（计算机应用技术专业论文）组播音信中的密钥管理与鉴别研究.pdf

组播通信中的密钥管理与鉴别方案研究 摘要 ( 随着i n t e r n e t 和w o r l dw i d ew e b 的蓬勃发展，出现了愈来愈多的 点对多点和多点对多点的应用场景，组播( m u l t i c a s t ) 以其较之单播 和广播的优势为这些应用提供了有效的通信方式。 另一方面i n t e r n e t 安全也日益成为人们关注的焦点。组播安全因 为其特殊之处，无法高效的利用现有的如i p s e c 等手段来保证，寻求 一个安全、高效、可扩展性好的组播安全方案成为目前研究的热点。卜， 本文将就组播安全三个重点领域：组播安全框架、组播密钥管理、 组播数据源验证展开埘觅幕l 讨论，并就后两者给出了自己的解决方案 或对已有方案e m s s 1 】进行了扩展和优化。其中e e m s s 较原方案有 可预见的较大的缩短包鉴别的延逆。d g k a 方案与a g k a 2 方案同 为全分布式方案，前期工作独立进行，前者在通信传输量和密钥协商 计算量上都较之后者有优势。 文章的最后探讨了组播安全领域相关研究并对组播安全以后的研 究做了展望。 关键字：组播安全，密钥管理，数据源鉴别，分布式方案，延迟 图书分类号：t p 9 l5 0 8 l i a b s t r a c t m u l t i c a s th a sb e e ne m e r g i n gw i t ht h ep o p u l a r i t y o fo n e t o - m a n yo rm a n y 。t o 。m a n yi n t e m e t a p p l i c a t i o n s ，e s p ，o nt h e w o r l dw i d ew e b ，s u c h m u l t i p a r t ym u l t i m e d i ac o n f a r e n c i n g ，r e a lt i m e d u s h - b a s e di n f o r m a t i o nd e l i v e ：y , y s t e m a n do nt h eo t h e rh a n d ，i n f o r m a t i o ns e c u r i t yb e c o m e s a m o r ea n dm o l ei m p o r t a n ti s s u ew i t ht h ep o w e r f u lg r o w t ho f i n t e m e t i ti st h e r e f o r ec r i t i c a lt o p r o v i d es o u n ds e e u r i t ym e c h a n i s m s f o rm u l t i c a s te o m m u n i c a t i o n h o w e v e r , t h i sp r o b l e mi sn o ts oe a s y a si tl o o k sb e c a u s eo fu n i q u ef e a t u r e so fm u l t i c a s t ， s u c ha s g r o u pm e m b e rd e l e t i n g o r a d d i n gd y n a m i c a l l y a n ds c a l a b i l i t yb r i n g s i tm o r e h a r d n e s s i nt h i sd i s s e r t a t i o n ，if i r s tg i v eab r i e fi n t r o d u c t i o no fm u l t i c a s tr o u t i n ga n di t sa d v a n t a g e s c o m p a r e dw i t hu n i e a s ta n db r o a d c a s t s o m ef u n d a m e n t a lk n o w l e d g e o f g e n e r a li n f o r m a t i o n s e c u r i t yi s a l s or e v i e w e da tt h es a m et i m e t h e nid oad e t a i l e da n a l y s i so nt h es e c u r i t y r e q u i r e m e n t so f m u l t i e a s t w ef o u n dt h a tt h es e c u r i t yi nm u l t i c a s ti sm u c hm o r ec o m p l e xt h a n i t s c o u n t e r p a r t s ，u n i c a s ta n db r o a d c a s t e