设为首页收藏本站优领域

优领域

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
优领域 优领域 通信领域 通信技术 4G技术 查看内容

4G时代组播安全性探析

2014-12-13 22:22| 发布者: Saiu| 查看: 468| 评论: 0|原作者: 钱力

摘要: 随着第四代移动通信技术的不断发展,以全球互联网为代表的各种IP 网络得到了迅猛的发展。网络带宽越来越高, 用户 数量越来越多, 新类型的多媒体业务将成为新一轮运营商竞争的焦点,采用传统的客户服务器模型将浪费网络资源, 带来了网络拥挤 问题。本文在介绍分析组播以及其安全性的基础上, 提出了一个基于IPSec 技术的安全组播的解决方案。
  一、IP 组播原理概述
  组播IP 地址用于标识一个IP 组播组, 其范围是从224.0.0.0 到239.255.255.255,IP 组播地址前四位均为1110,224.0.0.0 ~ 224.0.0.255为预留的组播地址, 地址224.0.0.0 保留不做分配,其它地址供路由协议使用。
  224.0.1.0 ~ 238.255.255.255为用户可用的组播地址,全网范围内有效。239.0.0.0 ~ 239.255.255.255为本地管理组播地址,仅在特定的本地范围内有效。
  二、4G 时代安全组播难点
  组播是一种高效的多目标传输机制,与单播系统比较,它可以节约占用的带宽,缓解服务器以及网络的负载,时提高系统的性能。组播的优点使其在网络应用中占据越来越重要的地位,但是网络的开放性给组播的安全带来极大的威胁。
  (1)组成员资格控制:组成员资格过一段时间就会发生变化,为了实现访问控制,它就必须能够鉴别所有可能的组成员的身份。(2)组验证:为了确保接收数据的真实性和完整性需要进行组验证,为了达到组验证的目的,我们遵循通常所使用的组数据验证的途径,以保证信息在存储、传输和使用中不被篡改。(3)源验证:这取决于组成员检验数据发送者身份的能力。用户需要确定信息的来源是正确的,不是经过伪造篡改的,同时也可防止信息发送者的抵赖。
  三、IPSec 加密技术
  IPSec 并不是一个单一的协议或算法,它是一系列加密实现中使用的加密标准定义的集合。IPSec 实现在IP 层的安全,因而它与任何上层应用或传输层的协议无关。IPSec在IP 报文中使用一个新的IPSec 的报头来封装信息。新的IPSec 报文包含IP 报文认证的信息,原始IP 报文的内容,可以根据特定应用的需求选择加密与否。可以配置IPSec 封装完整的IP 数据报或只是上层信息。IPSec 建立在两个基本概念之上:安全协议、密钥管理。
  四、组播加密方案的实现
  4.1 IPSec 不支持组播加密的原因
  IPSec 是在IP 层保护点到点流量的通用机制。IPSec 主要通过封装安全栽荷(ESP)和验证头(AH)协议来保护流量,要使用ESP 和AH 协议,就需要在IPSec 的源端点和目的端点之间建立安全联盟,这个工作一般是由因特网密钥交换协议(IKE)来完成的。
  4.2 基于IPSec 的组播加密方案
  步骤一:. 组播源节点接收节点的创建安全联盟SA 请求,判断当前请求节点所属组是否已存在共享CHILD—SA,如果已存在,则执行步骤二;否则,组播源节点与当前请求节点创建安全联盟,生成共享CHILD—SA,为其所属组的传播节点。步骤二:通知当前请求节点从其所属组的传播节点获取共享CHILD-SA;当前请求节点判断是否已与本组传播节点建立安全联盟,如果是,则使用已建立的安全联盟;否则,先与本组传播节点建立两点间的安全联盟。
  上述方案中,步骤一中所述记录当前请求节点为其所属组播组和所属组播子组的传播节点;步骤二具体包括:确定当前请求节点所属组播子组,判断该组播子组是否已存在传播节点,如果存在,则通知当前请求节点从其所属组播子组的传播节点获取共享CHILD-SA; 当前请求节点判断是否已与本组播子组传播节点建立安全联盟,如果是,则使用已建立的安全联盟;否则,先与本组播子组传播节点建立两点间的安全联盟;当前请求节点向本组播子组的传播节点发送获取请求,本组播子组的传播节点使用两点间建立的安全联盟将共享CHILD-SA 发送给当前请求节点。因此,本文所提供的实现组安全联盟共享的方法,对现有的IKE 进行了扩展,组播源节点只与组播组中的某个节点创建安全联盟、生成共享 CHILD-SA, 该组中的其它节点再向组播源节点发送创建SA 请求时,组播源节点只需通知该请求节点向已生成CHILD-SA 的节点索取, 该请求节点再采用现有IKE 与已生成CHlLD-SA 节点创建两点间的SA 并获取共享CHILD-SA,如此,不仅能够在IPSec 框架下以尽量少地改动支持多播节点共享同一SA, 而且避免了每个组成员都与组播源节点创建SA、生成CHILD-SA 所带来的大量资源消耗。
  五、结束语
  与传统的单播相比,组播占用的带宽要小,同时它可以在不同的网络结构上实现,也可以在不同的网络层次上实施,在应用上其范围也是极其广泛的。但是对于组播系统的安全性来说,还存在许多尚未解决的问题。本文利用单播系统中已有的成熟的安全技术IPSec,分析组播组特殊的安全需求,为组播的实际应用提出了一个可行性较高的方案。
  参 考 文 献
  [1] 《IP 组播与安全》, 周贤伟, 国防工业出版社
  [2] 《IPsec and Security》,Sheila Frankel,NIST
  [3] 《4G: LTE/LTE-Advanced for Mobile Broadband》,Erik Dahlman、Stefan Parkvall、Johan Skold,AP
    

网站统计|优领域|优领域 ( 粤ICP备12011853号-1 )  

GMT+8, 2019-1-17 19:28 , Processed in 0.071418 second(s), 12 queries .

Copyright © 2008-2014 优领域

回顶部