（计算机软件与理论专业论文）一个对等实体的动态群密钥协商协议.pdf

一个对等实体的动态群密钥协商协议 摘要 随着网络技术的飞速发展，在开放网络环境中出现了越来越多的基于群通 信的分布式协作应用，为了保证这些应用系统的安全，需要建立安全群通信系 统以提供通信中的数据保密性、数据完整性等安全服务。 群密钥协商是建立安全群通信的核心和关键。它允许多个参与方通过敌方 可控制的、不安全的网络相互交换信息、认证对方身份以及协商共用的会话密 钥，协商的密钥可以用于今后各参与方间的秘密通讯，为随后的各种安全服务 奠定基础。 成员对等对于动态群密钥协商协议至关重要，它可以保证协商结果的公平 性，避免由于特殊成员的存在而导致的安全瓶颈，无需可信第三方的存在，增 强协议的鲁棒性，而高效则可以让协议适用于大规模的分布式协作应用中，但 目前很多协议并没有很好的同时满足这些要求。本文设计了一个基于身份的签 名方案和一个签密方案，并籍此提出一个对等实体的动态群密钥协商协议。在 该协议中，参与协商的所有成员均处于平等地位。此外，经过分析比较，该协 议满足动态群密钥协商协议所需的安全属性，可以有效抵抗已知密钥攻击和重 放攻击，其效率与高效的k i m 协议相当。 最后，本文研究了s p r e a d 通信系统和m i r a c l 大数运算库，并在此基础上， 设计实现了所提出的群密钥协商协议，进而在局域网中对协议做了模拟实验， 考虑实际环境中各种干扰因素的影响，实验结果与理论上对协议的效率分析基 本吻合，证明了本文所提出的协议是高效的，适用于开放的网络环境中。 关键词：群密钥协商，对等实体，动态对等群，基于身份，常数轮数 ap e e rd y n a m i cg r o u pk e ya g r e e m e n tp r o t o c o l a b s t r a e t w i t ht h e r a p i dd e v e l o p m e n to fn e t w o r k ，m a n y d i s t r i b u t e dc o l l a b o r a t i v e a p p l i c a t i o n sb a s e do nt h eg r o u pc o m m u n i c a t i o na p p e a ri nn e t w o r k s e c u r i t yg r o u p c o m m u n i c a t i o n s y s t e m i sn e e d e dt o p r o v i d es e c u r i t y s e r v i c e ss u c ha sd a t a c o n f i d e n t i a l i t ya n di n t e g r i t yt op r o t e c tt h e s ea p p l i c a t i o n s s e c u r i t y g r o u pk e ya g r e e m e n ti sas i g n i f i c a n ta s p e c to fs e c u r i t yg r o u pc o m m u n i c a t i o n s y s t e m s u c hp r o t o c o l sa l l o wm o r ep a r t i e st oe x c h a n g ei n f o r m a t i o n ，c e r t i f i c a t e o t h e r s i d e n t i t ya m o n gt h e m s e l v e s o v e ra na d v e r s a r i a l l yc o n t r o l l e di n s e c u r e n e t w o r ka n da g r e eu p o nac o m m o ns e s s i o nk e y ，w h i c hm a yb eu s e df o rl a t e rs e c u r e c o m m u n i c a t i o na m o n gt h ep a r t i e s ，a n de s t a b l i s h i n gas o l i df o u n d a t i o nf o ro t h e r s e c u r i t ys e r v i c e s p e e r i n gi si m p o r a n tt od y n a m i cg r o u pk e ya g r e e m e n tp r o t o c o l s i tc a ne n s u r e t h ej u s t i c eo ft h er e s u l to fk e ya g r e e m e n t ，a v o i dt h es e c u r i t yb o t t l e n e c ki n d u c e db y s p e c i a lm e m b e r , n o tr e q u i r e t r u