基于分布式路径计算单元的多域光网络组密钥管理方案

周阳 吴启武 姜灵芝

摘 要：针对分布式路径计算单元（PCE）架构下多域光网络的通信特点和密钥管理需求，提出一种该架构下的组密钥管理方案。首先使用超图理论对分布式PCE架构下的多域光网络密钥关系进行建模得到两层式密钥超图;然后在自治域层采用基于自认证公钥密码体制和成员过滤技术的密钥管理方法，在PCE层采用基于椭圆曲线密码体制的组密钥协商方法;最后完成密钥的产生、分发、更新和动态管理，较好地解决了成员的私钥保密性问题和第三方节点的冒充问题，减少了密钥更新时的计算开销。性能分析显示，该方案具有前向安全性、后向安全性、密钥保密性和抗合谋攻击等特点，与典型的分散式方案相比，在密钥存储量、加解密次数和通信开销等方面取得了较优的性能。

关键词：路径计算单元;多域光网络;密钥管理;自认证公钥;超图

中图分类号：TP309

文献标志码：A

文章编号：1001-9081（2019）04-1095-05

Abstract： A group key management scheme based on distributed Path Computation Element （PCE） architecture was proposed aiming at the communication characteristics and key management requirement of multi-domain optical networks in PCE architecture. Firstly， the key relation of multi-domain optical network under distributed PCE architecture was modeled as a two-layer key hypergraph by using hypergraph theory. Then， the key management method based on self-authenticated public key cryptosystem and member filtering technique was adopted in the autonomous domain layer and the group key agreement method based on elliptic curve cryptosystem was adopted in the PCE layer. Finally， the generation， distribution， update and dynamic management of the key were completed， and the confidentiality problem of the private key of member and the impersonation problem of the third party node were well solved. At the same time， the computational overhead of key update was reduced. The performance analysis shows that the proposed scheme has forward security， backward security， private key confidentiality and is against collusion attack. Compared with the typical decentralized scheme， the proposed scheme achieves better performance in terms of key storage capacity， encryption/decryption times and communication overhead.

Key words： Path Computation Element （PCE）; multi-domain optical network; key management; self-authenticated  public key; hypergraph

0 引言

为减少多域光网络中路由节点进行路径计算的CPU消耗，国际互联网工程任务组定义了基于路径计算单元（Path Computing Element， PCE）的网络体系结构，分为分布式体系结构和集中式体系结构[1]。基于PCE架构的多域光网络通信过程中面临着多种安全威胁，如拒绝服务、身份假冒、重放攻击、合谋攻击等[2]。

目前，还没有一个完善的安全解决方案，专门针对分布式PCE架构下多域光网络中存在的安全问题。

在RFC 5440[3]和RFC 8356[4]中提出了攻击检测、加密、数字签名、消息认证码、密钥管理等攻击防范方法。以上攻击防范方法的实现都离不开各种密钥的使用，在RFC 5440中给出了基于PCE架构的多域光网络密钥管理建议，即使用组密钥来替代手动配置密钥，这将大幅简化運营商的配置任务，同时继续保护通信过程免受来自网络外部的攻击。因此，为了解决分布式PCE体系架构下的安全问题，设计一种该架构下安全高效的组密钥管理方案显得尤为必要。

组密钥管理方案[5]通常分为集中式管理方案（如LKH（Logical Key Hierarchy）[6]）、分散式管理方案（如Iolus[7]）和分布式管理方案（如基于GDH（Group Diffie-Hellman）的方案[8]和TGDH（Tree-based GDH）[9]）。

通过对分布式PCE架构下的多域光网络的通信特点进行分析，发现在自治域层采用集中式组密钥管理方法，在PCE层采用分布式组密钥管理方法较为合理。但目前典型的密钥管理方法不能直接运用到该架构中。首先，目前大多数集中式解决方案都是基于逻辑密钥树的形式，这种形式是无法描述多域光网络节点之间的密钥关系，吴启武等[10]首次将超图理论应用于集中式PCE架构下多域光网络密钥管理模型中，较好地反映了网络的密钥层次关系。其次典型方案Iolus存在着第三方机构恶意冒充用户的问题，文献[11]提出了一种基于代理加密的分散式方案，该方案解决了无线自组织网中第三方节点的信任问题，但是由于中继代理的存在，导致密钥存储量较大。文献[12]提出了一种基于ELGamal的组播密钥管理方案EB-GKM，该方案在密钥存储量方面优于文献[11]，

