多播路由协议 d v m r p l 4 】，多播最短路径优先协议m o s p f i s ，与协议无关多播路由协议p l m l 6 j ，基 于c b t 的路由协议1 ，边界网关多播路由协议b c m p 9 1 等等。 i p 多播服务是一种开放的服务模型：任何人可以属于一个多播组，不需要授权认 证；非多播组成员可以向多播组中发送多播分组；多播组是动态的，任何主机可以随 时加入或者退出；而且主机可以加入多个多播组；源或者接收者都不能得知该多播组 的成员数量。 1 2 多播安全与密铜管理 虽然多播能够满足目前因特网上的许多应用，但它所面临的一个最大问题就是安 全问题。多播组是一个开放的组，发送者不必知道接收者真正的身份；同样，接收者 也没有任何办法鉴别发送者的身份以及验证接收到的数据是否完整。而如今一些多播 应用已经对多播通讯的安全性提出了要求，如收费电视，对用户群进行软件升级等。 这些多播应用要求对组成员进行控制，对多播数据进行源身份验证、完整性验证以及 机密性保护。 一般来讲，多播应用对安全性有以下几个要求i l 叫： ( 1 ) 组管理和访问控制：确保只有那些已注册的和合法的用户才能参与多播组 的通信( 必要时也可能只允许组内成员发送多播数据，即对于非组内成员发送的多播 数据组内成员不予处理) 。 ( 2 ) 机密性：对多播数据进行加密处理，防止多播数据被组以外的成员获得。 机密性包括短期机密性、长期机密性和向前机密性。 ( 3 ) 数据源验证和数据完整性验证：接收方能确保接收到的数据来自要求的发 2 华中科技大学硕士学位论文 送方并且在传送过程中没有被篡改。 ( 4 ) 匿名性：即其它的人不知道哪些人是组中的一员。 ( 5 ) 不可否认性：接收方可以向第三方证明接收到的数据确实来自发送方，而 发送方不能否认此事实。在某种意义上不可否认性和匿名性是相互冲突的。 ( 6 ) 服务可用性：在受到恶意的攻击下，保证服务仍是可用的。一般对整个系 统进行入侵检n t l l 】，并在此基础上通过远程调用或复制的方法提高系统的抗入侵能 力。 在所有的安全多播应用的安全需求中，访问控制是最基本的安全性保证。为了防 止非组成员获得多播组的信息，往往采用数据加密的方式。传统的数据安全一般是基 于公钥体系( p k i ) 1 2 1 ，并成功地应用于单播环境中。如果应用于多播中，那么最直 接的解决方案就是：用用户的公钥将数据加密后再传送给该用户。假设现在组成员数 为v i i ，那么每个多播消息需要n 次加密和”次传送。可见，单播环境中的数据加密方 式并不适用于多播环境。 在多播通信中，一般在所有的多播组成员之间维护着一个不为非组成员所知的公 共密钥组密钥，群组内所有通信均使用该组密钥加密。当多播组成员数很大时， 需要一种机制来保证组成员都能安全得到相同的组密钥而不被非法用户窃取。这样， 密钥管理问题，即如何产生、分配组密钥给合法组成员，成了保障安全多播通信的一 个关键方面。 多播的密钥分配不同于传统的单播密钥分配，尤其在大型、动态变化的组中有效 地管理密钥更是一个困难的问题。每次当一个成员从一个组中退出时，组密钥必须改 变，当有新的成员加入时同样是这样。组成员必须能够有效地计算新的密钥，而退出 成员的任意联合不能够得到它。在满足这些安全要求的同时，存储代价及通信代价必 须要考虑在内，因此这一问题的解决变得很复杂。 1 2 国内外概况 1 2 1 密钥管理r 丹究 多播安全问题中组密钥的安全管理是一个重要的研究课题，已成为目前研究的焦 点，密钥管理协议主要目的是为合法组成员分配和维护密钥。针对组通信的密钥管 理问题，国内外学术界提出一些解决方案。