2024年3月28日发(作者:)

维普资讯

2002年第6期 微电子学与计算机 13 

基于消息认证码的安全有效的组播源认证 

Secure and Emcient Source Authentication for Multicast Based on Message Authentication Codes 

福州大学计算机系 刘传才

郭文忠 (福州350002) 

要:组播通信正成为不断增长的应用基础,而其关键是要为组播通信提供可靠的安全机制。然而,现有的 

组播安全协议仅能提供部分的解决方法。考虑到源认证是组播的最主要安全事务之一,文章基于消息认证码提 

出了一种安全有效的组播源认证方法。 

关键词:组播通信,源认证,组播安全协议 

1 引言 

2有效的认证方法 

随着Internet的成长和商业化,数据同时传输 

到多个接收者已成为一种流行的通信方式。人们常 

以流的形式传输数据,而此种传输方式需要相当大 

的带宽。为避免分别为每个接收者发送数据,迄今 

为止,人们已采用过多个不同的组播路由协议,最 

本文致力于研究公钥签名和MACs这两种认证 

方法 。1,这不涉及到信息理论的认证机制,而这 

样的机制本质上不能胜任非平凡大小的组。 

公钥签名也许是最普通的组播认证机制。然 

而,签名一般比较长,而且计算和校验每个签名需 

要很大的计算开销。Gennaro等的研究表明…1,可以 

具代表性的是在IP层¨一1。组播通信的基本原则是 

每个从源传送出去的数据包传到若干接收者。 

组播安全事务不仅涉及点到点的通信,而且还 

涉及消息认证的标准问题。这使得保密变得更加复 

杂。此外,象存取控制、信任组中心、信任路由器、动 

态的组成员等问题也相伴而生。 

将签名应用到认证数据流,为此,还提出了一种链 

锁作用的机制。就每个流而言,这种机制需要单个 

签名。然而,由于这种构造不允许包损失,那么就与 

IP组播不兼容。另一方面,Wong和Lam建议使用基 

于树的散列来认证流¨ 1。这种方法不那么有效,而 

如果设法使单目传送通信安全,那么使组播通 

信安全的努力会导致许多未曾遇到的困难。而其中 

主要困难是源认证。即使其他的数据接收者没有一 

个值得信任,也要让接收者确保接收到的数据可靠 

(即它是从源传出的,且在传输途中未被篡改过)。 

所以,我们的工作重点是为组播通信提供源认证及 

解决源和消息认证中出现的严重瓶颈问题。 

在组播的组成员之中,以前解决组播安全问题 

且会引起延迟,但此方法能较好地容忍包损失。 

已有研究表明,公钥签名是一种可供选择的方 

法。基于MACs,本文提出了一种新的认证方法。 

MAC是一个取密钥k和消息M为自变量的函数, 

它返回一个值MAC(k,M)。对于任何m隹{Mi},在自 

适应地选择M;的场合下,若一个观察序列{M。,MAC 

(k,M )J的对手(在此场合下,虽然能自适应地选择 

Mi,但却不知道k)有一个生成MAC(k,M)的可忽略 

概率,则就无法伪造此MAC方法。 

虽然MACs一般比数字签名能更有效地生成和 

校验认证,但它们要求所有可能的校验器使用一个 

共享的密钥k。这种特征使得MACs似乎不足以实 

现源认证:任何拥有密钥k的可能接收者可以假冒 

发送者。考虑到这些因素,我们提出了新的基于 

MAC可实现源认证的方法,它比基于公钥认证的方 

法更有效(特别在生成签名时)。下面将首先给出此 

方法的描述,随后给出它的变体和改进措施。 

为此,我们有必要分析如下的重要参数:认证 

的努力集中在共享单密钥的任务上 ’1。这些方法 

适用于消息编码,而且只有组的成员才能译码。然 

而,因为不能采用一个所有成员都共享的密钥来区 

分组内的发送者,所以单个共享密钥的方法不适合 

源认证。事实上,现有的组播认证方法需要使用大 

量的公钥签名,而公钥签名需要相当大的开销,特 

别在需要生成签名的工作中尤其如此。 

鉴于上述原因,本文基于消息认证码MACs 

(Message Authentication Codes)提出了解决源认证 

问题的方法,而且每个成员拥有一个不同的密钥 

集。在此,首先提出一个基本的方法,然后逐步改进 

条消息和校验一个认证所需的运行时间分别用t 

它,并使它在许多情况下比公钥签名的性能好。 

收稿日期:2001—09—20 

和tv表示。认证器和校验器应存储的密钥长度分别 

用Ks和Kv表示。认证消息(MAC或签名)的长度用 

基金项目:国家973计划资助项目(G1998030600) 

