组密钥管理技术研究及其在IPSec VPN中的应用

论文摘要

近年来，安全可靠的组通信已成为研究领域的热点问题，尤其是在基于组的应用和合作领域，组安全通信越来越受到人们的关注。组安全通信的设计关键点在于如何在不可靠的网络环境维护组通信的机密性。数据加密是实现安全组通信的实际途径，即使是IP分组被泄露到整个网络，也能保证只有经过认证的用户才能解密组播数据。在安全组通信中，数据发送者用组密钥来加密业务，并且组内每个成员都共享同样的组密钥用于解密数据。为了保证后向与前向机密性，在整个组播会话过程中，每当有用户加入或退出时都必须改变组密钥。这一过程称为密钥更新(Rekey)，它保证了一个新加入的用户无法访问之前的组播数据，并且一个退出的用户无法继续解读在它离开之后组播的数据。这就是密钥管理问题，设计安全高效的密钥管理协议面临着许多挑战。其主要难点在于组的动态性，即组成员可以在任意时刻加入或退出组。本文的研究主要包括组密钥管理的系统结构，动态对等组密钥协商和更新协议，在此基础上实现了一个组密钥管理系统并将其应用于IPSec VPN，实现网关组的安全关联。具体地说，本文的工作内容包括以下几个方面：根据组密钥管理系统的密钥控制模型的差异，将其分为三类：集中式密钥分发，分散式密钥分发，对等密钥协商。其中基于对等组密钥协商的密钥管理系统具有以下特点：(1)组成员为平等关系，无逻辑或物理的层次关系，因此不存在性能和安全的瓶颈结点，没有单点失效问题，可用性高；(2)组密钥由组内各成员贡献的随机数生成，因此组密钥的随机性比其它两类系统更为健壮。该类密钥管理系统是本文研究的重点。现有的对等组密钥管理系统建立在组通信基础上，存在的结构复杂，效率低，鲁棒性低等问题，制约了组密钥管理系统的应用。本文针对IPSec VPN中组密钥管理的需求，提出了一种模块化对等组密钥管理结构，在可靠多播服务和基于中心节点的简单成员关系服务上建立组密钥协商。安全性和协商效率是评价组密钥管理协议的关键指标，在保证相同安全性的基础上，如何提高协商效率是一个关键课题，对组密钥的应用具有现实意义。本文首先就安全性和协商效率两个指标对现有的动态对等组密钥管理协议进行系统的分析和比较。利用降低密钥协商的轮数、通信量和计算量作为提高协商效率的途径，提出了一系列的高效动态组密钥协商协议。该系列协议具有以下特点：(1)引入配对(Pairing)运算和基于身份的公钥基础设施(Identity Based

论文目录

摘要

Abstract

第一章前言

1.1 组通信中的安全问题

1.2 组密钥管理

1.3 组密钥管理在VPN中的应用

1.4 论文内容及贡献

1.5 章节安排

第二章组密钥管理系统

2.1 组密钥管理系统

2.2 相关研究工作

2.2.1 安全组通信

2.2.2 安全策略管理

2.2.3 成员管理

2.2.4 应用层多播服务

2.3 简单对等组密钥管理系统

2.3.1 组密钥管理的安全问题

2.3.2 简单对等组密钥管理系统模型

2.3.3 基于SPC的树优先应用层可靠多播

2.3.4 基于SPC的简单成员管理系统

2.4 小结

第三章基于身份的（ID-based）动态对等组密钥协商

3.1 密码学相关理论

3.1.1 协议以及其攻击方法

3.1.2 椭圆密码学基础

3.1.3 秘密共享协议

3.2 相关研究工作

3.2.1 对等组密钥协议比较

3.2.2 性能分析比较

3.3 高效动态对等组密钥协商协议设计

3.3.1 基于ECDLP的环形组密钥协议

3.3.2 基于BDH的环形组密钥协议

3.3.3 基于ECDLP的树形组密钥协议

3.3.4 基于BDH的树形组密钥协议

3.3.5 单轮的组密钥协商协议

3.3.6 协议安全性证明

3.4 鲁棒的对等组密钥协商系统的设计与实现

3.4.1 协议的设计描述

3.4.2 基于 ECDLP的环形密钥协议的设计描述

3.4.3 其它三种协议的设计描述

3.5 性能分析与比较

3.5.1 理论性能分析

3.5.2 仿真实验结果

3.5.3 真实环境实验结果

3.6 小结

第四章组密钥在VPN中的应用和实现

4.1 组策略在VPN中的应用

4.2 基于组密钥的组策略系统的设计与实现

4.2.1 组策略管理

4.2.2 组视图发布

4.2.3 安全通信

4.3 实验结果

4.4 小结

第五章结论和展望

作者在攻博期间发表和完成的论文

致谢

组密钥管理技术研究及其在IPSec VPN中的应用

论文摘要

论文目录

相关论文文献

猜你喜欢