行政院國家科學委員會專題研究計畫 成果報告
無基礎行動網路環境下身份認證與安全群播機制之研究
計畫類別: 個別型計畫 計畫編號: NSC92-2416-H-009-015- 執行期間: 92 年 08 月 01 日至 93 年 07 月 31 日 執行單位: 國立交通大學資訊管理研究所 計畫主持人: 羅濟群 計畫參與人員: 黃俊傑、李秋儀、陳淑雯 報告類型: 精簡報告 處理方式: 本計畫可公開查詢中 華 民 國 93 年 10 月 28 日
行政院國家科學委員會專題研究計畫成果報告
無基礎行動網路環境下身份認證與安全群播機制之研究
A Study on Authentication and
Secure Multicast Schemes for Mobile Ad Hoc
計畫編號:NSC 92-2416-H-009-015-
執行期限:92 年 8 月 1 日至 93 年 7 月 31 日
主持人:羅濟群
國立交通大學資訊管理研究所
計畫參與人員:黃俊傑、李秋儀、陳淑雯
國立交通大學資訊管理研究所
中文摘要 在無線網路中,無基礎行動網路隨著技 術之演進,及克服路由與服務品質等問題 後,將使得它的應用範圍更廣。由於它不需 藉由無線擷取器提供服務的特性,而是可以 自我組成路由環境,亦因於此,它非常適用 於災難救助、軍方作戰演訓及辦公室會議環 境使用。但由於它具有動態拓樸及無線網路 環境所形成的弱連結現象,使得它在實際應 用面所遇到的安全問題較傳統的有線網路及 無線網路環境更為複雜。 在網路環境中,可藉由點對點、點對多 點或多點對多點方式完成資訊傳播,但由於 無基礎行動網路的特性,點對點的方式較不 適用,故群播在無基礎行動網路下的應用將 劇增。而身份認證與群播的安全性問題在此 網路架構下完成群播之目的就顯得格外重 要。另具叢集架構之無基礎行動網路環境, 使得路由及金鑰管理上較有效率。因此,本 研究針對在叢集架構下的無基礎行動網路環 境,就身份認證及點對多點的安全群播問題 做研究。本研究提出具相互認證的身份認證 機制,並在群播架構下就通訊點的單一節點/ 多個節點加入、單一節點/多個節點離開及金 匙管理問題提出較佳的安全機制與架構,以 符合在無基礎行動網路中因動態拓樸與無線 通訊本身之限制下,能完成安全且具有效率 的群播通訊環境。最後,於安全性分析上, 本機制除滿足安全性需求外,另由於每個節 點所握有的金鑰數量及因更新群組金鑰所需 傳送的訊息量較其他機制少,故本研究所提 的機制應可提供較佳的安全性與運作效率。 關鍵字:無基礎行動網路、身份認證、安全 群播、金鑰管理 AbstractAfter overcomes the routing and quality of service problems, the Mobile Ad Hoc Networks, MANET, make the application in this environment more popular than before. MANET can self-organize routing and does not need access point, so it is useful for emergency operation, military environment and conference. Owing to dynamic topology and wireless environment its secure problems are more complex than wired or wireless network environments in the reality applications.
There are many ways for information dissemination during communication, but due to the characteristic of MANET the point-to-multipoint method is more applicable than others. Multicast is rapidly becoming a more application in the MANET environment. Therefore, the security problems of authentication and secure multicast are more significant, and focus these two in our research. In addition, the cluster-based MANET can get more efficient than others in the aspect of routing and key management. We will propose mutual authentication scheme and think more secure scheme and scalable architecture for multicast while some node joins or leaves from the multicast tree and key management problems in the above architecture. We make multicast more efficient and secure under the restriction of the dynamic topology and infrastructureless and wireless network constraint in MANET environment. Finally, security analysis present the schemes we proposed are more secure and efficient than the others.
