密钥管理的性能指标与优化策略

群组密钥管理的性能指标［68，69］分为效率指标和安全指标两大类。

1.效率指标

（1）轮数（Round）：在密钥交互协议中，群组成员为协商共享密钥交互的次数。在网络通信延时较长的情况下，减少轮数能够降低密钥管理延时，是KAP性能的一个重要指标。通常降低轮数与网络规模之间的关联程度，甚至设计常数轮的密钥交互协议，对提高KAP效率具有重要的意义。

（2）计算开销（Computation Cost）：在执行密钥管理中网络实体需要执行的计算总量。在分布式密钥管理中通常统计最费能源消耗的算法或算术操作的次数，如对称加密解密算法、模指数运算、双线性对倍加/倍乘运算、门限协议执行的次数和规模、哈希函数，等等，如果成员的计算消耗不同，则以计算开销最大节点的开销作为方案的计算开销。在非分布式密钥管理方案中统计所有成员的计算总量。一般说，较高计算复杂度的密钥协议具有较高的安全性，同时也具有较长延时和较高能量消耗。计算开销不仅受限于能量水平，也依赖硬件的能力。因此，在能量受限的网络中计算开销受到严格的限制。

（3）消息开销（Message Cost）：指协议执行过程中所传送消息的总次数。同轮数一样，消息开销越高对网络延时影响越大。但是消息不同于轮数，轮数通常指成员共同完成某项工作执行的交互步骤，多用于分布式密钥交互协议的共享密钥协商效率分析，而消息开销主要指发送消息次数最大节点的消息开销，多用于密钥更新中，更新消息的发送次数越少，更新效率越高。

（4）带宽开销（Network Lord）：指在协议执行过程中单个成员传送的消息比特数的最大值。带宽开销与消息开销和密钥体积相关，带宽开销越大对带宽的要求越高，不仅增加网络负担，而且间接的增加传输延时。降低消息开销是提高带宽利用率的一个重要的方法。

（5）更新规模（Rekeying Scale）：也称1对N性质（1-affection-N），指密钥更新过程所涉及的网络规模。在动态网络中，成员离开或加入可能引发其他节点参与执行密钥更新操作，密钥更新的范围可能涉及多个节点，最差的情况是密钥更新所涉及的网络规模为整个网络。在密钥更新中，加入或退出的成员称为更新成员，非加入和退出节点称为非更新节点，参与密钥更新的非更新节点的规模越大，消耗越多网络资源，降低密钥管理性能。因此，降低密钥更新规模是一个非常重要的问题。提高该指标性能，不仅能显著降低其他开销，提高网络资源利用率，而且支持网络的可扩展性和稳定性。

（6）存储开销（Storage Cost）：对于大型动态群组通信系统，其所需存储的密钥数量也是研究人员必须考虑的问题。在满足系统要求的同时，整个群组密钥管理系统使用的密钥数量必须尽量少。这是因为加密算法的安全性完全依赖于密钥，密钥量的增加增大了系统的不安全因素，而且也消耗网络的硬件资源，增加管理复杂度。

（7）同步性（Synchronization Mechanism）：保证协议的参与者在同一时刻或某个时间段内生成、协商、注册、更新或销毁密钥。每个密钥都有其生存周期，群组密钥管理需要群成员在较短的时间内同步协商共享密钥，减少安全通信延时。当密钥使用时间超过生存周期时，保证群成员能及时同步销毁密钥，防止该密钥加密信息的泄漏。同步机制是地面无线网络密钥管理的一个非常重要的前提条件，简化密钥管理方案设计复杂度。

（8）稳定性（Stability），或者称为协议的可提供性：即单个节点或部分节点的毁损并不影响密钥管理的可用性。协议执行过程中，协议能够发现哪些成员不能参与协议，即如果发生节点损坏或者被攻击，协议能够将该成员排除，并能继续执行，直至完成。具有该性质的协议具有较好的稳定性，如门限密钥，能够容忍部分成员的妥协和损毁，少于门限值数量的节点损毁并不会阻止密钥协议的成功执行。稳定性有利于动态网络的密钥管理。