v e ns o m ee s t a b l i s h e d s o l u t i o n si nu n i c a s td o n t p e r f o r m e ds o w e l li nn m l f i c z , , - t ：一、l l l n e l i t t h r e e c h a l l e n g e s i nt h i sr e s e a r c ha r e aa r e p r e s e n t e d ，w h i c ha r ea r e h i t e c l u r eo f s e c u r eg r o u p s ，g r o u pk e ym a n a g e m e n t a n dp a c k e ts o u r c e a u t h e n t i c a t i o n m o r ee m p t m s i si s p a i do nt h e l a t t e rt w oi nt h i s p a p e r m o s to fe x i s t i n g s o l u t i o n sa l es u r v e y e da n dc l o s e l ye x a m i n e d a sw ek n o w , t h ec o m p u t i n gw o r l di sat r a d e o f f o fp e r f o r m a n c e ，s e c u r i t y , o p e na n ds c a l a b i l i t ye t c ，t os o m ee x t e n t s olp r o p o s et w os o l u t i o n s t om u l t i c a s ts e c u r i t yb ya n a l y z i n gi t s s y s t e mr e q u i r e m e n t s e e m s s ( e x t e n d e de m s s ) ，a n e x t e n d e ds o l u t i o no n e m s s ，d e a l i n g w i t h p a c k e t s o u r c ea u t h e n t i c a t i o ni nm u l t i c a s t e n v i r o n m e n t , o f f e r s p r e d i c t a b l e a n dl e s s d e l a y o na u t h e n t i c a t i o n a n da n o t h e r o n e ， d g k a ( d i s t r i b u t i n gg r o u pk e ya g r e e m e n t ) i sat o t a l l yd i s t r i b u t i n gs o l u t i o no bm u l t i c a s tk e y m a n a g e m e n t w h i c hw i p e so f ft h e i n n a t el i m i t a t i o n s ，s u c ha s s i n g l ep o i n t so ff a i l u r e ，o f c o n c e n t r a t i n g o n e s i ta l s oa f f o r d sb e t t e rc h a r a c t e r so n c o m p u t a t i o na n dc o m m u n i c a t i o n c o m p l e x i t yt h a na g k a a n ds o m eo t h e r ss o l u t i o n s i nb o t hs o l u t i o n s ，ia l s o g i v es o m e c o n s i d e r a t i o n so ns y s t e mi m f l e m e n t a t i o n f i n a l l 5 , s o m er e l a t e di s s c e sa r ed i s c u s s e d , s u c h 拈i p s e c t h ed i s s e r t a t i o ni sc l o s e dw i t h s o m ep r o p o s i t i o no nf u t u r ew e r k k e yw o r d s ：m u l t i c a s ts e c u r i t y , k e ym a n a g e m e n t , p a c k e ts o u r c ea u t h e n t i c a t i o n ，e e m s s ， d g k a i i i 第一章引言 沈唧岛： ， 确心褫缴气友 随着i n t e r n e t 的蓬勃发展，特别是w o r l dw i d ew e b 惊人的成长， 出现了曰益众多的点对多点或多点对多点的应用需求，如多方视频音频 会议、实时信息发布、推( p u s h ) 应用等等。 