4G時代組播安全性探析
2014-04-29 00:00:00錢力
中國新通信 2014年21期
【摘要】 隨著第四代移動通信技術的不斷發展,以全球互聯網為代表的各種IP網絡得到了迅猛的發展。網絡帶寬越來越高,用戶數量越來越多,新類型的多媒體業務將成為新一輪運營商競爭的焦點,采用傳統的客戶服務器模型將浪費網絡資源,帶來了網絡擁擠問題。本文在介紹分析組播以及其安全性的基礎上,提出了一個基于IPSec技術的安全組播的解決方案。
【關鍵字】 4G IP組播 安全
一、IP組播原理概述
組播IP地址用于標識一個IP組播組,其范圍是從224.0.0.0到239.255.255.255,IP組播地址前四位均為1110,224.0.0.0~224.0.0.255為預留的組播地址,地址224.0.0.0保留不做分配,其它地址供路由協議使用。224.0.1.0~238.255.255.255為用戶可用的組播地址,全網范圍內有效。239.0.0.0~239.255.255.255為本地管理組播地址,僅在特定的本地范圍內有效。
二、4G時代安全組播難點
組播是一種高效的多目標傳輸機制,與單播系統比較,它可以節約占用的帶寬,緩解服務器以及網絡的負載,時提高系統的性能。組播的優點使其在網絡應用中占據越來越重要的地位,但是網絡的開放性給組播的安全帶來極大的威脅。(1)組成員資格控制:組成員資格過一段時間就會發生變化,為了實現訪問控制,它就必須能夠鑒別所有可能的組成員的身份。(2)組驗證:為了確保接收數據的真實性和完整性需要進行組驗證,為了達到組驗證的目的,我們遵循通常所使用的組數據驗證的途徑,以保證信息在存儲、傳輸和使用中不被篡改。(3)源驗證:這取決于組成員檢驗數據發送者身份的能力。用戶需要確定信息的來源是正確的,不是經過偽造篡改的,同時也可防止信息發送者的抵賴。
三、IPSec加密技術
IPSec并不是一個單一的協議或算法,它是一系列加密實現中使用的加密標準定義的集合。IPSec實現在IP層的安全,因而它與任何上層應用或傳輸層的協議無關。IPSec在IP報文中使用一個新的IPSec的報頭來封裝信息。新的IPSec報文包含IP報文認證的信息,原始IP報文的內容,可以根據特定應用的需求選擇加密與否。可以配置IPSec封裝完整的IP數據報或只是上層信息。IPSec建立在兩個基本概念之上:安全協議、密鑰管理。
四、組播加密方案的實現
4.1 IPSec不支持組播加密的原因
IPSec是在IP層保護點到點流量的通用機制。IPSec主要通過封裝安全栽荷(ESP)和驗證頭(AH)協議來保護流量,要使用ESP和AH協議,就需要在IPSec的源端點和目的端點之間建立安全聯盟,這個工作一般是由因特網密鑰交換協議(IKE)來完成的。
4.2 基于IPSec的組播加密方案
步驟一:.組播源節點接收節點的創建安全聯盟SA請求,判斷當前請求節點所屬組是否已存在共享CHILD—SA,如果已存在,則執行步驟二;否則,組播源節點與當前請求節點創建安全聯盟,生成共享CHILD—SA,為其所屬組的傳播節點。步驟二:通知當前請求節點從其所屬組的傳播節點獲取共享CHILD-SA;當前請求節點判斷是否已與本組傳播節點建立安全聯盟,如果是,則使用已建立的安全聯盟;否則,先與本組傳播節點建立兩點間的安全聯盟。
上述方案中,步驟一中所述記錄當前請求節點為其所屬組播組和所屬組播子組的傳播節點;步驟二具體包括:確定當前請求節點所屬組播子組,判斷該組播子組是否已存在傳播節點,如果存在,則通知當前請求節點從其所屬組播子組的傳播節點獲取共享CHILD-SA;當前請求節點判斷是否已與本組播子組傳播節點建立安全聯盟,如果是,則使用已建立的安全聯盟;否則,先與本組播子組傳播節點建立兩點間的安全聯盟;當前請求節點向本組播子組的傳播節點發送獲取請求,本組播子組的傳播節點使用兩點間建立的安全聯盟將共享CHILD-SA發送給當前請求節點。因此,本文所提供的實現組安全聯盟共享的方法,對現有的IKE進行了擴展,組播源節點只與組播組中的某個節點創建安全聯盟、生成共享 CHILD-SA,該組中的其它節點再向組播源節點發送創建SA請求時,組播源節點只需通知該請求節點向已生成CHILD-SA的節點索取,該請求節點再采用現有IKE與已生成CHlLD-SA節點創建兩點間的SA并獲取共享CHILD-SA,如此,不僅能夠在IPSec框架下以盡量少地改動支持多播節點共享同一SA,而且避免了每個組成員都與組播源節點創建SA、生成CHILD-SA所帶來的大量資源消耗。
五、結束語
與傳統的單播相比,組播占用的帶寬要小,同時它可以在不同的網絡結構上實現,也可以在不同的網絡層次上實施,在應用上其范圍也是極其廣泛的。但是對于組播系統的安全性來說,還存在許多尚未解決的問題。本文利用單播系統中已有的成熟的安全技術IPSec,分析組播組特殊的安全需求,為組播的實際應用提出了一個可行性較高的方案。
參 考 文 獻
[1] 《IP組播與安全》,周賢偉,國防工業出版社
[2] 《IPsec and Security》,Sheila Frankel,NIST
[3] 《4G: LTE/LTE-Advanced for Mobile Broadband》,Erik Dahlman、Stefan Parkvall、Johan Skold,AP
