CN101588361B - 一种增强组播安全性的方法 - Google Patents
一种增强组播安全性的方法 Download PDFInfo
- Publication number
- CN101588361B CN101588361B CN2009100596678A CN200910059667A CN101588361B CN 101588361 B CN101588361 B CN 101588361B CN 2009100596678 A CN2009100596678 A CN 2009100596678A CN 200910059667 A CN200910059667 A CN 200910059667A CN 101588361 B CN101588361 B CN 101588361B
- Authority
- CN
- China
- Prior art keywords
- multicast
- virtual circuit
- security
- node
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种增强组播安全性的方法,从结构性安全的角度出发,建立从组播用户到汇聚服务器的端到端虚电路,既支持互联网中现有的安全机制,又具有独特的基于网络结构的安全机制,即安全是内嵌的。在进行组播时仅使用虚电路标识,隐藏了组播地址,使得攻击者难以发起攻击,从而有效地管理和控制组播数据传输。另外,对组中组播用户成员资格进行了验证,攻击者也不能模仿成一个组的合法成员接收组播数据,从而增强了组播网络的安全性。
Description
技术领域
本发明涉及网络安全领域,具体来讲,涉及一种增强组播安全性的方法。
背景技术
互联网自30多年前问世以来,在相当短的时间内从根本上改变了世界的信息基础设施。然而,由于新应用的不断出现、对互联网的滥用,以及逐渐商业化的事实,使得互联网的弊病也逐渐显现并日益扩大。其中,网络安全性问题最为突出。
早期保障网络安全的方法主要是关注系统的脆弱性安全,如防病毒系统、防火墙、入侵监测系统、防恶意代码以及打补丁等一系列关于系统脆弱性的安全机制,直至今日这些措施仍是计算机终端安全防护的重点。然而对于系统脆弱性安全的研究并不能满足网络的安全需求,网络的安全问题也没有得到根本的解决,反而有愈演愈烈的趋势。随着可信计算和可信网络的提出,通过对网络中系统脆弱性安全措施的集成化、体系化管理,实现了多种脆弱性安全机制的相关性问题,这标志着网络安全开始从系统脆弱性安全向网络结构性安全发展,其核心思想是网络安全是内嵌的,不仅考虑系统安全机制的相关性问题,而且更为关注系统终端行为及内容的相关性分析与管理。
由于组播体系结构的特点,组播通信比单播通信更容易受到攻击,具有更大安全风险。这主要体现在:没有对组中成员资格进行限制,这使得攻击者容易模仿成一个组的合法成员;组播的组地址范围是众所周知的,攻击者很容易找到一个组播组的IP地址,并成为其合法的组成员之一;相对于单播通信,组播报文将在更广泛的网络上传输,这样就给攻击者更多机会进行数据报文的拦截和窃听;组播采用UDP进行通信,没有提供任何机制阻止组成员或者非组内成员向这个组发送数据,如果攻击者恶意的向这个组发送大量数据包,由于组的规模可能比较大,这就很容易造成网络拥塞从而导致拒绝服务。现有的组播路由技术很难保证这一点,安全组播仍然是一个技术难点。
发明内容
本发明的目的在于克服现有组播安全性的不足,从网络结构性安全出发,提供一种增强组播安全性的方法。
为实现上述目的,本发明的增强组播安全性的方法,包括以下步骤:
(1)、对组播管理服务器、边缘路由器和汇聚服务器进行初始化设置;
(2)、组播用户通过边缘路由器向组播管理服务器发送申请加入组播组的报文;
(3)、组播管理服务器对组播用户进行验证,并向该组播用户接入的边缘路由器发送组播用户验证成功报文;
(4)、建立从组播用户到汇聚服务器的端到端虚电路,并且对这条虚电路进行预留资源;
(5)、隐藏IP地址,使用虚电路标识发送组播数据,组播数据由汇聚服务器集中转发;
(6)、定时查看组播用户是否存在,如果存在,继续维护虚电路状态,否则撤消虚电路;
(7)、组播用户向组播管理服务器发送组成员离开报文,撤销虚电路,释放虚电路上预留的资源。
本发明的发明目的是这样实现的:从结构性安全的角度出发,建立从组播用户到汇聚服务器的端到端虚电路,既支持互联网中现有的安全机制,又具有独特的基于网络结构的安全机制,即安全是内嵌的。组播管理服务器通过边缘路由器对组播用户进行认证,同时在进行组播时仅使用虚电路标识,隐藏了组播地址,使得攻击者难以发起攻击,从而有效地管理和控制组播数据传输。另外,对组中组播用户成员资格进行了验证,攻击者也不能模仿成一个组的合法成员接收组播数据,从而增强了组播网络的安全性。
附图说明
图1是组播工作示意图;
图2是虚电路状态转换图;
图3是信源树结构示意图;
图4是传输管理层报文格式;
图5是网络管理层报文格式。
具体实施方式
