Ⅰ. 서론
향후 다양한 인터넷 응용 프로그램들은 음성 채팅, 원격 화상 회의, 유료 영상 서비스 등 그룹 통신을 위한 멀티캐스트에 기반을 두게 될 것이며, 그 서비스들은 점차 다양해질 것이다.E 안전한 그룹 통신을 위해서는 메시지의 기밀성 (confidentiality), 인증 (authentication), 무결성(integrity)등을 제공해야 하는데, 이를 위해서 그룹 멤버(group member)들과 키 서버(key server)만이 그룹키(group key) 를 공유하게 된다’ 그룹 멤버들의 탈퇴가 빈번하게 이 루어지는 환경하에서 새로운 가입자는 이전의 그룹 통신에 접근할 수 없도록 하고(backward secrecy), 탈퇴자는 향후 그룹 통신을 이용할 수 없도록(fOL ward secrecy) 하기 위해서, 그룹키 관리 시스템 에서는 그룹키를 변경하고, 그 변경된 키 정보를 각 멤버들에게 키 갱신 메시지(rekey message)를 통해서 전송해 주어야 한다.
그룹키 갱신기법은 두 가지 측면에서 다음과 같이 분류되어진다. 첫째는 그룹 멤버들이 전송되는 모든 키 갱신 메시지를 빠짐없이 수신해야 하느냐에 따른 분류이다. Stateful 키 갱신의 경우는 모든 그룹 멤버들이 그룹 멤버쉽 (group membership)에 변화가 있을 때 마다 발생되는 모든 키 갱신 메시지의 수신을 요구하는 기법이다. 반면어】, Stateless 키 갱신은 모든 키 갱신 메시지의 수신을 요구하고 있지는 않지만, 그룹에 참여할 수 있는 멤버들의 최대 규모가 사전에 정의가 되기 때문에 확장성 측면에서는 제한적인 기법이다. 둘째는 그룹 멤버의 탈퇴 요청이 있을 때마다 요청을 즉시 처리해주느냐에 따른 분류이다. 개별 키 갱신(individual rekeying)기법은 그룹 멤버쉽 변화에 따른 키 갱신 메시지를 즉시 처리해 주는 기법이고, 일괄 키 갱신(batch rekeying) 기법은 일정기간 동안 발생된 멤버쉽 변화를 수합하여 일괄적으로 처리해 주는 기법이다. 개별 키 갱신 기법의 경우는 키 트리상에서 인접한 위치에 있는 그룹 멤버들이 가입 또는 탈퇴를 한다면 키 서버 및 기존 그룹 멤버들은 그룹키 갱신에 중복적인 계산을 요구한다는 측면에서 비효율적이다. 또한. 그룹키 갱신 메시지와 응용 메시지의 전달이 병행해서 이루어지기 때문에, 메시지 전송지연에 따른 그룹키 불일치가 발생할 가능성이 높아 그룹 멤버들의 입장에 서는 여러개의 이전 그룹키를 유지, 관리하고 있어야 하는 부담이 발생한다. 반면어】, 일괄 키 갱신 기법은 일정기한 동안 탈퇴 요청과 가입 요청을 수집한 후에 새로운 키들을 생성하고, 키 갱신 메시지를 그룹 멤버들에게 멀티캐스트 한다는 측면에서 개별 키 갱신 기법에 비해 개선된 방법이라 할 수 있다.
본 논문에서는 기존에 제시된 개별 키 갱신기법2 *과 Stateless 키 갱신기법⑺을 일괄 키 갱신기법으로 확장 전환시키고, 키 서버의 계산비용 측면에서의 성능평가를 시도한다. 가입에 따른 계산비용은 거의 모든 기법들이 대동소이하기 때문에, 여기서는 다중 탈퇴에 따른 경우에 국한시키고 각 기법들에 대한 키 서버의 계산비용을 확률론적인 접근방식을 통해 산출, 비교한다. 본 논문의 구성은 다음과 같다. 2장에서는 LKH@ 10), ELKH(4), OFT15' 91, EHBT⑹, CSMm, ELK[lli, EMKMtl2J 등의 관련 연구를 소개하고, 3장에서는 기존에 제시된 ELKH와 EHBT를 일괄키 갱신기법으로 접근하고, OFT를 일괄 키 갱신기법으로 확장한 EOFT와 Stateless 방식의 CSM을 Stateful 일괄 키 갱신 기법으로 전환한 ECSM과 ECSM +을 제안한다. 4장에서는 관련 연구 및 본 논문에서 확장, 제안한 기법을 성능 분석하고 비교 평가한다. 그리고 5장에서 결론을 맺는다.