为了在这些应用场景下提高i n t e r n e t 带宽利用率，组播( m u l t i c a s t ) 通信应运而生，s e d e e r i n g 在其博士论文中较详细的给出了组播的基本 原理。组播因其较之单播和广播的优势始终吸引了多方研究( 由 s i g c o m m 会议可见一斑) 而组播中的可扩展性、拥塞控制以及安全 性更是研究的焦点问题。 我们知道目前i n t e r n e t 使用的互联网协议i p v 4 的设计初衷并未考 虑安全性，而且组播安全颇具独特之处，使得新一代i n t e r n e t 安全标准 的i p s e e 也不尽适用。甚至在组播环境中，i p s e c 提供的许多安全特性 也将丧失。我们需要对组播安全做更多的工作，i r t f 也为此成立专门 的研究小组( s m u g ) ，对 e t f 组播安全r f c 的制定提供思路和指导。 目前组播安全问题主要集中在组播安全框架的设计、组播安全密钥 管理、组播中的鉴别特别是源鉴别上。从而为组播通信提供私密性、可 鉴别性、完整性等等安全服务。但是这些在单播通信中已得到一定程度 解决的问题在组播中却显得非常困难，特别是想找到一个高效、可扩展 性好的方案，以至于到目前为止尚未有一大家都可接收的解决方案。 本文对组播安全特别是尊沿及数据源验证以及组播密钥管理上作了 探索和研究，分别给出了一个方案。其中e e m s s 对【l 】中提出的e m s s 做了改进，可以预见的真接减少了原方案中的延迟。d g k a 与 2 】中 a g k g 方案同为完全分布式方案，较之集中式方案有其优越性。这两 个方案的前期工作是独立进行的，且d g k a 比a g k a 在密钥协商计算 量和传输量上都有所改进。下面简单介绍一下本论文的结构。 第二、三章对本文涉及到的必要基础知识做了分析和简介。其中包 括组播路由协议、i p s e e 、密钥协商协议、m a c 、散列( h a s h ) 函数、 公钥密码体制、数字签名、一般安全计算需求等等。 第四章利用第三章介绍的安全计算目标来重点分析组播通信安全需 求，并且介绍了i r t f 给出的组播安全推荐参考框架。 第五章对组播源鉴别进行了研究。其中包括组播源鉴别方案需求， 已有研究方案综述与分析，盯e m s s 方案和扩展方案e e m s s 的阐述、 组撬通信中的密钥管理与鉴别方案研究 分析和评价。 第六章、第七章对组播通信中的密钥管理展开研究。其中第六章给 出了密钥管理方案需求分析，对已有主要方案进行了介绍和分析。第七 章则阐述了d k g a 方巍，并仗出计算和通信复杂性分析。 第八章对组播通信安全的相关工作加以介绍，并对未来工作做了展 望。 2 、-，-；。 组播通信中的密钥管理与鉴别方案研究 第二章组播( m u l t i c a s t ) 通信概述 2 1 单播( u n i c a s t ) - 与广播( b r o a d c a s t ) 目前，i n t e r n e t 上的应用大多依赖单播( u n i c a s t ) 通信方式，即使是 在点对多点的应用场景下，也是在发送者与每一接收者之间分别建立一 个单播通信，如图1 1 ： 囹2 - 1用单播通信模型实现组播功能 这样，随着接收者数量的增多，需要发送的数据包也线性急剧增加。 发送主机的内存和c p u 时扎替资源将可能不堪负重，数据包之间的延迟 也会让人难以接受。源路由器e 的数据链路也会严重消耗宝贵的带宽。 并且这种方案在发送主机不确切知道接收者处于何处时还存在问 题，惟有通信的接收者不发生改变，数据才可正常的发送、接收，但这 毕竟造成了很大的限制，因为新的接收者不可动态加入或原组成员不可 动态地离开当前的组。 不仅如此，利用广播模型处理此类通信仍会遇到很多问题( 如图 2 2 ) ，主要有；第一，广播模型只允许同一子网上的接收者接收到数据， 组播通信中的密钥管理与鉴别方案研究 一一 其它子网上的接收者接收不到( 路由器会阻止广播通信) ；第二，每个 主机都需要处理e t h e r n e t 包来判断是否是发送给自己的，甚至必须将包 处理到应用层才能知道此数据是否该被拒绝。而这极大的浪费了那些并 无此数据要求的“无军”主扩l j 宝贯的处理机时间。 广播范围局限于本地子网 主机a主机b 图2 - 2 ：广播通信模型 显然我们需要一种新的通信模型 2 2 组播( m u l t i c a s t ) 概述 2 2 1 组播概念及其优点 组播通信可认为是对传统的单播( u n i c a s t ) ，即点对点的通信方式 的拓展。它能有效地处理点对多点( o n e - t o - m a n y ) 或多点对多点 ( m a n y t o m a n y ) 的i p 报文的发送需求，其基本模型由s e d e e r i n g 在 其博士论文 3 】中详细提出。