福建省自然科学基金项目(F00013) 

福州大学科技发展基金项目(XKJ(QD).0121) 

LM表示。这些资源明显地与延迟、安全存储器和带 

宽开销参数有关。 

MAC方法的每个消息的不可伪造性:我们有必 

维普资讯

14 微电子学与计算机 2002年第6期 

要区分对一个MAC方法实施的两类攻击。一类是 

完全破译密码,在此情形下,攻击者可认证它所选 

择的任何消息(例如密钥萃取攻击)。另一类攻击允 

许攻击者随机地认证假消息;这时攻击者可认证一 

个具有某种小的固定概率的给定消息(但事前不知 

道它是否能认证此消息)。我们的方法不允许发生 

完全破译事件(这种事件发生的概率比基本的MAC 

方法要高)。此外,还要考虑有不可忽略概率(比如 

说,2 。 2 。)的随机认证。 

在一个MAC选择的消息序列m .-,m 上,对 

手可要求接收MAC的输出,并随后决定是放弃还 

是投机?如果对手(概率多项式的时间)未能获得一 

个预期的可靠性能指标,那么MAC方法的每条消 

息不可伪造的概率为q。如果它放弃,那它就接收¥0 

的报酬。否则,它选择一条消息m甓m 一,m ,并试 

图推测出MAC关于In的值。如对手的推测是正确 

的,则它就接收¥(1一q)的报酬,否则就支付¥q。换 

言之,对手可能至多以q的概率正确地推测出MAC 

的值,但(除非有可忽略的概率)不会知道它的推测 

是否正确。 

我们认为,对于多数系统,就每条消息的不可 

伪造性而言,一个小的、不可忽略的概率(比如q= 

2-2o)是足够的。注意到,每条消息的不可伪造性与 

标准的不可伪造性比较,其安全性能要弱些。从某 

种意义上来讲,对于标准意义上不可伪造的任何方 

法,每条消息不可伪造的概率为q(对于任何不可忽 

略的q值),而其逆命题不一定成立。 

(1)单个源的基本认证方法 

令W为最大的不可靠用户数。我们可如下着手 

实施基本方法: 

・传输源(s)知道密钥R=(K 一,Kf)'z=e 

(w+1)In(1/q)的集合。 

・每个接收者u知道密钥的一个子集R c 

R。对于任意的每个i和u ,以概率1/(W+1)将每个 

密钥K 包含于R 中。 

・消息M由s认证(s的每个密钥K 使用一个 

MAC),并将<MAC(Kt,M),MAC(K2,M),…,MAC 

(K ,M)>与此消息一同传输。 

・在子集R 中,每个接收者u校验采用密钥 

生成的所有MACs。如果这些MACs不正确,那么u 

就拒收这一消息。 

下面讨论性能参数。源必须维持 =Z=e(w+ 

1)ln(1/q)的基本MAC密钥。每个接收者期望维持 

Kv=eln(1/q)的MAC密钥。每条消息的通信开销为 

L =e(W+1)ln(1/q)的MAC输出。对于这个源,运 

行时间的开销为t =e(w+1)In(1/q)的MAC计算, 

而对于一个接收者来说,其开销为tv=eln(1/q)的 

MAC计算。 

定理1在不知道密钥的情况下,假定计算一 

个MAC输出的概率至多为q ,令u为一个用户。因 

此,W个不可靠用户的联盟认证一个传送给u的消 

息M的概率至多为q+q (在密钥子集的选择和消 

息上取概率)。 

证明(概略):对于每个用户u和W个用户的任 

何联盟,一个特定密钥安全的概率(即包含在一个 

用户的子集中,但不包含在W个成员联盟的任何子 

集中)为: 

g= (1一击) 