但相应的加解密次数和在域节点数目较多时的通信开销较大。文献[11-12]都是基于证书的方案，对节点的计算要求非常高，文献[13]则提出了一种基于自认证公钥密码系统[14]和成员滤波技术[15]的密钥管理方案，避免了证书的使用，但分布式PCE架构中没有“簇头”，不能直接应用在该架构中。

本文将超图理论运用于分布式PCE架构下多域光网络的密钥管理中，在自治域层采用基于自认证公钥密码体制和成员过滤技术的密钥管理方法，在PCE层采用基于椭圆曲线的组密钥协商方法，提出一种基于分布式PCE架构下的多域光网络组密钥管理方案GKMS-DA（Group Key Management Scheme under Distributed PCE Architecture in multi-domain optical network）。

1 模型建立

1.1 分布式PCE架构下的多域光网络模型

分布式PCE架构下的多域光网络模型如图1所示，图中域的类型分为源节点域D1、中间节点域Di和目的节点域Dn。每个域配备一个PCE，PCE与PCE之间、PCE与路径计算客户（Path Computing Client，PCC）之间均使用路径计算单元通信协议（Path Computation Element Communication Protocol， PCEP[16]）进行通信。

1.2 分布式PCE架构下多域光网络密钥超图模型

2 密钥管理方案

2.1 系统参数及定义

参考RFC5440中关于PCE通信机制中的参数符号，本文方案涉及的参数符号如表1所示。

2.2 方案设计

本文方案中分為自治域层和PCE层两层，这两个层次包含密钥管理的全过程，包括：系统初始化、注册、密钥分发和密钥更新。

2.2.1 系统初始化

剩余节点将自己私钥的单向散列函数值代入新产生的安全过滤函数 f"D1x，得到新的组密钥K"1。

3）PCE层组密钥更新。

根据分布式PCE架构下PCE之间的通信特点， 本文方案将与新PCE相邻的PCE设置为临时管理员，用于发起密钥更新操作。

如图4所示，当有PCE加入时，经过系统身份认证之后，为了保证后向安全，密钥更新动作由与该PCE相邻的PCE发起，按照相应的密钥协商算法到达目的域后计算生成新的组密钥。

如图5所示当有PCE退出时，向系统发出退出请求，请求通过后，系统删除该PCE信息，为了保证前向安全，密钥更新动作由与该PCE相邻的PCE发起，按照相应的密钥协商算法到达目的域后计算生成新的组密钥。

3 安全性与性能分析

3.1 安全性分析

3.1.1 前向安全性

对于域内单个节点的退出，该域PCE选择新的组密钥并产生新的安全过滤函数，已经退出的节点将自己私钥的单向散列函数值代入新的安全过滤函数是无法计算出新的组密钥的。同样地，对于单个PCE的退出，该PCE无法根据广播包来计算出组密钥，这样，已经退出的用户是无法得到未来组内的信息，即实现了前向安全。

3.1.2 后向安全性

对于域内单个节点加入时，该域PCE选择新的组密钥并产生新的安全过滤函数，该节点无法根据过去的安全过滤函数得到过去的组密钥。同样地，对于单个PCE节点的加入，该PCE无法根据过去产生的广播包来计算出正确的组密钥，即实现了后向安全。

3.1.3 抗合谋攻击

当t个用户进行PCE层进行组密钥协商时，任意的t-1个用户都不能得到正确的组密钥。若节点mi与mj进行恶意串谋，mi首先离开，此时mj知晓此时产生的新的安全过滤函数，可以计算出新的组密钥。但是当mj也离开后，因为mi和mj两者无法得知此时产生的安全过滤函数，也就产生不了新的组密钥。因此，该方案具备抗合谋攻击能力。

3.1.4 密钥保密性

由于单项散列函数的不可逆性以及基于椭圆曲线的离散对数困难问题，因此，该方案具有密钥保密性。

3.1.5 支持自认证的密码体制

本文是基于自认证的密码体制和成员过滤技术的密钥管理方案，对于自治域层各节点产生的公私钥和会话密钥可用于后续通信，由于各PCE是各个域的密钥管理者，某个PCE出故障并不会影响其他域组密钥的协商，且防止了恶意PCE节点的冒充。