s t e dt h i r d p a r t y ，a n de n h a n c et h ep r o t o c o l s r o b u s t n e s s i t sh i g he f f i c i e n c yc a nm a k ep r o t o c o ls u i tf o rd i s t r i b u t e dl a r g es c a l e c o l l a b o r a t i v ea p p l i c a t i o n s ，b u tm a n yc u r r e n tp r o t o c o l sc a n n o tw e l ls a r i s f yt h e s e r e q u i r e m e n t sw e l l i nt h i st h e s i s ，w ed e s i g na ni d - b a s e ds i g n a t u r es c h e m ea n da s i g n c r y p t i o ns c h e m e ，a n df u r t h e rp r o p s eap e e rd y n a m i ck e ya g r e e m e n tp r o t o c o l b a s e do nt h e s es c h e m e s i nt h i sp r o t o c o l ，e v e r ym e m b e ri nt h eg r o u ph a st h es a m e r i g h t s m o r e o v e r ，a f t e ro u ra n a l y s i sa n dc o m p a r i s o n ，t h i sp r o t o c o l c a ns a r i s f y s e c u r i t yp r o p e r t i e s w h i c ha r er e q u i r e d k n o w n k e ya t t a c ka n dr e p l a ya t t a c k i t s p r o t o c 0 1 b y k e ya g r e e m e n tp r o t o c o l s a n dr e s i s t e f f i c i e n c yi st h es a m ea st h a to fk i m s a tl a s t ，w er e a l i z et h ep r o t o c o la f t e rr e s e a r c h i n gt h es p r e a dt o o l k i ta n d m i r a c ll i b r a r y ，a n dt h e n ，t e s tt h i sp r o t o c o li nl o c a la r e an e t w o r k t h er e s u l t so f e x p e r i m e n ti n d i c a t et h a tt h ep r o t o c o li se f f i c i e n ta n ds u i t a b l ef o ro p e nn e t w o r k k e yw o r d s ：g r o u pk e ya g r e e m e n t ，p e e re n t i t i e s ，d y n a m i c p e e rg r o u p ，i d - b a s e d ， c o n s t a n tr o u n d s 插图清单 图3 1 实数域上的椭圆曲线1 5 图3 2 椭圆曲线上点加和倍点运算示意图1 6 图4 一lk i m 协议静态协商2 5 图4 2 k i m 协议成员加入2 6 图4 3 k i m 协议成员加入2 7 图4 4 静态协商过程第一轮2 9 图4 5 静态协商过程第二轮3 0 图4 6 成员加入群时密钥协商第一轮3 l 图4 - - 7 成员加入群时密钥协商第二轮3 2 图4 8 群成员离开时密钥协商第一轮3 3 图4 一l 群成员离开时密钥协商第二轮3 3 图5 一l 协议整体框架4 2 图5 - - 2 p k g 生成系统参数和成员公私钥对流程4 3 图5 3 密钥协商以及成员关系变化时更新群密钥流程4 4 表格清单 表4 1 协议效率比较3 6 表5 1s p r e a d 系统更新成员关系所需时间表4 5 表5 2 群中成员无变化时进行群密钥协商的结果4 5 表5 3 新成员加入群时更新群密钥的结果4 6 表5 4 成员离开群时更新群密钥的结果4 7 v 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。 据我所知，除了文中特别加以标志和致谢的地方外，论文中不包含其他入已经发表或撰 写过的研究成果，也不包含为获得盒胆工些太堂或其他教育机构的学位或证书而使 用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说 明并表示谢意。 