下载掌阅APP,畅读海量书库
立即打开
基于自主的深空 DTN 密钥管理的最终目的是尽量减少地面控制中心的KMC的实时任务管理的复杂度,能够根据环境的变化做出可靠的密钥管理策略,在保证密钥管理的安全性的前提下,优化深空DTN成员协作完成密钥管理性能。基于自主的深空DTN密钥管理除了需要满足密钥管理的基本安全和效率属性,还应该具有以下安全和效率属性。
自组织是多个成员在密钥结构在网络结构上的自主性要求,具有两层含义:①深空 DTN 成员具有和其他成员协作完成协商、生成、分发、使用和撤销密钥的能力;②深空 DTN 成员具有建立基于私钥的公钥自组织结构的能力,使得成员根据本地上下文情景协商局部共享的公钥组织结构,不仅减少了密钥协商时间,而且提高了协议成功执行的概率。自组织是自主性在网络组网和密钥组织上的行为能力体现,设成员
在安全协议P中T时刻的自组织密钥操作有
,KMC 在安全协议中 T 时刻的密钥操作有
自配置是单个成员在自主性上的要求。当网络环境变化时,网络成员不能及时有效地从KMC中得到配置信息,深空DTN成员需要具有生成足够密钥材料的能力,并能对密钥管理中涉及本身的部分有权力进行配置、修改和更新。自配置是成员本身具有KMC实施该成员密钥管理全部功能的体现,前提是自配置不能破坏其他节点在密钥管理中的安全性。设成员u
i
在安全协议P中T时刻的自配置的私有密钥参数有
成员u
i
在参数
上的自组织密钥操作为
,KMC 在参数
上的密钥操作为
由于KMC具有最高的安全性和较高的能力,任何节点的安全行为对 KMC都是可视的,因此基于 KMC 的安全策略对成员秘密配置参数的修改是安全的。相反,基于本地节点的安全策略可能引发篡改其他成员秘密参数或破坏其合法性的问题。在密钥管理中,由于公开加密密钥的更新,使得其他成员的私有密钥的合法性被破坏,成员需要重新执行密钥协议,或者暴露密钥材料。密钥管理的自保护的意义在于,基于本地节点的密钥管理不会威胁其他成员的秘密参数,具有KMC 的部分密钥管理功能,该部分内容只限定在密钥管理对象为本身节点时。因此深空 DTN 成员的密钥管理的自保护显得十分重要,这种自保护对于KMC是无用的,但是能够保证节点自身的密钥管理功能不会被其他节点的密钥管理功能影响和破坏。综上所述,自主密钥管理中的自保护具有4层含义:①在KMC缺失的情况下,成员工作能够保证密钥管理工作正确地执行;②成员在执行密钥管理工作时不会降低系统的安全性;③成员在执行密钥管理工作时不会破坏其他节点的安全性;④成员的合法密钥管理功能不能被其他节点替代。
设密钥管理的安全目标为Γ,节点u i 的安全目标为Γ ui ,满足式(3-1)。
KMC在密钥管理中行为的安全性表示为式(3-2)。
成员在密钥管理中行为的安全性表示为式(3-3)。
则密钥管理的自保护性可以表示为式(3-4)。
在可靠端到端链接下,KMC 能够及时获取网络的全局信息,执行最优化的密钥管理策略。但是在深空DTN中,KMC获取的信息可能是陈旧的,不仅不能优化密钥管理性能,反而可能对环境变化做出错误反应。因此,深空 DTN 节点需要有能力根据环境的变化调整密钥管理策略,提高密钥管理的性能。
KMC 在密钥管理中的核心地位是不变的,网络中所有成员的安全配置信息对KMC都是可视的,即在可靠端到端链接允许的情况下,任何成员都必须向KMC汇报自己的安全配置参数,然而这种可视性仅仅限于KMC。因此,自主密钥管理方案中KMC和成员都可以作为密钥管理执行的发起者,但是它们是有区别的,KMC 对所有成员的秘密安全参数都是可视的,而成员只有自己的秘密配置参数。
定义3-1
:自主密钥管理方案(Autonomic Key Management Scheme, AKMS)是指具有自组织、自配置、自保护的基于本地成员的密钥管理方案,即在密钥管理P中,成员u
i
对私有秘密密钥材料的自组织行为等价KMC对其私有秘密密钥材料的行为,且成员u
i
执行任意自组织行为
都不会破坏成员 u
j
( j≠i) 的所有自配置参数
的合法性。
基于以上的自组织、自配置、自保护、自优化和可视性属性,无论有 KMC支撑还是缺乏 KMC 支撑,密钥协议都可以成功执行,并且在安全性能上等价。考虑到深空 DTN 建立的困难和费用的昂贵,轻微的错误就会导致深空探测任务的巨大损失,因此可靠性是深空DTN密钥管理中需要重点考虑的属性。而上述属性中,自组织、自配置和自保护对深空 DTN 密钥管理的可靠性具有显著的意义,而自优化是在原有策略上提高性能。其中,自保护属性严格界定了KMC和成员间的安全边界,是判断密钥管理自主性的基本条件,因此自保护处于自主密钥管理安全核心地位。本章以5种属性作为研究出发点,设计具有自主性的密钥管理协议和方案。