论文部分内容阅读
近年来,安全可靠的组通信已成为研究领域的热点问题,尤其是在基于组的应用和合作领域,组安全通信越来越受到人们的关注。组安全通信的设计关键点在于如何在不可靠的网络环境维护组通信的机密性。数据加密是实现安全组通信的实际途径,即使是IP分组被泄露到整个网络,也能保证只有经过认证的用户才能解密组播数据。 在安全组通信中,数据发送者用组密钥来加密业务,并且组内每个成员都共享同样的组密钥用于解密数据。为了保证后向与前向机密性,在整个组播会话过程中,每当有用户加入或退出时都必须改变组密钥。这一过程称为密钥更新(Rekey),它保证了一个新加入的用户无法访问之前的组播数据,并且一个退出的用户无法继续解读在它离开之后组播的数据。这就是密钥管理问题,设计安全高效的密钥管理协议面临着许多挑战。其主要难点在于组的动态性,即组成员可以在任意时刻加入或退出组。 本文的研究主要包括组密钥管理的系统结构,动态对等组密钥协商和更新协议,在此基础上实现了一个组密钥管理系统并将其应用于IPSec VPN,实现网关组的安全关联。具体地说,本文的工作内容包括以下几个方面: 根据组密钥管理系统的密钥控制模型的差异,将其分为三类:集中式密钥分发,分散式密钥分发,对等密钥协商。其中基于对等组密钥协商的密钥管理系统具有以下特点:(1)组成员为平等关系,无逻辑或物理的层次关系,因此不存在性能和安全的瓶颈结点,没有单点失效问题,可用性高;(2)组密钥由组内各成员贡献的随机数生成,因此组密钥的随机性比其它两类系统更为健壮。该类密钥管理系统是本文研究的重点。现有的对等组密钥管理系统建立在组通信基础上,存在的结构复杂,效率低,鲁棒性低等问题,制约了组密钥管理系统的应用。本文针对IPSec VPN中组密钥管理的需求,提出了一种模块化对等组密钥管理结构,在可靠多播服务和基于中心节点的简单成员关系服务上建立组密钥协商。 安全性和协商效率是评价组密钥管理协议的关键指标,在保证相同安全性的基础上,如何提高协商效率是一个关键课题,对组密钥的应用具有现实意义。本文首先就安全性和协商效率两个指标对现有的动态对等组密钥管理协议进行系统的分析和比较。利用降低密钥协商的轮数、通信量和计算量作为提高协商效率的途径,提出了一系列的高效动态组密钥协商协议。该系列协议具有以下特点:(1)引入配对(Pairing)运算和基于身份的公钥基础设施(Identity Based