无线网络的组播密钥管理

1、华中科技大学硕士学位论文摘 要组播是一种优化使用带宽的路由技术，允许 ip 数据流从一个源或多个源发送到多个目的地。组播有助于控制网络的流量，减少网络传输开销、减少主机的处理量。组播克服了单播和广播的固有瓶颈，适用于多点环境下的多种应用。随着无线移动通信和移动终端技术的高速发展，无线网络越来越普及，组播技术必定会从有线网络过渡到无线环境。internet 组管理协议 igmp(internet group management protocol)为组播系统提供成员的加入和退出机制缺乏安全性，带来了典型的三大安全组播问题：组播用户管理、源验证和组播密钥管理，其中组播密钥管理是最大的难点。首先分析

2、了各种传统密钥方案，在 lkh 密钥管理方案的基础上设计了一个新的适应基于基础设施无线网络环境的密钥管理方案。该方案由一个有线的网络节点来担任组管理者的角色，来负责密钥树的建立，处理成员的加入、离开等请求，将成员按隶属的各个基站分类，基站作为儿子节点附于组管理者节点下，这样可以省去很多不必要的开销。而且在密钥更新方式上使用了单向哈希函数，使得加密开销和通信开销都有所降低。针对无线网络中用户的可移动性，给出了对传递(hand-off)问题的解决方案，有效降低了由于用户在各个基站间频繁移动造成的密钥更新开销。为了证明新方案在性能方面的优越性，分别在密钥计算量、加密开销、通信开销和密钥的存储量等方面

3、做了定量分析，并与简单密钥管理中心skdc(simple keydistribution center)方案和逻辑密钥层次树lkh(logical key hierarchy)两种传统的密钥管理方案在理论上进行了性能比较。基于上述工作，在网络模拟器 ns-2 上实现了新密钥管理方案，得出了相关数据，并同上述两种方案做了比较，表明新方案确实在性能方面有一定的优越性，最后分析了新方案的安全性，其保证前向和后向安全性的同时，也保证了抗同谋性。关键词：安全组播，无线网络，组播密钥管理，逻辑密钥层次树，传递问题i华中科技大学硕士学位论文abstractmulticast is an optimal us

4、e of bandwidth routing technology, and it allows ip datastreams to be send from a source or sources to a number of destinations. multicast helpscontrol network traffic and reduces network transmission costs, reduce computerprocessing capacity. multicast overcomes the bottlenecks inherent in broadcas

5、ting andunicasting, and is more applicable to a wide variety of applications environment. aswireless mobile communications and mobile terminal technology of high-speeddevelopment, the increasing popularity of wireless networks, multicast technology will bethe transition from wired to wireless networ

6、k environment. internet group managementprotocol (igmp) provides multicast system for members to join and withdraw from themechanism with the lack of security, and brought the typical three multicast securityproblems: multicast user management, source authentication and multicast keymanagement. mult

7、icast key management is the biggest difficulty.on the basis of analyzing the traditional key management mechanisms, especiallylkh, an improved multicast key management scheme which adapting to the wirelessnetwork environment based on the infrastructure was given. the scheme consists of acable networ

8、k node as the manager of the multicast group, and is responsible for theestablishment of key tree, treatment of the user requests such as the request to join or leave.the base stations are attached to the group managers as sons nodes and the multicastmembers will be classified according to the base

9、stations the member belonged to, so a lotof unnecessary duplication of overhead will be saved. moreover, the rekeying approach isbased on the one-way function key management scheme, which making encryption andcommunication overhead decreased. because of the random mobility of wireless users, asoluti

10、on to the hand-off problem was proposed to effectively reduce the rekeying overheadcaused by the frequent exchanges in various mobile base stations.in order to prove the superiority in performance of the new scheme, the articleanalyzing the performance in the respect of key encryption overhead, the

11、cost ofii华中科技大学硕士学位论文communication and storage of keys, and compared with simple key distribution centerscheme the traditional logical key hierarchy scheme.also the proposed scheme was run in the network simulator ns-2, and got therelevant data. comparison was done among the new scheme and the above

12、-mentioned twooptions, and the new scheme is to a certain extent in the performance of the superiority,final analysis of the security of the scheme, which guarantees not only the forward secrecyand backward secrecy, but also secure against arbitrary collusion attacks.keywords：secure multicast，wirele

