2009年8月第21卷第4期石家庄职业技术学院学报Jollrna]ofShijiazhuangVocational’FechnologyInstituteAug.2009VnI.2lNo.4文章编号:1009.4873(2009104—0033—03安全组播密钥管理方案研究鲁增秋1,田文英2,何利娟2(1.河北体育学院现代技术教育中心,河北石家庄05004l;2.石家庄职业技术学院信息工程系,河北石家庄050081)摘要:组播密钥管理通过为组播成员生成、发送和更新组密钥来满足加密认证等安全需求.组播密钥管理方案的设计,除满足基本的安全需求外,还要兼顾可扩展性,健壮性、可靠性等多方面目素.分析了组播密钥管理所面临的问题,通过对已有组播密钥树方案的介绍,探讨和总结了组播密钥管理的研究现状.关键词:IP组播;密钥;管理中图分类号:TP309.7文献标识码:A组播技术是一种新的、高效的网络传输方案.它是面向组的介于单播和广播通信之间的数据传输方式,能够有效地节约网络带宽、降低网络负载.正是基于以上特点,组播技术有着广阔的应用前景,如:虚拟会议、网络辅助协同工作、多媒体实时点播、网络游戏和军事仿真等.随着组播应用的不断增加及参与者的增多,安全的组播通信逐渐成为当前的研究热点,研究成果也越来越丰富.实现安全组播的一个重要手段是使用加密技术对通信数据进行加密保护.组播密钥管理的功能一方面是密钥的分发,另一方面是对密钥进行管理以适应组成员关系的变化.1组播密钥管理的作用组播密钥管理为参与组播的成员生成、分发和更新组密钥(GroupKey,GK),组密钥是所有组成员都知道的密钥,被用来对组播报文进行加密/解密、认证等操作,以满足保密、组成员认证、完整性等需求.与单播的密钥管理相比,向前加密(forward同谋破解是组播密钥管理特有的问题.…向前加密:对主动离开或被强制退出的组成员,必须保证其无法继续参与组播,即无法利用它们所知的密钥解密后继的组播报文和生成有效的加密报文.con—之前的组播报文.同谋破解:避免因几个恶意节点联合起来,掌握足够多的密钥信息,使得系统无论如何更新密钥它都能获得更新后的密钥,导致组播密钥管理向前和向后加密失效,或者使得恶意节点可以冒充其他节点进行欺骗.2几种典型的组播密钥管理方案目前,根据拓扑结构的不同,组播密钥管理方案可以分为3类:集中式管理、分布式管理和分组式管理.2.1集中式管理方案集中式管理方案的特点是通过一个中心组管理器(GroupController,GC)来负责全组的安全管理事务,包括密钥的生成、分发和更新.最典型的是组密钥管理协议GKMP(GroupKeyManagementProto.c01),其体系结构如图1所示.fidentiality)、向后加密(backwardconfidentiality)和图1GKMP体系结构【2】向后加密:对新加入的组成员无法破解它加入GKMP是一种简单的采用集中控制的组播密收稿日期:2009—03—30作者简介:鲁增秋(1977一),男,河北泊头人,河北体育学院讲师,研究方向:计算机网络技术万方数据 34石家庄职业技术学院学报第21卷钥管理方案.这个协议存在2种对称密钥:加密组中通信数据的密钥G1’EK(GroupTrafficEn.cryptingKey)和加密密钥时使用的密钥(:TEK(GroupKeyEncryptingKey).整个组共享一个GTEK,并且每个节点都单独与GC预先共享一个GKEK,以确保和组控制器通信时的安全.GC在第一个节点的帮助下生成组播密钥报文(;KI,(GroupKeyPacket),GKP中包含GTEK和GKEK.当有新的成员加入时,GC用与该节点共享的密钥发送GKP,如需更新密钥,GC生成新的GKP,并用当前的GKEK加密后进行组播.GKMP中的密钥管理结构如图2所示,GKEKl、GKEK2、GKEK3、GKEK4为组成员M1、M2、M3、M4与GC之间的共享密钥.①①④①图2GKMP中的密钥管理结构GKMP方案的优点是:(1)使用集中平面型管理方式,有利于组播的管理,可以方便地施加身份认证等措施;(2)组成员只需存储两个密钥,存储开销较小.GKMP方案的缺点是:(1)由于对GC节点的依赖性,易单点失效而引起整组瘫痪;(2)存在密钥更新开销较大、周期性更新密钥过程复杂、计算开销高的缺陷,对GC节点要求较高,易形成性能瓶颈,可扩展性差.2.2分布式管理方案在分布式的组播密钥管理中,参与通信的节点是对等的,通过某种密钥协商算法生成组密钥,在组成员之间交换和更新密钥.最典型的是Clique分布树如图3所示.【3JClique组播密钥管理算法利用Diffie—Hellman(DH)密钥协商算法的一种变体来实现组密钥的生分布式组播密钥管理方案的优点是:万 方数据(1)不存在集中控制中单一失效点的问题;(2)适合PeertoPeer的应用模式.分布式组播密钥管理方案的缺点是:(1)缺少集中控制,给管理带来困难;(2)通过组成员协商的方式产生和更新密钥,密钥计算量大,传输时间长,易形成瓶颈.图3分布式组播密钥管理的逻辑密钥树2.3分组式管理方案在分组式组播密钥管理方案中,组成员都是一种树状层次结构的一部分.树的中间节点帮助进行密钥分配.