3.2 性能比较分析

为了和其他方案的基本约定保持一致，n定义为域成员的总个数，m为域的数量，n/m为每个域的成员个数。以下围绕密钥存储量、通信开销和加解密次数进行性能比较。

3.2.1 密钥存储量

域内节点需存储一个所在域PCE的公钥，n/m个所在域其他节点的公钥，1个自身公私钥对，至多n/m个与所在域边界节点的会话密钥，1个自治域层组密钥。因此，密钥存储量至多为2（n/m）+4。

每个PCE中存储n/m个与该PCE所管理的域内成员的公钥，一个自治域层组密钥以及一个PCE层组密钥，1个自身公私钥对，而源节点PCE还需额外存储（m-1）个其他PCE的公钥，因此，密钥存储量为（n/m）+4。

GKMS-DA与Iolus、EB-GKM、文献[11]方案密钥存储量的比较如表2所示，EB-GKM的密钥存储量比文献[11]方案小，各方案密钥存储量与自治域成员数有很大关系，当n/m很大时，GKMS-DA密钥存储量会较大，但由于PCE是专门的路径计算单元，存储压力和计算压力小，因此可以适用于分布式PCE架构下的多域光网络。

3.2.2 通信开销

当新节点加入自治域时，该域中PCE首先对该节点进行身份认证，此过程通信量为3，而后PCE会产生新的安全过滤函数并发给域中其他成员，用以新成员和域中其他成员计算新的组密钥，该过程通信量为1，因此，PCE的通信量为4。当有节点退出自治域时，PCE删除该节点信息，并生成新的安全过滤函数组播给剩余成员，该过程通信量为1。

GKMS-DA与Iolus、EB-GKM、文献[11]方案通信开销比较如表3所示。GKMS-DA中当PCE节点加入时，至多进行一次单播，一次广播，两次迭代运算，总计算量至多为（2m+1）;同样地，当PCE节点退出时，计算量至多为（m-2），此更新过程通信量的大小取决于自治域的个数m和节点加入原有拓扑的位置有关。EB-GKM在域内节点更新时开销比文献[11]方案和GKMS-DA小，在PCE节点更新时，当域内成员个数较小时，开销比文献[11]方案和GKMS-DA小，而当域内成员个数较大时，开销较大。GKMS-DA与文献[11]方案相比，除域内节点加入时通信量稍大外，其余情况开销均优于文献[11]方案。因此，在域内成员数目较多时，GKMS-DA的通信开销性能优于文献[11]方案和EB-GKM。

3.2.3 加解密次数

当有节点加入自治域时，PCE首先需要对该节点进行身份认证，该过程加密2次，解密2次，然后广播安全过滤函数。因此该过程加密2次，解密2次。

当有节点退出自治域时，PCE删除该节点信息，并生成新的安全过滤函数组播给剩余成员，该过程加密0次，解密0次。

当有PCE加入时，密钥更新动作由相邻的PCE发起，并同时向其剩余PCE发送新加入PCE的基本信息，剩余PCE根据此信息与该PCE形成一条新的到达目的域PCE的拓扑，然后再根据密钥生成进行新的组密钥协商，该过程加解密次数是通信量的2倍。当有PCE退出时，相邻PCE发起密钥更新，系统删除该PCE信息，剩余PCE根据此信息与该PCE形成一条新的到达目的域PCE的拓扑，然后再根据密钥生成进行新的组密钥协商，该过程加解密次数是通信量的2倍。

GKMS-DA与Iolus、EB-GKM和文献[11]方案在域内节点更新时的加解密次数比较如表4所示， 在域内节点加入时，方案Iolus的加解密次数最小，文献[11]方案、GKMS-DA和EB-GKM较高。当域内节点退出时，GKMS-DA的加解密次数最小。由于Iolus方案存在第三方节点信任问题，不能直接应用于多域光网络中，因此，GKMS-DA在加解密次数方面性能优于Iolus、EB-GKM和文献[11]方案。

4 结语

本文以分布式PCE架构下的多域光网络为研究对象，对自治域层采用基于自认证公钥密码体制和成员过滤技术的密钥管理方法，对PCE层采用基于椭圆曲线的组密钥协商方法，提出了一种基于分布式PCE架构下的多域光网络组密钥管理方案。该方案融合了典型方法的优点，PCE层组密钥协商过程与PCE之间通信过程非常吻合，能够满足分布式PCE架构下多域光网络的通信特点和密钥管理需求。下一步研究的重点是在分布式PCE架构下将密钥管理与信誉管理、安全光路建立协议相联系，最终形成较为完善的分布式PCE架构下多域光网络安全解决方案。

參考文献（References）

[1] FARREL A， VASSEUR J P， ASH J. RFC 4655， a Path Computation Element （PCE）-based architecture[S]. Geneva： IETF， 2006.