:——————————

j ————一、— —L 

(w+1)(士)w e(w+1 J 

因此,R 完全被这个子集(联盟成员约束此子 

集)覆盖的概率为: 

(卜q) <(卜 ) n n“ <e- ̄(t/q) q 

如果R 没有被覆盖,则即使这个联盟不知道 

K ,集合{MAC(Ki,M)mE 也至少包含一个MAC。正 

确计算它的概率至多为q 。通过联合约束,此联盟 

可认证传送给u的消息M的概率至多为q+q 。【证 

毕】 

注意到,当联盟没有一个用户的密钥时,联盟 

不能事先(离线)检验它是否能认证一个特定的消 

息。因此,通过分解一个MAC而认证一条消息的概 

率q 可能相当大(例如,即使q =2 。可能对许多 

应用也是合理的)。 

这种结构的一个吸引力的特征是复杂性不依 

赖于组(parties)的总数,但却相当地依赖一个不可 

靠联盟的最大量值和允许的误差概率。对于广播加 

密… 和成对加密…】,Fiat和Naor以及Dyer等曾采 

用过与此类似的思想。 

安全就是抵抗一个随机的、多达W个不可靠接 

收者的联盟。注意到,构造防范规模为W的任何联 

盟的安全方案是有可能做到的。令q=n・f“)1 1, 

借助此概率变量,就可描述一个有n个接收者的系 

统,而大小为w的联盟的子集的并集覆盖了此系统 

中没有用户的子集。此系统有一个比e(w+1):lnn 

小的密钥总数,而每个接收者有一个规模比e(w+ 

维普资讯

2002年第6期 

1)Inn小的期望子集。 

微电子学与计算机 15 

(2)较小的通信开销 

∑{:) (1一g)l—i2一i=(1一S/2)‘<q 

i=0、1, 

在这里,我们要描述一个具有较低通信开销的 

方法,此方法的思想是仅使用四倍于基本方法的密 

钥,这样可确保联盟不知道用户密钥的log(1/q)。 

因此可使用每个密钥来生成一个有单个比特输出 

借助Markov不等式,在R 中,以至多q的概 

率,此联盟用一个比q更大的概率来计算所有拥有 

密钥的MACs。即:此MAC以概率(1一q)实施这一 

方案,而每条消息不可伪造的概率为q。【证毕】 

(3)多个动态源 

的MAC,并降低通信开销。联盟将推测log(1/q)位 

以产生一个假的认证,而其成功的概率依旧。 

回想起基本方案:它将一个不可靠联盟的成功 

概率限制在q+q 上,其中q 为每条消息的不可伪 

造概率。此MAC的输出必须至少为log2(1/q )位 

能容易地将上面提出的方法扩展,并使任一组 

发送认证消息。L个密钥的全集比单个源方法的大 

W+1倍,并且每个组接收这些密钥的一个随机子集 

R 。密钥以概率1/(W+1)随机地包含在R 中。当 

长。因此,假定q =q,通信开销为LM>e(w+1)ln 

(1/q)位。这个改进方案的通信开销小于4e(w+1) 

In(1/q)位。 

个组u发送一条消息时,它用R 中的所有密钥来 

认证此消息,并且每个接收组v用R nR 中的密钥 

来验证这一认证。这可直接校验最终的方法是否象 

这个改进的方法使用一个有单个比特输出的 

单个源的方法那样安全。注意到,这不会改变平均 

的通信和计算开销。此外,能用一个公共的(W+2) 

个方式的无关散列函数来实施用户到子集的映 

射。下面,我们将提出一个更好的方法来支持一个 

源的动态集,而此动态集具有如下特征: 

MAC(MACs的通用构造有更大的输出,但本文的 

方法可使用这种输出的单个比特。这也有可能设计 

出一个有特殊用途的MAC函数,此函数不仅只有 

个单比特的输出,而且比标准构造更有效)。为了 

个不可靠联盟的密钥不包含一个用户子集的ln 

解释方便起见,假定对于这种MAC,q =1/2。如果 

・密钥总数象用于单个源的方法那样,但每个 

组可发送认证消息。 

(1/q)个密钥,那么用户从此联盟接收一个不可靠 

消息的概率至多为q。在这个提出的方案中,这个源 

使用了Z=4e(w+1)In(1/q)个密钥,而且以概率 

1/(W+1)将每个密钥包含在一个用户子集中。 

将所有的性能参数乘以4。这个源必须储存 

Ks=Z=4e(w+1)In(1/q)个基本的MAC密钥。每个 

接收者期望储存Kv=4eln(1/q)个基本的MAC密 

钥。每条消息的通信开销为L =4e(w+1)In(1/q) 

