群組密碼的對等VPN 系統(tǒng)及多播密鑰分發(fā)協(xié)議*

朱 巖,尹 昊,王秋艷

1(北京科技大學(xué) 計算機(jī)與通信工程學(xué)院,北京 100083)

2(中國計量科學(xué)研究院,北京 100013)

通訊作者:朱巖,E-mail:zhuyan@ustb.edu.cn

虛擬專用網(wǎng)(virtual private network,簡稱VPN)是指在不可信公網(wǎng)上建立的一個臨時的、安全的專有數(shù)據(jù)通信網(wǎng)絡(luò),為企業(yè)和個人提供高質(zhì)量的網(wǎng)絡(luò)服務(wù),實(shí)現(xiàn)對企業(yè)內(nèi)部網(wǎng)絡(luò)的擴(kuò)展.它可以使用不安全網(wǎng)絡(luò)(如互聯(lián)網(wǎng))來發(fā)送可靠、安全的消息,核心是利用加密的隧道協(xié)議保證敏感信息的私密性、發(fā)送端認(rèn)證、消息完整性等安全性質(zhì).

伴隨全球經(jīng)濟(jì)的快速發(fā)展,越來越多的企業(yè)需要在全國乃至世界范圍內(nèi)建立各種辦事機(jī)構(gòu)、分公司、研究所等,各分支機(jī)構(gòu)的網(wǎng)絡(luò)連接隨著機(jī)構(gòu)的增多使得網(wǎng)絡(luò)結(jié)構(gòu)趨于復(fù)雜,部署維護(hù)費(fèi)用昂貴.利用VPN 提供的隧道[1]、加密等特性可以構(gòu)建滿足要求的內(nèi)聯(lián)網(wǎng)(Intranet),保證信息在整個內(nèi)聯(lián)網(wǎng)上安全傳輸.然而,現(xiàn)有大部分VPN 方案在分支機(jī)構(gòu)增多時傳輸效率顯著下降,難以滿足大規(guī)模企業(yè)組網(wǎng)的現(xiàn)實(shí)需求.其原因在于:現(xiàn)有VPN方案多使用集中式網(wǎng)關(guān)模式,由VPN 網(wǎng)關(guān)代理與客戶端實(shí)現(xiàn)隧道通信,這種集中式結(jié)構(gòu)難以支撐復(fù)雜的網(wǎng)絡(luò)拓?fù)渥兓?

針對上述內(nèi)聯(lián)網(wǎng)VPN 方案的缺陷,已有VPN 采用了對等技術(shù)(P2P),充分利用網(wǎng)絡(luò)中參與者的計算能力和帶寬而不依賴于集中式網(wǎng)關(guān),從而帶來在可擴(kuò)展性、健壯性等方面的優(yōu)勢.例如,該網(wǎng)絡(luò)能夠以自組織方式建立,并允許分支機(jī)構(gòu)自由地加入和退出當(dāng)前內(nèi)聯(lián)網(wǎng),部分節(jié)點(diǎn)或網(wǎng)絡(luò)遭到破壞對其他部分的影響很小,具有耐攻擊、容錯性的優(yōu)點(diǎn).鑒于上述優(yōu)點(diǎn),基于P2P 的VPN 已成為目前研究熱點(diǎn)之一,并被應(yīng)用于協(xié)同計算、群組聊天、在線會議等領(lǐng)域.

采用對等技術(shù)的VPN 也稱為對等VPN 系統(tǒng),盡管這種系統(tǒng)融合了P2P 的非中心化、可擴(kuò)展性等特性,但由于其依然延續(xù)了VPN 中的常規(guī)兩方密鑰交換方法(如Deffie-Hellman 密鑰交換協(xié)議)建立加密隧道和實(shí)現(xiàn)密鑰管理,因此,系統(tǒng)在實(shí)現(xiàn)動態(tài)多播(即一點(diǎn)對多點(diǎn)間通信)時的性能和安全性并沒有較大的提升.解決這一問題的難點(diǎn)在于如何建立具有非中心化、高擴(kuò)展性、且與對等VPN 相適應(yīng)的安全多播協(xié)議,保證在一個主機(jī)用該多播協(xié)議向多個主機(jī)發(fā)送相同數(shù)據(jù)時,只需加密和發(fā)送一次,其數(shù)據(jù)由網(wǎng)絡(luò)中的路由器和交換機(jī)逐級進(jìn)行復(fù)制并發(fā)送給各個授權(quán)接收方,這樣既節(jié)省服務(wù)器資源,也節(jié)省網(wǎng)絡(luò)主干的帶寬資源.

本文致力于解決對等VPN 系統(tǒng)中安全多播問題,通過實(shí)現(xiàn)具有非中心化、高擴(kuò)展性的多播協(xié)議,提高對等VPN 中多播通信效率和安全性.本文所提出的方案是在現(xiàn)有的Overlay 虛擬專用網(wǎng)基礎(chǔ)上,針對其兩方密鑰交換方式在群組通信中的不足,利用基于身份的群組加密與簽名方案改造對等VPN 中的密鑰共享方法.所做創(chuàng)新工作如下.

(1)提出一種支持安全多播的對等VPN 框架,被稱為GroupVPN,該框架引入公鑰群組密碼系統(tǒng)改進(jìn)了安全隧道層,并設(shè)計了便于動態(tài)群組管理、高效密鑰分發(fā)的群組管理層,能夠支持安全點(diǎn)播、多播、廣播等多種通信模式;

(2)設(shè)計一種多播密鑰分發(fā)協(xié)議,通過將公鑰群組密碼下的廣播加密與群簽名方案相結(jié)合,實(shí)現(xiàn)具有選擇和排除模式的高效密鑰分發(fā).分析表明:在SDH 假設(shè)下,該協(xié)議滿足數(shù)據(jù)私密性、數(shù)據(jù)完整性、身份真實(shí)性等3 方面安全性要求.

與基于對稱密碼的密鑰分發(fā)和基于公鑰密碼的密鑰交換協(xié)議相比較,本文所提多播密鑰分發(fā)協(xié)議實(shí)現(xiàn)的多播通信和密鑰存儲開銷與群組規(guī)模無關(guān).實(shí)驗(yàn)分析表明:多播組通信分為會話密鑰共享和加密通信兩個階段,會話密鑰共享階段交互耗時與群組規(guī)模成正比,但加密通信階段多播耗時基本保持不變,從而使得由群組規(guī)模增長產(chǎn)生的通信延遲僅被限制在會話密鑰共享階段,提高了系統(tǒng)性能.

本文第1 節(jié)介紹VPN 和群組加密的相關(guān)工作.第2 節(jié)和第3 節(jié)詳細(xì)描述系統(tǒng)模型及多播密鑰分發(fā)的具體步驟.第4 節(jié)和第5 節(jié)描述密鑰管理方案及其實(shí)驗(yàn)分析.最后,第6 節(jié)總結(jié)全文.

1 相關(guān)工作

1.1 虛擬專用網(wǎng)發(fā)展現(xiàn)狀

虛擬專用網(wǎng)是一種構(gòu)架在已有網(wǎng)絡(luò)技術(shù)之上的具有靈活性、安全性、高效性的通信網(wǎng)絡(luò).與普通網(wǎng)絡(luò)不同之處在于它所涉及的兩個核心技術(shù)點(diǎn)——虛擬和專用,其意義分別為:

(1)虛擬是指該網(wǎng)絡(luò)能夠通過路由技術(shù)、協(xié)議轉(zhuǎn)換等方式動態(tài)地接入網(wǎng)絡(luò)并保證數(shù)據(jù)可靠傳輸;

(2)專用是指該網(wǎng)絡(luò)能夠通過加密技術(shù)、隧道協(xié)議等方式有效地保護(hù)用戶數(shù)據(jù)的隱私不泄露.

