資源描述:
《ip組播通信技術初探》由會員上傳分享����,免費在線閱讀,更多相關內(nèi)容在工程資料-天天文庫���。
1�����、IP組播通信技術初探 摘要:IP組播技術為群組應用提供了一種高效的傳輸機制��,但是由于缺乏對安全性�����、流量管理以及可靠性等方面的有效支持�����,使得IP組播的應用還很受限制�����。其中組播安全性是關鍵因素之一����。在IP組播通信中,對傳輸?shù)臄?shù)據(jù)要提供機密性�、完整性以及源認證性保護��。而且�,由于IP組播模型的開放性����,使得其極易遭受DOS攻擊���,因此也必須對IP組播組成員實施有效的訪問控制機制����?���! £P鍵詞:組播安全;IP組播組成員訪問控制�;組播安全策略 一、引言 在因特網(wǎng)的飛速發(fā)展�����、多媒體技術的成熟以及社會信息化的發(fā)展過程中產(chǎn)生了越來越多的群組應用��,如股票信息分發(fā)��、視頻會議���、協(xié)作計算系統(tǒng)、付
2、費電視���、網(wǎng)絡游戲、分布式仿真以及鏡像同步等等��。這些群組應用都需要從一個主機向多個主機或者從多個主機向多個主機發(fā)送同一信息的能力�����,雖然可以使用單播技術來實現(xiàn)這些群組應用,但使用IP組播技術可以大大節(jié)省網(wǎng)絡帶寬資源以及發(fā)送方的資源�����,而且使用組播可以縮小延遲���。但是由于缺乏對流量管理、計費��、可靠性以及安全性的有效支持�,使得IP組播的應用還很受限制���。針對安全需求以及安全缺陷,近年來很多學者對安全IP組播進行了大量的研究����,取得了一定的成果,如出現(xiàn)了大量有效的組密鑰管理算法��,但是在某些方面的研究還不夠深入或廣泛�����,如組播源認證�、IP組播組發(fā)送者以及接收者訪問控制���、集成所有這些安全要素的
3��、統(tǒng)一框架以及策略管理����。為了使IP組播能達到商業(yè)�����、甚至軍事應用的要求,還有大量的工作要做�����?���! 《?���、IP組播的技術優(yōu)勢以及安全需求 ?��。ㄒ唬┘夹g優(yōu)勢 傳統(tǒng)的單播通信涉及到兩方����,這種通信方式下源IP主機向目標IP主機發(fā)送信息�����,發(fā)送方和接受方之間需要一條邏輯數(shù)據(jù)通道���。使用單播通信實現(xiàn)群組通信系統(tǒng)就需要在任意兩個組成員之間都有一條獨立的邏輯數(shù)據(jù)通道���,一方面浪費了資源,另一方面也限制了群組通信系統(tǒng)的擴展性����。IP組播模式下,源IP主機只需向一個IP組播地址發(fā)送信息��,通過路由系統(tǒng)對信息的復制以及傳送��,最終就會將該信息傳送給參與IP組播通信的各個接收方。一般而言�����,相對于單播�,使用IP組
4、播實現(xiàn)群組通信具有以下優(yōu)勢:降低數(shù)據(jù)發(fā)送者的計算開銷以及帶寬需求�����;降低網(wǎng)絡傳輸開銷�����,在組播數(shù)據(jù)傳送路徑上��,每個數(shù)據(jù)包只需傳送一次����。需要的網(wǎng)絡帶寬資源較低����;擴展性好,在使用組播實現(xiàn)的群組通信系統(tǒng)中可以輕易地增加用戶的數(shù)量��,使用單播則不然,即使不考慮資源的浪費�����,也還是要受限于應用要傳送的數(shù)據(jù)流量特性����、發(fā)送端的計算能力以及接入帶寬?! 。ǘ┌踩枨蟆 ⊥ǔR粋€通信系統(tǒng)對安全性的要求主要有三個方面:1���、數(shù)據(jù)的機密性:數(shù)據(jù)在傳送途中不能被第三方獲得,通常可以通過加密、解密的方法實現(xiàn)����。2��、數(shù)據(jù)的完整性:數(shù)據(jù)在傳送途中不能被第三方非法修改����,如果在傳送途中被修改�����,必須提供一種機制使得
5���、接收者能夠檢測到數(shù)據(jù)被修改過�。3�、數(shù)據(jù)的源認證性:數(shù)據(jù)的接收方能確保數(shù)據(jù)來自預期的發(fā)送者?����! ⊥瑯?��,在一個安全組通信系統(tǒng)中也需要提供相應的機制來保證這三個方面的安全需求����,IP組播系統(tǒng)是一個開放性很高的系統(tǒng),在當前的IP組播通信模型中�,任何主機都可以加入組播組從而接收組播數(shù)據(jù),任何主機都可以向組播組發(fā)送組播數(shù)據(jù)�。其中沒有任何組播組成員認證、訪問控制機制�,這樣容易導致DOS攻擊,為了提供一個安全的IP組播環(huán)境��,整個IP組播通信系統(tǒng)應該提供三類安全組件:①端到端的數(shù)據(jù)保護組件主要是對群組應用的數(shù)據(jù)進行安全保護��,通常就是要保證數(shù)據(jù)的機密性���、數(shù)據(jù)的完整性以及數(shù)據(jù)的源認證性�����。②組播
6�����、分發(fā)樹保護組件對組播分發(fā)樹進行保護的主要目的就是確保分發(fā)樹能按規(guī)定的協(xié)議規(guī)范操作�����,這就要求保護組播分發(fā)樹中組播路由器之間交換的控制報文,通常要對這些控制報文進行認證����,如M-OSPF��、PIMv2等�。對這個領域的研究目標是獲得一個適用于所有組播路由協(xié)議的機制���,當前用于組播分發(fā)樹保護的方法都是特定于某個組播路由協(xié)議��。③組播組成員訪問控制組件在網(wǎng)絡邊緣路由器上提供接收者訪問控制機制��,這要求要加入IP組播組的主機在加入組播組通信的請求中要給出其身份授權信息�����,而接受請求的路由器則必須能對這些信息進行驗證��。另外還要求在組播傳送系統(tǒng)中提供發(fā)送者訪問控制技術以防止非組成員向組播組發(fā)送組播
7�����、報文�?�! ∪P組播組接收者以及發(fā)送者訪問控制技術 在IP組播通信中�,為了要將組播報文傳送給IP組播組成員,必須有一種機制使得IP網(wǎng)絡的路由系統(tǒng)能夠知道各個組播組成員的位置��,IPv4網(wǎng)絡中這是通過IGMP來實現(xiàn)的�。當前的IP組播模型中,只要知道組播組的IP組播地址�����,任何主機都可以使用IGMP協(xié)議加入IP組播組�����,從而接收到組播報文�。通過引入組密鑰管理技術進而使用授權組成員共享的組密鑰對組播數(shù)據(jù)進行加密可以防止非授權組成員訪問明文的組播數(shù)據(jù)。但是這種方法至少存在兩個缺陷:首先非授權組成員的主機可以通過加入組播組而接收到加密過的組播報文進而