如：g k m p ( g - r o u p k e y m a n a g e m e n t p r o t o c 0 1 ) 协议”、基于核心基本树路由算法c b t ( c o r e b a s e1 i r c e s ) 的可扩展多播密钥分配方案 华中科技大学硕士学位论文 s m k d ( s c a l a b l e m u l t i c a s t k e yd i s t r i b u t i o n ) 1 1 4 j 、m k m p ( m u l t i c a s tk e ym a n a g e m e n t d r o t o c 0 1 ) 密钥管理协议【1 5 】、i o l u s 1 6 1 系统和w g l 方案等。 组密钥管理协议g k m p ( g r o u pk e ym a n a g e m e n tp r o t o c 0 1 ) q b 采用一个专用的组控 制器( g c ) 管理和分配组密钥，但系统扩展性很差，当密钥需要更新时，在一个组 成员数为n 的多播组中，密钥更新代价为d ( n ) 。 为了降低密钥更新代价，i o l u s 系统和w g l 方案分别采用了不同的方法。 i o l u s 系统中多播组被划分成若干个子组，每个子组都有一个子组控制器负责子 组组密钥的生成和分配。密钥的更新的只会对该子组内成员造成影响。密钥更新的代 价与子组的大小成线性关系，与多播组的成员数无关。 w g l 方案中提出了逻辑层次密钥树( l k h ) 的结构，l k h 树的每个节点都对应 有一个密钥。密钥消息包的形成是逐层加密，即用下层节点所对应的密钥去加密上层 节点所对应的密钥素材，但不重复加密。当密钥更新时，密钥管理者将这些改变的密 钥安全传送给其他组成员，更新密钥代价为ol o g n ) ，n 代表组中成员数。 w g l 方案和i o l u s 系统中密钥的生成和分配都是通过一个或多个组控制器完成 的，属于集中管理方式，因此都存在单点失效的问题。在i o l u s 系统中，各子组拥 有不同的子组密钥，予组间的通信要通过子组控制器的加密和解密，计算开销很大。 近年来，针对分布式应用的涌现和发展，出现了一些分布式密钥管理方案。这些 方案废除了组控制器，密钥的生成由各组成员协同完成，特别适合多发送者多接收者 的应用。避免了集中管理方案中的单点失效和通信瓶颈问题。这些分布式方案大都采 用逻辑层次密钥树结构，组密钥的生成基于d i f f i e h e l l m a n 密钥交换算法 18 】或其它一 些算法【i ，但实现起来比较困难，整个系统的消耗很大。 1 2 2 密钥管理中关键技术 为了支持大型动态组的安全多播，密钥管理方案应该具有可扩展性。近年来关注于 可扩展组密钥更新的技术分为两类： 第一类方法m2 0 j 是通过创建逻辑层次密钥树( l k h ) 。在l k h 中，多播组中各 成员位于密钥树的叶节点上，树中的中间节点是逻辑意义上的。当组中成员发生变动， 如某成员离开多播组时，密钥更新代价与l k h 树的高度成正比，当组成员数为门时， 密钥更新代价为o ( 1 0 9 n ) 。现有的许多密钥管理协议都基于密钥树的概念。 第二类用以提高扩展性的方法是采用分而治之的政策。这种方案【1 6 1 ( t o l u s ) 中 系统是层次性分布的，多播组被划分为多个子组，各子组都拥有各自的子组密钥，子 华中科技大学硕士学位论文 组中成员的变动与子组大小成正比，而与整个组的大小无关。这种方案的缺陷就是子 组管理者要负责本组成员和其它组之间数据的再次加密和再次传送。 1 3 课题主要研究工作 目前存在的密钥管理系统中存在很多问题，集中式密钥管理方案便于管理也易于 实现，但采用这种方式时要求系统中的服务器要具有极强的计算能力，大的通信带宽 以及可观的存储空间，而且存在单点失效和通信瓶颈的弊端。分布式方案实现起来消 耗的资源相当大，因为组成员需相互认证协商构建安全组密钥，成员间交换信息时往 往采用广播方式会消耗系统大量带宽。 