Keywords: Mobile Ad-Hoc Networks, Authentication, Secure Multicast, Key Management
一、 計畫緣由與目的 隨著網路環境不斷的改善,各式的通訊 服務,如語音、文件、影像得以在通訊平台 上傳輸資訊。其中又以無線通訊因它具有可 移動性特性,使得它更加受人喜愛。目前無 線 通 訊 可 分 成 兩 種 , 一 是 有 基 礎 架 構 (infrastructure)之通訊網路環境,例如藉由無線 擷取器(Access point)所構成的無線區域網路 環境;另一個為無基礎架構之通訊網路環 境 , 即 無 基 礎 行 動 網 路(Mobile Ad Hoc Network, MANET)。由於在有基礎架構之通訊 環境須倚賴無線擷取器的存在方能完成資訊 的轉送,因此,若有無線擷取器損毀、或因 自然災害或因無線擷取器無法涵蓋的範圍, 則此通訊管道失去作用,將造成節點間無法 通訊。而無基礎架構之無基礎行動網路,正 可解決上述問題[12] 。 無基礎行動網路特性即是節點間之通訊 並不須預存一個基礎網路的設置,它們彼此 間能自我組成(Self-Organization)完成構連,建 立起通訊管道,而當兩個節點間已超過無線 電電波範圍(radio range),則另一個行動機即 具有路由功能,以搭起此兩通訊機間通訊通 道。因此,它除了具有傳統無線通訊的可移 動性優點外,又因它具有無基礎架構的特 性,其應用範圍更廣。 之所以要在無基礎行動網路環境下討論 安全機制問題,其原因包括: 1.無線網路本身即是一個受攻擊的通訊環 境,不管是竊聽、干擾或是阻斷服務的攻 擊,都會造成嚴重的影響。 2.長期間的通訊下一些非法入侵的行為是不 可避免的。 3.無基礎行動網路它是一種無基礎架構的網 路環境,因此並未具有集中式管理的特 性。 4.通訊節點隨時可能加入或移出某一個通訊 區域。 從上述問題得知,在此無線通訊環境中 應 具 有 身 份 驗 證(Authentication) 、私密性 (Confidentiality) 、 資 料 傳 遞 的 正 確 性 (Integrity)、不可否認性(Non-repudiation)及存 取控制(Access control)等安全機制作為第一 道防線,再加上入侵偵測以防止阻斷服務 (Deny of Service, DOS)或分散式阻斷服務 (Distributed Deny of Service, DDOS)的攻擊。 本研究將針對身份驗證機制做更進一步探 討,以期提出一個相互驗證且具有效率的身 分驗證機制。另就群播之金鑰管理及節點的 加入與離開所造成的安全問題做討論。另由 於 具 有 叢 集 架 構 的 無 基 礎 行 動 網 路 (Cluster-based Ad-Hoc Networks),將使得它在 一個具有很大且動態的網路中較其他架構更 具有效率,故本研究是在此架構環境中討論 安全性問題。由於上述安全機制的提出,使 得無基礎行動網路環境更易實現。 二、文獻探討 2.1 無基礎行動網路環境 在無基礎行動網路環境中,節點間可以 做直接的通訊,也能隨意移動,並繼續保持 節點間連線的狀態。無基礎行動網路是由無 線裝置自行建立的區域網路環境,其中並無 無線擷取器或橋接器,它是一種能夠在沒有 事先建置基礎架構的環境下,讓各個節點透 過彼此點對點連結所構成的網路,使得節點 間彼此之間能夠互相傳送資料,其架構圖如 下圖 一所示。 圖 一:無基礎行動網路架構 而無基礎行動網路最主要的特色包括動 態拓樸及具有自我組織的能力。由於具有動 態拓樸的特性使得各個連結設備可以任意移 動位置,且還能繼續和其他節點做溝通;而 因具有自我組織,使得一方面它不但可以簡 化網路的管理,提高其強健性(robustness) 和 彈性,另一方面,它更能在處於動態的狀況 下,像位置移動、不定的連結、和無法預測 的流量負載的既定基礎結構下,作最理想的
資源有效使用。 由於無基礎行動網路並沒有無線擷取 器、路由器等之裝置,因此,每個節點除了 扮演一般的使用者之外,也必須同時具備有 路由器的能力。由於在無基礎行動網路環 境,每個節點具有高度的動態特性,所以傳 統 的 路 由 架 構 如 link-state 以 及 distance-vector[8] [4] ,均不適用。故以下即 就無基礎行動網路路由架構做說明:
1. Proactive Protocol:也稱做 table-driven protocol,這個方式會經常性的去更新路由 的路徑,當有封包需要被傳送時,路由的 路徑通常是可以立刻得知的,使得封包能 夠即時的被傳送出去。採用proactive 方式 的協定有:Destination-Sequenced Distance Vector protocol (DSDV)[2] 、 Temporally-Ordered Routing protocol (TORA) [19] 、Lightweight Mobile Routing protocol (LMR)[15] 等。Proactive 協定的 好處是,當有封包需要傳送時,路由路徑 能夠很快決定;但是,單純的採用proactive 方式並不能完全適用於無基礎行動網路 上,因為節點會經常性的改變位置,維持 路由的資訊會佔用網路很大的資源,且可 能會有某些路由資訊在過期之前,都不會 被用到,而浪費了網路的資源。