Ⅱ. 관련 연구
가장 대표적인 개별키 갱신기법은 Wallner(3) 등에 의해 제안된 논리적인 키 계층(LKH : Logical Key Hierarchy)이다. 키 서버는 그룹키 갱신 및 분배를 위해 노드키(node key)들로 구성된 키 트리 (key tree)를 유지한다. 트리에서 루트 노드는 그 룹키 (group key), 말단 노드는 개인키 (personal key), 중간 노드를 보조키(auxiliary key)라 한다. 각 멤버는 자신에게 할당된 개인키로부터 루트의 그룹키에 이르는 경로상의 모든 키들이 할당된다. 말단 노드의 개수가 N인 이진 트리 (binary tree)에서 각 멤버는 최대 log2N+l개의 키를 저장한다. 만:약 그룹에 탈퇴하는 멤버가 있다면, 탈퇴한 멤버의 부모 노드(parent node)로부터 루트 노드에 이르는 모든 키들은 전방기밀성 (forward secrecy) 을 유지하기 위하여 갱신되어야 하는데, 키 서버는 갱신된 노드키를 자식 노드(child node)의 키로 암호화한 키 갱신 메시지 (rekeying message)를 생성하여 멀티캐스트 한다. 한 명의 멤버가 탈퇴할 경우 생성된 키 갱신 메시지에는 최대 2 . logjUV개의 암호화 된 키를 포함한다. 또한, Steve(4) 등은 LKH를 일괄 키 갱신으로 확장한 ELKH를 제안하였다. 하지만, ELKH의 경우는 LKH를 단순 확장한 것이기 때문에 키 서버가 부담해야 할 계산량이 크다는 단점이 있다.
McGrew⑸ 등에 의해 제안된 OFT (One-way Function Tree)에서는 키 갱신 메시지의 크기를 LKH에서의 2・log2】V을 log2N으로 줄였다. 특히, 키 트리를 구성하는 각각의 노드키에 대해서 여기에 일방향 함수를 적용한 결과인 Blind 키가 정의된다. 각 멤버들은 자신의 말단 노드로부터 루트에 이 르는 경로 상의 Unblind 키들을 알고 있고, 또한 해당 노드들의 형제 노드(sibiling node)에 해당하는 Blind 키들이 제공된다. 특정 말단 노드에 해당하는 멤버의 탈퇴시에는 해당 경로 상의 변경된 노드들의 Blind 키를 각 노드의 형제 노드의 Unblind 키로 암호화하여 전송하고, 기존 멤버들은 자신의 경로 상에 있는 노드의 Blind 키와 전달받은 형제 노드의 Blind 키를 혼합(mixing)하여 새로운 Unblind 키를 갱신한다. 이진 트리에 대해서 한 명의 멤버가 탈퇴할 경우 생성되는 키 갱신 메시지 는 최대 log2N개의 키를 포함한다’
Rafaeli⑹ 등에 의해 제안된 EHBT(Efficient Hierarchical Binary Tree)는 Canetti⑻에 의해 제안된 해쉬 체인 기반의 개별 키 갱신기법의 확장이라 할 수 있다. 여기에서 그룹 멤버의 탈퇴로 인해 갱신되어질 경로상의 노드키들은 탈퇴한 멤버의 형제 노드의 키로부터 루트에 이르기까지 위로 발생되어진다. 이때, 키 서버는 경로상의 노드키들 을 일방향 일방향 해쉬 함수와 XOR 연산을 하여 갱신하고, 갱신된 노드키들에 영향을 받는 그룹 멤 버들에게는 그들의 공통된 상위 노드키로 암호화하여 전송한다. 이진 트리에 대해서 한명의 멤버가 탈퇴할 경우 생성된 멀티캐스트 메시지는 최대 log2W 의 크기를 갖는다.
Naor01 등에 의해서 제안된 CSM(Complete Subtree Method)은 Stateless 키 갱신기법 중 하나로써, 전체 그룹 멤버의 최대규모 N이 사전에 정의된 키 트리를 기반으로 다수의 멤버가 탈퇴시에 해당 말단 노드들을 제외한 subtree들을 구성하고, 해당 subtree의 루트키를 이용하여 새로운 그룹키를 갱신하는 방식이다. n명의 멤버가 동시에 탈퇴할 경우 생성되는 키 갱신 메시지는 최대 n - log2(N/-n) 개의 키를 포함한다.