学位论文作者签字：绳考试 签字日期：2 呻7 年月日 学位论文版权使用授权书 本学位论文作者完全了解盒罂些塞堂有关保留、使用学位论文的规定，有权 保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅或借阅。本人 授权盒罡王些太堂可以将学位论文的全部或部分论文内容编入有关数据库进行检 索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文者签名：衙言武 签字日期：扫叮年石月，日 学位论文作者毕业后去向 工作单位； 通讯地址： 导师虢亳 i 签字日 电话 邮编 芷 6 月居日 致谢 本论文是在我的导师叶震老师的悉心指导下完成的。在本文写作期间，叶 老师给予了我很多建设性的指导和建议，并多次对文稿进行了悉心的审阅，使 我能顺利的完成论文和学业。在此，我谨以最诚挚的心情向叶老师表示衷心的 感谢。 感谢蔡敏、赵宝、赵晓峰同学，感谢他们在三年研究生学习期间从学习上、 生活中给予我的支持的帮助，与他们共度的这段学习时光充实而快乐，是我一 生中最难忘的回忆。 感谢6 0 5 实验室的徐广芝同学，感谢她为本文实验所做出的帮助，使得本 文能顺利完成。 在此，我还要特别感谢我的父母，在我忙于学业、研究和准备论文的时候， 是他们给予我最有力的支持。当我在学习、生活上遇到困难和挫折时，他们总 能在精神上给我以安慰，使我在学业上更努力，生活上更安定。精神上更坚强。 感谢我的家人及朋友对我的支持和帮助，以及他们为我所做的一切。 最后再次衷心的感谢所有关心和帮助过我的老师和同学们。 作者：徐吉斌 2 0 0 7 年5 月1 2 日 第一章绪论 1 1 研究背景、且的及意义 随着网络技术的飞速发展和i n t e r a c t 规模的增大，基于分布式群通信( g r o u p c o m m u n i c a t i o n ) 的应用领域越来越广泛，例如复杂的空中运输管理、实时股票 市场监控系统、网络协同工作处理、电视电话会议、网络组播、分布式仿真、 备份服务器等，涵盖了入们日常生活的很多领域。然而，对于工作在缺乏安全 的开放性的网络环境中的群通信来说，其对安全的需求日益突出。中国国家计 算机网络应急技术处理协调中心i l 】和美国设立在卡内基梅隆大学的计算机紧 急反应小组协调中心( c e r t c c ) 2 1 公布了近几年来网络安全事故的统计数据， 从这些统计数据可以看出，网络变得越来越不安全，网络安全事故急剧飙升， 通过网络传输的数据很容易遭受窃听、插入、删除、篡改、重放等攻击，没有 相应的安全措施，网络交易的安全性是很难得到保障的。 建立安全群通信系统是这些分布式应用的基本保障，在不安全信道上，为 了能安全、可靠的传输数据，人们往往通过选用效率高、开销小的对称加密算 法和m a c 算法来保证数据传输的安全性和可靠性，然而，这给群安全通信带来 了一个新的挑战：如何设计一个安全、高效、健壮和可扩展的群密钥管理方案， 使群通信中的参与各方得到一个共享密钥，称为群密钥( g r o u pk e y ) 。群密钥可 用于加密、认证和签名等安全服务。可见，群密钥管理是其它群通信安全业务( 如 信息的保密性、可用性和完整性) 的前提。而群密钥管理的开销几乎相当于群通 信系统安全的全部代价，因为对称加密算法和m a c 算法所需要的开销很小，而 密钥管理往往需要耗时的是指数运算以及群成员之间通信的额外开销，因此， 如果能设计出一种安全、高效的群密钥管理方案，整个群通信也将变得安全、 高效。 群密钥的生成是群密钥管理的核心和关键，往往是通过密钥建立( k e y e s t a b l i s h m e n t ) 协议来实现。总体上，密钥建立协议可分为两类j ；基于某种可 信第三方( t t p ) 的( 集中式) 密钥分配( k e yd i s t r i b u t i o n ) 协议和( 分布式) 密钥协商 ( k e ya g r e e m e n t ) 协议。然而，在如今的群通信系统中，系统的成员往往组成的 是动态对等群，在动态对等群中，群的成员是平等的，具有相同的权力和义务； 成员关系具有动态性，可能会随时加入或者离开系统；在对等群组中不存在集 中的服务器来提供群组的安全服务，如访问控制、密钥管理等，传统的单播网 络通信的安全协议难以直接用于对等群通信，基于第三方的集中式密钥分配协 议也已经很难适应现在的动态对等群网络环境，因此，目前绝大多数的通信系 统使用密钥协商协议进行群密钥的生成。 动态对等群中成员的对称性、平等性以及群成员关系的动态性意味着在动 态对等群中，所有成员对于群密钥的生成所做的贡献必须是相同的，成员之问 的关系是对等的，而且群还要经常对群密钥进行协商和重发，因此，对群密钥 协商协议能否保证成员之间的对等地位、协议是否能够满足群密钥协商协议的 安全属性以及协议的计算开销和通信开销都提出了严格的要求，要求协议在执 行的过程中，不存在特权用户，协议本身能够达到相应的安全要求，此外，在 计算量和通信量上要做到最好的平衡，使总的系统开销最小，这是本文研究的 重点。