其使得i p 数据包同时向“一组”地址传 送，使数据可到达遍布在i n t e r n e t 中的同一组的所有成员( 如图2 3 ) 。 4 组播通信中的密钥管理与鉴别方案研究 较之单播与广播，组播至少有以下优点： ( 1 ) 更有效，更少兀余。j 一，r 或多个应用主机需发送相同信息给 不止一个目的主机时，组播能够减少上节提到的无论是在主机处理还是 在网络传输的冗余，叭而大量节省了计算资源，更有效利用网络带宽， 减少了数据包的延迟，并且此通信中参与者愈多，数据量愈大，也便愈 节省。 ( 2 ) i n t e r n e t 资源定位( r e s o u r c el o c a t i o n ) 。即当应用需要定位查 询或发送信息给一个或多个主机，而这些主机的地址事先并不知道或者 是动态可变的，组播可提供一种简单的鲁棒的配置文件、域名服务器或 其它绑定( b i n d i n g ) 服务。 ( 3 ) 更重要的是，采用组播通信模型后，主机有能力根据自己的愿 望，自由加入和离开组播组，从而排除“静态”分组的必要。 相信随着i n t e r n e t 蓬勃发展，愈来愈多的应用需有效的建立在组播 通信基础上。 2 2 2 组播应用分析 目 景包括： 望i 丝笪主竺童塑笪墨兰竺型查墨! 堕 多媒体( 收费) 点播 数据分发，如软件分发、财经金融信息在线通告，电子邮件分发 天气、体育新闻发布、推( p u s h ) 应用等 网络同步，芸中包括 l 里蝴鱼焦恩垦 芒告( a d v e r t i s i n 、 ， 、数据链路交换 l 新 g ) 和定位( l o c a t i n g ) 服务器 ( d a t al i n ks w i t c h i n gd l s ) 这些应用以及诸如远程交互式游戏、远程学习等其它应用必将在 i n t c r n c t 应用中占有越来越重要的比例。以下，我将就其应用特点对它 们进行考察。其中包括参与者数量、数据量是否很大、传输类型等等， 归纳如图2 - 4 所示。后面将会看到对这些应用特点的考察将有利于我们 对某些解决方案的评价和取舍。 应用参与者数据包有无文有无数多对多一对多 是否众是否很件传输据流应 多大类型用 多媒体 k- 流收费， 数据分 -心-、x_ 反 、童一一 网络资 - 0 源同步 r r 图2 - 4 组播应用分析 2 2 3 组播路由协议简介 参与组播通信的主机拥有一个或多个组播i p 地址和晨m e r n e t 地址， 其中i p 组播地址标识着一组接收者，目前，组播路由屯组通过d 类i p 地址来标识。接收者加入的每个组播组，都需一对组播地址，分别为组 播i p 和e t h c r n c t 地址。若主机参与一个或多个组播组的通信，则可以 拥有一个或多个组播i p 地址和e t h e r n e t 地址，这是与单播地址的一个 不l 司。 在主机与路由器之间主要使用的是因特网组管理协议( i n t e r n e t g r o u dm a n a g e m e n tp r o t o c o li g m p ) 【4 】【5 ，它实现让主机通告它所邻近 的路由器它需要加入或离开某个组播组的通信，这样利用i g m p ，组播 路由器可判断在与自己连接的任何一个网络上，是否存在组播组的任何 成员，如存在组成员，组播路由器便可加入一个特定的组播组并将组播 数据转发给加入该组的主机。 而在不同的组播路由器之间则使用的是“距离向量组播路由协议” ( d v m r p ) 6 和“与协议无尹约组播”( p i m ) ，其中p i m 包括密集模式 ( d e n s em o d e ) 和疏松模式( s p a r s em o d e ) 两种( 密集和稀疏是指i n t e r n e t 中组成员的密度。假设我们在i n t t j rr l e t 上做个随机采样，即选取一块 采样区域，如果其中包括至少有一个组成员主机的概率很高，那么即使 区域很小，我们也称之为“密集”区域，否则称之为“稀疏”区域) 。 这些协议通常把i n t e r n e t 中所有同组成员建成一棵树。一般有两种 算法思想来做这件事，一为发送者初始协议，如d v m r p ，p i m d m 就采 用这种方式。这种算法采用“先扩散再剪枝”的技巧，也即由发送者将 初始报文先扩散到所有可能的主机和路由器。若接收者并不愿成为组的 成员或没有组的成员而不必继续接受组播包便发送一个“剪枝” 么路由器便也没有必要接收从源发送者发送的这一组播组的数据包了。 此路由器还将利用反向路径转发( r p f ) 算法 7 向上一级路由器转发 “剪枝”报文。这样，路由器可根据“剪枝”消息报文在网络转发列表 中决定是否删除一个或多个网络。最后，原来一棵发送初始报文的大树 便剪得只剩通往组成员接收者的活动树枝了。但此种方式有两个明显的 缺陷： 初始报文必须在整个网络上周期扩散。 路由器必须为每个组以及源路由器保存组状态信息。 这些对于网络带宽和存储空间都是很大消耗，特别是当组成员关系 动态变化且组成员在网络中相对稀疏的情况下更加难以接受。