13、ss network，multicast key management，logicalkey hierarchy，hand-offiii独创性声明本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知，除文中已经标明引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体，均已在文中以明确方式标明。本人完全意识到，本声明的法律结果由本人承担。学位论文作者签名：日期：年月日学位论文版权使用授权书本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有权保留并向国家有关部门或机构送交论文的复印件和电子版，允许论

14、文被查阅和借阅。本人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。保 密 ，在_年解密后适用本授权书。本论文属于不保密.（请在以上方框内打“”）学位论文作者签名：指导教师签名：日期：年月日日期：年月日华中科技大学硕士学位论文1 绪论1.1 课题的背景无线局域网(wireless local area network，缩写为“wlan”) 是计算机网络与无线通信技术相结合的产物。无线局域网利用了无线多址信道的一种有效方法来支持计算机之间的通信，并为通信的移动化、个性化和多媒体应用提供了可能。1971，夏威夷大学(u

15、niversity of hawaii)的研究员创造了第一个基于封包式技术的无线电通讯网络，这被称作 alohnet 的网络，也就是早期的无线局域网络(wlan)。无线局域网虽然具有易于实施，减小成本和管理代价，灵活及效率高的特点，但是无线技术缺乏固有的物理保护，容易遭受更多的网络安全攻击，而且不容易检测。最新的无线以太网兼容性联盟(weca)的企业调查结果表明：50%已经采用wlan 的企业和 72%的潜在企业用户对 wlan 的安全性不满意。并且由于无线局域网的安全无法得到保障，禁止使用 wlan 的企业和组织也越来越多，其中包括美国lawrence livermore national

16、laboratory (llnc)，以及 2004 年在雅典举行的奥运会上，由于 wi-fi 的安全性问题，国际奥委会在雅典奥运会的网络架构中没有铺设wlan 网络。从上我们可以看出 wlan 必须将安全性问题摆在前所未有的重要位置，否则安全性问题将会成为 wlan 产业发展中的最大阻力。因为无线局域网存在以上一些安全问题，综合考虑无线局域网的安全特性，无线局域网对于安全的需求主要包括四个方面：1. 数据机密性；2. 数据完整性；3. 密钥管理；4. 身份认证。目前，密钥管理是无线局域网的一个薄弱环节，为无线局域网配置合适的密钥管理机制，使其密钥能够动态地生成和分发，能够动态更新，才能使无线局

17、域网免于攻击。构建强健的密钥管理对系统的安全性起着决定性的作用。在网络数据传输应用中，数据传送分为单播，广播和多播三种方式。很多网络应用程序，例如：股票数据服务，交互式视频会议等都需要将数据包从一个或多个用户传输到一组用户手中。在这一类服务中，多播传输方式为 n 个用户只传送 1 份数据而不是为 n 个用户传送 n 份数据，因此大大节省了网络带宽，减少了服务器负1华中科技大学硕士学位论文担。随着移动通信的普及，会有更多的多媒体数据业务出现在无线通信领域。而随着这些数据应用的发展，多播服务也会从传统的有线信道转移到无线信道上来。传统的安全措施（公钥、私钥、认证、签名等）大多应用于单播环境中，多播

18、环境中，由于多播机制，使某一用户发送到一组合法用户手中的数据可能被组外非法用户接收监听，因此在多播以及无线多播环境中建立一个可靠的组安全架构至关重要，所以一个好的组密钥管理方案是多播安全的保障。1.2 国内外研究概况密钥管理技术是密码系统中重要组成部分，它包括密钥的产生、存储、装入、分配、保护、丢失、销毁等内容。其中分配和存储则是最棘手的问题。密钥管理看似简单，具体内容相当复杂，既有技术问题，也有管理问题。实际上，管理密钥是非常复杂的，不仅影响密码系统的安全性，而且涉及密码系统的可靠性、有效性和经济性。组播密钥管理为参与组播的成员生成、分发和更新组密钥(group key)。组密钥是所有组成员