本文的具体目标是： ( 1 ) 设计一个满足动态对等群安全要求的动态群密钥协商协议，该协议应 该具有对等、安全、健壮、高效以及可扩展的特点； ( 2 ) 对该协议进行安全性和计算复杂性分析，表明该协议是对等、安全和 高效的： ( 3 ) 实现所设计的协议方案。 相对于端到端的安全通信，群通信的安全问题更为复杂，从基本算法、系 统和安全协议的设计到安全系统的实现都还有大量未解决的问题1 4 1 ，个安全 高效的群密钥协商算法可以为所有基于群通信的应用领域提供安全保障，能让 安全通信的对等群成为开放网络环境下各种分布式协作的通信框架，因此，研 究设计动态群密钥协商协议具有重大的理论意义和巨大的实用价值，其实用前 景非常广阔。 1 2 国内外研究现状及不足 随着基于动态对等网的应用越来越广泛，动态对等网所需的各种相关技术 正成为研究热点，由于群成员关系的频频变化，会使群密钥协商的代价和开销 越来越大，而群密钥协商又涉及到多个成员，比两个成员之问的密钥协商复杂 性更高，所受到的攻击也越多，因此，近年来，作为安全群通信核心和关键的 群密钥协商协议正逐步成为当前的研究热点之一，下面将介绍前人所作的工作 和研究成果。 群密钥协商协议的研究始于1 9 8 2 年，i n g e m a r s s o n 等人设计了基于 g d h ( g r o u pd i f f i e h e l l m a n ) 假设的群密钥协商协议i n g ，但是，该协议要求成 员同步，n 一1 轮交互，而且未考虑动态情况；s t e e r 等人在1 9 8 8 年针对电话会议 提出一种非常数轮的密钥协商协议，原文中没有分析其安全性，也未考虑动态 情况；1 9 9 6 年，s t e i n e r 等人研究了动态对等群的密钥协商问题，他们提出了一 类“通用n 方d i 街e h e l l m a n 协议，2 0 0 1 年b r e s s o ne ，c h e v a s s u to ，p o i n t c h e v a l d - - - 人提出了密钥协商协议里的显著成果之一b c p 协议，它首次提出了群认 证密钥交换协议的安全性证明模型，并在s t e i n e r 等人的工作基础上设计了新的 认证密钥协商协议，而且利用规约的方法证明了协议的安全性。 随后，群密钥协商协议研究主要向两个方向延伸： 1 、基于树的密钥协商： 现在已有了大量的基于树的密钥协商协议，它们执行轮数一般为o ( 1 0 9n ) 。 2 2 0 0 2 年，k i m ，p e r r i g ，t s u d i k l 5 1 将双方d h 协议扩展成为基于二叉树的协议， 从而产生了一个安全协议族，称之为基于树的群d i f f i e h e l i m a n ( t g d h 】。该协 议族简单而且具有一定的容错性。n a l l a 和r e d d y 将s m a r t 的基于i d 的双方单轮认 证协议扩展为基于i d 的多方密钥协商协议，他采用了二叉树结构，使用了一些 猜测的参数来证明协议可以完成一些令人希望的对抗主动攻击的性质。 2 0 0 3 年，b a r u a t 6 l 等人将基本的j o u x 协议扩展为多方的情形，从而提出了一 个基于三叉树的非认证密钥协商协议并提供了该协议对抗被动攻击的安全性证 明。他们进一步提出了一个可证明安全的基于树的认证群密钥协商协议，并且 分析了在被b r e s s o n 等人形式化的模型中该协议的安全性。 2 0 0 5 年，d u m a 和b a r u a l 7 考虑了b a r a u 等人的方案的动态时的情形，在他们 的考虑中，允许一个用户在他希望的时候加入或者离开群，此时，协议仍然保 持树结构，同时保持最少的密钥更新。 王勇等瞵j 利用二叉树提出了一个动态可认证群密钥协商协议，该协议的通 信开销是常数，计算开销为o ( 1 0 9n ) ，满足隐含密钥认证和完善前向保密等安全 属性。 2 、常数轮次密钥协商： 2 0 0 3 年，b o y d 和n i e t o 9 1 利用加密算法、数字签名算法和h a s h 函数提出了常 数轮回次数认证群密钥协商协议，并提供了该协议在随机预言模型中的安全性 证明以及证明了在这种模型下该协议能达至1 b e e k e r - - w i l l i e 的一轮的下界。然 而，该协议并没有提供前向安全，而且通信和计算复杂度很高。此外，该协议 在计算上是不对称的，因为每次创建一个群密钥时它都需要一个“群领导” ( g r o u pl e a d e r ) 执行0 ( n ) 的加密操作和o ( n ) 的通讯操作。 2 0 0 4 年，c h o i ，h w a n g 和l e e 埘把b d 协议拓展到基于p a i r i n g 的双线性集中， 该协议的安全性依赖于在随机预言模型中c d h 问题的困难。他们也设计了一个 基于i d 的认证群密钥协商协议，这个协议运行在随机预言模型中哈希线性d i f f i e h e l l m a n 假想下( d h b d h ) 。以上的这些协议都有前向安全性。 