但是它能 在每一对发送者和接收者之间形成最短路径。 另种方式可认关是接收者初始协议，如c b t 8 ，p i m s m 等， 在这种方式中，每一个期望加入组的接收者向一个已知的固定的节点( 一 般称为核( c o r e ) ) 发送“加入”消恩报文，所有中间路由器将会接收到 组播通信中的密钥管理与鉴别方案研究 这个消息，并把接收该消息的接口标识为属于这个组的树，同时转发“加 入”消息直至“核”的第一个路由器，这样，便可在所有的发送者与接 收者之间形成一棵“树”，并且是一棵共享树( s h a r e dt r e e ) ，这种协议 方式减少了第一种方式所需的路由器存储空间和网络传输量。但因为是 共享树，某些接收者和发送者之间的路径可能不是最优的，同时也存在 传输集中的问题，即来自同一个给定组的流量都将穿过某些相同的路 径，从而造成网络拥塞和传输延迟。 组播通信中的密钥管理与鉴别方案研究 第三章相关信息安全基础 3 1 安全计算品质 一般认为一个安全的计算应具备私密性( c o n f i d e n t i a l i t y ) 、可用性 ( a v a i l a b i l i t y ) 、完整性( i n t e g r i t y ) 鉴别性( a u t h e n t i c a t i o n ) 以及特定应 用所需的其它特性，如电子商务中的不可否认性( n o n - r e p u d i a t i o n ) 、匿 名性( a n o n y m i t y ) 等。 私密性是指计算机与网络系统仅被合法授权用户访问，这里的访问 主要是指写类型访问，包括读写、打印、甚至只是知晓对象的存在。 完整性是指计算机与网络系统仅被授权用户以合法的方式来修改。 它涉及三个方面的问题：授权的行为，资源的隔离与保护，错误检验及纠 正。 可用性是指计算机与网络系统可以被授权用户访问。这里不仅是指 数据，更是指服务。要做到可用性必须使得系统中的对象和服务以可使 用状态呈现，具备满足服务需求的能力，服务和数据的响应、等待时间 必须有界。 鉴别即决定用户、网络系统资源的真实性和有效性。一般包括对消 息数据内容、消息数据源以及一般实体( 如登录用户、进程) 身份三个 方面的鉴别。前者是数据完整性的一个方面，而后两者简言之就是识别 与验证，即识别出实体所声明的标识并验证它。鉴别机制通常基于下列 三种信息： 你是谁( s o m e t h i n gy o ua r e ) ，如指纹、眼膜等生物信息 你有什么( s o m e t h i n gy o uh a v e ) ，如i d 卡货物理密钥 你知道什么( s o m e t h i n gy o uk n o w ) ，如口令 3 2 公钥密码体制 公钥密码体制又称作非对称密码体制，由d i f f i e 和h e l l m a n 于1 9 7 6 年在 9 中提出其基本用l 想_ 同于原有的对称密码，其加密密钥不同于 解密密钥，并且由加密密钥求解解密密钥在计算上不可行，因而加密密钥 9 组播通信中的密钥管理与鉴别方案研究 可以做成公开的，只需秘密保存解譬密钥。下面我们简单对公钥密码体 制作概述。 对于明文x ，用公开的加密密钥k ，进行加密的算法表示为e ( k e ， x ) ，对于密文y ，用秘密的解密密钥k i 进行解密的算法表示为d ( k i ， y ) ，则非对称密码体制应满足下述四个条件： 1 ) 给出k e 时，e ( k c ，x ) 的计算不难；给出k i 时，d ( k i ，y ) 的 计算也不难。 2 ) 如果不知道k ；，那么即使知道k 。、算法e 和d 以及密文y ，确定 明文x 的计算也是不可行的。 3 ) 对明文x ，e ( k c ，y ) 声定义，且d ( k i ，e ( k c ，x ) ) = x 。 4 ) 对明文x ，d ( k i ，x ) 有定义，且e ( k c ，d ( k i ，x ) ) = x 。 条件4 ) 时数字签名所必须的。满足条件1 ) 、2 ) 的函数叫单向函数， 它有下述性质： 一一对于f 的定义域中的任意元素x ，y = f ( x ) 容易计算； 一一知道y = “x ) 的y 时，计算x = f 1 ( y ) 困难。 单向函数并不能直接用于非对称密码体制的加解密，因接收者收到 y = f ( x ) ，求r 1 ( y ) 计算困难，因而也同样难以恢复出明文，接收者并不希 望是这样的单向函数。如果在单向函数中一个陷门，该陷门由一个秘密 信息组成，它使得接收者能够有效的解密，并且这个陷门对于求此单向 函数也是必要的。这样掌握这个秘密信息的人可以很容易的恢复明文， 没有掌握的则难以恢复出明文，这种单向函数叫做单向陷门函数。单向 陷门函数满足下述两个杀件： 一一给出f 的定义域中的任意元素x ，f ( x ) 的计算是很容易的。 一一当给出y = “x ) 中的y ，要计算x = f - 1 ( y ) 时若知道设计函数f 时结合 进去的某种信息，则容易计算；若不知道该信息，则难以计算。 只有单向陷门函数才可以被用于非对称密码体制。 