Групповая область интерпретации

Эта статья не цитирует какие-либо источники . Пожалуйста, помогите улучшить эту статью , добавив цитаты на надежные источники . Неиспользованный материал может быть оспорен и удален . Найти источники:   «Групповая область интерпретации» – новости   · газеты   · книги   · ученый   · JSTOR ( июнь 2024 г. ) ( Узнайте, как и когда удалить это сообщение )

Групповой домен интерпретации или GDOI — это криптографический протокол для управления групповыми ключами . Протокол GDOI указан в стандарте IETF , RFC 6407, и основан на протоколе ассоциации безопасности Интернета и управления ключами (ISAKMP), RFC 2408 и обмене ключами в Интернете версии 1 (IKE). В то время как IKE запускается между двумя узлами для установления «парной ассоциации безопасности», протокол GDOI запускается между членом группы и «контроллером группы/сервером ключей» (контроллером) и устанавливает ассоциацию безопасности между двумя или более членами группы.

GDOI «интерпретирует» IKE или ISAKMP для домена групповой безопасности в дополнение к парным ассоциациям безопасности. GDOI использует ассоциацию безопасности IKE v1 Phase 1 для аутентификации члена GDOI на контроллере GDOI. фазы 1 IKE/GDOI Обмен криптографическим протоколом защищает новый тип обмена фазы 2, в котором участник запрашивает («извлекает») состояние группы у контроллера. «Групповой ключ» — самое важное состояние члена GDOI. Групповой ключ шифрует ключи, которые расшифровывают данные приложения. Таким образом, групповой ключ также называется «ключом шифрования ключа» в GDOI. Ключ шифрования ключа группы используется для «Ассоциации безопасности повторного ключа». После установки «Rekey-SA» контроллер GDOI может отправлять («проталкивать») незапрошенные обновления групповой ассоциации безопасности участникам по многоадресным, широковещательным или одноадресным каналам. Вот почему GDOI называют «системой управления ключами многоадресной рассылки», поскольку она использует и поддерживает обмен сообщениями многоадресной рассылки для очень больших групп. Эти многоадресные сообщения являются незапрошенными сообщениями и поэтому называются «push»-сообщениями, которые представляют собой незапрошенные сообщения, отправляемые контроллером участникам; явные запросы от участника к контроллеру называются «вытягивающими» сообщениями в GDOI. Таким образом, обновления группового ключа GDOI передаются и могут достигать любого количества членов группы за одну эффективную передачу от контроллера.

Обновления группового ключа GDOI также служат для удаления участников из групп. В RFC 2627 описан один протокол управления членством в группах , который позволяет выборочно обновлять ключи участников для эффективного удаления участника из группы. «Эффективность» оценивается с точки зрения пространства, времени и сложности сообщения . RFC 2627 и другие алгоритмы, такие как «разница подмножества», являются логарифмическими по пространству, времени и сложности сообщения. Таким образом, RFC 2627 поддерживает эффективное «управление членством» в группах для GDOI. В практической реализации управление членством в группах GDOI представляет собой отдельную функцию, которую вызывает контроллер или функция AAA для удаления неавторизованного члена группы. «ААА» — это авторизация, аутентификация и учет, которые могут выполнять какой-либо протокол ААА . Но функция AAA также может быть функцией «обслуживания клиентов» для поставщика услуг или «системой управления подписчиками» для поставщика медиа-услуг. Поставщик или функция AAA должны иметь инфраструктуру учетных данных, например инфраструктуру открытых ключей. используя цифровые сертификаты X.509 , SPKI или другие учетные данные. В среде X.509 поставщик или функция AAA устанавливает сертификат, позволяющий участнику присоединиться к группе, когда контроллер группы запрашивает PKI во время обмена регистрациями GDOI, когда участник пытается присоединиться к группе и «извлечь» групповое состояние.

Состояние группы, которое хранится в члене группы, представляет собой ключи и ключевые метаданные. Концептуально ключи члена группы структурированы в виде набора отношений 1:N и часто называются «лестницей ключей». У участника есть учетные данные, например сертификат X.509, подтверждающие, что он имеет право присоединяться к одной или нескольким группам. по умолчанию Групповая политика для «Частного ключа аутентификации» — это 2048-битный ключ RSA, но возможны и другие политики. Аналогичным образом, «групповой ключ» или «ключ шифрования ключа» по умолчанию представляет собой 128-битный ключ AES, но возможны и другие политики. Наконец, ключ шифрования данных зависит от приложения, но обычно это 128-битный ключ AES. В некоторых группах участник может быть отправителем, который генерирует ключ шифрования данных и шифрует его с помощью ключа шифрования ключа. Пока эти двое используют групповой ключ для одной и той же группы, отправитель может использовать этот «ключ шифрования ключа» для шифрования ключа(ов) для мультимедийных файлов или потоков, которые он обслуживает.

Однако не все группы GDOI проводят различие между отправителем и получателем, и могут ли члены группы отправлять сообщения друг другу, зависит от групповой политики. Тип ключей в цепочке ключей также определяется групповой политикой. Каждая группа может иметь свою собственную политику криптографии, срока действия ключа и поведения участников.

[1]

• В Циско
• В можжевельнике

• RFC 6407