Perrig" 등에 의해 제안된 ELK(Efficient Large-Group Key)는 OFT와 유사한 기법으로 힌트(hint) 메시지의 개념을 도입하여 키 갱신 메시지의 길이를 줄이는 방안을 제안하였다. ELK에 서는 새로운 멤버의 가입에 대해서는 키 갱신 메시 지의 전송을 요구하지 않는다. 탈퇴의 경우에 키 갱 신이 되어야 할 노드들은 각각 자식 노드의 키로 암호화해야 하므로 키 서버의 계산비용 측면에서는 LKH와 유사하거나 오히려 비효율적이다.
Kitl2: 등에 의해 제안된 EMKM(Efficient Multicast Key Management)은 CSM과 같이 Stateless Receiver들에 대한 키 갱신 기법 중 하나로 써 멤버에 대한 개별키의 unicast 전송을 제외한 모든 키 갱신 메시지들이 암호화 없이 전송되는 기 법이다. 즉, 키 갱신에 대한 모든 계산은 일방향 해쉬함수와 XOR만을 사용한다.
Ⅲ. 일괄 키 갱신기법 제안
이번 장에서는 기존에 제시된 ELKH와 EHBT 를 일괄키 갱신기법으로 접근하고, OFT 개별키 갱 신기법을 일괄 키 갱신기법으로 확장한 EOFT (Extended OFT)와 CSM을 Stateful 일괄 키 갱신기법으로 확장한 ECSM(Extended CSM)을 제안한다.
3.1 표기
본 논문에서의 표기는 다음과 같이 정의한다. N 은 그룹 멤버의 수이고, 키 트리를 균형된 이진 트리로 가정한다. 이진 트리를 7와 같이 표시하고, 서브 트리 (sub tree)를 S7i%=l, 23..)로 표시한다. 키 트리의 깊이는 d = log2N이다. 키 트리를 구성하는 각 노드키들은 K”와 같이 나타내고, i(.i= 0, 1, 2, ..)는 트리의 깊이, 八/=0, 1, 2, ..)는 해당 깊이에서 왼쪽에서부터의 노드키의 위치를 의미한다. 協는 갱신 이전의 키 값이고, 키 갱신이 발생한 노드들은 와 같이 표시한다. k는 키 서버가 새롭게 생성하여 전송할 키 값이다. h{ )는 일방향 해쉬 함수, A )는 XOR과 같은 혼합 함수(mixing function), G(Generation)는 키의 생성, E(K, m)는 巾을 대칭키 K로 암호화하는 것을 의미한다. 본 장에서는 그림 1과 같이 일괄적으로 U2. 173, U5 가 동시에 탈퇴할 경우를 가정한다. 그리고 ELKH, EHBT, EOFT, ECSM 방식 모두 탈퇴하지 않은 멤버들의 서브 트리 STi, STi, S’乃이 탈퇴한 멤버들의 부모 노드 자리로 이동하는 것을 고려한다. "키 갱신 서브 트리 (rekey subtree)”는 그림 1에서와 같이 원래의 키 트리 중에서 갱신될 노드들만으로 구성된 서브 트리를 의미한다.
그림 1. 그룹 멤버 u2. u3. u5가 탈퇴할 때의 서브 트리의 이동
3.2 ELKH (Extended LKH)
LKH를 일괄 키 갱신 기법으로 확장한 ELKH는 그룹 멤버쉽 변화가 있을 때, “키 갱신 서브트리"에 속하는 노드들의 경우 좌 . 우 자식노드들의 키로 암호화하는 방식이다. 예를 들어 그림 2에서 멤버 U2, U3, U5가 동시에 탈퇴 하였을 때 U2, U3, U5의 경로 상의 노드키 協는 Kij로 변경해 주어야 한다. 그리고 갱신될 키 노드들은 각각 자식 노드의 키로 암호화되어 전송된다. 예를 들어 키 갱신 노드 중 하나인 Xooe 자신의 자식 노드키 区20과 Xu로 암호화하여 전송하고, Xire 氏4와 X23 으로 암호화하여 전송한다. 탈퇴한 멤버의 노드키는 트리에서 삭제한다. 따라서 키 갱신 노드의 말단 노드를 제외한 노드들은 각각 두 번씩의 암호화 과정을 갖는다.