下面对本发明的具体实施方式进行描述,以便更好地理解本发明。需要特别提醒注意的是,在以下的描述中,当采用已知功能和设计的详细描述也许会淡化本发明的主要内容时,这些描述在这儿将被忽略。
图1是本发明增强组播安全性的方法一种具体实施方式示意图。
组播管理服务器通过汇聚路由器、核心路由器CR1、CR2,边缘路由器ER1、ER2、ER3、ER4构成组播网络。组播用户P1、P2、P3、P4----Pi----Pn通过边缘路由器接入到组播网络中。
(1)、对组播管理服务器、边缘路由器ER1、ER2、ER3、ER4和汇聚服务器进行初始化设置,在本实施例中,还包括对核心路由器CR1、CR2进行初始化设置;
(2)、组播用户P1通过边缘路由器ER1向组播管理服务器发送申请加入组播组的报文;
(3)、组播管理服务器对组播用户P1进行验证,并向该组播用户P1接入的边缘路由器ER1发送组播用户验证成功报文;
(4)、建立从组播用户P1到汇聚服务器的端到端虚电路,并且对这条虚电路进行预留资源;
(5)、隐藏IP地址,使用虚电路标识发送组播数据,组播数据由汇聚服务器集中转发;
(6)、定时查看组播用户P1是否存在,如果存在,继续维护虚电路状态,否则撤消虚电路。
(7)、组播用户P1向组播管理服务器发送组成员离开报文,撤销虚电路,释放虚电路上预留的资源。
图2是虚电路状态转换图。
图中,事件④代表套接字函数Connect;事件⑨代表套接字函数Close;事件⑩代表收到信息,信息可以是控制报文也可以是数据报文;符号“+”代表两个事件同时发生;符号“/”代表两个事件发生一个。
对于主动方,事件④使得虚电路从初始状态变为请求状态,事件⑩使其从请求状态变为通信状态,事件⑨、事件⑩与主机没有响应两个事件发生一个则从通信状态变为正在关闭状态,如果此时是事件⑩与强制关闭则变为初始状态,如果此时是事件⑩与双向优雅关闭,则变为关闭另条状态,收到对方关闭确认后变为初始状态。
对于被动方,事件⑩与双向建立虚电路两个事件同时发生,则从初始状态变为应答请求状态。在应答请求状态下,事件⑩则使虚电路变为通信状态,如果此时是事件⑩与强制被动关闭则变为初始状态;如果此时是事件⑩与关闭请求,则变为被动关闭状态,发送完毕后,变为初始状态。
对于图1需要指明:虚电路的建立可能是反向的申请;在边缘路由器按照资源状况找路径;聚合的信息标记不同于组播;虚电路维护处理在边缘路由器之间进行;单向撤销过程仅仅一次请求即完成;边缘路由器具有状态,负责维护资源管理和路由信息,维护虚电路表状态,而核心路由器负责维护标签资源信息。
图3是信源树结构示意图。
图中每个节点代表一个路由器,例如:节点0代表路由器0,节点1代表路由器1。为了便于存储和应用,我们将信源树表示为各个节点和左右括号的序列,并且将信源树序列取代路由表。用序列表示信源树的方法如下:1)、取源节点vs的分支(vs,v1,......vm);2)、若分支数大于0,将分支的各个子节点vi用其分支替代(vi,v1,......vn);3)、对所有的子节点的分支重复2),直到得到子节点的分支数为0,即都成为叶节点,结束。
按照上面的方法,得到图2示意图中信源树的序列为:V0(V1(V2V3(V4V5V6))(V7(V8V9)V10V11))V12,其中括号内的序列表示子信源树。
通过此序列,可以方便快捷的查找出最佳路径和组播树。与路由表相比,信源树序列占有的储存容量小,只比储存各节点地址总和的空间略多,约为路由表的一半,在考虑掩码时约为路由表的四分之一,但是却包含了比路由表的多得多的重要信息,即中间节点信息,并且无需将信源树进一步转化形成路由表。由于存储空间大大降低,解决了路由表不断膨胀的问题,加快了数据转发的速率,因此本方法使得组播具有很好的可扩展性,可以应用在大规模的网络上。传统的路由器只保留各条最佳路径的源节点、下一跳节点和目的节点,其余中间节点则被丢弃。而这些中间节点的信息是非常有用的,尤其是在路由自愈恢复的情形下。新的路由结构的基础由于存储了中间节点信息,增强了路由自愈恢复能力。
图4是传输管理层报文格式。传输管理器层在传输层和网络管理层中,由各功能元之间相互合作、相互协调共同实现网络应用。功能元是提供服务的最小实体,它可能是服务数据单元(SDU,Service Data Unit)的发送者、接收者、转发者或变换者,和网络介质一起组成有源信道,一个节点包含许多功能元。那么在系统的设计与实现上,众多功能元是如何组织。在本实施例中,我们设计一个传输管理层来组织调度网络应用,具体实现时它主要通过SDU,根据功能类别,调度功能元完成各种工作。传输管理层负责端到端的传输管理,包括流量控制、拥塞控制、可靠传输、端认证、端加密、顺序管理等管理功能。总的来说,传输管理层主要起一个承上启下,协调传输层和网络管理层的作用,本层是可选的,由下层协议指示。
在图4所示的传输管理层报文格式中,版本字段指明版本号;类型字段值如果在127以内是标准类型,如果在128以上是则是自定义类型;信息映射表是可选的,最后一个信息是不定长的。
