Grup Yorumlama Alanı - Group Domain of Interpretation
Grup Yorumlama Alanı veya GDOI bir kriptografik protokol grup için anahtar yönetimi. GDOI protokolü bir IETF Standart, RFC 6407 ve dayanmaktadır İnternet Güvenliği Derneği ve Anahtar Yönetim Protokolü (ISAKMP), RFC 2408, ve İnternet Anahtar Değişimi sürüm 1 (IKE). IKE, bir "ikili güvenlik ilişkisi" oluşturmak için iki eş arasında çalıştırılırken, GDOI protokolü bir grup üyesi ile bir "grup denetleyicisi / anahtar sunucusu" (denetleyici) arasında çalıştırılır ve iki veya daha fazla grup üyesi arasında bir güvenlik ilişkisi kurar.
İşlevsel Genel Bakış
GDOI, IKE'yi "yorumlar" veya ISAKMP ikili güvenlik ilişkilerine ek olarak grup güvenlik alanı için. GDOI, bir GDOI üyesini bir GDOI denetleyicisine doğrulamak için IKE v1 Aşama 1 güvenlik ilişkisi kullanır. IKE / GDOI Aşama 1 kriptografik protokol değişim, üyenin denetleyiciden grup durumunu talep ettiği ("çektiği") yeni bir Aşama 2 değişim türünü korur. "Grup anahtarı", bir GDOI üyesindeki en önemli durumdur. Grup anahtarı, uygulama verilerinin şifresini çözen anahtarları şifreler. Bu nedenle grup anahtarı, GDOI'de "anahtar şifreleme anahtarı" olarak da adlandırılır. Bir grubun anahtar şifreleme anahtarı, "Yeniden Anahtar Güvenlik İlişkisi" için kullanılır. "Rekey-SA" kurulduktan sonra, GDOI denetleyicisi çok noktaya yayın, yayın veya tek noktaya yayın kanalları üzerinden üyelere grup güvenlik ilişkisine istenmeyen güncellemeleri gönderebilir ("itebilir"). Bu nedenle GDOI, çok büyük gruplar için çok noktaya yayın mesajlaşmasını kullandığı ve desteklediği için "çok noktaya yayın anahtar yönetim sistemi" olarak adlandırılır. Bu çok noktaya yayın mesajları istenmeyen mesajlardır ve bu nedenle denetleyiciden üyelere gönderilen istenmeyen mesajlar olan "push" mesajları olarak adlandırılır; Bir üyeden bir denetleyiciye yapılan açık istekler, GDOI'de "çekme" mesajları olarak adlandırılır. Böylece GDOI grup anahtar güncellemeleri zorlanır ve denetleyiciden tek bir verimli iletimle herhangi bir sayıda grup üyesine ulaşabilir.
GDOI grup anahtar güncellemeleri, üyeleri gruplardan çıkarmaya da hizmet eder. RFC 2627 birini tanımlar Grup Üyeliği Yönetimi Bir üyeyi gruptan verimli bir şekilde çıkarmak için üyelere yönelik seçici anahtar güncellemelerine izin veren protokol. "Verimlilik" mekan, zaman ve mesaj açısından değerlendirilir karmaşıklık. RFC 2627 ve "alt küme farkı" gibi diğer algoritmalar uzay, zaman ve mesaj karmaşıklığı açısından logaritmiktir. Böylece, RFC 2627 GDOI için verimli grup "üyelik yönetimini" destekler. Pratik bir uygulamada, GDOI grup üyeliği yönetimi, denetleyicinin veya bir AAA işlevinin yetkisiz bir grup üyesini kaldırmak için çağırdığı ayrı bir işlevdir. "AAA" yetkilendirme, kimlik doğrulama ve hesaplamadır ve bir tür AAA protokolü. Ancak AAA işlevi, bir hizmet sağlayıcı için bir "müşteri hizmetleri" işlevi veya bir medya hizmetleri sağlayıcısı için bir "abone yönetim sistemi" de olabilir. Sağlayıcı veya AAA işlevi, örneğin bir kimlik bilgisi altyapısına sahip olmalıdır. Açık Anahtar Altyapısı kullanma X.509 dijital sertifikalar, SPKI veya başka bir kimlik bilgisi. Bir X.509 ortam, sağlayıcı veya AAA işlevi, bir üye bir gruba katılmaya ve grup durumunu "aşağı çekmeye" çalıştığında Grup Kontrolörü bir GDOI Kayıt değişimi sırasında PKI'yı sorguladığında bir üyenin bir gruba katılmasına izin vermek için bir sertifika yükleyecektir.
Anahtar Merdiven
Grup üyesinde depolanan grup durumu, anahtarlar ve anahtar meta verileridir. Kavramsal olarak, grup üyesinin anahtarları 1: N ilişkilerinden oluşan bir sette yapılandırılmıştır ve genellikle "anahtar merdiven" olarak adlandırılır. Üye, bir veya daha fazla gruba katılmaya yetkili olduğunu kanıtlayan X.509 sertifikası gibi bir kimlik bilgisine sahiptir. Varsayılan Grup ilkesi "Özel Kimlik Doğrulama Anahtarı" 2048 bitlik bir RSA anahtarıdır, ancak başka politikalar da mümkündür. Benzer şekilde, varsayılan "grup anahtarı" veya "Anahtar Şifreleme Anahtarı" 128 bitlik bir AES anahtarıdır, ancak başka politikalar da mümkündür. Son olarak, veri şifreleme anahtarı uygulamaya bağlıdır, ancak genellikle 128 bitlik bir AES anahtarıdır. Bazı gruplarda üye, bir veri şifreleme anahtarı oluşturan ve bunu anahtar şifreleme anahtarıyla şifreleyen bir gönderen olabilir. İkisi aynı grup için grup anahtarını paylaştığı sürece, gönderen bu "anahtar şifreleme anahtarını", hizmet ettiği medya dosyalarının veya akışların anahtarlarını şifrelemek için kullanabilir.
Bununla birlikte, tüm GDOI grupları gönderici ve alıcı arasında bir ayrım yapmaz ve grup üyelerinin birbirlerine gönderip gönderemeyeceği bir grup politikası meselesidir. Anahtar merdivenindeki anahtarların türü de grup ilkesi tarafından belirlenir. Her grubun kriptografi, anahtar ömrü ve üye davranışı için kendi politikası olabilir.