比特。此源必须计算4e(w+1)In(1/q)个MACs,而 

每个接收者期望计算4eln(1/q)个MACs。 

定理2考虑一个有单比特输出的MAC,而且 

它的每个消息的二分之一是不可伪造的,以及考虑 

上述使用了这种MAC和Z=4e(w+1)ln(1/q)个密 

钥的方法。因此,对于每个用户u和其他的w个不 

可靠用户的联盟,此MAC以概率(1一q)赞成,亦即 

关于此联盟和用户u,在最后所得到的方案中,每个 

消息不可伪造的概率为q。 

证明(概略):如前所述,一个特定密钥安全的 

・此方法不要求事先定义源集合或包含所有 

的组。相反地,它允许动态地增加源。 

・此方法区分开源集合和接收者的集合。只有 

大于W个接收者的联盟可发送假的认证消息。源的 

密钥不协助这样的联盟。若接收者比发送者更值得 

信任,则这种特征就特别有用。例如,如果接收者是 

网络路由器,则情况也是如此。 

・在一个源和一个接收者的子集的交集中,此 

方法提供了一种防止泄露所有密钥给一个联盟的 

计算安全(不是一种信息理论安全)技术。 

此方法使用了一簇伪随机函数fn(},它是建立 

在单个源方法的基础之上的【1 1,可在本节(1)中的 

基本方法或本节(2)中的有效通信方法上构造它。 

初始化:此方法使用Z个基本密钥(k ,k ,…, 

k z>,此处的Z如同单个源方法的Z=O(wlog(1/ 

q)。每个密钥k 定义一个伪随机函数fk.。 

接收者的初始化:打算接收消息的每个组v获 

得一个基本密钥的子集R 。每个基本密钥k 以概率 

1/(W+1)包含在R 之中。 

概率为g>1/(e(w+1))。既然对于此MAC,每条消 

息不可伪造的概率为二分之一,此联盟在如下情况 

下不能实施推测:亦即实施推测的概率比一个MAC 

(此时,此联盟不知道它的密钥)输出的二分之一更 

源的初始化:希望发送消息的每个组u接收一 

个第二级密钥S =(fk(u),fk (u),…,fdu))的集 

合。在建立此系统之后,可随时发送这个集合,而且 

不必事先定义源的身份或数目。 

好。因此,一个不可靠联盟的期望成功概率为: 

维普资讯

16 微电子学与计算机 2002年第6期 

消息认证:当一个组U发送一条认证消息M 

时,它在s 中用所有第二级密钥来认证它。那就是 

说,V k∈S ,它计算和附加上M(消息M拥有密钥 

k)的一个MAC。 

MACs应用于同样的消息。MACs的通用结构能实现 

两个目标: 

①它的输入混列下降到要求的输出大小; 

