Tài liệu Nghiên cứu vấn đề quản lý và phân phối khóa nhóm trong việc đảm bảo an toàn dữ liệu multicast

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ VŨ ANH TUẤN NGHIÊN CỨU VẤN ĐỀ QUẢN LÝ VÀ PHÂN PHỐI KHÓA NHÓM TRONG VIỆC BẢO ĐẢM AN TOÀN DỮ LIỆU MULTICAST LUẬN VĂN THẠC SĨ Hà Nội- 2010 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ VŨ ANH TUẤN NGHIÊN CỨU VẤN ĐỀ QUẢN LÝ VÀ PHÂN PHỐI KHÓA NHÓM TRONG VIỆC BẢO ĐẢM AN TOÀN DỮ LIỆU MULTICAST Ngành : Công nghệ thông tin Chuyên ngành : Công nghệ phần mềm Mã số : 60 48 10 LUẬN VĂN THẠC SĨ NGƢỜI HƢỚNG DẪN KHOA HỌC: TS. Nguyễn Ngọc Cƣơng Hà Nội- 2010 3 MỤC LỤC MỤC LỤC ............................................................. ERROR! BOOKMARK NOT DEFINED. DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ .............................................................................. 6 DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT ....................................................... 7 MỞ ĐẦU .............................................................................................................................. 8 CHƢƠNG 1: MỞ ĐẦU........................................................................................................ 9 1.1. Về an toàn dữ liệu trong truyền Multicast ...................................................................................... 9 1.2. Sự cần thiết Multicast an toàn .......................................................................................................10 1.3 Xử lý dữ liệu Multicast an toàn.......................................................................................................13 1.3.1 Kết nối dữ liệu Multicast an toàn ..........................................................................................13 1.3.2 Quản lý khóa ........................................................................................................................15 1.3.3 Các chính sách an toàn Multicast: .........................................................................................19 1.4. Bảo vệ hạ tầng ................................................................................................................................20 1.5 Ứng dụng của Multicast an toàn .....................................................................................................21 CHƢƠNG 2: QUẢN LÝ KHÓA NHÓM .......................................................................... 23 2.1 Mô hình quản lý khóa nhóm: ..........................................................................................................24 2.2 Các yêu cầu trong quản lý khóa nhóm ...........................................................................................26 2.2.1 Yêu cầu an toàn cho quản lý khóa unicast. ............................................................................26 2.3 Các yêu cầu an toàn trong quản lý khóa nhóm ..............................................................................29 2.4 Quản lý kiến trúc an toàn nhóm (Group Security Architecture -GSA) ........................................32 2.4.1 Mô hình GSA ......................................................................................................................33 2.4.2 Định nghĩa GSA ...................................................................................................................35 2.5 Phân lớp bài toán quản lý khóa nhóm ............................................................................................36 2.6 Tóm lại.............................................................................................................................................37 CHƢƠNG 3: CÁC THUẬT TOÁN QUẢN LÝ KHÓA NHÓM ...................................... 39 3.1. Đợt và chu kỳ thay khóa ................................................................................................................41 3.1.1 Sự kết hợp hài hoà trong đợt thay khóa (Trade-offs in batch rekeying)...................................42 3.2 MARKS (Multicast Key Management Using Arbitrarily Revealed Key Sequences) ....................44 3.3 LKH (Logical Key Hierarchy) ........................................................................................................46 3.3.1 Khởi tạo LKH: .....................................................................................................................47 3.3.2 Thêm thành viên tham gia cây khóa. .....................................................................................48 3.3.3 Thay khóa khi có thành viên mới tham gia nhóm trong LKH .................................................49 3.3.4 Thay khóa hiệu quả sử dụng LKH+ ......................................................................................50 3.3.5 Thay khóa khi có thành viên rời khỏi nhóm trong LKH .........................................................51 3.3.6 Thay khoá hiệu quả khi có thành viên rời nhóm OFCs:..........................................................52 3.4. OFT(One-way Function Tree) .......................................................................................................54 3.4.1 Khởi tạo một OFT ................................................................................................................55 4 3.4.2 Thay khoá khi có thành viên mới tham gia trong OFT ...........................................................56 3.4.3 Thay khoá khi có thành viên rời nhóm trong OFT .................................................................58 3.5 Xử lý theo đợt của các hội viên thay đổi trong cây khóa ................................................................59 3.6 Truyền thông điệp thay khóa tin cậy ..............................................................................................60 3.6.1 Lặp việc truyền lại các thông điệp thay khóa. ........................................................................60 3.6.2 FEC (Forward error correction) cho độ tin cậy ......................................................................60 3.6.3 Tính hiệu lực của khóa trong việc truyền vận thông điệp. ......................................................61 3.7 Giải thuật huỷ khóa không mang quốc tịch ....................................................................................62 3.7.1 Huỷ thành viên áp dụng STR ................................................................................................62 3.7.2 SDR(Subset Difference Revocation Algorithm) giải phóng thành viên ..................................64 3.8 Tổng kết...........................................................................................................................................67 CHƢƠNG 4: ỨNG DỤNG ................................................................................................ 