因VPN 所擁有的這些優(yōu)點(diǎn)和現(xiàn)實(shí)生活中業(yè)務(wù)的需要,近年來,有關(guān)VPN 技術(shù)的研究以及工程應(yīng)用都在不斷更新.從網(wǎng)絡(luò)組織形式上,VPN 大體被分為兩類:點(diǎn)對點(diǎn)VPN(SSL,GRE,IPSec)、遠(yuǎn)程接入VPN(PPTP,L2TP,MPLS);Knight 和Lewis 則在文獻(xiàn)[1]中按OSI 網(wǎng)絡(luò)模型將VPN 分為2 層和3 層VPN,并分析了兩者的架構(gòu)和解決方案;Berger[2]分析了當(dāng)前流行的幾種VPN 技術(shù),通過交互測試比較協(xié)議的優(yōu)劣;Jaha 等人[3]則試圖在已有的公共VPN 協(xié)議上,使用多種模型構(gòu)建一個新的VPN 協(xié)議;Hafiz 等人[4]比較了不同加密算法(如AES256,3DES,SAH-1,MD5)應(yīng)用于IPSec VPN 中的性能差異;Jahan 等人[5]則是站在應(yīng)用的角度對不同VPN 的特點(diǎn)以及應(yīng)用場景做了分析和推薦.然而,目前的方案仍僅限于用傳統(tǒng)密碼實(shí)現(xiàn)點(diǎn)對點(diǎn)安全隧道,尚無方案采用群組密碼體制開展安全多播領(lǐng)域的研究.

隨著軟硬件技術(shù)的發(fā)展,計算和網(wǎng)絡(luò)帶寬已不再是VPN 實(shí)現(xiàn)的瓶頸,近年來新開發(fā)的VPN 技術(shù)都構(gòu)架在應(yīng)用層,以便能夠更加靈活地滿足不同業(yè)務(wù)的需求.例如:基于集中式架構(gòu)的OpenVPN,通過設(shè)立特殊的網(wǎng)關(guān)來支持異構(gòu)設(shè)備,已廣泛應(yīng)用于教育、公司等機(jī)構(gòu);基于分布式架構(gòu)與P2P 技術(shù)的N2N[6],采用兩層結(jié)構(gòu),使用節(jié)點(diǎn)間的消息路由取代網(wǎng)關(guān);采用相同結(jié)構(gòu)的PeerVPN,則直接構(gòu)建平鋪的網(wǎng)絡(luò),自動發(fā)現(xiàn)并連接其他的節(jié)點(diǎn).鑒于P2P網(wǎng)絡(luò)在網(wǎng)絡(luò)動態(tài)自組織方面的優(yōu)勢,本研究也將參考上述分布式構(gòu)架實(shí)現(xiàn)系統(tǒng)設(shè)計.

1.2 群組密碼技術(shù)

群組加密技術(shù)是一種面向大規(guī)模群組的安全通信方式[2].與傳統(tǒng)的具有1:1 公/私鑰對的加密系統(tǒng)不同,群組加密系統(tǒng)的密鑰結(jié)構(gòu)是1:n,也就是1 個公鑰對應(yīng)于n個不同的私鑰,已知的廣播加密(broadcast encryption)、身份基加密(identity-based encryption)、屬性基加密(attribute-based encryption)、角色基加密(role-based encryption)等都屬于群組加密的范疇.其中,廣播加密是最基本的群組加密.目前,面向群組的通信研究分為兩個方面:一方面是指定機(jī)制,即指定一個接受者集合,使得只有在指定集合內(nèi)的用戶才能解密;另一方面是撤銷機(jī)制,即指定一個撤銷者集合,使得只有在指定集合外的合法用戶才能解密.

關(guān)于指定機(jī)制的研究,最重要的工作是2005 年Boneh 等人[7]提出的方案,該方案利用雙線性映射以及連乘實(shí)現(xiàn)集合成員屬于關(guān)系的判定,能夠抵抗任意數(shù)目共謀者的攻擊,且密文和私鑰都是常數(shù)大小;隨后,Delerablée等人[8]提出了基于身份的廣播加密方案,該方案不僅保證了密文和私鑰是常數(shù)大小,并且公鑰大小與接受者集合的最大數(shù)目呈線性關(guān)系;近年來,該方向的研究還包括文獻(xiàn)[9-11].此外,撤銷機(jī)制也得到了學(xué)者們的廣泛研究[12-14].

可證明安全(provable security)是當(dāng)前群組密碼系統(tǒng)的基本要求[15].群組密碼方案的可證明安全性通常是指密文的語義安全性(semantic security),即已知密文不會泄露任何明文信息,也等價于密文不可區(qū)分性(indistinguishability)[16].但與傳統(tǒng)的加密方案不同,群組下的語義安全性需要考慮攻擊者與群組內(nèi)叛逆者(具有一定數(shù)量的解密密鑰,但對挑戰(zhàn)密文無效)共謀下的語義安全,用于模擬敵手具有一定先驗(yàn)密鑰知識情況下的攻擊.由于可證明安全性的引入,使得群組密碼體制用于VPN 更加高效、靈活與安全[17].

2 系統(tǒng)模型

2.1 系統(tǒng)目標(biāo)

針對 VPN 在安全、高效、動態(tài)性等方面的現(xiàn)實(shí)需要,本文以構(gòu)建一種采用公鑰群組密碼(public-key group-oriented cryptography,簡稱PGC)技術(shù)的密鑰管理框架為目標(biāo),并將該框架應(yīng)用于由對等節(jié)點(diǎn)組成的基于覆蓋網(wǎng)絡(luò)的安全群組通信系統(tǒng),提供密鑰分發(fā)、更新、銷毀等服務(wù).該框架可支持消息的安全點(diǎn)播、多播和廣播,被稱為群組虛擬專用網(wǎng)絡(luò)(簡稱群組VPN,或GroupVPN).

GroupVPN 中群組加密采用1:n結(jié)構(gòu)的公鑰密碼體制,即1 個群組公鑰與n個用戶私鑰進(jìn)行關(guān)聯(lián),且用戶私鑰與其身份ID(標(biāo)識身份的唯一字符串)進(jìn)行綁定.在該密碼體制下,系統(tǒng)能夠?qū)θ航M內(nèi)的任意一組用戶通過群組公鑰對消息進(jìn)行加密,而只有組內(nèi)的成員能夠解密信息.利用該特點(diǎn),本文設(shè)計一種密鑰管理框架,為群組中的多個用戶創(chuàng)建共享密鑰,從而實(shí)現(xiàn)用戶組內(nèi)的消息安全共享.因此,本文所設(shè)計的系統(tǒng)需擁有如下特性.

(1)動態(tài)性:支持成員動態(tài)加入和退出,并在成員之間構(gòu)成通信間群組(多播組);

(2)高效性:保證身份認(rèn)證、密鑰交換、數(shù)據(jù)加密與解密的高效性;

(3)高安全性:保證虛擬網(wǎng)絡(luò)提供的安全功能是密碼學(xué)可證明安全的.

2.2 系統(tǒng)模型

針對研究目標(biāo),GroupVPN 被建立在由N 名成員{P1,…,PN}構(gòu)成的P2P 網(wǎng)絡(luò)上,利用虛擬化技術(shù)建立功能虛擬化的覆蓋網(wǎng)絡(luò),實(shí)現(xiàn)支持動態(tài)用戶群下的安全群組通信.圖1 顯示了GroupVPN 的系統(tǒng)模型圖,該系統(tǒng)由兩層網(wǎng)絡(luò)構(gòu)成.