19、都知道的密钥，被用来对组播报文进行加密、解密、认证等操作，以满足保密、组成员认证、完整性等需求。相比单播的密钥管理，前向加密(forwardconfidentiality)、后向加密(backward confidentiality)和同谋破解是组播密钥管理特有的问题。除此之外考虑到无线网络的特点，还要考虑到密钥生成计算量，传输量等问题。组管理协议根据其生成组密钥的方式不同可分为以下三种。1集中式组密钥管理协议组密钥由单个或少数成员产生，然后分发给其他成员节点。gkmp 协议为 ietf提出的集中式组密钥管理协议之一。在无线网络中，由于节点的移动性，但单个节点的可靠性难以保证，因此集中式密钥管

20、理协议存在单个节点或少数节点的密钥服务可用性问题。2分布式组密钥管理协议分布式组密钥管理协议从组成员中动态选出密钥服务节点提供密钥管理服务。它提高了密钥管理的健壮性，但是服务节点需要与每个组成员节点维持安全连接。ckd1、secure pebble net2均属于分布式组密钥管理协议。3组密钥协商协议在组密钥协商协议中，所有成员均参与组密钥生成，并且组成员间不需要建立私密的通信信道。gdhv.2 协议3、ikav.2 协议4、tgdh 协议5、hypercube 协议6、2华中科技大学硕士学位论文octopus 协议7以及 bd 协议8均属于组密钥协商协议。传统密钥管理方案有以下几种。简单密钥

21、管理中心(skdc)是一种最简单的密钥管理机制，每个合法组员在经过认证后分发一个组共享的会话密钥(sek)，合法用户便可通过这个 sek 使用对称加密方式对多播及单播据进行安全的加密解密，每当有新用户加入或离开的时候密钥管理中心便重新单播分配新的 sek 以保证前向安全（在 t1 时刻加入的新用户不能破解 t1 时刻前的数据）以及后向安全（在 t2 时刻离开的用户不能破解 t2 时刻以后的数据），此种方案简单易行，但任一个用户离开时 kdc 需要发送 o(n)条消息，n 为组中用户数。基于扩展的diffie- hellman的密钥管理方案9由所有合法组员共同“协作”产生组密钥，但这种方案计算量

22、大，可扩展性差，且不适用于大型动态的多播组。基于逻辑树10,11的密钥分配方案是目前广泛采用的一种方式，它将所有组员与密钥管理中心组成一棵逻辑树12,13，密钥分配的消息数由文献1中的o(n) 降低为o( log(n) )。而基于以上方案，国内外很多学者提出了各种不同的改进方案：horng g.在2000年提出了基于单向函数树的密钥管理方案14，pietro等人在lkh的基础上提出了针对无线网络移动用户lkh+方案15；林林，李学明等提出了一种基于无线网络拓扑结构的lkh方案16；yiling wang等人将无线网络分成2层结构17，组用户被分为簇用来减少密钥更新代价。而在damondaran

23、 等人提出了一种安全组密钥协议18，使用了短生命期会话密钥19。depeng li在椭圆曲线和diffie-hellman密钥交换的基础是提出一个适应ad-hoc网络的管理方案20，另外还有ehbt21，elk22等方案。现在比较成熟的组密钥管理框架有以下几种。1iolusiolus23将整个组划分为多个子组，组成层次结构以提高密钥更新的效率及数据传输的可靠性。每个子组包含少量的成员及独立的组播地址。iolus 通过安全分发树将所有组成员联系在一起。安全分发树由组安全代理(gsa)组成，它负责报文的路由以及通信安全。树的根节点称为组安全控制器(gsc)，其他 gsa 称为 gsi。gsi 的主

24、要功能为管理子组密钥以及作为本子组与其他子组的通信中介。iolus 框架能够将组成员变化的影响控制在子组范围内，当网络拓扑固定时，能够提高组密钥更新的效率。然而，该框架存在单点失效问题。当 gsc 失效，整个组将无法工作。在移动自组网络中节点移动导致路由频繁变化，节点与其控制器的时3华中科技大学硕士学位论文效性难以保证。此外 gsi 也具有移动性，网络随节点的移动不断分割和合并，节点难以定位其本地 gsi。2nortelnortel24组密钥管理框架由 2 个层次组成：高层为骨干(trunk)区域和底层为叶区域(leaf region)。每个叶区域包含一个或多个边界密钥管理器，它同时属于骨干区