70 4.1. Mục đích ứng dụng ........................................................................................................................70 4.2. Mô hình ứng dụng Multicast an toàn trong ứng dụng Chat theo nhóm .......................................71 4.3. Sơ đồ trạng thái sử dụng giao thức GSAKMP áp dụng cho ứng dụng Chat theo nhóm: .............72 4.4. Áp dụng thuật toán LKH trong ứng dụng Chat theo nhóm ..........................................................73 4.5. Yêu cầu kết hợp giữa LKH và GSAKMP ......................................................................................75 4.6.Ví dụ định dạng thẻ bài trong giải thuật LKH ...............................................................................75 4.6.1. Ví dụ về download khóa LKH ............................................................................................76 4.6.2. Ví dụ sự kiện thay khoá LKH .............................................................................................77 4.7.Thiết lập các chính sách cho ứng dụng: ..........................................................................................80 4.8. Đặc trƣng ứng dụng quản lý khóa áp dụng cho ứng dụng Chating. .............................................81 4.9 Thiết lập thẻ bài cho chính sách khóa nhóm...................................................................................82 4.10 Định nghĩa các thuộc tính .............................................................................................................82 4.10.1 Định nghĩa thuộc tính ID cho thẻ bài ...................................................................................82 4.10.2 Định nghĩa các thuộc tính xác thực .....................................................................................83 4.10.3 Định nghĩa các thuộc tính điều khiển ..................................................................................83 4.10.4 Định nghĩa các thuộc tính tự động .......................................................................................84 4.10.5 Định nghĩa các trường khối chữ ký .....................................................................................85 4.11. Kiến trúc thiết lập nhóm và quản lý khóa nhóm .........................................................................85 4.12. Thông điệp thiết lập quản lý khóa ...............................................................................................86 4.13. Thực hiện thay khóa trong quản lý khóa nhóm ...........................................................................86 4.14. Yêu cầu ra nhập thành viên .........................................................................................................86 4.15. Mời tham gia thành viên ..............................................................................................................87 4.16. Trả lời mời tham gia nhóm ..........................................................................................................87 4.17. Download khóa thông qua SA ......................................................................................................87 4.18. Xác nhận khóa ..............................................................................................................................88 4.19. Thay khóa .....................................................................................................................................88 4.20. Một số màn hình chƣơng trình Chat demo. .................................................................................88 4.20.1 Màn hình chung (cho hai kiểu user) ....................................................................................88 5 4.20.2 Điều tiết phiên làm việc ......................................................................................................90 4.20.3 Phiên của người tham gia Chat............................................................................................93 4.20.4 Màn hình Chat....................................................................................................................93 KẾT LUẬN ........................................................................................................................ 95 TÀI LIỆU THAM KHẢO ................................................................................................. 97 6 DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ Hình 2.1: Mô hình quản lý khóa nhóm ....................................................................... 24 Hình 2.2: Unicast SA được định nghĩa trong ISAKMP. ............................................ 28 Hình 2.3: Định nghĩa GSA. ........................................................................................ 33 Hình 3.1 Thay khóa theo đợt, theo chu kỳ, ngay tức thời. ......................................... 43 Hình 3.3: Phân phối khóa trong MARKS .................................................................. 45 Hình 3.4: Một ví dụ về cây khóa ................................................................................ 47 Hình 3.5: Khởi tạo một cây khóa nhị phân ................................................................. 49 Hình 3.6: Tham gia thay khóa trong LKH. ............................................................... 50 Hình 3.7: Giải phóng thay khóa trong LKH. ............................................................. 