(1)內(nèi)層(下層)是運(yùn)行在互聯(lián)網(wǎng)中的物理網(wǎng)絡(luò),節(jié)點(diǎn)(交換機(jī)、路由器)之間直接互連組成核心的通信網(wǎng)絡(luò);

(2)外層(或上層)是各子網(wǎng)路由器(VPN 接入節(jié)點(diǎn))組成的覆蓋網(wǎng)絡(luò),該網(wǎng)絡(luò)中節(jié)點(diǎn)可以看做通過虛擬或邏輯鏈路連接起來的一個虛擬全連通網(wǎng)絡(luò).

GroupVPN 所形成的虛擬網(wǎng)絡(luò)采用了全連通的完全網(wǎng)格拓?fù)?full mesh topology),使得用戶之間可以通過虛擬IP 地址相互訪問,與下層的實(shí)際網(wǎng)絡(luò)拓?fù)錈o關(guān),對用戶也是透明的.因此,在這種虛擬網(wǎng)絡(luò)進(jìn)行節(jié)點(diǎn)間的直接通信是十分便捷的.

Fig.1 Group VPN system model diagram圖1 群組VPN 系統(tǒng)模型圖

鑒于防火墻或NAT 等技術(shù)對VPN 的現(xiàn)實(shí)約束,上述系統(tǒng)模型參考了N2N 系統(tǒng)中節(jié)點(diǎn)的功能劃分,將上層節(jié)點(diǎn)分成兩種角色——超級節(jié)點(diǎn)和邊界節(jié)點(diǎn).超級節(jié)點(diǎn)處于公有網(wǎng)段,運(yùn)行守護(hù)進(jìn)程并監(jiān)聽綁定端口,等待邊界節(jié)點(diǎn)連接,并為其注冊必要的網(wǎng)絡(luò)地址和端口信息;對處于私有網(wǎng)段的邊界節(jié)點(diǎn),則利用NAT 打洞、防火墻繞過等技術(shù),解決其他邊界節(jié)點(diǎn)與它的鏈路連通問題.據(jù)此,所提系統(tǒng)模型將實(shí)體和其功能劃分如下.

(1)對等節(jié)點(diǎn)(peer):是指參與群組間通信的實(shí)體,被看做GroupVPN 群組中的成員,類似于邊界節(jié)點(diǎn),獲取必要的密鑰參數(shù)加入群組網(wǎng)絡(luò),維持與其他節(jié)點(diǎn)間的安全通信隧道;

(2)群組管理者(GM):建立和維護(hù)群組網(wǎng)絡(luò)的密碼系統(tǒng)和參數(shù),為新節(jié)點(diǎn)分配用戶密鑰并引導(dǎo)節(jié)點(diǎn)連接組成群組網(wǎng)絡(luò),但不參與群組通信.

GroupVPN 中的每個對等節(jié)點(diǎn)都相當(dāng)于分支機(jī)構(gòu)的VPN 網(wǎng)關(guān),通過對用戶數(shù)據(jù)的封裝加密以及虛擬目標(biāo)地址的轉(zhuǎn)換實(shí)現(xiàn)遠(yuǎn)程訪問.有別于遠(yuǎn)程接入VPN 的網(wǎng)關(guān)代理(需要對所有報文進(jìn)行轉(zhuǎn)發(fā)),GM 不處理任何VPN數(shù)據(jù)報文,其僅限于群組的密鑰管理以及網(wǎng)絡(luò)連接兩項(xiàng)功能:前者可為各節(jié)點(diǎn)產(chǎn)生和分發(fā)有效的群組密鑰,后者解決節(jié)點(diǎn)間地址發(fā)現(xiàn)和連接障礙問題.

2.3 協(xié)議架構(gòu)

GroupVPN 系統(tǒng)被構(gòu)架在參考模型協(xié)議棧中的傳輸層之上,屬于一種傳輸層協(xié)議.該架構(gòu)為應(yīng)用層提供一種透明的群組訪問接口,應(yīng)用程序遵循該訪問接口可實(shí)現(xiàn)安全群組內(nèi)通信.GroupVPN 系統(tǒng)架構(gòu)圖(如圖2 所示)在協(xié)議?；A(chǔ)上增加了兩個新的結(jié)構(gòu),包括:

(1)群組管理層:用于構(gòu)建和維護(hù)GroupVPN 所使用的公鑰群組密碼PGC 系統(tǒng),負(fù)責(zé)管理和響應(yīng)對安全參數(shù)索引(security parameter index)的查詢;

(2)安全隧道層:用于構(gòu)造GroupVPN 的主體,它包括3 個主要功能模塊:載荷封裝協(xié)議模塊、虛擬地址映射模塊、共享密鑰分發(fā)模塊,在與多個用戶成功共享加密密鑰后,對應(yīng)用層發(fā)來的數(shù)據(jù)報文進(jìn)行載荷封裝,地址映射,并通過隧道廣播加密報文實(shí)現(xiàn)安全群組多播.

Fig.2 Group VPN system architecture diagram圖2 群組VPN 系統(tǒng)架構(gòu)圖

在群組管理層中,某個對等節(jié)點(diǎn)作為群組創(chuàng)建者向GM 申請注冊一個群組,GM 初始化有關(guān)該群組網(wǎng)絡(luò)所需要的系統(tǒng)參數(shù),節(jié)點(diǎn)獲得對應(yīng)自己身份的私鑰信息,并等待其他節(jié)點(diǎn)以同樣的方式向GM 通過身份驗(yàn)證后與自己相連.群組管理者并不參與群組間的消息通信,只作為管理中心維護(hù)和監(jiān)管相關(guān)安全參數(shù),在群組建立和撤銷時,相應(yīng)地創(chuàng)建和回收密鑰信息.

安全隧道層是GroupVPN 系統(tǒng)的重要功能,用于在群組U={P1,P2,…,Pn}中建立臨時的多播組S進(jìn)行組內(nèi)安全數(shù)據(jù)傳輸.該部分所包含的3 個模塊分別具有以下功能.

(1)共享密鑰分發(fā)模塊:采用公鑰群組加密實(shí)現(xiàn)對多播組內(nèi)成員的認(rèn)證以及臨時會話密鑰的分發(fā),該會話密鑰在載荷封裝協(xié)議模塊中用于報文加密;

(2)載荷封裝協(xié)議模塊:采用隧道技術(shù)對數(shù)據(jù)報文進(jìn)行封裝加密,提供機(jī)密性和抗重播服務(wù),可參考IPSec中的封裝安全載荷(ESP)協(xié)議對原始報文進(jìn)行加密和隧道封裝;

(3)虛擬地址映射模塊:實(shí)現(xiàn)對多播組內(nèi)成員地址與真實(shí)IP 地址之間的轉(zhuǎn)換.

共享密鑰分發(fā)模塊提供與IPSec 中密鑰管理協(xié)議(ISAKMP)類似的密鑰協(xié)商功能和安全參數(shù)定義,但是具有以下不同:(1)使用公鑰證書(certificate)取代安全關(guān)聯(lián)(SA),通過對GM 的查詢,實(shí)現(xiàn)群組信息的獲取;(2)采用PGC 實(shí)現(xiàn)動態(tài)多播組的建立和會話密鑰分發(fā),避免IPSec 所采用的手動預(yù)置參數(shù)的密鑰管理;(3)在某個多播組中建立所有成員共享的會話密鑰,而不是單獨(dú)兩個對等體之間的協(xié)商.

