陸宣德

?

基于IP組播的安全通信技術(shù)研究

陸宣德

中國電信股份有限公司揚(yáng)州分公司，江蘇 揚(yáng)州 225009

IP組播可以實(shí)現(xiàn)單點(diǎn)發(fā)送多點(diǎn)接收，雖然是高效通信技術(shù)，但是沒有被廣發(fā)應(yīng)用，主要緣自于組播通信的安全問題?；诖?，從IP組播的技術(shù)優(yōu)勢以及安全需求出發(fā)，分析了對IP安全組播的防范措施和技術(shù)，同時(shí)也對IP組播密鑰管理進(jìn)行了闡述。旨在提高IP組播的通信安全。

IP組播；安全通信；密鑰

1 IP組播的技術(shù)優(yōu)勢以及安全需求

1.1 技術(shù)優(yōu)勢

在以往的靠源IP主機(jī)向目標(biāo)IP主機(jī)發(fā)送信息，雙方靠一條邏輯數(shù)據(jù)通道連接的叫做單播通信。如果我們將這種通信方式直接發(fā)展成目前所用的群組通信系統(tǒng)，那么要在任意兩個組成員之間建立通信邏輯數(shù)據(jù)通道，這樣直接指數(shù)型上升的擴(kuò)展，雖然能達(dá)到最終的效果，但是資源消費(fèi)以及擴(kuò)展性的消費(fèi)方面都有很大限制。單播和組播中數(shù)據(jù)包傳送的區(qū)別如圖1所示。

圖1 單播和組播數(shù)據(jù)包傳送情況

通過組播與單播的比較可以看出IP組播的優(yōu)點(diǎn)：

（1）數(shù)據(jù)發(fā)送者不再需要計(jì)算接收者的數(shù)量，不用再顧慮帶寬的需求。

（2）減少了網(wǎng)絡(luò)傳輸上的數(shù)據(jù)量，在任意一條路徑上，同一個數(shù)據(jù)包只需傳送一次，即可通過路由功能實(shí)現(xiàn)后續(xù)的發(fā)散性發(fā)送。

（3）通過路由功能的復(fù)制然后再發(fā)送，可以降低了對網(wǎng)絡(luò)帶寬的需要[1]。

（4）組播內(nèi)的成員沒有直接一對一的設(shè)定，新增用戶也無需一對一設(shè)置，這對于他的擴(kuò)展性很有提高，在任意的一個點(diǎn)加上一個組播用戶都可以。而傳統(tǒng)的單播則需要被傳送數(shù)據(jù)流量、雙方計(jì)算機(jī)計(jì)算能力，以及帶寬有關(guān)。

1.2 安全需求

在IP組播模型中，可以認(rèn)為任何主機(jī)都可以加入組播，進(jìn)而接收組播數(shù)據(jù)，同樣任何主機(jī)也可以給組播組發(fā)送信息，這都是由于IP組播較高的開放性導(dǎo)致的。但是這種高級的組播方式安全性較差。為了解決這個問題，可以從三方面進(jìn)行：①發(fā)出到接收終端的數(shù)據(jù)保護(hù)，可以通過數(shù)據(jù)的加密，保證機(jī)密性，數(shù)據(jù)壓縮解壓縮保證完整性，同時(shí)要做到數(shù)據(jù)發(fā)出端認(rèn)證性，通過這些對群組應(yīng)用進(jìn)行安全保護(hù)。②組播分發(fā)樹保護(hù)組件，通過限制約束分發(fā)樹的規(guī)范操作協(xié)議進(jìn)行數(shù)據(jù)分發(fā)，規(guī)范路由器之間的控制報(bào)文，通過對報(bào)文的管理控制來實(shí)現(xiàn)對分發(fā)樹的工作管理。這項(xiàng)研究主要是為了開發(fā)一個能夠適用于所有網(wǎng)絡(luò)組播路由的機(jī)制，以取代當(dāng)前針對特定組播定義的路由協(xié)議，提高IP組播的通用性。③IP組播成員訪問機(jī)制控制組件在路由網(wǎng)絡(luò)上給接收者提供訪問管理機(jī)制。這可以在想要加入IP組播組的成員在加入之前，申請信息中提供身份驗(yàn)證信息，同樣接收端路由器對該信息進(jìn)行驗(yàn)證。另外針對非組播組成員向組內(nèi)發(fā)送報(bào)文的情況，設(shè)定組播組提供發(fā)送者訪問機(jī)制。