n a m 等人l i i j 开发了一个具有高效通讯性能的动态群密钥协商协议，这个协 议非常适合于有损和高延迟的非平衡网络。他们的协议允许在一个特定的环境 中协商密钥。这个环境由有限计算资源的移动主机和有相关的高计算能力的固 定主机组成。他们在随机预言模型中分析他们的方案并且证明了在因子分解的 假想成立的条件下它是安全的。 k i m 等人【l2 j 提出了一个非常有效的常数轮回次数的动态认证群密钥协商协 议并提供了在随机预言模型下c h d 猜想中该协议的安全性分析，然而该协议 中，除最后一个成员外，其它成员的随机密钥数值均公开，这就使得整个群密 钥的安全取决于最后一个成员的随机密钥的安全，最后一个成员很容易成为攻 击的焦点和整个协议的瓶颈，且对其它成员来说，大家地位并不平等，最后一 个成员享有特殊的权力，随后，l i i i 硼证明了k i m 的协议不能抵抗由重放导致的 冒充攻击。 2 0 0 5 年，d u t t a 和b a r u a 1 4 i 提出了一种常数轮数群密钥协商协议f d b ) ，它 可以被看成是b u r m e s t e r - d e s m e d t 协议( b d ) 的一个更高效和具有弹性的变体。 2 0 0 6 年，郑世慧【i5 j 等提出了一种两轮的动态群密钥协商协议，并证明此协 议抗被动攻击，满足完善前向安全性和密钥独立性，协议由e i g a m a l 加密和签 名算法组合而成。此外，该协议基于广播信道，也适用于无线网络( 尤其是a d h o e ) 中的群成员协商会话密钥。然而，该协议计算复杂度为o ( n ) 。通信复杂度为 o ( n 2 ) ，协议整体开销太大。 从以上分析可以看出，早期的群密钥协商协议注重协议的计算开销和通信 开销的平衡，然而这两者是一对矛盾，往往难以兼顾；随着计算机计算能力的 大幅度上升，网络延时成为动态对等群的瓶颈所在，群密钥协商协议逐渐向降 低通信开销方向倾斜；而近年来，随着无线网络和手提终端的普及，越来越先 进的攻击手段和越来越复杂的网络环境要求群密钥协商协议更加注重协议自身 的安全性和成员间的对等性。同时，手提终端的能量、计算能力和无线网络的 网络环境对群密钥的计算开销和通信开销也提出了新的要求，要求计算开销和 通信开销都要尽可能的小。然而，目前三者均能让人满意的群密钥协商协议尚 未被提出。 1 3 本文所作的主要工作 在充分的研究了国内外的研究情况和不足之后，本文把研究重点放在了常 轮数对等实体的群密钥协商协议上，提出了一种新的动态常轮数对等实体的群 密钥协商协议，该协议保证群中所有成员完全对等，能满足动态群密钥协商协 议的安全属性，并且其计算开销和通信开销都不大。 在进行群密钥协商的时候，对广播数据的成员的身份进行认证是非常关键 的步骤，以往对数据进行数字签名和验证签名往往都是基于p k i 的，成员的证 书管理十分繁琐，工作量巨大，基于此，本文在协商协议中引入了基于身份的 密码体制，大大减轻了证书管理的工作量。 签密是一个新的密码学构件，它能够在个合理的逻辑步骤内同时完成数 字签名和公钥加密两项功能。而其计算量和通信成本都要远低于传统的“先签名 后加密”，本文在协商协议中利用签密技术，提出一个新的签密方案并应用于协 议之中，成功的解决了参与协商的随机密钥数值在广播时即可保证其机密性， 也能让接收方验证该数据的可信程度这一问题。 椭圆曲线公开密钥密码技术以其密钥短，计算量小的优势正逐步在越来越 多的地方被使用，双线性映射的一些特性也越来越受到大家的重视，本文在协 商协议中使用了椭圆曲线和超奇异椭圆曲线上的t a t ep a i r i n g 构造的双线性映 射，大大减少了每个成员的计算开销和通信开销，成功的降低了整个协议的系 统开销。 4 对协议从理论上进行了复杂度分析，计算了协议在协商过程中成员关系不 变和变化时各种情况下所需运算的次数和通信量，并与k i m 协议和r a t n a 协议 的运算量和安全性进行了比较，通过比较结果说明了本文协议的高效；从理论 上对协议的各种安全属性做了讨论，通过分析讨论，说明了协议能够满足的各 种安全属性，进而说明了协议的安全性。 研究了s p r e a d 系统和m i r a c l 大数运算库，利用它们提供的通信服务和密码 学基础函数设计实现了相关的密码学算法，并在此基础上实现了本文提出协议 的模型，在局域网中利用该模型做了实验，通过统计实验数据验证了协议的可 行性和理论分析的正确性。 1 4 论文结构 本文后继章节安排如下： 第二章详细的介绍了动态群密钥协商协议的概念、分类和它们所要求具有 的安全属性。介绍了设计一个动态群密钥协商协议的原则和目标； 第三章详细介绍了本文提出的协议所需的数学理论和密码学技术； 第四章是本文的重点，详细介绍了本文提出的常轮数动态群密钥协商协议， 说明了群密钥的协商方法、群成员关系发生变化时该协议的辅助算法，最后对 该协议的安全性和效率进行了分析； 第五章以软件的形式实现了该密钥协商协议，并测试了该协议的运行情况， 验证了它的安全性和可行性； 最后一章对全文作了总结，并展望了下一步的研究工作。 