[2] ZHAO Q， DHODY D， PALLETI R. RFC 8306， extensions to the Path Computation Element communication Protocol （PCEP） for point-to-multipoint traffic engineering label switched paths[S]. Geneva： IETF， 2017.

[3] VASSEUR J， Le ROUX J L. RFC 5440， Path Computation Element （PCE） communication Protocol （PCEP） [S]. Geneva： IETF， 2009.

[4] DHODY D， KING D， FARREL A. RFC 8356， experimental codepoint allocation for the Path Computation Element communication Protocol （PCEP）. [S]. Geneva： IETF， 2018.

[5] ABIRAMI E， PADMAVATHY T. Proficient key management scheme for multicast groups using group key agreement and broadcast encryption[C]// ICICES： Proceedings of the 2017 International Conference on Information Communication and Embedded Systems. Piscataway， NJ： IEEE， 2017： 1-5.

[6] WONG C K， GOUDA M， LAM S S. Secure group communications using key graphs [J]. IEEE/ACM Transactions on Networking， 2000， 8（1）： 16-30.

[7] MITTRA S. Iolus： a framework for scalable secure multicasting[J]. ACM SIGCOMM Computer Communication Review， 1997， 27（4）： 277-288.

[8] STEINER M， TSUDIK G， WAIDNER M. Diffie-Hellman key distribution extended to group communication[C]// Proceedings of the 3rd ACM Conference on Computer and Communications Security. New York： ACM， 1996： 31-37.

[9] STEINER M， TSUDIK G， WAIDNER M. Key agreement in dynamic peer groups [J]. IEEE Transactions on Parallel & Distributed Systems， 2000， 11（8）： 769-780.

[10] 吳启武， 文闻. 基于密钥超图和身份密码的多域光网络密钥管理方案[J]. 工程科学与技术， 2017， 49（5）： 85-92. （WU Q W， WEN W. A key management scheme based on key hypergraph and identity-based cryptography in multi-domain optical networks[J]. Advanced Engineering Sciences， 2017， 49（5）： 85-92.）

[11] 肖自金， 周海， 吴丽珍.基于椭圆曲线ElGamal代理加密机制的MANET组密钥分发方案[J]. 计算机应用与软件， 2013， 30（3）： 139-144. （XIAO Z J， ZHOU H， WU L Z. A new ECC ElGamal proxy encryption based group key distribution scheme for MANET[J]. Computer Applications and Software， 2013， 30（3）： 139-144.）

[12] 孙永辉， 陈越， 严新成， 等.基于ElGamal的安全组播密钥管理方案[J]. 信息工程大学学报， 2017， 18（2）： 195-199. （SUN Y H， CHEN Y， YAN X C， et al. Key management scheme for secure multicast based on ElGamal cryptography[J]. Journal of Information Engineering University， 2017， 18（2）： 195-199.）

[13] TSAUR W J， PAI H T. Dynamic key management schemes for secure group communication based on hierarchical clustering in mobile Ad Hoc networks[C]// ISPA 2007： Proceedings of the 2007 International Conference on Frontiers of High Performance Computing & Networking. Berlin： Springer， 2007： 475-484.

[14] GUPTA S， KUMAR A， KUMAR N. Design of ECC based authenticated group key agreement protocol using self-certified public keys[C]// RAIT 2018： Proceedings of the 2018 4th International Conference on Recent Advances in Information Technology. Piscataway， NJ： IEEE， 2018： 1-5.

[15] ODELU V. An effective and secure key-management scheme for hierarchical access control in E-medicine system [J]. Journal of Medical Systems， 2013， 37（2）： 9920.

[16] LOPEZ D， DE DIOS O G， WU Q， et al. RFC8253， PCEPS： usage of TLS to provide a secure transport for the Path Computation Element communication Protocol （PCEP） [S]. Geneva： IETF， 2017.