组播安全研究-任逍航.pptVIP

组播安全研究 任逍航 0110349036 概述 20世纪80年代Deering提 出了组播的概念，将组播 技术描述成一个IP报文到 一个主机组的投递。 概述 单播：点到点传输 组播：点到多点传输 广播：点到面的传输 组播面临的安全风险 组播通信技术中并没有提供机制用于对组中成员资格进行限制，这使得攻击者容易模仿成一个组的合法成员。 IP组播的组地址范围是众所周知的，这使得攻击者很容易找到一个组播组的IP地址，并成为其合法的组成员之一。 组播通信技术中没有提供任何机制能阻止组成员或者非组内成员向这个组发送数据。如果攻击者恶意的向这个组发送大量数据包，由于组的规模可能比较大，这就很容易造成网络拥塞从而导致拒绝服务。 组播通信技术使用UDP作为它的传输层协议，这就不存在内部协议机制来控制拥塞。 相对于单播通信，组播报文将在更广泛的网络上传输，这样就给攻击者更多机会进行数据报文的拦截和窃听。 组播的安全需求 保密：只有拥有解密密钥的节点才能解读组播报文的内容。 组成员认证：非组成员无法生成有效的认证信息，进而无法冒充组成员发送组播报文。 源认证(抗抵赖)：组成员无法生成其他组成员的认证信息，进而无法冒充其他组成员发送组播报文。另一方面，组成员也无法否认其发送的信息。 匿名性：为组成员提供匿名发言的机制，也就是说，接收方无法从接收到的组播报文推断出发送方的身份。 完整性：提供验证收到的组播报文是否被篡改的手段。 组播的源认证 组播源认证是组播技术中基本的安全问题之一。组播源认证是指确保组播组成员收到的数据来自所声称的发源地，如果数据被窜改，接收者也能够识别。 要求： 可认证性：数据接收者可以验证数据发起者的身份。 完整性：数据接收者可验证接收的数据未被修改过。 不可否认性：数据发起者不能否认相应的数据是他发的。 效率：发送数据和接收数据需要的计算时间代价、通信代价和储存代价较小。 可否认的数据源认证 可否认数据源认证是指数据的接收方能够确认消息发送者的身份，但不能向第三方证实发送者的身份。 可否认的数据源认证 非对称MAC码方案 发送方与接收方共享几个秘密密钥作为接收方密钥的子集，且子组成员不知道其他接收方的所有密钥。进行认证时，发送方使用其所拥有的全部秘密密钥分别计算消息的MAC(这些值的集合称做非对称MAC)，并添加到该消息中。每个接收方可用其密钥子集来验证该非对称MAC的一部分，若这些值是有效的，则接收方认为消息是真实的。 缺点：共谋攻击 可否认的数据源认证 时间MAC码方案 发送方用一个只有他自己知道的密钥k来计算一条消息的MAC，并附加在该包中发送，接收方收到包后将其放入缓存。在一个约定的显密延迟后，发送方显密k，接收方可验证与该密钥k对应的时间间隔内发送的所有包。因此，每个包的一个MAC足够提供源认证，前提是发送方与接收方作松散的时间同步。 缺点：安全的时间同步 、拒绝服务攻击 可否认的数据源认证 混合型MAC码方案 基于非对称MAC码方案的优点是即时认证，缺点是对共谋攻击非常敏感。而在基于时间的MAC码方案下共谋攻击就不可能了，密钥只能够用来验证消息，但这种方案的缺点是需要缓存收到的数据包，不能提供即时认证。 将两者混合取其优点 。 不可否认的数据源认证 为保证对给定消息的不可否认数据源认证，发送方需要用私钥对消息进行签名。最直接的方法是对每一条多播消息进行签名，然后将多播消息与签名信息一同发送，接收方用发送方的公钥对消息进行验证。 不可否认的数据源认证 基于hash链的数字签名分摊方案 发送方对分组数据流中的一个分组进行签名，其他的分组通过附加hash值的方式和签名分组关联，从而便于接收方验证所有分组。这样，签名和验证的计算开销和通信开销就均摊给这段分组数据流中的每个分组。 不可否认的数据源认证 基于hash树的数字签名分摊方案 在认证树 (merkle tree) 方案中，发送端首先将 整个数据流分成M块， 每个块分成m个包，然 后计算每个包的hash码。 计算块的hash码时，首 先构造一棵二叉树，树的叶节点是m个包的hash值，递归计算出根节点的hash值，然后对根节点签名，。 组播密钥管理 组播密钥管理为参与组播的成员生成、分发和更新组密钥(group key)。组密钥是所有组成员都知道的密钥，被用来对组播报文进行加密/解密、认证等操作，以满足保密、组成员认证、完整性等需求。 组播密钥管理 安全需求 前向加密：主动退出组播的节点或被强制退出的节点(比如恶意节点)无法继续参与组播，即无法利用它们所知道的密钥解密后继组播报文和生成有效的加密报文。重新生成并更新组密钥可以实现前向加密，但要注意的是，密钥更新报文同样可以