25、域，每一个叶区域中的边界密钥管理器参与骨干区域的密钥协商。同时，边界密钥管理器的功能类 iolus 中的 gsi，负责转换送至以及来自其他叶区域的信息。骨干区域可以采取集中密钥管理机制，也可以通过边界密钥管理器协商组密钥。层次结构能降低组成员变化带来的影响。此外，nortel 结构中的每个叶区域由以下逻辑组件组成：一个密钥管理器，一个或多个支持组播的路由器，密钥转换器及多个组成员。由于 nortel 框架骨干区域通过协商确定全局密钥，因此避免了单点失效的问题。当网络拓扑结构较为固定时，划分子组能够提高组密钥管理的可扩展性，将成员变化限制在子组范围内。然而，当节点移动性提高后，nortel 框架

26、仍然存在局部密钥分发器(area key distributor，akd)定位问题、多跳通信问题以及子组中控制器的单点失效问题。3移动自组网络层次管理框架移动自组网络层次管理框架针对组控制节点相对固定，而成员节点可移动的自组网络环境。该框架将移动自组网络覆盖的范围划分为多个区域，每个区域由一个或多个区域控制器管理，每个控制节点负责产生和分发区域控制密钥 cgk，保证其在区域内组通信的安全传输。组密钥由唯一的域密钥分发者 dkd 生成。针对组成员在区域间移动时的组密钥更新问题，该框架提出了传递信任关系机制以及 dr、sr、ir 和 fedrp25等域间组密钥更新算法，有效地提高了成员移动时的组密

27、钥更新效率。对于区域组控制节点固定的自组网络，该框架有较好的扩展性。但是，该框架依赖 dkd 生成组密钥，存在单点失效问题。对于所有节点均可移动的自组网络，选举和维护区域控制节点、生成新的 cgk 的开销较大。4secure pebblenet针对节点数量较多的移动自组网络安全通信问题，文献3提出一种新颖的组密钥管理框架，它采用对称加密机制生成和分发组密钥，并采用周期更新组密钥的方式减少能源开销。在网络部署阶段，每个节点均安全地获得组标识密钥 kgi ，以实现组的鉴别。为了提高组密钥更新的扩展性，该框架通过安全簇生成算法将所有组成员组成簇结构，簇首节点作为密钥控制节点，而簇首与成员节点间的安全

28、通信通过 kgi 的哈希变换实4华中科技大学硕士学位论文现。当组密钥更新时，从簇首节点中选择组密钥生成节点生成新的组密钥，通过 kgi分发给所有组成员节点。由于簇结构能够随着节点移动及时调整，并且簇首节点与成员节点的安全信道对于所有簇结构均相同，因此节点移动对于该框架的影响较小。此外，在密钥更新时，密钥节点通过选举产生，避免了单点失效问题，能够适应节点运算能力较低、并且不提供点到点通信的鉴别机制。1.3 课题的主要研究内容组密钥管理是无线网络中安全研究的核心问题之一，它是安全通信、安全路由的基础。本文将工作重点放在组密钥管理框架、组密钥生成、组密钥更新以及组密钥的一致性等关键问题上。本课题预期

29、实现的具体目标如下：1. 深入了解无线网络密钥管理机制及无线网络相关安全机制，如加密、密钥管理、认证、协议等；2. 重点研究现有各种密钥管理方案，分析其优势和不足，综合提出一个满足前向和后向安全性及抵抗合谋的方案，争取能在性能上有所突破；3. 仿真实现所提出的组密钥管理方案，并与其他方案做性能上的比较并给出具体数据。1.4 论文的组织结构本文针对无线网络拓扑结构的特殊性，在 lkh 密钥管理方案基础上提出了改进方案，使其在性能上更加优化，能降低加密开销和通信开销，在安全性上仍然保持前向和后向安全性以及抗合谋。以下是论文的内容安排。第 1 章绪论部分简要说明了课题研究的背景、意义，简单介绍了组播

30、密钥管理框架、方案等的研究现况，并归纳了本课题的主要研究内容和要做的工作。第 2 章详细论述了组播及其安全需求，及重点的研究方向密钥管理，分析了传统的密钥管理方案，然后结合无线网络的特点介绍了现阶段无线网络环境中组播密钥管理方案的发展。第 3 章详细叙述了本文提出的新组播密钥管理方案，在各种开销上做出理论上的计算，并与另外 2 种传统密钥管理方案做理论上的比较，同时分析了新方案的安全性。5华中科技大学硕士学位论文第 4 章描述了针对本方案的系统设计和实施，包括数据结构和模块设计。第 5 章在 ns-2 上模拟实现系统，得出实验数据并与传统的 lkh 和 skdc 方案做出比较。第 6 章对所做