第二章动态群密钥协商协议概述 2 1 网络安全简介 i t u t x 8 0 0 标准i 坫l 将我们常说的“网络安全( n e t w o r ks e c u r i t y ) ”进行逻 辑上的分别定义，即安全攻击( s e c u r i t ya t t a c k ) ：是指损害机构所拥有信息的安 全的任何行为：安全机制( s e c u r i t ym e c h a n i s m ) ：是指设计用于检测、预防安 全攻击或者恢复系统的机制；安全服务( s e c u r i t ys e r v i c e ) ：是指采用一种或多 种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的 服务。 2 1 1 安全攻击 安全攻击指的是有损于组织机构所拥有的信息安全性的所有操作。它包含 四种类型的攻击：“中断系统服务”、“截取信息”、“修改信息内容”和“捏造 信息”。其中“中断系统服务”是针对可用性的攻击，“截取信息”是对机密性 的攻击，而“修改信息内容”是对完整性的攻击，“捏造信息”则是对真实 性的攻击。 上述四种类型的攻击又可以分为主动攻击和被动攻击两种。主动攻击涉及 到数据流的修改和创建错误数据流等。包括伪装、重放( r e p l a y ) 、修改信息和 拒绝服务( d e n yo fs e r v i c o ，d o s ) 等。被动攻击的特点是窃听和监视信息的传送， 它包括泄漏消息内容和通信流量分析等。对付主动攻击的重点是检测，而对付 被动攻击的重点是预防。相比而言，对付被动攻击的难度要远远大于对付主动 攻击。 2 1 2 安全机制 安全机制指的是用来检测、预防或从安全攻击中恢复原有信息的机制。为 了向用户提供安全服务，i t u tx 8 0 0 标准定义了以下1 3 种安全机制： ( 1 ) 加密机制 使用数学算法将数据转为难以理解的信息。对数据的转换和恢复依赖于算 法和0 个或更多的密钥。 ( 2 ) 数字签名机制 附加于数据单元的数据，也可以是对数据单元的加密转换。它允许数据单 元的接收者证明源和数据的完整性，同时防止数据伪造。 ( 3 ) 访问控制机制 多种用于实施资源访问权限的机制。 ( 4 ) 数据完整性机制 多种用于确保数据单元或者数据单元流的完整性的机制。 ( 5 ) 认证交换机制 6 通过信息交换来确保实体身份的机制。 ( 6 ) 流量填充机制 在数据流的空隙中加入数据位以防止流量分析。 ( 7 ) 路由控制机制 能够为特定的数据选择特定的、在物理上安全的路由，并且允许改变路由， 尤其是当怀疑存在安全侵犯的时候。 ( 8 ) 公正机制 采用可信任的第三方以便确保一些信息交换的机制。 ( 9 ) 可信任的功能性 相对于某个标准而言正确的功能。 ( 1 0 ) 安全标签机制 在资源( 可能是数据单元) 上绑定记号，用来命名或者指定该资源的安全 属性的机制。 ( 1 1 ) 事件检测机制 检测与安全相关的事件的机制。 ( 1 2 ) 安全检查跟踪机制 利用收集的以及可以用于安全检查的数据对系统记录和行为进行单独的检 查和分析的机制。 ( 1 3 ) 安全恢复机制 处理各种来自机制( 比如事件处理和管理功能) 的请求，并采取恢复行为 的机制。 2 1 3 安全服务 安全服务是指提高数据处理安全性和信息传递安全性的服务，这些服务可 能受到安全攻击，因此一般使用一种或多种安全机制来提供此项服务。i t u t x 8 0 0 标准将安全服务分为5 个类别和1 4 种具体服务： ( 1 ) 机密性 防止数据在未被授权的情况下发生泄漏，是为防止被动攻击而对传送数据 进行的保护。 ( 2 ) 身份鉴别 确保通信实体就是所声称的实体，以鉴别对方身份的真实性，从而保证信 息的可靠性。 ( 3 ) 不可否认性 针对否认操作提供保护，通过在通信中参与全部或者部分通信的一个实体 来实现，以防止发送方或接收方否认信息的传送。 ( 4 ) 完整性 确保接收的数据与授权实体发送的数据一致( 即不会发生更改、插入、删 7 除或者重放) ，以防止信息在传输途中被篡改。 ( 5 ) 访问控制 限制和控制通过通信链路对主机和应用的访问，预防未经授权就使用资源。 从上述的网络安全简介可以看出，在开放的网络环境中存在着许多不安全 的隐患，为了能在这样的网络环境中安全的进行数据交换和信息传递，人们设 计了多种密码学方案和安全协议来提供网络安全所需要的安全服务，当许多人 希望能通过网络相互之间安全的进行数据交换和信息传递时，人们往往就通过 使用动态群密钥协商来提供相应的网络安全服务，动态群密钥协商协议为人们 通过网络相互通信提供了安全保障。 2 2 动态群密钥协商协议简介 密钥协商是继加密和数字签名之后的密码学的基础之一，这种协议允许两 个或更多的参与方通过敌方可控制的、不安全的网络相互交换信息、认证对方 身份以及协商共用的会话密钥，协商的密钥可以用于今后各参与方间的秘密通 讯。由于会话密钥由各参与方共同协商，从而保证了会话密钥生成的公平性； 同时，各参与方均拥有相同的会话密钥，所有参与会话的各方可以用效率很高 的对称密钥密码算法来加密要传输数据；此外，由于每次协商的会话均不相同， 确保了数据传输时能一次一密，为每次会话的内容提供了完善保密性，亦可防 止敌方实施重放、伪造等一些攻击。因此，安全的密钥协商协议被认为是构建 各参与方自j 安全通信的基石。 