52 Hình 3.8: Cải tiến giải phóng thay khóa hiệu quả sử dụng OFC ................................. 53 Hình 3.9: Phân phối khóa OFT .................................................................................. 55 Hình 3.10: Khởi tạo OFT ........................................................................................... 56 Hình 3.11: Tham gia thay khóa trong OFT................................................................ 57 Hình 3.12: Thay khóa khi rời thành viên trong OFT .................................................. 59 Hình 3.13: Phân phối khóa trong STR....................................................................... 64 Hình 3.14: Giải phóng thành viên dựa trên STR-based .............................................. 65 Hình 3.15: Minh hoạ các tập con khác nhau .............................................................. 67 Hình 3.16: Giải phóng thành viên trong SDR. ............................................................ 68 Hình 4.1: Mô hình ứng dụng ...................................................................................... 71 Hình 4.2: Sơ đồ trạng thái GSAKMP ......................................................................... 72 Hình 4.3: Cây LKH.................................................................................................... 73 Hình 4.4: Cây khoá LKH và GSAKMP ..................................................................... 75 Hình 4.5: Thiết lập chính sách khóa ........................................................................... 80 Hình 4.6: Mô hình thẻ bài cho các chính sách khóa.................................................... 82 Hình 4.7: Kiến trúc thiết lập nhóm và quản lý khóa nhóm.......................................... 85 Hình 4.8: Màn hình chọn file khóa ............................................................................. 89 Hình 4.9: Màn hình chọn file khóa ............................................................................. 89 Hình 4.10: Màn hình chọn user .................................................................................. 89 Hình 4.11: Màn hình chọn phiên ................................................................................ 90 Hình 4.12: Màn hình cập nhật thông tin máy chủ ....................................................... 91 Hình 4.13: Màn hình hiển thị cho phép users thuộc phiên .......................................... 92 Hình 4.14: Màn hình chọn người tham gia ................................................................. 93 Hình 4.15: Màn hình tham gia Chat ........................................................................... 93 Hình 4.16: Màn hình thông báo lỗi không được tham gia ........................................... 94 7 DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT STT 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 Ký hiệu ACLs ASM BSRs BGMP BGP CDN CCNT CCNP CBT GCKS GS GSA GSAKMP GSC IETF IRTF ISAKMP KDs KEKs IGMP MAAS MDP NACKs OSPF OFC OFT PPV VPNs TEK LKH OFT Diễn giải Access control lists Any Source Multicast Bootstrap routers Border Gateway Multicast Protocol Border Gateway Protocol Content distribution network Cryptographic context negotiation template. Cryptographic context negotiation protocol Core-Based Tree Group controller and key server Group secrecy Group security association Group security association key Management protocol Group security controller Internet Engineering Task Force Internet Research Task Force Internet security association and key management protocol Key distributors Key Encryption Keys Internet group management protocol Multicast address allocation server Multicast data protocol Negativeacknowledgments` Open Shortest Path First one-way function chains one-way function tree Pay-per-view Virtual private networks Traffic Encryption Key Logical Key Hierarchy One-Way Function Trees 8 MỞ ĐẦU Vấn đề an toàn (security) dữ liệu trong truyền dữ liệu Multicast là chủ đề Công nghệ được rất nhiều người quan tâm, khi nghiên cứu có thể làm nản chí, nhưng nó thực sự là một chủ đề rất đáng được quan tâm. Vậy thì điều gì đã lôi cuốn tôi nghiên cứu vấn đề an toàn Multicast (Multicast security)? Các nhà thiết kế đã đưa ra mô hình truyền Multicast được sử dụng để phân phối dữ liệu cùng một thời điểm tới một số lượng người nhận. Nếu chỉ những người nhận được phép xem nội dung, vậy thì cần được bảo mật thông tin, nhưng làm cách nào khóa bảo mật được phân phối tới rất nhiều người nhận? hơn thế nữa, một khóa (key) cho dữ liệu bảo mật sẽ được thay đổi một cách định kỳ, trong khi đó các nhà nghiên cứu mật mã rất lo lắng trong việc bảo mật nhiều dữ liệu với cùng một khóa. Điều gì xảy ra khi các thành viên của nhóm thay đổi? Hỗ trợ như thế nào khi các thành viên của nhóm trả khoản phí khi người nhận nội dung phải thanh toán (chẳng hạn: TV channels). Khi một thành viên rời khỏi nhóm không làm ảnh hưởng tới các thành viên trong nhóm. Sự cần thiết và mong muốn khi thành viên mới tham gia nhóm, nhóm đó sẽ có sự thay đổi khóa. Vấn đề là trong một khoảng thời gian rất ngắn khi thành viên mới tham gia nhóm làm thế nào để khám phá ra khóa và giải mã nội dung đó? Mặt khác, để đưa ra sự an toàn truyền thông bao gồm tính toàn vẹn và xác thực dữ liệu với lược đồ khóa bí mật, một người nào đó có khóa bí mật phải hiểu và kiểm tra được tính đúng đắn, toàn vẹn của dữ liệu. Với môi trường truyền thông có tính bắt tay 2 chiều thì không có vấn đề gì. Nếu Alice gửi một thông điệp tới Bob, tính toàn vẹn là kiểm tra phần dữ liệu ngoài khóa và chỉ có 2 người cùng chia sẻ. Nếu việc kiểm tra xác nhận đúng, Bob sẽ hiểu được thông điệp của Alice. Tuy nhiên, nếu cùng một lược đồ khóa được sử dụng cho nhóm truyền thông Alice gửi thông điệp cho hàng nghìn người nhận, mỗi người nhận được sẽ hiểu cùng một hệ mật mà Alice sử dụng theo đúng cơ chế sinh để kiểm tra tính toàn vẹn. Ý ở đây muốn nói rằng nội dung dữ liệu có thể đến với thành viên bất kỳ trong nhóm và cho phép tất cả thành viên trong nhóm đọc dữ liệu, nhưng nếu bạn muốn bảo mật và chỉ cho một số thành viên có thể đọc được dữ liệu thì vấn đề