這些不同得益于系統(tǒng)構(gòu)架在網(wǎng)際層隧道技術(shù)而非鏈路層的IP 隧道(L2TP),使它可支持TCP/IP 協(xié)議棧下異構(gòu)網(wǎng)絡(luò)間的邊界互聯(lián).同時,PGC 的使用簡化了多播組的密鑰管理過程,在宏觀層面上降低了系統(tǒng)的空間和時間復(fù)雜性.總之,GroupVPN 的系統(tǒng)架構(gòu)具有以下幾點(diǎn)優(yōu)勢.

(1)支持多種通信模式.目前的對等VPN 技術(shù)通常是在兩個對等節(jié)點(diǎn)間建立共享密鑰用于加密通信,而本文提出的GroupVPN 能夠在多個節(jié)點(diǎn)的用戶組中建立共享通信隧道,并且對用戶成員集合的大小不予限制,實(shí)現(xiàn)單點(diǎn)發(fā)送多點(diǎn)接收的安全多播;

(2)密鑰管理簡單.減少通信量,無需預(yù)先定義端對端安全關(guān)聯(lián)和相關(guān)協(xié)議,采用基于身份的公鑰群組密碼系統(tǒng)實(shí)現(xiàn)多播組成員身份認(rèn)證和密鑰分發(fā).相較于TLS/SSL 的PKI 公鑰證書認(rèn)證和預(yù)定義共享密鑰的IPSec 更加簡單有效,適用于多播下的群組通信;

(3)便于動態(tài)化的群組管理和網(wǎng)絡(luò)接入服務(wù).群組管理者GM 能夠提供公開可信的用戶身份和地址信息引導(dǎo)節(jié)點(diǎn)連接,并且通過虛擬地址映射模塊解決私有地址之間的連接障礙.

2.4 安全模型

GroupVPN 的安全目標(biāo)旨在通過公開不可信網(wǎng)絡(luò)環(huán)境實(shí)現(xiàn)端對端的安全互聯(lián)與融合,保證動態(tài)群組成員之間的互認(rèn)證、通信中數(shù)據(jù)報文的機(jī)密性及密鑰在群組成員之間的一致性.為實(shí)現(xiàn)上述目標(biāo),群組管理者提供類似于密鑰中心的服務(wù),為節(jié)點(diǎn)的安全通信提供密碼學(xué)基礎(chǔ)環(huán)境.從層次關(guān)系上看,對等節(jié)點(diǎn)之間自組織形成網(wǎng)絡(luò),而不過度依賴上層管理中心,從而發(fā)揮對等網(wǎng)絡(luò)的優(yōu)勢.因此,所提架構(gòu)僅對GM 做出如下假設(shè).

假設(shè)(半忠誠假設(shè)).群組管理者是可信的,并忠誠地為節(jié)點(diǎn)提供注冊和唯一性群組私鑰分發(fā)服務(wù);同時,管理者不被接受成為群組中的成員,即,不與下層通信節(jié)點(diǎn)建立端對端的虛擬通信隧道.

系統(tǒng)模型所采用的是一種基于身份的群組密碼系統(tǒng),它要求用戶的身份和密鑰是一一對應(yīng)的,而身份標(biāo)識對應(yīng)的群組私鑰又是由管理者驗(yàn)證其身份而頒發(fā)的,因此在無法通過偽造身份騙取管理者的前提下,敵手因其沒有密鑰而無法冒充用戶身份.在此基礎(chǔ)上,鑒于 VPN 安全性主要體現(xiàn)在密鑰交換和隧道安全兩方面,GroupVPN 模型針對這兩方面需滿足如下安全性要求.

(1)數(shù)據(jù)私密性:保護(hù)用于加密通信數(shù)據(jù)的會話密鑰不被非授權(quán)用戶獲取.由于群組加密中該會話密鑰由發(fā)起者單方面隨機(jī)生成,若它不被發(fā)起者泄露,那么會話密鑰的私密性則確保了加密數(shù)據(jù)的私密性;

(2)數(shù)據(jù)完整性:保護(hù)群組中的多播通信數(shù)據(jù)無法被篡改,并能夠迅速被接收者檢測到異常.通常是在傳輸報文中添加密碼學(xué)校驗(yàn),如哈希函數(shù)或是校驗(yàn)碼等,用來保護(hù)數(shù)據(jù)的完整性;

(3)身份真實(shí)性:保證發(fā)送方與接收方身份的真實(shí)性.在基于身份的PGC 系統(tǒng)中,接收方身份直接映射到密碼系統(tǒng)中的用戶標(biāo)識ID,由發(fā)送者加入到可解密用戶集合生成密文,PGC 保證只有該集合內(nèi)的接收者可解密;發(fā)送者的身份真實(shí)性則可由接收者驗(yàn)證發(fā)送者附帶的消息簽名來確定.

3 多播密鑰分發(fā)

3.1 設(shè)計目標(biāo)

本文利用群組加密的廣播特性來設(shè)計并實(shí)現(xiàn)多播組生成和組內(nèi)密鑰分發(fā),具體定義如下.

定義1(多播密鑰分發(fā)).多播密鑰分發(fā)是指在群組內(nèi)多個用戶之間共享同一個會話密鑰以形成多播組的過程,該會話密鑰能夠安全地被多播組內(nèi)成員共享,保證除此之外的其他用戶無法得知.

多播密鑰分發(fā)是GroupVPN 中節(jié)點(diǎn)之間進(jìn)行通信的基礎(chǔ),為群組內(nèi)的多播組產(chǎn)生一個共享的安全會話密鑰,數(shù)據(jù)傳輸則使用傳統(tǒng)的VPN 隧道技術(shù)處理完成.因此,該管理框架可構(gòu)架于現(xiàn)有的VPN 系統(tǒng)之上,耦合性低,易用性好.

該過程采用群組密碼技術(shù)取代已有VPN 系統(tǒng)中具有認(rèn)證功能的密鑰交換協(xié)議(如基于口令授權(quán)的密鑰交換協(xié)議PAKE 或其三方版本3PAKE),后者是使通信雙方在認(rèn)證服務(wù)器的幫助下相互進(jìn)行認(rèn)證并建立一個會話密鑰的過程.我們所提方案的不同之處在于,將兩方或三方認(rèn)證和密鑰交換擴(kuò)展為多播組下的多方認(rèn)證和密鑰分發(fā).

為方便閱讀,本節(jié)所使用符號見表1.

Table 1 Description of notations表1 符號說明

3.2 系統(tǒng)初始化

本文采用文獻(xiàn)[18]中的標(biāo)識集廣播加密方案(ISBE)作為多播密鑰分發(fā)協(xié)議構(gòu)建的基礎(chǔ),該方案由4 個算法構(gòu)成:Setup,KeyGen,Encrypt,Decrypt.但與通常加密方案不同的是,它可支持兩種加密模式:選擇模式和排除模式,即,給定集合S?U={P1,P2,…,Pn},兩種模式功能如下.

· 選擇模式:只有集合S內(nèi)的指定成員能解密信息;

· 排除模式:除集合S外的合法成員均能解密信息.

方案的核心算法是兩類聚合函數(shù):零點(diǎn)聚合函數(shù)ZerosAggr和極點(diǎn)聚合函數(shù)PolesAggr,用于實(shí)現(xiàn)標(biāo)識集S的密碼學(xué)表示.以ISBE 為基礎(chǔ),GroupVPN 系統(tǒng)初始化分為兩個部分:管理者GM 初始化和新成員初始化.兩個初始化的具體操作如下.