2. Reactive Protocol : 也 稱 做 on-demand protocol,這個方式只有在當有路由需求 時,才會去進行路由路徑的決定。採用 reactive 方式的協定有:Ad hoc On Demand Distance Vector protocol (AODV)[1] 、 Dynamic Source Routing protocol (DSR)[6] 等。由於在收到路由需求的訊息時,路由 資訊可能不存在,因此,決定路由路徑將 會造成封包傳送延遲時間較長,且在決定 路由路徑時所需要的廣播訊息將會佔用 很多頻寬,因此,單純的採用 reactive 協 定也無法完全適用於無基礎行動網路上。 基於以上兩種路由協定,進而有學者提 出應用於以叢集為基礎的無基礎行動網路 (Cluster Based Mobile Ad-Hoc Networks)的路 由 協 定 :Cluster Based Routing Protocol (CBRP)[13] ,在這樣的架構下,由於叢集頭 (cluster head)已經知道屬於它的叢集成員 (cluster member)的資訊,因此,路由需要訊息 的廣播只需要在叢集頭之間進行,不但能夠 有效減少傳送路由訊息所需佔用的頻寬,也 能較快速的決定路由路徑,這也是本研究最 後選擇採用叢集式架構的原因之一。 由於一般無線網路與有線實體網路傳輸 媒介的差異,加上無基礎行動網路本身具有 的特性,並非所有的安全協定皆適用於無基 礎行動網路環境;因此,想要在無基礎行動 網路上建構安全的通訊環境必須特別注意可 能面臨到的挑戰,例如於[11] 所提的相關問 題,均值得探討。 基於以上的討論,在無基礎行動網路環 境中,節點之間要如何傳送訊息、溝通,是 一個重要的議題。因此,有許多學者提出應 用於無基礎行動網路的架構[7] [5] ,大致包 含以下三種:集中式架構(centralized)、階層 式架構(hierarchical)及叢集架構(cluster-based) [10] [20] 。 其中叢集架構是將網路中的節點分成數 個叢集,每個叢集中有各自的一個叢集頭及 數個叢集成員,由叢集頭來負責成員的管 理,及訊息轉送與傳送等動作。由於網路是 被分成多個小叢集,因此管理網路成員將更 方便;且成員的認證是由叢集頭與每個成員 個別來進行,不需透過多階傳輸,減少認證 過程中遭受攻擊的可能性。 叢集頭所需扮演的角色較複雜,因此需 要有較強的計算能力,在動態的網路中,如 何選出適合的叢集頭,並保證叢集頭不是一 個非法的使用者,是無基礎行動網路的問題 之 一 。 叢 集 頭 的 選 定 方 式 大 致 有 Identifier-based Clustering 與 Connectivity-based Clustering 兩種[3] 。另外在 叢 集 架 構 下 有 一 個 稱 做 閘 道 點(gateway node)[10] ,它是用來負責連接兩個群組之間 的通訊。 基於以上路由架構與安全性的考量,本 研究將採用叢集式架構,來有效達到安全的 訊息傳送以及成員管理的目的。 2.2 身份認證機制 在無基礎行動網路環境中,由於節點間 並不實際存在一條實體的通訊通道,而是藉 由電波在空氣中傳遞資訊,任何人更容易截
聽到通訊內容,亦因於此,通訊通道的隱密 性顯得更為重要。另外,由於用戶端可自由 的移動,容易造成攻擊者竊聽或非法使用的 情形發生。而身份認證的使用將可解決上述 問題。 有關身份驗證機制Bellovin 與 Merritt 於 1992 年首先提出運用於雙方的通行碼驗證交 換 協 定 , 一 般 也 稱 之 為 Encrypted Key Exchange (EKE) 協定[17] 。此協定主要目的 就是為欲通訊的雙方分配一把金鑰且同時利 用 通 行 碼 達 到 相 互 身 份 驗 證(mutual authentication)。在整個協定它利用雙方事先己 知的密碼 ,並將挑戰值的關念引進,以達 到雙方身份認證之目的。其提出的概念說明 如下圖 二。 P
圖 二:Bellovin and Merritt Scheme
在本研究中身份認證機制是在任一節點 欲加入某一叢集而成為成員之ㄧ,它必須用 它與此叢集頭事先共同擁有的金鑰,經由挑 戰與回應的程序,以達到相互認證之目的, 最後由此叢集頭將此節點分配到的輔助金鑰 藉由事先共同擁有的金鑰傳送給此新加入的 節點。 2.3 安全群播機制 網路上資料的傳遞不外乎三種方式: Unicast、Broadcast 及 Multicast。其中又以 Multicast 的效率較佳。資料接收端必須指定 要加入網路上任一的群播群組,因此資料發 送端只要送一次資料則不論資料接收端有多 少,都能讓所有加入此群組的使用者接收到 資料。由於隨著網際網路與網路上通訊服務 的快速成長,群體通訊變的越來越重要。群 體通訊的服務包括:IP 電話、視訊會議、及 協同式工作場所等等。同步、安全、及隱私 對群體通訊是必要的。因此如何提供安全的 群播,讓付費網路多媒體、責任性言論、公 告及私人會議等群組應用,在傳送資料時能 做到保密及認證的功能,是目前一項重要的 研究課題。 所謂安全的群播,就是在群組成員在通 訊時,必須提供溝通資料的私密性及可認證 性的機制,滿足下列幾點的特性:[14] 1.非群組成員,不能夠得知群組成員之間資 料傳送的內容。 2.成員間資料的傳送必需提供有來源端認證 的機制。 