quản lý khóa nhóm như thế nào? Chẳng hạn thay đổi hệ mật mã khóa công khai, nhưng nó sẽ rất chậm do việc sinh và kiểm tra chữ ký số trên rất nhiều các gói tin. Vì vậy, các nhà thiết kế bảo mật thông tin trong truyền Multicast đã phát minh ra lược đồ cho phép xác thực bằng hệ mật mã khóa công khai không ảnh hưởng tới tốc độ thực hiện. Các vấn đề về quản lý khóa nhóm trong an toàn dữ liệu truyền Multicast sẽ được làm sáng rõ trong đề tài nghiên cứu này. 9 Chƣơng 1: MỞ ĐẦU 1.1. Về an toàn dữ liệu trong truyền Multicast Ngày nay, có rất nhiều các dạng ứng dụng phân phối, các phần mềm phân phối, luồng kết xuất từ kho dữ liệu, Web Caching, các ứng dụng Multimedia là các ví dụ điển hình yêu cầu truyền thông theo hướng one-to-many hoặc many-to-many. Multicast trở nên rất có hiệu quả cho các hình thức truyền thông theo nhóm, cho phép người gửi truyền các bản dữ liệu sao chép thông qua các thành phần của mạng như routers, switches nhằm sao chép các dữ liệu cần thiết cho người nhận. Multicast giảm số lần gửi dữ liệu của người gửi và tạo ra một số lượng các bản dữ liệu sao chép lan truyền trên mạng. Thật không may, khi một số lượng lớn các nghiên cứu và phát triển các giao thức Multicast trong thập kỷ qua, các nghiên cứu phát triển các ứng dụng Multicast rất chậm. Trên thực tế thiếu vắng các dịch vụ Multicast hỗ trợ cho quản lý truyền thông mạng, quản lý tính cước, độ tin cậy và vấn đề an toàn dữ liệu. Chúng ta nhận thấy rằng sự an toàn Multicast là một trong những vấn đề hết sức quan trọng để giải quyết thành công cho sự phát triển các ứng dụng truyền thông theo nhóm. Chẳng hạn, các nhà đầu tư muốn lấy dữ liệu từ các kho dữ liệu thông qua luồng truyền dữ liệu theo dạng Multicast đã được xác thực đúng kết quả muốn tìm kiếm. Tương tự, các nhà cung cấp dữ liệu muốn giới hạn nội dung cần phân phối cho các thuê bao (người sẽ trả cho nhà cung cấp một khoản phí nào đó). Cuối cùng sự mong đợi đó là an toàn dữ liệu, độ tin cậy là một yêu cầu bức thiết của các ứng dụng truyền thông dạng conferencing, truyền thông qua internet… Nhìn chung các ứng dụng phổ biến của Multicast đòi hỏi tính toàn vẹn, điều khiển luồng truy cập và các vấn đề mang tính riêng tư. IP Multicast được xem là rất tốt trong mô hình hệ thống mở. Người nhận có thể kết hợp với người gửi để truyền dữ liệu tới nhóm Multicast không chịu ảnh hưởng của các thực thể trung tâm. Tuy nhiên, cùng một mô hình hệ thống mở cũng có sự khác biệt hỗ trợ điều khiển truy nhập Multicast. Để đảm bảo tính riêng tư, nhóm các thành phần cần có khóa chung, khóa này có thể yêu cầu sự tương tác với thực thể trung tâm. Mặc dù yêu cầu khó khăn trước mắt đặt ra cho chúng ta là đảm bảo an toàn trong truyền thông Multicast không mất mát thông tin. Có ba mục đích được đưa ra xem xét trong cung cấp dịch vụ an toàn Multicast . 10 Người gửi cần bảo mật và xác thực dữ liệu truyền Multicast . Để bảo mật, nhóm thành viên yêu cầu 1 khóa chung được trao đổi giữa chúng. Hơn thế nữa điều khiển truy nhập có hiệu lực bằng cách phân phối khóa chung tới các thành viên trong nhóm, không thay đổi mô hình IP Multicast. Khi thành viên của nhóm thay đổi, khóa chung được tạo lại và phân phối tới tập các thành viên mới thiết lập trong nhóm. Lược đồ tạo lại khóa và phân phối khóa trong nhóm là một phần quan trọng trong giải pháp an toàn truyền dữ liệu Multicast . Bước tiếp theo các thành viên phải kiểm tra các dữ liệu nhận về đúng với dữ liệu của người gửi. Bởi vậy việc xác thực và bảo mật dữ liệu là một phần cấu thành nên các vấn đề cần nghiên cứu. Thêm vào đó, sự khác nhau giữa các ứng dụng Multicast many- to -many và one – to –many dạng phân phối offline dữ liệu cần phải có sự kiểm tra các yêu cầu hệ thống cuối, các vấn đề truyền thông và bảo mật hệ thống. Nhóm các chính sách cho phép quyền trong nhóm hoặc cung cấp nội dung để nêu rõ yêu cầu mong đợi các hành vi của nhóm thay đổi trong môi trường thực hiện. Thêm vào đó để bảo vệ nội dung, chúng ta phải xác định rõ việc bảo vệ hạ tầng Multicast cũng như các yêu cầu quan trong khác, xem xét thực tế việc từ chối dịch vụ (denial of service- DoS) gắn kèm với mô hình dịch vụ phân phối của Multicast. Đặc biệt xem xét đến các giao thức định tuyến, các giao thức Multicast tin cậy (Reliable Multicast protocols) và giao thức quản lý nhóm Internet (Internet group management protocol-IGMP) cần thiết để bảo vệ tính toàn vẹn của các thông điệp điều khiển để đảm bảo thao tác đúng. Không bảo vệ toàn vẹn, không xác thực dữ liệu khi đến các thành viên tạo ra 1 dòng chảy dữ liệu không kiểm soát hoặc làm tắc nghẽn mạng, kết quả từ chối dịch vụ đến với các thành viên. Vì vậy cần xác thực thông điệp điều khiển địa chỉ, cũng như việc xác thực của các thiết bị router hoặc các host. 1.2. Sự cần thiết Multicast an toàn Truyền Multicast là một giải pháp hiệu quả cho truyền thông theo nhóm trên Internet, thay thế việc gửi dữ liệu từng bản copy tới từng người nhận nhiều lần bằng một lần gửi. Các thiết bị routers trong mạng sẽ tạo ra bản copies và chuyển tiếp các gói tin tương ứng đến người nhận. Truyền Multicast mang nhiều tiện ích: tận dụng băng thông, sử dụng không gian lưu trữ hiệu quả và giảm load dữ liệu từ người gửi, như vậy sẽ rất thuận lợi cho việc chuyển các thông điệp qua các routers. 