31、的工作进行总结，并对未来的工作进行了展望。6华中科技大学硕士学位论文2 无线网络组播技术2.1 组播的基本概念传统的 ip 通信有两种方式：第一种是在一台源 ip 主机和一台目的 ip 主机之间进行，即单播(unicast)；第二种是在一台源 ip 主机和网络中所有其它的 ip 主机之间进行，即广播(broadcast)。如果要将信息发送给网络中的多个主机而非所有主机，则要么采用广播方式，要么由源主机分别向网络中的多台目标主机以单播方式发送 ip包。采用广播方式实现时，不仅会将信息发送给不需要的主机而浪费带宽，也可能由于路由回环引起严重的广播风暴；采用单播方式实现时，由于 ip 包的重复发送会

32、白白浪费掉大量带宽，也增加了服务器的负载。所以，传统的单播和广播通信方式不能有效地解决单点发送多点接收的问题。ip 组播是指在 ip 网络中将数据包以尽力传送(best-effort)的形式发送到网络中的某个确定节点子集，这个子集称为组播组(multicast group)。ip 组播的基本思想是，源主机只发送一份数据，这份数据中的目的地址为组播组地址，组播组中所有接收者都可接收到同样的数据拷贝，并且只有组播组内的主机（目标主机）可以接收该数据，网络中其它主机不能收到。组播组用 d 类 ip 地址(224.0.0.0239.255.255.255)来标识。组播数据的发送是经由网络路由器、接收端

33、的局部路由器最后到接收站点，它的通信方式主要有三种：传播模式，即一对多。在此模式中，有一个发送节点将信息传送到多个节点上。它主要应用于视频和音频广播、即时信息发送等。集中模式，即多对一。在此模式中，单个节点能接受来自其他多个节点的数据。它主要适用于数据采集的场合。协同模式，即多对多。在此模式中，各个节点都可以将信息广播到组播组中其他节点。它主要应用于远程学习、视频会议、以及数据库的更新等。组播技术有效地解决了单点发送多点接收的问题，实现了 ip 网络中点到多点的高效数据传送，能够大量节约网络带宽、降低网络负载。作为一种与单播和广播并7华中科技大学硕士学位论文列的通信方式，组播的意义不仅在于此。

34、更重要的是，可以利用网络的组播特性方便地提供一些新的增值业务。组播从 1988 年提出到现在已经经历了十几年的发展，许多国际组织对组播的技术研究和业务开展进行了大量的工作。随着互联网建设的迅猛发展和新业务的不断推出，组播也必将走向成熟。尽管目前端到端的全球组播业务还未大规模开展起来，但是具备组播能力的网络数目在增加。一些主要的 isp 已运行域间组播路由协议进行组播路由的交换，形成组播对等体。在 ip 网络中多媒体业务日渐增多的情况下，组播有着巨大的市场潜力，组播业务也将逐渐得到推广和普及。近些年来，随着无线技术的进步和成熟，特别是 3g 技术的成功应用，移动设备迅速得到了普及，越来越多的人通

35、过移动设备连接到 internet 上，希望能够随时随地地对网络进行访问，从而摆脱静态通信网络的限制。当人们从静态的网络领域中解放出来，能够在任何地点，任何时间进行工作，购物和娱乐等等与网络相关的活动时，支持移动就成为了 internet 发展的必然要求，现在已经有相当多的研究关注于网络如何为移动提供支持。当无线连接最终变得广泛和流行的时候，用户便会要求在他们的移动设备上运行相应的组播服务，于是很多的组播服务将出现在无线移动领域。将无线移动技术引入组播通信，将极大地改善组播应用的灵活性和有效性，同样，将组播服务引入无线通信领域，也将给人们带来更多的服务和方便。因此，将组播服务应用到无线移动环境

