符合ＭＩＫＥＹ规范的密钥更新协议ＭＩＫＥＹ－Ｒｅｋｅｙ.docVIP

符合ＭＩＫＥＹ规范的密钥更新协议ＭＩＫＥＹ－Ｒｅｋｅｙ 　　摘要：MIKEY协议是一种可应用于实时的、多媒体通信的密钥管理协议。该文基于MIKEY协议和文献[6]中的组密钥管理结构，提出了一种综合周期和批量密钥更新策略的密钥更新协议MIKEY-Rekey协议，协议设计考虑到了两种更新策略的融合、同步问题的对策和PDU的设计等问题。 　　关键词：MIKEY规范；密钥更新；协议设计 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)29-0320-03 　　A Rekey Protocol MIKEY-Rekey Based on MIKEY Specification 　　LIU Yu-jiao 　　(Center of Computer,Mianyang Normal University,Mianyang 621000,China) 　　Abstract: MIKEY protocol is a key management scheme that can be used for real-time multimedia applications. In this paper, we design our rekey protocol MIKEY-Rekey based on MIKEY protocol and the group key management architecture in document [6]. 　　Key words: MIKEY specification; rekey; protocol design 　　 　　多播通信中，密钥管理为合法用户分发和更新密钥，所有多播数据流均由数据加密密钥TEK加密传输，TEK由密钥加密密钥KEK加密分发，保证只有合法用户才能得到TEK并解密多播数据流。组密钥管理是多播安全的核心问题之一。组密钥管理要保证多播会话的前向安全和后向安全，这就需要对组密钥进行更新。一个“好”的密钥更新协议必须具备以下性能： 　　1) 必须保证所有合法用户及时地收到密钥更新消息； 　　2) 必须指定各通信实体之间的通信机制，以及丧失密钥同步时的弥补机制； 　　3) 在发送密钥消息的时候需要保证密钥消息传输的可靠性； 　　4) 需要对密钥进行高效率（减少对CPU和带宽的消耗）的更新，特别是在大型动态多播组通信中，这一点关系到多播通信系统的可用性； 　　本文基于MIKEY协议[5]和[6]中的组密钥管理结构，提出了一种综合周期和批量密钥更新策略的密钥更新协议MIKEY-Rekey协议，协议设计考虑到了两种更新策略的融合、同步问题的对策和PDU的设计等问题。 　　 　　1 MIKEY-Rekey的工作过程概要 　　 　　GCKS通过群组注册协议获得用户的对应的公钥，通过认证中心CA查询用户证书的合法性。当用户通过证书验证，就成为了待处理（等待获得组通信的数据加密密钥TEK）的用户。当用户要退出组通信，就向GCKS发送退出消息，GCKS收到此消息之后把该用户列为待处理用户。在进行密钥更新的时候，对于等待加入的用户，GCKS发送单播更新消息；对于等待退出的用户，则不把等待退出用户的相关信息写入多播更新消息。即在进行密钥更新的时候不对等待退出的用户进行密钥更新。多播密钥更新消息是在单播密钥更新消息上的扩展，把需要更新密钥的用户所需要的密钥全部封装到一条消息里面，用户根据自己的ID可以定位自己的密钥。这种方式大大减少了消息发送的条数，但对于单个用户来说接收了一定的冗余信息。 　　 　　2 MIKEY-Rekey的更新策略分析 　　 　　2.1 周期更新 　　GCKS维护一个Timer，但Timer为T时进行密钥更新，具体过程如下： 　　1) Timer置0，待处理用户数NW置0； 　　2) 检查有无等待加入的用户，如有，则向等待加入的用户发送单播更新消息； 　　3) 检查有无等待退出的用户，如有，则不把等待退出用户的相关信息写入多播更新消息。形成了多播更新消息后发送之。 　　2.2 批量更新 　　当待处理用户数NW=N，进行密钥更新，具体更新过程与周期密钥更新相同。 　　现假设用户为泊松到达，参数为λ。分别计算仅采用更新策略1或2时的平均等待处理时间W： 　　2.2.1 只采用周期更新策略 　　假设在0至T时刻有n（n≥1）个用户到达。如图1，ti表示第i个用户到达的时刻，系统在T时刻进行密钥更新，设TW为用户的等待处理时间，第i个用户的等待处理时间为T-ti，其中i=1,2,…,n。因此，在0至T时刻有n个用户到达的情况下，用户的平均等待处理时间为： 　　其中，T1=t1,Ti=ti-ti-1，i=2,