3.一個新加入的成員,不能夠得知他加入群 組之前,群組成員間資料傳送的內容。 4.一個離開群組的成員,不能得知其離開群 組後,群組成員間資料傳送的內容。 要達到上述四點的安全群播特性,必需 在群組成員間建立一個共享的加解密金匙, 並作安全且有效率的管理。在[22] 一文中即 對安全群播作詳盡的描述,以下摘其內容做 說明:『一般安全群播協定需建立一群播金匙 的管理機制(Key Management),使得加解密金 匙的共享不限定於兩者之間,而是由群組成 員所共享,通常這把加解密金匙被稱為群組 金鑰(Group Key,簡稱 GrpKey)』,另藉由輔 助金鑰達到群組金鑰更新的目的。 一般而言,群組金鑰管理方法可分成三 類[18] :(1)集中式的金鑰管理:由單一個金 鑰分佈中心或管理者來產生群組金鑰。(2)半 集中式的金鑰管理:將整個群組分成多個子 群組,並由各子群組管理者來產生金鑰。(3) 分散式的金鑰管理:沒有單一個金鑰分佈中 心,群組金鑰的建立是每個成員貢獻其密秘 值且成員間彼此合作之下而建立的;一般又 將 前 二 種 類 型 稱 為 金 鑰 分 佈 協 定(key distribution protocol),而將第三種類型則稱為 金鑰協同協定(key agreement protocol)。
由於本研究採叢集式的拓樸協定,因此 於安全群播之金鑰管理協定將以半集中式的 方式達到安全群播的效果。本研究之安全群 播機制基於[9] 作者所提的 EBS(Exclusive Basis Systems)並結合 sum of product 的觀念 應用於叢集內與叢集間的金鑰管理與動態成 員加入與離開,使其達到安全群播之效果。
以下即就EBS 機制做完整性介紹。
變動時,如何能有效率管理群播的群體密鑰 的方法。此方法稱之為 EBS,它改善了目前 以二元樹為基礎及其他相關系統的密鑰管理 方法。 在群體中,每位成員不僅握有群體密 鑰,還個別握有數把用來協助群體密鑰更新 的輔助金匙。這篇論文提出一個技術,稱為 EBS,此為一個群體密鑰管理的組合公式,即 如何在成員數為n 下,求出最佳的 k 和 m。n 指的是群體成員數,k 則為每個成員握有的輔 助金匙數,m 是每次更新群體密鑰所需送出 的訊息數。在這篇論文中,描述了單一成員 加入離開的演算法,並且驗證了大型群體採 用EBS 進行密鑰管理的效率。 EBS 定義:令 n、k、m 皆為正整數,1 < k、m < n。我們將 EBS(n, k, m)表示為數個子 集(內容為[1, n] = {1, 2, …, n})的集合體,令它 為Γ。每個整數 t∈[1, n]滿足以下兩個特性: 1.t 最多只能出現在 Γ 中的 k 個子集合。 2. 在 Γ 中 , 會 有 m 個 子 集 合 , 即 ,使得 = [1, n]-{t}(表示 若要排除掉t 元素,需要 m 個在 Γ 中的子 集合做聯集)。 m A A A1, 2,..., i m i=1A ∪ 舉例如下:EBS(8, 3, 2)是一個數個子集合 的集合體Γ = { ={5, 6, 7, 8}, ={2, 3, 4, 8}, ={1, 3, 4, 6, 7}, ={1, 2, 4, 5, 7}, ={1, 2, 3, 5, 6, 8}}。我們可以簡易的驗證每個 t 1 A A2 3 A A4 A5 ∈[1, 8]在 Γ 所有子集合中僅出現 3 次,且每個成員 都被在Γ 中的兩個子集合聯集後排除。就像 下面圖 三所示: 圖 三:扣除某一成員之表示法 一個維度為(n, k, m)的 EBS 集合體 Γ,表 示在群體中有編號為1 到 n 的 n 個使用者, 而密鑰伺服器(Key Server)保管集合體 Γ 中 所有子集合的輔助金匙(即為 )。若 出 現在Γ 中,表示出現在 此子集合中的所有 成員都握有這把輔助金匙,像上例EBS(8, 3, 2) 中,僅有成員5、6、7、8 才握有輔助金匙 。 而對於 = [1, n]-{t}此特性,即表示當密鑰 伺服器想驅逐某位成員時,可以使用 中 所有的 來加密新的群體密鑰送給留下來的 成員,換句話說,當有成員離開群體,密鑰 伺服器僅需群播出m個用 中所有 加密 過的訊息給所有群體成員,如此可確保除了t 以外的所有成員都可獲得新的群體密鑰。 i A Ai i A 1 A i m i=1A ∪ i m i=1A ∪ i A i m i=1A ∪ Ai 當有成員離開時,除了更新群體密鑰, 該成員握有的輔助金匙亦需更新以避免串謀 攻擊,此論文建議可採用雜湊函數f(新群體密 鑰, 舊 )來算出新的 ,如此不但可確保僅 原先握有該輔助金匙者才可得出新的 ,亦 可避免由密鑰伺服器產生新 後,以舊 加 密後再傳送給所有成員的流量浪費。 i A Ai i A i A Ai 首先我們先列舉如何在k+m 個物件中, 形成k 個子集合的可能方法。對於所有的 k 和m,我們令 Canonical(k, m)為 以在 k+m 個物件中,形成 k 個子集合。舉例矩陣 A= ,如圖 四所示: ⎟⎟ ⎠ ⎞ ⎜⎜ ⎝ ⎛ + k m k ⎟⎟ ⎠ ⎞ ⎜⎜ ⎝ ⎛ 3 5 圖 四:子集合Ai與成員間關係 此矩陣即可用來管理當群體成員為10 時 的輔助金匙分配表。在此例中,n=10,k=3, m=2。因此當有某位成員要離開時,僅需以 m=2 兩個 加密送出rekey 訊息即可。假設 成員1 離開此群體,僅需以 (握有 者包 含M3、M5、M6、M8、M9、M10)和 (握 有 者包含M2、M4、M6、M7、M9、M10) 分別加密新群體密鑰後送出,則除了成員 1 以外的所有其他成員都能解開此訊息。需注 i A 1 A A1 2 A 2 A