2防范措施和技術(shù)

當(dāng)前針對IP組播安全防范措施和技術(shù)以數(shù)據(jù)、成員、策略三方面為主。數(shù)據(jù)方面從對數(shù)據(jù)采用加密算法加密及對秘鑰的分段發(fā)送和定時(shí)更新來實(shí)現(xiàn)。通過對組播數(shù)據(jù)的整體性，抗抵賴性，安全保密性等方面來進(jìn)行安全防范。對IP組播的安全問題解決如圖2所示。

圖2

組播密鑰管理圖2IP組播的安全問題和解決方案

3 系統(tǒng)框架

（1）集中式結(jié)構(gòu)：在這種結(jié)構(gòu)當(dāng)中，對組播進(jìn)行設(shè)置都是通過KSC，包括組密鑰的初始化、組密鑰的分發(fā)和更新等。由于KSC中含有所有成員的信息，方便對密鑰的分發(fā)和更新，集中控制度良好，但是如果密鑰控制器被入侵，整個組播就會失去安全性。

（2）分布式結(jié)構(gòu)：這種結(jié)構(gòu)沒有KSC，雖然能夠防止集中式結(jié)構(gòu)的“單點(diǎn)失效”問題，但是網(wǎng)絡(luò)負(fù)荷較大，不便于集中控制[2]。

綜合考慮以上兩種信息，本文選用了一種混合式結(jié)構(gòu)，其中頂級域有多個組密鑰安全控制器（KSC），各組密鑰安全控制器負(fù)責(zé)控制本區(qū)域的子組密鑰安全控制器（SKSC）及組播成員的密鑰分發(fā)更新工作，同時(shí)各組密鑰安全控制器之間也能彼此通信，信息共享，相互協(xié)調(diào)。采用這種混合結(jié)構(gòu)，不僅提高了系統(tǒng)效率，也使密鑰的分發(fā)更新與數(shù)據(jù)傳輸分離，增加系統(tǒng)的安全性和可移植性。

4 結(jié)束語

隨著經(jīng)濟(jì)的快速發(fā)展，人們的網(wǎng)絡(luò)需要也在急劇上升，而傳統(tǒng)的單播技術(shù)，已無法滿足現(xiàn)狀的生活需要，網(wǎng)絡(luò)資源、帶寬的浪費(fèi)又給網(wǎng)絡(luò)行業(yè)造成了極大的限制，基于此，我們研究IP組播技術(shù)，尤其是安全性和網(wǎng)絡(luò)通信穩(wěn)定性非常重要。

[1]鐘玉峰，楊茹.基于IP組播的安全通信技術(shù)研究[J].黑龍江工程學(xué)院學(xué)報(bào)（自然科學(xué)版），2012（1）：71-73.

[2]姚德軍.IP組播通信技術(shù)初探[J].今日科苑，2011（2）：147.

Security Research Communication Technology Based on IP Multicast

Lu Xuande

China Telecom Corporation Limited Yangzhou Branch Yangzhou City，Jiangsu Yangzhou 225009

IP Multicast can achieve a single point to multi-point， though efficient communication technologies， but have not been widely distributed applications， mainly originated from the security issues of multicast communication. Based on this，from the technical advantages and the security needs of IP multicast， analyzes of IP multicast security measures and technology， but also to IP multicast key management are described. It aimed at improving the security of communications IP multicast.

IP Multicast； secure communications；key

TP393.08

A

1009-6434(2016)09-0062-02