Gruppens tolkningsdomän

Group Domain of Interpretation eller GDOI är ett kryptografiskt protokoll för gruppnyckelhantering . GDOI-protokollet specificeras i en IETF- standard, RFC 6407, och är baserat på ISAKMP ( Internet Security Association and Key Management Protocol), RFC 2408 och Internet Key Exchange version 1 (IKE). Medan IKE körs mellan två peers för att upprätta en "parvis säkerhetsassociation", körs GDOI-protokollet mellan en gruppmedlem och en "gruppkontrollant/nyckelserver" (kontrollant) och upprättar en säkerhetsassociation mellan två eller flera gruppmedlemmar.

GDOI funktionsblockdiagram

Funktionell översikt

GDOI "tolkar" IKE eller ISAKMP för gruppsäkerhetsdomänen förutom parvisa säkerhetsassociationer. GDOI använder en IKE v1 Fas 1-säkerhetsförening för att autentisera en GDOI-medlem till en GDOI-kontroller. IKE/GDOI fas 1- krypteringsprotokollutbytet skyddar en ny typ av fas 2-utbyte där medlemmen begär ("drar") grupptillstånd från styrenheten. "Gruppnyckeln" är det viktigaste tillståndet i en GDOI-medlem. Gruppnyckeln krypterar nycklar som dekrypterar programdata. Sålunda kallas gruppnyckeln också en "nyckelkrypteringsnyckel" i GDOI. En grupps nyckelkrypterande nyckel används för "Rekey Security Association". När "Rekey-SA" väl har etablerats kan GDOI-styrenheten skicka ("push") oönskade uppdateringar till gruppsäkerhetsföreningen till medlemmar över multicast-, broadcast- eller unicast-kanaler. Det är därför GDOI kallas ett "multicast-nyckelhanteringssystem" eftersom det använder och stöder multicast-meddelanden för mycket stora grupper. Dessa multicast-meddelanden är oönskade meddelanden och kallas därför "push"-meddelanden, vilka är oönskade meddelanden som skickas från styrenheten till medlemmarna; explicita förfrågningar från en medlem till en kontrollant kallas "pull"-meddelanden i GDOI. Sålunda pushas GDOI-gruppnyckeluppdateringar och kan nå valfritt antal gruppmedlemmar med en enda effektiv överföring från styrenheten.

GDOI-gruppnyckeluppdateringar tjänar också till att ta bort medlemmar från grupper. RFC 2627 beskriver ett Group Membership Management- protokoll som tillåter selektiva nyckeluppdateringar för medlemmar för att effektivt ta bort en medlem från gruppen. "Effektivitet" utvärderas i termer av rum, tid och meddelandekomplexitet . RFC 2627 och andra algoritmer som "subset-difference" är logaritmiska i rum, tid och meddelandekomplexitet. Således stöder RFC 2627 effektiv grupp "medlemshantering" för GDOI. I en praktisk implementering är GDOI-gruppmedlemskapshantering en separat funktion som kontrollanten eller en AAA-funktion anropar för att ta bort en avauktoriserad gruppmedlem. "AAA" är auktorisering, autentisering och redovisning, som kan köra något slags AAA-protokoll . Men AAA-funktionen kan också vara en "kundtjänst"-funktion för en tjänsteleverantör eller ett "abonnenthanteringssystem" för en medietjänsteleverantör. Leverantören eller AAA-funktionen måste ha en inloggningsinfrastruktur såsom en Public Key Infrastructure som använder X.509 digitala certifikat, SPKI eller någon annan referens. I en X.509 -miljö kommer leverantören eller AAA-funktionen att installera ett certifikat för att tillåta en medlem att gå med i en grupp när gruppkontrollanten frågar PKI under ett GDOI-registreringsutbyte när en medlem försöker gå med i en grupp och "drar ner" grupptillstånd.

Medlemsnyckeltrappa

Nyckelstege

Grupptillståndet som lagras i gruppmedlemmen är nycklar och nyckelmetadata. Konceptuellt är gruppmedlemmens nycklar strukturerade i en uppsättning 1:N-relationer och kallas ofta en "nyckelstege". Medlemmen har en legitimation som ett X.509-certifikat som bevisar att den är behörig att gå med i en eller flera grupper. Standardgrupppolicyn för "Privat autentiseringsnyckel" är en 2048-bitars RSA-nyckel, men andra principer är möjliga . På samma sätt är standard "gruppnyckel" eller "Key Encrypting Key" en 128-bitars AES-nyckel, men andra principer är möjliga. Slutligen är datakrypteringsnyckeln applikationsberoende men är vanligtvis en 128-bitars AES-nyckel. I vissa grupper kan en medlem vara en avsändare som genererar en datakrypteringsnyckel och krypterar den med nyckelkrypteringsnyckeln. Så länge som de två delar gruppnyckeln för samma grupp kan avsändaren använda den "nyckelkrypteringsnyckeln" för att kryptera nyckeln/nyckelna för de mediefiler eller strömmar som den betjänar.

Inte alla GDOI-grupper gör dock skillnad mellan avsändare och mottagare, och om gruppmedlemmar får skicka till varandra eller inte är en fråga om grupppolicy. Typen av nycklar i nyckelstegen bestäms också av grupppolicy. Varje grupp kan ha sin egen policy för kryptografi, nyckellivslängd och medlemsbeteende.

Gruppolicy

[1]

Implementeringar och produkter

externa länkar

  • RFC 6407
Hämtad från " https://en.wikipedia.org/w/index.php?title=Group_Domain_of_Interpretation&oldid=1079179618 "