图5是网络管理层报文格式。网络管理层主要完成虚电路管理、加密认证、资源管理、访问控制、加入组播组等各种功能,它们也是由一个一个功能元组成的,由传输管理层进行统一管理和调度。本层是可选的,由IP首部指示。
在图5所示的网络管理层报文格式中,类型是一种标准化定义,每个类型有若干选项,映射指定了具体哪些选项。
在本实施例中,本发明的增强组播安全性的方法中,路由器采用了独特的新的路由存储结构,既可节省路由器存储空间,又可包含更多的状态信息,使网络趋于智能化,符合网络可控可管理的特征。只有边缘路由器作为接入路由器才能接受主机的组播请求,对组播组成员进行认证,汇聚路由器、核心路由器等传输路由器仅负责组播数据的传输,从而确保恶意主机无法进入组播组。同时在进行组播时仅使用虚电路标识,隐藏了组播地址,使得攻击者难以发起攻击,从而有效地管理和控制组播数据传输。
尽管上面对本发明说明性的具体实施方式进行了描述,以便于本技术领的技术人员理解本发明,但应该清楚,本发明不限于具体实施方式的范围,对本技术领域的普通技术人员来讲,只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内,这些变化是显而易见的,一切利用本发明构思的发明创造均在保护之列。
Claims (2)
1.一种增强组播安全性的方法,其特征在于,包括以下步骤:
(1)、对组播管理服务器、边缘路由器和汇聚服务器进行初始化设置;
(2)、组播用户通过边缘路由器向组播管理服务器发送申请加入组播组的报文;
(3)、组播管理服务器对组播用户进行验证,并向该组播用户接入的边缘路由器发送组播用户验证成功报文;
(4)、建立从组播用户到汇聚服务器的端到端虚电路,并且对这条虚电路进行预留资源;
(5)、隐藏IP地址,使用虚电路标识发送组播数据,组播数据由汇聚服务器集中转发;
(6)、定时查看组播用户是否存在,如果存在,继续维护虚电路状态,否则撤消虚电路;
(7)、组播用户向组播管理服务器发送组成员离开报文,撤销虚电路,释放虚电路上预留的资源。
2.根据权利要求1所述的增强组播安全性的方法,其特征在于,用信源树序列取代边缘路由器的路由表,用序列表示信源树的方法为:
1)、取源节点vs的分支(vs,v1,......vm);
2)、若分支数大于0,将分支的各个子节点vi用其分支替代(vi,v1,......vn);
3)、对所有的子节点的分支重复2),直到得到子节点的分支数为0,即都成为叶节点,结束。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100596678A CN101588361B (zh) | 2009-06-19 | 2009-06-19 | 一种增强组播安全性的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100596678A CN101588361B (zh) | 2009-06-19 | 2009-06-19 | 一种增强组播安全性的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101588361A CN101588361A (zh) | 2009-11-25 |
| CN101588361B true CN101588361B (zh) | 2012-03-21 |
Family
ID=41372424
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100596678A Expired - Fee Related CN101588361B (zh) | 2009-06-19 | 2009-06-19 | 一种增强组播安全性的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101588361B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101814997B (zh) * | 2010-03-26 | 2011-10-05 | 电子科技大学 | 一种增强组播抗毁性的方法 |
| CN103493445B (zh) * | 2012-02-22 | 2015-12-02 | 北京大学深圳研究生院 | 一种ip组播数据的分层分发方法、系统 |
| CN112261650B (zh) * | 2020-09-24 | 2022-05-03 | 北京邮电大学 | 网络接入切换方法、装置、电子设备及存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1870637A (zh) * | 2005-10-28 | 2006-11-29 | 华为技术有限公司 | 实现虚拟专用局域网业务中虚电路状态一致性的方法 |
-
2009
- 2009-06-19 CN CN2009100596678A patent/CN101588361B/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1870637A (zh) * | 2005-10-28 | 2006-11-29 | 华为技术有限公司 | 实现虚拟专用局域网业务中虚电路状态一致性的方法 |