意的是 必須大於n,亦即每位成員握 有的Key String 都不相同,如此才可確保此密 鑰管理系統的安全性。 ⎟⎟ ⎠ ⎞ ⎜⎜ ⎝ ⎛ + k m k 當新成員加入一個群體大小為 n 的群體 時,若 仍大於或等於n+1,則僅需分 配新的 Key String 和對應的輔助金匙給該成 員。反之,若 小於n+1,則可採用兩 種方法:增加每個人握有的輔助金匙數或是 增加rekey 訊息的送出次數。 ⎟⎟ ⎠ ⎞ ⎜⎜ ⎝ ⎛ + k m k ⎟⎟ ⎠ ⎞ ⎜⎜ ⎝ ⎛ + k m k 當成員離開時,關於rekey 的運作,即採 用上述聯集所產生的輔助金匙,來加密新的 群體密鑰送出,確保離開的成員無法解開。 但除了rekey 的部分,我們仍須考量如何減少 密鑰伺服器所管理的輔助金匙數,每位成員 握有的輔助金匙數,以及rekey 訊息送出的次 數。 因此當新成員離開一個群體大小為 n 的 群體時,若可以較少的k 或 m 滿足 仍 大於或等於n-1,則需減少每位成員握有的輔 助金匙數或 rekey 訊息送出的次數,以達到 EBS 的最佳化。 ⎟⎟ ⎠ ⎞ ⎜⎜ ⎝ ⎛ + k m k 若離開成員 y 即是最後加入者,只需將 系統回復到 y 加入前的狀態即可(及回復到 先前所採用的k 及 m 個數)。但當離開成員和 最後加入成員的對象不同時,採用以下運作 方式: 當成員x 要離開此群體,而成員 y 是最 後加入者,則: 1.將 x 和 y 驅逐出此群體(x 和 y 握有的 都 會在rekey 的訊息中被更新)。 i A 2.增加成員 y 回此群體。
3.但成員y 會被分配先前成員x 的Key String
和新的對應Ai。 EBS 在密鑰管理方法上提供一個新的架 構,且EBS 所需採用的輔助金匙個數和 rekey 訊息送出次數,都明顯優於以二元樹資料結 構來管理輔助金匙。另外,由於本研究僅就 金鑰管理與單人加入/離開問題做討論,並未 說明如何有效做安全群播與多人離開之機制 研究,因此,本研究除了將EBS 方法引至無 基礎行動網路環境,並結合sum of product 概 念達到上述效果。 三、研究方法 本研究是基植於叢集架構下的無基礎行 動網路環境下,將具有相互認證的身份認證 機制及安全群播機制加入,以達到從初始階 段至群組金鑰更新階段,都能滿足安全性的 需求。以下即就本研究之機制與安全性分析 做描述。 3.1 本研究之無基礎行動網路架構 本研究乃基於叢集架構下討論無基礎行 動網路的身份認證與安全群播兩個安全議 題。因此,它包括了叢集內與叢集間的身份 認證與動態環境下的金鑰管理機制,以滿足 安全群播之目標。而之所以採用叢集架構, 其原因為它具有較佳的路由效率。因此,在 本研究中我們假設和叢集頭能直接進行通訊 (Single Hop)的所有成員為一個叢集,在叢集 內的成員共同分享一把子群組金鑰。不同叢 集間亦可透過叢集頭,使用 Inter-cluster key 互相通訊。而任何一個節點均可加入或離開 某一叢集。在本研究機制中是以編號最小者 做為該叢集之叢集頭,且此叢集頭具有可信 賴的特性,除非此叢集頭離開了此叢集,則 必須重新找叢集頭,且重建此叢集內所有成 員的信賴關係,且該叢集頭必須重新取得叢 集間的群組通訊金鑰及輔助金鑰。於叢集間 亦以編號最小的叢集之叢集頭當做此群組之 叢集頭。同樣的,它必須具備與叢集內之叢 集頭同樣的特性,它的目的是為了實現跨叢 集的安全群播。下圖 五即為本研究之叢集架 構圖。 圖 五:叢集架構之無基礎行動網路
另先就本研究所須之假設在此做描述: 假設 1: 此群組通訊環境共區分成 n 個叢集,即 ;每個叢集擁有 m 個 成 員 ( 節 點 ) , 即 ,其中每個叢集內 的成員個數可以不一樣。 } 1 ,..., 0 | { ∀ = − = CH i n GS i ...} 2 , 1 , 0 | { , = = M j CHi ij 假設 2: 0 , 0 M 為此群組通訊主要控制者,由它來 產生叢集間的群組金鑰及各叢集頭的輔助金 鑰,做為叢集間更換群組金鑰之用;而 為 第 i+1 個叢集之叢集頭,其目的是為了產生 此叢集之子群組金鑰及該叢集內所有成員的 輔助金鑰,做為叢集內更換子群組金鑰之 用。另所有叢集之叢集頭均為可信賴的節 點,由它們來協助完成金鑰管理與群播工作。 0 , i M 假設 3: 0 , 0 M 與Mi,0;∀i =1,2,...,n−1間已存在 一個密祕金鑰 ;同理每一個叢集頭 與該叢集內的所有成員 ,亦存 在一個密秘金鑰 。 i PW Mi,0 ,... 2 , 1 ; , j= Mi j j SPW 假設 4: 叢集內之叢集頭 或此通訊群組之叢 集頭 必須協助合法的群組成員完成群播 事宜。 0 , i M 0 , 0 M 3.2 身份認證機制 於身份認證機制上,它是應用於初始階 段。包括叢集內所有節點與該叢集頭的相互 身份認證,只有通過認證的節點,該叢集頭 才會分配給該節點參加此叢集所必需的輔助 金鑰;及叢集與叢集間相互認證機制。以下 即就此身份認證機制做細部描述。 1.