11 IP Multicast được thiết kế mức tổng quát, người nhận không trực tiếp liên hệ với người gửi để diễn đạt các ý của họ về nội dung dữ liệu gửi đến người nhận. Thay vào đó, người nhận gửi một thông điệp dạng Multicast đến router đầu tiên theo bước nhảy định tuyến trước, router này quan tâm đến các đến các dữ liệu của người nhận để chuyển đến nhóm Multicast cụ thể. Đặc biệt khi người nhận sử dụng giao thức quản lý nhóm Internet (Internet Group Management Protocol) [9] để nhận dữ liệu từ nhóm đưa tới. Multicast chuyển tiếp cây bao gồm cả chính nó sử dụng giao thức định tuyến giống như giao thức không phụ thuộc vào Multicast (PIM [15]). Trong khi khía cạnh tiên tiến của truyền Multicast được làm sáng rõ, có một vài cản trở cho sự phát triển trên phạm vi rộng [17]. Các ứng dụng phổ biến trên internet dựa trên kiểu truyền unicast (từ một máy chuyển dữ liệu đến 1 máy đích) và phụ thuộc vào độ tin cậy và bảo mật đường truyền. Hầu hết các ứng dụng sử dụng giao thức (hypertext transfer protocol (HTTP), file transfer protocol (FTP) hoặc telnet) chạy thông qua giao thức TCP cho sự tin cậy và phần lớn các ứng dụng thương mại điện tử chạy thông qua giao thức (secure socket layer -SSL). Việc truyền theo theo phương thức unicast được đảm bảo trong suốt cuộc truyền và chúng ta thấy các thông tin được hiển thị trước khi phải nhập username, password, số thể tín dụng và các thông tin nhạy cảm khác. Người sử dụng cuối và các nhà cung cấp dịch vụ ứng dụng mong đợi độ tin cậy và bảo mật dữ liệu trong quá trình truyền Multicast . Tuy nhiên, không phải tất cả các ứng dụng truyền theo dạng unicast hoặc Multicast cần độ tin cậy hoặc an toàn dữ liệu. Truyền thông IP Multicast cần được bảo mật nếu có yêu cầu. Các nhà cung cấp nội dung có thể nạp dữ liệu lên đường truyền internet theo phương thức unicast để tăng tốc độ truyền. Chẳng hạn, các dạng dữ liệu download, thư viện số dùng chung, các tạp chí trực tuyến… Tuy nhiên, không thể áp dụng đồng loạt cho trường hợp truyền Multicast. Lý do chính ở đây là không thể ẩn mô hình người nhận của IP Multicast. Một người nhận có thể yêu cầu dữ liệu nhận về và người gửi không thể điều khiển thông qua các thành viên quen thuộc của nhóm. Một cách đơn giản hơn, một người bất kỳ có thể gửi dữ liệu tới nhóm Multicast. Một người nào đó mong đợi điều khiển truy nhập có hiệu lực ở tầng cao hơn, điển hình là tầng ứng dụng. Sự xem xét biến đổi điều khiển truy nhập có hiện lực nếu sử dụng IGMP (Internet Group Mamagment Protocol). Một router biên có thể kiểm tra nếu host đó là một thành viên, trước khi chuyển yêu cầu truyền dữ liệu Multicast . Nhưng khi dữ liệu đi theo vào luồng chia sẻ chung trong mạng LAN, hầu hết các host trong mạng LAN có được quyền truy 12 cập dữ liệu nếu chúng là thành viên, nếu tất cả các thành viên thanh toán dịch vụ hay chỉ có một thành viên thanh toán? Vì vậy việc bảo mật dữ liệu Multicast và phân phối các khóa mật tới các thành viên là chỉ ra cách để đảm bảo quyền truy cập dữ liệu. Nói cách khác an toàn Multicast cho phép cung cấp nội dung để đảm bảo điều khiển truy cập dữ liệu có hiệu lực mặc dù dữ liệu được truyền dạng Multicast . Điều khiển truy cập chỉ là nhân tố thúc đẩy cho đảm bảo an toàn truyền thông Multicast . Các ứng dụng nhìn chung phải được đảm bảo tính riêng tư, tính xác thực và toàn vẹn dữ liệu, không từ chối dữ liệu truyền Multicast . Hơn thế nữa, các yêu cầu có thể khác nhau về mức độ quan trọng với mỗi ứng dụng: chẳng hạn, một số ứng dụng có thể cần thông điệp xác thực nguồn (các kho dữ liệu), một số khác lại cần tính riêng tư và tính xác thực đi kèm. Hay nói cách khác cần được bảo mật dữ liệu theo các cấp độ khác nhau để đảm bảo an toàn trong truyền Multicast . Các khối dữ liệu phân phối theo luồng Multicast đem lại lợi ích rất to lớn cho các nhà cung cấp dịch vụ internet (ISPs). Một yêu cầu gửi bất kỳ có thể bắt đầu gửi dữ liệu tới nhóm Multicast, đơn giản host lôi cuốn dữ liệu vào luồng truyền thông Multicast kể cả các luồng không cần thiết truyền tới, cho dù lãng phí tài nguyên mạng và không gian bộ đệm lưu trữ trên routers và băng thông trên đường truyền. Điều này liên quan đến địa chỉ hóa phải rất tốt. Giao thức định tuyến Multicast (Multicast routing protocols) và giao thức Multicast tin cậy (Reliable Multicast protocols) rất cần thiết cho sự bảo vệ tính toàn vẹn cho các thông điệp điều khiển để chống lại kẻ tấn công có thể làm thay đổi, xóa hoặc từ chối các thông điệp điều khiển, như vậy sẽ là nguyên nhân từ chối dịch vụ. Như vậy, có thể xem an toàn Multicast là việc cải tiến hiệu quả điều khiển truy nhập theo nhóm, độ tin cậy và tính xác thực cho truyền dữ liệu và bảo vệ chống sự tấn công trên mạng. Loại trừ nhóm truy nhập, các yêu cầu này phải gắn liền với việc địa chỉ hóa cho truyền thông dạng unicast. Thật không may mắn các giải pháp thiết kế cho kiểu truyền thông one – to one không thể được sử dụng trực tiếp cho truyền thông theo nhóm. Cụ thể: việc đàn phán các chính sách bảo mật cho rất nhiều thành phần có thể không được thống nhất và được phân phối các khóa nhóm, các giao thức thỏa thuận không được phân chia tới các nhóm lớn. Lưu ý rằng việc bảo mật không phải dịch vụ nào cũng phải sử dụng các mức bảo mật giống nhau. Các mức bảo vệ khác nhau phụ thuộc vào ứng dụng và không thể có 1 giải pháp duy nhất trên mạng có thể áp dụng cho các ứng dụng Multicast. Số lượng người gửi trong nhóm thực sự rất quan trọng cho việc thiết kế chính sách bảo mật khi truyền thông theo nhóm. Trong rất nhiều ứng dụng chỉ có 1 người 13 gửi. Source-specific Multicast (SSM) là một định tuyến cụ thể được thiết kế để hỗ trợ cho one-sender Multicast. Ví dụ: ứng dụng một người gửi việc thanh toán trên 1 lần view trong truyền Multicast là kho dữ liệu luu trữ được phân phối trên Internet theo luồng Multicast, đồng bộ với các cache (bộ lưu trữ tạm thời) của web. Truyền Multicast mang tính thương mại, sẽ tham chiếu đến chuẩn (Internet Standard Multicast - ISM) hoặc người gửi bất kỳ (any sender Multicast-ASM), hỗ trợ truyền thông nhiều người gửi. Tiêu biểu cho việc truyền thông nhiều người gửi có thể đưa ra một số vấn đề mới khi cung cấp dịch vụ Multicast an toàn như sau: mọi người gửi khác nhau yêu cầu các chính sách khác nhau, điều này có thể xảy ra xung đột; một vấn đề khác nữa các máy tính có thể được thiết kế bảo vệ bởi các phần cứng trong trường hợp nhiều người gửi. Tuy nhiên chúng ta giới hạn phạm vi nghiên cứu với 1 người gửi Multicast. Hơn thế nữa, các ứng dụng phổ biến như: multimedia conferencing bao gồm nhiều người gửi có thể cần đến các chính sách riêng hoặc thêm các thông điệp toàn vẹn cho một số phiên làm việc. Khi các ứng dụng dạng này chỉ có thể áp dụng cho một vài người gửi, một trong số họ phải sử dụng một vài phiên khởi tạo chế độ an toàn theo phương án one – to – Multicast. 