(1)管理者初始化

本階段用于生成系統(tǒng)所需要的主私鑰msk和主公鑰mpk,它可通過采用ISBE 方案中的函數(shù)加以實(shí)現(xiàn):給定素數(shù)階雙線性群系統(tǒng),在G1和G2群上分別選擇兩個隨機(jī)元素g和h作為生成元,在整數(shù)域中選取兩個隨機(jī)指數(shù)γ,ε,得到主密鑰msk=(γ,ε,g,gε);令R=e(g,h)ε并設(shè)定最大聚合數(shù)目m,對?k∈[1,m]依次計算,得到主公鑰mpk={S,h,R,{gk}k∈[1,m],pp=?},其中,pp作為用戶記錄表可由用戶在任意時刻查詢獲取.

(2)用戶初始化

在GM 完成初始化后,用戶可向GM 注冊申請加入系統(tǒng),在提供身份信息Infok(由系統(tǒng)自行設(shè)定)并通過管理者的驗(yàn)證后,GM 使用身份標(biāo)識IDk調(diào)用KeyGen(msk,IDk)→skk函數(shù)獲取相應(yīng)的用戶私鑰skk成為群組成員.具體過程如下:令xk=hash(IDk),生成用戶私鑰,并計算,得到該用戶的公開記錄ppk=(IDk,Hk,Infok),并且將ppk添加到公開參數(shù)mpk的集合中,即pp=pp∪{ppk},以公示新成員加入到了當(dāng)前群組.

以上兩個初始化過程分別對應(yīng)系統(tǒng)框架中的管理和通信模塊:管理者初始化僅針對GM,在整個系統(tǒng)中只運(yùn)行一次,關(guān)系到群組內(nèi)所有用戶的密鑰有效性,因此參數(shù)更新也將影響用戶的密鑰;用戶初始化過程也就是用戶注冊和申請群組私鑰的過程,它為多播組建立和密鑰分發(fā)做準(zhǔn)備.本系統(tǒng)沒有用戶數(shù)目的限制,新用戶可以隨時、動態(tài)地進(jìn)行注冊和添加到系統(tǒng);同時,系統(tǒng)內(nèi)節(jié)點(diǎn)通過向GM 發(fā)起基于成員標(biāo)識IDk的用戶信息ppk查詢與其他節(jié)點(diǎn)連接成網(wǎng)絡(luò).

3.3 多播密鑰分發(fā)協(xié)議

公鑰群組加密方案是實(shí)現(xiàn)安全多播密鑰分發(fā)的合理選擇,其1:n的密鑰結(jié)構(gòu)和聚合特性能夠做到只需一次加密,被選擇用戶集合S?U內(nèi)的所有用戶都可以解密獲取會話密鑰.因此,本文將ISBE 加解密過程應(yīng)用于密鑰分發(fā),由多播發(fā)起者構(gòu)建一個可解密用戶集合S作為通信對象,選取一個隨機(jī)的臨時會話密鑰ek作為明文,經(jīng)加密輸出密文并發(fā)送,多播組內(nèi)的用戶解密恢復(fù)出臨時會話密鑰,則完成了多播組的密鑰分發(fā)過程.多播密鑰分發(fā)協(xié)議具體步驟分為如下4 步.

1.多播組構(gòu)建

假設(shè)群組U內(nèi)的用戶子集T={P1,P2,…,Pm}需要發(fā)起多播組通信,其中,Pi擁有標(biāo)識IDi.群組內(nèi)的任何用戶Pk∈T能夠發(fā)起多播組構(gòu)建過程:該用戶(稱為發(fā)起者)將該子集T發(fā)送給GM 并請求多播組構(gòu)建;GM 做出響應(yīng)進(jìn)行模式判定:

(1)如果子群用戶數(shù)目m=|T|小于總?cè)藬?shù)n=|U|的一半,即m

(2)如果子群用戶數(shù)目m=|T|大于等于總?cè)藬?shù)n=|U|的一半,即m≥n/2,那么設(shè)定模式為排除模式,即mode=Cut且令S=UT.

注意,上述模式也可由發(fā)起者指定.根據(jù)不同的加密模式,令選擇模式對應(yīng)的集合為T,排除模式對應(yīng)的集合為UT,再根據(jù)其模式分別計算零點(diǎn)聚合值GS和極點(diǎn)聚合值HS作為用戶集合的表示:

最后,GM 將{mode,GS,HS}發(fā)送給發(fā)起者用于多播組會話密鑰分發(fā).上述函數(shù)也可由發(fā)起者采用公開參數(shù)mpk自行計算,但是考慮到系統(tǒng)運(yùn)行效率和易用性,本文選擇由GM 加以實(shí)現(xiàn).具體聚合算法見文獻(xiàn)[21]中的函數(shù)Aggrs(S,mode)→{GS,HS}.

2.會話密鑰分發(fā)

本階段由多播組通信的發(fā)起者完成會話密鑰選擇和對應(yīng)密文的生成,具體如下:隨機(jī)選取元素并計算ek=Rt作為臨時的會話密鑰,根據(jù)上一步得到的集合的聚合表示和相應(yīng)的加密模式{mode,GS,HS},發(fā)起者計算得到密文C=(S,mode,C1,C2),其中,

3.會話密鑰恢復(fù)

多播組T內(nèi)授權(quán)用戶Pk接收到多播密文C后,根據(jù)密文中的用戶集合S得知多播組的成員構(gòu)成,并判斷其加密模式恢復(fù)出隱藏的會話密鑰:

(1)選擇模式:若滿足當(dāng)前用戶IDk∈S,令S-=S{IDk},用戶將其與模式一同發(fā)送給GM,請求用該集合計算零點(diǎn)聚合函數(shù),并在獲得返回值后使用私鑰skk恢復(fù)出會話密鑰:

(2)排除模式:若滿足當(dāng)前用戶IDk?S,令S+=S∪{IDk},用戶將其與模式一同發(fā)送給GM,請求用該集合計算極點(diǎn)聚合函數(shù),并使用私鑰skk恢復(fù)出會話密鑰:

完成以上兩個初始化階段之后,就可在群組內(nèi)組建一個共享同一會話密鑰ek的多播組.會話密鑰分發(fā)階段時序圖如圖3 所示.

Fig.3 Multicast key distribution sequence diagram圖3 多播密鑰分發(fā)時序圖

在上述協(xié)議運(yùn)行過程中,多播組構(gòu)建是算法中比較耗時的操作,且聚合函數(shù)的特點(diǎn)決定了計算時長隨著多播組規(guī)模的增長而增加.但在具體應(yīng)用中,可以優(yōu)化這一過程:1)擁有選擇和排除兩種模式,在多播組規(guī)模超過群組大小的一半時可用其補(bǔ)集的排除模式減少聚合計算的時長;2)多播組構(gòu)建操作可作為獨(dú)立的模塊預(yù)加載或者緩存,其計算結(jié)果可被多次使用,從而不會影響網(wǎng)絡(luò)延遲.

4.發(fā)送者身份認(rèn)證

多播發(fā)起者Pk(其標(biāo)識為IDk)能夠采用數(shù)字簽名方式來驗(yàn)證發(fā)起者的身份.適用于本系統(tǒng)的數(shù)字簽名方案包括基于身份的簽名(IBS)或群簽名(GS)等,下面以文獻(xiàn)[19]中的短群簽名SGS 方案為例加以說明:該SGS 方案由4 個算法構(gòu)成:KeyGen,Sign,…,Open,但與通常的簽名方案不同之處在于,群簽名中隱藏了簽名者的身份,需要Open函數(shù)才能找出真實(shí)簽名者.此外,由于SGS 方案采用了與ISBE 方案相同的用戶私鑰結(jié)構(gòu),因此用戶可使用已分發(fā)的用戶私鑰變換為用于SGS 方案,其中,gε可看做新的生成元.