叢集間的身份認證機制(M0,0 ↔Mi,0) 本研究所提的身份認證機制具有相互認 證功能,並藉由挑戰與回應的三個回合方式 完 成 , 其 目 的 是 為 了 防 止 重 送 及 Man-in-the-middle 攻擊,下圖 六為本認證機 制之協定。 圖 六:叢集間身份認證機制 由於本協定之單向雜湊函數具有金鑰, 因此,更具有確認資料來源端身份之功能, 因為可以確定此單向雜湊函數是由此 產 生 , 而 非 其 它 節 點 產 生 , 以 防 止 Man-in-the-middle 攻擊。另T 為時間戳記,N 與 0 , i M R為等同長度的隨機亂數;T 與 的目的 是為了防止重送攻擊。另第二、三回合之所 以要用不同的金鑰加密,其原因為主金鑰不 應出現於所有回合中,以防止有可能的密碼 猜猜測攻擊,另一方面藉此實現對稱密碼系 統的一次使用原則,以加強密碼系統的強 度。最後,協同金鑰產生的目的是為了讓後 續進行群播時,若此叢集頭 須請 協 助完成群播時加密該訊息內容之用。 N 0 , i M M0,0 2. 叢集內的身份認證機制(Mi,0 ↔Mi,j) 叢集內的身份認證機制,其目的是為了 某一節點能順利的加入某一叢集,進而為該 節點產生子群組金鑰與輔助金鑰,作為群播 之用與未來更新子群組金鑰之用。叢集內的 身份認證機制與叢集間的身份認證機制做法 一致,下圖 七為本認證機制之協定。 圖 七:叢集內身份認證機制 因此,對某一節點欲加入某一叢集,或 某一新增叢集欲加入至此群組通訊,待完成 上述具相互認證之身份認證機制,即完成初 始階段。下一階段為群組金鑰、群組輔助金 鑰、子群組金鑰及子群組輔助金鑰之產生與 管理。
3.3 安全群播與金鑰管理 由於群播具有點對多點遞送之效果,故 非常適用於無基礎行動網路環境。本小節就 群播金鑰之管理,做詳細介紹。 本機制採[9] 所提之 EBS 機制,並使用 sum of product 的機制以達快速化簡之目的, 如此使得群播所需之輔助金鑰及當有成員離 開群組,完成更新此群組金鑰之後,將新的 群組金鑰送至現有成員所需使用之輔助金鑰 能很快的計算出來。於本研究中,安全群播 之金鑰管理,亦區分叢集間與叢集內之金鑰 管理機制。亦即是說,對某一叢集而言,該 叢集頭必須協助通過的節點產生子群組金鑰 及子群組輔助金鑰,作為該叢集內任一節點 欲進行叢集內群播之用;另對叢集間而言, 必須協助剛加入此通訊群組之叢集代 表,即是該叢集之叢集頭 產生輔助金鑰 及該群組之群組金鑰。因此,該叢集頭即可 協助該叢集之成員完成跨叢集群播之目的。 以下即就每一種情況做描述。 0 , 0 M 0 , i M 1.叢集內群播與金鑰管理機制 某一節點通過身份認證後,叢集頭必須 有義務協助它成為叢集的成員之一。因此, 就叢集頭而言,它必須執行EBS 之成員加入 機制。而當某一成員欲進行群播時,其步驟 如下: a.Mi,j必須決定群播對象有哪些。 b. 將此群播的訊息藉由先前已於認 證階段所產生的共同金鑰 ,使用 對稱式密碼系統加密,並傳送至此叢 集頭 。此 所需加密與傳送的 內容,包括訊息M,群播對象的 ID, 及若需要更換共同金鑰 時可將新 的 送至叢集頭。如此,此節點待拿 到叢集頭給的新 0,即可重新產生新 的共同金鑰 。因此,更能確保通 訊的保密性。 j i M , j i K, 0 , i M Mi,j j i K, j i R, , i R j i K', c. 叢集頭 解開訊息後,便依據 所要求的群播對象進行群播。此時 會先藉由sum of product 算出最 後須由哪幾把子群組輔助金鑰須相互 合作,以達訊息群播之目的。另外, 它會檢查是否需要重新產生新的 給該節點,以更新它與此節點的共同 金鑰 。 0 , i M Mi,j 0 , i M 0 , i R j i i j i R R K', = ',0 ⊕ ', d.任一節點收到此群播訊息後,由於它是 屬於合法的接收成員,故可用它手中 的子群組輔助金鑰進行組合以解開此 訊息。 若有某一成員或某一群成員離開此叢集 時,叢集頭除了必須依照EBS 演算法驅離此 叢集內需離開的成員外,亦須藉由 sum of product 化簡機制將新的子群組金鑰藉由此化 簡後結果的子群組輔助金鑰之組合送至未離 開的節點手中。最後,再將不應該驅離的成 員加回到此叢集。以上即是叢集內群播與金 鑰管理機制。 2.叢集間群播與金鑰管理機制 某一個新加入的叢集 通過身份認證 後,叢集頭 必須協助此叢集之叢集頭 成為群組成員之一,如此此叢集頭 才有能力產生叢集內通訊所需子群組金鑰及 協助新加入該叢集的節點產生子群組輔助金 鑰。因此,就叢集頭 而言,它必須執行 EBS 之成員加入機制。而當某一叢集頭 欲進行群播時,其作法與叢集內做法相似, 步驟如下: i CH 0 , 0 M 0 , i M Mi,0 0 , 0 M 0 , i M a.Mi,0必須決定群播對象有哪些。 b. 將此群播的訊息藉由先前已於 認證階段所產生的共同金鑰 ,使 用對稱式密碼系統加密,並傳送至此 叢集頭 。此 所需加密與傳送 的內容,包括訊息M,群播對象的 ID, 及若需要更換共同金鑰 時可將新 的 送至叢集頭。如此,此叢集頭 待拿到叢集頭 給的新 , 即可產生新的共同金鑰 。因此, 更能確保通訊的保密性。 0 , i M 0 , i K 0 , 0 M Mi,0 0 , i K 0 , i R 0 , i M M0,0 R0,0 0 , ' i K c.叢集頭 解開訊息後,便依據 所要求的群播對象進行群播。此時 會先藉由sum of product 算出最 後須由哪幾把群組輔助金鑰須相互合 0 , 0 M Mi,0 0 , 0 M