因此，密钥协商协议最终是使通信各方拥有共享的秘密，这一秘密通常被 称为一个群密钥( 或被用来导出群密钥) 。群密钥实际上是一个短期秘密，其应 用时效并不长，( 如应用于单次的电信连接或会话中) 。对于短期密钥( 群密钥) 的应用则源于以下几种考虑； ( 1 ) 限制可用于密码分析的经同一固定密钥加密的密文量： ( 2 ) 限制暴露，即限制在密钥损坏时，限制数据泄露的时段和数量： ( 3 ) 避免在大规模频繁通信过程中，长期存储大量不同密钥，而只需在通 信需要时产生相应的会话密钥即可： ( 4 ) 保持每次通信会话和应用的独立性； ( 5 ) 避免在回话过程中对状态信息的维护。 此外，网络中常用的动态对等网最显著的特性是对称性和动态性。群中每 一个成员都是平等的、对称的，任何成员无权擅自决定会话密钥，同时成员加 入或退出频繁( 称之为成员事件) 。 因此，鉴于短期密钥的要求和动态对等网的特点，用于动态对等群的动态 群密钥协商协议通常分为两部分：初始密钥协商算法和辅助密钥协商算法。 初始密钥协商算法就是在群刚刚组建时，群成员共同生成一个会话密钥。 算法不需要一个集中的、可信的第三方，成员之间不存在公共的秘密通信信道， 8 它要求群里的所有成员分别独立选取并提供一个密钥数值k 。，然后与其它成员 交换随机子密钥值，最后各自独立计算出相同的群密钥s i c = f ( k l ，k 2 ，k 。) ，其 中厂是一个单向函数，而且群密钥的计算方法还必须能够保证： ( 1 ) 每个提供密钥数值k l 的成员均可计算出群密钥s k ； ( 2 ) 在不知道任何毛的情况下不能得到任何关于群密钥站的信息； ( 3 ) 所有的k j 是秘密的，以便在后继的密钥协商中继续使用p 】。 辅助密钥协商算法负责成员事件发生时密钥的更新问题，由管理员选取随 机子密钥，然后分发给其余成员。通常考虑的成员事件包含：单个成员加入算 法、单个成员离开算法；多个独立的成员加入算法、多个独立的成员离开算法； 子群合并算法、子群离开算法和子群裂变算法。此外，在安全策略中，会对每 个会话密钥使用的期限或次数有所限制，也就是说，即使不发生成员事件，也 必须定期更新会话密钥。 从上面可以看出，用于动态对等网的动态群密钥协商涉及到很多安全问题， 如成员身份认证、安全与效率的折衷以及群密钥的动态更新问题。其中，群密 钥的动态更新问题是研究的重点。群密钥协商不是端对端会话密钥协商的简单 扩展，它比端对端的会话密钥协商要复杂很多。在群通信中，群密钥协商协议 必须确保只有授权群成员才能得到群密钥进而参与群会话，而且即使是授权的 合法成员，只要其已经退出该次群会话，则不允许其了解后来的群会话的内容 的，但由于群的成员是动态变化的( 其成员可以随时自由的加入和离开群组) ， 所以，群密钥协商的一大困难问题就是如何处理群组成员的动态变化，即当群 中存在成员的加入或离开情况时，如何能及时有效的更新群密钥。特别是对于 分布式环境下的大型群，人数众多，环境复杂，如何能在成员可以接受的时间 内更新群密钥，安全有效地处理动态群成员关系的变化带来的安全问题，是群 密钥协商研究的关键和难点。 另外，成员之间是否完全对等也是群密钥协商需要考虑的问题。如果在群 密钥协商的时候，成员之间并不完全对等，存在着拥有特殊权限的成员，那么， 该成员往往会成为整个协议安全性和效率的瓶颈，成为网络攻击的焦点和对象， 而现在很多群密钥协商协议并没有很好的做到成员对等，协议中还存在可信第 三方或者特殊成员，使协议的安全性能和适用范围都大大减少。 最后，成员的身份认证问题也是群密钥协商的关键之一。通过身份认证， 我们才能知道与自己通话的人是否是合法的参与成员。在协商的过程中，未经 授权的非法用户是不允许参与群密钥协商的，即使是合法用户，也必须以自己 的真实身份参与密钥协商，利用自己的合法权限冒充别的合法用户也是不允许 的事情，为了杜绝这类事情的发生，身份认证作为一个很好的解决方案成为群 密钥协商协议的重要组成元素之一，身份认证方案的安全性如何，直接关系到 整个群密钥协商的安全性和随后的群会话内容的安全性。 9 目前，人们经过二十多年的研究，提出了为数众多的群密钥协商协议，然 而，很多协议由于存在着扩展性问题、安全性问题或者效率问题等而受到应用 的限制，还有很多问题有待于进一步的研究。 2 3 动态群密钥协商协议的分类 在现实中，我们往往根据动态群密钥协商协议是否提供密钥认证或者密钥 拓扑结构来对数目众多的动态群密钥协商协议进行分类。 密钥协商协议的安全属性和性能决定了它所适用的网络环境。仅能抵抗被 动攻击，并且计算开销较小的协议比较适用于攻击相对较少，范围较小的网络 环境。而能够抵抗主动攻击，并且通信开销较小的协议则比较适用于存在大量 攻击的开放式网络环境。提供密钥认证是协议能够抵抗主动攻击的前提条件， 因此我们可以把协议分成无认证的和可认证的两类。 ( 1 ) 无认证群密钥协商协议 在群密钥协商协议中，并没有提供密钥认证功能，我们称之为无认证群密 钥协商协议，如早期的b o y d ，g d h ，b d 等协议，这类协议由于存在很大的安全 性问题，现在几乎没有了。 ( 2 ) 可认证群密钥协商协议 在一个密钥协商协议中，如果协议的每一方都确信共享密钥只有协议的参 与者才知道。则称此协议提供了隐含密钥认证( i m p l i c i tk e ya u t h e n t i c a t i o n ) ；如 果协议的每一方都确信其它方已经拥有了共享的密钥，则称此协议提供了密钥 证实性( k e yc o n f i r m a t i o n ) 。如果一个密钥协商协议提供了密钥认证功能。则称 此协议为可认证密钥协商协议( a k 协议) ；如果它同时提供了密钥证实性。则称 此为带证实的可认证密钥协商协议( a k c 协议) 】，如a g d h 、a k e 协议等。 协议的性能取决于密钥的构成方式，因此，根据密钥的构成方式( 即群成员 在密钥协商时的网络通信拓扑结构) ，动态群密钥协商协议可分为基于环形和基 于树型两种i l ”。 ( 1 ) 基于环形群密钥协商协议 在环形密钥协商中，n 个成员按序号组成环，他们共享一些公开的数值， 分别独立产生一个秘密数值并计算中间值。然后，把这些中间值按环的方向传 递给相关的成员，最后每个成员都能根据自己在环中所处的位置，利用这些中 间值以及自己的秘密数值计算得到群密钥。早期的基于环形的协议由于自身的 问题使得其计算量和通信量随成员数目的增长而线性增长，可扩展性较差，如 早期的b o y d 、g d h 、b d 、a g d h 、a k e 协议等，但后来，随着人们的进一步 研究，也提出了一些很好的基于环形结构的协议，如文献【1 2 j 中的协议，本文所 提的协议也是基于环形结构的，但巧妙的避免了早期基于环形结构协议的效率 问题，其效率比基于树型结构的协议要高很多。 ( 2 ) 基于树型群密钥协商协议 基于树型的的密钥协商协议在基于环形群密钥协商协议之后出现的，如 d t k m 、n a g k e 、t g d h 、s t r 、a g k a 、a g k a g 等协议，其核心思想是把 群密钥管理中的两种重要趋势统一起来：使用密钥树来高效地计算和更新群密 钥；使用d h 密钥交换来实现具有可证明安全性的协议。在协议中，n 个成员 按二叉树或者三叉树的形式组织起来，每个节点i 与两个密钥相关，分别是秘 密密钥k l 和盲密钥| 净g ( 后，) ，其中g 是一个单向函数。成员对应叶节点，每个 成员为自己产生唯一的秘密密钥，并把相应的盲密钥发送绘其兄弟节点。每个 内部节点的密钥是其两个子节点的秘密密钥的函数，群成员只要知道其中一个 子节点的秘密密钥和另一个子节点的盲密钥就能计算出该内部节点的秘密密 钥。经过l o g 蚪( n 是成员数目) 次计算，最终每个成员都能计算出群密钥。 基于树型的群密钥协商协议可以高效的进行密钥的计算和更新，很大程度 上解决了密钥协商的扩展性问题，但由于其协商的轮数与成员是函数关系，因 此无法设计出常数轮数的协商协议，成员越多，则协商的次数会越多。 2 4 动态群密钥协商的安全威胁 在进行协商的群中，存在着两种成员，一种是合法的成员，而另一种则是 未被授权的非法成员，他们有各种各样的称呼：攻击者( a t t a c k e r ) 。对手 ( a d v e r s a r y l ，敌人( e n e m y ) 、入侵者( i n t r u d e r ) 、窃听者( e a v e s d r o p p e r ) 或冒名顶 替者( i m p o s t o r ) 。他们总是试图进行攻击密钥协商协议，获取群会话内容等活动。 按他们所进行的攻击不同，我们把他们的攻击行为分为被动攻击( p a s s i v e a t t a c k ) 和主动攻击( a c t i v ea t t a c k ) 两类1 i 8 。 被动攻击是指攻击者试图通过简单记录数据、分析数据来进行的攻击；主 动攻击指攻击者通过篡改、插入消息来进行的攻击。协议信息通常假定在开放 式网络中进行传输，在开放式网络中，d o l e v 和y a o 提出了著名的威胁模型， 该模型被广泛采纳为密码协议的标准威胁模型1 1 9 | ，本文提出的协议亦基于此威 胁模型。该模型假设攻击者具有如下能力： ( 1 ) 可以窃听所有经过网络的消息： ( 2 ) 可以阻止和截获所有经过网络的消息； ( 3 ) 可以存储所获碍或自身创造的消息； ( 4 ) 可以根据存储的消息伪造消息，并发送该消息； ( 5 ) 可以作为合法的主体参与协议的运行。 在现实中，群成员进行群密钥协商时，攻击者可能进行各种尝试和攻击： ( 1 ) 利用搭线窃听获得的信息推演会话密钥； ( 2 ) 暗中参与其他用户发起的协议，对协议施加自己的影响，如：替换消 息以使得自己能够推演出会话密钥； ( 3 ) 发起一个或多个协议操作，然后结合来自各方的消息以试图假扮成为 通信的某一方或进行上面的攻击； ( 4 ) 自身无法推演出会话密钥，丽欺骗一个合法通信者，使合法者相信攻 击者与之共享一个密钥。易受此种攻击的协议是非弹性的； ( 5 ) 在非认证密钥建立中，存在仿冒攻击： ( 6 ) 中间人攻击。 由此，我们可以看出，动态等对群成员在进行群密钥协商的时候，由于网 络环境的开放性，整个协商过程会受到各种各样数目众多的攻击，因此。人们 对