基于上述簽名方案的構(gòu)造,可在第2)步中的會話密鑰分發(fā)結(jié)束后,由發(fā)起者生成群管理私鑰gmsk,使用用戶私鑰skk完成對發(fā)起者標(biāo)識IDk和密文C的簽名δ=Sign(gpk,skk,(IDk,gmsk,C,M));再用通常的加密算法對簽名進(jìn)行加密:C′=Enc(ek,(IDk,gmsk,δ,M)),最終將(C,C′)進(jìn)行多播傳送給組內(nèi)成員.

與此對應(yīng),在第3)步中的會話密鑰恢復(fù)完成后,授權(quán)接收者首先用恢復(fù)后的會話密鑰ek解密獲得發(fā)起者標(biāo)識IDk和密文C,即(IDk,gmsk,δ,M)=Dec(ek,C′);然后,驗(yàn)證簽名Verify(gpk,(IDk,gmsk,C,M),δ)=True 且找出簽名者Open(gpk,gmsk,(IDk,gmsk,C,M),δ)=IDk.如果上述判定成立,則表明發(fā)起者與宣稱的一致.

3.4 安全性分析

如安全模型所述,GroupVPN 系統(tǒng)構(gòu)造采用了加密與簽名相結(jié)合的方式,可滿足數(shù)據(jù)私密性、數(shù)據(jù)完整性、身份真實(shí)性這3 方面的要求.在上述結(jié)構(gòu)中,分別采用了ISBE 群加密和SGS 群簽名方案,兩方案都以雙線性映射群為數(shù)學(xué)基礎(chǔ),不僅具有相同的用戶私鑰結(jié)構(gòu),而且都以強(qiáng)Diffie-Hellman(SDH)問題為安全基礎(chǔ):

定義2(SDH 問題).給定中元素,找到一對值(c,G1/(α+c)),其中,c≠0(modp).

下面分別對這3 個方面進(jìn)行分析.

1.在數(shù)據(jù)私密性方面

系統(tǒng)通過數(shù)據(jù)加密實(shí)現(xiàn)數(shù)據(jù)私密性,這里的加密算法Enc是現(xiàn)有的標(biāo)準(zhǔn)常規(guī)加密算法(如AES、國標(biāo)SM1等).在加密密鑰(即會話密鑰)不可猜測情況下,其安全性能夠滿足數(shù)據(jù)語義安全的要求,因此,數(shù)據(jù)私密性取決于ISBE 加密方案保護(hù)用于加密通信數(shù)據(jù)的會話密鑰不被非授權(quán)用戶集合獲取.下面的定理證明了ISBE 方案中會話密鑰的語義安全性(不可區(qū)分性).

定理1(ISBE 語義安全).對于0≤t≤n,假設(shè)任何(n,t)-GDHE1和(n,t)-GDHE2問題是困難的,那么基于標(biāo)識集的加密方案在選擇(select-mode)和排除(cut-mode)模式下對選擇明文共謀攻擊下具有語義安全.

上述語義安全性等價于會話密鑰與隨機(jī)字符串兩者所生成密文的不可區(qū)分性,它意味著非授權(quán)集合中的用戶即便共謀(collusion)也無法獲取會話密鑰,從而解密多播信息獲得其內(nèi)容.這里的共謀是指非授權(quán)集合中用戶即便具有合法的密鑰,也無法對授權(quán)集合下的密文進(jìn)行解密.上述定理的證明通過設(shè)計一個敵手與挑戰(zhàn)者之間的交互博弈過程,從而模擬敵手針對該方案在選擇明文以及共謀條件下的優(yōu)勢.

· 首先,由挑戰(zhàn)者初始化密鑰參數(shù),指定加密模式mode和挑戰(zhàn)的授權(quán)用戶集合S*,敵手獲得主公鑰mpk;

· 然后,為模擬共謀條件,敵手可重復(fù)n次查詢用戶IDi的私鑰,當(dāng)且僅當(dāng)被查詢用戶不在授權(quán)集合內(nèi),即滿足mode(IDi,S*)≠0,則挑戰(zhàn)者返回該查詢用戶的私鑰;否則返回該用戶的公開參數(shù),其中,t為共謀密鑰的數(shù)量且|S*|=n-t;

· 接著,挑戰(zhàn)者完成加密操作Encrypt(mpk,S*,mode)=(C,ek)得到密文C和秘密ek,隨機(jī)擲幣b={0,1},令ekb=ek且ek1-b為另一隨機(jī)元素,將消息(C,ek0,ek1)發(fā)送給敵手;

· 最后,敵手輸出對b的猜測b′.

2.在數(shù)據(jù)完整性方面

GroupVPN 系統(tǒng)通過SGS 數(shù)字簽名(及其使用的密碼學(xué)Hash 函數(shù))實(shí)現(xiàn)保護(hù)群組中的多播通信數(shù)據(jù)無法被篡改.

(1)針對多播組外敵手的攻擊,ISBE 的組內(nèi)授權(quán)會話密鑰分發(fā)可阻止敵手對數(shù)字簽名δ的獲取;

(2)針對多播組內(nèi)敵手的攻擊,即便敵手獲取到數(shù)字簽名δ,根據(jù)群簽名的抗偽造性,敵手偽造其他用戶的簽名也是計算困難的,并可通過簽名驗(yàn)證算法Verify 迅速被接收者檢測到異常.

3.在身份真實(shí)性方面

GroupVPN 系統(tǒng)可保證發(fā)送方與接收方兩方身份的真實(shí)性,即雙向認(rèn)證功能,具體安全保證如下.

(1)采用SGS 簽名中的Open函數(shù)實(shí)現(xiàn)簽名者身份確認(rèn).

由于群簽名方案中群組內(nèi)成員具有相同的簽名權(quán),因此簽名驗(yàn)證算法Verify 具有匿名性(anonymity),這一特性可滿足可信多播組內(nèi)的公平性協(xié)議要求,如選舉協(xié)議、競拍協(xié)議等;當(dāng)需要對發(fā)送方進(jìn)行身份確認(rèn),可采用Open協(xié)議去匿名化找出原始簽名者,其安全性服從如下定理:

定理2(SGS 完全可跟蹤性[19]).如果SDH 問題在(G1,G2)群上是(q,t′,ε′)-困難的,那么上述群簽名方案是(t,qH,qS,n,ε)-完全可跟蹤的,其中,n=q-1,和t=Θ(1)·t′.這里,qH是哈希函數(shù)查詢次數(shù),qS是簽名查詢次數(shù),且n是群內(nèi)成員數(shù)目.

定理表明,敵手偽造簽名避免被追蹤或者假冒原始簽名者的概率是可忽略的,從而保證報文發(fā)送者或群組發(fā)起者的身份安全.類似于定理1 的證明過程,定理2 的證明依然采用敵手與挑戰(zhàn)者之間的交互博弈,模擬敵手能夠成功偽造不可被追蹤來源簽名的優(yōu)勢:首先,由挑戰(zhàn)者指定被挑戰(zhàn)的簽名者,將其公鑰發(fā)送給敵手;然后,敵手可以查詢到除被挑戰(zhàn)者之外的其他私鑰以及任意指定的簽名者對消息的有效簽名;接著,敵手偽造指定被挑戰(zhàn)者的簽名并返回給挑戰(zhàn)者;最后,若偽造的簽名不在查詢過程中出現(xiàn)過,且跟蹤算法錯誤地追蹤到指定被挑戰(zhàn)者,則敵手偽造成功.