1.3 Xử lý dữ liệu Multicast an toàn Nhóm nghiên cứu IRTF SMuG Research Group và IETF MSEC đã đưa ra ba vấn đề khoanh vùng trong việc cung cấp truyền thông nhóm an toàn: kết nối dữ liệu Multicast an toàn; mức độ quan trọng của quản lý khóa và các chính sách Multicast an toàn. 1.3.1 Kết nối dữ liệu Multicast an toàn Trong phần này, chúng ta đánh địa chỉ cho việc truyền dữ liệu Multicast an toàn. Để chính xác hơn, chúng ta đưa ra việc truyền dữ liệu các dữ liệu Multicast được giữ bí mật và được bảo vệ tính toàn vẹn. Với dữ liệu mật người gửi cần mã hóa dữ liệu với khóa mật và khóa mật này sẽ được các thành viên của nhóm hiểu được: giả sử rằng host nào đó xác thực được và nhận dữ liệu Multicast. Theo các cấp độ phân phối và việc tạo lại khóa của khóa nhóm là một vấn đề phức tạp và được thiết kế thông qua việc phân vùng cho chính nhóm đó. Việc vận chuyển an toàn các dữ liệu đã đóng gói (IPsec encapsulating security payload (ESP)[31] ) trong chế độ bảo mật là các ứng dụng truyền thông Multicast riêng lẻ. Trong phần này chúng ta đánh địa chỉ cho vấn đề truyền bảo mật dữ liệu Multicast an toàn. Một 14 cách chính xác hơn, chúng ta thảo luận truyền dữ liệu sao cho bảo mật dữ liệu Multicast và bảo vệ tính toàn vẹn. Để bảo mật dữ liệu, người gửi cần mã hóa dữ liệu với một khóa mật, khóa mật này chỉ có thành viên của nhóm hiểu được, điều đó chứng tỏ các hosts phải xác thực được các dữ liệu nhận được. Mức độ phân phối và thay khóa của khóa nhóm là một vấn đề phức tạp và được thiết kế trong phạm vi của chính nó. Tải cho việc truyền gói dữ liệu IPSec được đóng gói và truyền dữ liệu cho các ứng dụng truyền thông mạng riêng là rất tốt (IPsec encapsulating security payload (ESP)[31] ). Chỉ thông báo trước cho các máy được bảo vệ nạp lại các gói tin dạng ESP và làm việc theo kiểu một người gửi và nhiều người nhận. ESP hỗ trợ mã xác thực thông điệp dựa trên địa chỉ MAC đảm bảo cho tính toàn vẹn trong truyền thông đơn hướng. Trong hai cách truyền thông, xác thực dựa trên địa chỉ vật lý (MAC) là đầy đủ cho người nhận để xác định gói tin của người gửi, không phù hợp khi truyền thông với nhiều thành phần. Xem xét trong trường hợp truyền thông 2 điểm, Alice và Bob, mỗi người lưu giữ một khóa mật cho việc xác thực thông điệp. Alice sử dụng khóa để tính toán mã xác thực thông điệp (có thể định hướng dựa trên hàm MAC, chuỗi khối mật mã (cipher block chaining (CBC), các hàm MAC dựa trên cơ sở hàm băm (MAC - hash-based MAC (HMAC) [37]) ) và gửi thông điệp cùng với hàm MAC đến người nhận. Bob lặp lại thủ tục tính toán hàm MAC và so sánh với hàm MAC nhận được. Nếu hàm MAC được xác định, Bob hiểu các thông điệp không bị thay đổi trên đường truyền. Khi Bob biết thông điệp chưa được gửi, Alice phải gửi lại nó, khóa xác thực chưa được dàn xếp ổn thỏa. Chúng ta cần sử dụng hàm MAC cho việc truyền thông nhóm có xác thực theo cách đơn giản ở trên, nhưng giảm mức độ bảo vệ tính toàn vẹn. Khi xem xét trong một nhóm bao gồm Alice, Bob và Cindy lưu giữ khóa xác thực. Alice sử dụng hàm MAC để xác thực thông điệp gửi tới Bob và Cindy, tuy nhiên không thể hiểu được nếu thông điệp được gửi hoặc hoặc bị thay đổi bởi Alice hoặc Cindy hoặc Bob. Nhìn chung các thành viên của một nhóm chỉ có thể kiểm tra việc không phải thành viên của nhóm vì một người bất kỳ không thể có khóa xác thực và không thể thay đổi nội dung giữ liệu theo đường truyền. Xác thực nhóm là thuộc tính chỉ đảm bảo rằng các thông điệp được gửi và được thay đổi cuối cùng bởi thành viên nào của nhóm. Khi một hàm MAC được sử dụng cho xác thực nhóm sẽ không tốn kém cho việc xác thực luồng dữ liệu theo thời gian thực. Để xác thực theo nhóm, người gửi cần thiết lập một khóa chung với các thành viên của nhóm. Vấn đề phân phối khóa được đánh địa chỉ trong các phân đoạn kế tiếp và IPsec ESP có thể được sử dụng để 15 mang theo dữ liệu truyền Multicast được xác thực theo nhóm. Trong hầu hết các ứng dụng, người nhận phải được thiết lập tới nguồn dữ liệu tại đoạn cuối cùng với người nhận. Theo cách hiểu khác chúng ta cần xác thực nguồn dữ liệu. Một phiên bản đúng đắn nhất bao gồm các thuộc tính theo mô tả trên và cho phép người nhận dữ liệu thuộc thành phần thứ 3 cung cấp. Tuy nhiên, xác thực nguồn dữ liệu dữ liệu Multicast là một vấn đề khó. Giải pháp đơn giản là chữ ký số cho các gói tin, nhưng nếu mỗi gói tin kèm theo chữ ký sẽ làm cho giá cả truyền thông dữ liệu cao lên, đưa ra sự dư thừa của các gói tin truyền thông làm tràn các bộ nhớ đệm. Một vài giải pháp đã được đưa ra nhằm giảm giá thành các chữ ký số trên số lượng gói tin được ký. 1.3.2 Quản lý khóa Điều khiển truy nhập nhóm, tính riêng tư và xác thực nhóm dữ liệu Multicast, yêu cầu đưa ra khóa chung và được phân phối tới các thành viên hiện thời của nhóm an toàn. Chúng ta sẽ sử dụng một thực thể logic được gọi là điều khiển nhóm và server khóa (group controller and key server -GCKS) cung cấp các dịch vụ điều khiển truy nhập và phân phối khóa. GCKS đại diện cho cả hai thực thể và chức năng có quan hệ với nhau để đảm bảo và quản lý các khóa mật mã cho nhóm Multicast, đồng thời kiểm soát xác thực các User và kiểm tra tính xác thực của các ứng cử viên trong nhóm Multicast. Bảo đảm Unicast thông qua giao thức trao đổi khóa IKE [9] kết quả tạo ra khóa cụ thể mỗi khi khởi tạo và không thể sử dụng trực tiếp cho truyền thông theo nhóm. Thay thế vào đó có một thực thể trung tâm như GCKS cần thiết để download các khóa nhóm cụ thể cho mỗi thành viên theo các kênh mà thành viên đăng ký. Mỗi thành viên liên hệ vói GCKS để đăng ký và tham gia nhóm. Sau khi xác thực GCKS kiểm tra lại các thành viên tham gia, thiết lập kênh truyền an toàn và download các khóa nhóm kèm các chính sách cho thành viên. Việc đăng ký trao đổi khóa theo hướng one – to – one giữa GCKS hoặc một đại diện xác thực và mỗi thành viên. Các trao đổi an toàn one – to – one được yêu cầu tương tự cách bảo vệ trong IKE or SSL, đóng vai trò bảo vệ trung gian trong việc lặp lại hoặc từ chối đính kèm dịch vụ, tạo kết nối và hướng tới phân chia đăng ký khởi tạo các nhóm rộng lớn. Khi đăng ký trao đổi khóa one – to – one điểm thuê dịch vụ liên hệ với tất cả các thành viên là không khả thi. Có một vài cách giải quyết tiến trình: Cách thứ nhất, các chức năng đăng ký GCKS có thể được phân phối thông qua một số thực thể. 16 Cách thứ hai: các thành viên có thể đăng ký tại điểm