그림 2. 그룹 멤버 u2, u3, u5의 탈퇴 후 ELKH
3.3 EHBT
EHBT는 탈퇴한 멤버들의 그룹인 subtree에서 root 노드의 형제노드는 삭제된 부모노드의 위치로 이동 후 한 번의 해쉬를 갖고, root에 이르는 경로 상의 노드키들은 각각 한 번의 해쉬와 한 번의 암호화 과정을 갖는다. 예를 들어 그림 3에서와 같이 K20은 부모 노드의 자리에 위치하고 자신의 키를 해 쉬 적용하여 ^20 = EC&o)으로 갱신한다. 그리고 갱신된 키를 한 번의 해쉬를 더 적용하여 그룹키 JToo = RKJO을 구한다. 탈퇴한 멤버의 형제 노 드를 제외한 그룹의 다른 멤버들 U4, U6. U7에게는 그들의 공유키 Ku로 그룹키 K’s을 E(K貝, Koo)와 같이 암호화하여 전송한다. 따라서 탈퇴한 멤버의 형제 노드를 제외한 키 갱신 노드는 한 번의 해쉬와 암호화 과정을 갖는다.
그림 3. 그룹 멤버 u2, u3, u5의 탈퇴 후 EHBT
그림 4. 그룹멤버 u2, u3,u5의 탈퇴 후 EOFT
3.4 EOFT (Extended OFT)
EOFT는 OFT 개별키 갱신기법을 일괄 키 갱신 기법으로 확장한 방식이다. 각 멤버들은 자신만의 Unblind 키 K/를 알고 있고, 鸵尹에 일방향 해쉬 를 적용한 Blind 키를 구할 수 있다. 멤버의 탈퇴로 인해 갱신되어야 할 키 노드들은 瓦."를 일 방향 해쉬를 적용하여 새로운 Blind 키 有를 구하고 이 키를 자신의 형제 노드의 키로 암호화하여 전송하면 전송 받은 키 Kf를 자신의 새로운 키 K了를 XOR하여 자신의 부모 노드키를 구한다. 이러한 방식으로 root에 이르는 경로상의 노드키들은 자동으로 구해지고 결국 그룹키를 얻을 수 있다. 예를 들어 노드 雁4에 대하여 키 서버는 노드 氏4의 새로운 Blind 키 KaF를 도출하고, 그 노드 형제 노드의 Unblind 키로 E(K, /, KV)와 같이 암호화하여 전송한다. 그리고 노드 血, Kn도 마찬가지로 그들의 형제 노드인 Unblind 키로 암호화하여 전송한다’ 그룹 멤버 uo, 以은 자신이 도출한 .K"。'와 전송받은 /ClB를 혼합하여 새로운 그룹키 咨 = ak, 2ob kV)를 도출할 수 있다. 따라서 루트 노드를 제외한 키 갱신 노드들은 자신의 형제 노드로 각각 한 번의 암호화 과정을 갖는다.
3.5 ECSM (Extended CSM)
ECSMe Stateless 방식의 CSM을 Stateful 일괄 키 갱신기법으로 확장한 방식이다. ECSMe 그룹 멤버쉽 변동이 있을 때 그룹 멤버들의 모든 키 갱신 정보를 구현하는 stateful방식이다. 이 방식은 확장성 측면에서 stateless방식에 비해 선호되는 방식이다. ECSM을 암호화에 의한 방법과 해쉬에 의한 방법 두 가지로 고려해 본다.
3.5.1 ECSM(암호화에 의한 방법)
그룹 멤버쉽 변동이 있을 때, 키 서버는 탈퇴한 멤 버들을 제외한 subtree를 구성하고 각각의 sub- tree의 root 키로 새롭게 생성한 키 k를 암호화하여 전송하면, 멤버들은 새로운 키 k와 자신의 subtree에 해당하는 root 키를 일방향 해쉬 함수 를 적용하여 새로운 보조키 및 그룹키를 얻는다. 예를 들어 그림 5에서처럼 키 서버는 탈퇴하지 않은 멤버들의 서브 트리 ST" ST2. ST3을 찾고, 새로운 키 k를 생성한다. 그리고 서브 트리 ST、ST2, ST3의 루트 키 Km K34, K23으로 새롭게 생성한 키 k를 암호화하여 전송한다. 키 서버의 계산 알고리즘을 나타내면 표 1과 같다. 반면에 그룹 멤버 U4 의 경우에는 자신의 키 Km로 전달받은 메시지를 복 호화하고, 기존의 보조키 Kii과 전달받은 k를 일방 향 해쉬 함수를 적용하여 새로운 보조키 /Tn = h(、K$ k)을 도출한다. 그리고 기존의 그룹키 Koo 과 *를 일방향 해쉬 함수를 적용하여 새로운 그룹키 K's = MKoo, k)을 도출할 수 있다.