同樣地,假設(shè)敵手能夠攻擊上述方案,即偽造出不可被追蹤來源的簽名,挑戰(zhàn)者能夠?qū)呈謱Ψ桨傅墓魞?yōu)勢轉(zhuǎn)換為對困難問題的求解優(yōu)勢,這表明敵手擁有不可忽略的優(yōu)勢,能夠在多項(xiàng)式時間內(nèi)解決定理中的SDH 問題.這與已知任何多項(xiàng)式時間算法求解上述困難問題的成功概率是可忽略的事實(shí)相矛盾.通過反證法可知,敵手能夠攻擊方案的假設(shè)不成立,即敵手無法偽造正確的簽名或該偽造簽名能夠被追蹤其來源.

(2)采用ISBE 方案中的授權(quán)解密功能實(shí)現(xiàn)了多播組的接收方身份確認(rèn).

即,只有屬于多播組S的授權(quán)成員能夠解密ISBE 密文獲得會話密鑰.同樣地,定理1 中ISBE 針對抗共謀攻擊的安全性保證了非授權(quán)用戶無法恢復(fù)會話密鑰:假設(shè)任何非授權(quán)用戶(包括非系統(tǒng)內(nèi)攻擊者和系統(tǒng)內(nèi)的非授權(quán)用戶)能夠共謀獲取會話密鑰,那么也就意味著他們破壞了ISBE 方案的語義安全性,與定理矛盾,因此保證了只有多播組內(nèi)的接收者是合法會話密鑰持有者,間接實(shí)現(xiàn)了接收方身份確認(rèn).

4 報文協(xié)議設(shè)計

4.1 數(shù)據(jù)封裝格式

本文提出的多播密鑰分發(fā)協(xié)議構(gòu)架于網(wǎng)絡(luò)協(xié)議棧的傳輸層之上,參考已有的VPN 封裝協(xié)議,我們設(shè)計了如表2 所示的數(shù)據(jù)封裝格式.

Table 2 Data encapsulation message format表2 數(shù)據(jù)封裝報文格式

鑒于在多播組的構(gòu)建中群組密碼一對多的優(yōu)勢,即可以實(shí)現(xiàn)對于同一密文有多個被授權(quán)的私鑰能夠成功解密,本文建議采用UDP 協(xié)議裝載所述數(shù)據(jù)報文.這種傳輸層協(xié)議格式簡單、無連接,可支持在網(wǎng)絡(luò)中高效傳輸和廣播擴(kuò)散所載荷的數(shù)據(jù)報文.相比于面向連接的TCP 協(xié)議需要與每個節(jié)點(diǎn)執(zhí)行3 次握手4 次揮手完成通信,UDP 協(xié)議結(jié)構(gòu)簡單,支持消息廣播,傳輸速率快,更適合于視頻直播、群組聊天等需要消息即時同步應(yīng)用場景.因此,本文所設(shè)計的這種多播密鑰分發(fā)協(xié)議正是有這種消息即時同步的需求.同時,為了彌補(bǔ)UDP 協(xié)議不可靠傳輸?shù)娜毕?我們在數(shù)據(jù)封裝格式中加入序列號以及在工程實(shí)現(xiàn)中采取心跳機(jī)制,完成對該協(xié)議的程序設(shè)計.

在所述協(xié)議報文格式中,字段{C1,C2,Mode}結(jié)合字段Data中的用戶集合S實(shí)現(xiàn)多播組的構(gòu)建.根據(jù)ISBE 方案的特點(diǎn),群組密文的兩部分C1和C2為常量大小,與當(dāng)前多播組的規(guī)模無關(guān),由密鑰空間定義的位長(如256 bits)決定其密文的長度.字段{Next,Size,SPI,Seq}保持與IPSec VPN 一致.此外,字段{Op,Exp}用于管理多播組,其中,Op標(biāo)記多播組會話密鑰的分發(fā)、更新和撤銷,Exp標(biāo)記該多播組會話密鑰的有效時間.字段Data是可變長的有效數(shù)據(jù)載荷,它包括了當(dāng)前所構(gòu)建的多播組中用戶集合的身份標(biāo)識信息,以及如之前方案所述的簽名驗(yàn)證數(shù)據(jù)用以核實(shí)發(fā)起者的身份.

4.2 會話密鑰管理

為方便多播組協(xié)議實(shí)現(xiàn),本系統(tǒng)定義3 種操作類型來表示如何組裝功能性的報文,并分別用于發(fā)起者分發(fā)(distribute)、更新(update)和撤銷(revoke)多播組.令S為當(dāng)前要建立的多播組成員集合,忽略密文生成具體采用何種加密模式的細(xì)節(jié),使用期限Exp為系統(tǒng)默認(rèn)配置,3 種操作定義如下.

(1)Distribute(S,Exp):用于生成多播報文,輸入多播組成員集合S和密鑰共享的有效時長Exp,它將操作類型Op標(biāo)記為分發(fā),隨機(jī)產(chǎn)生初始序列號Seq,定義密鑰的有效期,根據(jù)多播組成員集合確定采取的加密模式填充密文部分,最后對該分發(fā)標(biāo)記的報文簽名;

(2)Update(S,Exp):用于更新多播會話密鑰,輸入多播組成員集合S和密鑰共享的有效時長Exp,將操作類型標(biāo)記為更新,在上一個報文的序列號Seq基礎(chǔ)上加1 填入,重置密鑰的有效時長,生成一個隱藏了新的會話密鑰的密文,并為該更新標(biāo)記的報文簽名;

(3)Revoke(·):用于撤銷多播組,輸入為空,它設(shè)置操作類型為撤銷標(biāo)記,序列號Seq繼續(xù)在已有基礎(chǔ)上加1,使用期限為空,不用填充密文,最后加上發(fā)送者簽名.

多播組生存周期從發(fā)起者初始化構(gòu)建并分發(fā)密鑰,而后多次更新當(dāng)前多播組的會話密鑰,直到最后撤銷密鑰刪除當(dāng)前多播組.對于多播組成員的添加和刪除,則都可以通過調(diào)用Update函數(shù)來為新的成員集合重新分配密鑰,舊的密鑰則被廢棄.例如,對于用戶Alice 的加入和用戶Bob 的退出,將分別對應(yīng)于集合的并和除,即調(diào)用函數(shù)Update(S∪{Alice},Exp)更新密鑰添加用戶,調(diào)用函數(shù)Update(S{Bob},Exp)更新密鑰刪除用戶.

多播組構(gòu)建過程中的聚合值計算是群組算法中的主要耗時部分,取決于多播組的規(guī)模.在本文中,我們將這一過程交由GM 實(shí)現(xiàn),用戶可隨時查詢并繼續(xù)使用聚合值進(jìn)行會話密鑰分發(fā)操作,從而降低成員的計算負(fù)載和網(wǎng)絡(luò)延遲.因此,GM 和用戶都可以通過緩存計算結(jié)果并多次使用達(dá)到提高性能的目的.

5 性能評估

為評估系統(tǒng)性能,本文在一種開源的對等VPN 軟件上進(jìn)行二次開發(fā),分別比較原有軟件與采用本文方案后開發(fā)成型的軟件在密鑰分發(fā)和加密通信上的性能差異.我們選取采用對等技術(shù)構(gòu)建虛擬專用網(wǎng)絡(luò)的PeerVPN軟件,它使用C 語言編程實(shí)現(xiàn)并運(yùn)行于Linux 系統(tǒng)上,在OpenSSL 開發(fā)包的支持下,使用DH 密鑰交換生成節(jié)點(diǎn)之間的會話密鑰,以及采用256 位的AES 算法加密通信數(shù)據(jù),通過節(jié)點(diǎn)之間消息路由構(gòu)建完全的平鋪網(wǎng)絡(luò),是一種比較典型的對等VPN.

