해석의 그룹 도메인

Group Domain of Interpretation

해석의 그룹 도메인 또는 GDOI는 그룹 키 관리를 위한 암호화 프로토콜이다.GDOI 프로토콜은 IETF 표준, RFC 6407에 명시되어 있으며, ISAKMP(Internet Security Association and Key Management Protocol), RFC 2408, IKE(Internet Key Exchange version 1)에 기초하고 있다.IKE는 두 피어 사이에서 실행되어 「pair-wise security connection」을 설정하는 반면, GDOI 프로토콜은 그룹 멤버와 「그룹 컨트롤러/키 서버」(컨트롤러) 사이에서 실행되어, 2명 이상의 그룹 멤버 사이에 보안 연결을 설정한다.

GDOI 기능 블록 다이어그램

기능 개요

GDOI "해석" 그룹 보안 도메인에 대한 IKE 또는 ISAKMP와 쌍별 보안 연결.GDOI는 GDOI 컨트롤러에 대한 GDOI 멤버 인증에 IKE v1 1단계 보안 연결을 사용한다.IKE/GDOI Phase 1 암호화 프로토콜 교환은 컨트롤러로부터 멤버가 그룹 상태를 요청하는 새로운 유형의 2단계 교환을 보호한다."그룹 키"는 GDOI 멤버에서 가장 중요한 상태 입니다.그룹 키는 응용 프로그램 데이터를 해독하는 키를 암호화한다.따라서 그룹키를 GDOI에서는 "키 암호화 키"라고도 한다.그룹의 키 암호화 키는 "리키 보안 협회"에 사용된다."Rekey-SA"가 구축되면, GDOI 컨트롤러는 멀티캐스트, 브로드캐스트 또는 유니캐스트 채널을 통해 회원들에게 그룹 보안 연결에 요청되지 않은 업데이트를 보낼 수 있다.GDOI가 매우 큰 그룹에 멀티캐스트 메시징을 사용하고 지원하기 때문에 "멀티캐스트 키 관리 시스템"이라고 불리는 이유다.이러한 멀티캐스트 메시지는 요청되지 않은 메시지여서, 제어기에서 구성원으로 보내는 요청되지 않은 메시지인 "밀어넣기" 메시지라고 불린다.; 구성원에서 제어기로의 명시적인 요청은 GDOI에서 "풀" 메시지라고 불린다.따라서 GDOI 그룹 키 업데이트가 추진되며 컨트롤러로부터 효율적인 단일 전송으로 그룹 구성원 수에 상관없이 도달할 수 있다.

GDOI 그룹 키 업데이트는 또한 그룹에서 구성원을 제거하는 역할을 한다.RFC 2627은 그룹에서 구성원을 효율적으로 제거하기 위해 구성원에 대한 선택적 키 업데이트를 허용하는 하나의 그룹 구성원 자격 관리 프로토콜을 설명한다."효율성"은 공간, 시간, 메시지의 복잡성 측면에서 평가된다.RFC 2627과 "하위 세트 차이"와 같은 다른 알고리즘은 공간, 시간 및 메시지의 복잡성에 있어 로그적이다.따라서 RFC 2627은 GDOI를 위한 효율적인 그룹 "멤버십 관리"를 지원한다.실제 구현에서 GDOI 그룹멤버십 관리는 컨트롤러나 AAA기능이 발동해 탈권위 그룹 멤버를 제거하는 별도의 기능이다."AAA"는 일종의 AAA 프로토콜을 실행할 수 있는 인가, 인증 및 회계다.그러나 AAA 기능은 서비스 제공자에 대한 "고객 관리" 기능 또는 미디어 서비스 제공자에 대한 "가입자 관리 시스템"이 될 수도 있다.제공자 또는 AAA 기능은 X.509 디지털 인증서, SPKI 또는 기타 자격 증명을 사용하는 공개 키 인프라와 같은 자격 증명 인프라를 갖춰야 한다.X.509 환경에서 제공자 또는 AAA 기능은 GDOI 등록 교환 중에 그룹 컨트롤러가 PKI를 쿼리할 때 구성원이 그룹에 가입할 수 있도록 인증서를 설치하며, 구성원이 그룹에 가입하려고 할 때 그룹 상태를 "끌어넣기"한다.

회원 키 래더

키 래더

그룹 멤버에 저장된 그룹 상태는 키와 키 메타데이터다.개념적으로 그룹 멤버의 키는 1:N 관계의 집합으로 구성되며 종종 "키 래더"라고 불린다.회원은 하나 이상의 그룹에 가입할 수 있음을 증명하는 X.509 인증서와 같은 자격 증명을 가지고 있다."Private Authentication Key"의 기본 그룹 정책은 2048비트 RSA 키이지만 다른 정책도 가능하다.마찬가지로 기본 "그룹 키" 또는 "키 암호화 키"는 128비트 AES 키이지만 다른 정책도 가능하다.마지막으로, 데이터 암호화 키는 애플리케이션에 의존하지만 일반적으로 128비트 AES 키이다.일부 그룹에서 구성원은 데이터 암호화 키를 생성하고 키 암호화 키로 암호화하는 송신자가 될 수 있다.두 사람이 동일한 그룹에 대한 그룹 키를 공유하는 한, 송신자는 그 "키 암호화 키"를 사용하여 그것이 서비스하는 미디어 파일이나 스트림의 키를 암호화할 수 있다.

그러나 모든 GDOI 그룹이 발신자와 수신자를 구분하는 것은 아니며, 그룹 구성원이 서로 보낼 수 있는지 여부는 그룹 정책의 문제다.키 래더에 있는 키의 종류도 그룹 정책에 의해 결정된다.각 그룹은 암호, 키 수명, 회원 행동에 대한 독자적인 정책을 가질 수 있다.

그룹 정책

[1]

구현 및 제품

외부 링크

  • RFC 6407