36、中去成为一种必然的趋势。移动和组播的结合将会进一步扩大移动和组播的应用范围，从而为两者的应用提供更广泛的发展空间，例如无线虚拟会议、及时辅助协同工作、无线多媒体实时点播、无线网络游戏等方面都有着很广阔的应用前景。这些组播应用对组播安全性能提出了要求。在虚拟会议中，通常需要确保会议内容保密，并且在必要时能够对发言人的身份进行认证。在多媒体实时点播中，要确保只有付费用户才能看到节目内容。但是以前的组播协议重点在于如何解决实现组播，因而缺乏安全机制来满足上述要求，为了保证用户和运营商的利益，必须确保组播是可管理的、可靠的、安全的。特别无线网络是一个开放的网络环境，它也有很多的不足，在网络的安全性、可

37、靠性、网络管理、商业化应用等方面还有一些问题有待解决。无线网络中的组播主要分为两类，一类是依赖现有固定设施的组播，一般指蜂窝网中的组播；另外一类是无固定设施的，即 ad hoc 网络中的组播。在有基础设施网络中，无线节点通过 ap 接入网络，与其它节点进行通信，由于这种方式配置简单，8华中科技大学硕士学位论文并且各个厂商的产品都提供了与有线网络的接口，所以很容易通过有线网络接入internet，因而是目前无线局域网络的主要的，也是比较成熟的一种应用方式。ad hoc网络是一个不需要依靠 ap，无线移动节点自身就能进行组网的网络。如无特殊情况本文所指的无线网络指有固定设施的网络环境。而组播的安全

38、除了有线环境中存在的安全问题外，还有由于无线网络的特有特点而产生的新的安全问题。2.2 无线网络组播的安全网络的开放性严重影响着组播的安全，同时组播系统的复杂结构、其不同的实现类型、内部参数的动态性都给组播安全带来了很大的威胁。组播通信所面临的安全风险和单播通信所面临的安全风险非常相似，主要包括未经授权的数据生成、修改、破坏和数据的非法使用。但是由于组播体系结构的特点，组播通信比单播通信更容易收到攻击具有更大的安全风险，而且容易受到拒绝服务攻击 (denial ofservice)。现总结如下：1组播通信技术没有专门对组中成员资格进行限制，这使得攻击者容易模仿成一个组的合法成员；2ip 组播的

39、组地址范围是众所周知的，使得很容易遭到伪造合法成员攻击；3组播通信的传输层协议是 udp，没有提供专门的机制控制组成员或者非组内成员向这个组发送 udp 数据包，如果有攻击者恶意的向这个组发送大量数据包，由于组的规模可能比较大，就很容易造成网络拥塞，从而导致拒绝服务；4组播通信技术使用 udp 作为它的传输层协议，这就不存在内部协议机制来控制拥塞；5相对于单播通信，组播报文将在更广泛的网络上传输，这样就会给攻击者更多的机会进行数据报文的拦截和窃听。由于组播通信体系结构的特点，组播的一些安全问题在单播中是不会出现的，而且适用单播的一些安全技术并不见得适用于组播。组播安全需求总体来说可以分为三大部

40、分：组播用户管理；组播通信的源认证、保密性和防篡改；组播密钥管理和访问控制。2.2.1 组播用户管理标准组播协议没有考虑用户的管理，而且从目前组播应用的情况看，在很多组9华中科技大学硕士学位论文播业务运营（包括国内外目前正在运行或测试的组播业务）中，用户管理仍未得到很好的解决。组播业务作为一项增值业务，对用户进行控制管理是必不可少的。整体上讲，组播业务的用户管理可以分为两大类：1用户已经接收到组播数据，但必须通过认证后才能“看到”相应的组播内容；2用户必须先通过认证才能接收和“看到”相应的组播内容。2.2.2 组播通信的源认证、保密性和防篡改组播通信的源认证、保密性和放篡改要求如下：1源认证：

41、包括两个层次的认证。第一种是组认证，接收方能辨认是否数据报文来自组中的成员而不是组外的成员。第二种是成员认证，接收方不仅能辨认出报文来自组成员，并知道来自某个具体发送者；2数据保密：需要保证非组成员不能访问到组播数据。一般来说，我们都是使用加密数据来获得保密性；3完整性：确定收到的数据并没有在传输过程中被修改过；4不可否认：这是指接收到数据的接收方有能力向第三方证明接受到的数据确实是有发送方发送的, 发送方不能否认。2.2.3 组播密钥管理和访问控制组管理和访问控制：必须确定只有合法的参与方才能获得发给这个组的数据，这个安全问题主要涉及如下几点：1怎样认证将来的组成员；2怎样安全的分发密钥给组