公钥密码第一个实现由r i v e s t 、s h a m i r 、a d l c m a n 1 0 发明。其安 全性基于大数的整数因子分解的困难性。后来基于其它的不同的计算问 题，陆续提出了几个公钥密码体制。如e 1 - g a m a l 1 1 1 基于有限域上离散 对数问题的困难性，m c e l i c c c 密码体制是基于代数编码理论的，是基于 一个线性编码的解码问题，而这个问题是n p - 完全的 1 2 。 1 0 组播通信中的密钥管理与鉴别方案研究 图3 1 利用公钥密码体制的一种数字签名 公钥密码体制一个重要的应用便是数字签名。因为公钥体制中， 一个实体的私钥仅由自己秘字掌握，因此可用来视为这个实体的身份标 识证明。如果一个消息报文是利用某个用户的私钥加密，则可认为这个 消息报文由这个用户签名。 因为大多数的公钥系统效率不是很高，因而在实际中，公钥算法常 常与消息摘要或者散列函数一起来实现一个签名，如图3 - 1 所示。 接收者收到发送者明文摘要的私钥加密密文，利用公钥解密，并与 同时发送过来的明文摘要进行比较，从而完成对于消息报文的鉴别。又 因为仅由发送者掌握私钥则同时又实现了发送者对于消息报文的不可否 认性。 这里要说明的是既要保证数据私密，又要进行签名的话，推荐先签 名后加密。 我们看到利用公钥体制进行数字签名技术有其特点和优势，但要被 大规模的采用成为信息安全日j 基础设施，则需要一个有效的、安全的、 方便的公钥产生和分配的机制。p k i ( p u b l i ck e yi n f r a s t r u c t u r e ) 便是用 来完成这个角色的。p k i 中用户的：奎钥以证书的形式分发( c e r t i f i c a t e ) ， 并且由通信双方的信任第三方c a s ( c e r t i f i c a t i o na u t h o r i t i e s ) 来生成和分 发证书。一个证书包含一个用户的公钥( 其余还包括证书顺序号、证书 有效期、c a 的数字签名等信息) 。c a 对证书进行数字签名，以确保其 生成和分配的有效性。而在实际应用中，为了拥有良好的可扩展性，又 往往将c a 分成多级形成层次结构，如图3 2 ，其中上级c a 确定和担 保其子c a 。p k i 因非本文重点，在此不再赘述，更详细的讨论可参阅 【1 3 4 5 】。 塑塑塑坚塑笪塑型丛盟 图3 - 2 ：p k i 示意图 3 3 消息鉴别码( m e s s a g ea u t h e n t i c a t i o n c o d e m a c ) 与散列( h a s h ) 函数 m a c 是利用一个公开的加密函数以及一个秘密密钥作用在一消息 报文上产生一固定长的值。通常可以与原消息报文一起发送，m a c 的 重要应用是进行消息鉴别。比如说通信双方a 、b 共享一秘密密钥k ， 当a 要发送一段消息报文m 给b 的时候，它利用k 计算m 的m a c 值。 m a c = c 。( m ) 与m 一起发送给b ，b 对接收到的消息报文m 做同 样的计算，m a c = c 。( m ) ，然后与发送过来的m a c 进行比较。若 m a c = m a c ，且又只有a 、b 知晓密钥k ，则： 接收者能够肯定消息报j 二未被修改。因为若攻击者对m 进行了修 改，但对k 未知，无法计算出一个与修改后的m 相对应的m a c 。这样 接收到的m a c 与接收方计算的m f 、c 将不相等。 接收者b 能够肯定消息报文是来自某个发送者a ，即对数据源进 行鉴别。因为没有其他人知道密钥k ，也就没有其他人能够伪造一个合 适的m a c 。 更为形式的定义如下： 2 组播通信中的密钥管理与鉴别方案研究 个鉴别方案中通信双方a 和b 协商共享一密钥k ，存在两个算 法s 和v 。若a 想发送报文m 给b ，a 计算a = s 。( m ) ，并发送( m ， n ) 给b ，b 利用验证算法v 计算v ( m ，d ) 。若返回值为0 ，则被验 证为假；若返回值为1 。则被验证为真。 散列函数又称压缩函数，呵把玎变输入长度串转换成固定长度输出 串的种函数，而单向散列函数h ( m ) 作用于一任意长度的消息m ，返 回一固定长度的散列值h 。h = h ( m ) h 的长度为m 。 单向散列还具有单向性，即： 给定m ，很容易计算h 给定h 根据h ( m ) = h 计算m 却是很难的 给定m ，要找到另一消息m 满足h ( m ) = h ( m ) 很难 当然个好的散列函数还应能抵抗碰撞( c o l l i s i o n r e s i s t a n c e ) ，即如要 找出两个随机消息m 和m ，使得h ( m ) = h ( m ) 满足概率几乎为零或 计算不可行。 单向散列函数的一个重要应用是进行消息鉴别f 2 3 j 。 有一种特殊的密钥散列算法叫做h m a c ，由h u g ok r a w c z y k ，r a n c a n e t t i 和m i h i rb e l l a r e 三人设计。