作,以達訊息群播之目的。另外,它 會檢查是否需要重新產生新的 給 該節點,以更新它與此節點的共同金 鑰 。 0 , 0 R 0 , ' 0 , 0 ' 0 , ' i i R R K = ⊕ d.任一叢集頭收到群播訊息後,由於它是 屬於合法的接收成員,故可用它手中 的輔助金鑰進行組合以解開此訊息。 若有某一叢集頭或某一群叢集頭離開此 通訊群組時,受影響到的那些叢集必須重建 叢集。亦即是說,某一叢集頭的離開,可能 導致該叢集須重新找到一個新的叢集頭作為 此叢集子群組金鑰與子群組輔助金鑰的產生 者與管理者;或是可能原先一個叢集備分割 成多個叢集亦有可能,在此情況,仍依上述 做法為每個新的叢集找出叢集頭。對所有新 產生的叢集頭,他們必須先與 進行身份 驗證機制,以便獲得群組金鑰與群組輔助金 鑰。 0 , 0 M 而對叢集頭 而言,除必須依EBS 演 算法驅離此叢集內需離開的成員外,亦須藉 由sum of product 化簡機制將新的群組金鑰藉 由此化簡後結果的群組輔助金鑰之組合送至 未離開的節點手中。最後,再將不應該驅離 的叢集頭加回到此通訊群組。以上即是叢集 間群播與金鑰管理機制。 0 , 0 M 3.叢集內與叢集間混合之安全群播機制 假設某一叢集 之某一節點 欲執 行跨叢集的群播,此時的群播機制做法如下: i CH Mi,j a.Mi,j必須決定群播對象有哪些。 b. 將此群播的訊息藉由先前已於 認證階段所產生的共同金鑰 ,使 用對稱式密碼系統加密,並傳送至此 叢集頭 。此節點 所需加密與 傳送的內容,包括訊息 M,群播對象 的所有節點之 ID 及其相對應叢集 ID,及若需要更換共同金鑰 時可 將新的 送至叢集頭。如此,此節點 待拿到叢集頭 給的新 , 即可產生新的共同金鑰 。因此, 更能確保通訊的保密性。 j i M , 0 , i K 0 , i M Mi,j j i K, j i R, j i M , Mi,0 Ri,0 j i K', c. 叢集頭 解開訊息後,便依據 所要求的群播對象轉成自己的需求, 並重複叢集間的群播機制。另外,它 會檢查是否需要重新產生新的 給 該節點,以更新它與此節點的共同金 鑰 。 0 , i M Mi,j 0 , i R j i i j i R R K', = ',0 ⊕ ', d.叢集頭 解開訊息後,它會依照訊息 內容藉由sum of product化簡機制找出 符合的輔助金鑰,將此群播訊息轉至 那些節點所屬的叢集之叢集頭手中。 任一叢集頭收到此群播訊息後,由於 它是屬於合法的接收成員,故可用它 手中的輔助金鑰進行組合以解開此訊 息,然後再利用叢集內的群播機制送 到必須收到此群播訊息的成員手中。 以上即是叢集內與叢集間混合之安全 群播機制。 0 , 0 M 3.4 安全性分析 本小節將就本研究所提的具相互認證的 身份認證機制及安全群播機制做安全性分 析。其中於身份認證機制上經驗證可抵擋重 送、Man-in-middle 及密碼猜測之攻擊。另於 安全群播機制上探討是否滿足[21] 作者所提 的安全性條件。其條件包括群組金鑰安全、 金鑰獨立性、前推安全性(Forward Security)、 後推安全性 (Backward Security),經驗證亦滿 足上述要求。 另於執行效率上,由於本研究採EBS 為 本研究之根基,故於回合數、訊息量上較其 他架構來的有效率。另本研究將 sum of product 的觀念與 EBS 結合,使得它在群播上 及應用於單一節點或多個節點同時離開能很 快的將子群組金鑰分配到未離開此叢集之群 組成員手中。 四、結論與建議 無基礎行動網路因具有動態拓樸即自我 組織之特性,使得它有別於其他無線網路架 構,故使得它可應用的範圍更廣。而通訊過 程的私密性、資料完整性、身份驗證及群播 機制下的金鑰管理均是無基礎行動網路所需 具備的安全機制。本研究在基於叢集架構下 結合半集中式的金鑰管理機制,期間將具相
互認證的身份認證機制應用於初始階段,使 其只有合法且為該節點者才能獲得輔助金 鑰,進而完成後續的金鑰管理協定,如此,
才能藉由EBS 結合 sum of product,找出群播
金鑰,最後才能完成安全群播。 由於無基礎網路除具有無線網路的特性 外,又加上本身的特質,使得它在安全機制 的設計上需做改良,建議未來其他相關的安 全議題,例如阻斷攻擊、存取控制等進行研 究,如此,可提升該網路架構於應用上的安 全性。 五、計畫成果自評 本計畫在基於叢集架構下之無基礎行動 網路環境下共完成(1)具相互認證之身份機制 (2)安全群播與金鑰管理機制,以上兩項均滿 足本計畫之目標。由於具有相互認證之身份 機制使得於初始階段只有合法且確定是該節 點才能獲得輔助金匙,以便能進行後續的群 播機制。而於群播的金鑰管理上,它可以使 每個節點所握有的輔助金匙較少,另於群組 金鑰更新階段所需傳送的訊息較少,且滿足 安全群播所需之條件,故本研究機制具有後 續研究價值。 參考文獻
[1] C.E. Perkins, E.M. Royer and S.R. Das, “Ad hoc
on-demand distance vector (AODV) routing,” IETF MANET Working Group, Internet-Draft (March 2000).