그림 5. 그룹멤버 u2,u3,u5의 탈퇴후 ECSM
표 1. ECSM에 대한 키 서버의 계산 알고리즘
3.5.2 ECSM+(해쉬에 의한 방법)
그룹 멤버쉽 변동이 있을 때, 키 서버는 탈퇴한 멤버들을 제외한 subtree 를 구성하고 각각의 subtree 의 root 키와 임의의 랜덤 값 (random number) /을 해쉬한 값에 새롭게 생성한 키 k를 XOR하여 전송한다. 예를 들어 그림 5에서와 같이 키 서버는 탈퇴하지 않은 멤버들의 서브 트리 STi, STz, 鄉를 찾고, 임의의 랜덤 값 /과 새로운 키값 k를 생성한다. 그리고 그룹 멤버 uo, ui에 대하여 랜덤 값 r과 hg, r)&k를 멀티캐스트 메시지로 전송하면, 그룹 멤버 uo, ure 그들의 공통키인 과 전송받은 랜덤 값 r을 해쉬 적용하고, 전송받은 h(k2o, r)CD7c에 그들이 계산한 h(K2o. r)을 XOR하여 새로운 키값 k를 도출해낸다. 그룹 멤버 는 도출한 키 k를 사용하여 기존의 보조키와 그룹키 를 ECSM의 암호화에 의한 방법과 같은 방법으로 갱신할 수 있다. 결과적으로 암호화에 의한 방법과 비슷한 방법을 사용하지만 암호화가 전혀 사용되지 않고 단지 랜덤 값 /과" 일방향 해쉬 함수 그리고 XOR만이 연산에 사용되어진다. 그럼에도 불구하고 안전성은 보장된다. 일방향 해쉬 함수의 다음과 같은 특성 때문이다.
특성 모든 X w X, y u y에 대하여 y와 z( = h{x, y))가 주어졌을 때, h(x , y) = 魚같은 x' w X를 찾는 것이 계산학적으로 불 가능하다.
Ⅳ. 성능 분석 및 비교 평가
본 논문에서의 성능 평가는 탈퇴한 다수의 멤버들을 일괄적으로 처리하는 ELKH, EHBT, EOFT, ECSM에서의 키 서버 계산비용을 암호화 횟수의 평균값을 계산하여 비교 평가한다. 반면에 기존의 논문들에서는 멤버 탈퇴에 따라서 갱신되어야 할 노드의 수를 계산하지 않고, 서버의 계산비용을 제시하고 있다. 결과적으로 여러 기법들간의 정확한 비교, 분석이 명확하지 않았다. 또한 암호화 횟수를 전혀 사용하지 않는 EMKM과 본 논문에서 제안한 ECSM +를 해쉬와 XOR 관점으로 비교 분석하여 본다.
4.1 암호화 횟수에 의한 평균의 경우 분석
평균의 경우(average case) 각각의 노드키가 "키 갱신 서브 트리''에 포함될 확률을 기반으로 Steve(3) 등이 사용한 다음의 방식을 이용한다. 즉, 그림 6에서 키 트리의 레벨 0에 있는 노드를 루트 노드라 하고, 레벨 d에 있는 노드를 말단 노드라 한다. (단, d = log2N, N : 말단 노드의 수). T(v) 는 노드 V가 루트인 서브 트리이고, 33)와 乃(而는 노드 r에 대한 자식의 서브 트리로 가정한다. £(μ)를 7(v)의 말단 노드들의 집합이라 하면, 이진 트리의 경우 Mv)의 크기는 N/2冲 된다. (단, 0 < X < J-1). 그러나 본 논문에서는 Steve 등이 사용한 방식과 조금 다른 형태의 방법으로 평균을 분석한다. 즉, 서브 트리의 이동을 고려한 방법으로서 Steve 등이 사용한 방식에서는 노드 V가 "키 갱신 서브 트리에 포함되지 않을 확률을 서브 트리 T( V)의 말단 노드들이 모두 제거되었을 경우로서 정의하지만, 본 논문에서는 노드 V가 "키 갱신 서브 트리"에 포함되지 않을 확률을 노드 V의 어느 한쪽 자식 서브 트리의 말단 노드들이 모두 제거되었을 경우로서 정의한다.
