[发明专利]一种组播密钥管理方法

说明书

技术领域

本发明是一套在IPv6网络环境下使用的新型的组播密钥管理方案。主要用于解决面向用户的大规模可扩展组播服务的密钥管理问题。属于计算机网络应用技术领域。

背景技术

组播作为一种针对多点传输和多方协作应用的组通信模型，在多媒体会议、视频点播、多方网络游戏、计算机协同工作等方面有着广阔的应用前景。组播发送方仅需传输一份数据，由网络元素(如路由器和交换机)为接收方复制并转发，这样既能降低发送方的处理开销，又能降低网络上的传输开销，使得高效的大规模内容分发成为可能。组播良好的扩展性得益于其开放性的模型，即任意用户可以接收组中的数据、任意源也可以向组中发送数据。但由于缺乏对接收者和发送者的有效控制，无法保证合法用户的权益，组播技术的应用也受到其安全性的限制。

对组播报文加密传输是实现安全组播的一种方法。组播密钥管理为参与组播的成员生成、分发和更新组密钥。组密钥作为所有组成员都知道的密钥，被用来对组播报文进行加密和解密操作。相比单播的密钥管理，组播密钥管理存在特有的问题：

(1)前向加密：确保主动退出或被强制退出的组成员无法利用所知道的密钥破解后继的组播报文。

(2)后向加密：确保新加入的组成员无法利用所知道的密钥破解它加入前的组播报文。

(3)同谋破解：避免多个组成员联合起来破解系统(或减少发生的概率)，使得无论系统如何更新密钥都可以获得更新后的密钥，导致前向加密和后向加密的失败。

此外，组播密钥管理还需要考虑通信实体间的差异、系统的可扩展性、健壮性和可靠性等因素的影响。

目前，对于组播密钥管理的研究主要集中在三个方向：

(1)集中式控制：存在一个节点负责全组的密钥生成、分发和更新，这个节点通常被称为根或组控制器。集中式控制分为平坦型和层次型两种形式。平坦型的集中式控制采用星型结构，典型方案是简单密钥分发中心SKDC和组播密钥管理协议GKMP；层次型的集中式控制采用树型结构或密钥图，典型方案是逻辑密钥树LKH和单向函数树OFT。

(2)分布式协商：参与通信的节点是对等的，通过某种密钥协商算法(如D-H算法)生成组密钥。分布式协商方案的典型方案是TGDH(Tree-based GroupDiffie-Hellman)和Clique。

(3)分层式管理：将参与组播的成员进行分组，每个小组存在一个控制节点，这些控制节点组成了密钥管理的层次I，小组内部的密钥管理属于层次II。两个层次可以独立选择集中式控制或分布式协商的管理方案。分层式管理的典型代表是Iolus和基于IPSec的GDOI(ISAKMP Domain of Interpretation for Group Key Management)协议。

这些研究成果互有优劣，更多的只是以方案、协议或框架的形式存在，很少有在实际应用中付诸实现的，在此基础上进一步深入和完善很有意义。

参考文献

[1]Hardjono T，Weis B.The Multicast Group Security Architecture.IETF RFC3740，2004.

[2]HarneyH，Muckenhirn C.Group Key Management Protocol(GKMP)Architecture.RFC2094，1997.

[3]Setiner M，Taudik G，Waidnet M.Cliques：A new approach to group key agreement.Technical Report，RZ2984，IBM Research，1997.

[4]Mittra S.Iolus：A Framework for Scalable Secure Multicasting.Proc.of ACM SIGCOMM，Cannes，France，1997.

[5]Wallner D，Harder E，Agee R.Key management for multicast：Issues and architectures.RFC2627，1999.

[6]Xu MW，Dong XH，Xu K.A survey of research on key management for multicast.Journal of Software，2004，15(1)：141～150.

发明内容