Групповой домен интерпретации - Group Domain of Interpretation
Групповой домен интерпретации или же GDOI это криптографический протокол для группы ключевой менеджмент. Протокол GDOI указан в IETF Стандарт, RFC 6407, и основан на Ассоциация интернет-безопасности и протокол управления ключами (ИСАКМП), RFC 2408, и Обмен ключами в Интернете версия 1 (IKE). В то время как IKE выполняется между двумя одноранговыми узлами для установления «парной ассоциации безопасности», протокол GDOI запускается между членом группы и «контроллером группы / ключевым сервером» (контроллером) и устанавливает ассоциацию безопасности между двумя или более членами группы.
Функциональный обзор
GDOI "интерпретирует" IKE или ИСАКМП для домена безопасности группы в дополнение к попарным сопоставлениям безопасности. GDOI использует сопоставление безопасности IKE v1 Phase 1 для аутентификации члена GDOI на контроллере GDOI. IKE / GDOI, фаза 1 криптографический протокол exchange защищает новый тип обмена Phase 2, в котором участник запрашивает ("извлекает") состояние группы от контроллера. «Групповой ключ» - это самое важное состояние члена GDOI. Групповой ключ шифрует ключи, которые расшифровывают данные приложения. Таким образом, групповой ключ также называется «ключом шифрования ключа» в GDOI. Ключ шифрования ключа группы используется для «Rekey Security Association». Как только «Rekey-SA» установлена, контроллер GDOI может отправлять («проталкивать») незапрошенные обновления ассоциации безопасности группы членам по многоадресным, широковещательным или одноадресным каналам. Вот почему GDOI называется «системой управления ключами многоадресной рассылки», поскольку он использует и поддерживает многоадресный обмен сообщениями для очень больших групп. Эти многоадресные сообщения являются незапрошенными сообщениями и поэтому называются «push-сообщениями», которые представляют собой незапрошенные сообщения, отправленные от контроллера к участникам; явные запросы от члена к контроллеру называются в GDOI сообщениями «pull». Таким образом, обновления групповых ключей GDOI проталкиваются и могут достигать любого количества членов группы с помощью одной эффективной передачи от контроллера.
Обновления ключей группы GDOI также служат для удаления участников из групп. RFC 2627 описывает один Управление членством в группе протокол, который позволяет выборочно обновлять ключи для членов для эффективного удаления члена из группы. «Эффективность» оценивается с точки зрения пространства, времени и сообщения. сложность. RFC 2627 и другие алгоритмы, такие как «разность подмножества», являются логарифмическими по пространству, времени и сложности сообщения. Таким образом, RFC 2627 поддерживает эффективное групповое «управление членством» для GDOI. На практике управление членством в группе GDOI является отдельной функцией, которую контроллер или функция AAA вызывает для удаления деавторизованного члена группы. «AAA» - это авторизация, аутентификация и учет, которые могут запускать какие-то Протокол AAA. Но функция AAA также может быть функцией «обслуживания клиентов» для поставщика услуг или «системой управления подписчиками» для поставщика мультимедийных услуг. Провайдер или функция AAA должны иметь инфраструктуру учетных данных, такую как Инфраструктура открытых ключей с помощью X.509 цифровые сертификаты, СПКИ или другие учетные данные. В X.509 В среде, поставщик или функция AAA установят сертификат, позволяющий члену присоединиться к группе, когда контроллер группы запрашивает PKI во время обмена регистрацией GDOI, когда член пытается присоединиться к группе и «опустить» состояние группы.
Ключевая лестница
Состояние группы, которое хранится в члене группы, - это ключи и ключевые метаданные. Концептуально ключи члена группы структурированы в виде набора отношений 1: N и часто называются «лестницей ключей». У участника есть учетные данные, такие как сертификат X.509, подтверждающий, что он авторизован для присоединения к одной или нескольким группам. По умолчанию групповая политика для «частного ключа аутентификации» - это 2048-битный ключ RSA, но возможны и другие политики. Точно так же по умолчанию «групповой ключ» или «ключ шифрования ключа» - это 128-битный ключ AES, но возможны и другие политики. Наконец, ключ шифрования данных зависит от приложения, но обычно это 128-битный ключ AES. В некоторых группах участник может быть отправителем, который генерирует ключ шифрования данных и шифрует его с помощью ключа шифрования. Пока эти двое используют общий ключ группы для одной и той же группы, отправитель может использовать этот «ключ шифрования ключа» для шифрования ключа (ов) для мультимедийных файлов или потоков, которые он обслуживает.
Однако не все группы GDOI различают отправителя и получателя, и то, могут ли члены группы отправлять друг другу сообщения, является вопросом групповой политики. Тип ключей в цепочке ключей также определяется групповой политикой. У каждой группы может быть своя собственная политика для криптографии, времени жизни ключа и поведения участников.