（9）可扩展性（Scalability）：该指标主要考核动态网络中网络规模减小和扩张时的性能，该指标与更新规模具有密切相关性，具有较小更新规模的密钥管理方案具有较好的可扩展性。当网络发生合并或分裂时，网络性能不会因为规模变化剧烈而显著下降。也指密钥管理在满足安全性的前提下，以较小网络资源消耗和较短延时完成密钥更新。可扩展性需要综合考虑网络的特殊应用背景。

2.安全指标

根据攻击模型和攻击者能力，密钥管理的安全性要求主要包括两个方面：加密/解密方案的安全性和动态群组密钥更新的安全性。

（1）加密/解密协议安全性(www.xing528.com)

①解密正确性（Correctness）：合法解密者使用正确的解密密钥能够对该解密密钥对应的加密密钥加密的密文正确解密，反之非法用户的非法解密密钥不能对该解密密钥对应的加密密钥加密的密文成功解密。解密正确性是加密/解密协议安全性的基本条件。

②被动安全（Passive Security）：由于无线通信信道暴露在空中，攻击者很容易截获被加密的信息，因此防止攻击者从公开信道中窃听数据和破解密文是被动安全研究的主要任务。被动安全防御主要目的是防止攻击者通过信道公开的密文恢复明文或秘密加密密钥。被动安全性依赖加密密钥的强度，也是加密/解密协议安全性的基本条件。

③主动安全（Active Security）：防止恶意攻击者冒充合法用户的身份，以窃听、插入、删除、替换和重放信道上的数据等主动攻击方式破坏安全通信。根据攻击者能力分为选择明文攻击（Chosen Plaintext Attack，CPA）、选择密文攻击（Chosen Ciphertext Attack，CCA）、自适应选择密文攻击（Adaptive Chosen Ciphertext Attack，CCA2）。其中CCA的安全性高于CPA，而CCA2的安全性高于CCA，因此证明CCA2安全性就等于间接证明CCA和CPA的安全性，CCA2是公钥密码学安全的最高安全属性。主动安全性是公开密钥加密/解密算法的核心安全性指标。

④内部攻击安全性（Internal Attack）：攻击者可以偷盗或者收买合法成员的私有数据，如用户长期密钥，并在此基础上做进一步的分析，称之为内部攻击者，显然攻击能力比被动攻击和主动攻击更强。内部攻击安全性是密钥管理安全性一个有益的补充。

⑤合谋攻击（Collusion Attack）：网络中多个成员合作破解密文或秘密密钥。在动态网络中，当多个加入或退出成员利用妥协密钥资料合作攻击更新后或更新前的密文。也指使用门限密钥协议的密钥管理方案，当攻击者获取的密钥碎片超过规定阈值时，攻击者就能成功攻击该协议。合谋攻击是内部攻击的一种，因为攻击者可能是部分合法成员。

（2）动态群组密钥更新的安全性

动态群组密钥更新的安全性研究［70］，当节点状态、拓扑结构发生变化，群组密钥更新能够保证新密钥不会泄漏给恶意攻击者，主要研究内容包括：

①群组密钥管理协议的正确性，群组通信的安全性依赖于群组密钥管理的安全性。所以在设计群组密钥管理协议时，必须保证协议的正确性，即诚实成员执行完毕协议后，能够得到所要的正确结果。群组密钥管理协议的正确性是加密/解密协议安全性的进一步扩充，是群组密钥管理安全的基本指标。

②前向安全性（Forward Security，FS）：当节点离开网络后，网络更新群组密钥，并保证离开节点不能获取更新后的密钥。动态群组密钥管理中，前向安全性是必须的。

③后向安全性（Backward Security，BS）：当节点加入群后，群更新群组密钥，并保证加入节点不能获取更新前的密钥。动态群组密钥管理中，后向安全性是可选择的。

④密钥独立性（Key Independence，KI）：更新前的密钥与更新后的密钥不存在相关性，即保证攻击者不能从前一时刻的密钥推导出后一时刻的密钥。具有密钥独立性的群组密钥管理方案比不具有该性质的群组密钥管理方案安全性更强。前向安全性、后向安全性和密钥独立性组成动态群组密钥管理安全性的最重要的三个方面。

目前，地面无线网络的密钥管理技术较为成熟，因此现有空间网络的密钥管理大都借鉴地面无线网络的密钥管理技术展开研究。