在PeerVPN 的基礎(chǔ)上,我們嵌入本文所提出的多播密鑰分發(fā)方案,采用斯坦福大學(xué)的C 語言版本PBC 庫編寫ISBE 密碼算法,替換原有對等VPN 中的密鑰交換方法,而分發(fā)的會話密鑰則采用與該軟件相同的加密方式,目前已有程序代碼上萬行,部署在10 個節(jié)點(diǎn)上用于性能測試.測試環(huán)境使用三層交換機(jī)配置私有網(wǎng)段,并在物理服務(wù)器上安裝VMware 或VirtualBox 等軟件創(chuàng)建10 臺虛擬機(jī),為其配置1GB 內(nèi)存、1 個CPU 單核、20GB硬盤存儲以及一塊虛擬網(wǎng)卡用于橋接至三層交換機(jī)上,每臺虛擬機(jī)安裝Ubuntu 16.04 操作系統(tǒng)作為程序的開發(fā)運(yùn)行環(huán)境.

下面將分別通過理論對比和實(shí)驗(yàn)分析對群組VPN 中密鑰分發(fā)方法的性能進(jìn)行分析.

5.1 密鑰分發(fā)方法比較

為了在兩方之間產(chǎn)生共享的會話密鑰,已有的會話密鑰分發(fā)技術(shù)可分為下面兩類.

(1)基于對稱密碼的密鑰分發(fā)協(xié)議,如NS,Kerberos 等,它由用戶發(fā)出請求并與密鑰分發(fā)中心KDC 進(jìn)行多步交互最終產(chǎn)生兩方(或多方)共享密鑰;

(2)基于公鑰密碼的密鑰交換協(xié)議,如Diffie-Hellman 密鑰交換技術(shù),不依賴第三方,而由兩方共同生成一個隨機(jī)的會話密鑰.

表3 給出了群組分發(fā)方法與已有的兩種密鑰分發(fā)方法之間的簡單對比.在這兩種方法中:方法(1)簡稱對稱密鑰分發(fā)方法,可支持從兩方到多方的擴(kuò)展,但等效于多次協(xié)議執(zhí)行,通信代價也隨著參與方規(guī)模線性增長;方法(2)簡稱密鑰交換方法,只支持兩方共同生成會話密鑰,由于該會話密鑰的計算取決于兩方各自選取的隨機(jī)數(shù),任意一方無法猜測該隨機(jī)會話密鑰的計算結(jié)果,因此不能直接從兩方擴(kuò)展到多方,只能通過協(xié)議的多次執(zhí)行滿足在多播組內(nèi)共享相同的會話密鑰.

上述兩種方法與本文所提基于群組密碼的密鑰分發(fā)方法(簡稱多播密鑰分發(fā)方法)相比較,在分發(fā)方式、密碼基礎(chǔ)、通信開銷等方面都有較大差異.通過表3 的對比不難發(fā)現(xiàn):群組分發(fā)方法不需要中心機(jī)構(gòu)頒發(fā)會話密鑰,且能夠同時與多方共享相同的會話密鑰,其通信開銷和計算效率都有很大的提升;基于身份標(biāo)識的認(rèn)證方式能夠便捷用戶注冊過程,減少系統(tǒng)內(nèi)密鑰管理工作,提高針對身份偽造攻擊的安全防護(hù).

Table 3 Comparison of session key distribution methods表3 會話密鑰分發(fā)方法對比表

5.2 密鑰分發(fā)實(shí)驗(yàn)分析

為使群組VPN 與對等VPN 之間性能對比結(jié)果更為顯著,上述實(shí)驗(yàn)環(huán)境在設(shè)計上將VPN 程序運(yùn)行時產(chǎn)生的網(wǎng)絡(luò)流量通過單臺交換機(jī)轉(zhuǎn)發(fā),從而忽略數(shù)據(jù)報文在公網(wǎng)中的傳輸時延.在此基礎(chǔ)上,本文分別對兩種VPN在密鑰分發(fā)和加密通信前后兩個階段進(jìn)行實(shí)驗(yàn)分析.密鑰分發(fā)階段用于生成隧道通信的會話密鑰,在工程實(shí)現(xiàn)上對等VPN 需要至少3 次交互以完成會話密鑰的生成,包括:1)產(chǎn)生一個會話;2)交換隨機(jī)數(shù);3)確認(rèn)會話密鑰.在此之后,兩方交互初始化隧道參數(shù).而群組VPN 將一方產(chǎn)生的隨機(jī)會話密鑰隱藏在群組加密密文中,廣播該密文而無需交互,即可完成對可選用戶集合的會話密鑰分發(fā).

如圖4 所示,實(shí)驗(yàn)分析結(jié)果顯示了隨著群組規(guī)模增大,兩種VPN 在為群組成員分發(fā)會話密鑰的交互耗時.實(shí)驗(yàn)中,接收方群組規(guī)模從1～9 變化,交互耗時單位為毫秒.對等VPN 中密鑰交換協(xié)議需要與每個用戶單獨(dú)進(jìn)行交互,所以實(shí)驗(yàn)結(jié)果(三角)顯示,其密鑰交換耗時隨群組規(guī)模成線性增長.與之相比較,群組VPN(圓點(diǎn))中多播分發(fā)在群組規(guī)模較小時,耗時相對較大;當(dāng)超過5 個節(jié)點(diǎn)時,其交互耗時逐漸優(yōu)于對等VPN 中密鑰交換.該實(shí)驗(yàn)結(jié)果的原因在于:多播分發(fā)使用的群組密碼技術(shù)中的主要計算開銷是聚合值計算與橢圓曲線下的雙線性映射運(yùn)算,當(dāng)群組規(guī)模較小時,由于基于雙線性映射的初始化過程耗時較多,導(dǎo)致群組VPN 性能弱于對等VPN.但該過程耗時并不隨群組規(guī)模增長而變化,而更多耗時被用于聚合值計算,但從圖中的擬合曲線可知,聚合值計算的耗時速率要小于密鑰交換的耗時速率,因而群組VPN 的交互耗時隨規(guī)模增長要小于對等VPN.因此,群組VPN 更適用于更大規(guī)模的網(wǎng)絡(luò)環(huán)境.

在相同實(shí)驗(yàn)環(huán)境下,圖5 表明了在密鑰分發(fā)階段完成之后,群組內(nèi)成員通過加密隧道向群組內(nèi)其他成員進(jìn)行多播通信的耗時.

Fig.4 Interaction time-overheads in key distribution圖4 密鑰分發(fā)階段交互耗時

Fig.5 Multicast time-overheads in encrypted communication圖5 加密通信階段多播耗時

由于群組VPN 中多播組內(nèi)共享同一會話密鑰,因此消息只需加密一次,多播耗時隨群組規(guī)模的增長沒有太大的變化,這可通過圖中圓點(diǎn)及擬合直線予以驗(yàn)證.而對等VPN 下的多播耗時則隨著群組規(guī)模增長呈較明顯的線性增長,其增長是由于不同會話密鑰對同一消息進(jìn)行隧道加密計算造成的.因此,群組VPN 對消息的接收延遲較小,更適用于大規(guī)模群組內(nèi)多播消息的同步接收.

6 總結(jié)

本文提出一種被稱為GroupVPN 的對等VPN 框架,該框架結(jié)合公鑰群組密碼下的廣播加密和群簽名方案,實(shí)現(xiàn)一種多播密鑰分發(fā)協(xié)議,保證在SDH 假設(shè)下滿足數(shù)據(jù)私密性、數(shù)據(jù)完整性、身份真實(shí)性這3 方面安全性要求.實(shí)驗(yàn)分析表明,該協(xié)議可將通信延遲限制在會話密鑰分發(fā)階段,從而降低了加密通信階段的通信耗時.