[2] C.E. Perkins, P. Bhagwat, “Highly dynamic
destination sequenced distance vector routing (DSDV) for mobile computers,” in: Proc. Of ACM SIGCOMM’94, London, UK (August–September 1994) pp. 234–244.
[3] D. H. Tim, “The Cluster-Based Routing Protocol,”
project group ‘Mobile Ad-Hoc Networks Based on Wireless LAN’ winter semester 2003/2004.
[4] G.S. Malkin, M.E. Steenstrup, “Distance-vector
routing, in: Routing in Communications Networks,” ed. M.E. Steenstrup (Prentice Hall, 1995).
[5] H. Luo and S. Lu, “Ubiquitous and Robust
Authentication Services for Ad Hoc Wireless Networks,” Technical Report TR-200030, Dept. of Computer Science, UCLA, 2000.
[6] J. Broch, D.B. Johnson and D.A. Maltz, “The
dynamic source routing protocol for mobile ad hoc networks,” IETF MANET Working Group, Internet-Draft (October 1999).
[7] J. Kong, P. Zerfos, H. Luo, S. Lu and L. Zhang,
“Providing Robust and Ubiquitous Security Support for Mobile Ad-Hoc Networks,” IEEE 9th International Conference on Network Protocols (ICNP'01), 2001.
[8] J. Moy, “Link-state routing, in: Routing in Communications Networks,” ed. M.E. Steenstrup (Prentice Hall, 1995).
[9] L. Morales, I.H. Sudborough, M. Eltoweissy and M.
H. Heydari, “Combinatorial Optimization of Multicast Key Management,” proceedings of the 36th Hawali International Conference on System Sciences (HICSS'03), 2002.
[10] L. Venkatraman and D. Agrawal, “A novel authentication scheme for ad hoc networks,” in IEEE Wireless Communications and Networking Conference (WCNC 2000), vol. 3, pp. 1268--1273, 2000.
[11] L. Zhou and Z. Haas, “Securing Ad Hoc Networks,”
IEEE Network , pp.24-30, Dec, 1999.
[12] M. Conti and S. Giordano, “Mobile Ad-hoc
Networking,” In Proceedings of the 34th Hawail International Conference on System Sciences, 2001.
[13] M. Jiang, J. Li and Y.C. Tay, “Cluster based routing
protocol (CBRP),” IETF MANET Working Group, Internet-Draft (August 1999).
[14] M. J. Moyer, J. R. Rao and P. Rohatgi, “A Survey of
Security Issues in Multicast Communications,” IEEE Network 13(6), Nov/Dec 1999, p.12-p.23.
[15] M.S. Corson, A. Ephremides, “A distributed routing algorithm for mobile wireless networks,” Wireless Networks 1 (1995) 61–81.
[16] M.S. Corson, J. P. Macker and G. H. Cirincione,
“Internet-Based Mobile Ad Hoc Networking,” IEEE Internet Computing, July-August 1999, p.63-p.70.
[17] S. M. Bellovin and M. Merrit, “Encrypted key
exchange: password-based protocols secure against dictionary attacks,” IEEE Symposium on Research in Security and Privacy, pp.72-84, 1992.
[18] S. Rafeli and D. Hutchison, “A Survey of Key
Management for Secure Group Communication,” In ACM Computing Surveys, Vol.35, No.3, pp.309-329, September 2003.
[19] V.D. Park, M.S. Corson, “A highly adaptive
distributed routing algorithm for mobile wireless networks,” in: Proc. of IEEE INFOCOM’97, Kobe, Japan (April 1997) pp. 1405–1413.
[20] V. Varadharajan, R. Shankaran and M. Hitchens.
“Security for cluster based ad hoc networks,” Computer Communications, 27(2004): 488-501.
[21] Y. Kim , A. Perrig and G. Tsudik, “Simple and
Fault-Tolerant Key Agreement for Dynamic Collaborative Groups,” In ACM CCS’00, pp.235-244, 2000. [22] 陳惠淳,伍麗樵,“二階式群播金匙管理” , TANET’2000, 2000, p.24-p.31. [23] 黃永鑫, “一個用於 Ad Hoc 無線網路上的改良 式金鑰協同協定”,國立交通大學資訊管理研究 所碩士論文,民93 年。