本论文拟提出一种适合大型动态多播组的密钥管理系统，系统需要具有良好的扩 展性和安全性，同时要尽量降低密钥更新代价、密钥管理系统的存储需求和计算复杂 性。本文的工作主要有以下几方面： ( 1 ) 详细分析多播中的密钥管理需求，了解需要解决的问题； ( 2 ) 提出协议描述和主要算法实现； ( 3 ) 对协议进行安全性和实现复杂性分析。 j 华中科技大学硕士学位论文 2 密钥管理问题分析 只有对问题进行深入的了解，才能达到从根本上解决问题的目的，因此本章对多 播密钥管理问题进行了详细的分析。 2 1 密钥管理需求分析 密钥管理问题就是如何产生、分配组密钥给合法组成员。组密钥是所有组成员都 知道的密钥，被用来对多播报文进行加密解密、认证等操作，以满足保密、组成员认 证、完整性等需求。 从理论上说，多播中的数据传输可以认为是由一系列的点对点传输组成，多播安 全中可以应用保护单播通信的安全技术，如i p s e c 协议等 2 1 1 。但这种简单的扩展在实 际应用中不能适应大型多播f g t 6 , 2 2 1 。为了进一步说明，我们举一个典型的客户一服务器 的通信过程。在单播通信中，为保护客户和服务器的安全，最初，客户和服务器要通 过认证协议和服务进行相互认证；然后，双方生成会话密钥用于保护下一步的数据通 信【2 3 】。如果将这个过程扩展到多播组通信过程中，多播组中需要有一个可以信任的服 务器负责多播组的信息传送并对多播组进行访问控制，每个用户加入多播组前，都要 通过认证协议和服务器进行相互认证。认证通过后，用户和服务器共享一会话密钥， 成为该用户的私钥( p k ) 。为了进行安全的组通信，服务器要将所有成员共享的组密 钥分别传送给每个组成员。对一个组成员数为 的多播组来说，安全将组密钥分发到 每个成员手中需要n 条用各成员p k 加密的消息，此时计算代价为d ) ；或者，将n 条 消息合并为一条消息用多播发送给组成员，此时，通信代价为o ( n 1 。 单播通信中，点对点会话的建立以及共享密钥的分发只会在双方会话开始时发生 一次。而在多播中，组成员关系的动态性很大，成员可以在任何时候加入和离开。相 比单播的密钥管理，向前访问控制、向后访问控制和同谋破解是多播密钥管理特有的 问题。 。 向前访问控制要求主动退出多播组的用户或被强制退出的用户( 比如恶意用户) 无 法继续参与多播，即无法利用他们所知道的密钥解密后继多播报文和生成有效的加密 报文。重新生成并更新组密钥可以实现向前访问控制，但要注意的是，密钥更新报文 同样可以被前组成员获得，要防止前组成员从密钥更新报文中得到新的密钥。 6 华中科技大学硕士学位论文 向后访问控制要求新加入的组成员无法破解其加入前的多播报文。当新成员加入 时更新密钥就可以实现这一点。 多播密钥管理不仅要防止某个用户破解系统，还要防止某几个用户联合起来破 解。如果几个恶意用户联合起来，掌握了足够多的密钥信息，使得无论系统如何更新密 钥都可以获得更新的密钥，导致多播密钥管理的向前访问控制和向后访问控制失败， 或者使得恶意用户可以冒充其他合法用户进行欺骗( 破解系统的认证功能) ，我们把这 种情况称为同谋破解。多播密钥管理要杜绝同谋破解或降低同谋破解的概率。 面临大型多播组时，组中的成员变动会变得非常频繁，而每次变化都需要进行组 密钥的更新。这时有三种情况需要处理： ( 1 ) 有新用户要加入多播组时，组密钥必须传送给新的成员。般的解决方案 是采用集中的密钥服务器，服务器将新的组密钥通过单播传送给新成员，通过多播传 送给原先的成员。但这种方式存在单点失效问题，扩展性不好。 ( 2 ) 组内的成员出于种种原因离开多播组时，当前的组密钥必须更新以防止该 成员继续获得多播信息。最简单的方案是服务器将新的组密钥用各个组成员的公钥加 密然后再传送给每个成员。