Войти
Групповой домен интерпретации или GDOI - это криптографический протокол для группы управления ключами. Протокол GDOI указан в стандарте IETF, RFC 6407 и основан на Internet Security Association and Key Management Protocol (ISAKMP), RFC. 2408 и Internet Key Exchange версии 1 (IKE). В то время как IKE выполняется между двумя одноранговыми узлами для установления «парной ассоциации безопасности», протокол GDOI запускается между членом группы и «контроллером группы / ключевым сервером» (контроллером) и устанавливает ассоциацию безопасности между двумя или более членами группы.
Функциональная блок-схема GDOI GDOI "интерпретирует" IKE или ISAKMP для домена безопасности группы в дополнение к попарным сопоставлениям безопасности. GDOI использует сопоставление безопасности IKE v1 Phase 1 для аутентификации члена GDOI на контроллере GDOI. Обмен IKE / GDOI Phase 1 криптографическим протоколом защищает новый тип обмена Phase 2, в котором участник запрашивает ("извлекает") состояние группы от контроллера. «Групповой ключ» - это самое важное состояние члена GDOI. Групповой ключ шифрует ключи, которые расшифровывают данные приложения. Таким образом, групповой ключ также называется «ключом шифрования ключа» в GDOI. Ключ шифрования ключа группы используется для «Rekey Security Association». Как только «Rekey-SA» установлена, контроллер GDOI может отправлять («проталкивать») незапрошенные обновления ассоциации безопасности группы членам по многоадресным, широковещательным или одноадресным каналам. Вот почему GDOI называется «системой управления ключами многоадресной рассылки», поскольку он использует и поддерживает многоадресный обмен сообщениями для очень больших групп. Эти многоадресные сообщения являются незапрашиваемыми сообщениями и поэтому называются «push-сообщениями», которые представляют собой незапрошенные сообщения, отправляемые от контроллера к участникам; явные запросы от члена к контроллеру называются в GDOI сообщениями «pull». Таким образом, обновления групповых ключей GDOI проталкиваются и могут достигать любого количества членов группы с помощью одной эффективной передачи от контроллера.
Обновления ключей группы GDOI также служат для удаления членов из групп. RFC 2627 описывает один протокол управления членством в группе, который позволяет выборочно обновлять ключи для членов для эффективного удаления члена из группы. «Эффективность» оценивается с точки зрения пространства, времени и сложности сообщения . RFC 2627 и другие алгоритмы, такие как «разность подмножества», являются логарифмическими по пространству, времени и сложности сообщения. Таким образом, RFC 2627 поддерживает эффективное групповое «управление членством» для GDOI. На практике управление членством в группе GDOI является отдельной функцией, которую контроллер или функция AAA вызывает для удаления деавторизованного члена группы. «AAA» - это авторизация, аутентификация и учет, которые могут запускать какой-то протокол AAA. Но функция AAA также может быть функцией «обслуживания клиентов» для поставщика услуг или «системой управления подписчиками» для поставщика мультимедийных услуг. Провайдер или функция AAA должны иметь инфраструктуру учетных данных, такую как Инфраструктура открытых ключей с использованием цифровых сертификатов X.509, SPKI или некоторых других учетных данных. В среде X.509 поставщик или функция AAA установит сертификат, позволяющий члену присоединиться к группе, когда контроллер группы запрашивает PKI во время обмена регистрацией GDOI, когда член пытается присоединиться к группе. и "опустить" состояние группы.
Релейная диаграмма ключей элемента Состояние группы, которое хранится в элементе группы, - это ключи и ключевые метаданные. Концептуально ключи члена группы структурированы в виде набора отношений 1: N и часто называются «лестницей ключей». У участника есть учетные данные, например сертификат X.509, подтверждающий, что он авторизован для присоединения к одной или нескольким группам. По умолчанию групповая политика для «Частного ключа аутентификации» - это 2048-битный ключ RSA, но возможны и другие политики. Точно так же по умолчанию «групповой ключ» или «ключ шифрования ключа» является 128-битным ключом AES, но возможны и другие политики. Наконец, ключ шифрования данных зависит от приложения, но обычно это 128-битный ключ AES. В некоторых группах участник может быть отправителем, который генерирует ключ шифрования данных и шифрует его с помощью ключа шифрования. Пока эти двое используют общий ключ группы для одной и той же группы, отправитель может использовать этот «ключ шифрования ключа» для шифрования ключа (ов) для мультимедийных файлов или потоков, которые он обслуживает.
Не все группы GDOI делают различие между отправителем и получателем, и то, могут ли члены группы отправлять друг другу сообщения, является вопросом групповой политики. Тип ключей в цепочке ключей также определяется групповой политикой. Каждая группа может иметь свою собственную политику для криптографии, времени жизни ключа и поведения участников.