chung của họ, tuy nhiên cần tránh nhiều thành viên đăng ký tại một thời điểm. Trong tiến trình này đơn giản là cấp thẻ cho các sự kiện thực hiện tiến trình và cho phép thực hiện với các thẻ trong trạng thái Master tại lối ra và được xác thực hành trình các agents. Thay khóa nhóm khi các khóa mật có trong thời gian sống, GCKS phải tạo lại khóa nhóm trước thời gian cho phép. Nếu không phải tất cả các thành viên có thể gửi yêu cầu tới GCKS cho việc cấp khóa mới, kết quả là khóa được thay không được cập nhật cho nhóm thành viên. Phần sau xem xét vấn đề hiệu lực điều khiển truy nhập trong nhóm động, tức là nhóm có sự thay đổi các thành viên một cách liên tục. GCKS có thể cần được thay khóa trong nhóm và phân phối khóa mới tới tất cả các thành viên của nhóm mỗi lần thay đổi thành viên trong nhóm. Chuyển tiếp và nhận lại các điều khiển truy nhập. Xem xét phân phối khóa nhóm tới nhóm động và trong phạm vi rộng lớn. Trong hầu hết các ứng dụng một vài thành viên tham gia vào nhóm và rời khỏi nhóm trong một thời điểm nào đó trong phân đoạn tham gia. Một số thành viên được cho phép tham gia trong một công đoạn nhất định, trong tình huống như vậy một host có thể gửi bản tin dữ liệu Multicast trước khi nó tham gia nhóm . GCKS cần thay đổi khóa và phân phối khóa mới tới tất cả các thành viên. Khi host tham gia vào nhóm cần được giải mã dữ liệu đã được gửi trước đó trước khi trở thành thành viên chính thức. Tương tự khi thành viên rời khỏi nhóm, GCKS cần thay đổi khóa, như vậy sẽ không cho phép thành viên này được phép giải mã thông tin trong tương lai khi tham gia truyền thông. Tóm lại, để đảm bảo chỉ có thể xác thực được các thành viên và cho phép các thành viên giải mã dữ liệu cần chuyển tiếp và nhận lại các thông tin điều khiển truy nhập, các thông điệp thay đổi khóa có thể được truyền đi theo luồng Unicast hoặc Multicast đảm bảo tính hiệu lực phân phối cho tất cả các thành viên. Cách đơn giản là đăng ký các thông điệp, khóa mới tạo ra phải được bảo vệ gắn kèm với với việc tham gia lại cuộc chơi và phải được đăng ký bởi GCKS cho việc xác thực. Trên thực tế các thành viên của nhóm có thể thay đổi động, kích cỡ động của các nhóm có một ý nghĩa thực tế rất quan trọng cho việc chuyển tiếp các điều khiển truy nhập. Cần xem xét một cách tiếp cận để quản lý khóa nhóm. Người gửi hoặc GCKS chia sẻ khóa mật với các thành viên. Khi một thành viên rời khỏi nhóm, người quản lý phải gửi khóa mật mới tới các thành viên của nhóm. Đồng thời phải tính đến việc gia nhập nhóm làm tăng các kích thước bộ nhớ đệm, làm cho lược đồ quản lý khóa rộng hơn, nó có thế làm cho không có hiệu lực với một nhóm rộng lớn. Kết hợp bảo mật nhóm cho an toàn unicast, hai điểm truyền thông dàn xếp các 17 biến bảo mật để thiết lập để gắn kết bảo mật Internet và giao thức quản lý khóa ((ISAKMP) SA), điều đó bảo vệ sự dàn xếp IPsec SA cho truyền dữ liệu bảo mật [11]. Theo một mô hình đơn giản, sự kết hợp an toàn nhóm (GSA) [21] được tiêu chuẩn hóa theo tổ chức IETF và có sự tham gia của thành phần thứ 3. Đầu tiên đăng ký SA để bảo vệ download khóa trong khi đăng ký giao thức. Khóa download chứa khóa đã được làm lại và một SA an toàn dữ liệu. Khóa SA được thay mới tại thời điểm hiện tại hoặc một SA an toàn dữ liệu. Chính SA an toàn dữ liệu bảo vệ cho việc truyền dữ liệu Multicast . Ví dụ: một SA an toàn dữ bao gồm IPsec ESP, MESP và AMESP. Kiến trúc phân phối khóa nhóm, các giao thức và các giải thuật, chúng ta thấy phân lớp các phần tử phân phối khóa nhóm trong kiến trúc, giao thức, giải thuật cho quản lý khóa nhóm, kiến trúc phân phối khóa nhóm được chi tiết trong [43] và kiến trúc khóa Internet cho Multicast (IKAM) chi tiết trong [57], đã sử dụng nhóm con phân cấp tạo hiệu quả trong quản lý nhóm. Chúng chia các thành viên của nhóm thành các nhóm con, lựa chọn các thành viên hoặc phân đoạn các agents giống như quản lý các nhóm con (subgroup managers) và quản lý khóa nhóm đại diện nhận nhiệm vụ từ SGMs. Trong chủ đề này sẽ làm sáng rõ hơn ở chương sau Khái niệm các giao thức được sử dụng để miêu tả tập các thủ tục, thay đổi thông điệp và nạp lại các thông điệp thông qua hành vi của các thực thể bao gồm cả sự hỗ trợ nhóm an toàn (các servers) và sự tham gia của chúng trong nhóm (các hosts). Vùng nhóm phiên dịch (Group domain of interpretation (GDOI) [15]) và giao thức quản lý khóa gắn kêt an toàn nhóm (group security association key management protocol (GSAKMP) [26]) là những giải pháp trải ra trong danh mục phần này Các kiến trúc và các giao thức là hữu ích giải quyết vấn đề quản lý khóa nhóm. Ví dụ: Iolus hoặc IKAM có thể sử dụng GDOI cho việc đăng ký và thay khóa bên trong nhóm con. Tương tự GSAKMP cho phép một số thành viên tiếp nhận sự quản lý của các nhóm con theo từng mức đã phân chia. Cả hai vấn đề kiến trúc và giao thức có hữu ích cho giải thuật quản lý khóa nhóm, được đưa ra trong phần sau. Tạo hiệu quả cho việc thay khóa nhóm. Đặc thù của các giải thuật quản lý khóa nhóm sử dụng nhóm con cho việc thay khóa và phân phối khóa hiệu quả (trái ngược vấn đề này là dễ dàng miêu tả kiến 18 trúc quản lý khóa nhóm). Mỗi một nhóm con logic được gắn với một khóa mã hóa (KEK) được sử dụng để bảo mật các khóa KEKs khác nhau hoặc khóa nhóm. Chúng ta định nghĩa 2 lớp giao thức quản lý khóa nhóm dựa trên sự phụ thuộc lẫn nhau của các thông điệp khóa. Đầu tiên, dựa trên phân cấp khóa logic hoặc cây khóa [54], mỗi thành viên lưu tập con của KEKs và GCKS thay đổi các khóa KEKs này và khóa nhóm khi thành viên mới tham gia hoặc rời khỏi nhóm. Hầu hết KEK phải được mã hóa với rất nhiều các khóa theo các mức của cây khóa. Mặc dù thay khóa sử dụng kiến trúc phân cấp khóa logic yêu cầu độ phức tạo tính toán mức logarithmic các thông điệp trao đổi và một vài cách tính toán khóa tại GCKS. Trong lớp giải thuật thứ 2, GCKS phân chia quyền xác thực các thành viên bên trong tập con logic được định nghia trước và gửi các khóa đã được mã hóa với khóa của tập con. Đối tượng quan tâm này là trung tâm quản lý khóa nhóm được mô tả kỹ hơn trong phần sau. Vận chuyển tin cậy thông điệp thay khóa. Thông điệp thay khóa là một đặc thù gửi theo luồng Multicast