42、成员，由于为了获得数据的保密性，我们需要使用密钥；3怎样阻止离开组的组成员获得这个组将来的通信数据；4怎样阻止新加入组的组成员获得过去的这个组的通信数据；5怎样对这个组的通信数据进行记录和审计。而组密钥管理是本文研究的重点，将在后面详细论述。2.2.4 组播密钥管理需要解决的问题由于移动设备在重量和开销上的急剧减少以及带宽和新的移动设备的增加，移动计算变得十分流行。无线网络环境最明显的特征就是受限的链路带宽和较高的错10华中科技大学硕士学位论文误率。同时，移动节点的体积通常都比较小，因此它拥有的能量供应、处理器能力以及存储能力等都比较低。能量，存储量以及带宽的局限性，限制了移动用户作为固定主机

43、参与组的能力。另外，无线媒质的广播特性使得攻击更加容易。因此，主机的移动性大大增加了动态成员的复杂性。在这种情况下，移动组播的密钥管理除了要解决有线组播需要解决的问题26,27，比如：机密性、完整性、认证、同谋破解、前向加密、后向加密等问题之外，还要考虑到密钥生成计算量，传输量等问题。组播密钥管理要解决的问题或者评价一个组播性能的好坏标准如下：1前向加密：确保组成员在退出组后，除非重新加入，否则无法再参与组播，包括获知组播报文的内容和发送加密报文。2后向加密：确保新加入的组成员无法破解它加入前的组播报文。3同谋破解：避免多个组员联合起来破解系统(或减少发生的概率)。4密钥生成计算量：通常，协同

44、的密钥生成需要较大的计算量，当节点的计算资源不充足或密钥更新频繁时，要考虑密钥生成给节点带来的负载。5密钥发布占用带宽：密钥更新报文不应占用过多的网络带宽。6密钥发布的延迟：密钥更新时要使所有组成员都能及时地获得新的密钥。问题 4问题 6 同属可扩展性问题。7健壮性：当部分组成员失效时，安全组播仍然能够继续工作。8可靠性：确保密钥分发、更新在不可靠的网络环境中的正确实行。2.3 组播密钥管理方案组播最先应用在有线网络环境中，故传统的成熟可行的密钥管理方案最先都是在有线环境中设计的，然后随着应用的普及，在无线网络中开始研究和应用组播，继而越来越多关于移动组播的解决方案被提出来。2.3.1 传统的

45、密钥管理方案根据组播密钥管理系统拓扑结构的不同,可以把组播密钥的管理方案分为 3 大类28：集中控制式、分布式和分组分层式。一般来说，密钥建立的协议分为两类：密钥协定和密钥分发。密钥协定是指所有的成员平等参与密钥的产生，并保证他们产生密钥的那一部分是最新的；密钥分发是指密钥由一个实体产生，并分发给其它所有的成员。一般来说，集中式的密钥管理方案因为存在组控制器，因此采用密钥分发的协议，而分布式的密钥管理方案11华中科技大学硕士学位论文由于没有组控制器，所有参与通信的节点都是对等的，通常采用密钥协定协议，组内成员共同协定产生密钥或者由某个组成员产生。1集中控制式组播密钥管理方案集中式管理方法是只有

46、一个组管理器来管理所有的成员，对于一般的系统可以采用中央控制的方案。在系统中设置一个密钥管理中心，持有所有用户的密钥。管理中心与每位用户都建立一个两者共享的密钥，称为密钥加密密钥 kek(keyencrypted key)，用来加密整个组共享的组播密钥。(1) 简单密钥分发中心 skdc(simple key distribution center)skdc 是最为直观的集中式密钥管理方案，结构图如图 2.1 所示。在 skdc 中，所有成员共享一个组密钥 k 0 ，组管理者 gc(group controller)与每一个组成员分布共享个人密钥 ki ，即 kek。gc(k 1, k 2,