h m a c 的具体规范详见【1 4 】文件， 可由现有的任何散列函数加以运用。比如s h a 可变成h m a c s h a ，而 m d 5 可变成h m a c m d 5 。从加密理论来说，h m a c 要比基本的散列函 数“健壮”一些。最近有一次对m d 5 的示范冲突攻击( 看看是否能找 出两个不同的输入而生成相同的摘要) ，h m a c m d 5 未被攻破。 h m a c 也是一个密钥化的散列( k e y i n gh a s h ) ，但它实际上是在一 个密钥化的散列之内的一个密钥化散列。它使用了两个填充值一个 是内部填充，另一个是外部填充一以维持h m a c 的状态。建立在使 c 完成 上一节我们看到了公钥密码体制有对称密码体制无法达到优越性， 但不幸运的是，大多数公钥密码体制比对称密码体制运行慢的多。所以 实际中通常还是利用对称密码体制来加密。这就涉及对称密钥的分配与 塑墼塑堂堂堕燮堑塑 协商。由于论文与密钥协商相关，因此在此加以介绍，而密钥分配可参 阅 1 5 。 密钥协商是指通信的两方( 或多方) 通过公开的，甚至是不安全的 信道的通信来共同协商形成私密密钥的协议。最早在 9 中提出，之后 又有许多衍生方案提出【1 6 ，一1 7 l i b 。在此我们仅对原始方案加以简 介。 d i f f e h e l l m a n 密钥交换： 假使p 为素数，z ，为有限域，q 是z p 的本原元，p 、a 公开，通信双方 为u 、v 。 1 u 随机选择a u ，0 a n p - 2 2 u 计算a “m o dp ，并发送给v 3 v 同样随机选择a v0 a v p 一2 一， 4 v 计算d ”m o dp 且把它发送给u 7 7 。，。 。j 一 ， ， 5 u 计算k = ( d ”) “m o dp 7 7 v 计算k = ( a “) ”m o dp 这样在协议结束时，+ u 、- v 便已经计算出了相同密钥k _ d r a o dp 而此方案对于、_ 中间入”( m a n i n m i d d l e ) 主动攻击是很脆弱的。但稍 做改进便可抵抗这种攻击，并且在形成密钥的同时能够鉴别密钥协商其 它参与者的身份。这种方案【1 6 将要利用公钥证书c ，即需要信任第三 方t a 。参与者拥有签名算法s i g 和验证算法v e r 。信任第三方也带有 一个公开验证算法v ，证书c ( u ) = ( i d ( u ) ，v e 螭s i g t a ( i d ( u ) ，v e 哟) ) i d 为u 的身份信息，d 、p 定义同上。此协议又称为8 t s 协议，描述如下： l u 选择随机数a u ，o a u p 一2 0 ，岛 一ji 沏1 2 u 计算a “m o dp ，并发给v 3 v 选择随机数a v 0 a v p 一2 4 v 计算q ”m o dp ，j ，= ( j ”m o dp ，y ，= s i g ，( q ”，a “) ，v 发送 ( c ( v ) ，a ”，y ，) 给u 5 计算k = ( a “) “m ( 一dp ，使用v 汀，验证y ，和使用v e r t 来验证c ( v ) 6 u 计算y 。= s i g 。( d ”，q ”) ，把( c ( u ) ，y 。) 发送给v 7 v 使用v e t 。来验证y 。和使用v e r t 来鉴别c ( u ) 若无需鉴别协议中参与者的身份的话，则可不必使用证书，协议可 进一步简化。 1 4 组播通信中的密钥管理与鉴别方案研究 3 5i n t e r n e t 安全体系结构、i p s e c 随着对i n t e r n e t 安全的日益关注，人们在i n t e r n e t 协议的不同层次 提出了相应的安全措旅( 如图：3 ) ，其中s - h t t p 、s m i m e 、s e t 、盥里 等在应用层针对不同应用特点提供鉴别和加密等安全服务，s s r 形成了 一个安全的传输层，p s e c 则作用在网络层，本文与i p s c c 联系较紧密， 应用层 传输层 网络层 二夏二 二互二 二至 二夏二 图3 3i n t e r n c t 安全体系结构 因为原有的i n t e r n e t 协议i p v 4 的设计在安全性上并无专门的考虑， 近年来i e t f 相继公布了有关网络层安全的r f c i l 9 】【2 0 2 l 】【2 2 】，也即 i p s e c 协议组。简言之，i p s c c 协议组由四个部分组成： 密钥交换协议( i n t e r r , e tk e ye x c h a n g ei k e ) ，一个用来协商通信 实体间安全关联( s e c u r i t ya s s o c i a t i o ns a ) 的应用层协议，其中 安全关联规定了通信双方所采用的鉴别和加密算法以及和算法 相关的各种参数，需指出的是i p s e e 的设计与加密算法独立 i p 数据包认证头( a u t h e n t i c a t i o nh e a d e ra h ) 及安全封装协议 ( e n c a p s u l a t i o ns e c u r i t yp a y l o a de s p ) ，两个利用相关会话协商 的安全关联中的信息来鉴别和加密数据的i p 层协议 安全关联数据库( s e c u r i t y a s s o c i a t i o nd a t a b a s e ) ，用来实现应用 层i k e 与i p 层a h 、e s p 交互与通信 其中a h 在i p 和传输层报文头之间产生一个包含认证信息的附加 报文头，可以提供i p 包的完整性、可鉴别性和不可否认性。