그림 6. 평균의 경우 분석
4.1.1 ELKH
ELKH 기법은 LKH를 단순히 일반화한 것이다. 즉, 이진 트리를 기반으로 한 LKH의 경우에 “키 갱신 서브 트리”에 속하는 한 개의 노드키 갱신을 위해서는 해당 노드의 두 개의 자식 노드키로 두 번의 암호화가 요구된다. V가 “키 갱신 서브 트리"에 속한다는 것은 서브 트리 73)의 £(v)에서 적어도 한 명이 탈퇴 한다는 것을 의미한다. 각각의 그룹 멤버가 탈퇴할 확률이 동일하다고 가정하면, N명의 .멤버 중에서 £명이 탈퇴할 경우의 수는 (£)이 되고, (V-笋je 河의 말단 노드 이외의 위치에서 탈퇴자가 발생하고 거기서, 경이 탈퇴할 경우의 수가 된다. 따라서 V가 “키 갱신 서브 트리”에 속할 확률은 이 된다. 또한, 레벨 X에 존재하는 전체 가능한 서브 트리 7(丫)의 개수는 2* 개이 고, 이 서브 트리는 레벨 0부터 레벨 d-1 까지에서 정의된다. 그러나 73)의 어느 한쪽 자식 33)의 모든 멤버들이 탈퇴한다면 노드 r는 삭제되고, 乃(丫)의 루트 노드는 삭제된 노드 V의 위치로 올라간다. 따라서 노드 V는 “키 갱신 서브 트리”에 포함되지 않고, 결과적으로 대칭형 암호화는 생략된다. 즉, 레벨 X에서 L 兰 ?〃尸+1인 경우에 한해서73)의 어느 한쪽 자식 서브 트리에 속하는 모든 멤버들이 탈퇴할 확률은 忙落& ( f)이 된다. 따라서 ELKH의 평균은 식 (1)과 같다.
#(1)
식 (1)에서 L < N/T+1 인 경우에 \l-nI¥'A /E) 는 0으로 정의한다’
4.1.2 EHBT
EHBT 기법의 경우 "키 갱신 서브 트리”에 속하는 한 개의 노드키는 그 노드 한쪽 자식의 노드키에 일방향 해쉬함수를 적용함으로서 갱신한다. 예를 들어 7(v)의 어느 한쪽 자식 서브 트리 7i(v)에서 모두 탈퇴할 경우 노드 V는 삭제되고, 乃(而의 루트 노드는 삭제된 노드 V의 위치로 올라간다. 따라서 삭제된 노드 V는 "키 갱신 서브 트리”에 속하지 않게 되고, 買而의 자식 노드에서 탈퇴할 확률을 ELKH에서와 같이 제외하면 식 (2)와 같다.
#(2)
4.1.3 EOFT
EOFT 기법에서는 그룹 멤버가 탈퇴할 경우 그 룹키를 제외한 경로상의 노드키들은 각각 형제 노드 의 키로 암호화하여 전송된다. 그룹키를 제외하므로 레벨 1에서부터 dT까지의 서브 트리가 대상이 되 고, 노드 V가 "키 갱신 서브 트리''에 속할 경우 한 번의 암호화가 발생한다. 그림 4의 경우 "키 갱신 서브 트리”는 짙은색으로 표시된 노드키들로 구성된다. 예를 들어 買而의 어느 한쪽 자식 서브 트리 71(V)모두에서 탈퇴가 발생하고, 다른 쪽 자식 서브 트리『2(V)의 루트 노드가 삭제된 노드 V의 위치로 올라갈 경우 @3)의 루트 노드는 삭제된 노드 V의 형제 노드키로 암호화를 하게 된다’ 그러나 Z(V)에서 모든 멤버들이 탈퇴할 경우, 노드 V는 삭제되므로 “키 갱신 서브 트리"에 포함되지 않는다. 따라서 EOFT에서의 평균의 경우는 식 (3)과 같다.