但组成员数为竹时，这就需要玎次加密4 # 送。 ( 3 ) 组密钥使用了一段时间后安全性降低而必须进行更新。新的组密钥需要周 期性地生成和分配。 对于大型的动态多播组，组成员变动时密钥更新代价是很可观的。例如，一个有h 个成员的多播组，如果分别为每位组成员分发会话密钥，则组成员需要存储用户私钥 和会话密钥，密钥存储量为2 ；而当一个成员离开组时，密钥服务器需要为每位用户 更新会话密钥，密钥更新代价为o ( n ) ，密钥更新代价会随组用户数线性变化。因此在 研究大型动态多播组的密钥管理协议时，密钥更新方案是否具有可扩展性变得非常重 要。 除可扩展性之外，多播密钥管理在设计时还要考虑如下因素的影响： 差异性：多播密钥管理涉及到多个通信实体，这些通信实体之间存在着各种差异。 这些差异包括是否可信任、是否愿意为其他实体提供服务、是否具有足够的计算能力、 是否具有足够的带宽和适当的网络延迟、是否接受多播报文( 允许存在只发送不接收的 实体) 、是否发送多播报文( 允许存在只接收不发送的实体) 等等。多播密钥管理方案在 设计时要考虑这些差异的影响。 健壮性：对于单播来说，通信的任一方失败都会使会话终止，而多播中部分节点 华中科技大学硕士学位论文 的失败不应当影响整个多播会话的继续进行。这就对多播密钥管理提出了健壮性的要 求。 可靠性：可靠性也是一个确保多播密钥管理正确而有效工作的重要因素。多播密 钥管理的控制报文( 包括密钥更新报文、组成员关系变动的通知报文等) 通常利用不可 靠的多播进行传输。这种传输存在丢包、乱序、重复等情况。设想如果缺乏确保可靠 性的机制，一个组成员没有收到密钥更新报文，它将无法参与后继的多播通信。 因此，设计一个多播密钥管理方案，需要统筹考虑通信实体间的差异、系统的可 扩展性、健壮性和可靠性等诸多因素。与多播的安全需求综合起来，我们把多播密钥 管理所要解决的基本问题归纳如下【2 4 】： ( 1 ) 向前访问控制：确保组成员在退出组后，除非重新加入，否则无法再参与 多播，包括获知多播报文的内容和发送加密报文。 ( 2 ) 向后访问控制：确保新加入的组成员无法破解它加入前的多播报文。 ( 3 ) 同谋破解：避免多个组员联合起来破解系统( 或减少发生的概率) 。 ( 4 ) 密钥生成计算量：通常，协同的密钥生成需要较大的计算量，当节点的计 算资源不充足或密钥更新频繁时，要考虑密钥生成给节点带来的负载。 ( 5 ) 密钥发布占用带宽：密钥更新报文不应占用过多的网络带宽。 ( 6 ) 密钥发布的延迟：密钥更新时要使所有组成员都能及时地获得新的密钥。 问题( 4 ) 问题( 6 ) 同属可扩展性问题。 ( 7 ) 健壮性：当部分组成员失效时，安全多播仍然能够继续工作。 ( 8 ) 可靠性：确保密钥分发更新在不可靠的网络环境中的正确实行。 2 2 密钥管理策略分析 根据密钥管理系统中密钥产生和分配方式的不同，可以把多播密钥管理策略分为 两类：集中控制式和分布式。上一节提出的8 个问题，在不同的策略中，情况也各有 不同。 在集中控制式的多播密钥管理中，存在一个管理者负责全组的密钥生成、分发和更 新。这个组管理者通常被称为组控制器( g r o u pc o n t r o l l e r ，简称g c ) ，具体我们就几种 典型的集中管理策略进行分析。 简单密钥分配中心s k d c ( s i m p l ek e yd i s t r i b u t i o nc e n t e r ) 是最简单的密钥分配方 法，组管理者和每一个组成员共享一个秘密钥，组管理者顺序地使用与每个成员共享 8 华中科技大学硕士学位论文 的密钥传递组密钥给这个成员，在一个具有珂个成员的组中，添加或排除一个成员组 管理者必须执行n + l 或n 1 次加密并传递n + l 或n - 1 次新生成的组密钥，这种方法对 j 二密钥更新不具有可扩展性，只适用于相对小的组。 