【摘要】 隨著第四代移動通信技術的不斷發(fā)展，以全球互聯(lián)網為代表的各種IP網絡得到了迅猛的發(fā)展。網絡帶寬越來越高，用戶數量越來越多，新類型的多媒體業(yè)務將成為新一輪運營商競爭的焦點，采用傳統(tǒng)的客戶服務器模型將浪費網絡資源，帶來了網絡擁擠問題。本文在介紹分析組播以及其安全性的基礎上，提出了一個基于IPSec技術的安全組播的解決方案。

【關鍵字】 4G IP組播 安全

一、IP組播原理概述

組播IP地址用于標識一個IP組播組，其范圍是從224.0.0.0到239.255.255.255，IP組播地址前四位均為1110，224.0.0.0～224.0.0.255為預留的組播地址，地址224.0.0.0保留不做分配，其它地址供路由協(xié)議使用。224.0.1.0～238.255.255.255為用戶可用的組播地址，全網范圍內有效。239.0.0.0～239.255.255.255為本地管理組播地址，僅在特定的本地范圍內有效。

二、4G時代安全組播難點

組播是一種高效的多目標傳輸機制，與單播系統(tǒng)比較，它可以節(jié)約占用的帶寬，緩解服務器以及網絡的負載，時提高系統(tǒng)的性能。組播的優(yōu)點使其在網絡應用中占據越來越重要的地位，但是網絡的開放性給組播的安全帶來極大的威脅。（1）組成員資格控制：組成員資格過一段時間就會發(fā)生變化，為了實現(xiàn)訪問控制，它就必須能夠鑒別所有可能的組成員的身份。（2）組驗證：為了確保接收數據的真實性和完整性需要進行組驗證，為了達到組驗證的目的，我們遵循通常所使用的組數據驗證的途徑，以保證信息在存儲、傳輸和使用中不被篡改。（3）源驗證：這取決于組成員檢驗數據發(fā)送者身份的能力。用戶需要確定信息的來源是正確的，不是經過偽造篡改的，同時也可防止信息發(fā)送者的抵賴。

三、IPSec加密技術

IPSec并不是一個單一的協(xié)議或算法，它是一系列加密實現(xiàn)中使用的加密標準定義的集合。IPSec實現(xiàn)在IP層的安全，因而它與任何上層應用或傳輸層的協(xié)議無關。IPSec在IP報文中使用一個新的IPSec的報頭來封裝信息。新的IPSec報文包含IP報文認證的信息，原始IP報文的內容，可以根據特定應用的需求選擇加密與否。可以配置IPSec封裝完整的IP數據報或只是上層信息。IPSec建立在兩個基本概念之上：安全協(xié)議、密鑰管理。

四、組播加密方案的實現(xiàn)

4.1 IPSec不支持組播加密的原因

IPSec是在IP層保護點到點流量的通用機制。IPSec主要通過封裝安全栽荷（ESP）和驗證頭（AH）協(xié)議來保護流量，要使用ESP和AH協(xié)議，就需要在IPSec的源端點和目的端點之間建立安全聯(lián)盟，這個工作一般是由因特網密鑰交換協(xié)議（IKE）來完成的。

4.2 基于IPSec的組播加密方案

步驟一：.組播源節(jié)點接收節(jié)點的創(chuàng)建安全聯(lián)盟SA請求，判斷當前請求節(jié)點所屬組是否已存在共享CHILD—SA，如果已存在，則執(zhí)行步驟二；否則，組播源節(jié)點與當前請求節(jié)點創(chuàng)建安全聯(lián)盟，生成共享CHILD—SA，為其所屬組的傳播節(jié)點。步驟二：通知當前請求節(jié)點從其所屬組的傳播節(jié)點獲取共享CHILD-SA；當前請求節(jié)點判斷是否已與本組傳播節(jié)點建立安全聯(lián)盟，如果是，則使用已建立的安全聯(lián)盟；否則，先與本組傳播節(jié)點建立兩點間的安全聯(lián)盟。

上述方案中，步驟一中所述記錄當前請求節(jié)點為其所屬組播組和所屬組播子組的傳播節(jié)點；步驟二具體包括：確定當前請求節(jié)點所屬組播子組，判斷該組播子組是否已存在傳播節(jié)點，如果存在，則通知當前請求節(jié)點從其所屬組播子組的傳播節(jié)點獲取共享CHILD-SA；當前請求節(jié)點判斷是否已與本組播子組傳播節(jié)點建立安全聯(lián)盟，如果是，則使用已建立的安全聯(lián)盟；否則，先與本組播子組傳播節(jié)點建立兩點間的安全聯(lián)盟；當前請求節(jié)點向本組播子組的傳播節(jié)點發(fā)送獲取請求，本組播子組的傳播節(jié)點使用兩點間建立的安全聯(lián)盟將共享CHILD-SA發(fā)送給當前請求節(jié)點。因此，本文所提供的實現(xiàn)組安全聯(lián)盟共享的方法，對現(xiàn)有的IKE進行了擴展，組播源節(jié)點只與組播組中的某個節(jié)點創(chuàng)建安全聯(lián)盟、生成共享 CHILD-SA，該組中的其它節(jié)點再向組播源節(jié)點發(fā)送創(chuàng)建SA請求時，組播源節(jié)點只需通知該請求節(jié)點向已生成CHILD-SA的節(jié)點索取，該請求節(jié)點再采用現(xiàn)有IKE與已生成CHlLD-SA節(jié)點創(chuàng)建兩點間的SA并獲取共享CHILD-SA，如此，不僅能夠在IPSec框架下以盡量少地改動支持多播節(jié)點共享同一SA，而且避免了每個組成員都與組播源節(jié)點創(chuàng)建SA、生成CHILD-SA所帶來的大量資源消耗。

五、結束語

與傳統(tǒng)的單播相比，組播占用的帶寬要小，同時它可以在不同的網絡結構上實現(xiàn)，也可以在不同的網絡層次上實施，在應用上其范圍也是極其廣泛的。但是對于組播系統(tǒng)的安全性來說，還存在許多尚未解決的問題。本文利用單播系統(tǒng)中已有的成熟的安全技術IPSec，分析組播組特殊的安全需求，為組播的實際應用提出了一個可行性較高的方案。

參 考 文 獻

[1] 《IP組播與安全》，周賢偉，國防工業(yè)出版社

[2] 《IPsec and Security》，Sheila Frankel，NIST

[3] 《4G： LTE/LTE-Advanced for Mobile Broadband》，Erik Dahlman、Stefan Parkvall、Johan Skold，AP