#(3)
4.1.4 ECSM
ECSM 기법은 다른 기법과 달리 그룹별 탈퇴를 고려한 방식이다. 이 방식은 이상의 방식과 다르게 노드 μ가 “키 갱신 서브 트리“어】 속할 확률로서 평균을 구하는 것이 아니라, 서브 트리『3)의 루트 노드에 대한 한쪽 자식의 서브 트리 7i(v)에서 적어도 하나의 탈퇴가 발생하고, 동시에 다른 쪽 자식의 서브 트리 乃(V)에서 탈퇴가 전혀 발생하지 않았을 경우에 한하여, 탈퇴가 전혀 발생하지 않은 서 브트리『2(v)의 루트 키로 암호화 하는 방식이다. 따라서 71(V)에서 적어도 하나의 탈퇴가 발생할 확률1_仁* 2"“/(£)와 乃(V)에서 탈퇴가 전혀 발 2注을 구하여 곱하고 생하지 않을 확률 (踞* 최종적으로 식 (4)를 도출할 수가 있다.
#(4)
그림 7의 그래프는 기존의 개별키 갱신기법을 일괄키 갱신 기법으로 확장한 ELKH, EHBT, EOFT, ECSM에 대한 서버 계산비용을 보이고 있다. 가로 축이 탈퇴자 수(Leave)이고, 세로축이 암호화' 회수(Server Cost)이다. 1024명의 그룹 멤버가 존재한다고 가정하고, 약 10%(102명)에서 50%(512명)의 멤버가 동시에 탈퇴할 경우에 대해서 측정하였다. 그래프에서 위에서부터 아래로 ELKH, EOFT, EHBT, ECSM이다. 그림 7에서 알 수 있듯이 일괄키 갱신기법으로 평균의 경우를 비교 분석한 결과 ECSM이 가장 좋은 성능을 보이고 있다.
그림 7. 평균의 경우 서버 계산비용
4.2 해쉬에 의한 평균의 경우 분석
기존의 방식들은 대부분 그룹 멤버쉽 변동에 따른 그룹 키 갱신을 암호화에 기반을 두고 있다. ELKH, EHBT, EOFT, ECSM 모두 암호화 방 식으로 그룹키를 갱신한다. 그러나 본 장에서 EMKM 방식과 같이 그룹 멤버의 탈퇴에 따른 그 룹키 갱신을 암호화 방식이 아닌 해쉬와 XOR 방식으로 비교 분석해 본다. 일반적으로 일방향 해쉬와 XOR의 계산량은 전자서명 방식의 암호화에 비해 훨씬 적은 것으로 알려져 있다.
4.2.1 EMKM
EMKM 기법은 ELKH와 동일한 방법으로 평균을 구한다. 즉, 이진 트리를 기반으로 하였을 때 "키 갱신 서브 트리”에 속하는 한 개의 노드키 갱신을 위해서는 두 번의 해쉬와 두 번의 XOR가 요구된다. V가 "키 갱신 서브 트리"에 속할 확률에서 T(v、) 의 어느 한쪽 자식 서브 트리에 속하는 모든 멤버들 이 탈퇴할 확률을 제외시킨다..
4.2.2 ECSM+
ECSM+ 기법은 ECSM과 동일한 방법으로 평균을 구한다. 즉, 이진 트리를 기반으로 하였을 때, 한 개의 노드키 갱신을 위해서는 한 번의 해쉬와 한 번의 XOR가 요구된다. 4(μ)에서 적어도 하나의 탈퇴가 발생할 확률과 乃3)에서 탈퇴가 전혀 발생하지 않을 확률을 곱하여 구한다.
그림 8의 그래프는 해쉬 기반의 EMKM 방식과 ECSM+ 방식에 대한 서버 계산비용을 보이고 있다. ECSM+ 방식의 경우 그룹 멤버의 탈퇴에 따른 그룹키 갱신을 위해 어떠한 암호화도 사용하지 않고, 단지 해쉬 및 XOR만으로 그룹 키를 갱신 할 수 있다. 그림에서 알 수 있듯이 해쉬 기반의 일괄키 갱신기 법으로 평균의 경우를 비교 분석한 결과 ECSM + 가 EMKM에 비해 좋은 성능을 보이고 있다.