组密钥管理协议g k m p ( g r o u pk e ym a n a g e m e n tp r o t o c 0 1 ) 为多播组成员产生和维 护对称密钥，每个多播组有一个专用的组控制器( g c ) 负责管理组密钥，g c 和一个选 择的组成员一起产生组密钥，之后向其它组成员发送。由于每个组只有一个g c ，因 此存在单点失效和扩展性差的问题。 可扩展多播密钥分配协议s m k d ( s c a l a b l e m u l t i c a s tk e y d i s t r i b u t i o n ) 基于c b t 路 由协议提供了一种加入c b t 树的可扩展方法，当一个c b t 组被启动，树的核心产生 组密钥和组密钥加密密钥。当路由器加入这个传递树，它们被授权认证要求加入的成 员，为它们提供组密钥，具有高度可扩展性，然而这种安全机制依赖于特定的路由协 议，树中的每个路由器拥有和g c 相同的密钥，一旦其中一个路由器泄露将泄露整个 c b t 树的安全。 w g l 安全多播密钥管理机制的基本思想是：密钥管理中心( 即密钥服务器，k s ) 与组成员( g m ) 之间的安全关联( 用于保护组密钥等的传送) 以一种逻辑层次密钥 ( 二叉) 树( l k h ) 的方式表示。根节点对应密钥管理中心，所有的组成员都处于叶 子节点上。l k h 树的每个节点都对应有一个密钥。根密钥即为组会话密钥。成员加 入多播组后，可获得从代表自己的那片树叶到根节点的绝对路经上的所有节点的密 钥。中间节点仅仅在逻辑意义上存在，并不代表任何组实体。k s 负责为组成员分发 密钥。密钥消息包的形成是逐层加密，即用下层节点所对应的密钥去加密上层节点所 对应的密钥素材，但不重复加密。当多播组中成员发生变动时，如某个成员离开了多 播组，那么该成员所在路径上的所有密钥包括组密钥都要改变，k s 将这些改变的密 钥安全传送给其他组成员，更新密钥代价为o ( 1 0 9 n ) ，n 代表组中的成员数。 在i o l u s 系统中，多播组被划分成若干个子组，每个子组都有一个子组控制器 负责子组组密钥的生成和分配。当某个子组的成员加入或离开时，予组控制器生成新 的组密钥，并通过一定的加密算法将新的组密钥逐个通知组内的其它成员，密钥的更 新的只会对该子组内成员造成影响。密钥更新的代价与子组的大小成线性关系。 使用集中控制有利于多播组的管理，可以方便地施加身份认证等措旅，而很多多 播应用在本质上存在着集中控制，如一个发送者多个接收者的情况，适合采用集中控 制式的多播密钥管理。但是这类方案对组控制器的依赖性导致了单一失效点问题；组 9 华中科技大学硕士学位论文 控制器也可能会因为负载过大而成为性能的瓶颈，影响系统的可扩展性；对组控制器 的依赖也使得集中控制方式难以应用于p 2 p ( p e e r t o p e e r ) 的模式。 在分布式的多播密钥管理策略中，参与通信的节点是对等的，通过某种密钥协商 算法生成组密钥。 陈庆荣等人针对组控制器存在单点失效和通信瓶颈问题，提出了废除中心服务 器，建立二叉密钥树 2 ”。组成员基于标志互相认证，协商构建安全的组密钥。然而这 种方案中成员交换密钥时广播消息消耗大量带宽，每个成员都要存储二叉密钥树，消 耗大量内存空间。 s t e e r 等人提出针对安全音频会议的密钥协商协议s t r 2 6 l ，但此协议不适合大型 多播组：它的计算量以及消息大小与组的大小成线性关系。 b u r n m e s t e r 和d e s m e d t 提出了若干个会话密钥分布系鲥2 7 】。其中，基于树的系统和 广播系统颇为引人注意。树系统中的疗个组成员通过o ( 1 0 9 n ) 次循环协商组密钥，每 次循环中两个成员运用d i f f i e h e l l m a n 协议计算出下一次循环过程中的密钥。