层次型组播密钥管理协议可分为2种类型:一种是基于层次节点的层次型组播密钥管理协议,主要包括SMKI)协议和Iolus协议;另一种是基于层次密钥的层次型组播密钥管理协议,主要包括基于KeyGraphs的组播密钥管理协议.本文以Iolus协议为例进行介绍,如图4所示.图4Iolus系统组成示意图Iolus是斯坦福大学的SuvoMittra提出的一个基于层次分布树的安全组播框架.Iolus对组成员进行分组,每个子组有一个组安全代理(GroupSecuri.tyAgent,简称GSA)负责管理该子组,所有GSA组成~个更高一级的组,由组安全控制器(GroupSe.Controller)管理.10lus的特点是各个子组采用的组密钥,组播报文在从子组A传播到子组B时要被GSA翻译,即用A的组密钥解密,再用B的J式密钥管理算法,分布式组播密钥管理的逻辑密钥成和发布,I)H算法通常被用来在通信双方之间协商密钥.curity组密钥加密.【4第4期鲁增秋等:安全组播密钥管理方案研究Iolus方案的优点是:(1)使密钥更新的开销减小;(2)实现了一定层次上的分布安全性,当某个子组受到攻击时,不会影响其他组成员:(3)具有可扩展性.10lus方案的缺点是:(1)多个分组的管理增加了系统的存储和处理开销;(1)不能确定哪些组成员是消息发送者或接收者,只能确定消息发送者或接收者是组成员,组通信参与者不具体.(2)全体组成员利用组密钥实现安全通信,共用一个秘密通道,不能根据成员的需求构建多个秘密通道,未实现灵活的子组通信.4结束语组播环境下密钥管理问题复杂,迄今为止还没(2)必须充分信任中间节点GSI,具有安全风险.有一个非常好的适用于所有应用场合的密钥管理方法.本文对3种主要的方案及相关研究成果进行了分析,并在此基础上探讨了目前组播密钥管理方案的共同缺陷和面临的问题.由于组播技术仍在迅速发展,因此,还需进一步对这一领域进行研究.3当前组播密钥管理研究面临的问题目前,组播密钥管理的研究较关注可伸缩性问题,以降低组播密钥更新代价,提高组播密钥更新效率,但还存在以下问题:参考文献:[1】徐明伟.董晓虎,徐恪.组播街钥管理的研究进展[J].软件学报.2004,15(i):141.150.[2]张颖.卢世海.张锋.组播密钥管理协议分析与改进[J].中原工学院学报.2005,16(2).[3]席宝国.纽播密钥管理方案的研究【D】.杭州:浙江大学.2007[4]邹艳.安全组播解决方案的研究[J].掘建电脑,2007,(6).责任编辑:金欣OnsecuritymulticastkeymanagementLUZeng.qiul,TIANWen.yin92。HeLi—juan2050081,China)a<1.ModernEducationTechnologyCenter。HebeiPhysicalEducationInstitute,Shijiazhuang,Hebei050041.China;2.DepartmentofInformationTechnology。ShijiazhuangVocationalTechnologyInstitute.Shijiazhuang.HebeiAbstract:Asmuhicastcommunicationisusedextensively,itssecuritymuhicastkeymanagementbecomesproblem.Itisusedforgroupmembersincryptiononemuhicastsessiontogenerate,refreshandtransferthekeysforen-andauthentication.Sothemaintenance,scalability,reliabilityandrobustnessofkeysshouldbecarefullypaperconsidered.Thisschemes.studiestheexistingproblemsinkeymanagementformultieast,andcertaintypicalKeywords:IPmuhicast;key;management万方数据 安全组播密钥管理方案研究
作者:作者单位:刊名:英文刊名:年,卷(期):
鲁增秋, 田文英, 何利娟, LU Zeng-qiu, TIAN Wen-ying, He Li-juan
鲁增秋,LU Zeng-qiu(河北体育学院现代技术教育中心,河北石家庄,050041), 田文英,何利娟,TIAN Wen-ying,He Li-juan(石家庄职业技术学院信息工程系,河北石家庄,050081)石家庄职业技术学院学报
JOURNAL OF SHIJIAZHUANG VOCATIONAL TECHNOLOGY INSTITUTE2009,21(4)
参考文献(4条)
1.徐明伟;董晓虎;徐恪 组播密钥管理的研究进展[期刊论文]-软件学报 2004(01)2.张颖;卢世海;张锋 组播密钥管理协议分析与改进[期刊论文]-中原工学院学报 2005(02)3.席宝国 组播密钥管理方案的研究 2007
4.邹艳 安全组播解决方案的研究[期刊论文]-福建电脑 2007(06)
本文链接:http://d.g.wanfangdata.com.cn/Periodical_sjzzyjsxyxb200904011.aspx