②一个锁住的不能预料的输出。 

对于所提出的方案,最好是执行此消息的单一 

混列下降,然后计算这一散列下降值的MACs。把 

HMACt ," 看作一个参考的MAC函数,这意味着应 

在R 中,每个接收组v计算U的所有第二级密 

钥,而二级密钥包含基本密钥。换句话说,它计算集 

合 (u)={fk(u)l k∈R }。因此,它校验所有采用这 

些密钥计算的MACs。 

所使用和存储的密钥数就象在单个源方法中 

的那样。源的作用就象先前方法中的那样,并且在 

它们的子集中,对于每个基本的密钥,接收者反而 

有计算一个第二级密钥而评估f的附加任务。 

此方法一个非常有用的特征是它能实现一个 

使用一个散列函数的HMAC的两个嵌套且锁着的 

应用程序的某一个(依据【17】,这相当于定义Z个拥 

有密钥k 一,k z的MACs作为{NMACk,k ,此时 

的密钥k为所有的函数公有)。因此,与公钥操作比 

较,在使用MD5或一个分组密码的等价单一应用 

(比如DES)中,我们假定MAC只取此散列函数的 

压缩操作(功能)的单一应用。 

此外,我们认为可为本文提出的认证方法设计 

源的动态集。通过给新的组分配对应的第二级密钥 

集,那么就可允许新的组发送认证消息。此方案的 

另一个有用特征是可将源集合从接收者的集合中 

更有效率的MACs。特别是,这些MAC函数可利用 

它们有单个比特输出的事实,并且在同样的输入和 

分离出来,并且源的联盟不可能削弱安全。这也使 

得给出源的专用密钥以用于认证不同的消息成为 

可能。这些特征的吸引人的应用是在时刻T选定广 

多个密钥上评价函数会有小的缓冲复杂性。基于这 

样函数的认证方法应比基于HMAC的方法更有 

效。 

播第二级密钥fk(T)的集合。并要求它使用第二级密 

钥来认证它在那个时间上的广播。在它们的选定的 

时间片内,这种方法能确保源只发送信息给这个 

组。 

表1把RSA和DSS签名的开销与本文所提出 

的有某些特定参数的认证方法的开销作了比较。这 

基本的改进方法的通信开销都是建立在仅使用 

表1描述了每秒可实施的认证和校验数、以比 

(4)签名与MACs间的粗略性能比较 每个MAC的1O比特的基础之上的。 

与公钥签名的性能比较,本文的认证方法显著 

地减少密码证明信号的运行时间。检验器的运行时 

间和通信开销与公钥签名的是同一个量级。 

例如,考虑一个有1024bit模数的RSA签名。最 

近的测量表明,在一个快速的机器上(比如一个主 

频为200MHz的PC机),一个签名(认证)花费ts= 

特计的通信开销以及源和接收者使用的密钥长 

度。前两行用于RSA和DSS签名,第三行为本文的 

基本认证方法提供了一个估计,假定防范多达1O 

个不可靠用户联盟的每条消息不可伪造概率为q= 

10~。其次,我们提出了通信的有效变量的性能,而 

且每个MAC有单个比特的输出。最后是一个方法 

的性能,该方法确保联盟不知道任何用户的所有密 

钥(它的开销似乎太大以致不能认为它的使用有理 

由)。 

1/50s,而校验时间为t =1/30000s。对于在一个类 

似平台上的768.bit的DSS,这两个数值近似为ts= 

1/40s和tv=1/70s。这里有一个比较,一个MD5的 

压缩函数的应用程序大约花1/500000s;一个DES 

的应用程序大约花同样的时间。期望将来的分组密 

码和散列函数会更快。 

这清楚地看到,在本文的方法中,签名时间比 

公钥签名方法的短得多,校验时间与高度优化的 

RSA的类似,而且比DSS的快得多。 本文引入的方法要求组把许多具有不同密钥的 

表1认证方案的性能比较 

认证(ops/sec) 校验(ops/sec) 通信(bits) 

RSA 1024bits 

DSS 768bis t

50 

70 

3O0o0 

40 

1024 

1536 

源密钥 

2048 bits 

1536 bis t

接收者的密钥 

2048 bits 

1536 bits 

基本方案w=10,q=10。 2650 26500 1900 190MAC keys 19MAC keys 

低的通信w=10,q=10 660 

完善的安全性n=10 。q =10。 200 

6600 

2000 

760 

25O0o 

760MAC keys 76MAC keys 

2500MAC keys 250MAC keys 

维普资讯

2002年第6期 

3结束语 

微电子学与计算机 17 

curity:Long—term Protection Against Break—ins.Crypto’ 

在组播安全事务中,确保组播安全通信的主要 

困难是源认证。同时考虑到如下因素: 

(1)现有的组播源认证方法在解决源和消息认 

证时会出现严重的瓶颈问题; 

Bytes。1997,3(1). 

【l1】Gennaro R,Rohatgi P.How to Sin Diggital Streams.Ad‘ 

vances in Cryptology—CRYPTO’97.Springer—Verlag, 

1997,1294:180—197. 