在广播系 统中只需两次循环便可达成密钥协商一致，但每次循环需要珂条广播消息。 有关动态平等组成员密钥协商系统的c l i q u e 协议组基于组d i f f i e h e l l m a n 协议 ( g d h ) 2 8 , 2 9 1 。可是由于协议的目标定于小型动态平等组，当组成员数增加时，这种 协议没有很好的扩展性。 k i m 等人提出基于树的组d i f f i e h e l l m a n 协议( t g d h ) 1 3 0 ，协议存在的问题就是 要求一定的广播带宽，这种带宽是和组大小成正比的。每个成员必须存储整个组的树 结构，这需要相当多的存储空间。 j e n c h i u nl i n 等提出了基于d h 密钥交换算法的扩展d i f f i e - h e l l m a n 密钥协商协议 ( e d h ) p “，协议基于二叉密钥树结构，每个组成员只需保存密钥树的部分信息。但 协议仍使用了广播消息，因此密钥更新时对网络带宽消耗较大。 分布式方案不存在集中控制中单一失效点的问题，并且很适合p 2 p 的应用模式。 但是缺少集中控制给管理带来了困难。成员身份的相互认证和广播消息消耗网络中不 少带宽，如何降低系统中对存储量的需求和计算时间的复杂性也是个需要解决的问 题。 对于大型动态多播组来说，密钥管理系统必须具有很好的扩展性，系统中成员之 间往往要求享有平等的组控制权，这对于目前的一些分布式应用尤其重要，如分布式 虚拟环境、视频会议系统、电子白板、网络游戏、聊天组等等。分布式密钥管理策略 1 0 华中科技大学硕士学位论文 在这种环境下显彳导更加适用，但如何克服其缺陷是需要考虑的问题。 2 3 本章小结 本章首先对多播中的密钥管理问题从需求方面进行了详细的分析。相比单播的密 钥管理，向前访问控制、向后访问控制和同谋破解是多播密钥管理特有的问题。在研 究大型动态多播组的密钥管理协议时，密钥更新方案是否具有可扩展性是非常重要 的。 根据密钥管理策略的不同，密钥管理系统可以划分为两类：集中控制式和分布式。 每种策略都有各自的优势和不足，实际应用中要根据整个多播环境做出适当的选择。 对于大型动态多播组而言，分布式密钥管理系统具有更好的扩展性，但如何克服其现 存的缺陷是提高实用性的关键所在。 华中科技大学硕士学位论文 3 理论基础 对于大型动态多播组，本文提出一种可扩展的分布式密钥管理系统。为了降低多 播组中各成员之问相互认证和广播消息造成的带宽消耗，系统将成员的认证交给服务 器完成，认证的机制基于p k i 公开密钥体系。为了降低密钥更新时的代价，密钥的管 理采用逻辑层次密钥树的结构。密钥树的拓扑图保存在服务器中，这样每个成员只需 保存密钥树中的部分信息，降低对组成员空间的存储需求，也有利于保持各成员信息 的一致性。组密钥的产生和分配由组中所有成员协商完成，组成员通过d i f l i e h e l l m a n 密钥交换算法协商组密钥。在详细设计协议之前，必须先对协议依赖的理论基础有所 了解。 3 1 p k i 公开密钥体系 为解决i n t e m e t 的安全问题( 即满足机密性、真实性、完整性、不可抵赖性的四 大要求) ，世界各国对其进行了多年的研究，初步形成了一套完整的i n t e r n e t 安全解 决方案，即目前被广泛采用的公开密钥体系( p u b i c k e y i n f r a s t r u c t u r e 简称p r d ) 。运用 p k i 技术实施构建完整的加密签名体系，并且可以有效地解决上述的四大难题，在充 分利用互联网实现资源若享的前提下，真正意义上确保网上信息传递的安全，用户可 利用p k i 平台提供的服务进行安全通信。