47、k 3,., kn)k 0k 1u1(k 0, k 1)k 2u 2(k 0, k 2)k 3u 3(k 0, k 13)knun(k 0, kn)图 2.1 skdc 密钥分配系统示意图当组成员发生变化时，为了保证组通信的安全，组密钥 k 0 必须被更新。由 gc产生新的组密钥 k 0 ，使用第 i 个成员 ui 共享的密钥 ki 来逐个加密 k 0 ，并单播给每个成员。gc 存储所有 n 个 ki 并负责产生 k 0 。成员 ui 仅存储自己与 gc 共享的 ki ，并用其解出新的 k 0 。这样，添加一个成员需要 gc 执行 n+1 次加密传送（n 为组播组成员数），成员离开时需执行 n

48、-1 次加密传送。这种方法较易实现，具有可靠的密钥分配安全性，但 gc 的存储复杂度都是 o(n)，故不具有可扩展性，只适合小规模的组通信。而单播通信的代价很高，在带宽受限的无线网络更没有很高的实用价值。(2) 逻辑密钥树密钥管理方案chung kei wong， mohamed gouda 和 simon s lam 于 1998 年提出一种lkh(logical key hierarchy)管理方案。该方案仍利用组管理器，采用密钥树的层次结构对组播密钥进行管理，加强了系统的扩展性。lkh 在管理者和组成员之间构成了一个逻辑的 d(d=2)叉密钥树。12华中科技大学硕士学位论文一棵拥有 8

49、个叶节点的二叉密钥树如图 2.2 所示，对应于一个成员数为 8 的组播组：树根为 gc，它拥有的 k 0 即为所有组成员共享的组密钥；树叶为组成员，他们分别拥有的 k 31 k 38 为 ui 与 gc 共享的个人密钥。树的中间节点是不对应任何实体的逻辑节点，对应于中介 kek，用于组密钥更新时向组内特定范围的组成员传递新密钥。每个成员拥有从代表它的叶节点到根节点这条路径上的所有密钥，例如成员 u1 拥有的密钥是k 31, k 21, k 11, k 0，根节点保存所有的密钥，即k 0, k 11, k 12, k 21 k 24, k 31 k 38。k 0k 11k 12k 21k 22k

50、 23k 24k 31u1k 32u 2k 33u 3k 34u 4k 35u 5k 36u 6k 37u 7k 38u 8图 2.2 一棵度为 2，叶节点个数为 8 的逻辑密钥树使用 lkh 能有效地降低组成员动态变动时密钥更新的通信次数。例如，当组成员 u 7 离开组播组时，密钥 k 24 ， k 12 ， k 0 都应该被更新，并向 u1 u 6 及 u 8 发送新的组密钥 k 0 。为此，gc 产生新的密钥 k 24 ， k 12 和 k 0 ，并需要做 3 次 rekey 通信：向 u 8 单播用 k 38 加密的密钥 k 24 ， k 12 和 k 0 消息；向 u 5 和 u 6

51、 组播用 k 23 加密的密钥 k 12 和 k 0 消息；向 u1 u 4 组播用 k 11加密的密钥 k 0 消息。每个组成员用自己拥有的相关密钥解密得到更新后的密钥。以上是面向用户的密钥分发策略，由于要单播，则需要存储每个成员的地址，所以增加了 gc 的负担。面向组的分发策略是，分别用其孩子节点的密钥加密后多播给组的成员，即k 12 k 0 (即用 k 12 加密 k 0 传送)， k 11 k 0 ， k 24 k 12 ， k 23k 12 ， k 38k 24 。13华中科技大学硕士学位论文对于一棵具有 n 个成员的平衡二叉树，gc 的密钥存储量为 2n-1，而成员加入和退出的加密

52、和通信开销为 o(logn)，且有较好的可扩展性。(3) 基于单向函数树的密钥管理方案oft(one-way function tree) 方案使用组管理器(gc)来管理二叉密钥树，是 lkh方案的变形，每个密钥节点 x 关联 2 个密钥：非盲节点密钥 kx ，盲节点密钥 kx 。使用盲节点和非盲节点密钥的目的是让组成员从较低密级密钥计算出较高级密钥，从而减少密钥更新时的通信代价。2. 分布式组播密钥管理方案分布式组播密钥管理的最大特点就是没有组控制器，参与通信的节点是对等的，通过某种密钥协商算法生成组密钥。在过去的十年中，已经有很多的协商算法被提出来29，但是其中最典型的是 m. steiner 等在 1998 年提出的