그림 8. 평균의 경우 서버 계산비용
우리가 제안한 ECSM+ 기법은 그룹 멤버 탈퇴 시 키 서버 및 그룹 멤버 모두 그룹키 갱신을 위해 어떠한 암호화 및 복호화도 필요로 하지 않는다. 단 지 키 갱신을 위해 일방향 해쉬 함수 및 XOR 연산 만을 사용한다. 표 2는 멀티캐스트 키 갱신 메시지에 대한 대략적인 수치를 나타낸다. ECSM +를 제외한 다른 기법들은 멀티캐스트 키 갱신 메시지가 그룹 멤버의 탈퇴에 따른 트리내의 키 갱신노드의 수와 관련이 있다. 그러나 ECSM+는 탈퇴하지 않은 멤버들에 대한 그룹의 수와 관련이 있다. 즉, ECSM +의 경우 한 명의 멤버가 탈퇴할 경우 d개의 멀티캐스트 키 갱신 메시지를 필요로 하고, L명 이 탈퇴할 경우 d에서 최대 N/2개의 멀티캐스트 키 갱신 메시지를 필요로 한다.
표 2. 탈퇴시 멀티캐스트 키 갱신 메시지의 크기
Ⅴ. 결론
본 논문에서는 기존에 제시되었던 개별키 갱신기법을 일괄 키 갱신기법으로 확장 전환시키고, Stateless- 방식을 Stateful 방식으로 전환하였다. ELKH 와 EHBT의 경우 기존에 제시되었던 LKH와 HBT 를 일괄키 갱신기법으로 확장한 기법이고, EOFT와 ECSM의 경우도 OFT와 CSM을 일괄키 갱신기법으로 확장한 기법이다. 이러한 확장된 일괄키 갱신기법을 암호화에 의한 평균의 경우로서 비교 분석하였다. 그리고 암호화를 전혀 사용하지 않고 일방향 해쉬 함수 및 XOR 연산만을 사용하는 EMKM과 ECSM+를 평균의 경우로서 비교 분석하였다. 비교분석한 결과 ECSM이 암호화 측면에서, ECSM + 가 해쉬 측면에서 키 서버의 계산 비용을 최소화함을 알 수 있었다. 또한 그룹 멤버 탈퇴의 경우 키 갱신 메시지의 크기가 기존의 기법과 비교하여 나쁘지 않았다. 따라서 본 논문에서는 일반적으로 암호화에 의한 방법보다 해쉬에 의한 방법이 계산 비용 측면에서 효율적인 것을 감안할 때, 일방향 해쉬 함수와 XOR 연산만을 사용하는 ECSM+ 방식을 통한 효율적인 키 관리를 할 수 있다고 본다.
본 연구는 2003학년도 한국과학재단 과제(R05-2003-000- 11411-0)에 의해 지원되었습니다.
References
- S. E. Deering, 'Multicast routing in internetworks and extended LANs,' In Proceedings of ACM SIGCOMM, pp. 55-64, 1988
- C. K. Wong, M. Gouda, and S. S. Lam, 'Secure group communications using key graphs,' In Proceedings of ACM SIGCOMM, 1998
- D. Wallner E. Harder, and R. Agee, 'Key Management for Multicast : Issues and Architectures,' IETF RFC 2627, 1999
- X. S. Li, Y. R. Yang, M. G. Gouda, S. S. Lam, 'Batch Rekeying for Secure Group Communications,' WWW10, 2001
- A. T. Sherman and D. A. McGrew, 'Key Establishment in Large Dynamic Groups Using One-Way Function Trees,' IEEE Transactions on software engineering, Vol. 29, 2003
- S. Rafaeli, L. Mathy, and D. Hutchison, 'EHBT: An efficient protocol for group key management,' Lecture Notes in Computer Science, 2233: 159-171, 2001
- D. Naor, M. Naor, J. Lotspiech, 'Revocation and Tracing Schemes for Stateless Receivers,' Lecture Notes in Computer Science 2139, pp. 41-62, 2001
- R. Canetti, J. Garay, G. Itkis, D. Micciancio, M. Naor, and B. Pinkas, 'Multicast Security: A Taxonomy and Efficient Authentication,' In Proc. of IEEE '99, vol.2, pp.708-716, March 1999
- A. T. Sherman and D. A. McGrew, 'Key Establishment in Large Dynamic Groups Using One-Way Function Trees,' Cryptographic Technologies Group TIS Labs at Network Associates, 1998
- H. Harney and E. Harder, 'Logical key hierarchy protocol,' IETF Internet Draft, 1999
- A. Perrig, D. Song, J.D.Tygar, 'ELK, a New Protocol for Efficient Large-Group Key Distribution,' In 2001 IEEE Symposium on Security and Privacy, Oakland, CA, USA, May 2001
- Ju Hee Ki, Hyun-Jeong Kim, Dong Hoon Lee, Chang-Seop Park, 'Efficient Multicast Key Management for Stateless Receivers,' ICISC 2002: 497-509