【12】Wong C K,Lain S.Diigtal Sinatgures orf Flows and Mul— 

ticasts.111e Universiy of Texats at Austin.Department of 

(2)单个共享密钥的方法不适合源认证; 

(3)现有的组播认证方法需要使用大量的公钥 

签名,而公钥签名需要相当大的开销,特别在需要 

生成签名的工作中尤其如此。 

综合考虑上述因素,我们基于消息认证码 

MACs提出了一种有效而安全的解决源认证的方 

法。在这种方法中,每个成员拥有一个不同的密钥 

集,效率较高。实验对比表明,此方法在许多常见的 

情况下比公钥签名的性能好。当然,要完整地解决 

组播安全问题,还需要考虑其他多种因素,组播源 

认证只是其中最主要和困难的安全问题之一,下一 

步我们将探讨组播安全的其他事务。 

参考文献 

【1】Perlman R,Lee C,Ballardie T et a1.Simple Mulitcast:A 

Design for Simple,Low—overhead Multicast.Internet 

Draft,Internet Engineering Task Force,Mar.1999. 

Computer Sciences.Technical Report TR一98—15,July 1998. 

【13】Alon N.Probabilistic Methods in Extremal Finite Set The— 

ory.In Extremal Problems for Finite Sets。1991。39—57. 

【14】Dyer M,Fenner T,Frieze A,Thmason A.On Key Storage in 

ecurSe Networks.J.of Cryptology。1995。8:189—200. 

【1 5】Luby M.Pseudorandomness and Cryptographic Applica— 

ion.Prtinceton University Press,1996. 

【16】Krawczyk H,BeUare M,Canetti R.HMAC:Keyed Hashing 

or Message Autfhentication.RFC 2104,February 1997. 

【17】Bellare M,Canetti R,Krawczyk H.Keying Hashing Func— 

tions for Message Authentication.Advances in Cryptolo— 

gy—Crypto’96,Springer—Verlag,1996,1 109. 

LIU Chuan—cai,GUO Wen—zhong(Department of Computer, 

Fuzhou University,Fuzhou 350002) 

Abstract:Multicast communication is becoming the basis for a 

growing number of applications.It is therefor critical to provide 

sound security mechanisms for multicast communication.Yet, 

existing security protocols for mulitcast offer only partial solu— 

tions.Owing to the source authentication of multicast that is one 

【2】Handley M,Holbrook H,Kouvels Ia.Protocol Independent 

Multicast—sparse Model(prim一8m):Protcolo Speciifca— 

tion.Internet Draft,Internet Engineering Task Force,July 

2000. 

【3】Bhaskar N,Kouvels Ia.Source Speciifc Protcolo Indepen— 

of major security concerns of multicast communication,a secure 

nd efaicifent source authentication scheme for multicast is present 

by means of Message Authentication Codes. 

Key words:Multicast communication,Source authentication, 

dent Multicast.Internet Draft,Internet Engineering Task 

Force,Mar.2000. 

【4】Harney H,Muckenhirn C.Group Key Management Protcolo 

(GKMP)architecture.RFC 2094,July 1997. 

【5】Mittra S.Iolus:A Framework for ealSable Secure Multi— 

casting.Proc.of the ACM SIGCOMM’97,Cannes,France, 

Sept.1997. 

Multicast security protocols 

刘传才

郭文忠

安全。 

男,1963年生,博士,副教授。主要研究方向为模式 

1979年生,硕士研究生。主要研究方向为网络信息 

识别与智能系统、网络信息安全。 

【6】Ballardie A J.A New Approach to Multicast Communication 

in a Datagram Network.Ph.D.Thesis,University College 

ondon,May 1995.L 

【7】Wong C K,Lain Ooudaand S.Secure Group Communica— 

tions Using Key Graphs.Sigcomm’98. 

【8】Desmedt Y,Frankel Y,Yung M.Threshold Cryptosystems. 

Advances in Cryptology—Crypto’89,Springer—Verlag。 

1990,435:307—315. 

【9】Gemmel P.An Introduction to Threshold Cryptology.In 

Cryptology—CRYPTO’92,1994,839:257—270. 

【10】Canetti R,Gennaro R,Herzberg D,Naor D.Proactive e—S