e s p 对整 个i p 数据包或i p 数摆包申叩传输层数据进行加密。它可提供i p 数据 包的完整性及私密性。这两种方式的结合可以提供完善的网络层安全服 务。一个i p s e c 数据包的封装模式可以有两种( 如图3 - 4 所示) ，一种 是整个i p 包被封装在i p s e e 数据包中，称为隧道模式；另一种是只将 传输层数据封装在i p s e c 数据包中，称为传输模式。 f 一 兮 f 矗j 一 爹久 垄塑垩堕生塑查塑竺翌兰竺型查塞堡窒 e 亟三匝卫三回 传输模式 l主机i p 包头数据 传输模式 图3 - 4 ：i p s e c 中的报文安全封装 1 6 组播通信中的密铜管理与鉴别方案研究 一一 第四章组播( m u i t i c a s t ) 安全及其框架综述 正如在2 2 3 中鼻绍的，盈播路由是一个开放的模型。发送者并不 需要了解组中接受者的身份。同样，也没有任何机制来让接收者鉴别发 送者的身份或者验证所接收到的数锯的完整性，而对于许多组播应用来 讲，一样有上一章所提到的私密性、鉴别等安全需求。例如，股票金融 信息发送文件传送，软件分发，视频会议。 而另一方面，显然组播通信安全较点对点通信涉及更多元素，即使 是像消息鉴别( m e s s a g e a u t h e n t i c a t i o n ) 与消息私密( m e s s a g es e c r e c y ) 这样的安全问题也变得更为复杂。 4 1 组播安全需求分析 在此我们对组播通信中一些突出的安全需求进行简要分析。【2 4 】中 有更为详细的描述。 ， ( 一、) 访问控制及数据私密性( a c c g s sc o n t r o l & c o n f i d e n t i a l i t y ) 保证唯有组中合法的成员删疗能访问组中的通信，防止组中的通 信被非法窃听，以保证组播通信的私密性。进一步看又包括前向私密和 反向私密，定义如下：l 4 我们称一个组播通信系统具有向后私密是指一个主机成员在时刻t 加入一个组播组，则它无法获得任何t t 时间组内的通信信 息。 对于私密性服务，可让组中所有成员共享一个组密钥( g r o u pk e y ) ， 通常是对称密钥，组中灼所声约数据通信将通过这个密钥加密，这样非 组成员便歪更墼堑墨彗盟组立嫩通信一 。一一 要进行组访问控制则必须能对可能的组成员身份进行鉴别，这一 般可通过组成员的公钥证书来实现。 ( 二、) 通信数据的组鉴别：即数据接收者能够鉴别接收到的数据确 实来自于组中的其它合法成员，但不必确切鉴别是来自于哪一个成员， 而数据源鉴别( s o u r c ea u t h e n t i c a t i o n ) 则需要。 1 ) ，计算其散列 h ( m ) ，且若i n ，则封装m j 以及所有h ( p k ) ，i n k i - 1 ，形成数据包p 发送出去；若i n ，封装m i 以及所有h ( p k ) ，l k i 1 ，形成数据包p i 发 送出去：若m ；为此周期内产生的最后一个报文，同时利用发送方的私 钥计算p j 签名s i g n ( p ) ，发送出去。 对每一个周期重复以上过程。 接收方分析每一个接收到的数据包p ；，若p ；非签名包，且若h ( p ；) 已到达，则比较h ( p i ) 与h ( p i ) ，若h ( p i ) = h ( p 。) ，则对数据包p i 部分 鉴别，否则，拒绝；若h ( p ：j 卡到达，缓冲p i 直至h ( p ；) 到达；接收到 的数据包p i = s i g n ( p k j ，为签名数据包，且p k 也已接收到( 否则缓存p 直至p 。到达) ，则如第三章所讲，利用发送方的公钥数字签名验证算法 验证p 。，若真，则接收与p 。同一周期的数据包，反之，则丢弃；至此 完成此周期的所有数据包的鉴别； 周期t p 1p 2p 3p i p k 距圈- 旨目 图6 - 1 ：e e m s s 组播源鉴别方案 冈 矗= 爿 i 一 、 组播通信中的密钥管理与鉴别方案研究 6 2 算法设计与系统实现考虑 以下是算法具体描述及对系统实现的一些考虑 州b 组播通信中的密钥管理与鉴别方案研究 - _ 一一 后续在此方面的工作将会在系统具体实现，以对周期值、一个数据 包中所含包散列个数n 以及所含包散列跳跃程度等几个参数做定量的 实验分析，以能给出针对不同应用特色的最优周期值n 及包散列跳跃 程度。 组插通信中的密钥管理与鉴别方案研究 、 6 3e e m s s 方案分析