p k i 是一种遵循既定标准的密钥管理平台， 它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理 体系p “。 p k i 采用非对称加密算法，即由原文加密的密文密钥不同于由密文解密的原文密 钥，以避免第三方获取密钥后将密文解密。p k l 支持s e t 、s s l 、i p o v e r v p n 、s 思d m e 等协议，其加密部分般采用1 2 8 位对称加密，数字签名部分采用1 0 2 4 位非对称加密 算法。 完整的p k i 系统必须具有权威认证机关c a ( c e r t i f i c a t ea u t h o r i t y ) 、数字证书库、密 钥备份及恢复系统、证书作废系统、应用接口等基本构成部分i ”】。 ( 1 ) 认证机关( c a ) 即数字证书的申请及签发机关，c a 必须具备权威性的特征； ( 2 ) 数字证书库 用于存储己签发的数字证书及公钥，用户可由此获得所需得其它用户的证书及公 华中科技大学硕士学位论文 钥： ( 3 ) 密钥备份及恢复系统 如果用户丢失了用于解密数据的密钥，则数据将无法被解密，这将造成合法数据 丢失。为避免这种情况，p k i 提供备份与恢复密钥的机制。但需注意，密钥的备份与 恢复必须由可信的机构来完成。并且，密钥备份与恢复只能针对解密密钥，签名私钥 为确保其唯一性而不能进行备份。 ( 4 ) 证书作废系统 证书作废处理系统是p k i 的一个必备的组件。与日常生活中的各种身份证件一样， 证书有效期以内也可能需要作废，原因可能是密钥介质丢失或用户身份变更等。为实 现这一点，p k i 必须提供作废证书的一系列机制。 ( 5 ) 应用接口 p 的价值在于使用户能够方便地使用加密、数字签名等安全服务，因此一个完 整的p k i 必须提供良好的应用接口系统，使得各种各样的应用能够以安全、一致、可 信的方式与p k i 交互，确保安全网络环境的完整性和易用性。 p k i 的核心是c a ，c a 是证书签发机构。构建密码服务系统的核心内容是如何实 现密钥管理。公钥体制涉及到一对密钥( 即私钥和公钥) ，私钥只由用户独立掌握，无 须在网上传输，而公钥则是公开的，需要在网上传送，故公钥体制的密钥管理主要是 针对公钥的管理问题，目前较好的解决方案是数字证书机制3 4 】。 数字证书是公开密钥体系的一种密钥管理媒介，它是一种权威性的电子文档，如 同网络计算环境中的一种身份证，用于证明某一主体( 如人、服务器等) 的身份及其公 开密钥的合法性，又称为数字d 。数字证书由一对密钥及用户信息等数据共同组成， 并写入一定的存储介质内，确保用户信息不被非法读取及篡改。 3 2 密钥层次树 安全多播要求每个通过注册认证的组成员获得一个共享的组密钥，而且当组中成 员发生变动时，组密钥必须更新，以保护组成员的秘密通信。密钥更新是为了实现两 种保护： ( 1 ) 向后访问控制，即新加入的成员不能解密以前的组数据通信。( 2 ) 向 前访问控制，离开的成员不能解密以后的组数据通信。前者可以通过将新的组密钥用 原组密钥加密进行多播传送，对新用户则单播传送来实现：后者的困难则在于原来的 组密钥不能用，新组密钥必须用每个成员的私钥逐个加密并通过单播传送这一条消息， 华中科技大学硕士学位论文 其q , - i 一算代价为o & ) ，盯为组中的成员数。如果将这n 条消息整合为一条消息并通过原 组密钥加密后多播传送，其通信代价为d b ) 。 可以采用逻辑密钥层次结构( l k h ) 来解决这个问题【1 7 捌。在l k h 中，使用n ( n 2 ) 叉树来存储密钥，每个成员建立一个和组管理者共享的密钥，称为密钥加密密钥 k e k ，这些密钥存储在树中的叶子节点，之后组管理者为每个树中的剩余节点产生密 钥，这些节点并不代表实际的组成员，只表示虚拟的层次，属于逻辑节点，主要用于 组成员