sao cho hiệu quả. Đó là trách nhiệm của GCKS để đảm bảo rằng các thành viên có được sự bảo mật dữ liệu hiện thời và thay khóa SA. Mặt khác các thành viên được xác thực có thể bị từ chối giải mã thông điệp truyền thông nhóm. Vì vậy GCKS phải sử dụng cơ chế tự động truyền vận thông điệp tin cậy để gửi thông điệp thay khóa. Multicast tin cậy là một vấn đề khó, nhưng có một vài giải pháp chứng minh bằng tài liệu lý thuyết. Chúng ta sẽ thảo luận truyền vận thông điệp thay khóa tin cậy trong phần này. Thông điệp thay khóa là một đặc thù ngắn (áp dụng cho các hội viên thay đổi trong nhóm lớn hoặc trong nhóm nhỏ nói chung), tạo ra nó dễ dàng để thiết kế một giao thức phân phối tin cậy. Cách kết nối khác yêu cầu thêm tính an toàn bằng cách thêm độ dài để giải quyêt bài toán. Có một vài trường hợp thành viên thay đổi được xử lý theo đợt, làm gia tăng kích thước của chúng. Cuối cùng trong số tất cả các khóa được gửi đi thông điệp thay khóa, một nửa số thành viên chỉ cần một KEK đơn lẻ. Chúng ta cần đưa ra khía cạnh tiên tiến của các thuộc tính trong thiết kế các thông điệp thay khóa và một giao thức đảm bảo độ tin cậy. Có 3 danh mục giải pháp được đề xuất: + Bởi vì rất nhiều trường hợp thông điệp thay khóa là rất nhỏ (cố định trong 1 hoặc 2 gói tin IP), GCKS có thể lặp truyền lại thông điệp thay khóa. + GCKS có thể sử dụng giao thức Multicast tin cậy hoặc một hạ tầng để đảm bảo. 19 + Chúng ta có thể sử dụng forward việc sửa lỗi vào trong gói tin thay khóa mã hoá, sử dụng cơ chế feedback bác bỏ sự nhận acknowledgements hoặc (NACKs) từ các thành viên để xây dựng vòng tiếp theo của thông điệp thay khóa [57]. Tuy nhiên lưu ý rằng vấn đề truyền tin cậy dựa trên feedback có thể nhận được nạp 2 lần thông điệp feedback tại GCKS. Yêu cầu của các ứng dụng Yêu cầu của các ứng dụng ảnh hưởng rất lớn đến lựa chọn thiết kế giải pháp cho phân phối khóa nhóm. Trong một vài trường hợp chẳng hạn phải trả cho việc xem dữ liệu (pay-per-view (PPV)), tất cả các thông tin SA cần được nạp vào phiên được phân phối tại thời điểm đăng ký hoặc khởi tạo phiên làm việc. Như vậy không được thay khóa khi hội viên thay đổi. Thay khóa SA có thể không cần thiết cho lược đồ quản lý khóa, điều này đáp ứng trong truyền thông điểm- điểm (nhóm là rất nhỏ). Sự ràng buộc chặt chẽ của điều khiển truy nhập forward và backward có thể không cần thiết trong một số ứng dụng. Chính xác hơn, sự thay đổi hội viên có thể được xử lý theo ưu tiên hoặc theo đợt [48], xảy ra vấn đề là nếu hội viên thay đổi chuyên gì xảy ra tại các thời điểm khác nhau. Vì vậy giải pháp quản lý khóa nhóm phải tham chiếu lựa chọn mức cấu hình cho an toàn bảo mật thông tin. 1.3.3 Các chính sách an toàn Multicast: Chính sách an toàn Multicast cung cấp các luật để thực hiện 2 phạm vi vấn đề: quản lý khóa và kết nối dữ liệu Multicast. Chúng ta xem xét hai kiểu khác nhau của nhóm, định danh và tương tác các nhóm và các nhóm lớn hơn với một hoặc một vài người gửi. Nhóm chỉ có 1 người gửi, người gửi là người sở hữu nội dung hoặc nó được đại diện để gửi. Quyền sở hữu nội dung xác định ai là người có thể nhận dữ liệu và số lượng tin cần được bảo vệ và thiết kế GCKS. GCKS cho phép cả 2 hình thức phân phối và các chính sách ép buộc. Thỉnh thoảng các nhóm tương tác với nhau có thể điều tiết, việc điều tiết có thể được xem xét quyền của nhóm. Chính sách cho nhóm nhỏ có thể xem xét sự dàn xếp trong [16], như sự dàn xếp này không thể áp dụng cho các nhóm lớn. Sự thay đổi quyền nhóm có thể phân phối và các chính sách ép buộc. Quyền nội dung xác định mức độ chính sách cho chúng và phải được dịch thành các luật một cách chính xác vì rằng các chính sách có thể có hiệu lực với cơ chế tự động an toàn sẵn có. Ngôn ngữ đề xuất chính sách chẳng hạn theo Ismene [41], mẫu đàm phán ngữ cảnh bảo mật (cyptographic context negotiation 20 template (CCNT) [16]) và thẻ bài quy định chính sách an toàn nhóm (group security policy token (GSPT) [26]) được đề xuất rõ ràng chính sách nhóm. Các thành phần của chính sách nhóm an toàn Các nhóm có một vài chính sách nhóm đối với mô hình truyền thông peer – to – peer. Trong nhóm, các thực thể khác nhau về luật,,các khả năng và các chính sách xác thực định nghĩa các thành viên, người gửi và GCKS và các thành phần đại diện cho xác thực chúng (chẳng hạn đặc quyền của GCKS và các máy chủ chuyên thay khóa). Danh sách điều khiển truy nhập (Access control lists ACL) và các chứng chỉ số là một trong các ví dụ tự động cho quyền điều khiển truy nhập. Chính sách mệnh lệnh, cụ thể là các giải thuật xác thực mã hoá được sử dụng thể thay khóa là rất tốt cho truyền thông dữ liệu an toàn. Hơn thế nữa, quyền sở hữu nội dung chỉ ra nếu GCKS cần phải thực hiện thay khóa khi có thành viên thay đổi, hoặc xử lý theo sự ưu tiên. Chính sách nhóm sẽ bao gồm cả hành vi của các thành viên khi một thành viên không có trong GSA tính đến thời điểm sau nhất. Yêu cầu của các ứng dụng, giá trị của nội dung và một vài thời điểm tự động hỗ trợ bởi người gửi và GCKS, tất cả nhóm trở nên có hiệu quả. Chúng ta kết thúc phần này với một lưu ý phân phối chính sách trong các nhóm. Cách gọi khác đó là thương thuyết chính sách không hội tụ trong các nhóm lớn. Tuy nhiên chính sách phân phối mang đến một vấn đề khá thú vị. Khi không có sự thương thuyết, các thành viên có thể hiểu nếu chúng có thể bị tham gia trước khi đăng nhập (trả tiền để lấy quyền truy nhập) để nhận được dữ liệu. Cách nói khác, một số chính sách cần được phân phối trước. Tuy nhiên nó không thể thực hiện mạnh trong việc quảng cáo chính sách nhóm an toàn cho tất cả thế giới biết tới. Như vậy sự phụ thuộc yêu cầu của ứng dụng, một số chính sách phải được phân phối trước. Trong khi phần còn lại được phân phối bởi GCKS chỉ để xác thực các thành viên. 1.4. Bảo vệ hạ tầng Việc bảo vệ nội dung, chúng ta cần xem xét sự đe dọa hạ tầng Multicast. Có 3 thành phần của vấn đề này, tương ứng cho người gửi điều kiển truy nhập, bảo vệ hạ tầng định tuyến Multicast và tiếp nhận điều khiển truy nhập. Xem xét trong mô hình Multicast truyền thống, một người gửi có thể truyền dữ liệu tới nhóm Multicast bất kỳ; nó không cần thành viên của nhóm.