Non-Patent Citations (1)
| Title |
|---|
| 王晓敏,曾加智,易发胜.基于虚电路的可靠组播.《计算机应用研究》.2007,第24卷(第7期), * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101588361A (zh) | 2009-11-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103597795B (zh) | 无限带宽(ib)网络中认证所发现的组件的身份的系统和方法 | |
| US9253106B2 (en) | Traffic-control-based data transmission method and communication system | |
| US8665874B2 (en) | Method and apparatus for forwarding data packets using aggregating router keys | |
| US20130201987A1 (en) | Service communication method and system for access network apparatus | |
| WO2012016528A1 (zh) | 一种兼容以太网的方法及系统 | |
| CN101013962A (zh) | 集成安全交换机 | |
| CN105337890B (zh) | 一种控制策略生成方法以及装置 | |
| CN101808420A (zh) | 智网 | |
| CN105591754B (zh) | 一种基于sdn的验证头验证方法和系统 | |
| CN109274647A (zh) | 分布式可信内存交换方法及系统 | |
| CN109005179A (zh) | 基于端口控制的网络安全隧道建立方法 | |
| CN101977189B (zh) | Mpls网络的可信认证及安全接入控制方法 | |
| CN101588361B (zh) | 一种增强组播安全性的方法 | |
| CN101163066B (zh) | 分布式电子邮件系统 | |
| CN102027726B (zh) | 用于控制数据分组的路由的方法和设备 | |
| CN109729504A (zh) | 一种基于区块链的车辆可信认证及缓存的方法 | |
| Lo et al. | A secure IoT firmware update framework based on MQTT protocol | |
| CN201044458Y (zh) | 基于虚拟专用网和分布式存储方式的分布式电子邮件系统 | |
| CN106341256B (zh) | 基于软件定义网络的v2g系统及其安全通信方法 | |
| CN102158477A (zh) | 一种通信系统和信息交互方法 | |
| CN108712398A (zh) | 认证服务器的端口认证方法、服务器、交换机和存储介质 | |
| CN101252530B (zh) | 报文转发方法、系统以及交换设备 | |
| TWI506574B (zh) | 具彈性的雲端網路服務供裝系統 | |
| Lucks et al. | Concrete security for entity recognition: The Jane Doe protocol | |
| CN101702727B (zh) | 地址分离映射网络中DDoS防御方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20091125 Assignee: GUANGZHOU YIZHONG APPLIED SCIENCE AND TECHNOLOGY CO., LTD. Assignor: University of Electronic Science and Technology of China Contract record no.: 2013440000303 Denomination of invention: Method for enhancing multicast security Granted publication date: 20120321 License type: Exclusive License Record date: 20130530 |
|
| LICC | Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120321 Termination date: 20140619 |
|
| EXPY | Termination of patent right or utility model |